質量好的審計信息系統流程有哪些

Ⅰ 採用審計軟體,審計准備階段的主要操作流程有哪些

建立項目，採集數據，初步數據整理，分發項目數據包等

Ⅱ 什麼是信息系統審計信息系統設計的主要內容包括哪些

信息系統審計（又稱IT審計）是為了信息系統的安全、可靠與有效，由獨立於審計對象的IT審計師，以第三方的客觀立場對以計算機為核心的信息系統進行綜合的檢查與評價，向IT審計對象的最高領導層，提出問題與建議的一連串的活動。IT審計所關注的內容不單純是對數據的處理，更不僅僅是財務信息，而是對組織整個信息系統的可靠性、安全性進行了解和評價，是一項通過審查與評價信息系統的規劃、分析、設計、實現、運行和維護等一系列活動，以確定信息系統運行是否安全、可靠、有效，信息系統得出的數據是否可靠、准確，以及數據是否能有效存儲的過程。

IT審計的任務在於站在客觀公正的角度上，收集審計信息，生成審計報告，通過審計報告促成信息系統生命周期活動和成果物的改善。實施IT審計能夠強化IT投資效果，提高信息系統的安全性，能夠客觀評價信息系統及信息系統開發，從社會經濟和企業、國家信息化投資、安全等方面都具有極大的意義。

Ⅲ 企業如何進行信息系統的審計

一、調查

該審計步驟用來將控制目標下的相關活動用文檔記錄下來，對組織聲稱已實施的控制措施與程序進行識別，並且確認其存在。

與相關的管理者和員工進行會見，以理解：

• 業務需求好相關的風險；

• 組織結構；

• 角色和職責；

• 政策和程序；

• 法律和法規；

• 已有的控制措施；

• 管理報告（狀態、性能、行動項目）。

用文檔記錄與過程相關的IT資源，特別是那些被審計的IT流程所影響的IT資源。確認理解了審核的過程、過程的關鍵性能指標（KPI）、實際的控制狀況。例如，可以通過對過程的抽查來進行了解。

二、評價控制

該審計步驟用來評估當前已有控制措施的有效性或達到控制目標的程度，主要是決定測試什麼、是否測試及如何測試的問題。

通過對比已確定的標准及行業最佳實踐、控制方法的關鍵成功要素（CSF）和利用審計師的職業判斷，來評價待審核過程所應用的控制措施的適宜性。

• 存在已文檔化的過程

• 存在適宜的輸出

• 職責和責任是明確的、有效的

• 在必要時，存在補償控制

• 對實現控制目標的程度做出結論。

三、評估符合性

該審計步驟用來確定已建立的控制措施是按組織規定的方式，持續地、一致地在起作用，並且對控制環境的適宜性做出結論。 ·得到所選項目和階段的直接或間接的證據，使用直接和間接的證據來保證待審核的項目和階段一直遵守相關控製程序的要求。

• 對過程輸出結果的充分性進行有限的審核。

• 為了證明IT流程是分的，確定需要進行實質性測試的程度和其他需要進行的工作。

四、證實風險

該審計步驟通過使用分析技術和可選的咨詢資源，證實控制目標沒有被實現時所帶來的風險。目標是支持其審計判斷，並督促管理者採取行動。審計師要創造性地尋找和提出通常是敏感的和機密的信息。

• 用文檔記錄下控制弱點及其引起的威脅和漏洞。

• 識別並記錄實際的影響和潛在的影響，例如，利用因果分析的方法。 ·提供比較信息。例如，通過基準比較的方法。

Ⅳ 如何開展IT審計項目，IT審計的實施過程是什麼

近年來，隨著企業信息系統的不斷完善，企業對於信息系統的依賴日益加強，信息系統審計也隨之成了審計中不可或缺的一部分。今天，時代新威和大家聊一聊信息系統審計的過程。

該審計步驟通過使用分析技術和可選的咨詢資源，證實控制目標沒有被實現時所帶來的風險。目標是支持其審計判斷，並督促管理者採取行動。審計師要創造性地尋找和提出通常是敏感的和機密的信息。

·用文檔記錄下控制弱點及其引起的威脅和漏洞。

·識別並記錄實際的影響和潛在的影響，例如，利用因果分析的方法。

·提供比較信息。例如，通過基準比較的方法。

在信息高速爆炸的時代，進行信息系統審計，確保在線、實時的信息的可靠性，有助於整個市場經濟的發展。以上就是時代新威為您科普的信息系統審計的過程，更多精彩內容，歡迎持續關注我們哦。

