【正文】 統(tǒng)執(zhí)行及項(xiàng)目管理監(jiān)理咨詢；?企業(yè)信息系統(tǒng)安全評估；?企業(yè)薩班斯法案咨詢服務(wù)；?企業(yè)專業(yè)服務(wù)系統(tǒng)的行業(yè)評估；?其他。三、信息系統(tǒng)審計程序（一）信息系統(tǒng)審計一般程序?qū)徲嫵绦蛞话憧煞譃樗膫€階段，即準(zhǔn)備階段、實(shí)施階段、審計結(jié)論和執(zhí)行階段、異議和復(fù)審階段。信息系統(tǒng)審計也可分為這四個階段，同時結(jié)合自身的特殊要求，運(yùn)用本身特有的方法，對信息系統(tǒng)進(jìn)行評價。初步調(diào)查被審計單位信息系統(tǒng)基本狀況，擬定科學(xué)合理的計劃，一般應(yīng)包括以下主要工作：（1）調(diào)查了解被審計單位信息系統(tǒng)的基本情況，如信息系統(tǒng)的硬件配置、系統(tǒng)軟件的選用、應(yīng)用軟件的范圍、網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)的管理結(jié)構(gòu)和職能分工、文檔資料等，調(diào)查完成后將審前調(diào)查情況記錄下來。（2）提前三天送達(dá)審計通知書，要求被審計單位對所提供資料的真實(shí)性、完整性作出書面承諾，明確彼此的責(zé)任、權(quán)利和義務(wù)。（3）初步評價被審計單位的內(nèi)部控制制度，以便確定符合性測試的范圍和重點(diǎn)。（4）確定審計重要性、確定審計范圍。（5）分析審計風(fēng)險。（6）制定審計實(shí)施方案。在審計實(shí)施方案中除了對時間、人員、工作步驟及任務(wù)分配等方面作出安排以外，還要合理確定符合性測試、實(shí)質(zhì)性測試的時間和范圍，以及測試時的審計方法和測試數(shù)據(jù)。在安排利用計算機(jī)輔助審計時，還需列出所選用的通用軟件或?qū)Ｓ密浖?。對于?fù)雜的信息系統(tǒng)，也可聘請專家，但必須明確審計人員的責(zé)任。實(shí)施階段是審計工作的核心，也是信息系統(tǒng)審計的核心。主要工作是根據(jù)準(zhǔn)備階段確定的范圍、要點(diǎn)、步驟、方法，進(jìn)行取證、評價，綜合審計證據(jù)，借以形成審計結(jié)論，發(fā)表審計意見。實(shí)施階段的主要工作應(yīng)包括以下兩個方面的內(nèi)容：（1）符合性測試。進(jìn)行符合性測試應(yīng)以系統(tǒng)安全可靠性的檢查結(jié)果為前提。如果系統(tǒng)安全可靠性非常差，不值得審計人員信賴，則應(yīng)當(dāng)根據(jù)實(shí)際情況決定是否取消內(nèi)控制度的符合性測試，而直接進(jìn)行實(shí)質(zhì)性測試并加大實(shí)質(zhì)性測試的樣本量。在信息系統(tǒng)的符合性測試項(xiàng)目中，主要內(nèi)容應(yīng)該是確認(rèn)輸入資料是否正確完整，計算機(jī)處理過程是否符合要求。如果系統(tǒng)安全可靠性比較高，則應(yīng)對該系統(tǒng)給予較高的信賴，在實(shí)質(zhì)性測試時，就可以相應(yīng)地減少實(shí)質(zhì)性測試的樣本量。（2）實(shí)質(zhì)性測試。實(shí)質(zhì)性測試應(yīng)該是對被審計單位信息系統(tǒng)的程序、數(shù)據(jù)、文件進(jìn)行測試，并根據(jù)測試結(jié)果進(jìn)行評價和鑒定。進(jìn)行實(shí)質(zhì)性測試須依賴于符合性測試的結(jié)果，如果符合性測試結(jié)果得出的審計風(fēng)險偏高，而且被審計單位有利用信息系統(tǒng)進(jìn)行舞弊的動機(jī)與可能，并且被審計單位又不能提供完整的會計文字資料，此時審計人員應(yīng)考慮對會計報表發(fā)表保留意見或拒絕表示意見的審計報告。進(jìn)行實(shí)質(zhì)性測試時，可考慮采用通過計算機(jī)和利用計算機(jī)進(jìn)行審計的方法，具體包括：①測試數(shù)據(jù)法：就是將測試數(shù)據(jù)或模擬數(shù)據(jù)分別由審計人員進(jìn)行手工核算和被審計單位信息系統(tǒng)進(jìn)行處理，比較處理結(jié)果，作出評價；②受控處理法：就是選擇被審計單位一定時期（最好是12月份）實(shí)際業(yè)務(wù)的數(shù)據(jù)分別由審計人員和會計電算化系統(tǒng)同時處理，比較結(jié)果，作出評價。