国际信息系统审计标准(中文版)
信息系统审计概念及其四个国际准则
信息系统审计概念及其四个国际准则精选公文范文管理资料信息系统审计概念及其四个国际准则一、引言信息系统审计(IS Audit)的概念最早出现于20世纪60年代,会计电算化的发展使得审计人员开始关注电子数据的采集、分析与处理,被人们称为EDP审计,这是信息系统审计的早期萌芽。
20世纪90年代,信息系统日益复杂,如何保障信息系统的安全、可靠和有效变得越来越重要,信息系统审计开始在美、日、澳、英等国普及起来。
2001年,国家审计署将注册信息系统审计师(CISA)考试引入我国,十余年来各行各业都开展了如火如荼的信息系统审计实践。
准则是审计工作的基本规范,信息系统审计准则是信息系统审计师共同遵循的标准,对于促进信息系统审计行业发展具有重要意义。
日本通产省 (Ministry of Economy Trade and [键入文字] [键入文字] [键入文字]精选公文范文管理资料Industry,简称METI)早在1985年就颁布了信息系统审计准则,还成立了日本系统审计师协会 (JSSA)。
美国也成立了信息系统审计与控制协会(ISACA),制定和颁布了一系列信息系统审计准则指南,并在全球范围内应用推广。
我国审计署以实务公告形式颁布了《信息系统审计指南》,中国内部审计协会也以具体准则形式颁布了信息系统审计准则,为规范我国的信息系统审计实践提供了重要参考。
然而,由于信息系统审计的技术复杂性,以及我国信息化发展的阶段特征等客观原因,目前我国的信息系统审计理论与实务研究都尚处于百花争放时期,关于信息系统审计对象、范围和目标等基础概念的理解众口不一,更是缺少系统化的信息系统审计准则体系,严重制约了我国信息系统审计行业的发展。
二、信息系统审计概念内涵信息系统审计概念,国内外尚没有统[键入文字] [键入文字] [键入文字] 精选公文范文管理资料一定义。
美国着名学者Ron A?Weber认为,IS审计是一个获取证据,对信息系统是否能保证资产的安全,数据的完整,以及是否有效的使用了组织资源并有效地实现了组织目标做出评价和判断的过程。
国际信息系统审计师CISA
国际信息系统审计师(CISA)Certified Information Systems Auditor(简称CISA,中文为国际信息系统审计师)认证是由信息系统审计与控制协会ISACA(Information Systems Audit and Control Association)发起的,是信息系统审计、控制与安全等专业领域中取得成绩的象征。
CISA 认证适用于企业信息系统管理人员、IT管理人员、IT审计人员、或信息化咨询顾问、信息安全厂商或服务提供商、和其他对信息系统审计感兴趣的人员。
一、ISACA信息系统审计与控制协会(ISACA)创始于1967年,当时它是由从事同类职业的人所组成的小团体——计算机系统的审计和控制对他们各自机构的运作都变得愈发关键——因此他们聚集起来讨论制定信息集中化资源和本领域指导准则的必要性。
在1969年,这个团体正式组建为EDP审计师协会。
在1976年,这个协会成立一项教育基金来开展大规模的研究工作,以拓展信息产业管理与控制领域的知识与价值。
今天,ISACA在全球有四万七千多名成员,他们的组成非常具有多元性。
这些成员在140多个国家内生活和工作,并涵盖众多专业信息技术的相关职业,比如信息系统审计师、顾问、教导员、信息系统安全专家、管理者、首席信息官和内部审计师等。
有些职业是本领域内新兴的,其他为中级管理人员,另外还有许多人担任最高级的职位。
他们几乎遍及所有行业,包括财政金融、公共会计、政府与公共部门、公用事业和制造业。
这种多元性使众多成员能够相互学习,并在许多专业问题上广泛交流彼此的观点。
该特点一直被认为是ISACA的强势之一。
ISACA的另一个强势就是它的分会网络。
ISACA 的分会遍布世界60 多个国家,可提供成员教育、资源共享、支持、专业网络,以及其他由当地分会提供的诸多利益。
在ISACA创立的三十年来,它已成为一个为信息管理、控制、安全和审计专业设定规范的全球性组织。
信息系统审计准则
国际信息系统审计准那么国际会计师联合会(IFAC )下设的国际审计实务委员会(IAPC )对计算机信息系统环境下的审计的讨论较早,先后发布了一系列的相关准那么。
到目前为止公布了六个有关计算机信息系统环境下审计内容的国际审计准那么。
它们分别就单机、联槌口数据库系统下的电子数据处理环境对会计制度和有关内部掌握的讨论和评价产生的影响作出补充规定。
现将这几个准那么法律规范的内容作一汇总介绍。
第一,《信息系统环境下的审计》。
该准那么明确了在计算机信息系统环境下审计的目的与范围,技术与力量的要求,审计方案的考虑,内部掌握讨论、评价及风险评估的影响,制定与实施审计程序应关注的方面等。
该准那么只是为在计算机信息系统环境下的审计制定一般原那么和指导,其他五个准那么或实务公告均为该准那么的补充或扩展。
当在一个计算机信息系统环境下进行审计时,审计人员应对商定方案中的计算机硬件、软件和处理系统有充分的了解,并且要了解计算机信息系统对内部掌握的讨论与评价以及对审计程序有怎样的影响,包括计算机帮助审计技术。
审计人员还应对执行审计程序的计算机信息系统处理有足够的学问,这将视所采纳的具体的审计方法而定。
其次,《风险评估和内部掌握一计算机信息系统环境特征和考虑因素》。
该实务公告为第一项准那么的补充,该公告明确了计算机信息系统环境的特征,计算机信息系统环境下内部掌握的内容及评价方法。
审计人员应收集与审计方案有关的计算机信息系统环境的资料,包括计算机信息系统的功能状况以及计算机处理的集中或分布程度、使用的计算机硬件和软件、数据重置状况等。
审计人员在编制全面方案时,应考虑以下事项:在对内部掌握的全面评价中确定对计算机信息系统掌握的可信任程度;制定关于怎样、何处与何时检查计算机信息系统功能的方案;制定关于采用计算机帮助审计技术进行的审计程序方案。
第三,《计算机信息系统环境一独立微型计算机》。
该实务公告为第一项准那么的补充,该公告明确了微型计算机系统及其特征、在微型计算机环境下的内部掌握、彳微型计算机环境对审计程序的影响等。
国际注册信息系统审计师(CISA)
课程名称:国际注册信息系统审计师(CISA)课程大纲:一、信息系统审计流程1、IT审计部门管理2、ISACA审计标准和指南3、风险分析4、内控5、如何一步一步执行IT审计6、SOX IT合规7、ISO20000与ISO27001标准8、控制自评估(如何在内部评估控制强弱和效果)9、IT审计的未来发展趋势二、IT管理和IT治理1、公司治理2、IT治理和COBIT 53、IT战略规划4、成熟度评估和流程改善5、IT投资组合管理和优化6、IT政策和IT流程7、风险管理流程8、HR管理、外包管理、组织变革、IT财务管理、质量管理、信息安全管理和执行优化9、组织架构模型10、IT治理的审计(Entity-level控制审计)11、业务连续性管理(BCM)12、业务连续性审计三、项目管理与信息系统需求、开发和实施1、收益实现技术2、项目管理(Prince2和PMBOK方法)3、系统开发生命周期4、常见的18类业务应用系统(如ERP、BI等)5、软件开发方法6、基础设施架构和采购方法7、信息系统维护8、应用系统控制(application controls)9、应用系统审计10、项目实施的过程审计四、信息系统运维1、IT运维流程2、硬件3、软件4、网络设备和架构5、IT运维审计(IT general control)6、灾备管理五、信息安全管理1、信息安全管理体系2、逻辑访问控制3、网络安全4、信息安全管理体系审计5、网络安全审计6、物理和环境安全7、常见安全攻防8、信息安全风险与审计实务课程周期:5天(6小时/天)柯普瑞企业IT学院课程日期:双休班、晚班、脱产班上课地点:南京市秦淮区中山东路300号长发中心A栋23楼。
