内部审计具体准则第28 号信息系统审计.docx

1、内部审计具体准则第28 号信息系统审计关于第28号、29号内部审计具体准则和第3号内部审计实务指南发布的通知各会员单位:第28号、29号内部审计具体准则和第3号内部审计实务指南已经审议通过,现予以发布，自2009年1月1日起施行。各省、自治区、直辖市和计划单列市内部审计(师）协会,中国内部审计协会各分会，各会员单位应认真组织学习,加强宣传，以确保内部审计准则与指南的全面贯彻实施.附件：1。 内部审计具体准则第28号信息系统审计2. 内部审计具体准则第29号内部审计人员后续教育3。 内部审计实务指南第3号审计报告内部审计具体准则第28 号信息系统审计第一章 总 则第一条 为了规范组织内部审计机构

2、及人员开展信息系统审计活动，保证审计质量,根据内部审计基本准则制定本准则。第二条 本准则所称信息系统审计,是指由组织内部审计机构及人员对信息系统及其相关的信息技术内部控制和流程开展的一系列综合检查、评价与报告活动.第三条 本准则适用于各类组织的内部审计机构、内部审计人员及其从事的信息系统审计活动。第二章 一般原则第四条 信息系统审计的目的是通过实施信息系统审计工作,对组织是否达成信息技术管理目标进行综合评价，并基于评价意见提出管理建议，协助组织信息技术管理人员有效地履行其受托责任以达成组织的信息技术管理目标。组织的信息技术管理目的是保证组织的信息技术战略充分反映该组织的业务战略目标,提高组织所

3、依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性，提高信息系统运行的效果与效率，合理保证信息系统的运行符合法律法规及监管的相关要求。第五条 组织中信息技术管理人员的责任是信息系统的开发、运行和维护以及信息技术相关的内部控制的设计、执行和监控;信息系统审计人员的责任是实施信息系统审计工作并出具审计报告。第六条 从事信息系统审计人员的专业胜任能力是指在信息系统审计领域,胜任管理层与其他利益方的委托、履行其信息系统审计职能所应拥有的相关知识、技能和素质。信息系统审计人员应当熟悉内部审计业务并具备必要的信息技术及信息系统审计的专业知识。此外，审计项目负责人员应具有三年以上信息系统审计相

4、关工作经验，或六年以上相关业务的从业经验。由于组织特殊性而产生的例外情况，应当获得组织管理层的特别授权。组织应当建立信息系统审计人员培训制度，鼓励审计人员取得注册信息系统审计师等执业资格,以保证审计人员的专业胜任能力.必要时，信息系统审计可利用外部专家的服务。第七条 信息系统审计可作为独立的审计项目组织实施、或作为综合性内部审计项目的组成部分实施. 第八条 信息系统审计划分为以下阶段：审计计划阶段、审计实施阶段、审计报告与后续工作阶段。 第九条 审计人员应采用以风险为导向的审计方法进行信息系统审计，风险评估应贯穿审计的计划、实施、报告与后续工作各个阶段.第三章 审计计划第十条 内部审计人员在执

5、行信息系统审计之前，需要确定审计目标并初步评估审计风险，估算完成信息系统审计或专项审计所需的资源,确定重点审计领域及审计活动的优先次序，明确审计组成员的职责，并以此制定信息系统审计计划。第十一条 制定信息系统审计计划时,应遵循其他相关内部审计具体准则规定的因素，同时针对信息系统审计的特殊性，审计人员还应充分考虑以下因素：(一）高度依赖信息技术、信息系统的关键业务流程及相关的组织战略目标；(二）信息技术管理的组织架构;（三)信息系统框架和信息系统的长期发展规划及近期发展计划；（四）信息系统及其支持的业务流程的变更情况;（五）信息系统的复杂程度；(六）以前年度信息系统内、外部审计等相关的审计发现及

