(3) 审计署在《2008至2012年审计工作发展规划》中提出“加强审计信息化制度建设和规范建设。建立健全计算机审计标准规范,总结形成计算机审计方法体系和操作制度体系”。
(4) 审计署在《2009至2010年9项重点科研课题》中将“信息系统审计指南,定向委托审计署计算机技术中心”进行研究。
(二)国外信息系统审计的相关准则
美国 EDP 审计师协会 1984 年发布的《EDP 控制的目标》及1987 年发布了《信息系统审计的基本准则》,日本通产省在 1985 年发表了《IT 审计标准》,美国的可信计算机系统评估准则(TCSEC),以及英国、法国、德国和荷兰共同提出的《信息技术安全评估准则》( ITSEC),基梅隆大学软件工程协会发布的能力成熟度集成模型CMMI(Capability Maturity Model Integration。
(三)国内现有法规、标准的缺陷和不足
1.现有的部分法规、标准只是在计算机审计的基础方面进行了一些简单的规定,没有实质性的解决方案,在审计实践中很难推广。
2.对会计信息系统外的管理和决策系统的审计,授权不明确严重影响信息系统审计工作的开展。
3.信息系统法规、审计准则和审计指南的缺失,不利于规范和指导信息系统审计实践,不利于衡量和评价信息系统审计工作质量,也不利于防范和规避信息系统审计风险。
4.审计准入标准缺失,审计水皮参差不齐,信息系统审计人员总体审计能力不强。
二、构建信息系统审计的法规准则保障体系
信息系统审计发展到一定阶段,必须将实践经验加以总结,并把有关概念、工作流程和技术方法固定、统一起来,形成法规、准则及指南,这是信息系统审计进一步发展的基础,这也是所有行业发展的共同规律。没有标准和规范,所有的实践活动只能局限在低水平上重复。目前我国尚没有一套完整的、成熟的信息系统审计法规,也缺少具备实际指导意义的相关审计准则和操作指南。
(一)加快制定和修改适应信息系统审计需要的法律法规
1.明确信息系统审计中的权利与义务
要在法律法规上进一步明确信息系统审计中审计机构的权力,如有权审查被审计算机的信息系统的功能与安全措施,有权利用网络和审计软件进行审计,明确被审计单位的责任和的义务如被审单位应对审计人员的信息系统审计给予哪些协助。
2.明确审前调查为一个审计阶段
考虑到实践中审前调查需要做大量的数据分析工作,为突出其作可否以实施实际的数据分析为标准将审计阶段接划分为四个阶段,即审计准备阶段、审前调查阶段、审计实施阶段和审计报告阶段。
3.明确电子数据审计证据的法律效力
目前审计要求被审计单位将计算机记录的数据都要打印到纸张上,并由签章,方可作为审计的法律依据。应尽快制定电子会计数据作为与纸张记载的数据具有同等法律效力的法律。同时对审计对象的电子数据,进行的转换、清理和验证,建立审计中间表等过程中出现的数据采集转换风险应加以定义。
4.明确信息系统审计程序代码复核制度
在审计机关内部设立计算机程序复核部门,由其对数据计算方法和数据处理流程进行审核,以确保程序编制科学合理,据之得出的审计数据可靠无误,可以作为审计证据使用。
