设为首页收藏本站
开启辅助访问
第3章 信息系统治理 您所在的位置:网站首页 审计业务范围包括 第3章 信息系统治理

第3章 信息系统治理

2024-07-14 09:51| 来源: 网络整理| 查看: 265

文章目录 3.3 IT 审计(基础、方法与技术)3.3.1 IT审计基础1.IT 审计定义2.IT 审计目的3.IT 审计范围4.IT 审计人员5.IT 审计风险 3.3.2 审计方法与技术1.IT 审计依据与准则2.IT 审计常用方法3.IT 审计技术1)风险评估技术2)审计抽样技术3)计算机辅助审计技术4)大数据审计技术 4.IT 审计证据5.IT 审计底稿

3.3 IT 审计(基础、方法与技术) 随着大数据、云计算、人工智能、移动互联网、物联网等新一代信息技术快速普及和深入应用,以及商业新模式、制造新模式、运行新模式等的出现和迅速繁荣,在给组织带来快速发展的同时,也加大了组织的IT 风险。为了有效控制IT 风险,有必要对组织的信息系统治理及IT内控与管理等开展IT审计,充分发挥IT 审计监督的作用,提高组织的信息系统治理水平促进组织信息系统治理目标的实现。 3.3.1 IT审计基础

IT 审计对组织IT目标的达成以及组织战略目的实现具备重要的作用,这与人们通常所说的传统审计的重要性概念不同。

传统审计的重要性是指被审计单位会计报表中错报或漏报的严重程度,这一严重程度在特定环境下可能影响会计报表使用者的判断或决策。传统审计在量上表现为审计重要性水平,也就是被审计单位财务报表中可能存在的不影响报表使用者做出决策和判断的错报及漏报最大限额。IT 审计重要性是指IT 审计风险(固有风险、控制风险、检查风险)对组织影响的严重程度,如:财务损失、业务中断、失去客户信任、经济制裁等。 1.IT 审计定义 IT审计经过多年的发展,国内外机构对IT审计从不同角度进行了描述,目前主流的IT审计定义如表3-3所示。 在这里插入图片描述 2.IT 审计目的

IT审计的目的是指通过开展IT审计工作,了解组织IT系统与IT活动的总体状况,对组织是否实现IT 目标进行审查和评价,充分识别与评估相关T 风险,提出评价意见及改进建议促进组织实现IT目标。

组织的IT目标主要包括:

组织的IT战略应与业务战略保持一致;

保护信息资产的安全及数据的完整、可靠、有效;

提高信息系统的安全性、可靠性及有效性;

合理保证信息系统及其运用符合有关法律、法规及标准等的要求。

3.IT 审计范围 一般来说,IT 审计范围需要根据审计目的和投入的审计成本来确定。在确定审计范围时,除了考虑前面提及的审计内容外,还需要明确审计的组织范围、物理位置以及信息系统相关逻辑边界。IT审计范围的确定如表3-4所示。

在这里插入图片描述

在实际的应用实践中,审计人员在实施IT 审计项目前,应先对组织与信息系统相关的总体情况进行了解和风险评估,确定主要IT 风险。

如与环境控制相关的风险、与系统相关的风险,与数据相关的风险等,然后根据确定的风险来判断哪些控制、流程对组织的影响比较大,并结合审计项目预计的时间、配备的审计力量等来确定重点审计范围。

4.IT 审计人员 根据GB/T 34690.4《信息技术服务治理 第4部分:审计导则》,对IT审计人员的要求包括职业道德、知识、技能、资格与经验、专业胜任能力及利用外部专家服务等方面,如表3-5所示。

在这里插入图片描述

5.IT 审计风险

IT审计风险主要包括固有风险、控制风险、检查风险和总体审计风险。

固有风险、控制风险、检查风险的内容,如表3-6所示。

在这里插入图片描述

总体审计风险是指针对单个控制目标所产生的各类审计风险总和。良好的审计计划应尽可能评估和控制审计风险,减少或控制所检查领域的审计风险,比如采取合适的审计工具,在完成审计时把总体审计风险控制在足够低的水平之内,以达到预期保证水平。

