在大智移云的今天,随着各类组织加快上系统、上云,内部审计作战的阵地也加快由账簿、制度向信息系统转变。当前受具有IT专业背景的内审同仁占比较少、信息系统审计的实践相对偏少、且各组织信息系统审计实践呈现参差不齐的状态等因素影响,信息系统审计需求的不断增长与有效供给显著不足的矛盾愈来愈突出,已成为困扰内审同仁的一大痛点。为了解决这一痛点,将行业标杆关于信息系统审计的最佳实践赋能内审同仁,通过规范性的操作规程和方法,以规范信息系统审计行为,控制审计工作风险,提高审计工作效率和质量,更好地为组织的战略目标服务,更充分地发挥新时代内部审计的价值,中国内部审计协会组织编写了《第3205号内部审计实务指南——信息系统审计》(以下简称《指南》)。
为帮助内审人员进一步了解《指南》的特点和主要内容,推动《指南》的学习和应用,我们邀请了《指南》起草人为您做如下解读。
一、《指南》的主要特点
《指南》共分六章、14万余字,看起来像一部大部头的书,也许有的同仁一看就怕了,觉得离自己太远,心想:我不是学IT的,估计看不懂;IT虽然我略懂一二,但指南估计写得很枯燥;我是做IT审计实务的,理论性的指南管用吗?这么厚的指南,我什么时间能看完啊?还是不看了吧……
如果您有上述对《指南》的刻板印象,估计起草者要难过了……事实上,起草者从开始酝酿该指南的那天起,就定下了简明易懂好用的原则,就是想让同仁们真正懂指南、用指南,帮助同仁解决信息系统审计中遇到的实际困难和实际问题。
首先,《指南》尽可能减少使用复杂的专业术语,少量的专业术语也均给出了释义,深入浅出,很容易理解。
其次,《指南》立足于审计实务,解决实际问题,几乎没有看起来空洞复杂的理论,和日常的审计工作息息相关。
第三,《指南》以风险为基础,以内部控制为重点,审计的思路、方法与常规的审计工作是相通的,完全不难理解。
第四,《指南》以用户为导向,坚持易于操作的原则,对各方面的审计列出了常见问题和风险清单,方便应用和操作。
第五,《指南》坚持源于实践、遵循中国内部审计协会2014年发布实施的《信息系统审计准则》的思路,根据信息化不断演进变化的实际情况做适当拓展,您不仅能看到常见的信息系统审计内容,而且能了解到云安全、数据安全、移动互联网安全、物联网安全等新兴的审计内容。
第六,《指南》涵盖了当下信息系统审计的绝大部分的内容,也许有些工作在您的组织中还并未开展,但《指南》的前瞻性和指导性一定会为您在实际工作中提供有益的帮助。
所以,希望您摈弃对《指南》的刻板印象,学习《指南》,应用《指南》。因为,这本具有全面性和系统性特点的《指南》能帮助您解决信息系统审计实践中遇到的问题和困惑,为您拓宽视角,打开思路。
二、《指南》有什么?
《指南》共分六章,其中:
第一章介绍了信息系统审计的基本概念、内容体系和审计程序等基础理论,提出了关于信息系统审计的总体概念框架。看完本章,您会对信息系统审计的目标、原则、特点、内容、程序、方法、工具等有全面的了解。
第二章介绍了组织层面信息系统管理控制审计。组织层面信息系统管理控制是企业信息化设计与建设的关键。看完本章,您不仅会对堪称组织信息化建设顶层设计的信息系统治理审计、信息系统与业务目标一致性审计深入了解,而且会对信息系统投资与绩效、组织与制度、风险管理、项目管理等审计有更深入的认识。
第三章介绍了信息系统一般控制审计。看完本章,您将登堂入室,对于应用系统开发、测试与上线,信息系统运维与服务管理,信息安全管理等传统的IT审计项目,有了比较全面的掌握。
第四章介绍了信息系统应用控制审计。看完本章,您将曲径通幽,对于核心业务流程控制,应用系统输入控制、处理控制、输出控制,信息共享与业务协调等审计内容,有了更清晰的工作路径。
第五章介绍了信息系统相关专项审计。这一章,基础与升级并存。既有常见的信息科技外部审计、灾备与业务连续性审计、关键信息基础设施安全审计等专项审计的内容,又有云安全审计、数据安全审计、移动互联网安全审计、工控系统安全审计、物联网安全审计等新兴安全审计的内容。如果您能对这一章的内容应用自如,您将成为一名资深IT审计专家。
第六章介绍了信息系统审计的质量控制。审计质量是审计工作的生命线。无论是传统审计,还是信息系统审计,都要强化审计的质量控制。一方面,要加强审计全过程的质量控制;另一方面,还要加强审计人员的专业胜任能力培养。
附录包含了本指南中的相关术语、主要法规参考标准及相关实务案例。通过这部分的继续学习,您既可以了解更多关于信息系统审计的法规、标准、文献,又可以将信息系统审计的计划、方案拿来所用。
三、《指南》怎么用?
如果您正在从事信息系统审计工作,《指南》可以作为您的工具书,时常用来参考,结合您所在组织实际情况,进一步拓展您工作的宽度和深度。
如果您希望了解和学习信息系统审计知识经验,《指南》可以作为您的教科书,全面系统地帮您补足短板。
如果您是其他组织或者人员接受委托、聘用,承办或者参与内部审计业务的人员,《指南》可以作为您参考的工作标准,指导您为客户交付更好的审计成果。
如果您是信息系统的设计者、建设者或管理者,《指南》可以作为您的“灯塔”,指引您正确设计、建设和运维,避开盲目建设、重复建设、信息孤岛、信息安全事件等“暗礁”和“漩涡”。
《指南》由中国内部审计协会组织,由中国石油化工集团审计部和北京谷安天下科技有限公司共同编写,历时两年半时间完成。希望《指南》能为更多内审同仁赋能。同时,也希望更多同仁在学习和应用《指南》的过程中,提出进一步完善的意见和建议,不断推动信息系统审计实践的深入发展。