一、信息系統(tǒng)審計(jì)實(shí)踐中審計(jì)法規(guī)準(zhǔn)則的現(xiàn)況

　?。ㄒ唬┪覈?guó)信息系統(tǒng)審計(jì)相關(guān)法規(guī)準(zhǔn)則的現(xiàn)狀

　　我國(guó)在傳統(tǒng)審計(jì)業(yè)務(wù)方面已經(jīng)建成了一套比較成熟規(guī)范的法規(guī)、準(zhǔn)則體系，但在信息系統(tǒng)審計(jì)方面還沒有形成系統(tǒng)的法規(guī)、準(zhǔn)則和技術(shù)標(biāo)準(zhǔn)體系。

　　1.國(guó)內(nèi)已頒布制定的信息系統(tǒng)審計(jì)相關(guān)法律、法規(guī)

　?。?） 第十屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)2006年修正的《中華人民共和國(guó)審計(jì)法》第三十二條。

　?。?） 國(guó)務(wù)院1997年頒布的《中華人民共和國(guó)審計(jì)法實(shí)施條例》第三十條。

　?。?） 審計(jì)署1996年頒布了《審計(jì)機(jī)關(guān)計(jì)算機(jī)輔助審計(jì)方法》。

　　（4） 中國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)1999 年頒布了《獨(dú)立審計(jì)具體準(zhǔn)則第 20 號(hào)——計(jì)算機(jī)信息系統(tǒng)環(huán)境下的審計(jì)》。

　?。?） 審計(jì)署2000年《審計(jì)機(jī)關(guān)審計(jì)證據(jù)準(zhǔn)則》第三條明確規(guī)定被審計(jì)單位電子數(shù)據(jù)資料屬審計(jì)證據(jù)。

　?。?） 國(guó)務(wù)院辦公廳2001年頒發(fā)了《關(guān)于利用計(jì)算機(jī)信息系統(tǒng)開展審計(jì)工作有關(guān)問題的通知》。

　?。?） 江蘇省政府辦公廳2002年轉(zhuǎn)發(fā)《國(guó)務(wù)院辦公廳關(guān)于利用計(jì)算機(jī)信息系統(tǒng)開展審計(jì)工作有關(guān)問題的通知》的通知。

　?。?） 中國(guó)內(nèi)部審計(jì)協(xié)會(huì)2008年頒布了《內(nèi)部審計(jì)具體準(zhǔn)則第28號(hào)——信息系統(tǒng)審計(jì)》。

　　2.國(guó)內(nèi)信息系統(tǒng)審計(jì)可參照的相關(guān)信息技術(shù)法規(guī)、標(biāo)準(zhǔn)

　?。?） 《中華人民共和國(guó)保守國(guó)家秘密法》

　?。?） 《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》

　?。?） 《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》以及與之配套的《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則應(yīng)用指南》和《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)評(píng)估準(zhǔn)則》。

　?。?） 《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》

　　（5） 《關(guān)于加強(qiáng)信息安全保障工作中保密管理的若干意見的通知》

　?。?） 《信息安全等級(jí)保護(hù)管理辦法》

　?。?） 《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測(cè)和銷售許可證管理辦法》

　?。?） 《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》

　?。?） 《信息系統(tǒng)通用安全技術(shù)要求、網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求、操作系統(tǒng)安全技術(shù)要求》等國(guó)標(biāo)技術(shù)標(biāo)準(zhǔn)。

　　3.審計(jì)署對(duì)信息系統(tǒng)審計(jì)相關(guān)法規(guī)、準(zhǔn)則的規(guī)劃及研究

　?。?） 金審工程一期的標(biāo)準(zhǔn)規(guī)范建設(shè)中明確了“制定金審工程需要的審計(jì)準(zhǔn)則、審計(jì)操作指南、審計(jì)機(jī)關(guān)、審計(jì)事項(xiàng)等標(biāo)準(zhǔn)。”

