1、信息系统审计操作流程一、审计计划阶段二、审计实施阶段三、审计完成阶段信息系统审计的流程分成以下三个阶段:1.一、审计计划阶段1、了解被审系统基本情况2、初步评价被审单位系统的内部控制及外部控制3、识别重要性4、编制审计计划在审计计划阶段的工作分成以下四部分:2.1、了解被审系统基本情况了解被审系统基本情况是实施任何信息系统审计的必经程序,对基本情况的了解有助于审计人员对系统的组成、环境、运行年限、控制等有初步印象,以决定是否对该系统进行审计,明确审计的难度,所需时间以及人员配备情况等。了解了基本情况,审计人员就可以大致判断系统的复杂性、管理层对审计的态度、内部控制的状况、以前审计的状况、审计难
2、点与重点,以决定是否对其进行审计。3.2、初步评价被审单位系统的内部控制及外部控制依据控制对象的范围和环境,信息系统内控制度的审计内容包括一般控制和应用控制两类。一般控制:是系统运行环境方而的控制,指对信息系统构成要素(人、机器、文件)的控制。它已为应用程序的正常运行提供外围保障,影响到计算机应用的成败及应用控制的强弱。主要包括:组织控制、操作控制、硬件及系统软件控制和系统安全控制。应用控制:是对信息系统中具体的数据处理活动所进行的控制,是具体的应用系统中用来预测、检测和更正错误和处置不法行为的控制措施,信息系统的应用控制主要体现在输入控制、处理控制和输出控制。应用控制具有特殊性,不同的应用系
3、统有着不同的处理方式和处理环节,因而有着不同的控制问题和不同的控制要求,但是一般可把它划分为:输入控制、处理控制和输出控制。4.为了有效实现审计目标,合理使用审计资源,在制定审计计划时,信息系统审计人员应对系统重要性进行适当评估。对重要性的评估一般需要运用专业判断。考虑重要性水平时要根据审计人员的职业判断或公用标准,系统的服务对象及业务性质,内控的初评结果。重要性的判断离不开特定环境,审计人员必须根据具体的信息系统环境确定重要性。重要性具有数量和质量两个方面的特征。越是重要的子系统,就越需要获取充分的审计证据,以支持审计结论或意见。3、识别重要性4、编制审计计划经过以上程序,为编制审计计划提供
4、了良好准备,审计人员就可以据以编制总体及具体审计计划。总体计划包括:被审单位基本情况;审计目的、审计范围及策略;重要问题及重要审计领域;工作进度及时间;审计小组成员分工;重要性确定及风险评估等。具体计划包括:具体审计目标;审计程序;执行人员及时间限制等。5.二、审计实施阶段1、对信息系统计划开发阶段的审计2、对信息系统运行维护阶段的审计在审计实施阶段的工作包括以下两部分:6.1、对信息系统计划开发阶段的审计对信息系统计划开发阶段的审计包括对计划的审计和对开发的审计,可以采用事中审计,也可以是事后审计。比较而言事中审计更有意义,审计结果的得出利于故障、问题的及早发现,利于调整计划,利于开发顺序的
5、改进。信息系统计划阶段的关键控制点有:计划是否有明确的目的;计划中是否明确描述了系统的效果;是否明确了系统开发的组织;对整体计划进程是否正确预计;计划能否随经营环境改变而及时修正;计划是否制定有可行性报告;关于计划的过程和结果是否有文档记录等等。7.系统开发阶段:包括系统分析、系统设计、代码编写和系统测试三部分。其中涉及包括功能需求分析、业务数据分析、总体框架设计、结构设计、代码设计、数据库设计、输入输出设计、处理流程及模块功能的设计。编程时依据系统设计阶段的设计图及数据库结构和编码设计,用计算机程序语言来实现系统的过程。测试包括动态测试和静态测试,是系统开发完毕,进入试运行之前的必经程序。系
