IT審計(jì)風(fēng)險(xiǎn)主要包括那些及詳解

2014-11-08 22:44:40 大云網(wǎng)　點(diǎn)擊量：評(píng)論 (0)

IT審計(jì)風(fēng)險(xiǎn)主要包括固有風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)、審計(jì)風(fēng)險(xiǎn)和剩余風(fēng)險(xiǎn)四類。其中，固有風(fēng)險(xiǎn)是指在不對(duì)信息系統(tǒng)部署任何控制措施情況下，信息系統(tǒng)自身所有具有的風(fēng)險(xiǎn)；控制風(fēng)險(xiǎn)指由于控制設(shè)計(jì)以及執(zhí)行的不合理或不準(zhǔn)確，使信息系統(tǒng)具有的風(fēng)險(xiǎn)；審計(jì)風(fēng)險(xiǎn)，是指由第三方審計(jì)師對(duì)信息系統(tǒng)進(jìn)行審核評(píng)估的過程中帶來的風(fēng)險(xiǎn)；剩余風(fēng)險(xiǎn)，是指結(jié)合固有風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)及審計(jì)風(fēng)險(xiǎn)對(duì)系統(tǒng)風(fēng)險(xiǎn)情況做出的綜合評(píng)估。

對(duì)于被審計(jì)單位而言，在IT審計(jì)過程中得到的風(fēng)險(xiǎn)結(jié)論實(shí)際是審計(jì)師對(duì)于剩余風(fēng)險(xiǎn)的描述。

俗話說，無(wú)規(guī)矩不成方圓，只有以統(tǒng)一的標(biāo)準(zhǔn)作為基線，才能確保審計(jì)師執(zhí)行IT審計(jì)過程中有章可循，提高審計(jì)效率并保證審計(jì)效果，也有助于其他審計(jì)人員在相同條件（使用相同的標(biāo)準(zhǔn)和證據(jù)）下對(duì)審計(jì)結(jié)論進(jìn)行驗(yàn)證，規(guī)避由于審計(jì)師能力不足或評(píng)估不客觀等風(fēng)險(xiǎn)，確保審計(jì)結(jié)論準(zhǔn)確。

所以，ISACA的信息系統(tǒng)審計(jì)準(zhǔn)則對(duì)IT審計(jì)的執(zhí)行過程做出明確要求，要求IT審計(jì)遵循一定的流程，可以粗略地劃分為：制定審計(jì)計(jì)劃、執(zhí)行系統(tǒng)審計(jì)、提交審計(jì)報(bào)告以及進(jìn)行后續(xù)跟蹤等五個(gè)階段。

第一，建立審計(jì)章程。審計(jì)章程中需要明確IT審計(jì)的總體目標(biāo)及IT控制范圍，并約定審計(jì)職責(zé)

第二，制定審計(jì)計(jì)劃。審計(jì)師首選需要對(duì)被審計(jì)單位的業(yè)務(wù)運(yùn)營(yíng)情況、被審計(jì)信息系統(tǒng)承載的業(yè)務(wù)信息以及系統(tǒng)結(jié)構(gòu)有所了解，然后進(jìn)行風(fēng)險(xiǎn)評(píng)估，對(duì)被審計(jì)系統(tǒng)的關(guān)鍵控制點(diǎn)以及現(xiàn)有的IT控制情況進(jìn)行了解。

審計(jì)師需要對(duì)IT控制的重要性進(jìn)行評(píng)估，評(píng)估過程需要綜合資產(chǎn)的價(jià)值及控制檢查活動(dòng)的投入回報(bào)比等多方面信息做出判斷，決定是否需要以及需要對(duì)具體哪些控制進(jìn)行檢查，以控制審計(jì)風(fēng)險(xiǎn)的程度，確保剩余風(fēng)險(xiǎn)在被審計(jì)單位的風(fēng)險(xiǎn)容忍度范圍之內(nèi)。審計(jì)師做出綜合判斷后，需要根據(jù)信息系統(tǒng)審計(jì)準(zhǔn)則的相關(guān)要求完成審計(jì)計(jì)劃。

