ISACA信息系统审计准则体系浅析

从信息系统审计的上述定义和内容，可以看出，信息系统审计除了传统审计所具有的特性外，还具有以下几个专有特点：1、审计的所有领域将全面运用现代信息技术。

这就是在审计的理论研究、实务工作、管理模式、知识构等方面都将运用现代信息技术，使技术与审计高度融通，大大提高审计的工作质量和效率。

在实务工作方面，要使审计工作面向计算机内在审计和使用计算机审计转变；审计人员不再只依赖于纸张记录的会计数据而大部分或全部依赖于磁盘、光盘等介质记录的电子数据，或直接从网络下载的子数据，诸如电子商务之类；审计底稿和审计证据及有关审计档案也全部电子化；审计工作将从定期的现场审转向实时或定时的在线网络审计，即通过网络分散和连续抽取证据进行审计。

在管理模式上，要利用现代信技术来管理责任与风险俱在的审计行业。

知识结构上，审计人员除了掌握传统审计的基本知识外，还应掌握计算知识及其应用技术、数据处理和管理技术，掌握现信息技术的应用等；不仅要会操作审计软件，而且要能根据需要编写出测试审查程序；使所审计人员都应成为完全意义上的IT审计人员。

2、信息数据安全性、可靠性是IT审计的特点。

在会计信息化条件下，企业所提供的最主要的会计信息将是各种明细信息，因此，审计的工作重点是验证信息的真实可靠性，以及审核进入外网络的明细信息的安全性。

企业内部形成的明细信息的真实可靠性如何，取决企业会计信息化系统内部控制的强弱程度，而审计人员主要工作将是证实从数据库存取信息的可靠性。

为此，应当侧重于验证机内原始凭证数据是否真实可靠，会计凭证数据库的存取是否得当，以及这些数据被不留痕迹修改的风险有多大等问题。

对于进入外部网的明细信息，必须通过对整个系统的网络进行安全控制以保证此信息的安全性。

在会计信息化条件下，必须对会计信息进行连续审计，这种审计不仅应延伸到进入企业内部网络的明细信息，而且应延伸到进入外部网络系统的详细信息。

3、计算机专家参与审计工作。

在会计信息化环境下，审计工作所面临的会计系统非常复杂，对审计人员的信息技术掌握程度要求非常高，审计人员必须充分利用计算机专家的专业能力进行审计工作。

信息系统（IS）审计的专业性和进行这类审计所需的技术，要求制定出专门适用于信息系统审计的标准。

推进全球适用的标准以实现这个目标是信息系统审计与控制协会（ISACA®）的宗旨之一。

信息系统审计标准的发展和传播是ISACA为审计业界作出专业贡献的基础。

信息系统审计标准的框架提供了多层次的指引：标准为信息系统审计和报告定义了强制性的要求。

它们宣告：– 根据ISACA职业道德规范中关于职业责任的规定，信息系统审计师的执行绩效所应达到的最低标准。

– 管理层和其他利益方对执业者在专业工作上的期待。

– 认证信息系统审计师（CISA®）资格持有人的相关特定要求。

CISA资格持有人未能遵守上述标准的可能会导致ISACA 董事会或相应ISACA委员会对其进行调查直至最终的纪律处分。

指南为信息系统审计标准的实施提供了指引。

信息系统审计师在标准的实施程序中应参考指南，同时作出职业判断，对背离标准的做法应随时提供解释。

信息系统审计指南的目标是为达到信息系统审计标准提供进一步信息。

程序为信息系统审计师提供审计项目中可以遵循的步骤范例。

程序文件提供信息系统审计工作开展中如何达到相关标准的 信息，但并非硬性规定。

信息系统审计程序的目标是为达到信息系统审计标准提供进一步信息。

C OBI T®资源应被当作最佳操作实施指南的来源。

C OBI T框架强调，“保护企业的所有资产是管理层的责任，为履行这一责任以及实现企业的期望，管理层必须建立起一套完善的内部监控体系。

” C OBI T为信息系统管理环境提供了详细的监控和监控方法。

基于特殊的C OBI T信息技术程序选择和对C OBI T信息标准的考虑来选用与特定审计范围最相关的材料。

依C OBI T框架中所定义，以下各项由IT管理程序进行组织。

C OBI T为商业及IT管理层以及信息系统审计师而计，所以它的运用有助于商业目标的理解，最佳操作实施的交流和围绕已经达成共识和广受尊重的标准参考体系的意见的形成。

