信息系统审计工作制度
信息系统安全检查与审计管理制度
信息系统安全检查与审计管理制度一、背景和目的随着信息技术的迅猛发展,信息系统安全威胁不断增加,给组织和个人带来了严重的安全风险。
为了保障信息系统的安全和可靠性,确保信息资产的机密性、完整性和可用性,有必要建立一套信息系统安全检查与审计管理制度。
本制度的目的是规范信息系统安全检查与审计工作,确保信息系统严格按照相关法规法规定和安全标准进行检查与审计,及时发现和解决存在的安全问题,并提供相关数据和信息支持组织的决策管理。
二、适用范围本制度适用于所有相关信息系统的安全检查与审计工作,包括但不限于计算机网络、服务器、数据库等各种信息系统设备和应用。
三、主要内容和步骤1.信息系统安全检查与审计的目标和原则:(1)目标:有效发现信息系统存在的安全风险,保护信息资产的安全;(2)原则:客观、公正、全面、准确。
2.信息系统安全检查与审计的职责和权限:(1)明确信息系统安全检查与审计的责任部门和责任人;(2)明确信息系统安全检查与审计的权限和职责范围。
3.信息系统安全检查与审计的工作组织:(1)建立信息系统安全检查与审计工作小组,明确小组成员和工作职责;(2)制定信息系统安全检查与审计的工作计划,安排工作任务和进度。
4.信息系统安全检查与审计的程序和方法:(1)明确信息系统安全检查与审计的具体程序和方法;(2)确定信息系统安全检查与审计的检查内容和方法,包括风险评估、安全策略和措施、系统配置等。
5.信息系统安全检查与审计的报告和整改:(1)及时编制安全检查与审计报告,对安全问题进行评估和分类;(2)制定整改措施和时间表,跟踪整改进展情况;(3)定期评估信息系统安全检查与审计工作的效果,提出改进建议。
四、制度执行和监督1.组织相关人员参加信息系统安全检查与审计培训,提高专业技能和意识;2.建立信息系统安全检查与审计绩效考核机制,评估检查与审计工作的效果;3.建立健全信息系统安全检查与审计的纪律及监督机制,确保制度执行。
信息科技审计制度模板
信息科技审计制度模板一、总则第一条为了加强信息科技审计工作,规范信息科技审计行为,根据《中华人民共和国审计法》、《中华人民共和国审计实施条例》和《商业银行信息科技风险管理指引》等法律法规,制定本制度。
第二条本制度适用于对商业银行信息科技风险管理的审计工作,包括对信息科技治理、风险管理、内部控制、信息安全、数据中心等方面的审计。
第三条信息科技审计的目的是确保商业银行信息系统的安全、稳定运行,防范和控制信息科技风险,促进银行业务的发展。
第四条审计机构应独立于被审计单位,保持客观、公正的态度,依法开展审计工作。
二、审计组织与人员第五条审计机构应设立专门的信息科技审计部门,负责组织和实施信息科技审计工作。
第六条审计机构应配备具备专业知识和技能的信息科技审计人员,保证审计工作的专业性和有效性。
第七条审计人员应具备以下条件:(一)熟悉信息科技相关法律法规和审计知识;(二)具备一定的信息系统管理、运行和维护经验;(三)通过相关审计培训和考核,取得信息科技审计资格证书。
三、审计内容与程序第八条信息科技审计内容包括:(一)信息科技治理情况,包括组织架构、制度建设、管理情况等;(二)信息科技风险管理情况,包括风险识别、评估、控制和监测等;(三)内部控制情况,包括制度建设、控制措施和执行情况等;(四)信息安全情况,包括信息系统安全、数据安全和网络安全等;(五)数据中心运行情况,包括硬件设施、软件系统、运维管理等。
第九条信息科技审计程序包括:(一)审计计划制定:根据年度审计计划,明确审计目标、范围、时间等;(二)审计通知书发出:提前向被审计单位发出审计通知书,明确审计时间和要求;(三)审计现场实施:查阅相关资料、访谈相关人员、测试信息系统等;(四)审计发现问题:记录审计过程中发现的问题,收集证据材料;(五)审计报告编制:整理审计资料,编制审计报告,提出审计意见和建议;(六)审计整改落实:被审计单位根据审计报告进行整改,审计机构对整改情况进行跟踪和验证。
