信息系统审计计划/审计方案/审计底稿/审计报告文档示例

 信息系统审计计划示例 

关于**（组织）信息化投入及管理情况的专项审计调查审计计划

一、组织方式、工作分工及时间安排

此项审计调查由*统一组织实施，*月重点检查*公司；*月重点检查*公司；*月，*对检查结果进行归纳汇总和综合分析，撰写并提交综合检查报告。

二、信息系统审计调查的主要工作分工

1.*主要负责了解信息化投入的总体情况和制度建设情况，信息系统的立项与计划、预算与执行。

2.*主要负责投资及费用管理及供应商的招投标、合同的签订。

3.*主要负责经营管理类系统的开发、测试、验收上线、运行与维护管理审计，*协助。

4.*主要负责生产运营类、基础建设类系统的运行管理，*协助，重点关注硬件的采购。

三、具体工作要求

（一）审计组成员要严格按照《审计业务流程》、《审计项目质量考核办法》等规定以及审计实施方案的分工和要求开展工作。对审计发现的问题要注意落实相关责任。

（二）审计人员在审计期间要遵守审计局和被审计单位的有关规定，严格执行审计“八不准”等审计纪律，遵守劳动纪律，自觉维护审计人员的良好形象。

 信息系统审计方案示例 

关于组织信息化投入及管理情况的专项审计调查方案

一、专项审计调查的目的

通过调查了解**年信息系统投入及管理运行情况，总结相关应用经验,评价其主要信息系统的安全性、可靠性、有效性、经济性，揭示信息系统管理中存在的问题并分析问题产生的原因，进一步促进*单位信息化建设严格、规范和高效。

二、专项审计调查的主要依据

（一）项目实施依据

1.*公司《内部审计工作规定》。

2.*公司《*年审计工作计划》。

（二）检查评价依据

1.《第2203号内部审计具体准则——信息系统审计》

2.《*信息化项目规章制度》（*〔2011〕60*号）

3.《*信息技术风险评估规章制度》（*〔2011〕3*号）

4.《*信息系统应用与运维规章制度》（*〔2011〕86*号）

5.《*信息系统供应商管理实施细则》（*）

6.其他信息化规章制度及相关的投资、内控、财务等其他规章制度见附件。

三、专项审计调查的范围

对*单位*至*年底各类信息化建设项目的投入及管理情况进行审计调查，重大问题延伸至审计日或追溯到以前年度。

四、本次专项审计调查的重点内容

（一）审前调查了解到的主要内容

通过对*单位信息化管理部的调研了解到，目前信息化建设项目按业务类型可划分为*类：如：**类、***类***类等；按管理层级可划分为**和**类。总部项目是指总部统一组织开发、推广或在组织试点的项目，主要由股份公司负担软件开发费用，股份公司及组织共同承担硬件设施和实施管理费用;组织项目指组织自行开发的项目，主要是组织对软件开发进行自主招投标，自行承担硬件及管理实施费用。本次审计的重点主要包括年后验收的新建项目及*年前验收、截止2013年底仍在运行的项目。

通过对*单位的审前调查了解到，*单位上报*年至*年共新建系统*个，其中资金来源为总部或组织投资的共*个，资金来源为科技开发费的共*个，资金来源为运维费用的共*个。经应用“投资项目抽样-基于项目定义”程序检查，总部或组织投资的*个项目中共有*个与*系统中项目核对无误，其余*个项目均未在*系统投资模块中反映；经应用“内部订单分类明细清单”程序检查，计入“科技开发费”的*个项目中有*个与*系统核对无误，有*个未在*系统中发现，另有疑似*个信息系统未上报；经应用“科目余额表”程序检查，计入“信息系统运行维护费”中的*个项目均与*系统核对无误。

此外，经审前调查了解，组织或将新建项目列入“修理费”、“其他费用”等费用类科目，或转资形成资产，计入“固定资产”、“无形资产”等资产类科目，审计组已对相关科目进行了远程检查。

（二）本次专项审计调查的关注重点

根据以上审前调查发现的结果，结合近几年信息化审计发现的问题，特提出以下重点内容。

1.总体管理情况

一是重点了解组织建立的信息化管理制度、规范和规章制度，是否涵盖了信息化管理的全流程；内控制度中信息流程制定的完整性，执行的有效性；二是重点了解组织的信息化管理体制机制，组织机构的设置，人员力量的配备等；三是依据审前调查的结果，核实组织在审计期间新建信息项目的数量及投入的总体情况。

