版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
2ISACA®(www.isaca.提供了知识、证书、教育、培训和社区,以促进他们的职业发展,改变他们的组织,乎道德的数字世界。ISACA是一家全球性的专业协会和在全球设有225个分会。通过成立ISACA基金会,ISACA“作品”)。ISACA不保证使用本作品就一定能取测试,不排除在其它信息、程序和测试的合理指导下获得同样结果的可能性。在确定任何具体信息、程序或测试的适宜性时,专业人员应就具体的情况(特©2026ISACA。保留所有权利。未经ISACA事先书面授用、复制、再版、修改、分发、显示和储存,也不得通过任何途径以任何形式(电子参加ISACA在线论坛:https:LinkedIn:www.linkediInstagram:www.instaISBN4国TraceyDedrick,2020-202l年ISACA董事会主席,SantanderHoldings前执行副总裁兼企业风险管理主管,美国6本页为空白页 企业 使用ITAF 其他标准制定机构发布的标准 13术语和定义 13ISACA职业伦理规范 13 通用标准1001:审计章程 15通用准则2001:审计章程 16 16 16通用标准1002:组织独立性 18通用准则2002:组织独立性 19 19 19 20 20通用标准1003:审计师的客观性 20通用准则2003:审计师的客观性 21 21 21 22 23 24 25 26 27通用标准1004:合理预期 27通用准则2004:合理预期 28 28 28 28 29 30 31 32通用标准1005:应有的职业谨慎 32通用准则2005:应有的职业谨慎 33 33 33 34 34 35 35 36通用标准1006:业务熟练 39通用准则2006:业务熟练 398 39 40 42 42 44通用标准1007:认定 45通用准则2007:认定 45 45 45 47 48 49 50通用标准1008:标准 51通用准则2008:标准 51 51 52 53 54 55 55 执行标准1201:规划中的风险评估 57执行准则2201:规划中的风险评估 57 57 58 59 61 61 62 62 63 64执行标准1202:审计安排 64执行准则2202:审计安排 65 65 65 66 67执行标准1203:业务规划 67执行准则2203:业务规划 68 68 69 69 702203.5记录审计和鉴证业务项目计划 70 72 73执行标准1204:执行与监督 75执行准则2204:执行与监督 76 76 77 77 78 79 80 81 82执行标准1205:证据 82执行准则2205:证据 83 83 83 85 86 88 88执行标准1206:使用其他专家的成果 88执行准则2206:使用其他专家的成果 89 89 90 91 91 92 92 92 93执行标准1207:违规和非法行为 93执行准则2207:违规和非法行为 93 93 94 96 97 98 99 100 101 102 103 报告标准1401:报告 105报告准则2401:报告 105 105 106 107 107 109报告标准1402:跟进活动 109报告准则2402:跟进活动 实际环境中应用要求,并提供了规划、执行、测试和报告的方式、方法和辅助材料。工具和技术是推动标准和准则应用的辅助手段。它们包括模板、检查清单、审计而足。常见的例子包括IT控制评估、网络安全和隐私审查、云和第三方为确保业务的一致性、可靠性和高质量,所有任务都必须遵循规定的标准。这些标在应用标准和准则时,从业人员还可以借鉴其他专为支持标准和准则的应用,从业人员可使用工具和技术作为辅助工具。这些辅助工是,从业人员应参考与待执行的特定业务类型有关的最新原始来源标准,以确保ISACA特别制定了《职业伦理规范》,以引导协会会员和认证持有人的职业行为及个人行为或证书持有人未能遵守《职业伦理规范》,相关部门可能对其行为进行调查,进而采取相本页为空白页行所有业务。这些标准为按照专业职责、适用的法律法规和企业目标进行规划、执行保持独立性、做出正确的判断、获取充分和适当的证据以及清晰地传达结果,从业人IT审计和鉴证职能应在审计章程中正式确定,章能独立性和与企业治理结构保持一致的基础。它确保任务明确,监督适当,并与1001.1IT审计和鉴证职能应在审计章程中正式确定,该章程应规1001.2IT审计和鉴证职能部门应将审计章程提请负责治理和监督审计和鉴证职能部门的机构(例如董事会和/或1001.3IT审计和鉴证职能部门应向执行/高级管理层沟通审计章程事宜。此外,应在启动会议和/或业务约定书1001.4通过定期审查审计章程,确保审计章程中反映的审计和鉴证职能部门的职责与企业致。如果企业的使命或战略发生变化,或者审计和鉴证职能部门的职责发生变化,必IT审计和鉴证从业人员应具有履行审计和鉴证职由治理机构正式批准,如董事会、审计委员会或与企业规模和结2001.2.12001.2.2审计章程应明确说明审计和鉴证职能部门的目的、职责、权限和责任(请参见2001.2.1)。以下部分详2001.2.3审计和鉴证职能的目的是通过评价和测试管理层实施的控制措的鉴证,确保风险得到适当管理。审计章程应包含审计、财务审计、运营审计、综合审计、专业审计(如第三方服务、2001.2.4审计和鉴证职能部门的职责是为企业增加价值,确保将企业的观点(例如战略、使命和监管整合到工作中,以及恪守职业期望。审计章程应包含以下部分,以支持审计和鉴独立性—详细说明对审计和鉴证职能部门与从业人员的独立性要求的执行情况,如标准1002“组织独立性”和1003“审计师的客观性”中■对相关服务水平协议(SLA)的引用,准。