信息技术审计
目录
[编辑]
什么是IT审计
IT审计是一种信息系统审计,也称为IT检查。 它是独立于信息系统本身、信息系统相关开发和用户的第三方。 IT审计员使用客观标准来进行与信息系统的规划、开发、使用和维护相关的信息。 活动和产品都经过彻底、有效的检查和评估。
[编辑]
IT审计的对象和范围
IT审计设计信息系统的整个生命周期。 IT审计并不简单地强调对软件和硬件的审计。 其审计对象涵盖整个信息系统的所有活动和中间产品,并包括与信息系统实施相关的外部环境。 一般来说,企业IT审计的对象包括:企业内部的IT审计人员、外部IT审计机构和国家审计机构委托的审计人员。 根据信息系统的生命周期,IT审计分为业务计划审计、业务开发审计、业务执行审计和业务维护审计,以及覆盖整个信息系统周期的常见业务审计。
1)业务计划审核主要面向信息系统规划,审查和验证信息系统投资的可行性、系统规划与公司战略的相关性、系统开发计划的可行性、系统需求的完整性和正确性。
2)业务开发审计对信息系统开发各阶段相关人员的活动、信息和中间产品进行审查,以确认这些活动、信息和中间产品的规范性、有效性以及与信息系统目标的针对性。
3)业务执行审核确认与信息系统运行相关的数据、软件、硬件、安装环境等是否满足信息系统的运行要求,并对信息系统的功能、性能、易用性、可操作性、信息系统等。
4)业务维护审计对信息系统的维护活动和维护结果进行审查和评价。 发现信息系统维护中可能出现的各种漏洞和急需改进的问题。
5)常见的业务审核涉及文件管理、进度管理、人员管理、采购管理、风险管理等,检查这些流程的规范性和有效性,并提出改进建议。
[编辑]
IT审计计划
IT审计的实施需要制定相应的计划,明确IT审计的任务、采用的方法和预期的结果。 该计划提交管理层确认后实施。
IT审计的审计计划有两种类型:基本计划和详细计划(也称为分期计划)。
1)基本计划是审核年度内相关IT审核活动的计划,确定年内IT审核的各项任务及其大致时间安排。 基本计划需要提交管理层批准。 它是整个 IT 审计年度活动的指南。 内容包括:审核对象、审核地点、审核原则、日程安排等。
2)详细计划(阶段性计划)针对具体项目(系统)或任务,仅需要IT审计部门领导的许可。 详细计划需告知受审核方。 详细计划包括:审核对象、目的、审核流程、审核要点、审核时间、相关人员、审核报告提交事项等。
[编辑]
IT审计任务
IT审计的任务是从客观、公正的角度收集审计信息,生成审计报告,并通过审计报告促进信息系统生命周期活动和结果的改进。
[编辑]
建立IT审计体系需要注意三点:
作为企业,建立完整的IT审计体系需要以下几点:
(1)信息技术审计人员是跨越信息技术和审计技术的复合型人才。 实施企业IT审计制度,必须重视和培养合格的IT审计人员;
(二)企业应当设立相应的IT审计部门或者审计岗位,确定其部门和岗位职责,并置于企业经营者的直接管理之下;
(三)企业应制定相应的信息技术审计标准、实施声明、报告及其他信息技术审计必要的凭证;
企业建立IT审计制度时,应当遵守国家相关IT审计规定,并结合企业业务实际。 企业的IT审计系统并不是一成不变的。 根据具体企业的经营情况,每个审计年度结束后、新的审计年度开始前可进行相应的修改、增删。
[编辑]
IT审计的历史和发展
IT审计的来源来自IBM在20世纪60年代出版的《审计数据》以及其他关于EDI环境中审计和组织的讨论。 不久之后,这方面的研究成果不断涌现,IT审计的雏形初步形成。 但由于信息系统尚未在社会上广泛应用,IT审计尚未在社会上形成意识。
