国外信息系统审计规范、国家文化差异与制度移植,本文主要内容关键词为:文化差异论文,信息系统论文,国外论文,制度论文,国家论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
将信息系统审计的有关概念、工作流程和技术方法固定下来、统一起来,形成制度化、规范化的法规、准则及指南,是信息系统审计走向成熟的必由之路,这种做法也是所有行业发展的共同规律。没有标准和规范,所有的实践活动只能局限于在低水平上重复。目前我国信息系统审计准则比较零散、不够系统,缺少实施方法与工具。在全球化的时代背景下,我国信息系统审计研究领域很重视对国外先进成果的学习与借鉴,但须注意到将一个国家很成功的制度规范移植到另一个国家不一定能取得同样的成功,中国与西方发达国家有显著的文化差异,如果将国外的信息系统审计规范不根据中国国情加以谨慎选择和适当调整,则很难获得其在西方国家所取得的成功。
一、文献综述
当前关于信息系统审计准则、框架、指南等的研究主要是对国外信息系统审计规范的介绍和在此基础上的应用,相关文献可分为三类。
第一类是对国外相关规范的介绍与分析。自2000年刘汝焯、石磊发文介绍美国信息系统控制与审计协会(Information Systems Audit and Control Association,简称ISACA)颁布的信息及相关技术的控制目标(Control Objectives for Information and Related Technology,简称COBIT)以来,研究主要集中于对ISACA发布的信息系统审计准则(陈婉玲、杨文杰,2006;马良渝,2007)与COBIT(陈婉玲、袁若宾,2006)的研究。也有学者研究ITIL(Information Technology Infrastructure Library)(赵志宇、刘光仿,2005)、BS7799(蔡昱等,2004)。王海林(2009)对国际上与IT有关的内部控制框架与规范进行分析,包括COSO、SOX法案、COBIT、ITIL及BS7799。
第二类是对COBIT、ITIL、BS7799在信息系统管理、控制与审计中的应用研究。王海林(2008)在综合分析国内外内部控制框架和法律规范的基础上提出了内部控制模式三要素。王会金、刘国城(2009)分析了COBIT在中观经济主体信息系统审计中的应用。COBIT还涉及风险管理(吴炎太等,2009)、IT治理(孙强、李长征,2004;张凌欣、胡克瑾,2008)、信息资源管理(郝晓玲等,2002)等方面的应用。研究也包括基于ITIL对变更管理(伍福生等,2006)、IT基础架构管理(杨钰、吴健,2007)、IT资源管理(冉崇善、赵萍,2006)等运营管理中的理论分析与应用尝试,以及基于BS7799构建信息安全管理体系(刘国城,2012)、风险评估(聂晓伟等,2005)等方面的研究。
第三类是对我国信息系统审计理论框架的研究。胡晓明(2005)、卢红柱(2006)分别从理论研究和实践探索的角度指出,我国信息系统审计的发展战略要做好加强信息系统审计理论研究、建立与完善信息系统审计标准与准则等。现有研究主要是以COBIT为基础构建信息系统管理、控制与审计的模型(金文、张金城,2005;张文秀等,2010)。
我国现有研究的不足在于,一方面,多是对COBIT、ITIL、BS7799等的引进式介绍和应用,对不同国家和机构颁布的信息系统规范的综合研究较少。当前,国际内部审计师协会(the Institute of Internal Auditors,简称IIA)及其他欧美政府机构和民间组织也发布了信息系统审计领域中的指南和标准,比较有代表性的有:GTAG(Global Technology Audit Guide)、GAIT(Guide to the Assessment of IT Risk)、FISCAM(Federal Information System Controls Audit Manual)、EFQM(European Foundation for Quality Model)等。国外多是研究两个或以上的框架、指南的对应关系与综合应用。