信息系统安全审计流程

2024-05-25

信息系统安全审计流程（精选6篇）

篇1：信息系统安全审计流程

信息系统审计操作流程

1．审计计划阶段

计划阶段是整个审计过程的起点。其主要工作包括：

（1）了解被审系统基本情况

了解被审系统基本情况是实施任何信息系统审计的必经程序，对基本情况的了解有助于审计组织对系统的组成、环境、运行年限、控制等有初步印象，以决定是否对该系统进行审计，明确审计的难度，所需时间以及人员配备情况等。了解了基本情况，审计组织就可以大致判断系统的复杂性、管理层对审计的态度、内部控制的状况、以前审计的状况、审计难点与重点，以决定是否对其进行审计。

（2）初步评价被审单位系统的内部控制及外部控制

传统的内部控制制度是为防止舞弊和差错而形成的以内部稽核和相互牵制为核心的工作制度。随着信息技术特别是以Internet为代表的网络技术的发展和应用，企业信息系统进一步向深层次发展，这些变革无疑给企业带来了巨大的效益，但同时也给内部控制带来了新的问题和挑战。加强内部控制制度是信息系统安全可靠运行的有力保证。依据控制对象的范围和环境，信息系统内控制度的审计内容包括一般控制和应用控制两类。

一般控制是系统运行环境方而的控制，指对信息系统构成要素(人、机器、文件)的控制。它已为应用程序的正常运行提供外围保障，影响到计算机应用的成败及应用控制的强弱。主要包括：组织控制、操作控制、硬件及系统软件控制和系统安全控制。

应用控制是对信息系统中具体的数据处理活动所进行的控制，是具体的应用系统中用来预测、检测和更正错误和处置不法行为的控制措施，信息系统的应用控制主要体现在输入控制、处理控制和输出控制。应用控制具有特殊性，不同的应用系统有着不同的处理方式和处理环节，因而有着不同的控制问题和不同的控制要求，但是一般可把它划分为：输入控制、处理控制和输出控制。

通过对信息系统组织机构控制，系统开发与维护控制，安全性控制，硬件、软件资源控制，输入控制，处理控制，输出控制等方而的审计分析，建立内部控制

强弱评价的指标系统及评价模型，审计人员通过交互式人机对话，输入各评价指标的评分，内控制审计评价系统则可以进行多级综合审计评价。通过内控制度的审计，实现对系统的预防性控制，检测性控制和纠正性控制。

（3）识别重要性

为了有效实现审计目标，合理使用审计资源，在制定审计计划时，信息系统审计人员应对系统重要性进行适当评估。对重要性的评估一般需要运用专业判断。考虑重要性水平时要根据审计人员的职业判断或公用标准，系统的服务对象及业务性质，内控的初评结果。重要性的判断离不开特定环境，审计人员必须根据具体的信息系统环境确定重要性。重要性具有数量和质量两个方面的特征。越是重要的子系统，就越需要获取充分的审计证据，以支持审计结论或意见。

（4）编制审计计划

经过以上程序，为编制审计计划提供了良好准备，审计人员就可以据以编制总体及具体审计计划。

总体计划包括：被审单位基本情况；审计目的、审计范围及策略；重要问题及重要审计领域；工作进度及时间；审计小组成员分工；重要性确定及风险评估等。具体计划包括：具体审计目标；审计程序；执行人员及时间限制等。

2．审计实施阶段

做好上诉材料的充分的准备，便可进行审计实施，具体包括以下内容：

（1）对信息系统计划开发阶段的审计

对信息系统计划开发阶段的审计包括对计划的审计和对开发的审计，可以采用事中审计，也可以是事后审计。比较而言事中审计更有意义，审计结果的得出利于故障、问题的及早发现，利于调整计划，利于开发顺序的改进。

信息系统计划阶段的关键控制点有：计划是否有明确的目的，计划中是否明确描述了系统的效果，是否明确了系统开发的组织，对整体计划进程是否正确预计，计划能否随经营环境改变而及时修正，计划是否制定有可行性报告，关于计划的过程和结果是否有文档记录等等。

系统开发阶段包括系统分析、系统设计、代码编写和系统测试三部分。其中涉及包括功能需求分析、业务数据分析、总体框架设计、结构设计、代码设计、数据库设计、输入输出设计、处理流程及模块功能的设计。编程时依据系统设计阶

段的设计图及数据库结构和编码设计，用计算机程序语言来实现系统的过程。测试包括动态测试和静态测试，是系统开发完毕，进入试运行之前的必经程序。其关键控制点有:

分析控制点：是否己细致分析企业组织结构；是否确定用户功能和性能需求；是否确定用户的数据需求等。

设计控制点：设计界面是否方便用户使用；设计是否与业务内容相符；性能能否满足需要，是否考虑故障对策和安全保护等。

编程控制点：是否有程序说明书，并按照说明书进行编写；编程与设计是否相符，有无违背编程原则；程序作者是否进行自测；是否有程序作者之外的第三人进行测试;编程的书写、变量的命名等是否规范。

测试控制点：测试数据的选取是否按计划及需要进行，是否具有代表性；测试是否站在公正客观的立场进行，是否有用户参与测试；测试结果是否正确记录等。

（2）对信息系统运行维护阶段的审计

对信息系统运行维护阶段的审计又细分为对运行阶段的审计和对维护阶段的审计。系统运行过程的审计是在信息系统正式运行阶段，针对信息系统是否被正确操作和是否有效地运行，从而真正实现信息系统的开发目标、满足用户需求而进行的审计。对信息系统运行过程的审计分为系统输入审计、通信系统审计、处理过程审计、数据库审计、系统输出审计和运行管理审计六大部分。

输入审计的关键控制点有：是否制定并遵守输入管理规则，是否有数据生成顺序、处理等的防错、保护措施、防错、保护措施是否有效等。

通信系统实施的是实际数据的传输，通信系统中，审计轨迹应记录输入的数据、传送的数据和工作的通信系统。通信系统审计的关键控制点有：是否制定并遵守通信规则，对网络存取控制及监控是否有效等。

处理过程指处理器在接收到输入的数据后对数据进行加工处理的过程，此时的审计主要针对数据输入系统后是否被正确处理。关键控制点有：被处理的数据，数据处理器，数据处理时间，数据处理后的结果，数据处理实现的目的，系统处理的差错率，平均无故障时间，可恢复性和平均恢复时间等。

数据库审计是保障数据库正确行使了其职能，如对数据操作的有效性和发生异常操作时对数据的保护功能(正确数据不丢失，数据回滚以保证数据的一致性)。

其关键控制点有：对数据的存取控制及监视是否有效，是否记录数据利用状况，并定期分析，是否考虑数据的保护功能，是否有防错、保密功能，防错、保密功能是否有效等。

输出审计不同于测试阶段的输出审计，此时的输出是在实际数据的基础上进行的，对其进行审计可以对系统输出进行再控制，结合用户需求进行评价。关键控制点有：输出信息的获取及处理时是否有防止不正当行为和机密保护措施，输出信息是否准确、及时，输出信息的形式是否被客户所接受，是否记录输出出错情况并定期分析等。

