相關標準:第2100條標準工作性質內部審計活動應當通過套用系統的、規範的方法,評價並改善風險管理、控制和治理過程。 本實務公告源自國際信息系統審計和控制協會(isaca)指引——第三方對組織信息技術控制的影響,檔案g16。該信息系統審計指引由isaca於2002年3月發布。引用該檔案經過isaca的許可和確認。本實務公告與isaca指引的任何差異,isaca不保證其準確性或支持這些改變。 本實務公告的性質:內部審計師在審計第三方對於組織信息系統控制的影響時,應當考慮下列建議。本公告無意囊括執行信息系統業務外包確認性或諮詢業務的所有必要程式,僅就高層內部審計人員的主要責任提出建議,用以補充詳細的審計計畫工作。實務公告的遵循不是強制性的。 1、第三方提供的服務組織基於多種目的使用網際網路及企業區域網路,包括提供員工、供應商及顧客接入現有或新的人力資源、財務、銷售及採購等套用系統。許多情況下,是通過一個或多個第三供應方來提供這種接入服務。第三方可提供下列服務:連線區域網路及網際網路通過虛擬私人網路或企業間網路連線至組織的合作夥伴通過無線技術與顧客連線網站建立網站維護、管理與監控網站安全服務為硬體提供實際場所(例如共用場所)監控系統及應用程式的存取備份及恢復服務套用系統開發、維護及代管(例如企業資源規劃系統、電子商務系統)企業服務包括現金管理、信用卡、訂單處理及呼叫中心服務。 2、第三供應方對於組織的影響第三供應方可能在不同層級上影響一個組織(包括其夥伴)、其業務流程、各項控制及控制目標,包含因下列事項所產生的影響:第三供應方的經濟存續性第三供應方通過其通訊系統及套用系統獲取的信息系統及應用程式的可用性處理的完整性套用系統開發及變更管理流程通過備份恢復、應變計畫及重複設備來保護系統及信息資產第三方可成為組織的控制及相關控制目標達成的關鍵因素。審計師應評估第三方所提供與信息技術環境、相關控制及控制目標有關的服務。組織為了有限的目的而使用第三供應方時,例如共用場所服務,可能就第三方與組織達成其控制目標有關的控制給予有限度的信賴。不過,組織若為了其他目的使用供應者,例如代管財務會計系統及電子商務系統,則可能完全利用供應者的控制,或將其與組織的控制相結合,以達到控制目標。同樣,組織達成其控制目標的能力可能因為第三方控制的相對有效或無效,而增強或削弱。控制缺失可能出自多種來源,包括:由於將服務外包給第三方造成的控制環境差距薄弱的控制設計導致控制運作無效負責控制功能的人員缺乏知識或無經驗過度依賴第三方的控制(組織內並無補償控制) 缺乏控制或控制設計、營運或效果的缺失可能導致下列事項:喪失信息的機密性及隱私性系統在需要時無法使用未經授權的存取及變更系統、應用程式或資料系統、應用程式或資料的變更導致系統或安全機制無效、資料流失、資料真實性喪失、欠缺資料保護或系統無法使用系統資源及/或信息資產的損失上述任何事項導致組織的成本增加