國際內(nèi)審協(xié)會IIA實務公告2100-9:應用系統(tǒng)檢查

字號:

《國際內(nèi)部審計專業(yè)實務標準》中第2100條標準的解釋
    相關(guān)標準:第2100條標準
    工作性質(zhì)
    內(nèi)部審計活動應當通過應用系統(tǒng)的、規(guī)范的方法,評價并改善風險管理、控制和治理過程。
    本實務公告源自國際信息系統(tǒng)審計和控制協(xié)會(ISACA)指引——應用系統(tǒng)檢查,文件G14。該信息系統(tǒng)審計指引由ISACA于2001年11月發(fā)布。引用該文件經(jīng)過ISACA的許可和確認。本實務公告與ISACA指引的任何差異,ISACA不保證其準確性或支持這些改變。
    本實務公告性質(zhì):內(nèi)部審計師實施應用系統(tǒng)檢查時應當考慮以下建議。本實務公告無意囊括與應用系統(tǒng)檢查相關(guān)的綜合性確認或咨詢業(yè)務所需要的所有程序,僅推薦一系列高層次審計師責任,作為制定詳細審計計劃的補充。
    1 首席審計執(zhí)行官應當確定內(nèi)部審計活動具備或者可以取得獨立[1]并且勝任的審計資源,開展應用系統(tǒng)檢查并評估相關(guān)的風險暴露。
    審計計劃的考慮
    2 審計計劃的一部分內(nèi)容是充分了解組織的信息系統(tǒng)環(huán)境,便于內(nèi)部審計師確定系統(tǒng)的規(guī)模和復雜程度,以及組織對信息系統(tǒng)的依賴程度。內(nèi)部審計師應當了解組織的目的和業(yè)務目標,運用信息技術(shù)和信息系統(tǒng)的水平和方式,與組織的目的及其信息系統(tǒng)相關(guān)聯(lián)的風險和披露情況。此外,還需要了解組織結(jié)構(gòu),包括主要信息系統(tǒng)人員和應用系統(tǒng)業(yè)務處理負責人的職權(quán)和責任。審計計劃過程中還應當考慮業(yè)務領(lǐng)域的風險。
    審計計劃的主要目的是確定應用水平的風險。相關(guān)水平的風險影響所需要的審計證據(jù)的水平。系統(tǒng)層面和數(shù)據(jù)層面的應用水平風險包括以下內(nèi)容:
    l 與缺乏系統(tǒng)操作能力相關(guān)的系統(tǒng)可獲得性風險
    l 與未經(jīng)授權(quán)進入系統(tǒng)或取得數(shù)據(jù)相關(guān)的系統(tǒng)安全性風險
    l 與處理數(shù)據(jù)不完整、不準確、不及時和未經(jīng)授權(quán)相關(guān)的系統(tǒng)完整性風險
    [1] 獨立——指內(nèi)部審計師未介入應用系統(tǒng)的開發(fā)、收購、運行或維護等工作。
    l 在要求持續(xù)提供系統(tǒng)的可獲得性、安全性和完整性的情況下,與無法更新系統(tǒng)相關(guān)的系統(tǒng)維護風險
    l 與數(shù)據(jù)全面、完整、保密、準確、及時相關(guān)的數(shù)據(jù)風險
    針對應用水平風險的應用控制可以采用系統(tǒng)內(nèi)置的計算機化控制,或者手工實施的控制,或者兩者結(jié)合的形式。例如計算機化文件核對(采購訂單、發(fā)票和收貨報告),核對和簽署機打票據(jù),由高級管理人員對特殊報告進行檢查。
    在選擇信賴程序控制的情況下,應當考慮相關(guān)的總體信息技術(shù)控制以及與審計目標有關(guān)的控制??傮w信息技術(shù)控制可以是一項單獨的檢查,主要包括:物理控制、系統(tǒng)層的安全、網(wǎng)絡管理、數(shù)據(jù)備份以及應變計劃。根據(jù)檢查的控制目標,內(nèi)部審計師可以不需要檢查總體控制,例如,對應用系統(tǒng)進行評估用于收購的情況。
