ISACA信息系统审计标准.docVIP

ISACA信息系统审计标准 S1 审计章程(Audit Charter) 信息系统审计职能机构或信息系统审计任务的目的、责任、权限及职责，应在审计章程 或审计业务约定书中载明。 审计章程或审计业务约定书应得到组织中适当的管理层的同意和批准。 S2独立性 职业独立性 信息系统审计师在从事审计事项时，应该在实质和形式上独立于被审计方。 组织独立性 信息系统审计职能机构应充分独立于被审计单位，以实现审计目标。 职业道德及准则 信息系统审计师应遵守信息系统审计及控制协会规定的职业道德准则。 信息系统审计师应保持应有的职业审慎态度，并坚持以审计准则为执业标准。 S4专业胜任能力 担任信息系统审计工作的审计师应当具备审计工作所必须的专门技能与学识。 信息系统审计师要通过充分且持续的职业后续教育，以保持和提高其专业胜任能力。 S5计划 信息系统审计人员应依据审计目标和相应的法律和审计准则，对信息系统审计工作编制 审计计划。 信息系统审计人员应编制基于风险的审计方法 信息系统审计人员应编制详细的审计计划，包括审计性质、目标、范围和所需的资源。 信息系统审计人员应编制审计程序和步骤。 S6审计工作的实施 监督一信息系统审计人员应受到适当的监督，以确保实现审计目标，并遵守审计准则。 证据在信息系统审计过程中，信息系统审计人员应当搜集充分的、可靠的、相关的和 有用的证据，以有效实现审计目标。审计师的审计发现和审计结论必须以合理的分析、 利用审计证据为基础。 审计底稿一审计过程应该有书面记录，以表明审计工作和审计证据支持信息系统审计人 员的发现和结论。 S7报告 信息系统审计人员在完成审计工作后，应向委托者出具按照适当的格式编制的审计报 告。审计报告应当标明机构名称、审计报告报送对象以及报告使用限制。 审计报告应当说明审计范围、审计目标、审计工作所涵盖的期间及所执行审计工作的性 质和内容。 审计报告应当说明审计人员执行审计工作中所发现的问题、形成的结论和建议以及审计 师关于审计的任何保留意见。 信息系统审计人员应该有充分的、适当的审计证据来支持所报告的审计结论。 审计报告签发时，信息系统审计人员应该依据审计章程或审计业务约定书中的规定签 名、签署日期再对外发放。 S8后续审计 信息系统审计人员应当要求并评价被审计单位对审计发现的问题、结论及建议的处理信 息，以判断被审计单位是否已及时妥善地处理了相关问题。 S9不合规和非法行为 在计划和实施审计工作时，信息系统审计人员应该考虑不合规和非法行为等可能带来 的审计风险。 无论不合规和非法行为的风险评估结果如何，信息系统审计人员在实施审计作业时都 要对由于不合规和非法行为而导致的重大误报的可能性保持职业怀疑的态度。 信息系统审计人员应该了解组织及其所处的环境，包括内部控制。 信息系统审计人员应该获得充分的、适当的审计证据来确定组织内的管理层或其他人是 否了解任何事实上的或可能的不合规和非法行为。 在了解组织及其所处的环境时，信息系统审计人员应该注意那些不正常的人员关系，这 些人员可能实施不合规和非法行为而导致重大误报。 信息系统审计人员应该设计和实施测试程序，测试内部控制的适当性和是否存在管理层 超越控制的情况。 当信息系统审计人员确认被审计方存在误报事实时，审计人员应该评估该误报是否是因 为存在不合规和非法行为而产生的，可以通过审计其他方面相关的问题特别是管理层的 表现来发现不合规和非法行为的迹象。 根据审计业务的情况，信息系统审计人员每年至少一次获取管理层书面的声明，声明应 该包括有如下信息： -设计和实施内部控制以避免和检查不合规和非法行为是管理层的责任； -由于不合规和非法行为而产生重大误报的风险评估结果； -涉及管理层和内部控制中关键岗位发生的不合规和非法行为对组织的影响。 信息系统审计人员在与现在的员工和以前的员工等人员进行会谈的时候要了解正在影 响组织的所谓的不合规和非法行为的断言或疑问。 在确定或得到存在重大的不合规和非法行为的信息时，信息系统审计人员应该及时与适 当的管理层沟通该情况。 在确定重大的不合规和非法行为牵涉到管理层或和内部控制中关键岗位人员时，信息系 统审计人员应该及时与董事会沟通该情况。 信息系统审计人员应该将审计过程中所发现的内部控制设计和实施中的重大薄弱环节 告知管理层或董事会，并建议其改进相关控制，以避免发生不合规和非法行为并能检杳 出已发生的不合规和非法行为。 如果重大的误报或非法行为影响到信息系统审计人员继续实施审计工作时，信息系统审 计人员应该考虑该环境下的法律和职业责任。信息系统审计人员可以采取的行动有：向 业务主管人员报告、向公司治理机构或司法机构报告、中止审计业务。 信息系统审计人员应该将报告给管理层、公司治理机构或司法机构的有关不合规和非法 行为的