“国外引进”还是“自主发展”?——对我国政府信息系统审计发展途径的探讨,本文主要内容关键词为:信息系统论文,途径论文,自主论文,国外论文,我国论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
从最早介绍国外理论的文章算起,我国对信息系统审计的研究与实践已将近三十年时间。由于实施主体不同,我国的信息系统审计形成了不同的方向,本文主要讨论的是政府审计机关为了更好地履行其审计监督职能而组织开展的政府信息系统审计。
在经历了从理论引进到实践探索、从局部尝试到广泛开展的转变之后,审计人员对政府信息系统审计的发展途径出现了不同的观点,典型而极端的有两种:一种是认为国外的信息系统审计理论已经非常成熟,我国审计机关可以直接引进国外标准,不必浪费时间和精力去做重复工作,即从“国外引进”;另一种则认为国外理论与我国审计机关的实际工作相差甚远,我们不能够也不应该照搬国外模式,而是要根据我国的环境和现实探索自己的模式,即“自主发展”。
这两种观点都有自己的道理,它们都拥有各自忠实的支持者,但同时它们也都存在不同的缺陷。对于大多数在审计机关中从事信息系统审计的人员而言,他们在这两种观点之间常常感到矛盾和彷徨,这使得在政府信息系统审计的目的、内容、方法和过程等问题上都出现了较大的分歧和争议。短期的分歧是正常现象,但长久的分歧则容易进入混乱状态,因此,我们有必要在分析历史和现状的基础上,对我国政府信息系统审计的发展途径做出选择,以促进其健康发展。
一、“国外引进”与“自主发展”的历史和现状
(一)国外信息系统审计体系的引进
众所周知,我国审计机关对信息系统审计的最初理解是从美国等西方国家引入而来。在过去一个时期内,审计人员所做的大量工作是对西方国家信息系统审计思想、理论和方法体系的引进。
1,ISACA体系的引入
在国外的信息系统审计体系中,最受我国审计人员关注的是由信息系统审计与控制协会(Information System Audit and Control Association,简称ISACA)发布的由基本准则、审计指南和作业程序三部分组成的信息系统审计准则体系。
在相当长的一段时期内,ISACA体系是我国审计机关引入的主要内容和研究的主要对象,研究者发表了大量文献对之进行介绍,并就其对我国的借鉴意义展开讨论。可以说,在很多审计人员的理解中,ISACA就是信息系统审计的代名词。在审计实务中,一些审计人员也展开探索,尝试基于ISACA体系的信息系统审计。这一时期,ISACA体系自身也在不断地发展,其涉及范围逐渐扩展到IT治理等领域,建立起了《信息系统和技术控制目标》(Control Objectives for Information and related Technology,简称COBIT)等框架。这些内容同时受到我国审计人员的关注,他们进行了介绍和翻译。
在引进准则体系和理论知识的同时,我国也引入了ISACA的职业资格认证,注册信息系统审计师(Certified Information Systems Auditor,简称CISA)成为一段时期炙手可热的职业认证,相关媒体对CISA进行了大量的报道和介绍,吸引了一批审计人员的关注。
2.GAO体系和IIA体系的引入
虽然ISACA的准则体系受到广泛关注,但其内容偏向于咨询和内部管理,与我国审计机关的经济监督定位存在不小差异,因此部分人员开始将视角转向美国审计署(Government Accountability Office,简称GAO)发布的《联邦信息系统控制审计手册》(Federal Information System Controls Audit Manual,简称FISCAM)等信息系统审计体系。
审计人员对GAO信息系统审计体系的引进主要体现为对FISCAM等资料的翻译以及访问美国审计机关后撰写的考察报告。GAO的信息系统审计理论对我国的政府审计机关产生了较大的影响,如FISCAM将信息系统控制分为一般控制和应用控制两大类的做法被我国政府审计机关广泛接受。
