信息系統(tǒng)審計 課件 【ch03】信息系統(tǒng)審計流程

信息系統(tǒng)審計流程第三章高等院校公共課系列精品教材信息系統(tǒng)審計信息系統(tǒng)審計流程概述0101審計計劃階段信息系統(tǒng)審計的計劃階段是整個審計流程的起點，也是整個審計過程的基礎階段，這一階段的主要任務是調查被審計單位的基本情況、初步評估審計風險、接受審計委托、制訂審計計劃。這個階段的難點在于數(shù)據(jù)量巨大。如果相關人員不使用風險分析方法，不重視內(nèi)部控制，而直接對信息系統(tǒng)的數(shù)據(jù)進行詳細調查，則容易出現(xiàn)對審計對象認識不足、準備工作不充分的不利局面。所以，通過充分分析被審計單位的風險，可以總體了解其內(nèi)部控制情況。01審計計劃階段在審計計劃階段的主要工作包括以下幾方面。(1)了解被審系統(tǒng)的基本情況。了解被審系統(tǒng)的基本情況是實施任何信息系統(tǒng)審計的必經(jīng)程序，對基本情況的了解有助于審計人員對系統(tǒng)的組成、環(huán)境、運行年限、控制等有初步印象。審計人員可以大致判斷出系統(tǒng)的復雜性、管理層對審計的態(tài)度、內(nèi)部控制的狀況、以前審計的狀況，以決定是否對該系統(tǒng)進行審計，并可明確審計的難度、所需時間及人員配備情況等。(2)評估審計風險。在制訂審計計劃時，審計人員要對信息系統(tǒng)進行風險評估。有的風險是審計人員可以控制的風險，如檢查風險。而有一些風險是由信息系統(tǒng)所帶來的，如固有風險和控制風險，它們在審計過程中已成為既定的事實，審計人員無法控制或改變它們，只能通過對被審系統(tǒng)的有效了解和測試，來盡量合理地評估固有風險和控制風險。評估的目的是為了確定檢查風險水平，然后據(jù)此開展實質性測試，從而降低檢查風險，最終將審計風險控制在可接受的水平。01審計計劃階段(3)識別重要性。為了有效實現(xiàn)審計目標，合理使用審計資源，在制訂審計計劃時，信息系統(tǒng)審計人員應對系統(tǒng)重要性進行適當評估。對重要性的評估一般需要運用專業(yè)知識進行判斷，要根據(jù)審計人員的職業(yè)判斷或公用標準、系統(tǒng)的服務對象及業(yè)務性質、內(nèi)控的初評結果等進行綜合考慮。重要性的判斷離不開特定環(huán)境，審計人員必須根據(jù)具體的信息系統(tǒng)環(huán)境確定重要性。重要性具有數(shù)量和質量兩個方面的特征。越是重要的系統(tǒng)，就越需要獲取充分的審計證據(jù)，以支持審計結論或意見。01審計計劃階段(4)確定審計依據(jù)。審計依據(jù)是審計人員在審計過程中用來衡量被審計事項是非優(yōu)劣的準繩，是提出審計意見、做出審計決定的依據(jù)。審計依據(jù)既是明顯可見的，又不是固定不變的，它隨著國家管理的規(guī)范和單位管理的加強，不斷淘汰舊的標準，建立新的標準。因此，無論什么樣的審計依據(jù)，只在一定的范圍內(nèi)、一定的區(qū)域中和一定的時間內(nèi)是有效的。同時，各類依據(jù)所具有的權威性也是有很大差別的。(5)編制審計計劃。以上程序為編制審計計劃提供了良好準備，審計人員據(jù)此可以編制總體審計計劃及具體審計計劃?？傮w審計計劃包括：被審單位基本情況；審計目的、審計范圍及策略；重要問題及重要審計領域；工作進度及時間；審計小組成員分工；重要性確定及風險評估等。具體審計計劃包括：具體審計目標、審計程序、執(zhí)行人員及時間限制等。02審計實施階段信息系統(tǒng)審計的實施階段是根據(jù)審計準備階段對被審計單位的調查、審計風險的分析，來確定審計內(nèi)部控制測試和實質性測試的程序、范圍和重點的，并以此判定需要收集和獲取的數(shù)據(jù)信息、采用的審計技術和方法，跟蹤審計線索和收集審計證據(jù)，進行鑒定和分析，從而形成審計結論和發(fā)表審計意見的過程。審計實施階段是信息系統(tǒng)審計全過程的中間環(huán)節(jié)。針對被審計信息系統(tǒng)，審計人員所開展的工作可以分為三個層次，即了解、描述和測試。02審計實施階段審計實施階段的主要工作包括以下幾點。(1)按照信息系統(tǒng)審計方案確定的審計內(nèi)容、范圍、重點和方式的要求，深入了解審計流程和信息系統(tǒng)構成信息，詳細分析信息化條件下被審計單位業(yè)務處理流程的重點和關鍵環(huán)節(jié)，并根據(jù)可能的風險因素確定控制點。