《国际内部审计专业实务标准》中第2100条标准的解释 相关标准：第2100条标准 工作性质 内部审计活动应当通过应用系统的、规范的方法，评价并改善风险管理、控制和治理过程。 本实务公告源自国际信息系统审计和控制协会（ISACA）指引——广泛性信息系统控制的效果，文件G11。该信息系统审计指引由ISACA于2000年3月发布。引用该文件经过ISACA的许可和确认。本实务公告与ISACA指引的任何差异，ISACA不保证其准确性或支持这些改变。 本实务公告性质：内部审计师实施信息系统控制检查时应当考虑以下建议。本实务公告无意囊括实施信息系统审计所需要的所有程序，仅推荐一系列高层次审计师责任，作为制定详细审计计划的补充。 1 控制框架 概述 COBIT将“控制”定义为“政策、程序、实务及组织结构的设计，用来合理确保组织目标的实现，并确保不希望发生的事件被预防或发现并纠正。”针对每一项信息系统审计，内部审计师应当区分影响所有信息系统和运营的一般控制（广泛性信息系统控制），以及在更为特定的层次运行的控制（详细信息系统控制），以便将审计力量集中在与审计目标相关的风险领域。以下描述的控制框架有助于内部审计师达成这一重点。 广泛性信息系统控制 广泛性信息系统控制的例子包括COBIT“计划和组织”范畴及“监督”范畴所定义的信息系统过程控制，如，“PO1—订立IT战略性计划”及“M1——监督各项流程”。广泛性信息系统控制是一般控制的一个子集合，即侧重于信息系统管理和监控的一般控制。 广泛性信息系统控制的效果并不局限于财务系统应用控制的可靠性，广泛性信息系统控制也影响下列详细信息系统控制的可靠性，例如， l 程序开发 l 系统实施 l 安全管理 l 备份程序 薄弱的信息系统管理和监控（例如，薄弱的广泛性信息系统控制）应当警示内部审计师一项高风险，即设计用于详细层次运行的控制可能失效。 详细信息系统控制 详细信息系统控制是由应用控制和未包含于广泛性信息系统控制的一般控制所组成的。在COBIT框架中，详细信息系统控制是指与信息系统和服务的取得、实施、交付和支持有关的控制，例如对以下事项的控制： l 成套软件的安装 l 系统安全参数 l 灾难恢复计划 l 数据输入验证 l 例外报告的产生 l 锁定试图无效存取的用户帐号 应用控制是详细信息系统控制的一个子集合，例如数据输入验证，既是详细信息系统控制又是一项应用控制。安装及确认系统（AI5）属于详细信息系统控制，但并非应用控制。 信息系统控制之间的关系如下列大纲所示： l 信息系统控制 l 一般控制 l 广泛性信息系统控制 l 详细信息系统控制 l 应用控制 内部审计师应当考虑非信息系统控制对审计范围和程序的影响。 广泛性信息系统控制和详细信息系统控制之间的互动 COBIT框架将信息系统控制区分为四个范畴： l 计划与组织 l 取得与实施 l 交付与支持 l 监控 “取得与实施（AI）”和“交付与支持（DS）”两个范畴的控制效果受到“计划与组织（PO）”以及“监控（M）”两个范畴的控制运营效果的影响。管理层的不当计划、组织和监督，意味着取得、实施、服务交付及支持方面的控制将失效。相反，强有力的计划、组织和监控可以识别并纠正关于取得、实施、服务交付及支持方面的无效控制。 例如，“取得和维护应用软件”（COBIT 流程索引AI2）流程的有效详细信息系统控制受到下列广泛性信息系统控制的充分性的影响： l 订立IT战略性计划（COBIT流程索引PO1） l 项目管理（COBIT流程索引PO10） l 质量管理（COBIT流程索引PO11） l 监督各项流程（COBIT流程索引M1） 应用系统取得的审计应当包括确认信息系统战略的作用，项目管理方法，质量管理以及监督的方法。例如，当项目管理不当时，内部审计师应当考虑： l 开展额外的工作，以保证该项目属于有效管理； l 向管理层报告广泛性信息系统控制的缺陷 另一个例子为，“确保系统安全”（COBIT流程索引DS5）流程的有效详细信息系统控制受到下列广泛性信息系统控制的充分性的影响： l 定义信息技术组织及关系（COBIT流程索引PO4） l 沟通管理目的和方向（COBIT流程索引PO6） l 评估风险（COBIT流程索引PO9） l 监控流程（COBIT流程索引M1） 对系统安全参数适当性的审计，例如，UNIX，WINDOWS NT，RACF，应当考虑管理层的安全政策（PO6），安全责任的分派（PO4），风险评估程序（PO9），安全政策遵循情况的监督程序（M1）。