信息系統(tǒng)審計(jì)方法和流程

信息系統(tǒng)審計(jì)方法和流程信息系統(tǒng)審計(jì)總體要求一、信息系統(tǒng)審計(jì)基本概念信息系統(tǒng)審計(jì)是指內(nèi)部審計(jì)機(jī)構(gòu)和內(nèi)部審計(jì)人員對(duì)組織信息系統(tǒng)建設(shè)的合法合規(guī)性、內(nèi)部控制的有效性、信息系統(tǒng)的安全性、業(yè)務(wù)流程的合理有效性、信息系統(tǒng)運(yùn)行的經(jīng)濟(jì)性所進(jìn)行的檢查與評(píng)價(jià)活動(dòng)。信息系統(tǒng)審計(jì)包括審計(jì)計(jì)劃、審計(jì)依據(jù)、審計(jì)方法、審計(jì)技術(shù)、審計(jì)人員配置、審計(jì)實(shí)施流程、審計(jì)報(bào)告以及審計(jì)質(zhì)量控制等內(nèi)容。內(nèi)部審計(jì)機(jī)構(gòu)應(yīng)建立信息系統(tǒng)審計(jì)的相應(yīng)組織管理體系，對(duì)信息系統(tǒng)審計(jì)的流程和質(zhì)量進(jìn)行管控，并依照規(guī)章制度開(kāi)展信息系統(tǒng)審計(jì)。二、信息系統(tǒng)審計(jì)一般原則組織應(yīng)建立信息系統(tǒng)審計(jì)組織管理體系，并根據(jù)有關(guān)制度、標(biāo)準(zhǔn)和要求開(kāi)展信息系統(tǒng)審計(jì)活動(dòng)。其一般原則包括：1.信息系統(tǒng)審計(jì)需結(jié)合所在組織的戰(zhàn)略目標(biāo)、業(yè)務(wù)目標(biāo)、治理要求和管理授權(quán)開(kāi)展審計(jì)。2.信息系統(tǒng)審計(jì)應(yīng)合理保證信息系統(tǒng)的運(yùn)行符合法律法規(guī)以及相關(guān)監(jiān)管要求。3.信息系統(tǒng)審計(jì)應(yīng)在充分了解組織信息系統(tǒng)治理、管理和應(yīng)用的基礎(chǔ)上做出客觀(guān)評(píng)價(jià)。4.信息系統(tǒng)審計(jì)應(yīng)結(jié)合組織的業(yè)務(wù)流程、信息系統(tǒng)及應(yīng)用數(shù)據(jù)開(kāi)展審計(jì)工作。5.信息系統(tǒng)審計(jì)應(yīng)不斷提升內(nèi)部審計(jì)人員技能，嚴(yán)格履行審計(jì)程序，提高審計(jì)工作質(zhì)量。三、內(nèi)部審計(jì)機(jī)構(gòu)在組織信息系統(tǒng)審計(jì)中的職責(zé)和義務(wù)包括但不限于：1.編制組織信息系統(tǒng)審計(jì)中長(zhǎng)期規(guī)劃。2.編制組織信息系統(tǒng)審計(jì)年度計(jì)劃、預(yù)算及審計(jì)資源計(jì)劃。3.制定組織的信息系統(tǒng)審計(jì)相關(guān)制度及流程等。4.按信息系統(tǒng)審計(jì)規(guī)章制度、有計(jì)劃地開(kāi)展相關(guān)業(yè)務(wù)。5.承擔(dān)對(duì)信息系統(tǒng)控制設(shè)計(jì)和執(zhí)行有效性評(píng)估的責(zé)任。6.做好與組織內(nèi)、外相關(guān)機(jī)構(gòu)和人員的溝通協(xié)調(diào)工作。四、內(nèi)部審計(jì)機(jī)構(gòu)在信息系統(tǒng)審計(jì)過(guò)程中的權(quán)力包括但不限于：1.有權(quán)參加或者列席信息系統(tǒng)治理及管理的重要會(huì)議。2.有權(quán)進(jìn)行現(xiàn)場(chǎng)實(shí)物勘查，或就與審計(jì)事項(xiàng)有關(guān)的問(wèn)題對(duì)有關(guān)機(jī)構(gòu)和個(gè)人進(jìn)行調(diào)查、質(zhì)詢(xún)和取證。3.若審計(jì)過(guò)程中審計(jì)范圍受到限制影響審計(jì)目標(biāo)和計(jì)劃的實(shí)現(xiàn)，有權(quán)就范圍受到的限制及其潛在影響與治理主體進(jìn)行溝通。4.有權(quán)向治理主體提出提高信息系統(tǒng)績(jī)效的改進(jìn)意見(jiàn)和建議。5.有權(quán)對(duì)審計(jì)發(fā)現(xiàn)的違反信息系統(tǒng)法律、法規(guī)等規(guī)定或內(nèi)部管理制度行為予以制止，并對(duì)相關(guān)機(jī)構(gòu)和人員提出責(zé)任追究或者處罰建議。