国际信息系统审计标准(中文版)

信息系统审计标准S1-审计章程导言01ISACA标准和其它相关指南包含强制性的基本原则和重要程序（以粗体标出）。02制定信息系统审计标准的目的是就审计章程在审计程序中的运用制定和提供指南。标准03信息系统审计职能或信息系统审计任务的目的、责任、授权方和义务应在审计章程或委托书中予以正确的登载。04审计章程或委托书应在组织内的适当层次得到同意和通过。注释05对于内部信息系统审计职能，应为所有进行中的业务活动制定一份审计章程。审计章程应通过年度审查。如果责任发生变动或变化，则应缩短审查周期。内部信息系统审计师可用委托书来进一步澄清或确认参与特定的审计或非审计任务。外部信息系统审计师参与每项审计或非审计任务通常应当准备委托书。06审计章程或委托书应足够详细以便能表达审计功能或审计任务的目的、责任和限制。07审计章程或委托书应定期审查，以确保（审计的）目的和责任已经记录在案。08如需有关准备审计章程或委托书进一步的信息，应参考下列指南：信息系统审计指南G5，审计章程COBIT框架，监控目标M4实施日期09此ISACA标准适用于所有信息系统的审计，于2005年1月1日起（之后）实施。信息系统（IS）审计的专业性和进行这类审计所需的技术，要求制定出专门适用于信息系统审计的标准。推进全球适用的标准以实现这个目标是信息系统审计与控制协会（ISACA®）的宗旨之一。信息系统审计标准的发展和传播是ISACA为审计业界作出专业贡献的基础。信息系统审计标准的框架提供了多层次的指引：标准为信息系统审计和报告定义了强制性的要求。它们宣告：-根据ISACA职业道德规范中关于职业责任的规定，信息系统审计师的执行绩效所应达到的最低标准。-管理层和其他利益方对执业者在专业工作上的期待。-认证信息系统审计师（CISA®）资格持有人的相关特定要求。CISA资格持有人未能遵守上述标准的可能会导致ISACA董事会或相应ISACA委员会对其进行调查直至最终的纪律处分。指南为信息系统审计标准的实施提供了指引。信息系统审计师在标准的实施程序中应参考指南，同时作出职业判断，对背离标准的做法应随时提供解释。信息系统审计指南的目标是为达到信息系统审计标准提供进一步信息。程序为信息系统审计师提供审计项目中可以遵循的步骤范例。程序文件提供信息系统审计工作开展中如何达到相关标准的信息，但并非硬性规定。信息系统审计程序的目标是为达到信息系统审计标准提供进一步信息。COBIT®资源应被当作最佳操作实施指南的来源。COBIT框架强调，“保护企业的所有资产是管理层的责任，为履行这一责任以及实现企业的期望，管理层必须建立起一套完善的内部监控体系。”COBIT为信息系统管理环境提供了详细的监控和监控方法。基于特殊的COBIT信息技术程序选择和对COBIT信息标准的考虑来选用与特定审计范围最相关的材料。依COBIT框架中所定义，以下各项由IT管理程序进行组织。COBIT为商业及IT管理层以及信息系统审计师而计，所以它的运用有助于商业目标的理解，最佳操作实施的交流和围绕已经达成共识和广受尊重的标准参考体系的意见的形成。COBIT包括：监控目标一广义上所需达到的最低限度良好监控之总括和详述。监控实施一监控目标的实务原理和“如何实现”监控目标的指南。审计指南一对于不同监控领域，如何理解和评估各种监控，考核监控的符合性和证实失控风险的指南。管理方针一如何运用成熟度模型，指标和关键性成功因素等方法来评估和提高IT程序执行绩效的指南。它们提供一种针对管理层的框架应用于连续性和自发性的监控自我评估，特别专注于：-绩效衡量一IT功能支持商用需求效果如何？管理方针既可用于支持自我评估的专题研讨,也可被管理层作为IT管治方案的一部分，用以支持持续监督和程序改进的推行。-IT监控概况一哪些IT程序是重要的？哪些是监控的关键性成功因素？-监控意识一达不到目标会有哪些风险？-监控基准一其他人做了什么？如何衡量和比较结果？管理方针提供了对IT绩效的范例指标，可用于商业意义上对IT执行绩效的评估。关键的目标指标可以识别并衡量IT程序的成果，同时关键的执行绩效指标可以通过衡量程序的实现者来评估程序的执行绩效。透过成熟度模型和成熟度属性提供能力评估和基准，帮助管理层衡量监控能力，找到差距并提出相应改善策略。术语表可在ISACA的网站：/glossary上查阅。审计和审查这两个词可以互换使用。免责声明根据ISACA职业道德规范中对职业责任的规定,ISACA设计本指南作为执行绩效所应达到的最低标准。ISACA并未声明使用此产品一定会出现成功的结果。本出版物不能被视作包括所有合适的程序和测试，也不能被视作排斥通过合理引导获得同样结果的其它程序和测试。在决定任何具体的程序或测试的合理性时，监控专业人士应根据其自身的专业判断来判别由特定系统或信息技术环境产生的特定监控条件。ISACA标准管理委员会致力于为信息系统审计标准、指南和程序的制定作出广泛的咨询。在发布任何文件之前，标准管理委员会向全球提供公开草案，供大众评论。标准管理委员会也寻求相关领域的专家和相关人士对必要处提出咨询意见。标准管理委员会现有研发计划，欢迎ISACA成员和其它相关人士报告任何新出现问题及其所需的新标准。所有建议请电邮至()。或传真(+1.847.253.1443)或写信(地址在文件末尾)至［SACA国际总部，收件人注明研究标准和学术关系主任。本材料于2004年10月15日颁布。S2-审计独立性引言01ISACA标准和其它相关指南包含强制性的基本原则和重要程序(以粗体标出)。02制定信息审计标准的目的是为审计程序中的独立性确立相应的标准和指南。标准03职业独立性对于所有与审计相关的事务，信息系统审计师应当在态度和形式上独立于被审计单位。