信息系统审计(IT审计)操作流程(精)资料

信息系统审计(IT审计操作流程

一、审计计划阶段

计划阶段是整个审计过程的起点。其主要工作包括:

(1了解被审系统基本情况

了解被审系统基本情况是实施任何信息系统审计的必经程序,对基本情况的了解有助于审计组织对系统的组成、环境、运行年限、控制等有初步印象,以决定是否对该系统进行审计,明确审计的难度,所需时间以及人员配备情况等。

了解了基本情况,审计组织就可以大致判断系统的复杂性、管理层对审计的态度、内部控制的状况、以前审计的状况、审计难点与重点,以决定是否对其进行审计。

(2初步评价被审单位系统的内部控制及外部控制

传统的内部控制制度是为防止舞弊和差错而形成的以内部稽核和相互牵制为核心的工作制度。随着信息技术特别是以Internet为代表的网络技术的发展和应用,企业信息系统进一步向深层次发展,这些变革无疑给企业带来了巨大的效益,但同时也给内部控制带来了新的问题和挑战。加强内部控制制度是信息系统安全可靠运行的有力保证。依据控制对象的范围和环境,信息系统内控制度的审计内容包括一般控制和应用控制两类。

一般控制是系统运行环境方而的控制,指对信息系统构成要素(人、机器、文件的控制。它已为应用程序的正常运行提供外围保障,影响到计算机应用的成败及应用控制的强弱。主要包括:组织控制、操作控制、硬件及系统软件控制和系统安全控制。

应用控制是对信息系统中具体的数据处理活动所进行的控制,是具体的应用系统中用来预测、检测和更正错误和处置不法行为的控制措施,信息系统的应用控制主要体现在输入控制、处理控制和输出控制。应用控制具有特殊性,不同的应用系

统有着不同的处理方式和处理环节,因而有着不同的控制问题和不同的控制要求,但是一般可把它划分为:输入控制、处理控制和输出控制。

通过对信息系统组织机构控制,系统开发与维护控制,安全性控制,硬件、软件资源控制,输入控制,处理控制,输出控制等方而的审计分析,建立内部控制强弱评价的指标系统及评价模型,审计人员通过交互式人机对话,输入各评价指标的评分,内控制审计评价系统则可以进行多级综合审计评价。通过内控制度的审计,实现对系统的预防性控制,检测性控制和纠正性控制。

(3识别重要性

为了有效实现审计目标,合理使用审计资源,在制定审计计划时,信息系统审计人员应对系统重要性进行适当评估。对重要性的评估一般需要运用专业判断。考虑重要性水平时要根据审计人员的职业判断或公用标准,系统的服务对象及业务性质,内控的初评结果。重要性的判断离不开特定环境,审计人员必须根据具体的信息系统环境确定重要性。重要性具有数量和质量两个方面的特征。越是重要的子系统,就越需要获取充分的审计证据,以支持审计结论或意见。

(4编制审计计划

经过以上程序,为编制审计计划提供了良好准备,审计人员就可以据以编制总体及具体审计计划。

总体计划包括:被审单位基本情况;审计目的、审计范围及策略;重要问题及重要审计领域;工作进度及时间;审计小组成员分工;重要性确定及风险评估等。

具体计划包括:具体审计目标;审计程序;执行人员及时间限制等。

二、审计实施阶段

做好上诉材料的充分的准备,便可进行审计实施,具体包括以下内容:

(1对信息系统计划开发阶段的审计

对信息系统计划开发阶段的审计包括对计划的审计和对开发的审计,可以采用事中审计,也可以是事后审计。比较而言事中审计更有意义,审计结果的得出利于故障、问题的及早发现,利于调整计划,利于开发顺序的改进。

信息系统计划阶段的关键控制点有:计划是否有明确的目的,计划中是否明确描述了系统的效果,是否明确了系统开发的组织,对整体计划进程是否正确预计,计划能否随经营环境改变而及时修正,计划是否制定有可行性报告,关于计划的过程和结果是否有文档记录等等。

系统开发阶段包括系统分析、系统设计、代码编写和系统测试三部分。其中涉及包括功能需求分析、业务数据分析、总体框架设计、结构设计、代码设计、数据库设计、输入输出设计、处理流程及模块功能的设计。编程时依据系统设计阶段的设计图及数据库结构和编码设计,用计算机程序语言来实现系统的过程。测试包括动态测试和静态测试,是系统开发完毕,进入试运行之前的必经程序。其关键控制点有:

分析控制点:是否己细致分析企业组织结构;是否确定用户功能和性能需求;是否确定用户的数据需求等。

设计控制点:设计界面是否方便用户使用;设计是否与业务内容相符;性能能否满足需要,是否考虑故障对策和安全保护等。

编程控制点:是否有程序说明书,并按照说明书进行编写;编程与设计是否相符,有无违背编程原则;程序作者是否进行自测;是否有程序作者之外的第三人进行测试;编程的书写、变量的命名等是否规范。

测试控制点:测试数据的选取是否按计划及需要进行,是否具有代表性;测试是否站在公正客观的立场进行,是否有用户参与测试;测试结果是否正确记录等。

(2对信息系统运行维护阶段的审计

对信息系统运行维护阶段的审计又细分为对运行阶段的审计和对维护阶段的审计。系统运行过程的审计是在信息系统正式运行阶段,针对信息系统是否被正确操作和是否有效地运行,从而真正实现信息系统的开发目标、满足用户需求而进行的审计。对信息系统运行过程的审计分为系统输入审计、通信系统审计、处理过程审计、数据库审计、系统输出审计和运行管理审计六大部分。

输入审计的关键控制点有:是否制定并遵守输入管理规则,是否有数据生成顺序、处理等的防错、保护措施、防错、保护措施是否有效等。

通信系统实施的是实际数据的传输,通信系统中,审计轨迹应记录输入的数据、传送的数据和工作的通信系统。通信系统审计的关键控制点有:是否制定并遵守通信规则,对网络存取控制及监控是否有效等。

处理过程指处理器在接收到输入的数据后对数据进行加工处理的过程,此时的审计主要针对数据输入系统后是否被正确处理。关键控制点有:被处理的数据,数据处理器,数据处理时间,数据处理后的结果,数据处理实现的目的,系统处理的差错率,平均无故障时间,可恢复性和平均恢复时间等。

数据库审计是保障数据库正确行使了其职能,如对数据操作的有效性和发生异常操作时对数据的保护功能(正确数据不丢失,数据回滚以保证数据的一致性。其关键控制点有:对数据的存取控制及监视是否有效,是否记录数据利用状况,并定期分析,是否考虑数据的保护功能,是否有防错、保密功能,防错、保密功能是否有效等。

输出审计不同于测试阶段的输出审计,此时的输出是在实际数据的基础上进行的,对其进行审计可以对系统输出进行再控制,结合用户需求进行评价。关键控制点有:输出信息的获取及处理时是否有防止不正当行为和机密保护措施,输出信息是否准确、及时,输出信息的形式是否被客户所接受,是否记录输出出错情况并定期分析等。

运行管理审计是对人机系统中人的行为的审计。关键控制点有:操作顺序是否标准化,作业进度是否有优先级,操作是否按标准进行,人员交替是否规范,能否对预计于实际运行的差异进行分析,遇问题时能否相互沟通,是否有经常性培训与教育等。

