資源描述:
《ISACA信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)》由會(huì)員上傳分享,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)。
1����、ISACA信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)S1審計(jì)章程(AuditCharter)?信息系統(tǒng)審計(jì)職能機(jī)構(gòu)或信息系統(tǒng)審計(jì)任務(wù)的目的、責(zé)任�、權(quán)限及職責(zé),應(yīng)在審計(jì)章程或?qū)徲?jì)業(yè)務(wù)約定書(shū)中載明�����。?審計(jì)章程或?qū)徲?jì)業(yè)務(wù)約定書(shū)應(yīng)得到組織中適當(dāng)?shù)墓芾韺拥耐夂团鷾?zhǔn)��。S2獨(dú)立性職業(yè)獨(dú)立性?信息系統(tǒng)審計(jì)師在從事審計(jì)事項(xiàng)時(shí)���,應(yīng)該在實(shí)質(zhì)和形式上獨(dú)立于被審計(jì)方���。組織獨(dú)立性?信息系統(tǒng)審計(jì)職能機(jī)構(gòu)應(yīng)充分獨(dú)立于被審計(jì)單位,以實(shí)現(xiàn)審計(jì)目標(biāo)。S3職業(yè)道德及準(zhǔn)則?信息系統(tǒng)審計(jì)師應(yīng)遵守信息系統(tǒng)審計(jì)及控制協(xié)會(huì)規(guī)定的職業(yè)道德準(zhǔn)則�。?信息系統(tǒng)審計(jì)師應(yīng)保持應(yīng)有的職業(yè)審慎態(tài)度
2、���,并堅(jiān)持以審計(jì)準(zhǔn)則為執(zhí)業(yè)標(biāo)準(zhǔn)�。S4專(zhuān)業(yè)勝任能力?擔(dān)任信息系統(tǒng)審計(jì)工作的審計(jì)師應(yīng)當(dāng)具備審計(jì)工作所必須的專(zhuān)門(mén)技能與學(xué)識(shí)����。?信息系統(tǒng)審計(jì)師要通過(guò)充分且持續(xù)的職業(yè)后續(xù)教育����,以保持和提高其專(zhuān)業(yè)勝任能力。S5計(jì)劃?信息系統(tǒng)審計(jì)人員應(yīng)依據(jù)審計(jì)目標(biāo)和相應(yīng)的法律和審計(jì)準(zhǔn)則���,對(duì)信息系統(tǒng)審計(jì)工作編制審計(jì)計(jì)劃�。?信息系統(tǒng)審計(jì)人員應(yīng)編制基于風(fēng)險(xiǎn)的審計(jì)方法?信息系統(tǒng)審計(jì)人員應(yīng)編制詳細(xì)的審計(jì)計(jì)劃�����,包括審計(jì)性質(zhì)���、目標(biāo)��、范圍和所需的資源�����。?信息系統(tǒng)審計(jì)人員應(yīng)編制審計(jì)程序和步驟�。S6審計(jì)工作的實(shí)施?監(jiān)督一信息系統(tǒng)審計(jì)人員應(yīng)受到適當(dāng)?shù)谋O(jiān)督,以確保
3���、實(shí)現(xiàn)審計(jì)目標(biāo)��,并遵守審計(jì)準(zhǔn)則��。?證據(jù)在信息系統(tǒng)審計(jì)過(guò)程中����,信息系統(tǒng)審計(jì)人員應(yīng)當(dāng)搜集充分的���、可靠的�、相關(guān)的和有用的證據(jù)�����,以有效實(shí)現(xiàn)審計(jì)目標(biāo)��。審計(jì)師的審計(jì)發(fā)現(xiàn)和審計(jì)結(jié)論必須以合理的分析、利用審計(jì)證據(jù)為基礎(chǔ)��。?審計(jì)底稿一審計(jì)過(guò)程應(yīng)該有書(shū)面記錄�,以表明審計(jì)工作和審計(jì)證據(jù)支持信息系統(tǒng)審計(jì)人員的發(fā)現(xiàn)和結(jié)論。S7報(bào)告?信息系統(tǒng)審計(jì)人員在完成審計(jì)工作后��,應(yīng)向委托者出具按照適當(dāng)?shù)母袷骄幹频膶徲?jì)報(bào)告���。審計(jì)報(bào)告應(yīng)當(dāng)標(biāo)明機(jī)構(gòu)名稱(chēng)�、審計(jì)報(bào)告報(bào)送對(duì)象以及報(bào)告使用限制��。?審計(jì)報(bào)告應(yīng)當(dāng)說(shuō)明審計(jì)范圍����、審計(jì)目標(biāo)����、審計(jì)工作所涵蓋的期間及所執(zhí)行審計(jì)
