此后常年逃亡
【导读】相信新的一年到了,会有更多的小伙伴想要报考初级审计师考试。2020年初级审计师《审计理论与实务》考试大纲发布,明确了2020年中级会计职称初级审计师考试评价标准,广大考生可作为备考依据,跟随小编一起看看。
科目二 审计理论与实务
第一部分 审计理论与方法
一、总论
【初级资格考试要求】
(一)概述
1.掌握审计产生和发展的社会基础
2.掌握审计的独立性
3.熟悉审计、审计主体、审计客体、审计对象的基本内涵
4.了解国家审计、内部审计和社会审计的产生和发展
5.了解研究审计产生和发展的现实启迪
6.了解与其他经济监督相比,审计监督的特殊性
7.了解国内外有关审计独立性的表述
(二)审计的职能、地位和作用掌握审计的职能、地位和作用
(三)审计分类
1.掌握审计的分类及其内容和特点
2.了解审计分类的意义
3.了解各类审计的适用条件
二、审计组织与审计法律责任
【初级资格考试要求】
(一)国家审计机关
1.掌握国家审计机关的设置、基本任务、职责和权限
2.掌握国家审计人员的法律责任
3.了解国家审计机关的管辖范围
(二)内部审计机构
1.掌握内部审计机构的设置、职责和权限
2.熟悉内部审计人员的法律责任
3.了解内部审计结果的运用
(三)社会审计组织
1.掌握社会审计组织的设置和组织形式
2.掌握社会审计组织的权限
3.熟悉社会审计人员的法律责任
4.了解社会审计组织的业务范围
(四)防范法律责任风险的对策熟悉防范审计人员法律责任风险的对策
三、审计准则、质量控制标准和职业道德
【初级资格考试要求】
(一)审计准则
1.掌握审计准则的结构和作用
2.熟悉审计准则的产生、发展及其内涵
3.熟悉我国国家审计准则的概况和基本内容
4.熟悉我国内部审计准则
5.了解代表国际惯例的最高审计机关国际组织审计准则
6.了解国际内部审计师协会内部审计准则
7.了解代表国际惯例的国际会计师联合会国际审计准则
8.了解我国注册会计师执业准则
(二)审计质量控制标准
1.掌握审计质量和审计质量控制及其作用
2.掌握审计质量控制制度的要素
3.掌握审计质量控制的具体措施
(三)审计职业道德
1.掌握国家审计人员、内部审计人员以及社会审计人员职业道德的基本内容
2.熟悉审计职业道德的内涵和作用
四、审计目标和审计程序
【初级资格考试要求】
(一)审计目标
1.掌握审计目标在审计项目中的指导作用
2.掌握国家审计根本目标、内部审计和社会审计的总目标
3.熟悉审计目标的内涵
4.熟悉国家审计现实目标和直接目标
5.熟悉内部审计和社会审计的具体审计目标
(二)审计程序
1.熟悉国家审计的审计程序
2.了解内部审计的审计程序
3.了解社会审计的审计程序
五、审计标准、审计证据、审计工作底稿
【初级资格考试要求】
(一)审计标准
1.掌握审计标准的特点
2.掌握审计标准的分类
3.掌握审计标准的选用原则
(二)审计证据
1.掌握审计证据的作用
2.掌握审计证据的分类
3.掌握审计证据的质量特征
4.了解审计证据决策的处理过程和影响审计证据决策的因素
(三)审计工作底稿
1.掌握审计工作底稿的作用、基本要素和编制要求
2.了解审计工作底稿的分类和审核
六、审计取证方法
【初级资格考试要求】
(一)审计取证模式熟悉账目基础审计法、制度基础审计法、风险基础(导向)审计法的基本内涵及演变
(二)审计取证的基本方法熟悉审计取证的基本方法:顺查法和逆查法、详查法和抽查法
(三)审计取证的具体方法掌握取证的具体方法:检查、观察、询问、外部调查、重新计算、重新操作及分析
七、内部控制及其测试
【初级资格考试要求】
(一)内部控制概述
1.掌握内部控制的作用和局限性
2.掌握内部控制的种类
(二)内部控制要素熟悉内部控制的要素:控制环境、风险评估、控制活动、信息与沟通、对控制的监督
(三)内部控制测试
1.掌握内部控制测试的步骤和方法
2.掌握调查了解内部控制和记录内部控制的方法
