信息系统审计工作制度

制度是单位开展日常工作的准绳,完善、有效的制度有利于建立健全内部控制体系,助力单位长远发展。以下是小编整理的关于《信息系统审计工作制度》，仅供参考，希望能够帮助到大家。

第一篇：信息系统审计工作制度

信息系统安全审计管理制度

第一章 工作职责安排

第一条 安全审计员的职责是： 1. 制定信息安全审计的范围和日程; 2. 管理具体的审计过程;

3. 分析审计结果并提出对信息安全管理体系的改进意见;

4. 召开审计启动会议和审计总结会议; 5. 向主管领导汇报审计的结果及建议; 6. 为相关人员提供审计培训。

第二条 评审员由审计负责人指派，协助主评审员进行评审，其职责是：

1. 准备审计清单; 2. 实施审计过程; 3. 完成审计报告;

4. 提交纠正和预防措施建议; 5. 审查纠正和预防措施的执行情况。 第三条 受审员来自相关部门，其职责是： 1. 配合评审员的审计工作; 2. 落实纠正和预防措施; 3. 提交纠正和预防措施的实施报告。

第二章 审计计划的制订

第四条 审计计划应包括以下内容： 1. 审计的目的; 2. 审计的范围; 3. 审计的准则; 4. 审计的时间;

5. 主要参与人员及分工情况。 第五条 制定审计计划应考虑以下因素： 1. 每年应进行至少一次涵盖所有部门的审计; 2. 当进行重大变更后(如架构、业务方向等)，需要进行一次涵盖所有部门的审计。

第三章 安全审计实施

第六条 审计的准备：

1. 评审员需事先了解审计范围相关的安全策略、标准和程序;

2. 准备审计清单，其内容主要包括： 1) 需要访问的人员和调查的问题; 2) 需要查看的文档和记录(包括日志); 3) 需要现场查看的安全控制措施。

第七条 在进行实际审计前，召开启动会议，其内容主要包括：

1. 评审员与受审员一起确认审计计划和所采用的审计方式，如在审计的内容上有异议，受审员应提出声明(例如：限制可访问的人员、可调查的系统等); 2. 向受审员说明审计通过抽查的方式来进行。 第八条 审计方式包括面谈、现场检查、文档的审查、记录(包括日志)的审查。

第九条 评审员应详细记录审计过程的所有相关信息。在审计记录中应包含下列信息：

1. 审计的时间;

2. 被审计的部门和人员; 3. 审计的主题 ; 4. 观察到的违规现象;

5. 相关的文档和记录，比如操作手册、备份记录、操作员日志、软件许可证、培训记录等; 6. 审计参考的文档，比如策略、标准和程序等; 7. 参考所涉及的标准条款; 8. 审计结果的初步总结。

第十条 如怀疑与相关安全标准有不符合项的情况，审计员应记录所观察到的详细信息 (如在何处、何时，所涉及的人员、事项，和具体的情况等) 并描述其为什么不符合。关于不符合的情况应与受审员达成共识。

第十一条 在每项审计结束时应准备审计报告，审计报告应包括：

1. 审计的范围;

2. 审计所覆盖的安全领域; 3. 审计结果的总结;

4. 不符合项，不符合项的具体描述和相关证据; 5. 纠正和预防措施的建议。

第十二条 不符合项是指与等级保护基本要求不一致的情况。产生不符合项可能是由于与相关的规定不一致，包括：

1. 等级保护基本要求; 2. 信息安全策略; 3. 相关标准和程序; 4. 相关法律条款; 5. 本单位的相关规定;

6. 任何其它在客户合同中规定的要求。

第十三条 不符合项可以细分为“主要”或“次要”。如果所发现的不符合项属于下列任何一种情况，此不符合项应被分类为 “主要”的：

1. 会导致系统、程序或控制措施整体失效; 2. 操作过程没有形成标准的文档;

3. 累计多个同一类型的“次要”不符合项; 4. 对信息安全管理体系的未授权变更。

如果所发现的不符合项属于个别事件，此不符合项将被分类为 “次要”的，例如：

1. 未标识信息安全分类的文档; 2. 没有被管理层审阅的事故报告; 3. 不完整的变更记录; 4. 不完整的机房进出记录。

第十四条 造成不符合项的原因可以分为以下几种： 1. 其文档化的标准和程序与信息安全策略不一致; 2. 实际的操作与文档化的标准和程序要求不一致; 3. 实际的操作没有达到预期效果。

第四章 安全审计汇报

第十五条 召开审计总结会议。应总结汇报以下内容： 1. 审计的目标和范围; 2. 审计的时间; 3. 参与审计的人员;

4. 审计报告(包括纠正和预防措施的建议); 5. 提交审计报告的副本供受审员参考。 第十六条 在总结会议上，受审员应阐述任何疑问。

第五章 纠正和预防措施

第十七条 纠正和预防措施应该包括问题描述、根本原因、应急措施(可选)、纠正措施以及预防措施。

第十八条 受审员必须制定纠正和预防措施的实施计划。

第十九条 受审员应在规定时间内向评审员提交纠正和预防措施的实施报告。

第六章 审计纠正和预防措施的实施状况

第二十条 评审员应在受审员提交报告的3个月内，审计纠正和预防措施的实施状况。

第二十一条 审计纠正和预防措施应包括：面谈、现场检查、文档的审查以及记录(包括日志)的审查。

第二十二条 评审员根据受审员提交的纠正和预防措施实施报告，收集、记录和审查相关证据。

第七章 审计结果的审阅

第二十三条 安全审计员应审阅和分析所有审计结果。 第二十四条 受审员的领导在审阅审计结果时，应分析的事件包括审计计划、此次审计结果和上次审计结果的比较、纠正和预防措施。

第八章 附 则

第二十五条 本制度由某某单位负责解释。 第二十六条 本制度自发布之日起生效执行。

第二篇：信息系统监理与信息系统审计

特约撰稿人：孙强孟秀转

[摘要]建立信息化建设的第三方监督对保证信息化建设的效益最大化至关重要。本文通过信息系统监理和信息系统审计的概念、产生动因等进行比较，分析我国信息系统监理面临的新问题、新要求，并介绍美国信息系统审计的实践经验，在此基础上提出对我国信息系统监理事业发展的若干建议。

