在這一節中，我們將介紹在IT審計的實施流程、組織形式等過程中應當遵循的一些標準和準則。我們在前面的13.1提到，IT審計是獨立的IT審計師承受客觀的標準對以計算機為核心的信息系統的整個生命周期內的相關的活動和產物進展完整、有效的檢查和評估的過程。那么，為了保證審計結果的客觀性和權威性，IT審計師必需承受一套公認的、權威的審計標準，作為實施ITIT審計標準，是實現IT審計工作標準化、明確ITIT目前在國際上較為流行的是美國的ISACA協會的審計標準。ISACA1996“IT審計”的學問體系COBIT(ControlObjectivesforInformationandrelatedTechnolog即信息系統和技術掌握目標。作為IT治理的核心模型，COBIT34個信息技術過程掌握，并歸集為4IT(PlanningandOrganization(AcquisitionandImplementation)、交付與支持(DeliveryandSupport)，以及信息系統運行性能監控(MonitoringCOBITIT根本框架IT審計標準是IT審計的綱領性標準，它列舉了IT審計的事實過程中必需包含的審計工程。一般來說，一個IT審計標準的框架應當包含如下三個層次。根本準則規定了IT審計行為和審計報告必需到達的根本要求IT審計的總綱，也是制定其他相關標準、標準、準則和指南的根本依據。具體準則依據根本準則制定，對如何遵循IT審計的根本標準供給了具體規定和具體說明，是IT審計師實施審計業務、出具審計報告的具體標準。實施指南依據根本準則和具體準則制定，是IT審計的操作規程和方法，ITIT審計標準是針對以計算機為核心的信息系統而制定的。其適用范圍涵蓋了信息系統的整個生命周期系統設計、開發、測試、運行維護等全部過程的每個環節。根本準則作為ITIT審計根本準則指明白IT審計的根本標準和要求，我們這里摘錄了ISACA對于IT審計的根本準則的描述。審計合同IT審計應當由審計方與托付方簽署IT審計合同，信息系統審計職能的責任、權利和義務均應在審計合同或聘書中有清楚的說明。獨立性職業獨立性上與被審計單位保持獨立。組織關系信息系統的審計職能應與被審計領域保持充分獨立工作的客觀完成。(1)職業道德準則信息系統審計師須嚴格遵守信息系統審計與掌握協會頒發的職業道德準則。(2)敬業精神遵守相應的職業審計標準。專業技能信息系統審計師必需在技術上勝任專業技能與學問。(2)職業連續教育信息系統審計師應通過相應的職業連續教育來保持其技術勝任力量。規劃信息系統審計師應就信息系統的審計工作做出相應打算審計目標，并遵循適用的職業審計標準。(1)監視信息系統審計人員應在工作中承受適當的監視目標，并遵循職業審計標準。證據在審計過程中，信息系統審計師應獵取充分當分析和解釋作為支持。績效考核信息系統審計師應建立適當的績效考核方式標。審計報告信息系統審計師在審計工作完成后適當形式的審計報告。審計報告應明確闡述審計工作的范圍、目的、涵蓋日期，以及審計工作的性質和深度。審計報告應明確審計對象、在審計中的覺察、結論、建議，以及審計師的保存意見或限制等。后續工作信息系統審計師應索取并評估上次審計中與覺察關的資料，以判定是否已準時地實行了適當的后續行動。具體準則IT審計的具體準則是對根本準則的具體規定和具體說明，必需IT審計的具體準則來自于ISACA的IT審計標準。限于篇幅，不行能一一列舉ISACA的各項IT審計標準的具體內容。這里僅僅對審計合同、獨立性、職業道德、技能與學問4個方面的具體準則的大致內容和范圍做一下介紹ISACA的IT審計標準原文。審計合同IT審計合同闡述了IT審計各方的義務合同的目的是讓IT審計師在實施IT審計之前獲得明確的授權。在IT審計合同中應當對各方的義務、權利、責任等做清楚的表述。ITIT計合同的具體內容和格式各有差異。但是一般會包含以下內容。IT審計合同應明確表述IT審計各方的義務，包括IT審計的目的、目標、任務，對審計師的要求，獨立性，主要的績效考核指標，保密性要求，預訂的工期，質量評估標準，未完成合同時的懲罰等。合同中還應明確表述ITIT審計工作相關的人員、信息、場所、系統的權限等，以及向高層領導和董事會匯報的途徑等。述。獨立性這一局部內容的主要目的在于說明在IT審計的根本準則中，獨立性的具體含義。IT審計應當與托付方和被審計方保持組織上的獨立。在審計過程中，IT審計師應當站在第三方的獨立的立場上，不受托付方和被審計方的影響，以維持ITIT審計師和審計方治理層應當常常對獨立性做出評估。評估應該考慮諸如人員的變動IT關于組織關系和獨立性的原則，也應當在IT審計合同中有明確的表述。