3.2 IT审计
- 3.2.1 IT审计基础
- 组织IT目标
- 组织IT战略和业务战略保持一致
- 保护信息资产安全和数据的完成,可靠有效
- 提高信息系统安全性、可靠性、有效性
- 合理保证信息系统及其运用符合有关法律、法规及标准等的要求
- 范围
- 总体范围-根据目的和投入来确定
- 组织范围-明确组织机构,流程,人员
- 物理范围-具体的地点与边界
- 逻辑范围-涉及的信息系统和逻辑边界
- 审计风险(★)
- 1、固有风险
- 客观存在,只能评估不能影响
- 2、控制风险
- 内部控制体系没做好
- 3、检查风险
- 审计规范不完善,审计人员技术不行
- 4、总体审计风险
- 针对单个控制目标所产生各类审计风险总和
- 1、固有风险
- 组织IT目标
- 3.2.2 审计方法与技术
- 国际常用审计准则
- ISACA-信息系统审计准则
- COSO-内部控制一整体框架
- SOX-萨班斯法案
- COBIT-信息及相关技术控制目标
- 我国
- 法律法规
- 审计准则
- IT审计国际标准
- 组织内部控制
- 方法
- 访谈,调查,检查,观察,测试,检查代码
- 技术
- 风险评估技术
- 风险识别技术
- 德尔菲法,检查表,SWOT
- 风险分析技术
- 风险评价技术
- 风险应对技术
- 风险识别技术
- 审计抽样技术
- 计算机辅助审计技术
- 大数据审计技术
- 风险评估技术
- 证据
- 发现/使用到的材料
- 底稿
- 原始数据,包含证据
- 分类
- 综合类工作底稿
- 方方面面,计划,总结,报告,记录和材料
- 业务类工作底稿
- 实施阶段形成的
- 备查类工作底稿
- 备查用
- 综合类工作底稿
- 国际常用审计准则
- 3.2.3 审计流程
- 3.2.4 审计内容