信息系统审计工作制度

1、学习文档 仅供参考学习文档 仅供参考信息系统审计工作统审计师站在第三方的客观立场对信息系统进行全面的检查与评价审计，确立信息系统审计制度是十分重要的。本制度主要内容包括信息系统审计部门应何时介入企业进行信息系统审计工作审计团队提供信息系统审计业务支持的工作范围及本部门其他的工作职责范围计的工作程序及方法，以及信息系统审计对客户能够达成的效果等，特作以下介绍说明。一、信息系统审计何时介入IT Audit信息系统审计有四个层面：的有效性和执行有效性；它的对象是信息系统环境中的各种控制流程或机制IT 它的内容是搜集和评估审计证据；SAS70 或者相关的报告确定信息系统审计业务支持服务范围，并在信息系

2、统审计计划中以书面的形式记录业务约定其中，假设在计划审计程序阶段或者审计过程中了解到客户业务处理过程高度自动化性、完整性、准确性、截止性的审计程序。在约定信息系统审计是否介入时，需要考虑如下因素：系统的复杂性；业务的本质；财务审计团队的技能和知识； 或相关的报告能否被使用处理的本质例如高度自动化和交易的数量。在评估信息系统是否复杂时，我们认为以下特征是复杂信息系统的指标：/或开发；信息系统处理过程高度自动化，很少或者没有人工干预；不同的系统接口；信息系统使用批处理计划任务实施了新系统或者系统间进行了转换；SSOCRM系统。二、信息系统审计业务范围一为财务审计团队提供信息系统审计业务支持信息系统

3、审计业务为财务审计提供合理保证，其提供的支持服务内容包括：信息系统一般控制：IT/关键职责别离；主要业务和财务系统的开发以及程序变更管理；IT 系统运维管理，如数据批处理、数据备份、数据中心维护；应用系统安全、数据库系统安全、操作系统安全、和网络安全。应用控制：支持重要业务流程的各应用和接口系统中固化在程序中的关键控制点。这要根据财务 务、银行存贷等。根据业务复杂性确定的其他控制：如根据重大账户余额，交易类型或披露事项的重大错报风险的评估结果，对依赖于电 CGIJET等。二支持企业内部控制审计信息系统审计对企业的内部控制审计提供支持，对特定基准日内部控制设计与运行的有效性进行审计，其主要内容包

4、括：恰当地计划内部控制审计工作；效性；评价企业内部控制缺陷，按其影响程度分为重大缺陷、重要缺陷和一般缺陷；险结果评估提供支持。三开展独立的信息系统审计业务员有效地履行其受托责任以达成公司、机构或组织的信息技术管理目标。独立的信息系统审计业务也可通过实施信息系统审计工作来对公司、机构或组织所提 从而到达以下目标：乎行业标准；保障使用此类专业服务的公司或个人的信息安全性；户群体。信息系统审计部门能够为客户提供的独立的信息系统审计业务内容包括：企业信息系统控制合规审计报告；企业信息系统运行和控制系统设计及评估；企业萨班斯法案审计服务；其他。其目的是保证其信息技术战略充分反映该组织的业务战略目标，提高

5、公司、机构或组 统运行的效果与效率，合理保证信息系统的运行符合法律法规及监管的相关要求。四对信息系统控制及安全方面提供独立建议的咨询服务信息系统咨询业务是指结合信息系统安全、企业内部控制管理与外部审计等多方面的 专业知识，提供与信息安全相关的信息化建设、信息安全诊断、信息技术认证及ERP 相关的咨询业务。信息系统审计部门能够为客户提供的独立的信息系统咨询业务内容包括：企业信息系统战略策划和评估；企业信息系统执行及项目管理监理咨询；企业信息系统安全评估；企业萨班斯法案咨询服务；企业专业服务系统的行业评估；其他。三、信息系统审计程序一信息系统审计一般程序审计程序一般可分为四个阶段，即准备阶段、实施

6、阶段、审计结论和执行阶段、异议 的方法，对信息系统进行评价。准备阶段初步调查被审计单位信息系统基本状况，拟定科学合理的计划，一般应包括以下主要工作：1调查了解被审计单位信息系统的基本情况，如信息系统的硬件配置、系统软件的 将审前调查情况记录下来。2提前三天送达审计通知书，要求被审计单位对所提供资料的真实性、完整性作出书面承诺，明确彼此的责任、权利和义务。3初步评价被审计单位的内部控制制度，以便确定符合性测试的范围和重点。4确定审计重要性、确定审计范围。5分析审计风险。系统，也可聘请专家，但必须明确审计人员的责任。实施阶段计意见。实施阶段的主要工作应包括以下两个方面的内容：1信息系统进行处理，比

7、较处理结果，作出评价；受控处理法：就是选择被审计单位一定时期最好是12 由审计人员和会计电算化系统同时处理，比较结果，作出评价。3利用辅助审计软件直接审查信息系统的数据文件。审计人员可利用现场审计实施 AO得出结论，作出评价。审计结论和执行阶段位信息系统的处理功能和内部控制进行评价，并提出改良意见。经审定，所作的审计结论和决定需通知并监督被审单位执行。异议和复审阶段复审结论和决定。特别是被审单位信息系统有了新的改良时，还需组织后续审计。二信息系统审计协调程序为财务审计团队提供信息系统审计业务支持服务前，为了合理安排信息系统审计工作计划，财务审计项目负责人与信息系统审计部门应执行以下协调程序：支持的内容与实行时间；9 与信息系统审计部门讨论确定服务内容，预约部门成员；工作计划，并与财务审计项目团队、客户协调；审计项目团队，并与财务审计团队对信息系统审计部门的最后结论达成口头或书面共识；信息系统审计部门将按照事务所要求归档