24周年

財(cái)稅實(shí)務(wù) 高薪就業(yè) 學(xué)歷教育
APP下載
APP下載新用戶掃碼下載
立享專屬優(yōu)惠

安卓版本:8.7.50 蘋(píng)果版本:8.7.50

開(kāi)發(fā)者:北京正保會(huì)計(jì)科技有限公司

應(yīng)用涉及權(quán)限:查看權(quán)限>

APP隱私政策:查看政策>

HD版本上線:點(diǎn)擊下載>

淺議信息系統(tǒng)審計(jì)實(shí)踐中的法規(guī)準(zhǔn)則困境

來(lái)源: 白永新 編輯: 2009/12/21 14:45:06  字體:

  一、信息系統(tǒng)審計(jì)實(shí)踐中審計(jì)法規(guī)準(zhǔn)則的現(xiàn)況

  (一)我國(guó)信息系統(tǒng)審計(jì)相關(guān)法規(guī)準(zhǔn)則的現(xiàn)狀

  我國(guó)在傳統(tǒng)審計(jì)業(yè)務(wù)方面已經(jīng)建成了一套比較成熟規(guī)范的法規(guī)、準(zhǔn)則體系,但在信息系統(tǒng)審計(jì)方面還沒(méi)有形成系統(tǒng)的法規(guī)、準(zhǔn)則和技術(shù)標(biāo)準(zhǔn)體系。

  1.國(guó)內(nèi)已頒布制定的信息系統(tǒng)審計(jì)相關(guān)法律、法規(guī)

 ?。?) 第十屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)2006年修正的《中華人民共和國(guó)審計(jì)法》第三十二條。

  (2) 國(guó)務(wù)院1997年頒布的《中華人民共和國(guó)審計(jì)法實(shí)施條例》第三十條。

 ?。?) 審計(jì)署1996年頒布了《審計(jì)機(jī)關(guān)計(jì)算機(jī)輔助審計(jì)方法》。

 ?。?) 中國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)1999 年頒布了《獨(dú)立審計(jì)具體準(zhǔn)則第 20 號(hào)——計(jì)算機(jī)信息系統(tǒng)環(huán)境下的審計(jì)》。

 ?。?) 審計(jì)署2000年《審計(jì)機(jī)關(guān)審計(jì)證據(jù)準(zhǔn)則》第三條明確規(guī)定被審計(jì)單位電子數(shù)據(jù)資料屬審計(jì)證據(jù)。

 ?。?) 國(guó)務(wù)院辦公廳2001年頒發(fā)了《關(guān)于利用計(jì)算機(jī)信息系統(tǒng)開(kāi)展審計(jì)工作有關(guān)問(wèn)題的通知》。

 ?。?) 江蘇省政府辦公廳2002年轉(zhuǎn)發(fā)《國(guó)務(wù)院辦公廳關(guān)于利用計(jì)算機(jī)信息系統(tǒng)開(kāi)展審計(jì)工作有關(guān)問(wèn)題的通知》的通知。

 ?。?) 中國(guó)內(nèi)部審計(jì)協(xié)會(huì)2008年頒布了《內(nèi)部審計(jì)具體準(zhǔn)則第28號(hào)——信息系統(tǒng)審計(jì)》。

  2.國(guó)內(nèi)信息系統(tǒng)審計(jì)可參照的相關(guān)信息技術(shù)法規(guī)、標(biāo)準(zhǔn)

 ?。?) 《中華人民共和國(guó)保守國(guó)家秘密法

  (2) 《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例

  (3) 《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》以及與之配套的《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則應(yīng)用指南》和《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)評(píng)估準(zhǔn)則》。

  (4) 《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》

 ?。?) 《關(guān)于加強(qiáng)信息安全保障工作中保密管理的若干意見(jiàn)的通知》

  (6) 《信息安全等級(jí)保護(hù)管理辦法

 ?。?) 《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測(cè)和銷售許可證管理辦法

  (8) 《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引

 ?。?) 《信息系統(tǒng)通用安全技術(shù)要求、網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求、操作系統(tǒng)安全技術(shù)要求》等國(guó)標(biāo)技術(shù)標(biāo)準(zhǔn)。

  3.審計(jì)署對(duì)信息系統(tǒng)審計(jì)相關(guān)法規(guī)、準(zhǔn)則的規(guī)劃及研究

 ?。?) 金審工程一期的標(biāo)準(zhǔn)規(guī)范建設(shè)中明確了“制定金審工程需要的審計(jì)準(zhǔn)則、審計(jì)操作指南、審計(jì)機(jī)關(guān)、審計(jì)事項(xiàng)等標(biāo)準(zhǔn)。”

