IT审计简述

  • 格式:pdf
  • 大小:2.04 MB
  • 文档页数:22

IT审计概述:IT审计是分为:信息技术一般控制审计(ITGC)和应用层面控制审计(ITAC)1,ITAC(支持财审做对一些对具体余额的认定进行审计)ITAC即针对某一个应用软件的控制,例如对于银行来说,就有银行利息的计算软件。

那么审计这个计算过程对不对,就是ITAC了。

IT审计员会在系统中查看这个程序的源代码,看看利息是不是用借款乘以利率算出来的,另外,也会在系统中生成一个存款,然后看看系统计算的对不对。

2,ITGC(IT一般控制)但是我们知道,我们只能在一年中某已一个点来测试ITAC,如何保证在过去的一个财年内这个软件计算过程都是对的呢?这就需要ITGC是不是有效的,如果这个程序没有被乱篡改,所有的程序变更都事先得到了许可和授权,这个程序出问题的时候可以得到及时有效的解决,也就是ITGC有效的情况下,IT审计员就可以得出这个利率计算过程是有效的。

ITGC内容(可以先不看):(1)ELC(entity level control)控制。

就是看看客户在IT治理方面的相关组织架构是否合理,书面的管理制度是不是健全,具体的审计程序就是获取客户的组织结构图,及一些比较虚的总纲类的书面管理制度如《IT 管理制度》等等。

(2)系统开发和变更。

就是关注系统开发和系统后续小变更中的一些控制,具体的审计程序就是获取系统开发及变更相关的管理制度典型的如《系统开发制度》《系统变更管理制度》等来看一看,再看系统开发是否经过了需求提出、可行性研究、领导层审批,系统上线之前是不是经过了充分的测试,获取一些内控痕迹和表单,如《××系统需求报告》、《××系统可行性报告》、《××系统立项审批单》、《××系统单元测试报告》、《××系统集成测试报告》、《××系统上线审批单》,然后变更方面比较重要的就是《变更审批单》,这个一般来说还要进行抽样,而上面的开发流程一般来说做一两个穿行测试就行了。

(3)操作系统及数据库控制。

这一块呢具体就是看操作系统和数据库登录是不是要密码,然后把登录界面截个屏作为审计证据K进底稿里,蛮弱智的。

然后呢就是调出操作系统及数据库中的一些安全配置,如密码复杂度的要求,密码是不是强制一个月改一次,对系统的敏感操作是否有日志记录,日志是否有人去复核,再者就是看用户权限管理是否按照基于角色来进行权限分配。

现在商用方面操作系统用得比较多的是win2000,LINUX,UNIX,银行AIX用得比较多,数据库就是SAP,ORACLE,SQL server等,银行DB2用得也比较多。

审计的时候呢,对于安全配置,就是输入一些命令,调出相关配置,四大像安永会有团队专门设计脚本,只要放到客户机器上那么一跑,结果自动就出来了,高度傻瓜式,流程化机械化,IT审计师的可替代性更强了,价值更低了。

再就是把所有用户的权限列表拉出来,看是不是合理合规,后点关注超级管理员的权限。

(4)应用系统控制。

关注点同操作系统及数据库。

不过应用系统千变万化,比如银行里面比较大的应用系统就有综合业务系统(有的叫核心业务系统)、国际结算系统、大小额系统、信贷管理系统等等等等。

但万变不离其综,这些系统做ITGC思路都是一样的,就看安全配置和用户权限。

如果要支持财审进行ITAC的审计,则要具体情况具体分析设计,因此个人认为ITAC的审计是IT审计师能体现自身经验与价值的地方,光做ITGC是没有前途的(5)接口控制与信息安全。

各种系统之前会有接口,那么数据从一个系统传输到另一系统中数据的准确性完整性要得到保证。

审计程序一般首先看系统中是不是有自动核对的机制,比如银行的核心业务系统基本与每个重要的业务系统都有接口并且每天会进行大量的数据交互,做的好的会有一个核对机制,加入一些校验机制,确认数据的准确完整,有的银行测没有。

信息安全就是看看网络管理相关的制度,看看防火墙的结构,内外网是不是分离啊等等,无聊至极。

ITAC和ITGC都有效时,审计员就可依赖于这个软件,而不需要每一单都去看看,这个利息计算的对不对,这样就可以节省大量的时间行业业务:从最开始的银行系统,到现在所有的金融服务,媒体集团,物流制造业,高校科研系统,房地产,零售业,以及五花八门的大小以及国内大环境下的移动支付行业现状:国际:IT审计之所以会出现,并且在近些年成为一个趋势和大幅发展(在美国)主要是因为证监会和PCAOB的SOX的出台加强了对于所有上市公司的内部IT系统和流程的控制和监管。

美国的绝大多数企业到今天都非常依赖IT system的使用和运作(这也是为什么码农在今天能这么吃香的原因),从最开始的银行系统,到现在所有的金融服务,媒体集团,物流制造业,高校科研系统,房地产,零售业,以及五花八门的大小公司,这些infrastructure和application都是一个business能够正常快速发展的基础,所以这个市场非常大并且越来越大,客户群每年都在急速增长,而四大的牌子在美国就是质量的保证,所以都不需要考虑如何去拉客户,你做和不做,客户都在那里。

国内:仅以银行业/financial services来说-国内大环境下的移动支付(支付宝、微信)其实都是需要IT审计来保驾护航。

试问:目前腾讯、阿里的IT审计是怎么做的?是外包给四大来做合规还是自己做?同时,自己公司的内审是否够全面?能否有效的cover数据质量的这个难题?这些问题目前看来可能还不够明朗。