（3）利用輔助審計軟件直接審查信息系統(tǒng)的數(shù)據(jù)文件。審計人員可利用現(xiàn)場審計實(shí)施系統(tǒng)軟件（AO）直接對數(shù)據(jù)進(jìn)行數(shù)據(jù)轉(zhuǎn)換，數(shù)據(jù)查詢，抽樣審計，查賬，賬務(wù)分析等測試，得出結(jié)論，作出評價。審計人員對信息系統(tǒng)進(jìn)行符合性測試和實(shí)質(zhì)性測試后，整理審計工作底稿，編制審計報告時，除對被審單位會計報表的合理性、公允性發(fā)表意見，作出審計結(jié)論外，還要對被審單位信息系統(tǒng)的處理功能和內(nèi)部控制進(jìn)行評價，并提出改進(jìn)意見。審計報告完成后，先要征求被審單位的意見，并報送審計機(jī)關(guān)和有關(guān)部門。審計報告一經(jīng)審定，所作的審計結(jié)論和決定需通知并監(jiān)督被審單位執(zhí)行。被審單位對審計結(jié)論和決定若有異議，可提出復(fù)審要求，審計部門可組織復(fù)審并作出復(fù)審結(jié)論和決定。特別是被審單位信息系統(tǒng)有了新的改進(jìn)時，還需組織后續(xù)審計。（二）信息系統(tǒng)審計協(xié)調(diào)程序?yàn)樨攧?wù)審計團(tuán)隊(duì)提供信息系統(tǒng)審計業(yè)務(wù)支持服務(wù)前，為了合理安排信息系統(tǒng)審計工作計劃，財務(wù)審計項(xiàng)目負(fù)責(zé)人與信息系統(tǒng)審計部門應(yīng)執(zhí)行下列協(xié)調(diào)程序：；，與信息系統(tǒng)審計部門討論確定服務(wù)內(nèi)容，預(yù)約部門成員；，按照項(xiàng)目時間安排信息系統(tǒng)審計人員工作計劃，并與財務(wù)審計項(xiàng)目團(tuán)隊(duì)、客戶協(xié)調(diào)；、底稿編制和底稿審核，并把結(jié)論書面告知財務(wù)審計項(xiàng)目團(tuán)隊(duì)，并與財務(wù)審計團(tuán)隊(duì)對信息系統(tǒng)審計部門的最后結(jié)論達(dá)成口頭或書面共識；、保管底稿。其他信息系統(tǒng)項(xiàng)目的工作計劃參照上述信息系統(tǒng)審計業(yè)務(wù)支持服務(wù)，與相關(guān)方及時溝通制定審計計劃，在制定的項(xiàng)目時間內(nèi)完成工作。（三）信息系統(tǒng)審計結(jié)果報告程序信息系統(tǒng)審計部門實(shí)施信息系統(tǒng)審計的計劃、程序、證據(jù)、結(jié)論等底稿都會按照相應(yīng)的審計準(zhǔn)則進(jìn)行記錄和保存。，信息系統(tǒng)審計部門不會出具某種審計報告，而是出具評估結(jié)論，一般以底稿備忘錄的形式提交給財務(wù)審計團(tuán)隊(duì)。該備忘錄總結(jié)信息系統(tǒng)審計中評估的范圍、方法、時間/區(qū)間、結(jié)論、重大控制缺陷或風(fēng)險點(diǎn)等內(nèi)容。，會出具獨(dú)立的審計報告。報告將以事務(wù)所名義簽發(fā)。第五篇：信息系統(tǒng)審計方法淺談信息系統(tǒng)審計方法淺談隨著當(dāng)前信息技術(shù)的發(fā)展，地方各級資金管理部門投入大量資金，開發(fā)了各種各樣的信息系統(tǒng)軟件，用于管理資金或?qū)嵭袝嬰娝慊?，信息系統(tǒng)的建設(shè)的合法性、軟件開發(fā)的規(guī)范性、系統(tǒng)運(yùn)行的安全性以及程序設(shè)置合規(guī)性等問題，成為審計關(guān)注的重點(diǎn)，開展信息系統(tǒng)審計成為審計機(jī)關(guān)避免“假賬真審”、降低審計風(fēng)險題中應(yīng)有之義。信息系統(tǒng)審計主要目標(biāo)是確認(rèn)信息系統(tǒng)的合法性、可靠性、機(jī)密性、有效性和安全性等，通過審查信息系統(tǒng)的運(yùn)行狀況，發(fā)現(xiàn)信息系統(tǒng)在使用和管理過程中存在的問題，確定是否存在漏洞和缺陷，有無非法和錯誤的處理和控制的薄弱環(huán)節(jié)，客觀評價系統(tǒng)的現(xiàn)狀，促進(jìn)被審計調(diào)查單位進(jìn)一步加強(qiáng)信息系統(tǒng)管理，完善信息系統(tǒng)功能，保證資金的安全與完整，防范利用計算機(jī)系統(tǒng)進(jìn)行欺詐與舞弊，并提出具有建設(shè)性的建議。