信息系統審計方法和流程信息系統審計總體要求一、信息系統審計基本概念信息系統審計是指內部審計機構和內部審計人員對組織信息系統建設的合法合規性、內部控制的有效性、信息系統的安全性、業務流程的合理有效性、信息系統運行的經濟性所進行的檢查與評價活動。信息系統審計包括審計計劃、審計依據、審計方法、審計技術、審計人員配置、審計實施流程、審計報告以及審計質量控制等內容。內部審計機構應建立信息系統審計的相應組織管理體系，對信息系統審計的流程和質量進行管控，并依照規章制度開展信息系統審計。二、信息系統審計一般原則組織應建立信息系統審計組織管理體系，并根據有關制度、標準和要求開展信息系統審計活動。其一般原則包括：1.信息系統審計需結合所在組織的戰略目標、業務目標、治理要求和管理授權開展審計。2.信息系統審計應合理保證信息系統的運行符合法律法規以及相關監管要求。3.信息系統審計應在充分了解組織信息系統治理、管理和應用的基礎上做出客觀評價。4.信息系統審計應結合組織的業務流程、信息系統及應用數據開展審計工作。5.信息系統審計應不斷提升內部審計人員技能，嚴格履行審計程序，提高審計工作質量。三、內部審計機構在組織信息系統審計中的職責和義務包括但不限于：1.編制組織信息系統審計中長期規劃。2.編制組織信息系統審計年度計劃、預算及審計資源計劃。3.制定組織的信息系統審計相關制度及流程等。4.按信息系統審計規章制度、有計劃地開展相關業務。5.承擔對信息系統控制設計和執行有效性評估的責任。6.做好與組織內、外相關機構和人員的溝通協調工作。四、內部審計機構在信息系統審計過程中的權力包括但不限于：1.有權參加或者列席信息系統治理及管理的重要會議。2.有權進行現場實物勘查，或就與審計事項有關的問題對有關機構和個人進行調查、質詢和取證。3.若審計過程中審計范圍受到限制影響審計目標和計劃的實現，有權就范圍受到的限制及其潛在影響與治理主體進行溝通。4.有權向治理主體提出提高信息系統績效的改進意見和建議。5.有權對審計發現的違反信息系統法律、法規等規定或內部管理制度行為予以制止，并對相關機構和人員提出責任追究或者處罰建議。信息系統審計目標與特點一、信息系統審計的目標（一）信息系統審計總體目標通過對信息系統的審計，揭示信息系統面臨的風險、評價信息系統技術的適用性、創新性、信息系統投資的經濟性、信息系統的安全性、運行的有效性等內容，合理保證信息系統安全、真實、有效、經濟。（二）信息系統審計的具體目標1.保證信息系統建設符合國家有關法律法規和組織內部制度。保證信息系統建設方案、規劃內容充分體現組織的戰略目標，對信息系統建設、應用與公司的經營目標的一致性作出評價。2.信息系統審計應促進信息系統在購置、開發、使用、維護過程中，以及數據在生產、加工、修改、轉移、刪除等處理中都必須符合國家相關法律法規、準則、組織內部規定等，并應促進信息系統有效實現既定業務目標。3.提高組織信息系統的可靠性、穩定性、安全性，數據處理的完整性和準確性。二、信息系統審計的特點信息系統審計除了具備傳統審計的權威性、客觀性、公正性等特點之外，還具備一些獨有的特點，如：信息系統審計可以突破物理區域限制，開展遠程非現場審計；信息系統審計要求審計人員具備較高的信息化知識和技能；信息系統審計的內容更加廣泛；信息系統工作難以量化，審計評價時需要定性與定量相結合等。信息系統審計內容一、信息系統審計內容概述信息系統審計對象，包括操作系統、主機、網絡、數據庫、應用軟件、數據、管理制度等。