2203 信息系统审计

2013年年 9月月 第第 2203号号 信息系统审计信息系统审计 中国内部审计准则培训中国内部审计准则培训 * 2 一、本准则的制定的目的一、本准则的制定的目的 二、本准则适用范围二、本准则适用范围 三、本准则的框架结构三、本准则的框架结构 * 3 一、本准则的制定的目的一、本准则的制定的目的 本准则所称信息系统审计，是指内部审计本准则所称信息系统审计，是指内部审计 机构和内部审计人员对组织的信息系统及机构和内部审计人员对组织的信息系统及 其相关的信息技术内部控制和流程所进行其相关的信息技术内部控制和流程所进行 的审查与评价活动。的审查与评价活动。 为了规范信息系统审计工作，提高审计质为了规范信息系统审计工作，提高审计质 量和效率量和效率 。 * 4 二、本准则适用范围二、本准则适用范围 适用于适用于 各类组织的内部审计机构、内部审计人员及其各类组织的内部审计机构、内部审计人员及其 从事的信息系统审计活动从事的信息系统审计活动 。 其他组织或者人员接受委托、聘用，承办或者其他组织或者人员接受委托、聘用，承办或者 参与的内部审计业务。参与的内部审计业务。 * 5 三、本准则的框架结构（共七章三、本准则的框架结构（共七章 28条）条） 第一章第一章 “总则总则 ”（ 1-3） 第二章第二章 “一般原则一般原则 ”（ 4-8） 第三章第三章 “信息系统审计计划信息系统审计计划 ”（ 9-11） 第四章第四章 “信息技术风险评估信息技术风险评估 ”（ 12-16） 第五章第五章 “信息系统审计的内容信息系统审计的内容 ”（ 17-22） 第六章第六章 “信息系统审计的方法信息系统审计的方法 ”（ 23-26） 第七章第七章 “附则附则 ”（ 27-28） * 6 一、信息系统审计的重要性一、信息系统审计的重要性 二、责任的区分二、责任的区分 三、信息系统审计人员应具备的能力三、信息系统审计人员应具备的能力 四、信息系统审计的基础四、信息系统审计的基础 五、信息系统审计的地位五、信息系统审计的地位 一般原则一般原则 * 7 一、信息系统审计的重要性一、信息系统审计的重要性 通过实施信息系统审计工作通过实施信息系统审计工作 对组织是否实现对组织是否实现 信息技术管理目标信息技术管理目标 进进 行审查和评价行审查和评价 基于评价意见提出管理建议，协助组基于评价意见提出管理建议，协助组 织信息技术管理人员有效地履行职责织信息技术管理人员有效地履行职责 。 * 8 信息技术管理目标：信息技术管理目标： （一）保证组织的信息技术战略充分反映组（一）保证组织的信息技术战略充分反映组 织的织的 战略目标战略目标 ； （二）提高组织所依赖的（二）提高组织所依赖的 信息系统的可靠性信息系统的可靠性 、稳定性、安全性及数据处理的完整性和、稳定性、安全性及数据处理的完整性和 准确性准确性 ； （三）提高信息系统运行的效果与效率，合（三）提高信息系统运行的效果与效率，合 理保证信息系统的运行符合理保证信息系统的运行符合 法律法规以及法律法规以及 相关监管要求相关监管要求 。 * 9 二、责任的区分二、责任的区分 组织中信息技术管理人员的责任组织中信息技术管理人员的责任 ：进行信息：进行信息 系统的开发、运行和维护，以及与信息技术相系统的开发、运行和维护，以及与信息技术相 关的内部控制的设计、执行和监控关的内部控制的设计、执行和监控 。 信息系统审计人员的责任信息系统审计人员的责任 ： 实施信息系统审实施信息系统审 计工作并出具审计报告计工作并出具审计报告 。 * 10 三、信息系统审计人员应具备的能力三、信息系统审计人员应具备的能力 信息技术及信息系统审计专业知识、技能信息技术及信息系统审计专业知识、技能 和经验。和经验。 必要时，可利用外部专家服务。必要时，可利用外部专家服务。 