信息系統(tǒng)審計(IT審計)操作流程(精)

1、信息系統(tǒng)審計 (IT審計 ) 操作流程( 精)信息系統(tǒng)審計 (IT 審計操作流程一、審計計劃階段計劃階段是整個審計過程的起點。其主要工作包括:(1了解被審系統(tǒng)基本情況了解被審系統(tǒng)基本情況是實施任何信息系統(tǒng)審計的必經(jīng)程序,對基本情況的了解有助于審計組織對系統(tǒng)的組成、環(huán)境、運行年限、控制等有初步印象 ,以決定是否對該系統(tǒng)進行審計 ,明確審計的難度 ,所需時間以及人員配備情況等。了解了基本情況 ,審計組織就可以大致判斷系統(tǒng)的復(fù)雜性、管理層對審計的態(tài)度、內(nèi)部控制的狀況、以前審計的狀況、審計難點與重點 ,以決定是否對其進行審計。(2初步評價被審單位系統(tǒng)的內(nèi)部控制及外部控制傳統(tǒng)的內(nèi)部控制制度是為防止舞弊和

2、差錯而形成的以內(nèi)部稽核和相互牽制為核心的工作制度。隨著信息技術(shù)特別是以 Internet 為代表的網(wǎng)絡(luò)技術(shù)的發(fā)展和應(yīng)用 , 企業(yè)信息系統(tǒng)進一步向深層次發(fā)展 ,這些變革無疑給企業(yè)帶來了巨大的效益 ,但同時也給內(nèi)部控制帶來了新的問題和挑戰(zhàn)。加強內(nèi)部控制制度是信息系統(tǒng)安全可靠運行的有力保證。依據(jù)控制對象的范圍和環(huán)境 ,信息系統(tǒng)內(nèi)控制度的審計內(nèi)容包括一般控制和應(yīng)用控制兩類。一般控制是系統(tǒng)運行環(huán)境方而的控制 ,指對信息系統(tǒng)構(gòu)成要素 (人、機器、文件的控制。它已為應(yīng)用程序的正常運行提供外圍保障 ,影響到計算機應(yīng)用的成敗及應(yīng)用控制的強弱。主要包括 :組織控制、操作控制、硬件及系統(tǒng)軟件控制和系統(tǒng)安全控制。應(yīng)用

3、控制是對信息系統(tǒng)中具體的數(shù)據(jù)處理活動所進行的控制 ,是具體的應(yīng)用系統(tǒng)中用來預(yù)測、檢測和更正錯誤和處置不法行為的控制措施 ,信息系統(tǒng)的應(yīng)用控制主要體現(xiàn)在輸入控制、處理控制和輸出控制。應(yīng)用控制具有特殊性,不同的應(yīng)用系統(tǒng)有著不同的處理方式和處理環(huán)節(jié) ,因而有著不同的控制問題和不同的控制要求 ,但是一般可把它劃分為 : 輸入控制、處理控制和輸出控制。通過對信息系統(tǒng)組織機構(gòu)控制 ,系統(tǒng)開發(fā)與維護控制 ,安全性控制 ,硬件、軟件資源控制 ,輸入控制 ,處理控制 ,輸出控制等方而的審計分析 ,建立內(nèi)部控制強弱評價的指標(biāo)系統(tǒng)及評價模型 ,審計人員通過交互式人機對話 ,輸入各評價指標(biāo)的評分 ,內(nèi)控制審計評價系統(tǒng)

4、則可以進行多級綜合審計評價。通過內(nèi)控制度的審計 ,實現(xiàn)對系統(tǒng)的預(yù)防性控制 ,檢測性控制和糾正性控制。(3識別重要性為了有效實現(xiàn)審計目標(biāo) ,合理使用審計資源 ,在制定審計計劃時 ,信息系統(tǒng)審計人員應(yīng)對系統(tǒng)重要性進行適當(dāng)評估。對重要性的評估一般需要運用專業(yè)判斷?？紤]重要性水平時要根據(jù)審計人員的職業(yè)判斷或公用標(biāo)準(zhǔn) ,系統(tǒng)的服務(wù)對象及業(yè)務(wù)性質(zhì) , 內(nèi)控的初評結(jié)果。重要性的判斷離不開特定環(huán)境 ,審計人員必須根據(jù)具體的信息系統(tǒng)環(huán)境確定重要性。重要性具有數(shù)量和質(zhì)量兩個方面的特征。越是重要的子系統(tǒng) , 就越需要獲取充分的審計證據(jù) ,以支持審計結(jié)論或意見。(4編制審計計劃經(jīng)過以上程序 ,為編制審計計劃提供了良好

