IT審計(jì)標(biāo)準(zhǔn)以及原則

IT審計(jì)標(biāo)準(zhǔn)以及原則IT審計(jì)標(biāo)準(zhǔn)以及原則IT審計(jì)標(biāo)準(zhǔn)以及原則資料僅供參考文件編號(hào)：2022年4月IT審計(jì)標(biāo)準(zhǔn)以及原則版本號(hào)：A修改號(hào)：1頁次：1.0審核：批準(zhǔn):發(fā)布日期：IT審計(jì)標(biāo)準(zhǔn)以及原則來源：233網(wǎng)校

【233網(wǎng)校：教育考試門戶】

2009年9月1日已有574人加入

軟考幫幫團(tuán)收藏本頁免費(fèi)做試題章節(jié)練習(xí)資料交易中心我有疑問在這一節(jié)中，我們將介紹在IT審計(jì)的實(shí)施流程、組織形式等過程中應(yīng)該遵循的一些標(biāo)準(zhǔn)和準(zhǔn)則。我們?cè)谇懊娴奶岬?，IT審計(jì)是獨(dú)立的IT審計(jì)師采用客觀的標(biāo)準(zhǔn)對(duì)以計(jì)算機(jī)為核心的信息系統(tǒng)的整個(gè)生命周期內(nèi)的相關(guān)的活動(dòng)和產(chǎn)物進(jìn)行完整、有效的檢查和評(píng)估的過程。那么，為了保證審計(jì)結(jié)果的客觀性和權(quán)威性，IT審計(jì)師必須采用一套公認(rèn)的、權(quán)威的審計(jì)標(biāo)準(zhǔn)，作為實(shí)施IT審計(jì)的基本準(zhǔn)則和實(shí)施依據(jù)。制定或者采用權(quán)威的、公認(rèn)的IT審計(jì)標(biāo)準(zhǔn)，是實(shí)現(xiàn)IT審計(jì)工作規(guī)范化、明確IT審計(jì)責(zé)任、保證IT審計(jì)質(zhì)量的可靠保障。目前在國際上較為流行的是美國的ISACA協(xié)會(huì)的審計(jì)標(biāo)準(zhǔn)。ISACA于1996年推出了用于“IT審計(jì)”的知識(shí)體系COBIT(ControlObjectivesforInformationandrelatedTechnology)，即信息系統(tǒng)和技術(shù)控制目標(biāo)。作為IT治理的核心模型，COBIT包含34個(gè)信息技術(shù)過程控制，并歸集為4個(gè)控制域：IT規(guī)劃和組織(PlanningandOrganization)、系統(tǒng)獲得和實(shí)施(AcquisitionandImplementation)、交付與支持(DeliveryandSupport)，以及信息系統(tǒng)運(yùn)行性能監(jiān)控(Monitoring)。目前，COBIT已成為國際公認(rèn)的IT管理與控制標(biāo)準(zhǔn)。13.2.1基本框架IT審計(jì)標(biāo)準(zhǔn)是IT審計(jì)的綱領(lǐng)性規(guī)范，它列舉了IT審計(jì)的事實(shí)過程中必須包含的審計(jì)項(xiàng)目。一般來說，一個(gè)IT審計(jì)標(biāo)準(zhǔn)的框架應(yīng)該包含如下三個(gè)層次。1.基本準(zhǔn)則規(guī)定了IT審計(jì)行為和審計(jì)報(bào)告必須達(dá)到的基本要求，是IT審計(jì)的總綱，也是制定其他相關(guān)標(biāo)準(zhǔn)、規(guī)范、準(zhǔn)則和指南的基本依據(jù)。2.具體準(zhǔn)則依據(jù)基本準(zhǔn)則制定，對(duì)如何遵循IT審計(jì)的基本標(biāo)準(zhǔn)提供了詳細(xì)規(guī)定和具體說明，是IT審計(jì)師實(shí)施審計(jì)業(yè)務(wù)、出具審計(jì)報(bào)告的具體規(guī)范。