IT审计统一标准以及原则.doc

IT审计原则以及原则 来源：233网校   【233网校：教诲考试门户】   9月1日 已有574人加入 软考帮帮团收藏本页 免费做试题 章节练习 资料交易中心 我有疑问？ 　　在这一节中，咱们将简介在IT审计实行流程、组织形式等过程中应当遵循某些原则和准则。 　　咱们在前面13.1提到，IT审计是独立IT审计师采用客观原则对以计算机为核心信息系统整个生命周期内有关活动和产物进行完整、有效检查和评估过程。那么，为了保证审计成果客观性和权威性，IT审计师必要采用一套公认、权威审计原则，作为实行IT审计基本准则和实行根据。 　　制定或者采用权威、公认IT审计原则，是实现IT审计工作规范化、明确IT审计责任、保证IT审计质量可靠保障。 　　当前在国际上较为流行是美国ISACA协会审计原则。ISACA于1996年推出了用于“IT审计”知识体系COBIT(Control Objectives for Information and related Technology)，即信息系统和技术控制目的。作为IT治理核心模型，COBIT包括34个信息技术过程控制，并归集为4个控制域：IT规划和组织(Planning and Organization)、系统获得和实行(Acquisition and Implementation)、交付与支持(Delivery and Support)，以及信息系统运营性能监控(Monitoring)。当前，COBIT已成为国际公认IT管理与控制原则。 　　13.2.1 基本框架 　　IT审计原则是IT审计大纲性规范，它列举了IT审计事实过程中必要包括审计项目。普通来说，一种IT审计原则框架应当包括如下三个层次。 　　1. 基本准则 　　规定了IT审计行为和审计报告必要达到基本规定，是IT审计总纲，也是制定其她有关原则、规范、准则和指南基本根据。 　　2. 详细准则 　　根据基本准则制定，对如何遵循IT审计基本原则提供了详细规定和详细阐明，是IT审计师实行审计业务、出具审计报告详细规范。 　　3. 实行指南 　　根据基本准则和详细准则制定，是IT审计操作规程和办法，为IT审计师实行审计业务提供可操作性指引。 　　IT审计原则是针对以计算机为核心信息系统而制定。其合用范畴涵盖了信息系统整个生命周期，涉及可行性分析、需求分析、系统设计、开发、测试、运营维护等所有过程每个环节。 　　13.2.2 基本准则 　　作为IT审计总纲，IT审计基本准则指明了IT审计基本原则和规定，咱们这里摘录了ISACA对于IT审计基本准则描述。 　　1. 审计合同 　　IT审计应当由审计方与委托方订立IT审计合同，信息系统审计职能责任、权利和义务均应在审计合同或聘书中有清晰阐明。 　　2. 独立性 　　(1)职业独立性 　　在所有与审计有关事物中，信息系统审计师均应在态度和体现上与被审计单位保持独立。 　　(2)组织关系 　　信息系统审计职能应与被审计领域保持充分独立，以保证审计工作客观完毕。 　　3.职业道德和原则 　　(1)职业道德准则 　　信息系统审计师须严格遵守信息系统审计与控制协会颁发职业道德准则。 　　(2)敬业精神 　　信息系统审计师在各方面工作中，均应具备敬业精神，并严格遵守相应职业审计原则。 　　4.专业技能 　　(1)技能与知识 　　信息系统审计师必要在技术上胜任，具备从事审计工作所必须专业技能与知识。 　　(2)职业继续教诲 　　信息系统审计师应通过相应职业继续教诲来保持其技术胜任能力。 5.规划 　　信息系统审计师应就信息系统审计工作做出相应筹划，以实现审计目的，并遵循合用职业审计原则。 　　6.审计工作实行 　　(1)监督 　　信息系统审计人员应在工作中接受恰当监督，以保证明现审计目的，并遵循职业审计原则。 　　(2)证据 　　在审计过程中，信息系统审计师应获取充分、可靠、有关且有用证据，以有效地完毕审计目的。审计发现和结论应由以上证据恰当分析和解释作为支持。 　　(3)绩效考核 　　信息系统审计师应建立恰当绩效考核方式，以确认完毕审计目的。 　　7.审计报告 　　信息系统审计师在审计工作完毕后，应向审计成果接受单位提供恰当形式审计报告。审计报告应明确阐述审计工作范畴、目、涵盖日期，以及审计工作性质和深度。审计报告应明确审计对象、报告接受单位，以及对报告流通任何限制。审计报告应陈述审计师在审计中发现、结论、建议，以及审计师保存意见或限制等。 　　8.后续工作 　　信息系统审计师应索取并评估上次审计中与发现、结论和建议关于资料，以鉴定与否已及时地采用了恰当后续行动。 　　13.2.3 详细准则 　　IT审计详细准则是对基本准则详细规定和详细阐明，必要指出是，这里提及IT审计详细准则来自于ISACAIT审计原则。