信息系統(tǒng)審計 課件 【ch02】IT 治理

IT治理第二章高等院校公共課系列精品教材信息系統(tǒng)審計IT治理概述0101IT治理的概念IT治理是信息系統(tǒng)審計和控制領域中一個相當重要的概念。它是企業(yè)治理在信息時代的重要發(fā)展，是企業(yè)治理的一部分，用于描述企業(yè)或組織是否采取有效機制，使IT應用能夠完成組織賦予的使命，平衡信息技術和流程的風險，保證組織戰(zhàn)略目標的實現(xiàn)。02IT治理的目標與業(yè)務目標一致有效利用信息資源IT治理要從組織目標和信息化戰(zhàn)略中抽取信息需求和功能需求，形成總體的IT治理框架和系統(tǒng)整體模型，為進一步系統(tǒng)設計和實施奠定基礎，保證信息技術跟上持續(xù)變化的業(yè)務目標。由于信息化工程超期，導致客戶的需求沒有得到較好的滿足，IT平臺不支持業(yè)務應用等問題較為突出。IT治理可以對信息資源的管理職責進行有效管理，保證投資的回收，并支持決策。02IT治理的目標風險管理由于企業(yè)或組織越來越依賴信息技術和網(wǎng)絡，因此新的風險不斷涌現(xiàn)。IT治理強調風險管理，通過制定信息資源的保護級別，強調對關鍵的信息技術資源實施有效監(jiān)控和做好事故處理。IT治理使企業(yè)或組織可以適應外部環(huán)境變化，在內部的業(yè)務流程中實現(xiàn)對資源的有效利用，從而達到提高管理效率和經營水平的目的。IT治理的目標是幫助管理層樹立以組織戰(zhàn)略為導向、以外界環(huán)境為依據(jù)、以業(yè)務與IT整合為中心的觀念，正確定位IT部門在整個組織中的作用；最終能夠針對不同業(yè)務發(fā)展要求，整合信息資源，制定并執(zhí)行推動組織發(fā)展的IT戰(zhàn)略。03IT治理可以解決的問題發(fā)現(xiàn)信息技術本身的問題幫助管理者處理IT問題例如，是否有足夠的IT資源、基礎設施、競爭力來滿足戰(zhàn)略目標；信息技術操作的失誤原因；IT沒有推動業(yè)務改善而是阻礙業(yè)務的次數(shù)。例如，IT和組織戰(zhàn)略目標的一致性程度怎么樣；怎樣衡量IT交付的效果；管理人員采取什么樣的手段來管理和運用IT;IT與企業(yè)或組織的運營與成長管理相關的問題；對IT相關風險(風險規(guī)避和風險承擔)是否有清楚的認識；有沒有最新的IT風險清單，要采取哪些行動防范這些風險。03IT治理可以解決的問題自我評估IT管理的效果例如，是否向最高管理層定期匯報IT風險；最高管理層是否就組織的戰(zhàn)略目標與信息技術一致性進行闡明和溝通；最高管理層對主要IT投資是否有清楚的觀點，包括風險和回報；最高管理層是否能定期得到主要IT過程的報告；最高管理層在獲取IT目標和限制IT風險時是否得到獨立的保證。IT治理就是要明確有關IT決策權的歸屬機制和有關IT責任的承擔機制，從而鼓勵應用IT預期行為的產生，將戰(zhàn)略目標、業(yè)務目標和IT目標聯(lián)系起來，讓企業(yè)或組織從IT中獲得最大價值。04IT治理與信息系統(tǒng)審計的關系那么IT治理與信息系統(tǒng)審計又是怎樣一種關系呢?從圖2-1可以看出，在IT治理的八大部分內容中，信息系統(tǒng)審計居于核心位置，信息系統(tǒng)審計能夠對其他七個部分進行審計。也就是說，信息系統(tǒng)審計對于IT治理中存在的問題是一種監(jiān)督檢查和促進IT治理的作用，但它不能替代IT治理。信息系統(tǒng)審計是IT治理的組成部分，IT治理的好壞在很大程度上取決于信息系統(tǒng)審計。