信息系统安全审计管理制度
信息系统安全审计管理制度为了保障信息系统的安全,有效管理信息系统的运行和利用,加强对信息系统风险的识别和控制,提高信息系统的可信度,需建立符合信息技术审计的管理制度。
本文将会阐述信息系统安全审计管理制度的主要内容和建立该制度的步骤。
一、信息系统安全审计管理制度的主要内容(一)制度的概述制度的概述应该包含以下内容:1. 目的:清楚明确地定义信息系统安全审核管理制度的用途。
2. 适用范围:说明适用的范围,包含哪些信息系统、信息系统的管理者和使用者、管理部门等。
3. 相关法律法规:列举相关的法律法规和标准或规范。
(二)审计计划制定信息系统的审计计划是为了保障系统的持续稳定性,减少计划外事件的影响。
审计计划应该包含以下几个方面的内容:1. 审计目标:明确审计的目标和内容。
2. 审计时间:具体制定审计计划的时间安排。
3. 审计流程:规定审计的流程和步骤,明确审计人员的职责和行动。
4. 审计报告:制定审计报告的格式和内容要求。
(三)审计程序审计程序是指发布审计通知、审核现场巡视、审核材料、查询资料、审核业务、形成初步结论等审计活动的步骤和流程。
审计程序需要根据实际情况制订,包括如下几个方面:1. 发布通知:明确审核的时间、地点、范围、要求及程序流程,通知参检人员。
2. 巡视现场:审核的现场巡视,记录现场发现的问题或意见。
3. 审核材料:根据审核计划,进行所需资料的审核。
4. 查询资料:查阅审计对象管理机构或相关部门的文件资料。
5. 审核业务:依据审计标准和方法,对审核对象的业务进行审核。
6. 形成初步结论:根据审核情况形成初步结论。
(四)审计报告审计报告应该包含以下方面的内容:1. 审计对象:标识审计对象的名称、所在地及审计时间。
2. 审计过程:对审计过程中发现的问题、逐条审核项目所涉及问题及处理情况。
3. 结论和建议:结合实际情况,提出针对信息系统安全问题的处理办法和提出的建议。
4. 审计人员:列举参与审计的主要人员或机构及其职责,以及审计人员的签名或盖章。
信息网络安全审计管理制度
第一章总则第一条为加强信息网络安全管理,确保信息系统的安全稳定运行,根据《中华人民共和国网络安全法》及相关法律法规,结合本单位的实际情况,特制定本制度。
第二条本制度适用于本单位所有信息系统的安全审计工作。
第三条本制度旨在规范信息网络安全审计工作,明确审计范围、审计内容、审计流程和责任,提高网络安全管理水平。
第二章审计范围与内容第四条审计范围:1. 内部网络、外网、移动办公网络等所有信息系统的安全审计;2. 网络设备、服务器、操作系统、数据库、应用系统等安全审计;3. 网络安全事件、漏洞、恶意代码等安全审计;4. 网络安全管理制度、操作规范、应急预案等执行情况审计。
第五条审计内容:1. 网络设备配置合规性审计;2. 操作系统及数据库安全审计;3. 应用系统安全审计;4. 用户权限及操作审计;5. 网络安全事件响应审计;6. 安全漏洞及恶意代码防范审计;7. 安全管理制度执行情况审计。
第三章审计流程第六条审计准备:1. 成立信息网络安全审计小组,明确审计小组成员职责;2. 制定审计计划,明确审计范围、时间、方法等;3. 收集相关审计资料。
第七条审计实施:1. 审计小组按照审计计划开展审计工作;2. 对发现的安全问题进行详细记录,并提出整改建议;3. 审计过程中,如发现重大安全问题,应立即报告上级领导。
第八条审计报告:1. 审计结束后,审计小组编写审计报告,报告内容包括审计范围、发现的问题、整改建议等;2. 审计报告经审计小组组长审核后,报送给上级领导。
第四章责任与考核第九条信息网络安全审计小组负责组织实施审计工作,确保审计质量。
