實務(wù)公告2100-13:第三方對于組織信息技術(shù)控制的影響

字號:

相關(guān)標(biāo)準(zhǔn):第2100條標(biāo)準(zhǔn)
    工作性質(zhì)
    內(nèi)部審計活動應(yīng)當(dāng)通過應(yīng)用系統(tǒng)的、規(guī)范的方法,評價并改善風(fēng)險管理、控制和治理過程。
    本實務(wù)公告源自國際信息系統(tǒng)審計和控制協(xié)會(ISACA)指引——第三方對組織信息技術(shù)控制的影響,文件G16。該信息系統(tǒng)審計指引由ISACA于2002年3月發(fā)布。引用該文件經(jīng)過ISACA的許可和確認(rèn)。本實務(wù)公告與ISACA指引的任何差異,ISACA不保證其準(zhǔn)確性或支持這些改變。
    本實務(wù)公告的性質(zhì):內(nèi)部審計師在審計第三方對于組織信息系統(tǒng)控制的影響時,應(yīng)當(dāng)考慮下列建議。本公告無意囊括執(zhí)行信息系統(tǒng)業(yè)務(wù)外包確認(rèn)性或咨詢業(yè)務(wù)的所有必要程序,僅就高層內(nèi)部審計人員的主要責(zé)任提出建議,用以補(bǔ)充詳細(xì)的審計計劃工作。實務(wù)公告的遵循不是強(qiáng)制性的。
    1、第三方提供的服務(wù)
    組織基于多種目的使用因特網(wǎng)及企業(yè)內(nèi)網(wǎng),包括提供員工、供應(yīng)商及顧客接入現(xiàn)有或新的人力資源、財務(wù)、銷售及采購等應(yīng)用系統(tǒng)。許多情況下,是通過一個或多個第三供應(yīng)方來提供這種接入服務(wù)。
    第三方可提供下列服務(wù):
    連接內(nèi)網(wǎng)及因特網(wǎng)
    通過虛擬私人網(wǎng)絡(luò)或企業(yè)間網(wǎng)絡(luò)連接至組織的合作伙伴
    通過無線技術(shù)與顧客連接
    網(wǎng)站建立
    網(wǎng)站維護(hù)、管理與監(jiān)控
    網(wǎng)站安全服務(wù)
    為硬件提供實際場所(例如共用場所)
    監(jiān)控系統(tǒng)及應(yīng)用程序的存取
    備份及恢復(fù)服務(wù)
    應(yīng)用系統(tǒng)開發(fā)、維護(hù)及代管(例如企業(yè)資源規(guī)劃系統(tǒng)、電子商務(wù)系統(tǒng))
    企業(yè)服務(wù)包括現(xiàn)金管理、信用卡、訂單處理及呼叫中心服務(wù)。
    2、第三供應(yīng)方對于組織的影響
    第三供應(yīng)方可能在不同層級上影響一個組織(包括其伙伴)、其業(yè)務(wù)流程、各項控制及控制目標(biāo),包含因下列事項所產(chǎn)生的影響:
    第三供應(yīng)方的經(jīng)濟(jì)存續(xù)性
    第三供應(yīng)方通過其通訊系統(tǒng)及應(yīng)用系統(tǒng)獲取的信息
    系統(tǒng)及應(yīng)用程序的可用性
    處理的完整性
    應(yīng)用系統(tǒng)開發(fā)及變更管理流程
    通過備份恢復(fù)、應(yīng)變計劃及重復(fù)設(shè)備來保護(hù)系統(tǒng)及信息資產(chǎn)
    第三方可成為組織的控制及相關(guān)控制目標(biāo)達(dá)成的關(guān)鍵因素。審計師應(yīng)評估第三方所提供與信息技術(shù)環(huán)境、相關(guān)控制及控制目標(biāo)有關(guān)的服務(wù)。
    組織為了有限的目的而使用第三供應(yīng)方時,例如共用場所服務(wù),可能就第三方與組織達(dá)成其控制目標(biāo)有關(guān)的控制給予有限度的信賴。不過,組織若為了其他目的使用供應(yīng)者,例如代管財務(wù)會計系統(tǒng)及電子商務(wù)系統(tǒng),則可能完全利用供應(yīng)者的控制,或?qū)⑵渑c組織的控制相結(jié)合,以達(dá)到控制目標(biāo)。
