《国际审计准则》书评

这本书过期了

这本书过期了，ISACA的信息系统审计准则由信息系统审计(ISA)标准、指南和程序（Standards，Guidelines and Procedures）构成，此框架为CISA执业提供了多层次的指引，ISACA信息系统审计体系如图1示。 　　 　　第一层次：信息系统审计 (ISA)标准。ISA标准是整个ISA准则体系的总纲，是制定ISA指南和ISA程序的基础依据。它规定了审计章程及审计过程（从计划、实施、报告到跟踪）必须达到的基本要求，是CISA的资格条件、执业行为的基本规范，表明了管理层和其他利益方对执业者在专业工作上的期待。最新的ISA标准分为11大类，共43条，分别于2005年1月、9月和11月起实施（表1）。只要是CISA执行审计业务，出具审计报告，都必须遵守执行，具有强制性。如果CISA未能遵守执行，ISACA董事会和相应委员会将会对其进行调查并给予纪律处分。第一层次：信息系统审计标准。ISA标准是整个ISA准则体系的总纲，是制定ISA指南和ISA程序的基础依据。它规定了审计章程及审计过程（从计划、实施、报告到跟踪）必须达到的基本要求，是CISA的资格条件、执业行为的基本规范，表明了管理层和其他利益方对执业者在专业工作上的期待。最新的ISA标准分为11大类，共43条，分别于2005年1月、9月和11月起实施（表1）。只要是CISA执行审计业务，出具审计报告，都必须遵守执行，具有强制性。如果CISA未能遵守执行，ISACA董事会和相应委员会将会对其进行调查并给予纪律处分。 　　 　　第二层次：信息系统审计指南。ISA指南是依据ISA标准制定的，是ISA标准的具体化，为ISA准则体系中11大类标准的实施提供了指引，图1中虚线箭头反映了此关系。它详细规定了CISA实施审计业务、出具审计报告的具体指引，为CISA在执行审计业务中如何遵守审计准则提供指导。CISA在执业过程中参考这些指南时要运用职业判断，对任何偏离ISA标准的行为一定要有充分的理由。到目前为止有效的ISA指南共有35项，如表2所示。 　　 　　第三层次：信息系统审计程序。ISA程序是依据ISA标准和ISA指南制定的。它为CISA提供了一般审计业务（尤其是审计计划和审计实施阶段业务）的程序和步骤，是遵守标准和指南的一些通常审计程序，它为CISA提供了很好的工作范例。但这仅是CISA的一个参照而已，它所提供的只是CISA在审计时能满足审计准则要求的通常做法，并不要求强制执行。CISA在执行具体的审计业务时，要根据特定的信息系统和特定的技术环境做出自己的职业判断，选择适当的审计程序。到目前为止有效的ISA程序共有9项，如表3所示。 　　如图1所示，ISA标准中的11大类可以分为4个部分：审计章程或审计业务约定书；对审计师职业资格的要求，包括独立性、职业道德和职业能力的要求；从计划、实施、报告到跟踪这4个审计过程；其他，包括不正当及非法行为、信息系统管理、审计计划中风险评估的利用。随着信息系统的广泛使用与网络技术的飞速发展，ISACA不断更新和推出符合信息环境的ISA指南，现已生效的就有35项，还有一批计划提出的和计划准备将来提出的指南在广泛征求意见。作为ISA标准的详细规定和具体说明，ISA指南的更新赋予了ISA标准新的内涵和外延，按生效排序的ISA指南与ISA标准之间的交叉关联如表4所示。 　　 　　ISACA的信息系统审计准则体系提供了一套规范化、专业化的管理框架，规定了CISA的能力考核、ISA机构的资质认定，指明了审计方、开发方、用户方的关系及各方的定位、权利、义务和职责，提供了覆盖信息系统全生命周期、可供CISA参照的实施ISA的标准和依据等。CISA按审计准则开展ISA业务，对信息系统进行检查和评价，提出劝告与改进意见，有效地控制与信息系统有关的风险，指导用户最大限度地利用信息技术带来的好处。