第一章  总  则

第一条  为了规范信息系统审计工作，提高审计质量和效率，根据《内部审计基本准则》，制定本准则。

第二条  本准则所称信息系统审计，是指内部审计机构和内部审计人员对组织的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动。

第三条  本准则适用于各类组织的内部审计机构、内部审计人员及其从事的信息系统审计活动。其他组织或者人员接受委托、聘用，承办或者参与内部审计业务，也应当遵守本准则。

第二章  一般原则

第四条  信息系统审计的目的是通过实施信息系统审计工作，对组织是否实现信息技术管理目标进行审查和评价，并基于评价意见提出管理建议，协助组织信息技术管理人员有效地履行职责。

组织的信息技术管理目标主要包括：

（一）保证组织的信息技术战略充分反映组织的战略目标；

（二）提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性；

（三）提高信息系统运行的效果与效率，合理保证信息系统的运行符合法律法规以及相关监管要求。

第五条  组织中信息技术管理人员的责任是进行信息系统的开发、运行和维护，以及与信息技术相关的内部控制的设计、执行和监控；信息系统审计人员的责任是实施信息系统审计工作并出具审计报告。

第六条  从事信息系统审计的内部审计人员应当具备必要的信息技术及信息系统审计专业知识、技能和经验。必要时，实施信息系统审计可以利用外部专家服务。

第七条  信息系统审计可以作为独立的审计项目组织实施，也可以作为综合性内部审计项目的组成部分实施。 

当信息系统审计作为综合性内部审计项目的一部分时，信息系统审计人员应当及时与其他相关内部审计人员沟通信息系统审计中的发现，并考虑依据审计结果调整其他相关审计的范围、时间及性质。

第八条  内部审计人员应当采用以风险为基础的审计方法进行信息系统审计，风险评估应当贯穿于信息系统审计的全过程。

第三章  信息系统审计计划

第九条  内部审计人员在实施信息系统审计前，需要确定审计目标并初步评估审计风险，估算完成信息系统审计或者专项审计所需的资源，确定重点审计领域及审计活动的优先次序，明确审计组成员的职责，编制信息系统审计方案。

第十条  编制信息系统审计方案时，除遵循相关内部审计具体准则的规定，还应当考虑下列因素：

（一）高度依赖信息技术、信息系统的关键业务流程及相关的组织战略目标；

（二）信息技术管理的组织架构；

（三）信息系统框架和信息系统的长期发展规划及近期发展计划；

（四）信息系统及其支持的业务流程的变更情况；

（五）信息系统的复杂程度；

（六）以前年度信息系统内、外部审计所发现的问题及后续  审计情况；

（七）其他影响信息系统审计的因素。

第十一条  当信息系统审计作为综合性内部审计项目的一部分时，内部审计人员在审计计划阶段还应当考虑项目审计目标及要求。

第四章  信息技术风险评估

第十二条  内部审计人员进行信息系统审计时，应当识别组织所面临的与信息技术相关的内、外部风险，并采用适当的风险评估技术与方法，分析和评价其发生的可能性及影响程度，为确定审计目标、范围和方法提供依据。

第十三条  信息技术风险是指组织在信息处理和信息技术运用过程中产生的、可能影响组织目标实现的各种不确定因素。信息技术风险，包括组织层面的信息技术风险、一般性控制层面的信息技术风险及业务流程层面的信息技术风险等。

第十四条  内部审计人员在识别和评估组织层面、一般性控制层面的信息技术风险时，需要关注下列内容：

（一）业务关注度，即组织的信息技术战略与组织整体发展  战略规划的契合度以及信息技术（包括硬件及软件环境）对业务和用户需求的支持度；

（二）信息资产的重要性；

（三）对信息技术的依赖程度； 

（四）对信息技术部门人员的依赖程度；

（五）对外部信息技术服务的依赖程度； 

（六）信息系统及其运行环境的安全性、可靠性； 

（七）信息技术变更；

（八）法律规范环境；

（九）其他。

第十五条  业务流程层面的信息技术风险受行业背景、业务流程的复杂程度、上述组织层面及一般性控制层面的控制有效性等因素的影响而存在差异。一般而言，内部审计人员应当了解业务流程，并关注下列信息技术风险：

（一）数据输入；

（二）数据处理；

（三）数据输出。

第十六条  内部审计人员应当充分考虑风险评估的结果，以合理确定信息系统审计的内容及范围，并对组织的信息技术内部控制设计合理性和运行有效性进行测试。