信息系统审计汇总.ppt

从以上定义可以看出,信息系统审计的两个方面职能: 从外部审计的角度, ISA实现-------监证目标（“保证”职能） 从内部审计的角度, ISA实现-------管理目标（“咨询”职能） 第五节 风险基础审计 第一章 信息系统审计概论 审计模式的发展经历了三个阶段： 账项基础审计 制度基础审计 风险基础审计 风险基础的审计模式基本要素构成： 固有风险、控制风险、检查风险 风险基础审计的三个基本环节： 风险评估、内控测试及实质性测试 风险基础审计的优点： 通过对被审计单位风险的评价，集中审计资源于高风险的审计领域，最大限度地降低审计的检查风险；保证审计效果和质量；节约审计成本；提高审计效率。 第一章 信息系统审计概论 风险基础审计方法的思路： 1、编制被审计单位使用的信息系统清单并对其进行分类； 2、判断哪个系统影响关键功能和资产； 3、评估哪些风险影响这些系统并对商业运作造成冲击； 4、在上述评估的基础上对系统进行分级，决定审计的优先次序、资 源、进度和频率。 第一章 信息系统审计概论 第六节 基于风险审计理论的信息系统审计步骤 与传统审计相同，信息系统审计步骤也分为三个阶段： 审计计划阶段 、审计实施阶段、审计报告阶段 （一）审计计划阶段（审计准备阶段） 内容：制定科学、合理的审计计划 结果形式：审计文档——信息系统审计计划书 （二）审计实施阶段 内容：调查取证； 结果形式：工作底稿及附件 （三）审计报告阶段 内容：运用专业判断，综合各种证据，评估测试结 果，根据审计准则，形成审计意见。 结果形式：审计意见书、审计报告 第一章 信息系统审计概论 具体的信息系统审计步骤和内容如下所示： （一）审计计划阶段 审 计 计 划 了解被审系统情况； 与委托单位签订业务约定书； 初步评价被审系统的内部控制及外部控制； 确定重要性； 分析审计风险； 编制审计计划 1、了解被审计系统基本情况 目的：明确审计的难度，所需时间及大致费用等。决定是否 接受委托对该系统进行审计， 主要包括： （1）系统拥有者概况； （2）系统建成时间，运行时间，生命周期概况、规模及 设备清单； （3）管理者的管理措施，对IS的内部控制； （4）相关外部控制； （5）技术操作人员的概况； （6）已做过的审计，时间及审计机构等。 第一章 信息系统审计概论 2、与委托单位签订业务约定书 审计业务约定书的内容一般包括： 第一章 信息系统审计概论 签约双方名称； 委托目的； 审计范围； 双方责任； 签约各方的义务； 出具审计报告的时间要求； 审计报告的使用责任； 审计收费； 业务约定书的有效期间； 违约责任； 签约时间及其他事项 3、初步评价被审系统的内部控制及外部控制 内部控制初评过程： 第一章 信息系统审计概论 了解被审单位内部控制情况， 做出相应记录，初步测评内控 的存在性及完整性和有效性 内部控制 有效吗 评价控制风险 为最高水平 确定较低 控制风险 确定重要性，分析审计风险， 制定审计计划 Y N 外部控制初评：信息系统安全标准、行业标准、工程 建设标准、验收标准等各项规章制度的执行情况。 第一章 信息系统审计概论 5、分析审计风险 方法：审计风险模型（DAR=IR╳CR╳DR） 4、确定重要性 重要性特征：数量、质量 重要性评估的目的：确定所需审计证据的数量 重要性水平与审计证据之间关系：反向关系 6、编制审计计划 审计计划包括：总体审计计划、具体审计计划 总体审计计划主要包括： 被审单位基本情况； 审计目的、审计范围及策略； 重要问题及重要审计领域； 工作进度及时间、费用预算； 审计小组成员分工； 重要性确定及风险评估等。 具体审计计划主要包括： 具体审计目标； 审计程序； 执行人员及时间限制等。 第一章 信息系统审计概论 第一章 信息系统审计概论 （二）审计实施阶段 审计实施 IT治理 审计 IS硬件与 系统软件 审计 IS开发 审计 IS运营、 维护 审计 IS安全 审计 根据重要性、风险和计划获取有关资料; 符合性测试，验证固有和