信息系统审计操作流程
- 格式:doc
- 大小:862.00 KB
- 文档页数:6
下载文档原格式
合集下载
审计师如何进行信息系统审计
审计师如何进行信息系统审计信息系统审计是审计师在财务审计基础上,针对企业的信息系统进行的一项专门活动。
在当今信息化的时代,信息系统对企业的运营和决策起着至关重要的作用,因此审计师需要对信息系统进行审计以保证其安全性、有效性和合规性。
本文将重点探讨审计师在进行信息系统审计时应采取的步骤和方法。
一、审计前准备在进行信息系统审计之前,审计师需要进行充分的准备工作,包括以下方面:1.了解企业信息系统的架构和组成,包括硬件设备、软件应用、数据库等。
2.熟悉企业信息系统的运行模式和业务流程,了解企业的关键业务活动和相关风险。
3.了解企业的信息系统控制措施,包括安全管理、密码策略、访问控制等。
4.与企业的管理层和信息技术部门进行沟通,了解他们对信息系统的看法和期望。
二、风险评估和规划审计师需要对企业的信息系统风险进行评估,并制定相应的审计计划。
具体步骤如下:1.识别和评估信息系统的威胁和风险,包括内部和外部的风险因素。
2.确定审计的范围和目标,明确审计的重点和重要性。
3.制定详细的审计计划,包括时间安排、资源分配、审计方法和技术工具等。
三、数据采集和分析在进行信息系统审计时,审计师需要收集和分析相关的数据和信息,并作出评价。
具体步骤如下:1.收集信息系统的日志记录、安全策略、用户权限等相关数据。
2.使用数据分析工具对收集的数据进行预处理和清洗。
3.分析数据,并根据分析结果评估信息系统的安全性和有效性。
四、内部控制评价信息系统的内部控制是信息系统审计的重要方面,审计师需要对企业的内部控制措施进行评价。
具体步骤如下:1.评估企业的内部控制制度和流程,包括安全管理、访问控制、数据备份与恢复等。
2.检查企业的内部控制执行情况,包括授权验证、权限分离等。
3.评估内部控制的有效性,发现潜在的问题和不足,并提出改进建议。
五、审计报告和建议最后,审计师需要根据审计的结果,撰写审计报告并提出相应的建议。
具体步骤如下:1.整理审计的发现和分析结果,编写详细的审计报告。
信息系统安全审计规范
信息系统安全审计规范信息系统是现代社会无法离开的重要组成部分,然而,随着信息技术的飞速发展,信息系统也存在着诸多安全风险。
信息系统安全审计作为一种重要的保障措施,旨在确保信息系统的安全性和合规性。
为此,制定一套严格的信息系统安全审计规范是非常必要的。
一、审计目的和范围信息系统安全审计的目的是评估和验证信息系统的合规性、安全性和可靠性,发现和解决潜在的风险和漏洞。
审计范围包括但不限于以下方面:1.系统访问控制:审计人员将评估系统的用户认证、授权机制和权限管理情况,确保只有授权用户能够访问系统,并且权限分配合理。
2.数据完整性和保护:审计人员将检查系统的数据完整性保护措施,确保数据在传输、存储和处理过程中不被篡改、损坏或丢失。
3.安全事件监测与响应:审计人员将评估系统的安全事件监测与响应机制,包括入侵检测系统、日志管理和应急响应流程等,确保及时发现和应对安全事件。
4.物理安全措施:审计人员将检查系统所处的物理环境的安全措施,包括门禁、监控、防火墙等,以防止未经授权的人员进入。
5.灾备和业务连续性计划:审计人员将评估系统的灾备和业务连续性计划,并验证其可行性和有效性,以确保系统能够在灾难发生时及时恢复正常运营。
二、审计流程信息系统安全审计的流程一般包括以下步骤:1.准备和计划:明确审计目标、范围和时间计划,并与相关部门或人员进行沟通,获取必要的资源和权限。
2.信息收集:通过收集系统文档、访谈人员、查看日志等方式,获取系统的相关信息和架构。
3.风险评估:根据收集到的信息,进行风险评估,确定可能存在的风险和漏洞。
4.审计测试:根据风险评估结果,进行审计测试,包括对系统的渗透测试、安全漏洞扫描等。
5.结果分析和整理:分析审计测试的结果,归纳总结存在的问题和建议改进的措施。
6.报告编写和提交:根据审计结果,撰写审计报告,并提交给相关人员或部门。
三、审计员素质要求作为信息系统安全审计员,需要具备以下素质:1.丰富的信息系统安全知识和经验,熟悉相关的法律法规和标准。
如何进行会计信息系统审计
如何进行会计信息系统审计会计信息系统审计是指对企业会计信息系统的运行进行审计,以保证其合规性、合理性和安全性。
合理的会计信息系统审计能够有效地防范风险,提高企业的管理水平和信息质量。
本文将介绍如何进行会计信息系统审计,包括审计前准备、审计过程和审计后工作。
一、审计前准备1.明确审计目标:确定审计的目标和范围,明确审计的重点,包括审计的时间周期、审计的内容和审计的依据。
2.了解企业会计信息系统:熟悉企业的会计信息系统,包括系统的架构、功能模块、数据流程和安全控制措施等。
3.确定审计方法和技术:根据企业的需求和实际情况,选择合适的审计方法和技术,如数据采样、系统演练、追踪测试等。
二、审计过程1.内部控制评价:评估企业的内部控制体系,包括风险识别、风险评估和风险控制等方面,确保内部控制措施的有效性。
2.数据完整性检查:检查企业会计信息系统中的数据完整性和准确性,包括数据的录入、存储、传输和处理等环节,验证数据的一致性和可靠性。
3.权限和访问控制审计:审查企业会计信息系统的权限和访问控制策略,确保用户的身份识别、访问权限和操作权限的合规性和安全性。
4.系统日志审计:分析和审查企业会计信息系统的系统日志,以验证系统的正常运行情况、操作轨迹和异常事件。
5.业务流程审计:确认企业的业务流程,从源头到终点追踪核实会计信息的采集、处理和报告过程,确保业务的合规性和规范性。
三、审计后工作1.编写审计报告:根据审计的结果和发现,撰写审核报告,明确问题和风险,并提出改进措施和建议,以供企业的管理层参考。
2.跟踪审计问题:对审计报告中的问题和建议进行跟踪,确保问题的解决和改进措施的落实。
3.提供建议和培训:根据审计的经验和教训,向企业提供相关的建议和培训,帮助企业加强会计信息系统的管理和审计。
综上所述,会计信息系统审计是确保企业会计信息系统合规性和安全性的重要环节。
