1、IT審計標(biāo)準(zhǔn)以及原則選自中國IT審計網(wǎng)IT審計是獨(dú)立的IT審計師采用客觀的標(biāo)準(zhǔn)對以計算機(jī)為核心的信息系統(tǒng)的整個生命周期內(nèi)的相關(guān)的活動和產(chǎn)物進(jìn)行完整、有效的檢查和評估的過程。那么，為了保證審計結(jié)果的客觀性和權(quán)威性，IT審計師必須采用一套公認(rèn)的、權(quán)威的審計標(biāo)準(zhǔn)，作為實(shí)施IT審計的基本準(zhǔn)則和實(shí)施依據(jù)。制定或者采用權(quán)威的、公認(rèn)的IT審計標(biāo)準(zhǔn)，是實(shí)現(xiàn)IT審計工作規(guī)范化、明確IT審計責(zé)任、保證IT審計質(zhì)量的可靠保障。目前在國際上較為流行的是美國的ISACA協(xié)會的審計標(biāo)準(zhǔn)。ISACA于1996年推出了用于”IT審計“的知識體系COBIT（Control Objectives

2、for Information and related Technology），即信息系統(tǒng)和技術(shù)控制目標(biāo)。作為IT治理的核心模型，COBIT包含34個信息技術(shù)過程控制，并歸集為4個控制域：IT規(guī)劃和組織（Planning and Organization）、系統(tǒng)獲得和實(shí)施（Acquisition and Implementation）、交付與支持（Delivery and Support），以及信息系統(tǒng)運(yùn)行性能監(jiān)控（Monitoring）。目前，COBIT已成為國際公認(rèn)的IT管理與控制標(biāo)準(zhǔn)。13.2.1 基本框架IT審計標(biāo)準(zhǔn)是IT審計的綱領(lǐng)性規(guī)范，它列舉了IT審計的事實(shí)過程中必須包含的審計項目

3、。一般來說，一個IT審計標(biāo)準(zhǔn)的框架應(yīng)該包含如下三個層次。1. 基本準(zhǔn)則規(guī)定了IT審計行為和審計報告必須達(dá)到的基本要求，是IT審計的總綱，也是制定其他相關(guān)標(biāo)準(zhǔn)、規(guī)范、準(zhǔn)則和指南的基本依據(jù)。2. 具體準(zhǔn)則依據(jù)基本準(zhǔn)則制定，對如何遵循IT審計的基本標(biāo)準(zhǔn)提供了詳細(xì)規(guī)定和具體說明，是IT審計師實(shí)施審計業(yè)務(wù)、出具審計報告的具體規(guī)范。3. 實(shí)施指南依據(jù)基本準(zhǔn)則和具體準(zhǔn)則制定，是IT審計的操作規(guī)程和方法，為IT審計師實(shí)施審計業(yè)務(wù)提供可操作性的指導(dǎo)。IT審計標(biāo)準(zhǔn)是針對以計算機(jī)為核心的信息系統(tǒng)而制定的。其適用范圍涵蓋了信息系統(tǒng)的整個生命周期，包括可行性分析、需求分析、系統(tǒng)設(shè)計、開發(fā)、測試、運(yùn)行維護(hù)等全部過程的每個

4、環(huán)節(jié)。13.2.2 基本準(zhǔn)則作為IT審計的總綱，IT審計基本準(zhǔn)則指明了IT審計的基本標(biāo)準(zhǔn)和要求，我們這里摘錄了ISACA對于IT審計的基本準(zhǔn)則的描述。1. 審計合同IT審計應(yīng)該由審計方與委托方簽署IT審計合同，信息系統(tǒng)審計職能的責(zé)任、權(quán)利和義務(wù)均應(yīng)在審計合同或聘書中有清楚的說明。2. 獨(dú)立性（1）職業(yè)獨(dú)立性在所有與審計相關(guān)的事物中，信息系統(tǒng)審計師均應(yīng)在態(tài)度和表現(xiàn)上與被審計單位保持獨(dú)立。（2）組織關(guān)系信息系統(tǒng)的審計職能應(yīng)與被審計領(lǐng)域保持充分獨(dú)立，以確保審計工作的客觀完成。3.職業(yè)道德和標(biāo)準(zhǔn)（1）職業(yè)道德準(zhǔn)則信息系統(tǒng)審計師須嚴(yán)格遵守信息系統(tǒng)審計與控制協(xié)會頒發(fā)的職業(yè)道德準(zhǔn)則。（2）敬業(yè)精神信息系統(tǒng)審

