【中培课堂】详解IT审计
随着IT技术与企业日常工作之间的结合越来越紧密,信息系统在企业当中产生的影响也日益紧密,IT审计也应运而生。中培教育《企业信息化审计与治理管控 IT4IT》培训专家张老师对IT审计的定义、价值以及相关流程进行了详细介绍。
一、什么是IT审计?
IT审计,也称为“信息系统审计”,是搜集与评价证据,以确定信息系统及相关资源是否能充分保护资产、维护数据和系统完整性、提供相关和可靠信息、有效实现组织目标、有效使用资源,并且存在有效的内部控制,为满足业务、运营和控制目标的要求提供合理保证,及时预防、检查和纠正非预期事件。IT审计涉及信息系统的全生命周期,而不是单纯地强调对软硬件的审计,它的审计对象应涵盖整个信息系统所有活动和中间产物,并包括信息系统实施相关的外部环境。
IT审计的主要目的是确保信息技术战略和业务战略保持一致,提高系统的可靠性、稳定性、安全性及数据处理的完整性和准确性,提升系统运行效果和效率,确保财务报告的可靠性和合规性。为了达到这个目的,IT审计人员需要对信息技术内部控制和流程以及利用信息技术对系统和数据进行一系列的综合检查与评价活动。
二、为什么要进行IT审计?
在电子化交易的时代,IT风险控制已成为摆在当前的重要课题,控制不健全造成的交易中断,系统的不可靠,应急恢复的不及时,客户信任度的下降及诸多的负面影响,极大地影响了组织的发展,为有效降低和防范组织信息系统的风险,IT审计成为必然趋势,主要表现为以下三方面:
IT应用发展的需要:
随着信息技术的快速发展,IT在各行业的应用越来越广,组织对信息系统的依赖程度也越来越大,与此同时,所面临的IT风险也随之增大。
风险监管的需要:
监管机构对行业稳健运营和发展提出的构筑“三道防线”:IT管理,IT风险管理,IT风险审计,都需要IT审计来防范IT的风险。
组织战略发展的需要:
组织为加强业务管理,提高服务和管理效能,立足于激烈竞争的市场,加大IT战略投资,以期达到投资回报。
三、IT审计的依据
IT审计的依据主要是业界很流行的信息安全、IT治理、IT服务管理、项目管理等方面的方法论及最佳实践,以下IT控制标准、法律法规、行业最佳实践都可作为IT审计的依据。
四、IT审计流程
IT审计工作的一般程序通常包括以下步骤:
1、准备阶段
准备阶段是整个审计过程的起点,其主要工作包括:
(1)获取并记录对审计领域或审计对象的了解。
(2)识别重要性,对系统重要性和风险进行适当评估。
(3)编制审计计划。
2、实施阶段
做好上诉材料的充分准备,便可进行审计实施,具体包括以下内容:
(1)对被审计单位提供的有关资料、程序、系统、操作等实施IT审计。
(2)整理汇总审计实施过程中发现的问题及有关情况。
(3)审计小组汇报审计过程中发现问题和有关情况,确定需进一步核实的问题。
(4)实施相关的追加审计程序。
3、报告阶段
报告阶段是实质性的整个信息系统审计工作的结束,主要工作有:
(1)审计小组归集审计工作底稿、并编制审计报告初稿。
(2)审计小组按审核后的要求,对审计报告进行修改。
(3)审计小组汇报审计报告的征求意见稿,并对审计报告的征求意见稿进行定稿。
(4)出具正式审计报告。
4、后续阶段
后续阶段是审计工作的延续,主要工作包括:
(1)内部审计职能的追踪。
(2)将审计档案归档。