一、審計計劃階段
計劃階段是整個審計過程的起點。其主要工作包括:
(1)了解被審系統基本情況了解被審系統基本情況是實施任何信息系統審計的必經程序,對基本情況的了解有助于審計組織對系統的組成、環境、運行年限、控制等有初步印象,以決定是否對該系統進行審計,明確審計的難度,所需時間以及人員配備情況等。了解了基本情況,審計組織就可以大致判斷系統的復雜性、管理層對審計的態度、內部控制的狀況、以前審計的狀況、審計難點與重點,以決定是否對其進行審計。
(2)初步評價被審單位系統的內部控制及外部控制傳統的內部控制制度是為防止舞弊和差錯而形成的以內部稽核和相互牽制為核心的工作制度。隨著信息技術特別網絡技術的發展和應用,企業信息系統進一步向深層次發展,這些變革無疑給企業帶來了巨大的效益,但同時也給內部控制帶來了新的問題和挑戰。加強內部控制制度是信息系統安全可靠運行的有力保證。依據控制對象的范圍和環境,信息系統內控制度的審計內容包括一般控制和應用控制兩類。一般控制是系統運行環境方而的控制,指對信息系統構成要素(人、機器、文件)的控制。它已為應用程序的正常運行提供外圍保障,影響到計算機應用的成敗及應用控制的強弱。主要包括:組織控制、操作控制、硬件及系統軟件控制和系統安全控制。應用控制是對信息系統中具體的數據處理活動所進行的控制,是具體的應用系統中用來預測、檢測和更正錯誤和處置不法行為的控制措施,信息系統的應用控制主要體現在輸入控制、處理控制和輸出控制。
應用控制具有特殊性,不同的應用系統有著不同的處理方式和處理環節,因而有著不同的控制問題和不同的控制要求,但是一般可把它劃分為:輸入控制、處理控制和輸出控制。通過對信息系統組織機構控制,系統開發與維護控制,安全性控制,硬件、軟件資源控制,輸入控制,處理控制,輸出控制等方而的審計分析,建立內部控制強弱評價的指標系統及評價模型,審計人員通過交互式人機對話,輸入各評價指標的評分,內控制審計評價系統則可以進行多級綜合審計評價。通過內控制度的審計,實現對系統的預防性控制,檢測性控制和糾正性控制。
(3)識別重要性為了有效實現審計目標,合理使用審計資源,在制定審計計劃時,信息系統審計人員應對系統重要性進行適當評估。對重要性的評估一般需要運用專業判斷。考慮重要性水平時要根據審計人員的職業判斷或公用標準,系統的服務對象及業務性質,內控的初評結果。重要性的判斷離不開特定環境,審計人員必須根據具體的信息系統環境確定重要性。重要性具有數量和質量兩個方面的特征。越是重要的子系統,就越需要獲取充分的審計證據,以支持審計結論或意見。
(4)編制審計計劃經過以上程序,為編制審計計劃提供了良好準備,審計人員就可以據以編制總體及具體審計計劃。總體計劃包括:被審單位基本情況;審計目的、審計范圍及策略;重要問題及重要審計領域;工作進度及時間;審計小組成員分工;重要性確定及風險評估等。具體計劃包括:具體審計目標;審計程序;執行人員及時間限制等。
二、審計實施階段
做好上訴材料的充分的準備,便可進行審計實施,具體包括以下內容:
(1)對信息系統計劃開發階段的審計對信息系統計劃開發階段的審計包括對計劃的審計和對開發的審計,可以采用事中審計,也可以是事后審計。比較而言事中審計更有意義,審計結果的得出利于故障、問題的及早發現,利于調整計劃,利于開發順序的改進。信息系統計劃階段的關鍵控制點有:計劃是否有明確的目的,計劃中是否明確描述了系統的效果,是否明確了系統開發的組織,對整體計劃進程是否正確預計,計劃能否隨經營環境改變而及時修正,計劃是否制定有可行性報告,關于計劃的過程和結果是否有文檔記錄等等。系統開發階段包括系統分析、系統設計、代碼編寫和系統測試三部分。其中涉及包括功能需求分析、業務數據分析、總體框架設計、結構設計、代碼設計、數據庫設計、輸入輸出設計、處理流程及模塊功能的設計。
編程時依據系統設計階段的設計圖及數據庫結構和編碼設計,用計算機程序語言來實現系統的過程。測試包括動態測試和靜態測試,是系統開發完畢,進入試運行之前的必經程序。其關鍵控制點有:分析控制點:是否己細致分析企業組織結構;是否確定用戶功能和性能需求;是否確定用戶的數據需求等。設計控制點:設計界面是否方便用戶使用;設計是否與業務內容相符;性能能否滿足需要,是否考慮故障對策和安全保護等。
