信息系统审计(IT审计)操作流程(精)
it审计流程
it审计流程IT审计流程。
IT审计是指对信息技术系统和信息资产进行全面审查和评估的过程,旨在发现和解决潜在的风险和问题,确保信息系统的安全性、合规性和高效性。
IT审计流程是指在进行IT审计时所需遵循的一系列步骤和方法,下面将详细介绍IT审计的流程。
首先,确定审计目标和范围。
在进行IT审计之前,需要明确审计的目标和范围,包括审计的具体对象、审计的重点和关注点等。
这一步是IT审计流程中的第一步,也是非常重要的一步,它直接影响后续审计工作的开展和结果的准确性。
其次,进行风险评估和规划。
在确定审计目标和范围之后,需要对审计对象进行风险评估,确定可能存在的风险和问题,并制定相应的审计规划和方案。
这一步需要充分了解审计对象的业务特点和信息系统的运行情况,以便有针对性地进行审计工作。
接下来,进行信息收集和分析。
在进行IT审计时,需要收集和分析大量的信息和数据,包括系统日志、安全事件、用户操作记录等。
通过对这些信息和数据的收集和分析,可以全面了解信息系统的运行状况和存在的问题,为后续的审计工作提供依据和参考。
然后,开展实地检查和测试。
除了对信息进行收集和分析外,还需要进行实地检查和测试,包括对系统设备的检查、网络安全的测试、应用系统的漏洞扫描等。
通过这些实地检查和测试,可以发现系统存在的安全隐患和漏洞,为后续的整改工作提供依据。
最后,编写审计报告和跟踪整改。
在完成信息收集、分析和实地检查后,需要编写审计报告,对发现的问题和风险进行总结和分析,并提出改进建议和整改措施。
同时,还需要跟踪整改情况,确保问题得到及时解决和改进。
总之,IT审计是一项复杂而又重要的工作,其流程包括确定审计目标和范围、风险评估和规划、信息收集和分析、实地检查和测试、编写审计报告和跟踪整改。
通过严格遵循IT审计流程,可以有效发现和解决信息系统存在的问题和风险,保障信息系统的安全性和稳定性。
审计师的信息系统审计程序与方法
审计师的信息系统审计程序与方法信息系统在现代企业中起着至关重要的作用,不仅帮助企业提高效率和准确性,也带来了一系列风险和挑战。
为了确保信息系统的安全与可靠性,审计师需要进行信息系统审计。
本文将就审计师的信息系统审计程序与方法进行探讨。
一、信息系统审计程序信息系统审计程序是审计师用来评估信息系统控制有效性和安全性的一系列步骤。
以下是常见的信息系统审计程序:1. 确定审计目标和范围:审计师首先需要与企业管理层沟通,明确信息系统审计的目标和范围。
这有助于审计师了解企业的业务流程和关键控制点。
2. 评估风险:审计师需要通过风险评估来确定审计焦点和优先级。
这包括评估信息系统的关键性、敏感性和暴露于威胁的可能性。
3. 分析和评估信息系统控制:审计师需要对信息系统控制进行详细分析和评估。
这包括对访问控制、系统开发和维护、变更管理、物理安全等方面的评估。
4. 进行测试和抽样:审计师需要选择合适的测试方法和抽样技术,对信息系统进行实际测试。
这可以包括测试系统控制的有效性、验证数据的准确性和完整性。
5. 收集证据和进行分析:审计师需要收集相关的审计证据,并进行分析和比对。
这可以通过审查系统日志、检查安全策略和审计报告等方式来收集证据。
6. 发现问题和提出建议:根据收集到的证据,审计师需要发现信息系统存在的问题,并提出改善建议。
这有助于企业改进信息系统的运作和管理。
二、信息系统审计方法除了信息系统审计程序,审计师还需要运用一些方法来提高信息系统审计的效能和有效性。
以下是常见的信息系统审计方法:1. 面谈法:审计师可以选择与企业管理层和系统用户进行面谈,了解他们对信息系统控制的了解和使用情况。
面谈法可以帮助审计师获取更深入和直接的信息。
2. 文件审查法:审计师可以审查企业的信息系统政策、程序和相关文件,以评估其符合性和有效性。
文件审查法可以帮助审计师了解信息系统的规范和控制情况。
3. 系统探测法:审计师可以使用一些工具和技术来探测信息系统中的弱点和风险,如漏洞扫描、网络侦测等。
信息系统审计的操作流程
安全漏洞测试
审计人员将测试系统的安全漏洞,包括网络攻击、 恶意软件等,以确保系统的安全性。