维护过程的审计包括对维护计划、维护实施、改良系统的试运行和旧系统的废除等维护活动的审计。维护过程的关键控制点有:维护组织的规模是否适应需要,人员分工是否明确,是否有一套管理机制和协调机制,维护过程发现的可改进点,维护是否得到维护负责人同意,是否对发现问题作了修正,维护记录是否有文档记载,是否定期分析,旧系统的废除是否在授权下进行等。

三、审计完成阶段

完成阶段是实质性的整个信息系统审计工作的结束,主要工作有:

整理、评价执行审计业务过程中收集到的证据。在信息系统审计的现代化管理时期,收集到的数据己存储在管理系统中,审计人员只需对其进行分析和调用即可。

复核审计底稿,完成二级复核。传统审计的三级复核制度对信息系统审计同样适用,它是保证审计质量、降低审计风险的重要措施。一级复核是由信息系统审计项目组长在审计过程进行中对工作底稿的复核,这层复核主要是评价已完成的审计工作、所获得的工作底稿编制人员形成的结论;二级复核是在外勤工作结束时,由审计部门领导对工作底稿进行的重点复核。在审计工作办公自动化的今天,二级复核制度同样可以通过网上报送及调用得以实现。

评价审计结果,形成审计意见,完成三级复核,编制审计报告。评价审计结果主要是为了确定将要发表的审计意见的类型及在整个审计工作中是否遵循了独立审计准则。信息系统审计人员需要对重要性和审计风险进行最终的评价。这是审计人员决定发表何种类型审计意见的必要过程,所确定的可接受审计风险一定要有足够充分适当的审计证据支持。签发审计报告之前,应当随工作底稿进行最终(三级复核,三级复核由审计部门的主任进行,主要复核所采用审计程序的恰当性、审计工作底稿的充分性、审计过程中是否存在重大遗漏、审计工作是否符合事务所的质量要求等。

三级复核制度的坚持是控制审计风险的重要手段。审计报告是审计工作的最终成果,审计报告首先应有审计人员对被审系统的安全性、可靠性、稳定性、有效性的意见,同时提出改进建议。

涉密计算机信息系统的安全审计

涉密计算机信息系统的安全审计 来源：CIO时代网 一、引言 随着网络的发展，网络信息的安全越来越引起世界各国的重视，防病毒产品、防火墙、入侵检测、漏洞扫描等安全产品都得到了广泛的应用，但是这些信息安全产品都是为了防御外部的入侵和窃取。随着对网络安全的认识和技术的发展，发现由于内部人员造成的泄密或入侵事件占了很大的比例，所以防止内部的非法违规行为应该与抵御外部的入侵同样地受到重视，要做到这点就需要在网络中实现对网络资源的使用进行审计。 在当今的网络中各种审计系统已经有了初步的应用，例如：数据库审计、应用程序审计以及网络信息审计等，但是，随着网络规模的不断扩大，功能相对单一的审计产品有一定的局限性，并且对审计信息的综合分析和综合管理能力远远不够。功能完整、管理统一，跨地区、跨网段、集中管理才是综合审计系统最终的发展目标。 本文对涉密信息系统中安全审计系统的概念、内容、实现原理、存在的问题、以及今后的发展方向做出了讨论。 二、什么是安全审计 国内通常对计算机信息安全的认识是要保证计算机信息系统中信息的机密性、完整性、可控性、可用性和不可否认性(抗抵赖)，简称“五性”。安全审计是这“五性”的重要保障之一，它对计算机信息系统中的所有网络资源(包括数据库、主机、操作系统、安全设备等)进行安全审计，记录所有发生的事件，提供给系统管理员作为系统维护以及安全防范的依据。安全审计如同银行的监控系统，不论是什么人进出银行，都进行如实登记，并且每个人在银行中的行动，乃至一个茶杯的挪动都被如实的记录，一旦有突发事件可以快速的查阅进出记录和行为记录，确定问题所在，以便采取相应的处理措施。 近几年，涉密系统规模不断扩大，系统中使用的设备也逐渐增多，每种设备都带有自己的审计模块，另外还有专门针对某一种网络应用设计的审计系统，如：操作系统的审计、数据库审计系统、网络安全审计系统、应用程序审计系统等，但是都无法做到对计算机信息系统全面的安全审计，另外审计数据格式不统一、审计分析规则无法统一定制也给系统的全面综合审计造成了一定的困难。如果在当前的系统条件下希望全面掌握信息系统的运行情况，就需要对每种设备的审计模块熟练操作，并且结合多种专用审计产品才能够做到。 为了能够方便地对整个计算机信息系统进行审计，就需要设计综合的安全审计系统。它的目标是通过数据挖掘和数据仓库等技术，实现在不同网络环境中对网络设备、终端、数据资源等进行监控和管理，在必要时通过多种途径向管理员发出警告或自动采取排错措施，并且能够对历史审计数据进行分析、处理和追踪。主要作用有以下几个方面： 1. 对潜在的攻击者起到震慑和警告的作用; 2. 对于已经发生的系统破坏行为提供有效的追究证据; 3. 为系统管理员提供有价值的系统使用日志，从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞; 4. 为系统管理员提供系统的统计日志，使系统管理员能够发现系统性能上的不足或需要改进和加强的地方。 三、涉密信息系统安全审计包括的内容 《中华人民共和国计算机信息系统安全保护条例》中定义的计算机信息系统，是指由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。涉密计算机信息系统(以下简称“涉密信息系统”)在《计算机信息系统保密管理暂行规定》中定义为：采集、存储、处理、传递、输出国家秘密信息的计算机信息系统。所以针对涉密信息系统的安全审计的内容就应该

内部审计工作流程

内部审计工作流程 为了规范公司内部审计工作，明确内部审计个环节的工作关系和程序，保证公司审计监督体系正常有效运行，根据公司审计制度及其实施细则，制定本流程。 一、审计计划地制定 投资审计部根据公司要求要结合公司本年经营情况，于年末制定下年度总体审计计划。资产管理部根据年度计划及实际情况制定具体实施计划及实施方案，报公司总经理批准，同时报公司考核部门及投资审计部备案，并组织实施。 二、审计项目的选择 1、审计项目的选择依据： 1）管理层安排的专项审计 2）内部有关部门移送 3）群众举报或上级交办的 4）根据历史资料筛选 5）根据分析、调研资料筛选 6）根据其他情况确定的 2、所确定的审计对象根据来源的不同分为：日常参与式审计、专项审计、专案 审计。 3、审计项目的选择依据的资料： 1）公司会计报表及相关附属资料 2）审计的历史资料 3）公司的各项管理制度、章程等管理文件 4）财务部、企划部、人力资源部、销售部、生产、车间等相互传送的相关资料。 5）公司的各项通报、重大违规违法事件等。 6）税务部门、银行、工商、法院、检察院、海关、公安、业务客户、公司股东等传送的资料等 7）审计部门掌握基要求报送的资料等。 4、选择审计对象时，应将下列单位和个人作为重点：

