第一章 總 則
第一條 為了規(guī)范信息系統(tǒng)審計工作�����,提高審計質(zhì)量和效率�,根據(jù)《內(nèi)部審計基本準則》�,制定本準則���。
第二條 本準則所稱信息系統(tǒng)審計��,是指內(nèi)部審計機構(gòu)和內(nèi)部審計人員對組織的信息系統(tǒng)及其相關(guān)的信息技術(shù)內(nèi)部控制和流程所進行的審查與評價活動。
第三條 本準則適用于各類組織的內(nèi)部審計機構(gòu)�、內(nèi)部審計人員及其從事的信息系統(tǒng)審計活動��。其他組織或者人員接受委托���、聘用��,承辦或者參與內(nèi)部審計業(yè)務(wù)����,也應(yīng)當遵守本準則��。
第二章 一般原則
第四條 信息系統(tǒng)審計的目的是通過實施信息系統(tǒng)審計工作���,對組織是否實現(xiàn)信息技術(shù)管理目標進行審查和評價,并基于評價意見提出管理建議����,協(xié)助組織信息技術(shù)管理人員有效地履行職責���。
組織的信息技術(shù)管理目標主要包括:
(一)保證組織的信息技術(shù)戰(zhàn)略充分反映組織的戰(zhàn)略目標;
(二)提高組織所依賴的信息系統(tǒng)的可靠性���、穩(wěn)定性�、安全性及數(shù)據(jù)處理的完整性和準確性���;
(三)提高信息系統(tǒng)運行的效果與效率���,合理保證信息系統(tǒng)的運行符合法律法規(guī)以及相關(guān)監(jiān)管要求。
第五條 組織中信息技術(shù)管理人員的責任是進行信息系統(tǒng)的開發(fā)����、運行和維護,以及與信息技術(shù)相關(guān)的內(nèi)部控制的設(shè)計��、執(zhí)行和監(jiān)控�;信息系統(tǒng)審計人員的責任是實施信息系統(tǒng)審計工作并出具審計報告。
第六條 從事信息系統(tǒng)審計的內(nèi)部審計人員應(yīng)當具備必要的信息技術(shù)及信息系統(tǒng)審計專業(yè)知識�、技能和經(jīng)驗。必要時�,實施信息系統(tǒng)審計可以利用外部專家服務(wù)。
第七條 信息系統(tǒng)審計可以作為獨立的審計項目組織實施,也可以作為綜合性內(nèi)部審計項目的組成部分實施�。
當信息系統(tǒng)審計作為綜合性內(nèi)部審計項目的一部分時,信息系統(tǒng)審計人員應(yīng)當及時與其他相關(guān)內(nèi)部審計人員溝通信息系統(tǒng)審計中的發(fā)現(xiàn)��,并考慮依據(jù)審計結(jié)果調(diào)整其他相關(guān)審計的范圍�����、時間及性質(zhì)����。
第八條 內(nèi)部審計人員應(yīng)當采用以風險為基礎(chǔ)的審計方法進行信息系統(tǒng)審計,風險評估應(yīng)當貫穿于信息系統(tǒng)審計的全過程���。
第三章 信息系統(tǒng)審計計劃
第九條 內(nèi)部審計人員在實施信息系統(tǒng)審計前���,需要確定審計目標并初步評估審計風險,估算完成信息系統(tǒng)審計或者專項審計所需的資源��,確定重點審計領(lǐng)域及審計活動的優(yōu)先次序��,明確審計組成員的職責���,編制信息系統(tǒng)審計方案。
第十條 編制信息系統(tǒng)審計方案時,除遵循相關(guān)內(nèi)部審計具體準則的規(guī)定�,還應(yīng)當考慮下列因素:
(一)高度依賴信息技術(shù)、信息系統(tǒng)的關(guān)鍵業(yè)務(wù)流程及相關(guān)的組織戰(zhàn)略目標�;
(二)信息技術(shù)管理的組織架構(gòu);
(三)信息系統(tǒng)框架和信息系統(tǒng)的長期發(fā)展規(guī)劃及近期發(fā)展計劃����;