运行管理审计是对人机系统中人的行为的审计。关键控制点有：操作顺序是否标准化，作业进度是否有优先级，操作是否按标准进行，人员交替是否规范，能否对预计于实际运行的差异进行分析，遇问题时能否相互沟通，是否有经常性培训与教育等。

维护过程的审计包括对维护计划、维护实施、改良系统的试运行和旧系统的废除等维护活动的审计。维护过程的关键控制点有：维护组织的规模是否适应需要，人员分工是否明确，是否有一套管理机制和协调机制，维护过程发现的可改进点，维护是否得到维护负责人同意，是否对发现问题作了修正，维护记录是否有文档记载，是否定期分析，旧系统的废除是否在授权下进行等。

3．审计完成阶段

完成阶段是实质性的整个信息系统审计工作的结束，主要工作有:

整理、评价执行审计业务过程中收集到的证据。在信息系统审计的现代化管理时期，收集到的数据己存储在管理系统中，审计人员只需对其进行分析和调用即可。

复核审计底稿，完成二级复核。传统审计的三级复核制度对信息系统审计同样适用，它是保证审计质量、降低审计风险的重要措施。一级复核是由信息系统审计项目组长在审计过程进行中对工作底稿的复核，这层复核主要是评价已完成的审计工作、所获得的工作底稿编制人员形成的结论；二级复核是在外勤工作结束时，由审计部门领导对工作底稿进行的重点复核。在审计工作办公自动化的今天，二级复核制度同样可以通过网上报送及调用得以实现。

评价审计结果，形成审计意见，完成三级复核，编制审计报告。评价审计结果

主要是为了确定将要发表的审计意见的类型及在整个审计工作中是否遵循了独立审计准则。信息系统审计人员需要对重要性和审计风险进行最终的评价。这是审计人员决定发表何种类型审计意见的必要过程，所确定的可接受审计风险一定要有足够充分适当的审计证据支持。签发审计报告之前，应当随工作底稿进行最终(三级)复核，三级复核由审计部门的主任进行，主要复核所采用审计程序的恰当性、审计工作底稿的充分性、审计过程中是否存在重大遗漏、审计工作是否符合事务所的质量要求等。三级复核制度的坚持是控制审计风险的重要手段。审计报告是审计工作的最终成果，审计报告首先应有审计人员对被审系统的安全性、可靠性、稳定性、有效性的意见，同时提出改进建议。

篇2：信息系统安全审计流程

信息系统安全审计定义与发展

信息系统安全审计是评判一个信息系统是否真正安全的重要标准之一。通过安全审计收集、分析、评估安全信息、掌握安全状态，制定安全策略，确保整个安全体系的完备性、合理性和适用性，才能将系统调整到“最安全”和“最低风险”的状态。安全审计已成为企业内控、信息系统安全风险控制等不可或缺的关键手段，也是威慑、打击内部计算机犯罪的重要手段。在国际通用的CC准则（即ISO/IEC15408-2:1999《信息技术安全性评估准则》）中对信息系统安全审计（ISSA，Information System Security Audit）给出了明确定义：信息系统安全审计主要指对与安全有关的活动的相关信息进行识别、记录、存储和分析；审计记录的结果用于检查网络上发生了哪些与安全有关的活动，谁（哪个用户）对这个活动负责；主要功能包括：安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件选择、安全审计事件存储等。这是国际CC准则给出的一个比较抽象的概念，通俗来讲，信息安全审计就是信息网络中的“监控摄像头”，通过运用各种技术手段，洞察网络信息系统中的活动，全面监测信息系统中的各种会话和事件，记录分析各种网络可疑行为、违规操作、敏感信息，帮助定位安全事件源头和追查取证，防范和发现计算机网络犯罪活动，为信息系统安全策略制定、风险内控提供有力的数据支撑。

（一）国内信息系统安全审计发展历史与国外相比，中国的信息系统安全审计起步较晚，相关审计技术、规范和制度等都有待进一步完善。随着我国信息化水平快速提高，信息系统安全审计正逐渐成为国内信息系统安全建设热点之一。我国的信息系统安全审计发展可分为两个阶段：1999年-2004年信息系统安全审计导入期1999年财政部颁布了《独立审计准则第20号-计算机信息系统环境下的审计》，部分内容借鉴了国外研究成果。这是国内第一次明确提出对计算信息系统审计的要求。同年,国家质量技术监督局颁布《GB17859-1999 计算机信息系统安全保护等级划分准则》,该准则是建立计算机信息系统安全保护等级制度，实施安全保护等级管理的重要基础性标准，其中明确要求计算机信息系统创建和维护受保护客体的访问审计跟踪记录，并能阻止非授权的用户对它访问或破坏。”2005年-2009年信息系统安全审计的快速成长期随着互联网在国内的迅速普及应用，推动国内信息系统安全审计进入快速发展阶段。国家相关部门、金融行业、能源行业、运营商均陆续推出多项针对信息系统风险管理政策法规，推动国内信息系统安全审计快速发展。目前，随着信息安全建设的深入，安全审计已成为国内信息安全建设的重要技术手段。总体来看，由于信息系统发展水平和业务需求的不同，各行业对安全审计的具体关注点存在一定差异，但均是基于政策合规、自身安全建设要求，如：政府主要关注如何满足“信息系统安全等级保护”等政策要求的合规安全审计；电信运营商则基于自身信息系统风险内控需求进行安全审计建设。

篇3：信息系统安全审计流程

计算机技术特别是网络技术在会计领域的深入应用,使传统的手工会计正逐步被以计算机及网络技术应用为特点的信息化会计所取代。信息化会计是以计算机为主要信息处理手段的会计信息系统。该系统是由人员、计算机硬件、计算机软件、相关的信息资料文件和会计规范等基本要素组成,是一个人机结合的系统,它的产生和发展对传统审计带来了很大的冲击。会计信息化大大提高了会计信息处理的速度和准确性,为用户提供了及时、准确的会计信息,是会计发展史上的一次飞跃。

伴随着会计信息技术化的成熟,以ERP为代表的企业信息系统的高度集成逐渐开始兴起。高度信息化的业务活动和业务流程引发新的审计风险,在目前以风险为导向的审计方法下,审计人员必须制定和选择适应新的业务系统的审计测试流程来识别、评估和应对财务报表层次和认定层次的重大错报风险。本文从注册会计师审计的角度,对会计电算化系统的应用和发展对审计测试中内部控制流程、控制性测试流程和实质性测试流程的影响进行分析和总结,并对信息化审计测试流程完善提出了几点建议。