日志分析
审计人员将分析系统的日志,以检测异常活动和 安全事件。
审计结果报告
审计结果报告将总结审计的发现和建议。报告应包括对系统的弱点和脆弱性 的详细描述,并提出改进和修复建议。
结果分析及建议
审计团队将分析审计结果,并提出改进和修复建议。这些建议应根据系统的弱点和脆弱性,以及组织的需求和 目标进行定制。
信息系统审计的操作流程
信息系统审计是评估和验证一个信息系统内控的过程。它包括信息收集、审 查和评估、内控测试、审计结果报告、结果分析及建议以及结论。
审计的定义和重要性
审计是一个关键的过程,用于评估信息系统的有效性、安全性和合规性。它 帮助组织确保其信息系统的可靠性,保护敏感信息,并遵守相关法规和标准。
结论
审计是一个持续的过程,需要定期进行,以确保信息系统的安全性和有效性。通过遵循审计过程,组织可以提 高其信息系统的安全性和合规性。
信息收集阶段
在信息收集阶段,审计团队会收集关于信息系统的相关信息,包括系统架构、安全策略、访问控制措施等。这 些信息将为后续的审查和评估提供基础。
审查和评估阶段
1
系统配置
审计人员将审查系统配置,包括硬件、
安全漏洞评估
2
软件、网络设置等,以确保其符合最佳 实践和安全标准。
审计人员将评估系统的安全漏洞,包括
潜在的漏洞、弱点和脆弱性,以确保系
统的安全性。
3
授权和访问控制
审计人员将审查系统的授权和访问控制 措施,包括用户权限、角色分配等,以 确保系统只能被授权的用户访问。
信息系统审计IT审计操作流程
信息系统审计I T审计操作流程IMB standardization office【IMB 5AB- IMBK 08- IMB 2C】信息系统审计(IT审计)操作流程一、审计计划阶段计划阶段是整个审计过程的起点。
其主要工作包括:(1)了解被审系统基本情况了解被审系统基本情况是实施任何信息系统审计的必经程序,对基本情况的了解有助于审计组织对系统的组成、环境、运行年限、控制等有初步印象,以决定是否对该系统进行审计,明确审计的难度,所需时间以及人员配备情况等。
了解了基本情况,审计组织就可以大致判断系统的复杂性、管理层对审计的态度、内部控制的状况、以前审计的状况、审计难点与重点,以决定是否对其进行审计。
(2)初步评价被审单位系统的内部控制及外部控制传统的内部控制制度是为防止舞弊和差错而形成的以内部稽核和相互牵制为核心的工作制度。
随着信息技术特别是以Internet为代表的网络技术的发展和应用,企业信息系统进一步向深层次发展,这些变革无疑给企业带来了巨大的效益,但同时也给内部控制带来了新的问题和挑战。
加强内部控制制度是信息系统安全可靠运行的有力保证。
依据控制对象的范围和环境,信息系统内控制度的审计内容包括一般控制和应用控制两类。
一般控制是系统运行环境方而的控制,指对信息系统构成要素(人、机器、文件)的控制。
它已为应用程序的正常运行提供外围保障,影响到计算机应用的成败及应用控制的强弱。
主要包括:组织控制、操作控制、硬件及系统软件控制和系统安全控制。
应用控制是对信息系统中具体的数据处理活动所进行的控制,是具体的应用系统中用来预测、检测和更正错误和处置不法行为的控制措施,信息系统的应用控制主要体现在输入控制、处理控制和输出控制。
应用控制具有特殊性,不同的应用系统有着不同的处理方式和处理环节,因而有着不同的控制问题和不同的控制要求,但是一般可把它划分为:输入控制、处理控制和输出控制。
通过对信息系统组织机构控制,系统开发与维护控制,安全性控制,硬件、软件资源控制,输入控制,处理控制,输出控制等方而的审计分析,建立内部控制强弱评价的指标系统及评价模型,审计人员通过交互式人机对话,输入各评价指标的评分,内控制审计评价系统则可以进行多级综合审计评价。
it审计流程
it审计流程IT审计流程是指对企业或组织的信息技术系统和相关运营过程进行全面检查和评估的一系列步骤。
通过IT审计流程,可以发现潜在的风险和问题,并提出改进和优化的建议,以确保企业的信息技术系统安全、合规和高效运行。
本文将详细介绍IT审计流程的各个环节和关键步骤,以帮助读者了解和理解这一重要的管理工具。
