IT审计的审计流程

发布网友 发布时间：2022-05-02 22:07

我来回答

共2个回答

热心网友 时间：2022-06-11 16:21

计划阶段是整个审计过程的起点。其主要工作包括：
（1）了解被审系统基本情况
了解被审系统基本情况是实施任何信息系统审计的必经程序，对基本情况的了解有助于审计组织对系统的组成、环境、运行年限、控制等有初步印象，以决定是否对该系统进行审计，明确审计的难度，所需时间以及人员配备情况等。
了解了基本情况，审计组织就可以大致判断系统的复杂性、管理层对审计的态度、内部控制的状况、以前审计的状况、审计难点与重点，以决定是否对其进行审计。
（2）初步评价被审单位系统的内部控制及外部控制
传统的内部控制制度是为防止舞弊和差错而形成的以内部稽核和相互牵制为核心的工作制度。随着信息技术特别是以Internet为代表的网络技术的发展和应用，企业信息系统进一步向深层次发展，这些变革无疑给企业带来了巨大的效益，但同时也给内部控制带来了新的问题和挑战。加强内部控制制度是信息系统安全可靠运行的有力保证。依据控制对象的范围和环境，信息系统内控制度的审计内容包括一般控制和应用控制两类。
一般控制是系统运行环境方而的控制，指对信息系统构成要素(人、机器、文件)的控制。它已为应用程序的正常运行提供外围保障，影响到计算机应用的成败及应用控制的强弱。主要包括：组织控制、操作控制、硬件及系统软件控制和系统安全控制。
应用控制是对信息系统中具体的数据处理活动所进行的控制，是具体的应用系统中用来预测、检测和更正错误和处置不法行为的控制措施，信息系统的应用控制主要体现在输入控制、处理控制和输出控制。应用控制具有特殊性，不同的应用系统有着不同的处理方式和处理环节，因而有着不同的控制问题和不同的控制要求，但是一般可把它划分为：输入控制、处理控制和输出控制。
通过对信息系统组织机构控制，系统开发与维护控制，安全性控制，硬件、软件资源控制，输入控制，处理控制，输出控制等方而的审计分析，建立内部控制强弱评价的指标系统及评价模型，审计人员通过交互式人机对话，输入各评价指标的评分，内控制审计评价系统则可以进行多级综合审计评价。通过内控制度的审计，实现对系统的预防性控制，检测性控制和纠正性控制。
（3）识别重要性
为了有效实现审计目标，合理使用审计资源，在制定审计计划时，信息系统审计人员应对系统重要性进行适当评估。对重要性的评估一般需要运用专业判断。考虑重要性水平时要根据审计人员的职业判断或公用标准，系统的服务对象及业务性质，内控的初评结果。重要性的判断离不开特定环境，审计人员必须根据具体的信息系统环境确定重要性。重要性具有数量和质量两个方面的特征。越是重要的子系统，就越需要获取充分的审计证据，以支持审计结论或意见。
（4）编制审计计划
经过以上程序，为编制审计计划提供了良好准备，审计人员就可以据以编制总体及具体审计计划。
总体计划包括：被审单位基本情况；审计目的、审计范围及策略；重要问题及重要审计领域；工作进度及时间；审计小组成员分工；重要性确定及风险评估等。
具体计划包括：具体审计目标；审计程序；执行人员及时间*等。 做好上诉材料的充分的准备，便可进行审计实施，具体包括以下内容：
（1）对信息系统计划开发阶段的审计
对信息系统计划开发阶段的审计包括对计划的审计和对开发的审计，可以采用事中审计，也可以是事后审计。比较而言事中审计更有意义，审计结果的得出利于故障、问题的及早发现，利于调整计划，利于开发顺序的改进。
信息系统计划阶段的关键控制点有：计划是否有明确的目的，计划中是否明确描述了系统的效果，是否明确了系统开发的组织，对整体计划进程是否正确预计，计划能否随经营环境改变而及时修正，计划是否制定有可行性报告，关于计划的过程和结果是否有文档记录等等。
系统开发阶段包括系统分析、系统设计、代码编写和系统测试三部分。其中涉及包括功能需求分析、业务数据分析、总体框架设计、结构设计、代码设计、数据库设计、输入输出设计、处理流程及模块功能的设计。编程时依据系统设计阶段的设计图及数据库结构和编码设计，用计算机程序语言来实现系统的过程。测试包括动态测试和静态测试，是系统开发完毕，进入试运行之前的必经程序。其关键控制点有:
分析控制点：是否己细致分析企业组织结构；是否确定用户功能和性能需求；是否确定用户的数据需求等。
设计控制点：设计界面是否方便用户使用；设计是否与业务内容相符；性能能否满足需要，是否考虑故障对策和安全保护等。
