设为首页加入收藏
澳门金沙娱乐官网
www.5009.com
文章
澳门金沙娱乐官网
您如今的位置: 四川省古叙煤田开辟股份有限公司 > 企业管理 > 文件材料 > 政策法规 > 注释
www.5009.com
www.5009.com
www.5009.com

作者:佚名    文章滥觞:本站原创    点击数:133    更新工夫:2017-7-10文章录入:gxmtdqsjb    责任编辑:胡登杰  


2203号内部审计详细原则——信息系统审计  

第一章      

第一条  为了标准信息系统审计工作,进步审计质量和服从,按照《内部审计基本准则》,订定本原则。  

第二条  本原则所称信息系统审计,是指内部审计机构和内部审计职员对构造的信息系统及其相干的信息技术内部掌握和流程所停止的检查与评价举动。  

第三条  本原则适用于各种构造的内部审计机构、内部审计职员及其处置的信息系统审计举动。其他构造大概职员承受拜托、聘任,承办大概到场内部审计业务,也该当服从本原则。  

第二章  普通原则  

第四条  信息系统审计的目标是经由过程施行信息系统审计工作,对构造能否实现信息技术管理目的停止检查和评价,并基于评价定见提出管理倡议,辅佐构造信息技术管理人员有效地履行职责。  

构造的信息技术管理目的次要包罗:  

(一)包管构造的信息技术计谋充实反应构造的战略目标;  

(二)进步构造所依靠的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性;  

(三)进步信息系统运转的结果与服从,公道包管信息系统的运转契合法律法规以及相干羁系要求。  

第五条  构造中信息技术管理人员的义务是停止信息系统的开辟、运转和保护,以及与信息技术相干的内部掌握的设想、施行和监控;信息系统审计职员的义务是施行信息系统审计工作并出具审计报告。  

第六条  处置信息系统审计的内部审计职员该当具有须要的信息技术及信息系统审计专业知识、妙技和经历。须要时,施行信息系统审计能够操纵内部专家效劳。  

第七条  信息系统审计能够作为自力的审计项目构造施行,也能够作为综合性内部审计项目的组成部分施行。   

当信息系统审计作为综合性内部审计项目的一部分时,信息系统审计职员该当实时与其他相干内部审计职员相同信息系统审计中的发明,并思索根据审计成果调解其他相干审计的范畴、工夫及性子。  

第八条  内部审计职员该当采用以风险为根底的审计办法停止信息系统审计,风险评价该当贯串于信息系统审计的全过程。  

第三章  信息系统审计方案  

第九条  内部审计职员在施行信息系统审计前,需求肯定审计目的并开端评价审计风险,预算完成信息系统审计大概专项审计所需的资本,肯定重点审计范畴及审计举动的优先序次,明白审计构成员的职责,体例信息系统审计计划。  

第十条  体例信息系统审计计划时,除遵照相干内部审计详细原则的划定,还该当思索以下身分:  

(一)高度依靠信息技术、信息系统的枢纽业务流程及相干的构造战略目标;  

(二)信息技术管理的构造架构;  

(三)信息系统框架和信息系统的持久发展规划及近期发展计划;  

(四)信息系统及其撑持的业务流程的变动状况;  

(五)信息系统的庞大水平;  

(六)以前年度信息系统内、内部审计所发明的成绩及后续  审计状况;  

(七)其他影响信息系统审计的身分。  

第十一条  当信息系统审计作为综合性内部审计项目的一部分时,内部审计职员在审计方案阶段还该当思索项目审计目的及要求。  

第四章  信息技术风险评价  

第十二条  内部审计职员停止信息系统审计时,该当辨认构造所面对的与信息技术相干的内、内部风险,并接纳恰当的风险评价手艺与办法,阐发和评价其发作的可能性及影响水平,为肯定审计目的、范畴和办法供给根据。  

第十三条  信息技术风险是指构造在信息处理和信息技术使用历程中发生的、能够影响构造目的实现的各类不确定身分。信息技术风险,包罗构造层面的信息技术风险、一般性掌握层面的信息技术风险及业务流程层面的信息技术风险等。  

第十四条  内部审计职员在辨认和评价构造层面、一般性掌握层面的信息技术风险时,需求存眷以下内容:  

(一)业务存眷度,即构造的信息技术计谋与构造团体开展  战略规划的符合度以及信息技术(包罗硬件及软件情况)对业务和用户需求的撑持度;  

(二)信息资产的重要性;  

(三)对信息技术的依靠水平;   

(四)对信息技术部分职员的依靠水平;  

(五)对内部信息技术效劳的依靠水平;   

(六)信息系统及其运转情况的安全性、可靠性;   

(七)信息技术变动;  

(八)法令标准情况;  

(九)其他。  

第十五条  业务流程层面的信息技术风险受行业布景、业务流程的庞大水平、上述构造层面及一般性掌握层面的掌握有效性等身分的影响而存在差别。一般而言,内部审计职员该当理解业务流程,并存眷以下信息技术风险:  

(一)数据输入;  

(二)数据处理;  

(三)数据输出。  

第十六条  内部审计职员该当充实思索风险评价的成果,以公道肯定信息系统审计的内容及范畴,并对构造的信息技术内部掌握设想合理性和运转有效性停止测试。   

第五章  信息系统审计的内容  

第十七条  信息系统审计次要是对构造层面信息技术掌握、信息技术一般性掌握及业务流程层面相干使用掌握的检查和评价。  

第十八条  信息技术内部掌握的各个层面均包罗野生掌握、自动控制和野生、主动相结合的掌握情势,内部审计职员该当按照差别的掌握情势采纳得当的审计法式。  

第十九条  构造层面信息技术掌握,是指董事会大概最高管理层对信息技术治理本能机能及内部掌握的重要性的立场、熟悉和步伐。内部审计职员该当思索以下掌握要素中与信息技术相干的内容:  

