【IT168 信息化】
“我有六个忠实的仆人,他们教会了我一切,他们是:‘是什么’、‘为什么’、‘何时’、‘如何’、‘何地’和‘谁’。”——拉迪亚德吉卜林,引自Just So Stories 中《大象的孩子》
IT审计怎么审
俗话说,无规矩不成方圆,尤其对于审计一类评估判断性质的活动,必须有统一的标准作为基线,才能一方面确保审计师执行IT审计过程中有章可循,提高审计效率并保证审计效果;另一方面,也有助于其他的审计人员在相同条件(使用相同的标准和证据)下对审计结论进行验证,规避由于审计师能力不足或评估不客观等风险,确保审计结论准确。
目前国际上通用的IT审计标准为ISACA制定的信息系统审计准则,截至2008年2月审计准则共包括审计标准16条,分别从IT审计章程、审计独立性、审计师的职业道德和能力要求、审计过程以及IT审计的要素等角度对审计师执行IT审计的过程进行标准化要求。为便于审计师理解审计准则,ISACA制定了多项审计实务指南及审计程序对IT审计标准相关要求进行解释。截至2010年3月,ISACA共修订发布审计实务指南42项,废除实务指南1项(第19项,违法及违规行为,该指南于2008年9月1日废除使用);修订并发布审计程序11项。2008年,我国财政部、证监会、审计署、银监会、保监会联合颁布《企业内部控制基本规范》,, 并于2010年4月发布《企业内部控制配套指引》,标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。基本规范和配套指引中设置专门的章节对计算机信息系统审计要求做出了标准规定。
IT审计的过程可以概括为:基于被审计信息系统的IT风险,围绕IT控制的有效性和符合性,在充分获取真实证据的条件下,经过综合分析评估,得出并报告审计结论及审计建议。因此,可以看出IT审计的关键要素包括IT风险、IT控制以及审计证据。
IT审计风险主要包括四类:固有风险、控制风险、审计风险和剩余风险。其中,固有风险是指在不对信息系统部署任何控制措施情况下,信息系统自身所有具有的风险;控制风险指由于控制设计以及执行的不合理或不准确,使信息系统具有的风险;审计风险,是指由第三方审计师对信息系统进行审核评估的过程中带来的风险。例如,审计师检测信息系统网络情况时,需要在现有系统中增加软硬件设施以完成检查,这一过程如果没有进行良好的控制,则可能由于加大了系统的负载,该系统的正常运行造成一定程度的风险等。剩余风险,是指结合固有风险、控制风险及审计风险对系统风险情况做出的综合评估。
对于被审计单位而言,在IT审计过程中得到的风险结论实际是审计师对于剩余风险的描述。为了使审计结论最大限度地接近被审计信息系统的真实情况,审计师应该尽可能地减小审计风险;但是,由于审计风险的大小与审计力度直接相关,而审计力度又直接决定了对被审计单位IT控制的取证程度。换言之,审计力度直接影响评估IT控制的准确度,也就是对控制风险的判断:审计力度越大,取证量越多,控制风险的误差越小,但是审计风险同时增大。因此,审计师需要有足够的经验在审计风险和控制风险中取得平衡,选择合适的审计取得强度,以确保人为因素对剩余风险的影响控制在被审计单位的风险容忍度范围之内。
ISACA的信息系统审计准则对IT审计的执行过程做出明确要求,要求IT审计遵循一定的流程,可以粗略地划分为:制定审计计划、执行系统审计、提交审计报告以及进行后续跟踪等五个阶段。详细来讲,IT审计遵循以下的流程:
第一,建立审计章程。审计章程中需要明确IT审计的总体目标及IT控制范围,并约定审计职责
