信息系统审计操作流程_IT项目管理，软件开发版_国内最热门的项目管理经验交流论坛_国内PMP聚集社区

项目管理者联盟 | 中国工程管理网 | 中国研发管理网

会员中心

资料库

适合敏捷开发项目
敏捷项目管理最佳实践

重视项目商业分析
商业价值与需求分析能力

产品管理国际认证
全球产品管理最佳实践

单项目管理经典指南
年轻项目经理首选

北京 | 直播 | 录播

大型复杂项目全球标准
定位高级项目管理层

链接战略与项目
实现组织资源投资回报

信息系统项目管理师
系统集成项目管理工程师

计划 | 报名 | 经验

论坛
	价值源于交流与分享

会员区：

功能区：公告建议 | 帖子搜索 | 管理团队 | 荣誉版主 | 帮助手册

论
坛
导
航
区

项目型组织	项目管理	工程项目	科技项目	项目化管理	管理软件	资格认证	职业休闲
EPM体系与流程	综合集成管理	总承包管理	IT软件开发	项目型制造	P3E/P6	PMP \| PgMP	职业发展探讨
组织与人力资源	进度,范围,成本	国际工程	生物制药	专业服务	微软PROJECT	IPMP \| PRINCE2	管理学堂
项目管理信息化	团队建设与沟通	房地产	汽车设计开发	生活项目	PowerOn专版	软考项目管理	英语角\|读书版
多项目与大项目	质量与风险	监理与咨询	手机数码	文体娱乐		注册建造师	房车吃游
PMO建设与管理	采购与合同	工程设计				项目管理硕士	闲聊版\|商务版

俱乐部：北京 | 大连 | 福州 | 广州 | 杭州 | 南京 | 山东 | 上海 | 深圳 | 四川 | 天津 | 武汉 | 西安 | 郑州 | 申请成立

TOP榜：精华 | 最新 | 最热 | 会员

版面信息

说明：失败的IT项目比比皆是，进度延迟，预算超支，客户需求多变，成员加班抱怨...IT项目（软件开发.，信息系统实施等）寻求新生

	精华区		发表帖子
	投票区		发起投票
	资料区		上传资料

本版版主

camer
登录：2013/7/2
次数：867
注册：2003/3/3
发帖：2745

dorothy
登录：2016/12/15
次数：804
注册：2004/9/6
发帖：993

steveli2008
登录：2009/5/26
次数：464
注册：2003/5/12
发帖：1026

zhf_karen
登录：2015/6/2
次数：346
注册：2005/6/13
发帖：469

俱乐部导航

北京	大连	福州	广州	杭州
南京	山东	上海	深圳	四川
天津	武汉	西安	郑州

联盟·近期活动

社区热点

精彩专题

如何做好项目沟通计划

软件项目质量管理

国际工程索赔与反索赔

社区圈子

HG信用盘0出租
圈主：de123
行业：综合应用

集团企业生态体.
圈主：ETPPM
行业：综合应用

生态系统体系下.
圈主：ETPPM
行业：综合应用

西安IT项目管理
圈主：muzud
行业：IT软件

房地产项目管理
圈主：13935823
行业：房地产

联系社区管理员

咨询电话 010-82273401/11
斑竹申请 admin@mypm.net

版权所有 © 2003-2004
京ICP证070584号
BBS业务许可2007第353号
最佳显示模式：1024*768像素

信息系统审计操作流程 [发表于 2012/4/3]

