資源描述:
《信息系統(tǒng)審計(IT審計)操作流程》由會員上傳分享�,免費在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫��。
1����、信息系統(tǒng)審計(IT審計)操作流程一、審計計劃階段計劃階段是整個審計過程的起點��。其主要工作包括:(1)了解被審系統(tǒng)基本情況????了解被審系統(tǒng)基本情況是實施任何信息系統(tǒng)審計的必經(jīng)程序�����,對基本情況的了解有助于審計組織對系統(tǒng)的組成�、環(huán)境、運行年限��、控制等有初步印象,以決定是否對該系統(tǒng)進行審計��,明確審計的難度�,所需時間以及人員配備情況等。????了解了基本情況�,審計組織就可以大致判斷系統(tǒng)的復(fù)雜性、管理層對審計的態(tài)度���、內(nèi)部控制的狀況��、以前審計的狀況、審計難點與重點����,以決定是否對其進行審計。(2)初步評價被審單位系統(tǒng)的內(nèi)部控制及外部控制????傳統(tǒng)的內(nèi)
2���、部控制制度是為防止舞弊和差錯而形成的以內(nèi)部稽核和相互牽制為核心的工作制度�����。隨著信息技術(shù)特別是以Internet為代表的網(wǎng)絡(luò)技術(shù)的發(fā)展和應(yīng)用���,企業(yè)信息系統(tǒng)進一步向深層次發(fā)展����,這些變革無疑給企業(yè)帶來了巨大的效益����,但同時也給內(nèi)部控制帶來了新的問題和挑戰(zhàn)�����。加強內(nèi)部控制制度是信息系統(tǒng)安全可靠運行的有力保證�。依據(jù)控制對象的范圍和環(huán)境,信息系統(tǒng)內(nèi)控制度的審計內(nèi)容包括一般控制和應(yīng)用控制兩類��。????一般控制是系統(tǒng)運行環(huán)境方而的控制�����,指對信息系統(tǒng)構(gòu)成要素(人�����、機器��、文件)的控制。它已為應(yīng)用程序的正常運行提供外圍保障���,影響到計算機應(yīng)用的成敗及應(yīng)用控制的強弱�����。主
3�����、要包括:組織控制��、操作控制��、硬件及系統(tǒng)軟件控制和系統(tǒng)安全控制�����。????應(yīng)用控制是對信息系統(tǒng)中具體的數(shù)據(jù)處理活動所進行的控制,是具體的應(yīng)用系統(tǒng)中用來預(yù)測�����、檢測和更正錯誤和處置不法行為的控制措施�,信息系統(tǒng)的應(yīng)用控制主要體現(xiàn)在輸入控制、處理控制和輸出控制��。應(yīng)用控制具有特殊性,不同的應(yīng)用系統(tǒng)有著不同的處理方式和處理環(huán)節(jié)�����,因而有著不同的控制問題和不同的控制要求����,但是一般可把它劃分為:輸入控制、處理控制和輸出控制����。????通過對信息系統(tǒng)組織機構(gòu)控制,系統(tǒng)開發(fā)與維護控制�,安全性控制,硬件����、軟件資源控制,輸入控制���,處理控制���,輸出控制等方而的審計分析,建立內(nèi)
4、部控制強弱評價的指標(biāo)系統(tǒng)及評價模型�,審計人員通過交互式人機對話,輸入各評價指標(biāo)的評分��,內(nèi)控制審計評價系統(tǒng)則可以進行多級綜合審計評價����。通過內(nèi)控制度的審計,實現(xiàn)對系統(tǒng)的預(yù)防性控制��,檢測性控制和糾正性控制���。(3)識別重要性????為了有效實現(xiàn)審計目標(biāo)����,合理使用審計資源�,在制定審計計劃時,信息系統(tǒng)審計人員應(yīng)對系統(tǒng)重要性進行適當(dāng)評估�。對重要性的評估一般需要運用專業(yè)判斷??紤]重要性水平時要根據(jù)審計人員的職業(yè)判斷或公用標(biāo)準(zhǔn)����,系統(tǒng)的服務(wù)對象及業(yè)務(wù)性質(zhì),內(nèi)控的初評結(jié)果。重要性的判斷離不開特定環(huán)境����,審計人員必須根據(jù)具體的信息系統(tǒng)環(huán)境確定重要性。重要性具有數(shù)量和