(2)采用相應的技術和方法，對信息系統(tǒng)的現(xiàn)有控制進行符合性測試及實質性測試，并對與審計目標或核心業(yè)務有較大關聯(lián)度的系統(tǒng)進行重點測試，同時進行人員訪談，查詢相關的政策、標準及準則并獲得審計證據(jù)。(3)在測試過程中，可以根據(jù)測試的具體情況，適當調整審計實施方案，進一步確定審計重點和審計方法，將審計重點放在內(nèi)部控制體系的薄弱環(huán)節(jié)。(4)對取得的各種證據(jù)進行鑒別、分析，判明是非和找到問題的本質，做出客觀公正的評價，并醞釀處理意見和改進建議。03審計完成階段信息系統(tǒng)審計具體的實施工作完成后，將進入審計完成階段。首先，信息系統(tǒng)審計人員要整理、評價、執(zhí)行審計業(yè)務過程中收集到的證據(jù)。其次，信息系統(tǒng)審計人員將復核審計底稿，并完成二級復核。傳統(tǒng)審計的三級復核制度對信息系統(tǒng)審計同樣適用，它是保證審計質量、降低審計風險的重要措施。審計報告是審計工作的最終成果，審計報告首先應有審計人員對被審系統(tǒng)的安全性、可靠性、穩(wěn)定性、有效性的意見，同時提出改進建議。審計報告應當說明審計范圍、審計目標、審計期間，以及所執(zhí)行的審計工作的性質和范圍。審計報告中還應說明采用了何種審計技術和與之有關的審計結果。在審計過程中，審計人員受被審計單位的客觀條件或環(huán)境的限制，對一些重要的事項不能獲得充分和完整信息的情況，也應該在審計報告中加以說明。03審計完成階段審計完成階段的主要工作包括以下幾點。(1)整理歸納審計資料，反映內(nèi)控制度的結果，并揭示問題、明確責任、發(fā)現(xiàn)并陳列線索。(2)撰寫審計報告。在審計報告中，應著重說明發(fā)現(xiàn)了哪些問題，并建議被審計單位進行改進。(3)與被審系統(tǒng)管理者進行溝通。(4)發(fā)出審計結論和決定。(5)審計資料的歸檔和管理。03審計完成階段信息系統(tǒng)審計流程圖如圖3-1所示。確定審計關系0201確定審計關系審計關系一般是指由審計人員、審計受權人和被審計單位三者之間形成的經(jīng)濟責任關系，它是審計活動得以有效開展的前提和保證。確定審計關系的過程可以理解為：審計受權人委托經(jīng)理人經(jīng)營管理其財產(chǎn)，經(jīng)理人委托審計機構進行審計，審計機構將審計業(yè)務委派給審計人員，審計人員接受審計機構的管理控制，向被審單位經(jīng)理人提供審計報告，最終由經(jīng)理人將審計報告和財務報告提交給審計受權人。信息系統(tǒng)審計的各方關系圖如圖3-2所示。了解被審計單位的情況0301了解被審計單位的情況基本情況(1)行業(yè)類型、業(yè)務類型、產(chǎn)品和服務的種類、經(jīng)營特點；(2)關聯(lián)方及其交易的存在情況；(3)影響被審計單位及所屬行業(yè)的法律、法規(guī)等；(4)內(nèi)部控制情況；(5)總體組織結構。01了解被審計單位的情況信息系統(tǒng)使用情況(1)與信息系統(tǒng)相關的管理制度；(2)與信息系統(tǒng)相關的機構設置情況；(3)系統(tǒng)流程：(4)軟件使用情況；(5)數(shù)據(jù)庫使用；(6)操作系統(tǒng)；(7)硬件設備；(8)網(wǎng)絡安全；(9)輔助設施。01了解被審計單位的情況信息系統(tǒng)描述在了解完信息系統(tǒng)使用情況之后，需要對這些信息進行進一步匯總并描述，描述方法包括文字描述法、表格描述法和圖形描述法，這幾種方法可以搭配使用。(1)文字描述法，是指通過文字描述被審計單位的信息系統(tǒng)的功能、結構、控制政策措施和生命周期過程的方法，適用于大多數(shù)信息系統(tǒng)。它的優(yōu)點是容易使用、容易理解，缺點是不夠簡潔直觀。(2)表格描述法，是一種審計人員使用標準或自行設計的表格來描述信息系統(tǒng)的方法。它適用于描述信息系統(tǒng)開發(fā)過程、內(nèi)部控制的多個指標和系統(tǒng)組件的多個部分。其優(yōu)點是結構清晰、邏輯性強。(3)圖形描述法，是指審核員以圖形的形式描述信息系統(tǒng)的組織結構、功能、生命周期和業(yè)務流程的方法，包括組織結構圖、功能結構圖和業(yè)務流程圖。為了便于審核員之間的相互理解和交流，在使用圖形描述方法時，應注意統(tǒng)一各種符號及其含義。