制定或者采用權(quán)威的、公認(rèn)的IT審計(jì)標(biāo)準(zhǔn)，是實(shí)現(xiàn)IT審計(jì)工作規(guī)范化、明確IT審計(jì)責(zé)任、保證IT審計(jì)質(zhì)量的可靠保障。

    目前在國際上較為流行的是美國的ISACA協(xié)會的審計(jì)標(biāo)準(zhǔn)。ISACA于1996年推出了用于”IT審計(jì)“的知識體系COBIT（Control Objectives for Information and related Technology），即信息系統(tǒng)和技術(shù)控制目標(biāo)。作為IT治理的核心模型，COBIT包含34個信息技術(shù)過程控制，并歸集為4個控制域：IT規(guī)劃和組織（Planning and Organization）、系統(tǒng)獲得和實(shí)施（Acquisition and Implementation）、交付與支持（Delivery and Support），以及信息系統(tǒng)運(yùn)行性能監(jiān)控（Monitoring）。目前，COBIT已成為國際公認(rèn)的IT管理與控制標(biāo)準(zhǔn)。

    13.2.1 基本框架

    IT審計(jì)標(biāo)準(zhǔn)是IT審計(jì)的綱領(lǐng)性規(guī)范，它列舉了IT審計(jì)的事實(shí)過程中必須包含的審計(jì)項(xiàng)目。一般來說，一個IT審計(jì)標(biāo)準(zhǔn)的框架應(yīng)該包含如下三個層次。

    1. 基本準(zhǔn)則

    規(guī)定了IT審計(jì)行為和審計(jì)報告必須達(dá)到的基本要求，是IT審計(jì)的總綱，也是制定其他相關(guān)標(biāo)準(zhǔn)、規(guī)范、準(zhǔn)則和指南的基本依據(jù)。

    2. 具體準(zhǔn)則

    依據(jù)基本準(zhǔn)則制定，對如何遵循IT審計(jì)的基本標(biāo)準(zhǔn)提供了詳細(xì)規(guī)定和具體說明，是IT審計(jì)師實(shí)施審計(jì)業(yè)務(wù)、出具審計(jì)報告的具體規(guī)范。

    3. 實(shí)施指南

    依據(jù)基本準(zhǔn)則和具體準(zhǔn)則制定，是IT審計(jì)的操作規(guī)程和方法，為IT審計(jì)師實(shí)施審計(jì)業(yè)務(wù)提供可操作性的指導(dǎo)。

    IT審計(jì)標(biāo)準(zhǔn)是針對以計(jì)算機(jī)為核心的信息系統(tǒng)而制定的。其適用范圍涵蓋了信息系統(tǒng)的整個生命周期，包括可行性分析、需求分析、系統(tǒng)設(shè)計(jì)、開發(fā)、測試、運(yùn)行維護(hù)等全部過程的每個環(huán)節(jié)。

    13.2.2 基本準(zhǔn)則

    作為IT審計(jì)的總綱，IT審計(jì)基本準(zhǔn)則指明了IT審計(jì)的基本標(biāo)準(zhǔn)和要求，我們這里摘錄了ISACA對于IT審計(jì)的基本準(zhǔn)則的描述。

    1. 審計(jì)合同

    IT審計(jì)應(yīng)該由審計(jì)方與委托方簽署IT審計(jì)合同，信息系統(tǒng)審計(jì)職能的責(zé)任、權(quán)利和義務(wù)均應(yīng)在審計(jì)合同或聘書中有清楚的說明。

    2. 獨(dú)立性

    （1）職業(yè)獨(dú)立性

    在所有與審計(jì)相關(guān)的事物中，信息系統(tǒng)審計(jì)師均應(yīng)在態(tài)度和表現(xiàn)上與被審計(jì)單位保持獨(dú)立。

    （2）組織關(guān)系

    信息系統(tǒng)的審計(jì)職能應(yīng)與被審計(jì)領(lǐng)域保持充分獨(dú)立，以確保審計(jì)工作的客觀完成。

    3.職業(yè)道德和標(biāo)準(zhǔn)

    （1）職業(yè)道德準(zhǔn)則

    信息系統(tǒng)審計(jì)師須嚴(yán)格遵守信息系統(tǒng)審計(jì)與控制協(xié)會頒發(fā)的職業(yè)道德準(zhǔn)則。

    （2）敬業(yè)精神

    信息系統(tǒng)審計(jì)師在各方面的工作中，均應(yīng)具備敬業(yè)精神，并嚴(yán)格遵守相應(yīng)的職業(yè)審計(jì)標(biāo)準(zhǔn)。

    4.專業(yè)技能

    （1）技能與知識

    信息系統(tǒng)審計(jì)師必須在技術(shù)上勝任，具備從事審計(jì)工作所必需的專業(yè)技能與知識。

    （2）職業(yè)繼續(xù)教育

    信息系統(tǒng)審計(jì)師應(yīng)通過相應(yīng)的職業(yè)繼續(xù)教育來保持其技術(shù)勝任能力。

    5.規(guī)劃

    信息系統(tǒng)審計(jì)師應(yīng)就信息系統(tǒng)的審計(jì)工作做出相應(yīng)計(jì)劃，以實(shí)現(xiàn)審計(jì)目標(biāo)，并遵循適用的職業(yè)審計(jì)標(biāo)準(zhǔn)。