第十条网络安全管理人员应积极配合审计工作,提供必要的资料和协助。
第十一条对审计中发现的安全问题,相关部门应立即整改,并报送整改情况。
第十二条对审计工作表现突出的个人和集体,给予表彰和奖励;对审计工作中存在失职、渎职行为的,依法依规追究责任。
第五章附则第十三条本制度由本单位网络安全管理部门负责解释。
信息安全审计管理制度
第一章总则第一条为加强公司信息安全管理工作,保障公司信息系统安全稳定运行,根据国家有关法律法规,结合公司实际情况,制定本制度。
第二条本制度适用于公司内部所有信息系统及其相关设备、软件、数据等。
第三条信息安全审计工作应遵循以下原则:1. 依法合规:严格遵守国家法律法规和行业标准,确保信息安全审计工作的合法性和合规性。
2. 全面覆盖:对信息系统进行全方位、全过程的审计,确保审计工作的全面性和有效性。
3. 客观公正:审计人员应保持客观公正的态度,确保审计结果的客观性和公正性。
4. 及时反馈:对审计发现的问题及时进行反馈,督促相关部门整改。
第二章职责分工第四条信息安全管理部门负责信息安全审计工作的组织、协调和监督。
第五条信息安全审计人员应具备以下条件:1. 具有信息安全相关专业背景或工作经验;2. 熟悉国家信息安全法律法规和行业标准;3. 具备较强的信息安全意识、职业道德和责任心。
第六条信息安全审计人员职责:1. 制定信息安全审计计划,组织实施审计工作;2. 收集、整理和分析审计证据,撰写审计报告;3. 对审计发现的问题进行跟踪,督促相关部门整改;4. 参与信息安全事件调查和处理。
第三章审计内容第七条信息安全审计内容主要包括:1. 信息系统安全策略:检查信息系统安全策略的制定、实施和更新情况;2. 网络安全:检查网络安全设备、系统配置、访问控制、入侵检测等;3. 数据安全:检查数据加密、备份、恢复、访问控制等;4. 应用系统安全:检查应用系统安全漏洞、权限控制、日志管理等;5. 物理安全:检查机房、设备、环境等物理安全措施;6. 第三方服务:检查第三方服务提供商的安全合规性。
第四章审计程序第八条信息安全审计程序如下:1. 制定审计计划:根据审计目标和要求,制定审计计划,明确审计范围、内容、时间、人员等;2. 审计实施:按照审计计划,对信息系统进行现场审计,收集相关证据;3. 审计报告:根据审计发现的问题,撰写审计报告,提出整改建议;4. 整改跟踪:对审计发现的问题进行跟踪,督促相关部门整改;5. 审计总结:对审计工作进行总结,形成审计总结报告。
信息系统审计人员管理制度
第一章总则第一条为规范信息系统审计工作,确保信息系统审计质量,保障信息系统安全稳定运行,特制定本制度。
第二条本制度适用于公司内部所有从事信息系统审计工作的审计人员。
第三条信息系统审计人员应遵循客观公正、严谨细致、廉洁自律的原则,依法履行审计职责。
第二章职责与权限第四条信息系统审计人员职责:1. 负责对公司信息系统进行定期和不定期的审计,确保信息系统安全、稳定、高效运行。
2. 负责对信息系统项目进行审计,审查项目合规性、安全性、稳定性等。
3. 负责对信息系统风险进行评估,提出改进措施和建议。
4. 负责对信息系统审计工作进行总结和报告,提出审计意见和整改建议。
5. 参与信息系统安全事件的调查和处理。
第五条信息系统审计人员权限:1. 获取信息系统相关资料和凭证,对信息系统进行审计。
2. 要求信息系统相关人员提供相关资料和解释。
3. 对信息系统安全事件进行调查和处理。
4. 对信息系统审计中发现的问题提出整改建议。
第三章培训与考核第六条公司应定期对信息系统审计人员进行专业培训和技能提升,提高审计人员综合素质。
第七条公司应建立健全信息系统审计人员考核制度,考核内容包括:1. 审计质量:审计报告质量、审计结论准确性、审计建议合理性等。
2. 审计效率:完成审计任务的时间、工作效率等。
3. 遵守纪律:遵守国家法律法规、公司规章制度等。