状态开放帖 浏览量 4826

复制该帖链接收藏本帖 [回复] [引用]
该帖子同步发自圈子：信息系统审计和信息安全讨论圈子 (访问该圈子) 来源：国际信息安全学习联盟信息系统审计操作流程 1．审计计划阶段计划阶段是整个审计过程的起点。其主要工作包括：（1）了解被审系统基本情况了解被审系统基本情况是实施任何信息系统审计的必经程序，对基本情况的了解有助于审计组织对系统的组成、环境、运行年限、控制等有初步印象，以决定是否对该系统进行审计，明确审计的难度，所需时间以及人员配备情况等。了解了基本情况，审计组织就可以大致判断系统的复杂性、管理层对审计的态度、内部控制的状况、以前审计的状况、审计难点与重点，以决定是否对其进行审计。（2）初步评价被审单位系统的内部控制及外部控制传统的内部控制制度是为防止舞弊和差错而形成的以内部稽核和相互牵制为核心的工作制度。随着信息技术特别是以Internet为代表的网络技术的发展和应用，企业信息系统进一步向深层次发展，这些变革无疑给企业带来了巨大的效益，但同时也给内部控制带来了新的问题和挑战。加强内部控制制度是信息系统安全可靠运行的有力保证。依据控制对象的范围和环境，信息系统内控制度的审计内容包括一般控制和应用控制两类。一般控制是系统运行环境方而的控制，指对信息系统构成要素(人、机器、文件)的控制。它已为应用程序的正常运行提供外围保障，影响到计算机应用的成败及应用控制的强弱。主要包括：组织控制、操作控制、硬件及系统软件控制和系统安全控制。应用控制是对信息系统中具体的数据处理活动所进行的控制，是具体的应用系统中用来预测、检测和更正错误和处置不法行为的控制措施，信息系统的应用控制主要体现在输入控制、处理控制和输出控制。应用控制具有特殊性，不同的应用系统有着不同的处理方式和处理环节，因而有着不同的控制问题和不同的控制要求，但是一般可把它划分为：输入控制、处理控制和输出控制。通过对信息系统组织机构控制，系统开发与维护控制，安全性控制，硬件、软件资源控制，输入控制，处理控制，输出控制等方而的审计分析，建立内部控制强弱评价的指标系统及评价模型，审计人员通过交互式人机对话，输入各评价指标的评分，内控制审计评价系统则可以进行多级综合审计评价。通过内控制度的审计，实现对系统的预防性控制，检测性控制和纠正性控制。（3）识别重要性为了有效实现审计目标，合理使用审计资源，在制定审计计划时，信息系统审计人员应对系统重要性进行适当评估。对重要性的评估一般需要运用专业判断。考虑重要性水平时要根据审计人员的职业判断或公用标准，系统的服务对象及业务性质，内控的初评结果。重要性的判断离不开特定环境，审计人员必须根据具体的信息系统环境确定重要性。重要性具有数量和质量两个方面的特征。越是重要的子系统，就越需要获取充分的审计证据，以支持审计结论或意见。（4）编制审计计划经过以上程序，为编制审计计划提供了良好准备，审计人员就可以据以编制总体及具体审计计划。总体计划包括：被审单位基本情况；审计目的、审计范围及策略；重要问题及重要审计领域；工作进度及时间；审计小组成员分工；重要性确定及风险评估等。具体计划包括：具体审计目标；审计程序；执行人员及时间限制等。 2．审计实施阶段做好上诉材料的充分的准备，便可进行审计实施，具体包括以下内容：（1）对信息系统计划开发阶段的审计对信息系统计划开发阶段的审计包括对计划的审计和对开发的审计，可以采用事中审计，也可以是事后审计。比较而言事中审计更有意义，审计结果的得出利于故障、问题的及早发现，利于调整计划，利于开发顺序的改进。信息系统计划阶段的关键控制点有：计划是否有明确的目的，计划中是否明确描述了系统的效果，是否明确了系统开发的组织，对整体计划进程是否正确预计，计划能否随经营环境改变而及时修正，计划是否制定有可行性报告，关于计划的过程和结果是否有文档记录等等。系统开发阶段包括系统分析、系统设计、代码编写和系统测试三部分。其中涉及包括功能需求分析、业务数据分析、总体框架设计、结构设计、代码设计、数据库设计、输入输出设计、处理流程及模块功能的设计。编程时依据系统设计阶段的设计图及数据库结构和编码设计，用计算机程序语言来实现系统的过程。测试包括动态测试和静态测试，是系统开发完毕，进入试运行之前的必经程序。其关键控制点有: 分析控制点：是否己细致分析企业组织结构；是否确定用户功能和性能需求；是否确定用户的数据需求等。设计控制点：设计界面是否方便用户使用；设计是否与业务内容相符；性能能否满足需要，是否考虑故障对策和安全保护等。编程控制点：是否有程序说明书，并按照说明书进行编写；编程与设计是否相符，有无违背编程原则；程序作者是否进行自测；是否有程序作者之外的第三人进行测试;编程的书写、变量的命名等是否规范。测试控制点：测试数据的选取是否按计划及需要进行，是否具有代表性；测试是否站在公正客观的立场进行，是否有用户参与测试；测试结果是否正确记录等。（2）对信息系统运行维护阶段的审计对信息系统运行维护阶段的审计又细分为对运行阶段的审计和对维护阶段的审计。系统运行过程的审计是在信息系统正式运行阶段，针对信息系统是否被正确操作和是否有效地运行，从而真正实现信息系统的开发目标、满足用户需求而进行的审计。对信息系统运行过程的审计分为系统输入审计、通信系统审计、处理过程审计、数据库审计、系统输出审计和运行管理审计六大部分。输入审计的关键控制点有：是否制定并遵守输入管理规则，是否有数据生成顺序、处理等的防错、保护措施、防错、保护措施是否有效等。通信系统实施的是实际数据的传输，通信系统中，审计轨迹应记录输入的数据、传送的数据和工作的通信系统。通信系统审计的关键控制点有：是否制定并遵守通信规则，对网络存取控制及监控是否有效等。处理过程指处理器在接收到输入的数据后对数据进行加工处理的过程，此时的审计主要针对数据输入系统后是否被正确处理。关键控制点有：被处理的数据，数据处理器，数据处理时间，数据处理后的结果，数据处理实现的目的，系统处理的差错率，平均无故障时间，可恢复性和平均恢复时间等。数据库审计是保障数据库正确行使了其职能，如对数据操作的有效性和发生异常操作时对数据的保护功能(正确数据不丢失，数据回滚以保证数据的一致性)。其关键控制点有：对数据的存取控制及监视是否有效，是否记录数据利用状况，并定期分析，是否考虑数据的保护功能，是否有防错、保密功能，防错、保密功能是否有效等。输出审计不同于测试阶段的输出审计，此时的输出是在实际数据的基础上进行的，对其进行审计可以对系统输出进行再控制，结合用户需求进行评价。关键控制点有：输出信息的获取及处理时是否有防止不正当行为和机密保护措施，输出信息是否准确、及时，输出信息的形式是否被客户所接受，是否记录输出出错情况并定期分析等。运行管理审计是对人机系统中人的行为的审计。关键控制点有：操作顺序是否标准化，作业进度是否有优先级，操作是否按标准进行，人员交替是否规范，能否对预计于实际运行的差异进行分析，遇问题时能否相互沟通，是否有经常性培训与教育等。维护过程的审计包括对维护计划、维护实施、改良系统的试运行和旧系统的废除等维护活动的审计。维护过程的关键控制点有：维护组织的规模是否适应需要，人员分工是否明确，是否有一套管理机制和协调机制，维护过程发现的可改进点，维护是否得到维护负责人同意，是否对发现问题作了修正，维护记录是否有文档记载，是否定期分析，旧系统的废除是否在授权下进行等。 3．审计完成阶段完成阶段是实质性的整个信息系统审计工作的结束，主要工作有: 整理、评价执行审计业务过程中收集到的证据。在信息系统审计的现代化管理时期，收集到的数据己存储在管理系统中，审计人员只需对其进行分析和调用即可。复核审计底稿，完成二级复核。传统审计的三级复核制度对信息系统审计同样适用，它是保证审计质量、降低审计风险的重要措施。一级复核是由信息系统审计项目组长在审计过程进行中对工作底稿的复核，这层复核主要是评价已完成的审计工作、所获得的工作底稿编制人员形成的结论；二级复核是在外勤工作结束时，由审计部门领导对工作底稿进行的重点复核。在审计工作办公自动化的今天，二级复核制度同样可以通过网上报送及调用得以实现。评价审计结果，形成审计意见，完成三级复核，编制审计报告。评价审计结果主要是为了确定将要发表的审计意见的类型及在整个审计工作中是否遵循了独立审计准则。信息系统审计人员需要对重要性和审计风险进行最终的评价。这是审计人员决定发表何种类型审计意见的必要过程，所确定的可接受审计风险一定要有足够充分适当的审计证据支持。签发审计报告之前，应当随工作底稿进行最终(三级)复核，三级复核由审计部门的主任进行，主要复核所采用审计程序的恰当性、审计工作底稿的充分性、审计过程中是否存在重大遗漏、审计工作是否符合事务所的质量要求等。三级复核制度的坚持是控制审计风险的重要手段。审计报告是审计工作的最终成果，审计报告首先应有审计人员对被审系统的安全性、可靠性、稳定性、有效性的意见，同时提出改进建议。
>>> 由论坛统一发布的广告：