1）曾经发生过多次违规违纪行为的单位和个人 2）群众举报、上级交办及有关部门转办的单位和个人 3）部门业务明显异常，与历史同期下滑或上升较多的单位 4）对公司资产、资金可能产生风险的财务部门、销售部门、采购部门、基建部门、仓储部门等 5）列入公司单项考核的部门 6）较长时间没有接受审计的部门 7）群众较为关心、领导较为关注的部门 8）亏损较严重或业绩较差的部门 三、审计实施准备 1、资产管理部根据审计计划，确定审计单位，并建立项目管理档案，拟定具体 计划及实施方案，拟定<审计通知单>，报董事长批准后执行。 2、董事长批准后，需要缓办或撤销的审计项目，应拟定缓办或撤销报告，报董 事长批准。 3、在审计过程中，对应有其他相关部门协助调查的事项，应填写《转办单》, 请其他部门协助完成审计任务。 4、审计部门在进行审计工作时应出示<审计通知单>，被审计单位接到<审计通 知单>后，应准备审计资料，提供便利条件协助配合审计人员完成审计工作。 5、实施审计工作时，应组成审计小组，由审计负责人领导组织实施审计工作。 审计人员应按照程序或权限实施审计。 6、审计人员应按照程序或权限实施审计前，可以调阅被审计单位资料，以熟悉 情况，制定方案。 7、审计人员应按照程序或权限实施审计前，应提前书面通知被审计单位，但以 下情况不得提前通知对方： 1）预先通知有碍检查的 2）被举报单位疑有重大违法行为的 3）被举报单位可能存在舞弊等行为的 四、审计实施 1.审计人员可根据实际情况，采取询问调查、实地查账、实物查验、流程复核、

信息系统审计中需要注意的环节-2019年文档

信息系统审计中需要注意的环节 信息系统审计，是指国家审计机关依法对被审计单位信息系统的真实性、合法性、效益性和安全性进行检查监督的活动。审计的主要目标是通过检查和评价被审计单位信息系统的安全性、可靠性和经济性，揭示信息系统存在的问题，提出完善信息系统控制的审计意见和建议，促进被审计单位信息系统实现组织目标；同时，通过检查和评价信息系统产生数据的真实性、完整性和正确性，防范和控制审计风险。本人就近几年参与信息化系统审计的经历，对审计过程中需要注意的环节做一些探讨。 一、信息系统项目的选择 对信息系统项目的选择一般要考虑到几点：信息系统作为一个独立的项目来开展审计还是把信息系统作为一个子项目来审计；信息系统项目是被审计单位的核心业务，信息系统审计与常规审计的目标一致或相关，两者关联密切，能够相互补充，如医院的收费业务系统、企业的ERP系统等；项目已完工结算正常运行，这样便于对项目进行整体的审计评价；项目涉及资金量较大，涉及部门和人员较多，内部控制存在问题；信息系统项目为本地区公益民生项目，例如“金保”工程、天网工程等。 二、做好审前调查，确定审计重点 审前调查是审计的重要组成部分，直接关系到审计方案如何制定、如何安排审计人员以及审计风险是否可控。审前调查的内

容一般应包含：（1）调查了解被审计单位相关经济业务活动所依赖信息系统的业务内容、业务流程、业务规模、资金流和信息流等；（2）调查了解信息系统的总体框架、技术架构、业务实现流程、数据运行流程、系统功能结构、系统网络结构和应用部署模式等；（3）调查了解信息系统建设的项目管理、投资管理、绩效评估情况和文档资料；（4）调查了解被审计单位信息化项目建设规划和标准、基本管理制度和单位绩效目标。 在调查了解的基础上，深入分析被审计单位信息部门在该单位的职责地位以及部门人员的具体分工；项目中如何划定信息人员、管理人员和财务使用人员之间的职责分工；被审计单位业务流程与信息化的耦合度如何；信息系统业务流程涉及的主要部门，权限分配如何；检查被审计单位信息机房设备是否符合标准要求，数据库等软件的国产化程度和程序数据接口标准；单位系统和数据安全评估等级；被审计单位在财务上如何与业务数据进行对接，是否数据上保持一致；数据恢复和备份情况等。通过以上分析，关注信息系统中的一些关键环节、容易忽略的地方，把握整体，抓住主要问题，避免审计风险。例如审计医院的业务系统，应该关注医院各个部门的工作职责、整个的药品流程、医疗项目收费流程和处方流程等。 三、审计内容和方法 信息系统审计的内容一般有应用控制、一般控制和项目管理审计。审计当中要看具体情况，内容的侧重点由被审计单位信息

审计管理信息系统解决方案

审计管理信息系统解决方案

一、企业目前在审计管理上面临的问题 随着集团型企业的不断发展，内部审计已成为现代企业管理的重要组成部分，对完善企业内部自我约束机制，深化企业改革，建立现代企业制度作出了巨大贡献。但是，目前很多企业的内部审计从机构设置、工作重点、审计范围、规范管理等方面还存在一些问题，主要表如下： 资源压力，效率低下 目前，大多数集团型企业面临多种审计需求，工作量巨大，审计工作面临多组织、多地域问题，难以组织协调，无法兴盛统一的资源和计划管理。 标准、方法不一致 集团型企业分子公司、分支机构审计方式不统一，存在一个组织，多种方法的问题。审计标准不统一，风险难以被有效控制。业务的不断变化，而审计业务没有创新和改变，难以应对变化。 审计能力不能持续提升 审计过程中，不能有效地获取、积累、沉淀知识,各组织审计知识不能有效共享，导致审计人员能力不能得到很好的提升。 审计绩效及监督体制不完善 企业没有有效的审计绩效考核方案，审计发现问题后，没有有效的监督整改机制。 风险意识薄弱

审计方式以事后审计为主，大多为“补救式”管理，审计质量提升不明显，导致没有有效的进行风险预警。 二、审计管理信息系统的概述 北京慧点科技开发有限公司（以下简称：慧点科技）的审计管理信息系统，为集团型企业的审计部门借助信息化手段，助力内部审计业务和管理全面提升提供了保障。慧点科技的审计管理信息系统可以帮助审计部门更好地履行内部审计职能，并且在实施审计项目、进行审计管理的过程中，对相关的审计业务操作与各类管理信息进行过程留痕，使客户能够更加方便的对审计过程中的各类信息进行统计分析，实现审计知识的积累，为审计项目实施和审计工作流程管理提供支持工具。 慧点审计管理信息系统按照集团型企业审计工作特点量身定制，建立了审计计划管理、审计资源管理、审计作业管理、审计业务分析等功能模块，功能和整合能力达到国际领先水平，不仅实现了集团型企业信息化的跨越式发展，为审计业务发展所需要的“治理结构”、“人力资源”、“工作实务”、“绩效评估及质量保证”、“技术”、“沟通和汇报”、“知识管理”等七个要素的发展提供了技术支撑。 三、审计管理信息系统架构说明 慧点管理信息系统分为多个层次，包括信息门户与展现层、业务系统应用层、应用支撑与工具层、基础设施层等4个层面，身份和授权管理贯穿于各个层面， 如下图所示：

简述信息系统审计的主要内容--(出自第七单元)

