1.5.3 审计方案

审计方案是为了完成审计而应逐步执行的一组审计程序和指令。它是基于特定任务的范围和目标。

制定审计方案的主要目的是：

• 正式记录审计程序和顺序步骤。

• 创建可重复且易于需要执行类似审计的内部或外部审计和鉴证专业人员使用的程序。

• 记录要使用的测试类型（合规性和/或实质性）。

• 满足与审计流程的规划阶段相关且广受认可的审计标准。

信息系统审计师经常从安全（机密性、完整性和可用性）、质量（有效性、效率）、受托项（合规性、可靠性）、服务和能力等不同角度来评估IT职能和系统。审计工作方案是审计战略和计划，其确定审计范围、审计目标和审计程序，以获取相关、可靠且充分的证据，从而得出并支持审计结论和意见。

一般审计程序是执行审计的基本步骤，通常包括：

• 了解并记录审计领域/主题。

• 创建风险评估和一般审计计划及时间表。

• 执行详细的审计规划，其中包括所需的审计步骤以及在预计时间范围内的工作安排细分。

• 执行审计领域/主题的初步审查。

• 评估审计领域/主题。

• 验证和评估用来满足控制目标的控制措施是否适当。

• 执行符合性测试（测试控制措施的实施及其应用的一致性）。

• 开展实质性测试（确认信息的准确性）。

• 报告（传达结果）。

• 对依赖于内部审计职能的案例进行跟进。

制定审计方案所需的基础技能

要制定有意义的审计和鉴证方案，审计师必须有能力根据受审查主题的性质以及审计领域/组织必须解决的特定风险来定制程序。以下技能可以帮助信息系统审计师创建审计方案：

• 充分了解企业及所在行业的性质，以识别风险和威胁类型并对其进行分类。

• 充分了解IT空间及其组件，并充分了解会对其造成影响的技术。

• 了解业务风险与IT风险之间的关系。

• 风险评估实务的基础知识。

• 了解用于评估信息系统控制的测试程序并确定最佳评估方法，例如：

■ 使用通用审计软件来调查数据文件（如系统日志、用户访问权列表）的内容。

■ 使用专门的软件来评估操作系统、数据库以及应用程序参数文件的内容。

■ 用于记录业务流程和自动控制的流程图技术。

■ 使用审计日志和报告来评估参数。

■ 文档审查。

■ 问询和观察。

■ 浏览审查。

■ 重新执行控制。