信息系統(tǒng)審計(jì)(IT審計(jì))操作流程

1、信息系統(tǒng)審計(jì)(IT審計(jì)操作流程一、審計(jì)計(jì)劃階段計(jì)劃階段是整個(gè)審計(jì)過程的起點(diǎn)。其主要工作包括:(1了解被審系統(tǒng)基本情況了解被審系統(tǒng)基本情況是實(shí)施任何信息系統(tǒng)審計(jì)的必經(jīng)程序,對基本情況的了解有助于審計(jì)組織對系統(tǒng)的組成、環(huán)境、運(yùn)行年限、控制等有初步印象,以決定是否對該系統(tǒng)進(jìn)行審計(jì),明確審計(jì)的難度,所需時(shí)間以及人員配備情況等。了解了基本情況,審計(jì)組織就可以大致判斷系統(tǒng)的復(fù)雜性、管理層對審計(jì)的態(tài)度、內(nèi)部控制的狀況、以前審計(jì)的狀況、審計(jì)難點(diǎn)與重點(diǎn),以決定是否對其進(jìn)行審計(jì)。(2初步評價(jià)被審單位系統(tǒng)的內(nèi)部控制及外部控制傳統(tǒng)的內(nèi)部控制制度是為防止舞弊和差錯而形成的以內(nèi)部稽核和相互牽制為核心的工作制度。隨著信息技

2、術(shù)特別是以Internet為代表的網(wǎng)絡(luò)技術(shù)的發(fā)展和應(yīng)用,企業(yè)信息系統(tǒng)進(jìn)一步向深層次發(fā)展,這些變革無疑給企業(yè)帶來了巨大的效益,但同時(shí)也給內(nèi)部控制帶來了新的問題和挑戰(zhàn)。加強(qiáng)內(nèi)部控制制度是信息系統(tǒng)安全可靠運(yùn)行的有力保證。依據(jù)控制對象的范圍和環(huán)境,信息系統(tǒng)內(nèi)控制度的審計(jì)內(nèi)容包括一般控制和應(yīng)用控制兩類。一般控制是系統(tǒng)運(yùn)行環(huán)境方而的控制,指對信息系統(tǒng)構(gòu)成要素(人、機(jī)器、文件的控制。它已為應(yīng)用程序的正常運(yùn)行提供外圍保障,影響到計(jì)算機(jī)應(yīng)用的成敗及應(yīng)用控制的強(qiáng)弱。主要包括:組織控制、操作控制、硬件及系統(tǒng)軟件控制和系統(tǒng)安全控制。應(yīng)用控制是對信息系統(tǒng)中具體的數(shù)據(jù)處理活動所進(jìn)行的控制,是具體的應(yīng)用系統(tǒng)中用來預(yù)測、檢測

3、和更正錯誤和處置不法行為的控制措施,信息系統(tǒng)的應(yīng)用控制主要體現(xiàn)在輸入控制、處理控制和輸出控制。應(yīng)用控制具有特殊性,不同的應(yīng)用系統(tǒng)有著不同的處理方式和處理環(huán)節(jié),因而有著不同的控制問題和不同的控制要求,但是一般可把它劃分為:輸入控制、處理控制和輸出控制。通過對信息系統(tǒng)組織機(jī)構(gòu)控制,系統(tǒng)開發(fā)與維護(hù)控制,安全性控制,硬件、軟件資源控制,輸入控制,處理控制,輸出控制等方而的審計(jì)分析,建立內(nèi)部控制強(qiáng)弱評價(jià)的指標(biāo)系統(tǒng)及評價(jià)模型,審計(jì)人員通過交互式人機(jī)對話,輸入各評價(jià)指標(biāo)的評分,內(nèi)控制審計(jì)評價(jià)系統(tǒng)則可以進(jìn)行多級綜合審計(jì)評價(jià)。通過內(nèi)控制度的審計(jì),實(shí)現(xiàn)對系統(tǒng)的預(yù)防性控制,檢測性控制和糾正性控制。(3識別重要性為了