　?。?） 審計(jì)署在《2003至2007年審計(jì)信息化發(fā)展規(guī)劃》中就明確提出要積極探索信息系統(tǒng)審計(jì)。

　?。?） 審計(jì)署在《2008至2012年審計(jì)工作發(fā)展規(guī)劃》中提出“加強(qiáng)審計(jì)信息化制度建設(shè)和規(guī)范建設(shè)。建立健全計(jì)算機(jī)審計(jì)標(biāo)準(zhǔn)規(guī)范，總結(jié)形成計(jì)算機(jī)審計(jì)方法體系和操作制度體系”。

　?。?） 審計(jì)署在《2009至2010年9項(xiàng)重點(diǎn)科研課題》中將“信息系統(tǒng)審計(jì)指南，定向委托審計(jì)署計(jì)算機(jī)技術(shù)中心”進(jìn)行研究。

　?。ǘ﹪?guó)外信息系統(tǒng)審計(jì)的相關(guān)準(zhǔn)則

　　美國(guó) EDP 審計(jì)師協(xié)會(huì) 1984 年發(fā)布的《EDP 控制的目標(biāo)》及1987 年發(fā)布了《信息系統(tǒng)審計(jì)的基本準(zhǔn)則》，日本通產(chǎn)省在 1985 年發(fā)表了《IT 審計(jì)標(biāo)準(zhǔn)》，美國(guó)的可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則(TCSEC)，以及英國(guó)、法國(guó)、德國(guó)和荷蘭共同提出的《信息技術(shù)安全評(píng)估準(zhǔn)則》( ITSEC)，基梅隆大學(xué)軟件工程協(xié)會(huì)發(fā)布的能力成熟度集成模型CMMI（Capability Maturity Model Integration。

　?。ㄈ﹪?guó)內(nèi)現(xiàn)有法規(guī)、標(biāo)準(zhǔn)的缺陷和不足

　　1.現(xiàn)有的部分法規(guī)、標(biāo)準(zhǔn)只是在計(jì)算機(jī)審計(jì)的基礎(chǔ)方面進(jìn)行了一些簡(jiǎn)單的規(guī)定，沒有實(shí)質(zhì)性的解決方案，在審計(jì)實(shí)踐中很難推廣。

　　2.對(duì)會(huì)計(jì)信息系統(tǒng)外的管理和決策系統(tǒng)的審計(jì)，授權(quán)不明確嚴(yán)重影響信息系統(tǒng)審計(jì)工作的開展。

　　3.信息系統(tǒng)法規(guī)、審計(jì)準(zhǔn)則和審計(jì)指南的缺失，不利于規(guī)范和指導(dǎo)信息系統(tǒng)審計(jì)實(shí)踐，不利于衡量和評(píng)價(jià)信息系統(tǒng)審計(jì)工作質(zhì)量，也不利于防范和規(guī)避信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)。

　　4.審計(jì)準(zhǔn)入標(biāo)準(zhǔn)缺失，審計(jì)水皮參差不齊，信息系統(tǒng)審計(jì)人員總體審計(jì)能力不強(qiáng)。

　　二、構(gòu)建信息系統(tǒng)審計(jì)的法規(guī)準(zhǔn)則保障體系

　　信息系統(tǒng)審計(jì)發(fā)展到一定階段，必須將實(shí)踐經(jīng)驗(yàn)加以總結(jié)，并把有關(guān)概念、工作流程和技術(shù)方法固定、統(tǒng)一起來(lái)，形成法規(guī)、準(zhǔn)則及指南，這是信息系統(tǒng)審計(jì)進(jìn)一步發(fā)展的基礎(chǔ)，這也是所有行業(yè)發(fā)展的共同規(guī)律。沒有標(biāo)準(zhǔn)和規(guī)范，所有的實(shí)踐活動(dòng)只能局限在低水平上重復(fù)。目前我國(guó)尚沒有一套完整的、成熟的信息系統(tǒng)審計(jì)法規(guī)，也缺少具備實(shí)際指導(dǎo)意義的相關(guān)審計(jì)準(zhǔn)則和操作指南。

　　（一）加快制定和修改適應(yīng)信息系統(tǒng)審計(jì)需要的法律法規(guī)

　　1.明確信息系統(tǒng)審計(jì)中的權(quán)利與義務(wù)