1 审计测试流程的介绍

目前审计是以风险为导向的审计,风险的识别、评估和应对是审计的主线。一般的外部审计先要通过了解被审计单位和环境特别是其内部控制来评估被审计单位是否存在重大错报风险,再考虑针对风险的总体应对措施和具体应对措施,然后考虑测试程序的类型,并依据获取审计证据要求,结合具体测试程序优点和缺点选择经济有效的测试程序。审计测试按照大类可分成内部控制测试、控制性测试和实质性测试。内部控制测试是对被审计单位和环境从整体层面是否存在重大错报风险的初步评估;控制性测试是为内控制度有效运行获取审计证据;实质性测试分为分析程序和细节测试,以获取支持认定层次的审计证据。

由于会计电算化和信息化的大规模普及,审计人员已无法绕开信息系统对被审计单位财务数据和报表进行审核,直接获取审计证据,而是必须要了解和评估与信息系统相关的内部控制,然后在控制性测试和实质性测试基础上,应用信息技术对审计的策略、范围、方法和手段做出相应的调整,以获取充分、恰当的审计证据,支持发表的审计结论。

2 信息系统对审计测试流程的影响

2.1 信息系统对了解内部控制流程审计的影响

了解内部控制是对被审计单位风险评估的重要内容,在信息化系统下,由于信息处理方式与手工系统有很大的区别,因此采用不同的控制方式。信息化系统下,企业内部控制可分为两个部分:

1)一般控制,包括组织与管理控制、应用系统开发和维护控制、计算机操作控制、系统软件控制、数据和程序控制等;

2)应用控制,包括输入控制、计算机处理与数据文件控制、输出控制等。

在自动化系统控制下,审计人员首先应熟悉和了解被审计单位内部控制的设置和监控,熟悉其信息化流程,从而评价其信息技术一般控制的合理性。对信息系统一般控制的审计是了解被审计单位及其环境、对被审计单位整体层面存在重大错漏报风险特别是舞弊风险的识别和评估,关系到被审计单位财务报表的可审性。假如被审计单位所依赖的系统和程序本身是不合理的,不能正确反映企业的实际经济业务,例如未经恰当授权,用户可以任意的查询、篡改、删除信息数据,表明被审计单位的信息系统存在整体层面的特别风险。经过进一步审计程序,不能将审计风险降低到可接受的范围内,那么财务报表不具有可审性。

对信息系统的应用控制审计则是主要检查在业务流程层次运行的人工或自动化程序,与用于生成、记录、处理、报告交易或其他财务数据的程序,通常包括检查数据计算准确性,审核账户和试算平衡表,设置对输入数据和数字序号的自动检查,以及对例外报告进行人工干预。在一般控制具有合理性的基础上检查控制是否得到执行,因此审计人员需要执行审计程序获取应用控制得到执行的审计证据。

2.2 信息系统对控制测试流程的影响

信息化审计注重对业务事项和处理过程进行证据收集,通过对被审计单位的内部控制的测试,如果认为被审计单位控制设计合理并得到执行,能够有效防止或发现并纠正重大错报,那么审计人员拟信赖这些内部控制,就需要实施控制测试来进一步证实内部控制的有效性。

在手工系统下,获取内部控制在某一时点得到执行的审计证据,并不能证明该内部控制在所审计期间内都得到执行。也就是说审计人员对内部控制的了解和评价并不能够代替对控制运行有效性的测试。但是由于信息技术的应用,可以使被审计单位持续一贯地对大量数据进行处理,提高了被审计单位监督控制活动的运行情况的能力,信息技术还可以通过对应用软件、数据库、操作系统设置安全控制来实行有效的职责划分。

由于信息技术处理流程具有内在一贯性,实施审计程序确定某项自动控制是否得到执行,也可以实现控制运行有效性的目标。也就是说对内部控制的测试同时能测试自动化系统是否得到一贯执行,对内部控制的评估和控制测试可以同时进行,不用在手工控制条件下分开进行,不仅提高审计效率,而且在审计期中对自动化系统控制运行有效性获取了比较充分的审计证据,可以减少需要剩余期间的补充证据,缩小控制测试的范围。

2.3 信息系统对实质性测试流程的影响

在信息系统环境下可实现在手工条件下不可行的实质性测试和分析。比如,审阅大量的和非正常的销售交易,尽管这项工作有可能通过手工执行来实现,但是从时间的角度出发会影响审计的效率和效果。电算化系统使对每一笔交易进行测试成为可能,在交易量样本大的情况下电算化信息技术替代手工测试,有助于详审海量数据,也减少大量的审计工作量。因此信息技术最广泛的应用领域是实质性程序,特别是在与分析程序相关的方面。除此以外,信息化技术还被用于细节测试和审计抽样的辅助。

需要注意的是,在高度自动化控制下审计人员不能够像手工系统下那样,仅实施实质性流程就可获取充分、适当的审计证据,使审计风险降低到可接受的水平,必须要对被审计单位的内部控制进行评估并且实施相关的控制测试,以获取控制运行有效性的审计证据。例如,在被审计单位对日常信息的生成、记录、处理、报告都采用高度自动化处理的情况下,审计证据仅以电子形式存在,传统的审计线索不复存在,审计证据是否充分恰当取决于自动化信息系统相关控制的有效性,如果没有适当有效的控制,则生成不正确信息或信息被不恰当修改的可能性很大,在这种情况下审计人员如果依赖被审计单位的财务信息,可能会造成“假账真查”的后果,影响发表的审计意见。

3 使用信息技术加强审计工作的几点建议

3.1 制定规范的计算机审计法规和准则,适应信息化的审计工作流程

首先要制定系统化的具体审计准则规范指导审计测试流程,目前在我国新修订的2012年1月1日开始执行的新审计准则中,在风险评估和风险应对中体现了信息化系统下对被审计单位的内部控制测试和进一步审计流程的内容,但是没有形成系统的操作规范和流程,我国目前的审计准则也没有制定专门针对信息系统审计的具体准则,因此需要制定专门针对信息系统环境下进行审计测试的具体准则和规范指导外部审计人员的工作。其次主管财政部门在评审某会计软件时应对计算机系统内部控制做出评价,考虑其是否符合信息化审计工作流程的要求,是否能直接获取审计流程所需要的证据。再次主管部门要对审计人员应具备的资格、电算化审计流程和相关的审计技术以及证据收集等方面做出规范。

3.2 开发和利用适合信息化审计工作流程的会审一体化软件

会审一体化软件是计算机审计不可缺少的技术工具,没有良好的计算机审计软件是很难开展审计工作的。大型会计师事务所应与实力强大的软件开发公司合作,优势互补,共同开发会计审计一体化软件。审计专业人员参与到电算化软件的总体设计开发中,电算化软件处理财务信息的流程中,设置与审计流程相对应的审计控制节点,由计算机自动记录有关审计所需线索。计算机形成财务信息的同时也是生成审计测试轨迹的流程,会计软件进行数据输出时,可自动生成与之一致的审计数据。在信息系统评审测试评价过程中也要有审计人员的参与,审计人员在系统的合法合规性、安全可靠性、可审计性及可维护性从审计的角度提出要求,既加强被审计单位的内部控制和风险防范能力,又可以大幅度提高审计的工作效率,减少审计风险。

