搜索
IT审计项目推介2014.2目录一:什么是IT审计二:为什么要进行IT审计三:国内企业IT环境现状四:哪类企业需要进行IT审计什么是IT审计?IT审计(即信息系统审计)通常包括对以下几个方面的审计:组织层面信息技术控制信息技术一般性控制信息技术应用控制,即业务流程层面应用控制上述信息技术各个层面的控制都包括人工控制、自动控制及人工与自动相结合的控制形式,IT审计根据不同的控制形式会采取不同的审计程序。IT审计除上述通常的项目外,还包括一些特殊的专项审计项目。什么是IT审计?信息技术内部控制框架4系统开发信息技术一般性控制程序变更日常运行维护信息安全信息技术应用控制数据输入控制数据处理控制数据输出控制权限与访问控制配置控制组织层面信息技术控制IT组织架构IT监控评估业务系统核心信息系统人事系统基础/网络设备物理环境数据存储/备份其他…IT基础架构销售采购存货固定资产关键业务流程财务系统其他……财务交易数据财务数据绩效数据投资数据其他…IT战略规划IT制度流程4核心生产数据什么是IT审计?IT控制环境IT风险评估IT信息与沟通IT监控•公司的IT组织架构是如何设定的•公司的IT战略规划是如何设定的•公司的IT组织架构及战略规划是否与企业整体相适应•公司是否对IT风险进行评估?•公司是否对IT风险进行了有效的管理?•公司是否制定了适当的IT政策及制度?•IT政策及制度是否被定期审阅并更新?•IT政策及制度是否与员工进行了沟通?•管理层如何对IT活动进行监控与评估?•内审部门是否拥有进行IT审计的资源?•内审计划中是否包括IT审计的内容?组织层面信息技术控制什么是IT审计?lll信息技术一般性控制是指在不同的计算机处理环境中,与网络、操作系统、数据库、应用系统及其相关人员有关的信息技术政策和措施信息技术一般性控制的目的就是保证与各业务循环相关的应用系统被合理的开发及部署,进而保证程序、数据文件及应用系统运行的安全、有效对不同的业务系统所处的计算机处理环境需要进行分别的测试,以保证各业务系统均安全、有效运行信息技术一般性控制信息技术一般性控制分类I网络支持操作系统实施及维护应用系统实施及维护数据库实施及维护硬件支持物理环境什么是IT审计?lll我们也可以从另外三个维度去看信息技术一般性控制前文所述信息技术一般性控制的各个方面都与信息安全、变更管理(广义)、运行维护三者相关我们可以从这三个维度(横列)对信息技术一般性控制的各分面(纵列)进行测试,并获取审计证据*广义变更,包括以开发及购买方式新增的系统信息技术一般性控制分类Ⅱ分类信息安全变更管理*运行维护网络XXX操作系统XXX应用系统XXX数据库XXX硬件X物理环境XX信息技术一般性控制什么是IT审计?信息技术应用控制指在业务流程层面为了合理保证应用系统准确、完整、及时完成业务数据的生成、记录、处理、报告等功能而设计、执行的信息技术控制。IT审计应考虑以下与数据输入、数据处理以及数据输出环节相关的业务流程层面的应用控制:授权与批准系统配置控制异常情况报告和差错报告接口/转换控制一致性核对职责分离(SOD)系统访问权限系统计算其他应用控制什么是IT审计?IT专项审计IT审计人员还可以根据企业当前面临的特殊风险或需求,设计专项审计,以满足不同的审计目的。此类项目包括但不限于下列领域:计算机辅助审计技术(CAATS)、穿行测试(WT)、其他财审相关IT审计项目,如接口测试、日记账测试(JET)等。