4、有效實(shí)現(xiàn)審計(jì)目標(biāo),合理使用審計(jì)資源,在制定審計(jì)計(jì)劃時(shí),信息系統(tǒng)審計(jì)人員應(yīng)對系統(tǒng)重要性進(jìn)行適當(dāng)評估。對重要性的評估一般需要運(yùn)用專業(yè)判斷?？紤]重要性水平時(shí)要根據(jù)審計(jì)人員的職業(yè)判斷或公用標(biāo)準(zhǔn),系統(tǒng)的服務(wù)對象及業(yè)務(wù)性質(zhì),內(nèi)控的初評結(jié)果。重要性的判斷離不開特定環(huán)境,審計(jì)人員必須根據(jù)具體的信息系統(tǒng)環(huán)境確定重要性。重要性具有數(shù)量和質(zhì)量兩個(gè)方面的特征。越是重要的子系統(tǒng),就越需要獲取充分的審計(jì)證據(jù),以支持審計(jì)結(jié)論或意見。(4編制審計(jì)計(jì)劃經(jīng)過以上程序,為編制審計(jì)計(jì)劃提供了良好準(zhǔn)備,審計(jì)人員就可以據(jù)以編制總體及具體審計(jì)計(jì)劃?？傮w計(jì)劃包括:被審單位基本情況;審計(jì)目的、審計(jì)范圍及策略;重要問題及重要審計(jì)領(lǐng)域;工作進(jìn)度及

5、時(shí)間;審計(jì)小組成員分工;重要性確定及風(fēng)險(xiǎn)評估等。具體計(jì)劃包括:具體審計(jì)目標(biāo);審計(jì)程序;執(zhí)行人員及時(shí)間限制等。二、審計(jì)實(shí)施階段做好上訴材料的充分的準(zhǔn)備,便可進(jìn)行審計(jì)實(shí)施,具體包括以下內(nèi)容:(1對信息系統(tǒng)計(jì)劃開發(fā)階段的審計(jì)對信息系統(tǒng)計(jì)劃開發(fā)階段的審計(jì)包括對計(jì)劃的審計(jì)和對開發(fā)的審計(jì),可以采用事中審計(jì),也可以是事后審計(jì)。比較而言事中審計(jì)更有意義,審計(jì)結(jié)果的得出利于故障、問題的及早發(fā)現(xiàn),利于調(diào)整計(jì)劃,利于開發(fā)順序的改進(jìn)。信息系統(tǒng)計(jì)劃階段的關(guān)鍵控制點(diǎn)有:計(jì)劃是否有明確的目的,計(jì)劃中是否明確描述了系統(tǒng)的效果,是否明確了系統(tǒng)開發(fā)的組織,對整體計(jì)劃進(jìn)程是否正確預(yù)計(jì),計(jì)劃能否隨經(jīng)營環(huán)境改變而及時(shí)修正,計(jì)劃是否制定

6、有可行性報(bào)告,關(guān)于計(jì)劃的過程和結(jié)果是否有文檔記錄等等。系統(tǒng)開發(fā)階段包括系統(tǒng)分析、系統(tǒng)設(shè)計(jì)、代碼編寫和系統(tǒng)測試三部分。其中涉及包括功能需求分析、業(yè)務(wù)數(shù)據(jù)分析、總體框架設(shè)計(jì)、結(jié)構(gòu)設(shè)計(jì)、代碼設(shè)計(jì)、數(shù)據(jù)庫設(shè)計(jì)、輸入輸出設(shè)計(jì)、處理流程及模塊功能的設(shè)計(jì)。編程時(shí)依據(jù)系統(tǒng)設(shè)計(jì)階段的設(shè)計(jì)圖及數(shù)據(jù)庫結(jié)構(gòu)和編碼設(shè)計(jì),用計(jì)算機(jī)程序語言來實(shí)現(xiàn)系統(tǒng)的過程。測試包括動態(tài)測試和靜態(tài)測試,是系統(tǒng)開發(fā)完畢,進(jìn)入試運(yùn)行之前的必經(jīng)程序。其關(guān)鍵控制點(diǎn)有:分析控制點(diǎn):是否己細(xì)致分析企業(yè)組織結(jié)構(gòu);是否確定用戶功能和性能需求;是否確定用戶的數(shù)據(jù)需求等。設(shè)計(jì)控制點(diǎn):設(shè)計(jì)界面是否方便用戶使用;設(shè)計(jì)是否與業(yè)務(wù)內(nèi)容相符;性能能否滿足需要,是否考慮故

