IT审计

IT审计就是信息系统审计，主要介绍审计的历史和发展，对象、范围和意义对象、范围和意义计划。

目录 1简介

2历史发展

? 六十年代

? 八十年代

? 九十年代

3审计制度

4审计计划

5审计流程

? 审计计划

? 审计实施

? 审计完成

简介

IT审计是独立于信息系统本身、信息系统相关开发、使用人员的第三方－IT审计师采用客观的标准对信息系统的策划、开发、使用维护等相关活动和产物进行完整地、有效地检查和评估。

由上面的定义我们可以看出，IT审计涉及整个信息系统的生命周期，IT审计不是单纯强调对软硬件的审计。它的审计对象涵盖整个信息系统所有活动和中间产物，并包括信息系统实施相关的外部环境。

IT审计按照信息系统的生命周期分为计划审计，业务开发审计、业务执行审计和业务维护审计以及涵盖整个信息系统周期的共通业务审计。

业务计划审计主要面向信息系统的企划，对信息系统的投资可行性，系统规划与公司战略的相关性，系统开发计划的可行性以及系统需求的完整性和正确性进行审核和验证。

业务开发审计对信息系统开发的各个阶段的相关人员的活动、信息、中间产物进行审核，确认这些活动、信息和中间产物的规范性、有效性和对于信息系统目标的针对性。

业务执行审计确认与信息系统运行相关的数据、软硬件、安装环境等是否符合信息系统的运营要求，同时对信息系统的功能、性能、易用度、可操作性等进行评估。

业务维护审计对信息系统的维护活动和维护结果实施审核和评价。发现在维护中可能出现的各种漏洞和信息系统维护中急待改善的问题。

共通业务审计涉及文档管理、进度管理、人员管理、采购管理、风险管理等，检查这些过程的规范性和有效性，并提出改良建议。

IT审计的任务在于站在客观公正的角度上，收集审计信息，生成审计报告，通过审计报告促成信息系统生命周期活动和成果物的改善。

实施IT审计能够强化IT投资效果，提高信息系统的安全性，能够客观评价信息系统及信息系统开发，从社会经济和企业、国家信息化投资、安全等方面都具有极大的意义。 历史发展

六十年代

IT审计的出处源自60年代IBM出版的《Audit encounters Electronic Data Processing》等有关在EDI环境下进行审核和组织的论述。不久后有关该方面的研究结果不断涌现， IT审计的雏形初步形成。但是由于信息系统在社会上尚未得到较为广泛的应用，因此IT审计并未在社会上形成意识。

八十年代

初由于计算机在发达国家的企业初步普及，利用计算机犯罪和计算机系统失效的事件频频出现，使得IT审计日益得到社会重视，美国、日本先后成立了IT审计方面的协会组织。从事对IT审计规则的制定和实施指导。值得注意的是19xx年日本政府出台了《IT审计标准》并根据美国劳工部的《Skill Start》和Northwest Center for Emerging Technologies（NCET）对IT信息人员的从业技能的要求制订了IT审计师（系统监查员）的技能标准并以之作为新的"IT审计师（系统监查员）"级考试的参考标准。

九十年代

是IT审计的普及期，这主要归功于互联网的普及。互联网的普及是利用计算机犯罪的人员温床，此外日益严重的软件项目失败问题引发了是否要对信息系统的投资和开发进行审计的深思。IT审计得到了前所未有的重视。

审计制度

一般来说，对企业实施IT审计的对象有：本企业内的IT审计师、外部IT审计事务所委托审计师和国家审计机构。

作为企业，建立一个完善的IT审计制度需要做到以下几点：

（1）IT审计师是跨信息技术和审计技术的复合型人才，要实施企业的IT审计制度，必须重视和培养合格的IT审计师；

（2）企业应该建立相应的IT审计部门或审计岗位，确定其部门和岗位职责，并将之置于企业经营者的直接管理之内；

（3）企业应该制定相应的IT审计准则、实施报表、报告等进行IT审计所必须的凭据； 值得一提的是，企业在建立IT审计制度时应当遵循国家相关IT审计的法规并结合本企业的业务实际进行。企业的IT审计制度不是一成不变的，根据具体企业的营运情况可以在每个审计年度终结后新的审计年度开始前做相应的修改和增删。

