tp钱包安卓app下载 第3205号内部审计实务指南——信息系统审计

 

前言随着我国信息技术的不断发展，相关组织根据实际工作需要开展建设的信息系统也越来越多。而实务工作中信息系统由于标准不一，建设和应用的要求不同，使得信息系统审计实践工作缺乏统一的依据和参考。为了规范信息系统内部审计实务工作，中国内部审计协会组织编写了本指南。作为内部审计准则体系的一部分，指南为广大内部审计机构和人员提供指导性的操作规程和方法，便于规范信息系统审计行为，控制审计工作风险，提高审计工作效率和质量。

本指南根据《内部审计基本准则》《内部审计人员职业道德规范》《第2203号内部审计具体准则——信息系统审计》《信息技术服务、治理、安全审计》（中国电子工业标准化协会）

《中华人民共和国国家标准信息技术服务治理第4部分：审计导则》（GB/T34960.4-2017）、《COBIT5.0》(信息系统审计与控制协会（ISACA）2012)《全球技术审计指南GTAG》（国际内部审计师协会）《中华人民共和国网络安全法》《网络安全等级保护基本要求》（GB/T22239-2019）《关键信息基础设施网络安全保护基本要求》（报批稿）等标准制定。

本指南力求结合国内信息系统审计现状，参考相关组织内部信息系统审计管理规定、信息化评价办法、信息系统审计指导意见、规范等，围绕组织信息系统涉及的组织层面、一般控制、应用控制三方面内容，梳理信息系统审计可能涉及管理环节的关键控制点，结合信息系统建设业务流程中的立项、开发、应用及运维全过程，选取信息系统审计所涉及的建设需求分析、立项管理、预算管理、成本管理、招投标管理、采购管理、合同管理、进度管理、安全管理、质量管理、应用及运维管理、运行的效果及效率等方面，全面系统地提出信息系统审计的内容框架及实务操作指南。

由于当前信息化对新技术应用的逐步深入，信息系统审计不可避免地会涉及对新技术应用（例如云计算、物联网等）的审计和某些常见专题（IT外包、业务连续性等）的审计，本指南把这部分内容汇总在一起，单独形成一个信息系统专题审计的章节，以便于当前使用和未来扩展。

本指南共分六章，其中：第一章介绍了信息系统审计的基本概念、内容体系和审计程序等基础知识，提供关于信息系统审计的总体概念框架；第二章介绍了组织层面信息系统管理控制审计；第三章介绍了信息系统一般控制审计；第四章介绍了信息系统应用控制审计；第五章介绍了信息系统相关专项审计；第六章介绍了信息系统审计的质量控制；附录中涉及了本指南中的相关术语、主要法规参考标准及相关实务案例。

本指南突出以内部控制为基础的流程审计及以风险管理为基础的风险导向审计，以评价信息系统建设程序和内容的合法合规性，信息系统数据的真实性、准确性，信息系统的安全性，以及信息系统应用的效果性、效率性等为目标，帮助内部审计人员确定适用的审计依据、审计流程、审计方法等，力求达到简明、易懂、易操作的目的。其内容是开放性的，将随着信息系统审计实践工作的不断深入做进一步充实和完善。

本指南适用于各类组织的内部审计机构、内部审计人员开展的信息系统审计活动。其他组织或者人员接受委托、聘用，承办或者参与内部审计业务的，应当参照本指南。

本指南自2021年3月1日起施行。

 

第一章  概述

第一节  信息系统审计总体要求一、信息系统审计基本概念

信息系统审计是指内部审计机构和内部审计人员对组织信息系统建设的合法合规性、内部控制的有效性、信息系统的安全性、业务流程的合理有效性、信息系统运行的经济性所进行的检查与评价活动。

信息系统审计包括审计计划、审计依据、审计方法、审计技术、审计人员配置、审计实施流程、审计报告以及审计质量控制等内容。内部审计机构应建立信息系统审计的相应组织管理体系，对信息系统审计的流程和质量进行管控，并依照规章制度开展信息系统审计。

