內部審計具體準則第28號——信息系統(tǒng)審計

  第一章  總  則

    第一條  為了規(guī)范組織內部審計機構及人員開展信息系統(tǒng)審計活動，保證審計質量，根據《內部審計基本準則》制定本準則。

    第二條  本準則所稱信息系統(tǒng)審計，是指由組織內部審計機構及人員對信息系統(tǒng)及其相關的信息技術內部控制和流程開展的一系列綜合檢查、評價與報告活動。

    第三條  本準則適用于各類組織的內部審計機構、內部審計人員及其從事的信息系統(tǒng)審計活動。

    第二章  一般原則

    第四條  信息系統(tǒng)審計的目的是通過實施信息系統(tǒng)審計工作，對組織是否達成信息技術管理目標進行綜合評價，并基于評價意見提出管理建議，協(xié)助組織信息技術管理人員有效地履行其受托責任以達成組織的信息技術管理目標。組織的信息技術管理目的是保證組織的信息技術戰(zhàn)略充分反映該組織的業(yè)務戰(zhàn)略目標，提高組織所依賴的信息系統(tǒng)的可靠性、穩(wěn)定性、安全性及數據處理的完整性和準確性，提高信息系統(tǒng)運行的效果與效率，合理保證信息系統(tǒng)的運行符合法律法規(guī)及監(jiān)管的相關要求。

    第五條  組織中信息技術管理人員的責任是信息系統(tǒng)的開發(fā)、運行和維護以及信息技術相關的內部控制的設計、執(zhí)行和監(jiān)控；信息系統(tǒng)審計人員的責任是實施信息系統(tǒng)審計工作并出具審計報告。

    第六條  從事信息系統(tǒng)審計人員的專業(yè)勝任能力是指在信息系統(tǒng)審計領域，勝任管理層與其他利益方的委托、履行其信息系統(tǒng)審計職能所應擁有的相關知識、技能和素質。信息系統(tǒng)審計人員應當熟悉內部審計業(yè)務并具備必要的信息技術及信息系統(tǒng)審計的專業(yè)知識。此外，審計項目負責人員應具有三年以上信息系統(tǒng)審計相關工作經驗，或六年以上相關業(yè)務的從業(yè)經驗。由于組織特殊性而產生的例外情況，應當獲得組織管理層的特別授權。組織應當建立信息系統(tǒng)審計人員培訓制度，鼓勵審計人員取得注冊信息系統(tǒng)審計師等執(zhí)業(yè)資格，以保證審計人員的專業(yè)勝任能力。必要時，信息系統(tǒng)審計可利用外部專家的服務。

    第七條  信息系統(tǒng)審計可作為獨立的審計項目組織實施、或作為綜合性內部審計項目的組成部分實施。

    第八條  信息系統(tǒng)審計劃分為以下階段：審計計劃階段、審計實施階段、審計報告與后續(xù)工作階段。

    第九條  審計人員應采用以風險為導向的審計方法進行信息系統(tǒng)審計，風險評估應貫穿審計的計劃、實施、報告與后續(xù)工作各個階段。

    第三章  審計計劃

    第十條  內部審計人員在執(zhí)行信息系統(tǒng)審計之前，需要確定審計目標并初步評估審計風險，估算完成信息系統(tǒng)審計或專項審計所需的資源，確定重點審計領域及審計活動的優(yōu)先次序，明確審計組成員的職責，并以此制定信息系統(tǒng)審計計劃。

    第十一條  制定信息系統(tǒng)審計計劃時，應遵循其他相關內部審計具體準則規(guī)定的因素，同時針對信息系統(tǒng)審計的特殊性，審計人員還應充分考慮以下因素：

    （一）高度依賴信息技術、信息系統(tǒng)的關鍵業(yè)務流程及相關的組織戰(zhàn)略目標；

    （二）信息技術管理的組織架構；

    （三）信息系統(tǒng)框架和信息系統(tǒng)的長期發(fā)展規(guī)劃及近期發(fā)展計劃；

    （四）信息系統(tǒng)及其支持的業(yè)務流程的變更情況；

    （五）信息系統(tǒng)的復雜程度；

    （六）以前年度信息系統(tǒng)內、外部審計等相關的審計發(fā)現及后續(xù)審計情況。

    第十二條  信息系統(tǒng)審計作為綜合性內部審計項目的一部分時，審計人員在審計計劃階段還應綜合考慮相關內部審計的審計目標及要求。

    第四章  信息技術風險評估

    第十三條  進行信息系統(tǒng)審計時，審計人員應當識別組織所面臨的與信息技術相關的內、外部風險，并采用適當的風險評估技術與方法，分析及評價其發(fā)生的可能性及影響程度，為確定審計目標、范圍和方法提供依據。