审计计划

IT审计的实施需要制定相应的计划，明确IT审计的任务、采用的方法和预期应当达到的效果。该计划在提交经营层确认后得以实施。

IT审计的分为两种类型：基本计划和详细计划（又称分期计划）。

基本计划是一个审计年度内相关IT审计活动的计划，确认年度内IT审计的各项任务及其大致时间安排。基本计划需要提交经营层批准。它是对整个IT审计年度的活动指引方针。内容包括：审计对象、审计场所、审计原则、日程安排等。

详细计划（分期计划）针对具体项目（系统）或任务，得到IT审计部门领导的许可即可，详细计划需要告知被审计对象。详细计划的内容包括：审计对象、目的、审计流程、审计要点、审计时间、相关人员、审计报告提交事项等内容。

审计流程

审计计划

计划阶段是整个审计过程的起点。其主要工作包括：

（1）了解被审系统基本情况

了解被审系统基本情况是实施任何信息系统审计的必经程序，对基本情况的了解有助于审计组织对系统的组成、环境、运行年限、控制等有初步印象，以决定是否对该系统进行审计，明确审计的难度，所需时间以及人员配备情况等。

了解了基本情况，审计组织就可以大致判断系统的复杂性、管理层对审计的态度、内部控制的状况、以前审计的状况、审计难点与重点，以决定是否对其进行审计。

（2）初步评价被审单位系统的内部控制及外部控制

传统的内部控制制度是为防止舞弊和差错而形成的以内部稽核和相互牵制为核心的工作制度。随着信息技术特别是以Internet为代表的网络技术的发展和应用，企业信息系统进一步向深层次发展，这些变革无疑给企业带来了巨大的效益，但同时也给内部控制带来了新的问题和挑战。加强内部控制制度是信息系统安全可靠运行的有力保证。依据控制对象的范围和环境，信息系统内控制度的审计内容包括一般控制和应用控制两类。

一般控制是系统运行环境方而的控制，指对信息系统构成要素(人、机器、文件)的控制。它已为应用程序的正常运行提供外围保障，影响到计算机应用的成败及应用控制的强弱。主要包括：组织控制、操作控制、硬件及系统软件控制和系统安全控制。

应用控制是对信息系统中具体的数据处理活动所进行的控制，是具体的应用系统中用来预测、检测和更正错误和处置不法行为的控制措施，信息系统的应用控制主要体现在输入控制、处理控制和输出控制。应用控制具有特殊性，不同的应用系统有着不同的处理方式和处理环节，因而有着不同的控制问题和不同的控制要求，但是一般可把它划分为：输入控制、处理控制和输出控制。

通过对信息系统组织机构控制，系统开发与维护控制，安全性控制，硬件、软件资源控制，输入控制，处理控制，输出控制等方而的审计分析，建立内部控制强弱评价的指标系统及评价模型，审计人员通过交互式人机对话，输入各评价指标的评分，内控制审计评价系统则可以进行多级综合审计评价。通过内控制度的审计，实现对系统的预防性控制，检测性控制和纠正性控制。

（3）识别重要性

为了有效实现审计目标，合理使用审计资源，在制定审计计划时，信息系统审计人员应对系

统重要性进行适当评估。对重要性的评估一般需要运用专业判断。考虑重要性水平时要根据审计人员的职业判断或公用标准，系统的服务对象及业务性质，内控的初评结果。重要性的判断离不开特定环境，审计人员必须根据具体的信息系统环境确定重要性。重要性具有数量和质量两个方面的特征。越是重要的子系统，就越需要获取充分的审计证据，以支持审计结论或意见。

（4）编制审计计划

经过以上程序，为编制审计计划提供了良好准备，审计人员就可以据以编制总体及具体审计计划。

总体计划包括：被审单位基本情况；审计目的、审计范围及策略；重要问题及重要审计领域；工作进度及时间；审计小组成员分工；重要性确定及风险评估等。

具体计划包括：具体审计目标；审计程序；执行人员及时间限制等。

审计实施

做好上诉材料的充分的准备，便可进行审计实施，具体包括以下内容：

（1）对信息系统计划开发阶段的审计

对信息系统计划开发阶段的审计包括对计划的审计和对开发的审计，可以采用事中审计，也可以是事后审计。比较而言事中审计更有意义，审计结果的得出利于故障、问题的及早发现，利于调整计划，利于开发顺序的改进。