6、后续审计情况。第十二条 信息系统审计作为综合性内部审计项目的一部分时，审计人员在审计计划阶段还应综合考虑相关内部审计的审计目标及要求。第四章 信息技术风险评估第十三条 进行信息系统审计时，审计人员应当识别组织所面临的与信息技术相关的内、外部风险，并采用适当的风险评估技术与方法，分析及评价其发生的可能性及影响程度，为确定审计目标、范围和方法提供依据。第十四条 信息技术风险是指组织在信息处理和信息技术运用过程中产生的、可能影响组织目标实现的各种不确定因素.信息技术风险包括组织层面的信息技术风险、一般性控制层面的信息技术风险及业务流程层面的信息技术风险等。第十五条 审计人员在识别、评估组织层面、一般

7、性控制层面的信息技术风险时需要关注以下几方面：（一）业务关注度，即组织的信息技术战略与组织整体发展战略规划的契合度以及信息技术（包括硬件及软件环境)对业务和用户需求的支持度;（二）信息资产的重要性；（三)对信息技术的依赖程度;（四）对信息技术部门人员的依赖程度;（五）对外部信息技术服务的依赖程度；（六）信息系统及其运行环境的安全性、可靠性；（七)信息技术变更；（八)法律规范环境；（九）其他。第十六条 业务流程层面的信息技术风险受行业背景、业务流程的复杂程度、上述组织层面及一般性控制层面的控制有效性等因素的影响而存在差异。一般而言，审计人员应了解业务流程并关注以下几方面信息技术风险：（一)数据输

8、入;（二）数据处理;（三）数据输出。第十七条 审计人员应充分考虑风险评估的结果，以合理确定信息系统审计的内容及范围，并对组织的信息技术内部控制的设计有效性和执行有效性进行测试. 第五章 信息系统审计的内容第十八条 信息系统审计通常包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审计.第十九条 信息技术内部控制的各个层面都包括人工控制、自动控制和人工、自动相结合的控制形式，审计人员应根据不同的控制形式采取恰当的审计程序。第二十条 组织层面信息技术控制是指管理层及治理层对信息技术治理职能及内部控制的重要性的态度、认识和措施，审计人员应考虑以下控制要素中与信息技术相关的内容

9、：（一）控制环境 审计人员应关注该组织的信息技术战略规划对业务战略规划的契合度、信息技术治理制度体系的建设、信息技术部门的组织结构和关系、信息技术治理相关职权与责任的分配、信息技术人力资源管理、对用户的信息技术教育和培训等方面；（二）风险评估审计人员应关注组织的风险评估的总体架构中信息技术风险管理的框架、流程和执行情况、信息资产的分类以及信息资产所有者的职责等方面；(三）信息与沟通审计人员应关注组织的信息系统架构及其对财务、业务流程的支持度、管理层及治理层的信息沟通模式、信息技术政策/信息安全制度的传达与沟通等方面；（四)监控审计人员应关注组织的监控管理报告系统、监控反馈、跟踪处理程序以及组织

10、对信息技术内部控制的自我评估机制等方面.第二十一条 信息技术一般性控制是指与网络、操作系统、数据库、应用系统及其相关人员有关的信息技术政策和措施,以确保信息系统持续稳定的运行,支持应用控制的有效性。对信息技术一般性控制的审计应考虑以下控制活动：（一）信息安全管理审计人员应关注组织的信息安全管理政策,物理访问及针对网络、操作系统、数据库、应用系统的身份认证和逻辑访问管理机制，系统设置的职责分离控制等；（二）系统变更管理审计人员应关注组织的应用系统及相关系统基础架构的变更、参数设置变更的授权与审批,变更测试，变更移植到生产环境的流程控制等;（三）系统开发和采购管理审计人员应关注组织的应用系统及相关

11、系统基础架构的开发和采购的授权审批,系统开发的方法论，开发环境、测试环境、生产环境严格分离情况，系统的测试、审核、移植到生产环境等环节；（四）系统运行管理审计人员应关注组织的信息技术资产管理、系统容量管理、系统物理环境控制,系统和数据备份及恢复管理，问题管理和系统的日常运行管理等。第二十二条 业务流程层面应用控制是指在业务流程层面为了合理保证应用系统准确、完整、及时完成业务数据的生成、记录、处理、报告等功能而设计、执行的信息技术控制。对业务流程层面应用控制的审计应考虑以下与数据输入、数据处理以及数据输出环节相关的控制活动： (一）授权与批准；（二）系统配置控制；（三）异常情况报告和差错报告；(