一、审计准备IT审计的第一步是准备工作。
在这个阶段,审计团队需要与企业的管理层和相关部门进行沟通,了解企业的信息技术系统的架构、业务流程以及安全策略等方面的情况。
同时,审计团队还应该制定详细的审计计划,明确审计的目标、范围和时间安排等。
二、风险评估在进行实际的审计工作之前,审计团队需要对企业的信息技术系统进行风险评估。
这包括识别潜在的安全风险、漏洞和威胁,并对其进行评估和分类。
通过风险评估,审计团队可以确定哪些方面需要特别关注,并制定相应的审计方案和检查点。
三、数据收集在开始正式的审计工作之前,审计团队需要收集相关的数据和信息。
这包括企业的网络拓扑图、系统配置文件、安全策略文档、日志记录等。
通过收集和分析这些数据,审计团队可以更好地了解企业的信息技术系统的运行状态和存在的问题。
四、内部控制评估内部控制评估是IT审计的重要环节之一。
审计团队将对企业的内部控制机制进行评估,包括访问控制、身份认证、审计日志、备份和恢复等方面。
通过评估内部控制的有效性和可行性,审计团队可以确定哪些方面需要改进和加强,并提出相应的建议。
五、安全漏洞扫描安全漏洞扫描是IT审计的重要手段之一。
通过使用专业的漏洞扫描工具,审计团队可以对企业的信息技术系统进行全面的安全漏洞扫描,包括操作系统、数据库、应用程序等方面。
通过发现和修复安全漏洞,可以提高企业的信息技术系统的安全性和可靠性。
六、网络安全评估网络安全评估是IT审计的另一个重要环节。
审计团队将对企业的网络架构和安全策略进行评估,包括网络拓扑、网络设备配置、防火墙设置等方面。
通过评估网络安全的措施和控制,可以发现潜在的安全风险并提出相应的改进措施。
信息系统审计的操作流程
撰写审计报告初稿
确定报告目的和范围 收集和整理审计证据 分析和评估审计结果 编写审计报告初稿 审核和修改审计报告初稿 提交审计报告初稿
与被审计单位沟通确认
确定审计目的和范围
确定审计报告的格式和内容
确定审计时间表和审计人员
确定审计报告的提交时间和方式
确定审计方法和工具
确定审计报告的保密性和保密措施
总结和经验分享
审计结果分析:对审计过程中发现的问题进行深入分析,找出原因并 提出改进措施
审计报告撰写:根据审计结果,撰写详细的审计报告,包括审计过 程、发现的问题、改进建议等
审计结果沟通:与相关部门进行沟通,确保审计结果得到理解和认可
审计结果应用:将审计结果应用于信息系统的改进和优化,提高信 息系统的安全性和稳定性
报告修订和定稿
审计报告初稿完成后,需要经过多次修订和完善 修订过程中,需要根据审计结果和客户反馈进行调整 定稿前,需要经过内部审核和外部专家评审 定稿后,需要提交给客户,并做好后续跟踪和反馈工作
报告分发和归档
报告分发:将审计报告发送给相关领导和部门,确保信息及时传达
归档管理:将审计报告进行归档,便于日后查询和参考
数据验证:对数据进行验证和确认
数据清洗:对数据进行清洗和整理, 去除无效数据
数据分析:对数据进行分析和解读, 得出结论
风险评估和控制测试
风险评估:识别信息系统中的风险,评估其可能性和影响程度 控制测试:验证信息系统内部控制是否有效,确保风险得到控制 风险应对:制定风险应对措施,降低风险发生的可能性和影响程度 持续监控:定期对信息系统进行监控,确保风险得到持续控制
优化审计流程和方法
定期评估审计流程的效率 和效果
引入自动化审计工具,提 高审计效率
信息系统审计的基本步骤
信息系统审计的基本步骤好的,下面我要来和你讲一讲信息系统审计的基本步骤啦。
一、基本动作要领1. 审计计划制定- 首先呢,你得了解被审计的信息系统是干啥的。
就像你要了解一个人之前,得知道他是做什么工作的一样。
我得先搞清楚这个系统的业务范围,比如是财务管理系统,还是销售管理系统。
这时候会查看一些文档,像业务流程手册之类的,这一步很重要哟,记住了,要是这个没搞清楚,后面就容易瞎忙活。
- 确定审计目标,比如是要查这个系统的数据准确性呢,还是系统安全。
我之前就做错过,没有和客户确认好审计目标,结果做了一堆无用功。
然后就是要确定审计范围,这里可以简单地列一个清单,把要审计的模块、功能什么的都写上。