信息系統(tǒng)審計(jì)目標(biāo)與特點(diǎn)一、信息系統(tǒng)審計(jì)的目標(biāo)（一）信息系統(tǒng)審計(jì)總體目標(biāo)通過(guò)對(duì)信息系統(tǒng)的審計(jì)，揭示信息系統(tǒng)面臨的風(fēng)險(xiǎn)、評(píng)價(jià)信息系統(tǒng)技術(shù)的適用性、創(chuàng)新性、信息系統(tǒng)投資的經(jīng)濟(jì)性、信息系統(tǒng)的安全性、運(yùn)行的有效性等內(nèi)容，合理保證信息系統(tǒng)安全、真實(shí)、有效、經(jīng)濟(jì)。（二）信息系統(tǒng)審計(jì)的具體目標(biāo)1.保證信息系統(tǒng)建設(shè)符合國(guó)家有關(guān)法律法規(guī)和組織內(nèi)部制度。保證信息系統(tǒng)建設(shè)方案、規(guī)劃內(nèi)容充分體現(xiàn)組織的戰(zhàn)略目標(biāo)，對(duì)信息系統(tǒng)建設(shè)、應(yīng)用與公司的經(jīng)營(yíng)目標(biāo)的一致性作出評(píng)價(jià)。2.信息系統(tǒng)審計(jì)應(yīng)促進(jìn)信息系統(tǒng)在購(gòu)置、開(kāi)發(fā)、使用、維護(hù)過(guò)程中，以及數(shù)據(jù)在生產(chǎn)、加工、修改、轉(zhuǎn)移、刪除等處理中都必須符合國(guó)家相關(guān)法律法規(guī)、準(zhǔn)則、組織內(nèi)部規(guī)定等，并應(yīng)促進(jìn)信息系統(tǒng)有效實(shí)現(xiàn)既定業(yè)務(wù)目標(biāo)。3.提高組織信息系統(tǒng)的可靠性、穩(wěn)定性、安全性，數(shù)據(jù)處理的完整性和準(zhǔn)確性。二、信息系統(tǒng)審計(jì)的特點(diǎn)信息系統(tǒng)審計(jì)除了具備傳統(tǒng)審計(jì)的權(quán)威性、客觀(guān)性、公正性等特點(diǎn)之外，還具備一些獨(dú)有的特點(diǎn)，如：信息系統(tǒng)審計(jì)可以突破物理區(qū)域限制，開(kāi)展遠(yuǎn)程非現(xiàn)場(chǎng)審計(jì)；信息系統(tǒng)審計(jì)要求審計(jì)人員具備較高的信息化知識(shí)和技能；信息系統(tǒng)審計(jì)的內(nèi)容更加廣泛；信息系統(tǒng)工作難以量化，審計(jì)評(píng)價(jià)時(shí)需要定性與定量相結(jié)合等。信息系統(tǒng)審計(jì)內(nèi)容一、信息系統(tǒng)審計(jì)內(nèi)容概述信息系統(tǒng)審計(jì)對(duì)象，包括操作系統(tǒng)、主機(jī)、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)、應(yīng)用軟件、數(shù)據(jù)、管理制度等。信息系統(tǒng)審計(jì)內(nèi)容主要包括對(duì)組織層面信息技術(shù)控制、信息技術(shù)一般性控制及業(yè)務(wù)流程層面相關(guān)應(yīng)用控制的檢查和評(píng)價(jià)。二、對(duì)組織層面信息技術(shù)控制的審計(jì)組織層面信息技術(shù)控制審計(jì)的內(nèi)容包括：（一）控制環(huán)境內(nèi)部審計(jì)人員應(yīng)當(dāng)關(guān)注組織的信息技術(shù)戰(zhàn)略規(guī)劃與業(yè)務(wù)布局的契合度、信息技術(shù)治理制度體系建設(shè)、信息技術(shù)部門(mén)的組織架構(gòu)、信息技術(shù)治理的相關(guān)職權(quán)與責(zé)任分配、信息技術(shù)的人力資源管理、對(duì)用戶(hù)的教育和培訓(xùn)等方面。（二）風(fēng)險(xiǎn)評(píng)估內(nèi)部審計(jì)人員應(yīng)當(dāng)關(guān)注組織在風(fēng)險(xiǎn)評(píng)估總體架構(gòu)中關(guān)于信息技術(shù)風(fēng)險(xiǎn)管理流程，信息資產(chǎn)的分類(lèi)及信息資產(chǎn)所有者的職責(zé)，以及對(duì)信息系統(tǒng)的風(fēng)險(xiǎn)識(shí)別方法、風(fēng)險(xiǎn)評(píng)價(jià)標(biāo)準(zhǔn)、風(fēng)險(xiǎn)應(yīng)對(duì)措施。