贵州财经学院会计学院 刘 杰
信息系统审计质量控制准则研究
贵州财经学院会计学院 刘 杰
信息系统审计准则规定了信息系统审计人员在审计工作中应遵循的操作规范,同时也规定了信息系统审计工作应达到的质量要求。为保证信息系统审计工作能按照规范的要求执行,就必须制定相关的信息系统审计质量控制准则,对信息系统审计进行质量控制。在绝大多数国家,信息系统审计还末纳入到强制性审计的范畴,基本上还属于自愿性审计的范畴,也谈不上制定相关的信息系统审计质量控制准则,对信息系统审计进行质量控制。在现有的信息系统审计准则中,仅有ISACA在审计指南《审计章程》(G5)中粗略地对审计质量控制进行了阐述,不具有可操作性,对于指导审计人员进行质量控制还是远远不够的。随着信息技术在社会经济活动中的广泛应用以及审计人员素质的提高,信息系统必将纳入到强制性审计的范畴,制定信息系统审计质量控制准则也将提上日程。本文拟在借借鉴国外审计质量控制准则的基础上,研究我国信息系统审计质量控制准则的构建。
众所周之,美国是实施审计质量控制最早的国家。早在1978年,美国注册会计师协会专门成立了质量控制准则委员会(Quality Control Standards Committee,以下简称QCSC),负责颁布会计师事务所质量控制标准。该委员会于1979年11月发布了第1号质量控制公告《质量控制九要素》(SQCSNo.1,AQuality ControlSystem Consists ofNine Elements),提出质量控制必须考虑的九个要素,以指导事务所建立合适的质量控制政策和程序。继1979年颁布SQCS NO.1后,又陆续公布了SQCSNO.2,SQCSNO.3,SQCSNO.4,SQCS NO.5,SQCSNO.6和SQCSNO.7。SQCSNO.7(A Firm’s Systems of Quality Control)于2007年由AICPA的审计准则委员会颁布,用于取代前面颁布的所有审计质量控制准则。SQCSNO.7于2009年2月开始实施,其目标并不是与以前的质量控制准则完全不同,新的质量控制准则扩展了以前的质量控制准则。在SQCSNo.7中,AICPA提出了审计质量控制的六要素,即对业务质量承担的领导责任(Leadership responsibilities forqualitywithin the firm);职业道德规范(Relevantethical requirements);客户关系与具体业务的承接与续约(Acceptance and continuance of client relationships and specific engagements);人力资源(Human resources);业务执行(Engagement performance);监控(Monitoring)。
为加强对事务所审计执行财务报告评审以及其它鉴证业务的质量控制,IFAC也于2009年颁布了《事务所审计、财务报告评审以及其它鉴证及相关业务的质量控制》(ISQCNo.1,Quality Control for Firms that Perform Audits and Reviews of Financial Statements and Other Assurance and Related Services Engagements)准则,并于2009年12月15日开始实施。ISQCNo.1同样提出了与SQCSNo.7一样的质量控制六要素,ISQCNo.1是审计师事务所为审计工作质量控制提供合理的保证,而应采取的控制方针和程序。在ISQCNo.1的基础上,IFAC根据ISQCNo.1的质量控制六要素颁布了第220号国际审计准则《财务报告审计质量控制》(ISA220,Quality Control foran AuditofFinancialStatements,2009),ISA220是在假设事务所遵循了ISQCNo.1要求的基础上专门针对财务报告审计的质量控制。由上述对ISQCNo.1和ISA220的阐述可知,ISQCNo.1与ISA220是宏观与微观的关系(如图1所示),两者并不能互相替代。
ISQCNo.1是ISA220的基础,ISQCNo.1全面阐述了事务所执行财务报告评审以及其它鉴证及相关业务的质量控制,具有普遍性,而ISA220是具体到财务报告审计质量的控制,具有较强针对性。