信息系統(tǒng)審計重點(diǎn)內(nèi)容主要有以下三個方面：一、信息系統(tǒng)運(yùn)行方面，主要包括：系統(tǒng)安全性，審查信息系統(tǒng)的物理安全性，是否可以有效防止被非法使用，相關(guān)安全制度是否齊全，機(jī)房進(jìn)出是否執(zhí)行登記制度等；中心機(jī)房是否建設(shè)為標(biāo)準(zhǔn)機(jī)房，電源是否為單獨(dú)供電或雙路供電并配備UPS電源，服務(wù)器是否配置機(jī)柜；機(jī)房內(nèi)是否擺放紙箱等可燃物品，墻體地板、天花等是否按防火標(biāo)準(zhǔn)建設(shè)或改造，是否配備防雷設(shè)施，地板是否經(jīng)過防火、防靜電處理，配備防靜電設(shè)施；是否建有磁帶庫、虛擬帶庫等系統(tǒng)以備份系統(tǒng)數(shù)據(jù)，是否建有冗災(zāi)備份系統(tǒng)，以確保數(shù)據(jù)信息安全。系統(tǒng)可靠性，審查硬件、軟件是否有效能夠保證業(yè)務(wù)的正常運(yùn)行，操作系統(tǒng)和數(shù)據(jù)庫是否為正版軟件并及時更新，數(shù)據(jù)庫是否能夠滿足運(yùn)行需要，系統(tǒng)是否存在漏洞，是否易受病毒、木馬、黑客等攻擊，導(dǎo)致數(shù)據(jù)丟失、篡改等；殺毒軟件病毒庫及防火墻是否及時更新。系統(tǒng)機(jī)密性，審查數(shù)據(jù)訪問權(quán)限的保密性，是否存在數(shù)據(jù)被非法用戶訪問，不相容的權(quán)限是否設(shè)置單選或者禁用，是否存在同時操作前臺和后臺，既能辦理業(yè)務(wù)，又能審核業(yè)務(wù)等，隱私數(shù)據(jù)的保密是否有力；操作系統(tǒng)及數(shù)據(jù)庫是否加密存儲用戶口令，系統(tǒng)日志是否保留用戶登錄、操作系統(tǒng)模塊和業(yè)務(wù)模塊的相關(guān)信息；是否存在大量共享文件夾及文件，導(dǎo)致系統(tǒng)安全風(fēng)險。系統(tǒng)合法性，審查信息系統(tǒng)的開發(fā)、管理、運(yùn)營是否符合法律、法規(guī)、規(guī)章的規(guī)定。重要信息是否為必填項(xiàng)或符合規(guī)范錄入要求。系統(tǒng)效益性，查信息化建設(shè)是否堅持成本節(jié)約原則，資源的利用是否堅持效率性原則，信息系統(tǒng)是否達(dá)到信息化建設(shè)目標(biāo)。二、信息系統(tǒng)管理方面，主要包括：內(nèi)部控制制度，主要審查信息系統(tǒng)是否建立相關(guān)內(nèi)部控制及實(shí)際執(zhí)行，關(guān)注各個控制措施之間的相關(guān)性，業(yè)務(wù)運(yùn)行結(jié)果是否與財務(wù)數(shù)據(jù)一致，某一控制是否存在補(bǔ)償性或是重疊性的控制。保障措施，主要審查各個環(huán)節(jié)、各個業(yè)務(wù)部門之間的聯(lián)接、系統(tǒng)運(yùn)營后勤保障、售后服務(wù)合同簽訂及后期實(shí)施情況等，查看是否存在薄弱環(huán)節(jié)，是否能有效保障系統(tǒng)的正常安全運(yùn)行。三、政策執(zhí)行方面，主要包括：政策執(zhí)行，主要地方政策是否符合中央或省級政策的有關(guān)條目及法律法規(guī)的規(guī)定。業(yè)務(wù)流程，主要審查信息系統(tǒng)是否嚴(yán)格按照流程進(jìn)行運(yùn)營，是否存在漏洞等。信息系統(tǒng)審計主要采取的方法：座談及現(xiàn)場察看，采取與信息化部門、用戶及相關(guān)人員進(jìn)行座談，查閱與信息系統(tǒng)相關(guān)的文檔、程序等，實(shí)地查看機(jī)房、業(yè)務(wù)終端、器材等。計算機(jī)輔助審計，利用AO軟件的查詢、計算、分類、抽樣選擇、排序、數(shù)據(jù)文件聯(lián)結(jié)、比較、合并等功能進(jìn)行審查。測試數(shù)據(jù)，通過測試數(shù)據(jù)樣本，評價信息系統(tǒng)是否能夠正確處理所有業(yè)務(wù)數(shù)據(jù)，是否能夠?qū)μ幚磉^程實(shí)施一定控制。應(yīng)用程序檢查，檢查系統(tǒng)軟件開發(fā)過程中是否設(shè)置相應(yīng)控制措施。聘請計算機(jī)專家，為審計師提供指導(dǎo)及其他有價值的信息。整體測試，在軟件系統(tǒng)內(nèi)置入虛構(gòu)實(shí)體，并以測試資料或正式資料，針對該實(shí)體進(jìn)行處理，以驗(yàn)證其正確性。