信息系統(tǒng)審計(jì)IT審計(jì)操作流程精資料

1、信息系統(tǒng)審計(jì)(IT審計(jì)操作流程一、審計(jì)方案階段方案階段是整個審計(jì)過程的起點(diǎn).其主要工作包括 ：(1 了解被審系統(tǒng)根本情況了解被審系統(tǒng)根本情況是實(shí)施任何信息系統(tǒng)審計(jì)的必經(jīng)程序,對根本情況的了 解有助于審計(jì)組織對系統(tǒng)的組成、環(huán)境、運(yùn)行年限、限制等有初步印象 ,以決定是 否對該系統(tǒng)進(jìn)行審計(jì),明確審計(jì)的難度,所需時間以及人員配備情況等.了解了根本情況,審計(jì)組織就可以大致判斷系統(tǒng)的復(fù)雜性、治理層對審計(jì)的態(tài) 度、內(nèi)部限制的狀況、以前審計(jì)的狀況、審計(jì)難點(diǎn)與重點(diǎn),以決定是否對其進(jìn)行審計(jì).(2初步評價被審單位系統(tǒng)的內(nèi)部限制及外部限制傳統(tǒng)的內(nèi)部限制制度是為預(yù)防舞弊和過失而形成的以內(nèi)部稽核和相互牽制為核 心的工作制

2、度.隨著信息技術(shù)特別是以Internet為代表的網(wǎng)絡(luò)技術(shù)的開展和應(yīng)用,企 業(yè)信息系統(tǒng)進(jìn)一步向深層次開展,這些變革無疑給企業(yè)帶來了巨大的效益,但同時也 給內(nèi)部限制帶來了新的問題和挑戰(zhàn).增強(qiáng)內(nèi)部限制制度是信息系統(tǒng)平安可靠運(yùn)行的 有力保證.依據(jù)限制對象的范圍和環(huán)境,信息系統(tǒng)內(nèi)限制度的審計(jì)內(nèi)容包括一般控 制和應(yīng)用限制兩類.一般限制是系統(tǒng)運(yùn)行環(huán)境方而的限制,指對信息系統(tǒng)構(gòu)成要素(人、機(jī)器、文件 的限制.它已為應(yīng)用程序的正常運(yùn)行提供外圍保證,影響到計(jì)算機(jī)應(yīng)用的成敗及應(yīng) 用限制的強(qiáng)弱.主要包括：組織限制、操作限制、硬件及系統(tǒng)軟件限制和系統(tǒng)平安 限制.應(yīng)用限制是對信息系統(tǒng)中具體的數(shù)據(jù)處理活動所進(jìn)行的限制 ,是

3、具體的應(yīng)用系 統(tǒng)中用來預(yù)測、檢測和更正錯誤和處置不法行為的限制舉措,信息系統(tǒng)的應(yīng)用限制 主要表達(dá)在輸入限制、處理限制和輸出限制.應(yīng)用限制具有特殊性 ,不同的應(yīng)用系統(tǒng)有著不同的處理方式和處理環(huán)節(jié),因而有著不同的限制問題和不同的限制要求,但 是一般可把它劃分為：輸入限制、處理限制和輸出限制.通過對信息系統(tǒng)組織機(jī)構(gòu)限制,系統(tǒng)開發(fā)與維護(hù)限制,平安性限制,硬件、軟件資 源限制,輸入限制,處理限制,輸出限制等方而的審計(jì)分析,建立內(nèi)部限制強(qiáng)弱評價的指 標(biāo)系統(tǒng)及評價模型,審計(jì)人員通過交互式人機(jī)對話,輸入各評價指標(biāo)的評分,內(nèi)限制審 計(jì)評價系統(tǒng)那么可以進(jìn)行多級綜合審計(jì)評價.通過內(nèi)限制度的審計(jì),實(shí)現(xiàn)對系統(tǒng)的預(yù)防性限