6、统开发阶段审计的关键控制点有:分析控制点:是否己细致分析企业组织结构;是否确定用户功能和性能需求;是否确定用户的数据需求等。设计控制点:设计界面是否方便用户使用;设计是否与业务内容相符;性能能否满足需要,是否考虑故障对策和安全保护等。编程控制点:是否有程序说明书,并按照说明书进行编写;编程与设计是否相符,有无违背编程原则;程序作者是否进行自测;是否有程序作者之外的第三人进行测试;编程的书写、变量的命名等是否规范。测试控制点:测试数据的选取是否按计划及需要进行,是否具有代表性;测试是否站在公正客观的立场进行,是否有用户参与测试;测试结果是否正确记录等。8.2、对信息系统运行维护阶段的审计对信息系
7、统运行维护阶段的审计又细分为对运行阶段的审计和对维护阶段的审计。系统运行过程的审计是在信息系统正式运行阶段,针对信息系统是否被正确操作和是否有效地运行,从而真正实现信息系统的开发目标、满足用户需求而进行的审计。对信息系统运行过程的审计分为系统输入审计、通信系统审计、处理过程审计、数据库审计、系统输出审计和运行管理审计六大部分。9.输入审计的关键控制点有:是否制定并遵守输入管理规则,是否有数据生成顺序、处理等的防错、保护措施、防错、保护措施是否有效等。通信系统审计的关键控制点有:是否制定并遵守通信规则,对网络存取控制及监控是否有效等。(通信系统实施的是实际数据的传输,通信系统中,审计轨迹应记录输
8、入的数据、传送的数据和工作的通信系统。)处理过程审计关键控制点有:被处理的数据,数据处理器,数据处理时间,数据处理后的结果,数据处理实现的目的,系统处理的差错率,平均无故障时间,可恢复性和平均恢复时间等。(处理过程指处理器在接收到输入的数据后对数据进行加工处理的过程,此时的审计主要针对数据输入系统后是否被正确处理。)数据库审计关键控制点有:对数据的存取控制及监视是否有效,是否记录数据利用状况,并定期分析,是否考虑数据的保护功能,是否有防错、保密功能,防错、保密功能是否有效等。(数据库审计是保障数据库正确行使了其职能,如对数据操作的有效性和发生异常操作时对数据的保护功能(正确数据不丢失,数据回滚
9、以保证数据的一致性)。)10.系统输出审计关键控制点有:输出信息的获取及处理时是否有防止不正当行为和机密保护措施,输出信息是否准确、及时,输出信息的形式是否被客户所接受,是否记录输出出错情况并定期分析等。(系统输出审计不同于测试阶段的输出审计,此时的输出是在实际数据的基础上进行的,对其进行审计可以对系统输出进行再控制,结合用户需求进行评价。)运行管理审计关键控制点有:操作顺序是否标准化,作业进度是否有优先级,操作是否按标准进行,人员交替是否规范,能否对预计与实际运行的差异进行分析,遇问题时能否相互沟通,是否有经常性培训与教育等。(运行管理审计是对人机系统中人的行为的审计。)系统维护过程审计包括
10、对维护计划、维护实施、改良系统的试运行和旧系统的废除等维护活动的审计。系统维护过程审计关键控制点有:维护组织的规模是否适应需要,人员分工是否明确,是否有一套管理机制和协调机制,维护过程发现的可改进点,维护是否得到维护负责人同意,是否对发现问题作了修正,维护记录是否有文档记载,是否定期分析,旧系统的废除是否在授权下进行等。11.三、审计完成阶段1、整理、评价执行审计业务过程中收集到的证据。2、复核审计底稿,完成二级复核。3、评价审计结果,形成审计意见,完成三级复核,编制审计报告。在审计完成阶段的工作分成以下三部分:12.附录:信息系统审计方法几种常见的用于信息系统审计的传统审计方法:1、观察、查