20世纪70年代中后期至80年代初,由于计算机在发达国家企业中的初步普及,计算机犯罪和计算机系统故障事件频繁发生,使得IT审计对社会日益重要。 美国、日本相继设立了IT审计部门。 协会组织。 参与IT审计规则的制定和实施指导。 值得注意的是,1985年,日本政府颁布了《IT审核标准》,根据美国劳工部《技能起点》和针对IT信息专业技能(NCET)的要求,制定了IT审核员(系统审核员)人员。 技能标准,并以此作为新的“IT (系统检查员)”级别考试的参考标准。
20世纪90年代是IT审计的普及时期,主要得益于互联网的普及。 互联网的普及是利用计算机犯罪的温床。 此外,日益严重的软件项目失败问题引发了对于是否对信息系统的投资和开发进行审计的深刻思考。 IT审计受到了前所未有的关注。
[编辑]
IT审计的意义
实施IT审计可以强化IT投资的效果,提高信息系统的安全性,客观评价信息系统和信息系统的发展。 从社会经济和企业、国家信息化投入、安全等方面都具有重要意义。
[编辑]
从IT审计看审计学科的发展
1、IT审计是技术审计的典型例子。 IT审计标志着新审计时代的到来——“技术审计时代”
随着经济管理与科学技术的不断融合和日益渗透,现代审计已远远超出了仅审查财务会计的狭隘范围,不断渗透到管理和技术领域。 IT审计是技术审计的典型例子。 IT审计本质上是对计算机软硬件以及整个信息系统的审计。 否则就不能称为IT审计。 由于计算机的广泛普及,审计环境发生了巨大的变化。 如果审计人员只了解传统审计而不了解计算机软硬件审计,势必面临可怕的潜在审计风险。 在无纸化办公条件下,会计和其他信息资料存储在计算机信息系统中。 如果审计人员不考虑被审计单位计算机软硬件的安全性,盲目信任被审计单位的系统和设备,即使了解计算机,即使简单使用,也极有可能陷入计算机的深渊。错误地设置陷阱,会带来非常危险的后果。 只有正确估计计算机审计风险,根据实际情况决定是否采取适当的信息系统审计对策,并能够在风险较高时对计算机信息系统(包括硬件和软件)进行必要的技术审计,才能最终保证信息系统的安全。审计结果的正确性防范和降低了信息技术条件下的审计风险。 IT审计的重要性由此可见一斑。 显然,互联网时代的到来对审计人员掌握优秀的信息技术提出了要求。 信息技术审计人员不仅从事审计财务会计和经济管理活动,更重要、关键的是对被审计单位的信息系统进行技术审计。 IT审计师的出现是审计领域进一步拓展的重要标志,代表着一个新的审计时代——科技审计时代的到来。
事实上,IT审计并不是最早的技术审计。 早在IT审计之前,就已经出现了各种技术审计,但这些技术审计的技术性质并不像IT审计那样与科学技术密切相关。 例如,质量管理中的技术审核——质量审核(包括产品质量审核、过程质量审核和体系质量审核等),需要对产品质量进行抽查和测试; 清洁生产中的技术审核——清洁生产审核,要求披#生产技术中的缺陷并提出防止和减少污染的机会和对策; 能源管理中的技术审计——能源审计,要求进行能源监测并提出能源技术改造方案; 环境管理中的技术审核——环境审核,要求实施环境质量监测,提出环境改善建议和污染减排计划; 等等,都是不同技术水平的审核类型。 根据其技术特点,可与IT审计并称为“技术审计”。
技术审计的出现是科学技术日益渗透、审计范围进一步向技术领域拓展的必然结果。 随着科学技术的飞速发展和现代审计的不断发展,审计的技术领域将不断延伸,未来技术审计的形式将更加丰富多彩。
二、从IT审计视角看现代审计学科发展
王光远教授在其名著《管理审计理论》中将审计学科分为“财务审计”和“管理审计”两个分支。 他主张发展管理审计,认为管理审计是在财务审计的基础上的,前者是后者的发展。 带扩展名。
