相关标准:第2100条标准工作性质内部审计活动应当通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程。 本实务公告源自国际信息系统审计和控制协会(isaca)指引——第三方对组织信息技术控制的影响,文件g16。该信息系统审计指引由isaca于2002年3月发布。引用该文件经过isaca的许可和确认。本实务公告与isaca指引的任何差异,isaca不保证其准确性或支持这些改变。 本实务公告的性质:内部审计师在审计第三方对于组织信息系统控制的影响时,应当考虑下列建议。本公告无意囊括执行信息系统业务外包确认性或咨询业务的所有必要程序,仅就高层内部审计人员的主要责任提出建议,用以补充详细的审计计划工作。实务公告的遵循不是强制性的。 1、第三方提供的服务组织基于多种目的使用因特网及企业内网,包括提供员工、供应商及顾客接入现有或新的人力资源、财务、销售及采购等应用系统。许多情况下,是通过一个或多个第三供应方来提供这种接入服务。第三方可提供下列服务:连接内网及因特网通过虚拟私人网络或企业间网络连接至组织的合作伙伴通过无线技术与顾客连接网站建立网站维护、管理与监控网站安全服务为硬件提供实际场所(例如共用场所)监控系统及应用程序的存取备份及恢复服务应用系统开发、维护及代管(例如企业资源规划系统、电子商务系统)企业服务包括现金管理、信用卡、订单处理及呼叫中心服务。 2、第三供应方对于组织的影响第三供应方可能在不同层级上影响一个组织(包括其伙伴)、其业务流程、各项控制及控制目标,包含因下列事项所产生的影响:第三供应方的经济存续性第三供应方通过其通讯系统及应用系统获取的信息系统及应用程序的可用性处理的完整性应用系统开发及变更管理流程通过备份恢复、应变计划及重复设备来保护系统及信息资产第三方可成为组织的控制及相关控制目标达成的关键因素。审计师应评估第三方所提供与信息技术环境、相关控制及控制目标有关的服务。组织为了有限的目的而使用第三供应方时,例如共用场所服务,可能就第三方与组织达成其控制目标有关的控制给予有限度的信赖。不过,组织若为了其他目的使用供应者,例如代管财务会计系统及电子商务系统,则可能完全利用供应者的控制,或将其与组织的控制相结合,以达到控制目标。同样,组织达成其控制目标的能力可能因为第三方控制的相对有效或无效,而增强或削弱。控制缺失可能出自多种来源,包括:由于将服务外包给第三方造成的控制环境差距薄弱的控制设计导致控制运作无效负责控制功能的人员缺乏知识或无经验过度依赖第三方的控制(组织内并无补偿控制) 缺乏控制或控制设计、营运或效果的缺失可能导致下列事项:丧失信息的机密性及隐私性系统在需要时无法使用未经授权的存取及变更系统、应用程序或资料系统、应用程序或资料的变更导致系统或安全机制无效、资料流失、资料真实性丧失、欠缺资料保护或系统无法使用系统资源及/或信息资产的损失上述任何事项导致组织的成本增加