Q/SY
中国石油天然气集团公司企业标准
Q/SY21454.11—2017
（2017年确认）
内部专项审计规范
第11部分：信息系统审计
Specifications for internal auditing Part 1l: Information system audit
2017—08—28实施
2017一08-28发布
发布
中国石油天然气集团公司 Q/SY21454.11—2017
再版说明
本标准于2017年复审，复审结论为继续有效。 本标准在发市复审结论的同时，按照《关于调整集团公司企业标准编号规则的通知》（中油质
【2016】434号】的要求对标准编号进行了修改。
本次印刷与前一版相比，技术内容与前版完全一致。 本次仅对标准的封面进行了如下修改：
标准编号由Q/SY1454.11—2012修改为Q/SY21454.11—2017。 Q/SY 21454.11—2017
目 次
前言
范围 2 术语和定义
1
AS/0
一般原则 4 审计计划 5 信息技术风险评估 6 审计内容 7 审计程序 8 审计方法
3
审计报告与后续工作
9
工 Q/SY21454.11—2017
言
前
Q/SY21254《内部通用审计规范》和Q/SY21454《内部专项审计规范》共同构成支撑内部审计工作的系列标准。
Q/SY21454《内部专项审计规范》分为11个部分：
第1部分：舞弊审计（代替Q/SY2120-2007）：第2部分：后续审计（代替Q/SY21.22-2007）第3部分：财务审计（代替Q/521.7—2007）：第4部分：经济责任审计（代替Q/SY21.8-2007）：第5部分：内部控制审计（代替Q/SY21.5一2007）：第6部分：合同审计（代替Q/SY21.9—2007）：第7部分：工程建设项目审计（代替Q/SY21.10—2007和Q/SY21.11—2007）：第8部分：管理效益审计第9部分：境外项口审计第10部分：联合则薄审计 （代替Q/SY21.2） 2007)；第11部分：信息系统审计
-
本部分为Q/SY21454的第11部分。 本部分按照GB/T1.1-2009标准化工作导则 第部分：# 标准的结构和编写》给出的规则
起草。
本部分由中国石油天然气集团公司标准化委员会审计专业标准化直属工作组提出并归口。 本部分负责起草单位： 中国石油天然气集团公司审计部、大庆油田有限责任公司审计部。 本部分主要起草人：于洪波、张羞、起静，罗正东，张杰、郑利岩、王树桐、袁冬明、张晓红、
李胜义。
ⅡI Q/SY21454.11—2017
内部专项审计规范第11部分：信息系统审计
1范围
Q/SY21454的本部分规定了内部审计机构和审计人员开展信息系统审计工作的一般原则，信息
风险评估、审计内容、审计程序和审计方法等内容。
本部分适用于中国石油天然气集团公司及其全资子公司。直属企事业单位（统称“所属单位）内部审计机构（简称“审计机构）和审计人员开展信息系统审计工作的全过程。
2术语和定义
下列术语和定义适用于本文件
2.1
信息系统审计 information system audit 由审计机构及审计人员对信息系统及其相关信息技术的可靠性，稳定性。安全性，实际应用的效
率性和效果性，以及数据处理的完整性，准确性开展的一系列综合检查，评价与报告活动。
3一般原则
3.1信息系统审计人员应熟恶内部审计业务并具备必要的信息技术及信息系统审计的专业知识，鼓励审计人员取得注册信息系统审计师等执业资格，以保证专业胜任能力 3.2信息系统审计可作为独立的审计项目组织实施，或作为综合性内部审计项目的组成部分实施。 3.3审计人员应采用以风险为导向的审计方法进行信息系统审计，风险评估应贯穿审计的计划、实施，报告与后续工作各个阶段。 3.4审计人员在实施信息系统计时。必须保持应有的职业谨慎，评价所获取审计证据的适当性和充分性。 3.5审计人员应严格遵循信息安全 保密的相关规章制度。
4审计计划
4.1审计人员在执行信息系统审计之前，需要确定审计目标并初步评估审计风险：估算完成信息系统审计所需的资源，确定重点审计领域及审计活动的优先次序，明确审计组成员的职责，并以此制定信息系统审计计划。 4.2制定信息系统审计计划时，应充分考虑以下因素：
a） 业务重要性水平及其对信息系统的依赖程度。 b) 信息系统的关键业务流程及相关的业务目标。