12、四)接口/转换控制；（五）一致性核对；（六）职责分离;（七）系统访问权限；（八）系统计算；(九）其他。第二十三条 信息系统审计除上述常规的审计内容外，审计人员还可以根据组织当前面临的特殊风险或需求，设计专项审计以满足审计战略，具体包括但不限于下列领域：(一）信息系统开发实施项目的专项审计;（二）信息系统安全专项审计；（三）信息技术投资专项审计；（四)业务连续性计划的专项审计；（五）外包条件下的专项审计;(六）法律法规、行业规范要求的内部控制的合规性的专项审计；（七）其他专项审计。第六章 信息系统审计的方法第二十四条 审计人员在进行审计与信息技术相关内部控制及流程中可以单独或综合应用下列的审计方

13、法来获取充分、适当的审计证据以评估信息技术内部控制的设计有效性和执行有效性：(一）询问相关的控制人员；(二)观察特定控制的运用；（三）审阅文件和报告；（四）根据信息系统的特性,进行穿行测试，追踪交易在信息系统中的处理过程； （五)验证系统控制和计算逻辑；（六）登录信息系统进行系统查询；（七）利用计算机辅助审计工具和技术;(八）保证独立性、客观性及职业技能的质量控制前提下，利用其他专业机构的审计结果或组织对信息技术内部控制的自我评估结果；（九）其他第二十五条 信息系统审计人员可以根据需要利用计算机辅助审计工具和技术进行数据的验证、关键系统控制/计算的逻辑的验证、审计样本选取等；审计人员在充分考虑

14、安全的前提下，可以利用可靠的信息安全侦测工具进行渗透性测试等。第二十六条 审计人员在对信息技术内部控制进行评估时，应获得充分、可靠及相关的审计证据以支持审计结论完成审计目标,并应充分考虑系统自动控制的控制效果的一致性及可靠性的特点，在选取审计样本时可根据情况适当减少样本量。在系统未发生变更的情况下，可考虑适当降低审计频率.第二十七条 审计人员在审计过程中进行风险评估，并在此基础上依据信息技术内部控制评估的结果重新评估审计风险，并根据剩余风险来进一步设计审计程序.第二十八条 审计工作底稿应以正式的书面或电子形式进行记录，其中应包含审计程序、审计发现和审计结论以及支持审计结论的审计工作细节及审计证

15、据.审计过程中获取的电子数据应建立严格的电子数据归档措施，并对敏感数据进行严格的保密管理.第七章 审计报告与后续工作第二十九条 在审计实施结束后，审计人员应以充分、可靠及相关的审计证据为依据形成审计结论与建议，出具审计报告，形成审计结果，追踪审计建议的落实并执行相应后续审计程序。第三十条 当信息系统审计作为综合性内部审计项目的一部分时,审计人员应及时与其它相关内部审计人员沟通信息系统内部审计的发现，并考虑依据审计结果调整其他相关审计的范围、时间及性质。第八章 附则第三十一条 本准则由中国内部审计协会负责解释。第三十二条 本准则自2009年1月1日起施行。内部审计具体准则第29 号内部审计人员后

16、续教育第一章 总则第一条 为了规范内部审计人员后续教育,保持和提高内部审计人员的专业胜任能力，根据内部审计基本准则、内部审计人员职业道德规范制定本准则。第二条 本准则所称的后续教育，是指内部审计人员为保持和提高其专业胜任能力，掌握和运用相关新知识、新技能和新法规所进行的学习与研究。本准则所称的内部审计人员，是指取得内部审计人员岗位资格证书或国际注册内部审计师（CIA）资格证书的人员。第三条 本准则积极引导其他从事内部审计活动的人员参加后续教育，以增强其专业知识和业务能力.第四条 本准则适用于各级各类的内部审计(师)协会，各类组织的内部审计机构、内部审计人员进行的后续教育.第二章 一般原则第五条

