貴州財經(jīng)學(xué)院會計學(xué)院 劉 杰

信息系統(tǒng)審計質(zhì)量控制準(zhǔn)則研究

貴州財經(jīng)學(xué)院會計學(xué)院 劉 杰

信息系統(tǒng)審計準(zhǔn)則規(guī)定了信息系統(tǒng)審計人員在審計工作中應(yīng)遵循的操作規(guī)范，同時也規(guī)定了信息系統(tǒng)審計工作應(yīng)達(dá)到的質(zhì)量要求。為保證信息系統(tǒng)審計工作能按照規(guī)范的要求執(zhí)行，就必須制定相關(guān)的信息系統(tǒng)審計質(zhì)量控制準(zhǔn)則，對信息系統(tǒng)審計進(jìn)行質(zhì)量控制。在絕大多數(shù)國家，信息系統(tǒng)審計還末納入到強(qiáng)制性審計的范疇，基本上還屬于自愿性審計的范疇，也談不上制定相關(guān)的信息系統(tǒng)審計質(zhì)量控制準(zhǔn)則，對信息系統(tǒng)審計進(jìn)行質(zhì)量控制。在現(xiàn)有的信息系統(tǒng)審計準(zhǔn)則中，僅有ISACA在審計指南《審計章程》（G5）中粗略地對審計質(zhì)量控制進(jìn)行了闡述，不具有可操作性，對于指導(dǎo)審計人員進(jìn)行質(zhì)量控制還是遠(yuǎn)遠(yuǎn)不夠的。隨著信息技術(shù)在社會經(jīng)濟(jì)活動中的廣泛應(yīng)用以及審計人員素質(zhì)的提高，信息系統(tǒng)必將納入到強(qiáng)制性審計的范疇，制定信息系統(tǒng)審計質(zhì)量控制準(zhǔn)則也將提上日程。本文擬在借借鑒國外審計質(zhì)量控制準(zhǔn)則的基礎(chǔ)上，研究我國信息系統(tǒng)審計質(zhì)量控制準(zhǔn)則的構(gòu)建。

一、國外審計質(zhì)量控制準(zhǔn)則研究現(xiàn)狀

眾所周之，美國是實施審計質(zhì)量控制最早的國家。早在1978年，美國注冊會計師協(xié)會專門成立了質(zhì)量控制準(zhǔn)則委員會（Quality Control Standards Committee，以下簡稱QCSC），負(fù)責(zé)頒布會計師事務(wù)所質(zhì)量控制標(biāo)準(zhǔn)。該委員會于1979年11月發(fā)布了第1號質(zhì)量控制公告《質(zhì)量控制九要素》（SQCSNo.1，AQuality ControlSystem Consists ofNine Elements），提出質(zhì)量控制必須考慮的九個要素，以指導(dǎo)事務(wù)所建立合適的質(zhì)量控制政策和程序。繼1979年頒布SQCS NO.1后，又陸續(xù)公布了SQCSNO.2，SQCSNO.3，SQCSNO.4，SQCS NO.5，SQCSNO.6和SQCSNO.7。SQCSNO.7（A Firm’s Systems of Quality Control）于2007年由AICPA的審計準(zhǔn)則委員會頒布，用于取代前面頒布的所有審計質(zhì)量控制準(zhǔn)則。SQCSNO.7于2009年2月開始實施，其目標(biāo)并不是與以前的質(zhì)量控制準(zhǔn)則完全不同，新的質(zhì)量控制準(zhǔn)則擴(kuò)展了以前的質(zhì)量控制準(zhǔn)則。在SQCSNo.7中，AICPA提出了審計質(zhì)量控制的六要素，即對業(yè)務(wù)質(zhì)量承擔(dān)的領(lǐng)導(dǎo)責(zé)任（Leadership responsibilities forqualitywithin the firm）；職業(yè)道德規(guī)范（Relevantethical requirements）；客戶關(guān)系與具體業(yè)務(wù)的承接與續(xù)約（Acceptance and continuance of client relationships and specific engagements）；人力資源（Human resources）；業(yè)務(wù)執(zhí)行（Engagement performance）；監(jiān)控（Monitoring）。

