IT审计

1. 到底什么是IT审计?#

IT审计是检查和评估自动信息处理系统和相关的非自动处理流程及两者之间的接口关系。是独立于信息系统本身、信息系统相关开发、使用人员的第三方-IT审计师采用客观的标准对信息系统的策划、开发、使用维护等相关活动和产物进行完整地、有效地检查和评估。

2. IT审计的目的是什么?#

IT审计是搜集并评价审计证据,以判断信息系统和相关的资源是否可以充分、安全地保有资产,维护数据和系统集成及其可用性;是否可以提供相关和可靠的信息,有效地利用资源,并卓有成效地实现组织目标;是否存在有效的内部控制从而合理保障业务、运作和控制目标的实现,及时的预防、发现和纠正不良事件的发生。 

3. IT审计主要工作职责有哪些?#

IT审计的主要工作有: 

 与IT部门合作,识别和分析评估IT风险,制定控制目标、标准、程序和流程;了 解和分析IT控制相关的国际、国内的法律、法规和体系标准等;了解IT技术的发展,特别是信息安全技术方面的进展和信息服务管理的最佳实践; 

 编制IT审计计划,执行IT审计并出具审计报告,审计方式有年度IT审计和IT专项审计等,审计的内容则包括一般性控制审计(ITGC:IT General Control)和应用控制审计(ITAC:IT Application Control)等。

3.1 IT一般性控制审计#

一般性控制审计包括IT整体层面的控制审计(ITELC:IT Entity-level Control)和IT活动层面的控制审计(ITALC:IT Activity-level Control)。

3.1.1 IT整体层面的控制审计#

一般性控制审计的审计对象为IT治理和管理的体系框架,包括: 

 IT组织架构、信息架构、IT战略战术计划、IT人力资源和培训、IT服务级别和第三方服务管理等控制环境等审计;

 IT风险评估体系审计; 

 IT内控程序与流程、角色与职责、控制目标分析等IT内控活动及信息沟通体系等 审计;

 IT内控质量保证、IT内部审计等IT内控监督体系审计;

3.1.2 IT活动层面的控制审计#

IT活动层面的控制审计,审计对象为具体的执行性IT活动和流程,包括:

 系统开发与变更管理审计:包括系统、程序和基础设施开发、获取、安装、测试与 维护、系统配置、数据输入、处理和输出等管理以及变更管理流程等; 

 逻辑访问和系统安全审计:审计内容包括系统和网络安全、网络入侵和病毒防范、 用户访问管理、物理访问管理和SoD(职责分离)等;

 IT运作审计,包括DRP(数据恢复和容灾)、BCP(业务连续性计划)、问题和突 发事件管理等。 

3.2 应用控制审计#

集团主要的业务应用系统有:SAP(MM/PP/SD/FI/CO)和相关的营销(KMIS)、分销KDS、物流(TPL)和供应商管理、数据抽取和决策支持(BW、BCS、KDW)等业务应用系统,以及相关的移动应用系统等,其他应用系统包括KMS、Email、RTX、Portal等,审计工作内容包括:

 分析确定应用系统的强度,评价控制弱点的影响,开发审计测试策略; 

 审计应用系统的数据输入的完整性、准确性、合法性等,数据处理的准确性、完整 性,以及数据输出的保密性等相关内容。

 审计应用系统的安全、用户管理和SoD等; 

 审计应用系统文件,包括应用程序开发文档:需求分析、设计、编程和程序变更等文档,以及用户手册,维护支持和服务等文档;

 审计应用系统的开发、实施和项目管理过程等; 

4、IT审计与其他类型审计有何关系?#

综合审计:指依照适当的审计原则,全面评估运营、程序/流程和实体上的主要内部控制措施及其有效性。

财务审计:指审计人员对被审计单位的会计报表的合法性、公允性发表审计意见。财务审计常常需要详细的实质测试。这种类型的审计涉及到信息的完整性和可靠性。

运营审计:对企业的采购、生产、销售、财务、税务、人力资源、IT等某个特定领域的运营活动的内部控制体系进行评估。

因此,从总体上来讲,IT审计作为综合审计的一个有机组成部分(如上图所示) ,其角色责任主要是理解并识别诸如信息管理、IT体系、IT治理和IT运营等审计对象的风险。其他审计专业人员则要了解组织的环境、业务风险和业务控制。综合审计方法的一个关键部分是整个审计团队讨论风险、风险的影响和发生的可能性。

