“獨立性與客觀性”、“權(quán)威性與公正性”等傳統(tǒng)審計的基本概念在IT審計中得到了很好的體現(xiàn)。另外,IT審計獨立于信息系統(tǒng)本身、信息系統(tǒng)相關(guān)開發(fā)、使用人員,由IT審計師依據(jù)法律規(guī)定,采用客觀標準獨立行使審計監(jiān)督權(quán),這與審計的“獨立性與客觀性”完全相同。同時,國際信息系統(tǒng)審計和控制協(xié)會(ISACA)對實行審計制度、建立審計機關(guān)以及審計機構(gòu)的地位和權(quán)力都做了明確規(guī)定,這樣使審計組織具有法律的權(quán)威性,其與公正性相輔相成。
2、IT審計體系與傳統(tǒng)審計體系結(jié)構(gòu)基本一致
傳統(tǒng)審計體系在邏輯結(jié)構(gòu)上具有較強的嚴密性,“基本準則―具體準則―實務指南”是由抽象到具體的邏輯規(guī)則,這是會計準則、注冊會計師鑒證業(yè)務準則等專業(yè)標準規(guī)范的常用結(jié)構(gòu),這使審計后續(xù)的具體工作便于尋找相應的準則條款,為審計工作提供便捷之處。IT審計所表述的“標準―指南―程序”準則框架在字面上與傳統(tǒng)審計體系沒有太大差別。其標準反應了信息系統(tǒng)領(lǐng)域的綱領(lǐng)性問題,指南是標準的具體化,程序則是一些工作規(guī)范,這與傳統(tǒng)審計體系的三個層次是一一對應的。
從審計體系涵蓋的內(nèi)容上來看,傳統(tǒng)審計內(nèi)容的絕大多部分都包含在了IT審計體系的范疇之內(nèi)。但是,相對于ISACA系會下的準則部制定的IT系統(tǒng)審計準則而言,我國的IT系統(tǒng)審計準則體系還不夠完整,尚有若干項準則沒有涉及,這應該在我國IT審計未來項目計劃中予以考慮。
在傳統(tǒng)審計中,對于被審計對象的安全問題鮮有涉及,而信息的安全性問題關(guān)系到企業(yè)的生存與發(fā)展,是保持企業(yè)健康可持續(xù)發(fā)展的重要保障。IT審計中對于安全性審計做了詳細的規(guī)范。安全性審計的主要目的就是審查企業(yè)信息系統(tǒng)和電子數(shù)據(jù)的安全隱患。一個存在安全隱患的信息系統(tǒng)很難為審計人員提供真實可靠的信息,因此安全性審計也是真實性審計的前提。
2、 IT審計的軟件測試方法與電子取證方法
審計方法貫穿于整個審計過程當中,而不只是存在于某一審計階段或某個環(huán)節(jié)。隨著IT審計系統(tǒng)實踐的豐富與IT審計理論的發(fā)展,IT審計處理運用傳統(tǒng)審計的方法外,還大量借鑒了計算機學科的一些方法為我所用。其中“軟件測試方法”是IT系統(tǒng)審計的重要方法之一,較為經(jīng)典的測試方法是黑盒測試與白盒測試。另外,某些會計數(shù)據(jù)和其他信息只能以電子形式存在,或只能在某一時點或期間得到。在IT審計時對于這些電子數(shù)據(jù)的獲取極為重要,需要確保IT審計人員發(fā)掘和收集充足可靠的電子證據(jù),最終生成審計報告。
傳統(tǒng)審計將審計的真實性、合法性和效益性作為審計的目標。為適應建立市場經(jīng)濟的需要,審計機關(guān)從2001年以前主要從事的真實、合法性審計到90年代初期,審計機關(guān)對國有企業(yè)的審計開始向檢查內(nèi)部控制和經(jīng)濟效益兩方面的延伸,績效審計的重要性逐步凸顯。由于IT項目的功能復雜性、結(jié)構(gòu)龐大性、周期延長性,使得IT績效審計很難準確地評價如此綜合性的IT項目效果,如何完善IT績效審計在實踐上的可行性是擺在我們面前的一項重要任務。