编程控制点：是否有程序说明书，并按照说明书进行编写；编程与设计是否相符，有无违背编程原则；程序作者是否进行自测；是否有程序作者之外的第三人进行测试;编程的书写、变量的命名等是否规范。
测试控制点：测试数据的选取是否按计划及需要进行，是否具有代表性；测试是否站在公正客观的立场进行，是否有用户参与测试；测试结果是否正确记录等。
（2）对信息系统运行维护阶段的审计
对信息系统运行维护阶段的审计又细分为对运行阶段的审计和对维护阶段的审计。系统运行过程的审计是在信息系统正式运行阶段，针对信息系统是否被正确操作和是否有效地运行，从而真正实现信息系统的开发目标、满足用户需求而进行的审计。对信息系统运行过程的审计分为系统输入审计、通信系统审计、处理过程审计、数据库审计、系统输出审计和运行管理审计六大部分。
输入审计的关键控制点有：是否制定并遵守输入管理规则，是否有数据生成顺序、处理等的防错、保护措施、防错、保护措施是否有效等。
通信系统实施的是实际数据的传输，通信系统中，审计轨迹应记录输入的数据、传送的数据和工作的通信系统。通信系统审计的关键控制点有：是否制定并遵守通信规则，对网络存取控制及监控是否有效等。
处理过程指处理器在接收到输入的数据后对数据进行加工处理的过程，此时的审计主要针对数据输入系统后是否被正确处理。关键控制点有：被处理的数据，数据处理器，数据处理时间，数据处理后的结果，数据处理实现的目的，系统处理的差错率，平均无故障时间，可恢复性和平均恢复时间等。
数据库审计是保障数据库正确行使了其职能，如对数据操作的有效性和发生异常操作时对数据的保护功能(正确数据不丢失，数据回滚以保证数据的一致性)。其关键控制点有：对数据的存取控制及监视是否有效，是否记录数据利用状况，并定期分析，是否考虑数据的保护功能，是否有防错、保密功能，防错、保密功能是否有效等。
输出审计不同于测试阶段的输出审计，此时的输出是在实际数据的基础上进行的，对其进行审计可以对系统输出进行再控制，结合用户需求进行评价。关键控制点有：输出信息的获取及处理时是否有防止不正当行为和机密保护措施，输出信息是否准确、及时，输出信息的形式是否被客户所接受，是否记录输出出错情况并定期分析等。
运行管理审计是对人机系统中人的行为的审计。关键控制点有：操作顺序是否标准化，作业进度是否有优先级，操作是否按标准进行，人员交替是否规范，能否对预计于实际运行的差异进行分析，遇问题时能否相互沟通，是否有经常性培训与教育等。
维护过程的审计包括对维护计划、维护实施、改良系统的试运行和旧系统的废除等维护活动的审计。维护过程的关键控制点有：维护组织的规模是否适应需要，人员分工是否明确，是否有一套管理机制和协调机制，维护过程发现的可改进点，维护是否得到维护负责人同意，是否对发现问题作了修正，维护记录是否有文档记载，是否定期分析，旧系统的废除是否在授权下进行等。 完成阶段是实质性的整个信息系统审计工作的结束，主要工作有:
整理、评价执行审计业务过程中收集到的证据。在信息系统审计的现代化管理时期，收集到的数据己存储在管理系统中，审计人员只需对其进行分析和调用即可。
复核审计底稿，完成二级复核。传统审计的*复核制度对信息系统审计同样适用，它是保证审计质量、降低审计风险的重要措施。一级复核是由信息系统审计项目组长在审计过程进行中对工作底稿的复核，这层复核主要是评价已完成的审计工作、所获得的工作底稿编制人员形成的结论；二级复核是在外勤工作结束时，由审计部门领导对工作底稿进行的重点复核。在审计工作办公自动化的今天，二级复核制度同样可以通过网上报送及调用得以实现。
评价审计结果，形成审计意见，完成*复核，编制审计报告。评价审计结果主要是为了确定将要发表的审计意见的类型及在整个审计工作中是否遵循了独立审计准则。信息系统审计人员需要对重要性和审计风险进行最终的评价。这是审计人员决定发表何种类型审计意见的必要过程，所确定的可接受审计风险一定要有足够充分适当的审计证据支持。签发审计报告之前，应当随工作底稿进行最终(*)复核，*复核由审计部门的主任进行，主要复核所采用审计程序的恰当性、审计工作底稿的充分性、审计过程中是否存在重大遗漏、审计工作是否符合事务所的质量要求等。*复核制度的坚持是控制审计风险的重要手段。审计报告是审计工作的最终成果，审计报告首先应有审计人员对被审系统的安全性、可靠性、稳定性、有效性的意见，同时提出改进建议。

