下载文档原格式
CISA考试复习关键点第一章信息系统审计程序★必须的知识点1、ISACA发布的信息系统审计标准、准则、程序和职业道德规范2、IS审计实务和技术3、收集信息和保存证据的技术(如观察、调查问卷、谈话、计算机辅助审计技术、电子介质)4、证据的生命周期(如证据的收集、保护和证据之间的相关性)5、与信息系统相关的控制目标和控制(如C}}I}'模型)6、审计过程中的风险评估7、审计计划和管理技术8、报告和沟通技术(如推进、商谈、解决冲突)9、控制自我评估(CSA)10、持续审计技术(即:连续审计技术)★可能的考试重点ISACA审计标准的变化:违规和非法行为、IT治理、在审计计划中运用风险评估ISACA审计指南索引与审计程序索引(不重要)COBIT(了解和补充)审计程序(必考内容)舞弊检查(审计师的职业谨慎、内部控制和舞弊)面谈并观察员工履行职责情况(审计师识别职能、实际过程、安全意识和报告关系,原第二章内容)补偿控制与审计发现的重要性水平(重要)审计报告(一般不会问到格式,考虑沟通技巧和报告关系)控制自我评估:CSA混合方式、CSA优缺点、审计师在CSA中的作用信息系统审计程序的新变化:电子底稿、综合审计、连续审计与在线审计★知识点摘要审计章程信息系统审计(简称:ls审计,下同)职能的角色应该建立在审计章程的基础上。
一般,Is审计是内部审计的一部分;因此,审计章程还包括其他的审计职能。
审计章程应当清楚地说明管理层对于巧审计职能的的责任、目标和委托授权。
审计章程还应全局性地说明审计职能的授权、业务范围和责任。
最高管理层和审计委员会,应当批准这部章程。
一旦创立,就只有在非常必要、并经过充分的论证后才允许变更审计章程。
IsACA信息系统审计标准要求审计章程或业务委托书上适当地描述信息系统审计职能的责任、授权和义务。
对审计师技能的要求lS审计师是有限的资源,Is技术又日新月异地飞忆速发展。
于是,Is审计师通过不断更新技能通过培训直接获得新的审计技术等方式,保持其执业资格是非常重要的。
有限公司
信息安全适用性声明
变更记录
目录
1 目的与范围 (4)
2 相关文件 (4)
3 职责 (4)
4 声明 (4)
A.5安全方针 (5)
A.6安全组织 (5)
A.7资产管理 (8)
A.8人力资源安全 (10)
A.9实物与环境安全 (12)
A.10通信和操作管理 (15)
A.11访问控制 (22)
A.12信息系统获取、开发和维护 (27)
A.13信息安全事件管理 (31)
A.14业务持续性管理 (33)
A.15符合性 (34)
信息安全适用性声明
1 目的与范围
本声明描述了在ISO27001:2005附录A中,适用于本公司信息安全管理体系的目标/控制、是否选择这些目标/控制的理由、公司现行的控制方式、以及实施这些控制所涉及的相关文件。
2 相关文件
ISMS-1001《信息安全管理手册》
3 职责
《信息安全适用性声明》由行政部编制、修订,由管理者代表批准。
4 声明
本公司按ISO27001:2005建立信息安全管理体系。
根据公司风险评估的结果和风险可接受水平,ISO27001:2005附录A的下列条款被选择(或不选择)用于本公司信息安全管理体系。
A.5安全方针
A.6安全组织
A.7资产管理
A.8人力资源安全
A.9物理与环境安全
A.10通信和操作管理
A.11访问控制
A.12信息系统获取、开发和维护
A.13信息安全事件管理
A.14业务持续性管理
A.15符合性。
it审计标准IT审计是独立于信息系统本身、信息系统相关开发、使用人员的第三方IT 审计师采用客观的标准对信息系统的策划、开发、使用维护等相关活动和产物进行完整地、有效地检查和评估。