04组织独立性信息审计职能应当独立于受审查的范围或活动之外，以确保审计工作完成的客观性。注释05审计章程或委托书中应当针对审计职能的独立性和义务做出相应的规定。06信息系统审计师应该在审计过程中随时保持态度和形式上的独立性。07如出现独立性受损的现象，无论是在实质上还是在形式上，应向有关当事人披露独立性受损的细节。08信息系统审计师应当在组织上独立于被审计的范围。09信息系统审计师、管理层和审计委员会（如果设立）应当定期对独立性进行评估。10除非被其他职业标准或管理机构所禁止，当信息系统审计师虽然参与信息系统项目，但是担当的并不是审计角色的时候，则并不要求信息系统审计师保持独立性，或者在形式上表现出独立性。11如需获得关于职业或组织独立性的进一步信息，请参考以下指南：信息系统审计指南G17,非审计角色对信息系统审计师独立性的影响信息系统审计指南G12，组织关系和独立性COBIT框架，监控目标M4实施日期12此ISACA标准适用于所有信息系统的审计工作，于2005年1月1日起实施。信息系统审计与控制协会2004-2005年标准管理委员会Chair,SergioFleginsky,CISAPricewaterhouseCoopers,UruguaySveinAldalAldalConsulting,NorwayJohnBeveridge,CISA,CISM,CFE,CGFM,CQAOfficeoftheMassachusettsStateAuditor,USAClaudioCilli,Ph.D.,CISA,CISM,CIA,CISSPValuePartners,ItalyChristinaLedesma,CISA,CISMCitibankNASucursal,UruguayAndrewMacLeod,CISA,CIA,FCPA,MACS,PCPBrisbaneCityCouncil,AustraliaV.Meera,CISA,CISM,ACS,CISSP,CWAMicrosoftCorporation,USARaviMuthukrishnan,CISA,CISM,FCA,ISCANextLinxIndiaPrivateLtd.,IndiaPeterNiblett,CISA,CISM,CA,CIA,FCPAWHKDayNeilson,AustraliaJohnG.Ott,CISA,CPAAetnaInc.,USAThomasThompson,CISAErnst&Young,UAE©Copyright2004InformationSystemsAuditandControlAssociation3701AlgonquinRoad,Suite1010RollingMeadows,IL60008USA电话：+1.847.253.1545传真：+1.847.253.1443E-mail:网站：信息系统（IS）审计的专业性和进行这类审计所需的技术，要求制定出专门适用于信息系统审计的标准。推进全球适用的标准以实现这个目标是信息系统审计与控制协会（ISACA®）的宗旨之一。信息系统审计标准的发展和传播是ISACA为审计业界作出专业贡献的基础。信息系统审计标准的框架提供了多层次的指引：标准为信息系统审计和报告定义了强制性的要求。它们宣告：-根据ISACA职业道德规范中关于职业责任的规定，信息系统审计师的执行绩效所应达到的最低标准。-管理层和其他利益方对执业者在专业工作上的期待。-认证信息系统审计师（CISA®）资格持有人的相关特定要求。CISA资格持有人未能遵守上述标准的可能会导致ISACA董事会或相应ISACA委员会对其进行调查直至最终的纪律处分。指南为信息系统审计标准的实施提供了指引。信息系统审计师在标准的实施程序中应参考指南，同时作出职业判断，对背离标准的做法应随时提供解释。信息系统审计指南的目标是为达到信息系统审计标准提供进一步信息。程序为信息系统审计师提供审计项目中可以遵循的步骤范例。程序文件提供信息系统审计工作开展中如何达到相关标准的信息，但并非硬性规定。信息系统审计程序的目标是为达到信息系统审计标准提供进一步信息。COBIT®资源应被当作最佳操作实施指南的来源。COBIT框架强调，“保护企业的所有资产是管理层的责任，为履行这一责任以及实现企业的期望，管理层必须建立起一套完善的内部监控体系。”COBIT为信息系统管理环境提供了详细的监控和监控方法。基于特殊的COBIT信息技术程序选择和对COBIT信息标准的考虑来选用与特定审计范围最相关的材料。依COBIT框架中所定义，以下各项由IT管理程序进行组织。COBIT为商业及IT管理层以及信息系统审计师而计，所以它的运用有助于商业目标的理解，最佳操作实施的交流和围绕已经达成共识和广受尊重的标准参考体系的意见的形成。COBIT包括：监控目标一广义上所需达到的最低限度良好监控之总括和详述。监控实施一监控目标的实务原理和“如何实现”监控目标的指南。审计指南一对于不同监控领域，如何理解和评估各种监控，考核监控的符合性和证实失控风险的指南。管理方针一如何运用成熟度模型，指标和关键性成功因素等方法来评估和提高IT程序执行绩效的指南。它们提供一种针对管理层的框架应用于连续性和自发性的监控自我评估，特别专注于：-绩效衡量一IT功能支持商用需求效果如何？管理方针既可用于支持自我评估的专题研讨,也可被管理层作为IT管治方案的一部分，用以支持持续监督和程序改进的推行。-IT监控概况一哪些IT程序是重要的？哪些是监控的关键性成功因素？-监控意识一达不到目标会有哪些风险？-监控基准一其他人做了什么？如何衡量和比较结果？管理方针提供了对IT绩效的范例指标，可用于商业意义上对IT执行绩效的评估。关键的目标指标可以识别并衡量IT程序的成果，同时关键的执行绩效指标可以通过衡量程序的实现者来评估程序的执行绩效。