IT审计的工作职责--原创.doc

IT审计工作职责及与其他审计的关系 信息系统审计的定义 信息系统审计是检查和评估自动信息处理系统和相关的非自动处理流程及两者之间的接口关系。 信息系统审计目的 信息系统审计是搜集并评价审计证据，以判断信息系统和相关的资源是否可以充分、安全地保有资产，维护数据和系统集成及其可用性；是否可以提供相关和可靠的信息，有效地利用资源，并卓有成效地实现组织目标；是否存在有效的内部控制从而合理保障业务、运作和控制目标的实现，及时的预防、发现和纠正不良事件的发生。 信息系统审计的工作职责 信息系统审计的主要工作有： 与IT部门合作，识别和分析评估IT风险，制定控制目标、标准、程序和流程；了解和分析IT控制相关的国际、国内的法律、法规和体系标准等；了解IT技术的发展，特别是信息安全技术方面的进展和信息服务管理的最佳实践； 编制IT审计计划,执行IT审计并出具审计报告，审计方式有年度IT审计和IT专项审计等，审计的内容则包括一般性控制审计（ITGC:IT General Control）和应用控制审计（ITAC:IT Application Control）等； 3.1 IT一般性控制审计 一般性控制审计包括IT整体层面的控制审计（ITELC:IT Entity-level Control）和IT活动层面的控制审计（ITALC:IT Activity-level Control）。 3.1.1 IT整体层面的控制审计 一般性控制审计的审计对象为IT治理和管理的体系框架，包括： IT组织架构、信息架构、IT战略战术计划、IT人力资源和培训、IT服务级别和第三方服务管理等控制环境等审计； IT风险评估体系审计； IT内控程序与流程、角色与职责、控制目标分析等IT内控活动及信息沟通体系等审计； IT内控质量保证、IT内部审计等IT内控监督体系审计； 3.1.2 IT活动层面的控制审计 IT活动层面的控制审计，审计对象为具体的执行性IT活动和流程，包括： 系统开发与变更管理审计：包括系统、程序和基础设施开发、获取、安装、测试与维护、系统配置、数据输入、处理和输出等管理以及变更管理流程等； 逻辑访问和系统安全审计：审计内容包括系统和网络安全、网络入侵和病毒防范、用户访问管理、物理访问管理和SoD（职责分离）等； IT运作审计，包括DRP（数据恢复和容灾）、BCP（业务连续性计划）、问题和突发事件管理等。 3.2 应用控制审计 集团主要的业务应用系统有：SAP（MM/PP/SD/FI/CO）和相关的营销（KMIS）、分销KDS、物流（TPL）和供应商管理、数据抽取和决策支持（BW、BCS、KDW）等业务应用系统，以及相关的移动应用系统等，其他应用系统包括KMS、Email、RTX、Portal等，审计工作内容包括： 分析确定应用系统的强度，评价控制弱点的影响，开发审计测试策略； 审计应用系统的数据输入的完整性、准确性、合法性等，数据处理的准确性、完整性，数据输出的保密性等相关内容。 综合审计：指依照适当的审计原则，全面评估运营、程序/流程和实体上的主要内部控制措施及其有效性。 财务审计：指审计人员对被审计单位的会计报表的合法性、公允性发表审计意见。财务审计常常需要详细的实质测试。这种类型的审计涉及到信息的完整性和可靠性。 运营审计：对企业的采购、生产、销售、财务、税务、人力资源、IT等某个特定领域的运营活动的内部控制体系进行评估。 因此，从总体上来讲，IT审计作为综合审计的一个有机组成部分（如上图所示），其角色责任主要是理解并识别诸如信息管理、IT体系、IT治理和IT运营等审计对象的风险。其他审计专业人员则要了解组织的环境、业务风险和业务控制。综合审计方法的一个关键部分是整个审计团队讨论风险、风险的影响和发生的可能性。 五、IT审计与其它审计的关系与权限区隔 5.1 IT整体层面的控制审计与其它审计的关系 一般说来，IT一般性控制审计中的整体层面的控制审计基本也属于运营审计的范畴，但由于IT治理的独特性，且其主要关注的是IT直接相关的运营活动，比如整体性运营审计也关注人力资源管理，但IT审计则只关注IT人员与系统用户相关的人力资源管理控制。此部分的IT审计职能基本上与其它审计还是并行关系，当该部分的审计活动涉及到集团的整体性治理与控制时，则可以将IT整体层面的控制审计作为整体性运营审计的一部分。 5.2 IT活动层面的控制审计与其它审计的关系 IT一般性控制审计中的IT活动层面的控制审计主要关注的是具体的IT活动，具体说来有： 系统开发与变更管理审计、IT运作审计关注信息系统本身的开发、变更管理、灾难恢复和业务连续性管理等流程，是保证信息系统完整、准确的、可用和可靠的具体内部