這就相當于獨立審計與企業(yè)治理的作用一樣，正是企業(yè)治理問題的出現(xiàn)才產生了對獨立審計和獨立審計師的需要，而獨立審計又能促進企業(yè)所有權與控制權分離，促使受托責任的實現(xiàn)，發(fā)揮企業(yè)治理的最大作用。企業(yè)的IT治理0201企業(yè)的IT治理IT治理和企業(yè)治理的關系企業(yè)治理的定義是：為確定組織目標和確保目標實現(xiàn)的績效監(jiān)控所提供的治理結構。IT治理的定義是：IT治理是一種引導和控制企業(yè)各種關系和流程的結構，這種結構安排，旨在通過平衡信息技術及其流程中的風險和收益，增加價值，以實現(xiàn)企業(yè)目標。IT治理和企業(yè)治理的關系如圖2-2所示。01企業(yè)的IT治理IT治理和企業(yè)治理的關系IT治理的一個關鍵問題是企業(yè)的IT投資是否與其戰(zhàn)略目標一致，從而建立必要的核心競爭力。因為企業(yè)目標變化太快，很難保證企業(yè)的IT建設始終契合其商業(yè)目標，所以需要有多方面的協(xié)調來確保IT治理繼續(xù)朝著正確的方向發(fā)展，這也是IT投資者真正關心的問題。因此，IT建設時應體現(xiàn)出未來信息技術與企業(yè)未來發(fā)展方向的戰(zhàn)略整合，即要盡可能地保持開放性和長遠性，以確保系統(tǒng)的穩(wěn)定性和延續(xù)性。01企業(yè)的IT治理IT治理和企業(yè)治理的關系IT治理中比較有效的做法是，在信息化建設的規(guī)劃階段仔細分析企業(yè)戰(zhàn)略和IT治理之間的關系，合理預測環(huán)境變化可能給企業(yè)戰(zhàn)略帶來的偏差，在規(guī)劃中留出適當?shù)目臻g，從業(yè)務戰(zhàn)略到信息戰(zhàn)略，要通過務實來牽引，而不是追求大而全的建設思路。IT治理有助于建立一個靈活且適應性強的企業(yè)，使其能夠迅速感知市場正在發(fā)生的變化并從中學習，從而創(chuàng)新產品、服務、渠道、過程；迅速變化，將革新帶入市場，衡量業(yè)績。IT治理應體現(xiàn)“以組織戰(zhàn)略目標為中心”的理念，通過合理配置IT資源來創(chuàng)造價值。企業(yè)治理側重于企業(yè)的整體規(guī)劃，而IT治理側重于企業(yè)信息資源的有效利用和管理。企業(yè)目標在于遠景和商業(yè)模式，IT目標在于商業(yè)模式的實施。01企業(yè)的IT治理IT治理和企業(yè)治理的關系企業(yè)目標在于遠景和商業(yè)模式，IT目標在于商業(yè)模式的實施。企業(yè)目標與IT目標之間的關系如圖2-3所示。01企業(yè)的IT治理IT治理和IT管理IT管理屬于企業(yè)信息系統(tǒng)的運營，它確定企業(yè)的IT目標，以及為實現(xiàn)此目標所采取的行動；而IT治理是指最高管理層利用它來監(jiān)督管理層在IT戰(zhàn)略上的過程、結構和聯(lián)系，以確保這種運營處于正確的軌道之上。這就像一個硬幣的兩面，誰也不能脫離對方而存在。由此可見，IT管理就是在既定的IT治理模式下，管理層為實現(xiàn)企業(yè)的目標而采取的行動。01企業(yè)的IT治理IT治理和IT管理IT治理規(guī)定了整個企業(yè)IT運作的基本框架，IT管理則是在這個既定的框架下駕馭企業(yè)奔向目標。缺乏良好IT治理模式的企業(yè)，即使有“很好”的IT管理體系，也像一座地基不牢固的大廈；同樣，企業(yè)沒有暢通的IT管理體系，單純的IT治理模式也只能是一個美好的藍圖，而缺乏實際的內容。