01了解被審計單位的情況信息系統(tǒng)描述01了解被審計單位的情況信息系統(tǒng)描述01了解被審計單位的情況信息系統(tǒng)描述評估審計風險0401固有風險系統(tǒng)設計風險系統(tǒng)風險信息不對稱和知識結構的不完善，使得系統(tǒng)開發(fā)人員設計出的信息系統(tǒng)與系統(tǒng)使用者的需求不匹配，那么必然會帶來漏洞。信息系統(tǒng)的硬件配置不完善，軟件質量不可靠，系統(tǒng)自控功能較弱而產(chǎn)生的系統(tǒng)風險。系統(tǒng)環(huán)境風險電子數(shù)據(jù)大量集中在系統(tǒng)的信息中心，同時信息系統(tǒng)要實現(xiàn)數(shù)據(jù)的高速處理，在此過程中，系統(tǒng)內(nèi)數(shù)據(jù)可能會遭到破壞或處理時出現(xiàn)失誤。01固有風險數(shù)據(jù)錄入風險數(shù)據(jù)儲存風險原始數(shù)據(jù)需要人工錄入到系統(tǒng)中，由于數(shù)據(jù)量龐大而且分散，出現(xiàn)輸入錯誤的概率比較高。一旦出現(xiàn)輸入錯誤，就有可能影響審計結果。電子數(shù)據(jù)存儲在物理介質上時，肉眼并不直接可見，很容易被濫用、篡改和丟失，且不留蛛絲馬跡。儲存介質會在信息系統(tǒng)審計模式下發(fā)生變動，這樣信息就會大量地存在于信息系統(tǒng)當中，要是某些黑客采用不正當?shù)姆绞剑┻^防火墻，竊取重要數(shù)據(jù)的話，就會造成極為嚴重的后果。另外，如果計算機出現(xiàn)故障或病毒，電子數(shù)據(jù)很容易遭到破壞，從而發(fā)生財務不完整或被篡改的現(xiàn)象，很大程度上增大了審計風險。此外，目前企業(yè)級的信息系統(tǒng)通常采用中心化的方式大量集中和高速處理數(shù)據(jù)。信息系統(tǒng)實現(xiàn)的功能與系統(tǒng)數(shù)據(jù)都高度集中在數(shù)據(jù)中心或信息中心，一旦數(shù)據(jù)中心或信息中心遭到破壞，其后果不堪設想。在高速的大量信息處理過程中，如果出現(xiàn)錯誤或疏忽，也會造成巨額損失。01固有風險數(shù)據(jù)傳輸轉移風險計算機犯罪在利用信息系統(tǒng)的時候，需要從被審計單位提取數(shù)據(jù)。而在提取期間，由于財務系統(tǒng)的多樣化，在與審計系統(tǒng)之間轉換數(shù)據(jù)時，會發(fā)生一些問題，從而增加了轉移風險的發(fā)生概率。信息處理過程中的防護措施比較薄弱，使得圖謀舞弊者容易獲得可乘之機。信息系統(tǒng)外包風險信息系統(tǒng)外包后，可能因對外包團隊過于依賴而造成技術風險，外包過程中如果管控不嚴，則易造成信息安全風險。02控制風險未經(jīng)授權訪問憑證與記錄控制在計算機信息系統(tǒng)環(huán)境下，任何對系統(tǒng)及數(shù)據(jù)的訪問都是直接通過電子數(shù)據(jù)處理功能取得、批準的，如果信息系統(tǒng)采用的技術不先進、訪問技術設置不充分，則會引起整個系統(tǒng)的技術性暴露，出現(xiàn)未經(jīng)授權的系統(tǒng)訪問。主要表現(xiàn)在對網(wǎng)絡、操作系統(tǒng)、數(shù)據(jù)庫及應用系統(tǒng)四個層面的數(shù)據(jù)和軟件的操作上。在計算機信息系統(tǒng)中，終端操作者把業(yè)務數(shù)據(jù)直接輸入計算機而沒有留下任何憑證。資產(chǎn)接觸與記錄控制在計算機信息系統(tǒng)環(huán)境下，大部分業(yè)務數(shù)據(jù)集中于電子數(shù)據(jù)處理部門，如果缺乏適當?shù)目刂?，未?jīng)授權人員可能通過外部指令，甚至遠程入侵系統(tǒng)，機密數(shù)據(jù)很可能被非法復制或篡改。02控制風險職責劃分獨立稽核被審計單位內(nèi)部通常都制定了職責劃分的有關制度。而在信息系統(tǒng)中，若想對員工的職責進行劃分，主要通過兩種形式。首先是明確員工的工作責任，其次是根據(jù)軟件設計的具體情況，對其子系統(tǒng)設置不同的職責。但在實踐中，由于人員數(shù)量的限制，往往出現(xiàn)一個人負責多個關鍵職位的情況，使內(nèi)部控制實質上處于失效狀態(tài)。此外，在信息系統(tǒng)中，各崗位不相容，使職責分配較為集中，也可能因此導致在授權過程中出現(xiàn)錯誤，導致舞弊行為發(fā)生，進而增加出現(xiàn)審計風險的概率，最終有可能讓職責劃分這一工作環(huán)節(jié)失去它原本的作用。在信息系統(tǒng)中，如果一個工作細節(jié)出現(xiàn)失誤，則極有可能會讓與之有關聯(lián)的賬簿發(fā)生信息失真的情況。