《信息系统审计标准.》.docx

信息系统审计标准 信息系统审计标准为信息系统审计和报告定义了强制性的要求。它们宣告： 根据ISACA职业道德规范中关于职业责任的规定，信息系统审计师的执行绩效所应达到的最低标准。 管理层和其他利益方对执业者在专业工作上的期待。 认证信息系统审计师（CISA）资格持有人的相关特定要求。CISA资格持有人未能遵守上述标准的可能会导致ISACA董事会或相应ISACA委员会对其进行调查直至最终的纪录处分。 指南为信息系统审计标准的实施提供了指引。信息系统审计师在标准的实施程序中应参考指南，同时作出职业判断，对背离标准的做法应随时提供解释。 信息系统审计指南的目标是为达到信息系统审计标准提供进一步信息。 程序为信息系统审计师提供审计项目中可以遵循的步骤范例。程序文件提供信息系统审计工作开展中如何达到相关标准的信息，但并非硬性规定。 信息系统审计程序的目标是为达到信息系统审计标准提供进一步信息。 COBIT资源应被当作最佳操作实施指南的来源。 COBIT框架强调：保护企业的所有资产是管理层的责任，为履行这一责任以及实现企业的期望，管理层必须建立起一套完善的内部监控体系。 COBIT为信息系统管理环境提供了详细的监控和监控方法。 基于特殊的COBIT信息技术程序选择和对COBIT信息标准的考虑来选用与特定审计范围最相关的材料。 COBIT包括： 监控目标：广义上所需达到的最低限度良好监控之总括和详述。 监控实施：监控目标的实务原理和“如何实现”监控目标的指南。 审计指南：对于不同监控领域，如何理解和评估各种监控，考核监控的符合性和证实失控风险的指南。 管理方针：如何运用成熟度模型、指标和关键性成功因素等方法来评估和提高IT程序执行绩效的指南。它们提供一种针对管理层的框架应用于连续性和自发性的监控和自我评估，特别专注于： 绩效衡量：IT功能支持商用需求效果如何？管理方针可用于支持自我评估的专题研讨，也可被管理层作为IT管治方案的一部分，用以支持持续监督和程序改进的推行。 IT监控概况：哪些IT程序是重要的？哪些是监控的关键性成功因素？ 监控意识：达不到目标会有哪些风险？ 监控基准：其他人做了什么？如何衡量和比较结果？管理方针提供了对IT绩效的范例指标，可用于商业意义上对IT执行绩效的评估。关键的目标指标可以识别并衡量IT程序的成果，同时关键的执行绩效指标可以通过衡量程序的实现者来评估程序的执行绩效。透过成熟度模型和成熟度属性提供能力评估和基准，帮助管理层衡量监控能力，找到差距并提出相应改善策略。 审计章程S1 信息系统审计职能或信息系统审计任务的目的、责任、授权方和义务应在审计章程或委托书中予以正确的登载。 审计章程或委托书应在组织内的适当层次得到同意和通过。 注释： 对于内部信息系统审计职能，应为所有进行中的业务活动制定一份审计章程。审计章程应通过年度审查。如果责任发生变动或变化，则应缩短审查周期。内部信息系统审计师可用委托书来进一步澄清或确认参与特定的审计或非审计任务。外部信息系统审计师参与每项审计或非审计任务通常应当准备委托书。 审计章程或委托书应足够详细以便能表达审计功能或审计任务的目的、责任和限制。 审计章程或委托书应定期审查，以确保（审计的）的目的和责任已经记录在案。 如需有关准备审计章程或委托书进一步的信息，应参考下列指南： 信息系统审计指南G5，审计章程 COBIT框架，监控目标M4 审计独立性S2 职业独立性：对于所有与审计相关的事务，信息系统审计师应当在态度和形式上独立于被审计单位。 组织独立性：信息审计职能应当独立于受审查的范围或活动之外，以确保审计工作完成的客观性。 注释 审计章程或委托书中应当针对审计职能的独立性和义务做出相应的规定。 信息系统审计师应该在审计过程中随时保持态度和形式上的独立性。 如出现独立性受损的现象，无论是在实质上还是在形式上，应向有关当事人披露独立性受损的细节。 信息系统审计师应当在组织上独立于被审计的范围。 信息系统审计师、管理层和审计委员会（如果设立）应当定期对独立性进行评估。 除非被其他职业标准或管理机构所禁止，当信息系统审计师虽然参与信息系统项目，但是担当的并不是审计角色的时候，则并不要求信息系统审计师保持独立性，或者在形式上表现出独立性。 如需获得关于职业或组织独立性的进一步信息，请参考以下指南： 信息系统审计指南G17，非审计角色对信息系统审计师独立性的影响 信息系统审计指南G12，组织关系和独立性 COBIT框架，监控指标M4 职业道德和标准S3 信息系统审计师应当遵守ISACA职业道德规范的要求。 信息系统审计师应当正确履行审计职责，其中包括遵守相应的职业审计标准。 注释 由ISACA所发布的职业道德规范将会被不定期地修订，以保证与审计行业中最新出现的趋势和要求的一致性。ISAC