（三）控制活動(dòng)內(nèi)部審計(jì)人員應(yīng)當(dāng)關(guān)注信息系統(tǒng)管理的方法和程序，主要包括職責(zé)分工控制、授權(quán)控制、審核批準(zhǔn)控制、系統(tǒng)保護(hù)控制、應(yīng)急處置控制、績(jī)效考評(píng)控制等。（四）信息與溝通內(nèi)部審計(jì)人員應(yīng)當(dāng)關(guān)注組織決策層的信息溝通模式，信息系統(tǒng)對(duì)財(cái)務(wù)、業(yè)務(wù)流程的支持度，信息技術(shù)政策、信息安全制度傳達(dá)與溝通等方面。（五）內(nèi)部監(jiān)督內(nèi)部審計(jì)人員應(yīng)當(dāng)關(guān)注組織的監(jiān)控管理報(bào)告系統(tǒng)、監(jiān)控反饋、跟蹤處理程序以及對(duì)信息技術(shù)內(nèi)部控制自我評(píng)估機(jī)制等方面。三、對(duì)信息系統(tǒng)一般性控制的審計(jì)信息系統(tǒng)一般性控制是確保組織信息系統(tǒng)正常運(yùn)行的制度和工作程序，目標(biāo)是保護(hù)數(shù)據(jù)與應(yīng)用程序的安全，并確保異常中斷情況下計(jì)算機(jī)信息系統(tǒng)能持續(xù)運(yùn)行。信息系統(tǒng)一般性控制包括硬件控制、軟件控制、訪(fǎng)問(wèn)控制、職責(zé)分離等關(guān)鍵控制。審計(jì)人員應(yīng)當(dāng)采用適當(dāng)?shù)姆椒?、合理的技術(shù)手段對(duì)信息系統(tǒng)建設(shè)的合規(guī)合法、信息系統(tǒng)的安全管理、訪(fǎng)問(wèn)控制、基礎(chǔ)架構(gòu)、數(shù)據(jù)保護(hù)以及災(zāi)難恢復(fù)等方面開(kāi)展審計(jì)。信息系統(tǒng)一般性控制審計(jì)應(yīng)當(dāng)重點(diǎn)考慮下列控制活動(dòng)：（一）系統(tǒng)開(kāi)發(fā)和采購(gòu)審計(jì)內(nèi)部審計(jì)人員應(yīng)當(dāng)關(guān)注組織的應(yīng)用系統(tǒng)及相關(guān)系統(tǒng)基礎(chǔ)架構(gòu)的開(kāi)發(fā)和采購(gòu)的授權(quán)審批，系統(tǒng)開(kāi)發(fā)所制定的系統(tǒng)目標(biāo)以及預(yù)期功能是否合理，是否能夠滿(mǎn)足組織目標(biāo)；系統(tǒng)開(kāi)發(fā)的方法，開(kāi)發(fā)環(huán)境、測(cè)試環(huán)境、生產(chǎn)環(huán)境的分離情況，系統(tǒng)的測(cè)試、審核、驗(yàn)收、移植到生產(chǎn)環(huán)境等環(huán)節(jié)的具體活動(dòng)。對(duì)應(yīng)用系統(tǒng)的開(kāi)發(fā)與實(shí)施過(guò)程所采用的方法和流程進(jìn)行評(píng)價(jià)，以確保其滿(mǎn)足組織目標(biāo)。評(píng)估擬定的系統(tǒng)開(kāi)發(fā)或采購(gòu)方案，確保其符合組織戰(zhàn)略目標(biāo);評(píng)估項(xiàng)目管理過(guò)程，確保組織在滿(mǎn)足成本效益原則的基礎(chǔ)上實(shí)現(xiàn)風(fēng)險(xiǎn)管理框架下的組織業(yè)務(wù)目標(biāo)，確保項(xiàng)目按計(jì)劃開(kāi)展，并有相應(yīng)文檔充分支持;評(píng)估相關(guān)信息系統(tǒng)的控制機(jī)制，確保其符合組織的相關(guān)制度規(guī)定;評(píng)估系統(tǒng)的開(kāi)發(fā)、采購(gòu)和測(cè)試、維護(hù)，對(duì)系統(tǒng)實(shí)施定期檢查，確保其持續(xù)滿(mǎn)足組織目標(biāo)。（二）系統(tǒng)運(yùn)行審計(jì)內(nèi)部審計(jì)人員應(yīng)當(dāng)關(guān)注組織的信息技術(shù)資產(chǎn)管理、系統(tǒng)容量管理、系統(tǒng)物理環(huán)境控制、網(wǎng)絡(luò)環(huán)境資源配置、系統(tǒng)和數(shù)據(jù)備份及恢復(fù)管理、問(wèn)題管理和系統(tǒng)的日常運(yùn)行管理等內(nèi)容。