第一章  概述

第一节  信息系统审计总体要求

一、信息系统审计基本概念

信息系统审计是指内部审计机构和内部审计人员对组织信息系统建设的合法合规性、内部控制的有效性、信息系统的安全性、业务流程的合理有效性、信息系统运行的经济性所进行的检查与评价活动。

 信息系统审计包括审计计划、审计依据、审计方法、审计技术、审计人员配置、审计实施流程、审计报告以及审计质量控制等内容。内部审计机构应建立信息系统审计的相应组织管理体系，对信息系统审计的流程和质量进行管控，并依照规章制度开展信息系统审计。

 二、信息系统审计一般原则

 组织应建立信息系统审计组织管理体系，并根据有关制度、标准和要求开展信息系统审计活动。其一般原则包括：

 1.信息系统审计需结合所在组织的战略目标、业务目标、治理要求和管理授权开展审计。

2.信息系统审计应合理保证信息系统的运行符合法律法规以及相关监管要求。

3.信息系统审计应在充分了解组织信息系统治理、管理和应用的基础上做出客观评价。 

4.信息系统审计应结合组织的业务流程、信息系统及应用数据开展审计工作。 

5.信息系统审计应不断提升内部审计人员技能，严格履行审计程序，提高审计工作质量。

三、内部审计机构在组织信息系统审计中的职责和义务包括但不限于：

1.编制组织信息系统审计中长期规划。 

2.编制组织信息系统审计年度计划、预算及审计资源计划。 

3.制定组织的信息系统审计相关制度及流程等。 

4.按信息系统审计规章制度、有计划地开展相关业务。 

5.承担对信息系统控制设计和执行有效性评估的责任。 

6.做好与组织内、外相关机构和人员的沟通协调工作。

 四、内部审计机构在信息系统审计过程中的权力包括但不限于：

1.有权参加或者列席信息系统治理及管理的重要会议。 

2.有权进行现场实物勘查，或就与审计事项有关的问题对有关机构和个人进行调查、质询和取证。

3.若审计过程中审计范围受到限制影响审计目标和计划的实现，有权就范围受到的限制及其潜在影响与治理主体进行沟通。 

4.有权向治理主体提出提高信息系统绩效的改进意见和建议。 

5.有权对审计发现的违反信息系统法律、法规等规定或内部管理制度行为予以制止，并对相关机构和人员提出责任追究或者处罚建议。

第二节  信息系统审计目标与特点

一、信息系统审计的目标

 （一）信息系统审计总体目标

通过对信息系统的审计，揭示信息系统面临的风险、评价信息系统技术的适用性、创新性、信息系统投资的经济性、信息系统的安全性、运行的有效性等内容，合理保证信息系统安全、真实、有效、经济。

 （二）信息系统审计的具体目标

1.保证信息系统建设符合国家有关法律法规和组织内部制度。保证信息系统建设方案、规划内容充分体现组织的战略目标，对信息系统建设、应用与公司的经营目标的一致性作出评价。

2.信息系统审计应促进信息系统在购置、开发、使用、维护过程中，以及数据在生产、加工、修改、转移、删除等处理中都必须符合国家相关法律法规、准则、组织内部规定等，并应促进信息系统有效实现既定业务目标。

3.提高组织信息系统的可靠性、稳定性、安全性，数据处理的完整性和准确性。

 二、信息系统审计的特点

信息系统审计除了具备传统审计的权威性、客观性、公正性等特点之外，还具备一些独有的特点，如：信息系统审计可以突破物理区域限制，开展远程非现场审计；信息系统审计要求审计人员具备较高的信息化知识和技能；信息系统审计的内容更加广泛；信息系统工作难以量化，审计评价时需要定性与定量相结合等。

第三节  信息系统审计内容

一、信息系统审计内容概述

信息系统审计对象，包括操作系统、主机、网络、数据库、应用软件、数据、管理制度等。信息系统审计内容主要包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的检查和评价。

二、对组织层面信息技术控制的审计

组织层面信息技术控制审计的内容包括：

 （一）控制环境

内部审计人员应当关注组织的信息技术战略规划与业务布局的契合度、信息技术治理制度体系建设、信息技术部门的组织架构、信息技术治理的相关职权与责任分配、信息技术的人力资源管理、对用户的教育和培训等方面。

