IT审计--汇总整理.doc

目录什么是IT审计 1IT审计的对象和范围 1IT审计的任务 2IT审计制度的建立需要注意三点 2IT审计流程 2从IT审计看审计学科的发展 5IT审计等技术审计的产生对我国审计发展的影响 6IT审计的历史和发展 6什么是IT审计IT审计就是信息系统审计，也称IT监査，是独立于信息系统本身、信息系统相关开发、使 用人员的第三方一IT审计师采用客观的标准对信息系统的策划、开发、使用维护等相关活动和 产物进行完整地、有效地检查和评估信息系统审计的必耍性是棊于这样一种认识：信息化是冇风险的信息系统规模越大，功能 越复杂，风险也就越大IT审计的对象和范冃IT审计设计整个信息系统的生命周期，IT审计不是单纯强调对软硬件的审计它的审计对 象涵盖整个信息系统所有活动和中间产物，并包括信息系统实施相关的外部环境•般来说，对 企业实施IT审计的对象冇：本企业内的IT审计师、外部IT审计事务所委托审计师和国家审计 机构IT审计按照信息系统的生命周期分为业务计划审计，业务开发审计、业务执行审计和业 务维护审计以及涵盖整个信息系统周期的共通业务审计1） 业务计划审计主要面向信息系统的企划，对信息系统的投资可行性，系统规划与公司战 略的相关性，系统开发计划的可行性以及系统需求的完整性和正确性进行审核和验证。

2） 业务开发审计对信息系统开发的各个阶段的相关人员的活动、信息、中间产物进行审核， 确认这些活动、信息和中间产物的规范性、有效性和对于信息系统目标的针对性3） 业务执行审计确认打信息系统运行相关的数据、软硬件、安装环境等是否符合信息系统 的运营要求，同时对信息系统的功能、性能、易用度、可操作性等进行评估4） 业务维护审计对信息系统的维护活动和维护结果实施审核和评价发现在维护中可能出 现的各种漏洞和信息系统维护中急待改善的问题5） 共通业务审计涉及文档管理、进度管理、人员管理、采购管理、风险管理等，检查这些 过程的规范性和有效性，并提出改良建议IT审计的任务IT审计的任务在于站在客观公正的角度上，收集审计信息，生成审计报告，通过审计报告 促成信息系统生命周期活动和成果物的改善IT审计制度的建立需要注意三点作为企业，建立一个完善的IT审计制度需要做到以下几点：（1） IT审计师是跨信息技术和审计技术的复合型人才，要实施企业的IT审计制度，必须 重视和培养合格的IT审计师；（2） 企业应该建立相应的IT审计部门或审计岗位，确定具部门和岗位职责，并将之置于企 业经营者的直接管理之内；（3） 企业应该制定相应的IT审计准则、实施报表、报告等进行IT审计所必须的凭据；企业在建立IT审计制度时应当遵循国家相关IT审计的法规并结合本企业的业务实际进行。

企业的IT审计制度不是一成不变的，根据具体企业的营运情况可以在每个审计年度终结后新的 审计年度开始前做相应的修改和增删IT审计流程1. 审计计划阶段计划阶段是整个审计过程的起点其主耍工作包括：（1） 了解被审系统基本情况了解被审系统皋本情况是实施任何信息系统审计的必经程序，对棊本情况的了解有助于审计 组织对系统的组成、环境、运行年限、控制等冇初步印象，以决定是否对该系统进行审计，明确 审计的难度，所需时间以及人员配备情况等了解了棊本情况，审计组织就可以大致判断系统的复杂性、管理层对审计的态度、内部控制 的状况、以前审计的状况、审计难点与重点，以决定是否对其进行审计2） 初步评价被审单位系统的内部控制及外部控制传统的内部控制制度是为防止舞弊和差错而形成的以内部稽核和相互牵制为核心的工作制 度加强内部控制制度是信息系统安全可靠运行的冇力保证依据控制对象的范围和环境，信息 系统内控制度的审计内容包括一般控制和应用控制两类一般控制是系统运行环境方而的控制，指对信息系统构成要素（人、机器、文件）的控制它 己为应用程序的止常运行提供外围保障 影响到计算机应用的成败及应用控制的强弱=主要包括 组织控制、操作控制、硬件及系统软件控制和系统安全控制。