- 安排审计人员和时间也是这个阶段很重要的。
要根据任务量和人员的能力来分配,要是分给新手一些太复杂的部分,可能就会出问题。
好比让一个刚学做饭的人去做满汉全席,那肯定搞砸呀。
2. 初步调查- 这一步就要对被审计系统深入了解了。
要获取系统的架构图,如果没有的话,自己画一个简单的也行。
我就是这么做的,虽然画得不咋好看,但是很实用。
这个架构图能让你清楚地看到系统各个部分之间的关系,是服务器、数据库、应用程序怎么连接的。
- 和系统管理员聊天,这是个小技巧哦。
他们知道好多系统内部的小秘密。
问他们系统平时的运行情况,有没有经常出故障,哪些地方比较脆弱之类的。
不过要小心,有时候管理员可能会隐瞒一些问题,我就遇到过,所以要多方面印证他们说的话。
3. 风险评估- 识别系统面临的风险。
这就像是检查一个房子哪里可能漏雨一样。
可能是数据泄露风险,也可能是系统瘫痪风险。
我试过好多次,用一些风险矩阵的方法,把风险的可能性和影响程度列出来。
比如说对于银行系统,数据被篡改的风险可能性虽然可能低,但是影响程度极高,所以这是个很重要的风险。
- 评估现有的内部控制措施。
比如有没有密码保护啊,数据备份策略是怎样的。
很多小公司可能会忽视这一点,我见过一个公司,密码都是默认的,这就很危险。
信息系统审计(IT审计)操作流程(精)
信息系统审计(IT审计)操作流程(精)信息系统审计(IT审计操作流程一、审计计划阶段计划阶段是整个审计过程的起点。
其主要工作包括:(1了解被审系统基本情况了解被审系统基本情况是实施任何信息系统审计的必经程序,对基本情况的了解有助于审计组织对系统的组成、环境、运行年限、控制等有初步印象,以决定是否对该系统进行审计,明确审计的难度,所需时间以及人员配备情况等。
了解了基本情况,审计组织就可以大致判断系统的复杂性、管理层对审计的态度、内部控制的状况、以前审计的状况、审计难点与重点,以决定是否对其进行审计。
(2初步评价被审单位系统的内部控制及外部控制传统的内部控制制度是为防止舞弊和差错而形成的以内部稽核和相互牵制为核心的工作制度。
随着信息技术特别是以Internet为代表的网络技术的发展和应用,企业信息系统进一步向深层次发展,这些变革无疑给企业带来了巨大的效益,但同时也给内部控制带来了新的问题和挑战。
加强内部控制制度是信息系统安全可靠运行的有力保证。
依据控制对象的范围和环境,信息系统内控制度的审计内容包括一般控制和应用控制两类。
一般控制是系统运行环境方而的控制,指对信息系统构成要素(人、机器、文件的控制。
它已为应用程序的正常运行提供外围保障,影响到计算机应用的成败及应用控制的强弱。
主要包括:组织控制、操作控制、硬件及系统软件控制和系统安全控制。
应用控制是对信息系统中具体的数据处理活动所进行的控制,是具体的应用系统中用来预测、检测和更正错误和处置不法行为的控制措施,信息系统的应用控制主要体现在输入控制、处理控制和输出控制。
应用控制具有特殊性,不同的应用系统有着不同的处理方式和处理环节,因而有着不同的控制问题和不同的控制要求,但是一般可把它划分为:输入控制、处理控制和输出控制。
通过对信息系统组织机构控制,系统开发与维护控制,安全性控制,硬件、软件资源控制,输入控制,处理控制,输出控制等方而的审计分析,建立内部控制强弱评价的指标系统及评价模型,审计人员通过交互式人机对话,输入各评价指标的评分,内控制审计评价系统则可以进行多级综合审计评价。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统审计(IT审计操作流程
一、审计计划阶段
计划阶段是整个审计过程的起点。
其主要工作包括:
(1了解被审系统基本情况
了解被审系统基本情况是实施任何信息系统审计的必经程序,对基本情况的了解有助于审计组织对系统的组成、环境、运行年限、控制等有初步印象,以决定是否对该系统进行审计,明确审计的难度,所需时间以及人员配备情况等。
了解了基本情况,审计组织就可以大致判断系统的复杂性、管理层对审计的态度、内部控制的状况、以前审计的状况、审计难点与重点,以决定是否对其进行审计。
