內(nèi)部審計(jì)具體準(zhǔn)則第28號(hào)——信息系統(tǒng)審計(jì)

  第一章  總  則

    第一條  為了規(guī)范組織內(nèi)部審計(jì)機(jī)構(gòu)及人員開展信息系統(tǒng)審計(jì)活動(dòng)，保證審計(jì)質(zhì)量，根據(jù)《內(nèi)部審計(jì)基本準(zhǔn)則》制定本準(zhǔn)則。

    第二條  本準(zhǔn)則所稱信息系統(tǒng)審計(jì)，是指由組織內(nèi)部審計(jì)機(jī)構(gòu)及人員對(duì)信息系統(tǒng)及其相關(guān)的信息技術(shù)內(nèi)部控制和流程開展的一系列綜合檢查、評(píng)價(jià)與報(bào)告活動(dòng)。

    第三條  本準(zhǔn)則適用于各類組織的內(nèi)部審計(jì)機(jī)構(gòu)、內(nèi)部審計(jì)人員及其從事的信息系統(tǒng)審計(jì)活動(dòng)。

    第二章  一般原則

    第四條  信息系統(tǒng)審計(jì)的目的是通過實(shí)施信息系統(tǒng)審計(jì)工作，對(duì)組織是否達(dá)成信息技術(shù)管理目標(biāo)進(jìn)行綜合評(píng)價(jià)，并基于評(píng)價(jià)意見提出管理建議，協(xié)助組織信息技術(shù)管理人員有效地履行其受托責(zé)任以達(dá)成組織的信息技術(shù)管理目標(biāo)。組織的信息技術(shù)管理目的是保證組織的信息技術(shù)戰(zhàn)略充分反映該組織的業(yè)務(wù)戰(zhàn)略目標(biāo)，提高組織所依賴的信息系統(tǒng)的可靠性、穩(wěn)定性、安全性及數(shù)據(jù)處理的完整性和準(zhǔn)確性，提高信息系統(tǒng)運(yùn)行的效果與效率，合理保證信息系統(tǒng)的運(yùn)行符合法律法規(guī)及監(jiān)管的相關(guān)要求。

    第五條  組織中信息技術(shù)管理人員的責(zé)任是信息系統(tǒng)的開發(fā)、運(yùn)行和維護(hù)以及信息技術(shù)相關(guān)的內(nèi)部控制的設(shè)計(jì)、執(zhí)行和監(jiān)控；信息系統(tǒng)審計(jì)人員的責(zé)任是實(shí)施信息系統(tǒng)審計(jì)工作并出具審計(jì)報(bào)告。

    第六條  從事信息系統(tǒng)審計(jì)人員的專業(yè)勝任能力是指在信息系統(tǒng)審計(jì)領(lǐng)域，勝任管理層與其他利益方的委托、履行其信息系統(tǒng)審計(jì)職能所應(yīng)擁有的相關(guān)知識(shí)、技能和素質(zhì)。信息系統(tǒng)審計(jì)人員應(yīng)當(dāng)熟悉內(nèi)部審計(jì)業(yè)務(wù)并具備必要的信息技術(shù)及信息系統(tǒng)審計(jì)的專業(yè)知識(shí)。此外，審計(jì)項(xiàng)目負(fù)責(zé)人員應(yīng)具有三年以上信息系統(tǒng)審計(jì)相關(guān)工作經(jīng)驗(yàn)，或六年以上相關(guān)業(yè)務(wù)的從業(yè)經(jīng)驗(yàn)。由于組織特殊性而產(chǎn)生的例外情況，應(yīng)當(dāng)獲得組織管理層的特別授權(quán)。組織應(yīng)當(dāng)建立信息系統(tǒng)審計(jì)人員培訓(xùn)制度，鼓勵(lì)審計(jì)人員取得注冊(cè)信息系統(tǒng)審計(jì)師等執(zhí)業(yè)資格，以保證審計(jì)人員的專業(yè)勝任能力。必要時(shí)，信息系統(tǒng)審計(jì)可利用外部專家的服務(wù)。

    第七條  信息系統(tǒng)審計(jì)可作為獨(dú)立的審計(jì)項(xiàng)目組織實(shí)施、或作為綜合性內(nèi)部審計(jì)項(xiàng)目的組成部分實(shí)施。

    第八條  信息系統(tǒng)審計(jì)劃分為以下階段：審計(jì)計(jì)劃階段、審計(jì)實(shí)施階段、審計(jì)報(bào)告與后續(xù)工作階段。

