论文部分内容阅读
[摘 要] 鉴于ISACA颁布的信息系统审计准则的权威性和代表性,本文指出ISA准则体系中标准、指南和程序3个层次的结构关系及标准与指南之间的交叉关联,并总结出最新的、有效的ISA相关准则,以便更深刻地认识ISA准则。
[关键词] ISACA;ISA准则;标准;指南;程序
[中图分类号]F239.1[文献标识码]A[文章编号]1673-0194(2007)03-0069-03
国际上信息系统审计(ISA)的概念起始于20世纪60年代,纸质会计凭证的电子化使得审计人员在开展传统审计业务的过程中不得不关注电子数据的取得、分析、计算等数据处理业务。那时人们开始称这种审计为计算机审计(Computer Audit)或电子数据处理审计(EDP审计)。20世纪90年代以来,信息系统日趋复杂,网络技术得到广泛应用,如何确保网络平台上的信息系统的安全、可靠和有效变得越来越重要,在发达国家ISA逐渐普及起来,人们对ISA准则的作用更加重视。
在制定ISA准则,开展ISA研究方面,美国走在了前面。早在计算机进入实用阶段时,美国就开始提出系统审计(System Audit)。1969年在洛杉矶成立了电子数据处理审计师协会(EDPAA),1994年该协会更名为信息系统审计与控制协会(Information System Audit and Control Association,ISACA),总部设在美国芝加哥,目前已经在世界上140多个国家设立了200多个分会,现有会员5万多人。ISACA是从事信息系统审计的专业人员唯一的国际性组织,它通过制定和颁布ISA标准、实务指南等专业准则来规范和指导CISA的工作;它还设立了信息系统审计与控制基金会,从事相关领域的研究工作,以使该组织的成员能够分享其最新研究成果;通过在世界各地举办各种形式的研讨会、培训班等活动,增进国际间同业人员的交流。ISACA还在许多国家举行一年一度的注册信息系统审计师(Certified Information System Auditor,CISA)考试,考试合格并获得执业资格者可在全球范围内开展ISA工作。
信息系统审计准则是由ISACA协会下的准则部(Standard Board)制定的,准则部成员每年通过选举产生,任期一年,负责制定相关的标准、程序等。在准则发布之前一般先予以公开,广泛征求意见,修改之后再发布生效。ISA准则随着环境的改变而不断推出新的内容,以适应各个时期社会的要求和有关团体的要求,保证在新的环境下ISA的质量。
ISACA的信息系统审计准则由ISA标准、指南和程序(Standards,Guidelines and Procedures)构成,此框架为CISA执业提供了多层次的指引,ISACA信息系统审计体系如图1所示。
第二层次:信息系统审计指南。ISA指南是依据ISA标准制定的,是ISA标准的具体化,为ISA准则体系中11大类标准的实施提供了指引,图1中虚线箭头反映了此关系。它详细规定了CISA实施审计业务、出具审计报告的具体指引,为CISA在执行审计业务中如何遵守审计准则提供指导。CISA在执业过程中参考这些指南时要运用职业判断,对任何偏离ISA标准的行为一定要有充分的理由。到目前为止有效的ISA指南共有35项,如表2所示。
如图1所示,ISA标准中的11大类可以分为4个部分:审计章程或审计业务约定书;对审计师职业资格的要求,包括独立性、职业道德和职业能力的要求;从计划、实施、报告到跟踪这4个审计过程;其他,包括不正当及非法行为、信息系统管理、审计计划中风险评估的利用。随着信息系统的广泛使用与网络技术的飞速发展,ISACA不断更新和推出符合信息环境的ISA指南,现已生效的就有35项,还有一批计划提出的和计划准备将来提出的指南在广泛征求意见。作为ISA标准的详细规定和具体说明,ISA指南的更新赋予了ISA标准新的内涵和外延,按生效排序的ISA指南与ISA标准之间的交叉关联如表4所示。
ISACA的信息系统审计准则体系提供了一套规范化、专业化的管理框架,规定了CISA的能力考核、ISA机构的资质认定,指明了审计方、开发方、用户方的关系及各方的定位、权利、义务和职责,提供了覆盖信息系统全生命周期、可供CISA参照的实施ISA的标准和依据等。CISA按审计准则开展ISA业务,对信息系统进行检查和评价,提出劝告与改进意见,有效地控制与信息系统有关的风险,指导用户最大限度地利用信息技术带来的好处。
主要参考文献
[1] Information Systems Audit and Control Association. IS Auditing Standards, Guidelines and Procedures. 2006.
