ISACA信息系统审计标准.doc

ISACA信息系统审计标准S1 审计章程(Audit Charter) 信息系统审计职能机构或信息系统审计任务的目的、责任、权限及职责，应在审计章程 或审计业务约定书中载明。 审计章程或审计业务约定书应得到组织中适当的管理层的同意和批准。 S2独立性职业独立性 信息系统审计师在从事审计事项时，应该在实质和形式上独立于被审计方。 组织独立性 信息系统审计职能机构应充分独立于被审计单位，以实现审计目标。S3职业道德及准则 信息系统审计师应遵守信息系统审计及控制协会规定的职业道德准则。 信息系统审计师应保持应有的职业审慎态度，并坚持以审计准则为执业标准。 S4专业胜任能力 担任信息系统审计工作的审计师应当具备审计工作所必须的专门技能与学识。 信息系统审计师要通过充分且持续的职业后续教育，以保持和提高其专业胜任能力。 S5计划 信息系统审计人员应依据审计目标和相应的法律和审计准则，对信息系统审计工作编制 审计计划。 信息系统审计人员应编制基于风险的审计方法 信息系统审计人员应编制详细的审计计划，包括审计性质、目标、范围和所需的资源。 信息系统审计人员应编制审计程序和步骤。 S6审计工作的实施 监督一信息系统审计人员应受到适当的监督，以确保实现审计目标，并遵守审计准则。 证据在信息系统审计过程中，信息系统审计人员应当搜集充分的、可靠的、相关的和 有用的证据，以有效实现审计目标。审计师的审计发现和审计结论必须以合理的分析、 利用审计证据为基础。 审计底稿一审计过程应该有书面记录，以表明审计工作和审计证据支持信息系统审计人 员的发现和结论。S7报告 信息系统审计人员在完成审计工作后，应向委托者出具按照适当的格式编制的审计报 告。审计报告应当标明机构名称、审计报告报送对象以及报告使用限制。 审计报告应当说明审计范围、审计目标、审计工作所涵盖的期间及所执行审计工作的性 质和内容。 审计报告应当说明审计人员执行审计工作中所发现的问题、形成的结论和建议以及审计师关于审计的任何保留意见。 信息系统审计人员应该有充分的、适当的审计证据来支持所报告的审计结论。 审计报告签发时，信息系统审计人员应该依据审计章程或审计业务约定书中的规定签 名、签署日期再对外发放。S8后续审计 信息系统审计人员应当要求并评价被审计单位对审计发现的问题、结论及建议的处理信 息，以判断被审计单位是否已及时妥善地处理了相关问题。S9不合规和非法行为 在计划和实施审计工作时，信息系统审计人员应该考虑不合规和非法行为等可能带来 的审计风险。 无论不合规和非法行为的风险评估结果如何，信息系统审计人员在实施审计作业时都 要对由于不合规和非法行为而导致的重大误报的可能性保持职业怀疑的态度。 信息系统审计人员应该了解组织及其所处的环境，包括内部控制。 信息系统审计人员应该获得充分的、适当的审计证据来确定组织内的管理层或其他人是 否了解任何事实上的或可能的不合规和非法行为。 在了解组织及其所处的环境时，信息系统审计人员应该注意那些不正常的人员关系，这 些人员可能实施不合规和非法行为而导致重大误报。 信息系统审计人员应该设计和实施测试程序，测试内部控制的适当性和是否存在管理层 超越控制的情况。 当信息系统审计人员确认被审计方存在误报事实时，审计人员应该评估该误报是否是因 为存在不合规和非法行为而产生的，可以通过审计其他方面相关的问题特别是管理层的 表现来发现不合规和非法行为的迹象。 根据审计业务的情况，信息系统审计人员每年至少一次获取管理层书面的声明，声明应 该包括有如下信息：-设计和实施内部控制以避免和检查不合规和非法行为是管理层的责任； -由于不合规和非法行为而产生重大误报的风险评估结果； -涉及管理层和内部控制中关键岗位发生的不合规和非法行为对组织的影响。 信息系统审计人员在与现在的员工和以前的员工等人员进行会谈的时候要了解正在影 响组织的所谓的不合规和非法行为的断言或疑问。 在确定或得到存在重大的不合规和非法行为的信息时，信息系统审计人员应该及时与适 当的管理层沟通该情况。 在确定重大的不合规和非法行为牵涉到管理层或和内部控制中关键岗位人员时，信息系 统审计人员应该及时与董事会沟通该情况。 信息系统审计人员应该将审计过程中所发现的内部控制设计和实施中的重大薄弱环节 告知管理层或董事会，并建议其改进相关控制，以避免发生不合规和非法行为并能检杳 出已发生的不合规和非法行为。 如果重大的误报或非法行为影响到信息系统审计人员继续实施审计工作时，信息系统审 计人员应该考虑该环境下的法律和职业责任。信息系统审计人员可以采取的行动有：向 业务主管人员报告、向公司治理机构或司法机构报告、中止审计业务。 信息系统审计人员应该将报告给管理层、公司治理机构或司法机构的有关不合规和非法 行为的所有沟通活动、计划、结果和结论等事项记录下来。S10 IT治理 信息系统审计人员应该检查和评估IS职能部门的使命、愿景、价值观、目标和战略是否 与组织相一致。 信息系统审计人员应该检查IS职能部门是否存在书面明确的业绩标准，评价其履行情 况。 信息系统审计人员应该检查并评价IS资源和业绩管理过程的效果。 信息系统审计人员应该检查并评价符合法律、环境和信息质量、委托人和安全等需要。 信息系统审计人员应该使用基于风险的审计方法来评价IS部门。 信息系统审计人员应该检查和评价组织的控制环境。 信息系统审计人员应该检查和评价威胁IS环境的风险。 S11在审计计划中运用风险评估 信息系统审计师应该在制定IS审计计划和确定优先分配有效的审计资源时使用适当的 风险评估技术或方法。 在计划单个审计项目时，信息系统审计师应该识别和评估与被审计范围相关的风险。ISACA信息系统审计指南索引序号审计指南名称生效曰G1使用其他审计人员的工作1998.6.1G2审计证据要求1998.12.1G3计算机辅助审计技术的使用（CAATs)1998.12.1G4IS业务外包1999.9.1G5审计章程1999.9.1G6审计信息系统重要性概念1999.9.1G7职业谨慎1999.9.1G8审计文档1999.9.1G9对非法行为的审计考虑2000.3.1G10审计抽样2000.3.1G11IS控制效果2000.3.1G12组织的关系与独立性2000.9.1G13审计计划中使用风险评估2000.9.1G14应用系统检查2000.11.1G15计划修订版2002.3.1G16第三方对组织IT控制的影响2002.3.1G17IS审计师从事非审计作业对审计独立性的影响2002.7.1G18IT治理2002.7.1G19不合规和非法行为2002.7.1G20审计报告2003.1.1G21企业资源计划（ERP)系统检查2003.8.1G22B2C电子商务检查2003.8.1G23系统开发生命周期（SDLC)检査2003.8.1G24互联网银行2003.8.1G25虚拟保密网的检