第2203號(hào)內(nèi)部審計(jì)具體準(zhǔn)則——信息系統(tǒng)審計(jì)

第一章 總 則

第一條 為了規(guī)范信息系統(tǒng)審計(jì)工作，提高審計(jì)質(zhì)量和效率，根據(jù)《內(nèi)部審計(jì)基本準(zhǔn)則》，制定本準(zhǔn)則。

第二條 本準(zhǔn)則所稱信息系統(tǒng)審計(jì)，是指內(nèi)部審計(jì)機(jī)構(gòu)和內(nèi)部審計(jì)人員對(duì)組織的信息系統(tǒng)及其相關(guān)的信息技術(shù)內(nèi)部控制和流程所進(jìn)行的審查與評(píng)價(jià)活動(dòng)。

第三條 本準(zhǔn)則適用于各類組織的內(nèi)部審計(jì)機(jī)構(gòu)、內(nèi)部審計(jì)人員及其從事的信息系統(tǒng)審計(jì)活動(dòng)。其他組織或者人員接受委托、聘用，承辦或者參與內(nèi)部審計(jì)業(yè)務(wù)，也應(yīng)當(dāng)遵守本準(zhǔn)則。

第二章 一般原則

第四條 信息系統(tǒng)審計(jì)的目的是通過實(shí)施信息系統(tǒng)審計(jì)工作，對(duì)組織是否實(shí)現(xiàn)信息技術(shù)管理目標(biāo)進(jìn)行審查和評(píng)價(jià)，并基于評(píng)價(jià)意見提出管理建議，協(xié)助組織信息技術(shù)管理人員有效地履行職責(zé)。

組織的信息技術(shù)管理目標(biāo)主要包括：

(一)保證組織的信息技術(shù)戰(zhàn)略充分反映組織的戰(zhàn)略目標(biāo);

(二)提高組織所依賴的信息系統(tǒng)的可靠性、穩(wěn)定性、安全性及數(shù)據(jù)處理的完整性和準(zhǔn)確性;

(三)提高信息系統(tǒng)運(yùn)行的效果與效率，合理保證信息系統(tǒng)的運(yùn)行符合法律法規(guī)以及相關(guān)監(jiān)管要求。

第五條 組織中信息技術(shù)管理人員的責(zé)任是進(jìn)行信息系統(tǒng)的開發(fā)、運(yùn)行和維護(hù)，以及與信息技術(shù)相關(guān)的內(nèi)部控制的設(shè)計(jì)、執(zhí)行和監(jiān)控;信息系統(tǒng)審計(jì)人員的責(zé)任是實(shí)施信息系統(tǒng)審計(jì)工作并出具審計(jì)報(bào)告。

第六條 從事信息系統(tǒng)審計(jì)的內(nèi)部審計(jì)人員應(yīng)當(dāng)具備必要的信息技術(shù)及信息系統(tǒng)審計(jì)專業(yè)知識(shí)、技能和經(jīng)驗(yàn)。必要時(shí)，實(shí)施信息系統(tǒng)審計(jì)可以利用外部專家服務(wù)。

第七條 信息系統(tǒng)審計(jì)可以作為獨(dú)立的審計(jì)項(xiàng)目組織實(shí)施，也可以作為綜合性內(nèi)部審計(jì)項(xiàng)目的組成部分實(shí)施。

當(dāng)信息系統(tǒng)審計(jì)作為綜合性內(nèi)部審計(jì)項(xiàng)目的一部分時(shí)，信息系統(tǒng)審計(jì)人員應(yīng)當(dāng)及時(shí)與其他相關(guān)內(nèi)部審計(jì)人員溝通信息系統(tǒng)審計(jì)中的發(fā)現(xiàn)，并考慮依據(jù)審計(jì)結(jié)果調(diào)整其他相關(guān)審計(jì)的范圍、時(shí)間及性質(zhì)。