信息系统审计
信息系统审计Information system audit三颗巨星陨落:安然(2001.12.2)安达信(2002.8)世通(2001.7.21)1.低碳经济2.生物技术SPE:特殊目的实体(special purpose entity)金融工具,企业可借此在不增加资产负债表中的情况下融入资金。
对于SPE,美国会计准则规定,只要非关联方持有的权益值不低于SPE资产公允价值的3%,企业就可以不将其资产和负债人合并财务报表。
利润,其间收益,本期收入深口袋理论:任何看上去拥有经济财富的都可能受到起诉,不论其应当受到惩罚的程度如何。
第一章绪论1.1 引言ISA的发展ISA与其他学科的关系审计的相关概念企业信息化的利与弊我国信息化存在一些问题ISA必要性一、企业信息化的效率和成果近年来,企业对信息技术的投入逐年加大,信息化程度也越来越高。
促进了其经营管理水平的提高营造了管理创新氛围集中了管控能力提高了执行力加快了市场反应能力等带来意想不到的效率和成果二、给社会或企业带来的负面影响突发事件的影响:1993年纽约世界贸易大厦爆炸事件,使得当时入住的多数商业数据丧失,导致企业在这一年内的商务活动无法进行。
错误操作:不正确使用信息技术病毒:CIH(1998)匆匆上马:没有做投资风险评估成功率仅16%我国信息化存在的一些问题:规划制定不够科学项目管理不够严格监理机制不够健全系统运行效益不够明显结果:致使一部分信息化项目失败或未能实现与其目标原因之一:就其根源主要原因之一是信息化建设第三方监管机制的缺失和标准的不健全三、信息系统审计的必要性保证信息系统的可信度促进内控体系的规模建设信息系统审计已成为摆在企业管理人员案头迫切需要开展的工作结论:因此,迫切需要对正在使用或即将投产的信息系统的安全性、真实性、完整性、有效性进行验证,需要对信息系统进行审计。
1.2信息系统审计的发展一、国际信息系统审计的发展信息系统规模越大,功能越复杂,风险也就越大80年代美国且也信息系统的失效率达50%以上。
信息系统审计准则
国际信息系统审计准则国际会计师联合会(IFAC)下设的国际审计实务委员会(IAPC)对计算机信息系统环境下的审计的研究较早,先后发布了一系列的相关准则。
到目前为止颁布了六个有关计算机信息系统环境下审计内容的国际审计准则。
它们分别就单机、联机和数据库系统下的电子数据处理环境对会计制度和有关内部控制的研究和评价产生的影响作出补充规定。
现将这几个准则规范的内容作一汇总介绍。
第一,《信息系统环境下的审计》。
该准则明确了在计算机信息系统环境下审计的目的与范围,技术与能力的要求,审计计划的考虑,内部控制研究、评价及风险评估的影响,制定与实施审计程序应关注的方面等。
该准则只是为在计算机信息系统环境下的审计制定一般原则和指导,其他五个准则或实务公告均为该准则的补充或扩展。
当在一个计算机信息系统环境下进行审计时,审计人员应当对约定计划中的计算机硬件、软件和处理系统有充分的了解,并且要了解计算机信息系统对内部控制的研究与评价以及对审计程序有怎样的影响,包括计算机辅助审计技术。
审计人员还应当对执行审计程序的计算机信息系统处理有足够的知识,这将视所采用的具体的审计方法而定。
第二,《风险评估和内部控制--计算机信息系统环境特征和考虑因素》。
该实务公告为第一项准则的补充,该公告明确了计算机信息系统环境的特征,计算机信息系统环境下内部控制的内容及评价方法。
审计人员应当收集与审计计划有关的计算机信息系统环境的资料,包括计算机信息系统的功能情况以及计算机处理的集中或分布程度、使用的计算机硬件和软件、数据重置情况等。
审计人员在编制全面计划时,应当考虑下列事项:在对内部控制的全面评价中确定对计算机信息系统控制的可信赖程度;制定关于怎样、何处与何时检查计算机信息系统功能的计划;制定关于利用计算机辅助审计技术进行的审计程序计划。
第三,《计算机信息系统环境--独立微型计算机》。
该实务公告为第一项准则的补充,该公告明确了微型计算机系统及其特征、在微型计算机环境下的内部控制、微型计算机环境对审计程序的影响等。
COBIT标准(信息技术审计标准)
COBIT标准(2008-05-19 21:31:20)标签:杂谈目录• 什么是COBIT• COBIT的主要组件• COBIT对企业的作用• COBIT的优点• COBIT标准的应用原则什么是COBITCOBIT(Control Objectives for Information and related Technology):即信息系统和技术控制目标。
成立于1969年的美国信息系统审计与控制协会(ISACA),于1996推出了用于“IT审计”的知识体系COBIT。
“IT审计”已经成为众多国家的政府部门、企业对IT的计划与组织、采购与实施、服务提供与服务支持、监督与控制等进行全面考核与认可的业界标准。
相应地,“注册信息系统审计师”(CISA)日益成为世界各国发展信息化过程中,争相发展的新兴职业和领域。
作为IT治理的核心模型, COBIT包含34个信息技术过程控制,并归集为四个控制域:IT规划和组织(Planning and Organization)、系统获得和实施(Acquisition and Implementation)、交付与支持(Delivery and Support)以及信息系统运行性能监控(Monitoring)。
COBIT目前已成为国际上公认的IT管理与控制标准。
COBIT目前已成为国际上公认的IT管理与控制框架,已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效地利用信息资源,有效地管理与信息相关的风险。
COBIT的主要组件COBIT有6个组件:- Executive Summary- Management Guidelines- Framework- Control Objectives- Implemenation Toolset- Audit GuidelinesCOBIT对企业的作用COBIT型是企业战略目标和信息技术战略目标的桥梁,使得信息技术目标和企业战略目标之间实现互动。
ISO27002-2013中文版
CISA简要
一、信息系统的审计流程-内审和外审
内审需要建立审计章程 外审需要有审计合同或者委托书
审计章 程
审计计 划
审计活 动
一、信息系统的审计流程-步骤
了解组织业务使命、目标、流程、组织背景及战略 政策、标准和作业指导、组织结构 风险评估及隐私保护 实施风险分析 内部控制审查(基于风险) 确定审计范围和审计目标 确定审计方法和审计战略 审计分工及后钱保障人员工作
测试计划 当业务和系统环境发生变化时,维护与更新计划
二、IT治理与管理-平衡记分卡
财务 客户 视角 视角
过程 学习 视角 视角
三、信息系统的购置、开发和实施-项目管理
项目:临时性的有交付成果的阶段性工作。 项目的任务要满足一定性能、质量、数量、技术指标等要求 项目里程碑和阶段交付物 规划IT 项目时,首先要考虑业务模式(商业模式、业务案例)
二、IT治理与管理-BCP与DRP之BCP
