企業(yè)內部審計流程操作手冊

企業(yè)內部審計流程操作手冊TOC\o"1-2"\h\u13192第1章內部審計概述 393141.1內部審計的定義與作用 3217241.1.1定義 3257991.1.2作用 345251.2內部審計的基本原則與規(guī)范 4294331.2.1基本原則 4238901.2.2基本規(guī)范 424832第2章內部審計組織與管理 413982.1內部審計部門的設置與職責 4252172.1.1內部審計部門的設立 485262.1.2內部審計部門的職責 49092.2內部審計人員的管理與培訓 5244582.2.1內部審計人員的選拔與配置 5264582.2.2內部審計人員的培訓與發(fā)展 5206742.3內部審計計劃的制定與實施 5218692.3.1內部審計計劃的制定 5313512.3.2內部審計計劃的實施 520776第3章審計準備階段 678973.1審計目標與范圍的確定 658683.1.1確定審計目標 6184123.1.2確定審計范圍 6294873.2審計方案的制定 6227363.2.1審計方法與程序 6192373.2.2審計團隊與分工 6159143.2.3審計時間安排 6112633.3審計通知與資料準備 6243273.3.1發(fā)送審計通知 673663.3.2資料準備 7147733.3.3被審計部門配合 74182第4章審計實施階段 7134004.1審計進點會議 7194.1.1目的 7100634.1.2參會人員 7156824.1.3會議議程 760554.2審計證據(jù)的收集與整理 7138704.2.1審計證據(jù)的收集 725984.2.2審計證據(jù)的整理 755104.3審計測試方法與技術 8234824.3.1審計測試方法 855254.3.2審計技術 8128774.4審計工作中問題的溝通與協(xié)調 8282234.4.1溝通原則 8290034.4.2協(xié)調措施 815340第5章審計報告編制階段 8141855.1審計發(fā)覺與結論的形成 8283595.1.1審計發(fā)覺整理 9223645.1.2審計結論形成 933255.2審計報告的撰寫與審批 929895.2.1審計報告撰寫 9102025.2.2審計報告審批 9260595.3審計報告的發(fā)布與反饋 989575.3.1審計報告發(fā)布 10151125.3.2審計報告反饋 109719第6章審計整改跟蹤階段 1097666.1審計整改計劃的制定與落實 1051366.1.1審計整改計劃制定 10109086.1.2整改計劃落實 107776.2審計整改結果的驗收與評價 10119686.2.1整改結果驗收 10125606.2.2整改效果評價 11277636.3整改不力責任的追究與處理 11151756.3.1責任追究 11133176.3.2處理措施 1185866.3.3跟蹤檢查 1131597第7章內部控制評價 11187777.1內部控制評價的目的與原則 11174187.1.1目的 112667.1.2原則 11295657.2內部控制評價的程序與方法 12199007.2.1程序 12246817.2.2方法 12249857.3內部控制缺陷的識別與整改 1266777.3.1識別內部控制缺陷 12177677.3.2整改內部控制缺陷 1327211第8章風險管理審計 13224038.1風險管理審計的意義與目標 13191678.1.1評估企業(yè)風險管理體系的完整性、合理性和有效性； 1350398.1.2識別企業(yè)面臨的風險，分析風險發(fā)生的可能性和影響程度； 1353188.1.3檢查企業(yè)風險防范與應對措施的制定和執(zhí)行情況； 13292788.1.4提出改進意見和建議，促進企業(yè)風險管理水平的持續(xù)提升。 