信息系統審計質量控制準則研究

貴州財經學院會計學院 劉 杰

信息系統審計質量控制準則研究

貴州財經學院會計學院 劉 杰

信息系統審計準則規定了信息系統審計人員在審計工作中應遵循的操作規范，同時也規定了信息系統審計工作應達到的質量要求。為保證信息系統審計工作能按照規范的要求執行，就必須制定相關的信息系統審計質量控制準則，對信息系統審計進行質量控制。在絕大多數國家，信息系統審計還末納入到強制性審計的范疇，基本上還屬于自愿性審計的范疇，也談不上制定相關的信息系統審計質量控制準則，對信息系統審計進行質量控制。在現有的信息系統審計準則中，僅有ISACA在審計指南《審計章程》（G5）中粗略地對審計質量控制進行了闡述，不具有可操作性，對于指導審計人員進行質量控制還是遠遠不夠的。隨著信息技術在社會經濟活動中的廣泛應用以及審計人員素質的提高，信息系統必將納入到強制性審計的范疇，制定信息系統審計質量控制準則也將提上日程。本文擬在借借鑒國外審計質量控制準則的基礎上，研究我國信息系統審計質量控制準則的構建。

一、國外審計質量控制準則研究現狀

眾所周之，美國是實施審計質量控制最早的國家。早在1978年，美國注冊會計師協會專門成立了質量控制準則委員會（Quality Control Standards Committee，以下簡稱QCSC），負責頒布會計師事務所質量控制標準。該委員會于1979年11月發布了第1號質量控制公告《質量控制九要素》（SQCSNo.1，AQuality ControlSystem Consists ofNine Elements），提出質量控制必須考慮的九個要素，以指導事務所建立合適的質量控制政策和程序。繼1979年頒布SQCS NO.1后，又陸續公布了SQCSNO.2，SQCSNO.3，SQCSNO.4，SQCS NO.5，SQCSNO.6和SQCSNO.7。SQCSNO.7（A Firm’s Systems of Quality Control）于2007年由AICPA的審計準則委員會頒布，用于取代前面頒布的所有審計質量控制準則。SQCSNO.7于2009年2月開始實施，其目標并不是與以前的質量控制準則完全不同，新的質量控制準則擴展了以前的質量控制準則。在SQCSNo.7中，AICPA提出了審計質量控制的六要素，即對業務質量承擔的領導責任（Leadership responsibilities forqualitywithin the firm）；職業道德規范（Relevantethical requirements）；客戶關系與具體業務的承接與續約（Acceptance and continuance of client relationships and specific engagements）；人力資源（Human resources）；業務執行（Engagement performance）；監控（Monitoring）。

為加強對事務所審計執行財務報告評審以及其它鑒證業務的質量控制，IFAC也于2009年頒布了《事務所審計、財務報告評審以及其它鑒證及相關業務的質量控制》（ISQCNo.1，Quality Control for Firms that Perform Audits and Reviews of Financial Statements and Other Assurance and Related Services Engagements）準則，并于2009年12月15日開始實施。ISQCNo.1同樣提出了與SQCSNo.7一樣的質量控制六要素，ISQCNo.1是審計師事務所為審計工作質量控制提供合理的保證，而應采取的控制方針和程序。在ISQCNo.1的基礎上，IFAC根據ISQCNo.1的質量控制六要素頒布了第220號國際審計準則《財務報告審計質量控制》（ISA220，Quality Control foran AuditofFinancialStatements，2009），ISA220是在假設事務所遵循了ISQCNo.1要求的基礎上專門針對財務報告審計的質量控制。由上述對ISQCNo.1和ISA220的闡述可知，ISQCNo.1與ISA220是宏觀與微觀的關系（如圖1所示），兩者并不能互相替代。

ISQCNo.1是ISA220的基礎，ISQCNo.1全面闡述了事務所執行財務報告評審以及其它鑒證及相關業務的質量控制，具有普遍性，而ISA220是具體到財務報告審計質量的控制，具有較強針對性。

二、國外審計質量控制準則對信息系統審計質量控制準則制定的啟示

AICPA與IFAC發布的審計質量控制準則提出了審計質量控制的諸多要素，這對于推動世界范圍的審計質量控制起著相當重要的作用，但SQCSNo.7、ISQCNo.1與ISA220主要是為滿足財務審計質量控制的要求。這種審計質量控制準則的現狀與其上級機構的性質存在著很強的聯系，AICPA與IFAC主要致力于財務會計準則的制定，信息系統審計是以財務審計為主線，其下屬機構所發布的質量控制準則則主要是針對財務審計而言的。隨著信息技術在企業經營管理中的廣泛應用，AICPA與IFAC在其質量控制準則中也考慮到信息技術對財務審計的影響，將信息技術對財務審計的影響融入到具體準則中，而頒布專門針對信息系統審計方面的質量控制準則則還有一段很長的路要走。

