审计3205号内部审计实务指南-信息系统审计

作者：金贝财税更新时间：2022-04-11

第 3205 号内部审计实务指南—信息系统审计

随着我国信息技术的不断发展，相关组织根据实际工作需要开展建设的信息系统也越来越多。而实务工作中信息系统由于标准不一，建设和应用的要求不同，使得信息系统审计实践工作缺乏统一的依据和参考。为了规范信息系统内部审计实务工作，中国内部审计协会组织编写了本指南。作为内部审计准则体系的一部分，指南为广大内部审计机构和人员提供指导性的操作规程和方法，便于规范信息系统审计行为，控制审计工作风险，提高审计工作效率和质量。

本指南根据《内部审计基本准则》《内部审计人员职业道德规范》《第 2203 号内部审计具体准则——信息系统审计》《信息技术服务、治理、安全审计》（中国电子工业标准化协会）

《中华人民共和国国家标准信息技术服务治理第 4 部分：审计导则》（GB/T34960.4-2017）、《COBIT 5.0》(信息系统审计与控制协会（ISACA）2012)《全球技术审计指南 GTAG》（国际内部审计师协会）《中华人民共和国网络安全法》《网络安全等级保护基本要求》（GB/T22239-2019）《关键信息基础设施网络安全保护基本要求》（报批稿）等标准制定。

本指南力求结合国内信息系统审计现状，参考相关组织内部信息系统审计管理规定、信息化评价办法、信息系统审计指

导意见、规范等，围绕组织信息系统涉及的组织层面、一般控制、应用控制三方面内容，梳理信息系统审计可能涉及管理环节的关键控制点，结合信息系统建设业务流程中的立项、开发、应用及运维全过程，选取信息系统审计所涉及的建设需求分析、立项管理、预算管理、成本管理、招投标管理、采购管理、合同管理、进度管理、安全管理、质量管理、应用及运维管理、运行的效果及效率等方面，全面系统地提出信息系统审计的内容框架及实务操作指南。

由于当前信息化对新技术应用的逐步深入，信息系统审计不可避免地会涉及对新技术应用（例如云计算、物联网等）的审计和某些常见专题（IT 外包、业务连续性等）的审计，本指南把这部分内容汇总在一起，单独形成一个信息系统专题审计的章节，以便于当前使用和未来扩展。

本指南共分六章，其中：第一章介绍了信息系统审计的基本概念、内容体系和审计程序等基础知识，提供关于信息系统审计的总体概念框架；第二章介绍了组织层面信息系统管理控制审计；第三章介绍了信息系统一般控制审计；第四章介绍了信息系统应用控制审计；第五章介绍了信息系统相关专项审计；第六章介绍了信息系统审计的质量控制；附录中涉及了本指南中的相关术语、主要法规参考标准及相关实务案例。

本指南突出以内部控制为基础的流程审计及以风险管理为基础的风险导向审计，以评价信息系统建设程序和内容的合法合规性，信息系统数据的真实性、准确性，信息系统的安全性，以及信息系统应用的效果性、效率性等为目标，帮助内部审计人员确定适用的审计依据、审计流程、审计方法等，力求达到简明、易懂、易操作的目的。其内容是开放性的，将随着信息系统审计实践工作的不断深入做进一步充实和完善。

本指南适用于各类组织的内部审计机构、内部审计人员开展的信息系统审计活动。其他组织或者人员接受委托、聘用，承办或者参与内部审计业务的，应当参照本指南。

本指南自 2021 年 3 月 1 日起施行。