第二,制定审计计划。在制定审计计划阶段,审计师首选需要对被审计单位的业务运营情况、被审计信息系统承载的业务信息以及系统结构有所了解。审计师初步掌握被审计单位及信息系统的情况后,执行风险评估,对被审计系统的关键控制点以及现有的IT控制情况进行了解;审计师需要对IT控制的重要性进行评估,评估过程需要综合资产的价值及控制检查活动的投入回报比等多方面信息做出判断,决定是否需要以及需要对具体哪些控制进行检查,以控制审计风险的程度,确保剩余风险在被审计单位的风险容忍度范围之内。审计师做出综合判断后,需要根据信息系统审计准则的相关要求完成审计计划。
第三,搜集证据并完成IT控制的符合性测试。所谓符合性测试,是针对控制的设计的有效性进行检测,审计师通过调查取证,了解被审计单位如何设计IT控制。审计师需要结合专业知识判断组织是否按照相关法律法规、行业标准以及非常好的实践的要求设计IT控制;如果满足相关要求,则认为这些IT控制具有符合性;如果不满足相关要求,则审计师需要了解被审计单位真实的IT控制如何设计,并综合判断当前IT控制能否有效控制信息系统风险。对于被审计单位真实采用的IT控制,如果与规定、标准及非常好的实践的要求不一致,则称为补偿性控制,被审计单位的补充性控制如果可以有效规避信息系统风险,则同样视被审计单位的IT控制具有符合性。审计师需要获得充分的、真实的证据支持对被审计单位IT控制符合性的判断。
第四,搜集证据并完成IT控制的实质性测试。IT控制经过设计和执行两个阶段,才能发挥效用。因此IT审计在执行控制测试时,同样需要针对IT控制的两个阶段分别进行测评。IT控制的实质性测试阶段,是针对通过符合性测试的IT控制的执行情况进行检测。实质性测试由于需要针对IT控制的执行过程进行检测,需要大量的证据以真实反映IT控制的实施过程。理论上讲,只有对所有的操作记录进行核对检测才能完全真实地反映IT控制的实质性,但由于信息系统记录数据量巨大,且历史操作记录的保存情况与信息系统自身的技术和机制有极大的依赖关系,无法做出统一的约束,换言之,对所有的操作记录进行审查基本上是不可行的。因此这一过程通常采用统计学的相关方法进行处理,例如,使用抽样的方法进行分析,抽样的样本空间设计依据被审计信息系统的业务交易量、IT控制重要性等要素进行综合考虑。经过抽样取证分析后,如果IT控制的执行过程与控制设计的要求一致,则认为该IT控制通过实质性测试,否则认为控制无效。
第五,综合评估证据以获得结论,并提交审计报告。审计报告需要按照信息系统审计准则中有关审计报告的标准要求进行撰写,报告除了审计过程的基本信息外,需要包含对被审计信息系统的IT控制现状的评价,以及对被审计单位改进当前IT控制提供的建议。IT审计报告在正式发布前,需要与被审计单位的管理层就审计初稿进行沟通修订,获得同意后才能定稿并发布。审计师需要在审计报告中说明报告的有效范围及需要明确的任何信息,同时,审计师需要在审计报告中清晰、准确地表达自己的联系方式,以承诺对报告的内容负责,确保如果第三方对该报告进行利用或审核时可以获得必要的信息。
进行后续审计跟踪。审计报告的提交并不意外IT审计过程的完结,审计师需要对自己在报告中提出的建议进行跟踪。
IT审计是一个错综复杂的过程,需要审计师具备足够的经验、良好的知识结构和技能,同时要求审计师具备符合标准要求的职业道德。IT审计虽然不如传统审计一般直接与财务报表打交道,但是如同信息技术在当今社会的地位一般,信息系统已经渗入到企业业务流程的各个环节,信息系统的安全、可靠、效果和效率直接决定着财务报表的可靠性和完整性;而且,由于业务的流程化运作,信息系统任何一个环节的错误或失败,带给企业的损失都会发生雪崩效应。因此,作为使用单位,不能忽视信息系统生命周期内任何一个环节以及系统各个层面上的IT控制在设计和执行上的安全性、可靠性以及效果效率;作为IT审计人员,同样不能遗漏IT控制的任何一个细节,要确保审计评估过程的完整性和客观性。