3.3 采用适应信息化审计流程的方法和手段

企业实行会计电算化后,手工审计方法已不能达到审计的目的,审计人员承担的审计风险也在不断增加,因此审计技术和方法应随之改变。审计人员大力开展对计算机审计方法和手段的研究,运用电子技术和信息化软件完成审计测试流程要求的大部分工作,如在软件设计过程中设计审计通用数据接口,保证审计通用数据接口文件中的数据永远与会计软件内部生成和输出的数据一致;在控制测试和实质性测试中运用审计软件对各种电子会计信息抽查验证,网上复制有关数据,编写审计工作底稿;在实质性测试中利用信息化技术抽取样本,进行各种数量关系的配比分析与数据查询,调查异常项目,对相关数据进行检查、分析与核对,提高实质性测试的效率。

3.4 积极培养具有复合型知识结构的审计人员

信息化系统的发展对审计流程和审计包含的内容产生了重大影响,审计工作所涉及的超越传统审计的范围,审计人员除需具备丰富的会计、财务、审计等方面的知识和技能且熟悉有关政策法规之外,还应具备一定的计算机知识,对会计电算化系统有一定的了解,对会计电算化系统有可能出现的错误及舞弊要有清楚的认识。因此要加强现有审计人员的计算机知识培训,积极培养既懂审计又懂信息技术专业知识的复合性人才,使审计系统有一批掌握审计和计算机双重技能的人员,保证信息化审计方法在实务中得到广泛、有效的应用。

参考文献

[1]财政部注册会计师考试委员会.审计[M].北京:经济科学出版社,2011.

[2]王艳.会计电算化条件下审计技术的变革[J].财税统计,2011(3).

[3]李良,顾庆吉.浅谈会计电算化对审计的影响及对策分析[J].财会审计,2011(9).

[4]周丽群,苏彬.电算化条件下的审计[J].财会审计,2011(9).

[5]李志军.手工系统和电算化系统条件下审计的比较[J].财会月刊,2003(5).

篇4：审计系统在电力信息安全中的运用

一个完整信息安全保障体系,应该由预警、防护、监控、应急响应、灾难恢复等系统组成。审计系统是整个监控和预警体系的关键组成部分,做好安全审计工作,能够增强电力企业对故障、风险的预警能力和监控能力,也能够为防护体系和企业的内部管理体系提供客观、有效的改进依据。

审计系统组成要素

信息系统的运行由一系列的人员行为和系统行为组成,信息系统安全审计就是采集、监控、分析信息系统各组成部分的系统行为(日志)和操作行为的过程。

全面采集。审计信息的采集过程是整个审计体系的基础。采集过程应侧重于采集方式的灵活性及采集对象的全面性。审计系统应提供多种信息采集方式对审计信息源进行数据采集,对电力系统而言,审计系统应尽量避免在主机中安装软件,串接设备方式进行采集,而应尽量通过系统自身的日志协议(如syslog协议)、旁路(如端口镜像)等更安全的方式进行。电力公司信息系统中包含有各种各样的设备,服务器系统、路由器、交换机、工作站、终端等硬件设备;各类数据库、电力应用系统、中间件、OA、WEB等软件应用系统以及管理员的维护系统、普通用户的业务操作行为、上网行为等等人员的访问行为,审计系统应该通过不同方式灵活实现对上述相关系统日志和行为的采集。

采集过程还应保障信息源的客观性,不应篡改信息的原有属性。

实时监控。利用审计系统对采集到的日志信息、行为信息进行实时分析。通过审计系统的实时监控、告警功能,定制符合电力信息系统安全需求的规则库,规则库内容应涵盖各类操作系统、网络设备、人员操作规范等范围。实时监控还应该对每台设备的日志量进行监控,对日志量剧增、剧减等情况进行提醒。

审计分析。安全审计分析是整个信息安全体系的核心组成部分之一,电力系统应该利用审计系统对网络、应用的运行情况、企业内部信息安全制度的执行情况进行周期性审计。周期性的审计是整个审计系统发挥作用的关键,没有周期性的审计,就无法及时发现信息系统中存在的安全隐患。

实施审计系统的意义

保障数据的客观性。使用第三方审计产品对各类信息系统组成要素、人员行为进行安全审计,可以避免完全由技术人员进行手工审计带来因数据恶意篡改、人为疏忽而造成数据变化,从而保证审计数据源的客观性。

保障数据的安全性。信息系统的日志、行为记录默认状态下分散存储在各主机、应用系统当中。一旦主机操作黑客破坏,或者磁盘损坏等意外事件都有可能导致数据丢失或破坏。第三方专业审计系统在设计、开发时对安全性、可靠性均做了充分设计,可以有效地保障数据的安全性,避免上述情况的发生。

提高审计工作效率。信息安全审计工作在没有专业审计系统的情况下是一项繁重的工作,技术人员要面对数个甚至数十个主机、数据库、设备的海量日志,依靠人力根本无法完成周期性的日志审计工作,工作量的巨大直接导致目前日志分析工作都是在出现安全事件之后,有针对性的进行事后分析。

依赖于专业化的审计系统,电力信息系统可以将所有系统的运行日志均集中到审计系统中,利用审计系统高效的检索功能及自动化的审计功能帮助审计人员进行日常审计工作,从而大大减轻审计人员的工作负担,而且能够增加审计的准确性,避免了人为失误。

落实安全管理规范。在未部署审计系统之前,由于缺乏对维护人员操作的监控能力,大量的操作规范无法真正落到实处,如无法实现对telnet、ssh、RDP等维护协议的指令还原就无法知道维护人员每次维护时在操作系统内部输入了何种指令。在部署审计系统之后,通过对维护人员操作指令的定期审计,指出维护人员操作的不当或违规之处,经过一段时间的运行,就能逐步树立维护人员良好的操作习惯,避免由于人员疏忽造成的安全事故。

另外,通过审计系统也能检测维护人员是否按照信息安全管理规范对信息系统进行维护,如定期修改密码、定期备份关键数据等等。

作为信息安全体系建设的一个重要环节,日志综合审计系统在电力系统中比不可少;通过日志安全审计系统的运用,不仅能提高员工工作效率,规范维护人员良好的工作习惯,也能及时发现信息系统中潜在的安全隐患,在满足合规要求的同时,真正提高了信息系统的安全性。

