国际注册内部审计师协会发布新的实务公告
国际注册内部审计师协会为了进一步规范和指导内部审计工作,前一段发布了6个实务公告,内容涉及应用系统检查、审计抽样、广泛性信息系统控制的效果 、信息系统业务外包给其它机构 、第三方对 于组织信息技术控制的影响、审计证据要求 。
实务公告2100-9:应用系统检查
《国际内部审计专业实务标准》中第2100条标准的解释 相关标准:第2100条标准 工作性质
内部审计活动应当通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程。 本实务公告源自国际信息系统审计和控制协会(ISACA)指引——应用系统检查,文件G14。该信息系统审计指引由ISACA于2001年11月发布。引用该文件经过ISACA的许可和确认。本实务公告与ISACA指引的任何差异,ISACA不保证其准确性或支持这些改变。
本实务公告性质:内部审计师实施应用系统检查时应当考虑以下建议。本实务公告无意囊括与应用系统检查相关的综合性确认或咨询业务所需要的所有程序,仅推荐一系列高层次审计师责任,作为制定详细审计计划的补充。
1、首席审计执行官应当确定内部审计活动具备或者可以取得独立[1]并且胜任的审计资源,开展应用系统检查并评估相关的风险暴露。 审计计划的考虑
2、审计计划的一部分内容是充分了解组织的信息系统环境,便于内部审计师确定系统的规模和复杂程度,以及组织对信息系统的依赖程度。内部审计师应当了解组织的目的和业务目标,运用信息技术和信息系统的水平和方式,与组织的目的及其信息系统相关联的风险和披露情况。此外,还需要了解组织结构,包括主要信息系统人员和应用系统业务处理负责人的职权和责任。审计计划过程中还应当考虑业务领域的风险。
审计计划的主要目的是确定应用水平的风险。相关水平的风险影响所需要的审计证据的水平。系统层面和数据层面的应用水平风险包括以下内容: l、与缺乏系统操作能力相关的系统可获得性风险 2、与未经授权进入系统或取得数据相关的系统安全性风险
3、与处理数据不完整、不准确、不及时和未经授权相关的系统完整性风险
1
[1] 独立——指内部审计师未介入应用系统的开发、收购、运行或维护等工作。
l、在要求持续提供系统的可获得性、安全性和完整性的情况下,与无法更新系统相关的系统维护风 险
2、与数据全面、完整、保密、准确、及时相关的数据风险
针对应用水平风险的应用控制可以采用系统内置的计算机化控制,或者手工实施的控制,或者两者结合的形式。例如计算机化文件核对(采购订单、发票和收货报告),核对和签署机打票据,由高级管理人员对特殊报告进行检查。
在选择信赖程序控制的情况下,应当考虑相关的总体信息技术控制以及与审计目标有关的控制。总体信息技术控制可以是一项单独的检查,主要包括:物理控制、系统层的安全、网络管理、数据备份以及应变计划。根据检查的控制目标,内部审计师可以不需要检查总体控制,例如,对应用系统进行评估用于收购的情况。
应用系统检查可以在一整套应用系统用于收购目的进行评估的时候开展,可以在系统投产之前(运行前)和投产之后(运行后)进行。运行前应用系统检查的涵盖范围包括应用水平的安全构造,执行安全措施的计划,系统和用户记录的充分性,实际或计划的用户接受测试的充分性。运行后应用系统检查的涵盖范围包括运行后的应用水平安全,如果存在数据和主文件信息从旧系统向新系统转换的情况,则包括系统转换的检查。
应用系统检查的目标和范围通常构成业务计划书的一部分,业务计划书的形式和内容可以有所不同,但应当包括:
l、应用系统检查的目标和范围 2、实施检查的内部审计师
3、有关该项目内部审计师独立性的声明
4、检查开始的时间和整个时间计划 5、报告安排,包括结束会议安排