　　要在法律法規(guī)上進(jìn)一步明確信息系統(tǒng)審計(jì)中審計(jì)機(jī)構(gòu)的權(quán)力，如有權(quán)審查被審計(jì)算機(jī)的信息系統(tǒng)的功能與安全措施，有權(quán)利用網(wǎng)絡(luò)和審計(jì)軟件進(jìn)行審計(jì)，明確被審計(jì)單位的責(zé)任和的義務(wù)如被審單位應(yīng)對(duì)審計(jì)人員的信息系統(tǒng)審計(jì)給予哪些協(xié)助。

　　2.明確審前調(diào)查為一個(gè)審計(jì)階段

　　考慮到實(shí)踐中審前調(diào)查需要做大量的數(shù)據(jù)分析工作，為突出其作可否以實(shí)施實(shí)際的數(shù)據(jù)分析為標(biāo)準(zhǔn)將審計(jì)階段接劃分為四個(gè)階段，即審計(jì)準(zhǔn)備階段、審前調(diào)查階段、審計(jì)實(shí)施階段和審計(jì)報(bào)告階段。

　　3.明確電子數(shù)據(jù)審計(jì)證據(jù)的法律效力

　　目前審計(jì)要求被審計(jì)單位將計(jì)算機(jī)記錄的數(shù)據(jù)都要打印到紙張上，并由簽章，方可作為審計(jì)的法律依據(jù)。應(yīng)盡快制定電子會(huì)計(jì)數(shù)據(jù)作為與紙張記載的數(shù)據(jù)具有同等法律效力的法律。同時(shí)對(duì)審計(jì)對(duì)象的電子數(shù)據(jù)，進(jìn)行的轉(zhuǎn)換、清理和驗(yàn)證，建立審計(jì)中間表等過程中出現(xiàn)的數(shù)據(jù)采集轉(zhuǎn)換風(fēng)險(xiǎn)應(yīng)加以定義。

　　4.明確信息系統(tǒng)審計(jì)程序代碼復(fù)核制度

　　在審計(jì)機(jī)關(guān)內(nèi)部設(shè)立計(jì)算機(jī)程序復(fù)核部門，由其對(duì)數(shù)據(jù)計(jì)算方法和數(shù)據(jù)處理流程進(jìn)行審核，以確保程序編制科學(xué)合理，據(jù)之得出的審計(jì)數(shù)據(jù)可靠無(wú)誤，可以作為審計(jì)證據(jù)使用。

　?。ǘ┍M快建立信息系統(tǒng)審計(jì)準(zhǔn)則和指南

　　在建設(shè)信息系統(tǒng)審計(jì)準(zhǔn)則體系時(shí)，對(duì)國(guó)際上已有的成文準(zhǔn)則、習(xí)慣做法、專業(yè)術(shù)語(yǔ)，應(yīng)當(dāng)盡可能與國(guó)際慣例保持一致，盡量做到與國(guó)際慣例接軌。可以采用三個(gè)層次體系結(jié)構(gòu)，以基本準(zhǔn)則為核心，統(tǒng)領(lǐng)具體準(zhǔn)則和執(zhí)業(yè)指南，從而使整個(gè)準(zhǔn)則體系不斷擴(kuò)展與完善。

　　1.信息系統(tǒng)審計(jì)基本準(zhǔn)則可主要包括：信息系統(tǒng)審計(jì)內(nèi)容、信息系統(tǒng)審計(jì)獨(dú)立性、信息系統(tǒng)審計(jì)職業(yè)道德、信息系統(tǒng)審計(jì)準(zhǔn)入等方面。

　　2.具體準(zhǔn)則在基本準(zhǔn)則的指導(dǎo)下可還包含以下內(nèi)容：

　?。?）信息系統(tǒng)環(huán)境及系統(tǒng)開發(fā)過程的準(zhǔn)則，如對(duì)硬件、軟件、系統(tǒng)的安全性和可靠性及合法性，系統(tǒng)的開發(fā)過程、運(yùn)行控制及維護(hù)控制的審查等。

　　（2）信息系統(tǒng)內(nèi)部控制評(píng)價(jià)的準(zhǔn)則，如對(duì)操作范圍控制、人員權(quán)限控制、合法性控制、校驗(yàn)控制及預(yù)防出錯(cuò)控制系統(tǒng)，進(jìn)行符合性測(cè)試及評(píng)價(jià)。

