信息系统审计程序

1、信息系统审计程序信息系统审计程序一般包括审计准备、审计实施、 审计报告和后续审计四个阶段。一、审计准备（一）审前准备内部审计人员在实施信息系统审计前，需要根据信 息系统审计目标，开展审前调查，收集法规、制度依 据以及其他有关资料。审前调查主要了解组织信息系 统的治理管理体制、总体架构、规划和建设、应用管 理情况等。具体如下：治理、管理体制。主要了解信息系统管理机构设 置、管理职责、工作流程等。系统总体架构（1）系统分布。包括系统数量、规模和分布，绘 制信息系统分布图。（2）信息系统主要类型。（3）各信息系统的基本情况和系统之间的关联关 系。（4）信息系统应用覆盖面及应用程度。规划和建设情况（1

2、）规划：信息系统发展规划以及规划、年度计 划落实情况。（2）建设：信息系统建设程序、投入、管理，了 解已完成系统和在建系统。（3）使用：信息系统应用管理制度、使用率、应 用中存在的主要问题、困难和矛盾。（二）编制审计工作方案根据审前准备情况，编制信息系统审计工作方案， 方案内容包括但不限于被审计组织信息系统的基本情 况。包括信息系统项目建设及应用情况、审计目的、 审计依据、审计对象与范围、审计内容重点及方法、 审计步骤与时间安排、审计组与人员分工等。在审计 组组成环节，审计部门可以借助外部专家的力量，在 审计组中应当有具备信息技术经验和知识的专兼职审 计专家，便于补充提高审计组的胜任能力。二、

3、审计实施审计实施是内部审计人员依据审计计划实施现场审 计的过程。内部审计人员应结合审前准备了解的内 容，按照被审计组织的信息化环境、业务流程、内控 制度等方面的风险，明确具体项目审计目标、细化审 计内容，突出审计重点。实施阶段主要应完成以下工 作:（一）了解评估被审计组织的信息系统内部控制收集被审计组织信息系统的内部控制管理制度及 流程，对被审计组织相关人员进行访谈，了解组织的 信息系统决策及管理政策、方法、控制活动主要内容 包括但不限于：（1）信息系统内部控制环境。（2）风险管理。（3）控制活动。（4）信息与沟通。（5）内部监督。开展控制测试内部审计人员开展控制测试评价信息系统的内部控 制要

4、素，以确定组织能接受的控制风险。验证控制措 施的执行是否符合管理政策和程序，为审计提供合理 的保证。信息系统控制测试主要包括控制环境测试和 功能测试：（1）组织管理的控制测试。（2）系统建设管理的控制测试。（3）系统资源管理的控制测试。（4）系统环境管理的控制测试。（5）系统运行管理的控制测试。（6）系统网络和通信管理的控制测试。（7）系统数据库管理的控制测试。（8）系统输入、处理、输出的控制测试。（9）其他。初步评估信息系统内部控制根据对组织信息系统的控制测试情况，选择组织信 息系统的重点业务流程，对固有风险和控制风险进行 初步评估，对信息系统控制有效性作出评价。（二）开展实质性测试内部审计

5、人员应根据控制测试结果确定实质性测试 的性质、时间和范围。组织层面评价内容包括组织架 构、权责分配、发展战略 、人力资源、培训与考核 等。对组织信息系统开展风险评估时，结合相关规范中 有关风险评估的要求，重点关注内部和外部风险信息 的搜集、利用风险识别机制按照风险评估的程序、方 法，评估风险等级并检查应对策略的有效性。对信息与沟通审计时，应结合组织信息与沟通的相 关管理制度，对信息收集、处理和传递的及时性，反 舞弊机制的健全性，财务报告的真实性，信息系统的 安全性，以及利用信息系统实施内部控制的有效性等 进行审查和评价。对内部监督审计时应结合组织内部监督制度，对内 部监督机制的有效性进行认定和

6、评价。重点关注内部 审计机构等监督机构是否在内部控制设计和运行中有 效发挥监督作用，内部控制缺陷认定是否客观，整改 方案措施是否得当，并有效整改。内部控制检查评价方法主要包括：个别访谈法、调 查问卷法、比较分析法、标杆法、穿行测试法、抽样 法、实地查验法、重新执行法、专题讨论会法等。内 部控制检查评价应综合运用上述方法，充分利用信息 系统，实施在线检查、监控。三、审计报告 信息系统审计报告阶段包括整理加工审计工作底 稿、编写审计报告、做出审计结论。内部审计人员应 运用专业判断 ,综合分析所收集到的相关证据 ,以经过 核实的审计证据为依据，形成审计意见和结论、编制 审计底稿、出具审计报告。四、后续审计 后续审计主要通过监督组织整改的情况，督促被审 计组织改进信息系统治理，完善相关的规章