国际信息系统审计标准(中文版)
信息系统审计标准
S1-审计章程
导言
01 ISACA 标准和其它相关指南包含强制性的基本原则和重要程序(以粗体标出)。
02 制定信息系统审计标准的目的是就审计章程在审计程序中的运用制定和提供指南。
标准
03 信息系统审计职能或信息系统审计任务的目的、责任、授权方和义务应在审计章程或委托书中予以正确的登载。
04 审计章程或委托书应在组织内的适当层次得到同意和通过。
注释
05 对于内部信息系统审计职能,应为所有进行中的业务活动制定一份审计章程。审计章程应通过年度审查。如果责任发生变动或变化,则应缩短审查周期。内部信息系统审计师可用委托书来进一步澄清或确认参与特定的审计或非审计任务。外部信息系统审计师参与每项审计或非审计任务通常应当准备委托书。
06 审计章程或委托书应足够详细以便能表达审计功能或审计任务的目的、责任和限制。
07 审计章程或委托书应定期审查,以确保(审计的)目的和责任已经记录在案。
08 如需有关准备审计章程或委托书进一步的信息,应参考下列指南:
信息系统审计指南G5,审计章程
COBIT 框架,监控目标M4
实施日期
09 此ISACA 标准适用于所有信息系统的审计,于2005 年1 月1 日起(之后)实施。
信息系统(IS)审计的专业性和进行这类审计所需的技术,要求制定出专门适用于信息系统审计的标准。推进全球适用的标准以
实现这个目标是信息系统审计与控制协会(ISACA?)的宗旨之一。信息系统审计标准的发展和传播是ISACA 为审计业界作出专
业贡献的基础。信息系统审计标准的框架提供了多层次的指引:
标准为信息系统审计和报告定义了强制性的要求。它们宣告:
–根据ISACA 职业道德规范中关于职业责任的规定,信息系统审计师的执行绩效所应达到的最低标准。
–管理层和其他利益方对执业者在专业工作上的期待。
–认证信息系统审计师(CISA?)资格持有人的相关特定要求。CISA 资格持有人未能遵守上述标准的可能会导致ISACA
董事会或相应ISACA 委员会对其进行调查直至最终的纪律处分。
指南为信息系统审计标准的实施提供了指引。信息系统审计师在标准的实施程序中应参考指南,同时作出职业判断,对背离
标准的做法应随时提供解释。信息系统审计指南的目标是为达到信息系统审计标准提供进一步信息。
程序为信息系统审计师提供审计项目中可以遵循的步骤范例。程序文件提供信息系统审计工作开展中如何达到相关标准的
信息,但并非硬性规定。信息系统审计程序的目标是为达到信息系统审计标准提供进一步信息。COBIT?资源应被当作最佳操作实施指南的来源。COBIT 框架强调,“保护企业的所有资产是管理层的责任,为履行这一责任以及
实现企业的期望,管理层必须建立起一套完善的内部监控体系。” COBIT 为信息系统管理环境提供了详细的监控和监控方法。
基于特殊的COBIT 信息技术程序选择和对COBIT 信息标准的考虑来选用与特定审计范围最相关的材料。
依 COBIT 框架中所定义,以下各项由IT 管理程序进行组织。COBIT 为商业及IT 管理层以及信息系统审计师而计,所以它的运用有
助于商业目标的理解,最佳操作实施的交流和围绕已经达成共识和广受尊重的标准参考体系的意见的形成。COBIT 包括:
监控目标—广义上所需达到的最低限度良好监控之总括和详述。
监控实施—监控目标的实务原理和“如何实现”监控目标的指南。
审计指南—对于不同监控领域,如何理解和评估各种监控,考核监控的符合性和证实失控风险的指南。
管理方针—如何运用成熟度模型,指标和关键性成功因素等方法来评估和提高IT 程序执行绩效的指南。它们提供一种针对管
理层的框架应用于连续性和自发性的监控自我评估,特别专注于:
–绩效衡量—IT 功能支持商用需求效果如何?管理方针既可用于支持自我评估的专题研讨,也可被管理层作为IT 管治方案
的一部分,用以支持持续监督和程序改进的推行。
– IT 监控概况—哪些IT 程序是重要的?哪些是监控的关键性成功因素?
–监控意识—达不到目标会有哪些风险?
–监控基准—其他人做了什么?如何衡量和比较结果?管理方针提供了对IT 绩效的范例指标,可用于商业意义上对IT 执
行绩效的评估。关键的目标指标可以识别并衡量IT 程序的成果,同时关键的执行绩效指标可以通过衡量程序的实现者来
评估程序的执行绩效。透过成熟度模型和成熟度属性提供能力评估和基准,帮助管理层衡量监控能力,找到差距并提出
相应改善策略。
术语表可在ISACA 的网站:https://www.360docs.net/doc/0d12078317.html,/glossary 上查阅。审计和审查这两个词可以互换使用。
免责声明根据ISACA 职业道德规范中对职业责任的规定,ISACA 设计本指南作为执行绩效所应达到的最低标准。ISACA 并未声
明使用此产品一定会出现成功的结果。本出版物不能被视作包括所有合适的程序和测试,也不能被视作排斥通过合理引导获得同
样结果的其它程序和测试。在决定任何具体的程序或测试的合理性时,监控专业人士应根据其自身的专业判断来判别由特定系统
或信息技术环境产生的特定监控条件。
ISACA 标准管理委员会致力于为信息系统审计标准、指南和程序的制定作出广泛的咨询。在发布任何文件之前,标准管理委员会
向全球提供公开草案,供大众评论。标准管理委员会也寻求相关领域的专家和相关人士对必要处提出咨询意见。标准管理委员会
现有研发计划,欢迎ISACA 成员和其它相关人士报告任何新出现问题及其所需的新标准。所有建议请电邮至
(standards@https://www.360docs.net/doc/0d12078317.html,)。或传真(+1.847.253.1443)或写信(地址在文件末尾)至ISACA 国际总部,收件人注明研究标准和学
术关系主任。本材料于 2004 年10 月15 日颁布。
S2-审计独立性
引言
01 ISACA 标准和其它相关指南包含强制性的基本原则和重要程序(以粗体标出)。
02 制定信息审计标准的目的是为审计程序中的独立性确立相应的标准和指南。
标准
03 职业独立性
对于所有与审计相关的事务,信息系统审计师应当在态度和形式上独立于被审计单位。
04 组织独立性
信息审计职能应当独立于受审查的范围或活动之外,以确保审计工作完成的客观性。
注释
05 审计章程或委托书中应当针对审计职能的独立性和义务做出相应的规定。
06 信息系统审计师应该在审计过程中随时保持态度和形式上的独立性。
07 如出现独立性受损的现象,无论是在实质上还是在形式上,应向有关当事人披露独立性受损的细节。
08 信息系统审计师应当在组织上独立于被审计的范围。
09 信息系统审计师、管理层和审计委员会(如果设立)应当定期对独立性进行评估。
10 除非被其他职业标准或管理机构所禁止,当信息系统审计师虽然参与信息系统项目,但是担当的并不是审计角色的时
候,则并不要求信息系统审计师保持独立性,或者在形式上表现出独立性。
11 如需获得关于职业或组织独立性的进一步信息,请参考以下指南:
信息系统审计指南G17,非审计角色对信息系统审计师独立性的影响
信息系统审计指南G12,组织关系和独立性
COBIT 框架,监控目标M4
实施日期
12 此ISACA 标准适用于所有信息系统的审计工作,于2005 年1 月1 日起实施。
信息系统审计与控制协会2004-2005 年标准管理委员会
Chair, Sergio Fleginsky, CISA PricewaterhouseCoopers, Uruguay
Svein Aldal Aldal Consulting, Norway
John Beveridge, CISA, CISM, CFE, CGFM, CQA Office of the Massachusetts State Auditor, USA
Claudio Cilli, Ph.D., CISA, CISM, CIA, CISSP Value Partners, Italy
Christina Ledesma, CISA, CISM Citibank NA Sucursal, Uruguay
Andrew MacLeod, CISA, CIA, FCPA, MACS, PCP Brisbane City Council, Australia
V. Meera, CISA, CISM, ACS, CISSP, CWA Microsoft Corporation, USA
Ravi Muthukrishnan, CISA, CISM, FCA, ISCA NextLinx India Private Ltd., India Peter Niblett, CISA, CISM, CA, CIA, FCPA WHK Day Neilson, Australia
John G. Ott, CISA, CPA Aetna Inc., USA
Thomas Thompson, CISA Ernst & Young, UAE
? Copyright 2004
Information Systems Audit and Control Association
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 USA
电话:+1.847.253.1545
传真:+1.847.253.1443
E-mail: standards@https://www.360docs.net/doc/0d12078317.html,
网站:https://www.360docs.net/doc/0d12078317.html,__
信息系统(IS)审计的专业性和进行这类审计所需的技术,要求制定出专门适用于信息系统审计的标准。推进全球适用的标准以
实现这个目标是信息系统审计与控制协会(ISACA?)的宗旨之一。信息系统审计标准的发展和
传播是ISACA 为审计业界作出专
业贡献的基础。信息系统审计标准的框架提供了多层次的指引:
标准为信息系统审计和报告定义了强制性的要求。它们宣告:
–根据ISACA 职业道德规范中关于职业责任的规定,信息系统审计师的执行绩效所应达到的最低标准。
–管理层和其他利益方对执业者在专业工作上的期待。
–认证信息系统审计师(CISA?)资格持有人的相关特定要求。CISA 资格持有人未能遵守上述标准的可能会导致ISACA
董事会或相应ISACA 委员会对其进行调查直至最终的纪律处分。
指南为信息系统审计标准的实施提供了指引。信息系统审计师在标准的实施程序中应参考指南,同时作出职业判断,对背离
标准的做法应随时提供解释。信息系统审计指南的目标是为达到信息系统审计标准提供进一步信息。
程序为信息系统审计师提供审计项目中可以遵循的步骤范例。程序文件提供信息系统审计工作开展中如何达到相关标准的
信息,但并非硬性规定。信息系统审计程序的目标是为达到信息系统审计标准提供进一步信息。COBIT?资源应被当作最佳操作实施指南的来源。COBIT 框架强调,“保护企业的所有资产是管理层的责任,为履行这一责任以及
实现企业的期望,管理层必须建立起一套完善的内部监控体系。” COBIT 为信息系统管理环境提供了详细的监控和监控方法。
基于特殊的COBIT 信息技术程序选择和对COBIT 信息标准的考虑来选用与特定审计范围最相关的材料。
依 COBIT 框架中所定义,以下各项由IT 管理程序进行组织。COBIT 为商业及IT 管理层以及信息系统审计师而计,所以它的运用有
助于商业目标的理解,最佳操作实施的交流和围绕已经达成共识和广受尊重的标准参考体系的意见的形成。COBIT 包括:
监控目标—广义上所需达到的最低限度良好监控之总括和详述。
监控实施—监控目标的实务原理和“如何实现”监控目标的指南。
审计指南—对于不同监控领域,如何理解和评估各种监控,考核监控的符合性和证实失控风险的指南。
管理方针—如何运用成熟度模型,指标和关键性成功因素等方法来评估和提高IT 程序执行绩效的指南。它们提供一种针对管
理层的框架应用于连续性和自发性的监控自我评估,特别专注于:
–绩效衡量—IT 功能支持商用需求效果如何?管理方针既可用于支持自我评估的专题研讨,也可被管理层作为IT 管治方案
的一部分,用以支持持续监督和程序改进的推行。
– IT 监控概况—哪些IT 程序是重要的?哪些是监控的关键性成功因素?
–监控意识—达不到目标会有哪些风险?
