国际信息系统审计标准中文版.doc

信息系统审计标准 S1-审计章程 导言 01 ISACA 标准和其它相关指南包含强制性的基本原则和重要程序（以粗体标出）。 02 制定信息系统审计标准的目的是就审计章程在审计程序中的运用制定和提供指南。 标准 03 信息系统审计职能或信息系统审计任务的目的、责任、授权方和义务应在审计章程或委托书中予以对的的登载。 04 审计章程或委托书应在组织内的适当层次得到批准和通过。 注释 05 对于内部信息系统审计职能，应为所有进行中的业务活动制定一份审计章程。审计章程应通过年度审查。假如责任发生变动或变化，则应缩短审查周期。内部信息系统审计师可用委托书来进一步澄清或确认参与特定的审计或非审计任务。外部信息系统审计师参与每项审计或非审计任务通常应当准备委托书。 06 审计章程或委托书应足够具体以便能表达审计功能或审计任务的目的、责任和限制。 07 审计章程或委托书应定期审查，以保证（审计的）目的和责任已经记录在案。 08 如需有关准备审计章程或委托书进一步的信息，应参考下列指南： 􀂄 信息系统审计指南G5，审计章程 􀂄 COBIT 框架，监控目的M4 实行日期 09 此ISACA 标准合用于所有信息系统的审计，于2023 年1 月1 日起（之后）实行。 信息系统（IS）审计的专业性和进行这类审计所需的技术，规定制定出专门合用于信息系统审计的标准。推动全球合用的标准以 实现这个目的是信息系统审计与控制协会（ISACA®）的宗旨之一。信息系统审计标准的发展和传播是ISACA 为审计业界作出专 业奉献的基础。信息系统审计标准的框架提供了多层次的指引： 􀂄 标准为信息系统审计和报告定义了强制性的规定。它们宣告： – 根据ISACA 职业道德规范中关于职业责任的规定，信息系统审计师的执行绩效所应达成的最低标准。 – 管理层和其他利益方对执业者在专业工作上的期待。 – 认证信息系统审计师（CISA®）资格持有人的相关特定规定。CISA 资格持有人未能遵守上述标准的也许会导致ISACA 董事会或相应ISACA 委员会对其进行调查直至最终的纪律处分。 􀂄 指南为信息系统审计标准的实行提供了指引。信息系统审计师在标准的实行程序中应参考指南，同时作出职业判断，对背离 标准的做法应随时提供解释。信息系统审计指南的目的是为达成信息系统审计标准提供进一步信息。 􀂄 程序为信息系统审计师提供审计项目中可以遵循的环节范例。程序文献提供信息系统审计工作开展中如何达成相关标准的 信息，但并非硬性规定。信息系统审计程序的目的是为达成信息系统审计标准提供进一步信息。 COBIT®资源应被当作最佳操作实行指南的来源。COBIT 框架强调，“保护公司的所有资产是管理层的责任， 为履行这一责任以及 实现公司的盼望，管理层必须建立起一套完善的内部监控体系。” COBIT 为信息系统管理环境提供了具体的监控和监控方法。 基于特殊的COBIT 信息技术程序选择和对COBIT 信息标准的考虑来选用与特定审计范围最相关的材料。 依 COBIT 框架中所定义，以下各项由IT 管理程序进行组织。COBIT 为商业及IT 管理层以及信息系统审计师而计，所以它的运用有 助于商业目的的理解，最佳操作实行的交流和围绕已经达成共识和广受尊重的标准参考体系的意见的形成。COBIT 涉及： 􀂄 监控目的—广义上所需达成的最低限度良好监控之总括和详述。 􀂄 监控实行—监控目的的实务原理和“如何实现”监控目的的指南。 􀂄 审计指南—对于不同监控领域，如何理解和评估各种监控，考核监控的符合性和证实失控风险的指南。 􀂄 管理方针—如何运用成熟度模型，指标和关键性成功因素等方法来评估和提高IT 程序执行绩效的指南。它们提供一种针对管 理层的框架应用于连续性和自发性的监控自我评估，特别专注于： – 绩效衡量—IT 功能支持商用需求效果如何？管理方针既可用于支持自我评估的专题研讨，也可被管理层作为IT 管治方案 的一部分，用以支持连续监督和程序改善的推行。 – IT 监控概况—哪些IT 程序是重要的？哪些是监控的关键性成功因素？ – 监控意识—达不到目的会有哪些风险？ – 监控基准—其别人做了什么？如何衡量和比较结果？管理方针提供了对IT 绩效的范例指标，可用于商业意义上对IT 执 行绩效的评估。