具体计划审计程序.pptVIP

IT审计计划 第四讲 计划 计划能够帮助： 导向和控制自己的工作； 聚焦于关键领域； 分配稀缺的审计资源，用于更加重要的领域； 设置时间期限和目标，以检查工作进展； 获得足够的，可靠的，以及相关的审计证据，并且 随后帮助审计进行决策。 计划的类型 战略规划 年度计划 具体计划/审计程序 战略规划 为期 3-5 年的计划， 并且指出要点例如： 审计的目的和长期目标； 审计的优先权和相关的标准； 怎样进行审计技术和方法的再教育以适应变化的需求； 人力和设施需求，以及 培训需要。 年度计划 这把长期规划转化成为接下来一年的工作的程序。这里的计划定义了一年当中每一项主要审计任务的目的和目标，和在最高审计机关中的可供使用的资源。 具体计划 为每个独立的审计工作准备的操作计划，并且随同时间安排一起为将要实施的每一项审计工作清楚地说明了任务的详细情况。 技术计划 后勤计划 风险评估 技术规划 获得以下的总体看法： 系统暴露出的风险的性质，以及IT系统面对这些风险的薄弱点 被审计对象使用的IT系统的规模，型号，特性和复杂度（适用于财务审计） 关键的组织单元/职能； 经由系统处理的交易的主要类型和交易量； 内部审计的程度和范围； 后勤计划 包括 分配IT审计团队的职责； 规划审计的方法学，举例来说，在财务审计的环境中，系统基础的审计（SBA）或直接进行实质性测试（DST）； 确定审计覆盖的范围和程度； 制定预算（人力以及其它的资源成本），并且获得分配资源所必须的批准； 为各项任务草拟时间表； 探索获取审计证据的途径，以及 制定报告的需求 风险评估 风险管理是最高管理层的责任。这意味着识别风险的过程，评估风险，设法把风险降低到可以接受的程度，同时要考虑风险发生的可能性和影响。任何组织的三个安全目标是机密性，一致性和可用性。在审计当中，我们要评估是否这些目标中的任何一个受到了侵害，并且如果是这样，侵害到了什么程度。风险评估是一种系统化的考虑： 对业务的损害很可能源自安全故障，重视信息和其它资产的机密性，一致性或可用性受到损害后可能造成的结果； 这种故障的发生的现实可能性按照主要的威胁和薄弱点和当前实施的控制。 风险分析的步骤 列出在组织中使用的信息系统，并且把它们进行分类。 确定哪些系统对关键的职能或资产，诸如资金，原材料，客户，决策制定等产生影响，以及这些系统运行的实时性。 评估影响这些系统以及对业务有严重影响的风险是什么。 基于以上的评估，决定审计的优先级，资源，日程和频度。 风险的类型 固有风险 控制风险 检查风险 固有风险 固有风险是假定不存在相关的内部控制的情况下，信息资源或者信息系统控制的资源发生重大丢失，毁坏，泄漏，未经授权的修改，或其它损害的机会。例如与应用系统安全相关联的固有风险普遍为高，因为通过应用系统的安全漏洞发生的数据或程序的变更，乃至泄漏都可能导致管理信息的错误，或者竞争的不利。与之对照，当有适当的分析表明它没有被用于业务关键用途时，与一台孤立的个人计算机的安全相关联的固有风险一般是低 控制风险 控制风险是指可能发生在审计的区域中的重大的，个别或与其它错误相结合的错误，而没有被内部控制系统预防或检查到并及时纠正的风险。例如，与手工检查计算机日志相关联的控制风险高，这是因为由于日志信息量的庞大，需要调查的行为而经常容易发生遗漏。与计算机化的数据确认程序相关联的控制风险普遍比较低，这是因为这一过程被一贯使用 检查风险 检查风险是审计人员的实质性测试过程不能检查出可能是重大的，个别的错误或与其它错误相结合的错误的风险。例如，在一个应用系统中与识别破坏安全相关联的检查风险普遍是高，因为在开展审计时，为整个审计期间使用的日志是不可用的。与确定缺乏灾难恢复计划相关联的检查风险是低，因为存在物很容易被验证 控制简介 内部控制包括为了降低风险而设置的政策，程序，惯例和组织结构等 当前的内部控制的程度将决定要审计的应用系统的风险水平，也会决定要进行的审计的量度 审计计划备忘录 审计计划备忘录 的目的是: 定义IT审计的范围，提供支持涉及审计的范围与重点的决定的基本原理的记录，特别是在那些关键决策做出的地方； 描述审计方法的理由； 描述审计应当怎样进行；以及 提供了与其它审计人员进行沟通的手段。 审计计划备忘录的要点 被审计对象的背景 审计的目标 要检查的关键领域 资源需求 审计范围 范围定义了审计的边界。 它指出了类似以下的方面 周期和 覆盖的场所的数目和 依赖风险级别和控制薄弱点的实质性测试的程度 审计目标 审计目标应当考虑 管理层为系统设定的目标 系统是否达到了管理层设定的目标并以最好的可能的方式为业务活动提供服务 * * * IT 审计 培