5���、質(zhì)量兩個方面的特征���。越是重要的子系統(tǒng),就越需要獲取充分的審計證據(jù)����,以支持審計結(jié)論或意見。(4)編制審計計劃????經(jīng)過以上程序�,為編制審計計劃提供了良好準(zhǔn)備,審計人員就可以據(jù)以編制總體及具體審計計劃�。????總體計劃包括:被審單位基本情況;審計目的����、審計范圍及策略;重要問題及重要審計領(lǐng)域��;工作進度及時間�����;審計小組成員分工;重要性確定及風(fēng)險評估等����。????具體計劃包括:具體審計目標(biāo);審計程序�����;執(zhí)行人員及時間限制等��。二�����、審計實施階段做好上訴材料的充分的準(zhǔn)備�,便可進行審計實施,具體包括以下內(nèi)容:(1)對信息系統(tǒng)計劃開發(fā)階段的審計????對信息系統(tǒng)
6����、計劃開發(fā)階段的審計包括對計劃的審計和對開發(fā)的審計,可以采用事中審計�����,也可以是事后審計���。比較而言事中審計更有意義�,審計結(jié)果的得出利于故障�����、問題的及早發(fā)現(xiàn)�,利于調(diào)整計劃,利于開發(fā)順序的改進�。????信息系統(tǒng)計劃階段的關(guān)鍵控制點有:計劃是否有明確的目的,計劃中是否明確描述了系統(tǒng)的效果���,是否明確了系統(tǒng)開發(fā)的組織���,對整體計劃進程是否正確預(yù)計,計劃能否隨經(jīng)營環(huán)境改變而及時修正���,計劃是否制定有可行性報告����,關(guān)于計劃的過程和結(jié)果是否有文檔記錄等等��。????系統(tǒng)開發(fā)階段包括系統(tǒng)分析、系統(tǒng)設(shè)計����、代碼編寫和系統(tǒng)測試三部分。其中涉及包括功能需求分析����、業(yè)務(wù)數(shù)據(jù)分析、總
7�����、體框架設(shè)計�、結(jié)構(gòu)設(shè)計、代碼設(shè)計���、數(shù)據(jù)庫設(shè)計��、輸入輸出設(shè)計�����、處理流程及模塊功能的設(shè)計�。編程時依據(jù)系統(tǒng)設(shè)計階段的設(shè)計圖及數(shù)據(jù)庫結(jié)構(gòu)和編碼設(shè)計���,用計算機程序語言來實現(xiàn)系統(tǒng)的過程���。測試包括動態(tài)測試和靜態(tài)測試�,是系統(tǒng)開發(fā)完畢�����,進入試運行之前的必經(jīng)程序���。其關(guān)鍵控制點有:分析控制點:是否己細(xì)致分析企業(yè)組織結(jié)構(gòu);是否確定用戶功能和性能需求�;是否確定用戶的數(shù)據(jù)需求等。????設(shè)計控制點:設(shè)計界面是否方便用戶使用��;設(shè)計是否與業(yè)務(wù)內(nèi)容相符���;性能能否滿足需要��,是否考慮故障對策和安全保護等�����。????編程控制點:是否有程序說明書�,并按照說明書進行編寫;編程與設(shè)計是否相
8����、符,有無違背編程原則����;程序作者是否進行自測;是否有程序作者之外的第三人進行測試;編程的書寫���、變量的命名等是否規(guī)范����。????測試控制點:測試數(shù)據(jù)的選取是否按計劃及需要進行�����,是否具有
