IT審計標準以及原則

2014-11-08 21:25:21 大云網　點擊量：評論 (0)

IT審計是獨立的IT審計師采用客觀的標準對以計算機為核心的信息系統的整個生命周期內的相關的活動和產物進行完整、有效的檢查和評估的過程。那么，為了保證審計結果的客觀性和權威性，IT審計師必須采用一套公認的

IT審計是獨立的IT審計師采用客觀的標準對以計算機為核心的信息系統的整個生命周期內的相關的活動和產物進行完整、有效的檢查和評估的過程。那么，為了保證審計結果的客觀性和權威性，IT審計師必須采用一套公認的、權威的審計標準，作為實施IT審計的基本準則和實施依據。

制定或者采用權威的、公認的IT審計標準，是實現IT審計工作規范化、明確IT審計責任、保證IT審計質量的可靠保障。

目前在國際上較為流行的是美國的ISACA協會的審計標準。ISACA于1996年推出了用于”IT審計“的知識體系COBIT（Control Objectives for Information and related Technology），即信息系統和技術控制目標。作為IT治理的核心模型，COBIT包含34個信息技術過程控制，并歸集為4個控制域：IT規劃和組織（Planning and Organization）、系統獲得和實施（Acquisition and Implementation）、交付與支持（Delivery and Support），以及信息系統運行性能監控（Monitoring）。目前，COBIT已成為國際公認的IT管理與控制標準。

13.2.1 基本框架

IT審計標準是IT審計的綱領性規范，它列舉了IT審計的事實過程中必須包含的審計項目。一般來說，一個IT審計標準的框架應該包含如下三個層次。

1. 基本準則

規定了IT審計行為和審計報告必須達到的基本要求，是IT審計的總綱，也是制定其他相關標準、規范、準則和指南的基本依據。

2. 具體準則

依據基本準則制定，對如何遵循IT審計的基本標準提供了詳細規定和具體說明，是IT審計師實施審計業務、出具審計報告的具體規范。

3. 實施指南

依據基本準則和具體準則制定，是IT審計的操作規程和方法，為IT審計師實施審計業務提供可操作性的指導。

IT審計標準是針對以計算機為核心的信息系統而制定的。其適用范圍涵蓋了信息系統的整個生命周期，包括可行性分析、需求分析、系統設計、開發、測試、運行維護等全部過程的每個環節。

13.2.2 基本準則

作為IT審計的總綱，IT審計基本準則指明了IT審計的基本標準和要求，我們這里摘錄了ISACA對于IT審計的基本準則的描述。

1. 審計合同

IT審計應該由審計方與委托方簽署IT審計合同，信息系統審計職能的責任、權利和義務均應在審計合同或聘書中有清楚的說明。

2. 獨立性

（1）職業獨立性

在所有與審計相關的事物中，信息系統審計師均應在態度和表現上與被審計單位保持獨立。

（2）組織關系

信息系統的審計職能應與被審計領域保持充分獨立，以確保審計工作的客觀完成。

3.職業道德和標準

（1）職業道德準則

信息系統審計師須嚴格遵守信息系統審計與控制協會頒發的職業道德準則。

（2）敬業精神

信息系統審計師在各方面的工作中，均應具備敬業精神，并嚴格遵守相應的職業審計標準。

4.專業技能

（1）技能與知識

信息系統審計師必須在技術上勝任，具備從事審計工作所必需的專業技能與知識。

（2）職業繼續教育

信息系統審計師應通過相應的職業繼續教育來保持其技術勝任能力。

5.規劃

信息系統審計師應就信息系統的審計工作做出相應計劃，以實現審計目標，并遵循適用的職業審計標準。

6.審計工作的實施

（1）監督

信息系統審計人員應在工作中接受適當的監督，以確保實現審計目標，并遵循職業審計標準。

（2）證據

在審計過程中，信息系統審計師應獲取充分、可靠、相關且有用的證據，以有效地完成審計目標。審計發現和結論應由以上證據的適當分析和解釋作為支持。

（3）績效考核

信息系統審計師應建立適當的績效考核方式，以確認完成審計目標。

7.審計報告

信息系統審計師在審計工作完成后，應向審計結果接受單位提供適當形式的審計報告。審計報告應明確闡述審計工作的范圍、目的、涵蓋日期，以及審計工作的性質和深度。審計報告應明確審計對象、報告接受單位，以及對報告流通的任何限制。審計報告應陳述審計師在審計中的發現、結論、建議，以及審計師的保留意見或限制等。

8.后續工作

信息系統審計師應索取并評估上次審計中與發現、結論和建議有關的資料，以判定是否已及時地采取了適當的后續行動。

13.2.3 具體準則

IT審計的具體準則是對基本準則的詳細規定和具體說明，必須指出的是，這里提及的IT審計的具體準則來自于ISACA的IT審計標準。限于篇幅，不可能一一列舉ISACA的各項IT審計標準的詳細內容。這里僅僅對審計合同、獨立性、職業道德、技能與知識4個方面的具體準則的大致內容和范圍做一下介紹，余下的內容在后面的章節中會有所提及。更為詳盡的內容應該參考ISACA的IT審計標準原文。

1.審計合同

IT審計合同闡述了IT審計各方的義務、權利、責任和績效度量。合同的目的是讓IT審計師在實施IT審計之前獲得明確的授權。在IT審計合同中應該對各方的義務、權利、責任等做清楚的表述。

IT審計合同具有法律上的約束力。根據各國情況的不同，IT審計合同的具體內容和格式各有差異。但是一般會包含以下內容。

IT審計合同應明確表述IT審計各方的義務，包括IT審計的目的、目標、任務，對審計師的要求，獨立性，主要的績效考核指標，保密性要求，預訂的工期，質量評估標準，未完成合同時的處罰等。

合同中還應明確表述IT審計師的權利，包括接觸與IT審計工作相關的人員、信息、場所、系統的權限等，以及向高層領導和董事會匯報的途徑等。

此外，合同還應該對績效考核的具體方式、指標等做出明確的表述。

2.獨立性

這一部分內容的主要目的在于闡明在IT審計的基本準則中，獨立性的具體含義。

IT審計應該與委托方和被審計方保持組織上的獨立。在審計過程中，IT審計師應該站在第三方的獨立的立場上，不受委托方和被審計方的影響，以維持IT審計工作的獨立性和客觀性。

IT審計師和審計方管理層應該經常對獨立性做出評估。評估應該考慮諸如人員的變動、財務利益的變化、工作優先級和責任等因素。IT審計師也可以采用自我評估的方法。

關于組織關系和獨立性的原則，也應該在IT審計合同中有明確的表述。