信息系統(tǒng)審計(jì)(IT審計(jì))操作流程

1、時(shí)磊5說(shuō)- 信息系統(tǒng)審計(jì)（IT審計(jì)）操作流程 一、審計(jì)計(jì)劃階段 計(jì)劃階段是整個(gè)審計(jì)過(guò)程的起點(diǎn)。其主要工作包括： （1）了解被審系統(tǒng)基本情況 了解被審系統(tǒng)基本情況是實(shí)施任何信息系統(tǒng)審計(jì)的必經(jīng)程序，對(duì)基本情況的了解有 助于審計(jì)組織對(duì)系統(tǒng)的組成、環(huán)境、 運(yùn)行年限、控制等有初步印象，以決定是否對(duì)該系統(tǒng)進(jìn) 行審計(jì)，明確審計(jì)的難度，所需時(shí)間以及人員配備情況等。 了解了基本情況，審計(jì)組織就可以大致判斷系統(tǒng)的復(fù)雜性、管理層對(duì)審計(jì)的態(tài)度、 內(nèi)部控制的狀況、以前審計(jì)的狀況、審計(jì)難點(diǎn)與重點(diǎn)，以決定是否對(duì)其進(jìn)行審計(jì)。 （2）初步評(píng)價(jià)被審單位系統(tǒng)的內(nèi)部控制及外部控制 傳統(tǒng)的內(nèi)部控制制度是為防止舞弊和差錯(cuò)而形成的以?xún)?nèi)部稽

2、核和相互牽制為核心 的工作制度。隨著信息技術(shù)特別是以In ternet為代表的網(wǎng)絡(luò)技術(shù)的發(fā)展和應(yīng)用，企業(yè)信息 系統(tǒng)進(jìn)一步向深層次發(fā)展， 這些變革無(wú)疑給企業(yè)帶來(lái)了巨大的效益，但同時(shí)也給內(nèi)部控制帶 來(lái)了新的問(wèn)題和挑戰(zhàn)。加強(qiáng)內(nèi)部控制制度是信息系統(tǒng)安全可靠運(yùn)行的有力保證。依據(jù)控制對(duì) 象的范圍和環(huán)境，信息系統(tǒng)內(nèi)控制度的審計(jì)內(nèi)容包括一般控制和應(yīng)用控制兩類(lèi)。 一般控制是系統(tǒng)運(yùn)行環(huán)境方而的控制，指對(duì)信息系統(tǒng)構(gòu)成要素（人、機(jī)器、文件） 的控制。它已為應(yīng)用程序的正常運(yùn)行提供外圍保障，影響到計(jì)算機(jī)應(yīng)用的成敗及應(yīng)用控制的 強(qiáng)弱。主要包括：組織控制、操作控制、硬件及系統(tǒng)軟件控制和系統(tǒng)安全控制。 應(yīng)用控制是對(duì)信息系統(tǒng)中具

3、體的數(shù)據(jù)處理活動(dòng)所進(jìn)行的控制，是具體的應(yīng)用系統(tǒng)中 用來(lái)預(yù)測(cè)、檢測(cè)和更正錯(cuò)誤和處置不法行為的控制措施，信息系統(tǒng)的應(yīng)用控制主要體現(xiàn)在輸 入控制、處理控制和輸出控制。應(yīng)用控制具有特殊性，不同的應(yīng)用系統(tǒng)有著不同的處理方式 和處理環(huán)節(jié)，因而有著不同的控制問(wèn)題和不同的控制要求，但是一般可把它劃分為：輸入控 制、處理控制和輸出控制。 通過(guò)對(duì)信息系統(tǒng)組織機(jī)構(gòu)控制，系統(tǒng)開(kāi)發(fā)與維護(hù)控制，安全性控制，硬件、軟件資 源控制，輸入控制，處理控制，輸出控制等方而的審計(jì)分析，建立內(nèi)部控制強(qiáng)弱評(píng)價(jià)的指標(biāo) 系統(tǒng)及評(píng)價(jià)模型，審計(jì)人員通過(guò)交互式人機(jī)對(duì)話(huà)，輸入各評(píng)價(jià)指標(biāo)的評(píng)分，內(nèi)控制審計(jì)評(píng)價(jià) 系統(tǒng)則可以進(jìn)行多級(jí)綜合審計(jì)評(píng)價(jià)。通過(guò)內(nèi)控

