IT審計(jì)標(biāo)準(zhǔn)以及原則

在這一節(jié)中，我們將介紹在IT審計(jì)的實(shí)施流程、組織形式等過程中應(yīng)當(dāng)遵循的一些標(biāo)準(zhǔn)和準(zhǔn)則。我們在前面的13.1提到，IT審計(jì)是獨(dú)立的IT審計(jì)師承受客觀的標(biāo)準(zhǔn)對以計(jì)算機(jī)為核心的信息系統(tǒng)的整個(gè)生命周期內(nèi)的相關(guān)的活動和產(chǎn)物進(jìn)展完整、有效的檢查和評估的過程。那么，為了保證審計(jì)結(jié)果的客觀性和權(quán)威性，IT審計(jì)師必需承受一套公認(rèn)的、權(quán)威的審計(jì)標(biāo)準(zhǔn)，作為實(shí)施ITIT審計(jì)標(biāo)準(zhǔn)，是實(shí)現(xiàn)IT審計(jì)工作標(biāo)準(zhǔn)化、明確ITIT目前在國際上較為流行的是美國的ISACA協(xié)會的審計(jì)標(biāo)準(zhǔn)。ISACA1996“IT審計(jì)”的學(xué)問體系COBIT(ControlObjectivesforInformationandrelatedTechnolog即信息系統(tǒng)和技術(shù)掌握目標(biāo)。作為IT治理的核心模型，COBIT34個(gè)信息技術(shù)過程掌握，并歸集為4IT(PlanningandOrganization(AcquisitionandImplementation)、交付與支持(DeliveryandSupport)，以及信息系統(tǒng)運(yùn)行性能監(jiān)控(MonitoringCOBITIT根本框架IT審計(jì)標(biāo)準(zhǔn)是IT審計(jì)的綱領(lǐng)性標(biāo)準(zhǔn)，它列舉了IT審計(jì)的事實(shí)過程中必需包含的審計(jì)工程。一般來說，一個(gè)IT審計(jì)標(biāo)準(zhǔn)的框架應(yīng)當(dāng)包含如下三個(gè)層次。根本準(zhǔn)則規(guī)定了IT審計(jì)行為和審計(jì)報(bào)告必需到達(dá)的根本要求IT審計(jì)的總綱，也是制定其他相關(guān)標(biāo)準(zhǔn)、標(biāo)準(zhǔn)、準(zhǔn)則和指南的根本依據(jù)。具體準(zhǔn)則依據(jù)根本準(zhǔn)則制定，對如何遵循IT審計(jì)的根本標(biāo)準(zhǔn)供給了具體規(guī)定和具體說明，是IT審計(jì)師實(shí)施審計(jì)業(yè)務(wù)、出具審計(jì)報(bào)告的具體標(biāo)準(zhǔn)。實(shí)施指南依據(jù)根本準(zhǔn)則和具體準(zhǔn)則制定，是IT審計(jì)的操作規(guī)程和方法，ITIT審計(jì)標(biāo)準(zhǔn)是針對以計(jì)算機(jī)為核心的信息系統(tǒng)而制定的。其適用范圍涵蓋了信息系統(tǒng)的整個(gè)生命周期系統(tǒng)設(shè)計(jì)、開發(fā)、測試、運(yùn)行維護(hù)等全部過程的每個(gè)環(huán)節(jié)。根本準(zhǔn)則作為ITIT審計(jì)根本準(zhǔn)則指明白IT審計(jì)的根本標(biāo)準(zhǔn)和要求，我們這里摘錄了ISACA對于IT審計(jì)的根本準(zhǔn)則的描述。審計(jì)合同IT審計(jì)應(yīng)當(dāng)由審計(jì)方與托付方簽署IT審計(jì)合同，信息系統(tǒng)審計(jì)職能的責(zé)任、權(quán)利和義務(wù)均應(yīng)在審計(jì)合同或聘書中有清楚的說明。獨(dú)立性職業(yè)獨(dú)立性上與被審計(jì)單位保持獨(dú)立。組織關(guān)系信息系統(tǒng)的審計(jì)職能應(yīng)與被審計(jì)領(lǐng)域保持充分獨(dú)立工作的客觀完成。(1)職業(yè)道德準(zhǔn)則信息系統(tǒng)審計(jì)師須嚴(yán)格遵守信息系統(tǒng)審計(jì)與掌握協(xié)會頒發(fā)的職業(yè)道德準(zhǔn)則。