國際信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)(中文版)

信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)S1-審計(jì)章程導(dǎo)言01ISACA標(biāo)準(zhǔn)和其它相關(guān)指南包含強(qiáng)制性的基本原則和重要程序（以粗體標(biāo)出）。02制定信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)的目的是就審計(jì)章程在審計(jì)程序中的運(yùn)用制定和提供指南。標(biāo)準(zhǔn)03信息系統(tǒng)審計(jì)職能或信息系統(tǒng)審計(jì)任務(wù)的目的、責(zé)任、授權(quán)方和義務(wù)應(yīng)在審計(jì)章程或委托書中予以正確的登載。04審計(jì)章程或委托書應(yīng)在組織內(nèi)的適當(dāng)層次得到同意和通過。注釋05對于內(nèi)部信息系統(tǒng)審計(jì)職能，應(yīng)為所有進(jìn)行中的業(yè)務(wù)活動(dòng)制定一份審計(jì)章程。審計(jì)章程應(yīng)通過年度審查。如果責(zé)任發(fā)生變動(dòng)或變化，則應(yīng)縮短審查周期。內(nèi)部信息系統(tǒng)審計(jì)師可用委托書來進(jìn)一步澄清或確認(rèn)參與特定的審計(jì)或非審計(jì)任務(wù)。外部信息系統(tǒng)審計(jì)師參與每項(xiàng)審計(jì)或非審計(jì)任務(wù)通常應(yīng)當(dāng)準(zhǔn)備委托書。06審計(jì)章程或委托書應(yīng)足夠詳細(xì)以便能表達(dá)審計(jì)功能或?qū)徲?jì)任務(wù)的目的、責(zé)任和限制。07審計(jì)章程或委托書應(yīng)定期審查，以確保（審計(jì)的）目的和責(zé)任已經(jīng)記錄在案。08如需有關(guān)準(zhǔn)備審計(jì)章程或委托書進(jìn)一步的信息，應(yīng)參考下列指南：信息系統(tǒng)審計(jì)指南G5，審計(jì)章程COBIT框架，監(jiān)控目標(biāo)M4實(shí)施日期09此ISACA標(biāo)準(zhǔn)適用于所有信息系統(tǒng)的審計(jì)，于2005年1月1日起（之后）實(shí)施。信息系統(tǒng)（IS）審計(jì)的專業(yè)性和進(jìn)行這類審計(jì)所需的技術(shù)，要求制定出專門適用于信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)。推進(jìn)全球適用的標(biāo)準(zhǔn)以實(shí)現(xiàn)這個(gè)目標(biāo)是信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA?）的宗旨之一。信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)的發(fā)展和傳播是ISACA為審計(jì)業(yè)界作出專業(yè)貢獻(xiàn)的基礎(chǔ)。信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)的框架提供了多層次的指引：標(biāo)準(zhǔn)為信息系統(tǒng)審計(jì)和報(bào)告定義了強(qiáng)制性的要求。它們宣告：-根據(jù)ISACA職業(yè)道德規(guī)范中關(guān)于職業(yè)責(zé)任的規(guī)定，信息系統(tǒng)審計(jì)師的執(zhí)行績效所應(yīng)達(dá)到的最低標(biāo)準(zhǔn)。-管理層和其他利益方對執(zhí)業(yè)者在專業(yè)工作上的期待。-認(rèn)證信息系統(tǒng)審計(jì)師（CISA?）資格持有人的相關(guān)特定要求。CISA資格持有人未能遵守上述標(biāo)準(zhǔn)的可能會(huì)導(dǎo)致ISACA董事會(huì)或相應(yīng)ISACA委員會(huì)對其進(jìn)行調(diào)查直至最終的紀(jì)律處分。指南為信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)的實(shí)施提供了指引。信息系統(tǒng)審計(jì)師在標(biāo)準(zhǔn)的實(shí)施程序中應(yīng)參考指南，同時(shí)作出職業(yè)判斷，對背離標(biāo)準(zhǔn)的做法應(yīng)隨時(shí)提供解釋。信息系統(tǒng)審計(jì)指南的目標(biāo)是為達(dá)到信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)提供進(jìn)一步信息。程序?yàn)樾畔⑾到y(tǒng)審計(jì)師提供審計(jì)項(xiàng)目中可以遵循的步驟范例。程序文件提供信息系統(tǒng)審計(jì)工作開展中如何達(dá)到相關(guān)標(biāo)準(zhǔn)的信息，但并非硬性規(guī)定。信息系統(tǒng)審計(jì)程序的目標(biāo)是為達(dá)到信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)提供進(jìn)一步信息。COBIT?資源應(yīng)被當(dāng)作最佳操作實(shí)施指南的來源。COBIT框架強(qiáng)調(diào)，“保護(hù)企業(yè)的所有資產(chǎn)是管理層的責(zé)任，為履行這一責(zé)任以及實(shí)現(xiàn)企業(yè)的期望，管理層必須建立起一套完善的內(nèi)部監(jiān)控體系?！盋OBIT為信息系統(tǒng)管理環(huán)境提供了詳細(xì)的監(jiān)控和監(jiān)控方法?；谔厥獾腃OBIT信息技術(shù)程序選擇和對COBIT信息標(biāo)準(zhǔn)的考慮來選用與特定審計(jì)范圍最相關(guān)的材料。依COBIT框架中所定義，以下各項(xiàng)由IT管理程序進(jìn)行組織。COBIT為商業(yè)及IT管理層以及信息系統(tǒng)審計(jì)師而計(jì)，所以它的運(yùn)用有助于商業(yè)目標(biāo)的理解，最佳操作實(shí)施的交流和圍繞已經(jīng)達(dá)成共識和廣受尊重的標(biāo)準(zhǔn)參考體系的意見的形成。COBIT包括：監(jiān)控目標(biāo)一廣義上所需達(dá)到的最低限度良好監(jiān)控之總括和詳述。監(jiān)控實(shí)施一監(jiān)控目標(biāo)的實(shí)務(wù)原理和“如何實(shí)現(xiàn)”監(jiān)控目標(biāo)的指南。審計(jì)指南一對于不同監(jiān)控領(lǐng)域，如何理解和評估各種監(jiān)控，考核監(jiān)控的符合性和證實(shí)失控風(fēng)險(xiǎn)的指南。管理方針一如何運(yùn)用成熟度模型，指標(biāo)和關(guān)鍵性成功因素等方法來評估和提高IT程序執(zhí)行績效的指南。它們提供一種針對管理層的框架應(yīng)用于連續(xù)性和自發(fā)性的監(jiān)控自我評估，特別專注于：-績效衡量一IT功能支持商用需求效果如何？管理方針既可用于支持自我評估的專題研討,也可被管理層作為IT管治方案的一部分，用以支持持續(xù)監(jiān)督和程序改進(jìn)的推行。-IT監(jiān)控概況一哪些IT程序是重要的？哪些是監(jiān)控的關(guān)鍵性成功因素？-監(jiān)控意識一達(dá)不到目標(biāo)會(huì)有哪些風(fēng)險(xiǎn)？-監(jiān)控基準(zhǔn)一其他人做了什么？如何衡量和比較結(jié)果？管理方針提供了對IT績效的范例指標(biāo)，可用于商業(yè)意義上對IT執(zhí)行績效的評估。關(guān)鍵的目標(biāo)指標(biāo)可以識別并衡量IT程序的成果，同時(shí)關(guān)鍵的執(zhí)行績效指標(biāo)可以通過衡量程序的實(shí)現(xiàn)者來評估程序的執(zhí)行績效。透過成熟度模型和成熟度屬性提供能力評估和基準(zhǔn)，幫助管理層衡量監(jiān)控能力，找到差距并提出相應(yīng)改善策略。術(shù)語表可在ISACA的網(wǎng)站：/glossary上查閱。審計(jì)和審查這兩個(gè)詞可以互換使用。免責(zé)聲明根據(jù)ISACA職業(yè)道德規(guī)范中對職業(yè)責(zé)任的規(guī)定,ISACA設(shè)計(jì)本指南作為執(zhí)行績效所應(yīng)達(dá)到的最低標(biāo)準(zhǔn)。ISACA并未聲明使用此產(chǎn)品一定會(huì)出現(xiàn)成功的結(jié)果。本出版物不能被視作包括所有合適的程序和測試，也不能被視作排斥通過合理引導(dǎo)獲得同樣結(jié)果的其它程序和測試。在決定任何具體的程序或測試的合理性時(shí)，監(jiān)控專業(yè)人士應(yīng)根據(jù)其自身的專業(yè)判斷來判別由特定系統(tǒng)或信息技術(shù)環(huán)境產(chǎn)生的特定監(jiān)控條件。ISACA標(biāo)準(zhǔn)管理委員會(huì)致力于為信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)、指南和程序的制定作出廣泛的咨詢。在發(fā)布任何文件之前，標(biāo)準(zhǔn)管理委員會(huì)向全球提供公開草案，供大眾評論。標(biāo)準(zhǔn)管理委員會(huì)也尋求相關(guān)領(lǐng)域的專家和相關(guān)人士對必要處提出咨詢意見。標(biāo)準(zhǔn)管理委員會(huì)現(xiàn)有研發(fā)計(jì)劃，歡迎ISACA成員和其它相關(guān)人士報(bào)告任何新出現(xiàn)問題及其所需的新標(biāo)準(zhǔn)。