第八條 內(nèi)部審計(jì)人員應(yīng)當(dāng)采用以風(fēng)險(xiǎn)為基礎(chǔ)的審計(jì)方法進(jìn)行信息系統(tǒng)審計(jì)，風(fēng)險(xiǎn)評(píng)估應(yīng)當(dāng)貫穿于信息系統(tǒng)審計(jì)的全過程。

第三章 信息系統(tǒng)審計(jì)計(jì)劃

第九條 內(nèi)部審計(jì)人員在實(shí)施信息系統(tǒng)審計(jì)前，需要確定審計(jì)目標(biāo)并初步評(píng)估審計(jì)風(fēng)險(xiǎn)，估算完成信息系統(tǒng)審計(jì)或者專項(xiàng)審計(jì)所需的資源，確定重點(diǎn)審計(jì)領(lǐng)域及審計(jì)活動(dòng)的優(yōu)先次序，明確審計(jì)組成員的職責(zé)，編制信息系統(tǒng)審計(jì)方案。

第十條 編制信息系統(tǒng)審計(jì)方案時(shí)，除遵循相關(guān)內(nèi)部審計(jì)具體準(zhǔn)則的規(guī)定，還應(yīng)當(dāng)考慮下列因素：

(一)高度依賴信息技術(shù)、信息系統(tǒng)的關(guān)鍵業(yè)務(wù)流程及相關(guān)的組織戰(zhàn)略目標(biāo);

(二)信息技術(shù)管理的組織架構(gòu);

(三)信息系統(tǒng)框架和信息系統(tǒng)的長期發(fā)展規(guī)劃及近期發(fā)展計(jì)劃;

(四)信息系統(tǒng)及其支持的業(yè)務(wù)流程的變更情況;

(五)信息系統(tǒng)的復(fù)雜程度;

(六)以前年度信息系統(tǒng)內(nèi)、外部審計(jì)所發(fā)現(xiàn)的問題及后續(xù) 審計(jì)情況;

(七)其他影響信息系統(tǒng)審計(jì)的因素。

第十一條 當(dāng)信息系統(tǒng)審計(jì)作為綜合性內(nèi)部審計(jì)項(xiàng)目的一部分時(shí)，內(nèi)部審計(jì)人員在審計(jì)計(jì)劃階段還應(yīng)當(dāng)考慮項(xiàng)目審計(jì)目標(biāo)及要求。

第四章 信息技術(shù)風(fēng)險(xiǎn)評(píng)估

第十二條 內(nèi)部審計(jì)人員進(jìn)行信息系統(tǒng)審計(jì)時(shí)，應(yīng)當(dāng)識(shí)別組織所面臨的與信息技術(shù)相關(guān)的內(nèi)、外部風(fēng)險(xiǎn)，并采用適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估技術(shù)與方法，分析和評(píng)價(jià)其發(fā)生的可能性及影響程度，為確定審計(jì)目標(biāo)、范圍和方法提供依據(jù)。

第十三條 信息技術(shù)風(fēng)險(xiǎn)是指組織在信息處理和信息技術(shù)運(yùn)用過程中產(chǎn)生的、可能影響組織目標(biāo)實(shí)現(xiàn)的各種不確定因素。信息技術(shù)風(fēng)險(xiǎn)，包括組織層面的信息技術(shù)風(fēng)險(xiǎn)、一般性控制層面的信息技術(shù)風(fēng)險(xiǎn)及業(yè)務(wù)流程層面的信息技術(shù)風(fēng)險(xiǎn)等。

第十四條 內(nèi)部審計(jì)人員在識(shí)別和評(píng)估組織層面、一般性控制層面的信息技術(shù)風(fēng)險(xiǎn)時(shí)，需要關(guān)注下列內(nèi)容：

(一)業(yè)務(wù)關(guān)注度，即組織的信息技術(shù)戰(zhàn)略與組織整體發(fā)展 戰(zhàn)略規(guī)劃的契合度以及信息技術(shù)(包括硬件及軟件環(huán)境)對(duì)業(yè)務(wù)和用戶需求的支持度;

(二)信息資產(chǎn)的重要性;

