計劃階段是整個審計過程的起點。其主要工作包括:
(1)了解被審系統基本情況
了解被審系統基本情況是實施任何信息系統審計的必經程序,對基本情況的了解有助於審計組織對系統的組成、環境、運行年限、控制等有初步印象,以決定是否對該系統進行審計,明確審計的難度,所需時間以及人員配備情況等。
了解了基本情況,審計組織就可以大致判斷系統的復雜性、管理層對審計的態度、內部控制的狀況、以前審計的狀況、審計難點與重點,以決定是否對其進行審計。
(2)初步評價被審單位系統的內部控制及外部控制
傳統的內部控制制度是為防止舞弊和差錯而形成的以內部稽核和相互牽制為核心的工作制度。隨著信息技術特別是以Internet為代表的網絡技術的發展和應用,企業信息系統進壹步向深層次發展,這些變革無疑給企業帶來了巨大的效益,但同時也給內部控制帶來了新的問題和挑戰。加強內部控制制度是信息系統安全可靠運行的有力保證。依據控制對象的範圍和環境,信息系統內控制度的審計內容包括壹般控制和應用控制兩類。
壹般控制是系統運行環境方而的控制,指對信息系統構成要素(人、機器、文件)的控制。它已為應用程序的正常運行提供外圍保障,影響到計算機應用的成敗及應用控制的強弱。主要包括:組織控制、操作控制、硬件及系統軟件控制和系統安全控制。
應用控制是對信息系統中具體的數據處理活動所進行的控制,是具體的應用系統中用來預測、檢測和更正錯誤和處置不法行為的控制措施,信息系統的應用控制主要體現在輸入控制、處理控制和輸出控制。應用控制具有特殊性,不同的應用系統有著不同的處理方式和處理環節,因而有著不同的控制問題和不同的控制要求,但是壹般可把它劃分為:輸入控制、處理控制和輸出控制。
通過對信息系統組織機構控制,系統開發與維護控制,安全性控制,硬件、軟件資源控制,輸入控制,處理控制,輸出控制等方而的審計分析,建立內部控制強弱評價的指標系統及評價模型,審計人員通過交互式人機對話,輸入各評價指標的評分,內控制審計評價系統則可以進行多級綜合審計評價。通過內控制度的審計,實現對系統的預防性控制,檢測性控制和糾正性控制。
(3)識別重要性
為了有效實現審計目標,合理使用審計資源,在制定審計計劃時,信息系統審計人員應對系統重要性進行適當評估。對重要性的評估壹般需要運用專業判斷。考慮重要性水平時要根據審計人員的職業判斷或公用標準,系統的服務對象及業務性質,內控的初評結果。重要性的判斷離不開特定環境,審計人員必須根據具體的信息系統環境確定重要性。重要性具有數量和質量兩個方面的特征。越是重要的子系統,就越需要獲取充分的審計證據,以支持審計結論或意見。
(4)編制審計計劃
經過以上程序,為編制審計計劃提供了良好準備,審計人員就可以據以編制總體及具體審計計劃。
總體計劃包括:被審單位基本情況;審計目的、審計範圍及策略;重要問題及重要審計領域;工作進度及時間;審計小組成員分工;重要性確定及風險評估等。
具體計劃包括:具體審計目標;審計程序;執行人員及時間限制等。 做好上訴材料的充分的準備,便可進行審計實施,具體包括以下內容:
(1)對信息系統計劃開發階段的審計
對信息系統計劃開發階段的審計包括對計劃的審計和對開發的審計,可以采用事中審計,也可以是事後審計。比較而言事中審計更有意義,審計結果的得出利於故障、問題的及早發現,利於調整計劃,利於開發順序的改進。
信息系統計劃階段的關鍵控制點有:計劃是否有明確的目的,計劃中是否明確描述了系統的效果,是否明確了系統開發的組織,對整體計劃進程是否正確預計,計劃能否隨經營環境改變而及時修正,計劃是否制定有可行性報告,關於計劃的過程和結果是否有文檔記錄等等。
系統開發階段包括系統分析、系統設計、代碼編寫和系統測試三部分。其中涉及包括功能需求分析、業務數據分析、總體框架設計、結構設計、代碼設計、數據庫設計、輸入輸出設計、處理流程及模塊功能的設計。編程時依據系統設計階段的設計圖及數據庫結構和編碼設計,用計算機程序語言來實現系統的過程。測試包括動態測試和靜態測試,是系統開發完畢,進入試運行之前的必經程序。其關鍵控制點有:
分析控制點:是否己細致分析企業組織結構;是否確定用戶功能和性能需求;是否確定用戶的數據需求等。
設計控制點:設計界面是否方便用戶使用;設計是否與業務內容相符;性能能否滿足需要,是否考慮故障對策和安全保護等。