关键的目的指标可以辨认并衡量IT 程序的成果，同时关键的执行绩效指标可以通过衡量程序的实现者来 评估程序的执行绩效。透过成熟度模型和成熟度属性提供能力评估和基准，帮助管理层衡量监控能力，找到差距并提出 相应改善策略。 术语表可在ISACA 的网站：.org/glossary 上查阅。审计和审查这两个词可以互换使用。 免责声明根据ISACA 职业道德规范中对职业责任的规定，ISACA 设计本指南作为执行绩效所应达成的最低标准。ISACA 并未声 明使用此产品一定会出现成功的结果。本出版物不能被视作涉及所有合适的程序和测试，也不能被视作排斥通过合理引导获得同 样结果的其它程序和测试。在决定任何具体的程序或测试的合理性时，监控专业人士应根据其自身的专业判断来判别由特定系统 或信息技术环境产生的特定监控条件。 ISACA 标准管理委员会致力于为信息系统审计标准、指南和程序的制定作出广泛的征询。在发布任何文献之前，标准管理委员会 向全球提供公开草案，供大众评论。标准管理委员会也寻求相关领域的专家和相关人士对必要处提出征询意见。标准管理委员会 现有研发计划，欢迎ISACA 成员和其它相关人士报告任何新出现问题及其所需的新标准。所有建议请电邮至 ()。或传真（+1.847.253.1443）或写信（地址在文献末尾）至ISACA 国际总部，收件人注明研究标准和学 术关系主任。本材料于 2023 年10 月15 日颁布。 S2-审计独立性 引言 01 ISACA 标准和其它相关指南包含强制性的基本原则和重要程序（以粗体标出）。 02 制定信息审计标准的目的是为审计程序中的独立性确立相应的标准和指南。 标准 03 职业独立性 对于所有与审计相关的事务，信息系统审计师应当在态度和形式上独立于被审计单位。 04 组织独立性 信息审计职能应当独立于受审查的范围或活动之外，以保证审计工作完毕的客观性。 注释 05 审计章程或委托书中应当针对审计职能的独立性和义务做出相应的规定。 06 信息系统审计师应当在审计过程中随时保持态度和形式上的独立性。 07 如出现独立性受损的现象，无论是在实质上还是在形式上，应向有关当事人披露独立性受损的细节。 08 信息系统审计师应当在组织上独立于被审计的范围。 09 信息系统审计师、管理层和审计委员会（假如设立）应当定期对独立性进行评估。 10 除非被其他职业标准或管理机构所严禁，当信息系统审计师虽然参与信息系统项目，但是担当的并不是审计角色的时 候，则并不规定信息系统审计师保持独立性，或者在形式上表现出独立性。 11 如需获得关于职业或组织独立性的进一步信息，请参考以下指南： 􀂄 信息系统审计指南G17，非审计角色对信息系统审计师独立性的影响 􀂄 信息系统审计指南G12，组织关系和独立性 􀂄 COBIT 框架，监控目的M4 实行日期 12 此ISACA 标准合用于所有信息系统的审计工作，于2023 年1 月1 日起实行。 信息系统审计与控制协会2023-2023 年标准管理委员会 Chair, Sergio Fleginsky, CISA PricewaterhouseCoopers, Uruguay Svein Aldal Aldal Consulting, Norway John Beveridge, CISA, CISM, CFE, CGFM, CQA Office of the Massachusetts State Auditor, USA Claudio Cilli, Ph.D., CISA, CISM, CIA, CISSP Value Partners, Italy Christina Ledesma, CISA, CISM Citibank NA Sucursal, Uruguay Andrew MacLeod, CISA, CIA, FCPA, MACS, PCP Brisbane City Council, Australia V. Meera, CISA, CISM, ACS, CISSP, CWA Microsoft Corporation, USA Ravi Muthukrishnan, CISA, CISM, FCA, ISCA NextLinx India Private Ltd., India Peter Niblett, CISA, CISM, CA, CIA, FCPA