国际信息系统审计标准(中文版)

信息系统审计概念及其四个国际准则精选公文范文管理资料信息系统审计概念及其四个国际准则一、引言信息系统审计(IS Audit)的概念最早出现于20世纪60年代，会计电算化的发展使得审计人员开始关注电子数据的采集、分析与处理，被人们称为EDP审计，这是信息系统审计的早期萌芽。

20世纪90年代，信息系统日益复杂，如何保障信息系统的安全、可靠和有效变得越来越重要，信息系统审计开始在美、日、澳、英等国普及起来。

2001年，国家审计署将注册信息系统审计师(CISA)考试引入我国，十余年来各行各业都开展了如火如荼的信息系统审计实践。

准则是审计工作的基本规范，信息系统审计准则是信息系统审计师共同遵循的标准，对于促进信息系统审计行业发展具有重要意义。

日本通产省 (Ministry of Economy Trade and [键入文字] [键入文字] [键入文字]精选公文范文管理资料Industry,简称METI)早在1985年就颁布了信息系统审计准则，还成立了日本系统审计师协会 (JSSA)。

美国也成立了信息系统审计与控制协会(ISACA)，制定和颁布了一系列信息系统审计准则指南，并在全球范围内应用推广。

我国审计署以实务公告形式颁布了《信息系统审计指南》，中国内部审计协会也以具体准则形式颁布了信息系统审计准则，为规范我国的信息系统审计实践提供了重要参考。

然而，由于信息系统审计的技术复杂性，以及我国信息化发展的阶段特征等客观原因，目前我国的信息系统审计理论与实务研究都尚处于百花争放时期，关于信息系统审计对象、范围和目标等基础概念的理解众口不一，更是缺少系统化的信息系统审计准则体系，严重制约了我国信息系统审计行业的发展。

二、信息系统审计概念内涵信息系统审计概念，国内外尚没有统[键入文字] [键入文字] [键入文字] 精选公文范文管理资料一定义。

美国着名学者Ron A?Weber认为，IS审计是一个获取证据，对信息系统是否能保证资产的安全，数据的完整，以及是否有效的使用了组织资源并有效地实现了组织目标做出评价和判断的过程。

国际信息系统审计师（CISA）Certified Information Systems Auditor（简称CISA，中文为国际信息系统审计师）认证是由信息系统审计与控制协会ISACA(Information Systems Audit and Control Association)发起的，是信息系统审计、控制与安全等专业领域中取得成绩的象征。

CISA 认证适用于企业信息系统管理人员、IT管理人员、IT审计人员、或信息化咨询顾问、信息安全厂商或服务提供商、和其他对信息系统审计感兴趣的人员。

一、ISACA信息系统审计与控制协会（ISACA）创始于1967年，当时它是由从事同类职业的人所组成的小团体——计算机系统的审计和控制对他们各自机构的运作都变得愈发关键——因此他们聚集起来讨论制定信息集中化资源和本领域指导准则的必要性。

在1969年，这个团体正式组建为EDP审计师协会。

在1976年，这个协会成立一项教育基金来开展大规模的研究工作，以拓展信息产业管理与控制领域的知识与价值。

今天，ISACA在全球有四万七千多名成员，他们的组成非常具有多元性。

这些成员在140多个国家内生活和工作，并涵盖众多专业信息技术的相关职业，比如信息系统审计师、顾问、教导员、信息系统安全专家、管理者、首席信息官和内部审计师等。

有些职业是本领域内新兴的，其他为中级管理人员，另外还有许多人担任最高级的职位。

他们几乎遍及所有行业，包括财政金融、公共会计、政府与公共部门、公用事业和制造业。

这种多元性使众多成员能够相互学习，并在许多专业问题上广泛交流彼此的观点。

该特点一直被认为是ISACA的强势之一。

ISACA的另一个强势就是它的分会网络。

ISACA 的分会遍布世界60 多个国家，可提供成员教育、资源共享、支持、专业网络，以及其他由当地分会提供的诸多利益。

在ISACA创立的三十年来，它已成为一个为信息管理、控制、安全和审计专业设定规范的全球性组织。

国际信息系统审计准那么国际会计师联合会(IFAC )下设的国际审计实务委员会(IAPC )对计算机信息系统环境下的审计的讨论较早，先后发布了一系列的相关准那么。

到目前为止公布了六个有关计算机信息系统环境下审计内容的国际审计准那么。

它们分别就单机、联槌口数据库系统下的电子数据处理环境对会计制度和有关内部掌握的讨论和评价产生的影响作出补充规定。

现将这几个准那么法律规范的内容作一汇总介绍。

第一，《信息系统环境下的审计》。

该准那么明确了在计算机信息系统环境下审计的目的与范围，技术与力量的要求，审计方案的考虑，内部掌握讨论、评价及风险评估的影响，制定与实施审计程序应关注的方面等。

该准那么只是为在计算机信息系统环境下的审计制定一般原那么和指导，其他五个准那么或实务公告均为该准那么的补充或扩展。

当在一个计算机信息系统环境下进行审计时，审计人员应对商定方案中的计算机硬件、软件和处理系统有充分的了解，并且要了解计算机信息系统对内部掌握的讨论与评价以及对审计程序有怎样的影响，包括计算机帮助审计技术。