所有建議請電郵至()?；騻髡?+1.847.253.1443)或?qū)懶?地址在文件末尾)至［SACA國際總部，收件人注明研究標(biāo)準(zhǔn)和學(xué)術(shù)關(guān)系主任。本材料于2004年10月15日頒布。S2-審計(jì)獨(dú)立性引言01ISACA標(biāo)準(zhǔn)和其它相關(guān)指南包含強(qiáng)制性的基本原則和重要程序(以粗體標(biāo)出)。02制定信息審計(jì)標(biāo)準(zhǔn)的目的是為審計(jì)程序中的獨(dú)立性確立相應(yīng)的標(biāo)準(zhǔn)和指南。標(biāo)準(zhǔn)03職業(yè)獨(dú)立性對于所有與審計(jì)相關(guān)的事務(wù)，信息系統(tǒng)審計(jì)師應(yīng)當(dāng)在態(tài)度和形式上獨(dú)立于被審計(jì)單位。04組織獨(dú)立性信息審計(jì)職能應(yīng)當(dāng)獨(dú)立于受審查的范圍或活動(dòng)之外，以確保審計(jì)工作完成的客觀性。注釋05審計(jì)章程或委托書中應(yīng)當(dāng)針對審計(jì)職能的獨(dú)立性和義務(wù)做出相應(yīng)的規(guī)定。06信息系統(tǒng)審計(jì)師應(yīng)該在審計(jì)過程中隨時(shí)保持態(tài)度和形式上的獨(dú)立性。07如出現(xiàn)獨(dú)立性受損的現(xiàn)象，無論是在實(shí)質(zhì)上還是在形式上，應(yīng)向有關(guān)當(dāng)事人披露獨(dú)立性受損的細(xì)節(jié)。08信息系統(tǒng)審計(jì)師應(yīng)當(dāng)在組織上獨(dú)立于被審計(jì)的范圍。09信息系統(tǒng)審計(jì)師、管理層和審計(jì)委員會(huì)（如果設(shè)立）應(yīng)當(dāng)定期對獨(dú)立性進(jìn)行評估。10除非被其他職業(yè)標(biāo)準(zhǔn)或管理機(jī)構(gòu)所禁止，當(dāng)信息系統(tǒng)審計(jì)師雖然參與信息系統(tǒng)項(xiàng)目，但是擔(dān)當(dāng)?shù)牟⒉皇菍徲?jì)角色的時(shí)候，則并不要求信息系統(tǒng)審計(jì)師保持獨(dú)立性，或者在形式上表現(xiàn)出獨(dú)立性。11如需獲得關(guān)于職業(yè)或組織獨(dú)立性的進(jìn)一步信息，請參考以下指南：信息系統(tǒng)審計(jì)指南G17,非審計(jì)角色對信息系統(tǒng)審計(jì)師獨(dú)立性的影響信息系統(tǒng)審計(jì)指南G12，組織關(guān)系和獨(dú)立性COBIT框架，監(jiān)控目標(biāo)M4實(shí)施日期12此ISACA標(biāo)準(zhǔn)適用于所有信息系統(tǒng)的審計(jì)工作，于2005年1月1日起實(shí)施。信息系統(tǒng)審計(jì)與控制協(xié)會(huì)2004-2005年標(biāo)準(zhǔn)管理委員會(huì)Chair,SergioFleginsky,CISAPricewaterhouseCoopers,UruguaySveinAldalAldalConsulting,NorwayJohnBeveridge,CISA,CISM,CFE,CGFM,CQAOfficeoftheMassachusettsStateAuditor,USAClaudioCilli,Ph.D.,CISA,CISM,CIA,CISSPValuePartners,ItalyChristinaLedesma,CISA,CISMCitibankNASucursal,UruguayAndrewMacLeod,CISA,CIA,FCPA,MACS,PCPBrisbaneCityCouncil,AustraliaV.Meera,CISA,CISM,ACS,CISSP,CWAMicrosoftCorporation,USARaviMuthukrishnan,CISA,CISM,FCA,ISCANextLinxIndiaPrivateLtd.,IndiaPeterNiblett,CISA,CISM,CA,CIA,FCPAWHKDayNeilson,AustraliaJohnG.Ott,CISA,CPAAetnaInc.,USAThomasThompson,CISAErnst&Young,UAE?Copyright2004InformationSystemsAuditandControlAssociation3701AlgonquinRoad,Suite1010RollingMeadows,IL60008USA電話：+1.847.253.1545傳真：+1.847.253.1443E-mail:網(wǎng)站：信息系統(tǒng)（IS）審計(jì)的專業(yè)性和進(jìn)行這類審計(jì)所需的技術(shù)，要求制定出專門適用于信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)。推進(jìn)全球適用的標(biāo)準(zhǔn)以實(shí)現(xiàn)這個(gè)目標(biāo)是信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA?）的宗旨之一。信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)的發(fā)展和傳播是ISACA為審計(jì)業(yè)界作出專業(yè)貢獻(xiàn)的基礎(chǔ)。信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)的框架提供了多層次的指引：標(biāo)準(zhǔn)為信息系統(tǒng)審計(jì)和報(bào)告定義了強(qiáng)制性的要求。它們宣告：-根據(jù)ISACA職業(yè)道德規(guī)范中關(guān)于職業(yè)責(zé)任的規(guī)定，信息系統(tǒng)審計(jì)師的執(zhí)行績效所應(yīng)達(dá)到的最低標(biāo)準(zhǔn)。-管理層和其他利益方對執(zhí)業(yè)者在專業(yè)工作上的期待。-認(rèn)證信息系統(tǒng)審計(jì)師（CISA?）資格持有人的相關(guān)特定要求。CISA資格持有人未能遵守上述標(biāo)準(zhǔn)的可能會(huì)導(dǎo)致ISACA董事會(huì)或相應(yīng)ISACA委員會(huì)對其進(jìn)行調(diào)查直至最終的紀(jì)律處分。指南為信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)的實(shí)施提供了指引。信息系統(tǒng)審計(jì)師在標(biāo)準(zhǔn)的實(shí)施程序中應(yīng)參考指南，同時(shí)作出職業(yè)判斷，對背離標(biāo)準(zhǔn)的做法應(yīng)隨時(shí)提供解釋。信息系統(tǒng)審計(jì)指南的目標(biāo)是為達(dá)到信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)提供進(jìn)一步信息。程序?yàn)樾畔⑾到y(tǒng)審計(jì)師提供審計(jì)項(xiàng)目中可以遵循的步驟范例。程序文件提供信息系統(tǒng)審計(jì)工作開展中如何達(dá)到相關(guān)標(biāo)準(zhǔn)的信息，但并非硬性規(guī)定。信息系統(tǒng)審計(jì)程序的目標(biāo)是為達(dá)到信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)提供進(jìn)一步信息。COBIT?資源應(yīng)被當(dāng)作最佳操作實(shí)施指南的來源。COBIT框架強(qiáng)調(diào)，“保護(hù)企業(yè)的所有資產(chǎn)是管理層的責(zé)任，為履行這一責(zé)任以及實(shí)現(xiàn)企業(yè)的期望，管理層必須建立起一套完善的內(nèi)部監(jiān)控體系?！盋OBIT為信息系統(tǒng)管理環(huán)境提供了詳細(xì)的監(jiān)控和監(jiān)控方法。基于特殊的COBIT信息技術(shù)程序選擇和對COBIT信息標(biāo)準(zhǔn)的考慮來選用與特定審計(jì)范圍最相關(guān)的材料。依COBIT框架中所定義，以下各項(xiàng)由IT管理程序進(jìn)行組織。COBIT為商業(yè)及IT管理層以及信息系統(tǒng)審計(jì)師而計(jì)，所以它的運(yùn)用有助于商業(yè)目標(biāo)的理解，最佳操作實(shí)施的交流和圍繞已經(jīng)達(dá)成共識和廣受尊重的標(biāo)準(zhǔn)參考體系的意見的形成。COBIT包括：監(jiān)控目標(biāo)一廣義上所需達(dá)到的最低限度良好監(jiān)控之總括和詳述。監(jiān)控實(shí)施一監(jiān)控目標(biāo)的實(shí)務(wù)原理和“如何實(shí)現(xiàn)”監(jiān)控目標(biāo)的指南。審計(jì)指南一對于不同監(jiān)控領(lǐng)域，如何理解和評估各種監(jiān)控，考核監(jiān)控的符合性和證實(shí)失控風(fēng)險(xiǎn)的指南。管理方針一如何運(yùn)用成熟度模型，指標(biāo)和關(guān)鍵性成功因素等方法來評估和提高IT程序執(zhí)行績效的指南。它們提供一種針對管理層的框架應(yīng)用于連續(xù)性和自發(fā)性的監(jiān)控自我評估，特別專注于：-績效衡量一IT功能支持商用需求效果如何？管理方針既可用于支持自我評估的專題研討,也可被管理層作為IT管治方案的一部分，用以支持持續(xù)監(jiān)督和程序改進(jìn)的推行。-IT監(jiān)控概況一哪些IT程序是重要的？哪些是監(jiān)控的關(guān)鍵性成功因素？-監(jiān)控意識一達(dá)不到目標(biāo)會(huì)有哪些風(fēng)險(xiǎn)？