信息系统审计标准S16电子商务

信息系统审计标准信息系统(IS)审计的特殊性和进行审计所需的专门技术，要求制定出特殊的相关标准。ISACA®的目标之一就是在全球首先为其制定出可操作的审计标准。信息系统审计标准的发展和传播是ISACA为该行业作出贡献的基础。信息系统审计标准的框架提供了多层次的指引：•标准为信息系统审计和报告定义了强制性的要求。它们告知：–根据ISACA职业道德规范中关于职业责任的规定，信息系统审计员的执行绩效所应达到的最低标准。–管理层和其他利益方对执业者在专业工作上的期待。–认证信息系统审计师™(CISA®)资格持有人的相关特定要求。CISA资格持有人未能遵守上述标准的可能会导致ISACA董事会或相应ISACA委员会对其进行调查直至最终的纪律处分。•指南为信息系统审计标准的实施提供了指引。信息系统审计员在标准的实施程序程序中应参考指南，同时作出专业型的判断，并能解释任何偏差。信息系统审计指南为达到信息系统审计标准提供进一步信息。•程序为信息系统审计师提供审计项目中可以遵循的步骤范例。程序文件提供信息系统审计工作开展中如何达到相关标准的信息，但并非硬性规定。信息系统审计程序为达到信息系统审计标准提供进一步信息。信息和相关技术的监控目标(COBIT®)是一种信息技术(IT)管理框架和支持工具集合，管理人员可以利用它来跨越控制要求、技术问题和业务风险间的差距。COBIT有助于为整个企业的IT控制制定明确的政策和提供良好的做法。它强调合规性，有助于企业提高IT价值，能够调整和简化COBIT框架概念的实施过程。COBIT为商业及IT管理层以及信息系统审计师而设计，所以它的运用有助于商业目标的理解，良好操作实施的交流和围绕已经达成共识和广受尊重的架构的意见的形成。可在ISACA网站www.isaca.org/cobit上下载COBIT。依COBIT框架中所定义，以下各项相关产品及/或要素由IT管理程序进行组织。•监控目标—总括IT程序相关方面最低限度的良好监控•管理方针—如何运用成熟度模型、负责、批准、咨询和知会(RACI)表、目标和指标来评估和提高IT程序执行绩效的指南。它们提供领导阶层一种应用于连续性和前摄性自我评估的框架。这模型体系特别专注于：–绩效衡量–IT控制概况–监控意识–基准指标(Benchmarking)•COBIT监控实施—风险和价值综述，以及对于监控目标“如何实现”的指南•IT保证指南—对于不同监控领域，如何理解和评估各种监控，考核监控的符合性和证实失控风险的指南。术语表可在ISACA的网站：www.isaca.org/glossary上查阅。在信息系统审计标准、指南和程序中，审计和审查这两个词可以互换使用。免责声明:根据ISACA职业道德规范中对职业责任的规定，ISACA设计本指南作为执行绩效所应达到的最低标准。ISACA并未声明使用此产品一定会出现成功的结果。出版物不能被视作包括任何合适的程序和测试，也不能被视作不包括通过合理应用获得同样结果的其它程序和测试。在决定任何具体的程序或测试的合理性时，监控专业人员应根据其自身的专业判断来判别由特定系统或信息技术环境产生的特定监控条件。ISACA标准管理委员会可就信息系统审计标准、指南和程序的准备作出广泛的咨询。在发布任何文件之前，标准管理委员会会向全球提供公开草案，供大众评论。标准管理委员会也寻求相关论点专家和相关方对必要处提出咨询意见。标准管理委员会现有研发部门，欢迎ISACA成员和其它感兴趣的人士提供新出现问题和新标准。所有建议请电邮至(standards@isaca.org)。或传真(+1.847.253.1443)或写信（地址在文件末尾）至ISACA国际总部，收件人注明研究标准和学术关系主任。本文于2007年12月1日颁布。S16电子商务S16电子商务第2页S16电子商务引言01ISACA信息系统标准和其它相关指南包含基本的强制性原则和重要程序，以粗体（黑体字）标出。02本ISACA标准的目的是制定有关电子商务环境审查的标准并提供相关指引。标准03在审查电子商务环境时，信息系统审计师应评估所适用的控制和风险，以确保电子商务交易得到适当的控制。注释04电子商务被定义为一个过程，在这个过程中，企业可以使用互联网作为促成技术，与它们的客户、供应商及其他外部业务合作伙伴以电子方式开展业务。因此，它包括企业与企业之间(B2B)以及企业与客户之间(B2C)这两种电子商务模式。05在制定信息系统总体审计计划时，信息系统审计师应运用相应的风险评估技巧或方法；它应涵盖电子商务环境所涉及的范围。06信息系统审计师应考虑使用数据分析技术，包括使用持续保证，这样信息系统审计师在审查电子商务活动时，便可以用计算机持续监控系统的可靠性和收集选择性的审计证据。07了解电子商务的控制和风险管理涉及到的问题所需的技术和知识水平，因企业电子商务活动复杂性而异。08信息系统审计师在审计之前，应了解电子商务应用程序所支持的业务流程的性质和关键程度，以便在适宜的相关背景下评估结果。09有关电子商务的详细信息，请参考下列指南：•指南G21企业资源规划(ERP)系统审查•指南G22企业与客户间(B2C)的电子商务审查•指南G24网上银行•指南G25虚拟专用网(VPN)的审查•指南G33有关互联网使用的一般问题•程序P6防火墙•COBIT架构和控制目标实施日期10信息系统审计业务自2008年2月1日起实施此ISACA标准。2007-2008年ISACA标准管理委员会主席，RaviMuthukrishnan,CISA,CISM,FCA,ISCACapcoITServicesIndiaPrivateLimited，印度BradDavidChin,CISA,CPAGoogleInc.，美国SergioFleginsky,CISAICIPaints，乌拉圭MariaGonzalez,CISAHomeLandOffice，西班牙JohnHoChi,CISA,CISM,CBCP,CFEErnst&Young，阿拉伯联合酋长国AndrewMacLeod,CISA,CIA,FCPA,MACS,PCP布里斯本市议会，澳大利亚JohnG.Ott,CISA,CPAAmerisourceBergen，美国JasonThompson,CISA,CIAKPMGLLP，美国MeeraVenkatesh,CISA,CISM,ACS,CISSP,CWAMicrosoftCorp.，美国©2007ISACA版权所有。保留所有权利。ISACA3701AlgonquinRoad,Suite1010RollingMeadows,IL60008USA电话：+1.847.253.1545传真：+1.847.253.1443电邮：standards@isaca.org网站：www.isaca.org