国有企业信息系统审计目标研究

【摘 要】 审计目标是审计工作的出发点和落脚点，对审计活动具有导向性和约束性作用。文章探讨了审计机关国有企业信息系统审计的目标，包括可信性目标、遵循性目标、绩效性目标和安全性目标。从审计目标含义以及未来发展趋势等方面进行了深入分析，同时就实际存在的问题提出相应的解决措施。

【关键词】 信息系统； 审计； 审计目标

2007年2月国务院国有资产监督管理委员会和国务院信息化工作办联合印发了《关于加强中央企业信息化工作的指导意见》，加快了国有企业信息化建设的步伐。国有企业审计是中国特色社会主义国家审计的重要组成部分。由于企业与公共部门在内部控制、管理和治理方面的差异，导致了企业信息系统审计与公共部门信息系统审计的不同特点。

一、增强国有企业信息系统的可信性

审计机关的审计目标取决于法定要求。根据《中华人民共和国审计法》的规定，审计机关对国有企业财务收支的真实、合法、效益，依法进行审计监督。显然，真实性是国有企业审计的目标之一。信息系统审计是国有企业审计的重要组成部分。国有企业审计的总体目标，决定了国有企业信息系统审计的目标。国有企业审计的真实性目标，必然要求国有企业信息系统提供真实性的信息，这意味着，审计机关的国有企业信息系统审计必须把真实性作为审计目标之一。

根据相关法律的规定，注册会计师也可以对国有企业进行审计。根据我国公司法第165条的规定，“公司应当在每一会计年度终了时编制财务会计报告，并依法经会计师事务所审计。”而且，2008年10月通过的《中华人民共和国企业国有资产法》第六十七条明确规定，“履行出资人职责的机构根据需要，可以委托会计师事务所对国有独资企业、国有独资公司的年度财务会计报告进行审计，或者通过国有资本控股公司的股东会、股东大会决议，由国有资本控股公司聘请会计师事务所对公司的年度财务会计报告进行审计，维护出资人权益。”大家知道，依据注册会计师执业审计准则的规定，会计师事务所对企业财务报表审计的目的是“提高财务报表预期使用者对财务报表的信赖程度。”①这说明，注册会计师国有企业审计的目标是要求财务报表提供的信息具有可信性。注册会计师所审计的国有企业财务报表中的信息是由国有企业的信息系统产生形成的，因而必须对信息系统进行审计。注册会计师对国有企业财务报表审计的可信性目标，决定了注册会计师对国有企业信息系统审计的可信性目标。

同样的审计对象，不同的审计主体，导致了两种不同的国有企业信息系统审计目标。从上述分析不难发现，无论是审计机关还是注册会计师对国有企业进行审计，其中对企业信息系统的审计都是不可或缺的重要组成部分。根据审计法的规定，审计机关对国有企业信息系统审计的目标是真实性。而根据注册会计师执业审计准则，对国有企业信息系统审计的目标是可信性。那么，什么是真实性？什么是可信性？这两种目标之间有什么样的联系和区别？为什么说审计机关应当把增强国有企业信息系统可信性作为审计目标呢？

（一）真实性与可信性的基本涵义

我国审计法强调真实性，根据2010年9月颁布的中华人民共和国国家审计准则（以下简称国家审计准则）的规定，“真实性是指反映财政收支、财务收支以及有关经济活动的信息与实际情况相符合的程度。”那么，什么是真实性呢？真实性只是对财政财务收支及有关经济活动信息质量的最低要求。如果会计信息是真实的，但是不够完整或者披露不及时，仍然不能满足信息使用者的需要，甚至会导致错误的投资决策。事实上，就真实性本身而言，由于会计估计、核算方法等因素的影响，会计信息的真实性也只是相对的，而不是绝对的。所以，把真实性作为审计目标，具有一定的局限性。所谓可信性，从国际审计准则第200号（ISA200）可以看出，当编制的财务报表公允表达（presented fairly）或真实公允（true and fair）时，它才是可信性的。从字面上讲，公允（fair）或公平的要求，强调了财务报表各种使用者之间的利益平衡。从理论上讲，公允表达或真实公允的概念比真实性概念具有更多的内涵，涉及会计适当性、适当披露及审计责任等概念。在国际审计准则第200号（ISA200）中，公允表达是指财务报表是否在所有重大方面按照适用的财务报告框架编制，“公允”还意味着超出财务报告框架所要求披露范围的必要性，以及在极端情况下必须偏离财务报告框架的可能性。适用的财务报告框架，主要是指适用的会计法律法规、会计准则、会计制度等。大家知道，我国会计法强调“保证会计资料真实、完整”。根据会计法的要求，我国的财务报表不仅要具有真实性，而且还要具有完整性。总的来说，可信性并不否认真实性，真实性是可信性的必要前提之一，但真实的并不一定是可信的，可信性的内涵更加丰富，真实性是对财务信息质量的最低要求，可信性反映了对财务信息质量更高的要求。