如:Basie von Solms(2005)通过比较COBIT和BS7799(即ISO17799)的对应关系,认为它们应作为共生、互补的信息安全治理框架。ISACA(2006)发布报告分析COBIT与BS7799、ITIL、ISO9000等的映射。另一方面,现有研究在引进信息系统审计规范的过程中,缺乏从国家文化差异的视角研究将制度移植到我国的适应性。而其他领域如会计准则的研究已注意到这一点。夏冬林、李晓强(2005)研究国际间会计准则和会计信息的差异、协调与制度环境时指出,发展中国家借鉴国际惯例或国际准则时,由于公司治理、法律制度等支撑系统不够强大,加上文化传统等因素影响,执行起来有一定困难。申香华(2008)从制度移植理论视角分析我国传统文化对实施国际趋同的会计准则的不利影响。因此,在学习和借鉴发达国家的先进成果和经验时,不能是简单的“拿来主义”。本文将对国外典型的信息系统审计规范进行综合比较,考虑东西方国家文化差异进行信息系统审计的制度移植,以期为我国移植国外信息系统审计规范提供建议。
二、国外信息系统审计规范的比较
(一)国外信息系统审计规范概况
ISACA发布了信息系统审计(简称ISA)准则和COBIT。ISA准则体系目前包括16个信息系统审计标准(Standards)、42个方针(Guidelines)和11个工具与技术程序(Tools and Techniques),是一个系统的体系。COBIT由ISACA的IT治理协会开发,2012年4月发布最新版本COBIT-5。基于16年的研究与应用,COBIT-5上升到全组织范围内与IT有关的治理,包含原则、实践、分析工具和模型,而且整合了业内主要的框架、标准和资源,包括ISACA发布的其他框架以及其他组织发布的相关标准等,通过有效的治理与管理实现组织目标并交付价值。COBIT是当前国际上公认最权威的IT治理框架。
IIA发布的GTAG和GAIT都是IIA强烈推荐的IT审计指南。GTAG用于指导首席审计执行官(CAE)、审计委员会和审计主管等审计高级管理层解决有关IT管理、控制和安全方面的问题。从2005年3月到2012年3月,陆续发布了IT风险与控制、变更和补丁管理控制、信息安全治理、数据分析技术等16个信息系统审计指南,并更新了最早的两个指南。GAIT是IIA于2006年11月29日发布的一套基于风险的IT一般控制评价的原则和方法,它关注业务与IT风险,识别信息系统一般控制中的关键因素和关键控制点,帮助评价企业信息系统控制的成本收益以及效率与效果,以满足《萨班斯—奥克斯利法案》404条款的要求。
其他组织也发布了相关规范,如:英国政府商务办公室(OGC)2007年5月发布新版ITIL,英国国家标准局(BSI)制定的信息安全管理标准BS7799;美国审计总署(GAO)2009年2月最新发布的FISCAM,美国卡内基梅隆大学的软件工程学院2010年11月发布CMMI 1.3版;欧洲质量管理基金会建立的业务卓越模型EFQM。除此之外,还有COSO及ISO9000等。
(二)国外信息系统审计规范的比较
比较这些信息系统审计相关规范可发现,它们的目标用户不同——有的倾向于给有一定技术背景的人员所使用(如COBIT、BS7799等),有的更倾向于为管理背景的人员编写(如GTAG、CMMI、COSO、ISO9000、EFQM等);适用组织不同——有的专为特定类型的组织而制订(如FISCAM专为政府组织),有的适合规模较大的组织(如CMMI),有的适用于不同规模的IT相关的企业、非营利组织和公共部门等各类型组织(如COBIT、GTAG、GAIT、ITIL、BS7799),而COSO、ISO9000及EFQM则更具有普适性。进一步来看,各信息系统审计规范的差异主要表现在:
1.涉及范围不同。BS7799、ITIL、GAIT覆盖面较小,分别针对IT中的特定领域;FISCAM、COBIT、GTAG、CMMI涉及较广的IT领域;COSO、ISO9000、EFQM不仅涉及IT,更包括其他多方领域,并非专门针对IT领域。
2.详细程度不同。GTAG、CMMI、COSO等比较宏观,主要是介绍该做些什么(WHAT)。COBIT、ISO9000、ITIL、BS7799、GAIT、EFQM及ISA准则等既有该做什么(WHAT),也包含一些方法和指南介绍该如何(HOW)实施。FISCAM则细致地介绍如何实施。如图1所示。