[关键词]信息系统信息系统监理信息系统审计比较独立性

引言

“信息化带动工业化”是我国长期的重要发展战略，江泽民同志在十六大的报告中指出：“实现工业化仍然是我国现代化进程中艰巨的历史性任务。信息化是我国加快实现工业化和现代化的必然选择。坚持以信息化带动工业化，以工业化促进信息化，走出一条科技含量高、经济效益好、资源消耗低、环境污染少、人力资源优势得到充分发挥的新型工业化路子。”这段论述表现了我们党对信息化建设的高度重视，也指明信息化带出一条新型工业化路子的光明前景。

目前，各地区、各部门都在认真贯彻十六大精神，十分重视推进信息化工作，我国信息化建设已经进入新的阶段，我国信息化事业已发展到一个新的阶段。各级政府正在积极推进“电子政务”，许多城市及企业也已着手整合与升级其信息化应用系统。可以预计，全国将有更多、更大的信息系统建设项目展开。但是，在信息化推进过程中，存在不同程度上的一些问题，主要表现在规划制订不够科学，项目管理不够严格，监理机制不够健全，系统运行效益不够明显。致使相当一部分信息化项目失败或未能实现预期目标，浪费了大量资源。究其根源主要原因之一是信息化建设第三方监管机制的缺失和标准的不健全。

国内外的实践表明：信息化是有风险的，信息系统规模越大，功能越复杂，风险也就越大。英国Kalido于英国时间2001年12月12日公布了有关企业信息管理的调查结果。调查显示，96%的企业对于本公司的信息管理系统感到不满。关于目前正在使用的信息系统，认为所制作的报告缺乏一贯性或者是核对信息花费了太多时间的企业约占70%。特别引人深思的是该调查是由美国HarteHanks以全球500强企业以及财富1000企业中的171家公司为对象通过问卷方式实施的。调查对象中，40%以上的企业年交易额超过20亿美元。其他主要调查结果如下∶回答目前的信息系统不能灵活因应变化的企业约占60%;对于数据的精度表示担心的企业约占60%;60%以上的企业正在策划有关数据及信息的整合计划。这充分说明，信息系统的建设项目较之传统工业工程项目成功率更低，风险也更加突出。

中央领导同志在国家信息化领导小组第一次会议中特别强调：信息化建设一定要讲求效益，不能搞花架子。因此建立并逐步完善我国信息系统审计制度是健康、有序地推进信息化和落实领导小组会议精神的一项重要措施。

目前，在国内的信息化项目工程建设中，绝大多数用户(业主)无法组织队伍对信息系统建设进行专业化管理，难以胜任从可行性分析、规划设计、招标、方案评审到工程监理和工程验收全过程的管理与组织协调工作，建设方和承建方在信息建设过程中存在严重的信息不对称问题。这表现为借助外援进行工程管理咨询的案例越来越多，一些省市的行业主管部门也开始在信息系统建设中推行由监理进行工程质量管理的做法。但是，监理介入信息系统在我国还处于一个探索的过程中。

我国加入WTO后，鉴于我国IT服务业未来巨大的增长空间，国际知名咨询顾问公司、专业技术服务提供商等纷纷抢滩我国市场。在信息系统第三方鉴证业务方面，他们提供符合国际标准的信息系统审计服务。因此当前监理事业的发展面临新的形势，监理工作外部环境发生了深刻变化，势将对我国监理企业形成严重冲击，本土监理企业面临前所未有的严峻挑战。监理事业往何处去?这是摆在每一个监理人面前的重大课题。每一个监理企业必须以发展的眼光、动态的观点、创新的思想和创新的理论正确认识和判断当前的监理形势，增强危机感和紧迫感，迎接新的挑战。

信息系统监理

信息系统监理概念

依据信息产业部《信息系统工程监理暂行规定》，信息系统工程监理是指依法设立且具备相应资质的信息系统工程监理单位，受业主单位委托，依据国家有关法律法规、技术标准和信息系统工程监理合同，对信息系统工程项目实施的监督管理。

信息系统监理产生动因及其发展

1、信息系统监理产生动因分析

监理工作、监理企业是我国在计划经济向市场经济转变的过程中在建设领域中应运而生的，并取得了有目共睹的显著成效，直接促进了工程监理业的繁荣发展，这也导致在通信业工程建设、信息系统建设等方面监理的出现。因此，回顾建设工程监理的发展，将有助于对信息系统监理的认识。

1988年7月建设部发布了《关于开展建设监理工作的通知》，随后又于1988年11月印发了《关于开展建设监理试点问题的若干意见》，使得试点工作有章可循。1989年，根据初步试点取得的经验，建设部制定了《建设监理试行规定》，这是我国第一个比较完备的关于工程建设监理的法规文件，勾画出具有我国特色的工程建设监理制度的初步框架。1991年又分别制定颁发了《建设监理单位资质管理试行办法》和《监理工程师资格考试及注册试行办法》，建设监理法规制度进一步配套完善。1993年，上海市开始了工程设备监理制度的试点工作。1998年，国务院机构改革后赋予了国家质量技术监督局“协调建立设备工程监理制度”的职能要求，随后，国家质量技术监督局拟定了《协调建立设备工程监理制度的方案》，在国家发展计划委员会的指导和具体参与下，会同国务院有关部门，在国内有关技术及咨询机构的帮助、支持下,完成了设备监理制度中有关规章的起草工作。此间，世界银行、国家开发银行等亦曾规定，其贷款的有关项目要有监理公司监理，并作为申请贷款的项目单位获得贷款的基本条件。由此开始推行建设工程监理制度，监理事业得到持续快速发展，从而积累了一定经验，取得了积极成效。发展至今建立了一套比较完整的监理法规体系，组成了一支规模较大的监理队伍，监理出一批优良的工程项目，监理工作在工程建设中发挥了重要作用，得到了各级领导的支持，得到了社会的普遍认可，正逐步向规范化、制度化、科学化方向迈进。

但同时我国工程监理事业经过十多年的发展，虽然取得了一定成绩，但也存在不少问题。如：监理人员整体素质不高、监理工作缺位、监理取费普遍较低、监理市场竞争机制不健全、监理企业缺乏自我积累和发展能力、监理责任不明确、监理工作缺乏系统的理论研究、宣传工作滞后等问题比较突出。

