在這一節(jié)中���,我們將介紹在IT審計(jì)的實(shí)施流程����、組織形式等過程中應(yīng)該遵循的一些標(biāo)準(zhǔn)和準(zhǔn)則�����。
我們在前面的13.1提到�,IT審計(jì)是獨(dú)立的IT審計(jì)師采用客觀的標(biāo)準(zhǔn)對以計(jì)算機(jī)為核心的信息系統(tǒng)的整個(gè)生命周期內(nèi)的相關(guān)的活動(dòng)和產(chǎn)物進(jìn)行完整����、有效的檢查和評估的過程。那么��,為了保證審計(jì)結(jié)果的客觀性和權(quán)威性�,IT審計(jì)師必須采用一套公認(rèn)的、權(quán)威的審計(jì)標(biāo)準(zhǔn)���,作為實(shí)施IT審計(jì)的基本準(zhǔn)則和實(shí)施依據(jù)��。
制定或者采用權(quán)威的�����、公認(rèn)的IT審計(jì)標(biāo)準(zhǔn)����,是實(shí)現(xiàn)IT審計(jì)工作規(guī)范化、明確IT審計(jì)責(zé)任�����、保證IT審計(jì)質(zhì)量的可靠保障�����。
目前在國際上較為流行的是美國的ISACA協(xié)會(huì)的審計(jì)標(biāo)準(zhǔn)�。ISACA于1996年推出了用于“IT審計(jì)”的知識(shí)體系COBIT(Control Objectives for Information and related Technology),即信息系統(tǒng)和技術(shù)控制目標(biāo)�。作為IT治理的核心模型,COBIT包含34個(gè)信息技術(shù)過程控制�,并歸集為4個(gè)控制域:IT規(guī)劃和組織(Planning and Organization)、系統(tǒng)獲得和實(shí)施(Acquisition and Implementation)�、交付與支持(Delivery and Support),以及信息系統(tǒng)運(yùn)行性能監(jiān)控(Monitoring)���。目前����,COBIT已成為國際公認(rèn)的IT管理與控制標(biāo)準(zhǔn)。
13.2.1 基本框架
IT審計(jì)標(biāo)準(zhǔn)是IT審計(jì)的綱領(lǐng)性規(guī)范��,它列舉了IT審計(jì)的事實(shí)過程中必須包含的審計(jì)項(xiàng)目�����。一般來說���,一個(gè)IT審計(jì)標(biāo)準(zhǔn)的框架應(yīng)該包含如下三個(gè)層次。
1. 基本準(zhǔn)則
規(guī)定了IT審計(jì)行為和審計(jì)報(bào)告必須達(dá)到的基本要求���,是IT審計(jì)的總綱�,也是制定其他相關(guān)標(biāo)準(zhǔn)��、規(guī)范����、準(zhǔn)則和指南的基本依據(jù)。
2. 具體準(zhǔn)則
依據(jù)基本準(zhǔn)則制定�����,對如何遵循IT審計(jì)的基本標(biāo)準(zhǔn)提供了詳細(xì)規(guī)定和具體說明,是IT審計(jì)師實(shí)施審計(jì)業(yè)務(wù)��、出具審計(jì)報(bào)告的具體規(guī)范��。
3. 實(shí)施指南
依據(jù)基本準(zhǔn)則和具體準(zhǔn)則制定�����,是IT審計(jì)的操作規(guī)程和方法���,為IT審計(jì)師實(shí)施審計(jì)業(yè)務(wù)提供可操作性的指導(dǎo)���。
IT審計(jì)標(biāo)準(zhǔn)是針對以計(jì)算機(jī)為核心的信息系統(tǒng)而制定的。其適用范圍涵蓋了信息系統(tǒng)的整個(gè)生命周期��,包括可行性分析��、需求分析�、系統(tǒng)設(shè)計(jì)、開發(fā)����、測試、運(yùn)行維護(hù)等全部過程的每個(gè)環(huán)節(jié)�����。
13.2.2 基本準(zhǔn)則
作為IT審計(jì)的總綱,IT審計(jì)基本準(zhǔn)則指明了IT審計(jì)的基本標(biāo)準(zhǔn)和要求��,我們這里摘錄了ISACA對于IT審計(jì)的基本準(zhǔn)則的描述��。
1. 審計(jì)合同
IT審計(jì)應(yīng)該由審計(jì)方與委托方簽署IT審計(jì)合同���,信息系統(tǒng)審計(jì)職能的責(zé)任�����、權(quán)利和義務(wù)均應(yīng)在審計(jì)合同或聘書中有清楚的說明�。
2. 獨(dú)立性
(1)職業(yè)獨(dú)立性
在所有與審計(jì)相關(guān)的事物中�,信息系統(tǒng)審計(jì)師均應(yīng)在態(tài)度和表現(xiàn)上與被審計(jì)單位保持獨(dú)立�����。
(2)組織關(guān)系
信息系統(tǒng)的審計(jì)職能應(yīng)與被審計(jì)領(lǐng)域保持充分獨(dú)立���,以確保審計(jì)工作的客觀完成�����。
3.職業(yè)道德和標(biāo)準(zhǔn)
(1)職業(yè)道德準(zhǔn)則
信息系統(tǒng)審計(jì)師須嚴(yán)格遵守信息系統(tǒng)審計(jì)與控制協(xié)會(huì)頒發(fā)的職業(yè)道德準(zhǔn)則���。
(2)敬業(yè)精神
信息系統(tǒng)審計(jì)師在各方面的工作中��,均應(yīng)具備敬業(yè)精神���,并嚴(yán)格遵守相應(yīng)的職業(yè)審計(jì)標(biāo)準(zhǔn)。
4.專業(yè)技能
(1)技能與知識(shí)
信息系統(tǒng)審計(jì)師必須在技術(shù)上勝任�,具備從事審計(jì)工作所必需的專業(yè)技能與知識(shí)。
(2)職業(yè)繼續(xù)教育
信息系統(tǒng)審計(jì)師應(yīng)通過相應(yīng)的職業(yè)繼續(xù)教育來保持其技術(shù)勝任能力��。
