《国际内部审计专业实务标准》中第2100号标准的解释 相关标准:第2100条标准工作性质内部审计活动应当通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程。 本实务公告源自国际信息系统审计和控制协会(isaca)指引——信息系统业务外包给其它机构,文件g4。该信息系统审计指引由isaca于1999 年9月发布。引用该文件经过isaca的许可和确认。本实务公告与isaca指引的任何差异,isaca不保证其准确性或支持这些改变。 本实务公告的性质:内部审计师在进行信息系统业务外包的审计时,应考虑下列建议。本实务公告无意囊括有关信息系统外包业务审计的综合性确认和咨询业务需要的所有程序,仅推荐一系列高层次审计师责任,作为制定详细审计计划的补充。 实施审计前的考虑 1. 首席审计执行官应确认内部审计部门拥有或可取得独立及胜任的审计资源,以执行信息系统业务外包给其它机构的审计,并评估相关的风险暴露。2. 对外部服务提供者进行审计的权利通常并不明确。遵循审计的责任通常也不明确。首席审计执行官及/或被指派的内部审计师应协同法律、合同管理或其它权责部门,以确认外包合约容许对外部服务提供者进行审计的程度,并考虑此项条款是否恰当。若有必要,应征询法律专家的意见3. 首席审计执行官及/或被指派的内部审计师也应评可否信赖外部服务提供者的内部审计师或其聘用的独立第三者所进行的任何信息系统审计工作。在开展审计工作前,应确认自行审计或依赖他人工作的能力。 计划的考虑1. 发现事实 内部审计师应了解外包服务的性质、时间及范围。内部审计师应确认外界服务使用者已建立何种控制,以符合下列业务需求:确保第三者的角色及责任业已明确界定、遵循,并持续符合要求(cobit 高层次控制目标ds2)。与服务外包相关的风险应加以辨认及评估。内部审计师应评估外界服务使用者的控制,可以合理确保达到企业目标,以及预防、发现及改正不希望发生的事件的程度。2. 计划内部审计师应评估与外界服务提供者有关的以往审计报告,并计划信息系统审计工作,以强调与外界服务提供者环境相关的审计目标,并考虑计划期间内获得的信息。审计目标传达给外界服务提供者之前,应获得服务使用者管理层的认可。 外界服务提供者所要求的任何改变应取得服务使用者管理层的同意。 内部审计师计划信息系统审计工作时,应遵循相关的专业审计准则,就如同在服务使用者工作环境执行审计一样。 实施审计1. 审计证据要求审计工作的实施应如同在使用者自己的信息系统环境实施审计一样。