1.?到底什么是IT審計(jì)?
IT審計(jì)是檢查和評估自動信息處理系統(tǒng)和相關(guān)的非自動處理流程及兩者之間的接口關(guān)系。是獨(dú)立于信息系統(tǒng)本身、信息系統(tǒng)相關(guān)開發(fā)、使用人員的第三方-IT審計(jì)師采用客觀的標(biāo)準(zhǔn)對信息系統(tǒng)的策劃、開發(fā)、使用維護(hù)等相關(guān)活動和產(chǎn)物進(jìn)行完整地、有效地檢查和評估。
2.?IT審計(jì)的目的是什么?
IT審計(jì)是搜集并評價(jià)審計(jì)證據(jù),以判斷信息系統(tǒng)和相關(guān)的資源是否可以充分、安全地保有資產(chǎn),維護(hù)數(shù)據(jù)和系統(tǒng)集成及其可用性;是否可以提供相關(guān)和可靠的信息,有效地利用資源,并卓有成效地實(shí)現(xiàn)組織目標(biāo);是否存在有效的內(nèi)部控制從而合理保障業(yè)務(wù)、運(yùn)作和控制目標(biāo)的實(shí)現(xiàn),及時(shí)的預(yù)防、發(fā)現(xiàn)和糾正不良事件的發(fā)生。
3.?IT審計(jì)主要工作職責(zé)有哪些?
IT審計(jì)的主要工作有:
??與IT部門合作,識別和分析評估IT風(fēng)險(xiǎn),制定控制目標(biāo)、標(biāo)準(zhǔn)、程序和流程;了 解和分析IT控制相關(guān)的國際、國內(nèi)的法律、法規(guī)和體系標(biāo)準(zhǔn)等;了解IT技術(shù)的發(fā)展,特別是信息安全技術(shù)方面的進(jìn)展和信息服務(wù)管理的最佳實(shí)踐;
??編制IT審計(jì)計(jì)劃,執(zhí)行IT審計(jì)并出具審計(jì)報(bào)告,審計(jì)方式有年度IT審計(jì)和IT專項(xiàng)審計(jì)等,審計(jì)的內(nèi)容則包括一般性控制審計(jì)(ITGC:IT??)和應(yīng)用控制審計(jì)(ITAC:IT??)等。
3.1?IT一般性控制審計(jì)
一般性控制審計(jì)包括IT整體層面的控制審計(jì)(ITELC:IT?-level?)和IT活動層面的控制審計(jì)(ITALC:IT?-level?)。
3.1.1?IT整體層面的控制審計(jì)
一般性控制審計(jì)的審計(jì)對象為IT治理和管理的體系框架it服務(wù)管理體系 文檔,包括:
??IT組織架構(gòu)、信息架構(gòu)、IT戰(zhàn)略戰(zhàn)術(shù)計(jì)劃、IT人力資源和培訓(xùn)、IT服務(wù)級別和第三方服務(wù)管理等控制環(huán)境等審計(jì);
??IT風(fēng)險(xiǎn)評估體系審計(jì);
??IT內(nèi)控程序與流程、角色與職責(zé)、控制目標(biāo)分析等IT內(nèi)控活動及信息溝通體系等 審計(jì);
??IT內(nèi)控質(zhì)量保證、IT內(nèi)部審計(jì)等IT內(nèi)控監(jiān)督體系審計(jì);
3.1.2?IT活動層面的控制審計(jì)
IT活動層面的控制審計(jì)it服務(wù)管理體系 文檔,審計(jì)對象為具體的執(zhí)行性IT活動和流程,包括:
??系統(tǒng)開發(fā)與變更管理審計(jì):包括系統(tǒng)、程序和基礎(chǔ)設(shè)施開發(fā)、獲取、安裝、測試與 維護(hù)、系統(tǒng)配置、數(shù)據(jù)輸入、處理和輸出等管理以及變更管理流程等;
??邏輯訪問和系統(tǒng)安全審計(jì):審計(jì)內(nèi)容包括系統(tǒng)和網(wǎng)絡(luò)安全、網(wǎng)絡(luò)入侵和病毒防范、 用戶訪問管理、物理訪問管理和SoD(職責(zé)分離)等;
??IT運(yùn)作審計(jì),包括DRP(數(shù)據(jù)恢復(fù)和容災(zāi))、BCP(業(yè)務(wù)連續(xù)性計(jì)劃)、問題和突 發(fā)事件管理等。
3.2?應(yīng)用控制審計(jì)
集團(tuán)主要的業(yè)務(wù)應(yīng)用系統(tǒng)有:SAP(MM/PP/SD/FI/CO)和相關(guān)的營銷(KMIS)、分銷KDS、物流(TPL)和供應(yīng)商管理、數(shù)據(jù)抽取和決策支持(BW、BCS、KDW)等業(yè)務(wù)應(yīng)用系統(tǒng),以及相關(guān)的移動應(yīng)用系統(tǒng)等,其他應(yīng)用系統(tǒng)包括KMS、Email、RTX、等,審計(jì)工作內(nèi)容包括:
??分析確定應(yīng)用系統(tǒng)的強(qiáng)度,評價(jià)控制弱點(diǎn)的影響,開發(fā)審計(jì)測試策略;
??審計(jì)應(yīng)用系統(tǒng)的數(shù)據(jù)輸入的完整性、準(zhǔn)確性、合法性等,數(shù)據(jù)處理的準(zhǔn)確性、完整 性,以及數(shù)據(jù)輸出的保密性等相關(guān)內(nèi)容。
??審計(jì)應(yīng)用系統(tǒng)的安全、用戶管理和SoD等;
??審計(jì)應(yīng)用系統(tǒng)文件,包括應(yīng)用程序開發(fā)文檔:需求分析、設(shè)計(jì)、編程和程序變更等文檔,以及用戶手冊,維護(hù)支持和服務(wù)等文檔;
??審計(jì)應(yīng)用系統(tǒng)的開發(fā)、實(shí)施和項(xiàng)目管理過程等;
4、IT審計(jì)與其他類型審計(jì)有何關(guān)系?