透过成熟度模型和成熟度属性提供能力评估和基准，帮助管理层衡量监控能力，找到差距并提出相应改善策略。术语表可在ISACA的网站：/glossary上查阅。审计和审查这两个词可以互换使用。免责声明根据ISACA职业道德规范中对职业责任的规定,ISACA设计本指南作为执行绩效所应达到的最低标准°ISACA并未声明使用此产品一定会出现成功的结果。本出版物不能被视作包括所有合适的程序和测试，也不能被视作排斥通过合理引导获得同样结果的其它程序和测试。在决定任何具体的程序或测试的合理性时，监控专业人士应根据其自身的专业判断来判别由特定系统或信息技术环境产生的特定监控条件。ISACA标准管理委员会致力于为信息系统审计标准、指南和程序的制定作出广泛的咨询。在发布任何文件之前，标准管理委员会向全球提供公开草案，供大众评论。标准管理委员会也寻求相关领域的专家和相关人士对必要处提出咨询意见。标准管理委员会现有研发计划，欢迎ISACA成员和其它相关人士报告任何新出现问题及其所需的新标准。所有建议请电邮至()。或传真(+1.847.253.1443)或写信(地址在文件末尾)至［SACA国际总部，收件人注明研究标准和学术关系主任。本材料于2004年10月15日颁布。信息系统审计标准职业道德和标准文件号S3第2页：职业道德和标准信息系统审计标准职业道德和标准S3引言01ISACA标准和其它相关指南包含强制性的基本原则和重要程序(以粗体标出)。02制定信息系统审计标准的目的是为信息系统审计师确立标准并提供指南，以使信息系统审计师遵守ISACA职业道德规范，正确履行审计职责。标准03信息系统审计师应当遵守ISACA职业道德规范的要求。04信息系统审计师应当正确履行审计职责，其中包括遵守相应的职业审计标准。注释05由ISACA所发布的职业道德规范将会被不定期地修订，以保证与审计行业中最新出现的趋势和要求的一致性°ISACA的成员及信息系统审计师应当与最新的职业道德规范保持一致，并且在以信息审计师身份担任审计职责时遵照执行。06由ISACA所发布的信息审计标准会被定期审查，以不断改进，并且会随着审计行业中不断出现的挑战做出必要的修订。ISACA的成员及信息系统审计师应当了解最新适用的信息系统审计标准，并且在执行审计任务过程中正确地履行审计职责。07如果未能遵守ISACA职业道德规范以及/或者信息审计标准，相关ISACA成员或CISA持有人就会受到操行方面的调查，最终还会受到纪律处分。08ISACA的成员及信息系统审计师应当与他们同工作组的成员进行沟通，确保各工作组在执行审计任务的过程中，遵守职业道德规范和适用的信息系统审计标准。09信息系统审计师在承担审计任务中，应该按照适用的职业道德规范和信息系统审计标准，妥善处理所有的利益关系。如果无法完全遵守或在形式上无法完全遵守职业道德规范和信息系统审计标准，信息系统审计师应该考虑退出所从事的审计项目。信息系统审计师应当保持最高度的诚实和正直，在争取和执行审计任务的过程中，不得采取任何可能被看作非法的、不道德的或非专业的方法。如需获得关于职业道德和标准的进一步信息，请参考以下指南：信息系统审计指南G19,不规范和非法审计行为信息系统审计指南G7,正当的职业行为信息系统审计指南G12,组织关系和独立性COBIT框架，监控目标M4实施日期此信息系统审计标准适用于所有信息系统的审计工作,于2005年1月1日起实施。信息系统审计与控制协会2004-2005年标准管理委员会Chair,SergioFleginsky,CISAPricewaterhouseCoopers,UruguaySveinAldalAldalConsulting,NorwayJohnBeveridge,CISA,CISM,CFE,CGFM,CQAOfficeoftheMassachusettsStateAuditor,USAClaudioCilli,Ph.D.,CISA,CISM,CIA,CISSPValuePartners,ItalyChristinaLedesma,CISA,CISMCitibankNASucursal,UruguayAndrewMacLeod,CISA,CIA,FCPA,MACS,PCPBrisbaneCityCouncil,AustraliaV.Meera,CISA,CISM,ACS,CISSP,CWAMicrosoftCorporation,USARaviMuthukrishnan,CISA,CISM,FCA,ISCANextLinxIndiaPrivateLtd.,IndiaPeterNiblett,CISA,CISM,CA,CIA,FCPAWHKDayNeilson,AustraliaJohnG.Ott,CISA,CPAAetnaInc.,USAThomasThompson,CISAErnst&Young,UAE©Copyright2004InformationSystemsAuditandControlAssociation3701AlgonquinRoad,Suite1010RollingMeadows,IL60008USA电话：+1.847.253.1545传真：+1.847.253.1443E-mail:网站：www.isaca.or_信息系统（IS）审计的专业性和进行这类审计所需的技术，要求制定出专门适用于信息系统审计的标准。推进全球适用的标准以实现这个目标是信息系统审计与控制协会（ISACA®）的宗旨之一。信息系统审计标准的发展和传播是ISACA为审计业界作出专业贡献的基础。信息系统审计标准的框架提供了多层次的指引：标准为信息系统审计和报告定义了强制性的要求。它们宣告：-根据ISACA职业道德规范中关于职业责任的规定，信息系统审计师的执行绩效所应达到的最低标准。