內(nèi)審人員開(kāi)展信息系統(tǒng)審計(jì)指南針

在大智移云的今天，隨著各類(lèi)組織加快上系統(tǒng)、上云，內(nèi)部審計(jì)作戰(zhàn)的陣地也加快由賬簿、制度向信息系統(tǒng)轉(zhuǎn)變。當(dāng)前受具有IT專(zhuān)業(yè)背景的內(nèi)審?fù)收急容^少、信息系統(tǒng)審計(jì)的實(shí)踐相對(duì)偏少、且各組織信息系統(tǒng)審計(jì)實(shí)踐呈現(xiàn)參差不齊的狀態(tài)等因素影響，信息系統(tǒng)審計(jì)需求的不斷增長(zhǎng)與有效供給顯著不足的矛盾愈來(lái)愈突出，已成為困擾內(nèi)審?fù)实囊淮笸袋c(diǎn)。為了解決這一痛點(diǎn)，將行業(yè)標(biāo)桿關(guān)于信息系統(tǒng)審計(jì)的至佳實(shí)踐賦能內(nèi)審?fù)?，通過(guò)規(guī)范性的操作規(guī)程和方法，以規(guī)范信息系統(tǒng)審計(jì)行為，控制審計(jì)工作風(fēng)險(xiǎn)，提高審計(jì)工作效率和質(zhì)量，更好地為組織的戰(zhàn)略目標(biāo)服務(wù)，更充分地發(fā)揮新時(shí)代內(nèi)部審計(jì)的價(jià)值，中國(guó)內(nèi)部審計(jì)協(xié)會(huì)組織編寫(xiě)了《第3205號(hào)內(nèi)部審計(jì)實(shí)務(wù)指南——信息系統(tǒng)審計(jì)》（以下簡(jiǎn)稱(chēng)《指南》）。

為幫助內(nèi)審人員進(jìn)一步了解《指南》的特點(diǎn)和主要內(nèi)容，推動(dòng)《指南》的學(xué)習(xí)和應(yīng)用，我們邀請(qǐng)了《指南》起草人為您做如下解讀。

一、《指南》的主要特點(diǎn)

《指南》共分六章、14萬(wàn)余字，看起來(lái)像一部大部頭的書(shū)，也許有的同仁一看就怕了，覺(jué)得離自己太遠(yuǎn)，心想：我不是學(xué)IT的，估計(jì)看不懂；IT雖然我略懂一二，但指南估計(jì)寫(xiě)得很枯燥；我是做IT審計(jì)實(shí)務(wù)的，理論性的指南管用嗎？這么厚的指南，我什么時(shí)間能看完??？還是不看了吧……

如果您有上述對(duì)《指南》的刻板印象，估計(jì)起草者要難過(guò)了……事實(shí)上，起草者從開(kāi)始醞釀該指南的那天起，就定下了簡(jiǎn)明易懂好用的原則，就是想讓同仁們真正懂指南、用指南，幫助同仁解決信息系統(tǒng)審計(jì)中遇到的實(shí)際困難和實(shí)際問(wèn)題。

首先，《指南》盡可能減少使用復(fù)雜的專(zhuān)業(yè)術(shù)語(yǔ)，少量的專(zhuān)業(yè)術(shù)語(yǔ)也均給出了釋義，深入淺出，很容易理解。

其次，《指南》立足于審計(jì)實(shí)務(wù)，解決實(shí)際問(wèn)題，幾乎沒(méi)有看起來(lái)空洞復(fù)雜的理論，和日常的審計(jì)工作息息相關(guān)。

第三，《指南》以風(fēng)險(xiǎn)為基礎(chǔ)，以?xún)?nèi)部控制為重點(diǎn)，審計(jì)的思路、方法與常規(guī)的審計(jì)工作是相通的，完全不難理解。

第四，《指南》以用戶(hù)為導(dǎo)向，堅(jiān)持易于操作的原則，對(duì)各方面的審計(jì)列出了常見(jiàn)問(wèn)題和風(fēng)險(xiǎn)清單，方便應(yīng)用和操作。

第五，《指南》堅(jiān)持源于實(shí)踐、遵循中國(guó)內(nèi)部審計(jì)協(xié)會(huì)2014年發(fā)布實(shí)施的《信息系統(tǒng)審計(jì)準(zhǔn)則》的思路，根據(jù)信息化不斷演進(jìn)變化的實(shí)際情況做適當(dāng)拓展，您不僅能看到常見(jiàn)的信息系統(tǒng)審計(jì)內(nèi)容，而且能了解到云安全、數(shù)據(jù)安全、移動(dòng)互聯(lián)網(wǎng)安全、物聯(lián)網(wǎng)安全等新興的審計(jì)內(nèi)容。

第六，《指南》涵蓋了當(dāng)下信息系統(tǒng)審計(jì)的絕大部分的內(nèi)容，也許有些工作在您的組織中還并未開(kāi)展，但《指南》的前瞻性和指導(dǎo)性一定會(huì)為您在實(shí)際工作中提供有益的幫助。

所以，希望您擯棄對(duì)《指南》的刻板印象，學(xué)習(xí)《指南》，應(yīng)用《指南》。因?yàn)?，這本具有全面性和系統(tǒng)性特點(diǎn)的《指南》能幫助您解決信息系統(tǒng)審計(jì)實(shí)踐中遇到的問(wèn)題和困惑，為您拓寬視角，打開(kāi)思路。

二、《指南》有什么？

《指南》共分六章，其中：

第一章介紹了信息系統(tǒng)審計(jì)的基本概念、內(nèi)容體系和審計(jì)程序等基礎(chǔ)理論，提出了關(guān)于信息系統(tǒng)審計(jì)的總體概念框架?？赐瓯菊拢鷷?huì)對(duì)信息系統(tǒng)審計(jì)的目標(biāo)、原則、特點(diǎn)、內(nèi)容、程序、方法、工具等有全面的了解。

