資源描述:
《信息系統(tǒng)審計操作流程》由會員上傳分享,免費在線閱讀��,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫��。
1��、信息系統(tǒng)審計操作流程1.審計計劃階段計劃階段是整個審計過程的起點����。其主要工作包括:(1)了解被審系統(tǒng)基本情況????了解被審系統(tǒng)基本情況是實施任何信息系統(tǒng)審計的必經(jīng)程序,對基本情況的了解有助于審計組織對系統(tǒng)的組成�、環(huán)境、運行年限�����、控制等有初步印象�����,以決定是否對該系統(tǒng)進行審計�,明確審計的難度�,所需時間以及人員配備情況等��。????了解了基本情況�,審計組織就可以大致判斷系統(tǒng)的復(fù)雜性、管理層對審計的態(tài)度�����、內(nèi)部控制的狀況�、以前審計的狀況��、審計難點與重點�����,以決定是否對其進行審計�����。(2)初步評價被審單位系統(tǒng)的內(nèi)部控制及外部控制????傳統(tǒng)的內(nèi)部控制制度是為防止舞弊和差錯而形成的以內(nèi)
2�����、部稽核和相互牽制為核心的工作制度��。隨著信息技術(shù)特別是以Internet為代表的網(wǎng)絡(luò)技術(shù)的發(fā)展和應(yīng)用,企業(yè)信息系統(tǒng)進一步向深層次發(fā)展�����,這些變革無疑給企業(yè)帶來了巨大的效益���,但同時也給內(nèi)部控制帶來了新的問題和挑戰(zhàn)��。加強內(nèi)部控制制度是信息系統(tǒng)安全可靠運行的有力保證��。依據(jù)控制對象的范圍和環(huán)境�,信息系統(tǒng)內(nèi)控制度的審計內(nèi)容包括一般控制和應(yīng)用控制兩類����。????一般控制是系統(tǒng)運行環(huán)境方而的控制,指對信息系統(tǒng)構(gòu)成要素(人�����、機器�、文件)的控制。它已為應(yīng)用程序的正常運行提供外圍保障���,影響到計算機應(yīng)用的成敗及應(yīng)用控制的強弱��。主要包括:組織控制��、操作控制��、硬件及系統(tǒng)軟件控制和系統(tǒng)安全控制��。???
3���、?應(yīng)用控制是對信息系統(tǒng)中具體的數(shù)據(jù)處理活動所進行的控制�����,是具體的應(yīng)用系統(tǒng)中用來預(yù)測、檢測和更正錯誤和處置不法行為的控制措施���,信息系統(tǒng)的應(yīng)用控制主要體現(xiàn)在輸入控制��、處理控制和輸出控制��。應(yīng)用控制具有特殊性�,不同的應(yīng)用系統(tǒng)有著不同的處理方式和處理環(huán)節(jié)���,因而有著不同的控制問題和不同的控制要求��,但是一般可把它劃分為:輸入控制��、處理控制和輸出控制���。????通過對信息系統(tǒng)組織機構(gòu)控制����,系統(tǒng)開發(fā)與維護控制�,安全性控制,硬件�����、軟件資源控制��,輸入控制�,處理控制,輸出控制等方而的審計分析��,建立內(nèi)部控制強弱評價的指標(biāo)系統(tǒng)及評價模型�,審計人員通過交互式人機對話,輸入各評價指標(biāo)的評分�,內(nèi)控制審計