[关键词] ISACA;ISA准则;标准;指南;程序
[中图分类号]F239.1[文献标识码]A[文章编号]1673-0194(2007)03-0069-03
国际上信息系统审计(ISA)的概念起始于20世纪60年代,纸质会计凭证的电子化使得审计人员在开展传统审计业务的过程中不得不关注电子数据的取得、分析、计算等数据处理业务。那时人们开始称这种审计为计算机审计(Computer Audit)或电子数据处理审计(EDP审计)。20世纪90年代以来,信息系统日趋复杂,网络技术得到广泛应用,如何确保网络平台上的信息系统的安全、可靠和有效变得越来越重要,在发达国家ISA逐渐普及起来,人们对ISA准则的作用更加重视。
在制定ISA准则,开展ISA研究方面,美国走在了前面。早在计算机进入实用阶段时,美国就开始提出系统审计(System Audit)。1969年在洛杉矶成立了电子数据处理审计师协会(EDPAA),1994年该协会更名为信息系统审计与控制协会(Information System Audit and Control Association,ISACA),总部设在美国芝加哥,目前已经在世界上140多个国家设立了200多个分会,现有会员5万多人。ISACA是从事信息系统审计的专业人员唯一的国际性组织,它通过制定和颁布ISA标准、实务指南等专业准则来规范和指导CISA的工作;它还设立了信息系统审计与控制基金会,从事相关领域的研究工作,以使该组织的成员能够分享其最新研究成果;通过在世界各地举办各种形式的研讨会、培训班等活动,增进国际间同业人员的交流。ISACA还在许多国家举行一年一度的注册信息系统审计师(Certified Information System Auditor,CISA)考试,考试合格并获得执业资格者可在全球范围内开展ISA工作。
信息系统审计准则是由ISACA协会下的准则部(Standard Board)制定的,准则部成员每年通过选举产生,任期一年,负责制定相关的标准、程序等。在准则发布之前一般先予以公开,广泛征求意见,修改之后再发布生效。ISA准则随着环境的改变而不断推出新的内容,以适应各个时期社会的要求和有关团体的要求,保证在新的环境下ISA的质量。
ISACA的信息系统审计准则由ISA标准、指南和程序(Standards,Guidelines and Procedures)构成,此框架为CISA执业提供了多层次的指引,ISACA信息系统审计体系如图1所示。
第二层次:信息系统审计指南。ISA指南是依据ISA标准制定的,是ISA标准的具体化,为ISA准则体系中11大类标准的实施提供了指引,图1中虚线箭头反映了此关系。它详细规定了CISA实施审计业务、出具审计报告的具体指引,为CISA在执行审计业务中如何遵守审计准则提供指导。CISA在执业过程中参考这些指南时要运用职业判断,对任何偏离ISA标准的行为一定要有充分的理由。到目前为止有效的ISA指南共有35项,如表2所示。
如图1所示,ISA标准中的11大类可以分为4个部分:审计章程或审计业务约定书;对审计师职业资格的要求,包括独立性、职业道德和职业能力的要求;从计划、实施、报告到跟踪这4个审计过程;其他,包括不正当及非法行为、信息系统管理、审计计划中风险评估的利用。随着信息系统的广泛使用与网络技术的飞速发展,ISACA不断更新和推出符合信息环境的ISA指南,现已生效的就有35项,还有一批计划提出的和计划准备将来提出的指南在广泛征求意见。作为ISA标准的详细规定和具体说明,ISA指南的更新赋予了ISA标准新的内涵和外延,按生效排序的ISA指南与ISA标准之间的交叉关联如表4所示。
ISACA的信息系统审计准则体系提供了一套规范化、专业化的管理框架,规定了CISA的能力考核、ISA机构的资质认定,指明了审计方、开发方、用户方的关系及各方的定位、权利、义务和职责,提供了覆盖信息系统全生命周期、可供CISA参照的实施ISA的标准和依据等。CISA按审计准则开展ISA业务,对信息系统进行检查和评价,提出劝告与改进意见,有效地控制与信息系统有关的风险,指导用户最大限度地利用信息技术带来的好处。
主要参考文献
[1] Information Systems Audit and Control Association. IS Auditing Standards, Guidelines and Procedures. 2006.