7、障對策和安全保護(hù)等。編程控制點(diǎn):是否有程序說明書,并按照說明書進(jìn)行編寫;編程與設(shè)計(jì)是否相符,有無違背編程原則;程序作者是否進(jìn)行自測;是否有程序作者之外的第三人進(jìn)行測試;編程的書寫、變量的命名等是否規(guī)范。測試控制點(diǎn):測試數(shù)據(jù)的選取是否按計(jì)劃及需要進(jìn)行,是否具有代表性;測試是否站在公正客觀的立場進(jìn)行,是否有用戶參與測試;測試結(jié)果是否正確記錄等。(2對信息系統(tǒng)運(yùn)行維護(hù)階段的審計(jì)對信息系統(tǒng)運(yùn)行維護(hù)階段的審計(jì)又細(xì)分為對運(yùn)行階段的審計(jì)和對維護(hù)階段的審計(jì)。系統(tǒng)運(yùn)行過程的審計(jì)是在信息系統(tǒng)正式運(yùn)行階段,針對信息系統(tǒng)是否被正確操作和是否有效地運(yùn)行,從而真正實(shí)現(xiàn)信息系統(tǒng)的開發(fā)目標(biāo)、滿足用戶需求而進(jìn)行的審計(jì)。對信息系

8、統(tǒng)運(yùn)行過程的審計(jì)分為系統(tǒng)輸入審計(jì)、通信系統(tǒng)審計(jì)、處理過程審計(jì)、數(shù)據(jù)庫審計(jì)、系統(tǒng)輸出審計(jì)和運(yùn)行管理審計(jì)六大部分。輸入審計(jì)的關(guān)鍵控制點(diǎn)有:是否制定并遵守輸入管理規(guī)則,是否有數(shù)據(jù)生成順序、處理等的防錯、保護(hù)措施、防錯、保護(hù)措施是否有效等。通信系統(tǒng)實(shí)施的是實(shí)際數(shù)據(jù)的傳輸,通信系統(tǒng)中,審計(jì)軌跡應(yīng)記錄輸入的數(shù)據(jù)、傳送的數(shù)據(jù)和工作的通信系統(tǒng)。通信系統(tǒng)審計(jì)的關(guān)鍵控制點(diǎn)有:是否制定并遵守通信規(guī)則,對網(wǎng)絡(luò)存取控制及監(jiān)控是否有效等。處理過程指處理器在接收到輸入的數(shù)據(jù)后對數(shù)據(jù)進(jìn)行加工處理的過程,此時(shí)的審計(jì)主要針對數(shù)據(jù)輸入系統(tǒng)后是否被正確處理。關(guān)鍵控制點(diǎn)有:被處理的數(shù)據(jù),數(shù)據(jù)處理器,數(shù)據(jù)處理時(shí)間,數(shù)據(jù)處理后的結(jié)果,數(shù)據(jù)

9、處理實(shí)現(xiàn)的目的,系統(tǒng)處理的差錯率,平均無故障時(shí)間,可恢復(fù)性和平均恢復(fù)時(shí)間等。數(shù)據(jù)庫審計(jì)是保障數(shù)據(jù)庫正確行使了其職能,如對數(shù)據(jù)操作的有效性和發(fā)生異常操作時(shí)對數(shù)據(jù)的保護(hù)功能(正確數(shù)據(jù)不丟失,數(shù)據(jù)回滾以保證數(shù)據(jù)的一致性。其關(guān)鍵控制點(diǎn)有:對數(shù)據(jù)的存取控制及監(jiān)視是否有效,是否記錄數(shù)據(jù)利用狀況,并定期分析,是否考慮數(shù)據(jù)的保護(hù)功能,是否有防錯、保密功能,防錯、保密功能是否有效等。輸出審計(jì)不同于測試階段的輸出審計(jì),此時(shí)的輸出是在實(shí)際數(shù)據(jù)的基礎(chǔ)上進(jìn)行的,對其進(jìn)行審計(jì)可以對系統(tǒng)輸出進(jìn)行再控制,結(jié)合用戶需求進(jìn)行評價(jià)。關(guān)鍵控制點(diǎn)有:輸出信息的獲取及處理時(shí)是否有防止不正當(dāng)行為和機(jī)密保護(hù)措施,輸出信息是否準(zhǔn)確、及時(shí),輸出

