信息系统审计标准 概要

•根据审计业务的情况，信息系统审计人员每年至少一次获取管理层书面的声明，声明应该包

括有如下信息：

-设计和实施内部控制以避免和检查不合

规和非法行为是管理层的责任； -由于不

合规和非法行为而产生重大误报的风险评

估结果； -涉及管理层和内部控制中关键

岗位发生的不合规和非法行为对组织的影

响。

•信息系统审计人员在与现在的员工和以前的员工等人员进行会谈的时候要了解正在影响组织

的所谓的不合规和非法行为的断言或疑问。

•在确定或得到存在重大的不合规和非法行为的信息时，信息系统审计人员应该及时与适当的

管理层沟通该情况。

•在确定重大的不合规和非法行为牵涉到管理层或和内部控制中关键岗位人员时，信息系统审

计人员应该及时与董事会沟通该情况。

•信息系统审计人员应该将审计过程中所发现的内部控制设计和实施中的重大薄弱环节告知管

理层或董事会，并建议其改进相关控制，以避免发生不合规和非法行为并能检杳出已发生的不合规和非法行为。

•如果重大的误报或非法行为影响到信息系统审计人员继续实施审计工作时，信息系统审计人

员应该考虑该环境下的法律和职业责任。信息系统审计人员可以采取的行动有：向业务主管人员报告、向公司治理机构或司法机构报告、中止审计业务。

•信息系统审计人员应该将报告给管理层、公司治理机构或司法机构的有关不合规和非法行为

的所有沟通活动、计划、结果和结论等事项记录下来。

S10 IT治理

•信息系统审计人员应该检查和评估IS职能

部门的使命、愿景、价值观、目标和战略是

否与组织相一致。

•信息系统审计人员应该检查IS职能部门是

否存在书面明确的业绩标准，评价其履行情

况。

•信息系统审计人员应该检查并评价IS资源和

业绩管理过程的效果。

•信息系统审计人员应该检查并评价符合法律、环境和信息质量、委托人和安全等需要。

•信息系统审计人员应该使用基于风险的审计方

法来评价IS部门。

•信息系统审计人员应该检查和评价组织的控制环境。

•信息系统审计人员应该检查和评价威胁IS环境的风险。S11在审计计划中运用风险评估

•信息系统审计师应该在制定IS审计计划和

确定优先分配有效的审计资源时使用适当的风险评估技术或方法。

•在计划单个审计项目时，信息系统审计师应该识别和评估与被审计范围相关的风险。

ISACA信息系统审计指南索引