热心网友 时间：2022-06-11 16:22

随着信息技术的发展，信息系统环境给企业的管理带来了翻天覆地的变化，信息系统审计更多地体现在为企业的IT治理提供了安全有效的保障，降低了企业面临的信息系统风险、管理风险，然而关于信息系统审计的操作流程，很多人还不是很清楚，快来跟时代新威一起来了解一下吧！

1.审计规划阶段

规划阶段是整个审计过程的起点。其主要任务包括：

1 ）了解审判中制度的基本情况

了解被审计系统的基本情况是实施任何信息系统审计的必要程序，了解基本情况有助于审计机构对系统的组成、环境、运行寿命、控制等有初步印象，以便决定是否对系统进行审计，澄清审计的困难、所需时间和人员情况等。

在了解了基本情况后，审计机构可以粗略地判断系统的复杂性、管理人员对审计的态度、内部控制的状况、以往审计的状况、审计的困难和要点，以确定是否审计。

2 )对被审查单位内部控制和外部控制的初步评价

传统的内部控制系统是以内部审计和相互约束为核心，防止欺诈和差错的工作体系，随着信息技术的发展和应用，特别是以互联网为代表的网络技术的进一步发展，企业信息系统得到了深入的发展，这些变化无疑给企业带来了巨大的利益，同时也给内部控制带来了新的问题和挑战，时代新威IT审计加强了对内部控制制度是信息系统安全可靠运行的有力保证，根据控制对象的范围和环境，信息系统内部控制系统的审计内容包括一般控制和应用控制。

一般控制是对系统运行环境的控制，是指对信息系统各组成部分(人、机器、文件)的控制，它为应用程序的正常运行提供了外围保障，影响着计算机应用的成败和应用控制的强度，主要包括：组织控制、操作控制、软硬件控制和系统安全控制。

应用控制是对信息系统中特定数据处理活动的控制，是预测、检测和纠正错误、处理特定应用系统违法行为的一种控制措施，信息系统的应用控制主要体现在输入控制、处理控制和输出控制三个方面，应用控制有其特殊性，不同的应用系统有不同的处理方法和环节，有不同的控制问题和不同的控制要求，但可以分为输入控制、处理控制和输出控制。