一、公司层面控制所需资料、文件:1、IT 部门架构图、IT人员职责说明2、IT 预算、策略和年度规划3、IT内部、IT 与业务部门、IT与管理层之会议记录4、与第三方供货商之服务协议(若 IT服务外判)5、IT 风险评估制度和报告6、财务系统与其它系统间之数据流程图7、IT内部审计报告和审计发现之跟进要求:1、完整清晰的部门架构以及职员职责说明;2、有完善的费用预算机制,有经过授权并正式签发的费用预算文件;有与公司战略相匹配的T策略及每年的年度规划;3、内部、与业务部门、与管理层之间的会议记录;4、签订相关服务合同;5、完善的风险评估机制,或引进专业风险评估机构;6、提供数据流程图;7、应建立内审机制并定期内审,以辅助外审,建议引进专业机构定期内审。
二、信息安全(一)信息安全制度、用户信息安全意识所需资料、文件:1、信息技术安全规章制度2、令员工充份了解信息技术安全规章制度的措施3、信息安全培训记录要求:1、制定完善的安全规章制度,并采取广泛的宣传措施将该制度灌输至每位公司员工;规2、章制度写入员工手册并印发,新员工入职便能了解公司要求,并做定期培训,做好培训记录。
(二)物理安全所需资料、文件:1、机房物理安全规章2、保安设施(如门禁系统、访客记录)要求:1、物理要求:门禁系统、烟雾报警器(置于地板夹层或顶棚夹层)、监控、DPS、空调(接UPS)、干粉灭火器、防火防水装修材料;2、机房管理:专人管理钥匙、有访客记录、机柜门应上锁;3、服务器管理:密码变更设置(文档/流程/频率)、密码策略(windows/sql用户密码强制策略、windows帐号锁定策略、密码长度8位以上、历史密码6次)、windows界面自动锁定、应急管理/流程(备用钥匙、密码文件密封置于机房上锁的柜子中或密封的信封里面);4、机房显眼处应有机房管理制度。
信息系统审计管理办法第一章总则第一条为加强和规范公司信息系统审计工作,明确审计职责及工作范围,根据《内部审计具体准则第2203号-信息系统审计》等有关规定和要求,制定本办法。
第二条信息系统审计是指由公司审计部或外部审计机构对公司的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动。
第三条信息系统审计的目的是通过实施信息系统审计,对公司是否实现信息技术管理目标进行审查和评价,提出管理建议,协助信息技术管理人员有效地履行职责。
公司的信息技术管理目标主要包括:(一)保证公司的信息技术战略充分反映公司整体战略目标;(二)提高公司信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性;(三)提高信息系统运行的效率与效果,合理保证信息系统的运行符合法律法规及监管机构的要求。
第四条信息系统审计可以作为独立的审计项目组织实施,也可以作为综合性内部审计项目的组成部分实施。
第五条本规定适用于公司对内开展的有关信息系统审计的各项活动。
第二章审计机构、人员及职责第六条信息系统审计工作可由审计部组织实施,也可聘请具备相关资质的外部审计机构开展。
第七条公司在审计部设立信息审计岗位,负责信息科技审计制度制订和信息系统审计工作。
第八条根据工作需要,经公司管理层批准,可以聘请外部审计机构开展信息系统审计,所聘请的外部审计机构应具备足够的独立性、客观性和专业胜任能力,并遵守公司审计作业管理规定。
公司按照采购规定进行外部审计机构选聘工作,审计部负责协调外部审计人员实施信息系统审计工作。
第九条从事信息系统审计的审计人员应当具备必要的信息技术及信息系统审计专业知识、技能和经验,以及应有的职业审慎。
第十条信息系统审计人员责任包括计划、实施信息系统审计工作并按要求出具审计报告。
第十一条信息技术部门应积极配合信息系统审计人员开展相关审计工作,其他相关部门应按要求协助开展信息系统审计工作。
第十二条公司应定期或不定期组织内部审计人员开展有关信息系统及技术的专业知识培训,培训方式可采用自主或委外方式开展。
第2203号内部审计具体准则——信息系统审计2013-08-28 08:34:46第一章总则第一条为了规范信息系统审计工作,提高审计质量和效率,根据《内部审计基本准则》,制定本准则。
第二条本准则所称信息系统审计,是指内部审计机构和内部审计人员对组织的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动。
