IT审计程序-信息系统审计培训教材

10信息系统审计程序11.审计分类2.审计线路图（Roadmap)3.审计风险4.IT环境和控制5.审计程序6.IT审计中考虑法律、法规的影响7.总结知识要点221、审计分类3审计分类•财务审计;•经营审计;•综合审计;•管理审计;•信息系统审计;•专项审计;•司法取证审计34综合审计是IT审计与财务审计和运营审计的交集IT审计运营审计财务审计•是指依照适当的审计原则，全面评估运营、程序/流程和实体上的主要内部控制（措施）。综合审计5IT审计内容整体管理层面应用层面IT一般控制网络安全体系构架重要系统安全配置IT应用层面控制管理层控制网络层面IT审计领域IT审计领域数据抽取和数据分析-利用计算机审计辅助技术数据层面配置层面462、审计线路图7业务认知业务认知审计策略审计策略风险评估风险评估审计执行审计执行5IT审计在支持审计活动中的作用和职能IT审计在支持审计活动中的作用和职能建立目标理解业务建立审计策略实施审计流程审计总结评估表现协助设计并实施CAAT总结管理建议书草案终期会议理解IT影响范围分配资源固有风险测试应用控制和IT一般控制理解IT在业务中起何种作用业务控制风险理解实体层面上的IT控制理解重大过程/交易类型和信息来源的应用控制和IT一般控制并进行穿行测试综合风险评估价值观察记入最终综合风险分析93、审计风险610审计风险控制风险固有风险检查风险MinimumModerateMaximum较低较高控制风险固有风险最低低低中等中等高综合风险评估最低中等最大(测试)(穿行测试)(无效)=xx•较低•较高•最低–有效（经测试）•中等–有效（未经测试）•最高–无效程序的类型:•数据分析•细节测试–重要项目测试–代表性抽样–其它测试审计风险公式信息或财务报表可能有重要错误，但信息系统审计人员未发现已发生的错误，并做出了错误结论的风险11IRProcessControlWorkstepWCGWWorkstepCRA712审计风险与重要性水平•基于风险的审计方法观察观察了解了解执行执行完成完成审计人员搜集信息和计划◎了解企业及所在行业的情况◎受监督管理状况◎上一年审计结果◎固有风险的评估◎最近财务信息审计人员了解内部控制◎控制环境◎检查风险评估◎控制程序◎评估总风险◎控制风险评估执行控制测试◎测试的决策及程序◎测试职务分空执行实质性测试◎分析程序◎其他执行性测试程序完成审计作业◎提出建议◎攥写审计报告13重要性•指错误的严重程度，这一程度是从被审计信息系统的利益相关者的角度来判断，如果影响到利益相关者的判断与决策，就是重要的。•审计风险：审计抽样可能不会检查出全部的潜在错误。通过使用恰当的统计抽样程序或质量控制程序，可以大大减少检查风险的概率。•重要性的评估依赖于信息系统审计师的职业判断。8144、IT环境和控制15IT环境应用控制IT一般控制IT环境916应用控制与IT一般控制•自上而下的方法–在一个自动化的流程中，我们要理解可能会出错的地方–ITGC的工作只需针对某些相关的控制，这些控制关乎应用控制的有效性–如果要测试应用控制，我们需要测试相关的ITGC–如果不测试（即不依赖于）应用控制，我们仅对ITGC做穿行测试应用控制IT一般控制IT环境17控制的分类人为控制人为控制自动化控制自动化控制(完全)人为控制(完全)人为控制应用控制应用控制基于IT的人为控制基于IT的人为控制ITIT一般控制一般控制事后检测事前预防1018内部控制•定义：为减少风险所实施的各种政策、步骤、实务和组织结构被称为内部控制。•内部控制包括两个重要方面：要达到什么和要避免什么。•董事会或最高管理层应当努力建立一种适宜的内部控制文化，使得组织中的每一个人都参与到内部控制体系中来，保证内部控制的有效性，并对内部控制进行持续监督与完善。