4、制度的審計(jì)，實(shí)現(xiàn)對(duì)系統(tǒng)的預(yù)防性控制，檢測(cè) 性控制和糾正性控制。 （3）識(shí)別重要性 為了有效實(shí)現(xiàn)審計(jì)目標(biāo)， 合理使用審計(jì)資源，在制定審計(jì)計(jì)劃時(shí)， 信息系統(tǒng)審計(jì)人 員應(yīng)對(duì)系統(tǒng)重要性進(jìn)行適當(dāng)評(píng)估。 對(duì)重要性的評(píng)估一般需要運(yùn)用專(zhuān)業(yè)判斷。 考慮重要性水平 時(shí)要根據(jù)審計(jì)人員的職業(yè)判斷或公用標(biāo)準(zhǔn)，系統(tǒng)的服務(wù)對(duì)象及業(yè)務(wù)性質(zhì)，內(nèi)控的初評(píng)結(jié)果。 重要性的判斷離不開(kāi)特定環(huán)境， 審計(jì)人員必須根據(jù)具體的信息系統(tǒng)環(huán)境確定重要性。重要性 具有數(shù)量和質(zhì)量?jī)蓚€(gè)方面的特征。 越是重要的子系統(tǒng)，就越需要獲取充分的審計(jì)證據(jù)， 以支 持審計(jì)結(jié)論或意見(jiàn)。 （4）編制審計(jì)計(jì)劃 經(jīng)過(guò)以上程序，為編制審計(jì)計(jì)劃提供了良好準(zhǔn)備，審計(jì)人員就可以據(jù)以

5、編制總體及 具體審計(jì)計(jì)劃。 總體計(jì)劃包括：被審單位基本情況； 審計(jì)目的、審計(jì)范圍及策略；重要問(wèn)題及重要 審計(jì)領(lǐng)域；工作進(jìn)度及時(shí)間；審計(jì)小組成員分工；重要性確定及風(fēng)險(xiǎn)評(píng)估等。 具體計(jì)劃包括：具體審計(jì)目標(biāo)；審計(jì)程序；執(zhí)行人員及時(shí)間限制等。 二、審計(jì)實(shí)施階段 做好上訴材料的充分的準(zhǔn)備，便可進(jìn)行審計(jì)實(shí)施，具體包括以下內(nèi)容： （1）對(duì)信息系統(tǒng)計(jì)劃開(kāi)發(fā)階段的審計(jì) 對(duì)信息系統(tǒng)計(jì)劃開(kāi)發(fā)階段的審計(jì)包括對(duì)計(jì)劃的審計(jì)和對(duì)開(kāi)發(fā)的審計(jì)，可以采用事中 審計(jì)，也可以是事后審計(jì)。比較而言事中審計(jì)更有意義，審計(jì)結(jié)果的得出利于故障、問(wèn)題的 及早發(fā)現(xiàn)，利于調(diào)整計(jì)劃，利于開(kāi)發(fā)順序的改進(jìn)。 信息系統(tǒng)計(jì)劃階段的關(guān)鍵控制點(diǎn)有： 計(jì)劃是否有

6、明確的目的， 計(jì)劃中是否明確描述 了系統(tǒng)的效果，是否明確了系統(tǒng)開(kāi)發(fā)的組織，對(duì)整體計(jì)劃進(jìn)程是否正確預(yù)計(jì)， 計(jì)劃能否隨經(jīng) 營(yíng)環(huán)境改變而及時(shí)修正， 計(jì)劃是否制定有可行性報(bào)告， 關(guān)于計(jì)劃的過(guò)程和結(jié)果是否有文檔記 系統(tǒng)開(kāi)發(fā)階段包括系統(tǒng)分析、系統(tǒng)設(shè)計(jì)、代碼編寫(xiě)和系統(tǒng)測(cè)試三部分。其中涉及包 括功能需求分析、業(yè)務(wù)數(shù)據(jù)分析、總體框架設(shè)計(jì)、結(jié)構(gòu)設(shè)計(jì)、代碼設(shè)計(jì)、數(shù)據(jù)庫(kù)設(shè)計(jì)、輸入 輸出設(shè)計(jì)、處理流程及模塊功能的設(shè)計(jì)。編程時(shí)依據(jù)系統(tǒng)設(shè)計(jì)階段的設(shè)計(jì)圖及數(shù)據(jù)庫(kù)結(jié)構(gòu)和 編碼設(shè)計(jì)，用計(jì)算機(jī)程序語(yǔ)言來(lái)實(shí)現(xiàn)系統(tǒng)的過(guò)程。測(cè)試包括動(dòng)態(tài)測(cè)試和靜態(tài)測(cè)試，是系統(tǒng)開(kāi) 發(fā)完畢，進(jìn)入試運(yùn)行之前的必經(jīng)程序。其關(guān)鍵控制點(diǎn)有： 分析控制點(diǎn)：是否己細(xì)致分

