ISACA信息系统审计准则体系浅析

1、ISACA信息系统审计准则体系浅析摘要鉴于ISACA颁布的信息系统审计准则的权威性和代表性,本文指出ISA准则体系中标准、指南和程序3个层次的结构关系及标准与指南之间的交叉关联,并总结出最新的、有效的ISA相关准则,以便更深刻地认识ISA准则。关键词 ISACA;ISA准则;标准;指南;程序中图分类号F239.1文献标识码A文章编号1673-0194(200703-0069-03国际上信息系统审计(ISA的概念起始于20世纪60年代,纸质会计凭证的电子化使得审计人员在开展传统审计业务的过程中不得不关注电子数据的取得、分析、计算等数据处理业务。那时人们开始称这种审计为计算机审计(Computer

2、 Audit或电子数据处理审计(EDP审计。20世纪90年代以来,信息系统日趋复杂,网络技术得到广泛应用,如何确保网络平台上的信息系统的安全、可靠和有效变得越来越重要,在发达国家ISA逐渐普及起来,人们对ISA准则的作用更加重视。在制定ISA准则,开展ISA研究方面,美国走在了前面。早在计算机进入实用阶段时,美国就开始提出系统审计(System Audit。1969年在洛杉矶成立了电子数据处理审计师协会(EDPAA,1994年该协会更名为信息系统审计与控制协会(Information System Audit and Control Association,ISACA,总部设在美国芝加哥,目前

3、已经在世界上140多个国家设立了200多个分会,现有会员5万多人。ISACA是从事信息系统审计的专业人员唯一的国际性组织,它通过制定和颁布ISA标准、实务指南等专业准则来规范和指导CISA的工作;它还设立了信息系统审计与控制基金会,从事相关领域的研究工作,以使该组织的成员能够分享其最新研究成果;通过在世界各地举办各种形式的研讨会、培训班等活动,增进国际间同业人员的交流。ISACA还在许多国家举行一年一度的注册信息系统审计师(Certified Information System Auditor,CISA考试,考试合格并获得执业资格者可在全球范围内开展ISA工作。信息系统审计准则是由ISACA

4、协会下的准则部(Standard Board制定的,准则部成员每年通过选举产生,任期一年,负责制定相关的标准、程序等。在准则发布之前一般先予以公开,广泛征求意见,修改之后再发布生效。ISA准则随着环境的改变而不断推出新的内容,以适应各个时期社会的要求和有关团体的要求,保证在新的环境下ISA的质量。ISACA的信息系统审计准则由ISA标准、指南和程序(Standards,Guidelines and Procedures构成,此框架为CISA执业提供了多层次的指引,ISACA信息系统审计体系如图1所示。 第一层次:信息系统审计标准。ISA标准是整个ISA准则体系的总纲,是制定ISA指南和ISA程

5、序的基础依据。它规定了审计章程及审计过程(从计划、实施、报告到跟踪必须达到的基本要求,是CISA 的资格条件、执业行为的基本规范,表明了管理层和其他利益方对执业者在专业工作上的期待。最新的ISA 标准分为11大类,共43条,分别于2005年1月、9月和11月起实施(表1。只要是CISA执行审计业务,出具审计报告,都必须遵守执行,具有强制性。如果CISA未能遵守执行,ISACA董事会和相应委员会将会对其进行调查并给予纪律处分。 第二层次:信息系统审计指南。ISA指南是依据ISA标准制定的,是ISA标准的具体化,为ISA准则体系中11大类标准的实施提供了指引,图1中虚线箭头反映了此关系。它详细规定

6、了CISA实施审计业务、出具审计报告的具体指引,为CISA在执行审计业务中如何遵守审计准则提供指导。CISA在执业过程中参考这些指南时要运用职业判断,对任何偏离ISA标准的行为一定要有充分的理由。到目前为止有效的ISA 指南共有35项,如表2所示。 第三层次:信息系统审计程序。ISA程序是依据ISA标准和ISA指南制定的。它为CISA提供了一般审计业务(尤其是审计计划和审计实施阶段业务的程序和步骤,是遵守标准和指南的一些通常审计程序,它为CISA提供了很好的工作范例。但这仅是CISA的一个参照而已,它所提供的只是CISA在审计时能满足审计准则要求的通常做法,并不要求强制执行。CISA在执行具体

7、的审计业务时,要根据特定的信息系统和特定的技术环境做出自己的职业判断,选择适当的审计程序。到目前为止有效的ISA程序共有9项,如表3所示。如图 1 所示，ISA 标准中的 11 大类可以分为 4 个部分：审计章程或审计业务约定书；对审计师职业资 格的要求，包括独立性、职业道德和职业能力的要求；从计划、实施、报告到跟踪这 4 个审计过程；其他， 包括不正当及非法行为、信息系统管理、审计计划中风险评估的利用。随着信息系统的广泛使用与网络技 术的飞速发展，ISACA 不断更新和推出符合信息环境的 ISA 指南，现已生效的就有 35 项，还有一批计划 提出的和计划准备将来提出的指南在广泛征求意见。作为 ISA 标准的详细规定和具体说明，ISA 指南的更 新赋予了 ISA 标准新的内涵和外延，按生效排序的 ISA 指南与 ISA 标准之间的交叉关联如表 4 所示。 ISACA 的信息系统审计准则体系提供了一套规范化、专业化的管理框架，规定了 CISA 的能力考核、 ISA 机构的资质认定，指明了审计方、开发方、用户方的关系及各方的定位、权利、义务和职责，提供了 覆盖信息系统全生命周期、可供 CISA 参照的实施 ISA 的标准和依据等。CISA 按审计准则开展 ISA 业务， 对信息系统进行检查和评价，提出劝告与改进意见，有效地控制与信息系统有关的风险，指导用户最大限 度地利用信息技术带来