文集：《信息系統(tǒng)項目管理師第四版攻略》

本節(jié)概要

隨著大數據羹令、云計算赁温、人工智能、移動互聯網绣夺、物聯網等新一代信息技術快速普及和深入應用俩块，以及商業(yè)新模式、制造新模式浓领、運行新模式等的出現和迅速繁榮玉凯，在給組織帶來快速發(fā)展的同時，也加大了組織的 IT 風險联贩。為了有效控制 IT 風險漫仆，有必要對組織的信息系統(tǒng)治理及 IT 內控與管理等開展 IT 審計，充分發(fā)揮 IT 審計監(jiān)督的作用泪幌，提高組織的信息系統(tǒng)治理水平盲厌，促進組織信息系統(tǒng)治理目標的實現。

IT 審計基礎

IT 審計定義

主流的 IT 審計定義

IT 審計目的

IT 審計的目的是指通過開展 IT 審計工作祸泪，了解組織 IT 系統(tǒng)與 IT 活動的總體狀況吗浩，對組織是否實現 IT 目標進行審查和評價，充分識別與評估相關 IT 風險没隘，提出評價意見及改進建議懂扼，促進組織實現 IT 目標。

1. 組織的 IT 戰(zhàn)略應與業(yè)務戰(zhàn)略保持一致右蒲；
2. 保護信息資產的安全及數據的完整阀湿、可靠、有效瑰妄；
3. 提高信息系統(tǒng)的安全性陷嘴、可靠性及有效性；
4. 合理保證信息系統(tǒng)及其運用符合有關法律间坐、法規(guī)及標準等的要求灾挨。

IT 審計范圍

審計范圍需要根據審計目的和投入的審計成本來確定。在實際的應用實踐中竹宋，審計人員在實施 IT 審計項目前涨醋，應先對組織與信息系統(tǒng)相關的總體情況進行了解和風險評估，確定主要 IT 風險逝撬，如與環(huán)境控制相關的風險浴骂、與系統(tǒng)相關的風險、與數據相關的風險等宪潮，然后根據確定的風險來判斷哪些控制溯警、流程對組織的影響比較大趣苏，并結合審計項目預計的時間、配備的審計力量等來確定重點審計范圍梯轻。

1. 總體范圍：需要根據審計目的和投入的審計成本來確定食磕；
2. 組織范圍：明確審計涉及的組織機構、主要流程喳挑、活動及人員等彬伦；
3. 物理范圍：具體的物理地點與邊界；
4. 邏輯范圍：涉及的信息系統(tǒng)和邏輯邊界伊诵；

IT 審計人員要求

《信息技術服務 治理 第 4 部分：審計導則》標準（GB/T 34690.4）

IT 審計風險

1. 固有風險

   • 含義：是指 IT 活動不存在相關控制的情況下单绑，易于導致重大錯誤的風險；
   • 分類：可從 IT 組織層面控制曹宴、一般控制及應用控制三個方面分析固有風險搂橙；
     特點：固有風險是 IT 活動本身所具有的，審計人員只能評估笛坦，卻無法控制或影響它区转；固有風險的衡量是主觀的、復雜的版扩，不同的 IT 活動其固有風險水平不同废离。

2. 控制風險

   • 含義：是指與 IT 活動相關的內部控制體系不能及時預防或檢查出存在的重大錯誤的風險；
   • 分類：可從 IT 組織層面控制礁芦、一般控制及應用控制三個方面分析控制風險厅缺；
   • 特點：與內部控制制度執(zhí)行的有效性有關，與審計無關宴偿，屬于內部控制的范時湘捎，審計人員只能評估其風險水平而不能對其實施控制和影響。其風險水平的衡量由于需要兼顧傳統(tǒng)內部控制的思想和計算機系統(tǒng)管理的知識窄刘，因而較為復染且難以準確計量窥妇。

3. 檢查風險

   • 含義：檢查風險是指通過預定的審計程序未能發(fā)現重大、單個或與其他錯誤相結合的風險娩践；
   • 影響檢查風險的因素：由于 IT 審計規(guī)范不完善活翩、審計人員自身或者技術原因等造成影響審計測試正確性的各種因素。

審計方法與技術

常用標準

IT 審計活動的開展需要結合相關法律法規(guī)翻伺、準則與標準材泄，國際上常用的審計標準有：

1. 《信息系統(tǒng)審計準則》（ISACA）；
2. 《內部控制 —— 整體框架》（COSO）吨岭；
3. 《薩班斯法案》（SOX）拉宗；
4. 《信息及相關技術控制目標》（COBIT）。

我國常用的 IT 審計標準則有：

IT 審計標準

IT 審計標準 - 續(xù)

常用方法

IT 審計常用方法表

審計技術

1. 風險評估技術
   風險識別技術、風險分析技術旦事、風險評價技術魁巩、風險應對技術。

2. 審計抽樣技術
   統(tǒng)計抽樣姐浮、非統(tǒng)計抽樣谷遂。

3. 計算機輔助審計技術（CAAT）
   審計軟件（GAS）、測試數據卖鲤、專家系統(tǒng)等肾扰。

4. 大數據審計技術

   大數據審計技術

IT 審計證據

審計證據的特性

IT 審計底稿

審計工作底稿是審計證據的載體。

1. 綜合類工作底稿
   指審計人員在審計計劃階段和審計報告階段蛋逾，為規(guī)劃集晚、控制和總結整個審計工作并發(fā)表審計意見所形成的審計工作底稿，主要包括：審計業(yè)務約定書换怖、審計計劃、審計總結蟀瞧、審計報告沉颂、管理建議書、被審計單位管理當局聲明書以及審計人員對整個審計工作進行組織管理的所有記錄和資料悦污。

2. 業(yè)務類工作底稿
   指審計人員在審計實施階段為執(zhí)行具體審計程序所形成的審計工作底稿铸屉，包括：符合性測試中形成的內部控制問題調查表和流程圖、實質性測試中形成的項目明細表等切端。

3. 備查類工作底稿
   指審計人員在審計過程中形成對審計工作僅具有備查作用的審計工作底稿彻坛。備查類工作底稿應隨被審計單位有關情況的變化而不斷更新；應詳細列明目錄清單踏枣，并將更新的文件資料隨時歸檔昌屉；應根據需要，將其中與具體審計項目有關的內容復印茵瀑、摘錄间驮、綜合后歸入業(yè)務類審計工作底稿的具體審計項目之后。通常马昨，備查類審計工作底稿是由被審計單位或第三者根據實際情況提供或代為編制竞帽，審計人員應認真審核，并對所取得的有關文件鸿捧、資料標明其具體來源屹篓。

審計流程

審計流程是指審計人員在具體審計過程中采取的行動和步驟〕着科學堆巧、規(guī)范的審計流程不但是分配審計工作的具體依據，還是控制審計工作的有效工具，并同時具有的作用包括：① 有效地指導審計工作恳邀；② 有利于提高審計工作效率懦冰；③ 有利于保證審計項目質量；④ 有利于規(guī)范審計工作谣沸。

審計內容

主要分為 IT 內部控制和 IT 專項審計

IT 審計業(yè)務分類

信息系統(tǒng)項目管理審計內容與方法舉例

信息系統(tǒng)項目管理審計內容與方法舉例

續(xù)表

IT 審計思維導圖.png