信息系统计划阶段的关键控制点有：计划是否有明确的目的，计划中是否明确描述了系统的效果，是否明确了系统开发的组织，对整体计划进程是否正确预计，计划能否随经营环境改变而及时修正，计划是否制定有可行性报告，关于计划的过程和结果是否有文档记录等等。 系统开发阶段包括系统分析、系统设计、代码编写和系统测试三部分。其中涉及包括功能需求分析、业务数据分析、总体框架设计、结构设计、代码设计、数据库设计、输入输出设计、处理流程及模块功能的设计。编程时依据系统设计阶段的设计图及数据库结构和编码设计，用计算机程序语言来实现系统的过程。测试包括动态测试和静态测试，是系统开发完毕，进入试运行之前的必经程序。其关键控制点有:

分析控制点：是否己细致分析企业组织结构；是否确定用户功能和性能需求；是否确定用户的数据需求等。

设计控制点：设计界面是否方便用户使用；设计是否与业务内容相符；性能能否满足需要，是否考虑故障对策和安全保护等。

编程控制点：是否有程序说明书，并按照说明书进行编写；编程与设计是否相符，有无违背编程原则；程序作者是否进行自测；是否有程序作者之外的第三人进行测试;编程的书写、变量的命名等是否规范。

测试控制点：测试数据的选取是否按计划及需要进行，是否具有代表性；测试是否站在公正客观的立场进行，是否有用户参与测试；测试结果是否正确记录等。

（2）对信息系统运行维护阶段的审计

对信息系统运行维护阶段的审计又细分为对运行阶段的审计和对维护阶段的审计。系统运行过程的审计是在信息系统正式运行阶段，针对信息系统是否被正确操作和是否有效地运行，从而真正实现信息系统的开发目标、满足用户需求而进行的审计。对信息系统运行过程的审计分为系统输入审计、通信系统审计、处理过程审计、数据库审计、系统输出审计和运行管理审计六大部分。

输入审计的关键控制点有：是否制定并遵守输入管理规则，是否有数据生成顺序、处理等的防错、保护措施、防错、保护措施是否有效等。

通信系统实施的是实际数据的传输，通信系统中，审计轨迹应记录输入的数据、传送的数据和工作的通信系统。通信系统审计的关键控制点有：是否制定并遵守通信规则，对网络存取控制及监控是否有效等。

处理过程指处理器在接收到输入的数据后对数据进行加工处理的过程，此时的审计主要针对数据输入系统后是否被正确处理。关键控制点有：被处理的数据，数据处理器，数据处理时间，数据处理后的结果，数据处理实现的目的，系统处理的差错率，平均无故障时间，可恢复性和平均恢复时间等。

数据库审计是保障数据库正确行使了其职能，如对数据操作的有效性和发生异常操作时对数据的保护功能(正确数据不丢失，数据回滚以保证数据的一致性)。其关键控制点有：对数据的存取控制及监视是否有效，是否记录数据利用状况，并定期分析，是否考虑数据的保护功能，是否有防错、保密功能，防错、保密功能是否有效等。

输出审计不同于测试阶段的输出审计，此时的输出是在实际数据的基础上进行的，对其进行审计可以对系统输出进行再控制，结合用户需求进行评价。关键控制点有：输出信息的获取及处理时是否有防止不正当行为和机密保护措施，输出信息是否准确、及时，输出信息的形式是否被客户所接受，是否记录输出出错情况并定期分析等。

运行管理审计是对人机系统中人的行为的审计。关键控制点有：操作顺序是否标准化，作业进度是否有优先级，操作是否按标准进行，人员交替是否规范，能否对预计于实际运行的差异进行分析，遇问题时能否相互沟通，是否有经常性培训与教育等。