第1页（共3页） 管理学作业答题纸 管理信息系统作业02（第5-8单元）答题纸 学籍号：姓名：分数： 学习中心：专业：____________ 本次作业满分为100分。请将每道题的答案写在对应题目下方的横线上。 题目1 [50 分] 答：内部控制制度审计：为了保证信息系统能够安全可靠地运行，严格内部控制 制度十分必要，它可以保证数据功能所产生的信息具有正确性、完整性、及时性 和有效性。 应用程序审计：计算机应用程序审计是信息系统审计的重要内容，这是因为企业 处理经济业务的目的、原则和方法都体现在计算机程序之中，他们是否执行国家 的方针政策，是否执行财经纪律和制度也往往在应用程序中体现出来。 数据文件审计：数据文件审计包括由打印机打印出来的数据文件和存储在各种介 质之上的数据文件的审计，包括会计凭证、会计帐本和会计报表，需要通过信息 技术进行测试。主要包括三个方面： 测试信息系统数据文件安全控制的有效性； 测试信息系统数据文件安全控制的可靠性； 测试信息系统数据文件安全控制的真实性和准确性。 处理系统综合审计：对信息系统中的硬件功能、输入数据、程序和文件４个因素 进行综合的审计，以确定其可靠性和准确性。 系统开发审计： 指对信息系统开发过程进行审计。包括两个目的：一是要检查开发的方法和程序 是否科学合理，是否受到恰当的控制；

第2页（共3页）二是要检查开发过程中产生的系统资料和凭证是否符合规范。 题目2 [50 分] 答：(1) 模块 通常是指用一个名字就可以调用的一段程序语句为物理模块。 在模块结构图中，用长方形框表示一个模块，长方形中间标上能反映模块处理功 能的模块名字。 模块名通常由一个动词和一个作为宾语的名词组成。 (2) 调用 模块间用箭头线联接，箭尾表示调用模块，箭头表示被调用模块。箭尾菱形表示 有条件调用，弧形箭头表示循环调用。 调用关系有：直接调用、条件调用（判断调用）和循环调用（重复调用）。(3) 数据 模块之间数据的传递，使用与调用箭头平行的带空心圆的箭头表示，并在旁边标 上数据名。箭头方向表示数据传送方向。 (4) 控制信息 为了指导程序下一步的执行，模块间有时还必须传送某些控制信息，例如，数据 输入完成后给出的结束标志。 控制信息与数据的主要区别是前者只反映数据的某种状态，不必进行处理。在模 块结构图中，用带实心圆点的箭头表示控制信息。 其中专业理论知识内容包括：保安理论知识、消防业务知识、职业道德、法律常识、保安礼仪、救护知识。作技能训练内容包括：岗位操作指引、勤务技能、消防技能、军事技能。 二．培训的及要求培训目的 安全生产目标责任书

内部审计完整流程体系

内部审计的完整流程体系 内部审计五大流程包括审前准备、审计实施、审计报告、后续审计和成果运用。审计方法不仅仅是取证方法，而且是一个完整的体系。审计人员与被审人员都有各自的心态表现，审计人员应及时掌握被审人员的心态，并适时调整自己的心态，恰当运用审计方法，以便能做好审计工作。 一直以来，理论界与实务界对内部审计流程与方法没有确切的说法。总是照搬照抄政府审计或民间审计，这是内部审计界的一大欠缺。笔者对其进行深入探讨，以期与同行交流，对实务界有所帮助。 一、审前准备工作 (一)整体内容框架 (二)主要工作 1 编制年度审计计划应该关注的因素

单位组织年度内经济工作的中心问题;单位组织重大政策措施落实情况及存在的问题;经营管理中存在的突出问题和难点问题;群众普遍关注或反映强烈的热点问题;以往审计发现的比较突出、影响较大的问题;具体审计项目先后顺序安排;审计资源(人员数量、审计耗时与审计经费)的合理分配;后续审计的必要安排。 2 项目审计计划的内容 审计目标;审计范围;重要性;审计风险评估;审计小组构成;审计时间分配;专家与外部审计工作结果的利用等。 3 审计前的调查内容 经营活动情况;内部控制设计与运行情况;财务会计资料;重要合同、协议及会议记录;上次审计结论、建议及后续审计执行情况;上次外部审计意见等。 4 审计方案的内容 具体审计目的;具体审计方法和程序;预定执行人及执行日期等。 5 审计通知书的内容 被审计单位及审计项目名称;审计目的;审计范围;审计时间;被审计单位应提供的具体资料和必要协助;审计小组名单;审计机构及负责人签章和签发日期。(附件包括：被审计单位承诺书、被审计单位提供资料清单、审计文书送达回证。 二、审计实施工作

信息系统安全审计管理制度

信息系统安全审计管理制度 第一章工作职责安排 第一条安全审计员职责 1.制定信息安全审计的范围和曰程； 2.管理详尽的审计过程； 3.分析审计结果并提出对信息安全管理体系的改进意见； 4.召开审计启动会议和审计总结会议； 5.向主管领导汇报审计的结果及建议； 6.为相关人员提供审计培训。 第二条评审员甶审计负责人指派，协助主评审员进行评审,其职责是： 1.准备审计清单； 2.实施审计过程； 3.完成审计拫告； 4.提交纠正和预防措施建议； 5.审查纠正和预防措施的执行情况。 第三条受审员来自相关部门 1.配合评审员的审计工作； 2.落实纠正和预防措施； 3.提交纠正和预防措施的实施报告。 第二章审计计划的制订 第四条审计计划应包括以下内容：

1.审计的目的； 2.审计的范围； 3.审计的准则； 4.审计的时间； 5.主要参与人员及分工情况。 第五条制定审计计划应考虑以下因素： 1.每年应进行至少一次涵盖所有部门的审计； 2.当进行巨大变更后（如架抅、业务方向等)，需要进行一次涵盖所有部门的审计。 第三草安全审计实施 第六条审计的准备 1 .评审员需事先了解审计范围相关的安全策略、标准和程序; 2.准备审计清单，其内容主要包括： (1)需要访问的人员和调查的问题； (2)需要查看的文档和记录（包括日志)； (3)需要现场查看的安全控制措施。 第七条在进行实际审计前，召开启动会议，其内容主要包括: 1,评审员与受审员一起确认审计计划和所采用的审计方式,如在审计的内容上有异议，受审员应提出声明（例如：限制可访问的人员、可调查的系统等）； 2.向受审员说明审计通过抽查的方式来进行。

信息系统审计国内研究综述

信息系统审计国内研究综述

信息系统审计国内研究综述 摘要：系统地回顾了1999年―2011年国内关于信息系统审计相关文献，并从国外信息系统审计的理论与发展、信息系统审计基础理论研究、信息系统审计应用研究这三个方面对信息系统审计文献进行了述评，最后在文献综述的基础上，提出了对我国信息系统审计研究的启示。 关键词：信息系统；信息系统审计；文献综述 中图分类号： F49 文献标识码：A 文章编号：1672-3198（2011）16-0048-02 我国对信息系统审计的研究是随着审计事业的恢复而逐步发展起来的。早在20世纪90年代，学术界就开始了这一领域的探索和研究，并取得了一批研究成果。就研究内容来说，国内对于信息系统审计的研究大致可以分为研究国外信息系统审计的理论与发展、信息系统审计基础理论研究、信息系统审计应用研究三类。 1 研究国外信息系统审计的理论与发展 我国的信息系统审计研究相对于国外起步较晚，最初阶