編程控制點:是否有程序說明書,并按照說明書進行編寫;編程與設計是否相符,有無違背編程原則;程序作者是否進行自測;是否有程序作者之外的第三人進行測試;編程的書寫、變量的命名等是否規范。測試控制點:測試數據的選取是否按計劃及需要進行,是否具有代表性;測試是否站在公正客觀的立場進行,是否有用戶參與測試;測試結果是否正確記錄等。
(2)對信息系統運行維護階段的審計對信息系統運行維護階段的審計又細分為對運行階段的審計和對維護階段的審計。系統運行過程的審計是在信息系統正式運行階段,針對信息系統是否被正確操作和是否有效地運行,從而真正實現信息系統的開發目標、滿足用戶需求而進行的審計。對信息系統運行過程的審計分為系統輸入審計、通信系統審計、處理過程審計、數據庫審計、系統輸出審計和運行管理審計六大部分。輸入審計的關鍵控制點有:是否制定并遵守輸入管理規則,是否有數據生成順序、處理等的防錯、保護措施、防錯、保護措施是否有效等。通信系統實施的是實際數據的傳輸,通信系統中,審計軌跡應記錄輸入的數據、傳送的數據和工作的通信系統。通信系統審計的關鍵控制點有:是否制定并遵守通信規則,對網絡存取控制及監控是否有效等。處理過程指處理器在接收到輸入的數據后對數據進行加工處理的過程,此時的審計主要針對數據輸入系統后是否被正確處理。關鍵控制點有:被處理的數據,數據處理器,數據處理時間,數據處理后的結果,數據處理實現的目的,系統處理的差錯率,平均無故障時間,可恢復性和平均恢復時間等。
數據庫審計是保障數據庫正確行使了其職能,如對數據操作的有效性和發生異常操作時對數據的保護功能(正確數據不丟失,數據回滾以保證數據的一致性)。其關鍵控制點有:對數據的存取控制及監視是否有效,是否記錄數據利用狀況,并定期分析,是否考慮數據的保護功能,是否有防錯、保密功能,防錯、保密功能是否有效等。輸出審計不同于測試階段的輸出審計,此時的輸出是在實際數據的基礎上進行的,對其進行審計可以對系統輸出進行再控制,結合用戶需求進行評價。關鍵控制點有:輸出信息的獲取及處理時是否有防止不正當行為和機密保護措施,輸出信息是否準確、及時,輸出信息的形式是否被客戶所接受,是否記錄輸出出錯情況并定期分析等。
運行管理審計是對人機系統中人的行為的審計。關鍵控制點有:操作順序是否標準化,作業進度是否有優先級,操作是否按標準進行,人員交替是否規范,能否對預計于實際運行的差異進行分析,遇問題時能否相互溝通,是否有經常性培訓與教育等。維護過程的審計包括對維護計劃、維護實施、改良系統的試運行和舊系統的廢除等維護活動的審計。
維護過程的關鍵控制點有:維護組織的規模是否適應需要,人員分工是否明確,是否有一套管理機制和協調機制,維護過程發現的可改進點,維護是否得到維護負責人同意,是否對發現問題作了修正,維護記錄是否有文檔記載,是否定期分析,舊系統的廢除是否在授權下進行等。
三、審計完成階段
完成階段是實質性的整個信息系統審計工作的結束,主要工作有:整理、評價執行審計業務過程中收集到的證據。在信息系統審計的現代化管理時期,收集到的數據己存儲在管理系統中,審計人員只需對其進行分析和調用即可。復核審計底稿,完成二級復核。傳統審計的三級復核制度對信息系統審計同樣適用,它是保證審計質量、降低審計風險的重要措施。一級復核是由信息系統審計項目組長在審計過程進行中對工作底稿的復核,這層復核主要是評價已完成的審計工作、所獲得的工作底稿編制人員形成的結論;二級復核是在外勤工作結束時,由審計部門領導對工作底稿進行的重點復核。在審計工作辦公自動化的今天,二級復核制度同樣可以通過網上報送及調用得以實現。評價審計結果,形成審計意見,完成三級復核,編制審計報告。評價審計結果主要是為了確定將要發表的審計意見的類型及在整個審計工作中是否遵循了獨立審計準則。信息系統審計人員需要對重要性和審計風險進行最終的評價。
這是審計人員決定發表何種類型審計意見的必要過程,所確定的可接受審計風險一定要有足夠充分適當的審計證據支持。簽發審計報告之前,應當隨工作底稿進行最終(三級)復核,三級復核由審計部門的主任進行,主要復核所采用審計程序的恰當性、審計工作底稿的充分性、審計過程中是否存在重大遺漏、審計工作是否符合事務所的質量要求等。三級復核制度的堅持是控制審計風險的重要手段。審計報告是審計工作的最終成果,審計報告首先應有審計人員對被審系統的安全性、可靠性、穩定性、有效性的意見,同時提出改進建議。