6、检查目标应当考虑符合7 COBIT 信息标准,并取得组织的同意。 7、 COBIT 信息标准包括下列内容:
信息的有效性、效率性、保密性、完整性、可获得性、遵循情况和可靠性。
如果承担审计任务的内部审计师之前参与了应用系统的开发、收购、运行和维护工作,那么内部审计师的独立性可能会受到损害。内部审计师应当参照相关指南处理这类情况。 实施审计工作
3 a) 记录业务流程
收集到的信息应当包括系统计算机化方面和手工的两方面内容。重点关注对审计目标较为重要的数
2
据输入(电子或手工)、处理、存储和输出。内部审计师可能会发现依靠业务流程和记录交易过程所采用的技术实际上不易操作。在这种情况下,内部审计师应当编制高层数据流程表或叙述材料,或者在提供的前提下,采用系统说明。
同时需要予以考虑的是记录与其他系统的应用接口,内部审计师应当通过实施某些程序,如穿行测试,来确认上述记录。
b) 识别和测试应用系统控制
内部审计师需要识别用来降低系统应用风险的特定控制,获得充分的审计证据,从而确保控制按照预期运行。这项工作可以通过一系列程序完成,例如询问和观察、检查记录、对测试程序化控制的应用系统控制进行测试(可以考虑运用计算机辅助审计技术)。
测试的性质、时间和范围应当基于所检查领域的风险水平和审计目标。在缺乏强大的总体信息技术控制时,内部审计师可以就这一缺陷对于计算机化应用控制的可靠性的影响进行评估,如果信息系统审计师发现计算机化应用控制的重大缺陷,在可能的情况下,应当从手工进行的处理控制中获取保证。 计算机化控制的有效性依赖于强大的总体信息技术控制。因此,如果总体信息技术控制没有经过检查,则对应用控制的信赖会受到严重的限制,内部审计师应当考虑其他替代程序。 报告
4 、通报应用系统业务的结果时应当清楚地描述这项业务的性质和任何限制情形以及信息使用者应当知悉的其他因素。内部审计师应当在报告中指出加强控制方面的适当建议。
应用系统检查过程中发现的由于缺乏控制或未能遵循控制所造成的缺陷,应当提请业务过程负责人和负责应用支持的信息系统管理部门的关注。在应用系统检查过程中发现的缺陷或薄弱环节被认为严重或重要的情况下,应当建议适当的管理层立即采取纠正措施。由于有效的计算机化控制依赖于总体信息技术控制,因此这一领域的缺陷也应当予以报告。未对总体计算机化控制进行检查的事实也应当反映在报告中。
3
实务公告2100-10:审计抽样
《国际内部审计专业实务标准》中第2100条标准的解释 相关标准:第2100条标准 工作性质
内部审计活动应当通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程。 本实务公告源自国际信息系统审计和控制协会(ISACA)指引——审计抽样,文件G10。该信息系统审计指引由ISACA于2000年3月发布。引用该文件经过ISACA的许可和确认。本实务公告与ISACA指引的任何差异,ISACA不保证其准确性或支持这些改变。
本实务公告性质:内部审计师运用审计抽样技术进行测试时应当考虑以下建议。本实务公告无意囊括运用审计抽样所需要的所有程序,仅推荐一系列高层次审计师责任,作为制定详细审计计划的补充。
实施审计工作 审计抽样
内部审计师在使用统计抽样或非统计抽样方法时,应设计并选择审计样本,实施审计程序,评价抽样结果,以获取充分、可靠、相关并且有效的审计证据。在形成审计意见的过程中,由于实际操作不可行,内部审计师通常不会检查所有信息,通过审计样本就能够得出有用的结论。
审计抽样定义为内部审计师对低于总体100%的项目实施审计程序,通过被选择项目的某些特征评价相关的审计证据,从而形成对审计对象总体的结论,或对形成总体结论提供帮助。