2、信息系统监理的发展

目前信息系统工程的现状类似于二十世纪八十年代以前建筑工程的状态。自1988年建设部颁布《关于开展建设监理工作的通知》以后，特别是1996年建设监理全面推行后，建筑工程的质量普遍提高，业主和承建商之间的纠纷普遍减少，凡是出问题的工程，监理也有问题。因此，要求参考建筑工程的管理办法对信息工程实施监理的呼声日益高涨，这既是信息工程用户(业主)的愿望，也是系统集成商的愿望，信息工程市场呼唤“第三方”—信息系统工程监理的出现。

但我国的信息系统工程监理目前仅仅是处在起步阶段，事实上根据对国内信息化应用程度较高的行业部门(如银行、证券、保险、气象、社保、旅游等)和部分大型企业(如华北制药、哈尔滨轴承集团、哈尔滨飞机制造企业、跃进汽车集团、我国石化等)30个样本作为调查对象的调查结果显示，对于大多数企业来说，项目监理是个新概念。只有30的被调查者表示在某些信息化项目中使用过监理服务。在70未使用过项目监理的被调查者中，5表示听说过，95表示知道建筑工程有监理，但在IT信息化项目中引入监理还是第一次听说。

图1监理服务内容重要程度(引自胡敏《市场呼唤项目监理》)

信息系统监理的基本理论

信息系统监理的中心任务是科学地规划和控制工程项目的投资、进度和质量三大目标;监理的基本方法是目标规划、动态控制、组织协调和合同管理;监理工作贯穿规划、设计、实施和验收的全过程。信息工程监理正是通过投资控制、进度控制、质量控制以及合同管理和信息管理来对工程项目进行监督和管理，保证工程的顺利进行和工程质量。

1、成本控制

成本控制的任务，主要是在建设前期进行可行性研究，协助建设单位正确地进行投资决策;在设计阶段对设计方案、设计标准、总概(预)算进行审查;在建设准备阶段协助确定标底和合同造价;在实施阶段审核设计变更，核实已完成的工程量，进行工程进度款签证和索赔控制;在工程竣工阶段审核工程结算。

2、进度控制

3、质量控制

质量控制要贯穿在项目建设从可行性研究、设计、建设准备、实施、竣工、启用及用后维护的全过程。主要包括组织设计方案评比，进行设计方案磋商及图纸审核，控制设计变更;在施工前通过审查承建单位资质等;在施工中通过多种控制手段检查监督标准、规范的贯彻;以及通过阶段验收和竣工验收把好质量关等。

3、合同管理

合同管理是进行投资控制、工期控制和质量控制的手段。因为合同是监理单位站在公正立场采取各种控制、协调与监督措施，履行纠纷调解职责的依据，也是实施三大目标控制的出发点和归宿。

4、信息管理

信息管理包括投资控制管理、设备控制管理、实施管理及软件管理。

5、协调

协调贯穿在整个信息系统工程从设计到实施再到验收的全过程。主要采用现场和会议方式进行协调。

总之，三控两管一协调，构成了监理工作的主要内容。为完满地完成监理基本任务，监理单位首先要协助建设单位确定合理、优化的三大目标，同时要充分估计项目实施过程中可能遇到的风险，进行细致的风险分析与评估，研究防止和排除干扰的措施以及风险补救对策。使三大目标及其实现过程建立在合理水平和科学预测基础之上。其次要将既定目标准确、完整、具体地体现在合同条款中，绝不能有含糊、笼统和有漏洞的表述。最后才是在信息工程建设实施中进行主动的、不间断的、动态的跟踪和纠偏管理。 图2监理内容示意图：

第三篇：信息系统审计

电子计算机在数据处理的发展过程可分为三个阶段：数据的单项处理阶段、数据的综合处理阶段、数据的系统处理阶段。

数据处理电算化以后，对传统的审计产生了巨大的影响，主要表现在：

1、 对审计线索的影响~~~~

2、 对审计方法和技术的影响~~~~~~

3、 对审计人员的影响~~~~~

4、 对审计准则的影响~~~~~~ 信息系统审计的定义：信息系统审计是根据公认的标准和指导规范，对信息系统从规划、实施到运行维护各个环节进行审查评价，对信息系统及其业务应用的完整性、有效性、效率性、安全性等进行检测、评估和控制的过程，以确认预订的业务目标得以实现，并提出一系列改进建议的管理活动。

信息系统的主体：有胜任能力的信息系统独立审计机构或人员 信息系统审计的对象：被审计的信息系统

信息系统审计工作的核心：客观地收集和评估证据

信息系统审计的目的是评估并提供反馈、保证及建议。关注之处被分为三类：可用性、保密性、完整性。

信息系统审计的特点：审计范围的广泛性、审计线索的隐蔽性、易逝性、审计取证的动态性、审计技术的复杂性。(真是为一道简答题。在P6，详细看一下各段内容，概括下再答题) 信息系统审计目标：

1、保护资产的完整性

2、保证数据的准确性

3、提高系统的有效性

4、提高系统的效率性

5、保证信息系统的合规性与合法性

信息系统的主要内容：内部控制系统审计(分为一般控制系统、应用控制系统，对信息系统的内部控制系统进行审计的目的是在内部控制审计的基础上对信息系统的处理结果进行审计、加强内部控制，完善内部控制系统)系统开发审计(信息系统开发审计是对信息系统开发过程进行的审计，审计目的一是要检查开发的方法、程序是否科学，是否含有恰当的控制;二是要检查开发过程中产生的系统文档资料是否规范。)应用程序审计(审查应用程序有两个目的，意识测试应用控制系统的符合性，二是通过检查程序运算和逻辑的正确性达到实质性测试目的)数据文件审计(审计目的一是对数据文件进行实质性测试，二是通过数据文件的审计，测试一般控制或应用控制的符合性，但主要是为了实质性测试)(这是道简答题，在P8各个小概括下)

信息系统审计的基本方法：绕过信息系统审计、通过信息系统审计 信息系统审计的步骤(大题P11)：

准备阶段：明确审计任务，组成信息系统审计小组，了解被审计系统的基本情况，指定信息系统审计方案，发出审计通知书 实施阶段：对被审计系统的内部控制制度进行健全性调查和符合性测试，对账表单证或数据文件的实质性审查

