一、信息系統審計實踐中審計法規(guī)準則的現況

　?。ㄒ唬┪覈畔⑾到y審計相關法規(guī)準則的現狀

　　我國在傳統審計業(yè)務方面已經建成了一套比較成熟規(guī)范的法規(guī)、準則體系，但在信息系統審計方面還沒有形成系統的法規(guī)、準則和技術標準體系。

　　1.國內已頒布制定的信息系統審計相關法律、法規(guī)

　　（1） 第十屆全國人民代表大會常務委員會2006年修正的《中華人民共和國審計法》第三十二條。

　　（2） 國務院1997年頒布的《中華人民共和國審計法實施條例》第三十條。

　?。?） 審計署1996年頒布了《審計機關計算機輔助審計方法》。

　?。?） 中國注冊會計師協會1999 年頒布了《獨立審計具體準則第 20 號——計算機信息系統環(huán)境下的審計》。

　?。?） 審計署2000年《審計機關審計證據準則》第三條明確規(guī)定被審計單位電子數據資料屬審計證據。

　?。?） 國務院辦公廳2001年頒發(fā)了《關于利用計算機信息系統開展審計工作有關問題的通知》。

　?。?） 江蘇省政府辦公廳2002年轉發(fā)《國務院辦公廳關于利用計算機信息系統開展審計工作有關問題的通知》的通知。

　　（8） 中國內部審計協會2008年頒布了《內部審計具體準則第28號——信息系統審計》。

　　2.國內信息系統審計可參照的相關信息技術法規(guī)、標準

　?。?） 《中華人民共和國保守國家秘密法》

　?。?） 《中華人民共和國計算機信息系統安全保護條例》

　?。?） 《計算機信息系統安全保護等級劃分準則》以及與之配套的《計算機信息系統安全保護等級劃分準則應用指南》和《計算機信息系統安全保護等級評估準則》。

　?。?） 《國家信息化領導小組關于加強信息安全保障工作的意見》

　?。?） 《關于加強信息安全保障工作中保密管理的若干意見的通知》

　　（6） 《信息安全等級保護管理辦法》

　?。?） 《計算機信息系統安全專用產品檢測和銷售許可證管理辦法》

　　（8） 《銀行業(yè)金融機構信息系統風險管理指引》

　?。?） 《信息系統通用安全技術要求、網絡基礎安全技術要求、操作系統安全技術要求》等國標技術標準。

　　3.審計署對信息系統審計相關法規(guī)、準則的規(guī)劃及研究

　?。?） 金審工程一期的標準規(guī)范建設中明確了“制定金審工程需要的審計準則、審計操作指南、審計機關、審計事項等標準。”

　?。?） 審計署在《2003至2007年審計信息化發(fā)展規(guī)劃》中就明確提出要積極探索信息系統審計。

　?。?） 審計署在《2008至2012年審計工作發(fā)展規(guī)劃》中提出“加強審計信息化制度建設和規(guī)范建設。建立健全計算機審計標準規(guī)范，總結形成計算機審計方法體系和操作制度體系”。

　　（4） 審計署在《2009至2010年9項重點科研課題》中將“信息系統審計指南，定向委托審計署計算機技術中心”進行研究。

　　（二）國外信息系統審計的相關準則

　　美國 EDP 審計師協會 1984 年發(fā)布的《EDP 控制的目標》及1987 年發(fā)布了《信息系統審計的基本準則》，日本通產省在 1985 年發(fā)表了《IT 審計標準》，美國的可信計算機系統評估準則(TCSEC)，以及英國、法國、德國和荷蘭共同提出的《信息技術安全評估準則》( ITSEC)，基梅隆大學軟件工程協會發(fā)布的能力成熟度集成模型CMMI（Capability Maturity Model Integration。

　　（三）國內現有法規(guī)、標準的缺陷和不足

　　1.現有的部分法規(guī)、標準只是在計算機審計的基礎方面進行了一些簡單的規(guī)定，沒有實質性的解決方案，在審計實踐中很難推廣。

　　2.對會計信息系統外的管理和決策系統的審計，授權不明確嚴重影響信息系統審計工作的開展。

　　3.信息系統法規(guī)、審計準則和審計指南的缺失，不利于規(guī)范和指導信息系統審計實踐，不利于衡量和評價信息系統審計工作質量，也不利于防范和規(guī)避信息系統審計風險。

　　4.審計準入標準缺失，審計水皮參差不齊，信息系統審計人員總體審計能力不強。

　　二、構建信息系統審計的法規(guī)準則保障體系

　　信息系統審計發(fā)展到一定階段，必須將實踐經驗加以總結，并把有關概念、工作流程和技術方法固定、統一起來，形成法規(guī)、準則及指南，這是信息系統審計進一步發(fā)展的基礎，這也是所有行業(yè)發(fā)展的共同規(guī)律。沒有標準和規(guī)范，所有的實踐活動只能局限在低水平上重復。目前我國尚沒有一套完整的、成熟的信息系統審計法規(guī)，也缺少具備實際指導意義的相關審計準則和操作指南。