信息系统的复杂程度及可获取性。 d) 信息技术管理的组织架构
信息系统框架、信息系统的长期发展规划及近期发展计划。
e)
1 Q/SY21454.11—2017
信息系统及其支持的业务流程的变更情况 g）以前年度信息系统内、外部审计等相关的审计发现及后续审计情况。
4.3信息系统审计作为综合性内部审计项目的一部分时，审计计划阶段还应综合考虑相关内部审计的审计目标及要求。
5信息技术风险评估
5.11 信息技术风险是指公司在信自处理和信息技术运用过程中产生的各种不确定因索：这此因索可能对公司的战略、发展，业务和效益等方面产生负面影响，并进而影响公司目标的实现 5.2信息技术风险评估是指识别，确认，评价公司所面临的与信息技术相关的内，外部风险及其潜在影响的过程。审计人员应采用适当的风险评估技术与方法，分析及评价信息技术风险发生的可能性及影响程度，为确定审计目标、范围、重点和方法提供依据。 5.3信息技术风险包括组织层面，一般性控制层面及业务流程层面的信息技术风险等。 5.4审计人员在识别。评估组织层面、一般性控制层面的信息技术风险时需要关注以下几方面
业务关注度，即公司的信息技术总体规划与公司整体发展战略的奖合度以及信息技术（包括
a
硬件及软件环境）对业务和用户需求的支待度。 b) 信息资产（包括硬件设备、软件及数据）自 的重要性。 c) 对信息技术及信息技术部门的依赖程度。 d) 对外部信息技术服务的依赖程度。 e) 信息系统及其运行环境的安全性，可靠性 f) 信息技术变更情况。 客）与信息技术相关的企业标准、规范、规章制度的制定及执行情况 h）其他。
5.5业务流程层面的信息技术风险受业务内容的重要性，业务流程的复杂程度。上述组织层面及 一般性控制层面的控制有效性等因素的影响而存在差异。通常，审计人员应了解业务流程并关注以下几方面信息技术风险：
a）数据输人，即业务输人的授权，完整，准确，及时等控制措施。 b) 数据处理，即信息系统内部数据处理活动的可靠性等。
数据输出，即信息系统输出资料的准确，可靠及保密等控制措施
C
5.6 审计人员应充分考风险评估的结果，重点美注缺无控制，正要性程度高以及可能产生舞弊的控制环节：以合理确定信息 原统市计 的内容及范围，并对公司的信息技术内部控制的设计和执行有效性进行测试。
6审计内容
6.1信息系统审计通常包括对组织层面信息技术控制，信息技术一股性控制及业务流程层面相关应用控制的审计。 6.2信息技术内部控制的各个层面都包括人工控制，自动控制和人工自动相结合的控制形式：审计人员应根据不同的控制形式采取恰当的审计程序。 6.3组织层面信息技术控制是指管理层及治理层对信息技术治理职能及内部控制的重要性的态度、 认识和措施，审计人员应考虑以下控制要素中与信息技术相关的内容：
） 控制环境：关注信息技术总体规划对业务战略的契合度，信息技术治理制度体系的建设，信
息技术总体规划，信息技术部门的组织结构和关系，信息技术治理相关职权与责任的分配
2 Q/SY21454.11—2017
信息技术人力资源管理、信息技术教育和培训等方面 b 风险评估，关注风险评估总体架构中信息技术风险管理的框架，流程和执行情况，信息资
产的分类以及信息资产所有者的职责等方面。 信息与沟通，关注信息系统架构及其对财务，业务流程的支持度，管理层及治理层的信息沟通模式，信息技术政策或信息安全制度的传达与沟通等方面。
d) 监控，关注监控管理报告系统，监控反馈，跟踪处理程序以及公司对信息技术内部控制的
自我评估机制等方面。
6.4信息技术一般性控制是指与网络，操作系统、数据库，应用系统及其相关人员有关的信息技术政策和措施，以确保信息系统持续稳定的运行，支持应用控制的有效性。对信息技术一般性控制的审计应考虑以下控制活动：
a 信息安全管理，关注公司的信息安全管理政策，物理访问及针对网络、操作系统，数据库，
应用系统的身份认证和逻辑访问管理机制，系统设置的职责分离控制等。 b) 系统变更管理，关注应用系统及相关系统基础架构的变更，参数设置变更的授权与审批。
变更测试变更移植到生产环境，紧急变更的流程控制等。 系统建设和采购管理，关注信息系统及相关系统基础架构的建设及采购活动，包括系统开发方法论，可行性研究 项目立项 软件及硬件的采购、项日启动、业务需求分析、架构设计、系统开发实施、系统测试、数据移植、系统上线、项目验收和上线后评估等环节，以及系统的开发环境， 测试环境和生产环境分离情况。