段主要是翻译和介绍国外的研究，并对我国的信息系统审计建设作一些指导性的建议。其中比较有代表性的有以下成果： 胡晓明等（2006）系统地研究了COBIT4.0标准产生的背景、整体框架以及核心内容，并把它与COBIT3rd版本进行了简要对比，就如何以COBIT4.0为蓝本，整合商业目标与IT目标，指导IT治理实践作了一定的分析。他认为实施COBIT标准，从IT治理的角度为企业管理层提供了一个新的视角，有助于实现IT治理目标与商业目标的战略统一。 胡克瑾等（2008）建立了COBIT4.1中IT过程的通用描述模型，再分别定量考察过程模型的五个元素，得出过程的成熟度。通过对成熟度的汇总分析，得出对组织IT治理总体现状的认识，并明确了改进方向；再通过敏感性分析和回溯分析。帮助管理层选择IT治理改进方案，细化行动细则。 王会金，刘国城（2009）在阐述COBIT模型的基础上，分析了其在中观经济主体信息系统重大错报风险评估中的 应用，并从规范审计行为的角度研究了其在完善当前我国信息系统审计准则方面的指导作用。 2 信息系统审计基础理论研究 2.1 关于信息系统审计、计算机审计

全过程审计工作流程

附件 全过程审计工作流程 一、施工招标发包流程 （一）基本建设处结合工程设计进展情况，按年度基建计划要求，在工程项目施工招标工作实施前30个工作日向审计处发出《浙江大学建设工程施工招标通知书》。 （二）审计处开展全过程审计的，应在工程项目施工招标工作实施前向基本建设处发出《浙江大学建设工程全过程审计通知书》。 （三）基本建设处接到通知后向审计处报送招标施工图、招标进度计划和其他相关资料。 （四）基本建设处应在招标公告前10个工作日，将签署初步定稿意见的施工招标文件、工程量清单报送审计处。审计处应在5个工作日内出具审计意见和建议。 （五）基本建设处将修改完善后定稿的施工招标文件、工程量清单、招标施工图送交审计处备案。 （六）基本建设处应在发布招标控制价前5个工作日，将编制的工程预算报送审计处，审计处参与招标答疑和控制价的确定。 （七）基本建设处应在询标前5个工作日，将中标候选人的投标文件资料（必要时，还可包括第二、三名投标人的投标文件资料）报送审计处，审计处提出意见和建议并参与

招标询标。 （八）基本建设处应在发出中标通知书后15个工作日内，将中标人的投标文件资料送交审计处备案。 对于招标限额以下直接采购发包的工程，基本建设处核实施工单位送审竣工结算资料的完整性、准确性后将初步确定的结算审核价报送审计处，审计处应及时复审并提出意见和建议。 二、工程施工管理流程 （一）施工合同（包括发包、供货和安装及其补充合同）1．基本建设处将签署初步定稿意见的施工合同报送审计处。 2．审计处应在5个工作日内提出审计意见和建议。 3．基本建设处在合同签订后的3个工作日内将合同文本送交审计处备案。 （二）图纸会审 1．基本建设处应在图纸会审前5个工作日，将相关资料报送审计处。 2. 审计处参与图纸会审。 3. 基本建设处应将图纸会审纪要初稿报送审计处，审计处应于5个工作日内提出审计意见和建议。 （三）隐蔽工程 1．基本建设处应在隐蔽工程封闭前2个工作日，以书面形式通知审计处。

审计培训内容

财务报表的审计 审计所需的文件、资料、凭证 审计的法律基础、原则 审计师的责任及审计错误的修正 审计报告的结构组成 需做审计的公司类别 （二） ?何为审计？ 1?审计:是由独立的专门机构或人员接受委托或根据授权，对国家行政、事业单位和企业 单位及其 他经济组织的会计报表和其他资料及其所反映的经济活动进行审查 并发 表意见。 美国会计学会（AAA ）在颁布的“基本审计概念说明”的公告中，把审计概念描 述为：“为确定关于经济行为及经济现象的结论和所制定的标准之间的一致程度， 从而对这种结论有关的证据进行客观收集、 评定，并将结果传达到给利害关系人的 有组织的过程。 1.1审计的分类 按照审计目的和内容的不同，审计划分为会计报表审计、合规审计和经营审计。 1.2为何企业将《财务报告》送去做审计？ 审计的目的 1） 一般目的 是注册会计师对被审计单位的会计报表进行审计并发表审计意见 .会计报表是现代审 计的支柱，注册会计师尤其如此.从目前看来，企业编制和向外提供的会计报表包括资产 负债表、利润表、现金流量表和有关附表.编制这些会计报表所依据的会计资料包括有 关的会计凭证、帐簿及所反映的经济业务 ? 2） 特殊目的 指会计师对被审计单位按照特殊编制基础编制的会计报表或其他会计信息进行审计 并发表意见.除了对会计报表进行一般的审计外 ，还接受委托进行特殊目的的审计 ? 1.3审计师是如何做审计的 ？ 审计的过程：. ［了解被审计单位的基本情况 计划阶段' 签定业 务约定书 编制审计计划 实施阶段 | 「整理证据 完成阶段-复核 I.汇总，出具审计报告 三、报表审计： （一）概念 报表的审计

信息系统审计(IT审计)操作流程(精)资料

信息系统审计(IT审计操作流程 一、审计计划阶段 计划阶段是整个审计过程的起点。其主要工作包括: (1了解被审系统基本情况 了解被审系统基本情况是实施任何信息系统审计的必经程序,对基本情况的了解有助于审计组织对系统的组成、环境、运行年限、控制等有初步印象,以决定是否对该系统进行审计,明确审计的难度,所需时间以及人员配备情况等。 了解了基本情况,审计组织就可以大致判断系统的复杂性、管理层对审计的态度、内部控制的状况、以前审计的状况、审计难点与重点,以决定是否对其进行审计。 (2初步评价被审单位系统的内部控制及外部控制 传统的内部控制制度是为防止舞弊和差错而形成的以内部稽核和相互牵制为核心的工作制度。随着信息技术特别是以Internet为代表的网络技术的发展和应用,企业信息系统进一步向深层次发展,这些变革无疑给企业带来了巨大的效益,但同时也给内部控制带来了新的问题和挑战。加强内部控制制度是信息系统安全可靠运行的有力保证。依据控制对象的范围和环境,信息系统内控制度的审计内容包括一般控制和应用控制两类。 一般控制是系统运行环境方而的控制,指对信息系统构成要素(人、机器、文件的控制。它已为应用程序的正常运行提供外围保障,影响到计算机应用的成败及应用控制的强弱。主要包括:组织控制、操作控制、硬件及系统软件控制和系统安全控制。 应用控制是对信息系统中具体的数据处理活动所进行的控制,是具体的应用系统中用来预测、检测和更正错误和处置不法行为的控制措施,信息系统的应用控制主要体现在输入控制、处理控制和输出控制。应用控制具有特殊性,不同的应用系