信息系統的風險，同其它審計對象的風險相比，更具有隱蔽性，破壞性更強，舞弊手段及方法更為先進，若不采用嚴格的信息系統審計質量控制準則或措施，在信息系統審計過程中，審計人員即使忽視一段小程序代碼的審計也可能導致整個信息系統的癱瘓，從而造成巨大的經濟損失，如UT斯達康深圳分公司一位工程師利用管理上的漏洞，輕而易舉地繞開了耗費1.2億元建立起來的網絡完全體系，侵入北京移動通信公司充值中心數據庫，修改充值卡原始數據并竊取了充值卡密碼，然后通過淘寶網和QQ向他人出售，致使北京移動通信公司損失近380萬元；2008年，法國第二大銀行——興業銀行的交易員杰羅斯·凱維埃爾侵入銀行的計算機系統進行未經授權的交易導致該損失49億歐元，這幾乎等于該銀行一年的總收入，這是歷史上單個交易員所造成的最大一筆損失，超過了英國巴林銀行交易員尼克·利森造成的14億美元損失，而巴林銀行因此破產。因此，對信息系統審計的質量控制應當更嚴格，忽視對信息系統審計質量的控制，不僅僅是讓被審計過的信息系統成為一個巨大的“檸檬”，更為重要的是會為企業造成巨大的損失埋下隱患。

以財務審計為主線的審計質量控制準則適用于信息系統審計時，存在著一定的缺陷，但ISQCNo.1與SQCSNo.7的質量控制六要素體現了系統論與控制論的觀點（如圖2所示）。依據系統論的觀點，審計活動可分為審計資源的輸入、審計業務活動的執行與審計報告的出具三個過程。ISQCNo.1與SQCSNo.7的質量控制六要素分別嵌入到了這三個過程中。ISQCNo.1與SQCSNo.7通過對業務質量承擔的領導責任、職業道德規范、客戶關系與具體業務的承接與續約、人力資源等四個方面控制審計資源的輸入，通過質量控制的要素業務執行控制審計業務活動的執行過程，對事務所質量控制的政策與程序進行監控，督促事務所對所執行的審計業務建立事前、事中和事后的質量控制體系。ISQCNo.1與SQCSNo.7所提出的質量控制六要素對于信息系統審計質量控制準則的制定有著十分重要的借鑒意義。在制定信息系統審計質量控制準則時，應當借鑒ISQCNo.1與SQCSNo.7的審計質量控制六要素，根據信息系統審計程序與內容制定和發布信息系統審計質量控制準則。

同時，信息系統審計質量控制準則的制定需要專門的信息系統審計制定機構，如ISACA，應擺脫信息系統審計質量控制依附于傳統財務審計質量控制準則的現狀。以財務審計為主線的信息系統審計是在當前條件下信息系統審計人力、物力等資源匱乏情況下的理性選擇，一旦這種“資源瓶勁”問題得到解決，信息系統審計將不再完全以財務審計為主線，而是與財務審計相輔相成，則信息系統審計質量控制準則的重要性就會凸現出來。依附于傳統財務審計所制定信息系統審計質量控制準則針對性程度不高，不能全面、合理地考慮信息系統以及信息系統審計所具有的特殊性，我國在制定信息系統審計質量控制準則時應逐步擺脫這種質量控制準則的制定模式。