IT績效審計應充分借鑒傳統(tǒng)績效審計中的經(jīng)濟性、效果性、效率性特征,圍繞這“三性”進行展開。在“經(jīng)濟性”上,為了以最低的資源耗費獲得一定數(shù)量和質(zhì)量的產(chǎn)出,可以通過多方面的改良提高其節(jié)約程度。如美國Gartner Group Inc公司研發(fā)的ERP系統(tǒng),其自動化程度很好,從而提高了IT績效審計的科學性與可行性,避免不必要的開支。在“效果性”上,力圖在IT項目上實現(xiàn)績效監(jiān)控動態(tài)化,為企業(yè)提供豐富的管理信息,并在企業(yè)管理和決策過程中發(fā)揮作用,動態(tài)監(jiān)控管理績效變化,及時反饋和糾正出現(xiàn)的問題。在“效率性”上,提高企業(yè)物流、資金流、信息流一體化管理的效率并且要善于管理信息系統(tǒng),對信息系統(tǒng)應用價值的實現(xiàn)是IT績效審計的最重要方面。
2、借鑒傳統(tǒng)審計的風險管理,發(fā)揮其制約性作用
《企業(yè)內(nèi)部控制基本規(guī)范》把“應當關(guān)注研究開發(fā)、技術(shù)投入、信息技術(shù)運用等自主創(chuàng)新因素”列為企業(yè)識別內(nèi)部風險時應當關(guān)注的六個因素之一。伴隨IT而來的風險、利益和機會使得IT風險管理成為企業(yè)管理的重要內(nèi)容,也是IT審計中應該完善的部分。
借鑒傳統(tǒng)審計對于企業(yè)風險管理中風險評估、控制與防范的流程,結(jié)合IT風險管理的環(huán)境特殊性,程序復雜性和數(shù)據(jù)多樣性等特點,對IT審計中的風險管理應按照“識別信息資產(chǎn)―威脅的量化和定性―評估漏洞―改進控制差距―管理剩余風險”的流程進行。首先,識別組織業(yè)務職能并確定每個流程的信息敏感度。然后識別流程的每一個組成部分的現(xiàn)有控制措施,按嚴重程度將控制差距分類。最后,通過風險等級、成本和有效性的選擇,創(chuàng)建風險基準線,以便日后定期重新評估風險所用。
通過對IT審計與傳統(tǒng)審計的比較研究,我們發(fā)現(xiàn):在基本內(nèi)容、程序和體系結(jié)構(gòu)等方面,傳統(tǒng)審計與IT審計是協(xié)調(diào)的。在IT審計的軟件測試方法與電子取證方法上,較傳統(tǒng)審計來說有其先進性。但是IT審計的不完善性也是顯而易見的,可以在績效審計、風險管理等方面借鑒傳統(tǒng)審計的優(yōu)點,逐漸使IT審計廣泛應用于我國的審計行業(yè)之中。通過傳統(tǒng)審計帶動IT審計的方式,使IT審計取其精華,去其糟粕,逐漸發(fā)展成為審計行業(yè)的新銳力量,是我們亟待努力的方向。
免責聲明:本文僅供廣大讀者交流學習之用,不作為任何商業(yè)投資依據(jù)。如果您這邊需要深入了解境外投資相關(guān)的事宜,請您通過電話:400-990-8829,與我們的專業(yè)投資顧問溝通,十分感謝!
服務全面
為客戶提供全方位一條龍的服務
團隊高效
專業(yè)人才精誠合作為服務提速
誠信規(guī)范
企業(yè)服務老品牌,服務可信有保障
優(yōu)質(zhì)售后
定期電話回訪,提供到位后續(xù)服務
在線咨詢
電話咨詢
發(fā)送短信
聯(lián)系我們
掃一掃關(guān)注我們
至臻微信
返回頂部