信息系统审计(IT审计)操作流程(精)资料

合集下载

信息系统审计操作流程

信息系统审计操作流程1．审计计划阶段计划阶段是整个审计过程的起点。

其主要工作包括：（1）了解被审系统基本情况了解被审系统基本情况是实施任何信息系统审计的必经程序，对基本情况的了解有助于审计组织对系统的组成、环境、运行年限、控制等有初步印象，以决定是否对该系统进行审计，明确审计的难度，所需时间以及人员配备情况等。

了解了基本情况，审计组织就可以大致判断系统的复杂性、管理层对审计的态度、内部控制的状况、以前审计的状况、审计难点与重点，以决定是否对其进行审计。

（2）初步评价被审单位系统的内部控制及外部控制传统的内部控制制度是为防止舞弊和差错而形成的以内部稽核和相互牵制为核心的工作制度。

随着信息技术特别是以Internet为代表的网络技术的发展和应用，企业信息系统进一步向深层次发展，这些变革无疑给企业带来了巨大的效益，但同时也给内部控制带来了新的问题和挑战。

加强内部控制制度是信息系统安全可靠运行的有力保证。

依据控制对象的范围和环境，信息系统内控制度的审计内容包括一般控制和应用控制两类。

一般控制是系统运行环境方而的控制，指对信息系统构成要素(人、机器、文件)的控制。

它已为应用程序的正常运行提供外围保障，影响到计算机应用的成败及应用控制的强弱。

主要包括：组织控制、操作控制、硬件及系统软件控制和系统安全控制。

应用控制是对信息系统中具体的数据处理活动所进行的控制，是具体的应用系统中用来预测、检测和更正错误和处置不法行为的控制措施，信息系统的应用控制主要体现在输入控制、处理控制和输出控制。

应用控制具有特殊性，不同的应用系统有着不同的处理方式和处理环节，因而有着不同的控制问题和不同的控制要求，但是一般可把它划分为：输入控制、处理控制和输出控制。

通过对信息系统组织机构控制，系统开发与维护控制，安全性控制，硬件、软件资源控制，输入控制，处理控制，输出控制等方而的审计分析，建立内部控制强弱评价的指标系统及评价模型，审计人员通过交互式人机对话，输入各评价指标的评分，内控制审计评价系统则可以进行多级综合审计评价。

信息系统审计的操作流程

Байду номын сангаас
安全漏洞测试
审计人员将测试系统的安全漏洞，包括网络攻击、恶意软件等，以确保系统的安全性。
日志分析
审计人员将分析系统的日志，以检测异常活动和安全事件。
审计结果报告
审计结果报告将总结审计的发现和建议。报告应包括对系统的弱点和脆弱性的详细描述，并提出改进和修复建议。
结果分析及建议
审计团队将分析审计结果，并提出改进和修复建议。这些建议应根据系统的弱点和脆弱性，以及组织的需求和目标进行定制。
信息系统审计的操作流程
信息系统审计是评估和验证一个信息系统内控的过程。它包括信息收集、审查和评估、内控测试、审计结果报告、结果分析及建议以及结论。
审计的定义和重要性
审计是一个关键的过程，用于评估信息系统的有效性、安全性和合规性。它帮助组织确保其信息系统的可靠性，保护敏感信息，并遵守相关法规和标准。
结论
审计是一个持续的过程，需要定期进行，以确保信息系统的安全性和有效性。通过遵循审计过程，组织可以提高其信息系统的安全性和合规性。
信息收集阶段
在信息收集阶段，审计团队会收集关于信息系统的相关信息，包括系统架构、安全策略、访问控制措施等。这些信息将为后续的审查和评估提供基础。
审查和评估阶段
1
系统配置
审计人员将审查系统配置，包括硬件、
安全漏洞评估
2
软件、网络设置等，以确保其符合最佳实践和安全标准。
审计人员将评估系统的安全漏洞，包括
潜在的漏洞、弱点和脆弱性，以确保系
统的安全性。
3
授权和访问控制
审计人员将审查系统的授权和访问控制措施，包括用户权限、角色分配等，以确保系统只能被授权的用户访问。

信息系统审计IT审计操作流程

信息系统审计I T审计操作流程IMB standardization office【IMB 5AB- IMBK 08- IMB 2C】信息系统审计（IT审计）操作流程一、审计计划阶段计划阶段是整个审计过程的起点。