    第九條  審計(jì)人員應(yīng)采用以風(fēng)險(xiǎn)為導(dǎo)向的審計(jì)方法進(jìn)行信息系統(tǒng)審計(jì)，風(fēng)險(xiǎn)評(píng)估應(yīng)貫穿審計(jì)的計(jì)劃、實(shí)施、報(bào)告與后續(xù)工作各個(gè)階段。

    第三章  審計(jì)計(jì)劃

    第十條  內(nèi)部審計(jì)人員在執(zhí)行信息系統(tǒng)審計(jì)之前，需要確定審計(jì)目標(biāo)并初步評(píng)估審計(jì)風(fēng)險(xiǎn)，估算完成信息系統(tǒng)審計(jì)或?qū)ｍ?xiàng)審計(jì)所需的資源，確定重點(diǎn)審計(jì)領(lǐng)域及審計(jì)活動(dòng)的優(yōu)先次序，明確審計(jì)組成員的職責(zé)，并以此制定信息系統(tǒng)審計(jì)計(jì)劃。

    第十一條  制定信息系統(tǒng)審計(jì)計(jì)劃時(shí)，應(yīng)遵循其他相關(guān)內(nèi)部審計(jì)具體準(zhǔn)則規(guī)定的因素，同時(shí)針對(duì)信息系統(tǒng)審計(jì)的特殊性，審計(jì)人員還應(yīng)充分考慮以下因素：

    （一）高度依賴信息技術(shù)、信息系統(tǒng)的關(guān)鍵業(yè)務(wù)流程及相關(guān)的組織戰(zhàn)略目標(biāo)；

    （二）信息技術(shù)管理的組織架構(gòu)；

    （三）信息系統(tǒng)框架和信息系統(tǒng)的長(zhǎng)期發(fā)展規(guī)劃及近期發(fā)展計(jì)劃；

    （四）信息系統(tǒng)及其支持的業(yè)務(wù)流程的變更情況；

    （五）信息系統(tǒng)的復(fù)雜程度；

    （六）以前年度信息系統(tǒng)內(nèi)、外部審計(jì)等相關(guān)的審計(jì)發(fā)現(xiàn)及后續(xù)審計(jì)情況。

    第十二條  信息系統(tǒng)審計(jì)作為綜合性內(nèi)部審計(jì)項(xiàng)目的一部分時(shí)，審計(jì)人員在審計(jì)計(jì)劃階段還應(yīng)綜合考慮相關(guān)內(nèi)部審計(jì)的審計(jì)目標(biāo)及要求。

    第四章  信息技術(shù)風(fēng)險(xiǎn)評(píng)估

    第十三條  進(jìn)行信息系統(tǒng)審計(jì)時(shí)，審計(jì)人員應(yīng)當(dāng)識(shí)別組織所面臨的與信息技術(shù)相關(guān)的內(nèi)、外部風(fēng)險(xiǎn)，并采用適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估技術(shù)與方法，分析及評(píng)價(jià)其發(fā)生的可能性及影響程度，為確定審計(jì)目標(biāo)、范圍和方法提供依據(jù)。

    第十四條  信息技術(shù)風(fēng)險(xiǎn)是指組織在信息處理和信息技術(shù)運(yùn)用過程中產(chǎn)生的、可能影響組織目標(biāo)實(shí)現(xiàn)的各種不確定因素。信息技術(shù)風(fēng)險(xiǎn)包括組織層面的信息技術(shù)風(fēng)險(xiǎn)、一般性控制層面的信息技術(shù)風(fēng)險(xiǎn)及業(yè)務(wù)流程層面的信息技術(shù)風(fēng)險(xiǎn)等。

    第十五條  審計(jì)人員在識(shí)別、評(píng)估組織層面、一般性控制層面的信息技術(shù)風(fēng)險(xiǎn)時(shí)需要關(guān)注以下幾方面：

    （一）業(yè)務(wù)關(guān)注度，即組織的信息技術(shù)戰(zhàn)略與組織整體發(fā)展戰(zhàn)略規(guī)劃的契合度以及信息技術(shù)（包括硬件及軟件環(huán)境）對(duì)業(yè)務(wù)和用戶需求的支持度；

