培训课程
实务公告2100-13:第三方对于组织信息技术控制的影响
《国际内部审计专业实务标准》中第2100条标准的解释
相关标准:第2100条标准
工作性质
内部审计活动应当通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程。
本实务公告源自国际信息系统审计和控制协会(ISACA)指引——第三方对组织信息技术控制的影响,文件G16。该信息系统审计指引由ISACA于2002年3月发布。引用该文件经过ISACA的许可和确认。本实务公告与ISACA指引的任何差异,ISACA不保证其准确性或支持这些改变。
本实务公告的性质:内部审计师该内 容 由中 审 网校 所 属w w w .auditc n.com在审计第三方对于组织信息系统控制的影响时,应当考虑下列建议。本公告无意囊括执行信息系统业务外包确认性或咨询业务的所有必要程序,仅就高层内部审计人员的主要责任提出建议,用以补充详细的审计计划工作。实务公告的遵循不是强制性的。
1、第三方提供的服务
组织基于多种目的使用因特网及企业内网,包括提供员工、供应商及顾客接入现有或新的人力资源、财务、销售及采购等应用系统。许多情况下,是通过一个或多个第三供应方来提供这种接入服务。
第三方可提供下列服务:
连接内网及因特网
通过虚拟私人网络或企业间网络连接至组织的合作伙伴
通过无线技术与顾客连接
网站建立
网站维护、管理与监控
网站安全服务
为硬件提供实际场所(例如共用场所)
监控系统及应用程序的存取
备份及恢复服务
应用系统开发、维护及代管(例如企业资源规划系统、电子商务系统)
企业服务包括现金管理、信用卡、订单处理及呼叫中心服务。
2、第三供应方对于组织的影响
第三供应方可能在不同层级上影响一个组织(包括其伙伴)、其业务流程、各项控制及控制目标,包含因下列事项所产生的影响:
第三供应方的经济存续性
第三供应方通过其通讯系统及应用系统获取的信息
系统及应用程序的可用性
处理的完整性
应用系统开发及变更管理流程
通过备份恢复、应变计划及重复设备来保护系统及信息资产
第三方可成为组织的控制及相关控制目标达成的关键因素。审计师该内 容 由中 审 网校 所 属w w w .auditc n.com应评估第三方所提供与信息技术环境、相关控制及控制目标有关的服务。
组织为了有限的目的而使用第三供应方时,例如共用场所服务,可能就第三方与组织达成其控制目标有关的控制给予有限度的信赖。不过,组织若为了其他目的使用供应者,例如代管财务会计系统及电子商务系统,则可能完全利用供应者的控制,或将其与组织的控制相结合,以达到控制目标。
同样,组织达成其控制目标的能力可能因为第三方控制的相对有效或无效,而增强或削弱。控制缺失可能出自多种来源,包括:
由于将服务外包给第三方造成的控制环境差距
薄弱的控制设计导致控制运作无效
负责控制功能的人员缺乏知识或无经验
过度依赖第三方的控制(组织内并无补偿控制)
缺乏控制或控制设计、营运或效果的缺失可能导致下列事项:
丧失信息的机密性及隐私性
系统在需要时无法使用
未经授权的存取及变更系统、应用程序或资料
系统、应用程序或资料的变更导致系统或安全机制无效、资料流失、资料真实性丧失、欠缺资料保护或系统无法使用
系统资源及/或信息资产的损失
上述任何事项导致组织的成本增加
3、审计人员应执行的程序
取得了解
作为计划过程的一部分,审计人员应了解并记录服务供应者及组织控制环境之间的关系。审计人员应考虑复核第三方与组织之间的合同、服务层级协定、政策及程序等事项。
审计人员应当:
l 记录对于组织流程及控制目标有直接影响的第三方流程及控制。
l 识别每项控制、该控制在合并的控制环境所处的位置(内部或外部)、控制的类型、功能(预防、发现或纠正)及实施该功能的组织(内部或外部)。
l 评估第三方对组织所提供的服务的风险、其控制及控制目标。
l 决定第三方的控制对于组织达成其控制目标的重要性。
l 通过实施询问、观察和交易穿行测试,确认对控制环境的了解。
评估第三方控制的角色
如果第三方对于组织控制目标的角色或影响是重大的,则内部审计师该内 容 由中 审 网校 所 属w w w .auditc n.com应评估这些控制,确定控制是否有效运作,并协助组织达成其控制目标。
评估已确认的控制缺陷
审计师该内 容 由中 审 网校 所 属w w w .auditc n.com应当评估信息技术环境存在控制设计或运作缺陷的可能性(或控制风险)。审计师该内 容 由中 审 网校 所 属w w w .auditc n.com应识别何处存在控制缺陷。