3.實(shí)施指南依據(jù)基本準(zhǔn)則和具體準(zhǔn)則制定，是IT審計(jì)的操作規(guī)程和方法，為IT審計(jì)師實(shí)施審計(jì)業(yè)務(wù)提供可操作性的指導(dǎo)。IT審計(jì)標(biāo)準(zhǔn)是針對(duì)以計(jì)算機(jī)為核心的信息系統(tǒng)而制定的。其適用范圍涵蓋了信息系統(tǒng)的整個(gè)生命周期，包括可行性分析、需求分析、系統(tǒng)設(shè)計(jì)、開發(fā)、測(cè)試、運(yùn)行維護(hù)等全部過程的每個(gè)環(huán)節(jié)。13.2.2作為IT審計(jì)的總綱，IT審計(jì)基本準(zhǔn)則指明了IT審計(jì)的基本標(biāo)準(zhǔn)和要求，我們這里摘錄了ISACA對(duì)于IT審計(jì)的基本準(zhǔn)則的描述。1.審計(jì)合同IT審計(jì)應(yīng)該由審計(jì)方與委托方簽署IT審計(jì)合同，信息系統(tǒng)審計(jì)職能的責(zé)任、權(quán)利和義務(wù)均應(yīng)在審計(jì)合同或聘書中有清楚的說明。2.獨(dú)立性(1)職業(yè)獨(dú)立性在所有與審計(jì)相關(guān)的事物中，信息系統(tǒng)審計(jì)師均應(yīng)在態(tài)度和表現(xiàn)上與被審計(jì)單位保持獨(dú)立。(2)組織關(guān)系信息系統(tǒng)的審計(jì)職能應(yīng)與被審計(jì)領(lǐng)域保持充分獨(dú)立，以確保審計(jì)工作的客觀完成。3.職業(yè)道德和標(biāo)準(zhǔn)(1)職業(yè)道德準(zhǔn)則信息系統(tǒng)審計(jì)師須嚴(yán)格遵守信息系統(tǒng)審計(jì)與控制協(xié)會(huì)頒發(fā)的職業(yè)道德準(zhǔn)則。(2)敬業(yè)精神信息系統(tǒng)審計(jì)師在各方面的工作中，均應(yīng)具備敬業(yè)精神，并嚴(yán)格遵守相應(yīng)的職業(yè)審計(jì)標(biāo)準(zhǔn)。4.專業(yè)技能(1)技能與知識(shí)信息系統(tǒng)審計(jì)師必須在技術(shù)上勝任，具備從事審計(jì)工作所必需的專業(yè)技能與知識(shí)。(2)職業(yè)繼續(xù)教育信息系統(tǒng)審計(jì)師應(yīng)通過相應(yīng)的職業(yè)繼續(xù)教育來保持其技術(shù)勝任能力。5.規(guī)劃信息系統(tǒng)審計(jì)師應(yīng)就信息系統(tǒng)的審計(jì)工作做出相應(yīng)計(jì)劃，以實(shí)現(xiàn)審計(jì)目標(biāo)，并遵循適用的職業(yè)審計(jì)標(biāo)準(zhǔn)。6.審計(jì)工作的實(shí)施(1)監(jiān)督信息系統(tǒng)審計(jì)人員應(yīng)在工作中接受適當(dāng)?shù)谋O(jiān)督，以確保實(shí)現(xiàn)審計(jì)目標(biāo)，并遵循職業(yè)審計(jì)標(biāo)準(zhǔn)。(2)證據(jù)在審計(jì)過程中，信息系統(tǒng)審計(jì)師應(yīng)獲取充分、可靠、相關(guān)且有用的證據(jù)，以有效地完成審計(jì)目標(biāo)。審計(jì)發(fā)現(xiàn)和結(jié)論應(yīng)由以上證據(jù)的適當(dāng)分析和解釋作為支持。(3)績效考核信息系統(tǒng)審計(jì)師應(yīng)建立適當(dāng)?shù)目冃Э己朔绞剑源_認(rèn)完成審計(jì)目標(biāo)。7.