审计基础:审计程序

这是一个很大的赞美, if somewhat daunting, 被邀请跟随汤米·辛格尔顿和已故的埃德·格尔布斯坦的脚步，为本专栏撰稿. 我只能希望通过我自己的经历来匹配他们的见解.

Speaking of which, 作为ISACA知识中心的澳门赌场官方下载负责人，这是我收到的最常见的要求之一^{1, 2, 3} 是否适用于审计/保证程序或保证来源. 那么，我们的选择是什么，我们应该从哪里寻找?

利用现有的审计/保证程序

ISACA、内部审计师协会(IIA)和其他组织已经制定了项目(figure 1)，涉及网络安全等常见审计领域, 常用的应用程序(如SAP)和常见的遵从性需求(如支付卡行业数据安全标准(PCI DSS)). 这些都是很好的资源，可以节省很多时间. 我唯一要警告的是，它们不是一刀切的. 它们应该被视为一个起点，并根据与您正在审核的组织相关的风险因素和标准进行调整. 如果做不到这一点，可能会导致使用检查表方法，从而导致审核员推荐不适用于组织的控制措施. 这反过来又会损害你在被审核方的声誉，并最终损害你在高级管理层的声誉.

Build Your Own

在你作为信息系统审计师的职业生涯中, 需要建立自己的审计/保证程序. 当审计主体是定制的应用程序，或者被审计的组织正在实现最前沿的工具或流程时，通常需要这些. 你如何处理这样的任务?

2016年3月，ISACA发布了一份优秀的白皮书 信息系统审计:创建审计程序的工具和技术.⁷ 该文件描述了开发自己的审计程序的五个步骤(figure 2). 基本上，这些步骤是:

1. Determine audit subject—What are you auditing? 这通常是整个审计计划的一部分.
2. Define audit objective-你为什么要审计它? 同样，这可能已经被设置为整个审计计划的一部分.
3. Set audit scope-你审计的限制是什么?
4. 执行审计前计划-具体的风险因素是什么?
5. 确定数据收集的审计程序和步骤-你将如何测试这些风险的控制?

步骤5的一个关键组成部分是制定评估测试的标准. “准则”被定义为用于度量和呈现主题的标准和基准，以及信息系统审计师对主题进行评估的标准和基准.⁸ 其中许多将由被审计的实体定义.g., contracts, service level agreements, policies, standards); however, there will be instances, for example, 当一个组织尚未确定自己的标准，而其他准则则应适用时(figure 3).

一个这样的实例可能是当您审计Oracle数据库时. 如果一个组织定义了自己的Oracle数据库标准，那么你要按照这个标准进行审计吗. However, if no standard exists, 如果外部基准是客观的，那么使用它是一个很好的实践, complete, relevant, measurable, understandable, widely recognized, 权威和理解, or available to, 报告的所有读者和用户.⁹ Further, 审计和鉴证专业人员在接受不太为人所知的准则之前，是否应该考虑准则的来源，并将重点放在相关权威机构发布的准则上.²³ 在本例中，我还将披露所使用的标准及其原因, 审计人员被要求对Oracle数据库的安全性发表意见, 但是管理层没有标准来定义“安全”的含义. 这种审计的进一步发现可能是管理层应该定义这样一个标准. 选择正确的标准对审计的成功至关重要.

Collaborate

在我们生活的世界里，使用开源软件经营澳门赌场官方下载是一个非常可行的选择. I, therefore, 提出一个简单的问题:为什么我们不能, as an ISACA community, 开发开源审计/保证程序?

审计工具和技术的文档和出版物部分²⁴ 允许每个成员贡献用户创建的文档和出版物. Members could, 因此(在其组织的许可下), 上传完成的审计/保证程序, 使它们可供其他成员(在适当的条款和条件下)采用，以适应自己澳门赌场官方下载的风险和标准. 此外，其他成员可以对这些文件作出贡献并加以加强. Over time, we, as a community, 能否建立许多审计/保证程序，并不断加强和保持更新.

Conclusion

ISACA将审计/保证程序定义为一套逐步执行的审计程序和完成审计的指示.²⁵ Many of these steps are common to most enterprises; however, 每个国家都有自己的文化, ethics and behavior. 我们可以利用和共享现有的审计/保证程序，如果我们记得我们有义务考虑我们自己组织的风险，我们甚至可以合作建立相同的程序.

Editor’s Note

ISACA目前正在探索澳门赌场官方下载驱动的审计项目共享和发展模式的几种方法.

Endnotes

¹ ISACA知识中心，审计工具和技术
² ISACA知识中心，Oracle数据库
³ ISACA知识中心，SQL Server数据库
⁴ ISACA，审计/保证项目
⁵ 内部审计师协会，全球技术审计指南， http://na.theiia.org/standards-guidance/topics/Pages/Information-Technology.aspx
⁶ 审计网，审计项目， www.auditnet.org/audit_programs
⁷ ISACA, 信息系统审计:工具和技术:创建审计程序, USA, 2016
⁸ ISACA, ITAF:信息技术保障框架，美国，2014
⁹ Op cit, ITAF, p. 20
¹⁰ Isaca cobit 5，美国，2012
¹¹ ISACA, White Papers, zpbox.web-sitemap.xqzlsb.net/resources/insights-and-expertise/white-papers
¹² ISACA，云计算指南
¹³ ISACA，网络安全资源
¹⁴ 美国国防部，安全技术实施指南， http://iase.disa.mil/stigs/Pages/index.aspx
¹⁵ 互联网安全基准和控制中心， http://benchmarks.cisecurity.org/downloads/
¹⁶ 国际标准化组织/国际电工委员会, ISO/IEC 27000家庭信息安全管理系统, http://www.iso.org/isoiec-27001-information-security.html
¹⁷ Cloud Security Alliance, http://cloudsecurityalliance.org/group/security-guidance/#_downloads
¹⁸ 国家标准与技术研究所, 关键基础设施网络安全改进框架, USA, http://www.nist.gov/cyberframework
¹⁹ 联邦信息系统和组织的安全和隐私控制， http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf
²⁰ 国家标准与技术研究所，NIST出版物， http://www.nist.gov/publications
²¹ 支付卡行业数据安全标准 http://www.pcisecuritystandards.org/
²² 资讯科技基建图书馆， http://www.itil.org.uk/all.htm
²³ Op cit, ITAF, p. 20
²⁴ Op cit, ISACA Knowledge Center
²⁵ ISACA Glossary, zpbox.web-sitemap.xqzlsb.net/resources/glossary