统计抽样是通过一定的技术,用数学方法得出有关总体的结论。非统计抽样不以概率统计为基础,由于样本不一定代表总体,抽样结果不应被推断为总体的情况。
样本的设计
内部审计师在设计审计样本的规模和结构时,应当考虑特定的审计目标、审计对象总体的性质、样本以及选取方法。内部审计师应当考虑需要引进适当的专家设计和分析样本。
样本单位——样本单位取决于抽样的目的。对于控制的符合性测试,通常采用属性抽样,样本单位为事件或者交易(例如,对于发票授权的控制)。对于实质性测试,经常采用变量抽样或估计抽样,样本单位通常为金额。
审计目标——内部审计师应当考虑特定的审计目标,以及最可能达到这些目标的审计程序。在审计抽样适当的情况下,应当考虑寻求到的审计证据的性质以及可能的差错条件。
总体——总体是内部审计师希望通过从中抽取样本,得出结论的一整套数据。因此抽取样本的总体对于特定的审计目标必须是适当和完整的。
分层——分层有助于高效并且有效地设计抽样, 分层是将总体分成经过明确定义的具有相似特性的子体的过程,从而使每一个样本单位只属于某一层。
4
样本量——确定样本量时,内部审计师应当考虑抽样风险,预计可以接受的差错量,预期差错的范围。 抽样风险——抽样风险来自于内部审计师得出的结论不同于对总体实施相同的审计步骤得出结论的可能性。抽样风险有两种:
l 、误受风险——指认为重大错报不可能,而实际上总体存在严重错报的风险。 2 、误拒风险——指认为存在重大错报,而实际上总体并不存在重大错误的风险。
内部审计师愿意接受的抽样风险水平影响样本量的大小。抽样风险应当与审计风险模型及其组成部分、内在风险、控制风险、检查风险等结合起来考虑。
可容忍差错率——可容忍误差是内部审计师愿意接受并且仍然能够实现审计目标的总体最大误差率。对于实质性测试,可容忍误差与内部审计师关于重要性的判断有关;对于符合性测试,可容忍误差是内部审计师愿意接受的与事先描述的控制程序的最大差错率。
预期差错率——如果内部审计师预期总体中存在差错,与通常没有差错预期的情况相比,则需要检查更大的样本量,推断出总体中的实际差错并不比计划的可容忍差错率高。当预期总体不存在差错时,调整为较小的样本量。确定总体的预期差错率时,内部审计师应当考虑以前审计确认的差错水平,组织的工作程序发生的变化,内部控制评估得出的证据,以及分析性复核程序的结果。
选取样本
通常采用的四种抽样方法是: 统计抽样法
l 、随机抽样——确保总体中所有样本单位的组合享有相同的选择概率。
2 、系统抽样——采用固定的间隔选取样本单位,第一个间隔的起点是随机的。例如货币单位抽样或者加权价值抽样,总体中的每一个单个金额价值(如,¥1)有平等的选择概率。当单个金额单位不能被分开检查时,包含该金额单位的项目可以被选取进行检查。这种方法在样本数量较大时系统地对选项进行了加权,但仍然给予每一金额价值平等的选择机会。另一个例子是选取每个个位数相同的单位。 非统计抽样法
3 、任意抽样——内部审计师在选择样本时不遵循结构性的技术,但是要避免任何主观偏好或预测。对任意抽样的分析不应当被用作得出总体的结论。
4、判断抽样——这种抽样方法中内部审计师对样本不是平等的(例如,所有超过某一特定值的样本单位,所有特定类型的例外,所有的负数,所有的新用户等)。应当注意判断抽样并非基于统计基础,由于样本不能代表总体,因此抽样结果不应当被推断为总体的结论。
内部审计师应当根据被测试的特点,采用抽取样本能够代表总体的方法选择样本项目,(例如,采用统计抽样方法)。为保持审计的独立性,内部审计师应当确保总体的完整并控制对样本的选择。
为了使抽样代表总体的情况,总体中的所有样本单位应当具有平等或已知的选择概率(例如统计抽样方
5