(2)敬業(yè)精神遵守相應(yīng)的職業(yè)審計(jì)標(biāo)準(zhǔn)。專業(yè)技能信息系統(tǒng)審計(jì)師必需在技術(shù)上勝任專業(yè)技能與學(xué)問。(2)職業(yè)連續(xù)教育信息系統(tǒng)審計(jì)師應(yīng)通過相應(yīng)的職業(yè)連續(xù)教育來保持其技術(shù)勝任力量。規(guī)劃信息系統(tǒng)審計(jì)師應(yīng)就信息系統(tǒng)的審計(jì)工作做出相應(yīng)打算審計(jì)目標(biāo)，并遵循適用的職業(yè)審計(jì)標(biāo)準(zhǔn)。(1)監(jiān)視信息系統(tǒng)審計(jì)人員應(yīng)在工作中承受適當(dāng)?shù)谋O(jiān)視目標(biāo)，并遵循職業(yè)審計(jì)標(biāo)準(zhǔn)。證據(jù)在審計(jì)過程中，信息系統(tǒng)審計(jì)師應(yīng)獵取充分當(dāng)分析和解釋作為支持。績效考核信息系統(tǒng)審計(jì)師應(yīng)建立適當(dāng)?shù)目冃Э己朔绞綐?biāo)。審計(jì)報(bào)告信息系統(tǒng)審計(jì)師在審計(jì)工作完成后適當(dāng)形式的審計(jì)報(bào)告。審計(jì)報(bào)告應(yīng)明確闡述審計(jì)工作的范圍、目的、涵蓋日期，以及審計(jì)工作的性質(zhì)和深度。審計(jì)報(bào)告應(yīng)明確審計(jì)對象、在審計(jì)中的覺察、結(jié)論、建議，以及審計(jì)師的保存意見或限制等。后續(xù)工作信息系統(tǒng)審計(jì)師應(yīng)索取并評估上次審計(jì)中與覺察關(guān)的資料，以判定是否已準(zhǔn)時(shí)地實(shí)行了適當(dāng)?shù)暮罄m(xù)行動。具體準(zhǔn)則IT審計(jì)的具體準(zhǔn)則是對根本準(zhǔn)則的具體規(guī)定和具體說明，必需IT審計(jì)的具體準(zhǔn)則來自于ISACA的IT審計(jì)標(biāo)準(zhǔn)。限于篇幅，不行能一一列舉ISACA的各項(xiàng)IT審計(jì)標(biāo)準(zhǔn)的具體內(nèi)容。這里僅僅對審計(jì)合同、獨(dú)立性、職業(yè)道德、技能與學(xué)問4個(gè)方面的具體準(zhǔn)則的大致內(nèi)容和范圍做一下介紹ISACA的IT審計(jì)標(biāo)準(zhǔn)原文。審計(jì)合同IT審計(jì)合同闡述了IT審計(jì)各方的義務(wù)合同的目的是讓IT審計(jì)師在實(shí)施IT審計(jì)之前獲得明確的授權(quán)。在IT審計(jì)合同中應(yīng)當(dāng)對各方的義務(wù)、權(quán)利、責(zé)任等做清楚的表述。ITIT計(jì)合同的具體內(nèi)容和格式各有差異。但是一般會包含以下內(nèi)容。IT審計(jì)合同應(yīng)明確表述IT審計(jì)各方的義務(wù)，包括IT審計(jì)的目的、目標(biāo)、任務(wù)，對審計(jì)師的要求，獨(dú)立性，主要的績效考核指標(biāo)，保密性要求，預(yù)訂的工期，質(zhì)量評估標(biāo)準(zhǔn)，未完成合同時(shí)的懲罰等。合同中還應(yīng)明確表述ITIT審計(jì)工作相關(guān)的人員、信息、場所、系統(tǒng)的權(quán)限等，以及向高層領(lǐng)導(dǎo)和董事會匯報(bào)的途徑等。述。獨(dú)立性這一局部內(nèi)容的主要目的在于說明在IT審計(jì)的根本準(zhǔn)則中，獨(dú)立性的具體含義。IT審計(jì)應(yīng)當(dāng)與托付方和被審計(jì)方保持組織上的獨(dú)立。在審計(jì)過程中，IT審計(jì)師應(yīng)當(dāng)站在第三方的獨(dú)立的立場上，不受托付方和被審計(jì)方的影響，以維持ITIT審計(jì)師和審計(jì)方治理層應(yīng)當(dāng)常常對獨(dú)立性做出評估。