目前在国际上较为流行的是美国的ISACA协会的审计标准。ISACA于1996年推出了用于“IT审计”的知识体系COBIT(Control Objectives for Information and related Technology),即信息系统和技术控制目标。作为IT治理的核心模型,COBIT包含34个信息技术过程控制,并归集为4个控制域:IT规划和组织(Planning and Organization)、系统获得和实施(Acquisition and Implementation)、交付与支持(Delivery and Support),以及信息系统运行性能监控(Monitoring)。目前,COBIT已成为国际公认的IT管理与控制标准。
13.2.1 基本框架
IT审计标准是IT审计的纲领性规范,它列举了IT审计的事实过程中必须包含的审计项目。一般来说,一个IT审计标准的框架应该包含如下三个层次。
1. 基本准则
规定了IT审计行为和审计报告必须达到的基本要求,是IT审计的总纲,也是制定其他相关标准、规范、准则和指南的基本依据。
2. 具体准则
依据基本准则制定,对如何遵循IT审计的基本标准提供了详细规定和具体说明,是IT审计师实施审计业务、出具审计报告的具体规范。
3. 实施指南
依据基本准则和具体准则制定,是IT审计的操作规程和方法,为IT审计师实施审计业务提供可操作性的指导。
IT审计标准是针对以计算机为核心的信息系统而制定的。其适用范围涵盖了信息系统的整个生命周期,包括可行性分析、需求分析、系统设计、开发、测试、运行维护等全部过程的每个环节。
13.2.2 基本准则
作为IT审计的总纲,IT审计基本准则指明了IT审计的基本标准和要求,我们这里摘录了ISACA对于IT审计的基本准则的描述。
1. 审计合同
IT审计应该由审计方与委托方签署IT审计合同,信息系统审计职能的责任、权利和义务均应在审计合同或聘书中有清楚的说明。
2. 独立性
(1)职业独立性
在所有与审计相关的事物中,信息系统审计师均应在态度和表现上与被审计单位保持独立。
(2)组织关系
信息系统的审计职能应与被审计领域保持充分独立,以确保审计工作的客观完成。
3.职业道德和标准
(1)职业道德准则
信息系统审计师须严格遵守信息系统审计与控制协会颁发的职业道德准则。
(2)敬业精神
信息系统审计师在各方面的工作中,均应具备敬业精神,并严格遵守相应的职业审计标准。
4.专业技能
(1)技能与知识
信息系统审计师必须在技术上胜任,具备从事审计工作所必需的专业技能与知识。
(2)职业继续教育
信息系统审计师应通过相应的职业继续教育来保持其技术胜任能力。
5.规划
信息系统审计师应就信息系统的审计工作做出相应计划,以实现审计目标,并遵循适用的职业审计标准。
6.审计工作的实施
(1)监督
信息系统审计人员应在工作中接受适当的监督,以确保实现审计目标,并遵循职业审计标准。
(2)证据
在审计过程中,信息系统审计师应获取充分、可靠、相关且有用的证据,以有效地完成审计目标。审计发现和结论应由以上证据的适当分析和解释作为支持。
(3)绩效考核
信息系统审计师应建立适当的绩效考核方式,以确认完成审计目标。
本文摘自希赛数字图书《计算机数学与经济管理基础知识》,更多的详细内容请见:
7.审计报告
信息系统审计师在审计工作完成后,应向审计结果接受单位提供适当形式的审计报告。审计报告应明确阐述审计工作的范围、目的、涵盖日期,以及审计工作的性质和深度。审计报告应明确审计对象、报告接受单位,以及对报告流通的任何限制。审计报告应陈述审计师在审计中的发现、结论、建议,以及审计师的保留意见或限制等。
8.后续工作
信息系统审计师应索取并评估上次审计中与发现、结论和建议有关的资料,以判定是否已及时地采取了适当的后续行动。
13.2.3 具体准则
IT审计的具体准则是对基本准则的详细规定和具体说明,必须指出的是,这里提及的IT审计的具体准则来自于ISACA的IT审计标准。限于篇幅,不可能一一列举ISACA的各项IT审计标准的详细内容。这里仅仅对审计合同、独立性、职业道德、技能与知识4个方面的具体准则的大致内容和范围做一下介绍,余下的内容在后面的章节中会有所提及。更为详尽的内容应该参考ISACA的IT审计标准原文。
1.审计合同
IT审计合同阐述了IT审计各方的义务、权利、责任和绩效度量。合同的目的是让IT审计师在实施IT审计之前获得明确的授权。在IT审计合同中应该对各方的义务、权利、责任等做清楚的表述。
