信息系統(tǒng)審計(jì)方法與操作指引

1、信息系統(tǒng)審計(jì)方法與操作指信息系統(tǒng)審計(jì)方法與操作指引引2022-4-292一、信息系統(tǒng)審計(jì)方法IT一般控制和應(yīng)用控制審計(jì)概要信息系統(tǒng)審計(jì)方法與操作指引2022-4-293IT一般控制審計(jì)程序nIT一般控制概念一般控制概念信息技術(shù)廣泛應(yīng)用于信息技術(shù)廣泛應(yīng)用于企業(yè)日常交易處理中，是涉及整個(gè)財(cái)務(wù)報(bào)表交易流程企業(yè)日常交易處理中，是涉及整個(gè)財(cái)務(wù)報(bào)表交易流程的重要組成部分，它影響財(cái)務(wù)數(shù)據(jù)的一致性、完整性和準(zhǔn)確性。隨著信息的重要組成部分，它影響財(cái)務(wù)數(shù)據(jù)的一致性、完整性和準(zhǔn)確性。隨著信息科技日益發(fā)展，信息系統(tǒng)日趨復(fù)雜，使得業(yè)務(wù)風(fēng)險(xiǎn)增加，因此對(duì)科技日益發(fā)展，信息系統(tǒng)日趨復(fù)雜，使得業(yè)務(wù)風(fēng)險(xiǎn)增加，因此對(duì)IT控制進(jìn)控制

2、進(jìn)行測(cè)試與評(píng)估就顯得尤為重要。行測(cè)試與評(píng)估就顯得尤為重要。IT一般控制是指為保證在一段時(shí)期內(nèi)應(yīng)用控制持續(xù)有效性，而在系統(tǒng)變更一般控制是指為保證在一段時(shí)期內(nèi)應(yīng)用控制持續(xù)有效性，而在系統(tǒng)變更和數(shù)據(jù)訪問(wèn)等方面的系統(tǒng)控制。因?yàn)檫@些控制對(duì)一個(gè)以上應(yīng)用程序和數(shù)據(jù)和數(shù)據(jù)訪問(wèn)等方面的系統(tǒng)控制。因?yàn)檫@些控制對(duì)一個(gè)以上應(yīng)用程序和數(shù)據(jù)集都有效，所以被稱為集都有效，所以被稱為“IT一般控制一般控制”。 nIT一般控制分類一般控制分類變更管理：只允許對(duì)應(yīng)用程序、界面、數(shù)據(jù)庫(kù)和操作系統(tǒng)進(jìn)行適當(dāng)授權(quán)、變更管理：只允許對(duì)應(yīng)用程序、界面、數(shù)據(jù)庫(kù)和操作系統(tǒng)進(jìn)行適當(dāng)授權(quán)、測(cè)試和批準(zhǔn)的變更。測(cè)試和批準(zhǔn)的變更。 邏輯訪問(wèn)：只有經(jīng)過(guò)授權(quán)

3、的人員，才可以訪問(wèn)數(shù)據(jù)和應(yīng)用程序（包括程序、邏輯訪問(wèn)：只有經(jīng)過(guò)授權(quán)的人員，才可以訪問(wèn)數(shù)據(jù)和應(yīng)用程序（包括程序、表和相關(guān)資源），并且他們只能執(zhí)行明確授權(quán)的功能（例如：詢問(wèn)、執(zhí)行表和相關(guān)資源），并且他們只能執(zhí)行明確授權(quán)的功能（例如：詢問(wèn)、執(zhí)行和更新）。和更新）。其他其他ITIT一般控制一般控制（包括（包括ITIT運(yùn)行）：正確備份支持財(cái)務(wù)信息數(shù)據(jù)，以便在發(fā)運(yùn)行）：正確備份支持財(cái)務(wù)信息數(shù)據(jù)，以便在發(fā)生系統(tǒng)中斷或數(shù)據(jù)完整性問(wèn)題時(shí)，能夠準(zhǔn)確、完整地恢復(fù)這類數(shù)據(jù)。按計(jì)生系統(tǒng)中斷或數(shù)據(jù)完整性問(wèn)題時(shí)，能夠準(zhǔn)確、完整地恢復(fù)這類數(shù)據(jù)。按計(jì)劃執(zhí)行程序，并及時(shí)識(shí)別和消除按計(jì)劃處理時(shí)產(chǎn)生的偏差。及時(shí)識(shí)別、解劃執(zhí)行程序，并

4、及時(shí)識(shí)別和消除按計(jì)劃處理時(shí)產(chǎn)生的偏差。及時(shí)識(shí)別、解決、復(fù)核和分析決、復(fù)核和分析ITIT運(yùn)行問(wèn)題或事故。運(yùn)行問(wèn)題或事故。 信息系統(tǒng)審計(jì)方法與操作指引2022-4-294IT一般控制審計(jì)程序nIT一般控制包含控制流程一般控制包含控制流程主要包括三主要包括三個(gè)方面?zhèn)€方面變更管理變更管理邏輯訪問(wèn)邏輯訪問(wèn)其它其它IT一般控制一般控制平穩(wěn)解決創(chuàng)平穩(wěn)解決創(chuàng)新管理問(wèn)題新管理問(wèn)題IT一般控制審計(jì)一般控制審計(jì)Enterprise Enterprise datadatamodelmodelMaster/ Master/ reference reference datadataTechnology Technolog

5、y and tools and tools standardsstandards信息系統(tǒng)審計(jì)指南和標(biāo)準(zhǔn)信息系統(tǒng)審計(jì)指南和標(biāo)準(zhǔn)用戶賬號(hào)變更管理用戶賬號(hào)變更管理超級(jí)用戶訪問(wèn)授權(quán)超級(jí)用戶訪問(wèn)授權(quán)關(guān)鍵系統(tǒng)資源和工具訪問(wèn)授權(quán)關(guān)鍵系統(tǒng)資源和工具訪問(wèn)授權(quán)權(quán)限定期檢查權(quán)限定期檢查超級(jí)用戶日志超級(jí)用戶日志職責(zé)分離職責(zé)分離安全參數(shù)設(shè)置安全參數(shù)設(shè)置遠(yuǎn)程訪問(wèn)遠(yuǎn)程訪問(wèn)網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全備份管理備份管理備份恢復(fù)備份恢復(fù)物理安全物理安全批處理批處理第三方管理第三方管理問(wèn)題及應(yīng)急事件處理問(wèn)題及應(yīng)急事件處理業(yè)務(wù)持續(xù)性計(jì)劃災(zāi)業(yè)務(wù)持續(xù)性計(jì)劃災(zāi)難恢復(fù)難恢復(fù)系統(tǒng)開(kāi)發(fā)和重大變更系統(tǒng)開(kāi)發(fā)和重大變更程序變更程序變更配置配置/ /參數(shù)變更參數(shù)變

6、更基礎(chǔ)架構(gòu)變更基礎(chǔ)架構(gòu)變更緊急程序變更緊急程序變更數(shù)據(jù)修改數(shù)據(jù)修改信息系統(tǒng)審計(jì)方法與操作指引2022-4-295IT一般控制審計(jì)程序n變更管理變更管理1.2.1 IT環(huán)境技術(shù)環(huán)境技術(shù)組成要素組成要素在風(fēng)險(xiǎn)評(píng)估過(guò)程中，應(yīng)確定在風(fēng)險(xiǎn)評(píng)估過(guò)程中，應(yīng)確定IT環(huán)境中以下哪些技術(shù)組成要素會(huì)影環(huán)境中以下哪些技術(shù)組成要素會(huì)影響變更管理種類，并且在響變更管理種類，并且在測(cè)試范圍測(cè)試范圍內(nèi)：內(nèi)：應(yīng)用程序應(yīng)用程序 界面（界面（IT控制）控制） 數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)操作系統(tǒng)操作系統(tǒng)/ /網(wǎng)絡(luò)網(wǎng)絡(luò) 1.2 影響變更管理測(cè)試性質(zhì)和影響變更管理測(cè)試性質(zhì)和范圍因素范圍因素僅允許對(duì)應(yīng)用程序、界面、數(shù)據(jù)庫(kù)和操作系統(tǒng)進(jìn)行適當(dāng)授權(quán)、僅允許對(duì)

7、應(yīng)用程序、界面、數(shù)據(jù)庫(kù)和操作系統(tǒng)進(jìn)行適當(dāng)授權(quán)、測(cè)試和批準(zhǔn)的變更測(cè)試和批準(zhǔn)的變更。1.1 總體目標(biāo)總體目標(biāo)信息系統(tǒng)審計(jì)方法與操作指引2022-4-296IT一般控制審計(jì)程序n影響變更管理測(cè)試性質(zhì)和范圍因素影響變更管理測(cè)試性質(zhì)和范圍因素( (續(xù)續(xù)) )1.2.2 變更類型變更類型要確定最適當(dāng)?shù)臏y(cè)試方法，要確定最適當(dāng)?shù)臏y(cè)試方法，了解和記錄用于變更管理過(guò)程了解和記錄用于變更管理過(guò)程，包括，包括針對(duì)以下變更類型和針對(duì)以下變更類型和ITIT環(huán)境技術(shù)組成要素過(guò)程環(huán)境技術(shù)組成要素過(guò)程：程序開(kāi)發(fā)程序開(kāi)發(fā)/ /采購(gòu)采購(gòu) 開(kāi)發(fā)和實(shí)施新應(yīng)用程序或界面。開(kāi)發(fā)和實(shí)施新應(yīng)用程序或界面。 程序變更程序變更 對(duì)現(xiàn)有應(yīng)用程序和界

