IT审计标准以及原则.docxVIP

1 / 15 IT 审计标准以及原则 在这一节中，我们将介绍在 IT 审计的实施流程、组织形式等过 程中应该遵循的一些标准和准则。 我们在前面的 13.1 提到， IT 审计是独立的 IT 审计师采用客观 的标准对以计算机为核心的信息系统的整个生命周期内的相关的活 动和产物进行完整、有效的检查和评估的过程。那么，为了保证审计 结果的客观性和权威性， IT 审计师必须采用一套公认的、权威的审 计标准，作为实施 IT 审计的基本准则和实施依据。 制定或者采用权威的、 公认的 IT 审计标准， 是实现 IT 审计工作 规范化、明确 IT 审计责任、保证 IT 审计质量的可靠保障。 2 / 15 目前在国际上较为流行的是美国的 ISACA 协会的审计标准。 ISACA 于 1996 年推出了用于“IT 审计”的知识体系COBIT(Control Objectives for Information and related Technology)，即信息系 统和技术控制目标。作为 IT 治理的核心模型， COBIT 包含 34 个信息 技术过程控制，并归集为 4 个控制域： IT 规划和组织(Planning and Organization)、系统获得和实施(Acquisition and Implementation)、交付与支持(Delivery and Support)，以及信息 系统运行性能监控(Monitoring)。目前， COBIT 已成为国际公认的 IT 管理与控制标准。 13.2.1 基本框架 IT 审计标准是 IT 审计的纲领性规范，它列举了 IT 审计的事实 过程中必须包含的审计项目。一般来说，一个 IT 审计标准的框架应 该包含如下三个层次。 1. 基本准则 规定了 IT 审计行为和审计报告必须达到的基本要求， 是 IT 审计 的总纲，也是制定其他相关标准、规范、准则和指南的基本依据。 2. 具体准则 3 / 15 依据基本准则制定，对如何遵循 IT 审计的基本标准提供了详细 规定和具体说明，是 IT 审计师实施审计业务、出具审计报告的具体 规范。 3. 实施指南 依据基本准则和具体准则制定，是 IT 审计的操作规程和方法， 为 IT 审计师实施审计业务提供可操作性的指导。 IT 审计标准是针对以计算机为核心的信息系统而制定的。其适 用范围涵盖了信息系统的整个生命周期， 包括可行性分析、需求分析、 系统设计、开发、测试、运行维护等全部过程的每个环节。 13.2.2 基本准则 作为 IT 审计的总纲， IT 审计基本准则指明了 IT 审计的基本标 准和要求，我们这里摘录了 ISACA 对于 IT 审计的基本准则的描述。 1. 审计合同 IT 审计应该由审计方与委托方签署 IT 审计合同，信息系统审计 职能的责任、权利和义务均应在审计合同或聘书中有清楚的说明。 2. 独立性 (1)职业独立性 4 / 15 在所有与审计相关的事物中， 信息系统审计师均应在态度和表现 上与被审计单位保持独立。 (2)组织关系 信息系统的审计职能应与被审计领域保持充分独立， 以确保审计 工作的客观完成。 3.职业道德和标准 (1)职业道德准则 信息系统审计师须严格遵守信息系统审计与控制协会颁发的职 业道德准则。 (2)敬业精神 信息系统审计师在各方面的工作中， 均应具备敬业精神， 并严格 遵守相应的职业审计标准。 4.专业技能 (1)技能与知识 信息系统审计师必须在技术上胜任， 具备从事审计工作所必需的 专业技能与知识。 (2)职业继续教育 5 / 15 信息系统审计师应通过相应的职业继续教育来保持其技术胜任 能力。 5.规划 信息系统审计师应就信息系统的审计工作做出相应计划， 以实现 审计目标，并遵循适用的职业审计标准。 6.审计工作的实施 (1)监督 信息系统审计人员应在工作中接受适当的监督， 以确保实现审计 目标，并遵循职业审计标准。 (2)证据 在审计过程中，信息系统审计师应获取充分、可靠、相关且有用 的证据， 以有效地完成审计目标。 审计发现和结论应由以上证据的适 当分析和解释作为支持。 (3)绩效考核 信息系统审计师应建立适当的绩效考核方式， 以确认完成审计目 标。 7.审计报告 6 / 15 信息系统审计师在审计工作完成后， 应向审计结果接受单位提供 适当形式的审计报告。审计报告应明确阐述审计工作的范围、目的、 涵盖日期，以及审计工作的性质和深度。审计报告应明确审计对象、 报告接受单位， 以及对报告流通的任何限制。 审计报告应陈述审计师 在审计中的发现、结论、建议，以及审计师的保留意见或限制等。 8.后续工作 信息系统审计师应索取并评估上次审计中与发现、结论和建议有 关的资料，以判定是否已及