第三条本准则适用于各类组织的内部审计机构、内部审计人员及其从事的信息系统审计活动。
其他组织或者人员接受委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。
第二章一般原则第四条信息系统审计的目的是通过实施信息系统审计工作,对组织是否实现信息技术管理目标进行审查和评价,并基于评价意见提出管理建议,协助组织信息技术管理人员有效地履行职责。
组织的信息技术管理目标主要包括:(一)保证组织的信息技术战略充分反映组织的战略目标;(二)提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性;(三)提高信息系统运行的效果与效率,合理保证信息系统的运行符合法律法规以及相关监管要求。
第五条组织中信息技术管理人员的责任是进行信息系统的开发、运行和维护,以及与信息技术相关的内部控制的设计、执行和监控;信息系统审计人员的责任是实施信息系统审计工作并出具审计报告。
第六条从事信息系统审计的内部审计人员应当具备必要的信息技术及信息系统审计专业知识、技能和经验。
必要时,实施信息系统审计可以利用外部专家服务。
第七条信息系统审计可以作为独立的审计项目组织实施,也可以作为综合性内部审计项目的组成部分实施。
当信息系统审计作为综合性内部审计项目的一部分时,信息系统审计人员应当及时与其他相关内部审计人员沟通信息系统审计中的发现,并考虑依据审计结果调整其他相关审计的范围、时间及性质。
第八条内部审计人员应当采用以风险为基础的审计方法进行信息系统审计,风险评估应当贯穿于信息系统审计的全过程。
第三章信息系统审计计划第九条内部审计人员在实施信息系统审计前,需要确定审计目标并初步评估审计风险,估算完成信息系统审计或者专项审计所需的资源,确定重点审计领域及审计活动的优先次序,明确审计组成员的职责,编制信息系统审计方案。
国际内部审计师《内部审计基础》强化练习(2022年10月)单项选择题1、IIA的“内部审计新定义”的优点主要有: I .在系统、规范的方法基础上开展内部审计。
II.认识到增加价值、改善组织运营的重要性Ⅲ.适应组织需要,将内部审计的范围定义为风险管理和治理过程,视同风险控制过程的核心专家。
IV.强调内部审计的独特作用在于其独立性和客观性。
A.I和II正确。
B.II正确。
C.IV正确。
D.I、II、Ⅲ和IV都正确。
正确答案:D答案解析IIA将内部审计定义为“一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。
它通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标”“内部审计新定义”的优点主要有:在系统、规范的方法基础上开展内部审计;适应组织需要,将内部审计的范围定义为风睑管理和治理过程,视同风险控制过程的核心专家;认识、到内部审计提供的确认和咨询服务;强调内部审计的独特作用在于其独立性和客观性;认银到增加价值、改善组织运营的重要性,内部审计提供的确认服务与外部机构提供的服务有所不同。
考察知识点内部审计的定义2、根据《标准》,以下哪项内容不需要在内部审计章程中规定?A.首席审计执行官的任期不得超过3年。
B.规定内部审计活动的范围。
C.内部审计活动在组织中的地位。
D.授权审计人员接触与开展审计工作相关的记录、人员和实物财产。
正确答案:A答案解析根据《标准》“1010—在内部审计章程中确认强制性指南”的规定,《内部审计实务的核心原则》、《职业道德规范》、《标准》和“内部审计定义”的强制性质必须在内部审计章程中得到确认。
而《标准》“1000—宗旨、权力和职责”要求内部审计章程应该:确定内部审计活动在组织中的地位;授权审计人员接触与开展审计工作相关的记录、人员和实物财产;规定内部审计活动的范围。
考察知识点内部审计章程必备的内容3、在内部审计活动开展某些活动时,以下哪些情形,聘用外部服务提供者可能不会存在利益冲突?A.外部服务提供者持有本企6.8%以上的股份。