審計(jì)報(bào)告信息系統(tǒng)審計(jì)師在審計(jì)工作完成后，應(yīng)向?qū)徲?jì)結(jié)果接受單位提供適當(dāng)形式的審計(jì)報(bào)告。審計(jì)報(bào)告應(yīng)明確闡述審計(jì)工作的范圍、目的、涵蓋日期，以及審計(jì)工作的性質(zhì)和深度。審計(jì)報(bào)告應(yīng)明確審計(jì)對(duì)象、報(bào)告接受單位，以及對(duì)報(bào)告流通的任何限制。審計(jì)報(bào)告應(yīng)陳述審計(jì)師在審計(jì)中的發(fā)現(xiàn)、結(jié)論、建議，以及審計(jì)師的保留意見或限制等。8.后續(xù)工作信息系統(tǒng)審計(jì)師應(yīng)索取并評(píng)估上次審計(jì)中與發(fā)現(xiàn)、結(jié)論和建議有關(guān)的資料，以判定是否已及時(shí)地采取了適當(dāng)?shù)暮罄m(xù)行動(dòng)。13.2.3具體準(zhǔn)則IT審計(jì)的具體準(zhǔn)則是對(duì)基本準(zhǔn)則的詳細(xì)規(guī)定和具體說明，必須指出的是，這里提及的IT審計(jì)的具體準(zhǔn)則來自于ISACA的IT審計(jì)標(biāo)準(zhǔn)。限于篇幅，不可能一一列舉ISACA的各項(xiàng)IT審計(jì)標(biāo)準(zhǔn)的詳細(xì)內(nèi)容。這里僅僅對(duì)審計(jì)合同、獨(dú)立性、職業(yè)道德、技能與知識(shí)4個(gè)方面的具體準(zhǔn)則的大致內(nèi)容和范圍做一下介紹，余下的內(nèi)容在后面的章節(jié)中會(huì)有所提及。更為詳盡的內(nèi)容應(yīng)該參考ISACA的IT審計(jì)標(biāo)準(zhǔn)原文。1.審計(jì)合同IT審計(jì)合同闡述了IT審計(jì)各方的義務(wù)、權(quán)利、責(zé)任和績效度量。合同的目的是讓IT審計(jì)師在實(shí)施IT審計(jì)之前獲得明確的授權(quán)。在IT審計(jì)合同中應(yīng)該對(duì)各方的義務(wù)、權(quán)利、責(zé)任等做清楚的表述。IT審計(jì)合同具有法律上的約束力。根據(jù)各國情況的不同，IT審計(jì)合同的具體內(nèi)容和格式各有差異。但是一般會(huì)包含以下內(nèi)容。IT審計(jì)合同應(yīng)明確表述IT審計(jì)各方的義務(wù)，包括IT審計(jì)的目的、目標(biāo)、任務(wù)，對(duì)審計(jì)師的要求，獨(dú)立性，主要的績效考核指標(biāo)，保密性要求，預(yù)訂的工期，質(zhì)量評(píng)估標(biāo)準(zhǔn)，未完成合同時(shí)的處罰等。合同中還應(yīng)明確表述IT審計(jì)師的權(quán)利，包括接觸與IT審計(jì)工作相關(guān)的人員、信息、場所、系統(tǒng)的權(quán)限等，以及向高層領(lǐng)導(dǎo)和董事會(huì)匯報(bào)的途徑等。此外，合同還應(yīng)該對(duì)績效考核的具體方式、指標(biāo)等做出明確的表述。2.獨(dú)立性這一部分內(nèi)容的主要目的在于闡明在IT審計(jì)的基本準(zhǔn)則中，獨(dú)立性的具體含義。IT審計(jì)應(yīng)該與委托方和被審計(jì)方保持組織上的獨(dú)立。在審計(jì)過程中，IT審計(jì)師應(yīng)該站在第三方的獨(dú)立的立場上，不受委托方和被審計(jì)方的影響，以維持IT審計(jì)工作的獨(dú)立性和客觀性。IT審計(jì)師和審計(jì)方管理層應(yīng)該經(jīng)常對(duì)獨(dú)立性做出評(píng)估。