國際內(nèi)審協(xié)會(huì)IIA實(shí)務(wù)公告2100-9：應(yīng)用系統(tǒng)檢查

《國際內(nèi)部審計(jì)專業(yè)實(shí)務(wù)標(biāo)準(zhǔn)》中第2100條標(biāo)準(zhǔn)的解釋
    相關(guān)標(biāo)準(zhǔn)：第2100條標(biāo)準(zhǔn)
    工作性質(zhì)
    內(nèi)部審計(jì)活動(dòng)應(yīng)當(dāng)通過應(yīng)用系統(tǒng)的、規(guī)范的方法，評價(jià)并改善風(fēng)險(xiǎn)管理、控制和治理過程。
    本實(shí)務(wù)公告源自國際信息系統(tǒng)審計(jì)和控制協(xié)會(huì)（ISACA）指引——應(yīng)用系統(tǒng)檢查，文件G14。該信息系統(tǒng)審計(jì)指引由ISACA于2001年11月發(fā)布。引用該文件經(jīng)過ISACA的許可和確認(rèn)。本實(shí)務(wù)公告與ISACA指引的任何差異，ISACA不保證其準(zhǔn)確性或支持這些改變。
    本實(shí)務(wù)公告性質(zhì)：內(nèi)部審計(jì)師實(shí)施應(yīng)用系統(tǒng)檢查時(shí)應(yīng)當(dāng)考慮以下建議。本實(shí)務(wù)公告無意囊括與應(yīng)用系統(tǒng)檢查相關(guān)的綜合性確認(rèn)或咨詢業(yè)務(wù)所需要的所有程序，僅推薦一系列高層次審計(jì)師責(zé)任，作為制定詳細(xì)審計(jì)計(jì)劃的補(bǔ)充。
    1 首席審計(jì)執(zhí)行官應(yīng)當(dāng)確定內(nèi)部審計(jì)活動(dòng)具備或者可以取得獨(dú)立[1]并且勝任的審計(jì)資源，開展應(yīng)用系統(tǒng)檢查并評估相關(guān)的風(fēng)險(xiǎn)暴露。
    審計(jì)計(jì)劃的考慮
    2 審計(jì)計(jì)劃的一部分內(nèi)容是充分了解組織的信息系統(tǒng)環(huán)境，便于內(nèi)部審計(jì)師確定系統(tǒng)的規(guī)模和復(fù)雜程度，以及組織對信息系統(tǒng)的依賴程度。內(nèi)部審計(jì)師應(yīng)當(dāng)了解組織的目的和業(yè)務(wù)目標(biāo)，運(yùn)用信息技術(shù)和信息系統(tǒng)的水平和方式，與組織的目的及其信息系統(tǒng)相關(guān)聯(lián)的風(fēng)險(xiǎn)和披露情況。此外，還需要了解組織結(jié)構(gòu)，包括主要信息系統(tǒng)人員和應(yīng)用系統(tǒng)業(yè)務(wù)處理負(fù)責(zé)人的職權(quán)和責(zé)任。審計(jì)計(jì)劃過程中還應(yīng)當(dāng)考慮業(yè)務(wù)領(lǐng)域的風(fēng)險(xiǎn)。
    審計(jì)計(jì)劃的主要目的是確定應(yīng)用水平的風(fēng)險(xiǎn)。相關(guān)水平的風(fēng)險(xiǎn)影響所需要的審計(jì)證據(jù)的水平。系統(tǒng)層面和數(shù)據(jù)層面的應(yīng)用水平風(fēng)險(xiǎn)包括以下內(nèi)容：
    l 與缺乏系統(tǒng)操作能力相關(guān)的系統(tǒng)可獲得性風(fēng)險(xiǎn)
    l 與未經(jīng)授權(quán)進(jìn)入系統(tǒng)或取得數(shù)據(jù)相關(guān)的系統(tǒng)安全性風(fēng)險(xiǎn)
    l 與處理數(shù)據(jù)不完整、不準(zhǔn)確、不及時(shí)和未經(jīng)授權(quán)相關(guān)的系統(tǒng)完整性風(fēng)險(xiǎn)