遵守详细说明审计与鉴证职能部门和从业人员应遵守的要求的标准2001.2.5所有资源。必要时,审计和鉴证职能部门可寻求执行管理层的协助,以获得此类2001.2.6),系和行政上下级关系有助于从规划到报告阶段,客观且不受阻碍地执行审计和鉴证业1002.1对于所有与审计和鉴证业务相关的问题,IT审计和鉴证职能部门都应避免利益冲1002.2),1002.3IT审计和鉴证职能部门应拥有行政报告关系,此关系应支2002.2.1为实现组织独立性,IT审计和鉴证职能部门在企业中的定位应该使其能够2002.2.2立性。应在审计章程中明确规定独立性和责任,从业人员不应参与他们以前承担管为确保独立性,IT审计和鉴证职能部门在与企业的2002.3.1企业内接受审计和鉴证职能部门汇报的上级应确保该部门拥有完全的组织独立章程中界定,并至少每年向治理机构(如董事会、审计委员会或其他与企业规2002.3.2为确保审计和鉴证职能部门的组织独立性,应向治理机构报告以下内容,征求他们的意见和/或批准:2002.3.3为确保审计和鉴证职能部门的组织独立性,治理机构和执行管理层需给予明确2002.4.1独立性应由审计和鉴证职能部门定期评估,并与负责审计和鉴证职能部门治理的机2002.4.2审计和鉴证职能部门应该披露与组织独立性有关的潜在问题,IT审计和鉴证从业人员必须在所有业务中保持公1003.1对于所有与审计和鉴证业务相关的问题,IT审计和鉴证从业者都应保持客观性。2003.2.1在评估对客观性或独立性的威胁时,可能会涉及不同的情况或情况组合。定义对客观本准则建立了一个概念框架,要求专业人员识别、评价,并解决对客观性或独立性2003.2.23.管理威胁并采取保障措施,消除威胁或将威胁降低到AHFormatterV7.1MR4ht2003.2.3如果从业人员确定没有适当的保障措施,或者无法应用此类措施来消除对客观如果从业人员无法拒绝或终止业务,则必须向治理机构披露客观性或独立性受2003.2.4从业人员在履行非审计服务或角色时,应运用ITAF准则来识别对并实施保障措施。ITAF为确保IT鉴证专业人员在所有审计和鉴2003.2.5从业人员不得在其当前或未来审计或鉴证业务的领域提供非审计服务。如果有应加以利用。如果没有替代资源,从业人员的参与应得到首席审计执行官或同等人2003.3.1各种各样的关系和环境都可能对客观性造成威胁。当一种关系或情况造成一项AHFormatterV7.1MR4ht2003.3.2在应用概念框架时,从业人员应确定和评估对客观性的威胁,但也应采取保障措施,),2003.4.1审计和鉴证职能部门和从业人员应评估现有的保障措施是否能平。无效的保障措施可能会损害在不受不当影响的情况下执行审计和鉴证业务的能力2003.5.1在许多企业中,管理层、IT人员和内部审计和鉴证职能部门的期望是,从业人员2003.5.22003.5.3如果提供的非审计服务或承担的角色涉及或可能涉及审计或鉴证业务的领域,独立性造成或被认为造成威胁。在这种情况下,利益相关方可能会认为从业人员的2003.5.4履行非审计服务或角色的从业人员应使用概念框架来评价非审计服务或角色是来审计或鉴证业务的客观性或独立性。如果执行非审计服务或角色的领域对于该领如有必要,从业人员应寻求IT审计和鉴证同事及管理层和/或治理机构的指导,确定是否2003.5.5在开始非审计服务或角色之前,从业人员应与IT审计和鉴证管理层和/或治理机构就以下事项达成2003.5.6对于任何IT审计或鉴证业务,如果非审计2003.6.12003.6.2),2003.6.3如果提供的非审计服务或承担的角色涉及或可能涉及审计或鉴证业务的领域,任,从业人员仅应在确信管理层将做到以下几点在开始审计和鉴证业务之前,从业人员应评估并记录管理层能否有效监督非审计服务果服务涉及实施新的财务应用程序,从业人员应确认管理层是否有具备必要的会计和2003.7.1确定一项活动是否意味着承担管理职责取决于具体情况,需要专业判断。通常被认2003.7.2决策,因此有损独立性。从业人员的职责应在出具报告、意见或评级后结束2003.7.32003.8.1审计章程应明确规定是否允许从业人员提供非审计服务或承担2003.8.22003.8.3以及治理机构披露其参与履行非审计服务或角色的性质。这种参与的范围、时间和程度应2003.9.1选择继续执行,则应在报告中披露这一决定。披露的信息应足够充分,让使用者了解1004.11004.2IT审计和鉴证从业人员应合理预期审计和鉴证业务的范围1004.3IT审计和鉴证从业人员应合理预期管理层了解其在及时提估是否符合适用标准、法律和法规,确定是否存在支持有效结论的条件,以及处理范围■2004.4范围限制—识别和评估范围限制的影响,并确定这些限制是否能形成对得2004.2.1从业人员应在开始执行业务之前查看审计章程中提及的所有适用标准和法规,这些标准和法规。这可确保形成一种合理的预期,即业务可以按照这些标准完成,2004.2.2如果从业人员确定无法按照一项或多项适用标准或法规完成审计和鉴证业务,2004.3.1在开展审计和鉴证业务之前,从业人员应确定审计范围已明确记录在案,并且能够就2004.3.2审计和鉴证业务范围应清晰、准确地记录在案,对所包括的流处。范围不精确会降低从业人员形成专业意见或结论的能力,因为这使他们2004.3.3如果从业人员确定审计和鉴证业务的范围使他们无法得出专业2004.4.1特定的范围限制可能出现在审计业务之前或期间。这些范围限制可能受不同2004.4.2从业人员应评估范围限制是否能形成如下合理预期:审计和鉴证业务能够按照业意见或结论。如果仍然能形成此等合理预期,从业人员就可以继续执行业务。如果2004.4.32004.4.4从业人员应评估所界定的范围是否足以支持审计师对主题事项给出意见。当无2004.5.12004.5.2在开展审计业务之前,从业人员应识别并处理访问权限受到的任何限制,以及时获取的适当的相关信息。