信息系統(tǒng)審計(jì)質(zhì)量控制

1、信息系統(tǒng)審計(jì)質(zhì)量控制一、信息系統(tǒng)審計(jì)質(zhì)量概述為了確保信息系統(tǒng)審計(jì)的質(zhì)量，組織應(yīng)建立信息系 統(tǒng)審計(jì)質(zhì)量控制策略、程序、方法 , 明確內(nèi)部審計(jì)人員 職責(zé)，遵循國(guó)家法律法規(guī)、信息系統(tǒng)審計(jì)操作規(guī)范和 組織內(nèi)部審計(jì)工作規(guī)定；審計(jì)工作底稿、審計(jì)報(bào)告、 審計(jì)決定等審計(jì)文書(shū)的格式、要素和內(nèi)容應(yīng)當(dāng)符合組 織內(nèi)部審計(jì)規(guī)范的要求；組織信息系統(tǒng)管理和應(yīng)用方 面存在的重大問(wèn)題得以充分揭示，并提出建議，以合 理保證審計(jì)目標(biāo)的實(shí)現(xiàn)。信息系統(tǒng)審計(jì)項(xiàng)目質(zhì)量控制主要包括對(duì)審計(jì)計(jì)劃、 審計(jì)實(shí)施、審計(jì)終結(jié)等階段的全過(guò)程質(zhì)量控制。二、審計(jì)質(zhì)量控制內(nèi)容（一）質(zhì)量控制制度建設(shè)信息系統(tǒng)審計(jì)的質(zhì)量控制應(yīng)當(dāng)按照國(guó)家審計(jì)準(zhǔn)則、 中國(guó)內(nèi)部審計(jì)準(zhǔn)則、

2、參照國(guó)內(nèi)外信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和 規(guī)范，建立起包含質(zhì)量責(zé)任、職業(yè)道德、職業(yè)勝任能 力、業(yè)務(wù)執(zhí)行和質(zhì)量監(jiān)控等在內(nèi)的質(zhì)量控制制度，同 時(shí)，應(yīng)制定適用本組織的信息系統(tǒng)審計(jì)流程、標(biāo)準(zhǔn)和 規(guī)范。（二）審計(jì)全過(guò)程質(zhì)量控制1. 審計(jì)計(jì)劃質(zhì)量控制計(jì)劃立項(xiàng)和審前準(zhǔn)備階段需要對(duì)組織的信息系統(tǒng)進(jìn) 行初步調(diào)查，主要獲取組織業(yè)務(wù)流程對(duì)信息化的依賴 程度 ; 與信息系統(tǒng)有關(guān)的管理機(jī)構(gòu)及管理方式，根據(jù)掌 握的信息系統(tǒng)基本情況，確定審計(jì)目標(biāo)與重要性水 平，在制定審計(jì)實(shí)施方案時(shí)，應(yīng)充分考慮以下因素：（1 ）組織高度依賴信息技術(shù)、信息系統(tǒng)的關(guān)鍵業(yè) 務(wù)流程及相關(guān)的組織戰(zhàn)略目標(biāo)。（2 ）信息技術(shù)管理的組織架構(gòu)。（3 ）信息系統(tǒng)框架和信息

3、系統(tǒng)的長(zhǎng)期發(fā)展規(guī)劃及 近期發(fā)展計(jì)劃。（4 ）信息系統(tǒng)及其支持的業(yè)務(wù)流程的變更情況。 （5 ）以前年度信息系統(tǒng)內(nèi)外部審計(jì)等相關(guān)的審計(jì)發(fā)現(xiàn)及后續(xù)審計(jì)情況。（6 ）其他影響信息系統(tǒng)審計(jì)的因素。2. 審計(jì)實(shí)施質(zhì)量控制（1 ）控制測(cè)試質(zhì)量控制控制測(cè)試是為測(cè)試組織對(duì)控制程序的符合性而收集 證據(jù)，驗(yàn)證控制的執(zhí)行是否符合管理政策和規(guī)程要 求。根據(jù)組織確定的內(nèi)部控制缺陷標(biāo)準(zhǔn)及風(fēng)險(xiǎn)評(píng)估標(biāo) 準(zhǔn)，對(duì)組織的內(nèi)部控制實(shí)施控制測(cè)試。應(yīng)當(dāng)采用抽樣 執(zhí)行的控制測(cè)試包括用戶訪問(wèn)權(quán)限、程序變更控制流 程、文件流程、編程文檔、例外跟蹤、日志檢查、軟件許可審計(jì)等。根據(jù)控制測(cè)試的結(jié)果決定實(shí)質(zhì)性測(cè)試 的時(shí)間、范圍和性質(zhì)。在實(shí)質(zhì)性測(cè)試時(shí) ,