四 、IT審計要求
|
|
范圍
|
所需資料、文件
|
要求
|
|
1
|
公司層面控制
|
·?????? ?IT 部門架構圖、IT 人員職責說明
·?????? IT 預算、策略和年度規劃 (2005-2007 年)
·?????? ?IT 內部、IT ?與業務部門、IT 與管理層之會議記錄
·?????? ?與第三方供貨商之服務協議 (若 IT 服務外判)
·?????? ?IT 風險評估制度和報告
·?????? ?財務系統與其它系統間之數據流程圖
·?????? ?IT 內部審計報告和審計發現之跟進
|
1、?? 完整清晰的部門架構以及職員職責說明;
2、?? 有完善的費用預算機制,有經過授權并正式簽發的費用預算文件;有與公司戰略相匹配的IT策略及每年的年度規劃;
3、?? 內部、與業務部門、與管理層之間的會議記錄;
4、?? 簽訂相關服務合同;
5、?? 完善的風險評估機制,或引進專業風險評估機構;
6、?? 提供數據流程圖;
7、?? 應建立內審機制并定期內審,以輔助外審,建議引進專業機構定期內審。
|
|
2
|
信息安全
|
信息安全制度、用戶信息安全意識
|
·?????? 信息技術安全規章制度
·?????? ?令員工充份了解信息技術安全規章制度的措施
·?????? 信息安全培訓記錄
|
1、?? ?制定完善的安全規章制度,并采取廣泛的宣傳措施將該制度灌輸至每位公司職員。
2、?? ?規章制度寫入員工手冊并印發,新員工入職便能了解公司要求,并做定期培訓,做好培訓記錄。
|
|
物理安全
|
·?????? 機房物理安全規章
·?????? ?保安設施
?(如門禁系統、訪客記錄)
|
1、物理要求:門禁系統、煙霧報警器(置于地板夾層或頂棚夾層)、監控、UPS、空調(接UPS)、干粉滅火器、防火防水裝修材料;
2、機房管理:專人管理鑰匙、有訪客記錄、機柜門應上鎖;
3、服務器管理:密碼變更設置(文檔/流程/頻率)、密碼策略(windows/sql用戶密碼強制策略、windows帳號鎖定策略、密碼長度8位以上、歷史密碼6次)、windows界面自動鎖定、應急管理/流程(備用鑰匙、密碼文件密封置于機房上鎖的柜子中或密封的信封里面);
4、機房顯眼處應有機房管理制度;
|
|
用戶權限設定
|
·?????? 用戶系統權限的列表
·?????? ?用戶設置不同系統權限之制度和審批等步驟
·?????? ?不同權限是否顯示在用戶申請表上
(需抽樣申請表格 – 參見附注)
|
1、?? 用戶權限組有詳細的權限定義;
2、?? 完整的用戶帳號增加、修改、刪除審批流程;
3、?? 用戶帳號審批流程中應體現具體的權限選擇;
|
|
用戶設定制度
|
·?????? ?增加、更改、刪除系統用戶的步驟
·?????? ?用戶部門及
?IT 部門審批程序, 申請表格之處理和保存 (需抽樣申請表格, 可和上面的樣本相同)
|
1、完整的用戶帳號增加、修改、刪除審批流程;
2、有與人力資源中心提供的入職、離職名單相匹配的用戶帳號增加、刪除記錄;
|
|
系統密碼設定
|
·?????? ?系統密碼設定 (應用系統層、操作系統層、網絡層、數據庫)
·?????? ?密碼長度
·?????? ?密碼最大更改日數
·?????? ?密碼復雜性
·?????? ?可重用舊密碼次數
·?????? ?鎖定用戶前之容許錯誤登錄次數
|
1、密碼長度應大于8位、應由字母和數字組成或者再區分大小寫、客戶端密碼變更的頻率應有控制(如30天強制要求變更密碼);
2、錯誤密碼登陸次數應不超過3次,且系統應用提示信息;
3、密碼修改時應不允許與原密碼相同的密碼進行修改操作,應有歷史密碼控制策略;
4、對各種不同密碼的變更頻率及設置要求等應有完整的密碼管理制度;
|
|
用戶權限審閱
|
·?????? ?用戶系統權限之定時審閱和復核, 及有關記錄 (需抽樣各階段之文件及記錄– 參見附注)
|
1、對系統用戶帳號的申請及權限分配等,應有定期進行復核的操作,并有相關文檔記錄,且文檔應由相關領當定期審閱;
|
|
超級用戶
|
·?????? ?應用系統、操作系統、數據庫超級用戶的申請、管理、使用審核的步驟和記錄
