it审计-it审计工作内容
编辑整理:整理来源:腾讯视频,浏览量:88,时间:2022-10-12 18:14:01
it审计,it审计师是干什么的,it审计和审计区别
前沿:it审计
IT审计是独立于信息系统本身、信息系统相关开发、使用人员的第三方-IT审计师采用客观的标准对信息系统的策划、开发、使用维护等相关活动和产物进行完整地、有效地检查和评估。
由上面的定义我们可以看出,IT审计涉及整个信息系统的生命周期,IT审计不是单纯强调对软硬件的审计。它的审计对象涵盖整个信息系统所有活动和中间产物,并包括信息系统实施相关的外部环境。
IT审计按照信息系统的生命周期分为业务计划审计,业务开发审计、业务执行审计和业务维护审计以及涵盖整个信息系统周期的共通业务审计。
工程审计的方法:
1、看图法:
即看图核实工程量与工程价款,审定工程造价的一种方法基建工程决算审计,首先必须认真仔细地看清所有的施工图纸,才能全面准确无误地计算审定工程造价的真实性。
要求审计人员必须熟练掌握所有的建筑识图知识,不仅要看建筑施工图,而且要看结构施工图和竣工图;不仅要看水电平面图,而且要看水电系统图;不仅要将每一张图纸看懂吃透,而且要将所有的图纸综合分析。只有在认真看懂吃透图纸的基础上,才能发现问题、揭露问题。
2、观察法:
它是指审计人员亲临建筑现场,对审计事项进行实地观察,调查了解建设项目的实际情况,发现疑点,验证事实,核实实际工程量,审定工程造价的一种方法。
来源:交汇点
10月31日,全球著名的信息安全专业机构ISACA与审计大学合作签署一周年纪念活动——“ISACA南审校园日”在审计大学浦口校区举行,来自美国ISACA总部的全球公共事务高级副总裁Tara Wisniewski女士和审计大学领导以及相关行业专家出席了校园日活动,大家就未来阶段如何进一步整合双方优势,将行业领域的发展趋势融入学界理论创新,培养高素质、跨领域的新型信息审计与安全人才进行了深入探讨。
来自ISACA总部和中国区高层与审计大学校领导及行业专家在审计大学中和楼前合影
作为全球公认的信息科技管治、审计、保安,以及标准合规领导组织,ISACA始终关注在未来数字经济环境中,全新的业态给IT审计人才培养提出的新课题。审计大学,作为中国唯一以“审计”命名的全日制院校和我国审计高等教育发源地之一,建校以来就视推动审计研究和培养审计人才为己任。
为整合优势资源,审计大学与ISACA于2017年10月签署了正式合作协议,共同推动中国未来国际化的专业IT审计师能力培养。双方确定了从课程开发、人才教育、师资培训、科研开发、国际交流等领域的全面合作,更针对学校的专业教学现状进行有针对性的指导,帮助在校生进行早期的职业发展培育,通过互联网、学生社区、引入专业导师等方式搭建专业知识及职业发展平台。
审计大学副校长张金城教授接过美国ISACA全球公共事务高级副总裁Tara Wisniewski女士代表ISACA送上的纪念品,共同庆祝双方成功合作一周年
在携手走过的一年中,双方为在中国培养未来信息系统审计人才、展开重点合作打下了坚实的基础。依托ISACA国际平台资源优势,结合高校教研实践基础,南审携手ISACA专家和志愿者团队开展了学术与实务系列讲座,针对信息系统审计及相关专业方向学生的培养目标及需求,特邀来自不同行业背景的知名专家,从理论到实务,从行业发展到职业发展,阐述高科技时代信息系统审计职业的新内容,得到了师生们的一致好评。
据国际IT职业培训机构Global Knowledge最近颁布的《2018年IT职业与薪酬报告》显示,由ISACA颁发的四个证书全部入选“薪酬最高的15个资格证书”,揭示了IT行业未来最具潜力的职业将向数字安全领域倾斜的事实。
ISACA全球公共事务高级副总裁Tara Wisniewski女士认为:“新型的IT审计从业者不仅要专业技能过硬,更要能多角度发展来应对变革,不断改善未来企业运营和流程,因此,在人才培养过程中,必须随着企业不断变化的技术解决方案,增强IT审计从业者的适应性。目前,审计大学是ISACA在国内的首个合作高校,也是我们积极参与中国网络信息发展的创新模式。”
审计大学张金城副校长在发言中表示:“审计大学与国家审计署同时诞生,是中国审计高等教育的重要发源地和审计人才输出中心。我们一贯重视学生的专业创新素质和国际化培养,与ISACA签署协议后,将与ISACA合作建设更具针对性、更具实用性的信息系统审计人才培养模式,开发更具系统性、更加全面的信息系统审计课程群,更加有重点针对性地培育IT审计领域专才,将国际执业资格与中国学历教育相结合,培养出中国市场真正需要的国际通用型人才,这也是我们合作协议的初衷所在。”审计大学是ISACA旗下CISA(国际信息系统审计师)www.isaca.org/cisa证书在中国最早的培训基地之一。截至目前,该校共有数百名学生通过了CISA考试,毕业生的足迹遍布国内外各大知名企业、会计师事务所和金融机构等。未来阶段,双方将开展相关课程开发、课题研究以及国际合作,共同推动中国信息技术治理知识实践的产学研一体化新思路。