–监控基准—其他人做了什么?如何衡量和比较结果?管理方针提供了对IT 绩效的范例指标,可用于商业意义上对IT 执
行绩效的评估。关键的目标指标可以识别并衡量IT 程序的成果,同时关键的执行绩效指标可以通过衡量程序的实现者来
评估程序的执行绩效。透过成熟度模型和成熟度属性提供能力评估和基准,帮助管理层衡量监控能力,找到差距并提出
相应改善策略。
术语表可在ISACA 的网站:https://www.360docs.net/doc/0d12078317.html,/glossary 上查阅。审计和审查这两个词可以互换使用。
免责声明根据ISACA 职业道德规范中对职业责任的规定,ISACA 设计本指南作为执行绩效所应
达到的最低标准。ISACA 并未声
明使用此产品一定会出现成功的结果。本出版物不能被视作包括所有合适的程序和测试,也不能被视作排斥通过合理引导获得同
样结果的其它程序和测试。在决定任何具体的程序或测试的合理性时,监控专业人士应根据其自身的专业判断来判别由特定系统
或信息技术环境产生的特定监控条件。
ISACA 标准管理委员会致力于为信息系统审计标准、指南和程序的制定作出广泛的咨询。在发布任何文件之前,标准管理委员会
向全球提供公开草案,供大众评论。标准管理委员会也寻求相关领域的专家和相关人士对必要处提出咨询意见。标准管理委员会
现有研发计划,欢迎ISACA 成员和其它相关人士报告任何新出现问题及其所需的新标准。所有建议请电邮至
(standards@https://www.360docs.net/doc/0d12078317.html,)。或传真(+1.847.253.1443)或写信(地址在文件末尾)至ISACA 国际总部,收件人注明研究标准和学
术关系主任。本材料于 2004 年10 月15 日颁布。
信息系统审计标准
职业道德和标准
文件号S3
第2 页:职业道德和标准信息系统审计标准
职业道德和标准S3
引言
01 ISACA 标准和其它相关指南包含强制性的基本原则和重要程序(以粗体标出)。
02 制定信息系统审计标准的目的是为信息系统审计师确立标准并提供指南,以使信息系统审计师遵守ISACA 职业道德规范,正
确履行审计职责。
标准
03 信息系统审计师应当遵守ISACA 职业道德规范的要求。
04 信息系统审计师应当正确履行审计职责,其中包括遵守相应的职业审计标准。
注释
05 由ISACA 所发布的职业道德规范将会被不定期地修订,以保证与审计行业中最新出现的趋势和要求的一致性。ISACA 的
成员及信息系统审计师应当与最新的职业道德规范保持一致,并且在以信息审计师身份担任审计职责时遵照执行。
06 由ISACA 所发布的信息审计标准会被定期审查,以不断改进,并且会随着审计行业中不断出现的挑战做出必要的修订。
ISACA 的成员及信息系统审计师应当了解最新适用的信息系统审计标准,并且在执行审计任务过程中正确地履行审计职
责。
07 如果未能遵守ISACA 职业道德规范以及/或者信息审计标准,相关ISACA 成员或CISA 持有人就会受到操行方面的调查,
最终还会受到纪律处分。
08 ISACA 的成员及信息系统审计师应当与他们同工作组的成员进行沟通,确保各工作组在执行审计任务的过程中,遵守职
业道德规范和适用的信息系统审计标准。
09 信息系统审计师在承担审计任务中,应该按照适用的职业道德规范和信息系统审计标准,妥善处理所有的利益关系。如
果无法完全遵守或在形式上无法完全遵守职业道德规范和信息系统审计标准,信息系统审计师应该考虑退出所从事的审
计项目。
10 信息系统审计师应当保持最高度的诚实和正直,在争取和执行审计任务的过程中,不得采取任何可能被看作非法的、不
道德的或非专业的方法。
11 如需获得关于职业道德和标准的进一步信息,请参考以下指南:
信息系统审计指南G19,不规范和非法审计行为
信息系统审计指南G7,正当的职业行为
信息系统审计指南G12,组织关系和独立性
COBIT 框架,监控目标M4
实施日期
12 此信息系统审计标准适用于所有信息系统的审计工作,于2005 年1 月1 日起实施。
信息系统审计与控制协会2004-2005 年标准管理委员会
Chair, Sergio Fleginsky, CISA PricewaterhouseCoopers, Uruguay
Svein Aldal Aldal Consulting, Norway
John Beveridge, CISA, CISM, CFE, CGFM, CQA Office of the Massachusetts State Auditor, USA
Claudio Cilli, Ph.D., CISA, CISM, CIA, CISSP Value Partners, Italy
Christina Ledesma, CISA, CISM Citibank NA Sucursal, Uruguay
Andrew MacLeod, CISA, CIA, FCPA, MACS, PCP Brisbane City Council, Australia
V. Meera, CISA, CISM, ACS, CISSP, CWA Microsoft Corporation, USA
Ravi Muthukrishnan, CISA, CISM, FCA, ISCA NextLinx India Private Ltd., India Peter Niblett, CISA, CISM, CA, CIA, FCPA WHK Day Neilson, Australia
John G. Ott, CISA, CPA Aetna Inc., USA
Thomas Thompson, CISA Ernst & Young, UAE
? Copyright 2004
Information Systems Audit and Control Association
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 USA
电话:+1.847.253.1545
传真:+1.847.253.1443
E-mail: standards@https://www.360docs.net/doc/0d12078317.html,
网站:https://www.360docs.net/doc/0d12078317.html,__
信息系统(IS)审计的专业性和进行这类审计所需的技术,要求制定出专门适用于信息系统审计的标准。推进全球适用的标准以
实现这个目标是信息系统审计与控制协会(ISACA?)的宗旨之一。信息系统审计标准的发展和传播是ISACA 为审计业界作出专
业贡献的基础。信息系统审计标准的框架提供了多层次的指引:
标准为信息系统审计和报告定义了强制性的要求。它们宣告:
–根据ISACA 职业道德规范中关于职业责任的规定,信息系统审计师的执行绩效所应达到的最低标准。
–管理层和其他利益方对执业者在专业工作上的期待。
–认证信息系统审计师(CISA?)资格持有人的相关特定要求。CISA 资格持有人未能遵守上述标准的可能会导致ISACA
董事会或相应ISACA 委员会对其进行调查直至最终的纪律处分。
指南为信息系统审计标准的实施提供了指引。信息系统审计师在标准的实施程序中应参考
指南,同时作出职业判断,对背离
标准的做法应随时提供解释。信息系统审计指南的目标是为达到信息系统审计标准提供进一步信息。
程序为信息系统审计师提供审计项目中可以遵循的步骤范例。程序文件提供信息系统审计工作开展中如何达到相关标准的
信息,但并非硬性规定。信息系统审计程序的目标是为达到信息系统审计标准提供进一步信息。COBIT?资源应被当作最佳操作实施指南的来源。COBIT 框架强调,“保护企业的所有资产是管理层的责任,为履行这一责任以及
实现企业的期望,管理层必须建立起一套完善的内部监控体系。” COBIT 为信息系统管理环境提供了详细的监控和监控方法。
基于特殊的COBIT 信息技术程序选择和对COBIT 信息标准的考虑来选用与特定审计范围最相关的材料。
依 COBIT 框架中所定义,以下各项由IT 管理程序进行组织。COBIT 为商业及IT 管理层以及信息系统审计师而计,所以它的运用有
助于商业目标的理解,最佳操作实施的交流和围绕已经达成共识和广受尊重的标准参考体系的意见的形成。COBIT 包括:
监控目标—广义上所需达到的最低限度良好监控之总括和详述。
监控实施—监控目标的实务原理和“如何实现”监控目标的指南。
审计指南—对于不同监控领域,如何理解和评估各种监控,考核监控的符合性和证实失控风险的指南。
管理方针—如何运用成熟度模型,指标和关键性成功因素等方法来评估和提高IT 程序执行绩效的指南。它们提供一种针对管
理层的框架应用于连续性和自发性的监控自我评估,特别专注于:
–绩效衡量—IT 功能支持商用需求效果如何?管理方针既可用于支持自我评估的专题研讨,也可被管理层作为IT 管治方案
的一部分,用以支持持续监督和程序改进的推行。
– IT 监控概况—哪些IT 程序是重要的?哪些是监控的关键性成功因素?
–监控意识—达不到目标会有哪些风险?
–监控基准—其他人做了什么?如何衡量和比较结果?管理方针提供了对IT 绩效的范例指标,可用于商业意义上对IT 执
行绩效的评估。关键的目标指标可以识别并衡量IT 程序的成果,同时关键的执行绩效指标可以通过衡量程序的实现者来
评估程序的执行绩效。透过成熟度模型和成熟度属性提供能力评估和基准,帮助管理层衡量监控能力,找到差距并提出
相应改善策略。
术语表可在ISACA 的网站:https://www.360docs.net/doc/0d12078317.html,/glossary 上查阅。审计和审查这两个词可以互换使用。
免责声明根据ISACA 职业道德规范中对职业责任的规定,ISACA 设计本指南作为执行绩效所应达到的最低标准。ISACA 并未声
明使用此产品一定会出现成功的结果。本出版物不能被视作包括所有合适的程序和测试,也不能被视作排斥通过合理引导获得同
样结果的其它程序和测试。在决定任何具体的程序或测试的合理性时,监控专业人士应根据其自身的专业判断来判别由特定系统
或信息技术环境产生的特定监控条件。
ISACA 标准管理委员会致力于为信息系统审计标准、指南和程序的制定作出广泛的咨询。在发布任何文件之前,标准管理委员会
向全球提供公开草案,供大众评论。标准管理委员会也寻求相关领域的专家和相关人士对必要处提出咨询意见。标准管理委员会
现有研发计划,欢迎ISACA 成员和其它相关人士报告任何新出现问题及其所需的新标准。所有建议请电邮至
(standards@https://www.360docs.net/doc/0d12078317.html,)。或传真(+1.847.253.1443)或写信(地址在文件末尾)至ISACA 国际总部,收件人注明研究标准和学
术关系主任。本材料于 2004 年10 月15 日颁布。
信息系统审计标准
职业能力
文件号S4
第2 页:职业能力信息系统审计标准
职业能力S4
引言
01 ISACA 信息系统审计标准和其它相关指南包含强制性的基本原则和重要程序(以粗体标出)。
02 制定信息系统审计标准的目的是为信息系统审计师确立和提供指南,以使他们按要求达到并保持职业能力。
标准
03 信息系统审计师应该有合格的职业能力,具备进行审计工作的相应知识和技能。
04 信息系统审计师应该通过持续的职业教育和培训保持良好的职业能力。
注释
05 信息系统审计师必须合理保证在开始某个项目前具备良好的职业能力(包括与所计划的任务相关的专业技能、专业知识和工
作经验)。不具备的信息系统审计师,则应拒绝或退出相关项目。
06 如果具备CISA 认证或其他审计相关职业资格,信息系统审计师必须符合持续职业教育或其他的职业发展要求。ISACA 的成
员如不具有CISA 认证证书或其他的审计相关特定职业资格,在其从事信息系统审计相关工作时,必须经过足够的正规教
育、培训和工作经验。
07 当领导一个审计组从事某项审计项目时,信息系统审计师必须合理保证审计组中的每个人员都具备完成该审计项目相应的职
业能力水平。
08 如需获得关于职业能力的进一步信息,请参考以下指南:
CISA 认证和培训材料
CISA 持续认证和教育要求
COBIT 框架,监控目标M2、M3、及M4
实施日期
09 此信息系统审计标准适用于所有信息系统的审计工作,于2005 年1 月1 日起实施。
信息系统审计与控制协会2004-2005 年标准管理委员会
Chair, Sergio Fleginsky, CISA PricewaterhouseCoopers, Uruguay
Svein Aldal Aldal Consulting, Norway
John Beveridge, CISA, CISM, CFE, CGFM, CQA Office of the Massachusetts State Auditor, USA
Claudio Cilli, Ph.D., CISA, CISM, CIA, CISSP Value Partners, Italy
Christina Ledesma, CISA, CISM Citibank NA Sucursal, Uruguay
Andrew MacLeod, CISA, CIA, FCPA, MACS, PCP Brisbane City Council, Australia
V. Meera, CISA, CISM, ACS, CISSP, CWA Microsoft Corporation, USA
Ravi Muthukrishnan, CISA, CISM, FCA, ISCA NextLinx India Private Ltd., India Peter Niblett, CISA, CISM, CA, CIA, FCPA WHK Day Neilson, Australia
John G. Ott, CISA, CPA Aetna Inc., USA
Thomas Thompson, CISA Ernst & Young, UAE
? Copyright 2004
Information Systems Audit and Control Association
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 USA
电话:+1.847.253.1545
传真:+1.847.253.1443
E-mail: standards@https://www.360docs.net/doc/0d12078317.html,
网站:https://www.360docs.net/doc/0d12078317.html,__
信息系统(IS)审计的专业性和进行这类审计所需的技术,要求制定出专门适用于信息系统审计的标准。推进全球适用的标准以
实现这个目标是信息系统审计与控制协会(ISACA?)的宗旨之一。信息系统审计标准的发展和传播是ISACA 为审计业界作出专
业贡献的基础。信息系统审计标准的框架提供了多层次的指引:
标准为信息系统审计和报告定义了强制性的要求。它们宣告:
–根据ISACA 职业道德规范中关于职业责任的规定,信息系统审计师的执行绩效所应达到的最低标准。
–管理层和其他利益方对执业者在专业工作上的期待。
–认证信息系统审计师(CISA?)资格持有人的相关特定要求。CISA 资格持有人未能遵守上述标准的可能会导致ISACA
董事会或相应ISACA 委员会对其进行调查直至最终的纪律处分。
指南为信息系统审计标准的实施提供了指引。信息系统审计师在标准的实施程序中应参考指南,同时作出职业判断,对背离
标准的做法应随时提供解释。信息系统审计指南的目标是为达到信息系统审计标准提供进一步信息。
程序为信息系统审计师提供审计项目中可以遵循的步骤范例。程序文件提供信息系统审计工作开展中如何达到相关标准的
信息,但并非硬性规定。信息系统审计程序的目标是为达到信息系统审计标准提供进一步信息。COBIT?资源应被当作最佳操作实施指南的来源。COBIT 框架强调,“保护企业的所有资产是管理层的责任,为履行这一责任以及
实现企业的期望,管理层必须建立起一套完善的内部监控体系。” COBIT 为信息系统管理环境提供了详细的监控和监控方法。
基于特殊的COBIT 信息技术程序选择和对COBIT 信息标准的考虑来选用与特定审计范围最相关的材料。
依 COBIT 框架中所定义,以下各项由IT 管理程序进行组织。COBIT 为商业及IT 管理层以及信息系统审计师而计,所以它的运用有
助于商业目标的理解,最佳操作实施的交流和围绕已经达成共识和广受尊重的标准参考体系的意见的形成。COBIT 包括:
监控目标—广义上所需达到的最低限度良好监控之总括和详述。
监控实施—监控目标的实务原理和“如何实现”监控目标的指南。
审计指南—对于不同监控领域,如何理解和评估各种监控,考核监控的符合性和证实失控风险的指南。
管理方针—如何运用成熟度模型,指标和关键性成功因素等方法来评估和提高IT 程序执行绩效的指南。它们提供一种针对管
理层的框架应用于连续性和自发性的监控自我评估,特别专注于:
–绩效衡量—IT 功能支持商用需求效果如何?管理方针既可用于支持自我评估的专题研讨,也可被管理层作为IT 管治方案
的一部分,用以支持持续监督和程序改进的推行。
– IT 监控概况—哪些IT 程序是重要的?哪些是监控的关键性成功因素?