一般控制措施包括但不限于保證數(shù)據(jù)安全、保護(hù)計(jì)算機(jī)應(yīng)用程序正常運(yùn)行、防止系統(tǒng)被非法侵入、保證在錯(cuò)誤操作或意外中斷情況下的持續(xù)運(yùn)行等。評(píng)估組織在信息系統(tǒng)運(yùn)行日常操作以及信息系統(tǒng)基礎(chǔ)設(shè)施管理的有效性及效率性，確保其支持組織的目標(biāo)；評(píng)估信息系統(tǒng)服務(wù)相關(guān)實(shí)務(wù)，確保內(nèi)部和外部服務(wù)提供商的服務(wù)等級(jí)是明確并可控的;評(píng)估運(yùn)行管理，保證信息系統(tǒng)支持功能有效滿(mǎn)足業(yè)務(wù)需求;評(píng)估數(shù)據(jù)管理，確保數(shù)據(jù)庫(kù)的完整性和最優(yōu)化;評(píng)估性能的發(fā)揮及監(jiān)控工具與技術(shù)應(yīng)用;評(píng)估問(wèn)題和事件管理，確保所有事件、問(wèn)題和錯(cuò)誤被及時(shí)記錄。（三）系統(tǒng)變更審計(jì)內(nèi)部審計(jì)人員應(yīng)當(dāng)關(guān)注組織的應(yīng)用系統(tǒng)及相關(guān)系統(tǒng)基礎(chǔ)架構(gòu)的變更、參數(shù)設(shè)置變更的授權(quán)與審批，變更測(cè)試及移植到生產(chǎn)環(huán)境系統(tǒng)中的流程控制等。評(píng)估變更、配置和發(fā)布管理，確保變更被詳細(xì)記錄。（四）信息安全審計(jì)內(nèi)部審計(jì)人員應(yīng)當(dāng)關(guān)注組織的信息安全管理制度，物理訪(fǎng)問(wèn)及針對(duì)網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)的身份認(rèn)證和邏輯訪(fǎng)問(wèn)管理機(jī)制，系統(tǒng)設(shè)置的職責(zé)分離控制等。內(nèi)部審計(jì)人員對(duì)邏輯、環(huán)境與信息技術(shù)基礎(chǔ)設(shè)施的安全性進(jìn)行評(píng)價(jià)，確保其能支持組織保護(hù)信息資產(chǎn)的需要，防止信息資產(chǎn)在未經(jīng)授權(quán)的情況下被使用、披露、修改、損壞或丟失。評(píng)估邏輯訪(fǎng)問(wèn)控制的設(shè)計(jì)、實(shí)施和監(jiān)控，確保信息資產(chǎn)的機(jī)密性、完整性、有效性和授權(quán)使用合規(guī)性;評(píng)估網(wǎng)絡(luò)框架和信息傳輸?shù)陌踩?評(píng)估環(huán)境控制的設(shè)計(jì)、實(shí)施和監(jiān)控，確保信息資產(chǎn)充分安全。四、對(duì)信息系統(tǒng)應(yīng)用控制的審計(jì)信息系統(tǒng)應(yīng)用控制是指在業(yè)務(wù)流程層面為了合理保證應(yīng)用系統(tǒng)準(zhǔn)確、完整、及時(shí)完成業(yè)務(wù)數(shù)據(jù)的生成、記錄、處理、報(bào)告等功能而設(shè)計(jì)、執(zhí)行的信息技術(shù)控制。對(duì)業(yè)務(wù)流程層面應(yīng)用控制的審計(jì)應(yīng)當(dāng)考慮下列與數(shù)據(jù)輸入、數(shù)據(jù)處理以及數(shù)據(jù)輸出環(huán)節(jié)相關(guān)的控制活動(dòng)：（一）授權(quán)與批準(zhǔn)審計(jì)應(yīng)用程序的訪(fǎng)問(wèn)控制，必須關(guān)注是否有被授權(quán)的使用人才可以訪(fǎng)問(wèn)系統(tǒng)數(shù)據(jù)或執(zhí)行授權(quán)范圍內(nèi)的程序功能，輸入控制是否保證每筆被處理的事務(wù)能夠被正確完整地錄入與編輯，是否只有合法且經(jīng)授權(quán)的信息才能被正確輸入。（二）系統(tǒng)配置控制審計(jì)配置控制主要關(guān)注應(yīng)用系統(tǒng)基礎(chǔ)參數(shù)的設(shè)置與調(diào)整。包括參數(shù)的正確性、審批與授權(quán)、調(diào)整日志等。（三）異常情況報(bào)告和差錯(cuò)報(bào)告審計(jì)信息系統(tǒng)在出現(xiàn)不能正常運(yùn)行、計(jì)算結(jié)果錯(cuò)誤等異常情況時(shí)，系統(tǒng)能否自動(dòng)提醒、處理，接收、保存差錯(cuò)輸出報(bào)告。