國際內(nèi)審師考試內(nèi)部審計(jì)實(shí)務(wù)標(biāo)準(zhǔn)(紅皮書)(21)

字號:

實(shí)務(wù)公告 2100—2:信息安全
    解釋《國際內(nèi)部審計(jì)專業(yè)實(shí)務(wù)標(biāo)準(zhǔn)》中的第2100條標(biāo)準(zhǔn)
    本實(shí)務(wù)公告性質(zhì)
    在評價(jià)與信息安全性有關(guān)的組織治理活動時(shí),內(nèi)部審計(jì)師應(yīng)該考慮以下建議。本實(shí)務(wù)指導(dǎo)無意囊括開展與信息安全性有關(guān)的綜合性確認(rèn)活動或咨詢業(yè)務(wù)必須考慮的所有方面,只是 推薦一系列高層次審計(jì)師的關(guān)鍵職責(zé),以補(bǔ)充董事會和管理層的相關(guān)責(zé)任。
    1.內(nèi)部審計(jì)師應(yīng)該確定管理人員、董事會是否明確理解信息安全是一種管理責(zé)任。這種責(zé)任包括組織的所有關(guān)鍵信息,不論信息以何種媒介儲存。
    2.首席審計(jì)執(zhí)行官應(yīng)該確定,內(nèi)部審計(jì)活動擁有或有能力獲取相關(guān)的審計(jì)資源,對信息安全性和有關(guān)風(fēng)險(xiǎn)暴露進(jìn)行評價(jià),包括內(nèi)部和外部風(fēng)險(xiǎn)暴露,以及與組織和其他實(shí)體關(guān)系有關(guān)的風(fēng)險(xiǎn)暴露。
    3.內(nèi)部審計(jì)師應(yīng)該確定董事會是否得到管理人員保證,一旦出現(xiàn)對組織產(chǎn)生威脅的侵害信息安全的情況,管理人員將馬上把這些情況告知內(nèi)部審計(jì)師。
    4.內(nèi)部審計(jì)師應(yīng)該評價(jià)針對過去侵害行為和可能發(fā)生的未來侵害企圖或事件的預(yù)防性、 發(fā)現(xiàn)性和減緩性措施是否有效。內(nèi)部審計(jì)師應(yīng)該證實(shí)董事會已經(jīng)通過恰當(dāng)途徑獲知侵害行為造成的威脅、侵害事件的具體情況、受到攻擊的薄弱環(huán)節(jié)以及糾正措施。
    5.內(nèi)部審計(jì)師應(yīng)該定期評價(jià)組織的信息安全實(shí)務(wù),如果需要,應(yīng)提出加強(qiáng)或?qū)嵤┬碌目刂坪桶踩胧┑慕ㄗh,并根據(jù)評價(jià)結(jié)果為董事會提供確認(rèn)報(bào)告。這種評價(jià)工作既可以以獨(dú)立業(yè)務(wù)形式開展,也可以以其他審計(jì)或業(yè)務(wù)的組成部分的形式開展。
    實(shí)務(wù)公告 2100—3:內(nèi)部審計(jì)在風(fēng)險(xiǎn)管理過程中的作用
    解釋《國際內(nèi)部審計(jì)專業(yè)實(shí)務(wù)標(biāo)準(zhǔn)》中的第2100條標(biāo)準(zhǔn)
    本實(shí)務(wù)公告性質(zhì)
    內(nèi)部審計(jì)的定義要求采取“系統(tǒng)的、規(guī)范的方法,評價(jià)并改善風(fēng)險(xiǎn)管理、控制和治理過程的效果。”為了依據(jù)《國際內(nèi)部審計(jì)專業(yè)實(shí)務(wù)標(biāo)準(zhǔn)》開展內(nèi)部審計(jì)工作,內(nèi)部審計(jì)師應(yīng)該在組織的風(fēng)險(xiǎn)管理過程中起關(guān)鍵作用。本實(shí)務(wù)公告希望為內(nèi)部審計(jì)師提供確定其在組織風(fēng)險(xiǎn)管理過程中的作用和遵守《國際內(nèi)部審計(jì)專業(yè)實(shí)務(wù)標(biāo)準(zhǔn)》的指導(dǎo)。內(nèi)部審計(jì)師在實(shí)際工作中可能需要考慮本指南以外的其他因素。
