IT審計標(biāo)準(zhǔn)以及原則

2014-11-08 22:38:37 大云網(wǎng)　點擊量：評論 (0)

　目前在國際上較為流行的是美國的ISACA協(xié)會的審計標(biāo)準(zhǔn)。ISACA于1996年推出了用于IT審計的知識體系COBIT（Control Objectives for Information and related Technology），即信息系統(tǒng)和技術(shù)控制目標(biāo)。作為

　目前在國際上較為流行的是美國的ISACA協(xié)會的審計標(biāo)準(zhǔn)。ISACA于1996年推出了用于“IT審計”的知識體系COBIT（Control Objectives for Information and related Technology），即信息系統(tǒng)和技術(shù)控制目標(biāo)。作為IT治理的核心模型，COBIT包含34個信息技術(shù)過程控制，并歸集為4個控制域：IT規(guī)劃和組織（Planning and Organization）、系統(tǒng)獲得和實施（Acquisition and Implementation）、交付與支持（Delivery and Support），以及信息系統(tǒng)運行性能監(jiān)控（Monitoring）。目前，COBIT已成為國際公認(rèn)的IT管理與控制標(biāo)準(zhǔn)。

　　13.2.1 基本框架

　　IT審計標(biāo)準(zhǔn)是IT審計的綱領(lǐng)性規(guī)范，它列舉了IT審計的事實過程中必須包含的審計項目。一般來說，一個IT審計標(biāo)準(zhǔn)的框架應(yīng)該包含如下三個層次。

　　1. 基本準(zhǔn)則

　　規(guī)定了IT審計行為和審計報告必須達(dá)到的基本要求，是IT審計的總綱，也是制定其他相關(guān)標(biāo)準(zhǔn)、規(guī)范、準(zhǔn)則和指南的基本依據(jù)。

　　2. 具體準(zhǔn)則

　　依據(jù)基本準(zhǔn)則制定，對如何遵循IT審計的基本標(biāo)準(zhǔn)提供了詳細(xì)規(guī)定和具體說明，是IT審計師實施審計業(yè)務(wù)、出具審計報告的具體規(guī)范。

　　3. 實施指南

　　依據(jù)基本準(zhǔn)則和具體準(zhǔn)則制定，是IT審計的操作規(guī)程和方法，為IT審計師實施審計業(yè)務(wù)提供可操作性的指導(dǎo)。

　　IT審計標(biāo)準(zhǔn)是針對以計算機(jī)為核心的信息系統(tǒng)而制定的。其適用范圍涵蓋了信息系統(tǒng)的整個生命周期，包括可行性分析、需求分析、系統(tǒng)設(shè)計、開發(fā)、測試、運行維護(hù)等全部過程的每個環(huán)節(jié)。

　　13.2.2 基本準(zhǔn)則

　　作為IT審計的總綱，IT審計基本準(zhǔn)則指明了IT審計的基本標(biāo)準(zhǔn)和要求，我們這里摘錄了ISACA對于IT審計的基本準(zhǔn)則的描述。

　　1. 審計合同

　　IT審計應(yīng)該由審計方與委托方簽署IT審計合同，信息系統(tǒng)審計職能的責(zé)任、權(quán)利和義務(wù)均應(yīng)在審計合同或聘書中有清楚的說明。

　　2. 獨立性

　　（1）職業(yè)獨立性

　　在所有與審計相關(guān)的事物中，信息系統(tǒng)審計師均應(yīng)在態(tài)度和表現(xiàn)上與被審計單位保持獨立。

　　（2）組織關(guān)系

　　信息系統(tǒng)的審計職能應(yīng)與被審計領(lǐng)域保持充分獨立，以確保審計工作的客觀完成。

　　3.職業(yè)道德和標(biāo)準(zhǔn)

　　（1）職業(yè)道德準(zhǔn)則

　　信息系統(tǒng)審計師須嚴(yán)格遵守信息系統(tǒng)審計與控制協(xié)會頒發(fā)的職業(yè)道德準(zhǔn)則。

　　（2）敬業(yè)精神

　　信息系統(tǒng)審計師在各方面的工作中，均應(yīng)具備敬業(yè)精神，并嚴(yán)格遵守相應(yīng)的職業(yè)審計標(biāo)準(zhǔn)。

