从最早介绍国外理论的文章算起，我国对信息系统审计的研究与实践已将近三十年时间。由于实施主体不同，我国的信息系统审计形成了不同的方向，本文主要讨论的是政府审计机关为了更好地履行其审计监督职能而组织开展的政府信息系统审计［1］。
　　在经历了从理论引进到实践探索、从局部尝试到广泛开展的转变之后，审计人员对政府信息系统审计的发展途径出现了不同的观点，典型而极端的有两种：一种是认为国外的信息系统审计理论已经非常成熟，我国审计机关可以直接引进国外标准，不必浪费时间和精力去做重复工作，即从“国外引进”；另一种则认为国外理论与我国审计机关的实际工作相差甚远，我们不能够也不应该照搬国外模式，而是要根据我国的环境和现实探索自己的模式，即“自主发展”。
　　这两种观点都有自己的道理，它们都拥有各自忠实的支持者，但同时它们也都存在不同的缺陷。对于大多数在审计机关中从事信息系统审计的人员而言，他们在这两种观点之间常常感到矛盾和彷徨，这使得在政府信息系统审计的目的、内容、方法和过程等问题上都出现了较大的分歧和争议。短期的分歧是正常现象，但长久的分歧则容易进入混乱状态，因此，我们有必要在分析历史和现状的基础上，对我国政府信息系统审计的发展途径做出选择，以促进其健康发展。
　　一、 “国外引进”与“自主发展”的历史和现状
　　（一） 国外信息系统审计体系的引进
　　众所周知，我国审计机关对信息系统审计的最初理解是从美国等西方国家引入而来。在过去一个时期内，审计人员所做的大量工作是对西方国家信息系统审计思想、理论和方法体系的引进。
　　1. ISACA体系的引入
　　在国外的信息系统审计体系中，最受我国审计人员关注的是由信息系统审计与控制协会（Information System Audit and Control Association，简称ISACA）发布的由基本准则、审计指南和作业程序三部分组成的信息系统审计准则体系。
　　在相当长的一段时期内，ISACA体系是我国审计机关引入的主要内容和研究的主要对象，研究者发表了大量文献对之进行介绍，并就其对我国的借鉴意义展开讨论。可以说，在很多审计人员的理解中，ISACA就是信息系统审计的代名词。在审计实务中，一些审计人员也展开探索，尝试基于ISACA体系的信息系统审计。这一时期，ISACA体系自身也在不断地发展，其涉及范围逐渐扩展到IT治理等领域，建立起了《信息系统和技术控制目标》（Control Objectives for Information and related Technology，简称COBIT）等框架。这些内容同时受到我国审计人员的关注，他们进行了介绍和翻译。
　　在引进准则体系和理论知识的同时，我国也引入了ISACA的职业资格认证，注册信息系统审计师（Certified Information Systems Auditor，简称CISA）成为一段时期炙手可热的职业认证，相关媒体对CISA进行了大量的报道和介绍，吸引了一批审计人员的关注。
　　2. GAO体系和IIA体系的引入
　　虽然ISACA的准则体系受到广泛关注，但其内容偏向于咨询和内部管理，与我国审计机关的经济监督定位存在不小差异，因此部分人员开始将视角转向美国审计署（Government Accountability Office，简称GAO）发布的《联邦信息系统控制审计手册》（Federal Information System Controls Audit Manual，简称FISCAM）等信息系统审计体系。
　　审计人员对GAO信息系统审计体系的引进主要体现为对FISCAM等资料的翻译以及访问美国审计机关后撰写的考察报告。GAO的信息系统审计理论对我国的政府审计机关产生了较大的影响，如FISCAM将信息系统控制分为一般控制和应用控制两大类的做法被我国政府审计机关广泛接受。
　　同时，审计机关中的部分人员开始关注国际内部审计师协会（Institute of Internal Auditors，简称IIA）对信息系统审计的理解，对其发布的《基于风险的信息系统控制评价指南》（Guide to the Assessment of IT General Controls Scope Based on Risk，简称GAIT）、《全球信息系统审计指南》（Global Technology Audit Guide，简称GTAG）等进行了引进和介绍。
　　3. 日本信息系统审计体系的引入
　　日本是另一个较早开展信息系统审计的国家，通产省于1985年出台了由基本准则、实施准则和报告准则三部分组成的信息系统审计准则体系，并于1996年进行了修订。
　　我国审计人员对日本信息系统审计体系的引入是比较特殊的，从目前已经出版的书籍和发表的文献来看，直接对其进行学习、翻译、研究和引进的人员很少，主要是间接性的转述或引用。
　　日本的信息系统审计并不属于审计行业，而是归属于计算机行业，加之语言原因，其准则体系本身并未引起我国审计人员的广泛关注，他们而是把目光主要集中在定义和方法层面之上。审计人员在讨论信息系统审计或者IT审计、计算机审计等概念时，大多会提到日本通产省给出的定义，在当前所使用的信息系统审计技术方法中，也有相当一部分受到了日本信息系统审计的影响。
　　（二） 对“国外引进”模式的疑惑和基于现实环境的探索
　　从“国外引进”的模式存在一个致命的问题，那就是与我国政府审计机关实践之间无法逾越的鸿沟。在这种情况下，审计机关以“国外引进”的模式为基础开展信息系统审计时，在理论、标准与实践之间存在诸多矛盾之处，在实务操作中也就自然而然地进行了变通和调整。
　　1. 由于缺乏与IT相关的法规依据，主要依赖业务法规开展工作
　　审计机关开展信息系统审计时，所遇到的最直接也是最主要的问题就是审计取证和审计定性时缺少法律依据。
　　在学习和研究阶段，人们所采用的大多是ISACA和GAO的标准。虽然部分审计机关尝试过依据ISACA体系开展探索，但大多数审计人员对其并不认同，因为ISACA的标准显然不能作为我国审计机关进行审计定性的依据。而我国颁布的与信息系统或IT技术相关的国家标准中，除了信息系统安全等级分类等少数几个是强制标准外，大多只是具有导向作用的推荐性标准，其作为审计定性标准也存在许多争议。
　　然而，在信息系统审计实践中，审计机关在审计取证和审计定性时，对法律条款有着很强的依赖性，在微观层面一般要有强制性的法规作为依据。IT方面强制性法规的缺失，使得审计人员逐渐转向以业务法规作为依据，信息系统审计的内容也更多地转向与业务结合紧密的内容或者与资金相结合的内容，如审计署京津冀特派办对某航空公司的审计［2］。 2. 内控体系尚不成熟导致关注重点转向问题揭露 (责任编辑：南粤论文中心)转贴于南粤论文中心: http://www.nylw.net(南粤论文中心__代写代发论文_毕业论文带写_广州职称论文代发_广州论文网）