信息系统审计准则规定了信息系统审计人员在审计工作中应遵循的操作规范,同时也规定了信息系统审计工作应达到的质量要求。为保证信息系统审计工作能按照规范的要求执行,就必须制定相关的信息系统审计质量控制准则,对信息系统审计进行质量控制。在绝大多数国家,信息系统审计还末纳入到强制性审计的范畴,基本上还属于自愿性审计的范畴,也谈不上制定相关的信息系统审计质量控制准则,对信息系统审计进行质量控制。在现有的信息系统审计准则中,仅有ISACA在审计指南《审计章程》(g5)中粗略地对审计质量控制进行了阐述,不具有可操作性,对于指导审计人员进行质量控制还是远远不够的。随着信息技术在社会经济活动中的广泛应用以及审计人员素质的提高,信息系统必将纳入到强制性审计的范畴,制定信息系统审计质量控制准则也将提上日程。本文拟在借借鉴国外审计质量控制准则的基础上,研究我国信息系统审计质量控制准则的构建

刘杰

Xiamen University Institutional Repository

DOCTORAL FORUM博士论点·综合 2011 年第 5 期（上）信息系统审计质量控制准则研究贵州财经学院会计学院 刘 杰信息系统审计准则规定了信息系统审计人员在审计工作中应遵循的操作规范，同时也规定了信息系统审计工作应达到的质量要求。为保证信息系统审计工作能按照规范的要求执行，就必须制定相关的信息系统审计质量控制准则，对信息系统审计进行质量控制。在绝大多数国家，信息系统审计还末纳入到强制性审计的范畴，基本上还属于自愿性审计的范畴，也谈不上制定相关的信息系统审计质量控制准则，对信息系统审计进行质量控制。在现有的信息系统审计准则中，仅有ISA CA 在审计指南《审计章程》（G 5）中粗略地对审计质量控制进行了阐述，不具有可操作性，对于指导审计人员进行质量控制还是远远不够的。随着信息技术在社会经济活动中的广泛应用以及审计人员素质的提高，信息系统必将纳入到强制性审计的范畴，制定信息系统审计质量控制准则也将提上日程。本文拟在借借鉴国外审计质量控制准则的基础上，研究我国信息系统审计质量控制准则的构建。一、国外审计质量控制准则研究现状众所周之，美国是实施审计质量控制最早的国家。早在1978年，美国注册会计师协会专门成立了质量控制准则委员会（Q ualityControlStandards Com m ittee，以下简称Q CSC），负责颁布会计师事务所质量控制标准。该委员会于1979年11月发布了第1号质量控制公告《质量控制九要素》（SQ CS N o.1，A Q uality ControlSystem Con-sists ofN ine Elem ents），提出质量控制必须考虑的九个要素，以指导事务所建立合适的质量控制政策和程序。继1979年颁布SQ CSN O .1后，又陆续公布了SQ CS N O .2，SQ CS N O .3，SQ CS N O .4，SQ CSN O .5，SQ CS N O .6 和 SQ CS N O .7。SQ CS N O .7 （A Firm’s System s ofQ uality Control）于2007年由A ICPA 的审计准则委员会颁布，用于取代前面颁布的所有审计质量控制准则。SQ CS N O .7于2009年2月开始实施，其目标并不是与以前的质量控制准则完全不同，新的质量控制准则扩展了以前的质量控制准则。在SQ CS N o.7中，A ICPA 提出了审计质量控制的六要素，即对业务质量承担的领导责任（Leadership responsibilities forquality within the firm）；职业道德规范（R elevantethicalrequirem ents）；客户关系与具体业务的承接与续约 （A cceptance and continuance of client relationships and specificengagem ents）；人力资源（H um an resources）；业务执行（Engagem entperform ance）；监控（M onitoring）。为加强对事务所审计执行财务报告评审以及其它鉴证业务的质量控制，IFA C也于2009年颁布了《事务所审计、财务报告评审以及其它鉴证及相关业务的质量控制》（ISQ C N o.1，Q uality ControlforFirm s that Perform A udits and R eviews of Financial Statem ents andO ther A ssurance and R elated Services Engagem ents）准则，并于2009年12月15日开始实施。