即使这些参数与内部审计师“最佳实务”的观点不一致，在考虑管理层认识到风险，以及指引如何应特定风险水平的管理政策的情况下，这些参数可能被评估为适当的。审计建议应针对风险管理或政策，以及详细的系统安全参数本身。 2 计划 与广泛性信息系统控制有关的方法 “信息系统审计计划指南”指出，内部审计师应当对所审计的部门实施初步控制评估。这项初步评估应当包括识别和评估相关的广泛性信息系统控制。由于广泛性信息系统控制本质上可能涵盖信息系统应用的不同层面，该项控制的测试可能在特定审计之外的层面上进行。因此，内部审计师需要考虑以前该领域的审计工作，是否可以据此识别和评估这些风险。 如果审计工作显示广泛性信息系统控制无法满足要求，审计师应当考虑这一发现对于用来达到审计目标的即定方法的影响： l 强大的广泛性信息系统控制有助于内部审计师取得对相关详细信息系统控制的确认 l 薄弱的广泛性信息系统控制可能损害强大的详细信息系统控制或使细节性层次的控制更趋薄弱。 足够的审计程序 当广泛性信息系统控制对审计目标具有重大影响时，仅计划审计细部控制是不够的。如果审计广泛性信息系统控制不可能或不切实际，则应当报告此项范围方面的限制。内部审计师应当计划测试相关的广泛性信息系统控制，将有助于达到审计目标。 相关控制 相关广泛性信息系统控制是指那些对于审计任务的特定审计目标具有影响的控制。例如，如果审计目标是针对特定程序库变更的控制提出报告，则与安全政策（PO6）有关的广泛性信息系统控制即属相关，但是与决定技术方向有关的广泛性信息系统控制则可能无关。 进行审计计划时，内部审计师应当确认广泛性信息系统控制总体的哪一部分会影响到特定的审计目标，并将这些控制列入审计范围。COBIT “计划与组织”及“监控”范畴所列示的控制目标，可以协助信息系统审计人员识别相关的广泛性信息系统控制。 审计证据 广泛性信息系统控制可能无须记录，但是信息系统审计人员应当计划取得相关控制有效运作的审计证据。可能的测试列示于本实务公告“开展审计工作”部分。 与详细信息系统控制有关的方法 当审计工作显示广泛性信息系统控制令人满意时，内部审计师应当考虑降低对详细信息系统控制进行测试的计划层级，因为强大的广泛性信息系统控制的审计证据，有助于内部审计师获得对于相关详细信息系统控制的保证。 当审计工作显示广泛性信息系统控制无法满足要求时，内部审计师应当对详细信息系统控制进行足够的测试，以获取审计证据，用以证明尽管相关的广泛性信息系统控制存在缺陷，其详细信息系统控制仍有效运作。 3 开展审计工作 测试广泛性信息系统控制 内部审计师应当开展足够的测试，确认审计期间或在某一特定时点相关的广泛性信息系统控制有效运作。测试程序包括： l 观察 l 确证性查询 l 检查相关文件（政策、标准、会议纪要等） l 重新实施（例如使用计算机辅助审计技术） 如果相关广泛性信息系统控制的测试显示其符合要求，内部审计师应继续进行与审计目标有关的详细信息系统控制审计计划。如果广泛性信息系统控制的运作不符合要求，则原计划的测试层级可能少于应有的水平。 4 报告 广泛性信息系统控制的缺陷 当内部审计师识别出广泛性信息系统控制的缺陷，即使这些领域并未特别列入原定的审计工作范围，仍应当将这些缺陷告知管理层。 范围的限制 当广泛性信息系统控制对于详细信息系统控制的有效性具有重大影响，而广泛性信息系统控制未被审计时，内部审计师应当将其列入向管理层的审计报告，并说明此种情形对于审计发现、结论及建议的可能影响。例如，当内部审计师出具取得成套软件的审计报告，而并没有看到组织的信息系统战略时，应当于报告中说明未能取得信息系统战略或组织尚未制定该战略。如果相关，内部审计师应当向管理层报告无法取得信息系统战略对于审计发现、结论及建议的可能影响。例如，审计师可以说明无法判断该成套软件的取得是否与组织的信息系统战略一致，或是否可以支持企业未来的计划。