3.4 IT审计(流程、内容)
- 随着大数据、云计算、人工智能、移动互联网、物联网等新一代信息技术快速普及和深入应用,以及商业新模式、制造新模式、运行新模式等的出现和迅速繁荣,在给组织带来快速发展的同时,也加大了组织的IT 风险。
- 为了有效控制IT 风险,有必要对组织的信息系统治理及IT内控与管理等开展IT审计,充分发挥IT 审计监督的作用,提高组织的信息系统治理水平促进组织信息系统治理目标的实现。
3.4.1 审计流程
- 审计流程是指审计人员在具体审计过程中采取的行动和步骤。
- 科学、规范的审计流程不但是分配审计工作的具体依据,还是控制审计工作的有效工具,并同时具有的作用包括:
- 有效地指导审计工作;
- 有利于提高审计工作效率;
- 有利于保证审计项目质量;
- 有利于规范审计工作。
- 通常,审计流程的含义有广义和狭义两种之分。狭义的审计流程是指审计人员在取得审计证据、完成审计目标、得出审计结论过程中所采取的步骤和方法。
- 广义的审计流程是指审计机构和审计人员对审计项目从开始到结束的整个过程采取的系统性工作步骤,一般分为审计准备、审计实施、审计终结及后续审计四个阶段,每个阶段又包含若干具体内容。
(1)审计准备阶段。
- IT 审计准备阶段是指IT 审计项目从计划开始,到发出审计通知书为止的期间。
- 准备阶段是整个审计过程的起点和基础,准备阶段的工作是否充分、合理、细致,对提高审计工作效率,保证审计工作质量至关重要。
- 准备阶段工作一般包括:①明确审计目的及任务;②组建审计项目组;③搜集相关信息;④编制审计计划等。
(2)审计实施阶段。
- IT 审计实施阶段是审计人员将项目审计计划付诸实施的期间。
- 此阶段的工作是审计全过程的中心环节,是整个审计流程的关键阶段,关系到整个审计工作的成败。
- 实施阶段主要完成工作包括: ①深入调查并调整审计计划;②了解并初步评估IT 内部控制;③进行符合性测试;④进行实质性测试等。
(3)审计终结阶段。
- IT 审计终结阶段是整理审计工作底稿、总结审计工作、编写审计报告做出审计结论的期间。
- 审计人员应运用专业判断,综合分析所收集到的相关证据,以经过核实的审计证据为依据,形成审计意见、出具审计报告。
- 终结阶段的工作一般包括: ①整理与复核审计工作底稿;②整理审计证据;③评价相关IT 控制目标的实现;④判断并报告审计发现;⑤沟通审计结果;⑥出具审计报告;⑦归档管理等。
(4)后续审计阶段。
- 后续审计是在审计报告发出后的一定时间内,审计人员为检查被审计单位对审计问题和建议是否已经采取了适当的纠正措施,并取得预期效果的跟踪审计。
- 后续审计并不是一次新的审计,而是前一次审计的有机组成部分。
- 实施后续审计,可不必遵守审计流程的每一过程和要求,但必须依法依规进行检查、调查,收集审计证据,写出后续审计报告。
3.2.4 审计内容
IT审计业务和服务通常分为IT内部控制审计和IT专项审计。IT内部控制审计主要包括组织层面IT控制审计、IT一般控制审计及应用控制审计:IT 专项审计主要是指根据当前面临的特殊风险或者需求开展的IT审计,审计范围为IT 综合审计的某一个或几个部分。有关IT内部控制审计与IT专项审计的具体内容如表3-13所示。
针对信息系统项目的专项审计,其目标是通过对信息系统项目管理过程的评价,向管理层提供信息系统项目管理过程得到控制、监督并遵循最佳实践要求的合理保证。信息系统项目管理审计内容与方法举例如表3-14所示。