信息系统审计 课件 【ch03】信息系统审计流程

信息系统审计流程第三章高等院校公共课系列精品教材信息系统审计信息系统审计流程概述0101审计计划阶段信息系统审计的计划阶段是整个审计流程的起点，也是整个审计过程的基础阶段，这一阶段的主要任务是调查被审计单位的基本情况、初步评估审计风险、接受审计委托、制订审计计划。这个阶段的难点在于数据量巨大。如果相关人员不使用风险分析方法，不重视内部控制，而直接对信息系统的数据进行详细调查，则容易出现对审计对象认识不足、准备工作不充分的不利局面。所以，通过充分分析被审计单位的风险，可以总体了解其内部控制情况。01审计计划阶段在审计计划阶段的主要工作包括以下几方面。(1)了解被审系统的基本情况。了解被审系统的基本情况是实施任何信息系统审计的必经程序，对基本情况的了解有助于审计人员对系统的组成、环境、运行年限、控制等有初步印象。审计人员可以大致判断出系统的复杂性、管理层对审计的态度、内部控制的状况、以前审计的状况，以决定是否对该系统进行审计，并可明确审计的难度、所需时间及人员配备情况等。(2)评估审计风险。在制订审计计划时，审计人员要对信息系统进行风险评估。有的风险是审计人员可以控制的风险，如检查风险。而有一些风险是由信息系统所带来的，如固有风险和控制风险，它们在审计过程中已成为既定的事实，审计人员无法控制或改变它们，只能通过对被审系统的有效了解和测试，来尽量合理地评估固有风险和控制风险。评估的目的是为了确定检查风险水平，然后据此开展实质性测试，从而降低检查风险，最终将审计风险控制在可接受的水平。01审计计划阶段(3)识别重要性。为了有效实现审计目标，合理使用审计资源，在制订审计计划时，信息系统审计人员应对系统重要性进行适当评估。对重要性的评估一般需要运用专业知识进行判断，要根据审计人员的职业判断或公用标准、系统的服务对象及业务性质、内控的初评结果等进行综合考虑。重要性的判断离不开特定环境，审计人员必须根据具体的信息系统环境确定重要性。重要性具有数量和质量两个方面的特征。越是重要的系统，就越需要获取充分的审计证据，以支持审计结论或意见。01审计计划阶段(4)确定审计依据。审计依据是审计人员在审计过程中用来衡量被审计事项是非优劣的准绳，是提出审计意见、做出审计决定的依据。审计依据既是明显可见的，又不是固定不变的，它随着国家管理的规范和单位管理的加强，不断淘汰旧的标准，建立新的标准。因此，无论什么样的审计依据，只在一定的范围内、一定的区域中和一定的时间内是有效的。同时，各类依据所具有的权威性也是有很大差别的。(5)编制审计计划。以上程序为编制审计计划提供了良好准备，审计人员据此可以编制总体审计计划及具体审计计划。总体审计计划包括：被审单位基本情况；审计目的、审计范围及策略；重要问题及重要审计领域；工作进度及时间；审计小组成员分工；重要性确定及风险评估等。具体审计计划包括：具体审计目标、审计程序、执行人员及时间限制等。02审计实施阶段信息系统审计的实施阶段是根据审计准备阶段对被审计单位的调查、审计风险的分析，来确定审计内部控制测试和实质性测试的程序、范围和重点的，并以此判定需要收集和获取的数据信息、采用的审计技术和方法，跟踪审计线索和收集审计证据，进行鉴定和分析，从而形成审计结论和发表审计意见的过程。审计实施阶段是信息系统审计全过程的中间环节。针对被审计信息系统，审计人员所开展的工作可以分为三个层次，即了解、描述和测试。02审计实施阶段审计实施阶段的主要工作包括以下几点。(1)按照信息系统审计方案确定的审计内容、范围、重点和方式的要求，深入了解审计流程和信息系统构成信息，详细分析信息化条件下被审计单位业务处理流程的重点和关键环节，并根据可能的风险因素确定控制点。(2)采用相应的技术和方法，对信息系统的现有控制进行符合性测试及实质性测试，并对与审计目标或核心业务有较大关联度的系统进行重点测试，同时进行人员访谈，查询相关的政策、标准及准则并获得审计证据。(3)在测试过程中，可以根据测试的具体情况，适当调整审计实施方案，进一步确定审计重点和审计方法，将审计重点放在内部控制体系的薄弱环节。