    第十四條  信息技術風險是指組織在信息處理和信息技術運用過程中產生的、可能影響組織目標實現的各種不確定因素。信息技術風險包括組織層面的信息技術風險、一般性控制層面的信息技術風險及業(yè)務流程層面的信息技術風險等。

    第十五條  審計人員在識別、評估組織層面、一般性控制層面的信息技術風險時需要關注以下幾方面：

    （一）業(yè)務關注度，即組織的信息技術戰(zhàn)略與組織整體發(fā)展戰(zhàn)略規(guī)劃的契合度以及信息技術（包括硬件及軟件環(huán)境）對業(yè)務和用戶需求的支持度；

    （二）信息資產的重要性；

    （三）對信息技術的依賴程度；

    （四）對信息技術部門人員的依賴程度；

    （五）對外部信息技術服務的依賴程度；

    （六）信息系統(tǒng)及其運行環(huán)境的安全性、可靠性；

    （七）信息技術變更；

    （八）法律規(guī)范環(huán)境；

    （九）其他。

    第十六條  業(yè)務流程層面的信息技術風險受行業(yè)背景、業(yè)務流程的復雜程度、上述組織層面及一般性控制層面的控制有效性等因素的影響而存在差異。一般而言，審計人員應了解業(yè)務流程并關注以下幾方面信息技術風險：

    （一）數據輸入；

    （二）數據處理；

    （三）數據輸出。

    第十七條  審計人員應充分考慮風險評估的結果，以合理確定信息系統(tǒng)審計的內容及范圍，并對組織的信息技術內部控制的設計有效性和執(zhí)行有效性進行測試。

    第五章  信息系統(tǒng)審計的內容

    第十八條  信息系統(tǒng)審計通常包括對組織層面信息技術控制、信息技術一般性控制及業(yè)務流程層面相關應用控制的審計。

    第十九條  信息技術內部控制的各個層面都包括人工控制、自動控制和人工、自動相結合的控制形式，審計人員應根據不同的控制形式采取恰當的審計程序。

    第二十條  組織層面信息技術控制是指管理層及治理層對信息技術治理職能及內部控制的重要性的態(tài)度、認識和措施，審計人員應考慮以下控制要素中與信息技術相關的內容：

    （一）控制環(huán)境

    審計人員應關注該組織的信息技術戰(zhàn)略規(guī)劃對業(yè)務戰(zhàn)略規(guī)劃的契合度、信息技術治理制度體系的建設、信息技術部門的組織結構和關系、信息技術治理相關職權與責任的分配、信息技術人力資源管理、對用戶的信息技術教育和培訓等方面；

    （二）風險評估

    審計人員應關注組織的風險評估的總體架構中信息技術風險管理的框架、流程和執(zhí)行情況、信息資產的分類以及信息資產所有者的職責等方面；

    （三）信息與溝通

    審計人員應關注組織的信息系統(tǒng)架構及其對財務、業(yè)務流程的支持度、管理層及治理層的信息溝通模式、信息技術政策/信息安全制度的傳達與溝通等方面；

    （四）監(jiān)控

    審計人員應關注組織的監(jiān)控管理報告系統(tǒng)、監(jiān)控反饋、跟蹤處理程序以及組織對信息技術內部控制的自我評估機制等方面。

    第二十一條  信息技術一般性控制是指與網絡、操作系統(tǒng)、數據庫、應用系統(tǒng)及其相關人員有關的信息技術政策和措施，以確保信息系統(tǒng)持續(xù)穩(wěn)定的運行，支持應用控制的有效性。對信息技術一般性控制的審計應考慮以下控制活動：

    （一）信息安全管理

    審計人員應關注組織的信息安全管理政策，物理訪問及針對網絡、操作系統(tǒng)、數據庫、應用系統(tǒng)的身份認證和邏輯訪問管理機制，系統(tǒng)設置的職責分離控制等；

    （二）系統(tǒng)變更管理

    審計人員應關注組織的應用系統(tǒng)及相關系統(tǒng)基礎架構的變更、參數設置變更的授權與審批，變更測試，變更移植到生產環(huán)境的流程控制等；

    （三）系統(tǒng)開發(fā)和采購管理

    審計人員應關注組織的應用系統(tǒng)及相關系統(tǒng)基礎架構的開發(fā)和采購的授權審批，系統(tǒng)開發(fā)的方法論，開發(fā)環(huán)境、測試環(huán)境、生產環(huán)境嚴格分離情況，系統(tǒng)的測試、審核、移植到生產環(huán)境等環(huán)節(jié)；

