內(nèi)容講義分析

審計(jì)實(shí)質(zhì)性文檔信息系統(tǒng)（IS）審計(jì)的特殊性和進(jìn)行審計(jì)所需的專門技術(shù)，要求制定出特殊的相關(guān)標(biāo)準(zhǔn)。ISACA的目標(biāo)之一就是制定出可全球操作的審計(jì)標(biāo)準(zhǔn)以實(shí)現(xiàn)其愿景。信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)的發(fā)展和是ISACA為該行業(yè)作出貢獻(xiàn)的基礎(chǔ)。信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)的框架提供了多層次的指引：標(biāo)準(zhǔn)根據(jù) 職業(yè)道德規(guī)范中關(guān)于職業(yè)責(zé)任的規(guī)定，信息系統(tǒng)審計(jì)師的執(zhí)行績(jī)效所應(yīng)達(dá)到的最低標(biāo)準(zhǔn) 階層和相關(guān)單位對(duì)實(shí)施者在專業(yè)工作上的期待信息系統(tǒng)審計(jì)員（CISA?）資格持有人的相關(guān)特定要求。信息系統(tǒng)審計(jì)員資格持有人未能遵守上述標(biāo)準(zhǔn)可能會(huì)導(dǎo)致ISACA董事會(huì)或相應(yīng)ISACA對(duì)其甚至最終處罰。指南為信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)的實(shí)施提供了指引。信息系統(tǒng)審計(jì)員在標(biāo)準(zhǔn)的實(shí)施程序程序中應(yīng)參考指南，同時(shí)作出專業(yè)型的判斷，并能解釋任何偏差。信息系統(tǒng)審計(jì)指南為達(dá)到信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)提供進(jìn)一步信息。程序?yàn)樾畔⑾到y(tǒng)審計(jì)師提供審計(jì)項(xiàng)目中可以遵循的步驟范例。程序文件提供信息系統(tǒng)審計(jì)工作開展中如何達(dá)到相關(guān)標(biāo)準(zhǔn)的信息，但并非硬性規(guī)定。信息系統(tǒng)審計(jì)程序?yàn)檫_(dá)到信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)提供進(jìn)一步信息。COIT?資源應(yīng)被當(dāng)作最佳操作實(shí)施指南的來源。COBIT框架強(qiáng)調(diào)，“保護(hù)企業(yè)的所有資產(chǎn)是 階層的責(zé)任。為履行這一責(zé)任以及實(shí)現(xiàn)企業(yè)的期望，階層必須建立起一套合適的內(nèi)部體系。CBIT為信息系統(tǒng)管理環(huán)境提供了詳細(xì)的和方法?；谔厥獾腃BIT信息技術(shù)程序選擇和對(duì)CBIT信息標(biāo)準(zhǔn)的考慮來選用與特定審計(jì)范圍最相關(guān)的材料。依CBIT框架中所定義，以下各項(xiàng)由IT管理程序進(jìn)行組織。CBIT為商業(yè)及IT管理層以及信息系統(tǒng)審計(jì)師而設(shè)計(jì)，所以它的運(yùn)用有助于商業(yè)目標(biāo)的理解，最佳操作實(shí)施的交流和圍繞已經(jīng)達(dá)成共識(shí)和廣受尊重的標(biāo)準(zhǔn)參考體系的意見的形成。CBIT包括：目標(biāo)—廣義上所需達(dá)到的最低限度良好之總括和詳述實(shí)施—對(duì) 目標(biāo)的由來和“如何實(shí)現(xiàn)”的指南審計(jì)指南—對(duì)于不 領(lǐng)域，如何理解和評(píng)估各種，考核的符合性和證實(shí)失控風(fēng)險(xiǎn)的指南管理方針—如何運(yùn)用成熟度模型，指標(biāo)和關(guān)鍵性成功因素等方法來評(píng)估和提高IT程序執(zhí)行績(jī)效的指南。