1373428.2風險評估的方法與工具 13254488.2.1風險識別 13208428.2.2風險分析 13182478.2.3風險評價 13211728.3風險防范與應對措施的審計 1490378.3.1審計內容 14274148.3.2審計方法 14287838.3.3審計要點 1428149第9章信息技術審計 1486109.1信息技術審計概述 14171689.1.1目的與意義 1496879.1.2范圍與內容 14294359.1.3方法與程序 1528399.2信息系統(tǒng)安全審計 15256859.2.1目標與原則 15213359.2.2范圍與內容 15142849.2.3審計程序與方法 15207209.3信息技術應用控制審計 15248789.3.1目標與原則 15204539.3.2范圍與內容 15199939.3.3審計程序與方法 15149479.3.4風險評估與應對 1512036第10章內部審計質量控制 16667610.1內部審計質量控制的意義與目標 162399210.1.1意義 16953710.1.2目標 162981310.2內部審計質量控制制度與措施 161583510.2.1質量控制制度 1685310.2.2質量控制措施 161480910.3內部審計質量評估與改進措施 163216810.3.1質量評估 161832810.3.2改進措施 17189210.4內部審計外部評價與監(jiān)督協(xié)作 17565810.4.1外部評價 171916510.4.2監(jiān)督協(xié)作 17第1章內部審計概述1.1內部審計的定義與作用1.1.1定義內部審計是指在企業(yè)內部設立專門的審計機構或崗位，依據(jù)國家法律法規(guī)、企業(yè)規(guī)章制度及內部審計職業(yè)準則，對企業(yè)各項經(jīng)濟活動進行獨立、客觀、公正的監(jiān)督、評價和咨詢活動。1.1.2作用（1）促進企業(yè)完善內部控制體系，提高經(jīng)營管理水平。（2）評估企業(yè)風險，為企業(yè)決策提供依據(jù)。（3）保障企業(yè)資產(chǎn)安全，預防舞弊和腐敗現(xiàn)象。（4）提高企業(yè)經(jīng)濟效益，實現(xiàn)企業(yè)價值最大化。1.2內部審計的基本原則與規(guī)范1.2.1基本原則（1）獨立性原則：內部審計應保持獨立，不受其他部門和個人的干涉。（2）客觀性原則：內部審計應客觀公正，不偏袒任何一方。（3）合法性原則：內部審計應遵循國家法律法規(guī)、企業(yè)規(guī)章制度及內部審計職業(yè)準則。（4）全面性原則：內部審計應涵蓋企業(yè)所有經(jīng)濟活動，保證審計范圍的全面。（5）持續(xù)性原則：內部審計應定期進行，保證對企業(yè)經(jīng)濟活動的持續(xù)監(jiān)督。1.2.2基本規(guī)范（1）內部審計機構應建立健全審計計劃、審計實施、審計報告、審計整改等工作制度。（2）內部審計人員應具備專業(yè)知識和技能，遵守職業(yè)道德，保守企業(yè)秘密。（3）內部審計應根據(jù)企業(yè)風險狀況和審計需求，合理配置審計資源。（4）內部審計應充分運用現(xiàn)代審計技術和方法，提高審計工作效率。（5）內部審計應與其他內部監(jiān)督部門協(xié)同配合，形成監(jiān)督合力。（6）內部審計應建立健全審計質量控制制度，保證審計結果的準確性和可靠性。第2章內部審計組織與管理2.1內部審計部門的設置與職責2.1.1內部審計部門的設立內部審計部門應作為企業(yè)獨立運作的職能部門，直接向企業(yè)最高管理層或董事會報告工作。其設立旨在為企業(yè)提供客觀、獨立的審計服務，評估企業(yè)管理體系的有效性，促進企業(yè)持續(xù)改進。2.1.2內部審計部門的職責（1）制定內部審計政策、程序和計劃，保證內部審計工作的有效開展；（2）對企業(yè)內部控制、風險管理和治理過程進行評估，提出改進建議；（3）對企業(yè)的財務報表、業(yè)務流程、信息系統(tǒng)等進行審計，保證其真實、準確、合規(guī)；（4）監(jiān)督企業(yè)各項政策、程序和法規(guī)的執(zhí)行情況，發(fā)覺違規(guī)行為，及時報告并提請?zhí)幚恚唬?）與外部審計機構協(xié)同工作，提高審計效果。2.2內部審計人員的管理與培訓2.2.1內部審計人員的選拔與配置內部審計部門應選聘具備專業(yè)素質、道德品質和敬業(yè)精神的人員。