評估應(yīng)該考慮諸如人員的變動IT關(guān)于組織關(guān)系和獨(dú)立性的原則，也應(yīng)當(dāng)在IT審計(jì)合同中有明確的表述。職業(yè)道德和專業(yè)精神IT審計(jì)師應(yīng)當(dāng)支持IT審計(jì)標(biāo)準(zhǔn)、準(zhǔn)則，以及信息系統(tǒng)相關(guān)的標(biāo)準(zhǔn)的建立，并在審計(jì)工作中嚴(yán)格、自覺地遵守這些制度。IT審計(jì)師在執(zhí)行IT審計(jì)的工作中則等。除此之外，ITIT審計(jì)師應(yīng)當(dāng)能夠?qū)TIT審計(jì)的策略選擇等做出正確的推斷。此外，IT審計(jì)師還必需擁有足夠的技能來完成IT審計(jì)的各項(xiàng)工作。技能與學(xué)問IT領(lǐng)域的各項(xiàng)重要標(biāo)準(zhǔn)的生疏和了解，對審計(jì)工具的嫻熟操作，對信息系統(tǒng)的理論依據(jù)理的了解等。此外，IT審計(jì)師必需保持對IT領(lǐng)域和信息化理論的最進(jìn)展保持IT審計(jì)領(lǐng)域的標(biāo)準(zhǔn)和標(biāo)準(zhǔn)的更保持準(zhǔn)時(shí)的關(guān)注。IT·IT·組織關(guān)系和獨(dú)立性·職業(yè)道德和專業(yè)精神·IT·IT·IT·IT審計(jì)取證·IT審計(jì)抽樣·IT審計(jì)文檔·信息系統(tǒng)掌握·應(yīng)用系統(tǒng)評審·對違規(guī)行為的審計(jì)·信息系統(tǒng)內(nèi)部治理的審計(jì)·信息系統(tǒng)業(yè)務(wù)外包狀況下的審計(jì)·計(jì)算機(jī)關(guān)心審計(jì)技術(shù)·其他審計(jì)工作成果的利用·IT實(shí)施指南IT審計(jì)的實(shí)施指南是ITITITIT審計(jì)報(bào)告的編寫方法、IT審計(jì)的跟蹤等方面給出了策略性的指導(dǎo)意見。除了對IT審計(jì)的相關(guān)標(biāo)準(zhǔn)必需生疏之外，IT審計(jì)師必需對計(jì)算機(jī)信息系統(tǒng)的其他標(biāo)準(zhǔn)和標(biāo)準(zhǔn)也有比較深刻的了解和生疏IT與相關(guān)IT標(biāo)準(zhǔn)的關(guān)系我們目前所指的IT審計(jì)標(biāo)準(zhǔn)一般是指ISACA制定的信息系統(tǒng)審計(jì)準(zhǔn)則。IT審計(jì)標(biāo)準(zhǔn)是一套以治理為核心，以法律法規(guī)為保障，以技術(shù)為支撐的信息系統(tǒng)審計(jì)框架體系架，具體地描述了審計(jì)方、開發(fā)方、用戶方的關(guān)系及各方的定位、權(quán)利、義務(wù)和職責(zé)等，并從標(biāo)準(zhǔn)的角度對IT審計(jì)師力量考核的限定、IT審計(jì)標(biāo)準(zhǔn)跟著眼的目的是信息系統(tǒng)的安全性、穩(wěn)定性、有效性。ISO9000是一組國際標(biāo)準(zhǔn)ISOISO9000-3，ISO9004-2ISO9002。軟件力量成熟度模型CMM(CapabilityMaturityModelforSoftware)是卡內(nèi)其·梅隆大學(xué)完成的對一個(gè)組織軟件的開發(fā)力量進(jìn)CMM5IT審計(jì)與ISO9000認(rèn)證、軟件力量成熟度模型CMM們之間有共同之處，它們都著眼于質(zhì)量治理。在IT審計(jì)的具體實(shí)施過程中，可以利用到ISO9000標(biāo)準(zhǔn)和CMM手段。IT審計(jì)在對開發(fā)方的人員治理、文檔治理和質(zhì)量治理等方面進(jìn)展審計(jì)時(shí)，可以參照ISO9000標(biāo)準(zhǔn)和CMM過ISO9001認(rèn)證或取得CMM某級別的證書等都可以作為IT師的評估依據(jù)。