-管理层和其他利益方对执业者在专业工作上的期待。-认证信息系统审计师（CISA®）资格持有人的相关特定要求。CISA资格持有人未能遵守上述标准的可能会导致ISACA董事会或相应ISACA委员会对其进行调查直至最终的纪律处分。指南为信息系统审计标准的实施提供了指引。信息系统审计师在标准的实施程序中应参考指南，同时作出职业判断，对背离标准的做法应随时提供解释。信息系统审计指南的目标是为达到信息系统审计标准提供进一步信息。程序为信息系统审计师提供审计项目中可以遵循的步骤范例。程序文件提供信息系统审计工作开展中如何达到相关标准的信息，但并非硬性规定。信息系统审计程序的目标是为达到信息系统审计标准提供进一步信息。COBIT®资源应被当作最佳操作实施指南的来源。COBIT框架强调，“保护企业的所有资产是管理层的责任，为履行这一责任以及实现企业的期望，管理层必须建立起一套完善的内部监控体系。”COBIT为信息系统管理环境提供了详细的监控和监控方法。基于特殊的COBIT信息技术程序选择和对COBIT信息标准的考虑来选用与特定审计范围最相关的材料。依COBIT框架中所定义，以下各项由IT管理程序进行组织。COBIT为商业及IT管理层以及信息系统审计师而计，所以它的运用有助于商业目标的理解，最佳操作实施的交流和围绕已经达成共识和广受尊重的标准参考体系的意见的形成。COBIT包括：监控目标一广义上所需达到的最低限度良好监控之总括和详述。监控实施一监控目标的实务原理和“如何实现”监控目标的指南。审计指南一对于不同监控领域，如何理解和评估各种监控，考核监控的符合性和证实失控风险的指南。管理方针一如何运用成熟度模型，指标和关键性成功因素等方法来评估和提高IT程序执行绩效的指南。它们提供一种针对管理层的框架应用于连续性和自发性的监控自我评估，特别专注于：-绩效衡量一IT功能支持商用需求效果如何？管理方针既可用于支持自我评估的专题研讨,也可被管理层作为IT管治方案的一部分，用以支持持续监督和程序改进的推行。-IT监控概况一哪些IT程序是重要的？哪些是监控的关键性成功因素？-监控意识一达不到目标会有哪些风险？-监控基准一其他人做了什么？如何衡量和比较结果？管理方针提供了对IT绩效的范例指标，可用于商业意义上对IT执行绩效的评估。关键的目标指标可以识别并衡量IT程序的成果，同时关键的执行绩效指标可以通过衡量程序的实现者来评估程序的执行绩效。透过成熟度模型和成熟度属性提供能力评估和基准，帮助管理层衡量监控能力，找到差距并提出相应改善策略。术语表可在ISACA的网站：/glossary上查阅。审计和审查这两个词可以互换使用。免责声明根据ISACA职业道德规范中对职业责任的规定,ISACA设计本指南作为执行绩效所应达到的最低标准。ISACA并未声明使用此产品一定会出现成功的结果。本出版物不能被视作包括所有合适的程序和测试，也不能被视作排斥通过合理引导获得同样结果的其它程序和测试。在决定任何具体的程序或测试的合理性时，监控专业人士应根据其自身的专业判断来判别由特定系统或信息技术环境产生的特定监控条件。ISACA标准管理委员会致力于为信息系统审计标准、指南和程序的制定作出广泛的咨询。在发布任何文件之前，标准管理委员会向全球提供公开草案，供大众评论。标准管理委员会也寻求相关领域的专家和相关人士对必要处提出咨询意见。标准管理委员会现有研发计划，欢迎ISACA成员和其它相关人士报告任何新出现问题及其所需的新标准。所有建议请电邮至（）。或传真（+1.847.253.1443）或写信（地址在文件末尾）至［SACA国际总部，收件人注明研究标准和学术关系主任。本材料于2004年10月15日颁布。信息系统审计标准职业能力文件号S4第2页：职业能力信息系统审计标准职业能力S4引言01ISACA信息系统审计标准和其它相关指南包含强制性的基本原则和重要程序（以粗体标出）。02制定信息系统审计标准的目的是为信息系统审计师确立和提供指南，以使他们按要求达到并保持职业能力。标准03信息系统审计师应该有合格的职业能力，具备进行审计工作的相应知识和技能。04信息系统审计师应该通过持续的职业教育和培训保持良好的职业能力。注释05信息系统审计师必须合理保证在开始某个项目前具备良好的职业能力（包括与所计划的任务相关的专业技能、专业知识和工作经验）。不具备的信息系统审计师，则应拒绝或退出相关项目。06如果具备CISA认证或其他审计相关职业资格，信息系统审计师必须符合持续职业教育或其他的职业发展要求°ISACA的成员如不具有CISA认证证书或其他的审计相关特定职业资格，在其从事信息系统审计相关工作时，必须经过足够的正规教育、培训和工作经验。07当领导一个审计组从事某项审计项目时，信息系统审计师必须合理保证审计组中的每个人员都具备完成该审计项目相应的职业能力水平。08如需获得关于职业能力的进一步信息，请参考以下指南：CISA认证和培训材料CISA持续认证和教育要求COBIT框架，监控目标M2、M3、及M4实施日期09此信息系统审计标准适用于所有信息系统的审计工作，于2005年1月1日起实施。