《國際內部審計專業實務標準》中第2100條標準的解釋
相關標準:第2100條標準
工作性質
內部審計活動應當通過套用系統的、規範的方法,評價並改善風險管理、控制和治理過程。
本實務公告源自國際信息系統審計和控制協會(isaca)指引——套用系統檢查,檔案g14。該信息系統審計指引由isaca於2001年11月發布。引用該檔案經過isaca的許可和確認。本實務公告與isaca指引的任何差異,isaca不保證其準確性或支持這些改變。
本實務公告性質:內部審計師實施套用系統檢查時應當考慮以下建議。本實務公告無意囊括與套用系統檢查相關的綜合性確認或諮詢業務所需要的所有程式,僅推薦一系列高層次審計師責任,作為制定詳細審計計畫的補充。
1首席審計執行官應當確定內部審計活動具備或者可以取得獨立[1]並且勝任的審計資源,開展套用系統檢查並評估相關的風險暴露。
審計計畫的考慮
2審計計畫的一部分內容是充分了解組織的信息系統環境,便於內部審計師確定系統的規模和複雜程度,以及組織對信息系統的依賴程度。內部審計師應當了解組織的目的和業務目標,運用信息技術和信息系統的水平和方式,與組織的目的及其信息系統相關聯的風險和披露情況。此外,還需要了解組織結構,包括主要信息系統人員和套用系統業務處理負責人的職權和責任。審計計畫過程中還應當考慮業務領域的風險。
審計計畫的主要目的是確定套用水平的風險。相關水平的風險影響所需要的審計證據的水平。系統層面和數據層面的套用水平風險包括以下內容:
l與缺乏系統操作能力相關的系統可獲得性風險
l與未經授權進入系統或取得數據相關的系統安全性風險
l與處理數據不完整、不準確、不及時和未經授權相關的系統完整性風險
[1] 獨立——指內部審計師未介入套用系統的開發、收購、運行或維護等工作。
l在要求持續提供系統的可獲得性、安全性和完整性的情況下,與無法更新系統相關的系統維護風險
l與數據全面、完整、保密、準確、及時相關的數據風險
針對套用水平風險的套用控制可以採用系統內置的計算機化控制,或者手工實施的控制,或者兩者結合的形式。例如計算機化檔案核對(採購訂單、發票和收貨報告),核對和簽署機打票據,由高級管理人員對特殊報告進行檢查。
在選擇信賴程式控制的情況下,應當考慮相關的總體信息技術控制以及與審計目標有關的控制。總體信息技術控制可以是一項單獨的檢查,主要包括:物理控制、系統層的安全、網路管理、數據備份以及應變計畫。根據檢查的控制目標,內部審計師可以不需要檢查總體控制,例如,對套用系統進行評估用於收購的情況。
套用系統檢查可以在一整套套用系統用於收購目的進行評估的時候開展,可以在系統投產之前(運行前)和投產之後(運行後)進行。運行前套用系統檢查的涵蓋範圍包括套用水平的安全構造,執行安全措施的計畫,系統和用戶記錄的充分性,實際或計畫的用戶接受測試的充分性。運行後套用系統檢查的涵蓋範圍包括運行後的套用水平安全,如果存在數據和主檔案信息從舊系統向新系統轉換的情況,則包括系統轉換的檢查。