5、計師在各方面的工作中，均應(yīng)具備敬業(yè)精神，并嚴(yán)格遵守相應(yīng)的職業(yè)審計標(biāo)準(zhǔn)。4.專業(yè)技能（1）技能與知識信息系統(tǒng)審計師必須在技術(shù)上勝任，具備從事審計工作所必需的專業(yè)技能與知識。（2）職業(yè)繼續(xù)教育信息系統(tǒng)審計師應(yīng)通過相應(yīng)的職業(yè)繼續(xù)教育來保持其技術(shù)勝任能力。5.規(guī)劃信息系統(tǒng)審計師應(yīng)就信息系統(tǒng)的審計工作做出相應(yīng)計劃，以實(shí)現(xiàn)審計目標(biāo)，并遵循適用的職業(yè)審計標(biāo)準(zhǔn)。6.審計工作的實(shí)施（1）監(jiān)督信息系統(tǒng)審計人員應(yīng)在工作中接受適當(dāng)?shù)谋O(jiān)督，以確保實(shí)現(xiàn)審計目標(biāo)，并遵循職業(yè)審計標(biāo)準(zhǔn)。（2）證據(jù)在審計過程中，信息系統(tǒng)審計師應(yīng)獲取充分、可靠、相關(guān)且有用的證據(jù)，以有效地完成審計目標(biāo)。審計發(fā)現(xiàn)和結(jié)論應(yīng)由以上證據(jù)的適當(dāng)分析和解釋作為

6、支持。（3）績效考核信息系統(tǒng)審計師應(yīng)建立適當(dāng)?shù)目冃Э己朔绞?，以確認(rèn)完成審計目標(biāo)。7.審計報告信息系統(tǒng)審計師在審計工作完成后，應(yīng)向?qū)徲嫿Y(jié)果接受單位提供適當(dāng)形式的審計報告。審計報告應(yīng)明確闡述審計工作的范圍、目的、涵蓋日期，以及審計 工作的性質(zhì)和深度。審計報告應(yīng)明確審計對象、報告接受單位，以及對報告流通的任何限制。審計報告應(yīng)陳述審計師在審計中的發(fā)現(xiàn)、結(jié)論、建議，以及審計師的保 留意見或限制等。8.后續(xù)工作信息系統(tǒng)審計師應(yīng)索取并評估上次審計中與發(fā)現(xiàn)、結(jié)論和建議有關(guān)的資料，以判定是否已及時地采取了適當(dāng)?shù)暮罄m(xù)行動。13.2.3 具體準(zhǔn)則IT審計的具體準(zhǔn)則是對基本準(zhǔn)則的詳細(xì)規(guī)定和具體說明，必須指出的是，這里

7、提及的IT審計的具體準(zhǔn)則來自于ISACA的IT審計標(biāo)準(zhǔn)。限于篇 幅，不可能一一列舉ISACA的各項IT審計標(biāo)準(zhǔn)的詳細(xì)內(nèi)容。這里僅僅對審計合同、獨(dú)立性、職業(yè)道德、技能與知識4個方面的具體準(zhǔn)則的大致內(nèi)容和范圍做一 下介紹，余下的內(nèi)容在后面的章節(jié)中會有所提及。更為詳盡的內(nèi)容應(yīng)該參考ISACA的IT審計標(biāo)準(zhǔn)原文。1.審計合同IT審計合同闡述了IT審計各方的義務(wù)、權(quán)利、責(zé)任和績效度量。合同的目的是讓IT審計師在實(shí)施IT審計之前獲得明確的授權(quán)。在IT審計合同中應(yīng)該對各方的義務(wù)、權(quán)利、責(zé)任等做清楚的表述。IT審計合同具有法律上的約束力。根據(jù)各國情況的不同，IT審計合同的具體內(nèi)容和格式各有差異。但是一般會包含