四、信息系统审计的基础四、信息系统审计的基础 风险为基础的审计方法进行信息系统审计风险为基础的审计方法进行信息系统审计 风险评估风险评估 应当贯穿于信息系统审计的全过应当贯穿于信息系统审计的全过 程。程。 * 11 五、信息系统审计的地位五、信息系统审计的地位 独立的审计项目独立的审计项目 综合性内部审计项目的组成部分综合性内部审计项目的组成部分 当信息系统审计作为综合性内部审计当信息系统审计作为综合性内部审计 项目的一部分时，信息系统审计人员项目的一部分时，信息系统审计人员 1、考虑项目审计目标及要求、考虑项目审计目标及要求 2、及时与其他相关内部审计人员沟通信息系、及时与其他相关内部审计人员沟通信息系 统审计中的发现，并考虑依据审计结果调统审计中的发现，并考虑依据审计结果调 整其他相关审计的范围、时间及性质。整其他相关审计的范围、时间及性质。 * 12 信息系统审计计划信息系统审计计划 一、制定信息系统审计计划的步骤一、制定信息系统审计计划的步骤 二、信息系统审计方案的编制二、信息系统审计方案的编制 * 13 一、制定信息系统审计计划的步骤一、制定信息系统审计计划的步骤 需要确定审计目标并初步评估审计需要确定审计目标并初步评估审计 风险风险 估算完成信息系统审计或者专项审估算完成信息系统审计或者专项审 计所需的资源计所需的资源 确定重点审计领域及审计活动的优确定重点审计领域及审计活动的优 先次序先次序 明确审计组成员的职责明确审计组成员的职责 编制信息系统审计方案。编制信息系统审计方案。 * 14 二、信息系统审计方案的编制二、信息系统审计方案的编制 遵循相关内部审计具体准则的规定遵循相关内部审计具体准则的规定 其他需考虑的因素其他需考虑的因素 （一）高度依赖信息技术、信息系统的关键业务流（一）高度依赖信息技术、信息系统的关键业务流 程及相关的程及相关的 （二）信息技术管理的组织架构；（二）信息技术管理的组织架构； （三）信息系统框架和信息系统的长期发展规划及（三）信息系统框架和信息系统的长期发展规划及 近期发展计划；近期发展计划； （四）信息系统及其支持的业务流程的变更情况；（四）信息系统及其支持的业务流程的变更情况； （五）信息系统的复杂程度；（五）信息系统的复杂程度； （六）以前年度信息系统内、外部审计所发现的问（六）以前年度信息系统内、外部审计所发现的问 题及后续审计情况；题及后续审计情况； * 15 信息技术风险评估信息技术风险评估 一、信息技术风险的内涵一、信息技术风险的内涵 二、识别信息技术风险二、识别信息技术风险 三、业务流程层面的信息技术三、业务流程层面的信息技术 风险风险 * 16 一、信息技术风险的内涵一、信息技术风险的内涵 信息技术风险：组织在信息处理和信息技术运用过程信息技术风险：组织在信息处理和信息技术运用过程 中产生的、可能影响组织目标实现的各种不确定因中产生的、可能影响组织目标实现的各种不确定因 素。素。 包括：包括： 1、 组织层面组织层面 的信息技术风险的信息技术风险 2、 一般性控制层面一般性控制层面 的信息技术风险的信息技术风险 3、 业务流程层面业务流程层面 的信息技术风险等的信息技术风险等 内部审计人员应当充分考虑风险评估的结果，以合内部审计人员应当充分考虑风险评估的结果，以合 理确定信息系统审计的内容及范围，并对组织的信理确定信息系统审计的内容及范围，并对组织的信 息技术内部控制设计合理性和运行有效性进行测试息技术内部控制设计合理性和运行有效性进行测试 。 * 17 二、识别信息技术风险二、识别信息技术风险 识别信息技术风险需关注以下方面：识别信息技术风险需关注以下方面： （一）业务关注度（一）业务关注度 （二）信息资产的重要性；（二）信息资产的重要性； （三）对信息技术的依赖程度；（三）对信息技术的依赖程度； （四）对信息技术部门人员的依赖程度；（四）对信息技术部门人员的依赖程度； （五）对外部信息技术服务的依赖程度；（五）对外部信息技术服务的依赖程度； （六）信息系统及其运行环境的安全性、可靠性（六）信息系统及其运行环境的安全性、可靠性 ； （七）信息技术变更；（七）信息技术变更； （八）法律规范环境。（八）法律规范环境。 * 18 三、业务流程层面的信息技术风险三、业务流程层面的信息技术风险 （一）业务流程层面的信息技术风险的影响因素：（一）业务流程层面的信息技术风险的影响因素： 1、行业背景、行业背景 2、业务流程的复杂程度、业务流程的复杂程度 3、上述组织层面及一般性控制层面的控制有效性、上述组织层面及一般性控制层面的控制有效性 等因素的影响而存在差异。等因素的影响而存在差异。 （二）业务流程层面的信息技术风险（二）业务流程层面的信息技术风险 数据输入；数据处理；数据输出数据输入；数据处理；数据输出 * 19 信息系统审计的内容信息系统审计的内容 一、信息系统常规审计一、信息系统常规审计 二、信息系统专项审计二、信息系统专项审计 * 20 一、信息系统常规审计一、信息系统常规审计 （一）组织层面信息技术控制审计（一）组织层面信息技术控制审计 （二）信息技术一般性控制审计（二）信息技术一般性控制审计 （三）业务流程层面应用控制审计（三）业务流程层面应用控制审计 * 21 （一）组织层面信息技术控制审计（一）组织层面信息技术控制审计 组织层面信息技术控制：组织层面信息技术控制： 董事会或者最高管董事会或者最高管 理层对信息技术治理职能及内部控制的重理层对信息技术治理职能及内部控制的重 要性的态度、认识和措施。要性的态度、认识和措施。 内部控制中信息技术审计相关因素：内部控制中信息技术审计相关因素： 控制环境控制环境 风险评估风险评估 信息与沟通信息与沟通 内部监督内部监督 * 22 1、控制环境、控制环境 组织的信息技术战略规划对业务战略规划组织的信息技术战略规划对业务战略规划 的契合度、的契合度、 信息技术治理制度体系的建设、信息技术治理制度体系的建设、 信息技术部门的组织结构和关系、信息技术部门的组织结构和关系、 信息技术治理相关职权与责任的分配、信息技术治理相关职权与责任的分配、 信息技术人力资源管理、信息技术人力资源管理、 对用户的信息技术教育和培训等方面。对用户的信息技术教育和培训等方面。 * 23 2、 风险风险 评估评估 组织的风险评估的总体架构中信息技术风组织的风险评估的总体架构中信息技术风 险管理的框架险管理的框架 流程和执行情况流程和执行情况 信息资产的分类信息资产的分类 信息资产所有者的职责等方面。信息资产所有者的职责等方面。 * 24 3、信息与沟通、信息与沟通 组织的信息系统架构组织的信息系统架构 对财务、业务流程的支持度对财务、业务流程的支持度 董事会或者最高管理层的信息沟通模式董事会或者最高管理层的信息沟通模式 信息技术政策信息技术政策 /信息安全制度的传达与沟通信息安全制度的传达与沟通 等方面。等方面。 * 25 4、内部监督、内部监督 监控管理报告系统监控管理报告系统 监控反馈监控反馈 跟踪处理程序跟踪处理程序 组织对信息技术内部控制的自我评估机制组织对信息技术内部控制的自我评估机制 * 26 （二）信息技术一般性控制审计（二）信息技术一般性控制审计 信息技术一般性控制信息技术一般性控制 ： 与网络、操作系统、与网络、操作系统、 数据库、应用系统及其相关人员有关的信数据库、应用系统及其相关人员有关的信 息技术政策和措施，以确保信息系统持续息技术政策和措施，以确保信息系统持续 稳定的运行，支持应用控制的有效性。稳定的运行，支持应用控制的有效性。 