ISACA(ISACA)的全稱為：InformationSystemAuditandControlAssociation。它創(chuàng)始于1967是由從事同類職業(yè)的人所組成的小團(tuán)體——計(jì)算機(jī)系統(tǒng)的審計(jì)和控制對他們各自機(jī)構(gòu)的運(yùn)作都變得愈發(fā)關(guān)鍵——因此他們聚攏起來討1969年，這個(gè)團(tuán)體正式組建為EDP審計(jì)師協(xié)會。在1976年，這個(gè)協(xié)會成立一項(xiàng)教育基金來開展大規(guī)模的爭論工作和學(xué)問與價(jià)值。今日，ISACA在全球有兩萬八千多名成員，他們的組成格外具有多100技術(shù)的相關(guān)職業(yè)，比方信息系統(tǒng)審計(jì)師、參謀、教育員全興們幾乎普及全部行業(yè)，包括財(cái)政金融、公共會計(jì)、政府與公共部門、公專ISACA的強(qiáng)勢之一。ISACA的另一個(gè)強(qiáng)勢就是它的分會網(wǎng)絡(luò)ISACA的分會目前有170多個(gè)，遍布世界100多個(gè)國家，可供給成員教育、資源共享、支持、專業(yè)網(wǎng)絡(luò)，以及其他由當(dāng)?shù)胤謺┙o的諸多利益。在ISACA創(chuàng)立30年來，已成為一個(gè)為信息治理、掌握、安全和審疑(CISA)認(rèn)證得到全球的公認(rèn)，并有三萬多名專業(yè)人員得到認(rèn)證。它最推出的國際信息安全經(jīng)理(CISM)認(rèn)證特別針對信息安全治理的審計(jì)事務(wù)(InformationSystemsControlJournal)。它舉辦一系列國際性會議，并且把焦點(diǎn)集主ISACA與其附屬的信息技術(shù)治理機(jī)構(gòu)領(lǐng)導(dǎo)著信息技術(shù)掌握界，并在不斷變化的國際環(huán)境下為其執(zhí)業(yè)者供給信息技術(shù)專業(yè)所需的要素，保證他們得到良好的效勞。中國的相關(guān)標(biāo)準(zhǔn)和法律法規(guī)中國目前尚沒有明確的針對ITIT審計(jì)的相關(guān)信息，在《審計(jì)法實(shí)施條例》[2023]88號)等文IT審計(jì)的相關(guān)內(nèi)容。IT審計(jì)的法律地位，是指計(jì)算機(jī)審計(jì)在審計(jì)法中的地位，法律是否認(rèn)可審計(jì)機(jī)關(guān)具有進(jìn)展IT審計(jì)的權(quán)利?！吨腥A人民共和國審計(jì)法》出臺時(shí)尚沒有對IT審計(jì)做出規(guī)定，國家有關(guān)計(jì)算機(jī)審計(jì)的規(guī)定30條：“審計(jì)機(jī)關(guān)有權(quán)檢查被審計(jì)單位運(yùn)用電子計(jì)算機(jī)治理財(cái)政收支機(jī)前審計(jì)機(jī)關(guān)開展ITIT審計(jì)的規(guī)定也僅限于對“被審計(jì)單位運(yùn)用電子計(jì)算機(jī)治理財(cái)政收支、財(cái)務(wù)收支的財(cái)務(wù)會計(jì)核算系統(tǒng)”的檢查，并沒有對IT審計(jì)的整個(gè)內(nèi)涵做出描述和標(biāo)準(zhǔn)。同時(shí)，它僅是原則性的規(guī)定乏可操作性。依據(jù)審計(jì)法的規(guī)定，被審計(jì)單位必需要承受審計(jì)承受IT審計(jì)的行為是否是不承受審計(jì)行為，目前審計(jì)法對此沒有具體規(guī)定。審計(jì)機(jī)關(guān)開展IT審計(jì)的另一項(xiàng)重要依據(jù)是《國務(wù)院辦公廳利用計(jì)算機(jī)信息系統(tǒng)開展審計(jì)工作有關(guān)問題的通知[2023]88號)。然而在該文件中關(guān)于計(jì)算機(jī)審計(jì)的內(nèi)容也僅局限于“被審計(jì)單位運(yùn)用能、系統(tǒng)所生成的電子數(shù)據(jù)