如何开展IT审计项目，IT审计的实施过程是什么

一般来说，对企业实施IT审计的对象有：本企业内的IT审计师、外部IT审计事务所委托审计师和国家审计机构。

作为企业，建立一个完善的IT审计制度需要做到以下几点：

（1）IT审计师是跨信息技术和审计技术的复合型人才，要实施企业的IT审计制度，必须重视和培养合格的IT审计师；

（2）企业应该建立相应的IT审计部门或审计岗位，确定其部门和岗位职责，并将之置于企业经营者的直接管理之内；

（3）企业应该制定相应的IT审计准则、实施报表、报告等进行IT审计所必须的凭据；

值得一提的是，企业在建立IT审计制度时应当遵循国家相关IT审计的法规并结合本企业的业务实际进行。企业的IT审计制度不是一成不变的，根据具体企业的营运情况可以在每个审计年度终结后新的审计年度开始前做相应的修改和增删。

IT审计是在原来传统审计的财务审计和管理审计根底上，由于科学技术向经济管理范畴的浸透而产生的。

但是，到目前为止，IT审计在实质上并不是独立于财务审计和管理审计的第三大审计分支，而是其中的一类审计形态，其缘由在于网络环境的复杂性、实践 *** 作的复杂性、与传统审计的交融水平等要素都限制着IT审计的开展，。

将两者有机分离，从而进步IT审计质量，拓展IT审计技术办法在企业审计中应用的深度和广度，促进企业在审计上的革新。

近年来，随着企业信息系统的不断完善，企业对于信息系统的依赖日益加强，信息系统审计也随之成了审计中不可或缺的一部分。今天，时代新威和大家聊一聊信息系统审计的过程。

1）调查

该审计步骤用来将控制目标下的相关活动用文档记录下来，对组织声称已实施的控制措施与程序进行识别，并且确认其存在。

与相关的管理者和员工进行会见，以理解：

·业务需求好相关的风险。

·组织结构。

·角色和职责。

·政策和程序。

·法律和法规。

·已有的控制措施。

·管理报告（状态、性能、行动项目）。

用文档记录与过程相关的IT资源，特别是那些被审计的IT流程所影响的IT资源。确认理解了审核的过程、过程的关键性能指标（KPI）、实际的控制状况。例如，可以通过对过程的抽查来进行了解。

2）评价控制

该审计步骤用来评估当前已有控制措施的有效性或达到控制目标的程度，主要是决定测试什么、是否测试及如何测试的问题。

通过对比已确定的标准及行业最佳实践、控制方法的关键成功要素（CSF）和利用审计师的职业判断，来评价待审核过程所应用的控制措施的适宜性。

·存在已文档化的过程。

·存在适宜的输出。

·职责和责任是明确的、有效的。

·在必要时，存在补偿控制。

·对实现控制目标的程度做出结论。

3）评估符合性

该审计步骤用来确定已建立的控制措施是按组织规定的方式，持续地、一致地在起作用，并且对控制环境的适宜性做出结论。

·得到所选项目和阶段的直接或间接的证据，使用直接和间接的证据来保证待审核的项目和阶段一直遵守相关控制程序的要求。

·对过程输出结果的充分性进行有限的审核。

·为了证明IT流程是分的，确定需要进行实质性测试的程度和其他需要进行的工作。

4）证实风险

该审计步骤通过使用分析技术和可选的咨询资源，证实控制目标没有被实现时所带来的风险。目标是支持其审计判断，并督促管理者采取行动。审计师要创造性地寻找和提出通常是敏感的和机密的信息。

·用文档记录下控制弱点及其引起的威胁和漏洞。

·识别并记录实际的影响和潜在的影响，例如，利用因果分析的方法。

·提供比较信息。例如，通过基准比较的方法。

在信息高速爆炸的时代，进行信息系统审计，确保在线、实时的信息的可靠性，有助于整个市场经济的发展。以上就是时代新威为您科普的信息系统审计的过程，更多精彩内容，欢迎持续关注我们哦。