    （二）信息資產(chǎn)的重要性；

    （三）對(duì)信息技術(shù)的依賴程度；

    （四）對(duì)信息技術(shù)部門人員的依賴程度；

    （五）對(duì)外部信息技術(shù)服務(wù)的依賴程度；

    （六）信息系統(tǒng)及其運(yùn)行環(huán)境的安全性、可靠性；

    （七）信息技術(shù)變更；

    （八）法律規(guī)范環(huán)境；

    （九）其他。

    第十六條  業(yè)務(wù)流程層面的信息技術(shù)風(fēng)險(xiǎn)受行業(yè)背景、業(yè)務(wù)流程的復(fù)雜程度、上述組織層面及一般性控制層面的控制有效性等因素的影響而存在差異。一般而言，審計(jì)人員應(yīng)了解業(yè)務(wù)流程并關(guān)注以下幾方面信息技術(shù)風(fēng)險(xiǎn)：

    （一）數(shù)據(jù)輸入；

    （二）數(shù)據(jù)處理；

    （三）數(shù)據(jù)輸出。

    第十七條  審計(jì)人員應(yīng)充分考慮風(fēng)險(xiǎn)評(píng)估的結(jié)果，以合理確定信息系統(tǒng)審計(jì)的內(nèi)容及范圍，并對(duì)組織的信息技術(shù)內(nèi)部控制的設(shè)計(jì)有效性和執(zhí)行有效性進(jìn)行測(cè)試。

    第五章  信息系統(tǒng)審計(jì)的內(nèi)容

    第十八條  信息系統(tǒng)審計(jì)通常包括對(duì)組織層面信息技術(shù)控制、信息技術(shù)一般性控制及業(yè)務(wù)流程層面相關(guān)應(yīng)用控制的審計(jì)。

    第十九條  信息技術(shù)內(nèi)部控制的各個(gè)層面都包括人工控制、自動(dòng)控制和人工、自動(dòng)相結(jié)合的控制形式，審計(jì)人員應(yīng)根據(jù)不同的控制形式采取恰當(dāng)?shù)膶徲?jì)程序。

    第二十條  組織層面信息技術(shù)控制是指管理層及治理層對(duì)信息技術(shù)治理職能及內(nèi)部控制的重要性的態(tài)度、認(rèn)識(shí)和措施，審計(jì)人員應(yīng)考慮以下控制要素中與信息技術(shù)相關(guān)的內(nèi)容：

    （一）控制環(huán)境

    審計(jì)人員應(yīng)關(guān)注該組織的信息技術(shù)戰(zhàn)略規(guī)劃對(duì)業(yè)務(wù)戰(zhàn)略規(guī)劃的契合度、信息技術(shù)治理制度體系的建設(shè)、信息技術(shù)部門的組織結(jié)構(gòu)和關(guān)系、信息技術(shù)治理相關(guān)職權(quán)與責(zé)任的分配、信息技術(shù)人力資源管理、對(duì)用戶的信息技術(shù)教育和培訓(xùn)等方面；

    （二）風(fēng)險(xiǎn)評(píng)估

    審計(jì)人員應(yīng)關(guān)注組織的風(fēng)險(xiǎn)評(píng)估的總體架構(gòu)中信息技術(shù)風(fēng)險(xiǎn)管理的框架、流程和執(zhí)行情況、信息資產(chǎn)的分類以及信息資產(chǎn)所有者的職責(zé)等方面；

    （三）信息與溝通

    審計(jì)人員應(yīng)關(guān)注組織的信息系統(tǒng)架構(gòu)及其對(duì)財(cái)務(wù)、業(yè)務(wù)流程的支持度、管理層及治理層的信息溝通模式、信息技術(shù)政策/信息安全制度的傳達(dá)與溝通等方面；

    （四）監(jiān)控

    審計(jì)人員應(yīng)關(guān)注組織的監(jiān)控管理報(bào)告系統(tǒng)、監(jiān)控反饋、跟蹤處理程序以及組織對(duì)信息技術(shù)內(nèi)部控制的自我評(píng)估機(jī)制等方面。

    第二十一條  信息技術(shù)一般性控制是指與網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)及其相關(guān)人員有關(guān)的信息技術(shù)政策和措施，以確保信息系統(tǒng)持續(xù)穩(wěn)定的運(yùn)行，支持應(yīng)用控制的有效性。對(duì)信息技術(shù)一般性控制的審計(jì)應(yīng)考慮以下控制活動(dòng)：