要是應用程序出現(xiàn)故障，計算機就會在審計期間出現(xiàn)多次失誤，進而讓出現(xiàn)審計風險的概率進一步增高。02控制風險網(wǎng)絡監(jiān)控失效信息流和業(yè)務流的不一致對網(wǎng)絡的廣泛使用，使得通過網(wǎng)絡傳輸?shù)男畔⒑苋菀妆桓`聽、追蹤和非法使用。信息處理和業(yè)務傳遞缺乏有效的控制手段，往往出現(xiàn)業(yè)務處理資料和系統(tǒng)處理數(shù)據(jù)的不一致，可能導致企業(yè)決策失誤。業(yè)務流程重組在追逐利益和效率的過程中，被審計單位紛紛進行業(yè)務流程重組，但是很可能對一些關鍵環(huán)節(jié)缺乏有效控制，加大了系統(tǒng)運行的控制風險。03檢查風險審計人員的相關專業(yè)水平不高審計線索難以查找這首先表現(xiàn)在審計人員計算機專業(yè)水平不高。在信息系統(tǒng)審計中要運用計算機分析數(shù)據(jù)，數(shù)據(jù)庫查詢、統(tǒng)計和分析，甚至編程等技術篩選出疑點數(shù)據(jù)，發(fā)現(xiàn)審計線索，然后快速核實情況，得出審計結果。然而審計人員基于自身的專業(yè)素質和綜合能力未必能順利發(fā)現(xiàn)問題，特別是一些高技術舞弊或特殊安全漏掉的情況，這就會直接影響審計結果。其次表現(xiàn)在對被審計單位所屬行業(yè)的專業(yè)知識水平有限。在審計過程中，審計人員未能識別出系統(tǒng)的關鍵業(yè)務環(huán)節(jié)和重要的信息資產(chǎn)，如企業(yè)的銷售環(huán)節(jié)、財務核算信息和數(shù)據(jù)備份等。在手工環(huán)境下，會計賬務處理的每一步都有相關人員的書面記錄和簽名，審計線索清晰。在計算機信息系統(tǒng)環(huán)境下，從錄入原始數(shù)據(jù)到自動生成報表的整個過程，其中間處理環(huán)節(jié)是被忽略了的。利用信息技術也難以實現(xiàn)如簽名、蓋章等這些使審計線索證據(jù)化的作，給審計追蹤帶來了很多困難。同時，數(shù)據(jù)文件都存儲在硬盤、優(yōu)盤等存儲介質中，如果設計者事先未能考慮審計的需要而在系統(tǒng)中設置跟蹤程序的話，就很難留下有價值的審計線索，增加了審計的難度。03檢查風險控制測試難度增加技術風險難以控制在手工環(huán)境下，內(nèi)部控制的情況是可見的、有形的，有據(jù)可查；而在計算機信息系統(tǒng)環(huán)境下，內(nèi)部控制主要依靠軟件本身并集成到系統(tǒng)軟件中。一方面，審計人員無法通過傳統(tǒng)審計方法進行控制測試；另一方面，也要求審計人員掌握較高的計算機知識水平。例如，在進行技術性測試時，利用測試數(shù)據(jù)對系統(tǒng)進行測試，很難保證恰當?shù)某绦蚨急粰z查；用開發(fā)模擬程序來處理生產(chǎn)數(shù)據(jù)以測試生產(chǎn)系統(tǒng)時，加大了檢查成本，延長了檢查時間，反而加大了檢查風險。隨著線上業(yè)務的急劇增加，特別是智能化業(yè)務處理的逐步成熟和普及，相應的人工干預會逐漸減少，在這種前提下，對控制信息技術是否進行有效檢查將更具實際意義。降低這種檢查風險將比任何時候都更加重要。例如，當網(wǎng)絡災難導致數(shù)據(jù)存儲平臺或數(shù)據(jù)處理平臺癱瘓時，災備方案可以快速恢復信息處理功能，這是需要重點關注的基本檢查風險。03檢查風險審計人員職業(yè)道德風險其他不確定性的技術風險審計人員在審計過程中應始終保持其第三方的獨立性。審計人員應保持其職業(yè)審慎性，選擇適當?shù)膶徲嫵绦蚝头椒?，完成審計任務，降低審計過程中的檢查風險。在計算機信息系統(tǒng)環(huán)境下，還存在一些不可預知的技術風險，如系統(tǒng)或子系統(tǒng)即將更新?lián)Q代，使得當前的審計測試失去了意義，不僅浪費時間，還誤導審計人員對信息系統(tǒng)的審計評價。在信息系統(tǒng)審計人員缺乏的情況下，有時會出現(xiàn)讓參與系統(tǒng)開發(fā)的人員對信息系統(tǒng)進行檢查和測試的情況，其檢查風險會非常高。04形成信息系統(tǒng)審計風險的原因信息存儲的電子化和傳輸?shù)木W(wǎng)絡化捕捉證據(jù)的動態(tài)化在信息化環(huán)境下，海量的信息都存儲在硬盤、優(yōu)盤等存儲介質中，肉眼無法看到信息處理的軌跡，也發(fā)現(xiàn)不了線索。