(2初步评价被审单位系统的内部控制及外部控制
传统的内部控制制度是为防止舞弊和差错而形成的以内部稽核和相互牵制为核心的工作制度。
随着信息技术特别是以Internet为代表的网络技术的发展和应用,企业信息系统进一步向深层次发展,这些变革无疑给企业带来了巨大的效益,但同时也给内部控制带来了新的问题和挑战。
加强内部控制制度是信息系统安全可靠运行的有力保证。
依据控制对象的范围和环境,信息系统内控制度的审计内容包括一般控制和应用控制两类。
一般控制是系统运行环境方而的控制,指对信息系统构成要素(人、机器、文件的控制。
它已为应用程序的正常运行提供外围保障,影响到计算机应用的成败及应用控制的强弱。
主要包括:组织控制、操作控制、硬件及系统软件控制和系统安全控制。
应用控制是对信息系统中具体的数据处理活动所进行的控制,是具体的应用系统中用来预测、检测和更正错误和处置不法行为的控制措施,信息系统的应用控制主要体现在输入控制、处理控制和输出控制。
应用控制具有特殊性,不同的应用系
统有着不同的处理方式和处理环节,因而有着不同的控制问题和不同的控制要求,但是一般可把它划分为:输入控制、处理控制和输出控制。
通过对信息系统组织机构控制,系统开发与维护控制,安全性控制,硬件、软件资源控制,输入控制,处理控制,输出控制等方而的审计分析,建立内部控制强弱评价的指标系统及评价模型,审计人员通过交互式人机对话,输入各评价指标的评分,内控制审计评价系统则可以进行多级综合审计评价。
通过内控制度的审计,实现对系统的预防性控制,检测性控制和纠正性控制。
(3识别重要性
为了有效实现审计目标,合理使用审计资源,在制定审计计划时,信息系统审计人员应对系统重要性进行适当评估。
对重要性的评估一般需要运用专业判断。
考虑重要性水平时要根据审计人员的职业判断或公用标准,系统的服务对象及业务性质,内控的初评结果。
重要性的判断离不开特定环境,审计人员必须根据具体的信息系统环境确定重要性。
重要性具有数量和质量两个方面的特征。
越是重要的子系统,就越需要获取充分的审计证据,以支持审计结论或意见。
(4编制审计计划
经过以上程序,为编制审计计划提供了良好准备,审计人员就可以据以编制总体及具体审计计划。
总体计划包括:被审单位基本情况;审计目的、审计范围及策略;重要问题及重要审计领域;工作进度及时间;审计小组成员分工;重要性确定及风险评估等。
具体计划包括:具体审计目标;审计程序;执行人员及时间限制等。
二、审计实施阶段
做好上诉材料的充分的准备,便可进行审计实施,具体包括以下内容:
(1对信息系统计划开发阶段的审计
对信息系统计划开发阶段的审计包括对计划的审计和对开发的审计,可以采用事中审计,也可以是事后审计。
比较而言事中审计更有意义,审计结果的得出利于故障、问题的及早发现,利于调整计划,利于开发顺序的改进。
信息系统计划阶段的关键控制点有:计划是否有明确的目的,计划中是否明确描述了系统的效果,是否明确了系统开发的组织,对整体计划进程是否正确预计,计划能否随经营环境改变而及时修正,计划是否制定有可行性报告,关于计划的过程和结果是否有文档记录等等。
系统开发阶段包括系统分析、系统设计、代码编写和系统测试三部分。
其中涉及包括功能需求分析、业务数据分析、总体框架设计、结构设计、代码设计、数据库设计、输入输出设计、处理流程及模块功能的设计。
编程时依据系统设计阶段的设计图及数据库结构和编码设计,用计算机程序语言来实现系统的过程。
测试包括动态测试和静态测试,是系统开发完毕,进入试运行之前的必经程序。
其关键控制点有:
分析控制点:是否己细致分析企业组织结构;是否确定用户功能和性能需求;是否确定用户的数据需求等。
设计控制点:设计界面是否方便用户使用;设计是否与业务内容相符;性能能否满足需要,是否考虑故障对策和安全保护等。
编程控制点:是否有程序说明书,并按照说明书进行编写;编程与设计是否相符,有无违背编程原则;程序作者是否进行自测;是否有程序作者之外的第三人进行测试;编程的书写、变量的命名等是否规范。