綜合審計(jì):指依照適當(dāng)?shù)膶徲?jì)原則,全面評估運(yùn)營、程序/流程和實(shí)體上的主要內(nèi)部控制措施及其有效性。
財(cái)務(wù)審計(jì):指審計(jì)人員對被審計(jì)單位的會計(jì)報(bào)表的合法性、公允性發(fā)表審計(jì)意見。財(cái)務(wù)審計(jì)常常需要詳細(xì)的實(shí)質(zhì)測試。這種類型的審計(jì)涉及到信息的完整性和可靠性。
運(yùn)營審計(jì):對企業(yè)的采購、生產(chǎn)、銷售、財(cái)務(wù)、稅務(wù)、人力資源、IT等某個特定領(lǐng)域的運(yùn)營活動的內(nèi)部控制體系進(jìn)行評估。
因此,從總體上來講,IT審計(jì)作為綜合審計(jì)的一個有機(jī)組成部分(如上圖所示) ,其角色責(zé)任主要是理解并識別諸如信息管理、IT體系、IT治理和IT運(yùn)營等審計(jì)對象的風(fēng)險(xiǎn)。其他審計(jì)專業(yè)人員則要了解組織的環(huán)境、業(yè)務(wù)風(fēng)險(xiǎn)和業(yè)務(wù)控制。綜合審計(jì)方法的一個關(guān)鍵部分是整個審計(jì)團(tuán)隊(duì)討論風(fēng)險(xiǎn)、風(fēng)險(xiǎn)的影響和發(fā)生的可能性。
4.1?IT整體層面的控制審計(jì)與其它審計(jì)的關(guān)系
一般說來,IT一般性控制審計(jì)中的整體層面的控制審計(jì)基本也屬于運(yùn)營審計(jì)的范疇,由于IT治理的獨(dú)特性,且其主要關(guān)注的是IT直接相關(guān)的運(yùn)營活動,比如整體性運(yùn)營審計(jì)也關(guān)注人力資源管理,但I(xiàn)T審計(jì)則只關(guān)注IT人員與系統(tǒng)用戶相關(guān)的人力資源管理控制。此部分的IT審計(jì)職能基本上與其它審計(jì)還是并行關(guān)系,當(dāng)該部分的審計(jì)活動涉及到集團(tuán)的整體性治理與控制時(shí),則可以將IT整體層面的控制審計(jì)作為整體性運(yùn)營審計(jì)的一部分。
4.2?IT活動層面的控制審計(jì)與其它審計(jì)的關(guān)系
IT一般性控制審計(jì)中的IT活動層面的控制審計(jì)主要關(guān)注的是具體的IT活動,具體說來有:? 系統(tǒng)開發(fā)與變更管理審計(jì)、IT運(yùn)作審計(jì)關(guān)注信息系統(tǒng)本身的開發(fā)、變更管理、災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性管理等流程,是保證信息系統(tǒng)完整、準(zhǔn)確的、可用和可靠的具體內(nèi)部控制措施,與其他運(yùn)營審計(jì)和財(cái)務(wù)審計(jì)有很清晰的界限;? 邏輯訪問控制、物理訪問管理和SoD(職責(zé)分離)主要關(guān)注的是系統(tǒng)中,信息的輸入、輸出時(shí)的權(quán)限劃分,可以認(rèn)為是IT運(yùn)營控制措施在信息系統(tǒng)應(yīng)用中的具體體現(xiàn),因此也屬于運(yùn)營審計(jì)的范疇。在執(zhí)行此部分的審計(jì)時(shí),可以把其它運(yùn)營審計(jì)的結(jié)果作為該部分審計(jì)的輸入。因此,在審計(jì)的執(zhí)行方法上,可以由IT審計(jì)與其它審計(jì)人員共同完成,也可以由IT審計(jì)人員在充分的考慮業(yè)務(wù)控制和職責(zé)劃分的基礎(chǔ)上完成。? 系統(tǒng)和網(wǎng)絡(luò)安全、網(wǎng)絡(luò)入侵和病毒防范等其它的安全控制審計(jì)則很顯然更關(guān)注信息技術(shù)本身。
4.3 IT應(yīng)用控制審計(jì)與其它審計(jì)的關(guān)系