篇5：信息系统安全审计流程

本卷共分为1大题50小题，作答时间为180分钟，总分100分，60分及格。

一、单项选择题（共50题，每题2分。每题的备选项中，只有一个最符合题意）1.某大型制造公司在进行生产作业时间安排时非常依赖先进的高端软件，在控制生产产品的机器时非常依赖自动化软件，在与客户沟通交流时非常依赖网络应用程序。那么，公司在将其计算机操作业务外包时可能面临的最大风险是什么？ A：硬件成本上升； B：返工成本增加； C：生产率下降； D：丧失灵活性。

2.一个设备制造商设有订货登记系统的拨号进入端口，以方便世界范围内的客户在需要的时候方便地进行订货。该制造商承诺在全世界范围内95%的零件订货可以在48小时之内送货。由于某些电子零件的成本和敏感性，供货商需要设立订货登记系统访问的安全措施。对访问的安全性进行监视的最好技术是 A：订货登记系统的集成检测设备。B：通过订货登记系统对业务进行追踪。C：订货登记业务的业务选择。

D：对不成功的访问企图进行日志登记。

3.某内部审计师运用通用审计软件从组织中一年的银行账户中挑选有代表性的统计样本。内部审计师证实了样本中的所有支付都经适当批准的支持文件，并且注意到所有支付都在期限内支付。根据这个信息，内部审计师可以推论 A：银行对账单与机构的账簿记录一致 B：全年支付的发票被适当地批准和归档 C：保证及时支付的控制按预期执行 D：b和c 4.在项目进度安排的关键时刻增加资源去缩短某些活动时间的过程是 A：应急

B：德尔菲技术

C：原材料需求计划编制 D：分支和范围的解决方法

5.某内部审计师正根据《专业实务框架》，评估机构风险管理程序的充分性。该内部审计师应该

A：寻求有关方面关于风险管理程序的关键目标正在得到实现的保证 B：承认所有机构为管理风险而应用的技术是大同小异的 C：确定并接受机构所面临的风险程序

D：在处理风险管理程序的评估工作时采用与计划审计业务时应用的风险分析完全相同的方式方法。

6.在通货膨胀时期，某国中央银行可以采取以下哪种方法来稳定经济形势? A：调低银行贴现率 B：鼓励收取更高的税率 C：出售政府证券

D：调低银行准备金要求 7.内部审计师对公司各项计算机应用程序的访问安全控制进行审查。他发现每项应用中都编制了访问控制程序，那么应向管理当局提出的最好的建议是 A：取消内设的访问控制 B：考虑使用访问控制软件 C：考虑使用实用软件

D：将内设访问控制的使用扩展到新的应用程序中

8.在证实应付账款项目清单时，以下哪项是对分析性测试的最佳描述？ A：比较应付账款项目清单的项目和应付账款分类账或未支付的凭证文件。B：比较应付账款项目清单的余额和以前年度的余额。

C：比较从所挑选的债权人处收到的函证回函和应付账款明细分类账。D：检查能够支持应付账款项目清单中所选项目的供货商发票。

9.分支机构经理认为内部审计为高级管理履行监督职能，内审人员应如何是他们改变这种认识并说明自身合作性的一面？ A：进一步强调控制职能。B：提高审计技术。

C：加强调查性项目的保密性，减少畏惧心理。D：更多提请被审计人的关注。

10.当雇员从公司指定的旅行社购买机票时，有关机票的信息，包括机仓等级、购买日期以及公司旅行政策中规定的最低可选择的票费标准都将报告给部门经理。这种报告提供的信息是

A：公司旅行政策的执行质量。

B：确认处理雇员差旅报告数据所必要的成本。C：部门的预算数与实际数的对比。D：支持雇主降低经营费用。

11.如果执行有效的话，以下控制程序中最有可能降低上述环境下舞弊发生可能的是 A：要求采购业务在不同供应商之间定期轮换。B：要求三个采购代理进行岗位轮换。

C：要求将验收报告直接传递给应付帐款部门。

D：要求由收货部门进行存货永续盘存的更新记录。12.有限合伙公司的形式一般用于控制 A：合伙公司的总体责任 B：一些合伙人的责任范围 C：合伙公司的持续时间 D：合伙人提取资金的情况

13.下列各项措施中有助于管理当局更好地加强对储存于外部仓库中存货实物控制的是 A：将入库单、出库单与存货记录相核对。B：增加投保范围。

C：将存货实存数与会计记录相核对。D：向仓库保管员定期核证存货数量。

14.利用下列资料回答问题3—5某审计人员正对某分部的经营业绩进行审计。该分部的销售、毛利(gross margin)和净利润均存在超常增长的情形。下列情形中最不可能表明该分部可能存在销售舞弊的是

A：分部经理补贴的很大一部分取决于报告的该部门利润； B：年终后存在大量的销售退回记录； C：审计人员对销售发票进行随机抽样，但无法找到与十一、十二月份的大量销售业务相应的运输凭单；

D：本年度中该部门的一大主要的竞争对手破产了。

15.某专做定货的厂家应用时间安排程序将起始时间发送至各个不同部门的服务器，该厂把编写所有的起始时间视为单一的一项交易，所有服务器在任何时候都获得完全一致的时间安排信息，这点至关重要，如果一个或多个服务器无法使用，那么，该交易应该 A：委托其他方面进行处理 B：被复制 C：分散进行 D：重新处理

16.为使组织稀缺资源得到最有效率的配置做了准备。II．属于检查型控制程序。III．不必要，因为是根据所产生的利润来对每名产品经理进行评价。A：只有I正确。B：I、Ⅲ正确。C：Ⅱ、Ⅲ正确。

D：I、Ⅱ和Ⅲ都正确。

17.以下哪项内部审计计划工具在性质上是通用的，并可用于确保各时期的恰当业务范围 A：长期计划； B：业务工作方案；

C：内部审计活动的预算； D：内部审计活动的章程。

18.以下哪项公司差旅政策最不可能产生成本效率？ A：与旅馆、航空公司和租车公司谈判签署企业间协议。B：针对已取消的机票预定情况追踪贷方金额。

C：选择最便宜的现有空中旅行方案，但不考虑出差总时间和总距离。D：在可能的情况下，在旅游淡季时前往位于旅游区的地方出差。

19.内部审计师已完成分部工作方案的审计，并决定对公司的配送程序进行修改。业务客户同意并实施了修正的程序。内部审计师应该

A：研究问题并在审计报告中建议应该采取的措施； B：联合开发并沟通恰当的建议；

C：沟通问题并保证管理层会采取恰当的措施；

D：在审计报告中指出客户决定并实施了纠正措施。

20.有些公司应用组织严密的“指挥+控制”管理方法，但这么做在哪方面的风险更大 A：由于无法在决策者之间达成一致意见，会延误应对问题的行动； B：低层员工不愿意应对上层犯下的错误，从而导致负面后果的产生； C：由于员工认为领导不力，员工士气会被销蚀；

