內部審計具體準則第28號—信息系統審計

                                 第一章   總  則
第一條       爲了規範組織內部審計機構及人員開展信息系統審計活動，保證審計質量，根據《內部審計基本準則》制定本準則。
第二條       本準則所稱信息系統審計，是指由組織內部審計機構及人員對信息系統及其相關的信息技術內部控制和流程開展的一系列綜合檢查、評價與報告活動。
第三條       本準則適用於各類組織的內部審計機構、內部審計人員及其從事的信息系統審計活動。
                                 第二章   一般原則
第四條       信息系統審計的目的是通過實施信息系統審計工作，對組織是否達成信息技術管理目標進行綜合評價，並基於評價意見提出管理建議，協助組織信息技術管理人員有效地履行其受託責任以達成組織的信息技術管理目標。組織的信息技術管理目的是保證組織的信息技術戰略充分反映該組織的業務戰略目標，提高組織所依賴的信息系統的可靠性、穩定性、安全性及數據處理的完整性和準確性，提高信息系統運行的效果與效率，合理保證信息系統的運行符合法律法規及監管的相關要求。
第五條       組織中信息技術管理人員的責任是信息系統的開發、運行和維護以及信息技術相關的內部控制的設計、執行和監控；信息系統審計人員的責任是實施信息系統審計工作並出具審計報告。
第六條       從事信息系統審計人員的專業勝任能力是指在信息系統審計領域,勝任管理層與其他利益方的委託、履行其信息系統審計職能所應擁有的相關知識、技能和素質。信息系統審計人員應當熟悉內部審計業務並具備必要的信息技術及信息系統審計的專業知識。此外，審計項目負責人員應具有三年以上信息系統審計相關工作經驗，或六年以上相關業務的從業經驗。由於組織特殊性而產生的例外情況，應當獲得組織管理層的特別授權。組織應當建立信息系統審計人員培訓制度，鼓勵審計人員取得註冊信息系統審計師等執業資格，以保證審計人員的專業勝任能力。必要時，信息系統審計可利用外部專家的服務。
第七條       信息系統審計可作爲獨立的審計項目組織實施、或作爲綜合性內部審計項目的組成部分實施。
第八條       信息系統審計劃分爲以下階段：審計計劃階段、審計實施階段、審計報告與後續工作階段。
第九條       審計人員應採用以風險爲導向的審計方法進行信息系統審計，風險評估應貫穿審計的計劃、實施、報告與後續工作各個階段。
                                 第三章   審計計劃
第十條       內部審計人員在執行信息系統審計之前，需要確定審計目標並初步評估審計風險，估算完成信息系統審計或專項審計所需的資源，確定重點審計領域及審計活動的優先次序，明確審計組成員的職責，並以此制定信息系統審計計劃。
第十一條              制定信息系統審計計劃時，應遵循其他相關內部審計具體準則規定的因素，同時針對信息系統審計的特殊性，審計人員還應充分考慮以下因素：
（一）       高度依賴信息技術、信息系統的關鍵業務流程及相關的組織戰略目標；
（二）       信息技術管理的組織架構；
（三）       信息系統框架和信息系統的長期發展規劃及近期發展計劃；
（四）       信息系統及其支持的業務流程的變更情況；
（五）       信息系統的複雜程度；
（六）       以前年度信息系統內、外部審計等相關的審計發現及後續審計情況。
第十二條              信息系統審計作爲綜合性內部審計項目的一部分時，審計人員在審計計劃階段還應綜合考慮相關內部審計的審計目標及要求。
                                 第四章   信息技術風險評估
第十三條              進行信息系統審計時，審計人員應當識別組織所面臨的與信息技術相關的內、外部風險，並採用適當的風險評估技術與方法，分析及評價其發生的可能性及影響程度，爲確定審計目標、範圍和方法提供依據。
第十四條              信息技術風險是指組織在信息處理和信息技術運用過程中產生的、可能影響組織目標實現的各種不確定因素。信息技術風險包括組織層面的信息技術風險、一般性控制層面的信息技術風險及業務流程層面的信息技術風險等。
第十五條              審計人員在識別、評估組織層面、一般性控制層面的信息技術風險時需要關注以下幾方面：
（一）       業務關注度，即組織的信息技術戰略與組織整體發展戰略規劃的契合度以及信息技術（包括硬件及軟件環境）對業務和用戶需求的支持度；
（二）       信息資產的重要性；
（三）       對信息技術的依賴程度；
（四）       對信息技術部門人員的依賴程度；
（五）       對外部信息技術服務的依賴程度；
（六）       信息系統及其運行環境的安全性、可靠性；
（七）       信息技術變更；
（八）       法律規範環境；
（九）       其他。
第十六條              業務流程層面的信息技術風險受行業背景、業務流程的複雜程度、上述組織層面及一般性控制層面的控制有效性等因素的影響而存在差異。一般而言，審計人員應瞭解業務流程並關注以下幾方面信息技術風險：
（一）       數據輸入；
（二）       數據處理；
（三）       數據輸出。
第十七條              審計人員應充分考慮風險評估的結果，以合理確定信息系統審計的內容及範圍，並對組織的信息技術內部控制的設計有效性和執行有效性進行測試。
                                 第五章   信息系統審計的內容
第十八條              信息系統審計通常包括對組織層面信息技術控制、信息技術一般性控制及業務流程層面相關應用控制的審計。
第十九條              信息技術內部控制的各個層面都包括人工控制、自動控制和人工、自動相結合的控制形式，審計人員應根據不同的控制形式採取恰當的審計程序。