维护过程的审计包括对维护计划、维护实施、改良系统的试运行和旧系统的废除等维护活动的审计。维护过程的关键控制点有：维护组织的规模是否适应需要，人员分工是否明确，是否有一套管理机制和协调机制，维护过程发现的可改进点，维护是否得到维护负责人同意，是否对发现问题作了修正，维护记录是否有文档记载，是否定期分析，旧系统的废除是否在授权下进行等。

审计完成

完成阶段是实质性的整个信息系统审计工作的结束，主要工作有:

整理、评价执行审计业务过程中收集到的证据。在信息系统审计的现代化管理时期，收集到的数据己存储在管理系统中，审计人员只需对其进行分析和调用即可。

复核审计底稿，完成二级复核。传统审计的三级复核制度对信息系统审计同样适用，它是保证审计质量、降低审计风险的重要措施。一级复核是由信息系统审计项目组长在审计过程进行中对工作底稿的复核，这层复核主要是评价已完成的审计工作、所获得的工作底稿编制人员形成的结论；二级复核是在外勤工作结束时，由审计部门领导对工作底稿进行的重点复核。在审计工作办公自动化的今天，二级复核制度同样可以通过网上报送及调用得以实现。 评价审计结果，形成审计意见，完成三级复核，编制审计报告。评价审计结果主要是为了确定将要发表的审计意见的类型及在整个审计工作中是否遵循了独立审计准则。信息系统审计人员需要对重要性和审计风险进行最终的评价。这是审计人员决定发表何种类型审计意见的必要过程，所确定的可接受审计风险一定要有足够充分适当的审计证据支持。签发审计报告之前，应当随工作底稿进行最终(三级)复核，三级复核由审计部门的主任进行，主要复核所采用审计程序的恰当性、审计工作底稿的充分性、审计过程中是否存在重大遗漏、审计工作是否符合事务所的质量要求等。三级复核制度的坚持是控制审计风险的重要手段。审计报告是审计工作的最终成果，审计报告首先应有审计人员对被审系统的安全性、可靠性、稳定性、有效性的意见，同时提出改进建议。

第二篇：IT审计标准以及原则

在这一节中，我们将介绍在IT审计的实施流程、组织形式等过程中应该遵循的一些标准和准则。

我们在前面的13.1提到，IT审计是独立的IT审计师采用客观的标准对以计算机为核心的信息系统的整个生命周期内的相关的活动和产物进行完整、有效的检查和评估的过程。那么，为了保证审计结果的客观性和权威性，IT审计师必须采用一套公认的、权威的审计标准，作为实施IT审计的基本准则和实施依据。

制定或者采用权威的、公认的IT审计标准，是实现IT审计工作规范化、明确IT审计责任、保证IT审计质量的可靠保障。 目前在国际上较为流行的是美国的ISACA协会的审计标准。ISACA于19xx年推出了用于“IT审计”的知识体系COBIT(Control Objectives for Information and related Technology)，即信息系统和技术控制目标。作为IT治理的核心模型，COBIT包含34个信息技术过程控制，并归集为4个控制域：IT规划和组织(Planning and Organization)、系统获得和实施(Acquisition and Implementation)、交付与支持(Delivery and Support)，以及信息系统运行性能监控(Monitoring)。目前，COBIT已成为国际公认的IT管理与控制标准。 13.2.1 基本框架

IT审计标准是IT审计的纲领性规范，它列举了IT审计的事实过程中必须包含的审计项目。一般来说，一个IT审计标准的框架应该包含如下三个层次。

1. 基本准则

规定了IT审计行为和审计报告必须达到的基本要求，是IT审计的总纲，也是制定其他相关标准、规范、准则和指南的基本依据。

2. 具体准则

依据基本准则制定，对如何遵循IT审计的基本标准提供了详细规定和具体说明，是IT审计师实施审计业务、出具审计报告的具体规范。

3. 实施指南

依据基本准则和具体准则制定，是IT审计的操作规程和方法，为IT审计师实施审计业务提供可操作性的指导。

IT审计标准是针对以计算机为核心的信息系统而制定的。其适用范围涵盖了信息系统的整个生命周期，包括可行性分析、需求分析、系统设计、开发、测试、运行维护等全部过程的每个环节。 13.2.2 基本准则