　　4.專業(yè)技能

　　（1）技能與知識

　　信息系統(tǒng)審計師必須在技術(shù)上勝任，具備從事審計工作所必需的專業(yè)技能與知識。

　　（2）職業(yè)繼續(xù)教育

　　信息系統(tǒng)審計師應(yīng)通過相應(yīng)的職業(yè)繼續(xù)教育來保持其技術(shù)勝任能力。

　　5.規(guī)劃

　　信息系統(tǒng)審計師應(yīng)就信息系統(tǒng)的審計工作做出相應(yīng)計劃，以實現(xiàn)審計目標(biāo)，并遵循適用的職業(yè)審計標(biāo)準(zhǔn)。

　　6.審計工作的實施

　　（1）監(jiān)督

　　信息系統(tǒng)審計人員應(yīng)在工作中接受適當(dāng)?shù)谋O(jiān)督，以確保實現(xiàn)審計目標(biāo)，并遵循職業(yè)審計標(biāo)準(zhǔn)。

　　（2）證據(jù)

　　在審計過程中，信息系統(tǒng)審計師應(yīng)獲取充分、可靠、相關(guān)且有用的證據(jù)，以有效地完成審計目標(biāo)。審計發(fā)現(xiàn)和結(jié)論應(yīng)由以上證據(jù)的適當(dāng)分析和解釋作為支持。

　　（3）績效考核

　　信息系統(tǒng)審計師應(yīng)建立適當(dāng)?shù)目冃Э己朔绞剑源_認(rèn)完成審計目標(biāo)。

　　本文摘自希賽數(shù)字圖書《計算機(jī)數(shù)學(xué)與經(jīng)濟(jì)管理基礎(chǔ)知識》，更多的詳細(xì)內(nèi)容請見：

　　7.審計報告

　　信息系統(tǒng)審計師在審計工作完成后，應(yīng)向?qū)徲嫿Y(jié)果接受單位提供適當(dāng)形式的審計報告。審計報告應(yīng)明確闡述審計工作的范圍、目的、涵蓋日期，以及審計工作的性質(zhì)和深度。審計報告應(yīng)明確審計對象、報告接受單位，以及對報告流通的任何限制。審計報告應(yīng)陳述審計師在審計中的發(fā)現(xiàn)、結(jié)論、建議，以及審計師的保留意見或限制等。

　　8.后續(xù)工作

　　信息系統(tǒng)審計師應(yīng)索取并評估上次審計中與發(fā)現(xiàn)、結(jié)論和建議有關(guān)的資料，以判定是否已及時地采取了適當(dāng)?shù)暮罄m(xù)行動。

　　13.2.3 具體準(zhǔn)則

　　IT審計的具體準(zhǔn)則是對基本準(zhǔn)則的詳細(xì)規(guī)定和具體說明，必須指出的是，這里提及的IT審計的具體準(zhǔn)則來自于ISACA的IT審計標(biāo)準(zhǔn)。限于篇幅，不可能一一列舉ISACA的各項IT審計標(biāo)準(zhǔn)的詳細(xì)內(nèi)容。這里僅僅對審計合同、獨立性、職業(yè)道德、技能與知識4個方面的具體準(zhǔn)則的大致內(nèi)容和范圍做一下介紹，余下的內(nèi)容在后面的章節(jié)中會有所提及。更為詳盡的內(nèi)容應(yīng)該參考ISACA的IT審計標(biāo)準(zhǔn)原文。

　　1.審計合同

　　IT審計合同闡述了IT審計各方的義務(wù)、權(quán)利、責(zé)任和績效度量。合同的目的是讓IT審計師在實施IT審計之前獲得明確的授權(quán)。在IT審計合同中應(yīng)該對各方的義務(wù)、權(quán)利、責(zé)任等做清楚的表述。

　　IT審計合同具有法律上的約束力。根據(jù)各國情況的不同，IT審計合同的具體內(nèi)容和格式各有差異。但是一般會包含以下內(nèi)容。

　　IT審計合同應(yīng)明確表述IT審計各方的義務(wù)，包括IT審計的目的、目標(biāo)、任務(wù)，對審計師的要求，獨立性，主要的績效考核指標(biāo)，保密性要求，預(yù)訂的工期，質(zhì)量評估標(biāo)準(zhǔn)，未完成合同時的處罰等。

　　合同中還應(yīng)明確表述IT審計師的權(quán)利，包括接觸與IT審計工作相關(guān)的人員、信息、場所、系統(tǒng)的權(quán)限等，以及向高層領(lǐng)導(dǎo)和董事會匯報的途徑等。

