IT審計標準以及原則

在這一節(jié)中，我們將介紹在IT審計的實施流程、組織形式等過程中應該遵循的一些標準和準則。
    我們在前面的13.1提到，IT審計是獨立的IT審計師采用客觀的標準對以計算機為核心的信息系統(tǒng)的整個生命周期內的相關的活動和產物進行完整、有效的檢查和評估的過程。那么，為了保證審計結果的客觀性和權威性，IT審計師必須采用一套公認的、權威的審計標準，作為實施IT審計的基本準則和實施依據(jù)。
    制定或者采用權威的、公認的IT審計標準，是實現(xiàn)IT審計工作規(guī)范化、明確IT審計責任、保證IT審計質量的可靠保障。
    目前在國際上較為流行的是美國的ISACA協(xié)會的審計標準。ISACA于1996年推出了用于“IT審計”的知識體系COBIT(Control Objectives for Information and related Technology)，即信息系統(tǒng)和技術控制目標。作為IT治理的核心模型，COBIT包含34個信息技術過程控制，并歸集為4個控制域：IT規(guī)劃和組織(Planning and Organization)、系統(tǒng)獲得和實施(Acquisition and Implementation)、交付與支持(Delivery and Support)，以及信息系統(tǒng)運行性能監(jiān)控(Monitoring)。目前，COBIT已成為國際公認的IT管理與控制標準。
    13.2.1 基本框架
    IT審計標準是IT審計的綱領性規(guī)范，它列舉了IT審計的事實過程中必須包含的審計項目。一般來說，一個IT審計標準的框架應該包含如下三個層次。
    1. 基本準則
    規(guī)定了IT審計行為和審計報告必須達到的基本要求，是IT審計的總綱，也是制定其他相關標準、規(guī)范、準則和指南的基本依據(jù)。
    2. 具體準則
    依據(jù)基本準則制定，對如何遵循IT審計的基本標準提供了詳細規(guī)定和具體說明，是IT審計師實施審計業(yè)務、出具審計報告的具體規(guī)范。
    3. 實施指南
    依據(jù)基本準則和具體準則制定，是IT審計的操作規(guī)程和方法，為IT審計師實施審計業(yè)務提供可操作性的指導。
    IT審計標準是針對以計算機為核心的信息系統(tǒng)而制定的。其適用范圍涵蓋了信息系統(tǒng)的整個生命周期，包括可行性分析、需求分析、系統(tǒng)設計、開發(fā)、測試、運行維護等全部過程的每個環(huán)節(jié)。
    13.2.2 基本準則
    作為IT審計的總綱，IT審計基本準則指明了IT審計的基本標準和要求，我們這里摘錄了ISACA對于IT審計的基本準則的描述。
    1. 審計合同
    IT審計應該由審計方與委托方簽署IT審計合同，信息系統(tǒng)審計職能的責任、權利和義務均應在審計合同或聘書中有清楚的說明。
    2. 獨立性
    (1)職業(yè)獨立性
    在所有與審計相關的事物中，信息系統(tǒng)審計師均應在態(tài)度和表現(xiàn)上與被審計單位保持獨立。
    (2)組織關系
    信息系統(tǒng)的審計職能應與被審計領域保持充分獨立，以確保審計工作的客觀完成。
    3.職業(yè)道德和標準
    (1)職業(yè)道德準則
    信息系統(tǒng)審計師須嚴格遵守信息系統(tǒng)審計與控制協(xié)會頒發(fā)的職業(yè)道德準則。
    (2)敬業(yè)精神
    信息系統(tǒng)審計師在各方面的工作中，均應具備敬業(yè)精神，并嚴格遵守相應的職業(yè)審計標準。
    4.專業(yè)技能
    (1)技能與知識
    信息系統(tǒng)審計師必須在技術上勝任，具備從事審計工作所必需的專業(yè)技能與知識。
    (2)職業(yè)繼續(xù)教育
    信息系統(tǒng)審計師應通過相應的職業(yè)繼續(xù)教育來保持其技術勝任能力。