編程控制點:是否有程序說明書,並按照說明書進行編寫;編程與設計是否相符,有無違背編程原則;程序作者是否進行自測;是否有程序作者之外的第三人進行測試;編程的書寫、變量的命名等是否規範。
測試控制點:測試數據的選取是否按計劃及需要進行,是否具有代表性;測試是否站在公正客觀的立場進行,是否有用戶參與測試;測試結果是否正確記錄等。
(2)對信息系統運行維護階段的審計
對信息系統運行維護階段的審計又細分為對運行階段的審計和對維護階段的審計。系統運行過程的審計是在信息系統正式運行階段,針對信息系統是否被正確操作和是否有效地運行,從而真正實現信息系統的開發目標、滿足用戶需求而進行的審計。對信息系統運行過程的審計分為系統輸入審計、通信系統審計、處理過程審計、數據庫審計、系統輸出審計和運行管理審計六大部分。
輸入審計的關鍵控制點有:是否制定並遵守輸入管理規則,是否有數據生成順序、處理等的防錯、保護措施、防錯、保護措施是否有效等。
通信系統實施的是實際數據的傳輸,通信系統中,審計軌跡應記錄輸入的數據、傳送的數據和工作的通信系統。通信系統審計的關鍵控制點有:是否制定並遵守通信規則,對網絡存取控制及監控是否有效等。
處理過程指處理器在接收到輸入的數據後對數據進行加工處理的過程,此時的審計主要針對數據輸入系統後是否被正確處理。關鍵控制點有:被處理的數據,數據處理器,數據處理時間,數據處理後的結果,數據處理實現的目的,系統處理的差錯率,平均無故障時間,可恢復性和平均恢復時間等。
數據庫審計是保障數據庫正確行使了其職能,如對數據操作的有效性和發生異常操作時對數據的保護功能(正確數據不丟失,數據回滾以保證數據的壹致性)。其關鍵控制點有:對數據的存取控制及監視是否有效,是否記錄數據利用狀況,並定期分析,是否考慮數據的保護功能,是否有防錯、保密功能,防錯、保密功能是否有效等。
輸出審計不同於測試階段的輸出審計,此時的輸出是在實際數據的基礎上進行的,對其進行審計可以對系統輸出進行再控制,結合用戶需求進行評價。關鍵控制點有:輸出信息的獲取及處理時是否有防止不正當行為和機密保護措施,輸出信息是否準確、及時,輸出信息的形式是否被客戶所接受,是否記錄輸出出錯情況並定期分析等。
運行管理審計是對人機系統中人的行為的審計。關鍵控制點有:操作順序是否標準化,作業進度是否有優先級,操作是否按標準進行,人員交替是否規範,能否對預計於實際運行的差異進行分析,遇問題時能否相互溝通,是否有經常性培訓與教育等。
維護過程的審計包括對維護計劃、維護實施、改良系統的試運行和舊系統的廢除等維護活動的審計。維護過程的關鍵控制點有:維護組織的規模是否適應需要,人員分工是否明確,是否有壹套管理機制和協調機制,維護過程發現的可改進點,維護是否得到維護負責人同意,是否對發現問題作了修正,維護記錄是否有文檔記載,是否定期分析,舊系統的廢除是否在授權下進行等。 完成階段是實質性的整個信息系統審計工作的結束,主要工作有:
整理、評價執行審計業務過程中收集到的證據。在信息系統審計的現代化管理時期,收集到的數據己存儲在管理系統中,審計人員只需對其進行分析和調用即可。
復核審計底稿,完成二級復核。傳統審計的三級復核制度對信息系統審計同樣適用,它是保證審計質量、降低審計風險的重要措施。壹級復核是由信息系統審計項目組長在審計過程進行中對工作底稿的復核,這層復核主要是評價已完成的審計工作、所獲得的工作底稿編制人員形成的結論;二級復核是在外勤工作結束時,由審計部門領導對工作底稿進行的重點復核。在審計工作辦公自動化的今天,二級復核制度同樣可以通過網上報送及調用得以實現。
評價審計結果,形成審計意見,完成三級復核,編制審計報告。評價審計結果主要是為了確定將要發表的審計意見的類型及在整個審計工作中是否遵循了獨立審計準則。信息系統審計人員需要對重要性和審計風險進行最終的評價。這是審計人員決定發表何種類型審計意見的必要過程,所確定的可接受審計風險壹定要有足夠充分適當的審計證據支持。簽發審計報告之前,應當隨工作底稿進行最終(三級)復核,三級復核由審計部門的主任進行,主要復核所采用審計程序的恰當性、審計工作底稿的充分性、審計過程中是否存在重大遺漏、審計工作是否符合事務所的質量要求等。三級復核制度的堅持是控制審計風險的重要手段。審計報告是審計工作的最終成果,審計報告首先應有審計人員對被審系統的安全性、可靠性、穩定性、有效性的意見,同時提出改進建議。