11、看与穿行测试:审计人员通过到信息系统相关部门观察技术人员工作情况以了解其内控执行是否到位,上机查看以证实有关电脑确实发挥相应功能,查阅系统日志和运行维护记录以了解系统最近一段时间内是否发生错误。同时,索取并检查业务文档资料,如系统规划方案、数据字典、运行维护记录、说明文档及相关合同等以了解信息系统的相关情况。这里的穿行测试,是指审计人员亲自执行一次业务发生过程。比如,高速公路审计中,审计人员在不通知被审计单位的情况下,亲自驾车体验高速公路收费合理性;又如,审计人员以普通人员身份试图进入对方核心机房,以检测被审计单位信息系统物理访问控制的安全性等。穿行测试是通过追踪交易在信息系统中的处理过程,来
12、证实审计人员对控制的了解并评价控制设计的有效性以及确定控制是否得到执行。13.2、调查问卷:合理编制信息系统审计调查表、调查提纲、控制矩阵等,内容包括软硬件环境、网络结构以及岗位设置、人员角色及AB岗等,在审前调查阶段提交给被审计单位信息及有关业务部门,以获得信息系统的基本情况、总体架构与业务流程,并可能发现有价值的线索。另外可函证(或走访)与审计项目有关的单位与个人,并把函证的结果与被审计单位的有关情况进行对比分析。3、沟通交流:好的沟通可以发现审计线索,信息系统审计需要重视与被审计单位相关人员进行沟通的技巧。主要方法有与被审计单位人员共同召开各种业务会议,与不同的人员进行座谈(技术人员、业
13、务人员等)等。俗话说,在聊天中发现问题。14.几种应用计算机技术进行信息系统审计方法:计算机技术主要包括基于数据分析的方法和基于程序分析的方法等几种,这些方法的综合使用使得对信息系统的审计更加有效,在一段时间内,这些审计方法将是信息系统审计的主要手段。1、黑白盒测试:黑盒测试:也称功能测试或数据驱动测试,它是在已知软件所应具有的功能,通过测试来检测每个功能是否都能正常使用。在测试时,把程序看作一个不能打开的黑盒子,在完全不考虑程序内部结构和内部特性的情况下,审计人员只检查程序功能是否按照需求规格说明书的规定正常使用,程序是否能适当地接收输入数据而产生正确的输出信息,并保持外部信息(如数据库或文
14、件)的完整性。“黑盒”法是穷举输入测试,只有把所有可能的输入都作为测试情况使用,才能以这种方法查出程序中所有的错误。白盒测试:也称结构测试或逻辑驱动测试,它是在清楚软件内部结构和工作过程的基础上,按照程序内部的结构测试程序,检验程序中的每条通路是否都能按预定要求正确工作,而不顾它的功能。白盒测试的主要方法有逻辑驱动、基路测试等。15.2、数据测试与平行模拟数据测试法:数据测试:审计人员把一批预先设计好的测试数据,利用被审计程序加以处理,并把处理的结果与预期结果作比较,以确定被审计程序的处理和控制功能是否恰当有效。测试数据包含下列两类:一是正常的、有效的业务数据,以确定被审计程序对有效数据的处理
15、是否正确;二是不正常、无效的业务数据,以确定被审计程序是否可以将这些无效业务检测出来,拒绝接受并给出错误信息,以便修改。优点:应用简单易行,对审计人员的计算机技术水平要求不高,因此,应用范围比较广泛。缺点:与黑盒测试类似,可能不能发现程序中所有的错弊。如果审计人员没有预想到程序中的某些错弊,没有针对它们设计测试数据进行测试,则这种审查方法不可能发现这些错弊。16.集成检测法:通过在正常的应用系统中创建一个虚拟的部分或分支,从而进行系统测试。例如:在某个应用系统中建立一个虚拟的职员然后进行正常的业务处理测试。优点:此方法是在系统正常处理过程中进行测试的,因此可直接测试到被审系统在真实业务处理时的