同时,审计机关中的部分人员开始关注国际内部审计师协会(Institute of Internal Auditors,简称IIA)对信息系统审计的理解,对其发布的《基于风险的信息系统控制评价指南》(Guide to the Assessment of IT General Controls Scope Based on Risk,简称GAIT)、《全球信息系统审计指南》(Global Technology Audit Guide,简称GTAG)等进行了引进和介绍。
3.日本信息系统审计体系的引入
日本是另一个较早开展信息系统审计的国家,通产省于1985年出台了由基本准则、实施准则和报告准则三部分组成的信息系统审计准则体系,并于1996年进行了修订。
我国审计人员对日本信息系统审计体系的引入是比较特殊的,从目前已经出版的书籍和发表的文献来看,直接对其进行学习、翻译、研究和引进的人员很少,主要是间接性的转述或引用。
日本的信息系统审计并不属于审计行业,而是归属于计算机行业,加之语言原因,其准则体系本身并未引起我国审计人员的广泛关注,他们而是把目光主要集中在定义和方法层面之上。审计人员在讨论信息系统审计或者IT审计、计算机审计等概念时,大多会提到日本通产省给出的定义,在当前所使用的信息系统审计技术方法中,也有相当一部分受到了日本信息系统审计的影响。
(二)对“国外引进”模式的疑惑和基于现实环境的探索
从“国外引进”的模式存在一个致命的问题,那就是与我国政府审计机关实践之间无法逾越的鸿沟。在这种情况下,审计机关以“国外引进”的模式为基础开展信息系统审计时,在理论、标准与实践之间存在诸多矛盾之处,在实务操作中也就自然而然地进行了变通和调整。
1.由于缺乏与IT相关的法规依据,主要依赖业务法规开展工作
审计机关开展信息系统审计时,所遇到的最直接也是最主要的问题就是审计取证和审计定性时缺少法律依据。
在学习和研究阶段,人们所采用的大多是ISACA和GAO的标准。虽然部分审计机关尝试过依据ISACA体系开展探索,但大多数审计人员对其并不认同,因为ISACA的标准显然不能作为我国审计机关进行审计定性的依据。而我国颁布的与信息系统或IT技术相关的国家标准中,除了信息系统安全等级分类等少数几个是强制标准外,大多只是具有导向作用的推荐性标准,其作为审计定性标准也存在许多争议。
然而,在信息系统审计实践中,审计机关在审计取证和审计定性时,对法律条款有着很强的依赖性,在微观层面一般要有强制性的法规作为依据。IT方面强制性法规的缺失,使得审计人员逐渐转向以业务法规作为依据,信息系统审计的内容也更多地转向与业务结合紧密的内容或者与资金相结合的内容,如审计署京津冀特派办对某航空公司的审计。
2.内控体系尚不成熟导致关注重点转向问题揭露
不论是ISACA体系还是GAO体系,均主要是以内部控制为基础的。不过,我国《企业内部控制基本规范》于2008年6月发布,《企业内部控制配套指引》到2010年4月才正式出台,而且首要的实施对象确定为上市公司,因此,客观而言,大部分被审计单位的内部控制体系尚在建设过程中。
由于尚未建立比较完善的内控体系,因此如果完全按照理想状态下的内控标准去测试,则被审计单位的信息系统几乎处处存在风险,这种状况在基层单位更加明显。同时,在经济发展过程中,信息化有着不同的地位。我国的信息化工作很多时候依然属于成本中心,在这种情况下,完美的内控要求将大大增加信息化方面的投入,这显得过于理想化而很难得到被审计单位的认同。因此,很多审计机关在关注点上选择了对已经形成问题的揭露,如审计署南京特派办对某高速公路收费系统的审计。
3.微观层面的成果难以得到认可,因而在实践中尝试走向中观
ISACA和GAO体系的内容大多集中在一个具体的组织层面,即在实践时都是集中在微观的、具体的被审计单位上。在我国,单纯进行具体的微观层面的风险提示由于分量单薄而难以得到认可,通常只有具有一定共性的审计成果才能受到关注,因此一些审计机关开始尝试中观层面进行探索。
