《國際內部審計專業實務標準》中第2100號標準的解釋 相關標準:第2100條標準工作性質內部審計活動應當通過套用系統的、規範的方法,評價並改善風險管理、控制和治理過程。 本實務公告源自國際信息系統審計和控制協會(isaca)指引——信息系統業務外包給其它機構,檔案g4。該信息系統審計指引由isaca於1999 年9月發布。引用該檔案經過isaca的許可和確認。本實務公告與isaca指引的任何差異,isaca不保證其準確性或支持這些改變。 本實務公告的性質:內部審計師在進行信息系統業務外包的審計時,應考慮下列建議。本實務公告無意囊括有關信息系統外包業務審計的綜合性確認和諮詢業務需要的所有程式,僅推薦一系列高層次審計師責任,作為制定詳細審計計畫的補充。 實施審計前的考慮 1. 首席審計執行官應確認內部審計部門擁有或可取得獨立及勝任的審計資源,以執行信息系統業務外包給其它機構的審計,並評估相關的風險暴露。2. 對外部服務提供者進行審計的權利通常並不明確。遵循審計的責任通常也不明確。首席審計執行官及/或被指派的內部審計師應協同法律、契約管理或其它權責部門,以確認外包契約容許對外部服務提供者進行審計的程度,並考慮此項條款是否恰當。若有必要,應徵詢法律專家的意見3. 首席審計執行官及/或被指派的內部審計師也應評可否信賴外部服務提供者的內部審計師或其聘用的獨立第三者所進行的任何信息系統審計工作。在開展審計工作前,應確認自行審計或依賴他人工作的能力。 計畫的考慮1. 發現事實 內部審計師應了解外包服務的性質、時間及範圍。內部審計師應確認外界服務使用者已建立何種控制,以符合下列業務需求:確保第三者的角色及責任業已明確界定、遵循,並持續符合要求(cobit 高層次控制目標ds2)。與服務外包相關的風險應加以辨認及評估。內部審計師應評估外界服務使用者的控制,可以合理確保達到企業目標,以及預防、發現及改正不希望發生的事件的程度。2. 計畫內部審計師應評估與外界服務提供者有關的以往審計報告,並計畫信息系統審計工作,以強調與外界服務提供者環境相關的審計目標,並考慮計畫期間內獲得的信息。審計目標傳達給外界服務提供者之前,應獲得服務使用者管理層的認可。 外界服務提供者所要求的任何改變應取得服務使用者管理層的同意。 內部審計師計畫信息系統審計工作時,應遵循相關的專業審計準則,就如同在服務使用者工作環境執行審計一樣。 實施審計1. 審計證據要求審計工作的實施應如同在使用者自己的信息系統環境實施審計一樣。