（2）初步评价被审单位系统的内部控制及外部控制传统的内部控制制度是为防止舞弊和差错而形成的以内部稽核和相互牵制为核心的工作制度。

加强内部控制制度是信息系统安全可靠运行的有力保证。

依据控制对象的范围和环境，信息系统内控制度的审计内容包括一般控制和应用控制两类。

一般控制是系统运行环境方而的控制，指对信息系统构成要素(人、机器、文件)的控制。

它已为应用程序的正常运行提供外围保障，影响到计算机应用的成败及应用控制的强弱。

主要包括：组织控制、操作控制、硬件及系统软件控制和系统安全控制。

it审计流程

it审计流程IT审计流程是指对企业或组织的信息技术系统和相关运营过程进行全面检查和评估的一系列步骤。

通过IT审计流程，可以发现潜在的风险和问题，并提出改进和优化的建议，以确保企业的信息技术系统安全、合规和高效运行。

本文将详细介绍IT审计流程的各个环节和关键步骤，以帮助读者了解和理解这一重要的管理工具。

一、审计准备IT审计的第一步是准备工作。

在这个阶段，审计团队需要与企业的管理层和相关部门进行沟通，了解企业的信息技术系统的架构、业务流程以及安全策略等方面的情况。

同时，审计团队还应该制定详细的审计计划，明确审计的目标、范围和时间安排等。

二、风险评估在进行实际的审计工作之前，审计团队需要对企业的信息技术系统进行风险评估。

这包括识别潜在的安全风险、漏洞和威胁，并对其进行评估和分类。

通过风险评估，审计团队可以确定哪些方面需要特别关注，并制定相应的审计方案和检查点。

三、数据收集在开始正式的审计工作之前，审计团队需要收集相关的数据和信息。

这包括企业的网络拓扑图、系统配置文件、安全策略文档、日志记录等。

通过收集和分析这些数据，审计团队可以更好地了解企业的信息技术系统的运行状态和存在的问题。

四、内部控制评估内部控制评估是IT审计的重要环节之一。

审计团队将对企业的内部控制机制进行评估，包括访问控制、身份认证、审计日志、备份和恢复等方面。

通过评估内部控制的有效性和可行性，审计团队可以确定哪些方面需要改进和加强，并提出相应的建议。

五、安全漏洞扫描安全漏洞扫描是IT审计的重要手段之一。

通过使用专业的漏洞扫描工具，审计团队可以对企业的信息技术系统进行全面的安全漏洞扫描，包括操作系统、数据库、应用程序等方面。

通过发现和修复安全漏洞，可以提高企业的信息技术系统的安全性和可靠性。

六、网络安全评估网络安全评估是IT审计的另一个重要环节。

审计团队将对企业的网络架构和安全策略进行评估，包括网络拓扑、网络设备配置、防火墙设置等方面。

通过评估网络安全的措施和控制，可以发现潜在的安全风险并提出相应的改进措施。

信息系统审计的操作流程

撰写审计报告初稿
确定报告目的和范围收集和整理审计证据分析和评估审计结果编写审计报告初稿审核和修改审计报告初稿提交审计报告初稿
与被审计单位沟通确认
确定审计目的和范围
确定审计报告的格式和内容
确定审计时间表和审计人员
确定审计报告的提交时间和方式
确定审计方法和工具
确定审计报告的保密性和保密措施
总结和经验分享
审计结果分析：对审计过程中发现的问题进行深入分析，找出原因并提出改进措施
审计报告撰写：根据审计结果，撰写详细的审计报告，包括审计过程、发现的问题、改进建议等
审计结果沟通：与相关部门进行沟通，确保审计结果得到理解和认可
审计结果应用：将审计结果应用于信息系统的改进和优化，提高信息系统的安全性和稳定性
报告修订和定稿
审计报告初稿完成后，需要经过多次修订和完善修订过程中，需要根据审计结果和客户反馈进行调整定稿前，需要经过内部审核和外部专家评审定稿后，需要提交给客户，并做好后续跟踪和反馈工作
报告分发和归档
报告分发：将审计报告发送给相关领导和部门，确保信息及时传达
归档管理：将审计报告进行归档，便于日后查询和参考
数据验证：对数据进行验证和确认
数据清洗：对数据进行清洗和整理，去除无效数据
数据分析：对数据进行分析和解读，得出结论
风险评估和控制测试
风险评估：识别信息系统中的风险，评估其可能性和影响程度控制测试：验证信息系统内部控制是否有效，确保风险得到控制风险应对：制定风险应对措施，降低风险发生的可能性和影响程度持续监控：定期对信息系统进行监控，确保风险得到持续控制
优化审计流程和方法
定期评估审计流程的效率和效果
引入自动化审计工具，提高审计效率

