ITIL是英国中央计算机和电信局CCTA（现在已并入英国商务部）于80年代中期为了提高政府部门IT服务的质量和管理水平而开发的规范化、财务计量化的IT资源管理方法论，基于保洁、汇丰银行、美孚等诸多全球知名企业和政府关键业务的IT服务和运维管理经验，目前已经成为国际IT服务管理领域事实上的标准。 
      在它的最新版2.0中，ITIL主要包括六个模块，即业务管理、服务管理、信息通讯技术ICT基础架构管理、IT服务管理规划与实施、应用管理和安全管理。其中，服务管理是其最核心的模块，这个模块一共包括了10个流程和一项职能，这些流程和职能又被归结为两大流程组，即“服务提供”流程组和“服务支持”流程组。其中，服务支持流程组归纳了与IT管理相关的一项管理职能及5个运营级流程，即事故管理、问题管理、配置管理、变更管理和发布管理；服务提供流程组归纳了与IT管理相关的5个战术级流程，即服务级别管理、IT服务财务管理、能力管理、IT服务持续性管理和可用性管理。 
      通过上面的介绍可以看出，COBIT提供了对数据、IT系统和相关风险进行控制所需的参数框架；ISO 17799是适用于业务连续性、访问控制、遵从性以及其他领域的安全标准；CMMI侧重于软件开发、系统工程、研发及其他活动中的流程改进；而ITIL则是IT服务管理的最佳实践标准。在当前国家审计中开展信息系统审计时，我们可以主要参考COBIT和ISO17799标准。如在信息系统审计中，可以采用ISO17799作为内部安全框架的实施与审计标准，采用COBIT作为内部详细控制的实施与审计标准。 
      国内目前关于信息系统审计的依据主要有修订后的《中华人民共和国审计法》、国办发【2001】88号文件《国务院办公厅关利用计算机信息系统开展审计工作有关问题的通知》等。如修订后的审计法在第三十一条规定，审计机关有权要求被审计单位按照审计机关的规定提供预算或者财务收支计划、预算执行情况、决算、财务会计报告，运用电子计算机储存、处理的财政收支、财务收支电子数据和必要的电子计算机技术文档；在第三十二条规定，审计机关进行审计时，有权检查被审计单位的会计凭证、会计账簿、财务会计报告和运用电子计算机管理财政收支、财务收支电子数据的系统等。这些法律法规的出台提供了审计部门对被审计单位信息系统开展审计工作的依据。  
      上面的法律法规只是给了我们开展信息系统审计的法律保证，至于具体的审计依据，则要在具体的信息系统审计项目中，以财政部1996年发布的《独立审计具体准则第20号——计算机信息系统环境下的审计》和该行业的相关法律法规作为实际的审计依据。如在金融审计中，对银行信贷业务系统开展审计，就要参考《中华人民共和国公司法》、《中华人民共和国担保法》、《中华人民共和国票据法》、《中华人民共和国商业银行法》、《贷款通则》、《汽车贷款管理办法》、《个人住房贷款管理办法》、《不良贷款认定暂行办法》、《某某银行贷款业务操作规程》、《某某银行信贷业务基本规程》等法律法规作为具体的审计依据来对相关审计事项进行检查和评估。

[1] [2]