审计人员还应对执行审计程序的计算机信息系统处理有足够的学问，这将视所采纳的具体的审计方法而定。

其次，《风险评估和内部掌握一计算机信息系统环境特征和考虑因素》。

该实务公告为第一项准那么的补充，该公告明确了计算机信息系统环境的特征，计算机信息系统环境下内部掌握的内容及评价方法。

审计人员应收集与审计方案有关的计算机信息系统环境的资料，包括计算机信息系统的功能状况以及计算机处理的集中或分布程度、使用的计算机硬件和软件、数据重置状况等。

审计人员在编制全面方案时，应考虑以下事项：在对内部掌握的全面评价中确定对计算机信息系统掌握的可信任程度；制定关于怎样、何处与何时检查计算机信息系统功能的方案；制定关于采用计算机帮助审计技术进行的审计程序方案。

第三，《计算机信息系统环境一独立微型计算机》。

该实务公告为第一项准那么的补充，该公告明确了微型计算机系统及其特征、在微型计算机环境下的内部掌握、彳微型计算机环境对审计程序的影响等。

课程名称：国际注册信息系统审计师（CISA）课程大纲：一、信息系统审计流程1、IT审计部门管理2、ISACA审计标准和指南3、风险分析4、内控5、如何一步一步执行IT审计6、SOX IT合规7、ISO20000与ISO27001标准8、控制自评估(如何在内部评估控制强弱和效果)9、IT审计的未来发展趋势二、IT管理和IT治理1、公司治理2、IT治理和COBIT 53、IT战略规划4、成熟度评估和流程改善5、IT投资组合管理和优化6、IT政策和IT流程7、风险管理流程8、HR管理、外包管理、组织变革、IT财务管理、质量管理、信息安全管理和执行优化9、组织架构模型10、IT治理的审计（Entity-level控制审计）11、业务连续性管理(BCM)12、业务连续性审计三、项目管理与信息系统需求、开发和实施1、收益实现技术2、项目管理(Prince2和PMBOK方法)3、系统开发生命周期4、常见的18类业务应用系统(如ERP、BI等)5、软件开发方法6、基础设施架构和采购方法7、信息系统维护8、应用系统控制（application controls）9、应用系统审计10、项目实施的过程审计四、信息系统运维1、IT运维流程2、硬件3、软件4、网络设备和架构5、IT运维审计(IT general control)6、灾备管理五、信息安全管理1、信息安全管理体系2、逻辑访问控制3、网络安全4、信息安全管理体系审计5、网络安全审计6、物理和环境安全7、常见安全攻防8、信息安全风险与审计实务课程周期：5天（6小时/天）柯普瑞企业IT学院课程日期：双休班、晚班、脱产班上课地点：南京市秦淮区中山东路300号长发中心A栋23楼。

信息系统审计Information system audit三颗巨星陨落：安然（2001.12.2）安达信（2002.8）世通（2001.7.21）1.低碳经济2.生物技术SPE：特殊目的实体（special purpose entity）金融工具，企业可借此在不增加资产负债表中的情况下融入资金。

对于SPE，美国会计准则规定，只要非关联方持有的权益值不低于SPE资产公允价值的3%，企业就可以不将其资产和负债人合并财务报表。

利润，其间收益，本期收入深口袋理论：任何看上去拥有经济财富的都可能受到起诉，不论其应当受到惩罚的程度如何。

第一章绪论1.1 引言ISA的发展ISA与其他学科的关系审计的相关概念企业信息化的利与弊我国信息化存在一些问题ISA必要性一、企业信息化的效率和成果近年来，企业对信息技术的投入逐年加大，信息化程度也越来越高。

促进了其经营管理水平的提高营造了管理创新氛围集中了管控能力提高了执行力加快了市场反应能力等带来意想不到的效率和成果二、给社会或企业带来的负面影响突发事件的影响：1993年纽约世界贸易大厦爆炸事件，使得当时入住的多数商业数据丧失，导致企业在这一年内的商务活动无法进行。