人員配置應考慮企業(yè)規(guī)模、業(yè)務復雜度等因素，保證審計人員數(shù)量充足、結構合理。2.2.2內部審計人員的培訓與發(fā)展（1）定期組織內部審計人員參加專業(yè)培訓，提高其業(yè)務能力和素質；（2）鼓勵內部審計人員參加相關職業(yè)資格考試，提升職業(yè)素養(yǎng)；（3）開展內部交流與分享，提高內部審計團隊的協(xié)作能力和整體水平；（4）關注內部審計人員職業(yè)發(fā)展，為其提供晉升通道。2.3內部審計計劃的制定與實施2.3.1內部審計計劃的制定（1）根據(jù)企業(yè)戰(zhàn)略、風險管理和內部控制要求，確定內部審計的重點領域；（2）結合企業(yè)實際情況，制定年度內部審計計劃，明確審計目標、范圍、方法和時間安排；（3）內部審計計劃應充分考慮企業(yè)資源，保證審計工作的高效開展；（4）內部審計計劃應適時調整，以適應企業(yè)業(yè)務發(fā)展和外部環(huán)境變化。2.3.2內部審計計劃的實施（1）按照審計計劃，開展現(xiàn)場審計工作，保證審計程序合規(guī)、證據(jù)充分；（2）及時與被審計部門溝通，保證審計發(fā)覺的問題得到有效解決；（3）對審計過程中發(fā)覺的風險和控制缺陷，提出改進建議，并跟蹤整改情況；（4）撰寫審計報告，總結審計成果，為企業(yè)改進管理和提高效益提供支持。第3章審計準備階段3.1審計目標與范圍的確定3.1.1確定審計目標分析企業(yè)內部管理需求，明確審計目標；結合企業(yè)戰(zhàn)略發(fā)展目標，制定符合實際的審計目標；保證審計目標具有可操作性、可衡量性。3.1.2確定審計范圍根據(jù)審計目標，評估企業(yè)內部各項業(yè)務流程、部門職能及管理制度；確定審計范圍，包括時間范圍、業(yè)務范圍、部門范圍等；在保證審計目標實現(xiàn)的前提下，合理控制審計范圍，以提高審計效率。3.2審計方案的制定3.2.1審計方法與程序根據(jù)審計目標和范圍，選擇適當?shù)膶徲嫹椒?，如順查法、逆查法、抽樣檢查等；制定詳細的審計程序，包括訪談、查閱文件、分析數(shù)據(jù)等；保證審計方法與程序的科學性、合理性。3.2.2審計團隊與分工根據(jù)審計范圍和任務，組建專業(yè)、高效的審計團隊；明確各成員職責，保證團隊成員具備所需的專業(yè)技能和經(jīng)驗；制定合理的分工方案，保證審計工作的順利推進。3.2.3審計時間安排制定詳細的審計時間表，包括各階段工作內容、時間節(jié)點等；保證審計時間安排合理，避免影響企業(yè)正常運營；預留一定的時間緩沖，以應對審計過程中可能出現(xiàn)的意外情況。3.3審計通知與資料準備3.3.1發(fā)送審計通知在審計開始前，向被審計部門發(fā)送審計通知，明確審計目的、范圍、時間等相關事項；要求被審計部門在規(guī)定時間內提供所需的審計資料；保證審計通知的正式性、嚴肅性，以提高被審計部門的重視程度。3.3.2資料準備收集、整理被審計部門提供的審計資料，包括但不限于財務報表、管理制度、業(yè)務流程等；核實審計資料的完整性、真實性、準確性；準備審計工作底稿，為后續(xù)審計工作提供基礎數(shù)據(jù)支持。3.3.3被審計部門配合與被審計部門建立良好的溝通機制，保證審計過程中的信息暢通；要求被審計部門積極配合審計工作，提供必要的信息和解釋；保證被審計部門的合法權益得到充分尊重，避免影響企業(yè)正常運營。第4章審計實施階段4.1審計進點會議4.1.1目的審計進點會議旨在明確審計目標、范圍、時間安排及相關要求，保證被審計部門對審計工作有清晰的認識。4.1.2參會人員審計項目負責人、被審計部門負責人及相關人員。4.1.3會議議程（1）審計項目負責人介紹審計組人員、審計目標、范圍及方法；（2）被審計部門負責人介紹部門基本情況、內部控制制度及業(yè)務流程；（3）雙方就審計過程中的配合事宜進行溝通，明確審計時間安排及資料提供要求；（4）審計項目負責人宣布審計工作正式啟動。4.2審計證據(jù)的收集與整理4.2.1審計證據(jù)的收集（1）根據(jù)審計目標和計劃，制定詳細的審計證據(jù)收集方案；（2）采取訪談、問卷調查、查閱文件、觀察等多種方式收集證據(jù)；（3）保證收集的證據(jù)充分、可靠、相關，能支持審計結論。