WHK Day Neilson, Australia John G. Ott, CISA, CPA Aetna Inc., USA Thomas Thompson, CISA Ernst & Young, UAE © Copyright 2023 Information Systems Audit and Control Association 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 USA 电话：+1.847.253.1545 传真：+1.847.253.1443 E-mail: 网站：.org__ 信息系统（IS）审计的专业性和进行这类审计所需的技术，规定制定出专门合用于信息系统审计的标准。推动全球合用的标准以 实现这个目的是信息系统审计与控制协会（ISACA®）的宗旨之一。信息系统审计标准的发展和传播是ISACA 为审计业界作出专 业奉献的基础。信息系统审计标准的框架提供了多层次的指引： 􀂄 标准为信息系统审计和报告定义了强制性的规定。它们宣告： – 根据ISACA 职业道德规范中关于职业责任的规定，信息系统审计师的执行绩效所应达成的最低标准。 – 管理层和其他利益方对执业者在专业工作上的期待。 – 认证信息系统审计师（CISA®）资格持有人的相关特定规定。CISA 资格持有人未能遵守上述标准的也许会导致ISACA 董事会或相应ISACA 委员会对其进行调查直至最终的纪律处分。 􀂄 指南为信息系统审计标准的实行提供了指引。信息系统审计师在标准的实行程序中应参考指南，同时作出职业判断，对背离 标准的做法应随时提供解释。信息系统审计指南的目的是为达成信息系统审计标准提供进一步信息。 􀂄 程序为信息系统审计师提供审计项目中可以遵循的环节范例。程序文献提供信息系统审计工作开展中如何达成相关标准的 信息，但并非硬性规定。信息系统审计程序的目的是为达成信息系统审计标准提供进一步信息。 COBIT®资源应被当作最佳操作实行指南的来源。COBIT 框架强调，“保护公司的所有资产是管理层的责任， 为履行这一责任以及 实现公司的盼望，管理层必须建立起一套完善的内部监控体系。” COBIT 为信息系统管理环境提供了具体的监控和监控方法。 基于特殊的COBIT 信息技术程序选择和对COBIT 信息标准的考虑来选用与特定审计范围最相关的材料。 依 COBIT 框架中所定义，以下各项由IT 管理程序进行组织。COBIT 为商业及IT 管理层以及信息系统审计师而计，所以它的运用有 助于商业目的的理解，最佳操作实行的交流和围绕已经达成共识和广受尊重的标准参考体系的意见的形成。COBIT 涉及： 􀂄 监控目的—广义上所需达成的最低限度良好监控之总括和详述。 􀂄 监控实行—监控目的的实务原理和“如何实现”监控目的的指南。 􀂄 审计指南—对于不同监控领域，如何理解和评估各种监控，考核监控的符合性和证实失控风险的指南。 􀂄 管理方针—如何运用成熟度模型，指标和关键性成功因素等方法来评估和提高IT 程序执行绩效的指南。它们提供一种针对管 理层的框架应用于连续性和自发性的监控自我评估，特别专注于： – 绩效衡量—IT 功能支持商用需求效果如何？管理方针既可用于支持自我评估的专题研讨，也可被管理层作为IT 管治方案 的一部分，用以支持连续监督和程序改善的推行。 – IT 监控概况—哪些IT 程序是重要的？哪些是监控的关键性成功因素？ – 监控意识—达不到目的会有哪些风险？ – 监控基准—其别人做了什么？如何衡量和比较结果？管理方针提供了对IT 绩效的范例指标，可用于商业意义上对IT 执 行绩效的评估。关键的目的指标可以辨认并衡量IT 程序的成果，同时关键的执行绩效指标可以通过衡量程序的实现者来 评估程序的执行绩效。透过成熟度模型和成熟度属性提供能力评估和基准，帮助管理层衡量监控能力，找到差距并提出 相应改善策略。 术语表可在ISACA 的网站：.org/glossary 上查阅。审计和审查这两个词可以互换使用。 免责声明根据ISACA 职业道德规范中对职业责任的规定，ISACA 设计本指南作为执行绩效所应达成的最低标准。ISACA 并未声 明使用此产品一定会出现成功的结果。本出版物不能被视作涉及所有合适的程序和测试，也不能被视作排斥通过合理引导获得同 样结果的其它程序和测试。