4.1 IT整体层面的控制审计与其它审计的关系 #

一般说来,IT一般性控制审计中的整体层面的控制审计基本也属于运营审计的范畴,由于IT治理的独特性,且其主要关注的是IT直接相关的运营活动,比如整体性运营审计也关注人力资源管理,但IT审计则只关注IT人员与系统用户相关的人力资源管理控制。此部分的IT审计职能基本上与其它审计还是并行关系,当该部分的审计活动涉及到集团的整体性治理与控制时,则可以将IT整体层面的控制审计作为整体性运营审计的一部分。

4.2 IT活动层面的控制审计与其它审计的关系#

IT一般性控制审计中的IT活动层面的控制审计主要关注的是具体的IT活动,具体说来有:  系统开发与变更管理审计、IT运作审计关注信息系统本身的开发、变更管理、灾难恢复和业务连续性管理等流程,是保证信息系统完整、准确的、可用和可靠的具体内部控制措施,与其他运营审计和财务审计有很清晰的界限;  逻辑访问控制、物理访问管理和SoD(职责分离)主要关注的是系统中,信息的输入、输出时的权限划分,可以认为是IT运营控制措施在信息系统应用中的具体体现,因此也属于运营审计的范畴。在执行此部分的审计时,可以把其它运营审计的结果作为该部分审计的输入。因此,在审计的执行方法上,可以由IT审计与其它审计人员共同完成,也可以由IT审计人员在充分的考虑业务控制和职责划分的基础上完成。  系统和网络安全、网络入侵和病毒防范等其它的安全控制审计则很显然更关注信息技术本身。 

4.3 IT应用控制审计与其它审计的关系 #

IT应用控制审计主要关注应用系统本身的逻辑访问控制和应用处理的准确、完整等有效性,同时关注应用系统的全生命周期的过程管理。 

4.3.1应用处理的有效性审计与其它审计的关系 #

应用处理有效性的控制与一般性控制中的逻辑访问(如权限)控制类似,是运营控制措施在信息系统应用中的具体体现,属于运营审计的范畴。主要表现在:  应用系统数据的输入控制确保只有合法的、经授权的信息被输入系统,主要体现业务处理的职责,数据程序处理则是业务处理规则和流程在系统中的实现,数据输出控制保证数据以安全、一致和要求的格式呈现给用户,体现了安全技术要求和业务本身的规则和约束两个方面。  在执行此部分的审计时,可以把其它运营审计的结果作为该部分审计的输入,即如果某项业务流程以IT流程来实现,则其他审计人员主要关注业务操作和流程本身是否符合内控和财务规范,业务操作的结果输出是否完整、正确,而IT审计则相应的判断业务操作和流程在系统中是否进行了正确的匹配。 

4.3.2应用处理逻辑访问控制与其它审计的关系 #

与一般性控制中的逻辑访问控制类似,应用处理逻辑访问控制,也属于运营审计范畴,不同的是一般性控制中的逻辑访问控制与IT系统管理等业务运营的责任和权限相关,而应用控制中的逻辑访问控制关注的是采购、销售、生产、财务等业务运营的责任和权限相关。在审计执行方式上相类似。

4.3.3应用系统的全生命周期的过程管理审计与其它审计的关系 #

应用系统的全生命周期的过程管理包括应用系统的需求、设计、开发和变更、实施、支持等全过程管理和相应的过程文档的管理和控制等。此部分的审计与安全控制审计类似,更关注信息技术本身。   

总之,应用控制审计与其他审计可以简单的归纳为:应用控制审计关注业务控制、操作和流程规则在系统中的匹配和处理是否正确,而其他审计则关注业务控制、操作和流程规则以及业务的结果输出本身是否符合财务和内控措施。同时IT审计需要关注IT安全及信息技术的应用控制等。 

因此,如果IT审计过程中,发现某项业务控制、操作和流程本身存在缺失,则应该将之汇报给其他审计人员;反之,如果其他审计人员发现某项由系统参与处理的业务操作和流程本身没有问题,但输出结果错误,则应该将之汇报给IT审计,由IT审计人员来判断应用控制方面的缺失。