与信息技术一般性控制审计有关的控制活动与信息技术一般性控制审计有关的控制活动 ： 1、信息安全管理、信息安全管理 2、系统变更管理、系统变更管理 3、系统开发和采购管理、系统开发和采购管理 4、系统运行管理、系统运行管理 * 27 1、 信息信息 安全管理安全管理 信息安全管理政策信息安全管理政策 物理访问及针对网络物理访问及针对网络 操作系统操作系统 数据库数据库 应用系统的身份认证和逻辑访问管理机制应用系统的身份认证和逻辑访问管理机制 系统设置的职责分离控制系统设置的职责分离控制 * 28 2、系统变更管理、系统变更管理 应用系统及相关系统基础架构的变更应用系统及相关系统基础架构的变更 参数设置变更的授权与审批参数设置变更的授权与审批 变更测试变更测试 变更移植到生产环境的流程控制变更移植到生产环境的流程控制 * 29 3、系统开发和采购管理、系统开发和采购管理 应用系统及相关系统基础架构的开发和采应用系统及相关系统基础架构的开发和采 购的授权审批购的授权审批 系统开发的方法论系统开发的方法论 开发环境、测试环境、生产环境严格分离开发环境、测试环境、生产环境严格分离 情况情况 系统的测试、审核、移植到生产环境系统的测试、审核、移植到生产环境 * 30 4、系统运行管理、系统运行管理 信息技术资产管理信息技术资产管理 系统容量管理系统容量管理 系统物理环境控制系统物理环境控制 系统和数据备份及恢复管理系统和数据备份及恢复管理 问题管理问题管理 系统的日常运行管理系统的日常运行管理 * 31 （三）业务流程层面应用控制审计（三）业务流程层面应用控制审计 业务流程层面应用控制：业务流程层面应用控制： 为了合理保证应用系统准确、完整、为了合理保证应用系统准确、完整、 及时完成业务数据的生成、记录、处理、报告等功能而设计、执及时完成业务数据的生成、记录、处理、报告等功能而设计、执 行的信息技术控制。对业务流程层面应用控制的审计应当考虑下行的信息技术控制。对业务流程层面应用控制的审计应当考虑下 列与数据输入、数据处理以及数据输出列与数据输入、数据处理以及数据输出 业务流程层面应用控制的审计应关注控制活动：业务流程层面应用控制的审计应关注控制活动： 1、授权与批准、授权与批准 2、系统配置控制、系统配置控制 3、异常情况报告和差错报告、异常情况报告和差错报告 4、接口、接口 /转换控制转换控制 5、一致性核对、一致性核对 6、职责分离、职责分离 7、系统访问权限、系统访问权限 8、系统计算、系统计算 * 32 三、信息系统专项审计三、信息系统专项审计 根据组织当前面临的特殊风险或者需求，设计根据组织当前面临的特殊风险或者需求，设计 专项审计以满足审计战略。专项审计以满足审计战略。 信息系统专项审计领域信息系统专项审计领域 （一）信息系统开发实施项目的专项审计；（一）信息系统开发实施项目的专项审计； （二）信息系统安全专项审计；（二）信息系统安全专项审计； （三）信息技术投资专项审计；（三）信息技术投资专项审计； （四）业务连续性计划的专项审计；（四）业务连续性计划的专项审计； （五）外包条件下的专项审计；（五）外包条件下的专项审计； （六）法律、法规、行业规范要求的内部控制合规性（六）法律、法规、行业规范要求的内部控制合规性 专项审计；专项审计； （七）其他专项审计。（七）其他专项审计。 * 33 信息系统审计方法信息系统审计方法 一、一、 信息系统审计方法信息系统审计方法 二、计算机辅助审计二、计算机辅助审计 三、信息系统审计的特殊考虑三、信息系统审计的特殊考虑 四、剩余风险的处理四、剩余风险的处理 * 34 一、信息系统审计方法一、信息系统审计方法 （一）询问相关控制人员；（一）询问相关控制人员； （二）观察特定控制的运用；（二）观察特定控制的运用； （三）审阅文件和报告及计算机文档或者日志；（三）审阅文件和报告及计算机文档或者日志； （四）根据信息系统的特性进行穿行测