在决定任何具体的程序或测试的合理性时，监控专业人士应根据其自身的专业判断来判别由特定系统 或信息技术环境产生的特定监控条件。 ISACA 标准管理委员会致力于为信息系统审计标准、指南和程序的制定作出广泛的征询。在发布任何文献之前，标准管理委员会 向全球提供公开草案，供大众评论。标准管理委员会也寻求相关领域的专家和相关人士对必要处提出征询意见。标准管理委员会 现有研发计划，欢迎ISACA 成员和其它相关人士报告任何新出现问题及其所需的新标准。所有建议请电邮至 ()。或传真（+1.847.253.1443）或写信（地址在文献末尾）至ISACA 国际总部，收件人注明研究标准和学 术关系主任。本材料于 2023 年10 月15 日颁布。 信息系统审计标准 职业道德和标准 文献号S3 第2 页：职业道德和标准信息系统审计标准 职业道德和标准S3 引言 01 ISACA 标准和其它相关指南包含强制性的基本原则和重要程序（以粗体标出）。 02 制定信息系统审计标准的目的是为信息系统审计师确立标准并提供指南，以使信息系统审计师遵守ISACA 职业道德规范，正 确履行审计职责。 标准 03 信息系统审计师应当遵守ISACA 职业道德规范的规定。 04 信息系统审计师应当对的履行审计职责，其中涉及遵守相应的职业审计标准。 注释 05 由ISACA 所发布的职业道德规范将会被不定期地修订，以保证与审计行业中最新出现的趋势和规定的一致性。ISACA 的 成员及信息系统审计师应当与最新的职业道德规范保持一致，并且在以信息审计师身份担任审计职责时遵照执行。 06 由ISACA 所发布的信息审计标准会被定期审查，以不断改善，并且会随着审计行业中不断出现的挑战做出必要的修订。 ISACA 的成员及信息系统审计师应当了解最新合用的信息系统审计标准，并且在执行审计任务过程中对的地履行审计职 责。 07 假如未能遵守ISACA 职业道德规范以及/或者信息审计标准，相关ISACA 成员或CISA 持有人就会受到操行方面的调查， 最终还会受到纪律处分。 08 ISACA 的成员及信息系统审计师应当与他们同工作组的成员进行沟通，保证各工作组在执行审计任务的过程中，遵守职 业道德规范和合用的信息系统审计标准。 09 信息系统审计师在承担审计任务中，应当按照合用的职业道德规范和信息系统审计标准，妥善解决所有的利益关系。如 果无法完全遵守或在形式上无法完全遵守职业道德规范和信息系统审计标准，信息系统审计师应当考虑退出所从事的审 计项目。 10 信息系统审计师应当保持最高度的诚实和正直，在争取和执行审计任务的过程中，不得采用任何也许被看作非法的、不 道德的或非专业的方法。 11 如需获得关于职业道德和标准的进一步信息，请参考以下指南： 􀂄 信息系统审计指南G19，不规范和非法审计行为 􀂄 信息系统审计指南G7，合法的职业行为 􀂄 信息系统审计指南G12，组织关系和独立性 􀂄 COBIT 框架，监控目的M4 实行日期 12 此信息系统审计标准合用于所有信息系统的审计工作，于2023 年1 月1 日起实行。 信息系统审计与控制协会2023-2023 年标准管理委员会 Chair, Sergio Fleginsky, CISA PricewaterhouseCoopers, Uruguay Svein Aldal Aldal Consulting, Norway John Beveridge, CISA, CISM, CFE, CGFM, CQA Office of the Massachusetts State Auditor, USA Claudio Cilli, Ph.D., CISA, CISM, CIA, CISSP Value Partners, Italy Christina Ledesma, CISA, CISM Citibank NA Sucursal, Uruguay Andrew MacLeod, CISA, CIA, FCPA, MACS, PCP Brisbane City Council, Australia V. Meera, CISA, CISM, ACS, CISSP, CWA Microsoft Corporation, USA Ravi