错误操作：不正确使用信息技术病毒：CIH（1998）匆匆上马：没有做投资风险评估成功率仅16%我国信息化存在的一些问题：规划制定不够科学项目管理不够严格监理机制不够健全系统运行效益不够明显结果：致使一部分信息化项目失败或未能实现与其目标原因之一：就其根源主要原因之一是信息化建设第三方监管机制的缺失和标准的不健全三、信息系统审计的必要性保证信息系统的可信度促进内控体系的规模建设信息系统审计已成为摆在企业管理人员案头迫切需要开展的工作结论：因此，迫切需要对正在使用或即将投产的信息系统的安全性、真实性、完整性、有效性进行验证，需要对信息系统进行审计。

1.2信息系统审计的发展一、国际信息系统审计的发展信息系统规模越大，功能越复杂，风险也就越大80年代美国且也信息系统的失效率达50%以上。

国际信息系统审计准则国际会计师联合会（IFAC）下设的国际审计实务委员会（IAPC）对计算机信息系统环境下的审计的研究较早，先后发布了一系列的相关准则。

到目前为止颁布了六个有关计算机信息系统环境下审计内容的国际审计准则。

它们分别就单机、联机和数据库系统下的电子数据处理环境对会计制度和有关内部控制的研究和评价产生的影响作出补充规定。

现将这几个准则规范的内容作一汇总介绍。

第一，《信息系统环境下的审计》。

该准则明确了在计算机信息系统环境下审计的目的与范围，技术与能力的要求，审计计划的考虑，内部控制研究、评价及风险评估的影响，制定与实施审计程序应关注的方面等。

该准则只是为在计算机信息系统环境下的审计制定一般原则和指导，其他五个准则或实务公告均为该准则的补充或扩展。

当在一个计算机信息系统环境下进行审计时，审计人员应当对约定计划中的计算机硬件、软件和处理系统有充分的了解，并且要了解计算机信息系统对内部控制的研究与评价以及对审计程序有怎样的影响，包括计算机辅助审计技术。

审计人员还应当对执行审计程序的计算机信息系统处理有足够的知识，这将视所采用的具体的审计方法而定。

第二，《风险评估和内部控制--计算机信息系统环境特征和考虑因素》。

该实务公告为第一项准则的补充，该公告明确了计算机信息系统环境的特征，计算机信息系统环境下内部控制的内容及评价方法。

审计人员应当收集与审计计划有关的计算机信息系统环境的资料，包括计算机信息系统的功能情况以及计算机处理的集中或分布程度、使用的计算机硬件和软件、数据重置情况等。

审计人员在编制全面计划时，应当考虑下列事项：在对内部控制的全面评价中确定对计算机信息系统控制的可信赖程度；制定关于怎样、何处与何时检查计算机信息系统功能的计划；制定关于利用计算机辅助审计技术进行的审计程序计划。

第三，《计算机信息系统环境--独立微型计算机》。

该实务公告为第一项准则的补充，该公告明确了微型计算机系统及其特征、在微型计算机环境下的内部控制、微型计算机环境对审计程序的影响等。

COBIT标准(2008-05-19 21:31:20)标签：杂谈目录• 什么是COBIT• COBIT的主要组件• COBIT对企业的作用• COBIT的优点• COBIT标准的应用原则什么是COBITCOBIT（Control Objectives for Information and related Technology）：即信息系统和技术控制目标。

成立于1969年的美国信息系统审计与控制协会(ISACA)，于1996推出了用于“IT审计”的知识体系COBIT。

“IT审计”已经成为众多国家的政府部门、企业对IT的计划与组织、采购与实施、服务提供与服务支持、监督与控制等进行全面考核与认可的业界标准。

相应地，“注册信息系统审计师”（CISA）日益成为世界各国发展信息化过程中，争相发展的新兴职业和领域。

作为IT治理的核心模型， COBIT包含34个信息技术过程控制，并归集为四个控制域：IT规划和组织（Planning and Organization）、系统获得和实施（Acquisition and Implementation）、交付与支持（Delivery and Support）以及信息系统运行性能监控（Monitoring）。

COBIT目前已成为国际上公认的IT管理与控制标准。

COBIT目前已成为国际上公认的IT管理与控制框架，已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效地利用信息资源，有效地管理与信息相关的风险。

COBIT的主要组件COBIT有6个组件：- Executive Summary- Management Guidelines- Framework- Control Objectives- Implemenation Toolset- Audit GuidelinesCOBIT对企业的作用COBIT型是企业战略目标和信息技术战略目标的桥梁，使得信息技术目标和企业战略目标之间实现互动。