信息系统审计的基本步骤

信息系统审计的基本步骤好的，下面我要来和你讲一讲信息系统审计的基本步骤啦。

一、基本动作要领1. 审计计划制定- 首先呢，你得了解被审计的信息系统是干啥的。

就像你要了解一个人之前，得知道他是做什么工作的一样。

我得先搞清楚这个系统的业务范围，比如是财务管理系统，还是销售管理系统。

这时候会查看一些文档，像业务流程手册之类的，这一步很重要哟，记住了，要是这个没搞清楚，后面就容易瞎忙活。

- 确定审计目标，比如是要查这个系统的数据准确性呢，还是系统安全。

我之前就做错过，没有和客户确认好审计目标，结果做了一堆无用功。

然后就是要确定审计范围，这里可以简单地列一个清单，把要审计的模块、功能什么的都写上。

- 安排审计人员和时间也是这个阶段很重要的。

要根据任务量和人员的能力来分配，要是分给新手一些太复杂的部分，可能就会出问题。

好比让一个刚学做饭的人去做满汉全席，那肯定搞砸呀。

2. 初步调查- 这一步就要对被审计系统深入了解了。

要获取系统的架构图，如果没有的话，自己画一个简单的也行。

我就是这么做的，虽然画得不咋好看，但是很实用。

这个架构图能让你清楚地看到系统各个部分之间的关系，是服务器、数据库、应用程序怎么连接的。

- 和系统管理员聊天，这是个小技巧哦。

他们知道好多系统内部的小秘密。

问他们系统平时的运行情况，有没有经常出故障，哪些地方比较脆弱之类的。

不过要小心，有时候管理员可能会隐瞒一些问题，我就遇到过，所以要多方面印证他们说的话。

3. 风险评估- 识别系统面临的风险。

这就像是检查一个房子哪里可能漏雨一样。

可能是数据泄露风险，也可能是系统瘫痪风险。

我试过好多次，用一些风险矩阵的方法，把风险的可能性和影响程度列出来。

比如说对于银行系统，数据被篡改的风险可能性虽然可能低，但是影响程度极高，所以这是个很重要的风险。

- 评估现有的内部控制措施。

比如有没有密码保护啊，数据备份策略是怎样的。

很多小公司可能会忽视这一点，我见过一个公司，密码都是默认的，这就很危险。

信息系统审计(IT审计)操作流程(精)