Muthukrishnan, CISA, CISM, FCA, ISCA NextLinx India Private Ltd., India Peter Niblett, CISA, CISM, CA, CIA, FCPA WHK Day Neilson, Australia John G. Ott, CISA, CPA Aetna Inc., USA Thomas Thompson, CISA Ernst & Young, UAE © Copyright 2023 Information Systems Audit and Control Association 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 USA 电话：+1.847.253.1545 传真：+1.847.253.1443 E-mail: 网站：.org__ 信息系统（IS）审计的专业性和进行这类审计所需的技术，规定制定出专门合用于信息系统审计的标准。推动全球合用的标准以 实现这个目的是信息系统审计与控制协会（ISACA®）的宗旨之一。信息系统审计标准的发展和传播是ISACA 为审计业界作出专 业奉献的基础。信息系统审计标准的框架提供了多层次的指引： 􀂄 标准为信息系统审计和报告定义了强制性的规定。它们宣告： – 根据ISACA 职业道德规范中关于职业责任的规定，信息系统审计师的执行绩效所应达成的最低标准。 – 管理层和其他利益方对执业者在专业工作上的期待。 – 认证信息系统审计师（CISA®）资格持有人的相关特定规定。CISA 资格持有人未能遵守上述标准的也许会导致ISACA 董事会或相应ISACA 委员会对其进行调查直至最终的纪律处分。 􀂄 指南为信息系统审计标准的实行提供了指引。信息系统审计师在标准的实行程序中应参考指南，同时作出职业判断，对背离 标准的做法应随时提供解释。信息系统审计指南的目的是为达成信息系统审计标准提供进一步信息。 􀂄 程序为信息系统审计师提供审计项目中可以遵循的环节范例。程序文献提供信息系统审计工作开展中如何达成相关标准的 信息，但并非硬性规定。信息系统审计程序的目的是为达成信息系统审计标准提供进一步信息。 COBIT®资源应被当作最佳操作实行指南的来源。COBIT 框架强调，“保护公司的所有资产是管理层的责任， 为履行这一责任以及 实现公司的盼望，管理层必须建立起一套完善的内部监控体系。” COBIT 为信息系统管理环境提供了具体的监控和监控方法。 基于特殊的COBIT 信息技术程序选择和对COBIT 信息标准的考虑来选用与特定审计范围最相关的材料。 依 COBIT 框架中所定义，以下各项由IT 管理程序进行组织。COBIT 为商业及IT 管理层以及信息系统审计师而计，所以它的运用有 助于商业目的的理解，最佳操作实行的交流和围绕已经达成共识和广受尊重的标准参考体系的意见的形成。COBIT 涉及： 􀂄 监控目的—广义上所需达成的最低限度良好监控之总括和详述。 􀂄 监控实行—监控目的的实务原理和“如何实现”监控目的的指南。 􀂄 审计指南—对于不同监控领域，如何理解和评估各种监控，考核监控的符合性和证实失控风险的指南。 􀂄 管理方针—如何运用成熟度模型，指标和关键性成功因素等方法来评估和提高IT 程序执行绩效的指南。它们提供一种针对管 理层的框架应用于连续性和自发性的监控自我评估，特别专注于： – 绩效衡量—IT 功能支持商用需求效果如何？管理方针既可用于支持自我评估的专题研讨，也可被管理层作为IT 管治方案 的一部分，用以支持连续监督和程序改善的推行。 – IT 监控概况—哪些IT 程序是重要的？哪些是监控的关键性成功因素？ – 监控意识—达不到目的会有哪些风险？ – 监控基准—其别人做了什么？如何衡量和比较结果？管理方针提供了对IT 绩效的范例指标，可用于商业意义上对IT 执 行绩效的评估。关键的目的指标可以辨认并衡量IT 程序的成果，同时关键的执行绩效指标可以通过衡量程序的实现者来 评估程序的执行绩效。透过成熟度模型和成熟度属性提供能力评估和基准，帮助管理层衡量监控能力，找到差距并提出 相应改善策略。 术语表可在ISACA 的网站：.org/glossary 上查阅。审计和审查这两个词可以互换使用。 