信息系統(tǒng)審計(IT審計)操作流程_第1頁
信息系統(tǒng)審計(IT審計)操作流程_第2頁
信息系統(tǒng)審計(IT審計)操作流程_第3頁
信息系統(tǒng)審計(IT審計)操作流程_第4頁
免費預覽已結(jié)束,剩余1頁可下載查看

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、時磊5說- 信息系統(tǒng)審計(IT審計)操作流程 一、審計計劃階段 計劃階段是整個審計過程的起點。其主要工作包括: (1)了解被審系統(tǒng)基本情況 了解被審系統(tǒng)基本情況是實施任何信息系統(tǒng)審計的必經(jīng)程序,對基本情況的了解有 助于審計組織對系統(tǒng)的組成、環(huán)境、 運行年限、控制等有初步印象,以決定是否對該系統(tǒng)進 行審計,明確審計的難度,所需時間以及人員配備情況等。 了解了基本情況,審計組織就可以大致判斷系統(tǒng)的復雜性、管理層對審計的態(tài)度、 內(nèi)部控制的狀況、以前審計的狀況、審計難點與重點,以決定是否對其進行審計。 (2)初步評價被審單位系統(tǒng)的內(nèi)部控制及外部控制 傳統(tǒng)的內(nèi)部控制制度是為防止舞弊和差錯而形成的以內(nèi)部稽

2、核和相互牽制為核心 的工作制度。隨著信息技術(shù)特別是以In ternet為代表的網(wǎng)絡技術(shù)的發(fā)展和應用,企業(yè)信息 系統(tǒng)進一步向深層次發(fā)展, 這些變革無疑給企業(yè)帶來了巨大的效益,但同時也給內(nèi)部控制帶 來了新的問題和挑戰(zhàn)。加強內(nèi)部控制制度是信息系統(tǒng)安全可靠運行的有力保證。依據(jù)控制對 象的范圍和環(huán)境,信息系統(tǒng)內(nèi)控制度的審計內(nèi)容包括一般控制和應用控制兩類。 一般控制是系統(tǒng)運行環(huán)境方而的控制,指對信息系統(tǒng)構(gòu)成要素(人、機器、文件) 的控制。它已為應用程序的正常運行提供外圍保障,影響到計算機應用的成敗及應用控制的 強弱。主要包括:組織控制、操作控制、硬件及系統(tǒng)軟件控制和系統(tǒng)安全控制。 應用控制是對信息系統(tǒng)中具

3、體的數(shù)據(jù)處理活動所進行的控制,是具體的應用系統(tǒng)中 用來預測、檢測和更正錯誤和處置不法行為的控制措施,信息系統(tǒng)的應用控制主要體現(xiàn)在輸 入控制、處理控制和輸出控制。應用控制具有特殊性,不同的應用系統(tǒng)有著不同的處理方式 和處理環(huán)節(jié),因而有著不同的控制問題和不同的控制要求,但是一般可把它劃分為:輸入控 制、處理控制和輸出控制。 通過對信息系統(tǒng)組織機構(gòu)控制,系統(tǒng)開發(fā)與維護控制,安全性控制,硬件、軟件資 源控制,輸入控制,處理控制,輸出控制等方而的審計分析,建立內(nèi)部控制強弱評價的指標 系統(tǒng)及評價模型,審計人員通過交互式人機對話,輸入各評價指標的評分,內(nèi)控制審計評價 系統(tǒng)則可以進行多級綜合審計評價。通過內(nèi)控

4、制度的審計,實現(xiàn)對系統(tǒng)的預防性控制,檢測 性控制和糾正性控制。 (3)識別重要性 為了有效實現(xiàn)審計目標, 合理使用審計資源,在制定審計計劃時, 信息系統(tǒng)審計人 員應對系統(tǒng)重要性進行適當評估。 對重要性的評估一般需要運用專業(yè)判斷。 考慮重要性水平 時要根據(jù)審計人員的職業(yè)判斷或公用標準,系統(tǒng)的服務對象及業(yè)務性質(zhì),內(nèi)控的初評結(jié)果。 重要性的判斷離不開特定環(huán)境, 審計人員必須根據(jù)具體的信息系統(tǒng)環(huán)境確定重要性。重要性 具有數(shù)量和質(zhì)量兩個方面的特征。 越是重要的子系統(tǒng),就越需要獲取充分的審計證據(jù), 以支 持審計結(jié)論或意見。 (4)編制審計計劃 經(jīng)過以上程序,為編制審計計劃提供了良好準備,審計人員就可以據(jù)以