就我國目前信息化建設的現(xiàn)狀而言，無論是IT治理，還是IT管理，都是迫切需要不斷創(chuàng)新和建設的。01企業(yè)的IT治理IT治理和IT管理01企業(yè)的IT治理管理層在IT治理方面的職責管理層在IT治理方面的職責如表2-1所示。IT治理的核心問題0301IT治理的核心問題IT治理的核心問題體現(xiàn)在以下五種IT決策上。(1)IT原則：闡述IT的商業(yè)作用。(2)IT架構：定義集成和標準化的要求。(3)IT基礎設施：決定共享和可提供的服務。(4)商業(yè)應用需求：確定購買或內部開發(fā)應用的商業(yè)需求。(5)IT投資：選擇資助哪一個項目及投入多少資金。01IT治理的核心問題IT原則IT原則是指企業(yè)或組織的IT事業(yè)指導方針。也就是說，企業(yè)或組織想從IT所提供的服務中得到什么，以及如何在IT上進行投入。在企業(yè)或組織的戰(zhàn)略發(fā)展規(guī)劃中，通過構建先進適用的IT業(yè)務運作平臺和管理平臺，發(fā)揮其基礎支持作用，并根據(jù)企業(yè)或組織的戰(zhàn)略方向和業(yè)務原則，制定以下的IT原則：技術領先原則；技術和信息集中原則；對業(yè)務的全過程風險控制原則；統(tǒng)一、靈活、可擴張性強的基礎設施建設原則；實現(xiàn)業(yè)務目標，并可對新應用快速部署；完備、可測、可控的運行流程和開發(fā)管理流程；利用行業(yè)標準；以客戶為中心來評估產品的使用效果。01IT治理的核心問題IT架構IT架構是指所有構成信息系統(tǒng)的不同元素及這些元素之間的關聯(lián)關系，它通過一系列的規(guī)則來達到業(yè)務流程、數(shù)據(jù)格式、IT運行的標準化和一體化，以此為基礎設施、商業(yè)應用、IT投資提供指導方針。簡單來講，IT架構就是設計好IT建設的方向，比如由誰來實施、如何實施、采用什么技術或標準、投資多少和周期多長等，IT架構在執(zhí)行過程中具有指導和把握方向的作用。因此IT架構決策對于有效的IT治理而言至關重要，它往往是決定IT能力的關鍵因素。01IT治理的核心問題IT基礎設施IT基礎設施是企業(yè)或組織信息化運營的基礎，是運營整個組織所必需的一系列物理設備和應用軟件的集合，也是由管理層預算所決定的組織范圍內的人和技術能力的服務集合。人們經常提到的信息技術硬件、軟件、服務方面的投資，其實就是IT基礎設施。對于企業(yè)或組織來說，這些設施能夠為客戶服務、供應商聯(lián)系和內部管理打好基礎。IT基礎設施應該是可靠、可共享和可擴展的。有遠見的基礎設施規(guī)劃不僅可以對業(yè)務的良好發(fā)展起到積極的推動作用，而且會節(jié)約成本，反之則會導致資源浪費、工期延誤及客戶流失。01IT治理的核心問題IT基礎設施從20世紀60年代至今，IT基礎設施的迭代已經走過了5個階段：通用主機及小型計算機階段；個人計算機階段；客戶機、服務器階段；企業(yè)級計算階段；云計算及移動計算階段。基礎設施的投資是需要進行資產管理的，有“漸進式”和“爆發(fā)式”兩種投資策略，分別對應基礎設施更新?lián)Q代中的“進化式”和“斷代式”策略。經驗證明，漸進式投資策略優(yōu)于“爆發(fā)式”投資策略，主要在于有歷史投資和經驗可以傳承。01IT治理的核心問題商業(yè)應用需求盡管五種IT決策都涉及IT的商業(yè)價值，但只有滿足特定的商業(yè)需求才能實現(xiàn)其價值。分析和明確商業(yè)應用需求的目的就是為了進行信息系統(tǒng)開發(fā)。