IT审计

对象范围
IT审计书籍

IT审计设计整个信息系统的生命周期,IT审计不是单纯强调对软硬件的审计。它的审计对象涵盖整个信息系统所有活动和中间产物,并包括信息系统实施相关的外部环境。一般来说,对企业实施IT审计的对象有:本企业内的IT审计师、外部IT审计事务所委托审计师和国家审计机构。IT审计按照信息系统的生命周期分为业务计划审计,业务开发审计、业务执行审计和业务维护审计以及涵盖整个信息系统周期的共通业务审计

1、业务计划审计主要面向信息系统的企划,对信息系统的投资可行性,系统规划与公司战略的相关性,系统开发计划的可行性以及系统需求的完整性和正确性进行审核和验证。

2、业务开发审计对信息系统开发的各个阶段的相关人员的活动、信息、中间产物进行审核,确认这些活动、信息和中间产物的规范性、有效性和对于信息系统目标的针对性。

3、业务执行审计确认与信息系统运行相关的数据、软硬件、安装环境等是否符合信息系统的运营要求,同时对信息系统的功能、性能、易用度、可操作性等进行评估。

4、业务维护审计对信息系统的维护活动和维护结果实施审核和评价。发现在维护中可能出现的各种漏洞和信息系统维护中急待改善的问题。

5、共通业务审计涉及文档管理、进度管理、人员管理采购管理风险管理等,检查这些过程的规范性和有效性,并提出改良建议。

审计制度

作为企业,建立一个完善的IT审计制度需要做到以下几点:
(1)IT审计师是跨信息技术审计技术的复合型人才,要实施企业的IT审计制度,必须重视和培养合格的IT审计师;

(2)企业应该建立相应的IT审计部门或审计岗位,确定其部门和岗位职责,并将之置于企业经营者的直接管理之内;

(3)企业应该制定相应的IT审计准则、实施报表、报告等进行IT审计所必须的凭据;
只得一提的是,企业在建立IT审计制度时应当遵循国家相关IT审计的法规并结合本企业的业务实际进行。企业的IT审计制度不是一成不变的,根据具体企业营运情况可以在每个审计年度终结后新的审计年度开始前做相应的修改和增删。  

主要计划
IT审计指示图
IT审计的实施需要制定相应的计划,明确IT审计的任务、采用的方法和预期应当达到的效果。该计划在提交经营层确认后得以实施。IT审计审计计划分为两种类型:基本计划和详细计划(又称分期计划)。

1、基本计划是一个审计年度内相关IT审计活动的计划,确认年度内IT审计的各项任务及其大致时间安排。基本计划需要提交经营层批准。它是对整个IT审计年度的活动指引方针。内容包括:审计对象、审计场所、审计原则、日程安排等。

2、详细计划(分期计划)针对具体项目(系统)或任务,得到IT审计部门领导的许可即可,详细计划需要告知被审计对象。详细计划的内容包括:审计对象、目的、审计流程、审计要点、审计时间、相关人员、审计报告提交事项等内容。

注意事项

作为企业,建立一个完善的IT审计制度需要做到以下几点:

(1)IT审计师是跨信息技术审计技术的复合型人才,要实施企业的IT审计制度,必须重视和培养合格的IT审计师;

(2)企业应该建立相应的IT审计部门或审计岗位,确定其部门和岗位职责,并将之置于企业经营者的直接管理之内;

(3)企业应该制定相应的IT审计准则、实施报表、报告等进行IT审计所必须的凭据;

企业在建立IT审计制度时应当遵循国家相关IT审计的法规并结合本企业的业务实际进行。企业的IT审计制度不是一成不变的,根据具体企业营运情况可以在每个审计年度终结后新的审计年度开始前做相应的修改和增删。

对中国影响
IT审计会议
勿庸讳言,技术审计至今未能脱离财务审计管理审计而单独存在。然而,尽管技术审计尚未独立为现代审计的第三分支,但“技术审计”概念的提出仍然极具积极意义。技术审计反映了科技与审计、科技与经济管理相互融合与渗透的时代特点,要求审计人员既要掌握经济管理知识,又要掌握科学技术。现代审计管理领域和技术领域渗透,是不以人的意志为转移的必然趋势。也许将来技术审计会成为与财务审计管理审计相并列的第三大分支。

在不久的将来,无论是国家审计内部审计还是注册会计审计,不懂IT技术必然遭遇灾难性风险,离开IT审计将寸步难行。国际著名会计公司德勤会计师行的高级合伙人鲍威尔先生指出,全世界即将迎来管理领域信息化的高潮。信息技术对传统管理控制的挑战是空前的,主要表现在三个方面:一是内部控制环节的变化,许多传统的控制手段已经失去意义,评价和改进内部控制必须以信息系统的运转为基础;二是管理风险增加,由于企业经营越来越依赖于信息系统,除了传统意义上的经营风险控制风险财务风险之外,企业信息系统安全性导致的信息技术风险日益增长;三是对复合性高级人才的需求骤增,要求管理者、审计师和咨询人员必须在精通管理和专业的同时熟悉信息系统和网络技术

信息技术的发展对中国注册会计师和会计师事务所提出了更高的要求。国际同行的业务收入中,传统的财务审计服务所占收入比例正在迅速下降,风险控制服务管理咨询服务收入的比重大大提高,而这些收入增长的部分往往又和IT环境审计、信息系统安全审计服务技术审计有关。可以断言:在整个社会信息化程度迅速提高的今天,如果中国的会计师事务所不及早作好IT技术方面的人才准备,不仅谈不上和五大著名的国际会计师事务所竞争,而且连国内的市场也会丧失殆尽。

参考资料

[1] 希赛 http://audit.csai.cn/college/200610110851221986.htm
[2] IT168 http://cio.it168.com/i/2007-05-08/200705081033437.shtml