–监控意识—达不到目标会有哪些风险?
–监控基准—其他人做了什么?如何衡量和比较结果?管理方针提供了对IT 绩效的范例指标,可用于商业意义上对IT 执
行绩效的评估。关键的目标指标可以识别并衡量IT 程序的成果,同时关键的执行绩效指标可以通过衡量程序的实现者来
评估程序的执行绩效。透过成熟度模型和成熟度属性提供能力评估和基准,帮助管理层衡量监控能力,找到差距并提出
相应改善策略。
术语表可在ISACA 的网站:https://www.360docs.net/doc/0d12078317.html,/glossary 上查阅。审计和审查这两个词可以互换使用。
免责声明根据ISACA 职业道德规范中对职业责任的规定,ISACA 设计本指南作为执行绩效所应达到的最低标准。ISACA 并未声
明使用此产品一定会出现成功的结果。本出版物不能被视作包括所有合适的程序和测试,也不能被视作排斥通过合理引导获得同
样结果的其它程序和测试。在决定任何具体的程序或测试的合理性时,监控专业人士应根据其自身的专业判断来判别由特定系统
或信息技术环境产生的特定监控条件。
ISACA 标准管理委员会致力于为信息系统审计标准、指南和程序的制定作出广泛的咨询。在发布任何文件之前,标准管理委员会
向全球提供公开草案,供大众评论。标准管理委员会也寻求相关领域的专家和相关人士对必要处提出咨询意见。标准管理委员会
现有研发计划,欢迎ISACA 成员和其它相关人士报告任何新出现问题及其所需的新标准。所有建议请电邮至
(standards@https://www.360docs.net/doc/0d12078317.html,)。或传真(+1.847.253.1443)或写信(地址在文件末尾)至ISACA 国际总部,收件人注明研究标准和学
术关系主任。本材料于 2004 年10 月15 日颁布。
信息系统审计标准
计划
文件号S5
第2 页:计划信息系统审计标准
计划S5
引言
01 ISACA 信息系统标准和其它相关指南包含强制性的基本原则和重要程序(以粗体标出)。
02 制定信息系统审计标准的目的是为计划审计工作确立相应的标准和提供指南。
标准
03 信息系统审计师必须计划信息系统审计的纲要,以针对审计目标并符合相关法规和职业审计标准。
04 信息系统审计师必须起草并以书面形式记录一份基于风险评估的审计方法。
05 信息系统审计师必须起草并以书面形式记录一份审计计划书,详述审计目标及其性质、审计时间和范围、以及所需相关
资源。
06 信息系统审计师必须起草审计项目计划和审计程序。
注释
07 内部审计部门必须对延续性的工作至少按年度起草/更新计划书。此计划书将作为今后审计
工作的框架并明确审计章程所阐述
的职责。新的或更新过的计划书必须获得审计委员会(如设立)的通过。
08 外部信息系统审计师参与每项审计或非审计任务时通常应当备妥计划书。此计划书必须以书面形式说明该审计项目所要达到
的目标。
09 信息系统审计师必须了解审计对象的活动。审计对象组织的属性、组织所处的环境、风险以及审计目标决定这种了解所需达
到的程度。
10 信息系统审计师必须进行风险评估,以保证在其审计工作中涵盖所有重要材料。之后,才可制定相应的审计策略,重要性水
平,并掌握审计资源。
11 当审计工作中出现新的风险、不正确的假设,或者从已经执行的程序中得到新的发现,则审计项目和/或计划书可能需要随之
做出针对性调整。
12 为获得有关准备审计计划更进一步的信息,请参考下列指南:
信息系统审计指南G6,信息系统审计的实质范围观念
信息系统审计指南G15,信息系统审计的计划
信息系统审计指南G13,审计计划中风险评估的运用
信息系统审计指南G16,第三方对某一组织的信息技术监控的影响
COBIT 框架,监控目标
实施日期
13 此信息系统审计标准适用于所有信息系统的审计工作,于2005 年1 月1 日起实施。
信息系统审计与控制协会2004-2005 年标准管理委员会
Chair, Sergio Fleginsky, CISA PricewaterhouseCoopers, Uruguay
Svein Aldal Aldal Consulting, Norway
John Beveridge, CISA, CISM, CFE, CGFM, CQA Office of the Massachusetts State Auditor, USA
Claudio Cilli, Ph.D., CISA, CISM, CIA, CISSP Value Partners, Italy
Christina Ledesma, CISA, CISM Citibank NA Sucursal, Uruguay
Andrew MacLeod, CISA, CIA, FCPA, MACS, PCP Brisbane City Council, Australia
V. Meera, CISA, CISM, ACS, CISSP, CWA Microsoft Corporation, USA
Ravi Muthukrishnan, CISA, CISM, FCA, ISCA NextLinx India Private Ltd., India Peter Niblett, CISA, CISM, CA, CIA, FCPA WHK Day Neilson, Australia
John G. Ott, CISA, CPA Aetna Inc., USA
Thomas Thompson, CISA Ernst & Young, UAE
? Copyright 2004
Information Systems Audit and Control Association
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 USA
电话:+1.847.253.1545
传真:+1.847.253.1443
E-mail: standards@https://www.360docs.net/doc/0d12078317.html,
网站:https://www.360docs.net/doc/0d12078317.html,__
信息系统(IS)审计的专业性和进行这类审计所需的技术,要求制定出专门适用于信息系统审计的标准。推进全球适用的标准以
实现这个目标是信息系统审计与控制协会(ISACA?)的宗旨之一。信息系统审计标准的发展和传播是ISACA 为审计业界作出专
业贡献的基础。信息系统审计标准的框架提供了多层次的指引:
标准为信息系统审计和报告定义了强制性的要求。它们宣告:
–根据ISACA 职业道德规范中关于职业责任的规定,信息系统审计师的执行绩效所应达到的最低标准。
–管理层和其他利益方对执业者在专业工作上的期待。
–认证信息系统审计师(CISA?)资格持有人的相关特定要求。CISA 资格持有人未能遵守上述标准的可能会导致ISACA
董事会或相应ISACA 委员会对其进行调查直至最终的纪律处分。
指南为信息系统审计标准的实施提供了指引。信息系统审计师在标准的实施程序中应参考指南,同时作出职业判断,对背离
标准的做法应随时提供解释。信息系统审计指南的目标是为达到信息系统审计标准提供进一步信息。
程序为信息系统审计师提供审计项目中可以遵循的步骤范例。程序文件提供信息系统审计工作开展中如何达到相关标准的
信息,但并非硬性规定。信息系统审计程序的目标是为达到信息系统审计标准提供进一步信息。COBIT?资源应被当作最佳操作实施指南的来源。COBIT 框架强调,“保护企业的所有资产是管理层的责任,为履行这一责任以及
实现企业的期望,管理层必须建立起一套完善的内部监控体系。” COBIT 为信息系统管理环境提供了详细的监控和监控方法。
基于特殊的COBIT 信息技术程序选择和对COBIT 信息标准的考虑来选用与特定审计范围最相关的材料。
依 COBIT 框架中所定义,以下各项由IT 管理程序进行组织。COBIT 为商业及IT 管理层以及信息系统审计师而计,所以它的运用有
助于商业目标的理解,最佳操作实施的交流和围绕已经达成共识和广受尊重的标准参考体系的意见的形成。COBIT 包括:
监控目标—广义上所需达到的最低限度良好监控之总括和详述。
监控实施—监控目标的实务原理和“如何实现”监控目标的指南。
审计指南—对于不同监控领域,如何理解和评估各种监控,考核监控的符合性和证实失控风险的指南。
管理方针—如何运用成熟度模型,指标和关键性成功因素等方法来评估和提高IT 程序执行绩效的指南。它们提供一种针对管
理层的框架应用于连续性和自发性的监控自我评估,特别专注于:
–绩效衡量—IT 功能支持商用需求效果如何?管理方针既可用于支持自我评估的专题研讨,也可被管理层作为IT 管治方案
的一部分,用以支持持续监督和程序改进的推行。
– IT 监控概况—哪些IT 程序是重要的?哪些是监控的关键性成功因素?
–监控意识—达不到目标会有哪些风险?