5、編制總體及 具體審計計劃。 總體計劃包括:被審單位基本情況; 審計目的、審計范圍及策略;重要問題及重要 審計領(lǐng)域;工作進度及時間;審計小組成員分工;重要性確定及風險評估等。 具體計劃包括:具體審計目標;審計程序;執(zhí)行人員及時間限制等。 二、審計實施階段 做好上訴材料的充分的準備,便可進行審計實施,具體包括以下內(nèi)容: (1)對信息系統(tǒng)計劃開發(fā)階段的審計 對信息系統(tǒng)計劃開發(fā)階段的審計包括對計劃的審計和對開發(fā)的審計,可以采用事中 審計,也可以是事后審計。比較而言事中審計更有意義,審計結(jié)果的得出利于故障、問題的 及早發(fā)現(xiàn),利于調(diào)整計劃,利于開發(fā)順序的改進。 信息系統(tǒng)計劃階段的關(guān)鍵控制點有: 計劃是否有

6、明確的目的, 計劃中是否明確描述 了系統(tǒng)的效果,是否明確了系統(tǒng)開發(fā)的組織,對整體計劃進程是否正確預計, 計劃能否隨經(jīng) 營環(huán)境改變而及時修正, 計劃是否制定有可行性報告, 關(guān)于計劃的過程和結(jié)果是否有文檔記 系統(tǒng)開發(fā)階段包括系統(tǒng)分析、系統(tǒng)設計、代碼編寫和系統(tǒng)測試三部分。其中涉及包 括功能需求分析、業(yè)務數(shù)據(jù)分析、總體框架設計、結(jié)構(gòu)設計、代碼設計、數(shù)據(jù)庫設計、輸入 輸出設計、處理流程及模塊功能的設計。編程時依據(jù)系統(tǒng)設計階段的設計圖及數(shù)據(jù)庫結(jié)構(gòu)和 編碼設計,用計算機程序語言來實現(xiàn)系統(tǒng)的過程。測試包括動態(tài)測試和靜態(tài)測試,是系統(tǒng)開 發(fā)完畢,進入試運行之前的必經(jīng)程序。其關(guān)鍵控制點有: 分析控制點:是否己細致分

7、析企業(yè)組織結(jié)構(gòu);是否確定用戶功能和性能需求;是否確定用戶 的數(shù)據(jù)需求等。 設計控制點:設計界面是否方便用戶使用;設計是否與業(yè)務內(nèi)容相符;性能能否滿 足需要,是否考慮故障對策和安全保護等。 編程控制點:是否有程序說明書,并按照說明書進行編寫;編程與設計是否相符, 有無違背編程原則;程序作者是否進行自測;是否有程序作者之外的第三人進行測試;編程 的書寫、變量的命名等是否規(guī)范。 測試控制點:測試數(shù)據(jù)的選取是否按計劃及需要進行,是否具有代表性;測試是否 站在公正客觀的立場進行,是否有用戶參與測試;測試結(jié)果是否正確記錄等。 (2)對信息系統(tǒng)運行維護階段的審計 對信息系統(tǒng)運行維護階段的審計又細分為對運行階

8、段的審計和對維護階段的審計。 系統(tǒng)運行過程的審計是在信息系統(tǒng)正式運行階段,針對信息系統(tǒng)是否被正確操作和是否有效 地運行,從而真正實現(xiàn)信息系統(tǒng)的開發(fā)目標、滿足用戶需求而進行的審計。對信息系統(tǒng)運行 過程的審計分為系統(tǒng)輸入審計、通信系統(tǒng)審計、處理過程審計、數(shù)據(jù)庫審計、系統(tǒng)輸出審計 和運行管理審計六大部分。 輸入審計的關(guān)鍵控制點有:是否制定并遵守輸入管理規(guī)則,是否有數(shù)據(jù)生成順序、 處理等的防錯、保護措施、防錯、保護措施是否有效等。 通信系統(tǒng)實施的是實際數(shù)據(jù)的傳輸, 通信系統(tǒng)中,審計軌跡應記錄輸入的數(shù)據(jù)、傳送的數(shù)據(jù) 和工作的通信系統(tǒng)。通信系統(tǒng)審計的關(guān)鍵控制點有: 是否制定并遵守通信規(guī)則,對網(wǎng)絡存取 控制

