IT审计汇总整理

--可编辑-感谢下载支持名目TOC\o“1-1“\h\z\u\l“_TOC_250007“什么是IT审计 1\l“_TOC_250006“IT审计的对象和范围 1\l“_TOC_250005“IT审计的任务 2\l“_TOC_250004“IT审计制度的建立需要留意三点 2\l“_TOC_250003“IT审计流程 2\l“_TOC_250002“从IT审计看审计学科的进展 5\l“_TOC_250001“IT审计等技术审计的产生对我国审计进展的影响 5\l“_TOC_250000“IT审计的历史和进展 5IT审计IT审计就是信息系统审计，也称IT监查，是独立于信息系统本身、信息系统相关开发、使用人员的第三方－IT审计师承受客观的标准对信息系统的筹划、开发、使用维护等相关活动和产物进展完整地、有效地检查和评估。信息系统审计的必要性是基于这样一种生疏：信息化是有风险的。信息系统规模越大，功能越简单，风险也就越大。IT审计的对象和范围IT审计设计整个信息系统的生命周期，IT审计不是单纯强调对软硬件的审计。它的审计对象涵盖整个信IT审计的对象有：ITIT审计事务所托付审计师和国家审计机构。IT审计依据信息系统的生命周期分为业务打算审计业务开发审计业务执行审计和业务维护审计以及涵盖整个信息系统周期的共通业务审计。业务打算审计主要面对信息系统的企划，对信息系统的投资可行性，系统规划与公司战略的相关性，系统开发打算的可行性以及系统需求的完整性和正确性进展审核和验证。业务开发审计对信息系统开发的各个阶段的相关人员的活动、信息、中间产物进展审核，确认这些活动、信息和中间产物的标准性、有效性和对于信息系统目标的针对性。业务执行审计确认与信息系统运行相关的数据、软硬件、安装环境等是否符合信息系统的运营要求，同时对信息系统的功能、性能、易用度、可操作性等进展评估。业务维护审计对信息系统的维护活动和维护结果实施审核和评价。觉察在维护中可能消灭的各种漏洞和信息系统维护中急待改善的问题。共通业务审计涉及文档治理、进度治理、人员治理、选购治理、风险治理等，检查这些过程的标准性和有效性，并提出改进建议。IT审计的任务IT审计的任务在于站在客观公正的角度上，收集审计信息，生成审计报告，通过审计报告促成信息系统生命周期活动和成果物的改善。IT审计制度的建立需要留意三点IT审计制度需要做到以下几点：ITIT审计制度，必需重视和培育合IT审计师；企业应当建立相应的IT审计部门或审计岗位，确定其部门和岗位职责，并将之置于企业经营者的直接治理之内；ITIT审计所必需的凭据；ITITIT审计制度不是一成不变的，依据具体企业的营运状况可以在每个审计年度终结后的审计年度开头前做相应的修改和增删。IT审计流程审计打算阶段打算阶段是整个审计过程的起点。其主要工作包括：了解被审系统根本状况了解被审系统根本状况是实施任何信息系统审计的必经程序，对根本状况的了解有助于审计组织对系统的组成、环境、运行年限、掌握等有初步印象，以打算是否对该系统进展审计，明确审计的难度，所需时间以及人员配备状况等。了解了根本状况，审计组织就可以大致推断系统的简单性、治理层对审计的态度、内部掌握的状况、以前审计的状况、审计难点与重点，以打算是否对其进展审计。初步评价被审单位系统的内部掌握及外部掌握传统的内部掌握制度是为防止舞弊和过失而形成的以内部稽核和相互牵制为核心的工作制度。加强内部掌握制度是信息系统安全牢靠运行的有力保证。依据掌握对象的范围和环境，信息系统内掌握度的审计内容包括一般掌握和应用掌握两类。一般掌握是系统运行环境方而的掌握，指对信息系统构成要素(人、机器、文件)的掌握。它已为应用程序的正常运行供给外围保障，影响到计算机应用的成败及应用掌握的强弱。主要包括：组织掌握、操作掌握、硬件及系统软件掌握和系统安全掌握。应用掌握是对信息系统中具体的数据处理活动所进展的掌握，是具体的应用系统中用来推测、检测和更正错误和处置不法行为的掌握措施，信息系统的应用掌握主要表达在输入掌握、处理掌握和输出掌握。应用掌握具有特别性，不同的应用系统有着不同的处理方式和处理环节，因而有着不同的掌握问题和不同的掌握要求，但是一般可把它划分为：输入掌握、处理掌握和输出掌握。