与微观经济主体相比,中观经济主体涉及范围较大,运行机制复杂,因而大多数中观经济主体均有为自己量身定做的信息系统,如一些行业性信息系统。部分审计机关对中观层面进行探索,如审计署兰州特派办对8家煤矿安全监控系统开展的信息系统审计,而在部分审计机关的信息系统审计尝试中,则更是将目标定位在了更高的国家信息安全等宏观层面。
(三)“自主发展”遭遇的困境
国外引进的理论与现实环境之间的鸿沟,催生了我国审计机关“自主发展”的需求和探索,但这些“自主发展”的探索并非一帆风顺,在发展一段时间后它们陷入了困境。
1.缺乏基础理论和体系性,处在能破不能立的尴尬状态
ISACA所采用的是会计师事务所的框架,GAO的基础是内部控制理论,日本信息系统审计的基础是软件开发理论,而我国审计机关对信息系统审计的实践探索,大多是依据审计机关自己的理解和具体项目开展的,目前来看主要是零散的个例,没有所依据的基础理论,缺乏体系性和科学性。
在信息系统审计理论方面,我国的相关研究几乎是空白,尽管已有部分学者开始研究理论框架,但尚未形成成熟的体系与观点。虽然审计人员怀疑ISACA,怀疑GAO,却又无法在短期内建立自己的思想体系,更难建立起完整的准则和方法体系,使得我国信息系统审计规范一直处于制度供给不足的状态,这一点政府信息系统审计尤为明显。
因此,当前的“自主发展”模式能指出从“国外引进”的理论不适合我国审计机关现实的问题,但研究者和审计人员还不能提出科学解决这些问题的措施,我国的政府信息系统审计处在能破不能立的尴尬状态。
2.缺乏各方共同认可的价值观,不同审计机关间观点难以统一
我国审计机关的信息系统审计实践探索实际上是一个试错过程,“摸着石头过河”,如果一个方向能够走得通则继续发展,如果走不通则改变方向继续探索,不断的试错中缺少能够被广泛认同的核心价值观。从目前开展的政府信息系统审计来看,内容涉及合规性判断、安全性评价、风险揭示以及类似于投资审计的IT绩效审计,而这些内容很多时候是难以调和到一起的。
不同审计机关的探索相互之间很难达成共识。那些不认同国外模式的审计机关,大多在按照自己的理解发展,认为自己的做法切合实际;同时上下级审计机关之间,也缺乏相同的信息系统审计价值观,所关注的重点难以统一。即使在学术探讨中,学者们对政府信息系统审计相关概念的提法也各不相同,名词不一,缺少相互之间进行沟通交流的知识与语言基础。
二、两条发展途径的比较和选择
从以上论述我们可以看出,当前的政府信息系统审计处于一个比较与选择、总结与思考的关键点。在“国外引进”与“自主发展”之间,我们是迷茫和困顿的:以后的发展途径我们该如何选择?是从“国外引进”,还是“自主发展”,抑或是其他的途径?
(一)完全从“国外引进”可以吗?
从体系角度来看,ISACA、GAO、IIA和日本的信息系统审计知识体系都经过了多年的发展,形成了各自的特色,那么我国审计机关直接从国外引进可以吗?答案是否定的。
首先,如果审计机关依照“国外引进”模式开展信息系统审计,法律依据暂时无法解决,因为国外的标准显然不能作为我国审计机关审计取证和审计定性的依据,这是一个无法回避且在短期内也无法解决的现实问题。
其次,国外主流的信息系统审计模式是以内部控制为基础,而我国尚未建立比较完善的内控体系,同时应该花费多少资金用于信息化的内控也是难以统一的问题,这样基于内控的信息系统审计显得过于理想化而很难得到大多数被审计单位的认同。
最后,如果一味地引进,则我国的政府信息系统审计会陷入一种“落后—引进—落后”的怪圈状态。学习别人的经验固然非常重要,国外的理论可以向我们传输信息系统审计的基本原理,让我们认识和了解该领域的最新进展,但是这不能替代我们对历史和现实情况的调查研究,不能替代我们基于现实的选择。
由此可见,“国外引进”模式在目前存在很多无法解决的问题,单一的“国外引进”模式是行不通的。
(二)彻底抛弃“国外引进”可以吗?
