2008年协会颁布了第六批内部审计具体准则,即第28号信息系统审计准则、第29号后续教育准则,此外还发布了第3号审计报告实务指南。
(一)信息系统审计准则的背最、定位及核心方法 20世纪中后期所兴起的信息革命浪潮以前所未有之势冲击着企业经营的方方面面,无论企业所处的经营环境还是经营方式和管理手段无不发生着翻天覆地的变化,从会计电算化、管理信息系统(MIS)、企业资源规划(ERP)、客户关系管理(CRM)到电子商务(EC),充分显示企业各项经营活动普遍趋于信息化,经营管理趋于网络化与自动化,信息技术已成为企业运行的基础平台。随之而来的是如何开展信息系统审计成为亟待解决的问题。进入新世纪后,IIA更加重视信息系统审计工作,陆续发布相关指南和报告,如2006年底发布的《基于风险的信息系统控制评价指南》(简称GAIT),即提供了一套原则和方法,要求内部审计人员从信息系统控制评价人手,介入IT审计,帮助管理层识别关键风险因素、揭示重要控制缺陷,以合理评价内部控制信息系统的效率性和效果性。在内部审计领域,关于信息系统审计最全面、最先进的指南则是《全球信息系统审计指南》(GlobalTechnoIogyAuditGuide,简称GTAG),是IIA为首席审计执行官、审计委员会、高级管理层提供的IT审计指南,内容深入浅出,便于及时了解有关信息系统管理、控制或安全方面的问题。从管理者的视角关注信息系统的风险与控制,并用特定方法解释IT控制及审计实务。GTAG还提供了快速解决最新IT问题的机制。从2005年发布第一号GTAG起至今,IIA已发布了ll项信息系统审计指南。在此背景下,准则委员会决定借鉴IIA指南的精神、技术和方法,结合我国信息技术应用的实际情况,制定信息系统审计准则。
关于信息系统审计的定位。在准则讨论过程中,大家都特别强调要准确说明信息系统审计的定位。信息系统审计不是信息化环境下利用计算机技术的审计,不是为建立和运行“问题查找模型”、以高效搜寻经营管理中可能存在问题的非现场审计系统,也不单指通常所说的信息技术审计。信息系统审计涵盖两部分内容:一是对信息系统本身的审计,二是对信息系统所涉及的内部控制及流程的审计。这意味着信息系统审计不仅要对信息系统的功能进行审计,还要对信息系统的安全性、可靠性、数据准确性和完整性,信息系统的立项与采购、设计与开发、测试与验收、运行与维护等,以及对具体业务流程中所涉及的信息系统内部控制的设计与执行、效果与效率进行检查和评价。这一定位明确界定了信息系统审计的范围。信息系统审计定位的落实,取决于合理的审计组织方式。信息系统审计可作为独立的审计项目实施,也可作为综合性审计项目的组成部分实施。前者的审计目标可以关注系统本身的可靠性、稳定性和安全性,如系统开发审计、系统安全管理审计;也可以对与系统直接相关的其他信息技术管理环节给于关注,如信息技术投资审计、系统外包管理的审计。在综合性内部审计项目像财务审计、内部控制审计、合规审计、经济责任审计中,由于组织的运营、管理及核算需依托信息系统,因此,需对涉及的信息系统进行审计。
关于信息系统审计的核心方法。准则强调信息系统审计中风险导向审计法的贯穿。由于信息系统具有技术性强、涉及面广的特点,对组织各方面的运作起着基础支撑作用,信息技术相关的风险将直接影响组织运转的方方面面。因此,在审计过程中不论是计划或是实施以及后续审计都需要紧紧围绕风险的评估来进行。准则要求充分结合信息系统的特点,选择适当方法,在三大层面——组织层面、一般性控制层面以及业务流程层面进行风险评估,并根据风险评估结果将审计的内容和范围涵盖到高风险领域,对相应的信息技术内部控制设计及执行的有效性进行测试。
(二)后续教育准则的背景、内容与方式IIA一向重视内部审计人员的后续教育,2007年12月颁布的“全球核心知识”(CBOK2006),以及同期修订的内审人员专业胜任能力框架,就是对后续教育有重大影响的调查报告或研究报告,尤其是CBOK,就内审人员遵循准则和职业道德规范、所用的审计工具和技术、应具有的知识与技能、审计的作业与型态等进行了广泛调查。中国内部审计协会也高度重视内审人员的后续教育问题,专门设立了培训委员会,十多年来举办了大量不同层次、不同种类的培训工作,并取得较好的效果。在许多大型组织,内部审计部门采取了灵活多样的后续教育方式,如课堂教育、网络课程学习、视频会议、参加职业资格考试、现场示范、正式的导师制、业务交叉培训、职业组织培训等,并对培训计划的有效性进行评估。在此背景下,准则委员会决定制定内部审计人员的后续教育准则。
关于后续教育的内容。本准则规定内部审计人员进行后续教育的内容,除涉及法律法规、内审准则及职业道德规范、内审理论与实务外,还特别突出从事管理审计时需要的信息技术、公司治理、内部控制、风险管理等相关专业知识与技能。培养复合型内审人才是准则讨论过程中非常强调的,这也是根据准则制定的基本原则之一——充分考虑财务审计与管理审计的结合作出的要求。准则还特别将后续教育的内容在内部审计机构负责人、审计项目负责人和审计助理人员三个层次加以区分,以突出重点、按需施教。这是充分考虑了我国内审实务状况而作出的安排。
关于后续教育的方式。自学以及接受培训的方式在西方国家都很普遍,但考虑现实中内部审计人员参加后续教育的动力尚不足,“缺什么学什么、学什么用什么”的急功近利型教育比较严重,准则讨论中一致认为,应当更加侧重于接受培训(控制型)的方式。鉴于此,准则规定内部审计人员接受培训是后续教育的主要方式,自学是后续教育的重要补充方式。培训形式有:IIA及亚内审联合会举办的专业会议及训练课;中国内审协会举办的专业会议、实地经验交流及训练课;中内协与省内协认可的有关大专院校的专业课程进修;各级内审协会举办的专题培训班;内部审计机构开展的、经相关内审协会评估确认的技术培训工作。(三)审计报告实务指南中的新理念和新技术 上世纪90年代以来,内部审计职业界的专业人士经历了世界范围内经营方式的重大变革。在时代的潮涌中,内部审计人员通过收集与分析企业经营、财务、风险状况等信息并发表评价意见和建议,承担着为组织防弊、兴利和增值的使命。《萨奥法案》的颁布,使得作为沟通主要模式的内部审计报告比以往显得更为重要。“除了认真组织和清晰撰写之外,审计报告必须连接财务要点,使相关的专业信息块彼此相连,并把这些信息块与潜在的风险、公司整体运营及治理相联系。自动化水平的提高和外包的增加更加强了这种关系。”值得关注的是:信息技术正在改变着审计报告的形式和生成方式。“软件奇才正在发明自动收集、复核和存储数据的综合方法,并改变着审计程序,以前人工的、事后检查的方法正在向自动化的、防护性的方法转变”,于是,传统的内部审计报告将变得更加具有预防性并实现更高程度的自动化。《萨奥法案》是程序自动化和报告自动化的催化剂。在此背景下,仅有审计报告的具体准则是不够的,人们期望制定审计报告的实务指南。