Ⅳ 求公司內部的審計流程及內容

你這個問題有點大，怎麼說呢？你這個工作屬於公司內部控制的一個環節，我給你發個內部控制的資料吧。

企業內部控制基本規范
第一章 總 則
第一條 為了加強和規范企業內部控制，提高企業經營管理水平和風險防範能力，促進企業可持續發展，維護社會主義市場經濟秩序和社會公眾利益，根據《中華人民共和國公司法》、《中華人民共和國證券法》、《中華人民共和國會計法》和其他有關法律法規，制定本規范。
第二條 本規范適用於中華人民共和國境內設立的大中型企業。
小企業和其他單位可以參照本規范建立與實施內部控制。
大中型企業和小企業的劃分標准根據國家有關規定執行。
第三條 本規范所稱內部控制，是由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程。
內部控制的目標是合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進企業實現發展戰略。
第四條 企業建立與實施內部控制，應當遵循下列原則：
（一）全面性原則。內部控制應當貫穿決策、執行和監督全過程，覆蓋企業及其所屬單位的各種業務和事項。
（二）重要性原則。內部控制應當在全面控制的基礎上，關注重要業務事項和高風險領域。
（三）制衡性原則。內部控制應當在治理結構、機構設置及權責分配、業務流程等方面形成相互制約、相互監督，同時兼顧運營效率。
（四）適應性原則。內部控制應當與企業經營規模、業務范圍、競爭狀況和風險水平等相適應，並隨著情況的變化及時加以調整。
（五）成本效益原則。內部控制應當權衡實施成本與預期效益，以適當的成本實現有效控制。
第五條 企業建立與實施有效的內部控制，應當包括下列要素：
（一）內部環境。內部環境是企業實施內部控制的基礎，一般包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業文化等。
（二）風險評估。風險評估是企業及時識別、系統分析經營活動中與實現內部控制目標相關的風險，合理確定風險應對策略。
（三）控制活動。控制活動是企業根據風險評估結果，採用相應的控制措施，將風險控制在可承受度之內。
（四）信息與溝通。信息與溝通是企業及時、准確地收集、傳遞與內部控制相關的信息，確保信息在企業內部、企業與外部之間進行有效溝通。
（五）內部監督。內部監督是企業對內部控制建立與實施情況進行監督檢查，評價內部控制的有效性，發現內部控制缺陷，應當及時加以改進。
第六條 企業應當根據有關法律法規、本規范及其配套辦法，制定本企業的內部控制制度並組織實施。
第七條 企業應當運用信息技術加強內部控制，建立與經營管理相適應的信息系統，促進內部控制流程與信息系統的有機結合，實現對業務和事項的自動控制，減少或消除人為操縱因素。
第八條 企業應當建立內部控制實施的激勵約束機制，將各責任單位和全體員工實施內部控制的情況納入績效考評體系，促進內部控制的有效實施。
第九條 國務院有關部門可以根據法律法規、本規范及其配套辦法，明確貫徹實施本規范的具體要求，對企業建立與實施內部控制的情況進行監督檢查。
第十條 接受企業委託從事內部控制審計的會計師事務所，應當根據本規范及其配套辦法和相關執業准則，對企業內部控制的有效性進行審計，出具審計報告。會計師事務所及其簽字的從業人員應當對發表的內部控制審計意見負責。
為企業內部控制提供咨詢的會計師事務所，不得同時為同一企業提供內部控制審計服務。
第二章 內部環境
第十一條 企業應當根據國家有關法律法規和企業章程，建立規范的公司治理結構和議事規則，明確決策、執行、監督等方面的職責許可權，形成科學有效的職責分工和制衡機制。
股東（大）會享有法律法規和企業章程規定的合法權利，依法行使企業經營方針、籌資、投資、利潤分配等重大事項的表決權。
董事會對股東（大）會負責，依法行使企業的經營決策權。
監事會對股東（大）會負責，監督企業董事、經理和其他高級管理人員依法履行職責。
經理層負責組織實施股東（大）會、董事會決議事項，主持企業的生產經營管理工作。
第十二條 董事會負責內部控制的建立健全和有效實施。監事會對董事會建立與實施內部控制進行監督。經理層負責組織領導企業內部控制的日常運行。
企業應當成立專門機構或者指定適當的機構具體負責組織協調內部控制的建立實施及日常工作。
第十三條 企業應當在董事會下設立審計委員會。審計委員會負責審查企業內部控制，監督內部控制的有效實施和內部控制自我評價情況，協調內部控制審計及其他相關事宜等。
審計委員會負責人應當具備相應的獨立性、良好的職業操守和專業勝任能力。
第十四條 企業應當結合業務特點和內部控制要求設置內部機構，明確職責許可權，將權利與責任落實到各責任單位。
企業應當通過編制內部管理手冊，使全體員工掌握內部機構設置、崗位職責、業務流程等情況，明確權責分配，正確行使職權。
第十五條 企業應當加強內部審計工作，保證內部審計機構設置、人員配備和工作的獨立性。
內部審計機構應當結合內部審計監督，對內部控制的有效性進行監督檢查。內部審計機構對監督檢查中發現的內部控制缺陷，應當按照企業內部審計工作程序進行報告；對監督檢查中發現的內部控制重大缺陷，有權直接向董事會及其審計委員會、監事會報告。
