信息系統(tǒng)審計準則

第2203號內部審計具體準則——信息系統(tǒng)審計作者：

公布時間:02月10日

點擊數(shù):1697第一章

總

則第一條

為了規(guī)范信息系統(tǒng)審計工作，提高審計質量和效率，根據(jù)《內部審計基本準則》，制訂本準則。第二條

本準則所稱信息系統(tǒng)審計，是指內部審計機構和內部審計人員對組織的信息系統(tǒng)及其有關的信息技術內部控制和流程所進行的審查與評價活動。第三條

本準則合用于各類組織的內部審計機構、內部審計人員及其從事的信息系統(tǒng)審計活動。其它組織或者人員接受委托、聘任，承接或者參加內部審計業(yè)務，也應當恪守本準則。第二章

普通原則第四條

信息系統(tǒng)審計的目的是通過實施信息系統(tǒng)審計工作，對組織與否實現(xiàn)信息技術管理目的進行審查和評價，并基于評價意見提出管理建議，協(xié)助組織信息技術管理人員有效地推行職責。組織的信息技術管理目的重要涉及：（一）確保組織的信息技術戰(zhàn)略充足反映組織的戰(zhàn)略目的；（二）提高組織所依賴的信息系統(tǒng)的可靠性、穩(wěn)定性、安全性及數(shù)據(jù)解決的完整性和精確性；（三）提高信息系統(tǒng)運行的效果與效率，合理確保信息系統(tǒng)的運行符正當律法規(guī)以及有關監(jiān)管規(guī)定。第五條

組織中信息技術管理人員的責任是進行信息系統(tǒng)的開發(fā)、運行和維護，以及與信息技術有關的內部控制的設計、執(zhí)行和監(jiān)控；信息系統(tǒng)審計人員的責任是實施信息系統(tǒng)審計工作并出具審計報告。第六條

從事信息系統(tǒng)審計的內部審計人員應當含有必要的信息技術及信息系統(tǒng)審計專業(yè)知識、技能和經(jīng)驗。必要時，實施信息系統(tǒng)審計能夠運用外部專家服務。第七條

信息系統(tǒng)審計能夠作為獨立的審計項目組織實施，也能夠作為綜合性內部審計項目的構成部分實施。

當信息系統(tǒng)審計作為綜合性內部審計項目的一部分時，信息系統(tǒng)審計人員應當及時與其它有關內部審計人員溝通信息系統(tǒng)審計中的發(fā)現(xiàn)，并考慮根據(jù)審計成果調節(jié)其它有關審計的范疇、時間及性質。第八條

內部審計人員應當采用以風險為基礎的審計辦法進行信息系統(tǒng)審計，風險評定應當貫穿于信息系統(tǒng)審計的全過程。第三章

信息系統(tǒng)審計計劃第九條

內部審計人員在實施信息系統(tǒng)審計前，需要擬定審計目的并初步評定審計風險，估算完畢信息系統(tǒng)審計或者專項審計所需的資源，擬定重點審計領域及審計活動的優(yōu)先次序，明確審計構組員的職責，編制信息系統(tǒng)審計方案。第十條

編制信息系統(tǒng)審計方案時，除遵照有關內部審計具體準則的規(guī)定，還應當考慮下列因素：（一）高度依賴信息技術、信息系統(tǒng)的核心業(yè)務流程及有關的組織戰(zhàn)略目的；（二）信息技術管理的組織架構；（三）信息系統(tǒng)框架和信息系統(tǒng)的長久發(fā)展規(guī)劃及近期發(fā)展計劃；（四）信息系統(tǒng)及其支持的業(yè)務流程的變更狀況；（五）信息系統(tǒng)的復雜程度；（六）以前年度信息系統(tǒng)內、外部審計所發(fā)現(xiàn)的問題及后續(xù)

審計狀況；（七）其它影響信息系統(tǒng)審計的因素。第十一條

當信息系統(tǒng)審計作為綜合性內部審計項目的一部分時，內部審計人員在審計計劃階段還應當考慮項目審計目的及規(guī)定。第四章

信息技術風險評定第十二條

內部審計人員進行信息系統(tǒng)審計時，應當識別組織所面臨的與信息技術有關的內、外部風險，并采用適宜的風險評定技術與辦法，分析和評價其發(fā)生的可能性及影響程度，為擬定審計目的、范疇和辦法提供根據(jù)。第十三條

