IT审计标准以及原则

IT审计标准以及原则来源：233网校

【233网校：教育考试门户】

2023年9月1日已有574人加入

软考帮帮团收藏本页免费做试题章节练习资料交易中心我有疑问？在这一节中，我们将介绍在IT审计的实行流程、组织形式等过程中应当遵循的一些标准和准则。我们在前面的13.1提到，IT审计是独立的IT审计师采用客观的标准对以计算机为核心的信息系统的整个生命周期内的相关的活动和产物进行完整、有效的检查和评估的过程。那么，为了保证审计结果的客观性和权威性，IT审计师必须采用一套公认的、权威的审计标准，作为实行IT审计的基本准则和实行依据。制定或者采用权威的、公认的IT审计标准，是实现IT审计工作规范化、明确IT审计责任、保证IT审计质量的可靠保障。目前在国际上较为流行的是美国的ISACA协会的审计标准。ISACA于1996年推出了用于“IT审计”的知识体系COBIT(ControlObjectivesforInformationandrelatedTechnology)，即信息系统和技术控制目的。作为IT治理的核心模型，COBIT包含34个信息技术过程控制，并归集为4个控制域：IT规划和组织(PlanningandOrganization)、系统获得和实行(AcquisitionandImplementation)、交付与支持(DeliveryandSupport)，以及信息系统运营性能监控(Monitoring)。目前，COBIT已成为国际公认的IT管理与控制标准。13.2.1基本框架IT审计标准是IT审计的大纲性规范，它列举了IT审计的事实过程中必须包含的审计项目。一般来说，一个IT审计标准的框架应当包含如下三个层次。1.基本准则规定了IT审计行为和审计报告必须达成的基本规定，是IT审计的总纲，也是制定其他相关标准、规范、准则和指南的基本依据。2.具体准则依据基本准则制定，对如何遵循IT审计的基本标准提供了具体规定和具体说明，是IT审计师实行审计业务、出具审计报告的具体规范。3.实行指南依据基本准则和具体准则制定，是IT审计的操作规程和方法，为IT审计师实行审计业务提供可操作性的指导。IT审计标准是针对以计算机为核心的信息系统而制定的。其合用范围涵盖了信息系统的整个生命周期，涉及可行性分析、需求分析、系统设计、开发、测试、运营维护等所有过程的每个环节。13.2.2基本准则作为IT审计的总纲，IT审计基本准则指明了IT审计的基本标准和规定，我们这里摘录了ISACA对于IT审计的基本准则的描述。1.审计协议IT审计应当由审计方与委托方签署IT审计协议，信息系统审计职能的责任、权利和义务均应在审计协议或聘书中有清楚的说明。2.独立性(1)职业独立性在所有与审计相关的事物中，信息系统审计师均应在态度和表现上与被审计单位保持独立。(2)组织关系信息系统的审计职能应与被审计领域保持充足独立，以保证审计工作的客观完毕。3.职业道德和标准(1)职业道德准则信息系统审计师须严格遵守信息系统审计与控制协会颁发的职业道德准则。(2)敬业精神信息系统审计师在各方面的工作中，均应具有敬业精神，并严格遵守相应的职业审计标准。4.专业技能(1)技能与知识信息系统审计师必须在技术上胜任，具有从事审计工作所必需的专业技能与知识。(2)职业继续教育信息系统审计师应通过相应的职业继续教育来保持其技术胜任能力。5.规划信息系统审计师应就信息系统的审计工作做出相应计划，以实现审计目的，并遵循合用的职业审计标准。6.审计工作的实行(1)监督信息系统审计人员应在工作中接受适当的监督，以保证实现审计目的，并遵循职业审计标准。(2)证据在审计过程中，信息系统审计师应获取充足、可靠、相关且有用的证据，以有效地完毕审计目的。审计发现和结论应由以上证据的适当分析和解释作为支持。(3)绩效考核信息系统审计师应建立适当的绩效考核方式，以确认完毕审计目的。7.审计报告信息系统审计师在审计工作完毕后，应向审计结果接受单位提供适当形式的审计报告。审计报告应明确阐述审计工作的范围、目的、涵盖日期，以及审计工作的性质和深度。审计报告应明确审计对象、报告接受单位，以及对报告流通的任何限制。