信息系统审计与控制协会2004-2005年标准管理委员会Chair,SergioFleginsky,CISAPricewaterhouseCoopers,UruguaySveinAldalAldalConsulting,NorwayJohnBeveridge,CISA,CISM,CFE,CGFM,CQAOfficeoftheMassachusettsStateAuditor,USAClaudioCilli,Ph.D.,CISA,CISM,CIA,CISSPValuePartners,ItalyChristinaLedesma,CISA,CISMCitibankNASucursal,UruguayAndrewMacLeod,CISA,CIA,FCPA,MACS,PCPBrisbaneCityCouncil,AustraliaV.Meera,CISA,CISM,ACS,CISSP,CWAMicrosoftCorporation,USARaviMuthukrishnan,CISA,CISM,FCA,ISCANextLinxIndiaPrivateLtd.,IndiaPeterNiblett,CISA,CISM,CA,CIA,FCPAWHKDayNeilson,AustraliaJohnG.Ott,CISA,CPAAetnaInc.,USAThomasThompson,CISAErnst&Young,UAE©Copyright2004InformationSystemsAuditandControlAssociation3701AlgonquinRoad,Suite1010RollingMeadows,IL60008USA电话：+1.847.253.1545传真：+1.847.253.1443E-mail:网站：信息系统（IS）审计的专业性和进行这类审计所需的技术，要求制定出专门适用于信息系统审计的标准。推进全球适用的标准以实现这个目标是信息系统审计与控制协会（ISACA®）的宗旨之一。信息系统审计标准的发展和传播是ISACA为审计业界作出专业贡献的基础。信息系统审计标准的框架提供了多层次的指引：标准为信息系统审计和报告定义了强制性的要求。它们宣告：-根据ISACA职业道德规范中关于职业责任的规定，信息系统审计师的执行绩效所应达到的最低标准。-管理层和其他利益方对执业者在专业工作上的期待。-认证信息系统审计师（CISA®）资格持有人的相关特定要求。CISA资格持有人未能遵守上述标准的可能会导致ISACA董事会或相应ISACA委员会对其进行调查直至最终的纪律处分。指南为信息系统审计标准的实施提供了指引。信息系统审计师在标准的实施程序中应参考指南，同时作出职业判断，对背离标准的做法应随时提供解释。信息系统审计指南的目标是为达到信息系统审计标准提供进一步信息。程序为信息系统审计师提供审计项目中可以遵循的步骤范例。程序文件提供信息系统审计工作开展中如何达到相关标准的信息，但并非硬性规定。信息系统审计程序的目标是为达到信息系统审计标准提供进一步信息。COBIT®资源应被当作最佳操作实施指南的来源。COBIT框架强调，“保护企业的所有资产是管理层的责任，为履行这一责任以及实现企业的期望，管理层必须建立起一套完善的内部监控体系。”COBIT为信息系统管理环境提供了详细的监控和监控方法。基于特殊的COBIT信息技术程序选择和对COBIT信息标准的考虑来选用与特定审计范围最相关的材料。依COBIT框架中所定义，以下各项由IT管理程序进行组织。COBIT为商业及IT管理层以及信息系统审计师而计，所以它的运用有助于商业目标的理解，最佳操作实施的交流和围绕已经达成共识和广受尊重的标准参考体系的意见的形成。COBIT包括：监控目标一广义上所需达到的最低限度良好监控之总括和详述。监控实施一监控目标的实务原理和“如何实现”监控目标的指南。审计指南一对于不同监控领域，如何理解和评估各种监控，考核监控的符合性和证实失控风险的指南。管理方针一如何运用成熟度模型，指标和关键性成功因素等方法来评估和提高IT程序执行绩效的指南。它们提供一种针对管理层的框架应用于连续性和自发性的监控自我评估，特别专注于：-绩效衡量一IT功能支持商用需求效果如何？管理方针既可用于支持自我评估的专题研讨,也可被管理层作为IT管治方案的一部分,用以支持持续监督和程序改进的推行。-IT监控概况一哪些IT程序是重要的？哪些是监控的关键性成功因素？-监控意识一达不到目标会有哪些风险？-监控基准一其他人做了什么？如何衡量和比较结果？管理方针提供了对IT绩效的范例指标，可用于商业意义上对IT执行绩效的评估。关键的目标指标可以识别并衡量IT程序的成果，同时关键的执行绩效指标可以通过衡量程序的实现者来评估程序的执行绩效。透过成熟度模型和成熟度属性提供能力评估和基准，帮助管理层衡量监控能力，找到差距并提出相应改善策略。术语表可在ISACA的网站：/glossary上查阅。审计和审查这两个词可以互换使用。免责声明根据ISACA职业道德规范中对职业责任的规定,ISACA设计本指南作为执行绩效所应达到的最低标准。ISACA并未声明使用此产品一定会出现成功的结果。本出版物不能被视作包括所有合适的程序和测试，也不能被视作排斥通过合理引导获得同样结果的其它程序和测试。在决定任何具体的程序或测试的合理性时，监控专业人士应根据其自身的专业判断来判别由特定系统或信息技术环境产生的特定监控条件。ISACA标准管理委员会致力于为信息系统审计标准、指南和程序的制定作出广泛的咨询。在发布任何文件之前，标准管理委员会向全球提供公开草案，供大众评论。标准管理委员会也寻求相关领域的专家和相关人士对必要处提出咨询意见。标准管理委员会现有研发计划，欢迎ISACA成员和其它相关人士报告任何新出现问题及其所需的新标准。所有建议请电邮至()。或传真(+1.847.253.1443)或写信(地址在文件末尾)至［SACA国际总部，收件人注明研究标准和学术关系主任。本材料于2004年10月15日颁布。信息系统审计标准计划文件号S5第2页：计划信息系统审计标准计划S5引言01ISACA信息系统标准和其它相关指南包含强制性的基本原则和重要程序(以粗体标出)。02制定信息系统审计标准的目的是为计划审计工作确立相应的标准和提供指南。标准03信息系统审计师必须计划信息系统审计的纲要，以针对审计目标并符合相关法规和职业审计标准。