信息系统审计概念及其四个国际准则精选公文范文管理资料信息系统审计概念及其四个国际准则一、引言信息系统审计(IS Audit)的概念最早出现于20世纪60年代，会计电算化的发展使得审计人员开始关注电子数据的采集、分析与处理，被人们称为EDP审计，这是信息系统审计的早期萌芽。

20世纪90年代，信息系统日益复杂，如何保障信息系统的安全、可靠和有效变得越来越重要，信息系统审计开始在美、日、澳、英等国普及起来。

2001年，国家审计署将注册信息系统审计师(CISA)考试引入我国，十余年来各行各业都开展了如火如荼的信息系统审计实践。

准则是审计工作的基本规范，信息系统审计准则是信息系统审计师共同遵循的标准，对于促进信息系统审计行业发展具有重要意义。

日本通产省 (Ministry of Economy Trade and [键入文字] [键入文字] [键入文字]精选公文范文管理资料Industry,简称METI)早在1985年就颁布了信息系统审计准则，还成立了日本系统审计师协会 (JSSA)。

美国也成立了信息系统审计与控制协会(ISACA)，制定和颁布了一系列信息系统审计准则指南，并在全球范围内应用推广。

我国审计署以实务公告形式颁布了《信息系统审计指南》，中国内部审计协会也以具体准则形式颁布了信息系统审计准则，为规范我国的信息系统审计实践提供了重要参考。

然而，由于信息系统审计的技术复杂性，以及我国信息化发展的阶段特征等客观原因，目前我国的信息系统审计理论与实务研究都尚处于百花争放时期，关于信息系统审计对象、范围和目标等基础概念的理解众口不一，更是缺少系统化的信息系统审计准则体系，严重制约了我国信息系统审计行业的发展。

二、信息系统审计概念内涵信息系统审计概念，国内外尚没有统[键入文字] [键入文字] [键入文字] 精选公文范文管理资料一定义。

美国着名学者Ron A?Weber认为，IS审计是一个获取证据，对信息系统是否能保证资产的安全，数据的完整，以及是否有效的使用了组织资源并有效地实现了组织目标做出评价和判断的过程。