它們提供階層一種應(yīng)用于連續(xù)性和前攝性自我評(píng)估的框架。這模型體系特別專注于：績(jī)效衡量—T功能支持需求效果如何？管理方針既可用于支持自我評(píng)估的研討，也可作為T管治方案，用以支持持續(xù)監(jiān)督和程序改進(jìn)的應(yīng)用。 概況—哪些IT程序是重要的？哪些是的關(guān)鍵性成功因素意識(shí)— 基準(zhǔn)—其他人做了什么？如何衡量和比較結(jié)果？管理方針提供了對(duì)T績(jī)效的范例指標(biāo)，可用于商務(wù)領(lǐng)域?qū)T執(zhí)行績(jī)效的評(píng)估。關(guān)鍵的目標(biāo)指標(biāo)可以識(shí)別并衡量T程序的成果，同時(shí)關(guān)鍵的執(zhí)行績(jī)效指標(biāo)可以通過衡量程序的實(shí)現(xiàn)者來評(píng)估程序的執(zhí)行績(jī)效。透過成熟度模型和屬性提供可性評(píng)估和基準(zhǔn)，幫助層衡量的可行性，識(shí)別間隙并提相應(yīng)改善策略。術(shù)語(yǔ)表可在ISACA的 ary上查閱。審計(jì)和這兩個(gè)詞可以互換使用免責(zé)：根據(jù)ISACA職業(yè)道德規(guī)范中對(duì)職業(yè)責(zé)任的規(guī)定，ISACA設(shè)計(jì)本指南作為執(zhí)行績(jī)效所應(yīng)達(dá)到的最低標(biāo)準(zhǔn)。ISACA并未使用此產(chǎn)品一定會(huì)出現(xiàn)成功的結(jié)果。物不能被視作包括任何合適的程序和測(cè)試，也不能被視作不包括通過合理應(yīng)用獲得同樣結(jié)果的其它程序和測(cè)試。在決定任何具體的程序或測(cè)試的合理性時(shí)，專業(yè)人員應(yīng)根據(jù)其自身的專業(yè)判斷來判別由特定系統(tǒng)或環(huán)境產(chǎn)生的特定條件。ISACA標(biāo)準(zhǔn)管理可就信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)、指南和程序的準(zhǔn)備作出廣泛的咨詢。在發(fā)布任何文件之前，標(biāo)準(zhǔn)管理會(huì)向全球提供公開草案，供大眾評(píng)論。標(biāo)準(zhǔn)管理也尋求相關(guān)論點(diǎn)專家和相關(guān)方對(duì)必要處提出咨詢意見。標(biāo)準(zhǔn)管理現(xiàn)有研發(fā)部門，歡迎ISACA成員和其它感的提供新出現(xiàn)問題和新標(biāo)準(zhǔn)。所有建議請(qǐng)電郵至standards@)。或傳真（+1.847.253.1443）或?qū)懶牛ǖ刂吩谖募┪玻┲罥SACA國(guó)際總部，收件人注明研究標(biāo)準(zhǔn)和學(xué)術(shù)關(guān)系。本文于2006年5月15日頒布。引言 信息系統(tǒng)標(biāo)準(zhǔn)和其它相關(guān)指南包含強(qiáng)制性的基本原則和重要程序（以粗體標(biāo)出）標(biāo)審計(jì)工作在計(jì)劃階段時(shí)，信息系統(tǒng)審計(jì)師應(yīng)該考慮控制的潛在弱點(diǎn)或缺乏控制，以及這些缺點(diǎn)或缺失是否會(huì)導(dǎo)致在信息系統(tǒng)中產(chǎn)生重大的缺失或嚴(yán)重的弱點(diǎn)。信息系統(tǒng)審計(jì)師應(yīng)該考慮到,輕微的控制缺失或弱點(diǎn)以及缺乏控制所產(chǎn)生的累積效果，可能轉(zhuǎn)變?yōu)樾畔⑾到y(tǒng)中重大的缺失或嚴(yán)重的弱點(diǎn)。信息系統(tǒng)審計(jì)師應(yīng)在報(bào)告中說明無效的控制或缺乏控制，控制缺失帶來的重大影響，以及這些缺點(diǎn)導(dǎo)致重大的缺失或嚴(yán)重的弱點(diǎn)的可能性。其它審計(jì)風(fēng)險(xiǎn)是指信息系統(tǒng)審計(jì)師基于審計(jì)發(fā)現(xiàn)所得出的不正確結(jié)論的風(fēng)險(xiǎn)。