信息系统审计(IT审计)操作流程

信息系统审计(信息技术审计操作流程一、审计计划阶段规划阶段是整个审计过程的起点。其主要工作包括：(1)了解被审计系统的基本情况了解被审计系统的基本情况是实施任何信息系统审计的必要程序。了解基本情况有助于审计组织对系统的组成、环境、运行寿命、控制等有一个初步的印象。从而决定是否对系统进行审计，明确审计难度、所需时间、人员配备等。审计机构了解基本情况后，可以大致判断系统的复杂性、管理层对审计的态度、内部控制的状况、以往审计的状况、审计的难点和重点，从而决定是否进行审计。(2)被审计单位系统内部控制和外部控制的初步评价传统的内部控制制度是以内部审计和相互制约为核心的防止舞弊和错误的工作制度。随着信息技术，特别是以互联网为代表的网络技术的发展和应用，企业信息系统进一步发展到了更深的层次。这些变化无疑给企业带来了巨大的利益，但也给内部控制带来了新的问题和挑战。加强内部控制制度是信息系统安全可靠运行的有力保障。根据受控对象的范围和环境，信息系统内部控制体系的审计内容包括一般控制和应用控制。一般控制是对系统运行环境的控制，是指对信息系统的组成要素(人、机器和文件)的控制。它为应用程序的正常运行提供了外围保障，影响着计算机应用的成败和应用控制的力度。它主要包括：组织控制、运行控制、硬件和系统软件控制以及系统安全控制。应用程序控制是对信息系统中特定数据处理活动的控制。它是用于预测、检测和纠正错误以及处理特定应用系统中的非法行为的控制措施。信息系统的应用控制主要体现在输入控制、处理控制和输出控制上。应用控制有其特殊性。不同的应用系统有不同的处理方法和处理环节，因此有不同的控制问题和不同的控制要求。然而，它一般可分为：输入控制、处理控制和输出控制。通过对信息系统组织控制、系统开发与维护控制、安全控制、软硬件资源控制、输入控制、处理控制、输出控制等方面的审计分析，建立了评价内部控制力度的指标体系和评价模型。审计人员通过交互式人机对话输入各评价指标的得分，内部控制审计评价系统可以进行多层次的综合审计评价。通过对内部控制系统的审核，实现系统的预防控制、检测控制和纠正控制。(3)识别重要性为了有效实现审计目标，合理利用审计资源，信息系统审计人员在制定审计计划时，应正确评估系统的重要性。重要性的评估通常需要专业判断。在考虑重要程度时，应考虑审计师的专业判断或公共标准、系统的服务对象和业务性质以及内部控制的初步评估结果。重要性的判断离不开特定的环境，审计人员必须根据特定的信息系统环境来确定重要性。重要性的特点是数量和质量。子系统越重要，就越有必要获得足够的审计证据来支持审计结论或意见。(4)编制审计计划通过上述程序，为审计计划的编制提供了良好的准备，审计人员可以据此编制总体的和具体的审计计划。总体规划包括：个被审计单位的基本信息；审计目的、审计范围和战略；重要问题和重要审计领域；工作进度和时间；审计组成员之间的分工；信息系统计划开发阶段的审计包括计划审计和开发审计，可以是过程中审计或过程后审计。相比之下，过程审计更有意义。审核结果有利于早期发现故障和问题，调整计划，改进开发顺序。信息系统规划阶段的关键控制点是：计划是否有明确的目的，计划是否清晰地描述了系统的作用，系统开发的组织是否清晰，总体规划过程是否得到正确的预测，计划是否能随着运行环境的变化而及时修订，计划是否有可行性报告，计划的过程和结果是否有文件记录等。系统开发阶段包括系统分析、系统设计、代码编写和系统测试。它涉及功能需求分析、业务数据分析、总体框架设计、结构设计、代码设计、数据库设计、输入输出设计、处理流程和模块功能设计。根据系统设计阶段的设计图、数据库结构和编码设计，采用计算机程序语言实现系统的流程。测试包括动态测试和静态测试。这是系统开发和试运行前的必要步骤。其关键控制点是：分析控制点：是否仔细分析了企业的组织结构；用户的功能和性能要求是否确定；是否确定用户的数据要求等。