4、 內(nèi)部審計(jì)人員要對(duì)交易和事項(xiàng)的 安全控制措施進(jìn)行測(cè)試，對(duì)信息系統(tǒng)的安全性、可靠 性和經(jīng)濟(jì)性進(jìn)行評(píng)價(jià)。為保證評(píng)價(jià)的質(zhì)量，內(nèi)部審計(jì) 人員要對(duì)交易或事項(xiàng)進(jìn)行測(cè)試，在驗(yàn)證數(shù)據(jù)庫(kù)可靠性 時(shí)，應(yīng)對(duì)交易日志中的查詢進(jìn)行抽樣審查，以評(píng)價(jià)該 查詢操作的可靠性，在評(píng)價(jià)信息系統(tǒng)的效率性時(shí)，內(nèi) 部審計(jì)人員要評(píng)價(jià)提交作業(yè)到執(zhí)行后結(jié)果返回用戶所 評(píng)價(jià)周轉(zhuǎn)時(shí)間是否在可接受范圍內(nèi)。在進(jìn)行審計(jì)時(shí)要根據(jù)情況確定審計(jì)抽樣的方法及測(cè) 試的范圍。采用隨機(jī)、統(tǒng)計(jì)、判斷等抽樣方法，并合 理確定樣本量，根據(jù)抽樣樣本的實(shí)質(zhì)性測(cè)試結(jié)果 , 評(píng)價(jià) 信息系統(tǒng)控制是否達(dá)到控制目標(biāo)。當(dāng)抽樣不能達(dá)到審 計(jì)目標(biāo)時(shí)還應(yīng)采用替代程序。（2 ）審計(jì)證據(jù)質(zhì)量控制明

5、確審計(jì)取證的范圍 , 審計(jì)證據(jù)要足以支持審計(jì)報(bào) 告和審計(jì)結(jié)論中揭示的問(wèn)題；為保障審計(jì)證據(jù)的充分 性、相關(guān)性和可靠性 , 應(yīng)規(guī)范審計(jì)取證的方法，除通用 證據(jù)獲取方法外，應(yīng)根據(jù)信息系統(tǒng)取證的要求 , 側(cè)重于 利用數(shù)據(jù)工具、安全工具、測(cè)評(píng)工具、系統(tǒng)運(yùn)行監(jiān) 測(cè)、系統(tǒng)監(jiān)控檢測(cè)等方法取證 , 以規(guī)范審計(jì)取證行為。 應(yīng)恰當(dāng)處理和評(píng)價(jià)審計(jì)證據(jù) , 要求證據(jù)的提供部門確認(rèn) 其來(lái)源真實(shí)。評(píng)價(jià)審計(jì)證據(jù)時(shí) , 應(yīng)當(dāng)考慮電子數(shù)據(jù)、紙質(zhì)數(shù)據(jù)、結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)之間的相互印證 及證據(jù)來(lái)源的可靠程度。3. 審計(jì)報(bào)告質(zhì)量控制（1 ）審計(jì)工作底稿復(fù)核審計(jì)工作底稿是內(nèi)部審計(jì)人員在審計(jì)過(guò)程中形成的 審計(jì)工作記錄和獲取的資料。審