8、以下內(nèi)容。IT審計合同應(yīng)明確表述IT審計各方的義務(wù)，包括IT審計的目的、目標(biāo)、任務(wù)，對審計師的要求，獨(dú)立性，主要的績效考核指標(biāo)，保密性要求，預(yù)訂的工期，質(zhì)量評估標(biāo)準(zhǔn)，未完成合同時的處罰等。合同中還應(yīng)明確表述IT審計師的權(quán)利，包括接觸與IT審計工作相關(guān)的人員、信息、場所、系統(tǒng)的權(quán)限等，以及向高層領(lǐng)導(dǎo)和董事會匯報的途徑等。此外，合同還應(yīng)該對績效考核的具體方式、指標(biāo)等做出明確的表述。2.獨(dú)立性這一部分內(nèi)容的主要目的在于闡明在IT審計的基本準(zhǔn)則中，獨(dú)立性的具體含義。IT審計應(yīng)該與委托方和被審計方保持組織上的獨(dú)立。在審計過程中，IT審計師應(yīng)該站在第三方的獨(dú)立的立場上，不受委托方和被審計方的影響，以維持I

9、T審計工作的獨(dú)立性和客觀性。IT審計師和審計方管理層應(yīng)該經(jīng)常對獨(dú)立性做出評估。評估應(yīng)該考慮諸如人員的變動、財務(wù)利益的變化、工作優(yōu)先級和責(zé)任等因素。IT審計師也可以采用自我評估的方法。關(guān)于組織關(guān)系和獨(dú)立性的原則，也應(yīng)該在IT審計合同中有明確的表述。3.職業(yè)道德和專業(yè)精神IT審計師應(yīng)該支持IT審計標(biāo)準(zhǔn)、準(zhǔn)則，以及信息系統(tǒng)相關(guān)的標(biāo)準(zhǔn)的建立，并在審計工作中嚴(yán)格、自覺地遵守這些制度。IT審計師在執(zhí)行IT審計的工作中，應(yīng)該保持敬業(yè)、忠誠的態(tài)度，應(yīng)該嚴(yán)格地遵循相關(guān)的法律、法規(guī)，以及其他的各方認(rèn)可的標(biāo)準(zhǔn)、準(zhǔn)則等。除此之外，IT審計師還應(yīng)該體現(xiàn)出足夠的專業(yè)精神。IT審計師應(yīng)該能夠?qū)T審計的對象范圍、風(fēng)險評估、

10、IT審計的策略選擇等做出正確的判斷。此外，IT審計師還必須擁有足夠的技能來完成IT審計的各項工作。4.技能與知識這些足夠的技能包括：對IT領(lǐng)域的各項重要標(biāo)準(zhǔn)的熟悉和了解，對審計工具的熟練操作，對信息系統(tǒng)的理論依據(jù)、建設(shè)方法、運(yùn)行機(jī)理的了解等。此外，IT審計師必須保持對IT領(lǐng)域和信息化理論的最新進(jìn)展保持及時的更新。對IT審計領(lǐng)域的規(guī)范和標(biāo)準(zhǔn)的更新保持及時的關(guān)注。IT審計的具體準(zhǔn)則和詳細(xì)列表如下：IT審計合同組織關(guān)系和獨(dú)立性職業(yè)道德和專業(yè)精神IT審計計劃IT審計中的重要性概念I(lǐng)T審計計劃中的風(fēng)險評估IT審計取證IT審計抽樣IT審計文檔信息系統(tǒng)控制應(yīng)用系統(tǒng)評審對違規(guī)行為的審計信息系統(tǒng)內(nèi)部管理的審計信

11、息系統(tǒng)業(yè)務(wù)外包情況下的審計計算機(jī)輔助審計技術(shù)其他審計工作成果的利用IT審計報告13.2.4 實(shí)施指南IT審計的實(shí)施指南是IT審計師實(shí)施審計業(yè)務(wù)的方法指引。它對IT審計流程、人員組織形式、具體的IT審計策略、審計證據(jù)的獲取、IT審計報告的編寫方法、IT審計的跟蹤等方面給出了策略性的指導(dǎo)意見。除了對IT審計的相關(guān)標(biāo)準(zhǔn)必須熟悉之外，IT審計師必須對計算機(jī)信息系統(tǒng)的其他標(biāo)準(zhǔn)和規(guī)范也有比較深刻的了解和認(rèn)識，這樣才能使IT審計工作得以順利實(shí)施。13.2.5 與相關(guān)IT標(biāo)準(zhǔn)的關(guān)系我們目前所指的IT審計標(biāo)準(zhǔn)一般是指ISACA制定的信息系統(tǒng)審計準(zhǔn)則。IT審計標(biāo)準(zhǔn)是一套以管理為 核心，以法律法規(guī)為保障，以技術(shù)為支

