您的位置:360文档中心› 信息系统审计系列之—

信息系统审计系列之—

合集下载

信息系统审计报告.

信息系统审计报告.
信息系统审计报告
审计目的
使审计活动对运行系统的影响最小化:涉及运行系统验证的审计要求和活动,宜谨慎地加以规划并取得批准,以便最小化业务过程的中断。
审计范围
服务器、应用系统等
审计依据
ISO/IEC 27001:2022标准;
适用的信息安全法律法规;
公司的信息安全管理体系文件。
审核日期
审计人
审计方法:
定期上官网查询是否有补丁或者漏洞扫描,及时更新系统;现场操作查是否出现缓慢、中断的现象。
审计结果:
财务系统、云服务器、应用系统等运行正常,未发现问题。
审计人:
管代意见:同意
签署:

第2203号内部审计具体准则——信息系统审计

第2203号内部审计具体准则——信息系统审计

第2203号内部审计具体准则——信息系统审计2013-08-28 08:34:46第一章总则第一条为了规范信息系统审计工作,提高审计质量和效率,根据《内部审计基本准则》,制定本准则。

第二条本准则所称信息系统审计,是指内部审计机构和内部审计人员对组织的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动。

第三条本准则适用于各类组织的内部审计机构、内部审计人员及其从事的信息系统审计活动。

其他组织或者人员接受委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。

第二章一般原则第四条信息系统审计的目的是通过实施信息系统审计工作,对组织是否实现信息技术管理目标进行审查和评价,并基于评价意见提出管理建议,协助组织信息技术管理人员有效地履行职责。

组织的信息技术管理目标主要包括:(一)保证组织的信息技术战略充分反映组织的战略目标;(二)提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性;(三)提高信息系统运行的效果与效率,合理保证信息系统的运行符合法律法规以及相关监管要求。

第五条组织中信息技术管理人员的责任是进行信息系统的开发、运行和维护,以及与信息技术相关的内部控制的设计、执行和监控;信息系统审计人员的责任是实施信息系统审计工作并出具审计报告。

第六条从事信息系统审计的内部审计人员应当具备必要的信息技术及信息系统审计专业知识、技能和经验。

必要时,实施信息系统审计可以利用外部专家服务。

第七条信息系统审计可以作为独立的审计项目组织实施,也可以作为综合性内部审计项目的组成部分实施。

当信息系统审计作为综合性内部审计项目的一部分时,信息系统审计人员应当及时与其他相关内部审计人员沟通信息系统审计中的发现,并考虑依据审计结果调整其他相关审计的范围、时间及性质。

第八条内部审计人员应当采用以风险为基础的审计方法进行信息系统审计,风险评估应当贯穿于信息系统审计的全过程。

第三章信息系统审计计划第九条内部审计人员在实施信息系统审计前,需要确定审计目标并初步评估审计风险,估算完成信息系统审计或者专项审计所需的资源,确定重点审计领域及审计活动的优先次序,明确审计组成员的职责,编制信息系统审计方案。

信息系统审计程序

信息系统审计程序

信息系统审计程序信息系统审计程序一般包括审计准备、审计实施、审计报告和后续审计四个阶段。

一、审计准备(一)审前准备内部审计人员在实施信息系统审计前,需要根据信息系统审计目标,开展审前调查,收集法规、制度依据以及其他有关资料。

审前调查主要了解组织信息系统的治理管理体制、总体架构、规划和建设、应用管理情况等。

具体如下:1.治理、管理体制。

主要了解信息系统管理机构设置、管理职责、工作流程等。

2.系统总体架构(1)系统分布。

包括系统数量、规模和分布,绘制信息系统分布图。

(2)信息系统主要类型。

(3)各信息系统的基本情况和系统之间的关联关系。

(4)信息系统应用覆盖面及应用程度。

3.规划和建设情况(1)规划:信息系统发展规划以及规划、年度计划落实情况。

(2)建设:信息系统建设程序、投入、管理,了解已完成系统和在建系统。

(3)使用:信息系统应用管理制度、使用率、应用中存在的主要问题、困难和矛盾。

(二)编制审计工作方案根据审前准备情况,编制信息系统审计工作方案,方案内容包括但不限于被审计组织信息系统的基本情况。

包括信息系统项目建设及应用情况、审计目的、审计依据、审计对象与范围、审计内容重点及方法、审计步骤与时间安排、审计组与人员分工等。

在审计组组成环节,审计部门可以借助外部专家的力量,在审计组中应当有具备信息技术经验和知识的专兼职审计专家,便于补充提高审计组的胜任能力。

二、审计实施审计实施是内部审计人员依据审计计划实施现场审计的过程。

内部审计人员应结合审前准备了解的内容,按照被审计组织的信息化环境、业务流程、内控制度等方面的风险,明确具体项目审计目标、细化审计内容,突出审计重点。

实施阶段主要应完成以下工作:(一)了解评估被审计组织的信息系统内部控制1.收集被审计组织信息系统的内部控制管理制度及流程,对被审计组织相关人员进行访谈,了解组织的信息系统决策及管理政策、方法、控制活动主要内容包括但不限于:(1)信息系统内部控制环境。