4.2.2審計證據(jù)的整理（1）對收集到的證據(jù)進行分類、編號、歸檔；（2）對重要證據(jù)進行標注，保證審計結論的準確性；（3）對證據(jù)進行分析，查找潛在問題，為后續(xù)審計測試提供依據(jù)。4.3審計測試方法與技術4.3.1審計測試方法（1）實質性測試：對被審計部門的業(yè)務活動、財務狀況等方面進行深入檢查，評價其合規(guī)性、有效性；（2）符合性測試：檢查被審計部門內部控制制度的設計和執(zhí)行情況，評價其有效性；（3）分析性測試：運用財務分析、比較分析等方法，評價被審計部門的經(jīng)濟活動及財務狀況。4.3.2審計技術（1）計算機輔助審計技術：運用計算機軟件對大量數(shù)據(jù)進行篩選、分析，提高審計效率；（2）抽樣技術：根據(jù)審計目標和風險，對審計對象進行科學抽樣，降低審計成本；（3）詢問技術：通過與被審計部門人員溝通，獲取相關信息，提高審計證據(jù)的可靠性。4.4審計工作中問題的溝通與協(xié)調4.4.1溝通原則（1）及時性：發(fā)覺問題后，及時與被審計部門及相關人員進行溝通；（2）客觀性：在溝通中保持公正、客觀的態(tài)度，避免主觀臆斷；（3）保密性：保證溝通內容不泄露給無關人員，保護企業(yè)和個人隱私。4.4.2協(xié)調措施（1）建立問題反饋機制，保證審計過程中各類問題能夠及時解決；（2）加強與被審計部門的溝通，保證雙方對審計發(fā)覺問題有共同認識；（3）對于重大問題，及時報告上級領導，尋求支持和指導。第5章審計報告編制階段5.1審計發(fā)覺與結論的形成5.1.1審計發(fā)覺整理在完成審計現(xiàn)場工作后，審計團隊應對所收集的證據(jù)進行整理分析，識別出存在的問題和風險。審計發(fā)覺應包括以下內容：（1）問題描述：詳細描述審計過程中發(fā)覺的問題；（2）原因分析：對問題產(chǎn)生的原因進行深入分析；（3）涉及部門和人員：明確問題涉及的部門和人員；（4）影響程度：評估問題對企業(yè)運營、財務狀況等方面的影響；（5）建議措施：針對問題提出改進意見和建議。5.1.2審計結論形成審計團隊在整理分析審計發(fā)覺后，應形成以下結論：（1）審計對象是否符合相關法律法規(guī)、企業(yè)內部管理制度和審計目標；（2）審計對象是否存在重大風險和問題；（3）審計對象內部控制和風險管理的有效性；（4）對審計對象業(yè)務運營和發(fā)展的評價。5.2審計報告的撰寫與審批5.2.1審計報告撰寫審計報告應包括以下內容：（1）報告明確反映審計對象和審計期間；（2）報告包括審計背景、審計目標、審計范圍、審計方法、審計發(fā)覺、審計結論等；（3）附件：包括審計證據(jù)、工作底稿等相關資料；（4）報告日期：簽署審計報告的日期。5.2.2審計報告審批審計報告完成后，應按以下流程進行審批：（1）審計項目負責人審批：對審計報告的真實性、準確性、完整性負責；（2）審計部門負責人審批：對審計報告的質量和合規(guī)性負責；（3）企業(yè)分管領導審批：對審計報告的結論和意見負責；（4）企業(yè)主要負責人審批：對審計報告的最終發(fā)布負責。5.3審計報告的發(fā)布與反饋5.3.1審計報告發(fā)布審計報告經(jīng)審批通過后，應及時向以下對象發(fā)布：（1）企業(yè)內部相關部門：如財務部、風險部等；（2）企業(yè)董事會、監(jiān)事會；（3）審計對象；（4）其他相關方：如外部審計機構、監(jiān)管部門等。5.3.2審計報告反饋審計報告發(fā)布后，應收集以下方面的反饋意見：（1）審計對象對審計發(fā)覺和結論的認同程度；（2）審計對象對建議措施的實施計劃及進度；（3）企業(yè)內部相關部門對審計報告的利用情況；（4）企業(yè)領導對審計工作的評價和建議。注意：本章節(jié)內容僅供參考，具體操作請結合企業(yè)實際情況進行調整。第6章審計整改跟蹤階段6.1審計整改計劃的制定與落實6.1.1審計整改計劃制定在接到審計報告后，被審計部門應迅速組織相關人員分析審計發(fā)覺的問題，針對問題制定詳細的整改計劃。