制定或者采用權(quán)威的、公認的IT審計標準，是實現(xiàn)IT審計工作規(guī)范化、明確IT審計責任、保證IT審計質(zhì)量的可靠保障。

    目前在國際上較為流行的是美國的ISACA協(xié)會的審計標準。ISACA于1996年推出了用于”IT審計“的知識體系COBIT（Control Objectives for Information and related Technology），即信息系統(tǒng)和技術(shù)控制目標。作為IT治理的核心模型，COBIT包含34個信息技術(shù)過程控制，并歸集為4個控制域：IT規(guī)劃和組織（Planning and Organization）、系統(tǒng)獲得和實施（Acquisition and Implementation）、交付與支持（Delivery and Support），以及信息系統(tǒng)運行性能監(jiān)控（Monitoring）。目前，COBIT已成為國際公認的IT管理與控制標準。

    13.2.1 基本框架

    IT審計標準是IT審計的綱領(lǐng)性規(guī)范，它列舉了IT審計的事實過程中必須包含的審計項目。一般來說，一個IT審計標準的框架應(yīng)該包含如下三個層次。

    1. 基本準則

    規(guī)定了IT審計行為和審計報告必須達到的基本要求，是IT審計的總綱，也是制定其他相關(guān)標準、規(guī)范、準則和指南的基本依據(jù)。

    2. 具體準則

    依據(jù)基本準則制定，對如何遵循IT審計的基本標準提供了詳細規(guī)定和具體說明，是IT審計師實施審計業(yè)務(wù)、出具審計報告的具體規(guī)范。

    3. 實施指南

    依據(jù)基本準則和具體準則制定，是IT審計的操作規(guī)程和方法，為IT審計師實施審計業(yè)務(wù)提供可操作性的指導。

    IT審計標準是針對以計算機為核心的信息系統(tǒng)而制定的。其適用范圍涵蓋了信息系統(tǒng)的整個生命周期，包括可行性分析、需求分析、系統(tǒng)設(shè)計、開發(fā)、測試、運行維護等全部過程的每個環(huán)節(jié)。

    13.2.2 基本準則

    作為IT審計的總綱，IT審計基本準則指明了IT審計的基本標準和要求，我們這里摘錄了ISACA對于IT審計的基本準則的描述。

    1. 審計合同

    IT審計應(yīng)該由審計方與委托方簽署IT審計合同，信息系統(tǒng)審計職能的責任、權(quán)利和義務(wù)均應(yīng)在審計合同或聘書中有清楚的說明。

    2. 獨立性

    （1）職業(yè)獨立性

    在所有與審計相關(guān)的事物中，信息系統(tǒng)審計師均應(yīng)在態(tài)度和表現(xiàn)上與被審計單位保持獨立。

    （2）組織關(guān)系

    信息系統(tǒng)的審計職能應(yīng)與被審計領(lǐng)域保持充分獨立，以確保審計工作的客觀完成。

    3.職業(yè)道德和標準

    （1）職業(yè)道德準則

    信息系統(tǒng)審計師須嚴格遵守信息系統(tǒng)審計與控制協(xié)會頒發(fā)的職業(yè)道德準則。

    （2）敬業(yè)精神

    信息系統(tǒng)審計師在各方面的工作中，均應(yīng)具備敬業(yè)精神，并嚴格遵守相應(yīng)的職業(yè)審計標準。

    4.專業(yè)技能

    （1）技能與知識

    信息系統(tǒng)審計師必須在技術(shù)上勝任，具備從事審計工作所必需的專業(yè)技能與知識。

    （2）職業(yè)繼續(xù)教育

    信息系統(tǒng)審計師應(yīng)通過相應(yīng)的職業(yè)繼續(xù)教育來保持其技術(shù)勝任能力。

    5.規(guī)劃

    信息系統(tǒng)審計師應(yīng)就信息系統(tǒng)的審計工作做出相應(yīng)計劃，以實現(xiàn)審計目標，并遵循適用的職業(yè)審計標準。

    6.審計工作的實施

    （1）監(jiān)督

    信息系統(tǒng)審計人員應(yīng)在工作中接受適當?shù)谋O(jiān)督，以確保實現(xiàn)審計目標，并遵循職業(yè)審計標準。

    （2）證據(jù)