其次审计师该内 容 由中 审 网校 所 属w w w .auditc n.com应当评估该项控制风险是否重大及其对控制环境具有何种影响。缺陷经过识别后,内部审计师该内 容 由中 审 网校 所 属w w w .auditc n.com应确认是否设有补偿性控制,以抵销这些缺陷所造成的影响(补偿控制可能存在于组织、第三供应者或双方)。如果补偿性控制存在,内部审计师该内 容 由中 审 网校 所 属w w w .auditc n.com应确认它们是否降低了控制缺陷的影响。
4、与第三供应方的合同
角色与责任
组织与第三供应方的关系应当以实施形合同的形式体现。这份合同是一个关键要素,包含用以规范双方当事人行动及责任的多项条款。
审计人员应复核这份合同(如有可能由组织的法律顾问协助),以确认第三方在协助组织达成其控制目标方面所担负的角色及责任。内部审计师该内 容 由中 审 网校 所 属w w w .auditc n.com如何复核合同的指引不在本实务公告的范围之内,但是,以下例举部分应当考虑的事项:
l 由第三方提供的服务层级(包括组织、其合作伙伴或双方共同)
l 第三方收取费用的合理性
l 对于资料及应用程序的隐私性及机密性的责任
l 对于系统、通信、操作系统、工具软件、数据资料及应用软件的存取控制及管理的责任
l 资产及相关资料的监控,以及反馈(组织及第三方)与报告的程序(例行、意外)
l 信息资产(包括数据及域名)所有权的界定
l 第三方为组织开发的客制化程序(custom programming)(包含程序变更文件、原始码及保管协议)所有权的界定
l 系统及资料保护(包含备份及恢复、应变计划及重复设备)的条款
l 审计权利条款(包括会见第三供应方的内部审计师该内 容 由中 审 网校 所 属w w w .auditc n.com及复核其审计工作底稿及报告)
l 协商、复核及批准合同及相关文件(服务层级协议及程序)变更的流程
内部审计师该内 容 由中 审 网校 所 属w w w .auditc n.com至少应复核合同,以确认第三方代表组织承担控制责任的程度。该流程应评估所识别的控制与遵循监控/报告、其设计及运作效果的充分性。
公司治理
即使控制目标的达成涉及第三供应方,组织管理层仍应负起责任。管理层责任的一部分,在于建立一套流程用来管理与第三供应方的关系及其绩效。内部审计师该内 容 由中 审 网校 所 属w w w .auditc n.com应确认并复核该流程的组成要素。审计师该内 容 由中 审 网校 所 属w w w .auditc n.com应复核用以识别与第三供应方本身及其提供服务相关的风险的管理流程,以及管理层如何管理双方的关系等事项。
审计人员复核管理过程时,应确认管理层是否根据合同约定的绩效标准及主管机关界定的标准,来复核第三供应方。管理过程应包括对下列专项的复核:
l 第三供应方的财务绩效
l 合同条款的遵循
l 第三方、其审计人员或主管机关强制要求控制环境的变更
l 其他人员(包括第三方的审计师该内 容 由中 审 网校 所 属w w w .auditc n.com、顾问及其他人员)实施控制复核的结果
l 维持足够层次的保险
5第三供应方控制的复核
合同问题
当复核第三供应方的控制时,内部审计师该内 容 由中 审 网校 所 属w w w .auditc n.com应考虑组织与第三供应方的合同关系,以及第三供应方对于其控制的评估与报告。
合同问题可能使得审计师该内 容 由中 审 网校 所 属w w w .auditc n.com无法复核第三供应方的控制。在此情况下,内部审计师该内 容 由中 审 网校 所 属w w w .auditc n.com应评估这一范围上的限制对于其评估信息系统控制环境的能力方面的影响。
独立报告
第三供应方可能提出由独立来源为其所做的控制报告,这些报告的形式可能为服务中心的审计报告或其他以控制为基础的报告。审计师该内 容 由中 审 网校 所 属w w w .auditc n.com可以利用这些报告作为依赖信息系统控制环境各项控制的基础。
如果内部审计师该内 容 由中 审 网校 所 属w w w .auditc n.com决定采用独立报告作为依赖第三供应方信息系统的基础,则审计师该内 容 由中 审 网校 所 属w w w .auditc n.com应复核这些报告,以确认下列事项:
l 该独立方的资质,包括是否取得适当的专业资格或认证、具备相关经验,并与有关的专业及主管部门保持良好的关系。
