信息系统治理IT审计:审计方法和技术信息系统项目管理
讲师:邵宗其
知识结构图信息系统治理1.2IT治理3.2IT审计
IT审计3.2IT审计审计基础审计方法和技术审计内容审计流程
审计方法与技术1.IT审计依据与准则IT审计活动的开展需要结合相关法律法规、准则与标准。国际上发布的常用审计准则有:●信息系统审计准则(ISACA,国际信息系统审计协会发布)。●《内部控制一整体框架》报告,即通称的COso(TheCommitteeofSponsoringOrganizationsofTheNationalCommissionofFraudulentFinancialReporting,美国虚假财务报告委员会下属的发起人委员会)报告。●《萨班斯法案》(Sarbanes-OxleyAct,SOX)。SOX是美国政府出台的一部涉及会计职业监管、组织治理、证券市场监管等方面改革的重要法律。●信息及相关技术控制目标(ControlObjectivesforInformationandrelatedTechnology,COBIT)是目前国际上通用的信息及相关技术控制规范。
信息我国的IT审计相关法律法规、准则与标准如表3-7所示。类别名称法律法规《中华人民共和国审计法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等审计准则《信息系统审计指南——计算机审计实务公告第34号》《第2203号内部审计具体准则——信息系统审计》等IT审计国际标准GB/T34960.4《信息技术服务治理第4部分:审计导则》等组织内部控制《组织内部控制基本规范》《组织内部控制应用指引第18号——信息系统》等行业规范《商业银行信息科技风险管理指引》《证券期货经营机构信息技术治理工作指引(试行)》《保险公司信息化工作指引(试行)》等
信息2.IT审计常用方法IT审计方法就是为了完成IT审计任务所采取的手段。在IT审计工作中,要完成每一项审计工作,都应选择合适的审计方法。常用审计方法包括:访谈法、调查法、检查法、观察法、测试法和程序代码检查法等,如表3-8所示。分类说明?访谈法●含义:是指通过访谈人和受访人面对面地交谈来了解被审计对象的信息。依据不同研究问题的性质、目的或对象,访谈法具有不同的形式●分类:根据访谈进程的结构化程度,可将它分为结构型访谈和非结构型访谈?调查法●含义:是指为了达到预期目的,在制订调研计划的基础上,通过书面或口头回答问题的方式收集研究对象的相关资料,并做出分析、综合,得到某一结论的研究方法●目的:可能是全面把握当前状况,也可能是为了揭示存在的问题,弄清前因后果,以便为进一步的研究或决策提供观点和论据?检查法●含义:是指审计人员对被审计单位内部或外部生成的记录和文件(如纸质、电子或其他介质形式存在的资料)进行审查,或对资产进行实物审查●分类:从技术层面上可分为审阅法、核对法、复算法和分析法??观察法●含义:是审计人员到被审计单位的经营场所及其他有关场所进行实地察看,来证实审计事项的一种方法●应用:观察程序具有方向性,即从书面记录观察到实物或过程,反之,从实物或过程观察到书面记录。观察法既可以用于对通过其他方法获得的审计证据进行补充,证实审计证据,也可以用于直接收集相关证据。观察法可以比较准确地获得审计项目如何运行的信息,适用于正在进行中的审计事项???测试法●含义:通过测试来评估程序的质量是一项常用的审计技术,其基本原理是从计算机输入开始,跟踪某项业务直至计算机输出,以检验计算机应用程序、控制程序和系统可靠性。执行此类方法使用的是用于测试目的的业务数据,称之为测试数据●分类:主要包括黑盒法和白盒法。黑盒法测试是把程序看成黑盒子,完全不考虑其内部结构和处理过程,只检查程序的功能是否符合它的需求规格说明。白盒法是通过测试来检测产品内部动作是否按照规格说明书的规定正常进行,按照程序内部的结构测试程序,检验程序中的每条通路是否都能按预定要求正确工作,主要用于软件验证程序代码检查法●含义:是指对被审程序的指令逐条加以审查,以验证程序的合法性、完整性和程序逻辑的正确性●应用:审计人员可使用代码静态扫描工具进行程序代码的检查
信息常用的IT审计技术包括风险评估技术、审计抽样技术、计算机辅助审计技术及大数据审计技术。1)风险评估技术IT风险评估技术一般包括:●风险识别技术:用以识别可能影响一个或多个目标的不确定性,包括德尔菲法、头脑风暴法、检查表法、SWOT技术及图解技术等。●风险分析技术:是对风险影响和后果进行评价和估量,包括定性分析和定量分析。●风险评价技术:是在风险分析