04信息系统审计师必须起草并以书面形式记录一份基于风险评估的审计方法。05信息系统审计师必须起草并以书面形式记录一份审计计划书，详述审计目标及其性质、审计时间和范围、以及所需相关资源。06信息系统审计师必须起草审计项目计划和审计程序。注释07内部审计部门必须对延续性的工作至少按年度起草/更新计划书。此计划书将作为今后审计工作的框架并明确审计章程所阐述的职责。新的或更新过的计划书必须获得审计委员会（如设立）的通过。08外部信息系统审计师参与每项审计或非审计任务时通常应当备妥计划书。此计划书必须以书面形式说明该审计项目所要达到的目标。09信息系统审计师必须了解审计对象的活动。审计对象组织的属性、组织所处的环境、风险以及审计目标决定这种了解所需达到的程度。信息系统审计师必须进行风险评估，以保证在其审计工作中涵盖所有重要材料。之后，才可制定相应的审计策略，重要性水平，并掌握审计资源。当审计工作中出现新的风险、不正确的假设，或者从已经执行的程序中得到新的发现，则审计项目和/或计划书可能需要随之做出针对性调整。为获得有关准备审计计划更进一步的信息，请参考下列指南：信息系统审计指南G6,信息系统审计的实质范围观念信息系统审计指南G15,信息系统审计的计划信息系统审计指南G13,审计计划中风险评估的运用信息系统审计指南G16，第三方对某一组织的信息技术监控的影响COBIT框架，监控目标实施日期此信息系统审计标准适用于所有信息系统的审计工作，于2005年1月1日起实施。信息系统审计与控制协会2004-2005年标准管理委员会Chair,SergioFleginsky,CISAPricewaterhouseCoopers,UruguaySveinAldalAldalConsulting,NorwayJohnBeveridge,CISA,CISM,CFE,CGFM,CQAOfficeoftheMassachusettsStateAuditor,USAClaudioCilli,Ph.D.,CISA,CISM,CIA,CISSPValuePartners,ItalyChristinaLedesma,CISA,CISMCitibankNASucursal,UruguayAndrewMacLeod,CISA,CIA,FCPA,MACS,PCPBrisbaneCityCouncil,AustraliaV.Meera,CISA,CISM,ACS,CISSP,CWAMicrosoftCorporation,USARaviMuthukrishnan,CISA,CISM,FCA,ISCANextLinxIndiaPrivateLtd.,IndiaPeterNiblett,CISA,CISM,CA,CIA,FCPAWHKDayNeilson,AustraliaJohnG.Ott,CISA,CPAAetnaInc.,USAThomasThompson,CISAErnst&Young,UAE©Copyright2004InformationSystemsAuditandControlAssociation3701AlgonquinRoad,Suite1010RollingMeadows,IL60008USA电话：+1.847.253.1545传真：+1.847.253.1443E-mail:网站：信息系统（IS）审计的专业性和进行这类审计所需的技术，要求制定出专门适用于信息系统审计的标准。推进全球适用的标准以实现这个目标是信息系统审计与控制协会（ISACA®）的宗旨之一。信息系统审计标准的发展和传播是ISACA为审计业界作出专业贡献的基础。信息系统审计标准的框架提供了多层次的指引：标准为信息系统审计和报告定义了强制性的要求。它们宣告：-根据ISACA职业道德规范中关于职业责任的规定，信息系统审计师的执行绩效所应达到的最低标准。-管理层和其他利益方对执业者在专业工作上的期待。-认证信息系统审计师（CISA®）资格持有人的相关特定要求。CISA资格持有人未能遵守上述标准的可能会导致ISACA董事会或相应ISACA委员会对其进行调查直至最终的纪律处分。指南为信息系统审计标准的实施提供了指引。信息系统审计师在标准的实施程序中应参考指南，同时作出职业判断，对背离标准的做法应随时提供解释。信息系统审计指南的目标是为达到信息系统审计标准提供进一步信息。程序为信息系统审计师提供审计项目中可以遵循的步骤范例。程序文件提供信息系统审计工作开展中如何达到相关标准的信息，但并非硬性规定。信息系统审计程序的目标是为达到信息系统审计标准提供进一步信息。COBIT®资源应被当作最佳操作实施指南的来源。COBIT框架强调，“保护企业的所有资产是管理层的责任，为履行这一责任以及实现企业的期望，管理层必须建立起一套完善的内部监控体系。”COBIT为信息系统管理环境提供了详细的监控和监控方法。基于特殊的COBIT信息技术程序选择和对COBIT信息标准的考虑来选用与特定审计范围最相关的材料。依COBIT框架中所定义，以下各项由IT管理程序进行组织。COBIT为商业及IT管理层以及信息系统审计师而计，所以它的运用有助于商业目标的理解，最佳操作实施的交流和围绕已经达成共识和广受尊重的标准参考体系的意见的形成。COBIT包括：监控目标一广义上所需达到的最低限度良好监控之总括和详述。监控实施一监控目标的实务原理和“如何实现”监控目标的指南。审计指南一对于不同监控领域，如何理解和评估各种监控，考核监控的符合性和证实失控风险的指南。管理方针一如何运用成熟度模型，指标和关键性成功因素等方法来评估和提高IT程序执行绩效的指南。它们提供一种针对管理层的框架应用于连续性和自发性的监控自我评估，特别专注于：-绩效衡量一IT功能支持商用需求效果如何？