IT審計風(fēng)險主要包括那些及詳解

2014-11-08 22:44:40 大云網(wǎng)　點擊量：評論 (0)

IT審計風(fēng)險主要包括固有風(fēng)險、控制風(fēng)險、審計風(fēng)險和剩余風(fēng)險四類。其中，固有風(fēng)險是指在不對信息系統(tǒng)部署任何控制措施情況下，信息系統(tǒng)自身所有具有的風(fēng)險；控制風(fēng)險指由于控制設(shè)計以及執(zhí)行的不合理或不準(zhǔn)確，使信息系統(tǒng)具有的風(fēng)險；審計風(fēng)險，是指由第三方審計師對信息系統(tǒng)進行審核評估的過程中帶來的風(fēng)險；剩余風(fēng)險，是指結(jié)合固有風(fēng)險、控制風(fēng)險及審計風(fēng)險對系統(tǒng)風(fēng)險情況做出的綜合評估。

對于被審計單位而言，在IT審計過程中得到的風(fēng)險結(jié)論實際是審計師對于剩余風(fēng)險的描述。

俗話說，無規(guī)矩不成方圓，只有以統(tǒng)一的標(biāo)準(zhǔn)作為基線，才能確保審計師執(zhí)行IT審計過程中有章可循，提高審計效率并保證審計效果，也有助于其他審計人員在相同條件（使用相同的標(biāo)準(zhǔn)和證據(jù)）下對審計結(jié)論進行驗證，規(guī)避由于審計師能力不足或評估不客觀等風(fēng)險，確保審計結(jié)論準(zhǔn)確。

所以，ISACA的信息系統(tǒng)審計準(zhǔn)則對IT審計的執(zhí)行過程做出明確要求，要求IT審計遵循一定的流程，可以粗略地劃分為：制定審計計劃、執(zhí)行系統(tǒng)審計、提交審計報告以及進行后續(xù)跟蹤等五個階段。

第一，建立審計章程。審計章程中需要明確IT審計的總體目標(biāo)及IT控制范圍，并約定審計職責(zé)

第二，制定審計計劃。審計師首選需要對被審計單位的業(yè)務(wù)運營情況、被審計信息系統(tǒng)承載的業(yè)務(wù)信息以及系統(tǒng)結(jié)構(gòu)有所了解，然后進行風(fēng)險評估，對被審計系統(tǒng)的關(guān)鍵控制點以及現(xiàn)有的IT控制情況進行了解。

審計師需要對IT控制的重要性進行評估，評估過程需要綜合資產(chǎn)的價值及控制檢查活動的投入回報比等多方面信息做出判斷，決定是否需要以及需要對具體哪些控制進行檢查，以控制審計風(fēng)險的程度，確保剩余風(fēng)險在被審計單位的風(fēng)險容忍度范圍之內(nèi)。審計師做出綜合判斷后，需要根據(jù)信息系統(tǒng)審計準(zhǔn)則的相關(guān)要求完成審計計劃。

第三，搜集證據(jù)并完成IT控制的符合性測試。所謂符合性測試，是針對控制的設(shè)計的有效性進行檢測，審計師通過調(diào)查取證，了解被審計單位如何設(shè)計IT控制。審計師需要結(jié)合專業(yè)知識，判斷組織是否按照相關(guān)法律法規(guī)、行業(yè)標(biāo)準(zhǔn)以及最佳實踐的要求設(shè)計IT控制：如果滿足相關(guān)要求，則認(rèn)為這些IT控制具有符合性；如果不滿足相關(guān)要求，審計師就需要了解被審計單位真實的IT控制如何設(shè)計，并綜合判斷當(dāng)前IT控制能否有效控制信息系統(tǒng)風(fēng)險。

對于被審計單位真實采用的IT控制，如果與規(guī)定、標(biāo)準(zhǔn)及最佳實踐的要求不一致，則稱為補償性控制，被審計單位的補充性控制如果可以有效規(guī)避信息系統(tǒng)風(fēng)險，則同樣視被審計單位的IT控制具有符合性。審計師需要獲得充分、真實的證據(jù)支持對被審計單位IT控制符合性的判斷。

第四，搜集證據(jù)并完成IT控制的實質(zhì)性測試。IT控制經(jīng)過設(shè)計和執(zhí)行兩個階段，才能發(fā)揮效用，因此，IT審計在執(zhí)行控制測試時，同樣需要針對IT控制的兩個階段分別進行測評。IT控制的實質(zhì)性測試階段，是針對通過符合性測試的IT控制的執(zhí)行情況進行檢測，需要大量的證據(jù)以真實反映IT控制的實施過程。

理論上講，只有對所有的操作記錄進行核對檢測才能完全真實地反映IT控制的實質(zhì)性，但由于信息系統(tǒng)記錄數(shù)據(jù)量巨大，且歷史操作記錄的保存情況與信息系統(tǒng)自身的技術(shù)和機制有極大的依賴關(guān)系，無法做出統(tǒng)一的約束，換言之，對所有的操作記錄進行審查基本上是不可行的，因此，這一過程通常采用統(tǒng)計學(xué)的相關(guān)方法進行處理。例如，使用抽樣的方法進行分析，抽樣的樣本空間設(shè)計依據(jù)被審計信息系統(tǒng)的業(yè)務(wù)交易量、IT控制重要性等要素進行綜合考慮。經(jīng)過抽樣取證分析后，如果IT控制的執(zhí)行過程與控制設(shè)計的要求一致，則認(rèn)為該IT控制通過實質(zhì)性測試，否則認(rèn)為控制無效。

第五，綜合評估證據(jù)以獲得結(jié)論，并提交審計報告。審計報告需要按照信息系統(tǒng)審計準(zhǔn)則中有關(guān)審計報告的標(biāo)準(zhǔn)要求進行撰寫，報告除了審計過程的基本信息外，需要包含對被審計信息系統(tǒng)的IT控制現(xiàn)狀的評價，以及對被審計單位改進當(dāng)前IT控制提供的建議。

IT審計報告在正式發(fā)布前，需要與被審計單位的管理層就審計初稿進行溝通修訂，獲得同意后才能定稿并發(fā)布。審計師需要在審計報告中說明報告的有效范圍及需要明確的任何信息，同時，審計師需要在審計報告中清晰、準(zhǔn)確地表達自己的聯(lián)系方式，以承諾對報告的內(nèi)容負(fù)責(zé)，確保如果第三方對該報告進行利用或?qū)徍藭r可以獲得必要的信息。

當(dāng)然，審計報告的提交并不意味著IT審計過程的完結(jié)，審計師需要對自己在報告中提出的建議進行跟蹤。

責(zé)任編輯：葉雨田

免責(zé)聲明：本文僅代表作者個人觀點，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實相關(guān)內(nèi)容。

我要收藏

個贊

風(fēng)險