–监控基准—其他人做了什么?如何衡量和比较结果?管理方针提供了对IT 绩效的范例指标,可用于商业意义上对IT 执
行绩效的评估。关键的目标指标可以识别并衡量IT 程序的成果,同时关键的执行绩效指标可以通过衡量程序的实现者来
评估程序的执行绩效。透过成熟度模型和成熟度属性提供能力评估和基准,帮助管理层衡量监控能力,找到差距并提出
相应改善策略。
术语表可在ISACA 的网站:https://www.360docs.net/doc/0d12078317.html,/glossary 上查阅。审计和审查这两个词可以互换使用。
免责声明根据ISACA 职业道德规范中对职业责任的规定,ISACA 设计本指南作为执行绩效所应达到的最低标准。ISACA 并未声
明使用此产品一定会出现成功的结果。本出版物不能被视作包括所有合适的程序和测试,也不能被视作排斥通过合理引导获得同
样结果的其它程序和测试。在决定任何具体的程序或测试的合理性时,监控专业人士应根据其自身的专业判断来判别由特定系统
或信息技术环境产生的特定监控条件。
ISACA 标准管理委员会致力于为信息系统审计标准、指南和程序的制定作出广泛的咨询。在发布任何文件之前,标准管理委员会
向全球提供公开草案,供大众评论。标准管理委员会也寻求相关领域的专家和相关人士对必要处提出咨询意见。标准管理委员会
现有研发计划,欢迎ISACA 成员和其它相关人士报告任何新出现问题及其所需的新标准。所有建议请电邮至
(standards@https://www.360docs.net/doc/0d12078317.html,)。或传真(+1.847.253.1443)或写信(地址在文件末尾)至ISACA 国际总部,收件人注明研究标准和学
术关系主任。本材料于 2004 年10 月15 日颁布。
信息系统审计标准
审计工作的执行
文件号S6
第2 页:审计工作的执行信息系统审计标准
审计工作的执行S6
引言
01 ISACA 标准和其它相关指南包含强制性的基本原则和重要程序(以粗体标出)。
02 制定信息系统审计标准的目的是为审计工作的执行确立相应的标准和提供指南。
标准
03 指导—信息系统审计人员应该得到指导,合理保证其审计目标完成,并且符合审计职业标准。
04 证据—在从事审计工作时,信息系统审计师必须获得充分的、可靠的和相关的证据以完成审计目标。审计发现和审计结
论应该能被相关证据的适当的分析和解释所支持。
05 文件记录—审计的程序必须以书面形式记录,其中包含能解释信息系统审计师的发现和结论的审计工作细节和审计
证据。
注释
06 在某一审计项目刚开始时,信息系统审计组中成员的角色和责任必须建立起来,至少确定决策者、执行者和审阅人员。
07 在执行具体的审计项目时,审计人员必须按照文件预先确定好的程序以组织和记录工作。文件记录必须包含以下内容:
审计目标和工作范围、审计计划、审计工作执行的步骤、收集的证据、审计发现、审计结论和建议。
08 审计文件记录应足够详实,使得独立人士能够重复审计中所有已经完成的工作,并获得相同的结论。
09 审计文件记录中应包含如下细节:谁扮演什么角色,他(她)完成了哪些审计任务。作为一个惯例,某人、或由几人组
成的审计组完成的每个任务、做出的每个决定、实施的每个步骤或每个审计结果都应该被审计组中的另一个成员审阅,
并以事项重要性来决定审阅者。
10 信息系统审计师应该计划利用可获得的审计证据,在此过程中必须考虑审计目标的重要性
和为获得这些审计证据所付出
的时间和努力。
11 审计证据应该足够充分、可靠和具相关性,足以形成审计意见或解释信息系统审计师的审计发现和审计结论。如果觉得
其所掌握的证据不足以达到以上标准,信息系统审计师应该获取更多审计证据。
12 如需获得审计工作执行的进一步信息,请参考以下指南:
COBIT 框架,监控目标
实施日期
13 此信息系统审计标准适用于所有信息系统的审计工作,于2005 年1 月1 日起实施。
信息系统审计与控制协会2004-2005 年标准管理委员会
Chair, Sergio Fleginsky, CISA PricewaterhouseCoopers, Uruguay
Svein Aldal Aldal Consulting, Norway
John Beveridge, CISA, CISM, CFE, CGFM, CQA Office of the Massachusetts State Auditor, USA
Claudio Cilli, Ph.D., CISA, CISM, CIA, CISSP Value Partners, Italy
Christina Ledesma, CISA, CISM Citibank NA Sucursal, Uruguay
Andrew MacLeod, CISA, CIA, FCPA, MACS, PCP Brisbane City Council, Australia
V. Meera, CISA, CISM, ACS, CISSP, CWA Microsoft Corporation, USA
Ravi Muthukrishnan, CISA, CISM, FCA, ISCA NextLinx India Private Ltd., India Peter Niblett, CISA, CISM, CA, CIA, FCPA WHK Day Neilson, Australia
John G. Ott, CISA, CPA Aetna Inc., USA
Thomas Thompson, CISA Ernst & Young, UAE
? Copyright 2004
Information Systems Audit and Control Association
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 USA
电话:+1.847.253.1545
传真:+1.847.253.1443
E-mail: s tandards@https://www.360docs.net/doc/0d12078317.html,
网站:https://www.360docs.net/doc/0d12078317.html,__
信息系统(IS)审计的专业性和进行这类审计所需的技术,要求制定出专门适用于信息系统审计的标准。推进全球适用的标准以
实现这个目标是信息系统审计与控制协会(ISACA?)的宗旨之一。信息系统审计标准的发展和传播是ISACA 为审计业界作出专
业贡献的基础。信息系统审计标准的框架提供了多层次的指引:
标准为信息系统审计和报告定义了强制性的要求。它们宣告:
–根据ISACA 职业道德规范中关于职业责任的规定,信息系统审计师的执行绩效所应达到的最低标准。
–管理层和其他利益方对执业者在专业工作上的期待。
–认证信息系统审计师(CISA?)资格持有人的相关特定要求。CISA 资格持有人未能遵守上述标准的可能会导致ISACA
董事会或相应ISACA 委员会对其进行调查直至最终的纪律处分。
指南为信息系统审计标准的实施提供了指引。信息系统审计师在标准的实施程序中应参考指南,同时作出职业判断,对背离
标准的做法应随时提供解释。信息系统审计指南的目标是为达到信息系统审计标准提供进一步
信息。
程序为信息系统审计师提供审计项目中可以遵循的步骤范例。程序文件提供信息系统审计工作开展中如何达到相关标准的
信息,但并非硬性规定。信息系统审计程序的目标是为达到信息系统审计标准提供进一步信息。COBIT?资源应被当作最佳操作实施指南的来源。COBIT 框架强调,“保护企业的所有资产是管理层的责任,为履行这一责任以及
实现企业的期望,管理层必须建立起一套完善的内部监控体系。” COBIT 为信息系统管理环境提供了详细的监控和监控方法。
基于特殊的COBIT 信息技术程序选择和对COBIT 信息标准的考虑来选用与特定审计范围最相关的材料。
依 COBIT 框架中所定义,以下各项由IT 管理程序进行组织。COBIT 为商业及IT 管理层以及信息系统审计师而计,所以它的运用有
助于商业目标的理解,最佳操作实施的交流和围绕已经达成共识和广受尊重的标准参考体系的意见的形成。COBIT 包括:
监控目标—广义上所需达到的最低限度良好监控之总括和详述。
监控实施—监控目标的实务原理和“如何实现”监控目标的指南。
审计指南—对于不同监控领域,如何理解和评估各种监控,考核监控的符合性和证实失控风险的指南。
管理方针—如何运用成熟度模型,指标和关键性成功因素等方法来评估和提高IT 程序执行绩效的指南。它们提供一种针对管
理层的框架应用于连续性和自发性的监控自我评估,特别专注于:
–绩效衡量—IT 功能支持商用需求效果如何?管理方针既可用于支持自我评估的专题研讨,也可被管理层作为IT 管治方案
的一部分,用以支持持续监督和程序改进的推行。
– IT 监控概况—哪些IT 程序是重要的?哪些是监控的关键性成功因素?
–监控意识—达不到目标会有哪些风险?
–监控基准—其他人做了什么?如何衡量和比较结果?管理方针提供了对IT 绩效的范例指标,可用于商业意义上对IT 执
行绩效的评估。关键的目标指标可以识别并衡量IT 程序的成果,同时关键的执行绩效指标可以通过衡量程序的实现者来
评估程序的执行绩效。透过成熟度模型和成熟度属性提供能力评估和基准,帮助管理层衡量监控能力,找到差距并提出
相应改善策略。
术语表可在ISACA 的网站:https://www.360docs.net/doc/0d12078317.html,/glossary 上查阅。审计和审查这两个词可以互换使用。
免责声明根据ISACA 职业道德规范中对职业责任的规定,ISACA 设计本指南作为执行绩效所应达到的最低标准。ISACA 并未声
明使用此产品一定会出现成功的结果。本出版物不能被视作包括所有合适的程序和测试,也不能被视作排斥通过合理引导获得同
样结果的其它程序和测试。在决定任何具体的程序或测试的合理性时,监控专业人士应根据其自身的专业判断来判别由特定系统
或信息技术环境产生的特定监控条件。
ISACA 标准管理委员会致力于为信息系统审计标准、指南和程序的制定作出广泛的咨询。在发布任何文件之前,标准管理委员会
向全球提供公开草案,供大众评论。标准管理委员会也寻求相关领域的专家和相关人士对必要处提出咨询意见。标准管理委员会
现有研发计划,欢迎ISACA 成员和其它相关人士报告任何新出现问题及其所需的新标准。所有建议请电邮至
(standards@https://www.360docs.net/doc/0d12078317.html,)。或传真(+1.847.253.1443)或写信(地址在文件末尾)至ISACA 国际总部,收件人注明研究标准和学
术关系主任。本材料于 2004 年10 月15 日颁布。
信息系统审计标准
审计报告
文件号S7
第2 页:审计报告信息系统审计标准
审计报告S7
引言
01 ISACA 信息系统审计标准和其它相关指南包含强制性的基本原则和重要程序(以粗体标出)。
02 制定信息系统审计标准的目的是为使信息系统审计师如何通过报告来履行责任而确立并提供指南。
标准
03 信息系统审计师在其审计项目完成后,必须以适当的格式递交一份审计报告。报告中必须明确表明被审计机构、须送达人士
和发布过程中的任何限制条件。
04 审计报告必须写明审计范围、审计目标、审计覆盖的时间跨度和所执行审计工作的性质、时间和范围。
05 报告中也应写明审计发现、审计结论、建议和信息系统审计师对该审计的任何保留意见、限制性或局限性。
06 信息系统审计师必须拥有足够的、恰当的审计证据来解释报告中的审计结果。
07 当审计报告发布时,信息系统审计师必须按审计章程或委托书上的相关条款在其上签字、签署日期并分发出去。
注释
08 审计报告的具体格式和内容随审计业务和审计项目的不同而有所不同。信息系统审计师可从事如下业务:
审计(直接或验证)
审阅(直接或验证)
协商确定的审计流程
09 当信息系统审计师被要求针对某一审计项目为监控环境出具意见,而证据表明有实质性或重大缺陷时,此信息系统审计
师绝不可给出监控机制为有效的结论。信息系统审计师的审计报告中必须叙述实质性的或重大的缺陷,和此缺陷给达到
监控标准目标的影响。
10 信息系统审计师在定稿和最终报告发布前,应该和管理层对报告草案的各方面内容进行讨论,并在任何适用情况下,于
最终发布的报告中包括管理层的评论。
11 一旦在监控环境中发现重大不足,信息系统审计师必须和审计委员会或者负责的权威机构进行交流和讨论,并在报告中
披露此重大不足已作沟通。
12 当信息系统审计师发布了单独的专项报告,最终报告中必须列明已发布的全部单项报告。
13 在某一内部监控不足却并不严重至重大不足时,信息系统审计师应该考虑和衡量是否对此与管理层进行沟通。在这样的
情况下,信息系统审计师必须与审计委员会或负责的权威机构沟通,并表明已就此内部监控不足与管理层沟通过。
14 信息系统审计师必须获取前期审计报告中的审计发现、审计结论和建议等信息,进行评估,并以此决定是否已及时采取
针对性的措施。
15 如需获得关于审计报告的进一步信息,请参考以下指南:
信息系统审计指南G20,审计报告
COBIT 框架,监控目标M4.7 及M4.8
实施日期
16 此信息系统审计标准适用于所有信息系统的审计工作,于2005 年1 月1 日起实施。
信息系统审计与控制协会2004-2005 年标准管理委员会
Chair, Sergio Fleginsky, CISA PricewaterhouseCoopers, Uruguay
Svein Aldal Aldal Consulting, Norway
John Beveridge, CISA, CISM, CFE, CGFM, CQA Office of the Massachusetts State Auditor, USA
Claudio Cilli, Ph.D., CISA, CISM, CIA, CISSP Value Partners, Italy
Christina Ledesma, CISA, CISM Citibank NA Sucursal, Uruguay
Andrew MacLeod, CISA, CIA, FCPA, MACS, PCP Brisbane City Council, Australia
V. Meera, CISA, CISM, ACS, CISSP, CWA Microsoft Corporation, USA
Ravi Muthukrishnan, CISA, CISM, FCA, ISCA NextLinx India Private Ltd., India Peter Niblett, CISA, CISM, CA, CIA, FCPA WHK Day Neilson, Australia
John G. Ott, CISA, CPA Aetna Inc., USA
Thomas Thompson, CISA Ernst & Young, UAE
? Copyright 2004
Information Systems Audit and Control Association
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 USA
电话:+1.847.253.1545
传真:+1.847.253.1443
E-mail: standards@https://www.360docs.net/doc/0d12078317.html,
网站:https://www.360docs.net/doc/0d12078317.html,__
信息系统(IS)审计的专业性和进行这类审计所需的技术,要求制定出专门适用于信息系统审计的标准。推进全球适用的标准以
实现这个目标是信息系统审计与控制协会(ISACA?)的宗旨之一。信息系统审计标准的发展和传播是ISACA 为审计业界作出专
业贡献的基础。信息系统审计标准的框架提供了多层次的指引:
标准为信息系统审计和报告定义了强制性的要求。它们宣告:
–根据ISACA 职业道德规范中关于职业责任的规定,信息系统审计师的执行绩效所应达到的最低标准。
–管理层和其他利益方对执业者在专业工作上的期待。
–认证信息系统审计师(CISA?)资格持有人的相关特定要求。CISA 资格持有人未能遵守上述标准的可能会导致ISACA
董事会或相应ISACA 委员会对其进行调查直至最终的纪律处分。
指南为信息系统审计标准的实施提供了指引。信息系统审计师在标准的实施程序中应参考指南,同时作出职业判断,对背离
标准的做法应随时提供解释。信息系统审计指南的目标是为达到信息系统审计标准提供进一步信息。
程序为信息系统审计师提供审计项目中可以遵循的步骤范例。程序文件提供信息系统审计工作开展中如何达到相关标准的
信息,但并非硬性规定。信息系统审计程序的目标是为达到信息系统审计标准提供进一步信息。COBIT?资源应被当作最佳操作实施指南的来源。COBIT 框架强调,“保护企业的所有资产是管理层的责任,为履行这一责任以及
实现企业的期望,管理层必须建立起一套完善的内部监控体系。” COBIT 为信息系统管理环境提供了详细的监控和监控方法。
基于特殊的COBIT 信息技术程序选择和对COBIT 信息标准的考虑来选用与特定审计范围最相关的材料。
依 COBIT 框架中所定义,以下各项由IT 管理程序进行组织。COBIT 为商业及IT 管理层以及信息系统审计师而计,所以它的运用有
助于商业目标的理解,最佳操作实施的交流和围绕已经达成共识和广受尊重的标准参考体系的意见的形成。COBIT 包括:
监控目标—广义上所需达到的最低限度良好监控之总括和详述。
监控实施—监控目标的实务原理和“如何实现”监控目标的指南。
审计指南—对于不同监控领域,如何理解和评估各种监控,考核监控的符合性和证实失控风险的指南。
管理方针—如何运用成熟度模型,指标和关键性成功因素等方法来评估和提高IT 程序执行绩效的指南。它们提供一种针对管
理层的框架应用于连续性和自发性的监控自我评估,特别专注于:
–绩效衡量—IT 功能支持商用需求效果如何?管理方针既可用于支持自我评估的专题研讨,也可被管理层作为IT 管治方案
的一部分,用以支持持续监督和程序改进的推行。
– IT 监控概况—哪些IT 程序是重要的?哪些是监控的关键性成功因素?