管理方针既可用于支持自我评估的专题研讨,也可被管理层作为IT管治方案的一部分，用以支持持续监督和程序改进的推行。-IT监控概况一哪些IT程序是重要的？哪些是监控的关键性成功因素？-监控意识一达不到目标会有哪些风险？-监控基准一其他人做了什么？如何衡量和比较结果？管理方针提供了对IT绩效的范例指标，可用于商业意义上对IT执行绩效的评估。关键的目标指标可以识别并衡量IT程序的成果，同时关键的执行绩效指标可以通过衡量程序的实现者来评估程序的执行绩效。透过成熟度模型和成熟度属性提供能力评估和基准，帮助管理层衡量监控能力，找到差距并提出相应改善策略。术语表可在ISACA的网站：/glossary上查阅。审计和审查这两个词可以互换使用。免责声明根据ISACA职业道德规范中对职业责任的规定,SACA设计本指南作为执行绩效所应达到的最低标准°ISACA并未声明使用此产品一定会出现成功的结果。本出版物不能被视作包括所有合适的程序和测试，也不能被视作排斥通过合理引导获得同样结果的其它程序和测试。在决定任何具体的程序或测试的合理性时，监控专业人士应根据其自身的专业判断来判别由特定系统或信息技术环境产生的特定监控条件。ISACA标准管理委员会致力于为信息系统审计标准、指南和程序的制定作出广泛的咨询。在发布任何文件之前，标准管理委员会向全球提供公开草案，供大众评论。标准管理委员会也寻求相关领域的专家和相关人士对必要处提出咨询意见。标准管理委员会现有研发计划，欢迎ISACA成员和其它相关人士报告任何新出现问题及其所需的新标准。所有建议请电邮至（）。或传真（+1.847.253.1443）或写信（地址在文件末尾）至［SACA国际总部，收件人注明研究标准和学术关系主任。本材料于2004年10月15日颁布。信息系统审计标准审计工作的执行文件号S6第2页：审计工作的执行信息系统审计标准审计工作的执行S6引言01ISACA标准和其它相关指南包含强制性的基本原则和重要程序（以粗体标出）。02制定信息系统审计标准的目的是为审计工作的执行确立相应的标准和提供指南。标准03指导—信息系统审计人员应该得到指导，合理保证其审计目标完成，并且符合审计职业标准。04证据—在从事审计工作时，信息系统审计师必须获得充分的、可靠的和相关的证据以完成审计目标。审计发现和审计结论应该能被相关证据的适当的分析和解释所支持。05文件记录—审计的程序必须以书面形式记录，其中包含能解释信息系统审计师的发现和结论的审计工作细节和审计证据。注释06在某一审计项目刚开始时，信息系统审计组中成员的角色和责任必须建立起来，至少确定决策者、执行者和审阅人员。07在执行具体的审计项目时，审计人员必须按照文件预先确定好的程序以组织和记录工作。文件记录必须包含以下内容：审计目标和工作范围、审计计划、审计工作执行的步骤、收集的证据、审计发现、审计结论和建议。08审计文件记录应足够详实，使得独立人士能够重复审计中所有已经完成的工作，并获得相同的结论。09审计文件记录中应包含如下细节：谁扮演什么角色，他（她）完成了哪些审计任务。作为一个惯例，某人、或由几人组成的审计组完成的每个任务、做出的每个决定、实施的每个步骤或每个审计结果都应该被审计组中的另一个成员审阅，并以事项重要性来决定审阅者。信息系统审计师应该计划利用可获得的审计证据，在此过程中必须考虑审计目标的重要性和为获得这些审计证据所付出的时间和努力。审计证据应该足够充分、可靠和具相关性，足以形成审计意见或解释信息系统审计师的审计发现和审计结论。如果觉得其所掌握的证据不足以达到以上标准，信息系统审计师应该获取更多审计证据。如需获得审计工作执行的进一步信息，请参考以下指南：COBIT框架，监控目标实施日期此信息系统审计标准适用于所有信息系统的审计工作，于2005年1月1日起实施。信息系统审计与控制协会2004-2005年标准管理委员会Chair,SergioFleginsky,CISAPricewaterhouseCoopers,UruguaySveinAldalAldalConsulting,NorwayJohnBeveridge,CISA,CISM,CFE,CGFM,CQAOfficeoftheMassachusettsStateAuditor,USAClaudioCilli,Ph.D.,CISA,CISM,CIA,CISSPValuePartners,ItalyChristinaLedesma,CISA,CISMCitibankNASucursal,UruguayAndrewMacLeod,CISA,CIA,FCPA,MACS,PCPBrisbaneCityCouncil,AustraliaV.Meera,CISA,CISM,ACS,CISSP,CWAMicrosoftCorporation,USARaviMuthukrishnan,CISA,CISM,FCA,ISCANextLinxIndiaPrivateLtd.,IndiaPeterNiblett,CISA,CISM,CA,CIA,FCPAWHKDayNeilson,AustraliaJohnG.Ott,CISA,CPAAetnaInc.,USAThomasThompson,CISAErnst&Young,UAE©Copyright2004InformationSystemsAuditandControlAssociation3701AlgonquinRoad,Suite1010RollingMeadows,IL60008USA电话：+1.847.253.1545传真：+1.847.253.1443E-mail:s网站：www.isaca.or_信息系统（IS）审计的专业性和进行这类审计所需的技术，要求制定出专门适用于信息系统审计的标准。