审计报告应陈述审计师在审计中的发现、结论、建议，以及审计师的保存意见或限制等。8.后续工作信息系统审计师应索取并评估上次审计中与发现、结论和建议有关的资料，以鉴定是否已及时地采用了适当的后续行动。13.2.3具体准则IT审计的具体准则是对基本准则的具体规定和具体说明，必须指出的是，这里提及的IT审计的具体准则来自于ISACA的IT审计标准。限于篇幅，不也许一一列举ISACA的各项IT审计标准的具体内容。这里仅仅对审计协议、独立性、职业道德、技能与知识4个方面的具体准则的大体内容和范围做一下介绍，余下的内容在后面的章节中会有所提及。更为详尽的内容应当参考ISACA的IT审计标准原文。1.审计协议IT审计协议阐述了IT审计各方的义务、权利、责任和绩效度量。协议的目的是让IT审计师在实行IT审计之前获得明确的授权。在IT审计协议中应当对各方的义务、权利、责任等做清楚的表述。IT审计协议具有法律上的约束力。根据各国情况的不同，IT审计协议的具体内容和格式各有差异。但是一般会包含以下内容。IT审计协议应明确表述IT审计各方的义务，涉及IT审计的目的、目的、任务，对审计师的规定，独立性，重要的绩效考核指标，保密性规定，预订的工期，质量评估标准，未完毕协议时的处罚等。协议中还应明确表述IT审计师的权利，涉及接触与IT审计工作相关的人员、信息、场合、系统的权限等，以及向高层领导和董事会报告的途径等。此外，协议还应当对绩效考核的具体方式、指标等做出明确的表述。2.独立性这一部分内容的重要目的在于阐明在IT审计的基本准则中，独立性的具体含义。IT审计应当与委托方和被审计方保持组织上的独立。在审计过程中，IT审计师应当站在第三方的独立的立场上，不受委托方和被审计方的影响，以维持IT审计工作的独立性和客观性。IT审计师和审计方管理层应当经常对独立性做出评估。评估应当考虑诸如人员的变动、财务利益的变化、工作优先级和责任等因素。IT审计师也可以采用自我评估的方法。关于组织关系和独立性的原则，也应当在IT审计协议中有明确的表述。3.职业道德和专业精神IT审计师应当支持IT审计标准、准则，以及信息系统相关的标准的建立，并在审计工作中严格、自觉地遵守这些制度。IT审计师在执行IT审计的工作中，应当保持敬业、忠诚的态度，应当严格地遵循相关的法律、法规，以及其他的各方认可的标准、准则等。除此之外，IT审计师还应当体现出足够的专业精神。IT审计师应当可以对IT审计的对象范围、风险评估、IT审计的策略选择等做出对的的判断。此外，IT审计师还必须拥有足够的技能来完毕IT审计的各项工作。4.技能与知识这些足够的技能涉及：对IT领域的各项重要标准的熟悉和了解，对审计工具的纯熟操作，对信息系统的理论依据、建设方法、运营机理的了解等。此外，IT审计师必须保持对IT领域和信息化理论的最新进展保持及时的更新。对IT审计领域的规范和标准的更新保持及时的关注。IT审计的具体准则和具体列表如下：·IT审计协议·组织关系和独立性·职业道德和专业精神·IT审计计划·IT审计中的重要性概念·IT审计计划中的风险评估·IT审计取证·IT审计抽样·IT审计文档·信息系统控制·应用系统评审·对违规行为的审计·信息系统内部管理的审计·信息系统业务外包情况下的审计·计算机辅助审计技术·其他审计工作成果的运用·IT审计报告13.2.4实行指南IT审计的实行指南是IT审计师实行审计业务的方法指引。它对IT审计流程、人员组织形式、具体的IT审计策略、审计证据的获取、IT审计报告的编写方法、IT审计的跟踪等方面给出了策略性的指导意见。除了对IT审计的相关标准必须熟悉之外，IT审计师必须对计算机信息系统的其他标准和规范也有比较深刻的了解和结识，这样才干使IT审计工作得以顺利实行。13.2.5与相关IT标准的关系我们目前所指的IT审计标准一般是指ISACA制定的信息系统审计准则。IT审计标准是一套以管理为核心，以法律法规为保障，以技术为支撑的信息系统审计框架体系。它同时是一套规范化的管理框架，具体地描述了审计方、开发方、用户方的关系及各方的定位、权利、义务和职责等，并从标准的角度对IT审计师能力考核的限定、IT审计机构的资质认定给予了限定。