 （二）风险评估

内部审计人员应当关注组织在风险评估总体架构中关于信息技术风险管理流程，信息资产的分类及信息资产所有者的职责，以及对信息系统的风险识别方法、风险评价标准、风险应对措施。

 （三）控制活动

内部审计人员应当关注信息系统管理的方法和程序，主要包括职责分工控制、授权控制、审核批准控制、系统保护控制、应急处置控制、绩效考评控制等。

 （四）信息与沟通

内部审计人员应当关注组织决策层的信息沟通模式，信息系统对财务、业务流程的支持度，信息技术政策、信息安全制度传达与沟通等方面。

 （五）内部监督

内部审计人员应当关注组织的监控管理报告系统、监控反馈、跟踪处理程序以及对信息技术内部控制自我评估机制等方面。

 三、对信息系统一般性控制的审计

信息系统一般性控制是确保组织信息系统正常运行的制度和工作程序，目标是保护数据与应用程序的安全，并确保异常中断情况下计算机信息系统能持续运行。信息系统一般性控制包括硬件控制、软件控制、访问控制、职责分离等关键控制。审计人员应当采用适当的方法、合理的技术手段对信息系统建设的合规合法、信息系统的安全管理、访问控制、基础架构、数据保护以及灾难恢复等方面开展审计。信息系统一般性控制审计应当重点考虑下列控制活动：

 （一）系统开发和采购审计

内部审计人员应当关注组织的应用系统及相关系统基础架构的开发和采购的授权审批，系统开发所制定的系统目标以及预期功能是否合理，是否能够满足组织目标；系统开发的方法，开发环境、测试环境、生产环境的分离情况，系统的测试、审核、验收、移植到生产环境等环节的具体活动。

对应用系统的开发与实施过程所采用的方法和流程进行评价，以确保其满足组织目标。评估拟定的系统开发或采购方案，确保其符合组织战略目标;评估项目管理过程，(更多内容可关注公众号CIA内审师小站）确保组织在满足成本效益原则的基础上实现风险管理框架下的组织业务目标，确保项目按计划开展，并有相应文档充分支持;评估相关信息系统的控制机制，确保其符合组织的相关制度规定;评估系统的开发、采购和测试、维护，对系统实施定期检查，确保其持续满足组织目标。

 （二）系统运行审计

内部审计人员应当关注组织的信息技术资产管理、系统容量管理、系统物理环境控制、网络环境资源配置、系统和数据备份及恢复管理、问题管理和系统的日常运行管理等内容。一般控制措施包括但不限于保证数据安全、保护计算机应用程序正常运行、防止系统被非法侵入、保证在错误操作或意外中断情况下的持续运行等。

评估组织在信息系统运行日常操作以及信息系统基础设施管理的有效性及效率性，确保其支持组织的目标；评估信息系统服务相关实务，确保内部和外部服务提供商的服务等级是明确并可控的;评估运行管理，保证信息系统支持功能有效满足业务需求;评估数据管理，确保数据库的完整性和最优化;评估性能的发挥及监控工具与技术应用;评估问题和事件管理，确保所有事件、问题和错误被及时记录。

 （三）系统变更审计

内部审计人员应当关注组织的应用系统及相关系统基础架构的变更、参数设置变更的授权与审批，变更测试及移植到生产环境系统中的流程控制等。评估变更、配置和发布管理，确保变更被详细记录。

 （四）信息安全审计

内部审计人员应当关注组织的信息安全管理制度，物理访问及针对网络、操作系统、数据库、应用系统的身份认证和逻辑访问管理机制，系统设置的职责分离控制等。

内部审计人员对逻辑、环境与信息技术基础设施的安全性进行评价，确保其能支持组织保护信息资产的需要，防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。评估逻辑访问控制的设计、实施和监控，确保信息资产的机密性、完整性、有效性和授权使用合规性;评估网络框架和信息传输的安全;评估环境控制的设计、实施和监控，确保信息资产充分安全。

 四、对信息系统应用控制的审计

信息系统应用控制是指在业务流程层面为了合理保证应用系统准确、完整、及时完成业务数据的生成、记录、处理、报告等功能而设计、执行的信息技术控制。对业务流程层面应用控制的审计应当考虑下列与数据输入、数据处理以及数据输出环节相关的控制活动：