免责声明根据ISACA 职业道德规范中对职业责任的规定，ISACA 设计本指南作为执行绩效所应达成的最低标准。ISACA 并未声 明使用此产品一定会出现成功的结果。本出版物不能被视作涉及所有合适的程序和测试，也不能被视作排斥通过合理引导获得同 样结果的其它程序和测试。在决定任何具体的程序或测试的合理性时，监控专业人士应根据其自身的专业判断来判别由特定系统 或信息技术环境产生的特定监控条件。 ISACA 标准管理委员会致力于为信息系统审计标准、指南和程序的制定作出广泛的征询。在发布任何文献之前，标准管理委员会 向全球提供公开草案，供大众评论。标准管理委员会也寻求相关领域的专家和相关人士对必要处提出征询意见。标准管理委员会 现有研发计划，欢迎ISACA 成员和其它相关人士报告任何新出现问题及其所需的新标准。所有建议请电邮至 ()。或传真（+1.847.253.1443）或写信（地址在文献末尾）至ISACA 国际总部，收件人注明研究标准和学 术关系主任。本材料于 2023 年10 月15 日颁布。 信息系统审计标准 职业能力 文献号S4 第2 页：职业能力信息系统审计标准 职业能力S4 引言 01 ISACA 信息系统审计标准和其它相关指南包含强制性的基本原则和重要程序（以粗体标出）。 02 制定信息系统审计标准的目的是为信息系统审计师确立和提供指南，以使他们按规定达成并保持职业能力。 标准 03 信息系统审计师应当有合格的职业能力，具有进行审计工作的相应知识和技能。 04 信息系统审计师应当通过连续的职业教育和培训保持良好的职业能力。 注释 05 信息系统审计师必须合理保证在开始某个项目前具有良好的职业能力（涉及与所计划的任务相关的专业技能、专业知识和工 作经验）。不具有的信息系统审计师，则应拒绝或退出相关项目。 06 假如具有CISA 认证或其他审计相关职业资格，信息系统审计师必须符合连续职业教育或其他的职业发展规定。ISACA 的成 员如不具有CISA 认证证书或其他的审计相关特定职业资格，在其从事信息系统审计相关工作时，必须通过足够的正规教 育、培训和工作经验。 07 当领导一个审计组从事某项审计项目时，信息系统审计师必须合理保证审计组中的每个人员都具有完毕该审计项目相应的职 业能力水平。 08 如需获得关于职业能力的进一步信息，请参考以下指南： 􀂄 CISA 认证和培训材料 􀂄 CISA 连续认证和教育规定 􀂄 COBIT 框架，监控目的M2、M3、及M4 实行日期 09 此信息系统审计标准合用于所有信息系统的审计工作，于2023 年1 月1 日起实行。 信息系统审计与控制协会2023-2023 年标准管理委员会 Chair, Sergio Fleginsky, CISA PricewaterhouseCoopers, Uruguay Svein Aldal Aldal Consulting, Norway John Beveridge, CISA, CISM, CFE, CGFM, CQA Office of the Massachusetts State Auditor, USA Claudio Cilli, Ph.D., CISA, CISM, CIA, CISSP Value Partners, Italy Christina Ledesma, CISA, CISM Citibank NA Sucursal, Uruguay Andrew MacLeod, CISA, CIA, FCPA, MACS, PCP Brisbane City Council, Australia V. Meera, CISA, CISM, ACS, CISSP, CWA Microsoft Corporation, USA Ravi Muthukrishnan, CISA, CISM, FCA, ISCA NextLinx India Private Ltd., India Peter Niblett, CISA, CISM, CA, CIA, FCPA WHK Day Neilson, Australia John G. Ott, CISA, CPA Aetna Inc., USA Thomas Thompson, CISA Ernst & Young, UAE © Copyright 2023 Information Systems Audit and Control Association 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 USA 电话：+1.847.253.1545 传真：+1.847.253.1443 E-mail: 网站：.org__ 信息系统（IS）审计的专业性和进行这类审计所需的技术，规定制定出专门合用于信息系统审计的标准。