IT审计合同具有法律上的约束力。根据各国情况的不同,IT审计合同的具体内容和格式各有差异。但是一般会包含以下内容。
IT审计合同应明确表述IT审计各方的义务,包括IT审计的目的、目标、任务,对审计师的要求,独立性,主要的绩效考核指标,保密性要求,预订的工期,质量评估标准,未完成合同时的处罚等。
合同中还应明确表述IT审计师的权利,包括接触与IT审计工作相关的人员、信息、场所、系统的权限等,以及向高层领导和董事会汇报的途径等。
此外,合同还应该对绩效考核的具体方式、指标等做出明确的表述。
2.独立性
这一部分内容的主要目的在于阐明在IT审计的基本准则中,独立性的具体含义。
IT审计应该与委托方和被审计方保持组织上的独立。在审计过程中,IT审计师应该站在第三方的独立的立场上,不受委托方和被审计方的影响,以维持IT审计工作的独立性和客观性。
IT审计师和审计方管理层应该经常对独立性做出评估。评估应该考虑诸如人员的变动、财务利益的变化、工作优先级和责任等因素。IT审计师也可以采用自我评估的方法。
关于组织关系和独立性的原则,也应该在IT审计合同中有明确的表述。
3.职业道德和专业精神
IT审计师应该支持IT审计标准、准则,以及信息系统相关的标准的建立,并在审计工作中严格、自觉地遵守这些制度。
IT审计师在执行IT审计的工作中,应该保持敬业、忠诚的态度,应该严格地遵循相关的法律、法规,以及其他的各方认可的标准、准则等。
除此之外,IT审计师还应该体现出足够的专业精神。IT审计师应该能够对IT审计的对象范围、风险评估、IT审计的策略选择等做出正确的判断。此外,IT审计师还必须拥有足够的技能来完成IT审计的各项工作。
4.技能与知识
这些足够的技能包括:对IT领域的各项重要标准的熟悉和了解,对审计工具的熟练操作,对信息系统的理论依据、建设方法、运行机理的了解等。
此外,IT审计师必须保持对IT领域和信息化理论的最新进展保持及时的更新。对IT审计领域的规范和标准的更新保持及时的关注。
IT审计的具体准则和详细列表如下:
·IT审计合同
·组织关系和独立性
·职业道德和专业精神
·IT审计计划
·IT审计中的重要性概念
·IT审计计划中的风险评估
·IT审计取证
·IT审计抽样
·IT审计文档
·信息系统控制
·应用系统评审
·对违规行为的审计
·信息系统内部管理的审计
·信息系统业务外包情况下的审计
·计算机辅助审计技术
·其他审计工作成果的利用
·IT审计报告
13.2.4 实施指南
IT审计的实施指南是IT审计师实施审计业务的方法指引。它对IT审计流程、人员组织形式、具体的IT审计策略、审计证据的获取、IT审计报告的编写方法、IT审计的跟踪等方面给出了策略性的指导意见。
除了对IT审计的相关标准必须熟悉之外,IT审计师必须对计算机信息系统的其他标准和规范也有比较深刻的了解和认识,这样才能使IT审计工作得以顺利实施。
13.2.5 与相关IT标准的关系
我们目前所指的IT审计标准一般是指ISACA制定的信息系统审计准则。IT审计标准是一套以管理为核心,以法律法规为保障,以技术为支撑的信息系统审计框架体系。它同时是一套规范化的管理框架,详细地描述了审计方、开发方、用户方的关系及各方的定位、权利、义务和职责等,并从标准的角度对IT审计师能力考核的限定、IT审计机构的资质认定给予了限定。从目标上讲,IT审计标准跟着眼的目的是信息系统的安全性、稳定性、有效性。
ISO 9000是一组国际标准,和信息系统相关的标准有:ISO 9001,ISO 9000-3,ISO 9004-2和ISO 9002。
软件能力成熟度模型CMM(Capability Maturity Model for Software)是卡内其·梅隆大学完成的对一个组织软件的开发能力进行评价的模型,它侧重于对软件开发过程和开发方法论的考察。CMM是一个5级的模型。
IT审计与ISO 9000认证、软件能力成熟度模型CMM认证是三种不同的标准体系,面向不同的领域,不可以简单地互相替代。但是它们之间有共同之处,它们都着眼于质量管理。在IT审计的具体实施过程中,可以利用到ISO 9000标准和CMM模型作为具体评估的工具和手段。IT审计在对开发方的人员管理、文档管理和质量管理等方面进行审计时,可以参照ISO 9000标准和CMM的相关内容。如开发方通过ISO 9001认证或取得CMM某级别的证书等都可以作为IT审计师的评估依据。
13.2.6 ISACA