信息系統(tǒng)審計(jì)師也應(yīng)該注意到審計(jì)風(fēng)險(xiǎn)的三個(gè)組成要素，即固有風(fēng)險(xiǎn)，控制風(fēng)險(xiǎn)和檢驗(yàn)風(fēng)險(xiǎn)。有關(guān)審計(jì)風(fēng)險(xiǎn)的討論，請(qǐng)參考G13審計(jì)計(jì)劃中風(fēng)險(xiǎn)評(píng)估的運(yùn)用。當(dāng)信息系統(tǒng)審計(jì)師計(jì)劃并實(shí)施審計(jì)時(shí)，應(yīng)該努力使審計(jì)風(fēng)險(xiǎn)降低至可接受的水平并能實(shí)現(xiàn)審計(jì)目標(biāo)?？梢酝ㄟ^對(duì)信息系統(tǒng)和相關(guān)控制的正確評(píng)估來實(shí)現(xiàn)這一目標(biāo)。控制和/或沒有使用控制和/或控制不足它必然會(huì)進(jìn)一步一個(gè)嚴(yán)重的弱點(diǎn)是一個(gè)重大的缺失，或是一系列重大缺失的組合，這些缺點(diǎn)可能導(dǎo)致超過無法預(yù)防或檢測(cè)不到的不良情況的微小可能的程度。審計(jì)實(shí)質(zhì)性與信息系統(tǒng)審計(jì)師可接受的審計(jì)風(fēng)險(xiǎn)水平之間存在反比關(guān)系，即實(shí)質(zhì)性（重大程度）低，反之亦然。這使信息系統(tǒng)審計(jì)師能夠決定審計(jì)程序的性質(zhì)，時(shí)間安排和范圍。例如，在計(jì)劃一個(gè)具體審計(jì)程序中，當(dāng)信息系統(tǒng)審計(jì)師認(rèn)定審計(jì)實(shí)質(zhì)性較低時(shí)，則審計(jì)風(fēng)險(xiǎn)增加。信息系統(tǒng)審計(jì)師可以采取擴(kuò)展控制檢驗(yàn)（降低控制風(fēng)險(xiǎn)的評(píng)估）或擴(kuò)展實(shí)質(zhì)性的檢驗(yàn)程序（降低檢驗(yàn)風(fēng)險(xiǎn)的評(píng)估）來彌補(bǔ)不足。當(dāng)確定一個(gè)控制缺失或一系列的控制缺失是屬于一個(gè)重大的缺失或是嚴(yán)重的弱點(diǎn)時(shí)，信息系統(tǒng)審計(jì)師應(yīng)該評(píng)估補(bǔ)償性控制的效果及其是否有效。信息系統(tǒng)審計(jì)師應(yīng)參考《信息系統(tǒng)審計(jì)指南G6審計(jì)信息系統(tǒng)的實(shí)質(zhì)性概念有關(guān)審計(jì)實(shí)質(zhì)性的信息，請(qǐng)參考如下指南信息系統(tǒng)審計(jì)指南G2審計(jì)要G5G8審計(jì)文件記G9審計(jì)注意事G13COBIT 管 ，2005《-奧克斯 控制目標(biāo)》，管理，2004實(shí)施200671ISACA信息系統(tǒng)審信息系統(tǒng)審計(jì)2005-2006年標(biāo)準(zhǔn)管，SergioFleginskyCISAICIPaints，烏拉SveinAldalAldalConsultingJohnBeveridgeCISA,CISMCFE,CGFMCQAOfficeoftheMassachusettsStateAuditor，ChristinaLedesma,CISA,CISMCitibankNASucursal，烏拉圭AndrewMacLeod,CISA,CIA,FCPA,MACS,PCPBrisbaneCityCouncil，澳大利亞MeeraVenkatesh,CISA,CISM,ACS,CISSP,CWA RaviMuthukrishnan,CISA,CISM,FCA,ISCAIkanosCommunications，JohnG.Ott,CISA,CPAAmerisourceBergen，ThomasThompsonCISA,PMPErnst& 聯(lián)合酋長(zhǎng)InformationSystemsA