3.社会认知度不同。有的认知度非常广泛,如:COBIT和ISO9000都已在一百多个国家和地区应用;有的认知度也较广泛,但限于一定的业务领域或地理区域,如:ITIL是在IT服务领域有广泛应用,CMMI适用于从事大型复杂系统的开发与集成的企业,FISCAM用于政府审计组织,EFQM则主要在欧洲大陆的质量管理中有广泛应用;有的准则因为发布时间较短,还没有被大众所熟知并产生广泛的影响力,如:GTAG和GAIT。
图1 国外典型信息系统审计规范的比较
4.执行力度不同。有的一旦被选定就作为执行或评价的标准要求遵守,如:BS7799、CMMI、ISO9000、COSO;有的是指导性的,如:ITIL、FISCAM、GTAG、GAIT等是最佳实践的集合,并以框架或指南的形式来指导信息系统审计实践;COBIT同样包含成熟度模型,但并不像CMMI那么严格和准确。
虽然这些信息系统审计规范由不同国家、不同组织和机构发布,目标用户、适用组织和社会认知度等有所不同,侧重面、组成部分及特点也各有差异,但从根本上来看,它们也具有一定的相似度、趋同性,主要体现在以下几点:
一是系统性。尽管各信息系统审计规范中的内容、方法有所不同,但都各成体系。它们都采用系统的、规范的方法,确定基本目标和主要领域,然后进一步分解和细化,定义主要任务、关键过程和实现方法等,有的还提供应用工具。
二是集中性。尽管各信息系统审计规范侧重点和关注面各不相同,但都集中在信息系统审计的主要领域中,即IT控制、信息安全、IT服务质量等,通过对信息化环境下的一般控制和应用控制进行审计,实现对信息系统的控制与审计。
三是一致性。尽管各信息系统审计规范的角度有所差异,有的从IT治理角度,有的从IT管理层面,有的从技术方法方面,但是,在IT这一广泛采用国际通用技术标准与协议的领域,各规范都比较注重与业内其他相关标准和指南保持一致,没有歧义,更没有冲突,有的还明确地将自己定位于对公认标准的补充和支持。因此,便于不同组织的综合应用。
由此可见,尽管这些规范中存在着一些重叠之处,但是它们的适用对象、详细程度及强制性等有一定差异,更多的是交叉和互补关系,而非简单的重复,不存在谁替代谁的问题。同时,它们保持着基本的一致性。因此,不同的组织可从自身的情况出发,选择一个或以上的规范。
三、国家文化差异视角的思考
由表1可见,目前国际上比较有影响力的信息系统审计规范主要由美国、英国及欧洲的相关政府部门、审计组织或研究机构制定,而这些西方国家与我国有着显著差异。尽管国际趋势是走向融合与趋同,但在此过程中,我们须谨慎对待不同国家审计环境的差异。信息系统审计集信息技术、IT管理与IT治理于一体,与国家政治、意识形态等的联系较少,而与行为习惯等文化因素联系较紧密。因此,国家文化差异是研究和应用国外信息系统审计规范时必须考虑的一个重要因素。
(一)国家文化差异分析
国家文化需要比较才可显示出特色与差异。文化差异是通过不同层面表现出来的,通过多维度系统的对比分析是国家文化和文化差异的主流研究模式。国外学者对此已取得丰富的研究成果。Kluckhohn和Strodtbeck(1961)最早采用文化差异层面理论研究,提出强调价值观取向多样性的价值取向文化模型;Hofstede(1980,1988,2005)提出文化差异理论并建立五维文化模型;此外,还有Schwartz(1994,1999)的七维模型、Trompenaars(1993,1998)的七维模型等。其中,Hofstede的五维模型受到各国学者广泛认可,其第五个维度——长期取向(Long Term Orientation,简称LTO)更是在研究东方文化的基础上增加的。其他四个维度分别是:权力差距(Power Distance Index,简称PDI)、个人主义(Individualism,简称IDV)、男性主义(Masculinity,简称MAS)和不确定性规避(Uncertainty Avoidance Index,简称UAI)。本文采用Hofstede的国家文化模型,比较美国、英国、荷兰与中国的文化差异。
图2 中外国家文化差异比较
注:数据来源于http://geert-hofstede.com.