通过审计前的准备工作、审计过程的执行和审计后的跟踪工作,能够有效地评估和监控企业会计信息系统的风险,并提出相应的改进建议,为企业提供可靠的会计信息支持和决策依据。
信息系统审计(IT审计)操作流程(精)
信息系统审计(IT审计操作流程一、审计计划阶段计划阶段是整个审计过程的起点。
其主要工作包括:(1了解被审系统基本情况了解被审系统基本情况是实施任何信息系统审计的必经程序,对基本情况的了解有助于审计组织对系统的组成、环境、运行年限、控制等有初步印象,以决定是否对该系统进行审计,明确审计的难度,所需时间以及人员配备情况等。
了解了基本情况,审计组织就可以大致判断系统的复杂性、管理层对审计的态度、内部控制的状况、以前审计的状况、审计难点与重点,以决定是否对其进行审计。
(2初步评价被审单位系统的内部控制及外部控制传统的内部控制制度是为防止舞弊和差错而形成的以内部稽核和相互牵制为核心的工作制度。
随着信息技术特别是以Internet为代表的网络技术的发展和应用,企业信息系统进一步向深层次发展,这些变革无疑给企业带来了巨大的效益,但同时也给内部控制带来了新的问题和挑战。
加强内部控制制度是信息系统安全可靠运行的有力保证。
依据控制对象的范围和环境,信息系统内控制度的审计内容包括一般控制和应用控制两类。
一般控制是系统运行环境方而的控制,指对信息系统构成要素(人、机器、文件的控制。
它已为应用程序的正常运行提供外围保障,影响到计算机应用的成败及应用控制的强弱。
主要包括:组织控制、操作控制、硬件及系统软件控制和系统安全控制。
应用控制是对信息系统中具体的数据处理活动所进行的控制,是具体的应用系统中用来预测、检测和更正错误和处置不法行为的控制措施,信息系统的应用控制主要体现在输入控制、处理控制和输出控制。
应用控制具有特殊性,不同的应用系统有着不同的处理方式和处理环节,因而有着不同的控制问题和不同的控制要求,但是一般可把它划分为:输入控制、处理控制和输出控制。
通过对信息系统组织机构控制,系统开发与维护控制,安全性控制,硬件、软件资源控制,输入控制,处理控制,输出控制等方而的审计分析,建立内部控制强弱评价的指标系统及评价模型,审计人员通过交互式人机对话,输入各评价指标的评分,内控制审计评价系统则可以进行多级综合审计评价。
信息系统审计操作流程
信息系统审计操作流程1.审计计划阶段计划阶段是整个审计过程的起点。
其主要工作包括:(1)了解被审系统基本情况了解被审系统基本情况是实施任何信息系统审计的必经程序,对基本情况的了解有助于审计组织对系统的组成、环境、运行年限、控制等有初步印象,以决定是否对该系统进行审计,明确审计的难度,所需时间以及人员配备情况等。
了解了基本情况,审计组织就可以大致判断系统的复杂性、管理层对审计的态度、内部控制的状况、以前审计的状况、审计难点与重点,以决定是否对其进行审计。
(2)初步评价被审单位系统的内部控制及外部控制传统的内部控制制度是为防止舞弊和差错而形成的以内部稽核和相互牵制为核心的工作制度。
随着信息技术特别是以Internet为代表的网络技术的发展和应用,企业信息系统进一步向深层次发展,这些变革无疑给企业带来了巨大的效益,但同时也给内部控制带来了新的问题和挑战。
加强内部控制制度是信息系统安全可靠运行的有力保证。
依据控制对象的范围和环境,信息系统内控制度的审计内容包括一般控制和应用控制两类。
一般控制是系统运行环境方而的控制,指对信息系统构成要素(人、机器、文件)的控制。
它已为应用程序的正常运行提供外围保障,影响到计算机应用的成败及应用控制的强弱。
主要包括:组织控制、操作控制、硬件及系统软件控制和系统安全控制。
应用控制是对信息系统中具体的数据处理活动所进行的控制,是具体的应用系统中用来预测、检测和更正错误和处置不法行为的控制措施,信息系统的应用控制主要体现在输入控制、处理控制和输出控制。
应用控制具有特殊性,不同的应用系统有着不同的处理方式和处理环节,因而有着不同的控制问题和不同的控制要求,但是一般可把它划分为:输入控制、处理控制和输出控制。
通过对信息系统组织机构控制,系统开发与维护控制,安全性控制,硬件、软件资源控制,输入控制,处理控制,输出控制等方而的审计分析,建立内部控制强弱评价的指标系统及评价模型,审计人员通过交互式人机对话,输入各评价指标的评分,内控制审计评价系统则可以进行多级综合审计评价。
信息系统审计的操作流程
Байду номын сангаас
安全漏洞测试
审计人员将测试系统的安全漏洞,包括网络攻击、 恶意软件等,以确保系统的安全性。
日志分析
审计人员将分析系统的日志,以检测异常活动和 安全事件。
审计结果报告
审计结果报告将总结审计的发现和建议。报告应包括对系统的弱点和脆弱性 的详细描述,并提出改进和修复建议。
结果分析及建议
审计团队将分析审计结果,并提出改进和修复建议。这些建议应根据系统的弱点和脆弱性,以及组织的需求和 目标进行定制。
信息系统审计的操作流程
信息系统审计是评估和验证一个信息系统内控的过程。它包括信息收集、审 查和评估、内控测试、审计结果报告、结果分析及建议以及结论。
审计的定义和重要性
审计是一个关键的过程,用于评估信息系统的有效性、安全性和合规性。它 帮助组织确保其信息系统的可靠性,保护敏感信息,并遵守相关法规和标准。
结论
审计是一个持续的过程,需要定期进行,以确保信息系统的安全性和有效性。通过遵循审计过程,组织可以提 高其信息系统的安全性和合规性。
信息收集阶段
在信息收集阶段,审计团队会收集关于信息系统的相关信息,包括系统架构、安全策略、访问控制措施等。这 些信息将为后续的审查和评估提供基础。
审查和评估阶段
1
系统配置
审计人员将审查系统配置,包括硬件、
安全漏洞评估
2
软件、网络设置等,以确保其符合最佳 实践和安全标准。
审计人员将评估系统的安全漏洞,包括
潜在的漏洞、弱点和脆弱性,以确保系
统的安全性。
3
授权和访问控制
审计人员将审查系统的授权和访问控制 措施,包括用户权限、角色分配等,以 确保系统只能被授权的用户访问。
安全漏洞测试
审计人员将测试系统的安全漏洞,包括网络攻击、 恶意软件等,以确保系统的安全性。
日志分析
审计人员将分析系统的日志,以检测异常活动和 安全事件。