而這些電子化的數(shù)據(jù)很容易被篡改、刪除、隱匿或轉移，且不會遺留明顯的痕跡。信息在計算機網(wǎng)絡中進行傳遞，在傳輸過程中存在被竊聽、篡改的可能性。信息系統(tǒng)是一個龐大的綜合性系統(tǒng)，每天都要進行大量的業(yè)務處理和動態(tài)分析，供管理層決策參考。因此審計人員必須在系統(tǒng)運行過程中進行取證，而不能為了審計工作將系統(tǒng)停止下來，這就增加了取證難度，也存在一定的審計風險。當然也有搭建現(xiàn)行系統(tǒng)模擬運行環(huán)境的做法，即平行模擬法，這樣可以不影響原有系統(tǒng)的正常運轉，但其成本和耗時都非常高，很難在實際審計工作中實施。04形成信息系統(tǒng)審計風險的原因內(nèi)部控制制度的復雜化審計人員知識結構單一在信息化環(huán)境下，被審計單位內(nèi)部控制的技術和方法發(fā)生了很大變化，控制措施大多以程序的形式建立在信息系統(tǒng)中，肉眼無法覺察，在很大程度上依賴于計算機處理。在實際操作中，內(nèi)控環(huán)境的復雜性及內(nèi)部控制的局限性也為舞弊提供了機會。信息系統(tǒng)審計師除要有專業(yè)的審計、會計知識，還須掌握一定的計算機專業(yè)相關知識和技術?，F(xiàn)實中，審計人員的知識結構比較單一，熟悉審計和會計知識的多，而掌握IT技術的少，審計人員給出的審計結論有可能偏離被審計單位信息系統(tǒng)的實際。05信息系統(tǒng)審計風險的特征隱蔽性群發(fā)性信息系統(tǒng)審計主要面對被審計單位系統(tǒng)中的大量電子數(shù)據(jù)，操作人員使用信息系統(tǒng)來對業(yè)務數(shù)據(jù)的輸入、計算分析和輸出進行處理，中間過程的數(shù)據(jù)處理幾乎完全由計算機自身完成。與一般的審計證據(jù)不同，審計人員在獲取審計證據(jù)時，應考慮電子數(shù)據(jù)復雜、易被破壞的特點。在收集、整理和分析數(shù)據(jù)信息的過程中，審計風險是隱蔽的，不易發(fā)現(xiàn)其存在的問題，審計人員的控制方法不能得以有效實施。在信息系統(tǒng)中，相同的程序用于處理相同或相似的業(yè)務。一旦程序出現(xiàn)了問題，處理這類業(yè)務時就會出現(xiàn)錯誤。同時，不同的子系統(tǒng)組合成一個完整的信息系統(tǒng)，這些子系統(tǒng)之間存在數(shù)據(jù)交互。子系統(tǒng)產(chǎn)生的錯誤數(shù)據(jù)會轉移到下一個子系統(tǒng)，嚴重的情況下甚至整個被審計單位都會產(chǎn)生決策錯誤。因此，在信息系統(tǒng)審計中，由于沒有發(fā)現(xiàn)單個錯誤而導致的審計風險很可能存在于一系列相同或相似的業(yè)務中，從而導致其他相關程序的審計風險，甚至出現(xiàn)影響整個信息系統(tǒng)審計過程的審計風險。05信息系統(tǒng)審計風險的特征不可控性渠道多樣性信息系統(tǒng)的數(shù)據(jù)處理相對集中高效，數(shù)據(jù)存儲的電子化和數(shù)據(jù)傳輸?shù)木W(wǎng)絡化使得內(nèi)部控制主要以計算機系統(tǒng)內(nèi)部控制為主。而系統(tǒng)自身的運行有效、控制失靈等安全隱患也造成了審計風險的不可控性。在信息系統(tǒng)審計中，由于所處的信息環(huán)境不同，信息使用者不再是只關注審計人員所提供的信息，而是會從不同的渠道獲取同種類型的信息從而進行相互印證。因此，信息系統(tǒng)審計的信息披露渠道較財務審計更豐富、更完善、更多樣化。審計信息披露的渠道多樣性造就了審計風險的渠道多樣性。06信息系統(tǒng)審計風險與防范風險的措施固有風險的防范管理層對固有風險的認識程度是降低固有風險的關鍵，因此需要通過與被審計單位相關人員的訪談，充分了解被審計單位的信息化環(huán)境。通過了解和識別固有風險，制定相應的策略和機制。防范固有風險一般采取以下幾種措施。(1)進行詳細的審前調查。審計人員不僅要了解被審計單位內(nèi)部控制的相關制度和措施，還可通過閱讀技術文檔和操作手冊，詳細掌握信息系統(tǒng)所設定的操作流程，并發(fā)放信息系統(tǒng)調查表，對系統(tǒng)模塊框架進行實際觀察，印證各流程業(yè)務之間的銜接。(2)加強信息資產(chǎn)管理。信息資產(chǎn)要通過表單進行管理，讓所有信息資產(chǎn)都處于可控狀態(tài)。(3)對信息系統(tǒng)所產(chǎn)生的數(shù)據(jù)資料的真實性、完整性和合法性進行評價，防止或揭露信息失真的情況。