19•意外处理计划•备份流程•恢复运营流程•减少危害影响•修复检查性控制发现的问题•找出问题的原因•纠正问题衍生出的问题•修改处理系统以减少未来问题发生的可能性纠正性控制•哈希汇总（HashTotal）•生产作业中的检查点•电信领域里的回显（Echo）控制•磁带标签上的错误信息•重复计算检查•定期汇报性能差异•内部审计使用控制检查和报告发生的错误、疏忽或蓄意行为的发生检查性控制•仅雇佣胜任的人员•指责分工•控制访问物理设备•使用良好设计的文档•建议交易授权的配套流程•完成程序化的编辑检查•使用访问控制软件，只允许授权用户访问敏感文件•在事情发生前监测问题•监控运营和输入•在问题发生前预测潜在问题，并作出纠正•避免错误、疏忽或蓄意行为的发生预防性控制作用职能类别控制的分类1120内部控制体现在技术环境下，具体包括：•保护信息资产•符合组织的方针策略及法律法规的要求•信息输入输出•交易处理的准确性及完整性•数据处理的可靠性•备份与恢复•业务经营的效率与效果21信息系统控制目标•保护信息系统以防止不当存取，并确保及时更新•保护计算机操作系统及网络操作系统的完整性•保护敏感的、重要应用系统的机密性和完整性•保证信息系统的运营效率与效果•符合用户的需求、组织的方针、策略与程序，并遵守法律法规的要求•制定业务持续计划及灾难恢复计划•制定应急响应及处理程序1222信息系统控制程序—分类•信息系统战略与方向•信息系统的组织与管理•对数据与计算机程序的访问限制•系统开发方法与变更控制•数据处理作业•系统编程及技术支持•数据处理质量保证程序•物理访问控制•业务持续计划与灾难恢复•网络和通讯•数据库管理235、审计程序13IT审计在支持审计活动中的作用和职能IT审计在支持审计活动中的作用和职能建立目标理解业务建立审计策略实施审计流程审计总结评估表现协助设计并实施CAAT总结管理建议书草案终期会议理解IT影响范围分配资源固有风险测试应用控制和IT一般控制理解IT在业务中起何种作用业务控制风险理解实体层面上的IT控制理解重大过程/交易类型和信息来源的应用控制和IT一般控制并进行穿行测试综合风险评估价值观察记入最终综合风险分析IT审计在支持审计活动中的作用和职能IT审计在支持审计活动中的作用和职能建立目标理解业务建立审计策略实施审计流程审计总结评估表现协助设计并实施CAAT总结管理建议书草案终期会议理解IT影响范围分配资源固有风险测试应用控制和IT一般控制理解IT在业务中起何种作用业务控制风险理解实体层面上的IT控制理解重大过程/交易类型和信息来源的应用控制和IT一般控制并进行穿行测试综合风险评估价值观察记入最终综合风险分析14IT审计在支持审计活动中的作用和职能IT审计在支持审计活动中的作用和职能建立目标理解业务建立审计策略实施审计流程审计总结评估表现协助设计并实施CAAT总结管理建议书草案终期会议理解IT影响范围分配资源固有风险测试应用控制和IT一般控制理解IT在业务中起何种作用业务控制风险理解实体层面上的IT控制理解重大过程/交易类型和信息来源的应用控制和IT一般控制并进行穿行测试综合风险评估价值观察记入最终综合风险分析IT审计在支持审计活动中的作用和职能IT审计在支持审计活动中的作用和职能建立目标理解业务建立审计策略实施审计流程审计总结评估表现协助设计并实施CAAT总结管理建议书草案终期会议理解IT影响范围分配资源固有风险测试应用控制和IT一般控制理解IT在业务中起何种作用业务控制风险理解实体层面上的IT控制理解重大过程/交易类型和信息来源的应用控制和IT一般控制并进行穿行测试综合风险评估价值观察记入最终综合风险分析15IT审计在支持审计活动中的作用和职能IT审计在支持审计活动中的作用和职能建立目标理解业务建立审计策略实施审计流程审计总结评估表现协助设计并实施CAAT总结管理建议书草案终期会议理解IT影响范围分配资源固有风险测试应用控制和IT一般控制理解IT在业务中起何种作用业务控制风险理解实体层面上的IT控制理解重大过程/交易类型和信息来源的应用控制和IT一般控制并进行穿行测试综合风险评估价值观察记入最终综合风险分析IT审计在支持审计活动中的作