BCP:业务连续性计划,组织的各部门
BCP:责任属于高级管理层,高级管理层不能将责任分到下属 是业务流程,不是项目 关注焦点永远是关键业务流程的可用和持续运行 属于纠正性控制 做BIA(经营影响分析) 定期做BCP演练
二、IT治理与管理-BCP与DRP
DRP:灾难恢复计划,IT部门
一、信息系统的审计流程-风险
风险分类: 审计风险:与审计策略、计划 固有风险:与业务及组织有关 控制风险:于组织的政策及方法有关 检测风险:与审计师有关
风险三要素: 威胁 脆弱性 资产价值
一、信息系统的审计流程-风险管理
• 对信息资产或资源进行标识和分类
一
• 是评估与信息资产相关的威胁和脆弱性, 及其发生的可能性
三、信息系统的购置、开发和实施-数据转换
ISACA信息系统审计标准
ISACA信息系统审计标准S1 审计章程(Audit Charter)•信息系统审计职能机构或信息系统审计任务的目的、责任、权限及职责,应在审计章程或审计业务约定书中载明。
•审计章程或审计业务约定书应得到组织中适当的管理层的同意和批准。
S2独立性职业独立性•信息系统审计师在从事审计事项时,应该在实质和形式上独立于被审计方。
组织独立性•信息系统审计职能机构应充分独立于被审计单位,以实现审计目标。
S3职业道德及准则•信息系统审计师应遵守信息系统审计及控制协会规定的职业道德准则。
•信息系统审计师应保持应有的职业审慎态度,并坚持以审计准则为执业标准。
S4专业胜任能力•担任信息系统审计工作的审计师应当具备审计工作所必须的专门技能与学识。
•信息系统审计师要通过充分且持续的职业后续教育,以保持和提高其专业胜任能力。
S5计划•信息系统审计人员应依据审计目标和相应的法律和审计准则,对信息系统审计工作编制审计计划。
•信息系统审计人员应编制基于风险的审计方法•信息系统审计人员应编制详细的审计计划,包括审计性质、目标、范围和所需的资源。
•信息系统审计人员应编制审计程序和步骤。
S6审计工作的实施•监督一信息系统审计人员应受到适当的监督,以确保实现审计目标,并遵守审计准则。
•证据在信息系统审计过程中,信息系统审计人员应当搜集充分的、可靠的、相关的和有用的证据,以有效实现审计目标。
审计师的审计发现和审计结论必须以合理的分析、利用审计证据为基础。
•审计底稿一审计过程应该有书面记录,以表明审计工作和审计证据支持信息系统审计人员的发现和结论。
S7报告•信息系统审计人员在完成审计工作后,应向委托者出具按照适当的格式编制的审计报告。
审计报告应当标明机构名称、审计报告报送对象以及报告使用限制。
•审计报告应当说明审计范围、审计目标、审计工作所涵盖的期间及所执行审计工作的性质和内容。
•审计报告应当说明审计人员执行审计工作中所发现的问题、形成的结论和建议以及审计师关于审计的任何保留意见。
ISACA信息系统审计准则体系浅析
ISACA信息系统审计准则体系浅析[摘要]鉴于ISACA颁布的信息系统审计准则的权威性和代表性,本文指出ISA准则体系中标准、指南和程序3个层次的结构关系及标准与指南之间的交叉关联,并总结出最新的、有效的ISA相关准则,以便更深刻地认识ISA准则。
[关键词] ISACA;ISA准则;标准;指南;程序[中图分类号]F239.1[文献标识码]A[文章编号]1673-0194(2007)03-0069-03国际上信息系统审计(ISA)的概念起始于20世纪60年代,纸质会计凭证的电子化使得审计人员在开展传统审计业务的过程中不得不关注电子数据的取得、分析、计算等数据处理业务。
那时人们开始称这种审计为计算机审计(Computer Audit)或电子数据处理审计(EDP审计)。
20世纪90年代以来,信息系统日趋复杂,网络技术得到广泛应用,如何确保网络平台上的信息系统的安全、可靠和有效变得越来越重要,在发达国家ISA逐渐普及起来,人们对ISA准则的作用更加重视。
在制定ISA准则,开展ISA研究方面,美国走在了前面。
早在计算机进入实用阶段时,美国就开始提出系统审计(System Audit)。
1969年在洛杉矶成立了电子数据处理审计师协会(EDPAA),1994年该协会更名为信息系统审计与控制协会(Information System Audit and Control Association,ISACA),总部设在美国芝加哥,目前已经在世界上140多个国家设立了200多个分会,现有会员5万多人。
ISACA是从事信息系统审计的专业人员唯一的国际性组织,它通过制定和颁布ISA标准、实务指南等专业准则来规范和指导CISA的工作;它还设立了信息系统审计与控制基金会,从事相关领域的研究工作,以使该组织的成员能够分享其最新研究成果;通过在世界各地举办各种形式的研讨会、培训班等活动,增进国际间同业人员的交流。
ISACA还在许多国家举行一年一度的注册信息系统审计师(Certified Information System Auditor,CISA)考试,考试合格并获得执业资格者可在全球范围内开展ISA工作。
国际信息系统审计师cisa 信息安全职责
国际信息系统审计师cisa 信息安全职责摘要:1.CISA认证简介2.CISA认证对信息安全的重要性3.CISA认证持有者的职业优势4.如何在我国获得CISA认证5.CISA认证对个人和企业的价值正文:在国际信息系统领域,CISA(注册信息系统审计师)认证被视为一种权威的资格证书,它涵盖了信息系统审计、控制与安全等专业领域。
本文将详细介绍CISA认证的意义、优势以及在我国的认可程度和价值。
首先,让我们了解CISA认证。
CISA认证由国际信息系统审计与控制协会(ISACA)发起,自1978年起在全球范围内推广。
CISA认证涵盖了信息系统审计、控制与安全等专业领域,其专业知识和实务在该领域中具有广泛认可。
拥有CISA认证,意味着持证人在信息系统审计、控制和安全方面具备扎实的实践能力和专业素养。
那么,CISA认证在信息安全领域的重要性体现在哪里呢?首先,CISA认证是全球范围内公认的权威资格证书,它证明了持证人在信息系统审计、控制和安全方面的专业能力。
随着信息系统在企业中的地位日益重要,对具备相关专业技能的人才需求不断增长。
CISA认证持有者具备扎实的审计、控制和安全知识,能够帮助企业确保信息系统的安全稳定运行,降低风险。
接下来,我们来谈谈CISA认证持有者的职业优势。
拥有CISA认证的专业人才在全球范围内备受雇主青睐,因为他们具备先进的信息系统审计、控制和安全技能。
此外,CISA认证持证人在求职和职场晋升方面也具有竞争优势。
根据薪资调查数据,CISA认证持有者的薪资水平往往高于同行。
对于我国而言,CISA认证也逐渐得到了广泛认可。
在中国,CISA认证持有者分布在银行、证券、政府、高端制造业、信息服务业等高端行业。
越来越多的企事业单位开始重视CISA认证,并将其作为评价信息系统审计、控制和安全专业人才的重要标准。
最后,我们来谈谈CISA认证对个人和企业的价值。
对于个人而言,获得CISA认证有助于提升专业素养,增强在职场中的竞争力。
信息系统审计指南(COBIT-中文版)