审计结果报告
审计结果报告将总结审计的发现和建议。报告应包括对系统的弱点和脆弱性 的详细描述,并提出改进和修复建议。
结果分析及建议
审计团队将分析审计结果,并提出改进和修复建议。这些建议应根据系统的弱点和脆弱性,以及组织的需求和 目标进行定制。
信息系统审计的操作流程
信息系统审计是评估和验证一个信息系统内控的过程。它包括信息收集、审 查和评估、内控测试、审计结果报告、结果分析及建议以及结论。
审计的定义和重要性
审计是一个关键的过程,用于评估信息系统的有效性、安全性和合规性。它 帮助组织确保其信息系统的可靠性,保护敏感信息,并遵守相关法规和标准。
结论
审计是一个持续的过程,需要定期进行,以确保信息系统的安全性和有效性。通过遵循审计过程,组织可以提 高其信息系统的安全性和合规性。
信息收集阶段
在信息收集阶段,审计团队会收集关于信息系统的相关信息,包括系统架构、安全策略、访问控制措施等。这 些信息将为后续的审查和评估提供基础。
审查和评估阶段
1
系统配置
审计人员将审查系统配置,包括硬件、
安全漏洞评估
2
软件、网络设置等,以确保其符合最佳 实践和安全标准。
审计人员将评估系统的安全漏洞,包括
潜在的漏洞、弱点和脆弱性,以确保系
统的安全性。
3
授权和访问控制
审计人员将审查系统的授权和访问控制 措施,包括用户权限、角色分配等,以 确保系统只能被授权的用户访问。
信息系统审计IT审计操作流程
信息系统审计I T审计操作流程IMB standardization office【IMB 5AB- IMBK 08- IMB 2C】信息系统审计(IT审计)操作流程一、审计计划阶段计划阶段是整个审计过程的起点。
其主要工作包括:(1)了解被审系统基本情况了解被审系统基本情况是实施任何信息系统审计的必经程序,对基本情况的了解有助于审计组织对系统的组成、环境、运行年限、控制等有初步印象,以决定是否对该系统进行审计,明确审计的难度,所需时间以及人员配备情况等。
了解了基本情况,审计组织就可以大致判断系统的复杂性、管理层对审计的态度、内部控制的状况、以前审计的状况、审计难点与重点,以决定是否对其进行审计。
(2)初步评价被审单位系统的内部控制及外部控制传统的内部控制制度是为防止舞弊和差错而形成的以内部稽核和相互牵制为核心的工作制度。
随着信息技术特别是以Internet为代表的网络技术的发展和应用,企业信息系统进一步向深层次发展,这些变革无疑给企业带来了巨大的效益,但同时也给内部控制带来了新的问题和挑战。
加强内部控制制度是信息系统安全可靠运行的有力保证。
依据控制对象的范围和环境,信息系统内控制度的审计内容包括一般控制和应用控制两类。
一般控制是系统运行环境方而的控制,指对信息系统构成要素(人、机器、文件)的控制。
它已为应用程序的正常运行提供外围保障,影响到计算机应用的成败及应用控制的强弱。
主要包括:组织控制、操作控制、硬件及系统软件控制和系统安全控制。
应用控制是对信息系统中具体的数据处理活动所进行的控制,是具体的应用系统中用来预测、检测和更正错误和处置不法行为的控制措施,信息系统的应用控制主要体现在输入控制、处理控制和输出控制。
应用控制具有特殊性,不同的应用系统有着不同的处理方式和处理环节,因而有着不同的控制问题和不同的控制要求,但是一般可把它划分为:输入控制、处理控制和输出控制。
通过对信息系统组织机构控制,系统开发与维护控制,安全性控制,硬件、软件资源控制,输入控制,处理控制,输出控制等方而的审计分析,建立内部控制强弱评价的指标系统及评价模型,审计人员通过交互式人机对话,输入各评价指标的评分,内控制审计评价系统则可以进行多级综合审计评价。
信息系统审计程序
信息系统审计程序信息系统审计程序一般包括审计准备、审计实施、审计报告和后续审计四个阶段。
一、审计准备(一)审前准备内部审计人员在实施信息系统审计前,需要根据信息系统审计目标,开展审前调查,收集法规、制度依据以及其他有关资料。
审前调查主要了解组织信息系统的治理管理体制、总体架构、规划和建设、应用管理情况等。
具体如下:1.治理、管理体制。
主要了解信息系统管理机构设置、管理职责、工作流程等。
2.系统总体架构(1)系统分布。
包括系统数量、规模和分布,绘制信息系统分布图。
(2)信息系统主要类型。
(3)各信息系统的基本情况和系统之间的关联关系。
(4)信息系统应用覆盖面及应用程度。
3.规划和建设情况(1)规划:信息系统发展规划以及规划、年度计划落实情况。
(2)建设:信息系统建设程序、投入、管理,了解已完成系统和在建系统。
(3)使用:信息系统应用管理制度、使用率、应用中存在的主要问题、困难和矛盾。
(二)编制审计工作方案根据审前准备情况,编制信息系统审计工作方案,方案内容包括但不限于被审计组织信息系统的基本情况。
包括信息系统项目建设及应用情况、审计目的、审计依据、审计对象与范围、审计内容重点及方法、审计步骤与时间安排、审计组与人员分工等。
在审计组组成环节,审计部门可以借助外部专家的力量,在审计组中应当有具备信息技术经验和知识的专兼职审计专家,便于补充提高审计组的胜任能力。
二、审计实施审计实施是内部审计人员依据审计计划实施现场审计的过程。
内部审计人员应结合审前准备了解的内容,按照被审计组织的信息化环境、业务流程、内控制度等方面的风险,明确具体项目审计目标、细化审计内容,突出审计重点。
实施阶段主要应完成以下工作:(一)了解评估被审计组织的信息系统内部控制1.收集被审计组织信息系统的内部控制管理制度及流程,对被审计组织相关人员进行访谈,了解组织的信息系统决策及管理政策、方法、控制活动主要内容包括但不限于:(1)信息系统内部控制环境。
信息系统审计方法与操作指引
2019/12/5
5
IT一般控制审计程序
影响变更管理测试性质和范围因素(续)
1.2.2 变更类型 要确定最适当的测试方法,了解和记录用于变更管理过程,包括 针对以下变更类型和IT环境技术组成要素过程:
► 程序开发/采购 — 开发和实施新应用程序或界面。 ► 程序变更 — 对现有应用程序和界面进行的变更。 ► 系统软件维护 — 对数据库、操作系统和其他系统软件进