应用控制是对信息系统中具体的数据处理活动所进行的控制丄是具体的应用系统中用來预测、 检测和更止错课和处置不法行为的控制措施，信息系统的应用控制主要体现在输入控制、处理控 制和输出控制应用控制具有特殊性，不同的应用系统有着不同的处理方式和处理环节，因而有 着不同的控制问题和不同的控制要求 但是一般可把它划分为 输入控制丄处理控制和输出控制通过对信息系统组织机构控制，系统开发与维护控制，安全性控制，硬件、软件资源控制， 输入控制，处理控制，输岀控制等方而的审计分析，建立内部控制强弱评价的指标系统及评价模 型，审计人员通过交互式人机对话，输入各评价指标的评分，内控制审计评价系统则可以进行多 级综合审计评价通过内控制度的审计，实现对系统的预防性控制，检测性控制和纠正性控制3） 识别重要性为了有效实现审计目标，合理使用审计资源，在制定审计计划时，信息系统审计人员应对系 统車要性进行适当评估对重要性的评估一般需要运用专业判断考虑重要性水平时要根据审计 人员的职业判断或公用标准，系统的服务对象及业务性质，内控的初评结果重要性的判断离不 开特定环境，审计人员必须根据具体的信息系统环境确定重要性重要性具有数量和质量两个方 面的特征。

越是重要的子系统，就越需要获取充分的审计证据，以支持审计结论或意见4） 编制审计计划经过以上程序，为编制审计计划提供了良好准备，审计人员就可以据以编制总体及具体审计 计划总体计划包括：被审单位基本情7兄审计目的、审计范围及策略；重要问题及重要审计领域； 工作进度及时间；审计小组成员分工；重要性确定及风险评估等具体计划包括：具体审计目标；审计程序；执行人员及时间限制等2. 审计实施阶段做好上诉材料的充分的准备，便可进行审计实施，具体包括以下内容：（1）对信息系统计划开发阶段的审计对信息系统计划开发阶段的审计包括对计划的审计和对开发的审计，可以采用事中审计，也 可以是事后审计比较而言事中审计更有意义，审计结果的得出利于故障、问题的及早发现，利 于调整计划，利于开发顺序的改进信息系统计划阶段的关键控制点有：计划是否有明确的目的，计划中是否明确描述了系统的 效果，是否明确了系统开发的组织，对整体计划进程是否止确预计，计划能否随经营环境改变而 及时修正，计划是否制定有可行性报告，关于计划的过程和结果是否有文档记录等等系统开发阶段包括系统分析、系统设计、代码编写和系统测试三部分其中涉及包括功能需 求分析、业务数据分析、总体框架设计、结构设计、代码设计、数据库设计、输入输出设计、处 理流程及模块功能的设计。

编程时依据系统设计阶段的设计图及数据库结构和编码设计，用计算 机程序语言來实现系统的过程测试包括动态测试和静态测试，是系统开发完毕，进入试运行之 前的必经程序其关键控制点有：分析控制点：是否己细致分析企业组织结构；是否确定用户功能和性能需求；是否确定用户 的数据需求等设计控制点：设计界面是否方便用户使用；设计是否与业务内容相符；性能能否满足需要， 是否考虑故障对策和安全保护等编程控制点：是否有程序说明书，并按照说明书进行编写；编程与设计是否相符，有无违背 编程原则；程序作者是否进行自测；是否有程序作者之外的第三人进行测试;编程的书写、变量 的命名等是否规范测试控制点：测试数据的选取是否按计划及需要进行，是否具有代表性；测试是否站在公正 客观的立场进行，是否有用户参与测试；测试结果是否正确记录等2)对信息系统运行维护阶段的审计对信息系统运行维护阶段的审计又细分为对运行阶段的审计和对维护阶段的审计系统运行 过程的审计是在信息系统正式运行阶段，针对信息系统是否被止确操作和是否有效地运行，从而 真正实现信息系统的开发目标、满足用户需求而进行的审计对信息系统运行过程的审计分为系 统输入审计、通信系统审计、处理过程审计、数据库审计、系统输岀审计和运行管理审计六大部 分。