4. 遵循职业道德:廉洁自律、客观公正等。
第四章保密与回避第八条信息系统审计人员应严格遵守保密规定,对审计过程中获取的公司秘密、客户信息等予以保密。
第九条信息系统审计人员在与审计对象存在利益冲突时,应主动回避,不得参与相关审计工作。
第五章奖励与处罚第十条对在信息系统审计工作中表现突出、成绩显著的审计人员,公司给予奖励。
第十一条对违反本制度规定,造成严重后果的审计人员,公司给予相应处罚。
第六章附则第十二条本制度由公司审计部门负责解释。
第十三条本制度自发布之日起实施。
信息系统审计管理办法
信息系统审计管理办法第一章总则第一条为加强和规范公司信息系统审计工作,明确审计职责及工作范围,根据《内部审计具体准则第2203号-信息系统审计》等有关规定和要求,制定本办法。
第二条信息系统审计是指由公司审计部或外部审计机构对公司的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动。
第三条信息系统审计的目的是通过实施信息系统审计,对公司是否实现信息技术管理目标进行审查和评价,提出管理建议,协助信息技术管理人员有效地履行职责。
公司的信息技术管理目标主要包括:(一)保证公司的信息技术战略充分反映公司整体战略目标;(二)提高公司信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性;(三)提高信息系统运行的效率与效果,合理保证信息系统的运行符合法律法规及监管机构的要求。
第四条信息系统审计可以作为独立的审计项目组织实施,也可以作为综合性内部审计项目的组成部分实施。
第五条本规定适用于公司对内开展的有关信息系统审计的各项活动。
第二章审计机构、人员及职责第六条信息系统审计工作可由审计部组织实施,也可聘请具备相关资质的外部审计机构开展。
第七条公司在审计部设立信息审计岗位,负责信息科技审计制度制订和信息系统审计工作。
第八条根据工作需要,经公司管理层批准,可以聘请外部审计机构开展信息系统审计,所聘请的外部审计机构应具备足够的独立性、客观性和专业胜任能力,并遵守公司审计作业管理规定。
公司按照采购规定进行外部审计机构选聘工作,审计部负责协调外部审计人员实施信息系统审计工作。
第九条从事信息系统审计的审计人员应当具备必要的信息技术及信息系统审计专业知识、技能和经验,以及应有的职业审慎。
第十条信息系统审计人员责任包括计划、实施信息系统审计工作并按要求出具审计报告。
第十一条信息技术部门应积极配合信息系统审计人员开展相关审计工作,其他相关部门应按要求协助开展信息系统审计工作。
第十二条公司应定期或不定期组织内部审计人员开展有关信息系统及技术的专业知识培训,培训方式可采用自主或委外方式开展。
数据保密与信息系统审计管理制度
数据保密与信息系统审计管理制度第一章总则第一条目的和适用范围为了维护公司的商业机密和客户信息的安全,加强对信息系统的监督和管理,保护公司和客户利益,订立本规章制度。
本制度适用于公司全体员工和全部涉及信息系统的业务活动。
第二条定义1.数据保密:指公司的商业机密、客户信息和其他涉及公司利益的非公开信息。
2.信息系统:指公司内部使用的计算机、网络等硬件和软件设备。
3.审计:指对信息系统的安全性、合规性和可用性进行的检查和评估。
第三条原则1.安全原则:数据保密和信息系统审计管理是公司最基本的要求和底线,全部员工都有责任和义务遵守相关规定,确保公司数据和信息系统的安全性。
2.合规原则:公司的数据保密和信息系统审计管理需符合国家法律法规以及行业监管要求。
3.领导责任原则:公司领导层对数据保密和信息系统审计管理具有最终责任和决策权,必需发挥良好的示范和引领作用。
第二章数据保密管理制度第四条数据分类和保密等级1.数据分类:依据数据对公司利益的紧要性和敏感程度,将数据分为三类:商业机密、内部信息和普通信息。