COBIT信息技术审计指南<34个控制目标>计划和组织〔选择3/6/11〕1 定义战略性的信息技术规划〔PO1〕PO域控制的IT过程:定义战略性的IT规划满足的业务需求:既要谋求信息技术机遇和IT业务需求的最佳平衡,又要确保其进一步地完成实现路线:在定期从事的战略规划编制过程中,要逐渐形成长期的计划,长期的计划应定期地转化成设置清晰并具体到短期目的的操作计划需要考虑的事项:企业的业务发展战略IT如何支持业务目标的明确定义技术解决方案和当前基础设施的详细清单追踪技术市场适时的可行性研究和现实性检查已有系统的评估在风险、进入市场的时机、质量方面,企业所处的位置需要高级管理层出钱、支持和必不可少的检查信息规范 IT资源P 效果 * 人员S 效率 * 应用## * 技术完整 * 设施可用 * 数据遵从可靠1.1 作为机构长期和短期计划一部分的IT高级管理层对开发和实施履行机构任务和目标的长期和短期的计划负责.在这一方面,高级管理层应确保IT有关事项以与机遇被适当地评估,并将结果反映到机构的长期和短期计划之中.IT的长期、短期计划应被开发,确保IT的运用同机构的使命与业务发展战略相结合.1.2 IT 长期计划IT管理层和业务过程的所有者要对有规律地开发支持机构总体使命和目的实现的IT长期计划负责.计划编制的方法应包括寻求来自受IT战略计划影响的相关内外部利害关系人引入的机制.相应地,管理层应执行一个长期计划的编制过程,采用一种结构化的方法,并建立一个标准的计划结构.1.3 IT 长期计划编制——方法与结构对于长期计划的编制过程来讲,IT管理层和业务过程的所有者应建立并采用一种结构化的方法.这样可以制定出高质量的计划,含盖什么、谁、怎样、什么时间和为什么等基本的问题.IT计划的编制过程应考虑风险评估的结果,包括业务、环境、技术和人力资源的风险.计划编制期间,需要考虑和充分投入的方面包括:机构的模式与其变化、地理的分布、技术的发展、成本、法律法规的要求、第三方或市场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外包、数据、应用系统和技术体系结构.已做出选择的好处应被明确地确定下来.IT长期和短期计划应使绩效指标和目标合并在一起.计划本身还应参考其它的计划,比如机构的质量计划和信息风险管理计划.1.4 IT 长期计划的变更IT管理层和业务过程所有者应确保与时、准确地修改IT长期计划的过程的到位,以适应机构长期计划的变化和IT环境的变化.管理层应建立一个IT长期和短期计划开发和维护所需要的政策.1.5 IT 功能的短期计划编制IT管理层和业务过程的所有者应确保IT长期计划有规律地转换成IT短期计划.这样的短期计划应确保适当的IT功能资源以与IT长期计划内容相一致的基础上来分配.短期计划应定期地进行再评估,并被作为适应正在变化的业务和IT环境所必须的事项而改进.可行性研究的与时执行应确保短期计划的实行是被充分地启动的.1.6 IT 计划的交流管理层应确保IT长期和短期计划同业务过程所有者以与跨越机构的其他相关部门人员的充分沟通.1.7 IT 计划的监控和评估管理层应建立一个流程,获取和报告来自业务过程所有者和用户有关长期和短期计划的质量与有效性的反馈.获取的反馈应予以评估,并在将来的IT计划编制中加以考虑.1.8 现有系统的评估在开发或变更战略规划或长期计划、IT计划之前,IT管理层应按照业务自动化的程度、功能性、稳定性、复杂性、成本、优势和劣势,评估现有信息系统,以确定现有系统支持机构业务需求的程度.对高级和详细的控制目标进行审计:获得了解:访谈:首席执行官〔CEO〕首席运营官〔COO〕首席财务官〔CFO〕首席信息官〔CIO〕IT计划/指导委员会成员IT高级管理层和人力服务职员获得:与计划编制过程想关联的政策和程序高级管理层的指导角色和责任机构的目标和长短期的计划IT的目标和长短期的计划状况的报告和计划/指导委员会的会议纪要评估控制:考虑是否:IT或者业务的企业政策和程序选择了一种结构化的计划编制方法方法到位,以便明确地表达并能够修改计划,起码它们要包括:• 机构的使命和目的• 支持机构使命和目的的IT初始• IT初始的机遇• IT初始的可行性的研究• IT初始的风险评估• 当前和未来IT的最佳投资• 反映企业使命和目的变化的IT初始的再造• 数据应用、技术和机构可选择战略的评估机构的变化、技术的发展、规章的要求、业务过程的再造、员工的安置、自己开发和外包,等等被考虑,并在计划编制过程中充分地从事长短期的IT计划存在,是当前的,充分针对全部企业、它的使命和关键的业务职能部门IT项目由IT计划编制方法中确定的适当文档所支持确保IT目标和长短期计划持续地满足机构目标和长短期计划的检查点存在由过程所有者和高级管理层评价和结束的IT计划发生根据业务自动化程度、功能性、稳定性、复杂性、成本、优势和弱点,IT计划评估现有的信息系统对信息系统与其支持的基础设施的长期计划编制的缺乏,导致系统不能支持企业的目标和业务的过程,或者不能提供适当的完整、安全和控制评定遵从性:测试:来自反映计划编制过程的IT计划编制/指导委员会的会议纪要计划编制方法的可交付使用物的存在,作为预先的规定相关IT的初始被包括在IT长短期的计划当中〔也就是硬件的变化、容量计划编制、信息体系结构、新系统开发或获取、灾难恢复计划编制、新处理平台的安装,等等〕IT初始支持长短期计划,并要考虑调查、培训、人员安置、设施、硬件和软件的需求IT初始的技术含义已经被确定最优化当前和将来IT投资的考虑已经给出IT长短期计划与机构的长短期计划和组织的需求保持一致计划已经发生改变,以反映正在变化的条件IT长期计划定期转化成短期计划存在实现计划的任务证实没有满足业务目标的风险:执行:依照类似的机构或者适当的国际标准/公认的行业最好实践的战略IT计划的基准确保IT初始反映机构的使命和目的的IT计划的详细评价决定是否机构之内已经知道的虚弱区域正在被确认为计划当中IT解决方案的一部分而加以改进的IT计划的详细评价确定:满足机构使命和目的的IT失败与长期计划相匹配的短期计划的IT失败满足短期计划的IT项目的失败满足成本和时间准则的IT失败错过的业务机遇错过的IT机遇2 定义信息体系结构〔PO2〕控制的IT过程:定义信息体系结构满足的业务需求:优化信息系统的机构实现路线:创建并维护一个业务信息模型,确保定义适当的系统,以优化信息的使用需要考虑的事项:自动化的数据存贮和字典数据语法规则数据所有权和关键性/安全性程度分类表述业务的信息模型企业信息体系结构标准信息信息规范 IT资源P 效果人员S 效率 * 应用S ##技术S 完整设施可用 * 数据遵从可靠2.1 信息体系结构模型信息应与需求保持一致,并应以某种格式和期限进行识别、获取和交流,而这些格式和期限能使人们与时、有效地履行他们的职责.相应地,围绕企业的数据模型和相关的信息系统,IT的职能应是建立并有规律地更新信息体系结构模型.信息体系结构模型应与IT长期计划保持一致.2.2 企业数据字典和数据语法规则IT的职能应确保包含机构数据语法规则的企业数据字典的建立以与持续的更新.2.3 数据分类方案在按信息类别〔如安全类〕进行分类的数据放置以与所有权分配方面,应建立一个总体的分类框架,应适当定义各类别的访问规则.2.4 安全等级对于上述确定的每一个"不需要保护"级别以上的数据分类,管理层应定义、执行和维护这些安全等级.对于每一个分类来讲,这些安全等级应描述适当的〔最小的〕一套安全和控制尺度,应定期进行再评估并做相应的修改.对于区域范围广阔的企业,应建立支持不同安全等级的标准,以适应正在发展的电子商务、移动计算和远程办公环境的需要.