評(píng)估應(yīng)該考慮諸如人員的變動(dòng)、財(cái)務(wù)利益的變化、工作優(yōu)先級(jí)和責(zé)任等因素。IT審計(jì)師也可以采用自我評(píng)估的方法。關(guān)于組織關(guān)系和獨(dú)立性的原則，也應(yīng)該在IT審計(jì)合同中有明確的表述。3.職業(yè)道德和專業(yè)精神IT審計(jì)師應(yīng)該支持IT審計(jì)標(biāo)準(zhǔn)、準(zhǔn)則，以及信息系統(tǒng)相關(guān)的標(biāo)準(zhǔn)的建立，并在審計(jì)工作中嚴(yán)格、自覺地遵守這些制度。IT審計(jì)師在執(zhí)行IT審計(jì)的工作中，應(yīng)該保持敬業(yè)、忠誠的態(tài)度，應(yīng)該嚴(yán)格地遵循相關(guān)的法律、法規(guī)，以及其他的各方認(rèn)可的標(biāo)準(zhǔn)、準(zhǔn)則等。除此之外，IT審計(jì)師還應(yīng)該體現(xiàn)出足夠的專業(yè)精神。IT審計(jì)師應(yīng)該能夠?qū)T審計(jì)的對(duì)象范圍、風(fēng)險(xiǎn)評(píng)估、IT審計(jì)的策略選擇等做出正確的判斷。此外，IT審計(jì)師還必須擁有足夠的技能來完成IT審計(jì)的各項(xiàng)工作。4.技能與知識(shí)這些足夠的技能包括：對(duì)IT領(lǐng)域的各項(xiàng)重要標(biāo)準(zhǔn)的熟悉和了解，對(duì)審計(jì)工具的熟練操作，對(duì)信息系統(tǒng)的理論依據(jù)、建設(shè)方法、運(yùn)行機(jī)理的了解等。此外，IT審計(jì)師必須保持對(duì)IT領(lǐng)域和信息化理論的最新進(jìn)展保持及時(shí)的更新。對(duì)IT審計(jì)領(lǐng)域的規(guī)范和標(biāo)準(zhǔn)的更新保持及時(shí)的關(guān)注。IT審計(jì)的具體準(zhǔn)則和詳細(xì)列表如下：·IT審計(jì)合同·組織關(guān)系和獨(dú)立性·職業(yè)道德和專業(yè)精神·IT審計(jì)計(jì)劃·IT審計(jì)中的重要性概念·IT審計(jì)計(jì)劃中的風(fēng)險(xiǎn)評(píng)估·IT審計(jì)取證·IT審計(jì)抽樣·IT審計(jì)文檔·信息系統(tǒng)控制·應(yīng)用系統(tǒng)評(píng)審·對(duì)違規(guī)行為的審計(jì)·信息系統(tǒng)內(nèi)部管理的審計(jì)·信息系統(tǒng)業(yè)務(wù)外包情況下的審計(jì)·計(jì)算機(jī)輔助審計(jì)技術(shù)·其他審計(jì)工作成果的利用·IT審計(jì)報(bào)告13.2.4實(shí)施指南IT審計(jì)的實(shí)施指南是IT審計(jì)師實(shí)施審計(jì)業(yè)務(wù)的方法指引。它對(duì)IT審計(jì)流程、人員組織形式、具體的IT審計(jì)策略、審計(jì)證據(jù)的獲取、IT審計(jì)報(bào)告的編寫方法、IT審計(jì)的跟蹤等方面給出了策略性的指導(dǎo)意見。除了對(duì)IT審計(jì)的相關(guān)標(biāo)準(zhǔn)必須熟悉之外，IT審計(jì)師必須對(duì)計(jì)算機(jī)信息系統(tǒng)的其他標(biāo)準(zhǔn)和規(guī)范也有比較深刻的了解和認(rèn)識(shí)，這樣才能使IT審計(jì)工作得以順利實(shí)施。13.2.5與相關(guān)IT標(biāo)準(zhǔn)的關(guān)系我們目前所指的IT審計(jì)標(biāo)準(zhǔn)一般是指ISACA制定的信息系統(tǒng)審計(jì)準(zhǔn)則。