(四)信息系統(tǒng)及其支持的業(yè)務(wù)流程的變更情況;
(五)信息系統(tǒng)的復雜程度�����;
(六)以前年度信息系統(tǒng)內(nèi)�����、外部審計所發(fā)現(xiàn)的問題及后續(xù) 審計情況���;
(七)其他影響信息系統(tǒng)審計的因素���。
第十一條 當信息系統(tǒng)審計作為綜合性內(nèi)部審計項目的一部分時,內(nèi)部審計人員在審計計劃階段還應(yīng)當考慮項目審計目標及要求�。
第四章 信息技術(shù)風險評估
第十二條 內(nèi)部審計人員進行信息系統(tǒng)審計時,應(yīng)當識別組織所面臨的與信息技術(shù)相關(guān)的內(nèi)����、外部風險���,并采用適當?shù)娘L險評估技術(shù)與方法,分析和評價其發(fā)生的可能性及影響程度����,為確定審計目標、范圍和方法提供依據(jù)���。
第十三條 信息技術(shù)風險是指組織在信息處理和信息技術(shù)運用過程中產(chǎn)生的����、可能影響組織目標實現(xiàn)的各種不確定因素���。信息技術(shù)風險����,包括組織層面的信息技術(shù)風險�、一般性控制層面的信息技術(shù)風險及業(yè)務(wù)流程層面的信息技術(shù)風險等。
第十四條 內(nèi)部審計人員在識別和評估組織層面�����、一般性控制層面的信息技術(shù)風險時,需要關(guān)注下列內(nèi)容:
(一)業(yè)務(wù)關(guān)注度�,即組織的信息技術(shù)戰(zhàn)略與組織整體發(fā)展 戰(zhàn)略規(guī)劃的契合度以及信息技術(shù)(包括硬件及軟件環(huán)境)對業(yè)務(wù)和用戶需求的支持度��;
(二)信息資產(chǎn)的重要性����;
(三)對信息技術(shù)的依賴程度;
(四)對信息技術(shù)部門人員的依賴程度�;
(五)對外部信息技術(shù)服務(wù)的依賴程度;
(六)信息系統(tǒng)及其運行環(huán)境的安全性���、可靠性����;
(七)信息技術(shù)變更�����;
(八)法律規(guī)范環(huán)境;
(九)其他。
第十五條 業(yè)務(wù)流程層面的信息技術(shù)風險受行業(yè)背景���、業(yè)務(wù)流程的復雜程度、上述組織層面及一般性控制層面的控制有效性等因素的影響而存在差異。一般而言�,內(nèi)部審計人員應(yīng)當了解業(yè)務(wù)流程,并關(guān)注下列信息技術(shù)風險:
(一)數(shù)據(jù)輸入����;
(二)數(shù)據(jù)處理;
(三)數(shù)據(jù)輸出���。
第十六條 內(nèi)部審計人員應(yīng)當充分考慮風險評估的結(jié)果���,以合理確定信息系統(tǒng)審計的內(nèi)容及范圍,并對組織的信息技術(shù)內(nèi)部控制設(shè)計合理性和運行有效性進行測試�。
第五章 信息系統(tǒng)審計的內(nèi)容
第十七條 信息系統(tǒng)審計主要是對組織層面信息技術(shù)控制、信息技術(shù)一般性控制及業(yè)務(wù)流程層面相關(guān)應(yīng)用控制的審查和評價��。
第十八條 信息技術(shù)內(nèi)部控制的各個層面均包括人工控制��、自動控制和人工���、自動相結(jié)合的控制形式���,內(nèi)部審計人員應(yīng)當根據(jù)不同的控制形式采取恰當?shù)膶徲嫵绦颉?/span>
第十九條 組織層面信息技術(shù)控制,是指董事會或者最高管理層對信息技術(shù)治理職能及內(nèi)部控制的重要性的態(tài)度�、認識和措施。內(nèi)部審計人員應(yīng)當考慮下列控制要素中與信息技術(shù)相關(guān)的內(nèi)容:
(一)控制環(huán)境�����。內(nèi)部審計人員應(yīng)當關(guān)注組織的信息技術(shù)戰(zhàn)略規(guī)劃對業(yè)務(wù)戰(zhàn)略規(guī)劃的契合度、信息技術(shù)治理制度體系的建設(shè)����、信息技術(shù)部門的組織結(jié)構(gòu)和關(guān)系��、信息技術(shù)治理相關(guān)職權(quán)與責任的分配���、信息技術(shù)人力資源管理���、對用戶的信息技術(shù)教育和培訓等方面。
(二)風險評估����。內(nèi)部審計人員應(yīng)當關(guān)注組織的風險評估的總體架構(gòu)中信息技術(shù)風險管理的框架、流程和執(zhí)行情況���,信息資產(chǎn)的分類以及信息資產(chǎn)所有者的職責等方面���。
(三)信息與溝通。內(nèi)部審計人員應(yīng)當關(guān)注組織的信息系統(tǒng)架構(gòu)及其對財務(wù)����、業(yè)務(wù)流程的支持度��、董事會或者最高管理層的信息溝通模式���、信息技術(shù)政策/信息安全制度的傳達與溝通等方面。
(四)內(nèi)部監(jiān)督�。內(nèi)部審計人員應(yīng)當關(guān)注組織的監(jiān)控管理報告系統(tǒng)、監(jiān)控反饋����、跟蹤處理程序以及組織對信息技術(shù)內(nèi)部控制的自我評估機制等方面。
第二十條 信息技術(shù)一般性控制是指與網(wǎng)絡(luò)�、操作系統(tǒng)、數(shù)據(jù)庫�����、應(yīng)用系統(tǒng)及其相關(guān)人員有關(guān)的信息技術(shù)政策和措施�����,以確保信息系統(tǒng)持續(xù)穩(wěn)定的運行�,支持應(yīng)用控制的有效性。對信息技術(shù)一般性控制的審計應(yīng)當考慮下列控制活動:
(一)信息安全管理。內(nèi)部審計人員應(yīng)當關(guān)注組織的信息安全管理政策��,物理訪問及針對網(wǎng)絡(luò)�����、操作系統(tǒng)���、數(shù)據(jù)庫�����、應(yīng)用系統(tǒng)的身份認證和邏輯訪問管理機制,系統(tǒng)設(shè)置的職責分離控制等���。
(二)系統(tǒng)變更管理����。內(nèi)部審計人員應(yīng)當關(guān)注組織的應(yīng)用系統(tǒng)及相關(guān)系統(tǒng)基礎(chǔ)架構(gòu)的變更����、參數(shù)設(shè)置變更的授權(quán)與審批,變更測試����,變更移植到生產(chǎn)環(huán)境的流程控制等�����。
(三)系統(tǒng)開發(fā)和采購管理��。內(nèi)部審計人員應(yīng)當關(guān)注組織的應(yīng)用系統(tǒng)及相關(guān)系統(tǒng)基礎(chǔ)架構(gòu)的開發(fā)和采購的授權(quán)審批���,系統(tǒng)開發(fā)的方法論,開發(fā)環(huán)境�����、測試環(huán)境����、生產(chǎn)環(huán)境嚴格分離情況,系統(tǒng)的測試���、審核���、移植到生產(chǎn)環(huán)境等環(huán)節(jié)。
(四)系統(tǒng)運行管理�。內(nèi)部審計人員應(yīng)當關(guān)注組織的信息技術(shù)資產(chǎn)管理、系統(tǒng)容量管理、系統(tǒng)物理環(huán)境控制�、系統(tǒng)和數(shù)據(jù)備份及恢復管理、問題管理和系統(tǒng)的日常運行管理等�����。