ISQ C N o.1同样提出了与SQ CS N o.7一样的质量控制六要素，ISQ C N o.1是审计师事务所为审计工作质量控制提供合理的保证，而应采取的控制方针和程序。在ISQ C N o.1的基础上，IFA C 根据ISQ C N o.1的质量控制六要素颁布了第220号国际审计准则《财务报告审计质量控制》（ISA 220，Q uality ControlforanA uditofFinancialStatem ents，2009），ISA 220是在假设事务所遵循了ISQ C N o.1要求的基础上专门针对财务报告审计的质量控制。由上述对ISQ C N o.1和ISA 220的阐述可知，ISQ C N o.1与ISA 220是宏观与微观的关系（如图1所示），两者并不能互相替代。ISQ C N o.1是ISA 220的基础，ISQ C N o.1全面阐述了事务所执行财务报告评审以及其它鉴证及相关业务的质量控制，具有普遍性，而ISA 220是具体到财务报告审计质量的控制，具有较强针对性。二、 国外审计质量控制准则对信息系统审计质量控制准则制定的启示A ICPA 与IFA C发布的审计质量控制准则提出了审计质量控制的诸多要素，这对于推动世界范围的审计质量控制起着相当重要的作用，但SQ CS N o.7、ISQ C N o.1与ISA 220主要是为满足财务审计质量控制的要求。这种审计质量控制准则的现状与其上级机构的性质存在着很强的联系，A ICPA 与IFA C 主要致力于财务会计准则的制定，信息系统审计是以财务审计为主线，其下属机构所发布的质量控制准则则主要是针对财务审计而言的。随着信息技术在企业经营管理中的广泛应用，A ICPA 与IFA C 在其质量控制准则中也考虑到信息技术对财务审计的影响，将信息技术对财务审计的影响融入到具体准则中，而颁布专门针对信息系统审计方面的质量控制准则则还有一段很长的路要走。信息系统的风险，同其它审计对象的风险相比，更具有隐蔽性，破坏性更强，舞弊手段及方法更为先进，若不采用严格的信息系统审计质量控制准则或措施，在信息系统审计过程中，审计人员即使忽视一段小程序代码的审计也可能导致整个信息系统的瘫痪，从而造成巨大的经济损失，如U T斯达康深圳分公司一位工程师利用管理上的漏洞，轻而易举地绕开了耗费1.2亿元建立起来的网络完全体系，侵入北京移动通信公司充值中心数据库，修改充值卡原始数据并窃取了充值卡密码，然后通过淘宝网和Q Q 向他人出售，致使北京移动通信公司损失近380万元；2008年，法国第二大银行——兴业银行的交易员杰罗斯·凯维埃尔侵入银行的计算机系统进行未经授权的交易导致该损失49亿欧元，这几乎等于该银行一年的总收入，这是历史上单个交易员所造成的最大一笔损失，超过了英国巴林银行交易员尼克·利森造成的14亿美元损失，而巴林银行因此破产。因此，对信息系统审计的质量控制应当更严格，忽视对信息系统审计质量的控制，不仅仅是让被审计过的信息系统成为一个巨大的“柠檬”，更为重要的是会为企业造成巨大的损失埋下隐患。以财务审计为主线的审计质量控制准则适用于信息系统审计138DOCTORAL FORUM博士论点·综合 2011 年第 5 期（上）图4 信息系统审计质量控制模型图时，存在着一定的缺陷，但ISQ C N o.1与SQ CS N o.7的质量控制六要素体现了系统论与控制论的观点 （如图2所示）。依据系统论的观点，审计活动可分为审计资源的输入、审计业务活动的执行与审计报告的出具三个过程。ISQ C N o.1与SQ CS N o.7的质量控制六要素分别嵌入到了这三个过程中。ISQ C N o.1与SQ CS N o.7通过对业务质量承担的领导责任、职业道德规范、客户关系与具体业务的承接与续约、人力资源等四个方面控制审计资源的输入，通过质量控制的要素业务执行控制审计业务活动的执行过程，对事务所质量控制的政策与程序进行监控，督促事务所对所执行的审计业务建立事前、事中和事后的质量控制体系。ISQ C N o.1与SQ CS N o.7所提出的质量控制六要素对于信息系统审计质量控制准则的制定有着十分重要的借鉴意义。在制定信息系统审计质量控制准则时，应当借鉴ISQ C N o.1与SQ CS N o.7的审计质量控制六要素，根据信息系统审计程序与内容制定和发布信息系统审计质量控制准则。同时，信息系统审计质量控制准则的制定需要专门的信息系统审计制定机构，如ISA CA ，应摆脱信息系统审计质量控制依附于传统财务审计质量控制准则的现状。以财务审计为主线的信息系统审计是在当前条件下信息系统审计人力、物力等资源匮乏情况下的理性选择，一旦这种“资源瓶劲”问题得到解决，信息系统审计将不再完全以财务审计为主线，而是与财务审计相辅相成，则信息系统审计质量控制准则的重要性就会凸现出来。