此外,从业人员应合理预期其在审计和鉴证业务中的访问权限受2004.5.3如果从业人员认为,其信息访问权限使他们无法得出专业2004.5.4在规划IT审计和鉴证业务时,从业人员应从业人员应评估获取执行管理层信息或相关信息的请求受到限制、拖延或质疑2004.6.12004.6.2如果在审计业务期间,从业人员被要求接受会降低鉴证水平的条款变更,则应2004.6.32004.6.4如果从业人员不接受审计和鉴证业务条款的变更,并且与审计和鉴证管理层协2004.7.12004.7.2对这些更广泛的问题提供了指导。2004.7.2这些业务受标准的成熟度、证据的可用性、专业指导的程度(如ISACA、IIA层系统的访问权限水平的影响。在下列情况下,鉴例如,在审查云服务提供商时,审计师可以评估治理、合同监督和监控实践。但是测试提供商的内部安全控制措施,因为这些控制措施仍在企业的访问范围之外。从从业人员应设定切合实际的期望,并就其业务的范围、界限和固有限制进行沟1005.1计和鉴证业务。应有的职业谨慎要求合理的谨慎、技能和能力,而不是完全无过失或超2005.2专业的怀疑态度和能力—保持诚信、客观、专业能力和怀疑精神,以2005.3应用—在所有IT审计和鉴证业务阶段都要践行应有的谨慎,评估风险,评价证据,并以合乎伦理2005.2.1应有的职业谨慎是指在执行工作时践行专业判断。从业人员应以专业的怀疑、审慎2005.2.2从业人员在态度和行为上都应保持专业能力、客观性和独立性,以处理与审计2005.2.3践行应有的职业谨慎要求从业人员考虑是否可能存在效率低下、滥用、错2005.2.42005.2.52005.3.1在践行应有的职业谨慎时,从业人员应评估2005.3.22005.3.3从业人员应以合法、诚实的方式维护利益相关方的利益,同时保持高标准的行2005.4.1从业人员应在规定的时限内全面规划审计和鉴证业务,以应有的职业谨慎确保和鉴证业务所需的资源。此外,分配到项目上的从业人员应具备执行审计业务所需2005.4.2从业人员应根据ISACA的IT审计框架(ITAF)和《职业伦理规范》以及其他适用的专业标准,以应有的2005.4.32005.5.1在项目开始之前,应将已定义的角色和职责传达给团队成员,确保团队在审计业务期2005.5.22005.5.32005.5.42005.5.52005.6.1从业人员应合理预期管理层理解其承担的义务和责任,即及时提供执行审计2005.6.2从业人员应采取合理的措施维护其在履行职责时所获取信息的隐私性和机密性2005.6.32005.7.12005.7.2在根据审计程序的性质、时间和范围应用技术驱动的审计工具和方式(包括数据分析解决方案)时,从业人员应保持应有的职业谨慎。这些工具的使用应加强专业判断,无论应用了何种水平的技术驱动的工具,从业人员都应对审计结论负责,并应在怀疑态度。文档记录应包括选择工具的理由、确定的风险和限制,以及为支持透明2005.7.3敏捷审计采用迭代规划、较短的审计周期,且利益相关方会频繁参与,为的是适应有的职业谨慎可确保在不影响审计质量、独立性或客观性的情况下,用敏捷性提2205.7.4持续审计是通过使用嵌入式审计程序、自动化、数据分析和近乎实时的监控,续评估。从业人员应运用应有的职业谨慎,确保技术在不削弱质量、独立性或2005.7.5随着企业越来越依赖第三方提供核心技术服务,IT审计例如,当企业依赖位于某一地理区域的单一云提供商时,审计师在践行职业谨慎时中风险。提供商的中断,如大规模故障,可能会对企业的运营2005.7.6在审计人工智能系统、机器学习模型或人工智能流程时,从业人员应认识到偏见、对不透明性、数据依赖性和不断变化的行为等独特风险,从而保持应有的职业谨慎。这包括确保足够的专业知识、验证模型的可靠性和治理,以及确认能审计资源提供结构化指导,通过识别人工智能相关风险、定义控制目标和选择适1006.11006.21006.3力。该准则概述了对界定和发展能力、评估熟练程度、解决发现的差距以及考虑2006.2专业能力—定义专业能力,概述管理层和从业人员在建立、保持和应用有效审计业2006.2.12006.2.2IT审计和鉴证管理层应基于适当的基准传达审计业务中的不同角色所需的和/或预期达到的专业能力水平,并确保这些基准得到定期的审查和更新。应记录各岗位级别所需的专业能力水平2006.2.32006.2.4IT审计和鉴证管理层应确保团队成员有能力执行审计业务2006.2.5从业人员应合理地保证其具备要求的专业能力水平。他们应获取执行协定任务审计和鉴证管理层通过提供相关培训、资源和指导,分担专业2006.2.6从业人员应具备的技能和知识因其在审计业务中的职位和角色而异。对管理技2006.2.7从业人员应展示在识别和评估技术驱动的业务流程的风险和控制措施方面的能和方式(包括数据分析和适当的自动化)方面的能力。他们应具备足够的分析和技了解人工智能(AI)和量子计算等新兴技术及其2006.2.82006.2.92006.2.10治理以及相关法律法规考虑因素的认识。这些知识使从业人员能够认识到技术如2006.2.11从业人员应与团队成员分享自己的经验、良好实践、经验教训以及获得的知2006.2.12和鉴证任务,和/或推迟审计和鉴证业务,直到2006.2.13外包是指聘请外部服务提供商代表企业执行部分或全部业务。在这种模式下相比之下,联合外包是一种合作方式,由内部从业人员和外部专家共同交付业务。无论采用哪种外包方法,外部专家和内部从业人员之间的有效合作和知识转移对2006.2.14如果将审计和鉴证业务的任何部分外包或寻求专家协助,则应合理地保证外包工作必备的专业能力。应在执行业务前,并酌情在整个任务过程中,对这些专2006.2.152006.3.1从业人员应持续监控自己的技能和知识,以保持适当的专业能力水平。