第二章介紹了組織層面信息系統(tǒng)管理控制審計(jì)。組織層面信息系統(tǒng)管理控制是企業(yè)信息化設(shè)計(jì)與建設(shè)的關(guān)鍵?？赐瓯菊拢粌H會(huì)對(duì)堪稱(chēng)組織信息化建設(shè)頂層設(shè)計(jì)的信息系統(tǒng)治理審計(jì)、信息系統(tǒng)與業(yè)務(wù)目標(biāo)一致性審計(jì)深入了解，而且會(huì)對(duì)信息系統(tǒng)投資與績(jī)效、組織與制度、風(fēng)險(xiǎn)管理、項(xiàng)目管理等審計(jì)有更深入的認(rèn)識(shí)。

第三章介紹了信息系統(tǒng)一般控制審計(jì)?？赐瓯菊?，您將登堂入室，對(duì)于應(yīng)用系統(tǒng)開(kāi)發(fā)、測(cè)試與上線(xiàn)，信息系統(tǒng)運(yùn)維與服務(wù)管理，信息安全管理等傳統(tǒng)的IT審計(jì)項(xiàng)目，有了比較全面的掌握。

第四章介紹了信息系統(tǒng)應(yīng)用控制審計(jì)。看完本章，您將曲徑通幽，對(duì)于核心業(yè)務(wù)流程控制，應(yīng)用系統(tǒng)輸入控制、處理控制、輸出控制，信息共享與業(yè)務(wù)協(xié)調(diào)等審計(jì)內(nèi)容，有了更清晰的工作路徑。

第五章介紹了信息系統(tǒng)相關(guān)專(zhuān)項(xiàng)審計(jì)。這一章，基礎(chǔ)與升級(jí)并存。既有常見(jiàn)的信息科技外部審計(jì)、災(zāi)備與業(yè)務(wù)連續(xù)性審計(jì)、關(guān)鍵信息基礎(chǔ)設(shè)施安全審計(jì)等專(zhuān)項(xiàng)審計(jì)的內(nèi)容，又有云安全審計(jì)、數(shù)據(jù)安全審計(jì)、移動(dòng)互聯(lián)網(wǎng)安全審計(jì)、工控系統(tǒng)安全審計(jì)、物聯(lián)網(wǎng)安全審計(jì)等新興安全審計(jì)的內(nèi)容。如果您能對(duì)這一章的內(nèi)容應(yīng)用自如，您將成為一名資深I(lǐng)T審計(jì)專(zhuān)家。

第六章介紹了信息系統(tǒng)審計(jì)的質(zhì)量控制。審計(jì)質(zhì)量是審計(jì)工作的生命線(xiàn)。無(wú)論是傳統(tǒng)審計(jì)，還是信息系統(tǒng)審計(jì)，都要強(qiáng)化審計(jì)的質(zhì)量控制。一方面，要加強(qiáng)審計(jì)全過(guò)程的質(zhì)量控制；另一方面，還要加強(qiáng)審計(jì)人員的專(zhuān)業(yè)勝任能力培養(yǎng)。

附錄包含了本指南中的相關(guān)術(shù)語(yǔ)、主要法規(guī)參考標(biāo)準(zhǔn)及相關(guān)實(shí)務(wù)案例。通過(guò)這部分的繼續(xù)學(xué)習(xí)，您既可以了解更多關(guān)于信息系統(tǒng)審計(jì)的法規(guī)、標(biāo)準(zhǔn)、文獻(xiàn)，又可以將信息系統(tǒng)審計(jì)的計(jì)劃、方案拿來(lái)所用。

三、《指南》怎么用？

如果您正在從事信息系統(tǒng)審計(jì)工作，《指南》可以作為您的工具書(shū)，時(shí)常用來(lái)參考，結(jié)合您所在組織實(shí)際情況，進(jìn)一步拓展您工作的寬度和深度。

如果您希望了解和學(xué)習(xí)信息系統(tǒng)審計(jì)知識(shí)經(jīng)驗(yàn)，《指南》可以作為您的教科書(shū)，全面系統(tǒng)地幫您補(bǔ)足短板。

如果您是其他組織或者人員接受委托、聘用，承辦或者參與內(nèi)部審計(jì)業(yè)務(wù)的人員，《指南》可以作為您參考的工作標(biāo)準(zhǔn)，指導(dǎo)您為客戶(hù)交付更好的審計(jì)成果。

如果您是信息系統(tǒng)的設(shè)計(jì)者、建設(shè)者或管理者，《指南》可以作為您的“燈塔”，指引您正確設(shè)計(jì)、建設(shè)和運(yùn)維，避開(kāi)盲目建設(shè)、重復(fù)建設(shè)、信息孤島、信息安全事件等“暗礁”和“漩渦”。

《指南》由中國(guó)內(nèi)部審計(jì)協(xié)會(huì)組織，由中國(guó)石油化工集團(tuán)審計(jì)部和北京谷安天下科技有限公司共同編寫(xiě)，歷時(shí)兩年半時(shí)間完成。希望《指南》能為更多內(nèi)審?fù)寿x能。同時(shí)，也希望更多同仁在學(xué)習(xí)和應(yīng)用《指南》的過(guò)程中，提出進(jìn)一步完善的意見(jiàn)和建議，不斷推動(dòng)信息系統(tǒng)審計(jì)實(shí)踐的深入發(fā)展。

附件：第3205號(hào)內(nèi)部審計(jì)實(shí)務(wù)指南——信息系統(tǒng)審計(jì).pdf