作为IT审计的总纲，IT审计基本准则指明了IT审计的基本标准和要求，我们这里摘录了ISACA对于IT审计的基本准则的描述。

1. 审计合同

IT审计应该由审计方与委托方签署IT审计合同，信息系统审计职能的责任、权利和义务均应在审计合同或聘书中有清楚的说明。

2. 独立性

(1)职业独立性

在所有与审计相关的事物中，信息系统审计师均应在态度和表现上与被审计单位保持独立。

(2)组织关系

信息系统的审计职能应与被审计领域保持充分独立，以确保审计工作的客观完成。

3.职业道德和标准

(1)职业道德准则

信息系统审计师须严格遵守信息系统审计与控制协会颁发的职业道德准则。

(2)敬业精神

信息系统审计师在各方面的工作中，均应具备敬业精神，并严格遵守相应的职业审计标准。

4.专业技能

(1)技能与知识

信息系统审计师必须在技术上胜任，具备从事审计工作所必需的专业技能与知识。

(2)职业继续教育

信息系统审计师应通过相应的职业继续教育来保持其技术胜任能力。

5.规划

信息系统审计师应就信息系统的审计工作做出相应计划，以实现审计目标，并遵循适用的职业审计标准。

6.审计工作的实施

(1)监督

信息系统审计人员应在工作中接受适当的监督，以确保实现审计目标，并遵循职业审计标准。

(2)证据

在审计过程中，信息系统审计师应获取充分、可靠、相关且有用的证据，以有效地完成审计目标。审计发现和结论应由以上证据的适当分析和解释作为支持。

(3)绩效考核

信息系统审计师应建立适当的绩效考核方式，以确认完成审计目标。

7.审计报告

信息系统审计师在审计工作完成后，应向审计结果接受单位提供适当形式的审计报告。审计报告应明确阐述审计工作的范围、目的、涵盖日期，以及审计工作的性质和深度。审计报告应明确审计对象、报告接受单位，以及对报告流通的任何限制。审计报告应陈述审计师在审计中的发现、结论、建议，以及审计师的保留意见或限制等。

8.后续工作

信息系统审计师应索取并评估上次审计中与发现、结论和建议有关的资料，以判定是否已及时地采取了适当的后续行动。 13.2.3 具体准则

IT审计的具体准则是对基本准则的详细规定和具体说明，必须指出的是，这里提及的IT审计的具体准则来自于ISACA的IT审计标准。限于篇幅，不可能一一列举ISACA的各项IT审计标准的详细内容。这里仅仅对审计合同、独立性、职业道德、技能与知识4个方面的具体准则的大致内容和范围做一下介绍，余下的内容在后面的章节中会有所提及。更为详尽的内容应该参考ISACA的IT审计标准原文。

1.审计合同

IT审计合同阐述了IT审计各方的义务、权利、责任和绩效度量。合同的目的是让IT审计师在实施IT审计之前获得明确的授权。在IT审计合同中应该对各方的义务、权利、责任等做清楚的表述。 IT审计合同具有法律上的约束力。根据各国情况的不同，IT审计合同的具体内容和格式各有差异。但是一般会包含以下内容。 IT审计合同应明确表述IT审计各方的义务，包括IT审计的目的、目标、任务，对审计师的要求，独立性，主要的绩效考核指标，保密性要求，预订的工期，质量评估标准，未完成合同时的处罚等。 合同中还应明确表述IT审计师的权利，包括接触与IT审计工作相关的人员、信息、场所、系统的权限等，以及向高层领导和董事会汇报的途径等。

此外，合同还应该对绩效考核的具体方式、指标等做出明确的表述。

2.独立性

这一部分内容的主要目的在于阐明在IT审计的基本准则中，独立性的具体含义。

IT审计应该与委托方和被审计方保持组织上的独立。在审计过程中，IT审计师应该站在第三方的独立的立场上，不受委托方和被审计方的影响，以维持IT审计工作的独立性和客观性。