审计风险也用于描述审计人员在执行审计任务时可接受的风险水平。审计人员可通过设定目标风险水平并调整审计工作量,以合适的审计成本满足最小化总体审计风险要求。

3.3.2 审计方法与技术 1.IT 审计依据与准则 IT审计活动的开展需要结合相关法律法规、准则与标准。国际上发布的常用审计准则有: 信息系统审计准则(ISACA,国际信息系统审计协会发布)。《内部控制一整体框架》报告,即通称的COSO(The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting,美国虚假财务报告委员会下属的发起人委员会)报告。《萨班斯法案》(Sarbanes-Oxley Act,SOX)。SOX是美国政府出台的一部涉及会计职业监管、组织治理、证券市场监管等方面改革的重要法律。信息及相关技术控制目标(Control Objectives for Information and related TechnologyCOBIT)是目前国际上通用的信息及相关技术控制规范。 我国的IT审计相关法律法规、准则与标准如表3-7所示。

在这里插入图片描述

2.IT 审计常用方法

IT审计方法就是为了完成IT 审计任务所采取的手段。在IT 审计工作中,要完成每一项审计工作,都应选择合适的审计方法。常用审计方法包括:访谈法、调查法、检查法、观察法、测试法和程序代码检查法等,如表3-8所示。

在这里插入图片描述

3.IT 审计技术

常用的IT 审计技术包括风险评估技术、审计抽样技术、计算机辅助审计技术及大数据审计技术。

1)风险评估技术

IT风险评估技术一般包括:

风险识别技术:用以识别可能影响一个或多个目标的不确定性,包括德尔菲法、头脑风暴法、检查表法、SWOT技术及图解技术等。风险分析技术:是对风险影响和后果进行评价和估量,包括定性分析和定量分析。风险评价技术:是在风险分析的基础上,通过相应的指标体系和评价标准,对风险程度进行划分,以揭示影响成败的关键风险因素,包括单因素风险评价和总体风险评价。风险应对技术:IT技术体系中为特定风险制定的应对技术方案,包括云计算、冗余链路、冗余资源、系统弹性伸缩、两地三中心灾备、业务熔断限流等。 2)审计抽样技术

审计抽样是指审计人员在实施审计程序时,从审计对象总体中选取一定数量的样本进行测试,并根据测试结果,推断审计对象总体特征的一种方法。审计抽样适用于时间及成本都不允许对既定总体中的所有交易或事件进行全面审计时。“总体”是指需要检查的全部事项,“样本”是用于测试总体的子集。审计抽样的方法如表3-9所示。

在这里插入图片描述

3)计算机辅助审计技术 计算机辅助审计(Computer Assisted Audit Tools,CAAT),也称为利用计算机审计,是指审计人员在审计过程和审计管理活动中,以计算机为工具来执行和完成某些审计程序和任务的一种新兴审计技术。它并非电算化系统审计特有的一种方法,对手工系统的审计也可应用这些技术。计算机辅助审计技术是审计人员在这种环境下收集信息的重要工具。由于系统有不同的硬件和软件环境、数据结构、记录格式或处理功能,如果没有软件工具来收集和分析记录内容,审计人员收集证据几乎是不可能的。CAAT 也使得审计人员可以独立地收集信息,CAAT为针对既定的审计目标访问和分析数据提供了一种方法,并以系统记录的可靠性为重点报告审计发现。源信息可靠性是审计发现的保证基础。CAAT 包括多种工具和技术,如通用审计软件(GAS)、测试数据、实用工具软件、专家系统等。 4)大数据审计技术

大数据审计是指遵循大数据理念,运用大数据技术方法和工具,利用数量巨大、来源分散、格式多样的数据,开展跨层级、跨系统、跨部门和跨业务等的深入挖掘与分析,提升审计发现问题、评价判断、宏观分析的能力。大数据审计技术包括大数据智能分析技术、大数据可视化分析技术及大数据多数据源综合分析技术等,如表3-10所示。