    應用系統(tǒng)檢查可以在一整套應用系統(tǒng)用于收購目的進行評估的時候開展,可以在系統(tǒng)投產(chǎn)之前(運行前)和投產(chǎn)之后(運行后)進行。運行前應用系統(tǒng)檢查的涵蓋范圍包括應用水平的安全構(gòu)造,執(zhí)行安全措施的計劃,系統(tǒng)和用戶記錄的充分性,實際或計劃的用戶接受測試的充分性。運行后應用系統(tǒng)檢查的涵蓋范圍包括運行后的應用水平安全,如果存在數(shù)據(jù)和主文件信息從舊系統(tǒng)向新系統(tǒng)轉(zhuǎn)換的情況,則包括系統(tǒng)轉(zhuǎn)換的檢查。
    應用系統(tǒng)檢查的目標和范圍通常構(gòu)成業(yè)務計劃書的一部分,業(yè)務計劃書的形式和內(nèi)容可以有所不同,但應當包括:
    l 應用系統(tǒng)檢查的目標和范圍
    l 實施檢查的內(nèi)部審計師
    l 有關(guān)該項目內(nèi)部審計師獨立性的聲明
    l 檢查開始的時間和整個時間計劃
    l 報告安排,包括結(jié)束會議安排
    l 檢查目標應當考慮符合7 COBIT 信息標準,并取得組織的同意。7 COBIT 信息標準包括下列內(nèi)容:
    信息的有效性、效率性、保密性、完整性、可獲得性、遵循情況和可靠性。
    如果承擔審計任務的內(nèi)部審計師之前參與了應用系統(tǒng)的開發(fā)、收購、運行和維護工作,那么內(nèi)部審計師的獨立性可能會受到損害。內(nèi)部審計師應當參照相關(guān)指南處理這類情況。
    實施審計工作
    3 a) 記錄業(yè)務流程
    收集到的信息應當包括系統(tǒng)計算機化方面和手工的兩方面內(nèi)容。重點關(guān)注對審計目標較為重要的數(shù)據(jù)輸入(電子或手工)、處理、存儲和輸出。內(nèi)部審計師可能會發(fā)現(xiàn)依靠業(yè)務流程和記錄交易過程所采用的技術(shù)實際上不易操作。在這種情況下,內(nèi)部審計師應當編制高層數(shù)據(jù)流程表或敘述材料,或者在提供的前提下,采用系統(tǒng)說明。
    同時需要予以考慮的是記錄與其他系統(tǒng)的應用接口,內(nèi)部審計師應當通過實施某些程序,如穿行測試,來確認上述記錄。
    b) 識別和測試應用系統(tǒng)控制
    內(nèi)部審計師需要識別用來降低系統(tǒng)應用風險的特定控制,獲得充分的審計證據(jù),從而確??刂瓢凑疹A期運行。這項工作可以通過一系列程序完成,例如詢問和觀察、檢查記錄、對測試程序化控制的應用系統(tǒng)控制進行測試(可以考慮運用計算機輔助審計技術(shù))。
    測試的性質(zhì)、時間和范圍應當基于所檢查領(lǐng)域的風險水平和審計目標。在缺乏強大的總體信息技術(shù)控制時,內(nèi)部審計師可以就這一缺陷對于計算機化應用控制的可靠性的影響進行評估,如果信息系統(tǒng)審計師發(fā)現(xiàn)計算機化應用控制的重大缺陷,在可能的情況下,應當從手工進行的處理控制中獲取保證。
    計算機化控制的有效性依賴于強大的總體信息技術(shù)控制。因此,如果總體信息技術(shù)控制沒有經(jīng)過檢查,則對應用控制的信賴會受到嚴重的限制,內(nèi)部審計師應當考慮其他替代程序。
    報告
    4 通報應用系統(tǒng)業(yè)務的結(jié)果時應當清楚地描述這項業(yè)務的性質(zhì)和任何限制情形以及信息使用者應當知悉的其他因素。內(nèi)部審計師應當在報告中指出加強控制方面的適當建議。
    應用系統(tǒng)檢查過程中發(fā)現(xiàn)的由于缺乏控制或未能遵循控制所造成的缺陷,應當提請業(yè)務過程負責人和負責應用支持的信息系統(tǒng)管理部門的關(guān)注。在應用系統(tǒng)檢查過程中發(fā)現(xiàn)的缺陷或薄弱環(huán)節(jié)被認為嚴重或重要的情況下,應當建議適當?shù)墓芾韺恿⒓床扇〖m正措施。由于有效的計算機化控制依賴于總體信息技術(shù)控制,因此這一領(lǐng)域的缺陷也應當予以報告。未對總體計算機化控制進行檢查的事實也應當反映在報告中。