第三章  信息系统审计


              系统软件情况，如通信软件、数据库管理系统软件、应用软件和编程语言等）；
              会计信息系统及相关业务系统情况（主要包括各系统的重要性、复杂程度及各系
              统间的数据传递关系等，特别要对重要系统和复杂系统及其控制情况引起重视）；
              信息系统的管理控制措施（特别要全面了解是会计信息系统的控制措施）等。

                  （五）进行风险评估
                  通过风险评估，可以识别出风险相对高的领域，审计时应对该领域引起重视。
              一般说来，对固有风险和控制风险估计得越高，支持审计人员形成审计意见所需
              要的审计证据数量就越大。

                  （六）制订审计计划书
                  审计计划最终要形成书面文件，并在审计工作底稿中加以记录。审计计划书
              的基本内容应该包括：被审计单位的基本情况、审计的范围和重点、审计的步骤
              和时间安排、人员分工情况、所使用的审计技术与方法、审计中应注意的事项，

              以及其他有关内容。
                  在审计计划阶段，获取审计证据的主要方法有：调查问卷方法，即将与系统
              安全、数据完整、系统的有效性和效率有关的事项列为调查对象，设计成调查表
              形式交企业有关人员填写或由审计人员根据调查结果自行填写；面谈的方法，即

              针对某些问题直接与内部审计人员、信息系统管理人员及其他有关人员进行面对
              面交流；审阅系统文档的方法，即查阅信息系统的文档资料及有关的管理规定；
              进行实地观察的方法，即实地查看信息系统工作的场所及其设施。在搜集审计证
              据的过程中，审计人员要关注可能出现问题的环节和相关的控制措施。


                  二、实施审计

                  这是审计过程的中心环节。在这一阶段要根据审计计划阶段所确定的审计范
              围、要点、步骤及方法进行调查、取证和评价，以形成审计结论。在这一阶段，
              通常要进行有关的符合性测试和实质性测试。

                  （一）符合性测试
                  符合性测试是为了了解被审单位内部控制的可信赖程度，对其内部控制系统
              的设计和执行是否有效而实施的一种审计程序。它是审计工作基本程序中的主要

              内容。
                  符合性测试的总体目标是分析和确定内控制度的设置是否存在，其控制结果


                                                                                      69