依附于传统财务审计所制定信息系统审计质量控制准则针对性程度不高，不能全面、合理地考虑信息系统以及信息系统审计所具有的特殊性，我国在制定信息系统审计质量控制准则时应逐步摆脱这种质量控制准则的制定模式。三、我国信息系统审计质量控制准则的构建我国对信息系统的审计均出于“真实、合法、效益”审计目标，质量控制方面准则的重点都在财务审计方面，而对产生财务信息的信息系统进行审计的质量控制准则还处于空白状态。目前ISA CA 的精力也主要放在信息系统审计准则的制定上面，还未转移到质量控制准则的制定上来。我国1996年出台了《中国注册会计师质量控制基本准则》，虽然在准则中对全面质量控制与审计项目质量控制进行了阐述，但该准则只是一个总体性框架，原则性强、可操作性弱（叶少琴，2002）。随着我国的经济日渐融入全球经济的大潮，完善审计准则，加快国际趋同，已成为经济发展的必然要求。为同国际审计准则趋同，中注协于2006年将“中国注册会计师质量控制基本准则”改名为“会计师事务所质量控制准则”，并在会计师事务所质量控制准则中包含了质量控制的七要素，即：（1）事务所领导者的质量控制责任；（2）职业道德规范；（3）客户与特殊业务的承接与续约；（4）人力资源；（5）委托业务的执行；（6）业务工作底稿；（7） 监控。目前已发布《会计师事务所质量控制准则第5101号——业务质量控制》和《会计师事务所质量控制准则第1121号——财务报表审计的质量控制》。5101号审计准则是审计质量控制准则的基本准则，而1121号审计质量控制准则是在5101号审计质量控制准则的基础上制定的，专门针对历史财务信息审计的质量控制准则。我国在信息系统审计质量控制的架构方面同样也应采用基本准则——具体准则，具体准则主要制定针对某个具体审计项目的质量控制准则。中注协所颁布的第5101号质量控制准则借鉴了国际审计准则的质量控制六要素，体现了系统论与控制论的思想。信息系统审计是审计的一个特殊分支，在基本准则方面没有必要再浪费大量的人力、物力、财力去制定信息系统审计的基本准则，可以结合信息系统审计实践的要求继续采用和完善《会计师事务所质量控制准则第5101号——业务质量控制》的内容，对信息系统审计业务的承接、职业道德规范、领导者的质量控制责任、人力资源以及监控等质量控制要素进行阐述，同时也要对委托业务执行等质量控制要素进行阐述，防止在具体质量控制准则没有进行规范时形成信息系统审计质量控制的空白区域。结合信息系统审计的内容，我国信息系统审计质量控制的具体准则应当包括信息系统内部控制审计质量控制准则、系统生命周期审计质量控制准则、信息系统软硬件审计质量控制准则、信息系统安全审计质量控制准则以及信息系统绩效审计质量控制准则等（如图3所示）。139DOCTORAL FORUM博士论点·综合 2011 年第 5 期（上）审计质量包括内涵和外延两个部分，即审计实施中各个作业环节的工作质量和外在社会效益质量，前者指审计实施过程中各个环节应达到的标准，后者表现为三个方面：在国家宏观调控方面发挥作用；为廉政建设服务；为提高企业经营管理水平服务（王福正，1989）。审计工作质量是一个概念，要通过整个审计工作全过程的各个环节综合地反映出来。审计工作质量的好坏最终是体现在审计报告之中，对被审计单位的审计结论是否正确、适当和完整（李金华，1992）。信息系统审计的具体质量控制准则主要是阐述如何对审计工作进行质量控制，应该从过程和结果两个方面进行。信息系统审计过程的质量是指在信息系统审计业务执行过程中各项工作的优劣程度，对审计过程的质量控制主要体现在对信息系统审计业务执行过程中的各项工作的优劣程度进行控制。信息系统审计结果质量是指信息系统审计结果的可靠性，对被审计单位的审计结论是否正确、适当和完整。审计的最终结果主要体现在信息系统审计人员出具的信息系统审计报告及其提供的审计意见上，其质量控制主要是对信息系统审计人员所出具的信息系统审计报告及其审计意见进行质量控制。对信息系统审计质量控制的具体准则应当按照审计流程来设计审计质量控制准则与审计质量复核准则，包括审计计划阶段的质量控制与复核、审计实施阶段的质量控制与复核、审计报告的质量控制与复核以及后续审计的质量控制与复核（如图4所示）。按照这种方式设计的审计质量控制准则体现了系统论与控制论的思想，有利于建立事前、事中以及事后的质量控制体系，对信息系统审计项目的审计过程进行全面的质量控制。信息系统审计是一个相对较新的领域，对于信息系统审计准则的研究处于落后的境地，而对于信息系统审计控制准则的研究更是处于更加落后的境地，这势必会影响到我国信息系统审计实践的发展。因此，希望本文的研究在起到抛砖作用的同时，能对我国信息系统审计质量控制准则的构建起到有建设性的作用。参考文献：［1］陈耿、王万军：《信息系统审计》，清华大学出版社2009年版。