8、面進(jìn)行的變更。對(duì)現(xiàn)有應(yīng)用程序和界面進(jìn)行的變更。 系統(tǒng)軟件維護(hù)系統(tǒng)軟件維護(hù) 對(duì)數(shù)據(jù)庫(kù)、操作系統(tǒng)和其他系統(tǒng)軟件進(jìn)對(duì)數(shù)據(jù)庫(kù)、操作系統(tǒng)和其他系統(tǒng)軟件進(jìn)行的技術(shù)變更（例如：行的技術(shù)變更（例如：補(bǔ)丁程序和升級(jí)）。補(bǔ)丁程序和升級(jí)）。 緊急變更緊急變更 在緊急情況下進(jìn)行的變更。在緊急情況下進(jìn)行的變更。 配置配置/ /參數(shù)變更參數(shù)變更 對(duì)對(duì)ITIT環(huán)境各種技術(shù)組成要素總體配置和環(huán)境各種技術(shù)組成要素總體配置和參數(shù)設(shè)置進(jìn)行的變更相關(guān)參數(shù)設(shè)置進(jìn)行的變更相關(guān)，包括對(duì)新應(yīng)用程序的配置設(shè)置，包括對(duì)新應(yīng)用程序的配置設(shè)置進(jìn)行初始設(shè)置。進(jìn)行初始設(shè)置。信息系統(tǒng)審計(jì)方法與操作指引2022-4-297IT一般控制審計(jì)程序n影響變更管理

9、測(cè)試性質(zhì)和范圍因素影響變更管理測(cè)試性質(zhì)和范圍因素( (續(xù)續(xù)) )選擇變更管理樣本首選方法是：直接從表明自審計(jì)期間期初到測(cè)試日期實(shí)際進(jìn)行全部變更的變更管理系統(tǒng)獲取清單，并且確定變更清單是完整的、有效的。 如果系統(tǒng)生成清單不可用，可以考慮以下組合：如果系統(tǒng)生成清單不可用，可以考慮以下組合： 獲取被審計(jì)公司變更清單（手工維護(hù)清單或來(lái)自自動(dòng)跟蹤系統(tǒng)清單）； 確定程序變更清單是完整的。通過(guò)查找編譯日期在審計(jì)期間內(nèi)的可執(zhí)行模塊來(lái)獲取實(shí)際變更清單，從該清單中選擇一個(gè)在此期間發(fā)生的變更樣本，并驗(yàn)證從被審計(jì)機(jī)構(gòu)那里獲取的變更清單上是否存在該變更。 如果沒(méi)有任何變更，則核實(shí)范圍內(nèi)技術(shù)組成要素最新編譯日期不在審計(jì)期

10、間內(nèi)，以確定沒(méi)有發(fā)生變更。1.2.3 識(shí)別對(duì)識(shí)別對(duì)ITIT環(huán)境進(jìn)行的變更（測(cè)試總體）環(huán)境進(jìn)行的變更（測(cè)試總體）根據(jù)確定的測(cè)試方法，獲取從審計(jì)期間期初到測(cè)試日期以來(lái)根據(jù)確定的測(cè)試方法，獲取從審計(jì)期間期初到測(cè)試日期以來(lái)ITIT環(huán)境相關(guān)組成要素環(huán)境相關(guān)組成要素變更完整變更完整清單（變更管理清單）。應(yīng)盡可能進(jìn)一步分離變更管理清單，使其只包括在范圍內(nèi)的那些清單（變更管理清單）。應(yīng)盡可能進(jìn)一步分離變更管理清單，使其只包括在范圍內(nèi)的那些ITIT環(huán)境變更和技術(shù)組成要素。環(huán)境變更和技術(shù)組成要素。 應(yīng)用應(yīng)用以下與獲取程序變更清單相關(guān)的方法：以下與獲取程序變更清單相關(guān)的方法：信息系統(tǒng)審計(jì)方法與操作指引2022-4-

11、298IT一般控制審計(jì)程序n影響變更管理測(cè)試性質(zhì)和范圍因素影響變更管理測(cè)試性質(zhì)和范圍因素( (續(xù)續(xù)) )已授權(quán) 確定請(qǐng)求的變更已經(jīng)過(guò)適當(dāng)授權(quán)。根據(jù)被審計(jì)機(jī)構(gòu)政策具體確定，某些情況下（如較小變更，可能被定義為那些需要程序員花費(fèi)時(shí)間少于特定小時(shí)數(shù)的變更），變更可能不需要特定授權(quán)。 已測(cè)試 確定用戶是否執(zhí)行了測(cè)試以確認(rèn)變更按設(shè)計(jì)意圖運(yùn)行。否則，應(yīng)確認(rèn)確實(shí)進(jìn)行了其他適當(dāng)測(cè)試。有些情況下（如：基礎(chǔ)結(jié)構(gòu)變更），根據(jù)被審計(jì)機(jī)構(gòu)政策，可以接受純IT測(cè)試。 已批準(zhǔn) 確定在變更移入生產(chǎn)環(huán)境之前，應(yīng)用程序所有者和IT人員是否批準(zhǔn)了這些變更。有些情況下（如：基礎(chǔ)結(jié)構(gòu)變更），可以接受純IT批準(zhǔn)。1.2.4 授權(quán)、測(cè)試和

12、批準(zhǔn)變更授權(quán)、測(cè)試和批準(zhǔn)變更 1.2.5 變更管理職責(zé)分工補(bǔ)償性控制變更管理職責(zé)分工補(bǔ)償性控制由于組織結(jié)構(gòu)或其他原因無(wú)法進(jìn)行變更管理不相容職責(zé)分工情況下，補(bǔ)償性控制可以用來(lái)保證不會(huì)發(fā)生未經(jīng)授權(quán)的程序或數(shù)據(jù)變更。應(yīng)將補(bǔ)償性控制設(shè)計(jì)為發(fā)現(xiàn)何時(shí)因不相容職責(zé)分工問(wèn)題而規(guī)避現(xiàn)有其他變更管理控制。補(bǔ)償性IT一般控制示例有：變更日志復(fù)核，以確定只有批準(zhǔn)的變更被移到生產(chǎn)環(huán)境中，同時(shí)確認(rèn)變更日志是完整的。變更日志復(fù)核，以確定只有批準(zhǔn)的變更被移到生產(chǎn)環(huán)境中，同時(shí)確認(rèn)變更日志是完整的。 變更控制會(huì)議，以討論和跟進(jìn)移入生產(chǎn)環(huán)境中的最新變更。變更控制會(huì)議，以討論和跟進(jìn)移入生產(chǎn)環(huán)境中的最新變更。 信息系統(tǒng)審計(jì)方法與操作指

13、引2022-4-299IT一般控制審計(jì)程序n邏輯訪問(wèn)邏輯訪問(wèn)2.1 總體目標(biāo)總體目標(biāo)只只允許授權(quán)人員訪問(wèn)數(shù)據(jù)和應(yīng)用程序（包括程序、表格以及相關(guān)資允許授權(quán)人員訪問(wèn)數(shù)據(jù)和應(yīng)用程序（包括程序、表格以及相關(guān)資源），并且這些人員只能執(zhí)行明確授權(quán)的功能（例如：詢問(wèn)、執(zhí)行和源），并且這些人員只能執(zhí)行明確授權(quán)的功能（例如：詢問(wèn)、執(zhí)行和更新等）。更新等）。 需要考慮需要考慮 ITGC 邏輯訪問(wèn)測(cè)試是否提供了有關(guān)適當(dāng)?shù)南拗苹虿幌嗳葸壿嬙L問(wèn)測(cè)試是否提供了有關(guān)適當(dāng)?shù)南拗苹虿幌嗳萋氊?zé)分工的足夠證據(jù)。有些情況下，職責(zé)分工的足夠證據(jù)。有些情況下，ITGC 測(cè)試不能為我們提供足夠測(cè)試不能為我們提供足夠的證據(jù)，以明確斷定是否為

14、各個(gè)交易適當(dāng)限制或分離了邏輯訪問(wèn)。此的證據(jù)，以明確斷定是否為各個(gè)交易適當(dāng)限制或分離了邏輯訪問(wèn)。此時(shí)，應(yīng)用程序?qū)哟蔚脑L問(wèn)控制對(duì)于我們的風(fēng)險(xiǎn)評(píng)估而言可能至關(guān)重要。時(shí)，應(yīng)用程序?qū)哟蔚脑L問(wèn)控制對(duì)于我們的風(fēng)險(xiǎn)評(píng)估而言可能至關(guān)重要。在這種情況下，作為應(yīng)用控制測(cè)試的一部分，我們將對(duì)應(yīng)用程序?qū)哟卧谶@種情況下，作為應(yīng)用控制測(cè)試的一部分，我們將對(duì)應(yīng)用程序?qū)哟卧L問(wèn)或不相容職責(zé)分工控制執(zhí)行特定測(cè)試。訪問(wèn)或不相容職責(zé)分工控制執(zhí)行特定測(cè)試。信息系統(tǒng)審計(jì)方法與操作指引2022-4-2910IT一般控制審計(jì)程序2.2 影響影響邏輯訪問(wèn)邏輯訪問(wèn)測(cè)試性質(zhì)和范圍因素測(cè)試性質(zhì)和范圍因素對(duì)于ITGC審計(jì)范圍每個(gè)應(yīng)用程序,應(yīng)確定用于保護(hù)