输入审计的关键控制点有：是否制定并遵守输入管理规则，是否有数据生成顺序、处理等的 防错、保护措施、防错、保护措施是否有效等通信系统实施的是实际数据的传输，通信系统中，审计轨迹应记录输入的数据、传送的数据 和工作的通信系统通信系统审计的关键控制点有：是否制定并遵守通信规则，对网络存取控制 及监控是否有效等处理过程指处理器在接收到输入的数据后对数据进行加工处理的过程此时的审计主要针对 数据输入系统后是否被正确处理关键控制点有：被处理的数据，数据处理器，数据处理时间， 数据处理后的结果，数据处理实现的目的，系统处理的差错率，平均无故障时间，可恢复性和平 均恢复时间等数据库审计是保障数据库正确行使了其职能如对数据操作的有效性和发生异常操作时对数 据的保护功能(止确数据不丢失，数据回滚以保证数据的一致性)其关键控制点有：对数据的存 取控制及监视是否有效，是否记录数据利用状况，并定期分析，是否考虑数据的保护功能，是否 有防错、保密功能，防错、保密功能是否有效等输出审计不同于测试阶段的输出审计，此时的输出是在实际数据的基础上进行的，对其进行 审计可以对系统输出进行再控制，结合用户需求进行评价关键控制点有：输岀信息的获取及处 理时是否有防止不正当行为和机密保护措施，输出信息是否准确、及时，输岀信息的形式是否被 客户所接受，是否记录输出出错情况并定期分析等。

运行管理审计是对人机系统中人的行为的审计关键控制点有：操作顺序是否标准化，作业 进度是否有优先级,操作是否按标准进行，人员交替是否规范,能否对预计于实际运行的差异进 行分析，遇问题时能否相互沟通，是否有经常性培训与教育等维护过程的审计包括对维护计划、维护实施、改良系统的试运行和旧系统的废除等维护活动 的审计维护过程的关键控制点有：维护组织的观模是否适应需要，人员分工是否明确，是否有 一套管理机制和协调机制，维护过程发现的可改进点，维护是否得到维护负责人同意，是否对发 现问题作了修止维护记录是否有文档记载是否定期分析，旧系统的废除是否在授权下进行等3. 审计完成阶段完成阶段是实质性的整个信息系统审计工作的结束，主要工作有：整理、评价执行审计业务过程中收集到的证据在信息系统审计的现代化管理时期，收集到 的数据己存储在管理系统中，审计人员只需对其进行分析和调用即可复核审计底稿，完成二级复核传统审计的三级复核制度对信息系统审计同样适用，它是保 证审计质量、降低审计风险的重要措施一级复核是山信息系统审计项目组长在审计过程进行中 对工作底稿的复核，这层复核主要是评价己完成的审计工作、所获得的工作底稿编制人员形成的 结论；二级复核是在外勤工作结束时，山审计部门领导对工作底稿进行的重点复核。

在审计工作 办公自动化的今天，二级复核制度同样可以通过网上报送及调用得以实现评价审计结果，形成审计意见，完成三级复核，编制审计报告评价审计结果主要是为 了确定将要发表的审计意见的类型及在整个审计工作中是否遵循了独立审计准则信息系统审计 人员需要对重要性和审计风险进行最终的评价这是审计人员决定发表何种类型审计意见的必要 过程，所确定的可接受审计风险一定要冇足够充分适当的审计证据支持签发审计报告Z前，应 当随丄作底稿进行最终（三级）复核，三级复核山审计部门的主任进行，主要复核所采用审计程序 的恰当性、审计工作底稿的充分性、审计过程中是否存在重大遗漏、审计工作是否符合事务所的 质量耍求等三级复核制度的坚持是控制审计风险的重耍于段审计报告是审计工作的最终成果 审计报告首先应有审计人员对被审系统的安全性、可靠性、稳定性、有效性的意见，同时提出改 进建议从IT审计看审计学科的发展IT审计是技术审计。