推动全球合用的标准以 实现这个目的是信息系统审计与控制协会（ISACA®）的宗旨之一。信息系统审计标准的发展和传播是ISACA 为审计业界作出专 业奉献的基础。信息系统审计标准的框架提供了多层次的指引： 􀂄 标准为信息系统审计和报告定义了强制性的规定。它们宣告： – 根据ISACA 职业道德规范中关于职业责任的规定，信息系统审计师的执行绩效所应达成的最低标准。 – 管理层和其他利益方对执业者在专业工作上的期待。 – 认证信息系统审计师（CISA®）资格持有人的相关特定规定。CISA 资格持有人未能遵守上述标准的也许会导致ISACA 董事会或相应ISACA 委员会对其进行调查直至最终的纪律处分。 􀂄 指南为信息系统审计标准的实行提供了指引。信息系统审计师在标准的实行程序中应参考指南，同时作出职业判断，对背离 标准的做法应随时提供解释。信息系统审计指南的目的是为达成信息系统审计标准提供进一步信息。 􀂄 程序为信息系统审计师提供审计项目中可以遵循的环节范例。程序文献提供信息系统审计工作开展中如何达成相关标准的 信息，但并非硬性规定。信息系统审计程序的目的是为达成信息系统审计标准提供进一步信息。 COBIT®资源应被当作最佳操作实行指南的来源。COBIT 框架强调，“保护公司的所有资产是管理层的责任， 为履行这一责任以及 实现公司的盼望，管理层必须建立起一套完善的内部监控体系。” COBIT 为信息系统管理环境提供了具体的监控和监控方法。 基于特殊的COBIT 信息技术程序选择和对COBIT 信息标准的考虑来选用与特定审计范围最相关的材料。 依 COBIT 框架中所定义，以下各项由IT 管理程序进行组织。COBIT 为商业及IT 管理层以及信息系统审计师而计，所以它的运用有 助于商业目的的理解，最佳操作实行的交流和围绕已经达成共识和广受尊重的标准参考体系的意见的形成。COBIT 涉及： 􀂄 监控目的—广义上所需达成的最低限度良好监控之总括和详述。 􀂄 监控实行—监控目的的实务原理和“如何实现”监控目的的指南。 􀂄 审计指南—对于不同监控领域，如何理解和评估各种监控，考核监控的符合性和证实失控风险的指南。 􀂄 管理方针—如何运用成熟度模型，指标和关键性成功因素等方法来评估和提高IT 程序执行绩效的指南。它们提供一种针对管 理层的框架应用于连续性和自发性的监控自我评估，特别专注于： – 绩效衡量—IT 功能支持商用需求效果如何？管理方针既可用于支持自我评估的专题研讨，也可被管理层作为IT 管治方案 的一部分，用以支持连续监督和程序改善的推行。 – IT 监控概况—哪些IT 程序是重要的？哪些是监控的关键性成功因素？ – 监控意识—达不到目的会有哪些风险？ – 监控基准—其别人做了什么？如何衡量和比较结果？管理方针提供了对IT 绩效的范例指标，可用于商业意义上对IT 执 行绩效的评估。关键的目的指标可以辨认并衡量IT 程序的成果，同时关键的执行绩效指标可以通过衡量程序的实现者来 评估程序的执行绩效。透过成熟度模型和成熟度属性提供能力评估和基准，帮助管理层衡量监控能力，找到差距并提出 相应改善策略。 术语表可在ISACA 的网站：.org/glossary 上查阅。审计和审查这两个词可以互换使用。 免责声明根据ISACA 职业道德规范中对职业责任的规定，ISACA 设计本指南作为执行绩效所应达成的最低标准。ISACA 并未声 明使用此产品一定会出现成功的结果。本出版物不能被视作涉及所有合适的程序和测试，也不能被视作排斥通过合理引导获得同 样结果的其它程序和测试。在决定任何具体的程序或测试的合理性时，监控专业人士应根据其自身的专业判断来判别由特定系统 或信息技术环境产生的特定监控条件。 ISACA 标准管理委员会致力于为信息系统审计标准、指南和程序的制定作出广泛的征询。在发布任何文献之前，标准管理委员会 向全球提供公开草案，供大众评论。