信息系统审计

信息系统审计
务 • -任务要满足一定性能、质量、数量、技术指标等要求。 包括: 1产品,2.服务,3技术,管理,人才4团队,5机制,规则,8理念
1.项目管理知识介绍
项目管理的定义 • 项目管理就是以项目为对象的系统管理方法,通过一个零时性的、专门的柔性组织,对
项目进行高效率的计划、组织、指导和控制,以实现项目全过程的动态管理和项目目标 的综合协调和优化。 项目管理概念的理解 • 项目管理的对象——项目; • 项目管理的组织特点——零时性、富有柔性 • 项目管理的手段——计划、组织、指导和控制 • 项目管理的目标——实现项目全过程的动态管理及项目的多项目标。
策略
控制
▪ 执行风险策略 ▪ 继续监测新的项目风险
项目计划----工作明细结构图(WBS)
工作明细结构 图使用项目说 明和风险管理 的输出,它识 别的任务是所 有后来计划的 基础
来自项目定义
项目规则
计划
范围和交付成果
预先计划 ▪开发方法
第一步
风险管理
▪风险管理任务 第二步 任务序列
开发工作明细结构 图
accuracy
项目计划----动态的精确估算
遵守以下黄金规则 ❖ 使用正确的人来做估算 ❖ 基于经验进行估算 ❖ 商议平衡点而非进度
估算技巧 ❖ 阶段性估算 ❖ 参数式估算 ❖ 自下而上地估算
建立详细的预算评估 ❖ 具体预算的数据来源 ❖ 内部人力资源成本 o使用负荷劳动率 o不要遗漏项目人员成本 ❖ 内部设备成本 o估算在项目种使用完的设备成本 o估算在多个项目中使用的设备成本 ❖ 外部人力资源和设备的成本 ❖ 材料成本
使每个人都能理解并认同项目规则的四个方法 发布项目书
发布项目一览表
设置责任矩阵
设立沟通计划

计算机审计与信息系统审计

计算机审计与信息系统审计

联网审计是金审二期规划中的重点建设项目, 根据该规划,审计署将重点建设中央部门预算 执行、海关、银行、社保等四类联网审计,并 对中央财政组织预算执行、国税和大型企业等 进行联网审计试点.
目前已成功研制了中央部门预算执行联网审计 系统,并从2010年开始在中央各部门推广使用.
各地方政府也在逐步推广政府部门预算执行联 网审计系统.
又称IT审计.
信息系统审计的三大目标
从以上信息系统审计的定义,可知信息系统审 计项目依目标不同,有三大类:
信息系统安全审计安全性 信息系统可靠性审计可靠性 信息系统绩效审计经济性
信息系统审计的内涵
IT审计是独立的第三方IT审计师采用客观的标准对 信息系统的规划、开发、使用维护等相关活动和产 物进行完整地、有效地检查和评估.
信息系统逻辑结构示意图
信息资产保护
组织结构 管理政策
服务器、工作站、打印机 人
网线 Windows /UNIX
交换机 /HUB
… …
Oracle 数据库
销售业务系统 会计核算系统
灾难恢复与 业务持续计划
财务报表 销售收入 1000万
……
从构成要素上来看,信息系统有以下组成部分:
硬件 软件 网络 数据 人 管理制度
适用范围:
由于这一审计模式对审计人员素质提出了更高的要 求,而且审计成本很高,因此这一审计模式适用于大 中型会计师事务所对业务处理复杂、系统集成度较 高的大中型企业的审计工作.
联网审计
所谓联网审计,就是在线实时审计,是指通过审 计机关和被审计单位的网络互联,实时审查被 审计单位会计信息系统的审计方式.
信息系统审计是通过对信息系统的调查与了解,对 系统控制及系统功能的分析与测评,综合评价一个 信息系统是否能够满足安全性、有效性、与经济性 目标,是否能够提供真实、准确、完整的电子数据.