IT應(yīng)用控制審計(jì)主要關(guān)注應(yīng)用系統(tǒng)本身的邏輯訪問控制和應(yīng)用處理的準(zhǔn)確、完整等有效性,同時(shí)關(guān)注應(yīng)用系統(tǒng)的全生命周期的過程管理。
4.3.1應(yīng)用處理的有效性審計(jì)與其它審計(jì)的關(guān)系
應(yīng)用處理有效性的控制與一般性控制中的邏輯訪問(如權(quán)限)控制類似,是運(yùn)營控制措施在信息系統(tǒng)應(yīng)用中的具體體現(xiàn),屬于運(yùn)營審計(jì)的范疇。主要表現(xiàn)在:? 應(yīng)用系統(tǒng)數(shù)據(jù)的輸入控制確保只有合法的、經(jīng)授權(quán)的信息被輸入系統(tǒng),主要體現(xiàn)業(yè)務(wù)處理的職責(zé),數(shù)據(jù)程序處理則是業(yè)務(wù)處理規(guī)則和流程在系統(tǒng)中的實(shí)現(xiàn),數(shù)據(jù)輸出控制保證數(shù)據(jù)以安全、一致和要求的格式呈現(xiàn)給用戶,體現(xiàn)了安全技術(shù)要求和業(yè)務(wù)本身的規(guī)則和約束兩個方面。? 在執(zhí)行此部分的審計(jì)時(shí),可以把其它運(yùn)營審計(jì)的結(jié)果作為該部分審計(jì)的輸入,即如果某項(xiàng)業(yè)務(wù)流程以IT流程來實(shí)現(xiàn),則其他審計(jì)人員主要關(guān)注業(yè)務(wù)操作和流程本身是否符合內(nèi)控和財(cái)務(wù)規(guī)范,業(yè)務(wù)操作的結(jié)果輸出是否完整、正確,而IT審計(jì)則相應(yīng)的判斷業(yè)務(wù)操作和流程在系統(tǒng)中是否進(jìn)行了正確的匹配。
4.3.2應(yīng)用處理邏輯訪問控制與其它審計(jì)的關(guān)系
與一般性控制中的邏輯訪問控制類似,應(yīng)用處理邏輯訪問控制,也屬于運(yùn)營審計(jì)范疇,不同的是一般性控制中的邏輯訪問控制與IT系統(tǒng)管理等業(yè)務(wù)運(yùn)營的責(zé)任和權(quán)限相關(guān),而應(yīng)用控制中的邏輯訪問控制關(guān)注的是采購、銷售、生產(chǎn)、財(cái)務(wù)等業(yè)務(wù)運(yùn)營的責(zé)任和權(quán)限相關(guān)。在審計(jì)執(zhí)行方式上相類似。
4.3.3應(yīng)用系統(tǒng)的全生命周期的過程管理審計(jì)與其它審計(jì)的關(guān)系
應(yīng)用系統(tǒng)的全生命周期的過程管理包括應(yīng)用系統(tǒng)的需求、設(shè)計(jì)、開發(fā)和變更、實(shí)施、支持等全過程管理和相應(yīng)的過程文檔的管理和控制等。此部分的審計(jì)與安全控制審計(jì)類似,更關(guān)注信息技術(shù)本身。
總之,應(yīng)用控制審計(jì)與其他審計(jì)可以簡單的歸納為:應(yīng)用控制審計(jì)關(guān)注業(yè)務(wù)控制、操作和流程規(guī)則在系統(tǒng)中的匹配和處理是否正確,而其他審計(jì)則關(guān)注業(yè)務(wù)控制、操作和流程規(guī)則以及業(yè)務(wù)的結(jié)果輸出本身是否符合財(cái)務(wù)和內(nèi)控措施。同時(shí)IT審計(jì)需要關(guān)注IT安全及信息技術(shù)的應(yīng)用控制等。
因此,如果IT審計(jì)過程中,發(fā)現(xiàn)某項(xiàng)業(yè)務(wù)控制、操作和流程本身存在缺失,則應(yīng)該將之匯報(bào)給其他審計(jì)人員;反之,如果其他審計(jì)人員發(fā)現(xiàn)某項(xiàng)由系統(tǒng)參與處理的業(yè)務(wù)操作和流程本身沒有問題,但輸出結(jié)果錯誤,則應(yīng)該將之匯報(bào)給IT審計(jì),由IT審計(jì)人員來判斷應(yīng)用控制方面的缺失。
