《国际内部审计专业实务标准》中第2100号标准的解释 相关标准：第2100条标准 工作性质 内部审计活动应当通过应用系统的、规范的方法，评价并改善风险管理、控制和治理过程。 本实务公告源自国际信息系统审计和控制协会（ISACA）指引——信息系统业务外包给其它机构，文件G4。该信息系统审计指引由ISACA于1999 年9月发布。引用该文件经过ISACA的许可和确认。本实务公告与ISACA指引的任何差异，ISACA不保证其准确性或支持这些改变。 本实务公告的性质：内部审计师在进行信息系统业务外包的审计时，应考虑下列建议。本实务公告无意囊括有关信息系统外包业务审计的综合性确认和咨询业务需要的所有程序，仅推荐一系列高层次审计师责任，作为制定详细审计计划的补充。 实施审计前的考虑 1. 首席审计执行官应确认内部审计部门拥有或可取得独立及胜任的审计资源，以执行信息系统业务外包给其它机构的审计，并评估相关的风险暴露。 2. 对外部服务提供者进行审计的权利通常并不明确。遵循审计的责任通常也不明确。首席审计执行官及/或被指派的内部审计师应协同法律、合同管理或其它权责部门，以确认外包合约容许对外部服务提供者进行审计的程度，并考虑此项条款是否恰当。若有必要，应征询法律专家的意见 3. 首席审计执行官及/或被指派的内部审计师也应评可否信赖外部服务提供者的内部审计师或其聘用的独立第三者所进行的任何信息系统审计工作。在开展审计工作前，应确认自行审计或依赖他人工作的能力。 计划的考虑 1. 发现事实 内部审计师应了解外包服务的性质、时间及范围。内部审计师应确认外界服务使用者已建立何种控制，以符合下列业务需求：确保第三者的角色及责任业已明确界定、遵循，并持续符合要求（COBIT 高层次控制目标DS2）。 与服务外包相关的风险应加以辨认及评估。 内部审计师应评估外界服务使用者的控制，可以合理确保达到企业目标，以及预防、发现及改正不希望发生的事件的程度。 2. 计划 内部审计师应评估与外界服务提供者有关的以往审计报告，并计划信息系统审计工作，以强调与外界服务提供者环境相关的审计目标，并考虑计划期间内获得的信息。 审计目标传达给外界服务提供者之前，应获得服务使用者管理层的认可。 外界服务提供者所要求的任何改变应取得服务使用者管理层的同意。 内部审计师计划信息系统审计工作时，应遵循相关的专业审计准则，就如同在服务使用者工作环境执行审计一样。 实施审计 1. 审计证据要求 审计工作的实施应如同在使用者自己的信息系统环境实施审计一样。 2. 与外界服务提供者的合同 内部审计师应考虑下列事项： 服务使用者与服务提供者之间订定正式的合同 外包合同中应包含一项条款，明确陈述服务提供者有义务符合适用于其业务的所有法律要求，并遵循与其应代理的服务使用者职能有关的法规。 外包合同规定服务提供者执行的业务应接受控制及审计，就如同服务使用者自己执行业务一样。 与服务提供者的合同应包含审计的存取权限 订定服务层级协议，并包含绩效监控程序 遵循服务使用者的安全政策 服务提供者忠诚保险措施的充分性 服务提供者人事政策及程序的充分性 3. 外包服务的管理 内部审计师应验证： 用以产生监控服务层级协议遵循情形的信息的业务流程得到适当的控制 当服务层级协议未被遵守时，服务使用者业已寻求补偿，并已考虑应实施的纠正行动，已达到原定的服务水平 服务使用者有足够的能力去追踪及复核所获得的服务 4. 范围的限制 当服务提供者实际上不愿意配合内部审计师时，内部审计师应向服务使用者管理阶层及首席审计执行官报告。 报告 内部审计师应在审计工作完成时，以适当的格式向预期的服务使用者出具报告。 内部审计师应考虑在出报告前与服务提供者进行讨论，但内部审计师无须向服务提供者出具最终的审计报告。如果服务提供者应取得报告的副本，通常应来自于服务使用者的管理层。 审计报告应指明内部审计师或服务使用者管理层对于报送该报告的限制。例如，服务提供者未获得内部审计师所在部门的同意前，不得将审计报告副本提供给其它使用者，若有必要，也应取得服务使用者的同意。内部审计师也应考虑在审计报告中加入免除对第三者责任的声明。 如果审计存取权限遭到拒绝，审计报告应明白指出审计范围受到限制，并应说明该项限制对于审计工作及结果的影响。 后续审计工作 就如同在服务使用者工作环境实施审计一样，内部审计师应就先前有关的审计发现、结论与建议，从服务使用者及服务提供者方面取得适当的信息。内部审计师应确认服务提供者是否已适时采取了适当的纠正措施。