第一章 總 則
第一條 為了規(guī)范信息系統(tǒng)審計工作,提高審計質量和效率�����,根據《內部審計基本準則》,制定本準則���。
第二條 本準則所稱信息系統(tǒng)審計�,是指內部審計機構和內部審計人員對組織的信息系統(tǒng)及其相關的信息技術內部控制和流程所進行的審查與評價活動��。
第三條 本準則適用于各類組織的內部審計機構���、內部審計人員及其從事的信息系統(tǒng)審計活動����。其他組織或者人員接受委托����、聘用,承辦或者參與內部審計業(yè)務�����,也應當遵守本準則���。
第二章 一般原則
第四條 信息系統(tǒng)審計的目的是通過實施信息系統(tǒng)審計工作,對組織是否實現(xiàn)信息技術管理目標進行審查和評價��,并基于評價意見提出管理建議,協(xié)助組織信息技術管理人員有效地履行職責���。
組織的信息技術管理目標主要包括:
(一)保證組織的信息技術戰(zhàn)略充分反映組織的戰(zhàn)略目標��;
(二)提高組織所依賴的信息系統(tǒng)的可靠性���、穩(wěn)定性、安全性及數(shù)據處理的完整性和準確性�;
(三)提高信息系統(tǒng)運行的效果與效率,合理保證信息系統(tǒng)的運行符合法律法規(guī)以及相關監(jiān)管要求�����。
第五條 組織中信息技術管理人員的責任是進行信息系統(tǒng)的開發(fā)�、運行和維護��,以及與信息技術相關的內部控制的設計���、執(zhí)行和監(jiān)控�;信息系統(tǒng)審計人員的責任是實施信息系統(tǒng)審計工作并出具審計報告。
第六條 從事信息系統(tǒng)審計的內部審計人員應當具備必要的信息技術及信息系統(tǒng)審計專業(yè)知識�����、技能和經驗。必要時����,實施信息系統(tǒng)審計可以利用外部專家服務。
第七條 信息系統(tǒng)審計可以作為獨立的審計項目組織實施���,也可以作為綜合性內部審計項目的組成部分實施�。
當信息系統(tǒng)審計作為綜合性內部審計項目的一部分時����,信息系統(tǒng)審計人員應當及時與其他相關內部審計人員溝通信息系統(tǒng)審計中的發(fā)現(xiàn),并考慮依據審計結果調整其他相關審計的范圍����、時間及性質。
第八條 內部審計人員應當采用以風險為基礎的審計方法進行信息系統(tǒng)審計���,風險評估應當貫穿于信息系統(tǒng)審計的全過程��。
第三章 信息系統(tǒng)審計計劃
第九條 內部審計人員在實施信息系統(tǒng)審計前�����,需要確定審計目標并初步評估審計風險��,估算完成信息系統(tǒng)審計或者專項審計所需的資源����,確定重點審計領域及審計活動的優(yōu)先次序�,明確審計組成員的職責,編制信息系統(tǒng)審計方案����。
第十條 編制信息系統(tǒng)審計方案時,除遵循相關內部審計具體準則的規(guī)定����,還應當考慮下列因素:
(一)高度依賴信息技術、信息系統(tǒng)的關鍵業(yè)務流程及相關的組織戰(zhàn)略目標���;
(二)信息技術管理的組織架構��;
(三)信息系統(tǒng)框架和信息系統(tǒng)的長期發(fā)展規(guī)劃及近期發(fā)展計劃����;
(四)信息系統(tǒng)及其支持的業(yè)務流程的變更情況����;
(五)信息系統(tǒng)的復雜程度�����;
(六)以前年度信息系統(tǒng)內���、外部審計所發(fā)現(xiàn)的問題及后續(xù) 審計情況;
(七)其他影響信息系統(tǒng)審計的因素���。
第十一條 當信息系統(tǒng)審計作為綜合性內部審計項目的一部分時���,內部審計人員在審計計劃階段還應當考慮項目審計目標及要求。
第四章 信息技術風險評估
第十二條 內部審計人員進行信息系統(tǒng)審計時����,應當識別組織所面臨的與信息技術相關的內、外部風險��,并采用適當?shù)娘L險評估技術與方法����,分析和評價其發(fā)生的可能性及影響程度,為確定審計目標��、范圍和方法提供依據。