4、制才僉測性限制和糾正性限制.(3識別重要性為了有效實(shí)現(xiàn)審計(jì)目標(biāo),合理使用審計(jì)資源,在制定審計(jì)方案時,信息系統(tǒng)審計(jì)人 員應(yīng)對系統(tǒng)重要性進(jìn)行適當(dāng)評估.對重要性的評估一般需要運(yùn)用專業(yè)判斷.考慮重 要性水平時要根據(jù)審計(jì)人員的職業(yè)判斷或公用標(biāo)準(zhǔn),系統(tǒng)的效勞對象及業(yè)務(wù)性質(zhì),內(nèi) 控的初評結(jié)果.重要性的判斷離不開特定環(huán)境,審計(jì)人員必須根據(jù)具體的信息系統(tǒng) 環(huán)境確定重要性.重要性具有數(shù)量和質(zhì)量兩個方面的特征.越是重要的子系統(tǒng),就越需要獲取充分的審計(jì)證據(jù),以支持審計(jì)結(jié)論或意見.(4編制審計(jì)方案經(jīng)過以上程序,為編制審計(jì)方案提供了良好準(zhǔn)備,審計(jì)人員就可以據(jù)以編制總體 及具體審計(jì)方案.總體方案包括：被審單位根本情況；審計(jì)

5、目的、審計(jì)范圍及策略；重要問題及重要 審計(jì)領(lǐng)域；工作進(jìn)度及時間；審計(jì)小組成員分工；重要性確定及風(fēng)險(xiǎn)評估等.具體方案包括：具體審計(jì)目標(biāo)；審計(jì)程序；執(zhí)行人員及時間限制等.二、審計(jì)實(shí)施階段做好上訴材料白充分的準(zhǔn)備,便可進(jìn)行審計(jì)實(shí)施,具體包括以下內(nèi)容：(1對信息系統(tǒng)方案開發(fā)階段的審計(jì)對信息系統(tǒng)方案開發(fā)階段的審計(jì)包才S對方案的審計(jì)和對開發(fā)的審計(jì) ,可以采用 事中審計(jì),也可以是事后審計(jì).比擬而言事中審計(jì)更有意義 ,審計(jì)結(jié)果的得出利于故 障、問題的及早發(fā)現(xiàn),利于調(diào)整方案,利于開發(fā)順序的改進(jìn).信息系統(tǒng)方案階段的關(guān)鍵限制點(diǎn)有：方案是否有明確的目的,方案中是否明確描 述了系統(tǒng)的效果,是否明確了系統(tǒng)開發(fā)的組織,對整

6、體方案進(jìn)程是否正確預(yù)計(jì),方案能 否隨經(jīng)營環(huán)境改變而及時修正,方案是否制定有可行性報(bào)告,關(guān)于方案的過程和結(jié)果 是否有文檔記錄等等.系統(tǒng)開發(fā)階段包括系統(tǒng)分析、系統(tǒng)設(shè)計(jì)、代碼編寫和系統(tǒng)測試三局部.其中涉 及包括功能需求分析、業(yè)務(wù)數(shù)據(jù)分析、總體框架設(shè)計(jì)、結(jié)構(gòu)設(shè)計(jì)、代碼設(shè)計(jì)、數(shù)據(jù) 庫設(shè)計(jì)、輸入輸出設(shè)計(jì)、處理流程及模塊功能的設(shè)計(jì).編程時依據(jù)系統(tǒng)設(shè)計(jì)階段的 設(shè)計(jì)圖及數(shù)據(jù)庫結(jié)構(gòu)和編碼設(shè)計(jì),用計(jì)算機(jī)程序語言來實(shí)現(xiàn)系統(tǒng)的過程.測試包括 動態(tài)測試和靜態(tài)測試,是系統(tǒng)開發(fā)完畢,進(jìn)入試運(yùn)行之前的必經(jīng)程序.其關(guān)鍵限制點(diǎn) 有：分析限制點(diǎn)：是否己細(xì)致分析企業(yè)組織結(jié)構(gòu)；是否確定用戶功能和性能需求；是否 確定用戶的數(shù)據(jù)需求等.設(shè)計(jì)