信息系统审计与控制协会(ISACA)的全称为:Information System Audit and Control Association。它创始于1967年,当时是由从事同类职业的人所组成的小团体——计算机系统的审计和控制对他们各自机构的运作都变得愈发关键——因此他们聚集起来讨论制定信息集中化资源和本领域指导准则和必要性。在1969年,这个团体正式组建为EDP审计师协会。在1976年,这个协会成立一项教育基金来开展大规模的研究工作,以拓展信息产业管理与控制领域和知识与价值。
今天,ISACA在全球有两万八千多名成员,他们的组成非常具有多元化。这些成员在100多个国家生活和工作,并涵盖众多专业信息技术的相关职业,比如信息系统审计师、顾问、教导员、信息系统安全专家、管理者、首席信息官和内部审计师等。有些职业是本领域新兴的,其他为中级管理人员,另外还有许多人担任最高级的职位。他们几乎遍及所有行业,包括财政金融、公共会计、政府与公共部门、公用事业和制造业。这种多元性使众多成员能够相互学习,并在许多专业问题上广泛交流彼此的观点。该特点一直被认为是ISACA的强势之一。
ISACA的另一个强势就是它的分会网络。ISACA的分会目前有170多个,遍布世界100多个国家,可提供成员教育、资源共享、支持、专业网络,以及其他由当地分会提供的诸多利益。
在ISACA创立30年来,已成为一个为信息管理、控制、安全和审计专业设定规范的全球性组织。它的信息系统审计和信息系统控制标准为全球执业者所遵从。它的研究工作针对那些挑战其重要原则的疑难专业事项。它的国际信息系统审计师(CISA)认证得到全球的公认,并有三万多名专业人员得到认证。它最新推出的国际信息安全经理(CISM)认证特别针对信息安全管理的审计事务。它出版了领先于信息控制领域的技术性期刊,即《信息系统控制期刊》(Information Systems Control Journal)。它举办一系列国际性会议,并且把焦点集中于信息系统保障、控制、安全和信息技术管理专业的技术秘管理主题上。ISACA与其附属的信息技术管理机构领导着信息技术控制界,并在不断变化的国际环境下为其执业者提供信息技术专业所需的要素,保证他们得到良好的服务。
13.2.7 中国的相关标准和法律法规
中国目前尚没有明确的针对IT审计的国家标准。关于IT审计的相关信息,在《审计法实施条例》、《国务院办公厅关于利用计算机信息系统开展审计工作的有关问题的通知》(国办发[2001]88号)等文件中均有描述。目前在《中华人民共和国审计法》中尚无IT审计的相关内容。
IT审计的法律地位,是指计算机审计在审计法中的地位,法律是否认可审计机关具有进行IT审计的权利。《中华人民共和国审计法》出台时尚没有对IT审计做出规定,国家有关计算机审计的规定最初见于《审计法实施条例》。《审计法实施条例》第30条:“审计机关有权检查被审计单位运用电子计算机管理财政收支、财务收支的财务会计核算系统。被审计单位应当向审计机关提供运用电子计算机储存、处理的财政收支、财务收支电子数据以及有关资料。”这是目前审计机关开展IT审计的唯一行政法规性依据。不过,该条对IT审计的规定也仅限于对“被审计单位运用电子计算机管理财政收支、财务收支的财务会计核算系统”的检查,并没有对IT审计的整个内涵做出描述和规范。同时,它仅是原则性的规定,在实践中也显得缺乏可操作性。按照审计法的规定,被审计单位必须要接受审计,但不接受IT审计的行为是否是不接受审计行为,目前审计法对此没有具体规定。
审计机关开展IT审计的另一项重要依据是《国务院办公厅利用计算机信息系统开展审计工作有关问题的通知》(国办发[2001]88号)。然而在该文件中关于计算机审计的内容也仅局限于“被审计单位运用计算机管理财政收支、财务收支的信息系统(计算机信息系统)”的检查,检查的重点主要在计算机信息系统是否标准、是否存在舞弊功能、系统所生成的电子数据是否真实等三个方面,对IT审计的内容已经有了比较完整的描述。但是它对IT审计手段、IT审计实施过程中必须遵循的规范、准则,以及IT审计报告的内容、形式等都没有涉及,在内容上也没有完全涵盖IT审计的整个生命周期。尽管如此,这已是我国IT审计的重大进步,至少在国务院办公厅的立法级次上有了合法性的认可。
为了更好的开展审计工作,保障IT审计的顺利进行,《审计法》应当明确确认IT审计的法律地位,确定IT审计是必要的、合法的审计方式,同时完善IT审计所必须遵循的标准、规范等,赋予审计机关和独立审计机构IT审计的职权,把IT审计纳入审计的内涵之中。相信IT审计将会在将来的审计法中得到明晰的表述。
CIO之家 www.ciozj.com 公众号:imciow