国际信息体系审计与节制协会根基原则阐发论文

相干保举

　　审计标准的完美水平能够反应一个国度审计现实研讨的进步前辈水平，这对信息体系审计原则也一样合用。自2008年中国外部审计协会颁发《外部审计详细原则第28号---信息体系审计》以来，我国信息体系审计原则的拟定根基上处于障碍阶段。在信息体系审计原则的拟定方面，仅仅是在2013将内审28号原则点窜成《第2203号外部审计详细原则---信息体系审计》，内容不停止大的点窜。上述景象的呈现，笔者以为同信息体系审计根基原则的缺失息息相干。根基原则是审计指南和审计法式拟定的根本，是原则的原则，根基原则的好坏间接干系着审计原则体系的完美。到今朝为止，我国信息体系审计原则体系依托的根基原则首要是财政审计的根基原则，属于财政审计原则拟定的从属品，与信息体系审计相干的原则都零散地散落于注册管帐师审计原则、当局审计原则和外部审计原则中，不构成一套逻辑周密的信息体系审计原则体系。是以，本文拟对国际信息体系审计与节制协会（InformationSystems Audit and Control Association，以下简称ISACA）的根基原则停止阐发息争读，提出我国信息体系审计根基原则拟定与完美的思绪与政策倡议。

国际信息体系审计与节制协会根基原则阐发论文

　　一、ISACA信息体系审计根基原则近况

　　ISACA首要致立于信息体系审计原则的拟定与宣布使命，停止2013年12月，ISACA 共宣布了16项根基原则、41项审计指南和11项功课法式，这些标准条理清楚，可操纵性强。ISACA的信息体系审计原则体系近似于注册管帐师审计原则体系，ISACA的信息体系审计原则体系由根基原则、审计指南和功课法式构成，此框架为信息体系审计职员执业供给了多条理的指引。固然ISACA成立于1969年，但其根基原则的拟定履历了一段很长的时候，至1997年才宣布信息体系审计根基原则，包罗审计章程、自力性、职业品德和原则、职业手艺、审计打算、实行审计使命、报告和后续使命八个局部，该原则于1997年7月25日起头失效。跟着审计指南与功课法式的拟定与宣布和对信息体系审计根基原则可扩大性的斟酌，ISACA于2005年将1997年所宣布的信息体系审计原则拆分为八个根基原则，并对原有内容按照信息手艺成长状态停止了订正。同时，于2005年9月以后连续宣布了S9到S16等别的八个根基原则。

　　二、ISACA信息体系审计根基原则解读

　　信息体系审计根基原则是信息体系审计原则体系的根本，其完美与否间接干系着全部审计原则体系的完美。ISACA是环球信息体系审计原则拟定的领跑者，其在根基原则拟定方面存在的诸多上风可供我国拟定信息体系审计根基原则鉴戒。

　　（一）基本原则与审计指南、审计法式的干系审计根基原则是ISACA审计原则体系的总纲和根本，对信息体系审计指南和审计法式的拟定起着指点感化。ISACA的审计指南与审计法式都是在根基原则的指点下拟定或推导出来的，根基原则是审计指南与审计法式拟定的根本按照（如图1所示）。同时，按照ISACA审计指南和审计法式的拟定环境，将现实拟定进程的环境反应给根基原则的拟定进程，对根基原则中的缺少的处所停止改良，从而实现ISACA信息体系审计根基原则对信息体系审计指南和审计法式的指点感化。信息体系审计职员按照ISACA宣布的信息体系审计指南和审计法式展开审计使命，若审计指南和审计法式中不明白划定的，审计职员能够按照ISACA相干内容的划定展开信息和信息体系审计勾当。

　　（二）信息体系审计根基原则的首要内容ISACA将16项信息体系审计根基原则分为四个局部，包罗：（1）审计章程；（2）对注册信息体系审计师职业资历的请求，包罗审计职员的自力性请求、职业品德请求和职业才能请求；（3）信息体系审计打算、审计实行、审计报告与后续审计等审计进程；（4）别的信息体系审打算定，包罗不合法及不法行动、IT办理、审计打算中风险评估的操纵等。在ISACA根基原则中，审计章程是对信息体系审计职员的本能机能、责任、权利和责任停止标准，自力性、职业品德和标准和专业胜任才能则是对信息体系审计职员的请求，信息体系审计打算、审计实行、审计报告和后续审计对信息体系审计进程停止标准，而别的信息体系审打算定首要是对前三项内容停止后续补充，即ISACA按照审计工具的出格性，将IT办理、IT节制、电子商务等归入到根基原则划定的规模，并对根基原则的相干概念停止补充界定。整体上讲，ISACA在信息体系审计的根基原则方面是比拟周全的，从审计本能机能的责任、权利、责任到信息体系审计使命履行，审计报告的出具，ISACA都做了划定，根基原则不只斟酌到了审计的通俗性特色，同时也连系了信息体系审计的怪异性。