第二十條              組織層面信息技術控制是指管理層及治理層對信息技術治理職能及內部控制的重要性的態度、認識和措施，審計人員應考慮以下控制要素中與信息技術相關的內容：
（一）       控制環境
審計人員應關注該組織的信息技術戰略規劃對業務戰略規劃的契合度、信息技術治理制度體系的建設、信息技術部門的組織結構和關係、信息技術治理相關職權與責任的分配、信息技術人力資源管理、對用戶的信息技術教育和培訓等方面；
（二）       風險評估
審計人員應關注組織的風險評估的總體架構中信息技術風險管理的框架、流程和執行情況、信息資產的分類以及信息資產所有者的職責等方面；
（三）       信息與溝通
審計人員應關注組織的信息系統架構及其對財務、業務流程的支持度、管理層及治理層的信息溝通模式、信息技術政策/信息安全制度的傳達與溝通等方面；
（四）       監控
審計人員應關注組織的監控管理報告系統、監控反饋、跟蹤處理程序以及組織對信息技術內部控制的自我評估機制等方面。
第二十一條       信息技術一般性控制是指與網絡、操作系統、數據庫、應用系統及其相關人員有關的信息技術政策和措施，以確保信息系統持續穩定的運行，支持應用控制的有效性。對信息技術一般性控制的審計應考慮以下控制活動：
（一）       信息安全管理
審計人員應關注組織的信息安全管理政策，物理訪問及針對網絡、操作系統、數據庫、應用系統的身份認證和邏輯訪問管理機制，系統設置的職責分離控制等；
（二）       系統變更管理
審計人員應關注組織的應用系統及相關係統基礎架構的變更、參數設置變更的授權與審批，變更測試，變更移植到生產環境的流程控制等；
（三）       系統開發和採購管理
審計人員應關注組織的應用系統及相關係統基礎架構的開發和採購的授權審批，系統開發的方法論，開發環境、測試環境、生產環境嚴格分離情況，系統的測試、審覈、移植到生產環境等環節；
（四）       系統運行管理
審計人員應關注組織的信息技術資產管理、系統容量管理、系統物理環境控制，系統和數據備份及恢復管理，問題管理和系統的日常運行管理等。
第二十二條       業務流程層面應用控制是指在業務流程層面爲了合理保證應用系統準確、完整、及時完成業務數據的生成、記錄、處理、報告等功能而設計、執行的信息技術控制。對業務流程層面應用控制的審計應考慮以下與數據輸入、數據處理以及數據輸出環節相關的控制活動：
（一）       授權與批准；
（二）       系統配置控制；
（三）       異常情況報告和差錯報告；
（四）       接口/轉換控制；
（五）       一致性覈對；
（六）       職責分離；
（七）       系統訪問權限；
（八）       系統計算；
（九）       其他。
第二十三條       信息系統審計除上述常規的審計內容外，審計人員還可以根據組織當前面臨的特殊風險或需求，設計專項審計以滿足審計戰略，具體包括但不限於下列領域：
（一）       信息系統開發實施項目的專項審計；
（二）       信息系統安全專項審計；
（三）       信息技術投資專項審計；
（四）       業務連續性計劃的專項審計；
（五）       外包條件下的專項審計；
（六）       法律法規、行業規範要求的內部控制的合規性的專項審計；
（七）       其他專項審計。
                                 第六章   信息系統審計的方法
第二十四條       審計人員在進行審計與信息技術相關內部控制及流程中可以單獨或綜合應用下列的審計方法來獲取充分、適當的審計證據以評估信息技術內部控制的設計有效性和執行有效性：
（一）       詢問相關的控制人員；
（二）       觀察特定控制的運用；
（三）       審閱文件和報告；
（四）       根據信息系統的特性，進行穿行測試，追蹤交易在信息系統中的處理過程；
（五）       驗證系統控制和計算邏輯；
（六）       登錄信息系統進行系統查詢；
（七）       利用計算機輔助審計工具和技術；
（八）       保證獨立性、客觀性及職業技能的質量控制前提下，利用其他專業機構的審計結果或組織對信息技術內部控制的自我評估結果；
（九）       其他
第二十五條       信息系統審計人員可以根據需要利用計算機輔助審計工具和技術進行數據的驗證、關鍵系統控制/計算的邏輯的驗證、審計樣本選取等；審計人員在充分考慮安全的前提下，可以利用可靠的信息安全偵測工具進行滲透性測試等。
第二十六條       審計人員在對信息技術內部控制進行評估時，應獲得充分、可靠及相關的審計證據以支持審計結論完成審計目標，並應充分考慮系統自動控制的控制效果的一致性及可靠性的特點，在選取審計樣本時可根據情況適當減少樣本量。在系統未發生變更的情況下，可考慮適當降低審計頻率。
第二十七條       審計人員在審計過程中進行風險評估，並在此基礎上依據信息技術內部控制評估的結果重新評估審計風險，並根據剩餘風險來進一步設計審計程序。
第二十八條       審計工作底稿應以正式的書面或電子形式進行記錄，其中應包含審計程序、審計發現和審計結論以及支持審計結論的審計工作細節及審計證據。審計過程中獲取的電子數據應建立嚴格的電子數據歸檔措施，並對敏感數據進行嚴格的保密管理。
                                 第七章   審計報告與後續工作
第二十九條       在審計實施結束後，審計人員應以充分、可靠及相關的審計證據爲依據形成審計結論與建議，出具審計報告，形成審計結果，追蹤審計建議的落實並執行相應後續審計程序。
第三十條          當信息系統審計作爲綜合性內部審計項目的一部分時，審計人員應及時與其它相關內部審計人員溝通信息系統內部審計的發現，並考慮依據審計結果調整其他相關審計的範圍、時間及性質。
                                 第八章   附則
第三十一條    本準則由中國內部審計協會負責解釋。
第三十二條    本準則自2009年1月1日起施行。