风险控制矩阵是 对风险所导致负 面影响的量化, 从严重性、发生 概率和所涉及范 围等方面进行描 述,使得对风险 的刻画更为有效 和清晰。
识别出关键系统 的系统配置,包 括系统描述、应 用系统来源、计 算机平台、操作 系统、数据库名 称和版本等有关 系统的信息。
测试模板
根据对信息系统 的初步了解,设 计出相应的测试 模板,包括风险 点、控制点、测 试范围、测试时 间、测试步骤等 信息
IT一般控制是指为保证在一段时期内应用控制持续有效性,而在系统变更 和数据访问等方面的系统控制。因为这些控制对一个以上应用程序和数据 集都有效,所以被称为“IT一般控制”。
IT一般控制分类
变更管理:只允许对应用程序、界面、数据库和操作系统进行适当授权、 测试和批准的变更。
逻辑访问:只有经过授权的人员,才可以访问数据和应用程序(包括程序、 表和相关资源),并且他们只能执行明确授权的功能(例如:询问、执行 和更新)。
制要求修改密码。
2019/12/5
13
IT一般控制审计程序方法论
了解IT流程方法
为了解IT流程,参与评估人员需要在内控文档中对如下内容进行关注: 5个W(WHO, WHEN, WHAT,WHERE, WHY )与1个H( HOW )
信息系统审计的操作流程
撰写审计报告初稿
确定报告目的和范围 收集和整理审计证据 分析和评估审计结果 编写审计报告初稿 审核和修改审计报告初稿 提交审计报告初稿
与被审计单位沟通确认
确定审计目的和范围
确定审计报告的格式和内容
确定审计时间表和审计人员
确定审计报告的提交时间和方式
确定审计方法和工具
确定审计报告的保密性和保密措施
总结和经验分享
审计结果分析:对审计过程中发现的问题进行深入分析,找出原因并 提出改进措施
审计报告撰写:根据审计结果,撰写详细的审计报告,包括审计过 程、发现的问题、改进建议等
审计结果沟通:与相关部门进行沟通,确保审计结果得到理解和认可
审计结果应用:将审计结果应用于信息系统的改进和优化,提高信 息系统的安全性和稳定性
报告修订和定稿
审计报告初稿完成后,需要经过多次修订和完善 修订过程中,需要根据审计结果和客户反馈进行调整 定稿前,需要经过内部审核和外部专家评审 定稿后,需要提交给客户,并做好后续跟踪和反馈工作
报告分发和归档
报告分发:将审计报告发送给相关领导和部门,确保信息及时传达
归档管理:将审计报告进行归档,便于日后查询和参考
数据验证:对数据进行验证和确认
数据清洗:对数据进行清洗和整理, 去除无效数据
数据分析:对数据进行分析和解读, 得出结论
风险评估和控制测试
风险评估:识别信息系统中的风险,评估其可能性和影响程度 控制测试:验证信息系统内部控制是否有效,确保风险得到控制 风险应对:制定风险应对措施,降低风险发生的可能性和影响程度 持续监控:定期对信息系统进行监控,确保风险得到持续控制
优化审计流程和方法
定期评估审计流程的效率 和效果
引入自动化审计工具,提 高审计效率
信息系统审计的操作流程
数据结构验证法:结合数据字典,检查数据之间逻辑关系以验证输入 数据正确性和保存数据完整性,包括业务数据与财务数据对比验证及 各业务数据表间勾稽关系核对。
这里的穿行测试,是指审计人员亲自执行一次业务发生过程。比如, 高速公路审计中,审计人员在不通知被审计单位的情况下,亲自驾 车体验高速公路收费合理性;又如,审计人员以普通人员身份试图 进入对方核心机房,以检测被审计单位信息系统物理访问控制的安 全性等。穿行测试是通过追踪交易在信息系统中的处理过程,来证 实审计人员对控制的了解并评价控制设计的有效性以及确定控制是 否得到执行。
应用控制:是对信息系统中具体的数据处理活动所进行的控制, 是具体的应用系统中用来预测、检测和更正错误和处置不法行为 的控制措施,信息系统的应用控制主要体现在输入控制、处理控 制和输出控制。应用控制具有特殊性,不同的应用系统有着不同 的处理方式和处理环节,因而有着不同的控制问题和不同的控制 要求,但是一般可把它划分为:输入控制、处理控制和输出控制。
1、整理、评价执行审计业务过程中收集到的证据 。 2、复核审计底稿,完成二级复核 。
3、评价审计结果,形成审计意见,完成三级复核,编 制审计报告。
附录:信息系统审计方法
几种常见的用于信息系统审计的传统审计方法 :
1、观察、查看与穿行测试:
审计人员通过到信息系统相关部门观察技术人员工作情况以了解其 内控执行是否到位,上机查看以证实有关电脑确实发挥相应功能, 查阅系统日志和运行维护记录以了解系统最近一段时间内是否发生 错误。同时,索取并检查业务文档资料,如系统规划方案、数据字 典、运行维护记录、说明文档及相关合同等以了解信息系统的相关 情况。
利用数据进行审计可以将传统的审计经验和计算机技术结合起来,使 审计人员在现有的条件下进行信息系统审计。通过对电子数据的审查, 来推断信息系统本身所存在的缺陷。
这里的穿行测试,是指审计人员亲自执行一次业务发生过程。比如, 高速公路审计中,审计人员在不通知被审计单位的情况下,亲自驾 车体验高速公路收费合理性;又如,审计人员以普通人员身份试图 进入对方核心机房,以检测被审计单位信息系统物理访问控制的安 全性等。穿行测试是通过追踪交易在信息系统中的处理过程,来证 实审计人员对控制的了解并评价控制设计的有效性以及确定控制是 否得到执行。
应用控制:是对信息系统中具体的数据处理活动所进行的控制, 是具体的应用系统中用来预测、检测和更正错误和处置不法行为 的控制措施,信息系统的应用控制主要体现在输入控制、处理控 制和输出控制。应用控制具有特殊性,不同的应用系统有着不同 的处理方式和处理环节,因而有着不同的控制问题和不同的控制 要求,但是一般可把它划分为:输入控制、处理控制和输出控制。
1、整理、评价执行审计业务过程中收集到的证据 。 2、复核审计底稿,完成二级复核 。
3、评价审计结果,形成审计意见,完成三级复核,编 制审计报告。
附录:信息系统审计方法
几种常见的用于信息系统审计的传统审计方法 :
1、观察、查看与穿行测试:
审计人员通过到信息系统相关部门观察技术人员工作情况以了解其 内控执行是否到位,上机查看以证实有关电脑确实发挥相应功能, 查阅系统日志和运行维护记录以了解系统最近一段时间内是否发生 错误。同时,索取并检查业务文档资料,如系统规划方案、数据字 典、运行维护记录、说明文档及相关合同等以了解信息系统的相关 情况。
利用数据进行审计可以将传统的审计经验和计算机技术结合起来,使 审计人员在现有的条件下进行信息系统审计。通过对电子数据的审查, 来推断信息系统本身所存在的缺陷。
信息系统审计(IT审计)操作流程(精)
信息系统审计(IT审计)操作流程概述信息系统审计作为一项重要的资产保护工作,其目的是确保信息系统运转的安全性和有效性。
通过信息系统审计可以发现系统中存在的漏洞和安全隐患,从而提供保障信息系统运行的措施。
本文将介绍IT审计的操作流程,以及过程和注意事项,希望能帮助读者更好地进行IT审计。
IT审计的操作流程1.确认审计范围和目标:在开始IT审计工作前,需先明确审计范围和目标,以便后续的审计工作能有章可循,确保审计结果的严谨性和有效性。
2.制定审计计划:明确审计目的、内容及方法,以及审计工作人员和工作时间。
审计计划需结合实际情况,并考虑到时间和人员资源的限制。
3.实施初步调查:通过初步调查,了解系统业务背景、环境、技术架构等信息,确定系统运作的主要流程和业务规则,为后续的审计工作打好基础。
4.审计准备工作:包括取得相关资料、导入审计工具、配置审计环境、制定数据备份计划等,确保严格遵循数据保密规定。
5.进行实际审计:按照审计计划中的要求,进行真正的审计工作。
包括对系统的安全性、业务流程、技术环境、数据完整性、程序异常等进行审计,发现问题并记录下来。
6.形成审计报告:根据审计结果,形成审计报告。
报告应包括审计的目标和范围、审计方法、审计和建议,以及对问题的排查和解决方案等。
7.提出审计建议:根据审计结果,提出针对发现的问题的改进建议,包括技术和管理两方面。
建议需具有可操作性和有效性。
注意事项在IT审计中需注重以下事项:数据保护和保密在进行IT审计工作时,需要严格遵守保密原则,确保审计过程中的数据与信息不泄露。
需要制定数据备份计划,确保数据的完整性。
审计的客观性和独立性需要确保IT审计工作的独立性和客观性,不受外界干扰,确保审计结果的真实性。
技术知识和技能IT审计需要具备一定的技术知识和技能,包括信息安全管理、网络安全技术等方面的知识,并了解常见的攻击手段和防范措施。
IT审计是确保信息系统安全和有效的关键措施,对于企业或机构来说具有重要意义。
信息系统审计方法与操作指引
如果系统生成清单不可用,可以考虑以下组合: ✓ 获取被审计公司变更清单(手工维护清单或来自自动跟踪系统清单); ✓ 确定程序变更清单是完整的。通过查找编译日期在审计期间内的可执行模块来
获取实际变更清单,从该清单中选择一个在此期间发生的变更样本,并验证从 被审计机构那里获取的变更清单上是否存在该变更。
开始
SAF
本部/事业部
初步分析/需求整 合修改 SAF
确认进行 N
可行性分析 需求申请
N
需求分析与业务需求文档编写
影响逻辑访问测试性质和范围因素(续)
2.2.2 定期用户权限复核控制的补偿性控制
➢ 与离职和调动用户相关的ITGC通常是补偿性控制,用于弥补定期用户
访问复核过程的缺陷。如果审计方法表明需要测试离职和调动用户, 我们应考虑以下程序: ➢ 测试程序 — 离职用户:获取审计期间离职职员清单,并确定它是完整
信息系统审计方法与操作指引
5
IT一般控制审计程序
影响变更管理测试性质和范围因素(续)
1.2.2 变更类型 要确定最适当的测试方法,了解和记录用于变更管理过程,包括 针对以下变更类型和IT环境技术组成要素过程:
► 程序开发/采购 — 开发和实施新应用程序或界面。 ► 程序变更 — 对现有应用程序和界面进行的变更。 ► 系统软件维护 — 对数据库、操作系统和其他系统软件进
➢ 询问:通过向相关人员访谈了解各个系统是否存在用户初始密码更改控
制,由什么岗位负责这项工作,是否有制度对初始密码作出规定等。
➢ 观察:观察一个系统新用户初次登陆时,系统是否提示修改密码。 ➢ 检查:检查系统安全参数设置,确保使用正确的参数强制用户在初次
登录后修改密码。
➢ 重新执行:申请一个测试账号,在系统中初次登录时查看系统是否强
获取实际变更清单,从该清单中选择一个在此期间发生的变更样本,并验证从 被审计机构那里获取的变更清单上是否存在该变更。
开始
SAF
本部/事业部
初步分析/需求整 合修改 SAF
确认进行 N
可行性分析 需求申请
N
需求分析与业务需求文档编写
影响逻辑访问测试性质和范围因素(续)
2.2.2 定期用户权限复核控制的补偿性控制
➢ 与离职和调动用户相关的ITGC通常是补偿性控制,用于弥补定期用户
访问复核过程的缺陷。如果审计方法表明需要测试离职和调动用户, 我们应考虑以下程序: ➢ 测试程序 — 离职用户:获取审计期间离职职员清单,并确定它是完整
信息系统审计方法与操作指引
5
IT一般控制审计程序
影响变更管理测试性质和范围因素(续)
1.2.2 变更类型 要确定最适当的测试方法,了解和记录用于变更管理过程,包括 针对以下变更类型和IT环境技术组成要素过程:
► 程序开发/采购 — 开发和实施新应用程序或界面。 ► 程序变更 — 对现有应用程序和界面进行的变更。 ► 系统软件维护 — 对数据库、操作系统和其他系统软件进
➢ 询问:通过向相关人员访谈了解各个系统是否存在用户初始密码更改控
制,由什么岗位负责这项工作,是否有制度对初始密码作出规定等。
➢ 观察:观察一个系统新用户初次登陆时,系统是否提示修改密码。 ➢ 检查:检查系统安全参数设置,确保使用正确的参数强制用户在初次
登录后修改密码。
➢ 重新执行:申请一个测试账号,在系统中初次登录时查看系统是否强
信息系统审计内容及重点、步骤和方法
信息系统审计内容及重点、步骤和方法一、审计内容(一)信息系统一般控制情况1.信息系统总体控制情况;2.信息安全技术控制情况;3.信息安全管理控制情况。
(二)信息系统应用控制情况1.信息系统业务流程控制情况;2.数据输入、处理和输出控制情况;3.信息共享和业务协同情况。
