一、信息系統(tǒng)審計實踐中審計法規(guī)準則的現(xiàn)況

　?。ㄒ唬┪覈畔⑾到y(tǒng)審計相關法規(guī)準則的現(xiàn)狀

　　我國在傳統(tǒng)審計業(yè)務方面已經(jīng)建成了一套比較成熟規(guī)范的法規(guī)、準則體系，但在信息系統(tǒng)審計方面還沒有形成系統(tǒng)的法規(guī)、準則和技術標準體系。

　　1.國內已頒布制定的信息系統(tǒng)審計相關法律、法規(guī)

　　（1） 第十屆全國人民代表大會常務委員會2006年修正的《中華人民共和國審計法》第三十二條。

　?。?） 國務院1997年頒布的《中華人民共和國審計法實施條例》第三十條。

　?。?） 審計署1996年頒布了《審計機關計算機輔助審計方法》。

　　（4） 中國注冊會計師協(xié)會1999 年頒布了《獨立審計具體準則第 20 號——計算機信息系統(tǒng)環(huán)境下的審計》。

　　（5） 審計署2000年《審計機關審計證據(jù)準則》第三條明確規(guī)定被審計單位電子數(shù)據(jù)資料屬審計證據(jù)。

　?。?） 國務院辦公廳2001年頒發(fā)了《關于利用計算機信息系統(tǒng)開展審計工作有關問題的通知》。

　?。?） 江蘇省政府辦公廳2002年轉發(fā)《國務院辦公廳關于利用計算機信息系統(tǒng)開展審計工作有關問題的通知》的通知。

　?。?） 中國內部審計協(xié)會2008年頒布了《內部審計具體準則第28號——信息系統(tǒng)審計》。

　　2.國內信息系統(tǒng)審計可參照的相關信息技術法規(guī)、標準

　　（1） 《中華人民共和國保守國家秘密法》

　?。?） 《中華人民共和國計算機信息系統(tǒng)安全保護條例》

　?。?） 《計算機信息系統(tǒng)安全保護等級劃分準則》以及與之配套的《計算機信息系統(tǒng)安全保護等級劃分準則應用指南》和《計算機信息系統(tǒng)安全保護等級評估準則》。

　?。?） 《國家信息化領導小組關于加強信息安全保障工作的意見》

　?。?） 《關于加強信息安全保障工作中保密管理的若干意見的通知》

　?。?） 《信息安全等級保護管理辦法》

　?。?） 《計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》

　　（8） 《銀行業(yè)金融機構信息系統(tǒng)風險管理指引》

　?。?） 《信息系統(tǒng)通用安全技術要求、網(wǎng)絡基礎安全技術要求、操作系統(tǒng)安全技術要求》等國標技術標準。

　　3.審計署對信息系統(tǒng)審計相關法規(guī)、準則的規(guī)劃及研究

　　（1） 金審工程一期的標準規(guī)范建設中明確了“制定金審工程需要的審計準則、審計操作指南、審計機關、審計事項等標準。”

　　（2） 審計署在《2003至2007年審計信息化發(fā)展規(guī)劃》中就明確提出要積極探索信息系統(tǒng)審計。

　?。?） 審計署在《2008至2012年審計工作發(fā)展規(guī)劃》中提出“加強審計信息化制度建設和規(guī)范建設。建立健全計算機審計標準規(guī)范，總結形成計算機審計方法體系和操作制度體系”。

　?。?） 審計署在《2009至2010年9項重點科研課題》中將“信息系統(tǒng)審計指南，定向委托審計署計算機技術中心”進行研究。

　　（二）國外信息系統(tǒng)審計的相關準則

　　美國 EDP 審計師協(xié)會 1984 年發(fā)布的《EDP 控制的目標》及1987 年發(fā)布了《信息系統(tǒng)審計的基本準則》，日本通產(chǎn)省在 1985 年發(fā)表了《IT 審計標準》，美國的可信計算機系統(tǒng)評估準則(TCSEC)，以及英國、法國、德國和荷蘭共同提出的《信息技術安全評估準則》( ITSEC)，基梅隆大學軟件工程協(xié)會發(fā)布的能力成熟度集成模型CMMI（Capability Maturity Model Integration。

　?。ㄈ﹪鴥痊F(xiàn)有法規(guī)、標準的缺陷和不足

　　1.現(xiàn)有的部分法規(guī)、標準只是在計算機審計的基礎方面進行了一些簡單的規(guī)定，沒有實質性的解決方案，在審計實踐中很難推廣。

　　2.對會計信息系統(tǒng)外的管理和決策系統(tǒng)的審計，授權不明確嚴重影響信息系統(tǒng)審計工作的開展。

　　3.信息系統(tǒng)法規(guī)、審計準則和審計指南的缺失，不利于規(guī)范和指導信息系統(tǒng)審計實踐，不利于衡量和評價信息系統(tǒng)審計工作質量，也不利于防范和規(guī)避信息系統(tǒng)審計風險。

　　4.審計準入標準缺失，審計水皮參差不齊，信息系統(tǒng)審計人員總體審計能力不強。

　　二、構建信息系統(tǒng)審計的法規(guī)準則保障體系

　　信息系統(tǒng)審計發(fā)展到一定階段，必須將實踐經(jīng)驗加以總結，并把有關概念、工作流程和技術方法固定、統(tǒng)一起來，形成法規(guī)、準則及指南，這是信息系統(tǒng)審計進一步發(fā)展的基礎，這也是所有行業(yè)發(fā)展的共同規(guī)律。沒有標準和規(guī)范，所有的實踐活動只能局限在低水平上重復。目前我國尚沒有一套完整的、成熟的信息系統(tǒng)審計法規(guī)，也缺少具備實際指導意義的相關審計準則和操作指南。