楼主

gashjd

职务无
军衔中尉
来自上海市
发帖 195篇
注册 2012/3/31
PM币 970
经验 966点

Re：信息系统审计操作流程 [回复于 2012/4/3] [回复] [引用]
感谢共享！

1楼

我爱我在LIXING

职务无
军衔三等兵
来自四川省
发帖 3篇
注册 2012/4/3
PM币 17
经验 12点

Re：信息系统审计操作流程 [回复于 2012/4/3] [回复] [引用]
感谢共享！

2楼

厘米吧

职务无
军衔无军衔
来自四川省
发帖 2篇
注册 2012/4/3
PM币 19
经验

Re：信息系统审计操作流程 [回复于 2012/4/3] [回复] [引用]
多谢，受益颇深啊

3楼

chenshiqiang

职务无
军衔无军衔
来自北京市
发帖 2篇
注册 2012/4/3
PM币 9
经验

Re：信息系统审计操作流程 [回复于 2012/4/4] [回复] [引用]
感谢共享

4楼

yushueishou

职务无
军衔无军衔
来自山东省
发帖 2篇
注册 2012/4/4
PM币 4
经验

Re：信息系统审计操作流程 [回复于 2012/4/4] [回复] [引用]
学习了

5楼

mypmnnwa

职务无
军衔三等兵
来自辽宁省
发帖 4篇
注册 2012/4/4
PM币 19
经验 15点

Re：信息系统审计操作流程 [回复于 2012/4/5] [回复] [引用]
学习了，学习了

6楼

mars5411

职务无
军衔三等兵
来自福建省
发帖 4篇
注册 2012/4/5
PM币 9
经验 15点

Re：信息系统审计操作流程 [回复于 2012/4/6] [回复] [引用]
收藏

7楼

icfcy

职务无
军衔三等兵
来自北京市
发帖 3篇
注册 2012/4/6
PM币 19
经验 12点

Re：信息系统审计操作流程 [回复于 2012/4/9] [回复] [引用]
不错的文章！

8楼

pnljg

职务无
军衔下士
来自广东省
发帖 94篇
注册 2012/2/29
PM币 57
经验 271点

共2页 97 [ 第1页第2页 ] 8 :

！您尚未登录，不能回复主题。现在登录注册

建设运营：共创时网络