所謂的需求，就是信息化建設的需求。如果一個業(yè)務不需要信息系統(tǒng)就能有效開展，就不需要進行需求分析，直接開展業(yè)務即可。進行需求分析，就是為開發(fā)信息系統(tǒng)服務，是為了讓系統(tǒng)開發(fā)者明白其需要開發(fā)一個怎樣的信息系統(tǒng)，如需要什么功能，有什么樣的輸入/輸出，有什么樣的交互界面，業(yè)務處理的規(guī)則是什么等。當然，在分析和明確商業(yè)應用需求的過程中，有可能使得業(yè)務人員更加清晰地理解原來的業(yè)務，進而對其業(yè)務進行重新定義，因此技術創(chuàng)新可以優(yōu)化或重構原有的業(yè)務流程。這種優(yōu)化和重構將在軟件系統(tǒng)不斷的升級迭代中，逐步推動企業(yè)或組織革新和發(fā)展，形成業(yè)務與技術之間的良性互動。01IT治理的核心問題

IT投資IT投資決策需要處理三個重要問題：投資多少經費?往哪里投?如何協(xié)調不同投資者的需求?由于投資回報的不確定性，一般會參考業(yè)界同行的投資標準，但這些標準只能作為參考基準。因為不同的企業(yè)或組織對IT有不同的戰(zhàn)略預期，有遠見的最高管理層應該關注IT的戰(zhàn)略作用，從而建立相應的投資標準。此外，如何分配IT投資，構成有效的IT投資組合是管理者最為關注的問題。這個問題對不同企業(yè)或組織有不同的標準，以下幾點是考慮的重點。01IT治理的核心問題

IT投資(1)對IT投資進行管理。這種管理應該具有可以量化的指標體系，而且要在投資者和被投資者之間達成一致，即便同一個單位內部也應區(qū)分IT投資部門和IT使用部門，即在單位內部也進行成本攤銷與核算。(2)對IT資產進行分類。IT資產通?？煞譃樗念悾簯?zhàn)略層面(為了獲得競爭優(yōu)勢)、信息層面(為了提供信息)、事物層面(為了降低處理事物的成本)和基礎設施層面(為了提供共享服務和集成)。一個清晰具體的分類，有助于確定IT投資策略的優(yōu)先級，使利益最大化。(3)對IT投資進行風險評估。正如任何商業(yè)投資決策都有風險一樣，IT投資也讓企業(yè)或組織面臨四大風險：財務風險、市場風險、組織風險和技術風險。需要全面分析及反復權衡才能確保IT投資成功。IT投資風險評估通常更注重財務風險和技術風險，而容易忽略市場風險和組織風險，這就可能導致投資回報率低或項目永遠無法完成的情況。這是一個需要注意的常見問題。IT治理的標準0401IT治理的標準IT治理框架和標準匯總見表2-2所示。該表列出了IT治理框架的內容及其標準，目前國際上通行的IT治理標準主要有五個：COBIT、ITIL、ISO/IEC38500、PRINCE2和ISO27001。01IT治理的標準IT治理框架和標準匯總見表2-2所示。該表列出了IT治理框架的內容及其標準，目前國際上通行的IT治理標準主要有五個：COBIT、ITIL、ISO/IEC38500、PRINCE2和ISO27001。01IT治理的標準COBITCOBIT(ControlObjectivesforInformationandrelatedTechnology),即信息系統(tǒng)和技術控制目標。國際信息系統(tǒng)審計協(xié)會(ISACA)于1996推出了用于信息系統(tǒng)審計的知識體系COBIT,現(xiàn)已更新到COBIT2019。COBIT在風險、控制和技術之間構建了全面的框架，為組織IT治理和管理起到指引的作用，以支持企業(yè)或組織實現(xiàn)其IT治理和管理的目標。