天博综合克罗地亚

欢迎访问天博综合克罗地亚 审计处! 部门导航
当前位置: 首页 > 机构设置 > 职能部门 > 审计处 > 法规制度 > 内部审计准则

第2203号内部审计具体准则——信息系统审计

发布时间:2025-05-30 18:32 作者: 字体:【大】【中】【小】 来源:审计处 浏览次数:1

  第一章    

  第一条  为了规范信息系统审计工作,提高审计质量和效率,根据《内部审计基本准则》,制定本准则。

  第二条  本准则所称信息系统审计,是指内部审计机构和内部审计人员对组织的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动。

  第三条  本准则适用于各类组织的内部审计机构、内部审计人员及其从事的信息系统审计活动。其他组织或者人员接受委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。

  第二章  一般原则

  第四条  信息系统审计的目的是通过实施信息系统审计工作,对组织是否实现信息技术管理目标进行审查和评价,并基于评价意见提出管理建议,协助组织信息技术管理人员有效地履行职责。

  组织的信息技术管理目标主要包括:

 �。ㄒ唬┍Vぷ橹男畔⒓际跽铰猿浞址从匙橹恼铰阅勘辏�

 �。ǘ┨岣咦橹览档男畔⑾低车目煽啃�、稳定性、安全性及数据处理的完整性和准确性;

 �。ㄈ┨岣咝畔⑾低吃诵械男Ч胄�,合理保证信息系统的运行符合法律法规以及相关监管要求。

  第五条  组织中信息技术管理人员的责任是进行信息系统的开发、运行和维护,以及与信息技术相关的内部控制的设计、执行和监控;信息系统审计人员的责任是实施信息系统审计工作并出具审计报告。

  第六条  从事信息系统审计的内部审计人员应当具备必要的信息技术及信息系统审计专业知识、技能和经验。必要时,实施信息系统审计可以利用外部专家服务。

  第七条  信息系统审计可以作为独立的审计项目组织实施,也可以作为综合性内部审计项目的组成部分实施。

  当信息系统审计作为综合性内部审计项目的一部分时,信息系统审计人员应当及时与其他相关内部审计人员沟通信息系统审计中的发现,并考虑依据审计结果调整其他相关审计的范围、时间及性质。

  第八条  内部审计人员应当采用以风险为基础的审计方法进行信息系统审计,风险评估应当贯穿于信息系统审计的全过程。

  第三章  信息系统审计计划

  第九条  内部审计人员在实施信息系统审计前,需要确定审计目标并初步评估审计风险,估算完成信息系统审计或者专项审计所需的资源,确定重点审计领域及审计活动的优先次序,明确审计组成员的职责,编制信息系统审计方案。

  第十条  编制信息系统审计方案时,除遵循相关内部审计具体准则的规定,还应当考虑下列因素:

 �。ㄒ唬└叨纫览敌畔⒓际�、信息系统的关键业务流程及相关的组织战略目标;

 �。ǘ┬畔⒓际豕芾淼淖橹芄梗�

 �。ㄈ┬畔⑾低晨蚣芎托畔⑾低车某て诜⒄构婊敖诜⒄辜苹�

 �。ㄋ模┬畔⑾低臣捌渲С值囊滴窳鞒痰谋涓榭觯�

 �。ㄎ澹┬畔⑾低车母丛映潭龋�

 �。┮郧澳甓刃畔⑾低衬�、外部审计所发现的问题及后续  审计情况;

 �。ㄆ撸┢渌跋煨畔⑾低成蠹频囊蛩�。

  第十一条  当信息系统审计作为综合性内部审计项目的一部分时,内部审计人员在审计计划阶段还应当考虑项目审计目标及要求。

  第四章  信息技术风险评估

  第十二条  内部审计人员进行信息系统审计时,应当识别组织所面临的与信息技术相关的内、外部风险,并采用适当的风险评估技术与方法,分析和评价其发生的可能性及影响程度,为确定审计目标、范围和方法提供依据。

  第十三条  信息技术风险是指组织在信息处理和信息技术运用过程中产生的、可能影响组织目标实现的各种不确定因素。信息技术风险,包括组织层面的信息技术风险、一般性控制层面的信息技术风险及业务流程层面的信息技术风险等。