浅谈信息系统审计研究信息系统审计是一种新得审计类型.国外对信息系统审计得研究非常多,国内得研究与应用在近年来也呈上升趋势.本文通过对信息系统审计得内涵、信息系统审计方法、信息系统审计过程和信息系统审计建议得阐述使读者对信息系统审计有个差不多得了解.一、信息系统审计得内涵信息系统审计得内涵与财务报表审计有较大得不同.以下通过对信息系统审计得定义、目标和类型来阐述信息系统审计得内涵.1信息系统审计得定义由于信息系统审计得进展非常快,因此对其始终没有一个通用得定义.下面分不介绍三种比较有代表性得定义.（1）日本通产省情报处理开发协会信息系统审计委员会1996年对信息系统审计定义为“为了信息系统得安全、可靠与有效,由独立于审计对象得信息系统审计师,以第三方得客观立场对以计算机为核心得信息系统进行综合得检查与评价,向信息系统审计对象得最高领导层,提出咨询题与建议得一系列活动”.该定义中强调独立性得咨询题.（2）信息系统审计领域得闻名专家威伯教授得定义（1999）是：“信息系统审计是收集并评估证据,以推断一个计算机系统是否有效做到爱护资产、维护数据完整、完成组织目标,同时最经济得使用资源”.（3）信息系统审计妨碍最大得国际组织——国际信息系统审计和操纵协会（isaca）得定义是：信息系统审计是一个猎取并评价证据,以推断计算机系统是否能够保证资产得安全、数据得完整以及有效率得利用组织得资源并有效果得实现组织目标得过程”.该定义比威伯得更详细一些.Wwwm通过对相关信息系统审计定义得分析,本文认为,所谓得信息系统审计,是指通过对被审单位得信息系统组成部分得审查来猎取和评价审计证据,由此对信息系统得安全性、可靠性、数据得完整性以及信息系统能否经济得使用组织资源并有效地实现组织目标发表审计意见.我们必须清晰得识不信息系统审计、it审计、审计工程之间得区不.一般而言,1t审计（计算机审计）包括信息系统审计和审计工程.信息系统审计得研究对象是企业得信息系统或信息资产,采纳得研究方法是传统得审计方法和计算机技术等；而审计工程得研究对象是企业得电子财务和业务数据,研究方法采纳计算机技术、系统工程方法和数学理论等.2信息系统审计得目标审计本质上是依照审计目标对收集得证据进行分析评价并得出结论得过程.一切得审计活动基本上为了实现一定得审计目标,并围绕审计目标来进行.能够讲,审计目标是审计工作得“纲”.它贯穿审计活动得各个方面和审计过程得始终.（1）真实性.信息系统中得数据要真实得反映企业得生产经营活动.要通过数字签名等一系列技术手段和保留不可更改记录、定期审计等治理手段确保数据得真实性.（2）完整性.完整性信息不被偶然或蓄意得删除、修改、伪造、乱序、重放、插入等破坏和丢失得特性.完整性是一种面向信息得安全性,它要求保持信息得原样,即信息得正确生成、存储和传输.（3）合法性.系统在购买、使用、开发、更新、维护、转移等过程中必须符合相关法律、法规、准则、行规以及企业内部得规定等.（4）安全性.安全性是指信息系统在遭受各种因素破坏得情况下,仍然能够正常运行得概率.威胁信息系统安全得因素有外部和内部两种.外部要紧是黑客得入侵、病毒得攻击、线路得侦听等；内部要紧是被授权得用户访咨询和修改、删除等操作.安全性是真实性得基础之一.（5）可靠性.可靠性是指信息系统在遭受非人因素破坏或人为差错妨碍得情况下仍然能够正常运行得概率.威胁信息系统可靠性得因素包括自然灾难对硬件和坏境得破坏以及误操作对软件和硬件得破坏等.可靠性也是真实性得基础之一闭.（6）效果和效率.效果是指应用信息系统以后,企业在生产操纵、治理质量、提供产品和服务等方面产生得变化.效率是指信息系统得应用在企业劳动生产率得提高方面所起得作用.3信息系统审计得类型依照信息系统审计得定义和审计目标,我们能够将信息系统审计分为三个差不多类型：（l）信息系统得真实性审计是对传统审计得补充,防止“错”账真审.（2）信息系统得安全性审计是对企业信息资产安全性得审核,防止由信息系统造成得经营风险.（3）信息系统得绩效审计是对信息系统投入产出比得审核.二、信息系统审计得特点信息系统审计具有其独特得特点,具体特点如下：1信息系统审计是一个过程.它是一个猎取并评价证据,以推断信息系统是否能够保证资产得安全、数据得完整以及有效率地利用组织得资源并有效果地实现组织目标得过程,它贯穿于信息系统生命周期得全过程.2信息系统审计得对象具有综合性和复杂性.信息系统审计得对象是以计算机为核心得信息系统,它包含了除财务信息以外得其他与生产经营流程有关得所有信息系统,事实上质是审计对象及内容得拓展.从纵向（生命周期）看,覆盖了信息系统从规划、分析、设计到维护得全生命周期得各种业务；从横向（信息系统构成）看,它包含对软硬件审计、应用程序审计、安全审计等.从那个意义看,信息系统审计拓展了传统审计得内涵,将审计对象从财务范畴扩展到了同经营活动有关得一切信息系统.3信息系统审计拓展了传统审计得目标.传统审计目标仅仅包括了“对被审计单位会计报表得合法性、公允性及会计处理方法得一贯性发表审计意见”,《。