信息系统安全审计管理制度
一、审计管理制度实施原则
1.遵守宪法和法律
确保审计管理制度的实施符合宪法和法律的规定,不以任何方式违反宪法和法律,坚持法治原则。
2.维护公司利益
确保审计管理制度的实施符合公司的经营利益,严格把控审计风险,维护公司信息系统的安全。
3.公平公正公开
确保审计管理制度的实施公平、公正、公开,以安全保障公司信息系统的安全。
4.重视细节
确保审计管理制度的实施尽可能深入到每一个细节,确保审计工作的准确性、准确性和有效性。
二、审计内容
1.系统安全性审计
对公司信息系统进行安全性审计,确保信息系统的安全性、可靠性和可控性。
2.访问权限审计
审计各类访问权限,确保受限信息的可靠性和安全性。
3.病毒防护审计
审计公司信息系统的病毒防护条件,确保信息安全免受病毒侵害。
4.日志审计
审计日志记录情况,发现不正当行为的情况,并及时报告有关部门。
5.隐私数据审计
审计公司信息系统中的隐私数据,确保数据的安全性、可靠性和有效性。
三、审计管理架构
1.审计管理部门
审计管理部门是负责审计管理工作的部门。
国际内部审计实务标准1000-宗旨、权力和职责内部审计部门的宗旨、权力和职责必须在内部审计章程中按照内部审计定义、职业道德规范和标准的相关内容正式确定;首席审计执行官必须定期审查内部审计章程,并提交高级管理层和董事会审批;释义内部审计章程是确定内部审计活动宗旨、权力和职责的正式文件;它确立了内部审计部门在组织内部的地位,授权内部审计部门接触与业务开展相关的记录、人员和实物资产,界定内部审计活动的范围;内部审计章程的最终审批权在董事会;向组织提供的确认服务的性质必须在内部审计章程中明确规定;如果内部审计部门向组织外部的有关方面提供确认服务,则此类确认服务的性质也必须在内部审计章程中确定;咨询服务的性质必须在内部审计章程中确定;1010-在内部审计章程中确认“内部审计定义”、职业道德规范和标准“内部审计定义”、职业道德规范和标准的强制性质必须在内部审计章程中得到确认;首席审计执行官应当向高级管理层和董事会解释并讨论“内部审计定义”、职业道德规范和标准;1100-独立性和客观性内部审计部门必须保持其独立性,内部审计师必须客观地开展工作;释义独立性指内部审计部门或首席审计执行官不偏不倚地履行职责,免受任何威胁其履职能力的情况影响;要达到有效履行内部审计部门职责所必须的独立程度,首席审计执行官需要直接且无限制地与高级管理层和董事会接触;这一要求可以通过建立双重报告关系来实现;独立性所面临的各种威胁必须在审计师个人、具体业务、职能部门和整个组织等不同层面上得到解决;客观性指不偏不倚的工作态度,保持客观性,内部审计师方可在开展业务时确信其工作成果,不做任何质量方面的妥协;客观性要求内部审计师对于审计事项的判读不得屈服于他人;客观性所面临的各种威胁必须在审计师个人、具体业务、职能部门和整个组织等不同层面上得到解决;1110-组织的独立性首席审计执行官必须向组织内部能够确保内部审计部门履行职责的层级报告;首席审计执行官必须至少每年一次向董事会确认内部审计部门在组织中的独立性;内部审计部门在确定内部审计范围、开展工作和报告结果时,必须免受干扰;1111-与董事会的直接互动首席审计执行官必须与董事会直接沟通和互动;1120-个人的客观性内部审计师必须有公正、不偏不倚的态度,避免任何利益冲突;释义利益冲突是备受信赖的内部审计师面临与其职责相冲突的职业或个人利益的情况;这些职业或个人利益会影响内部审计师公正地履行职责;在不产生不道德或不恰当行为后果的情形下也会发生利益冲突;利益冲突可造成不当表象,削弱人们对内部审计师、内部审计活动以及整个内部审计职业的信心;利益冲突更可损害内部审计师个人客观履行其职责的能力;1130-对独立性或客观性的损害如果独立性或客观性受到实质上或形式上的损害,必须向适当的对象披露损害的具体情况;披露的性质视受损情况而定;释义对组织独立性和个人客观性的损害可能包括但不限于:个人利益冲突,工作范围限制,接触记录、个人和实物资产的限制,在经费等资源方面受到约束等;独立性或