isaca信息系統(tǒng)審計中文版24april

1、信息系統(tǒng)審計標準信息系統(tǒng)（IS）審計的特殊性和進行審計所需的專門技術(shù)，要求制定出特殊的相關(guān)標準。ISACA 的目標之一就是制定出可全球操作的審計標準以實現(xiàn)其愿景。信息系統(tǒng)審計標準的發(fā)展和是 ISACA 為該行業(yè)作出貢獻的基礎(chǔ)。信息系統(tǒng)審計標準的框架提供了多層次的指引：標準為信息系統(tǒng)審計和定義了強制性的要求。它們告知：根據(jù) ISACA 職業(yè)道德規(guī)范中關(guān)于職業(yè)責任的規(guī)定，信息系統(tǒng)審計員的執(zhí)行績效所應(yīng)達到的最低標準。階層和相關(guān)對實施者在專業(yè)工作上的期待。信息系統(tǒng)審計員（CISA）資格持有人的相關(guān)特定要求。信息系統(tǒng)審計員資格持有人未能遵守上述標準可能會導致 ISACA董事會或相應(yīng) ISACA對其甚至最

2、終處罰。指南為信息系統(tǒng)審計標準的實施提供了指引。信息系統(tǒng)審計員在標準的實施程序程序中應(yīng)參考指南，同時作出專業(yè)型的判斷，并能解釋任何偏差。信息系統(tǒng)審計指南為達到信息系統(tǒng)審計標準提供進一步信息。程序為信息系統(tǒng)審計師提供審計項目中可以遵循的步驟范例。程序文件提供信息系統(tǒng)審計工作開展中如何達到相關(guān)標準的信息，但并非硬性規(guī)定。信息系統(tǒng)審計程序為達到信息系統(tǒng)審計標準提供進一步信息。COBIT 資源應(yīng)被當作最佳操作實施指南的來源。COBI T框架強調(diào)，“保護企業(yè)的所有資產(chǎn)是階層的責任。為履行這一責任以及實現(xiàn)企業(yè)的期望，階層必須建立起一套合適的體系。”COBIT 為信息系統(tǒng)管理環(huán)境提供了詳細的和方法?；谔厥?/p>

3、的 COBIT程序選擇和對 COBIT 信息標準的考慮來選用與特定審計范圍最相關(guān)的材料。依 COBIT 框架中所定義，以下各項由IT管理程序進行組織。COBIT 為商業(yè)及IT管理層以及信息系統(tǒng)審計師而設(shè)計，所以它的運用有助于商業(yè)目標的理解，最佳操作實施的交流和圍繞已經(jīng)達成共識和廣受尊重的標準參考體系的意見的形成。COBIT 包括：目標廣義上所需達到的最低限度良好之總括和詳述。實施對于目標的由來和“如何實現(xiàn)”的指南。審計指南對于不同領(lǐng)域，如何理解和評估各種，考核的符合性和證實失控風險的指南。管理方針如何運用成熟度模型，指標和關(guān)鍵性成功等方法來評估和提高IT程序執(zhí)行績效的指南。它們提供階層一種應(yīng)用

4、于連續(xù)性和前攝性自我評估的框架。這模型體系特別專注于：績效衡量IT 功能支持程序改進的應(yīng)用。需求效果如何？管理方針既可用于支持自我評估的研討，也可作為IT管治方案，用以支持持續(xù)監(jiān)督和IT概況哪些 IT 程序是重要的？哪些是意識達不到目標會有哪些風險？的關(guān)鍵性成功？基準其他人做了什么？如何衡量和比較結(jié)果？如何衡量和比較結(jié)果？管理方針提供了對IT績效的范 例指標， 可用于商業(yè)意義上對IT執(zhí)行績效的評估。關(guān)鍵的目標指標可以識別并衡量IT程序的成果，同時關(guān)鍵的執(zhí)行績效指標可以通過衡量程序的實現(xiàn)者來評估程序的執(zhí)行績效。透過成熟度模型和成熟度屬性提供能力評估和基準，幫助管理層衡量策略。能力，找到差距并提出

5、相應(yīng)改善術(shù)語表可在 ISACA 的ary 上查閱。審計和：這兩個詞可以互換使用。免責：根據(jù) ISACA 職業(yè)道德規(guī)范中對職業(yè)責任的規(guī)定，ISACA 設(shè)計本指南作為執(zhí)行績效所應(yīng)達到的最低標準。ISACA 并未使用此產(chǎn)品一定會出現(xiàn)成功的結(jié)果。物不能被視作包括任何合適的程序和測試，也不能被視作不包括通過合理應(yīng)用獲得同樣結(jié)果的其它程序和測試。在決定任何具體的程序或測試的合理性時，條件。專業(yè)應(yīng)根據(jù)其自身的專業(yè)判斷來判別由特定系統(tǒng)或環(huán)境產(chǎn)生的特定ISACA 標準管理可就信息系統(tǒng)審計標準、指南和程序的準備作出廣泛的。 在發(fā)布任何文件之前， 標準管理會向全球提供公開草案， 供大眾評論。標準管理也尋求相關(guān)論點和

