[分享] 六个忠实的仆人带你走进IT审计

nwsnut

      “我有六个忠实的仆人，他们教会了我一切，他们是：‘是什么’、‘为什么’、‘何时’、‘如何’、‘何地’和‘谁’。”——拉迪亚德吉卜林，引自Just So Stories 中《大象的孩子》
　　随着科技的发展，信息系统在当今社会所扮演的角色已经从幕后走到了台前，IT技术不再是仅仅用来提高计算速率的加分项，而是作为保证单位/企业顺利地开展业务、实现目标、获得利益的基础条件。IT审计迅速发展，仿佛突然之间成为高检索率的热门词汇阵营。我国IT审计的发展相对迟缓，对于IT审计的认识目前仍然主要停留在计算机辅助工具层面，认为IT审计只是通过使用计算机技术提高传统审计的效率，却很少或没有从审计对象的角度审视信息系统。因此，当身边的人们反复提起IT审计时，我们很自然会产生困惑：IT审计究竟是什么、有何特点、为什么要开展IT审计、如何开展IT审计、由谁执行IT审计、开展IT审计需要满足哪些条件，等等。本文将为读者一一解开这些谜团。
　　IT审计是什么
　　IT审计（Information Technology Audit），也称作信息系统审计。很多研究人员认为，IT审计的概念源于在20世纪60年代。1960年起，IBM公司相继出版了《The Auditor Encounters Electronic Data Processing》、《In-line Electronic Processing and Audit Trail》等一系列文献，介绍了电子数据环境下的内部审计规则和组织方法，并首次将计算机审计的概念带入人们的认识中；1968年，美国注册会计师协会出版了《会计审计与计算机》，指导会计师事务所对利用计算机较早、较为深入的金融行业开展审计。严格来讲，电子数据处理审计或计算机审计并非真正意义上的信息系统审计，计算机审计的定位是扩展传统财务审计的一种技术资源，为审计师开展涉及到电子数据的财务审计业务时提供必要的技术支持。
　　业界始终没有就IT审计的定义达成统一的意见，目前使用较广的是美国信息系统审计与控制协会ISACA 给出的描述。ISACA认为，IT审计是一个过程，在这个过程中IT审计师（CISA ）通过获取和评价相关证据，判断被审查的信息系统能否保证单位或企业的资产安全、数据完整，以及能否有效地利用资源并高效地实现目标。除ISACA的定义外，国际上认可度相对高的IT审计定义包括，国际权威的IT审计专家Ron Weber在《Information Systems Audit and Control》一书中对IT审计的定义，他认为IT审计是一个搜集并评价证据，以判断计算机系统（信息系统）能否在经济划算地利用资源的情况下，有效保护资产安全、维护数据完整并实现组织目标的过程；日本通产省情报处理开发协会信息系统审计委员会于1996年修订该协会11年前对计算机审计的定义，描述信息系统审计是“为保证信息系统安全、可靠、有效，由独立于审计对象的IT审计师，以第三方的客观立场对以计算机为核心的信息系统进行综合检查与评价，并向IT审计对象的最高领导层指出系统存在的问题及改进建议的一组连续的活动”。由于IT审计在我国的发展相对迟缓，目前尚未形成被普遍认可的IT审计定义。
　　虽然对IT审计的描述没有达成统一，但是我们不难发现，专家们对IT审计的理解至少在以下几个方面是一致的：首先，IT审计是一个过程，这个过程需要由获得CISA认证的IT审计师，以独立客观的身份执行；其次，IT审计的过程中，IT审计师需要获取证据并分析证据，目的是检查信息系统的安全性、可靠性、有效性以及高效性；第三，审计师得到结果并不意味IT审计过程的完结，还需要向被审计单位报告审计结果，指明审查过程中发现的、信息系统存在的问题，以及针对这些问题向被审计单位的高层提供改进的建议。
　　IT审计由谁审
　　IT审计要求执行者必须具备CISA**。作为一门跨领域的边缘性学科，信息系统审计与控制协会严格考核从业者的知识和技能，从传统审计理论、信息系统管理理论、行为科学理论和计算机科学等四个领域的要求，综合评价申请者知识技能的掌握程度，判断是否认可申请者的IT审计从业资格。IT审计是一个对从业者无论知识技能还是实际经验，要求均非常高的专业领域。我们知道，信息系统本身具有很强的复杂性，当把多个复杂的对象糅合在一起，其结果很明显：正如一团乱麻，要求梳理这团乱麻的人员必须具备足够的素质才能获得期望中的结果，否则，结局只会是使眼前复杂的问题变得更加复杂。因此，IT审计师必须具备专业的能力和良好的素质，才能针对审计对象做出合理有效的评价。
