制定或者采用權威的、公認的IT審計標準，是實現IT審計工作規(guī)范化、明確IT審計責任、保證IT審計質量的可靠保障。

 

　　目前在國際上較為流行的是美國的ISACA協會的審計標準。ISACA于1996年推出了用于“IT審計”的知識體系COBIT(Control Objectives for Information and related Technology)，即信息系統和技術控制目標。作為IT治理的核心模型，COBIT包含34個信息技術過程控制，并歸集為4個控制域：IT規(guī)劃和組織(Planning and Organization)、系統獲得和實施(Acquisition and Implementation)、交付與支持(Delivery and Support)，以及信息系統運行性能監(jiān)控(Monitoring)。目前，COBIT已成為國際公認的IT管理與控制標準。

 

　　13.2.1 基本框架

 

　　IT審計標準是IT審計的綱領性規(guī)范，它列舉了IT審計的事實過程中必須包含的審計項目。一般來說，一個IT審計標準的框架應該包含如下三個層次。

 

　　1. 基本準則

 

　　規(guī)定了IT審計行為和審計報告必須達到的基本要求，是IT審計的總綱，也是制定其他相關標準、規(guī)范、準則和指南的基本依據。

 

　　2. 具體準則

 

　　依據基本準則制定，對如何遵循IT審計標準提供了詳細規(guī)定和具體說明，是IT審計師實施審計業(yè)務、出具審計報告的具體規(guī)范。

 

　　3. 實施指南

 

　　依據基本準則和具體準則制定，是IT審計的操作規(guī)程和方法，為IT審計師實施審計業(yè)務提供可操作性的指導。

 

　　IT審計標準是針對以計算機為核心的信息系統而制定的。其適用范圍涵蓋了信息系統的整個生命周期，包括可行性分析、需求分析、系統設計、開發(fā)、測試、運行維護等全部過程的每個環(huán)節(jié)。

 

　　13.2.2 基本準則

 

　　作為IT審計的總綱，IT審計基本準則指明了IT審計的基本標準和要求，我們這里摘錄了ISACA對于IT審計的基本準則的描述。

 

　　1. 審計合同

 

　　IT審計應該由審計方與委托方簽署IT審計合同，信息系統審計職能的責任、權利和義務均應在審計合同或聘書中有清楚的說明。

 

　　2. 獨立性

 

　　(1)職業(yè)獨立性

 

　　在所有與審計相關的事物中，信息系統審計師均應在態(tài)度和表現上與被審計單位保持獨立。

 

　　(2)組織關系

 

　　信息系統的審計職能應與被審計領域保持充分獨立，以確保審計工作的客觀完成。

 

　　3.職業(yè)道德和標準

 

　　(1)職業(yè)道德準則

 

　　信息系統審計師須嚴格遵守信息系統審計與控制協會頒發(fā)的職業(yè)道德準則。

 

　　(2)敬業(yè)精神

 

　　信息系統審計師在各方面的工作中，均應具備敬業(yè)精神，并嚴格遵守相應的職業(yè)審計標準。

 

　　4.專業(yè)技能

 

　　(1)技能與知識

 

　　信息系統審計師必須在技術上勝任，具備從事審計工作所必需的專業(yè)技能與知識。

 

　　(2)職業(yè)繼續(xù)教育

 

　　信息系統審計師應通過相應的職業(yè)繼續(xù)教育來保持其技術勝任能力。

 

　　5.規(guī)劃

 

　　信息系統審計師應就信息系統的審計工作做出相應計劃，以實現審計目標，并遵循適用的職業(yè)審計標準。

 

　　6.審計工作的實施

 

　　(1)監(jiān)督

 

　　信息系統審計人員應在工作中接受適當的監(jiān)督，以確保實現審計目標，并遵循職業(yè)審計標準。

 

　　(2)證據

 

　　在審計過程中，信息系統審計師應獲取充分、可靠、相關且有用的證據，以有效地完成審計目標。審計發(fā)現和結論應由以上證據的適當分析和解釋作為支持。

 

　　(3)績效考核

 

　　信息系統審計師應建立適當的績效考核方式，以確認完成審計目標。

 