-可编辑-感谢下载支持通过对信息系统组织机构掌握，系统开发与维护掌握，安全性掌握，硬件、软件资源掌握，输入掌握，处理掌握，输出掌握等方而的审计分析，建立内部掌握强弱评价的指标系统及评价模型，审计人员通过交互式人机对话，输入各评价指标的评分，内掌握审计评价系统则可以进展多级综合审计评价。通过内掌握度的审计，实现对系统的预防性掌握，检测性掌握和订正性掌握。识别重要性为了有效实现审计目标，合理使用审计资源，在制定审计打算时，信息系统审计人员应对系统重要性进行适当评估。对重要性的评估一般需要运用专业推断。考虑重要性水寻常要依据审计人员的职业推断或公用标准，系统的效劳对象及业务性质，内控的初评结果。重要性的推断离不开特定环境，审计人员必需依据具体的信息系统环境确定重要性。重要性具有数量和质量两个方面的特征。越是重要的子系统，就越需要猎取充分的审计证据，以支持审计结论或意见。编制审计打算经过以上程序，为编制审计打算供给了良好预备，审计人员就可以据以编制总体及具体审计打算。总体打算包括：被审单位根本状况；审计目的、审计范围及策略；重要问题及重要审计领域；工作进度准时间；审计小组成员分工；重要性确定及风险评估等。具体打算包括：具体审计目标；审计程序；执行人员准时间限制等。审计实施阶段做好上诉材料的充分的预备，便可进展审计实施，具体包括以下内容：对信息系统打算开发阶段的审计对信息系统打算开发阶段的审计包括对打算的审计和对开发的审计，可以承受事中审计，也可以是事后审计。比较而言事中审计更有意义，审计结果的得出利于故障、问题的及早觉察，利于调整打算，利于开发挨次的改进。信息系统打算阶段的关键掌握点有：打算是否有明确的目的，打算中是否明确描述了系统的效果，是否明确了系统开发的组织，对整体打算进程是否正确估量，打算能否随经营环境转变而准时修正，打算是否制定有可行性报告，关于打算的过程和结果是否有文档记录等等。系统开发阶段包括系统分析、系统设计、代码编写和系统测试三局部。其中涉及包括功能需求分析、业务数据分析、总体框架设计、构造设计、代码设计、数据库设计、输入输出设计、处理流程及模块功能的设计。编程时依据系统设计阶段的设计图及数据库构造和编码设计，用计算机程序语言来实现系统的过程。测试包括动态测试和静态测试，是系统开发完毕，进入试运行之前的必经程序。其关键掌握点有:分析掌握点：是否己细致分析企业组织构造；是否确定用户功能和性能需求；是否确定用户的数据需求等。设计掌握点：设计界面是否便利用户使用；设计是否与业务内容相符；性能能否满足需要，是否考虑故障对策和安全保护等。编程掌握点：是否有程序说明书，并依据说明书进展编写；编程与设计是否相符，有无违反编程原则；程序作者是否进展自测；是否有程序作者之外的第三人进展测试;编程的书写、变量的命名等是否标准。测试掌握点：测试数据的选取是否按打算及需要进展，是否具有代表性；测试是否站在公正客观的立场进展，是否有用户参与测试；测试结果是否正确记录等。对信息系统运行维护阶段的审计对信息系统运行维护阶段的审计又细分为对运行阶段的审计和对维护阶段的审计。系统运行过程的审计是在信息系统正式运行阶段，针对信息系统是否被正确操作和是否有效地运行，从而真正实现信息系统的开发目标、满足用户需求而进展的审计。对信息系统运行过程的审计分为系统输入审计、通信系统审计、处理-可编辑-感谢下载支持过程审计、数据库审计、系统输出审计和运行治理审计六大局部。输入审计的关键掌握点有：是否制定并遵守输入治理规章，是否有数据生成挨次、处理等的防错、保护措施、防错、保护措施是否有效等。通信系统实施的是实际数据的传输，通信系统中，审计轨迹应记录输入的数据、传送的数据和工作的通信系统。通信系统审计的关键掌握点有：是否制定并遵守通信规章，对网络存取掌握及监控是否有效等。处理过程指处理器在接收到输入的数据后对数据进展加工处理的过程，此时的审计主要针对数据输入系统后是否被正确处理。关键掌握点有：被处理的数据，数据处理器，数据处理时间，数据处理后的结果，数据处理实现的目的，系统处理的过失率，平均无故障时间，可恢复性和平均恢复时间等。数据库审计是保障数据库正确行使了其职能，如对数据操作的有效性和发生特别操作时对数据的保护功能(正确数据不丧失，数据回滚以保证数据的全都性)。