第十六條 企業應當制定和實施有利於企業可持續發展的人力資源政策。人力資源政策應當包括下列內容：
（一）員工的聘用、培訓、辭退與辭職。
（二）員工的薪酬、考核、晉升與獎懲。
（三）關鍵崗位員工的強制休假制度和定期崗位輪換制度。
（四）掌握國家秘密或重要商業秘密的員工離崗的限制性規定。
（五）有關人力資源管理的其他政策。
第十七條 企業應當將職業道德修養和專業勝任能力作為選拔和聘用員工的重要標准，切實加強員工培訓和繼續教育，不斷提升員工素質。
第十八條 企業應當加強文化建設，培育積極向上的價值觀和社會責任感，倡導誠實守信、愛崗敬業、開拓創新和團隊協作精神，樹立現代管理理念，強化風險意識。
董事、監事、經理及其他高級管理人員應當在企業文化建設中發揮主導作用。
企業員工應當遵守員工行為守則，認真履行崗位職責。
第十九條 企業應當加強法制教育，增強董事、監事、經理及其他高級管理人員和員工的法制觀念，嚴格依法決策、依法辦事、依法監督，建立健全法律顧問制度和重大法律糾紛案件備案制度。
第三章 風險評估
第二十條 企業應當根據設定的控制目標，全面系統持續地收集相關信息，結合實際情況，及時進行風險評估。
第二十一條 企業開展風險評估，應當准確識別與實現控制目標相關的內部風險和外部風險，確定相應的風險承受度。
風險承受度是企業能夠承擔的風險限度，包括整體風險承受能力和業務層面的可接受風險水平。
第二十二條 企業識別內部風險，應當關注下列因素：
（一）董事、監事、經理及其他高級管理人員的職業操守、員工專業勝任能力等人力資源因素。
（二）組織機構、經營方式、資產管理、業務流程等管理因素。
（三）研究開發、技術投入、信息技術運用等自主創新因素。
（四）財務狀況、經營成果、現金流量等財務因素。
（五）營運安全、員工健康、環境保護等安全環保因素。
（六）其他有關內部風險因素。
第二十三條 企業識別外部風險，應當關注下列因素：
（一）經濟形勢、產業政策、融資環境、市場競爭、資源供給等經濟因素。
（二）法律法規、監管要求等法律因素。
（三）安全穩定、文化傳統、社會信用、教育水平、消費者行為等社會因素。
（四）技術進步、工藝改進等科學技術因素。
（五）自然災害、環境狀況等自然環境因素。
（六）其他有關外部風險因素。
第二十四條 企業應當採用定性與定量相結合的方法，按照風險發生的可能性及其影響程度等，對識別的風險進行分析和排序，確定關注重點和優先控制的風險。
企業進行風險分析，應當充分吸收專業人員，組成風險分析團隊，按照嚴格規范的程序開展工作，確保風險分析結果的准確性。
第二十五條 企業應當根據風險分析的結果，結合風險承受度，權衡風險與收益，確定風險應對策略。
企業應當合理分析、准確掌握董事、經理及其他高級管理人員、關鍵崗位員工的風險偏好，採取適當的控制措施，避免因個人風險偏好給企業經營帶來重大損失。
第二十六條 企業應當綜合運用風險規避、風險降低、風險分擔和風險承受等風險應對策略，實現對風險的有效控制。
風險規避是企業對超出風險承受度的風險，通過放棄或者停止與該風險相關的業務活動以避免和減輕損失的策略。
風險降低是企業在權衡成本效益之後，准備採取適當的控制措施降低風險或者減輕損失，將風險控制在風險承受度之內的策略。
風險分擔是企業准備藉助他人力量，採取業務分包、購買保險等方式和適當的控制措施，將風險控制在風險承受度之內的策略。
風險承受是企業對風險承受度之內的風險，在權衡成本效益之後，不準備採取控制措施降低風險或者減輕損失的策略。
第二十七條 企業應當結合不同發展階段和業務拓展情況，持續收集與風險變化相關的信息，進行風險識別和風險分析，及時調整風險應對策略。
第四章 控制活動
第二十八條 企業應當結合風險評估結果，通過手工控制與自動控制、預防性控制與發現性控制相結合的方法，運用相應的控制措施，將風險控制在可承受度之內。
控制措施一般包括：不相容職務分離控制、授權審批控制、會計系統控制、財產保護控制、預算控制、運營分析控制和績效考評控制等。
第二十九條 不相容職務分離控制要求企業全面系統地分析、梳理業務流程中所涉及的不相容職務，實施相應的分離措施，形成各司其職、各負其責、相互制約的工作機制。
第三十條 授權審批控制要求企業根據常規授權和特別授權的規定，明確各崗位辦理業務和事項的許可權范圍、審批程序和相應責任。
企業應當編制常規授權的許可權指引，規范特別授權的范圍、許可權、程序和責任，嚴格控制特別授權。常規授權是指企業在日常經營管理活動中按照既定的職責和程序進行的授權。特別授權是指企業在特殊情況、特定條件下進行的授權。
企業各級管理人員應當在授權范圍內行使職權和承擔責任。
企業對於重大的業務和事項，應當實行集體決策審批或者聯簽制度，任何個人不得單獨進行決策或者擅自改變集體決策。
第三十一條 會計系統控制要求企業嚴格執行國家統一的會計准則制度，加強會計基礎工作，明確會計憑證、會計賬簿和財務會計報告的處理程序，保證會計資料真實完整。