10、信息的形式是否被客戶所接受,是否記錄輸出出錯情況并定期分析等。運(yùn)行管理審計(jì)是對人機(jī)系統(tǒng)中人的行為的審計(jì)。關(guān)鍵控制點(diǎn)有:操作順序是否標(biāo)準(zhǔn)化,作業(yè)進(jìn)度是否有優(yōu)先級,操作是否按標(biāo)準(zhǔn)進(jìn)行,人員交替是否規(guī)范,能否對預(yù)計(jì)于實(shí)際運(yùn)行的差異進(jìn)行分析,遇問題時(shí)能否相互溝通,是否有經(jīng)常性培訓(xùn)與教育等。維護(hù)過程的審計(jì)包括對維護(hù)計(jì)劃、維護(hù)實(shí)施、改良系統(tǒng)的試運(yùn)行和舊系統(tǒng)的廢除等維護(hù)活動的審計(jì)。維護(hù)過程的關(guān)鍵控制點(diǎn)有:維護(hù)組織的規(guī)模是否適應(yīng)需要,人員分工是否明確,是否有一套管理機(jī)制和協(xié)調(diào)機(jī)制,維護(hù)過程發(fā)現(xiàn)的可改進(jìn)點(diǎn),維護(hù)是否得到維護(hù)負(fù)責(zé)人同意,是否對發(fā)現(xiàn)問題作了修正,維護(hù)記錄是否有文檔記載,是否定期分析,舊系統(tǒng)的廢除是否

11、在授權(quán)下進(jìn)行等。三、審計(jì)完成階段完成階段是實(shí)質(zhì)性的整個(gè)信息系統(tǒng)審計(jì)工作的結(jié)束,主要工作有:整理、評價(jià)執(zhí)行審計(jì)業(yè)務(wù)過程中收集到的證據(jù)。在信息系統(tǒng)審計(jì)的現(xiàn)代化管理時(shí)期,收集到的數(shù)據(jù)己存儲在管理系統(tǒng)中,審計(jì)人員只需對其進(jìn)行分析和調(diào)用即可。復(fù)核審計(jì)底稿,完成二級復(fù)核。傳統(tǒng)審計(jì)的三級復(fù)核制度對信息系統(tǒng)審計(jì)同樣適用,它是保證審計(jì)質(zhì)量、降低審計(jì)風(fēng)險(xiǎn)的重要措施。一級復(fù)核是由信息系統(tǒng)審計(jì)項(xiàng)目組長在審計(jì)過程進(jìn)行中對工作底稿的復(fù)核,這層復(fù)核主要是評價(jià)已完成的審計(jì)工作、所獲得的工作底稿編制人員形成的結(jié)論;二級復(fù)核是在外勤工作結(jié)束時(shí),由審計(jì)部門領(lǐng)導(dǎo)對工作底稿進(jìn)行的重點(diǎn)復(fù)核。在審計(jì)工作辦公自動化的今天,二級復(fù)核制度同樣可以通過網(wǎng)上報(bào)送及調(diào)用得以實(shí)現(xiàn)。評價(jià)審計(jì)結(jié)果,形成審計(jì)意見,完成三級復(fù)核,編制審計(jì)報(bào)告。評價(jià)審計(jì)結(jié)果主要是為了確定將要發(fā)表的審計(jì)意見的類型及在整個(gè)審計(jì)工作中是否遵循了獨(dú)立審計(jì)準(zhǔn)則。信息系統(tǒng)審計(jì)人員需要對重要性和審計(jì)風(fēng)險(xiǎn)進(jìn)行最終的評價(jià)。這是審計(jì)人員決定發(fā)表何種類型審計(jì)意見的必要過程,所確定的可接受審計(jì)風(fēng)險(xiǎn)一定要有足夠充分適當(dāng)?shù)膶徲?jì)證據(jù)支持。簽