（二）可信性目标反映了注册会计师审计发展的新阶段

一般认为，受社会需求变化、自身技术手段及审计风险等因素的影响，注册会计师审计目标的发展演变至今经历了四个阶段，即20世纪30年代之前的查错纠弊阶段、30年代中期至80年代验证会计报表真实公允阶段、80年代至90年代中期真实公允与查错纠弊并重阶段，及90年代后期以来的增强信息可信性阶段。虽然同为注册会计师审计的目标，然而从历史发展演变的角度看，真实性只是注册会计师审计的早期目标，当前注册会计师审计准则中的可信性目标反映了注册会计师审计的最新发展，是更高级发展阶段的目标。

（三）可信性目标比“真实公允”具有更加广泛的适用性

20世纪90年代后期，传统的财务报表审计成为更为广义的概念――“保证业务”（Assurance Service）的一个组成部分。我国注册会计师协会译为“鉴证业务”②。2004年国际会计师联合会了《国际保证业务框架》，2005年1月1日生效。2006年我国制定了《中国注册会计师鉴证业务基本准则》，2007年1月1日起施行。鉴证业务是指注册会计师对鉴证对象信息提出结论，以增强除责任方之外的预期使用者对鉴证对象信息信任程度的业务。鉴证对象与鉴证对象信息具有多种形式，主要包括：当鉴证对象为财务业绩或状况时（如历史或预测的财务状况、经营成果和现金流量），鉴证对象信息是财务报表；当鉴证对象为非财务业绩或状况时（如企业的运营情况），鉴证对象信息可能是反映效率或效果的关键指标；当鉴证对象为物理特征时（如设备的生产能力），鉴证对象信息可能是有关鉴证对象物理特征的说明文件；当鉴证对象为某种系统和过程时（如企业的内部控制或信息技术系统），鉴证对象信息可能是关于其有效性的认定；当鉴证对象为一种行为时（如遵守法律法规的情况），鉴证对象信息可能是对法律法规遵守情况或执行效果的声明。不难看出，传统的财务报表审计只是鉴证业务中的一种。鉴证标准随着鉴证对象的不同，也从财务报表审计中按照适用的财务报表编制框架，如编制财务报表所使用的会计准则和相关会计制度，扩展到单位内部制定的行为准则、绩效水平等方面。从其定义看，鉴证业务的目的在于增强除责任方之外的预期使用者对鉴证对象信息的信任程度。真实公允目标是针对财务报表审计的审计目标，可信性目标在概念外延上具有更加广泛的适用性。可信性目标不仅适用于对财务信息的可信性，而且还适用于非财务信息（绩效信息）的可信性。对财务报表来说，如果它是真实公允的，即在所有重大方面是按照适用的财务报表框架编制的，它就是可信性；对于其他鉴证信息来说，如果它是符合适用的鉴证标准，就是可信性的。企业内部的信息系统，现在已不仅仅是财务信息系统，还包括各种业务和管理信息系统。与此同时，为满足企业的业务需求，信息系统所提供的信息也不局限于财务信息，而且还包括许多非财务信息。所以，在国有企业信息系统审计中，把可信性作为国有企业信息系统审计的目标比真实性目标更加符合企业信息化发展的客观要求。