第一步、新设设立

即5个以上发起人出资新设立一家股份公司。

(1)发起人制定股份公司设立方案;

(2)签署发起人协议并拟定公司章程草案;

(3)取得国务院授权的部门或省级人民政府对设立公司的批准;

(4)发起人认购股份和缴纳股款;

(5)聘请具有证券从业资格的会计师事务所验资;

(6)召开创立大会并建立公司组织机构;

(7)向公司登记机关申请设立登记。

第二步、改制设立

即企业将原有的全部或部分资产经评估或确认后作为原投资者出资而设立股份公司。

(1)拟定改制设立方案;

(2)聘请具有证券业务资格的有关中介机构进行审计和国有资产评估;

(3)签署发起人协议并拟定公司章程草案;

(4)拟定国有土地处置方案并取得土地管理部门的批复;

(5)拟定国有股权管理方案并取得财政部门的批复;

(6)取得国务院授权的部门或省级人民政府对设立公司的批准;

(7)发起人认购股份和缴纳股款、办理财产转移手续;

(8)聘请具有证券业务资格的会计师事务所验资;

(9)召开公司创立大会并建立公司组织机构;

(10)向公司登记机关申请设立登记。

第三步、有限责任公司整体变更

即先改制设立有限责任公司或新设一家有限责任公司，然后再将有限责任公司整体变更为股份公司。

(1)向国务院授权部门或省级人民政府提出变更申请并获得批准;

(2)聘请具有证券业务资格的会计师事务所审计;

(3)原有限责任公司的股东作为拟设立的股份公司的发起人，将经审计的净资产按1：1的比例投入到拟设立的股份公司;

(4)聘请具有证券业务资格的会计师事务所验资;

(5)拟定公司章程草案;

(6)召开创立大会并建立公司组织机构;

(7)向公司登记机关申请变更登记。

公司上市条件

根据我国《公司法》第一百五十二条规定，股份有限公司申请其股票上市必须符合下列条件：

(1)股票经国务院证券管理部门批准已向社会公开发行。即股份有限公司要成为上市公司的先决条件是公司股票已向社会公众公开发行，属募集设立的股份有限公司。如是发起设立的股份有限公司，则不能直接成为上市公司。

(2)公司股本总额不少于人民币5000万元。这里的股本总额包括向社会公众公开发行的投票和发起人认购及向特定投资者发行的股票的总和，不单指公开向社会公众发行的股票。

(3)开业时间在3年以上及最近3年连续盈利。投资者在投资之彰，要对所欲购股票的公司进行分析，了解上市公司的经营管理状况、财务状况、盈利能力等情况。同时，证券管理部门也要对公司情况进行考察。这就他公司进行很长一段时间的分析，如果公司刚刚成立，这些情况也无从谈起。

(4)持有股票面值达人民币1000元以上的股东人数不少于1000人，向社会公开发行的股份达公司股份总数的25%以上;公司股本总额超过人民币4亿元的，其向社会公开发行股份的比例如15%以上。

上市公司是开放性经济组织，其目的在吸收众多方面的社会资本，股东根据所持股票在公司总股本中的份额享受权利，承担义务。为了防止少数大股东 *** 纵公司，实现上市公司股份的分散性，避免大股东侵犯小股东的权益，有必要规定上市公司的股份构成。

所以《公司法》规定持有股票面值达1000元以上的股东人数少于1000人。这里是股票面值达1000元，而不以股东购买股票时支付的价款为准。同时，上市公司的一部分股票向社会公开发行，也有一部分由发起人认购和向特定的投资者发行，发起人和特定的投资者往往具有比一般投资者更优越的地位，因此为了维护一般投资者的利益，也有必要规定两者之间的股份比例。

(5)公司在最近3年内无重大违法行为，财务会计报告无虚假记载。上市公司应是具有极高信誉的企业，其生产经营依法进行，违法行为将导致公司危机，所以上市公司应无重大违法行为。重大违法行为是指超过经营范围、采取欺诈手段经营等行为。