（四）接口/轉(zhuǎn)換控制審計(jì)應(yīng)對(duì)接口的數(shù)據(jù)流向、數(shù)據(jù)傳輸能力、數(shù)據(jù)轉(zhuǎn)換準(zhǔn)確性等進(jìn)行測(cè)試和檢查，接口/轉(zhuǎn)換能否保證數(shù)據(jù)流通的正確性以及數(shù)據(jù)傳輸能力是否滿(mǎn)足系統(tǒng)功能需求。（五）一致性核對(duì)審計(jì)系統(tǒng)間傳輸時(shí)，需重點(diǎn)檢查傳輸報(bào)告分發(fā)是否建立了相應(yīng)的人工控制環(huán)節(jié)，包括但不限于安全打印、接收簽名、加密、只讀等，以防范非法篡改造成不一致。（六）職責(zé)分離審計(jì)系統(tǒng)數(shù)據(jù)的錄入、修改與審核的職責(zé)分離，關(guān)注對(duì)數(shù)據(jù)進(jìn)行加密和敏感性分級(jí)處理的規(guī)則以及加密方式是否滿(mǎn)足工作需求。（七）系統(tǒng)計(jì)算審計(jì)信息系統(tǒng)對(duì)數(shù)據(jù)計(jì)算的準(zhǔn)確性及計(jì)算效率。（八）其他五、信息系統(tǒng)專(zhuān)項(xiàng)審計(jì)信息系統(tǒng)審計(jì)除上述常規(guī)的審計(jì)內(nèi)容外，內(nèi)部審計(jì)人員還可以根據(jù)組織面臨的特殊風(fēng)險(xiǎn)或者需求，設(shè)計(jì)專(zhuān)項(xiàng)審計(jì)，具體包括但不限于下列領(lǐng)域：（一）信息系統(tǒng)開(kāi)發(fā)實(shí)施項(xiàng)目的專(zhuān)項(xiàng)審計(jì)。（二）信息系統(tǒng)安全專(zhuān)項(xiàng)審計(jì)。（三）信息技術(shù)投資專(zhuān)項(xiàng)審計(jì)。（四）業(yè)務(wù)連續(xù)性的專(zhuān)項(xiàng)審計(jì)。（五）法律、法規(guī)、行業(yè)規(guī)范要求的內(nèi)部控制合規(guī)性專(zhuān)項(xiàng)審計(jì)。（六）其他專(zhuān)項(xiàng)審計(jì)。信息系統(tǒng)審計(jì)程序信息系統(tǒng)審計(jì)程序一般包括審計(jì)準(zhǔn)備、審計(jì)實(shí)施、審計(jì)報(bào)告和后續(xù)審計(jì)四個(gè)階段。一、審計(jì)準(zhǔn)備（一）審前準(zhǔn)備內(nèi)部審計(jì)人員在實(shí)施信息系統(tǒng)審計(jì)前，需要根據(jù)信息系統(tǒng)審計(jì)目標(biāo)，開(kāi)展審前調(diào)查，收集法規(guī)、制度依據(jù)以及其他有關(guān)資料。審前調(diào)查主要了解組織信息系統(tǒng)的治理管理體制、總體架構(gòu)、規(guī)劃和建設(shè)、應(yīng)用管理情況等。具體如下：1.治理、管理體制。主要了解信息系統(tǒng)管理機(jī)構(gòu)設(shè)置、管理職責(zé)、工作流程等。2.系統(tǒng)總體架構(gòu)（1）系統(tǒng)分布。包括系統(tǒng)數(shù)量、規(guī)模和分布，繪制信息系統(tǒng)分布圖。（2）信息系統(tǒng)主要類(lèi)型。（3）各信息系統(tǒng)的基本情況和系統(tǒng)之間的關(guān)聯(lián)關(guān)系。（4）信息系統(tǒng)應(yīng)用覆蓋面及應(yīng)用程度。3.規(guī)劃和建設(shè)情況（1）規(guī)劃：信息系統(tǒng)發(fā)展規(guī)劃以及規(guī)劃、年度計(jì)劃落實(shí)情況。（2）建設(shè)：信息系統(tǒng)建設(shè)程序、投入、管理，了解已完成系統(tǒng)和在建系統(tǒng)。（3）使用：信息系統(tǒng)應(yīng)用管理制度、使用率、應(yīng)用中存在的主要問(wèn)題、困難和矛盾。（二）編制審計(jì)工作方案根據(jù)審前準(zhǔn)備情況，編制信息系統(tǒng)審計(jì)工作方案，方案內(nèi)容包括但不限于被審計(jì)組織信息系統(tǒng)的基本情況。包括信息系統(tǒng)項(xiàng)目建設(shè)及應(yīng)用情況、審計(jì)目的、審計(jì)依據(jù)、審計(jì)對(duì)象與范圍、審計(jì)內(nèi)容重點(diǎn)及方法、審計(jì)步驟與時(shí)間安排、審計(jì)組與人員分工等。