1．审计计划阶段

整个审计过程从规划阶段开始。其主要工作包括：

(1)了解被审计系统的基本情况。

对被审计单位系统基本情况的了解是实施任何信息系统审计的必要程序，了解基本情况有助于审计组织对系统的组成、环境、使用年限、控制等有一个初步印象，从而决定是否审计该系统，明确审计的困难程度，需要的时间，以及人员配置等。

通过对基本情况的了解，审计组织能够大致判断系统的复杂性、管理层对审计的态度、内部控制状况、以往审计的状况、审计的难点和重点，从而决定是否审计。

(2)对受审单位系统的内部和外部控制措施进行初步评估。

传统的内部控制体系是以防范舞弊和错误为目的，以内部审计为核心，相互牵制的工作体系。伴随着信息技术，尤其是以因特网为代表的网络技术的发展与应用，企业信息系统不断深入，这些变化给企业带来了巨大的利益，同时也给企业的内部控制带来了新的问题与挑战。强化内部控制制度是保证信息系统安全可靠运行的重要保证。根据控制对象的范围和环境，信息系统内部控制体系的审计内容包括一般控制和应用控制。

一般控制是对系统运行环境的控制，是指对信息系统组件(人、机器、文档)的控制。为应用系统的正常运行提供了外围保障，影响了计算机应用的成败和应用控制的强弱。其中主要包括：组织控制、运行控制、软件控制和硬件系统安全控制。

运用控制是对信息系统中特定的数据处理活动的控制，也就是预测、发现和纠正错误，以及处置不当行为等具体应用系统中的控制措施，它主要表现为输入控制、处理控制和输出控制。由于应用控制的特殊性，不同的应用系统有不同的处理方式和处理环节，因而会出现不同的控制问题和控制要求，但一般可以将其分为：输入控制、过程控制和输出控制三种。

审计分析包括信息系统的组织控制、系统开发和维护控制、安全控制、硬件和软件资源控制、输入控制、处理控制和输出控制等方面的控制，并建立内部控制强弱程度的评价指标体系和评价模型，审计师通过交互式人机对话，输入各个评价指标的评分结果，内部控制审计评价系统可进行多级综合审计评价。通过对内部控制体系的审核，可以实现对体系的预防控制、可检测控制和纠正控制。

(3)识别重要性。

为有效地实现审计目标，合理利用审计资源，在制定审计计划时，应充分考虑系统的重要性；重要性评价一般需要专业判断。在考虑重要程度时，要根据审计师的职业判断或一般准则，系统的服务对象和业务性质，内部控制的初步评估结果。重要程度的判断离不开具体环境，审计师必须根据具体的信息系统环境来决定重要程度。重要性具有数量和质量两个方面的特征。子系统越重要，就越需要获得足够的审计证据来支持审计结论或意见。

(4)制定审计计划。

通过上述程序，为编制审计计划做好充分的准备，使审计师能够编制出全面、具体的审计计划。

总的计划包括：被审计单位的基本情况；审计的目的、范围和策略；重要的审计问题和重要的审计领域；工作进度和时间；审计小组的成员分工；重要性的确定和风险评估等等。

其具体方案包括：审计目标；审计程序；实施人员和时间限制等。