  (2) 審計(jì)署在《2003至2007年審計(jì)信息化發(fā)展規(guī)劃》中就明確提出要積極探索信息系統(tǒng)審計(jì)。

  (3) 審計(jì)署在《2008至2012年審計(jì)工作發(fā)展規(guī)劃》中提出“加強(qiáng)審計(jì)信息化制度建設(shè)和規(guī)范建設(shè)。建立健全計(jì)算機(jī)審計(jì)標(biāo)準(zhǔn)規(guī)范,總結(jié)形成計(jì)算機(jī)審計(jì)方法體系和操作制度體系”。

 ?。?) 審計(jì)署在《2009至2010年9項(xiàng)重點(diǎn)科研課題》中將“信息系統(tǒng)審計(jì)指南,定向委托審計(jì)署計(jì)算機(jī)技術(shù)中心”進(jìn)行研究。

 ?。ǘ﹪?guó)外信息系統(tǒng)審計(jì)的相關(guān)準(zhǔn)則

  美國(guó) EDP 審計(jì)師協(xié)會(huì) 1984 年發(fā)布的《EDP 控制的目標(biāo)》及1987 年發(fā)布了《信息系統(tǒng)審計(jì)的基本準(zhǔn)則》,日本通產(chǎn)省在 1985 年發(fā)表了《IT 審計(jì)標(biāo)準(zhǔn)》,美國(guó)的可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則(TCSEC),以及英國(guó)、法國(guó)、德國(guó)和荷蘭共同提出的《信息技術(shù)安全評(píng)估準(zhǔn)則》( ITSEC),基梅隆大學(xué)軟件工程協(xié)會(huì)發(fā)布的能力成熟度集成模型CMMI(Capability Maturity Model Integration。

  (三)國(guó)內(nèi)現(xiàn)有法規(guī)、標(biāo)準(zhǔn)的缺陷和不足

  1.現(xiàn)有的部分法規(guī)、標(biāo)準(zhǔn)只是在計(jì)算機(jī)審計(jì)的基礎(chǔ)方面進(jìn)行了一些簡(jiǎn)單的規(guī)定,沒(méi)有實(shí)質(zhì)性的解決方案,在審計(jì)實(shí)踐中很難推廣。

  2.對(duì)會(huì)計(jì)信息系統(tǒng)外的管理和決策系統(tǒng)的審計(jì),授權(quán)不明確嚴(yán)重影響信息系統(tǒng)審計(jì)工作的開(kāi)展。

  3.信息系統(tǒng)法規(guī)、審計(jì)準(zhǔn)則和審計(jì)指南的缺失,不利于規(guī)范和指導(dǎo)信息系統(tǒng)審計(jì)實(shí)踐,不利于衡量和評(píng)價(jià)信息系統(tǒng)審計(jì)工作質(zhì)量,也不利于防范和規(guī)避信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)。

  4.審計(jì)準(zhǔn)入標(biāo)準(zhǔn)缺失,審計(jì)水皮參差不齊,信息系統(tǒng)審計(jì)人員總體審計(jì)能力不強(qiáng)。

  二、構(gòu)建信息系統(tǒng)審計(jì)的法規(guī)準(zhǔn)則保障體系

  信息系統(tǒng)審計(jì)發(fā)展到一定階段,必須將實(shí)踐經(jīng)驗(yàn)加以總結(jié),并把有關(guān)概念、工作流程和技術(shù)方法固定、統(tǒng)一起來(lái),形成法規(guī)、準(zhǔn)則及指南,這是信息系統(tǒng)審計(jì)進(jìn)一步發(fā)展的基礎(chǔ),這也是所有行業(yè)發(fā)展的共同規(guī)律。沒(méi)有標(biāo)準(zhǔn)和規(guī)范,所有的實(shí)踐活動(dòng)只能局限在低水平上重復(fù)。目前我國(guó)尚沒(méi)有一套完整的、成熟的信息系統(tǒng)審計(jì)法規(guī),也缺少具備實(shí)際指導(dǎo)意義的相關(guān)審計(jì)準(zhǔn)則和操作指南。

 ?。ㄒ唬┘涌熘贫ê托薷倪m應(yīng)信息系統(tǒng)審計(jì)需要的法律法規(guī)