通过对信息系统组织控制、系统开发维护控制、安全控制、软硬件资源控制、输入控制、过程控制、输出控制等审计分析，时代新威建立了内部控制强度评价的指标体系和评价模型，审计员通过人机交互对话输入各评价指标的评价指标，内部控制审计评价系统可以进行多层次的综合审计评价，通过对内部控制系统的审计，实现系统的预防性控制、检测控制和纠正控制。

3 )承认重要性

为了有效地实现审计目标和合理利用审计资源，信息系统审计人员在制定审计计划时应正确评价系统的重要性。对重要性的评估一般需要使用专业判断。在考虑重要程度时，应依据审计人员的专业判断或共同标准、系统的服务对象和业务性质以及内部控制的初步评估结果。重要性的判断离不开特定的环境，审计师必须根据特定的信息系统环境来确定重要性。重要性具有数量和质量两方面的特点。子系统越重要，就越需要足够的审计证据来支持审计结论或意见。

4 )编制审计计划

经过上述程序后，审计计划已做好准备，审计师可编制全面和具体的审计计划。

总体规划包括：被审计人的基本情况；审计目的、审计范围和战略；重要问题和重要审计领域；工作进展和时间；审计小组成员之间的分工；重要性确定和风险评估。

具体计划包括：IT信息系统审计具体的审计目标；审计程序；从业人员和时限。

2.审计执行阶段 

审计可以充分准备上诉材料，包括以下内容：

1 )审计计划中的信息系统开发阶段

对信息系统计划发展阶段的审计包括对计划的审计和对发展的审计，无论是个案审计还是事后审计。相比之下，审计更有意义，审计结果有利于及早发现错误和问题，有利于计划的调整，有利于改进发展顺序。

IT信息系统审计规划阶段的关键控制点是：该计划是否有明确的目的，该计划是否清楚地描述了该系统的作用，是否界定了系统开发的组织，是否正确地预测了总体规划过程，该计划是否能够随着业务环境的变化而及时修订，是否有关于该计划是否制定的可行性报告，是否有关于该计划的过程和结果的文件，等等。

系统开发阶段包括三个部分：系统分析、系统设计、代码编写和系统测试，包括功能需求分析、业务数据分析、总体框架设计、结构设计、代码设计、数据库设计、输入输出设计、处理流程和模块功能设计，根据系统设计阶段的设计图、数据库结构和代码设计，系统的过程用计算机程序语言实现，测试包括动态测试和静态测试，这是系统开发和试运行前的必要程序，其关键控制点是：

分析控制点：是否仔细分析了企业的组织结构；是否确定了用户的功能和性能要求；是否确定了用户的数据需求等。

设计控制点：设计界面是否方便用户使用；设计是否与业务内容一致；性能是否满足需要；是否考虑故障对策和安全保护等。

编程控制点：是否有程序规范，并按照规范编写；程序设计与设计是否一致，是否违反编程原则；程序作者是否进行自我测试；是否有程序作者以外的第三人进行测试；程序编写、变量命名等是否标准化。

测试控制点：测试数据的选择是否按照计划和需要进行，是否具有代表性；测试是否在公平和客观的位置进行；是否有用户参与测试；测试结果是否被正确记录等。

2 )对信息系统操作和维护阶段的审计

信息系统运行维护阶段审计分为运行阶段审计和维护阶段审计，系统运行过程审计是在信息系统正式运行阶段进行的，目的是为了真正实现信息系统的发展目标，满足用户的需要，时代新威对信息系统运行过程的审计分为六个部分：系统输入审计、通信系统审计、过程审计、数据库审计、系统输出审计和运行管理审计。

输入审计的关键控制点是否制定和遵守输入管理规则，是否有数据生成顺序、处理错误预防、保护措施、错误预防和保护措施等。

通信系统实现实际数据的传输。在通信系统中，审计跟踪应记录输入数据、传输数据和工作通信系统。通信系统审计的关键控制点是否制定和遵守通信规则，网络访问控制和监控是否有效等。

