第2203號內部審計具體準則——信息系統審計

第一章 總 則

第一條 為了規范信息系統審計工作，提高審計質量和效率，根據《內部審計基本準則》，制定本準則。

第二條 本準則所稱信息系統審計，是指內部審計機構和內部審計人員對組織的信息系統及其相關的信息技術內部控制和流程所進行的審查與評價活動。

第三條 本準則適用于各類組織的內部審計機構、內部審計人員及其從事的信息系統審計活動。其他組織或者人員接受委托、聘用，承辦或者參與內部審計業務，也應當遵守本準則。

第二章 一般原則

第四條 信息系統審計的目的是通過實施信息系統審計工作，對組織是否實現信息技術管理目標進行審查和評價，并基于評價意見提出管理建議，協助組織信息技術管理人員有效地履行職責。

組織的信息技術管理目標主要包括：

(一)保證組織的信息技術戰略充分反映組織的戰略目標;

(二)提高組織所依賴的信息系統的可靠性、穩定性、安全性及數據處理的完整性和準確性;

(三)提高信息系統運行的效果與效率，合理保證信息系統的運行符合法律法規以及相關監管要求。

第五條 組織中信息技術管理人員的責任是進行信息系統的開發、運行和維護，以及與信息技術相關的內部控制的設計、執行和監控;信息系統審計人員的責任是實施信息系統審計工作并出具審計報告。

第六條 從事信息系統審計的內部審計人員應當具備必要的信息技術及信息系統審計專業知識、技能和經驗。必要時，實施信息系統審計可以利用外部專家服務。

第七條 信息系統審計可以作為獨立的審計項目組織實施，也可以作為綜合性內部審計項目的組成部分實施。

當信息系統審計作為綜合性內部審計項目的一部分時，信息系統審計人員應當及時與其他相關內部審計人員溝通信息系統審計中的發現，并考慮依據審計結果調整其他相關審計的范圍、時間及性質。

第八條 內部審計人員應當采用以風險為基礎的審計方法進行信息系統審計，風險評估應當貫穿于信息系統審計的全過程。

第三章 信息系統審計計劃

第九條 內部審計人員在實施信息系統審計前，需要確定審計目標并初步評估審計風險，估算完成信息系統審計或者專項審計所需的資源，確定重點審計領域及審計活動的優先次序，明確審計組成員的職責，編制信息系統審計方案。

第十條 編制信息系統審計方案時，除遵循相關內部審計具體準則的規定，還應當考慮下列因素：

(一)高度依賴信息技術、信息系統的關鍵業務流程及相關的組織戰略目標;

(二)信息技術管理的組織架構;

(三)信息系統框架和信息系統的長期發展規劃及近期發展計劃;

(四)信息系統及其支持的業務流程的變更情況;

(五)信息系統的復雜程度;

(六)以前年度信息系統內、外部審計所發現的問題及后續 審計情況;

(七)其他影響信息系統審計的因素。

第十一條 當信息系統審計作為綜合性內部審計項目的一部分時，內部審計人員在審計計劃階段還應當考慮項目審計目標及要求。

第四章 信息技術風險評估

第十二條 內部審計人員進行信息系統審計時，應當識別組織所面臨的與信息技術相關的內、外部風險，并采用適當的風險評估技術與方法，分析和評價其發生的可能性及影響程度，為確定審計目標、范圍和方法提供依據。

第十三條 信息技術風險是指組織在信息處理和信息技術運用過程中產生的、可能影響組織目標實現的各種不確定因素。信息技術風險，包括組織層面的信息技術風險、一般性控制層面的信息技術風險及業務流程層面的信息技術風險等。

第十四條 內部審計人員在識別和評估組織層面、一般性控制層面的信息技術風險時，需要關注下列內容：

(一)業務關注度，即組織的信息技術戰略與組織整體發展 戰略規劃的契合度以及信息技術(包括硬件及軟件環境)對業務和用戶需求的支持度;

(二)信息資產的重要性;

(三)對信息技術的依賴程度;

(四)對信息技術部門人員的依賴程度;

(五)對外部信息技術服務的依賴程度;

(六)信息系統及其運行環境的安全性、可靠性;

(七)信息技術變更;

(八)法律規范環境;

(九)其他。

第十五條 業務流程層面的信息技術風險受行業背景、業務流程的復雜程度、上述組織層面及一般性控制層面的控制有效性等因素的影響而存在差異。一般而言，內部審計人員應當了解業務流程，并關注下列信息技術風險：

(一)數據輸入;

(二)數據處理;

(三)數據輸出。

第十六條 內部審計人員應當充分考慮風險評估的結果，以合理確定信息系統審計的內容及范圍，并對組織的信息技術內部控制設計合理性和運行有效性進行測試。

第五章 信息系統審計的內容

第十七條 信息系統審計主要是對組織層面信息技術控制、信息技術一般性控制及業務流程層面相關應用控制的審查和評價。

第十八條 信息技術內部控制的各個層面均包括人工控制、自動控制和人工、自動相結合的控制形式，內部審計人員應當根據不同的控制形式采取恰當的審計程序。

第十九條 組織層面信息技術控制，是指董事會或者最高管理層對信息技術治理職能及內部控制的重要性的態度、認識和措施。內部審計人員應當考慮下列控制要素中與信息技術相關的內容：