客观性受损的细节必须披露的适当对象,取决于内部审计章程所记载的内部审计部门和首席执行官应当对高级管理层和董事会承担的责任,以及损害的性质;内部审计师必须避免评价其以往负责的特定业务;如果内部审计师为其在上一年度内负责的业务提供确认服务,则其客观性视为受到损害;确认服务涉及首席审计执行官负责的职能领域时,必须由独立于内部审计部门的某一方面进行监督;内部审计师可以对其以往负责的业务提供咨询服务;若内部审计师可能会损害拟开展的咨询服务的独立性或客观性时,必须在接受该业务之前向客户披露;1200-专业能力与应有的职业审慎内部审计师在开展业务时,必须具备专业能力和应有的职业审慎;1210-专业能力内部审计师必须具备履行其职责所必须的知识、技能和其他能力;内部审计部门整体必须具备或获得履行其职责所必须的知识、技能和其他能力;释义“知识、技能和其他能力”是一个集合术语,是内部审计师有效履行其职责所必须的专业水平;鼓励内部审计师通过确定适当的专业资格证书和认证,例如国际内部审计协会和其他相关专业组织提供的“注册内部审计师”和其他认证,以证明其专业能力;当内部审计师缺乏完成全部或部分业务所必须的知识、技能或其他能力时,首席审计执行官必须向他人寻求充分的专业建议和协助;内部审计师必须充分了解有关评估舞弊风险以及所在组织管理舞弊风险的知识,但不期望内部审计师掌握以发现和调查舞弊为首要职责的人员所具备的专业技能;内部审计师缺乏完成全部或部分咨询业务所必须的知识、技能或其他能力时,首席审计执行官必须谢绝开展此项业务或寻求充分的建议和协助; 1220-应有的职业审慎内部审计师必须具备并保持合理的审慎水平和胜任能力所要求的谨慎和技能;但是,应有的职业审慎并不意味着永不犯错;内部审计师必须通过考虑以下因素,履行其应有的职业审慎:●为实现业务目标而需要开展工作的范围;●所要确认事项的相对复杂性、重要性或严重性;●治理、风险管理和控制过程的适当性和有效性;●发生重大错误、舞弊或不合法的可能性;●与潜在效益相对的确认成本;在履行应有的职业审慎时,内部审计师必须考虑利用技术的审计方法和其他数据分析技术;内部审计师必须警惕可能影响目标、运营或资源的重大风险;但是,即使是应有的职业审慎开展工作,确认程序本身并不能保证发现所有的重大风险;开展咨询业务时,内部审计师必须考虑以下因素,履行其应有的职业审慎:●客户的需要与愿望,包括咨询结果的性质、时间安排与结果沟通;●实现咨询业务目标所需开展工作的相对复杂性和范围;●与潜在效益相对的咨询业务成本;1230-持续职业发展内部审计师必须通过持续职业发展来增加知识、提高技能和其他能力; 1300-质量保证与改进程序内部审计执行官必须建立并维护涵盖内部审计活动所有方面的质量保证与改进程序;释义质量保证与改进程序旨在对内部审计活动是否遵循“内部审计定义”和标准以及内部审计师是否遵守职业道德规范进行评估,还可以用来评价内部审计活动的效果和效率,并识别改进的机会;1310-质量保证与改进程序的要求质量保证与改进程序必须包括内部评估和外部评估;1311-内部评估内部评估必须包括:●对内部审计活动执行情况的持续监督;●通过自我评估或由组织内部其他充分了解内部审计实务的人员进行定期检查;释义持续监督包含在对内部审计活动进行日常监督、检查和测试的过程中;持续监督应纳入管理内部审计活动的日常政策和实践,运用必要的流程、工具和信息对内部审计活动是否遵循“内部审计定义”、职业道德规范和标准作出评估;定期检查是针对内部审计活动是否遵循“内部审计定义”、职业道德规范和标准而开展的评估工作;充分了解内部审计实务要求至少理解国际内部审计专业实务框架的所有要素;1312-外部评估外部评估必须至少每五年开展一次,必须由来之组织外部、合格且独立的检查人员或检查小组负责实施;首席审计执行官必须与董事会讨论:●更为频繁地开展外部评估的必要性;●检查人员或检查小组的资格和独立性,包括任何潜在的利益冲突;释义合格的检查人员或检查小组由能够胜任内部审计专业实务和外部评估工作的人员组成;对检查人员或检查小组胜任能力的评估属于一种判断,需考虑选定人员的内部审计专业经验和专业资格证书,还需要考虑就接受评估的内部审计部门所在组织而言,检查人员所属机构的相对规模和复杂程度,以及是否需要检查人员或检查小组掌握特定部门、行业或技术知识等;独立的检查人员或检查小组意味着与检查工作不存在任何实质上或形式上的利益冲突,不隶属于或受控于被评估的内部审计部门所在的组织; 