信息系统审计工作制度

信息系统审计工作统审计师站在第三方的客观立场对信息系统进展全面的检查与评价审计，确立信息系统审计制度是格外重要的。不明确而降低审计工作的效率和效果，特制订此信息系统审计制度。本制度主要内容包括信息系统审计部门应何时介入企业进展信息系统审计工作审计团队供给信息系统审计业务支持的工作范围及本部门其他的工作职责范围计的工作程序及方法，以及信息系统审计对客户能够达成的效果等，特作以下介绍说明。一、信息系统审计何时介入信息系统审计〔ITAudit〕是信息系统鉴证业务中的一种。信息系统审计是依据业务和的有效性发表结论或意见的过程。信息系统审计有四个层面：的有效性和执行有效性；它的对象是信息系统环境中的各种掌握流程或机制IT〕它的内容是搜集和评估审计证据；牢靠性和安全性及财务数据的完整性和准确性。务系统的简单度、实体业务性质、财务审计团队人员的技能和学问、业务处理本质〔如：是否为高度自动化、交易数量及信息系统的治理方式〔如：假设信息系统由第三方治理，则需考虑是否需要SAS70或者相关的报告〕确定信息系统审计业务支持效劳范围，并在信息系询问效劳。〔如：理业务，仅仅执行实质性程序无法供给足够的审计证据时，在商定信息系统审计业务效劳整性、准确性、截止性的审计程序。在商定信息系统审计是否介入时，需要考虑如下因素：系统的简单性；业务的本质；财务审计团队的技能和学问；系统的位置〔SAS70或相关的报告能否被使用；处理的本质〔例如高度自动化〕和交易的数量。在评估信息系统是否简单时，我们认为以下特征是简单信息系统的指标：客户实施编程和/或开发；信息系统处理过程高度自动化，很少或者没有人工干预；不同的系统接口；信息系统使用批处理〔打算任务；实施了系统或者系统间进展了转换；使用了单点登录〔SSO〕或者集中权限治理〔CRM〕系统。二、信息系统审计业务范围信息系统审计是一个通过收集和评价审计证据，对信息系统是否能够保护资产的安全、面作出推断的过程。信息系统审计业务范围包括〔一〕为财务审计团队供给信息系统审计〔二〕支持企业内部掌握审计〔三〕开展独立的信息系统审计业务〔四〕对信息系统掌握及安全方面供给独立建议的询问效劳。〔一〕为财务审计团队供给信息系统审计业务支持信息系统审计业务为财务审计供给合理保证，其供给的支持效劳内容包括：信息系统一般掌握：IT掌握环境/关键职责分别；主要业务和财务系统的开发以及程序变更治理；IT系统运维治理，如数据批处理、数据备份、数据中心维护；应用系统安全、数据库系统安全、操作系统安全、和网络安全。应用掌握：支持重要业务流程的各应用和接口系统中固化在程序中的关键掌握点。这要依据财务审计团队确定的业务流程而定。比方销售、选购、库存、应收、应付、总账、资金、电子商务、银行存贷等。依据业务简单性确定的其他掌握：如依据重大账户余额，交易类型或披露事项的重大错报风险的评估结果，对依靠于计算机生成的信息执行信息〔CGI〕掌握测试，计算机关心审计〔CAATs〕测试，会计分录测试〔JET〕等。〔二〕支持企业内部掌握审计信息系统审计对企业的内部掌握审计供给支持，对特定基准日内部掌握设计与运行的有效性进展审计，其主要内容包括：恰当地打算内部掌握审计工作；效性；评价企业内部掌握缺陷，按其影响程度分为重大缺陷、重要缺陷和一般缺陷；险结果评估供给支持。〔三〕开展独立的信息系统审计业务员有效地履行其受托责任以达成公司、机构或组织的信息技术治理目标。