其关键掌握点有：对数据的存取掌握及监视是否有效，是否记录数据利用状况，并定期分析，是否考虑数据的保护功能，是否有防错、保密功能，防错、保密功能是否有效等。输出审计不同于测试阶段的输出审计，此时的输出是在实际数据的根底上进展的，对其进展审计可以对系统输出进展再掌握，结合用户需求进展评价。关键掌握点有：输出信息的猎取及处理时是否有防止不正值行为和机密保护措施，输出信息是否准确、准时，输出信息的形式是否被客户所承受，是否记录输出出错情况并定期分析等。运行治理审计是对人机系统中人的行为的审计。关键掌握点有：操作挨次是否标准化，作业进度是否有优先级，操作是否按标准进展，人员交替是否标准，能否对估量于实际运行的差异进展分析，遇问题时能否相互沟通，是否有常常性培训与教育等。维护过程的审计包括对维护打算、维护实施、改进系统的试运行和旧系统的废除等维护活动的审计。维护过程的关键掌握点有：维护组织的规模是否适应需要，人员分工是否明确，是否有一套治理机制和协调机制，维护过程觉察的可改进点，维护是否得到维护负责人同意，是否对觉察问题作了修正，维护记录是否有文档记载，是否认期分析，旧系统的废除是否在授权下进展等。审计完成阶段完成阶段是实质性的整个信息系统审计工作的完毕，主要工作有:整理、评价执行审计业务过程中收集到的证据。在信息系统审计的现代化治理时期，收集到的数据己存储在治理系统中，审计人员只需对其进展分析和调用即可。降低审计风险的重要措施。一级复核是由信息系统审计工程组长在审计过程进展中对工作底稿的复核，这层由审计部门领导对工作底稿进展的重点复核。在审计工作办公自动化的今日，二级复核制度同样可以通过网上报送及调用得以实现。评价审计结果，形成审计意见，完成三级复核，编制审计报告。评价审计结果主要是为了确定将要发表的审计意见的类型及在整个审计工作中是否遵循了独立审计准则。信息系统审计人员需要对重要性和审计风险进展最终的评价。这是审计人员打算发表何种类型审计意见的必要过程，所确定的可承受审计风险肯定要有足够充分适当的审计证据支持。签发审计报告之前，应当随工作底稿进展最终(三级)复核，三级复核由审计部门的主任进展，主要复核所承受审计程序的恰当性、审计工作底稿的充分性、审计过程中是否存在重大遗漏、审计工作是否符合事务所的质量要求等。三级复核制度的坚持是掌握审计风险的重要手段。审计报告是审计工作的最终成果，审计报告首先应有审计人员对被审系统的安全性、牢靠性、稳定性、有效性的意见，同时提出改进建议。--可编辑-感谢下载支持IT审计看审计学科的进展IT审计是技术审计的一个典型，IT审计师标志着一个的审计时代——“技术审计时代”的到来随着经济治理与科学技术的不断结合与日益渗透，现代审计已经远远超出了仅对财务会计进展审查的狭窄范围，不断向治理领域和技术领域渗透。IT审计是技术审计的一个典型。IT审计实质上是对计算机软件和IT审计环境发生了巨大变化。假设审计人员只懂传统审计，不懂对计算机软硬件的审计，必定面临可怕的潜在审计风险。在无纸办公条件其他信息对被审单位的系统与设备盲目信任，即使懂得计算机的简洁应用，也极有可能误入计算机陷讲，后果相当危急。只有对计算机审计风险进展正确估量，依据实际状况打算是否实行相应的信息系统审计对策，并能够在风险较大的状况下针对计算机信息系统〔包括硬件与软件〕实施必要的技术性审计，才能最终保证审计结果的正确性，防止和降低信息技术条件下的审计风险。IT审计的重要程度由此可以想见。明显，网络时代的到来已对审计人员提出了把握过硬信息技术的要求。IT审计师不仅从事对财务会计、经济治理活动的审计，更重要更关键的是对被审单位信息系统进展技术审计。IT审计师的产生是审计领域进一步扩大化的重要标志，代表着的审计时代——技术审计时代的到来。IT审计等技术审计的产生对我国审计进展的影响勿庸讳言，技术审计至今未能脱离财务审计和治理审计而单独存在。然而，尽管技术审计尚未独立为现代审计的第三分支，但“技术审计”概念的提出仍旧极具乐观意义。技术审计反映了科技与审计、科技与经济管理相互融合与渗透的时代特点，要求审计人员既要把握经济治理学问，又要把握科学技术。现代审计向治理领域和技术领域渗透，是不以人的意志为转移的必定趋势。或许将来技术审计会成为与财务审计和治理审计相并列的第三大分支。信息技术的进展对中国注册会计师和会计师事务所提出了