尽管Hofstede是从西方学者的视角度量国家文化,不一定十分精确,但图2揭示出中国与西方国家存在显著文化差异是毋庸置疑的,尤其以权力差距、个人主义、长期取向这三个维度上的差异最突出。
权力差距维度是测量社会系统中的高层和下属间权力悬殊程度。欧美国家权力差距小,沟通方式比较直接,喜欢面对面地非正式沟通和解决问题的方式;下属倾向于独立自主,会赞同或反对上司,员工参与讨论管理者的决策。而在权力差距较大的中国文化中,人们普遍认为等级是自然的、必要的和不可避免的,不同等级间的交流一般由上层人士发起,往往比较正式;下属应该尊重领导、依靠领导,领导层进行决策、拥有更多权力。
个人主义维度描述人们倾向于将自己当作是个人,还是首先将自己看成是团体的一部分。欧美国家具有比较突出的个人主义文化,强调个人能力与作用,突出个人权利与独立性;往往直抒己见、标榜个性。相对来说,我国是集体主义文化,个人是团体的一员,要对团体保持忠诚,集体利益往往高于个人利益,应该“顾大体,识大局”,崇尚和谐,避免冲突,不愿意发表会使自己脱离团体而区别于他人的观点。
长期取向维度考查人们的时间观念。欧美国家在时间取向上,关注短期利益,强调组织效率和生产效率,注重时间准时性、紧迫感。长期取向非常突出的中国文化能够坚持和忍耐,为了长远目标去勤奋学习、努力工作、量入为出,却比较缺乏当下的时间紧迫感,一般缺乏细致而严格的计划。
不确定性规避维度权衡一个社会对不确定因素的忍耐度及人们尝试避免的程度。荷兰、美国、英国的不确定性规避依次降低,中国则最低。高不确定性规避的文化非常重视法律法规,通过建立一系列法律、规章、制度、限制来减少不确定因素;极力降低和避免风险,对新技术持谨慎态度;工作中有详细的规程,人人都要遵守规则。中国对于不确定情况和风险具有较高的容忍度,不畏惧未知领域的挑战,易于尝试新的技术方法;灵活性较大,缺乏明确而健全的法律、法规和程序等文件,有限度地遵守规章制度。
男性主义维度检测一种文化在传统上是支持男性还是女性。中国和英美在此维度上非常一致,都是男性占支配地位,性别角色区分明显,强调工作责任、进步、成功等。而荷兰为代表的欧洲国家是典型的女性文化,男女有同样的价值观和竞争地位,注重保持和谐的工作关系和良好的生活品质。
总之,中国国家文化突出的特点是权力差距较大、集体主义、长期取向和低不确定性规避。
(二)国家文化对信息系统审计规范的影响
已有文献表明:国家文化对审计有明显影响。Gray(1988)指出,如果不确定性规避越普遍、权力差距越大、个人主义越低,则越倾向于严守秘密,信息披露会受影响。Jaggi和Low(2000)也指出,文化上越强调个人对集体、对权威的认同,对外的信息披露就越少;越强调个人主义、提倡竞争,社会就越要求信息透明。越倾向于规避不确定性的国家,相对越保守,越倾向于延用原有相关审计规范,更强调连续性和稳定性(Rosenzweig,1994)。国家文化同样会影响信息系统审计规范的制订、内容及其实施。下面从Hofstede的五个文化维度来分析国家文化对信息系统审计规范的影响。
1.权力差距影响信息系统审计规范的制订者、信息披露、交流方式和实施方式。权力差距越大,越可能由在等级制度中较高级别、更具权威性的官方来制定规范。例如:权力差距小的欧美各国信息系统审计规范大部分是由非官方的民间行业组织或研究机构(如ISACA、IIA等)制订,只有专门在政府审计中应用的规范才由官方制订,如美国审计总署(GAO)发布的FISCAM。权力差距越大,越会因为等级制度或权威压力而倾向于保守内部秘密,从而使信息披露受到影响,而权力差距小的欧美国家制订的信息系统审计准则往往对信息披露有明确规定,例如:ISACA发布的ISA准则体系中有专门的一个指南规定隐私保密与信息披露。权力差距越大,交流方式越正式,当前欧美国家制订的信息系统审计准则中主要是对计划、问题和报告的沟通有规定。权力差距大的文化中往往采用能明显反映出等级制度的管理系统和方法,如决策由等级制度中较高级别来做出,员工依赖上级的指示工作,因而更可能强制性地推行信息系统审计规范;而权力差距小的国家执行信息系统审计规范往往是由于行业或组织自身发展的要求。