3.熟悉对内部控制进行初步评价和再评价的内容
4.熟悉内部控制测试和实质性程序的关系
5.了解内部控制测试的作用
6.了解内部控制测试结果的利用
八、审计抽样
中级要求
九、审计报告
【初级资格考试要求】
(一)审计报告概述
掌握审计报告的基本内涵和作用
(二)国家审计的审计报告
1.掌握国家审计报告的基本要素、主要内容和撰写要求
2.熟悉审计结果公布的主要内容
3.熟悉审计决定书的运用以及审计处理、处罚的种类
4.熟悉审计结果报告和审计工作报告的主要内容
5.了解国家审计报告和审计决定书的编审程序
(三)内部审计的审计报告
1.熟悉内部审计报告的基本要素
2.了解内部审计报告的编制和复核
(四)社会审计的审计报告
1.熟悉社会审计报告的主要内容
2.了解社会审计报告的类型
十、绩效审计
【初级资格考试要求】
(一)绩效审计概述
1.熟悉绩效审计的内涵
2.熟悉绩效审计的特点
(二)绩效审计程序了解绩效审计程序各个阶段的相关内容
(三)绩效审计方法了解绩效审计中常用的数据(信息)收集方法和数据(信息)分析方法
十一、计算机审计
【初级资格考试要求】
(一)计算机审计概述熟悉计算机审计的基本过程以及计算机对审计的影响
十二、审计管理
【初级资格考试要求】
(一)审计管理概述
掌握审计管理的内容、特征和主客体
(二)审计计划管理
1.掌握审计计划管理的基本内涵
2.熟悉审计计划的种类
3.了解审计计划管理的内容
(三)审计质量管理
1.掌握审计质量管理的意义
2.熟悉审计质量管理的内容与方式
3.了解审计质量管理的方法
(四)审计风险管理
1.掌握审计风险的种类
2.熟悉审计风险的控制方法
(五)审计档案管理了解审计档案管理的职责和内容
(六)审计管理的基础工作了解审计管理的基础工作
第二部分 企业财务审计
一、销售与收款循环审计
【初级资格考试要求】
(一)销售与收款循环概述
1.掌握销售与收款循环的内部控制
2.熟悉销售与收款循环的业务流程
3.熟悉销售与收款循环的主要风险
(二)销售与收款循环内部控制测试掌握销售与收款循环内部控制测试的步骤与方法
(三)销售与收款循环审计目标和方法
1.掌握营业收入审计目标和方法
2.掌握应收票据及应收账款审计目标和方法
3.熟悉销售与收款循环中其他应交税费、预收账款、营业成本与销售费用、其他业务与支出等其他相关账户审计目标与方法
二、采购与付款循环审计
【初级资格考试要求】
(一)采购与付款循环概述
1.掌握采购与付款循环的内部控制
2.熟悉采购与付款循环的业务流程
3.熟悉采购与付款循环的主要风险
(二)采购与付款循环内部控制测试掌握采购与付款循环内部控制测试的步骤与方法
(三)采购与付款循环审计目标和方法
1.掌握应付票据及应付款项审计目标和方法
2.掌握固定资产审计目标和方法
三、生产与存货循环审计
【初级资格考试要求】
(一)生产与存货循环概述
1.掌握生产与存货循环的内部控制
2.熟悉生产与存货循环的业务流程
3.熟悉生产与存货循环的主要风险
(二)生产与存货循环内部控制测试掌握生产与存货循环内部控制测试的步骤与方法
(三)生产与存货循环审计目标和方法
1.掌握存货审计目标和方法
2.了解产品成本审计目标和方法
四、货币资金审计
【初级资格考试要求】
(一)货币资金概述
1.掌握货币资金的内部控制
2.熟悉货币资金的业务流程
3.熟悉货币资金的主要风险
(二)货币资金内部控制测试掌握货币资金内部控制测试的步骤与方法
(三)货币资金审计目标和方法
1.掌握现金与银行存款审计目标和方法
2.了解外币业务与其他业务资金的审计目标和方法
五、财务报告审计
【审计师资格考试要求】
【初级资格考试要求】
(一)财务报告审计目标和内部控制
1.熟悉财务报告审计目标
2.熟悉财务报告内部控制
3.了解财务报告舞弊的关键信号
(二)个别财务报表审计
1.了解资产负债表审计的内容与方法