1320-对质量保证与改进程序的报告首席审计执行官必须向高级管理层和董事会报告质量保证与改进程序的结果;释义质量保证与改进程序结果的报告形式、内容和频率需要通过与高级管理层和董事会讨论确定,同时要考虑内部审计章程明确的关于内部审计部门和首席审计执行官的职责;为反映内部审计活动对“内部审计定义”、职业道德规范和标准的遵循情况,外部评估和定期内部评估的结果在评估完成时应立即报告,持续监督的结果至少每年报告一次;上述结果包括检查人员或检查小组对遵循程度的评估;1321-对“遵循标准”的应用只有在质量保证与改进程序的结果证实内部审计活动遵循了标准时,首席审计执行官才可以进行“遵循标准”的声明;1322-对未遵循情况的披露若未遵循“内部审计定义”、职业道德规范和标准的情况影响到内部审计活动的整体范围或运作,首席审计执行官必须向高级管理层和董事会披露未遵循事项及其影响;工作标准2000-内部审计活动的管理首席审计执行官必须有效地管理内部审计活动,确保为组织增加价值;释义内部审计活动符合下列情况时,属于得到了有效的管理:⏹内部审计部门的工作结果达到了内部审计章程所包含的目的和责任;⏹内部审计活动遵循了“内部审计定义”和标准⏹内部审计人员遵循了职业道德规范和标准2010-计划首席审计执行官必须以风险为基础制定计划,以确定与组织目标相一致的内部审计活动重点;释义首席审计执行官负责以风险为基础制定计划;制定计划时,首席审计执行官需考虑组织的风险管理框架,包括管理层针对不同的业务或部门确定的风险偏好水平;如果尚未建立风险管理框架,首席审计执行官可以与高级管理层和董事会磋商后,自行作出风险判断;内部审计部门的计划必须建立在有记录的风险评估基础上,并至少每年制定一次;在计划制定过程中,必须考虑高级管理层和董事会的意见首席审计执行官在考虑是否接受拟开展的咨询业务时,应当考虑该业务在改善风险管理、增加价值、改善组织运营方面的潜在作用;已经接受的咨询业务必须纳入计划;2020-沟通与批准首席审计执行官必须将内部审计活动的计划和资源需求,包括重大的临时性变化,报高级管理层和董事会审批;首席审计执行官还必须就资源受限制的影响与高级管理层和董事会进行沟通;2030-资源管理首席审计执行官必须确保内部审计资源适当、充分并得到有效配置,以完成获得批准的计划;释义“适当”是指实施计划所必须的知识、技能和其他能力的组合;“充分”是完成计划所必需的资源数量;资源有效配置是指资源以能够最优实现获批计划的方式被运用;2040-政策与程序首席审计执行官必须制定政策和程序,为内部审计活动提供指导;释义政策与程序的形式和内容取决于内部审计部门的规模、架构及其工作的复杂程度;2050-协调首席审计执行官应当与相关确认和咨询服务的其他内外部提供方共享信息、相互协调,以确保适当的工作覆盖面,并尽可能减少重复工作;2060-向高级管理层和董事会报告首席审计执行官必须定期向高级管理层和董事会报告内部审计活动的宗旨、权利、职责及其与计划有关的工作开展情况,报告中还必须包括重大风险披露和控制事项,其中包括舞弊风险、治理以及高级管理层和董事会需要或要求的其他事项;释义报告频率和内容要经过与高级管理层和董事会的讨论后确定,同时取决于所报告信息的重要性以及高级管理层和董事会采取相关行动的紧迫程度; 