15、財(cái)務(wù)系統(tǒng)程序和數(shù)據(jù)訪問(wèn)的邏輯訪問(wèn)路徑每個(gè)技術(shù)組成要素關(guān)鍵程度。邏輯訪問(wèn)路徑可能的技術(shù)組成要素包括：2.2.1 邏輯訪問(wèn)路徑邏輯訪問(wèn)路徑應(yīng)用程序應(yīng)用程序 操作系統(tǒng)，操作系統(tǒng)，包括使用安全軟件包括使用安全軟件 數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù) 網(wǎng)絡(luò)網(wǎng)絡(luò) 互聯(lián)網(wǎng)互聯(lián)網(wǎng)/ /遠(yuǎn)程訪問(wèn)遠(yuǎn)程訪問(wèn) 穿行測(cè)試應(yīng)記錄邏輯訪問(wèn)路徑中的哪些位置存在不同授權(quán)訪問(wèn)過(guò)程。在大多數(shù)環(huán)境中：所有邏輯訪問(wèn)所有邏輯訪問(wèn)ITGC均應(yīng)用于應(yīng)用程序?qū)哟尉鶓?yīng)用于應(yīng)用程序?qū)哟?；并非所有邏輯訪問(wèn)并非所有邏輯訪問(wèn)ITGC都應(yīng)用于操作系統(tǒng)和都應(yīng)用于操作系統(tǒng)和數(shù)據(jù)庫(kù)層次；數(shù)據(jù)庫(kù)層次； 只有極少數(shù)邏輯訪問(wèn)只有極少數(shù)邏輯訪問(wèn)ITGC可能應(yīng)用于網(wǎng)絡(luò)、遠(yuǎn)程訪問(wèn)或互聯(lián)網(wǎng)層次。

16、可能應(yīng)用于網(wǎng)絡(luò)、遠(yuǎn)程訪問(wèn)或互聯(lián)網(wǎng)層次。 信息系統(tǒng)審計(jì)方法與操作指引2022-4-2911IT一般控制審計(jì)程序n影響影響邏輯訪問(wèn)邏輯訪問(wèn)測(cè)試性質(zhì)和范圍因素測(cè)試性質(zhì)和范圍因素( (續(xù)續(xù)) )與離職和調(diào)動(dòng)用戶相關(guān)的ITGC通常是補(bǔ)償性控制，用于彌補(bǔ)定期用戶訪問(wèn)復(fù)核過(guò)程的缺陷。如果審計(jì)方法表明需要測(cè)試離職和調(diào)動(dòng)用戶，我們應(yīng)考慮以下程序：2.2.2 定期用戶權(quán)限復(fù)核控制的補(bǔ)償性控制定期用戶權(quán)限復(fù)核控制的補(bǔ)償性控制測(cè)試程序測(cè)試程序 離職用戶：獲取審計(jì)期間離職用戶：獲取審計(jì)期間離職職員離職職員清單，并確定它是完整清單，并確定它是完整的、有效的。選擇適當(dāng)樣本的、有效的。選擇適當(dāng)樣本，確定是否及時(shí)刪除或撤消了系

17、統(tǒng)，確定是否及時(shí)刪除或撤消了系統(tǒng)訪問(wèn)權(quán)限。訪問(wèn)權(quán)限。測(cè)試程序測(cè)試程序 調(diào)動(dòng)用戶：獲取審計(jì)期間調(diào)動(dòng)用戶：獲取審計(jì)期間調(diào)動(dòng)職員調(diào)動(dòng)職員清單，并確定它是完整清單，并確定它是完整的、有效的。的、有效的。確定確定用戶訪問(wèn)用戶訪問(wèn)對(duì)于其工作職能來(lái)說(shuō)是否適當(dāng)，其以前的系統(tǒng)對(duì)于其工作職能來(lái)說(shuō)是否適當(dāng)，其以前的系統(tǒng)訪問(wèn)權(quán)限是否訪問(wèn)權(quán)限是否已被刪除或撤消。已被刪除或撤消。信息系統(tǒng)審計(jì)方法與操作指引2022-4-2912IT一般控制審計(jì)程序n其他其他IT一般控制一般控制備份和恢復(fù)：正確備份支持財(cái)務(wù)信息的數(shù)據(jù)，以便在出現(xiàn)系統(tǒng)中斷或數(shù)據(jù)完備份和恢復(fù)：正確備份支持財(cái)務(wù)信息的數(shù)據(jù)，以便在出現(xiàn)系統(tǒng)中斷或數(shù)據(jù)完整性問(wèn)題時(shí)，可以

18、準(zhǔn)確完整地恢復(fù)此類數(shù)據(jù)。整性問(wèn)題時(shí)，可以準(zhǔn)確完整地恢復(fù)此類數(shù)據(jù)。 任務(wù)排程：按計(jì)劃執(zhí)行程序，及時(shí)識(shí)別并消除按計(jì)劃處理時(shí)產(chǎn)生的偏差。任務(wù)排程：按計(jì)劃執(zhí)行程序，及時(shí)識(shí)別并消除按計(jì)劃處理時(shí)產(chǎn)生的偏差。 批處理：正確維護(hù)批處理過(guò)程，持續(xù)監(jiān)控批處理，以保證數(shù)據(jù)安全。批處理：正確維護(hù)批處理過(guò)程，持續(xù)監(jiān)控批處理，以保證數(shù)據(jù)安全。問(wèn)題和事件管理及監(jiān)控：及時(shí)識(shí)別、解決、復(fù)核和分析問(wèn)題和事件管理及監(jiān)控：及時(shí)識(shí)別、解決、復(fù)核和分析ITIT運(yùn)行問(wèn)題或事件。運(yùn)行問(wèn)題或事件。3.1 總體目標(biāo)總體目標(biāo)3.2 影響其他影響其他IT一般控制測(cè)試性質(zhì)和一般控制測(cè)試性質(zhì)和范圍因素范圍因素3.2.1 IT環(huán)境技術(shù)環(huán)境技術(shù)組成要素組成

19、要素在風(fēng)險(xiǎn)評(píng)估過(guò)程中，我們應(yīng)確定在風(fēng)險(xiǎn)評(píng)估過(guò)程中，我們應(yīng)確定ITIT環(huán)境中以下哪些技術(shù)組成要素會(huì)影響其環(huán)境中以下哪些技術(shù)組成要素會(huì)影響其他他ITIT一般控制，并且在一般控制，并且在測(cè)試范圍測(cè)試范圍內(nèi)：內(nèi)：應(yīng)用程序應(yīng)用程序 數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù) 操作系統(tǒng)操作系統(tǒng)/ /網(wǎng)絡(luò)網(wǎng)絡(luò) 信息系統(tǒng)審計(jì)方法與操作指引IT一般控制審計(jì)程序方法論n測(cè)試方法測(cè)試方法測(cè)試人員需要根據(jù)具體情況，決定采用不同測(cè)試方法，包括：詢問(wèn)、測(cè)試人員需要根據(jù)具體情況，決定采用不同測(cè)試方法，包括：詢問(wèn)、觀察、檢查、重新執(zhí)行四種。注意：對(duì)某一個(gè)控制點(diǎn)測(cè)試可能需要結(jié)觀察、檢查、重新執(zhí)行四種。注意：對(duì)某一個(gè)控制點(diǎn)測(cè)試可能需要結(jié)合各種不同測(cè)試方法，譬

20、如用戶賬號(hào)管理流程關(guān)于用戶初始密碼必須合各種不同測(cè)試方法，譬如用戶賬號(hào)管理流程關(guān)于用戶初始密碼必須及時(shí)更改這個(gè)控制點(diǎn)。及時(shí)更改這個(gè)控制點(diǎn)。詢問(wèn)：通過(guò)向相關(guān)人員訪談了解各個(gè)系統(tǒng)是否存在用戶初始密碼更改控詢問(wèn)：通過(guò)向相關(guān)人員訪談了解各個(gè)系統(tǒng)是否存在用戶初始密碼更改控制，由什么崗位負(fù)責(zé)這項(xiàng)工作，是否有制度對(duì)初始密碼作出規(guī)定等。制，由什么崗位負(fù)責(zé)這項(xiàng)工作，是否有制度對(duì)初始密碼作出規(guī)定等。 觀察：觀察一個(gè)系統(tǒng)新用戶初次登陸時(shí)，系統(tǒng)是否提示修改密碼。觀察：觀察一個(gè)系統(tǒng)新用戶初次登陸時(shí)，系統(tǒng)是否提示修改密碼。 檢查：檢查系統(tǒng)安全參數(shù)設(shè)置，確保使用正確的參數(shù)強(qiáng)制用戶在初次檢查：檢查系統(tǒng)安全參數(shù)設(shè)置，確保使用正

21、確的參數(shù)強(qiáng)制用戶在初次登錄后修改密碼。登錄后修改密碼。 重新執(zhí)行：申請(qǐng)一個(gè)測(cè)試賬號(hào)，在系統(tǒng)中初次登錄時(shí)查看系統(tǒng)是否強(qiáng)重新執(zhí)行：申請(qǐng)一個(gè)測(cè)試賬號(hào)，在系統(tǒng)中初次登錄時(shí)查看系統(tǒng)是否強(qiáng)制要求修改密碼。制要求修改密碼。2022-4-2913信息系統(tǒng)審計(jì)方法與操作指引IT一般控制審計(jì)程序方法論2022-4-2914為了解為了解IT流程流程，參與評(píng)估人員，參與評(píng)估人員需要在內(nèi)控文檔中對(duì)如下內(nèi)容進(jìn)行關(guān)注：需要在內(nèi)控文檔中對(duì)如下內(nèi)容進(jìn)行關(guān)注：5個(gè)個(gè)W(WHO, WHEN, WHAT,WHERE, WHY )與與1個(gè)個(gè)H( HOW )誰(shuí)來(lái)做的誰(shuí)來(lái)做的- -Who何時(shí)做的何時(shí)做的-When-When做的什么做的什么