06信息系統(tǒng)審計風險與防范風險的措施固有風險的防范(4)加強內(nèi)外安全控制機制。建立有效的數(shù)據(jù)信息使用和存儲控制機制，降低數(shù)據(jù)信息被盜取、篡改和丟失的可能性。(5)建立安全可靠的數(shù)據(jù)傳輸通道。為了保護信息的安全傳輸，應建立相對開放、安全級別較高的專用局域網(wǎng)，并合理設置多層加密網(wǎng)關和防火墻。(6)數(shù)據(jù)輸入校驗。在系統(tǒng)設計時應設置輸入準確性校驗程序，以確保有效數(shù)據(jù)輸入的準確性。(7)審計人員應掌握信息系統(tǒng)審核的重要環(huán)節(jié)，了解主要業(yè)務流程。要全面了解各個業(yè)務流程模塊的內(nèi)部邏輯，以及各個模塊的總體框架和信息交互，尤其是對其業(yè)務流程和數(shù)據(jù)流程要有整體了解。06信息系統(tǒng)審計風險與防范風險的措施控制風險的防范控制風險是由內(nèi)部控制制度不完善或內(nèi)部控制制度執(zhí)行不嚴造成的。為了防范控制風險，應積極開展事前、事中和事后審計。防范控制風險一般采取的措施有以下幾種。(1)評價信息系統(tǒng)是否建立了合理的流程及控制體系，是否建立了相應的補償控制措施，以分散風險，防患于未然。(2)評價信息系統(tǒng)的嚴密完善性，確保計算機信息系統(tǒng)運行后數(shù)據(jù)處理結果的真實性和正確性。(3)審查系統(tǒng)的運行情況。對信息系統(tǒng)在輸入、處理、輸出過程中的運行情況進行審查。06信息系統(tǒng)審計風險與防范風險的措施控制風險的防范(4)按照崗位職責、業(yè)務流程的要求，明確訪問和操作權限的分配，以正確行使職權。關鍵崗位的權限密碼要定期修改。對剛入職或離職的人員權限要及時分配或收回。重視對系統(tǒng)訪問日志的檢查，及時發(fā)現(xiàn)越權訪問或操作的行為。(5)審查信息系統(tǒng)的運行環(huán)境，查看是否建立了一套檢測病毒的控制措施。(6)審查是否建立了安全的網(wǎng)絡監(jiān)控機制，以降低外部風險。首先，為具有外部連接權限的用戶建立身份驗證機制，以確保只有授權用戶才能登錄和訪問。其次，建立強制路徑，控制用戶終端和網(wǎng)絡服務器之間的路徑。最后，加強遠程診斷端口的保護。(7)審查人員素質。查看是否建立了一個能夠提升員工綜合素質的控制措施體系。06信息系統(tǒng)審計風險與防范風險的措施檢查風險的防范為了防范檢查風險，審計人員要在充分了解被審計單位的業(yè)務流程和信息流程的基礎上，有效識別每個風險點。防范檢查風險一般采取的措施有以下幾種。(1)識別重要信息資產(chǎn)。向管理部門索要詳細的信息資產(chǎn)清單，并對信息資產(chǎn)進行分類。按類型分類，如分為數(shù)據(jù)與文檔、書面文件、軟件資產(chǎn)、實物資產(chǎn)和人員等，或者按照敏感性及重要性分級，如分為高、中、低或其他級別。(2)建立信息系統(tǒng)內(nèi)部審計機構。目的在于加強對信息系統(tǒng)風險控制的內(nèi)部管理和監(jiān)督。(3)確定合理的檢驗順序。按照重要性原則，依次進行以下檢查：信息系統(tǒng)防范控制檢查、信息系統(tǒng)實體檢查、信息系統(tǒng)安全管理控制機制檢查、網(wǎng)絡安全檢查、財務核算檢查。06信息系統(tǒng)審計風險與防范風險的措施檢查風險的防范(4)建立健全信息系統(tǒng)審計法律、法規(guī)和標準體系。在信息系統(tǒng)環(huán)境下，審計對象、技術和方法都發(fā)生了變化，傳統(tǒng)的審計準則已不能完全適用于當前的審計工作。然而，我國尚未制定和頒布相關的信息系統(tǒng)審計標準和法律。在國際上，ISACA等組織發(fā)布的信息系統(tǒng)審計標準是國際通用的信息系統(tǒng)標準，包括審計標準、審計指南和審計程序及相關規(guī)范。我國可以借鑒國際信息系統(tǒng)審計的實踐經(jīng)驗，同時結合國內(nèi)注冊會計師的管理情況，制定符合本國國情的信息系統(tǒng)審計準則和法律，從而為降低信息系統(tǒng)審計風險提供有力保障。(5)改進審計手段。選擇有效的審計軟件，進行科學抽樣，將審計方法使用不當帶來的風險降到最低。在對系統(tǒng)進行測試時，應根據(jù)審計成本和審計重要性原則來選擇最合適的測試方法。(6)采用先進的審計技術和方法。應用先進的審計技術和方法可以提高審計效率和審計質量。