信息系统治理IT审计基础信息系统项目管理
讲师:邵宗其
知识结构图信息系统治理1.2IT治理3.2IT审计
IT审计3.2IT审计审计基础审计方法和技术审计内容审计流程
审计随着大数据、云计算、人工智能、移动互联网、物联网等新一代信息技术快速普及和深入应用,以及商业新模式、制造新模式、运行新模式等的出现和迅速繁荣,在给组织带来快速发展的同时,也加大了组织的IT风险。为了有效控制IT风险,有必要对组织的信息系统治理及IT内控与管理等开展IT审计,充分发挥IT审计监督的作用,提高组织的信息系统治理水平,促进组织信息系统治理目标的实现。
审计基础IT审计对组织IT目标的达成以及组织战略目的实现具备重要的作用,这与人们通常所说的传统审计的重要性概念不同。传统审计的重要性是指被审计单位会计报表中错报或漏报的严重程度,这一严重程度在特定环境下可能影响会计报表使用者的判断或决策。传统审计在量上表现为审计重要性水平,也就是被审计单位财务报表中可能存在的不影响报表使用者做出决策和判断的错报及漏报最大限额。IT审计重要性是指IT审计风险(固有风险、控制风险、检查风险)对组织影响的严重程度,如:财务损失、业务中断、失去客户信任、经济制裁等。
审计的定义IT审计经过多年的发展,国内外机构对IT审计从不同角度进行了描述,目前主流的IT审计定义如表3-3所示。机构/标准名称定义国际信息系统审计协会IT审计是一个获取并评价证据,以判断计算机系统是否能够保证资(InformationSystemsAuditand产的安全、数据的完整以及有效利用组织的资源并有效实现组织目ControlAssociation,ISACA)标的过程国际货币基金组织(InternationalMonetaryFund,IMF)IT审计是对计算机化的系统进行审计,不仅是对现有信息系统的控制,还包括对系统建立过程、计算机设备和网络管理等方面的控制最高审计机关国际组织IT审计是一个通过获取并评估证据,以判断IT系统是否保护组织(InternationalOrganizationofSupreme的资产,有效地利用组织的资源,保障数据的安全性和一致性,以AuditInstitutions,INTOSAI)及有效地达到组织业务目标的过程GB/T34690.4《信息技术服务治理第4部分:审计导则》IT审计是根据IT审计标准的要求,对信息系统及相关的IT内部控制和流程进行检查、评价,并发表审计意见
审计的目的IT审计的目的是指通过开展IT审计工作,了解组织IT系统与IT活动的总体状况,对组织是否实现IT目标进行审查和评价,充分识别与评估相关IT风险,提出评价意见及改进建议,促进组织实现IT目标。组织的IT目标主要包括:①组织的IT战略应与业务战略保持一致;②保护信息资产的安全及数据的完整、可靠、有效;③提高信息系统的安全性、可靠性及有效性;④合理保证信息系统及其运用符合有关法律、法规及标准等的要求。
审计的范围一般来说,IT审计范围需要根据审计目的和投入的审计成本来确定。在确定审计范围时,除了考虑前面提及的审计内容外,还需要明确审计的组织范围、物理位置以及信息系统相关逻辑边界。IT审计范围的确定如表3-4所示。在实际的应用实践中,审计人员在实施IT审计项目前,应先对组织与信息系统相关的总体情况进行了解和风险评估,确定主要IT风险,如与环境控制相关的风险、与系统相关的风险、与数据相关的风险等,然后根据确定的风险来判断哪些控制、流程对组织的影响比较大,并结合审计项目预计的时间、配备的审计力量等来确定重点审计范围。IT审计范围说明总体范围需要根据审计目的和投入的审计成本来确定组织范围明确审计涉及的组织机构、主要流程、活动及人员等物理范围具体的物理地点与边界逻辑范围涉及的信息系统和逻辑边界其他相关内容……
审计的人员根据GB/T34690.4《信息技术服务治理第4部分:审计导则》,对IT审计人员的要求包括职业道德、知识、技能、资格与经验、专业胜任能力及利用外部专家服务等方面,如表3-5所示。分类具体要求?职业道德●在执业过程中保持独立、客观、公正●在执业过程中保持正直、诚实和守信●正确履行审计职责(其中包括遵守相应的职业审计标准)●对在实施IT审计业务中所获取的信息负有保密责任?知识、技能、资格与经验●掌握与IT相关的专业知识和技能●掌握审计、财务及管理等通用知识和技能●拥有与IT审计工作相关的基本技能、专业技能和软技能●拥有与所处管理或业务岗位相适应的IT审计职业资格及经验?专业胜任能力●具备相应的IT审计专业胜任能力●拥有与所处管理或业务岗位相适应的IT审计职业资格