12、撐的信息系統(tǒng)審計 框架體系。它同時是一套規(guī)范化的管理框架，詳細(xì)地描述了審計方、開發(fā)方、用戶方的關(guān)系及各方的定位、權(quán)利、義務(wù)和職責(zé)等，并從標(biāo)準(zhǔn)的角度對IT 審計師能力考核的限定、IT審計機(jī)構(gòu)的資質(zhì)認(rèn)定給予了限定。從目標(biāo)上講，IT審計標(biāo)準(zhǔn)跟著眼的目的是信息系統(tǒng)的安全性、穩(wěn)定性、有效性。ISO 9000是一組國際標(biāo)準(zhǔn)，和信息系統(tǒng)相關(guān)的標(biāo)準(zhǔn)有：ISO 9001，ISO 9000-3，ISO 9004-2和ISO 9002。軟件能力成熟度模型CMM（Capability Maturity Model for Software）是卡內(nèi)其梅隆大學(xué)完成的對一個組織軟件的開發(fā)能力進(jìn)行評價的模型，它側(cè)重于對軟件開

13、發(fā)過程和開發(fā)方法論的考察。CMM是一個5級的模型。IT審計與ISO 9000認(rèn)證、軟件能力成熟度模型CMM認(rèn)證是三種不同的標(biāo)準(zhǔn)體系，面向不同的領(lǐng)域，不可以簡單地互相替代。但是它們之間有共同之處，它們都著眼于質(zhì)量管 理。在IT審計的具體實(shí)施過程中，可以利用到ISO 9000標(biāo)準(zhǔn)和CMM模型作為具體評估的工具和手段。IT審計在對開發(fā)方的人員管理、文檔管理和質(zhì)量管理等方面進(jìn)行審計時，可以參照ISO 9000標(biāo)準(zhǔn)和CMM的相關(guān)內(nèi)容。如開發(fā)方通過ISO 9001認(rèn)證或取得CMM某級別的證書等都可以作為IT審計師的評估依據(jù)。13.2.6 ISACA信息系統(tǒng)審計與控制協(xié)會（ISACA）的全稱為：Inform

14、ation System Audit and Control Association。它創(chuàng)始于1967年，當(dāng)時是由從事同類職業(yè)的人所組成的小團(tuán)體計算機(jī)系統(tǒng)的審計和控制對他們各自機(jī)構(gòu)的運(yùn)作都變得愈發(fā)關(guān)鍵 因此他們聚集起來討論制定信息集中化資源和本領(lǐng)域指導(dǎo)準(zhǔn)則和必要性。在1969年，這個團(tuán)體正式組建為EDP審計師協(xié)會。在1976年，這個協(xié)會成立 一項教育基金來開展大規(guī)模的研究工作，以拓展信息產(chǎn)業(yè)管理與控制領(lǐng)域和知識與價值。今天，ISACA在全球有兩萬八千多名成員，他們的組成非常具有多元化。這些成員在100多個國家生活和工作，并涵蓋眾多專業(yè)信息技術(shù)的相關(guān)職 業(yè)，比如信 息系統(tǒng)審計師、顧問、教導(dǎo)員、信

15、息系統(tǒng)安全專家、管理者、首席信息官和內(nèi)部審計師等。有些職業(yè)是本領(lǐng)域新興的，其他為中級管理人員，另外還有許多人擔(dān)任最 高級的職位。他們幾乎遍及所有行業(yè)，包括財政金融、公共會計、政府與公共部門、公用事業(yè)和制造業(yè)。這種多元性使眾多成員能夠相互學(xué)習(xí)，并在許多專業(yè)問題上 廣泛交流彼此的觀點(diǎn)。該特點(diǎn)一直被認(rèn)為是ISACA的強(qiáng)勢之一。ISACA的另一個強(qiáng)勢就是它的分會網(wǎng)絡(luò)。ISACA的分會目前有170多個，遍布世界100多個國家，可提供成員教育、資源共享、支持、專業(yè)網(wǎng)絡(luò)，以及其他由當(dāng)?shù)胤謺峁┑闹T多利益。在ISACA創(chuàng)立30年來，已成為一個為信息管理、控制、安全和審計專業(yè)設(shè)定規(guī)范的全球性組織。它的信息系統(tǒng)審