二、审计重点及审计步骤和方法(一)一般控制审计1.总体控制审计审计思路:通过检查被审计单位信息系统总体控制的战略规划、组织架构、制度机制、岗位职责、内部监督等,分析信息系统在内部环境、风险评估、控制活动、信息与沟通、内部监督方面的有效性及其风险,形成信息系统总体控制的审计评价和结论。
审计方法:召开座谈会、发放调查问卷、查阅文件等。
审计步骤:(1)战略规划评价。
检查被审计单位是否建立了信息系统战略发展规划,是否明确了战略目标、整体规划、实现指标和相应的实施机制。
(2)组织架构评价。
检查被审计单位是否建立了与信息系统战略发展规划相匹配的决策与管理层领导机构、项目实施层工作机构,以及行业内各层级的信息化工作机构,是否建立了各类机构的权力责任和制约机制。
(3)制度体系评价。
检查被审计单位是否建立了与信息系统战略规划和组织架构相匹配的项目管理制度、项目建设制度、质量检查制度等。
4)岗位职责评价。
检查被审计单位信息系统规划、建设、运维等方面的岗位设置、人员配置、岗位职责。
(5)内部监督评价。
检查被审计单位是否建立健全了信息系统建设和运维全过程的内部监督机构和监督机制,是否形成了对信息系统的风险评估、控制活动和信息交互等方面的有效控制和监督。
2.信息安全技术控制审计审计思路:通过检查被审计单位信息系统的信息安全技术及其控制的整体方案,检查安全计算环境、区域边界、通讯网络等方面的安全策略和技术设计,检查信息系统的安全技术配置和防护措施,发现并揭示信息系统安全技术控制的缺失,分析并评价风险程度,形成信息安全技术控制的审计结论。
审计方法:实地观察法、审阅法、系统测试法和利用入侵检测、漏洞扫描等工具的安全工具检测法,以及利用网络分析检测、系统配置检测、日志分析检测等工具的测评工具检测法。
信息系统审计的操作流程(两篇)
信息系统审计的操作流程(二)引言概述信息系统审计是一项重要的管理工具,可以帮助组织评估和改进其信息系统的安全性和可靠性。
在信息系统审计的操作流程中,需要遵循一系列的步骤和方法来完成审计工作。
本文将深入探讨信息系统审计的操作流程,并从五个大点展开详细阐述。
正文内容一、确定审计目标和范围1.1 审计目标的确定在进行信息系统审计之前,需要明确审计的目标。
审计目标可以包括评估信息系统的安全性、可靠性、合规性等方面。
同时,审计目标应该与组织的业务目标相一致,以确保审计工作能够为组织带来实际的价值。
1.2 审计范围的确定确定审计范围是信息系统审计流程中的一项重要任务。
审计范围应该包括要审计的信息系统、关键业务流程和相关的技术环境。
同时,还需要考虑审计资源和时间的限制,确保审计工作的有效性和高效性。
二、收集审计证据2.1 形成审计计划在进行信息系统审计之前,需要制定详细的审计计划。
审计计划应包括审计的时间安排、审计工作的任务分配、审计人员的资质要求等内容。
通过制定审计计划,可以确保审计工作的有序进行。
2.2 采集相关资料在进行信息系统审计时,需要收集大量的相关资料,包括系统运行日志、安全策略和流程文件、用户权限和访问控制等。
通过收集这些资料,可以了解信息系统的运行情况和关键控制措施的有效性。
2.3 进行数据采样在进行信息系统审计时,通常无法对整个系统进行全面审计,因此需要进行数据采样。
数据采样可以帮助审计人员获取系统的典型数据,并对其进行分析和评估。
三、分析和评估审计结果3.1 对数据进行质量和完整性检查在进行信息系统审计时,需要对采集到的数据进行质量和完整性检查,以确保审计结果的准确性和可靠性。
质量和完整性检查可以包括数据清洗、异常数据检测等步骤。
3.2 对系统控制措施进行评估在分析和评估审计结果时,需要对系统的控制措施进行评估。
评估控制措施的有效性,包括访问控制、身份验证、日志记录等方面,可以帮助发现潜在的安全风险和漏洞。
审计师如何进行信息系统审计
审计师如何进行信息系统审计信息系统审计是审计师对企业的信息系统进行审核和评估的过程。
在现代企业中,信息系统已经成为企业管理和运营的核心,因此对信息系统的审计显得尤为重要。
本文将介绍审计师进行信息系统审计的步骤和方法,并探讨其重要性和挑战。
一、确定审计目标和范围信息系统审计的第一步是明确审计的目标和范围。
审计师需要了解企业的业务流程和信息系统的关键功能,确定需要审计的系统和数据。
同时,审计师还需要确定审计的时间范围和审计的深度,以确保整个审计过程的有效性和可行性。
二、收集和分析资料审计师在进行信息系统审计前,需要对企业的信息系统进行充分的调查和了解。
他们需要收集和分析有关系统开发、实施和运营的相关文档和数据,包括系统的设计文档、操作手册、用户手册等。
通过对这些资料的分析,审计师可以了解系统的架构、功能和运行情况,从而为后续的审计工作做好准备。
三、评估系统的风险和控制信息系统的审计重点之一是评估系统的风险和控制。
审计师需要识别和评估系统存在的潜在风险,并评估企业已经采取的控制措施的有效性。
他们可以使用各种技术和方法,如风险分析、系统漏洞扫描和安全审计等,来检测和评估系统的安全性和可靠性。
四、进行系统测试信息系统审计的另一个重要环节是对系统进行测试。
审计师可以采用模拟测试、功能测试和性能测试等方法,验证系统是否按照设计要求和业务需求正常运行。
他们还可以对系统的安全性进行渗透测试,以发现系统存在的潜在漏洞和威胁。
五、评估系统的合规性在信息系统审计中,审计师还需要评估系统的合规性。
他们需要了解并评估系统是否符合相关的法律法规和行业标准,如GDPR、HIPAA等。
审计师还需要检查系统的备份和恢复策略,以确保系统数据的安全性和完整性。
六、整理审计报告信息系统审计的最后阶段是整理审计报告。
审计师需要将整个审计过程的发现和评估结果进行总结和归纳,形成可阅读和理解的审计报告。
报告应包括系统的优点和问题,提出改进意见和建议,并对系统的安全性和合规性进行评估和结论。
中国注册会计师审计信息系统(操作指引)
底稿复核 9000审计报告 项目归档
4
Yonyou Software Corporation
作业系统初次安装
可在单机环境下进行,运行系统安装程序UFCPA1Setup(CPA审计软件).EXE, 按照操作向导安装即可(请安装在非C盘)。 1.初次安装作业系统:根据操作向导一步步完成操作。完成安装之后,点 击桌面形成的“XXX审计信息系统V1.2”的图标,提示进行数据库初始化,