推进全球适用的标准以实现这个目标是信息系统审计与控制协会（ISACA®）的宗旨之一。信息系统审计标准的发展和传播是ISACA为审计业界作出专业贡献的基础。信息系统审计标准的框架提供了多层次的指引：标准为信息系统审计和报告定义了强制性的要求。它们宣告：-根据ISACA职业道德规范中关于职业责任的规定，信息系统审计师的执行绩效所应达到的最低标准。-管理层和其他利益方对执业者在专业工作上的期待。-认证信息系统审计师（CISA®）资格持有人的相关特定要求。CISA资格持有人未能遵守上述标准的可能会导致ISACA董事会或相应ISACA委员会对其进行调查直至最终的纪律处分。指南为信息系统审计标准的实施提供了指引。信息系统审计师在标准的实施程序中应参考指南，同时作出职业判断，对背离标准的做法应随时提供解释。信息系统审计指南的目标是为达到信息系统审计标准提供进一步信息。程序为信息系统审计师提供审计项目中可以遵循的步骤范例。程序文件提供信息系统审计工作开展中如何达到相关标准的信息，但并非硬性规定。信息系统审计程序的目标是为达到信息系统审计标准提供进一步信息。COBIT®资源应被当作最佳操作实施指南的来源。COBIT框架强调，“保护企业的所有资产是管理层的责任，为履行这一责任以及实现企业的期望，管理层必须建立起一套完善的内部监控体系。”COBIT为信息系统管理环境提供了详细的监控和监控方法。基于特殊的COBIT信息技术程序选择和对COBIT信息标准的考虑来选用与特定审计范围最相关的材料。依COBIT框架中所定义，以下各项由IT管理程序进行组织。COBIT为商业及IT管理层以及信息系统审计师而计，所以它的运用有助于商业目标的理解，最佳操作实施的交流和围绕已经达成共识和广受尊重的标准参考体系的意见的形成。COBIT包括：监控目标一广义上所需达到的最低限度良好监控之总括和详述。监控实施一监控目标的实务原理和“如何实现”监控目标的指南。审计指南一对于不同监控领域，如何理解和评估各种监控，考核监控的符合性和证实失控风险的指南。管理方针一如何运用成熟度模型，指标和关键性成功因素等方法来评估和提高IT程序执行绩效的指南。它们提供一种针对管理层的框架应用于连续性和自发性的监控自我评估，特别专注于：-绩效衡量一IT功能支持商用需求效果如何？管理方针既可用于支持自我评估的专题研讨,也可被管理层作为IT管治方案的一部分，用以支持持续监督和程序改进的推行。-IT监控概况一哪些IT程序是重要的？哪些是监控的关键性成功因素？-监控意识一达不到目标会有哪些风险？-监控基准一其他人做了什么？如何衡量和比较结果？管理方针提供了对IT绩效的范例指标，可用于商业意义上对IT执行绩效的评估。关键的目标指标可以识别并衡量IT程序的成果，同时关键的执行绩效指标可以通过衡量程序的实现者来评估程序的执行绩效。透过成熟度模型和成熟度属性提供能力评估和基准，帮助管理层衡量监控能力，找到差距并提出相应改善策略。术语表可在ISACA的网站：/glossary上查阅。审计和审查这两个词可以互换使用。免责声明根据ISACA职业道德规范中对职业责任的规定,ISACA设计本指南作为执行绩效所应达到的最低标准。ISACA并未声明使用此产品一定会出现成功的结果。本出版物不能被视作包括所有合适的程序和测试，也不能被视作排斥通过合理引导获得同样结果的其它程序和测试。在决定任何具体的程序或测试的合理性时，监控专业人士应根据其自身的专业判断来判别由特定系统或信息技术环境产生的特定监控条件。ISACA标准管理委员会致力于为信息系统审计标准、指南和程序的制定作出广泛的咨询。在发布任何文件之前，标准管理委员会向全球提供公开草案，供大众评论。标准管理委员会也寻求相关领域的专家和相关人士对必要处提出咨询意见。标准管理委员会现有研发计划，欢迎ISACA成员和其它相关人士报告任何新出现问题及其所需的新标准。所有建议请电邮至（）。或传真（+1.847.253.1443）或写信（地址在文件末尾）至ISACA国际总部，收件人注明研究标准和学术关系主任。本材料于2004年10月15日颁布。信息系统审计标准审计报告文件号S7第2页：审计报告信息系统审计标准审计报告S7引言01ISACA信息系统审计标准和其它相关指南包含强制性的基本原则和重要程序（以粗体标出）。02制定信息系统审计标准的目的是为使信息系统审计师如何通过报告来履行责任而确立并提供指南。标准03信息系统审计师在其审计项目完成后，必须以适当的格式递交一份审计报告。报告中必须明确表明被审计机构、须送达人士和发布过程中的任何限制条件。04审计报告必须写明审计范围、审计目标、审计覆盖的时间跨度和所执行审计工作的性质、时间和范围。05报告中也应写明审计发现、审计结论、建议和信息系统审计师对该审计的任何保留意见、限制性或局限性。06信息系统审计师必须拥有足够的、恰当的审计证据来解释报告中的审计结果。07当审计报告发布时，信息系统审计师必须按审计章程或委托书上的相关条款在其上签字、签署日期并分发出去。注释08审计报告的具体格式和内容随审计业务和审计项目的不同而有所不同。信息系统审计师可从事如下业务：审计（直接或验证）审阅（直接或验证）协商确定的审计流程09当信息系统审计师被要求针对某一审计项目为监控环境出具意见，而证据表明有实质性或重大缺陷时，此信息系统审计师绝不可给出监控机制为有效的结论。信息系统审计师的审计报告中必须叙述实质性的或重大的缺陷，和此缺陷给达到监控标准目标的影响。信息系统审计师在定稿和最终报告发布前，应该和管理层对报告草案的各方面内容进行讨论，并在任何适用情况下，于最终发布的报告中包括管理层的评论。一旦在监控环境中发现重大不足，信息系统审计师必须和审计委员会或者负责的权威机构进行交流和讨