-監(jiān)控基準(zhǔn)一其他人做了什么？如何衡量和比較結(jié)果？管理方針提供了對IT績效的范例指標(biāo)，可用于商業(yè)意義上對IT執(zhí)行績效的評估。關(guān)鍵的目標(biāo)指標(biāo)可以識別并衡量IT程序的成果，同時(shí)關(guān)鍵的執(zhí)行績效指標(biāo)可以通過衡量程序的實(shí)現(xiàn)者來評估程序的執(zhí)行績效。透過成熟度模型和成熟度屬性提供能力評估和基準(zhǔn)，幫助管理層衡量監(jiān)控能力，找到差距并提出相應(yīng)改善策略。術(shù)語表可在ISACA的網(wǎng)站：/glossary上查閱。審計(jì)和審查這兩個(gè)詞可以互換使用。免責(zé)聲明根據(jù)ISACA職業(yè)道德規(guī)范中對職業(yè)責(zé)任的規(guī)定,ISACA設(shè)計(jì)本指南作為執(zhí)行績效所應(yīng)達(dá)到的最低標(biāo)準(zhǔn)°ISACA并未聲明使用此產(chǎn)品一定會(huì)出現(xiàn)成功的結(jié)果。本出版物不能被視作包括所有合適的程序和測試，也不能被視作排斥通過合理引導(dǎo)獲得同樣結(jié)果的其它程序和測試。在決定任何具體的程序或測試的合理性時(shí)，監(jiān)控專業(yè)人士應(yīng)根據(jù)其自身的專業(yè)判斷來判別由特定系統(tǒng)或信息技術(shù)環(huán)境產(chǎn)生的特定監(jiān)控條件。ISACA標(biāo)準(zhǔn)管理委員會(huì)致力于為信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)、指南和程序的制定作出廣泛的咨詢。在發(fā)布任何文件之前，標(biāo)準(zhǔn)管理委員會(huì)向全球提供公開草案，供大眾評論。標(biāo)準(zhǔn)管理委員會(huì)也尋求相關(guān)領(lǐng)域的專家和相關(guān)人士對必要處提出咨詢意見。標(biāo)準(zhǔn)管理委員會(huì)現(xiàn)有研發(fā)計(jì)劃，歡迎ISACA成員和其它相關(guān)人士報(bào)告任何新出現(xiàn)問題及其所需的新標(biāo)準(zhǔn)。所有建議請電郵至()?；騻髡?+1.847.253.1443)或?qū)懶?地址在文件末尾)至［SACA國際總部，收件人注明研究標(biāo)準(zhǔn)和學(xué)術(shù)關(guān)系主任。本材料于2004年10月15日頒布。信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)職業(yè)道德和標(biāo)準(zhǔn)文件號S3第2頁：職業(yè)道德和標(biāo)準(zhǔn)信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)職業(yè)道德和標(biāo)準(zhǔn)S3引言01ISACA標(biāo)準(zhǔn)和其它相關(guān)指南包含強(qiáng)制性的基本原則和重要程序(以粗體標(biāo)出)。02制定信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)的目的是為信息系統(tǒng)審計(jì)師確立標(biāo)準(zhǔn)并提供指南，以使信息系統(tǒng)審計(jì)師遵守ISACA職業(yè)道德規(guī)范，正確履行審計(jì)職責(zé)。標(biāo)準(zhǔn)03信息系統(tǒng)審計(jì)師應(yīng)當(dāng)遵守ISACA職業(yè)道德規(guī)范的要求。04信息系統(tǒng)審計(jì)師應(yīng)當(dāng)正確履行審計(jì)職責(zé)，其中包括遵守相應(yīng)的職業(yè)審計(jì)標(biāo)準(zhǔn)。注釋05由ISACA所發(fā)布的職業(yè)道德規(guī)范將會(huì)被不定期地修訂，以保證與審計(jì)行業(yè)中最新出現(xiàn)的趨勢和要求的一致性°ISACA的成員及信息系統(tǒng)審計(jì)師應(yīng)當(dāng)與最新的職業(yè)道德規(guī)范保持一致，并且在以信息審計(jì)師身份擔(dān)任審計(jì)職責(zé)時(shí)遵照執(zhí)行。06由ISACA所發(fā)布的信息審計(jì)標(biāo)準(zhǔn)會(huì)被定期審查，以不斷改進(jìn)，并且會(huì)隨著審計(jì)行業(yè)中不斷出現(xiàn)的挑戰(zhàn)做出必要的修訂。ISACA的成員及信息系統(tǒng)審計(jì)師應(yīng)當(dāng)了解最新適用的信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)，并且在執(zhí)行審計(jì)任務(wù)過程中正確地履行審計(jì)職責(zé)。07如果未能遵守ISACA職業(yè)道德規(guī)范以及/或者信息審計(jì)標(biāo)準(zhǔn)，相關(guān)ISACA成員或CISA持有人就會(huì)受到操行方面的調(diào)查，最終還會(huì)受到紀(jì)律處分。08ISACA的成員及信息系統(tǒng)審計(jì)師應(yīng)當(dāng)與他們同工作組的成員進(jìn)行溝通，確保各工作組在執(zhí)行審計(jì)任務(wù)的過程中，遵守職業(yè)道德規(guī)范和適用的信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)。09信息系統(tǒng)審計(jì)師在承擔(dān)審計(jì)任務(wù)中，應(yīng)該按照適用的職業(yè)道德規(guī)范和信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)，妥善處理所有的利益關(guān)系。如果無法完全遵守或在形式上無法完全遵守職業(yè)道德規(guī)范和信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)，信息系統(tǒng)審計(jì)師應(yīng)該考慮退出所從事的審計(jì)項(xiàng)目。信息系統(tǒng)審計(jì)師應(yīng)當(dāng)保持最高度的誠實(shí)和正直，在爭取和執(zhí)行審計(jì)任務(wù)的過程中，不得采取任何可能被看作非法的、不道德的或非專業(yè)的方法。如需獲得關(guān)于職業(yè)道德和標(biāo)準(zhǔn)的進(jìn)一步信息，請參考以下指南：信息系統(tǒng)審計(jì)指南G19,不規(guī)范和非法審計(jì)行為信息系統(tǒng)審計(jì)指南G7,正當(dāng)?shù)穆殬I(yè)行為信息系統(tǒng)審計(jì)指南G12,組織關(guān)系和獨(dú)立性COBIT框架，監(jiān)控目標(biāo)M4實(shí)施日期此信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)適用于所有信息系統(tǒng)的審計(jì)工作,于2005年1月1日起實(shí)施。信息系統(tǒng)審計(jì)與控制協(xié)會(huì)2004-2005年標(biāo)準(zhǔn)管理委員會(huì)Chair,SergioFleginsky,CISAPricewaterhouseCoopers,UruguaySveinAldalAldalConsulting,NorwayJohnBeveridge,CISA,CISM,CFE,CGFM,CQAOfficeoftheMassachusettsStateAuditor,USAClaudioCilli,Ph.D.,CISA,CISM,CIA,CISSPValuePartners,ItalyChristinaLedesma,CISA,CISMCitibankNASucursal,UruguayAndrewMacLeod,CISA,CIA,FCPA,MACS,PCPBrisbaneCityCouncil,AustraliaV.Meera,CISA,CISM,ACS,CISSP,CWAMicrosoftCorporation,USARaviMuthukrishnan,CISA,CISM,FCA,ISCANextLinxIndiaPrivateLtd.,IndiaPeterNiblett,CISA,CISM,CA,CIA,FCPAWHKDayNeilson,AustraliaJohnG.Ott,CISA,CPAAetnaInc.,USAThomasThompson,CISAErnst&Young,UAE?Copyright2004InformationSystemsAuditandControlAssociation3701AlgonquinRoad,Suite1010RollingMeadows,IL60008USA電話：+1.847.253.1545傳真：+1.847.253.1443E-mail:網(wǎng)站：www.isaca.or_信息系統(tǒng)（IS）審計(jì)的專業(yè)性和進(jìn)行這類審計(jì)所需的技術(shù)，要求制定出專門適用于信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)。推進(jìn)全球適用的標(biāo)準(zhǔn)以實(shí)現(xiàn)這個(gè)目標(biāo)是信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA?）的宗旨之一。信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)的發(fā)展和傳播是ISACA為審計(jì)業(yè)界作出專業(yè)貢獻(xiàn)的基礎(chǔ)。信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)的框架提供了多層次的指引：標(biāo)準(zhǔn)為信息系統(tǒng)審計(jì)和報(bào)告定義了強(qiáng)制性的要求。