对有志成为审计师或者IT管理者de朋友,
第一章. 信息系统审计过程
1. IS 审计和保障标准、指南、工具、职业道德规范
信息技术保证框架(ITAF,Information Technology Assurance Framework)
l 审计准则:强制性要求
ü 一般准则:基本的审计指导原理
ü 执行准则:涉及任务的执行和管理
ü 报告准则:落实报告类型、沟通方式和沟通信息
l 审计指南:侧重于审计方法、理论
l 工具和技术(也叫程序):提供各种方法、工具和模版
三者关系:IS 审计师必须遵守审计准则,审计指南帮助应用审计准则,审计工具和技术提供
了具体的流程和步骤范例。
2. 风险评估概念、工具及技术
风险的定义:“风险是特定的威胁利用资产的脆弱性从而对组织造成损害的可能性。(”ISO/IEC PDTR13335-1)
风险评估的过程:
(1) 识别业务目标(BO,Business Object)
(2) 识别信息资产(IA,Information Asset)
(3) 进行风险评估(RA,Risk Assessment):威胁→脆弱性→可能性→影响
(4) 进行风险减缓(RM,Risk Mitigation):落实相关控制
(5) 进行风险处置(RT,Risk Treatment)
基于风险的审计:
(1) 搜集信息和计划
(2) 理解内部控制
(3) 执行符合性测试
(4) 执行实质性测试
(5) 完成审计和报告
审计风险:审计过程中未发现信息可能存在的重大错误的风险。
l 固有风险(Inherent Risk):业务自身风险,不采取控制时的风险
l 控制风险(Control Risk):采取控制后仍具有的风险
l 检查风险(Detection Risk):得出错误检查结论的风险
l 整体审计风险(Overall Audit Risk):对每一个控制目标评估出的各类审计风险的综合
审计重大性(Materiality):在问题程度上可被组织视为严重的错误。
l 抽样不能检查出样本总体的所有错误,但可以将检查风险降低到可接受水平。
l 小错误可能不严重,但当他们组合到一起时,可能使这些错误的性质变为重大。
l 重大性需要 IS 审计师合理判断,确定重大性是比较困难的。
风险的处置(应首先确定风险的可接受标准):
l 降低风险(Mitigate):采取适当的控制来降低风险
l 接受风险(Accept):在符合组织的风险接受标准下,接受风险
l 避免风险(Avoid):停止产生风险的业务活动,从而避免风险的产生
l 转移风险(Transfer):向其他组织转移风险
风险评估技术:
l 评分机制
l 主观判断
l 二者结合
3. 信息系统相关控制目标和控制措施
内部控制的两个关键内容:要达到什么、要避免什么。
控制的分类:预防性、检测性、纠正性
COBIT5 的 5 条关键原则:
l 满足利益相关者需求
l 端到端覆盖企业
l 采用单一集成框架
l 启用一种整体的方法
l 区分管理和治理(董事会负责治理,管理层负责管理)
4. 审计规划以及审计项目管理技术
审计计划
l 年度计划
ü 短期计划:年度内需实施的审计事项
ü 长期计划:考虑组织调整 IT 战略方针对 IT 环境造成的影响所带来的风险问题
l 单项审计任务
审计流程与步骤:
(1) 审计对象:确定被审计领域
(2) 审计目标:明确审计目标
(3) 审计范围:确定要检查的具体系统、职能或单元
(4) 初步审计计划:确定所需技能与资源;确定测试检查的信息来源;确定审计地点和设施
(5) 审计程序和步骤:选择测试的方法;确定访谈对象;搜集政策和标准;开发审计工具
(6) 评价测试和检查结果
(7) 与管理人员沟通结果
(8) 审计报告
5. 抽样方法
符合性测试与实质性测试
l 符合性测试:测试组织对控制程序的符合性,验证控制的执行是否符合管理政策和规程。 测试包括:用户访问权限、程序变更控制流程、文件流程、编程文档、例外跟踪、日志检查、软件许可审计等。
l 实质性测试:评价交易、数据或其它信息的完整性,验证财务报表数据及相关交易的有 效性和完整性。测试包括:基于对账户或交易的抽样来证实复杂计算的结果等。
二者关系:如果符合性测试表明存在充分的内部控制,则可减少实质性测试;反之,如果符 合性测试表明内部控制存在缺陷,就要执行较多的实质性测试。
抽样:根据样本的特征推断总体特征,用于时间及成本都不允许对总体中所有交易和事件进行全面审计时。
审计抽样的两种一般方法:
l 统计抽样:允许通过置信系数量化抽样风险(即由样本得出错误结论的风险)
l 非统计抽样(判断抽样)
抽样的分类:
l 属性抽样:用于符合性测试,结论用比率表示发生率
ü 属性抽样(Attribute Sampling):估计总体中某种特性的发生比率,有多少?