这些行为应承担重大法律责任，如警告、吊销营业执照等。当然以前有违法行为，现已改正的公司也可成为上市公司。财务会计报告是投资者了解公司状况，如虚假记载即属重大违法行为也是对投资者的欺骗，投资者无法了解公司真实状况，自然也就不能成为上市公司。

(6)国务院规定的其他条件。国务院是我国的最高行政机关，有权根据我国的经济发展情况和对整个经济的综合考虑，制定行政法规，规定上市公司的其他条件。

参考资料来源：百度百科-上市

强。

安永it审计专业性强、以工作为导向，数据准确。所以安永it审计实力强。

安永是全球领先的审计、税务、财务交易和咨询服务机构之一。安永是指Ernst&YoungGlobalLimited的全球组织。

ITGC主要审以下内容：

一、ELC（entity level control）控制。就是看看客户在IT治理方面的相关组织架构是否合理，书面的管理制度是不是健全，具体的审计程序就是获取客户的组织结构图，及一些比较虚的总纲类的书面管理制度如《IT管理制度》等等。

二、系统开发和变更。就是关注系统开发和系统后续小变更中的一些控制，具体的审计程序就是获取系统开发及变更相关的管理制度典型的如《系统开发制度》《系统变更管理制度》等来看一看，再看系统开发是否经过了需求提出、可行性研究、领导层审批，系统上线之前是不是经过了充分的测试，获取一些内控痕迹和表单，如《××系统需求报告》、《××系统可行性报告》、《××系统立项审批单》、《××系统单元测试报告》、《××系统集成测试报告》、《××系统上线审批单》，然后变更方面比较重要的就是《变更审批单》，这个一般来说还要进行抽样，而上面的开发流程一般来说做一两个穿行测试就行了。

三、 *** 作系统及数据库控制。这一块呢具体就是看 *** 作系统和数据库登录是不是要密码，然后把登录界面截个屏作为审计证据K进底稿里，蛮弱智的。然后呢就是调出 *** 作系统及数据库中的一些安全配置，如密码复杂度的要求，密码是不是强制一个月改一次，对系统的敏感 *** 作是否有日志记录，日志是否有人去复核，再者就是看用户权限管理是否按照基于角色来进行权限分配。现在商用方面 *** 作系统用得比较多的是win2000,LINUX,UNIX,银行AIX用得比较多，数据库就是SAP，ORACLE,SQL server等，银行DB2用得也比较多。审计的时候呢，对于安全配置，就是输入一些命令，调出相关配置，四大像安永会有团队专门设计脚本 ，只要放到客户机器上那么一跑，结果自动就出来了，高度傻瓜式，流程化机械化，IT审计师的可替代性更强了，价值更低了。再就是把所有用户的权限列表拉出来，看是不是合理合规，后点关注超级管理员的权限。

四、应用系统控制。关注点同 *** 作系统及数据库。不过应用系统千变万化，比如银行里面比较大的应用系统就有综合业务系统（有的叫核心业务系统）、国际结算系统、大小额系统、信贷管理系统等等等等。但万变不离其综，这些系统做ITGC思路都是一样的，就看安全配置和用户权限。如果要支持财审进行ITAC的审计，则要具体情况具体分析设计，因此个人认为ITAC的审计是IT审计师能体现自身经验与价值的地方，光做ITGC是没有前途的

五、接口控制与信息安全。各种系统之前会有接口，那么数据从一个系统传输到另一系统中数据的准确性完整性要得到保证。审计程序一般首先看系统中是不是有自动核对的机制，比如银行的核心业务系统基本与每个重要的业务系统都有接口并且每天会进行大量的数据交互，做的好的会有一个核对机制，加入一些校验机制，确认数据的准确完整，有的银行测没有。信息安全就是看看网络管理相关的制度，看看防火墙的结构，内外网是不是分离啊等等，无聊至极。

以上就是关于IT审计的审计制度全部的内容，包括:IT审计的审计制度、it审计和审计区别、如何开展IT审计项目，IT审计的实施过程是什么等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！