测试控制点:测试数据的选取是否按计划及需要进行,是否具有代表性;测试是否站在公正客观的立场进行,是否有用户参与测试;测试结果是否正确记录等。
(2对信息系统运行维护阶段的审计
对信息系统运行维护阶段的审计又细分为对运行阶段的审计和对维护阶段的审计。
系统运行过程的审计是在信息系统正式运行阶段,针对信息系统是否被正确操作和是否有效地运行,从而真正实现信息系统的开发目标、满足用户需求而进行的审计。
对信息系统运行过程的审计分为系统输入审计、通信系统审计、处理过程审计、数据库审计、系统输出审计和运行管理审计六大部分。
输入审计的关键控制点有:是否制定并遵守输入管理规则,是否有数据生成顺序、处理等的防错、保护措施、防错、保护措施是否有效等。
通信系统实施的是实际数据的传输,通信系统中,审计轨迹应记录输入的数据、传送的数据和工作的通信系统。
通信系统审计的关键控制点有:是否制定并遵守通信规则,对网络存取控制及监控是否有效等。
处理过程指处理器在接收到输入的数据后对数据进行加工处理的过程,此时的审计主要针对数据输入系统后是否被正确处理。
关键控制点有:被处理的数据,数据处理器,数据处理时间,数据处理后的结果,数据处理实现的目的,系统处理的差错率,平均无故障时间,可恢复性和平均恢复时间等。
数据库审计是保障数据库正确行使了其职能,如对数据操作的有效性和发生异常操作时对数据的保护功能(正确数据不丢失,数据回滚以保证数据的一致性。
其关键控制点有:对数据的存取控制及监视是否有效,是否记录数据利用状况,并定期分析,是否考虑数据的保护功能,是否有防错、保密功能,防错、保密功能是否有效等。
输出审计不同于测试阶段的输出审计,此时的输出是在实际数据的基础上进行的,对其进行审计可以对系统输出进行再控制,结合用户需求进行评价。
关键控制点有:输出信息的获取及处理时是否有防止不正当行为和机密保护措施,输出信息是否准确、及时,输出信息的形式是否被客户所接受,是否记录输出出错情况并定期分析等。
运行管理审计是对人机系统中人的行为的审计。
关键控制点有:操作顺序是否标准化,作业进度是否有优先级,操作是否按标准进行,人员交替是否规范,能否对预计于实际运行的差异进行分析,遇问题时能否相互沟通,是否有经常性培训与教育等。
维护过程的审计包括对维护计划、维护实施、改良系统的试运行和旧系统的废除等维护活动的审计。
维护过程的关键控制点有:维护组织的规模是否适应需要,人员分工是否明确,是否有一套管理机制和协调机制,维护过程发现的可改进点,维护是否得到维护负责人同意,是否对发现问题作了修正,维护记录是否有文档记载,是否定期分析,旧系统的废除是否在授权下进行等。
三、审计完成阶段
完成阶段是实质性的整个信息系统审计工作的结束,主要工作有:
整理、评价执行审计业务过程中收集到的证据。
在信息系统审计的现代化管理时期,收集到的数据己存储在管理系统中,审计人员只需对其进行分析和调用即可。
复核审计底稿,完成二级复核。
传统审计的三级复核制度对信息系统审计同样适用,它是保证审计质量、降低审计风险的重要措施。
一级复核是由信息系统审计项目组长在审计过程进行中对工作底稿的复核,这层复核主要是评价已完成的审计工作、所获得的工作底稿编制人员形成的结论;二级复核是在外勤工作结束时,由审计部门领导对工作底稿进行的重点复核。
在审计工作办公自动化的今天,二级复核制度同样可以通过网上报送及调用得以实现。
评价审计结果,形成审计意见,完成三级复核,编制审计报告。
评价审计结果主要是为了确定将要发表的审计意见的类型及在整个审计工作中是否遵循了独立审计准则。
信息系统审计人员需要对重要性和审计风险进行最终的评价。
这是审计人员决定发表何种类型审计意见的必要过程,所确定的可接受审计风险一定要有足够充分适当的审计证据支持。
签发审计报告之前,应当随工作底稿进行最终(三级复核,三级复核由审计部门的主任进行,主要复核所采用审计程序的恰当性、审计工作底稿的充分性、审计过程中是否存在重大遗漏、审计工作是否符合事务所的质量要求等。
三级复核制度的坚持是控制审计风险的重要手段。
审计报告是审计工作的最终成果,审计报告首先应有审计人员对被审系统的安全性、可靠性、稳定性、有效性的意见,同时提出改进建议。