  第十四条  内部审计人员在识别和评估组织层面、一般性控制层面的信息技术风险时,需要关注下列内容:

 �。ㄒ唬┮滴窆刈⒍�,即组织的信息技术战略与组织整体发展  战略规划的契合度以及信息技术(包括硬件及软件环境)对业务和用户需求的支持度;

 �。ǘ┬畔⒆什闹匾裕�

 �。ㄈ┒孕畔⒓际醯囊览党潭龋�

 �。ㄋ模┒孕畔⒓际醪棵湃嗽钡囊览党潭龋�

 �。ㄎ澹┒酝獠啃畔⒓际醴竦囊览党潭龋�

 �。┬畔⑾低臣捌湓诵谢肪车陌踩�、可靠性;

 �。ㄆ撸┬畔⒓际醣涓�

 �。ò耍┓晒娣痘肪常�

 �。ň牛┢渌�。

  第十五条  业务流程层面的信息技术风险受行业背景、业务流程的复杂程度、上述组织层面及一般性控制层面的控制有效性等因素的影响而存在差异。一般而言,内部审计人员应当了解业务流程,并关注下列信息技术风险:

 �。ㄒ唬┦菔淙耄�

 �。ǘ┦荽恚�

 �。ㄈ┦菔涑�。

  第十六条  内部审计人员应当充分考虑风险评估的结果,以合理确定信息系统审计的内容及范围,并对组织的信息技术内部控制设计合理性和运行有效性进行测试。

  第五章  信息系统审计的内容

  第十七条  信息系统审计主要是对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审查和评价。

  第十八条  信息技术内部控制的各个层面均包括人工控制、自动控制和人工、自动相结合的控制形式,内部审计人员应当根据不同的控制形式采取恰当的审计程序。

  第十九条  组织层面信息技术控制,是指董事鲸鱼体育鲸鱼体育在线直播或者最高管理层对信息技术治理职能及内部控制的重要性的态度、认识和措施。内部审计人员应当考虑下列控制要素中与信息技术相关的内容:

 �。ㄒ唬┛刂苹肪�。内部审计人员应当关注组织的信息技术战略规划对业务战略规划的契合度、信息技术治理制度体系的建设、信息技术部门的组织结构和关系、信息技术治理相关职权与责任的分配、信息技术人力资源管理、对用户的信息技术教育和银河博彩安装下载等方面。

 �。ǘ┓缦掌拦�。内部审计人员应当关注组织的风险评估的总体架构中信息技术风险管理的框架、流程和执行情况,信息资产的分类以及信息资产所有者的职责等方面。

 �。ㄈ┬畔⒂牍低�。内部审计人员应当关注组织的信息系统架构及其对财务、业务流程的支持度、董事鲸鱼体育鲸鱼体育在线直播或者最高管理层的信息沟通模式、信息技术政策/信息安全制度的传达与沟通等方面。

 �。ㄋ模┠诓考喽�。内部审计人员应当关注组织的监控管理报告系统、监控反馈、跟踪处理程序以及组织对信息技术内部控制的自我评估机制等方面。

  第二十条  信息技术一般性控制是指与网络、操作系统、数据库、应用系统及其相关人员有关的信息技术政策和措施,以确保信息系统持续稳定的运行,支持应用控制的有效性。对信息技术一般性控制的审计应当考虑下列控制活动:

 �。ㄒ唬┬畔踩芾�。内部审计人员应当关注组织的信息安全管理政策,物理访问及针对网络、操作系统、数据库、应用系统的身份认证和逻辑访问管理机制,系统设置的职责分离控制等。

 �。ǘ┫低潮涓芾�。内部审计人员应当关注组织的应用系统及相关系统基础架构的变更、参数设置变更的授权与审批,变更测试,变更移植到生产环境的流程控制等。

 �。ㄈ┫低晨⒑筒晒汗芾�。内部审计人员应当关注组织的应用系统及相关系统基础架构的开发和采购的授权审批,系统开发的方法论,开发环境、测试环境、生产环境严格分离情况,系统的测试、审核、移植到生产环境等环节。