IT2006.3.2从业人员的绩效评价方式应公平、透明、易于理解、无歧义且无偏见,且在指2006.3.3评价的衡量标准和程序应得到明确规定,但可能因地理位置、政治环境、任务性质、2006.3.42006.3.5如果只有一名独立的从业人员,则应在可行的情况下进行同行评价。如果无法2006.3.62006.3.72006.4.1应记录和分析所发现的实际专业能力水平与预期专业能力水平之间的差距。如果有2006.4.2),2006.4.32006.4.42006.4.5IT审计和鉴证管理层制定的关于所需技能的文档(例如技2006.4.62006.4.72006.4.8CPE课程应有助于加强与IT审计、风险、安全、隐私和治理的专业和技术要2006.4.9专业机构确定获得CPE学分的方法,并规定成员在规定期限内应获得的最低学分数。从业人员必须遵守持有多个专业团体成员资格的人员可自行决定通过符合条件的通用课程来满足CPE要求,但这些2006.4.10ISACA拥有关于CPE的全面政策,适用于CISA证书持有者的CPE政策。有关该政策的详细信息,请访问:/credentialing/cisa/maintain-cisa-certification。2006.4.11根据各自专业机构(包括ISACA)的规定,从业人员必须维护适当的CPE课程记录,保留一段2006.5.12006.5.2IT审计和鉴证从业人员应发展特定专业能力,应对新出现并非所有从业人员都需要在每个领域达到相同的熟练程度。所需的IT审计和鉴证从业人员应考虑以下各类先进技术,以应对新出现的风险、新技术和审计/鉴证需求:1007.12007.2.1认定指有关主题事项是否基于或符合所选标准的任何或一系列的声明。从业人员在2007.2.2限配置时,应确保身份管理系统与正式的员工或承包商记录中的激活护,例如,在恢复备份文件前,将其加密哈希值与原始存储值进行比对,以能/自动化生成的审计证据与系统记录日志进行比对2007.2.3管理层负责定义和批准主题事项及相关认定。从业人员应确保,相比其他2007.2.4承接审计和鉴证业务的一个先决条件是,管理层确认完全理解其承担的责任,即向题事项和相关认定的所有必要信息。如果从业人员认为管理层无法2007.2.52007.3.1从业人员应根据预先确定的标准评估审计和鉴证业务的主题事项,得出有关主2007.3.2一个衡量标准可以与多个认定关联。同样,一个认定可以受多个标准支持。这2007.3.3如果从业人员得出标准不能完全支持所有相关认定的结论,则应建议对现有2007.3.42007.4.1将业务外包给第三方的企业将收到有关外包业务相关的报告来支持审计业务,从业人员应审2007.4.22007.5.1根据标准评估审计和鉴证业务的主题事项之后,从业人员应基于参照相关标准得出2007.5.2得出结论或意见后,从业人员应就主题事项出■示例(认定:完整性):“我们评估了管理层关于企业SaaS应用程序功能部署和配置变更完整这些变更符合经审批的变更管理程序,并在部署和配置日志中进行了完整记常。”■示例(整个主题事项):“我们对企业SaaS应用程序的功能部署和配置变更的完整性进行了评估。根据我们的测试,在所有重要方面,按照选定的标准,这些变更符合经序,并在部署和配置日志中进行了完整记录,没有重大异常。”2007.6.1本部分重点介绍IT审计和鉴证从业人员标准和可验证的证据,而技术生成的认定可能是自动的、不透明的或难以证实的,这一点将在2007.6.22007.6.2传统的认定一般由管理层提出,并以人为准备的证据作为支持。然而,在技术驱动的环这就提出了一项独特的鉴证挑战:非人为认定可能不透明,难以证实。从业人员在■在无法直接验证的情况下,应获取并评估独立证明(如SOC报告、ISO/IEC认证、渗透测试报IT审计和鉴证从业人员必须选择清晰、完整和适1008.1IT审计和鉴证从业人员所选择的评估主题事项所参照的标1008.2合适、被广泛接受且拥有适当的来源,提供一种结构化的方法,支持为报告使用者提2008.2标准的选择和使用—指导如何选择合适、可接受、权威和易于理解的标准,并考虑法律、法规、行2008.3适合性—描述合适标准的关2008.4可接受性—概述可接受标准的2008.5来源—说明如何识别和评价标准的2008.2.1从业人员应选择评估主题事项所参照的标准。选择标准时,从业人员应仔细考2008.2.2遵守适用的法律法规是所有审计业务的强制性要求。然而,许多业务涉及人工智能治法尚未明确涵盖的领域。在这些情况下,从业人员还应考虑既定的规范和框架(如条例》、美国国家标准与技术研究院《网络安全框架》、《数字在立法或监管要求没有明确规定的情况下,从业人员应确保标准仍然与审计目标相一2008.2.3要求使用适当和可接受的标准,以确保对主题事项进行一致的评价。否则,得出的2008.2.42008.2.5如果标准不易查看,或者标准不完整或容易被误解,从业人员应在报告中包含2008.2.6应运用专业判断,确保标准的使用有助于得出公正、客观且不会误导读者或使用者2008.3.1在评价主题事项时,从业人员应确认所采用的标准既适合又适当,以便形成可信的结准为一致的评估建立了基础,最大限度地减少了主观性,提高了审计结果的可靠性求所有客户个人信息在数据交易过程中保持私密”这一标准样本,以下属性可说明统记录每一笔被标记为可疑的交易,记录决策中使用的数据特征,并提供这些日如,医疗人工智能模型会显示导致诊断建议的具体患者数据点,使从业人员2008.4.1标准的可接受性受是否向报告使用者提供这些标准的影响,这有助于他们了解鉴证2008.4.2些标准之前,需要由公认的独立第三方进行外部验证,确保管理层不会暗中2008.5.1如,如果主题事项涉及政府规定,根据适用于主题事项的法律法规作出的认定应是杂,并具有特定的法律含义。