22、- What- What在哪做的在哪做的- Where- Where做的原因做的原因- Why- Why如何做的如何做的- How- Hown了解了解IT流程方法流程方法信息系統(tǒng)審計(jì)方法與操作指引IT一般控制審計(jì)程序方法論2022-4-2915IT一般控制測(cè)試流程一般控制測(cè)試流程缺陷報(bào)告缺陷報(bào)告文文檔檔整改整改控制矩陣控制矩陣測(cè)試測(cè)試訪談訪談再評(píng)估再評(píng)估信息系統(tǒng)審計(jì)方法與操作指引IT一般控制審計(jì)程序方法論2022-4-2916IT一般控制流程主要關(guān)注點(diǎn)舉例一般控制流程主要關(guān)注點(diǎn)舉例- -用戶賬戶維護(hù)流程用戶賬戶維護(hù)流程 注：所列內(nèi)容僅為注：所列內(nèi)容僅為簡(jiǎn)單樣簡(jiǎn)單樣例例需求部門(mén)需求部門(mén)如何提出如

23、何提出用戶用戶賬戶賬戶維護(hù)申請(qǐng)維護(hù)申請(qǐng)?jiān)撋暾?qǐng)由該申請(qǐng)由誰(shuí)來(lái)授權(quán)，誰(shuí)來(lái)授權(quán)，如何授權(quán)如何授權(quán)以及以及授權(quán)授權(quán)哪些內(nèi)容哪些內(nèi)容需求申請(qǐng)及需求申請(qǐng)及授權(quán)確認(rèn)授權(quán)確認(rèn)記錄在哪里記錄在哪里具體誰(shuí)負(fù)責(zé)具體誰(shuí)負(fù)責(zé)執(zhí)行執(zhí)行及如何執(zhí)行及如何執(zhí)行 負(fù)責(zé)人負(fù)責(zé)人完成維護(hù)完成維護(hù)操作后，操作后，如何通知如何通知需求部門(mén)需求部門(mén)或授權(quán)人或授權(quán)人啟動(dòng)啟動(dòng)授權(quán)授權(quán)記錄記錄流程處理流程處理匯報(bào)匯報(bào)詢問(wèn)、觀察詢問(wèn)、觀察和檢查和檢查詢問(wèn)、觀察詢問(wèn)、觀察和檢查和檢查詢問(wèn)、觀察詢問(wèn)、觀察和檢查和檢查詢問(wèn)、觀察詢問(wèn)、觀察和檢查和檢查詢問(wèn)、觀察詢問(wèn)、觀察和檢查和檢查信息系統(tǒng)審計(jì)方法與操作指引2022-4-2917IT一般控制審計(jì)方法論了

24、解被評(píng)估了解被評(píng)估單位的單位的ITIT一一般控制流程般控制流程根據(jù)流程根據(jù)流程描述，識(shí)描述，識(shí)別風(fēng)險(xiǎn)與別風(fēng)險(xiǎn)與控制的關(guān)控制的關(guān)系系根據(jù)應(yīng)用根據(jù)應(yīng)用系統(tǒng)配置系統(tǒng)配置清單，判清單，判斷測(cè)試范斷測(cè)試范圍圍根據(jù)測(cè)試根據(jù)測(cè)試范圍設(shè)計(jì)范圍設(shè)計(jì)測(cè)試方法測(cè)試方法執(zhí)行穿行執(zhí)行穿行測(cè)試測(cè)試/ /控控制測(cè)試制測(cè)試根據(jù)測(cè)試根據(jù)測(cè)試結(jié)果，進(jìn)結(jié)果，進(jìn)行控制評(píng)行控制評(píng)價(jià)價(jià)填寫(xiě)缺陷填寫(xiě)缺陷報(bào)告、制報(bào)告、制定整改計(jì)定整改計(jì)劃劃流程描述流程描述/ /流程圖流程圖ITIT一般控制評(píng)估一般控制評(píng)估風(fēng)險(xiǎn)控制風(fēng)險(xiǎn)控制矩陣矩陣系統(tǒng)配置系統(tǒng)配置清單清單測(cè)試模板測(cè)試模板穿行、控制測(cè)試報(bào)告穿行、控制測(cè)試報(bào)告缺陷報(bào)告、缺陷報(bào)告、整改計(jì)劃整改計(jì)劃使

25、用相關(guān)流使用相關(guān)流程描述方法程描述方法表示被評(píng)估表示被評(píng)估單位某個(gè)具單位某個(gè)具體業(yè)務(wù)處理體業(yè)務(wù)處理過(guò)程。過(guò)程。 風(fēng)險(xiǎn)控制矩陣是風(fēng)險(xiǎn)控制矩陣是對(duì)風(fēng)險(xiǎn)所導(dǎo)致負(fù)對(duì)風(fēng)險(xiǎn)所導(dǎo)致負(fù)面影響的量化，面影響的量化，從嚴(yán)重性、發(fā)生從嚴(yán)重性、發(fā)生概率和所涉及范概率和所涉及范圍等方面進(jìn)行描圍等方面進(jìn)行描述，使得對(duì)風(fēng)險(xiǎn)述，使得對(duì)風(fēng)險(xiǎn)的刻畫(huà)更為有效的刻畫(huà)更為有效和清晰。和清晰。識(shí)別出關(guān)鍵系統(tǒng)識(shí)別出關(guān)鍵系統(tǒng)的系統(tǒng)配置，包的系統(tǒng)配置，包括系統(tǒng)描述、應(yīng)括系統(tǒng)描述、應(yīng)用系統(tǒng)來(lái)源、計(jì)用系統(tǒng)來(lái)源、計(jì)算機(jī)平臺(tái)、算機(jī)平臺(tái)、操作操作系統(tǒng)、數(shù)據(jù)庫(kù)名系統(tǒng)、數(shù)據(jù)庫(kù)名稱稱和版本等有關(guān)和版本等有關(guān)系統(tǒng)的信息。系統(tǒng)的信息。根據(jù)對(duì)信息系統(tǒng)根據(jù)對(duì)信息系統(tǒng)

26、的初步了解，設(shè)的初步了解，設(shè)計(jì)出相應(yīng)的測(cè)試計(jì)出相應(yīng)的測(cè)試模板，包括風(fēng)險(xiǎn)模板，包括風(fēng)險(xiǎn)點(diǎn)、控制點(diǎn)、測(cè)點(diǎn)、控制點(diǎn)、測(cè)試范圍、測(cè)試時(shí)試范圍、測(cè)試時(shí)間、測(cè)試步驟等間、測(cè)試步驟等信息信息對(duì)相關(guān)風(fēng)險(xiǎn)點(diǎn)所針對(duì)的每個(gè)控制進(jìn)對(duì)相關(guān)風(fēng)險(xiǎn)點(diǎn)所針對(duì)的每個(gè)控制進(jìn)行測(cè)試，并得出結(jié)論（即：確定行測(cè)試，并得出結(jié)論（即：確定ITGCITGC是否有效）。測(cè)試結(jié)論所依賴是否有效）。測(cè)試結(jié)論所依賴的審計(jì)證據(jù)一定要真實(shí)可靠。的審計(jì)證據(jù)一定要真實(shí)可靠。對(duì)所測(cè)試的控制對(duì)所測(cè)試的控制 未按照設(shè)計(jì)方式未按照設(shè)計(jì)方式運(yùn)行的情況進(jìn)行運(yùn)行的情況進(jìn)行總結(jié)歸納；同時(shí)總結(jié)歸納；同時(shí)找出原因和影響找出原因和影響范圍，并對(duì)其提范圍，并對(duì)其提出整改意見(jiàn)。出整改

27、意見(jiàn)。信息系統(tǒng)審計(jì)方法與操作指引IT一般控制審計(jì)程序方法論2022-4-2918n流程描述流程描述/ /流程圖流程圖系統(tǒng)系統(tǒng)變更變更流程適用范圍流程適用范圍- -針對(duì)針對(duì)XXXXXX系統(tǒng)系統(tǒng)需求需求申請(qǐng)申請(qǐng)需求可行性分析需求可行性分析 業(yè)務(wù)需求文檔編寫(xiě)業(yè)務(wù)需求文檔編寫(xiě)系統(tǒng)開(kāi)發(fā)系統(tǒng)開(kāi)發(fā)測(cè)試測(cè)試上線上線上線后跟進(jìn)上線后跟進(jìn)信息系統(tǒng)審計(jì)方法與操作指引IT一般控制審計(jì)程序方法論2022-4-2919n風(fēng)險(xiǎn)控制風(fēng)險(xiǎn)控制矩陣矩陣風(fēng)險(xiǎn)風(fēng)險(xiǎn)控制矩陣是對(duì)風(fēng)險(xiǎn)所導(dǎo)致負(fù)面影響的量化，從嚴(yán)重性、發(fā)生概率和所涉及控制矩陣是對(duì)風(fēng)險(xiǎn)所導(dǎo)致負(fù)面影響的量化，從嚴(yán)重性、發(fā)生概率和所涉及范圍等方面進(jìn)行描述，使得對(duì)風(fēng)險(xiǎn)的刻畫(huà)更為有效