信息系统开发实施项目的专项审计信息系统安全专项审计信息技术投资专项审计业务连续性计划的专项审计外包条件下的专项审计法律法规、行业规范要求的内部控制的合规性的专项审计其他专项审计目录一:什么是IT审计二:为什么要进行IT审计三:国内企业IT环境现状四:哪类企业需要进行IT审计为什么要进行IT审计IT审计的必要性主要体现在如下几个方面:降低审计风险,提高审计效率客户增值服务要求合规性要求伴随着信息技术的飞速发展及其对企业重要性的日益增加,IT审计的规模及服务水平也不断挺高,并逐渐成为财务审计的必要组成部分及重要支撑。为什么要进行IT审计l此阶段获取审计证据,形成审计意见,作为发表审计报告的基础财务审计的目的是实施恰当的审计程序,获取充分、适当的审计证据,对被审计单位财务报表是否存在重大错报获取合理保证,并进而判断该报表能否在所有重大方面公允的反映企业的财务状况、经营成果和现金流量。财务审计流程签约前准备阶段计划阶段阶段0阶段1内控评价,符合性测试实质性测试报告阶段后续评估阶段2阶段3阶段4阶段5为什么要进行IT审计l能否“获取合理保证”,取决于总体风险控制水平,而整体风险包括以下几个方面:固有风险控制风险检查风险我们主要依靠评价由于内部因素和客观环境的影响,使企业的账户、交易类别和整体财务报表发生重大错误的可能性,来控制固有风险我们主要依靠执行符合性测试手段来评价并测试企业内部控制,以对控制风险进行控制。我们主要依靠提高审计程序的有效性和注册会计师运用审计程序的有效性,优化实质性测试流程,来控制检查风险为什么要进行IT审计收入投融资人力资源费用采购固定资产财务会计结账、过账、报表生成、合并等财务报告…我们对其发表审计意见无论是信息技术一般性控制还是业务循环控制中的应用控制均与IT息息相关,进行IT审计必不可少。同时,通过IT审计获取充分、适当的审计证据,合理保证企业内部控制的有效性,并在此基础上采用控制信赖策略,可大大减少实质性测试的工作量。信息技术一般性控制计算机处理环境服务器,操作系统,网络等业务循环控制合理保证控制风险水平l与财务审计相关的内部控制包括:信息技术一般性控制业务循环控制为什么要进行IT审计降低检查风险在实质性测试阶段,财务审计可以借助IT审计人员的计算机辅助审计技术(CAATs)等手段提高审计效率,包括但不限于:利息收入测算利息支出测算保费收入测算固定资产折旧测算存货成本测算为什么要进行IT审计客户增值服务要求通过提供IT审计服务,我们可以为被审计单位带来增值服务,包括但不限于:完善IT治理架构提高IT管理水平改善IT处理环境提高IT运行效率降低IT风险为什么要进行IT审计合规性要求随着信息技术的发展,企业对其依赖程度越来越高,IT风险越来越大,无论是国内还是国外的财务及金融监管机构,都对其监管对象提出了进行IT审计或IT风险评估的要求。在国内,财政部、审计署、证监会、银监会、保监会五部委联合颁布的企业内部控制规范中,也明确提出了信息技术控制的概念及对信息技术控制的要求,并单独制定了第18号专向应用指引。针对于这些要求,证监会、保监会及银监会等机构也开展了多次IT风险评估、IT控制自查及IT审计活动。目录一:什么是IT审计二:为什么要进行IT审计三:国内企业IT环境现状四:哪类企业需要进行IT审计企业IT环境现状目前国内企业IT环境主要存在以下问题:1、缺少明确的信息化战略规划,信息技术人员配置不足。2、企业软件功能不能满足需求,软件选型不匹配。3、企业数据安全措施不足,存在泄密风险。4、软件系统功能得不到有效应用,效率低下。目录一:什么是IT审计二:为什么要进行IT审计三:国内企业IT环境现状四:哪类企业需要进行IT审计哪类企业需要进行IT审计?一般来讲,如下几类企业必须进行IT审计:1、有IT监管要求的企业,包括但不限于上市公司、国资委直管企业或企业集团;2、金融类企业,包括但不限于银行、保险公司、证券公司及财务公司等;3、各类拟上市公司;4、凡是使用各类ERP系统进行核心业务流程及财务数据处理的企业。结束谢谢!