–监控意识—达不到目标会有哪些风险?
–监控基准—其他人做了什么?如何衡量和比较结果?管理方针提供了对IT 绩效的范例指标,可用于商业意义上对IT 执
行绩效的评估。关键的目标指标可以识别并衡量IT 程序的成果,同时关键的执行绩效指标可以通过衡量程序的实现者来
评估程序的执行绩效。透过成熟度模型和成熟度属性提供能力评估和基准,帮助管理层衡量监控能力,找到差距并提出
相应改善策略。
术语表可在ISACA 的网站:https://www.360docs.net/doc/0d12078317.html,/glossary 上查阅。审计和审查这两个词可以互换使用。
免责声明根据ISACA 职业道德规范中对职业责任的规定,ISACA 设计本指南作为执行绩效所应达到的最低标准。ISACA 并未声
明使用此产品一定会出现成功的结果。本出版物不能被视作包括所有合适的程序和测试,也不能被视作排斥通过合理引导获得同
样结果的其它程序和测试。在决定任何具体的程序或测试的合理性时,监控专业人士应根据其自身的专业判断来判别由特定系统
或信息技术环境产生的特定监控条件。
ISACA 标准管理委员会致力于为信息系统审计标准、指南和程序的制定作出广泛的咨询。在发布任何文件之前,标准管理委员会
向全球提供公开草案,供大众评论。标准管理委员会也寻求相关领域的专家和相关人士对必要处提出咨询意见。标准管理委员会
现有研发计划,欢迎ISACA 成员和其它相关人士报告任何新出现问题及其所需的新标准。所有建议请电邮至
(standards@https://www.360docs.net/doc/0d12078317.html,)。或传真(+1.847.253.1443)或写信(地址在文件末尾)至ISACA 国际总部,收件人注明研究标准和学
术关系主任。本材料于 2004 年10 月15 日颁布。
信息系统审计标准
后续工作
文件号S8
第2 页:后续工作信息系统审计标准
后续工作S8
引言
01 ISACA 标准和其它相关指南包含强制性的基本原则和重要程序(以粗体标出)。
02 制定信息系统审计标准的目的是为信息系统审计程序中执行的后续工作确立标准和提供指南。
标准
03 在报告审计发现和建议后,信息系统审计师必须获取和评估相关信息,对管理层是否已及时采取恰当的措施做出结论。
注释
04 如果管理层针对审计报告建议而提出的措施已经交换意见或提供给信息系统审计师,则应该把这些作为“管理层的反馈
意见”写进最终的审计报告中。
05 在确定后续工作的性质、时间和范围时,应该考虑到所报告的审计发现的严重性及如不纠正的后果。信息系统审计后续
工作与原审计报告发表的时间性考虑取决于职业判断,所依据的各方面因素包括相关风险的性质和程度,以及对被审计
方的收费。
06 后续工作程序应由内部审计部门设定,以监控和保证管理层的措施已被有效地贯彻,或确认高级管理层已决定接受不采
取措施而导致的风险。这些后续工作的责任可在该部门的审计章程中作出规定。
07 根据审计项目的范围和条款,外部信息系统审计师可依赖内部信息系统审计部门,对达成共识的建议开展后续工作。
08 在对后续工作做出结论前,如管理层为实施建议已采取措施且提供相关信息,而信息系统审计师对该信息有疑虑时,应
该进行恰当的测试或采取其他的程序来确定真实情况和进度。
09 后续工作进度的报告,应该递交至审计委员会(如设立)或该机构适当层次的管理层,该报告包括经讨论通过却未实施的
建议。
10 作为后续工作的一部分,信息系统审计师应该评估审计发现如不被采纳是否还具有相关性。实施日期
11 此信息系统审计标准适用于信息系统的审计工作,于2005 年1 月1 日起实施。
信息系统审计与控制协会2004-2005 年标准管理委员会
Chair, Sergio Fleginsky, CISA PricewaterhouseCoopers, Uruguay
Svein Aldal Aldal Consulting, Norway
John Beveridge, CISA, CISM, CFE, CGFM, CQA Office of the Massachusetts State Auditor, USA
Claudio Cilli, Ph.D., CISA, CISM, CIA, CISSP Value Partners, Italy
Christina Ledesma, CISA, CISM Citibank NA Sucursal, Uruguay
Andrew MacLeod, CISA, CIA, FCPA, MACS, PCP Brisbane City Council, Australia
V. Meera, CISA, CISM, ACS, CISSP, CWA Microsoft Corporation, USA
Ravi Muthukrishnan, CISA, CISM, FCA, ISCA NextLinx India Private Ltd., India Peter Niblett, CISA, CISM, CA, CIA, FCPA WHK Day Neilson, Australia
John G. Ott, CISA, CPA Aetna Inc., USA
Thomas Thompson, CISA Ernst & Young, UAE
? Copyright 2004
Information Systems Audit and Control Association
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 USA
电话:+1.847.253.1545
传真:+1.847.253.1443
E-mail: standards@https://www.360docs.net/doc/0d12078317.html,
网站:https://www.360docs.net/doc/0d12078317.html,__
Google.c
信息系统(IS)审计的专业性和进行这类审计所需的技术,要求制定出专门适用于信息系统审计的标准。推进全球适用的标准以实现这个目标
是信息系统审计与控制协会(ISACA?)的宗旨之一。信息系统审计标准的发展和传播是ISACA 为审计业界作出专业贡献的基础。信息系统审计
标准的框架提供了多层次的指引:
标准为信息系统审计和报告定义了强制性的要求。它们宣告:
–根据ISACA 职业道德规范中关于职业责任的规定,信息系统审计师的执行绩效所应达到的最低标准。
–管理层和其他利益方对执业者在专业工作上的期待。
–认证信息系统审计师(CISA?)资格持有人的相关特定要求。CISA 资格持有人未能遵守上述标准的可能会导致ISACA 董事会或相应
ISACA 委员会对其进行调查直至最终的纪律处分。
指南为信息系统审计标准的实施提供了指引。信息系统审计师在标准的实施程序中应参考指南,同时作出职业判断,对背离标准的做法
应随时提供解释。信息系统审计指南的目标是为达到信息系统审计标准提供进一步信息。
程序为信息系统审计师提供审计项目中可以遵循的步骤范例。程序文件提供信息系统审计工作开展中如何达到相关标准的
信息,但并非硬性规定。信息系统审计程序的目标是为达到信息系统审计标准提供进一步信息。CobiT?资源应被当作最佳操作实施指南的来源。CobiT 框架强调,“保护企业的所有资产是管理
层的责任,为履行这一责任以及实现企业的期望,管理层必须建立起一套完善的内部监控体系。” CobiT 为信息系统管理环境提供了详细的监控和监控方法。
基于特殊的 CobiT 信息技术程序选择和对CobiT 信息标准的考虑来选用与特定审计范围最相关
的材料。
依 CobiT 框架中所定义,以下各项由IT 管理程序进行组织。CobiT 为商业及IT 管理层以及信息系统审计师
而计,所以它的运用有助于商业目标的理解,最佳操作实施的交流和围绕已经达成共识和广受尊重的标准参考体系的意见的形成。COBIT 包
括:
监控目标—广义上所需达到的最低限度良好监控之总括和详述。
监控实施—监控目标的实务原理和“如何实现”监控目标的指南。
审计指南—对于不同监控领域,如何理解和评估各种监控,考核监控的符合性和证实失控风险的指南。
管理方针—如何运用成熟度模型,指标和关键性成功因素等方法来评估和提高IT 程序执行绩效的指南。它们提供一种针对管理层的框架
关于对商业银行开展信息系统审计的思考
关于对商业银行开展信息系统审计的思考 现代信息技术已普遍应用于商业银行的所有机构,并涵盖其业务和过程。审计机关目前应用的主要金融审计模式是数据式审计,即对商业银行静态数据进行分析和测试。从审计实践来看,这种审计方式由于缺乏对系统的控制而不能保障电子数据的唯一性、完整性和准确性,无法从根本上有效控制被审计单位的电子数据质量;从发展趋势来看,数据式审计方式由于过分关注数据本身而缺乏对系统整体的分析,难以控制总体审计风险,其局限性正逐渐显露出来。为有效解决上述问题,审计机关应当尽快对商业银行开展信息系统审计。一、商业银行信息系统的特点、架构与一般业务流程(一)商业银行信息系统的特点现代商业银行的信息系统一般具有下列特点:系统结构复杂,对硬件、软件的质量和安全性能要求高;数据量大(各行数据普遍实行总行大集中);本外币一体化的统一会计核算方式;以客户为中心、面向服务的设计理念;衍生金融新产品多;业务实时性强,支持24小时服务等。目前,商业银行系统中业务网操作系统基本是UNIX操作系统,办公网基本是WINDOWS操作系统,并根据不同类型的操作系统配备相应的客户端防病毒系统;网上银行、电子商务、网上交易系统都是通过INTERNET公网。另外,银行的中间代理业务需要同相关单位的局域网互联。商业银行业务系统基本采用Client/Server模式,并配备相应的备份与灾难恢复系统。(二)商业银行信息系统的框架结构商业银行信息系统一般可分为信息管理类系统、渠道类系统和外部清算结算类系统。信息管理类系统
与决策、管理和业务相关,以提高效率和规避风险为目的,主要有贷款系统、授权和授信系统、征信系统、客户管理系统、数据仓库系统、资产负债管理系统、办公自动化系统、后督系统、档案系统(票据影像缩微系统和光学字符识别OCR)、数字终端录像系统、数字视频监控系统等。渠道类系统是商业银行面向市场和客户的窗口,也是对外服务使用的载体,包括人工渠道、电子渠道和第三方渠道。人工渠道有柜面服务和职能部门的业务终端(例如会计帐查询系统、信贷审批系统等);电子渠道分为自助服务系统(电话银行、手机银行、网上银行和企业银行)和自助服务终端(ATM和POS);第三方渠道包括银联交易、区域性通存通兑和同城跨行通存通兑等。外部清算结算类系统是指有外部接口的系统,包括行间资金转账系统SHIFT(主要有大额清算系统、小额清算系统、区域性专项业务清算系统)、同城交换系统、央行往来清算系统、同业往来清算系统和第三方存管清算系统。(三)商业银行核心业务系统一般流程商业银行信息系统有业务核心系统和外围系统两部分。业务核心系统主要包括存款系统、贷款系统、国际业务系统、支付清算系统、资金交易系统和衍生业务系统等,其余为外围系统,主要包括内部后台系统和连接外部系统两部分。业务核心系统一般分为基础支持、业务处理和管理分析三个部分,基础支持是指依据核心业务支撑平台(数据逻辑和数据),来完成基本指令(包括账务体系、权限和机构管理等);业务处理是指商业银行各应用系统完成核心业务逻辑,包括相关的各类银行业务(如存款、信贷、结售汇和柜面服务等);管理分析包括会计报表和
新审计准则的认识