（一）授权与批准

审计应用程序的访问控制，必须关注是否有被授权的使用人才可以访问系统数据或执行授权范围内的程序功能，输入控制是否保证每笔被处理的事务能够被正确完整地录入与编辑，是否只有合法且经授权的信息才能被正确输入。

（二）系统配置控制

审计配置控制主要关注应用系统基础参数的设置与调整。包括参数的正确性、审批与授权、调整日志等。

（三）异常情况报告和差错报告

审计信息系统在出现不能正常运行、计算结果错误等异常情况时，系统能否自动提醒、处理，接收、保存差错输出报告。

（四）接口/转换控制

审计应对接口的数据流向、数据传输能力、数据转换准确性等进行测试和检查，接口/转换能否保证数据流通的正确性以及数据传输能力是否满足系统功能需求。

（五）一致性核对

审计系统间传输时，需重点检查传输报告分发是否建立了相应的人工控制环节，包括但不限于安全打印、接收签名、加密、只读等，以防范非法篡改造成不一致。

（六）职责分离

审计系统数据的录入、修改与审核的职责分离，关注对数据进行加密和敏感性分级处理的规则以及加密方式是否满足工作需求。

 （七）系统计算

审计信息系统对数据计算的准确性及计算效率。

 （八）其他

五、信息系统专项审计

信息系统审计除上述常规的审计内容外，内部审计人员还可以根据组织面临的特殊风险或者需求，设计专项审计，具体包括但不限于下列领域：

（一）信息系统开发实施项目的专项审计。

 （二）信息系统安全专项审计。

 （三）信息技术投资专项审计。

 （四）业务连续性的专项审计。

 （五）法律、法规、行业规范要求的内部控制合规性专项审计。

 （六）其他专项审计。

第四节  信息系统审计程序

信息系统审计程序一般包括审计准备、审计实施、审计报告和后续审计四个阶段。

一、审计准备

（一）审前准备

内部审计人员在实施信息系统审计前，需要根据信息系统审计目标，开展审前调查，收集法规、制度依据以及其他有关资料。审前调查主要了解组织信息系统的治理管理体制、总体架构、规划和建设、应用管理情况等。具体如下：

1.治理、管理体制。主要了解信息系统管理机构设置、管理职责、工作流程等。

2.系统总体架构

（1）系统分布。包括系统数量、规模和分布，绘制信息系统分布图。

（2）信息系统主要类型。

（3）各信息系统的基本情况和系统之间的关联关系。

（4）信息系统应用覆盖面及应用程度。

3.规划和建设情况

（1）规划：信息系统发展规划以及规划、年度计划落实情况。

（2）建设：信息系统建设程序、投入、管理，了解已完成系统和在建系统。

（3）使用：信息系统应用管理制度、使用率、应用中存在的主要问题、困难和矛盾。

（二）编制审计工作方案

根据审前准备情况，编制信息系统审计工作方案，方案内容包括但不限于被审计组织信息系统的基本情况。包括信息系统项目建设及应用情况、审计目的、审计依据、审计对象与范围、审计内容重点及方法、审计步骤与时间安排、审计组与人员分工等。在审计组组成环节，审计部门可以借助外部专家的力量，在审计组中应当有具备信息技术经验和知识的专兼职审计专家，便于补充提高审计组的胜任能力。

二、审计实施

审计实施是内部审计人员依据审计计划实施现场审计的过程。内部审计人员应结合审前准备了解的内容，按照被审计组织的信息化环境、业务流程、内控制度等方面的风险，明确具体项目审计目标、细化审计内容，突出审计重点。实施阶段主要应完成以下工作:

（一）了解评估被审计组织的信息系统内部控制

1.收集被审计组织信息系统的内部控制管理制度及流程，对被审计组织相关人员进行访谈，了解组织的信息系统决策及管理政策、方法、控制活动主要内容包括但不限于：

（1）信息系统内部控制环境。

（2）风险管理。

（3）控制活动。

（4）信息与沟通。

（5）内部监督。

2.开展控制测试

内部审计人员开展控制测试评价信息系统的内部控制要素，以确定组织能接受的控制风险。验证控制措施的执行是否符合管理政策和程序，为审计提供合理的保证。信息系统控制测试主要包括控制环境测试和功能测试：

