isaca信息系統(tǒng)審計(jì)中文全本s9違規(guī)和非法行為

1、信息系統(tǒng)（IS）審計(jì)的專業(yè)性和進(jìn)行這類審計(jì)所需的技術(shù)，要求制定出專門適用于信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)。推進(jìn)全球適用的標(biāo)準(zhǔn)以實(shí)現(xiàn)這個(gè)目標(biāo)是信息系統(tǒng)審計(jì)與控制（ISACA）的標(biāo)準(zhǔn)的框架提供了多層次的指引：之一。信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)的發(fā)展和是 ISACA 為審計(jì)業(yè)界作出專業(yè)貢獻(xiàn)的基礎(chǔ)。信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)為信息系統(tǒng)審計(jì)和定義了強(qiáng)制性的要求。它們：根據(jù) ISACA 職業(yè)道德規(guī)范中關(guān)于職業(yè)責(zé)任的規(guī)定，信息系統(tǒng)審計(jì)師的執(zhí)行績效所應(yīng)達(dá)到的最低標(biāo)準(zhǔn)。管理層和其他利益執(zhí)業(yè)者在專業(yè)工作上的期待。認(rèn)證信息系統(tǒng)審計(jì)師（CISA）資格持有人的相關(guān)特定要求。CISA 資格持有人未能遵守上述標(biāo)準(zhǔn)的可能會(huì)導(dǎo)致 ISACA 董事會(huì)或相應(yīng)ISA

2、CA對(duì)其直至最終的紀(jì)律處分。指南為信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)的實(shí)施提供了指引。信息系統(tǒng)審計(jì)師在標(biāo)準(zhǔn)的實(shí)施程序中應(yīng)參考指南，同時(shí)作出職業(yè)判斷，對(duì)背離標(biāo)準(zhǔn)的做法應(yīng)隨時(shí)提供解釋。信息系統(tǒng)審計(jì)指南的目標(biāo)是為達(dá)到信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)提供進(jìn)一步信息。程序?yàn)樾畔⑾到y(tǒng)審計(jì)師提供審計(jì)項(xiàng)目中可以遵循的步驟范例。程序文件提供信息系統(tǒng)審計(jì)工作開展中如何達(dá)到相關(guān)標(biāo)準(zhǔn)的信息，但并非硬性規(guī)定。信息系統(tǒng)審計(jì)程序的目標(biāo)是為達(dá)到信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)提供進(jìn)一步信息。CobiT資源應(yīng)被當(dāng)作最佳操作實(shí)施指南的來源。CobiT 框架強(qiáng)調(diào)，“保護(hù)企業(yè)的所有資產(chǎn)是管理層的責(zé)任， 為履行這一責(zé)任以及實(shí)現(xiàn)企業(yè)的期望，管理層必須建立起一套完善的體系?！?CobiT

3、 為信息系統(tǒng)管理環(huán)境提供了詳細(xì)的和方法。基于特殊的 CobiT的材料。程序選擇和對(duì) CobiT 信息標(biāo)準(zhǔn)的考慮來選用與特定審計(jì)范圍最相關(guān)依 CobiT 框架中所定義，以下各項(xiàng)由 IT 管理程序進(jìn)行組織。CobiT 為商業(yè)及 IT 管理層以及信息系統(tǒng)審計(jì)師而計(jì)，所以它的運(yùn)用有助于商業(yè)目標(biāo)的理解，最佳操作實(shí)施的交流和圍繞已經(jīng)達(dá)成共識(shí)和廣受尊重的標(biāo)準(zhǔn)參考體系的意見的形成。COBIT包 括：目標(biāo)廣義上所需達(dá)到的最低限度良好之總括和詳述。 目標(biāo)的指南。實(shí)施目標(biāo)的實(shí)務(wù)原理和“如何實(shí)現(xiàn)”審計(jì)指南對(duì)于不同領(lǐng)域，如何理解和評(píng)估各種，考核的符合性和證實(shí)失控風(fēng)險(xiǎn)的指南。管理方針如何運(yùn)用成熟度模型，指標(biāo)和關(guān)鍵性成功等