（四）可信性目标反映了审计理论的深化和发展

可信性不是一个孤立的术语，它是新审计理论（或一组新的相互联系的审计概念）中的一个关键性概念。随着注册会计师的业务从传统的财务报表审计发展到鉴证业务，传统的审计理论也得到了深化和发展。大家知道，审计三方关系是指审计人、被审计人、审计授权或委托人之间的关系。传统的受托责任论，即审计动因论，是建立在传统的审计三方关系之上的。然而，在我国现行的《注册会计师鉴证业务基本准则》中给出了一种新的审计三方关系，即注册会计师、责任方和预期使用者。在新的审计三方关系中，被审计人与审计授权或委托人之间责任关系的含义更加丰富，除传统的受托责任关系外还有其他种类不带委托性质的责任关系③。在新的审计三方关系中，预期使用者应包括企业所有的利益相关者，除了传统受托责任关系中的股东外，还应包括经营者、员工、顾客、供应商、债权人、潜在的投资者、监管层、竞争者等。聘请注册会计师的通常是预期使用者或其代表，但也可能是责任方。责任方、预期使用者和注册会计师三方之间的关系，可以看作是信息提供者、信息使用者和信息可信性的保证者之间的关系④。增强信息的可信性，实际上是减少了信息提供者与预期使用者之间的信息不对称，鉴于预期使用者的广泛性，在市场经济条件下，将有利于完善市场机制，提高市场资源配置效率，从而拓展了审计的社会功能。可信性不是一个空洞的概念，鉴证对象信息是否具有可信性，需要执行一定的业务程序。审计师在收集证据的基础上，依据一定的标准，检查责任方的鉴证对象信息在所有重大方面是否符合适当的标准后，才能为鉴证对象信息的可信性提供一定程度的保证，从而提供给预期使用者。鉴证业务的保证程度被细分为合理保证和有限保证，鉴证对象信息被划分为财务信息和非财务信息，其中财务信息被进一步细分为历史财务信息和预测性财务信息。可信性概念是这些新审计理论中的关键性概念之一，相比之下，真实性概念在新的审计理论中却没有相应的理论地位。

（五）可信性目标反映了国家审计的发展趋势

在世界审计组织（INTOSAI）的道德准则（Code of Ethics）中，强调了信赖（trust）、信任（confidence）、信誉（credibility）对于审计机关的至关重要性。在南非审计署1911至2011年百年纪念的纪念品和网站首页上有一句格言：“Auditing to build public confidence”，即“审计旨在建立公共信任”。我国审计署2011年7月15日印发的《审计署关于深化经济责任审计工作的指导意见》中提出，要确保经济责任审计结果的可信、可靠和可用。刘家义审计长提出，国家审计是国家治理的一个组成部分。孔子曰：“足食，足兵，民信之矣”，“民无信不立”，说明了信任、守信在国家治理中的重要性。我们知道，“诚信友爱”是构建社会主义和谐社会的基本要求之一。国家审计可以增强政府的公信力，增强整个社会的诚信。从国家治理的角度看，可信性目标比真实性目标更好地体现了国家审计在国家治理中的作用。

经过上述真实性和可信性两种审计目标含义的对比，不难发现，虽然真实性目标是国有企业审计的传统目标之一，但是可信性比真实性的涵义更为丰富，可信性目标中不但包含了真实性目标，而且可信性目标要求信息系统提供更高质量的信息。两种目标都对信息系统提供的信息质量提出了要求，国家审计对信息质量的要求不应低于注册会计师审计。因此，笔者认为，尽管现行的审计法规定了国有企业信息系统审计的真实性目标，但是，从理论上讲以及从未来发展趋势看，审计机关应当选择可信性作为国有企业信息系统审计的目标，即国有企业信息系统审计应当促进企业信息系统提供可信的信息。

二、促进国有企业信息系统的遵循性

最高审计机关国际组织（INTOSAI）在审计基本原则（ISSAI-100）中，把政府审计业务分为两大类，即合规审计（regularity audit）和绩效审计（performance audit），并制定了相应的审计执行指南，即财务审计执行指南（Implementation Guidelines on Financial Audit）、遵循审计执行指南（implementation guidelines on compliance audit）和绩效审计执行指南（Implementation Guidelines on Performance Audit）。在这个准则指南框架中，合规性审计包括了财务审计和遵循性审计。遵循性审计是指对公共部门实体的活动是否与相关法律法规及授权要求相一致的审计。在《国际审计准则第250号――财务报表审计中对法律法规的考虑》（ISA250）中，非遵循（non-compliance），是指被审计单位不履行法律法规责任或者违反法律法规的犯罪，故意地或者非故意地，与执行的法律或法规对立的行为。在COSO内部控制框架中，遵循性（compliance）作为内部控制的目标之一，是指符合适用的法律法规。由此看来，在上述准则指南中，遵循性，就是我国国家审计中的合法性。但是，在本文中，作为国有企业信息系统审计的目标之一，遵循性与合法性不同。