终结阶段：整理归纳审计资料，撰写审计报告，发出审计结论和决定，审计资料的归档和管理

国际信息系统审计准则：由信息系统审计与控制协会(ISACA)颁布和实施的。ISACA是国际上唯一的信息系统审计专业组织，通过制定和颁布信息系统审计标准、指南和程序来规范审计师的工作，它由三个层次构成： 审计标准(审计标准是整个信息系统准则体系的总纲，是制定审计指南和作业程序的基础和依据) 审计指南(审计指南为审计标准的应用提供了指引，信息系统审计师在审计过程中应考虑如何应用指南以实现审计标准的要求，在应用过程中灵活运用专业判断并纠正任何偏离准则的行为)

作业程序(作业程序提供了信息系统审计师在审计过程中可能遇到的审计程序的示例) 信息系统审计师应具备的素质(大题P18-19)

应具备的理论知识:传统审计理论、信息系统管理理论、计算机科学、行为科学理论

应具有的实践技能：参加过不同类别的工作培训、参与专业的机构或厂商组织的研讨会，动态掌握信息技术的新发展对审计实践的影响、具有理解信息处理活动的各种技术、理解并熟悉操作环境，评估内部控制的有效性、理解现有与未来系统的技术复杂性，以及它们对各级操作与决策的影响、能使用技术的方法去识别系统的完整性、要参与评估与使用信息技术相关的有效性、效率、风险等、能够提供审计集成服务并为审计员工提供指导，与财务审计师一起对公司财务状况做出说明、具备系统开发方法论、安全控制设计、实施后评估等、掌握网络相关的安全实践、信息安全服务、灾难恢复与业务持续计划、异步传输模式等通信技术。 IT治理定义：德勒定义：IT治理是一个含义广泛的概念，包括信息系统、技术、通信、商业、所有利益相关者、合法性和其他问题。其主要任务是保持IT与业务目标一致，推动业务发展，促使收益最大化，合理利用IT资源，IT相关风险的适当管理。

IT治理必须与企业战略目标一致，IT对于企业非常关键，也是战略规划的组成，影响战略竞争;IT治理和其他治理主体一样，是管理执行人员和利益相关者的责任(以董事会为代表);IT治理保护利益相关者的权益，使风险透明化，指导和控制IT投资、机遇、利益、风险;IT治理包括管理层、组织结构、过程，以确保IT维护和拓展组织战略目标;应该合理利用企业的信息资源，有效的集成与协调;确保IT及时按照目标交付，有合适的功能和期望的收益，是一个一致性和价值传递的基本构建模块，有明确的期望值和衡量手段;引导IT战略平衡系统的投资，支持企业，变革企业，或者创建一个信息基础架构，保证业务增长，并在一个新的领域竞争。

IT治理和IT管理的关系：IT管理是在既定的IT治理模式下，管理层为实现公司的目标二采取的行动，IT治理规定了整个企业IT运作的基本框架，IT管理则是在这个既定的框架下驾驭企业奔向目标。缺乏良好IT治理模式的公司，即使有很好的IT管理体系，就想一座地基不牢固的大厦;同时，没有公司IT管理体系的流畅，单纯的治理模式也只能是一个美好的蓝图，而缺乏实际的内容。

公司治理和IT治理：公司治理，驱动和调整IT治理。同时，IT能够提供关键的输入，形成战略计划的一个重要组成部分，即IT影响企业的战略竞争机遇。 IT治理标准：ITIL、COBIT BS7799 PRINCE2 IT治理成熟度模型：不存在、初始级、可重复级、已定义级、已管理级、已优化级(主要内容及其作用在P47-48)

信息系统内部控制：是一个单位在信息系统环境下，为了保证业务活动的有效进行，保护资产的安全与完整，防止、发现、纠正错误与舞弊、确保信息系统提供信息的真实、合法、完整，而制定和实施的一系列政策与程序措施。凡是与信息系统的建立、运作维护、管理和业务处理有关的部门、人员和活动，都属于信息系统内部控制的对象，可分为一般控制和应用控制。

信息系统一般控制是应用于一个单位信息系统全部或较大范围的内部控制，其基本目标为保证数据安全、保护计算机应用程序、防止系统被非法侵入、保证在意外中断情况下的继续运行等。

信息系统应用控制是用于对具体应用系统的控制，一个应用系统一般由多个相关计算机程序组成，有些应用系统可能是复杂的综合系统，牵涉到多个计算机程序和组织单元，与此相对应，应用控制包括包含在计算机编码中的日常控制及与用户活动相关的政策和流程。 良好的一般控制是应用控制的基础，可以为应用控制的有效性提供有力的保障，某些应用控制的有效性取决于计算机整体环境控制的有效性。当计算机整体环境控制薄弱时，应用控制就无法真正提供合理保障。如果一般控制审计结果很差，应用控制审计结果很差，应用控制审计就没有进行的必要。

审计逻辑访问安全策略：知所必需原则

审查离职员工的访问控制：请辞、聘用合同期满和非自愿离职 数据库加密：一般采用公开密钥加密方法 系统访问控制及其审计：系统访问就是利用计算机资源达到一定目的的能力，对计算机化的信息资源的访问可以基于逻辑方式，也可以基于物理方式。物理访问控制可以限制人员进出敏感区域。对计算机信息的物理访问与逻辑访问应当建立在“知所必需”的基础上，按照最小授权原则和职责分离原则来分配系统访问权限，并把这些访问规则与访问授权通过正式书面文件记录下来，作为信息安全的重要文件加以妥善管理。 身份识别与验证(简答题P65-66)：逻辑访问控制中的身份识别与验证是一种提供用户身份证明的过程，在这个过程中，用户向系统提交有效的身份证明，系统验证这个身份证明后向用户授予访问系统的能力。可分为三类：“只有你知道的事情”“只有你拥有的东西”“只有你具有的特征” 例子：账号与口令、令牌设备、生物测定技术与行为测定技术。 逻辑访问授权：一般情况下逻辑访问控制基于最小授权原则，支队因工作需要访问信息系统的人员进行必要的授权。当用户在组织变换工作角色时，在赋予他们新访问权限时，一般没有及时取消旧的访问权限，这就会产生访问控制上的风险。所以当员工职位有变动时，信息系统审计师就要及时审核访问控制列表是否做了有效变更。 灾难恢复控制及其审计：信息系统的灾难恢复和业务持续计划是组织中总的业务持续计划和灾难恢复计划的重要组成部分。 恢复策略与恢复类型：热站、温站、冷站、冗余信息处理设施、移动站点、组织间互惠协议。 BCP中多个计划文件：业务持续性计划(BCP)、业务恢复计划(BRP)、连续作业计划(COOP)连续支持计划、IT应急计划、危机通信计划、事件响应事件、灾难恢复计划(DRP)、场所紧急计划(OEP)

