信息技术服务治理第4部分审计导则编制说明-全国信息技术.PDF

《信息技术服务 治理 第4 部分：审计导则》编 制说明 （征求意见稿） 信息技术服务分会 服务管控专业组 二○一五年十月 1 一、 工作简况 （一）任务来源 本标准的编制任务来源于国家标准化管理委员会《2012 年第二批国家标准制 修订计划》，标准计划编号 T-469”。 （二）参加单位 上海万隆信息技术咨询有限公司、中国电子化标准研究院、上海计算机软件 技术开发中心、上海谷航信息科技发展有限公司等作为主要编制单位参加了本标 准的编写。 信息技术服务管控工作组的各成员单位也参与了本标准的编制工作，为本标 准的内容提供了许多好的意见和建议。 本标准主要起草人包括俞文平、周平、张绍华等，负责标准相关资料的搜集 和调研、标准框架编制、标准内容起草、反馈意见整理等工作。 （三）编制过程 标准编制过程分为：工作组成立、标准调研和预研、标准起草、征求意见及 修订、标准推广及验证五个阶段。 1、工作组成立 2009 年4 月23 日，信息技术服务标准工作组成立。2009 年4 月30 日，信 息技术服务管控工作组成立，2011 年12 月1 日，IT 审计标准专业组成立。 2、标准研究和实践运用 IT 审计标准专业组积极开展IT 审计领域调研和预研，面向金融、电信、能 源、制造业、交通、航运、医疗卫生等信息技术服务领先行业，一方面通过IT 审计业务实践，对企业信息技术内部控制进行了解、分析、评价，掌握企业IT 审计的实际需求及验证IT 审计的效果。另一方面，组织IT 审计标准专业组各成 员单位，研究审计、IT 审计IT 治理与管理等理论，编写《IT 审计之道》一书， 对IT 审计管理体系及IT 审计涉及的领域进行了系统论述。 在IT 审计理论研究和实践应用的基础上，深入研究国际ISO/IEC 38500、 COBIT、COSO 等标准和最佳实践，分析国外《SOX：萨班斯一奥克斯利法案》、《COSO： 内部控制整合框架》、《J-SOX：日本版萨班斯法案》、以及国内 《企业内部控制基 本规范》、《企业内部控制审计指引》、中华人民共和国审计署（发下简称审计署） 1 的《信息系统审计指南——计算机审计实务公告第34 号》、中国内部审计协会（以 下简称内审协会）的 《内部审计基本准则》、《内部审计具体准则第2203 号—信 息系统审计》、中国注册会计师协会的《企业内部控制审计底稿编制指南》及相 关行业监管和风险控制等要求等，为标准的研制和编写奠定了坚实的实践基础。 3、标准起草 2012 年到2015 年期间，IT 审计标准编写小组共召开8 次封闭会议，聚焦标 准范围、模型框架和内容，充分吸收国内外标准、最佳实践和行业应用规范的精 髓，广泛征集各个参与编制单位和专家的意见。标准起草过程中，充分吸收了审 计署、内审协会、中注协等审计组织管理及IT 审计的理念，融合企业内控基本 规范和行业监管等要求，结合中国信息技术审计方面的最佳实践，创新性的提出 了具有中国特色的信息技术审计框架，进一步明确了信息技术审计组织管理及业 务开展的指导性要求。 4、意见征求及修订 2015 年9 月22 日是《信息技术服务 治理 第4 部分：审计导则》第一次征 求意见会，专家来自上海市国资委、上海市经信委、太平洋保险集团、工商银行等9 家单位，共收集反馈意见17 条，采纳意见17 条，形成了《信息技术服务 治理 第 4 部分：审计导则》征求意见稿修订稿。 2015 年10.10 是《信息技术服务 治理 第4 部分：审计导则》的内审会， 专家来自中国电子化标准研究院，共收集意见7 条，《信息技术服务治理 第4 部分：审计导则》内审会修订稿。 5、标准推广及验证 从2011 年12 月到2015 年8 月，IT 审计标准研究小组在标准编制过程中， 积极召开相关的研讨会议，通过IT 审计实践、会议宣贯、企业试点等方式，开 展标准的推广及验证工作。 （1）基于审计教材的编写，积极推广IT 审计标准的方法和理念 2014 年2 月-2014 年11 月，