一、IT审计基础
1、定义
GB/T34960.4《信息技术服务治理第4部分:审计导则》,IT审计是根据IT审计标准的要求,对信息系统及相关的IT内部控制和流程进行检查、评价,并发表审计意见。
根据GB/T34690.4《信息技术服务治理第4部分:审计导则》,对IT审计人员的要求包括职业道德、知识、技能、资格与经验、专业胜任能力及利用外部专家服务等方面。
2、IT审计目的
IT审计的目的是指通过开展IT审计工作,了解组织IT系统与IT活动的总体状况,对组织是否实现IT目标进行审查和评价,充分识别与评估相关IT风险,提出评价意见及改进建议,促进组织实现IT目标。
3、组织的IT目标
(1)组织的IT战略应与业务战略保持一致;
(2)保护信息资产的安全及数据的完整、可靠、有效;
(3)提高信息系统的安全性、可靠性及有效性;
(4)合理保证信息系统及其运用符合有关法律、法规及标准等的要求。
4、IT审计范围
(1)总体范围:需要根据审计目的和投入的审计成本来确定
(2)组织范围:明确审计涉及的组织机构、主要流程、活动及人员等
(3)物理范围:具体的物理地点与边界。
(4)逻辑范围:涉及的信息系统和逻辑边界。
(5)其他相关内容。
5、对IT审计人员的要求
(1)职业道德; (2)知识、技能、资格与经验;
(3)专业胜任能力; (4)利用外部专家服务;
6、IT审计风险
IT审计风险主要包括固有风险、控制风险、检查风险和总体审计风险。
二、IT审计方法与技术
1、IT审计依据与准则
(1)信息系统审计准则(ISACA,国际信息系统审计协会发布)。
(2)《内部控制一整体框架》报告,即通称的COSO(美国虚假财务报告委员会下属的发起人委员会)报告。
(3)《萨班斯法案》(SOX)。SOX是美国政府出台的一部涉及会计职业监管、组织治理、证券市场监管等方面改革的重要法律。
(4)信息及相关技术控制目标(COBIT)是目前国际上通用的信息及相关技术控制规范。
2、IT审计方法
常用审计方法包括:访谈法、调查法、检查法、观察法、测试法和程序代码检查法等。
2、IT审计技术
常用IT审计技术:风险评估技术、审计抽样技术、计算机辅助审计技术及大数据审计技术。
2、IT审计证据
审计证据是指由审计机构和审计人员获取,用于确定所审计实体或数据是否遵循既定标准或目标,形成审计结论的证明材料。审计证据是审计意见的支柱,是审计人员形成审计结论的基础。
审计证据的特性包括:充分性、客观性、相关性、可靠性、合法性。
3、审计底稿的作用
(1)是形成审计结论、发表审计意见的直接依据;
(2)是评价考核审计人员的主要依据;
(3)是审计质量控制与监督的基础;
(4)对未来审计业务具有参考备查作用。
4、审计工作底稿分类
(1)综合类工作底稿:指审计人员在审计计划阶段和审计报告阶段,为规划、控制和总结整个审计工作并发表审计意见所形成的审计工作底稿。主要包括:审计业务约定书、审计计划、审计总结、审计报告、管理建联审计单位管理当局声明书以及审计人员对整个审计工作进行组织管理的所有记录和资料。
(2)业务类工作底稿:指审计人员在审计实施阶段为执行具体审计程序所形成的审计工作底稿。包括:符合性测试中形成的内部控制问题调查表和流程图、实质性测试中形成的项目明细表等。
(3)备查类工作底稿:指审计人员在审计过程中形成对审计工作仅具有备查作用的审计工作底稿。
5、审计工作底稿三级复核制度
审计工作底稿三级复核制度是指以审计机构负责人、部门负责人和项目负责人(或项目经理)为复核人,依照规定的程序和要点对审计工作底稿进行逐级复核的制度。
7、审计工作底稿保密制度
审计机构对审计工作底稿中涉及的商业秘密保密,建立健全审计工作底稿保密制度。但由于下列两种情况需要查阅审计工作底稿的,不属于泄密情形:
(1)法院、检察院及国家其他部门依法查阅,并按规定办理了必要手续;
(2)审计协会或其委派单位对审计机构执业情况进行检查。
三、IT审计流程
1、审计流程作用
(1)有效地指导审计工作; (2)有利于提高审计工作效率;
(3)有利于保证审计项目质量;(4)有利于规范审计工作。
2、IT审计流程的四个阶段
审计流程一般分为审计准备、审计实施、审计终结及后续审计四个阶段。
四、IT审计内容
IT审计业务和服务通常分为IT内部控制审计和IT专项审计。
(1)IT内部控制审计:主要包括组织层面IT控制审计、IT一般控制审计及应用控制审计;
(2)IT专项审计:主要是指根据当前面临的特殊风险或者需求开展的IT审计,审计范围为IT综合审计的某一个或几个部分,包括信息系统生命周期审计、信息系统开发过程审计、信息系统运行维护审计、网络与信息安全审计、信息系统项目审计、数据审计等。
关注公众号
添加微信好友
暂无评论内容