(1)接受審計委托。是由IS審計人員在了解被審計單位及其信息系統基本情況的基礎上,決定是接受新客戶還是保留現有客戶。
(2)制定審計計劃。制定審計計劃對於明確信息系統審計的目的、確定信息系統審計的重點、規劃信息系統審計的過程、加強與被審計單位的溝通以及協調信息系統審計人員與被審計單位管理層之間的合作具有重要作用。
(3)實施IS審計。IS審計的對象是以計算機為核心的信息系統,涵蓋信息系統從規劃、分析、設計、編程、測試、運維到淘汰的整個生命周期中的各類業務。IS審計必須包括信息系統環境和相關業務的有機結合,旨在促進整個企業的信息化。根據審計的具體對象,信息系統審計的主要內容可以概括為:系統生命周期審計、計算機資源管理審計、軟硬件購置審計、系統軟件審計、程序審計、應用系統開發審計、數據完整性審計、系統維護審計、運行審計和安全審計。
(4)報告信息系統的審計結果。信息系統審計員應以正式書面報告的形式總結信息系統審計的發現和結論,並提交給被審計單位的最高管理層和信息系統審計委員會。
與財務報表的審計報告類似,IS審計報告主要包括兩部分:範圍部分和意見部分。範圍部分主要概述IS審計的主要情況,包括:IS審計對象的範圍、實施日期和過程的概述、IS審計的目的、所依據的準則或標準等。評論部分總結了被審計信息系統的可靠性、安全性和有效性的評價結果,IS審計過程中發現的問題和現狀,這些問題的危害和影響,以及IS審計人員提出的改進對策。
與財務報表的審計不同,提交報告不是IS審計的終點。IS審計人員應針對審計報告中提出的問題,特別是重大問題,進壹步跟蹤被審計信息系統的整改情況,努力推動系統的整改和問題的解決。被審計信息系統的責任部門應在規定的期限內提交整改計劃,信息系統審計人員應隨時與被審計部門聯系,了解跟蹤整改情況,促進整改完成。為了保證信息系統的可靠性、安全性和有效性,審計結果的跟蹤是IS審計中必不可少的環節,應建立IS審計跟蹤系統。