安永宁进⾏信息系统审计的流程及计算机技术要求赵欣丝绸舞台事故
信息系统审计程序⼀般包括审计准备、审计实施、审计报告和后续审计四个阶段。
⼀、审计准备
(⼀)审前准备
内部审计⼈员在实施信息系统审计前,需要根据信息系统审计⽬标,开展审前调查,收集法规、制度依据以及其他有关资料。审前调查主要了解组织信息系统的治理管理体制、总体架构、规划和建设、应⽤管理情况等。具体如下: 1.治理、管理体制。主要了解信息系统管理机构设置、管理职责、⼯作流程等。
2.系统总体架构
(1)系统分布。包括系统数量、规模和分布,绘制信息系统分布图。
(2)信息系统主要类型。
(3)各信息系统的基本情况和系统之间的关联关系。
(4)信息系统应⽤覆盖⾯及应⽤程度。
3.规划和建设情况
(1)规划:信息系统发展规划以及规划、年度计划落实情况。
(2)建设:信息系统建设程序、投⼊、管理,了解已完成系统和在建系统。
(3)使⽤:信息系统应⽤管理制度、使⽤率、应⽤中存在的主要问题、困难和⽭盾。
(⼆)编制审计⼯作⽅案
根据审前准备情况,编制信息系统审计⼯作⽅案,⽅案内容包括但不限于被审计组织信息系统的基本情况。包括信息系统项⽬建设及应⽤情况、审计⽬的、审计依据、审计对象与范围、审计内容重点及⽅法、审计步骤与时间安排、审计组与⼈员分⼯等。在审计组组成环节,审计部门可以借助外部专家的⼒量,在审计组中应当有具备信息技术经验和知识的专兼职审计专家,便于补充提⾼审计组的胜任能⼒。
⼆、审计实施
审计实施是内部审计⼈员依据审计计划实施现场审计的过程。内部审计⼈员应结合审前准备了解的内容,按照被审计组织的信息化环境、业务流程、内控制度等⽅⾯的风险,明确具体项⽬审计⽬标、细化审计内容,突出审计重点。实施阶段主要应完成以下⼯作: (⼀)了解评估被审计组织的信息系统内部控制麻醉剂
1.收集被审计组织信息系统的内部控制管理制度及流程,对被审计组织相关⼈员进⾏访谈,了解组织的信息系统决策及管理政策、⽅法、控制活动主要内容包括但不限于:
(1)信息系统内部控制环境。
(2)风险管理。
(3)控制活动。
(4)信息与沟通。
(5)内部监督。红磷
内部审计⼈员开展控制测试评价信息系统的内部控制要素,以确定组织能接受的控制风险。验证控制措施的执⾏是否符合管理政策和程序,为审计提供合理的保证。信息系统控制测试主要包括控制环境测试和功能测试:
(1)组织管理的控制测试。
(2)系统建设管理的控制测试。
(3)系统资源管理的控制测试。
商鞅变法的性质
(4)系统环境管理的控制测试。
(5)系统运⾏管理的控制测试。武警8674部队
(6)系统⽹络和通信管理的控制测试。
(7)系统数据库管理的控制测试。
(8)系统输⼊、处理、输出的控制测试。
(9)其他。
3.初步评估信息系统内部控制
根据对组织信息系统的控制测试情况,选择组织信息系统的重点业务流程,对固有风险和控制风险进⾏初步评估,对信息系统控制有效性作出评价。
(⼆)开展实质性测试
内部审计⼈员应根据控制测试结果确定实质性测试的性质、时间和范围。组织层⾯评价内容包括组织架构、权责分配、发展战略、⼈⼒资源、培训与考核等。
对组织信息系统开展风险评估时,结合相关规范中有关风险评估的要求,重点关注内部和外部风险信息的搜集、利⽤风险识别机制按照风险评估的程序、⽅法,评估风险等级并检查应对策略的有效性。
对信息与沟通审计时,应结合组织信息与沟通的相关管理制度,对信息收集、处理和传递的及时性,反舞弊机制的健全性,财务报告的真实性,信息系统的安全性,以及利⽤信息系统实施内部控制的有效性等进⾏审查和评价。
对内部监督审计时应结合组织内部监督制度,对内部监督机制的有效性进⾏认定和评价。重点关注内部审计机构等监督机构是否在内部控制设计和运⾏中有效发挥监督作⽤,内部控制缺陷认定是否客观,整改⽅案措施是否得当,并有效整改。
内部控制检查评价⽅法主要包括:个别访谈法、调查问卷法、⽐较分析法、标杆法、穿⾏测试法、抽样法、实地查验法、重新执⾏法、专题讨论会法等。内部控制检查评价应综合运⽤上述⽅法,充分利⽤信息系统,实施在线检查、监控。
三、审计报告
信息系统审计报告阶段包括整理加⼯审计⼯作底稿、编写审计报告、做出审计结论。内部审计⼈员应运⽤专业判断,综合分析所收集到的相关证据,以经过核实的审计证据为依据,形成审计意见和结论、编制审计底稿、出具审计报告。
四、后续审计
后续审计主要通过监督组织整改的情况,督促被审计组织改进信息系统治理,完善相关的规章制度、流程等,以持续提⾼信息系统治理、管理⽔平。对审计中发现的重⼤问题和控制缺陷,整改效果不明显的信息系统项⽬开展后续审计。信息系统审计程序⼀般包括审计准备、审计实施、审计报告和后续审计四个阶段。