统有着不同的处理方式和处理环节,因而有着不同的控制问题和不同的控制要求,但是一般可把它划分为:输入控制、处理控制和输出控制。 通过对信息系统组织机构控制,系统开发与维护控制,安全性控制,硬件、软件资源控制,输入控制,处理控制,输出控制等方而的审计分析,建立内部控制强弱评价的指标系统及评价模型,审计人员通过交互式人机对话,输入各评价指标的评分,内控制审计评价系统则可以进行多级综合审计评价。通过内控制度的审计,实现对系统的预防性控制,检测性控制和纠正性控制。 (3识别重要性 为了有效实现审计目标,合理使用审计资源,在制定审计计划时,信息系统审计人员应对系统重要性进行适当评估。对重要性的评估一般需要运用专业判断。考虑重要性水平时要根据审计人员的职业判断或公用标准,系统的服务对象及业务性质,内控的初评结果。重要性的判断离不开特定环境,审计人员必须根据具体的信息系统环境确定重要性。重要性具有数量和质量两个方面的特征。越是重要的子系统,就越需要获取充分的审计证据,以支持审计结论或意见。 (4编制审计计划 经过以上程序,为编制审计计划提供了良好准备,审计人员就可以据以编制总体及具体审计计划。 总体计划包括:被审单位基本情况;审计目的、审计范围及策略;重要问题及重要审计领域;工作进度及时间;审计小组成员分工;重要性确定及风险评估等。 具体计划包括:具体审计目标;审计程序;执行人员及时间限制等。 二、审计实施阶段 做好上诉材料的充分的准备,便可进行审计实施,具体包括以下内容: (1对信息系统计划开发阶段的审计

稽核审计部业务流程优化方案分析

稽核审计部业务流程优化方案 一、部门目前存在的问题 新公司成立以来，稽核审计工作取得了很大成绩。到今年6月底，我部已全部完成对公司所属118家营业部的例行审计，在摸清公司家底、遏制违规违纪、揭示风险隐患等方面发挥了重要的作用。但稽核审计工作也存在出一些亟待解决的问题。 1、审计效率 具体表现在以下两个方面： ——快速反应能力不足 对由于监管环境的变化、业务创新、管理模式变革等原因造成的公司风险分布变化及风险点的转移，没有建立相应的跟踪监控机制。 对重大突发事件的发生，没有建立一套快速反应机制，未能在最短的时间内完成调查取证并向公司提出处理意见。 ——常规审计项目周期过长 从项目准备到报告送出的整个项目周期过长，大多数项目超过一个月，个别项目甚至超过两个月。一些项目后期制作阶段（包括报告制作与审理）所花的时间超过现场审计时间，个别项目后期制作时间甚至超过现场审计耗时一倍以上。 2、审计质量 具体表现在以下几个方面： ——审计遗漏 自2000年以来实施的二百多个项目中，存在一些虽经审计而未被发现的违规违纪情况。应该承认，审计对象有其固有的风险，审计手段有其必然的局限，但审计程序与审计技术方面的合理性与完善性仍是一个值得检讨的问题。 ——审计报告时效性差 由于审计周期过长，审计报告递出的时候往往已经事过境迁，对公司经营管

理的参考作用难以得到有效发挥。 ——审计评价权威性不强 由于据以作出审计评价的法律法规及公司政策规定有不明确之处，理解上有时又不尽一致，加之没有统一规范的审计评价标准，存在对发生在不同营业部的类似事件，审计评价与审计建议不尽相同的情况。 ——审计成果附加值不高 我们目前的审计报告大多仍止于对单个经营单位的财务、经营数据的罗列以及对其违规违纪事实的简单描述，缺乏对问题产生原因的深刻探索，也缺乏站在全局高度，对公司整体或某个业务领域的经营情况及风险控制效果的综合分析。 3、审计的广度与深度不够 目前我部仍以营业部为主要审计对象，对总部业务部门的审计基本上限于个别离任审计，对总部管理部门的审计还是空白，审计的范围没有覆盖公司全部的风险点。 已经开展的审计项目基本上属于传统的财务审计范畴，以差错防弊及确定资产的安全性、会计记录的真实性与完整性为主要目标。以评价资源利用的有效性为主要特征的经营管理审计，目前尚未展开。 4、审计效能未能充分发挥 审计项目结束后，审计报告在上报公司领导的同时，以审计意见书的形式，将审计过程中发现的问题及改进建议下达给被审计单位，并将相关情况通报公司有关管理部门。但对被审计单位接到审计意见书以后的整改情况及整改效果，我部目前尚缺乏完整的跟踪程序与监督措施。 对审计过程中发现的具有一定普遍性的问题，未能及时进行归纳总结并与公司有关部门沟通协商，以便适时采取措施。 5、审计人员的业务素质、知识结构与审计工作的需要不完全适应 审计人员一般对营业部的经纪业务较为熟悉，对常规财务审计技术能够熟练掌握。但多数审计人员对非经纪业务（如投行业务、证券投资业务、资产管理业务等）了解不多，对非财务报表审计技术（如工程审计、信息系统审计等）缺乏必要的理论准备与实践经验。

信息系统审计指南(COBIT-中文版)

COBIT信息技术审计指南(34个控制目标) 计划和组织（选择3/6/11） 1 定义战略性的信息技术规划（PO1）PO域 控制的IT过程： 定义战略性的IT规划 满足的业务需求： 既要谋求信息技术机遇和IT业务需求的最佳平衡，又要确保其进一步地完成 实现路线： 在定期从事的战略规划编制过程中，要逐渐形成长期的计划，长期的计划应定期地转化成设置清晰并具体到短期目的的操作计划 需要考虑的事项： 企业的业务发展战略 IT如何支持业务目标的明确定义 技术解决方案和当前基础设施的详细清单 追踪技术市场 适时的可行性研究和现实性检查 已有系统的评估 在风险、进入市场的时机、质量方面，企业所处的位置 需要高级管理层出钱、支持和必不可少的检查 信息规范 IT资源 P 效果 * 人员 S 效率 * 应用 保密 * 技术 完整 * 设施 可用 * 数据 遵从 可靠 1.1 作为机构长期和短期计划一部分的IT 高级管理层对开发和实施履行机构任务和目标的长期和短期的计划负责。在这一方面，高级管理层应 确保IT有关事项以及机遇被适当地评估，并将结果反映到机构的长期和短期计划之中。IT的长期、短期 计划应被开发，确保IT的运用同机构的使命与业务发展战略相结合。 1.2 IT 长期计划 IT管理层和业务过程的所有者要对有规律地开发支持机构总体使命和目的实现的IT长期计划负责。计划编制的方法应包括寻求来自受IT战略计划影响的相关内外部利害关系人引入的机制。相应地，管理层应执行一个长期计划的编制过程，