信息技術風險是指組織在信息解決和信息技術運用過程中產(chǎn)生的、可能影響組織目的實現(xiàn)的多個不擬定因素。信息技術風險，涉及組織層面的信息技術風險、普通性控制層面的信息技術風險及業(yè)務流程層面的信息技術風險等。第十四條

內部審計人員在識別和評定組織層面、普通性控制層面的信息技術風險時，需要關注下列內容：（一）業(yè)務關注度，即組織的信息技術戰(zhàn)略與組織整體發(fā)展

戰(zhàn)略規(guī)劃的契合度以及信息技術（涉及硬件及軟件環(huán)境）對業(yè)務和顧客需求的支持度；（二）信息資產(chǎn)的重要性；（三）對信息技術的依賴程度；

（四）對信息技術部門人員的依賴程度；（五）對外部信息技術服務的依賴程度；

（六）信息系統(tǒng)及其運行環(huán)境的安全性、可靠性；

（七）信息技術變更；（八）法律規(guī)范環(huán)境；（九）其它。第十五條

業(yè)務流程層面的信息技術風險受行業(yè)背景、業(yè)務流程的復雜程度、上述組織層面及普通性控制層面的控制有效性等因素的影響而存在差別。普通而言，內部審計人員應當理解業(yè)務流程，并關注下列信息技術風險：（一）數(shù)據(jù)輸入；（二）數(shù)據(jù)解決；（三）數(shù)據(jù)輸出。第十六條

內部審計人員應當充足考慮風險評定的成果，以合理擬定信息系統(tǒng)審計的內容及范疇，并對組織的信息技術內部控制設計合理性和運行有效性進行測試。

第五章

信息系統(tǒng)審計的內容第十七條

信息系統(tǒng)審計重要是對組織層面信息技術控制、信息技術普通性控制及業(yè)務流程層面有關應用控制的審查和評價。第十八條

信息技術內部控制的各個層面均涉及人工控制、自動控制和人工、自動相結合的控制形式，內部審計人員應當根據(jù)不同的控制形式采用恰當?shù)膶徲嫵绦颉５谑艞l

組織層面信息技術控制，是指董事會或者最高管理層對信息技術治理職能及內部控制的重要性的態(tài)度、認識和方法。內部審計人員應當考慮下列控制要素中與信息技術有關的內容：（一）控制環(huán)境。內部審計人員應當關注組織的信息技術戰(zhàn)略規(guī)劃對業(yè)務戰(zhàn)略規(guī)劃的契合度、信息技術治理制度體系的建設、信息技術部門的組織構造和關系、信息技術治理有關職權與責任的分派、信息技術人力資源管理、對顧客的信息技術教育和培訓等方面。（二）風險評定。內部審計人員應當關注組織的風險評定的總體架構中信息技術風險管理的框架、流程和執(zhí)行狀況，信息資產(chǎn)的分類以及信息資產(chǎn)全部者的職責等方面。（三）信息與溝通。內部審計人員應當關注組織的信息系統(tǒng)架構及其對財務、業(yè)務流程的支持度、董事會或者最高管理層的信息溝通模式、信息技術政策/信息安全制度的傳達與溝通等方面。（四）內部監(jiān)督。內部審計人員應當關注組織的監(jiān)控管理報告系統(tǒng)、監(jiān)控反饋、跟蹤解決程序以及組織對信息技術內部控制的自我評定機制等方面。第二十條