(三)對(duì)信息技術(shù)的依賴程度;

(四)對(duì)信息技術(shù)部門人員的依賴程度;

(五)對(duì)外部信息技術(shù)服務(wù)的依賴程度;

(六)信息系統(tǒng)及其運(yùn)行環(huán)境的安全性、可靠性;

(七)信息技術(shù)變更;

(八)法律規(guī)范環(huán)境;

(九)其他。

第十五條 業(yè)務(wù)流程層面的信息技術(shù)風(fēng)險(xiǎn)受行業(yè)背景、業(yè)務(wù)流程的復(fù)雜程度、上述組織層面及一般性控制層面的控制有效性等因素的影響而存在差異。一般而言，內(nèi)部審計(jì)人員應(yīng)當(dāng)了解業(yè)務(wù)流程，并關(guān)注下列信息技術(shù)風(fēng)險(xiǎn)：

(一)數(shù)據(jù)輸入;

(二)數(shù)據(jù)處理;

(三)數(shù)據(jù)輸出。

第十六條 內(nèi)部審計(jì)人員應(yīng)當(dāng)充分考慮風(fēng)險(xiǎn)評(píng)估的結(jié)果，以合理確定信息系統(tǒng)審計(jì)的內(nèi)容及范圍，并對(duì)組織的信息技術(shù)內(nèi)部控制設(shè)計(jì)合理性和運(yùn)行有效性進(jìn)行測(cè)試。

第五章 信息系統(tǒng)審計(jì)的內(nèi)容

第十七條 信息系統(tǒng)審計(jì)主要是對(duì)組織層面信息技術(shù)控制、信息技術(shù)一般性控制及業(yè)務(wù)流程層面相關(guān)應(yīng)用控制的審查和評(píng)價(jià)。

第十八條 信息技術(shù)內(nèi)部控制的各個(gè)層面均包括人工控制、自動(dòng)控制和人工、自動(dòng)相結(jié)合的控制形式，內(nèi)部審計(jì)人員應(yīng)當(dāng)根據(jù)不同的控制形式采取恰當(dāng)?shù)膶徲?jì)程序。

第十九條 組織層面信息技術(shù)控制，是指董事會(huì)或者最高管理層對(duì)信息技術(shù)治理職能及內(nèi)部控制的重要性的態(tài)度、認(rèn)識(shí)和措施。內(nèi)部審計(jì)人員應(yīng)當(dāng)考慮下列控制要素中與信息技術(shù)相關(guān)的內(nèi)容：

(一)控制環(huán)境。內(nèi)部審計(jì)人員應(yīng)當(dāng)關(guān)注組織的信息技術(shù)戰(zhàn)略規(guī)劃對(duì)業(yè)務(wù)戰(zhàn)略規(guī)劃的契合度、信息技術(shù)治理制度體系的建設(shè)、信息技術(shù)部門的組織結(jié)構(gòu)和關(guān)系、信息技術(shù)治理相關(guān)職權(quán)與責(zé)任的分配、信息技術(shù)人力資源管理、對(duì)用戶的信息技術(shù)教育和培訓(xùn)等方面。

(二)風(fēng)險(xiǎn)評(píng)估。內(nèi)部審計(jì)人員應(yīng)當(dāng)關(guān)注組織的風(fēng)險(xiǎn)評(píng)估的總體架構(gòu)中信息技術(shù)風(fēng)險(xiǎn)管理的框架、流程和執(zhí)行情況，信息資產(chǎn)的分類以及信息資產(chǎn)所有者的職責(zé)等方面。

(三)信息與溝通。內(nèi)部審計(jì)人員應(yīng)當(dāng)關(guān)注組織的信息系統(tǒng)架構(gòu)及其對(duì)財(cái)務(wù)、業(yè)務(wù)流程的支持度、董事會(huì)或者最高管理層的信息溝通模式、信息技術(shù)政策/信息安全制度的傳達(dá)與溝通等方面。