（1）组织管理的控制测试。

（2）系统建设管理的控制测试。

（3）系统资源管理的控制测试。

（4）系统环境管理的控制测试。

（5）系统运行管理的控制测试。

（6）系统网络和通信管理的控制测试。

（7）系统数据库管理的控制测试。

（8）系统输入、处理、输出的控制测试。

（9）其他。

3.初步评估信息系统内部控制

根据对组织信息系统的控制测试情况，选择组织信息系统的重点业务流程，对固有风险和控制风险进行初步评估，对信息系统控制有效性作出评价。

（二）开展实质性测试

内部审计人员应根据控制测试结果确定实质性测试的性质、时间和范围。组织层面评价内容包括组织架构、权责分配、发展战略、人力资源、培训与考核等。

对组织信息系统开展风险评估时，结合相关规范中有关风险评估的要求，重点关注内部和外部风险信息的搜集、利用风险识别机制按照风险评估的程序、方法，评估风险等级并检查应对策略的有效性。

对信息与沟通审计时，应结合组织信息与沟通的相关管理制度，对信息收集、处理和传递的及时性，反舞弊机制的健全性，财务报告的真实性，信息系统的安全性，以及利用信息系统实施内部控制的有效性等进行审查和评价。

对内部监督审计时应结合组织内部监督制度，对内部监督机制的有效性进行认定和评价。(更多内容可关注公众号CIA内审师小站）重点关注内部审计机构等监督机构是否在内部控制设计和运行中有效发挥监督作用，内部控制缺陷认定是否客观，整改方案措施是否得当，并有效整改。

内部控制检查评价方法主要包括：个别访谈法、调查问卷法、比较分析法、标杆法、穿行测试法、抽样法、实地查验法、重新执行法、专题讨论会法等。内部控制检查评价应综合运用上述方法，充分利用信息系统，实施在线检查、监控。

三、审计报告

信息系统审计报告阶段包括整理加工审计工作底稿、编写审计报告、做出审计结论。内部审计人员应运用专业判断,综合分析所收集到的相关证据,以经过核实的审计证据为依据，形成审计意见和结论、编制审计底稿、出具审计报告。

四、后续审计

后续审计主要通过监督组织整改的情况，督促被审计组织改进信息系统治理，完善相关的规章制度、流程等,以持续提高信息系统治理、管理水平。对审计中发现的重大问题和控制缺陷，整改效果不明显的信息系统项目开展后续审计。

第五节  信息系统审计方法和工具

一、信息系统主要审计方法

信息系统审计方法是为了完成信息系统审计任务所采取的手段。在信息系统审计工作中，要完成每一项审计工作，都应选择合适的审计方法。信息系统审计方法主要包括访谈法、调查法、检查法、观察法、测试和平行模拟法、程序代码检查、编码比较法、风险评估法等。

 （一）访谈法

访谈法是指通过面对面或在线视频、音频等方式交谈来了解被审计对象的信息。依据不同问题的性质、目的或对象，采用不同的访谈形式。

（二）调查法

调查法是在制定调研计划的基础上,通过书面或口头回答问题的方式收集研究对象的相关资料,并做出分析综合,得到某一结论的研究方法。

 （三）检查法

检查法是指内部审计人员对组织内部或外部生成的记录和文件(包括但不限于纸质、电子或其他介质形式存在的资料)进行检查，或对资产进行实物检查。

信息系统审计人员审阅可行性研究报告、系统分析说明书、现状分析报告、输入输出和代码调查表等文档，检查上述文档以及相应的信息系统建设、应用、管理、运行是否符合国家法律法规、行业标准以及组织内部规章制度等。

 （四）观察法

内部审计人员运用观察法，观察被审计组织员工的职责履行情况以及业务操作程序等以识别员工的逻辑访问权限是否合规，软硬件物理控制是否有效，盘点信息资产是否安全。

 （五）数据测试的黑、白盒法与平行模拟法

数据测试法：从计算机输入开始，跟踪某项业务直至计算机输出，以检验计算机应用程序、控制程序和系统可靠性。

黑盒法：当内部审计人员重点关注程序是否达到所需求的功能时，可采用黑盒法来设计测试数据。黑盒法设计出的测试数据除了可以检查程序功能上的错误和缺陷外，还可以审计系统用户界面、接口、效率、初始化和终止错误。