2.了解利润表和所有者权益(或股东权益)变动表审计的内容与方法
3.了解现金流量表审计的内容与方法
4.了解财务报表附注审计的主要内容
就目前来看的话初级审计师考试大纲每年变化都不大,还是两个科目,客观题。想要报名初级审计师考试的小伙伴们就请你们多多关注初级审计师考试的动态了,尽早决定,趁早备考,这样考通关的几率更加大哦。
我的向日葵只为你开放我的红玫瑰只为你凋谢
内部审计在规范企业经济活动、揭露企业经济违法违纪事件、参与企业决策,评价企业的风险管理、控制及治理状况,提高企业的运作效率和经济效益等方面发挥了重要的作用,内审工作质量和风险的高低,取决于内审人员开展工作的能力、所付出的努力以及真实报告审计查证事项的意愿。其中,开展内审工作的能力受制于内审人员的专业判断能力、审计程序、审计技术方法等,所付出的努力以及真实报告审计查证事项的意愿,则取决于内审人员的职业道德素养。因此,正确认识内部审计职业道德内涵,不断加强内部审计职业道德教育,是提高审计质量、规避审计风险的必然要求。当前企业内部审计机构必须着力抓好内审人员职业道德教育,培养内审人员优秀的品质和职业素养,以更好的适应内审工作发展的需要。内部审计职业道德是在长期的内部审计实践活动中形成的、内部审计从业人员应当遵守的各种行为规范的总和,是对内部审计从业人员的道德意识、道德修养等所作的基本要求。笔者认为,内部审计职业道德应涵盖敬业爱岗、正直廉洁、客观公正、保守秘密、好学进取等五个方面。 一、敬业爱岗 敬业爱岗是内审人员的职业定位,是做好内审工作的前提条件。内审人员应热爱自己所从事的本职工作,维护职业的尊严,忠于职守,自觉地承担本职业对社会和企业的责任和义务。内审人员工作繁重,照顾不了家庭。在这种情况下,强调敬业爱岗,提倡干一行,爱一行,钻一行,对稳定审计干部队伍,不断发展审计事业具有十分重要的意义。因此必须要求内审人员把内部审计事业与维护国家财经纪律、保障企业经济平稳运行、维护企业员工切身利益联系起来,树立为内部审计事业献身的思想,热爱审计,并为此不断追求、努力奋斗。 二、正直廉洁 正直廉洁是保持内部审计独立性、公正性和权威性的必然要求,只有始终严守审计廉洁纪律,不给违法乱纪者以可乘之机,内部审计的职能才能得到充分的发挥。内部审计机构不管钱、不管物,是名副其实的“清水衙门”,内审人员应当遵守国家法律、法规,遵守《审计法》、《中国内部审计准则》及中国内部审计协会制定的各项规定;应当诚实、勤奋并负责地完成各项内审工作;应当自觉地抵制非法金钱与福利的诱惑;不得获取任何可能有损职业判断利益;不得从事损害国家利益、组织利益和内部审计职业荣誉的活动。 三、客观公正 客观公正是内审工作的基本准则。内审人员在获取审计证据的过程中,必须牢牢把握证据的客观性、相关性、有效性、证明性和充分性;在对审计事项进行分析、判断的过程中,必须坚决避免被审计对象和有关利害关系的干扰,也不受个人好恶的影响;在反映审计查证事实的过程中,应当不偏不倚地对待有关利益各方,包括国家的利益、企业的利益、职工的利益以及个人的利益;在做出审计结论的过程中必须严格按照法律、法规和规范性文件衡量是非、客观评价。 四、保守秘密 保守秘密是内审工作的职业纪律。内审人员在工作的需要决定了内部审计过程不可避免地会接触到企业的商业秘密等,内审人员应负有保守秘密的义务,应当谨慎使用和保护在内审工作中获取的信息;不应当为个人目的,或者以任何有悖于法律或有害于行业的合法道德目标而利用信息。 五、好学进取 好学进取是内审人员胜任内审工作的保证。现代内审工作更加强调内审人员的知识性、专业性和综合性。内审人员必须好学进取,勇于接受挑战,不断进行知识更新,实践最新的内审理论和方法,积累更多的内审经验和技巧,努力做到如下几点,才能胜任内审工作。 1、熟悉和掌握企业的控制环境和管理程序。 2、掌握发现舞弊线索所需的各方面足够的知识,比如审计、财务、金融、税收、工程、法律、统计、计算机、管理学等。 3、具备警惕可能影响企业目标、经营或资源的重大风险的能力,能保持应有的职业谨慎,并合理使用职业判断。 4、 应具有较强的人际交往能力,妥善处理好与企业内外相关机构和人士的关系。 5、应不断接受后续教育,更新知识结构,提高服务质量。
