信息系統(tǒng)審計質(zhì)量控制

1、信息系統(tǒng)審計質(zhì)量控制一、信息系統(tǒng)審計質(zhì)量概述為了確保信息系統(tǒng)審計的質(zhì)量，組織應建立信息系 統(tǒng)審計質(zhì)量控制策略、程序、方法 , 明確內(nèi)部審計人員 職責，遵循國家法律法規(guī)、信息系統(tǒng)審計操作規(guī)范和 組織內(nèi)部審計工作規(guī)定；審計工作底稿、審計報告、 審計決定等審計文書的格式、要素和內(nèi)容應當符合組 織內(nèi)部審計規(guī)范的要求；組織信息系統(tǒng)管理和應用方 面存在的重大問題得以充分揭示，并提出建議，以合 理保證審計目標的實現(xiàn)。信息系統(tǒng)審計項目質(zhì)量控制主要包括對審計計劃、 審計實施、審計終結(jié)等階段的全過程質(zhì)量控制。二、審計質(zhì)量控制內(nèi)容（一）質(zhì)量控制制度建設信息系統(tǒng)審計的質(zhì)量控制應當按照國家審計準則、 中國內(nèi)部審計準則、

2、參照國內(nèi)外信息系統(tǒng)審計標準和 規(guī)范，建立起包含質(zhì)量責任、職業(yè)道德、職業(yè)勝任能 力、業(yè)務執(zhí)行和質(zhì)量監(jiān)控等在內(nèi)的質(zhì)量控制制度，同 時，應制定適用本組織的信息系統(tǒng)審計流程、標準和 規(guī)范。（二）審計全過程質(zhì)量控制1. 審計計劃質(zhì)量控制計劃立項和審前準備階段需要對組織的信息系統(tǒng)進 行初步調(diào)查，主要獲取組織業(yè)務流程對信息化的依賴 程度 ; 與信息系統(tǒng)有關的管理機構(gòu)及管理方式，根據(jù)掌 握的信息系統(tǒng)基本情況，確定審計目標與重要性水 平，在制定審計實施方案時，應充分考慮以下因素：（1 ）組織高度依賴信息技術、信息系統(tǒng)的關鍵業(yè) 務流程及相關的組織戰(zhàn)略目標。（2 ）信息技術管理的組織架構(gòu)。（3 ）信息系統(tǒng)框架和信息

3、系統(tǒng)的長期發(fā)展規(guī)劃及 近期發(fā)展計劃。（4 ）信息系統(tǒng)及其支持的業(yè)務流程的變更情況。 （5 ）以前年度信息系統(tǒng)內(nèi)外部審計等相關的審計發(fā)現(xiàn)及后續(xù)審計情況。（6 ）其他影響信息系統(tǒng)審計的因素。2. 審計實施質(zhì)量控制（1 ）控制測試質(zhì)量控制控制測試是為測試組織對控制程序的符合性而收集 證據(jù)，驗證控制的執(zhí)行是否符合管理政策和規(guī)程要 求。根據(jù)組織確定的內(nèi)部控制缺陷標準及風險評估標 準，對組織的內(nèi)部控制實施控制測試。應當采用抽樣 執(zhí)行的控制測試包括用戶訪問權限、程序變更控制流 程、文件流程、編程文檔、例外跟蹤、日志檢查、軟件許可審計等。根據(jù)控制測試的結(jié)果決定實質(zhì)性測試 的時間、范圍和性質(zhì)。在實質(zhì)性測試時 ,

4、 內(nèi)部審計人員要對交易和事項的 安全控制措施進行測試，對信息系統(tǒng)的安全性、可靠 性和經(jīng)濟性進行評價。為保證評價的質(zhì)量，內(nèi)部審計 人員要對交易或事項進行測試，在驗證數(shù)據(jù)庫可靠性 時，應對交易日志中的查詢進行抽樣審查，以評價該 查詢操作的可靠性，在評價信息系統(tǒng)的效率性時，內(nèi) 部審計人員要評價提交作業(yè)到執(zhí)行后結(jié)果返回用戶所 評價周轉(zhuǎn)時間是否在可接受范圍內(nèi)。在進行審計時要根據(jù)情況確定審計抽樣的方法及測 試的范圍。采用隨機、統(tǒng)計、判斷等抽樣方法，并合 理確定樣本量，根據(jù)抽樣樣本的實質(zhì)性測試結(jié)果 , 評價 信息系統(tǒng)控制是否達到控制目標。當抽樣不能達到審 計目標時還應采用替代程序。（2 ）審計證據(jù)質(zhì)量控制明