　　（三）ISACA信息体系审计根基原则拟定形式在根基原则的拟定形式体例，ISACA先按照审计使命的通俗请求，先颁发S1到S8的根基原则，对审计职员的职业才能和信息体系审计的法式停止标准，再连系信息体系审计的特色和请求，连续颁发S9到S16等别的根基原则，以填补先前所颁发的原则的缺少或缺点（如表1）。这类根基原则的拟定形式，可扩大性较强，顺应信息手艺飞速成长的请求，ISACA可按照信息体系审计成长的请求填补根基原则存在的缺少与缺点。

　　（四）ISACA信息体系审计根基原则存在的题目ISACA固然在根基原则方面的内容比拟周全，构成了较为体系的信息体系审计原则体系，但经由进程深切研讨能够发明ISACA的根基原则体系仍存在缺少的处所。这些缺少的处所也为我国拟定特地的信息体系审计根基原则供给了指点。

　　（1）信息体系审计根基原则包罗审计职业品德标准的内容，倒霉于信息体系审计职业品德标准的成长。在信息体系审计根基原则的拟定进程中，ISACA将审计自力性、职业品德和职业才能等审计职业品德标准一并归入根基原则中，这三项审计职业品德标准应从根基原则中自力出来。若将审计职业品德标准一并归入到根基原则当中，倒霉于成立特地化的信息体系审计职业品德标准体系。信息体系审计职业品德标准同信息体系审计原则处于一样首要的位置，将其归入信息体系审计根基原则的规模会下降原则拟定机构的正视水平，而将其零丁出来有益于成立条理清楚，自成体系的审计职业品德标准体系，表现审计职业品德在信息体系审计中的首要性。

　　（2）根基原则不完全表现信息体系审计现实布局的内容。信息体系审计现实布局是信息体系审计标准拟定的现实根本，ISACA所颁发的根基原则不完全表现信息体系审计现实布局的内容，即错误信息体系审计停止界说，不划定信息体系审计实质、审计方针、审计假定、审计品质节制等外容。具备摩尔定律成长速率的信息手艺使信息体系变得愈来愈庞杂，收集宁静及信息体系宁静题目也变得愈来愈首要。信息体系审计职员在面对新的审计环境时，须要审计标准加以指点和束缚，而在信息体系审计根基原则中界定审计的实质、方针、假定和信息体系审计品质节制等外容有益于准确指点信息体系审计职员的审计行动，界定信息体系审计和审计规模，能够在飞速成长的信息社会中呈现新信息手艺题目时不至于使审计职员堕入判定新规模是不是属于信息体系审计规模的地步。审计品质节制是信息体系审计现实的首要构成局部，也是信息体系审计原则的首要构成内容之一。审计品质便是审计勾当对公认审计原则或标准的遵守水平。不法利用者出于文娱、抨击或好处等方针而侵入计较机（Palmer，2001），Garg、Curtis和Hapler（2003）估量宁静事务对通俗的公然上市公司来讲，其市场影响占到年发卖额的0.5%到1.0%.除病毒和蠕虫以外，构造还能够蒙受DOS进犯，这是21世纪价格第二高贵的收集犯法，估量其丧失达6500万美圆，而新成长的DDOS的要挟很现实，每周有跨越4000次的DDOS进犯，新型的DOS正在不时地被制作出来，比方，DROS用捏造的有用数据包冲毁办事器（Joyce，2002）。Bell尝试室的收集研讨副总裁Krishan Sabnani表现，最新的DOS进犯将要挟无线收集。审计品质是信息体系审计的根本，不品质保障的信息体系审计行动，不只不能为企业信息体系的靠得住性、宁静性等供给保障，反而会给企业带来更大的丧失。在ISACA的根基原则中，尚不存在审计品质节制方面的划定，这有待于ISACA审计原则拟定机构完美审计品质节制方面的根基原则，或是零丁成立信息体系审计品质节制原则体系。