采用一种结构化的方法，并建立一个标准的计划结构。 1.3 IT 长期计划编制——方法与结构 对于长期计划的编制过程来讲，IT管理层和业务过程的所有者应建立并采用一种结构化的方法。这样可以制定出高质量的计划，含盖什么、谁、怎样、什么时间和为什么等基本的问题。IT计划的编制过程应考虑风险评估的结果，包括业务、环境、技术和人力资源的风险。计划编制期间，需要考虑和充分投入的方面包括：机构的模式及其变化、地理的分布、技术的发展、成本、法律法规的要求、第三方或市场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外包、数据、应用系统和技术体系结构。已做出选择的好处应被明确地确定下来。IT 长期和短期计划应使绩效指标和目标合并在一起。计划本身还应参考其它的计划，比如机构的质量计划和信息风险管理计划。 1.4 IT 长期计划的变更 IT管理层和业务过程所有者应确保及时、准确地修改IT长期计划的过程的到位，以适应机构长期计划的变化和IT环境的变化。管理层应建立一个IT长期和短期计划开发和维护所需要的政策。 1.5 IT 功能的短期计划编制 IT管理层和业务过程的所有者应确保IT长期计划有规律地转换成IT短期计划。这样的短期计划应确保适当的IT功能资源以与IT长期计划内容相一致的基础上来分配。短期计划应定期地进行再评估，并被作为适应正在变化的业务和IT环境所必须的事项而改进。可行性研究的及时执行应确保短期计划的实行是被充分地启动的。 1.6 IT 计划的交流 管理层应确保IT长期和短期计划同业务过程所有者以及跨越机构的其他相关部门人员的充分沟通。 1.7 IT 计划的监控和评估 管理层应建立一个流程，获取和报告来自业务过程所有者和用户有关长期和短期计划的质量及有效性的反馈。获取的反馈应予以评估，并在将来的IT计划编制中加以考虑。 1.8 现有系统的评估 在开发或变更战略规划或长期计划、IT计划之前，IT管理层应按照业务自动化的程度、功能性、稳定性、复杂性、成本、优势和劣势，评估现有信息系统，以确定现有系统支持机构业务需求的程度。 对高级和详细的控制目标进行审计： 获得了解： 访谈：

《审计信息管理系统》使用介绍

《审计信息管理系统》使用说明 第一章概述 欢迎使用《审计信息管理系统》，本文介绍《审计信息管理系统》的使用方法。本系统是针对XXX市审计局日常行政办公、信息管理和设计的应用系统，充分考虑了XXX市审计局的办公内容、行文流程、组织结构等相关内容，给用户提供丰富、完整、方便的功能，正确处理企业日常工作中的各种常规事务，如收文、发文、信息管理、信访管理、档案管理等，通过对各种办公过程的流程化分析、图形表示、自动控制行文流转过程，提高办公效率，保证日常工作高效、规范的进行，实现无纸化办公。 本系统主要以审计项目的实施与管理为核心，同时提供人事管理和各科室之间的信息交换功能，方便领导和各科室成员迅速掌握当前工作的内容和工作进度。 本系统使用了高度安全的Lotus Notes/Domino R5作为开发平台，能适应用户在不同环境和条件下的需求，有着极为可靠的安全性。本系统有广泛的适用性。它是标准的工作流办公自动化软件，稍加改进即可与其他企事业单位自身组织机构相配置，用户单位无需更改现有组织机构，可快速部署整个系统，迅速从中获得效率提升。 第二章主界面 一、启动审计信息管理系统 办公自动化系统的启动，操作员单击［开始］→［程序］→［Lotus 应用程序］→［Lotus Notes］，系统会出现一对话框（如图2-1），输入正确的口令，系统就会进入审计信息管理系统主界面。 图2-1

如果操作员要选择其它的人员的ID（即以其他人员的身份登录，前提是直到其他人员的密码），操作员可单击［取消］，系统会弹出（如图2-2）的对话框，操作员从中挑选需要的ID，再输入正确的口令，系统就以他的身份进入审计信息管理系统主界面。 图2-2 二、主界面的操作 打开Lotus Notes，《审计信息管理系统》的主界面（如图2-3）自动作为缺省首页出现。主界面上有8个标题，分别是打开以下8个功能模块的链接：人事管理、文件审批、审批进度、审计档案、综合查询、流转定稿、电子邮件和文档模板。 图2-3 退出办公自动化系统，用户只需单［退出］即可。

信息安全审计报告

涉密计算机安全保密审计报告 审计对象：xx计算机审计日期：xxxx年xx月xx日审计小组人员组成：姓名：xx 部门：xxx 姓名：xxx 部门：xxx 审计主要内容清单： 1. 安全策略检查 2. 外部环境检查 3. 管理人员检查 审计记录 篇二：审计报告格式 审计报告格式 一、引言 随着网络的发展，网络信息的安全越来越引起世界各国的重视，防病毒产品、防火墙、 入侵检测、漏洞扫描等安全产品都得到了广泛的应用，但是这些信息安全产品都是为了防御 外部的入侵和窃取。随着对网络安全的认识和技术的发展，发现由于内部人员造成的泄密或 入侵事件占了很大的比例，所以防止内部的非法违规行为应该与抵御外部的入侵同样地受到 重视，要做到这点就需要在网络中实现对网络资源的使用进行审计。 在当今的网络中各种审计系统已经有了初步的应用，例如：数据库审计、应用程序审计 以及网络信息审计等，但是，随着网络规模的不断扩大，功能相对单一的审计产品有一定的 局限性，并且对审计信息的综合分析和综合管理能力远远不够。功能完整、管理统一，跨地 区、跨网段、集中管理才是综合审计系统最终的发展目标。 本文对涉密信息系统中安全审计系统的概念、内容、实现原理、存在的问题、以及今后 的发展方向做出了讨论。 二、什么是安全审计 国内通常对计算机信息安全的认识是要保证计算机信息系统中信息的机密性、完整性、 可控性、可用性和不可否认性(抗抵赖)，简称“五性”。安全审计是这“五性”的重要保障之 一，它对计算机信息系统中的所有网络资源(包括数据库、主机、操作系统、安全设备等)进 行安全审计，记录所有发生的事件，提供给系统管理员作为系统维护以及安全防范的依据。 安全审计如同银行的监控系统，不论是什么人进出银行，都进行如实登记，并且每个人在银 行中的行动，乃至一个茶杯的挪动都被如实的记录，一旦有突发事件可以快速的查阅进出记 录和行为记录，确定问题所在，以便采取相应的处理措施。 近几年，涉密系统规模不断扩大，系统中使用的设备也逐渐增多，每种设备都带有自己 的审计模块，另外还有专门针对某一种网络应用设计的审计系统，如：操作系统的审计、数 据库审计系统、网络安全审计系统、应用程序审计系统等，但是都无法做到对计算机信息系 统全面的安全审计，另外审计数据格式不统一、审计分析规则无法统一定制也给系统的全面 综合审计造成了一定的困难。如果在当前的系统条件下希望全面掌握信息系统的运行情况， 就需要对每种设备的审计模块熟练操作，并且结合多种专用审计产品才能够做到。 为了能够方便地对整个计算机信息系统进行审计，就需要设计综合的安全审计系统。它 的目标是通过数据挖掘和数据仓库等技术，实现在不同网络环境中对网络设备、终端、数据 资源等进行监控和管理，在必要时通过多种途径向管理员发 出警告或自动采取排错措施，并且能够对历史审计数据进行分析、处理和追踪。主要作 用有以下几个方面： 1. 对潜在的攻击者起到震慑和警告的作用; 2. 对于已经发生的系统破坏行为提供有效的追究证据; 3. 为系统管理员提供有价值的系统使用日志，从而帮助系统管理员及时发现系统入侵行 为或潜在的系统漏洞; 4. 为系统管理员提供系统的统计日志，使系统管理员能够发现系统性能上的不足或需要 改进和加强的地方。