為加強(qiáng)對事務(wù)所審計執(zhí)行財務(wù)報告評審以及其它鑒證業(yè)務(wù)的質(zhì)量控制，IFAC也于2009年頒布了《事務(wù)所審計、財務(wù)報告評審以及其它鑒證及相關(guān)業(yè)務(wù)的質(zhì)量控制》（ISQCNo.1，Quality Control for Firms that Perform Audits and Reviews of Financial Statements and Other Assurance and Related Services Engagements）準(zhǔn)則，并于2009年12月15日開始實施。ISQCNo.1同樣提出了與SQCSNo.7一樣的質(zhì)量控制六要素，ISQCNo.1是審計師事務(wù)所為審計工作質(zhì)量控制提供合理的保證，而應(yīng)采取的控制方針和程序。在ISQCNo.1的基礎(chǔ)上，IFAC根據(jù)ISQCNo.1的質(zhì)量控制六要素頒布了第220號國際審計準(zhǔn)則《財務(wù)報告審計質(zhì)量控制》（ISA220，Quality Control foran AuditofFinancialStatements，2009），ISA220是在假設(shè)事務(wù)所遵循了ISQCNo.1要求的基礎(chǔ)上專門針對財務(wù)報告審計的質(zhì)量控制。由上述對ISQCNo.1和ISA220的闡述可知，ISQCNo.1與ISA220是宏觀與微觀的關(guān)系（如圖1所示），兩者并不能互相替代。

ISQCNo.1是ISA220的基礎(chǔ)，ISQCNo.1全面闡述了事務(wù)所執(zhí)行財務(wù)報告評審以及其它鑒證及相關(guān)業(yè)務(wù)的質(zhì)量控制，具有普遍性，而ISA220是具體到財務(wù)報告審計質(zhì)量的控制，具有較強(qiáng)針對性。

二、國外審計質(zhì)量控制準(zhǔn)則對信息系統(tǒng)審計質(zhì)量控制準(zhǔn)則制定的啟示

AICPA與IFAC發(fā)布的審計質(zhì)量控制準(zhǔn)則提出了審計質(zhì)量控制的諸多要素，這對于推動世界范圍的審計質(zhì)量控制起著相當(dāng)重要的作用，但SQCSNo.7、ISQCNo.1與ISA220主要是為滿足財務(wù)審計質(zhì)量控制的要求。這種審計質(zhì)量控制準(zhǔn)則的現(xiàn)狀與其上級機(jī)構(gòu)的性質(zhì)存在著很強(qiáng)的聯(lián)系，AICPA與IFAC主要致力于財務(wù)會計準(zhǔn)則的制定，信息系統(tǒng)審計是以財務(wù)審計為主線，其下屬機(jī)構(gòu)所發(fā)布的質(zhì)量控制準(zhǔn)則則主要是針對財務(wù)審計而言的。隨著信息技術(shù)在企業(yè)經(jīng)營管理中的廣泛應(yīng)用，AICPA與IFAC在其質(zhì)量控制準(zhǔn)則中也考慮到信息技術(shù)對財務(wù)審計的影響，將信息技術(shù)對財務(wù)審計的影響融入到具體準(zhǔn)則中，而頒布專門針對信息系統(tǒng)審計方面的質(zhì)量控制準(zhǔn)則則還有一段很長的路要走。

信息系統(tǒng)的風(fēng)險，同其它審計對象的風(fēng)險相比，更具有隱蔽性，破壞性更強(qiáng)，舞弊手段及方法更為先進(jìn)，若不采用嚴(yán)格的信息系統(tǒng)審計質(zhì)量控制準(zhǔn)則或措施，在信息系統(tǒng)審計過程中，審計人員即使忽視一段小程序代碼的審計也可能導(dǎo)致整個信息系統(tǒng)的癱瘓，從而造成巨大的經(jīng)濟(jì)損失，如UT斯達(dá)康深圳分公司一位工程師利用管理上的漏洞，輕而易舉地繞開了耗費1.2億元建立起來的網(wǎng)絡(luò)完全體系，侵入北京移動通信公司充值中心數(shù)據(jù)庫，修改充值卡原始數(shù)據(jù)并竊取了充值卡密碼，然后通過淘寶網(wǎng)和QQ向他人出售，致使北京移動通信公司損失近380萬元；2008年，法國第二大銀行——興業(yè)銀行的交易員杰羅斯·凱維埃爾侵入銀行的計算機(jī)系統(tǒng)進(jìn)行未經(jīng)授權(quán)的交易導(dǎo)致該損失49億歐元，這幾乎等于該銀行一年的總收入，這是歷史上單個交易員所造成的最大一筆損失，超過了英國巴林銀行交易員尼克·利森造成的14億美元損失，而巴林銀行因此破產(chǎn)。因此，對信息系統(tǒng)審計的質(zhì)量控制應(yīng)當(dāng)更嚴(yán)格，忽視對信息系統(tǒng)審計質(zhì)量的控制，不僅僅是讓被審計過的信息系統(tǒng)成為一個巨大的“檸檬”，更為重要的是會為企業(yè)造成巨大的損失埋下隱患。