第二十一條 業(yè)務(wù)流程層面應(yīng)用控制是指在業(yè)務(wù)流程層面為了合理保證應(yīng)用系統(tǒng)準確����、完整、及時完成業(yè)務(wù)數(shù)據(jù)的生成�����、記錄��、處理��、報告等功能而設(shè)計���、執(zhí)行的信息技術(shù)控制。對業(yè)務(wù)流程層面應(yīng)用控制的審計應(yīng)當考慮下列與數(shù)據(jù)輸入���、數(shù)據(jù)處理以及數(shù)據(jù)輸出環(huán)節(jié)相關(guān)的控制活動:
(一)授權(quán)與批準����;
(二)系統(tǒng)配置控制;
(三)異常情況報告和差錯報告��;
(四)接口/轉(zhuǎn)換控制��;
(五)一致性核對��;
(六)職責分離�;
(七)系統(tǒng)訪問權(quán)限;
(八)系統(tǒng)計算����;
(九)其他。
第二十二條 信息系統(tǒng)審計除上述常規(guī)的審計內(nèi)容外�����,內(nèi)部審計人員還可以根據(jù)組織當前面臨的特殊風險或者需求����,設(shè)計專項審計以滿足審計戰(zhàn)略,具體包括(但不限于)下列領(lǐng)域:
(一)信息系統(tǒng)開發(fā)實施項目的專項審計�����;
(二)信息系統(tǒng)安全專項審計;
(三)信息技術(shù)投資專項審計�����;
(四)業(yè)務(wù)連續(xù)性計劃的專項審計���;
(五)外包條件下的專項審計��;
(六)法律��、法規(guī)��、行業(yè)規(guī)范要求的內(nèi)部控制合規(guī)性專項審計�����;
(七)其他專項審計����。
第六章 信息系統(tǒng)審計的方法
第二十三條 內(nèi)部審計人員在進行信息系統(tǒng)審計時��,可以單獨或者綜合運用下列審計方法獲取相關(guān)�、可靠和充分的審計證據(jù)���,以評估信息系統(tǒng)內(nèi)部控制的設(shè)計合理性和運行有效性:
(一)詢問相關(guān)控制人員���;
(二)觀察特定控制的運用����;
(三)審閱文件和報告及計算機文檔或者日志���;
(四)根據(jù)信息系統(tǒng)的特性進行穿行測試�����,追蹤交易在信息 系統(tǒng)中的處理過程����;
(五)驗證系統(tǒng)控制和計算邏輯�;
(六)登錄信息系統(tǒng)進行系統(tǒng)查詢;
(七)利用計算機輔助審計工具和技術(shù)�;
(八)利用其他專業(yè)機構(gòu)的審計結(jié)果或者組織對信息技術(shù)內(nèi) 部控制的自我評估結(jié)果;
(九)其他�����。
第二十四條 信息系統(tǒng)審計人員可以根據(jù)實際需要利用計算機輔助審計工具和技術(shù)進行數(shù)據(jù)的驗證����、關(guān)鍵系統(tǒng)控制/計算的邏輯驗證�����、審計樣本選取等���;內(nèi)部審計人員在充分考慮安全的前提下,可以利用可靠的信息安全偵測工具進行滲透性測試等����。
第二十五條 內(nèi)部審計人員在對信息系統(tǒng)內(nèi)部控制進行評估時,應(yīng)當獲得相關(guān)�、可靠和充分的審計證據(jù)以支持審計結(jié)論完成審計目標,并應(yīng)當充分考慮系統(tǒng)自動控制的控制效果的一致性及可靠性的特點���,在選取審計樣本時可以根據(jù)情況適當減少樣本量����。在系統(tǒng)未發(fā)生變更的情況下��,可以考慮適當降低審計頻率��。
第二十六條 內(nèi)部審計人員在審計過程中應(yīng)當在風險評估的基礎(chǔ)上���,依據(jù)信息系統(tǒng)內(nèi)部控制評估的結(jié)果重新評估審計風險�,并根據(jù)剩余風險設(shè)計進一步的審計程序�。
第七章 附 則
第二十七條 本準則由中國內(nèi)部審計協(xié)會發(fā)布并負責解釋。
第二十八條 本準則自2014年1月1日起施行����。
