IT審計工作職責及與其他審計的關系

1、it審計工作職責及與其他審計的關系1. 信息系統(tǒng)審計的定義信息系統(tǒng)審計是檢查和評佔自動信息處理系統(tǒng)和相關的非自動處理流程及兩者z間的接 口關系。2. 信息系統(tǒng)審計目的信息系統(tǒng)審計是搜集并評價審計證據(jù)，以判斷信息系統(tǒng)和相關的資源是否可以充分、安 全地保有資產(chǎn)，維護數(shù)據(jù)和系統(tǒng)集成及其可用性；是否可以提供相關和可靠的信息，有效地 利用資源，并卓有成效地實現(xiàn)組織目標；是否存在有效的內部控制從而合理保障業(yè)務、運作 和控制目標的實現(xiàn)，及時的預防、發(fā)現(xiàn)和糾正不良事件的發(fā)生。3. 信息系統(tǒng)審計的工作職責信息系統(tǒng)審計的主要工作冇：/ 與it部門合作，識別和分析評估it風險，制定控制目標、標準、程序和流程；了 解

2、和分析it控制相關的國際、國內的法律、法規(guī)和體系標準等；了解it技術的發(fā) 展，特別是信息安全技術方面的進展和信息服務管理的最佳實踐；/ 編制it審計計劃，執(zhí)行it審計并出具審計報告，審計方式有年度it審計和it專項 審計等，審計的內容則包括一般性控制審計(itgc:it gcncnil control)和應用控 制審計(itac:it application control)等；3.1 it 一般性控制審計一般性控制審計包括it整體層面的控制審計(itelc:itemiylevel control)和it活動層面的控制審計(1talc:it activity-level control)o3丄

3、1 it整體層面的控制審計一般性控制審計的審計對象為it治理和管理的體系框架，包括：/ it組織架構、信息架構、it戰(zhàn)略戰(zhàn)術計劃、it人力資源和培訓、it服務級別和第 三方服務管理等控制環(huán)境等審計；/ it風險評估體系審計；/ it內控程序與流程、角色與職責、控制目標分析等it內控活動及信息溝通體系等 審計;/ it內控質量保證、it內部審計等it內控監(jiān)督體系審計；3.1.2 it活動層面的控制審計1t活動層面的控制審計，審計對彖為具體的執(zhí)行性it活動和流程，包括：/ 系統(tǒng)開發(fā)與變更管理審計：包括系統(tǒng)、程序和基礎設施開發(fā)、獲収、安裝、測試與 維護、系統(tǒng)配置、數(shù)據(jù)輸入、處理和輸出等管理以及變更管

4、理流程等；/ 邏輯訪問和系統(tǒng)安全審計：審計內容包括系統(tǒng)和網(wǎng)絡安全、網(wǎng)絡入侵和病毒防范、 用戶訪問管理、物理訪問管理和sod （職責分離）等；/ it運作審計，包括drp （數(shù)據(jù)恢復和容災）、bcp （業(yè)務連續(xù)性計劃）、問題和突 發(fā)事件管理等。3.2應用控制審計集團主要的業(yè)務應用系統(tǒng)有：sap（mm/pp/sd/fi/co）和相關的營銷（kmis）、分銷kds、 物流（tpl）和供應商管理、數(shù)據(jù)抽取和決策支持（bw、bcs、kdw）等業(yè)務應用系統(tǒng)， 以及相關的移動應用系統(tǒng)等，其他應用系統(tǒng)包括kms、email. rtx、poilal等，市計工作 內容包括：/分析確定應用系統(tǒng)的強度，評價控制弱點的

5、影響，開發(fā)審計測試策略；/ 審計應用系統(tǒng)的數(shù)據(jù)輸入的完整性、準確性、合法性等，數(shù)據(jù)處理的準確性、完整 性，以及數(shù)據(jù)輸出的保密性等相關內容。丁審計應用系統(tǒng)的安全、用戶管理和sod等；/ 審計應用系統(tǒng)文件，包括應用程序開發(fā)文檔：需求分析、設計、編程和程序變更等文檔，以及用戶手冊，維護支持和服務等文檔;/ 審計應用系統(tǒng)的開發(fā)、實施和項n管理過程等;四、信息系統(tǒng)審計與綜合審計、財務審計、運營審計等的關系綜合審計：指依照適當?shù)膶徲嬙瓌t，全面評估運營、程序/流程和實體上的主要內部控制 措施及其有效性。財務市計：指市計人員對被市計單位的會計報表的合法性、公允性發(fā)表市計意見。財務 審計常常需要詳細的實質測試。