国际信息系统审计准那么国际会计师联合会(IFAC )下设的国际审计实务委员会(IAPC )对计算机信息系统环境下的审计的讨论较早，先后发布了一系列的相关准那么。

到目前为止公布了六个有关计算机信息系统环境下审计内容的国际审计准那么。

它们分别就单机、联槌口数据库系统下的电子数据处理环境对会计制度和有关内部掌握的讨论和评价产生的影响作出补充规定。

现将这几个准那么法律规范的内容作一汇总介绍。

第一，《信息系统环境下的审计》。

该准那么明确了在计算机信息系统环境下审计的目的与范围，技术与力量的要求，审计方案的考虑，内部掌握讨论、评价及风险评估的影响，制定与实施审计程序应关注的方面等。

该准那么只是为在计算机信息系统环境下的审计制定一般原那么和指导，其他五个准那么或实务公告均为该准那么的补充或扩展。

当在一个计算机信息系统环境下进行审计时，审计人员应对商定方案中的计算机硬件、软件和处理系统有充分的了解，并且要了解计算机信息系统对内部掌握的讨论与评价以及对审计程序有怎样的影响，包括计算机帮助审计技术。

审计人员还应对执行审计程序的计算机信息系统处理有足够的学问，这将视所采纳的具体的审计方法而定。

其次，《风险评估和内部掌握一计算机信息系统环境特征和考虑因素》。

该实务公告为第一项准那么的补充，该公告明确了计算机信息系统环境的特征，计算机信息系统环境下内部掌握的内容及评价方法。

审计人员应收集与审计方案有关的计算机信息系统环境的资料，包括计算机信息系统的功能状况以及计算机处理的集中或分布程度、使用的计算机硬件和软件、数据重置状况等。

审计人员在编制全面方案时，应考虑以下事项：在对内部掌握的全面评价中确定对计算机信息系统掌握的可信任程度；制定关于怎样、何处与何时检查计算机信息系统功能的方案；制定关于采用计算机帮助审计技术进行的审计程序方案。

第三，《计算机信息系统环境一独立微型计算机》。

该实务公告为第一项准那么的补充，该公告明确了微型计算机系统及其特征、在微型计算机环境下的内部掌握、彳微型计算机环境对审计程序的影响等。

国际审计准则与中国注册会计师审计准则对应关系国际审计准则（International Standards on Auditing，以下简称ISA）是由国际审计与鉴证准则委员会（International Auditing and Assurance Standards Board，以下简称IAASB）颁布的全球范围的审计准则。

中国注册会计师（China Certified Public Accountant，以下简称CPA）审计准则则是由中国注册会计师协会（Chinese Institute of Certified Public Accountants，以下简称CICPA）颁布的国家范围的审计准则。

虽然ISA与CPA审计准则之间存在一定的相似性，但也存在一些差异和对应关系。

本文将就ISA与CPA审计准则之间的对应关系进行探讨。

首先，就审计准则的文字性质而言，ISA是国际性的准则，其适用范围超出了各个国家和地区的边界，而CPA审计准则是中国国家性的准则，其适用范围仅限于中国。

由于ISA的地域性较强，因此其内容更加宽泛和普遍，而CPA审计准则的内容则更加具体和详细。

其次，就审计准则的结构和目的而言，ISA主要包括一般准则、审计程序和若干审计问题的其他准则，旨在为审计师提供技术指导和标准化框架。

CPA审计准则则由《注册会计师审计准则》和《注册会计师审计报告准则》两部分组成，分别对审计报告和审计程序进行了规定。

CPA审计准则的目的是确保注册会计师在履行审计职责时具有一致的准则依据，从而提高审计工作的质量和可比性。

再次，就ISA与CPA审计准则之间的对应关系而言，可以分为四个方面进行对照和比较：一是目标和原则的对应，二是指导性要求的对应，三是审计程序的对应，四是审计报告的对应。