審計人員需要熟練掌握最新的技術方法來獲得足夠和適當?shù)膶徍俗C據(jù)，以實現(xiàn)審核目標。先進的信息系統(tǒng)審計技術包括相關的安全審計技術、數(shù)據(jù)挖掘技術和信息系統(tǒng)審計證據(jù)生成技術等。識別重要性水平0501識別重要性水平重要性水平主要從以下幾個方面進行考察：(1)以往的信息系統(tǒng)審計經(jīng)驗；(2)內(nèi)部控制與風險評估結果；(3)信息系統(tǒng)規(guī)模和應用的程度；(4)經(jīng)營管理業(yè)務對信息系統(tǒng)的依賴度；(5)與常規(guī)審計重點高度相關或與被審計單位核心業(yè)務高度相關的信息系統(tǒng)；(6)所在行業(yè)對信息系統(tǒng)的依賴度(如上/下游企業(yè)對信息交換或對接的要求程度)(7)因改變經(jīng)營管理模式、開拓新業(yè)務等情況需要更換或升級現(xiàn)有信息系統(tǒng)的難易程度；(8)系統(tǒng)設計文檔齊全，且在信息系統(tǒng)審計小組能力范圍內(nèi)的信息系統(tǒng)。確定審計依據(jù)0601確定審計依據(jù)信息系統(tǒng)審計的依據(jù)主要包含以下幾個。(1)通用的信息系統(tǒng)審計準則和標準體系，包括職業(yè)準則、ISACA公告和職業(yè)道德規(guī)范。職業(yè)準則可歸類為：審計規(guī)章、獨立性、職業(yè)道德及規(guī)范、專業(yè)能力、規(guī)劃、審計工作的執(zhí)行、報告、期后審計。(2)國內(nèi)監(jiān)管部門發(fā)布的審計準則或規(guī)范性文件。例如，中國內(nèi)部審計協(xié)會發(fā)布的《第2203號內(nèi)部審計具體準則——信息系統(tǒng)審計》和《第3205號內(nèi)部審計實務指南信息系統(tǒng)審計》。此外，銀保監(jiān)會等行業(yè)監(jiān)管部門均發(fā)布了相關規(guī)范性文件或審計實務指南。01確定審計依據(jù)(3)信息系統(tǒng)的控制目標。例如，ISACA自1996年開始陸續(xù)公布的COBIT被國際上公認是最先進、最權威的安全與信息技術管理和控制的標準。(4)委托方的系統(tǒng)需求和業(yè)務規(guī)定。(5)其他法律及規(guī)定。每個組織不論規(guī)模大小或屬于何種產(chǎn)業(yè)，都需要遵守政府或外部對與計算機系統(tǒng)運作、控制及計算機、程序、信息的使用情況等有關的規(guī)定或要求，對于一向受嚴格管制的行業(yè)，尤其要遵守。制訂審計計劃0701總體計劃總體計劃包括：掌握被審計單位的基本情況；明確審計目的、審計范圍及策略；重要問題及重要審計領域；工作進度及時間；估計完成審計需要的資源和技巧，以及合理進行審計小組成員分工；重要性確定及風險評估等。信息系統(tǒng)審計總體計劃示例如表3-3所示。01總體計劃02具體計劃具體計劃包括具體審計目標、審計程序、執(zhí)行人員及時間限制等。現(xiàn)場審計時間安排(主機及網(wǎng)絡安全主題)示例如表3-4所示。02具體計劃在確定審計范圍時，應與被審計單位和審計委托方舉行正式會議，并邀請被審計單位的高層領導參加，以確定審計范圍和關鍵內(nèi)容，制定時間表，說明審計方法，確保審計工作的順利實施。現(xiàn)場審計步驟圖如圖3-3所示。收集審計證據(jù)0801符合性測試符合性測試的方法符合性測試的程序分析被審計單位控制程序的符合程度，將實際控制程序和補償控制措施與規(guī)定程序進行比較，檢查文件、系統(tǒng)日志、數(shù)據(jù)庫日志、權限設置和系統(tǒng)配置資料，并訪談相關人員，以判斷控制措施是否被正確、持續(xù)地執(zhí)行。(1)測試規(guī)定的控制程序是否按照要求持續(xù)一致地工作。獲取所選控制項目和階段的直接或間接證據(jù)。(2)使用直接或間接的證據(jù)，確保被審計的項目和階段始終符合相關控制程序的要求。(3)對過程或結果的充分性進行有限的審核。為了證明信息系統(tǒng)的業(yè)務和數(shù)據(jù)流程是正確合理并有效銜接的，就要確定后續(xù)的實質性測試的程度和其他需要進行的工作。一般來說，只能對那些已被證明有效的控制程序行符合性測試。01符合性測試符合性測試的審計底稿信息系統(tǒng)審計的符合性測試底稿的一般格式如表3-5所示。