d）系统运行管理，关注信息技术资产管理、系统容量管理、 系统性能管理，系统物理环境控
制，系统和数据备份及恢复普理，问题管理和系统日常运行监挂等。
业务流程层面应用控制是指在业务流程层面为了合理保证应用系统准确、完整、及时完成业务
6.5
数据的生成，记录，处理，报告等功能而设计， 执行的信息技术控制。对业务流程层面应用控制的审计应考虑以下与数据输人，数据处理以及数据输出环节相关的控制活动：
a）授权与批准。 b) 权限分配及职责分离控制。 c) 系统配置控制。 d) 数据的完整性，准确性控制。 e 系统计算可靠性。
接口/转换控制。 g) 异常情况报告和差错报告 h) 其他。
6.6信息系统审计除上述常规的审计内容外，还可以根据公司当前面临的特殊风险或需求开展专项审计，具体包括但不限于下列领域：
a） 信息系统项目建设专项审计 b) 信息系统安全专项审计 c) 信息系统运行维护专项审计 d) 信息系统绩效专项审计。 e) 信息技术外包专项审计 f）其他专项审计。
7审计程序
7.1信息系统审计程序与常规审计程序总体一致：但在信息系统审计中，审计人员应特别重视准备
3 Q/SY21454.11—2017
阶段的审前调查，实施阶段的系统控制测试，系统初步评价，系统分析测试，以及终结阶段的系统综合评价等审计环节。 7.2审前调查应对信息系统的管理体制、技术特征和应用情况等进行全面、深人了解，包括
）管理体制：主要是从总体上把握信息系统管理的基本情况：一是信息系统规划，建设，运
维、应用的组织架构及其职责划分：二是业务流程及其关键控制环节：三是规章制度等文档资料。
b） 技术特征：主要是了解信息系统的总体系统架构，硬件基础设施，软件功能模块，设计变
更情况等。 应用情况，主要是了解信息系统投人应用后，对企业管理决策、生产运营、服务质量的改善情况，以及降低管控成本和获得经济效益情况。
7.3审计实施阶段应对信息系统的组织、技术、业务流程等层面实施信息技术控制测试。在梳理分析控制测试结果的基础上对信息系统进行初步评价：一是整体评价信息系统内部控制水平，即控制的完整性、合理性和有效性： 是信息据质量的一股性评价，即数据的真实性，完整性和准确性。对信息系统完成初步评价并形 成阶段性结论后应对信息系统实施如下分析测试：
a）系统功能分析，即将业务需求、特征与信息系统具有的功能进行对比，分析信息系统功能是
否存在不足。 b) 数据处理分析，即对信息系统处理数据来源，处理数据过程及方法进行分析，验证信息系
统是否存在逻辑错误或计算错误。 业务流程分析，即对信息系统业务处理的全过程进行分析，验证系统业务流程与实际业务流程是否一致，是否存在可以改变既定流程完成业务处理的可能。 控制效果分析，即对信息系统业务处理流程中的关键控制环节进行分析，验证是否存在统过关键控制完成业务处理的可能。 系统舞弊分析，即对信息系统支撑的高风险业务进行分析，验证是否存在人为利用信息系统谋取不正当利益的可能，
7.4审计终结阶段应对信息系统进行综合评价：
综合评价的内容，主要包括系统重要性、系统控制水平、系统适用性水平、业务风险水平、
a
业务改善程度、信息数据质量、经济效益及发展能力等。 综合评价的方法，主要采用半定量方法，可以利用能力成熟度模型，层次分析法和平衡记
b
分卡等对信息系统进行评价。
8审计方法
8.1审计人员在开展信息系统审计过程中为获取充分，适当的审计证据：可以单独或综合应用下列审计技术方法：
a）常规审计方法，主要是用于信息系统的了解和描述，包括访谈法、系统文档审阅法、观察
法，文字描述法，表格描述法。图形描述法等
by 信息测试技术，主要用于评估信息系统控制的合规性，有效性以及业务处理逻辑的正确性，
可靠性等，包括受控处理法，测试数据法，综合测试法，平行模拟法和程序跟踪法等，计算机数据审计技术，主要用于对信息系统中的电子数据进行审计，包括数据采集，数据验证，数据整理和转换，建立中计中间表和数据分析等环节。
d 信息系统评价技术，主要用手信息系统的控制，风险和整体性评价，如控制矩阵，风险矩
阵。层次分析法等。
8.2审计人员在充分考虑信息安全的前提下，结合成本效益原则。根据信息系统审计业务类型，可 4