對有志成為審計師或者IT管理者de朋友,
第一章. 信息系統審計過程
1. IS 審計和保障標准、指南、工具、職業道德規范
信息技術保證框架(ITAF,Information Technology Assurance Framework)
l 審計准則:強制性要求
ü 一般准則:基本的審計指導原理
ü 執行准則:涉及任務的執行和管理
ü 報告准則:落實報告類型、溝通方式和溝通信息
l 審計指南:側重於審計方法、理論
l 工具和技術(也叫程序):提供各種方法、工具和模版
三者關系:IS 審計師必須遵守審計准則,審計指南幫助應用審計准則,審計工具和技術提供
了具體的流程和步驟范例。
2. 風險評估概念、工具及技術
風險的定義:“風險是特定的威脅利用資產的脆弱性從而對組織造成損害的可能性。(”ISO/IEC PDTR13335-1)
風險評估的過程:
(1) 識別業務目標(BO,Business Object)
(2) 識別信息資產(IA,Information Asset)
(3) 進行風險評估(RA,Risk Assessment):威脅→脆弱性→可能性→影響
(4) 進行風險減緩(RM,Risk Mitigation):落實相關控制
(5) 進行風險處置(RT,Risk Treatment)
基於風險的審計:
(1) 搜集信息和計划
(2) 理解內部控制
(3) 執行符合性測試
(4) 執行實質性測試
(5) 完成審計和報告
審計風險:審計過程中未發現信息可能存在的重大錯誤的風險。
l 固有風險(Inherent Risk):業務自身風險,不采取控制時的風險
l 控制風險(Control Risk):采取控制后仍具有的風險
l 檢查風險(Detection Risk):得出錯誤檢查結論的風險
l 整體審計風險(Overall Audit Risk):對每一個控制目標評估出的各類審計風險的綜合
審計重大性(Materiality):在問題程度上可被組織視為嚴重的錯誤。
l 抽樣不能檢查出樣本總體的所有錯誤,但可以將檢查風險降低到可接受水平。
l 小錯誤可能不嚴重,但當他們組合到一起時,可能使這些錯誤的性質變為重大。
l 重大性需要 IS 審計師合理判斷,確定重大性是比較困難的。
風險的處置(應首先確定風險的可接受標准):
l 降低風險(Mitigate):采取適當的控制來降低風險
l 接受風險(Accept):在符合組織的風險接受標准下,接受風險
l 避免風險(Avoid):停止產生風險的業務活動,從而避免風險的產生
l 轉移風險(Transfer):向其他組織轉移風險
風險評估技術:
l 評分機制
l 主觀判斷
l 二者結合
3. 信息系統相關控制目標和控制措施
內部控制的兩個關鍵內容:要達到什么、要避免什么。
控制的分類:預防性、檢測性、糾正性
COBIT5 的 5 條關鍵原則:
l 滿足利益相關者需求
l 端到端覆蓋企業
l 采用單一集成框架
l 啟用一種整體的方法
l 區分管理和治理(董事會負責治理,管理層負責管理)
4. 審計規划以及審計項目管理技術
審計計划
l 年度計划
ü 短期計划:年度內需實施的審計事項
ü 長期計划:考慮組織調整 IT 戰略方針對 IT 環境造成的影響所帶來的風險問題
l 單項審計任務
審計流程與步驟:
(1) 審計對象:確定被審計領域
(2) 審計目標:明確審計目標
(3) 審計范圍:確定要檢查的具體系統、職能或單元
(4) 初步審計計划:確定所需技能與資源;確定測試檢查的信息來源;確定審計地點和設施
(5) 審計程序和步驟:選擇測試的方法;確定訪談對象;搜集政策和標准;開發審計工具
(6) 評價測試和檢查結果
(7) 與管理人員溝通結果
(8) 審計報告
5. 抽樣方法
符合性測試與實質性測試
l 符合性測試:測試組織對控制程序的符合性,驗證控制的執行是否符合管理政策和規程。 測試包括:用戶訪問權限、程序變更控制流程、文件流程、編程文檔、例外跟蹤、日志檢查、軟件許可審計等。
l 實質性測試:評價交易、數據或其它信息的完整性,驗證財務報表數據及相關交易的有 效性和完整性。測試包括:基於對賬戶或交易的抽樣來證實復雜計算的結果等。
二者關系:如果符合性測試表明存在充分的內部控制,則可減少實質性測試;反之,如果符 合性測試表明內部控制存在缺陷,就要執行較多的實質性測試。
抽樣:根據樣本的特征推斷總體特征,用於時間及成本都不允許對總體中所有交易和事件進行全面審計時。
審計抽樣的兩種一般方法:
l 統計抽樣:允許通過置信系數量化抽樣風險(即由樣本得出錯誤結論的風險)
l 非統計抽樣(判斷抽樣)
抽樣的分類:
l 屬性抽樣:用於符合性測試,結論用比率表示發生率
ü 屬性抽樣(Attribute Sampling):估計總體中某種特性的發生比率,有多少?
