计算机信息系统内部控制的审计步骤

 

（1）对内部控制的初步理解和描述

 

初步了解主要是了解公司网络中安全管理的实际流程，使用哪些方法或工具，最终控制结果的效果如何。此外，还应了解企业信息系统管理系统是否制定，如何制定，实施情况如何。一般内部审计人员选择询问、现场观察、查看系统数据的方法，跟踪一些基本的业务处理过程，然后以文本描述、流程图和调查表的形式详细记录他们所知道的所有情况。

 

(二)公司内部具体情况的符合性测试

 

符合性测试是在初步评价被审单位内部控制的基础上，为确认控制是否在日常工作中实施，其效果是否符合开设控制的初衷而进行的测试活动。符合性测试的目的是获得信任的内部控制是否有效实施的证据，从而确定会计报表审计的范围和程序。

 

1、一般控制检测

 

一般控制检测是初步了解公司内部信息系统控制情况，是否符合相关规章制度，是否完善有效，防止软件系统中发现错误的风险。

 

（1）检查被审查单位的组织和管理控制情况。在审查组织和管理时，内部审查人员应注重分工和职责分工。通过询问和现场检查，可以了解单位各部门的分工情况，特别是数据处理和数据使用情况，以及部门领导和部门员工是否实现职责分工，各部门是否建立并有效实施了适当的计算机信息内部控制系统。

 

（2）检测被审查单位的系统开发和维护控制情况。在本次审查中，内部审查人员应注意开发过程中领导的参与，是否了解整个开发过程，有效控制责任范围内的过程；为满足后续需要，开发维护中是否保留关键文件；安全管理是否规避风险，是否制定风险响应计划和措施。（3）检查被审查单位的计算机操作控制情况。在实时控制审查过程中，内部审查人员应了解数据处理部门是否设立了控制小组，各小组或团队成员是否有明确的责任，准确、全面地控制操作，记录操作记录，以及单位是否有内部控制检查机构人员控制上述人员及其操作。

 

（4）检测被审查单位的系统软件控制情况。内部审计人员应检查系统软件处理错误控制、系统使用权限控制、避免病毒攻击控制等功能是否发挥保证应用程序安全的作用，效果是否高效明显。

 

（5）在控制数据和系统时，内部审计人员应重点审查整个数据和程序系统中是否建立了管理控制系统，触摸数据和应用程序的人员是否授权，是否接受相关的检查和监督。

 

2、应用控制检测

 

应用程序控制是一般控制的深化和具体化，通过对应用程序控制的检测，可以进一步获得控制评价的依据。

 

（1）输入控制检测。在输入控制审查中，应了解是否有适当的控制措施监督业务执行和输入授权，控制业务的准确及时输入，是否有足够的控制措施监督错误数据的变更和重新输入。

 

（2）检测计算机处理和数据文件控制。在测试过程中，应注意数据文件的完整性和准确性控制效果，以及是否保留审计线索供参考。

 

（3）检测导出控制。导出控制的测试与输入控制的重点基本相同，包括导出数据的完整性和准确性控制，以及输出结果的接收人是否受到授权审批的控制。

 

(3)评价内部控制

 

符合性测试结束后，应对被审单位内部控制的有效性进行评价。一是评价被审单位计算机信息系统内部控制中的有效控制措施；二是评价符合性测试过程中各种控制措施是否符合原控制目标，如果实现目标，具体程度如何，如果没有实现，是否存在重大缺陷；最后评价被审单位信息系统是否仍能依靠以上控制，整体可靠性如何。