随着信息技术在企业管理中的广泛运用,传统的控制、管理、检查和审计技术都受到了巨大的挑战,大型企业集团都将控制风险,特别是控制信息系统环境风险和运行风险作为管理和审计的重点。
IT审计是指客观独立的第三方对信息系统从计划、研发、实施到运行维护各个过程进行审查与评价的活动,以审查企业信息系统是否有效、安全、可靠,是否有效地保护了资产、完成了组织目标、保证了数据完整,以此保障信息系统得出准确可靠的数据。
通过实施相应的IT审计,企业可以有效地规避和消除IT风险。
审什么
IT系统建设审计。通过开展系统实施前审计、实施中审计和实施后专项审计,企业能够在系统设计时验证系统功能与用户需求的一致性,监督系统的开发或实施过程是否受到良好的控制(时间、成本与目标/质量可控),以及系统实施过程中和实施后的安全性,确保实施后的培训工作充分到位。
业务流程控制审计。通过实施业务流程的IT应用控制专项审计,企业可以梳理业务流程中的风险点与对应控制点,发现其中缺失的关键IT控制,也能对已有的IT控制的有效性做出评估,从而就目前业务流程中的IT应用控制对风险的控制程度情况做出整体评价,并提出改进建议。
系统控制效果审计。通过对IT一般控制审计,企业可以检查及验证IT一般控制层面的管理设计是否合理、执行是否有效,从而保障信息系统具备良好的基本控制和安全环境。然后结合对关键应用层面IT控制的审计,如账单处理流程中的系统自动控制、系统生成财务报表过程中的自动计算,来保证关键IT应用中的控制有效。
标准是什么
为了保证审计结果的客观性和权威性,IT审计人员必须采用一套公认、权威的审计标准,作为实施IT审计的基本准则和实施依据。IT审计标准列举了IT审计实施过程中必须包含的审计项目,如审计对象、审计方式、审计流程等框架。目前在国际上较为流行的是美国信息系统审计和控制协会于1996年推出的审计标准。
IT审计时判定审计对象是否符合审计要求的标准,应该包含国家规定、行业规定、企业内部制度规范等内容。
在众多国际和国内IT审计 标准中,一般以COSO(美国科索委员会)作为IT管控的主要框架,将IT控制环境分为控制、技术、流程、组织架构和角色、人员、指标体系六个控制层面。而IT审计也一般根据COSO的IT管控体系,对每个层面采用不同的标准来建立IT审计的框架。
COSO框架涉及ITIL(IT基础架构库)、COBIT(IT治理控制框架)和ISO27001(信息安全管理规则)三大标准,这三个标准所强调的目标不同。虽然这些标准存在着重复的内容,但更多的是互补和交叉。在实际工作中,需要根据企业的情况,根据IT审计工作的重点,分阶段地采用不同的国际标准。
范围有多大
在COSO对内部控制框架从层次和要素定义的基础上,参考结合在IT管理界被广泛使用的其他内部控制评估标准后,业界制定的IT内部控制体系分为组织层面的IT控制、IT一般控制和应用系统控制(见图1)。其中IT一般控制是IT内部控制框架中企业层面和应用层面重要的衔接点。
一是组织层面上的IT审计。
组织层面上的IT审计用于检查企业内部关于IT方面的控制设计及实施是否有效,为企业管理层最终发表内控有效性声明提供了支持证据。根据企业组织策略的不同,IT审计每年关注的重点会有所不同,因此需要基于风险分析和评估的结果进行组织层面上的审计。
二是一般控制层面上的IT审计。IT一般控制是指为保证在一段时期内应用控制的持续有效性,而在变更管理、逻辑访问和IT操作管理等方面的系统控制,是支持应用程序控制和依赖IT的手工控制持续运行的控制。因为这些控制对一个以上的应用程序和数据集都有效,所以被称为“IT一般控制”。根据COBIT4.1(国际公认的IT治理控制架构),IT一般控制通常包括以下三个部分:变更管理、逻辑访问和其他IT一般控制。计划依赖应用程序控制、依赖IT的手工控制或电子审计证据时,应识别、了解、穿行测试和评价IT一般控制。
三是应用控制层面上的IT审计。一般而言,控制会或多或少地依赖于企业的应用程序。应用程序控制是在应用系统中由程序执行的控制,用以替代很多由人工完成的基础性检查工作。这是指在业务流程层面上为了合理保证应用系统准确、完整、及时地完成业务数据的生成、记录、处理、报告等功能而设计、执行的信息技术控制。由于应用程序控制普遍适用于各种交易的处理,所以应用程序控制是否有效,对于财务报表的完整性和正确性以及企业内控的有效性有着重要的影响。应用程序控制又可以分为系统自动控制与人工干预系统控制两类。
怎么审
IT审计方法应当由审计部门的管理人员来制定和批准。实施IT审计首先要了解企业的IT环境,使用基于风险的审计方法来确定审计的范围,制定审计目标和审计的工作计划。IT审计流程如图2所示。对于IT组织层面、一般控制层面和应用程序控制层 面的审计方法分别如下。
从IT组织层面的审计方法和步骤看,结合COSO控制体系和公司情况设计调查问卷,主要包括控制环境、风险评估、控制活动、信息与沟通、监控等五个方面。根据问卷,与公司领导或IT管理层访谈;根据文档审阅结果,评价公司层面IT控制的有效性,然后再填写问题发现汇总表、提出整改建议。
从一般控制层面和应用程序控制层面的IT审计方法看,实施IT审计的典型审计流程包括确定审计目标和审计范围,获取并记录对审计对象的了解;进行风险评估和总体审计计划安排;制定详细的审计计划;选择审计方法;检查并评估审计对象;进行穿行测试和控制测试,找出控制设计和执行方面的问题;将测试结果和管理层进行沟通,协助管理层制定缺陷整改计划;准备审计报告;针对审计报告指出的问题进行后续跟踪。
此外,企业应当建立健全统一的IT审计制度,宏观规划IT审计的频率和范围,设计IT审计工作的各层级执行、分工和汇报条线。各分(子)公司可在总部IT审计制度的框架内,创建适合自身业务特点和工作要求的IT审计工作细则。 | 