三、我國信息系統審計質量控制準則的構建

我國對信息系統的審計均出于“真實、合法、效益”審計目標，質量控制方面準則的重點都在財務審計方面，而對產生財務信息的信息系統進行審計的質量控制準則還處于空白狀態。目前ISACA的精力也主要放在信息系統審計準則的制定上面，還未轉移到質量控制準則的制定上來。我國1996年出臺了《中國注冊會計師質量控制基本準則》，雖然在準則中對全面質量控制與審計項目質量控制進行了闡述，但該準則只是一個總體性框架，原則性強、可操作性弱（葉少琴，2002）。隨著我國的經濟日漸融入全球經濟的大潮，完善審計準則，加快國際趨同，已成為經濟發展的必然要求。為同國際審計準則趨同，中注協于2006年將“中國注冊會計師質量控制基本準則”改名為“會計師事務所質量控制準則”，并在會計師事務所質量控制準則中包含了質量控制的七要素，即：（1）事務所領導者的質量控制責任；（2）職業道德規范；（3）客戶與特殊業務的承接與續約；（4）人力資源；（5）委托業務的執行；（6）業務工作底稿；（7）監控。目前已發布《會計師事務所質量控制準則第5101號——業務質量控制》和《會計師事務所質量控制準則第1121號——財務報表審計的質量控制》。5101號審計準則是審計質量控制準則的基本準則，而1121號審計質量控制準則是在5101號審計質量控制準則的基礎上制定的，專門針對歷史財務信息審計的質量控制準則。我國在信息系統審計質量控制的架構方面同樣也應采用基本準則——具體準則，具體準則主要制定針對某個具體審計項目的質量控制準則。中注協所頒布的第5101號質量控制準則借鑒了國際審計準則的質量控制六要素，體現了系統論與控制論的思想。信息系統審計是審計的一個特殊分支，在基本準則方面沒有必要再浪費大量的人力、物力、財力去制定信息系統審計的基本準則，可以結合信息系統審計實踐的要求繼續采用和完善《會計師事務所質量控制準則第5101號——業務質量控制》的內容，對信息系統審計業務的承接、職業道德規范、領導者的質量控制責任、人力資源以及監控等質量控制要素進行闡述，同時也要對委托業務執行等質量控制要素進行闡述，防止在具體質量控制準則沒有進行規范時形成信息系統審計質量控制的空白區域。

結合信息系統審計的內容，我國信息系統審計質量控制的具體準則應當包括信息系統內部控制審計質量控制準則、系統生命周期審計質量控制準則、信息系統軟硬件審計質量控制準則、信息系統安全審計質量控制準則以及信息系統績效審計質量控制準則等（如圖3所示）。

審計質量包括內涵和外延兩個部分，即審計實施中各個作業環節的工作質量和外在社會效益質量，前者指審計實施過程中各個環節應達到的標準，后者表現為三個方面：在國家宏觀調控方面發揮作用；為廉政建設服務；為提高企業經營管理水平服務（王福正，1989）。審計工作質量是一個概念，要通過整個審計工作全過程的各個環節綜合地反映出來。審計工作質量的好壞最終是體現在審計報告之中，對被審計單位的審計結論是否正確、適當和完整（李金華，1992）。信息系統審計的具體質量控制準則主要是闡述如何對審計工作進行質量控制，應該從過程和結果兩個方面進行。信息系統審計過程的質量是指在信息系統審計業務執行過程中各項工作的優劣程度，對審計過程的質量控制主要體現在對信息系統審計業務執行過程中的各項工作的優劣程度進行控制。信息系統審計結果質量是指信息系統審計結果的可靠性，對被審計單位的審計結論是否正確、適當和完整。審計的最終結果主要體現在信息系統審計人員出具的信息系統審計報告及其提供的審計意見上，其質量控制主要是對信息系統審計人員所出具的信息系統審計報告及其審計意見進行質量控制。對信息系統審計質量控制的具體準則應當按照審計流程來設計審計質量控制準則與審計質量復核準則，包括審計計劃階段的質量控制與復核、審計實施階段的質量控制與復核、審計報告的質量控制與復核以及后續審計的質量控制與復核（如圖4所示）。按照這種方式設計的審計質量控制準則體現了系統論與控制論的思想，有利于建立事前、事中以及事后的質量控制體系，對信息系統審計項目的審計過程進行全面的質量控制。

信息系統審計是一個相對較新的領域，對于信息系統審計準則的研究處于落后的境地，而對于信息系統審計控制準則的研究更是處于更加落后的境地，這勢必會影響到我國信息系統審計實踐的發展。因此，希望本文的研究在起到拋磚作用的同時，能對我國信息系統審計質量控制準則的構建起到有建設性的作用。

［1］陳耿、王萬軍：《信息系統審計》，清華大學出版社2009年版。

［2］王硯書：《審計理論專題研究》，河北人民出版社2006年版。

［3］劉杰：《我國信息系統審計規范體系研究》，廈門大學2010年博士學位論文。

［4］ISQC No.1，Quality Control for Firms that Perform Audits and Reviewsof Financial Statementsand Other Assurance and Related ServicesEngagements［S］．IFAC，2009.

［5］SQCS NO.7，A Firm’s Systems of Quality Control［S］．AICPA，2007.

［6］ISACA ISStandards，Guidelinesand Procedures for Auditing and ControlProfessionals［R］．ISACA，2009．

（作者系廈門大學博士）

（編輯 余俊娟）