28、和清晰。包括風(fēng)險(xiǎn)點(diǎn)、控制范圍等方面進(jìn)行描述，使得對(duì)風(fēng)險(xiǎn)的刻畫(huà)更為有效和清晰。包括風(fēng)險(xiǎn)點(diǎn)、控制點(diǎn)、控制存在的證明性資料、實(shí)際控制描述等信息。點(diǎn)、控制存在的證明性資料、實(shí)際控制描述等信息。信息系統(tǒng)審計(jì)方法與操作指引IT一般控制審計(jì)程序方法論2022-4-2920n穿行穿行測(cè)試測(cè)試、控制測(cè)試定義控制測(cè)試定義穿行測(cè)試：追蹤交易實(shí)際執(zhí)行或在信息系統(tǒng)中的處理過(guò)程，并檢查文件存檔和信息穿行測(cè)試：追蹤交易實(shí)際執(zhí)行或在信息系統(tǒng)中的處理過(guò)程，并檢查文件存檔和信息流，以確定是否按照規(guī)定的制度完成。穿行測(cè)試不是單獨(dú)的一種審計(jì)程序，而是將流，以確定是否按照規(guī)定的制度完成。穿行測(cè)試不是單獨(dú)的一種審計(jì)程序，而是將多種審計(jì)程

29、序按特定審計(jì)多種審計(jì)程序按特定審計(jì)需要結(jié)合需要結(jié)合運(yùn)用的方法。通過(guò)追蹤運(yùn)用的方法。通過(guò)追蹤交易處理交易處理過(guò)程過(guò)程，證實(shí)，證實(shí)審計(jì)審計(jì)人員對(duì)控制的了解、評(píng)價(jià)控制人員對(duì)控制的了解、評(píng)價(jià)控制設(shè)計(jì)有效性設(shè)計(jì)有效性以及確定控制是否得到執(zhí)行。以及確定控制是否得到執(zhí)行。控制測(cè)試：測(cè)試被審計(jì)單位系統(tǒng)控制控制測(cè)試：測(cè)試被審計(jì)單位系統(tǒng)控制設(shè)計(jì)合理性設(shè)計(jì)合理性和和執(zhí)行有效性執(zhí)行有效性。在測(cè)試控制。在測(cè)試控制運(yùn)行運(yùn)行有效性有效性時(shí)，應(yīng)當(dāng)從下列方面獲取關(guān)于控制是否有效運(yùn)行的審計(jì)證據(jù)時(shí)，應(yīng)當(dāng)從下列方面獲取關(guān)于控制是否有效運(yùn)行的審計(jì)證據(jù)：控制在所審計(jì)期間不同時(shí)點(diǎn)是如何運(yùn)行的；控制在所審計(jì)期間不同時(shí)點(diǎn)是如何運(yùn)行的；控制控制

30、是否得到一貫執(zhí)行是否得到一貫執(zhí)行；控制控制由誰(shuí)執(zhí)行由誰(shuí)執(zhí)行；控制控制以何種方式運(yùn)行（如人工控制或自動(dòng)控制）。以何種方式運(yùn)行（如人工控制或自動(dòng)控制）。 穿行測(cè)試穿行測(cè)試：評(píng)價(jià)控制設(shè)計(jì)：評(píng)價(jià)控制設(shè)計(jì)有效性有效性。穿行測(cè)試主要是在了解內(nèi)部控制時(shí)運(yùn)用，但在執(zhí)行穿行測(cè)試主要是在了解內(nèi)部控制時(shí)運(yùn)用，但在執(zhí)行穿行測(cè)試時(shí)，也能獲取部分控制運(yùn)行有效性的審計(jì)證據(jù)。穿行測(cè)試時(shí)，也能獲取部分控制運(yùn)行有效性的審計(jì)證據(jù)?？刂茰y(cè)試控制測(cè)試：評(píng)價(jià)：評(píng)價(jià)控制設(shè)計(jì)有效性并確定控制設(shè)計(jì)有效性并確定控制是否控制是否得到有效執(zhí)行得到有效執(zhí)行。n穿行測(cè)試、穿行測(cè)試、控制測(cè)試區(qū)別控制測(cè)試區(qū)別信息系統(tǒng)審計(jì)方法與操作指引IT一般控制審計(jì)程序方

31、法論2022-4-2921n穿行測(cè)試穿行測(cè)試樣本量樣本量穿行穿行測(cè)試是隨機(jī)選擇審計(jì)期間的一個(gè)樣本進(jìn)行測(cè)試。測(cè)試是隨機(jī)選擇審計(jì)期間的一個(gè)樣本進(jìn)行測(cè)試。n控制測(cè)試樣本量控制測(cè)試樣本量在制定用于執(zhí)行控制測(cè)試的測(cè)試策略時(shí)，應(yīng)考慮這樣一個(gè)事實(shí)：執(zhí)行足夠多程序是在制定用于執(zhí)行控制測(cè)試的測(cè)試策略時(shí)，應(yīng)考慮這樣一個(gè)事實(shí)：執(zhí)行足夠多程序是為了作出控制有效運(yùn)行結(jié)論。下表匯總了我們?cè)谙铝星闆r下針對(duì)某個(gè)特定控制執(zhí)行為了作出控制有效運(yùn)行結(jié)論。下表匯總了我們?cè)谙铝星闆r下針對(duì)某個(gè)特定控制執(zhí)行控制測(cè)試的基本測(cè)試范圍指引：控制測(cè)試的基本測(cè)試范圍指引：控制性質(zhì)及執(zhí)行頻率控制性質(zhì)及執(zhí)行頻率全面控制測(cè)試全面控制測(cè)試 - - 要測(cè)試的

32、最少樣要測(cè)試的最少樣本數(shù)量（控制測(cè)試范圍）本數(shù)量（控制測(cè)試范圍）每天執(zhí)行許多次的手工控制每天執(zhí)行許多次的手工控制2525每天執(zhí)行一次的手工控制每天執(zhí)行一次的手工控制* *2525每周執(zhí)行一次的手工控制每周執(zhí)行一次的手工控制5 5每月執(zhí)行一次的手工控制每月執(zhí)行一次的手工控制2 2每季執(zhí)行一次的手工控制每季執(zhí)行一次的手工控制2 2每年執(zhí)行一次的手工控制每年執(zhí)行一次的手工控制1 1自動(dòng)控制自動(dòng)控制1 1（區(qū)別不同交易類型）（區(qū)別不同交易類型）* 某些控制可能是頻繁執(zhí)行的，但不是每天都執(zhí)行。對(duì)于這種控制，應(yīng)使用某些控制可能是頻繁執(zhí)行的，但不是每天都執(zhí)行。對(duì)于這種控制，應(yīng)使用上面指引上面指引推算樣本量。

33、通常，對(duì)于在一年推算樣本量。通常，對(duì)于在一年中出現(xiàn)中出現(xiàn) 50 50 至至 250 250 次的控制，使用次的控制，使用上面表格上面表格推算的最低樣本量大約是發(fā)生數(shù)量的推算的最低樣本量大約是發(fā)生數(shù)量的10%10%。信息系統(tǒng)審計(jì)方法與操作指引IT一般控制審計(jì)程序方法論2022-4-2922n測(cè)試模板測(cè)試模板根據(jù)對(duì)被審計(jì)單位信息系統(tǒng)的初步了解，設(shè)計(jì)出相應(yīng)的測(cè)試模板，包括風(fēng)險(xiǎn)點(diǎn)、控根據(jù)對(duì)被審計(jì)單位信息系統(tǒng)的初步了解，設(shè)計(jì)出相應(yīng)的測(cè)試模板，包括風(fēng)險(xiǎn)點(diǎn)、控制點(diǎn)、測(cè)試范圍、測(cè)試時(shí)間、測(cè)試步驟等信息。制點(diǎn)、測(cè)試范圍、測(cè)試時(shí)間、測(cè)試步驟等信息。信息系統(tǒng)審計(jì)方法與操作指引IT一般控制審計(jì)程序方法論2022-4-

34、2923n缺陷報(bào)告、整改計(jì)劃缺陷報(bào)告、整改計(jì)劃對(duì)所測(cè)試的控制沒(méi)有按照設(shè)定方式運(yùn)行情況進(jìn)行總結(jié)歸納；同時(shí)找出原因和影響范對(duì)所測(cè)試的控制沒(méi)有按照設(shè)定方式運(yùn)行情況進(jìn)行總結(jié)歸納；同時(shí)找出原因和影響范圍，并對(duì)其提出有針對(duì)性的整改意見(jiàn)。圍，并對(duì)其提出有針對(duì)性的整改意見(jiàn)。信息系統(tǒng)審計(jì)方法與操作指引IT一般控制審計(jì)程序方法論2022-4-2924IT一般控制與應(yīng)用控制關(guān)系一般控制與應(yīng)用控制關(guān)系人工控制人工控制自動(dòng)控制自動(dòng)控制（純）人工控制（純）人工控制應(yīng)用程序控制應(yīng)用程序控制人工依賴人工依賴IT控制控制IT一般控制一般控制人工人工檢查性檢查性控制控制人工人工預(yù)防性預(yù)防性控制控制信息系統(tǒng)審計(jì)方法與操作指引IT應(yīng)

35、用控制審計(jì)方法論2022-4-2925nIT應(yīng)用控制概念應(yīng)用控制概念應(yīng)用控制是在應(yīng)用系統(tǒng)中由程序執(zhí)行的控制，用以替代很多由人工完成的基礎(chǔ)應(yīng)用控制是在應(yīng)用系統(tǒng)中由程序執(zhí)行的控制，用以替代很多由人工完成的基礎(chǔ)性檢查工作。由于應(yīng)用控制普遍適用于各種交易處理，所以應(yīng)用控制是否有效性檢查工作。由于應(yīng)用控制普遍適用于各種交易處理，所以應(yīng)用控制是否有效對(duì)于財(cái)務(wù)報(bào)表完整性和正確性以及公司內(nèi)部控制有效性有著極為重要的影響。對(duì)于財(cái)務(wù)報(bào)表完整性和正確性以及公司內(nèi)部控制有效性有著極為重要的影響。nIT應(yīng)用控制類型應(yīng)用控制類型信息系統(tǒng)審計(jì)方法與操作指引2022-4-2926IT應(yīng)用控制審計(jì)方法論了解了解核心核心應(yīng)用系統(tǒng)