为满足业务需求，对信息系统提供的信息有一般性的要求，在IT治理框架COBIT4.1中，这些要求也被称之为信息标准（information criteria）。遵循性（compliance）作为其中的标准之一，是指“涉及业务流程与所需遵守的法律、法规及合同约定之间的符合程度的属性，即外部的强制要求和内部政策的遵循性。”⑤在本文中，遵循性作为国有企业信息系统审计的目标之一，采用COBIT4.1中遵循性的概念，即国有企业信息系统的设计、建设、运行和监控不仅要符合来自企业外部的强制性要求（合法性），而且还应符合国有企业内部制定的各种规定的要求。

我国审计机关对国有企业的财务收支的真实、合法和效益，依法进行审计监督。合法性是国有企业审计的审计目标之一。作为国有企业审计的重要内容，信息系统审计应当促进国有企业信息系统的合法性。那么，为什么我们要把国有企业内部制定的各种规定同时也纳入国有企业信息系统审计的目标呢？企业内部如何制定关于其信息系统的规定是企业自己的事情，似乎审计机关不应干预，但是，效益性也是国有企业审计的审计目标之一。当信息系统不符合国有企业某些内部规定的要求时就会影响到企业效益，这些内部规定，如内部控制、管理和治理等，也应纳入国有企业信息系统审计的遵循性目标范围。

三、改善国有企业信息系统的绩效性

绩效性目标是企业信息化不断发展的产物。我国企业信息化建设已经发展到了关注绩效性的阶段。绩效性目标也是IT管理和IT治理的重要内容。IT管理和IT治理的国际标准或良好实务，为开展信息系统绩效审计提供了审计标准。

（一）企业信息系统绩效性的概念

当企业信息化发展水平达到一定程度后，信息系统的绩效问题逐渐引起了人们的关注。在企业信息化的早期阶段，信息系统主要应用于企业的财务会计领域，这时人们对信息系统关注的焦点主要是信息系统的可信性和遵循性问题，相应的措施主要集中在内部控制方面，强调信息系统的一般控制和应用控制。随着企业信息化水平的不断提高，信息系统在企业中的应用范围逐渐从财务会计领域扩展到整个业务领域和管理领域，与此同时，信息系统的建设投入和运行成本显著提高。这时人们发现，大量的信息化投入并不一定能够带来预期的收益，而且还带来巨大的潜在风险，个别企业甚至因高投入造成利润下降或财务危机，有的企业因业务流程改造滞后，还会导致管理混乱。在这种情况下，人们对信息系统关注的焦点，逐渐从“投入”转向“产出”，从技术和内部控制问题转向管理和治理问题，在企业内部出现了专门的IT管理部门，IT管理和IT治理逐渐从企业的一般管理和治理中独立出来，而“绩效”是描述信息系统投入产出、管理和治理的核心概念。

信息系统的绩效性是指利用IT资源提供企业信息服务的经济性、效率性和效果性。为它的利益相关者提供价值是企业存在的基本前提。企业信息系统的目的在于利用IT资源，通过IT流程，提供企业信息服务，以满足业务需求。信息系统要实现的绩效目标必须与企业的业务需求或业务目标相一致。

（二）绩效性目标的可行性

从我国企业信息化发展阶段看，目前信息系统的绩效问题已经成为关注的焦点。2011年2月，工信部电子一所和用友软件股份有限公司联合了《2010年中国企业信息化指数调研报告》。该报告将中国企业的信息技术应用分为四个阶段，分别为基础应用阶段、关键应用阶段、扩展整合及优化升级应用阶段以及战略应用阶段，如图1所示。

该报告认为，目前我国企业信息化总体上处于由基础应用和关键应用向扩展整合与优化升级过渡阶段。报告的主要结论之一是，2010年“信息技术应用范围的变化主要体现在应用广度和深度两方面，企业基本完成了信息技术在各业务领域的应用覆盖，已逐渐开始深度关注企业业务发展需求，着力提升信息技术的应用价值。”提高信息系统的绩效，也已经成为我国企业信息化深度发展的方向。把绩效性作为国有企业信息系统审计的目标，符合我国企业信息化发展的现状，在现实中具有可行性。

（三）绩效性是IT管理和IT治理的重要内容

IT管理目的在于如何降低成本，以更好的弹性及更快的响应速度，向组织内外部顾客提供高质量的IT服务，提供顾客的满意度。IT管理的目标就是要追求信息系统的绩效性，即经济性、效率性和效果性。