5、確審計取證的范圍 , 審計證據(jù)要足以支持審計報 告和審計結(jié)論中揭示的問題；為保障審計證據(jù)的充分 性、相關性和可靠性 , 應規(guī)范審計取證的方法，除通用 證據(jù)獲取方法外，應根據(jù)信息系統(tǒng)取證的要求 , 側(cè)重于 利用數(shù)據(jù)工具、安全工具、測評工具、系統(tǒng)運行監(jiān) 測、系統(tǒng)監(jiān)控檢測等方法取證 , 以規(guī)范審計取證行為。 應恰當處理和評價審計證據(jù) , 要求證據(jù)的提供部門確認 其來源真實。評價審計證據(jù)時 , 應當考慮電子數(shù)據(jù)、紙質(zhì)數(shù)據(jù)、結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)之間的相互印證 及證據(jù)來源的可靠程度。3. 審計報告質(zhì)量控制（1 ）審計工作底稿復核審計工作底稿是內(nèi)部審計人員在審計過程中形成的 審計工作記錄和獲取的資料。審

6、計工作底稿是審計證 據(jù)的載體 , 是聯(lián)系審計證據(jù)和審計結(jié)論的橋梁。審計工 作底稿的全部內(nèi)容，是內(nèi)部審計人員形成審計結(jié)論、 發(fā)表審計意見的直接依據(jù)。審計工作底稿必須進行復 核 , 以保證審計意見的正確性和審計工作底稿的規(guī)范 性。（2 ）審計報告編制、復核與交換意見內(nèi)部審計人員應對審計發(fā)現(xiàn)進行分析，使用職業(yè)判 斷，確定哪些審計發(fā)現(xiàn)應提交給哪個層級的管理人 員。向管理層提交審計報告。審計報告具有如下特 征：足夠重要、值得向管理層報告。事實清楚、證據(jù)充分。描述客觀、公正。與所審計的事實相關。有充分的說服力，促使組織采取糾正措施等。 除了對信息系統(tǒng)的安全性、可靠性、經(jīng)濟性發(fā)表意見外，還需要對信息系統(tǒng)所承

7、載的業(yè)務信息的真實 性、完整性、正確性發(fā)表意見。在與高級管理層溝通審計結(jié)果前，內(nèi)部審計人員應 當首先與被審計組織的管理人員討論審計發(fā)現(xiàn)的問 題，在審計報告征求意見過程中，內(nèi)部審計人員和被 審計組織應當針對審計建議、預定實施日期等內(nèi)容進 行討論，明確影響實施的各種因素。被審計組織管理 層應當對審計報告中描述的審計發(fā)現(xiàn)制定整改計劃 , 陳 述將要采取的整改措施及整改時間等，促進雙方達到 一致性觀點。當不能達成一致時，內(nèi)部審計人員應當 詳細描述審計發(fā)現(xiàn)的重要性。確保報告中反映的情況 是真實的，相關建議切實可行且符合成本效益，針對 建議的實施日期與管理層進行討論等。（3 ）審計報告正式上報前需要考慮的

8、質(zhì)量問題 在出具正式審計報告之前，內(nèi)部審計人員應考慮在此期間被審計組織及其信息系統(tǒng)活動是否會發(fā)生導致 重大變化的事項 ( 如機房搬遷、更新原有模塊等 ) 。針 對這種情況，審計人員應當判斷這些事項對審計結(jié)論 和建議的影響，并采取增加審計程序、修改審計意見 等措施，提醒報告使用者注意上述影響。4. 歸檔質(zhì)量的控制內(nèi)部審計機構(gòu)應當制定保管、保留和發(fā)布審計文檔 的相關政策。各審計主體在實際工作中，應根據(jù)相關 規(guī)范的要求管理審計文檔。5. 后續(xù)審計質(zhì)量控制實施后續(xù)審計，主要應考慮：（1 ）審計意見和建議的重要性。（2 ）整改措施的復雜性。（3 ）落實整改措施所要的時間和成本。（4 ）整改措施失敗可能產(chǎn)生的影響。后續(xù)審計的 質(zhì)量管理控制包括 :（1 ）制定跟蹤程序以