6、相關(guān)必要處提出意見。標準管理現(xiàn)有研發(fā)部門，歡迎 ISACA的提供新出現(xiàn)問題和新標準。所有建議請電郵至 (standardsisaca.)。或傳真（+1.847.253.1443）或?qū)懶懦蓡T和其它感（地址在文件末尾）至 ISACA 國際總部，收件人注明研究標準和學術(shù)關(guān)系。本文于 2006 年 5 月 15 日頒布。審計文檔 S14S14 審計引言01 ISACA 標準和其它相關(guān)指南所包含強制性的基本原則和重要程序（以粗體標出）。02 這一標準旨在為審計的內(nèi)容，以及信息系統(tǒng)審計師需要獲得審計的質(zhì)和量制定出一系列標準和指南。標準03 要對審計結(jié)果作出合理結(jié)論，信息系統(tǒng)審計師必須獲得充足合適的審計。0

7、4 信息系統(tǒng)審計師應(yīng)評估其審計期間所獲得的充足性。注釋合適的05審計：包括審計師執(zhí)行的程序包括信息系統(tǒng)審計師操作程序的結(jié)果包括原始文件（電子或文本形式），包括審計工作的發(fā)現(xiàn)和結(jié)果表明審計工作是在遵守現(xiàn)行以及審計的相關(guān)佐證資料和政策的條件下開展的。060708當信息系統(tǒng)審計師通過控制測試來獲取審計時，應(yīng)考慮審計的完整性是否能夠支持控制風險的評估等級。應(yīng)正確識別審計當評估審計等屬性。，相互參照并將其分類。的度時，應(yīng)考慮其諸如來源、性質(zhì)（、口頭、視覺、電子）以及真實性（數(shù)碼和親手簽名、）的一般來說，審計09的度在以下情況下更大：以形式而非口頭表達取自獨立來源由信息系統(tǒng)審計師而非被審方獲取經(jīng)獨立第被獨

8、立第證實保存10信息系統(tǒng)審計師應(yīng)考慮選取最經(jīng)濟有效的方法收集必要的審計一個必要審計步驟的充分理由。來達到審計的目標并規(guī)避風險。然而，和成本并非省略11收集審計的程序應(yīng)根據(jù)正在受審項目的內(nèi)容（例如其性質(zhì)，審計的時間安排，專業(yè)的判斷）來變化。信息系統(tǒng)審計師應(yīng)根據(jù)審計目標選擇最合適的審計程序。信息系統(tǒng)審計師可以通過如下方法獲取審計12：檢驗觀察詢問和確認重復操作 驗算計算分析步驟其它可接受方法13信息系統(tǒng)審計師應(yīng)考慮其獲取的任何信息的來源和性質(zhì)，以便評估這些信息的度和進一步確認的需要。充足的1415如果審計審計支持所有關(guān)于審計目標和范圍的實質(zhì)問題，則可以被視為充足的。應(yīng)該客觀充足，使得一個有資格的獨

9、立方可以重復操作審計檢查并獲得同樣結(jié)果。審計應(yīng)該與審計項目的實質(zhì)性以及所涉及的風險相稱。充足性用來衡量審計16的量，而正確性用來衡量審計的質(zhì)，兩者相互關(guān)聯(lián)。在這種情況下，當信息系統(tǒng)審計師使用從機構(gòu)獲取的信息來進行審計工作時，審計師應(yīng)要求并強調(diào)所獲信息的正確性和完整性。17當信息系統(tǒng)審計師認為無法獲取充足審計時，審計師應(yīng)該用與表明審計結(jié)果一致的方法來公開審計這一事實。保護和保存審計審計應(yīng)受保護，不得接近和修改。在審計工作結(jié)束后，應(yīng)照現(xiàn)行和政策要求保存所必須之時間。參考20 有關(guān)審計信息，請參考如下指南：信息系統(tǒng)審計標準 S6 審計工作績效信息系統(tǒng)審計指南 G2 審計信息系統(tǒng)審計指南 G8 審計文

10、件要求COBIT 控制目標 ME2控制的與評估及 ME3 確保合規(guī)。第 2 頁：信息系統(tǒng)審計標準審計實施日期21此標準適用于信息系統(tǒng)的審計工作，于 2006 年 7 月 1 日起實施。2006Information Systems Audit and Control Assotion（信息系統(tǒng)審計與 3701 Algonquin Road, Suite 1010Rolling Meadows, IL 60008 USA：+1.847.253.1545 傳真：+1.847.253.1443電郵：standardsisaca.：，ISACA）第 3 頁：信息系統(tǒng)審計標準審計信息系統(tǒng)審計與2005-

11、2006 年標準管理，Sergio Fleginsky, CISA ICI Pa s，烏拉圭Svein Aldal Aldal Consulting，挪威John Beveridge, CISA, CISM, CFE, CGFM, CQA Office of the Massachusetts S e Auditor， Christina Ledesma, CISA, CISM CitibNA Sucursal，烏拉圭Andrew MacLeod, CISA, FCPA, MACS, PCP Brisbane City Council，澳大利亞V. Meera, CISA, CISM, ACS, C