　　此外，合同還應(yīng)該對績效考核的具體方式、指標(biāo)等做出明確的表述。

　　2.獨立性

　　這一部分內(nèi)容的主要目的在于闡明在IT審計的基本準(zhǔn)則中，獨立性的具體含義。

　　IT審計應(yīng)該與委托方和被審計方保持組織上的獨立。在審計過程中，IT審計師應(yīng)該站在第三方的獨立的立場上，不受委托方和被審計方的影響，以維持IT審計工作的獨立性和客觀性。

　　IT審計師和審計方管理層應(yīng)該經(jīng)常對獨立性做出評估。評估應(yīng)該考慮諸如人員的變動、財務(wù)利益的變化、工作優(yōu)先級和責(zé)任等因素。IT審計師也可以采用自我評估的方法。

　　關(guān)于組織關(guān)系和獨立性的原則，也應(yīng)該在IT審計合同中有明確的表述。

　　3.職業(yè)道德和專業(yè)精神

　　IT審計師應(yīng)該支持IT審計標(biāo)準(zhǔn)、準(zhǔn)則，以及信息系統(tǒng)相關(guān)的標(biāo)準(zhǔn)的建立，并在審計工作中嚴(yán)格、自覺地遵守這些制度。

　　IT審計師在執(zhí)行IT審計的工作中，應(yīng)該保持敬業(yè)、忠誠的態(tài)度，應(yīng)該嚴(yán)格地遵循相關(guān)的法律、法規(guī)，以及其他的各方認(rèn)可的標(biāo)準(zhǔn)、準(zhǔn)則等。

　　除此之外，IT審計師還應(yīng)該體現(xiàn)出足夠的專業(yè)精神。IT審計師應(yīng)該能夠?qū)T審計的對象范圍、風(fēng)險評估、IT審計的策略選擇等做出正確的判斷。此外，IT審計師還必須擁有足夠的技能來完成IT審計的各項工作。

　　4.技能與知識

　　這些足夠的技能包括：對IT領(lǐng)域的各項重要標(biāo)準(zhǔn)的熟悉和了解，對審計工具的熟練操作，對信息系統(tǒng)的理論依據(jù)、建設(shè)方法、運行機(jī)理的了解等。

　　此外，IT審計師必須保持對IT領(lǐng)域和信息化理論的最新進(jìn)展保持及時的更新。對IT審計領(lǐng)域的規(guī)范和標(biāo)準(zhǔn)的更新保持及時的關(guān)注。

　　IT審計的具體準(zhǔn)則和詳細(xì)列表如下：

　　·IT審計合同

　　·組織關(guān)系和獨立性

　　·職業(yè)道德和專業(yè)精神

　　·IT審計計劃

　　·IT審計中的重要性概念

　　·IT審計計劃中的風(fēng)險評估

　　·IT審計取證

　　·IT審計抽樣

　　·IT審計文檔

　　·信息系統(tǒng)控制

　　·應(yīng)用系統(tǒng)評審

　　·對違規(guī)行為的審計

　　·信息系統(tǒng)內(nèi)部管理的審計

　　·信息系統(tǒng)業(yè)務(wù)外包情況下的審計

　　·計算機(jī)輔助審計技術(shù)

　　·其他審計工作成果的利用

　　·IT審計報告

　　13.2.4 實施指南

　　IT審計的實施指南是IT審計師實施審計業(yè)務(wù)的方法指引。它對IT審計流程、人員組織形式、具體的IT審計策略、審計證據(jù)的獲取、IT審計報告的編寫方法、IT審計的跟蹤等方面給出了策略性的指導(dǎo)意見。

　　除了對IT審計的相關(guān)標(biāo)準(zhǔn)必須熟悉之外，IT審計師必須對計算機(jī)信息系統(tǒng)的其他標(biāo)準(zhǔn)和規(guī)范也有比較深刻的了解和認(rèn)識，這樣才能使IT審計工作得以順利實施。

　　13.2.5 與相關(guān)IT標(biāo)準(zhǔn)的關(guān)系

　　我們目前所指的IT審計標(biāo)準(zhǔn)一般是指ISACA制定的信息系統(tǒng)審計準(zhǔn)則。IT審計標(biāo)準(zhǔn)是一套以管理為核心，以法律法規(guī)為保障，以技術(shù)為支撐的信息系統(tǒng)審計框架體系。它同時是一套規(guī)范化的管理框架，詳細(xì)地描述了審計方、開發(fā)方、用戶方的關(guān)系及各方的定位、權(quán)利、義務(wù)和職責(zé)等，并從標(biāo)準(zhǔn)的角度對IT審計師能力考核的限定、IT審計機(jī)構(gòu)的資質(zhì)認(rèn)定給予了限定。從目標(biāo)上講，IT審計標(biāo)準(zhǔn)跟著眼的目的是信息系統(tǒng)的安全性、穩(wěn)定性、有效性。