信息系统审计(IT审计)操作流程概述信息系统审计作为一项重要的资产保护工作，其目的是确保信息系统运转的安全性和有效性。

通过信息系统审计可以发现系统中存在的漏洞和安全隐患，从而提供保障信息系统运行的措施。

本文将介绍IT审计的操作流程，以及过程和注意事项，希望能帮助读者更好地进行IT审计。

IT审计的操作流程1.确认审计范围和目标：在开始IT审计工作前，需先明确审计范围和目标，以便后续的审计工作能有章可循，确保审计结果的严谨性和有效性。

2.制定审计计划：明确审计目的、内容及方法，以及审计工作人员和工作时间。

审计计划需结合实际情况，并考虑到时间和人员资源的限制。

3.实施初步调查：通过初步调查，了解系统业务背景、环境、技术架构等信息，确定系统运作的主要流程和业务规则，为后续的审计工作打好基础。

4.审计准备工作：包括取得相关资料、导入审计工具、配置审计环境、制定数据备份计划等，确保严格遵循数据保密规定。

5.进行实际审计：按照审计计划中的要求，进行真正的审计工作。

包括对系统的安全性、业务流程、技术环境、数据完整性、程序异常等进行审计，发现问题并记录下来。

6.形成审计报告：根据审计结果，形成审计报告。

报告应包括审计的目标和范围、审计方法、审计和建议，以及对问题的排查和解决方案等。

7.提出审计建议：根据审计结果，提出针对发现的问题的改进建议，包括技术和管理两方面。

建议需具有可操作性和有效性。

注意事项在IT审计中需注重以下事项：数据保护和保密在进行IT审计工作时，需要严格遵守保密原则，确保审计过程中的数据与信息不泄露。

需要制定数据备份计划，确保数据的完整性。

审计的客观性和独立性需要确保IT审计工作的独立性和客观性，不受外界干扰，确保审计结果的真实性。

技术知识和技能IT审计需要具备一定的技术知识和技能，包括信息安全管理、网络安全技术等方面的知识，并了解常见的攻击手段和防范措施。

IT审计是确保信息系统安全和有效的关键措施，对于企业或机构来说具有重要意义。

信息系统审计方法与操作指引

2019/12/5
9
IT一般控制审计程序
2.2 影响逻辑访问测试性质和范围因素
2.2.1 逻辑访问路径
对于ITGC审计范围每个应用程序,应确定用于保护财务系统程序和数据
访问的逻辑访问路径每个技术组成要素关键程度。逻辑访问路径可能的技术组成要素包括：
► 应用程序 ► 操作系统，包括使用安全软件 ► 数据库 ► 网络 ► 互联网/远程访问
的、有效的。选择适当样本，确定是否及时删除或撤消了系统访问权限。
测试程序 — 调动用户：获取审计期间调动职员清单，并确定它是完
整的、有效的。确定用户访问对于其工作职能来说是否适当，其以前的系统访问权限是否已被删除或撤消。
2019/12/5
11
IT一般控制审计程序
其他IT一般控制
3.1 总体目标
IT一般控制是指为保证在一段时期内应用控制持续有效性，而在系统变更和数据访问等方面的系统控制。因为这些控制对一个以上应用程序和数据集都有效，所以被称为“IT一般控制”。
IT一般控制分类
变更管理：只允许对应用程序、界面、数据库和操作系统进行适当授权、测试和批准的变更。
逻辑访问：只有经过授权的人员，才可以访问数据和应用程序（包括程序、表和相关资源），并且他们只能执行明确授权的功能（例如：询问、执行和更新）。
根据流程描述，识别风险与控制的关系
根据应用系统配置清单，判断测试范围
根据测试范围设计测试方法
执行穿行测试/控制测试
根据测试结果，进行控制评价
填写缺陷报告、制定整改计划
IT一般控制评估
流程描述/ 流程图
风险控制矩阵
系统配置清单

信息系统审计内容及重点、步骤和方法

信息系统审计内容及重点、步骤和方法一、审计内容（一）信息系统一般控制情况1.信息系统总体控制情况;2.信息安全技术控制情况;3.信息安全管理控制情况。

（二）信息系统应用控制情况1.信息系统业务流程控制情况；2.数据输入、处理和输出控制情况；3.信息共享和业务协同情况。

二、审计重点及审计步骤和方法（一）一般控制审计1.总体控制审计审计思路：通过检查被审计单位信息系统总体控制的战略规划、组织架构、制度机制、岗位职责、内部监督等，分析信息系统在内部环境、风险评估、控制活动、信息与沟通、内部监督方面的有效性及其风险，形成信息系统总体控制的审计评价和结论。

审计方法：召开座谈会、发放调查问卷、查阅文件等。

审计步骤：（1）战略规划评价。

检查被审计单位是否建立了信息系统战略发展规划，是否明确了战略目标、整体规划、实现指标和相应的实施机制。

（2）组织架构评价。

检查被审计单位是否建立了与信息系统战略发展规划相匹配的决策与管理层领导机构、项目实施层工作机构，以及行业内各层级的信息化工作机构，是否建立了各类机构的权力责任和制约机制。

（3）制度体系评价。

检查被审计单位是否建立了与信息系统战略规划和组织架构相匹配的项目管理制度、项目建设制度、质量检查制度等。

4）岗位职责评价。

检查被审计单位信息系统规划、建设、运维等方面的岗位设置、人员配置、岗位职责。

（5）内部监督评价。

检查被审计单位是否建立健全了信息系统建设和运维全过程的内部监督机构和监督机制，是否形成了对信息系统的风险评估、控制活动和信息交互等方面的有效控制和监督。

2.信息安全技术控制审计审计思路：通过检查被审计单位信息系统的信息安全技术及其控制的整体方案，检查安全计算环境、区域边界、通讯网络等方面的安全策略和技术设计，检查信息系统的安全技术配置和防护措施，发现并揭示信息系统安全技术控制的缺失，分析并评价风险程度，形成信息安全技术控制的审计结论。

审计方法：实地观察法、审阅法、系统测试法和利用入侵检测、漏洞扫描等工具的安全工具检测法，以及利用网络分析检测、系统配置检测、日志分析检测等工具的测评工具检测法。

信息系统审计的操作流程(两篇)