异地备份：完全备份、增量备份、差分备份

灾难恢复与业务持续计划的审计：主要任务是理解与评价组织的业务连续性策略，及其组织业务目标的符合性;参考相应的标准和法律法规，评估该计划的充分性和时效性;审核信息系统及终端用户对计划所做的测试的结果，验证计划的有效性;审核异地存储设施机器内容、安全和环境控制，以评估异地存储站点的适当性;通过审核应急措施、员工培训、测试结果，评估信息系统及其终端用户在紧急情况下的有效反应能力;确认组织对业务持续性计划的维护措施存在并有效。

应用控制概念：应用控制是为适应各种数据处理的特殊控制要求，保证数据处理完整、准确地完成而建立的内部控制。应用控制涉及各种类型的业务，每种业务及其数据处理尤其特殊流程的要求，这决定了具体的应用控制的设计需结合具体的业务。单另一方面。由于数据处理过程一般都是由输入、处理和输出三个阶段构成，从这一共性出发，可将应用控制划分为输入控制、处理控制和输出控制。应用控制也是由手工控制和程序化控制构成，但以程序化控制为主。

软件维护的种类：纠错行为化、适应性维护、完善性维护、预防性维护 服务管理：面向IT基础设施管理的服务支持、面向业务管理的服务提供

IT服务提供流程主要面对付费的机构和个人客户，负责为客户提供高质量、低成本的IT服务。任务：根据组织的业务需求，对服务能力、持续性、可用性等服务级别目标进行规划和设计，同时还必须考虑到这些服务目标所需要耗费的成本。主要包括服务水平管理、IT服务财务管理、能力管理、IT服务持续性管理和可用性管理5个服务管理流程。

IT服务的服务支持主要面向终端用户，负责确保IT服务的稳定性与灵活性，用于确保终端用户得到适当的服务，以支持组织的业务功能。服务支持流程包括体现服务接触和沟通的服务台职能和5个运作层次的流程，即配置管理、事务管理、问题管理、变更管理、发布管理。 应用程序审计的内容：

审查程序控制是否健全有效：程序中输入控制的审计、程序中处理控制的审计、程序中输出控制的审计。

审查程序的合法性P168 简单论述

审查程序编码的正确性：目标和任务不明确、系统设计差错、程序设计说明书错误、程序语法或逻辑错误

审查程序的有效性：在具体编写程序前应简化算术表达式及逻辑表达式、细心的分析多层嵌套循环，以确定能否把一些语句或表达式转移到循环体制外、尽量避免采用多维数组、尽量避免采用指针及复杂的表、采用“快”的算法;不要把不同的数据类型混在一起;只要可能就采用整形数的算法运算和布尔表达式。 应用程序审计方法：对应用程序进行审计，往往是计算机辅助审计方法与手工审计方法的结合。

检测数据法：是指审计人员把一批预先设计好的监测数据，利用被审程序加以处理，并把处理的结果与预期的结果作比较，以确定被审程序的控制与处理功能是否恰当、有效的一种方法。

平行模拟法：是指审计人员自己或请计算机专业人员编写的具有和被审计程序相同处理和控制的模拟程序，用这种程序处理当期的实际数据，并以处理的结果与被审计程序的处理结果进行比较，以评价被审程序的处理和控制功能是否可靠的一种方法 嵌入审计程序法：是指被审计信息系统的设计和开发阶段，在被审的应用程序中嵌入为执行特定的审计功能而设计的程序段，这些程序段可以用来收集审计人员感兴趣的资料，并且建立一个审计控制文件，用来存储这些资料，审计人员通过这些资料的审核来确定被审程序的处理和控制功能的可靠性。

程序追踪法：是一种对给定的业务，跟踪被审程序处理步骤的审查技术。一般可由追踪软件来完成，也可利用某些高级语言或数据库管理系统中的跟踪指令被审查程序的处理。

第四篇：审计信息系统

一、审计及审计软件的简介

审计是一项具有独立性的经济监督活动，独立性是审计区别于其他经济监督的特征;审计的基本职能不仅是监督，而且是经济监督，是以第三者身份所实施的监督。审计的主体是从事审计工作的专职机构或专职的人员，是独立的第三者，如国家审计机关、会计师事务所及其人员。审计的对象是被审计单位的财政、财务收支及其他经济活动，这就是说审计对象不仅包括会计信息及其所反映的财政、财务收支活动，还包括其他经济信息及其所反映的其他经济活动。审计的基本工作方式是审查和评价，也即是搜集证据，查明事实，对照标准，做出好坏优劣的判断。审计的主要目标，不仅要审查评价会计资料及其反映的财政、财务收支的真实性和合法性，而且还要审查评价有关经济活动的效益性。

审计的重要性不言而喻，首先，审计具有强有力的制约作用。审计通过揭露和制止、处罚等手段，来制约经济活动中各种消极因素,有助于各种经济责任的正确履行和社会经济的健康发展。其次，审计还具有促进作用，审计通过调查、评价、提出建议等手段,来促进、服务宏观经济调控,促进微观经济管理，以助于国民经济管理水平和绩效的提高。

然而随着社会经济与科技的不断进步，审计的主体和客体的不断扩充，纯手工审计的方式尽管具有灵活运用的特点，但是因其效率低、错误率高而逐渐不能满足人们的需要，这时审计软件应运而生。审计软件是指用于审查电算化系统或利用计算机辅助审计而编写的各种计算机程序。广义上讲，审计软件是指用于帮助完成审计工作的各种软件工具。审计软件可分为四种类型：第一种现场作业软件、第二种法规软件、第三种专用审计软件、第四种是审计管理软件。

在我们专业实习之前，我们参与过鼎信诺审计软件的培训，比较可惜的是，在正式参与审计时，我们并没有利用专业审计软件进行审计和数据处理，仅利用EXCEL便完成了所有审计工作，但我也通过查阅资料书籍和询问事务所人员初步了解了中瑞岳华审计软件——鼎信诺的基本功能和操作，同时我也将在下文中大致描述EXCEL在审计中的运用。