2100-工作性质内部审计活动必须应用系统、规范的方法,评估并协助改善治理、风险管理和控制过程;2110-治理内部审计活动必须评价并提出适当的改进建议,以改善组织为实现下列目标的治理过程:⏹在组织内部推广适当的道德和价值观;⏹确保整个组织开展有效的业绩管理、建立有效的问责机制;⏹向组织内部有关方面通报风险和控制信息;⏹协调董事会、外部审计师、内部审计师和管理层之间的工作和信息沟通;内部审计部门必须针对组织内与职业道德相关的目标、计划和业务,评估其设计、实施和效果;内部审计活动必须评估组织的信息技术治理是否持续支持组织的战略和目标;咨询业务的目标必须与组织的总体价值和目标保持一致;2120-风险管理内部审计活动必须评估风险管理过程的有效性,并对其改善做出贡献;释义确定风险管理过程是否有效时内部审计师对下列事项进行评估后的判断:●组织目标支持组织的使命并与其保持一致;●重大风险得到识别和评估;●选定适当的风险应对方案,并符合组织的风险偏好;●获取相关的风险信息并在组织内部及时沟通,以便员工、管理层和董事会履行其相关职责;风险管理过程通过持续性管理活动、个别评估或两者结合的方式受到监督;内部审计部门必须评估下列与组织治理、运营及信息系统有关的风险:●财务和运营信息的可靠性和完整性;●运营的效果和效率●资产的安全●对法律、法规及合同的遵循情况;内部审计部门必须评估发生舞弊的可能性以及所在组织如何管理舞弊风险;在开展咨询业务时,内部审计师必须关注与业务目标相关的风险,并警惕其他重大风险的存在;内部审计师必须将开展咨询业务过程中了解到的风险情况,运用于评估组织的风险管理过程;协助管理层建立或改善风险管理过程时,内部审计师必须避免在实际工作中对风险进行管理,从而承担任何管理层的责任;2130-控制内部审计部门必须评估控制的效果和效率,并促进控制持续改进,从而协助组织维持有效的控制;内部审计部门必须评估下列针对组织内部治理、运营和信息系统等风险的控制的适当性和有效性:●财务运营信息的可靠性和完整性;●运营的效率和效果;●资产的安全;●对法律、法规及合同的遵循情况;内部审计师应当确定各项运营及程序的目标和目的的制定情况及其与组织目标和目的符合的程度;内部审计师应当复核各项运营和程序,以确定其结果与既定目标和目的保持一致的程度,并确定运营和程序按计划实施或执行;在开展咨询业务时,内部审计师必须关注与业务目标相关的控制,并警惕重大的控制问题;内部审计师必须将开展咨询业务过程中了解到的控制知识,运用于评估组织的控制过程;2200-业务计划内部审计师开展每项业务都必须制定书面计划,其内容包括业务目标、范围、时间安排以及资源分配等;2201-制定计划时的考虑因素制定业务计划时,内部审计师必须考虑到:●被检查活动的目标及控制其实施的方式;●被检查活动及其目标、资源和运营等存在的重大风险以及将风险的潜在影响控制在可接受水平的方式;●与相关的控制框架或模式相比,被检查活动的风险管理和控制过程的适当性和有效性;●对被检查活动的风险管理和控制过程进行重大改进的可能性;在为组织外部的有关方面制定业务计划时,内部审计师必须与其达成书面协议,明确业务目标、范围、各自的职责和其他要求,包括对发布业务结果和对接触业务记录的限制;内部审计师必须与咨询业务客户就业务目标、范围、各自的职责和其他客户期望达成协议;对于重要的咨询业务,该协议必须为书面形式;2210-业务目标必须为每项业务确定目标;内部审计师必须对与被检查活动相关的风险进行初步评估,业务目标中必须反映该评估结果;内部审计师确定业务目标时,必须考虑存在重大差错、舞弊、违规和其他风险的可能性;评估控制需要依据适当的标准,以确定目标和目的是否实现;内部审计师必须确认管理层制定适当标准的程度;如果标准适当,内部审计师必须使用该标准进行评估;如果不适当,内部审计师必须与管理层共同制定适当的评估标准;咨询业务的目标必须在客户同意的范围内,针对治理、风险管理和控制过程等确定;2220-业务范围确定业务范围必须满足实现业务目标的要求;确定业务范围必须考虑相关的制度、记录、人员和实物资产,包括由第三方控制的相关制度、记录、人员和实物资产;在开展确认业务时,如果出现重要的咨询机会,应当与客户达成具体的书面协议,规定业务目标、范围、各自的职责和其他要求,并遵循咨询业务相关标准沟通咨询业务的经过;在开展咨询业务时,内部审计师必须确保业务范围足以实现与客户协商确定的目标;如果内部审计师在开展咨询业务过程中对该范围有所保留,必须与客户进行讨论,决定是否继续开展此项业务;2230-业务资源的分配内部审计师必须根据每项业务的性质、复杂程度、时间限制以及可获资源的评估,确定业务目标所需要的适当、充分的资源;2240-业务工作方案内部审计师必须制定用以实现业务目标的书面工作方案工作方案中必须包括识别、分析、评估和记录信息的程序;工作方案必须在实施前得到批准,对方案的任何调整都必须及时报批;咨询业务工作方案的形式与内容取决于咨询业务的性质;2300-业务的实施内部审计师必须识别、分析、评价并记录充分的信息,从而实现业务目标; 