    在審計過程中，信息系統(tǒng)審計師應(yīng)獲取充分、可靠、相關(guān)且有用的證據(jù)，以有效地完成審計目標。審計發(fā)現(xiàn)和結(jié)論應(yīng)由以上證據(jù)的適當分析和解釋作為支持。

    （3）績效考核

    信息系統(tǒng)審計師應(yīng)建立適當?shù)目冃Э己朔绞?，以確認完成審計目標。

    7.審計報告

    信息系統(tǒng)審計師在審計工作完成后，應(yīng)向?qū)徲嫿Y(jié)果接受單位提供適當形式的審計報告。審計報告應(yīng)明確闡述審計工作的范圍、目的、涵蓋日期，以及審計工作的性質(zhì)和深度。審計報告應(yīng)明確審計對象、報告接受單位，以及對報告流通的任何限制。審計報告應(yīng)陳述審計師在審計中的發(fā)現(xiàn)、結(jié)論、建議，以及審計師的保留意見或限制等。

    8.后續(xù)工作

    信息系統(tǒng)審計師應(yīng)索取并評估上次審計中與發(fā)現(xiàn)、結(jié)論和建議有關(guān)的資料，以判定是否已及時地采取了適當?shù)暮罄m(xù)行動。

    13.2.3 具體準則

    IT審計的具體準則是對基本準則的詳細規(guī)定和具體說明，必須指出的是，這里提及的IT審計的具體準則來自于ISACA的IT審計標準。限于篇幅，不可能一一列舉ISACA的各項IT審計標準的詳細內(nèi)容。這里僅僅對審計合同、獨立性、職業(yè)道德、技能與知識4個方面的具體準則的大致內(nèi)容和范圍做一下介紹，余下的內(nèi)容在后面的章節(jié)中會有所提及。更為詳盡的內(nèi)容應(yīng)該參考ISACA的IT審計標準原文。

    1.審計合同

    IT審計合同闡述了IT審計各方的義務(wù)、權(quán)利、責任和績效度量。合同的目的是讓IT審計師在實施IT審計之前獲得明確的授權(quán)。在IT審計合同中應(yīng)該對各方的義務(wù)、權(quán)利、責任等做清楚的表述。

    IT審計合同具有法律上的約束力。根據(jù)各國情況的不同，IT審計合同的具體內(nèi)容和格式各有差異。但是一般會包含以下內(nèi)容。

    IT審計合同應(yīng)明確表述IT審計各方的義務(wù)，包括IT審計的目的、目標、任務(wù)，對審計師的要求，獨立性，主要的績效考核指標，保密性要求，預訂的工期，質(zhì)量評估標準，未完成合同時的處罰等。

    合同中還應(yīng)明確表述IT審計師的權(quán)利，包括接觸與IT審計工作相關(guān)的人員、信息、場所、系統(tǒng)的權(quán)限等，以及向高層領(lǐng)導和董事會匯報的途徑等。

    此外，合同還應(yīng)該對績效考核的具體方式、指標等做出明確的表述。

    2.獨立性

    這一部分內(nèi)容的主要目的在于闡明在IT審計的基本準則中，獨立性的具體含義。

    IT審計應(yīng)該與委托方和被審計方保持組織上的獨立。在審計過程中，IT審計師應(yīng)該站在第三方的獨立的立場上，不受委托方和被審計方的影響，以維持IT審計工作的獨立性和客觀性。

    IT審計師和審計方管理層應(yīng)該經(jīng)常對獨立性做出評估。評估應(yīng)該考慮諸如人員的變動、財務(wù)利益的變化、工作優(yōu)先級和責任等因素。IT審計師也可以采用自我評估的方法。

    關(guān)于組織關(guān)系和獨立性的原則，也應(yīng)該在IT審計合同中有明確的表述。