对高级和详细的控制目标进行审计:获得了解:访谈:首席信息官〔CIO〕IT计划/指导委员会成员IT高级管理层安全官获得:与信息体系结构相关的政策和程序信息体系结构模型支持信息体系结构模型的文档,包括企业数据模型企业数据字典数据所有者政策高级管理层指导的角色和责任IT的目标和长短期计划状况报告和计划编制/指导委员会会议纪要评估控制:考虑是否:IT政策和程序选择了数据字典的开发和维护用于修改信息体系结构模型的过程是以长短期计划为基础的,考虑了相关成本和风险,并且该模型变化之前,要确保高级管理层同意有一个过程用来保持数据字典和数据语法规则处于最新状态有一个媒介用来分发数据字典,确保开发区域的可达性并立即反映变化IT政策和过程要选择数据的分类,包括安全种类和数据所有者,数据分类的访问规则要被清晰和适当地定义要为那些不包含数据分类标识符的数据资产定义缺省的分类标准IT政策和程序要选择以下内容:• 需要数据所有者〔在数据所有者政策上定义〕的授权过程要到位,以便批准该数据的所有访问以与数据的安全属性• 每一个数据分类的安全等级要被定义• 访问等级被定义,并且对于数据分类来说是适当的• 访问敏感数据需要清楚的访问级别,数据的提供要以"需要知道"为基础评定遵从性:测试:信息体系结构模型上的变化,确定这些变化反映了IT长短期计划与其所确定的成本和风险评估数据字典的任何修改以与数据字典上变化的影响,确保它们被有效地沟通各种运作的应用系统和开发项目,以确定数据字典被用作数据定义足够的数据字典文档,以确定这些文档为每一个数据项定义了数据的属性和安全等级数据分类、安全等级、访问等级和缺省的适当性每一个数据分类都要清晰地定义:• 谁可以访问• 谁对决定适当的访问级别负责• 所需访问的明确批准• 访问的特定需求〔也就是非披露或者##性协议〕证实没有满足业务目标的风险:执行:依照类似机构或适者国际标准/公认的行业最好实践的信息体系结构模型的基准针对关键元素的完整性,数据字典的详细评价对定义为敏感数据的安全等级的详细评价,以校验访问的适当授权被获得,被许可的访问与定义在IT政策和程序中的一致确定:信息体系结构模型和企业数据模型、企业数据字典、相关信息系统以与IT长短期计划中的矛盾过时的企业数据字典项和由于数据字典变化的不良的沟通丧失了时效性的数据语法规则???所有者不清楚和/或没有适当定义的数据项没有被适当定义的数据分类与"需要才能知道"的原则不一致的数据安全等级3 决定技术方向〔PO3〕控制的IT过程:决定技术方向满足的业务需求:利用目前可用的和正在出现的技术,推动业务战略的实施并使业务战略成为可能实现路线:建立并维护技术基础设施计划,该计划,依据产品、服务和交付机制,建立并管理技术能够提供的清晰和现实的预期需要考虑的事项:当前基础设施的容量通过可靠的来源,监测技术发展引导概念的检验风险、约束和机遇获取的计划移植战略和路线与供应商的关系独立的技术再评估硬件和软件的性能/价格比的变化信息规范 IT资源P 效果人员S 效率应用## * 技术完整 * 设施可用数据遵从可靠3.1 技术基础设施计划编制IT的职能部门应建立并有规律地更新与IT长期和短期计划保持一致的技术基础设施计划.这样的计划应围绕诸如系统体系结构、技术方向和移植策略等方面.3.2 监测未来的趋势和法规IT的职能部门应能够确保对未来趋势和法规环境的持续监测,以便这些因素能够在技术基础设施计划的开发和维护期间被考虑在内.3.3 技术基础设施的不确定事件技术基础设施计划应在偶然事件方面〔即基础设施的冗余、恢复、充足性和发展能力〕进行系统地评估.3.4 硬件和软件获取计划IT管理层应确保制定硬件和软件的获取计划,并要反映在所确定的技术基础设施计划的需求中.3.5 技术标准以技术基础设施计划为基础,IT管理层应定义技术规范以培养标准化的意识. 对高级和详细的控制目标进行审计:获得了解:访谈:首席执行官〔CEO〕首席运营官〔COO〕首席财务官〔CFO〕首席信息官〔CIO〕IT计划/指导委员会成员IT高级管理层获得:与技术基础设施计划编制和监控相联系的政策和程序高级管理层指导角色和责任机构目标和长短期计划IT目标和长短期计划IT硬件和软件获取计划技术基础设施计划技术标准状况报告和计划编制/指导委员会会议纪要评估控制:考虑是否:为确认被提议的变化首先被检查以评估相关联的成本和风险,为确认高级管理层的批准先于计划的变化被获得,有一个创造并有规律地更新的技术基础设施计划的过程技术基础设施计划与IT长短期计划相比较有一个过程来评估机构的当前技术状态,确保环绕诸如系统体系结构、技术方向和移植战略等方面IT政策和程序确保选择了评估和监控当前和将来的技术趋势和规章条件的要求,并且在技术基础设施计划的开发和维护期间被考虑技术获取的后勤和环境影响要被计划IT政策和程序确保选择了系统地评估技术计划意外的需求〔也就是基础设施的冗余、恢复力、足够性和发展能力〕IT管理层评估正在出现的技术,并将适当的技术合并到当前的IT基础设施之中对于硬件和软件的获取计划来讲,它是遵从技术基础设施计划中所确定的要求并被适当地批准的实践在技术基础设施计划中所描述的技术组成的技术标准是到位的评定遵从性:测试:IT管理层理解并使用技术基础设施计划技术基础设施计划上的变化,以确定相关的成本和风险,这些变化要反映在IT长短期计划的变化中IT管理层要理解监控和评估正在出现技术的过程,并要将适当的技术合并到当前的IT基础设施之中IT管理层要理解系统评估技术计划意外的过程〔也就是说,基础设施的冗余、恢复力、充足性和发展能力〕为了充分地适应目前的已安装的硬件/软件以与在当前被批准的增加的新的硬件/软件,IT职能部门现有的物理环境硬件和软件获取计划遵从IT长短期计划,并要反映技术基础设施计划中所确认的需求技术基础设施计划选择利用当前和将来的技术技术标准被遵循,并作为开发过程的一部分而被合成一体被允许的访问与IT政策和程序中所定义的安全等级相一致,到位的访问要经过适当的授权证实没有满足业务目标的风险:执行:依照类似的机构或者适当的国际标准/公认的行业最好实践的技术基础设施计划编制的基准针对关键元素的完整性,数据字典的详细评价为敏感数据而定义的安全等级的详细评价确定:信息系统和IT长短期计划相关的信息体系结构模型和企业数据模型、企业数据字典的矛盾企业数据字典条款和数据语法规则的过时没有在技术基础设施计划中选择的以外方面没能反映技术基础设施计划需求的IT硬件和软件的获取计划与技术标准不一致的技术基础设施计划或IT硬件和软件获取计划数据字典中丢失的关键元素没有按照同样标准分类或者没有安全等级的敏感数据4 定义信息技术的机构与关系〔PO4〕控制的IT过程:定义IT的机构与关系满足的业务需求:提供正确的IT服务实现路线:定义一个数量上相配、具有角色和职责所要求技能的机构,与业务部门沟通、联合在一起,促进战略的实现,并规定有效的方向和适当的控制需要考虑的事项:董事会层面上的IT职责管理层对于IT的指导和监督IT与业务的结合关键决策过程中IT的参与机构的灵活性清晰的角色和职责平衡授权与监督工作岗位的描述人员级别和关键的人员在安全、质量和内部控制功能方面的机构配置职责的分离信息规范 IT资源P 效果 * 人员S 效率应用##技术完整设施可用数据遵从可靠4.1 IT 计划或指导委员会机构的高级管理层应指定一个计划或者指导委员会,来检查IT的职能与其活动.委员会的会员应包括来自高级管理层、用户管理层和IT职能方面的代表.委员会应实行例会制度,并向高级管理层报告.4.2 IT 职能的机构设置在整个机构机构设置IT职能过程中,高级管理层应确保其权力、关键时刻以与与用户部门的独立性到必要的程度,以便在执行时能够保证有效的IT解决方案和充分的进展,并要建立与顶级管理层的伙伴关系,以便在确定和解决IT问题时,能够帮助他们增强意识、理解和技能.4.3 机构绩效的评价应设置一个框架来评价机构的机构,以不断地满足目标和变化的环境.4.4 角色和责任管理层应确保机构中所有人员都具有并理解他们在相关信息系统中的角色和责任.