二、信息系统审计一般原则

组织应建立信息系统审计组织管理体系，并根据有关制度、标准和要求开展信息系统审计活动。其一般原则包括：

1.信息系统审计需结合所在组织的战略目标、业务目标、治理要求和管理授权开展审计。

2.信息系统审计应合理保证信息系统的运行符合法律法规以及相关监管要求。

3.信息系统审计应在充分了解组织信息系统治理、管理和应用的基础上做出客观评价。

4.信息系统审计应结合组织的业务流程、信息系统及应用数据开展审计工作。

5.信息系统审计应不断提升内部审计人员技能，严格履行审计程序，提高审计工作质量。

三、内部审计机构在组织信息系统审计中的职责和义务包括但不限于：

1.编制组织信息系统审计中长期规划。

2.编制组织信息系统审计年度计划、预算及审计资源计划。

3.制定组织的信息系统审计相关制度及流程等。

4.按信息系统审计规章制度、有计划地开展相关业务。

5.承担对信息系统控制设计和执行有效性评估的责任。

6.做好与组织内、外相关机构和人员的沟通协调工作。

四、内部审计机构在信息系统审计过程中的权力包括但不限于：

1.有权参加或者列席信息系统治理及管理的重要会议。

2.有权进行现场实物勘查，或就与审计事项有关的问题对有关机构和个人进行调查、质询和取证。

3.若审计过程中审计范围受到限制影响审计目标和计划的实现，有权就范围受到的限制及其潜在影响与治理主体进行沟通。

4.有权向治理主体提出提高信息系统绩效的改进意见和建议。

5.有权对审计发现的违反信息系统法律、法规等规定或内部管理制度行为予以制止，并对相关机构和人员提出责任追究或者处罚建议。

第二节  信息系统审计目标与特点一、信息系统审计的目标

（一）信息系统审计总体目标

通过对信息系统的审计，揭示信息系统面临的风险、评价信息系统技术的适用性、创新性、信息系统投资的经济性、信息系统的安全性、运行的有效性等内容，合理保证信息系统安全、真实、有效、经济。

（二）信息系统审计的具体目标

1.保证信息系统建设符合国家有关法律法规和组织内部制度。保证信息系统建设方案、规划内容充分体现组织的战略目标，对信息系统建设、应用与公司的经营目标的一致性作出评价。

2.信息系统审计应促进信息系统在购置、开发、使用、维护过程中，以及数据在生产、加工、修改、转移、删除等处理中都必须符合国家相关法律法规、准则、组织内部规定等，并应促进信息系统有效实现既定业务目标。

3.提高组织信息系统的可靠性、稳定性、安全性，数据处理的完整性和准确性。

二、信息系统审计的特点

信息系统审计除了具备传统审计的权威性、客观性、公正性等特点之外，还具备一些独有的特点，如：信息系统审计可以突破物理区域限制，开展远程非现场审计；信息系统审计要求审计人员具备较高的信息化知识和技能；信息系统审计的内容更加广泛；信息系统工作难以量化，tp官方下载安装app审计评价时需要定性与定量相结合等。

第三节  信息系统审计内容一、信息系统审计内容概述

信息系统审计对象， tp钱包下载包括操作系统、主机、网络、数据库、应用软件、数据、管理制度等。信息系统审计内容主要包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的检查和评价。

二、对组织层面信息技术控制的审计

组织层面信息技术控制审计的内容包括：

（一）控制环境

内部审计人员应当关注组织的信息技术战略规划与业务布局的契合度、信息技术治理制度体系建设、信息技术部门的组织架构、信息技术治理的相关职权与责任分配、信息技术的人力资源管理、对用户的教育和培训等方面。

（二）风险评估

内部审计人员应当关注组织在风险评估总体架构中关于信息技术风险管理流程，信息资产的分类及信息资产所有者的职责，以及对信息系统的风险识别方法、风险评价标准、风险应对措施。

（三）控制活动

内部审计人员应当关注信息系统管理的方法和程序，主要包括职责分工控制、授权控制、审核批准控制、系统保护控制、应急处置控制、绩效考评控制等。

（四）信息与沟通

内部审计人员应当关注组织决策层的信息沟通模式，信息系统对财务、业务流程的支持度，信息技术政策、信息安全制度传达与沟通等方面。

（五）内部监督

内部审计人员应当关注组织的监控管理报告系统、监控反馈、跟踪处理程序以及对信息技术内部控制自我评估机制等方面。

三、对信息系统一般性控制的审计

信息系统一般性控制是确保组织信息系统正常运行的制度和工作程序，目标是保护数据与应用程序的安全，并确保异常中断情况下计算机信息系统能持续运行。信息系统一般性控制包括硬件控制、软件控制、访问控制、职责分离等关键控制。审计人员应当采用适当的方法、合理的技术手段对信息系统建设的合规合法、信息系统的安全管理、访问控制、基础架构、数据保护以及灾难恢复等方面开展审计。信息系统一般性控制审计应当重点考虑下列控制活动：

（一）系统开发和采购审计

内部审计人员应当关注组织的应用系统及相关系统基础架构的开发和采购的授权审批，系统开发所制定的系统目标以及预期功能是否合理，是否能够满足组织目标；系统开发的方法，开发环境、测试环境、生产环境的分离情况，系统的测试、审核、验收、移植到生产环境等环节的具体活动。