限于篇幅，不也许一一列举ISACA各项IT审计原则详细内容。这里仅仅对审计合同、独立性、职业道德、技能与知识4个方面详细准则大体内容和范畴做一下简介，余下内容在背面章节中会有所提及。更为详尽内容应当参照ISACAIT审计原则原文。 　　1.审计合同 　　IT审计合同阐述了IT审计各方义务、权利、责任和绩效度量。合同目是让IT审计师在实行IT审计之前获得明确授权。在IT审计合同中应当对各方义务、权利、责任等做清晰表述。 　　IT审计合同具备法律上约束力。依照各国状况不同，IT审计合同详细内容和格式各有差别。但是普通会包括如下内容。 　　IT审计合同应明确表述IT审计各方义务，涉及IT审计目、目的、任务，对审计师规定，独立性，重要绩效考核指标，保密性规定，预订工期，质量评估原则，未完毕合同步惩罚等。 　　合同中还应明确表述IT审计师权利，涉及接触与IT审计工作有关人员、信息、场合、系统权限等，以及向高层领导和董事会报告途径等。 　　此外，合同还应当对绩效考核详细方式、指标等做出明确表述。 　　2.独立性 　　这一某些内容重要目在于阐明在IT审计基本准则中，独立性详细含义。 　　IT审计应当与委托方和被审计方保持组织上独立。在审计过程中，IT审计师应当站在第三方独立立场上，不受委托方和被审计方影响，以维持IT审计工作独立性和客观性。 　　IT审计师和审计方管理层应当经常对独立性做出评估。评估应当考虑诸如人员变动、财务利益变化、工作优先级和责任等因素。IT审计师也可以采用自我评估办法。 　　关于组织关系和独立性原则，也应当在IT审计合同中有明确表述。 　　3.职业道德和专业精神 　　IT审计师应当支持IT审计原则、准则，以及信息系统有关原则建立，并在审计工作中严格、自觉地遵守这些制度。 　　IT审计师在执行IT审计工作中，应当保持敬业、忠诚态度，应当严格地遵循有关法律、法规，以及其她各方承认原则、准则等。 　　除此之外，IT审计师还应当体现出足够专业精神。IT审计师应当可以对IT审计对象范畴、风险评估、IT审计方略选取等做出对的判断。此外，IT审计师还必要拥有足够技能来完毕IT审计各项工作。 　　4.技能与知识 　　这些足够技能涉及：对IT领域各项重要原则熟悉和理解，对审计工具纯熟操作，对信息系统理论根据、建设办法、运营机理理解等。 　　此外，IT审计师必要保持对IT领域和信息化理论最新进展保持及时更新。对IT审计领域规范和原则更新保持及时关注。 　　IT审计详细准则和详细列表如下： 　　·IT审计合同 　　·组织关系和独立性 　　·职业道德和专业精神 　　·IT审计筹划 　　·IT审计中重要性概念 　　·IT审计筹划中风险评估 　　·IT审计取证 　　·IT审计抽样 　　·IT审计文档 　　·信息系统控制 　　·应用系统评审 　　·对违规行为审计 　　·信息系统内部管理审计 　　·信息系统业务外包状况下审计 　　·计算机辅助审计技术 　　·其她审计工作成果运用 　　·IT审计报告 　13.2.4 实行指南 　　IT审计实行指南是IT审计师实行审计业务办法指引。它对IT审计流程、人员组织形式、详细IT审计方略、审计证据获取、IT审计报告编写办法、IT审计跟踪等方面给出了方略性指引意见。 　　除了对IT审计有关原则必要熟悉之外，IT审计师必要对计算机信息系统其她原则和规范也有比较深刻理解和结识，这样才干使IT审计工作得以顺利实行。 　　13.2.5 与有关IT原则关系 　　咱们当前所指IT审计原则普通是指ISACA制定信息系统审计准则。IT审计原则是一套以管理为核心，以法律法规为保障，以技术为支撑信息系统审计框架体系。它同步是一套规范化管理框架，详细地描述了审计方、开发方、顾客方关系及各方定位、权利、义务和职责等，并从原则角度对IT审计师能力考核限定、IT审计机构资质认定予以了限定。从目的上讲，IT审计原则跟着眼目是信息系统安全性、稳定性、有效性。 　　ISO 9000是一组国际原则，和信息系统有关原则有：ISO 9001，ISO 9000-3，ISO 9004-2和ISO 9002。 　　软件能力成熟度模型CMM(Capability Maturity Model for Software)是卡内其·梅隆大学完毕对一种组织软件开发能力进行评价模型，它侧重于对软件开发过程和开发办法论考察。CMM是一种5级模型。 　　IT审计与ISO 9000认证、软件能力成熟度模型CMM认证是三种不同原则体系，面向不同领域，不可以简朴地互相代替。但是它们之间有共同之处，它们都着眼于质量管理。在IT审计详细实行过程中，可以运用到ISO 9000原则和CMM模型作为详细评估工具和手段。