新审计准则的认识 发表时间:2013-04-25T15:43:04.717Z 来源:《教师教育研究(教学版)》2013年2月供稿作者:张增升[导读] 审计准则是审计理论与审计实践联结的纽带和桥梁,新审计准则有着很强的实践性特点。潍坊工商职业学院经济管理系张增升 一、对审计准则新内容的理解 由于经济社会和审计环境的发展变化,新修订的审计准则立足于中国国家审计实践,增加了绩效审计、信息系统、审计整改等方面的内容,主要有: (一)扩大了绩效审计的内涵和外延。新审计准则在第六条中指出要监督被审计单位财政收支、财务收支以及有关经济活动效益性的工作目标,同时解释效益性是指财政收支、财务收支以及有关经济活动实现的经济效益、社会效益和环境效益。在过去政府各部门以经济工作为中心的情况下,绩效审计作为一种独立的审计类型,主要是通过对被审计对象管理和使用财政资金及其他公共资源所达到的经济性、效率性和效果性进行审计监督,揭露影响财政资金使用效益的突出问题,规范政府行为、减少财政资金损失、提高资金使用效率。随着科学发展观理论的提出,意味着政府业绩评价机制已从单纯的唯GDP向环境保护、资源节约、社会和谐等综合科学发展转变。而绩效评价不应仅仅局限于经济活动本身产生的经济效益,还包括全方位、多角度的社会效益及环境效益评价。开展绩效审计是树立和落实科学发展观的必然选择,今后效益审计将成为审计工作重中之重。新审计准则紧跟新形势,丰富了效益审计内容,为绩效审计在实际工作中做出客观真实的审计评价提供了科学依据。 (二)增加了信息系统有关的内容。随着信息和网络技术在各行各业中的广泛应用,信息化环境相对于纸质账簿环境,对审计工作提出了新的挑战。对于如何在信息技术环境下顺利开展审计工作,新审计准则作出了明确规定,增加了信息系统审计有关的内容。包括:审计人员职业胜任能力包括了对信息技术方面整体胜任能力的要求;审计人员要调查了解被审计单位相关信息系统及其电子数据情况,并从从一般控制和应用控制两方面了解信息系统控制情况;审计人员在判断重要性时,要关注信息系统设计缺陷;确定审计事项和审计应对措施包括评估对信息系统的依赖程度,检查相关信息系统的有效性、安全性;审计人员获取的电子审计证据包括与信息系统控制相关的配置参数、反映交易记录的电子数据等;审计发现被审计单位信息系统存在重大漏洞或者不符合国家规定的,应当责成被审计单位在规定期限内整改。信息技术的应用促进了信息系统审计方式的产生和发展,信息系统审计已日益受到各级审计机关和审计人员的重视。但由于起步较晚,尚未形成系统的信息系统审计准则和标准,限制了其发展速度。而新审计准则为在审计工作中如何开展信息系统审计指明了方向。 二、新准则对审计实践的指导作用 审计准则是审计理论与审计实践联结的纽带和桥梁,新审计准则有着很强的实践性特点。在新准则颁布实施后,我们在审计实践中积极贯彻执行,尤其是对新增内容加以重点关注。实践表明新审计准则对于保证审计项目质量,拓宽审计人员思路,创新审计方法有积极的作用。如在2011年上半年开展的某街道领导干部经济责任审计中,审计组将绩效理念贯穿于经济责任审计全过程中,通过实地观察、统合分析,重点关注街道城市管理、社区民生等资金投入所产生的社会效益,作为对领导干部经济责任评价的重要方面,取得了较好的审计成效。又如下半年开展的我区某乡镇医院绩效审计中,审计组不仅对医院固定资产增长率、净资产收益率、职工平均业务收入、管理费用占总支出的比率、偿债能力等医院各项经济效益指标进行了分析,同时通过问卷调查、统计分析等方法对医院开展公共卫生服务质量、执行基本药物制度的成效等社会效益情况进行了深入审计。三、以新准则为方向指引,提升个人素质面对越来越复杂的社会经济新形势,社会对审计工作提出更高的时代要求和现实诉求。而这一切,最后必将落实到每一名审计人员身上。作为全国成千上万审计工作者的一员,在今后的审计工作中,首先要在思维方式上有所创新,破除专注微观、就事论事的思维定式,树立从宏观着眼、胸怀全局、善于从实际出发的思想;树立信息化思维方式,信息化时代需要人们具备与之相适应的信息化思维,它有助于人们在获取、控制、运用信息方面做出正确的抉择。对审计人员而言,信息化思维方式是开展信息系统审计,创新计算机审计方法的基础。其次在审计方法上,要破除盲人摸象、凭经验查账的落后习惯,树立总体把握、系统分析的审计模式,炼就对事物的综合分析评判能力、大局把握能力;注重揭示问题发生的深层次原因,从完善制度和机制方面提针对性建议。第三要加强学习,树立终身学习理念。当前,我们所处的时代,是一个知识的时代、信息的时代、竞争的时代。如果不学习,就跟不上经济社会的形势,把握不了发展趋势,驾驭不住审计工作的大局。因此,除掌握必要的会计审计专业技能,还必须学习经济学、社会科学、法律、信息技术等各方面的知识,不断完善自身知识结构,紧跟时代和审计发展的步伐。
【精品】能源审计基本知识
能源审计基本知识 第一节能源审计的概念和特点 一、能源审计的概念 根据《企业能源审计技术通则》(GB/T17166—1997)的规定,能源审计是指:审计单位依据国家有关的节能法规和标准,对企业和其他用能单位能源利用的物理过程和财务过程进行的检验、核查和分析评价。 能源审计是对用能单位的能源利用和损失的综合调查,也是对用能单位能源情况进行全面的审查、统计、计量、计策、计算和评审.它是审计单位按照国家的能源政策、能源法规、法令,各种能源标准、技术评价指标,并结合现场设备测试,对企业、地方或部门能源生产、转换和消费的整个物理过程和财务过程进行的检验、核查和分析评价。 根据建设部《国家机关办公建筑和大型公共建筑能源审计导则》的定义,能源审计是指用能单位或主管部门自己或委托专业机构,根据国家有关节能法规和标准,对能源使用的物理过程和财务过程进行检测、核查、分析和评价并提出改进建议的活动。
二、能源审计的特点 不论是《企业能源审计技术通则》(GB/T17166—1997)的定义,还是《国家机关办公建筑和大型公共建筑能源审计导则》的定义,能源审计都具有如下的特点: (1)合法性和科学性。能源审计必须是“依据国家有关的节能法规和标准”进行,以保证审计工作的合法性、科学性; (2)客观性和独立性。能源审计作为审计的一个分支,也是一种科学管理的方法,具有很强的监督和管理作用。审计单位是由节能主管部门授权的、具有合法资格的审计机构,审计单位必须保证其在审计过程中的客观性、中立性、独立性,以确保审计工作的公平、公正。 (3)分项计量和独立核算。“用能单位”是指具有必需的能源计量及进行独立核算的单位,包括能源使用经济性的独立核算。这是进行能源设计的必要条件。 (4)物理过程审计.“物理过程"是指用效率、单耗、能源密度、能力等物理量表示的能源消费指标; (5)财务过程审计。“财务过程”是专指以用能单位经营活动中能源的收入、支出的财务账目
浅析中国审计准则与国际审计准则的异同
浅析中国审计准则与国际审计准则的异同 孙晖吴申昊薛超薛林伟 (南京理工大学泰州科技学院2010级会计4班 225300) [摘要] 2006年新审计准则体系的发布标志着我国已建立起一套适应中国社会主义市场经济发展要求、顺应国际趋同大势的审计准则体系。本文采用对比和比较分析方法,在充分研究、分析、总结的基础上,对我国新审计准则体系与国际审计准则体系进行了趋同分析和差异分析。 [关键词]审计;准则;趋同;差异 1 引言 注册会计师审计准则是衡量注册会计师审计业务质量的标准,用以规范审计事务所与审计人员的执业行为,建立一套与国际趋同的高质量的审计准则,是经济全球化发展趋势的必然要求,并且对于降低投资者的决策风险,实现资源的有效合理配置,推动经济发展和保持金融稳定有着重要作用。 2006 年2 月15 日,财政部发布了中国新审计准则体系——《中国注册会计师执业规范准则》。中国新审计准则体系的发布标志着我国已建立起一套适应中国社会主义市场经济发展要求、顺应国际趋同大势的审计准则体系。有利于提高注册会计师行业的执业质量,推动注册会计师行业的健康发展,提升财务信息质量,突出了保护社会公众利益的宗旨,强化了注册会计师的执业责任,体现了先进的审计理念和实务,严格了审计程序。 本文采用对比和比较分析方法,在充分研究、分析、总结的基础上,对我国新审计准则体系与国际审计准则体系进行了趋同分析和差异分析。 2 中国审计准则的结构和内容 我国注册会计师审计准则是中国注册会计师协会在对《独立审计基本准则》修订后形成的。中国注册会计师协会拟订了《中国注册会计师鉴证业务基本准则》等22项准则,修订了《中国注册会计师审计准则第1142号——财务报表审计中对法律法规的考虑》等26项准则,自2007年1月1日起施行,《独立审计基本准则》等相关准则同时废止。 2006年发布的审计准则结构为:第一部分审计、审阅与其他鉴证业务准则(45个),具体包括中国注册会计师鉴证业务基本准则(1个)、中国注册会计师
银监发201919商业银行信息科技风险管理指引word精品文档23页
商业银行信息科技风险管理指引 第一章总则 第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。 第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。 政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。 第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水
平,增强核心竞争力和可持续发展能力。 第二章信息科技治理 第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。 第七条商业银行的董事会应履行以下信息科技管理职责: (一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。 (二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 (三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。 (四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。 (五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。 (六)在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设,建立人才激励机制。
isaca_cisa_信息系统审计标准_审计独立性_s2
信息系统(IS)审计的专业性和进行这类审计所需的技术,要求制定出专门适用于信息系统审计的标准。推进全球适用的标准以实现这个目标是信息系统审计与控制协会(ISACA?)的宗旨之一。信息系统审计标准的发展和传播是ISACA为审计业界作出专业贡献的基础。信息系统审计标准的框架提供了多层次的指引: 标准为信息系统审计和报告定义了强制性的要求。它们宣告: – 根据ISACA职业道德规范中关于职业责任的规定,信息系统审计师的执行绩效所应达到的最低标准。 – 管理层和其他利益方对执业者在专业工作上的期待。 – 认证信息系统审计师(CISA?)资格持有人的相关特定要求。CISA资格持有人未能遵守上述标准的可能会导致ISACA 董事会或相应ISACA委员会对其进行调查直至最终的纪律处分。 指南为信息系统审计标准的实施提供了指引。信息系统审计师在标准的实施程序中应参考指南,同时作出职业判断,对背离标准的做法应随时提供解释。信息系统审计指南的目标是为达到信息系统审计标准提供进一步信息。 程序为信息系统审计师提供审计项目中可以遵循的步骤范例。程序文件提供信息系统审计工作开展中如何达到相关标准的 信息,但并非硬性规定。信息系统审计程序的目标是为达到信息系统审计标准提供进一步信息。 C OBI T?资源应被当作最佳操作实施指南的来源。C OBI T框架强调,“保护企业的所有资产是管理层的责任,为履行这一责任以及实现企业的期望,管理层必须建立起一套完善的内部监控体系。” C OBI T为信息系统管理环境提供了详细的监控和监控方法。 基于特殊的C OBI T信息技术程序选择和对C OBI T信息标准的考虑来选用与特定审计范围最相关的材料。 依C OBI T框架中所定义,以下各项由IT管理程序进行组织。C OBI T为商业及IT管理层以及信息系统审计师而计,所以它的运用有助于商业目标的理解,最佳操作实施的交流和围绕已经达成共识和广受尊重的标准参考体系的意见的形成。C OBI T包括: 监控目标—广义上所需达到的最低限度良好监控之总括和详述。 监控实施—监控目标的实务原理和“如何实现”监控目标的指南。 审计指南—对于不同监控领域,如何理解和评估各种监控,考核监控的符合性和证实失控风险的指南。 管理方针—如何运用成熟度模型,指标和关键性成功因素等方法来评估和提高IT程序执行绩效的指南。它们提供一种针对管理层的框架应用于连续性和自发性的监控自我评估,特别专注于: – 绩效衡量—IT功能支持商用需求效果如何?管理方针既可用于支持自我评估的专题研讨,也可被管理层作为IT管治方案的一部分,用以支持持续监督和程序改进的推行。 – IT监控概况—哪些IT程序是重要的?哪些是监控的关键性成功因素? – 监控意识—达不到目标会有哪些风险? – 监控基准—其他人做了什么?如何衡量和比较结果?管理方针提供了对IT绩效的范例指标,可用于商业意义上对IT执行绩效的评估。关键的目标指标可以识别并衡量IT程序的成果,同时关键的执行绩效指标可以通过衡量程序的实现者来评估程序的执行绩效。透过成熟度模型和成熟度属性提供能力评估和基准,帮助管理层衡量监控能力,找到差距并提出相应改善策略。 术语表可在ISACA的网站:https://www.360docs.net/doc/0d12078317.html,/glossary上查阅。审计和审查这两个词可以互换使用。 免责声明根据ISACA职业道德规范中对职业责任的规定,ISACA设计本指南作为执行绩效所应达到的最低标准。ISACA并未声明使用此产品一定会出现成功的结果。本出版物不能被视作包括所有合适的程序和测试,也不能被视作排斥通过合理引导获得同样结果的其它程序和测试。在决定任何具体的程序或测试的合理性时,监控专业人士应根据其自身的专业判断来判别由特定系统或信息技术环境产生的特定监控条件。 ISACA标准管理委员会致力于为信息系统审计标准、指南和程序的制定作出广泛的咨询。在发布任何文件之前,标准管理委员会向全球提供公开草案,供大众评论。标准管理委员会也寻求相关领域的专家和相关人士对必要处提出咨询意见。标准管理委员会现有研发计划,欢迎ISACA成员和其它相关人士报告任何新出现问题及其所需的新标准。所有建议请电邮至 (standards@https://www.360docs.net/doc/0d12078317.html,)。或传真(+1.847.253.1443)或写信(地址在文件末尾)至ISACA国际总部,收件人注明研究标准和学术关系主任。本材料于2004年10月15日颁布。