在審計(jì)組組成環(huán)節(jié)，審計(jì)部門(mén)可以借助外部專(zhuān)家的力量，在審計(jì)組中應(yīng)當(dāng)有具備信息技術(shù)經(jīng)驗(yàn)和知識(shí)的專(zhuān)兼職審計(jì)專(zhuān)家，便于補(bǔ)充提高審計(jì)組的勝任能力。二、審計(jì)實(shí)施審計(jì)實(shí)施是內(nèi)部審計(jì)人員依據(jù)審計(jì)計(jì)劃實(shí)施現(xiàn)場(chǎng)審計(jì)的過(guò)程。內(nèi)部審計(jì)人員應(yīng)結(jié)合審前準(zhǔn)備了解的內(nèi)容，按照被審計(jì)組織的信息化環(huán)境、業(yè)務(wù)流程、內(nèi)控制度等方面的風(fēng)險(xiǎn)，明確具體項(xiàng)目審計(jì)目標(biāo)、細(xì)化審計(jì)內(nèi)容，突出審計(jì)重點(diǎn)。實(shí)施階段主要應(yīng)完成以下工作:（一）了解評(píng)估被審計(jì)組織的信息系統(tǒng)內(nèi)部控制1.收集被審計(jì)組織信息系統(tǒng)的內(nèi)部控制管理制度及流程，對(duì)被審計(jì)組織相關(guān)人員進(jìn)行訪(fǎng)談，了解組織的信息系統(tǒng)決策及管理政策、方法、控制活動(dòng)主要內(nèi)容包括但不限于：（1）信息系統(tǒng)內(nèi)部控制環(huán)境。（2）風(fēng)險(xiǎn)管理。（3）控制活動(dòng)。（4）信息與溝通。（5）內(nèi)部監(jiān)督。2.開(kāi)展控制測(cè)試內(nèi)部審計(jì)人員開(kāi)展控制測(cè)試評(píng)價(jià)信息系統(tǒng)的內(nèi)部控制要素，以確定組織能接受的控制風(fēng)險(xiǎn)。驗(yàn)證控制措施的執(zhí)行是否符合管理政策和程序，為審計(jì)提供合理的保證。信息系統(tǒng)控制測(cè)試主要包括控制環(huán)境測(cè)試和功能測(cè)試：（1）組織管理的控制測(cè)試。（2）系統(tǒng)建設(shè)管理的控制測(cè)試。（3）系統(tǒng)資源管理的控制測(cè)試。（4）系統(tǒng)環(huán)境管理的控制測(cè)試。（5）系統(tǒng)運(yùn)行管理的控制測(cè)試。（6）系統(tǒng)網(wǎng)絡(luò)和通信管理的控制測(cè)試。（7）系統(tǒng)數(shù)據(jù)庫(kù)管理的控制測(cè)試。（8）系統(tǒng)輸入、處理、輸出的控制測(cè)試。（9）其他。3.初步評(píng)估信息系統(tǒng)內(nèi)部控制根據(jù)對(duì)組織信息系統(tǒng)的控制測(cè)試情況，選擇組織信息系統(tǒng)的重點(diǎn)業(yè)務(wù)流程，對(duì)固有風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)進(jìn)行初步評(píng)估，對(duì)信息系統(tǒng)控制有效性作出評(píng)價(jià)。（二）開(kāi)展實(shí)質(zhì)性測(cè)試內(nèi)部審計(jì)人員應(yīng)根據(jù)控制測(cè)試結(jié)果確定實(shí)質(zhì)性測(cè)試的性質(zhì)、時(shí)間和范圍。組織層面評(píng)價(jià)內(nèi)容包括組織架構(gòu)、權(quán)責(zé)分配、發(fā)展戰(zhàn)略、人力資源、培訓(xùn)與考核等。對(duì)組織信息系統(tǒng)開(kāi)展風(fēng)險(xiǎn)評(píng)估時(shí)，結(jié)合相關(guān)規(guī)范中有關(guān)風(fēng)險(xiǎn)評(píng)估的要求，重點(diǎn)關(guān)注內(nèi)部和外部風(fēng)險(xiǎn)信息的搜集、利用風(fēng)險(xiǎn)識(shí)別機(jī)制按照風(fēng)險(xiǎn)評(píng)估的程序、方法，評(píng)估風(fēng)險(xiǎn)等級(jí)并檢查應(yīng)對(duì)策略的有效性。對(duì)信息與溝通審計(jì)時(shí)，應(yīng)結(jié)合組織信息與溝通的相關(guān)管理制度，對(duì)信息收集、處理和傳遞的及時(shí)性，反舞弊機(jī)制的健全性，財(cái)務(wù)報(bào)告的真實(shí)性，信息系統(tǒng)的安全性，以及利用信息系統(tǒng)實(shí)施內(nèi)部控制的有效性等進(jìn)行審查和評(píng)價(jià)。