6、計(jì)工作底稿是審計(jì)證 據(jù)的載體 , 是聯(lián)系審計(jì)證據(jù)和審計(jì)結(jié)論的橋梁。審計(jì)工 作底稿的全部?jī)?nèi)容，是內(nèi)部審計(jì)人員形成審計(jì)結(jié)論、 發(fā)表審計(jì)意見(jiàn)的直接依據(jù)。審計(jì)工作底稿必須進(jìn)行復(fù) 核 , 以保證審計(jì)意見(jiàn)的正確性和審計(jì)工作底稿的規(guī)范 性。（2 ）審計(jì)報(bào)告編制、復(fù)核與交換意見(jiàn)內(nèi)部審計(jì)人員應(yīng)對(duì)審計(jì)發(fā)現(xiàn)進(jìn)行分析，使用職業(yè)判 斷，確定哪些審計(jì)發(fā)現(xiàn)應(yīng)提交給哪個(gè)層級(jí)的管理人 員。向管理層提交審計(jì)報(bào)告。審計(jì)報(bào)告具有如下特 征：足夠重要、值得向管理層報(bào)告。事實(shí)清楚、證據(jù)充分。描述客觀、公正。與所審計(jì)的事實(shí)相關(guān)。有充分的說(shuō)服力，促使組織采取糾正措施等。 除了對(duì)信息系統(tǒng)的安全性、可靠性、經(jīng)濟(jì)性發(fā)表意見(jiàn)外，還需要對(duì)信息系統(tǒng)所承

7、載的業(yè)務(wù)信息的真實(shí) 性、完整性、正確性發(fā)表意見(jiàn)。在與高級(jí)管理層溝通審計(jì)結(jié)果前，內(nèi)部審計(jì)人員應(yīng) 當(dāng)首先與被審計(jì)組織的管理人員討論審計(jì)發(fā)現(xiàn)的問(wèn) 題，在審計(jì)報(bào)告征求意見(jiàn)過(guò)程中，內(nèi)部審計(jì)人員和被 審計(jì)組織應(yīng)當(dāng)針對(duì)審計(jì)建議、預(yù)定實(shí)施日期等內(nèi)容進(jìn) 行討論，明確影響實(shí)施的各種因素。被審計(jì)組織管理 層應(yīng)當(dāng)對(duì)審計(jì)報(bào)告中描述的審計(jì)發(fā)現(xiàn)制定整改計(jì)劃 , 陳 述將要采取的整改措施及整改時(shí)間等，促進(jìn)雙方達(dá)到 一致性觀點(diǎn)。當(dāng)不能達(dá)成一致時(shí)，內(nèi)部審計(jì)人員應(yīng)當(dāng) 詳細(xì)描述審計(jì)發(fā)現(xiàn)的重要性。確保報(bào)告中反映的情況 是真實(shí)的，相關(guān)建議切實(shí)可行且符合成本效益，針對(duì) 建議的實(shí)施日期與管理層進(jìn)行討論等。（3 ）審計(jì)報(bào)告正式上報(bào)前需要考慮的

8、質(zhì)量問(wèn)題 在出具正式審計(jì)報(bào)告之前，內(nèi)部審計(jì)人員應(yīng)考慮在此期間被審計(jì)組織及其信息系統(tǒng)活動(dòng)是否會(huì)發(fā)生導(dǎo)致 重大變化的事項(xiàng) ( 如機(jī)房搬遷、更新原有模塊等 ) 。針 對(duì)這種情況，審計(jì)人員應(yīng)當(dāng)判斷這些事項(xiàng)對(duì)審計(jì)結(jié)論 和建議的影響，并采取增加審計(jì)程序、修改審計(jì)意見(jiàn) 等措施，提醒報(bào)告使用者注意上述影響。4. 歸檔質(zhì)量的控制內(nèi)部審計(jì)機(jī)構(gòu)應(yīng)當(dāng)制定保管、保留和發(fā)布審計(jì)文檔 的相關(guān)政策。各審計(jì)主體在實(shí)際工作中，應(yīng)根據(jù)相關(guān) 規(guī)范的要求管理審計(jì)文檔。5. 后續(xù)審計(jì)質(zhì)量控制實(shí)施后續(xù)審計(jì)，主要應(yīng)考慮：（1 ）審計(jì)意見(jiàn)和建議的重要性。（2 ）整改措施的復(fù)雜性。（3 ）落實(shí)整改措施所要的時(shí)間和成本。（4 ）整改措施失敗可能產(chǎn)生的影響。后續(xù)審計(jì)的 質(zhì)量管理控制包括 :（1 ）制定跟蹤程序以