总第 666 期
【作 者】
刘 杰(博士) 黄忠莉
【作者单位】
(贵州财经大学会计学院 贵阳 550004)
【摘 要】
【摘要】目前我国信息系统审计规范的制定尚处于薄弱阶段,中国注册会计师协会、中国内部审计协会以及审计署对于信息系统审计准则的制定处于各自为政的阶段,缺乏相互之间的沟通与协调,信息系统审计规范制定的组织际资源未得到整合。为此,本文提出了我国信息系统审计规范制定的资源整合框架,以供相关组织参考。
【关键词】信息系统审计规范 资源整合 关系治理
关系治理的概念发源于美国法学家Macneil(1980)提出的关系契约理论,Macneil的观点引起了众多经济学和管理学研究者的关注,并被越来越多地应用于研究企业间的关系,组织间关系治理的关键问题是如何对网络组织中的伙伴关系进行治理,使每一个成员都能尽其所能,共同面对挑战。在当前环境下,我国信息系统审计规范制定机构在信息系统审计准则的制定方面处于各自为政的状态,这不利于我国信息系统审计规范的发展与完善。有鉴于此,本文以我国信息系统审计规范制定的组织际资源整合为研究对象,将关系治理的概念引入该问题的研究上。
一、信息系统审计规范制定的组织际现状
当前,我国审计准则体系按主体不同分为国家审计准则体系、注册会计师审计准则体系以及内部审计准则体系。这种各自独立自成体系的状况,其成因是多方面的,比如审计依据的不同:国家审计准则体系依据《审计法》制定,内部审计准则体系依据《审计法》和《审计署关于内部审计工作的规定》制定,注册会计师审计准则体系则是依据《注册会计师法》制定。审计目标、审计业务的性质等因素的不同也导致审计准则自成体系。准则制定的重点在于制定与颁布财务审计准则,而不是信息系统审计准则。在准则体系的具体内容方面,三类审计准则也存在着差异,所包含的内容也各自不同,如表1所示。
综上所述,国家审计准则体系框架与内部审计准则体系框架趋同程度最高,都是由基本审计准则、审计具体准则和实务指南组成,只是两者差异之处在于国家审计具体准则分为专业审计准则和通用审计准则,而内部审计具体准则没有进行区分。由于注册会计师审计准则体系在框架体系上与国际注册会计师联合会发布的审计准则体系趋同,其框架体系与国家审计准则体系和内部审计准则体系略有差别。我国审计准则规范制定的这种现状也或多或少地影响到了信息系统审计规范的制定,在制定信息系统审计规范方面各自为政,如表2所示。
二、现有信息系统审计准则制定组织际关系存在的弊端
中国注册会计师协会、中国内部审计协会以及审计署三方审计准则自成体系,除在制定机构、制定依据与适用范围等方面存在不同之外,还在审计目标、审计对象方面存在着一定的差异。 国家审计、内部审计与注册会计师审计总体来讲其审计目标都是对被审计单位的财政财务收支的真实、合法和效益发表意见,具体而言,却存在着一定程度的差异。国家审计的目标是评价各级财政收支及有关经济活动的真实、合法与效益;国际内部审计师协会(IIA)在其1999年颁布并于2002年1月1日起实施的《内部审计职业实务指南》中指出,内部审计是一种独立、客观的保证和咨询活动,其目的是增加组织的价值和改善组织的经营;美国注册会计师协会(AICPA)发布的《审计准则公告第1号》指出,“独立注册会计师对财务报表的审计目标,是对财务报表是否按照公认原则公允地反映财务状况、经营成果和现金流量发表意见。
在审计对象方面,三大审计也是存在着差别的。依据《宪法》和《审计法》规定,在国家审计中必须接受审计的部门和单位包括:国务院各部门、地方人民政府及其各部门,国有的金融机构,国有企业和国有资产占控股地位或者主导地位的企业,国家事业组织,其他应当接受审计的部门和单位,以及上述部门和单位的有关人员;内部审计的对象是被审计单位的经济活动;注册会计师审计则是从外部视角审查被审计单位的经济活动。因此,不同审计形式的审计目标不同,也就意味着彼此审计重点、审计责任和审计方法存在着差异,其自成体系有利于审计工作的开展。信息系统审计在不同的审计准则体系中服从于不同的总体审计目标,但这是否就意味着信息系统审计规范也应在国家审计准则体系、注册会计师审计准则体系以及内部审计准则体系中自成体系呢?