對(duì)內(nèi)部監(jiān)督審計(jì)時(shí)應(yīng)結(jié)合組織內(nèi)部監(jiān)督制度，對(duì)內(nèi)部監(jiān)督機(jī)制的有效性進(jìn)行認(rèn)定和評(píng)價(jià)。重點(diǎn)關(guān)注內(nèi)部審計(jì)機(jī)構(gòu)等監(jiān)督機(jī)構(gòu)是否在內(nèi)部控制設(shè)計(jì)和運(yùn)行中有效發(fā)揮監(jiān)督作用，內(nèi)部控制缺陷認(rèn)定是否客觀(guān)，整改方案措施是否得當(dāng)，并有效整改。內(nèi)部控制檢查評(píng)價(jià)方法主要包括：個(gè)別訪(fǎng)談法、調(diào)查問(wèn)卷法、比較分析法、標(biāo)桿法、穿行測(cè)試法、抽樣法、實(shí)地查驗(yàn)法、重新執(zhí)行法、專(zhuān)題討論會(huì)法等。內(nèi)部控制檢查評(píng)價(jià)應(yīng)綜合運(yùn)用上述方法，充分利用信息系統(tǒng)，實(shí)施在線(xiàn)檢查、監(jiān)控。三、審計(jì)報(bào)告信息系統(tǒng)審計(jì)報(bào)告階段包括整理加工審計(jì)工作底稿、編寫(xiě)審計(jì)報(bào)告、做出審計(jì)結(jié)論。內(nèi)部審計(jì)人員應(yīng)運(yùn)用專(zhuān)業(yè)判斷,綜合分析所收集到的相關(guān)證據(jù),以經(jīng)過(guò)核實(shí)的審計(jì)證據(jù)為依據(jù)，形成審計(jì)意見(jiàn)和結(jié)論、編制審計(jì)底稿、出具審計(jì)報(bào)告。四、后續(xù)審計(jì)后續(xù)審計(jì)主要通過(guò)監(jiān)督組織整改的情況，督促被審計(jì)組織改進(jìn)信息系統(tǒng)治理，完善相關(guān)的規(guī)章制度、流程等,以持續(xù)提高信息系統(tǒng)治理、管理水平。對(duì)審計(jì)中發(fā)現(xiàn)的重大問(wèn)題和控制缺陷，整改效果不明顯的信息系統(tǒng)項(xiàng)目開(kāi)展后續(xù)審計(jì)。信息系統(tǒng)審計(jì)方法與工具一、信息系統(tǒng)主要審計(jì)方法信息系統(tǒng)審計(jì)方法是為了完成信息系統(tǒng)審計(jì)任務(wù)所采取的手段。在信息系統(tǒng)審計(jì)工作中，要完成每一項(xiàng)審計(jì)工作，都應(yīng)選擇合適的審計(jì)方法。信息系統(tǒng)審計(jì)方法主要包括訪(fǎng)談法、調(diào)查法、檢查法、觀(guān)察法、測(cè)試和平行模擬法、程序代碼檢查、編碼比較法、風(fēng)險(xiǎn)評(píng)估法等。（一）訪(fǎng)談法訪(fǎng)談法是指通過(guò)面對(duì)面或在線(xiàn)視頻、音頻等方式交談來(lái)了解被審計(jì)對(duì)象的信息。依據(jù)不同問(wèn)題的性質(zhì)、目的或?qū)ο螅捎貌煌脑L(fǎng)談形式。（二）調(diào)查法調(diào)查法是在制定調(diào)研計(jì)劃的基礎(chǔ)上,通過(guò)書(shū)面或口頭回答問(wèn)題的方式收集研究對(duì)象的相關(guān)資料,并做出分析綜合,得到某一結(jié)論的研究方法。（三）檢查法檢查法是指內(nèi)部審計(jì)人員對(duì)組織內(nèi)部或外部生成的記錄和文件(包括但不限于紙質(zhì)、電子或其他介質(zhì)形式存在的資料)進(jìn)行檢查，或?qū)Y產(chǎn)進(jìn)行實(shí)物檢查。信息系統(tǒng)審計(jì)人員審閱可行性研究報(bào)告、系統(tǒng)分析說(shuō)明書(shū)、現(xiàn)狀分析報(bào)告、輸入輸出和代碼調(diào)查表等文檔，檢查上述文檔以及相應(yīng)的信息系統(tǒng)建設(shè)、應(yīng)用、管理、運(yùn)行是否符合國(guó)家法律法規(guī)、行業(yè)標(biāo)準(zhǔn)以及組織內(nèi)部規(guī)章制度等。（四）觀(guān)察法內(nèi)部審計(jì)人員運(yùn)用觀(guān)察法，觀(guān)察被審計(jì)組織員工的職責(zé)履行情況以及業(yè)務(wù)操作程序等以識(shí)別員工的邏輯訪(fǎng)問(wèn)權(quán)限是否合規(guī)，軟硬件物理控制是否有效，盤(pán)點(diǎn)信息資產(chǎn)是否安全。