以財務(wù)審計為主線的審計質(zhì)量控制準(zhǔn)則適用于信息系統(tǒng)審計時，存在著一定的缺陷，但I(xiàn)SQCNo.1與SQCSNo.7的質(zhì)量控制六要素體現(xiàn)了系統(tǒng)論與控制論的觀點（如圖2所示）。依據(jù)系統(tǒng)論的觀點，審計活動可分為審計資源的輸入、審計業(yè)務(wù)活動的執(zhí)行與審計報告的出具三個過程。ISQCNo.1與SQCSNo.7的質(zhì)量控制六要素分別嵌入到了這三個過程中。ISQCNo.1與SQCSNo.7通過對業(yè)務(wù)質(zhì)量承擔(dān)的領(lǐng)導(dǎo)責(zé)任、職業(yè)道德規(guī)范、客戶關(guān)系與具體業(yè)務(wù)的承接與續(xù)約、人力資源等四個方面控制審計資源的輸入，通過質(zhì)量控制的要素業(yè)務(wù)執(zhí)行控制審計業(yè)務(wù)活動的執(zhí)行過程，對事務(wù)所質(zhì)量控制的政策與程序進(jìn)行監(jiān)控，督促事務(wù)所對所執(zhí)行的審計業(yè)務(wù)建立事前、事中和事后的質(zhì)量控制體系。ISQCNo.1與SQCSNo.7所提出的質(zhì)量控制六要素對于信息系統(tǒng)審計質(zhì)量控制準(zhǔn)則的制定有著十分重要的借鑒意義。在制定信息系統(tǒng)審計質(zhì)量控制準(zhǔn)則時，應(yīng)當(dāng)借鑒ISQCNo.1與SQCSNo.7的審計質(zhì)量控制六要素，根據(jù)信息系統(tǒng)審計程序與內(nèi)容制定和發(fā)布信息系統(tǒng)審計質(zhì)量控制準(zhǔn)則。

同時，信息系統(tǒng)審計質(zhì)量控制準(zhǔn)則的制定需要專門的信息系統(tǒng)審計制定機(jī)構(gòu)，如ISACA，應(yīng)擺脫信息系統(tǒng)審計質(zhì)量控制依附于傳統(tǒng)財務(wù)審計質(zhì)量控制準(zhǔn)則的現(xiàn)狀。以財務(wù)審計為主線的信息系統(tǒng)審計是在當(dāng)前條件下信息系統(tǒng)審計人力、物力等資源匱乏情況下的理性選擇，一旦這種“資源瓶勁”問題得到解決，信息系統(tǒng)審計將不再完全以財務(wù)審計為主線，而是與財務(wù)審計相輔相成，則信息系統(tǒng)審計質(zhì)量控制準(zhǔn)則的重要性就會凸現(xiàn)出來。依附于傳統(tǒng)財務(wù)審計所制定信息系統(tǒng)審計質(zhì)量控制準(zhǔn)則針對性程度不高，不能全面、合理地考慮信息系統(tǒng)以及信息系統(tǒng)審計所具有的特殊性，我國在制定信息系統(tǒng)審計質(zhì)量控制準(zhǔn)則時應(yīng)逐步擺脫這種質(zhì)量控制準(zhǔn)則的制定模式。