(4)对取得的各种证据进行鉴别、分析，判明是非和找到问题的本质，做出客观公正的评价，并酝酿处理意见和改进建议。03审计完成阶段信息系统审计具体的实施工作完成后，将进入审计完成阶段。首先，信息系统审计人员要整理、评价、执行审计业务过程中收集到的证据。其次，信息系统审计人员将复核审计底稿，并完成二级复核。传统审计的三级复核制度对信息系统审计同样适用，它是保证审计质量、降低审计风险的重要措施。审计报告是审计工作的最终成果，审计报告首先应有审计人员对被审系统的安全性、可靠性、稳定性、有效性的意见，同时提出改进建议。审计报告应当说明审计范围、审计目标、审计期间，以及所执行的审计工作的性质和范围。审计报告中还应说明采用了何种审计技术和与之有关的审计结果。在审计过程中，审计人员受被审计单位的客观条件或环境的限制，对一些重要的事项不能获得充分和完整信息的情况，也应该在审计报告中加以说明。03审计完成阶段审计完成阶段的主要工作包括以下几点。(1)整理归纳审计资料，反映内控制度的结果，并揭示问题、明确责任、发现并陈列线索。(2)撰写审计报告。在审计报告中，应着重说明发现了哪些问题，并建议被审计单位进行改进。(3)与被审系统管理者进行沟通。(4)发出审计结论和决定。(5)审计资料的归档和管理。03审计完成阶段信息系统审计流程图如图3-1所示。确定审计关系0201确定审计关系审计关系一般是指由审计人员、审计受权人和被审计单位三者之间形成的经济责任关系，它是审计活动得以有效开展的前提和保证。确定审计关系的过程可以理解为：审计受权人委托经理人经营管理其财产，经理人委托审计机构进行审计，审计机构将审计业务委派给审计人员，审计人员接受审计机构的管理控制，向被审单位经理人提供审计报告，最终由经理人将审计报告和财务报告提交给审计受权人。信息系统审计的各方关系图如图3-2所示。了解被审计单位的情况0301了解被审计单位的情况基本情况(1)行业类型、业务类型、产品和服务的种类、经营特点；(2)关联方及其交易的存在情况；(3)影响被审计单位及所属行业的法律、法规等；(4)内部控制情况；(5)总体组织结构。01了解被审计单位的情况信息系统使用情况(1)与信息系统相关的管理制度；(2)与信息系统相关的机构设置情况；(3)系统流程：(4)软件使用情况；(5)数据库使用；(6)操作系统；(7)硬件设备；(8)网络安全；(9)辅助设施。01了解被审计单位的情况信息系统描述在了解完信息系统使用情况之后，需要对这些信息进行进一步汇总并描述，描述方法包括文字描述法、表格描述法和图形描述法，这几种方法可以搭配使用。(1)文字描述法，是指通过文字描述被审计单位的信息系统的功能、结构、控制政策措施和生命周期过程的方法，适用于大多数信息系统。它的优点是容易使用、容易理解，缺点是不够简洁直观。(2)表格描述法，是一种审计人员使用标准或自行设计的表格来描述信息系统的方法。它适用于描述信息系统开发过程、内部控制的多个指标和系统组件的多个部分。其优点是结构清晰、逻辑性强。(3)图形描述法，是指审核员以图形的形式描述信息系统的组织结构、功能、生命周期和业务流程的方法，包括组织结构图、功能结构图和业务流程图。为了便于审核员之间的相互理解和交流，在使用图形描述方法时，应注意统一各种符号及其含义。01了解被审计单位的情况信息系统描述01了解被审计单位的情况信息系统描述01了解被审计单位的情况信息系统描述评估审计风险0401固有风险系统设计风险系统风险信息不对称和知识结构的不完善，使得系统开发人员设计出的信息系统与系统使用者的需求不匹配，那么必然会带来漏洞。信息系统的硬件配置不完善，软件质量不可靠，系统自控功能较弱而产生的系统风险。系统环境风险电子数据大量集中在系统的信息中心，同时信息系统要实现数据的高速处理，在此过程中，系统内数据可能会遭到破坏或处理时出现失误。01固有风险数据录入风险数据储存风险原始数据需要人工录入到系统中，由于数据量庞大而且分散，出现输入错误的概率比较高。一旦出现输入错误，就有可能影响审计结果。