信息技術普通性控制是指與網(wǎng)絡、操作系統(tǒng)、數(shù)據(jù)庫、應用系統(tǒng)及其有關人員有關的信息技術政策和方法，以確保信息系統(tǒng)持續(xù)穩(wěn)定的運行，支持應用控制的有效性。對信息技術普通性控制的審計應當考慮下列控制活動：（一）信息安全管理。內部審計人員應當關注組織的信息安全管理政策，物理訪問及針對網(wǎng)絡、操作系統(tǒng)、數(shù)據(jù)庫、應用系統(tǒng)的身份認證和邏輯訪問管理機制，系統(tǒng)設立的職責分離控制等。（二）系統(tǒng)變更管理。內部審計人員應當關注組織的應用系統(tǒng)及有關系統(tǒng)基礎架構的變更、參數(shù)設立變更的授權與審批，變更測試，變更移植到生產(chǎn)環(huán)境的流程控制等。（三）系統(tǒng)開發(fā)和采購管理。內部審計人員應當關注組織的應用系統(tǒng)及有關系統(tǒng)基礎架構的開發(fā)和采購的授權審批，系統(tǒng)開發(fā)的辦法論，開發(fā)環(huán)境、測試環(huán)境、生產(chǎn)環(huán)境嚴格分離狀況，系統(tǒng)的測試、審核、移植到生產(chǎn)環(huán)境等環(huán)節(jié)。（四）系統(tǒng)運行管理。內部審計人員應當關注組織的信息技術資產(chǎn)管理、系統(tǒng)容量管理、系統(tǒng)物理環(huán)境控制、系統(tǒng)和數(shù)據(jù)備份及恢復管理、問題管理和系統(tǒng)的日常運行管理等。第二十一條

業(yè)務流程層面應用控制是指在業(yè)務流程層面為了合理確保應用系統(tǒng)精確、完整、及時完畢業(yè)務數(shù)據(jù)的生成、統(tǒng)計、解決、報告等功效而設計、執(zhí)行的信息技術控制。對業(yè)務流程層面應用控制的審計應當考慮下列與數(shù)據(jù)輸入、數(shù)據(jù)解決以及數(shù)據(jù)輸出環(huán)節(jié)有關的控制活動：

（一）授權與同意；（二）系統(tǒng)配備控制；（三）異常狀況報告和差錯報告；（四）接口/轉換控制；（五）一致性核對；（六）職責分離；（七）系統(tǒng)訪問權限；（八）系統(tǒng)計算；（九）其它。第二十二條

信息系統(tǒng)審計除上述常規(guī)的審計內容外，內部審計人員還能夠根據(jù)組織現(xiàn)在面臨的特殊風險或者需求，設計專項審計以滿足審計戰(zhàn)略，具體涉及（但不限于）下列領域：（一）信息系統(tǒng)開發(fā)實施項目的專項審計；（二）信息系統(tǒng)安全專項審計；（三）信息技術投資專項審計；（四）業(yè)務持續(xù)性計劃的專項審計；（五）外包條件下的專項審計；（六）法律、法規(guī)、行業(yè)規(guī)范規(guī)定的內部控制合規(guī)性專項審計；（七）其它專項審計。第六章

信息系統(tǒng)審計的辦法第二十三條

內部審計人員在進行信息系統(tǒng)審計時，能夠單獨或者綜合運用下列審計辦法獲取有關、可靠和充足的審計證據(jù)，以評定信息系統(tǒng)內部控制的設計合理性和運行有效性：（一）詢問有關控制人員；（二）觀察特定控制的運用；（三）審視文獻和報告及計算機文檔或者日志；（四）根據(jù)信息系統(tǒng)的特性進行穿行測試，追蹤交易在信息

系統(tǒng)中的解決過程；

（五）驗證系統(tǒng)控制和計算邏輯；（六）登錄信息系統(tǒng)進行系統(tǒng)查詢；（七）運用計算機輔助審計工具和技術；（八）運用其它專業(yè)機構的審計成果或者組織對信息技術內

部控制的自我評定成果；（九）其它。第二十四條

信息系統(tǒng)審計人員能夠根據(jù)實際需要運用計算機輔助審計工具和技術進行數(shù)據(jù)的驗證、核心系統(tǒng)控制/計算的邏輯驗證、審計樣本選用等；內部審計人員在充足考慮安全的前提下，能夠運用可靠的信息安全偵測工具進行滲入性測試等。第二十五條

內部審計人員在對信息系統(tǒng)內部控制進行評定時，應當獲得有關、可靠和充足的審計證據(jù)以支持審計結論完畢審計目的，并應當充足考慮系統(tǒng)自動