企業應當依法設置會計機構，配備會計從業人員。從事會計工作的人員，必須取得會計從業資格證書。會計機構負責人應當具備會計師以上專業技術職務資格。
大中型企業應當設置總會計師。設置總會計師的企業，不得設置與其職權重疊的副職。
第三十二條 財產保護控制要求企業建立財產日常管理制度和定期清查制度，採取財產記錄、實物保管、定期盤點、賬實核對等措施，確保財產安全。
企業應當嚴格限制未經授權的人員接觸和處置財產。
第三十三條 預算控制要求企業實施全面預算管理制度，明確各責任單位在預算管理中的職責許可權，規范預算的編制、審定、下達和執行程序，強化預算約束。
第三十四條 運營分析控制要求企業建立運營情況分析制度，經理層應當綜合運用生產、購銷、投資、籌資、財務等方面的信息，通過因素分析、對比分析、趨勢分析等方法，定期開展運營情況分析，發現存在的問題，及時查明原因並加以改進。
第三十五條 績效考評控制要求企業建立和實施績效考評制度，科學設置考核指標體系，對企業內部各責任單位和全體員工的業績進行定期考核和客觀評價，將考評結果作為確定員工薪酬以及職務晉升、評優、降級、調崗、辭退等的依據。
第三十六條 企業應當根據內部控制目標，結合風險應對策略，綜合運用控制措施，對各種業務和事項實施有效控制。
第三十七條 企業應當建立重大風險預警機制和突發事件應急處理機制，明確風險預警標准，對可能發生的重大風險或突發事件，制定應急預案、明確責任人員、規范處置程序，確保突發事件得到及時妥善處理。
第五章 信息與溝通
第三十八條 企業應當建立信息與溝通制度，明確內部控制相關信息的收集、處理和傳遞程序，確保信息及時溝通，促進內部控制有效運行。
第三十九條 企業應當對收集的各種內部信息和外部信息進行合理篩選、核對、整合，提高信息的有用性。
企業可以通過財務會計資料、經營管理資料、調研報告、專項信息、內部刊物、辦公網路等渠道，獲取內部信息。
企業可以通過行業協會組織、社會中介機構、業務往來單位、市場調查、來信來訪、網路媒體以及有關監管部門等渠道，獲取外部信息。
第四十條 企業應當將內部控制相關信息在企業內部各管理級次、責任單位、業務環節之間，以及企業與外部投資者、債權人、客戶、供應商、中介機構和監管部門等有關方面之間進行溝通和反饋。信息溝通過程中發現的問題，應當及時報告並加以解決。
重要信息應當及時傳遞給董事會、監事會和經理層。
第四十一條 企業應當利用信息技術促進信息的集成與共享，充分發揮信息技術在信息與溝通中的作用。
企業應當加強對信息系統開發與維護、訪問與變更、數據輸入與輸出、文件儲存與保管、網路安全等方面的控制，保證信息系統安全穩定運行。
第四十二條 企業應當建立反舞弊機制，堅持懲防並舉、重在預防的原則，明確反舞弊工作的重點領域、關鍵環節和有關機構在反舞弊工作中的職責許可權，規范舞弊案件的舉報、調查、處理、報告和補救程序。
企業至少應當將下列情形作為反舞弊工作的重點：
（一）未經授權或者採取其他不法方式侵佔、挪用企業資產，牟取不當利益。
（二）在財務會計報告和信息披露等方面存在的虛假記載、誤導性陳述或者重大遺漏等。
（三）董事、監事、經理及其他高級管理人員濫用職權。
（四）相關機構或人員串通舞弊。
第四十三條 企業應當建立舉報投訴制度和舉報人保護制度，設置舉報專線，明確舉報投訴處理程序、辦理時限和辦結要求，確保舉報、投訴成為企業有效掌握信息的重要途徑。
舉報投訴制度和舉報人保護制度應當及時傳達至全體員工。
第六章 內部監督
第四十四條 企業應當根據本規范及其配套辦法，制定內部控制監督制度，明確內部審計機構（或經授權的其他監督機構）和其他內部機構在內部監督中的職責許可權，規范內部監督的程序、方法和要求。
內部監督分為日常監督和專項監督。日常監督是指企業對建立與實施內部控制的情況進行常規、持續的監督檢查；專項監督是指在企業發展戰略、組織結構、經營活動、業務流程、關鍵崗位員工等發生較大調整或變化的情況下，對內部控制的某一或者某些方面進行有針對性的監督檢查。
專項監督的范圍和頻率應當根據風險評估結果以及日常監督的有效性等予以確定。
第四十五條 企業應當制定內部控制缺陷認定標准，對監督過程中發現的內部控制缺陷，應當分析缺陷的性質和產生的原因，提出整改方案，採取適當的形式及時向董事會、監事會或者經理層報告。
內部控制缺陷包括設計缺陷和運行缺陷。企業應當跟蹤內部控制缺陷整改情況，並就內部監督中發現的重大缺陷，追究相關責任單位或者責任人的責任。
第四十六條 企業應當結合內部監督情況，定期對內部控制的有效性進行自我評價，出具內部控制自我評價報告。
內部控制自我評價的方式、范圍、程序和頻率，由企業根據經營業務調整、經營環境變化、業務發展狀況、實際風險水平等自行確定。
國家有關法律法規另有規定的，從其規定。
第四十七條 企業應當以書面或者其他適當的形式，妥善保存內部控制建立與實施過程中的相關記錄或者資料，確保內部控制建立與實施過程的可驗證性。
第七章 附 則
第四十八條 本規范由財政部會同國務院其他有關部門解釋。
第四十九條 本規范的配套辦法由財政部會同國務院其他有關部門另行制定。
第五十條 本規范自2009年7月1日起實施。
二OO八年五月二十二日