蓝尘情歌
一、引言
信息系统审计(IS Audit)的概念最早出现于20世纪60年代,会计电算化的发展使得审计人员开始关注电子数据的采集、分析与处理,被人们称为EDP审计,这是信息系统审计的早期萌芽。20世纪90年代,信息系统日益复杂,如何保障信息系统的安全、可靠和有效变得越来越重要,信息系统审计开始在美、日、澳、英等国普及起来。2001年,国家审计署将注册信息系统审计师(CISA)考试引入我国,十余年来各行各业都开展了如火如荼的信息系统审计实践。准则是审计工作的基本规范,信息系统审计准则是信息系统审计师共同遵循的标准,对于促进信息系统审计行业发展具有重要意义。日本通产省 (Ministry of Economy Trade and Industry,简称METI)早在1985年就颁布了信息系统审计准则,还成立了日本系统审计师协会 (JSSA)。
美国也成立了信息系统审计与控制协会(ISACA),制定和颁布了一系列信息系统审计准则指南,并在全球
范围内应用推广。我国审计署以实务公告形式颁布了《信息系统审计指南》,中国内部审计协会也以具体准则形式颁布了信息系统审计准则,为规范我国的信息系统审计实践提供了重要参考。然而,由于信息系统审计的技术复杂性,以及我国信息化发展的阶段特征等客观原因,目前我国的信息系统审计理论与实务研究都尚处于百花争放时期,关于信息系统审计对象、范围和目标等基础概念的理解众口不一,更是缺少系统化的信息系统审计准则体系,严重制约了我国信息系统审计行业的发展。
二、信息系统审计概念内涵
信息系统审计概念,国内外尚没有统一定义。美国著名学者Ron A·Weber认为,IS审计是一个获取证据,对信息系统是否能保证资产的安全,数据的完整,以及是否有效的使用了组织资源并有效地实现了组织目标做出评价和判断的过程。该定义得到较为广泛的流传,印度审计署颁布的IT审计手册也采用了该定义。ISACA协会则认为,信息系统审计是一个搜集和评估证据过程,以确定信息系统和相关资源是否受到充分保护、是否能保障数据和系统的完整性、是否能提供相关和可靠信息、是否有效使用组织资源以实现组织目标,并建立了有效内部控制体系可以合理保障组织运营和控制目标。日本通产省(METI)在1996年修订了信息系统审计准则,指出信息系统审计是为了信息系统的安全、可靠与有效,由独立于审计对象的IT审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合检查与评价,向IT审计对象的最高领导,提出问题与建议的一连串的活动。中国内审协会颁布的《中国内部审计具体准则28号——信息系统审计》中指出,信息系统审计是指由组织内部审计机构及人员对信息系统及其相关的信息技术内部控制和流程开展的一系列综合检查、评价与报告活动。国家审计署颁布的《信息系统审计指南———计算机审计实务公告第34号》认为,信息系统审计是指国家审计机关依法对被审计单位信息系统的真实性、合法性、效益性和安全性进行检查监督的活动。
上述定义有差异,也有共同之处,本文从审计目标、审计对象和审计内容这些概念进行了对比分析。
目前学术界和业界对于信息系统审计的对象有较为统一认识,但学者们对审计目标、审计内容的理解存在较大分歧。信息系统审计是源于信息系统和审计理论的新兴交叉学科,观点分歧代表了信息系统审计的不同定位。日本的信息系统审计师考试是一种全国信息处理人员水平考试,因此日本信息系统审计强调对信息技术和软件规划开发等内容的审计,并不提及审计师的专业判断;其它观点多出自审计师视角,审计师们通常更多关注控制与风险,所以审计内容通常是一般控制和应用控制审计等;另外,审计又区分为国家审计,社会审计与内部审计,有着不同业务领域性质与要求,导致各领域对信息系统审计目标理解的多样化。
