昨天和大家讨论了审计干货分享 ——IT审计流程（上）审计计划阶段的内容，今天和大家讨论下审计实施阶段。

按照昨天的要求做好材料准备后，即可进行审计实施，具体包括：

（1）对信息系统计划开发阶段的审计

在信息系统计划开发阶段的审计包括计划审计和开发审计，这些审计可以采用事中审计或事后审计。对事物进行审计比较意义更大，审计结果的得出有利于故障、问题的早期发现，有利于调整计划，有利于改进开发顺序。

在信息系统规划阶段，关键控制点包括：规划是否有明确的目标，规划中是否清楚地描述了系统的作用，规划的组织情况，总体规划过程是否被正确地预期，规划是否因业务环境的变化而及时修订，规划是否有明确的可行性报告，规划的过程和结果是否被记录在案等。

系统开发阶段包括系统分析、系统设计、代码编写和系统测试三部分。其中涉及包括功能需求分析、业务数据分析、总体框架设计、结构设计、代码设计、数据库设计、输入输出设计、处理流程及模块功能的设计。编程时依据系统设计阶段的设计图及数据库结构和编码设计，用计算机程序语言来实现系统的过程。测试包括动态测试和静态测试，是系统开发完毕，进入试运行之前的必经程序。其关键控制点有:

分析控制点：是否己细致分析企业组织结构；是否确定用户功能和性能需求；是否确定用户的数据需求等。

设计控制点：界面设计是否方便用户使用，设计是否符合业务内容，性能是否满足要求，是否考虑了故障响应和安全保护等。

程序控制点：是否有程序说明，并按说明编写；程序说明是否与设计相符，是否违背程序设计原则；程序作者是否进行自我检测；是否有程序作者以外的第三方进行检测；程序编写、变量命名等是否符合规范。

试验控制点：试验数据的选择是否按计划和需要进行，是否具有代表性；试验是否站在公正和客观的立场上进行，是否有用户参与；试验结果是否记录完整等。

（2）对信息系统运行维护阶段的审计

对信息系统运行维护阶段的审计又细分为对运行阶段的审计和对维护阶段的审计。对系统运行过程的审计，是指在信息系统正式运行阶段，对信息系统是否正常运行、是否有效运行，从而真正实现信息系统开发目标，满足用户需求的审计。系统运行过程审计分为系统输入审计、系统通信审计、系统处理审计、系统数据库审计、系统输出审计和运行管理审计六个部分。

输入审计的关键控制点有：是否制定并遵守输入管理规则，是否有数据生成顺序、处理等的防错、保护措施、防错、保护措施是否有效等。

通讯系统实现实际数据的传输，通讯系统中，审计轨迹应该记录输入数据、传输数据和工作数据。通讯系统审计的重点是：是否制定和遵守通讯规则，通讯网络访问控制和监控的有效性等。

处理机是指将接收到的数据进行处理后再进行数据处理的过程，此时的审核主要是针对数据进入系统后是否得到正确处理的问题。关键控制点有：被处理的数据，数据处理器，数据处理时间，数据处理后的结果，数据处理实现的目的，系统处理的差错率，平均无故障时间，可恢复性和平均恢复时间等。

资料库审核是为了确保资料库能正常运作，例如资料作业是否有效，资料作业异常情况下的资料保护功能(资料不会遗失，资料会回滚以确保资料的一致性)。它的核心控制点是：对数据的访问控制和监控是否有效，是否记录数据使用情况，是否定期进行分析，是否考虑到数据的保护功能，是否有防错、保密、防错、保密等功能。

与测试阶段的输出审计不同，输出审计是基于真实数据进行的，审计可以根据系统的输出进行再控制，并结合用户的需求进行评价，从而实现系统的输出审计。重点控制点为：在获取和处理输出信息时是否有防止不当行为和保密保护措施，输出信息是否准确、及时，输出信息形式是否为客户所接受，输出错误是否记录在案并定期进行分析等。

运行管理审计是对人机系统中人的行为的审计。重点控制点为：作业顺序是否标准化，作业进度是否有优先级，作业是否按标准进行，人员变动是否规范，是否对预期能实际操作的差异进行分析，遇到问题是否互相沟通，是否有定期的培训和教育等。

维修过程的审核包括维修计划审核、维修实施审核、改进系统试运行审核和旧系统淘汰审核。维修过程中的关键控制点是：维修组织的规模是否适合需要，人员分工是否明确，有无一套管理与协调机制，维修过程中发现的改进点，维修负责人是否同意，维修中发现的问题是否进行了修改，维修记录是否有文件，维修过程中是否定期进行分析，旧系统的废止是否经过授权等。