02實質性測試符合性測試的方法實質性測試的程序實質性測試的方式是實施必要的數(shù)據(jù)測試，如果是下列情況之一就要執(zhí)行大量的實質性測試，否則，可以執(zhí)行有限的實質性測試：(1)沒有任何控制措施是適當?shù)模?2)控制措施經(jīng)評估是不滿意的；(3)符合性測試表明，控制措施不適當或未能一貫執(zhí)行。(1)根據(jù)符合性測試的結果，為了證實事項都得到了有效控制，審計人員需要確定進行實質性測試的事項的范圍、數(shù)量及抽樣方法。(2)根據(jù)前面的方法判斷是否需要大量測試。(3)由于審計人員對每類事項的評價都必須有充足的關于該事項記錄準確性與完整性的審計證據(jù)的支持，因此需要確認所有事項均已經(jīng)被準確記錄的可能性。(4)就樣本而言，判斷是否達到控制目標，并向被審計單位管理層提供最終的保證或不保證。02實質性測試實質性測試的審計記錄信息系統(tǒng)審計的實質性測試根據(jù)測試內(nèi)容的不同，所用的測試方法也不盡相同。例如，針對數(shù)據(jù)庫的測試可采用SQL數(shù)據(jù)庫查詢法，針對系統(tǒng)功能的測試可采用穿行測試法等。因此，實質性測試的記錄也有所差異。下面列出了兩種常用的測試底稿的一般格式，分別如表3-6和表3-7所示。02實質性測試實質性測試的審計記錄出具審計報告0901審計底稿的復核首先，在提交審計報告之前，項目組成員需要對審計底稿開展復核。信息系統(tǒng)審計項目一般采用三級復核流程。第一級復核：由負責應用控制和數(shù)據(jù)質量管理控制的信息系統(tǒng)審計項目組長對本小組的審計底稿進行復核。這一級復核是評判已經(jīng)完成了的審計工作，小組成員對編寫的審計底稿達成一致意見。第二級復核：各小組復核工作完成之后，由外部咨詢公司對審計底稿進行復核，對審計底稿中記錄的事項實行把關。第三級復核：由負責信息系統(tǒng)審計項目的經(jīng)理對審計程序是否恰當、審計底稿是否充實、審計過程是否全面、是否存在重大缺漏進行復核。02審計事實的確認在完成審計報告前，審計人員通常需要與被審計單位進一步對審計發(fā)現(xiàn)的關鍵問題，以及其對應的審計依據(jù)進行確認，所采用的審計事實確認書的一般格式如表3-8所示。03信息系統(tǒng)審計報告的內(nèi)容審計工作底稿審計問題匯總報告審計工作底稿包括審計人員對信息系統(tǒng)進行的有效性測試和實質性測試所發(fā)現(xiàn)的內(nèi)部控制問題、風險評估，以及對信息系統(tǒng)進行測試的人員、時間和地點的記錄。這份報告主要記錄審計過程中發(fā)現(xiàn)的影響較大的內(nèi)部控制問題，以及針對這些問題提出的改進建議。一些低風險問題一般不會在這份報告中提及。信息系統(tǒng)審計缺陷匯總表示例如表3-9所示。03信息系統(tǒng)審計報告的內(nèi)容03信息系統(tǒng)審計報告的內(nèi)容專題分析報告審計管理建議書在實際的信息系統(tǒng)審計工作中，還可以根據(jù)環(huán)境變化的客觀條件調整審計報告的具體內(nèi)容。例如，針對項目中某一問題的專題分析報告，提出緊急改進方案或一般改進方案。審計人員將發(fā)現(xiàn)的內(nèi)部控制問題與制定的內(nèi)部控制標準進行比較，分析對信息系統(tǒng)影響較大的內(nèi)部控制問題，最后提出相關改進建議。審計總結報告審計總結報告將對本次信息系統(tǒng)審計進行總體概述。審計總結報告說明了審計范圍、審計目標、審計期間和所執(zhí)行的審計工作的性質和范圍；審計過程中采用了哪些計算機輔助審計技術和信息系統(tǒng)審計技術，以及與之有關的審計結果。審計人員在審計過程中受到被審計單位條件或客觀環(huán)境的限制，而對某些重要事項不能獲得充分完整的資料，也應在審計報告中予以說明。審計總結報告還要對存在高風險級別的控制點進行說明，提出相應的完善提議。最后，審計總結報告還要對信息系統(tǒng)審計后續(xù)階段的工作進行說明。審計結束1001審計結束審計完成后，應召開正式會議，與被審計單位最高管理層交流審計結果，提出改進建議。這能確保最高管理層更好地理解審計內(nèi)容，提高對審計建議的接受度，并為被審計單位提供表達意見的機會。審計機構簽署審計報告并不意味著審計過程的終結，對審計項目展開后續(xù)的跟蹤檢查也是信息系統(tǒng)審計的重要階段之一。審計人員針對在信息系統(tǒng)審計過程中發(fā)現(xiàn)的信息系統(tǒng)重大問題和漏洞，可對被審計單位所采取的糾正措施及其效果進行后續(xù)審計。審計部門應該將后續(xù)審計放到審計計劃中，并對人員、時間及分工進行保證。后續(xù)審計不是一次新的審計，而是本次審計的一部分。