    [1] 獨(dú)立——指內(nèi)部審計(jì)師未介入應(yīng)用系統(tǒng)的開發(fā)、收購、運(yùn)行或維護(hù)等工作。
    l 在要求持續(xù)提供系統(tǒng)的可獲得性、安全性和完整性的情況下，與無法更新系統(tǒng)相關(guān)的系統(tǒng)維護(hù)風(fēng)險(xiǎn)
    l 與數(shù)據(jù)全面、完整、保密、準(zhǔn)確、及時(shí)相關(guān)的數(shù)據(jù)風(fēng)險(xiǎn)
    針對應(yīng)用水平風(fēng)險(xiǎn)的應(yīng)用控制可以采用系統(tǒng)內(nèi)置的計(jì)算機(jī)化控制，或者手工實(shí)施的控制，或者兩者結(jié)合的形式。例如計(jì)算機(jī)化文件核對（采購訂單、發(fā)票和收貨報(bào)告），核對和簽署機(jī)打票據(jù)，由高級(jí)管理人員對特殊報(bào)告進(jìn)行檢查。
    在選擇信賴程序控制的情況下，應(yīng)當(dāng)考慮相關(guān)的總體信息技術(shù)控制以及與審計(jì)目標(biāo)有關(guān)的控制?？傮w信息技術(shù)控制可以是一項(xiàng)單獨(dú)的檢查，主要包括：物理控制、系統(tǒng)層的安全、網(wǎng)絡(luò)管理、數(shù)據(jù)備份以及應(yīng)變計(jì)劃。根據(jù)檢查的控制目標(biāo)，內(nèi)部審計(jì)師可以不需要檢查總體控制，例如，對應(yīng)用系統(tǒng)進(jìn)行評估用于收購的情況。
    應(yīng)用系統(tǒng)檢查可以在一整套應(yīng)用系統(tǒng)用于收購目的進(jìn)行評估的時(shí)候開展，可以在系統(tǒng)投產(chǎn)之前（運(yùn)行前）和投產(chǎn)之后（運(yùn)行后）進(jìn)行。運(yùn)行前應(yīng)用系統(tǒng)檢查的涵蓋范圍包括應(yīng)用水平的安全構(gòu)造，執(zhí)行安全措施的計(jì)劃，系統(tǒng)和用戶記錄的充分性，實(shí)際或計(jì)劃的用戶接受測試的充分性。運(yùn)行后應(yīng)用系統(tǒng)檢查的涵蓋范圍包括運(yùn)行后的應(yīng)用水平安全，如果存在數(shù)據(jù)和主文件信息從舊系統(tǒng)向新系統(tǒng)轉(zhuǎn)換的情況，則包括系統(tǒng)轉(zhuǎn)換的檢查。
    應(yīng)用系統(tǒng)檢查的目標(biāo)和范圍通常構(gòu)成業(yè)務(wù)計(jì)劃書的一部分，業(yè)務(wù)計(jì)劃書的形式和內(nèi)容可以有所不同，但應(yīng)當(dāng)包括：
    l 應(yīng)用系統(tǒng)檢查的目標(biāo)和范圍
    l 實(shí)施檢查的內(nèi)部審計(jì)師
    l 有關(guān)該項(xiàng)目內(nèi)部審計(jì)師獨(dú)立性的聲明
    l 檢查開始的時(shí)間和整個(gè)時(shí)間計(jì)劃
    l 報(bào)告安排，包括結(jié)束會(huì)議安排
    l 檢查目標(biāo)應(yīng)當(dāng)考慮符合7 COBIT 信息標(biāo)準(zhǔn)，并取得組織的同意。7 COBIT 信息標(biāo)準(zhǔn)包括下列內(nèi)容：
    信息的有效性、效率性、保密性、完整性、可獲得性、遵循情況和可靠性。
    如果承擔(dān)審計(jì)任務(wù)的內(nèi)部審計(jì)師之前參與了應(yīng)用系統(tǒng)的開發(fā)、收購、運(yùn)行和維護(hù)工作，那么內(nèi)部審計(jì)師的獨(dú)立性可能會(huì)受到損害。內(nèi)部審計(jì)師應(yīng)當(dāng)參照相關(guān)指南處理這類情況。
    實(shí)施審計(jì)工作
