IT审计标准以及原则.docx

IT 审计标准以及原则 来源： 233 网校 【 233 网校：教育考试门户 】 2009 年 9 月 1 日 已有 574 人加入 软考帮帮团 收藏本页 免费做试题 章节练习 资料交易中心 我有疑问？ 在这一节中，我们将介绍在 IT 审计的实施流程、组织形式等过程中应该遵循的一些标 准和准则。 我们在前面的 13.1 提到， IT 审计是独立的 IT 审计师采用客观的标准对以计算机为核 心的信息系统的整个生命周期内的相关的活动和产物进行完整、有效的检查和评估的过程。 那么，为了保证审计结果的客观性和权威性， IT 审计师必须采用一套公认的、权威的审计 标准，作为实施 IT 审计的基本准则和实施依据。 制定或者采用权威的、公认的 IT 审计标准，是实现 IT 审计工作规范化、明确 IT 审计 责任、保证 IT 审计质量的可靠保障。 目前在国际上较为流行的是美国的 ISACA协会的审计标准。 ISACA 于 1996 年推出了用 于“ IT 审计”的知识体系 COBIT(Control Objectives for Information and related Technology) ，即信息系统和技术控制目标。作为 IT 治理的核心模型， COBIT包含 34 个信 息技术过程控制，并归集为 4 个控制域： IT 规划和组织 (Planning and Organization) 、系 统获得和实施 (Acquisition and Implementation) 、交付与支持 (Delivery and Support) ， 以及信息系统运行性能监控 (Monitoring) 。目前， COBIT已成为国际公认的 IT 管理与控制 标准。 13.2.1 基本框架 IT 审计标准是 IT 审计的纲领性规范，它列举了 IT 审计的事实过程中必须包含的审计 项目。一般来说，一个 IT 审计标准的框架应该包含如下三个层次。 1. 基本准则 规定了 IT 审计行为和审计报告必须达到的基本要求， 是 IT 审计的总纲， 也是制定其他 相关标准、规范、准则和指南的基本依据。 2. 具体准则 依据基本准则制定，对如何遵循 IT 审计的基本标准提供了详细规定和具体说明，是 IT 审计师实施审计业务、出具审计报告的具体规范。 3. 实施指南 依据基本准则和具体准则制定， 是 IT 审计的操作规程和方法， 为 IT 审计师实施审计业 务提供可操作性的指导。 IT 审计标准是针对以计算机为核心的信息系统而制定的。其适用范围涵盖了信息系统 的整个生命周期，包括可行性分析、需求分析、系统设计、开发、测试、运行维护等全部过 程的每个环节。 13.2.2 基本准则 作为 IT 审计的总纲， IT 审计基本准则指明了 IT 审计的基本标准和要求，我们这里摘 录了 ISACA对于 IT 审计的基本准则的描述。 1. 审计合同 IT 审计应该由审计方与委托方签署 IT 审计合同，信息系统审计职能的责任、权利和义 务均应在审计合同或聘书中有清楚的说明。 2. 独立性 (1) 职业独立性 在所有与审计相关的事物中， 信息系统审计师均应在态度和表现上与被审计单位保持独 立。 (2) 组织关系 信息系统的审计职能应与被审计领域保持充分独立，以确保审计工作的客观完成。 3. 职业道德和标准 (1) 职业道德准则 信息系统审计师须严格遵守信息系统审计与控制协会颁发的职业道德准则。 (2) 敬业精神 信息系统审计师在各方面的工作中， 均应具备敬业精神， 并严格遵守相应的职业审计标 准。 4. 专业技能 (1) 技能与知识 信息系统审计师必须在技术上胜任，具备从事审计工作所必需的专业技能与知识。 (2) 职业继续教育 信息系统审计师应通过相应的职业继续教育来保持其技术胜任能力。 5. 规划 信息系统审计师应就信息系统的审计工作做出相应计划， 以实现审计目标， 并遵循适用 的职业审计标准。 6. 审计工作的实施