所有的人员应具有足够的权力来行使分派给他们的角色和责任.角色的设置应考虑适当的职责分离.没有那个人能够控制一个交易或事件的所有关键环节.每个人都应认识到他们在内部控制和安全方面具有一定的责任.因此,应机构并承担起有规律的一些活动,以增强这方面的意识和纪律.4.5 质量保证的责任管理层应为IT职能部门的成员分配质量保证职能履行的责任,并确保适当的质量保证、系统、控制和存在于IT职能质量保证小组中的专家们的交流.IT职能内机构的布置以与质量保证小组的职责和规模应满足机构的需求.4.6 逻辑和物理安全的责任管理层应为信息安全经理正式地分配确保机构信息资产物理和逻辑安全的责任,并负责向高级管理层报告.最起码,安全管理职责应建立在整个机构范围的层次上,以便能够处理一个机构内的全部安全问题.如果需要,系统细节层次上的附加安全管理责任也应被分配,以应对相关的安全问题.4.7 所有者和管理者管理层应正式建立一个指定数据所有者和管理者的结构.他们的角色和责任应清楚地定义.4.8 数据和系统的所有者管理层应确保所有信息资产〔数据和系统〕都已指定了所有者,他们对信息资产的分类和访问权限具有决策的权利.典型地,系统所有者可以将日常管理委派给系统的交付/操作小组,将安全职责委派给安全管理员.然而,所有者仍然要保留对适当安全尺度维护的责任.4.9 监督高级管理层应执行适当的IT职能的监督实践,以保证角色和责任被完全地行使,评估所有的个人是否有足够的权力和资源完成他们的角色和职责,并要全面地评价关键的绩效指标.4.10 职责分离高级管理层应实施角色和职责的分离,避免单独的个人扰乱某个关键的过程.管理层还应确定每个人仅执行其工作和职位规定的各自的职责.尤其是下列职责之间责任分离的应维护.信息系统使用数据录入计算机操作网络管理系统管理系统开发和维护变更管理安全管理安全审计4.11 IT 人员配备员工需求评估应有规律地执行,以保证履行IT职能所需足够数量能胜任的IT员工.员工需求应至少每年评估一次,或根据业务、运作与IT环境的主要变化而执行.评估结果应尽快执行,以确保现在和将来员工的充足.4.12 IT 员工工作和职位的描述管理层应确保建立IT员工的职位描述,并有规律地被更新.这些职位描述应清楚地描绘权力和责任两方面,包括相关职位要求的技能和经验的详细说明,并要适合在绩效评估中使用.4.13 关键的IT 人员IT管理层应详细说明和识别关键的IT人员.4.14 与员工签约的政策和程序为了IT职能部门控制咨询和其它签约个人的活动,确保机构的信息资产处于保护之中,管理层应详细说明和执行相关的政策和程序.4.15 关系IT管理层应采取必要的行动,在IT职能部门和其它各种有利害关系的内外部IT职能部门〔即用户、供应商、安全官员、风险管理者〕之间,建立并维持一个最佳的协调、交流、联络的结构.对高级和详细的控制目标进行审计:获得了解:访谈:首席执行官〔CEO〕首席运营官〔COO〕首席财务官〔CFO〕首席信息官〔CIO〕质量保证官安全官IT计划/指导委员会成员、人力资源和高级管理层获得:高级管理层计划/指导角色和责任机构目标和长短期计划IT目标和长短期计划展示IT职能部门与与其它职能部门关系的机构机构图与IT机构和关系相关联的政策和程序与质量保证相关联的政策和程序用来决定IT人员需求的政策和程序IT职能部门的机构机构图IT职能部门的角色和责任IT关键位置〔工作〕的描述状况报告和计划/指导委员会会议纪要评估控制:考虑是否:来自高级管理层的政策声明和沟通确保IT职能部门的独立和权威IT计划/指导委员会的成员和职能部门已经被定义,责任已经被确定IT计划/指导委员会的章程使委员会的目的与机构的目标和长短期计划以与IT的目标和长短期计划联盟增强确定和解决信息管理问题的意识、理解和技能的过程到位政策选择了满足正在变化着的目标和环境的机构机构的评估和修改的要求决定IT职能部门效果和承诺的过程和绩效指标存在高级管理层要确保角色和责任被执行勾画机构内所有个人有关信息系统内部控制和安全的角色和责任的政策存在增加内部控制和安全意识以与纪律的有规律的活动存在质量保证的职能部门和政策存在质量保证职能部门要充分地独立于系统开发人员,并要有执行其责任的适当人员和专门技术确定时间资源并确保质量保证测试的完成以与系统或者系统变化被执行前的审批的质量保证之内的过程要到位为了安全官的内部控制和安全〔逻辑和物理两者〕政策和程序的明确表达,管理层应正式地分配机构范围内的责任安全官的职位的角色和责任的了解被充分地理解,并被证明与机构的信息安全政策一致机构的安全政策清晰地定义每一个信息资产的所有者〔如,用户、管理层和安全管理员〕被要求执行的信息安全的责任含盖数据和系统所有者所有主要数据源和系统的政策和程序存在有规律地评价并维护数据和系统所有者变化的程序存在描述监督实践,确保角色和责任被适当地行使,并且所有的人员有足够的权威和资源执行其角色和责任的政策和程序存在。
中国注册会计师审计准则 信息系统审计-概述说明以及解释
中国注册会计师审计准则信息系统审计-概述说明以及解释1.引言1.1 概述信息系统审计是中国注册会计师审计准则中的一个重要部分。
随着信息技术的迅猛发展,企业在运营过程中越来越依赖信息系统,其在企业内部的作用愈发重要。
信息系统不仅仅是处理和存储数据的工具,还应该能够提供有关企业财务状况和运营状况的准确和可靠的信息。
因此,对于信息系统的审计就显得尤为必要。
信息系统审计旨在评估和验证企业信息系统的安全性、完整性、可靠性、有效性以及合规性。
通过对信息系统的审计,可以发现潜在的安全风险和漏洞,及时采取相应的措施来保护企业的信息资产和业务运营。
同时,信息系统审计还可以验证信息系统是否按照相关的规定和准则进行运行,以确保相关法律法规、行业标准和企业内部的政策得到有效的遵守。
信息系统审计的过程主要包括对信息系统的规划和控制环境的评估、安全管理体系的审查、系统开发和采购过程的审计、系统实施和维护的审计等。
通过这些审计活动,可以对信息系统的各个方面进行全面的评估和检查,识别出潜在的问题并提出相应的解决方案。
在中国注册会计师审计准则中,信息系统审计被视为一项重要的工作,其目的是保护企业的信息资产和业务运营的安全,提高信息系统的可靠性和有效性,并促进企业的可持续发展。
通过遵循相关法律法规和行业标准,确保信息系统的运行符合规范,并通过有效的监控和管理来减少潜在的风险和错误。
综上所述,信息系统审计在中国注册会计师审计准则中起到了重要的作用。
通过对信息系统进行全面的评估和审计,可以有效地保护企业的信息资产和业务运营,提高信息系统的可靠性和有效性。
在未来,随着技术的不断进步和风险的不断增加,信息系统审计将会面临更多的挑战和机遇,需要不断更新和完善相关的准则和规定,以适应不断变化的业务环境和需求。
1.2 文章结构文章结构部分内容:文章结构部分旨在提供本文的整体框架和组织结构。
本篇长文按照以下章节进行组织:引言部分主要包括概述、文章结构和目的。
信息系统审计准则
第一章总则第一条为了规范信息系统审计工作,提高审计质量和效率,根据《内部审计基本准则》,制定本准则。
第二条本准则所称信息系统审计,是指内部审计机构和内部审计人员对组织的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动。
第三条本准则适用于各类组织的内部审计机构、内部审计人员及其从事的信息系统审计活动。