4、工作的性質(zhì)和內(nèi)容�。?審計(jì)報(bào)告應(yīng)當(dāng)說(shuō)明審計(jì)人員執(zhí)行審計(jì)工作中所發(fā)現(xiàn)的問(wèn)題、形成的結(jié)論和建議以及審計(jì)師關(guān)于審計(jì)的任何保留意見(jiàn)����。?信息系統(tǒng)審計(jì)人員應(yīng)該有充分的、適當(dāng)?shù)膶徲?jì)證據(jù)來(lái)支持所報(bào)告的審計(jì)結(jié)論。?審計(jì)報(bào)告簽發(fā)時(shí)���,信息系統(tǒng)審計(jì)人員應(yīng)該依據(jù)審計(jì)章程或?qū)徲?jì)業(yè)務(wù)約定書(shū)中的規(guī)定簽名�����、簽署日期再對(duì)外發(fā)放���。S8后續(xù)審計(jì)?信息系統(tǒng)審計(jì)人員應(yīng)當(dāng)要求并評(píng)價(jià)被審計(jì)單位對(duì)審計(jì)發(fā)現(xiàn)的問(wèn)題、結(jié)論及建議的處理信息����,以判斷被審計(jì)單位是否已及時(shí)妥善地處理了相關(guān)問(wèn)題。S9不合規(guī)和非法行為?在計(jì)劃和實(shí)施審計(jì)工作時(shí)�,信息系統(tǒng)審計(jì)人員應(yīng)該考慮不合規(guī)和非
5、法行為等可能帶來(lái)的審計(jì)風(fēng)險(xiǎn)���。?無(wú)論不合規(guī)和非法行為的風(fēng)險(xiǎn)評(píng)估結(jié)果如何�,信息系統(tǒng)審計(jì)人員在實(shí)施審計(jì)作業(yè)時(shí)都要對(duì)由于不合規(guī)和非法行為而導(dǎo)致的重大誤報(bào)的可能性保持職業(yè)懷疑的態(tài)度�。?信息系統(tǒng)審計(jì)人員應(yīng)該了解組織及其所處的環(huán)境,包括內(nèi)部控制��。?信息系統(tǒng)審計(jì)人員應(yīng)該獲得充分的�、適當(dāng)?shù)膶徲?jì)證據(jù)來(lái)確定組織內(nèi)的管理層或其他人是否了解任何事實(shí)上的或可能的不合規(guī)和非法行為�����。?在了解組織及其所處的環(huán)境時(shí)���,信息系統(tǒng)審計(jì)人員應(yīng)該注意那些不正常的人員關(guān)系,這些人員可能實(shí)施不合規(guī)和非法行為而導(dǎo)致重大誤報(bào)��。?信息系統(tǒng)審計(jì)人員應(yīng)該設(shè)計(jì)和實(shí)施測(cè)試
6�����、程序�,測(cè)試內(nèi)部控制的適當(dāng)性和是否存在管理層超越控制的情況。?當(dāng)信息系統(tǒng)審計(jì)人員確認(rèn)被審計(jì)方存在誤報(bào)事實(shí)時(shí)����,審計(jì)人員應(yīng)該評(píng)估該誤報(bào)是否是因?yàn)榇嬖诓缓弦?guī)和非法行為而產(chǎn)生的���,可以通過(guò)審計(jì)其他方面相關(guān)的問(wèn)題特別是管理層的表現(xiàn)來(lái)發(fā)現(xiàn)不合規(guī)和非法行為的跡象�。?根據(jù)審計(jì)業(yè)務(wù)的情況����,信息系統(tǒng)審計(jì)人員每年至少一次獲取管理層書(shū)面的聲明��,聲明應(yīng)該包括有如下信息:-設(shè)計(jì)和實(shí)施內(nèi)部控制以避免和檢查不合規(guī)和非法行為是管理層的責(zé)任�����;-由于不合規(guī)和非法行為而產(chǎn)生重大誤報(bào)的風(fēng)險(xiǎn)評(píng)估結(jié)果��;-涉及管理層和內(nèi)部控制中關(guān)鍵崗位發(fā)生的不合規(guī)和非法行為對(duì)
7���、組織的影響。?信息系統(tǒng)審計(jì)人員在與現(xiàn)在的員工和以前的員工等人員進(jìn)行會(huì)談的時(shí)候要了解正在影響組織的所謂的不合規(guī)和非法行為的斷言或疑問(wèn)���。?在確定或得到存在重大的不合規(guī)和非法行為的信息時(shí)��,信息系統(tǒng)審計(jì)人員應(yīng)該及時(shí)與適當(dāng)?shù)墓芾韺訙贤ㄔ撉闆r�����。?在確定重大的不合規(guī)和非法行為牽涉到管理層或和內(nèi)部控制中關(guān)鍵崗位人員時(shí)�����,信息系統(tǒng)審計(jì)人員應(yīng)該及時(shí)與董事會(huì)溝通該情況�����。?信息系統(tǒng)審計(jì)人員應(yīng)該將審計(jì)過(guò)程中所發(fā)現(xiàn)的內(nèi)部控制設(shè)計(jì)和實(shí)施中的重大薄弱環(huán)節(jié)告知管理層或董事會(huì)����,并建議其改進(jìn)相關(guān)控制,以避免發(fā)生不合規(guī)和非法行為并能檢杳出已發(fā)生的不合
8��、規(guī)和非法行為����。?如果重大的誤報(bào)或非法行為影響到信息系統(tǒng)審計(jì)人員繼續(xù)實(shí)施審計(jì)工作時(shí),信息系統(tǒng)審計(jì)人員應(yīng)該考慮該環(huán)境下的法律和職業(yè)責(zé)任�����。信息系統(tǒng)審計(jì)人員可以采取的行動(dòng)有:向業(yè)務(wù)主管人員報(bào)告���、向公司治理機(jī)構(gòu)或司法機(jī)構(gòu)報(bào)告�����、中止審計(jì)業(yè)務(wù)。?信息系統(tǒng)審計(jì)人員應(yīng)該將報(bào)告給管理層���、公司治理機(jī)構(gòu)或司法機(jī)構(gòu)的有關(guān)不合規(guī)和非法行為的所有溝通活動(dòng)�、計(jì)劃、結(jié)果和結(jié)論等事項(xiàng)記錄下來(lái)��。S10IT治理?信息系統(tǒng)審計(jì)人員應(yīng)該檢查和