36、相應(yīng)用系統(tǒng)相關(guān)的關(guān)的重要重要業(yè)業(yè)務(wù)流程務(wù)流程確定業(yè)確定業(yè)務(wù)流程與務(wù)流程與應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)的對(duì)應(yīng)關(guān)的對(duì)應(yīng)關(guān)系系根據(jù)業(yè)根據(jù)業(yè)務(wù)流程描務(wù)流程描述，識(shí)別述，識(shí)別風(fēng)險(xiǎn)與控風(fēng)險(xiǎn)與控制制執(zhí)行穿行執(zhí)行穿行測(cè)試測(cè)試/ /控制控制測(cè)試測(cè)試 根據(jù)測(cè)根據(jù)測(cè)試結(jié)果，試結(jié)果，進(jìn)行控制進(jìn)行控制評(píng)價(jià)評(píng)價(jià) 填寫(xiě)缺填寫(xiě)缺陷報(bào)告，陷報(bào)告，制定整改制定整改計(jì)劃計(jì)劃流程描述流程描述/ /流程圖流程圖應(yīng)用控制層面評(píng)估應(yīng)用控制層面評(píng)估系統(tǒng)規(guī)劃圖系統(tǒng)規(guī)劃圖風(fēng)險(xiǎn)控制風(fēng)險(xiǎn)控制矩陣矩陣穿行、控制測(cè)試報(bào)告穿行、控制測(cè)試報(bào)告缺陷報(bào)告、缺陷報(bào)告、整改計(jì)劃整改計(jì)劃使用既定的使用既定的流程描述方流程描述方法表示被審法表示被審計(jì)機(jī)構(gòu)某個(gè)計(jì)機(jī)構(gòu)某個(gè)具體業(yè)務(wù)處具

37、體業(yè)務(wù)處理過(guò)程。理過(guò)程。 描述各個(gè)系統(tǒng)之描述各個(gè)系統(tǒng)之間信息傳遞關(guān)系間信息傳遞關(guān)系和系統(tǒng)與系統(tǒng)相和系統(tǒng)與系統(tǒng)相關(guān)接口。關(guān)接口。對(duì)已選擇風(fēng)險(xiǎn)點(diǎn)所針對(duì)的每個(gè)控制對(duì)已選擇風(fēng)險(xiǎn)點(diǎn)所針對(duì)的每個(gè)控制進(jìn)行測(cè)試，并得出結(jié)論。測(cè)試結(jié)論進(jìn)行測(cè)試，并得出結(jié)論。測(cè)試結(jié)論所依賴的審計(jì)證據(jù)一定要真實(shí)可靠。所依賴的審計(jì)證據(jù)一定要真實(shí)可靠。對(duì)所測(cè)試的控制對(duì)所測(cè)試的控制并未按照針對(duì)該并未按照針對(duì)該交易或控制運(yùn)行交易或控制運(yùn)行發(fā)生而設(shè)計(jì)的方發(fā)生而設(shè)計(jì)的方式運(yùn)行進(jìn)行總結(jié)式運(yùn)行進(jìn)行總結(jié)歸納；同時(shí)找出歸納；同時(shí)找出原因和影響范圍，原因和影響范圍，并對(duì)其提出整改并對(duì)其提出整改意見(jiàn)。意見(jiàn)。風(fēng)險(xiǎn)控制矩陣是風(fēng)險(xiǎn)控制矩陣是對(duì)風(fēng)險(xiǎn)所導(dǎo)致負(fù)對(duì)風(fēng)險(xiǎn)所

38、導(dǎo)致負(fù)面影響的量化，面影響的量化，從嚴(yán)重性、發(fā)生從嚴(yán)重性、發(fā)生概率和所涉及范概率和所涉及范圍等方面進(jìn)行描圍等方面進(jìn)行描述，使得對(duì)風(fēng)險(xiǎn)述，使得對(duì)風(fēng)險(xiǎn)的刻畫(huà)更為有效的刻畫(huà)更為有效和清晰。和清晰。信息系統(tǒng)審計(jì)方法與操作指引2022-4-2927IT應(yīng)用控制審計(jì)方法論風(fēng)險(xiǎn)控制矩陣也是流程層面控制矩陣的一部分，其中包括人工控制、系統(tǒng)自動(dòng)控風(fēng)險(xiǎn)控制矩陣也是流程層面控制矩陣的一部分，其中包括人工控制、系統(tǒng)自動(dòng)控制和人工依賴制和人工依賴ITIT系統(tǒng)控制三類控制。樣例如下：系統(tǒng)控制三類控制。樣例如下：存在存在/發(fā)生、完整性、權(quán)發(fā)生、完整性、權(quán)利和義務(wù)、計(jì)價(jià)和分?jǐn)?、利和義務(wù)、計(jì)價(jià)和分?jǐn)?、?zhǔn)確性、截止、分類準(zhǔn)確性、

39、截止、分類信息系統(tǒng)審計(jì)方法與操作指引28二、信息系統(tǒng)審計(jì)準(zhǔn)則與操作指引2022-4-29信息系統(tǒng)審計(jì)方法與操作指引信息系統(tǒng)審計(jì)準(zhǔn)則與操作指引 2022-4-2929行業(yè)內(nèi)控指引行業(yè)內(nèi)控指引商業(yè)銀行商業(yè)銀行內(nèi)部控制指引內(nèi)部控制指引證券公司內(nèi)部控制指引證券公司內(nèi)部控制指引壽險(xiǎn)公司內(nèi)部控制評(píng)價(jià)辦法壽險(xiǎn)公司內(nèi)部控制評(píng)價(jià)辦法上市公司內(nèi)控指引上市公司內(nèi)控指引上交所內(nèi)控指引上交所內(nèi)控指引深交所內(nèi)控指引深交所內(nèi)控指引證券交易所證券交易所行業(yè)監(jiān)管機(jī)構(gòu)行業(yè)監(jiān)管機(jī)構(gòu)企業(yè)內(nèi)部控制基本規(guī)范企業(yè)內(nèi)部控制基本規(guī)范財(cái)政部財(cái)政部證監(jiān)會(huì)證監(jiān)會(huì)審計(jì)署審計(jì)署銀監(jiān)會(huì)銀監(jiān)會(huì)保監(jiān)會(huì)保監(jiān)會(huì)企業(yè)內(nèi)部控制評(píng)價(jià)指引企業(yè)內(nèi)部控制審計(jì)指引證券交易所、

40、行業(yè)監(jiān)管機(jī)構(gòu)均出臺(tái)了一系列內(nèi)部控證券交易所、行業(yè)監(jiān)管機(jī)構(gòu)均出臺(tái)了一系列內(nèi)部控制指引，為企業(yè)建立和實(shí)施內(nèi)部控制制度提供一些制指引，為企業(yè)建立和實(shí)施內(nèi)部控制制度提供一些行業(yè)性指引。行業(yè)性指引。中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第1211號(hào)號(hào)了解被審了解被審計(jì)單位及其環(huán)境并評(píng)估重大錯(cuò)報(bào)風(fēng)險(xiǎn)計(jì)單位及其環(huán)境并評(píng)估重大錯(cuò)報(bào)風(fēng)險(xiǎn)要求注冊(cè)會(huì)要求注冊(cè)會(huì)計(jì)師了解計(jì)師了解信息技術(shù)對(duì)內(nèi)部控制產(chǎn)生的特定風(fēng)險(xiǎn)信息技術(shù)對(duì)內(nèi)部控制產(chǎn)生的特定風(fēng)險(xiǎn)，并，并且應(yīng)當(dāng)且應(yīng)當(dāng)了解與信息處理有關(guān)的控制活動(dòng)，包括信息了解與信息處理有關(guān)的控制活動(dòng)，包括信息技術(shù)一般控制和應(yīng)用控制。技術(shù)一般控制和應(yīng)用控制。財(cái)政部牽頭五部委出臺(tái)財(cái)政部牽

41、頭五部委出臺(tái)企業(yè)內(nèi)部控制基本規(guī)范企業(yè)內(nèi)部控制基本規(guī)范，為企業(yè)提供了完整和公認(rèn)的內(nèi)部控制框架，同時(shí)，為企業(yè)提供了完整和公認(rèn)的內(nèi)部控制框架，同時(shí)以法規(guī)的形式要求上市公司對(duì)本公司內(nèi)部控制的有以法規(guī)的形式要求上市公司對(duì)本公司內(nèi)部控制的有效性進(jìn)行自我評(píng)價(jià)。效性進(jìn)行自我評(píng)價(jià)。企業(yè)內(nèi)部控制評(píng)價(jià)指引企業(yè)內(nèi)部控制評(píng)價(jià)指引具體規(guī)范了內(nèi)控評(píng)價(jià)的具體規(guī)范了內(nèi)控評(píng)價(jià)的內(nèi)容和標(biāo)準(zhǔn)，評(píng)價(jià)的程序和方法，內(nèi)控缺陷的認(rèn)定內(nèi)容和標(biāo)準(zhǔn)，評(píng)價(jià)的程序和方法，內(nèi)控缺陷的認(rèn)定，以及規(guī)定了評(píng)價(jià)報(bào)告的相關(guān)內(nèi)容。，以及規(guī)定了評(píng)價(jià)報(bào)告的相關(guān)內(nèi)容。企業(yè)內(nèi)部控制應(yīng)用指引企業(yè)內(nèi)部控制應(yīng)用指引在每個(gè)具體流程中規(guī)定在每個(gè)具體流程中規(guī)定了該指引的目的，相關(guān)定義