　　本文摘自希賽數字圖書《計算機數學與經濟管理基礎知識》，更多的詳細內容請見：

 

　　7.審計報告

 

　　信息系統審計師在審計工作完成后，應向審計結果接受單位提供適當形式的審計報告。審計報告應明確闡述審計工作的范圍、目的、涵蓋日期，以及審計工作的性質和深度。審計報告應明確審計對象、報告接受單位，以及對報告流通的任何限制。審計報告應陳述審計師在審計中的發(fā)現、結論、建議，以及審計師的保留意見或限制等。

 

　　8.后續(xù)工作

 

　　信息系統審計師應索取并評估上次審計中與發(fā)現、結論和建議有關的資料，以判定是否已及時地采取了適當的后續(xù)行動。

 

　　13.2.3 具體準則

 

　　IT審計的具體準則是對基本準則的詳細規(guī)定和具體說明，必須指出的是，這里提及的IT審計的具體準則來自于ISACA的IT審計標準。限于篇幅，不可能一一列舉ISACA的各項IT審計標準的詳細內容。這里僅僅對審計合同、獨立性、職業(yè)道德、技能與知識4個方面的具體準則的大致內容和范圍做一下介紹，余下的內容在后面的章節(jié)中會有所提及。更為詳盡的內容應該參考ISACA的IT審計標準原文。

 

　　1.審計合同

 

　　IT審計合同闡述了IT審計各方的義務、權利、責任和績效度量。合同的目的是讓IT審計師在實施IT審計之前獲得明確的授權。在IT審計合同中應該對各方的義務、權利、責任等做清楚的表述。

 

　　IT審計合同具有法律上的約束力。根據各國情況的不同，IT審計合同的具體內容和格式各有差異。但是一般會包含以下內容。

 

　　IT審計合同應明確表述IT審計各方的義務，包括IT審計的目的、目標、任務，對審計師的要求，獨立性，主要的績效考核指標，保密性要求，預訂的工期，質量評估標準，未完成合同時的處罰等。

 

　　合同中還應明確表述IT審計師的權利，包括接觸與IT審計工作相關的人員、信息、場所、系統的權限等，以及向高層領導和董事會匯報的途徑等。

 

　　此外，合同還應該對績效考核的具體方式、指標等做出明確的表述。

 

　　2.獨立性

 

　　這一部分內容的主要目的在于闡明在IT審計的基本準則中，獨立性的具體含義。

 

　　IT審計應該與委托方和被審計方保持組織上的獨立。在審計過程中，IT審計師應該站在第三方的獨立的立場上，不受委托方和被審計方的影響，以維持IT審計工作的獨立性和客觀性。

 

　　IT審計師和審計方管理層應該經常對獨立性做出評估。評估應該考慮諸如人員的變動、財務利益的變化、工作優(yōu)先級和責任等因素。IT審計師也可以采用自我評估的方法。

 

　　關于組織關系和獨立性的原則，也應該在IT審計合同中有明確的表述。

 

　　3.職業(yè)道德和專業(yè)精神

 

　　IT審計師應該支持IT審計標準、準則，以及信息系統相關的標準的建立，并在審計工作中嚴格、自覺地遵守這些制度。

 

　　IT審計師在執(zhí)行IT審計的工作中，應該保持敬業(yè)、忠誠的態(tài)度，應該嚴格地遵循相關的法律、法規(guī)，以及其他的各方認可的標準、準則等。

 

　　除此之外，IT審計師還應該體現出足夠的專業(yè)精神。IT審計師應該能夠對IT審計的對象范圍、風險評估、IT審計的策略選擇等做出正確的判斷。此外，IT審計師還必須擁有足夠的技能來完成IT審計的各項工作。

 

　　4.技能與知識

 

　　這些足夠的技能包括：對IT領域的各項重要標準的熟悉和了解，對審計工具的熟練操作，對信息系統的理論依據、建設方法、運行機理的了解等。

 

　　此外，IT審計師必須保持對IT領域和信息化理論的最新進展保持及時的更新。對IT審計領域的規(guī)范和標準的更新保持及時的關注。

 

　　IT審計的具體準則和詳細列表如下：

 

　　·IT審計合同

 