审计署发布的《2006年至2010年审计工作发展规划》和《2008年至2012年审计工作发展规划》中都将整合、利用审计资源提上了议事日程。国家审计、内部审计以及注册会计师审计共存导致的重复审计问题,已经成为目前审计界关注的热点问题,而信息系统审计的出现将使重复审计的矛盾更加突出。信息系统是一种工具,是由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统,其功能是输入、存储、处理、输出和控制。无论是在国家审计、内部审计,还是在注册会计师审计中,信息系统审计的主要内容包括信息系统内部控制审计、信息系统生命周期审计、信息系统安全审计以及信息系统软硬件审计等。而其审计目标,只是在文字表述上存在差异,其实质都是对被审计单位信息系统的资产保全、安全、可靠、有效和效率以及能否有效地使用组织资源、实现组织目标发表意见。由此可以推导出,由于信息系统审计目标、审计对象在国家审计、内部审计以及注册会计师审计中不存在太大的差异,信息系统审计的技术手段与程序也不会存在显著差异,因此对信息系统审计行为进行规范的相关审计规范体系更不会存在太大差异。
若分别由中国注册会计师协会、国家审计署以及中国内部审计协会制定与发布信息系统审计准则,则会出现如图1所示的组织际关系,不利于信息系统审计规范资源的整合,会形成信息系统审计准则制定资源方面的浪费。信息系统审计在国家审计、注册会计师审计和内部审计中内容基本上没有区别,都是对产生信息的工具进行审计。不同准则制定机构所颁布的信息系统审计规范也不会存在太大的差别,如中国内部审计协会于2008年就颁布了《内部审计具体准则第28号——信息系统审计》,虽然该具体准则可操性不强,但是若将准则中的内部审计换成国家审计或注册会计师审计,该准则同样适用于国家审计与注册会计师审计。这种分别制定审计准则的现状应用于信息系统审计准则的制定与整合审计资源的思想相背离,并且审计人员针对现有信息系统审计准则中的不足进行反馈时,要分别反馈给不同的准则制定机构,没有统一的准则制定机构收集整理反馈意见,增加了审计人员的反馈成本。
因此,从某种程度上说,现有的审计准则制定体系不利于信息系统审计规范的制定与完善,在信息系统审计规范的制定与完善过程中,成立类似ISACA的信息系统审计准则制定机构,整合信息系统审计规范资源,并实现审计资源的共享,降低信息系统审计准则制定成本。同时,我们还应认识到成立专门的信息系统审计准则机构并不否定在制定注册会计师审计准则、国家审计准则或内部审计准则时考虑信息技术对财务审计活动等的影响。
三、我国信息系统审计规范制定的组织际资源整合对策
由上述分析可知,在当前环境下,我国信息系统审计规范制定的组织际资源没有得到有效整合,审计准则制定机构在信息系统审计规范制定方面各自为政的现状不利于加速我国信息系统审计规范的制定进程。因此,为进一步推动我国信息系统审计规范的制定与完善,应当推进三大审计准则制定机构在组织际关系方面的改善,整合现有资源,实现组织际关系的转换。
1. 信息系统审计规范制定的组织际关系选择。为规避我国现有信息系统审计规范制定的组织际关系弊端,中国注册会计师协会、中国内部审计协会和审计署应当加强合作与沟通,从中国注册会计师协会、中国内部审计协会以及审计署中抽出与信息系统审计规范制定相关的人力、物力等,整合信息系统审计规范制定的资源,成立类似于ISACA的信息系统审计规范制定机构(如图2所示),用于指导和规范信息系统审计人员的审计行为,这种思维模式也符合《2008年至2012年审计工作发展规划》整合审计资源的思想。
任何组织建立联盟关系的动机大致可以总结为以下几个方面,即为了应对相关政治法律的要求、为了减少环境不确定性所造成的不稳定影响、为了节省交易费用而实现提高效率的目的、通过合作形式追求共同的或互惠互补的目标、为了通过合作和结成联盟的方式来提高单个企业的市场信誉度、为了保留自治权以防止被大型企业吞并的命运。根据企业建立联盟关系的动机可知,我国信息系统审计规范制定的组织际资源整合是为了通过合作形式追求共同的或互惠互补的目标,提高我国信息系统审计规范制定的效率和效果。中国注册会计师协会、国家审计署、中国内部审计协会与信息系统审计协会在审计准则的制定方面进行专业化分工,分别从各自的角度制定相关准则,从而提高信息系统审计规范制定的效率,防止出现信息系统审计规范无法指导信息系统审计准则制定的局面。