就目标和原则的对应而言，ISA和CPA审计准则在审计的目标和原则上基本保持一致。

例如，ISA强调了审计的公正性、审计师的独立性和对于财务报表是否真实和公正的判断，而CPA审计准则也强调了注册会计师在审计过程中的独立性和专业判断的重要性。

国际信息系统审计准则国际会计师联合会（IFAC）下设的国际审计实务委员会（IAPC）对计算机信息系统环境下的审计的研究较早，先后发布了一系列的相关准则。

到目前为止颁布了六个有关计算机信息系统环境下审计内容的国际审计准则。

它们分别就单机、联机和数据库系统下的电子数据处理环境对会计制度和有关内部控制的研究和评价产生的影响作出补充规定。

现将这几个准则规范的内容作一汇总介绍。

第一，《信息系统环境下的审计》。

该准则明确了在计算机信息系统环境下审计的目的与范围，技术与能力的要求，审计计划的考虑，内部控制研究、评价及风险评估的影响，制定与实施审计程序应关注的方面等。

该准则只是为在计算机信息系统环境下的审计制定一般原则和指导，其他五个准则或实务公告均为该准则的补充或扩展。

当在一个计算机信息系统环境下进行审计时，审计人员应当对约定计划中的计算机硬件、软件和处理系统有充分的了解，并且要了解计算机信息系统对内部控制的研究与评价以及对审计程序有怎样的影响，包括计算机辅助审计技术。

审计人员还应当对执行审计程序的计算机信息系统处理有足够的知识，这将视所采用的具体的审计方法而定。

第二，《风险评估和内部控制--计算机信息系统环境特征和考虑因素》。

该实务公告为第一项准则的补充，该公告明确了计算机信息系统环境的特征，计算机信息系统环境下内部控制的内容及评价方法。

审计人员应当收集与审计计划有关的计算机信息系统环境的资料，包括计算机信息系统的功能情况以及计算机处理的集中或分布程度、使用的计算机硬件和软件、数据重置情况等。

审计人员在编制全面计划时，应当考虑下列事项：在对内部控制的全面评价中确定对计算机信息系统控制的可信赖程度；制定关于怎样、何处与何时检查计算机信息系统功能的计划；制定关于利用计算机辅助审计技术进行的审计程序计划。

第三，《计算机信息系统环境--独立微型计算机》。

该实务公告为第一项准则的补充，该公告明确了微型计算机系统及其特征、在微型计算机环境下的内部控制、微型计算机环境对审计程序的影响等。

ISACA信息系统审计标准S1 审计章程(Audit Charter)•信息系统审计职能机构或信息系统审计任务的目的、责任、权限及职责，应在审计章程或审计业务约定书中载明。