　　·組織關系和獨立性

 

　　·職業(yè)道德和專業(yè)精神

 

　　·IT審計計劃

 

　　·IT審計中的重要性概念

 

　　·IT審計計劃中的風險評估

 

　　·IT審計取證

 

　　·IT審計抽樣

 

　　·IT審計文檔

 

　　·信息系統控制

 

　　·應用系統評審

 

　　·對違規(guī)行為的審計

 

　　·信息系統內部管理的審計

 

　　·信息系統業(yè)務外包情況下的審計

 

　　·計算機輔助審計技術

 

　　·其他審計工作成果的利用

 

　　·IT審計報告

 

　　13.2.4 實施指南

 

　　IT審計的實施指南是IT審計師實施審計業(yè)務的方法指引。它對IT審計流程、人員組織形式、具體的IT審計策略、審計證據的獲取、IT審計報告的編寫方法、IT審計的跟蹤等方面給出了策略性的指導意見。

 

　　除了對IT審計的相關標準必須熟悉之外，IT審計師必須對計算機信息系統的其他標準和規(guī)范也有比較深刻的了解和認識，這樣才能使IT審計工作得以順利實施。

 

　　13.2.5 與相關IT標準的關系

 

　　我們目前所指的IT審計標準一般是指ISACA制定的信息系統審計準則。IT審計標準是一套以管理為核心，以法律法規(guī)為保障，以技術為支撐的信息系統審計框架體系。它同時是一套規(guī)范化的管理框架，詳細地描述了審計方、開發(fā)方、用戶方的關系及各方的定位、權利、義務和職責等，并從標準的角度對IT審計師能力考核的限定、IT審計機構的資質認定給予了限定。從目標上講，IT審計標準跟著眼的目的是信息系統的安全性、穩(wěn)定性、有效性。

 

　　ISO 9000是一組國際標準，和信息系統相關的標準有：ISO 9001，ISO 9000-3，ISO 9004-2和ISO 9002。

 

　　軟件能力成熟度模型CMM(Capability Maturity Model for Software)是卡內其·梅隆大學完成的對一個組織軟件的開發(fā)能力進行評價的模型，它側重于對軟件開發(fā)過程和開發(fā)方法論的考察。CMM是一個5級的模型。

 

　　IT審計與ISO 9000認證、軟件能力成熟度模型CMM認證是三種不同的標準體系，面向不同的領域，不可以簡單地互相替代。但是它們之間有共同之處，它們都著眼于質量管理。在IT審計的具體實施過程中，可以利用到ISO 9000標準和CMM模型作為具體評估的工具和手段。IT審計在對開發(fā)方的人員管理、文檔管理和質量管理等方面進行審計時，可以參照ISO 9000標準和CMM的相關內容。如開發(fā)方通過ISO 9001認證或取得CMM某級別的證書等都可以作為IT審計師的評估依據。

 

　　13.2.6 ISACA

 

　　信息系統審計與控制協會(ISACA)的全稱為：Information System Audit and Control Association。它創(chuàng)始于1967年，當時是由從事同類職業(yè)的人所組成的小團體——計算機系統的審計和控制對他們各自機構的運作都變得愈發(fā)關鍵——因此他們聚集起來討論制定信息集中化資源和本領域指導準則和必要性。在1969年，這個團體正式組建為EDP審計師協會。在1976年，這個協會成立一項教育基金來開展大規(guī)模的研究工作，以拓展信息產業(yè)管理與控制領域和知識與價值。

 

　　今天，ISACA在全球有兩萬八千多名成員，他們的組成非常具有多元化。這些成員在100多個國家生活和工作，并涵蓋眾多專業(yè)信息技術的相關職業(yè)，比如信息系統審計師、顧問、教導員、信息系統安全專家、管理者、首席信息官和內部審計師等。有些職業(yè)是本領域新興的，其他為中級管理人員，另外還有許多人擔任最高級的職位。他們幾乎遍及所有行業(yè)，包括財政金融、公共會計、政府與公共部門、公用事業(yè)和制造業(yè)。這種多元性使眾多成員能夠相互學習，并在許多專業(yè)問題上廣泛交流彼此的觀點。該特點一直被認為是ISACA的強勢之一。