ü 停走抽样(Stop-or-Go Sampling):先部分抽样,如果结果可接受则停止抽样,否则扩大抽样。用于相信总体中只存在少量错误的情况,防止过度抽样。
ü 发现抽样(Discovery Sampling):预期明确,错误发生率低的时候,用于发现舞弊、违反法规或其它非法行为的情况。
l 变量抽样:用于实质性测试,结论是与正常值的偏差范围
ü 分层单位平均估计抽样(Stratified MeanPer Unit):先对总体分层,再从不同层抽取样本,样本量较小。
ü 不分层单位平均估计抽样(Unstratified MeanPer Unit):用样本均值估计总体。
ü 差额估计(Difference Estimation):根据样本差额来估计总体差额。
抽样术语:
l 置信系数(Confidence Coefficient):样本特征能代表总体特征的概率,置信系数越高,样本量越大。
l 风险水平(Level of Risk):1-置信系数
l 精度(Precision):样本和总体之间的可接受误差范围。精度值越大,样本量越小,总体误差就越大;精度值越小,样本量越大,总体误差就越小。
l 预期差错率(Expected Error Rate):预计可能存在的误差率,预期差错率越高,样本量越大。只能用于属性抽样,不能用于变量抽样。
l 样本均值(Sample Mean):所有样本的平均值。
l 样本标准差(Sample Standard Deviation):样本值对于均值的变化,衡量样本值的离散程度。
l 可容忍差错率(Tolerable Error Rate):可以存在的最大误报或差错值。
l 总体标准差(Population StandardDeviation):标准差越大,样本量越大。用于变量抽样,不能用于属性抽样。
6. 证据收集技术
证据的两个特性:适当性(质量)、充分性(数量)
证据收集技术:检查组织架构、IS 政策和规程、IS 标准、IS 文档,访谈,观察,穿行测试,走查
计算机辅助审计技术(CAAT)
l 通用审计软件(GAS,General AuditSoftware):数学计算、统计分析、顺序检查、重复
性检查和复算,主要用于进行实质性测试。
l 调试和扫描软件
l 测试数据:评价程序软件中是否存在逻辑错误,用于检查数据的完整性。
l 应用软件跟踪映像
l 审计专家系统:用于知识库查询,提供指导信息
持续审计:采用自动化报告流程来测评控制的效果和效率,及时发现风险或控制缺陷。应独
立于持续控制或监控活动。
7. 报告和沟通技术
在审计结束时进行的退场会议中,应该
l 确保审计报告中反映的情况是真实的
l 确保建议的可行性,并且是符合成本效益的
l 确定协商好的实施日期
审计报告
应当由 IS 审计师来最终决定审计报告中包括或者不包括哪些内容。
内部 IS 审计师应该有一个追踪程序来确认既定的整改措施是否已经落实。
8. 审计质量保障体系和框架
使用其他审计师和专家服务
当把 IS 审计服务整体或部分外包给其他审计或外部服务提供商时,应监督外包服务的关系
以确保任务执行期间的客观性和独立性。
控制自评估(CSA,Control Self Assessment):
用来对关键业务目标、实现目标所面临的风险及管理业务风险的内部控制进行检查的一系列正式的、书面化的程序。(形式包括调查问卷、专题研讨会等等。)
CSA 的目标:
通过把一些控制监督职责分散到职能部门来充分发挥内部审计职能的作用,不是替代审计的职责,是一种加强。
CSA的优缺点:
优点 | 缺点 |
ü 及早发现风险 ü 更有效的改进内部控制 ü 加强团队精神 ü 增加员工对组织目标的理解,了解风险和 内部控制 ü 增强运营与管理人员之间的沟通 ü 激发员工的能动性 ü 改善审计的评估过程 ü 减少控制成本 ü 向利益相关方和客户提供保证 ü 满足法律法规对内部控制的要求 | ü 可能被误认为替代了审计职能 ü 增加了工作量 ü 改进措施实施失败会破坏员工士气 ü 缺乏动力 |
审计师在CSA中的角色
审计师应当作为内部控制专家及评估推动者。审计师只是 CSA 的推动者,而管理人员才是
CSA程序的具体实施者。
传统审计方法与CSA方法的比较 传统审计:只有审计师和咨询顾问对内部控制负责
CSA方法:进行内部控制及进行监督的责任在管理人员