2310-识别信息内部审计师必须识别充分、可靠、相关且有用的信息,从而实现业务目标; 释义充分的信息是指符合事实、满足条件、具备说服力,可以使审慎的、具备相关知识的人员得出与内部审计师相同的结论的信息;可靠的信息是指通过采用适当的技术可以获得的最佳信息;相关的信息是指支持内部审计师发现的问题和建议,并与业务目标一致的信息;有用的信息有助于组织实现其目标;2320-分析评价内部审计师必须基于适当的分析和评价,得出结论和业务结果;2330-记录信息内部审计师必须记录相关信息,以支持结论和业务结果;首席审计执行官必须控制对业务记录的接触;在对外界提供记录之前,首席审计执行官必须征得高级管理层和/或法律顾问的同意;首席审计执行官必须规定业务记录的存档要求而无论其采用何种存储介质;这些存档要求必须符合组织的规定以及相关法规或其他要求;首席审计执行官必须制定政策以规定咨询业务记录的保管、存档和对内对外发布;这些政策必须符合组织的规定以及相关法规或其他要求;2340-业务的督导必须对业务实施加以适当的督导,以确保目标得以实现,质量得到保证,员工得到发展;释义所需督导的程度取决于内部审计师的胜任能力和经验水平以及业务本身的复杂程度;无论业务是由内部审计部门负责开展,首席审计执行官都需对业务的督导负全面责任,但可以指定具备适当经验的内部审计部门成员具体复核;适当的督导证据应予以记录和保留;2400-结果的报告内部审计师必须及时报告业务结果;2410-报告标准报告内容必须包括业务目标、范围以及适用的结论、建议和行动计划;在适当的情况下,关于业务结果的最终报告必须包含内部审计师的总体意见和/或结论;鼓励内部审计师在业务结果报工作对令人满意的业绩予以认可;在向组织外部有关方面发布业务结果时,必须告知对分发和使用业务结果的限制;对咨询业务的进展和结果进行报告的形式与内容取决于所涉及业务的性质和客户的需求;2420-报告的质量报告必须准确、客观、清晰、简洁、富有建设性、完整和及时;释义准确的报告是指没有错误和歪曲,忠于相关事实的报告;客观的报告是指公正、不偏不倚、不带偏见的报告,是公正地对所有相关事实和情况统筹评估的结果;清晰的报告是指易于理解,符合逻辑,避免使用不必要的技术性语言,并提供所有重要的相关信息的报告;简洁的报告是指针对性强,避免不必要的阐述、细节和冗余的报告;富有建设性的报告是指可以帮助客户和整个组织,并促进其改善工作;完整的报告是指未遗漏任何重要信息的报告,包括所有支持建议和结论的重要且相关的信息和观察结果;及时的报告是指根据事项的重要程度,适时快速地提供报告,以便于管理层采取适当的纠正措施; 2421-错误与遗漏如果最终报告存在重大错误或遗漏,首席审计执行官必须将更正后的信息传达给所有原报告的接收者;2430-对“遵循标准”的应用只有在质量保证与改进程序的结果证实标准已被遵循时,内部审计师才可以在业务报告中声明“内部审计活动遵循了国际内部审计专业实务标准”2431-对未遵循情况的披露未遵循内部审计定义、职业道德规范或标准的情况影响到某一特定业务时,结果报告中必须披露:●未能完全遵循的职业道德规范所规定的原则、行为规则或标准;●未遵循的原因;●“未遵循”这一事实对于该业务及已报告结果的影响;2440-结果的发送首席审计执行官必须向适当对象通报结果;释义首席审计执行官或其指定人员对最终业务报告予以复核及批准后签发,并决定该报告的发送对象和发送方式;首席审计执行官负责将最终结果报告给能够确保对结果给予应有考虑的对象;。