既然从“国外引进”是行不通的,那么我们可以彻底抛弃国外模式吗?答案也是否定的。
第一,国外的信息系统审计经过多年发展,有很多值得我国借鉴的内容。西方的信息系统审计经历了较长时期的发展,形成了比较完整的体系,至少它们在培养人员、开拓思维上是不能被抛开的。
第二,我国政府信息系统审计的发展存在路径依赖,前期国外理论的引进,随后“自主发展”模式的探索,都对政府信息系统审计的发展途径产生重要影响。长期的“国外引进”,教育培训所采用的教材主要是ISACA、GAO或IIA的内容,或者是从上述三种衍生而来的,这在思想上具有极大的影响,对大多数审计机关中的信息系统审计人员来说,他们无法摆脱ISACA、GAO和IIA的影响,因为这些观点已经通过培训变得根深蒂固。
因此,我们并不能完全抛弃国外的理论、体系与技术方法,而需要从中吸收和借鉴很多内容。
(三)“自主发展”可以吗?
“国外引进”模式行不通,那么目前面临困境的“自主发展”可以吗?
我国政府审计机关是在内在需求和外在动力双方面因素推动下开展信息系统审计的。内在需求是被审计单位经济活动对信息系统依赖程度的提高。在信息化环境下,审计活动大多以电子数据为基础,如果审计机关不对信息系统开展审计,则无法保证所获取的电子数据的真实性、完整性,也就无法保证审计结果的质量、整体审计目标的实现和审计过程的顺利实施。同时,审计机关开展信息系统审计的外在动力为审计机关信息化部门发展的需要。当前阶段,计算机审计已经进入瓶颈阶段,因此信息系统审计被很多审计机关的IT部门作为主要的业务发展方向。
内在需求是政府信息系统审计可持续发展的根本,它来源于审计工作的实际需要,这些只能是“自主发展”,无法从“国外引进”而来。在我国,审计机关基于电子数据开展审计已经得到认可并取得很大程度的发展,因此有进一步发展信息系统审计的需要。同时,由于社会环境不同,我国的政府审计的定位具有自己的特色,如审计的“免疫系统”功能、审计的国家治理观等。对所审计业务基本原理的理解是信息系统审计的五大内容之一。试想如果审计业务都不同,又如何照搬国外理论?因此只有基于我国审计机关现实需求的信息系统审计才能是“有本之木”和“有源之水”,单纯在外在动力驱动下的信息系统审计难以长久持续。
与此同时,在教科书上西方理论体现得比较多,但在审计人员的内心,则更多的是渴望本土精神的树立,也就是“自主发展”,这一点在媒体的宣传文章中已得到体现,它们的宣传主要依据于我国实践的探索与创新。
虽然数量较少,但基于我国现实环境的政府信息系统审计理论研究并不是一片空白,一些学者或实践者进行了一定的探索。如谢岳山针对联网环境提出了信息系统审计的体系架构,对信息审计的内容进行了重新梳理和分类;王万军等人将重要性水平的概念引入信息系统审计的决策,建立起一个信息系统安全量化评分体系;唐志豪等人在借鉴COBIT模型的基础上,从目标、内容与过程三个维度提出了一种信息系统审计的业务模型,也提出了信息系统审计理论结构;李春青等人从信息系统责任角度出发,讨论了政府信息系统审计的定位。这些探索给“自主发展”的途径提供了一定的支撑和方向指引。
因此,虽然“自主发展”面临诸多困难,但它是符合现实情况、能够可持续发展的,也是政府信息系统审计最终发展的方向与出路。
三、以“自主发展”为核心的发展方向
通过分析,我们可以得出结论,“自主发展”是我国政府信息系统审计的最佳发展途径。那么,在当前阶段我们应该做哪些工作,或者说朝着哪些方向努力?