［2］王砚书：《审计理论专题研究》，河北人民出版社2006年版。［3］刘杰：《我国信息系统审计规范体系研究》，厦门大学2010年博士学位论文。［4］ISQ C N o.1，Q uality C ontrol for Firm s that Perform A uditsand R eview sofFinancialStatem entsand O therA ssurance and R elatedServicesEngagem ents［S］．IFA C ，2009.［5］SQ C S N O .7，A Firm’s System s of Q uality C ontrol［S］．A IC PA ，2007.［6］ISA C A IS Standards，G uidelinesand Proceduresfor A uditingand C ontrolProfessionals［R ］．ISA C A ，2009．（作者系厦门大学博士）（编辑 余俊娟）随着信息技术的广泛应用，信息系统已经成为企业经营管理不可缺少的平台，信息技术在企业经营中发挥着越来越重要的作用。因此，IT治理理所当然成为公司治理的重要组成部分。ITIL与CO BIT作为世界公认的IT治理最佳实践，成为了事实上的IT治理标准，本文拟对ITIL v3与CO BIT4.1进行比较，为企业IT治理实践提供参考。一、ITIL v3生命周期理论分析ITIL（Inform ation Technology Infrastructure Library）即信息技术基础架构库。20世纪80年代，ITIL vl（ITIL第1版）由英国国家计算机和电信局（CCTA ，后来并入英国商务部）开发推出，初期的ITIL把重心放在系统管理上。2000年英国商务部 （O G C） 发布了ITIL v2（ITIL第2版），ITIL v2将重心放在了流程管理上，为IT服务管理提供所需要的流程管理实例。2007年5月31日，O G C 正式面向全球发布了ITIL v3（ITIL第3版）。这次修订是ITIL自问世以来最大规模的修订，不仅整合了ITIL vl与ITIL v2的精华，还融入了IT服务管理领域当前的最佳实践，增加了生命周期理论以及与其他标准和最佳实践的接口，并包含了更为丰富的实施资源。ITIL v3的核心架构是基于服务生命周期的，服务生命周期框架如图1所示。服务生命周期包括服务战略、服务设计、服务转换、服务运营和持续服务改进五个阶段。ITIL v3用生命周期框架将IT服务管理的各个流程有机地贯穿在一起，形成了一个有机整体。ITIL v3要求企业以服务战略为指导，从服务设计开始，通过服务转换，直至服务运营，整个过程井然有序，同时伴随着持续的服务改进，用以提高各个环节的服务水平。具体而言：（1）服务战略。服务战略是整个服务生命周期管理的轴心，驱动整个生命周期不停地运转。服务战略的目标是指导服务提供商培养以战略方式思考和执行的能力，以获得长期的成功运营和发展。服务战略可以指导企业如何将服务管理转化为战略资产，如何理清各种服务、系统和流程与所支持的业务模型、战略和目标之间的关系。服务战略的流程主要包括制定服务战略、财务管理、投资组合管理和需求管理等。（2）服务设计。服务设计是服务生命周期的一个重要阶段，并且是业务流程变更的一个重要环节。服务设计的目标在于：设计新的或变更的服务导入到生产环境中；确保设计的各方面都得到全盘考虑，使服务设计能够满足当前和未来的业务需求。服务设计的流程主要包括服务目录管理、服务级别管理、能力管理、可用性管理、IT服务连续性管理、信息安全管理和供应商管理等。（3）服务转换。服务转换的作用是交付业务需要的服务进入服务运营。服务转换通过接收服务设计阶段的服务设计包将业务需要的服务交付给运营阶段，进行服务运营与服务支持。服务转换最为关注的是执行服务的每一个方面，必须保证服务能在可预见的极端情况下和不正常ITIL 与 COBIT 比较研究广东金融学院 盛巧玲 吴炎太140

信息系统审计质量控制准则研究

http://dspace.xmu.edu.cn/bitstream/handle/2288/102767/%e4%bf%a1%e6%81%af%e7%b3%bb%e7%bb%9f%e5%ae%a1%e8%ae%a1%e8%b4%a8%e9%87%8f%e6%8e%a7%e5%88%b6%e5%87%86%e5%88%99%e7%a0%94%e7%a9%b6.pdf?sequence=1&isAllowed=y

信息系统审计质量控制准则研究

Abstract

Similar works

Full text

Available Versions

Xiamen University Institutional Repository