电子数据存储在物理介质上时，肉眼并不直接可见，很容易被滥用、篡改和丢失，且不留蛛丝马迹。储存介质会在信息系统审计模式下发生变动，这样信息就会大量地存在于信息系统当中，要是某些黑客采用不正当的方式，穿过防火墙，窃取重要数据的话，就会造成极为严重的后果。另外，如果计算机出现故障或病毒，电子数据很容易遭到破坏，从而发生财务不完整或被篡改的现象，很大程度上增大了审计风险。此外，目前企业级的信息系统通常采用中心化的方式大量集中和高速处理数据。信息系统实现的功能与系统数据都高度集中在数据中心或信息中心，一旦数据中心或信息中心遭到破坏，其后果不堪设想。在高速的大量信息处理过程中，如果出现错误或疏忽，也会造成巨额损失。01固有风险数据传输转移风险计算机犯罪在利用信息系统的时候，需要从被审计单位提取数据。而在提取期间，由于财务系统的多样化，在与审计系统之间转换数据时，会发生一些问题，从而增加了转移风险的发生概率。信息处理过程中的防护措施比较薄弱，使得图谋舞弊者容易获得可乘之机。信息系统外包风险信息系统外包后，可能因对外包团队过于依赖而造成技术风险，外包过程中如果管控不严，则易造成信息安全风险。02控制风险未经授权访问凭证与记录控制在计算机信息系统环境下，任何对系统及数据的访问都是直接通过电子数据处理功能取得、批准的，如果信息系统采用的技术不先进、访问技术设置不充分，则会引起整个系统的技术性暴露，出现未经授权的系统访问。主要表现在对网络、操作系统、数据库及应用系统四个层面的数据和软件的操作上。在计算机信息系统中，终端操作者把业务数据直接输入计算机而没有留下任何凭证。资产接触与记录控制在计算机信息系统环境下，大部分业务数据集中于电子数据处理部门，如果缺乏适当的控制，未经授权人员可能通过外部指令，甚至远程入侵系统，机密数据很可能被非法复制或篡改。02控制风险职责划分独立稽核被审计单位内部通常都制定了职责划分的有关制度。而在信息系统中，若想对员工的职责进行划分，主要通过两种形式。首先是明确员工的工作责任，其次是根据软件设计的具体情况，对其子系统设置不同的职责。但在实践中，由于人员数量的限制，往往出现一个人负责多个关键职位的情况，使内部控制实质上处于失效状态。此外，在信息系统中，各岗位不相容，使职责分配较为集中，也可能因此导致在授权过程中出现错误，导致舞弊行为发生，进而增加出现审计风险的概率，最终有可能让职责划分这一工作环节失去它原本的作用。在信息系统中，如果一个工作细节出现失误，则极有可能会让与之有关联的账簿发生信息失真的情况。要是应用程序出现故障，计算机就会在审计期间出现多次失误，进而让出现审计风险的概率进一步增高。02控制风险网络监控失效信息流和业务流的不一致对网络的广泛使用，使得通过网络传输的信息很容易被窃听、追踪和非法使用。信息处理和业务传递缺乏有效的控制手段，往往出现业务处理资料和系统处理数据的不一致，可能导致企业决策失误。业务流程重组在追逐利益和效率的过程中，被审计单位纷纷进行业务流程重组，但是很可能对一些关键环节缺乏有效控制，加大了系统运行的控制风险。03检查风险审计人员的相关专业水平不高审计线索难以查找这首先表现在审计人员计算机专业水平不高。在信息系统审计中要运用计算机分析数据，数据库查询、统计和分析，甚至编程等技术筛选出疑点数据，发现审计线索，然后快速核实情况，得出审计结果。然而审计人员基于自身的专业素质和综合能力未必能顺利发现问题，特别是一些高技术舞弊或特殊安全漏掉的情况，这就会直接影响审计结果。其次表现在对被审计单位所属行业的专业知识水平有限。在审计过程中，审计人员未能识别出系统的关键业务环节和重要的信息资产，如企业的销售环节、财务核算信息和数据备份等。在手工环境下，会计账务处理的每一步都有相关人员的书面记录和签名，审计线索清晰。在计算机信息系统环境下，从录入原始数据到自动生成报表的整个过程，其中间处理环节是被忽略了的。利用信息技术也难以实现如签名、盖章等这些使审计线索证据化的作，给审计追踪带来了很多困难。