第2203号内部审计具体准则——信息系统审计

第2203号内部审计具体准则——信息系统审计

第2203号内部审计具体准则——信息系统审计哎呀,说起这第 2203 号内部审计具体准则——信息系统审计,我可得跟您好好唠唠。

我先给您讲讲我之前碰到的这么一件事儿。

有一次,我去一家企业参观,他们正为信息系统的事儿头疼呢。

这系统吧,运行得时好时坏,数据还老是出错。

就拿他们的销售系统来说,明明已经卖出了一批货,可系统里显示的库存数量却没减少,这可把销售和仓库的人急坏了,差点闹了大乌龙。

咱说回这信息系统审计的准则。

您知道吗,这就像是给信息系统做了一次全面的“体检”。

它得检查系统的安全性,就好比给家门上把牢固的锁,不能让坏人随便进来偷东西或者搞破坏。

还得看看系统的可靠性,别今天能用明天就崩溃,那可不得了。

比如说,一个学校的成绩管理系统,如果不可靠,学生的成绩一会儿有一会儿没的,那老师和家长不得急疯了呀。

再比如,一个公司的财务系统,要是不可靠,账记错了或者丢了,那公司的钱不就乱套了嘛。

还有啊,信息系统审计得关注系统的有效性。

这就像是您做饭,得保证做出来的饭能让人吃饱、吃好。

一个信息系统得能真正解决业务中的问题,提高工作效率,不然弄它干啥呢?而且,这审计还得看系统的经济性。

不能花了大价钱弄个系统,结果效果还不如便宜的好用,那不是浪费钱嘛。

就像有的小公司,为了跟风,花大价钱买了一套特别高级的客户管理系统,结果员工用起来特别复杂,还不如以前简单的表格好用,这钱花得就冤枉了。

另外,信息系统审计也得留意系统的合规性。

这就好比开车得遵守交通规则,系统的运行也得符合各种法律法规和企业的规定。

要是不合规,出了问题可就麻烦啦。

总之,这第 2203 号内部审计具体准则——信息系统审计,真的太重要啦!它就像是一个细心的医生,给信息系统把好脉、开好方,让信息系统能健健康康地为咱们服务。

就像我开头说的那家企业,后来请了专业的审计人员按照这些准则来检查和改进他们的信息系统,现在系统运行得可顺溜了,再也没出过那些让人头疼的问题。

所以说啊,不管是大企业还是小单位,都得重视这信息系统审计的准则,让信息系统更好地为咱们的工作和生活服务。

信息系统审计

信息系统审计

第一章 信息系统审计概论
三、 信息系统审计的内容 ISA包含的两个层面的内容: 其一:是对信息系统本身的审计,它贯穿于信息系统 的整个生命周期。以及对信息系统的数据处理 过程及处理结果的审计。目的在于确保信息系 统的完整性、可靠性、安全性以及效率性和效 益性。 其二:是将计算机、网络技术等引入审计工作中,作 为审计工作的辅助手段,以建立各种审计信息 系统,以及实现审计工作的办公自动化。
第一章 信息系统审计概论
第二节 信息系统审计的目标、依据和内容 一、信息系统审计的目标
ISA目标一般分为:一般审计目标、特定审计目标 一般目标:是进行所有信息系统审计都必须达到的
目标。 特定目标:指针对特定信息系统的审计目标。
一般来说,ISA的审计目标主要包括: ▪提高信息系统资产的安全性目标:IS资产包括硬件、
.信息系统构成相关知识; ·信息化战略规划、构想、提案、立项等相关知识; ·系统设计、程序设计、软件测试等相关知识; ·系统操作和管理、数据管理等相关知识; 信息系统审计实施相关知识: ·经营管理方面相关知识; ·信息安全管理相关知识; ·业务对象相关知识; ·相关法律和法规;
能力方面要求如下: ·系统审计的相关能力;·审计的立项、分析、评价相关能力; ·信息收集、审核、审计方法掌握、相关技巧运用方面的能力; ·审计报告制作能力;
第一章 信息系统审计概论
三、ISA发展简介 ISA的发展经历了几个阶段: 早期阶段:手工审计阶段(绕过计算机阶段) 萌芽阶段:EDP(电子数据处理)审计阶段 发展阶段:信息系统审计阶段
ISA发展处于领先的国家:美国、日本、加拿大,等 我国ISA的发展:
起步于:20世纪80年代 目前状况:处于EDP审计阶段 “金审工程”简介:(参见教材)

信息系统审计(IT审计)操作流程

信息系统审计(IT审计)操作流程

信息系统审计(IT审计)操作流程信息系统审计(IT审计操作流程一、审计计划阶段计划阶段是整个审计过程的起点。

其主要工作包括:1了解被审系统基本情况了解被审系统基本情况是实施任何信息系统审计的必经程序,对基本情况的了解有助于审计组织对系统的组成、环境、运行年限、控制等有初步印象,以决定是否对该系统进行审计,明确审计的难度,所需时间以及人员配备情况等。