 �。ㄋ模┫低吃诵泄芾�。内部审计人员应当关注组织的信息技术资产管理、系统容量管理、系统物理环境控制、系统和数据备份及恢复管理、问题管理和系统的日常运行管理等。

  第二十一条  业务流程层面应用控制是指在业务流程层面为了合理保证应用系统准确、完整、及时完成业务数据的生成、记录、处理、报告等功能而设计、执行的信息技术控制。对业务流程层面应用控制的审计应当考虑下列与数据输入、数据处理以及数据输出环节相关的控制活动:

 �。ㄒ唬┦谌ㄓ肱迹�

 �。ǘ┫低撑渲每刂疲�

 �。ㄈ┮斐G榭霰ǜ婧筒畲肀ǜ妫�

 �。ㄋ模┙涌�/转换控制;

 �。ㄎ澹┮恢滦院硕裕�

 �。┲霸鸱掷耄�

 �。ㄆ撸┫低撤梦嗜ㄏ蓿�

 �。ò耍┫低臣扑悖�

 �。ň牛┢渌�。

  第二十二条  信息系统审计除上述常规的审计内容外,内部审计人员还可以根据组织当前面临的特殊风险或者需求,设计专项审计以满足审计战略,具体包括(但不限于)下列领域:

 �。ㄒ唬┬畔⑾低晨⑹凳┫钅康淖ㄏ钌蠹疲�

 �。ǘ┬畔⑾低嘲踩ㄏ钌蠹疲�

 �。ㄈ┬畔⒓际跬蹲首ㄏ钌蠹疲�

 �。ㄋ模┮滴窳约苹淖ㄏ钌蠹疲�

 �。ㄎ澹┩獍跫碌淖ㄏ钌蠹疲�

 �。┓�、法规、行业规范要求的内部控制合规性专项审计;

 �。ㄆ撸┢渌ㄏ钌蠹�。

  第六章  信息系统审计的方法

  第二十三条  内部审计人员在进行信息系统审计时,可以单独或者综合运用下列审计方法获取相关、可靠和充分的审计证据,以评估信息系统内部控制的设计合理性和运行有效性:

 �。ㄒ唬┭氏喙乜刂迫嗽保�

 �。ǘ┕鄄焯囟ǹ刂频脑擞茫�

 �。ㄈ┥笤奈募捅ǜ婕凹扑慊牡祷蛘呷罩荆�

 �。ㄋ模└菪畔⑾低车奶匦越写┬胁馐�,追踪交易在信息  系统中的处理过程;

 �。ㄎ澹┭橹は低晨刂坪图扑懵呒�

 �。┑锹夹畔⑾低辰邢低巢檠�

 �。ㄆ撸├眉扑慊ㄖ蠹乒ぞ吆图际酰�

 �。ò耍├闷渌ㄒ祷沟纳蠹平峁蛘咦橹孕畔⒓际跄� 部控制的自我评估结果;

 �。ň牛┢渌�。

  第二十四条  信息系统审计人员可以根据实际需要利用计算机辅助审计工具和技术进行数据的验证、关键系统控制/计算的逻辑验证、审计样本选取等;内部审计人员在充分考虑安全的前提下,可以利用可靠的信息安全侦测工具进行渗透性测试等。

  第二十五条  内部审计人员在对信息系统内部控制进行评估时,应当获得相关、可靠和充分的审计证据以支持审计结论完成审计目标,并应当充分考虑系统自动控制的控制效果的一致性及可靠性的特点,在选取审计样本时可以根据情况适当减少样本量。在系统未发生变更的情况下,可以考虑适当降低审计频率。

  第二十六条  内部审计人员在审计过程中应当在风险评估的基础上,依据信息系统内部控制评估的结果重新评估审计风险,并根据剩余风险设计进一步的审计程序。

  第七章  附  则

  第二十七条  本准则由中国内部审计协鲸鱼体育鲸鱼体育在线直播发布并负责解释。

  第二十八条  本准则自2014年1月1日起施行。

打印 纠错 关闭

地址:湖南省湘潭市河东大道10号  电话:0731-52554288   招生电话:0731-52518613 湘公网安备:43030402000101号

湘公网安备:43030402000105号 丨 湘ICP备 12001437号   Copyright:天博综合克罗地亚(1960-2018),All rights reserved

技术支持:湖南科创信息技术股份有限公司   总访问:

"扫一扫"
关注
微信公众号

天博综合克罗地亚(官方)APP下载IOS/安卓通用版/手机版