17、 内部审计人员应当根据职业发展需要，确定合理的后续教育内容，选择适当的后续教育形式。第六条 中国内部审计协会、省级内部审计(师)协会应当明确划分其在后续教育中的职责与权限,合理组织并有效实施后续教育。市、县级内部审计(师）协会，经中国内部审计协会或省级内部审计（师）协会授权，也可组织实施管辖范围内的后续教育。内部审计机构应当为内部审计人员接受后续教育提供必要的保障。第七条 中国内部审计协会、省级内部审计（师）协会应当定期检查与考核后续教育情况,确保后续教育质量。第三章 内容与形式第八条 后续教育应当讲求实效、学以致用。主要内容包括： （一)国家颁布的有关法律法规;(二）内部审计准则及内部审计人

18、员职业道德规范；（三）内部审计理论与实务；(四）会计理论与方法;（五）信息技术理论与应用技术；（六)公司治理、内部控制和风险管理理论;（七）其他相关专业知识与技能。第九条 后续教育应当区分内部审计机构负责人、审计项目负责人和审计助理人员三个层次,突出重点、按需施教。具体内容包括：（一）内部审计机构负责人应当学习和研究组织领导本单位（部门）内部审计工作方面的知识和技能，包括：相关法律法规、内部审计准则和会计准则及其最新变化，内部审计在公司治理、内部控制、风险管理和企业流程再造过程中的作用及其最新发展，内部审计章程拟订，审计关系处理与协调，审计管理案例，组织文化与政策，以及开展咨询服务业务的有关理

19、论和实务等；（二）审计项目负责人应当学习和研究独立完成一个审计项目方面的知识和技能，包括：内部审计准则和会计准则，财务管理理论与方法，经济管理理论,项目审计计划与审计方案制定，审计评价标准解读和选择，审计报告撰写与提出，审计案例分析，审计助理人员监督和指导，人际关系沟通等；(三）审计助理人员应当学习和研究参与完成一个审计项目方面的知识和技能，包括:内部审计准则和会计准则，审计基本理论与技术方法,计算机基础知识，逻辑推理，相关人际关系沟通等.第十条 内部审计人员接受培训是后续教育的主要方式。一般应当采取以下形式：（一）参加国际内部审计师协会和亚洲内部审计联合会组织的专业会议及培训活动；（二）参加

20、中国内部审计协会和省级内部审计（师）协会举办的各种培训及考察活动；（三）参加中国内部审计协会和省级内部审计（师）协会召开的专业会议及经验交流;（四）参加中国内部审计协会和省级内部审计(师)协会认可的有关大专院校的专业课程进修；(五）参加经中国内部审计协会或省级内部审计(师)协会授权的市、县级内部审计（师）协会组织的专业培训及经验交流.第十一条 内部审计人员自学是后续教育的重要补充方式.一般应当包括以下形式:（一）参加中国内部审计协会和省级内部审计(师)协会开办的网络教育；（二）参加由本单位（部门）内部审计机构开展的业务技术培训；（三）主持或参与完成省级以上内部审计（师)协会发布的课题研究，并取

21、得研究成果;（四)公开出版专业著作或发表专业论文；（五)个人专业学习和实务研究；（六）其他形式.第四章 组织与实施第十二条 内部审计人员后续教育由中国内部审计协会和省级内部审计（师)协会负责组织、实施.行业审计协会实施的有关培训活动实行年度认证制，认证工作由中国内部审计协会实施。第十三条 中国内部审计协会负责组织、实施全国内部审计人员的后续教育。主要职责是：（一）制定全国后续教育规划；（二）制定全国后续教育制度、规定、办法；（三）制定全国后续教育年度培训计划，提出教学大纲；(四）组织全国后续教育教材的开发、评估、推荐；（五）组织全国后续教育活动；（六)组织全国后续教育检查、考核；（七）指导、督

