IT审计标准以及原则

在这一节中，我们将介绍在IT审计的实施流程、组织形式等过程中应当遵循的一些标准和准则。我们在前面的13.1提到，IT审计是独立的IT审计师承受客观的标准对以计算机为核心的信息系统的整个生命周期内的相关的活动和产物进展完整、有效的检查和评估的过程。那么，为了保证审计结果的客观性和权威性，IT审计师必需承受一套公认的、权威的审计标准，作为实施ITIT审计标准，是实现IT审计工作标准化、明确ITIT目前在国际上较为流行的是美国的ISACA协会的审计标准。ISACA1996“IT审计”的学问体系COBIT(ControlObjectivesforInformationandrelatedTechnolog即信息系统和技术掌握目标。作为IT治理的核心模型，COBIT34个信息技术过程掌握，并归集为4IT(PlanningandOrganization(AcquisitionandImplementation)、交付与支持(DeliveryandSupport)，以及信息系统运行性能监控(MonitoringCOBITIT根本框架IT审计标准是IT审计的纲领性标准，它列举了IT审计的事实过程中必需包含的审计工程。一般来说，一个IT审计标准的框架应当包含如下三个层次。根本准则规定了IT审计行为和审计报告必需到达的根本要求IT审计的总纲，也是制定其他相关标准、标准、准则和指南的根本依据。具体准则依据根本准则制定，对如何遵循IT审计的根本标准供给了具体规定和具体说明，是IT审计师实施审计业务、出具审计报告的具体标准。实施指南依据根本准则和具体准则制定，是IT审计的操作规程和方法，ITIT审计标准是针对以计算机为核心的信息系统而制定的。其适用范围涵盖了信息系统的整个生命周期系统设计、开发、测试、运行维护等全部过程的每个环节。根本准则作为ITIT审计根本准则指明白IT审计的根本标准和要求，我们这里摘录了ISACA对于IT审计的根本准则的描述。审计合同IT审计应当由审计方与托付方签署IT审计合同，信息系统审计职能的责任、权利和义务均应在审计合同或聘书中有清楚的说明。独立性职业独立性上与被审计单位保持独立。组织关系信息系统的审计职能应与被审计领域保持充分独立工作的客观完成。(1)职业道德准则信息系统审计师须严格遵守信息系统审计与掌握协会颁发的职业道德准则。(2)敬业精神遵守相应的职业审计标准。专业技能信息系统审计师必需在技术上胜任专业技能与学问。(2)职业连续教育信息系统审计师应通过相应的职业连续教育来保持其技术胜任力量。规划信息系统审计师应就信息系统的审计工作做出相应打算审计目标，并遵循适用的职业审计标准。(1)监视信息系统审计人员应在工作中承受适当的监视目标，并遵循职业审计标准。证据在审计过程中，信息系统审计师应猎取充分当分析和解释作为支持。绩效考核信息系统审计师应建立适当的绩效考核方式标。审计报告信息系统审计师在审计工作完成后适当形式的审计报告。审计报告应明确阐述审计工作的范围、目的、涵盖日期，以及审计工作的性质和深度。审计报告应明确审计对象、在审计中的觉察、结论、建议，以及审计师的保存意见或限制等。后续工作信息系统审计师应索取并评估上次审计中与觉察关的资料，以判定是否已准时地实行了适当的后续行动。具体准则IT审计的具体准则是对根本准则的具体规定和具体说明，必需IT审计的具体准则来自于ISACA的IT审计标准。限于篇幅，不行能一一列举ISACA的各项IT审计标准的具体内容。这里仅仅对审计合同、独立性、职业道德、技能与学问4个方面的具体准则的大致内容和范围做一下介绍ISACA的IT审计标准原文。审计合同IT审计合同阐述了IT审计各方的义务合同的目的是让IT审计师在实施IT审计之前获得明确的授权。在IT审计合同中应当对各方的义务、权利、责任等做清楚的表述。ITIT计合同的具体内容和格式各有差异。但是一般会包含以下内容。IT审计合同应明确表述IT审计各方的义务，包括IT审计的目的、目标、任务，对审计师的要求，独立性，主要的绩效考核指标，保密性要求，预订的工期，质量评估标准，未完成合同时的惩罚等。合同中还应明确表述ITIT审计工作相关的人员、信息、场所、系统的权限等，以及向高层领导和董事会汇报的途径等。述。独立性这一局部内容的主要目的在于说明在IT审计的根本准则中，独立性的具体含义。IT审计应当与托付方和被审计方保持组织上的独立。在审计过程中，IT审计师应当站在第三方的独立的立场上，不受托付方和被审计方的影响，以维持ITIT审计师和审计方治理层应当常常对独立性做出评估。评估应该考虑诸如人员的变动IT关于组织关系和独立性的原则，也应当在IT审计合同中有明确的表述。