信息系统审计的专业组织及准则框架

五、信息系统审计的专业组织及准则框架

1．信息系统审计的专业组织

ISACA（Information Systems Audit and Control Association，信息系统审计与控制协会）是从事信息系统审计与控制研究工作的专业组织，该协会在世界上100多个国家设有分会。它推出了CISA（Certified Information System Auditor，注册信息系统审计师）考试与资格认证，并每年举办CISA资格考试，通过考试的人员可申请CISA资格。CISA在全世界范围内得到广泛认可，成为信息系统审计发展的重要标志。

在我国，信息系统审计工作还没有真正开展起来。但人们已逐渐认识到信息系统审计的必要性，开始关注信息系统审计。积极探索信息系统审计理论与方法，并着手培训信息系统审计人员。审计署干部培训中心与ISACA合作，于2002年正式推出了注册信息系统审计师考试与培训。它不仅有利于扩大注册信息系统审计师的影响，吸收广大中青年人才从事信息系统审计事业，而且将会进一步推动我国信息系统审计工作的开展。

2．信息系统审计准则框架

ISACA通过制定和颁布信息系统审计准则、指南和程序等专业标准来规范和指导信息系统审计工作。ISACA发布的信息系统审计准则体系包括信息系统审计准则、指南和程序3个层次。其中，准则是总纲，也是信息系统审计人员执业行为的基本规范。执行信息系统审计和出具审计报告必须遵照执行，具有强制性；指南为准则的应用及如何遵守准则提供了指导；信息系统审计程序提供了执行审计业务时，信息系统审计人员可以效仿的范例。审计人员根据信息系统或信息技术环境的具体情况，通过职业判断选择适当的审计程序。

ISACA发布的准则内容包括：审计章程、审计独立性、职业道德和标准、执业能力计划、审计工作的执行、审计报告、后续工作、违规和非法行为、信息技术管理，以及审计计划中风险评估的应用。截至2005年底，ISACA共发布了指南31项、审计程序9项。

目前，在我国还没有出台信息系统审计准则的情况下，执行信息系统审计时，可以参照ISACA发布的信息系统审计准则来指导我国信息系统审计工作。