2. 信息系统审计规范制定的组织际关系转换模式。我国信息系统审计规范制定的组织际关系转换,其目的是想整合中国注册会计师协会、中国内部审计协会以及审计署关于信息系统审计规范的制定资源,以达到提高审计规范制定效率与效果的目的。但这种组织际关系的转换,成立信息系统审计协会并非易事,会面临诸多阻碍。众所周知,制度变迁根据变迁是由一个(群)人自发引起还是由政府法令强制推行可划分为诱致性制度变迁和强制性制度变迁。诺思(1999)认为,制度变迁主要受制于一个社会的利益集团之间的权力结构和社会的偏好结构。在当前条件下,要完成信息系统审计规范制定的组织际关系转换,成立信息系统审计协会,并不能完全依靠诱致性制度变迁,而应当结合强制性制度变迁模式。这主要是基于以下几个方面的考虑:①由于转换成本、运行成本和解决问题的能力是造成制度锁定的关键因素,当前审计准则制定机构的各种自增强机制,有利于财务审计准则的制定,而不利于信息系统审计规范的制定;②信息系统审计协会的成立需要大量的物质资源投入,在当前环境下,必须依赖政府的政策支持;③从中国注册会计师协会、中国内部审计协会和审计署抽调相关人力、物力,必然会减弱相关机构准则制定的实力,这需要政府采用行政命令以及法律的形式完成。因此,基于上述考虑,笔者认为,我国信息系统审计规范制定的组织际关系转换应当采取诱致性制度变迁与强制性制度变迁模式相结合的方式。
在转换过程中应合理运用上述两种制度变迁方式,应以强制性制度变迁模式为主、诱致性制度变迁模式为辅。在信息系统审计协会成立之初,中注协、内审协会以及审计署在组织际关系转换的自愿性方面往往不高,需要政府采取强制性措施从中注协、内审协会和审计署抽调信息系统审计规范制定的相关资源,强制成立信息系统审计协会。笔者认为,在信息系统审计协会刚刚成立之时,审计署应起到带头作用,诱导内审协会和中注协抽调相关资源。一旦信息系统审计协会成立之后,政府强制性的行政力量应退出信息系统审计协会,让信息系统审计协会成为一个民间组织,自行制定信息系统审计规范,其所制定的信息系统审计规范适用于注册会计师审计、内部审计和国家审计。此外,在信息系统审计规范制定的组织际关系转换过程中,中注协、内审协会和审计署应加强各方面的沟通与协调工作。
3. 信息系统审计规范资源的整合框架。在信息系统审计规范领域存在着大量的优秀资源,如ISACA、ITGI、AICPA、IIA、中国注册会计师协会、中国内部审计协会、国家审计署等机构发布的信息系统审计准则和指南,我国在制定与颁布信息系统审计规范时不仅要借鉴这些审计规范,而且在执行信息系统审计活动时,应整合该领域的优秀审计规范。我国在制定与颁布信息系统审计规范时,不可能一步到位地建立完善的信息系统审计规范体系以及发布不存在漏洞的信息系统审计规范。为弥补我国所发布的信息系统审计规范的不足,同时整合信息系统审计规范领域的优秀资源,笔者尝试提出了如图3所示的信息系统审计规范资源整合框架图。 信息系统审计规范的资源整合分别从审计法规、审计职业道德规范、审计准则和审计质量控制准则四个方面进行,运用现有的《审计法》、《注册会计师法》等弥补信息系统审计法规的不足,运用内部审计职业道德规范、中国注册会计师协会会员道德守则等弥补信息系统审计职业道德规范的不足,运用ISACA准则、Cobit、GAIT、GTAG、ISO17799等弥补信息系统审计准则的不足,以及运用会计师事务所质量控制准则、内部审计质量控制准则等弥补信息系统审计质量控制准则的不足之处,最终达到约束和正确引导信息系统审计人员的目的。
此外需要指出的是,在信息系统审计规范与其他审计规范发生冲突时,除审计法规方面应当完全遵守《审计法》和《注册会计师法》外,其他审计规范,在信息系统审计方面应当以信息系统审计规范的相关规定作为信息系统审计活动开展的依据。与此同时,在采用其他与信息系统审计相关的规范指导审计行为时,应当适时考虑成本收益问题,一些审计规范应用信息系统审计活动时会导致较高的成本,如Gupta(2008)认为COSO是一个过时的框架,因为它太关注于制造业的实体,太关注于大型企业的正式流程,对于IT控制充耳不闻。Coe(2005)认为使用COSO还可能带来沉重和不合理的成本。因此,采用其他与信息系统审计相关的规范时,应适当考虑成本收益问题。
四、结束语
通过研究发现,国家审计准则、注册会计师审计准则以及内部审计准则自成体系的现状不利于信息系统审计规范的制定,信息系统审计规范的制定依附于财务审计准则,信息系统审计实践仍然缺乏信息系统审计规范的指导,审计规范尚处于非均衡状态,有待进一步完善,但推动信息系统审计规范完善这一进程仍需要各方的努力,学者们应加大对这一领域的研究力度,政策层面也应高度重视信息系统审计规范的制定。
主要参考文献
1. Kale P., Singh H., Perlmutter H.. Learning and protection of proprietary assets in strategic alliances:Bulding relational capital. Strategic Management Journal,2000;21
2. Lee Y.,Tamer S.. Enhancing alliance performance:The effects of contractual-based versus relation-based governance. Journal of Business Research,2006;8
3. 刘杰.我国信息系统审计规范体系研究.厦门大学博士学位论文,2010
4. 刘杰,罗继荣.谈信息系统审计规范制定的路径选择.财会月刊,2011;6
5. 张群洪,刘震宇.组织际关系治理框架研究进展.科技管理研究,2008;12