信息系統審計內容主要包括對組織層面信息技術控制、信息技術一般性控制及業務流程層面相關應用控制的檢查和評價。二、對組織層面信息技術控制的審計組織層面信息技術控制審計的內容包括：（一）控制環境內部審計人員應當關注組織的信息技術戰略規劃與業務布局的契合度、信息技術治理制度體系建設、信息技術部門的組織架構、信息技術治理的相關職權與責任分配、信息技術的人力資源管理、對用戶的教育和培訓等方面。（二）風險評估內部審計人員應當關注組織在風險評估總體架構中關于信息技術風險管理流程，信息資產的分類及信息資產所有者的職責，以及對信息系統的風險識別方法、風險評價標準、風險應對措施。（三）控制活動內部審計人員應當關注信息系統管理的方法和程序，主要包括職責分工控制、授權控制、審核批準控制、系統保護控制、應急處置控制、績效考評控制等。（四）信息與溝通內部審計人員應當關注組織決策層的信息溝通模式，信息系統對財務、業務流程的支持度，信息技術政策、信息安全制度傳達與溝通等方面。（五）內部監督內部審計人員應當關注組織的監控管理報告系統、監控反饋、跟蹤處理程序以及對信息技術內部控制自我評估機制等方面。三、對信息系統一般性控制的審計信息系統一般性控制是確保組織信息系統正常運行的制度和工作程序，目標是保護數據與應用程序的安全，并確保異常中斷情況下計算機信息系統能持續運行。信息系統一般性控制包括硬件控制、軟件控制、訪問控制、職責分離等關鍵控制。審計人員應當采用適當的方法、合理的技術手段對信息系統建設的合規合法、信息系統的安全管理、訪問控制、基礎架構、數據保護以及災難恢復等方面開展審計。信息系統一般性控制審計應當重點考慮下列控制活動：（一）系統開發和采購審計內部審計人員應當關注組織的應用系統及相關系統基礎架構的開發和采購的授權審批，系統開發所制定的系統目標以及預期功能是否合理，是否能夠滿足組織目標；系統開發的方法，開發環境、測試環境、生產環境的分離情況，系統的測試、審核、驗收、移植到生產環境等環節的具體活動。對應用系統的開發與實施過程所采用的方法和流程進行評價，以確保其滿足組織目標。評估擬定的系統開發或采購方案，確保其符合組織戰略目標;評估項目管理過程，確保組織在滿足成本效益原則的基礎上實現風險管理框架下的組織業務目標，確保項目按計劃開展，并有相應文檔充分支持;評估相關信息系統的控制機制，確保其符合組織的相關制度規定;評估系統的開發、采購和測試、維護，對系統實施定期檢查，確保其持續滿足組織目標。（二）系統運行審計內部審計人員應當關注組織的信息技術資產管理、系統容量管理、系統物理環境控制、網絡環境資源配置、系統和數據備份及恢復管理、問題管理和系統的日常運行管理等內容。一般控制措施包括但不限于保證數據安全、保護計算機應用程序正常運行、防止系統被非法侵入、保證在錯誤操作或意外中斷情況下的持續運行等。評估組織在信息系統運行日常操作以及信息系統基礎設施管理的有效性及效率性，確保其支持組織的目標；評估信息系統服務相關實務，確保內部和外部服務提供商的服務等級是明確并可控的;評估運行管理，保證信息系統支持功能有效滿足業務需求;評估數據管理，確保數據庫的完整性和最優化;評估性能的發揮及監控工具與技術應用;評估問題和事件管理，確保所有事件、問題和錯誤被及時記錄。（三）系統變更審計內部審計人員應當關注組織的應用系統及相關系統基礎架構的變更、參數設置變更的授權與審批，變更測試及移植到生產環境系統中的流程控制等。評估變更、配置和發布管理，確保變更被詳細記錄。