浅议IT审计.docVIP

浅议IT审计 　　一、IT审计概述 　　IT审计是一个通过收集和评价审计证据，对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。 　　IT审计过程与一般审计过程一样，分为准备阶段、实施阶段和报告阶段。其中，准备阶段和报告阶段所涉及的技术方法与财务审计所运用的技术方法区别不大，而实施阶段所涉及的技术方法则具有信息技术的特色。在实施阶段，针对被审计的信息系统，审计人员所开展的工作可以分为三个层次，即了解、描述和测试。 　　计算机信息系统环境下审计技术方法与手工环境下传统的审计技术方法相比，相应增加了计算机技术的内容。对IT审计的方法既包括一般方法即手工方法，也包括应用计算机审计的方法。IT审计的一般方法主要用于对信息系统的了解和描述，包括：面谈法、系统文档审阅法、观察法、计算机系统文字描述法、表格描述法、图形描述法等。应用计算机的方法一般用于对信息系统的控制测试，包括：测试数据法、平行模拟法、在线连续审计技术（通过嵌入审计模块实现）、综合测试法、受控处理法和受控再处理法等。应用计算机技术的审计方法主要是指计算机辅助审计技术与工具的运用。但不能把计算机辅助审计技术与工具的使用过程与IT审计等同起来。在IT审计的过程中，仍然需要运用大量的手工审计技术。 　　二、国内IT审计现状及其未来发展 　　随着IT技术在企业业务和管理中的广泛运用，IT逐渐从传统的后台支持而步入前台，成为企业竞争的重要支撑，企业凭借信息系统的强大功能优势，完成其业务的自动化，但与此同时，从信息系统安全性、效率性、合规性方面都存在风险，传统的控制、管理、检查和审计技术都受到了巨大的挑战。 　　其次，从应用企业类型来看，目前IT审计主要集中在信息化程度要求较高、生产安全紧密相关的单位。 　　企业对于IT审计人才的培养也处于初级阶段，目前的状况是懂IT的人才不少，但是这些专业人才往往缺少对企业的业务、审计的相关知识。 　　基于COBIT的IT综合审计是目前IT审计界的一个技术新趋势，COBIT着眼于与企业业务密切相关的IT资源的审计与评估，通过对IT审计流程的分析解剖，确认IT事件审计风险点、控制目标，从业务效果、效率、保密性、完整性、可用性、合规性、可靠性多个维度给出IT审计评价。以COBIT为基础是IT审计的重要发展方向。 　　IT审计（IT审计）实施方法简单概括一下： 　　1）IT审计总体框架 　　以监管部门的监管要求为基础，并将其与COBIT的IT治理控制框架进行整合，IT审计范围可包括IT原则、IT架构、IT基础设施、IT应用、IT投入等方面的制度建设和执行情况。 　　2）制定IT审计方案 　　IT审计应在行业信息技术特点和监管部门要求的基础上，将信息技术审计过程控制表按照COBIT四个控制领域，即规划与组织、获取与实施、交付与支持、监控与评价，进行划分和完善，形成包含34个高级控制流程、438个详细控制活动的审计方案和审计指南。 　　3）IT审计实施 　　IT审计实施过程按照审计控制域与IT管理职能、IT系统进行交叉，通过现场访谈、问卷调查和IT相关控制测试等不同的方式展开，最终归纳和整理形成了不同专业领域的IT审计底稿。 　　4）审计报告 　　重点对IT审计发现的事项进行描述，并被审计方进行确认，以审慎的态度验证审计发现的准确性与合理性。在被审计方确认审计发现的基础上，对所有审计发现进行汇总，出具IT审计报告。 　　三、针对国内IT审计针对性问题的合理对策 　　（一）信息系统的设计和开发没考虑审计的需求 　　IT审计进入我国较晚，较长一段时间以来，人们对它的认识还不全面、系统，信息产业更是缺乏对IT审计思想及必要性的认识，使得系统审计职能一直没有真正进入信息系统工程领域，在信息系统建设过程中，在系统的设计、开发环节没有考虑系统审计的需求，导致目前常规的IT审计方法与技术在具体实施过程中屡屡碰壁，证据取得困难，程序追踪困难，审计过程效率低、效果差。 　　同时有相当一部分信息系统的设计者、开发者认为软件测试可以取代IT审计。其实，测试只要求功能的实现，而审计需要功能的规范实现，要考虑更多的企业内部控制的需求。另外，系统测试只在软件开发阶段有效，而审计是覆盖信息系统整个生命周期的，因此，信息系统测试不能代替IT审计。 　　（二）IT审计人才匮乏 　　IT审计归根结底是从传统财务审计衍生出来的一种新审计分支，从业人员多数也是从传统审计转化而来。但是，IT审计涉及审计学、信息科学、系统科学等学科，是一个多学科交叉的新领域，对从业人员提出了更高的要求，需要同时具备相关知识的复合型人才。 　　四、IT审计对策 　　（一）深化对IT