內(nèi)容講義分析

審計實質(zhì)性文檔信息系統(tǒng)（IS）審計的特殊性和進行審計所需的專門技術(shù)，要求制定出特殊的相關(guān)標準。ISACA的目標之一就是制定出可全球操作的審計標準以實現(xiàn)其愿景。信息系統(tǒng)審計標準的發(fā)展和是ISACA為該行業(yè)作出貢獻的基礎(chǔ)。信息系統(tǒng)審計標準的框架提供了多層次的指引：標準根據(jù) 職業(yè)道德規(guī)范中關(guān)于職業(yè)責(zé)任的規(guī)定，信息系統(tǒng)審計師的執(zhí)行績效所應(yīng)達到的最低標準 階層和相關(guān)單位對實施者在專業(yè)工作上的期待信息系統(tǒng)審計員（CISA?）資格持有人的相關(guān)特定要求。信息系統(tǒng)審計員資格持有人未能遵守上述標準可能會導(dǎo)致ISACA董事會或相應(yīng)ISACA對其甚至最終處罰。指南為信息系統(tǒng)審計標準的實施提供了指引。信息系統(tǒng)審計員在標準的實施程序程序中應(yīng)參考指南，同時作出專業(yè)型的判斷，并能解釋任何偏差。信息系統(tǒng)審計指南為達到信息系統(tǒng)審計標準提供進一步信息。程序為信息系統(tǒng)審計師提供審計項目中可以遵循的步驟范例。程序文件提供信息系統(tǒng)審計工作開展中如何達到相關(guān)標準的信息，但并非硬性規(guī)定。信息系統(tǒng)審計程序為達到信息系統(tǒng)審計標準提供進一步信息。COIT?資源應(yīng)被當作最佳操作實施指南的來源。COBIT框架強調(diào)，“保護企業(yè)的所有資產(chǎn)是 階層的責(zé)任。為履行這一責(zé)任以及實現(xiàn)企業(yè)的期望，階層必須建立起一套合適的內(nèi)部體系。CBIT為信息系統(tǒng)管理環(huán)境提供了詳細的和方法?；谔厥獾腃BIT信息技術(shù)程序選擇和對CBIT信息標準的考慮來選用與特定審計范圍最相關(guān)的材料。依CBIT框架中所定義，以下各項由IT管理程序進行組織。CBIT為商業(yè)及IT管理層以及信息系統(tǒng)審計師而設(shè)計，所以它的運用有助于商業(yè)目標的理解，最佳操作實施的交流和圍繞已經(jīng)達成共識和廣受尊重的標準參考體系的意見的形成。CBIT包括：目標—廣義上所需達到的最低限度良好之總括和詳述實施—對 目標的由來和“如何實現(xiàn)”的指南審計指南—對于不 領(lǐng)域，如何理解和評估各種，考核的符合性和證實失控風(fēng)險的指南管理方針—如何運用成熟度模型，指標和關(guān)鍵性成功因素等方法來評估和提高IT程序執(zhí)行績效的指南。它們提供階層一種應(yīng)用于連續(xù)性和前攝性自我評估的框架。這模型體系特別專注于：績效衡量—T功能支持需求效果如何？管理方針既可用于支持自我評估的研討，也可作為T管治方案，用以支持持續(xù)監(jiān)督和程序改進的應(yīng)用。 概況—哪些IT程序是重要的？哪些是的關(guān)鍵性成功因素意識— 基準—其他人做了什么？如何衡量和比較結(jié)果？管理方針提供了對T績效的范例指標，可用于商務(wù)領(lǐng)域?qū)T執(zhí)行績效的評估。關(guān)鍵的目標指標可以識別并衡量T程序的成果，同時關(guān)鍵的執(zhí)行績效指標可以通過衡量程序的實現(xiàn)者來評估程序的執(zhí)行績效。透過成熟度模型和屬性提供可性評估和基準，幫助層衡量的可行性，識別間隙并提相應(yīng)改善策略。術(shù)語表可在ISACA的 ary上查閱。審計和這兩個詞可以互換使用免責(zé)：根據(jù)ISACA職業(yè)道德規(guī)范中對職業(yè)責(zé)任的規(guī)定，ISACA設(shè)計本指南作為執(zhí)行績效所應(yīng)達到的最低標準。ISACA并未使用此產(chǎn)品一定會出現(xiàn)成功的結(jié)果。物不能被視作包括任何合適的程序和測試，也不能被視作不包括通過合理應(yīng)用獲得同樣結(jié)果的其它程序和測試。在決定任何具體的程序或測試的合理性時，專業(yè)人員應(yīng)根據(jù)其自身的專業(yè)判斷來判別由特定系統(tǒng)或環(huán)境產(chǎn)生的特定條件。ISACA標準管理可就信息系統(tǒng)審計標準、指南和程序的準備作出廣泛的咨詢。