信息系统审计的操作流程（二）引言概述信息系统审计是一项重要的管理工具，可以帮助组织评估和改进其信息系统的安全性和可靠性。

在信息系统审计的操作流程中，需要遵循一系列的步骤和方法来完成审计工作。

本文将深入探讨信息系统审计的操作流程，并从五个大点展开详细阐述。

正文内容一、确定审计目标和范围1.1 审计目标的确定在进行信息系统审计之前，需要明确审计的目标。

审计目标可以包括评估信息系统的安全性、可靠性、合规性等方面。

同时，审计目标应该与组织的业务目标相一致，以确保审计工作能够为组织带来实际的价值。

1.2 审计范围的确定确定审计范围是信息系统审计流程中的一项重要任务。

审计范围应该包括要审计的信息系统、关键业务流程和相关的技术环境。

同时，还需要考虑审计资源和时间的限制，确保审计工作的有效性和高效性。

二、收集审计证据2.1 形成审计计划在进行信息系统审计之前，需要制定详细的审计计划。

审计计划应包括审计的时间安排、审计工作的任务分配、审计人员的资质要求等内容。

通过制定审计计划，可以确保审计工作的有序进行。

2.2 采集相关资料在进行信息系统审计时，需要收集大量的相关资料，包括系统运行日志、安全策略和流程文件、用户权限和访问控制等。

通过收集这些资料，可以了解信息系统的运行情况和关键控制措施的有效性。

2.3 进行数据采样在进行信息系统审计时，通常无法对整个系统进行全面审计，因此需要进行数据采样。

数据采样可以帮助审计人员获取系统的典型数据，并对其进行分析和评估。

三、分析和评估审计结果3.1 对数据进行质量和完整性检查在进行信息系统审计时，需要对采集到的数据进行质量和完整性检查，以确保审计结果的准确性和可靠性。

质量和完整性检查可以包括数据清洗、异常数据检测等步骤。

3.2 对系统控制措施进行评估在分析和评估审计结果时，需要对系统的控制措施进行评估。

评估控制措施的有效性，包括访问控制、身份验证、日志记录等方面，可以帮助发现潜在的安全风险和漏洞。

it审计工作流程及模板

it审计工作流程及模板IT审计工作流程及模板主要包括以下几个步骤：1. 确定审计目标和范围：明确审计的目标和范围，包括要审计的系统、业务流程、控制点等。

2. 收集资料和信息：收集与审计相关的文件、记录以及技术资料，了解被审计单位的组织架构、技术系统、安全策略等。

3. 确定审计方法和技术准则：根据审计目标和范围，确定具体的审计方法和技术准则，包括审计测试的方式、采样方法等。

4. 进行审计测试：根据审计方法，对被审计单位的系统、流程、控制点进行测试，包括进行安全漏洞扫描、检查权限控制、审查日志记录等。

5. 分析审计结果：根据测试的结果，分析找出的问题和风险，并评估其对业务的影响和潜在损失。

6. 提出审计意见和建议：根据分析结果，向被审计单位提出审计意见和建议，包括改善措施、风险缓解策略等。

7. 编写审计报告：整理审计结果和建议，编写审计报告，并对报告进行复核和审查。

8. 审查和确认报告：将审计报告提交给相关的负责人和管理层，经过审查和确认后，报告最终完成。

以下是一份IT审计工作流程及模板的示例：1. 审计目标和范围- 目标：对公司内部网络和信息系统的安全性进行审计- 范围：包括系统架构、网络设备、数据存储和处理、安全策略等2. 资料和信息收集- 收集公司组织结构图、技术系统图、安全策略、控制点清单等3. 审计方法和技术准则- 采用黑盒测试方法，模拟外部攻击者的方式进行测试- 根据COBIT框架，审查安全策略、访问控制、日志管理等方面的合规性4. 审计测试- 进行网络漏洞扫描，检查网络设备是否存在安全漏洞- 检查系统权限控制，保证用户访问和操作的合法性- 检查日志记录，确保系统操作能够被记录和监控5. 分析审计结果- 发现网络设备存在多个安全漏洞，可能导致被攻击和信息泄露的风险- 发现部分用户的权限设置不当，可能导致未授权操作和数据泄露的风险- 发现部分系统的日志记录不完整，无法对系统操作进行有效的监控和追溯6. 提出审计意见和建议- 建议对网络设备进行及时的安全漏洞修复和升级- 建议对用户权限进行重新设置和审查- 建议加强对系统日志的监控和记录，确保操作的完整性和可追溯性7. 编写审计报告- 汇总审计结果和建议，撰写审计报告，包括问题描述、风险评估、改善措施等8. 审查和确认报告- 将审计报告提交给相关负责人和管理层，经过审查和确认后，报告最终完成。

