信息系統(tǒng)審計準則

第2203號內(nèi)部審計具體準則——信息系統(tǒng)審計作者：

公布時間:02月10日

點擊數(shù):1697第一章

總

則第一條

為了規(guī)范信息系統(tǒng)審計工作，提高審計質(zhì)量和效率，根據(jù)《內(nèi)部審計基本準則》，制訂本準則。第二條

本準則所稱信息系統(tǒng)審計，是指內(nèi)部審計機構(gòu)和內(nèi)部審計人員對組織的信息系統(tǒng)及其有關(guān)的信息技術(shù)內(nèi)部控制和流程所進行的審查與評價活動。第三條

本準則合用于各類組織的內(nèi)部審計機構(gòu)、內(nèi)部審計人員及其從事的信息系統(tǒng)審計活動。其它組織或者人員接受委托、聘任，承接或者參加內(nèi)部審計業(yè)務(wù)，也應(yīng)當恪守本準則。第二章

普通原則第四條

信息系統(tǒng)審計的目的是通過實施信息系統(tǒng)審計工作，對組織與否實現(xiàn)信息技術(shù)管理目的進行審查和評價，并基于評價意見提出管理建議，協(xié)助組織信息技術(shù)管理人員有效地推行職責。組織的信息技術(shù)管理目的重要涉及：（一）確保組織的信息技術(shù)戰(zhàn)略充足反映組織的戰(zhàn)略目的；（二）提高組織所依賴的信息系統(tǒng)的可靠性、穩(wěn)定性、安全性及數(shù)據(jù)解決的完整性和精確性；（三）提高信息系統(tǒng)運行的效果與效率，合理確保信息系統(tǒng)的運行符正當律法規(guī)以及有關(guān)監(jiān)管規(guī)定。第五條

組織中信息技術(shù)管理人員的責任是進行信息系統(tǒng)的開發(fā)、運行和維護，以及與信息技術(shù)有關(guān)的內(nèi)部控制的設(shè)計、執(zhí)行和監(jiān)控；信息系統(tǒng)審計人員的責任是實施信息系統(tǒng)審計工作并出具審計報告。第六條

從事信息系統(tǒng)審計的內(nèi)部審計人員應(yīng)當含有必要的信息技術(shù)及信息系統(tǒng)審計專業(yè)知識、技能和經(jīng)驗。必要時，實施信息系統(tǒng)審計能夠運用外部專家服務(wù)。第七條

信息系統(tǒng)審計能夠作為獨立的審計項目組織實施，也能夠作為綜合性內(nèi)部審計項目的構(gòu)成部分實施。

當信息系統(tǒng)審計作為綜合性內(nèi)部審計項目的一部分時，信息系統(tǒng)審計人員應(yīng)當及時與其它有關(guān)內(nèi)部審計人員溝通信息系統(tǒng)審計中的發(fā)現(xiàn)，并考慮根據(jù)審計成果調(diào)節(jié)其它有關(guān)審計的范疇、時間及性質(zhì)。第八條

內(nèi)部審計人員應(yīng)當采用以風險為基礎(chǔ)的審計辦法進行信息系統(tǒng)審計，風險評定應(yīng)當貫穿于信息系統(tǒng)審計的全過程。第三章

信息系統(tǒng)審計計劃第九條

內(nèi)部審計人員在實施信息系統(tǒng)審計前，需要擬定審計目的并初步評定審計風險，估算完畢信息系統(tǒng)審計或者專項審計所需的資源，擬定重點審計領(lǐng)域及審計活動的優(yōu)先次序，明確審計構(gòu)組員的職責，編制信息系統(tǒng)審計方案。第十條

編制信息系統(tǒng)審計方案時，除遵照有關(guān)內(nèi)部審計具體準則的規(guī)定，還應(yīng)當考慮下列因素：（一）高度依賴信息技術(shù)、信息系統(tǒng)的核心業(yè)務(wù)流程及有關(guān)的組織戰(zhàn)略目的；（二）信息技術(shù)管理的組織架構(gòu)；（三）信息系統(tǒng)框架和信息系統(tǒng)的長久發(fā)展規(guī)劃及近期發(fā)展計劃；（四）信息系統(tǒng)及其支持的業(yè)務(wù)流程的變更狀況；（五）信息系統(tǒng)的復雜程度；（六）以前年度信息系統(tǒng)內(nèi)、外部審計所發(fā)現(xiàn)的問題及后續(xù)

審計狀況；（七）其它影響信息系統(tǒng)審計的因素。第十一條

當信息系統(tǒng)審計作為綜合性內(nèi)部審計項目的一部分時，內(nèi)部審計人員在審計計劃階段還應(yīng)當考慮項目審計目的及規(guī)定。第四章