13
Yonyou Software Corporation
作业系统操作流程
新建项目 (同步/导入) 风险评估和总体审计策略 (执行)
评估重大错报风险
数据准备 (导入及处理)
确定重要性水平和 重要账户(初步)
风险应对 (控制测试和实质性程序)
数据分析
了解和评价内部控 制
审计完成
初步业务活动
了解被审计单位及 其环境
中国注册会计师审计信息系统
操作指引
1
目录(项目准备)
作业系统安装(初次、升级、彻底卸载) 作业系统操作流程 新建项目—作业系统 项目协同(项目分发、合并、同步)
数据准备
数据分析
2
Yonyou Software Corporation
目录(风险导向审计)
1000初步业务活动底稿 2000(了解企业及其环境[不包括内部控制])底稿 3000(了解企业内部控制及其设计)底稿 确定重要性水平 确定重要账户及相关流程
根据向导完成操作即可(其中admin的密码是admin)。
建议安装环境:office2007/2010 ;win7
5
Yonyou Software Corporation
作业系统升级安装
2.后续安装升级包:直接双击最新的安装包,进行覆盖安装即可,操作同 初次安装(无需安装MSDE)。完成安装之后,进行数据库初始化,选择需 要保留的项目。相较于初次安装,还需要进行数据库升级的操作。 另外,后续导入旧项目,也需要进行数据库升级。
4
Yonyou Software Corporation
作业系统初次安装
可在单机环境下进行,运行系统安装程序UFCPA1Setup(CPA审计软件).EXE, 按照操作向导安装即可(请安装在非C盘)。 1.初次安装作业系统:根据操作向导一步步完成操作。完成安装之后,点 击桌面形成的“XXX审计信息系统V1.2”的图标,提示进行数据库初始化,
13
Yonyou Software Corporation
作业系统操作流程
新建项目 (同步/导入) 风险评估和总体审计策略 (执行)
评估重大错报风险
数据准备 (导入及处理)
确定重要性水平和 重要账户(初步)
风险应对 (控制测试和实质性程序)
数据分析
了解和评价内部控 制
审计完成
初步业务活动
了解被审计单位及 其环境
中国注册会计师审计信息系统
操作指引
1
目录(项目准备)
作业系统安装(初次、升级、彻底卸载) 作业系统操作流程 新建项目—作业系统 项目协同(项目分发、合并、同步)
数据准备
数据分析
2
Yonyou Software Corporation
目录(风险导向审计)
1000初步业务活动底稿 2000(了解企业及其环境[不包括内部控制])底稿 3000(了解企业内部控制及其设计)底稿 确定重要性水平 确定重要账户及相关流程
根据向导完成操作即可(其中admin的密码是admin)。
建议安装环境:office2007/2010 ;win7
5
Yonyou Software Corporation
作业系统升级安装
2.后续安装升级包:直接双击最新的安装包,进行覆盖安装即可,操作同 初次安装(无需安装MSDE)。完成安装之后,进行数据库初始化,选择需 要保留的项目。相较于初次安装,还需要进行数据库升级的操作。 另外,后续导入旧项目,也需要进行数据库升级。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统审计操作流程
1.审计计划阶段
计划阶段是整个审计过程的起点。
其主要工作包括:
(1)了解被审系统基本情况
了解被审系统基本情况是实施任何信息系统审计的必经程序,对基本情况的了解有助于审计组织对系统的组成、环境、运行年限、控制等有初步印象,以决定是否对该系统进行审计,明确审计的难度,所需时间以及人员配备情况等。
了解了基本情况,审计组织就可以大致判断系统的复杂性、管理层对审计的态度、内部控制的状况、以前审计的状况、审计难点与重点,以决定是否对其进行审计。
(2)初步评价被审单位系统的内部控制及外部控制
传统的内部控制制度是为防止舞弊和差错而形成的以内部稽核和相互牵制为核心的工作制度。
随着信息技术特别是以Internet为代表的网络技术的发展和应用,企业信息系统进一步向深层次发展,这些变革无疑给企业带来了巨大的效益,但同时也给内部控制带来了新的问题和挑战。
加强内部控制制度是信息系统安全可靠运行的有力保证。
依据控制对象的范围和环境,信息系统内控制度的审计内容包括一般控制和应用控制两类。
一般控制是系统运行环境方而的控制,指对信息系统构成要素(人、机器、文件)的控制。
它已为应用程序的正常运行提供外围保障,影响到计算机应用的成败及应用控制的强弱。
主要包括:组织控制、操作控制、硬件及系统软件控制和系统安全控制。
应用控制是对信息系统中具体的数据处理活动所进行的控制,是具体的应用系统中用来预测、检测和更正错误和处置不法行为的控制措施,信息系统的应用控制主要体现在输入控制、处理控制和输出控制。
应用控制具有特殊性,不同的应用系统有着不同的处理方式和处理环节,因而有着不同的控制问题和不同的控制要求,但是一般可把它划分为:输入控制、处理控制和输出控制。
通过对信息系统组织机构控制,系统开发与维护控制,安全性控制,硬件、软件资源控制,输入控制,处理控制,输出控制等方而的审计分析,建立内部
控制强弱评价的指标系统及评价模型,审计人员通过交互式人机对话,输入各评价指标的评分,内控制审计评价系统则可以进行多级综合审计评价。
通过内控制度的审计,实现对系统的预防性控制,检测性控制和纠正性控制。
(3)识别重要性
为了有效实现审计目标,合理使用审计资源,在制定审计计划时,信息系统审计人员应对系统重要性进行适当评估。
对重要性的评估一般需要运用专业判断。
考虑重要性水平时要根据审计人员的职业判断或公用标准,系统的服务对象及业务性质,内控的初评结果。
重要性的判断离不开特定环境,审计人员必须根据具体的信息系统环境确定重要性。
重要性具有数量和质量两个方面的特征。
越是重要的子系统,就越需要获取充分的审计证据,以支持审计结论或意见。