5、準(zhǔn)備 ,審計人員就可以據(jù)以編制總體及具體審計計劃?？傮w計劃包括 :被審單位基本情況 ;審計目的、審計范圍及策略 ;重要問題及重要審計領(lǐng)域 ;工作進度及時間 ; 審計小組成員分工 ; 重要性確定及風(fēng)險評估等。具體計劃包括 :具體審計目標(biāo) ; 審計程序 ;執(zhí)行人員及時間限制等。二、審計實施階段做好上訴材料的充分的準(zhǔn)備,便可進行審計實施 ,具體包括以下內(nèi)容 :(1對信息系統(tǒng)計劃開發(fā)階段的審計對信息系統(tǒng)計劃開發(fā)階段的審計包括對計劃的審計和對開發(fā)的審計 ,可以采用事中審計 ,也可以是事后審計。比較而言事中審計更有意義 ,審計結(jié)果的得出利于故障、問題的及早發(fā)現(xiàn) ,利于調(diào)整計劃 ,利于開發(fā)順序的改進。信息系

6、統(tǒng)計劃階段的關(guān)鍵控制點有 :計劃是否有明確的目的 ,計劃中是否明確描述了系統(tǒng)的效果 ,是否明確了系統(tǒng)開發(fā)的組織 ,對整體計劃進程是否正確預(yù)計 ,計劃能否隨經(jīng)營環(huán)境改變而及時修正 ,計劃是否制定有可行性報告 ,關(guān)于計劃的過程和結(jié)果是否有文檔記錄等等。系統(tǒng)開發(fā)階段包括系統(tǒng)分析、系統(tǒng)設(shè)計、代碼編寫和系統(tǒng)測試三部分。其中涉及包括功能需求分析、業(yè)務(wù)數(shù)據(jù)分析、總體框架設(shè)計、結(jié)構(gòu)設(shè)計、代碼設(shè)計、數(shù)據(jù)庫設(shè)計、輸入輸出設(shè)計、處理流程及模塊功能的設(shè)計。編程時依據(jù)系統(tǒng)設(shè)計階段的設(shè)計圖及數(shù)據(jù)庫結(jié)構(gòu)和編碼設(shè)計 ,用計算機程序語言來實現(xiàn)系統(tǒng)的過程。測試包括動態(tài)測試和靜態(tài)測試 ,是系統(tǒng)開發(fā)完畢 ,進入試運行之前的必經(jīng)程序。

7、其關(guān)鍵控制點有 :分析控制點 :是否己細(xì)致分析企業(yè)組織結(jié)構(gòu) ;是否確定用戶功能和性能需求 ; 是否確定用戶的數(shù)據(jù)需求等。設(shè)計控制點 :設(shè)計界面是否方便用戶使用 ;設(shè)計是否與業(yè)務(wù)內(nèi)容相符 ;性能能否滿足需要 ,是否考慮故障對策和安全保護等。編程控制點 :是否有程序說明書 ,并按照說明書進行編寫 ;編程與設(shè)計是否相符 , 有無違背編程原則 ;程序作者是否進行自測 ; 是否有程序作者之外的第三人進行測試;編程的書寫、變量的命名等是否規(guī)范。測試控制點 :測試數(shù)據(jù)的選取是否按計劃及需要進行 ,是否具有代表性 ;測試是否站在公正客觀的立場進行 ,是否有用戶參與測試 ;測試結(jié)果是否正確記錄等。(2對信息系統(tǒng)

8、運行維護階段的審計對信息系統(tǒng)運行維護階段的審計又細(xì)分為對運行階段的審計和對維護階段的審計。系統(tǒng)運行過程的審計是在信息系統(tǒng)正式運行階段,針對信息系統(tǒng)是否被正確操作和是否有效地運行 ,從而真正實現(xiàn)信息系統(tǒng)的開發(fā)目標(biāo)、滿足用戶需求而進行的審計。對信息系統(tǒng)運行過程的審計分為系統(tǒng)輸入審計、通信系統(tǒng)審計、處理過程審計、數(shù)據(jù)庫審計、系統(tǒng)輸出審計和運行管理審計六大部分。輸入審計的關(guān)鍵控制點有 : 是否制定并遵守輸入管理規(guī)則 ,是否有數(shù)據(jù)生成順序、處理等的防錯、保護措施、防錯、保護措施是否有效等。通信系統(tǒng)實施的是實際數(shù)據(jù)的傳輸,通信系統(tǒng)中 ,審計軌跡應(yīng)記錄輸入的數(shù)據(jù)、傳送的數(shù)據(jù)和工作的通信系統(tǒng)。通信系統(tǒng)審計的關(guān)

