資源描述:
《cisa第一章 信息系統(tǒng)審計(jì)過程》由會(huì)員上傳分享,免費(fèi)在線閱讀���,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)��。
1����、第一章信息系統(tǒng)審計(jì)過程A.信息系統(tǒng)審計(jì)簡(jiǎn)介?IT是信息技術(shù)(InformationTechnology)的簡(jiǎn)稱。IT審計(jì)也叫信息系統(tǒng)審計(jì)(IS審計(jì))�����,指審計(jì)師對(duì)信息技術(shù)本身及其相關(guān)控制的審計(jì)��,是廣義計(jì)算機(jī)審計(jì)的一個(gè)方面�����,其另一方面是計(jì)算機(jī)輔助審計(jì)技術(shù)(CAAT)�����,指審計(jì)師使用信息技術(shù)輔助審計(jì)業(yè)務(wù)的技術(shù)手段�����,也叫非現(xiàn)場(chǎng)審計(jì)��。狹義的計(jì)算機(jī)審計(jì)僅指信息技術(shù)審計(jì)����,以下所討論的就是這一領(lǐng)域,我們統(tǒng)一稱之為信息系統(tǒng)審計(jì)或“IS審計(jì)”��。A1-審計(jì)章程(AuditCharter)?組織通過審計(jì)章程來確定信息系統(tǒng)審計(jì)活動(dòng)在組織中所扮演的角色。審計(jì)章程既要強(qiáng)調(diào)管理層本身的對(duì)信息系統(tǒng)審計(jì)的責(zé)任與目標(biāo)��,以及對(duì)信息系
2�、統(tǒng)審計(jì)的授權(quán)���,也要明確信息系統(tǒng)審計(jì)師可以行使的權(quán)力�����、所負(fù)責(zé)任及審計(jì)范圍����。?最高管理層和審計(jì)委員會(huì)應(yīng)當(dāng)批準(zhǔn)審計(jì)章程�,一旦建立,就只有在非常必要且經(jīng)過充分論證之后才允許變更審計(jì)章程�����。A2.審計(jì)資源管理審計(jì)師的信息系統(tǒng)相關(guān)知識(shí)與能力���,應(yīng)當(dāng)熟悉不同的業(yè)務(wù)運(yùn)營(yíng)環(huán)境審計(jì)師必須通過適當(dāng)?shù)睦^續(xù)職業(yè)教育保持勝任能力在制定審計(jì)計(jì)劃和分配任務(wù)時(shí)�����,應(yīng)當(dāng)考慮審計(jì)師的技能和知識(shí)審計(jì)人員的培訓(xùn)計(jì)劃審計(jì)工具的使用(例如:網(wǎng)絡(luò)掃描工具、穿透測(cè)試工具、日志分析工具等)���,應(yīng)當(dāng)由審計(jì)管理層提供A3.審計(jì)計(jì)劃短期計(jì)劃-本年度內(nèi)需要實(shí)施的審計(jì)事項(xiàng)中長(zhǎng)期計(jì)劃-主要考慮組織調(diào)整IT戰(zhàn)略方針對(duì)環(huán)境造成影響所帶來的相關(guān)風(fēng)險(xiǎn)問題至少每年對(duì)短期計(jì)
3、劃和長(zhǎng)期計(jì)劃進(jìn)行分析每一個(gè)單項(xiàng)審計(jì)任務(wù)也應(yīng)當(dāng)有充分的計(jì)劃(審計(jì)方案)制定和實(shí)施審計(jì)計(jì)劃的要點(diǎn):u充分了解組織的業(yè)務(wù)使命���、目標(biāo)和流程u找出審計(jì)依據(jù)�����,如政策�、標(biāo)準(zhǔn)���、程序��、組織結(jié)構(gòu)u進(jìn)行風(fēng)險(xiǎn)評(píng)估和內(nèi)部控制檢查u確定審計(jì)范圍及目標(biāo)��、制定審計(jì)方法及審計(jì)策略u(píng)綜合考慮審計(jì)項(xiàng)目要求�、人力資源現(xiàn)狀及其他限制條件����,合理分配審計(jì)資源u審計(jì)計(jì)劃應(yīng)當(dāng)?shù)玫焦芾韺雍蛯徲?jì)委員會(huì)的批準(zhǔn),如果可能的話,盡量通報(bào)到各級(jí)管理層負(fù)責(zé)人A4.法律法規(guī)對(duì)IS審計(jì)計(jì)劃的影響確定政府及其他團(tuán)體是否有以下方面的規(guī)定和要求:?計(jì)算機(jī)的運(yùn)行與控制?計(jì)算機(jī)�����、程序及數(shù)據(jù)的存放方式�����,?信息服務(wù)的活動(dòng)及組織記錄相關(guān)法律與法規(guī)的要求評(píng)估組織的在制定信息系