(一)协调好“自主发展”与“国外引进”的关系
一味的“国外引进”是行不通的,而对外界置若罔闻的“自主发展”,也存在很多问题。因此,存在一个如何协调“自主发展”与“国外引进”的问题。
清末民初,中国曾经出现过“西学东渐”的浪潮以及由此而来的关于“西学东渐”与“本土精神”的广泛讨论。对于政府信息系统审计而言,它也面临同样的问题:我国的政府信息系统审计基本上是“西学东渐”的结果。正如余英时所言,比较的历史观点本来是有利无弊的,但是比较如果演变为一方是进化的高级阶段,而另一方则仍然停留在较低的层次,前者成为批判后者的绝对标准,那么许多历史和文化的歪曲便随着发生,出现“尊西人若帝天,视西籍如神圣”的风尚。
一般来说,对于自然科学而言,从外部引入是最经济、最高效的一种方式,而社会科学则更多地依赖自身的发展。政府信息系统审计同时具有社会科学和自然科学的成分,所以对其发展途径,则更多地呈现出混合模式的需求,“自主发展”和“国外引进”同时需要,但在这两者之间,应该以“自主发展”为根本,以“国外引进”为补充手段。
(二)对“国外引进”内容的理解与消化
对于国外的信息系统审计模式,我国学者和实务界主要进行引进工作,引进过程也存在一定程度的盲目崇拜和生吞活剥,对这些模式本身并没有提出过革命性的意见或改进方案。当前政府信息系统审计实践中出现的很多问题,就是由于对国外模式的模糊认识造成的。当前我们要做的,是对“国外引进”内容的理解和消化,研究清楚这些国外模式的形成历史、适用条件和作用原理,因为只有真正理解了,人们才能明白这些模式能不能在我国审计机关适用,以及如何在我国的现实环境中进行改进和变通,才能避免在不理解原理和适用条件的情况下对国外模式教条的、盲目的生搬硬套。
(三)对试错的包容和对信息系统审计边界的寻求
我国的政府信息系统审计发展,实际上是一个不断的试错过程,需要进行不断地探索。这个过程中,有些尝试是正确的,也有些可能是错误的,但只有在不断地探索中,才能找到正确的方向。因而我们对于试错过程中的失败,应该加以包容,因为这些经验是宝贵的财富。
不论是国外还是国内,随着实践探索的发展和理论研究的细化,都存在信息系统审计内容和范围无限扩大的趋势,比如将被审计单位的社会责任纳入信息系统审计范畴,因而我国审计机关在不断的试错过程中,需要完成的任务之一就是探索出政府信息系统审计的边界范围。
(四)价值观的统一和内在精神的形成
政府审计机关开展信息系统审计存在一个问题,就是理论基础、实践操作和最终落脚点之间的分离。理论基础上受托责任不明确,实践操作上主要偏向咨询的实施框架,而最终落脚点是要发现重大问题,所以,一些审计人员在无可奈何的情况下,开始利用国外理论的解读来阐述自己的观点,出现了“旧瓶装新酒”、“六经注我”等间接变通的表达方式,因此,在下一阶段,需要形成各级审计机关能够共同认可的价值观念和内在精神。只有形成内在精神,才能解决矛盾的分裂和发展的动力问题。当然,这个价值体系和内在精神需要在不断地探索和磨合中形成。
(五)实现从能破到能立,逐步建立自己的体系
在不断的试错过程中,政府信息系统审计要随着价值观的统一和内在精神的形成以及政府信息系统审计内容、方法的探索,实现从能破到能立的转变。立,需要从内在需求出发,不必过于追求体系与框架的完整和庞大,因为在短期内要建立一个庞大的体系,必然会有意无意地走向“国外引进”。我们可以先以过去的实践为基础,进行理论提升,逐步构建适合我国现状的政府信息系统审计理论体系框架。