42、，該流程的主要風(fēng)險(xiǎn)，了該指引的目的，相關(guān)定義，該流程的主要風(fēng)險(xiǎn)，崗位分工及授權(quán)批準(zhǔn)，及主要流程的控制程序。崗位分工及授權(quán)批準(zhǔn)，及主要流程的控制程序。企業(yè)內(nèi)部控制審計(jì)指引企業(yè)內(nèi)部控制審計(jì)指引為指導(dǎo)注冊(cè)會(huì)計(jì)師執(zhí)行為指導(dǎo)注冊(cè)會(huì)計(jì)師執(zhí)行內(nèi)部控制審計(jì)業(yè)務(wù)的具體指引。內(nèi)部控制審計(jì)業(yè)務(wù)的具體指引。企業(yè)內(nèi)部控制應(yīng)用指引信息系統(tǒng)審計(jì)方法與操作指引2022-4-2930企業(yè)內(nèi)部控制基本規(guī)范- 信息系統(tǒng)控制企業(yè)內(nèi)部控制基本規(guī)范企業(yè)內(nèi)部控制基本規(guī)范第五章中第四十一條對(duì)第五章中第四十一條對(duì)信息系統(tǒng)內(nèi)部控制進(jìn)行了要求：信息系統(tǒng)內(nèi)部控制進(jìn)行了要求：“企業(yè)應(yīng)當(dāng)利用信息技術(shù)促進(jìn)信息的集成與共享，企業(yè)應(yīng)當(dāng)利用信息技術(shù)促進(jìn)信息的集

43、成與共享，充分發(fā)揮信息技術(shù)在信息與溝通中的作用。企業(yè)應(yīng)充分發(fā)揮信息技術(shù)在信息與溝通中的作用。企業(yè)應(yīng)當(dāng)加強(qiáng)對(duì)信息系統(tǒng)開(kāi)發(fā)與維護(hù)、訪問(wèn)與變更、數(shù)據(jù)當(dāng)加強(qiáng)對(duì)信息系統(tǒng)開(kāi)發(fā)與維護(hù)、訪問(wèn)與變更、數(shù)據(jù)輸入與輸出、文件儲(chǔ)存與保管、網(wǎng)絡(luò)安全等方面的輸入與輸出、文件儲(chǔ)存與保管、網(wǎng)絡(luò)安全等方面的控制，保證信息系統(tǒng)安全運(yùn)行?？刂?，保證信息系統(tǒng)安全運(yùn)行。”信息系統(tǒng)審計(jì)方法與操作指引2022-4-2931企業(yè)內(nèi)部控制評(píng)價(jià)指引- 信息系統(tǒng)控制信息系統(tǒng)審計(jì)方法與操作指引32企業(yè)內(nèi)部控制應(yīng)用指引第18號(hào)-信息系統(tǒng)控制內(nèi)容包括:信息系統(tǒng)開(kāi)發(fā)（5條） 信息系統(tǒng)運(yùn)行與維護(hù)（6條） 2022-4-29信息系統(tǒng)審計(jì)方法與操作指引33中國(guó)

44、注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第1211號(hào)-了解被審計(jì)單位及其環(huán)境并評(píng)估重大錯(cuò)報(bào)風(fēng)險(xiǎn)了解被審計(jì)單位及其環(huán)境并評(píng)估重大錯(cuò)報(bào)風(fēng)險(xiǎn)第五十九條第五十九條 注冊(cè)會(huì)計(jì)師應(yīng)當(dāng)從下列方面了解信息技術(shù)對(duì)內(nèi)部控制產(chǎn)生的特定風(fēng)險(xiǎn)：注冊(cè)會(huì)計(jì)師應(yīng)當(dāng)從下列方面了解信息技術(shù)對(duì)內(nèi)部控制產(chǎn)生的特定風(fēng)險(xiǎn)：（一）系統(tǒng)或程序未能正確處理數(shù)據(jù)，或處理了不正確的數(shù)據(jù)，或兩種情況同時(shí)并存；一）系統(tǒng)或程序未能正確處理數(shù)據(jù)，或處理了不正確的數(shù)據(jù)，或兩種情況同時(shí)并存；（二）在未得到授權(quán)情況下訪問(wèn)數(shù)據(jù)，可能導(dǎo)致數(shù)據(jù)的毀損或?qū)?shù)據(jù)不恰當(dāng)?shù)男薷?，包括記錄未?jīng)（二）在未得到授權(quán)情況下訪問(wèn)數(shù)據(jù)，可能導(dǎo)致數(shù)據(jù)的毀損或?qū)?shù)據(jù)不恰當(dāng)?shù)男薷?，包括記錄未?jīng)授權(quán)或不存在的交易，

45、或不正確地記錄了交易；授權(quán)或不存在的交易，或不正確地記錄了交易；（三）信息技術(shù)人員可能獲得超越其履行職責(zé)以外的數(shù)據(jù)訪問(wèn)權(quán)限，破壞了系統(tǒng)應(yīng)有的職責(zé)分工；（三）信息技術(shù)人員可能獲得超越其履行職責(zé)以外的數(shù)據(jù)訪問(wèn)權(quán)限，破壞了系統(tǒng)應(yīng)有的職責(zé)分工；（四）未經(jīng)授權(quán)改變主文檔的數(shù)據(jù)；（四）未經(jīng)授權(quán)改變主文檔的數(shù)據(jù)；（五）未經(jīng)授權(quán)改變系統(tǒng)或程序；（五）未經(jīng)授權(quán)改變系統(tǒng)或程序；（六）未能對(duì)系統(tǒng)或程序作出必要的修改；（六）未能對(duì)系統(tǒng)或程序作出必要的修改；（七）不恰當(dāng)?shù)娜藶楦深A(yù)；（七）不恰當(dāng)?shù)娜藶楦深A(yù)；（八）數(shù)據(jù)丟失的風(fēng)險(xiǎn)或不能訪問(wèn)所需要的數(shù)據(jù)。（八）數(shù)據(jù)丟失的風(fēng)險(xiǎn)或不能訪問(wèn)所需要的數(shù)據(jù)。第八十六條第八十六條 注冊(cè)會(huì)

46、計(jì)師應(yīng)當(dāng)了解與信息處理有關(guān)控制活動(dòng)，包括信息技術(shù)一般控制和應(yīng)用控制。注冊(cè)會(huì)計(jì)師應(yīng)當(dāng)了解與信息處理有關(guān)控制活動(dòng)，包括信息技術(shù)一般控制和應(yīng)用控制。信息技術(shù)一般控制是指與多個(gè)應(yīng)用系統(tǒng)有關(guān)的政策和程序，有助于保證信息系統(tǒng)持續(xù)恰當(dāng)?shù)剡\(yùn)行信息技術(shù)一般控制是指與多個(gè)應(yīng)用系統(tǒng)有關(guān)的政策和程序，有助于保證信息系統(tǒng)持續(xù)恰當(dāng)?shù)剡\(yùn)行(包括信息的完整性和數(shù)據(jù)的安全性包括信息的完整性和數(shù)據(jù)的安全性)，支持應(yīng)用控制作用的有效發(fā)揮，通常包括數(shù)據(jù)中心和網(wǎng)絡(luò)，支持應(yīng)用控制作用的有效發(fā)揮，通常包括數(shù)據(jù)中心和網(wǎng)絡(luò)運(yùn)行控制，系統(tǒng)軟件的購(gòu)置、修改及維護(hù)控制，接觸或訪問(wèn)權(quán)限控制，應(yīng)用系統(tǒng)的購(gòu)置、開(kāi)發(fā)及運(yùn)行控制，系統(tǒng)軟件的購(gòu)置、修改及維護(hù)控

47、制，接觸或訪問(wèn)權(quán)限控制，應(yīng)用系統(tǒng)的購(gòu)置、開(kāi)發(fā)及維護(hù)控制。維護(hù)控制。信息技術(shù)應(yīng)用控制是指主要在業(yè)務(wù)流程層次運(yùn)行人工或自動(dòng)化程序，與用于生成、記錄、處理、信息技術(shù)應(yīng)用控制是指主要在業(yè)務(wù)流程層次運(yùn)行人工或自動(dòng)化程序，與用于生成、記錄、處理、報(bào)告交易或其他財(cái)務(wù)數(shù)據(jù)程序相關(guān)，通常包括檢查數(shù)據(jù)計(jì)算準(zhǔn)確性，審核賬戶和試算平衡表，設(shè)報(bào)告交易或其他財(cái)務(wù)數(shù)據(jù)程序相關(guān)，通常包括檢查數(shù)據(jù)計(jì)算準(zhǔn)確性，審核賬戶和試算平衡表，設(shè)置對(duì)輸入數(shù)據(jù)和數(shù)字序號(hào)的自動(dòng)檢查，以及對(duì)例外報(bào)告進(jìn)行人工干預(yù)。置對(duì)輸入數(shù)據(jù)和數(shù)字序號(hào)的自動(dòng)檢查，以及對(duì)例外報(bào)告進(jìn)行人工干預(yù)。2022-4-29信息系統(tǒng)審計(jì)方法與操作指引信息系統(tǒng)審計(jì)準(zhǔn)則與操作指引 2

