信息系統(tǒng)審計

信息系統(tǒng)審計制定本準則。第二條本準則所稱信息系統(tǒng)審計，是指內(nèi)部審計機構(gòu)和內(nèi)部審計人員對組織的信息系統(tǒng)及其相關(guān)的信息技術(shù)內(nèi)部控制和流程所進行的審查與評價活動。第三條本準則適用于各類組織的內(nèi)部審計機構(gòu)、內(nèi)部審計人員及其從事的信息系統(tǒng)審計活動。其他組織或者人員接受委托、聘用，承辦或者參與內(nèi)部審計業(yè)務(wù)，也應(yīng)當(dāng)遵守本準則。第二章一般原則行職責(zé)。組織的信息技術(shù)管理目標主要包括：（一）保證組織的信息技術(shù)戰(zhàn)略充分反映組織的戰(zhàn)略目標；（二（三管要求。作并出具審計報告。第六條從事信息系統(tǒng)審計的內(nèi)部審計人員應(yīng)當(dāng)具備必要的信息技術(shù)及信息系統(tǒng)審計專業(yè)知識、技能和經(jīng)驗。必要時，實施信息系統(tǒng)審計可以利用外部專家服務(wù)。的組成部分實施。當(dāng)信息系統(tǒng)審計作為綜合性內(nèi)部審計項目的一部分時關(guān)內(nèi)部審計人員溝通信息系統(tǒng)審計中的發(fā)現(xiàn)，并考慮依據(jù)審計結(jié)果調(diào)整其他相關(guān)審計的范圍、時間及性質(zhì)。第八條內(nèi)部審計人員應(yīng)當(dāng)采用以風(fēng)險為基礎(chǔ)的審計方法進行信息系統(tǒng)審計，風(fēng)險評估應(yīng)當(dāng)貫穿于信息系統(tǒng)審計的全過程。第三章信息系統(tǒng)審計計劃第九條內(nèi)部審計人員在實施信息系統(tǒng)審計前，需要確定審計目標并初步評估審計風(fēng)險，估算完成信息系統(tǒng)審計或者專項審計所需的資源，確定重點審計領(lǐng)域及審計活動的優(yōu)先次序，明確審計組成員的職責(zé)，編制信息系統(tǒng)審計方案。第十條編制信息系統(tǒng)審計方案時，除遵循相關(guān)內(nèi)部審計具體準則的規(guī)定，還應(yīng)當(dāng)考慮下列因素：（一）高度依賴信息技術(shù)、信息系統(tǒng)的關(guān)鍵業(yè)務(wù)流程及相關(guān)的組織戰(zhàn)略目標；（二）信息技術(shù)管理的組織架構(gòu)；（三）信息系統(tǒng)框架和信息系統(tǒng)的長期發(fā)展規(guī)劃及近期發(fā)展計劃；（四）信息系統(tǒng)及其支持的業(yè)務(wù)流程的變更情況；（五）信息系統(tǒng)的復(fù)雜程度；（六）以前年度信息系統(tǒng)內(nèi)、外部審計所發(fā)現(xiàn)的問題及后續(xù)審計情況；（七）其他影響信息系統(tǒng)審計的因素。階段還應(yīng)當(dāng)考慮項目審計目標及要求。第四章信息技術(shù)風(fēng)險評估第十四條內(nèi)部審計人員在識別和評估組織層面、一般性控制層面的信息技術(shù)風(fēng)險時，需要關(guān)注下列內(nèi)容：（一）業(yè)務(wù)關(guān)注度，即組織的信息技術(shù)戰(zhàn)略與組織整體發(fā)展戰(zhàn)略規(guī)劃的契合度以及信息技術(shù)（包括硬件及軟件環(huán)境）對業(yè)務(wù)和用戶需求的支持度；（二）信息資產(chǎn)的重要性；（三）對信息技術(shù)的依賴程度；（四）對信息技術(shù)部門人員的依賴程度；（五）對外部信息技術(shù)服務(wù)的依賴程度；（六）信息系統(tǒng)及其運行環(huán)境的安全性、可靠性；（七）信息技術(shù)變更；（八）法律規(guī)范環(huán)境；（九）其他。（一）數(shù)據(jù)輸入；（二）數(shù)據(jù)處理；（三）數(shù)據(jù)輸出。第十六條內(nèi)部審計人員應(yīng)當(dāng)充分考慮風(fēng)險評估的結(jié)果，以合理確定信息系統(tǒng)審計的內(nèi)容及范圍，并對組織的信息技術(shù)內(nèi)部控制設(shè)計合理性和運行有效性進行測試。