整改計劃應包括以下內容：a)整改問題的具體描述及原因分析；b)整改措施及實施步驟；c)整改責任人及完成時限；d)預期整改效果。6.1.2整改計劃落實被審計部門應將整改計劃及時報審計部門備案，并嚴格按照計劃執(zhí)行。在整改過程中，應加強內部溝通與協(xié)作，保證整改措施得到有效實施。6.2審計整改結果的驗收與評價6.2.1整改結果驗收整改期限屆滿后，審計部門應組織對被審計部門的整改結果進行驗收。驗收過程中，應對整改措施的實施情況進行詳細了解，保證問題得到實質性解決。6.2.2整改效果評價審計部門應根據(jù)驗收情況，對被審計部門的整改效果進行評價。評價內容包括但不限于：a)整改措施是否得到有效執(zhí)行；b)整改問題是否得到實質性解決；c)整改過程中是否存在新的問題；d)整改成果的持續(xù)性及預防措施的有效性。6.3整改不力責任的追究與處理6.3.1責任追究如審計部門發(fā)覺被審計部門在整改過程中存在整改不力、拖延整改、虛假整改等情況，應追究相關責任人的責任，并根據(jù)公司相關規(guī)定進行嚴肅處理。6.3.2處理措施對整改不力的責任人，可采取以下處理措施：a)通報批評；b)誡勉談話；c)調整工作崗位；d)降職、降級；e)解除勞動合同等。6.3.3跟蹤檢查審計部門應對整改情況進行持續(xù)跟蹤檢查，保證整改措施得到有效執(zhí)行，問題不再復發(fā)。同時對整改過程中的好經(jīng)驗、好做法進行總結，為公司內部管理提供有益借鑒。第7章內部控制評價7.1內部控制評價的目的與原則7.1.1目的內部控制評價旨在保證企業(yè)內部控制系統(tǒng)設計的合理性和運行的有效性，及時發(fā)覺并糾正內部控制缺陷，提升企業(yè)管理水平和風險防范能力。7.1.2原則（1）全面性原則：內部控制評價應涵蓋企業(yè)所有部門和業(yè)務環(huán)節(jié)；（2）客觀性原則：評價過程中應保持獨立性、客觀性和公正性；（3）及時性原則：評價應及時進行，以便及時發(fā)覺并糾正內部控制缺陷；（4）重要性原則：應重點關注對企業(yè)經(jīng)營和風險控制具有重要影響的內部控制環(huán)節(jié)；（5）動態(tài)調整原則：根據(jù)企業(yè)外部環(huán)境、內部管理變化，及時調整內部控制評價標準和程序。7.2內部控制評價的程序與方法7.2.1程序（1）制定內部控制評價計劃；（2）組織評價小組，明確評價人員職責；（3）開展內部控制評價，收集相關證據(jù)；（4）分析評價結果，識別內部控制缺陷；（5）提出整改建議，跟蹤整改落實情況；（6）編寫內部控制評價報告。7.2.2方法（1）問卷調查法：通過設計問卷，收集企業(yè)各部門內部控制運行情況的信息；（2）穿行測試法：選取關鍵業(yè)務流程，跟蹤檢查內部控制措施是否得到有效執(zhí)行；（3）抽樣檢查法：從大量業(yè)務中隨機抽取部分樣本，檢查內部控制運行情況；（4）分析性復核法：對財務報表和相關業(yè)務數(shù)據(jù)進行比較、分析和判斷，識別內部控制缺陷；（5）實地觀察法：現(xiàn)場觀察內部控制措施的實際運行情況。7.3內部控制缺陷的識別與整改7.3.1識別內部控制缺陷（1）根據(jù)評價結果，分析內部控制存在的不足；（2）判斷內部控制缺陷的性質和嚴重程度；（3）歸類整理內部控制缺陷，為整改提供依據(jù)。7.3.2整改內部控制缺陷（1）制定整改計劃，明確整改措施、責任人和整改期限；（2）跟蹤整改過程，保證整改措施得到有效執(zhí)行；（3）對整改效果進行評估，必要時進行持續(xù)改進；（4）及時向企業(yè)高層報告內部控制缺陷及整改情況，為管理決策提供支持。第8章風險管理審計8.1風險管理審計的意義與目標風險管理審計作為企業(yè)內部審計的重要組成部分，旨在評估和改進企業(yè)風險管理體系的有效性。通過風險管理審計，企業(yè)能夠保證風險管理工作與企業(yè)戰(zhàn)略目標一致，提高企業(yè)應對不確定性的能力，降低潛在風險對企業(yè)造成的負面影響。