文集：《信息系统项目管理师第四版攻略》

本节概要

随着大数据、云计算、人工智能、移动互联网、物联网等新一代信息技术快速普及和深入应用，以及商业新模式、制造新模式、运行新模式等的出现和迅速繁荣，在给组织带来快速发展的同时，也加大了组织的 IT 风险。为了有效控制 IT 风险，有必要对组织的信息系统治理及 IT 内控与管理等开展 IT 审计，充分发挥 IT 审计监督的作用，提高组织的信息系统治理水平，促进组织信息系统治理目标的实现。

IT 审计基础

IT 审计定义

主流的 IT 审计定义

IT 审计目的

IT 审计的目的是指通过开展 IT 审计工作，了解组织 IT 系统与 IT 活动的总体状况，对组织是否实现 IT 目标进行审查和评价，充分识别与评估相关 IT 风险，提出评价意见及改进建议，促进组织实现 IT 目标。

1. 组织的 IT 战略应与业务战略保持一致；
2. 保护信息资产的安全及数据的完整、可靠、有效；
3. 提高信息系统的安全性、可靠性及有效性；
4. 合理保证信息系统及其运用符合有关法律、法规及标准等的要求。

IT 审计范围

审计范围需要根据审计目的和投入的审计成本来确定。在实际的应用实践中，审计人员在实施 IT 审计项目前，应先对组织与信息系统相关的总体情况进行了解和风险评估，确定主要 IT 风险，如与环境控制相关的风险、与系统相关的风险、与数据相关的风险等，然后根据确定的风险来判断哪些控制、流程对组织的影响比较大，并结合审计项目预计的时间、配备的审计力量等来确定重点审计范围。

1. 总体范围：需要根据审计目的和投入的审计成本来确定；
2. 组织范围：明确审计涉及的组织机构、主要流程、活动及人员等；
3. 物理范围：具体的物理地点与边界；
4. 逻辑范围：涉及的信息系统和逻辑边界；

IT 审计人员要求

《信息技术服务 治理 第 4 部分：审计导则》标准（GB/T 34690.4）

IT 审计风险

1. 固有风险

   • 含义：是指 IT 活动不存在相关控制的情况下，易于导致重大错误的风险；
   • 分类：可从 IT 组织层面控制、一般控制及应用控制三个方面分析固有风险；
     特点：固有风险是 IT 活动本身所具有的，审计人员只能评估，却无法控制或影响它；固有风险的衡量是主观的、复杂的，不同的 IT 活动其固有风险水平不同。

2. 控制风险

   • 含义：是指与 IT 活动相关的内部控制体系不能及时预防或检查出存在的重大错误的风险；
   • 分类：可从 IT 组织层面控制、一般控制及应用控制三个方面分析控制风险；
   • 特点：与内部控制制度执行的有效性有关，与审计无关，属于内部控制的范時，审计人员只能评估其风险水平而不能对其实施控制和影响。其风险水平的衡量由于需要兼顾传统内部控制的思想和计算机系统管理的知识，因而较为复染且难以准确计量。

3. 检查风险

   • 含义：检查风险是指通过预定的审计程序未能发现重大、单个或与其他错误相结合的风险；
   • 影响检查风险的因素：由于 IT 审计规范不完善、审计人员自身或者技术原因等造成影响审计测试正确性的各种因素。

审计方法与技术

常用标准

IT 审计活动的开展需要结合相关法律法规、准则与标准，国际上常用的审计标准有：

1. 《信息系统审计准则》（ISACA）；
2. 《内部控制 —— 整体框架》（COSO）；
3. 《萨班斯法案》（SOX）；
4. 《信息及相关技术控制目标》（COBIT）。

我国常用的 IT 审计标准则有：

IT 审计标准

IT 审计标准 - 续

常用方法

IT 审计常用方法表

审计技术

1. 风险评估技术
   风险识别技术、风险分析技术、风险评价技术、风险应对技术。

2. 审计抽样技术
   统计抽样、非统计抽样。

3. 计算机辅助审计技术（CAAT）
   审计软件（GAS）、测试数据、专家系统等。

4. 大数据审计技术

   大数据审计技术

IT 审计证据

审计证据的特性

IT 审计底稿

审计工作底稿是审计证据的载体。

1. 综合类工作底稿
   指审计人员在审计计划阶段和审计报告阶段，为规划、控制和总结整个审计工作并发表审计意见所形成的审计工作底稿，主要包括：审计业务约定书、审计计划、审计总结、审计报告、管理建议书、被审计单位管理当局声明书以及审计人员对整个审计工作进行组织管理的所有记录和资料。

2. 业务类工作底稿
   指审计人员在审计实施阶段为执行具体审计程序所形成的审计工作底稿，包括：符合性测试中形成的内部控制问题调查表和流程图、实质性测试中形成的项目明细表等。

3. 备查类工作底稿
   指审计人员在审计过程中形成对审计工作仅具有备查作用的审计工作底稿。备查类工作底稿应随被审计单位有关情况的变化而不断更新；应详细列明目录清单，并将更新的文件资料随时归档；应根据需要，将其中与具体审计项目有关的内容复印、摘录、综合后归入业务类审计工作底稿的具体审计项目之后。通常，备查类审计工作底稿是由被审计单位或第三者根据实际情况提供或代为编制，审计人员应认真审核，并对所取得的有关文件、资料标明其具体来源。

审计流程

审计流程是指审计人员在具体审计过程中采取的行动和步骤。科学、规范的审计流程不但是分配审计工作的具体依据，还是控制审计工作的有效工具，并同时具有的作用包括：① 有效地指导审计工作；② 有利于提高审计工作效率；③ 有利于保证审计项目质量；④ 有利于规范审计工作。

审计内容

主要分为 IT 内部控制和 IT 专项审计

IT 审计业务分类

信息系统项目管理审计内容与方法举例

信息系统项目管理审计内容与方法举例

续表

IT 审计思维导图.png