COBIT將企業(yè)或組織的戰(zhàn)略規(guī)劃作為重要的因素，對業(yè)務環(huán)境和業(yè)務戰(zhàn)略進行分析，并將戰(zhàn)略規(guī)劃所產生的政策、目標、行動規(guī)劃作為信息技術的關鍵因素，并由此確定IT準則。在COBIT標準的指導下，企業(yè)或組織利用控制目標體系，分別從“調整、計劃和組織”“建立、獲取和實施”“交付、服務和支持”“監(jiān)控、評價和評估”過程對信息資源進行控制和管理。01IT治理的標準ITILITIL(InformationTechnologyInfrastructureLibrary),即信息技術基礎構架庫，是一套被廣泛承認的用于有效IT服務管理的實踐準則。ITIL主要包括六個方面的管理內容，即業(yè)務管理、服務管理、應用管理、安全管理、信息技術服務管理規(guī)劃與實施、基礎設施管理。服務管理是它的核心模塊，包括兩個過程：“服務交付”和“服務支持”。ITIL關注IT服務過程并考慮了使用者的核心作用，對IT的應用、管理、變更、運維等方面提出了要求，明確每個階段、每個環(huán)節(jié)的要求、目標和工作流程。01IT治理的標準IT治理——ISO/IEC38500ISO和IEC在2008年發(fā)布了ISO/IEC38500系列標準，這是有關IT治理方面的國際標準，它的出臺不僅標志著IT治理從概念模糊的探討階段進入了一個正確認識的發(fā)展階段，而且也標志著信息化正式進入IT治理時代。這一系列標準在發(fā)布后又陸續(xù)進行了更新和增補，截至2022年已包含21個具體標準，其中有以下幾個主要標準。01IT治理的標準IT治理——ISO/IEC38500ISO/IEC38500:2008《信息技術IT治理》,給出了IT治理的六個原則(職責、策略、獲取、績效、合規(guī)、人員行為)和治理模型，并通過引入評估、指導、監(jiān)督三個主要治理任務與治理原則構成6×3的治理原則實施矩陣；ISO/IEC38500:2008中給出了IT治理模型，模型中描述了治理主體需要結合外部環(huán)境的要求，在評估現(xiàn)狀后進行戰(zhàn)略決策指導組織對IT的利用，同時監(jiān)控對IT利用的績效(見圖2-5)。01IT治理的標準IT治理——ISO/IEC38500ISO/IEC38501:2012《信息技術IT治理實施指南》,此標準根據(jù)治理模型設計了四個主要的實施過程，并通過環(huán)境、范圍、架構、角色、職責、策略、流程等內容提出了IT治理實施框架，進一步規(guī)范了IT治理實施過程。ISO/IEC38502:2012《信息技術IT治理框架和模型》,此標準將治理原則、IT業(yè)務計劃、IT管理體系、IT利用過程、IT利用的策略、風險管理等關鍵要素構成整體，形成IT治理的框架。ISO/IEC38504:2016《基于原則IT治理架構》,此標準以技術報告的形式提出了基于原則的方法論，規(guī)定了原則中需要包含的信息項，旨在為其他標準應用基于原則的方法論提供指導。01IT治理的標準IT治理——ISO/IEC38500ISO/IEC38505-1:2021《數(shù)據(jù)治理》,此標準將ISO/IEC38500:2008的核心思想和模型應用在數(shù)據(jù)的場景下，在規(guī)范數(shù)據(jù)利用過程(采集、存儲、報告、決策、發(fā)布、廢棄)的同時，從價值、風險和約束三個視角闡述數(shù)據(jù)治理應關注的主要內容，同時構建數(shù)據(jù)利用過程和主要內容之間6×3的關系矩陣。ISO/IEC38505-2:2021《數(shù)據(jù)治理對管理的影響》,此標準以研究報告的形式深化了數(shù)據(jù)治理國際標準第一部分的工作。