　　ISO 9000是一組國際標(biāo)準(zhǔn)，和信息系統(tǒng)相關(guān)的標(biāo)準(zhǔn)有：ISO 9001，ISO 9000-3，ISO 9004-2和ISO 9002。

　　軟件能力成熟度模型CMM（Capability Maturity Model for Software）是卡內(nèi)其·梅隆大學(xué)完成的對一個組織軟件的開發(fā)能力進(jìn)行評價的模型，它側(cè)重于對軟件開發(fā)過程和開發(fā)方法論的考察。CMM是一個5級的模型。

　　IT審計與ISO 9000認(rèn)證、軟件能力成熟度模型CMM認(rèn)證是三種不同的標(biāo)準(zhǔn)體系，面向不同的領(lǐng)域，不可以簡單地互相替代。但是它們之間有共同之處，它們都著眼于質(zhì)量管理。在IT審計的具體實施過程中，可以利用到ISO 9000標(biāo)準(zhǔn)和CMM模型作為具體評估的工具和手段。IT審計在對開發(fā)方的人員管理、文檔管理和質(zhì)量管理等方面進(jìn)行審計時，可以參照ISO 9000標(biāo)準(zhǔn)和CMM的相關(guān)內(nèi)容。如開發(fā)方通過ISO 9001認(rèn)證或取得CMM某級別的證書等都可以作為IT審計師的評估依據(jù)。

　　13.2.6 ISACA

　　信息系統(tǒng)審計與控制協(xié)會（ISACA）的全稱為：Information System Audit and Control Association。它創(chuàng)始于1967年，當(dāng)時是由從事同類職業(yè)的人所組成的小團(tuán)體——計算機(jī)系統(tǒng)的審計和控制對他們各自機(jī)構(gòu)的運作都變得愈發(fā)關(guān)鍵——因此他們聚集起來討論制定信息集中化資源和本領(lǐng)域指導(dǎo)準(zhǔn)則和必要性。在1969年，這個團(tuán)體正式組建為EDP審計師協(xié)會。在1976年，這個協(xié)會成立一項教育基金來開展大規(guī)模的研究工作，以拓展信息產(chǎn)業(yè)管理與控制領(lǐng)域和知識與價值。

　　今天，ISACA在全球有兩萬八千多名成員，他們的組成非常具有多元化。這些成員在100多個國家生活和工作，并涵蓋眾多專業(yè)信息技術(shù)的相關(guān)職業(yè)，比如信息系統(tǒng)審計師、顧問、教導(dǎo)員、信息系統(tǒng)安全專家、管理者、首席信息官和內(nèi)部審計師等。有些職業(yè)是本領(lǐng)域新興的，其他為中級管理人員，另外還有許多人擔(dān)任最高級的職位。他們幾乎遍及所有行業(yè)，包括財政金融、公共會計、政府與公共部門、公用事業(yè)和制造業(yè)。這種多元性使眾多成員能夠相互學(xué)習(xí)，并在許多專業(yè)問題上廣泛交流彼此的觀點。該特點一直被認(rèn)為是ISACA的強勢之一。

　　ISACA的另一個強勢就是它的分會網(wǎng)絡(luò)。ISACA的分會目前有170多個，遍布世界100多個國家，可提供成員教育、資源共享、支持、專業(yè)網(wǎng)絡(luò)，以及其他由當(dāng)?shù)胤謺峁┑闹T多利益。

　　在ISACA創(chuàng)立30年來，已成為一個為信息管理、控制、安全和審計專業(yè)設(shè)定規(guī)范的全球性組織。它的信息系統(tǒng)審計和信息系統(tǒng)控制標(biāo)準(zhǔn)為全球執(zhí)業(yè)者所遵從。它的研究工作針對那些挑戰(zhàn)其重要原則的疑難專業(yè)事項。它的國際信息系統(tǒng)審計師（CISA）認(rèn)證得到全球的公認(rèn)，并有三萬多名專業(yè)人員得到認(rèn)證。它最新推出的國際信息安全經(jīng)理（CISM）認(rèn)證特別針對信息安全管理的審計事務(wù)。它出版了領(lǐng)先于信息控制領(lǐng)域的技術(shù)性期刊，即《信息系統(tǒng)控制期刊》（Information Systems Control Journal）。它舉辦一系列國際性會議，并且把焦點集中于信息系統(tǒng)保障、控制、安全和信息技術(shù)管理專業(yè)的技術(shù)秘管理主題上。ISACA與其附屬的信息技術(shù)管理機(jī)構(gòu)領(lǐng)導(dǎo)著信息技術(shù)控制界，并在不斷變化的國際環(huán)境下為其執(zhí)業(yè)者提供信息技術(shù)專業(yè)所需的要素，保證他們得到良好的服務(wù)。