16、功能是否正确有效。缺点:这些虚拟的测试数据可能会对被审单位真实的业务和汇总的信息造成破坏或影响。平行模拟法:是指针对某应用程序,审计人员用一个独立的程序去模拟该程序的部分功能,对输入数据同时进行并行处理,其结果和该应用程序处理的结果进行比较以验证其功能正确性的方法。但模拟系统的开发对计算机技术要求高,且时间长,费用较高;同时,模拟系统要随实际系统同步更新,相应要增加费用。17.3、数据分析:利用数据进行审计可以将传统的审计经验和计算机技术结合起来,使审计人员在现有的条件下进行信息系统审计。通过对电子数据的审查,来推断信息系统本身所存在的缺陷。抽样数据法:审计人员从被审计单位抽样若干经济业务数据
17、,检查信息系统处理结果是否正确,以确定系统控制是否有效的执行。如税务审计中,可以通过对不同类型纳税人员纳税数据进行抽样审核,以检查系统对纳税数据处理的正确性与及时性。数据结构验证法:结合数据字典,检查数据之间逻辑关系以验证输入数据正确性和保存数据完整性,包括业务数据与财务数据对比验证及各业务数据表间勾稽关系核对。参数法:检查设置的相关参数是否与实际时点的业务发生数据一致。利用外部关联数据法:外部关联数据是指存在于被审计单位信息系统以外,但是与该系统的数据具有内在联系,能够帮助审计人员对被审计单位的业务数据和财务数据进行有序处理的电子数据。利用外部的关联数据与被审查系统中的数据进行对比分析,可以
18、发现单独由被审计单位的数据无法发现的信息系统的问题。18.4、受控处理与再处理:受控处理法:是指审计人员通过监控被审计程序对实际业务的处理,查明被审计程序的处理和控制功能是否恰当有效的方法。审计人员首先对输入的数据进行查验,并进行审计控制,然后亲自处理或监督处理这些数据,最后将处理的结果与预期结果加以比较分析,判别被审程序的处理和控制功能是否符合设计要求。此方法的主要优点:是不需要审计人员具有较高的计算机知识,只要采用突击审计的方式,就可以保证被审程序与实际使用程序的一致性,从而保证审计结论的可靠性。受控再处理法:是指在被审计单位正常业务处理以外的时间,由审计人员亲自进行或在审计人员监督下,把
19、某一批处理过的业务进行再处理,比较两次处理结果,以确定被审计程序有无被非法篡改,被审计程序的处理和控制功能是否恰当有效。运用这种方法前提是以前对此程序进行过审查,并证实它原来的处理和控制功能是恰当有效的。19.5、程序检查:程序是信息系统的核心,信息系统对业务的处理是否合法、合规、正确,都体现在应用程序中。实践证明,程序是差错、舞弊最容易发生的地方。程序流程图检查法:是利用信息系统的程序流程图来检查程序的控制功能是否可靠,业务处理逻辑是否正确的方法。例如:根据财务系统流程图,程序中应该对输入的财务信息进行合法性检验,通过追踪审查样本业务,发现当输入非法数据时,程序依然按照正常的步骤进行了处理,
20、说明该项控制措施在程序中是无效的。程序编码审查法:是对应用系统的编码进行详细审查的一种技术。通过审查程序编码,审计人员可以识别出程序中的错误代码和非法代码等。同时可用跟踪方法进行逐行代码诊断。这种方法的缺点是对审计人员的计算机水平要求高。程序编码比较法:是指比较两个独立保管的被审程序版本,以确定被审程序是否经过了修改,并对发现的任何程序的改动评估其带来的后果。20.6、程序运行记录检查:程序运行纪录是由系统自动记录下来的,包含操作的起止时间、中断、故障等方面的信息。通过对运行记录的审查,可以推测被审程序的程序化控制措施是否存在和可靠,如果记录中出现中断则说明程序中可能存在语法或逻辑错误。同时可对数据处理结果进行检查,通过系统打印输出的结果,来推断被审程序处理功能的正确性和控制措施的健全有效性。这些打印输出包括系统错误清单,业务清单,财务报表,统计报表。此法优点:是审计人员不必具有较高的计算机知识。缺点:在于程序中的错误弊端不可能全部出现在一份或多份打印输出的资料上面。21.