对应用系统的开发与实施过程所采用的方法和流程进行评价，以确保其满足组织目标。评估拟定的系统开发或采购方案，确保其符合组织战略目标;评估项目管理过程，确保组织在满足成本效益原则的基础上实现风险管理框架下的组织业务目标，确保项目按计划开展，并有相应文档充分支持;评估相关信息系统的控制机制，确保其符合组织的相关制度规定;评估系统的开发、采购和测试、维护，对系统实施定期检查，确保其持续满足组织目标。

（二）系统运行审计

内部审计人员应当关注组织的信息技术资产管理、系统容量管理、系统物理环境控制、网络环境资源配置、系统和数据备份及恢复管理、问题管理和系统的日常运行管理等内容。一般控制措施包括但不限于保证数据安全、保护计算机应用程序正常运行、防止系统被非法侵入、保证在错误操作或意外中断情况下的持续运行等。

评估组织在信息系统运行日常操作以及信息系统基础设施管理的有效性及效率性，确保其支持组织的目标；评估信息系统服务相关实务，确保内部和外部服务提供商的服务等级是明确并可控的;评估运行管理，保证信息系统支持功能有效满足业务需求;评估数据管理，确保数据库的完整性和最优化;评估性能的发挥及监控工具与技术应用;评估问题和事件管理，确保所有事件、问题和错误被及时记录。

（三）系统变更审计

内部审计人员应当关注组织的应用系统及相关系统基础架构的变更、参数设置变更的授权与审批，变更测试及移植到生产环境系统中的流程控制等。评估变更、配置和发布管理，确保变更被详细记录。

（四）信息安全审计

内部审计人员应当关注组织的信息安全管理制度，物理访问及针对网络、操作系统、数据库、应用系统的身份认证和逻辑访问管理机制，系统设置的职责分离控制等。

内部审计人员对逻辑、环境与信息技术基础设施的安全性进行评价，确保其能支持组织保护信息资产的需要，防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。评估逻辑访问控制的设计、实施和监控，确保信息资产的机密性、完整性、有效性和授权使用合规性;评估网络框架和信息传输的安全;评估环境控制的设计、实施和监控，确保信息资产充分安全。

四、对信息系统应用控制的审计

信息系统应用控制是指在业务流程层面为了合理保证应用系统准确、完整、及时完成业务数据的生成、记录、处理、报告等功能而设计、执行的信息技术控制。对业务流程层面应用控制的审计应当考虑下列与数据输入、数据处理以及数据输出环节相关的控制活动：

（一）授权与批准

审计应用程序的访问控制，必须关注是否有被授权的使用人才可以访问系统数据或执行授权范围内的程序功能，输入控制是否保证每笔被处理的事务能够被正确完整地录入与编辑，是否只有合法且经授权的信息才能被正确输入。

（二）系统配置控制

审计配置控制主要关注应用系统基础参数的设置与调整。包括参数的正确性、审批与授权、调整日志等。

（三）异常情况报告和差错报告

审计信息系统在出现不能正常运行、计算结果错误等异常情况时，系统能否自动提醒、处理，接收、保存差错输出报告。

（四）接口/转换控制

审计应对接口的数据流向、数据传输能力、数据转换准确性等进行测试和检查，接口/转换能否保证数据流通的正确性以及数据传输能力是否满足系统功能需求。

（五）一致性核对

审计系统间传输时，需重点检查传输报告分发是否建立了相应的人工控制环节，包括但不限于安全打印、接收签名、加密、只读等，以防范非法篡改造成不一致。

（六）职责分离

审计系统数据的录入、修改与审核的职责分离，关注对数据进行加密和敏感性分级处理的规则以及加密方式是否满足工作需求。

（七）系统计算

审计信息系统对数据计算的准确性及计算效率。

（八）其他

五、信息系统专项审计

信息系统审计除上述常规的审计内容外，内部审计人员还可以根据组织面临的特殊风险或者需求，设计专项审计，具体包括但不限于下列领域：

（一）信息系统开发实施项目的专项审计。

（二）信息系统安全专项审计。

（三）信息技术投资专项审计。

（四）业务连续性的专项审计。

（五）法律、法规、行业规范要求的内部控制合规性专项审计。

（六）其他专项审计。

第四节  信息系统审计程序

信息系统审计程序一般包括审计准备、审计实施、审计报告和后续审计四个阶段。

一、审计准备

（一）审前准备

内部审计人员在实施信息系统审计前，需要根据信息系统审计目标，开展审前调查，收集法规、制度依据以及其他有关资料。审前调查主要了解组织信息系统的治理管理体制、总体架构、规划和建设、应用管理情况等。具体如下：