D：管理层无视控制措施，从而导致公司资源被浪费和滥用。21.分析性程序的以下哪项结果表明存在过时的商品 A：存货周转率下降；

B：总收益与销售额的比率降低； C：存货与应付款的比率下降； D：存货与应收款的比率下降。

22.下列哪种变动会导致置信区间范围变窄 A：置信水平从95%增至99% B：置信水平从95%下降至90% C：误拒风险的可接受水平降低 D：精确度提高

23.一家大型国际咨询公司的地区办事处的经理可以从公司总部的数据库中访问到人力资源的信息。为了使这种访问的效果更好，提出了使用分布式数据库的建议，有关个人的数据可以存储在地区办事处的计算机中，但经理们可以在世界范围内对其进行访问。这项建议的风险是下列哪一项?I.在网络或计算机出现故障时数据库的完整性可能得不到维护。Ⅱ.同集中化的系统相比数据更加容易受到攻击。Ⅲ.不相容的职责分离在公司的总部可能得不到贯彻。Ⅳ.数据更新可能没有集中化的系统那样快。A：a.只有I、Ⅱ和Ⅲ B：b.I、Ⅱ、lIl和Ⅳ全有 C：c.只有I、Ⅱ和Ⅳ D：d.只有l和Ⅱ

24.内部审计师关心的是存货的整体计价。将下列有关存货计价认定的证据按照证明力由强到弱的顺序排列I、计算单个产品存货周转率。II、通过与市场部经理谈论产品的销售情况来评估周转率小于或等于2.0的所有存货项目的变现价值。III、计算所有存货产品的可实现净值(NRV)(使用审计软件按照以前的售价来计算NRV)并且比较NRV与成本。Ⅳ、对存货进行统计抽样，并审查最新的购货文件(发票和验收单)来计算存货成本。A：I，II，III，Ⅳ B：I，Ⅳ，II，III C：Ⅳ，I，III，II D：II，III，Ⅳ，I 25.某专做定货的厂家应用时间安排程序将起始时间发送至各个不同部门的服务器，该厂把编写所有的起始时间视为单一的一项交易，所有服务器在任何时候都获得完全一致的时间安排信息，这点至关重要，如果一个或多个服务器无法使用，那么，该交易应该 A：委托其他方面进行处理 B：被复制 C：分散进行 D：重新处理

26.内部审计部门使用整合测试法(ITF)对其薪金处理进行测试。内部审计部门确认了计算机程序中设置的关键控制与处理步骤，设定了测试数据来测试计算机程序，并提交了整年的测试交易。假定内部审计师在测试结果中未发现任何差异，他们可以得出以下哪项结论

A：该系统准确地计算了员工全年的工作时间，并且这些工作时间数已恰当地送交薪金部门并得到了准确的处理；

B：所有员工的全年工资都是准确支付的，并且这些支付是准确计算的；

C：计算机化的应用软件及其控制程序在过去的年份里对工资的处理是准确的； D：以上答案都正确。

27.以下哪一项表明在市场部门可能发生了舞弊? A：付给一个新供货商的大额费用没有证明性文件资料。B：控制环境能够被描述为“非常松散”，但是，本部门的管理层认为该看法是合理的，因为本部门需要创新。

C：某经理的生活方式似乎超出了一位市场经理的薪水所能提供的生活方式。D：以上都是。

28.业务范围的确定应足以实现业务的目标。在制定业务计划时，内部审计师应该考虑 A：重大的不合规性的可能性； B：包括在业务工作方案中的信息； C：业务程序的结果； D：所需资源。

29.当内部审计师开展能够带来增值并改善机构业务的咨询服务时 A：内部审计师不可能通过此种咨询业务提供保证服务。

B：如果内部审计师承接同一客户的保证服务，此种服务有损内部审计师的客观性。C：此种服务应该与内部审计部门章程中所反映的部门权限相一致。

D：除了咨询业务的客户，此种服务不要求审计师负责向任何其他方面传达信息。30.下列哪项是审计方案中的恰当步骤。A：声明这项审计。B：观察有关的程序。C：定义审计目标。

D：对审计报告进行规划。

31.首席审计执行官应该制定目标并将其作为内部审计活动计划过程的内容。以下哪项是内部审计目标的特征 A：可考评并能实现； B：有预算并经批准； C：已计划并能实现； D：被要求并经批准。

32.某合规性审计业务没有发现任何不合规问题，但确实发现被审计机构没有建立相关制度来确保对适用法律法规的遵守。审计师的责任是Ⅰ、在报告中反映没有发现任何严重不合规问题Ⅱ、在报告中反映被审计机构存在严重控制缺陷，因为管理层没有建立确保合规制度Ⅲ、与管理层会面，确定应采取何种纠正措施Ⅳ、开展监测，以确定是否已采取纠正措施 A：只有Ⅰ和Ⅲ是对的 B：只有Ⅰ是对的 C：只有Ⅱ和Ⅲ是对的 D：Ⅰ，Ⅱ，Ⅲ和Ⅳ都对

33.下列哪一程序可以取得有关应收账款坏账准备充足性的最相关证据? A：函证应收账款。

B：分析下月应收账款账户的回款情况。

C：检查有关应收账款核销的控制，以保证所有核销的坏账都经过管理层的批准。D：通过对应收账款账龄和当前相关经济数据进行分析来确定坏账准备的充足性。34.在一个大型组织里，信息中心咨询台没有配备足够人员的最大风险是 A：增加了对应用进行审计的难度。B：应用系统缺乏足够的文档支持。

C：增加了使用未经许可程序代码的可能性。D：用户操作系统室不断出现错误。35.为在组织内营造一种积极的景象，首席审计执行官计划实施那些强调潜在成本将被节约的保证业务，并在业务最终报告中删除消极的审计发现。以下首席审计执行官的做法中哪些违反了《标准》？I.在没有修订内部审计部门章程或咨询审计委员会前改变审计业务的重心。II.在业务最终报告中删除消极的审计发现。III.在业务最终报告中突出反映关于成本节约的审计建议。A：只有I。B：I和Ⅱ。C：I和Ⅲ。D：Ⅱ和III。

36.假设你所在的公司打算收购一家小型有毒废品处理公司，作为内部审计师，你是兼并过程中尽职调查小组的一员，你作为内部审计师的职责最不可能包括 A：审查被收购公司取得废品原料的程序，并与法律规定相比较 B：评估最近控告废品处理公司的诉讼影响 C：分析公司对贷款合同的合规性和披露情况 D：评估废品处理公司经营的效率性和获利能力

37.在应付账款工作的审计过程中，内部审计师计划与供应商联系以便核实账款余额。对这类与组织外部单位的联系是在何处进行授权的 A：内部审计活动的章程

B：内部审计实务专业实务标准 C：内部审计道德行为规范

D：内部审计活动的政策与程序

38.在六西格玛方法中，在以下哪一个阶段中使用了因果关系图? A：定义 B：分析 C：改进 D：控制

39.在对无法解释的存货减少进行测试过程中，某内部审计师对在永续盘存记录下的存货增加进行测试。由于内部控制测试的缺陷，记录在验收报告中的信息可能并不可靠。在这种情况下，下列文件中能提供关于存货增加的最佳证据的是 A：采购申请 B：采购订单 C：供应商发票 D：供应商对账单