(4)编制审计计划
经过以上程序,为编制审计计划提供了良好准备,审计人员就可以据以编制总体及具体审计计划。
总体计划包括:被审单位基本情况;审计目的、审计范围及策略;重要问题及重要审计领域;工作进度及时间;审计小组成员分工;重要性确定及风险评估等。
具体计划包括:具体审计目标;审计程序;执行人员及时间限制等。
2.审计实施阶段
做好上诉材料的充分的准备,便可进行审计实施,具体包括以下内容:
(1)对信息系统计划开发阶段的审计
对信息系统计划开发阶段的审计包括对计划的审计和对开发的审计,可以采用事中审计,也可以是事后审计。
比较而言事中审计更有意义,审计结果的得出利于故障、问题的及早发现,利于调整计划,利于开发顺序的改进。
信息系统计划阶段的关键控制点有:计划是否有明确的目的,计划中是否明确描述了系统的效果,是否明确了系统开发的组织,对整体计划进程是否正确预计,计划能否随经营环境改变而及时修正,计划是否制定有可行性报告,关于计划的过程和结果是否有文档记录等等。
系统开发阶段包括系统分析、系统设计、代码编写和系统测试三部分。
其中
涉及包括功能需求分析、业务数据分析、总体框架设计、结构设计、代码设计、数据库设计、输入输出设计、处理流程及模块功能的设计。
编程时依据系统设计阶段的设计图及数据库结构和编码设计,用计算机程序语言来实现系统的过程。
测试包括动态测试和静态测试,是系统开发完毕,进入试运行之前的必经程序。
其关键控制点有:
分析控制点:是否己细致分析企业组织结构;是否确定用户功能和性能需求;是否确定用户的数据需求等。
设计控制点:设计界面是否方便用户使用;设计是否与业务内容相符;性能能否满足需要,是否考虑故障对策和安全保护等。
编程控制点:是否有程序说明书,并按照说明书进行编写;编程与设计是否相符,有无违背编程原则;程序作者是否进行自测;是否有程序作者之外的第三人进行测试;编程的书写、变量的命名等是否规范。
测试控制点:测试数据的选取是否按计划及需要进行,是否具有代表性;测试是否站在公正客观的立场进行,是否有用户参与测试;测试结果是否正确记录等。
(2)对信息系统运行维护阶段的审计
对信息系统运行维护阶段的审计又细分为对运行阶段的审计和对维护阶段的审计。
系统运行过程的审计是在信息系统正式运行阶段,针对信息系统是否被正确操作和是否有效地运行,从而真正实现信息系统的开发目标、满足用户需求而进行的审计。
对信息系统运行过程的审计分为系统输入审计、通信系统审计、处理过程审计、数据库审计、系统输出审计和运行管理审计六大部分。
输入审计的关键控制点有:是否制定并遵守输入管理规则,是否有数据生成顺序、处理等的防错、保护措施、防错、保护措施是否有效等。
通信系统实施的是实际数据的传输,通信系统中,审计轨迹应记录输入的数据、传送的数据和工作的通信系统。
通信系统审计的关键控制点有:是否制定并遵守通信规则,对网络存取控制及监控是否有效等。
处理过程指处理器在接收到输入的数据后对数据进行加工处理的过程,此时的审计主要针对数据输入系统后是否被正确处理。
关键控制点有:被处理的数据,数据处理器,数据处理时间,数据处理后的结果,数据处理实现的目的,
系统处理的差错率,平均无故障时间,可恢复性和平均恢复时间等。
数据库审计是保障数据库正确行使了其职能,如对数据操作的有效性和发生异常操作时对数据的保护功能(正确数据不丢失,数据回滚以保证数据的一致性)。
其关键控制点有:对数据的存取控制及监视是否有效,是否记录数据利用状况,并定期分析,是否考虑数据的保护功能,是否有防错、保密功能,防错、保密功能是否有效等。
输出审计不同于测试阶段的输出审计,此时的输出是在实际数据的基础上进行的,对其进行审计可以对系统输出进行再控制,结合用户需求进行评价。
关键控制点有:输出信息的获取及处理时是否有防止不正当行为和机密保护措施,输出信息是否准确、及时,输出信息的形式是否被客户所接受,是否记录输出出错情况并定期分析等。
运行管理审计是对人机系统中人的行为的审计。
关键控制点有:操作顺序是否标准化,作业进度是否有优先级,操作是否按标准进行,人员交替是否规范,能否对预计于实际运行的差异进行分析,遇问题时能否相互沟通,是否有经常性培训与教育等。
维护过程的审计包括对维护计划、维护实施、改良系统的试运行和旧系统的废除等维护活动的审计。
维护过程的关键控制点有:维护组织的规模是否适应需要,人员分工是否明确,是否有一套管理机制和协调机制,维护过程发现的可改进点,维护是否得到维护负责人同意,是否对发现问题作了修正,维护记录是否有文档记载,是否定期分析,旧系统的废除是否在授权下进行等。
3.审计完成阶段
完成阶段是实质性的整个信息系统审计工作的结束,主要工作有:
整理、评价执行审计业务过程中收集到的证据。
在信息系统审计的现代化管理时期,收集到的数据己存储在管理系统中,审计人员只需对其进行分析和调用即可。
复核审计底稿,完成二级复核。
传统审计的三级复核制度对信息系统审计同样适用,它是保证审计质量、降低审计风险的重要措施。
一级复核是由信息系统审计项目组长在审计过程进行中对工作底稿的复核,这层复核主要是评价已完成的审计工作、所获得的工作底稿编制人员形成的结论;二级复核是在外勤工
作结束时,由审计部门领导对工作底稿进行的重点复核。
在审计工作办公自动化的今天,二级复核制度同样可以通过网上报送及调用得以实现。
评价审计结果,形成审计意见,完成三级复核,编制审计报告。
评价审计结果主要是为了确定将要发表的审计意见的类型及在整个审计工作中是否遵循了独立审计准则。
信息系统审计人员需要对重要性和审计风险进行最终的评价。
这是审计人员决定发表何种类型审计意见的必要过程,所确定的可接受审计风险一定要有足够充分适当的审计证据支持。
签发审计报告之前,应当随工作底稿进行最终(三级)复核,三级复核由审计部门的主任进行,主要复核所采用审计程序的恰当性、审计工作底稿的充分性、审计过程中是否存在重大遗漏、审计工作是否符合事务所的质量要求等。
三级复核制度的坚持是控制审计风险的重要手段。
审计报告是审计工作的最终成果,审计报告首先应有审计人员对被审系统的安全性、可靠性、稳定性、有效性的意见,同时提出改进建议。