基于上述讨论,本文提出信息系统审计是审计主体遵循一定标准规范搜集与评估证据,判断信息系统及相关资产的安全性、可靠性和有效性,提出审计意见与建议,促进被审计单位信息系统实现组织目标的行为。从该定义可知,信息系统审计的对象是系统及相关资产,主要包括计算机硬件、软件、网络基础设施、数据、人和相关管理制度。信息系统审计有三大目标:安全性、可靠性和有效性。其中,系统安全性是指信息系统资源是否受到妥善保护,不因自然和人为的因素而遭到破坏、更改或者泄露系统中的信息。系统可靠性包括三个方面的内涵:硬件、软件和数据的可靠性。硬件的可靠性是指在一个指定的时间周期内,在给定的'控制条件下,硬件系统执行所需功能的成功概率。软件的可靠性是指在运行环境中,在规定的运行时间内或规定的运行次数下,程序和所有数据元素运行不同测试用例的无差错概率。数据的可靠性是指数据的真实、准确和完整,它取决于系统对数据的处理过程是否准确无误,以及确保数据可靠的控制措施是否有效。系统有效性也有三方而的内涵:一是指信息系统的处理过程是否符介国家法律和有关规章制度的要求(合规性);二是指信息系统是否能够实现既定的业务目标(效益性);三是指系统的效率性即系统利用各种资源输出用户所需要信息的及时程度和运行速度。
三、信息系统审计准则国际经验
目前,国际上影响力较大的信息系统审计准则有四个,分别是国际信息系统审计与控制协会(ISACA)、日本通产省信息系统审计标准,以及国际内部审计师协会(IIA)颁布的全球技术审计指南和美国审计总署(GAO)颁布的联邦信息系统控制审计手册。
(一)ISACA的信息系统审计准则体系1994年,电子数据审计师协会(EDPAA)更名为ISACA协会,该协会是目前最有影响力的信息系统审计专业人员的国际性组织。它在全世界许多国家举办注册信息系统审计师(CISA)考试,还制定和颁布信息系统审计准则体系来规范和指导CISA工作。ISACA的信息系统审计准则体系由ISA标准、指南和程序三部分构成。信息系统审计标准是整体准则体系的总纲,是制定指南和程序的基础。审计标准规定了审计章程、独立性、职业道德和胜任能力,以及审计工作执行的基本行为规范,是CISA执行审计业务必须遵循的标准,具有强制性。目前ISACA共颁布了16条审计标准,42项审计指南,为CISA执行审计业务中如何遵守审计标准提供指引,任何偏离指南的行为必须有充分的理由,属于“强烈推荐遵循”。审计程序是依据审计标准与审计指南制定的,为CISA提供审计业务的程序与步骤,类似一种工作范例,并不强制要求。到目前为止有效的ISA程序共有9 项。
(二)日本的信息系统审计准则日本通产省(METI)于1985年发布了信息系统审计准则,1996年进行了修订。该准则由一般标准、执行标准和报告标准三部分组成。一般标准描述了信息系统审计的目标、对象、人员和流程等。执行标准描述了信息系统审计的具体实施内容,强调系统审计师应关注信息系统规划、开发到运行全生命周期各阶段的风险。报告标准描述了信息系统审计结果的收集整理,以及根据审计结论应采取的措施。
(三)IIA的全球技术审计指南(GTAG) 国际内部审计师协会(IIA)的内部审计国际实务准则框架(IPPF)是内部审计规范体系的标杆。IIA非常重视信息系统审计,IPPF在“实务指南”层次用相当篇幅详细规范了信息系统审计的内容与方法。自从2005年发布第1号全球信息技术审计指南(GTAG)指南起至今,IIA已发布了16项信息系统审计指南,内容涉及信息系统控制、应用控制审计、制订IT审计计划、IT项目审计和信息安全治理等等。