2.个人主义影响信息系统审计规范的制订者、信息披露和对信息系统审计师的规定。越是个人主义突出的国家,信息系统审计规范的制订者越可能是民间组织,其信息系统审计规范中越会要求公开透明的信息披露,也越会对信息系统审计师的胜任能力、职责作用、独立性等方面做出详细的规定,如ISACA发布的ISA准则和COBIT以及其他组织发布的BS7799、CMMI等都在此方面有清晰规定。
3.长期取向影响信息系统审计规范的目标明确度和内容细致度。时间观念上越具短期取向,越要求目标具体、明确、可度量,往往制订详细的计划、精确的时间表,信息系统审计规范的内容也会细致而周密。欧美国家的信息系统审计规范中的目标和内容一般都比较详细,如ISA准则详细规定审计计划的制订,即使是细致程度比较粗的GTAG和CMMI等,也是划分了若干个关键领域并分别进一步说明。
4.不确定性规避程度影响信息系统审计规范的细致度、信息披露、风险与控制及人们对信息系统审计规范的接受度。积极规避不确定性的国家中,其信息系统审计规范体系比较健全、内容比较详尽,尤其关注对风险的科学管理和严格控制,要求及时、透明的信息披露,人们喜按程序行事。美英的信息系统审计规范重视程序与过程,内容详尽,并提供范例。欧洲的规范(如EFQM)逻辑体系完整而严密,相对美英来说欧洲更倾向于沿用原来自有的信息系统审计规范。而我国对不确定性容忍程度较高,往往不太强调控制,对有利于发展与进步的新技术、新制度持开放态度,因此,对信息系统审计规范的接受较容易,但接受并不代表会严格遵守。
5.男性主义影响信息系统审计规范对工作环境的规定。越是女性主义的文化越会在信息系统审计规范中对工作环境做出规定,如欧洲的EFQM及纳入ISO体系中的相关标准都对信息系统运行环境、信息系统审计师的工作环境做出规定。
四、信息系统审计规范制度移植的思考
T.W.舒尔茨在其《制度与人的经济价值的不断提高》中定义制度是约束人们行为的一系列规则,可见,信息系统审计规范也是一种制度。制度移植是指制度从一个国家(或地区)被引进、吸收与推广到另一个国家(或地区)。从制度的可移植性来看,一些正式约束,尤其是那些具有国际惯例性质的正式规则,是可以从一个国家移植到另一个国家的(卢现祥,2004)。制度移植是现代制度构建的一种重要方式,“是发展最富成果的源泉”(Alan Watson,1974),对于相对落后的发展中国家来说更是如此。需要注意的是,进行制度移植的国家必须考虑本国的政治经济环境和文化传统条件。如果制度移入国和制度移出国的社会环境比较一致,那么制度移植成功的可能性比较大;如果两国的社会环境不一致,基于非正式制度移植的难度远远大于正式制度,那么短时间内制度移植的结果则很可能是低效甚至是无效的(夏寒、蒋大鸣,2011)。国外信息系统审计标准、框架与指南是源于英美及欧洲发达国家社会文化背景而制定,尽管有这些发达国家的成功经验,然而移植到我国的效果如何,将取决于我国的社会认可程度,更与其价值观念、行为习惯等文化特征息息相关。所以,对于我国而言,信息系统审计规范的移植也将是一次不可避免的外来制度与本土文化的正面碰撞。因此,需从中西方国家文化差异的视角出发,分析中国对信息系统审计规范的认知度、需求度、适应性。而且,在信息系统审计规范制度移植过程中,必须结合我国的现实条件,超越简单的制度移植,在借鉴他国先进经验的基础上,摸索出符合自身需求的制度。