技术审计是当代科技发展与审计发展相结合的产物。 当代社会是一个科学技术飞速发展的社会。 科学技术的快速发展对整个社会的经济管理活动产生了巨大的影响。 正是在科学技术飞速发展的背景下,各种技术审计应运而生。 技术审计是在原有财务审计和管理审计的基础上,随着科学技术向经济管理领域的渗透而产生的。 但迄今为止,技术审计本质上并不是独立于财务审计和管理审计的第三大审计分支,而是财务审计和管理审计相结合的审计形式。 即部分技术审计归入财务审计和管理审计两个分支。 例如,进行计算机财务审计主要或本质上是财务审计,但由于计算机软硬件对财务信息影响巨大,往往需要对所使用的硬件和软件进行审计,这也是一种技术审计; 清洁生产审核本质上是环境(管理)审核中对生产过程进行的技术审核,但这种技术审核服务于管理审核,又依赖于管理审核。
从信托责任的理论分析出发,可以提出“信托技术责任”的概念。 在财务审计部门的技术审计中,受托技术责任属于受托财务责任的次要责任。 例如,在IT审计中,要保证会计报表真实可靠,信息系统的软件系统和硬件系统必须同时可靠,后者从属于前者,委托的信息技术职责被审计单位的财务责任属于其委托的财务责任的次要责任。 对于管理审核部门的技术审核,受委托的技术责任是受委托的管理责任的次要责任。 例如,环境审计本质上是对环境管理的审计,因此属于管理审计。 然而,在进行企业环境审核时,需要审查企业的生产流程和生产技术,甚至审查产品的环保技术性能。 此类技术审核旨在确认公司对环境保护的委托管理责任。
简而言之,对财务会计的审计称为财务审计; 对管理的审计称为管理审计; 而技术方面的审核应称为技术审核。 从这个意义上说,技术审计应该是现代审计的第三大领域。 20世纪30年代之前,财务审计在全世界占据主导地位。 20世纪30年代以后、80年代之前,管理审计作为一股新生力量崛起,与财务审计并驾齐驱。 20世纪80年代以来,技术审计不断涌现。 20世纪90年代,IT审计初具规模。 在 21 世纪,IT 审计师将是唯一的领导者。 风骚的时代。
[编辑]
IT审计等技术审计的出现对我国审计发展的影响
不用说,技术审计还没有独立于财务审计和管理审计而存在。 不过,尽管技术审计尚未成为现代审计的独立第三分支,但“技术审计”这一概念仍然具有重大的积极意义。 技术审计体现了科技与审计、科技与经济管理融合、渗透的时代特征。 它要求审计人员不仅要掌握经济管理知识,还要掌握科学技术。 现代审计向管理和技术领域渗透是必然趋势,不以人的意志为转移。 也许未来技术审计将成为继财务审计、管理审计之后的第三个分支。
不久的将来,无论是国家审计、内部审计还是注册会计师审计,不懂IT技术的人必然会遇到灾难性的风险,没有IT审计就寸步难行。 国际知名会计师事务所德勤会计师事务所高级合伙人鲍威尔先生指出,世界即将迎来管理领域信息化的高潮。 信息技术对传统管控提出了前所未有的挑战,主要表现在三个方面:一是内部控制环节发生变化。 许多传统的控制方法已经失去了意义。 内部控制的评价和完善必须以信息系统的运行为基础。 ; 二是管理风险加大。 由于企业运营越来越依赖信息系统,除了传统的运营风险、控制风险和财务风险外,企业信息系统安全带来的信息技术风险也越来越大; 三是综合性高级人才需求骤增,要求管理人员、审计师、咨询顾问精通管理和专业,同时熟悉信息系统和网络技术。
信息技术的发展对中国注册会计师和会计师事务所提出了更高的要求。 国际同行业务收入中,传统财务审计服务收入占比快速下降,而风控服务和管理咨询服务收入占比大幅上升,而这些收入的增长往往与IT环境有关审计和信息系统安全审计。 与服务等技术审核相关。 可以得出结论,在整个社会信息化水平迅速提高的今天,我国的会计师事务所如果不尽早准备IT技术人才,不仅无法与国际五大会计师事务所竞争企业,但他们甚至无法在国内市场上竞争。 也会丢失。
[编辑]
参考