企业IT审计方法研究及应用,本文主要内容关键词为:方法论文,企业论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
随着信息技术在企业管理中的广泛运用,传统的控制、管理、检查和审计技术都受到了巨大的挑战。信息化目标的实现、信息基础构架的安全稳定高效运行,均需要通过IT审计手段予以保障。通过IT审计,可以确保企业的各项IT风险得到合理的、有效的控制,使得企业IT资源更好地为运营目标服务,实现信息系统价值的最大化。
一、企业IT风险分类
随着信息技术在现代企业运营中的广泛使用,企业的业务和管理活动越来越依赖于信息系统开展。企业IT风险综合存在于企业战略、操作、合规和财务四大风险领域。一旦关键的IT风险得不到有效控制,就可能导致企业遭受巨大损失。结合IT活动的分类,通常将企业的IT风险划分为如下五类:
1.IT战略风险。IT战略是企业整体发展战略的重要组成部分,也是实现企业整体战略的必要支撑及手段。IT战略风险是由于信息技术战略、行动计划或IT活动偏离企业的业务目标,从而导致企业的IT投入未能为企业运行或发展创造应有的价值以及由于IT战略的制定及更新未能与企业整体发展战略相适应,根据滞后的IT战略所做出的IT决策和投资无法适应企业发展的要求、甚至会阻碍企业目标实现等风险。
2.IT项目风险。IT项目生命周期包括规划、需求分析、系统设计、编程与实现、测试、运维与下线多个阶段,在任何阶段都存在导致项目失败的因素及风险,如交付的信息系统偏离用户需求、IT项目未能按照预定时间表交付等。存在有效的IT审计机制,能够促使IT项目实施规划得到必要的分析及评估,能够在项目实施之初就发现照搬外方模式所带来的风险,并对项目规划阶段的蓝图设计提出独立的审计意见,也就能最大限度保证系统实施的方案与本地用户的实际需求相符合,从而避免错误的投入和对企业发展进程的影响。
3.IT安全风险。信息安全风险指在信息系统整个生命周期中面临的人为或自然的威胁、利用系统存在的脆弱性导致信息安全事件发生的可能性及其造成影响的风险。威胁信息安全的因素,包括网络攻击、数据篡改或窃取、信息系统的非授权访问等。有效的IT审计机制能够监督企业是否针对信息安全已经建立了充分的保护机制并得到有效执行。
4.IT服务风险。IT服务风险是IT服务组织提供的IT服务无法满足用户预期水平的风险,如服务器宕机、备份恢复失败、信息系统运行效率低下、系统数据错误等。
5.IT合规风险。IT合规风险是企业的IT运营与管理不能满足内外部的合规要求,从而导致企业蒙受损失的风险。企业内外部多样化的IT安全威胁,自身复杂且不断发展的IT应用环境,国内外越来越多、越来越复杂的法律法规要求,都使得企业面临相当程度的IT风险,亟待开展IT审计识别、控制和规避,巩固信息化在企业发展中的战略地位,真正发挥信息技术的核心价值。
二、企业IT审计
IT审计是指客观独立的第三方对信息系统从计划、研发、实施到运行维护各个过程进行审查与评价的活动,以审查企业信息系统是否有效、安全、可靠,是否有效的保护资产、完成组织目标、保证数据完整,保证信息系统得出准确可靠的数据。IT风险是企业管理层亟待关注与控制的重要领域,而IT审计正是帮助企业识别IT风险与相关控制、评价控制的效果,进而发现内部控制不足并及时改善、规避IT风险的活动。企业需要对IT风险有一套行之有效的控制体系从而将IT风险降低到可以容忍的范围,通过实施相应的IT审计,有效规避和消除IT风险。
(一)IT审计内容
1.IT系统建设审计。通过开展系统实施前审计、实施中审计和实施后审计,能够在系统设计时验证系统的功能与用户需求的一致性,监督系统的开发或实施过程是否受到良好的控制(时间、成本与目标/质量可控)以及系统安全性,确保实施后的培训工作充分到位。
2.业务流程控制审计。通过实施业务流程的IT应用控制审计,梳理业务流程中的风险点与对应控制点,发现其中缺失的关键IT控制,能对已有的IT控制的有效性做出评估,从而就目前业务流程中的IT应用控制对风险的控制程度情况做出整体评价,并提出可能的改进建议。