AICPA与IFAC发布的审计质量控制准则提出了审计质量控制的诸多要素,这对于推动世界范围的审计质量控制起着相当重要的作用,但SQCSNo.7、ISQCNo.1与ISA220主要是为满足财务审计质量控制的要求。这种审计质量控制准则的现状与其上级机构的性质存在着很强的联系,AICPA与IFAC主要致力于财务会计准则的制定,信息系统审计是以财务审计为主线,其下属机构所发布的质量控制准则则主要是针对财务审计而言的。随着信息技术在企业经营管理中的广泛应用,AICPA与IFAC在其质量控制准则中也考虑到信息技术对财务审计的影响,将信息技术对财务审计的影响融入到具体准则中,而颁布专门针对信息系统审计方面的质量控制准则则还有一段很长的路要走。
信息系统的风险,同其它审计对象的风险相比,更具有隐蔽性,破坏性更强,舞弊手段及方法更为先进,若不采用严格的信息系统审计质量控制准则或措施,在信息系统审计过程中,审计人员即使忽视一段小程序代码的审计也可能导致整个信息系统的瘫痪,从而造成巨大的经济损失,如UT斯达康深圳分公司一位工程师利用管理上的漏洞,轻而易举地绕开了耗费1.2亿元建立起来的网络完全体系,侵入北京移动通信公司充值中心数据库,修改充值卡原始数据并窃取了充值卡密码,然后通过淘宝网和QQ向他人出售,致使北京移动通信公司损失近380万元;2008年,法国第二大银行——兴业银行的交易员杰罗斯·凯维埃尔侵入银行的计算机系统进行未经授权的交易导致该损失49亿欧元,这几乎等于该银行一年的总收入,这是历史上单个交易员所造成的最大一笔损失,超过了英国巴林银行交易员尼克·利森造成的14亿美元损失,而巴林银行因此破产。因此,对信息系统审计的质量控制应当更严格,忽视对信息系统审计质量的控制,不仅仅是让被审计过的信息系统成为一个巨大的“柠檬”,更为重要的是会为企业造成巨大的损失埋下隐患。
以财务审计为主线的审计质量控制准则适用于信息系统审计时,存在着一定的缺陷,但ISQCNo.1与SQCSNo.7的质量控制六要素体现了系统论与控制论的观点(如图2所示)。依据系统论的观点,审计活动可分为审计资源的输入、审计业务活动的执行与审计报告的出具三个过程。ISQCNo.1与SQCSNo.7的质量控制六要素分别嵌入到了这三个过程中。ISQCNo.1与SQCSNo.7通过对业务质量承担的领导责任、职业道德规范、客户关系与具体业务的承接与续约、人力资源等四个方面控制审计资源的输入,通过质量控制的要素业务执行控制审计业务活动的执行过程,对事务所质量控制的政策与程序进行监控,督促事务所对所执行的审计业务建立事前、事中和事后的质量控制体系。ISQCNo.1与SQCSNo.7所提出的质量控制六要素对于信息系统审计质量控制准则的制定有着十分重要的借鉴意义。在制定信息系统审计质量控制准则时,应当借鉴ISQCNo.1与SQCSNo.7的审计质量控制六要素,根据信息系统审计程序与内容制定和发布信息系统审计质量控制准则。
同时,信息系统审计质量控制准则的制定需要专门的信息系统审计制定机构,如ISACA,应摆脱信息系统审计质量控制依附于传统财务审计质量控制准则的现状。以财务审计为主线的信息系统审计是在当前条件下信息系统审计人力、物力等资源匮乏情况下的理性选择,一旦这种“资源瓶劲”问题得到解决,信息系统审计将不再完全以财务审计为主线,而是与财务审计相辅相成,则信息系统审计质量控制准则的重要性就会凸现出来。依附于传统财务审计所制定信息系统审计质量控制准则针对性程度不高,不能全面、合理地考虑信息系统以及信息系统审计所具有的特殊性,我国在制定信息系统审计质量控制准则时应逐步摆脱这种质量控制准则的制定模式。
我国对信息系统的审计均出于“真实、合法、效益”审计目标,质量控制方面准则的重点都在财务审计方面,而对产生财务信息的信息系统进行审计的质量控制准则还处于空白状态。目前ISACA的精力也主要放在信息系统审计准则的制定上面,还未转移到质量控制准则的制定上来。我国1996年出台了《中国注册会计师质量控制基本准则》,虽然在准则中对全面质量控制与审计项目质量控制进行了阐述,但该准则只是一个总体性框架,原则性强、可操作性弱(叶少琴,2002)。随着我国的经济日渐融入全球经济的大潮,完善审计准则,加快国际趋同,已成为经济发展的必然要求。为同国际审计准则趋同,中注协于2006年将“中国注册会计师质量控制基本准则”改名为“会计师事务所质量控制准则”,并在会计师事务所质量控制准则中包含了质量控制的七要素,即:(1)事务所领导者的质量控制责任;(2)职业道德规范;(3)客户与特殊业务的承接与续约;(4)人力资源;(5)委托业务的执行;(6)业务工作底稿;(7)监控。