信息系统审计质量控制
信息系统审计质量控制 一、信息系统审计质量概述一、信息系统审计质量概述 为了确保信息系统审计的质量,组织应建立信息系 统审计质量控制策略、程序、方法 ,明确内部审计人员 职责,遵循国家法律法规、信息系统审计操作规范和 组织内部审计工作规定;审计工作底稿、审计报告、 审计决定等审计文书的格式、要素和内容应当符合组 织内部审计规范的要求;组织信息系统管理和应用方 面存在的重大问题得以充分揭示,并提出建议,以合 理保证审计目标的实现。 信息系统审计项目质量控制主要包括对审计计划、 审计实施、审计终结等阶段的全过程质量控制。 二、审计质量控制内容二、审计质量控制内容 (一)质量控制制度建设 信息系统审计的质量控制应当按照国家审计准则、 中国内部审计准则、参照国内外信息系统审计标准和 规范,建立起包含质量责任、职业道德、职业胜任能 力、业务执行和质量监控等在内的质量控制制度,同 时,应制定适用本组织的信息系统审计流程、标准和 规范。 (二)审计全过程质量控制 1.审计计划质量控制 计划立项和审前准备阶段需要对组织的信息系统进 行初步调查,主要获取组织业务流程对信息化的依赖 程度;与信息系统有关的管理机构及管理方式,根据掌 握的信息系统基本情况,确定审计目标与重要性水 平,在制定审计实施方案时,应充分考虑以下因素 (1)组织高度依赖信息技术、信息系统的关键业 务流程及相关的组织战略目标。 (2)信息技术管理的组织架构。 (3)信息系统框架和信息系统的长期发展规划及 近期发展计划。 (4)信息系统及其支持的业务流程的变更情况。 (5)以前年度信息系统内外部审计等相关的审计 发现及后续审计情况。 (6)其他影响信息系统审计的因素。 2.审计实施质量控制 (1)控制测试质量控制 控制测试是为测试组织对控制程序的符合性而收集 证据,验证控制的执行是否符合管理政策和规程要 求。根据组织确定的内部控制缺陷标准及风险评估标 准,对组织的内部控制实施控制测试。应当采用抽样 执行的控制测试包括用户访问权限、程序变更控制流 程、文件流程、编程文档、例外跟踪、日志检查、软 件许可审计等。根据控制测试的结果决定实质性测试 的时间、范围和性质。 在实质性测试时 ,内部审计人员要对交易和事项的 安全控制措施进行测试,对信息系统的安全性、可靠 性和经济性进行评价。为保证评价的质量,内部审计 人员要对交易或事项进行测试,在验证数据库可靠性 时,应对交易日志中的查询进行抽样审查,以评价该 查询操作的可靠性,在评价信息系统的效率性时,内 部审计人员要评价提交作业到执行后结果返回用户所 评价周转时间是否在可接受范围内。 在进行审计时要根据情况确定审计抽样的方法及测 试的范围。采用随机、统计、判断等抽样方法,并合 理确定样本量,根据抽样样本的实质性测试结果,评价 信息系统控制是否达到控制目标。当抽样不能达到审 计目标时还应采用替代程序。 (2)审计证据质量控制 明确审计取证的范围 ,审计证据要足以支持审计报 告和审计结论中揭示的问题;为保障审计证据的充分 性、相关性和可靠性 ,应规范审计取证的方法,除通用 证据获取方法外,应根据信息系统取证的要求,侧重于 利用数据工具、安全工具、测评工具、系统运行监 测、系统监控检测等方法取证 ,以规范审计取证行为。 应恰当处理和评价审计证据 ,要求证据的提供部门确认 其来源真实。评价审计证据时 ,应当考虑电子数据、纸 质数据、结构化数据、非结构化数据之间的相互印证 及证据来源的可靠程度。 3.审计报告质量控制 (1)审计工作底稿复核 审计工作底稿是内部审计人员在审计过程中形成的 审计工作记录和获取的资料。审计工作底稿是审计证 据的载体,是联系审计证据和审计结论的桥梁。审计工 作底稿的全部内容,是内部审计人员形成审计结论、 发表审计意见的直接依据。审计工作底稿必须进行复 核,以保证审计意见的正确性和审计工作底稿的规范 性。 (2)审计报告编制、复核与交换意见 内部审计人员应对审计发现进行分析,使用职业判 断,确定哪些审计发现应提交给哪个层级的管理人 员。向管理层提交审计报告。审计报告具有如下特 征 ①足够重要、值得向管理层报告。 ②事实清楚、证据充分。 ③描述客观、公正。 ④与所审计的事实相关。 ⑤有充分的说服力,促使组织采取纠正措施等。 除了对信息系统的安全性、可靠性、经济性发表意 见外,还需要对信息系统所承载的业务信息的真实 性、完整性、正确性发表意见。 在与高级管理层沟通审计结果前,内部审计人员应 当首先与被审计组织的管理人员讨论审计发现的问 题,在审计报告征求意见过程中,内部审计人员和被 审计组织应当针对审计建议、预定实施日期等内容进 行讨论,明确影响实施的各种因素。被审计组织管理 层应当对审计报告中描述的审计发现制定整改计划,陈 述将要采取的整改措施及整改时间等,促进双方达到 一致性观点。当不能达成一致时,内部审计人员应当 详细描述审计发现的重要性。确保报告中反映的情况 是真实的,相关建议切实可行且符合成本效益,针对 建议的实施日期与管理层进行讨论等。 (3)审计报告正式上报前需要考虑的质量问题 在出具正式审计报告之前,内部审计人员应考虑在 此期间被审计组织及其信息系统活动是否会发生导致 重大变化的事项 如机房搬迁、更新原有模块等。针 对这种情况,审计人员应当判断这些事项对审计结论 和建议的影响,并采取增加审计程序、修改审计意见 等措施,提醒报告使用者注意上述影响。 4.归档质量的控制 内部审计机构应当制定保管、保留和发布审计文档 的相关政策。各审计主体在实际工作中,应根据相关 规范的要求管理审计文档。 5.后续审计质量控制 实施后续审计,主要应考虑 (1)审计意见和建议的重要性。 (2)整改措施的复杂性。 (3)落实整改措施所要的时间和成本。 (4)整改措施失败可能产生的影响。后续审计的 质量管理控制包括 (1)制定跟踪程序以确认既定的整改措施是否已 经落实。 (2)审计实施管理,合理确定跟踪检查的程度。 (3)合理确定跟踪时间。 (4)与适当层级的管理人员沟通跟踪结果。 通过上述信息系统审计全过程质量控制活动,达到 规范审计行为,规避审计风险,提高审计质量的质量 控制目标。
个人主页