（五）數(shù)據(jù)測(cè)試的黑、白盒法與平行模擬法數(shù)據(jù)測(cè)試法：從計(jì)算機(jī)輸入開(kāi)始，跟蹤某項(xiàng)業(yè)務(wù)直至計(jì)算機(jī)輸出，以檢驗(yàn)計(jì)算機(jī)應(yīng)用程序、控制程序和系統(tǒng)可靠性。黑盒法：當(dāng)內(nèi)部審計(jì)人員重點(diǎn)關(guān)注程序是否達(dá)到所需求的功能時(shí)，可采用黑盒法來(lái)設(shè)計(jì)測(cè)試數(shù)據(jù)。黑盒法設(shè)計(jì)出的測(cè)試數(shù)據(jù)除了可以檢查程序功能上的錯(cuò)誤和缺陷外，還可以審計(jì)系統(tǒng)用戶(hù)界面、接口、效率、初始化和終止錯(cuò)誤。白盒法：當(dāng)內(nèi)部審計(jì)人員主要關(guān)注在程序中是否存在錯(cuò)誤的執(zhí)行路線(xiàn)時(shí)可以采用白盒法。白盒法是從程序內(nèi)部的邏輯結(jié)構(gòu)出發(fā)選取測(cè)試數(shù)據(jù)的方法，它的原理是通過(guò)審計(jì)程序中的所有執(zhí)行路線(xiàn)來(lái)發(fā)現(xiàn)程序中的錯(cuò)誤和缺陷。平行模擬法：針對(duì)某應(yīng)用程序，審計(jì)人員用一個(gè)獨(dú)立的程序去模擬該程序的部分功能，對(duì)輸入數(shù)據(jù)同時(shí)進(jìn)行并行處理，其結(jié)果和該應(yīng)用程序處理的結(jié)果進(jìn)行比較以驗(yàn)證其功能正確性的方法。具體應(yīng)用是先將測(cè)試數(shù)據(jù)輸入信息系統(tǒng)和測(cè)試程序，經(jīng)程序處理后輸出結(jié)果，然后將輸出結(jié)果與測(cè)試程序的結(jié)果相比較，從而確定系統(tǒng)的控制及應(yīng)用程序在邏輯上是否正確。內(nèi)部審計(jì)人員在設(shè)計(jì)測(cè)試數(shù)據(jù)時(shí)，應(yīng)充分考慮信息系統(tǒng)中可能發(fā)生的每一種錯(cuò)誤包括但不限于:1.數(shù)據(jù)類(lèi)型錯(cuò)誤。2.順序紊亂的編碼。3.數(shù)據(jù)超越了限制的條件。4.數(shù)據(jù)比較出錯(cuò)。5.無(wú)效的賬戶(hù)編碼及關(guān)鍵字。6.不合理的邏輯條件判斷。7.內(nèi)部數(shù)據(jù)文件不匹配。8.計(jì)量單位用錯(cuò)。（六）程序代碼檢查法、編碼比較法程序代碼檢查法是指對(duì)被審計(jì)程序的指令逐條審計(jì),以驗(yàn)證程序的合法性、完整性和程序邏輯的正確性。程序編碼比較法：比較兩個(gè)及以上獨(dú)立保管的被審計(jì)程序版本，以確定被審計(jì)程序是否經(jīng)過(guò)修改，并評(píng)估程序的改動(dòng)所帶來(lái)的后果。（七）風(fēng)險(xiǎn)評(píng)估法風(fēng)險(xiǎn)評(píng)估常用技術(shù)。分級(jí)技術(shù)：根據(jù)審計(jì)對(duì)象的技術(shù)復(fù)雜性、現(xiàn)有控制程序的水平、可能造成的財(cái)務(wù)損失等各種因素的風(fēng)險(xiǎn)值累計(jì)為總風(fēng)險(xiǎn)值，根據(jù)分值大小進(jìn)行排列分為高、中、低級(jí)風(fēng)險(xiǎn)。經(jīng)驗(yàn)判斷法：內(nèi)部審計(jì)人員根據(jù)專(zhuān)業(yè)經(jīng)驗(yàn)、業(yè)務(wù)知識(shí)、管理層的指導(dǎo)、業(yè)務(wù)目標(biāo)、環(huán)境因素等進(jìn)行判斷，以決定風(fēng)險(xiǎn)大小。二、信息系統(tǒng)審計(jì)的工具（一）數(shù)據(jù)分析工具數(shù)據(jù)分析工具主要有文件查找工具、數(shù)據(jù)檢索工具、數(shù)據(jù)結(jié)構(gòu)轉(zhuǎn)換工具、指針檢測(cè)工具、數(shù)據(jù)處理工具(包括但不限于排序、合并、復(fù)制、創(chuàng)建、修改、刪除、重組)、文件打印工具、數(shù)據(jù)比較工具等。（二）數(shù)據(jù)庫(kù)審計(jì)工具數(shù)據(jù)庫(kù)審計(jì)工具是指跟蹤數(shù)據(jù)和數(shù)據(jù)庫(kù)結(jié)構(gòu)變化的工具。包括本地?cái)?shù)據(jù)庫(kù)審計(jì)、安全信息和事件管理及日志管理、數(shù)據(jù)庫(kù)