7、析企業(yè)組織結(jié)構(gòu)；是否確定用戶(hù)功能和性能需求；是否確定用戶(hù) 的數(shù)據(jù)需求等。 設(shè)計(jì)控制點(diǎn)：設(shè)計(jì)界面是否方便用戶(hù)使用；設(shè)計(jì)是否與業(yè)務(wù)內(nèi)容相符；性能能否滿(mǎn) 足需要，是否考慮故障對(duì)策和安全保護(hù)等。 編程控制點(diǎn)：是否有程序說(shuō)明書(shū)，并按照說(shuō)明書(shū)進(jìn)行編寫(xiě)；編程與設(shè)計(jì)是否相符， 有無(wú)違背編程原則；程序作者是否進(jìn)行自測(cè)；是否有程序作者之外的第三人進(jìn)行測(cè)試；編程 的書(shū)寫(xiě)、變量的命名等是否規(guī)范。 測(cè)試控制點(diǎn)：測(cè)試數(shù)據(jù)的選取是否按計(jì)劃及需要進(jìn)行，是否具有代表性；測(cè)試是否 站在公正客觀(guān)的立場(chǎng)進(jìn)行，是否有用戶(hù)參與測(cè)試；測(cè)試結(jié)果是否正確記錄等。 （2）對(duì)信息系統(tǒng)運(yùn)行維護(hù)階段的審計(jì) 對(duì)信息系統(tǒng)運(yùn)行維護(hù)階段的審計(jì)又細(xì)分為對(duì)運(yùn)行階

8、段的審計(jì)和對(duì)維護(hù)階段的審計(jì)。 系統(tǒng)運(yùn)行過(guò)程的審計(jì)是在信息系統(tǒng)正式運(yùn)行階段，針對(duì)信息系統(tǒng)是否被正確操作和是否有效 地運(yùn)行，從而真正實(shí)現(xiàn)信息系統(tǒng)的開(kāi)發(fā)目標(biāo)、滿(mǎn)足用戶(hù)需求而進(jìn)行的審計(jì)。對(duì)信息系統(tǒng)運(yùn)行 過(guò)程的審計(jì)分為系統(tǒng)輸入審計(jì)、通信系統(tǒng)審計(jì)、處理過(guò)程審計(jì)、數(shù)據(jù)庫(kù)審計(jì)、系統(tǒng)輸出審計(jì) 和運(yùn)行管理審計(jì)六大部分。 輸入審計(jì)的關(guān)鍵控制點(diǎn)有：是否制定并遵守輸入管理規(guī)則，是否有數(shù)據(jù)生成順序、 處理等的防錯(cuò)、保護(hù)措施、防錯(cuò)、保護(hù)措施是否有效等。 通信系統(tǒng)實(shí)施的是實(shí)際數(shù)據(jù)的傳輸， 通信系統(tǒng)中，審計(jì)軌跡應(yīng)記錄輸入的數(shù)據(jù)、傳送的數(shù)據(jù) 和工作的通信系統(tǒng)。通信系統(tǒng)審計(jì)的關(guān)鍵控制點(diǎn)有： 是否制定并遵守通信規(guī)則，對(duì)網(wǎng)絡(luò)存取 控制

9、及監(jiān)控是否有效等。 處理過(guò)程指處理器在接收到輸入的數(shù)據(jù)后對(duì)數(shù)據(jù)進(jìn)行加工處理的過(guò)程，此時(shí)的審計(jì) 主要針對(duì)數(shù)據(jù)輸入系統(tǒng)后是否被正確處理。關(guān)鍵控制點(diǎn)有：被處理的數(shù)據(jù)，數(shù)據(jù)處理器，數(shù) 據(jù)處理時(shí)間，數(shù)據(jù)處理后的結(jié)果，數(shù)據(jù)處理實(shí)現(xiàn)的目的，系統(tǒng)處理的差錯(cuò)率，平均無(wú)故障時(shí) 間，可恢復(fù)性和平均恢復(fù)時(shí)間等。 數(shù)據(jù)庫(kù)審計(jì)是保障數(shù)據(jù)庫(kù)正確行使了其職能，如對(duì)數(shù)據(jù)操作的有效性和發(fā)生異常操 作時(shí)對(duì)數(shù)據(jù)的保護(hù)功能（正確數(shù)據(jù)不丟失，數(shù)據(jù)回滾以保證數(shù)據(jù)的一致性）。其關(guān)鍵控制點(diǎn)有： 對(duì)數(shù)據(jù)的存取控制及監(jiān)視是否有效， 是否記錄數(shù)據(jù)利用狀況， 并定期分析，是否考慮數(shù)據(jù)的 保護(hù)功能，是否有防錯(cuò)、保密功能，防錯(cuò)、保密功能是否有效等。 輸出