(四 )联邦 信息系统控制审计手册 (FISCAM)2009年美国审计总署(GAO)发布了联邦信息系统控制审计手册(FISCAM),在该手册的指导下,GAO每年还安排若干审计项目对政府部门信息系统控制进行审查评估。FISCAM的IT控制包括一般控制和应用控制。其中一般控制包括:实体安全控制、访问控制、应用软件开发和变更控制、职责分离控制、应急计划;应用控制包括:应用级一般控制、输入控制、处理控制、输出控制、接口控制、数据管理系统控制。FISCAM对以上各类控制的审计程序与步骤进行了详细说明。
ISACA作为专门的信息系统审计与控制协会,建立了较为完整的信息系统审计准则体系,它采用总分式分层体系,16项审计标准是总纲,自2005年发布后基本保持稳定,而42项审计指南一半以上是新增或新修订的,不断更新的审计指南赋予了审计标准新的内涵与外延,审计程序则重在描述审计程序与步骤。日本通产省的审计准则采取一体化形式,整套准则的内容相当于ISACA的审计标准层次。
从准则具体内容上看,日本的信息系统审计师属于计算机行业,其审计标准具有明显信息技术特征,主要规范了信息系统审计目标、审计对象、审计人员资质和审计方法,尤其详细明确了信息系统规划、开发和运行全过程的关键风险点;而ISACA的审计标准更多关注信息系统审计的审计特征,主要规范审计权力责任、审计人员职业道德规范、审计计划、审计证据、审计记录、审计抽样和审计报告等内容。ISACA协会的审计指南与IIA协会的GTAG指南的操作性程度不同,前者类似我国的具体准则,GTAG指南则围绕不同的审计业务详细描述审计工作思路,审计方法、技术与工具等。
从是否强制性要求来看,ISACA协会的准则体系中既包含强制性遵循的审计标准、强烈推荐遵循的审计指南和非强制性要求的审计程序,还包含ISACA制订或编写的出版物以支持实务工作。IIA协会的GTAG指南处于IPPF框架的实务指南层次,属于强烈推荐遵循;美国审计总署GAO颁布的FISACM是非强制性要求的手册,用以指导实务工作。
四、我国信息系统审计准则现状
我国目前颁布的信息系统审计准则规范屈指可数,主要有审计署以实务公告形式颁布的信息系统审计指南,中国内审协会发布的信息系统审计具体准则。
(一)信息系统审计指南为指导和规范国家审计机关组织开展信息系统审计,2012年,审计署发布了《信息系统审计指南———计算机审计实务公告第34号》。该指南在借鉴国外信息系统审计指南的基础上,结合国家审计机关依法审计的法定职能,以及我国目前信息系统审计实践现状,提出了包含应用控制审计、一般控制审计、项目管理审计3大块的信息系统审计内容框架,重点描述了89项审计事项的审计要点。此外,审计署还在2013年出版了与该指南配套的《信息系统审计实务》,针对指南的各审计事项,分别描述了审计目标、审计程序、应取得的资料和常见错弊与定性依据等。
(二)内部审计具体准则第28号———信息系统审计为规范组织内部审计机构及人员开展信息系统审计活动,保证审计质量,中国内审协会颁布了《内部审计具体准则第28号———信息系统审计》,自2009年1月1日起开始实施。该准则对信息系统审计的一般原则、信息技术风险评估、信息系统审计内容、信息系统审计方法,审计报告和后续工作共五个方面的内容进行了规定,明确提出信息系统审计包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审计。
综合来说,我国目前尚未建立信息系统审计行业协会,审计署发布了信息系统审计指南,属于非强制性要求,更高级别的强制性要求准则尚未发布;内审协会的信息系统审计具体准则虽属于强烈推荐遵循层次,但与IIA协会相比,其信息系统审计准则和相关指南还有极大的丰富与细化空间。总体来看,我国的信息系统审计准则体系缺少系统性与结构性,尚没有建立完整的信息系统审计准则体系。目前,国家审计、社会审计和独立审计都在各自业务领域内开展了一些信息系统审计实践探索,但各界人士对信息系统审计的基本原则与规范还缺少共识,长此以往将给我国信息系统审计行业发展带来混乱。