16、計和信息系統(tǒng)控制標(biāo)準(zhǔn)為全球執(zhí)業(yè) 者所遵從。 它的研究工作針對那些挑戰(zhàn)其重要原則的疑難專業(yè)事項。它的國際信息系統(tǒng)審計師（CISA）認(rèn)證得到全球的公認(rèn)，并有三萬多名專業(yè)人員得到認(rèn)證。它最新推出 的國際信息安全經(jīng)理（CISM）認(rèn)證特別針對信息安全管理的審計事務(wù)。它出版了領(lǐng)先于信息控制領(lǐng)域的技術(shù)性期刊，即信息系統(tǒng)控制期 刊（Information Systems Control Journal）。它舉辦一系列國際性會議，并且把焦點(diǎn)集中于信息系統(tǒng)保障、控制、安全和信息技術(shù)管理專業(yè)的技術(shù)秘管理主題上。ISACA與其附屬的信息 技術(shù)管理機(jī)構(gòu)領(lǐng)導(dǎo)著信息技術(shù)控制界，并在不斷變化的國際環(huán)境下為其執(zhí)業(yè)者提供信息技術(shù)

17、專業(yè)所需的要素，保證他們得到良好的服務(wù)。13.2.7 中國的相關(guān)標(biāo)準(zhǔn)和法律法規(guī)中國目前尚沒有明確的針對IT審計的國家標(biāo)準(zhǔn)。關(guān)于IT審計的相關(guān)信息，在審計法實(shí)施條例、國務(wù)院辦公廳關(guān)于利用計算機(jī)信息系統(tǒng)開展審計工作的有關(guān) 問題的通知（國辦發(fā)200188號）等文件中均有描述。目前在中華人民共和國審計法中尚無IT審計的相關(guān)內(nèi)容。IT審計的法律地位，是指計算機(jī)審計在審計法中的地位，法律是否認(rèn)可審計機(jī)關(guān)具有進(jìn)行IT審計的權(quán)利。中華人民共和國審計法出臺時尚沒有對 IT審計做出規(guī)定，國家有關(guān)計算機(jī)審計的規(guī)定最初見于審計法實(shí)施條例。審計法實(shí)施條例第30條：”審計機(jī)關(guān)有權(quán)檢查被審計單位運(yùn)用電子計算機(jī)管理 財政收支

18、、財務(wù)收支的財務(wù)會計核算系統(tǒng)。被審計單位應(yīng)當(dāng)向?qū)徲嫏C(jī)關(guān)提供運(yùn)用電子計算機(jī)儲存、處理的財政收支、財務(wù)收支電子數(shù)據(jù)以及有關(guān)資料。“這是目前審 計機(jī)關(guān)開展IT審計的唯一行政法規(guī)性依據(jù)。不過，該條對IT審計的規(guī)定也僅限于對”被審計單位運(yùn)用電子計算機(jī)管理財政收支、財務(wù)收支的財務(wù)會計核算系統(tǒng)“ 的檢查，并沒有對IT審計的整個內(nèi)涵做出描述和規(guī)范。同時，它僅是原則性的規(guī)定，在實(shí)踐中也顯得缺乏可操作性。按照審計法的規(guī)定，被審計單位必須要接受審 計，但不接受IT審計的行為是否是不接受審計行為，目前審計法對此沒有具體規(guī)定。審計機(jī)關(guān)開展IT審計的另一項重要依據(jù)是國務(wù)院辦公廳 利用計算機(jī)信息系統(tǒng)開展審計工作有關(guān)問題的通知（國辦發(fā)200188號）。然而在該文件中關(guān) 于計算機(jī)審計的內(nèi)容也僅局限于”被審計單位運(yùn)用計算機(jī)管理財政收支、財務(wù)收支的信息系統(tǒng)（計算機(jī)信息系統(tǒng)）“的檢查，檢查的重點(diǎn)主要在計算機(jī)信息系統(tǒng)是否 標(biāo)準(zhǔn)、是否存在舞弊功能、系統(tǒng)所生成的電子數(shù)據(jù)是否真實(shí)等三個