1.治理、管理体制。主要了解信息系统管理机构设置、管理职责、工作流程等。

2.系统总体架构

（1）系统分布。包括系统数量、规模和分布，绘制信息系统分布图。

（2）信息系统主要类型。

（3）各信息系统的基本情况和系统之间的关联关系。

（4）信息系统应用覆盖面及应用程度。

3.规划和建设情况

（1）规划：信息系统发展规划以及规划、年度计划落实情况。

（2）建设：信息系统建设程序、投入、管理，了解已完成系统和在建系统。

（3）使用：信息系统应用管理制度、使用率、应用中存在的主要问题、困难和矛盾。

（二）编制审计工作方案

根据审前准备情况，编制信息系统审计工作方案，方案内容包括但不限于被审计组织信息系统的基本情况。包括信息系统项目建设及应用情况、审计目的、审计依据、审计对象与范围、审计内容重点及方法、审计步骤与时间安排、审计组与人员分工等。在审计组组成环节，审计部门可以借助外部专家的力量，在审计组中应当有具备信息技术经验和知识的专兼职审计专家，便于补充提高审计组的胜任能力。

二、审计实施

审计实施是内部审计人员依据审计计划实施现场审计的过程。内部审计人员应结合审前准备了解的内容，按照被审计组织的信息化环境、业务流程、内控制度等方面的风险，明确具体项目审计目标、细化审计内容，突出审计重点。实施阶段主要应完成以下工作:

（一）了解评估被审计组织的信息系统内部控制

1.收集被审计组织信息系统的内部控制管理制度及流程，对被审计组织相关人员进行访谈，了解组织的信息系统决策及管理政策、方法、控制活动主要内容包括但不限于：

（1）信息系统内部控制环境。

（2）风险管理。

（3）控制活动。

（4）信息与沟通。

（5）内部监督。

2.开展控制测试

内部审计人员开展控制测试评价信息系统的内部控制要素，以确定组织能接受的控制风险。验证控制措施的执行是否符合管理政策和程序，为审计提供合理的保证。信息系统控制测试主要包括控制环境测试和功能测试：

（1）组织管理的控制测试。

（2）系统建设管理的控制测试。

（3）系统资源管理的控制测试。

（4）系统环境管理的控制测试。

（5）系统运行管理的控制测试。

（6）系统网络和通信管理的控制测试。

（7）系统数据库管理的控制测试。

（8）系统输入、处理、输出的控制测试。

（9）其他。

3.初步评估信息系统内部控制

根据对组织信息系统的控制测试情况，选择组织信息系统的重点业务流程，对固有风险和控制风险进行初步评估，对信息系统控制有效性作出评价。

（二）开展实质性测试

内部审计人员应根据控制测试结果确定实质性测试的性质、时间和范围。组织层面评价内容包括组织架构、权责分配、发展战略、人力资源、培训与考核等。

对组织信息系统开展风险评估时，结合相关规范中有关风险评估的要求，重点关注内部和外部风险信息的搜集、利用风险识别机制按照风险评估的程序、方法，评估风险等级并检查应对策略的有效性。

对信息与沟通审计时，应结合组织信息与沟通的相关管理制度，对信息收集、处理和传递的及时性，反舞弊机制的健全性，财务报告的真实性，信息系统的安全性，以及利用信息系统实施内部控制的有效性等进行审查和评价。

对内部监督审计时应结合组织内部监督制度，对内部监督机制的有效性进行认定和评价。重点关注内部审计机构等监督机构是否在内部控制设计和运行中有效发挥监督作用，内部控制缺陷认定是否客观，整改方案措施是否得当，并有效整改。

内部控制检查评价方法主要包括：个别访谈法、调查问卷法、比较分析法、标杆法、穿行测试法、抽样法、实地查验法、重新执行法、专题讨论会法等。内部控制检查评价应综合运用上述方法，充分利用信息系统，实施在线检查、监控。

三、审计报告

https://www.xhqbg.com

信息系统审计报告阶段包括整理加工审计工作底稿、编写审计报告、做出审计结论。内部审计人员应运用专业判断，综合分析所收集到的相关证据，以经过核实的审计证据为依据，形成审计意见和结论、编制审计底稿、出具审计报告。

四、后续审计

后续审计主要通过监督组织整改的情况，督促被审计组织改进信息系统治理，完善相关的规章制度、流程等，以持续提高信息系统治理、管理水平。对审计中发现的重大问题和控制缺陷，整改效果不明显的信息系统项目开展后续审计。

第五节  信息系统审计方法与工具

一、信息系统主要审计方法

信息系统审计方法是为了完成信息系统审计任务所采取的手段。在信息系统审计工作中，要完成每一项审计工作，都应选择合适的审计方法。信息系统审计方法主要包括访谈法、调查法、检查法、观察法、测试和平行模拟法、程序代码检查、编码比较法、风险评估法等。

（一）访谈法

访谈法是指通过面对面或在线视频、音频等方式交谈来了解被审计对象的信息。依据不同问题的性质、目的或对象，采用不同的访谈形式。