第八章信息系统审计技术《审计技术方法》第一版
测试信息系统的技术方法信息技术风险评估方法描述信息系统的技术方法了解信息系统的技术方法《审计技术方法》第一版主要内容
第一节了解信息系统的技术方法信息系统调查方法信息系统资料审查方法信息系统实地考察方法
信息系统调查方法《审计技术方法》第一版依据审计实施方案确定的审计目标和审计事项,调查被审计单位的相关业务活动及其所依赖的信息系统,对信息系统的立项审批、系统建设、运行管理、运维服务、项目投资等情况,以及相关责任机构和管理制度等进行全面、深入地了解的方法。
信息系统调查方法《审计技术方法》第一版了解被审计单位信息系统管理机制了解被审计单位信息系统总体架构了解信息系统规划和管理状况搜集信息系统资料辨识各子系统的性质、内容筛选数据审计需要关注的信息系统
信息系统资料审查方法《审计技术方法》第一版为了确定信息系统的重要控制环节和重要控制点,审查信息系统的立项审批、系统设计、招标采购、项目实施、项目验收、系统运行、运维服务、项目投资,以及各类第三方测试或者评估等相关文档资料的方法。审查信息系统内部控制相关文档资料审查信息系统项目管理相关文档资料审查第三方测试或评估相关资料
信息系统资料审查方法《审计技术方法》第一版测试主要内容查阅资料类型制度建设、人员管理被审计单位规章制度、部门规章制度数据备份、人员操作权限、备份数据存储操作手册、部门规章制度系统运行物理环境、数据安全操作手册、被审计单位规章制度、部门规章制度系统运行情况的管理部门规章制度、操作手册系统输入数据管理操作手册系统处理数据系统日志及处理结果数据通信被审计单位保密安全制度、部门规章制度数据库管理操作手册、部门规章制度系统数据输出管理操作手册、部门规章制度
信息系统资料审查方法《审计技术方法》第一版评价信息系统建设经济性的相关文档资料:主要审查方法是通过审查上述文档资料与信息系统规划和实际建设、运维和运行方面的报告相对照,得出初步系统建设经济性的结论。反映信息系统建设管理的相关文档资料项目审批管理事项项目建设管理事项项目资金管理事项项目验收管理事项项目运维管理事项
信息系统实地考察方法《审计技术方法》第一版审计人员到被审计单位信息系统的所在场所,对物理环境、硬件设施进行观察,对操作人员进行询问的方法。考察信息系统建设和运行管理情况考察标准规范运行和实际使用情况考察应用系统运行和实际使用情况考察信息资源建设和实际使用情况考察主机系统运行和实际使用情况考察网络系统运行和实际使用情况考察安全系统运行和实际使用情况考察机房设施运行和实际使用情况
第二节描述信息系统的技术方法文字描述法表格描述法图形描述法控制矩阵法《审计技术方法》第一版
文字描述法《审计技术方法》第一版文字描述法指审计人员使用文字将业务流程的步骤进行描述的方法,描述过程中多使用步骤及数字编号对具体业务过程进行区分。
表格描述法《审计技术方法》第一版表格描述法指审计人员使用表格将业务流程及其子流程进行分解描述的方法,描述经常按照业务流程的功能进行区分。
图形描述法《审计技术方法》第一版图形描述法指审计人员使用流程图对业务流程或数据流程进行描述的方法。
控制矩阵法《审计技术方法》第一版控制矩阵法指对业务流程中关键控制进行提取,并以表格形式进行展示的方法,多与图形表述法配合使用。
第三节信息技术风险评估方法定量的风险评估方法定性的风险评估方法定性与定量相结合的风险评估方法《审计技术方法》第一版
信息技术风险评估方法《审计技术方法》第一版定量风险评估方法是指审计人员对构成信息系统风险的各个要素和潜在损失的水平赋以数值或者货币的金额,当度量风险的所有要素都被赋值,风险评估的整个过程和结果就可以进行量化;定性风险评估方法需要凭借审计人员的经验、知识和直觉,结合标准和惯例,为风险评估要素的大小和高低程度定性分级,带有很强的主动性。
信息技术风险评估方法《审计技术方法》第一版评估内容信息系统内外部风险评估信息系统控制缺失风险评估业务数据风险的评估信息系统风险责任界定评估
信息系统内外部风险评估《审计技术方法》第一版评估被审计单位信息系统及其经济业务活动所面临的国内外经济环境、政策影响、市场影响、技术影响、文化影响和组织架构影响等因素,以便做出客观的评价。
信息系统控制缺失风险评估《审计技术方法》第一版信息系统控制缺失主要是指控制措施不存在以及控制措施存在但没有发挥应有的控制效果,对检查测评发现的系统各类控制缺失应当进行风险程度评估,区分可接受的风险和不可接受的风险,尤其要重视潜在风险的评估。
信息系统内部控制测试《审计技术方法》第一版必要的控制措施是否存在可以通过符合性测试实现,而控制措施存在但没有发挥应有的控制效果就需要采取实质性测试来实现。符合性测试实质性测试
业