信息系统审计程序一般包括审计准备、审计实施、审计报告和后续审计四个阶段。
一、审计准备
(一)审前准备
内部审计人员在实施信息系统审计前,需要根据信息系统审计目标,开展审前调查,收集法规、制度依据以及其他有关资料。审前调查主要了解组织信息系统的治理管理体制、总体架构、规划和建设、应用管理情况等。具体如下:
1.治理、管理体制。主要了解信息系统管理机构设置、管理职责、工作流程等。
2.系统总体架构
(1)系统分布。包括系统数量、规模和分布,绘制信息系统分布图。
(2)信息系统主要类型。
(3)各信息系统的基本情况和系统之间的关联关系。
(4)信息系统应用覆盖面及应用程度。
3.规划和建设情况
(1)规划:信息系统发展规划以及规划、年度计划落实情况。
(2)建设:信息系统建设程序、投入、管理,了解已完成系统和在建系统。
(3)使用:信息系统应用管理制度、使用率、应用中存在的主要问题、困难和矛盾。
(二)编制审计工作方案
根据审前准备情况,编制信息系统审计工作方案,方案内容包括但不限于被审计组织信息系统的基本情况。包括信息系统项目建设及应用情况、审计目的、审计依据、审计对象与范围、审计内容重点及方法、审计步骤与时间安排、审计组与人员分工等。在审计组组成环节,审计部门可以借助外部专家的力量,在审计组中应当有具备信息技术经验和知识的专兼职审计专家,便于补充提高审计组的胜任能力。
二、审计实施
审计实施是内部审计人员依据审计计划实施现场审计的过程。内部审计人员应结合审前准备了解的内容,按照被审计组织的信息化环境、业务流程、内控制度等方面的风险,明确具体项目审计目标、细化审计内容,突出审计重点。实施阶段主要应完成以下工作:
(一)了解评估被审计组织的信息系统内部控制
1.收集被审计组织信息系统的内部控制管理制度及流程,对被审计组织相关人员进行访谈,了解组织的信息系统决策及管理政策、方法、控制活动主要内容包括但不限于:
(1)信息系统内部控制环境。
(2)风险管理。
(3)控制活动。
(4)信息与沟通。
(5)内部监督。
2.开展控制测试
内部审计人员开展控制测试评价信息系统的内部控制要素,以确定组织能接受的控制风险。验证控制措施的执行是否符合管理政策和程序,为审计提供合理的保证。信息系统控制测试主要包括控制环境测试和功能测试:
(1)组织管理的控制测试。
(2)系统建设管理的控制测试。
(3)系统资源管理的控制测试。
(4)系统环境管理的控制测试。
(5)系统运行管理的控制测试。
(6)系统网络和通信管理的控制测试。
(7)系统数据库管理的控制测试。
(8)系统输入、处理、输出的控制测试。
(9)其他。
3.初步评估信息系统内部控制
根据对组织信息系统的控制测试情况,选择组织信息系统的重点业务流程,对固有风险和控制风险进行初步评估,对信息系统控制有效性作出评价。
(二)开展实质性测试
内部审计人员应根据控制测试结果确定实质性测试的性质、时间和范围。组织层面评价内容包括组织架构、权责分配、发展战略、人力资源、培训与考核等。
对组织信息系统开展风险评估时,结合相关规范中有关风险评估的要求,重点关注内部和外部风险信息的搜集、利用风险识别机制按照风险评估的程序、方法,评估风险等级并检查应对策略的有效性。
对信息与沟通审计时,应结合组织信息与沟通的相关管理制度,对信息收集、处理和传递的及时性,反舞弊机制的健全性,财务报告的真实性,信息系统的安全性,以及利用信息系统实施内部控制的有效性等进行审查和评价。
对内部监督审计时应结合组织内部监督制度,对内部监督机制的有效性进行认定和评价。重点关注内部审计机构等监督机构是否在内部控制设计和运行中有效发挥监督作用,内部控制缺陷认定是否客观,整改方案措施是否得当,并有效整改。
内部控制检查评价方法主要包括:个别访谈法、调查问卷法、比较分析法、标杆法、穿行测试法、抽样法、实地查验法、重新执行法、专题讨论会法等。内部控制检查评价应综合运用上述方法,充分利用信息系统,实施在线检查、监控。
三、审计报告
信息系统审计报告阶段包括整理加工审计工作底稿、编写审计报告、做出审计结论。内部审计人员应运用专业判断,综合分析所收集到的相关证据,以经过核实的审计证据为依据,形成审计意见和结论、编制审计底稿、出具审计报告。
四、后续审计
后续审计主要通过监督组织整改的情况,督促被审计组织改进信息系统治理,完善相关的规章制度、流程等,以持续提高信息系统治理、管理水平。对审计中发现的重大问题和控制缺陷,整改效果不明显的信息系统项目开展后续审计。信息系统审计程序一般包括审计准备、审计实施、审计报告和后续审计四个阶段。