通過進一步分析，以數(shù)據(jù)治理的視角深入數(shù)據(jù)管理，為最高管理層(董事會)和管理執(zhí)行層提供監(jiān)督和評估的具體內容。01IT治理的標準PRINCE2PRINCE2(ProjectsInControlledEnvironments),即受控環(huán)境中的項目管理，是一種基于過程的結構化的項目管理方法。PRINCE2描述了一個項目如何被切分成一些可供管理的過程，對每個過程定義關鍵輸入、需要執(zhí)行的關鍵活動和特殊的輸出目標，以便高效地控制資源的使用和在整個項目周期執(zhí)行常規(guī)的監(jiān)督流程。PRINCE2的視野并不僅限于對具體項目的管理，還涵蓋了在組織范圍內對項目的管理。01IT治理的標準ISO27001ISO27001信息安全管理實用規(guī)則起源于英國標準協(xié)會(BSI)于1995年頒布的BS7799標準。1999年BSI對該標準進行了修改。ISO27001是一套全面性很強的實施規(guī)則，為信息安全管理提供了參照，并且適用各種規(guī)模類型的組織。目前，在信息安全管理方面，英國標準ISO27001已經成為世界上應用最全面的、最權威的信息安全管理標準，適用于各種性質、各種規(guī)模的組織，如政府、銀行、電信、研究機構、外包服務企業(yè)、軟件服務企業(yè)等。該標準偏重安全，從組織架構、人力、安全策略、訪問控制等11個方面提出了信息系統(tǒng)管理的要求和操作實踐。該標準已被我國頒布為國家標準(GB/T22080-2008和GB/T22081-2008)。信息系統(tǒng)審計準則0501ISACA信息系統(tǒng)審計基本準則國際信息系統(tǒng)審計協(xié)會(ISACA)主要致力于信息系統(tǒng)審計準則的制定與發(fā)布工作。截至2013年12月，ISACA發(fā)布的規(guī)范包括16項基本準則、41項審計指南和11項作業(yè)程序，這些規(guī)范層次清晰、可操作性強。ISACA的信息系統(tǒng)審計準則體系類似注冊會計師審計準則體系，ISACA的信息系統(tǒng)審計準則體系由基本準則、審計指南和作業(yè)程序構成，該框架為信息系統(tǒng)審計人員的執(zhí)業(yè)提供了多層次的指引。雖然ISACA成立于1969年，但其基本準則的制定經歷了一段很長的時間，至1997年才發(fā)布信息系統(tǒng)審計基本準則，包括審計章程、獨立性、職業(yè)道德和準則、職業(yè)技術、審計計劃、實施審計工作、報告和后續(xù)工作八個部分，該準則于1997年7月25日開始生效。隨著審計指南與作業(yè)程序的制定與發(fā)布，以及對信息系統(tǒng)審計基本準則可擴展性的考慮，ISACA于2005年將1997年所發(fā)布的信息系統(tǒng)審計基本準則拆分為八個基本準則，并對原有內容根據(jù)信息技術發(fā)展狀況進行了修訂。同時，于2005年9月之后陸續(xù)發(fā)布了S9到S16八個基本準則。02ISACA信息系統(tǒng)審計基本準則與審計指南、審計程序的關系ISACA信息系統(tǒng)審計基本準則、審計指南與審計程序關系如圖2-6所示。圖2-6所顯示的關系為國際信息系統(tǒng)審計師的執(zhí)業(yè)提供了多層次的指引。第一層次：信息系統(tǒng)審計基本準則。信息系統(tǒng)審計基本準則是整個信息系統(tǒng)審計準則體系的總綱，是制定信息系統(tǒng)審計指南和審計程序的基礎依據(jù)。