IT审计在对开发方人员管理、文档管理和质量管理等方面进行审计时，可以参照ISO 9000原则和CMM有关内容。如开发方通过ISO 9001认证或获得CMM某级别证书等都可以作为IT审计师评估根据。 　　13.2.6 ISACA 　　信息系统审计与控制协会(ISACA)全称为：Information System Audit and Control Association。它创始于1967年，当时是由从事同类职业人所构成小团队——计算机系统审计和控制对她们各自机构运作都变得愈发核心——因而她们汇集起来讨论制定信息集中化资源和本领域指引准则和必要性。在1969年，这个团队正式组建为EDP审计师协会。在1976年，这个协会成立一项教诲基金来开展大规模研究工作，以拓展信息产业管理与控制领域和知识与价值。 　　今天，ISACA在全球有两万八千多名成员，她们构成非常具备多元化。这些成员在100各种国家生活和工作，并涵盖众多专业信息技术有关职业，例如信息系统审计师、顾问、辅导员、信息系统安全专家、管理者、首席信息官和内部审计师等。有些职业是本领域新兴，其她为中级管理人员，此外尚有许多人担任最高档职位。她们几乎遍及所有行业，涉及财政金融、公共会计、政府与公共部门、公用事业和制造业。这种多元性使众多成员可以互相学习，并在许多专业问题上广泛交流彼此观点。该特点始终被以为是ISACA强势之一。 　　ISACA另一种强势就是它分会网络。ISACA分会当前有170各种，遍及世界100各种国家，可提供成员教诲、资源共享、支持、专业网络，以及其她由本地分会提供诸多利益。 　　在ISACA创立30年来，已成为一种为信息管理、控制、安全和审计专业设定规范全球性组织。它信息系统审计和信息系统控制原则为全球执业者所遵从。它研究工作针对那些挑战其重要原则疑难专业事项。它国际信息系统审计师(CISA)认证得到全球公认，并有三万多名专业人员得到认证。它最新推出国际信息安全经理(CISM)认证特别针对信息安全管理审计事务。它出版了领先于信息控制领域技术性期刊，即《信息系统控制期刊》(Information Systems Control Journal)。它举办一系列国际性会议，并且把焦点集中于信息系统保障、控制、安全和信息技术管理专业技术秘管理主题上。ISACA与其附属信息技术管理机构领导着信息技术控制界，并在不断变化国际环境下为其执业者提供信息技术专业所需要素，保证她们得到良好服务。 　　13.2.7 中华人民共和国有关原则和法律法规 　　中华人民共和国当前尚没有明确针对IT审计国标。关于IT审计有关信息，在《审计法实行条例》、《国务院办公厅关于运用计算机信息系统开展审计工作关于问题告知》(国办发[]88号)等文献中均有描述。当前在《中华人民共和国审计法》中尚无IT审计有关内容。 　　IT审计法律地位，是指计算机审计在审计法中地位，法律与否承认审计机关具备进行IT审计权利。《中华人民共和国审计法》出台潮流没有对IT审计做出规定，国家关于计算机审计规定最初见于《审计法实行条例》。《审计法实行条例》第30条：“审计机关有权检查被审计单位运用电子计算机管理财政收支、财务收支财务会计核算系统。被审计单位应当向审计机关提供运用电子计算机储存、解决财政收支、财务收支电子数据以及关于资料。”这是当前审计机关开展IT审计唯一行政法规性根据。但是，该条对IT审计规定也仅限于对“被审计单位运用电子计算机管理财政收支、财务收支财务会计核算系统”检查，并没有对IT审计整个内涵做出描述和规范。同步，它仅是原则性规定，在实践中也显得缺少可操作性。按照审计法规定，被审计单位必要要接受审计，但不接受IT审计行为与否是不接受审计行为，当前审计法对此没有详细规定。 　　审计机关开展IT审计另一项重要根据是《国务院办公厅运用计算机信息系统开展审计工作关于问题告知》(国办发[]88号)。然而在该文献中关于计算机审计内容也仅局限于“被审计单位运用计算机管理财政收支、财务收支信息系统(计算机信息系统)”检查，检查重点重要在计算机信息系统与否原则、与否存在舞弊功能、系统所生成电子数据与否真实等三个方面，对IT审计内容已有了比较完整描述。但是它对IT审计手段、IT审计实行过程中必要遵循规范、准则，以及IT审计报告内容、形式等都没有涉及，在内容上也没有完全涵盖IT审计整个生命周期。尽管如此，这已是国内IT审计重大进步，至少在国务院办公厅立法级次上有了合法性承认。 　　为了更好开展审计工作，保障IT审计顺利进行，《审计法》应当明确确认IT审计法律地位，拟定IT审计是必要、合法审计方式，同步完善IT审计所必要遵循原则、规范等，赋予审计机关和独立审计机构IT审计职权，把IT审计纳入审计内涵之中。相信IT审计将会在将来审计法中得到明晰表述。