中文

【IT审计】一文读懂信息系统审计操作流程

文章发布日期:2017-07-18

[摘要] 随着信息技术的发展,信息系统环境给企业的管理带来了翻天覆地的变化,信息系统审计更多地体现在为企业的IT治理提供了安全有效的保障,降低了企业面临的信息系统风险、
随着信息技术的发展,信息系统环境给企业的管理带来了翻天覆地的变化,信息系统审计更多地体现在为企业的IT治理提供了安全有效的保障,降低了企业面临的信息系统风险、管理风险,然而关于信息系统审计的操作流程,很多人还不是很清楚,快来跟时代新威一起来了解一下吧!
it审计规划 

 


1.审计规划阶段

规划阶段是整个审计过程的起点。其主要任务包括:

1 )了解审判中制度的基本情况


了解被审计系统的基本情况是实施任何信息系统审计的必要程序,了解基本情况有助于审计机构对系统的组成、环境、运行寿命、控制等有初步印象,以便决定是否对系统进行审计,澄清审计的困难、所需时间和人员情况等。
 
在了解了基本情况后,审计机构可以粗略地判断系统的复杂性、管理人员对审计的态度、内部控制的状况、以往审计的状况、审计的困难和要点,以确定是否审计。


2 )对被审查单位内部控制和外部控制的初步评价


传统的内部控制系统是以内部审计和相互约束为核心,防止欺诈和差错的工作体系,随着信息技术的发展和应用,特别是以互联网为代表的网络技术的进一步发展,企业信息系统得到了深入的发展,这些变化无疑给企业带来了巨大的利益,同时也给内部控制带来了新的问题和挑战,时代新威IT审计加强了对内部控制制度是信息系统安全可靠运行的有力保证,根据控制对象的范围和环境,信息系统内部控制系统的审计内容包括一般控制和应用控制。

  一般控制是对系统运行环境的控制,是指对信息系统各组成部分(人、机器、文件)的控制,它为应用程序的正常运行提供了外围保障,影响着计算机应用的成败和应用控制的强度,主要包括:组织控制、操作控制、软硬件控制和系统安全控制。
 
应用控制是对信息系统中特定数据处理活动的控制,是预测、检测和纠正错误、处理特定应用系统违法行为的一种控制措施,信息系统的应用控制主要体现在输入控制、处理控制和输出控制三个方面,应用控制有其特殊性,不同的应用系统有不同的处理方法和环节,有不同的控制问题和不同的控制要求,但可以分为输入控制、处理控制和输出控制。
 
通过对信息系统组织控制、系统开发维护控制、安全控制、软硬件资源控制、输入控制、过程控制、输出控制等审计分析,时代新威建立了内部控制强度评价的指标体系和评价模型,审计员通过人机交互对话输入各评价指标的评价指标,内部控制审计评价系统可以进行多层次的综合审计评价,通过对内部控制系统的审计,实现系统的预防性控制、检测控制和纠正控制。


3 )承认重要性


为了有效地实现审计目标和合理利用审计资源,信息系统审计人员在制定审计计划时应正确评价系统的重要性。对重要性的评估一般需要使用专业判断。在考虑重要程度时,应依据审计人员的专业判断或共同标准、系统的服务对象和业务性质以及内部控制的初步评估结果。重要性的判断离不开特定的环境,审计师必须根据特定的信息系统环境来确定重要性。重要性具有数量和质量两方面的特点。子系统越重要,就越需要足够的审计证据来支持审计结论或意见。

 
4 )编制审计计划
 
经过上述程序后,审计计划已做好准备,审计师可编制全面和具体的审计计划。
 
总体规划包括:被审计人的基本情况;审计目的、审计范围和战略;重要问题和重要审计领域;工作进展和时间;审计小组成员之间的分工;重要性确定和风险评估。
 
具体计划包括:IT信息系统审计具体的审计目标;审计程序;从业人员和时限。
 
 it审计流程

2.审计执行阶段 

审计可以充分准备上诉材料,包括以下内容:

1 )审计计划中的信息系统开发阶段


对信息系统计划发展阶段的审计包括对计划的审计和对发展的审计,无论是个案审计还是事后审计。相比之下,审计更有意义,审计结果有利于及早发现错误和问题,有利于计划的调整,有利于改进发展顺序。
 

IT信息系统审计规划阶段的关键控制点是:该计划是否有明确的目的,该计划是否清楚地描述了该系统的作用,是否界定了系统开发的组织,是否正确地预测了总体规划过程,该计划是否能够随着业务环境的变化而及时修订,是否有关于该计划是否制定的可行性报告,是否有关于该计划的过程和结果的文件,等等。
 
系统开发阶段包括三个部分:系统分析、系统设计、代码编写和系统测试,包括功能需求分析、业务数据分析、总体框架设计、结构设计、代码设计、数据库设计、输入输出设计、处理流程和模块功能设计,根据系统设计阶段的设计图、数据库结构和代码设计,系统的过程用计算机程序语言实现,测试包括动态测试和静态测试,这是系统开发和试运行前的必要程序,其关键控制点是:


分析控制点:是否仔细分析了企业的组织结构;是否确定了用户的功能和性能要求;是否确定了用户的数据需求等。

 
设计控制点:设计界面是否方便用户使用;设计是否与业务内容一致;性能是否满足需要;是否考虑故障对策和安全保护等。

 
编程控制点:是否有程序规范,并按照规范编写;程序设计与设计是否一致,是否违反编程原则;程序作者是否进行自我测试;是否有程序作者以外的第三人进行测试;程序编写、变量命名等是否标准化。

 
测试控制点:测试数据的选择是否按照计划和需要进行,是否具有代表性;测试是否在公平和客观的位置进行;是否有用户参与测试;测试结果是否被正确记录等。

it审计
 

2 )对信息系统操作和维护阶段的审计


信息系统运行维护阶段审计分为运行阶段审计和维护阶段审计,系统运行过程审计是在信息系统正式运行阶段进行的,目的是为了真正实现信息系统的发展目标,满足用户的需要,时代新威对信息系统运行过程的审计分为六个部分:系统输入审计、通信系统审计、过程审计、数据库审计、系统输出审计和运行管理审计。
 
输入审计的关键控制点是否制定和遵守输入管理规则,是否有数据生成顺序、处理错误预防、保护措施、错误预防和保护措施等。
 
通信系统实现实际数据的传输。在通信系统中,审计跟踪应记录输入数据、传输数据和工作通信系统。通信系统审计的关键控制点是否制定和遵守通信规则,网络访问控制和监控是否有效等。
 
处理过程是指处理器在接收到输入数据后对数据进行处理的过程。此时,审计主要针对数据输入系统是否正确处理,关键控制点是:处理数据、数据处理器、数据处理时间、数据处理结果、数据处理目的、系统处理错误率、平均无故障时间、可恢复时间和平均恢复时间等。


\
 
数据库审计确保数据库正确地行使数据操作的有效性和异常操作时数据的保护功能(正确数据不丢失,数据回滚以保证数据的一致性)。关键控制点是:数据的访问控制和监控是否有效,是否记录数据的使用,是否考虑数据的保护功能,是否存在错误预防、保密功能、错误预防和保密功能等。
 
输出审计不同于测试阶段的输出审计。此时,输出是根据实际数据进行的。输出审计可以根据用户的需要对系统的输出进行重新控制。关键控制点是:在获取和处理输出信息时是否有防止不当行为和保密保护的措施,输出信息是否准确和及时,输出信息的形式是否为客户接受,是否定期记录和分析输出错误等。
 

运行管理审计是对人机系统中人的行为的审计,其关键控制点是:操作顺序是否规范,作业进度是否优先,操作是否按照标准进行,人员是否交替进行,实际操作中期望运行的差异是否可以分析,出现问题时能否相互沟通,是否有定期的培训和教育等等。
 
对维修过程的审计包括对维修活动的审计,如维修计划、维修实施、改进后的系统的试运行和旧制度的废除。维修过程的关键控制点是:维修组织的规模是否符合需要,分工是否明确,是否有一套管理机制和协调机制,维修过程能否得到改进,维修是否得到维修主管的批准,维修记录中是否有文件,是否定期分析维修记录,是否在授权下废除旧制度等。

信息系统审计操作流程

3.审计完成阶段

时代新威完成阶段是对整个信息系统进行实质性审计的结束,其主要任务如下:
 

1 )对执行审计业务过程中收集到的证据进行整理和评价


在现代信息系统审计管理阶段,收集到的数据存储在管理系统中,审计人员只需对其进行分析和调用。
 

2 )审查审计草案并完成第二级审查


传统审计的三级审查制度也适用于信息系统审计,是保证审计质量、降低审计风险的重要措施。第一级审查是信息系统审计项目负责人在审计过程中对工作文件的审查,主要是评价已完成的审计工作和编写工作文件所形成的结论;第二级审查是审计部门领导在外地工作结束时对工作文件的关键审查。在今天的审计办公室自动化中,辅助审查系统也可以通过在线报告和呼叫来实现。
 

3 )评估审计结果,形成审计意见,完成三级评审,并准备审计报告


评价审计结果的主要目的是确定要发表的审计意见的类型,以及在整个审计过程中是否遵循了独立的审计标准。信息系统审计师需要对审计的重要性和审计风险做出最终的评价。这是审计员决定发表哪类审计意见的必要程序,所查明的可接受的审计风险必须有充分和适当的审计证据作为佐证。在发布审计报告之前,最后(三级)审查应与工作草案一起进行,三级审查应由审计部门主任进行。主要审查应包括所采用的审计程序是否适当、审计工作草案是否充分、审计过程中是否存在重大遗漏、审计工作是否符合事务所的质量要求等。坚持三级审查制度是控制审计风险的重要手段.审计报告是审计工作的最终结果。首先,审计报告应对被审查系统的安全性、可靠性、稳定性和有效性提出审计意见,并提出改进建议。
 
当前,审计工作的发展正经历着前所未有的发展和转型时期,
时代新威要发展审计工作,既要适应信息化的发展,又要适应审计对象、内容和手段的变化,充分利用信息资源,不断转变审计观念,不断向前发展。审计工作要抓住机遇,大力推进信息化,加强审计信息化研究,让审计信息技术更好地服务于审计工作。


时代新威—等级保护和IT审计服务专家版权所有 京ICP备13008575号-2
免费来电

返回
顶部