  1.明確信息系統(tǒng)審計(jì)中的權(quán)利與義務(wù)

  要在法律法規(guī)上進(jìn)一步明確信息系統(tǒng)審計(jì)中審計(jì)機(jī)構(gòu)的權(quán)力,如有權(quán)審查被審計(jì)算機(jī)的信息系統(tǒng)的功能與安全措施,有權(quán)利用網(wǎng)絡(luò)和審計(jì)軟件進(jìn)行審計(jì),明確被審計(jì)單位的責(zé)任和的義務(wù)如被審單位應(yīng)對(duì)審計(jì)人員的信息系統(tǒng)審計(jì)給予哪些協(xié)助。

  2.明確審前調(diào)查為一個(gè)審計(jì)階段

  考慮到實(shí)踐中審前調(diào)查需要做大量的數(shù)據(jù)分析工作,為突出其作可否以實(shí)施實(shí)際的數(shù)據(jù)分析為標(biāo)準(zhǔn)將審計(jì)階段接劃分為四個(gè)階段,即審計(jì)準(zhǔn)備階段、審前調(diào)查階段、審計(jì)實(shí)施階段和審計(jì)報(bào)告階段。

  3.明確電子數(shù)據(jù)審計(jì)證據(jù)的法律效力

  目前審計(jì)要求被審計(jì)單位將計(jì)算機(jī)記錄的數(shù)據(jù)都要打印到紙張上,并由簽章,方可作為審計(jì)的法律依據(jù)。應(yīng)盡快制定電子會(huì)計(jì)數(shù)據(jù)作為與紙張記載的數(shù)據(jù)具有同等法律效力的法律。同時(shí)對(duì)審計(jì)對(duì)象的電子數(shù)據(jù),進(jìn)行的轉(zhuǎn)換、清理和驗(yàn)證,建立審計(jì)中間表等過(guò)程中出現(xiàn)的數(shù)據(jù)采集轉(zhuǎn)換風(fēng)險(xiǎn)應(yīng)加以定義。

  4.明確信息系統(tǒng)審計(jì)程序代碼復(fù)核制度

  在審計(jì)機(jī)關(guān)內(nèi)部設(shè)立計(jì)算機(jī)程序復(fù)核部門(mén),由其對(duì)數(shù)據(jù)計(jì)算方法和數(shù)據(jù)處理流程進(jìn)行審核,以確保程序編制科學(xué)合理,據(jù)之得出的審計(jì)數(shù)據(jù)可靠無(wú)誤,可以作為審計(jì)證據(jù)使用。

 ?。ǘ┍M快建立信息系統(tǒng)審計(jì)準(zhǔn)則和指南

  在建設(shè)信息系統(tǒng)審計(jì)準(zhǔn)則體系時(shí),對(duì)國(guó)際上已有的成文準(zhǔn)則、習(xí)慣做法、專業(yè)術(shù)語(yǔ),應(yīng)當(dāng)盡可能與國(guó)際慣例保持一致,盡量做到與國(guó)際慣例接軌。可以采用三個(gè)層次體系結(jié)構(gòu),以基本準(zhǔn)則為核心,統(tǒng)領(lǐng)具體準(zhǔn)則和執(zhí)業(yè)指南,從而使整個(gè)準(zhǔn)則體系不斷擴(kuò)展與完善。

  1.信息系統(tǒng)審計(jì)基本準(zhǔn)則可主要包括:信息系統(tǒng)審計(jì)內(nèi)容、信息系統(tǒng)審計(jì)獨(dú)立性、信息系統(tǒng)審計(jì)職業(yè)道德、信息系統(tǒng)審計(jì)準(zhǔn)入等方面。

  2.具體準(zhǔn)則在基本準(zhǔn)則的指導(dǎo)下可還包含以下內(nèi)容:

 ?。?)信息系統(tǒng)環(huán)境及系統(tǒng)開(kāi)發(fā)過(guò)程的準(zhǔn)則,如對(duì)硬件、軟件、系統(tǒng)的安全性和可靠性及合法性,系統(tǒng)的開(kāi)發(fā)過(guò)程、運(yùn)行控制及維護(hù)控制的審查等。

  (2)信息系統(tǒng)內(nèi)部控制評(píng)價(jià)的準(zhǔn)則,如對(duì)操作范圍控制、人員權(quán)限控制、合法性控制、校驗(yàn)控制及預(yù)防出錯(cuò)控制系統(tǒng),進(jìn)行符合性測(cè)試及評(píng)價(jià)。