　　IT审计要求审计师必须以独立客观的身份执行审查。独立客观，强调IT审计师执行某项IT审计任务时，必须与被审计信息系统不存在任何的利益关系。此处的利益关系，既包含不参与（包括不曾参与）信息系统生命周期的有关活动，信息系统生命周期包括设计、开发、测试、部署、维护等环节；也包含不涉及被审计信息系统的业务和经济利益。
　　传统财务审计活动中，明确要求审计师具有独立客观的性质，目的是避免因审计师舞弊风险，导致结果失去公平公正的基本原则，损害到被审计对象的利益相关者的合法利益。但是，如何将这一要求与IT审计师的独立客观性进行合理的关联？
　　信息技术的应用是一把双刃剑，在提高效率的同时，引入大量安全威胁。我们都很清楚，法律上明令要求，电子数据不能作为证据。这是由于电子数据具有易于修改的特征，正如笔者此刻假若修改本文的某一处字词，是非常容易的事情；尤其对于安全保护措施不完善的信息系统，其遭遇黑客攻击、蒙受损失的可能性要远高于其他部署了良好的信息安全防护手段并定期接受专家查验的系统。IT审计师作为第三方人员，负责检查信息系统情况，IT审计师具有比较大的权限，可以这样设想：如果，IT审计师与信息系统业务有关，则无法排除IT审计师利用其拥有的高权限，对业务信息进行修改，或者隐藏系统中的部分漏洞以便于利用这些漏洞窃取机密信息，为自己谋取福利，等等。这一系列行为的发生，哪怕只是发生其中的一件，足以导致企业蒙受巨大的损失。
　　可以如此理解IT审计对于审计师具备独立客观属性的要求：当IT审计师以不独立于被审计对象身份执行审计任务时，其带给被审计组织的价值就会发生变化，不但无法保证其针对信息系统使用和维护过程中相关控制有效评价，促进组织管理结构和控制框架完善，而是组织产生高系数的IT风险。
　　IT审计审什么
　　信息系统审计不同于传统的财务审计。当提及财务审计的时候，目标很明确，就是审查组织的财务报表，识别组织经济活动中的舞弊行为。可是，IT审计要审什么？也许会有部分读者认为：IT审计既然也称为信息系统审计，那么审计对象自然是信息系统。这个回答，然，亦不然。
　　然，是因为既然称作信息系统审计，必然与信息系统有着莫大的联系，至少IT审计必然是围绕信息系统展开；不然，是由于这个回答并不准确。审计作为独立于组织业务链之外的结构，监督并客观评价与业务相关的控制在设计和执行方面的效果、效率，为完善组织内控框架提供建议，确保组织的利益相关者的利益不遭受损害并能够顺利获得。我们不难发现，审计是围绕着组织的控制而设计并开展的一项活动，其价值最直接地表现在对于控制的监督和评价上。所以，当对审计业务细化并指明针对信息系统审查时，其内容也必须得到同等程度的明确，即，IT审计需要针对IT控制的设计和执行情况进行监督及评估。
　　对于IT控制的定义，相关的权威机构或最佳实践分别从不同的角度进行描述。例如，IT管理最佳实践框架COBIT从IT控制的形态及功能的角度进行描述，认为IT控制是为了确保实现企业目标、预防或发现和纠正意外事件的各种政策、程序、做法和组织结构；而ISACA的信息系统审计准则从信息系统阶段生命周期的角度进行描述，将IT控制概括为在IT系统和服务购买、实施、交付和支持方面的控制。
　　IT控制有多种不同的分类方式。例如，从普适性和针对性角度区分，IT控制可以分成一般控制和应用控制。其中，一般控制用以降低广义层面上信息系统软、硬件及方案整体的风险，强调适用于全部信息系统的通用的一类控制，这些控制与信息系统的具体业务没有直接联系；而应用控制强调集成在应用程序中的、具有明确针对性的控制手段，需要与信息系统的功能目标相符合。IT控制涉及信息系统的获取、实施、交付、支持等过程，需要从整个生命周期对信息系统的运行环境、组成要素、核心数据、功能应用及运作流程等进行全面的管理和监督。IT控制的作用范围既涉及到所有信息系统的共性需求，也必须满足其特有的功能目标，因此必须综合运用信息系统的一般控制与应用控制，才能确保信息系统处于安全、可靠、高效、可控的状态，确保系统的功能和效果与预期目标统一。
