信息系统审计的操作流程.ppt

信息系统审计操作流程一、审计计划阶段二、审计实施阶段三、审计完成阶段信息系统审计的流程分成以下三个阶段：初步评价被审单位系统的内部控制及外部控制01识别重要性02编制审计计划03了解被审系统基本情况在审计计划阶段的工作分成以下四部分：04一、审计计划阶段了解被审系统基本情况12了解了基本情况，审计人员就可以大致判断系统的复杂性、管理层对审计的态度、内部控制的状况、以前审计的状况、审计难点与重点，以决定是否对其进行审计。3了解被审系统基本情况是实施任何信息系统审计的必经程序，对基本情况的了解有助于审计人员对系统的组成、环境、运行年限、控制等有初步印象，以决定是否对该系统进行审计，明确审计的难度，所需时间以及人员配备情况等。初步评价被审单位系统的内部控制及外部控制1依据控制对象的范围和环境，信息系统内控制度的审计内容包括一般控制和应用控制两类。2一般控制：是系统运行环境方而的控制，指对信息系统构成要素(人、机器、文件)的控制。它已为应用程序的正常运行提供外围保障，影响到计算机应用的成败及应用控制的强弱。主要包括：组织控制、操作控制、硬件及系统软件控制和系统安全控制。3应用控制：是对信息系统中具体的数据处理活动所进行的控制，是具体的应用系统中用来预测、检测和更正错误和处置不法行为的控制措施，信息系统的应用控制主要体现在输入控制、处理控制和输出控制。应用控制具有特殊性，不同的应用系统有着不同的处理方式和处理环节，因而有着不同的控制问题和不同的控制要求，但是一般可把它划分为：输入控制、处理控制和输出控制。4为了有效实现审计目标，合理使用审计资源，在制定审计计划时，信息系统审计人员应对系统重要性进行适当评估。对重要性的评估一般需要运用专业判断。考虑重要性水平时要根据审计人员的职业判断或公用标准，系统的服务对象及业务性质，内控的初评结果。重要性的判断离不开特定环境，审计人员必须根据具体的信息系统环境确定重要性。重要性具有数量和质量两个方面的特征。越是重要的子系统，就越需要获取充分的审计证据，以支持审计结论或意见。1经过以上程序，为编制审计计划提供了良好准备，审计人员就可以据以编制总体及具体审计计划。2总体计划包括：被审单位基本情况；审计目的、审计范围及策略；重要问题及重要审计领域；工作进度及时间；审计小组成员分工；重要性确定及风险评估等。3具体计划包括：具体审计目标；审计程序；执行人员及时间限制等。44、编制审计计划3、识别重要性对信息系统运行维护阶段的审计对信息系统计划开发阶段的审计在审计实施阶段的工作包括以下两部分：二、审计实施阶段对信息系统计划开发阶段的审计包括对计划的审计和对开发的审计，可以采用事中审计，也可以是事后审计。比较而言事中审计更有意义，审计结果的得出利于故障、问题的及早发现，利于调整计划，利于开发顺序的改进。信息系统计划阶段的关键控制点有：计划是否有明确的目的；计划中是否明确描述了系统的效果；是否明确了系统开发的组织；对整体计划进程是否正确预计；计划能否随经营环境改变而及时修正；计划是否制定有可行性报告；关于计划的过程和结果是否有文档记录等等。1、对信息系统计划开发阶段的审计系统开发阶段：包括系统分析、系统设计、代码编写和系统测试三部分。其中涉及包括功能需求分析、业务数据分析、总体框架设计、结构设计、代码设计、数据库设计、输入输出设计、处理流程及模块功能的设计。编程时依据系统设计阶段的设计图及数据库结构和编码设计，用计算机程序语言来实现系统的过程。测试包括动态测试和静态测试，是系统开发完毕，进入试运行之前的必经程序。系统开发阶段审计的关键控制点有：分析控制点：是否己细致分析企业组织结构；是否确定用户功能和性能需求；是否确定用户的数据需求等。设计控制点：设计界面是否方便用户使用；设计是否与业务内容相符；性能能否满足需要，是否考虑故障对策和安全保护等。编程控制点：是否有程序说明书，并按照说明书进行编写；编程与设计是否相符，有无违背编程原则；程序作者是否进行自测；是否有程序作者之外的第三人进行测试；编程的书写、变量的命名等是否规范。测试控制点：测试数据的选取是否按计划及需要进行，是否具有代表性；测试是否站在公正客观的立场进行，是否有用户参与测试；测试结果是否正确记录等。对信息系统运行维护阶段的审计对信息系统运行维护阶段的审计又细分为对运行阶段的审计和对维护阶段的审计。系统运行过程的审计是在信息系统正式运行阶段，针对信息系统是否被正确操作和是否有效地运行，从而真正实现信息系统的开发目标、满足用户需求而进行的审计。对信息系统运行过程的审计分为系统输入审计、通