在这里插入图片描述

4.IT 审计证据

审计证据是指由审计机构和审计人员获取,用于确定所审计实体或数据是否遵循既定标准或目标,形成审计结论的证明材料。

审计证据是审计意见的支柱,是审计人员形成审计结论的基础。审计人员必须基于足够、相关和适当的审计证据,为其审计观点提供合理的结论。审计证据还可以被作为解除或追究被审计人经济责任的依据,并且审计证据还是控制审计工作质量的关键。

审计证据的特性是指审计证据内在性质和特征,具体体现为审计人员围绕这些性质和特征收集审计证据时应达到的基本要求。对审计证据的属性,在国际上有不同的描述。审计证据的特性如表3-11所示。

在这里插入图片描述

电子证据是信息环境下经常使用的一种证据类型。电子证据是指以电子的、数据的、磁性的或类似性能的相关技术形式存在并能够证明事件事实真实情况的一切材料。

刑事诉讼法中指出电子证据无论是形式还是证据规则都与传统证据有很大区别,高要求的技术规范,贯穿于电子证据的收集、提取、保存到出示、审查、判断、认证的各个环节。因此,通过司法解释缓解司法实践中的矛盾仅仅是权宜之计,彻底解决电子证据法律定位问题还是要从立法上予以突破即应通过修改诉讼法或出台证据法典来明确电子证据的法律地位,赋予电子证据独立的法律地位,以电子证据取代视听资料的证据地位。

为了使收集到的分散、个别、不系统审计证据变成充分、适当、具有证明力证据,审计人员必须按照一定的方法对审计证据进行分类整理与分析,使之条理化、系统化,然后对各种审计证据进行合理归纳,并在此基础上形成恰当的整体审计结论。审计证据评价应考虑的因素包括证据提供者的独立性、提供信息/证据的个人资质、证据的客观性、证据的时效性、与审计目标的相关性、审计证据的说服力及审计证据的充分性。此外,在审计过程中还必须考虑取得审计证据的经济性,必须考虑成本效益原则,合理把握审计证据的充分性。

5.IT 审计底稿

审计工作底稿是指审计人员对制订的审计计划、实施的审计程序、获取的相关审计证据,以及得出的审计结论做出的记录。审计工作底稿是审计证据的载体,是审计人员在审计过程中形成的审计工作记录和获取的资料。它形成于审计过程,也反映整个审计过程。审计底稿的作用表现在:

是形成审计结论、发表审计意见的直接依据:是评价考核审计人员的主要依据:是审计质量控制与监督的基础;对未来审计业务具有参考备查作用。

审计工作底稿一般分为综合类工作底稿、业务类工作底稿和备查类工作底稿,具体如表 3-12所示。

在这里插入图片描述

审计工作底稿作为审计人员在整个审计过程中形成的审计工作记录资料,在编制上应满足内容和形式两方面的要求:

内容要求包括资料翔实、重点突出、繁简得当、结论明确;形式要求包括要素齐全、格式规范、标识一致、记录清晰。

通常,根据审计机构的组织规模和业务范围,可以实行对审计工作底稿的三级复核制度审计工作底稿三级复核制度是指以审计机构负责人、部门负责人和项目负责人(或项目经理)为复核人,依照规定的程序和要点对审计工作底稿进行逐级复核的制度。三级复核制度目前已成为较为普遍采用的形式,对于提高审计工作质量、加强质量控制起了重要的作用。

为了维护被审计单位及相关单位的利益,审计机构对审计工作底稿中涉及的商业秘密保密,建立健全审计工作底稿保密制度。但由于下列两种情况需要查阅审计工作底稿的,不属于泄密情形:

法院、检察院及国家其他部门依法查阅,并按规定办理了必要手续;审计协会或其委派单位对审计机构执业情况进行检查。

审计工作底稿按照一定的标准归入审计档案后,应交由档案管理部门进行管理,并确保审计档案的安全、完整。



【本文地址】

公司简介

联系我们

今日新闻

    推荐新闻

    专题文章
      CopyRight 2018-2019 实验室设备网 版权所有