ü 停走抽樣(Stop-or-Go Sampling):先部分抽樣,如果結果可接受則停止抽樣,否則擴大抽樣。用於相信總體中只存在少量錯誤的情況,防止過度抽樣。
ü 發現抽樣(Discovery Sampling):預期明確,錯誤發生率低的時候,用於發現舞弊、違反法規或其它非法行為的情況。
l 變量抽樣:用於實質性測試,結論是與正常值的偏差范圍
ü 分層單位平均估計抽樣(Stratified MeanPer Unit):先對總體分層,再從不同層抽取樣本,樣本量較小。
ü 不分層單位平均估計抽樣(Unstratified MeanPer Unit):用樣本均值估計總體。
ü 差額估計(Difference Estimation):根據樣本差額來估計總體差額。
抽樣術語:
l 置信系數(Confidence Coefficient):樣本特征能代表總體特征的概率,置信系數越高,樣本量越大。
l 風險水平(Level of Risk):1-置信系數
l 精度(Precision):樣本和總體之間的可接受誤差范圍。精度值越大,樣本量越小,總體誤差就越大;精度值越小,樣本量越大,總體誤差就越小。
l 預期差錯率(Expected Error Rate):預計可能存在的誤差率,預期差錯率越高,樣本量越大。只能用於屬性抽樣,不能用於變量抽樣。
l 樣本均值(Sample Mean):所有樣本的平均值。
l 樣本標准差(Sample Standard Deviation):樣本值對於均值的變化,衡量樣本值的離散程度。
l 可容忍差錯率(Tolerable Error Rate):可以存在的最大誤報或差錯值。
l 總體標准差(Population StandardDeviation):標准差越大,樣本量越大。用於變量抽樣,不能用於屬性抽樣。
6. 證據收集技術
證據的兩個特性:適當性(質量)、充分性(數量)
證據收集技術:檢查組織架構、IS 政策和規程、IS 標准、IS 文檔,訪談,觀察,穿行測試,走查
計算機輔助審計技術(CAAT)
l 通用審計軟件(GAS,General AuditSoftware):數學計算、統計分析、順序檢查、重復
性檢查和復算,主要用於進行實質性測試。
l 調試和掃描軟件
l 測試數據:評價程序軟件中是否存在邏輯錯誤,用於檢查數據的完整性。
l 應用軟件跟蹤映像
l 審計專家系統:用於知識庫查詢,提供指導信息
持續審計:采用自動化報告流程來測評控制的效果和效率,及時發現風險或控制缺陷。應獨
立於持續控制或監控活動。
7. 報告和溝通技術
在審計結束時進行的退場會議中,應該
l 確保審計報告中反映的情況是真實的
l 確保建議的可行性,並且是符合成本效益的
l 確定協商好的實施日期
審計報告
應當由 IS 審計師來最終決定審計報告中包括或者不包括哪些內容。
內部 IS 審計師應該有一個追蹤程序來確認既定的整改措施是否已經落實。
8. 審計質量保障體系和框架
使用其他審計師和專家服務
當把 IS 審計服務整體或部分外包給其他審計或外部服務提供商時,應監督外包服務的關系
以確保任務執行期間的客觀性和獨立性。
控制自評估(CSA,Control Self Assessment):
用來對關鍵業務目標、實現目標所面臨的風險及管理業務風險的內部控制進行檢查的一系列正式的、書面化的程序。(形式包括調查問卷、專題研討會等等。)
CSA 的目標:
通過把一些控制監督職責分散到職能部門來充分發揮內部審計職能的作用,不是替代審計的職責,是一種加強。
CSA的優缺點:
優點 |
缺點 |
ü 及早發現風險 ü 更有效的改進內部控制 ü 加強團隊精神 ü 增加員工對組織目標的理解,了解風險和 內部控制 ü 增強運營與管理人員之間的溝通 ü 激發員工的能動性 ü 改善審計的評估過程 ü 減少控制成本 ü 向利益相關方和客戶提供保證 ü 滿足法律法規對內部控制的要求 |
ü 可能被誤認為替代了審計職能 ü 增加了工作量 ü 改進措施實施失敗會破壞員工士氣 ü 缺乏動力 |
審計師在CSA中的角色
審計師應當作為內部控制專家及評估推動者。審計師只是 CSA 的推動者,而管理人員才是
CSA程序的具體實施者。
傳統審計方法與CSA方法的比較 傳統審計:只有審計師和咨詢顧問對內部控制負責
CSA方法:進行內部控制及進行監督的責任在管理人員