Ⅵ 什麼是審計程序一般審計程序有哪些

審計程序是指審計師在審計工作中可能採用的，用以獲取充分、適當的審計證據發表恰當的審計意見的程序。一般審計程序表示審計工作從開始到結束的整個過程，包括三個主要的階段，即計劃階段、實施審計階段和審計完成階段。具體如下：

1、審計計劃階段，各級審計機關為履行審計職責而對計劃期內的審計項目和專項審計調查項目作出統一安排，指導著一個地區、一段時間內的審計工作。只有切實加強審計項目計劃管理，才能充分利用現有審計資源，合理確定審計重點和審計覆蓋面，保證審計工作高質高效地進行。

2、審計實施階段，指評價內部控制系統，進行財務收支項目實質性審查，進而取得審計證據，編制審計工作底稿和作出審計評價等。一方面是審計人員與被審計單位協調配合的過程，另一方面則是審計人員自身實施審查與取證的過程。

3、審計終結階段。審計組對審計事項實施審計後，應當向審計機關提出審計組的審計報告。審計組的審計報告報送審計機關前，應當徵求被審計對象的意見。

(6)質量好的審計信息系統流程有哪些擴展閱讀：

審計程序實施的及時性

內部審計機構是本部門、本單位的一個部門，內部審計人員是本部門、本單位的職工，因而可根據需要隨時對本部門、本單位的問題進行審查。

可以根據需要，簡化審計程序，在本部門、本單位負責人的領導下，及時開展審計；可以通過日常了解，及時發現管理中存在的問題或問題的苗頭，並且可以迅速與有關職能部門溝通或向本部門、本單位最高管理者反映，以便採取措施，糾正已經出現和可能出現的問題。

Ⅶ 審計的系統過程

系統審計（又稱信息系統審計）指對一個信息系統的運行狀況進行檢查與評價，以判斷信息系統是否能夠保證資產的安全、數據的完整以及有效率利用組織的資源並有效果地實現組織目標。

系統審計具有審計，控制，管理等三大職能 。
審計職能。所謂審計職能，就是以相關規定、標准等為評價依據，評價被審計對象的信息資產和信息系統是否安全、可信，反映的財務收支和經濟活動的電子軌跡是否合法、合規、合理和有效，從而督促被審計對象遵紀守法，提高經濟效益。
控制職能。內部信息系統審計人作為企業內部控制系統中一個重要組成部分，是企業內部控制的再控制，因其受企業主要負責人的直接領導，能夠站在企業發展的全局來分析和考慮問題，檢查信息系統運行是否得到有效控制，以及控製程度和效果，提出控制中存在的不足和問題，實現控制系統的最終目標。
管理職能。信息系統審計師有義務和責任對企業的信息資產安全與信息系統運行狀況提供決策咨詢，確保IT發展與企業的戰略一致，在工作中發現問題，對制度、管理和控制等方面有針對性地提供咨詢服務，預防出現大的信息技術風險和管理漏洞，企業各管理層提供服務，不斷改進經營管理水平。

Ⅷ 企業內部審計程序

企業內部審計程序：

1、進行價值管理。內部審計人員從經濟性(最低的成本)、效率(資源的最好利用)、效果(最佳的結果)三方面關注公司的資源使用情況。

2、企業信息系統的審計。通過內部審計判定公司信息系統是否為報表編制提供可靠的信息，是否有有效的內控制度降低錯報、漏報的風險。

3、開展項目審計。內部審計對具體特定項目進行審計，例如建立新的信息系統、開設新的生產加工區等。內部審計負責鑒定項目的目標是否能實現，項目是否按計劃有效的運行，並從運行項目失敗教訓中總結經驗等。

4、進行內部財務審計。這是內部審計部門傳統上的主要工作領域，例行性的檢查編制財務報表的財務記錄與支持文件，以減少錯誤與舞弊事件的發生；對財務數據進行趨勢分析等。

5、開展經營審計。內部審計部門可以對采購、市場營銷、人力資源等經營部門開展經營審計，檢查與復核內部控制的有效性，提出可以進一步提高業績與改善管理的建議與對策等。

(8)質量好的審計信息系統流程有哪些擴展閱讀：

企業內部審計的一般准則：

1、一般准則是指內部審計機構的設立及其職權、內部審計人員應當具備的基本資格條件和職業的要求。

2、內部審計機構設置應考慮組織性質、規模、內部治理結構以及相關法令的規定，並配備一定數量的內部審計人員。

3、內部審計機構應在其內部建立嚴格的質量控制制度，並積極了解、參與組織內部控制制度的建設。

4、內部審計人員應具備專門學識及業務能力，熟悉本組織的經營活動和內部控制，並不斷通過後續教育來保持這種專業勝任能力。

5、內部審計人員應當遵循職業道德規范，並以應有的職業謹慎態度執行審計業務。

6、內部審計機構和人員應保持其獨立性和客觀性，不得參與被審計單位的任何實際經營管理活動。

7、內部審計人員應具有人際交往的基本技能，能以恰當的方式與他人進行有效的溝通。

Ⅸ 內部審計中的信息系統審計的內容

內部審計中的信息系統審計的內容

伴隨著大數據時代的到來，企業的信息系統越來越系統化，呈現出與企業目標有機融合的整體性，隨著信息技術和企業業務發展而不斷發展的動態性，包含子系統眾多的復雜性等特性，一句話，信息系統越來越復雜了。下面是我為大家帶來的關於內部審計中的信息系統審計的內容的知識，歡迎閱讀。