2.保密等级:依据数据分类和泄密风险评估,对每种数据设定相应的保密等级,包含绝密级、机密级、秘密级和内部级。
第五条数据访问权限管理1.审核机制:订立数据访问权限审核流程,明确职责和权限,确保数据访问权限的合理性和安全性。
2.职责分工:依据岗位职责和工作需求,予以员工相应的数据访问权限,严禁超出权限的数据访问行为。
3.更改掌控:对已授权访问的员工,及时跟踪更改情况,确保数据访问权限与员工实际工作需要的全都性。
第六条数据传输和存储安全1.网络安全:加强对公司内部网络的监控和管理,确保网络传输的机密信息不被窃取或窜改。
2.存储安全:建立合理的数据备份和存储机制,保证数据在传输和存储过程中不丢失或被非法取得。
第七条数据使用和共享管理1.合法目的:员工只能在工作需要的范围内使用公司数据,严禁将数据用于非法目的。
2.共享掌控:确保共享数据的安全性,限制共享范围和权限,并记录共享行为,防止数据被滥用或泄露。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统审计工作今天,信息系统已成为企业业务处理的中枢,信息系统的可靠、安全、效率左右着企业的命运。
企业不仅要在内部设立信息系统审计部门,实施内部审计,还必须委托外部信息系统审计师站在第三方的客观立场对信息系统进行全面的检查与评价。
要实施独立的信息系统审计,确立信息系统审计制度是十分重要的。
因此,为了规范部门内部工作流程和质量控制,协助其他部门了解信息系统审计部门的业务支持范围、工作内容及工作流程,促进部门间就项目中设计的信息系统审计业务范围进行有效沟通,协调项目工作计划的界定和质量管理,避免因项目中工作职责和工作范围界定不明确而降低审计工作的效率和效果,特制订此信息系统审计制度。
本制度主要内容包括信息系统审计部门应何时介入企业进行信息系统审计工作,为财务审计团队提供信息系统审计业务支持的工作范围及本部门其他的工作职责范围,信息系统审计的工作程序及方法,以及信息系统审计对客户能够达成的效果等,特作以下介绍说明。
一、信息系统审计何时介入信息系统审计(IT Audit)是信息系统鉴证业务中的一种。
信息系统审计是根据业务和信息控制目标,针对信息系统环境内设定的控制,通过搜集和评估审计证据,对信息系统控制的有效性发表结论或意见的过程。
信息系统审计有四个层面:1.它的目的是对信息系统控制的有效性发表评估结论或审计意见。
有效性包括控制设计的有效性和执行有效性;2.它的对象是信息系统环境中的各种控制流程或机制,包括IT 一般控制和应用控制;3)3.它的内容是搜集和评估审计证据;4.它的依据是业务控制目标,比如系统是否有效实施控制保证财务软件计算的固定资产折旧程序是否准确。
通过执行信息系统审计,可以协助财务审计团队了解和评价信息系统的可靠性和安全性及财务数据的完整性和准确性。
财务审计团队在财务审计业务计划阶段,需对客户的信息系统环境进行调查,若客户的信息系统环境评估结果为复杂时,需邀请信息系统审计人员介入共同探讨审计计划,根据业务系统的复杂度、实体业务性质、财务审计团队人员的技能和知识、业务处理本质(如:是否为高度自动化)、交易数量及信息系统的管理方式(如:若信息系统由第三方管理,则需考虑是否需要SAS70或者相关的报告)确定信息系统审计业务支持服务范围,并在信息系统审计计划中以书面的形式记录业务约定。
若客户的信息系统环境评估结果为不复杂时,信息系统审计工作可由审计团队完成,必要时信息系统审计团队可以提供知识和技术的支持和咨询服务。
其中,若在计划审计程序阶段或者审计过程中了解到客户业务处理过程高度自动化(如:银行,保险,电信,和零售业等高度依赖电算化的企业环境和特定行业高度依赖信息系统处理业务),仅仅执行实质性程序无法提供足够的审计证据时,在约定信息系统审计业务服务范围时,需考虑同时包括应用控制审计及其他可以辅助财务审计团队确认交易的真实性、完整性、准确性、截止性的审计程序。