7、限制點(diǎn)：設(shè)計(jì)界面是否方便用戶使用；設(shè)計(jì)是否與業(yè)務(wù)內(nèi)容相符；性能能否滿 足需要,是否考慮故障對策和平安保護(hù)等.編程限制點(diǎn)：是否有程序說明書,并根據(jù)說明書進(jìn)行編寫；編程與設(shè)計(jì)是否相符, 有無違背編程原那么；程序作者是否進(jìn)行自測；是否有程序作者之外的第三人進(jìn)行測試； 編程的書寫、變量的命名等是否標(biāo)準(zhǔn).測試限制點(diǎn)：測試數(shù)據(jù)的選取是否按方案及需要進(jìn)行,是否具有代表性；測試是否 站在公正客觀的立場進(jìn)行,是否有用戶參與測試；測試結(jié)果是否正確記錄等.(2對信息系統(tǒng)運(yùn)行維護(hù)階段的審計(jì)對信息系統(tǒng)運(yùn)行維護(hù)階段的審計(jì)又細(xì)分為對運(yùn)行階段的審計(jì)和對維護(hù)階段的審 計(jì).系統(tǒng)運(yùn)行過程的審計(jì)是在信息系統(tǒng)正式運(yùn)行階段,針對信息系統(tǒng)

8、是否被正確操 作和是否有效地運(yùn)行,從而真正實(shí)現(xiàn)信息系統(tǒng)的開發(fā)目標(biāo)、滿足用戶需求而進(jìn)行的 審計(jì).對信息系統(tǒng)運(yùn)行過程的審計(jì)分為系統(tǒng)輸入審計(jì)、通信系統(tǒng)審計(jì)、處理過程審 計(jì)、數(shù)據(jù)庫審計(jì)、系統(tǒng)輸出審計(jì)和運(yùn)行治理審計(jì)六大局部.輸入審計(jì)的關(guān)鍵限制點(diǎn)有：是否制定并遵守輸入治理規(guī)那么,是否有數(shù)據(jù)生成順 序、處理等的防錯、保護(hù)舉措、防錯、保護(hù)舉措是否有效等.通信系統(tǒng)實(shí)施的是實(shí)際數(shù)據(jù)的傳輸,通信系統(tǒng)中,審計(jì)軌跡應(yīng)記錄輸入的數(shù)據(jù)、 傳送的數(shù)據(jù)和工作的通信系統(tǒng).通信系統(tǒng)審計(jì)的關(guān)鍵限制點(diǎn)有：是否制定并遵守通 信規(guī)那么,對網(wǎng)絡(luò)存取限制及監(jiān)控是否有效等.處理過程指處理器在接收到輸入的數(shù)據(jù)后對數(shù)據(jù)進(jìn)行加工處理的過程 ,此時的

9、審計(jì)主要針對數(shù)據(jù)輸入系統(tǒng)后是否被正確處理.關(guān)鍵限制點(diǎn)有：被處理的數(shù)據(jù),數(shù)據(jù) 處理器,數(shù)據(jù)處理時間,數(shù)據(jù)處理后的結(jié)果,數(shù)據(jù)處理實(shí)現(xiàn)的目的,系統(tǒng)處理的過失率, 平均無故障時間,可恢復(fù)性和平均恢復(fù)時間等.數(shù)據(jù)庫審計(jì)是保證數(shù)據(jù)庫正確行使了其職能,如對數(shù)據(jù)操作的有效性和發(fā)生異 常操作時對數(shù)據(jù)的保護(hù)功能正確數(shù)據(jù)不喪失,數(shù)據(jù)回滾以保證數(shù)據(jù)的一致性.其關(guān) 鍵限制點(diǎn)有：對數(shù)據(jù)的存取限制及監(jiān)視是否有效,是否記錄數(shù)據(jù)利用狀況,并定期分析, 是否考慮數(shù)據(jù)的保護(hù)功能,是否有防錯、保密功能,防錯、保密功能是否有效等.輸出審計(jì)不同于測試階段的輸出審計(jì),此時的輸出是在實(shí)際數(shù)據(jù)的根底上進(jìn)行 的,對其進(jìn)行審計(jì)可以對系統(tǒng)輸出進(jìn)行再