(四)內(nèi)部監(jiān)督。內(nèi)部審計(jì)人員應(yīng)當(dāng)關(guān)注組織的監(jiān)控管理報(bào)告系統(tǒng)、監(jiān)控反饋、跟蹤處理程序以及組織對(duì)信息技術(shù)內(nèi)部控制的自我評(píng)估機(jī)制等方面。

第二十條 信息技術(shù)一般性控制是指與網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)及其相關(guān)人員有關(guān)的信息技術(shù)政策和措施，以確保信息系統(tǒng)持續(xù)穩(wěn)定的運(yùn)行，支持應(yīng)用控制的有效性。對(duì)信息技術(shù)一般性控制的審計(jì)應(yīng)當(dāng)考慮下列控制活動(dòng)：

(一)信息安全管理。內(nèi)部審計(jì)人員應(yīng)當(dāng)關(guān)注組織的信息安全管理政策，物理訪問及針對(duì)網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)的身份認(rèn)證和邏輯訪問管理機(jī)制，系統(tǒng)設(shè)置的職責(zé)分離控制等。

(二)系統(tǒng)變更管理。內(nèi)部審計(jì)人員應(yīng)當(dāng)關(guān)注組織的應(yīng)用系統(tǒng)及相關(guān)系統(tǒng)基礎(chǔ)架構(gòu)的變更、參數(shù)設(shè)置變更的授權(quán)與審批，變更測(cè)試，變更移植到生產(chǎn)環(huán)境的流程控制等。

(三)系統(tǒng)開發(fā)和采購管理。內(nèi)部審計(jì)人員應(yīng)當(dāng)關(guān)注組織的應(yīng)用系統(tǒng)及相關(guān)系統(tǒng)基礎(chǔ)架構(gòu)的開發(fā)和采購的授權(quán)審批，系統(tǒng)開發(fā)的方法論，開發(fā)環(huán)境、測(cè)試環(huán)境、生產(chǎn)環(huán)境嚴(yán)格分離情況，系統(tǒng)的測(cè)試、審核、移植到生產(chǎn)環(huán)境等環(huán)節(jié)。

(四)系統(tǒng)運(yùn)行管理。內(nèi)部審計(jì)人員應(yīng)當(dāng)關(guān)注組織的信息技術(shù)資產(chǎn)管理、系統(tǒng)容量管理、系統(tǒng)物理環(huán)境控制、系統(tǒng)和數(shù)據(jù)備份及恢復(fù)管理、問題管理和系統(tǒng)的日常運(yùn)行管理等。

第二十一條 業(yè)務(wù)流程層面應(yīng)用控制是指在業(yè)務(wù)流程層面為了合理保證應(yīng)用系統(tǒng)準(zhǔn)確、完整、及時(shí)完成業(yè)務(wù)數(shù)據(jù)的生成、記錄、處理、報(bào)告等功能而設(shè)計(jì)、執(zhí)行的信息技術(shù)控制。對(duì)業(yè)務(wù)流程層面應(yīng)用控制的審計(jì)應(yīng)當(dāng)考慮下列與數(shù)據(jù)輸入、數(shù)據(jù)處理以及數(shù)據(jù)輸出環(huán)節(jié)相關(guān)的控制活動(dòng)：

(一)授權(quán)與批準(zhǔn);

(二)系統(tǒng)配置控制;

(三)異常情況報(bào)告和差錯(cuò)報(bào)告;

(四)接口/轉(zhuǎn)換控制;

(五)一致性核對(duì);

(六)職責(zé)分離;

(七)系統(tǒng)訪問權(quán)限;

(八)系統(tǒng)計(jì)算;

(九)其他。

第二十二條 信息系統(tǒng)審計(jì)除上述常規(guī)的審計(jì)內(nèi)容外，內(nèi)部審計(jì)人員還可以根據(jù)組織當(dāng)前面臨的特殊風(fēng)險(xiǎn)或者需求，設(shè)計(jì)專項(xiàng)審計(jì)以滿足審計(jì)戰(zhàn)略，具體包括(但不限于)下列領(lǐng)域：