白盒法：当内部审计人员主要关注在程序中是否存在错误的执行路线时可以采用白盒法。白盒法是从程序内部的逻辑结构出发选取测试数据的方法，它的原理是通过审计程序中的所有执行路线来发现程序中的错误和缺陷。

平行模拟法：针对某应用程序，审计人员用一个独立的程序去模拟该程序的部分功能，对输入数据同时进行并行处理，其结果和该应用程序处理的结果进行比较以验证其功能正确性的方法。

具体应用是先将测试数据输入信息系统和测试程序，经程序处理后输出结果，然后将输出结果与测试程序的结果相比较，从而确定系统的控制及应用程序在逻辑上是否正确。

内部审计人员在设计测试数据时，应充分考虑信息系统中可能发生的每一种错误包括但不限于:

 1.数据类型错误。

 2.顺序紊乱的编码。

 3.数据超越了限制的条件。

 4.数据比较出错。

 5.无效的账户编码及关键字。

 6.不合理的逻辑条件判断。

7.内部数据文件不匹配。

 8.计量单位用错。

 （六）程序代码检查法、编码比较法

程序代码检查法是指对被审计程序的指令逐条审计,以验证程序的合法性、完整性和程序逻辑的正确性。

程序编码比较法：比较两个及以上独立保管的被审计程序版本，以确定被审计程序是否经过修改，并评估程序的改动所带来的后果。

 （七）风险评估法

风险评估常用技术。分级技术：根据审计对象的技术复杂性、现有控制程序的水平、可能造成的财务损失等各种因素的风险值累计为总风险值，根据分值大小进行排列分为高、中、低级风险。经验判断法：内部审计人员根据专业经验、业务知识、管理层的指导、业务目标、环境因素等进行判断，以决定风险大小。

 二、信息系统审计的工具

 （一）数据分析工具

数据分析工具主要有文件查找工具、数据检索工具、数据结构转换工具、指针检测工具、数据处理工具(包括但不限于排序、合并、复制、创建、修改、删除、重组)、文件打印工具、数据比较工具等。（二）数据库审计工具

数据库审计工具是指跟踪数据和数据库结构变化的工具。包括本地数据库审计、安全信息和事件管理及日志管理、数据库活动监控等。

 （三）源代码安全审计工具

源代码安全审计是依据公共漏洞字典表、开放式 Web 应用程序安全项目以及设备、软件厂商公布的漏洞库，结合专业源代码扫描工具对各种程序语言编写的源代码进行安全审计。可提供包括安全编码规范咨询、源代码安全现状测评、定位源代码中存在的安全漏洞、分析漏洞风险、提出修改建议等一系列服务。

 （四）日志安全审计工具

日志安全审计目的是收集系统日志，通过从各种网络设备、服务器、用户计算机、数据库、应用系统和网络安全设备中收集日志，进行统一管理和分析。日志审计系统功能包括信息采集、信息分析、信息存储、信息展示等功能。

 （五）网络安全审计工具

网络安全审计是指按照一定的安全策略，利用记录、系统活动和用户活动等信息，检查和检验操作事件的环境及活动，从而发现系统漏洞、入侵行为或改善系统性能的过程。也是检查评估系统安全风险并采取相应措施的一个过程。网络安全审计从审计级别上可分为三种类型:系统级审计、应用级审计和用户级审计。

 （六）专用审计工具箱

包括病毒查杀软件、坏磁盘恢复软件、数据反删除软件、磁盘反格式化软件、静态安全分析软件、动态安全分析软件、访问控制分析软件、漏洞扫描及渗透测试等专用工具软件。

第六节  信息系统审计组织方式

信息系统审计可以作为独立的审计项目组织实施，也可以作为综合性审计项目的组成部分实施。

当信息系统审计作为综合性审计项目的一部分时，信息系统审计人员应当及时与其他内部审计人员沟通信息系统审计中的发现，并考虑依据审计结果调整其他审计的范围、时间及性质。

信息系统审计组织方式包括但不限于：

1.组织内部审计机构独立承担。 

2.与本组织信息系统相关部门联合开展。 

3.委托外部专门机构开展，但应做好委托项目的质量控制和保密措施。

审计目标及任务确定以后,审计部门应根据工作量大小、工作的强度与难度等，配备审计活动所需要的审计人员,组成信息系统审计项目组。应选派技术能力、信息系统审计经验丰富的专业人员担任项目负责人及骨干人员。