认证认可基本常识
认证认可基本常识 1、什么是认证? 认证是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。 2、什么是认可? 认可是指由认可机构对认证机构、检查机构、实验室以及从事评审、审核等认证活动人员的能力和执业资格,予以承认的合格评定活动。 3、常见的认证包括哪些? 认证通常分为产品、服务和管理体系认证。大家较为熟悉的CCC认证就是强制性产品认证。而体系认证包括:以ISO9001标准为依据开展的质量管理体系认证;以ISO14001标准为依据开展的环境管理体系认证;以GB/T28001标准为依据开展的职业健康安全管理体系认证;食品安全管理体系认证(HACCP)认证等。还有以体育场所服务标志为依据开展的体育服务认证等。 4、什么是强制性产品认证? 强制性产品认证,又称CCC认证,是中国政府为保护广大消费者的人身健康和安全,保护环境、保护国家安全,依照法律法规实施的一种产品评价制度,它要求产品必须符合国家标准和相关技术规范。强制性产品认证,通过制定强制
性产品认证的产品目录和强制性产品认证实施规则,对列入《目录》中的产品实施强制性的检测和工厂检查。凡列入强制性产品认证目录内的产品,没有获得指定认证机构颁发的认证证书,没有按规定加施认证标志,一律不得出厂、销售、进口或者在其他经营活动中使用。 5、管理体系认证的分类 管理体系认证又分为质量管理体系、环境管理体系,职业健康安全管理体系,测量管理体系,以及良好农业规范(GAP)、良好性规范(GMP)危害分析与关键控制点体系(HACCP)等。 6、产品认证的分类 产品认证分为自愿性产品认证和强制性产品认证两类。 强制性产品认证,又称CCC认证,是中国政府为保护广大消费者的人身健康和安全,保护环境、保护国家安全,依照法律法规实施的一种产品评价制度,它要求产品必须符合国家标准和相关技术规范。强制性产品认证,通过制定强制性产品认证的产品目录和强制性产品认证实施规则,对列入《目录》中的产品实施强制性的检测和工厂检查。凡列入强制性产品认证目录内的产品,没有获得指定认证机构颁发的认证证书,没有按规定加施认证标志,一律不得出厂、销售、进口或者在其他经营活动中使用。
(信息技术)中国移动信息系统集中账号口令管理(A)技术要求(定
(信息技术)中国移动信息系统集中账号口令管理(A) 技术要求(定
中国移动支撑系统集中账号管理、认证、授权与审计 (4A)技术要求 版本号:1.0.0
目次 前言 (1) 1. 目的和适用范围 (2) 2. 引用标准 (4) 3. 相关术语与缩略语解释 (5) 4. 综述 (6) 4.1. 账号口令管理现状与面临的困难 (6) 4.2. 4A框架国内外现状 (7) 4.3. 中国移动4A框架 (9) 4.4. 4A用例描述 (10) 4.4.1. 管理员工作过程 (10) 4.4.2. 普通用户工作过程 (10) 4.5. 4A框架的价值 (11) 4.5.1. 企业角度 (11) 4.5.2. 管理员角度 (11) 4.5.3. 普通用户角度 (12) 4.5.4. 系统安全角度 (12) 4.5.5. 系统管理成本角度 (12) 5. 集中账号管理 (13) 5.1. 集中账号管理的目的 (13) 5.2. 对集中账号管理的要求 (13) 5.3. 账号生存期管理 (15)
5.3.1. 用户与账号的关系 (15) 5.3.2. 用户、账号的管理流程 (16) 5.4. 账号集中化管理架构 (17) 5.4.1. 一般模型 (17) 5.4.2. 主机、网络设备账号管理 (18) 5.4.3. 应用系统账号集中管理 (20) 5.4.4. 对集中账号管理的要求 (21) 5.5. 自我服务系统 (22) 6. 集中授权 (23) 6.1. 基本技术 (23) 6.1.1. 集中权限分配 (23) 6.1.1.1. 权限定义 (23) 6.1.1.2. 集中权限分配粒度 (24) 6.1.1.3. 主流的授权技术 (25) 6.1.1.4. 账号、用户、用户组、角色、权限关系 (26) 6.1.2. 集中访问控制 (28) 6.2. 网络设备和主机系统的集中授权 (30) 6.3. 应用系统基于角色的集中授权 (31) 6.4. 细粒度访问控制 (32) 7. 集中认证 (34) 7.1. 身份认证方式 (34) 7.1.1. 基于用户名/口令的认证方式 (34)
国际审计准则word版
国际审计准则(ISAs) 的列表 责任分工 ISA 200 财务报表审计的目标和一般原则 ISA 210 审计业务约定书条款 ISA 220R 审计工作的质量控制 ISA 230 审计的文档纪录 ISA 240 财务报表查核时,将舞弊纳入考量是查核人员的责任ISA 250 财务报表查核时,法律和规章的考虑 ISA 260 审计人员与管理层的沟通 审计计划 ISA 300 财务报表审计计划 ISA 310 企务知识 ISA 315 了解被审计单位及其环境并评估重大错报风险 ISA 320 在审计识别和评价错报中运用重要性 ISA 330 审计师针对风险评估水平应采取的程序 内部控制 ISA 400 风险评估和内部控制 ISA 401 电脑信息系统环境下的审计 ISA 402 对被审计单位外判服务机构工作的的审计考虑 审计证据 ISA 500 审计证据 ISA 501 审计证据之对特殊项目的考虑 ISA 505 External Confirmations ISA 510 首次接受委托之期初余额 ISA 520 分析性程序 ISA 530 审计抽样及其他测试方法 ISA 540 会计估计的审计 ISA 545 公允价值计量和披露的审计 ISA 550 关联方及其交易 ISA 560 期后事项 ISA 570 继续经营的假定 ISA 580 管理当局的书面陈述书 利用其他专材 ISA 600 查核集团财务报表时,与其他审计人员的工作 ISA 610 利用内部审计工作的问题 ISA 620 利用专家工作的问题 审计总结及查核报告 ISA 700 为财务报表而发出的查核报告 ISA 710 对比资讯 ISA 720 其他有关财务报表审计的资讯 特殊种类的独立审计 ISA 800 The Auditor's Report on Special Purpose Audit Engagements (注:本资料素材和资料部分来自 网络,仅供参考。请预览后才下载 ,期待您的好评与关注!) 1 / 1
(完整版)《人民共和国节约能源法》全国知识竞赛参考答案
《中华人民共和国节约能源法》全国知识竞赛参考答案 上海节能减排机制法律政策研究中心莫神星 《人民日报》(2008年6月16日14 版) 一、选择题 1.《中华人民共和国节约能源法》(以下简称《节约能源法》)由第十届全国人民代表大会常务委员会第三十次会议修订通过,自_______________起施行。D A.1998年1月1日 B.2007年10月28日 C.2008年1月1日 D.2008年4月1日 2.《节约能源法》所称能源,是指_______________和电力、热力以及其他直接或者通过加工、转换而取得有用能的各种资源。A A.煤炭、石油、天然气、生物质能 B.太阳能、风能 C.煤炭、水电、核能 D.可再生能源和新能源 3.《节约能源法》所指节约能源,是指加强用能管理,采取技术上可行、经济上合理以及环境和社会可以承受的措施,从能源_______________,降低消耗、减少损失和污染物排放、制止浪费,有效、合理地利用能源。 A.生产到使用的各个环节 B.开采到消费的各个环节 C.消费到回收的各个环节 D.生产到消费的各个环节D 4.国家实行有利于节能和环境保护的产业政策,_______________,发展节能环保型产业。 A.鼓励发展重化工业 B.鼓励发展第三产业 C.限制发展高耗能、资源性行业
D.限制发展高耗能、高污染行业D 5.国务院和省、自治区、直辖市人民政府应当加强节能工作,合理调整产业结构、企业结构、产品结构和能源消费结构,推动企业_______________,淘汰落后的生产能力,改进能源的开发、加工、转换、输送、储存和供应,提高能源利用效率。 A.实行节能目标责任制 B.实行节能考核评价制度 C.实行能源效率标识管理 D.降低单位产值能耗和单位产品能耗D 6.国家开展节能宣传和教育,将节能知识纳入国民教育和培训体系,普及节能科学知识,增强全民的节能意识,提倡_______________的消费方式。C A.清洁型 B.循环型 C.节约型 D.环保型 7.节约资源是我国的基本国策。国家实施_______________的能源发展战略。 A.开发为主,合理利用D B.利用为主,加强开发 C.开发与节约并举,把开发放在首位 D.节约与开发并举,把节约放在首位 8.国务院_______________主管全国的节能监督管理工作,国务院有关部门在各自的职责范围内负责节能监督管理工作,并接受国务院管理节能工作的部门的指导。 A.国家能源局 B.国家环境保护部 C.工业信息化部 D.管理节能工作的部门D 9.国务院和县级以上地方各级人民政府每年向本级_______________报告节能工作。 A.人民代表大会或者其常务委员会
{业务管理}中国移动统一信息平台业务规范
(业务管理)中国移动统一信息平台业务规范
中国移动企业信息化壹期工程统壹信息平台业务规范 (v1.0) 中国移动通信集团公司
目录1总则1 1.1.概述1 1.2.适用范围1 1.3.起草单位2 1.4.解释权2 2目标和原则3 2.1.目标3 2.2.原则3 3统壹信息平台总体说明5 3.1.俩级架构5 3.2.统壹信息平台组成5 3.2.1.应用系统6 3.2.2.展示平台7 3.2.3.网络和接入平台7 3.2. 4.安全管理平台7 4应用系统8 4.1.基本业务系统8 4.2.统计查询系统8 4.3.网上教育系统8 4.4.OA核心应用8
4.5.OA扩展应用8 4.6.电子招投标9 5展示平台10 5.1.业务功能10 5.1.1.访问安全控制10 5.1.2.个性化展现管理10 5.1.3.内容应用聚集11 5.2.内容组织规划11 5.2.1.规划原则11 5.2.1.1.资源组织规划原则11 5.2.1.2.内容展现原则12 5.2.1.3.色调风格原则13 5.2.2.页面布局13 5.2.2.1.系统区13 5.2.2.2.个性化内容区14 5.2.3.个性化14 6网络和接入平台15 6.1.广域传输网络15 6.2.内部局域网15 6.3.接入平台15 7安全管理平台17
7.1.网络安全管理17 7.1.1.网络管理17 7.1.2.网络安全17 7.2.系统安全管理17 7.2.1.系统管理17 7.2.2.系统安全17 7.3.数据安全管理18 7.4.防病毒18 8集团公司和省公司的互连互通互访19
商业银行信息系统审计
