第2203号内部审计具体准则——信息系统审计.pdf

word

第2203号内部审计具体准则——信息系统审计

2013-08-2808:34:46

第一章总则

第一条为了规范信息系统审计工作，提高审计质量和效率，根

据《内部审计基本准则》，制定本准则。

第二条本准则所称信息系统审计，是指内部审计机构和内部审

计人员对组织的信息系统及其相关的信息技术内部控制和流程所进

行的审查与评价活动。

第三条本准则适用于各类组织的内部审计机构、内部审计人员

及其从事的信息系统审计活动。其他组织或者人员接受委托、聘用，

承办或者参与内部审计业务，也应当遵守本准则。

第二章一般原则

第四条信息系统审计的目的是通过实施信息系统审计工作，对

组织是否实现信息技术管理目标进行审查和评价，并基于评价意见提

出管理建议，协助组织信息技术管理人员有效地履行职责。

组织的信息技术管理目标主要包括：

（一）保证组织的信息技术战略充分反映组织的战略目标；

（二）提高组织所依赖的信息系统的可靠性、稳定性、安全性及

数据处理的完整性和准确性；

（三）提高信息系统运行的效果与效率，合理保证信息系统的运

行符合法律法规以及相关监管要求。

1

word

第五条组织中信息技术管理人员的责任是进行信息系统的开

发、运行和维护，以及与信息技术相关的内部控制的设计、执行和监

控；信息系统审计人员的责任是实施信息系统审计工作并出具审计报

告。

第六条从事信息系统审计的内部审计人员应当具备必要的信息

技术及信息系统审计专业知识、技能和经验。必要时，实施信息系统

审计可以利用外部专家服务。

第七条信息系统审计可以作为独立的审计项目组织实施，也可

以作为综合性内部审计项目的组成部分实施。

当信息系统审计作为综合性内部审计项目的一部分时，信息系统

审计人员应当及时与其他相关内部审计人员沟通信息系统审计中的

发现，并考虑依据审计结果调整其他相关审计的范围、时间及性质。

第八条内部审计人员应当采用以风险为基础的审计方法进行信

息系统审计，风险评估应当贯穿于信息系统审计的全过程。

第三章信息系统审计计划

第九条内部审计人员在实施信息系统审计前，需要确定审计目

标并初步评估审计风险，估算完成信息系统审计或者专项审计所需的

资源，确定重点审计领域及审计活动的优先次序，明确审计组成员的

职责，编制信息系统审计方案。

第十条编制信息系统审计方案时，除遵循相关内部审计具体准

则的规定，还应当考虑下列因素：

2

word

（一）高度依赖信息技术、信息系统的关键业务流程及相关的组

织战略目标；

（二）信息技术管理的组织架构；

（三）信息系统框架和信息系统的长期发展规划及近期发展计划；

（四）信息系统及其支持的业务流程的变更情况；

（五）信息系统的复杂程度；

（六）以前年度信息系统内、外部审计所发现的问题及后续审

计情况；

（七）其他影响信息系统审计的因素。

第十一条当信息系统审计作为综合性内部审计项目的一部分

时，内部审计人员在审计计划阶段还应当考虑项目审计目标及要求。

第四章信息技术风险评估

第十二条内部审计人员进行信息系统审计时，应当识别组织所

面临的与信息技术相关的内、外部风险，并采用适当的风险评估技术

与方法，分析和评价其发生的可能性及影响程度，为确定审计目标、

范围和方法提供依据。

第十三条信息技术风险是指组织在信息处理和信息技术运用过

程中产生的、可能影响组织目标实现的各种不确定因素。信息技术风

险，包括组织层面的信息技术风险