    （四）系統(tǒng)運行管理

    審計人員應關注組織的信息技術資產管理、系統(tǒng)容量管理、系統(tǒng)物理環(huán)境控制，系統(tǒng)和數據備份及恢復管理，問題管理和系統(tǒng)的日常運行管理等。

    第二十二條  業(yè)務流程層面應用控制是指在業(yè)務流程層面為了合理保證應用系統(tǒng)準確、完整、及時完成業(yè)務數據的生成、記錄、處理、報告等功能而設計、執(zhí)行的信息技術控制。對業(yè)務流程層面應用控制的審計應考慮以下與數據輸入、數據處理以及數據輸出環(huán)節(jié)相關的控制活動：

    （一）授權與批準；

    （二）系統(tǒng)配置控制；

    （三）異常情況報告和差錯報告；

    （四）接口/轉換控制；

    （五）一致性核對；

    （六）職責分離；

    （七）系統(tǒng)訪問權限；

    （八）系統(tǒng)計算；

    （九）其他。

    第二十三條  信息系統(tǒng)審計除上述常規(guī)的審計內容外，審計人員還可以根據組織當前面臨的特殊風險或需求，設計專項審計以滿足審計戰(zhàn)略，具體包括但不限于下列領域：

    （一）信息系統(tǒng)開發(fā)實施項目的專項審計；

    （二）信息系統(tǒng)安全專項審計；

    （三）信息技術投資專項審計；

    （四）業(yè)務連續(xù)性計劃的專項審計；

    （五）外包條件下的專項審計；

    （六）法律法規(guī)、行業(yè)規(guī)范要求的內部控制的合規(guī)性的專項審計；

    （七）其他專項審計。

    第六章  信息系統(tǒng)審計的方法

    第二十四條  審計人員在進行審計與信息技術相關內部控制及流程中可以單獨或綜合應用下列的審計方法來獲取充分、適當的審計證據以評估信息技術內部控制的設計有效性和執(zhí)行有效性：

    （一 ）詢問相關的控制人員；

    （二）觀察特定控制的運用；

    （三）審閱文件和報告；

    （四）根據信息系統(tǒng)的特性，進行穿行測試，追蹤交易在信息系統(tǒng)中的處理過程；

    （五）驗證系統(tǒng)控制和計算邏輯；

    （六）登錄信息系統(tǒng)進行系統(tǒng)查詢；

    （七）利用計算機輔助審計工具和技術；

    （八）保證獨立性、客觀性及職業(yè)技能的質量控制前提下，利用其他專業(yè)機構的審計結果或組織對信息技術內部控制的自我評估結果；

    （九）其他

    第二十五條  信息系統(tǒng)審計人員可以根據需要利用計算機輔助審計工具和技術進行數據的驗證、關鍵系統(tǒng)控制/計算的邏輯的驗證、審計樣本選取等；審計人員在充分考慮安全的前提下，可以利用可靠的信息安全偵測工具進行滲透性測試等。

    第二十六條  審計人員在對信息技術內部控制進行評估時，應獲得充分、可靠及相關的審計證據以支持審計結論完成審計目標，并應充分考慮系統(tǒng)自動控制的控制效果的一致性及可靠性的特點，在選取審計樣本時可根據情況適當減少樣本量。在系統(tǒng)未發(fā)生變更的情況下，可考慮適當降低審計頻率。

    第二十七條  審計人員在審計過程中進行風險評估，并在此基礎上依據信息技術內部控制評估的結果重新評估審計風險，并根據剩余風險來進一步設計審計程序。

    第二十八條  審計工作底稿應以正式的書面或電子形式進行記錄，其中應包含審計程序、審計發(fā)現和審計結論以及支持審計結論的審計工作細節(jié)及審計證據。審計過程中獲取的電子數據應建立嚴格的電子數據歸檔措施，并對敏感數據進行嚴格的保密管理。

    第七章  審計報告與后續(xù)工作

    第二十九條  在審計實施結束后，審計人員應以充分、可靠及相關的審計證據為依據形成審計結論與建議，出具審計報告，形成審計結果，追蹤審計建議的落實并執(zhí)行相應后續(xù)審計程序。

    第三十條  當信息系統(tǒng)審計作為綜合性內部審計項目的一部分時，審計人員應及時與其它相關內部審計人員溝通信息系統(tǒng)內部審計的發(fā)現，并考慮依據審計結果調整其他相關審計的范圍、時間及性質。

    第八章  附則

    第三十一條  本準則由中國內部審計協(xié)會負責解釋。

    第三十二條  本準則自2009年1月1日起施行。