3.2IT审计

IT审计是对IT目标和组织战略目标的实施具有重要作用

IT审计定义:

国际信息系统审计协会(ISACA):审计是获取评价能够判断实现某个目的的证据

国际货币基金组织(IMF):审计是对计算机化系统的整个过程的审计

最高审计机关国际组织(INTOSAI):同ISACA外,强调资源的利用率

GB/T 34690:审计是根据IT审计标准的要求,对信息系统内部的相关方面进行操作,并发表审计意见

IT审计的目的是指为了实现IT目标

组织的IT目标主要包括:

组织的IT战略应与业务战略保持

保护信息资产的安全及数据的完整、可靠、有效

提高信息系统的安全性、可靠性、有效性

合理保证信息系统及其运用符合有关法律、法规及标准等的要求

iT审计范围:根据审计目的和投入的审计成本确定

总体范围:根据审计目的和投入的审计成本确定

组织范围:明确审计涉及的组织机构、主要流程、活动及人员等

物理范围:具体的物理地点与边界

逻辑范围:涉及的信息系统和逻辑边界

对IT审计人员的要求包括职业道德、知识、技能、资格与经验、专业胜任能力及利用外部专家服务

IT审计风险包括固有风险、控制风险、检查风险、总体审计风险

固有风险:对IT活动没有控制的情况下,会出现的风险,这种风险是IT活动本身所固有的,审计人员只能评估,却无法控制或影响它,它的衡量是主观的复杂的,

分析固有风险的方面有IT组织层面控制、一般控制及应用控制。

控制风险:对IT活动进行了控制的情况下,会出现的风险,这种风险属于内部控制范畴,与审计无关,审计人员只能评估,却无法控制或影响它,它的衡量是复杂且难以准确计量

检查风险:通过了预定的审计程序,也会出现的风险,这种风险主要是因为IT审计规范不完整,审计人员自身或技术原因造成的

总体审计风险:针对单个控制目标所产生的各类审计风险总和。

审计风险也用于描述审计人员在执行审计任务时可接受的风险水平

IT审计方法(选择合适的方法):访谈法(结构型访谈和非结构型访谈)、调查法(达到预期目的通过书面或口头回答问题的方式)

、检查法(审阅法、核对法、复算法、分析法)、观察法(实地查看)、测试法(黑盒测试和白盒测试)和程序代码检查法(程序代码的检查)

IT审计技术包括风险评估技术、审计抽样技术、计算机辅助审计技术及大数据审计技术

风险评估技术:识别(德尔菲法、头脑风暴法、检查表法、SWOT技术及图解技术)、

分析(定性分析、定量分析)、评价(单因素风险评价、总体风险评价)、应对(云计算、冗余链路、冗余资源、系统弹性伸缩、两地三中心灾备、业务熔断限流)

审计抽样技术:(统计抽样:客观抽样、非统计抽样:主观抽样)

计算机辅助审计技术:计算机辅助审计(CAAT),利用计算机审计

CAAT包括多种工具和技术:通用审计软件GAS、测试数据、实用工具软件、专家系统等

大数据审计技术:大数据智能分析技术、大数据可视化分析技术及大数据多数据源综合分析技术等

审计证据是控制审计工作质量的关键

审计证据的特征:

充分性(与确定的样本量有关)、客观性(事实材料)、相关性(实质性联系)、可靠性、合法性

审计工作底稿是审计证据的载体

审计底稿的作用:形成审计结论、发表审计意见的直接依据

评价考核审计人员的主要依据

审计质量控制与监督的基础

对未来审计业务具有参考备查作用

审计工作底稿一般分为:综合类工作底稿(计划阶段、审计报告阶段、记录和资料)、业务类工作底稿(实施阶段)和备查类工作底稿(被审计单位或第三者根据实际情况提供或代为编制)。

审计工作底稿三级复核制度:审计机构负责人、部门负责人、项目负责人(项目经理),最后交给档案管理部门进行管理

审计流程的作用:

有效地指导审计工作

有利于提高审计工作效率

有利于保证审计项目质量

有利于规范审计工作

审计流程:审计准备(明确审计目的及任务、组件审计项目组、搜集相关信息、编制审计计划)

、审计实施(深入调查并调整审计计划、了解并初步评估IT内部控制、进行符合性测试、进行实质性测试)

、审计终结(整理与复核审计共组欧底稿、整理审计证据、评价相关IT控制目标的实现、判断并报告审计发现、沟通审计结果、出具审计报告、归档管理)

、后续审计(是前一次审计的有机组成部分)

审计业务和服务通常分为IT内部控制审计和IT专项审计

IT内部控制审计主要包括组织层面IT控制审计、IT一般控制审计、应用控制审计

IT专项审计(信息系统生命周期审计、信息系统开发过程审计、信息系统运行维护审计、网络与信息安全审计、信息系统项目审计、数据审计)

审计基础--------审计方法与技术--------审计流程----------审计内容

posted @   无名量  阅读(26)  评论(0编辑  收藏  举报
相关博文:
阅读排行:
· 清华大学推出第四讲使用 DeepSeek + DeepResearch 让科研像聊天一样简单!
· 推荐几款开源且免费的 .NET MAUI 组件库
· 实操Deepseek接入个人知识库
· 易语言 —— 开山篇
· Trae初体验
点击右上角即可分享
微信分享提示