它規(guī)定了審計章程及審計過程(從計劃、實施、報告到跟蹤)必須達到的基本要求，是注冊信息系統(tǒng)審計師(CISA)的資格條件、執(zhí)業(yè)行為的基本規(guī)范，表明了管理層和其他利益方對執(zhí)業(yè)者在專業(yè)工作上的期待，最新的信息系統(tǒng)審計基本準則分為11大類，共43條，只要是CISA執(zhí)行審計業(yè)務、出具審計報告，就必須遵守執(zhí)行，具有強制性。如果CISA未能遵守執(zhí)行，ISACA董事會和相應委員會將會對其進行調查并給予紀律處分。02ISACA信息系統(tǒng)審計基本準則與審計指南、審計程序的關系第二層次：信息系統(tǒng)審計指南。信息系統(tǒng)審計指南是依據(jù)信息系統(tǒng)審計基本準則制定的，是信息系統(tǒng)審計基本準則的具體化，為信息系統(tǒng)審計基本準則體系中11大類標準的實施提供了指引，圖2-6中的虛線箭頭反映了此關系。它詳細規(guī)定了CISA實施審計業(yè)務、出具審計報告的具體指引，為CISA在執(zhí)行審計業(yè)務中如何遵循審計準則提供指導。CISA在執(zhí)業(yè)過程中參考這些指南時要有職業(yè)判斷，任何偏離信息系統(tǒng)審計基本準則的行為都要有充分的理由。02ISACA信息系統(tǒng)審計基本準則與審計指南、審計程序的關系第三層次：信息系統(tǒng)審計程序。信息系統(tǒng)審計程序是依據(jù)信息系統(tǒng)審計基本準則和信息系統(tǒng)審計指南制定的。它為CISA提供了一般審計業(yè)務(尤其是審計計劃和審計實施階段的業(yè)務)的程序和步驟，是遵守基本準則和指南的一些通常審計程序，它為CISA提供了很好的工作范例。但這僅是CISA的一個參照而已，它所提供的只是CISA在審計時能滿足審計準則要求的通常做法，但并不要求CISA在執(zhí)行具體的審計業(yè)務時強制執(zhí)行，CISA要根據(jù)特定的信息系統(tǒng)和特定的技術環(huán)境做出自己的職業(yè)判斷，選擇適當?shù)膶徲嫵绦颉?2ISACA信息系統(tǒng)審計基本準則與審計指南、審計程序的關系此外，圖2-6中信息系統(tǒng)審計基本準則可以分為4個部分：(1)審計章程或審計業(yè)務約定書；(2)對審計師職業(yè)資格的要求，包括獨立性、職業(yè)道德和職業(yè)能力的要求；(3)從計劃、實施、報告到后續(xù)這4個審計過程；(4)其他，包括不正當及非法行為、信息系統(tǒng)管理、審計計劃中風險評估的利用。02ISACA信息系統(tǒng)審計基本準則與審計指南、審計程序的關系03ISACA信息系統(tǒng)審計基本準則的內容審計章程獨立性(1)信息系統(tǒng)審計職能機構或信息系統(tǒng)審計任務的目的、責任、權限及職責，應在審計章程或審計業(yè)務約定書中載明。(2)審計章程或審計業(yè)務約定書應得到組織中適當?shù)墓芾韺拥耐夂团鷾省?1)職業(yè)獨立性：信息系統(tǒng)審計師在從事審計事項時，應該在實質和形式上獨立于被審計方。(2)組織獨立性：信息系統(tǒng)審計職能機構應充分獨立于被審計單位，以實現(xiàn)審計目標。03ISACA信息系統(tǒng)審計基本準則的內容專業(yè)勝任能力審計計劃(1)擔任信息系統(tǒng)審計工作的審計師應當具備審計工作所必需的專門技能與學識。(2)信息系統(tǒng)審計師要通過充分且持續(xù)的職業(yè)后續(xù)教育，以保持和提高其專業(yè)勝任能力。