在约定信息系统审计是否介入时,需要考虑如下因素:▪系统的复杂性;▪业务的本质;▪财务审计团队的技能和知识;▪系统的位置(例如,如果包含一个服务组织,SAS70或相关的报告能否被使用);▪处理的本质(例如高度自动化)和交易的数量。
在评估信息系统是否复杂时,我们认为以下特征是复杂信息系统的指标:▪客户实施编程和/或开发;▪信息系统处理过程高度自动化,很少或者没有人工干预;▪不同的系统接口;▪信息系统使用批处理(计划任务);▪实施了新系统或者系统间进行了转换;▪使用了单点登录(SSO)或者集中权限管理(CRM)系统。
二、信息系统审计业务范围信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。
信息系统审计业务范围包括:(一)为财务审计团队提供信息系统审计业务支持;(二)支持企业内部控制审计;(三)开展独立的信息系统审计业务;(四)对信息系统控制及安全方面提供独立建议的咨询服务。
(一)为财务审计团队提供信息系统审计业务支持信息系统审计业务为财务审计提供合理保证,其提供的支持服务内容包括:1.信息系统一般控制:▪IT控制环境/关键职责分离;▪主要业务和财务系统的开发以及程序变更管理;▪IT系统运维管理,如数据批处理、数据备份、数据中心维护;▪业务和财务系统环境中关键的信息安全和权限控制管理,包括用户账户和授权管理、应用系统安全、数据库系统安全、操作系统安全、和网络安全。
2.应用控制:支持重要业务流程的各应用和接口系统中固化在程序中的关键控制点。
这要根据财务审计团队确定的业务流程而定。
比如销售、采购、库存、应收、应付、总账、资金、电子商务、银行存贷等。
3.根据业务复杂性确定的其他控制:如根据重大账户余额,交易类型或披露事项的重大错报风险的评估结果,对依赖于计算机生成的信息执行信息(CGI)控制测试,计算机辅助审计(CAATs)测试,会计分录测试(JET)等。
(二)支持企业内部控制审计信息系统审计对企业的内部控制审计提供支持,对特定基准日内部控制设计与运行的有效性进行审计,其主要内容包括:1.恰当地计划内部控制审计工作;2.实施审计工作,评价内部控制是否可以应对舞弊风险,测试内部控制设计与运行的有效性;3.评价企业内部控制缺陷,按其影响程度分为重大缺陷、重要缺陷和一般缺陷;4.获取充分、适当的证据,为在内部控制审计中对内部控制有效性发表意见和对控制风险结果评估提供支持。
(三)开展独立的信息系统审计业务独立的信息系统审计业务是通过实施信息系统审计工作,对公司、机构或组织是否达成信息技术管理目标进行综合评价,并基于评价意见提出管理建议,协助组织信息技术管理人员有效地履行其受托责任以达成公司、机构或组织的信息技术管理目标。
独立的信息系统审计业务也可通过实施信息系统审计工作来对公司、机构或组织所提供的专业化服务(如电子商务、人力资源与薪酬管理外包、在线数据备份等)进行综合评价从而达到以下目标:1.判断一切与该公司、机构或组织所提供的专业化服务相关的流程、操作及管理是否合乎行业标准;2.保障使用此类专业服务的公司或个人的信息安全性;3.基于评价意见提出整改建议,从而帮助此类专业服务提供商更好地拓展市场与开放客户群体。
信息系统审计部门能够为客户提供的独立的信息系统审计业务内容包括:▪企业信息系统控制合规审计报告;▪企业信息系统运行和控制系统设计及评估;▪企业萨班斯法案审计服务;▪其他。
其目的是保证其信息技术战略充分反映该组织的业务战略目标,提高公司、机构或组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性,提高信息系统运行的效果与效率,合理保证信息系统的运行符合法律法规及监管的相关要求。