同时，数据文件都存储在硬盘、优盘等存储介质中，如果设计者事先未能考虑审计的需要而在系统中设置跟踪程序的话，就很难留下有价值的审计线索，增加了审计的难度。03检查风险控制测试难度增加技术风险难以控制在手工环境下，内部控制的情况是可见的、有形的，有据可查；而在计算机信息系统环境下，内部控制主要依靠软件本身并集成到系统软件中。一方面，审计人员无法通过传统审计方法进行控制测试；另一方面，也要求审计人员掌握较高的计算机知识水平。例如，在进行技术性测试时，利用测试数据对系统进行测试，很难保证恰当的程序都被检查；用开发模拟程序来处理生产数据以测试生产系统时，加大了检查成本，延长了检查时间，反而加大了检查风险。随着线上业务的急剧增加，特别是智能化业务处理的逐步成熟和普及，相应的人工干预会逐渐减少，在这种前提下，对控制信息技术是否进行有效检查将更具实际意义。降低这种检查风险将比任何时候都更加重要。例如，当网络灾难导致数据存储平台或数据处理平台瘫痪时，灾备方案可以快速恢复信息处理功能，这是需要重点关注的基本检查风险。03检查风险审计人员职业道德风险其他不确定性的技术风险审计人员在审计过程中应始终保持其第三方的独立性。审计人员应保持其职业审慎性，选择适当的审计程序和方法，完成审计任务，降低审计过程中的检查风险。在计算机信息系统环境下，还存在一些不可预知的技术风险，如系统或子系统即将更新换代，使得当前的审计测试失去了意义，不仅浪费时间，还误导审计人员对信息系统的审计评价。在信息系统审计人员缺乏的情况下，有时会出现让参与系统开发的人员对信息系统进行检查和测试的情况，其检查风险会非常高。04形成信息系统审计风险的原因信息存储的电子化和传输的网络化捕捉证据的动态化在信息化环境下，海量的信息都存储在硬盘、优盘等存储介质中，肉眼无法看到信息处理的轨迹，也发现不了线索。而这些电子化的数据很容易被篡改、删除、隐匿或转移，且不会遗留明显的痕迹。信息在计算机网络中进行传递，在传输过程中存在被窃听、篡改的可能性。信息系统是一个庞大的综合性系统，每天都要进行大量的业务处理和动态分析，供管理层决策参考。因此审计人员必须在系统运行过程中进行取证，而不能为了审计工作将系统停止下来，这就增加了取证难度，也存在一定的审计风险。当然也有搭建现行系统模拟运行环境的做法，即平行模拟法，这样可以不影响原有系统的正常运转，但其成本和耗时都非常高，很难在实际审计工作中实施。04形成信息系统审计风险的原因内部控制制度的复杂化审计人员知识结构单一在信息化环境下，被审计单位内部控制的技术和方法发生了很大变化，控制措施大多以程序的形式建立在信息系统中，肉眼无法觉察，在很大程度上依赖于计算机处理。在实际操作中，内控环境的复杂性及内部控制的局限性也为舞弊提供了机会。信息系统审计师除要有专业的审计、会计知识，还须掌握一定的计算机专业相关知识和技术。现实中，审计人员的知识结构比较单一，熟悉审计和会计知识的多，而掌握IT技术的少，审计人员给出的审计结论有可能偏离被审计单位信息系统的实际。05信息系统审计风险的特征隐蔽性群发性信息系统审计主要面对被审计单位系统中的大量电子数据，操作人员使用信息系统来对业务数据的输入、计算分析和输出进行处理，中间过程的数据处理几乎完全由计算机自身完成。与一般的审计证据不同，审计人员在获取审计证据时，应考虑电子数据复杂、易被破坏的特点。在收集、整理和分析数据信息的过程中，审计风险是隐蔽的，不易发现其存在的问题，审计人员的控制方法不能得以有效实施。在信息系统中，相同的程序用于处理相同或相似的业务。一旦程序出现了问题，处理这类业务时就会出现错误。同时，不同的子系统组合成一个完整的信息系统，这些子系统之间存在数据交互。子系统产生的错误数据会转移到下一个子系统，严重的情况下甚至整个被审计单位都会产生决策错误。因此，在信息系统审计中，由于没有发现单个错误而导致的审计风险很可能存在于一系列相同或相似的业务中，从而导致其他相关程序的审计风险，甚至出现影响整个信息系统审计过程的审计风险。05信息系统审计风险的特征不可控性渠道多样性信息系统的数据处理相对集中高效，数据存储的电子化和数据传输的网络化使得内部控制主要以计算机系统内部控制为主。