它們宣告：-根據(jù)ISACA職業(yè)道德規(guī)范中關(guān)于職業(yè)責(zé)任的規(guī)定，信息系統(tǒng)審計(jì)師的執(zhí)行績效所應(yīng)達(dá)到的最低標(biāo)準(zhǔn)。-管理層和其他利益方對執(zhí)業(yè)者在專業(yè)工作上的期待。-認(rèn)證信息系統(tǒng)審計(jì)師（CISA?）資格持有人的相關(guān)特定要求。CISA資格持有人未能遵守上述標(biāo)準(zhǔn)的可能會(huì)導(dǎo)致ISACA董事會(huì)或相應(yīng)ISACA委員會(huì)對其進(jìn)行調(diào)查直至最終的紀(jì)律處分。指南為信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)的實(shí)施提供了指引。信息系統(tǒng)審計(jì)師在標(biāo)準(zhǔn)的實(shí)施程序中應(yīng)參考指南，同時(shí)作出職業(yè)判斷，對背離標(biāo)準(zhǔn)的做法應(yīng)隨時(shí)提供解釋。信息系統(tǒng)審計(jì)指南的目標(biāo)是為達(dá)到信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)提供進(jìn)一步信息。程序?yàn)樾畔⑾到y(tǒng)審計(jì)師提供審計(jì)項(xiàng)目中可以遵循的步驟范例。程序文件提供信息系統(tǒng)審計(jì)工作開展中如何達(dá)到相關(guān)標(biāo)準(zhǔn)的信息，但并非硬性規(guī)定。信息系統(tǒng)審計(jì)程序的目標(biāo)是為達(dá)到信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)提供進(jìn)一步信息。COBIT?資源應(yīng)被當(dāng)作最佳操作實(shí)施指南的來源。COBIT框架強(qiáng)調(diào)，“保護(hù)企業(yè)的所有資產(chǎn)是管理層的責(zé)任，為履行這一責(zé)任以及實(shí)現(xiàn)企業(yè)的期望，管理層必須建立起一套完善的內(nèi)部監(jiān)控體系。”COBIT為信息系統(tǒng)管理環(huán)境提供了詳細(xì)的監(jiān)控和監(jiān)控方法。基于特殊的COBIT信息技術(shù)程序選擇和對COBIT信息標(biāo)準(zhǔn)的考慮來選用與特定審計(jì)范圍最相關(guān)的材料。依COBIT框架中所定義，以下各項(xiàng)由IT管理程序進(jìn)行組織。COBIT為商業(yè)及IT管理層以及信息系統(tǒng)審計(jì)師而計(jì)，所以它的運(yùn)用有助于商業(yè)目標(biāo)的理解，最佳操作實(shí)施的交流和圍繞已經(jīng)達(dá)成共識和廣受尊重的標(biāo)準(zhǔn)參考體系的意見的形成。COBIT包括：監(jiān)控目標(biāo)一廣義上所需達(dá)到的最低限度良好監(jiān)控之總括和詳述。監(jiān)控實(shí)施一監(jiān)控目標(biāo)的實(shí)務(wù)原理和“如何實(shí)現(xiàn)”監(jiān)控目標(biāo)的指南。審計(jì)指南一對于不同監(jiān)控領(lǐng)域，如何理解和評估各種監(jiān)控，考核監(jiān)控的符合性和證實(shí)失控風(fēng)險(xiǎn)的指南。管理方針一如何運(yùn)用成熟度模型，指標(biāo)和關(guān)鍵性成功因素等方法來評估和提高IT程序執(zhí)行績效的指南。它們提供一種針對管理層的框架應(yīng)用于連續(xù)性和自發(fā)性的監(jiān)控自我評估，特別專注于：-績效衡量一IT功能支持商用需求效果如何？管理方針既可用于支持自我評估的專題研討,也可被管理層作為IT管治方案的一部分，用以支持持續(xù)監(jiān)督和程序改進(jìn)的推行。-IT監(jiān)控概況一哪些IT程序是重要的？哪些是監(jiān)控的關(guān)鍵性成功因素？-監(jiān)控意識一達(dá)不到目標(biāo)會(huì)有哪些風(fēng)險(xiǎn)？-監(jiān)控基準(zhǔn)一其他人做了什么？如何衡量和比較結(jié)果？管理方針提供了對IT績效的范例指標(biāo)，可用于商業(yè)意義上對IT執(zhí)行績效的評估。關(guān)鍵的目標(biāo)指標(biāo)可以識別并衡量IT程序的成果，同時(shí)關(guān)鍵的執(zhí)行績效指標(biāo)可以通過衡量程序的實(shí)現(xiàn)者來評估程序的執(zhí)行績效。透過成熟度模型和成熟度屬性提供能力評估和基準(zhǔn)，幫助管理層衡量監(jiān)控能力，找到差距并提出相應(yīng)改善策略。術(shù)語表可在ISACA的網(wǎng)站：/glossary上查閱。審計(jì)和審查這兩個(gè)詞可以互換使用。免責(zé)聲明根據(jù)ISACA職業(yè)道德規(guī)范中對職業(yè)責(zé)任的規(guī)定,ISACA設(shè)計(jì)本指南作為執(zhí)行績效所應(yīng)達(dá)到的最低標(biāo)準(zhǔn)。ISACA并未聲明使用此產(chǎn)品一定會(huì)出現(xiàn)成功的結(jié)果。本出版物不能被視作包括所有合適的程序和測試，也不能被視作排斥通過合理引導(dǎo)獲得同樣結(jié)果的其它程序和測試。在決定任何具體的程序或測試的合理性時(shí)，監(jiān)控專業(yè)人士應(yīng)根據(jù)其自身的專業(yè)判斷來判別由特定系統(tǒng)或信息技術(shù)環(huán)境產(chǎn)生的特定監(jiān)控條件。ISACA標(biāo)準(zhǔn)管理委員會(huì)致力于為信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)、指南和程序的制定作出廣泛的咨詢。在發(fā)布任何文件之前，標(biāo)準(zhǔn)管理委員會(huì)向全球提供公開草案，供大眾評論。標(biāo)準(zhǔn)管理委員會(huì)也尋求相關(guān)領(lǐng)域的專家和相關(guān)人士對必要處提出咨詢意見。標(biāo)準(zhǔn)管理委員會(huì)現(xiàn)有研發(fā)計(jì)劃，歡迎ISACA成員和其它相關(guān)人士報(bào)告任何新出現(xiàn)問題及其所需的新標(biāo)準(zhǔn)。所有建議請電郵至（）?；騻髡妫?1.847.253.1443）或?qū)懶牛ǖ刂吩谖募┪玻┲粒跾ACA國際總部，收件人注明研究標(biāo)準(zhǔn)和學(xué)術(shù)關(guān)系主任。本材料于2004年10月15日頒布。信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)職業(yè)能力文件號S4第2頁：職業(yè)能力信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)職業(yè)能力S4引言01ISACA信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和其它相關(guān)指南包含強(qiáng)制性的基本原則和重要程序（以粗體標(biāo)出）。02制定信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)的目的是為信息系統(tǒng)審計(jì)師確立和提供指南，以使他們按要求達(dá)到并保持職業(yè)能力。標(biāo)準(zhǔn)03信息系統(tǒng)審計(jì)師應(yīng)該有合格的職業(yè)能力，具備進(jìn)行審計(jì)工作的相應(yīng)知識和技能。04信息系統(tǒng)審計(jì)師應(yīng)該通過持續(xù)的職業(yè)教育和培訓(xùn)保持良好的職業(yè)能力。注釋05信息系統(tǒng)審計(jì)師必須合理保證在開始某個(gè)項(xiàng)目前具備良好的職業(yè)能力（包括與所計(jì)劃的任務(wù)相關(guān)的專業(yè)技能、專業(yè)知識和工作經(jīng)驗(yàn)）。不具備的信息系統(tǒng)審計(jì)師，則應(yīng)拒絕或退出相關(guān)項(xiàng)目。06如果具備CISA認(rèn)證或其他審計(jì)相關(guān)職業(yè)資格，信息系統(tǒng)審計(jì)師必須符合持續(xù)職業(yè)教育或其他的職業(yè)發(fā)展要求°ISACA的成員如不具有CISA認(rèn)證證書或其他的審計(jì)相關(guān)特定職業(yè)資格，在其從事信息系統(tǒng)審計(jì)相關(guān)工作時(shí)，必須經(jīng)過足夠的正規(guī)教育、培訓(xùn)和工作經(jīng)驗(yàn)。07當(dāng)領(lǐng)導(dǎo)一個(gè)審計(jì)組從事某項(xiàng)審計(jì)項(xiàng)目時(shí)，信息系統(tǒng)審計(jì)師必須合理保證審計(jì)組中的每個(gè)人員都具備完成該審計(jì)項(xiàng)目相應(yīng)的職業(yè)能力水平。08如需獲得關(guān)于職業(yè)能力的進(jìn)一步信息，請參考以下指南：CISA認(rèn)證和培訓(xùn)材料CISA持續(xù)認(rèn)證和教育要求COBIT框架，監(jiān)控目標(biāo)M2、M3、及M4實(shí)施日期09此信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)適用于所有信息系統(tǒng)的審計(jì)工作，于2005年1月1日起實(shí)施。