第三，搜集證據(jù)并完成IT控制的符合性測(cè)試。所謂符合性測(cè)試，是針對(duì)控制的設(shè)計(jì)的有效性進(jìn)行檢測(cè)，審計(jì)師通過調(diào)查取證，了解被審計(jì)單位如何設(shè)計(jì)IT控制。審計(jì)師需要結(jié)合專業(yè)知識(shí)，判斷組織是否按照相關(guān)法律法規(guī)、行業(yè)標(biāo)準(zhǔn)以及最佳實(shí)踐的要求設(shè)計(jì)IT控制：如果滿足相關(guān)要求，則認(rèn)為這些IT控制具有符合性；如果不滿足相關(guān)要求，審計(jì)師就需要了解被審計(jì)單位真實(shí)的IT控制如何設(shè)計(jì)，并綜合判斷當(dāng)前IT控制能否有效控制信息系統(tǒng)風(fēng)險(xiǎn)。

對(duì)于被審計(jì)單位真實(shí)采用的IT控制，如果與規(guī)定、標(biāo)準(zhǔn)及最佳實(shí)踐的要求不一致，則稱為補(bǔ)償性控制，被審計(jì)單位的補(bǔ)充性控制如果可以有效規(guī)避信息系統(tǒng)風(fēng)險(xiǎn)，則同樣視被審計(jì)單位的IT控制具有符合性。審計(jì)師需要獲得充分、真實(shí)的證據(jù)支持對(duì)被審計(jì)單位IT控制符合性的判斷。

第四，搜集證據(jù)并完成IT控制的實(shí)質(zhì)性測(cè)試。IT控制經(jīng)過設(shè)計(jì)和執(zhí)行兩個(gè)階段，才能發(fā)揮效用，因此，IT審計(jì)在執(zhí)行控制測(cè)試時(shí)，同樣需要針對(duì)IT控制的兩個(gè)階段分別進(jìn)行測(cè)評(píng)。IT控制的實(shí)質(zhì)性測(cè)試階段，是針對(duì)通過符合性測(cè)試的IT控制的執(zhí)行情況進(jìn)行檢測(cè)，需要大量的證據(jù)以真實(shí)反映IT控制的實(shí)施過程。

理論上講，只有對(duì)所有的操作記錄進(jìn)行核對(duì)檢測(cè)才能完全真實(shí)地反映IT控制的實(shí)質(zhì)性，但由于信息系統(tǒng)記錄數(shù)據(jù)量巨大，且歷史操作記錄的保存情況與信息系統(tǒng)自身的技術(shù)和機(jī)制有極大的依賴關(guān)系，無(wú)法做出統(tǒng)一的約束，換言之，對(duì)所有的操作記錄進(jìn)行審查基本上是不可行的，因此，這一過程通常采用統(tǒng)計(jì)學(xué)的相關(guān)方法進(jìn)行處理。例如，使用抽樣的方法進(jìn)行分析，抽樣的樣本空間設(shè)計(jì)依據(jù)被審計(jì)信息系統(tǒng)的業(yè)務(wù)交易量、IT控制重要性等要素進(jìn)行綜合考慮。經(jīng)過抽樣取證分析后，如果IT控制的執(zhí)行過程與控制設(shè)計(jì)的要求一致，則認(rèn)為該IT控制通過實(shí)質(zhì)性測(cè)試，否則認(rèn)為控制無(wú)效。

第五，綜合評(píng)估證據(jù)以獲得結(jié)論，并提交審計(jì)報(bào)告。審計(jì)報(bào)告需要按照信息系統(tǒng)審計(jì)準(zhǔn)則中有關(guān)審計(jì)報(bào)告的標(biāo)準(zhǔn)要求進(jìn)行撰寫，報(bào)告除了審計(jì)過程的基本信息外，需要包含對(duì)被審計(jì)信息系統(tǒng)的IT控制現(xiàn)狀的評(píng)價(jià)，以及對(duì)被審計(jì)單位改進(jìn)當(dāng)前IT控制提供的建議。

IT審計(jì)報(bào)告在正式發(fā)布前，需要與被審計(jì)單位的管理層就審計(jì)初稿進(jìn)行溝通修訂，獲得同意后才能定稿并發(fā)布。審計(jì)師需要在審計(jì)報(bào)告中說明報(bào)告的有效范圍及需要明確的任何信息，同時(shí)，審計(jì)師需要在審計(jì)報(bào)告中清晰、準(zhǔn)確地表達(dá)自己的聯(lián)系方式，以承諾對(duì)報(bào)告的內(nèi)容負(fù)責(zé)，確保如果第三方對(duì)該報(bào)告進(jìn)行利用或?qū)徍藭r(shí)可以獲得必要的信息。

當(dāng)然，審計(jì)報(bào)告的提交并不意味著IT審計(jì)過程的完結(jié)，審計(jì)師需要對(duì)自己在報(bào)告中提出的建議進(jìn)行跟蹤。

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊

風(fēng)險(xiǎn)