三、我國信息系統(tǒng)審計質(zhì)量控制準(zhǔn)則的構(gòu)建

我國對信息系統(tǒng)的審計均出于“真實、合法、效益”審計目標(biāo)，質(zhì)量控制方面準(zhǔn)則的重點都在財務(wù)審計方面，而對產(chǎn)生財務(wù)信息的信息系統(tǒng)進(jìn)行審計的質(zhì)量控制準(zhǔn)則還處于空白狀態(tài)。目前ISACA的精力也主要放在信息系統(tǒng)審計準(zhǔn)則的制定上面，還未轉(zhuǎn)移到質(zhì)量控制準(zhǔn)則的制定上來。我國1996年出臺了《中國注冊會計師質(zhì)量控制基本準(zhǔn)則》，雖然在準(zhǔn)則中對全面質(zhì)量控制與審計項目質(zhì)量控制進(jìn)行了闡述，但該準(zhǔn)則只是一個總體性框架，原則性強(qiáng)、可操作性弱（葉少琴，2002）。隨著我國的經(jīng)濟(jì)日漸融入全球經(jīng)濟(jì)的大潮，完善審計準(zhǔn)則，加快國際趨同，已成為經(jīng)濟(jì)發(fā)展的必然要求。為同國際審計準(zhǔn)則趨同，中注協(xié)于2006年將“中國注冊會計師質(zhì)量控制基本準(zhǔn)則”改名為“會計師事務(wù)所質(zhì)量控制準(zhǔn)則”，并在會計師事務(wù)所質(zhì)量控制準(zhǔn)則中包含了質(zhì)量控制的七要素，即：（1）事務(wù)所領(lǐng)導(dǎo)者的質(zhì)量控制責(zé)任；（2）職業(yè)道德規(guī)范；（3）客戶與特殊業(yè)務(wù)的承接與續(xù)約；（4）人力資源；（5）委托業(yè)務(wù)的執(zhí)行；（6）業(yè)務(wù)工作底稿；（7）監(jiān)控。目前已發(fā)布《會計師事務(wù)所質(zhì)量控制準(zhǔn)則第5101號——業(yè)務(wù)質(zhì)量控制》和《會計師事務(wù)所質(zhì)量控制準(zhǔn)則第1121號——財務(wù)報表審計的質(zhì)量控制》。5101號審計準(zhǔn)則是審計質(zhì)量控制準(zhǔn)則的基本準(zhǔn)則，而1121號審計質(zhì)量控制準(zhǔn)則是在5101號審計質(zhì)量控制準(zhǔn)則的基礎(chǔ)上制定的，專門針對歷史財務(wù)信息審計的質(zhì)量控制準(zhǔn)則。我國在信息系統(tǒng)審計質(zhì)量控制的架構(gòu)方面同樣也應(yīng)采用基本準(zhǔn)則——具體準(zhǔn)則，具體準(zhǔn)則主要制定針對某個具體審計項目的質(zhì)量控制準(zhǔn)則。中注協(xié)所頒布的第5101號質(zhì)量控制準(zhǔn)則借鑒了國際審計準(zhǔn)則的質(zhì)量控制六要素，體現(xiàn)了系統(tǒng)論與控制論的思想。信息系統(tǒng)審計是審計的一個特殊分支，在基本準(zhǔn)則方面沒有必要再浪費大量的人力、物力、財力去制定信息系統(tǒng)審計的基本準(zhǔn)則，可以結(jié)合信息系統(tǒng)審計實踐的要求繼續(xù)采用和完善《會計師事務(wù)所質(zhì)量控制準(zhǔn)則第5101號——業(yè)務(wù)質(zhì)量控制》的內(nèi)容，對信息系統(tǒng)審計業(yè)務(wù)的承接、職業(yè)道德規(guī)范、領(lǐng)導(dǎo)者的質(zhì)量控制責(zé)任、人力資源以及監(jiān)控等質(zhì)量控制要素進(jìn)行闡述，同時也要對委托業(yè)務(wù)執(zhí)行等質(zhì)量控制要素進(jìn)行闡述，防止在具體質(zhì)量控制準(zhǔn)則沒有進(jìn)行規(guī)范時形成信息系統(tǒng)審計質(zhì)量控制的空白區(qū)域。

結(jié)合信息系統(tǒng)審計的內(nèi)容，我國信息系統(tǒng)審計質(zhì)量控制的具體準(zhǔn)則應(yīng)當(dāng)包括信息系統(tǒng)內(nèi)部控制審計質(zhì)量控制準(zhǔn)則、系統(tǒng)生命周期審計質(zhì)量控制準(zhǔn)則、信息系統(tǒng)軟硬件審計質(zhì)量控制準(zhǔn)則、信息系統(tǒng)安全審計質(zhì)量控制準(zhǔn)則以及信息系統(tǒng)績效審計質(zhì)量控制準(zhǔn)則等（如圖3所示）。

