在建设信息系统审计准则体系时,对国际上已有的成文准则、习惯做法、专业术语,应当尽可能与国际惯例保持一致,尽量做到与国际惯例接轨。可以采用三个层次体系结构,以基本准则为核心,统领具体准则和执业指南,从而使整个准则体系不断扩展与完善。
1.信息系统审计基本准则可主要包括:信息系统审计内容、信息系统审计独立性、信息系统审计职业道德、信息系统审计准入等方面。
2.具体准则在基本准则的指导下可还包含以下内容:
(1)信息系统环境及系统开发过程的准则,如对硬件、软件、系统的安全性和可靠性及合法性,系统的开发过程、运行控制及维护控制的审查等。
(2)信息系统内部控制评价的准则,如对操作范围控制、人员权限控制、合法性控制、校验控制及预防出错控制系统,进行符合性测试及评价。
(3)信息系统输入输出及处理的档案和数据的符合性和实质性测试准则,对其可靠性、完整性、合法性、有效性、全面性的审查和评价。
(4)信息系统审计证据的准则,确定取得审计证据的时间、审计证据样本的大小等。
(5)信息系统审计保密准则,明确信息系统审计方式下的审计人员承担保密责任,有针对性地制定电子数据保密规范,与被审计单位形成互有权责义务的保密协议,避免审计风险,增强审计效果。
3.指南可以包含,信息系统审计计划、信息系统审计的重要性、信息系统审计的风险评估办法、信息系统审计取证、信息系统审计抽样、信息系统控制、应用系统评审办法、信息系统审计报告等。
(三)建立健全信息系统审计标准
从国际信息系统审计的实践看,COBIT标准已经逐步成为通行准则。我们应遵循国际标准或规范,以COBIT标准为核心,同时借鉴ISO/IEC17799、ITIL、PRINCE2、COSO、SOX法案等其他国际标准和原则,进而确立适合自己的信息系统审计标准。包括审计人员应具有的能力、应掌握的技能、应参加的培训、现场作业标准等。
三、构建信息系统审计的法规准则保障体系的意义
(一)在信息系统审计中进一步强化以《宪法》为根本依据,以审计法及其实施条例为核心内容,以审计准则等规章为基础的审计法律法规体系。
(二)按照信息系统审计自身发展规律,不断完善现有的审计法律法规体系和准则体系,以新的体系指导和规范信息系统审计的实践以及解决审计活动中出现的新情况、新问题和新纠纷。
(三)坚持审计准则是审计工作应遵循的规范和尺度,是评价审计工作质量的权威性规则,提高审计质量和效率,降低审计风险。
(四)坚持独创与沿袭传统相统一,充分利用和维护已有的适应于审计的维系共同利益的法律体系,充分体现审计独立性,确保信息系统审计将更加规范,更有保障。