40.在测试某公司是否遵守公司反优先雇佣法案的政策时，内部审计师发现(1)5%的雇员是少数民族(2)过去从未雇佣过少数民族审计师可以得到的最适当的结论是 A：关于遵守反优先雇佣法案的证据是不充足的。

B：由于有5%的雇员来自少数民族，分公司有效地遵守了公司政策。C：公司政策不能被审计，因此也不可能被执行 D：分公司违反了公司政策

41.观察法被认为是一项可靠的审计程序，但是它的用途有限。尽管如此，这种方法仍被用于许多不同的业务场合。对于观察法作为一种审计技术，以下表述正确的是 A：在填制内部控制调查问卷时，它是最有效的方法

B：除了存在性，它在证实其他任何审计认定时都是不充分的 C：在了解被审计期间交易是如何处理时，它是最有说服力的方法 D：在确认是否发生舞弊行为时，它是最有说服力的方法

42.编制与维修费有关的工作底稿时，以下哪项是不必要的特征

A：内部审计师在完工时已签名并在工作底稿中标注了完工日期，尽管工作底稿的编制提前了4个工作日；

B：显示开展业务之前的所有月份的全部修理费用；

C：首席审计执行官是工作底稿的最初审核人，尽管工作底稿是由其他人编制的； D：显示上个月的资产、厂房和设备的总购置成本。

43.审计政策要求没有管理部门的回应，最终审计报告不能发出。除了要求的管理部门回应外，一个发现了重大问题的审计事项是完整的。评估以下行动过程，选出最优的选项？ A：提出关于注意到的重要事项的中期报告。

B：修改审计政策，允许管理部门在一段特定的时间期限内作出反应。C：等待管理部门的回应，然后签发审计报告。D：与外部审计师讨论这种情形。44.衍生品交易的两大基石是什么？ A：股票和债券 B：股票和期权 C：期权与远期合约 D：债券与远期合约

45.在审计业务计划中，内部审计师应该检查所有相关的信息。下列哪一种信息来源最可能帮助识别那些怀疑违反环境法规的行为 A：与经营经理讨论； B：检查贸易订单；

C：与外部审计人员在业务合作过程中进行的讨论； D：检查机构报送政府机构的函件。

46.部门经理人员请外面专家来测试和安装应用软件的新版，但未记载其中的变动。下列哪一风险属于这一事件的风险 A：已加工数据的可靠性降低；

B：这一变更可能未经适当主管部门的适当授权； C：使用者可能不知程序已更动；

D：这一变更可能未经相关测试即告运行。

47.某新来的助理审计人员受命对他并不熟悉的某一领域进行审计。由于时间上的限制，没有配备相应的监督人员。该审计人员受领这一任务是出于增加经验的考虑，但明显地审计领远远超过他的胜任能力。不过该审计人员仍编制出全面的工作底稿并向管理当局报告了审计结果。在该情形下

A：审计部门使用不熟悉相关业务的审计人员，违反了准则的规定； B：审计部门未提供充分的监督工作，违反了准则的规定；

C：既然《道德标准》未涉及监督，内部审计主管未违反《道德标准》； D：审计部门遵循了准则及《道德标准》。

48.一个规模非常小的内部审计部门的首席审计执行官刚接到管理层请求，要对一个极端复杂而首席审计执行官和内部审计部门没有该方面专业技术的领域实施审计。该项审计业务属于内部审计部门的职责。管理层已表示，因为涉及高风险，希望近期尽快开展该项业务。首席审计执行官以下反映中哪项违反了《标准》？

A：与管理层讨论该项审计业务的时限，确定是否有充足的时间去增长适当的专业知识。B：与管理层讨论向外部采购该复杂领域审计服务的可能性。C：因为涉及高风险领域，接受该项审计业务并马上展开工作。D：为审计组增加一名外部顾问，协助实施审计业务。49.一个恰当记录的工作底稿应 A：简洁但完整；

B：遵守唯一的格式和安排；

C：含有业务客户使用的所有的格式和程序的例子； D：不包含业务客户记录的复印件。

50.在对一个防御工程承建商的建造部分进行审计的过程中，审计人员遇到了一个方案，该方案好像在一项成本加成(cost--pulls)政府合同中增加了不当成本。审计人员与高级管理者讨论该行为，管理者建议征求法律顾问的意见。审计人员这样做了。在审核了政府合同之后，法律顾问表示这种做法有问题，但他认为这种做法在技术上没有违反政府合同。根据法律问的意见，审计人员决定在正式呈交给管理当局和审计委员会的审计报告中不对的该行为加以讨论，但仍将法律顾问的道路网口头告知管理当局。审计人员这要做违反了IIA的道德准则吗？

A：没有违反。如果怀疑有舞弊行为，应该追查至行为发生的分部内部。

B：没有违反。审计人员与组织中的适当人员继续讨论此事并且得出了该行为不属于舞弊的结论。

C：违反。因为所有重要信息都应当向审计委员会报告。

篇6：海门市教育系统内部审计工作流程

一、编制审计工作方案

编制审计工作方案前，首先应了解被审计单位的下列情况。

1、机构设置、人员编制；

2、银行帐户、会计报表及其他有关的会计资料；

3、财务会计机构及工作情况；

4、相关的内部控制情况；

5、相关的重要会议记录；

6、前次接受审计、检查（包括内部审计和外部审计）的情况；

7、其他需要了解的情况。审计工作方案内容包括：

1、审计目的和审计范围；

2、审计方法和审计程序；

3、审计的内容、重点、实施步骤和时间分配；

4、审计组组长、审计组成员名单及其分工；

二、发出审计通知书

应在实施审计前，向被审计单位送达审计通知书。内容包括：

1、被审计单位名称;

2、审计的依据、范围、内容、方式和时间；

3、审计组组长、主审及其成员名单；

4、要求被审计单位提供和准备的资料及必要的工作条件；

5、教育局公章及签发日期。

三、审计实施

（一）实施审计时，审计组应当先听取被审计单位主要负责人关于学校基本情况、资产管理情况、各项内部控制制度、财务人员配备等方面情况的汇报，并提供有单位负责人签字、单位盖章的保证书，明确提供的会计帐簿、凭证等资料是完整、真实的。

（二）审计人员对被审计单位的内部控制制度进行健全性和符合性测试，据以确定实质性测试的范围和重点，采取相应的审计方法。必要时，可按规定修正审计方案。鉴于目前情况，重点应检查：①各项内控制度是否健全、有效，是否执行到位；②重大建设项目、重大物品采购是否集体讨论决定。

