首页 / 培训赋能中心 / 预算标准解读 / 《信息技术服务治理 第 4 部分:审计导则》(GB/T 34960.4-2017)标准解读
《信息技术服务治理 第 4 部分:审计导则》(GB/T 34960.4-2017)标准解读
更新时间:2025-10-09 13:38:55

GB/T 34960.4-2017作为《信息技术服务治理》系列标准的第4部分,是IT审计领域的核心指导文件,于2017年11月发布、2018年5月实施,适用于组织治理主体、第三方审计机构等多类主体,旨在规范IT审计全流程,保障IT系统支撑组织战略目标的有效性。

此前我们本公众号也解读过相关审计标准:

《政务信息化项目内部审计规范》(DB3301/T 0483-2024)标准解读

信息系统审计指南(34号公告)深度解读

《内部审计质量评估》(TCIIAS 0001-2024)标准解读

该标准整体围绕“审计总则-组织管理-人员要求-审计内容-流程-报告”构建逻辑框架,既明确基础概念与原则,又细化实操要求,同时通过附录提供落地工具,形成“理论+实操+工具”的完整体系。



01
基础概念与审计总则


标准先界定关键术语,如“信息技术审计”指按标准检查评价信息系统及IT内部控制并发表意见,“信息技术内部控制”涵盖控制环境、风险评估等五要素。审计总则明确审计与治理的关系——IT审计是IT治理“评估、指导、监督”三大任务中“监督”的核心手段,需与组织IT战略、业务战略对齐。

同时,总则规定审计依据(国家/行业/地方/内部规范、国际标准及最佳实践)、方法(访谈法、测试法等7类)、技术(风险评估、计算机辅助审计等4类),并强调审计质量控制措施,如独立审计环境、人员培养机制、内外部质量检查,确保审计结果可靠。

02
审计组织与人员保障


组织管理层面,标准要求构建完善的审计环境,包括治理主体明确审计职责、配备跨专业审计团队(审计、IT、业务管理背景)、保障审计资金与独立性;审计机构需拟定章程(明确目标、职责、报告路径等)、制定具体制度(如审计质量管理、档案管理办法)及中长期规划。

人员要求上,IT审计人员需遵守“独立客观、保密守信”的职业道德,具备IT专业知识、审计与管理技能,且需通过持续教育维持专业胜任能力,必要时可引入外部专家,但需对其资格、独立性、服务结果严格评估

03
审计核心内容


标准将审计内容分为“内部控制审计”与“专项审计”两大类。内部控制审计是常规审计,涵盖组织层面控制(如IT战略与业务战略一致性、风险偏好、人力资源政策)、一般控制(系统采购、开发、运行、网络安全等)、应用控制(业务流程设计、数据输入输出控制、接口与信息共享),形成“组织-系统-业务”三层控制覆盖。

专项审计则针对特殊需求,包括14类具体审计,如应用系统生命周期管理审计(覆盖从采购到下线全流程)、信息安全专项审计(含物理安全、数据安全、事件管理)、数据治理专项审计(战略、框架、生命周期)等,可根据外部监管要求或内部风险点灵活开展。

04
审计流程与报告规范


审计流程分为准备、实施、终结、后续四阶段:准备阶段需明确审计目标、组建团队、编制计划;实施阶段通过调查调整计划、评估内控、开展控制测试与实质性测试;终结阶段整理证据、评价控制目标、编写报告并归档;后续审计需跟踪整改情况,形成闭环。

审计报告是审计成果的核心载体,标准要求明确接收人、被审计单位、审计范围与依据,需包含审计发现(问题+潜在风险)、总体结论、改进建议,且需以充分证据支撑。报告类型分为无保留意见(无重要缺陷)、保留意见(存在重要缺陷但非重大漏洞)、否定意见(存在重大漏洞)三类,确保意见清晰、责任明确。

对组织而言,需以标准为依据,优先完善审计组织架构与制度,避免“重技术轻审计”;对审计人员,需强化跨领域能力,尤其关注大数据审计技术的应用(如全样本分析替代传统抽样);对监管机构,可依托标准对管辖组织的IT审计提出统一要求,提升行业整体IT治理水平。

综上,GB/T 34960.4-2017不仅是IT审计的“操作手册”,更是组织通过IT审计实现风险管控、战略落地的“保障基石”,对推动信息技术服务高质量发展具有重要意义。


二维码
添加微信咨询
TOP
注册即用的智能评估工具
立即登录