IT 治理
IT 治理主要目标包括:
- 与业务目标一致
- 有效利用信息与数据资源
- 风险管理
IT 治理体系框架具体包括:
- IT 战略目标
- IT 治理组织
- IT 治理机制
- IT 治理域
- IT 治理标准
- IT 绩效目标
IT 治理核心
IT 治理本质上关心:
- ①实现 IT 的业务价值
- ② IT 风险的规避
该标准定义的 IT 治理框架包含 信息技术顶层设计、管理体系、资源三大治理域
IT 审计
IT 审计定义
| 机构 / 标准名称 | 定义 |
|---|---|
| 国际信息系统审计协会( Information Systems Audit andControl Association,ISACA) | IT 审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效利用组织的资源并有效实现组织目标的过程 |
| 国际货币基金组织( International Monetary Fund,IMF) | IT 审计是对计算机化的系统进行审计,不仅是对现有信息系统的控制,还包括对系统建立过程、计算机设备和网络管理等方面的控制 |
| 最高审计机关国际组织(International Organization of SupremeAudit Institutions,INTOSAI) | IT 审计是一个通过获取并评估证据,以判断 IT 系统是否保护组织的资产,有效地利用组织的资源,保障数据的安全性和一致性,以及有效地达到组织业务目标的过程 |
| GB/T 34690.4《信息技术服务治理第4 部分:审计导则》 | IT 审计是根据 IT 审计标准的要求,对信息系统及相关的 IT 内部控制和流程进行检查、评价,并发表审计意见 |
IT 审计的目的
IT 审计的目的是指通过开展 IT 审计工作,了解组织 IT 系统与 IT 活动的总体状况
- 对组织是否实现 IT 目标进行审查和评价
- 充分识别与评估相关 IT 风险
- 提出评价意见及改进建议,促进组织实现 IT 目标
组织的 IT 目标主要包括:
- ①组织的 IT 战略应与业务战略保持一致
- ②保护信息资产的安全及数据的完整、可靠、有效
- ③提高信息系统的安全性、可靠性及有效性
- ④合理保证信息系统及其运用符合有关法律、法规及标准
IT 审计范围
| IT 审计范围 | 说明 |
|---|---|
| 总体范围 | 需要根据审计目的和投入的审计成本来确定 |
| 组织范围 | 明确审计涉及的组织机构、主要流程、活动及人员等 |
| 物理范围 | 具体的物理地点与边界 |
| 逻辑范围 | 涉及的信息系统和逻辑边界 |
审计方法与技术
IT 审计常用方法
常用审计方法包括:
- 访谈法
- 调查法
- 检查法
- 观察法
- 测试法
- 程序代码检查法
IT 审计技术
常用的 IT 审计技术包括
- 风险评估技术
- 审计抽样技术
- 计算机辅助审计技术
- 大数据审计技术
IT 审计底稿
审计工作底稿是指审计人员对制订的审计计划、实施的审计程序、获取的相关审计证据,以及得出的审计结论做出的记录。
审计底稿的作用表现在:
- 是形成审计结论、发表审计意见的直接依据;
- 是评价考核审计人员的主要依据;
- 是审计质量控制与监督的基础;
- 对未来审计业务具有参考备查作用。
综合类工作底稿
指审计人员在审计计划阶段和审计报告阶段,为规划、 控制和总结整个审计工作并发表审计意见所形成的审计工作底稿,主要包括:审计业务约定书、审计计划、审计总结、审计报告、管理建议书、被审计单位管理当局声明书以及审计人员对整个审计工作进行组织管理的所有记录和资料
业务类工作底稿
指审计人员在审计实施阶段为执行具体审计程序所形成的审计工作底稿, 包括:符合性测试中形成的内部控制问题调查表和流程图、实质性测试中形成的项目明细表等
备查类工作底稿
指审计人员在审计过程中形成对审计工作仅具有备查作用的审计工作底稿。备查类工作底稿应随被审计单位有关情况的变化而不断更新;应详细列明目录清单,并将更新的文件资料随时归档;应根据需要, 将其中与具体审计项目有关的内容复印、摘录、综合后归入业务类审计工作底稿的具体审计项目之后。通常,备查类审计工作底稿是由被审计单位或第三者根据实际情况提供或代为编制,审计人员应认真审核,并对所取得的有关文件、资料标明其具体来源
IT 审计流程
广义的审计流程是指审计机构和审计人员对审计项目从开始到结束的整个过程采取的系统性工作步骤,一般分为
- 审计准备阶段: IT 审计准备阶段是指 IT 审计项目从计划开始,到发出审计通知书为止的期间。
- 审计实施阶段。IT 审计实施阶段是审计人员将项目审计计划付诸实施的期间。
- 审计终结阶段。IT 审计终结阶段是整理审计工作底稿、总结审计工作、编写审计报告、做出审计结论的期间。
- 后续审计阶段。后续审计是在审计报告发出后的一定时间内, 审计人员为检查被审计单位对审计问题和建议是否己经采取了适当的纠正措施,并取得预期效果的跟踪审计。
IT 审计内容
IT 审计业务和服务通常分为
- IT 内部控制审计
- IT 专项审计
审计证据
| 分类 | 说明 |
|---|---|
| 充分性 | 指要求审计人员根据所获证据足以对被审计对象提出一定程度保证的结论,是对审计证据数量的要求,主要与审计人员确定的样本量有关 |
| 客观性 | 指审计证据必须是客观存在的事实材料。客观的审计证据比需要判断或解释的证据可靠相关性指审计证据与审计事项之间必须有实质性联系 |
| 可靠性 | 指审计证据能够反映和证实客观经济活动特征的程度。审计证据的可靠性受到审计证据的类型、取证的渠道和方式等因素的影响 |
| 合法性 | 指审计证据必须符合法定种类,并依照法定程序取得 |
IT 内部控制审计 主要包括组织层面 IT 控制审计、IT 一般控制审计及应用控制审计;
IT 专项审计 主要是指根据当前面临的特殊风险或者需求开展的 IT 审计,审计范围为 IT 综合审计的某一个或几个部分。
- 信息系统生命周期审计
- 信息系统开发过程审计
- 信息系统运行维护审计
- 网络与信息安全审计
- 信息系统项目审计
- 数据审计