其他组织或者人员接受委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。
第二章一般原则第四条信息系统审计的目的是通过实施信息系统审计工作,对组织是否实现信息技术管理目标进行审查和评价,并基于评价意见提出管理建议,协助组织信息技术管理人员有效地履行职责。
组织的信息技术管理目标主要包括:(一)保证组织的信息技术战略充分反映组织的战略目标;(二)提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性;(三)提高信息系统运行的效果与效率,合理保证信息系统的运行符合法律法规以及相关监管要求。
第五条组织中信息技术管理人员的责任是进行信息系统的开发、运行和维护,以及与信息技术相关的内部控制的设计、执行和监控;信息系统审计人员的责任是实施信息系统审计工作并出具审计报告。
第六条从事信息系统审计的内部审计人员应当具备必要的信息技术及信息系统审计专业知识、技能和经验。
必要时,实施信息系统审计可以利用外部专家服务。
第七条信息系统审计可以作为独立的审计项目组织实施,也可以作为综合性内部审计项目的组成部分实施。
当信息系统审计作为综合性内部审计项目的一部分时,信息系统审计人员应当及时与其他相关内部审计人员沟通信息系统审计中的发现,并考虑依据审计结果调整其他相关审计的范围、时间及性质。
第八条内部审计人员应当采用以风险为基础的审计方法进行信息系统审计,风险评估应当贯穿于信息系统审计的全过程。
第三章信息系统审计计划第九条内部审计人员在实施信息系统审计前,需要确定审计目标并初步评估审计风险,估算完成信息系统审计或者专项审计所需的资源,确定重点审计领域及审计活动的优先次序,明确审计组成员的职责,编制信息系统审计方案。
国际审计中文准则
国际审计中文准则国际审计中文准则是指国际审计与保证准则(International Standards on Auditing and Assurance)的中文版本。
该准则由国际审计与保证准则委员会(International Auditing and Assurance Standards Board)制定,并由许多国家和地区的审计机构和组织采纳和应用。
一、审计的目的和范围:国际审计中文准则明确了审计的目的是发表关于财务报表的审计意见,以确保报表的真实性和可信度。
同时,准则还规定了审计的范围,包括对财务报表的审计,以及与审计相关的其他事项。
二、审计程序和方法:国际审计中文准则规定了审计人员应遵循的审计程序和方法。
这些包括确定审计风险、收集证据、进行审计测试和分析、对内部控制进行评估等。
三、审计文件和报告:国际审计中文准则规范了审计文件的编制和保存要求,以及审计报告的内容和形式。
审计文件需要清晰地记录审计人员的工作步骤、收集的证据和做出的判断,以便审计工作的审查和复核。
四、专业判断和审计估计:国际审计中文准则要求审计人员在进行审计工作中,需运用专业判断和审计估计。
审计人员应基于对企业经营和财务状况的理解,考虑与审计相关的各种因素,并根据其专业判断做出审计决策。
五、与法律和法规的一致性:国际审计中文准则规定了审计人员在执行审计工作时需要遵守适用的法律和法规。
审计人员应了解并遵守当地以及国际的法律法规,以便进行合法、规范的审计活动。
然而,需要注意的是,国际审计中文准则并非是普遍适用的,它可能因为国家和地区的具体需求而略有不同。
因此,在应用国际审计中文准则时,审计人员还需要结合本国的法律法规和实践要求,进行适当的调整和解释。
it审计 标准
it审计标准
IT审计的标准主要包括以下几项:
1. 信息系统审计准则(ISACA):该准则是国际上广泛接受的IT审计标准,为IT审计的程序和框架提供了详细的指导。
2. 内部控制整体框架(COSO):这个标准为企业提供了对内部控制系统进行评估和改进的框架,对IT审计来说也是重要的参考依据。
3. 萨班斯法案(SOX):该法案对上市公司财务报告的内部控制提出了严格的要求,也是IT审计的一个重要标准。
4. 信息及相关技术控制目标(COBIT):这是一个由美国信息系统审计与控制协会(ISACA)制定的一系列IT治理和控制的流程和目标,为IT审计提
供了详细的指南。
5. 中国IT审计标准:我国也有自己的IT审计标准,如《中华人民共和国计算机信息系统安全保护条例》等。
在进行IT审计时,应遵循上述标准,确保审计的准确性和有效性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统审计标准S1-审计章程导言01 ISACA 标准和其它相关指南包含强制性的基本原则和重要程序(以粗体标出)。
02 制定信息系统审计标准的目的是就审计章程在审计程序中的运用制定和提供指南。
标准03 信息系统审计职能或信息系统审计任务的目的、责任、授权方和义务应在审计章程或委托书中予以正确的登载。
04 审计章程或委托书应在组织内的适当层次得到同意和通过。
注释05 对于内部信息系统审计职能,应为所有进行中的业务活动制定一份审计章程。
审计章程应通过年度审查。
如果责任发生变动或变化,则应缩短审查周期。
内部信息系统审计师可用委托书来进一步澄清或确认参与特定的审计或非审计任务。
外部信息系统审计师参与每项审计或非审计任务通常应当准备委托书。
06 审计章程或委托书应足够详细以便能表达审计功能或审计任务的目的、责任和限制。
07 审计章程或委托书应定期审查,以确保(审计的)目的和责任已经记录在案。
08 如需有关准备审计章程或委托书进一步的信息,应参考下列指南:信息系统审计指南G5,审计章程COBIT 框架,监控目标M4实施日期09 此ISACA 标准适用于所有信息系统的审计,于2005 年1 月1 日起(之后)实施。
信息系统(IS)审计的专业性和进行这类审计所需的技术,要求制定出专门适用于信息系统审计的标准。
推进全球适用的标准以实现这个目标是信息系统审计与控制协会(ISACA®)的宗旨之一。
信息系统审计标准的发展和传播是ISACA 为审计业界作出专业贡献的基础。
信息系统审计标准的框架提供了多层次的指引:标准为信息系统审计和报告定义了强制性的要求。
它们宣告:–根据ISACA 职业道德规范中关于职业责任的规定,信息系统审计师的执行绩效所应达到的最低标准。
–管理层和其他利益方对执业者在专业工作上的期待。
–认证信息系统审计师(CISA®)资格持有人的相关特定要求。
CISA 资格持有人未能遵守上述标准的可能会导致ISACA董事会或相应ISACA 委员会对其进行调查直至最终的纪律处分。
指南为信息系统审计标准的实施提供了指引。
信息系统审计师在标准的实施程序中应参考指南,同时作出职业判断,对背离标准的做法应随时提供解释。
信息系统审计指南的目标是为达到信息系统审计标准提供进一步信息。
程序为信息系统审计师提供审计项目中可以遵循的步骤范例。
程序文件提供信息系统审计工作开展中如何达到相关标准的信息,但并非硬性规定。
信息系统审计程序的目标是为达到信息系统审计标准提供进一步信息。
COBIT®资源应被当作最佳操作实施指南的来源。
COBIT 框架强调,“保护企业的所有资产是管理层的责任,为履行这一责任以及实现企业的期望,管理层必须建立起一套完善的内部监控体系。
” COBIT 为信息系统管理环境提供了详细的监控和监控方法。
基于特殊的COBIT 信息技术程序选择和对COBIT 信息标准的考虑来选用与特定审计范围最相关的材料。
依 COBIT 框架中所定义,以下各项由IT 管理程序进行组织。
