IT审计标准以及原则

　　13.2.4 实施指南

　　IT审计的实施指南是IT审计师实施审计业务的方法指引。它对IT审计流程、人员组织形式、具体的IT审计策略、审计证据的获取、IT审计报告的编写方法、IT审计的跟踪等方面给出了策略性的指导意见。

　　除了对IT审计的相关标准必须熟悉之外，IT审计师必须对计算机信息系统的其他标准和规范也有比较深刻的了解和认识，这样才能使IT审计工作得以顺利实施。

　　13.2.5 与相关IT标准的关系

　　我们目前所指的IT审计标准一般是指ISACA制定的信息系统审计准则。IT审计标准是一套以管理为核心，以法律法规为保障，以技术为支撑的信息系统审计框架体系。它同时是一套规范化的管理框架，详细地描述了审计方、开发方、用户方的关系及各方的定位、权利、义务和职责等，并从标准的角度对IT审计师能力考核的限定、IT审计机构的资质认定给予了限定。从目标上讲，IT审计标准跟着眼的目的是信息系统的安全性、稳定性、有效性。

　　ISO 9000是一组国际标准，和信息系统相关的标准有：ISO 9001，ISO 9000-3，ISO 9004-2和ISO 9002。

　　软件能力成熟度模型CMM(Capability Maturity Model for Software)是卡内其·梅隆大学完成的对一个组织软件的开发能力进行评价的模型，它侧重于对软件开发过程和开发方法论的考察。CMM是一个5级的模型。

　　IT审计与ISO 9000认证、软件能力成熟度模型CMM认证是三种不同的标准体系，面向不同的领域，不可以简单地互相替代。但是它们之间有共同之处，它们都着眼于质量管理。在IT审计的具体实施过程中，可以利用到ISO 9000标准和CMM模型作为具体评估的工具和手段。IT审计在对开发方的人员管理、文档管理和质量管理等方面进行审计时，可以参照ISO 9000标准和CMM的相关内容。如开发方通过ISO 9001认证或取得CMM某级别的证书等都可以作为IT审计师的评估依据。

　　13.2.6 ISACA

　　信息系统审计与控制协会(ISACA)的全称为：Information System Audit and Control Association。它创始于1967年，当时是由从事同类职业的人所组成的小团体——计算机系统的审计和控制对他们各自机构的运作都变得愈发关键——因此他们聚集起来讨论制定信息集中化资源和本领域指导准则和必要性。在1969年，这个团体正式组建为EDP审计师协会。在1976年，这个协会成立一项教育基金来开展大规模的研究工作，以拓展信息产业管理与控制领域和知识与价值。

　　今天，ISACA在全球有两万八千多名成员，他们的组成非常具有多元化。这些成员在100多个国家生活和工作，并涵盖众多专业信息技术的相关职业，比如信息系统审计师、顾问、教导员、信息系统安全专家、管理者、首席信息官和内部审计师等。有些职业是本领域新兴的，其他为中级管理人员，另外还有许多人担任最高级的职位。他们几乎遍及所有行业，包括财政金融、公共会计、政府与公共部门、公用事业和制造业。这种多元性使众多成员能够相互学习，并在许多专业问题上广泛交流彼此的观点。该特点一直被认为是ISACA的强势之一。

　　ISACA的另一个强势就是它的分会网络。ISACA的分会目前有170多个，遍布世界100多个国家，可提供成员教育、资源共享、支持、专业网络，以及其他由当地分会提供的诸多利益。

　　在ISACA创立30年来，已成为一个为信息管理、控制、安全和审计专业设定规范的全球性组织。它的信息系统审计和信息系统控制标准为全球执业者所遵从。它的研究工作针对那些挑战其重要原则的疑难专业事项。它的国际信息系统审计师(CISA)认证得到全球的公认，并有三万多名专业人员得到认证。它最新推出的国际信息安全经理(CISM)认证特别针对信息安全管理的审计事务。它出版了领先于信息控制领域的技术性期刊，即《信息系统控制期刊》(Information Systems Control Journal)。它举办一系列国际性会议，并且把焦点集中于信息系统保障、控制、安全和信息技术管理专业的技术秘管理主题上。ISACA与其附属的信息技术管理机构领导着信息技术控制界，并在不断变化的国际环境下为其执业者提供信息技术专业所需的要素，保证他们得到良好的服务。

　　13.2.7 中国的相关标准和法律法规

　　中国目前尚没有明确的针对IT审计的国家标准。关于IT审计的相关信息，在《审计法实施条例》、《国务院办公厅关于利用计算机信息系统开展审计工作的有关问题的通知》(国办发[2001]88号)等文件中均有描述。目前在《中华人民共和国审计法》中尚无IT审计的相关内容。

　　IT审计的法律地位，是指计算机审计在审计法中的地位，法律是否认可审计机关具有进行IT审计的权利。《中华人民共和国审计法》出台时尚没有对IT审计做出规定，国家有关计算机审计的规定最初见于《审计法实施条例》。《审计法实施条例》第30条：“审计机关有权检查被审计单位运用电子计算机管理财政收支、财务收支的财务会计核算系统。被审计单位应当向审计机关提供运用电子计算机储存、处理的财政收支、财务收支电子数据以及有关资料。”这是目前审计机关开展IT审计的唯一行政法规性依据。不过，该条对IT审计的规定也仅限于对“被审计单位运用电子计算机管理财政收支、财务收支的财务会计核算系统”的检查，并没有对IT审计的整个内涵做出描述和规范。同时，它仅是原则性的规定，在实践中也显得缺乏可操作性。按照审计法的规定，被审计单位必须要接受审计，但不接受IT审计的行为是否是不接受审计行为，目前审计法对此没有具体规定。

　　审计机关开展IT审计的另一项重要依据是《国务院办公厅利用计算机信息系统开展审计工作有关问题的通知》(国办发[2001]88号)。然而在该文件中关于计算机审计的内容也仅局限于“被审计单位运用计算机管理财政收支、财务收支的信息系统(计算机信息系统)”的检查，检查的重点主要在计算机信息系统是否标准、是否存在舞弊功能、系统所生成的电子数据是否真实等三个方面，对IT审计的内容已经有了比较完整的描述。但是它对IT审计手段、IT审计实施过程中必须遵循的规范、准则，以及IT审计报告的内容、形式等都没有涉及，在内容上也没有完全涵盖IT审计的整个生命周期。尽管如此，这已是我国IT审计的重大进步，至少在国务院办公厅的立法级次上有了合法性的认可。

　　为了更好的开展审计工作，保障IT审计的顺利进行，《审计法》应当明确确认IT审计的法律地位，确定IT审计是必要的、合法的审计方式，同时完善IT审计所必须遵循的标准、规范等，赋予审计机关和独立审计机构IT审计的职权，把IT审计纳入审计的内涵之中。相信IT审计将会在将来的审计法中得到明晰的表述。