信息系统审计(IT审计)操作流程(精)

信息系统审计(IT审计操作流程一、审计计划阶段计划阶段是整个审计过程的起点。

其主要工作包括:(1了解被审系统根本情况了解被审系统根本情况是实施任何信息系统审计的必经程序,对根本情况的了解有助于审计组织对系统的组成、环境、运行年限、控制等有初步印象,以决定是否对该系统进展审计,明确审计的难度,所需时间以与人员配备情况等。

了解了根本情况,审计组织就可以大致判断系统的复杂性、管理层对审计的态度、部控制的状况、以前审计的状况、审计难点与重点,以决定是否对其进展审计。

(2初步评价被审单位系统的部控制与外部控制传统的部控制制度是为防止舞弊和过失而形成的以部稽核和相互牵制为核心的工作制度。

随着信息技术特别是以Internet为代表的网络技术的开展和应用,企业信息系统进一步向深层次开展,这些变革无疑给企业带来了巨大的效益,但同时也给部控制带来了新的问题和挑战。

加强部控制制度是信息系统平安可靠运行的有力保证。

依据控制对象的围和环境,信息系统控制度的审计容包括一般控制和应用控制两类。

一般控制是系统运行环境方而的控制,指对信息系统构成要素(人、机器、文件的控制。

它已为应用程序的正常运行提供外围保障,影响到计算机应用的成败与应用控制的强弱。

主要包括:组织控制、操作控制、硬件与系统软件控制和系统平安控制。

应用控制是对信息系统中具体的数据处理活动所进展的控制,是具体的应用系统中用来预测、检测和更正错误和处置不法行为的控制措施,信息系统的应用控制主要表达在输入控制、处理控制和输出控制。

应用控制具有特殊性,不同的应用系统有着不同的处理方式和处理环节,因而有着不同的控制问题和不同的控制要求,但是一般可把它划分为:输入控制、处理控制和输出控制。

通过对信息系统组织机构控制,系统开发与维护控制,平安性控制,硬件、软件资源控制,输入控制,处理控制,输出控制等方而的审计分析,建立部控制强弱评价的指标系统与评价模型,审计人员通过交互式人机对话,输入各评价指标的评分,控制审计评价系统那么可以进展多级综合审计评价。

信息系统审计的操作流程

第13页，共20页。
2、调查问卷：
合理编制信息系统审计调查表、调查提纲、控制矩阵等，内容包括软硬件环境、网络结构以及岗位设置、人员角色及AB岗等，在审前调查阶段提交给被审计单位信息及有关业务部门，以获得信息系统的基本情况、总体架构与业务流程，并可能发现有价值的线索。
另外可函证（或走访）与审计项目有关的单位与个人，并把函证的结果与被审计单位的有关情况进行对比分析。
第16页，共20页。
集成检测法：通过在正常的应用系统中创建一个虚拟的部分或分支，从而进行系统测试。例如：在某个应用系统中建立一个虚拟的职员然后进行正常的业务处理测试。
优点：此方法是在系统正常处理过程中进行测试的，因此可直接测试到被审系统在真实业务处理时的功能是否正确有效。缺点：这些虚拟的测试数据可能会对被审单位真实的业务和汇总的信息造成破坏或影响。
4、编制审计计划
经过以上程序，为编制审计计划提供了良好准备，审计人员就可以据以编制总体及具体审计计划。
总体计划包括：被审单位基本情况；审计目的、审计范围及策略；重要问题及重要审计领域；工作进度及时间；审计小组成员分工；重要性确定及风险评估等。具体计划包括：具体审计目标；审计程序；执行人员及时间限制等。
第10页，共20页。
系统输出审计关键控制点有：输出信息的获取及处理时是否有防止不正当行为和机密保护措施，输出信息是否准确、及时，输出信息的形式是否被客户所接受，是否记录输出出错情况并定期分析等。（系统输出审计不同于测试阶段的输出审计，此时的输出是在实际数据的基础上进行的，对其进行审计可以对系统输出进行再控制，结合用户需求进行评价。）运行管理审计关键控制点有：操作顺序是否标准化，作业进度是否有优先级，操作是否按标准进行，人员交替是否规范，能否对预计与实际运行的差异进行分析，遇问题时能否相互沟通，是否有经常性培训与教育等。（运行管理审计是对人机系统中人的行为的审计。）