2.信息化投入情况

结合审前调查的结果，本次调查重点关注组织已在审前调查表中上报但未通过*系统*模块反映的19个新建项目、组织未在审前调查表中上报的各类自行组织开发项目，及部分合同金额较大的组织项目，对总部项目和已在审前调查表中上报的组织项目将采取审计抽样的方式进行内控测试，如发现疑点再进一步追踪并进行实质性检查。对上述项目，主要检查以下几个方面：

一是项目的可研和立项过程。重点检查未履行审批程序，自行开发的信息项目，按总部或组织管理要求履行内控审批流程的执行情况，可研报告中建设开发目的、功能、效用与其他项目的重叠性，是否存在重复开发。

二是项目的招投标和合同管理情况。重点检查供应商是否具备资质、招投标程序的规范性、询比价过程的合规性和招标结果的公平性；合同是否符合制度规定流程、授权签订，是否存在重大变更，合同规定的质量、安全、工期等事项是否履行到位。

三是项目实施与验收情况。重点检查项目的开发内容与可研报告的一致性，阶段性验收、试点运行和系统用户培训各过程的确认；组织是否对信息项目进行了竣工验收，各类文档资料是否完整、齐全。

四是项目投资执行、资金管理和成本核算情况。重点检查项目的投资执行过程与可研报告的一致性，是否存在截留、挤占、挪用项目经费的问题，侧重是否存在不同信息化建设项目之间相互挤占费用的情况，重点关注在运维费、科研费中列支的项目资金来源的合规性。投资成本的归集及核算是否规范、真实、准确。

3.信息系统运行和安全管理情况

一是重点关注组织当前运维管理体制的科学性，对自行运维的组织，运维人员、技术力量的配置是否充足；对外包的组织，是否对承担系统运维的供应商进行了有效管理、有效约束，运维文档是否完整。

二是重点关注信息系统的安全性。对软硬件、系统数据采取的安全保护措施，系统权限的管理有效性，系统账号与权限的新增或变更是否履行了内控流程，离职或工作调动人员账号是否已按规定删除或者禁用。

此外，还要对系统运行的效率和效果进行调查了解，关注信息系统在组织经营管理方面发挥的实际作用，是否达到可研计划中的预期效益分析结果。

五、专项审计调查方法

一是查阅文档法。文档包括纸质文档、电子文档或者其他介质的记录。主要包括：组织的信息技术规划、内控手册，各类信息系统的项目开发合同及技术附件、可行性研究报告、开发各阶段的文档资料、系统评审或者验收记录、系统日志文件、系统运维记录等。

二是访谈法。访谈重点了解组织对信息系统的认识，评价系统用户对系统的应用能力，判断系统的实际效益。

三是实地观察法。观察信息环境下的业务活动、内部控制执行情况、设备存放的物理环境、计算机系统操作使用过程、数据备份与存储过程。

四是审计抽样法。对系统账号清单或员工离职清单进行抽样，检查用户权限的恰当性，或者离职用户的账号和密码是否按规定及时终止所有访问权。

五是穿行测试法。选取部分信息项目进行全流程穿行测试，包括立项审批流程、招投标流程、实施开发过程及运维管理情况等项目所有环节。

 信息系统审计底稿示例 

*单位审计工作底稿

编     号:                                                                                                                          共    页   第   页                  

 信息系统审计报告示例 

信息化投入及管理情况的专项审计调查报告

按照*年审计工作计划安排，*派出审计组一行*人，于*年*月*日至*日，对*公司*年至*年信息化投入及管理情况进行了审计调查……。审计调查结果如下：

一、信息化投入情况

（一）资金投入情况

……

（二）信息系统建设和使用情况

……

二、主要管理经验

（一）建立了相对完善、规范的信息化制度和标准体系。

……

（二）信息化建设符合生产管理实际需要，成效明显。

……

（三）持续完善经营管理平台和集中集成建设，强化服务共享及业务协同。

……

三、审计发现的主要问题

（一）信息系统建设管理问题

1.部分信息系统可研目标与实际存在差异，且个别系统存在功能重叠现象，增大了投资成本。……

（二）信息系统应用管理问题

1.服务器整合集中利用率不高。……

2.各系统之间集成和数据共享度不高，信息孤岛仍未完全消除。…….

（三）信息系统安全运行问题

1.机房环境及配套设施存在安全隐患。……

2.未建立独立的ERP角色变更流程。……四、审计意见和建议

针对审计发现的上述问题，为严格规范管理和防控风险，提出以下审计处理意见和建议：

……

20**年*月*日

来源：CIA内审师小站