系统审计与控制SAC报告.docVIP

IT 审计简介: 学员资料 PAGE PAGE 1 INTOSAI IT审计委员会 IT 审计简介 学员资料2007年3月  目录 TOC \o 1-1 \u 1 IT 审计简介 PAGEREF _Toc159580698 \h 3 2 IT 审计的类型 PAGEREF _Toc159580699 \h 4 3 IT 审计过程 PAGEREF _Toc159580700 \h 6 4 IT 审计计划 PAGEREF _Toc159580701 \h 9 5 审计实施 PAGEREF _Toc159580702 \h 21 6 报告与后续审计 PAGEREF _Toc159580703 \h 33 7 质量保证 PAGEREF _Toc159580704 \h 34 8 外部咨询顾问的使用 PAGEREF _Toc159580705 \h 38 9 IT 审计标准与框架 PAGEREF _Toc159580706 \h 49 附件 1 和附件 2 36  IT审计简介 IT审计的定义 IT审计通常可以被定义为：通过获得和评估证据，确定IT系统是否保护了组织的资产，有效率地使用资源，维持数据的安全性和一致性，以及有效地达到组织的业务目标的过程。 IT审计的必要性 随着计算机在各种各样的有着从交易处理和财务会计到决策支持和数据挖掘系统等不同目标的组织，甚至是小型政府中的广泛使用，对于审计人员来说，专门考虑被审计单位的IT系统对审计人员的审计方法和在审计测试中采用的技术的影响变得势在必行。虽然审计的基本目标保持一样，实际上接受委托审计IT系统的人员在理解和记录IT系统，评估与这些系统相关联的风险和克服/最小化这些风险的控制的足够性等方面获得了足够的知识和技能。 审计关注IT系统的使用 由于被审计单位组织越来越多地使用信息技术以使其操作自动化，审计人员必须评估与使用这些系统相关联的风险和它们面临这些风险时的薄弱点。其中一些与使用这些IT系统有关的风险包括： 内部控制环境的变更； 由于匿名用户带来的责任缺失； 未经授权的和未记录下来的数据修改的可能性； 看得见的审计痕迹和/或纸质文件的缺失； 审计证据的变化； 数据复制/无内容数据的可能性； 出现欺诈和错误的新机会和机制； 分布式数据处理和存储； 关键业务信息的机密性和一致性； 由于组织内部或组织之间的通讯，特别是因特网增加的风险；以及 系统故障/宕机 IT审计的类型 IT审计是一个宽泛的术语，依据预先设定的审计目标，既包括在IT环境下的财务审计和VFM审计，也包括对IT系统的绩效审计。形式上，为了把它与IT系统的审计区分开，“IT审计”也被称为“IT环境下的审计”。然而，共同的因素是形成一个关于能够放置在被审计单位组织的IT系统中的依赖程度的看法。 IT审计的一些不同类型包括以下这些： 控制检查 对IT系统中手工的和自动化的控制的详细检查，目标是评估通过系统处理的交易和生成的报告的依赖程度 对财务系统的审计 对IT系统加工/产生的财务报表进行审计，以发表审计意见为目的 IT系统的绩效审计或VFM审计 检查IT系统，以评估实施系统的预期目标是否都已经有效地达到，关于经济和功效 对正在开发的系统的审计 与IT系统开发过程同步审计，以评估是否： 系统的规划、涉及和开发是在受控的环境中按照成体系的风格完成的，并且符合特定的方法学； 在系统开发过程中的各个阶段，都考虑了适当且有效的控制；以及 系统提供了一套适当的审计线索。 舞弊审计 在可疑的欺诈、违法行为或违反公司政策和程序的情形中，通过以下进行调查以收集审计证据： 运用恰当的工具/设备从嫌疑人使用的计算机设备（包括PDA，移动电话等）中以合法的方式检索数据；以及 分析收集到的数据以确定违反行为的程度和涉及的责任人。 安全审计 对IT系统中的安全控制进行审计以评估维护的数据和系统的机密性、一致性和可用性的程度，与IT系统和组织的风险预期是相称的。 计算机辅助审计技术（CAATs） 运用自动化的审计工具和软件去： 从被审计单位的IT系统中下载数据； 为达到传统的审计目标（财务审计或绩效审计）分析被审计单位的数据；以及 对IT系统中的程序和编码的确认。 在一个最高审计机关中IT的其它应用包括支持功能的自动化，如审计计划、文档、管理和报告。 IT审计过程 IT审计过程通常包括下面的步骤： 计划 控制评估 证据收集与评估 报告与后续审计 这一过程在下面做一图形化描述。  启动 启动 确定需要审计的系统/应用