10、限制,結(jié)合用戶需求進(jìn)行評價.關(guān)鍵限制點(diǎn) 有:輸出信息的獲取及處理時是否有預(yù)防不正當(dāng)行為和機(jī)密保護(hù)舉措,輸出信息是否 準(zhǔn)確、及時,輸出信息的形式是否被客戶所接受,是否記錄輸出出錯情況并定期分析運(yùn)行治理審計(jì)是對人機(jī)系統(tǒng)中人的行為的審計(jì).關(guān)鍵限制點(diǎn)有 ：操作順序是否 標(biāo)準(zhǔn)化,作業(yè)進(jìn)度是否有優(yōu)先級,操作是否按標(biāo)準(zhǔn)進(jìn)行,人員交替是否標(biāo)準(zhǔn),能否對預(yù)計(jì) 于實(shí)際運(yùn)行的差異進(jìn)行分析,遇問題時能否相互溝通,是否有經(jīng)常性培訓(xùn)與教育等.維護(hù)過程的審計(jì)包括對維護(hù)方案、維護(hù)實(shí)施、改進(jìn)系統(tǒng)的試運(yùn)行和舊系統(tǒng)的廢除等維護(hù)活動的審計(jì).維護(hù)過程的關(guān)鍵限制點(diǎn)有 ：維護(hù)組織的規(guī)模是否適應(yīng)需要,人 員分工是否明確,是否有一套治理機(jī)制和協(xié)

11、調(diào)機(jī)制,維護(hù)過程發(fā)現(xiàn)的可改進(jìn)點(diǎn),維護(hù)是 否得到維護(hù)負(fù)責(zé)人同意,是否對發(fā)現(xiàn)問題作了修正,維護(hù)記錄是否有文檔記載,是否認(rèn) 期分析,舊系統(tǒng)的廢除是否在授權(quán)下進(jìn)行等.三、審計(jì)完成階段完成階段是實(shí)質(zhì)性的整個信息系統(tǒng)審計(jì)工作的結(jié)束,主要工作有：整理、評價執(zhí)行審計(jì)業(yè)務(wù)過程中收集到的證據(jù).在信息系統(tǒng)審計(jì)的現(xiàn)代化治理 時期,收集到的數(shù)據(jù)己存儲在治理系統(tǒng)中,審計(jì)人員只需對其進(jìn)行分析和調(diào)用即可.復(fù)核審計(jì)底稿,完成二級復(fù)核.傳統(tǒng)審計(jì)的三級復(fù)核制度對信息系統(tǒng)審計(jì)同樣 適用,它是保證審計(jì)質(zhì)量、降低審計(jì)風(fēng)險(xiǎn)的重要舉措.一級復(fù)核是由信息系統(tǒng)審計(jì) 工程組長在審計(jì)過程進(jìn)行中對工作底稿的復(fù)核,這層復(fù)核主要是評價已完成的審計(jì) 工作、所獲得的工作底稿編制人員形成的結(jié)論；二級復(fù)核是在外勤工作結(jié)束時,由審 計(jì)部門領(lǐng)導(dǎo)對工作底稿進(jìn)行的重點(diǎn)復(fù)核.在審計(jì)工作辦公自動化的今天,二級復(fù)核制度同樣可以通過網(wǎng)上報(bào)送及調(diào)用得以實(shí)現(xiàn).評價審計(jì)結(jié)果,形成審計(jì)意見,完成三級復(fù)核,編制審計(jì)報(bào)告.評價審計(jì)結(jié)果主要 是為了確定將要發(fā)表的審計(jì)意見的類型及在整個審計(jì)工作中是否遵循了獨(dú)立審計(jì)準(zhǔn) 那么.信息系統(tǒng)審計(jì)人員需要對重要性和審計(jì)風(fēng)險(xiǎn)進(jìn)行最終的評價.這是審計(jì)人員決 定發(fā)表何種類型審計(jì)意見的必要過程,所確定的可接受審計(jì)風(fēng)險(xiǎn)一定要有足夠充分 適當(dāng)?shù)膶徲?jì)證據(jù)支