職業道德和專業精神IT審計師應當支持IT審計標準、準則，以及信息系統相關的標準的建立，并在審計工作中嚴格、自覺地遵守這些制度。IT審計師在執行IT審計的工作中則等。除此之外，ITIT審計師應當能夠對ITIT審計的策略選擇等做出正確的推斷。此外，IT審計師還必需擁有足夠的技能來完成IT審計的各項工作。技能與學問IT領域的各項重要標準的生疏和了解，對審計工具的嫻熟操作，對信息系統的理論依據理的了解等。此外，IT審計師必需保持對IT領域和信息化理論的最進展保持IT審計領域的標準和標準的更保持準時的關注。IT·IT·組織關系和獨立性·職業道德和專業精神·IT·IT·IT·IT審計取證·IT審計抽樣·IT審計文檔·信息系統掌握·應用系統評審·對違規行為的審計·信息系統內部治理的審計·信息系統業務外包狀況下的審計·計算機關心審計技術·其他審計工作成果的利用·IT實施指南IT審計的實施指南是ITITITIT審計報告的編寫方法、IT審計的跟蹤等方面給出了策略性的指導意見。除了對IT審計的相關標準必需生疏之外，IT審計師必需對計算機信息系統的其他標準和標準也有比較深刻的了解和生疏IT與相關IT標準的關系我們目前所指的IT審計標準一般是指ISACA制定的信息系統審計準則。IT審計標準是一套以治理為核心，以法律法規為保障，以技術為支撐的信息系統審計框架體系架，具體地描述了審計方、開發方、用戶方的關系及各方的定位、權利、義務和職責等，并從標準的角度對IT審計師力量考核的限定、IT審計標準跟著眼的目的是信息系統的安全性、穩定性、有效性。ISO9000是一組國際標準ISOISO9000-3，ISO9004-2ISO9002。軟件力量成熟度模型CMM(CapabilityMaturityModelforSoftware)是卡內其·梅隆大學完成的對一個組織軟件的開發力量進CMM5IT審計與ISO9000認證、軟件力量成熟度模型CMM們之間有共同之處，它們都著眼于質量治理。在IT審計的具體實施過程中，可以利用到ISO9000標準和CMM手段。IT審計在對開發方的人員治理、文檔治理和質量治理等方面進展審計時，可以參照ISO9000標準和CMM過ISO9001認證或取得CMM某級別的證書等都可以作為IT師的評估依據。ISACA(ISACA)的全稱為：InformationSystemAuditandControlAssociation。它創始于1967是由從事同類職業的人所組成的小團體——計算機系統的審計和控制對他們各自機構的運作都變得愈發關鍵——因此他們聚攏起來討1969年，這個團體正式組建為EDP審計師協會。在1976年，這個協會成立一項教育基金來開展大規模的爭論工作和學問與價值。今日，ISACA在全球有兩萬八千多名成員，他們的組成格外具有多100技術的相關職業，比方信息系統審計師、參謀、教育員全興們幾乎普及全部行業，包括財政金融、公共會計、政府與公共部門、公專ISACA的強勢之一。ISACA的另一個強勢就是它的分會網絡ISACA的分會目前有170多個，遍布世界100多個國家，可供給成員教育、資源共享、支持、專業網絡，以及其他由當地分會供給的諸多利益。在ISACA創立30年來，已成為一個為信息治理、掌握、安全和審疑(CISA)認證得到全球的公認，并有三萬多名專業人員得到認證。它最推出的國際信息安全經理(CISM)認證特別針對信息安全治理的審計事務(InformationSystemsControlJournal)。它舉辦一系列國際性會議，并且把焦點集主ISACA與其附屬的信息技術治理機構領導著信息技術掌握界，并在不斷變化的國際環境下為其執業者供給信息技術專業所需的要素，保證他們得到良好的效勞。中國的相關標準和法律法規中國目前尚沒有明確的針對ITIT審計的相關信息，在《審計法實施條例》[2023]88號)等文IT審計的相關內容。IT審計的法律地位，是指計算機審計在審計法中的地位，法律是否認可審計機關具有進展IT審計的權利?！吨腥A人民共和國審計法》出臺時尚沒有對IT審計做出規定，國家有關計算機審計的規定30條：“審計機關有權檢查被審計單位運用電子計算機治理財政收支機前審計機關開展ITIT審計的規定也僅限于對“被審計單位運用電子計算機治理財政收支、財務收支的財務會計核算系統”的檢查，并沒有對IT審計的整個內涵做出描述和標準。同時，它僅是原則性的規定乏可操作性。依據審計法的規定，被審計單位必需要承受審計承受IT審計的行為是否是不承受審計行為，目前審計法對此沒有具體規定。審計機關開展IT審計的另一項重要依據是《國務院辦公廳利用計算機信息系統開展審計工作有關問題的通知[2023]88號)。然而在該文件中關于計算機審計的內容也僅局限于“被審計單位運用能、系統所生成的電子數據