　　13.2.7 中國的相關(guān)標(biāo)準(zhǔn)和法律法規(guī)

　　中國目前尚沒有明確的針對IT審計的國家標(biāo)準(zhǔn)。關(guān)于IT審計的相關(guān)信息，在《審計法實施條例》、《國務(wù)院辦公廳關(guān)于利用計算機(jī)信息系統(tǒng)開展審計工作的有關(guān)問題的通知》（國辦發(fā)［2001］88號）等文件中均有描述。目前在《中華人民共和國審計法》中尚無IT審計的相關(guān)內(nèi)容。

　　IT審計的法律地位，是指計算機(jī)審計在審計法中的地位，法律是否認(rèn)可審計機(jī)關(guān)具有進(jìn)行IT審計的權(quán)利。《中華人民共和國審計法》出臺時尚沒有對IT審計做出規(guī)定，國家有關(guān)計算機(jī)審計的規(guī)定最初見于《審計法實施條例》。《審計法實施條例》第30條：“審計機(jī)關(guān)有權(quán)檢查被審計單位運用電子計算機(jī)管理財政收支、財務(wù)收支的財務(wù)會計核算系統(tǒng)。被審計單位應(yīng)當(dāng)向?qū)徲嫏C(jī)關(guān)提供運用電子計算機(jī)儲存、處理的財政收支、財務(wù)收支電子數(shù)據(jù)以及有關(guān)資料。”這是目前審計機(jī)關(guān)開展IT審計的唯一行政法規(guī)性依據(jù)。不過，該條對IT審計的規(guī)定也僅限于對“被審計單位運用電子計算機(jī)管理財政收支、財務(wù)收支的財務(wù)會計核算系統(tǒng)”的檢查，并沒有對IT審計的整個內(nèi)涵做出描述和規(guī)范。同時，它僅是原則性的規(guī)定，在實踐中也顯得缺乏可操作性。按照審計法的規(guī)定，被審計單位必須要接受審計，但不接受IT審計的行為是否是不接受審計行為，目前審計法對此沒有具體規(guī)定。

　　審計機(jī)關(guān)開展IT審計的另一項重要依據(jù)是《國務(wù)院辦公廳利用計算機(jī)信息系統(tǒng)開展審計工作有關(guān)問題的通知》（國辦發(fā)［2001］88號）。然而在該文件中關(guān)于計算機(jī)審計的內(nèi)容也僅局限于“被審計單位運用計算機(jī)管理財政收支、財務(wù)收支的信息系統(tǒng)（計算機(jī)信息系統(tǒng)）”的檢查，檢查的重點主要在計算機(jī)信息系統(tǒng)是否標(biāo)準(zhǔn)、是否存在舞弊功能、系統(tǒng)所生成的電子數(shù)據(jù)是否真實等三個方面，對IT審計的內(nèi)容已經(jīng)有了比較完整的描述。但是它對IT審計手段、IT審計實施過程中必須遵循的規(guī)范、準(zhǔn)則，以及IT審計報告的內(nèi)容、形式等都沒有涉及，在內(nèi)容上也沒有完全涵蓋IT審計的整個生命周期。盡管如此，這已是我國IT審計的重大進(jìn)步，至少在國務(wù)院辦公廳的立法級次上有了合法性的認(rèn)可。

　　為了更好的開展審計工作，保障IT審計的順利進(jìn)行，《審計法》應(yīng)當(dāng)明確確認(rèn)IT審計的法律地位，確定IT審計是必要的、合法的審計方式，同時完善IT審計所必須遵循的標(biāo)準(zhǔn)、規(guī)范等，賦予審計機(jī)關(guān)和獨立審計機(jī)構(gòu)IT審計的職權(quán)，把IT審計納入審計的內(nèi)涵之中。相信IT審計將會在將來的審計法中得到明晰的表述。

免責(zé)聲明：本文僅代表作者個人觀點，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實相關(guān)內(nèi)容。

我要收藏

個贊