COBIT 为商业及IT 管理层以及信息系统审计师而计,所以它的运用有助于商业目标的理解,最佳操作实施的交流和围绕已经达成共识和广受尊重的标准参考体系的意见的形成。
COBIT 包括:监控目标—广义上所需达到的最低限度良好监控之总括和详述。
监控实施—监控目标的实务原理和“如何实现”监控目标的指南。
审计指南—对于不同监控领域,如何理解和评估各种监控,考核监控的符合性和证实失控风险的指南。
管理方针—如何运用成熟度模型,指标和关键性成功因素等方法来评估和提高IT 程序执行绩效的指南。
它们提供一种针对管理层的框架应用于连续性和自发性的监控自我评估,特别专注于:–绩效衡量—IT 功能支持商用需求效果如何?管理方针既可用于支持自我评估的专题研讨,也可被管理层作为IT 管治方案的一部分,用以支持持续监督和程序改进的推行。
– IT 监控概况—哪些IT 程序是重要的?哪些是监控的关键性成功因素?–监控意识—达不到目标会有哪些风险?–监控基准—其他人做了什么?如何衡量和比较结果?管理方针提供了对IT 绩效的范例指标,可用于商业意义上对IT 执行绩效的评估。
关键的目标指标可以识别并衡量IT 程序的成果,同时关键的执行绩效指标可以通过衡量程序的实现者来评估程序的执行绩效。
透过成熟度模型和成熟度属性提供能力评估和基准,帮助管理层衡量监控能力,找到差距并提出相应改善策略。
术语表可在ISACA 的网站:/glossary 上查阅。
审计和审查这两个词可以互换使用。
免责声明根据ISACA 职业道德规范中对职业责任的规定,ISACA 设计本指南作为执行绩效所应达到的最低标准。
ISACA 并未声明使用此产品一定会出现成功的结果。
本出版物不能被视作包括所有合适的程序和测试,也不能被视作排斥通过合理引导获得同样结果的其它程序和测试。
在决定任何具体的程序或测试的合理性时,监控专业人士应根据其自身的专业判断来判别由特定系统或信息技术环境产生的特定监控条件。
ISACA 标准管理委员会致力于为信息系统审计标准、指南和程序的制定作出广泛的咨询。
在发布任何文件之前,标准管理委员会向全球提供公开草案,供大众评论。
标准管理委员会也寻求相关领域的专家和相关人士对必要处提出咨询意见。
标准管理委员会现有研发计划,欢迎ISACA 成员和其它相关人士报告任何新出现问题及其所需的新标准。
所有建议请电邮至(*******************)。
或传真(+1.847.253.1443)或写信(地址在文件末尾)至ISACA 国际总部,收件人注明研究标准和学术关系主任。
本材料于 2004 年10 月15 日颁布。
S2-审计独立性引言01 ISACA 标准和其它相关指南包含强制性的基本原则和重要程序(以粗体标出)。
02 制定信息审计标准的目的是为审计程序中的独立性确立相应的标准和指南。
标准03 职业独立性对于所有与审计相关的事务,信息系统审计师应当在态度和形式上独立于被审计单位。
04 组织独立性信息审计职能应当独立于受审查的范围或活动之外,以确保审计工作完成的客观性。
注释05 审计章程或委托书中应当针对审计职能的独立性和义务做出相应的规定。
06 信息系统审计师应该在审计过程中随时保持态度和形式上的独立性。
07 如出现独立性受损的现象,无论是在实质上还是在形式上,应向有关当事人披露独立性受损的细节。
08 信息系统审计师应当在组织上独立于被审计的范围。
09 信息系统审计师、管理层和审计委员会(如果设立)应当定期对独立性进行评估。
10 除非被其他职业标准或管理机构所禁止,当信息系统审计师虽然参与信息系统项目,但是担当的并不是审计角色的时候,则并不要求信息系统审计师保持独立性,或者在形式上表现出独立性。
11 如需获得关于职业或组织独立性的进一步信息,请参考以下指南:信息系统审计指南G17,非审计角色对信息系统审计师独立性的影响信息系统审计指南G12,组织关系和独立性COBIT 框架,监控目标M4实施日期12 此ISACA 标准适用于所有信息系统的审计工作,于2005 年1 月1 日起实施。
信息系统审计与控制协会2004-2005 年标准管理委员会Chair, Sergio Fleginsky, CISA PricewaterhouseCoopers, UruguaySvein Aldal Aldal Consulting, NorwayJohn Beveridge, CISA, CISM, CFE, CGFM, CQA Office of the Massachusetts State Auditor, USAClaudio Cilli, Ph.D., CISA, CISM, CIA, CISSP Value Partners, ItalyChristina Ledesma, CISA, CISM Citibank NA Sucursal, UruguayAndrew MacLeod, CISA, CIA, FCPA, MACS, PCP Brisbane City Council, AustraliaV. Meera, CISA, CISM, ACS, CISSP, CWA Microsoft Corporation, USARavi Muthukrishnan, CISA, CISM, FCA, ISCA NextLinx India Private Ltd., India Peter Niblett, CISA, CISM, CA, CIA, FCPA WHK Day Neilson, AustraliaJohn G. Ott, CISA, CPA Aetna Inc., USAThomas Thompson, CISA Ernst & Young, UAE© Copyright 2004Information Systems Audit and Control Association3701 Algonquin Road, Suite 1010Rolling Meadows, IL 60008 USA电话:+1.847.253.1545传真:+1.847.253.1443E-mail: *******************网站:__信息系统(IS)审计的专业性和进行这类审计所需的技术,要求制定出专门适用于信息系统审计的标准。
推进全球适用的标准以实现这个目标是信息系统审计与控制协会(ISACA®)的宗旨之一。
信息系统审计标准的发展和传播是ISACA 为审计业界作出专业贡献的基础。
信息系统审计标准的框架提供了多层次的指引:标准为信息系统审计和报告定义了强制性的要求。
它们宣告:–根据ISACA 职业道德规范中关于职业责任的规定,信息系统审计师的执行绩效所应达到的最低标准。
–管理层和其他利益方对执业者在专业工作上的期待。
–认证信息系统审计师(CISA®)资格持有人的相关特定要求。
CISA 资格持有人未能遵守上述标准的可能会导致ISACA董事会或相应ISACA 委员会对其进行调查直至最终的纪律处分。
指南为信息系统审计标准的实施提供了指引。
信息系统审计师在标准的实施程序中应参考指南,同时作出职业判断,对背离标准的做法应随时提供解释。
信息系统审计指南的目标是为达到信息系统审计标准提供进一步信息。
程序为信息系统审计师提供审计项目中可以遵循的步骤范例。
程序文件提供信息系统审计工作开展中如何达到相关标准的信息,但并非硬性规定。
信息系统审计程序的目标是为达到信息系统审计标准提供进一步信息。
COBIT®资源应被当作最佳操作实施指南的来源。