    同樣,組織達(dá)成其控制目標(biāo)的能力可能因為第三方控制的相對有效或無效,而增強(qiáng)或削弱??刂迫笔Э赡艹鲎远喾N來源,包括:
    由于將服務(wù)外包給第三方造成的控制環(huán)境差距
    薄弱的控制設(shè)計導(dǎo)致控制運作無效
    負(fù)責(zé)控制功能的人員缺乏知識或無經(jīng)驗
    過度依賴第三方的控制(組織內(nèi)并無補(bǔ)償控制)
    缺乏控制或控制設(shè)計、營運或效果的缺失可能導(dǎo)致下列事項:
    喪失信息的機(jī)密性及隱私性
    系統(tǒng)在需要時無法使用
    未經(jīng)授權(quán)的存取及變更系統(tǒng)、應(yīng)用程序或資料
    系統(tǒng)、應(yīng)用程序或資料的變更導(dǎo)致系統(tǒng)或安全機(jī)制無效、資料流失、資料真實性喪失、欠缺資料保護(hù)或系統(tǒng)無法使用
    系統(tǒng)資源及/或信息資產(chǎn)的損失
    上述任何事項導(dǎo)致組織的成本增加
    3、審計人員應(yīng)執(zhí)行的程序
    取得了解
    作為計劃過程的一部分,審計人員應(yīng)了解并記錄服務(wù)供應(yīng)者及組織控制環(huán)境之間的關(guān)系。審計人員應(yīng)考慮復(fù)核第三方與組織之間的合同、服務(wù)層級協(xié)定、政策及程序等事項。
    審計人員應(yīng)當(dāng):
    l 記錄對于組織流程及控制目標(biāo)有直接影響的第三方流程及控制。
    l 識別每項控制、該控制在合并的控制環(huán)境所處的位置(內(nèi)部或外部)、控制的類型、功能(預(yù)防、發(fā)現(xiàn)或糾正)及實施該功能的組織(內(nèi)部或外部)。
    l 評估第三方對組織所提供的服務(wù)的風(fēng)險、其控制及控制目標(biāo)。
    l 決定第三方的控制對于組織達(dá)成其控制目標(biāo)的重要性。
    l 通過實施詢問、觀察和交易穿行測試,確認(rèn)對控制環(huán)境的了解。
    評估第三方控制的角色
    如果第三方對于組織控制目標(biāo)的角色或影響是重大的,則內(nèi)部審計師應(yīng)評估這些控制,確定控制是否有效運作,并協(xié)助組織達(dá)成其控制目標(biāo)。
    評估已確認(rèn)的控制缺陷
    審計師應(yīng)當(dāng)評估信息技術(shù)環(huán)境存在控制設(shè)計或運作缺陷的可能性(或控制風(fēng)險)。審計師應(yīng)識別何處存在控制缺陷。
    其次審計師應(yīng)當(dāng)評估該項控制風(fēng)險是否重大及其對控制環(huán)境具有何種影響。缺陷經(jīng)過識別后,內(nèi)部審計師應(yīng)確認(rèn)是否設(shè)有補(bǔ)償性控制,以抵銷這些缺陷所造成的影響(補(bǔ)償控制可能存在于組織、第三供應(yīng)者或雙方)。如果補(bǔ)償性控制存在,內(nèi)部審計師應(yīng)確認(rèn)它們是否降低了控制缺陷的影響。
    4、與第三供應(yīng)方的合同
    角色與責(zé)任
    組織與第三供應(yīng)方的關(guān)系應(yīng)當(dāng)以實施形合同的形式體現(xiàn)。這份合同是一個關(guān)鍵要素,包含用以規(guī)范雙方當(dāng)事人行動及責(zé)任的多項條款。
    審計人員應(yīng)復(fù)核這份合同(如有可能由組織的法律顧問協(xié)助),以確認(rèn)第三方在協(xié)助組織達(dá)成其控制目標(biāo)方面所擔(dān)負(fù)的角色及責(zé)任。內(nèi)部審計師如何復(fù)核合同的指引不在本實務(wù)公告的范圍之內(nèi),但是,以下例舉部分應(yīng)當(dāng)考慮的事項:
    l 由第三方提供的服務(wù)層級(包括組織、其合作伙伴或雙方共同)
    l 第三方收取費用的合理性
    l 對于資料及應(yīng)用程序的隱私性及機(jī)密性的責(zé)任