（四）信息安全審計內部審計人員應當關注組織的信息安全管理制度，物理訪問及針對網絡、操作系統、數據庫、應用系統的身份認證和邏輯訪問管理機制，系統設置的職責分離控制等。內部審計人員對邏輯、環境與信息技術基礎設施的安全性進行評價，確保其能支持組織保護信息資產的需要，防止信息資產在未經授權的情況下被使用、披露、修改、損壞或丟失。評估邏輯訪問控制的設計、實施和監控，確保信息資產的機密性、完整性、有效性和授權使用合規性;評估網絡框架和信息傳輸的安全;評估環境控制的設計、實施和監控，確保信息資產充分安全。四、對信息系統應用控制的審計信息系統應用控制是指在業務流程層面為了合理保證應用系統準確、完整、及時完成業務數據的生成、記錄、處理、報告等功能而設計、執行的信息技術控制。對業務流程層面應用控制的審計應當考慮下列與數據輸入、數據處理以及數據輸出環節相關的控制活動：（一）授權與批準審計應用程序的訪問控制，必須關注是否有被授權的使用人才可以訪問系統數據或執行授權范圍內的程序功能，輸入控制是否保證每筆被處理的事務能夠被正確完整地錄入與編輯，是否只有合法且經授權的信息才能被正確輸入。（二）系統配置控制審計配置控制主要關注應用系統基礎參數的設置與調整。包括參數的正確性、審批與授權、調整日志等。（三）異常情況報告和差錯報告審計信息系統在出現不能正常運行、計算結果錯誤等異常情況時，系統能否自動提醒、處理，接收、保存差錯輸出報告。（四）接口/轉換控制審計應對接口的數據流向、數據傳輸能力、數據轉換準確性等進行測試和檢查，接口/轉換能否保證數據流通的正確性以及數據傳輸能力是否滿足系統功能需求。（五）一致性核對審計系統間傳輸時，需重點檢查傳輸報告分發是否建立了相應的人工控制環節，包括但不限于安全打印、接收簽名、加密、只讀等，以防范非法篡改造成不一致。（六）職責分離審計系統數據的錄入、修改與審核的職責分離，關注對數據進行加密和敏感性分級處理的規則以及加密方式是否滿足工作需求。（七）系統計算審計信息系統對數據計算的準確性及計算效率。（八）其他五、信息系統專項審計信息系統審計除上述常規的審計內容外，內部審計人員還可以根據組織面臨的特殊風險或者需求，設計專項審計，具體包括但不限于下列領域：（一）信息系統開發實施項目的專項審計。（二）信息系統安全專項審計。（三）信息技術投資專項審計。（四）業務連續性的專項審計。（五）法律、法規、行業規范要求的內部控制合規性專項審計。（六）其他專項審計。信息系統審計程序信息系統審計程序一般包括審計準備、審計實施、審計報告和后續審計四個階段。一、審計準備（一）審前準備內部審計人員在實施信息系統審計前，需要根據信息系統審計目標，開展審前調查，收集法規、制度依據以及其他有關資料。審前調查主要了解組織信息系統的治理管理體制、總體架構、規劃和建設、應用管理情況等。具體如下：1.治理、管理體制。主要了解信息系統管理機構設置、管理職責、工作流程等。2.系統總體架構（1）系統分布。包括系統數量、規模和分布，繪制信息系統分布圖。（2）信息系統主要類型。（3）各信息系統的基本情況和系統之間的關聯關系。（4）信息系統應用覆蓋面及應用程度。3.規劃和建設情況（1）規劃：信息系統發展規劃以及規劃、年度計劃落實情況。（2）建設：信息系統建設程序、投入、管理，了解已完成系統和在建系統。（3）使用：信息系統應用管理制度、使用率、應用中存在的主要問題、困難和矛盾。（二）編制審計工作方案根據審前準備情況，編制信息系統審計工作方案，方案內容包括但不限于被審計組織信息系統的基本情況。