cisa信息系统审计标准

信息系统（IS）审计的专业性和进行这类审计所需的技术，要求制定出专门适用于信息系统审计的标准。推进全球适用的标准以 实现这个目标是信息系统审计与控制协会（ISACA?）的宗旨之一。信息系统审计标准的发展和传播是ISACA 为审计业界作出专 业贡献的基础。信息系统审计标准的框架提供了多层次的指引： ?? 标准为信息系统审计和报告定义了强制性的要求。它们宣告： – 根据ISACA 职业道德规范中关于职业责任的规定，信息系统审计师的执行绩效所应达到的最低标准。 – 管理层和其他利益方对执业者在专业工作上的期待。 – 认证信息系统审计师（CISA?）资格持有人的相关特定要求。CISA 资格持有人未能遵守上述标准的可能会导致ISACA 董事会或相应ISACA 委员会对其进行调查直至最终的纪律处分。 ?? 指南为信息系统审计标准的实施提供了指引。信息系统审计师在标准的实施程序中应参考指南，同时作出职业判断，对背离 标准的做法应随时提供解释。信息系统审计指南的目标是为达到信息系统审计标准提供进一步信息。 ?? 程序为信息系统审计师提供审计项目中可以遵循的步骤范例。程序文件提供信息系统审计工作开展中如何达到相关标准的 信息，但并非硬性规定。信息系统审计程序的目标是为达到信息系统审计标准提供进一步信息。 COBIT?资源应被当作最佳操作实施指南的来源。COBIT 框架强调，“保护企业的所有资产是管理层的责任， 为履行这一责任以及 实现企业的期望，管理层必须建立起一套完善的内部监控体系。” COBIT 为信息系统管理环境提供了详细的监控和监控方法。 基于特殊的COBIT 信息技术程序选择和对COBIT 信息标准的考虑来选用与特定审计范围最相关的材料。 依COBIT 框架中所定义，以下各项由IT 管理程序进行组织。COBIT 为商业及IT 管理层以及信息系统审计师而计，所以它的运用有 助于商业目标的理解，最佳操作实施的交流和围绕已经达成共识和广受尊重的标准参考体系的意见的形成。COBIT 包括： ?? 监控目标—广义上所需达到的最低限度良好监控之总括和详述。 ?? 监控实施—监控目标的实务原理和“如何实现”监控目标的指南。 ?? 审计指南—对于不同监控领域，如何理解和评估各种监控，考核监控的符合性和证实失控风险的指南。 ?? 管理方针—如何运用成熟度模型，指标和关键性成功因素等方法来评估和提高IT 程序执行绩效的指南。它们提供一种针对管 理层的框架应用于连续性和自发性的监控自我评估，特别专注于： – 绩效衡量—IT 功能支持商用需求效果如何？管理方针既可用于支持自我评估的专题研讨，也可被管理层作为IT 管治方案 的一部分，用以支持持续监督和程序改进的推行。 – IT 监控概况—哪些IT 程序是重要的？哪些是监控的关键性成功因素？ – 监控意识—达不到目标会有哪些风险？ – 监控基准—其他人做了什么？如何衡量和比较结果？管理方针提供了对IT 绩效的范例指标，可用于商业意义上对IT 执 行绩效的评估。关键的目标指标可以识别并衡量IT 程序的成果，同时关键的执行绩效指标可以通过衡量程序的实现者来 评估程序的执行绩效。透过成熟度模型和成熟度属性提供能力评估和基准，帮助管理层衡量监控能力，找到差距并提出 相应改善策略。 术语表可在ISACA 的网站：www.isaca.org/glossary 上查阅。审计和审查这两个词可以互换使用。 免责声明根据ISACA 职业道德规范中对职业责任的规定，ISACA 设计本指南作为执行绩效所应达到的最低标准。ISACA 并未声 明使用此产品一定会出现成功的结果。本出版物不能被视作包括所有合适的程序和测试，也不能被视作排斥通过合理引导获得同 样结果的其它程序和测试。在决定任何具体的程序或测试的合理性时，监控专业人士应根据其自身的专业判断来判别由特定系统 或信息技术环境产生的特定监控条件。 ISACA 标准管理委员会致力于为信息系统审计标准、指南和程序的制定作出广泛的咨询。 在发布任何文件之前，标准管理委员会 向全球提供公开草案，供大众评论。 标准管理委员会也寻求相关领域的专家和相关人士对必要处提出咨询意见。 标准管理委员会 现有研发计划，欢迎ISACA 成员和其它相关人士报告任何新出现问题及其所需的新标准。 所有建议请电邮至 (standards@isaca.org)。或传真（+1.847.253.1443）或写信（地址在文件末尾）至ISACA 国际总部，收件人注明研究标准和学 术关系主任。 本材料于2004 年10 月15 日颁布。 信息系统审计标准 审计章程 文件号S1 第2 页：审计章程 信息系统审计标准 审计章程 S1 导言 01 ISACA 标准和其它相关指南包含强制性的基本原则和重要程序（以粗体标出）。 02 制定信息系统审计标准的目的是就审计章程在审计程序中的运用制定和提供指南。 标准 03 信息系统审计职能或信息系统审计任务的目的、责任、授权方和义务应在审计章程或委托书中予以正确的登载。 04 审计章程或委托书应在组织内的适当层次得到同意和通过。 注释 05 对于内部信息系统审计职能，应为所有进行中的业务活动制定一份审计章程。审计章程应通过年度审查。如果责任发生变动 或变化，则应缩短审查周期。内部信息系统审计师可用委托书来进一步澄清或确认参与特定的审计或非审计任务。外部信息 系统审计师参与每项审计或非审计任务通常应当准备委托书。 06 审计章程或委托书应足够详细以便能表达审计功能或审计任务的目的、责任和限制。 07 审计章程或委托书应定期审查，以确保（审计的）目的和责任已经记录在案。 08 如需有关准备审计章程或委托书进一步的信息，应参考下列指南： ?? 信息系统审计指南G5，审计章程 ?? COBIT 框架，监控目标M4 实施日期 09 此ISACA 标准适用于所有信息系统的审计，于2005 年1 月1 日起（之后）实施。 信息系统审计与控制协会2004-2005 年标准管理委员会