处理过程是指处理器在接收到输入数据后对数据进行处理的过程。此时，审计主要针对数据输入系统是否正确处理，关键控制点是：处理数据、数据处理器、数据处理时间、数据处理结果、数据处理目的、系统处理错误率、平均无故障时间、可恢复时间和平均恢复时间等。

 
数据库审计确保数据库正确地行使数据操作的有效性和异常操作时数据的保护功能(正确数据不丢失，数据回滚以保证数据的一致性)。关键控制点是：数据的访问控制和监控是否有效，是否记录数据的使用，是否考虑数据的保护功能，是否存在错误预防、保密功能、错误预防和保密功能等。

输出审计不同于测试阶段的输出审计。此时，输出是根据实际数据进行的。输出审计可以根据用户的需要对系统的输出进行重新控制。关键控制点是：在获取和处理输出信息时是否有防止不当行为和保密保护的措施，输出信息是否准确和及时，输出信息的形式是否为客户接受，是否定期记录和分析输出错误等。

运行管理审计是对人机系统中人的行为的审计，其关键控制点是：操作顺序是否规范，作业进度是否优先，操作是否按照标准进行，人员是否交替进行，实际操作中期望运行的差异是否可以分析，出现问题时能否相互沟通，是否有定期的培训和教育等等。

对维修过程的审计包括对维修活动的审计，如维修计划、维修实施、改进后的系统的试运行和旧制度的废除。维修过程的关键控制点是：维修组织的规模是否符合需要，分工是否明确，是否有一套管理机制和协调机制，维修过程能否得到改进，维修是否得到维修主管的批准，维修记录中是否有文件，是否定期分析维修记录，是否在授权下废除旧制度等。

3.审计完成阶段

时代新威完成阶段是对整个信息系统进行实质性审计的结束，其主要任务如下：

1 ）对执行审计业务过程中收集到的证据进行整理和评价

在现代信息系统审计管理阶段，收集到的数据存储在管理系统中，审计人员只需对其进行分析和调用。

2 ）审查审计草案并完成第二级审查

传统审计的*审查制度也适用于信息系统审计，是保证审计质量、降低审计风险的重要措施。第一级审查是信息系统审计项目负责人在审计过程中对工作文件的审查，主要是评价已完成的审计工作和编写工作文件所形成的结论；第二级审查是审计部门领导在外地工作结束时对工作文件的关键审查。在今天的审计办公室自动化中，辅助审查系统也可以通过在线报告和呼叫来实现。

3 ）评估审计结果，形成审计意见，完成*评审，并准备审计报告

评价审计结果的主要目的是确定要发表的审计意见的类型，以及在整个审计过程中是否遵循了独立的审计标准。信息系统审计师需要对审计的重要性和审计风险做出最终的评价。这是审计员决定发表哪类审计意见的必要程序，所查明的可接受的审计风险必须有充分和适当的审计证据作为佐证。在发布审计报告之前，最后(*)审查应与工作草案一起进行，*审查应由审计部门主任进行。主要审查应包括所采用的审计程序是否适当、审计工作草案是否充分、审计过程中是否存在重大遗漏、审计工作是否符合事务所的质量要求等。坚持*审查制度是控制审计风险的重要手段.审计报告是审计工作的最终结果。首先，审计报告应对被审查系统的安全性、可靠性、稳定性和有效性提出审计意见，并提出改进建议。

当前，审计工作的发展正经历着前所未有的发展和转型时期，时代新威要发展审计工作，既要适应信息化的发展，又要适应审计对象、内容和手段的变化，充分利用信息资源，不断转变审计观念，不断向前发展。审计工作要抓住机遇，大力推进信息化，加强审计信息化研究，让审计信息技术更好地服务于审计工作。