了解了基本情况,审计组织就可以大致判断系统的复杂性、管理层对审计的态度、内部控制的状况、以前审计的状况、审计难点与重点,以决定是否对其进行审计。

2初步评价被审单位系统的内部控制及外部控制传统的内部控制制度是为防止舞弊和差错而形成的以内部稽核和相互牵制为核心的工作制度。

为代表的网络技术的发展和应用,企业信息系统进一步向深层次发展,这些变革无疑给企业带来了巨大的效益,但同时也给内部控制带来了新的问题和挑战。

加强内部控制制度是信息系统安全可靠运行的有力保证。

依据控制对象的范围和环境,信息系统内控制度的审计内容包括一般控制和应用控制两类。

一般掌握是系统运行环境方而的掌握,指对信息系统构成要素(人、机器、文件的掌握。

它已为应用程序的正常运行提供外围保障,影响到计算机应用的成败及应用掌握的强弱。

主要包括:组织掌握、操作掌握、硬件及系统软件掌握和系统安全掌握。

应用掌握是对信息系统中具体的数据处理活动所进行的掌握,是具体的应用系统中用来预测、检测和更正错误和处置不法行为的掌握措施,信息系统的应用掌握主要体现在输入掌握、处理掌握和输出掌握。

应用掌握具有特殊性,不同的应用系统有着不同的处理方式和处理环节,因而有着不同的掌握题目和不同的掌握要求,但是一般可把它划分为:输入掌握、处理掌握和输出掌握。

通过对信息系统组织机构控制,系统开发与维护控制,安全性控制,硬件、软件资源控制,输入控制,处理控制,输出控制等方而的审计分析,建立内部控制强弱评价的指标系统及评价模型,审计人员通过交互式人机对话,输入各评价指标的评分,内控制审计评价系统则可以进行多级综合审计评价。

信息系统一般控制审计154页PPT

信息系统一般控制审计154页PPT
输时,有必要增加额外的控制以防出现错误。
五、内部审计与监测
信息系统审计
41
第三节 数据输出控制
一、数据输出报告制度
二、输出报告的生成与分发
三、在安全的地方登记和存储重要表单
四、计算机生成可流通的通知、表单和签名
42
信息系统审计
第四节 数据接口控制 一、接口规划与设计 二、接口处理程序
(一)完善数据转换机制
(3)审查是否设置了对应关系参照文件。 (4)审查信息系统中是否存在数据合理性校验。
(5)审查信息系统是否设定了平衡校验。 (6)审查信息系统日志,察看信息系统用户是否制定并遵守输入管理的规则,数据输入是否按照输 入管理规则进行。
十、处理控制审计
信息系统审计
49
(1)查阅企业业务及系统文档选取企业主要的业务处理过程和处理控制。
能。
(2)错误报告的维护和操作:应当有控制程序来保证所有的错误报告被正确地核对与纠正,并适时
地提交。
(3)源文件保存期:源文件应当保存一个足够的时间期间,以确保对数据检索、重组和验证的需要 。
(4)标签:必须为可移动存储介质设定内外部标签,以保证适当的数据被调用和处理。
40
信息系统审计
(5)版本:使用正确和适当的文件版本对于正确的处理是非常关键的。 (6)一对一检查:确保每一个文件都与经计算机处理的详细文件清单相符合,这对于保证所有的文
(2)测试这些处理过程是否符合业务逻辑以及控制是否起到了应有的作用:在系统中进行一些违反 业务逻辑的操作,如果操作结果与预期不一致可以检查程序代码。
(3)检查系统运行错误日志和交易日志。 (4)得出处理控制是否适当的结论。
十一、输出控制审计
(1)识别主要的输出项目。 (2)确定输出审核程序的恰当性:①审查输出信息分发前对输出信息进行审核确认的程序;②审查

信息系统审计的操作流程(两篇)

信息系统审计的操作流程(两篇)

信息系统审计的操作流程(二)引言概述信息系统审计是一项重要的管理工具,可以帮助组织评估和改进其信息系统的安全性和可靠性。

在信息系统审计的操作流程中,需要遵循一系列的步骤和方法来完成审计工作。

本文将深入探讨信息系统审计的操作流程,并从五个大点展开详细阐述。

正文内容一、确定审计目标和范围1.1 审计目标的确定在进行信息系统审计之前,需要明确审计的目标。

审计目标可以包括评估信息系统的安全性、可靠性、合规性等方面。

同时,审计目标应该与组织的业务目标相一致,以确保审计工作能够为组织带来实际的价值。

1.2 审计范围的确定确定审计范围是信息系统审计流程中的一项重要任务。

审计范围应该包括要审计的信息系统、关键业务流程和相关的技术环境。

同时,还需要考虑审计资源和时间的限制,确保审计工作的有效性和高效性。

二、收集审计证据2.1 形成审计计划在进行信息系统审计之前,需要制定详细的审计计划。

审计计划应包括审计的时间安排、审计工作的任务分配、审计人员的资质要求等内容。

通过制定审计计划,可以确保审计工作的有序进行。

2.2 采集相关资料在进行信息系统审计时,需要收集大量的相关资料,包括系统运行日志、安全策略和流程文件、用户权限和访问控制等。

通过收集这些资料,可以了解信息系统的运行情况和关键控制措施的有效性。

2.3 进行数据采样在进行信息系统审计时,通常无法对整个系统进行全面审计,因此需要进行数据采样。

数据采样可以帮助审计人员获取系统的典型数据,并对其进行分析和评估。

三、分析和评估审计结果3.1 对数据进行质量和完整性检查在进行信息系统审计时,需要对采集到的数据进行质量和完整性检查,以确保审计结果的准确性和可靠性。

质量和完整性检查可以包括数据清洗、异常数据检测等步骤。

3.2 对系统控制措施进行评估在分析和评估审计结果时,需要对系统的控制措施进行评估。

评估控制措施的有效性,包括访问控制、身份验证、日志记录等方面,可以帮助发现潜在的安全风险和漏洞。

第3205号内部审计实务指南——信息系统审计 解读(2021.01.26)