二、XX会计师事务所审计软件——鼎信诺 简介

鼎信诺审计系统作为XX会计师事务所的主要审计软件，有如下11个主要功能：

1、前端数据采集

审计前端能够从金蝶K

3、金蝶KIS、用友7系列、用友8系列、用友通系列、速达3000、速达5000、新中大、久其、安易、博科、浪潮、远光、远方、小蜜蜂等常见财务软件中取出数据;并且不需要安装可直接运行;前端是完全免费，可以直接从公司网站上下载;对于定制的或者不常见的财务软件，可通过粘贴数据到EXCEL取数模板的方式采集数据。

2、审计抽样

审计人员凭经验和职业判断手工抽取样本;也可以依据审计人员选择的抽样方法，如随机、由大到小

或由小到大和条件(抽取笔数或金额)，由计算机计算出各种统计数据(包括：样本总量、已选样本量、剩余样本量、所占比例大小等等);同时保留审计轨迹，并与抽样结果一起反映到检查表中。对于已抽出的凭证还可以生成凭证并打印出来。

3、自动生成实质性工作底稿

所有的实质性工作底稿都是自动生成的，实质性工作底稿包括：审计程序、审定表、明细表、检查表等等。对于往来款中有核算项目的，也可自动在明细表中列示。工作底稿

4、往来款账龄计算

往来款的实质性工作底稿中，系统可以依据多年的账套数据计算出账龄。

5、生成银行函证和往来单位函证

在实质性工作底稿中选择要发送函证的银行或往来单位，修改系统提供的函证模板后，系统自动生成一页一页WORD格式的函证。

6、合并会计报表

系统根据母子公司间投资关系等信息自动产生权益抵消、收益抵消，内部往来抵消和内部购销抵消四种抵消分录，用户还可以手工输入抵消分录。系统根据母子公司间投资关系自动产生包括全部母子公司的过渡表和集团合并会计报表。系统自动合成集团公司下属全部单体公司的报表附注，合并报表附注同样可以刷新到WORD中。

7、存货和固定资产的测试

存货或固定资产的实质性工作底稿中，系统可以自动提取前端已采集的相关数据，依据用户选择的不同方法进行测试。

8、数据分析

数据分析有报表分析、图表分析和指标分析三种，从不同的角度分析审计风险。数据

9、审计调整

输入一次审计调整后，该调整分录涉及到的底稿、报表、附注都能自动更新数据。调整分录，自动生成汇总表和审计会计报表。

10、生成未审会计报表

未审会计报表中，未审数是由科目得到，报表数是由企业提供。如果账表之间存在差异，以红色字体显示，用户可以据此进行账表差异调整，例如：往来款科目的负值调整。

11、自动生成会计报表附注

系统提供了财政部和国资委颁布的会计报表附注模版，会计报表附注的内容和格式是可以修改的。修改后的附注能够一次性全部刷新到WORD文档中。

显而易见，鼎信诺审计软件大大节约了审计的时间，提高了效率，在于同学和学姐交流时，使用过该软件的同学都普遍反映利用该软件效率提高了不少，仅以抽凭为例，我们利用EXCEL导出数据抽凭需要至少一整天的时间才能完成一家公司的电子抽凭工作，而导出数据的凭证号在实际抽凭过程中很多都是错的，而利用鼎信诺软件则需要不到半天的时间就能完成同等规模公司的抽凭工作，并且凭证号都能够对应的上。

而且审计工作底稿实现电子化后，审计人员能方便地通过公司内部的局域网或审计小组现场的对等网实现信息共享，相互之间查阅审计底稿只需l要点点鼠标即可轻松实现，而且审计人员之间互不影响，从而可以极大提高审计效率。审计人员只需要进行初始的数据录入，计算工作由计算机自动完成，计算结果准确无须验算，可节约时间，提高审计效率。

利用鼎信诺软件，审计底稿的素材范围得到了进一步的扩充，录音材料、录像材料、电子照片均能构成审计底稿，搜集证据不再单一化，更加方便快捷，审计风险也得到了降低，同时资料也变得容易方便携带起来。

三、EXCEL软件在审计中的应用

在事务所实习过程中，虽然我们并没有机会接触鼎信诺软件的使用，但是利用EXCEL也方便了我们的审计工作。

首先，事务所提供了带有公式链接和相应格式的EXCEL电子工作底稿和word底稿，企业财务软件erp不支持win7的使用，因此我们只能将相关数据导出到记事簿中，然后再粘贴进EXCEL中进行整理和使用。 起初我们接触到的就是过期初数，平时我们认为简单的复制粘贴，但是要知道底稿中有很多公式，因此我们在粘贴时需要选择性粘贴，有一些审计调整要不要过进来也需要我们去自己把握。

接下来需要应用到的就是抽凭，删除或者隐藏掉不可排序行后按照排序或者条件性筛选我们便可以选取数额较大的或者关联方账目进行抽凭。再对数据进行分析时，我们还可以运用冻结窗格等功能，这对数据的整理十分重要，尤其是冻结首行，这对每一笔分录的借贷方更容易把控。

在填写附注阶段，在主表中有试算平衡表数据和明细表数据，只需要我们添加一个源公式，那么我们就能直接链接过来数据而不需要逐个粘贴，尤其是在试算平衡表中数据所变动的时候。这时，我们只需将附注中区域科目的明细下表科目链接到主表中，通过公式判断便可以验证数据是否一致。在逐个明细区域中，我们还是需要将主表中的数据链接过来，做一个简单的减法公式，如果结果显示的是“-”，那么证明两个数据相同;如果结果显示的是“0”，那么需要在该公式中复核加计round公式，若结果为“-”那么数据无误，否则数据出现错误。这是因为我们的数据在小数点后两位四舍五入，有时难免有误差。

这只是一些基本的功能，其实EXCEL还有很多功用，例如：利用Excel编制集团公司的经审合并报表、利用Excel进行分析性复核、对数据进行保护等等。但令我印象最深刻的是在对固定资产和应收账款账龄的测算中的应用，如果数据量小手工计算也不碍事，但是数据一旦成百上千，那么就需要EXCEL公式的综合运用了。