第十三條 信息技術風險是指組織在信息處理和信息技術運用過程中產生的��、可能影響組織目標實現(xiàn)的各種不確定因素��。信息技術風險��,包括組織層面的信息技術風險�����、一般性控制層面的信息技術風險及業(yè)務流程層面的信息技術風險等�����。
第十四條 內部審計人員在識別和評估組織層面�����、一般性控制層面的信息技術風險時�,需要關注下列內容:
(一)業(yè)務關注度����,即組織的信息技術戰(zhàn)略與組織整體發(fā)展 戰(zhàn)略規(guī)劃的契合度以及信息技術(包括硬件及軟件環(huán)境)對業(yè)務和用戶需求的支持度;
(二)信息資產的重要性�����;
(三)對信息技術的依賴程度;
(四)對信息技術部門人員的依賴程度�;
(五)對外部信息技術服務的依賴程度;
(六)信息系統(tǒng)及其運行環(huán)境的安全性��、可靠性���;
(七)信息技術變更���;
(八)法律規(guī)范環(huán)境;
(九)其他�。
第十五條 業(yè)務流程層面的信息技術風險受行業(yè)背景、業(yè)務流程的復雜程度�、上述組織層面及一般性控制層面的控制有效性等因素的影響而存在差異。一般而言�����,內部審計人員應當了解業(yè)務流程��,并關注下列信息技術風險:
(一)數(shù)據輸入�;
(二)數(shù)據處理;
(三)數(shù)據輸出����。
第十六條 內部審計人員應當充分考慮風險評估的結果�,以合理確定信息系統(tǒng)審計的內容及范圍���,并對組織的信息技術內部控制設計合理性和運行有效性進行測試�。
第五章 信息系統(tǒng)審計的內容
第十七條 信息系統(tǒng)審計主要是對組織層面信息技術控制����、信息技術一般性控制及業(yè)務流程層面相關應用控制的審查和評價��。
第十八條 信息技術內部控制的各個層面均包括人工控制�、自動控制和人工、自動相結合的控制形式���,內部審計人員應當根據不同的控制形式采取恰當?shù)膶徲嫵绦颉?/span>
第十九條 組織層面信息技術控制�����,是指董事會或者最高管理層對信息技術治理職能及內部控制的重要性的態(tài)度�����、認識和措施�����。內部審計人員應當考慮下列控制要素中與信息技術相關的內容:
(一)控制環(huán)境�。內部審計人員應當關注組織的信息技術戰(zhàn)略規(guī)劃對業(yè)務戰(zhàn)略規(guī)劃的契合度、信息技術治理制度體系的建設����、信息技術部門的組織結構和關系、信息技術治理相關職權與責任的分配���、信息技術人力資源管理��、對用戶的信息技術教育和培訓等方面���。
(二)風險評估。內部審計人員應當關注組織的風險評估的總體架構中信息技術風險管理的框架��、流程和執(zhí)行情況�,信息資產的分類以及信息資產所有者的職責等方面。
(三)信息與溝通���。內部審計人員應當關注組織的信息系統(tǒng)架構及其對財務���、業(yè)務流程的支持度���、董事會或者最高管理層的信息溝通模式、信息技術政策/信息安全制度的傳達與溝通等方面����。
(四)內部監(jiān)督。內部審計人員應當關注組織的監(jiān)控管理報告系統(tǒng)�、監(jiān)控反饋、跟蹤處理程序以及組織對信息技術內部控制的自我評估機制等方面����。
第二十條 信息技術一般性控制是指與網絡�、操作系統(tǒng)、數(shù)據庫���、應用系統(tǒng)及其相關人員有關的信息技術政策和措施��,以確保信息系統(tǒng)持續(xù)穩(wěn)定的運行�,支持應用控制的有效性�。對信息技術一般性控制的審計應當考慮下列控制活動:
(一)信息安全管理。內部審計人員應當關注組織的信息安全管理政策���,物理訪問及針對網絡����、操作系統(tǒng)、數(shù)據庫�、應用系統(tǒng)的身份認證和邏輯訪問管理機制,系統(tǒng)設置的職責分離控制等�。
(二)系統(tǒng)變更管理。內部審計人員應當關注組織的應用系統(tǒng)及相關系統(tǒng)基礎架構的變更���、參數(shù)設置變更的授權與審批�����,變更測試����,變更移植到生產環(huán)境的流程控制等�。