在许多情况下,可能需要以明确认定的形式重申2008.5.2仅为特定审计制定的标准可能是合适的;但是,从业人员应确保标准合适、客观、完整2008.6.1在业务执行过程中,可能需要根据更多的信息或见解来修改所选的标准。从业人员应计目标的影响,并确定现有标准是否仍然相关和充分。不再有助于实现审计目标的时应根据需要增加新的标准,以处理新的风险或信息。所有变更及其理由都应记录本页为空白页告工作。执行标准确保鉴证活动系统化、基于风险且可靠。通过遵循执行标准,1201.1IT审计和鉴证职能部门应运用恰当的风险评估方法(即兼1201.21201.3险类型,并提供了将审计资源集中用于最重要和影响最大的领域的指导,与企业2201.2.1应在审计规划过程中进行风险评估,并根据不断变化的业务状况和新出现的风险主2201.2.22201.2.3采用的风险评估方法应有助于IT审计和鉴2201.2.42201.2.52201.2.62201.2.7在制定总体IT审计和鉴证计划时,应运用2201.3.12201.3.2从业人员所采用的风险评估方法应至少包括与系统可用性、数据完整性和业务2201.3.3从业人员应选择一种复杂程度和详细程度与企业和审计对象相适应的方法。有2201.3.4所有风险评估方法都涉及一定程度的主观判断(2201.3.52201.3.6不存在适用于所有情况的风险评估方法。从业人员应定期重新评价所选择的风2201.3.72201.3.8选定的风险评估方法应得到管理层的批准,并能产生具备2201.4.1在规划各个业务时,从业人员应识别和评估与待审查领域相关的风险。风险评估结果2201.4.2从业人员应确保在进行风险评估之前充分了解范围内的活动。他们应征求利益2201.4.3在规划特定的IT审计和鉴证程序时,从业2201.4.4在规划特定的IT审计和鉴证程序时,从业2201.4.5在审计风险较高或重要性阈值较低的情况下,2201.5.12201.5.2从业人员应考虑每个风险组成部分,以确定总体风险水平。审计风险包括主题2201.6.1例如,在没有内容过滤、访问控制或输出结果监控的情况下,部署面向客户的人工有风险很高,因为它可能会暴露敏感信息、提供不准确的建议或损害企业声誉。相2201.6.2在确定固有风险时,IT审计师应考虑系统关键性/重要性以外的其他因素。其他因素可能包括系统复杂2201.7.1控制风险是指审计领域中可能出现的重大错误(该错误可能单独出现或与其他错误一过企业的内部控制系统及时预防或检测并予以纠正的风险。内部控制旨在通过以下有效整合预防性控制、检测性控制和改正性控制可降低控制风险,支持企业运营和例如,人工审核SaaS平台管理员活动日志的控制风险可能很高,因为大量条目和小的滥用模式可能会在人工审核过程中被忽略。与此相反,如果监控规则是最新的并定期接受测试,那2201.7.2),2201.7.32201.7.4),2201.8.1检测风险是指从业人员的实质性程序无法检测到错误的风险(该错误可能是重大错例如,如果日志不完整、无法访问或被覆盖,那么检测云应用程序中的安全漏洞就2201.8.22201.8.32201.9.1动)以及管理层访谈、企业战略计划和企业风险管理(ERM)2201.9.2IT审计和鉴证从业人员负责制定和维护与企业战必须得到治理机构的批准,告知全企业,并根据需要进行更新,以应对突发事件,同1202.1IT审计和鉴证职能部门应制定总体战略计划,形成短期和执行的审计,而长期规划则包含基于企业信息和技术(I&T)环境中的1202.2应与负责治理和监督的机构(例如审计委员会)就短期和长期审计日程表达成共识1202.3IT审计和鉴证职能部门应根据企业需求(即意外事件或计划外举措)修改短期和/或长期审计日程表。如审计计划。审计范围是可审计实体的清单,它为确定审计的优先次序和时间安排奠定了基2202.2.12202.2.22202.2.3IT审计和鉴证从业人员应根据审计范围制定并维护基于这种方法可确保规划的系统性、全面性,并与审计章程保持一致,同时保障关键目及时覆盖。由于风险和优先事项会发生变化,应根据2202.2.4(审查长期审计日程表)定期审查和调整2202.2.4长期审计日程表应至少每年重新评估一次,或在必要时更频繁地重新评估,以适应或外部要求的变化。重新评估应允许纳入新的鉴证或审计业务,以应对新出现的风2202.3.12202.4.1传统上,审计日程表每年制定和公布一次。然而,不断变化的风险环境需要更具适应性审计和鉴证工作的结构也应加以调整,以支持迭),),敏捷审计日程表可包括暂定开始日期、初步范围和主要利益相关方,并以动态待业务规划可根据法律、法规、规范和基于风险的方法,明确界定范围、目标、资源、时IT审计和鉴证从业人员高效地实现业务目标。它1203.11203.22203.2.1从业人员应定义审计和鉴证业务目标并记录在项目计划中。这些目标应反映对2203.2.2从业人员在制定审计和鉴证业务项目计划时应考虑审计业务的目标。这些目标2203.3.1在开始审计业务之前,从业人员应制定工作计划,以确保实现审计目标。计划应包2203.3.22203.4.1应进行风险评估,以了解企业及其所处的环境(即战略目标以及内2203.4.22203.4.3在规划过程中,从业人员应确定规划重要性水平,使得审计工作足以满足审计目标并源。例如,在数据治理审计中,当评估数据管理控制措施时,从业人员对包含客户个人识别信息(P数据集的重视程度应高于其他数据集。PII具有更严格的监管要求,一旦泄露会带来更高的声誉和合规风在确定重要性时,从业人员应同时评估定量因素(如交易量、记录数量)和定性因素2203.4.4在开始审计和鉴证业务之前以及在整个执行过程中,从业人员应评估适用法律和规范为风险评估流程的一部分。在确定审计范围、优先事项和资源分配时,应将不2203.4.5当内部控制措施作为更广泛审计(如财务报表审计)的一评估,以确定其设计和运行有效性。