信息系統(tǒng)審計(jì)與控制協(xié)會(huì)2004-2005年標(biāo)準(zhǔn)管理委員會(huì)Chair,SergioFleginsky,CISAPricewaterhouseCoopers,UruguaySveinAldalAldalConsulting,NorwayJohnBeveridge,CISA,CISM,CFE,CGFM,CQAOfficeoftheMassachusettsStateAuditor,USAClaudioCilli,Ph.D.,CISA,CISM,CIA,CISSPValuePartners,ItalyChristinaLedesma,CISA,CISMCitibankNASucursal,UruguayAndrewMacLeod,CISA,CIA,FCPA,MACS,PCPBrisbaneCityCouncil,AustraliaV.Meera,CISA,CISM,ACS,CISSP,CWAMicrosoftCorporation,USARaviMuthukrishnan,CISA,CISM,FCA,ISCANextLinxIndiaPrivateLtd.,IndiaPeterNiblett,CISA,CISM,CA,CIA,FCPAWHKDayNeilson,AustraliaJohnG.Ott,CISA,CPAAetnaInc.,USAThomasThompson,CISAErnst&Young,UAE?Copyright2004InformationSystemsAuditandControlAssociation3701AlgonquinRoad,Suite1010RollingMeadows,IL60008USA電話：+1.847.253.1545傳真：+1.847.253.1443E-mail:網(wǎng)站：信息系統(tǒng)（IS）審計(jì)的專業(yè)性和進(jìn)行這類審計(jì)所需的技術(shù)，要求制定出專門適用于信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)。推進(jìn)全球適用的標(biāo)準(zhǔn)以實(shí)現(xiàn)這個(gè)目標(biāo)是信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA?）的宗旨之一。信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)的發(fā)展和傳播是ISACA為審計(jì)業(yè)界作出專業(yè)貢獻(xiàn)的基礎(chǔ)。信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)的框架提供了多層次的指引：標(biāo)準(zhǔn)為信息系統(tǒng)審計(jì)和報(bào)告定義了強(qiáng)制性的要求。它們宣告：-根據(jù)ISACA職業(yè)道德規(guī)范中關(guān)于職業(yè)責(zé)任的規(guī)定，信息系統(tǒng)審計(jì)師的執(zhí)行績效所應(yīng)達(dá)到的最低標(biāo)準(zhǔn)。-管理層和其他利益方對執(zhí)業(yè)者在專業(yè)工作上的期待。-認(rèn)證信息系統(tǒng)審計(jì)師（CISA?）資格持有人的相關(guān)特定要求。CISA資格持有人未能遵守上述標(biāo)準(zhǔn)的可能會(huì)導(dǎo)致ISACA董事會(huì)或相應(yīng)ISACA委員會(huì)對其進(jìn)行調(diào)查直至最終的紀(jì)律處分。指南為信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)的實(shí)施提供了指引。信息系統(tǒng)審計(jì)師在標(biāo)準(zhǔn)的實(shí)施程序中應(yīng)參考指南，同時(shí)作出職業(yè)判斷，對背離標(biāo)準(zhǔn)的做法應(yīng)隨時(shí)提供解釋。信息系統(tǒng)審計(jì)指南的目標(biāo)是為達(dá)到信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)提供進(jìn)一步信息。程序?yàn)樾畔⑾到y(tǒng)審計(jì)師提供審計(jì)項(xiàng)目中可以遵循的步驟范例。程序文件提供信息系統(tǒng)審計(jì)工作開展中如何達(dá)到相關(guān)標(biāo)準(zhǔn)的信息，但并非硬性規(guī)定。信息系統(tǒng)審計(jì)程序的目標(biāo)是為達(dá)到信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)提供進(jìn)一步信息。COBIT?資源應(yīng)被當(dāng)作最佳操作實(shí)施指南的來源。COBIT框架強(qiáng)調(diào)，“保護(hù)企業(yè)的所有資產(chǎn)是管理層的責(zé)任，為履行這一責(zé)任以及實(shí)現(xiàn)企業(yè)的期望，管理層必須建立起一套完善的內(nèi)部監(jiān)控體系。”COBIT為信息系統(tǒng)管理環(huán)境提供了詳細(xì)的監(jiān)控和監(jiān)控方法。基于特殊的COBIT信息技術(shù)程序選擇和對COBIT信息標(biāo)準(zhǔn)的考慮來選用與特定審計(jì)范圍最相關(guān)的材料。依COBIT框架中所定義，以下各項(xiàng)由IT管理程序進(jìn)行組織。COBIT為商業(yè)及IT管理層以及信息系統(tǒng)審計(jì)師而計(jì)，所以它的運(yùn)用有助于商業(yè)目標(biāo)的理解，最佳操作實(shí)施的交流和圍繞已經(jīng)達(dá)成共識和廣受尊重的標(biāo)準(zhǔn)參考體系的意見的形成。COBIT包括：監(jiān)控目標(biāo)一廣義上所需達(dá)到的最低限度良好監(jiān)控之總括和詳述。監(jiān)控實(shí)施一監(jiān)控目標(biāo)的實(shí)務(wù)原理和“如何實(shí)現(xiàn)”監(jiān)控目標(biāo)的指南。審計(jì)指南一對于不同監(jiān)控領(lǐng)域，如何理解和評估各種監(jiān)控，考核監(jiān)控的符合性和證實(shí)失控風(fēng)險(xiǎn)的指南。管理方針一如何運(yùn)用成熟度模型，指標(biāo)和關(guān)鍵性成功因素等方法來評估和提高IT程序執(zhí)行績效的指南。它們提供一種針對管理層的框架應(yīng)用于連續(xù)性和自發(fā)性的監(jiān)控自我評估，特別專注于：-績效衡量一IT功能支持商用需求效果如何？管理方針既可用于支持自我評估的專題研討,也可被管理層作為IT管治方案的一部分,用以支持持續(xù)監(jiān)督和程序改進(jìn)的推行。-IT監(jiān)控概況一哪些IT程序是重要的？哪些是監(jiān)控的關(guān)鍵性成功因素？-監(jiān)控意識一達(dá)不到目標(biāo)會(huì)有哪些風(fēng)險(xiǎn)？-監(jiān)控基準(zhǔn)一其他人做了什么？如何衡量和比較結(jié)果？管理方針提供了對IT績效的范例指標(biāo)，可用于商業(yè)意義上對IT執(zhí)行績效的評估。關(guān)鍵的目標(biāo)指標(biāo)可以識別并衡量IT程序的成果，同時(shí)關(guān)鍵的執(zhí)行績效指標(biāo)可以通過衡量程序的實(shí)現(xiàn)者來評估程序的執(zhí)行績效。透過成熟度模型和成熟度屬性提供能力評估和基準(zhǔn)，幫助管理層衡量監(jiān)控能力，找到差距并提出相應(yīng)改善策略。術(shù)語表可在ISACA的網(wǎng)站：/glossary上查閱。審計(jì)和審查這兩個(gè)詞可以互換使用。免責(zé)聲明根據(jù)ISACA職業(yè)道德規(guī)范中對職業(yè)責(zé)任的規(guī)定,ISACA設(shè)計(jì)本指南作為執(zhí)行績效所應(yīng)達(dá)到的最低標(biāo)準(zhǔn)。ISACA并未聲明使用此產(chǎn)品一定會(huì)出現(xiàn)成功的結(jié)果。本出版物不能被視作包括所有合適的程序和測試，也不能被視作排斥通過合理引導(dǎo)獲得同樣結(jié)果的其它程序和測試。在決定任何具體的程序或測試的合理性時(shí)，監(jiān)控專業(yè)人士應(yīng)根據(jù)其自身的專業(yè)判斷來判別由特定系統(tǒng)或信息技術(shù)環(huán)境產(chǎn)生的特定監(jiān)控條件。ISACA標(biāo)準(zhǔn)管理委員會(huì)致力于為信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)、指南和程序的制定作出廣泛的咨詢。在發(fā)布任何文件之前，標(biāo)準(zhǔn)管理委員會(huì)向全球提供公開草案，供大眾評論。標(biāo)準(zhǔn)管理委員會(huì)也尋求相關(guān)領(lǐng)域的專家和相關(guān)人士對必要處提出咨詢意見。標(biāo)準(zhǔn)管理委員會(huì)現(xiàn)有研發(fā)計(jì)劃，歡迎ISACA成員和其它相關(guān)人士報(bào)告任何新出現(xiàn)問題及其所需的新標(biāo)準(zhǔn)。所有建議請電郵至()。或傳真(+1.847.253.1443)或?qū)懶?地址在文件末尾)至［SACA國際總部，收件人注明研究標(biāo)準(zhǔn)和學(xué)術(shù)關(guān)系主任。本材料于2004年10月15日頒布。信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)計(jì)劃文件號S5第2頁：計(jì)劃信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)計(jì)劃S5引言01ISACA信息系統(tǒng)標(biāo)準(zhǔn)和其它相關(guān)指南包含強(qiáng)制性的基本原則和重要程序(以粗體標(biāo)出)。