而系统自身的运行有效、控制失灵等安全隐患也造成了审计风险的不可控性。在信息系统审计中，由于所处的信息环境不同，信息使用者不再是只关注审计人员所提供的信息，而是会从不同的渠道获取同种类型的信息从而进行相互印证。因此，信息系统审计的信息披露渠道较财务审计更丰富、更完善、更多样化。审计信息披露的渠道多样性造就了审计风险的渠道多样性。06信息系统审计风险与防范风险的措施固有风险的防范管理层对固有风险的认识程度是降低固有风险的关键，因此需要通过与被审计单位相关人员的访谈，充分了解被审计单位的信息化环境。通过了解和识别固有风险，制定相应的策略和机制。防范固有风险一般采取以下几种措施。(1)进行详细的审前调查。审计人员不仅要了解被审计单位内部控制的相关制度和措施，还可通过阅读技术文档和操作手册，详细掌握信息系统所设定的操作流程，并发放信息系统调查表，对系统模块框架进行实际观察，印证各流程业务之间的衔接。(2)加强信息资产管理。信息资产要通过表单进行管理，让所有信息资产都处于可控状态。(3)对信息系统所产生的数据资料的真实性、完整性和合法性进行评价，防止或揭露信息失真的情况。06信息系统审计风险与防范风险的措施固有风险的防范(4)加强内外安全控制机制。建立有效的数据信息使用和存储控制机制，降低数据信息被盗取、篡改和丢失的可能性。(5)建立安全可靠的数据传输通道。为了保护信息的安全传输，应建立相对开放、安全级别较高的专用局域网，并合理设置多层加密网关和防火墙。(6)数据输入校验。在系统设计时应设置输入准确性校验程序，以确保有效数据输入的准确性。(7)审计人员应掌握信息系统审核的重要环节，了解主要业务流程。要全面了解各个业务流程模块的内部逻辑，以及各个模块的总体框架和信息交互，尤其是对其业务流程和数据流程要有整体了解。06信息系统审计风险与防范风险的措施控制风险的防范控制风险是由内部控制制度不完善或内部控制制度执行不严造成的。为了防范控制风险，应积极开展事前、事中和事后审计。防范控制风险一般采取的措施有以下几种。(1)评价信息系统是否建立了合理的流程及控制体系，是否建立了相应的补偿控制措施，以分散风险，防患于未然。(2)评价信息系统的严密完善性，确保计算机信息系统运行后数据处理结果的真实性和正确性。(3)审查系统的运行情况。对信息系统在输入、处理、输出过程中的运行情况进行审查。06信息系统审计风险与防范风险的措施控制风险的防范(4)按照岗位职责、业务流程的要求，明确访问和操作权限的分配，以正确行使职权。关键岗位的权限密码要定期修改。对刚入职或离职的人员权限要及时分配或收回。重视对系统访问日志的检查，及时发现越权访问或操作的行为。(5)审查信息系统的运行环境，查看是否建立了一套检测病毒的控制措施。(6)审查是否建立了安全的网络监控机制，以降低外部风险。首先，为具有外部连接权限的用户建立身份验证机制，以确保只有授权用户才能登录和访问。其次，建立强制路径，控制用户终端和网络服务器之间的路径。最后，加强远程诊断端口的保护。(7)审查人员素质。查看是否建立了一个能够提升员工综合素质的控制措施体系。06信息系统审计风险与防范风险的措施检查风险的防范为了防范检查风险，审计人员要在充分了解被审计单位的业务流程和信息流程的基础上，有效识别每个风险点。防范检查风险一般采取的措施有以下几种。(1)识别重要信息资产。向管理部门索要详细的信息资产清单，并对信息资产进行分类。按类型分类，如分为数据与文档、书面文件、软件资产、实物资产和人员等，或者按照敏感性及重要性分级，如分为高、中、低或其他级别。(2)建立信息系统内部审计机构。目的在于加强对信息系统风险控制的内部管理和监督。(3)确定合理的检验顺序。按照重要性原则，依次进行以下检查：信息系统防范控制检查、信息系统实体检查、信息系统安全管理控制机制检查、网络安全检查、财务核算检查。06信息系统审计风险与防范风险的措施检查风险的防范(4)建立健全信息系统审计法律、法规和标准体系。在信息系统环境下，审计对象、技术和方法都发生了变化，传统的审计准则已不能完全适用于当前的审计工作。