4、方法來評(píng)估和提高 IT 程序執(zhí)行績效的指南。它們提供一種針對(duì)管理層的框架應(yīng)用于連續(xù)性和自發(fā)性的自我評(píng)估，特別專注于：需求效果如何？管理方針既可用于支持自我評(píng)估的專題研討，也可被管理層作為 IT 管治方案的一部績效衡量IT 功能支持分，用以支持持續(xù)監(jiān)督和程序改進(jìn)的推行。IT概況哪些 IT 程序是重要的？哪些是意識(shí)達(dá)不到目標(biāo)會(huì)有哪些風(fēng)險(xiǎn)？的關(guān)鍵性成功？基準(zhǔn)其他人做了什么？如何衡量和比較結(jié)果？管理方針提供了對(duì) IT 績效的范例指標(biāo)，可用于商業(yè)意義上對(duì) IT 執(zhí)行績效的評(píng)估。關(guān)鍵的目標(biāo)指標(biāo)可以識(shí)別并衡量 IT 程序的成果，同時(shí)關(guān)鍵的執(zhí)行績效指標(biāo)可以通過衡量程序的實(shí)現(xiàn)者來評(píng)估程序的執(zhí)行績效。透過成熟度模

5、型和成熟度屬性提供能力評(píng)估和基準(zhǔn)，幫助管理層衡量能力，找到差距并提出相應(yīng)改善策略。術(shù)語表可在 ISACA 的：ry 上查閱。審計(jì)和這兩個(gè)詞可以互換使用。免責(zé)根據(jù) ISACA 職業(yè)道德規(guī)范中對(duì)職業(yè)責(zé)任的規(guī)定，ISACA 設(shè)計(jì)本指南作為執(zhí)行績效所應(yīng)達(dá)到的最低標(biāo)準(zhǔn)。ISACA 并未使用此產(chǎn)品一定會(huì)出現(xiàn)成功的結(jié)果。本物不能被視作包括所有合適的程序和測試，也不能被視作排斥通過合理引導(dǎo)獲得同樣結(jié)果的其它程序和測試。在決定任何具體的程序或測試的合理性時(shí)，專業(yè)應(yīng)根據(jù)其自身的專業(yè)判斷來判別由特定系統(tǒng)或環(huán)境產(chǎn)生的特定條件。ISACA 標(biāo)準(zhǔn)管理致力于為信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)、指南和程序的制定作出廣泛的。 在發(fā)布任何文件之

6、前，標(biāo)準(zhǔn)管理向全球提供公開草案，供大眾評(píng)論。 標(biāo)準(zhǔn)管理也尋求相關(guān)領(lǐng)域的和相關(guān)對(duì)必要處提出意見。 標(biāo)準(zhǔn)管理現(xiàn)有研發(fā)計(jì)劃，歡迎ISACA 成員和其它相關(guān)任何新出現(xiàn)問題及其所需的新標(biāo)準(zhǔn)。 所有建議請電郵至(standardsisaca.)?；騻髡妫?1.847.253.1443）或?qū)懶牛ǖ刂吩谖募┪玻┲?ISACA 國際總部，收件人注明研究標(biāo)準(zhǔn)和學(xué)術(shù)關(guān)系。 本文于 2005 年 7 月 1 日頒布。信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和行為文件號(hào) S9和行為 S9引言 0102ISACA 標(biāo)準(zhǔn)和其它相關(guān)指南包含強(qiáng)制性的基本原則和重要程序（以粗體標(biāo)出）。此 ISACA 標(biāo)準(zhǔn)的是為信息系統(tǒng)審計(jì)師在審計(jì)過程中應(yīng)該考慮的和行