（三）审计人员通过审查被审计单位银行帐户、会计凭证、会计帐簿、会计报表，监督盘点现金、实物、有价证券，向有关单位或个人调查等方法进行审计，并取得证明材料。

附：审计实施过程中的要点：

1、对货币资金的审计

对库存现金的审计：⑴采取实地盘点法检查现金库存数是否与帐面数相符，重点检查有无帐款不符、现金坐支、白条抵库、公款私存、私设小金库的现象；⑵各类收据开具、保管、归档是否妥当；⑶自制凭证填列、批准是否完备；⑷入帐票据号是否连续。

对银行存款的审计：⑴采取核对法检查银行日记帐结存数是否与银行存款对帐单结存数相符，如不符，应编制银行存款余额调节表；⑵银行存款余额经调节后，若仍不相符，应追踪审查；⑶银行存款收付业务的真实性，对相同金额一收一付的大额业务，逐笔检查，重点是有无出借帐户、公款私存、挪用公款、私设小金库的现象。

2、对往来款项的审计应收款项的审计：⑴采取三年变动法检查应收款项的帐龄，对长期不还、造成坏帐和个人借款超过半年的款项要在审计报告中予以披露；⑵有无人为隐瞒收入、支出的现象。

应付款项的审计：⑴采取三年变动法检查应付款项的帐龄，对长期未付、无法支付的款项要在审计报告中予以披露；⑵有无虚构应付帐款，将已实现的收入转入应付帐款帐户，隐瞒收入（在离任审计时，要注意有无为收支平衡而将部分支出转入应付帐款，）。

代管款项的审计：⑴采取审阅法和查询法检查所收代办费是否符合市教育局、物价局的标准；⑵采取复核法检查代办费各项支出是否真实、合理，代办费结算清单是否真实、是否与代管款项帐本上一致，有无将教师用书计入代办费中；有无将只有部分学生支出而在结算时反映为全部学生支出、虚列支出等现象；⑶检查代办费是否做到按学期多退少补；⑷对代办费学期末透支数额较大的应进一步查明原因，并在审计报告中予以披露。

3、对固定资产的审计：⑴采取核对法检查固定资产总帐与固定资产明细帐余额是否相符；⑵采取实地盘点法抽查部分价值比较大的学校、家庭均可用的固定资产，如电视机、录象机、VCD机、摄像机、照相机、空调、桌椅等。

4、对专用基金的审计：各项专用基金的提取是否合理，使用是否正确等。

5、对所有者权益的审计：⑴审计所有者权益的真实性，即检查资产负债表上列示的所有者权益与单位净资产是否一致；⑵审计事业结余的真实性，有无人为隐瞒收入、支出的现象；⑶对赤字较大的，应在审计报告中说明造成赤字的原因。

6、对收入的审计：⑴各项收入的收取是否按照市教育局、物价局的标准，所用票据是否恰当，项目填列是否正确；⑵各项收入是否全部入帐，所用科目是否正确，有无隐瞒收入、私设小金库、私分收入等现象，各项回扣是否入帐。

7、对支出的审计：⑴各项支出是否真实、合法；凭证是否合法、规范。⑵各项支出明细科目使用是否得当；⑶有无人为隐瞒收入，而直接将收入冲减支出；⑷分析主要费用变动趋势及可能存在的问题，如有较大差异，应查明原因。

8、对结转自筹基建的审计：⑴科目使用是否正确；⑵有无隐瞒收入，而直接进结转自筹基建的现象。

9、对财务日常性工作的审计：⑴是否符合内部控制制度的出纳与总帐分开等规定；⑵各项会计科目运用是否得当；⑶原始凭证的取得、填制、审核是否规范；⑷记帐凭证是否做到制单、记帐、稽核分开，记帐凭证的填制是否正确；⑸会计帐簿的设置、登记、更改、交接是否符合会计基础工作规范的要求；⑹是否做到帐帐相符、帐证相符、帐实相符。

（四）审计人员现场收集的审计证据，应由被审计单位有关人员、被审计单位或被审计单位的有关部门签名或盖章，审计人员调查取得的其他证明材料，应当注明来源，并由提供者签名或盖章，未取得提供者签名或盖章的，审计人员应当注明原因。

（五）审计人员实施审计时，应编制审计工作底稿。审计工作底稿应当根据项目内容逐项逐事编制形成，做到一项一稿或一事一稿。

内容包括：

1、被审计单位名称；

2、审计项目的名称以及实施时间；

3、审计过程纪录；

4、编制者的姓名及编制日期；

5、复核者的姓名及复核日期；

6、审计人员对审计事项的判断、评价或处理意见；

7、索引号及页次；

8、其他应说明的事项；

9、附件。

注：审计工作底稿必须归类整理，纳入项目审计档案。

四、提出审计报告

（一）审计组在实施审计终了后的15天内向教育局局长室提出审计报告。审计报告应当经审计组讨论并由主审定稿。审计组组长对审计报告的真实性负责。

审计报告包括下列基本要素：

1、封面（见格式）

2、标题；

3、主送单位；

4、审计报告内容，主要包括： ⑴审计立项依据；

⑵审计的内容、范围、方式、时间； ⑶被审计单位的基本情况； ⑷实施审计的有关情况；

⑸审计评价意见，提交的审计报告应对审计事项的真实性、合法性、效益性进行评价；

⑹审计建议：针对审计中发现的问题提出对被审计单位加强财务管理和内部控制的意见。

5、内审机构签章；

6、报告日期。

写审计报告的注意事项：

1、实事求是，客观公正；

2、一分为二，提出不足和问题，并指出成绩。提出处理意见应注意贯彻政策、宽严适度；提出改进意见应注意有的放矢、切实可行；

3、数字正确，证据确凿；

4、突出重点，抓住关键；

5、意见要具体，切合实际；

6、观点鲜明，内容完整，文字简炼，措辞得当。

（二）审计报告应当在提交局内审机构审定前，征求被审计单位对审计报告的意见。被审计单位自收到审计报告之日起10日内，提出书面意见；在规定时限内没有提出书面意见的，视同无异议。被审计单位对审计报告有异议的，审计组应当进一步核实、研究，如有必要，应当修改审计报告。内审机构应当将审计报告、被审计单位对审计报告的书面意见及审计组的说明，一并报送局领导审定。

五、审计报告的审定

审计报告由内审机构审定，内审机构对审计报告中的下列事项进行审定：

1、与审计事项有关的事实是否清楚；

2、审计证据是否充分、有效；

3、被审计单位对审计报告的意见是否正确；

4、审计评价意见是否恰当；

5、定性、处理、处罚建议是否合法、适当；

6、提出改进财务管理的意见是否恰当。

六、审计回访

内审机构对在审计报告中提出的严重存在问题，自被审计单位收到审计报告之日起3个月内，指定专人进行审计回访检查，并向单位负责人报告被审计单位采纳审计意见的情况。

七、立卷归档

内审机构对承办的审计事项，应当建立审计档案，按照规定管理。