独立的信息系统审计业务也可通过实施信息系统审计工作来对公司、机构或组织所提供的专业化效劳〔如电子商务、人力资源与薪酬治理外包、在线数据备份等〕进展综合评价从而到达以下目标：行业标准；保障使用此类专业效劳的公司或个人的信息安全性；户群体。信息系统审计部门能够为客户供给的独立的信息系统审计业务内容包括：企业信息系统掌握合规审计报告；企业信息系统运行和掌握系统设计及评估；企业萨班斯法案审计效劳；其他。其目的是保证其信息技术战略充分反映该组织的业务战略目标，提高公司、机构或组统运行的效果与效率，合理保证信息系统的运行符合法律法规及监管的相关要求。〔四〕对信息系统掌握及安全方面供给独立建议的询问效劳信息系统询问业务是指结合信息系统安全、企业内部掌握治理与外部审计等多方面的专业学问，供给与信息安全相关的信息化建设、信息安全诊断、信息技术认证及ERP系统相关的询问业务。信息系统审计部门能够为客户供给的独立的信息系统询问业务内容包括：企业信息系统战略筹划和评估；企业信息系统执行及工程治理监理询问；企业信息系统安全评估；企业萨班斯法案询问效劳；企业专业效劳系统的行业评估；其他。三、信息系统审计程序〔一〕信息系统审计一般程序审计程序一般可分为四个阶段，即预备阶段、实施阶段、审计结论和执行阶段、异议的方法，对信息系统进展评价。预备阶段初步调查被审计单位信息系统根本状况，拟定科学合理的打算，一般应包括以下主要工作：调查了解被审计单位信息系统的根本状况，如信息系统的硬件配置、系统软件的选用、应用软件的范围、网络构造、系统的治理构造和职能分工、文档资料等，调查完成后将审前调查状况记录下来。提前三天送达审计通知书，要求被审计单位对所供给资料的真实性、完整性作出书面承诺，明确彼此的责任、权利和义务。初步评价被审计单位的内部掌握制度，以便确定符合性测试的范围和重点。确定审计重要性、确定审计范围。分析审计风险。制定审计实施方案。在审计实施方案中除了对时间、人员、工作步骤及任务安排审计方法和测试数据。息系统，也可聘请专家，但必需明确审计人员的责任。实施阶段的范围、要点、步骤、方法，进展取证、评价，综合审计证据，借以形成审计结论，发表审计意见。实施阶段的主要工作应包括以下两个方面的内容：符合性测试。进展符合性测试应以系统安全牢靠性的检查结果为前提。假设系统实质性测试的样本量。实质性测试。实质性测试应当是对被审计单位信息系统的程序、数据、文件进展符合性测试结果得出的审计风险偏高算机进展审计的方法，具体包括：信息系统进展处理，比较处理结果，作出评价；②受控处理法：就是选择被审计单位肯定时期〔最好是12月份〕实际业务的数据分别由审计人员和会计电算化系统同时处理，比较结果，作出评价。利用关心审计软件直接审查信息系统的数据文件。审计人员可利用现场审计实施系统软件〔AO〕直接对数据进展数据转换，数据查询，抽样审计，查账，账务分析等测试，得出结论，作出评价。审计结论和执行阶段位信息系统的处理功能和内部掌握进展评价，并提出改进意见。经审定，所作的审计结论和打算需通知并监视被审单位执行。异议和复审阶段审结论和打算。特别是被审单位信息系统有了的改进时，还需组织后续审计。〔二〕信息系统审计协调程序为财务审计团队供给信息系统审计业务支持效劳前，为了合理安排信息系统审计工作打算，财务审计工程负责人与信息系统审计部门应执行以下协调程序：财务审计工程负责人在制定当年审计打算时应考虑所需信息系统审计部门进展审计支持的内容与实行时间；9月底将所需信息系统审计时间告知信息系统审计部门，与信息系统审计部门争论确定效劳内容，预约部门成员；工作打算，并与财务审计工程团队、客户协调；审计工程团队，并与财务审计团队对信息系统