22、促省级内部审计（师）协会的后续教育工作。第十四条 省级内部审计（师）协会负责组织、实施管辖范围内的内部审计人员后续教育。主要职责是:（一）制定管辖范围内后续教育规划;（二)制定管辖范围内后续教育制度、规定、办法;（三）制定管辖范围内后续教育年度培训计划,设置教学内容；（四）组织管辖范围内后续教育教材的评估、遴选；（五）组织管辖范围内后续教育活动;(六）组织管辖范围内后续教育检查、考核；（七）指导、督促市、县级内部审计（师)协会的后续教育工作。第十五条 市、县级内部审计(师）协会同时符合下列条件的，经中国内部审计协会或省级内部审计(师）协会授权，也可组织实施管辖范围内的后续教育：(一）具有承担后

23、续教育工作的教学场所和设施；（二）拥有与承担后续教育工作相适应的师资队伍和管理力量；（三）能够完成所承担的后续教育任务,保证后续教育质量。被授权的市、县级内部审计（师）协会在组织后续教育前,应当将实施方案报送相应授权协会备案.实施方案内容包括：教学目的、教学内容、教学方式、教材遴选、教师情况、考核形式、质量控制办法等。第十六条 内部审计机构应当支持、督促本单位（部门）内部审计人员参加后续教育，保证学习时间和学习费用，提供必要的学习条件.内部审计机构开展的本单位（部门）业务技术培训，如需申请确认为内部审计人员后续教育学时的，应当提请中国内部审计协会或省级内部审计（师）协会进行评估.评估内容包括：

24、培训条件、培训计划、培训内容、师资来源、教学水平、管理水平、学员满意度和质量监控措施等。第五章 检查与考核第十七条 中国内部审计协会负责检查、考核全国内部审计人员的后续教育情况；省级内部审计(师）协会负责检查、考核管辖范围内的内部审计人员后续教育情况；内部审计机构负责检查，并如实填报本单位（部门）的内部审计人员后续教育情况.第十八条 检查与考核的标准，按内部审计人员接受学习的时间计算，每两年为一个周期，时间不得少于80学时,其中每年接受后续教育的时间不得少于30小时。后续教育的学时计算标准是：（一）属本准则第十条第（二）项、第（三)项、第（四）项的，第十一条第(一）项的,按设定的学时计算已完成

25、后续教育学时;（二）属本准则第十条第（五)项的，由市、县级内部审计(师）协会与中国内部审计协会或省级内部审计(师）协会协商后，确定已完成后续教育学时；（三)属本准则第十条第(一)项的，其设定的学时报中国内部审计协会认定；（四）属本准则第十一条第(二）项的，由内部审计机构提出申请，经中国内部审计协会或省级内部审计（师)协会评估后，确认已完成后续教育学时；（五）属本准则第十一条第（三)项、第（四）项的，按每千字2学时计算已完成后续教育学时，全年累计不得超过40学时；（六）荣获省级以上学术成果奖励的,当年按20学时计算已完成后续教育学时，全年累计不得超过40学时；（七）取得相关中级以上专业技术职称和

26、国家级执业资格的，当年按2 0学时计算已完成后续教育学时，全年累计不得超过40学时。第十九条 有下列情形之一的,内部审计人员后续教育时间可以顺延，在下一年度一并完成规定的后续教育时间:(一）年度内在境外工作超过六个月的；（二）年度内病假超过六个月的;（三）休产假的；（四）其他情况。有上述情形的内部审计人员须由个人提出申请，所在单位（部门）人事部门证明,报经中国内部审计协会或省级内部审计(师）协会审核后确认.第二十条 内部审计人员接受检查、考核时，应当提交记录其后续教育情况的内部审计人员岗位资格证书、国际注册内部审计师资格证书；其他从事内部审计活动的人员应当提交记录其后续教育情况的内部审计人员后

27、续教育证书。后续教育情况由中国内部审计协会或省级内部审计（师）协会负责记录，包括:培训内容、培训时间、培训地点，以及教师的姓名、职称(职务）和累计培训学时等。第二十一条 除本准则第十九条列示的情形外,内部审计人员未能提供其后续教育有效记录或无故未达到后续教育要求的，考核时不予通过；考核未予通过的内部审计人员，其所在单位(部门）内部审计机构应当督促其接受后续教育. （一）年度内未接受后续教育或未按有关规定完成后续教育学时的内部审计人员，由省级内部审计（师）协会予以警告；（二）连续二年未接受后续教育或连续二年未按有关规定完成后续教育学时的内部审计人员，省级内部审计（师)协会不予办理内部审计人员岗位