10、審計(jì)不同于測(cè)試階段的輸出審計(jì)，此時(shí)的輸出是在實(shí)際數(shù)據(jù)的基礎(chǔ)上進(jìn)行的， 對(duì)其進(jìn)行審計(jì)可以對(duì)系統(tǒng)輸出進(jìn)行再控制， 結(jié)合用戶(hù)需求進(jìn)行評(píng)價(jià)。 關(guān)鍵控制點(diǎn)有：輸出信 息的獲取及處理時(shí)是否有防止不正當(dāng)行為和機(jī)密保護(hù)措施，輸出信息是否準(zhǔn)確、及時(shí)，輸出 信息的形式是否被客戶(hù)所接受，是否記錄輸出出錯(cuò)情況并定期分析等。 運(yùn)行管理審計(jì)是對(duì)人機(jī)系統(tǒng)中人的行為的審計(jì)。關(guān)鍵控制點(diǎn)有：操作順序是否標(biāo)準(zhǔn) 化，作業(yè)進(jìn)度是否有優(yōu)先級(jí)，操作是否按標(biāo)準(zhǔn)進(jìn)行，人員交替是否規(guī)范，能否對(duì)預(yù)計(jì)于實(shí)際 運(yùn)行的差異進(jìn)行分析，遇問(wèn)題時(shí)能否相互溝通，是否有經(jīng)常性培訓(xùn)與教育等。 維護(hù)過(guò)程的審計(jì)包括對(duì)維護(hù)計(jì)劃、維護(hù)實(shí)施、改良系統(tǒng)的試運(yùn)行和舊系統(tǒng)的廢除等

11、維護(hù)活動(dòng) 的審計(jì)。維護(hù)過(guò)程的關(guān)鍵控制點(diǎn)有：維護(hù)組織的規(guī)模是否適應(yīng)需要，人員分工是否明確，是 否有一套管理機(jī)制和協(xié)調(diào)機(jī)制，維護(hù)過(guò)程發(fā)現(xiàn)的可改進(jìn)點(diǎn)，維護(hù)是否得到維護(hù)負(fù)責(zé)人同意， 是否對(duì)發(fā)現(xiàn)問(wèn)題作了修正，維護(hù)記錄是否有文檔記載，是否定期分析，舊系統(tǒng)的廢除是否在 授權(quán)下進(jìn)行等。 三、審計(jì)完成階段 完成階段是實(shí)質(zhì)性的整個(gè)信息系統(tǒng)審計(jì)工作的結(jié)束，主要工作有： 整理、評(píng)價(jià)執(zhí)行審計(jì)業(yè)務(wù)過(guò)程中收集到的證據(jù)。在信息系統(tǒng)審計(jì)的現(xiàn)代化管理時(shí)期， 收集到的數(shù)據(jù)己存儲(chǔ)在管理系統(tǒng)中，審計(jì)人員只需對(duì)其進(jìn)行分析和調(diào)用即可。 復(fù)核審計(jì)底稿，完成二級(jí)復(fù)核。傳統(tǒng)審計(jì)的三級(jí)復(fù)核制度對(duì)信息系統(tǒng)審計(jì)同樣適用，它是保 證審計(jì)質(zhì)量、降低審計(jì)風(fēng)

12、險(xiǎn)的重要措施。一級(jí)復(fù)核是由信息系統(tǒng)審計(jì)項(xiàng)目組長(zhǎng)在審計(jì)過(guò)程進(jìn) 行中對(duì)工作底稿的復(fù)核，這層復(fù)核主要是評(píng)價(jià)已完成的審計(jì)工作、所獲得的工作底稿編制人 員形成的結(jié)論；二級(jí)復(fù)核是在外勤工作結(jié)束時(shí)，由審計(jì)部門(mén)領(lǐng)導(dǎo)對(duì)工作底稿進(jìn)行的重點(diǎn)復(fù)核。 在審計(jì)工作辦公自動(dòng)化的今天，二級(jí)復(fù)核制度同樣可以通過(guò)網(wǎng)上報(bào)送及調(diào)用得以實(shí)現(xiàn)。 評(píng)價(jià)審計(jì)結(jié)果，形成審計(jì)意見(jiàn)，完成三級(jí)復(fù)核，編制審計(jì)報(bào)告。評(píng)價(jià)審計(jì)結(jié)果主要 是為了確定將要發(fā)表的審計(jì)意見(jiàn)的類(lèi)型及在整個(gè)審計(jì)工作中是否遵循了獨(dú)立審計(jì)準(zhǔn)則。信息 系統(tǒng)審計(jì)人員需要對(duì)重要性和審計(jì)風(fēng)險(xiǎn)進(jìn)行最終的評(píng)價(jià)。這是審計(jì)人員決定發(fā)表何種類(lèi)型審 計(jì)意見(jiàn)的必要過(guò)程， 所確定的可接受審計(jì)風(fēng)險(xiǎn)一定要有足夠充分適當(dāng)?shù)膶徲?jì)證據(jù)支持。簽發(fā)