在發(fā)布任何文件之前，標準管理會向全球提供公開草案，供大眾評論。標準管理也尋求相關(guān)論點專家和相關(guān)方對必要處提出咨詢意見。標準管理現(xiàn)有研發(fā)部門，歡迎ISACA成員和其它感的提供新出現(xiàn)問題和新標準。所有建議請電郵至standards@)?；騻髡妫?1.847.253.1443）或?qū)懶牛ǖ刂吩谖募┪玻┲罥SACA國際總部，收件人注明研究標準和學(xué)術(shù)關(guān)系。本文于2006年5月15日頒布。引言 信息系統(tǒng)標準和其它相關(guān)指南包含強制性的基本原則和重要程序（以粗體標出）標審計工作在計劃階段時，信息系統(tǒng)審計師應(yīng)該考慮控制的潛在弱點或缺乏控制，以及這些缺點或缺失是否會導(dǎo)致在信息系統(tǒng)中產(chǎn)生重大的缺失或嚴重的弱點。信息系統(tǒng)審計師應(yīng)該考慮到,輕微的控制缺失或弱點以及缺乏控制所產(chǎn)生的累積效果，可能轉(zhuǎn)變?yōu)樾畔⑾到y(tǒng)中重大的缺失或嚴重的弱點。信息系統(tǒng)審計師應(yīng)在報告中說明無效的控制或缺乏控制，控制缺失帶來的重大影響，以及這些缺點導(dǎo)致重大的缺失或嚴重的弱點的可能性。其它審計風(fēng)險是指信息系統(tǒng)審計師基于審計發(fā)現(xiàn)所得出的不正確結(jié)論的風(fēng)險。信息系統(tǒng)審計師也應(yīng)該注意到審計風(fēng)險的三個組成要素，即固有風(fēng)險，控制風(fēng)險和檢驗風(fēng)險。有關(guān)審計風(fēng)險的討論，請參考G13審計計劃中風(fēng)險評估的運用。當信息系統(tǒng)審計師計劃并實施審計時，應(yīng)該努力使審計風(fēng)險降低至可接受的水平并能實現(xiàn)審計目標。可以通過對信息系統(tǒng)和相關(guān)控制的正確評估來實現(xiàn)這一目標?？刂坪?或沒有使用控制和/或控制不足它必然會進一步一個嚴重的弱點是一個重大的缺失，或是一系列重大缺失的組合，這些缺點可能導(dǎo)致超過無法預(yù)防或檢測不到的不良情況的微小可能的程度。審計實質(zhì)性與信息系統(tǒng)審計師可接受的審計風(fēng)險水平之間存在反比關(guān)系，即實質(zhì)性（重大程度）低，反之亦然。這使信息系統(tǒng)審計師能夠決定審計程序的性質(zhì)，時間安排和范圍。例如，在計劃一個具體審計程序中，當信息系統(tǒng)審計師認定審計實質(zhì)性較低時，則審計風(fēng)險增加。信息系統(tǒng)審計師可以采取擴展控制檢驗（降低控制風(fēng)險的評估）或擴展實質(zhì)性的檢驗程序（降低檢驗風(fēng)險的評估）來彌補不足。當確定一個控制缺失或一系列的控制缺失是屬于一個重大的缺失或是嚴重的弱點時，信息系統(tǒng)審計師應(yīng)該評估補償性控制的效果及其是否有效。信息系統(tǒng)審計師應(yīng)參考《信息系統(tǒng)審計指南G6審計信息系統(tǒng)的實質(zhì)性概念有關(guān)審計實質(zhì)性的信息，請參考如下指南信息系統(tǒng)審計指南G2審計要G5G8審計文件記G9審計注意事G13COBIT 管 ，2005《-奧克斯 控制目標》，管理，2004實施200671ISACA信息系統(tǒng)審信息系統(tǒng)審計2005-2006年標準管，SergioFleginskyCISAICIPaints，烏拉SveinAldalAldalConsultingJohnBeveridgeCISA,CISMCFE,CGFMCQAOfficeoftheMassachusettsStateAuditor，ChristinaLedesma,CISA,CISMCitibankNASucursal，烏拉圭AndrewMacLeod,CISA,CIA,FCPA,MACS,PCPBrisbaneCityCouncil，澳大利亞MeeraVenkatesh,CISA,CISM,ACS,CISSP,CWA RaviMuthukrishnan,CISA,CISM,FCA,ISCAIkanosCommunications，JohnG.Ott,CISA,CPAAmerisourceBergen，ThomasThompsonCISA,PMPErnst& 聯(lián)合酋長InformationSystemsA