用和职能IT审计在支持审计活动中的作用和职能建立目标理解业务建立审计策略实施审计流程审计总结评估表现协助设计并实施CAAT总结管理建议书草案终期会议理解IT影响范围分配资源固有风险测试应用控制和IT一般控制理解IT在业务中起何种作用业务控制风险理解实体层面上的IT控制理解重大过程/交易类型和信息来源的应用控制和IT一般控制并进行穿行测试综合风险评估价值观察记入最终综合风险分析16IT审计在支持审计活动中的作用和职能IT审计在支持审计活动中的作用和职能建立目标理解业务建立审计策略实施审计流程审计总结评估表现协助设计并实施CAAT总结管理建议书草案终期会议理解IT影响范围分配资源固有风险测试应用控制和IT一般控制理解IT在业务中起何种作用业务控制风险理解实体层面上的IT控制理解重大过程/交易类型和信息来源的应用控制和IT一般控制并进行穿行测试综合风险评估价值观察记入最终综合风险分析IT审计在支持审计活动中的作用和职能IT审计在支持审计活动中的作用和职能建立目标理解业务建立审计策略实施审计流程审计总结评估表现协助设计并实施CAAT总结管理建议书草案终期会议理解IT影响范围分配资源固有风险测试应用控制和IT一般控制理解IT在业务中起何种作用业务控制风险理解实体层面上的IT控制理解重大过程/交易类型和信息来源的应用控制和IT一般控制并进行穿行测试综合风险评估价值观察记入最终综合风险分析1732符合性测试与实质性测试•符合性测试确定控制的执行符合管理层制定的方针政策的程度。可以用来测试既定程序的存在和有效性。•实质性测试验证实际处理的完整性。可以通过其确定报表和信息所反映的业务活动的正确性和完整性。•需要进行实质性测试的数量与内部控制水平直接相关。复合性测试结果表明被审计单位内部控制越充分，需要的实质性测试程序就越少。33符合性测试与实质性测试之间的关系理解控制环境和交易流检查系统以识别控制测试符合性以确定控制是否有效评估控制以确定可靠性基础，和实质性测试的性质、范围和时间安排使用两种实质性测试的方法评估数据的合理性测试账户和交易实施分析性的检查程序1834获取审计证据的方法：•访谈关键人员•观察•检查制度、流程文档、控制记录文件•穿行测试•重新计算•分析性复核•抽样测试35证据充分性、相关性、可靠性。审计证据包含审计人员的观察、询问记录、从内部文件或信件中取得的资料、审计测试程序的结果。评估审计证据的可靠性，取决于以下因素：•提供审计证据人员的独立性•提供审计信息或证据人员的资格•审计证据的客观性•审计证据的时效性1936执行审计抽样测试的主要步骤决定测试的目标定义抽样的总体决定抽样的方法选择样本评估样本计算样本的大小抽样（SampleTest）与穿行测试(Walkthrough-TestofOne)抽样（SampleTest）与穿行测试(Walkthrough-TestofOne)发现违例的后续行动发现违例的后续行动统计、非统计方法随机抽样工具的应用统计、非统计方法随机抽样工具的应用37确定样本量－举例针对每种交易的不同程序控制分别测试一个样本；（前提:IT一般控制是有效的）否则测试25个样本程序控制2频率一次/一季度2频率一次/一月5频率一次/一周25（至少）频率一次/一日25（至少）一日多次样本数量控制频率注：样本总量10%2038抽样违例的处理违例扩大样本量确认补充控制和替代控制评估例外的相关程度39工作底稿•所有的审计规划、计划、测试、发现和相关工作都要记录在工作底稿中。•介质多种多样。•必须有日期、编织人、编号和标识。•内容相关、完整、清晰。•E环境下，集成化的工作底稿——CAAT。审计计划－风险评估－审计程序－执行2140工作底稿•技术总结•IT环境•测试计划•测试Sample1Sample3Sample2Sample441审计报告各种性质审计报告的形式•审计目标、主要依据、审计范围、审计方法•审计报告的主要内容•审计发现和审计结果•管理层建议2242审计报告•正式发布审计报告前