02制定信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)的目的是為計(jì)劃審計(jì)工作確立相應(yīng)的標(biāo)準(zhǔn)和提供指南。標(biāo)準(zhǔn)03信息系統(tǒng)審計(jì)師必須計(jì)劃信息系統(tǒng)審計(jì)的綱要，以針對審計(jì)目標(biāo)并符合相關(guān)法規(guī)和職業(yè)審計(jì)標(biāo)準(zhǔn)。04信息系統(tǒng)審計(jì)師必須起草并以書面形式記錄一份基于風(fēng)險(xiǎn)評估的審計(jì)方法。05信息系統(tǒng)審計(jì)師必須起草并以書面形式記錄一份審計(jì)計(jì)劃書，詳述審計(jì)目標(biāo)及其性質(zhì)、審計(jì)時(shí)間和范圍、以及所需相關(guān)資源。06信息系統(tǒng)審計(jì)師必須起草審計(jì)項(xiàng)目計(jì)劃和審計(jì)程序。注釋07內(nèi)部審計(jì)部門必須對延續(xù)性的工作至少按年度起草/更新計(jì)劃書。此計(jì)劃書將作為今后審計(jì)工作的框架并明確審計(jì)章程所闡述的職責(zé)。新的或更新過的計(jì)劃書必須獲得審計(jì)委員會(huì)（如設(shè)立）的通過。08外部信息系統(tǒng)審計(jì)師參與每項(xiàng)審計(jì)或非審計(jì)任務(wù)時(shí)通常應(yīng)當(dāng)備妥計(jì)劃書。此計(jì)劃書必須以書面形式說明該審計(jì)項(xiàng)目所要達(dá)到的目標(biāo)。09信息系統(tǒng)審計(jì)師必須了解審計(jì)對象的活動(dòng)。審計(jì)對象組織的屬性、組織所處的環(huán)境、風(fēng)險(xiǎn)以及審計(jì)目標(biāo)決定這種了解所需達(dá)到的程度。信息系統(tǒng)審計(jì)師必須進(jìn)行風(fēng)險(xiǎn)評估，以保證在其審計(jì)工作中涵蓋所有重要材料。之后，才可制定相應(yīng)的審計(jì)策略，重要性水平，并掌握審計(jì)資源。當(dāng)審計(jì)工作中出現(xiàn)新的風(fēng)險(xiǎn)、不正確的假設(shè)，或者從已經(jīng)執(zhí)行的程序中得到新的發(fā)現(xiàn)，則審計(jì)項(xiàng)目和/或計(jì)劃書可能需要隨之做出針對性調(diào)整。為獲得有關(guān)準(zhǔn)備審計(jì)計(jì)劃更進(jìn)一步的信息，請參考下列指南：信息系統(tǒng)審計(jì)指南G6,信息系統(tǒng)審計(jì)的實(shí)質(zhì)范圍觀念信息系統(tǒng)審計(jì)指南G15,信息系統(tǒng)審計(jì)的計(jì)劃信息系統(tǒng)審計(jì)指南G13,審計(jì)計(jì)劃中風(fēng)險(xiǎn)評估的運(yùn)用信息系統(tǒng)審計(jì)指南G16，第三方對某一組織的信息技術(shù)監(jiān)控的影響COBIT框架，監(jiān)控目標(biāo)實(shí)施日期此信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)適用于所有信息系統(tǒng)的審計(jì)工作，于2005年1月1日起實(shí)施。信息系統(tǒng)審計(jì)與控制協(xié)會(huì)2004-2005年標(biāo)準(zhǔn)管理委員會(huì)Chair,SergioFleginsky,CISAPricewaterhouseCoopers,UruguaySveinAldalAldalConsulting,NorwayJohnBeveridge,CISA,CISM,CFE,CGFM,CQAOfficeoftheMassachusettsStateAuditor,USAClaudioCilli,Ph.D.,CISA,CISM,CIA,CISSPValuePartners,ItalyChristinaLedesma,CISA,CISMCitibankNASucursal,UruguayAndrewMacLeod,CISA,CIA,FCPA,MACS,PCPBrisbaneCityCouncil,AustraliaV.Meera,CISA,CISM,ACS,CISSP,CWAMicrosoftCorporation,USARaviMuthukrishnan,CISA,CISM,FCA,ISCANextLinxIndiaPrivateLtd.,IndiaPeterNiblett,CISA,CISM,CA,CIA,FCPAWHKDayNeilson,AustraliaJohnG.Ott,CISA,CPAAetnaInc.,USAThomasThompson,CISAErnst&Young,UAE?Copyright2004InformationSystemsAuditandControlAssociation3701AlgonquinRoad,Suite1010RollingMeadows,IL60008USA電話：+1.847.253.1545傳真：+1.847.253.1443E-mail:網(wǎng)站：信息系統(tǒng)（IS）審計(jì)的專業(yè)性和進(jìn)行這類審計(jì)所需的技術(shù)，要求制定出專門適用于信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)。推進(jìn)全球適用的標(biāo)準(zhǔn)以實(shí)現(xiàn)這個(gè)目標(biāo)是信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA?）的宗旨之一。信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)的發(fā)展和傳播是ISACA為審計(jì)業(yè)界作出專業(yè)貢獻(xiàn)的基礎(chǔ)。信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)的框架提供了多層次的指引：標(biāo)準(zhǔn)為信息系統(tǒng)審計(jì)和報(bào)告定義了強(qiáng)制性的要求。它們宣告：-根據(jù)ISACA職業(yè)道德規(guī)范中關(guān)于職業(yè)責(zé)任的規(guī)定，信息系統(tǒng)審計(jì)師的執(zhí)行績效所應(yīng)達(dá)到的最低標(biāo)準(zhǔn)。-管理層和其他利益方對執(zhí)業(yè)者在專業(yè)工作上的期待。-認(rèn)證信息系統(tǒng)審計(jì)師（CISA?）資格持有人的相關(guān)特定要求。CISA資格持有人未能遵守上述標(biāo)準(zhǔn)的可能會(huì)導(dǎo)致ISACA董事會(huì)或相應(yīng)ISACA委員會(huì)對其進(jìn)行調(diào)查直至最終的紀(jì)律處分。指南為信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)的實(shí)施提供了指引。信息系統(tǒng)審計(jì)師在標(biāo)準(zhǔn)的實(shí)施程序中應(yīng)參考指南，同時(shí)作出職業(yè)判斷，對背離標(biāo)準(zhǔn)的做法應(yīng)隨時(shí)提供解釋。信息系統(tǒng)審計(jì)指南的目標(biāo)是為達(dá)到信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)提供進(jìn)一步信息。程序?yàn)樾畔⑾到y(tǒng)審計(jì)師提供審計(jì)項(xiàng)目中可以遵循的步驟范例。程序文件提供信息系統(tǒng)審計(jì)工作開展中如何達(dá)到相關(guān)標(biāo)準(zhǔn)的信息，但并非硬性規(guī)定。信息系統(tǒng)審計(jì)程序的目標(biāo)是為達(dá)到信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)提供進(jìn)一步信息。COBIT?資源應(yīng)被當(dāng)作最佳操作實(shí)施指南的來源。COBIT框架強(qiáng)調(diào)，“保護(hù)企業(yè)的所有資產(chǎn)是管理層的責(zé)任，為履行這一責(zé)任以及實(shí)現(xiàn)企業(yè)的期望，管理層必須建立起一套完善的內(nèi)部監(jiān)控體系?！盋OBIT為信息系統(tǒng)管理環(huán)境提供了詳細(xì)的監(jiān)控和監(jiān)控方法?；谔厥獾腃OBIT信息技術(shù)程序選擇和對COBIT信息標(biāo)準(zhǔn)的考慮來選用與特定審計(jì)范圍最相關(guān)的材料。依COBIT框架中所定義，以下各項(xiàng)由IT管理程序進(jìn)行組織。COBIT為商業(yè)及IT管理層以及信息系統(tǒng)審計(jì)師而計(jì)，所以它的運(yùn)用有助于商業(yè)目標(biāo)的理解，最佳操作實(shí)施的交流和圍繞已經(jīng)達(dá)成共識和廣受尊重的標(biāo)準(zhǔn)參考體系的意見的形成。COBIT包括：監(jiān)控目標(biāo)一廣義上所需達(dá)到的最低限度良好監(jiān)控之總括和詳述。監(jiān)控實(shí)施一監(jiān)控目標(biāo)的實(shí)務(wù)原理和“如何實(shí)現(xiàn)”監(jiān)控目標(biāo)的指南。審計(jì)指南一對于不同監(jiān)控領(lǐng)域，如何理解和評估各種監(jiān)控，考核監(jiān)控的符合性和證實(shí)失控風(fēng)險(xiǎn)的指南。管理方針一如何運(yùn)用成熟度模型，指標(biāo)和關(guān)鍵性成功因素等方法來評估和提高IT程序執(zhí)行績效的指南。它們提供一種針對管理層的框架應(yīng)用于連續(xù)性和自發(fā)性的監(jiān)控自我評估，特別專注于：-績效衡量一IT功能支持商用需求效果如何？