審計質(zhì)量包括內(nèi)涵和外延兩個部分，即審計實施中各個作業(yè)環(huán)節(jié)的工作質(zhì)量和外在社會效益質(zhì)量，前者指審計實施過程中各個環(huán)節(jié)應(yīng)達(dá)到的標(biāo)準(zhǔn)，后者表現(xiàn)為三個方面：在國家宏觀調(diào)控方面發(fā)揮作用；為廉政建設(shè)服務(wù)；為提高企業(yè)經(jīng)營管理水平服務(wù)（王福正，1989）。審計工作質(zhì)量是一個概念，要通過整個審計工作全過程的各個環(huán)節(jié)綜合地反映出來。審計工作質(zhì)量的好壞最終是體現(xiàn)在審計報告之中，對被審計單位的審計結(jié)論是否正確、適當(dāng)和完整（李金華，1992）。信息系統(tǒng)審計的具體質(zhì)量控制準(zhǔn)則主要是闡述如何對審計工作進(jìn)行質(zhì)量控制，應(yīng)該從過程和結(jié)果兩個方面進(jìn)行。信息系統(tǒng)審計過程的質(zhì)量是指在信息系統(tǒng)審計業(yè)務(wù)執(zhí)行過程中各項工作的優(yōu)劣程度，對審計過程的質(zhì)量控制主要體現(xiàn)在對信息系統(tǒng)審計業(yè)務(wù)執(zhí)行過程中的各項工作的優(yōu)劣程度進(jìn)行控制。信息系統(tǒng)審計結(jié)果質(zhì)量是指信息系統(tǒng)審計結(jié)果的可靠性，對被審計單位的審計結(jié)論是否正確、適當(dāng)和完整。審計的最終結(jié)果主要體現(xiàn)在信息系統(tǒng)審計人員出具的信息系統(tǒng)審計報告及其提供的審計意見上，其質(zhì)量控制主要是對信息系統(tǒng)審計人員所出具的信息系統(tǒng)審計報告及其審計意見進(jìn)行質(zhì)量控制。對信息系統(tǒng)審計質(zhì)量控制的具體準(zhǔn)則應(yīng)當(dāng)按照審計流程來設(shè)計審計質(zhì)量控制準(zhǔn)則與審計質(zhì)量復(fù)核準(zhǔn)則，包括審計計劃階段的質(zhì)量控制與復(fù)核、審計實施階段的質(zhì)量控制與復(fù)核、審計報告的質(zhì)量控制與復(fù)核以及后續(xù)審計的質(zhì)量控制與復(fù)核（如圖4所示）。按照這種方式設(shè)計的審計質(zhì)量控制準(zhǔn)則體現(xiàn)了系統(tǒng)論與控制論的思想，有利于建立事前、事中以及事后的質(zhì)量控制體系，對信息系統(tǒng)審計項目的審計過程進(jìn)行全面的質(zhì)量控制。

信息系統(tǒng)審計是一個相對較新的領(lǐng)域，對于信息系統(tǒng)審計準(zhǔn)則的研究處于落后的境地，而對于信息系統(tǒng)審計控制準(zhǔn)則的研究更是處于更加落后的境地，這勢必會影響到我國信息系統(tǒng)審計實踐的發(fā)展。因此，希望本文的研究在起到拋磚作用的同時，能對我國信息系統(tǒng)審計質(zhì)量控制準(zhǔn)則的構(gòu)建起到有建設(shè)性的作用。

［1］陳耿、王萬軍：《信息系統(tǒng)審計》，清華大學(xué)出版社2009年版。

［2］王硯書：《審計理論專題研究》，河北人民出版社2006年版。

［3］劉杰：《我國信息系統(tǒng)審計規(guī)范體系研究》，廈門大學(xué)2010年博士學(xué)位論文。

［4］ISQC No.1，Quality Control for Firms that Perform Audits and Reviewsof Financial Statementsand Other Assurance and Related ServicesEngagements［S］．IFAC，2009.

［5］SQCS NO.7，A Firm’s Systems of Quality Control［S］．AICPA，2007.

［6］ISACA ISStandards，Guidelinesand Procedures for Auditing and ControlProfessionals［R］．ISACA，2009．

（作者系廈門大學(xué)博士）

（編輯 余俊娟）