9、及監(jiān)控是否有效等。 處理過程指處理器在接收到輸入的數(shù)據(jù)后對數(shù)據(jù)進行加工處理的過程,此時的審計 主要針對數(shù)據(jù)輸入系統(tǒng)后是否被正確處理。關(guān)鍵控制點有:被處理的數(shù)據(jù),數(shù)據(jù)處理器,數(shù) 據(jù)處理時間,數(shù)據(jù)處理后的結(jié)果,數(shù)據(jù)處理實現(xiàn)的目的,系統(tǒng)處理的差錯率,平均無故障時 間,可恢復性和平均恢復時間等。 數(shù)據(jù)庫審計是保障數(shù)據(jù)庫正確行使了其職能,如對數(shù)據(jù)操作的有效性和發(fā)生異常操 作時對數(shù)據(jù)的保護功能(正確數(shù)據(jù)不丟失,數(shù)據(jù)回滾以保證數(shù)據(jù)的一致性)。其關(guān)鍵控制點有: 對數(shù)據(jù)的存取控制及監(jiān)視是否有效, 是否記錄數(shù)據(jù)利用狀況, 并定期分析,是否考慮數(shù)據(jù)的 保護功能,是否有防錯、保密功能,防錯、保密功能是否有效等。 輸出

10、審計不同于測試階段的輸出審計,此時的輸出是在實際數(shù)據(jù)的基礎上進行的, 對其進行審計可以對系統(tǒng)輸出進行再控制, 結(jié)合用戶需求進行評價。 關(guān)鍵控制點有:輸出信 息的獲取及處理時是否有防止不正當行為和機密保護措施,輸出信息是否準確、及時,輸出 信息的形式是否被客戶所接受,是否記錄輸出出錯情況并定期分析等。 運行管理審計是對人機系統(tǒng)中人的行為的審計。關(guān)鍵控制點有:操作順序是否標準 化,作業(yè)進度是否有優(yōu)先級,操作是否按標準進行,人員交替是否規(guī)范,能否對預計于實際 運行的差異進行分析,遇問題時能否相互溝通,是否有經(jīng)常性培訓與教育等。 維護過程的審計包括對維護計劃、維護實施、改良系統(tǒng)的試運行和舊系統(tǒng)的廢除等

11、維護活動 的審計。維護過程的關(guān)鍵控制點有:維護組織的規(guī)模是否適應需要,人員分工是否明確,是 否有一套管理機制和協(xié)調(diào)機制,維護過程發(fā)現(xiàn)的可改進點,維護是否得到維護負責人同意, 是否對發(fā)現(xiàn)問題作了修正,維護記錄是否有文檔記載,是否定期分析,舊系統(tǒng)的廢除是否在 授權(quán)下進行等。 三、審計完成階段 完成階段是實質(zhì)性的整個信息系統(tǒng)審計工作的結(jié)束,主要工作有: 整理、評價執(zhí)行審計業(yè)務過程中收集到的證據(jù)。在信息系統(tǒng)審計的現(xiàn)代化管理時期, 收集到的數(shù)據(jù)己存儲在管理系統(tǒng)中,審計人員只需對其進行分析和調(diào)用即可。 復核審計底稿,完成二級復核。傳統(tǒng)審計的三級復核制度對信息系統(tǒng)審計同樣適用,它是保 證審計質(zhì)量、降低審計風

12、險的重要措施。一級復核是由信息系統(tǒng)審計項目組長在審計過程進 行中對工作底稿的復核,這層復核主要是評價已完成的審計工作、所獲得的工作底稿編制人 員形成的結(jié)論;二級復核是在外勤工作結(jié)束時,由審計部門領(lǐng)導對工作底稿進行的重點復核。 在審計工作辦公自動化的今天,二級復核制度同樣可以通過網(wǎng)上報送及調(diào)用得以實現(xiàn)。 評價審計結(jié)果,形成審計意見,完成三級復核,編制審計報告。評價審計結(jié)果主要 是為了確定將要發(fā)表的審計意見的類型及在整個審計工作中是否遵循了獨立審計準則。信息 系統(tǒng)審計人員需要對重要性和審計風險進行最終的評價。這是審計人員決定發(fā)表何種類型審 計意見的必要過程, 所確定的可接受審計風險一定要有足夠充分適當?shù)膶徲嬜C據(jù)支持。簽發(fā)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論