第2203号内部审计具体准则——信息系统审计
2020-09-22
第一章 总 则
第一条 为了规范信息系统审计工作,提高审计质量和效率,根据《内部审计基本准则》,制定本准则。
第二条 本准则所称信息系统审计,是指内部审计机构和内部审计人员对组织的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动。
第三条 本准则适用于各类组织的内部审计机构、内部审计人员及其从事的信息系统审计活动。其他组织或者人员接受委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。
第二章 一般原则
第四条 信息系统审计的目的是通过实施信息系统审计工作,对组织是否实现信息技术管理目标进行审查和评价,并基于评价意见提出管理建议,协助组织信息技术管理人员有效地履行职责。
组织的信息技术管理目标主要包括:
(一)保证组织的信息技术战略充分反映组织的战略目标;
(二)提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性;
(三)提高信息系统运行的效果与效率,合理保证信息系统的运行符合法律法规以及相关监管要求。
第五条 组织中信息技术管理人员的责任是进行信息系统的开发、运行和维护,以及与信息技术相关的内部控制的设计、执行和监控;信息系统审计人员的责任是实施信息系统审计工作并出具审计报告。
第六条 从事信息系统审计的内部审计人员应当具备必要的信息技术及信息系统审计专业知识、技能和经验。必要时,实施信息系统审计可以利用外部专家服务。
第七条 信息系统审计可以作为独立的审计项目组织实施,也可以作为综合性内部审计项目的组成部分实施。
当信息系统审计作为综合性内部审计项目的一部分时,信息系统审计人员应当及时与其他相关内部审计人员沟通信息系统审计中的发现,并考虑依据审计结果调整其他相关审计的范围、时间及性质。
第八条 内部审计人员应当采用以风险为基础的审计方法进行信息系统审计,风险评估应当贯穿于信息系统审计的全过程……