五、结论
信息系统审计准则是信息系统审计师共同遵循的标准,对促进我国信息系统审计行业发展具有重要意义。首先,从准则制定的社会背景来看,我国的社会信息化水平与美国、日本等国家存在客观的差距,ISACA,IIA和FISCAM等准则指南均基于相对完善的内部控制(IT控制)环境,而我国政府部门、企事业单位的信息化建设正处于飞速发展时期,大部分被审单位的IT控制体系尚在建立之中,如果按照国外规范开展我国信息系统审计,过于理想化的审计意见建议很难得到认同。
第二,从准则的框架结构来说,ISACA,IIA和日本通产省的框架结构,不太符合中国人的理解习惯。ISACA采用的审计标准、指南和程序的三层框架结构,跟我国的内部审计准则体系,注册会计师鉴证业务准则和国家审计准则采用的常用结构也不一样,不太符合我国审计师的认知习惯。
第三,从准则的具体内容来看,由于我国信息系统审计方面的法律法规还非常不完善。目前只有信息系统安全方面颁布了安全保护条例和强制性标准,IT运维服务、外包、信息资源开发利用,信息公开与政务服务等方面尚缺乏充分的审计依据。审计环境决定了我国信息系统审计准则在明确信息系统审计目标、规范信息系统审计内容等方面都需要充分考虑本土国情。但是,国外ISACA,IIA,FISACM等信息系统审计准则指南历经20多年的发展,已形成相对成熟的体系,相关观点已为我国审计师熟识。而且,国家的信息系统审计准则需要在国际舞台上相互交流与合作。
因此,制定我国信息系统审计准则需要遵循的重要原则是:坚持国际化与本土化相结合,既立足本土国情又实现国际接轨。本文借鉴ISACA,IIA和FISCAM等准则指南的优秀经验,参照我国国家审计准则的体系框架,考虑信息系统审计新业务的不同特征,尝试提出如下图1所示的中国信息系统审计准则体系框架。
该框架采用了审计准则、审计指南和实务手册三层结构。审计准则是强制性要求,审计指南是强烈推荐遵循,实务手册是非强制性要求。审计准则分成基本准则和具体准则两层,基本准则可包括五块内容,分别是总则、信息系统审计道德规范、信息系统审计作业准则、信息系统审计质量控制准则和附则。审计指南包括通用指南和专业指南两类,如面向一般信息系统的通用指南,针对电子政务、电子商务和ERP系统的专业指南,或者体现行业信息系统特征(如金融、通信行业)的专业指南等等。指南的内容框架可以采用一般控制和应用控制的基本框架,但在设计具体事项,或者明确审计内容重点时,应充分考虑我国企业或政府部门的信息化发展阶段及当前法律环境。实务手册是审计指南的具体化,详细规范审计内容、审计程序、审计依据、审计技术方法和典型错弊等相关知识点。实务手册可根据审计指南来加以制定,也可以针对某类突出问题(如电子银行、IT外包等)进行特别规范。
为逐步完善我国信息系统审计准则体系,我们建议采取如下策略:首先,以审计署为主导,协调整合中国注册会计师协会、内审协会以及高校的相关专家资源,组建信息系统审计准则研究课题组和专家咨询小组,激发信息系统审计职业界的积极讨论与参与。其次,成立类似ISACA的中国信息系统审计行业协会专门机构,以信息系统审计职业化建设为主线,组织修订与持续完善信息系统审计准则体系;组织信息系统审计师职业教育,提升信息系统审计师职业素质;总结我国信息系统审计优秀经验,积极开展与国外相关协会和政府机关之间的合作与交流。最后,人才是行业持续发展的源泉,也是准则规范有效实施的载体。建议增设我国信息系统审计师职业资格考试,明确我国信息系统审计师应具备的素质、知识与技能以及任职资格,既能保障准则规范的有效实施,也为促进我国信息系统审计行业发展提供人才支撑。
参考文献:
[1]张文秀:《国外信息系统审计规范、国家文化差异与制度移植》,《审计研究》2012年第5期。
[2]石爱中、周德铭、王智玉、杨蕴毅:《信息系统审计实务———中国计算机审计实务报告》,时代经济出版社2012年版。
