IT审计标准以及原则

　　在这一节中，我们将介绍在IT审计的实施流程、组织形式等过程中应该遵循的一些标准和准则。

　　我们在前面的13.1提到，IT审计是独立的IT审计师采用客观的标准对以计算机为核心的信息系统的整个生命周期内的相关的活动和产物进行完整、有效的检查和评估的过程。那么，为了保证审计结果的客观性和权威性，IT审计师必须采用一套公认的、权威的审计标准，作为实施IT审计的基本准则和实施依据。

　　制定或者采用权威的、公认的IT审计标准，是实现IT审计工作规范化、明确IT审计责任、保证IT审计质量的可靠保障。

　　目前在国际上较为流行的是美国的ISACA协会的审计标准。ISACA于1996年推出了用于“IT审计”的知识体系COBIT(Control Objectives for Information and related Technology)，即信息系统和技术控制目标。作为IT治理的核心模型，COBIT包含34个信息技术过程控制，并归集为4个控制域：IT规划和组织(Planning and Organization)、系统获得和实施(Acquisition and Implementation)、交付与支持(Delivery and Support)，以及信息系统运行性能监控(Monitoring)。目前，COBIT已成为国际公认的IT管理与控制标准。

　　13.2.1 基本框架

　　IT审计标准是IT审计的纲领性规范，它列举了IT审计的事实过程中必须包含的审计项目。一般来说，一个IT审计标准的框架应该包含如下三个层次。

　　1. 基本准则

　　规定了IT审计行为和审计报告必须达到的基本要求，是IT审计的总纲，也是制定其他相关标准、规范、准则和指南的基本依据。

　　2. 具体准则

　　依据基本准则制定，对如何遵循IT审计的基本标准提供了详细规定和具体说明，是IT审计师实施审计业务、出具审计报告的具体规范。

　　3. 实施指南

　　依据基本准则和具体准则制定，是IT审计的操作规程和方法，为IT审计师实施审计业务提供可操作性的指导。

　　IT审计标准是针对以计算机为核心的信息系统而制定的。其适用范围涵盖了信息系统的整个生命周期，包括可行性分析、需求分析、系统设计、开发、测试、运行维护等全部过程的每个环节。

　　13.2.2 基本准则

　　作为IT审计的总纲，IT审计基本准则指明了IT审计的基本标准和要求，我们这里摘录了ISACA对于IT审计的基本准则的描述。

　　1. 审计合同

　　IT审计应该由审计方与委托方签署IT审计合同，信息系统审计职能的责任、权利和义务均应在审计合同或聘书中有清楚的说明。

　　2. 独立性

　　(1)职业独立性

　　在所有与审计相关的事物中，信息系统审计师均应在态度和表现上与被审计单位保持独立。

　　(2)组织关系

　　信息系统的审计职能应与被审计领域保持充分独立，以确保审计工作的客观完成。

　　3.职业道德和标准

　　(1)职业道德准则

　　信息系统审计师须严格遵守信息系统审计与控制协会颁发的职业道德准则。

　　(2)敬业精神

　　信息系统审计师在各方面的工作中，均应具备敬业精神，并严格遵守相应的职业审计标准。

　　4.专业技能

　　(1)技能与知识

　　信息系统审计师必须在技术上胜任，具备从事审计工作所必需的专业技能与知识。

　　(2)职业继续教育

　　信息系统审计师应通过相应的职业继续教育来保持其技术胜任能力。