内容讲义分析

审计实质性文档信息系统（IS）审计的特殊性和进行审计所需的专门技术，要求制定出特殊的相关标准。ISACA的目标之一就是制定出可全球操作的审计标准以实现其愿景。信息系统审计标准的发展和是ISACA为该行业作出贡献的基础。信息系统审计标准的框架提供了多层次的指引：标准根据 职业道德规范中关于职业责任的规定，信息系统审计师的执行绩效所应达到的最低标准 阶层和相关单位对实施者在专业工作上的期待信息系统审计员（CISA®）资格持有人的相关特定要求。信息系统审计员资格持有人未能遵守上述标准可能会导致ISACA董事会或相应ISACA对其甚至最终处罚。指南为信息系统审计标准的实施提供了指引。信息系统审计员在标准的实施程序程序中应参考指南，同时作出专业型的判断，并能解释任何偏差。信息系统审计指南为达到信息系统审计标准提供进一步信息。程序为信息系统审计师提供审计项目中可以遵循的步骤范例。程序文件提供信息系统审计工作开展中如何达到相关标准的信息，但并非硬性规定。信息系统审计程序为达到信息系统审计标准提供进一步信息。COIT®资源应被当作最佳操作实施指南的来源。COBIT框架强调，“保护企业的所有资产是 阶层的责任。为履行这一责任以及实现企业的期望，阶层必须建立起一套合适的内部体系。CBIT为信息系统管理环境提供了详细的和方法。基于特殊的CBIT信息技术程序选择和对CBIT信息标准的考虑来选用与特定审计范围最相关的材料。依CBIT框架中所定义，以下各项由IT管理程序进行组织。CBIT为商业及IT管理层以及信息系统审计师而设计，所以它的运用有助于商业目标的理解，最佳操作实施的交流和围绕已经达成共识和广受尊重的标准参考体系的意见的形成。CBIT包括：目标—广义上所需达到的最低限度良好之总括和详述实施—对 目标的由来和“如何实现”的指南审计指南—对于不 领域，如何理解和评估各种，考核的符合性和证实失控风险的指南管理方针—如何运用成熟度模型，指标和关键性成功因素等方法来评估和提高IT程序执行绩效的指南。它们提供阶层一种应用于连续性和前摄性自我评估的框架。这模型体系特别专注于：绩效衡量—T功能支持需求效果如何？管理方针既可用于支持自我评估的研讨，也可作为T管治方案，用以支持持续监督和程序改进的应用。 概况—哪些IT程序是重要的？哪些是的关键性成功因素意识— 基准—其他人做了什么？如何衡量和比较结果？管理方针提供了对T绩效的范例指标，可用于商务领域对IT执行绩效的评估。关键的目标指标可以识别并衡量T程序的成果，同时关键的执行绩效指标可以通过衡量程序的实现者来评估程序的执行绩效。透过成熟度模型和属性提供可性评估和基准，帮助层衡量的可行性，识别间隙并提相应改善策略。术语表可在ISACA的 ary上查阅。审计和这两个词可以互换使用免责：根据ISACA职业道德规范中对职业责任的规定，ISACA设计本指南作为执行绩效所应达到的最低标准。ISACA并未使用此产品一定会出现成功的结果。物不能被视作包括任何合适的程序和测试，也不能被视作不包括通过合理应用获得同样结果的其它程序和测试。在决定任何具体的程序或测试的合理性时，专业人员应根据其自身的专业判断来判别由特定系统或环境产生的特定条件。ISACA标准管理可就信息系统审计标准、指南和程序的准备作出广泛的咨询。在发布任何文件之前，标准管理会向全球提供公开草案，供大众评论。标准管理也寻求相关论点专家和相关方对必要处提出咨询意见。标准管理现有研发部门，欢迎ISACA成员和其它感的提供新出现问题和新标准。所有建议请电邮至standards@)。或传真（+1.847.253.1443）或写信（地址在文件末尾）至ISACA国际总部，收件人注明研究标准和学术关系。本文于2006年5月15日颁布。引言 信息系统标准和其它相关指南包含强制性的基本原则和重要程序（以粗体标出）标审计工作在计划阶段时，信息系统审计师应该考虑控制的潜在弱点或缺乏控制，以及这些缺点或缺失是否会导致在信息系统中产生重大的缺失或严重的弱点。信息系统审计师应该考虑到,轻微的控制缺失或弱点以及缺乏控制所产生的累积效果，可能转变为信息系统中重大的缺失或严重的弱点。信息系统审计师应在报告中说明无效的控制或缺乏控制，控制缺失带来的重大影响，以及这些缺点导致重大的缺失或严重的弱点的可能性。其它审计风险是指信息系统审计师基于审计发现所得出的不正确结论的风险。信息系统审计师也应该注意到审计风险的三个组成要素，即固有风险，控制风险和检验风险。有关审计风险的讨论，请参考G13审计计划中风险评估的运用。当信息系统审计师计划并实施审计时，应该努力使审计风险降低至可接受的水平并能实现审计目标。可以通过对信息系统和相关控制的正确评估来实现这一目标。控制和/或没有使用控制和/或控制不足它必然会进一步一个严重的弱点是一个重大的缺失，或是一系列重大缺失的组合，这些缺点可能导致超过无法预防或检测不到的不良情况的微小可能的程度。审计实质性与信息系统审计师可接受的审计风险水平之间存在反比关系，即实质性（重大程度）低，反之亦然。这使信息系统审计师能够决定审计程序的性质，时间安排和范围。例如，在计划一个具体审计程序中，当信息系统审计师认定审计实质性较低时，则审计风险增加。信息系统审计师可以采取扩展控制检验（降低控制风险的评估）或扩展实质性的检验程序（降低检验风险的评估）来弥补不足。当确定一个控制缺失或一系列的控制缺失是属于一个重大的缺失或是严重的弱点时，信息系统审计师应该评估补偿性控制的效果及其是否有效。信息系统审计师应参考《信息系统审计指南G6审计信息系统的实质性概念有关审计实质性的信息，请参考如下指南信息系统审计指南G2审计要G5G8审计文件记G9审计注意事G13COBIT 管 ，2005《-奥克斯 控制目标》，管理，2004实施200671ISACA信息系统审信息系统审计2005-2006年标准管，SergioFleginskyCISAICIPaints，乌拉SveinAldalAldalConsultingJohnBeveridgeCISA,CISMCFE,CGFMCQAOfficeoftheMassachusettsStateAuditor，ChristinaLedesma,CISA,CISMCitibankNASucursal，乌拉圭AndrewMacLeod,CISA,CIA,FCPA,MACS,PCPBrisbaneCityCouncil，澳大利亚MeeraVenkatesh,CISA,CISM,ACS,CISSP,CWA RaviMuthukrishnan,CISA,CISM,FCA,ISCAIkanosCommunications，JohnG.Ott,CISA,CPAAmerisourceBergen，ThomasThompsonCISA,PMPErnst& 联合酋长InformationSystemsA