6、這種類型的審計涉及到信息的完整性和町靠性。運營審計：対企業(yè)的采購、生產(chǎn)、銷售、財務、稅務、人力資源、1t等某個特定領域的 運營活動的內部控制體系進行評估。因此，從總體上來講，it審計作為綜合審計的一個有機組成部分（如上圖所示），其角 色責任主要是理解并識別諸如信息管理、it體系、it治理和it運營等市計對象的風險。其 他審計專業(yè)人員則耍了解組織的壞境、業(yè)務風險和業(yè)務控制。綜合審計方法的一個關鍵部分 是整個審計團隊討論風險、風險的影響和發(fā)生的可能性。五、it審計與其它審計的關系與權限區(qū)隔5.1 it整體層面的控制審計與其它審計的關系-般說來，it 一般性控制審計中的整體層ifii的控制審計基木也

7、屬于運營審計的范疇, 但山于it治理的獨特性，且其主要關注的是it總接相關的運營活動，比如整體性運營市計 也關注人力資源管理，但it審計則只關注it人員與系統(tǒng)用戶相關的人力資源管理控制。此 部分的it審計職能基本上與其它審計還是并行關系，當該部分的審計活動涉及到集團的整 體性治理與控制時，則可以將it整體層面的控制審計作為整體性運營審計的一部分。5.2 it活動層面的控制審計與其它審計的關系it 一般性控制審計中的it活動層面的控制審計主要關注的是具體的it活動，具體說 來有：系統(tǒng)開發(fā)與變更管理審計、it運作審計關注信息系統(tǒng)本身的開發(fā)、變更管理、災難恢 復和業(yè)務連續(xù)性管理等流程，是保證信息系統(tǒng)

8、完整、準確的、可用和可靠的具體內部控制措 施,其他運營審計和財務審計有很清晰的界限；邏輯訪問控制、物理訪問管理和sod （職責分離）主要關注的是系統(tǒng)中，信息的輸入、 輸岀時的權限劃分，可以認為是it運營控制措施在信息系統(tǒng)應用屮的具體體現(xiàn)，因此也屬 于運營審計的范疇。在執(zhí)行此部分的審計時，可以把具它運營審計的結果作為該部分審計的 輸入。因此,在審計的執(zhí)行方法上,可以由it審計與其它審計人員共同完成,也可以由it 審計人員在充分的考慮業(yè)務控制和職責劃分的基礎上完成。系統(tǒng)和網(wǎng)絡安全、網(wǎng)絡入侵和病毒防范等其它的安全控制審計則很顯然更關注信息技 術木身。5.3 it應用控制審計與其它審計的關系it應用控

9、制審計主要關注應用系統(tǒng)本身的邏輯訪問控制和應用處理的準確、完整等有 效性，同時關注應用系統(tǒng)的全生命周期的過程管理。5.3.1應用處理的有效性審計與其它審計的關系應用處理有效性的控制與一般性控制中的邏輯訪問（如權限）控制類似，是運營控制 措施在信息系統(tǒng)應用屮的具體體現(xiàn)，屬于運營審計的范疇。主耍表現(xiàn)在：應用系統(tǒng)數(shù)據(jù)的輸入控制確保只冇合法的、經(jīng)授權的信息被輸入系統(tǒng)，主要體現(xiàn)業(yè)務 處理的職責，數(shù)據(jù)程序處理則是業(yè)務處理規(guī)則和流程在系統(tǒng)中的實現(xiàn)，數(shù)據(jù)輸出控制保證數(shù) 據(jù)以安全、一致和要求的格式呈現(xiàn)給用戶，體現(xiàn)了安全技術要求和業(yè)務本身的規(guī)則和約束兩 個方而。在執(zhí)行此部分的審計時，可以把其它運營審計的結果作為該

10、部分審計的輸入，即如果 某項業(yè)務流程以it流程來實現(xiàn)，則其他審計人員主要關注業(yè)務操作和流程木身是否符合內 控和財務規(guī)范，業(yè)務操作的結果輸出是否完整、正確，而it審計則相應的判斷業(yè)務操作和 流程在系統(tǒng)11«是否進行了正確的匹配。5.3.2應用處理邏輯訪問控制與其它審計的關系與一般性控制中的邏輯訪問控制類似，應用處理邏輯訪問控制，也屬于運營審計范疇, 不同的是一般性控制屮的邏輯訪問控制與it系統(tǒng)管理等業(yè)務運營的責任和權限札i關，而應 用控制中的邏輯訪問控制關注的是采購、銷售、生產(chǎn)、財務等業(yè)務運營的責任和權限相關。 在審計執(zhí)行方式上相類似。5.3.3應用系統(tǒng)的全生命周期的過程管理審計與其它審計的關系應用系統(tǒng)的全生命周期的過程管理包括應用系統(tǒng)的需求、設計、開發(fā)和變更、實施、 支持等全過程管理和相應的過程文檔的管理和控制等。此部分的審計與安全控制審計類似, 更關注信息技術本身?？倆,應用控制審計與其他審計可以簡單的歸納為：應用控制審計關注業(yè)務控制、操 作和流程規(guī)則在系統(tǒng)屮的匹配和處理是否正確，而其他審計則關注業(yè)務控制、操作和流程規(guī) 則以及業(yè)務的結果輸出木身是否