劃分責任方

定義審計邊界、確定審計范圍的責任方有以下兩個層面：

決策層面

決策層面即董事會、管理層根據企業發展的戰略需求或者管理需求提出對IT相關項目的審計要求。這種要求是宏觀性的，是大的方向。例如保護企業信息安全是大數據時代企業生存和發展面臨的一個非常重要的問題，一旦董事會、管理層決定加強這方面的保護力度，或者發現了問題的隱患，就會提出對信息系統數據、信息安全控制方面的審計。

執行層面

執行層面即審計部門要根據企業計劃的安排，根據決策層授權提出的方向，定義具體審計的范圍和內容。如根據決策層關於數據、信息安全的大方向，需要審計信息系統中的哪些子系統、一般控制的哪些內容、哪些管理制度，都要一一詳細、具體定義。

視情況而定

在對信息系統開展的審計中，可能存在以下三種情況：

生命周期審計

第一種情況是對信息系統生命周期進行同步審計，對每一個流程都開展詳細審計。這種情況作為企業內部審計都會遇到，也是企業內部審計的一項職責。盡管如此，對每一個治理和管理流程開展審計時，也要明確的定義好每個流程的邊界。

系統審計

第二種情況是對已經開發好、並投入運行的系統開展審計。這類審計的目的是評估信息系統的功能是否達到了企業需要，是否需要更新。這類系統是企業整個信息系統的一個部分，是其中的一個或者幾個子系統。開展這種情況的審計時要明確審計的是什麼?是哪一個或者哪幾個子系統，把需要審計的對象摘取出來，與審計目的無關的不要涉及。

業務審計

第三種情況常常是和企業業務審計結合在一起的，如檢查企業對供應商管理的審計中，要檢查到信息系統中供應商子系統;檢查企業人力資源管理時，涉及到人力資源管理子系統。在開展這類審計時，要明確業務涉及到的信息系統是什麼系統，范圍是什麼，系統的邊界如何劃分，審計應該審計的內容。處理好上述三種情況，就能在制定審計計劃時列出明確的范圍，在實施審計時突出重點，有條不紊。

伴隨著大數據時代的到來，企業的信息系統越來越系統化，呈現出與企業目標有機融合的整體性，隨著信息技術和企業業務發展而不斷發展的動態性，包含子系統眾多的復雜性等特性，一句話，信息系統越來越復雜了。如現在在很多企業推行的ERP、SAP系統，包含的子系統動輒以千計，涵蓋企業的供應商、進貨、庫存、生產、銷售、銷售商、財務會計、管理會計、人力資源等各個方面，包含的數據表更是數以萬計。企業內部審計對如此復雜的系統開展審計，在實務中，會感覺十分迷茫。那麼在內部審計中信息系統的審計究竟審什麼呢，我們有必要對其進行一些深入討論。

信息系統的審計首先要考慮的問題是定義審計什麼，也就是審計信息系統的哪一個部分，審計的范圍如何界定。在安排審計計劃時都要科學劃定審計的邊界，而不能籠統地對企業整個信息系統都開展全面的審計，因為那樣做，會超越審計的實際需要，造成力不從心，無法實施或無力勝任的困境。在企業內部審計實務中還常常會遇到根據企業面臨的風險或特殊需要，而安排信息系統審計專項審計的情況，如信息和數據安全專項審計、信息系統建設投資專項審計、外包專項審計、內部控制合規性專項審計等等，遇到這類情況，也要首先定義審計的內容和范圍。

劃分責任方

定義審計邊界、確定審計范圍的責任方有以下兩個層面：

決策層面

決策層面即董事會、管理層根據企業發展的戰略需求或者管理需求提出對IT相關項目的審計要求。這種要求是宏觀性的，是大的方向。例如保護企業信息安全是大數據時代企業生存和發展面臨的一個非常重要的問題，一旦董事會、管理層決定加強這方面的保護力度，或者發現了問題的隱患，就會提出對信息系統數據、信息安全控制方面的.審計。

執行層面

執行層面即審計部門要根據企業計劃的安排，根據決策層授權提出的方向，定義具體審計的范圍和內容。如根據決策層關於數據、信息安全的大方向，需要審計信息系統中的哪些子系統、一般控制的哪些內容、哪些管理制度，都要一一詳細、具體定義。

視情況而定

在對信息系統開展的審計中，可能存在以下三種情況：

生命周期審計

第一種情況是對信息系統生命周期進行同步審計，對每一個流程都開展詳細審計。這種情況作為企業內部審計都會遇到，也是企業內部審計的一項職責。盡管如此，對每一個治理和管理流程開展審計時，也要明確的定義好每個流程的邊界。