(责任编辑 李晓明 吴昊)
补充拓展:it审计
计划阶段是整个审计过程的起点。其主要工作包括:(1)了解被审系统基本情况
了解被审系统基本情况是实施任何信息系统审计的必经程序,对基本情况的了解有助于审计组织对系统的组成、环境、运行年限、控制等有初步印象,以决定是否对该系统进行审计,明确审计的难度,所需时间以及人员配备情况等。
了解了基本情况,审计组织就可以大致判断系统的复杂性、管理层对审计的态度、内部控制的状况、以前审计的状况、审计难点与重点,以决定是否对其进行审计。
(2)初步评价被审搜索单位系统的内部控制及外部控制
传统的内部控制制度是为防止舞弊和差错而形成的以内部稽核和相互牵制为核心的工作制度。随着信息技术特别是以Internet为代表的网络技术的发展和应用,企业信息系统进一步向深层次发展,这些变革无疑给企业带来了巨大的效益,但同时也给内部控制带来了新的问题和挑战。加强内部控制制度是信息系统安全可靠运行的有力保证。依据控制对象的范围和环境,信息系统内控制度的审计内容包括一般控制和应用控制两类。
一般控制是系统运行环境方而的控制,指对信息系统构成要素(人、机器、文件)的控制。它已为应用程序的正常运行提供外围保障,影响到计算机应用的成败及应用控制的强弱。主要包括:组织控制、操作控制、硬件及系统软件控制和系统安全控制。
应用控制是对信息系统中具体的数据处理活动所进行的控制,是具体的应用系统中用来预测、检测和更正错误和处置不法行为的控制措施,信息系统的应用控制主要体现在输入控制、处理控制和输出控制。应用控制具有特殊性,不同的应用系统有着不同的处理方式和处理环节,因而有着不同的控制问题和不同的控制要求,但是一般可把它划分为:输入控制、处理控制和输出控制。
通过对信息系统组织机构控制,系统开发与维护控制,安全性控制,硬件、软件资源控制,输入控制,处理控制,输出控制等方而的审计分析,建立内部控制强弱评价的指标系统及评价模型,审计人员通过交互式人机对话,输入各评价指标的评分,内控制审计评价系统则可以进行多级综合审计评价。通过内控制度的审计,实现对系统的预防性控制,检测性控制和纠正性控制。
(3)识别重要性
为了有效实现审计目标,合理使用审计资源,在制定审计计划时,信息系统审计人员应对系统重要性进行适当评估。对重要性的评估一般需要运用专业判断。考虑重要性水平时要根据审计人员的职业判断或公用标准,系统的服务对象及业务性质,内控的初评结果。重要性的判断离不开特定环境,审计人员必须根据具体的信息系统环境确定重要性。重要性具有数量和质量两个方面的特征。越是重要的子系统,就越需要获取充分的审计证据,以支持审计结论或意见。
(4)编制审计计划
经过以上程序,为编制审计计划提供了良好准备,审计人员就可以据以编制总体及具体审计计划。
总体计划包括:被审单位基本情况;审计目的、审计范围及策略;重要问题及重要审计领域;工作进度及时间;审计小组成员分工;重要性确定及风险评估等。
具体计划包括:具体审计目标;审计程序;执行人员及时间限制等。 做好上诉材料的充分的准备,便可进行审计实施,具体包括以下内容:
(1)对信息系统计划开发阶段的审计
对信息系统计划开发阶段的审计包括对计划的审计和对开发的审计,可以采用事中审计,也可以是事后审计。比较而言事中审计更有意义,审计结果的得出利于故障、问题的及早发现,利于调整计划,利于开发顺序的改进。
信息系统计划阶段的关键控制点有:计划是否有明确的目的,计划中是否明确描述了系统的效果,是否明确了系统开发的组织,对整体计划进程是否正确预计,计划能否随经营环境改变而及时修正,计划是否制定有可行性报告,关于计划的过程和结果是否有文档记录等等。
系统开发阶段包括系统分析、系统设计、代码编写和系统测试三部分。其中涉及包括功能需求分析、业务数据分析、总体框架设计、结构设计、代码设计、数据库设计、输入输出设计、处理流程及模块功能的设计。编程时依据系统设计阶段的设计图及数据库结构和编码设计,用计算机程序语言来实现系统的过程。测试包括动态测试和静态测试,是系统开发完毕,进入试运行之前的必经程序。其关键控制点有:
分析控制点:是否己细致分析企业组织结构;是否确定用户功能和性能需求;是否确定用户的数据需求等。
设计控制点:设计界面是否方便用户使用;设计是否与业务内容相符;性能能否满足需要,是否考虑故障对策和安全保护等。
编程控制点:是否有程序说明书,并按照说明书进行编写;编程与设计是否相符,有无违背编程原则;程序作者是否进行自测;是否有程序作者之外的第三人进行测试;编程的书写、变量的命名等是否规范。
测试控制点:测试数据的选取是否按计划及需要进行,是否具有代表性;测试是否站在公正客观的立场进行,是否有用户参与测试;测试结果是否正确记录等。
(2)对信息系统运行维护阶段的审计
对信息系统运行维护阶段的审计又细分为对运行阶段的审计和对维护阶段的审计。系统运行过程的审计是在信息系统正式运行阶段,针对信息系统是否被正确操作和是否有效地运行,从而真正实现信息系统的开发目标、满足用户需求而进行的审计。对信息系统运行过程的审计分为系统输入审计、通信系统审计、处理过程审计、数据库审计、系统输出审计和运行管理审计六大部分。
输入审计的关键控制点有:是否制定并遵守输入管理规则,是否有数据生成顺序、处理等的防错、保护措施、防错、保护措施是否有效等。
通信系统实施的是实际数据的传输,通信系统中,审计轨迹应记录输入的数据、传送的数据和工作的通信系统。通信系统审计的关键控制点有:是否制定并遵守通信规则,对网络存取控制及监控是否有效等。
处理过程指处理器在接收到输入的数据后对数据进行加工处理的过程,此时的审计主要针对数据输入系统后是否被正确处理。关键控制点有:被处理的数据,数据处理器,数据处理时间,数据处理后的结果,数据处理实现的目的,系统处理的差错率,平均无故障时间,可恢复性和平均恢复时间等。
数据库审计是保障数据库正确行使了其职能,如对数据操作的有效性和发生异常操作时对数据的保护功能(正确数据不丢失,数据回滚以保证数据的一致性)。其关键控制点有:对数据的存取控制及监视是否有效,是否记录数据利用状况,并定期分析,是否考虑数据的保护功能,是否有防错、保密功能,防错、保密功能是否有效等。
输出审计不同于测试阶段的输出审计,此时的输出是在实际数据的基础上进行的,对其进行审计可以对系统输出进行再控制,结合用户需求进行评价。关键控制点有:输出信息的获取及处理时是否有防止不正当行为和机密保护措施,输出信息是否准确、及时,输出信息的形式是否被客户所接受,是否记录输出出错情况并定期分析等。
运行管理审计是对人机系统中人的行为的审计。关键控制点有:操作顺序是否标准化,作业进度是否有优先级,操作是否按标准进行,人员交替是否规范,能否对预计于实际运行的差异进行分析,遇问题时能否相互沟通,是否有经常性培训与教育等。
维护过程的审计包括对维护计划、维护实施、改良系统的试运行和旧系统的废除等维护活动的审计。维护过程的关键控制点有:维护组织的规模是否适应需要,人员分工是否明确,是否有一套管理机制和协调机制,维护过程发现的可改进点,维护是否得到维护负责人同意,是否对发现问题作了修正,维护记录是否有文档记载,是否定期分析,旧系统的废除是否在授权下进行等。 完成阶段是实质性的整个信息系统审计工作的结束,主要工作有:
整理、评价执行审计业务过程中收集到的证据。在信息系统审计的现代化管理时期,收集到的数据己存储在管理系统中,审计人员只需对其进行分析和调用即可。
复核审计底稿,完成二级复核。传统审计的三级复核制度对信息系统审计同样适用,它是保证审计质量、降低审计风险的重要措施。一级复核是由信息系统审计项目组长在审计过程进行中对工作底稿的复核,这层复核主要是评价已完成的审计工作、所获得的工作底稿编制人员形成的结论;二级复核是在外勤工作结束时,由审计部门领导对工作底稿进行的重点复核。在审计工作办公自动化的今天,二级复核制度同样可以通过网上报送及调用得以实现。
评价审计结果,形成审计意见,完成三级复核,编制审计报告。评价审计结果主要是为了确定将要发表的审计意见的类型及在整个审计工作中是否遵循了独立审计准则。信息系统审计人员需要对重要性和审计风险进行最终的评价。这是审计人员决定发表何种类型审计意见的必要过程,所确定的可接受审计风险一定要有足够充分适当的审计证据支持。签发审计报告之前,应当随工作底稿进行最终(三级)复核,三级复核由审计部门的主任进行,主要复核所采用审计程序的恰当性、审计工作底稿的充分性、审计过程中是否存在重大遗漏、审计工作是否符合事务所的质量要求等。三级复核制度的坚持是控制审计风险的重要手段。审计报告是审计工作的最终成果,审计报告首先应有审计人员对被审系统的安全性、可靠性、稳定性、有效性的意见,同时提出改进建议。 (推荐答案!)