會員登入 網站導覽 留言版 設為首頁 回首頁   
  Email:
 
請盡量避免提供Yahoo信箱,以免漏信或被擋信!
如欲取消訂閱電子報請來信(isaca@caa.org.tw)告知,我們將立即為您取消,謝謝!
電腦稽核協會
專業倫理規範  ISACA IT稽核準則 

  

本倫理規範之簡介

(一)制定緣由與目的

當今資(通)訊技術快速發展,幾已普及應用於各行各業,使得執行稽核之情境,有異於傳統稽核。為落實執行稽核並提升其整體績效,勢必加強稽核人員對「電腦稽核專業職能」之認知及自我期許,並就其可能面臨跨稽核與資訊領域之倫理困境,提供行為準則。

本協會乃於民國100年底率先制定並公告「電腦稽核專業倫理規範」,以利執行稽核、自行檢查 (查核)人員,於面臨涉及跨稽核與資訊領域之查核實務、行為等相關倫理議題時,有所遵循、參照。

(二)實務應用

歡迎各界直接應用本倫理規範,或進一步納入各自之相關規範、教育訓練教材中,供所屬明確遵循;或作為使用現行內(外)部稽核人員倫理規範(職業道德規範)時之通用輔助性規範。

另,本倫理規範除可作為內(外)部稽核、自行檢查(查核)人員之自律參考外,並可作為企業及政府機構評估考核稽核人員工作行為之參考。

電腦稽核專業倫理規範(下載  PDF 檔案下載檔案

民國100 年12 月12 日第九屆第五次理事會通過
壹、總則
第一條
本規範之制訂,旨在對從事電腦稽核工作之人員,就其職能認知、行為準則及專業上應有之注意,提供引導性之自律規範,俾其有所遵循與自我期許,進而提昇其工作品質、信譽及專業形象。
第二條
本規範用詞,定義如下:

一、電腦稽核:凡稽核之技術(工具)或過程,涉及電腦或資(通)訊系統,即為「電腦稽核」。以電腦輔助稽核技術之應用,及有關資(通)訊系統之稽核,均屬「電腦稽核」之範疇;以電腦輔助稽核之範圍,則可涵蓋資(通)訊系統相關之稽核,及財務、營運面等之一般稽核。

二、電腦稽核人員:泛指從事電腦稽核工作之人員;凡內、外部稽核人員,其工作涉及電腦稽核者,均屬之。

第三條
電腦稽核人員之功能包含防弊與興利,除以超然獨立之立場執行稽核任務,並促進電腦稽核工作之推展外,另得依需要以專業見解提供如下之諮詢服務:

一、於資訊系統開發階段,提供有關強化系統安全控管及相關控制機制之建議。

二、引導以預防性措施防範未然;以偵測性措施及早發現問題;以周延之矯正措施避免類似缺失之重複發生;並以完備之緊急應變措施因應系統營運中斷問題。

三、提供有關應用電腦輔助管理、監控措施之建議,以促進營運持續性監控機制之建立,並與持續性稽核作業相輔相成。

前項電腦稽核工作之推展,涵蓋促進以電腦輔助稽核計畫之擬訂、執行、報告與追蹤考核等相關之作業與管理工作。
貳、專業職能認知
第四條
電腦稽核人員專業知識及技能,包括:

一、具備執行職務所需有關資(通)訊系統之稽核或一般稽核之知識及查核技能。

二、依執行職務需要,善用電腦輔助稽核技術,提昇抽樣、勾稽比對與分析等作業之效能,以增進查核深度與廣度;對資料洩密或誤用風險隨之增加之問題,具備因應與防範知能。

第五條
電腦稽核人員之專業發展,包括:

一、持續關注資(通)訊技術發展與應用相關之風險管理議題及稽核領域之相關發展,並持續進修,俾專業知識與技能與時俱進。

二、參閱電腦稽核相關專業機構頒訂或發行之電腦稽核相關規範、刊物、參考資料,或參加相關專業機構之訓練課程、活動,以增進專業知能。

第六條
電腦稽核人員之適任性,包括:

一、任職資格符合相關規定要求。

二、對所指派之電腦稽核相關任務,能應用相關知識及查核技巧並保持專業敏感性,具有達成任務目標之專業能力。

叁、行為準則
第七條
電腦稽核人員應遵循相關法規,並支持電腦稽核相關規範之推行:

一、遵循電腦稽核相關法令及規範。

二、支持資(通)訊安全相關之系統、內部控制制度等之建立與相關規範之遵循,及電腦稽核相關規範之推行。

第八條
電腦稽核人員應以誠正、嚴謹、負責、值得信任之態度行事,並避免任何利害衝突:

一、不得以任何方式作出有損於任職、服務或受查等單位之聲望、利益之行為。

二、不得接受任何可能損害專業判斷之餽贈或招待。

三、應揭露所獲悉之重大事實,不隱飾,不作不當或不實之報告。

四、提供諮詢服務時所建議有關控管之措施經採行者,應避免負責或參與查核,否則應由他人覆核其查核內容。

五、對本身或具有利害關係者,所(曾)經辦、負責或具有決定權之事項,應迴避查核。

六、對應予查核事項,不以涉及資(通)訊技術或查核技術困難為託詞,規避查核或推卸查核責任。

第九條
電腦稽核人員應具形式上之獨立性,並維持實質上之獨立與客觀:

一、與查核對象及其他利益團體,保持超然獨立。

二、應本於超然獨立之精神,對其查核內容,公正表示意見;對於所查核之議題或評估判斷事項,保持客觀。

三、對所提涉及技術層面之查核意見,為維護其專業自主性時,宜提供攸關查核意見之佐證資料溝通之。

第十條
電腦稽核人員執行查核工作,應注意避嫌,免滋疑慮:

一、不可為查核以外之目的或未經授權、同意,使用或接觸受查單位之電腦資源,且應受有關受查單位電腦設備使用及資訊存取之合理管制。

二、對所查核資料及使用之電腦設備,應釐清所有權、使用權與保管責任並謹守分際,不得變更所調借資料,或影響受查單位資訊系統之穩定性、可用性及資料之正確完整性、隱密性。

三、查核作業結束時,應確認妥為歸還調借之電腦相關設備、資料,或妥為刪除資料。

第十一條
電腦稽核人員對查核之相關資料,應予以保密:

一、對查核所獲得之資訊,不得藉以圖利,或傷害他人。

二、非基於相關法令規定之要求,不得向第三者透露查核過程中所獲得受查對象之資訊。

三、查核證據、工作底稿或查核報告等資料儲存於電腦媒體時,應視情況採加密、權限或實體控管等方式保護。

四、有關電腦資源之保護密碼,應有嚴防洩密措施。

五、對查核過程中所獲悉之個人私密性資料,須提列相關查核意見時,應儘量避免揭露隱私內容。

第十二條
電腦稽核人員對受查單位之訪談、溝通互動,應以適當方式進行:

一、態度不卑不亢且不預設立場,避免以懷疑語氣詢問,或使受查人員有受盤查或威脅之感覺。

二、詢問後應聆聽,並顯示理解;但無法理解時,若攸關查核事項,應另尋協助了解或查證方法。

三、不詢問與查核無關之人員或議題。

四、問與答過程,保持專業敏感性,以免被誤導、利用或混淆判斷。

五、以適當語言或術語與受查單位人員溝通查核事項,並避免發生爭辯情事。

六、溝通缺失可能衍生之風險問題時,避免強迫受查單位人員接受。

第十三條
電腦稽核人員應與其他稽核人員協同合作並維持和諧關係:

一、對電腦稽核工作之推行,電腦稽核人員應依其權責積極參與。

二、執行稽核作業時,對須與相關稽核人員相互配合事項,電腦稽核人員應積極參與研議、溝通,俾提供互補性功能,發揮整合性稽核績效。

肆、專業上應有之注意
第十四條
電腦稽核人員執行稽核作業,須盡專業上應有之注意:

ㄧ、對稽核計畫之擬訂與執行時,應盡專業上應有之注意並運用專業判斷,以決定相關作業準則與本規範之適用程度。

二、併同一般業務查核進行整合性查核時,應盡專業上應有之注意以兼顧跨領域查核之需求。

三、對於查核之資料,顯示受查單位有違反法令之虞時,應適時提出,俾利相關單位(人員)及時妥為因應法令遵循風險。

四、對涉及改進資(通)訊技術層面控管措施之查核意見,若受查單位另採權宜控管措施時,應本於專業,客觀判斷其權宜措施之妥適性。

第十五條
電腦稽核人員對稽核軟體之開發、維護、使用及稽核檔案之存取等之控管,應注意至少比照一般正式應用系統控管標準。
伍、附則
第十六條
本規範經「中華民國電腦稽核協會」理事會通過後公布實施,修正時亦同。