IT審計風險主要包括那些及詳解

2014-11-08 22:44:40 大云網　點擊量：評論 (0)

IT審計風險主要包括固有風險、控制風險、審計風險和剩余風險四類。其中，固有風險是指在不對信息系統部署任何控制措施情況下，信息系統自身所有具有的風險；控制風險指由于控制設計以及執行的不合理或不準確，使

IT審計風險主要包括固有風險、控制風險、審計風險和剩余風險四類。其中，固有風險是指在不對信息系統部署任何控制措施情況下，信息系統自身所有具有的風險；控制風險指由于控制設計以及執行的不合理或不準確，使信息系統具有的風險；審計風險，是指由第三方審計師對信息系統進行審核評估的過程中帶來的風險；剩余風險，是指結合固有風險、控制風險及審計風險對系統風險情況做出的綜合評估。

對于被審計單位而言，在IT審計過程中得到的風險結論實際是審計師對于剩余風險的描述。

俗話說，無規矩不成方圓，只有以統一的標準作為基線，才能確保審計師執行IT審計過程中有章可循，提高審計效率并保證審計效果，也有助于其他審計人員在相同條件（使用相同的標準和證據）下對審計結論進行驗證，規避由于審計師能力不足或評估不客觀等風險，確保審計結論準確。

所以，ISACA的信息系統審計準則對IT審計的執行過程做出明確要求，要求IT審計遵循一定的流程，可以粗略地劃分為：制定審計計劃、執行系統審計、提交審計報告以及進行后續跟蹤等五個階段。

第一，建立審計章程。審計章程中需要明確IT審計的總體目標及IT控制范圍，并約定審計職責

第二，制定審計計劃。審計師首選需要對被審計單位的業務運營情況、被審計信息系統承載的業務信息以及系統結構有所了解，然后進行風險評估，對被審計系統的關鍵控制點以及現有的IT控制情況進行了解。

審計師需要對IT控制的重要性進行評估，評估過程需要綜合資產的價值及控制檢查活動的投入回報比等多方面信息做出判斷，決定是否需要以及需要對具體哪些控制進行檢查，以控制審計風險的程度，確保剩余風險在被審計單位的風險容忍度范圍之內。審計師做出綜合判斷后，需要根據信息系統審計準則的相關要求完成審計計劃。

第三，搜集證據并完成IT控制的符合性測試。所謂符合性測試，是針對控制的設計的有效性進行檢測，審計師通過調查取證，了解被審計單位如何設計IT控制。審計師需要結合專業知識，判斷組織是否按照相關法律法規、行業標準以及最佳實踐的要求設計IT控制：如果滿足相關要求，則認為這些IT控制具有符合性；如果不滿足相關要求，審計師就需要了解被審計單位真實的IT控制如何設計，并綜合判斷當前IT控制能否有效控制信息系統風險。

對于被審計單位真實采用的IT控制，如果與規定、標準及最佳實踐的要求不一致，則稱為補償性控制，被審計單位的補充性控制如果可以有效規避信息系統風險，則同樣視被審計單位的IT控制具有符合性。審計師需要獲得充分、真實的證據支持對被審計單位IT控制符合性的判斷。

第四，搜集證據并完成IT控制的實質性測試。IT控制經過設計和執行兩個階段，才能發揮效用，因此，IT審計在執行控制測試時，同樣需要針對IT控制的兩個階段分別進行測評。IT控制的實質性測試階段，是針對通過符合性測試的IT控制的執行情況進行檢測，需要大量的證據以真實反映IT控制的實施過程。

理論上講，只有對所有的操作記錄進行核對檢測才能完全真實地反映IT控制的實質性，但由于信息系統記錄數據量巨大，且歷史操作記錄的保存情況與信息系統自身的技術和機制有極大的依賴關系，無法做出統一的約束，換言之，對所有的操作記錄進行審查基本上是不可行的，因此，這一過程通常采用統計學的相關方法進行處理。例如，使用抽樣的方法進行分析，抽樣的樣本空間設計依據被審計信息系統的業務交易量、IT控制重要性等要素進行綜合考慮。經過抽樣取證分析后，如果IT控制的執行過程與控制設計的要求一致，則認為該IT控制通過實質性測試，否則認為控制無效。

第五，綜合評估證據以獲得結論，并提交審計報告。審計報告需要按照信息系統審計準則中有關審計報告的標準要求進行撰寫，報告除了審計過程的基本信息外，需要包含對被審計信息系統的IT控制現狀的評價，以及對被審計單位改進當前IT控制提供的建議。

IT審計報告在正式發布前，需要與被審計單位的管理層就審計初稿進行溝通修訂，獲得同意后才能定稿并發布。審計師需要在審計報告中說明報告的有效范圍及需要明確的任何信息，同時，審計師需要在審計報告中清晰、準確地表達自己的聯系方式，以承諾對報告的內容負責，確保如果第三方對該報告進行利用或審核時可以獲得必要的信息。

當然，審計報告的提交并不意味著IT審計過程的完結，審計師需要對自己在報告中提出的建議進行跟蹤。