28、资格证书、国际注册内部审计师(CIA）资格证书年检；（三）连续三年未接受后续教育或连续三年未按有关规定完成后续教育学时的内部审计人员,由省级内部审计（师)协会作出或建议作出吊消其内部审计人员岗位资格证书、国际注册内部审计师（CIA）资格证书。第二十二条 被授权的市、县级内部审计（师）协会，丧失组织后续教育条件的，由相应授权协会收回其组织实施后续教育的权力。第二十三条 内部审计机构无故未按规定提供后续教育机会和条件、未按规定如实填报本单位（部门）内部审计人员后续教育情况的，内部审计(师）协会不予受理其申请内部审计先进集体评比，严重的可以取消其会员资格。第六章 附则第二十四条 本准则由中国内部审计

29、协会发布并负责解释。第二十五条 本准则自2009年1月1日起施行.内部审计实务指南第3号-审计报告第一章 总则第一条 为了指导内部审计人员编制和出具审计报告,规范内部审计报告及相关活动，根据内部审计基本准则和内部审计具体准则第7号审计报告制定本指南.第二条 本指南所称审计报告是指内部审计人员根据审计计划对被审计单位实施必要的审计程序后，就被审计单位经营活动和内部控制的适当性、合法性和有效性出具的书面文件。第三条 本指南适用于各类企业的内部审计机构、内部审计人员及其从事的内部审计活动。政府及非盈利组织的内部审计活动，可结合行政管理程度的要求,参照执行。第四条 内部审计报告应当体现内部审计项目目标

30、的要求，并有助于组织增加价值.内部审计项目目标的要求主要包括但不限于对以下方面的评价：(一)经营活动合法性；（二）经营活动的经济性、效果性和效率性;（三）组织内部控制的健全性和有效性;（四）组织负责人的经济责任履行状况；（五）组织财务状况与会计核算状况；(六）组织的风险管理状况.第五条 正式立项的审计项目应当在终结审计后编制审计报告；如果存在下述情况之一时，应当根据组织适当管理层的要求和内部审计工作的需要编制并报送中期审计报告：(一）审计周期过长；(二)被审计项目内容特别庞杂；（三）被审计期间比较长；（四）突发事件引起特殊要求;（五)组织适当管理层需要审计项目进展情况的信息;（六）其他需要提供

31、中期审计报告的情况。中期审计报告不能取代终结审计报告,但中期审计报告能够作为终结审计报告的编制依据。中期审计报告不具有终结审计报告的效力。第六条 编制审计报告应当遵循以下原则：（一）客观性。审计报告应以可靠的证据为依据，实事求是地反映审计事项,做出客观、公正的审计结论.(二）完整性。审计报告应当做到要素齐全,内容完整,不遗漏审计发现的重大事项。（三)清晰性。审计报告应当做到逻辑性强、突出重点，简明扼要地阐明事实和结论。避免使用不必要的过于专业性和技术性的复杂语言。文字应当通顺流畅，用词准确，避免使用“几个、少数、大量”等模糊字眼说明情况.(四)及时性.审计报告应当及时编制,以便组织适当管理层适时采取有效纠正措施.在保证审计报告质量的前提下，审计报告应当在完成现场审计后尽快编制，经过征求意见和补充修改后分别送达各有关方面。(五）实用性.审计报告所提供的信息，应当有利于解决经营管理中存在的重要问题，并有助于组织实现预定的目标。（六）建设性。审计报告不仅应当发现问题和评价过去，而且还应能解决问题和指导未来，应当针对被审计单位经营活动和内部控制的缺陷提出适当的改进建议。（七)重要性。在形成审计结论与建议时，应充分考虑审计项目相关的风险水平和重要性，对于被审计单位经营活动和内部控制中存在的严重差异和漏洞以及审计风险高的领域应当在审计报告中有重点的详细说明。同时