9、鍵控制點有 :是否制定并遵守通信規(guī)則 ,對網(wǎng)絡(luò)存取控制及監(jiān)控是否有效等。處理過程指處理器在接收到輸入的數(shù)據(jù)后對數(shù)據(jù)進行加工處理的過程,此時的審計主要針對數(shù)據(jù)輸入系統(tǒng)后是否被正確處理。關(guān)鍵控制點有 :被處理的數(shù)據(jù) ,數(shù)據(jù)處理器 ,數(shù)據(jù)處理時間 ,數(shù)據(jù)處理后的結(jié)果 ,數(shù)據(jù)處理實現(xiàn)的目的 ,系統(tǒng)處理的差錯率 , 平均無故障時間 ,可恢復(fù)性和平均恢復(fù)時間等。數(shù)據(jù)庫審計是保障數(shù)據(jù)庫正確行使了其職能 ,如對數(shù)據(jù)操作的有效性和發(fā)生異常操作時對數(shù)據(jù)的保護功能 (正確數(shù)據(jù)不丟失 ,數(shù)據(jù)回滾以保證數(shù)據(jù)的一致性。其關(guān)鍵控制點有 :對數(shù)據(jù)的存取控制及監(jiān)視是否有效 ,是否記錄數(shù)據(jù)利用狀況 ,并定期分析,是否考慮數(shù)據(jù)的保

10、護功能 ,是否有防錯、保密功能 ,防錯、保密功能是否有效等。輸出審計不同于測試階段的輸出審計,此時的輸出是在實際數(shù)據(jù)的基礎(chǔ)上進行的 ,對其進行審計可以對系統(tǒng)輸出進行再控制 ,結(jié)合用戶需求進行評價。關(guān)鍵控制點有 :輸出信息的獲取及處理時是否有防止不正當(dāng)行為和機密保護措施 ,輸出信息是否準(zhǔn)確、及時 ,輸出信息的形式是否被客戶所接受 ,是否記錄輸出出錯情況并定期分析等。運行管理審計是對人機系統(tǒng)中人的行為的審計。關(guān)鍵控制點有: 操作順序是否標(biāo)準(zhǔn)化 ,作業(yè)進度是否有優(yōu)先級 ,操作是否按標(biāo)準(zhǔn)進行 ,人員交替是否規(guī)范 ,能否對預(yù)計于實際運行的差異進行分析,遇問題時能否相互溝通,是否有經(jīng)常性培訓(xùn)與教育等。維護

11、過程的審計包括對維護計劃、維護實施、改良系統(tǒng)的試運行和舊系統(tǒng)的廢除等維護活動的審計。維護過程的關(guān)鍵控制點有 : 維護組織的規(guī)模是否適應(yīng)需要 , 人員分工是否明確 ,是否有一套管理機制和協(xié)調(diào)機制 ,維護過程發(fā)現(xiàn)的可改進點 ,維護是否得到維護負(fù)責(zé)人同意 ,是否對發(fā)現(xiàn)問題作了修正 ,維護記錄是否有文檔記載 ,是否定期分析 ,舊系統(tǒng)的廢除是否在授權(quán)下進行等。三、審計完成階段完成階段是實質(zhì)性的整個信息系統(tǒng)審計工作的結(jié)束,主要工作有 :整理、評價執(zhí)行審計業(yè)務(wù)過程中收集到的證據(jù)。在信息系統(tǒng)審計的現(xiàn)代化管理時期 ,收集到的數(shù)據(jù)己存儲在管理系統(tǒng)中,審計人員只需對其進行分析和調(diào)用即可。復(fù)核審計底稿 ,完成二級復(fù)核

12、。傳統(tǒng)審計的三級復(fù)核制度對信息系統(tǒng)審計同樣適用 ,它是保證審計質(zhì)量、降低審計風(fēng)險的重要措施。一級復(fù)核是由信息系統(tǒng)審計項目組長在審計過程進行中對工作底稿的復(fù)核 ,這層復(fù)核主要是評價已完成的審計工作、所獲得的工作底稿編制人員形成的結(jié)論;二級復(fù)核是在外勤工作結(jié)束時,由審計部門領(lǐng)導(dǎo)對工作底稿進行的重點復(fù)核。在審計工作辦公自動化的今天 ,二級復(fù)核制度同樣可以通過網(wǎng)上報送及調(diào)用得以實現(xiàn)。評價審計結(jié)果 ,形成審計意見 ,完成三級復(fù)核 ,編制審計報告。評價審計結(jié)果主要是為了確定將要發(fā)表的審計意見的類型及在整個審計工作中是否遵循了獨立審計準(zhǔn)則。信息系統(tǒng)審計人員需要對重要性和審計風(fēng)險進行最終的評價。這是審計人員決定發(fā)表何種類型審計意見的必要過程,所確定的可接受審計風(fēng)險一定要有足夠充分適當(dāng)?shù)膶徲嬜C據(jù)支持