内部审计工作流程

内部审计工作流程一、一般项目审计工作流程图

二、结算/部门审计工作流程图

三、工作要点说明 （一）审计立项 审计立项是指确定具体的内部审计项目，即审计对象。审计对象包括公司下属的各分子公司，各职能部门、各项经营活动或项目、系统等。审计立项需报分管领导审批通过后方可实施，立项依据包括但不限于以下三个方面： 1、审计部通过对公司的经营活动进行系统地分析风险来制定年度内部审计工作计划表，经批准后逐项实施； 2、由公司董事长、董事会（审计委员会）下达的计划外的专项审计任务； 3、由被审计单位提出审计要求，经批准实施审计业务。 （二）审计准备 1、确定具体项目审计工作目标与范围。审计的范围、内容包括但不限于： （1）公司内部控制系统的恰当性、有效性，通常涵盖公司经营活动中与财务报告和信息披露事务相关的所有业务环节，包括但不限于：销售及收款、采购及付款、存货管理、固定资产管理、资金管理、投资与融资管理、人力资源管理、信息系统管理和信息披露事务管理等 （2）财务会计信息、资料的准确性、完整性、可靠性，具体内容包括货币资金审计、债权债务审计、成本费用审计、个人借款专项审计、固定资产审计、存货审计、财务报表审计等 （3）经营活动的效率和效果 （4）对经营过程中遵守相关法规、政策、流程、计划、预算、决算、程序、合同协议等遵循、执行情况 （5）专项审计

2、收集、研究审计对象的背景资料 （1）被审计单位的性质、规模、经营范围、股权结构和资产负债等基本概况（2）组织架构、人员编制、业务构成等资料 （3）财务报表、预算资料、银行账户及其他有关的财务资料 （4）与审计事项有关的内部控制制度、业务流程和职责分工 （5）公司章程、重要经济合同、协议、会议纪要等日常运营资料和有关的政策法规等 （6）以前接受审计情况 （7）当审计对象为某一项目、系统时，背景资料主要指其立项资料、预算资料、合同及相关责任人资料等 3、确定项目审计人员 不同的审计项目要求审计人员具备不同的知识和技能，应根据实际业务的需要，安排适当的审计人员，成立审计小组，指定审计项目负责人，初步确定审计时间，并对审计工作进行具体的安排。 （三）编写审计方案 审计项目实施前，一般应编制审计方案。审计组应根据审计项目的要求和被审计单位具体情况，确定审计目标和审计重点，编制审计方案。在被审计单位背景资料不全或实施突击性检查等情况下，审计人员也可以在审计过程中制订和完善审计方案。特殊情况，可直接开展审计工作。 审计方案是对从审前调查、组成审计组到出具审计报告整个过程中基本工作内容的综合规划，在发出审计通知书之前召开审计小组会议讨论通过审计方案，并应由审计部负责人审核批准；实施联合审计的，各模块的审计内容由相应的协

信息系统审计

信息系统审计 电子数据处理系统发展分为三阶段：数据的单项处理阶段(1953-1965)、数据的综合处理阶段（1965-1970）、数据的系统处理阶段（1970年以后），对传统审计产生了巨大的影响，主要表现在（1）对审计线索的影响：传统的审计线索缺失；EDP下：数据处理、存储电子化，不可见，难辨真伪。（2）对审计方法和技术的影响：技术方法复杂化；EDP下：利用计算机——审计技术变得复杂化（3）对审计人员的影响：知识构成要求发生变化；EDP下：会计、审计、计算机等知识和技能（4）对审计准则的影响：信息化下审计准则与标准的缺失；EDP下：在原有审计准则的基础上，建立一系列新的准则（5）对内部控制的影响：内部控制方式发生改变：传统方式下：强调对业务活动及会计活动使用授权批准和职责分工等控制程序来保证。EDP下：数据处理根据既定的指令程序自动进行，信息的处理和存储高度集中于计算机，控制依赖于计算机信息系统，控制方式发生改变。 2、信息系统审计的定义：指根据公认的标准和指导规范，对信息系统从计划、研发、实施到运行维护各个环节进行审查评价，对信息系统及其业务应用的完整、效能、效率、安全性进行监测、评估和控制的过程，以确认预定的业务目标得以实现，并提出一系列改进建议的管理活动。 3、信息系统审计的特点（1）审计范围的广泛性（2）审计线索的隐蔽性、易逝性（3）审计取证的动态性（4）审计技术的复杂性：首先，由于不同被审单位的信息系统所配备的计算机设备各式各样，各个机器的功能各异，所配备的系统软件也各不相同。审计人员在审计过程中，必然要和计算机的硬件和系统软件打交道，各种机型功能不一，配备的系统软件各异，必然增加了审计技术的复杂性，其次，由于不同被审单位的业务规模和性质不同，所采用的数据处理及存储方式也不同，不同的数据处理，存储方式，审计所采用的方法、技术也不同。此外，不同被审单位其应用软甲你的开发方式、软件开发的程序设计语言也不尽相同，不同开发方式以及用不同的程序设计语言开发的应用软件，其审计方法与技术也不一样。 4、信息系统审计的目标：（1）保护资产的完整性：信息系统的资产包括硬件、软件、设备、人员、数据文件、系统档案等；（2）保证数据的准确性：数据准确性是指数据能满足规定的条件，防止粗无信息的输入和输出，一级非授权状态下的修改信息所造成的无效操作和错误后果；（3）提高系统的有效性：系统的有效性表明系统能否获得预期的目标；（4）提高系统的效率性：系统效率是指系统达到预定目标所消耗的资源，一个效率高的信息系统能够以尽量少的资源达到需要的目标；（5）保证信息系统的合规性合法性：信息系统及其运用必须遵守有关法律、法规和规章制度。 5、信息系统审计的主要内容：内部控制系统审计内部控制系统包括一般控制系统（包含组织控制、系统开发控制、系统安全控制、硬件和系统软件控制等方面）应用控制系统（输入、处理、输出）；系统开发审计；应用程序审计（决定了数据处理的合规性、正确性目的：一是测试应用控制系统的符合性；二是通过检查程序运行和逻辑的正确性达到实质性测试目的。测试应用控制的符合性是指对嵌入应用程序中的控制措施进行测试，看它们是否按设计要求在运行和起作用）；数据文件审计（目的：一是数据文件进行实质性测试；而是通过数据文件的审计，测试一般控制或应用控制的复合型，但数据文件审计主要是为了实质性测试） 6、基本方法：绕过信息系统审计：基于黑箱（Black box）原理，审计人员不审查系统内的程序和文件，只审查I/O数据及其管理制度。优点：审计技术简单、较少干扰被审系统。缺点：审计结果不太可靠、要求I/O联系紧密 通过信息系统审计：基于黑箱（Black box）原理，审计人员不审查系统内的程序和文件，只审查I/O数据及其管理制度。优点：审计技术简单、较少干扰被审系统。缺点：审计结果不太可靠、要求I/O联系紧密。 7、步骤：准备阶段（明确审计任务、组成信息系统小组、了解被审系统的基本情况、制定