(一)国外信息系统审计规范的选择
选择适合我国的规范需要考虑以下几个方面。
1.选择国际认可度高的规范。制度移植一般有两个基本原因,一是强加(imposition),二是声望(prestige)。显然,我国借鉴和移植国外信息系统审计规范是为了更好更快地发展我国审计事业而自发选择,绝不是外力强加的。在国际范围内认可度高、应用面广的规范一般具有较高的质量、较强的跨文化适用性,如COBIT已在160多个国家应用,其中,有些国家与我国会比较接近,我们可以借鉴他们的移植经验和教训,使我国在进行移植时少冒风险、少走弯路。如果选择限于特定国家或地区应用的信息系统审计规范,则必须确认该国与我国在文化、社会等方面具有较高程度的相似度或融合性。
2.首选移植部分或个别信息系统审计的原则、模型、程序、概念、方法和工具等,慎选整体移植国外某个信息系统审计规范体系。制度移植可以是部分移植,也可以是全部移植。我国不必全盘照搬国外信息系统审计规范。在部分移植信息系统审计规范时,应选择最适合我国国家文化、当前技术水平并且迫切需求的原则、模型、程序、概念、方法和工具等。例如:选择不同国家之间相似度高、直接关系到企业与国家经济安全的IT控制与信息安全等领域的审计程序、方法和工具等,可以显著减少移植过程中的种种冲突与不适应。而且,部分移植的方式有助于按照信息系统审计自身发展规律,循序渐进、从局部到整体地不断完善现有的审计法律法规和准则体系,以新的体系指导和规范信息系统审计的实践以及解决审计活动中出现的新情况、新问题。
3.选择行为导向、精细程度等方面适合我国文化背景的规范。如前所述,中国国家文化中突出的特点是集体主义、长期取向和低不确定性规避等,因而可建立起必要的法律、法规、标准和程序,明确基本方法和过程,推荐或配备必要的工具,但无需非常细致地规定具体操作步骤。加之我国各地各类型组织的信息化水平、审计人员能力等差异较大,统一制订详细指南的可行性也不大。因此,从目标与控制出发的原则导向型规范比较适应并能完善我国文化特质。
选择国外的信息系统审计规范并不是要试图选择一个“最佳”的,而是综合选择适合我国的规定与做法,可以从中选择一个,也可以选择多个,更可以集各家之长形成一个新的集合。例如,国外有不少研究与实践便是将COBIT作为一个整合器,与ISACA发布的其他框架集成,也可与其他机构发布的GTAG、GAIT、FISCAM、ITIL、BS7799、COSO等有机地结合,从而更好地实现信息系统审计目标和业务目标。
(二)信息系统审计规范的制订与完善
在选择和借鉴国外信息系统审计准则的基础上,相关组织可以将其借鉴和融合到我国特有的信息系统审计环境与结构中,并考虑制订与完善我国信息系统审计规范。
1.政府审计机构发挥主导作用。尽管政府对信息系统审计规范体系的影响在不同国家是不同的,但政府部门还是不同程度地左右着审计准则、方针和指南的建立与发展。在我国这样一个权力差距大、并且认同权力差距的国家文化氛围下,信息系统审计的发展以及信息系统审计规范的制订在很大程度上取决于政府部门。审计署可组织相关部门、专业团体、理论与实务专家等,制订与完善具有权威性、体现一定等级制度的信息系统审计规范。
