仍应当将这些缺陷告知管理层。
范围的限制
当广泛性信息系统控制对于详细信息系统控制的有效性具有重大影响,而广泛性信息系统控制未被审计时,内部审计师应当将其列入向管理层的审计报告,并说明此种情形对于审计发现、结论及建议的可能影响。例如,当内部审计师出具取得成套软件的审计报告,而并没有看到组织的信息系统战略时,应当于报告中说明未能取得信息系统战略或组织尚未制定该战略。如果相关,内部审计师应当向管理层报告无法取得信息系统战略对于审计发现、结论及建议的可能影响。例如,审计师可以说明无法判断该成套软件的取得是否与组织的信息系统战略一致,或是否可以支持企业未来的计划。
11
实务公告2100-12:信息系统业务外包给其它机构
《国际内部审计专业实务标准》中第2100号标准的解释 相关标准:第2100条标准 工作性质
内部审计活动应当通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程。 本实务公告源自国际信息系统审计和控制协会(ISACA)指引——信息系统业务外包给其它机构,文件G4。该信息系统审计指引由ISACA于1999 年9月发布。引用该文件经过ISACA的许可和确认。本实务公告与ISACA指引的任何差异,ISACA不保证其准确性或支持这些改变。
本实务公告的性质:内部审计师在进行信息系统业务外包的审计时,应考虑下列建议。本实务公告无意囊括有关信息系统外包业务审计的综合性确认和咨询业务需要的所有程序,仅推荐一系列高层次审计师责任,作为制定详细审计计划的补充。
实施审计前的考虑
1. 首席审计执行官应确认内部审计部门拥有或可取得独立及胜任的审计资源,以执行信息系统业务外包给其它机构的审计,并评估相关的风险暴露。
2. 对外部服务提供者进行审计的权利通常并不明确。遵循审计的责任通常也不明确。首席审计执行官及/或被指派的内部审计师应协同法律、合同管理或其它权责部门,以确认外包合约容许对外部服务提供者进行审计的程度,并考虑此项条款是否恰当。若有必要,应征询法律专家的意见
3. 首席审计执行官及/或被指派的内部审计师也应评可否信赖外部服务提供者的内部审计师或其聘用的独立第三者所进行的任何信息系统审计工作。在开展审计工作前,应确认自行审计或依赖他人工作的能力。
计划的考虑 1. 发现事实
内部审计师应了解外包服务的性质、时间及范围。内部审计师应确认外界服务使用者已建立何种控制,以符合下列业务需求:确保第三者的角色及责任业已明确界定、遵循,并持续符合要求(COBIT 高层次控制目标DS2)。
与服务外包相关的风险应加以辨认及评估。
内部审计师应评估外界服务使用者的控制,可以合理确保达到企业目标,以及预防、发现及改正不希望发生的事件的程度。
2. 计划
内部审计师应评估与外界服务提供者有关的以往审计报告,并计划信息系统审计工作,以强调与外界服务提供者环境相关的审计目标,并考虑计划期间内获得的信息。
12
审计目标传达给外界服务提供者之前,应获得服务使用者管理层的认可。 外界服务提供者所要求的任何改变应取得服务使用者管理层的同意。
内部审计师计划信息系统审计工作时,应遵循相关的专业审计准则,就如同在服务使用者工作环境执行审计一样。
实施审计 1. 审计证据要求
审计工作的实施应如同在使用者自己的信息系统环境实施审计一样。 2. 与外界服务提供者的合同 内部审计师应考虑下列事项:
(1)服务使用者与服务提供者之间订定正式的合同
(2)外包合同中应包含一项条款,明确陈述服务提供者有义务符合适用于其业务的所有法律要求,并遵循与其应代理的服务使用者职能有关的法规。
(3)外包合同规定服务提供者执行的业务应接受控制及审计,就如同服务使用者自己执行业务一样。 (4)与服务提供者的合同应包含审计的存取权限 (5)订定服务层级协议,并包含绩效监控程序 (6)遵循服务使用者的安全政策 (7)服务提供者忠诚保险措施的充分性 (8)服务提供者人事政策及程序的充分性 3. 外包服务的管理 内部审计师应验证:
(1)用以产生监控服务层级协议遵循情形的信息的业务流程得到适当的控制
(2)当服务层级协议未被遵守时,服务使用者业已寻求补偿,并已考虑应实施的纠正行动,已达到原定的服务水平
(3)服务使用者有足够的能力去追踪及复核所获得的服务 4. 范围的限制
当服务提供者实际上不愿意配合内部审计师时,内部审计师应向服务使用者管理阶层及首席审计执行官报告。
报告
内部审计师应在审计工作完成时,以适当的格式向预期的服务使用者出具报告。
内部审计师应考虑在出报告前与服务提供者进行讨论,但内部审计师无须向服务提供者出具最终的审计报告。如果服务提供者应取得报告的副本,通常应来自于服务使用者的管理层。
13
审计报告应指明内部审计师或服务使用者管理层对于报送该报告的限制。例如,服务提供者未获得内部审计师所在部门的同意前,不得将审计报告副本提供给其它使用者,若有必要,也应取得服务使用者的同意。内部审计师也应考虑在审计报告中加入免除对第三者责任的声明。
如果审计存取权限遭到拒绝,审计报告应明白指出审计范围受到限制,并应说明该项限制对于审计工作及结果的影响。
后续审计工作
就如同在服务使用者工作环境实施审计一样,内部审计师应就先前有关的审计发现、结论与建议,从服务使用者及服务提供者方面取得适当的信息。内部审计师应确认服务提供者是否已适时采取了适当的纠正措施。
14
实务公告2100-13:第三方对于组织信息技术控制的影响
《国际内部审计专业实务标准》中第2100条标准的解释 相关标准:第2100条标准 工作性质
内部审计活动应当通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程。
本实务公告源自国际信息系统审计和控制协会(ISACA)指引——第三方对组织信息技术控制的影响,文件G16。该信息系统审计指引由ISACA于2002年3月发布。引用该文件经过ISACA的许可和确认。
本实务公告与ISACA指引的任何差异,ISACA不保证其准确性或支持这些改变。
本实务公告的性质:内部审计师在审计第三方对于组织信息系统控制的影响时,应当考虑下列建议。本公告无意囊括执行信息系统业务外包确认性或咨询业务的所有必要程序,仅就高层内部审计人员的主要责任提出建议,用以补充详细的审计计划工作。实务公告的遵循不是强制性的。 1、第三方提供的服务
组织基于多种目的使用因特网及企业内网,包括提供员工、供应商及顾客接入现有或新的人力资源、财务、销售及采购等应用系统。许多情况下,是通过一个或多个第三供应方来提供这种接入服务。
第三方可提供下列服务: 连接内网及因特网
通过虚拟私人网络或企业间网络连接至组织的合作伙伴 通过无线技术与顾客连接 网站建立
网站维护、管理与监控 网站安全服务
为硬件提供实际场所(例如共用场所) 监控系统及应用程序的存取 备份及恢复服务
应用系统开发、维护及代管(例如企业资源规划系统、电子商务系统) 企业服务包括现金管理、信用卡、订单处理及呼叫中心服务。 2、第三供应方对于组织的影响
第三供应方可能在不同层级上影响一个组织(包括其伙伴)、其业务流程、各项控制及控制目标,包含因下列事项所产生的影响:
第三供应方的经济存续性
第三供应方通过其通讯系统及应用系统获取的信息
15