(一)信息系統(tǒng)開發(fā)實(shí)施項(xiàng)目的專項(xiàng)審計(jì);

(二)信息系統(tǒng)安全專項(xiàng)審計(jì);

(三)信息技術(shù)投資專項(xiàng)審計(jì);

(四)業(yè)務(wù)連續(xù)性計(jì)劃的專項(xiàng)審計(jì);

(五)外包條件下的專項(xiàng)審計(jì);

(六)法律、法規(guī)、行業(yè)規(guī)范要求的內(nèi)部控制合規(guī)性專項(xiàng)審計(jì);

(七)其他專項(xiàng)審計(jì)。

第六章 信息系統(tǒng)審計(jì)的方法

第二十三條 內(nèi)部審計(jì)人員在進(jìn)行信息系統(tǒng)審計(jì)時(shí)，可以單獨(dú)或者綜合運(yùn)用下列審計(jì)方法獲取相關(guān)、可靠和充分的審計(jì)證據(jù)，以評(píng)估信息系統(tǒng)內(nèi)部控制的設(shè)計(jì)合理性和運(yùn)行有效性：

(一)詢問相關(guān)控制人員;

(二)觀察特定控制的運(yùn)用;

(三)審閱文件和報(bào)告及計(jì)算機(jī)文檔或者日志;

(四)根據(jù)信息系統(tǒng)的特性進(jìn)行穿行測(cè)試，追蹤交易在信息 系統(tǒng)中的處理過程;

(五)驗(yàn)證系統(tǒng)控制和計(jì)算邏輯;

(六)登錄信息系統(tǒng)進(jìn)行系統(tǒng)查詢;

(七)利用計(jì)算機(jī)輔助審計(jì)工具和技術(shù);

(八)利用其他專業(yè)機(jī)構(gòu)的審計(jì)結(jié)果或者組織對(duì)信息技術(shù)內(nèi) 部控制的自我評(píng)估結(jié)果;

(九)其他。

第二十四條 信息系統(tǒng)審計(jì)人員可以根據(jù)實(shí)際需要利用計(jì)算機(jī)輔助審計(jì)工具和技術(shù)進(jìn)行數(shù)據(jù)的驗(yàn)證、關(guān)鍵系統(tǒng)控制/計(jì)算的邏輯驗(yàn)證、審計(jì)樣本選取等;內(nèi)部審計(jì)人員在充分考慮安全的前提下，可以利用可靠的信息安全偵測(cè)工具進(jìn)行滲透性測(cè)試等。

第二十五條 內(nèi)部審計(jì)人員在對(duì)信息系統(tǒng)內(nèi)部控制進(jìn)行評(píng)估時(shí)，應(yīng)當(dāng)獲得相關(guān)、可靠和充分的審計(jì)證據(jù)以支持審計(jì)結(jié)論完成審計(jì)目標(biāo)，并應(yīng)當(dāng)充分考慮系統(tǒng)自動(dòng)控制的控制效果的一致性及可靠性的特點(diǎn)，在選取審計(jì)樣本時(shí)可以根據(jù)情況適當(dāng)減少樣本量。在系統(tǒng)未發(fā)生變更的情況下，可以考慮適當(dāng)降低審計(jì)頻率。

第二十六條 內(nèi)部審計(jì)人員在審計(jì)過程中應(yīng)當(dāng)在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，依據(jù)信息系統(tǒng)內(nèi)部控制評(píng)估的結(jié)果重新評(píng)估審計(jì)風(fēng)險(xiǎn)，并根據(jù)剩余風(fēng)險(xiǎn)設(shè)計(jì)進(jìn)一步的審計(jì)程序。

第七章 附 則

第二十七條 本準(zhǔn)則由中國內(nèi)部審計(jì)協(xié)會(huì)發(fā)布并負(fù)責(zé)解釋。

第二十八條 本準(zhǔn)則自2014年1月1日起施行。

（責(zé)任編輯：中大編輯）