不论是ISACA体系还是GAO体系,均主要是以内部控制为基础的。不过,我国《企业内部控制基本规范》于2008年6月发布,《企业内部控制配套指引》到2010年4月才正式出台,而且首要的实施对象确定为上市公司,因此,客观
不论是ISACA体系还是GAO体系,均主要是以内部控制为基础的。不过,我国《企业内部控制基本规范》于2008年6月发布,《企业内部控制配套指引》到2010年4月才正式出台,而且首要的实施对象确定为上市公司,因此,客观而言,大部分被审计单位的内部控制体系尚在建设过程中。
由于尚未建立比较完善的内控体系,因此如果完全按照理想状态下的内控标准去测试,则被审计单位的信息系统几乎处处存在风险,这种状况在基层单位更加明显。同时,在经济发展过程中,信息化有着不同的地位。我国的信息化工作很多时候依然属于成本中心,在这种情况下,完美的内控要求将大大增加信息化方面的投入,这显得过于理想化而很难得到被审计单位的认同。因此,很多审计机关在关注点上选择了对已经形成问题的揭露,如审计署南京特派办对某高速公路收费系统的审计[3]。
3. 微观层面的成果难以得到认可,因而在实践中尝试走向中观
ISACA和GAO体系的内容大多集中在一个具体的组织层面,即在实践时都是集中在微观的、具体的被审计单位上。在我国,单纯进行具体的微观层面的风险提示由于分量单薄而难以得到认可,通常只有具有一定共性的审计成果才能受到关注,因此一些审计机关开始尝试中观层面进行探索。
与微观经济主体相比,中观经济主体涉及范围较大,运行机制复杂,因而大多数中观经济主体均有为自己量身定做的信息系统[4],如一些行业性信息系统。部分审计机关对中观层面进行探索,如审计署兰州特派办对8家煤矿安全监控系统开展的信息系统审计[5],而在部分审计机关的信息系统审计尝试中,则更是将目标定位在了更高的国家信息安全等宏观层面。
(三) “自主发展”遭遇的困境
国外引进的理论与现实环境之间的鸿沟,催生了我国审计机关“自主发展”的需求和探索,但这些“自主发展”的探索并非一帆风顺,在发展一段时间后它们陷入了困境。
1. 缺乏基础理论和体系性,处在能破不能立的尴尬状态
ISACA所采用的是会计师事务所的框架,GAO的基础是内部控制理论,日本信息系统审计的基础是软件开发理论,而我国审计机关对信息系统审计的实践探索,大多是依据审计机关自己的理解和具体项目开展的,目前来看主要是零散的个例,没有所依据的基础理论,缺乏体系性和科学性。
在信息系统审计理论方面,我国的相关研究几乎是空白[7],尽管已有部分学者开始研究理论框架,但尚未形成成熟的体系与观点。虽然审计人员怀疑ISACA,怀疑GAO,却又无法在短期内建立自己的思想体系,更难建立起完整的准则和方法体系,使得我国信息系统审计规范一直处于制度供给不足的状态,这一点政府信息系统审计尤为明显。
因此,当前的“自主发展”模式能指出从“国外引进”的理论不适合我国审计机关现实的问题,但研究者和审计人员还不能提出科学解决这些问题的措施,我国的政府信息系统审计处在能破不能立的尴尬状态。
2. 缺乏各方共同认可的价值观,不同审计机关间观点难以统一
我国审计机关的信息系统审计实践探索实际上是一个试错过程,“摸着石头过河”,如果一个方向能够走得通则继续发展,如果走不通则改变方向继续探索,不断的试错中缺少能够被广泛认同的核心价值观。从目前开展的政府信息系统审计来看,内容涉及合规性判断、安全性评价、风险揭示以及类似于投资审计的IT绩效审计,而这些内容很多时候是难以调和到一起的。
不同审计机关的探索相互之间很难达成共识。那些不认同国外模式的审计机关,大多在按照自己的理解发展,认为自己的做法切合实际;同时上下级审计机关之间,也缺乏相同的信息系统审计价值观,所关注的重点难以统一。即使在学术探讨中,学者们对政府信息系统审计相关概念的提法也各不相同,名词不一,缺少相互之间进行沟通交流的知识与语言基础。
二、 两条发展途径的比较和选择
从以上论述我们可以看出,当前的政府信息系统审计处于一个比较与选择、总结与思考的关键点。在“国外引进”与“自主发展”之间,我们是迷茫和困顿的:以后的发展途径我们该如何选择?是从“国外引进”,还是“自主发展”,抑或是其他的途径?
(一) 完全从“国外引进”可以吗?
从体系角度来看,ISACA、GAO、IIA和日本的信息系统审计知识体系都经过了多年的发展,形成了各自的特色,那么我国审计机关直接从国外引进可以吗?答案是否定的。
首先,如果审计机关依照“国外引进”模式开展信息系统审计,法律依据暂时无法解决,因为国外的标准显然不能作为我国审计机关审计取证和审计定性的依据,这是一个无法回避且在短期内也无法解决的现实问题。
其次,国外主流的信息系统审计模式是以内部控制为基础,而我国尚未建立比较完善的内控体系,同时应该花费多少资金用于信息化的内控也是难以统一的问题,这样基于内控的信息系统审计显得过于理想化而很难得到大多数被审计单位的认同。
最后,如果一味地引进,则我国的政府信息系统审计会陷入一种 “落后—引进—落后”的怪圈状态。学习别人的经验固然非常重要,国外的理论可以向我们传输信息系统审计的基本原理,让我们认识和了解该领域的最新进展,但是这不能替代我们对历史和现实情况的调查研究,不能替代我们基于现实的选择。
由此可见,“国外引进”模式在目前存在很多无法解决的问题,单一的“国外引进”模式是行不通的。
(二) 彻底抛弃“国外引进”可以吗?
既然从“国外引进”是行不通的,那么我们可以彻底抛弃国外模式吗?答案也是否定的。
第一,国外的信息系统审计经过多年发展,有很多值得我国借鉴的内容。西方的信息系统审计经历了较长时期的发展,形成了比较完整的体系,至少它们在培养人员、开拓思维上是不能被抛开的。
第二,我国政府信息系统审计的发展存在路径依赖,前期国外理论的引进,随后“自主发展”模式的探索,都对政府信息系统审计的发展途径产生重要影响。长期的“国外引进”,教育培训所采用的教材主要是ISACA、GAO或IIA的内容,或者是从上述三种衍生而来的,这在思想上具有极大的影响,对大多数审计机关中的信息系统审计人员来说,他们无法摆脱ISACA、GAO和IIA的影响,因为这些观点已经通过培训变得根深蒂固。 (责任编辑:南粤论文中心)转贴于南粤论文中心: http://www.nylw.net(南粤论文中心__代写代发论文_毕业论文带写_广州职称论文代发_广州论文网)
顶一下
(0)
0%
踩一下
(0)
0%
版权声明:因本文均来自于网络,如果有版权方面侵犯,请及时联系本站删除.