管理方針既可用于支持自我評估的專題研討,也可被管理層作為IT管治方案的一部分，用以支持持續(xù)監(jiān)督和程序改進(jìn)的推行。-IT監(jiān)控概況一哪些IT程序是重要的？哪些是監(jiān)控的關(guān)鍵性成功因素？-監(jiān)控意識一達(dá)不到目標(biāo)會(huì)有哪些風(fēng)險(xiǎn)？-監(jiān)控基準(zhǔn)一其他人做了什么？如何衡量和比較結(jié)果？管理方針提供了對IT績效的范例指標(biāo)，可用于商業(yè)意義上對IT執(zhí)行績效的評估。關(guān)鍵的目標(biāo)指標(biāo)可以識別并衡量IT程序的成果，同時(shí)關(guān)鍵的執(zhí)行績效指標(biāo)可以通過衡量程序的實(shí)現(xiàn)者來評估程序的執(zhí)行績效。透過成熟度模型和成熟度屬性提供能力評估和基準(zhǔn)，幫助管理層衡量監(jiān)控能力，找到差距并提出相應(yīng)改善策略。術(shù)語表可在ISACA的網(wǎng)站：/glossary上查閱。審計(jì)和審查這兩個(gè)詞可以互換使用。免責(zé)聲明根據(jù)ISACA職業(yè)道德規(guī)范中對職業(yè)責(zé)任的規(guī)定,SACA設(shè)計(jì)本指南作為執(zhí)行績效所應(yīng)達(dá)到的最低標(biāo)準(zhǔn)°ISACA并未聲明使用此產(chǎn)品一定會(huì)出現(xiàn)成功的結(jié)果。本出版物不能被視作包括所有合適的程序和測試，也不能被視作排斥通過合理引導(dǎo)獲得同樣結(jié)果的其它程序和測試。在決定任何具體的程序或測試的合理性時(shí)，監(jiān)控專業(yè)人士應(yīng)根據(jù)其自身的專業(yè)判斷來判別由特定系統(tǒng)或信息技術(shù)環(huán)境產(chǎn)生的特定監(jiān)控條件。ISACA標(biāo)準(zhǔn)管理委員會(huì)致力于為信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)、指南和程序的制定作出廣泛的咨詢。在發(fā)布任何文件之前，標(biāo)準(zhǔn)管理委員會(huì)向全球提供公開草案，供大眾評論。標(biāo)準(zhǔn)管理委員會(huì)也尋求相關(guān)領(lǐng)域的專家和相關(guān)人士對必要處提出咨詢意見。標(biāo)準(zhǔn)管理委員會(huì)現(xiàn)有研發(fā)計(jì)劃，歡迎ISACA成員和其它相關(guān)人士報(bào)告任何新出現(xiàn)問題及其所需的新標(biāo)準(zhǔn)。所有建議請電郵至（）。或傳真（+1.847.253.1443）或?qū)懶牛ǖ刂吩谖募┪玻┲粒跾ACA國際總部，收件人注明研究標(biāo)準(zhǔn)和學(xué)術(shù)關(guān)系主任。本材料于2004年10月15日頒布。信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)審計(jì)工作的執(zhí)行文件號S6第2頁：審計(jì)工作的執(zhí)行信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)審計(jì)工作的執(zhí)行S6引言01ISACA標(biāo)準(zhǔn)和其它相關(guān)指南包含強(qiáng)制性的基本原則和重要程序（以粗體標(biāo)出）。02制定信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)的目的是為審計(jì)工作的執(zhí)行確立相應(yīng)的標(biāo)準(zhǔn)和提供指南。標(biāo)準(zhǔn)03指導(dǎo)—信息系統(tǒng)審計(jì)人員應(yīng)該得到指導(dǎo)，合理保證其審計(jì)目標(biāo)完成，并且符合審計(jì)職業(yè)標(biāo)準(zhǔn)。04證據(jù)—在從事審計(jì)工作時(shí)，信息系統(tǒng)審計(jì)師必須獲得充分的、可靠的和相關(guān)的證據(jù)以完成審計(jì)目標(biāo)。審計(jì)發(fā)現(xiàn)和審計(jì)結(jié)論應(yīng)該能被相關(guān)證據(jù)的適當(dāng)?shù)姆治龊徒忉屗С帧?5文件記錄—審計(jì)的程序必須以書面形式記錄，其中包含能解釋信息系統(tǒng)審計(jì)師的發(fā)現(xiàn)和結(jié)論的審計(jì)工作細(xì)節(jié)和審計(jì)證據(jù)。注釋06在某一審計(jì)項(xiàng)目剛開始時(shí)，信息系統(tǒng)審計(jì)組中成員的角色和責(zé)任必須建立起來，至少確定決策者、執(zhí)行者和審閱人員。07在執(zhí)行具體的審計(jì)項(xiàng)目時(shí)，審計(jì)人員必須按照文件預(yù)先確定好的程序以組織和記錄工作。文件記錄必須包含以下內(nèi)容：審計(jì)目標(biāo)和工作范圍、審計(jì)計(jì)劃、審計(jì)工作執(zhí)行的步驟、收集的證據(jù)、審計(jì)發(fā)現(xiàn)、審計(jì)結(jié)論和建議。08審計(jì)文件記錄應(yīng)足夠詳實(shí)，使得獨(dú)立人士能夠重復(fù)審計(jì)中所有已經(jīng)完成的工作，并獲得相同的結(jié)論。09審計(jì)文件記錄中應(yīng)包含如下細(xì)節(jié)：誰扮演什么角色，他（她）完成了哪些審計(jì)任務(wù)。作為一個(gè)慣例，某人、或由幾人組成的審計(jì)組完成的每個(gè)任務(wù)、做出的每個(gè)決定、實(shí)施的每個(gè)步驟或每個(gè)審計(jì)結(jié)果都應(yīng)該被審計(jì)組中的另一個(gè)成員審閱，并以事項(xiàng)重要性來決定審閱者。信息系統(tǒng)審計(jì)師應(yīng)該計(jì)劃利用可獲得的審計(jì)證據(jù)，在此過程中必須考慮審計(jì)目標(biāo)的重要性和為獲得這些審計(jì)證據(jù)所付出的時(shí)間和努力。審計(jì)證據(jù)應(yīng)該足夠充分、可靠和具相關(guān)性，足以形成審計(jì)意見或解釋信息系統(tǒng)審計(jì)師的審計(jì)發(fā)現(xiàn)和審計(jì)結(jié)論。如果覺得其所掌握的證據(jù)不足以達(dá)到以上標(biāo)準(zhǔn)，信息系統(tǒng)審計(jì)師應(yīng)該獲取更多審計(jì)證據(jù)。如需獲得審計(jì)工作執(zhí)行的進(jìn)一步信息，請參考以下指南：COBIT框架，監(jiān)控目標(biāo)實(shí)施日期此信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)適用于所有信息系統(tǒng)的審計(jì)工作，于2005年1月1日起實(shí)施。信息系統(tǒng)審計(jì)與控制協(xié)會(huì)2004-2005年標(biāo)準(zhǔn)管理委員會(huì)Chair,SergioFleginsky,CISAPricewaterhouseCoopers,UruguaySveinAldalAldalConsulting,NorwayJohnBeveridge,CISA,CISM,CFE,CGFM,CQAOfficeoftheMassachusettsStateAuditor,USAClaudioCilli,Ph.D.,CISA,CISM,CIA,CISSPValuePartners,ItalyChristinaLedesma,CISA,CISMCitibankNASucursal,UruguayAndrewMacLeod,CISA,CIA,FCPA,MACS,PCPBrisbaneCityCouncil,AustraliaV.Meera,CISA,CISM,ACS,CISSP,CWAMicrosoftCorporation,USARaviMuthukrishnan,CISA,CISM,FCA,ISCANextLinxIndiaPrivateLtd.,IndiaPeterNiblett,CISA,CISM,CA,CIA,FCPAWHKDayNeilson,AustraliaJohnG.Ott,CISA,CPAAetnaInc.,USAThomasThompson,CISAErnst&Young,UAE?Copyright2004InformationSystemsAuditandControlAssociation3701AlgonquinRoad,Suite1010RollingMeadows,IL60008USA電話：+1.847.253.1545傳真：+1.847.253.1443E-mail:s網(wǎng)站：www.isaca.or_信息系統(tǒng)（IS）審計(jì)的專業(yè)性和進(jìn)行這類審計(jì)所需的技術(shù)，要求制定出專門適用于信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)。推進(jìn)全球適用的標(biāo)準(zhǔn)以實(shí)現(xiàn)這個(gè)目標(biāo)是信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA?）的宗旨之一。信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)的發(fā)展和傳播是ISACA為審計(jì)業(yè)界作出專業(yè)貢獻(xiàn)的基礎(chǔ)。信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)的框架提供了多層次的指引：標(biāo)準(zhǔn)為信息系統(tǒng)審計(jì)和報(bào)告定義了強(qiáng)制性的要求。它們宣告：-根據(jù)ISACA職業(yè)道德規(guī)范中關(guān)于職業(yè)責(zé)任的規(guī)定，信息系統(tǒng)審計(jì)師的執(zhí)行績效所應(yīng)達(dá)到的最低標(biāo)準(zhǔn)。