7、為建立及提供指南。標(biāo)準(zhǔn) 0304在計(jì)劃和執(zhí)行審計(jì)以將審計(jì)風(fēng)險(xiǎn)降至較低水平時(shí)，信息系統(tǒng)審計(jì)師應(yīng)考慮和行為的風(fēng)險(xiǎn)。信息系統(tǒng)審計(jì)師在審計(jì)過程中應(yīng)保持專業(yè)的懷疑態(tài)度，因和行為而產(chǎn)生錯(cuò)報(bào)的可能性，無論他/她怎樣對(duì)和行為的風(fēng)險(xiǎn)進(jìn)行評(píng)估。0506信息系統(tǒng)審計(jì)師應(yīng)了解被審計(jì)機(jī)構(gòu)及其環(huán)境，包括控制。信息系統(tǒng)審計(jì)師應(yīng)獲得充分且適當(dāng)?shù)膶徲?jì)，以確定被審計(jì)機(jī)構(gòu)管理層或其他人是否了解任何實(shí)際的、被懷疑的或被指稱的和行為。07在執(zhí)行審計(jì)程序以獲得對(duì)被審計(jì)機(jī)構(gòu)及其環(huán)境的了解時(shí)，信息系統(tǒng)審計(jì)師應(yīng)考慮不同尋?；蛘咭馔獾年P(guān)系，此類關(guān)系可能表明因違規(guī)和行為而產(chǎn)生錯(cuò)報(bào)的風(fēng)險(xiǎn)。0809信息系統(tǒng)審計(jì)師應(yīng)設(shè)計(jì)及執(zhí)行程序以測試控制是否適當(dāng)，以

8、及管理層凌駕于控制之上的風(fēng)險(xiǎn)。當(dāng)信息系統(tǒng)審計(jì)師發(fā)現(xiàn)錯(cuò)報(bào)時(shí)，信息系統(tǒng)審計(jì)師應(yīng)評(píng)估這種錯(cuò)報(bào)是否有和行為的跡象。如果有和行為的跡象，信息系統(tǒng)審計(jì)師應(yīng)考慮它對(duì)審計(jì)其他相關(guān)方面的影響，尤其是它對(duì)管理層陳述方面的影響。10信息系統(tǒng)審計(jì)師應(yīng)根據(jù)審計(jì)項(xiàng)目情況至少每年一次或者多次從管理層獲得陳述，以明確管理層：承認(rèn)有責(zé)任設(shè)計(jì)和執(zhí)行向信息系統(tǒng)審計(jì)師披露由于控制以防止和發(fā)現(xiàn)或行為或行為造成錯(cuò)報(bào)的風(fēng)險(xiǎn)進(jìn)行評(píng)估的結(jié)果向信息系統(tǒng)審計(jì)師披露所掌握的與以下方面相關(guān)的影響該機(jī)構(gòu)的和行為：管理層在控制中起著重要作用的員工向信息系統(tǒng)審計(jì)師披露所掌握的現(xiàn)有員工、離職員工、和其它人所傳遞的、影響該機(jī)構(gòu)的任何被指稱的或行為、或者是被懷疑

9、的如果信息系統(tǒng)審計(jì)師已經(jīng)確認(rèn)層次的管理層就這些問題如果信息系統(tǒng)審計(jì)師已經(jīng)確認(rèn)或行為?；?1行為，或者獲得或行為可能存在的信息，信息系統(tǒng)審計(jì)師應(yīng)及時(shí)與相應(yīng)。12或。行為涉及管理層或者是在控制中起著重要作用的員工，信息系統(tǒng)審計(jì)師應(yīng)及時(shí)與方面的就這些問題13信息系統(tǒng)審計(jì)師應(yīng)告知相應(yīng)的管理層和方面的行為。在控制的設(shè)計(jì)和執(zhí)行方面的薄弱環(huán)節(jié)，以防止及發(fā)現(xiàn)審計(jì)過程中將會(huì)引起信息系統(tǒng)審計(jì)師關(guān)注的和14如因的 者錯(cuò)報(bào)或行為而使信息系統(tǒng)審計(jì)師遇到影響其繼續(xù)執(zhí)行審計(jì)的能力的意外情況，信息系統(tǒng)審計(jì)師應(yīng)考慮這種情況下適用和職業(yè)責(zé)任，包括是否需要信息系統(tǒng)審計(jì)師向此項(xiàng)審計(jì)項(xiàng)目的簽約方進(jìn)行匯報(bào)或者在某些情況下向進(jìn)行匯報(bào)或者考