　　再如，依据控制的设计及效果进行区别，IT控制又可以分成预防性控制、检查性控制和纠正性控制。预防性控制是为了防止错误、遗漏或安全事故发生；检查性控制则用以检查绕过预防控制的错误或事故；而纠正性控制则是为了纠正被检测出的错误、遗漏及安全事故。预防性控制属于事前防范措施，有效部署预防性控制可以避免事故或问题发生，使危害或损失为零。检查性控制属于事中举措，虽然预防性控制的效果是最理想的，但是由于错误、遗漏及安全事故形态特征多样，无法确保一组控制措施足够完整可以对所有的问题做到有效地预防，因此在错误或事故发生的时刻能够及时对其识别是非常必要的。检查性措施和纠正性措施通常组合部署，这是由于仅仅识别出问题并没有完成控制的目标，在无法规避风险的条件下，只能退而求其次，采取措施使危害或损失的程度降至最低，这也是纠正性控制的作用；同时，纠正性控制能够有效发挥作用需要基于准确识别问题的前提，即，纠正性控制需要以检查性控制作为条件，二者不可分割。
　　对于IT控制的理解，还存在其他一些分类方式，例如，从组织架构的角度、基于IT控制设计和实施的相关角色的职责进行分类，IT控制又可以分成治理控制、管理控制和技术控制。治理层的IT控制涉及确保有效的信息管理与安全的方针、政策和过程是恰当的，并且通过对绩效的合规性指标进行度量，表明对框架的持续支持。在一个组织中，其治理控制的实体通常表现为组织的政策，体现组织的战略目标及宗旨。管理控制用以确保IT控制能够实现组织的既定目标，并且所有适用的IT控制具备可靠性及连续性。管理控制在组织中的实体通常以标准、组织和管理、物理与环境控制的形式存在。技术控制与设计、实现及维护信息系统功能和效果联系最紧密，是确保其他IT控制具备可靠性的基础，例如信息系统软件控制、获取和实施控制、基于应用的控制等等。
　　对于组织而言，引入并应用IT控制的目标集中在满足以下四个方面的要求：
　　（1）有效地交付可靠信息，确保安全的IT服务符合本组织的战略、政策、外部需求和风险偏好；
　　（2）保障利益相关者的利益；
　　（3）实现客户、商业伙伴和其他外部各方完成业务目标的互惠互利关系；
　　（4）适当地识别并应对威胁和潜在的情况。
　　IT审计作为监督评估IT控制的角色，需要在理解了IT控制的目标之后，有针对性的取证分析，做出客观的判断并向管理层汇报，同时针对不当的控制提出改进建议。
　　ISACA编订并发布COBIT指导信息系统实施单位和IT审计人员更清晰地了解和把握IT控制。COBIT（Control Object of Information related Technologies）作为IT管理和IT审计的最佳实践框架，目前的已发行到版本4.1。COBIT将包含IT基础设施、IT应用、人员和信息四类要素的IT资源分配到信息系统生命周期的4个域、34个流程的控制中，并针对每个流程依据包含机密、完整、可靠、合规、效果、效率、可用等七个属性的业务目标分别定义了各流程的IT控制目标及活动目标。COBIT的4个域包括：规划与组织PO（Planning and Organization）、获取与实施AI（Acquisition and Implementation）、交付与支持DS（Delivery and Support）、监控与评估ME（Monitoring and Evaluation）；每个域中包含一定数量的IT流程。
　　COBIT利用目标和指标的关系，实现信息系统与单位业务目标的完美融合。COBIT建议按照业务、信息系统整体、IT流程、流程活动的顺序自上而下的对业务目标进行分解，从而确保IT目标与业务目标的关联；同时按照从流程活动、IT流程、信息系统整体、业务的顺序自下而上的进行指标的衡量，以保证及时发现并纠正IT控制中的偏差，确保IT控制与业务目标的一致性。COBIT不仅适合指导单位依据IT控制目标对IT进行管理，同时也适合IT审计人员参考进行IT控制的审核。COBIT建议使用CMM模型描述被审计单位的IT控制情况，把IT控制流程作为基本对象分别进行成熟度的评价，以展现被审计单位在IT控制的现状及急需提升的环节。
IT审计怎么审
　　俗话说，无规矩不成方圆，尤其对于审计一类评估判断性质的活动，必须有统一的标准作为基线，才能一方面确保审计师执行IT审计过程中有章可循，提高审计效率并保证审计效果；另一方面，也有助于其他的审计人员在相同条件（使用相同的标准和证据）下对审计结论进行验证，规避由于审计师能力不足或评估不客观等风险，确保审计结论准确。