    3 a) 記錄業(yè)務(wù)流程
    收集到的信息應(yīng)當(dāng)包括系統(tǒng)計(jì)算機(jī)化方面和手工的兩方面內(nèi)容。重點(diǎn)關(guān)注對審計(jì)目標(biāo)較為重要的數(shù)據(jù)輸入（電子或手工）、處理、存儲(chǔ)和輸出。內(nèi)部審計(jì)師可能會(huì)發(fā)現(xiàn)依靠業(yè)務(wù)流程和記錄交易過程所采用的技術(shù)實(shí)際上不易操作。在這種情況下，內(nèi)部審計(jì)師應(yīng)當(dāng)編制高層數(shù)據(jù)流程表或敘述材料，或者在提供的前提下，采用系統(tǒng)說明。
    同時(shí)需要予以考慮的是記錄與其他系統(tǒng)的應(yīng)用接口，內(nèi)部審計(jì)師應(yīng)當(dāng)通過實(shí)施某些程序，如穿行測試，來確認(rèn)上述記錄。
    b) 識(shí)別和測試應(yīng)用系統(tǒng)控制
    內(nèi)部審計(jì)師需要識(shí)別用來降低系統(tǒng)應(yīng)用風(fēng)險(xiǎn)的特定控制，獲得充分的審計(jì)證據(jù)，從而確?？刂瓢凑疹A(yù)期運(yùn)行。這項(xiàng)工作可以通過一系列程序完成，例如詢問和觀察、檢查記錄、對測試程序化控制的應(yīng)用系統(tǒng)控制進(jìn)行測試（可以考慮運(yùn)用計(jì)算機(jī)輔助審計(jì)技術(shù)）。
    測試的性質(zhì)、時(shí)間和范圍應(yīng)當(dāng)基于所檢查領(lǐng)域的風(fēng)險(xiǎn)水平和審計(jì)目標(biāo)。在缺乏強(qiáng)大的總體信息技術(shù)控制時(shí)，內(nèi)部審計(jì)師可以就這一缺陷對于計(jì)算機(jī)化應(yīng)用控制的可靠性的影響進(jìn)行評估，如果信息系統(tǒng)審計(jì)師發(fā)現(xiàn)計(jì)算機(jī)化應(yīng)用控制的重大缺陷，在可能的情況下，應(yīng)當(dāng)從手工進(jìn)行的處理控制中獲取保證。
    計(jì)算機(jī)化控制的有效性依賴于強(qiáng)大的總體信息技術(shù)控制。因此，如果總體信息技術(shù)控制沒有經(jīng)過檢查，則對應(yīng)用控制的信賴會(huì)受到嚴(yán)重的限制，內(nèi)部審計(jì)師應(yīng)當(dāng)考慮其他替代程序。
    報(bào)告
    4 通報(bào)應(yīng)用系統(tǒng)業(yè)務(wù)的結(jié)果時(shí)應(yīng)當(dāng)清楚地描述這項(xiàng)業(yè)務(wù)的性質(zhì)和任何限制情形以及信息使用者應(yīng)當(dāng)知悉的其他因素。內(nèi)部審計(jì)師應(yīng)當(dāng)在報(bào)告中指出加強(qiáng)控制方面的適當(dāng)建議。
    應(yīng)用系統(tǒng)檢查過程中發(fā)現(xiàn)的由于缺乏控制或未能遵循控制所造成的缺陷，應(yīng)當(dāng)提請業(yè)務(wù)過程負(fù)責(zé)人和負(fù)責(zé)應(yīng)用支持的信息系統(tǒng)管理部門的關(guān)注。在應(yīng)用系統(tǒng)檢查過程中發(fā)現(xiàn)的缺陷或薄弱環(huán)節(jié)被認(rèn)為嚴(yán)重或重要的情況下，應(yīng)當(dāng)建議適當(dāng)?shù)墓芾韺恿⒓床扇〖m正措施。由于有效的計(jì)算機(jī)化控制依賴于總體信息技術(shù)控制，因此這一領(lǐng)域的缺陷也應(yīng)當(dāng)予以報(bào)告。未對總體計(jì)算機(jī)化控制進(jìn)行檢查的事實(shí)也應(yīng)當(dāng)反映在報(bào)告中。