-管理層和其他利益方對執(zhí)業(yè)者在專業(yè)工作上的期待。-認(rèn)證信息系統(tǒng)審計(jì)師（CISA?）資格持有人的相關(guān)特定要求。CISA資格持有人未能遵守上述標(biāo)準(zhǔn)的可能會(huì)導(dǎo)致ISACA董事會(huì)或相應(yīng)ISACA委員會(huì)對其進(jìn)行調(diào)查直至最終的紀(jì)律處分。指南為信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)的實(shí)施提供了指引。信息系統(tǒng)審計(jì)師在標(biāo)準(zhǔn)的實(shí)施程序中應(yīng)參考指南，同時(shí)作出職業(yè)判斷，對背離標(biāo)準(zhǔn)的做法應(yīng)隨時(shí)提供解釋。信息系統(tǒng)審計(jì)指南的目標(biāo)是為達(dá)到信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)提供進(jìn)一步信息。程序?yàn)樾畔⑾到y(tǒng)審計(jì)師提供審計(jì)項(xiàng)目中可以遵循的步驟范例。程序文件提供信息系統(tǒng)審計(jì)工作開展中如何達(dá)到相關(guān)標(biāo)準(zhǔn)的信息，但并非硬性規(guī)定。信息系統(tǒng)審計(jì)程序的目標(biāo)是為達(dá)到信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)提供進(jìn)一步信息。COBIT?資源應(yīng)被當(dāng)作最佳操作實(shí)施指南的來源。COBIT框架強(qiáng)調(diào)，“保護(hù)企業(yè)的所有資產(chǎn)是管理層的責(zé)任，為履行這一責(zé)任以及實(shí)現(xiàn)企業(yè)的期望，管理層必須建立起一套完善的內(nèi)部監(jiān)控體系。”COBIT為信息系統(tǒng)管理環(huán)境提供了詳細(xì)的監(jiān)控和監(jiān)控方法?；谔厥獾腃OBIT信息技術(shù)程序選擇和對COBIT信息標(biāo)準(zhǔn)的考慮來選用與特定審計(jì)范圍最相關(guān)的材料。依COBIT框架中所定義，以下各項(xiàng)由IT管理程序進(jìn)行組織。COBIT為商業(yè)及IT管理層以及信息系統(tǒng)審計(jì)師而計(jì)，所以它的運(yùn)用有助于商業(yè)目標(biāo)的理解，最佳操作實(shí)施的交流和圍繞已經(jīng)達(dá)成共識和廣受尊重的標(biāo)準(zhǔn)參考體系的意見的形成。COBIT包括：監(jiān)控目標(biāo)一廣義上所需達(dá)到的最低限度良好監(jiān)控之總括和詳述。監(jiān)控實(shí)施一監(jiān)控目標(biāo)的實(shí)務(wù)原理和“如何實(shí)現(xiàn)”監(jiān)控目標(biāo)的指南。審計(jì)指南一對于不同監(jiān)控領(lǐng)域，如何理解和評估各種監(jiān)控，考核監(jiān)控的符合性和證實(shí)失控風(fēng)險(xiǎn)的指南。管理方針一如何運(yùn)用成熟度模型，指標(biāo)和關(guān)鍵性成功因素等方法來評估和提高IT程序執(zhí)行績效的指南。它們提供一種針對管理層的框架應(yīng)用于連續(xù)性和自發(fā)性的監(jiān)控自我評估，特別專注于：-績效衡量一IT功能支持商用需求效果如何？管理方針既可用于支持自我評估的專題研討,也可被管理層作為IT管治方案的一部分，用以支持持續(xù)監(jiān)督和程序改進(jìn)的推行。-IT監(jiān)控概況一哪些IT程序是重要的？哪些是監(jiān)控的關(guān)鍵性成功因素？-監(jiān)控意識一達(dá)不到目標(biāo)會(huì)有哪些風(fēng)險(xiǎn)？-監(jiān)控基準(zhǔn)一其他人做了什么？如何衡量和比較結(jié)果？管理方針提供了對IT績效的范例指標(biāo)，可用于商業(yè)意義上對IT執(zhí)行績效的評估。關(guān)鍵的目標(biāo)指標(biāo)可以識別并衡量IT程序的成果，同時(shí)關(guān)鍵的執(zhí)行績效指標(biāo)可以通過衡量程序的實(shí)現(xiàn)者來評估程序的執(zhí)行績效。透過成熟度模型和成熟度屬性提供能力評估和基準(zhǔn)，幫助管理層衡量監(jiān)控能力，找到差距并提出相應(yīng)改善策略。術(shù)語表可在ISACA的網(wǎng)站：/glossary上查閱。審計(jì)和審查這兩個(gè)詞可以互換使用。免責(zé)聲明根據(jù)ISACA職業(yè)道德規(guī)范中對職業(yè)責(zé)任的規(guī)定,ISACA設(shè)計(jì)本指南作為執(zhí)行績效所應(yīng)達(dá)到的最低標(biāo)準(zhǔn)。ISACA并未聲明使用此產(chǎn)品一定會(huì)出現(xiàn)成功的結(jié)果。本出版物不能被視作包括所有合適的程序和測試，也不能被視作排斥通過合理引導(dǎo)獲得同樣結(jié)果的其它程序和測試。在決定任何具體的程序或測試的合理性時(shí)，監(jiān)控專業(yè)人士應(yīng)根據(jù)其自身的專業(yè)判斷來判別由特定系統(tǒng)或信息技術(shù)環(huán)境產(chǎn)生的特定監(jiān)控條件。ISACA標(biāo)準(zhǔn)管理委員會(huì)致力于為信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)、指南和程序的制定作出廣泛的咨詢。在發(fā)布任何文件之前，標(biāo)準(zhǔn)管理委員會(huì)向全球提供公開草案，供大眾評論。標(biāo)準(zhǔn)管理委員會(huì)也尋求相關(guān)領(lǐng)域的專家和相關(guān)人士對必要處提出咨詢意見。標(biāo)準(zhǔn)管理委員會(huì)現(xiàn)有研發(fā)計(jì)劃，歡迎ISACA成員和其它相關(guān)人士報(bào)告任何新出現(xiàn)問題及其所需的新標(biāo)準(zhǔn)。所有建議請電郵至（）?；騻髡妫?1.847.253.1443）或?qū)懶牛ǖ刂吩谖募┪玻┲罥SACA國際總部，收件人注明研究標(biāo)準(zhǔn)和學(xué)術(shù)關(guān)系主任。本材料于2004年10月15日頒布。信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)審計(jì)報(bào)告文件號S7第2頁：審計(jì)報(bào)告信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)審計(jì)報(bào)告S7引言01ISACA信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和其它相關(guān)指南包含強(qiáng)制性的基本原則和重要程序（以粗體標(biāo)出）。02制定信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)的目的是為使信息系統(tǒng)審計(jì)師如何通過報(bào)告來履行責(zé)任而確立并提供指南。標(biāo)準(zhǔn)03信息系統(tǒng)審計(jì)師在其審計(jì)項(xiàng)目完成后，必須以適當(dāng)?shù)母袷竭f交一份審計(jì)報(bào)告。報(bào)告中必須明確表明被審計(jì)機(jī)構(gòu)、須送達(dá)人士和發(fā)布過程中的任何限制條件。04審計(jì)報(bào)告必須寫明審計(jì)范圍、審計(jì)目標(biāo)、審計(jì)覆蓋的時(shí)間跨度和所執(zhí)行審計(jì)工作的性質(zhì)、時(shí)間和范圍。05報(bào)告中也應(yīng)寫明審計(jì)發(fā)現(xiàn)、審計(jì)結(jié)論、建議和信息系統(tǒng)審計(jì)師對該審計(jì)的任何保留意見、限制性或局限性。06信息系統(tǒng)審計(jì)師必須擁有足夠的、恰當(dāng)?shù)膶徲?jì)證據(jù)來解釋報(bào)告中的審計(jì)結(jié)果。07當(dāng)審計(jì)報(bào)告發(fā)布時(shí)，信息系統(tǒng)審計(jì)師必須按審計(jì)章程或委托書上的相關(guān)條款在其上簽字、簽署日期并分發(fā)出去。注釋08審計(jì)報(bào)告的具體格式和內(nèi)容隨審計(jì)業(yè)務(wù)和審計(jì)項(xiàng)目的不同而有所不同。信息系統(tǒng)審計(jì)師可從事如下業(yè)務(wù)：審計(jì)（直接或驗(yàn)證）審閱（直接或驗(yàn)證）協(xié)商確定的審計(jì)流程09當(dāng)信息系統(tǒng)審計(jì)師被要求針對某一審計(jì)項(xiàng)目為監(jiān)控環(huán)境出具意見，而證據(jù)表明有實(shí)質(zhì)性或重大缺陷時(shí)，此信息系統(tǒng)審計(jì)師絕不可給出監(jiān)控機(jī)制為有效的結(jié)論。信息系統(tǒng)審計(jì)師的審計(jì)報(bào)告中必須敘述實(shí)質(zhì)性的或重大的缺陷，和此缺陷給達(dá)到監(jiān)控標(biāo)準(zhǔn)目標(biāo)的影響。信息系統(tǒng)審計(jì)師在定稿和最終報(bào)告發(fā)布前，應(yīng)該和管理層對報(bào)告草案的各方面內(nèi)容進(jìn)行討論，并在任何適用情況下，于最終發(fā)布的報(bào)告中包括管理層的評論。一旦在監(jiān)控環(huán)境中發(fā)現(xiàn)重大不足，信息系統(tǒng)審計(jì)師必須和審計(jì)委員會(huì)或者負(fù)責(zé)的權(quán)威機(jī)構(gòu)進(jìn)行交流和討