第3205号内部审计实务指南——信息系统审计 解读(2021.01.26)

内审人员开展信息系统审计的「指南针」——中国内部审计协会邀请起草人为您解读《3205号内部审计实务指南——信息系统审计》在大智移云的今天,随着各类组织加快上系统、上云,内部审计作战的阵地也加快由账簿、制度向信息系统转变。

当前受具有IT专业背景的内审同仁占比较少、信息系统审计的实践相对偏少、且各组织信息系统审计实践呈现参差不齐的状态等因素影响,信息系统审计需求的不断增长与有效供给显著不足的矛盾愈来愈突出,已成为困扰内审同仁的一大痛点。

为了解决这一痛点,将行业标杆关于信息系统审计的最佳实践赋能内审同仁,通过规范性的操作规程和方法,以规范信息系统审计行为,控制审计工作风险,提高审计工作效率和质量,更好地为组织的战略目标服务,更充分地发挥新时代内部审计的价值,中国内部审计协会组织编写了《第3205号内部审计实务指南——信息系统审计》(以下简称《指南》)。

为帮助内审人员进一步了解《指南》的特点和主要内容,推动《指南》的学习和应用,我们邀请了《指南》起草人为您做如下解读。

一、《指南》的主要特点《指南》共分六章、14万余字,看起来像一部大部头的书,也许有的同仁一看就怕了,觉得离自己太远,心想:我不是学IT的,估计看不懂;IT虽然我略懂一二,但指南估计写得很枯燥;我是做IT审计实务的,理论性的指南管用吗?这么厚的指南,我什么时间能看完啊?还是不看了吧……如果您有上述对《指南》的刻板印象,估计起草者要难过了……事实上,起草者从开始酝酿该指南的那天起,就定下了简明易懂好用的原则,就是想让同仁们真正懂指南、用指南,帮助同仁解决信息系统审计中遇到的实际困难和实际问题。

首先,《指南》尽可能减少使用复杂的专业术语,少量的专业术语也均给出了释义,深入浅出,很容易理解。

其次,《指南》立足于审计实务,解决实际问题,几乎没有看起来空洞复杂的理论,和日常的审计工作息息相关。

第三,《指南》以风险为基础,以内部控制为重点,审计的思路、方法与常规的审计工作是相通的,完全不难理解。

中国内部审计准则第2203号内部审计具体准则——信息系统审计

中国内部审计准则第2203号内部审计具体准则——信息系统审计

中国内部审计准则第2203号内部审计具体准则——信息系统审计发文机关:中国内部审计协会发布日期:2013.08.20生效日期:2014.01.01时效性:现行有效中国内部审计准则第2203号内部审计具体准则——信息系统审计第一章 总则第一条为了规范信息系统审计工作,提高审计质量和效率,根据《内部审计基本准则》,制定本准则。

第二条本准则所称信息系统审计,是指内部审计机构和内部审计人员对组织的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动。

第三条本准则适用于各类组织的内部审计机构、内部审计人员及其从事的信息系统审计活动。

其他组织或者人员接受委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。

第二章 一般原则第四条信息系统审计的目的是通过实施信息系统审计工作,对组织是否实现信息技术管理目标进行审查和评价,并基于评价意见提出管理建议,协助组织信息技术管理人员有效地履行职责。

组织的信息技术管理目标主要包括:(一)保证组织的信息技术战略充分反映组织的战略目标;(二)提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性;(三)提高信息系统运行的效果与效率,合理保证信息系统的运行符合法律法规以及相关监管要求。

第五条组织中信息技术管理人员的责任是进行信息系统的开发、运行和维护,以及与信息技术相关的内部控制的设计、执行和监控;信息系统审计人员的责任是实施信息系统审计工作并出具审计报告。

第六条从事信息系统审计的内部审计人员应当具备必要的信息技术及信息系统审计专业知识、技能和经验。

必要时,实施信息系统审计可以利用外部专家服务。

第七条信息系统审计可以作为独立的审计项目组织实施,也可以作为综合性内部审计项目的组成部分实施。

当信息系统审计作为综合性内部审计项目的一部分时,信息系统审计人员应当及时与其他相关内部审计人员沟通信息系统审计中的发现,并考虑依据审计结果调整其他相关审计的范围、时间及性质。

