IT审计汇总整理.docx

- -可编辑-感谢下载支持 名目 TOC \o “1-1“ \h \z \u \l “_TOC_250007“ 什么是 IT 审计 1 \l “_TOC_250006“ IT 审计的对象和范围 1 \l “_TOC_250005“ IT 审计的任务 2 \l “_TOC_250004“ IT 审计制度的建立需要留意三点 2 \l “_TOC_250003“ IT 审计流程 2 \l “_TOC_250002“ 从 IT 审计看审计学科的进展 5 \l “_TOC_250001“ IT 审计等技术审计的产生对我国审计进展的影响 5 \l “_TOC_250000“ IT 审计的历史和进展 5 什么是 IT 审计 IT 审计就是信息系统审计，也称 IT 监查，是独立于信息系统本身、信息系统相关开发、使用人员的第三方－IT 审计师承受客观的标准对信息系统的筹划、开发、使用维护等相关活动和产物进展完整地、有效地检查和评估。 信息系统审计的必要性是基于这样一种生疏：信息化是有风险的。信息系统规模越大，功能越简单，风 险也就越大。 IT 审计的对象和范围 IT 审计设计整个信息系统的生命周期，IT 审计不是单纯强调对软硬件的审计。它的审计对象涵盖整个信息系统全部活动和中间产物，并包括信息系统实施相关的外部环境。一般来说，对企业实施 IT 审计的对象有： 本企业内的 IT 审计师、外部 IT 审计事务所托付审计师和国家审计机构。IT 审计依据信息系统的生命周期分为业务打算审计，业务开发审计、业务执行审计和业务维护审计以及涵盖整个信息系统周期的共通业务审计。 业务打算审计主要面对信息系统的企划，对信息系统的投资可行性，系统规划与公司战略的相关性， 系统开发打算的可行性以及系统需求的完整性和正确性进展审核和验证。 业务开发审计对信息系统开发的各个阶段的相关人员的活动、信息、中间产物进展审核，确认这些活 动、信息和中间产物的标准性、有效性和对于信息系统目标的针对性。 业务执行审计确认与信息系统运行相关的数据、软硬件、安装环境等是否符合信息系统的运营要求， 同时对信息系统的功能、性能、易用度、可操作性等进展评估。 业务维护审计对信息系统的维护活动和维护结果实施审核和评价。觉察在维护中可能消灭的各种漏洞 和信息系统维护中急待改善的问题。 共通业务审计涉及文档治理、进度治理、人员治理、选购治理、风险治理等，检查这些过程的标准性 和有效性，并提出改进建议。 IT 审计的任务 IT 审计的任务在于站在客观公正的角度上，收集审计信息，生成审计报告，通过审计报告促成信息系统生命周期活动和成果物的改善。 IT 审计制度的建立需要留意三点 作为企业，建立一个完善的 IT 审计制度需要做到以下几点： IT 审计师是跨信息技术和审计技术的复合型人才，要实施企业的 IT 审计制度，必需重视和培育合格的 IT 审计师； 企业应当建立相应的 IT 审计部门或审计岗位，确定其部门和岗位职责，并将之置于企业经营者的直接治理之内； 企业应当制定相应的 IT 审计准则、实施报表、报告等进展 IT 审计所必需的凭据； 企业在建立 IT 审计制度时应当遵循国家相关 IT 审计的法规并结合本企业的业务实际进展。企业的 IT 审计制度不是一成不变的，依据具体企业的营运状况可以在每个审计年度终结后的审计年度开头前做相应的修改和增删。 IT 审计流程 审计打算阶段 打算阶段是整个审计过程的起点。其主要工作包括： 了解被审系统根本状况 了解被审系统根本状况是实施任何信息系统审计的必经程序，对根本状况的了解有助于审计组织对系统 的组成、环境、运行年限、掌握等有初步印象，以打算是否对该系统进展审计，明确审计的难度，所需时间 以及人员配备状况等。 了解了根本状况，审计组织就可以大致推断系统的简单性、治理层对审计的态度、内部掌握的状况、以 前审计的状况、审计难点与重点，以打算是否对其进展审计。 初步评价被审单位系统的内部掌握及外部掌握 传统的内部掌握制度是为防止舞弊和过失而形成的以内部稽核和相互牵制为核心的工作制度。加强内部 掌握制度是信息系统安全牢靠运行的有力保证。依据掌握对象的范围和环境，信息系统内掌握度的审计内容 包括一般掌握和应用掌握两类。 一般掌握是系统运行环境方而的掌握，指对信息系统构成要素(人、机器、文件)的掌握。它已为应用程序 的正常运行供给外围保障，影响到计算机应用的成败及应用掌握的强弱。主要包括：组织掌握、操作掌握、硬件及系统软件掌握和系统安全掌握。 应用掌握是对信息系统中具体的数据处理活动所进展的掌握，是具体的应用系统中用来推测、检测和更 正错误和处置不法行为的掌握措施，信息系统的应用掌握主要表达在输入掌握、处理掌握和输出掌握。应用 掌握具有特别性，