 

　　ISACA的另一個強勢就是它的分會網絡。ISACA的分會目前有170多個，遍布世界100多個國家，可提供成員教育、資源共享、支持、專業(yè)網絡，以及其他由當地分會提供的諸多利益。

 

　　在ISACA創(chuàng)立30年來，已成為一個為信息管理、控制、安全和審計專業(yè)設定規(guī)范的全球性組織。它的信息系統審計和信息系統控制標準為全球執(zhí)業(yè)者所遵從。它的研究工作針對那些挑戰(zhàn)其重要原則的疑難專業(yè)事項。它的國際信息系統審計師(CISA)認證得到全球的公認，并有三萬多名專業(yè)人員得到認證。它最新推出的國際信息安全經理(CISM)認證特別針對信息安全管理的審計事務。它出版了領先于信息控制領域的技術性期刊，即《信息系統控制期刊》(Information Systems Control Journal)。它舉辦一系列國際性會議，并且把焦點集中于信息系統保障、控制、安全和信息技術管理專業(yè)的技術秘管理主題上。ISACA與其附屬的信息技術管理機構領導著信息技術控制界，并在不斷變化的國際環(huán)境下為其執(zhí)業(yè)者提供信息技術專業(yè)所需的要素，保證他們得到良好的服務。

 

　　13.2.7 中國的相關標準和法律法規(guī)

 

　　中國目前尚沒有明確的針對IT審計的國家標準。關于IT審計的相關信息，在《審計法實施條例》、《國務院辦公廳關于利用計算機信息系統開展審計工作的有關問題的通知》(國辦發(fā)[2001]88號)等文件中均有描述。目前在《中華人民共和國審計法》中尚無IT審計的相關內容。

 

　　IT審計的法律地位，是指計算機審計在審計法中的地位，法律是否認可審計機關具有進行IT審計的權利。《中華人民共和國審計法》出臺時尚沒有對IT審計做出規(guī)定，國家有關計算機審計的規(guī)定最初見于《審計法實施條例》。《審計法實施條例》第30條：“審計機關有權檢查被審計單位運用電子計算機管理財政收支、財務收支的財務會計核算系統。被審計單位應當向審計機關提供運用電子計算機儲存、處理的財政收支、財務收支電子數據以及有關資料。”這是目前審計機關開展IT審計的唯一行政法規(guī)性依據。不過，該條對IT審計的規(guī)定也僅限于對“被審計單位運用電子計算機管理財政收支、財務收支的財務會計核算系統”的檢查，并沒有對IT審計的整個內涵做出描述和規(guī)范。同時，它僅是原則性的規(guī)定，在實踐中也顯得缺乏可操作性。按照審計法的規(guī)定，被審計單位必須要接受審計，但不接受IT審計的行為是否是不接受審計行為，目前審計法對此沒有具體規(guī)定。

 

　　審計機關開展IT審計的另一項重要依據是《國務院辦公廳利用計算機信息系統開展審計工作有關問題的通知》(國辦發(fā)[2001]88號)。然而在該文件中關于計算機審計的內容也僅局限于“被審計單位運用計算機管理財政收支、財務收支的信息系統(計算機信息系統)”的檢查，檢查的重點主要在計算機信息系統是否標準、是否存在舞弊功能、系統所生成的電子數據是否真實等三個方面，對IT審計的內容已經有了比較完整的描述。但是它對IT審計手段、IT審計實施過程中必須遵循的規(guī)范、準則，以及IT審計報告的內容、形式等都沒有涉及，在內容上也沒有完全涵蓋IT審計的整個生命周期。盡管如此，這已是我國IT審計的重大進步，至少在國務院辦公廳的立法級次上有了合法性的認可。

 

　　為了更好的開展審計工作，保障IT審計的順利進行，《審計法》應當明確確認IT審計的法律地位，確定IT審計是必要的、合法的審計方式，同時完善IT審計所必須遵循的標準、規(guī)范等，賦予審計機關和獨立審計機構IT審計的職權，把IT審計標準納入審計的內涵之中。相信IT審計將會在將來的審計法中得到明晰的表述。