　　三、对我国信息体系审计根基原则拟定的鉴戒与启迪

　　我国信息体系审计原则的拟定尚处于起步阶段，以后颁发的信息体系审计原则首要凭借于财政审计原则。不管是在信息体系审计原则的数目上，仍是品质上，我国与ISACA宣布的信息体系审计体系都存在相称大的差异。这与信息体系审计根基原则的缺失息息相干，信息体系审计根基原则的缺失使得详细审计原则或审计指南、审计法式的拟定只能凭借于财政审计原则的拟定。为加速信息体系审计根基原则扶植的步调，笔者以为该当加速信息体系审计根基原则的拟定步调，鉴戒ISACA的信息体系审计根基原则，拟定合适我国国情的信息体系审计根基原则，为信息体系审计原则体系的完美奠基根本。

　　（一）鉴戒ISACA的原则拟定形式，成立以信息体系审计根基原则为导向的审计原则拟定理念在信息体系审计根基原则缺失的前提前提下，我国以后的信息体系审计原则只能凭借于财政审计原则的拟定，不能构成较为完美的信息体系审计标准体系。信息体系审计详细原则也只能由财政审计的根基原则推导出来，信息体系审计原则或标准的颁发首要是斟酌到信息手艺已影响到财政报告出产进程，为了更好的停止财政审计，而不是纯真的为拟定信息体系审计原则。信息化的海潮正在囊括社会的各个角落，信息体系已成为当局、企奇迹单元不可贫乏的构成局部。企业信息化与政务信息化正在慢慢扩大信息体系审计的规模，已超越管帐信息体系的规模，信息体系的宁静、软硬件和开辟性命周期等都已成为信息体系审计的规模，并且这些审计规模变得愈来愈首要。是以，我国信息体系审计原则的拟定，其审计方针不能再仅仅范围于财政审计的方针，须要一个完美的信息体系审计原则体系为审计职员审计信息体系宁静、软硬件和体系开辟性命周期办事。凭借于财政审计原则拟定形式的改变须要成立属于信息体系审计原则体系构建的根基原则，成立以“以信息体系审计根基原则为导向”的理念，由根基原则推导详细原则、审计指南或审计法式的拟定，由根基原则指点详细审计原则缺失的“真空地带”，有用指点信息体系审计职员的审计行动。

　　（二）在审计署的鞭策下，成立近似 ISACA的信息体系审计原则拟定机构到今朝为止，我国具备真正意思的信息体系审计原则是中国内审协会颁发的第2203号外部审计详细原则，该原则的根基原则为《外部审计根基原则》，而《外部审计根基原则》首要是为了标准外部审计使命，明白外部审计机构和审计职员职责，不是特地针对信息体系审计使命的。是以，中国外部审计协会拟定信息体系审计原则，只是为完美外部审计原则体系，而错误信息体系审计原则体系停止体系型的研讨。呈现这些环境固然同信息体系审计根基原则的缺失息息相干，但更深条理的缘由在于我国不近似ISACA的信息体系审计原则拟定特地机构。我国要成立完美的信息体系审计原则体系，其首要使命在于成立近似ISACA的信息体系审计原则拟定构造，由其同一拟定与宣布信息体系审计的根基原则、详细原则或审计指南、审计法式。ISACA的成立是由同类职业集体组建而成的，在我国近似的职业集体几近不存在。是以，信息体系审计原则拟定机构的成立不能接纳ISACA的成立形式，应采用行政的气力或手腕鞭策其成立，由中华国民共和国审计署整合中注协、内审计协会和审计署外部的信息体系审计原则拟定资本，成立近似ISACA的信息体系审计构造。这类依托行政气力的形式，能够在短时期内实现构造的成立进程，从而防止信息体系审计构造持久缺失对我国信息体系审计原则体系完美的影响。

　　（三）鉴戒ISACA根基原则，构建合适我国国情的信息体系审计根基原则笔者以为信息体系审计标准包罗正式轨制支配和非正式轨制支配。信息体系审计根基属于正式轨制支配的规模。固然ISACA根基原则存在着一些缺少的处所，但ISACA在根基原则拟定方面仍存在很多可供鉴戒的处所。我国信息体系审计根基原则的拟定应在鉴戒ISACA根基原则的根本上，按照我国的现实环境拟定。笔者以为，信息体系审计根基原则的内容应包罗：