信息技術(shù)風險評定第十二條

內(nèi)部審計人員進行信息系統(tǒng)審計時，應(yīng)當識別組織所面臨的與信息技術(shù)有關(guān)的內(nèi)、外部風險，并采用適宜的風險評定技術(shù)與辦法，分析和評價其發(fā)生的可能性及影響程度，為擬定審計目的、范疇和辦法提供根據(jù)。第十三條

信息技術(shù)風險是指組織在信息解決和信息技術(shù)運用過程中產(chǎn)生的、可能影響組織目的實現(xiàn)的多個不擬定因素。信息技術(shù)風險，涉及組織層面的信息技術(shù)風險、普通性控制層面的信息技術(shù)風險及業(yè)務(wù)流程層面的信息技術(shù)風險等。第十四條

內(nèi)部審計人員在識別和評定組織層面、普通性控制層面的信息技術(shù)風險時，需要關(guān)注下列內(nèi)容：（一）業(yè)務(wù)關(guān)注度，即組織的信息技術(shù)戰(zhàn)略與組織整體發(fā)展

戰(zhàn)略規(guī)劃的契合度以及信息技術(shù)（涉及硬件及軟件環(huán)境）對業(yè)務(wù)和顧客需求的支持度；（二）信息資產(chǎn)的重要性；（三）對信息技術(shù)的依賴程度；

（四）對信息技術(shù)部門人員的依賴程度；（五）對外部信息技術(shù)服務(wù)的依賴程度；

（六）信息系統(tǒng)及其運行環(huán)境的安全性、可靠性；

（七）信息技術(shù)變更；（八）法律規(guī)范環(huán)境；（九）其它。第十五條

業(yè)務(wù)流程層面的信息技術(shù)風險受行業(yè)背景、業(yè)務(wù)流程的復雜程度、上述組織層面及普通性控制層面的控制有效性等因素的影響而存在差別。普通而言，內(nèi)部審計人員應(yīng)當理解業(yè)務(wù)流程，并關(guān)注下列信息技術(shù)風險：（一）數(shù)據(jù)輸入；（二）數(shù)據(jù)解決；（三）數(shù)據(jù)輸出。第十六條

內(nèi)部審計人員應(yīng)當充足考慮風險評定的成果，以合理擬定信息系統(tǒng)審計的內(nèi)容及范疇，并對組織的信息技術(shù)內(nèi)部控制設(shè)計合理性和運行有效性進行測試。

第五章

信息系統(tǒng)審計的內(nèi)容第十七條

信息系統(tǒng)審計重要是對組織層面信息技術(shù)控制、信息技術(shù)普通性控制及業(yè)務(wù)流程層面有關(guān)應(yīng)用控制的審查和評價。第十八條

信息技術(shù)內(nèi)部控制的各個層面均涉及人工控制、自動控制和人工、自動相結(jié)合的控制形式，內(nèi)部審計人員應(yīng)當根據(jù)不同的控制形式采用恰當?shù)膶徲嫵绦?。第十九條

組織層面信息技術(shù)控制，是指董事會或者最高管理層對信息技術(shù)治理職能及內(nèi)部控制的重要性的態(tài)度、認識和方法。內(nèi)部審計人員應(yīng)當考慮下列控制要素中與信息技術(shù)有關(guān)的內(nèi)容：（一）控制環(huán)境。內(nèi)部審計人員應(yīng)當關(guān)注組織的信息技術(shù)戰(zhàn)略規(guī)劃對業(yè)務(wù)戰(zhàn)略規(guī)劃的契合度、信息技術(shù)治理制度體系的建設(shè)、信息技術(shù)部門的組織構(gòu)造和關(guān)系、信息技術(shù)治理有關(guān)職權(quán)與責任的分派、信息技術(shù)人力資源管理、對顧客的信息技術(shù)教育和培訓等方面。（二）風險評定。內(nèi)部審計人員應(yīng)當關(guān)注組織的風險評定的總體架構(gòu)中信息技術(shù)風險管理的框架、流程和執(zhí)行狀況，信息資產(chǎn)的分類以及信息資產(chǎn)全部者的職責等方面。（三）信息與溝通。內(nèi)部審計人員應(yīng)當關(guān)注組織的信息系統(tǒng)架構(gòu)及其對財務(wù)、業(yè)務(wù)流程的支持度、董事會或者最高管理層的信息溝通模式、信息技術(shù)政策/信息安全制度的傳達與溝通等方面。（四）內(nèi)部監(jiān)督。內(nèi)部審計人員應(yīng)當關(guān)注組織的監(jiān)控管理報告系統(tǒng)、監(jiān)控反饋、跟蹤解決程序以及組織對信息技術(shù)內(nèi)部控制的自我評定機制等方面。第二十條

