1.3.2 法律法觃对信息系统审计觃划的影响

无论规模大小或者身处哪个行业，每个组织都需要遵守一些与信息系统实务和控制，以及数据的使用、存储与保护方式相关的政府规定和外部要求。此外，行业法规也会影响数据的处理、传输和存储方式（例如，证券交易所、中央银行等）。应特别注意业内受密切监管的合规性问题。

由于人们对信息系统和相关技术的依赖，一些国家正努力进一步制定有关信息系统审计和鉴证的法律法规。这些法律法规的内容与以下事项相关：

• 确立监管要求。

• 分配到相关实体的责任。

• 财务、运营和信息系统审计职能。

各级管理层应了解与组织的目标和计划及信息服务部门/职能/活动的责任和工作相关的外部要求。

主要有两个关注点：

1.适用于审计或信息系统审计的法律要求（即法律、法规和合同协议）。

2.对受审方系统、数据管理、报告等的法律要求。

这些领域会影响审计范围和审计目标，对于内部和外部审计和鉴证专业人员至关重要。与人体工程学法规相关的法律问题也可能影响组织的业务运营。

信息系统审计师需要执行以下步骤来确定组织对外部要求的合规程度：

• 确定涉及以下方面的政府或其他相关的外部要求：

■ 电子数据、个人数据、版权、电子商务、电子签名等。

■ 信息系统实务和控制。

■ 计算机、程序和数据的存储方式。

■ 信息技术服务的组织或活动。

■ 信息系统审计。

• 以文件形式记录适用的法律法规。

• 评估组织的管理层和IT职能部门在制订计划和设定政策、标准与程序以及业务应用程序功能时是否考虑了相关的外部要求。

• 审查阐述要遵守行业适用法律的内部IT部门/职能/活动文档。

• 确定对应对外部要求的既定程序的遵守程度。

• 确定是否实施了程序来确保与外部IT服务提供商签订的合同或协议反映与责任相关的所有法律要求。

基于风险的审计规划是指将审计资源部署到组织内代表最大风险的领域。这需要了解组织及其环境，具体而言，需要了解：

• 影响组织的外部和内部因素。

• 组织对政策和程序的选择及应用。

• 组织的目标和战略。

• 对组织业绩的评估和审查。

在此过程中，信息系统审计师还必须了解组织的关键要素：

• 战略管理。

• 企业产品和服务。

• 公司治理流程。

• 信息系统内的交易类型、交易伙伴和交易流程。

基于风险的有效审计会利用风险评估来推动审计计划，并将审计执行期间的审计风险降至最低。

基于风险的审计方法可用于评估风险并帮助信息系统审计师决定，是执行符合性测试还是实质性测试。基于风险的审计方法可以高效地帮助信息系统审计师确定测试的性质和范围，强调这一点很重要。

在这一概念中，尽管存在弱点，但固有风险、控制风险或检测风险不应成为主要的关注点。在基于风险的审计方法中，信息系统审计师不能只依赖于风险评估，还应依靠内部控制和运营控制以及对组织或业务的了解。这种风险评估决策有助于将控制方面的成本效益分析与已知的风险关联在一起，从而支持组织做出明智的选择。

业务风险包括不确定事件对于既定业务目标的实现可能产生的影响。业务风险的性质可能是财务风险、监管风险或运营风险。风险也可能源自特定的技术。例如，一家航空公司需要遵守很多安全法规并面临经济环境变化，这两种因素都会影响公司的持续运营。在这种情况下，IT服务的可用性和可靠性十分关键。风险还包括组织为实现或推进其目标而愿意采取的措施，但结果可能未经证实或不可预测。

通过了解业务的性质，信息系统审计师可以确定风险类型并对其进行分类，从而在进行审计时更好地确定适当的风险模型或方法。风险模型评估可以非常简单，只需确定业务类风险类型的权重并识别等式中的风险即可。另一方面，风险评估可以是一种方案，其中已根据业务性质或风险的重要性给定风险的具体权重。有关基于风险的审计方法的简要概述，如图1.4所示。