应根据评估结果制定审计和鉴证业务项目计划。务报表审计而进行的IT审计中,从业人员2203.5.12203.5.2■应要求提供的报告,例如鉴证业务准则公告第18号(SSAE18)2203.5.3项目计划应包含与审计业务时间表有关的要求。这些要素包括但不限于在约定证业务所涵盖的时间范围和不同阶段的完成日期。项目计划应包括每个项目阶段的2203.5.4从业人员应确保分配给审计和鉴证业务的审计团队资源具备适当的技能、知识2203.5.52203.5.62203.5.7在获得IT审计和鉴证管理层批准之后,应2203.6.1在审计业务过程中,应根据需要对审计和鉴证如果在审计过程中出现引起审计师注意的问题,从业人员应确定解决问题的方不限于扩大审计范围或安排单独的评估。IT审计从业人员应立即通知受2203.6.2审计和鉴证业务的规划是一个持续迭代的过程。意外事件、情例如,当新的人工智能治理法规出台时,从业人员应立即评估企业的合规义务以及2203.6.3审计计划应考虑可能给企业带来风险的意外事件。因此,审计2203.7.1•识别收集证据、执行测试和准备/归纳报告用信息),控•示例1:如果在线支付系统中的支付网关已根据性进行了审计,则审计和鉴证职能部门可根据PCIDSS审计的结果,将此流程排除在当前2203.7.2在规划涉及人工智能或启用人工智能的系统的业务时,从业人员应参2203.7.3根据企业的具体情况,业务规划应纳入技术驱动的方法,以提高鉴证活动的质量、应体现以数据为导向、以风险为基础的方法,以适应企业的技术环境和成熟度,IT审计和鉴证专业人员必须遵守经批准的审计1204.11204.21204.3IT审计和鉴证从业人员只应接受在自己的知识和技能范围1204.41204.51204.61204.7如果通过其他测试流程获取了所要求的证据,IT审计和鉴证从业人员应2204.2.1从业人员应依照核准的IT审计计划来规划和执行每项审计和鉴证业务。制定标准1203(业务规划)中概述的审计和鉴证业务项目计划,有助于确保范围内的所有要素和识别的风险都得到2204.2.22204.3.12204.3.2根据业务需求,负责审计业务的从业人员应考虑审计业务所需的专业能力。他们应能、知识和经验的业务团队,以成功完成审计业务。此外,从业人2204.3.3从业人员应只接受与其知识和技能相称的角色、职责和相关任务。当时间或成审计业务开始前获得所有必要的专业能力时,如果有理由期望在业务执行期间采2204.4.1IT审计团队成员在执行审计和鉴证业务期间应该在负有监确保满足审计目标和适用的职业审计标准。所需的监督程度在很大程度上取决于执2204.4.22204.4.3审查审计和鉴证业务工作底稿非常重要,这可以确认所有必要当,结论完全支持审计调查结果、业务目标以及结论或意见。为实现这些目标,应该2204.4.4在审查过程中,审查员应记录提出的问题。在从业人员回答问题时,应注意保留证据2204.4.5应记录并保留审查证据。关于已执行审查的证据,记录2204.4.6监督有助于评价从业人员的发展和绩效。审2204.5.1从业人员应获取充分和适当的证据,以形成意见或支持结论,并实现审计目标2204.5.2如果根据从业人员的判断,所获证据不符合标准,不足以和不适合形成意见2204.5.32204.5.4从业人员应考虑审计证据的可靠性(即证据提供者的独立性、信息提供者的资2204.5.5从业人员应进行适当的分析和解释,以支持审计调查结果并得出结论。应将收2204.5.6如果发现与预期存在偏差,从业人员应询问管理层出现差异的原因。如果管理2204.5.7受审计方无法充分解释的重大偏差应作为审计的调查结果上报,并告知执行2204.6.1从业人员应及时准备充分、适当和相关的文档,为结论提供依据并包含已执行和相关的文档应该能够使先前未参与审计和鉴证业务的任一审慎且知情人员,重新2204.6.22204.6.3从业人员应在工作开始之前制定初步程序,以供审查。审计程序的记录方式应工作的完成情况并识别尚待完成的工作。随着工作的进行,从业人员应根据在息来评价审计程序的充分性。如果从业人员确定所规划的程序不充分,则应对2204.6.4应将执行和监督活动记录在审计和鉴证业务工计和鉴证管理层应为不同类型的业务保留一套有限的标准化模板,以提高效率并便2204.6.5从业人员应确保及时完成所执行工作的文档记录。应在审计报告的发布日期之2204.6.6IT审计和鉴证管理层负责控制审计和鉴证业务工作底稿,计和鉴证业务工作底稿的访问请求应由执行管理层和治理机构进行批准。除了外部的访问请求应由执行管理层以及负责管理和监督审计和鉴证职能部门的治理机构在2204.7.1从业人员应分析收集到的证据和信息。应将显著偏离预期的情况形成调查结果2204.7.2从业人员可提出整改措施,但不得参与执行。如果受审计方在审计业务结束前2404.7.3从业人员应根据调查结果得出结论,并评估其对审计目标的影响。应基于最初2404.7.4所有结论以及关于是否已实现审计目标的结论都应记录在审计和鉴证业务报告中导,请参阅报告标准1401和准则2401。2204.8.11205.11205.21205.3件来支持业务结论。其中就证据类型、收集方法、评价标准和保留要求提供了实用的指导2205.4评价证据—介绍如何评价证据2205.2.1在规划和执行业务时,从业人员应考虑可用证据的类别、其与业务目标的相关性及其逻辑/技术证据2205.2.2对于从业人员来说,证据来源可以直接来自技物理资产的核查以及对逻辑或系统组件的确认2205.2.3证据可以记录在纸张上、数字文件中或通过系统生成的输出结果来2205.2.42205.2.5通过比较、模拟、计算和推理得出的信息分析结果可作2205.3.1从业人员应采用适当的方式方法,收集足够的相关证据,以得出合理的审计2205.3.2如果以口头声明的形式获取的证据对审计意见或结论至关重要,从业人员应考如通过电子邮件)获得对声明的确认。