    l 對于系統(tǒng)、通信、操作系統(tǒng)、工具軟件、數(shù)據(jù)資料及應(yīng)用軟件的存取控制及管理的責(zé)任
    l 資產(chǎn)及相關(guān)資料的監(jiān)控,以及反饋(組織及第三方)與報告的程序(例行、意外)
    l 信息資產(chǎn)(包括數(shù)據(jù)及域名)所有權(quán)的界定
    l 第三方為組織開發(fā)的客制化程序(custom programming)(包含程序變更文件、原始碼及保管協(xié)議)所有權(quán)的界定
    l 系統(tǒng)及資料保護(hù)(包含備份及恢復(fù)、應(yīng)變計劃及重復(fù)設(shè)備)的條款
    l 審計權(quán)利條款(包括會見第三供應(yīng)方的內(nèi)部審計師及復(fù)核其審計工作底稿及報告)
    l 協(xié)商、復(fù)核及批準(zhǔn)合同及相關(guān)文件(服務(wù)層級協(xié)議及程序)變更的流程
    內(nèi)部審計師至少應(yīng)復(fù)核合同,以確認(rèn)第三方代表組織承擔(dān)控制責(zé)任的程度。該流程應(yīng)評估所識別的控制與遵循監(jiān)控/報告、其設(shè)計及運作效果的充分性。
    公司治理
    即使控制目標(biāo)的達(dá)成涉及第三供應(yīng)方,組織管理層仍應(yīng)負(fù)起責(zé)任。管理層責(zé)任的一部分,在于建立一套流程用來管理與第三供應(yīng)方的關(guān)系及其績效。內(nèi)部審計師應(yīng)確認(rèn)并復(fù)核該流程的組成要素。審計師應(yīng)復(fù)核用以識別與第三供應(yīng)方本身及其提供服務(wù)相關(guān)的風(fēng)險的管理流程,以及管理層如何管理雙方的關(guān)系等事項。
    審計人員復(fù)核管理過程時,應(yīng)確認(rèn)管理層是否根據(jù)合同約定的績效標(biāo)準(zhǔn)及主管機(jī)關(guān)界定的標(biāo)準(zhǔn),來復(fù)核第三供應(yīng)方。管理過程應(yīng)包括對下列專項的復(fù)核:
    l 第三供應(yīng)方的財務(wù)績效
    l 合同條款的遵循
    l 第三方、其審計人員或主管機(jī)關(guān)強(qiáng)制要求控制環(huán)境的變更
    l 其他人員(包括第三方的審計師、顧問及其他人員)實施控制復(fù)核的結(jié)果
    l 維持足夠?qū)哟蔚谋kU
    5第三供應(yīng)方控制的復(fù)核
    合同問題
    當(dāng)復(fù)核第三供應(yīng)方的控制時,內(nèi)部審計師應(yīng)考慮組織與第三供應(yīng)方的合同關(guān)系,以及第三供應(yīng)方對于其控制的評估與報告。
    合同問題可能使得審計師無法復(fù)核第三供應(yīng)方的控制。在此情況下,內(nèi)部審計師應(yīng)評估這一范圍上的限制對于其評估信息系統(tǒng)控制環(huán)境的能力方面的影響。 獨立報告
    第三供應(yīng)方可能提出由獨立來源為其所做的控制報告,這些報告的形式可能為服務(wù)中心的審計報告或其他以控制為基礎(chǔ)的報告。審計師可以利用這些報告作為依賴信息系統(tǒng)控制環(huán)境各項控制的基礎(chǔ)。
    如果內(nèi)部審計師決定采用獨立報告作為依賴第三供應(yīng)方信息系統(tǒng)的基礎(chǔ),則審計師應(yīng)復(fù)核這些報告,以確認(rèn)下列事項:
    l 該獨立方的資質(zhì),包括是否取得適當(dāng)?shù)膶I(yè)資格或認(rèn)證、具備相關(guān)經(jīng)驗,并與有關(guān)的專業(yè)及主管部門保持良好的關(guān)系。
    l 該獨立方與第三供應(yīng)方之間不存在會損及其獨立性及客觀性的關(guān)系。
    l 報告所涵蓋的期間。
    l 報告是否充分(即報告是否涵蓋相關(guān)的系統(tǒng)及控制,是否涵蓋內(nèi)部審計師將要實施審計的領(lǐng)域的測試情況)
