IS审计和保障标准、指南、工具、职业道德规范

信息技术保证框架（ITAF，Information Technology Assurance Framework）

• 审计准则：强制性要求
  一般准则：基本的审计指导原理
  执行准则：涉及任务的执行和管理
  报告准则：落实报告类型、沟通方式和沟通信息
• 审计指南：侧重于审计方法、理论
  工具和技术（也叫程序）：提供各种方法、工具和模板

三者关系：IS审计师必须遵守审计准则，审计指南帮助应用审计准则，审计工具和技术提供了具体的流程和步骤范例。

风险评估概念、工具及技术
风险的定义：“风险是特定的威胁利用资产的脆弱性从而对组织造成损害的可能性。”（ISO/IECPDTR13335-1）

风险评估的过程：

1. 识别业务目标（BO，Business Object）
2. 识别信息资产（IA，Information Asset）
3. 进行风险评估（RA,，Risk Assessment）：威胁->脆弱性->可能性->影响
4. 进行风险减缓（RM，Risk Mitigation）：落实相关控制
5. 进行风险处置（RT，Risk Treatment）

基于风险的审计：
（1）搜集信息和计划
（2）理解内部控制
（3）执行符合性测试
（4）执行实质性测试
（5）完成审计和报告

审计风险：审计过程中未发现信息可能存在的重大错误的风险

• 固有风险（Inherent Risk）
• 控制风险（Control Risk）
• 检查风险（Detection Risk）
• 整体审计风险（Overall Audit Risk）

审计重大性（Materiality）：在问题程度上可被组织视为严重的错误

风险的处置（应首先确定风险的可接受标准）

• 降低风险（Mitigate）
• 接受风险（Accept）
• 避免风险（Avoid）
• 转移风险（Transfer）

风险评估技术：

• 评分机制
• 主观判断
• 二者结合