目前已发布《会计师事务所质量控制准则第5101号——业务质量控制》和《会计师事务所质量控制准则第1121号——财务报表审计的质量控制》。5101号审计准则是审计质量控制准则的基本准则,而1121号审计质量控制准则是在5101号审计质量控制准则的基础上制定的,专门针对历史财务信息审计的质量控制准则。我国在信息系统审计质量控制的架构方面同样也应采用基本准则——具体准则,具体准则主要制定针对某个具体审计项目的质量控制准则。中注协所颁布的第5101号质量控制准则借鉴了国际审计准则的质量控制六要素,体现了系统论与控制论的思想。信息系统审计是审计的一个特殊分支,在基本准则方面没有必要再浪费大量的人力、物力、财力去制定信息系统审计的基本准则,可以结合信息系统审计实践的要求继续采用和完善《会计师事务所质量控制准则第5101号——业务质量控制》的内容,对信息系统审计业务的承接、职业道德规范、领导者的质量控制责任、人力资源以及监控等质量控制要素进行阐述,同时也要对委托业务执行等质量控制要素进行阐述,防止在具体质量控制准则没有进行规范时形成信息系统审计质量控制的空白区域。
结合信息系统审计的内容,我国信息系统审计质量控制的具体准则应当包括信息系统内部控制审计质量控制准则、系统生命周期审计质量控制准则、信息系统软硬件审计质量控制准则、信息系统安全审计质量控制准则以及信息系统绩效审计质量控制准则等(如图3所示)。
审计质量包括内涵和外延两个部分,即审计实施中各个作业环节的工作质量和外在社会效益质量,前者指审计实施过程中各个环节应达到的标准,后者表现为三个方面:在国家宏观调控方面发挥作用;为廉政建设服务;为提高企业经营管理水平服务(王福正,1989)。审计工作质量是一个概念,要通过整个审计工作全过程的各个环节综合地反映出来。审计工作质量的好坏最终是体现在审计报告之中,对被审计单位的审计结论是否正确、适当和完整(李金华,1992)。信息系统审计的具体质量控制准则主要是阐述如何对审计工作进行质量控制,应该从过程和结果两个方面进行。信息系统审计过程的质量是指在信息系统审计业务执行过程中各项工作的优劣程度,对审计过程的质量控制主要体现在对信息系统审计业务执行过程中的各项工作的优劣程度进行控制。信息系统审计结果质量是指信息系统审计结果的可靠性,对被审计单位的审计结论是否正确、适当和完整。审计的最终结果主要体现在信息系统审计人员出具的信息系统审计报告及其提供的审计意见上,其质量控制主要是对信息系统审计人员所出具的信息系统审计报告及其审计意见进行质量控制。对信息系统审计质量控制的具体准则应当按照审计流程来设计审计质量控制准则与审计质量复核准则,包括审计计划阶段的质量控制与复核、审计实施阶段的质量控制与复核、审计报告的质量控制与复核以及后续审计的质量控制与复核(如图4所示)。按照这种方式设计的审计质量控制准则体现了系统论与控制论的思想,有利于建立事前、事中以及事后的质量控制体系,对信息系统审计项目的审计过程进行全面的质量控制。
信息系统审计是一个相对较新的领域,对于信息系统审计准则的研究处于落后的境地,而对于信息系统审计控制准则的研究更是处于更加落后的境地,这势必会影响到我国信息系统审计实践的发展。因此,希望本文的研究在起到抛砖作用的同时,能对我国信息系统审计质量控制准则的构建起到有建设性的作用。
[1]陈耿、王万军:《信息系统审计》,清华大学出版社2009年版。
[2]王砚书:《审计理论专题研究》,河北人民出版社2006年版。
[3]刘杰:《我国信息系统审计规范体系研究》,厦门大学2010年博士学位论文。
[4]ISQC No.1,Quality Control for Firms that Perform Audits and Reviewsof Financial Statementsand Other Assurance and Related ServicesEngagements[S].IFAC,2009.
[5]SQCS NO.7,A Firm’s Systems of Quality Control[S].AICPA,2007.
[6]ISACA ISStandards,Guidelinesand Procedures for Auditing and ControlProfessionals[R].ISACA,2009.
(作者系厦门大学博士)
(编辑 余俊娟)