3.系统控制效果审计。通过对IT一般控制审计,检查及验证IT一般控制层面的管理设计是否合理、有效,从而保障信息系统具备良好的基本控制和安全环境。结合关键应用层面IT控制的审计,如账单处理流程中的系统自动控制、系统生成财务报表过程中的自动计算等,以保证关键IT应用中的控制有效。
(二)IT审计标准
为了保证审计结果的客观性和权威性,IT审计人员必须采用一套公认的、权威的审计标准作为实施IT审计的基本准则和实施依据。IT审计标准应包括两方面:一是关于IT审计本身如何开展,如审计对象、审计方式、审计流程等。二是IT审计时判定审计对象是否符合要求的标准,应包含国家规定、行业规定、企业内部制度规范等。
在众多的国际和国内IT审计标准中,一般以COSO为IT管控的主要框架,将IT控制环境分为控制、技术、流程、组织架构和角色、人员和指标体系六个控制层面。而IT审计也一般根据COSO的IT管控体系,对每个层面采用不同的标准来建立IT审计框架,如图1所示。
COSO框架涉及ITIL、COBIT和ISO 27001三个标准,这三个标准所强调的目标不同。虽然这些标准中存在重叠之处,但是它们更多的是互补和交叉关系,而非重复。在实际工作中,需要根据企业的实际情况,根据IT审计工作的重点,分阶段采用不同的标准。
(三)IT审计范围
在COSO对内部控制框架从层次和要素定义的基础上,参考结合在IT管理界被广泛使用的其他内部控制评估标准后,业界制定的IT内部控制体系总的来说分为组织层面的IT控制、IT一般控制和应用系统控制。其中IT一般控制是IT内部控制框架中企业层面和应用层面重要的衔接点,IT审计范围如图2所示。
1.组织层面的IT审计。组织层面的IT审计是检查企业内部关于IT方面的控制设计及实施是否有效,为企业管理层最终发表内部控制有效性声明提供支持证据。根据企业组织策略的不同,IT审计每年关注的重点有所不同,因此需要基于风险分析和评估的结果进行组织层面的审计。
2.一般控制层面的IT审计。IT一般控制是指为保证在一段时期内应用控制的持续有效性,而在变更管理、逻辑访问和IT操作管理等方面的系统控制,是支持应用程序控制和依赖IT的手工控制持续运行的控制。因为这些控制对一个以上的应用程序和数据集都有效,所以被称为IT一般控制。
3.应用控制层面的IT审计。一般而言,控制会或多或少地依赖企业的应用程序,应用程序控制是在应用系统中由程序执行的控制,用以替代很多由人工完成的基础性检查工作,是指在业务流程层面为了合理保证应用系统准确、完整,及时完成业务数据的生成、记录、处理、报告等功能而设计、执行的信息技术控制。由于应用程序控制普遍适用于各种交易的处理,所以应用程序控制是否有效对于财务报表的完整性、正确性以及企业内部控制的有效性有着重要影响。应用程序控制可以分为系统自动控制与人工干预系统控制两类。
(四)IT审计方法
IT审计方法应当由审计部门的管理人员制定和批准,在审计过程中一贯使用。实施IT审计首先要了解企业的IT环境,使用基于风险的审计方法确定审计范围、制定审计目标和审计工作计划。IT审计流程如图3所示。
对于IT组织层面、一般控制层面和应用程序控制层面的审计方法分别如下:
1.IT组织层面的审计方法。结合COSO控制体系和公司情况设计调查问卷,主要包括控制环境、风险评估、控制活动、信息与沟通、监控五个方面。根据问卷,与公司领导或IT管理层访谈。根据文档审阅结果,评价公司层面IT控制的有效性。填写问题发现汇总表、提出整改建议。
2.一般控制层面和应用程序控制层面的IT审计方法。实施IT审计的典型审计流程是:确定审计目标和审计范围,获取并记录对审计对象的了解情况;进行风险评估和总体审计计划安排;制订详细的审计计划;选择审计方法;检查并评估审计对象;进行穿行测试和控制测试,找出控制设计和执行方面的问题;将测试结果与管理层进行沟通,协助管理层制订缺陷整改计划;准备审计报告;针对审计报告指出的问题进行后续跟踪。
(五)IT审计制度
企业应建立健全统一的IT审计制度,宏观规划IT审计频率和范围,设计IT审计工作的各层级执行、分工和汇报条线。各分(子)公司可在总部IT审计制度的框架内,创建适合自身业务特点和工作要求的IT审计工作细则。
标签:审计方法论文; 审计计划论文; 信息安全论文; 审计流程论文; 审计目标论文; 信息系统规划论文; 内部控制论文; it审计论文;