(一)掌握情况。内部审计职员该当存眷构造的信息技术战略规划对业务战略规划的符合度、信息技术治理轨制系统的建立、信息技术部分的构造构造和干系、信息技术治理相干权柄与义务的分派、信息技术人力资源管理、对用户的信息技术教诲和培训等方面。  

(二)风险评价。内部审计职员该当存眷构造的风险评价的整体架构中信息技术风险管理的框架、流程和执行情况,信息资产的分类以及信息资产所有者的职责等方面。  

(三)信息与相同。内部审计职员该当存眷构造的信息系统架构及其对财政、业务流程的撑持度、董事会大概最高管理层的信息相同模式、信息技术政策/信息宁静轨制的转达与相同等方面。  

(四)内部监视。内部审计职员该当存眷构造的监控管理陈述体系、监控反应、跟随处置法式以及构造对信息技术内部掌握的自我评价机制等方面。  

第二十条  信息技术一般性掌握是指与网络、操作系统、数据库、使用体系及其相干职员有关的信息技术政策和步伐,以确保信息系统连续不变的运转,撑持使用掌握的有效性。对信息技术一般性掌握的审计该当思索以下掌握举动:  

(一)信息安全管理。内部审计职员该当存眷构造的信息安全管理政策,物理会见及针对网络、操作系统、数据库、使用体系的身份认证和逻辑会见管理机制,体系设置的职责别离掌握等。  

(二)体系变动管理。内部审计职员该当存眷构造的使用体系及相干体系根底架构的变动、参数设置变动的受权与审批,变动测试,变动移植到消费情况的流程掌握等。  

(三)体系开辟和采购管理。内部审计职员该当存眷构造的使用体系及相干体系根底架构的开辟和采购的受权审批,体系开辟的方法论,开辟情况、测试情况、消费情况严厉别离状况,体系的测试、考核、移植到消费情况等环节。  

(四)体系运转管理。内部审计职员该当存眷构造的信息技术资产管理、体系容量管理、体系物理情况掌握、体系和数据备份及规复管理、成绩管理和体系的一样平常运转管理等。  

第二十一条  业务流程层面使用掌握是指在业务流程层面为了公道包管使用体系精确、完好、实时完成业务数据的天生、记载、处置、陈述等功用而设想、施行的信息技术掌握。对业务流程层面使用掌握的审计该当思索以下与数据输入、数据处理以及数据输出环节相干的掌握举动:   

(一)受权与核准;  

(二)系统配置掌握;  

(三)非常状况陈述和不对陈述;  

(四)接口/转换掌握;  

(五)一致性查对;  

(六)职责别离;  

(七)体系会见权限;  

(八)体系计较;  

(九)其他。  

第二十二条  信息系统审计除上述通例的审计内容外,内部审计职员还能够按照构造当前面对的特别风险大概需求,设想专项审计以满意审计计谋,详细包罗(但不限于)以下范畴:  

(一)信息系统开辟施行项目的专项审计;  

(二)信息系统安全专项审计;  

(三)信息技术投资专项审计;  

(四)业务连续性方案的专项审计;  

(五)外包条件下的专项审计;  

(六)法律、法例、行业标准要求的内部掌握合规性专项审计;  

(七)其他专项审计。  

第六章  信息系统审计的办法  

第二十三条  内部审计职员在停止信息系统审计时,能够零丁大概综合使用以下审计办法获得相干、牢靠和充实的审计证据,以评价信息系统内部掌握的设想合理性和运转有效性:  

(一)讯问相干掌握职员;  

(二)察看特定掌握的使用;  

(三)核阅文件和陈述及计算机文档大概日记;  

(四)按照信息系统的特性停止穿行测试,追踪买卖在信息  体系中的处置历程;   

(五)考证体系掌握和计较逻辑;  

(六)登录信息系统停止体系查询;  

(七)操纵计算机辅助审计东西和手艺;  

(八)操纵其他专业机构的审计成果大概构造对信息技术内 部掌握的自我评价成果;  

(九)其他。  

第二十四条  信息系统审计职员能够按照实践需求操纵计算机辅助审计东西和手艺停止数据的考证、枢纽体系掌握/计较的逻辑考证、审计样本拔取等;内部审计职员在充实思索宁静的条件下,能够操纵牢靠的信息宁静侦测东西停止渗透性测试等。  

第二十五条  内部审计职员在对信息系统内部掌握停止评价时,该当得到相干、牢靠和充实的审计证据以撑持审计结论完成审计目的,并该当充实思索体系自动控制的掌握结果的一致性及可靠性的特性,在拔取审计样本时能够按照状况恰当削减样本量。在体系未发作变动的状况下,能够思索恰当低落审计频次。  

第二十六条  内部审计职员在审计历程中该当在风险评价的基础上,根据信息系统内部掌握评价的成果从头评价审计风险,并按照盈余风险设想进一步的审计法式。  

第七章      

第二十七条  本原则由国外内部审计协会公布并卖力注释。  

第二十八条  本原则自201411日起实施。  

 

 
  • 上一篇文章:

  • 下一篇文章:
  •  

    澳门金沙娱乐官网

    四川省古叙煤田开辟股份有限公司 版权所有,未经答应,不得复制、转载
    地址:泸州市江阳区龙腾路10号 邮编:646000 德律风:0830-2523004 传真:0830-2523001 蜀ICP备09012549号
    川公网安备 51050402000032号 倡议利用1024*768以上分辨率阅读