信息系统审计操作流程

　信息系统审计操作步骤

　1．审计计划阶段

　计划阶段是整个审计过程起点。其关键工作包含：

　（1）了解被审系统基础情况

　了解被审系统基础情况是实施任何信息系统审计必经程序，对基础情况了解有利于审计组织对系统组成、环境、运行年限、控制等有初步印象，以决定是否对该系统进行审计，明确审计难度，所需时间和人员配置情况等。

　了解了基础情况，审计组织就能够大致判定系统复杂性、管理层对审计态度、内部控制情况、以前审计情况、审计难点和关键，以决定是否对其进行审计。

　（2）初步评价被审单位系统内部控制及外部控制

　传统内部控制制度是为预防舞弊和差错而形成以内部稽核和相互牵制为关键工作制度。伴随信息技术尤其是以 Internet 为代表网络技术发展和应用，企业信息系统深入向深层次发展，这些变革无疑给企业带来了巨大效益，但同时也给内部控制带来了新问题和挑战。加强内部控制制度是信息系统安全可靠运行有力确保。依据控制对象范围和环境，信息系统内控制度审计内容包含通常控制和应用控制两类。

　通常控制是系统运行环境方而控制，指对信息系统组成要素(人、机器、文件)控制。它已为应用程序正常运行提供外围保障，影响到计算机应用成败及应用控制强弱。关键包含：组织控制、操作控制、硬件及系统软件控制和系统安全控制。

　应用控制是对信息系统中具体数据处理活动所进行控制，是具体应用系统中用来估计、检测和更正错误和处理不法行为控制方法，信息系统应用控制关键表现在输入控制、处理控制和输出控制。应用控制含有特殊性，不一样应用系统有着不一样处理方法和处理步骤，所以有着不一样控制问题和不一样控制要求，不过通常可把它划分为：输入控制、处理控制和输出控制。

　经过对信息系统组织机构控制，系统开发和维护控制，安全性控制，硬件、软件资源控制，输入控制，处理控制，输出控制等方而审计分析，建立内部控制强弱评价指标系统及评价模型，审计人员经过交互式人机对话，输入各评价指标评分，内控制审计评价系统则能够进行多级综合审计评价。经过内控制度审计，实现对系统预防性控制，检测性控制和纠正性控制。

　（3）识别关键性

　为了有效实现审计目标，合理使用审计资源，在制订审计计划时，信息系统审计人员应对系统关键性进行合适评定。对关键性评定通常需要利用专业判定。考虑关键性水平时要依据审计人员职业判定或公用标准，系统服务对象及业务性质，内控初评结果。关键性判定离不开特定环境，审计人员必需依据具体信息系统环境确定关键性。关键性含有数量和质量两个方面特征。越是关键子系统，就越需要获取充足审计证据，以支持审计结论或意见。

　（4）编制审计计划

　经过以上程序，为编制审计计划提供了良好准备，审计人员就能够据以编制总体及具体审计计划。

　总体计划包含：被审单位基础情况；审计目标、审计范围及策略；关键问题及关键审计领域；工作进度立即间；审计小组组员分工；关键性确定及风险评定等。

　具体计划包含：具体审计目标；审计程序；实施人员立即间限制等。

　2．审计实施阶段

　做好上诉材料充足准备，便可进行审计实施，具体包含以下内容：

　（1）对信息系统计划开发阶段审计

　对信息系统计划开发阶段审计包含对计划审计和对开发审计，能够采取事中审计，也能够是事后审计。比较而言事中审计更有意义，审计结果得出利于故障、问题及早发觉，利于调整计划，利于开发次序改善。

　信息系统计划阶段关键控制点有：计划是否有明确目标，计划中是否明确描述了系统效果，是否明确了系统开发组织，对整体计划进程是否正确估计，计划能否随经营环境改变而立即修正，计划是否制订有可行性汇报，相关计划过程和结果是否有文档统计等等。

　系统开发阶段包含系统分析、系统设计、代码编写和系统测试三部分。其中包含包含功效需求分析、业务数据分析、总体框架设计、结构设计、代码设计、数据库设计、输入输出设计、处理步骤及模块功效设计。编程时依据系统设计阶段设计图及数据库结构和编码设计，用计算机程序语言来实现系统过程。测试包含动态测试和静态测试，是系统开发完成，进入试运行之前必经程序。其关键控制点有:

　分析控制点：是否己细致分析企业组织结构；是否确定用户功效和性能需求；是否确定用户数据需求等。

　设计控制点：设计界面是否方便用户使用；设计是否和业务内容相符；性能能否满足需要，是否考虑故障对策和安全保护等。

　编程控制点：是否有程序说明书，并根据说明书进行编写；编程和设计是否相符，有没有违反编程标准；程序作者是否进行自测；是否有程序作者之外第三人进行测试;编程书写、变量命名等是否规范。

