信息系统审计(IT审计)操作流程.pdf

信息系统审计(IT审计)操作流程--第1页

信息系统审计(IT审计)操作流程

信息系统审计(IT审计操作流程

一、审计计划阶段

计划阶段是整个审计过程的起点。其主要工作包括:

1了解被审系统基本情况

了解被审系统基本情况是实施任何信息系统审计的必经程

序,对基本情况的了解有助于审计组织对系统的组成、环境、

运行年限、控制等有初步印象,以决定是否对该系统进行审计,

明确审计的难度,所需时间以及人员配备情况等。

了解了基本情况,审计组织就可以大致判断系统的复杂性、

管理层对审计的态度、内部控制的状况、以前审计的状况、审

计难点与重点,以决定是否对其进行审计。

2初步评价被审单位系统的内部控制及外部控制

传统的内部控制制度是为防止舞弊和差错而形成的以内部

稽核和相互牵制为核心的工作制度。为代表的网络技术的发展

和应用,企业信息系统进一步向深层次发展,这些变革无疑给企

业带来了巨大的效益,但同时也给内部控制带来了新的问题和

挑战。加强内部控制制度是信息系统安全可靠运行的有力保证。

依据控制对象的范围和环境,信息系统内控制度的审计内容包

括一般控制和应用控制两类。

信息系统审计(IT审计)操作流程--第1页

信息系统审计(IT审计)操作流程--第2页

一般掌握是系统运行环境方而的掌握,指对信息系统构成

要素(人、机器、文件的掌握。它已为应用程序的正常运行提

供外围保障,影响到计算机应用的成败及应用掌握的强弱。主

要包括:组织掌握、操作掌握、硬件及系统软件掌握和系统安

全掌握。

应用掌握是对信息系统中具体的数据处理活动所进行的掌

握,是具体的应用系统中用来预测、检测和更正错误和处置不

法行为的掌握措施,信息系统的应用掌握主要体现在输入掌握、

处理掌握和输出掌握。应用掌握具有特殊性,不同的应用系统

有着不同的处理方式和处理环节,因而有着不同的掌握题目和

不同的掌握要求,但是一般可把它划分为:输入掌握、处理掌握

和输出掌握。

通过对信息系统组织机构控制,系统开发与维护控制,安全

性控制,硬件、软件资源控制,输入控制,处理控制,输出控制等方

而的审计分析,建立内部控制强弱评价的指标系统及评价模型,

审计人员通过交互式人机对话,输入各评价指标的评分,内控制

审计评价系统则可以进行多级综合审计评价。通过内控制度的

审计,实现对系统的预防性控制,检测性控制和纠正性控制。

3识别重要性

信息系统审计(IT审计)操作流程--第2页

信息系统审计(IT审计)操作流程--第3页

为了有效实现审计目标,合理使用审计资源,在制定审计计

划时,信息系统审计人员应对系统重要性进行适当评估。对重

要性的评估一般需要运用专业判别。考虑重要性水平时要根据

审计人员的职业判别或公用尺度,系统的服务对象及业务性质,

内控的初评结果。重要性的判别离不开特定环境,审计人员必

须根据具体的信息系统环境确定重要性。重要性具稀有量和质

量两个方面的特征。越是重要的子系统,就越需要获取充分的

审计证据,以支持审计结论或意见。

4编制审计计划

经过以上程序,为编制审计计划提供了良好准备,审计人员

就可以据以编制总体及具体审计计划。

总体计划包括:被审单位基本情况;审计目的、审计范围及

策略;重要问题及重要审计领域;工作进度及时间;审计小组成员

分工;重要性确定及风险评估等。

具体计划