IT审计方案、标准以及原则.docVIP

IT审计标准以及原则 　　IT审计是独立的IT审计师采用客观的标准对以计算机为核心的信息系统的整个生命周期内的相关的活动和产物进行完整、有效的检查和评估的过程。那么，为了保证审计结果的客观性和权威性，IT审计师必须采用一套公认的、权威的审计标准，作为实施IT审计的基本准则和实施依据。 　　制定或者采用权威的、公认的IT审计标准，是实现IT审计工作规范化、明确IT审计责任、保证IT审计质量的可靠保障。 　　目前在国际上较为流行的是美国的ISACA协会的审计标准。ISACA于1996年推出了用于”IT审计“的知识体系COBIT（Control Objectives for Information and related Technology），即信息系统和技术控制目标。作为IT治理的核心模型，COBIT包含34个信息技术过程控制，并归集为4个控制域：IT规划和组织（Planning and Organization）、系统获得和实施（Acquisition and Implementation）、交付与支持（Delivery and Support），以及信息系统运行性能监控（Monitoring）。目前，COBIT已成为国际公认的IT管理与控制标准。 　　13.2.1 基本框架 　　IT审计标准是IT审计的纲领性规范，它列举了IT审计的事实过程中必须包含的审计项目。一般来说，一个IT审计标准的框架应该包含如下三个层次。 　　1. 基本准则 　　规定了IT审计行为和审计报告必须达到的基本要求，是IT审计的总纲，也是制定其他相关标准、规范、准则和指南的基本依据。 　　2. 具体准则 　　依据基本准则制定，对如何遵循IT审计的基本标准提供了详细规定和具体说明，是IT审计师实施审计业务、出具审计报告的具体规范。 　　3. 实施指南 　　依据基本准则和具体准则制定，是IT审计的操作规程和方法，为IT审计师实施审计业务提供可操作性的指导。 　　IT审计标准是针对以计算机为核心的信息系统而制定的。其适用范围涵盖了信息系统的整个生命周期，包括可行性分析、需求分析、系统设计、开发、测试、运行维护等全部过程的每个环节。 　　13.2.2 基本准则 　　作为IT审计的总纲，IT审计基本准则指明了IT审计的基本标准和要求，我们这里摘录了ISACA对于IT审计的基本准则的描述。 　　1. 审计合同 　　IT审计应该由审计方与委托方签署IT审计合同，信息系统审计职能的责任、权利和义务均应在审计合同或聘书中有清楚的说明。 　　2. 独立性 　　（1）职业独立性 　　在所有与审计相关的事物中，信息系统审计师均应在态度和表现上与被审计单位保持独立。 　　（2）组织关系 　　信息系统的审计职能应与被审计领域保持充分独立，以确保审计工作的客观完成。 　　3.职业道德和标准 　　（1）职业道德准则 　　信息系统审计师须严格遵守信息系统审计与控制协会颁发的职业道德准则。 　　（2）敬业精神 　　信息系统审计师在各方面的工作中，均应具备敬业精神，并严格遵守相应的职业审计标准。　　4.专业技能 　　（1）技能与知识 　　信息系统审计师必须在技术上胜任，具备从事审计工作所必需的专业技能与知识。 　　（2）职业继续教育 　　信息系统审计师应通过相应的职业继续教育来保持其技术胜任能力。　　5.规划 　　信息系统审计师应就信息系统的审计工作做出相应计划，以实现审计目标，并遵循适用的职业审计标准。 　　6.审计工作的实施 　　（1）监督 　　信息系统审计人员应在工作中接受适当的监督，以确保实现审计目标，并遵循职业审计标准。 　　（2）证据 　　在审计过程中，信息系统审计师应获取充分、可靠、相关且有用的证据，以有效地完成审计目标。审计发现和结论应由以上证据的适当分析和解释作为支持。 　　（3）绩效考核 　　信息系统审计师应建立适当的绩效考核方式，以确认完成审计目标。 　　7.审计报告 　　信息系统审计师在审计工作完成后，应向审计结果接受单位提供适当形式的审计报告。审计报告应明确阐述审计工作的范围、目的、涵盖日期，以及审计 工作的性质和深度。审计报告应明确审计对象、报告接受单位，以及对报告流通的任何限制。审计报告应陈述审计师在审计中的发现、结论、建议，以及审计师的保 留意见或限制等。 　　8.后续工作 　　信息系统审计师应索取并评估上次审计中与发现、结论和建议有关的资料，以判定是否已及时地采取了适当的后续行动。 　　13.2.3 具体准则 　　IT审计的具体准则是对基本准则的详细规定和具体说明，必须指出的是，这里提及的IT审计的具体准则来自于ISACA的IT审计标准。限于篇 幅，不可能一一列举ISACA的各项IT审计标准的详细内容。这里仅仅对审计合同、独立性、职业道德、技能与知识4个