CISA第一章 信息系统审计过程.doc

第一章信息系统审计过程 A.信息系统审计简介 ? IT是信息技术（Information Technology）的简称。IT审计也叫信息系统审计（IS审计），指审计师对信息技术本身及其相关控制的审计，是广义计算机审计的一个方面，其另一方面是计算机辅助审计技术（CAAT），指审计师使用信息技术辅助审计业务的技术手段，也叫非现场审计。狭义的计算机审计仅指信息技术审计，以下所讨论的就是这一领域，我们统一称之为信息系统审计或“IS审计”。 A1－审计章程（Audit Charter） ? 组织通过审计章程来确定信息系统审计活动在组织中所扮演的角色。 审计章程既要强调管理层本身的对信息系统审计的责任与目标，以及对信息系统审计的授权，也要明确信息系统审计师可以行使的权力、所负责任及审计范围。 ? 最高管理层和审计委员会应当批准审计章程，一旦建立，就只有在非常必要且经过充分论证之后才允许变更审计章程。 A2.审计资源管理 审计师的信息系统相关知识与能力，应当熟悉不同的业务运营环境 审计师必须通过适当的继续职业教育保持胜任能力 在制定审计计划和分配任务时，应当考虑审计师的技能和知识 审计人员的培训计划 审计工具的使用（例如：网络扫描工具、 穿透测试工具、日志分析工具等），应当由审计管理层提供 A3.审计计划 短期计划－本年度内需要实施的审计事项 中长期计划－主要考虑组织调整IT战略方针对环境造成影响所带来的相关风险问题 至少每年对短期计划和长期计划进行分析 每一个单项审计任务也应当有充分的计划（审计方案） 制定和实施审计计划的要点： ?充分了解组织的业务使命、目标和流程 ?找出审计依据，如政策、标准、程序、组织结构 ?进行风险评估和内部控制检查 ?确定审计范围及目标、制定审计方法及审计策略 ?综合考虑审计项目要求、人力资源现状及其他限制条件，合理分配审计资源 ?审计计划应当得到管理层和审计委员会的批准，如果可能的话，尽量通报到各级管理层负责人 A4.法律法规对IS审计计划的影响 确定政府及其他团体是否有以下方面的规定和要求： ? 计算机的运行与控制 ? 计算机、程序及数据的存放方式， ? 信息服务的活动及组织 记录相关法律与法规的要求 评估组织的在制定信息系统计划、策略、标准及程序时是否考虑的来自外部法律法规要求。 检查内部信息系统相关部门是否在正式文件中落实了遵守法律、法规的要求。 检查组织中是否已经建立程序，并遵照执行来满足法律、法规的要求。 B1.IS审计职业道德规范 职业道德规范(Code of Professional Ethics) ? 信息系统审计师应在审计工作中自觉严格遵循相关实施准则、程序及控制，并遵守相关法律法规的要求； ? 在具体执行审计中要按照职业标准及最佳实践原则要求自己，做到敬业、公正及审慎。 ? 以诚实及符合法律要求的方式为利益相关者服务，保持高尚的行为及品德，不从事有损于信息系统审计职业的活动； ? 对信息系统审计过程中所取得的信息，应予以必威体育官网网址，不得借以谋取私利和泄漏给他人。执法机构的司法调查除外； ? 保持在审计和信息系统控制相关领域的专业胜任能力，有效而可靠地完成审计任务； ? 应获得充分及适当的证据，作出审计结论及建议，审计结果应向适当的组织、部门和个人报告； ? 应当对组织中的利益相关者进行信息系统安全与控制的教育，以促进其对审计及信息系统的了解； 职业审慎(Due Professional Care) 指工作勤勉程度和开展工作所必需的技能要求，体现在信息系统审计师的职业判断过程中，是确保客户获得高质量审计的基础。职业审慎要求审计师在合理范围内提供合理保证，不要求提供绝对保证。 B2.ISACA信息系统审计准则 是整个审计准则体系的总纲，是信息系统审计师的资格条件、执业行为的基本规范，是制定审计指南和审计程序的基础依据。审计师执行审计业务，出具审计报告，都必须遵守执行，具有强制性。 ISACA标准委员会共制定了16个信息系统审计准则，必须熟悉掌握其内容及如何应用。 信息系统审计准则P11-14 B2.1 S2独立性 人员独立性- 在所有审计相关事项中，IS审计师应当对被审计人保持实质态度与表现形式上的独立性。 组织独立性- IS审计职能部门应当对被审计领域或活动保持独立性以能够客观地完成审计任务。 B2.2 S9违规和非法行为