然而，我国尚未制定和颁布相关的信息系统审计标准和法律。在国际上，ISACA等组织发布的信息系统审计标准是国际通用的信息系统标准，包括审计标准、审计指南和审计程序及相关规范。我国可以借鉴国际信息系统审计的实践经验，同时结合国内注册会计师的管理情况，制定符合本国国情的信息系统审计准则和法律，从而为降低信息系统审计风险提供有力保障。(5)改进审计手段。选择有效的审计软件，进行科学抽样，将审计方法使用不当带来的风险降到最低。在对系统进行测试时，应根据审计成本和审计重要性原则来选择最合适的测试方法。(6)采用先进的审计技术和方法。应用先进的审计技术和方法可以提高审计效率和审计质量。审计人员需要熟练掌握最新的技术方法来获得足够和适当的审核证据，以实现审核目标。先进的信息系统审计技术包括相关的安全审计技术、数据挖掘技术和信息系统审计证据生成技术等。识别重要性水平0501识别重要性水平重要性水平主要从以下几个方面进行考察：(1)以往的信息系统审计经验；(2)内部控制与风险评估结果；(3)信息系统规模和应用的程度；(4)经营管理业务对信息系统的依赖度；(5)与常规审计重点高度相关或与被审计单位核心业务高度相关的信息系统；(6)所在行业对信息系统的依赖度(如上/下游企业对信息交换或对接的要求程度)(7)因改变经营管理模式、开拓新业务等情况需要更换或升级现有信息系统的难易程度；(8)系统设计文档齐全，且在信息系统审计小组能力范围内的信息系统。确定审计依据0601确定审计依据信息系统审计的依据主要包含以下几个。(1)通用的信息系统审计准则和标准体系，包括职业准则、ISACA公告和职业道德规范。职业准则可归类为：审计规章、独立性、职业道德及规范、专业能力、规划、审计工作的执行、报告、期后审计。(2)国内监管部门发布的审计准则或规范性文件。例如，中国内部审计协会发布的《第2203号内部审计具体准则——信息系统审计》和《第3205号内部审计实务指南信息系统审计》。此外，银保监会等行业监管部门均发布了相关规范性文件或审计实务指南。01确定审计依据(3)信息系统的控制目标。例如，ISACA自1996年开始陆续公布的COBIT被国际上公认是最先进、最权威的安全与信息技术管理和控制的标准。(4)委托方的系统需求和业务规定。(5)其他法律及规定。每个组织不论规模大小或属于何种产业，都需要遵守政府或外部对与计算机系统运作、控制及计算机、程序、信息的使用情况等有关的规定或要求，对于一向受严格管制的行业，尤其要遵守。制订审计计划0701总体计划总体计划包括：掌握被审计单位的基本情况；明确审计目的、审计范围及策略；重要问题及重要审计领域；工作进度及时间；估计完成审计需要的资源和技巧，以及合理进行审计小组成员分工；重要性确定及风险评估等。信息系统审计总体计划示例如表3-3所示。01总体计划02具体计划具体计划包括具体审计目标、审计程序、执行人员及时间限制等。现场审计时间安排(主机及网络安全主题)示例如表3-4所示。02具体计划在确定审计范围时，应与被审计单位和审计委托方举行正式会议，并邀请被审计单位的高层领导参加，以确定审计范围和关键内容，制定时间表，说明审计方法，确保审计工作的顺利实施。现场审计步骤图如图3-3所示。收集审计证据0801符合性测试符合性测试的方法符合性测试的程序分析被审计单位控制程序的符合程度，将实际控制程序和补偿控制措施与规定程序进行比较，检查文件、系统日志、数据库日志、权限设置和系统配置资料，并访谈相关人员，以判断控制措施是否被正确、持续地执行。(1)测试规定的控制程序是否按照要求持续一致地工作。获取所选控制项目和阶段的直接或间接证据。(2)使用直接或间接的证据，确保被审计的项目和阶段始终符合相关控制程序的要求。(3)对过程或结果的充分性进行有限的审核。为了证明信息系统的业务和数据流程是正确合理并有效衔接的，就要确定后续的实质性测试的程度和其他需要进行的工作。一般来说，只能对那些已被证明有效的控制程序行符合性测试。01符合性测试符合性测试的审计底稿信息系统审计的符合性测试底稿的一般格式如表3-5所示。