    l 控制的測試是否足以使審計師依賴獨立方的工作(即控制測試的性質(zhì)、時間及實施程序的程度都是充分的)。
    l 報告區(qū)分服務(wù)供應(yīng)方的責(zé)任和用戶方的責(zé)任。
    l 用戶組織重視其對于適當(dāng)控制的責(zé)任。
    測試第三方的控制
    如果審計師決定直接復(fù)核及測試第三供應(yīng)方的控制,則內(nèi)部審計師應(yīng)實施下列事項:
    l 與管理階層合作,且在必要或適當(dāng)時,與第三供應(yīng)方的審計師合作,計劃這項業(yè)務(wù)、設(shè)定其目標(biāo)及復(fù)核范圍,并決定時限、人員配置及其他事宜。
    l 討論進(jìn)入第三方系統(tǒng)及資產(chǎn),以及機(jī)密性等事項。
    l 制定審計方案、預(yù)算和業(yè)務(wù)計劃。
    l 驗證控制目標(biāo)。
    一旦內(nèi)部審計師完成現(xiàn)場工作,應(yīng)針對所測試控制的運作效果得出結(jié)論。審計師應(yīng)復(fù)核個別組織控制的有效性,以及組織與第三方控制間的相互作用。在大多數(shù)情況下,組織及第三方的控制會重疊。內(nèi)部審計師應(yīng)評估整體控制與個別控制的運作效果。
    對于特定的目標(biāo),可能出現(xiàn)兩個組織都缺乏控制或控制的運作無效的情形。此外,某一組織的控制優(yōu)點可能被另一組織的控制缺陷部分或全部抵銷。在這些情況下,內(nèi)部審計師應(yīng)評估這些控制缺陷對于整體控制環(huán)境及其程序范圍的影響。
    第三方內(nèi)部審計人員
    內(nèi)部審計師應(yīng)考慮第三方是否設(shè)置內(nèi)部審計部門。內(nèi)部審計人員的存在可以增進(jìn)控制環(huán)境的強(qiáng)度。如果第三方設(shè)有內(nèi)部審計部門,審計應(yīng)確認(rèn)其業(yè)務(wù)涵蓋各項系統(tǒng)的情況以及對組織控制的影響程度。
    如有可能,內(nèi)部審計師應(yīng)復(fù)核相關(guān)的內(nèi)部審計報告。在無法復(fù)核這些報告的情況下,內(nèi)部審計師應(yīng)討論已執(zhí)行審計工作的范圍、所涵蓋的系統(tǒng)與控制,以及已確認(rèn)的重大事項和缺陷。如果第三方不愿意提供這些報告,內(nèi)部審計師應(yīng)評估該限制對于審計程序范圍的影響。
    內(nèi)部審計師也應(yīng)考慮評估第三方內(nèi)部審計人員的技能與專長。完成此項評估的方式包括與這些人員進(jìn)行討論,以及一些額外程序,如復(fù)核其工作計劃、工作底稿及報告。
    6、第三方的轉(zhuǎn)包商
    內(nèi)部審計師應(yīng)確認(rèn)第三方是否使用轉(zhuǎn)包商提供系統(tǒng)及服務(wù)。在使用轉(zhuǎn)包商的情況下,審計人員應(yīng)復(fù)核這些轉(zhuǎn)包商的重要性,以確認(rèn)其與組織相關(guān)的第三方控制的影響。
    如果轉(zhuǎn)包商對于組織相關(guān)的第三方控制不具有重大的影響,內(nèi)部審計師應(yīng)將此記錄于工作底稿。如果轉(zhuǎn)包商對于與組織有關(guān)的控制具有重大的影響,則內(nèi)部審計師應(yīng)評估第三方管理和監(jiān)控與轉(zhuǎn)包商之間關(guān)系的流程。實施這項評估時,內(nèi)部審計師應(yīng)考慮本實務(wù)公告的第4節(jié)和第5節(jié)。
    7、報告
    審計報告應(yīng)指出審計范圍延伸到組織和第三方的控制。內(nèi)部審計師應(yīng)當(dāng)考慮確認(rèn)每一個組織的控制、控制缺陷及補(bǔ)償性控制。溝通結(jié)論和建議的程度時,應(yīng)當(dāng)考慮組織與第三方之間的關(guān)系。某些第三方可能不愿意或無法采納審計建議,在這種情況下,內(nèi)部審計師應(yīng)當(dāng)建議組織采用補(bǔ)償性控制,用來應(yīng)對第三方的控制缺陷。