48、022-4-2934n信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA）制定并頒布了）制定并頒布了11大大類審計(jì)準(zhǔn)則、類審計(jì)準(zhǔn)則、29條審計(jì)指引和條審計(jì)指引和9條審計(jì)程序。條審計(jì)程序。審計(jì)指引審計(jì)指引審計(jì)審計(jì)準(zhǔn)則準(zhǔn)則審計(jì)程序?qū)徲?jì)程序?qū)徲?jì)準(zhǔn)則：審計(jì)準(zhǔn)則：IT審計(jì)準(zhǔn)則是整個(gè)審計(jì)準(zhǔn)則審計(jì)準(zhǔn)則是整個(gè)審計(jì)準(zhǔn)則體系總綱體系總綱，是是ITIT審計(jì)師的資格條件、執(zhí)業(yè)行為的基本規(guī)范，是審計(jì)師的資格條件、執(zhí)業(yè)行為的基本規(guī)范，是制定審計(jì)指南和審計(jì)程序的基礎(chǔ)依據(jù)。制定審計(jì)指南和審計(jì)程序的基礎(chǔ)依據(jù)。審計(jì)指引：審計(jì)指引是依據(jù)審計(jì)準(zhǔn)則制定的，是審審計(jì)指引：審計(jì)指引是依據(jù)審計(jì)準(zhǔn)則制定的，是審計(jì)準(zhǔn)則的具體化，它詳細(xì)規(guī)

49、定了計(jì)準(zhǔn)則的具體化，它詳細(xì)規(guī)定了ITIT審計(jì)師執(zhí)行各項(xiàng)審計(jì)師執(zhí)行各項(xiàng)審計(jì)業(yè)務(wù)、出具審計(jì)報(bào)告的具體指引，為審計(jì)師在審計(jì)業(yè)務(wù)、出具審計(jì)報(bào)告的具體指引，為審計(jì)師在執(zhí)行審計(jì)業(yè)務(wù)中如何遵守審計(jì)準(zhǔn)則提供指導(dǎo)。執(zhí)行審計(jì)業(yè)務(wù)中如何遵守審計(jì)準(zhǔn)則提供指導(dǎo)。審計(jì)程序：審計(jì)程序：IT審計(jì)程序是依據(jù)審計(jì)準(zhǔn)則和審計(jì)指引審計(jì)程序是依據(jù)審計(jì)準(zhǔn)則和審計(jì)指引制定的。它為審計(jì)師提供了一般審計(jì)業(yè)務(wù)的程序和制定的。它為審計(jì)師提供了一般審計(jì)業(yè)務(wù)的程序和步驟，是遵守審計(jì)準(zhǔn)則和審計(jì)指引的一些通用審計(jì)步驟，是遵守審計(jì)準(zhǔn)則和審計(jì)指引的一些通用審計(jì)程序。審計(jì)程序?yàn)閷徲?jì)師提供了很好的工作范例。程序。審計(jì)程序?yàn)閷徲?jì)師提供了很好的工作范例。IT審計(jì)準(zhǔn)則

50、框架審計(jì)準(zhǔn)則框架信息系統(tǒng)審計(jì)方法與操作指引信息系統(tǒng)審計(jì)準(zhǔn)則與操作指引 2022-4-2935nISACA信息系統(tǒng)審計(jì)準(zhǔn)則信息系統(tǒng)審計(jì)準(zhǔn)則審計(jì)審計(jì)章程章程獨(dú)立性獨(dú)立性職業(yè)道德和標(biāo)準(zhǔn)職業(yè)道德和標(biāo)準(zhǔn)專業(yè)勝任能力專業(yè)勝任能力審計(jì)計(jì)劃審計(jì)計(jì)劃實(shí)施審計(jì)工作實(shí)施審計(jì)工作報(bào)告報(bào)告后續(xù)審計(jì)后續(xù)審計(jì)違法和違規(guī)行為違法和違規(guī)行為ITIT治理治理在審計(jì)計(jì)劃中使用風(fēng)險(xiǎn)在審計(jì)計(jì)劃中使用風(fēng)險(xiǎn)評(píng)估方法評(píng)估方法信息系統(tǒng)審計(jì)方法與操作指引信息系統(tǒng)審計(jì)準(zhǔn)則與操作指引 2022-4-2936nISACA信息系統(tǒng)審計(jì)準(zhǔn)則（續(xù)）信息系統(tǒng)審計(jì)準(zhǔn)則（續(xù)）審計(jì)審計(jì)章程章程審計(jì)審計(jì)章程中載明章程中載明ITIT審計(jì)目的審計(jì)目的、責(zé)任、權(quán)限和、責(zé)任

51、、權(quán)限和職責(zé)職責(zé)。獨(dú)立性獨(dú)立性獨(dú)立性是指獨(dú)立性是指ITIT審計(jì)活動(dòng)獨(dú)立與他們所審查的活動(dòng)之外，可以理解為審計(jì)部門(mén)審計(jì)活動(dòng)獨(dú)立與他們所審查的活動(dòng)之外，可以理解為審計(jì)部門(mén)的獨(dú)立性和審計(jì)人員獨(dú)立性。的獨(dú)立性和審計(jì)人員獨(dú)立性。ITIT審計(jì)審計(jì)部門(mén)是否獲得獨(dú)立性應(yīng)考慮因素部門(mén)是否獲得獨(dú)立性應(yīng)考慮因素ITIT審計(jì)審計(jì)部門(mén)設(shè)置是否在經(jīng)董事會(huì)、審計(jì)委員會(huì)、相關(guān)治理機(jī)構(gòu)和高級(jí)管理層批準(zhǔn)部門(mén)設(shè)置是否在經(jīng)董事會(huì)、審計(jì)委員會(huì)、相關(guān)治理機(jī)構(gòu)和高級(jí)管理層批準(zhǔn)或認(rèn)可的內(nèi)審章程中做出規(guī)定或認(rèn)可的內(nèi)審章程中做出規(guī)定ITIT審計(jì)審計(jì)部門(mén)向誰(shuí)負(fù)責(zé)和報(bào)告工作部門(mén)向誰(shuí)負(fù)責(zé)和報(bào)告工作首席執(zhí)行官能否與董事會(huì)、審計(jì)委員會(huì)或其他相關(guān)治理機(jī)構(gòu)直

52、接交流和溝通信息，首席執(zhí)行官能否與董事會(huì)、審計(jì)委員會(huì)或其他相關(guān)治理機(jī)構(gòu)直接交流和溝通信息，能否參加有關(guān)審計(jì)、財(cái)務(wù)報(bào)告、機(jī)構(gòu)治理和控制監(jiān)控的監(jiān)督職責(zé)會(huì)議能否參加有關(guān)審計(jì)、財(cái)務(wù)報(bào)告、機(jī)構(gòu)治理和控制監(jiān)控的監(jiān)督職責(zé)會(huì)議首席審計(jì)執(zhí)行官的任免首席審計(jì)執(zhí)行官的任免由由何種層次的領(lǐng)導(dǎo)層決定何種層次的領(lǐng)導(dǎo)層決定審計(jì)委員會(huì)由何種人員組成審計(jì)委員會(huì)由何種人員組成職業(yè)道德和標(biāo)準(zhǔn)職業(yè)道德和標(biāo)準(zhǔn)職業(yè)道德和準(zhǔn)則職業(yè)道德和準(zhǔn)則職業(yè)審慎態(tài)度職業(yè)審慎態(tài)度信息系統(tǒng)審計(jì)方法與操作指引信息系統(tǒng)審計(jì)準(zhǔn)則與操作指引 2022-4-2937nISACA信息系統(tǒng)審計(jì)準(zhǔn)則（續(xù)）信息系統(tǒng)審計(jì)準(zhǔn)則（續(xù)）專業(yè)勝任能力專業(yè)勝任能力審計(jì)是一門(mén)邊緣性學(xué)科，

53、跨越傳統(tǒng)審計(jì)理論、信息系統(tǒng)管理理論、行為科學(xué)審計(jì)是一門(mén)邊緣性學(xué)科，跨越傳統(tǒng)審計(jì)理論、信息系統(tǒng)管理理論、行為科學(xué)理論和計(jì)算機(jī)科學(xué)四個(gè)科學(xué)領(lǐng)域。理論和計(jì)算機(jī)科學(xué)四個(gè)科學(xué)領(lǐng)域。出色的口頭和書(shū)面表達(dá)能出色的口頭和書(shū)面表達(dá)能力，以便清楚有效地表達(dá)力，以便清楚有效地表達(dá)審計(jì)目的、審計(jì)評(píng)價(jià)工作、審計(jì)目的、審計(jì)評(píng)價(jià)工作、審計(jì)結(jié)論和審計(jì)建議審計(jì)結(jié)論和審計(jì)建議擁有良好的人際交流技能擁有良好的人際交流技能 接受后續(xù)專業(yè)教育，接受后續(xù)專業(yè)教育，以保持專業(yè)技以保持專業(yè)技術(shù)適應(yīng)性術(shù)適應(yīng)性其他其他必備技能，包括必備技能，包括對(duì)組織所在對(duì)組織所在行行業(yè)深入業(yè)深入了解，實(shí)施和改進(jìn)財(cái)務(wù)和運(yùn)了解，實(shí)施和改進(jìn)財(cái)務(wù)和運(yùn)營(yíng)方面所涉及流程的知識(shí)和營(yíng)方面所涉及流程的知識(shí)和技能技能審計(jì)師知識(shí)審計(jì)師知識(shí)、技能和專業(yè)技能和專業(yè)勝任能力勝任能力熟練應(yīng)用內(nèi)部審計(jì)實(shí)務(wù)標(biāo)準(zhǔn)、程序熟練應(yīng)用內(nèi)部審計(jì)實(shí)務(wù)標(biāo)準(zhǔn)、程序和技術(shù)，理解管理原則，深入領(lǐng)會(huì)和技術(shù)，理解管理原則，深入領(lǐng)會(huì)會(huì)計(jì)學(xué)、經(jīng)濟(jì)學(xué)、商法、