　?。ㄒ唬┘涌熘贫ê托薷倪m應信息系統審計需要的法律法規(guī)

　　1.明確信息系統審計中的權利與義務

　　要在法律法規(guī)上進一步明確信息系統審計中審計機構的權力，如有權審查被審計算機的信息系統的功能與安全措施，有權利用網絡和審計軟件進行審計，明確被審計單位的責任和的義務如被審單位應對審計人員的信息系統審計給予哪些協助。

　　2.明確審前調查為一個審計階段

　　考慮到實踐中審前調查需要做大量的數據分析工作，為突出其作可否以實施實際的數據分析為標準將審計階段接劃分為四個階段，即審計準備階段、審前調查階段、審計實施階段和審計報告階段。

　　3.明確電子數據審計證據的法律效力

　　目前審計要求被審計單位將計算機記錄的數據都要打印到紙張上，并由簽章，方可作為審計的法律依據。應盡快制定電子會計數據作為與紙張記載的數據具有同等法律效力的法律。同時對審計對象的電子數據，進行的轉換、清理和驗證，建立審計中間表等過程中出現的數據采集轉換風險應加以定義。

　　4.明確信息系統審計程序代碼復核制度

　　在審計機關內部設立計算機程序復核部門，由其對數據計算方法和數據處理流程進行審核，以確保程序編制科學合理，據之得出的審計數據可靠無誤，可以作為審計證據使用。

　?。ǘ┍M快建立信息系統審計準則和指南

　　在建設信息系統審計準則體系時，對國際上已有的成文準則、習慣做法、專業(yè)術語，應當盡可能與國際慣例保持一致，盡量做到與國際慣例接軌?？梢圆捎萌齻€層次體系結構，以基本準則為核心，統領具體準則和執(zhí)業(yè)指南，從而使整個準則體系不斷擴展與完善。

　　1.信息系統審計基本準則可主要包括：信息系統審計內容、信息系統審計獨立性、信息系統審計職業(yè)道德、信息系統審計準入等方面。

　　2.具體準則在基本準則的指導下可還包含以下內容：

　?。?）信息系統環(huán)境及系統開發(fā)過程的準則，如對硬件、軟件、系統的安全性和可靠性及合法性，系統的開發(fā)過程、運行控制及維護控制的審查等。

　　（2）信息系統內部控制評價的準則，如對操作范圍控制、人員權限控制、合法性控制、校驗控制及預防出錯控制系統，進行符合性測試及評價。

　　（3）信息系統輸入輸出及處理的檔案和數據的符合性和實質性測試準則，對其可靠性、完整性、合法性、有效性、全面性的審查和評價。

　?。?）信息系統審計證據的準則，確定取得審計證據的時間、審計證據樣本的大小等。

　?。?）信息系統審計保密準則，明確信息系統審計方式下的審計人員承擔保密責任，有針對性地制定電子數據保密規(guī)范，與被審計單位形成互有權責義務的保密協議，避免審計風險，增強審計效果。

　　3.指南可以包含，信息系統審計計劃、信息系統審計的重要性、信息系統審計的風險評估辦法、信息系統審計取證、信息系統審計抽樣、信息系統控制、應用系統評審辦法、信息系統審計報告等。

　?。ㄈ┙⒔∪畔⑾到y審計標準

　　從國際信息系統審計的實踐看，COBIT標準已經逐步成為通行準則。我們應遵循國際標準或規(guī)范，以COBIT標準為核心，同時借鑒ISO／IEC17799、ITIL、PRINCE2、COSO、SOX法案等其他國際標準和原則，進而確立適合自己的信息系統審計標準。包括審計人員應具有的能力、應掌握的技能、應參加的培訓、現場作業(yè)標準等。

　　三、構建信息系統審計的法規(guī)準則保障體系的意義

　?。ㄒ唬┰谛畔⑾到y審計中進一步強化以《憲法》為根本依據，以審計法及其實施條例為核心內容，以審計準則等規(guī)章為基礎的審計法律法規(guī)體系。

　　（二）按照信息系統審計自身發(fā)展規(guī)律，不斷完善現有的審計法律法規(guī)體系和準則體系，以新的體系指導和規(guī)范信息系統審計的實踐以及解決審計活動中出現的新情況、新問題和新糾紛。

　?。ㄈ﹫猿謱徲嫓蕜t是審計工作應遵循的規(guī)范和尺度，是評價審計工作質量的權威性規(guī)則，提高審計質量和效率，降低審計風險。

　?。ㄋ模﹫猿知殑?chuàng)與沿襲傳統相統一，充分利用和維護已有的適應于審計的維系共同利益的法律體系，充分體現審計獨立性，確保信息系統審計將更加規(guī)范，更有保障。