隨著我國信息化資金投入量的逐年增加，加之不容樂觀的網絡安全與計算機疫情狀況，使得對信息系統審計需求增加，最終導致對信息系統審計準則需求的增加（李漢文、劉杰，2010）。我國現存較為完整的信息系統審計規范為《第2203號內部審計具體準則--信息系統審計》，該項內部審計具體準則的發布，為開展信息系統審計活動提供了依據。但該項內部審計準則不具備可操作性，沒有具體指導審計人員的指南或作業程序。我國也缺乏IT控制審計的審計指南，不能對審計人員的IT控制審計行為提供指導（莊明來、陽杰，2009）。

在當前條件下，我國迫切需要建立一套完善的信息系統審計準則。鑒于此，本文對我國信息系統審計準則的構建進行探討，以期對我國信息系統審計準則體系的完善提供指導。

一、我國信息系統審計準則建設上的缺失

國外信息系統審計準則已經形成了一個完整的體系。截 止到2013年12月，信息系統審計與控制 協 會（ISACA）已經發布了16項基本準則、41項審計指南和11項作業程序，建立了信息系統審計基本準則指導信息系統審計指南和作業程序的準則體系，并制定和發布了COBIT標準；而國際內審協會（IIA）也發布了IT風險評估指南（GAIT）與全球技術審計指南（GTAG），以加深內部審計人員和管理層對于信息系統審計知識的了解。

同國外信息系統審計準則相比，我國審計準則在質量和數量方面都處于落后地位（如表1所示）。ISACA和IIA等機構所發布的信息系統審計準則，不僅可以指導為滿足財務審計需要的信息系統審計行為，同樣也可以指導單一的信息系統審計行為，這是有別于我國的。我國的信息系統審計準則主要為滿足財務審計的需求，而不是單純針對單一的信息系統審計行為。因此，我國信息系統審計準則處于制度供給不均衡的狀態（李漢文、劉杰，2010），制定與完善信息系統審計準則還有一段很長的路要走。

雖然中注協、中國內審協會與審計署沒有制定頒布統一可操作的信息系統審計準則，但在信息系統審計實踐中卻存在著一些信息系統審計相關的操作規定，如審計署京津冀特派辦發布的《信息系統審計操作規則》。該操作規則相比《第2203號內部審計具體準則--信息系統審計》而言，操作性更強，兩項規范在信息審計范圍、階段、方法、可操作性等方面存在差異（如表2所示）。

眾所周知，注冊會計師審計、內部審計和政府審計在信息系統審計對象方面并不存在巨大差異，三種類型的審計都可以運用相同的信息系統審計準則指導其審計活動，但《信息系統審計操作規則》與《第2203號內部審計具體準則--信息系統審計》卻存在著重大差異。這種情況的出現，表明我國信息系統審計準則的制定還處于起步階段，除國外的ISACA等機構的審計準則外，國內還沒有具有權威性的現成信息系統審計準則可供參考，各個機構與部門都依據自身情況和需求制定相關的信息系統審計準則。對信息系統審計的內容、范圍以及目標等方面業界認識比較一致，但在涉及準則制定時卻有不同的看法。我國起步伊始的信息系統審計制度體系，如果存在規范不一問題，勢必會使廣大審計人員無所適從，這無疑不利于我國信息系統審計的健康發展，同時表明，我國迫切需要一套完善的信息系統審計準則。

二、我國信息系統審計準則制定弊端

當前，我國所發布的信息系統審計準則主要是圍繞財務審計工作開展的，發布機構為中注協、中國內部審計協會和國家審計署，而非專門的信息系統審計準則制定機構。發布信息系統審計準則的目的在于更好地進行財務審計，而不是專門針對信息系統審計準則的。這種模式概括起來就是，以“財務審計”為中心的信息系統審計準則制定模式。例如，《審計署關于計算機審計的暫行規定》規定，國家審計機關有權根據相關法律對計算機財務系統開展審計活動；《審計機關計算機輔助審計方法》規定，為便于確定被審計單位使用計算機處理的信息對其財務收支的真實性、合法性是否會產生影響，被審計單位必須報送計算機應用系統開發的驗收報告、申請使用該系統的報告、與之配套的管理制度和措施以及計算機應用系統變動情況等資料；《審計法》更是從法律上明確了審計機關檢查財政財務收支信息系統的權力；《第2203號內部審計具體準則--信息系統審計》雖然從內容上來看是針對信息系統審計的，但其依據的基本準則為《內部審計基本準則》，財務審計是內部審計的主要內容，這也沒有完全擺脫以“財務審計”為中心的信息系統審計準則制定模式。

這種以“財務審計”為中心的信息系統審計準則制定模式，準則或規范的發布主要是考慮信息技術已經影響到財務報告生產過程，為了更好地進行財務審計，而不是單純地為制定信息系統審計準則。信息化的飛速發展使得非財務信息系統的審計變得日益重要，其重要程度在某些領域上已經超過財務信息系統的審計。我國信息系統審計準則的制定與發布不能僅僅圍繞財務審計，這樣會制約信息系統審計行為的開展。

信息系統不僅僅是輸出財務報告的會計信息系統，信息系統審計所涵蓋的內容包括內部控制審計、系統生命周期審計、信息系統軟硬件審計、安全審計和信息系統績效審計等。如果信息系統審計準則的制定僅僅是為了更好地進行財務審計，那么當系統生命周期審計、信息系統軟硬件審計、安全審計以及信息系統績效審計等提上議事日程時，現有的信息系統審計準則就遠遠不能起到引導和約束信息系統審計行為的作用。

而在國外，ISACA這樣的機構專門制定信息系統審計準則，當面對服務于財務審計之外的信息系統審計時，ISACA有相應的審計準則、指南與程序用以引導和約束信息系統審計人員的審計行為。如美國審計署在對聯邦存款保險計算機病毒保護程序進行審計時，ISACA所發布的審計程序病毒及其他惡意代碼（P4）審計程序可以為其提供依據。在我國，信息系統審計準則制定的原動力來自于財務審計的需要。當面臨其他類型的信息系統審計時，審計人員往往陷入不知所措的困境。因此，要使我國的信息系統審計準則縮短與國外先進的信息系統審計準則的差距，就必須擺脫為以“財務審計”為中心的信息系統審計準則制定模式。