IT審計(jì)準(zhǔn)則、手冊(cè)、工具的配備

 

　　為了有效地實(shí)施IT審計(jì)，國(guó)際上成立了信息系統(tǒng)審計(jì)與控制協(xié)會(huì)ISACA（Information System Audit and Control Association），由該組織制定和頒布IT審計(jì)準(zhǔn)則、實(shí)務(wù)指南等，來(lái)規(guī)范與指導(dǎo)IT審計(jì)師的工作，并開(kāi)發(fā)了各種各樣的工具。各IT審計(jì)組織要充分考慮IT審計(jì)對(duì)象的規(guī)模、特性、IT審計(jì)人員的知識(shí)、經(jīng)驗(yàn)程度及工具所具有的特性，同時(shí)考慮一定的投入，并引入或開(kāi)發(fā)各種工具與環(huán)境。如沒(méi)有手冊(cè)、工具等的配合，要真正實(shí)施IT審計(jì)是困難的。

 

　　IT審計(jì)準(zhǔn)則是實(shí)施IT審計(jì)的總綱，是IT審計(jì)和審計(jì)報(bào)告規(guī)定必須達(dá)到的基本要求，是實(shí)施IT審計(jì)業(yè)務(wù)、出具IT審計(jì)報(bào)告的具體規(guī)范。

 

　　IT審計(jì)手冊(cè)，是實(shí)施IT審計(jì)時(shí)必要的基本工具，是覆蓋IT審計(jì)從計(jì)劃、實(shí)施到報(bào)告各階段可參照的詳細(xì)的工具書(shū)。如要提高IT審計(jì)效率，保證IT審計(jì)的質(zhì)量，這些都是非常重要的。

 

　　IT審計(jì)手冊(cè)中，應(yīng)考慮以下內(nèi)容：

 

　?。?）IT審計(jì)部門(mén)各崗位的職責(zé)、權(quán)限及內(nèi)容。

 

　?。?）IT審計(jì)對(duì)象的領(lǐng)域及IT審計(jì)實(shí)施參照的標(biāo)準(zhǔn)。

 

　　（3）各主要IT審計(jì)領(lǐng)域的詳細(xì)的審計(jì)目的及IT審計(jì)順序。

 

　　（4）IT審計(jì)工具的利用順序及注意事項(xiàng)。

 

　?。?）IT審計(jì)計(jì)劃中應(yīng)記載事項(xiàng)及時(shí)間。

 

　?。?）IT審計(jì)報(bào)告的制作順序，包括要記載的事項(xiàng)、格式和時(shí)間。

 

　?。?）相關(guān)部門(mén)的調(diào)整事項(xiàng)及順序。

 

　?。?）IT審計(jì)師的必要資格及教育培訓(xùn)。

 

　　另外，IT審計(jì)實(shí)施表的開(kāi)發(fā)，通用審計(jì)軟件包的準(zhǔn)備，審計(jì)工具的購(gòu)買(mǎi)等都需要費(fèi)用。因此，企業(yè)經(jīng)營(yíng)者在實(shí)施IT審計(jì)時(shí)，要考慮到這些。表1.3 列出了要準(zhǔn)備的IT審計(jì)準(zhǔn)則、手冊(cè)與工具等。

 

　　IT審計(jì)準(zhǔn)則、手冊(cè)與工具

 

　?。?）IT審計(jì)準(zhǔn)則、IT審計(jì)手冊(cè)

 

　　·IT審計(jì)的基本方針，業(yè)務(wù)范圍

 

　　·IT審計(jì)人員的任務(wù)、權(quán)限、職責(zé)和組織

 

　　·IT審計(jì)計(jì)劃、IT審計(jì)順序和IT審計(jì)報(bào)告

 

　　（2）業(yè)務(wù)規(guī)則、確認(rèn)規(guī)則和安全政策等

 

　　·業(yè)務(wù)規(guī)則和確認(rèn)規(guī)則等

 

　　·安全政策

 

　　·各種標(biāo)準(zhǔn)過(guò)程和業(yè)務(wù)手冊(cè)等

 

　　（3）IT審計(jì)順序和IT審計(jì)實(shí)施表

 