02实质性测试符合性测试的方法实质性测试的程序实质性测试的方式是实施必要的数据测试，如果是下列情况之一就要执行大量的实质性测试，否则，可以执行有限的实质性测试：(1)没有任何控制措施是适当的；(2)控制措施经评估是不满意的；(3)符合性测试表明，控制措施不适当或未能一贯执行。(1)根据符合性测试的结果，为了证实事项都得到了有效控制，审计人员需要确定进行实质性测试的事项的范围、数量及抽样方法。(2)根据前面的方法判断是否需要大量测试。(3)由于审计人员对每类事项的评价都必须有充足的关于该事项记录准确性与完整性的审计证据的支持，因此需要确认所有事项均已经被准确记录的可能性。(4)就样本而言，判断是否达到控制目标，并向被审计单位管理层提供最终的保证或不保证。02实质性测试实质性测试的审计记录信息系统审计的实质性测试根据测试内容的不同，所用的测试方法也不尽相同。例如，针对数据库的测试可采用SQL数据库查询法，针对系统功能的测试可采用穿行测试法等。因此，实质性测试的记录也有所差异。下面列出了两种常用的测试底稿的一般格式，分别如表3-6和表3-7所示。02实质性测试实质性测试的审计记录出具审计报告0901审计底稿的复核首先，在提交审计报告之前，项目组成员需要对审计底稿开展复核。信息系统审计项目一般采用三级复核流程。第一级复核：由负责应用控制和数据质量管理控制的信息系统审计项目组长对本小组的审计底稿进行复核。这一级复核是评判已经完成了的审计工作，小组成员对编写的审计底稿达成一致意见。第二级复核：各小组复核工作完成之后，由外部咨询公司对审计底稿进行复核，对审计底稿中记录的事项实行把关。第三级复核：由负责信息系统审计项目的经理对审计程序是否恰当、审计底稿是否充实、审计过程是否全面、是否存在重大缺漏进行复核。02审计事实的确认在完成审计报告前，审计人员通常需要与被审计单位进一步对审计发现的关键问题，以及其对应的审计依据进行确认，所采用的审计事实确认书的一般格式如表3-8所示。03信息系统审计报告的内容审计工作底稿审计问题汇总报告审计工作底稿包括审计人员对信息系统进行的有效性测试和实质性测试所发现的内部控制问题、风险评估，以及对信息系统进行测试的人员、时间和地点的记录。这份报告主要记录审计过程中发现的影响较大的内部控制问题，以及针对这些问题提出的改进建议。一些低风险问题一般不会在这份报告中提及。信息系统审计缺陷汇总表示例如表3-9所示。03信息系统审计报告的内容03信息系统审计报告的内容专题分析报告审计管理建议书在实际的信息系统审计工作中，还可以根据环境变化的客观条件调整审计报告的具体内容。例如，针对项目中某一问题的专题分析报告，提出紧急改进方案或一般改进方案。审计人员将发现的内部控制问题与制定的内部控制标准进行比较，分析对信息系统影响较大的内部控制问题，最后提出相关改进建议。审计总结报告审计总结报告将对本次信息系统审计进行总体概述。审计总结报告说明了审计范围、审计目标、审计期间和所执行的审计工作的性质和范围；审计过程中采用了哪些计算机辅助审计技术和信息系统审计技术，以及与之有关的审计结果。审计人员在审计过程中受到被审计单位条件或客观环境的限制，而对某些重要事项不能获得充分完整的资料，也应在审计报告中予以说明。审计总结报告还要对存在高风险级别的控制点进行说明，提出相应的完善提议。最后，审计总结报告还要对信息系统审计后续阶段的工作进行说明。审计结束1001审计结束审计完成后，应召开正式会议，与被审计单位最高管理层交流审计结果，提出改进建议。这能确保最高管理层更好地理解审计内容，提高对审计建议的接受度，并为被审计单位提供表达意见的机会。审计机构签署审计报告并不意味着审计过程的终结，对审计项目展开后续的跟踪检查也是信息系统审计的重要阶段之一。审计人员针对在信息系统审计过程中发现的信息系统重大问题和漏洞，可对被审计单位所采取的纠正措施及其效果进行后续审计。审计部门应该将后续审计放到审计计划中，并对人员、时间及分工进行保证。后续审计不是一次新的审计，而是本次审计的一部分。