信息系统审计框架及其应用指南.pdfVIP

信息系统审计

和行为

文件号S9

信息系统（IS）审计的专业性和进行这类审计所需的技术，要求制定出专门适用于信息系统审计的。推进全球适用的以实现这个目标

®）的之一。信息系统审计的发展和是ISACA为审计业界作出专业贡献的基础。信息系统审计

是信息系统审计与控制（ISACA

的框架了多层次的指引：

◼为信息系统审计和报告定义了强制性的要求。它们：

–根据ISACA职业道德规范中关于职业责任的规定，信息系统审计师的执行绩效所应达到的最低。

–管理层和其他利益执业者在专业工作上的期待。

®

–认证信息系统审计师（CISA）资格持有人的相关特定要求。CISA资格持有人未能遵守上述的可能会导致ISACA董事会或相应

ISACA对其进行直至最终的纪律处分。

◼指南为信息系统审计的实施了指引。信息系统审计师在的实施程序中应参考指南，同时作出职业判断，对背离的做法

应随时解释。信息系统审计指南的目标是为达到信息系统审计进一步信息。

◼程序为信息系统审计师审计项目中可以遵循的步骤范例。程序文件信息系统审计工作开展中如何达到相关的

信息，但并非硬性规定。信息系统审计程序的目标是为达到信息系统审计进一步信息。

®

CobiT资源应被当作最佳操作实施指南的。CobiT框架强调，“保护企业的所有资产是管理

层的责任，为履行这一责任以及实现企业的期望，管理层必须建立起一套完善的体

系。”CobiT为信息系统管理环境了详细的和方法。

基于特殊的CobiT程序选择和对CobiT信息的考虑来选用与特定审计范围最相关

的材料。

依CobiT框架中所定义，以下各项由IT管理程序进行组织。CobiT为商业及IT管理层以及信息系统审计师

而计，所以它的运用有助于商业目标的理解，最佳操作实施的交流和围绕已经达成共识和广受尊重的参考体系的意见的形成。COBIT包

括：

◼目标—广义上所需达到的最低限度良好之总括和详述。

◼实施—目标的实务原理和“如何实现”目标的指南。

◼审计指南—对于不同领域，如何理解和评估各种，考核的符合性和证实失控风险的指南。

◼管理方针—如何运用成熟度模型，指标和关键性成功因素等方法来评估和提高IT程序执行绩效的指南。它们一种针对管理层的框架应

用于连续性和自发性的自我评估，特别专注于：

–绩效衡量—IT功能支持需求效果如何？管理方针既可用于支持自我评估的专题研讨，也可被管理层作为IT管治方案的一部

分，用以支持持续监督和程序改进的推行。

–IT概况—哪些IT程序是重要的？哪些是的关键性成功因素？

–意识—达不到目标会有哪些风险？

–基准—其他人做了什么？如何衡量和比较结果？管理方针了对IT绩效的范例指标，可用于商业意义上对IT执行绩效的评

估。关键的目标指标可以识别并衡量IT程序的成果，同时关键的执行绩效指标可以通过衡量程序的实现者来评估程序的执行绩效。透

过成熟度模型和成熟度属性能力评估和基准，帮助管理层衡量能力，找到差距并提出相应改善策略。

术语表可在ISACA的：上查阅。审计和这两个词可以互换使用。

免责根据ISACA职业道德规范中对职业责任的规定，ISACA设计本指南作为执行绩效所应达到的最低。ISACA并未使用此产品一定

会出现成功的结果。本物不能被视作包括所有合适的程序和测试，也不能被视作排斥通过合理获得同样结果的其它程序和测试。在决

定任何具体的程序或测试的合理性时，专业应根据其自身的专业判断来判别由特定系统或