信息安全审计之信息系统审计报告

信息安全审计之信息系统审计报告

ISMS-信息系统审计报告
编制人:A、B 日期:####年##月##日
1 适用
本计划为按照程序文件要求公司重要信息系统进行审计,并出具最终结论,由办公室负责汇总,提交总经理评审以获得管理层批准实施。

2 目的
根据各设备《信息系统审计表》中发现的问题进行后续信息系统管理过程中的持续优化项。

3评价
4改进建议
1、应在后续的业务发展过程中提高对信息安全的重视程度,在公司的预算报表中加入信息安全预算
2、部署总体的日志服务器,将网络设备、服务器的日志定期导入到日志服务器中进行保存,加强事件日志的保护
3、加强制度的落实,对制度中提出的服务器口令复杂度、登录失败、口令定期更换等功能进行落实
4、建立服务器访问控制清单,对于服务的管理,建议建立单独的服务器管理账户、审计账户及数据库管理员账户,对权限的管理进行控制
审批:###。

信息系统审计方案

信息系统审计方案

《信息系统等级保护实施规范》:规 定了信息系统等级保护的基本要求和 保护等级的划分,是公安部针对信息 系统安全保护的规范。该规范要求被 审计机构按照等级保护要求,采取相 应的安全防护措施和管理措施,保障 信息系统的安全性和可靠性。
《计算机信息系统保密管理暂行规定 》:规定了计算机信息系统保密管理 的原则和方法,是国家保密局针对计 算机信息系统保密保护的规范。该规 范要求被审计机构建立健全保密管理 制度,采取相应的保密措施和管理措 施,保障计算机信息系统的安全性和 可靠性。
07
CATALOGUE
IT审计报告
审计报告的格式
标题
应明确指出审计报告的主题和内容,如“IT审计报告— —对公司内部系统的审计发现和建议”。
收件人
应列出接收审计报告的管理层和相关部门,以及可能涉 及的其他相关人员。
引言
应简要介绍审计报告的目的和主要内容,如“根据我们 进行的审计工作,以下是我们在公司信息系统中发现的 主要问题和建议”。
证券期货业信息系统运维管理规范等
• 《证券期货业信息系统运维管理规范》:介绍了证券期货业 信息系统运维管理的基本要求和实施要求,是中国证券业协 会和中国期货业协会针对证券期货业信息系统运维管理的规 范。被审计机构应按照该规范的要求,建立健全信息系统运 维管理制度,采取相应的信息系统运维措施和管理措施,保 障信息系统的可靠性和稳定性。
03
国家保密局《计算机信息系统保密管理暂行规定》
审计范围
工信部《信息安全风险评估指南》、《信息安全管理规范与实施细则》
财政部、证监会、审计署、银监会、保监会联合发布的《企业内部控制基本规范》
国资委[2007]8号文《对中央企业实施<中央企业商业秘密保护暂行规定>的相关要 求》
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

审计研究简报第8期(总第169期)审计署审计科研所 2008年7月3日信息系统审计的组织方式及其适用性分析信息系统审计,是指通过对被审单位信息系统的组成部分及其规划、研发、实施、运行、维护等过程进行审查,就被审单位的信息系统的安全、可靠、有效和效率性以及信息系统能否有效地使用组织资源并帮助实现组织目标发表意见的审计。

信息系统审计由于其审计内容、目标、准则、方法等的鲜明特点,使其成为一种独立的审计类型。

近年来,随着被审单位特别是一些国家机关、大型国企、商业银行信息化水平的不断提高,审计机关也越来越多地采用信息系统审计的方式来进行审计。

要做好信息系统审计,必须合理有效地组织信息系统审计活动。

在我国国家审计中,专门进行的信息系统审计的单位和项目还不多。

根据与财务审计的关系,可以把信息系统审计分为与财务审计相结合的信息系统审计和专门进行的信息系统审计。

相应的,信息系统审计的组织方式也可以分为与财务审计相结合的组织方式和专门进行的组织方式。

一、与财务审计相结合的组织方式所谓与财务审计相结合的组织方式,是指在财务审计的过程中运用信息系统审计的有关手段所进行审计的组织方式。

这一组织方式从本质上来说并不是完全意义上的信息系统审计,而是在财务审计过程中加入了信息系统审计的手段和方法。

1、与财务审计相结合的信息系统审计的审计目标与财务审计相结合的信息系统审计一般是根据财务审计的需要提出的,因此这种信息系统审计应该为减少财务审计的风险服务,为财务审计提供最低限度的保证。