　　·標(biāo)準(zhǔn)IT審計(jì)順序

 

　　·內(nèi)部審計(jì)評(píng)價(jià)表

 

　　·安全檢查實(shí)施表等

 

　?。?）IT審計(jì)用的工具軟件

 

　　·通用IT審計(jì)程序

 

　　·組入審計(jì)模塊

 

　　·業(yè)務(wù)管理的程序等

 

　　相關(guān)部門(mén)的關(guān)系

 

　　內(nèi)部審計(jì)、外部審計(jì)與行政審計(jì)的關(guān)系可知，對(duì)于同一信息系統(tǒng)，為了確保系統(tǒng)的安全、可靠與有效，內(nèi)部審計(jì)與外部審計(jì)是站在不同的角度，為同一目標(biāo)而進(jìn)行審計(jì)。因此，內(nèi)部審計(jì)師、外部審計(jì)師及系統(tǒng)部門(mén)、用戶部門(mén)等要協(xié)調(diào)好各方的關(guān)系，明確職責(zé)，找出系統(tǒng)的問(wèn)題。本節(jié)主要介紹與此相關(guān)的各部門(mén)的關(guān)系。

 

　　IT審計(jì)與系統(tǒng)部門(mén)的關(guān)系

 

　　IT審計(jì)人員在執(zhí)行IT審計(jì)的過(guò)程中與系統(tǒng)部門(mén)接觸十分頻繁。特別是系統(tǒng)開(kāi)發(fā)階段，IT審計(jì)需要與之長(zhǎng)期的協(xié)調(diào)。為實(shí)施IT審計(jì)，IT審計(jì)人員難免要使用計(jì)算機(jī)來(lái)輔助實(shí)施，此時(shí)也需要系統(tǒng)部門(mén)的協(xié)助。因此，系統(tǒng)部門(mén)要正確理解IT審計(jì)人員的工作性質(zhì)、權(quán)限與職責(zé)，處理好兩者之間的關(guān)系。特別是計(jì)算機(jī)的使用等，事先都要協(xié)調(diào)好。IT審計(jì)用的程序，原則上由IT審計(jì)人員執(zhí)行，不能依靠系統(tǒng)部門(mén)，IT審計(jì)人員要處理好各種關(guān)系并找出問(wèn)題根源。

 

　　IT審計(jì)與用戶部門(mén)的關(guān)系

 

　　信息系統(tǒng)是由用戶部門(mén)使用與維護(hù)的。系統(tǒng)部門(mén)提供信息處理系統(tǒng)，由用戶實(shí)施。因此，對(duì)系統(tǒng)整體進(jìn)行IT審計(jì)時(shí)，IT審計(jì)人員要協(xié)調(diào)好用戶部門(mén)與系統(tǒng)部門(mén)的關(guān)系，明確各方的職責(zé)，找出問(wèn)題所在。

 

　　內(nèi)部審計(jì)與外部審計(jì)的關(guān)系

 

　　IT內(nèi)部審計(jì)是企業(yè)內(nèi)部的審計(jì)活動(dòng)，是對(duì)信息系統(tǒng)功能實(shí)現(xiàn)的內(nèi)部控制，也可看成是系統(tǒng)的組成部分，或是內(nèi)部的系統(tǒng)質(zhì)量控制。沒(méi)有內(nèi)部IT審計(jì)，要保證系統(tǒng)所有功能的實(shí)現(xiàn)是困難的。而外部IT審計(jì)是對(duì)內(nèi)部IT審計(jì)的檢查與評(píng)價(jià)，是對(duì)其有效性進(jìn)行的判斷?？梢哉f(shuō)外部審計(jì)是對(duì)內(nèi)部質(zhì)量控制的再控制。從保障信息系統(tǒng)的安全、可靠與有效的角度看，內(nèi)部IT審計(jì)與外部IT審計(jì)是一致的，但外部審計(jì)是對(duì)內(nèi)部審計(jì)的再檢查與再評(píng)價(jià)。外部IT審計(jì)師在實(shí)施IT審計(jì)過(guò)程中與內(nèi)部IT審計(jì)師接觸十分頻繁，要處理好關(guān)系，找出問(wèn)題根源，并要保持各自的獨(dú)立性。