信息系统审计方法和流程.docx

信息系统审计方法和流程

信息系统审计总体要求

一、信息系统审计基本概念

信息系统审计是指内部审计机构和内部审计人员对组织信息系统建设的合法合规性、内部控制的有效性、信息系统的安全性、业务流程的合理有效性、信息系统运行的经济性所进行的检查与评价活动。

信息系统审计包括审计计划、审计依据、审计方法、审计技术、审计人员配置、审计实施流程、审计报告以及审计质量控制等内容。内部审计机构应建立信息系统审计的相应组织管理体系，对信息系统审计的流程和质量进行管控，并依照规章制度开展信息系统审计。

二、信息系统审计一般原则

组织应建立信息系统审计组织管理体系，并根据有关制度、标准和要求开展信息系统审计活动。其一般原则包括：

1.信息系统审计需结合所在组织的战略目标、业务目标、治理要求和管理授权开展审计。

2.信息系统审计应合理保证信息系统的运行符合法律法规以及相关监管要求。

3.信息系统审计应在充分了解组织信息系统治理、管理和应用的基础上做出客观评价。

4.信息系统审计应结合组织的业务流程、信息系统及应用数据开展审计工作。

5.信息系统审计应不断提升内部审计人员技能，严格履行审计程序，提高审计工作质量。

三、内部审计机构在组织信息系统审计中的职责和义务

包括但不限于：

1.编制组织信息系统审计中长期规划。

2.编制组织信息系统审计年度计划、预算及审计资源计

划。

3.制定组织的信息系统审计相关制度及流程等。

4.按信息系统审计规章制度、有计划地开展相关业务。

5.承担对信息系统控制设计和执行有效性评估的责任。

6.做好与组织内、外相关机构和人员的沟通协调工作。

四、内部审计机构在信息系统审计过程中的权力

包括但不限于：

1.有权参加或者列席信息系统治理及管理的重要会议。

2.有权进行现场实物勘查，或就与审计事项有关的问题对有关机构和个人进行调查、质询和取证。

3.若审计过程中审计范围受到限制影响审计目标和计划的实现，有权就范围受到的限制及其潜在影响与治理主体进行沟通。

4.有权向治理主体提出提高信息系统绩效的改进意见和建

议。

5.有权对审计发现的违反信息系统法律、法规等规定或内

部管理制度行为予以制止，并对相关机构和人员提出责任追究或者处罚建议。

信息系统审计目标与特点

一、信息系统审计的目标

（一）信息系统审计总体目标

通过对信息系统的审计，揭示信息系统面临的风险、评价信息系统技术的适用性、创新性、信息系统投资的经济性、信息系统的安全性、运行的有效性等内容，合理保证信息系统安全、真实、有效、经济。

（二）信息系统审计的具体目标

1.保证信息系统建设符合国家有关法律法规和组织内部制度。保证信息系统建设方案、规划内容充分体现组织的战略目标，对信息系统建设、应用与公司的经营目标的一致性作出评价。

2.信息系统审计应促进信息系统在购置、开发、使用、维护过程中，以及数据在生产、加工、修改、转移、删除等处理中都必须符合国家相关法律法规、准则、组织内部规定等，并应促进信息系统有效实现既定业务目标。

3.提高组织信息系统的可靠性、稳定性、安全性，数据处理的完整性和准确性。

二、信息系统审计的特点

信息系统审计除了具备传统审计的权威性、客观性、公正性等特点之外，还具备一些独有的特点，如：信息系统审计可以突破物理区域限制，开展远程非现场审计；信息系统审计要求审计人员具备较高的信息化知识和技能；信息系统审计的内容更加广泛；信息系统工作难以量化，审计评价时需要定性与定量相结合等。

信息系统审计内容

一、信息系统审计内容概述

信息系统审计对象，包括操作系统、主机、网络、数据库、应用软件、数据、管理制度等。信息系统审计内容主要包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的检查和评价。

二、对组织层面信息技术控制的审计

组织层面信息技术控制审计的内容包括：

（一）控制环境

内部审计人员应当关注组织的信息技术战略规划与业务布局的契合度、信息技术治理制度体系建设、信息技术部门的组织架构、信息技术治理的相关职权与责任分配、信息技术的人力资源管理、对用户的教育和培训等方面。

（二）风险评估

内部审计人员应当关注组织在风险评估总体架构中关于信息技术风险管理流程，信息资产的分类及信息资产所有者的职责，以及对信息系统的风险识别方法、风险评价标准、风险应对措施。

（三）控制活动

内部审计人员应当关注信息系统管理的方法和程序，主要包括职责分工控制、授权控制、审核批准控制、系统保护控制、应急处置控制、绩效考评控制等。

（四）信息与沟通

内部审计人员应当关注组织决策层的信息沟通模式，信息系统对财务、业务流程的支持度，信息技术政策、信息安全制度传达与沟通等方面。

（五）内部监督

内部审计人员应当关注组织的监控管理报告系统、监控反馈、跟踪处理程序以及对信息技术内部控制