實(shí)務(wù)公告2100-12:信息系統(tǒng)業(yè)務(wù)外包給其它機(jī)構(gòu)

字號(hào):

《國際內(nèi)部審計(jì)專業(yè)實(shí)務(wù)標(biāo)準(zhǔn)》中第2100號(hào)標(biāo)準(zhǔn)的解釋
    相關(guān)標(biāo)準(zhǔn):第2100條標(biāo)準(zhǔn)
    工作性質(zhì)
    內(nèi)部審計(jì)活動(dòng)應(yīng)當(dāng)通過應(yīng)用系統(tǒng)的、規(guī)范的方法,評(píng)價(jià)并改善風(fēng)險(xiǎn)管理、控制和治理過程。
    本實(shí)務(wù)公告源自國際信息系統(tǒng)審計(jì)和控制協(xié)會(huì)(ISACA)指引——信息系統(tǒng)業(yè)務(wù)外包給其它機(jī)構(gòu),文件G4。該信息系統(tǒng)審計(jì)指引由ISACA于1999 年9月發(fā)布。引用該文件經(jīng)過ISACA的許可和確認(rèn)。本實(shí)務(wù)公告與ISACA指引的任何差異,ISACA不保證其準(zhǔn)確性或支持這些改變。
    本實(shí)務(wù)公告的性質(zhì):內(nèi)部審計(jì)師在進(jìn)行信息系統(tǒng)業(yè)務(wù)外包的審計(jì)時(shí),應(yīng)考慮下列建議。本實(shí)務(wù)公告無意囊括有關(guān)信息系統(tǒng)外包業(yè)務(wù)審計(jì)的綜合性確認(rèn)和咨詢業(yè)務(wù)需要的所有程序,僅推薦一系列高層次審計(jì)師責(zé)任,作為制定詳細(xì)審計(jì)計(jì)劃的補(bǔ)充。
    實(shí)施審計(jì)前的考慮
    1. 首席審計(jì)執(zhí)行官應(yīng)確認(rèn)內(nèi)部審計(jì)部門擁有或可取得獨(dú)立及勝任的審計(jì)資源,以執(zhí)行信息系統(tǒng)業(yè)務(wù)外包給其它機(jī)構(gòu)的審計(jì),并評(píng)估相關(guān)的風(fēng)險(xiǎn)暴露。
    2. 對(duì)外部服務(wù)提供者進(jìn)行審計(jì)的權(quán)利通常并不明確。遵循審計(jì)的責(zé)任通常也不明確。首席審計(jì)執(zhí)行官及/或被指派的內(nèi)部審計(jì)師應(yīng)協(xié)同法律、合同管理或其它權(quán)責(zé)部門,以確認(rèn)外包合約容許對(duì)外部服務(wù)提供者進(jìn)行審計(jì)的程度,并考慮此項(xiàng)條款是否恰當(dāng)。若有必要,應(yīng)征詢法律專家的意見
    3. 首席審計(jì)執(zhí)行官及/或被指派的內(nèi)部審計(jì)師也應(yīng)評(píng)可否信賴外部服務(wù)提供者的內(nèi)部審計(jì)師或其聘用的獨(dú)立第三者所進(jìn)行的任何信息系統(tǒng)審計(jì)工作。在開展審計(jì)工作前,應(yīng)確認(rèn)自行審計(jì)或依賴他人工作的能力。
    計(jì)劃的考慮
    1. 發(fā)現(xiàn)事實(shí)
    內(nèi)部審計(jì)師應(yīng)了解外包服務(wù)的性質(zhì)、時(shí)間及范圍。內(nèi)部審計(jì)師應(yīng)確認(rèn)外界服務(wù)使用者已建立何種控制,以符合下列業(yè)務(wù)需求:確保第三者的角色及責(zé)任業(yè)已明確界定、遵循,并持續(xù)符合要求(COBIT 高層次控制目標(biāo)DS2)。
    與服務(wù)外包相關(guān)的風(fēng)險(xiǎn)應(yīng)加以辨認(rèn)及評(píng)估。
    內(nèi)部審計(jì)師應(yīng)評(píng)估外界服務(wù)使用者的控制,可以合理確保達(dá)到企業(yè)目標(biāo),以及預(yù)防、發(fā)現(xiàn)及改正不希望發(fā)生的事件的程度。
    2. 計(jì)劃
    內(nèi)部審計(jì)師應(yīng)評(píng)估與外界服務(wù)提供者有關(guān)的以往審計(jì)報(bào)告,并計(jì)劃信息系統(tǒng)審計(jì)工作,以強(qiáng)調(diào)與外界服務(wù)提供者環(huán)境相關(guān)的審計(jì)目標(biāo),并考慮計(jì)劃期間內(nèi)獲得的信息。
    審計(jì)目標(biāo)傳達(dá)給外界服務(wù)提供者之前,應(yīng)獲得服務(wù)使用者管理層的認(rèn)可。
    外界服務(wù)提供者所要求的任何改變應(yīng)取得服務(wù)使用者管理層的同意。
    內(nèi)部審計(jì)師計(jì)劃信息系統(tǒng)審計(jì)工作時(shí),應(yīng)遵循相關(guān)的專業(yè)審計(jì)準(zhǔn)則,就如同在服務(wù)使用者工作環(huán)境執(zhí)行審計(jì)一樣。
    實(shí)施審計(jì)
    1. 審計(jì)證據(jù)要求
    審計(jì)工作的實(shí)施應(yīng)如同在使用者自己的信息系統(tǒng)環(huán)境實(shí)施審計(jì)一樣。