信息系统的绩效性也是IT治理追求的目标之一。在IT治理国际标准ISO/IEC38500（组织的信息技术治理）中规定了“绩效”原则，即IT应适合于支持组织的目的并提供服务，服务等级和服务质量应满足当前和将来的业务要求。IT治理框架COBIT4.1有四个基本特征：以业务为中心、以流程为导向、以控制为基础、以绩效测评为驱动。在该框架中，绩效测评是IT治理的关键，并且指出，“多项调研已经表明，IT成本、价值和风险管理缺乏透明是驱动IT治理最重要的一个因素。相对于其他关注的领域，提高透明度主要通过绩效测评来实现。”⑥

（四）绩效审计的参照标准

IT管理和IT治理从企业管理和治理中独立出来，为开展单独立项的信息系统绩效审计创造了条件。就像企业审计要关注被审计单位的管理和治理那样，企业信息系统审计要关注被审计单位的IT管理和IT治理情况。IT管理和IT治理的国际标准或良好实务，则为开展信息系统绩效审计提供了审计标准，也可以作为向被审计单位提出改进建议的参照标准。常见的IT管理和IT治理国际标准有：ISO/1EC20000（信息技术――服务管理）、ITIL（信息技术基础库）、ISO/IEC38500（组织的信息技术治理）、COBIT4.1（信息及其相关技术控制目标）等。

四、维护国有企业信息系统的安全性

维护国有企业信息系统的安全，对于维护国家经济安全至关重要。随着信息技术的发展和应用，人们对信息系统安全性的认识也不断深化。正确理解信息安全的涵义，对于开展信息系统安全性审计具有重要的意义。

（一）安全性目标的重要性

根据1994年我国颁布的《中华人民共和国计算机信息系统安全保护条例》，维护计算机信息系统的安全性，就是要保障计算机及其相关的和配套的设备、设施（含网络）的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行⑦。从这里可以看出，信息系统的安全包括：信息本身的安全、系统设施设备的安全和系统运行环境的安全三个层面。就三个层面的关系而言，信息是核心，系统设施设备及其运行环境是保障，信息本身的安全是目的，系统设施设备的安全及其运行环境的安全是手段。

国有企业信息系统安全是国家信息安全和经济安全的重要组成部分。为了保护中央企业信息系统的安全稳定运行，2010年12月，公安部和国务院国有资产监督管理委员会联合颁布了《关于进一步推进中央企业信息安全等级保护工作的通知》。据统计，截至2010年5月，已有89.6%的中央企业开展了信息安全等级保护工作，中央企业总计建成投入使用的信息系统有16 092个，已定级14 539个，占比90.3%；应向公安机关备案的系统（二级及以上）有11 370个，已备案8 113个，占应备案系统的71.4%；列入2010年定级计划的有1 598个。中央企业在公安机关备案的信息系统总数约占全国信息系统备案总数的21%，第三、四级重要系统约占全国重要信息系统备案总数的30%⑧。这些数据表明，国有企业信息系统已成为国家信息安全的重要组成部分。《中华人民共和国企业国有资产法》第七条规定，“国家采取措施，推动国有资本向关系国民经济命脉和国家安全的重要行业和关键领域集中，优化国有经济布局和结构，推进国有企业的改革和发展，提高国有经济的整体素质，增强国有经济的控制力、影响力。”由于国有企业集中在国民经济命脉和国家安全的重要行业和关键领域，如电信、电力、石油、石化等重要行业，其重要信息系统已成为国家关键基础设施，是国民经济命脉之命脉，保护国有企业信息系统的安全稳定运行，对于维护国家经济安全和社会稳定具有重要的意义。

（二）信息安全概念的演变

根据我国计算机信息系统安全保护条例中的定义，计算机信息系统的安全性，包括信息本身的安全、系统设施设备的安全和支撑环境的安全。其中，信息本身的安全，即信息安全，是信息系统安全的核心和目的。那么，究竟什么是信息安全呢？

