3.2IT审计
IT审计是对IT目标和组织战略目标的实施具有重要作用
IT审计定义:
国际信息系统审计协会(ISACA):审计是获取评价能够判断实现某个目的的证据
国际货币基金组织(IMF):审计是对计算机化系统的整个过程的审计
最高审计机关国际组织(INTOSAI):同ISACA外,强调资源的利用率
GB/T 34690:审计是根据IT审计标准的要求,对信息系统内部的相关方面进行操作,并发表审计意见
IT审计的目的是指为了实现IT目标
组织的IT目标主要包括:
组织的IT战略应与业务战略保持
保护信息资产的安全及数据的完整、可靠、有效
提高信息系统的安全性、可靠性、有效性
合理保证信息系统及其运用符合有关法律、法规及标准等的要求
iT审计范围:根据审计目的和投入的审计成本确定
总体范围:根据审计目的和投入的审计成本确定
组织范围:明确审计涉及的组织机构、主要流程、活动及人员等
物理范围:具体的物理地点与边界
逻辑范围:涉及的信息系统和逻辑边界
对IT审计人员的要求包括职业道德、知识、技能、资格与经验、专业胜任能力及利用外部专家服务
IT审计风险包括固有风险、控制风险、检查风险、总体审计风险
固有风险:对IT活动没有控制的情况下,会出现的风险,这种风险是IT活动本身所固有的,审计人员只能评估,却无法控制或影响它,它的衡量是主观的复杂的,
分析固有风险的方面有IT组织层面控制、一般控制及应用控制。
控制风险:对IT活动进行了控制的情况下,会出现的风险,这种风险属于内部控制范畴,与审计无关,审计人员只能评估,却无法控制或影响它,它的衡量是复杂且难以准确计量
检查风险:通过了预定的审计程序,也会出现的风险,这种风险主要是因为IT审计规范不完整,审计人员自身或技术原因造成的
总体审计风险:针对单个控制目标所产生的各类审计风险总和。
审计风险也用于描述审计人员在执行审计任务时可接受的风险水平
IT审计方法(选择合适的方法):访谈法(结构型访谈和非结构型访谈)、调查法(达到预期目的通过书面或口头回答问题的方式)
、检查法(审阅法、核对法、复算法、分析法)、观察法(实地查看)、测试法(黑盒测试和白盒测试)和程序代码检查法(程序代码的检查)
IT审计技术包括风险评估技术、审计抽样技术、计算机辅助审计技术及大数据审计技术
风险评估技术:识别(德尔菲法、头脑风暴法、检查表法、SWOT技术及图解技术)、
分析(定性分析、定量分析)、评价(单因素风险评价、总体风险评价)、应对(云计算、冗余链路、冗余资源、系统弹性伸缩、两地三中心灾备、业务熔断限流)
审计抽样技术:(统计抽样:客观抽样、非统计抽样:主观抽样)
计算机辅助审计技术:计算机辅助审计(CAAT),利用计算机审计
CAAT包括多种工具和技术:通用审计软件GAS、测试数据、实用工具软件、专家系统等
大数据审计技术:大数据智能分析技术、大数据可视化分析技术及大数据多数据源综合分析技术等
审计证据是控制审计工作质量的关键
审计证据的特征:
充分性(与确定的样本量有关)、客观性(事实材料)、相关性(实质性联系)、可靠性、合法性
审计工作底稿是审计证据的载体
审计底稿的作用:形成审计结论、发表审计意见的直接依据
评价考核审计人员的主要依据
审计质量控制与监督的基础
对未来审计业务具有参考备查作用
审计工作底稿一般分为:综合类工作底稿(计划阶段、审计报告阶段、记录和资料)、业务类工作底稿(实施阶段)和备查类工作底稿(被审计单位或第三者根据实际情况提供或代为编制)。
审计工作底稿三级复核制度:审计机构负责人、部门负责人、项目负责人(项目经理),最后交给档案管理部门进行管理
审计流程的作用:
有效地指导审计工作
有利于提高审计工作效率
有利于保证审计项目质量
有利于规范审计工作
审计流程:审计准备(明确审计目的及任务、组件审计项目组、搜集相关信息、编制审计计划)
、审计实施(深入调查并调整审计计划、了解并初步评估IT内部控制、进行符合性测试、进行实质性测试)
、审计终结(整理与复核审计共组欧底稿、整理审计证据、评价相关IT控制目标的实现、判断并报告审计发现、沟通审计结果、出具审计报告、归档管理)
、后续审计(是前一次审计的有机组成部分)
审计业务和服务通常分为IT内部控制审计和IT专项审计
IT内部控制审计主要包括组织层面IT控制审计、IT一般控制审计、应用控制审计
IT专项审计(信息系统生命周期审计、信息系统开发过程审计、信息系统运行维护审计、网络与信息安全审计、信息系统项目审计、数据审计)
审计基础--------审计方法与技术--------审计流程----------审计内容
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 清华大学推出第四讲使用 DeepSeek + DeepResearch 让科研像聊天一样简单!
· 推荐几款开源且免费的 .NET MAUI 组件库
· 实操Deepseek接入个人知识库
· 易语言 —— 开山篇
· Trae初体验