)IT审计
IT审计书籍
IT审计设计整个信息系统的生命周期,IT审计不是单纯强调对软硬件的审计。它的审计对象涵盖整个信息系统所有活动和中间产物,并包括信息系统实施相关的外部环境。一般来说,对企业实施IT审计的对象有:本企业内的IT审计师、外部IT审计事务所委托审计师和国家审计机构。IT审计按照信息系统的生命周期分为业务计划审计,业务开发审计、业务执行审计和业务维护审计以及涵盖整个信息系统周期的共通业务审计。
1、业务计划审计主要面向信息系统的企划,对信息系统的投资可行性,系统规划与公司战略的相关性,系统开发计划的可行性以及系统需求的完整性和正确性进行审核和验证。
2、业务开发审计对信息系统开发的各个阶段的相关人员的活动、信息、中间产物进行审核,确认这些活动、信息和中间产物的规范性、有效性和对于信息系统目标的针对性。
3、业务执行审计确认与信息系统运行相关的数据、软硬件、安装环境等是否符合信息系统的运营要求,同时对信息系统的功能、性能、易用度、可操作性等进行评估。
4、业务维护审计对信息系统的维护活动和维护结果实施审核和评价。发现在维护中可能出现的各种漏洞和信息系统维护中急待改善的问题。
5、共通业务审计涉及文档管理、进度管理、人员管理、采购管理、风险管理等,检查这些过程的规范性和有效性,并提出改良建议。
作为企业,建立一个完善的IT审计制度需要做到以下几点:
(1)IT审计师是跨信息技术和审计技术的复合型人才,要实施企业的IT审计制度,必须重视和培养合格的IT审计师;
(2)企业应该建立相应的IT审计部门或审计岗位,确定其部门和岗位职责,并将之置于企业经营者的直接管理之内;
(3)企业应该制定相应的IT审计准则、实施报表、报告等进行IT审计所必须的凭据;
只得一提的是,企业在建立IT审计制度时应当遵循国家相关IT审计的法规并结合本企业的业务实际进行。企业的IT审计制度不是一成不变的,根据具体企业的营运情况可以在每个审计年度终结后新的审计年度开始前做相应的修改和增删。
IT审计指示图1、基本计划是一个审计年度内相关IT审计活动的计划,确认年度内IT审计的各项任务及其大致时间安排。基本计划需要提交经营层批准。它是对整个IT审计年度的活动指引方针。内容包括:审计对象、审计场所、审计原则、日程安排等。
2、详细计划(分期计划)针对具体项目(系统)或任务,得到IT审计部门领导的许可即可,详细计划需要告知被审计对象。详细计划的内容包括:审计对象、目的、审计流程、审计要点、审计时间、相关人员、审计报告提交事项等内容。
作为企业,建立一个完善的IT审计制度需要做到以下几点:
(1)IT审计师是跨信息技术和审计技术的复合型人才,要实施企业的IT审计制度,必须重视和培养合格的IT审计师;
(2)企业应该建立相应的IT审计部门或审计岗位,确定其部门和岗位职责,并将之置于企业经营者的直接管理之内;
(3)企业应该制定相应的IT审计准则、实施报表、报告等进行IT审计所必须的凭据;
企业在建立IT审计制度时应当遵循国家相关IT审计的法规并结合本企业的业务实际进行。企业的IT审计制度不是一成不变的,根据具体企业的营运情况可以在每个审计年度终结后新的审计年度开始前做相应的修改和增删。
IT审计会议在不久的将来,无论是国家审计、内部审计还是注册会计师审计,不懂IT技术必然遭遇灾难性风险,离开IT审计将寸步难行。国际著名会计公司德勤会计师行的高级合伙人鲍威尔先生指出,全世界即将迎来管理领域信息化的高潮。信息技术对传统管理和控制的挑战是空前的,主要表现在三个方面:一是内部控制环节的变化,许多传统的控制手段已经失去意义,评价和改进内部控制必须以信息系统的运转为基础;二是管理的风险增加,由于企业经营越来越依赖于信息系统,除了传统意义上的经营风险、控制风险和财务风险之外,企业信息系统安全性导致的信息技术风险日益增长;三是对复合性高级人才的需求骤增,要求管理者、审计师和咨询人员必须在精通管理和专业的同时熟悉信息系统和网络技术。
信息技术的发展对中国注册会计师和会计师事务所提出了更高的要求。国际同行的业务收入中,传统的财务审计服务所占收入比例正在迅速下降,风险控制服务和管理咨询服务收入的比重大大提高,而这些收入增长的部分往往又和IT环境审计、信息系统安全审计服务等技术性审计有关。可以断言:在整个社会信息化程度迅速提高的今天,如果中国的会计师事务所不及早作好IT技术方面的人才准备,不仅谈不上和五大著名的国际会计师事务所竞争,而且连国内的市场也会丧失殆尽。
[1] 希赛 http://audit.csai.cn/college/200610110851221986.htm
[2] IT168 http://cio.it168.com/i/2007-05-08/200705081033437.shtml