(一)控制環境。內部審計人員應當關注組織的信息技術戰略規劃對業務戰略規劃的契合度、信息技術治理制度體系的建設、信息技術部門的組織結構和關系、信息技術治理相關職權與責任的分配、信息技術人力資源管理、對用戶的信息技術教育和培訓等方面。

(二)風險評估。內部審計人員應當關注組織的風險評估的總體架構中信息技術風險管理的框架、流程和執行情況，信息資產的分類以及信息資產所有者的職責等方面。

(三)信息與溝通。內部審計人員應當關注組織的信息系統架構及其對財務、業務流程的支持度、董事會或者最高管理層的信息溝通模式、信息技術政策/信息安全制度的傳達與溝通等方面。

(四)內部監督。內部審計人員應當關注組織的監控管理報告系統、監控反饋、跟蹤處理程序以及組織對信息技術內部控制的自我評估機制等方面。

第二十條 信息技術一般性控制是指與網絡、操作系統、數據庫、應用系統及其相關人員有關的信息技術政策和措施，以確保信息系統持續穩定的運行，支持應用控制的有效性。對信息技術一般性控制的審計應當考慮下列控制活動：

(一)信息安全管理。內部審計人員應當關注組織的信息安全管理政策，物理訪問及針對網絡、操作系統、數據庫、應用系統的身份認證和邏輯訪問管理機制，系統設置的職責分離控制等。

(二)系統變更管理。內部審計人員應當關注組織的應用系統及相關系統基礎架構的變更、參數設置變更的授權與審批，變更測試，變更移植到生產環境的流程控制等。

(三)系統開發和采購管理。內部審計人員應當關注組織的應用系統及相關系統基礎架構的開發和采購的授權審批，系統開發的方法論，開發環境、測試環境、生產環境嚴格分離情況，系統的測試、審核、移植到生產環境等環節。

(四)系統運行管理。內部審計人員應當關注組織的信息技術資產管理、系統容量管理、系統物理環境控制、系統和數據備份及恢復管理、問題管理和系統的日常運行管理等。

第二十一條 業務流程層面應用控制是指在業務流程層面為了合理保證應用系統準確、完整、及時完成業務數據的生成、記錄、處理、報告等功能而設計、執行的信息技術控制。對業務流程層面應用控制的審計應當考慮下列與數據輸入、數據處理以及數據輸出環節相關的控制活動：

(一)授權與批準;

(二)系統配置控制;

(三)異常情況報告和差錯報告;

(四)接口/轉換控制;

(五)一致性核對;

(六)職責分離;

(七)系統訪問權限;

(八)系統計算;

(九)其他。

第二十二條 信息系統審計除上述常規的審計內容外，內部審計人員還可以根據組織當前面臨的特殊風險或者需求，設計專項審計以滿足審計戰略，具體包括(但不限于)下列領域：

(一)信息系統開發實施項目的專項審計;

(二)信息系統安全專項審計;

(三)信息技術投資專項審計;

(四)業務連續性計劃的專項審計;

(五)外包條件下的專項審計;

(六)法律、法規、行業規范要求的內部控制合規性專項審計;

(七)其他專項審計。

第六章 信息系統審計的方法

第二十三條 內部審計人員在進行信息系統審計時，可以單獨或者綜合運用下列審計方法獲取相關、可靠和充分的審計證據，以評估信息系統內部控制的設計合理性和運行有效性：

(一)詢問相關控制人員;

(二)觀察特定控制的運用;

(三)審閱文件和報告及計算機文檔或者日志;

(四)根據信息系統的特性進行穿行測試，追蹤交易在信息 系統中的處理過程;

(五)驗證系統控制和計算邏輯;

(六)登錄信息系統進行系統查詢;

(七)利用計算機輔助審計工具和技術;

(八)利用其他專業機構的審計結果或者組織對信息技術內 部控制的自我評估結果;

(九)其他。

第二十四條 信息系統審計人員可以根據實際需要利用計算機輔助審計工具和技術進行數據的驗證、關鍵系統控制/計算的邏輯驗證、審計樣本選取等;內部審計人員在充分考慮安全的前提下，可以利用可靠的信息安全偵測工具進行滲透性測試等。

第二十五條 內部審計人員在對信息系統內部控制進行評估時，應當獲得相關、可靠和充分的審計證據以支持審計結論完成審計目標，并應當充分考慮系統自動控制的控制效果的一致性及可靠性的特點，在選取審計樣本時可以根據情況適當減少樣本量。在系統未發生變更的情況下，可以考慮適當降低審計頻率。

第二十六條 內部審計人員在審計過程中應當在風險評估的基礎上，依據信息系統內部控制評估的結果重新評估審計風險，并根據剩余風險設計進一步的審計程序。

第七章 附 則

第二十七條 本準則由中國內部審計協會發布并負責解釋。

第二十八條 本準則自2014年1月1日起施行。

（責任編輯：中大編輯）