IT審計(jì)標(biāo)準(zhǔn)是一套以管理為核心，以法律法規(guī)為保障，以技術(shù)為支撐的信息系統(tǒng)審計(jì)框架體系。它同時(shí)是一套規(guī)范化的管理框架，詳細(xì)地描述了審計(jì)方、開發(fā)方、用戶方的關(guān)系及各方的定位、權(quán)利、義務(wù)和職責(zé)等，并從標(biāo)準(zhǔn)的角度對(duì)IT審計(jì)師能力考核的限定、IT審計(jì)機(jī)構(gòu)的資質(zhì)認(rèn)定給予了限定。從目標(biāo)上講，IT審計(jì)標(biāo)準(zhǔn)跟著眼的目的是信息系統(tǒng)的安全性、穩(wěn)定性、有效性。ISO9000是一組國際標(biāo)準(zhǔn)，和信息系統(tǒng)相關(guān)的標(biāo)準(zhǔn)有：ISO9001，ISO9000-3，ISO9004-2和ISO9002。軟件能力成熟度模型CMM(CapabilityMaturityModelforSoftware)是卡內(nèi)其·梅隆大學(xué)完成的對(duì)一個(gè)組織軟件的開發(fā)能力進(jìn)行評(píng)價(jià)的模型，它側(cè)重于對(duì)軟件開發(fā)過程和開發(fā)方法論的考察。CMM是一個(gè)5級(jí)的模型。IT審計(jì)與ISO9000認(rèn)證、軟件能力成熟度模型CMM認(rèn)證是三種不同的標(biāo)準(zhǔn)體系，面向不同的領(lǐng)域，不可以簡單地互相替代。但是它們之間有共同之處，它們都著眼于質(zhì)量管理。在IT審計(jì)的具體實(shí)施過程中，可以利用到ISO9000標(biāo)準(zhǔn)和CMM模型作為具體評(píng)估的工具和手段。IT審計(jì)在對(duì)開發(fā)方的人員管理、文檔管理和質(zhì)量管理等方面進(jìn)行審計(jì)時(shí)，可以參照ISO9000標(biāo)準(zhǔn)和CMM的相關(guān)內(nèi)容。如開發(fā)方通過ISO9001認(rèn)證或取得CMM某級(jí)別的證書等都可以作為IT審計(jì)師的評(píng)估依據(jù)。13.2.6ISACA信息系統(tǒng)審計(jì)與控制協(xié)會(huì)(ISACA)的全稱為：InformationSystemAuditandControlAssociation。它創(chuàng)始于1967年，當(dāng)時(shí)是由從事同類職業(yè)的人所組成的小團(tuán)體——計(jì)算機(jī)系統(tǒng)的審計(jì)和控制對(duì)他們各自機(jī)構(gòu)的運(yùn)作都變得愈發(fā)關(guān)鍵——因此他們聚集起來討論制定信息集中化資源和本領(lǐng)域指導(dǎo)準(zhǔn)則和必要性。在1969年，這個(gè)團(tuán)體正式組建為EDP審計(jì)師協(xié)會(huì)。在1976年，這個(gè)協(xié)會(huì)成立一項(xiàng)教育基金來開展大規(guī)模的研究工作，以拓展信息產(chǎn)業(yè)管理與控制領(lǐng)域和知識(shí)與價(jià)值。今天，ISACA在全球有兩萬八千多名成員，他們的組成非常具有多元化。這些成員在100多個(gè)國家生活和工作，并涵蓋眾多專業(yè)信息技術(shù)的相關(guān)職業(yè)，比如信息系統(tǒng)審計(jì)師、顧問、教導(dǎo)員、信息系統(tǒng)安全專家、管理者、首席信息官和內(nèi)部審計(jì)師等。有些職業(yè)是本領(lǐng)域新興的，其他為中級(jí)管理人員，另外還有許多人擔(dān)任最高級(jí)的職位。