(1)信息系統(tǒng)審計人員應依據(jù)審計目標和相應的法律和審計準則，對信息系統(tǒng)審計工作編制計劃。(2)信息系統(tǒng)審計人員應采取基于風險的審計方法。(3)信息系統(tǒng)審計人員應編制詳細的審計計劃，包括審計性質、目標、范圍和所需的資源。(4)信息系統(tǒng)審計人員應編制審計程序和步驟。03ISACA信息系統(tǒng)審計基本準則的內容審計實施(1)監(jiān)督：信息系統(tǒng)審計人員應受到適當?shù)谋O(jiān)督，以確保實現(xiàn)審計目標，并遵守審計基本準則。(2)在信息系統(tǒng)審計過程中，信息系統(tǒng)審計人員應當搜集充分的、可靠的、相關的和有用的證據(jù)，以有效實現(xiàn)審計目標。審計發(fā)現(xiàn)和審計結論必須以合理地分析、利用審計證據(jù)為基礎。(3)審計底稿：審計過程應該有書面記錄，以表明審計工作和審計證據(jù)支持信息系統(tǒng)審計人員的發(fā)現(xiàn)和結論。(1)信息系統(tǒng)審計師應遵守信息系統(tǒng)審計及控制協(xié)會規(guī)定的職業(yè)道德準則。(2)信息系統(tǒng)審計師應保持應有的職業(yè)審慎態(tài)度，并堅持以審計基本準則為執(zhí)業(yè)標準。職業(yè)道德及準則03ISACA信息系統(tǒng)審計基本準則的內容后續(xù)審計(1)信息系統(tǒng)審計人員在完成審計工作后，應向委托者出具按照適當?shù)母袷骄幹频膶徲媹蟾?。審計報告應當標明機構名稱、審計報告報送對象及報告使用限制。(2)審計報告應當說明審計范圍、審計目標、審計工作所涵蓋的期間及所執(zhí)行審計工作的性質和內容。(3)審計報告應當說明審計人員執(zhí)行審計工作中所發(fā)現(xiàn)的問題、形成的結論和建議及審計師關于審計的任何保留意見。(4)信息系統(tǒng)審計人員應該有充分的、適當?shù)膶徲嬜C據(jù)來支持所報告的審計結論。(5)審計報告簽發(fā)時，信息系統(tǒng)審計人員應該依據(jù)審計章程或審計業(yè)務約定書中的規(guī)定簽名、簽署日期再對外發(fā)放。審計實施信息系統(tǒng)審計人員應當要求并評價被審計單位對審計發(fā)現(xiàn)的問題、結論及建議采取處理措施，以判斷被審計單位是否已及時、妥善地處理了相關問題。03ISACA信息系統(tǒng)審計基本準則的內容(1)在計劃和實施審計工作時，信息系統(tǒng)審計人員應該考慮不合規(guī)和非法行為等可能帶來的審計風險。(2)無論不合規(guī)和非法行為的風險評估結果如何，信息系統(tǒng)審計人員在實施審計作業(yè)時都要對由于不合規(guī)和非法行為而導致的重大誤報的可能性保持職業(yè)懷疑的態(tài)度。(3)信息系統(tǒng)審計人員應該了解組織及其所處的環(huán)境，包括內部控制。(4)信息系統(tǒng)審計人員應該獲得充分的、適當?shù)膶徲嬜C據(jù)來確定組織內的管理層或其他人是否了解任何事實上的或可能的不合規(guī)和非法行為。(5)在了解組織及其所處的環(huán)境時，信息系統(tǒng)審計人員應該注意那些不正常的關系人員，這些人員可能因為實施不合規(guī)和非法行為而導致重大誤報。不合規(guī)和非法行為03ISACA信息系統(tǒng)審計基本準則的內容(6)信息系統(tǒng)審計人員應該設計和實施測試程序，以測試內部控制的適當性和是否存在管理層超越控制的情況。(7)當信息系統(tǒng)審計人員確認被審計方存在誤報事實時，審計人員應該評估該誤報是否