    1.風(fēng)險(xiǎn)管理是一項(xiàng)重要的管理責(zé)任。要實(shí)現(xiàn)其業(yè)務(wù)目標(biāo),管理層應(yīng)該保證組織擁有健全的風(fēng)險(xiǎn)管理過程,并能發(fā)揮作用。董事會和審計(jì)委員會應(yīng)該在確定組織是否建立恰當(dāng)?shù)娘L(fēng)險(xiǎn)管理過程以及這些程序適當(dāng)有效運(yùn)作等方面起監(jiān)督作用。內(nèi)部審計(jì)師應(yīng)該通過檢查、評價(jià)、報(bào)告風(fēng)險(xiǎn)管理過程的適當(dāng)性和有效性并提出改進(jìn)建議來協(xié)助管理層和審計(jì)委員會的工作。但是,以咨詢顧問身份開展工作的內(nèi)部審計(jì)師可以協(xié)助組織確定、評價(jià)并應(yīng)用處理風(fēng)險(xiǎn)的管理方法和控制措施。
    2.一般來講,對組織的風(fēng)險(xiǎn)管理過程進(jìn)行評價(jià)和報(bào)告是審計(jì)的重點(diǎn)。評價(jià)管理風(fēng)險(xiǎn)程序有別于審計(jì)師應(yīng)用風(fēng)險(xiǎn)分析進(jìn)行審計(jì)的計(jì)劃工作。但是,來自全面風(fēng)險(xiǎn)管理過程的信息(包括對管理層和董事會所關(guān)心問題的確認(rèn))有助于內(nèi)部審計(jì)師制定審計(jì)工作計(jì)劃。
    3.首席審計(jì)執(zhí)行官應(yīng)該理解管理層和董事會期望內(nèi)部審計(jì)活動在組織的風(fēng)險(xiǎn)管理過程中發(fā)揮的作用。這種理解應(yīng)該在內(nèi)部審計(jì)活動和審計(jì)委員會各自的章程中得到明確。
    4.應(yīng)協(xié)調(diào)所有在組織風(fēng)險(xiǎn)管理過程中起作用的團(tuán)組和個(gè)人的責(zé)任和活動。這些責(zé)任和活動應(yīng)該在組織戰(zhàn)略計(jì)劃、董事會政策、管理層指令、操作程序和其他治理工具中得到恰當(dāng)文件記錄。應(yīng)該記錄的活動和責(zé)任包括:
    由董事會或委員會負(fù)責(zé)戰(zhàn)略方向的確定; 在高級管理層中分配風(fēng)險(xiǎn)的歸屬責(zé)任; 在執(zhí)行管理層分配剩余風(fēng)險(xiǎn); 在操作層人員分配持續(xù)的確認(rèn)、評價(jià)、減緩和監(jiān)測活動; 由內(nèi)部審計(jì)部門負(fù)責(zé)定期評價(jià)和確認(rèn)工作。
    5.要求內(nèi)部審計(jì)師在履行正常職責(zé)的過程中確認(rèn)并評價(jià)嚴(yán)重風(fēng)險(xiǎn)。
    6.內(nèi)部審計(jì)部門在組織風(fēng)險(xiǎn)管理過程中的作用可以隨著時(shí)間的推移而發(fā)生變化,并可能有不同的作用,即:
    從無任何作用;到 作為內(nèi)部審計(jì)工作計(jì)劃的一部分對風(fēng)險(xiǎn)管理過程進(jìn)行審計(jì);到 積極持續(xù)地支持并參與風(fēng)險(xiǎn)管理過程,如:參加監(jiān)督委員會、監(jiān)測活動并報(bào)告情況;到 管理和協(xié)調(diào)對風(fēng)險(xiǎn)的管理過程。
    7.從根本上說,執(zhí)行管理層和審計(jì)委員會負(fù)責(zé)確定內(nèi)部審計(jì)在風(fēng)險(xiǎn)管理過程中的作用。管理人員對內(nèi)部審計(jì)作用的認(rèn)識受到組織文化、內(nèi)部審計(jì)人員能力以及所在國風(fēng)俗習(xí)慣等因素的影響。
    8.可以在以下實(shí)務(wù)公告中獲取進(jìn)一步的指導(dǎo)信息:
    實(shí)務(wù)公告2100—4:內(nèi)部審計(jì)在尚未建立風(fēng)險(xiǎn)管理過程的組織中的作用; 實(shí)務(wù)公告1130.A1—2:內(nèi)部審計(jì)開展其他(非審計(jì))工作; 實(shí)務(wù)公告2110—1:評價(jià)風(fēng)險(xiǎn)管理過程的充分性; 實(shí)務(wù)公告2010—2:將審計(jì)計(jì)劃與風(fēng)險(xiǎn)相聯(lián)系。