　　（1）审计章程；

　　（2）信息体系审计营业承接和审计营业三方干系；

　　（3）审计评估标准；

　　（4）审计实质；

　　（5）审计方针；

　　（6）审计假定；

　　（7）审计打算；

　　（8）审计使命的实行；

　　（9）审计报告；

　　（10）后续使命；

　　（11）审计品质节制原则；

　　（12）其余。

　　须要出格指出的是，信息体系审计评估标准在信息体系审计进程中表演着非常首要的脚色。标准是指用于评估或计量鉴证工具的基准。标准能够是正式的划定，如国度颁发的相干法令、律例；也能够是某些非正式的划定，如单元外部拟定的外部节制轨制。信息体系审计职员在应用职业判定对信息体系做出公道分歧的评估或计量时，须要有恰当的标准。缺少信息体系审计评估标准，将倒霉于指点信息体系审计职员挑选判定标准，停止公道的职业判定。是以，我国构建信息体系审计根基原则，该当对信息体系审计的评估标准停止界定，以指点审计职员的信息体系审计行动。

　　（四）将审计职业品德标准解除在信息体系审计根基原则以外，构建特地的信息体系审计职业品德标准信息体系审计原则或信息体系审计标准的正式拟定支配包罗信息体系审计职业品德标准、信息体系审计原则和其余信息体系审计原则。由此可知，该当成立零丁的信息体系审计职业品德标准，而不是同信息体系审计原则夹杂起来。信息体系审计根基原则是信息体系审计原则这类轨制支配的首要内容之一。为成立公道的信息体系审计原则或偏私体系审计标准体系，该当剔除职业品德的内容，将职业品德的内容并入信息体系审计职业品德标准体系中，成立特地的信息体系审计职业品德标准。

　　（五）成立具备可扩大性的信息体系审计根基原则古代信息手艺以“摩尔定律”的速率正在飞速成长，信息体系审计根基原则的拟定该当与之相顺应，构成一种开放性的信息体系审计根基原则拟定体例，以知足古代信息手艺飞速成长的请求。在这个方面，我国能够鉴戒ISACA根基原则的拟定形式，成立具备可扩大性的根基原则拟定形式。这首要是斟酌到根基原则在现实履行进程中会存在着很多题目和缺少的处所，若碰到现有信息体系审计根基原则的缺少的处所就从头拟定新的根基原则会华侈大批资本。是以，我国应起首宣布一批绝对成熟的根基原则，后期若碰到题目时，再宣布根基原则对后期宣布的原则停止补充。这类开放性的、可扩大的审计原则拟定形式不只能够填补后期根基原则的缺少，同时也能够削减从头订正根基原则对信息体系审计职员的打击和节俭原则拟定本钱。

　　（六）加强中注协、内审协会和国度审计署的相同调和众所周之，信息体系审计营业能够零丁展开，也能够和财政审计和其余营业审计一路履行。但在以后审计实务中，信息体系审计营业使命的展开凡是是和财政审计或其余营业审计一起展开的，这就请求在拟定和颁发信息体系审计根基原则时，加强与中注协、中国外部审计协会和国度审计署的相同调和使命，就根基原则的内容和信息体系审计原则若何与注册管帐师审计原则、外部审计原则和国度审计原则分歧停止切磋，以加强信息体系审计根基原则的适用性。

　　跟着古代信息手艺的成长与应用，信息体系审计这一职业已获得了一定水平的成长，现实界与实务界也愈来愈正视这一规模。笔者对信息体系审计根基原则的很多概念尚不成熟，另有待进一步改良，但愿经由进程本文的研讨能引发现实界和实务界对信息体系审计原则研讨的存眷，让更多的现实使命者与实务使命者到场到这一进程中，完美我国信息体系审计标准体系。

　　参考文献：

　　[1]马良渝、潘婉霞：《ISACA信息体系审计原则体系浅析》，《中国办理信息化》2007年第3期。

　　[2]蔡春：《审计现实布局研讨》，西南财经大学出书社2001年版。

　　[3]ISACA IS Standards， Guidelines and Procedures for Auditingand Control Professionals .ISACA， 2009.

　　[4]G41-Return on Security Investment.ISACA， 2010.

　　[5]G42-Continuous Audit.ISACA， 2010.

　　[6]Joyce， J.Disributed Denial of Service Attacks.ScientificComputing & Instrumentation， 2002， June:12-47

　　[7]Palmer， C. C.Ethical Hacking .IBM System Journal， 2001，（03）：769-780.

　　[8]Garg， A.， J. Curtis， and H. Halper.The Financial Impact ofIT Security Breaches: What Do Investors Think? .InformationSystems Security， 2003， March/April:22-32.

【国际信息体系审计与节制协会根基原则阐发论文】相干文章：

审计原则变化的轨制经济学阐发论文12-04

上海龙凤419

国际信息体系审计与节制协会根基原则阐发论文