IT审计师和审计方管理层应该经常对独立性做出评估。评估应该考虑诸如人员的变动、财务利益的变化、工作优先级和责任等因素。IT审计师也可以采用自我评估的方法。

关于组织关系和独立性的原则，也应该在IT审计合同中有明确的表述。

3.职业道德和专业精神

IT审计师应该支持IT审计标准、准则，以及信息系统相关的标准的建立，并在审计工作中严格、自觉地遵守这些制度。

IT审计师在执行IT审计的工作中，应该保持敬业、忠诚的态度，应该严格地遵循相关的法律、法规，以及其他的各方认可的标准、准则等。

除此之外，IT审计师还应该体现出足够的专业精神。IT审计师应该能够对IT审计的对象范围、风险评估、IT审计的策略选择等做

出正确的判断。此外，IT审计师还必须拥有足够的技能来完成IT审计的各项工作。

4.技能与知识

这些足够的技能包括：对IT领域的各项重要标准的熟悉和了解，对审计工具的熟练操作，对信息系统的理论依据、建设方法、运行机理的了解等。

此外，IT审计师必须保持对IT领域和信息化理论的最新进展保持及时的更新。对IT审计领域的规范和标准的更新保持及时的关注。 IT审计的具体准则和详细列表如下：

·IT审计合同

·组织关系和独立性

·职业道德和专业精神

·IT审计计划

·IT审计中的重要性概念

·IT审计计划中的风险评估

·IT审计取证

·IT审计抽样

·IT审计文档

·信息系统控制

·应用系统评审

·对违规行为的审计

·信息系统内部管理的审计

·信息系统业务外包情况下的审计

·计算机辅助审计技术

·其他审计工作成果的利用

·IT审计报告

13.2.4 实施指南

IT审计的实施指南是IT审计师实施审计业务的方法指引。它对IT审计流程、人员组织形式、具体的IT审计策略、审计证据的获取、IT审计报告的编写方法、IT审计的跟踪等方面给出了策略性的指导意见。

除了对IT审计的相关标准必须熟悉之外，IT审计师必须对计算机信息系统的其他标准和规范也有比较深刻的了解和认识，这样才能使IT审计工作得以顺利实施。

13.2.5 与相关IT标准的关系

我们目前所指的IT审计标准一般是指ISACA制定的信息系统审计准则。IT审计标准是一套以管理为核心，以法律法规为保障，以技术为支撑的信息系统审计框架体系。它同时是一套规范化的管理框架，详细地描述了审计方、开发方、用户方的关系及各方的定位、权利、义务和职责等，并从标准的角度对IT审计师能力考核的限定、

IT审计机构的资质认定给予了限定。从目标上讲，IT审计标准跟着眼的目的是信息系统的安全性、稳定性、有效性。

ISO 9000是一组国际标准，和信息系统相关的标准有：ISO 9001，ISO 9000-3，ISO 9004-2和ISO 9002。

软件能力成熟度模型CMM(Capability Maturity Model for Software)是卡内其·梅隆大学完成的对一个组织软件的开发能力进行评价的模型，它侧重于对软件开发过程和开发方法论的考察。CMM是一个5级的模型。

IT审计与ISO 9000认证、软件能力成熟度模型CMM认证是三种不同的标准体系，面向不同的领域，不可以简单地互相替代。但是它们之间有共同之处，它们都着眼于质量管理。在IT审计的具体实施过程中，可以利用到ISO 9000标准和CMM模型作为具体评估的工具和手段。IT审计在对开发方的人员管理、文档管理和质量管理等方面进行审计时，可以参照ISO 9000标准和CMM的相关内容。如开发方通过ISO 9001认证或取得CMM某级别的证书等都可以作为IT审计师的评估依据。

13.2.6 ISACA

信息系统审计与控制协会(ISACA)的全称为：Information System Audit and Control Association。它创始于19xx年，当时是由从事同类职业的人所组成的小团体——计算机系统的审计和控制对他们各自机构的运作都变得愈发关键——因此他们聚集起来讨

论制定信息集中化资源和本领域指导准则和必要性。在19xx年，这个团体正式组建为EDP审计师协会。在19xx年，这个协会成立一项教育基金来开展大规模的研究工作，以拓展信息产业管理与控制领域和知识与价值。