4��、統(tǒng)計(jì)劃�、策略����、標(biāo)準(zhǔn)及程序時(shí)是否考慮的來自外部法律法規(guī)要求。檢查內(nèi)部信息系統(tǒng)相關(guān)部門是否在正式文件中落實(shí)了遵守法律�����、法規(guī)的要求����。檢查組織中是否已經(jīng)建立程序,并遵照?qǐng)?zhí)行來滿足法律����、法規(guī)的要求�。B1.IS審計(jì)職業(yè)道德規(guī)范職業(yè)道德規(guī)范(CodeofProfessionalEthics)u信息系統(tǒng)審計(jì)師應(yīng)在審計(jì)工作中自覺嚴(yán)格遵循相關(guān)實(shí)施準(zhǔn)則�、程序及控制,并遵守相關(guān)法律法規(guī)的要求��;u在具體執(zhí)行審計(jì)中要按照職業(yè)標(biāo)準(zhǔn)及最佳實(shí)踐原則要求自己�,做到敬業(yè)、公正及審慎���。u以誠(chéng)實(shí)及符合法律要求的方式為利益相關(guān)者服務(wù)����,保持高尚的行為及品德��,不從事有損于信息系統(tǒng)審計(jì)職業(yè)的活動(dòng)�����;u對(duì)信息系統(tǒng)審計(jì)過程中所取得的信息����,應(yīng)予以保
5、密���,不得借以謀取私利和泄漏給他人����。執(zhí)法機(jī)構(gòu)的司法調(diào)查除外;u保持在審計(jì)和信息系統(tǒng)控制相關(guān)領(lǐng)域的專業(yè)勝任能力����,有效而可靠地完成審計(jì)任務(wù);u應(yīng)獲得充分及適當(dāng)?shù)淖C據(jù)��,作出審計(jì)結(jié)論及建議���,審計(jì)結(jié)果應(yīng)向適當(dāng)?shù)慕M織、部門和個(gè)人報(bào)告�����;u應(yīng)當(dāng)對(duì)組織中的利益相關(guān)者進(jìn)行信息系統(tǒng)安全與控制的教育����,以促進(jìn)其對(duì)審計(jì)及信息系統(tǒng)的了解;職業(yè)審慎(DueProfessionalCare)指工作勤勉程度和開展工作所必需的技能要求����,體現(xiàn)在信息系統(tǒng)審計(jì)師的職業(yè)判斷過程中,是確保客戶獲得高質(zhì)量審計(jì)的基礎(chǔ)���。職業(yè)審慎要求審計(jì)師在合理范圍內(nèi)提供合理保證��,不要求提供絕對(duì)保證�。B2.ISACA信息系統(tǒng)審計(jì)準(zhǔn)則是整個(gè)審計(jì)準(zhǔn)則體系的總綱�,是信息
6、系統(tǒng)審計(jì)師的資格條件�����、執(zhí)業(yè)行為的基本規(guī)范�,是制定審計(jì)指南和審計(jì)程序的基礎(chǔ)依據(jù)。審計(jì)師執(zhí)行審計(jì)業(yè)務(wù)��,出具審計(jì)報(bào)告��,都必須遵守執(zhí)行��,具有強(qiáng)制性���。ISACA標(biāo)準(zhǔn)委員會(huì)共制定了16個(gè)信息系統(tǒng)審計(jì)準(zhǔn)則�,必須熟悉掌握其內(nèi)容及如何應(yīng)用����。信息系統(tǒng)審計(jì)準(zhǔn)則P11-14B2.1S2獨(dú)立性人員獨(dú)立性-在所有審計(jì)相關(guān)事項(xiàng)中�,IS審計(jì)師應(yīng)當(dāng)對(duì)被審計(jì)人保持實(shí)質(zhì)態(tài)度與表現(xiàn)形式上的獨(dú)立性�。組織獨(dú)立性-IS審計(jì)職能部門應(yīng)當(dāng)對(duì)被審計(jì)領(lǐng)域或活動(dòng)保持獨(dú)立性以能夠客觀地完成審計(jì)任務(wù)。B2.2S9違規(guī)和非法行為?IS審計(jì)師應(yīng)當(dāng)收集充分�����、恰當(dāng)?shù)膶徲?jì)證據(jù)以確認(rèn)管理層或組織內(nèi)其他成員是否知效所有真實(shí)�、懷疑或傳言中的違規(guī)和非法行為。應(yīng)當(dāng)至少每
7��、年獲得管理層的書面陳述����,或根據(jù)審計(jì)委托書增加頻率�。陳述中應(yīng)當(dāng)包括:承諾對(duì)設(shè)計(jì)并實(shí)施內(nèi)部控制以預(yù)防和檢查違規(guī)或非法行為負(fù)責(zé)等情況。如果IS審計(jì)師已經(jīng)發(fā)現(xiàn)重大違規(guī)或非法行為��,或者得到存在重大違規(guī)或非法行為的確定線索���,應(yīng)當(dāng)及時(shí)與適當(dāng)層級(jí)的管理人員溝通����。當(dāng)IS審計(jì)師發(fā)現(xiàn)的重大違規(guī)或非法行為涉及到管理層或內(nèi)部控制重要崗位員工時(shí),應(yīng)當(dāng)及時(shí)與其上級(jí)主管溝通���。審計(jì)中�����,IS審計(jì)師應(yīng)當(dāng)將預(yù)防及檢查違規(guī)或非法行為的內(nèi)部控制重大缺陷
