信息系统审计准则

第第 22032203 号内部审计具体准则号内部审计具体准则————信息系统审计信息系统审计 作者：发布时间: 2017 年 02 月 10 日点击数:1697 第一章总则 第一条为了规范信息系统审计工作，提高审计质量和效率， 根据《内部审计基本准则》，制定本准则。 第二条本准则所称信息系统审计， 是指内部审计机构和内部 审计人员对组织的信息系统及其相关的信息技术内部控制和流程所 进行的审查与评价活动。 第三条本准则适用于各类组织的内部审计机构、 内部审计人 员及其从事的信息系统审计活动。 其他组织或者人员接受委托、 聘用， 承办或者参与内部审计业务，也应当遵守本准则。 第二章一般原则 第四条信息系统审计的目的是通过实施信息系统审计工作， 对组织是否实现信息技术管理目标进行审查和评价， 并基于评价意见 提出管理建议，协助组织信息技术管理人员有效地履行职责。 组织的信息技术管理目标主要包括： （一）保证组织的信息技术战略充分反映组织的战略目标； （二）提高组织所依赖的信息系统的可靠性、稳定性、安全性及 数据处理的完整性和准确性； （三）提高信息系统运行的效果与效率， 合理保证信息系统的运 行符合法律法规以及相关监管要求。 第五条组织中信息技术管理人员的责任是进行信息系统的 开发、运行和维护，以及与信息技术相关的内部控制的设计、执行和 监控； 信息系统审计人员的责任是实施信息系统审计工作并出具审计 报告。 第六条从事信息系统审计的内部审计人员应当具备必要的 信息技术及信息系统审计专业知识、技能和经验。必要时，实施信息 系统审计可以利用外部专家服务。 第七条信息系统审计可以作为独立的审计项目组织实施， 也 可以作为综合性内部审计项目的组成部分实施。 当信息系统审计作为综合性内部审计项目的一部分时， 信息系统 审计人员应当及时与其他相关内部审计人员沟通信息系统审计中的 发现，并考虑依据审计结果调整其他相关审计的范围、时间及性质。 第八条内部审计人员应当采用以风险为基础的审计方法进 行信息系统审计，风险评估应当贯穿于信息系统审计的全过程。 第三章信息系统审计计划 第九条内部审计人员在实施信息系统审计前， 需要确定审计 目标并初步评估审计风险， 估算完成信息系统审计或者专项审计所需 的资源，确定重点审计领域及审计活动的优先次序， 明确审计组成员 的职责，编制信息系统审计方案。 第十条编制信息系统审计方案时， 除遵循相关内部审计具体 准则的规定，还应当考虑下列因素： （一）高度依赖信息技术、信息系统的关键业务流程及相关的组 织战略目标； （二）信息技术管理的组织架构； （三）信息系统框架和信息系统的长期发展规划及近期发展计 划； （四）信息系统及其支持的业务流程的变更情况； （五）信息系统的复杂程度； （六）以前年度信息系统内、外部审计所发现的问题及后 续审计情况； （七）其他影响信息系统审计的因素。 第十一条当信息系统审计作为综合性内部审计项目的一部 分时，内部审计人员在审计计划阶段还应当考虑项目审计目标及要 求。 第四章信息技术风险评估 第十二条内部审计人员进行信息系统审计时， 应当识别组织 所面临的与信息技术相关的内、 外部风险，并采用适当的风险评估技 术与方法， 分析和评价其发生的可能性及影响程度， 为确定审计目标、 范围和方法提供依据。 第十三条信息技术风险是指组织在信息处理和信息技术运 用过程中产生的、可能影响组织目标实现的各种不确定因素。 信息技 术风险，包括组织层面的信息技术风险、 一般性控制层面的信息技术 风险及业务流程层面的信息技术风险等。 第十四条内部审计人员在识别和评估组织层面、 一般性控制 层面的信息技术风险时，需要关注下列内容： （一）业务关注度，即组织的信息技术战略与组织整体发 展战略规划的契合度以及信息技术 （包括硬件及软件环境）对业 务和用户需求的支持度； （二）信息资产的重要性； （三）对信息技术的依赖程度； （四）对信息技术部门人员的依赖程度； （五）对外部信息技术服务的依赖程度； （六）信息系统及其运行环境的安全性、可靠性； （七）信息技术变更； （八）法律规范环境； （九）其他。 第十五条业务流程层面的信息技术风险受行业背景、 业务流 程的复杂程度、 上述组织层面及一般性控制层面的控制有效性等因素 的影响而存在差异。一般而言，内部审计人员应当了解业务流程，并 关注下列信息技术风险： （一）数据输入； （二）数据处理； （三）数据输出。 第十六条内部审计人员应当充分考虑风险评估的结果， 以合 理确定信息系统审计的内容及范围， 并对组织的信息技术内部控制设 计合理性和运行有效性进行测试。 第五章信息系统审计的内容 第十七条信息系统审计主要是对组织层面信息技术控制、 信 息技术一般性控制及业务流程层面相关应用控制的审查和评价。 第十八条信息技术内部控制的各个层面均包括人工控制、 自 动控制和人工、自动相结合的控制形式， 内部审计人员应当根据不同 的控制形式采取恰当的审计程序。 第十九条组织层面信息技术控制， 是指董事会或者最高管理 层对信息技术治理职能及内部控制的重要性的态度、 认识和措施。内 部审计人员应当考虑下列控制要素中与信息技术相关的内容： （一）控制环境。内部审计人员应当关注组织的信息技术战略规 划对业务战略规划的契合度、 信息技术治理制度体系的建设、 信息技 术部门的组织结构和关系、信息技术治理相关职权与责任的分配、 信 息技术人力资源管理、对用户的信息技术教育和培训等方面。 （二）风险评估。内部审计人员应当关注组织的风险评估的总体 架构中信息技术风险管理的框架、 流程和执行情况，信息资产的分类 以及信息资产所有者的职责等方面。 （三）信息与沟通。内部审计人员应当关注组织的信息系统架构 及其对财务、业务流程的支持度、董事会或者最高管理层的信息沟通 模式、信息技术政策/信息安全制度的传达与沟通等方面。 （四）内部监督。内部审计人员应当关注组织的监控管理报告系 统、监控反馈、跟踪处理程序以及组织对信息技术内部控制的自我评 估机制等方面。 第二十条信息技术一般性控制是指与网络、 操作系统、数据 库、应用系统及其相关人员有关的信息技术政策和措施， 以确保信息 系统持续稳定的运行，支持应用控制的有效性。对信息技术一般性控 制的审计应当考虑下列控制活动： （一）信息安全管理。内部审计人员应当关注组织的信息安全管 理政策，物理访问及针对网络、操作系统、数据库、应用系统的身份 认证和逻辑访问管理机制，系统设置的职责分离控制等。 （二）系统变更管理。内部审计人员应当关注组织的应用系统及 相关系统基础架构的变更、参数设置变更的授权与审批，变更测试， 变更移植到生产环境的流程控制等。 （三）系统开发和采购管理。内部审计人员应当关注组织的应用 系统及相关系统基础架构的开发和采购的授权审批， 系统开发的方法 论，开发环境、测试环境、生产环境严格分离情况，系统的测试、审 核、移植到生产环境等环节。 （四）系统运行管理。内部审计人员应当关注组织的信息技术资 产管理、系统容量管理、系统物理环境控制、系统和数据备份及恢复 管理、问题管理和系统的日常运行管理等。 第二十一条业务流程层面应用