包括信息系統項目建設及應用情況、審計目的、審計依據、審計對象與范圍、審計內容重點及方法、審計步驟與時間安排、審計組與人員分工等。在審計組組成環節，審計部門可以借助外部專家的力量，在審計組中應當有具備信息技術經驗和知識的專兼職審計專家，便于補充提高審計組的勝任能力。二、審計實施審計實施是內部審計人員依據審計計劃實施現場審計的過程。內部審計人員應結合審前準備了解的內容，按照被審計組織的信息化環境、業務流程、內控制度等方面的風險，明確具體項目審計目標、細化審計內容，突出審計重點。實施階段主要應完成以下工作:（一）了解評估被審計組織的信息系統內部控制1.收集被審計組織信息系統的內部控制管理制度及流程，對被審計組織相關人員進行訪談，了解組織的信息系統決策及管理政策、方法、控制活動主要內容包括但不限于：（1）信息系統內部控制環境。（2）風險管理。（3）控制活動。（4）信息與溝通。（5）內部監督。2.開展控制測試內部審計人員開展控制測試評價信息系統的內部控制要素，以確定組織能接受的控制風險。驗證控制措施的執行是否符合管理政策和程序，為審計提供合理的保證。信息系統控制測試主要包括控制環境測試和功能測試：（1）組織管理的控制測試。（2）系統建設管理的控制測試。（3）系統資源管理的控制測試。（4）系統環境管理的控制測試。（5）系統運行管理的控制測試。（6）系統網絡和通信管理的控制測試。（7）系統數據庫管理的控制測試。（8）系統輸入、處理、輸出的控制測試。（9）其他。3.初步評估信息系統內部控制根據對組織信息系統的控制測試情況，選擇組織信息系統的重點業務流程，對固有風險和控制風險進行初步評估，對信息系統控制有效性作出評價。（二）開展實質性測試內部審計人員應根據控制測試結果確定實質性測試的性質、時間和范圍。組織層面評價內容包括組織架構、權責分配、發展戰略、人力資源、培訓與考核等。對組織信息系統開展風險評估時，結合相關規范中有關風險評估的要求，重點關注內部和外部風險信息的搜集、利用風險識別機制按照風險評估的程序、方法，評估風險等級并檢查應對策略的有效性。對信息與溝通審計時，應結合組織信息與溝通的相關管理制度，對信息收集、處理和傳遞的及時性，反舞弊機制的健全性，財務報告的真實性，信息系統的安全性，以及利用信息系統實施內部控制的有效性等進行審查和評價。對內部監督審計時應結合組織內部監督制度，對內部監督機制的有效性進行認定和評價。重點關注內部審計機構等監督機構是否在內部控制設計和運行中有效發揮監督作用，內部控制缺陷認定是否客觀，整改方案措施是否得當，并有效整改。內部控制檢查評價方法主要包括：個別訪談法、調查問卷法、比較分析法、標桿法、穿行測試法、抽樣法、實地查驗法、重新執行法、專題討論會法等。內部控制檢查評價應綜合運用上述方法，充分利用信息系統，實施在線檢查、監控。三、審計報告信息系統審計報告階段包括整理加工審計工作底稿、編寫審計報告、做出審計結論。內部審計人員應運用專業判斷,綜合分析所收集到的相關證據,以經過核實的審計證據為依據，形成審計意見和結論、編制審計底稿、出具審計報告。四、后續審計后續審計主要通過監督組織整改的情況，督促被審計組織改進信息系統治理，完善相關的規章制度、流程等,以持續提高信息系統治理、管理水平。對審計中發現的重大問題和控制缺陷，整改效果不明顯的信息系統項目開展后續審計。信息系統審計方法與工具一、信息系統主要審計方法信息系統審計方法是為了完成信息系統審計任務所采取的手段。