李强(备注,“本文人物均为化名”)所以会深入了解的IT审计产品,其实是为了降低企业所面临的IT风险,即便危害发生也能快速找到防范,从而将风险降低。那么,IT审计产品是否能够真正解决李强的担心?具体该怎么去审?审计的同时是否会引入新的困扰?
为了解答李强的这些疑问,国都兴业技术专家开始介绍起IT审计的过程。
IT审计的过程可以概括为:基于被审计信息系统的IT风险,围绕IT控制的有效性和符合性,在充分获取真实证据的条件下,经过综合分析评估,得出并报告审计结论及审计建议。
由此可以看出,IT审计的关键要素包括IT风险、IT控制以及审计证据。
IT审计风险主要包括固有风险、控制风险、审计风险和剩余风险四类。其中,固有风险是指在不对信息系统部署任何控制措施情况下,信息系统自身所有具有的风险;控制风险指由于控制设计以及执行的不合理或不准确,使信息系统具有的风险;审计风险,是指由第三方审计师对信息系统进行审核评估的过程中带来的风险;剩余风险,是指结合固有风险、控制风险及审计风险对系统风险情况做出的综合评估。
对于被审计单位而言,在IT审计过程中得到的风险结论实际是审计师对于剩余风险的描述。
俗话说,无规矩不成方圆,只有以统一的标准作为基线,才能确保审计师执行IT审计过程中有章可循,提高审计效率并保证审计效果,也有助于其他审计人员在相同条件(使用相同的标准和证据)下对审计结论进行验证,规避由于审计师能力不足或评估不客观等风险,确保审计结论准确。
所以,ISACA的信息系统审计准则对IT审计的执行过程做出明确要求,要求IT审计遵循一定的流程,可以粗略地划分为:制定审计计划、执行系统审计、提交审计报告以及进行后续跟踪等五个阶段。
第一,建立审计章程。审计章程中需要明确IT审计的总体目标及IT控制范围,并约定审计职责
第二,制定审计计划。审计师首选需要对被审计单位的业务运营情况、被审计信息系统承载的业务信息以及系统结构有所了解,然后进行风险评估,对被审计系统的关键控制点以及现有的IT控制情况进行了解。
审计师需要对IT控制的重要性进行评估,评估过程需要综合资产的价值及控制检查活动的投入回报比等多方面信息做出判断,决定是否需要以及需要对具体哪些控制进行检查,以控制审计风险的程度,确保剩余风险在被审计单位的风险容忍度范围之内。审计师做出综合判断后,需要根据信息系统审计准则的相关要求完成审计计划。
第三,搜集证据并完成IT控制的符合性测试。所谓符合性测试,是针对控制的设计的有效性进行检测,审计师通过调查取证,了解被审计单位如何设计IT控制。审计师需要结合专业知识,判断组织是否按照相关法律法规、行业标准以及最佳实践的要求设计IT控制:如果满足相关要求,则认为这些IT控制具有符合性;如果不满足相关要求,审计师就需要了解被审计单位真实的IT控制如何设计,并综合判断当前IT控制能否有效控制信息系统风险。
对于被审计单位真实采用的IT控制,如果与规定、标准及最佳实践的要求不一致,则称为补偿性控制,被审计单位的补充性控制如果可以有效规避信息系统风险,则同样视被审计单位的IT控制具有符合性。审计师需要获得充分、真实的证据支持对被审计单位IT控制符合性的判断。
第四,搜集证据并完成IT控制的实质性测试。IT控制经过设计和执行两个阶段,才能发挥效用,因此,IT审计在执行控制测试时,同样需要针对IT控制的两个阶段分别进行测评。IT控制的实质性测试阶段,是针对通过符合性测试的IT控制的执行情况进行检测,需要大量的证据以真实反映IT控制的实施过程。
理论上讲,只有对所有的操作记录进行核对检测才能完全真实地反映IT控制的实质性,但由于信息系统记录数据量巨大,且历史操作记录的保存情况与信息系统自身的技术和机制有极大的依赖关系,无法做出统一的约束,换言之,对所有的操作记录进行审查基本上是不可行的,因此,这一过程通常采用统计学的相关方法进行处理。例如,使用抽样的方法进行分析,抽样的样本空间设计依据被审计信息系统的业务交易量、IT控制重要性等要素进行综合考虑。经过抽样取证分析后,如果IT控制的执行过程与控制设计的要求一致,则认为该IT控制通过实质性测试,否则认为控制无效。
第五,综合评估证据以获得结论,并提交审计报告。审计报告需要按照信息系统审计准则中有关审计报告的标准要求进行撰写,报告除了审计过程的基本信息外,需要包含对被审计信息系统的IT控制现状的评价,以及对被审计单位改进当前IT控制提供的建议。
IT审计报告在正式发布前,需要与被审计单位的管理层就审计初稿进行沟通修订,获得同意后才能定稿并发布。审计师需要在审计报告中说明报告的有效范围及需要明确的任何信息,同时,审计师需要在审计报告中清晰、准确地表达自己的联系方式,以承诺对报告的内容负责,确保如果第三方对该报告进行利用或审核时可以获得必要的信息。
当然,审计报告的提交并不意味着IT审计过程的完结,审计师需要对自己在报告中提出的建议进行跟踪。
听到这里,李强又有了新的担心:即使审计流程很规范也做不好审计工作,因为自己所在企业的信息系统非常复杂,要把这些复杂的对象糅合在一起,该是怎样一片乱局啊?李强不禁发起愁来,究竟由谁来进行审计更合适呢?请看《走近IT审计系列之四:审计也存在门槛》。