　测试控制点：测试数据选择是否按计划及需要进行，是否含有代表性；测试是否站在公正客观立场进行，是否有用户参与测试；测试结果是否正确统计等。

　（2）对信息系统运行维护阶段审计

　对信息系统运行维护阶段审计又细分为对运行阶段审计和对维护阶段审计。系统运行过程审计是在信息系统正式运行阶段，针对信息系统是否被正确操作和是否有效地运行，从而真正实现信息系统开发目标、满足用户需求而进行审计。对信息系统运行过程审计分为系统输入审计、通信系统审计、处理过程审计、数据库审计、系统输出审计和运行管理审计六大部分。

　输入审计关键控制点有：是否制订并遵守输入管理规则，是否有数据生成次序、处理等防错、保护方法、防错、保护方法是否有效等。

　通信系统实施是实际数据传输，通信系统中，审计轨迹应统计输入数据、传送数据和工作通信系统。通信系统审计关键控制点有：是否制订并遵守通信规则，对网络存取控制及监控是否有效等。

　处理过程指处理器在接收到输入数据后对数据进行加工处理过程，此时审计关键针对数据输入系统后是否被正确处理。关键控制点有：被处理数据，数据处理器，数据处理时间，数据处理后结果，数据处理实现目标，系统处理差错率，平均无故障时间，可恢复性和平均恢复时间等。

　数据库审计是保障数据库正确行使了其职能，如对数据操作有效性和发生异常操作时对数据保护功效(正确数据不丢失，数据回滚以确保数据一致性)。其关键控制点有：对数据存取控制及监视是否有效，是否统计数据利用情况，并定时分析，是否考虑数据保护功效，是否有防错、保密功效，防错、保密功效是否有效

　等。

　输出审计不一样于测试阶段输出审计，此时输出是在实际数据基础上进行，对其进行审计能够对系统输出进行再控制，结适用户需求进行评价。关键控制点有：输出信息获取及处理时是否有预防不正当行为和机密保护方法，输出信息是否正确、立即，输出信息形式是否被用户所接收，是否统计输出犯错情况并定时分析等。

　运行管理审计是对人机系统中人行为审计。关键控制点有：操作次序是否标准化，作业进度是否有优先级，操作是否按标准进行，人员交替是否规范，能否对估计于实际运行差异进行分析，遇问题时能否相互沟通，是否有常常性培训和教育等。

　维护过程审计包含对维护计划、维护实施、改良系统试运行和旧系统废除等维护活动审计。维护过程关键控制点有：维护组织规模是否适应需要，人员分工是否明确，是否有一套管理机制和协调机制，维护过程发觉可改善点，维护是否得到维护责任人同意，是否对发觉问题作了修正，维护统计是否有文档记载，是否定时分析，旧系统废除是否在授权下进行等。

　3．审计完成阶段

　完成阶段是实质性整个信息系统审计工作结束，关键工作有:

　整理、评价实施审计业务过程中搜集到证据。在信息系统审计现代化管理时期，搜集到数据己存放在管理系统中，审计人员只需对其进行分析和调用即可。

　复核审计底稿，完成二级复核。传统审计三级复核制度对信息系统审计一样适用，它是确保审计质量、降低审计风险关键方法。一级复核是由信息系统审计项目组长在审计过程进行中对工作底稿复核，这层复核关键是评价已完成审计工作、所取得工作底稿编制人员形成结论；二级复核是在外勤工作结束时，由审计部门领导对工作底稿进行关键复核。在审计工作办公自动化今天，二级复核制度一样能够经过网上报送及调用得以实现。

　评价审计结果，形成审计意见，完成三级复核，编制审计汇报。评价审计结果关键是为了确定将要发表审计意见类型及在整个审计工作中是否遵照了独立审计准则。信息系统审计人员需要对关键性和审计风险进行最终评价。这是审计人员决定发表何种类型审计意见必需过程，所确定可接收审计风险一定要有足够充足合适审计证据支持。签发审计汇报之前，应该随工作底稿进行最终(三级)复核，三级复核由审计部门主任进行，关键复核所采取审计程序合适性、审计工作底稿充足性、审计过程中是否存在重大遗漏、审计工作是否符合事务所质量要求等。三级复核制度坚持是控制审计风险关键手段。审计汇报是审计工作最终结果，审计汇报首先应有审计人员对被审系统安全性、可靠性、稳定性、有效性意见，同时提出改善提议。