商业银行信息系统审计 [摘要]巴塞尔委员会指定的《有效银行监管的核心原则》指出:“银行监管体系应包括某种形式的现场和非现场监督”。因此,依靠信息系统审计实现现场与非现场相结合的内部审计体系,是商业银行提高内部审计,内部控制质量和效率的必然选择。 [关键词]信息系统审计;商业银行;信息化 在信息化大潮中,信息技术不断改变人们工作生活的行为方式和思维方式。现代信息技术已经在各行各业及其机构和业务中普遍开来,因此审计这个以鉴证财务信息的真实、公允为核心的行业不可避免地受到信息技术飞速发展所带来的冲击与挑战。传统审计暴露出了很大的弊端,已不能满足人们的需求,不能适应新形势的发展需要,这就使得信息系统审计在商业银行中的应用成为必然。 一、信息系统审计的概念及其对商业银行审计的影响 1985年日本通产省情报处理开发协会信息系统审计委员会认为: 信息系统审计是由独立于审计对象的信息系统审计师, 站在客观的立场上, 对以计算机为核心的信息系统进行综合的检查、评价, 向有关人员提出问题与劝告, 追求系统的有效利用和故障排除, 使系统更加健全。国际信息系统审计领域的权威专家Ron Weber将它定义为“收集并评估证据以判断一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标, 同时最经济的使用资源”。这一定义既包括信息系统的外部审计的鉴证目标,即对被审计单位的信息系统保护资产安全及数据完整的鉴证, 又包含内部审计的管理目标) ) ) 即不仅包括被审计信息系统保护资产安全及数据完整而且包括信息系统的有效性目标。 审计是在信息系统下执行财务会计报表审计,并不改变审计的总体目标和范围。但是,计算机的使用改变了财务资料的处理和存储,并可能影响被审计银行为达到适当的内部控制而采用的组织和程序。 1.对审计对象的载体产生的影响。在手工操作下,作为审计对象的载体是
国际信息系统审计标准(中文版)
信息系统审计标准 S1-审计章程 导言 01 ISACA 标准和其它相关指南包含强制性的基本原则和重要程序(以粗体标出)。 02 制定信息系统审计标准的目的是就审计章程在审计程序中的运用制定和提供指南。 标准 03 信息系统审计职能或信息系统审计任务的目的、责任、授权方和义务应在审计章程或委托书中予以正确的登载。 04 审计章程或委托书应在组织内的适当层次得到同意和通过。 注释 05 对于内部信息系统审计职能,应为所有进行中的业务活动制定一份审计章程。审计章程应通过年度审查。如果责任发生变动或变化,则应缩短审查周期。内部信息系统审计师可用委托书来进一步澄清或确认参与特定的审计或非审计任务。外部信息系统审计师参与每项审计或非审计任务通常应当准备委托书。 06 审计章程或委托书应足够详细以便能表达审计功能或审计任务的目的、责任和限制。 07 审计章程或委托书应定期审查,以确保(审计的)目的和责任已经记录在案。 08 如需有关准备审计章程或委托书进一步的信息,应参考下列指南: 信息系统审计指南G5,审计章程 COBIT 框架,监控目标M4 实施日期 09 此ISACA 标准适用于所有信息系统的审计,于2005 年1 月1 日起(之后)实施。 信息系统(IS)审计的专业性和进行这类审计所需的技术,要求制定出专门适用于信息系统审计的标准。推进全球适用的标准以 实现这个目标是信息系统审计与控制协会(ISACA?)的宗旨之一。信息系统审计标准的发展和传播是ISACA 为审计业界作出专 业贡献的基础。信息系统审计标准的框架提供了多层次的指引: 标准为信息系统审计和报告定义了强制性的要求。它们宣告: –根据ISACA 职业道德规范中关于职业责任的规定,信息系统审计师的执行绩效所应达到的最低标准。 –管理层和其他利益方对执业者在专业工作上的期待。 –认证信息系统审计师(CISA?)资格持有人的相关特定要求。CISA 资格持有人未能遵守上述标准的可能会导致ISACA 董事会或相应ISACA 委员会对其进行调查直至最终的纪律处分。 指南为信息系统审计标准的实施提供了指引。信息系统审计师在标准的实施程序中应参考指南,同时作出职业判断,对背离 标准的做法应随时提供解释。信息系统审计指南的目标是为达到信息系统审计标准提供进一步信息。 程序为信息系统审计师提供审计项目中可以遵循的步骤范例。程序文件提供信息系统审计工作开展中如何达到相关标准的 信息,但并非硬性规定。信息系统审计程序的目标是为达到信息系统审计标准提供进一步信息。COBIT?资源应被当作最佳操作实施指南的来源。COBIT 框架强调,“保护企业的所有资产是管理层的责任,为履行这一责任以及 实现企业的期望,管理层必须建立起一套完善的内部监控体系。” COBIT 为信息系统管理环境提供了详细的监控和监控方法。
能源审计报告(参考)
广东环境保护工程职业学院Guangdong Vocational College of Environmental Protection Engineering 能源审计报告 Energy Audit Report 2014年12月31日 仲彪节能科技有限公司
目录 第一章能源审计概况...................................................................... - 1 - 1.1 审计目的............................................................................. - 1 - 1.2 审计依据............................................................................. - 2 - 1.3 审计内容............................................................................. - 3 - 1.4 审计团队............................................................................. - 4 -第二章建筑及用能系统概况 ............................................................ - 1 - 2.1建筑概况 ............................................................................. - 1 - 2.2用能系统情况 ....................................................................... - 1 - 2.3主要用能设备清单................................................................. - 1 - 2.4用电分项计量监测系统........................................................... - 2 -第三章建筑物能源管理................................................................... - 3 - 3.1建筑物能源管理机构.............................................................. - 3 - 3.2建筑物能源管理现状.............................................................. - 3 -第四章建筑能耗分析 ....................................................................... - 1 - 4.1能耗评价指标的构成简介.................................. 错误!未定义书签。 4.2基于现场巡视和文件审查的节能评价........................................ - 1 - 4.3基于能源账单数据的分析.................................. 错误!未定义书签。 4.3.1建筑能耗总量情况......................................................... - 1 - 4.3.2常规能耗、特殊区域能耗和水耗指标.......... 错误!未定义书签。 4.3.3能源费账单分析...................................... 错误!未定义书签。
国际审计准则与中国2010审计准则的主要差异修改版
国际审计准则与中国2010审计准则的主要差异 我国注册会计师审计准则与国际审计准则的差异主要集中在以下四个方面:1.准则体系:多3 个准则,《中国注册会计师鉴证业务基本准则》、《中国注册会计师审计准则第1153 号——前任注册会计师和后任注册会计师的沟通》、《中国注册会计师审计准则第1602 号——验资》。 关于鉴证业务基本准则IAASB 将其放在准则序言部分加以强调的,我国注册会计师审计准则将则其单独列示。鉴证业务基本准则统驭审计准则、审阅准则和其他鉴证业务准则,该准则规定了鉴证业务的定义和目标、业务承接、鉴证业务的三方(注册会计师、责任方、预期使用者)关系、鉴证对象、标准、证据、鉴证报告等内容。 2.未加区分审计准则与审计实务公告 IAASB 将国际审计准则与国际审计实务公告区分,在对历史财务信息的审计和检查的规范中分别列示。我国注册会计师审计准则未将审计准则与实务公告加以区分,而是将其并入准则体系中。 把以下六个国际审计实务公告“IAPS 1000银行间函证程序,IAPS 1004银行监管机构与银行外部审计师的关系,IAPS 1006银行财务报表审计,IAPS 1010财务报表审计中对环境的考虑,IAPS 1012衍生金融工具审计,IAPS 1013电子商务对财务报表审计的影响”归为《中国注册会计师审计准则第1612 号——银行间函证程序》,《中国注册会计师审计准则第1613号——与银行监管机构的关系》,《中国注册会计师审计准则第1611 号——商业银行财务报表审计》,《中国注册会计师审计准则第1631号——财务报表审计中对环境事项的考虑》,《中国注册会计师审计准则第1632号——衍生金融工具的审计》,《中国注册会计师审计准则第1633号——电子商务对财务报表审计的影响》。 3.部分准则存在差异,《审计报告》。 我国报告准则与国际报告准则的区别:①报告名称差异:我国审计报 告均称为“审计报告”未加“独立”二字;国际审计报告均称为“独立审计 报告”,在标题中增加“独立”一词,强调审计师的“独立性”。②审计
目前商业银行审计需解决的几个难点问题
目前商业银行审计需解决的几个难点问题 近年来,随着商业银行审计由财务收支审计发展到“风险、管理、效益”审计,实际工作中遇到许多难点问题,需要加以研究和解决。 一、商业银行审计需解决的难点问题 (一)商业银行案件频发,审计力量不足,审计风险不断加大 一方面,商业银行案件频发,经营风险巨大。商业银行与社会各领域联系广泛,是一个高风险的行业。近年来在审计中发现,不法分子时刻关注商业银行管理漏洞进行金融诈骗活动,或与银行员工内外勾结联手作案,如诈骗贷款、挪用客户存款和伪造票据等重大案件时有发生。在审计工作中,尽管审计人员实施了必要的审计程序和审计方法,但仍然存在较大的审计风险。另一方面,审计机关整体力量不足,审计时间有限,违规问题未能发现和披露的潜在风险较大。一般对省级分行系统审计由十几名审计人员在几个月时间内完成,面对商业银行众多的分支机构、大量数据和资料,存在应发现而未发现重大违法违纪问题或典型性、倾向性问题的情况,使商业银行审计面临较大风险。 (二)商业银行业务复杂,不断扩展和创新,给审计工作带来新的挑战 近年来,对商业银行审计采取轮流的方式进行,几年循环一次,审计人员很难全面掌握各商业银行内部经营管理等情况。加之商业银行
不断推出新业务,现有审计人员专业素质、知识结构不能完全适应审计发展的需要。目前,审计机关中既有较高的金融知识水平,又有多年金融审计工作经验的人员所占比例很小。部分从事金融审计的人员,虽然具有长期从事金融审计工作的经验,但对金融新业务了解不多,只能对商业银行财务收支或原有业务进行审计,对其不断出现的新业务无法开展审计。 (三)审计技术方法滞后于金融业信息化的步伐,难以满足审计发展的需要 商业银行审计的目标是防范风险、促进管理、提高效益,要实现这一目标,就需要审计人员对商业银行进行全面了解和审计,做出客观公正的评价。而面对商业银行庞大的金融数据,传统的审计方法已经不能适应信息化审计发展的需求。目前,虽然开展了计算机辅助审计,但审计软件技术开发很慢,同商业银行的数据接口没有实现,对后台数据的下载速度慢,影响了审计的效率。在实际工作中,由于商业银行机构庞大、点多面广,审计机关不能对其进行全面审计,只能选择部分分支机构进行抽查,且在审计中,判断抽样贯穿审计过程的始终,这样就可能以偏概全,做出错误的审计评价。如,在审计报告中,对商业银行某项业务或某一方面工作进行审计评价时,很难做出“符合”、“基本符合”、“不符合”的评价。即使是“基本符合”的评价,也存在较大的审计风险。 (四)商业银行与审计机关信息不对称,且存在向审计机关提供虚假信息的问题