第三章  信息系统审计


              起到了非常好的效果。
                  因此，我们认为在风险评估基础上适当地选择信息系统审计范围，可以充
              分地利用企业现有资源，达到事半功倍的效果。同时，适当的选择范围可以使
              信息系统审计工作稳步开展，避免盲目求全，找不到关键点，影响内部审计工作

              效果。

                  五、信息系统审计的策略

                  信息系统审计的策略，可以理解为信息系统审计的手段、方法。在这一点上，
              公司在应用信息系统审计策略上，与传统的内部审计工作中所使用的策略基本一

              致。但是信息系统审计仍然有一部分特殊的方法，总体说来包括程序性方法以及
              技术型方法。在程序性方法中，我们既可以绕过计算机本身，着重查看输入数据
              和打印输出资料及其管理制度，也可以对计算机内部过程进行检查与评价，还可

              以利用计算机设备和软件进行审计；在技术型方法中，我们可以采用测试数据法，
              检查系统是否按预期要求运作，也可以采用平行模拟法，通过模拟的应用程序与
              现有程序进行对比考察其合理性，还可以采用受控处理或再处理法、整体测试法
              等方法对不同方面进行审查与评价。
                  中国网通在开展信息系统审计的过程中，在方法的选择上目前还处于初级阶

              段，仅仅通过传统的方法以及采用了，如测试数据法等比较简单的信息系统审计
              方法开展工作。这也是我们认为公司今后应重点突破或者改善的地方，当然像穿
              过计算机审计、映像和程序分析等方法，这需要大量的懂专业、熟悉计算机的复

              合型人才，公司目前也正致力于这方面人才的吸纳与培养，相信不久的将来，在
              公司信息系统审计中会有更多的审计方法被应用。同时，在审计过程中，大家还
              有一个比较突出的感受，就是在每次信息系统审计过程中，往往业务量比较大，
              如果仅仅对抽样数据通过简单的 office 进行处理，由于工具本身的制约，限制了
              抽样的比例以及对复杂数据的处理、分析。所以，是否能够尽快开发出一种针对

              海量数据进行快速、准确处理且操作简单的通用软件，是每个内部审计人员热切
              盼望的。这点我们也建议相关行业协会能够予以支持。

                  六、信息系统审计的流程


                  信息系统审计的一般流程，简单地说可以分为以下几个步骤：


                                                                                      75