(1)保证信息系统软件和相关模块没有经过非法篡改。

在信息化条件下,被审单位的财政财务收支数据是通过信息系统处理和输出的。

如果信息系统及其相关模块被非法篡改,就难以保证被审单位财政财务收支数据的真实性和合法性。

从被审单位信息系统的来源来看,有相当大的部分的信息系统是从专业软件公司购买的商品软件,还有小部分是被审单位根据业务发展的需要,自主投资开发建设的信息系统。

从专业软件公司购买的商品软件,在交付使用前一般要经过公司的质量检查,而且独立开发软件的公司与被审单位相对独立,其信息系统的真实、合法和有效性能够得到一定保证。

但是对于那些自主投资研发的信息系统,一些被审单位“天生”的趋利避害本能使其有通过在信息系统上作弊,实现自己目的的动机。

审计中,也发现了通过在信息系统研发中预留“后门”,或是篡改相关信息系统模块作弊的例子。

审计实践中发现的这些情况,给审计人员敲响了警钟,要求财务审计人员关注信息系统是否经过非法篡改,合理保证其真实、合法和有效性,才能尽量减少财务审计风险。

(2)保证与信息系统相关的内部控制存在并且有效。

信息系统的真实、合法和有效、效率等目标是通过内部控制措施加以实现的。

在信息化环境下,不仅被审单位的生产经营和管理的指令要输入到信息系统中去,而且生产经营和管理的结果也要通过信息系统输出来加以反馈,从一定程度上来说,信息系统就是被审单位的大脑和中枢神经,内部控制的作用则是保证大脑和神经中枢的正常运行。

信息系统的内部控制是否存在并且有效,直接影响了信息系统的真实、合法和有效性,进而影响了财务审计中财政、财务收支数据的真实、合法性和准确性。

可以设想的是,如果信息系统的内部控制根本不存在或者虽然存在但执行无效的话,那么信息系统输出的财政财务收支数据的真实、合法性、准确性就难以保证,财务审计的风险将大大提高。

内部控制测评是信息系统审计的重要内容,通过对信息系统有关的内部控制进行测评,并提出相关的意见建议,有利于审计人员从风险控制的角度去控制财务审计的风险。

如果经过审计发现信息系统内部控制根本不存在或者无效的话,那么审计人员就有理由相信被审单位的财政财务收支数据发生错弊的风险大大增加,从而在财务审计过程中加大实质性测试的程度和水平,进而从整体上减少财务审计的风险。

(3)在财务审计重点关注的领域,应重点进行信息系统审计,以保证信息系统为实现被审单位的目标服务。

财务审计重点关注的领域一般也是被审单位所应实现的目标。

例如在国有企业审计中应重点关注国有资产的保值增值;在上市公司审计中应重点关注收入、成本、利润的真实完整性;在社保资金的审计中应重点关注资金的安全性;在财政专项资金的审计中应关注专项资金使用的合法性等。

信息系统作为被审单位管理环节中的重要一环,对实现这些目标具有不可替代的作用,尤其是在重要部门的业务系统中,可以说从信息系统的设计环节开始到运行等,就考虑到了业务的侧重点和实现目标的需要。

被审单位的财政财务收支数据有很多方面,国家审计除了要从整体上关注财政财务收支数据的真实、公允性之外,重要的是根据被审单位的目标,有所侧重的进行重点审计,为国家决策服务。

一般来说信息系统的目标与被审单位的目标具有相近性。

审计人员在信息系统审计中,在财务审计重点关注的领域,应重点关注信息系统及相应的模块是否处理正确、合法、功能完备,内部控制是否健全有效等,是否为实现被审单位的目标服务。

2、与财务审计相结合的组织方式的特点(1)事先没有专门立项计划。

审计一般要经过立项才能实施,与财务审计相结合的组织方式没有针对信息系统审计的专门立项计划,只是在审计过程中发现信息系统出现问题或者根据需要的时候才进行信息系统审计。

当然,没有专门立项计划并不表明就没有计划,在经过财务审计发现需要进行信息系统审计后,还是要对信息系统审计进行计划,明确审计的目标、范围、人员分工、时间等,使信息系统审计有章可循。