第五章信息系統(tǒng)審計的內(nèi)容第十七條信息系統(tǒng)審計主要是對組織層面信息技術(shù)控制、信息技術(shù)一般性控制及業(yè)務(wù)流程層面相關(guān)應(yīng)用控制的審查和評價。第十八條信息技術(shù)內(nèi)部控制的各個層面均包括人工控制、自動控制和人工、自動相結(jié)合的控制形式，內(nèi)部審計人員應(yīng)當(dāng)根據(jù)不同的控制形式采取恰當(dāng)?shù)膶徲嫵绦?。第十九條組織層面信息技術(shù)控制，是指董事會或者最高管理層對信息技術(shù)治理職能及內(nèi)部的內(nèi)容：（一（二框架、流程和執(zhí)行情況，信息資產(chǎn)的分類以及信息資產(chǎn)所有者的職責(zé)等方面。（三/等方面。（四）內(nèi)部監(jiān)督。內(nèi)部審計人員應(yīng)當(dāng)關(guān)注組織的監(jiān)控管理報告系統(tǒng)、監(jiān)控反饋、跟蹤處理程序以及組織對信息技術(shù)內(nèi)部控制的自我評估機制等方面。（一制等。（二）系統(tǒng)變更管理。內(nèi)部審計人員應(yīng)當(dāng)關(guān)注組織的應(yīng)用系統(tǒng)及相關(guān)系統(tǒng)基礎(chǔ)架構(gòu)的變更、參數(shù)設(shè)置變更的授權(quán)與審批，變更測試，變更移植到生產(chǎn)環(huán)境的流程控制等。（三系統(tǒng)的測試、審核、移植到生產(chǎn)環(huán)境等環(huán)節(jié)。（四）系統(tǒng)運行管理。內(nèi)部審計人員應(yīng)當(dāng)關(guān)注組織的信息技術(shù)資產(chǎn)管理、系統(tǒng)容量管理、系統(tǒng)物理環(huán)境控制、系統(tǒng)和數(shù)據(jù)備份及恢復(fù)管理、問題管理和系統(tǒng)的日常運行管理等。第二十一條業(yè)務(wù)流程層面應(yīng)用控制是指在業(yè)務(wù)流程層面為了合理保證應(yīng)用系統(tǒng)準確流程層面應(yīng)用控制的審計應(yīng)當(dāng)考慮下列與數(shù)據(jù)輸入（一）授權(quán)與批準；（二）系統(tǒng)配置控制；（三）異常情況報告和差錯報告；（四）接口/轉(zhuǎn)換控制；（五）一致性核對；（六）職責(zé)分離；（七）系統(tǒng)訪問權(quán)限；（八）系統(tǒng)計算；（九）其他。第二十二條信息系統(tǒng)審計除上述常規(guī)的審計內(nèi)容外，內(nèi)部審計人員還可以根據(jù)組織當(dāng)前面臨的特殊風(fēng)險或者需求，設(shè)計專項審計以滿足審計戰(zhàn)略，具體包括（但不限于）下列領(lǐng)域：（一）信息系統(tǒng)開發(fā)實施項目的專項審計；（二）信息系統(tǒng)安全專項審計；（三）信息技術(shù)投資專項審計；（四）業(yè)務(wù)連續(xù)性計劃的專項審計；（五）外包條件下的專項審計；（六）法律、法規(guī)、行業(yè)規(guī)范要求的內(nèi)部控制合規(guī)性專項審計；（七）其他專項審計。第六章信息系統(tǒng)審計的方法第二十三條內(nèi)部審計人員在進行信息系統(tǒng)審計時，可以單獨或者綜合運用下列審計方法獲取相關(guān)、可靠和充分的審計證據(jù)，以評估信息系統(tǒng)內(nèi)部控制的設(shè)計合理性和運行有效性：（一）詢問相關(guān)控制人員；（二）觀察特定控制的運用；（三）審閱文件和報告及計算機文檔或者日志；（四）根據(jù)信息系統(tǒng)的特性進行穿行測試，追蹤交易在信息系統(tǒng)中的處理過程；（五）驗證系統(tǒng)控制和計算邏輯；（六）登錄信息系統(tǒng)進行系統(tǒng)查詢；（七）利用計算機輔助審計工具和技術(shù)；（八）利用其他專業(yè)機構(gòu)的審計結(jié)果或者組織對信息技術(shù)內(nèi)部控制的自我評估結(jié)果；（九）其他。第二十四條信息系統(tǒng)審計人員可以根據(jù)實際需要利用計算機輔助審計工具和技術(shù)進行數(shù)據(jù)的驗證、關(guān)鍵系統(tǒng)控制/計算的邏輯驗證、審計樣本選取等；內(nèi)部審計人員在充分考慮安全的前提下，可以利用可靠的信息安全偵測工具進