·?????? ?擁有超級用戶的人員名單
|
1、對系統超級用戶的使用應有審批授權制度,并有相匹配的流程;
2、對擁有超級用戶權限的人員應嚴格控制;
|
|
3
|
系統變更
|
系統變更管理
|
·?????? 系統變更管理規章制度
·?????? ?系統變更審批、開發、測試 (用戶及
?IT) 之步驟及記錄 (需抽樣各階段之文件及記錄– 參見附注)
|
1、要求有完整的系統變更流程,流程中包括緊急變更的處理流程;
2、變更過程中應有各種表單支持,如用戶申請、上級審批、開發需求、IT測試、用戶測試、實施記錄、用戶簽收等相關表單;
3、測試環境與正式業務系統環境應有嚴格區分,并有證據證明(可截圖說明);
4、緊急變更中應體現允許時候補走流程的內容;
5、系統中應有系統變更的日志記錄,以方便查詢歷史變更;
|
|
系統變更上線
|
·?????? ?系統變更上線審批之步驟及記錄 (需抽樣文件及記錄– 參見附注)
·?????? ?開發人員和上線人員之分工 (開發人員沒有生產環境之權限) 之證明
·?????? ?開發環境和測試環境之邏輯或物理分開之證明
|
|
參數變更
|
·?????? ?應用系統、操作系統、數據庫系統參數變更管理規章制度
·?????? ?系統變更審批、測試 (用戶及 IT) 之步驟及記錄 (需抽樣各階段之文件及記錄– 參見附注)
|
|
緊急變更
|
·?????? ?無法循正常變更流程的緊急變更管理規章制度、審批、測試 (用戶及
?IT) 之步驟及記錄 (需抽樣各階段之文件及記錄– 參見附注)
|
|
4
|
系統開發
(如適用)
|
系統開發方法論
|
·?????? ?系統開發方法論
|
|
|
系統開發流程
|
·?????? ?系統開發流程 (審批、開發、測試、上線)
|
|
|
數據轉換
|
·?????? ?數據轉換制度 (審批、測試、方案制定)
|
|
|
5
|
信息技術運作
|
批處理工作
|
·?????? ?日常系統批處理工作監察 (需抽樣批處理核對清單– 參見附注)
|
對于批量處理的事務應有完整的流程相匹配,如需要對數據源的確認、批處理完成后數據的校對。
|
|
備份制度
|
·?????? ?系統備份制度、核對 (需抽樣備份核對清單– 參見附注)
|
1、完整在備份制度,包括數據備份及系統備份;
2、每天的自動備份文件應保留6天以上而不能每天自動覆蓋;且要有每天的備份任務執行情況的檢查記錄;
3、應有多重的備份機制,如本地磁盤備份、磁帶備份、光碟備份、異地備份;
4、應有完善的備用環境,如異地雙機熱備;
5、對備份介質應定期進行恢復測試,有相關業務部門進行確定數據的準確性,并保留相關記錄,該記錄要求有用戶、信息部門、管理層簽字確認;
6、異地備份的物理環境應同于實際業務環境,以確保實際環境發生意外時備用環境能立即切換啟用;
7、對于異地備份根據區域的不同可有不同的定義,不一定要求在5公里以上的間隔距離;
|
|
·?????? ?備份定期恢復測試制度和記錄 (需抽樣備份恢復測試記錄– 參見附注)
|
|
·?????? 異地備份制度
·?????? ?異地備份之物理安全 (需抽樣異地備份轉移記錄)
|
|
用戶問題管理
|
·?????? ?用戶就系統有關問題之管理制度、問題處理、問題嚴重性分級、上報機制、問題匯總和審核制度 (需抽樣問題處理記錄– 參見附注)
|
1、對問題管理應有完善的機制,包括問題收集、匯總,按嚴重性、緊急性分級,以及上報機制。
2、問題的處理應有跟蹤反饋機制,確保問題被及時有效解決。
|
|
6
|
最終用戶應用程序管理
|
·?????? 對與財務報告有關之重要最終用戶應用程序之管理制度 (如用戶編制含 Macro 等程序之 Excel, Access 等)
?(如適用)
|
1、相關軟件的使用權(即正版軟件)的購買應在預算中體現,并有購買的憑證;
2、對禁止使用盜版軟件應有嚴格規定并依此執行;
|
說明:本文部分文字與圖片資源來自于網絡,分享此文是出于傳遞更多信息之目的,若有來源標注錯誤或侵犯了您的合法權益,請立即后臺留言通知我們,情況屬實,我們會第一時間予以刪除,并同時向您表示歉意。
(部分內容來源網絡,如有侵權請聯系刪除)