职业道德和专业精神IT审计师应当支持IT审计标准、准则，以及信息系统相关的标准的建立，并在审计工作中严格、自觉地遵守这些制度。IT审计师在执行IT审计的工作中则等。除此之外，ITIT审计师应当能够对ITIT审计的策略选择等做出正确的推断。此外，IT审计师还必需拥有足够的技能来完成IT审计的各项工作。技能与学问IT领域的各项重要标准的生疏和了解，对审计工具的娴熟操作，对信息系统的理论依据理的了解等。此外，IT审计师必需保持对IT领域和信息化理论的最进展保持IT审计领域的标准和标准的更保持准时的关注。IT·IT·组织关系和独立性·职业道德和专业精神·IT·IT·IT·IT审计取证·IT审计抽样·IT审计文档·信息系统掌握·应用系统评审·对违规行为的审计·信息系统内部治理的审计·信息系统业务外包状况下的审计·计算机关心审计技术·其他审计工作成果的利用·IT实施指南IT审计的实施指南是ITITITIT审计报告的编写方法、IT审计的跟踪等方面给出了策略性的指导意见。除了对IT审计的相关标准必需生疏之外，IT审计师必需对计算机信息系统的其他标准和标准也有比较深刻的了解和生疏IT与相关IT标准的关系我们目前所指的IT审计标准一般是指ISACA制定的信息系统审计准则。IT审计标准是一套以治理为核心，以法律法规为保障，以技术为支撑的信息系统审计框架体系架，具体地描述了审计方、开发方、用户方的关系及各方的定位、权利、义务和职责等，并从标准的角度对IT审计师力量考核的限定、IT审计标准跟着眼的目的是信息系统的安全性、稳定性、有效性。ISO9000是一组国际标准ISOISO9000-3，ISO9004-2ISO9002。软件力量成熟度模型CMM(CapabilityMaturityModelforSoftware)是卡内其·梅隆大学完成的对一个组织软件的开发力量进CMM5IT审计与ISO9000认证、软件力量成熟度模型CMM们之间有共同之处，它们都着眼于质量治理。在IT审计的具体实施过程中，可以利用到ISO9000标准和CMM手段。IT审计在对开发方的人员治理、文档治理和质量治理等方面进展审计时，可以参照ISO9000标准和CMM过ISO9001认证或取得CMM某级别的证书等都可以作为IT师的评估依据。ISACA(ISACA)的全称为：InformationSystemAuditandControlAssociation。它创始于1967是由从事同类职业的人所组成的小团体——计算机系统的审计和控制对他们各自机构的运作都变得愈发关键——因此他们聚拢起来讨1969年，这个团体正式组建为EDP审计师协会。在1976年，这个协会成立一项教育基金来开展大规模的争论工作和学问与价值。今日，ISACA在全球有两万八千多名成员，他们的组成格外具有多100技术的相关职业，比方信息系统审计师、参谋、教育员全兴们几乎普及全部行业，包括财政金融、公共会计、政府与公共部门、公专ISACA的强势之一。ISACA的另一个强势就是它的分会网络ISACA的分会目前有170多个，遍布世界100多个国家，可供给成员教育、资源共享、支持、专业网络，以及其他由当地分会供给的诸多利益。在ISACA创立30年来，已成为一个为信息治理、掌握、安全和审疑(CISA)认证得到全球的公认，并有三万多名专业人员得到认证。它最推出的国际信息安全经理(CISM)认证特别针对信息安全治理的审计事务(InformationSystemsControlJournal)。它举办一系列国际性会议，并且把焦点集主ISACA与其附属的信息技术治理机构领导着信息技术掌握界，并在不断变化的国际环境下为其执业者供给信息技术专业所需的要素，保证他们得到良好的效劳。中国的相关标准和法律法规中国目前尚没有明确的针对ITIT审计的相关信息，在《审计法实施条例》[2023]88号)等文IT审计的相关内容。IT审计的法律地位，是指计算机审计在审计法中的地位，法律是否认可审计机关具有进展IT审计的权利。《中华人民共和国审计法》出台时尚没有对IT审计做出规定，国家有关计算机审计的规定30条：“审计机关有权检查被审计单位运用电子计算机治理财政收支机前审计机关开展ITIT审计的规定也仅限于对“被审计单位运用电子计算机治理财政收支、财务收支的财务会计核算系统”的检查，并没有对IT审计的整个内涵做出描述和标准。同时，它仅是原则性的规定乏可操作性。依据审计法的规定，被审计单位必需要承受审计承受IT审计的行为是否是不承受审计行为，目前审计法对此没有具体规定。审计机关开展IT审计的另一项重要依据是《国务院办公厅利用计算机信息系统开展审计工作有关问题的通知[2023]88号)。然而在该文件中关于计算机审计的内容也仅局限于“被审计单位运用能、系统所生成的电子数据