IT审计之入门概念(转贴)

[ 1418 查看 / 0 回复 ]

返回列表
发新话题 回复该主题
寒江雪
头像

  • 安全专家
  • 246
  • 185
  • 2008-02-21
2008-02-26 18:49 |只看楼主 1#
t T
在这个圈子里面也混了有年头了(8年),混过的行业包括政府、教育、科技、金融等等,论坛里面的朋友也认识不少。愿意和各位同行交流下对IT审计现状的认识,纯粹个人见解,和大家交流共同提高,不当之处,欢迎大家指正。如果有可能,以后会按照系列结合具体的问题分别进行讨论。         论坛上经常看到有人问什么是IT审计,说明IT审计在很多人眼里还很陌生,甚至包括IT管理者和审计部门的领导。IT审计在国内这些年似乎也逐渐热起来,很多时候还是拜媒体所赐,例如一度热炒的CISA就把IT审计师炒成金领的概念。还有很多培训机构/专家为了推广其理念,专门成立网站推广IT审计或者IT治理。很多学生看了这些广告软文就花了很多银子去考CISA,结果发现拿了证还是不知道什么是IT审计。IT审计热起来还有一个原因就是审计署从2000年以后开始全国性的推动“金审工程”,也就是审计信息化,核心内容之一也是IT审计。不过这些在政府审计体系之外的人就很少机会接触了。         我个人一直理解为IT审计就是在审计领域中的IT应用。按照这个可以罗列出IT审计的很多内容,例如CAAT(计算机辅助审计)、ISA(信息系统审计)、自动化工作底稿、审计档案管理、审计计划管理等等…。IT审计发展到今天,在这些领域里面都已经有非常成熟的理论体系了,基本上服务和软件的产品化程度都比较高了。下面聊聊主要的几点。         1)CAAT(Computer,计算机辅助审计),就是在日常的财务收支审计中将IT作为一种技术工具来应用,最主要的是常规审计人员如何应用审计数据获取和分析技术。其实这个在国内开始在很早以前了了,应该从1996年左右就出现国内的审计软件了。现在推广力度比较大的是《AO:审计现场实施系统》,审计署开发和推广的,由中软在销售。国外的这方面最著名的软件有ACL和IDEA,这两个软件中文版本都早就出来了,不过似乎都定位高端,因为价格很贵。也有一些审计人员用通用软件,例如ACCESS、EXCEL、SQL Server等。这些软件的比较,由于难免有主观色彩就不赘述了(其实我还是有倾向性的)。         我个人认为CAAT在国内的市场非常大。在谈系统审计、ERP审计之前,审计的核心业务还是常规审计。常规业务审计过程是收集证据而对经济活动进行评价的过程。随着信息化的普及,交易的电子化,海量的业务数据,使得传统的审计手段受到很大局限,必须依赖于电子数据分析方法。这一点,我想审计的同仁都不需要再解释了。         2) 信息系统审计(IS auditing),这个论坛里面讨论最多了。信息系统审计顾名思义就是对信息系统的审计。和常规审计最大的差异在于审计的对象变了。以前人们谈到审计都指对经济活动、业务活动进行审计,一般的审计发现都是通过案件、违纪金额、挽回损失等来体现,审计的对口单位一般是财务、销售、管理等业务部门。而IS 审计的对象完全变了,IS审计的对象是单位进行业务处理的信息系统,例如财务系统、销售系统、ERP、CRM系统。一般审计的对口单位最主要的是开发部门或者运营科技部门。审计发现是程序控制薄弱、处理错误、运行失败、数据质量、安全漏洞等问题。信息系统审计在四大和很多咨询公司已经作为成熟的服务提供了。四大里面的现在system service ,process assurance 已经是非常重要的收入来源了。我了解一个2 个普通顾问做1个月的项目,在最低折扣的情况下,收费有30W。         IS audit既然是作为服务在出售,当然就需要有服务的内容的标准化,这就涉及到怎么审计的问题。COBIT、COSO、ISO9977等都可以作为的ISA的参照审计规范。四大都有自己的系统审计操作体系。IS audit从检查的内容上看,可以分为一般控制检查(general control review)和应用控制检查(application control review)。四大和咨询公司的项目以general control review为主。一般控制就是和具体的业务关系比较弱的控制,看得最多的就是用户密码控制、操作环境控制、职责分离、变更控制、开发控制、文档控制、数据质量、信息安全等等内容,作为行内人,做多了就觉得这些司空见惯的内容,似乎没有什么技术含量,我见过四大的财务auditor转去做IT auditor,作了一段时间觉得没有意思又转回去做fiancial auditor了。也见过这方面的高手,就是那些在某一个专业的IT领域浸淫了10多年,在操作系统、网络安全、数据库管理、项目管理等方面非常有经验,也可以提出非常专业的审计意见,这个就是大家所仰慕的对象了。         系统审计另外一个内容是应用控制,和一般控制区别最大在于,应用控制是和业务逻辑密切相关的。以银行业为例,如果我们来审计一个信贷管理系统,会看什么呢?我会看信贷审批流程、客户评级体系、贷款5级分类、利率管理、收费管理等等这些控制。例如信贷审批流程里面会看在系统对贷前调查、资料完整性、额度管理、权限分配等方面有无控制。如果存在系统控制,则认为风险较小,在业务审计中可以减小样本规模,否则要增加样本规模(理解?)。应用控制审计的审计发现不仅仅是系统设计开发的缺陷,更多的时候也有舞弊损失。从审计的内容来看,应用控制检查与单位的日常业务处理关系更密切,审计发现也和经营成果(财物报表)有更直接的关系,似乎增值效应更加明显,管理者也容易理解你写的报告,更容易为管理层所接受(很多管理层对一般控制的检查结果将信将疑,认为:一直就这样,从来没有问题)。 ——to be continued
TOP
返回列表
上一主题 | 下一主题