    （一）信息安全管理

    審計(jì)人員應(yīng)關(guān)注組織的信息安全管理政策，物理訪問及針對(duì)網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)的身份認(rèn)證和邏輯訪問管理機(jī)制，系統(tǒng)設(shè)置的職責(zé)分離控制等；

    （二）系統(tǒng)變更管理

    審計(jì)人員應(yīng)關(guān)注組織的應(yīng)用系統(tǒng)及相關(guān)系統(tǒng)基礎(chǔ)架構(gòu)的變更、參數(shù)設(shè)置變更的授權(quán)與審批，變更測(cè)試，變更移植到生產(chǎn)環(huán)境的流程控制等；

    （三）系統(tǒng)開發(fā)和采購(gòu)管理

    審計(jì)人員應(yīng)關(guān)注組織的應(yīng)用系統(tǒng)及相關(guān)系統(tǒng)基礎(chǔ)架構(gòu)的開發(fā)和采購(gòu)的授權(quán)審批，系統(tǒng)開發(fā)的方法論，開發(fā)環(huán)境、測(cè)試環(huán)境、生產(chǎn)環(huán)境嚴(yán)格分離情況，系統(tǒng)的測(cè)試、審核、移植到生產(chǎn)環(huán)境等環(huán)節(jié)；

    （四）系統(tǒng)運(yùn)行管理

    審計(jì)人員應(yīng)關(guān)注組織的信息技術(shù)資產(chǎn)管理、系統(tǒng)容量管理、系統(tǒng)物理環(huán)境控制，系統(tǒng)和數(shù)據(jù)備份及恢復(fù)管理，問題管理和系統(tǒng)的日常運(yùn)行管理等。

    第二十二條  業(yè)務(wù)流程層面應(yīng)用控制是指在業(yè)務(wù)流程層面為了合理保證應(yīng)用系統(tǒng)準(zhǔn)確、完整、及時(shí)完成業(yè)務(wù)數(shù)據(jù)的生成、記錄、處理、報(bào)告等功能而設(shè)計(jì)、執(zhí)行的信息技術(shù)控制。對(duì)業(yè)務(wù)流程層面應(yīng)用控制的審計(jì)應(yīng)考慮以下與數(shù)據(jù)輸入、數(shù)據(jù)處理以及數(shù)據(jù)輸出環(huán)節(jié)相關(guān)的控制活動(dòng)：

    （一）授權(quán)與批準(zhǔn)；

    （二）系統(tǒng)配置控制；

    （三）異常情況報(bào)告和差錯(cuò)報(bào)告；

    （四）接口/轉(zhuǎn)換控制；

    （五）一致性核對(duì)；

    （六）職責(zé)分離；

    （七）系統(tǒng)訪問權(quán)限；

    （八）系統(tǒng)計(jì)算；

    （九）其他。

    第二十三條  信息系統(tǒng)審計(jì)除上述常規(guī)的審計(jì)內(nèi)容外，審計(jì)人員還可以根據(jù)組織當(dāng)前面臨的特殊風(fēng)險(xiǎn)或需求，設(shè)計(jì)專項(xiàng)審計(jì)以滿足審計(jì)戰(zhàn)略，具體包括但不限于下列領(lǐng)域：

    （一）信息系統(tǒng)開發(fā)實(shí)施項(xiàng)目的專項(xiàng)審計(jì)；

    （二）信息系統(tǒng)安全專項(xiàng)審計(jì)；

    （三）信息技術(shù)投資專項(xiàng)審計(jì)；

    （四）業(yè)務(wù)連續(xù)性計(jì)劃的專項(xiàng)審計(jì)；

    （五）外包條件下的專項(xiàng)審計(jì)；

    （六）法律法規(guī)、行業(yè)規(guī)范要求的內(nèi)部控制的合規(guī)性的專項(xiàng)審計(jì)；

    （七）其他專項(xiàng)審計(jì)。

    第六章  信息系統(tǒng)審計(jì)的方法

    第二十四條  審計(jì)人員在進(jìn)行審計(jì)與信息技術(shù)相關(guān)內(nèi)部控制及流程中可以單獨(dú)或綜合應(yīng)用下列的審計(jì)方法來(lái)獲取充分、適當(dāng)?shù)膶徲?jì)證據(jù)以評(píng)估信息技術(shù)內(nèi)部控制的設(shè)計(jì)有效性和執(zhí)行有效性：

