1.2 审计类型、评估和审查

信息系统审计师应了解可能由内部或外部小组执行的各类审计、评估和审查以及相关的基本审计程序。

审计包括正式的检查和验证，用于检查是否遵守标准或准则、记录是否准确或是否达到效率和效能目标。与更广泛的评估和审查相比，正式审计能提供更高水平的鉴证。一般而言，与审计相比，评估和审查可能被视为具有较少的负面影响，并且可能侧重于降低质量差的成本、员工对质量方面的看法、向高级管理层提出有关政策、目标等的建议。

审计、评估和审查的一些示例包括：

• 信息系统审计。信息系统审计旨在搜集和评估相关证据，以确定信息系统和相关资源是否能够得到足够的保障和保护、维护数据和系统的完整性和可用性、提供可靠的相关信息、有效地实现了组织目标、高效地利用资源，并且有效地实施了内部控制，这些内部控制提供了合理保证，使得业务、运营和控制目标得以满足并且能及时地预防或检测意外事件并纠正这些事件。

• 合规性审计。合规性审计包括控制测试以证明符合特定的法规或业界特定标准或实务。这些审计通常与其他审计类型重复，但其注重的可能是特殊系统或数据。

• 财务审计。财务审计可评估财务报告的准确性。尽管信息系统审计师逐渐将重点放在基于风险和控制的审计方法上，但财务审计经常涉及详细的实质性测试。财务审计与财务信息的完整性和可靠性相关。

• 运营审计。运营审计旨在评估给定流程或领域的内部控制结构。运营审计的示例包括对应用程序控制或逻辑安全系统的信息系统审计。

• 整合审计。有许多不同类型的整合审计，但通常整合审计会结合财务和运营审计步骤，可能会也可能不会使用信息系统审计师。为了对组织中与财务信息和保护资产、最大限度地提高效率及确保合规性相关的整体目标进行评估，会执行整合审计。整合审计可以由内部或外部的审计师执行，并且包括对内部控制和实质性审计步骤的符合性测试。有关更多信息，请参阅1.10质量保证和审计流程改进部分。

• 管理审计。管理审计旨在对组织内与运营生产力的效率相关的问题进行评估。

• 专业审计。专业审计有很多不同的类型。专业审查属于一种信息系统审计，可以对诸如欺诈或第三方执行的服务等方面进行检验。

■ 第三方服务审计。第三方服务审计旨在对外包给第三方服务提供商的财务和业务流程进行审计，而这些服务提供商可能在不同的司法管辖区运营。第三方服务审计通过服务审计师的报告，针对服务组织的控制描述发表观点，对于聘请服务组织的实体来说，其信息系统审计师随后便可依据该报告进行实施。

■ 欺诈审计。欺诈审计是用于发现欺诈活动的专业审计。审计师通常会使用特定的工具和数据分析技术来发现欺诈骗局和业务违规。

■ 取证审计。取证审计是用于发现、揭露和跟踪欺诈和犯罪行为的专业审计。此类审计的主要目的是为执法部门和司法机关执行审查提供证据。

• 计算机取证审计。计算机取证审计是一项调查，包括分析电子计算设备，旨在收集和保存证据。具备必要技能的信息系统审计师能够协助信息安全经理或取证专家执行取证调查，并且能够对系统执行审计，以确保遵守取证调查的证据搜集程序。

• 功能审计。功能审计提供软件产品的独立评估，从而验证其配置项的实际功能和性能是否符合需求规范。具体而言，功能审计将在软件交付之前或实施之后进行。

• 就绪情况评估。就绪情况评估旨在审查组织当前合规或遵守成文标准的状态。就绪情况评估通常侧重于控制的设计，而不是运营有效性，并在正式审计前为组织识别可修复的项目。