往来账款(应收账款、其他应收款、应付账款等)的账龄审计，是财务会计报表的基础审计工作，企业往来款项的明细账户动辄成百上千，账龄审计颇为繁琐。而利用Excel进行往来账款账龄审计却非常简单方便。利用Excel进行账龄审计，需要企业提供往来款项、分客户明细账户编制的“年初数、本年累计借方发生额、本年累计贷方发生额、年末余额”格式的会计数据资料。目前越来越多的企业采用会计软件进行核算，该资料可以利用会计软件提供的“数据导出”功能导出为Excel格式获得。将获取资料置于一个Excel工作簿内。运用Excel的数据排序功能将年末余额为负数的数据(需要报表重分类)剔除后，就可以在A、B、C、D单元格中设定函数公式。一是账龄1年以内的函数为：A=IF(本年贷方发生额>=年初余额，

年末余额，本年借方发生额)。二是接着利用Excel的数据排序功能，筛选出(年末余额一账龄1年以内金额)>0的明细账户，获取其上年“年初数、本年累计借方发生额、本年累计贷方发生额、年末余额”格式的会计数据资料。在上表“单位名称”列左侧增加列，用以添加上年数据。账龄1～2年的函数为：B=IF(本年贷方发生额十上年贷方发生额)>：上年度年初余额，年末余额一账龄1年以内的金额A，上年度借方发生额)。三是筛选出(年末余额一账龄)1年以内金额一账龄1～2年的金额)>0的明细账户，获取其更前一个年度的数据。账龄2～3年的函数为：C=IF((本年贷方发生额+上年贷方发生额+更上一年的贷方发生额)>=更上一个年度年初余额，年末余额—账龄1年以内的金额A-账龄1-2年的金额B，更上一个年度的借方发生额)。四是账龄3年以上的函数为：n：年末余额一账龄1年以内的金额A——账龄1-2年的金额B——账龄2--3年的金额C。输入完毕后，模板将自动计算年末账龄，方便准确。

四、审计软件的优势

如上文所述，审计电子化、信息化是一种高端审计方式，更是一种趋势，实现审计电子化，即用审计软件进行审计有如下优势：

1、审计信息化具有审计人员协同作业的优势。

审计信息化所面对的是比以前更加广泛和复杂的网络经济活动，审计的具体内容除了企业的经济活动和财务纪录以外还包括其使用的系统网络、外部网络及相关的企业，因此进一步分工协作成为必要。由于网络、计算机、现代通讯技术在审计中的运用，使得多个审计人员 协作、联合审计成为可能，能使审计资源得到更广泛而有效地配置和运用，从而大大提高审计能力。

2、审计信息化具备审计连续性优势

审计信息化使得远程审计与就地审计相结合，当前审计与以前审计、后续审计相结合，因此，使审计跨时空作业成为可能。而网络经济的无边界性和复杂性又使得跨时空审计成为必要。跨时空作业使审计单位能够综合调用、管理机构内外的资源完成审计项目，将原本复杂繁重的审计任务改变成简单、方便、快捷的审计作业。

3、审计信息化具有准确高效的优势

审计信息化通过网络可以充分发掘和发挥计算机高速准确的优势及审计软件的专业的优势。对海量的网络财务数据和业务数据进行检索、查询、追踪、转化、抽取、比较、归类、合并、统计、信息检索的高智能化，大大减轻审计人员收集资料以进行职业判断的工作量。

第五篇：信息系统审计操作流程

1.审计计划阶段

计划阶段是整个审计过程的起点。其主要工作包括：

(1)了解被审系统基本情况

了解被审系统基本情况是实施任何信息系统审计的必经程序，对基本情况的了解有助于审计组织对系统的组成、环境、运行年限、控制等有初步印象，以决定是否对该系统进行审计，明确审计的难度，所需时间以及人员配备情况等。了解了基本情况，审计组织就可以大致判断系统的复杂性、管理层对审计的态度、内部控制的状况、以前审计的状况、审计难点与重点，以决定是否对其进行审计。

(2)初步评价被审单位系统的内部控制及外部控制

传统的内部控制制度是为防止舞弊和差错而形成的以内部稽核和相互牵制为核心的工作制度。随着信息技术特别是以Internet为代表的网络技术的发展和应用，企业信息系统进一步向深层次发展，这些变革无疑给企业带来了巨大的效益，但同时也给内部控制带来了新的问题和挑战。加强内部控制制度是信息系统安全可靠运行的有力保证。依据控制对象的范围和环境，信息系统内控制度的审计内容包括一般控制和应用控制两类。

一般控制是系统运行环境方而的控制，指对信息系统构成要素(人、机器、文件)的控制。它已为应用程序的正常运行提供外围保障，影响到计算机应用的成败及应用控制的强弱。主要包括：组织控制、操作控制、硬件及系统软件控制和系统安全控制。

应用控制是对信息系统中具体的数据处理活动所进行的控制，是具体的应用系统中用来预测、检测和更正错误和处置不法行为的控制措施，信息系统的应用控制主要体现在输入控制、处理控制和输出控制。应用控制具有特殊性，不同的应用系统有着不同的处理方式和处理环节，因而有着不同的控制问题和不同的控制要求，但是一般可把它划分为：输入控制、处理控制和输出控制。

通过对信息系统组织机构控制，系统开发与维护控制，安全性控制，硬件、软件资源控制，输入控制，处理控制，输出控制等方而的审计分析，建立内部控制

强弱评价的指标系统及评价模型，审计人员通过交互式人机对话，输入各评价指标的评分，内控制审计评价系统则可以进行多级综合审计评价。通过内控制度的审计，实现对系统的预防性控制，检测性控制和纠正性控制。

(3)识别重要性

为了有效实现审计目标，合理使用审计资源，在制定审计计划时，信息系统审计人员应对系统重要性进行适当评估。对重要性的评估一般需要运用专业判断。考虑重要性水平时要根据审计人员的职业判断或公用标准，系统的服务对象及业务性质，内控的初评结果。重要性的判断离不开特定环境，审计人员必须根据具体的信息系统环境确定重要性。重要性具有数量和质量两个方面的特征。越是重要的子系统，就越需要获取充分的审计证据，以支持审计结论或意见。

(4)编制审计计划

经过以上程序，为编制审计计划提供了良好准备，审计人员就可以据以编制总体及具体审计计划。

总体计划包括：被审单位基本情况;审计目的、审计范围及策略;重要问题及重要审计领域;工作进度及时间;审计小组成员分工;重要性确定及风险评估等。具体计划包括：具体审计目标;审计程序;执行人员及时间限制等。