4、評價系統(tǒng)則可以進行多級綜合審計評價���。通過內(nèi)控制度的審計�����,實現(xiàn)對系統(tǒng)的預(yù)防性控制�����,檢測性控制和糾正性控制�。(3)識別重要性????為了有效實現(xiàn)審計目標(biāo),合理使用審計資源���,在制定審計計劃時�����,信息系統(tǒng)審計人員應(yīng)對系統(tǒng)重要性進行適當(dāng)評估。對重要性的評估一般需要運用專業(yè)判斷���?�?紤]重要性水平時要根據(jù)審計人員的職業(yè)判斷或公用標(biāo)準(zhǔn)�����,系統(tǒng)的服務(wù)對象及業(yè)務(wù)性質(zhì)��,內(nèi)控的初評結(jié)果����。重要性的判斷離不開特定環(huán)境,審計人員必須根據(jù)具體的信息系統(tǒng)環(huán)境確定重要性��。重要性具有數(shù)量和質(zhì)量兩個方面的特征�。越是重要的子系統(tǒng),就越需要獲取充分的審計證據(jù)�����,以支持審計結(jié)論或意見��。(4)編制審計計劃????經(jīng)過以上程
5����、序,為編制審計計劃提供了良好準(zhǔn)備���,審計人員就可以據(jù)以編制總體及具體審計計劃����。????總體計劃包括:被審單位基本情況;審計目的��、審計范圍及策略�;重要問題及重要審計領(lǐng)域;工作進度及時間����;審計小組成員分工;重要性確定及風(fēng)險評估等���。????具體計劃包括:具體審計目標(biāo)����;審計程序�����;執(zhí)行人員及時間限制等�。2.審計實施階段做好上訴材料的充分的準(zhǔn)備���,便可進行審計實施�,具體包括以下內(nèi)容:(1)對信息系統(tǒng)計劃開發(fā)階段的審計????對信息系統(tǒng)計劃開發(fā)階段的審計包括對計劃的審計和對開發(fā)的審計���,可以采用事中審計����,也可以是事后審計。比較而言事中審計更有意義�����,審計結(jié)果的得出利于故障�����、問題的及早發(fā)現(xiàn)�����,
6���、利于調(diào)整計劃��,利于開發(fā)順序的改進���。????信息系統(tǒng)計劃階段的關(guān)鍵控制點有:計劃是否有明確的目的,計劃中是否明確描述了系統(tǒng)的效果,是否明確了系統(tǒng)開發(fā)的組織�����,對整體計劃進程是否正確預(yù)計�����,計劃能否隨經(jīng)營環(huán)境改變而及時修正����,計劃是否制定有可行性報告,關(guān)于計劃的過程和結(jié)果是否有文檔記錄等等����。????系統(tǒng)開發(fā)階段包括系統(tǒng)分析、系統(tǒng)設(shè)計����、代碼編寫和系統(tǒng)測試三部分。其中涉及包括功能需求分析���、業(yè)務(wù)數(shù)據(jù)分析��、總體框架設(shè)計�����、結(jié)構(gòu)設(shè)計���、代碼設(shè)計、數(shù)據(jù)庫設(shè)計���、輸入輸出設(shè)計����、處理流程及模塊功能的設(shè)計�。編程時依據(jù)系統(tǒng)設(shè)計階段的設(shè)計圖及數(shù)據(jù)庫結(jié)構(gòu)和編碼設(shè)計,用計算機程序語言來實現(xiàn)系統(tǒng)的過程��。測試包括
7��、動態(tài)測試和靜態(tài)測試�,是系統(tǒng)開發(fā)完畢,進入試運行之前的必經(jīng)程序�。其關(guān)鍵控制點有:分析控制點:是否己細(xì)致分析企業(yè)組織結(jié)構(gòu);是否確定用戶功能和性能需求����;是否確定用戶的數(shù)據(jù)需求等�。????設(shè)計控制點:設(shè)計界面是否方便用戶使用�����;設(shè)計是否與業(yè)務(wù)內(nèi)容相符�;性能能否滿足需要,是否考慮故障對策和安全保護等����。????編程控制點:是否有程序說明書,并按照說明書進行編寫�����;編程與設(shè)計是否相符��,有無違背編程原則�����;程序作者是否進行自測��;是否有程序作者之外的第三人進行測試;編程的書寫�、變量的命名等是否規(guī)范。????測試控制點:測試數(shù)據(jù)的選取是否按計劃及需要進行���,是否具有代表性�;測試
