《國際內部審計專業實務標準》中第2100條標準的解釋 相關標準:第2100條標準工作性質內部審計活動應當通過套用系統的、規範的方法,評價並改善風險管理、控制和治理過程。 本實務公告源自國際信息系統審計和控制協會(isaca)指引——廣泛性信息系統控制的效果,檔案g11。該信息系統審計指引由isaca於2000年3月發布。引用該檔案經過isaca的許可和確認。本實務公告與isaca指引的任何差異,isaca不保證其準確性或支持這些改變。 本實務公告性質:內部審計師實施信息系統控制檢查時應當考慮以下建議。本實務公告無意囊括實施信息系統審計所需要的所有程式,僅推薦一系列高層次審計師責任,作為制定詳細審計計畫的補充。 1 控制框架概述cobit將“控制”定義為“政策、程式、實務及組織結構的設計,用來合理確保組織目標的實現,並確保不希望發生的事件被預防或發現並糾正。”針對每一項信息系統審計,內部審計師應當區分影響所有信息系統和運營的一般控制(廣泛性信息系統控制),以及在更為特定的層次運行的控制(詳細信息系統控制),以便將審計力量集中在與審計目標相關的風險領域。以下描述的控制框架有助於內部審計師達成這一重點。 廣泛性信息系統控制廣泛性信息系統控制的例子包括cobit“計畫和組織”範疇及“監督”範疇所定義的信息系統過程控制,如,“po1—訂立it戰略性計畫”及“m1——監督各項流程”。廣泛性信息系統控制是一般控制的一個子集合,即側重於信息系統管理和監控的一般控制。廣泛性信息系統控制的效果並不局限於財務系統套用控制的可靠性,廣泛性信息系統控制也影響下列詳細信息系統控制的可靠性,例如,l 程式開發l 系統實施l 安全管理l 備份程式薄弱的信息系統管理和監控(例如,薄弱的廣泛性信息系統控制)應當警示內部審計師一項高風險,即設計用於詳細層次運行的控制可能失效。 詳細信息系統控制詳細信息系統控制是由套用控制和未包含於廣泛性信息系統控制的一般控制所組成的。在cobit框架中,詳細信息系統控制是指與信息系統和服務的取得、實施、交付和支持有關的控制,例如對以下事項的控制:l 成套軟體的安裝l 系統安全參數l 災難恢復計畫l 數據輸入驗證l 例外報告的產生l 鎖定試圖無效存取的用戶帳號套用控制是詳細信息系統控制的一個子集合,例如數據輸入驗證,既是詳細信息系統控制又是一項套用控制。安裝及確認系統(ai5)屬於詳細信息系統控制,但並非套用控制。 信息系統控制之間的關係如下列大綱所示:l 信息系統控制l 一般控制l 廣泛性信息系統控制l 詳細信息系統控制l 套用控制 內部審計師應當考慮非信息系統控制對審計範圍和程式的影響。 廣泛性信息系統控制和詳細信息系統控制之間的互動cobit框架將信息系統控制區分為四個範疇:l 計畫與組織l 取得與實施l 交付與支持l 監控“取得與實施(ai)”和“交付與支持(ds)”兩個範疇的控制效果受到“計畫與組織(po)”以及“監控(m)”兩個範疇的控制運營效果的影響。管理層的不當計畫、組織和監督,意味著取得、實施、服務交付及支持方面的控制將失效。相反,強有力的計畫、組織和監控可以識別並糾正關於取得、實施、服務交付及支持方面的無效控制。 例如,“取得和維護套用軟體”(cobit 流程索引ai2)流程的有效詳細信息系統控制受到下列廣泛性信息系統控制的充分性的影響:l 訂立it戰略性計畫(cobit流程索引po1)l 項目管理(cobit流程索引po10)l 質量管理(cobit流程索引po11)l 監督各項流程(cobit流程索引m1)套用系統取得的審計應當包括確認信息系統戰略的作用,項目管理方法,質量管理以及監督的方法。例如,當項目管理不當時,內部審計師應當考慮:l 開展額外的工作,以保證該項目屬於有效管理;l 向管理層報告廣泛性信息系統控制的缺陷另一個例子為,“確保系統安全”(cobit流程索引ds5)流程的有效詳細信息系統控制受到下列廣泛性信息系統控制的充分性的影響:l 定義信息技術組織及關係(cobit流程索引po4)l 溝通管理目的和方向(cobit流程索引po6)l 評估風險(cobit流程索引po9)l 監控流程(cobit流程索引m1)對系統安全參數適當性的審計,例如,unix,windows nt,racf,應當考慮管理層的安全政策(po6),安全責任的分派(po4),風險評估程式(po9),安全政策遵循情況的監督程式(m1)。即使這些參數與內部審計師“最佳實務”的觀點不一致,在考慮管理層認識到風險,以及指引如何應特定風險水平的管理政策的情況下,這些參數可能被評估為適當的。審計建議應針對風險管理或政策,以及詳細的系統安全參數本身。