从业人员还应考虑其他证据作为此类声2205.3.32205.3.4收集证据的程序取决于信息系统的特点,审计的时间、范围和目标技术驱动的工具可包括数据分析平台、审计管理系统、流程挖掘解决方案、持续监关的网络安全工具,如漏洞扫描程序和日志分析实用程序。从业人员应选择最适合2205.3.5收集证据时,从业人员应考虑提供证据的实体的独立性和资质。例如2205.3.6如果收集到的证据有可能成为法律诉讼的一部分,从业人员应咨询相应的法律2205.3.7时),他们应向审计管理层报告此事。如有必要,应根据审计组2205.3.82205.4.1如果证据在审计目标范围内为调查结果或结论提供了合理依据,则证据是充分判断,证据不符合这些标准,则应获取更多证据或执行其他程序,以减少与证据有关例如,除非有屏幕截图、更改日志或系统输出证明该配置目前在生产环境中处于生2205.4.2在评估审计证据的可靠性时,从业人员应考虑证据的来源、性质(书(数字或手写签名、日期/时间戳),以及是否有多个独立来源的在收集证据时,从业人员应评估证据由谁或什么提供以及证据如何产生。关2205.4.3在确定实质性或合规性测试的性质、时间和范围时,从业人员应评估信息保持可用的例如,基于云的日志、文档存档、协作消息、安全事件记录或视频监控等证据,如2205.4.4如果有独立的第三方审计,从业人员应考虑与审计主题相关的控制措施是否经2205.4.52205.5.1在执行审计的过程中,从业人员应记录所获得的证据,确保文档在预定时间期限内得2205.5.2此流程可确保为在审计目标范围内为调查结2205.5.3在整个证据准备和保留期间,从业人员都应确保证据记录不受未经授权的访问、披露例如,对于须遵守美国证券交易委员会(SEC)要求的企业,财务审计师应该将某些记录保留七年(自审计或审查结束之日起计算)。12205.5.42205.6.1),IT审计和鉴证从业人员必须评估、依赖和记录其1USSecuritiesandExchangeCommission,“FinalRule:RetentionofRecordsRelevanttoAuditsandReviews,”/rules/33-8180.htm#:~:text=Under%20the%20new%20rule%2C96,of%20the%20audit%20or%1206.11206.2在开始执行业务之前,IT审计和鉴证从业人员应评估并核准其他专家的专业资质1206.3作为业务的一部分,IT审计和鉴证从业人员应评估、审查并评价其他专家的1206.4IT审计和鉴证从业人员应确定业务团队之外的其他专家的1206.51206.6如果其他专家的成果无法提供充分、适当的证据,IT审计和鉴证从业人1206.7IT审计和鉴证从业人员应提供恰当的审计意见或结论,如家,如何评估其资质、专业能力和独立性,以及如何规划、审查和纳入他们的成果。■2206.3评估其他专家的胜任能力—就如何在依赖专家之前对其专业能力、资2206.2.1如果从业人员不具备执行审计和鉴证业务所需的全部或部分能力,应考虑寻求2206.2.2当存在可能影响审计工作执行和质量的限制(例如缺少待匮乏、时间限制和潜在的独立性问题),则应考虑起用其他2206.2.3从业人员不必具备与其他专家同等水平的专业知识,但他们应对所开展的工作地指导和审查工作。在依赖其他专家的成果时,从业人员应获取并记录客观证据,2206.2.42206.2.52206.2.6如果企业内部政策禁止其他专家访问记录或系统,从业人员应确定在多大程度2206.2.7如果无法获得必要的专家,从业人员应记录对实现审计目标的影响,并在审计2206.2.82206.3.12206.3.2在依赖其他专家的成果之前,从业人员应考虑其独立性和客观性。需要考虑的因素序、组织地位、隶属关系以及专家建议对管理实践的潜在影响,这些都可以表明专2206.4.1从业人员应核实审计章程或业务约定书中规定的他们使用其他专家的成果的权2206.4.22206.4.3所需审计证据的性质、时间和范围将取决于其他专家成果的重要性和范围。在规划确定所需的审查水平,以提供充分且适当的审2206.4.4在审查工作底稿时,从业人员应确定其他专家的成果是否经过适当的规划、监督、记评估所提供证据的适当性和充分性,以及该成果的可信赖程度。这可能需要重新测试认是否符合相关专业标准。总之,从业人员应就专家的成果是否具备足够的充分性和2206.4.52206.5.1在评估相互依赖关系和外包业务时,从业人员2206.5.2核实认定—确认其他专家提出的所有认定都经过验证并得到管理层的正式2206.6.1如果其他专家的成果没有提供充分且适当的审计证据,从业人员应根据对其他2206.6.22206.7.1从业人员负责得出审计意见或结论。从业人员需要确定其他专家执行的工作是2206.7.2如果执行的额外测试流程未能提供充分且适当的审计证据,从业人员应提供适2206.7.3如果从业人员在得出意见时采用了其他专家的报告,则应在审计和鉴证业务报2206.7.4适当情况下,从业人员应考虑管理层在多大程度上采纳了其他专家的建议。这包括2206.8.1从业人员应评估在多大程度上可以合理地依赖专家的结论,以及是否需要额IT审计和鉴证从业人员必须在每项业务中考虑违1207.11207.2IT审计和鉴证从业人员应将违规或非法行为记录在案,如,与监管者的沟通)可能受到限制。因此,从业人员可能需要与负责治理和监督审2207.2.1违规和非法行为可以通过多种负面方式直接影响企业,包括影响财务和声誉,并间留存率。企业必须建立安全意识、预防和检测机制,以迅速发现违规和非法行为。