10、慮從審計(jì)業(yè)務(wù)中退出。方面的或15信息系統(tǒng)審計(jì)師應(yīng)有關(guān)已經(jīng)匯報(bào)給管理層、方面的、和其它人的與或行為相關(guān)的所有溝通內(nèi)容、計(jì)劃、結(jié)果、評(píng)估及結(jié)論。注釋 1617信息系統(tǒng)審計(jì)師應(yīng)參考信息系統(tǒng)審計(jì)指南 G19， 信息系統(tǒng)審計(jì)師應(yīng)獲得不存在因和行為產(chǎn)生和行為，了解或行為的定義。錯(cuò)報(bào)的合理保證。因?yàn)榕袛嗔Φ倪\(yùn)用，測試范圍以及控制的固有局限性這些因，信息系統(tǒng)審計(jì)師不能獲得保證。信息系統(tǒng)審計(jì)師在審計(jì)期間獲得的審計(jì)應(yīng)具有說服力而不是結(jié)論性的。18行為造成錯(cuò)報(bào)沒有被發(fā)現(xiàn)的的風(fēng)險(xiǎn)高于因或造成的錯(cuò)報(bào)沒有被發(fā)現(xiàn)的風(fēng)險(xiǎn)，因?yàn)樾袨榭赡苌婕半[藏或隱瞞重要事件或故意向信息系統(tǒng)審計(jì)師虛假陳述的用心。信息系統(tǒng)審計(jì)師對(duì)被審計(jì)機(jī)構(gòu)已有的

11、了解和經(jīng)驗(yàn)在審計(jì)過程中應(yīng)對(duì)其有所幫助。在質(zhì)詢和執(zhí)行審計(jì)程序過程中，不應(yīng)期望信息系統(tǒng)審計(jì)19師完全忽視已有的經(jīng)歷，但應(yīng)期望其保持一定的專業(yè)懷疑態(tài)度。信息系統(tǒng)審計(jì)師不應(yīng)基于對(duì)管理層及方面的具備誠信的信賴而滿足于不具說服力的審計(jì)并貫穿整個(gè)審計(jì)過程。信息系統(tǒng)審計(jì)師及審計(jì)組應(yīng)被審計(jì)機(jī)構(gòu)對(duì)和行為的易受害程度，作為計(jì)劃過程的一部分20對(duì)有關(guān)和行為存在的風(fēng)險(xiǎn)進(jìn)行評(píng)估，信息系統(tǒng)審計(jì)師應(yīng)考慮運(yùn)用：他/她對(duì)被審計(jì)機(jī)構(gòu)已有的了解和經(jīng)驗(yàn)（包括他/她對(duì)管理層和質(zhì)詢管理層過程中獲得的信息方面的在誠信方面的經(jīng)驗(yàn)）管理層陳述以及控制簽字認(rèn)可在審計(jì)過程中獲得的其它可靠信息管理層對(duì)和行為的風(fēng)險(xiǎn)評(píng)估，以及確認(rèn)和應(yīng)對(duì)這些風(fēng)險(xiǎn)的程序21

12、和行為的詳細(xì)信息，應(yīng)參考下列指南：信息系統(tǒng)審計(jì)指南 G5，審計(jì)章程COBIT 框架、控制目標(biāo) DS3、DS5、DS9、DS11 和 PO62002 年頒布的年頒布的反海外-奧克斯利法案(Sarbanes-Oxley)法實(shí)施日期所有信息系統(tǒng)審計(jì)業(yè)務(wù)均自年月 1 日起或之后實(shí)施此 ISACA 標(biāo)準(zhǔn)。第 2 頁信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和審計(jì)行為2005Information Systems Audit and Control Asso 3701 Algonquin Road, Suite 1010Rolling Meadows, IL 60008 USA： +1.847.253.1545傳真： +1.847

13、.253.1443電郵：standardsisaca：tion（信息系統(tǒng)審計(jì)與控制）信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和審計(jì)行為第 3 頁信息系統(tǒng)審計(jì)與2004-2005 年標(biāo)準(zhǔn)管理，Sergio Fleginsky, CISA ICI Pas，烏拉圭Svein Aldal Aldal Consulting，挪威John Beveridge, CISA, CISM, CFE, CGFM, CQA Office of the Massachusetts Se Auditor， Claudio Cilli, Ph.D., CISA, CISM, CISSP Tangerine Consulting，意大利Christina Ledesma, CISA, CISM CitibNA Sucursal，烏拉圭 Andrew MacLeod, CISA, FCPA, PCP Brisbane City Council，澳大利亞V. Meera, CISA, CISM, ACS, CWACorp