在信息系統審計工作中，要完成每一項審計工作，都應選擇合適的審計方法。信息系統審計方法主要包括訪談法、調查法、檢查法、觀察法、測試和平行模擬法、程序代碼檢查、編碼比較法、風險評估法等。（一）訪談法訪談法是指通過面對面或在線視頻、音頻等方式交談來了解被審計對象的信息。依據不同問題的性質、目的或對象，采用不同的訪談形式。（二）調查法調查法是在制定調研計劃的基礎上,通過書面或口頭回答問題的方式收集研究對象的相關資料,并做出分析綜合,得到某一結論的研究方法。（三）檢查法檢查法是指內部審計人員對組織內部或外部生成的記錄和文件(包括但不限于紙質、電子或其他介質形式存在的資料)進行檢查，或對資產進行實物檢查。信息系統審計人員審閱可行性研究報告、系統分析說明書、現狀分析報告、輸入輸出和代碼調查表等文檔，檢查上述文檔以及相應的信息系統建設、應用、管理、運行是否符合國家法律法規、行業標準以及組織內部規章制度等。（四）觀察法內部審計人員運用觀察法，觀察被審計組織員工的職責履行情況以及業務操作程序等以識別員工的邏輯訪問權限是否合規，軟硬件物理控制是否有效，盤點信息資產是否安全。（五）數據測試的黑、白盒法與平行模擬法數據測試法：從計算機輸入開始，跟蹤某項業務直至計算機輸出，以檢驗計算機應用程序、控制程序和系統可靠性。黑盒法：當內部審計人員重點關注程序是否達到所需求的功能時，可采用黑盒法來設計測試數據。黑盒法設計出的測試數據除了可以檢查程序功能上的錯誤和缺陷外，還可以審計系統用戶界面、接口、效率、初始化和終止錯誤。白盒法：當內部審計人員主要關注在程序中是否存在錯誤的執行路線時可以采用白盒法。白盒法是從程序內部的邏輯結構出發選取測試數據的方法，它的原理是通過審計程序中的所有執行路線來發現程序中的錯誤和缺陷。平行模擬法：針對某應用程序，審計人員用一個獨立的程序去模擬該程序的部分功能，對輸入數據同時進行并行處理，其結果和該應用程序處理的結果進行比較以驗證其功能正確性的方法。具體應用是先將測試數據輸入信息系統和測試程序，經程序處理后輸出結果，然后將輸出結果與測試程序的結果相比較，從而確定系統的控制及應用程序在邏輯上是否正確。內部審計人員在設計測試數據時，應充分考慮信息系統中可能發生的每一種錯誤包括但不限于:1.數據類型錯誤。2.順序紊亂的編碼。3.數據超越了限制的條件。4.數據比較出錯。5.無效的賬戶編碼及關鍵字。6.不合理的邏輯條件判斷。7.內部數據文件不匹配。8.計量單位用錯。（六）程序代碼檢查法、編碼比較法程序代碼檢查法是指對被審計程序的指令逐條審計,以驗證程序的合法性、完整性和程序邏輯的正確性。程序編碼比較法：比較兩個及以上獨立保管的被審計程序版本，以確定被審計程序是否經過修改，并評估程序的改動所帶來的后果。（七）風險評估法風險評估常用技術。分級技術：根據審計對象的技術復雜性、現有控制程序的水平、可能造成的財務損失等各種因素的風險值累計為總風險值，根據分值大小進行排列分為高、中、低級風險。經驗判斷法：內部審計人員根據專業經驗、業務知識、管理層的指導、業務目標、環境因素等進行判斷，以決定風險大小。二、信息系統審計的工具（一）數據分析工具數據分析工具主要有文件查找工具、數據檢索工具、數據結構轉換工具、指針檢測工具、數據處理工具(包括但不限于排序、合并、復制、創建、修改、刪除、重組)、文件打印工具、數據比較工具等。（二）數據庫審計工具數據庫審計工具是指跟蹤數據和數據庫結構變化的工具。包括本地數據庫審計、安全信息和事件管理及日志管理、數據庫