信息技術(shù)普通性控制是指與網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)及其有關(guān)人員有關(guān)的信息技術(shù)政策和方法，以確保信息系統(tǒng)持續(xù)穩(wěn)定的運行，支持應(yīng)用控制的有效性。對信息技術(shù)普通性控制的審計應(yīng)當考慮下列控制活動：（一）信息安全管理。內(nèi)部審計人員應(yīng)當關(guān)注組織的信息安全管理政策，物理訪問及針對網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)的身份認證和邏輯訪問管理機制，系統(tǒng)設(shè)立的職責分離控制等。（二）系統(tǒng)變更管理。內(nèi)部審計人員應(yīng)當關(guān)注組織的應(yīng)用系統(tǒng)及有關(guān)系統(tǒng)基礎(chǔ)架構(gòu)的變更、參數(shù)設(shè)立變更的授權(quán)與審批，變更測試，變更移植到生產(chǎn)環(huán)境的流程控制等。（三）系統(tǒng)開發(fā)和采購管理。內(nèi)部審計人員應(yīng)當關(guān)注組織的應(yīng)用系統(tǒng)及有關(guān)系統(tǒng)基礎(chǔ)架構(gòu)的開發(fā)和采購的授權(quán)審批，系統(tǒng)開發(fā)的辦法論，開發(fā)環(huán)境、測試環(huán)境、生產(chǎn)環(huán)境嚴格分離狀況，系統(tǒng)的測試、審核、移植到生產(chǎn)環(huán)境等環(huán)節(jié)。（四）系統(tǒng)運行管理。內(nèi)部審計人員應(yīng)當關(guān)注組織的信息技術(shù)資產(chǎn)管理、系統(tǒng)容量管理、系統(tǒng)物理環(huán)境控制、系統(tǒng)和數(shù)據(jù)備份及恢復管理、問題管理和系統(tǒng)的日常運行管理等。第二十一條

業(yè)務(wù)流程層面應(yīng)用控制是指在業(yè)務(wù)流程層面為了合理確保應(yīng)用系統(tǒng)精確、完整、及時完畢業(yè)務(wù)數(shù)據(jù)的生成、統(tǒng)計、解決、報告等功效而設(shè)計、執(zhí)行的信息技術(shù)控制。對業(yè)務(wù)流程層面應(yīng)用控制的審計應(yīng)當考慮下列與數(shù)據(jù)輸入、數(shù)據(jù)解決以及數(shù)據(jù)輸出環(huán)節(jié)有關(guān)的控制活動：

（一）授權(quán)與同意；（二）系統(tǒng)配備控制；（三）異常狀況報告和差錯報告；（四）接口/轉(zhuǎn)換控制；（五）一致性核對；（六）職責分離；（七）系統(tǒng)訪問權(quán)限；（八）系統(tǒng)計算；（九）其它。第二十二條

信息系統(tǒng)審計除上述常規(guī)的審計內(nèi)容外，內(nèi)部審計人員還能夠根據(jù)組織現(xiàn)在面臨的特殊風險或者需求，設(shè)計專項審計以滿足審計戰(zhàn)略，具體涉及（但不限于）下列領(lǐng)域：（一）信息系統(tǒng)開發(fā)實施項目的專項審計；（二）信息系統(tǒng)安全專項審計；（三）信息技術(shù)投資專項審計；（四）業(yè)務(wù)持續(xù)性計劃的專項審計；（五）外包條件下的專項審計；（六）法律、法規(guī)、行業(yè)規(guī)范規(guī)定的內(nèi)部控制合規(guī)性專項審計；（七）其它專項審計。第六章

信息系統(tǒng)審計的辦法第二十三條

內(nèi)部審計人員在進行信息系統(tǒng)審計時，能夠單獨或者綜合運用下列審計辦法獲取有關(guān)、可靠和充足的審計證據(jù)，以評定信息系統(tǒng)內(nèi)部控制的設(shè)計合理性和運行有效性：（一）詢問有關(guān)控制人員；（二）觀察特定控制的運用；（三）審視文獻和報告及計算機文檔或者日志；（四）根據(jù)信息系統(tǒng)的特性進行穿行測試，追蹤交易在信息

系統(tǒng)中的解決過程；

（五）驗證系統(tǒng)控制和計算邏輯；（六）登錄信息系統(tǒng)進行系統(tǒng)查詢；（七）運用計算機輔助審計工具和技術(shù)；（八）運用其它專業(yè)機構(gòu)的審計成果或者組織對信息技術(shù)內(nèi)

部控制的自我評定成果；（九）其它。第二十四條

信息系統(tǒng)審計人員能夠根據(jù)實際需要運用計算機輔助審計工具和技術(shù)進行數(shù)據(jù)的驗證、核心系統(tǒng)控制/計算的邏輯驗證、審計樣本選用等；內(nèi)部審計人員在充足考慮安全的前提下，能夠運用可靠的信息安全偵測工具進行滲入性測試等。第二十五條

內(nèi)部審計人員在對信息系統(tǒng)內(nèi)部控制進行評定時，應(yīng)當獲得有關(guān)、可靠和充足的審計證據(jù)以支持審計結(jié)論完畢審計目的，并應(yīng)當充足考慮系統(tǒng)自動