他們幾乎遍及所有行業(yè)，包括財(cái)政金融、公共會(huì)計(jì)、政府與公共部門、公用事業(yè)和制造業(yè)。這種多元性使眾多成員能夠相互學(xué)習(xí)，并在許多專業(yè)問題上廣泛交流彼此的觀點(diǎn)。該特點(diǎn)一直被認(rèn)為是ISACA的強(qiáng)勢(shì)之一。ISACA的另一個(gè)強(qiáng)勢(shì)就是它的分會(huì)網(wǎng)絡(luò)。ISACA的分會(huì)目前有170多個(gè)，遍布世界100多個(gè)國家，可提供成員教育、資源共享、支持、專業(yè)網(wǎng)絡(luò)，以及其他由當(dāng)?shù)胤謺?huì)提供的諸多利益。在ISACA創(chuàng)立30年來，已成為一個(gè)為信息管理、控制、安全和審計(jì)專業(yè)設(shè)定規(guī)范的全球性組織。它的信息系統(tǒng)審計(jì)和信息系統(tǒng)控制標(biāo)準(zhǔn)為全球執(zhí)業(yè)者所遵從。它的研究工作針對(duì)那些挑戰(zhàn)其重要原則的疑難專業(yè)事項(xiàng)。它的國際信息系統(tǒng)審計(jì)師(CISA)認(rèn)證得到全球的公認(rèn)，并有三萬多名專業(yè)人員得到認(rèn)證。它最新推出的國際信息安全經(jīng)理(CISM)認(rèn)證特別針對(duì)信息安全管理的審計(jì)事務(wù)。它出版了領(lǐng)先于信息控制領(lǐng)域的技術(shù)性期刊，即《信息系統(tǒng)控制期刊》(InformationSystemsControlJournal)。它舉辦一系列國際性會(huì)議，并且把焦點(diǎn)集中于信息系統(tǒng)保障、控制、安全和信息技術(shù)管理專業(yè)的技術(shù)秘管理主題上。ISACA與其附屬的信息技術(shù)管理機(jī)構(gòu)領(lǐng)導(dǎo)著信息技術(shù)控制界，并在不斷變化的國際環(huán)境下為其執(zhí)業(yè)者提供信息技術(shù)專業(yè)所需的要素，保證他們得到良好的服務(wù)。13.2.7中國的相關(guān)標(biāo)準(zhǔn)和法律法規(guī)中國目前尚沒有明確的針對(duì)IT審計(jì)的國家標(biāo)準(zhǔn)。關(guān)于IT審計(jì)的相關(guān)信息，在《審計(jì)法實(shí)施條例》、《國務(wù)院辦公廳關(guān)于利用計(jì)算機(jī)信息系統(tǒng)開展審計(jì)工作的有關(guān)問題的通知》(國辦發(fā)[2001]88號(hào))等文件中均有描述。目前在《中華人民共和國審計(jì)法》中尚無IT審計(jì)的相關(guān)內(nèi)容。IT審計(jì)的法律地位，是指計(jì)算機(jī)審計(jì)在審計(jì)法中的地位，法律是否認(rèn)可審計(jì)機(jī)關(guān)具有進(jìn)行IT審計(jì)的權(quán)利?！吨腥A人民共和國審計(jì)法》出臺(tái)時(shí)尚沒有對(duì)IT審計(jì)做出規(guī)定，國家有關(guān)計(jì)算機(jī)審計(jì)的規(guī)定最初見于《審計(jì)法實(shí)施條例》?！秾徲?jì)法實(shí)施條例》第30條：“審計(jì)機(jī)關(guān)有權(quán)檢查被審計(jì)單位運(yùn)用電子計(jì)算機(jī)管理財(cái)政收支、財(cái)務(wù)收支的財(cái)務(wù)會(huì)計(jì)核算系統(tǒng)。被審計(jì)單位應(yīng)當(dāng)向?qū)徲?jì)機(jī)關(guān)提供運(yùn)用電子計(jì)算機(jī)儲(chǔ)存、處理的財(cái)政收支、