设计控制点：的设计界面是否方便用户；设计是否与业务内容一致；性能是否满足需要，是否考虑故障对策和安全保护等。编程控制点：是否具有程序规范并根据该规范进行编译；编程是否与设计一致，是否违反编程原则；程序作者是否执行自检；是否有除程序作者以外的第三人进行测试；编程的编写和变量的命名是否标准。测试控制点：测试数据的选择是否按计划和要求进行，是否具有代表性；测试是否从公平、客观的角度进行，用户是否参与测试；测试结果是否被正确记录等。(2)信息系统运行和维护阶段的审计信息系统运行和维护阶段的审计又分为运行阶段的审计和维护阶段的审计。系统运行过程的审计是对信息系统在正式运行阶段是否正确有效运行的审计，以真正实现信息系统的发展目标，满足用户需求。信息系统运行过程审计分为六个部分：系统输入审计、通信系统审计、过程审计、数据库审计、系统输出审计和运行管理审计。输入审核的关键控制点是：是否制定并遵守输入管理规则，是否有防错、保护措施、防错，以及保护措施在数据生成顺序、处理等方面是否有效。通信系统实现实际数据的传输。在通信系统中，审计跟踪应记录输入数据、传输数据和工作通信系统。通信系统审计的关键控制点是：是否制定和遵守通信规则，网络访问控制和监控是否有效。处理过程是指处理器在接收到输入数据后处理数据的过程。此时，审核主要关注数据输入系统后是否得到正确处理。关键控制点是：处理数据、数据处理器、数据处理时间、数据处理结果、数据处理目标、系统处理错误率、平均无故障时间、可恢复性和平均恢复时间等。数据库审计是为了确保数据库正确地执行其功能，如数据操作的有效性和在发生异常操作时对数据的保护(正确的数据不会丢失，数据将被回滚以确保数据的一致性)。关键控制点包括：访问控制和数据监控是否输出审计不同于测试阶段的输出审计。此时的输出基于实际数据。审计它可以重新控制系统的输出，并根据用户的需要进行评估。关键控制点包括：输出信息的获取和处理是否有防止不当行为和保密保护的措施，输出信息是否准确及时，输出信息的形式是否被客户接受，输出错误是否定期记录和分析等。运营管理审计是对人机系统中人的行为的审计。关键控制点是：作业顺序是否标准化，作业进度是否优先，作业是否按标准进行，人员轮换是否标准化，实际作业中预期的差异是否可以分析，出现问题时是否可以相互沟通，是否有定期的培训和教育等。对维护流程的审计包括对维护活动的审计，如维护计划、维护实施、改进系统的试运行和旧系统的废除。维护过程中的关键控制点是维护机构的规模是否满足需要，人员分工是否明确，是否有一套管理机制和协调机制，维护过程中发现的改进点，维护是否得到维护经理的批准，发现的问题是否得到纠正，维护记录是否形成文件，是否进行定期分析，是否授权废除旧系统等。三。审计完成阶段完成阶段是对整个信息系统的实质性审计的结束，有33 360项主要任务。组织和评估审计期间收集的证据。在信息系统审计的现代管理时期，收集的数据已经存储在管理系统中，审计人员只需要分析和调用它们。审查审计文件并完成二次审查。传统审计的三级审查制度也适用于信息系统审计。是保证审计质量、降低审计风险的重要措施。第一级审核是由信息系统审核项目的组长在审核过程中对工作文件的审核。这一级别的审查主要是通过评估已完成的审计工作和获得的工作文件汇编者而形成的结论。二级审核是审核部门领导在现场工作结束时对工作底稿的关键审核。在当今审计工作的办公自动化中，二次审查系统也可以通过网上提交和传递来实现。评估审计结果，形成审计意见，完成三级审核并准备审计报告。评估审计结果的主要目的是确定拟发表的审计意见的类型，以及在整个审计工作中是否遵循了独立审计准则。信息系统审计人员需要对重要性和审计风险进行最终评估。这是审计师决定发布何种审计意见的必要过程。确定的可接受的审计风险必须有充分和适当的审计证据支持。在出具审计报告之前，最终审查应与工作