今天，ISACA在全球有两万八千多名成员，他们的组成非常具有多元化。这些成员在100多个国家生活和工作，并涵盖众多专业信息技术的相关职业，比如信息系统审计师、顾问、教导员、信息系统安全专家、管理者、首席信息官和内部审计师等。有些职业是本领域新兴的，其他为中级管理人员，另外还有许多人担任最高级的职位。他们几乎遍及所有行业，包括财政金融、公共会计、政府与公共部门、公用事业和制造业。这种多元性使众多成员能够相互学习，并在许多专业问题上广泛交流彼此的观点。该特点一直被认为是ISACA的强势之一。

ISACA的另一个强势就是它的分会网络。ISACA的分会目前有170多个，遍布世界100多个国家，可提供成员教育、资源共享、支持、专业网络，以及其他由当地分会提供的诸多利益。

在ISACA创立30年来，已成为一个为信息管理、控制、安全和审计专业设定规范的全球性组织。它的信息系统审计和信息系统控制标准为全球执业者所遵从。它的研究工作针对那些挑战其重要原则的疑难专业事项。它的国际信息系统审计师(CISA)认证得到全球的公认，并有三万多名专业人员得到认证。它最新推出的国际信息安全经理(CISM)认证特别针对信息安全管理的审计事务。它出版了领先于信息

控制领域的技术性期刊，即《信息系统控制期刊》(Information Systems Control Journal)。它举办一系列国际性会议，并且把焦点集中于信息系统保障、控制、安全和信息技术管理专业的技术秘管理主题上。ISACA与其附属的信息技术管理机构领导着信息技术控制界，并在不断变化的国际环境下为其执业者提供信息技术专业所需的要素，保证他们得到良好的服务。

13.2.7 中国的相关标准和法律法规

中国目前尚没有明确的针对IT审计的国家标准。关于IT审计的相关信息，在《审计法实施条例》、《国务院办公厅关于利用计算机信息系统开展审计工作的有关问题的通知》(国办发[2001]88号)等文件中均有描述。目前在《中华人民共和国审计法》中尚无IT审计的相关内容。

IT审计的法律地位，是指计算机审计在审计法中的地位，法律是否认可审计机关具有进行IT审计的权利。《中华人民共和国审计法》出台时尚没有对IT审计做出规定，国家有关计算机审计的规定最初见于《审计法实施条例》。《审计法实施条例》第30条：“审计机关有权检查被审计单位运用电子计算机管理财政收支、财务收支的财务会计核算系统。被审计单位应当向审计机关提供运用电子计算机储存、处理的财政收支、财务收支电子数据以及有关资料。”这是目前审计机关开展IT审计的唯一行政法规性依据。不过，该条对IT审计的规定也仅限于对“被审计单位运用电子计算机管理财政收支、财务收支的财务会计核算系统”的检查，并没有对IT审计的整个内

涵做出描述和规范。同时，它仅是原则性的规定，在实践中也显得缺乏可操作性。按照审计法的规定，被审计单位必须要接受审计，但不接受IT审计的行为是否是不接受审计行为，目前审计法对此没有具体规定。

审计机关开展IT审计的另一项重要依据是《国务院办公厅利用计算机信息系统开展审计工作有关问题的通知》(国办发[2001]88号)。然而在该文件中关于计算机审计的内容也仅局限于“被审计单位运用计算机管理财政收支、财务收支的信息系统(计算机信息系统)”的检查，检查的重点主要在计算机信息系统是否标准、是否存在舞弊功能、系统所生成的电子数据是否真实等三个方面，对IT审计的内容已经有了比较完整的描述。但是它对IT审计手段、IT审计实施过程中必须遵循的规范、准则，以及IT审计报告的内容、形式等都没有涉及，在内容上也没有完全涵盖IT审计的整个生命周期。尽管如此，这已是我国IT审计的重大进步，至少在国务院办公厅的立法级次上有了合法性的认可。

为了更好的开展审计工作，保障IT审计的顺利进行，《审计法》应当明确确认IT审计的法律地位，确定IT审计是必要的、合法的审计方式，同时完善IT审计所必须遵循的标准、规范等，赋予审计机关和独立审计机构IT审计的职权，把IT审计纳入审计的内涵之中。相信IT审计将会在将来的审计法中得到明晰的表述。