探索中国CIO人才现状 | 第四季调研报告
IT审计风险主要包括那些及详解
2014-02-11  作者:IT审计风险 

  IT审计风险主要包括固有风险、控制风险、审计风险和剩余风险四类。其中,固有风险是指在不对信息系统部署任何控制措施情况下,信息系统自身所有具有的风险;控制风险指由于控制设计以及执行的不合理或不准确,使信息系统具有的风险;审计风险,是指由第三方审计师对信息系统进行审核评估的过程中带来的风险;剩余风险,是指结合固有风险、控制风险及审计风险对系统风险情况做出的综合评估。


  对于被审计单位而言,在IT审计过程中得到的风险结论实际是审计师对于剩余风险的描述。


  俗话说,无规矩不成方圆,只有以统一的标准作为基线,才能确保审计师执行IT审计过程中有章可循,提高审计效率并保证审计效果,也有助于其他审计人员在相同条件(使用相同的标准和证据)下对审计结论进行验证,规避由于审计师能力不足或评估不客观等风险,确保审计结论准确。


  所以,ISACA的信息系统审计准则对IT审计的执行过程做出明确要求,要求IT审计遵循一定的流程,可以粗略地划分为:制定审计计划、执行系统审计、提交审计报告以及进行后续跟踪等五个阶段。


  第一,建立审计章程。审计章程中需要明确IT审计的总体目标及IT控制范围,并约定审计职责


  第二,制定审计计划。审计师首选需要对被审计单位的业务运营情况、被审计信息系统承载的业务信息以及系统结构有所了解,然后进行风险评估,对被审计系统的关键控制点以及现有的IT控制情况进行了解。


  审计师需要对IT控制的重要性进行评估,评估过程需要综合资产的价值及控制检查活动的投入回报比等多方面信息做出判断,决定是否需要以及需要对具体哪些控制进行检查,以控制审计风险的程度,确保剩余风险在被审计单位的风险容忍度范围之内。审计师做出综合判断后,需要根据信息系统审计准则的相关要求完成审计计划。


  第三,搜集证据并完成IT控制的符合性测试。所谓符合性测试,是针对控制的设计的有效性进行检测,审计师通过调查取证,了解被审计单位如何设计IT控制。审计师需要结合专业知识,判断组织是否按照相关法律法规、行业标准以及最佳实践的要求设计IT控制:如果满足相关要求,则认为这些IT控制具有符合性;如果不满足相关要求,审计师就需要了解被审计单位真实的IT控制如何设计,并综合判断当前IT控制能否有效控制信息系统风险。


  对于被审计单位真实采用的IT控制,如果与规定、标准及最佳实践的要求不一致,则称为补偿性控制,被审计单位的补充性控制如果可以有效规避信息系统风险,则同样视被审计单位的IT控制具有符合性。审计师需要获得充分、真实的证据支持对被审计单位IT控制符合性的判断。


  第四,搜集证据并完成IT控制的实质性测试。IT控制经过设计和执行两个阶段,才能发挥效用,因此,IT审计在执行控制测试时,同样需要针对IT控制的两个阶段分别进行测评。IT控制的实质性测试阶段,是针对通过符合性测试的IT控制的执行情况进行检测,需要大量的证据以真实反映IT控制的实施过程。


  理论上讲,只有对所有的操作记录进行核对检测才能完全真实地反映IT控制的实质性,但由于信息系统记录数据量巨大,且历史操作记录的保存情况与信息系统自身的技术和机制有极大的依赖关系,无法做出统一的约束,换言之,对所有的操作记录进行审查基本上是不可行的,因此,这一过程通常采用统计学的相关方法进行处理。例如,使用抽样的方法进行分析,抽样的样本空间设计依据被审计信息系统的业务交易量、IT控制重要性等要素进行综合考虑。经过抽样取证分析后,如果IT控制的执行过程与控制设计的要求一致,则认为该IT控制通过实质性测试,否则认为控制无效。


  第五,综合评估证据以获得结论,并提交审计报告。审计报告需要按照信息系统审计准则中有关审计报告的标准要求进行撰写,报告除了审计过程的基本信息外,需要包含对被审计信息系统的IT控制现状的评价,以及对被审计单位改进当前IT控制提供的建议。


  IT审计报告在正式发布前,需要与被审计单位的管理层就审计初稿进行沟通修订,获得同意后才能定稿并发布。审计师需要在审计报告中说明报告的有效范围及需要明确的任何信息,同时,审计师需要在审计报告中清晰、准确地表达自己的联系方式,以承诺对报告的内容负责,确保如果第三方对该报告进行利用或审核时可以获得必要的信息。


  当然,审计报告的提交并不意味着IT审计过程的完结,审计师需要对自己在报告中提出的建议进行跟踪。