信息系统审计工作制度.docVIP

信息系统审计工作 今天，信息系统已成为企业业务处理的中枢，信息系统的可靠、安全、效率左右着企业的命运。企业不仅要在内部设立信息系统审计部门，实施内部审计，还必须委托外部信息系统审计师站在第三方的客观立场对信息系统进行全面的检查与评价。要实施独立的信息系统审计，确立信息系统审计制度是十分重要的。 因此，为了规范部门内部工作流程和质量控制，协助其他部门了解信息系统审计部门的业务支持范围、工作内容及工作流程，促进部门间就项目中设计的信息系统审计业务范围进行有效沟通，协调项目工作计划的界定和质量管理，避免因项目中工作职责和工作范围界定不明确而降低审计工作的效率和效果，特制订此信息系统审计制度。 本制度主要内容包括信息系统审计部门应何时介入企业进行信息系统审计工作，为财务审计团队提供信息系统审计业务支持的工作范围及本部门其他的工作职责范围，信息系统审计的工作程序及方法，以及信息系统审计对客户能够达成的效果等，特作以下介绍说明。 一、信息系统审计何时介入 信息系统审计（IT Audit）是信息系统鉴证业务中的一种。信息系统审计是根据业务和信息控制目标，针对信息系统环境内设定的控制，通过搜集和评估审计证据，对信息系统控制的有效性发表结论或意见的过程。 信息系统审计有四个层面： 1.它的目的是对信息系统控制的有效性发表评估结论或审计意见。有效性包括控制设计的有效性和执行有效性； 2.它的对象是信息系统环境中的各种控制流程或机制，包括IT 一般控制和应用控制；3）3.它的内容是搜集和评估审计证据； 4.它的依据是业务控制目标，比如系统是否有效实施控制保证财务软件计算的固定资产折旧程序是否准确。通过执行信息系统审计，可以协助财务审计团队了解和评价信息系统的可靠性和安全性及财务数据的完整性和准确性。 财务审计团队在财务审计业务计划阶段，需对客户的信息系统环境进行调查，若客户的信息系统环境评估结果为复杂时，需邀请信息系统审计人员介入共同探讨审计计划，根据业务系统的复杂度、实体业务性质、财务审计团队人员的技能和知识、业务处理本质（如：是否为高度自动化）、交易数量及信息系统的管理方式（如：若信息系统由第三方管理，则需考虑是否需要SAS70或者相关的报告）确定信息系统审计业务支持服务范围，并在信息系统审计计划中以书面的形式记录业务约定。若客户的信息系统环境评估结果为不复杂时，信息系统审计工作可由审计团队完成，必要时信息系统审计团队可以提供知识和技术的支持和咨询服务。 其中，若在计划审计程序阶段或者审计过程中了解到客户业务处理过程高度自动化（如：银行，保险，电信，和零售业等高度依赖电算化的企业环境和特定行业高度依赖信息系统处理业务），仅仅执行实质性程序无法提供足够的审计证据时，在约定信息系统审计业务服务范围时，需考虑同时包括应用控制审计及其他可以辅助财务审计团队确认交易的真实性、完整性、准确性、截止性的审计程序。 在约定信息系统审计是否介入时，需要考虑如下因素： ? 系统的复杂性； ? ? 业务的本质； ? ? 财务审计团队的技能和知识； ? ? 系统的位置（例如，如果包含一个服务组织，SAS70或相关的报告能否被使用）； ? ? 处理的本质（例如高度自动化）和交易的数量。 在评估信息系统是否复杂时，我们认为以下特征是复杂信息系统的指标： ? 客户实施编程和/或开发； ? 信息系统处理过程高度自动化，很少或者没有人工干预； ? 不同的系统接口； ? 信息系统使用批处理（计划任务）； ? 实施了新系统或者系统间进行了转换； ? 使用了单点登录（SSO）或者集中权限管理（CRM）系统。 二、信息系统审计业务范围 信息系统审计是一个通过收集和评价审计证据，对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。信息系统审计业务范围包括：（一）为财务审计团队提供信息系统审计业务支持；（二）支持企业内部控制审计；（三）开展独立的信息系统审计业务；（四）对信息系统控制及安全方面提供独立建议的咨询服务。 （一）为财务审计团队提供信息系统审计业务支持 信息系统审计业务为财务审计提供合理保证，其提供的支持服务内容包括： 1.信息系统一般控制： ? IT控制环境/关键职责分离； ? 主要业务和财务系统的开发以及程序变更管理； ? IT系统运维管理，如数据批处理、数据备份、数据中心维护； ? 业务和财务系统环境中关键的信息安全和权限控制管理，包括用户账户和授权管理、应用系统安全、数据库系统安全、操作系统安全、和网络安全。 2.应用控制： 支持重要业务流程的各应用和接口系统中固化在程序中的关键控制点。这要根据财务审计团队确定的业务流程而定。比如销售、采购、库存、应收、应