2.选择热点、重点、难点领域和关键环节。我国较低的不确定性规避文化特点一定程度上导致对过多过细的信息系统审计规范的接受度较低,而现实又迫切需要信息系统审计规范的指导,因此,选择热点、重点、难点和关键环节制订信息系统审计准则、方针和指南,逐个发布,再按照长期取向文化特点循序渐进不断完善,这是既满足发展需要又适合我国文化的一种经济高效的方式。例如:可配合金审工程二期项目制订联网审计指南,也可以针对信息系统审计师急需的IT控制、计算机辅助审计等作为我国的首批信息系统审计指南,还可以选择信息安全、IT服务这些重点领域。
3.采用系统的思想、科学的方法制订信息系统审计规范。我国现有的信息系统审计相关规定的完整性、系统性差异较大,在制订信息系统审计规范体系时,应结合我国集体主义、长期取向的文化特点,体现我国文化的系统观、全局观,参照并满足相关法律法规和标准的要求,借鉴国外信息系统审计准则的框架和思想,汇聚集体的智慧,采用自顶向下或自底向上的方法,系统地、科学地建立起风险导向、基于控制、面向过程、衡量绩效的信息系统审计规范体系。
4.既保持理论高度,又注重实践地制订信息系统审计规范。在整个世界范围内,制定审计规范的程序和方法有一些共同特征。其中之一是审计规范来源于审计实务,将实践中经过千锤百炼适应当地文化特点的审计实务进行提炼和理论升华。信息系统审计准则的内容也应以信息系统审计的理论研究为基础,紧密结合我国的信息系统审计实践,适应我国文化环境,如:信息系统审计规范中应从实务中选取适合我国集体主义文化特点的信息披露方式,并将忠诚、保密等纳入信息系统审计师的职业道德。
5.积极吸收跨国IT咨询或IT审计公司参与。跨国IT咨询或IT审计公司的审计执业规则受所在国的国家文化、审计规范等影响很大。要解决与该国国家文化、审计法规之间的冲突,就要将本公司的审计实务与审计规范进行适当的协调。无论如何,跨国IT咨询或IT审计公司遵循一个审计执业规则总是要比遵循不同所在国的不同审计准则出现较少的差异。因此,跨国IT审计或IT咨询公司制定本公司范围内广泛使用的审计执业规则可成为重要参考。
6.注重与各国全国性的或国际性的专业团体以及政府间的交流。多年来,美国、英国、加拿大等不同国家的审计准则制定机构都交换过文稿,进行信息共享。我国信息系统审计规范制定部门可以与发达国家的全国性或国际性的专业团体(如ISACA、IIA等)进行交流,探讨遇到的问题与解决策略,对国际上已有的成文准则、习惯做法、专业术语,应尽可能与国际惯例保持一致,尽量做到与国际惯例接轨。同时,进一步推进政府之间(如中美审计署)的交流,加深各国政府审计人员的了解和信息共享,不仅传播文化与技术,而且传递审计规范。
(三)信息系统审计规范的实施
1.建立健全信息系统审计规范实施机制。一个制度是否有效,除了要看这个制度是否完善以外,更主要的是要看这个制度的实施机制是否健全。离开了实施机制,任何制度,尤其是正式规则就形同虚设。因此,信息系统审计规范在实施过程中,必须建立起比较健全的实施机制。而且,信息系统审计规范的实施机制应该具有一定的强制性,这既是制度实施的要求,也适合我国的国家文化,同时更能加大违约成本,有利于减少违规行为。
2.广泛开展信息系统审计规范的培训。我国的长期取向文化中,人们易于去接受培训、学习技能、努力工作,以实现集体的长远目标。鉴于此文化特质,信息系统审计规范实施过程中,可积极开展相关培训,信息系统审计规范体系中的标准、手册等应成为信息系统审计的教育范本,用框架、实务指南等介绍的方法和程序来指导审计人员完成适当的审计测试和审计程序。广泛而持续的教育培训将使审计人员遵守信息系统审计规范并成为自觉的工作习惯。
标签:cobit论文; 审计计划论文; 审计准则论文; 信息安全论文; 审计方法论文; 审计目标论文; it治理论文; it审计论文; itil论文;