(2)只是针对部分业务或系统进行信息系统审计。

与财务审计相结合进行的信息系统审计是在财务审计过程中根据发现的问题或者根据需要而进行的。

这种定位决定了不可能对信息系统做出全面审计,而是根据财务审计中发现的信息系统的缺陷,或者根据需要,针对部分业务或系统模块进行审计。

比如说在财务审计中发现财务系统中对折旧的计算方法有误,企业的累计折旧数据不准确。

那么在进行信息系统审计的时候,应着重对财务系统中折旧处理模块进行审计,保证企业折旧计提会计处理的正确性。

(3)没有专门的信息系统审计报告。

与财务审计相结合的信息系统审计在立项的时候是以财务审计的名义立项的,本质上还是财务审计,因此审计报告的结果应该是财务审计的内容,没有专门的信息系统审计报告。

而财务审计报告中却不能缺少信息系统审计的相关内容,审计人员可以根据需要将信息系统审计的内容体现在报告中。

比如说可以在对被审单位的意见建议部分,根据发现的信息系统存在的缺陷和漏洞,提出相关的建设性的意见建议。

这种财务审计报告与信息系统审计报告相结合的特点,是与财务审计相结合的信息系统审计的定位相适应的。

二、专门进行信息系统审计的组织方式根据信息系统审计与财务审计的关系,除了与财务审计相结合的组织方式外,还有专门进行信息系统审计的组织方式。

1、专门进行信息系统审计的组织方式的含义所谓专门进行是指项目经过单独立项、单独实施并单独出具审计报告。

经过单独立项、单独实施并且单独出具审计报告进行信息系统审计的方式,就是专门进行信息系统审计的组织方式。

(1)单独立项。

审计项目立项是根据事业发展的需要和各方面综合意见,将拟开展的审计项目的审计依据、内容、范围、方式、时间、人员等基本情况报送审计机关批准同意的行政程序。

只有经过审计机关立项批准的审计项目才能实施,从这个角度看审计立项可以看作是审计机关对审计人员开展审计的授权。

而是否单独立项则决定着审计项目的地位,是独立进行,还是从属于其他审计项目。

作为专门进行的信息系统审计,必须是经过单独立项批准的,不从属于其他财务审计项目。

(2)单独实施。

专门进行信息系统审计的组织方式,必须单独实施。

单独实施意味着信息系统审计要在人员、时间、经费等审计资源方面与其他财务审计分开。

信息系统审计在审计的内容以及审计人员的知识结构等方面,都与其他财务审计有很大区别。

因此单独实施信息系统审计,既符合专门的信息系统审计的概念,也是信息系统审计自身的内在要求。

(3)单独出具审计报告。

专门进行的信息系统审计还必须单独出具审计报告。

审计报告作为审计工作的最终成果,在审计项目中具有标志性意义。

一般来说单个立项审计项目应单独出具一份审计报告。

作为专门进行的信息系统审计,既然是单独立项又是单独实施的,就应单独出具审计报告。

2、专门进行的信息系统审计的目标相比与财务审计相结合的组织方式,专门进行信息系统审计的组织方式的目标不在于减少财务审计风险,而是放在信息系统本身。

首先要审查的是信息系统的性能,看信息系统的性能是否满足系统设置的目标,即满足信息系统本身的安全、可靠、效率和效果等目标。

其次要审查信息系统的大环境,看信息系统是否符合信息化发展战略和业务发展战略的要求,即信息系统本身的目标如何与整个组织的目标相适应。

3、专门进行信息系统审计的组织方式的特点(1)技术性比较强。

专门进行的信息系统审计是全面的信息系统审计,审计对象不仅包括被审单位的信息系统,而且覆盖系统生命周期的全过程。

要对信息系统及其生命周期进行了解、测试和评价,需要掌握一些专门方法和技巧。

在对信息系统进行测试,特别是对应用程序及其相关内部控制措施进行测试的时候,必须要采用计算机辅助审计技术。

信息系统审计高技术性的特点决定了信息系统审计人员必须是兼具计算机和会计审计业务知识的复合型人才,这对审计人员的素质提出了更高的要求。

(2)取证工作具有动态性。

在一些重要的部门和企事业单位中,信息系统是其生产经营和日常运转所必不可少的工具,一旦信息系统停止运行就会造成损失和工作瘫痪,所以审计人员需要在信息系统运行的过程中取证,这不仅给审计人员的取证工作带来的一定难度。

同时它也可能影响被审单位的信息系统的正常运行。

(3)具有一定复杂性。

这种复杂性主要体现在信息系统的技术性和多样性上。

信息系统尤其是一些大型信息系统在软硬件和网络上采用了最先进的信息技术,不了解这方面的技术就很难进行审计。

而且不同的信息系统,其物理结构不一样,采用的计算机软件、硬件就会有所不同,这就决定了审计人员对被审系统进行了解、测试和评价具有一定的复杂性。

三、两种组织方式适用性的分析现阶段由于专门进行的信息系统审计项目还不多,与财务审计相结合的信息系统审计方式是实践中最常见的组织方式。

与财务审计相结合的信息系统审计一般是伴随着财务审计进行的,在审计方案、审计人员、审计时间、审计报告等方面都是同时进行的,其目的也主要是为财务审计服务,减少财务审计的风险。

一般来说,在发生下列情况时,可以考虑采用与财务审计相结合的信息系统审计。

(1)在财务审计之前,审前调查发现被审单位可能存在信息系统方面的问题,为了减少审计风险,先对信息系统进行审计,然后再针对信息系统薄弱环节,有针对性地进行财务审计。

根据审计署计算机技术中心发布的《计算机审计审前调查指南――计算机审计实务公告第8号》第17条的规定:“根据审前调查的初步结果,审计组认为被审单位所使用的软件或者信息系统可能存在瑕疵或者缺陷,进而可能对于电子数据的真实性、完整性产生重要影响时,应当建议在审计实施方案中增加检查信息系统的内容。

相关文档
最新文档