标准管理委员会也寻求相关领域的专家和相关人士对必要处提出征询意见。标准管理委员会 现有研发计划，欢迎ISACA 成员和其它相关人士报告任何新出现问题及其所需的新标准。所有建议请电邮至 ()。或传真（+1.847.253.1443）或写信（地址在文献末尾）至ISACA 国际总部，收件人注明研究标准和学 术关系主任。本材料于 2023 年10 月15 日颁布。 信息系统审计标准 计划 文献号S5 第2 页：计划信息系统审计标准 计划 S5 引言 01 ISACA 信息系统标准和其它相关指南包含强制性的基本原则和重要程序（以粗体标出）。 02 制定信息系统审计标准的目的是为计划审计工作确立相应的标准和提供指南。 标准 03 信息系统审计师必须计划信息系统审计的纲要，以针对审计目的并符合相关法规和职业审计标准。 04 信息系统审计师必须起草并以书面形式记录一份基于风险评估的审计方法。 05 信息系统审计师必须起草并以书面形式记录一份审计计划书，详述审计目的及其性质、审计时间和范围、以及所需相关 资源。 06 信息系统审计师必须起草审计项目计划和审计程序。 注释 07 内部审计部门必须对延续性的工作至少按年度起草/更新计划书。此计划书将作为此后审计工作的框架并明确审计章程所阐述 的职责。新的或更新过的计划书必须获得审计委员会（如设立）的通过。 08 外部信息系统审计师参与每项审计或非审计任务时通常应当备妥计划书。此计划书必须以书面形式说明该审计项目所要达成 的目的。 09 信息系统审计师必须了解审计对象的活动。审计对象组织的属性、组织所处的环境、风险以及审计目的决定这种了解所需达 到的限度。 10 信息系统审计师必须进行风险评估，以保证在其审计工作中涵盖所有重要材料。之后，才可制定相应的审计策略，重要性水 平，并掌握审计资源。 11 当审计工作中出现新的风险、不对的的假设，或者从已经执行的程序中得到新的发现，则审计项目和/或计划书也许需要随之 做出针对性调整。 12 为获得有关准备审计计划更进一步的信息，请参考下列指南： 􀂄 信息系统审计指南G6，信息系统审计的实质范围观念 􀂄 信息系统审计指南G15，信息系统审计的计划 􀂄 信息系统审计指南G13，审计计划中风险评估的运用 􀂄 信息系统审计指南G16，第三方对某一组织的信息技术监控的影响 􀂄 COBIT 框架，监控目的 实行日期 13 此信息系统审计标准合用于所有信息系统的审计工作，于2023 年1 月1 日起实行。 信息系统审计与控制协会2023-2023 年标准管理委员会 Chair, Sergio Fleginsky, CISA PricewaterhouseCoopers, Uruguay Svein Aldal Aldal Consulting, Norway John Beveridge, CISA, CISM, CFE, CGFM, CQA Office of the Massachusetts State Auditor, USA Claudio Cilli, Ph.D., CISA, CISM, CIA, CISSP Value Partners, Italy Christina Ledesma, CISA, CISM Citibank NA Sucursal, Uruguay Andrew MacLeod, CISA, CIA, FCPA, MACS, PCP Brisbane City Council, Australia V. Meera, CISA, CISM, ACS, CISSP, CWA Microsoft Corporation, USA Ravi Muthukrishnan, CISA, CISM, FCA, ISCA NextLinx India Private Ltd., India Peter Niblett, CISA, CISM, CA, CIA, FCPA WHK Day Neilson, Australia John G. Ott, CISA, CPA Aetna Inc., USA Thomas Thompson, CISA Ernst & Young, UAE © Copyright 2023 Information Systems Audit an