風險管理審計的目標主要包括：8.1.1評估企業(yè)風險管理體系的完整性、合理性和有效性；8.1.2識別企業(yè)面臨的風險，分析風險發(fā)生的可能性和影響程度；8.1.3檢查企業(yè)風險防范與應對措施的制定和執(zhí)行情況；8.1.4提出改進意見和建議，促進企業(yè)風險管理水平的持續(xù)提升。8.2風險評估的方法與工具8.2.1風險識別（1）采用頭腦風暴、問卷調查、現(xiàn)場觀察等方法，全面收集企業(yè)內部和外部信息；（2）運用SWOT分析、PEST分析等工具，識別企業(yè)面臨的政治、經(jīng)濟、社會、技術等方面的風險因素；（3）結合企業(yè)業(yè)務流程，分析可能導致風險的關鍵環(huán)節(jié)。8.2.2風險分析（1）采用定性分析法和定量分析法，評估風險發(fā)生的可能性和影響程度；（2）運用風險矩陣、蒙特卡洛模擬等工具，對風險進行排序，確定優(yōu)先級；（3）結合企業(yè)實際情況，對重大風險進行深入分析和研究。8.2.3風險評價（1）根據(jù)風險的可能性和影響程度，將風險分為高、中、低三個等級；（2）結合企業(yè)風險承受能力，確定風險的可接受程度；（3）為風險防范與應對提供依據(jù)。8.3風險防范與應對措施的審計8.3.1審計內容（1）檢查企業(yè)風險防范與應對措施的制定情況，保證其符合相關法律法規(guī)和企業(yè)內部管理制度；（2）評估企業(yè)風險防范與應對措施的實施效果，分析其是否達到預期目標；（3）關注企業(yè)風險防范與應對措施的持續(xù)改進，提出優(yōu)化建議。8.3.2審計方法（1）查閱相關文件資料，如風險管理手冊、風險防范與應對措施計劃等；（2）訪談企業(yè)相關人員，了解風險管理工作的實際開展情況；（3）實地查看企業(yè)風險防范與應對措施的實施情況，如安全防護設施、應急預案演練等；（4）運用數(shù)據(jù)分析、流程圖等方法，對企業(yè)風險防范與應對措施的有效性進行分析。8.3.3審計要點（1）保證企業(yè)風險防范與應對措施具有針對性、可行性和有效性；（2）關注企業(yè)風險管理資源的配置情況，提高資源利用效率；（3）強化企業(yè)風險防范與應對措施的監(jiān)督與檢查，保證措施落實到位；（4）建立風險防范與應對的長效機制，不斷提升企業(yè)風險管理水平。第9章信息技術審計9.1信息技術審計概述9.1.1目的與意義信息技術審計旨在評估企業(yè)信息系統(tǒng)的有效性、安全性、可靠性和合規(guī)性，以保證企業(yè)信息技術資源的合理運用，降低信息技術風險，提高企業(yè)運營效率。通過開展信息技術審計，有助于發(fā)覺和糾正信息系統(tǒng)中存在的問題，為企業(yè)管理層提供決策依據(jù)。9.1.2范圍與內容信息技術審計的范圍包括企業(yè)所有與信息技術相關的部門和業(yè)務活動，如信息系統(tǒng)開發(fā)、運維、安全防護、數(shù)據(jù)管理等。審計內容主要包括：信息系統(tǒng)規(guī)劃與組織、信息系統(tǒng)生命周期管理、信息系統(tǒng)安全、信息技術內部控制等。9.1.3方法與程序信息技術審計采用多種方法，包括問卷調查、訪談、觀察、測試等。審計程序包括：制定審計計劃、開展審計活動、收集審計證據(jù)、評估審計結果、提出改進建議等。9.2信息系統(tǒng)安全審計9.2.1目標與原則信息系統(tǒng)安全審計的目標是保證企業(yè)信息系統(tǒng)的安全性和合規(guī)性。審計原則包括：獨立性、客觀性、全面性、及時性。9.2.2范圍與內容信息系統(tǒng)安全審計的范圍涵蓋企業(yè)所有信息系統(tǒng)，包括硬件、軟件、網(wǎng)絡、數(shù)據(jù)等。審計內容主要包括：物理安全、網(wǎng)絡安全、數(shù)據(jù)安全、應用程序安全、安全管理等。9.2.3審計程序與方法信息系統(tǒng)安全審計程序包括：制定審計計劃、開展審計活動、收集審計證據(jù)、評估審計結果、提出改進建議。審計方法包括：檢查、測試、訪談、問卷調查等。9.3信息技術應用控制審計9.3.1目標與原則信息技術應用控制審計的目標是評估企業(yè)信息技術應用控制的有效性，保證業(yè)務流程的正常運行和數(shù)據(jù)的準確性。審計原則包括：獨立性、客觀性、全面性、及時性。9.