但是也就是不明朗、不规范的内审市场,提供了发展机会。

5年前,IT Audit在美国还是非常新颖的词汇。

仅仅几年后,我所直接和间接接触过的几大银行都各自组建了IT审计团队,大幅扩充了内审部门。

同时,传统审计也在慢慢地向IT和数据挖掘方向靠拢。

IT内审最为重要的一块就是数据质量data quality.如何保证数据在计算、传输、存储、normalization等过程中保持质量,而不是garbage in garbage out 是大公司最头疼、也是最想解决的难题。

在需要IT部门给力合作的前提下,ITaudit也在直接或间接地帮助公司解决这个难题。

数据化是整个市场的大趋势,相信国内的大公司也会在未来的几年做出相应的动作。

(本段为17年资料参考)目前,国内的大型互联网企业(如字节,腾讯等)包括实体产业等已经开始布局自己的IT审计系统,除了传统的老牌知名事务所(德勤,普华永道等),基金,甚至传统银行都设立IT审计部门之外,独立的前沿IT审计事务所也日渐增加。

我们从各种社会招聘信息中可见(数据来源:百度招聘汇总)当然,业界IT审计的领军企业依然是老牌事务所(四大等),国内立信口碑尚佳。

从业资质:审计机构的资质,目前尚未有明确的规定,只要参与人员具备相应的资格即可。

人员资质可以通过IT审计网查询。

对于从业人员认证目前有CISA认证附1:(2012年资料)目前在国际上较为流行的是美国的ISACA协会的审计标准。

ISACA于1996年推出了用于“IT审计”的知识体系COBITCOBIT―面向IT审计的IT管理标准。

COBIT (ControlObjectivesforInformationandrelatedTechnology)是国际信息系统审计与控制协会为解决“如何度量信息系统质量”而研究开发的标准。

COBIT的目标是为管理层和业务流程负责人提供一个IT 治理模型,以帮助他们深入理解和控制IT相关风险。

COBIT也在业务风险、控制需求和技术观点之间建立了一种有机联系。

(来源,商务部网站搜索)附2:一、会计师事务所设立条件(一)设立合伙会计师事务所,应当具备下列条件:1、有2名以上的合伙人;2、有书面合伙协议;3、有会计师事务所的名称;4、有固定的办公场所。

(二)设立有限责任会计师事务所,应当具备下列条件:1、有5名以上的股东;2、有一定数量的专职从业人员;3、有不少于人民币30万元的注册资本;4、有股东共同制定的章程;5、有会计师事务所的名称;6、有固定的办公场所。

(三)会计师事务所的合伙人或者股东,应当具备下列条件:1、持有中华人民共和国注册会计师证书(以下简称“注册会计师证书”);2、在会计师事务所专职执业;3、成为合伙人或者股东前3年内没有因为执业行为受到行政处罚;4、有取得注册会计师证书后最近连续5年在会计师事务所从事下列审计业务的经历,其中在境内会计师事务所的经历不少于3年:(1)审查企业会计报表,出具审计报告;(2)验证企业资本,出具验资报告;(3)办理企业合并、分立、清算事宜中的审计业务,出具有关的报告;(4)法律、行政法规规定的其他审计业务。

5、成为合伙人或者股东前1年内没有因采取隐瞒或提供虚假材料、欺骗、贿赂等不正当手段申请设立会计师事务所而被省级财政部门作出不予受理、不予批准或者撤销会计师事务所的决定。

(四)会计师事务所应当设立主任会计师。

合伙会计师事务所的主任会计师由执行会计师事务所事务的合伙人担任。

有限责任会计师事务所的主任会计师由法定代表人担任,法定代表人由股东担任。

(五)注册会计师在成为会计师事务所的合伙人或者股东之前,应当在省、自治区、直辖市注册会计师协会(以下简称“省级注册会计师协会”)办理完从原会计师事务所转出的手续。

若为原会计师事务所合伙人或者股东,还应当按照有关法律、行政法规,以及合伙协议或者章程办理完退伙或者股权转让手续。

(六)会计师事务所的名称应当符合国家有关规定。

未经同意,会计师事务所不得使用包含其他会计师事务所字号的名称。

(七)设立会计师事务所,应当由全体合伙人或者全体股东提出申请,由拟设立的会计师事务所所在地的省级财政部门批准。

二、申请设立会计师事务所,应当向省级财政部门提交下列材料:(一)设立会计师事务所申请表(附表1);(二)会计师事务所合伙人或者股东情况汇总表(附表2);(三)注册会计师情况汇总表(附表3);(四)工商行政管理部门出具的企业名称预先核准通知书复印件;(五)全体合伙人或者全体股东现所在的省级注册会计师协会为其出具的从事本办法“事务所设立条件”第(三)项第4款规定的审计业务情况的证明、已转出原会计师事务所证明,若合伙人或者股东为原会计师事务所合伙人或者股东的,还应提交退伙或者股权转让证明(退伙或股东会协议、股权转让协议书)。

(六)会计师事务所注册会计师的注册会计师证书复印件(包括合伙人、股东);(七)书面合伙协议或者股东共同制定的章程;(八)办公场所的产权或者使用权的有效证明复印件。

设立有限责任会计师事务所,还应当提交验资证明。

因合并或者分立新设会计师事务所的,还应当提交合并协议或者分立协议。

申请人应当对申请材料内容的真实性负责。