　?。ㄒ唬┘涌熘贫ê托薷倪m應信息系統(tǒng)審計需要的法律法規(guī)

　　1.明確信息系統(tǒng)審計中的權利與義務

　　要在法律法規(guī)上進一步明確信息系統(tǒng)審計中審計機構的權力，如有權審查被審計算機的信息系統(tǒng)的功能與安全措施，有權利用網(wǎng)絡和審計軟件進行審計，明確被審計單位的責任和的義務如被審單位應對審計人員的信息系統(tǒng)審計給予哪些協(xié)助。

　　2.明確審前調查為一個審計階段

　　考慮到實踐中審前調查需要做大量的數(shù)據(jù)分析工作，為突出其作可否以實施實際的數(shù)據(jù)分析為標準將審計階段接劃分為四個階段，即審計準備階段、審前調查階段、審計實施階段和審計報告階段。

　　3.明確電子數(shù)據(jù)審計證據(jù)的法律效力

　　目前審計要求被審計單位將計算機記錄的數(shù)據(jù)都要打印到紙張上，并由簽章，方可作為審計的法律依據(jù)。應盡快制定電子會計數(shù)據(jù)作為與紙張記載的數(shù)據(jù)具有同等法律效力的法律。同時對審計對象的電子數(shù)據(jù)，進行的轉換、清理和驗證，建立審計中間表等過程中出現(xiàn)的數(shù)據(jù)采集轉換風險應加以定義。

　　4.明確信息系統(tǒng)審計程序代碼復核制度

　　在審計機關內部設立計算機程序復核部門，由其對數(shù)據(jù)計算方法和數(shù)據(jù)處理流程進行審核，以確保程序編制科學合理，據(jù)之得出的審計數(shù)據(jù)可靠無誤，可以作為審計證據(jù)使用。

　?。ǘ┍M快建立信息系統(tǒng)審計準則和指南

　　在建設信息系統(tǒng)審計準則體系時，對國際上已有的成文準則、習慣做法、專業(yè)術語，應當盡可能與國際慣例保持一致，盡量做到與國際慣例接軌?？梢圆捎萌齻€層次體系結構，以基本準則為核心，統(tǒng)領具體準則和執(zhí)業(yè)指南，從而使整個準則體系不斷擴展與完善。

　　1.信息系統(tǒng)審計基本準則可主要包括：信息系統(tǒng)審計內容、信息系統(tǒng)審計獨立性、信息系統(tǒng)審計職業(yè)道德、信息系統(tǒng)審計準入等方面。

　　2.具體準則在基本準則的指導下可還包含以下內容：

　?。?）信息系統(tǒng)環(huán)境及系統(tǒng)開發(fā)過程的準則，如對硬件、軟件、系統(tǒng)的安全性和可靠性及合法性，系統(tǒng)的開發(fā)過程、運行控制及維護控制的審查等。

　?。?）信息系統(tǒng)內部控制評價的準則，如對操作范圍控制、人員權限控制、合法性控制、校驗控制及預防出錯控制系統(tǒng)，進行符合性測試及評價。

　?。?）信息系統(tǒng)輸入輸出及處理的檔案和數(shù)據(jù)的符合性和實質性測試準則，對其可靠性、完整性、合法性、有效性、全面性的審查和評價。

　?。?）信息系統(tǒng)審計證據(jù)的準則，確定取得審計證據(jù)的時間、審計證據(jù)樣本的大小等。

　?。?）信息系統(tǒng)審計保密準則，明確信息系統(tǒng)審計方式下的審計人員承擔保密責任，有針對性地制定電子數(shù)據(jù)保密規(guī)范，與被審計單位形成互有權責義務的保密協(xié)議，避免審計風險，增強審計效果。

　　3.指南可以包含，信息系統(tǒng)審計計劃、信息系統(tǒng)審計的重要性、信息系統(tǒng)審計的風險評估辦法、信息系統(tǒng)審計取證、信息系統(tǒng)審計抽樣、信息系統(tǒng)控制、應用系統(tǒng)評審辦法、信息系統(tǒng)審計報告等。

　　（三）建立健全信息系統(tǒng)審計標準

　　從國際信息系統(tǒng)審計的實踐看，COBIT標準已經(jīng)逐步成為通行準則。我們應遵循國際標準或規(guī)范，以COBIT標準為核心，同時借鑒ISO／IEC17799、ITIL、PRINCE2、COSO、SOX法案等其他國際標準和原則，進而確立適合自己的信息系統(tǒng)審計標準。包括審計人員應具有的能力、應掌握的技能、應參加的培訓、現(xiàn)場作業(yè)標準等。

　　三、構建信息系統(tǒng)審計的法規(guī)準則保障體系的意義

　?。ㄒ唬┰谛畔⑾到y(tǒng)審計中進一步強化以《憲法》為根本依據(jù)，以審計法及其實施條例為核心內容，以審計準則等規(guī)章為基礎的審計法律法規(guī)體系。

　　（二）按照信息系統(tǒng)審計自身發(fā)展規(guī)律，不斷完善現(xiàn)有的審計法律法規(guī)體系和準則體系，以新的體系指導和規(guī)范信息系統(tǒng)審計的實踐以及解決審計活動中出現(xiàn)的新情況、新問題和新糾紛。

　?。ㄈ﹫猿謱徲嫓蕜t是審計工作應遵循的規(guī)范和尺度，是評價審計工作質量的權威性規(guī)則，提高審計質量和效率，降低審計風險。

　　（四）堅持獨創(chuàng)與沿襲傳統(tǒng)相統(tǒng)一，充分利用和維護已有的適應于審計的維系共同利益的法律體系，充分體現(xiàn)審計獨立性，確保信息系統(tǒng)審計將更加規(guī)范，更有保障。