l 该独立方与第三供应方之间不存在会损及其独立性及客观性的关系。
l 报告所涵盖的期间。
l 报告是否充分(即报告是否涵盖相关的系统及控制,是否涵盖内部审计师该内 容 由中 审 网校 所 属w w w .auditc n.com将要实施审计的领域的测试情况)
l 控制的测试是否足以使审计师该内 容 由中 审 网校 所 属w w w .auditc n.com依赖独立方的工作(即控制测试的性质、时间及实施程序的程度都是充分的)。
l 报告区分服务供应方的责任和用户方的责任。
l 用户组织重视其对于适当控制的责任。
测试第三方的控制
如果审计师该内 容 由中 审 网校 所 属w w w .auditc n.com决定直接复核及测试第三供应方的控制,则内部审计师该内 容 由中 审 网校 所 属w w w .auditc n.com应实施下列事项:
l 与管理阶层合作,且在必要或适当时,与第三供应方的审计师该内 容 由中 审 网校 所 属w w w .auditc n.com合作,计划这项业务、设定其目标及复核范围,并决定时限、人员配置及其他事宜。
l 讨论进入第三方系统及资产,以及机密性等事项。
l 制定审计方案、预算和业务计划。
l 验证控制目标。
一旦内部审计师该内 容 由中 审 网校 所 属w w w .auditc n.com完成现场工作,应针对所测试控制的运作效果得出结论。审计师该内 容 由中 审 网校 所 属w w w .auditc n.com应复核个别组织控制的有效性,以及组织与第三方控制间的相互作用。在大多数情况下,组织及第三方的控制会重叠。内部审计师该内 容 由中 审 网校 所 属w w w .auditc n.com应评估整体控制与个别控制的运作效果。
对于特定的目标,可能出现两个组织都缺乏控制或控制的运作无效的情形。此外,某一组织的控制优点可能被另一组织的控制缺陷部分或全部抵销。在这些情况下,内部审计师该内 容 由中 审 网校 所 属w w w .auditc n.com应评估这些控制缺陷对于整体控制环境及其程序范围的影响。
第三方内部审计人员
内部审计师该内 容 由中 审 网校 所 属w w w .auditc n.com应考虑第三方是否设置内部审计部门。内部审计人员的存在可以增进控制环境的强度。如果第三方设有内部审计部门,审计应确认其业务涵盖各项系统的情况以及对组织控制的影响程度。
如有可能,内部审计师该内 容 由中 审 网校 所 属w w w .auditc n.com应复核相关的内部审计报告。在无法复核这些报告的情况下,内部审计师该内 容 由中 审 网校 所 属w w w .auditc n.com应讨论已执行审计工作的范围、所涵盖的系统与控制,以及已确认的重大事项和缺陷。如果第三方不愿意提供这些报告,内部审计师该内 容 由中 审 网校 所 属w w w .auditc n.com应评估该限制对于审计程序范围的影响。
内部审计师该内 容 由中 审 网校 所 属w w w .auditc n.com也应考虑评估第三方内部审计人员的技能与专长。完成此项评估的方式包括与这些人员进行讨论,以及一些额外程序,如复核其工作计划、工作底稿及报告。
6、第三方的转包商
内部审计师该内 容 由中 审 网校 所 属w w w .auditc n.com应确认第三方是否使用转包商提供系统及服务。在使用转包商的情况下,审计人员应复核这些转包商的重要性,以确认其与组织相关的第三方控制的影响。
如果转包商对于组织相关的第三方控制不具有重大的影响,内部审计师该内 容 由中 审 网校 所 属w w w .auditc n.com应将此记录于工作底稿。如果转包商对于与组织有关的控制具有重大的影响,则内部审计师该内 容 由中 审 网校 所 属w w w .auditc n.com应评估第三方管理和监控与转包商之间关系的流程。实施这项评估时,内部审计师该内 容 由中 审 网校 所 属w w w .auditc n.com应考虑本实务公告的第4节和第5节。
7、报告
审计报告应指出审计范围延伸到组织和第三方的控制。内部审计师该内 容 由中 审 网校 所 属w w w .auditc n.com应当考虑确认每一个组织的控制、控制缺陷及补偿性控制。沟通结论和建议的程度时,应当考虑组织与第三方之间的关系。某些第三方可能不愿意或无法采纳审计建议,在这种情况下,内部审计师该内 容 由中 审 网校 所 属w w w .auditc n.com应当建议组织采用补偿性控制,用来应对第三方的控制缺陷。