 ?。?)信息系統(tǒng)輸入輸出及處理的檔案和數(shù)據(jù)的符合性和實(shí)質(zhì)性測(cè)試準(zhǔn)則,對(duì)其可靠性、完整性、合法性、有效性、全面性的審查和評(píng)價(jià)。

  (4)信息系統(tǒng)審計(jì)證據(jù)的準(zhǔn)則,確定取得審計(jì)證據(jù)的時(shí)間、審計(jì)證據(jù)樣本的大小等。

 ?。?)信息系統(tǒng)審計(jì)保密準(zhǔn)則,明確信息系統(tǒng)審計(jì)方式下的審計(jì)人員承擔(dān)保密責(zé)任,有針對(duì)性地制定電子數(shù)據(jù)保密規(guī)范,與被審計(jì)單位形成互有權(quán)責(zé)義務(wù)的保密協(xié)議,避免審計(jì)風(fēng)險(xiǎn),增強(qiáng)審計(jì)效果。

  3.指南可以包含,信息系統(tǒng)審計(jì)計(jì)劃、信息系統(tǒng)審計(jì)的重要性、信息系統(tǒng)審計(jì)的風(fēng)險(xiǎn)評(píng)估辦法、信息系統(tǒng)審計(jì)取證、信息系統(tǒng)審計(jì)抽樣、信息系統(tǒng)控制、應(yīng)用系統(tǒng)評(píng)審辦法、信息系統(tǒng)審計(jì)報(bào)告等。

  (三)建立健全信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)

  從國(guó)際信息系統(tǒng)審計(jì)的實(shí)踐看,COBIT標(biāo)準(zhǔn)已經(jīng)逐步成為通行準(zhǔn)則。我們應(yīng)遵循國(guó)際標(biāo)準(zhǔn)或規(guī)范,以COBIT標(biāo)準(zhǔn)為核心,同時(shí)借鑒ISO/IEC17799、ITIL、PRINCE2、COSO、SOX法案等其他國(guó)際標(biāo)準(zhǔn)和原則,進(jìn)而確立適合自己的信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)。包括審計(jì)人員應(yīng)具有的能力、應(yīng)掌握的技能、應(yīng)參加的培訓(xùn)、現(xiàn)場(chǎng)作業(yè)標(biāo)準(zhǔn)等。

  三、構(gòu)建信息系統(tǒng)審計(jì)的法規(guī)準(zhǔn)則保障體系的意義

 ?。ㄒ唬┰谛畔⑾到y(tǒng)審計(jì)中進(jìn)一步強(qiáng)化以《憲法》為根本依據(jù),以審計(jì)法及其實(shí)施條例為核心內(nèi)容,以審計(jì)準(zhǔn)則等規(guī)章為基礎(chǔ)的審計(jì)法律法規(guī)體系。

 ?。ǘ┌凑招畔⑾到y(tǒng)審計(jì)自身發(fā)展規(guī)律,不斷完善現(xiàn)有的審計(jì)法律法規(guī)體系和準(zhǔn)則體系,以新的體系指導(dǎo)和規(guī)范信息系統(tǒng)審計(jì)的實(shí)踐以及解決審計(jì)活動(dòng)中出現(xiàn)的新情況、新問(wèn)題和新糾紛。

  (三)堅(jiān)持審計(jì)準(zhǔn)則是審計(jì)工作應(yīng)遵循的規(guī)范和尺度,是評(píng)價(jià)審計(jì)工作質(zhì)量的權(quán)威性規(guī)則,提高審計(jì)質(zhì)量和效率,降低審計(jì)風(fēng)險(xiǎn)。

 ?。ㄋ模﹫?jiān)持獨(dú)創(chuàng)與沿襲傳統(tǒng)相統(tǒng)一,充分利用和維護(hù)已有的適應(yīng)于審計(jì)的維系共同利益的法律體系,充分體現(xiàn)審計(jì)獨(dú)立性,確保信息系統(tǒng)審計(jì)將更加規(guī)范,更有保障。

責(zé)任編輯:小奇
回到頂部
折疊
網(wǎng)站地圖

Copyright © 2000 - odtgfuq.cn All Rights Reserved. 北京正保會(huì)計(jì)科技有限公司 版權(quán)所有

京B2-20200959 京ICP備20012371號(hào)-7 出版物經(jīng)營(yíng)許可證 京公網(wǎng)安備 11010802044457號(hào)