•审计章程或审计业务约定书应得到组织中适当的管理层的同意和批准。

S2独立性职业独立性•信息系统审计师在从事审计事项时，应该在实质和形式上独立于被审计方。

组织独立性•信息系统审计职能机构应充分独立于被审计单位，以实现审计目标。

S3职业道德及准则•信息系统审计师应遵守信息系统审计及控制协会规定的职业道德准则。

•信息系统审计师应保持应有的职业审慎态度，并坚持以审计准则为执业标准。

S4专业胜任能力•担任信息系统审计工作的审计师应当具备审计工作所必须的专门技能与学识。

•信息系统审计师要通过充分且持续的职业后续教育，以保持和提高其专业胜任能力。

S5计划•信息系统审计人员应依据审计目标和相应的法律和审计准则，对信息系统审计工作编制审计计划。

•信息系统审计人员应编制基于风险的审计方法•信息系统审计人员应编制详细的审计计划，包括审计性质、目标、范围和所需的资源。

•信息系统审计人员应编制审计程序和步骤。

S6审计工作的实施•监督一信息系统审计人员应受到适当的监督，以确保实现审计目标，并遵守审计准则。

•证据在信息系统审计过程中，信息系统审计人员应当搜集充分的、可靠的、相关的和有用的证据，以有效实现审计目标。

审计师的审计发现和审计结论必须以合理的分析、利用审计证据为基础。

•审计底稿一审计过程应该有书面记录，以表明审计工作和审计证据支持信息系统审计人员的发现和结论。

S7报告•信息系统审计人员在完成审计工作后，应向委托者出具按照适当的格式编制的审计报告。

审计报告应当标明机构名称、审计报告报送对象以及报告使用限制。

•审计报告应当说明审计范围、审计目标、审计工作所涵盖的期间及所执行审计工作的性质和内容。

•审计报告应当说明审计人员执行审计工作中所发现的问题、形成的结论和建议以及审计师关于审计的任何保留意见。

ISACA信息系统审计准则体系浅析［摘要］鉴于ISACA颁布的信息系统审计准则的权威性和代表性，本文指出ISA准则体系中标准、指南和程序3个层次的结构关系及标准与指南之间的交叉关联，并总结出最新的、有效的ISA相关准则，以便更深刻地认识ISA准则。

［关键词］ ISACA；ISA准则；标准；指南；程序［中图分类号］F239．１［文献标识码］A［文章编号］1673-0194（2007）03-0069-03国际上信息系统审计（ISA）的概念起始于20世纪60年代，纸质会计凭证的电子化使得审计人员在开展传统审计业务的过程中不得不关注电子数据的取得、分析、计算等数据处理业务。

那时人们开始称这种审计为计算机审计（Computer Audit）或电子数据处理审计（EDP审计）。

20世纪90年代以来，信息系统日趋复杂，网络技术得到广泛应用，如何确保网络平台上的信息系统的安全、可靠和有效变得越来越重要，在发达国家ISA逐渐普及起来，人们对ISA准则的作用更加重视。

在制定ISA准则，开展ISA研究方面，美国走在了前面。

早在计算机进入实用阶段时，美国就开始提出系统审计（System Audit）。

1969年在洛杉矶成立了电子数据处理审计师协会（EDPAA），1994年该协会更名为信息系统审计与控制协会（Information System Audit and Control Association，ISACA），总部设在美国芝加哥，目前已经在世界上140多个国家设立了200多个分会，现有会员5万多人。

ISACA是从事信息系统审计的专业人员唯一的国际性组织，它通过制定和颁布ISA标准、实务指南等专业准则来规范和指导CISA的工作；它还设立了信息系统审计与控制基金会，从事相关领域的研究工作，以使该组织的成员能够分享其最新研究成果；通过在世界各地举办各种形式的研讨会、培训班等活动，增进国际间同业人员的交流。

ISACA还在许多国家举行一年一度的注册信息系统审计师（Certified Information System Auditor，CISA）考试，考试合格并获得执业资格者可在全球范围内开展ISA工作。

isa和csa会计准则
ISA和CSA都是国际上通用的会计准则。

ISA，即国际审计准则，是由由国际审计和保证准则委员会（IAASB）制定的。

ISA的主要目的是规范审计的工作程序，并确保审计工作的执行质量，提高审计工作的标准和合法性。

ISA的适用范围涵盖所有形式的金融报表审核，包括公共公司、私营公司、政府机构、非营利组织等。

CSA，即中国注册会计师协会（The Chinese Institute of Certified Public Accountants，CICPA）会计准则，是由中国注册会计师协会
颁布和实施的。

CSA的主要目的是规范会计上的会计制度、会计法律
和规则，以及会计信息的处理，以确保会计信息的真实、准确、完整
和合法，保护利益相关者的合法权益。

尽管ISA是一个国际上通用的标准，但是在中国，ISA的使用有一定
的局限性。

因为ISA是面向全球范围内的审计工作而制定的，对一些
中国本土特殊情况的处理方式不一定符合中国国情。

因此，在中国，CICPA研究和制定的CSA更符合本土特色，更加适应中国的实际情况。

如果一个中国公司想在国际上进行业务，那么该公司需要依据ISA进
行审计，并提交符合ISA要求的金融报表。

目前，中国的注册会计师资格考试也将ISA的知识作为考试内容，以确保中国的审计人员能够熟练掌握ISA的规定。

总之，ISA和CSA是国际上通用的会计准则，它们都是为了确保会计行业的规范化和合法化而制定的。

虽然在一些地区会出现ISA在当地实施局限性的情况，但是这并不影响ISA的全球通用性。

而对于一些特殊的情况，本土制定的会计准则更加符合当地特色和实际需求。