系統審計

第二種情況是對已經開發好、並投入運行的系統開展審計。這類審計的目的是評估信息系統的功能是否達到了企業需要，是否需要更新。這類系統是企業整個信息系統的一個部分，是其中的一個或者幾個子系統。開展這種情況的審計時要明確審計的是什麼?是哪一個或者哪幾個子系統，把需要審計的對象摘取出來，與審計目的無關的不要涉及。

業務審計

第三種情況常常是和企業業務審計結合在一起的，如檢查企業對供應商管理的審計中，要檢查到信息系統中供應商子系統;檢查企業人力資源管理時，涉及到人力資源管理子系統。在開展這類審計時，要明確業務涉及到的信息系統是什麼系統，范圍是什麼，系統的邊界如何劃分，審計應該審計的內容。處理好上述三種情況，就能在制定審計計劃時列出明確的范圍，在實施審計時突出重點，有條不紊。

Ⅹ IT審計的審計流程

計劃階段是整個審計過程的起點。其主要工作包括：
（1）了解被審系統基本情況
了解被審系統基本情況是實施任何信息系統審計的必經程序，對基本情況的了解有助於審計組織對系統的組成、環境、運行年限、控制等有初步印象，以決定是否對該系統進行審計，明確審計的難度，所需時間以及人員配備情況等。
了解了基本情況，審計組織就可以大致判斷系統的復雜性、管理層對審計的態度、內部控制的狀況、以前審計的狀況、審計難點與重點，以決定是否對其進行審計。
（2）初步評價被審單位系統的內部控制及外部控制
傳統的內部控制制度是為防止舞弊和差錯而形成的以內部稽核和相互牽制為核心的工作制度。隨著信息技術特別是以Internet為代表的網路技術的發展和應用，企業信息系統進一步向深層次發展，這些變革無疑給企業帶來了巨大的效益，但同時也給內部控制帶來了新的問題和挑戰。加強內部控制制度是信息系統安全可靠運行的有力保證。依據控制對象的范圍和環境，信息系統內控制度的審計內容包括一般控制和應用控制兩類。
一般控制是系統運行環境方而的控制，指對信息系統構成要素(人、機器、文件)的控制。它已為應用程序的正常運行提供外圍保障，影響到計算機應用的成敗及應用控制的強弱。主要包括：組織控制、操作控制、硬體及系統軟體控制和系統安全控制。
應用控制是對信息系統中具體的數據處理活動所進行的控制，是具體的應用系統中用來預測、檢測和更正錯誤和處置不法行為的控制措施，信息系統的應用控制主要體現在輸入控制、處理控制和輸出控制。應用控制具有特殊性，不同的應用系統有著不同的處理方式和處理環節，因而有著不同的控制問題和不同的控制要求，但是一般可把它劃分為：輸入控制、處理控制和輸出控制。
通過對信息系統組織機構控制，系統開發與維護控制，安全性控制，硬體、軟體資源控制，輸入控制，處理控制，輸出控制等方而的審計分析，建立內部控制強弱評價的指標系統及評價模型，審計人員通過互動式人機對話，輸入各評價指標的評分，內控制審計評價系統則可以進行多級綜合審計評價。通過內控制度的審計，實現對系統的預防性控制，檢測性控制和糾正性控制。
（3）識別重要性
為了有效實現審計目標，合理使用審計資源，在制定審計計劃時，信息系統審計人員應對系統重要性進行適當評估。對重要性的評估一般需要運用專業判斷。考慮重要性水平時要根據審計人員的職業判斷或公用標准，系統的服務對象及業務性質，內控的初評結果。重要性的判斷離不開特定環境，審計人員必須根據具體的信息系統環境確定重要性。重要性具有數量和質量兩個方面的特徵。越是重要的子系統，就越需要獲取充分的審計證據，以支持審計結論或意見。
（4）編制審計計劃
經過以上程序，為編制審計計劃提供了良好准備，審計人員就可以據以編制總體及具體審計計劃。
總體計劃包括：被審單位基本情況；審計目的、審計范圍及策略；重要問題及重要審計領域；工作進度及時間；審計小組成員分工；重要性確定及風險評估等。
具體計劃包括：具體審計目標；審計程序；執行人員及時間限制等。 做好上訴材料的充分的准備，便可進行審計實施，具體包括以下內容：
（1）對信息系統計劃開發階段的審計
對信息系統計劃開發階段的審計包括對計劃的審計和對開發的審計，可以採用事中審計，也可以是事後審計。比較而言事中審計更有意義，審計結果的得出利於故障、問題的及早發現，利於調整計劃，利於開發順序的改進。
信息系統計劃階段的關鍵控制點有：計劃是否有明確的目的，計劃中是否明確描述了系統的效果，是否明確了系統開發的組織，對整體計劃進程是否正確預計，計劃能否隨經營環境改變而及時修正，計劃是否制定有可行性報告，關於計劃的過程和結果是否有文檔記錄等等。
系統開發階段包括系統分析、系統設計、代碼編寫和系統測試三部分。其中涉及包括功能需求分析、業務數據分析、總體框架設計、結構設計、代碼設計、資料庫設計、輸入輸出設計、處理流程及模塊功能的設計。編程時依據系統設計階段的設計圖及資料庫結構和編碼設計，用計算機程序語言來實現系統的過程。測試包括動態測試和靜態測試，是系統開發完畢，進入試運行之前的必經程序。其關鍵控制點有:
分析控制點：是否己細致分析企業組織結構；是否確定用戶功能和性能需求；是否確定用戶的數據需求等。
設計控制點：設計界面是否方便用戶使用；設計是否與業務內容相符；性能能否滿足需要，是否考慮故障對策和安全保護等。
編程式控制制點：是否有程序說明書，並按照說明書進行編寫；編程與設計是否相符，有無違背編程原則；程序作者是否進行自測；是否有程序作者之外的第三人進行測試;編程的書寫、變數的命名等是否規范。
測試控制點：測試數據的選取是否按計劃及需要進行，是否具有代表性；測試是否站在公正客觀的立場進行，是否有用戶參與測試；測試結果是否正確記錄等。
（2）對信息系統運行維護階段的審計
對信息系統運行維護階段的審計又細分為對運行階段的審計和對維護階段的審計。系統運行過程的審計是在信息系統正式運行階段，針對信息系統是否被正確操作和是否有效地運行，從而真正實現信息系統的開發目標、滿足用戶需求而進行的審計。對信息系統運行過程的審計分為系統輸入審計、通信系統審計、處理過程審計、資料庫審計、系統輸出審計和運行管理審計六大部分。
輸入審計的關鍵控制點有：是否制定並遵守輸入管理規則，是否有數據生成順序、處理等的防錯、保護措施、防錯、保護措施是否有效等。
通信系統實施的是實際數據的傳輸，通信系統中，審計軌跡應記錄輸入的數據、傳送的數據和工作的通信系統。通信系統審計的關鍵控制點有：是否制定並遵守通信規則，對網路存取控制及監控是否有效等。
處理過程指處理器在接收到輸入的數據後對數據進行加工處理的過程，此時的審計主要針對數據輸入系統後是否被正確處理。關鍵控制點有：被處理的數據，數據處理器，數據處理時間，數據處理後的結果，數據處理實現的目的，系統處理的差錯率，平均無故障時間，可恢復性和平均恢復時間等。
資料庫審計是保障資料庫正確行使了其職能，如對數據操作的有效性和發生異常操作時對數據的保護功能(正確數據不丟失，數據回滾以保證數據的一致性)。其關鍵控制點有：對數據的存取控制及監視是否有效，是否記錄數據利用狀況，並定期分析，是否考慮數據的保護功能，是否有防錯、保密功能，防錯、保密功能是否有效等。
輸出審計不同於測試階段的輸出審計，此時的輸出是在實際數據的基礎上進行的，對其進行審計可以對系統輸出進行再控制，結合用戶需求進行評價。關鍵控制點有：輸出信息的獲取及處理時是否有防止不正當行為和機密保護措施，輸出信息是否准確、及時，輸出信息的形式是否被客戶所接受，是否記錄輸出出錯情況並定期分析等。
運行管理審計是對人機系統中人的行為的審計。關鍵控制點有：操作順序是否標准化，作業進度是否有優先順序，操作是否按標准進行，人員交替是否規范，能否對預計於實際運行的差異進行分析，遇問題時能否相互溝通，是否有經常性培訓與教育等。
維護過程的審計包括對維護計劃、維護實施、改良系統的試運行和舊系統的廢除等維護活動的審計。維護過程的關鍵控制點有：維護組織的規模是否適應需要，人員分工是否明確，是否有一套管理機制和協調機制，維護過程發現的可改進點，維護是否得到維護負責人同意，是否對發現問題作了修正，維護記錄是否有文檔記載，是否定期分析，舊系統的廢除是否在授權下進行等。 完成階段是實質性的整個信息系統審計工作的結束，主要工作有:
整理、評價執行審計業務過程中收集到的證據。在信息系統審計的現代化管理時期，收集到的數據己存儲在管理系統中，審計人員只需對其進行分析和調用即可。
復核審計底稿，完成二級復核。傳統審計的三級復核制度對信息系統審計同樣適用，它是保證審計質量、降低審計風險的重要措施。一級復核是由信息系統審計項目組長在審計過程進行中對工作底稿的復核，這層復核主要是評價已完成的審計工作、所獲得的工作底稿編制人員形成的結論；二級復核是在外勤工作結束時，由審計部門領導對工作底稿進行的重點復核。在審計工作辦公自動化的今天，二級復核制度同樣可以通過網上報送及調用得以實現。
評價審計結果，形成審計意見，完成三級復核，編制審計報告。評價審計結果主要是為了確定將要發表的審計意見的類型及在整個審計工作中是否遵循了獨立審計准則。信息系統審計人員需要對重要性和審計風險進行最終的評價。這是審計人員決定發表何種類型審計意見的必要過程，所確定的可接受審計風險一定要有足夠充分適當的審計證據支持。簽發審計報告之前，應當隨工作底稿進行最終(三級)復核，三級復核由審計部門的主任進行，主要復核所採用審計程序的恰當性、審計工作底稿的充分性、審計過程中是否存在重大遺漏、審計工作是否符合事務所的質量要求等。三級復核制度的堅持是控制審計風險的重要手段。審計報告是審計工作的最終成果，審計報告首先應有審計人員對被審系統的安全性、可靠性、穩定性、有效性的意見，同時提出改進建議。