2.审计实施阶段

做好上诉材料的充分的准备，便可进行审计实施，具体包括以下内容：

(1)对信息系统计划开发阶段的审计

对信息系统计划开发阶段的审计包括对计划的审计和对开发的审计，可以采用事中审计，也可以是事后审计。比较而言事中审计更有意义，审计结果的得出利于故障、问题的及早发现，利于调整计划，利于开发顺序的改进。

信息系统计划阶段的关键控制点有：计划是否有明确的目的，计划中是否明确描述了系统的效果，是否明确了系统开发的组织，对整体计划进程是否正确预计，计划能否随经营环境改变而及时修正，计划是否制定有可行性报告，关于计划的过程和结果是否有文档记录等等。

系统开发阶段包括系统分析、系统设计、代码编写和系统测试三部分。其中涉及包括功能需求分析、业务数据分析、总体框架设计、结构设计、代码设计、数据库设计、输入输出设计、处理流程及模块功能的设计。编程时依据系统设计阶

段的设计图及数据库结构和编码设计，用计算机程序语言来实现系统的过程。测试包括动态测试和静态测试，是系统开发完毕，进入试运行之前的必经程序。其关键控制点有:

分析控制点：是否己细致分析企业组织结构;是否确定用户功能和性能需求;是否确定用户的数据需求等。

设计控制点：设计界面是否方便用户使用;设计是否与业务内容相符;性能能否满足需要，是否考虑故障对策和安全保护等。

编程控制点：是否有程序说明书，并按照说明书进行编写;编程与设计是否相符，有无违背编程原则;程序作者是否进行自测;是否有程序作者之外的第三人进行测试;编程的书写、变量的命名等是否规范。

测试控制点：测试数据的选取是否按计划及需要进行，是否具有代表性;测试是否站在公正客观的立场进行，是否有用户参与测试;测试结果是否正确记录等。

(2)对信息系统运行维护阶段的审计

对信息系统运行维护阶段的审计又细分为对运行阶段的审计和对维护阶段的审计。系统运行过程的审计是在信息系统正式运行阶段，针对信息系统是否被正确操作和是否有效地运行，从而真正实现信息系统的开发目标、满足用户需求而进行的审计。对信息系统运行过程的审计分为系统输入审计、通信系统审计、处理过程审计、数据库审计、系统输出审计和运行管理审计六大部分。

输入审计的关键控制点有：是否制定并遵守输入管理规则，是否有数据生成顺序、处理等的防错、保护措施、防错、保护措施是否有效等。

通信系统实施的是实际数据的传输，通信系统中，审计轨迹应记录输入的数据、传送的数据和工作的通信系统。通信系统审计的关键控制点有：是否制定并遵守通信规则，对网络存取控制及监控是否有效等。

处理过程指处理器在接收到输入的数据后对数据进行加工处理的过程，此时的审计主要针对数据输入系统后是否被正确处理。关键控制点有：被处理的数据，数据处理器，数据处理时间，数据处理后的结果，数据处理实现的目的，系统处理的差错率，平均无故障时间，可恢复性和平均恢复时间等。

数据库审计是保障数据库正确行使了其职能，如对数据操作的有效性和发生异常操作时对数据的保护功能(正确数据不丢失，数据回滚以保证数据的一致性)。

其关键控制点有：对数据的存取控制及监视是否有效，是否记录数据利用状况，并定期分析，是否考虑数据的保护功能，是否有防错、保密功能，防错、保密功能是否有效等。

输出审计不同于测试阶段的输出审计，此时的输出是在实际数据的基础上进行的，对其进行审计可以对系统输出进行再控制，结合用户需求进行评价。关键控制点有：输出信息的获取及处理时是否有防止不正当行为和机密保护措施，输出信息是否准确、及时，输出信息的形式是否被客户所接受，是否记录输出出错情况并定期分析等。

运行管理审计是对人机系统中人的行为的审计。关键控制点有：操作顺序是否标准化，作业进度是否有优先级，操作是否按标准进行，人员交替是否规范，能否对预计于实际运行的差异进行分析，遇问题时能否相互沟通，是否有经常性培训与教育等。

维护过程的审计包括对维护计划、维护实施、改良系统的试运行和旧系统的废除等维护活动的审计。维护过程的关键控制点有：维护组织的规模是否适应需要，人员分工是否明确，是否有一套管理机制和协调机制，维护过程发现的可改进点，维护是否得到维护负责人同意，是否对发现问题作了修正，维护记录是否有文档记载，是否定期分析，旧系统的废除是否在授权下进行等。

3.审计完成阶段

完成阶段是实质性的整个信息系统审计工作的结束，主要工作有:

整理、评价执行审计业务过程中收集到的证据。在信息系统审计的现代化管理时期，收集到的数据己存储在管理系统中，审计人员只需对其进行分析和调用即可。

复核审计底稿，完成二级复核。传统审计的三级复核制度对信息系统审计同样适用，它是保证审计质量、降低审计风险的重要措施。一级复核是由信息系统审计项目组长在审计过程进行中对工作底稿的复核，这层复核主要是评价已完成的审计工作、所获得的工作底稿编制人员形成的结论;二级复核是在外勤工作结束时，由审计部门领导对工作底稿进行的重点复核。在审计工作办公自动化的今天，二级复核制度同样可以通过网上报送及调用得以实现。

评价审计结果，形成审计意见，完成三级复核，编制审计报告。评价审计结果

主要是为了确定将要发表的审计意见的类型及在整个审计工作中是否遵循了独立审计准则。信息系统审计人员需要对重要性和审计风险进行最终的评价。这是审计人员决定发表何种类型审计意见的必要过程，所确定的可接受审计风险一定要有足够充分适当的审计证据支持。签发审计报告之前，应当随工作底稿进行最终(三级)复核，三级复核由审计部门的主任进行，主要复核所采用审计程序的恰当性、审计工作底稿的充分性、审计过程中是否存在重大遗漏、审计工作是否符合事务所的质量要求等。三级复核制度的坚持是控制审计风险的重要手段。审计报告是审计工作的最终成果，审计报告首先应有审计人员对被审系统的安全性、可靠性、稳定性、有效性的意见，同时提出改进建议。