　?。?）信息系統(tǒng)輸入輸出及處理的檔案和數(shù)據(jù)的符合性和實(shí)質(zhì)性測(cè)試準(zhǔn)則，對(duì)其可靠性、完整性、合法性、有效性、全面性的審查和評(píng)價(jià)。

　?。?）信息系統(tǒng)審計(jì)證據(jù)的準(zhǔn)則，確定取得審計(jì)證據(jù)的時(shí)間、審計(jì)證據(jù)樣本的大小等。

　　（5）信息系統(tǒng)審計(jì)保密準(zhǔn)則，明確信息系統(tǒng)審計(jì)方式下的審計(jì)人員承擔(dān)保密責(zé)任，有針對(duì)性地制定電子數(shù)據(jù)保密規(guī)范，與被審計(jì)單位形成互有權(quán)責(zé)義務(wù)的保密協(xié)議，避免審計(jì)風(fēng)險(xiǎn)，增強(qiáng)審計(jì)效果。

　　3.指南可以包含，信息系統(tǒng)審計(jì)計(jì)劃、信息系統(tǒng)審計(jì)的重要性、信息系統(tǒng)審計(jì)的風(fēng)險(xiǎn)評(píng)估辦法、信息系統(tǒng)審計(jì)取證、信息系統(tǒng)審計(jì)抽樣、信息系統(tǒng)控制、應(yīng)用系統(tǒng)評(píng)審辦法、信息系統(tǒng)審計(jì)報(bào)告等。

　?。ㄈ┙⒔∪畔⑾到y(tǒng)審計(jì)標(biāo)準(zhǔn)

　　從國(guó)際信息系統(tǒng)審計(jì)的實(shí)踐看，COBIT標(biāo)準(zhǔn)已經(jīng)逐步成為通行準(zhǔn)則。我們應(yīng)遵循國(guó)際標(biāo)準(zhǔn)或規(guī)范，以COBIT標(biāo)準(zhǔn)為核心，同時(shí)借鑒ISO／IEC17799、ITIL、PRINCE2、COSO、SOX法案等其他國(guó)際標(biāo)準(zhǔn)和原則，進(jìn)而確立適合自己的信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)。包括審計(jì)人員應(yīng)具有的能力、應(yīng)掌握的技能、應(yīng)參加的培訓(xùn)、現(xiàn)場(chǎng)作業(yè)標(biāo)準(zhǔn)等。

　　三、構(gòu)建信息系統(tǒng)審計(jì)的法規(guī)準(zhǔn)則保障體系的意義

　?。ㄒ唬┰谛畔⑾到y(tǒng)審計(jì)中進(jìn)一步強(qiáng)化以《憲法》為根本依據(jù)，以審計(jì)法及其實(shí)施條例為核心內(nèi)容，以審計(jì)準(zhǔn)則等規(guī)章為基礎(chǔ)的審計(jì)法律法規(guī)體系。

　?。ǘ┌凑招畔⑾到y(tǒng)審計(jì)自身發(fā)展規(guī)律，不斷完善現(xiàn)有的審計(jì)法律法規(guī)體系和準(zhǔn)則體系，以新的體系指導(dǎo)和規(guī)范信息系統(tǒng)審計(jì)的實(shí)踐以及解決審計(jì)活動(dòng)中出現(xiàn)的新情況、新問題和新糾紛。

　?。ㄈ﹫?jiān)持審計(jì)準(zhǔn)則是審計(jì)工作應(yīng)遵循的規(guī)范和尺度，是評(píng)價(jià)審計(jì)工作質(zhì)量的權(quán)威性規(guī)則，提高審計(jì)質(zhì)量和效率，降低審計(jì)風(fēng)險(xiǎn)。

　?。ㄋ模﹫?jiān)持獨(dú)創(chuàng)與沿襲傳統(tǒng)相統(tǒng)一，充分利用和維護(hù)已有的適應(yīng)于審計(jì)的維系共同利益的法律體系，充分體現(xiàn)審計(jì)獨(dú)立性，確保信息系統(tǒng)審計(jì)將更加規(guī)范，更有保障。