(三)系統(tǒng)開發(fā)和采購管理。內部審計人員應當關注組織的應用系統(tǒng)及相關系統(tǒng)基礎架構的開發(fā)和采購的授權審批��,系統(tǒng)開發(fā)的方法論��,開發(fā)環(huán)境�、測試環(huán)境、生產環(huán)境嚴格分離情況,系統(tǒng)的測試�����、審核���、移植到生產環(huán)境等環(huán)節(jié)��。
(四)系統(tǒng)運行管理���。內部審計人員應當關注組織的信息技術資產管理、系統(tǒng)容量管理�����、系統(tǒng)物理環(huán)境控制�����、系統(tǒng)和數(shù)據備份及恢復管理�、問題管理和系統(tǒng)的日常運行管理等��。
第二十一條 業(yè)務流程層面應用控制是指在業(yè)務流程層面為了合理保證應用系統(tǒng)準確�、完整、及時完成業(yè)務數(shù)據的生成、記錄�、處理、報告等功能而設計����、執(zhí)行的信息技術控制。對業(yè)務流程層面應用控制的審計應當考慮下列與數(shù)據輸入�、數(shù)據處理以及數(shù)據輸出環(huán)節(jié)相關的控制活動:
(一)授權與批準;
(二)系統(tǒng)配置控制���;
(三)異常情況報告和差錯報告����;
(四)接口/轉換控制��;
(五)一致性核對�����;
(六)職責分離�;
(七)系統(tǒng)訪問權限;
(八)系統(tǒng)計算���;
(九)其他���。
第二十二條 信息系統(tǒng)審計除上述常規(guī)的審計內容外�����,內部審計人員還可以根據組織當前面臨的特殊風險或者需求����,設計專項審計以滿足審計戰(zhàn)略����,具體包括(但不限于)下列領域:
(一)信息系統(tǒng)開發(fā)實施項目的專項審計;
(二)信息系統(tǒng)安全專項審計���;
(三)信息技術投資專項審計����;
(四)業(yè)務連續(xù)性計劃的專項審計�����;
(五)外包條件下的專項審計����;
(六)法律、法規(guī)����、行業(yè)規(guī)范要求的內部控制合規(guī)性專項審計�;
(七)其他專項審計。
第六章 信息系統(tǒng)審計的方法
第二十三條 內部審計人員在進行信息系統(tǒng)審計時,可以單獨或者綜合運用下列審計方法獲取相關�����、可靠和充分的審計證據����,以評估信息系統(tǒng)內部控制的設計合理性和運行有效性:
(一)詢問相關控制人員;
(二)觀察特定控制的運用�;
(三)審閱文件和報告及計算機文檔或者日志;
(四)根據信息系統(tǒng)的特性進行穿行測試����,追蹤交易在信息 系統(tǒng)中的處理過程;
(五)驗證系統(tǒng)控制和計算邏輯�;
(六)登錄信息系統(tǒng)進行系統(tǒng)查詢;
(七)利用計算機輔助審計工具和技術��;
(八)利用其他專業(yè)機構的審計結果或者組織對信息技術內 部控制的自我評估結果��;
(九)其他���。
第二十四條 信息系統(tǒng)審計人員可以根據實際需要利用計算機輔助審計工具和技術進行數(shù)據的驗證���、關鍵系統(tǒng)控制/計算的邏輯驗證、審計樣本選取等���;內部審計人員在充分考慮安全的前提下��,可以利用可靠的信息安全偵測工具進行滲透性測試等����。
第二十五條 內部審計人員在對信息系統(tǒng)內部控制進行評估時�����,應當獲得相關��、可靠和充分的審計證據以支持審計結論完成審計目標����,并應當充分考慮系統(tǒng)自動控制的控制效果的一致性及可靠性的特點����,在選取審計樣本時可以根據情況適當減少樣本量���。在系統(tǒng)未發(fā)生變更的情況下����,可以考慮適當降低審計頻率���。
第二十六條 內部審計人員在審計過程中應當在風險評估的基礎上����,依據信息系統(tǒng)內部控制評估的結果重新評估審計風險�����,并根據剩余風險設計進一步的審計程序����。
第七章 附 則
第二十七條 本準則由中國內部審計協(xié)會發(fā)布并負責解釋。
第二十八條 本準則自2014年1月1日起施行��。