人们对信息系统安全性的认识经历了一个不断深化的发展过程。20世纪80年代美国国防部制定的《可信计算机系统评估准则TCSEC》把保密性当作信息安全的重点。20世纪90年代初由英、法、德、荷四国制定的《信息技术安全评估准则ITSEC》开始把完整性、可用性与保密性作为同等重要的因素。自此，信息安全的概念，即信息的保密性、完整性和可用性，逐渐被普遍接受。在2002年的国际标准ISO/IEC17799：2000《信息技术――信息安全管理业务规范》中明确规定，信息安全，是指保护：“保密性（confidentiality），即确保信息只能够由获得授权的人访问；完整性（integrity），即保护信息的正确性和完整性以及信息处理方法；可用性（availability），即保证经授权的用户可以访问到信息，如果需要的话，还能够访问相关资产。”然而，在2005年的该国际标准修订版即ISO/IEC17799：2005中，信息安全的定义，包括了七种安全特性：信息的保密性（confidentiality）、完整性（integrity）、可用性（availability）及其他属性，如真实性（authenticity）、责任性（accountability）、不可抵赖性（non-repudiation）、可靠性（reliability）等，而且，这种修订后的信息安全定义，被2007年的国际标准ISO/IEC27001（《信息安全管理体系――规范与使用指南》）引用。在学术界，有人认为，信息安全的特性还应进一步包括可控性（controllability）、可预测性（predictability）、可审计性（auditability）、遵循性（compliance）等。

随着信息技术的发展与应用，信息安全的内涵越来越丰富，从最初的信息保密性发展到保密性、完整性和可用性，进而又发展到相关的真实性、责任性、抗抵赖性、可靠性等。相应地，对企业信息安全的考虑，也从最初关注企业信息安全技术层面，发展到关注企业信息安全控制、管理和治理等层面。

（三）正确理解信息安全涵义需要注意的几个问题

1.信息安全与信息保密不同。从信息安全概念的涵义可以看出，信息保密与信息安全是两个不同的概念，信息安全比信息保密的涵义更加丰富。尽管我国新修订的保密法对信息系统的保密问题作出了规定，但是保密法不能代替信息安全法。目前，我国对信息安全的立法仍然比较滞后，尚无专门的信息安全法。信息安全法是国家信息安全保障体系不可或缺的组成部分。

2.微观信息安全与宏观信息安全的联系。企业信息系统的安全离不开系统运行环境的支撑，系统环境包括物理环境和社会环境。从社会环境看，主要是指有关信息安全法律法规、安全意识、人才培养等。这就是说，微观层面单个组织的信息系统安全，还离不开宏观层面国家信息安全保障体系的构建。与此同时，微观层面的信息安全是基础，没有微观层面的信息安全，也就没有宏观层面的信息安全。

3.授权管理的重要性。信息安全的概念有三个核心涵义：保密性、完整性和可用性。这三个核心涵义都涉及一个共同的要素，即“授权”。保密性意味着只有获得授权才能访问；完整性意味着没有授权不得对信息进行删除或修改；可用性意味着拥有授权者随时可以使用。这表明，授权管理是信息安全管理的一项关键内容。信息系统是一种人机系统，授权管理主要涉及对人员行为的安全管理。

4.安全性目标与遵循性、绩效性、可信性目标的联系。从信息安全的涵义可以看出，信息系统的安全性目标不同于其遵循性、绩效性和可信性目标，但是，安全性与它们之间又是相互联系的。首先，安全性必须满足遵循性的要求，信息系统的设计、运行、使用和管理可能要置于法律规定的和合同约定的安全要求的约束之下，特别是各种信息安全法律法规、保密法，以及知识产权、个人隐私权方面的法律法规；其次，信息安全没有绝对的安全，所有的信息安全都是风险可接受条件下的安全，高水平的安全保护需要大量的投入成本，因而需要在成本、收益、风险和安全之间进行权衡，即安全性与绩效性的联系；最后，在信息安全技术层面，可信计算技术是信息安全技术的一个重要研究领域，从而表明安全性与可信性之间也有内在的联系。

笔者认为，目前国际上制定的有关信息安全等级评估、信息安全风险评估、信息安全管理体系等方面的国际标准，无论是在理论概念还是在操作实务方面，对于我国审计机关开展信息系统审计都具有重要的借鉴价值。这些国际标准或良好实务可以作为审计的参照标准，同时也可以作为审计机关向被审计单位提出改进信息系统安全性建议的依据。同时，在对国有企业信息系统的安全性进行审计时，还要立足我国实际，由于我国国有企业信息系统是国民经济命脉之命脉，事关国家经济安全和社会稳定，在重视企业本身信息系统安全的同时，还应当从宏观上揭示国有企业信息系统的安全风险，维护国家经济安全。

最后应当指出的是，在审计实践中，根据具体情况，单个审计项目可以选取上述可信性、绩效性和安全性目标中的一个或多个作为审计目标。

【参考文献】

［1］ （美国）罗伯特・K・莫茨，（埃及）侯赛因・A・夏拉夫.审计理论结构［M］.中国商业出版社，1990，6（1）：208-262.