1.1.5 信息系统内部审计职能

经董事会和审计委员会（如果没有这些实体，则是高级管理层）批准的审计章程应该规定信息系统内部审计职能的角色。专业人员应根据明确的要求来履行信息系统审计职能，这一职能可在审计章程中指明。

审计章程

信息系统审计可以是内部审计的一部分、作为独立的小组，或与财务和运营审计合并，为财务或管理审计师提供有关IT的控制鉴证。因此，审计章程可能将信息系统审计视作审计支持职能。此外，审计章程应包括信息系统审计职能的角色及其可能执行的咨询相关服务。

章程应明确说明管理层要求信息系统审计职能要肩负的责任和目标以及对其的授权。最高管理层和审计委员会（如果存在）应对章程进行审批。章程一旦确立，仅当可以彻底证明变更合理时，才可对其进行更改。

信息系统审计职能的责任、权限和义务应相应记录到审计章程或业务约定书中。审计章程是一个综合性文档，涵盖实体内所有审计活动，业务约定书则侧重于特定的审计工作，由心怀具体目标的组织起草。如果信息系统审计服务由外部公司提供，服务范围和目标应记录在合约组织和服务提供商之间签订的正式合同或工作说明中。在任一情况下，内部审计职能都应独立运作，向审计委员会（如果存在）或最高管理层（例如董事会）报告。

信息系统审计职能的管理

在管理和领导信息系统审计职能时，应确保审计团队所执行的各项任务将实现审计职能目标，同时保持审计独立性和能力。此外，管理信息系统审计职能时应实现IT高效管理和达成业务目标，还应确保为高级管理层创造附加价值。

信息系统审计资源管理

信息系统技术瞬息万变。因此，信息系统审计师必须相应更新现有技能以维持自身资质，并接受有关新审计技术和技术领域的定向培训。信息系统审计师必须具备执行审计工作所需的技术技能和知识。此外，信息系统审计师必须通过相关的持续职业教育维持自身的技术能力。在规划审计工作以及向工作人员分配具体的审计任务时，应考虑其技能和知识水平。

最好能够根据组织的技术发展方向及需要解决的相关风险制订详细的员工年度培训计划。应定期对此计划进行审查，以确保培训工作和结果与审计组织的行动方向一致。此外，信息系统审计管理层还应提供必要的IT资源，以便正确完成极其专业的信息系统审计工作（例如，工具、方法、工作计划）。

使用其他审计师和专家的服务

由于市场上信息系统审计师稀缺，并且需要IT安全专家和其他主题专家审计高度专业化的领域，受委托提供鉴证服务的审计部门或审计师可能需要其他审计师或专家的服务。越来越多的人选择将信息系统鉴证和安全服务外包。

外部专家可以是网络、系统集成和数字取证等领域的技术专家，或专门从事银行、证券交易、保险、隐私或法律等特定行业或领域的主题专家。

当建议将部分或全部信息系统审计服务外包给其他审计师和专家或外部服务提供商时，信息系统审计师应考虑：

• 法律和法规对审计/安全服务外包的限制。

• 审计章程或合同规定。

• 对整体和具体信息系统审计目标的影响。

• 对信息系统审计风险和专业责任的影响。

• 其他审计师和专家的独立性和客观性。

• 专业能力、资格和经验。

• 外包工作的范围和方式。

• 监督和审计管理控制。

• 审计工作结果的传达方法和形式。

• 是否符合法律法规的规定。

• 是否遵守适用的专业标准。

根据任务的性质，信息系统审计师可能还需要考虑：

• 推荐书/推荐人和背景核实。

• 对系统、处所和记录的访问。

• 保护客户相关信息的机密性限制。

• 外部审计服务提供商对于计算机辅助审计技术（Computer-Assisted Auditing Techniques，CAAT）及其他工具的使用。

• 执行工作职责和文档记录的标准和方法。

• 保密协议。

外包审计服务的信息系统审计师或实体应监控好关系，以确保此期间的客观性和独立性。尽管可能将部分或全部审计工作委托给外部服务提供商，但不一定会同时委托相关的职业责任，了解这一点很重要。因此，雇用外部服务提供商服务的信息系统审计师或实体应负责：

• 通过正式的业务约定书明确说明审计目标、范围和方法

• 制定监控流程，以定期审查外部服务提供商的工作，主要涉及规划、监督、审查和文档记录等方面。例如应审查其他信息系统审计师或专家的工作底稿，以证实工作经过适当规划、监督、记录和审查，并考虑所提供审计证据的适宜性和充分性。同样，应当审查其他信息系统审计师或专家的报告，以确认审计章程、职权范围或业务约定书中规定的范围是否得到遵守，报告是否在规定的可审计期限内执行，其他信息系统审计师或专家使用的任何重要假设是否得到确认，以及报告的发现和结论是否经过管理层的批准。

• 评估外部提供商报告的有用性和适当性，以及其重要发现对总体审计目标的影响。