如2207.2.2企业内部任何级别的员工都有可能做出违规和非法行为。),税2207.2.3要确定某个行为是否违法,通常依据知情的法律专业人士的建议,或者需要等待法2207.2.42207.2.5在某些情况下,从业人员在举报潜在非法行为或欺诈后可能受到报复或恐吓。在这种执行官(或审计副总裁/总监)、执行管理层以及负责治理和监督审计与鉴证职能的机构应与法律顾问合作处理此事。应采取行动解决与威胁或恐吓有关的问题,其中可能包括与当地执法部门2207.3.12207.3.2管理层通常使用以下手段来合理地保证违规和非法行为2207.3.3管理层应向从业人员披露了解到的任何违规或非法行为、受影响的领域以2207.3.42207.4.12207.4.2从业人员应了解,控制机制无法完全消除出现违规或非法行为的可能性。他们2207.4.3从业人员不负责预防或发现违规或非法行为,审计和鉴证业务也不能保证发现一气绕过控制措施,与外部人员合作利用系统,或者管理层凌驾于安全协议之2207.4.42207.4.5如果从业人员认为存在违规或非法行为风险较高的情况,即使没有发现这些行2207.4.62207.5.12207.5.2在规划和执行风险评估的过程中,从业人员应询问管理层,并在适当的情况下获得有2207.6.1从业人员对违规和非法行为的检测和预防不承担具体的职责,但在设计审计和2207.6.2从业人员应使用风险评估的结果来确定所需测试的性质、时间和程度,以获取2207.6.3从业人员在审查业务结果时,不仅要关注控制缺陷,还要关注欺诈、不当行为的迹象。技术审计工具可分析大型数据集、发现异常情况并突出显示可能需要2207.6.4在评价业务程序的结果时,应对照实际执行的程序审查已识别的风险因素,以合理地2207.7.1在执行审计业务的过程中,从业人员可能会发现违规或非法行为的迹象。他们应评估2207.7.2从业人员应表现出专业的怀疑态度,并对违规或非法行为的潜在迹象保持警2207.7.3当从业人员意识到可能存在违规或非法行为时,在接到相2207.7.4对潜在违规或非法行为采取适当的步骤后,从业人员应咨询审计管理层,以确定下一业管理层报告潜在违规或违法行为、转交由内部欺诈调查员采取进一步行动,以及/或者向执法部门或监2207.7.5当违规或违法行为涉及管理层成员时,从业人员应重新评2207.8.12207.8.2从业人员在报告违规或非法行为时应运用专业判断。他们应与适当级别的管理或非法行为的人员高一个级别)讨论调查结果以及将要执行的进一步程序的性质、2207.8.3从业人员应考虑向哪些内部人员分发有关违规和非法行为的报告。识别违规或2207.8.42207.8.52207.8.62207.9.1对外报告欺诈、违规或非法行为可能是一项法律或法规义务。该义务可能适用于企业管理层和/或参与检测违规行为的个人。审计师的法律报告要求受当地管辖,并取代内部政策和2207.9.22207.9.3如果受审计方执行管理层反对依据法定或监管要求对外发布报告,从业人员应问,以评估对外报告的风险。在可能适用律师-当事人保2207.9.42207.9.52207.9.62207.10.1从业人员不负责预防违规或非法行为。但是,如果他们在审计业务执行过程中本页为空白页为记录活动、报告结果和跟踪后续行动提供了一个可靠的框架。遵守这些标准可1401.11401.2这些准则旨在提供编制审计和鉴证业务报告的详细要求和考虑因素。其中概述了报告2401.2.12401.2.22401.2.32401.2.4审计报告应包含声明,明确管理层关于控制程序有效性声明的2401.2.52401.2.6审计报告应包括对标准的说明,或者披露标2401.2.72401.2.82401.2.9审计报告应包含审计和鉴证业务报告的发布日期。在大多数情2401.2.10审计报告应提及分发(即预期的接收者和任何传播限制)需要某些地区,可能要求IT审计和鉴证从业人员披露其资格认证情况编号和/或会员编号)。2401.2.11如果出现意见分歧,执行管理层或治理机构应决定支持哪种立场。这一决定属2401.3.1有时,在测试结束后到审计报告发布前这段期间会发生对审计主题或活动有重大影2401.3.2从业人员应获得管理层的书面声明,说明没有发生需要调整或披露的后续事件何后续事件。此记录应由适当的高级管理人员签署,例如首席执行官/执行董事(或同等人员)和首席财2401.4.1从业人员应在定稿和发布之前与有关的管理层讨论报告草案的内容,并在最终2401.4.2从业人员应告知治理机构和主管部门(如适用)控制环境中存在的重大缺陷和2401.4.3从业人员应告知管理层没有达到严重标准但也并非无关紧要的内部控制缺陷。2401.4.42401
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 小学主题班会课件:温暖的校园与安全的守护
- 2026年智慧农业物联网应用全景解析
- 电子商务网络安全策略与风险管理手册
- 小学主题班会课件-传承红色基因弘扬爱国主义精神
- 2026年能源云平台智能调度系统解决方案
- 小学主题班会课件:品质教育从心出发
- 人工智能制药研发
- 2026版小学语文五升六暑假特色作业全套 含小升初衔接备考建议可打印
- 医疗健康穿戴设备
- 生物合成药物分子筛选算法
- 肩胛下肌损伤的治疗
- 【真题】事业单位综合应用能力(E类)真题及参考答案
- 农业企业种植技术员产量质量绩效考核表
- 公司带式球团焙烧工工艺作业技术规程
- 轻武器分解结合课件
- 多模态人工智能教育动态测评体系构建指引
- 陕西省咸阳市2024-2025学年高一下学期期末质量检测思想政治试卷
- 2024北师大版七年级英语下册期末复习:Unit1~6各单元任务阅读练习题(含答案)
- OLED-介绍教学课件
- 建筑给排水及采暖工程质量验收标准
- 业务推广及推广费结算协议
评论
0/150
提交评论