    （一 ）詢問相關(guān)的控制人員；

    （二）觀察特定控制的運(yùn)用；

    （三）審閱文件和報(bào)告；

    （四）根據(jù)信息系統(tǒng)的特性，進(jìn)行穿行測(cè)試，追蹤交易在信息系統(tǒng)中的處理過程；

    （五）驗(yàn)證系統(tǒng)控制和計(jì)算邏輯；

    （六）登錄信息系統(tǒng)進(jìn)行系統(tǒng)查詢；

    （七）利用計(jì)算機(jī)輔助審計(jì)工具和技術(shù)；

    （八）保證獨(dú)立性、客觀性及職業(yè)技能的質(zhì)量控制前提下，利用其他專業(yè)機(jī)構(gòu)的審計(jì)結(jié)果或組織對(duì)信息技術(shù)內(nèi)部控制的自我評(píng)估結(jié)果；

    （九）其他

    第二十五條  信息系統(tǒng)審計(jì)人員可以根據(jù)需要利用計(jì)算機(jī)輔助審計(jì)工具和技術(shù)進(jìn)行數(shù)據(jù)的驗(yàn)證、關(guān)鍵系統(tǒng)控制/計(jì)算的邏輯的驗(yàn)證、審計(jì)樣本選取等；審計(jì)人員在充分考慮安全的前提下，可以利用可靠的信息安全偵測(cè)工具進(jìn)行滲透性測(cè)試等。

    第二十六條  審計(jì)人員在對(duì)信息技術(shù)內(nèi)部控制進(jìn)行評(píng)估時(shí)，應(yīng)獲得充分、可靠及相關(guān)的審計(jì)證據(jù)以支持審計(jì)結(jié)論完成審計(jì)目標(biāo)，并應(yīng)充分考慮系統(tǒng)自動(dòng)控制的控制效果的一致性及可靠性的特點(diǎn)，在選取審計(jì)樣本時(shí)可根據(jù)情況適當(dāng)減少樣本量。在系統(tǒng)未發(fā)生變更的情況下，可考慮適當(dāng)降低審計(jì)頻率。

    第二十七條  審計(jì)人員在審計(jì)過程中進(jìn)行風(fēng)險(xiǎn)評(píng)估，并在此基礎(chǔ)上依據(jù)信息技術(shù)內(nèi)部控制評(píng)估的結(jié)果重新評(píng)估審計(jì)風(fēng)險(xiǎn)，并根據(jù)剩余風(fēng)險(xiǎn)來(lái)進(jìn)一步設(shè)計(jì)審計(jì)程序。

    第二十八條  審計(jì)工作底稿應(yīng)以正式的書面或電子形式進(jìn)行記錄，其中應(yīng)包含審計(jì)程序、審計(jì)發(fā)現(xiàn)和審計(jì)結(jié)論以及支持審計(jì)結(jié)論的審計(jì)工作細(xì)節(jié)及審計(jì)證據(jù)。審計(jì)過程中獲取的電子數(shù)據(jù)應(yīng)建立嚴(yán)格的電子數(shù)據(jù)歸檔措施，并對(duì)敏感數(shù)據(jù)進(jìn)行嚴(yán)格的保密管理。

    第七章  審計(jì)報(bào)告與后續(xù)工作

    第二十九條  在審計(jì)實(shí)施結(jié)束后，審計(jì)人員應(yīng)以充分、可靠及相關(guān)的審計(jì)證據(jù)為依據(jù)形成審計(jì)結(jié)論與建議，出具審計(jì)報(bào)告，形成審計(jì)結(jié)果，追蹤審計(jì)建議的落實(shí)并執(zhí)行相應(yīng)后續(xù)審計(jì)程序。

    第三十條  當(dāng)信息系統(tǒng)審計(jì)作為綜合性內(nèi)部審計(jì)項(xiàng)目的一部分時(shí)，審計(jì)人員應(yīng)及時(shí)與其它相關(guān)內(nèi)部審計(jì)人員溝通信息系統(tǒng)內(nèi)部審計(jì)的發(fā)現(xiàn)，并考慮依據(jù)審計(jì)結(jié)果調(diào)整其他相關(guān)審計(jì)的范圍、時(shí)間及性質(zhì)。

    第八章  附則

    第三十一條  本準(zhǔn)則由中國(guó)內(nèi)部審計(jì)協(xié)會(huì)負(fù)責(zé)解釋。

    第三十二條  本準(zhǔn)則自2009年1月1日起施行。