(四)对信息系统控制及安全方面提供独立建议的咨询服务信息系统咨询业务是指结合信息系统安全、企业内部控制管理与外部审计等多方面的专业知识,提供与信息安全相关的信息化建设、信息安全诊断、信息技术认证及ERP系统相关的咨询业务。
信息系统审计部门能够为客户提供的独立的信息系统咨询业务内容包括:▪企业信息系统战略策划和评估;▪企业信息系统执行及项目管理监理咨询;▪企业信息系统安全评估;▪企业萨班斯法案咨询服务;▪企业专业服务系统的行业评估;▪其他。
三、信息系统审计程序(一)信息系统审计一般程序审计程序一般可分为四个阶段,即准备阶段、实施阶段、审计结论和执行阶段、异议和复审阶段。
信息系统审计也可分为这四个阶段,同时结合自身的特殊要求,运用本身特有的方法,对信息系统进行评价。
1.准备阶段初步调查被审计单位信息系统基本状况,拟定科学合理的计划,一般应包括以下主要工作:(1)调查了解被审计单位信息系统的基本情况,如信息系统的硬件配置、系统软件的选用、应用软件的范围、网络结构、系统的管理结构和职能分工、文档资料等,调查完成后将审前调查情况记录下来。
(2)提前三天送达审计通知书,要求被审计单位对所提供资料的真实性、完整性作出书面承诺,明确彼此的责任、权利和义务。
(3)初步评价被审计单位的内部控制制度,以便确定符合性测试的范围和重点。
(4)确定审计重要性、确定审计范围。
(5)分析审计风险。
(6)制定审计实施方案。
在审计实施方案中除了对时间、人员、工作步骤及任务分配等方面作出安排以外,还要合理确定符合性测试、实质性测试的时间和范围,以及测试时的审计方法和测试数据。
在安排利用计算机辅助审计时,还需列出所选用的通用软件或专用软件。
对于复杂的信息系统,也可聘请专家,但必须明确审计人员的责任。
2.实施阶段实施阶段是审计工作的核心,也是信息系统审计的核心。
主要工作是根据准备阶段确定的范围、要点、步骤、方法,进行取证、评价,综合审计证据,借以形成审计结论,发表审计意见。
实施阶段的主要工作应包括以下两个方面的内容:(1)符合性测试。
进行符合性测试应以系统安全可靠性的检查结果为前提。
如果系统安全可靠性非常差,不值得审计人员信赖,则应当根据实际情况决定是否取消内控制度的符合性测试,而直接进行实质性测试并加大实质性测试的样本量。
在信息系统的符合性测试项目中,主要内容应该是确认输入资料是否正确完整,计算机处理过程是否符合要求。
如果系统安全可靠性比较高,则应对该系统给予较高的信赖,在实质性测试时,就可以相应地减少实质性测试的样本量。
(2)实质性测试。
实质性测试应该是对被审计单位信息系统的程序、数据、文件进行测试,并根据测试结果进行评价和鉴定。
进行实质性测试须依赖于符合性测试的结果,如果符合性测试结果得出的审计风险偏高,而且被审计单位有利用信息系统进行舞弊的动机与可能,并且被审计单位又不能提供完整的会计文字资料,此时审计人员应考虑对会计报表发表保留意见或拒绝表示意见的审计报告。
进行实质性测试时,可考虑采用通过计算机和利用计算机进行审计的方法,具体包括:①测试数据法:就是将测试数据或模拟数据分别由审计人员进行手工核算和被审计单位信息系统进行处理,比较处理结果,作出评价;②受控处理法:就是选择被审计单位一定时期(最好是12月份)实际业务的数据分别由审计人员和会计电算化系统同时处理,比较结果,作出评价。
(3)利用辅助审计软件直接审查信息系统的数据文件。
审计人员可利用现场审计实施系统软件(AO)直接对数据进行数据转换,数据查询,抽样审计,查账,账务分析等测试,得出结论,作出评价。
3.审计结论和执行阶段审计人员对信息系统进行符合性测试和实质性测试后,整理审计工作底稿,编制审计报告时,除对被审单位会计报表的合理性、公允性发表意见,作出审计结论外,还要对被审单位信息系统的处理功能和内部控制进行评价,并提出改进意见。
审计报告完成后,先要征求被审单位的意见,并报送审计机关和有关部门。