从目的上讲，IT审计标准跟着眼的目的是信息系统的安全性、稳定性、有效性。ISO9000是一组国际标准，和信息系统相关的标准有：ISO9001，ISO9000-3，ISO9004-2和ISO9002。软件能力成熟度模型CMM(CapabilityMaturityModelforSoftware)是卡内其·梅隆大学完毕的对一个组织软件的开发能力进行评价的模型，它侧重于对软件开发过程和开发方法论的考察。CMM是一个5级的模型。IT审计与ISO9000认证、软件能力成熟度模型CMM认证是三种不同的标准体系，面向不同的领域，不可以简朴地互相替代。但是它们之间有共同之处，它们都着眼于质量管理。在IT审计的具体实行过程中，可以运用到ISO9000标准和CMM模型作为具体评估的工具和手段。IT审计在对开发方的人员管理、文档管理和质量管理等方面进行审计时，可以参照ISO9000标准和CMM的相关内容。如开发方通过ISO9001认证或取得CMM某级别的证书等都可以作为IT审计师的评估依据。13.2.6ISACA信息系统审计与控制协会(ISACA)的全称为：InformationSystemAuditandControlAssociation。它创始于1967年，当时是由从事同类职业的人所组成的小团队——计算机系统的审计和控制对他们各自机构的运作都变得愈发关键——因此他们聚集起来讨论制定信息集中化资源和本领域指导准则和必要性。在1969年，这个团队正式组建为EDP审计师协会。在1976年，这个协会成立一项教育基金来开展大规模的研究工作，以拓展信息产业管理与控制领域和知识与价值。今天，ISACA在全球有两万八千多名成员，他们的组成非常具有多元化。这些成员在100多个国家生活和工作，并涵盖众多专业信息技术的相关职业，比如信息系统审计师、顾问、教导员、信息系统安全专家、管理者、首席信息官和内部审计师等。有些职业是本领域新兴的，其他为中级管理人员，此外尚有许多人担任最高级的职位。他们几乎遍及所有行业，涉及财政金融、公共会计、政府与公共部门、公用事业和制造业。这种多元性使众多成员可以互相学习，并在许多专业问题上广泛交流彼此的观点。该特点一直被认为是ISACA的强势之一。ISACA的另一个强势就是它的分会网络。ISACA的分会目前有170多个，遍布世界100多个国家，可提供成员教育、资源共享、支持、专业网络，以及其他由本地分会提供的诸多利益。在ISACA创建30年来，已成为一个为信息管理、控制、安全和审计专业设定规范的全球性组织。它的信息系统审计和信息系统控制标准为全球执业者所遵从。它的研究工作针对那些挑战其重要原则的疑难专业事项。它的国际信息系统审计师(CISA)认证得到全球的公认，并有三万多名专业人员得到认证。它最新推出的国际信息安全经理(CISM)认证特别针对信息安全管理的审计事务。它出版了领先于信息控制领域的技术性期刊，即《信息系统控制期刊》(InformationSystemsControlJournal)。它举办一系列国际性会议，并且把焦点集中于信息系统保障、控制、安全和信息技术管理专业的技术秘管理主题上。ISACA与其附属的信息技术管理机构领导着信息技术控制界，并在不断变化的国际环境下为其执业者提供信息技术专业所需的要素，保证他们得到良好的服务。13.2.7中国的相关标准和法律法规中国目前尚没有明确的针对IT审计的国家标准。关于IT审计的相关信息，在《审计法实行条例》、《国务院办公厅关于运用计算机信息系统开展审计工作的有关问题的告知》(国办发[2023]88号)等文献中均有描述。目前在《中华人民共和国审计法》中尚无IT审计的相关内容。IT审计的法律地位，是指计算机审计在审计法中的地位，法律是否认可审计机关具有进行IT审计的权利。《中华人民共和国审计法》出台时尚没有对IT审计做出规定，国家有关计算机审计的规定最初见于《审计法实行条例》。《审计法实行条例》第30条：“审计机关有权检查被审计单位运用电子计算机管理财政收支、财务收支的财务会计核算系统。被审计单位应当向审计机关提供运用电子计算机储存、解决的财政收支、财务收支电子数据以及有关资料。”这是目前审计机关开展IT审计的唯一行政法规性依据。但是，该条对IT审计的