    6.審計(jì)工作的實(shí)施

    （1）監(jiān)督

    信息系統(tǒng)審計(jì)人員應(yīng)在工作中接受適當(dāng)?shù)谋O(jiān)督，以確保實(shí)現(xiàn)審計(jì)目標(biāo)，并遵循職業(yè)審計(jì)標(biāo)準(zhǔn)。

    （2）證據(jù)

    在審計(jì)過程中，信息系統(tǒng)審計(jì)師應(yīng)獲取充分、可靠、相關(guān)且有用的證據(jù)，以有效地完成審計(jì)目標(biāo)。審計(jì)發(fā)現(xiàn)和結(jié)論應(yīng)由以上證據(jù)的適當(dāng)分析和解釋作為支持。

    （3）績效考核

    信息系統(tǒng)審計(jì)師應(yīng)建立適當(dāng)?shù)目冃Э己朔绞剑源_認(rèn)完成審計(jì)目標(biāo)。

    7.審計(jì)報告

    信息系統(tǒng)審計(jì)師在審計(jì)工作完成后，應(yīng)向?qū)徲?jì)結(jié)果接受單位提供適當(dāng)形式的審計(jì)報告。審計(jì)報告應(yīng)明確闡述審計(jì)工作的范圍、目的、涵蓋日期，以及審計(jì)工作的性質(zhì)和深度。審計(jì)報告應(yīng)明確審計(jì)對象、報告接受單位，以及對報告流通的任何限制。審計(jì)報告應(yīng)陳述審計(jì)師在審計(jì)中的發(fā)現(xiàn)、結(jié)論、建議，以及審計(jì)師的保留意見或限制等。

    8.后續(xù)工作

    信息系統(tǒng)審計(jì)師應(yīng)索取并評估上次審計(jì)中與發(fā)現(xiàn)、結(jié)論和建議有關(guān)的資料，以判定是否已及時地采取了適當(dāng)?shù)暮罄m(xù)行動。

    13.2.3 具體準(zhǔn)則

    IT審計(jì)的具體準(zhǔn)則是對基本準(zhǔn)則的詳細(xì)規(guī)定和具體說明，必須指出的是，這里提及的IT審計(jì)的具體準(zhǔn)則來自于ISACA的IT審計(jì)標(biāo)準(zhǔn)。限于篇幅，不可能一一列舉ISACA的各項(xiàng)IT審計(jì)標(biāo)準(zhǔn)的詳細(xì)內(nèi)容。這里僅僅對審計(jì)合同、獨(dú)立性、職業(yè)道德、技能與知識4個方面的具體準(zhǔn)則的大致內(nèi)容和范圍做一下介紹，余下的內(nèi)容在后面的章節(jié)中會有所提及。更為詳盡的內(nèi)容應(yīng)該參考ISACA的IT審計(jì)標(biāo)準(zhǔn)原文。

    1.審計(jì)合同

    IT審計(jì)合同闡述了IT審計(jì)各方的義務(wù)、權(quán)利、責(zé)任和績效度量。合同的目的是讓IT審計(jì)師在實(shí)施IT審計(jì)之前獲得明確的授權(quán)。在IT審計(jì)合同中應(yīng)該對各方的義務(wù)、權(quán)利、責(zé)任等做清楚的表述。

    IT審計(jì)合同具有法律上的約束力。根據(jù)各國情況的不同，IT審計(jì)合同的具體內(nèi)容和格式各有差異。但是一般會包含以下內(nèi)容。

    IT審計(jì)合同應(yīng)明確表述IT審計(jì)各方的義務(wù)，包括IT審計(jì)的目的、目標(biāo)、任務(wù)，對審計(jì)師的要求，獨(dú)立性，主要的績效考核指標(biāo)，保密性要求，預(yù)訂的工期，質(zhì)量評估標(biāo)準(zhǔn)，未完成合同時的處罰等。

    合同中還應(yīng)明確表述IT審計(jì)師的權(quán)利，包括接觸與IT審計(jì)工作相關(guān)的人員、信息、場所、系統(tǒng)的權(quán)限等，以及向高層領(lǐng)導(dǎo)和董事會匯報的途徑等。

    此外，合同還應(yīng)該對績效考核的具體方式、指標(biāo)等做出明確的表述。

    2.獨(dú)立性

    這一部分內(nèi)容的主要目的在于闡明在IT審計(jì)的基本準(zhǔn)則中，獨(dú)立性的具體含義。

    IT審計(jì)應(yīng)該與委托方和被審計(jì)方保持組織上的獨(dú)立。在審計(jì)過程中，IT審計(jì)師應(yīng)該站在第三方的獨(dú)立的立場上，不受委托方和被審計(jì)方的影響，以維持IT審計(jì)工作的獨(dú)立性和客觀性。

    IT審計(jì)師和審計(jì)方管理層應(yīng)該經(jīng)常對獨(dú)立性做出評估。評估應(yīng)該考慮諸如人員的變動、財(cái)務(wù)利益的變化、工作優(yōu)先級和責(zé)任等因素。IT審計(jì)師也可以采用自我評估的方法。

    關(guān)于組織關(guān)系和獨(dú)立性的原則，也應(yīng)該在IT審計(jì)合同中有明確的表述。