　　目前国际上通用的IT审计标准为ISACA制定的信息系统审计准则，截至2008年2月审计准则共包括审计标准16条，分别从IT审计章程、审计独立性、审计师的职业道德和能力要求、审计过程以及IT审计的要素等角度对审计师执行IT审计的过程进行标准化要求。为便于审计师理解审计准则，ISACA制定了多项审计实务指南及审计程序对IT审计标准相关要求进行解释。截至2010年3月，ISACA共修订发布审计实务指南42项，废除实务指南1项（第19项，违法及违规行为，该指南于2008年9月1日废除使用）；修订并发布审计程序11项。2008年，我国财政部、证监会、审计署、银监会、保监会联合颁布《企业内部控制基本规范》，，并于2010年4月发布《企业内部控制配套指引》，标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。基本规范和配套指引中设置专门的章节对计算机信息系统审计要求做出了标准规定。
　　IT审计的过程可以概括为：基于被审计信息系统的IT风险，围绕IT控制的有效性和符合性，在充分获取真实证据的条件下，经过综合分析评估，得出并报告审计结论及审计建议。因此，可以看出IT审计的关键要素包括IT风险、IT控制以及审计证据。
　　IT审计风险主要包括四类：固有风险、控制风险、审计风险和剩余风险。其中，固有风险是指在不对信息系统部署任何控制措施情况下，信息系统自身所有具有的风险；控制风险指由于控制设计以及执行的不合理或不准确，使信息系统具有的风险；审计风险，是指由第三方审计师对信息系统进行审核评估的过程中带来的风险。例如，审计师检测信息系统网络情况时，需要在现有系统中增加软硬件设施以完成检查，这一过程如果没有进行良好的控制，则可能由于加大了系统的负载，该系统的正常运行造成一定程度的风险等。剩余风险，是指结合固有风险、控制风险及审计风险对系统风险情况做出的综合评估。
　　对于被审计单位而言，在IT审计过程中得到的风险结论实际是审计师对于剩余风险的描述。为了使审计结论最大限度地接近被审计信息系统的真实情况，审计师应该尽可能地减小审计风险；但是，由于审计风险的大小与审计力度直接相关，而审计力度又直接决定了对被审计单位IT控制的取证程度。换言之，审计力度直接影响评估IT控制的准确度，也就是对控制风险的判断：审计力度越大，取证量越多，控制风险的误差越小，但是审计风险同时增大。因此，审计师需要有足够的经验在审计风险和控制风险中取得平衡，选择合适的审计取得强度，以确保人为因素对剩余风险的影响控制在被审计单位的风险容忍度范围之内。
　　ISACA的信息系统审计准则对IT审计的执行过程做出明确要求，要求IT审计遵循一定的流程，可以粗略地划分为：制定审计计划、执行系统审计、提交审计报告以及进行后续跟踪等五个阶段。详细来讲，IT审计遵循以下的流程：
　　第一，建立审计章程。审计章程中需要明确IT审计的总体目标及IT控制范围，并约定审计职责
　　第二，制定审计计划。在制定审计计划阶段，审计师首选需要对被审计单位的业务运营情况、被审计信息系统承载的业务信息以及系统结构有所了解。审计师初步掌握被审计单位及信息系统的情况后，执行风险评估，对被审计系统的关键控制点以及现有的IT控制情况进行了解；审计师需要对IT控制的重要性进行评估，评估过程需要综合资产的价值及控制检查活动的投入回报比等多方面信息做出判断，决定是否需要以及需要对具体哪些控制进行检查，以控制审计风险的程度，确保剩余风险在被审计单位的风险容忍度范围之内。审计师做出综合判断后，需要根据信息系统审计准则的相关要求完成审计计划。
　　第三，搜集证据并完成IT控制的符合性测试。所谓符合性测试，是针对控制的设计的有效性进行检测，审计师通过调查取证，了解被审计单位如何设计IT控制。审计师需要结合专业知识判断组织是否按照相关法律法规、行业标准以及最佳实践的要求设计IT控制；如果满足相关要求，则认为这些IT控制具有符合性；如果不满足相关要求，则审计师需要了解被审计单位真实的IT控制如何设计，并综合判断当前IT控制能否有效控制信息系统风险。对于被审计单位真实采用的IT控制，如果与规定、标准及最佳实践的要求不一致，则称为补偿性控制，被审计单位的补充性控制如果可以有效规避信息系统风险，则同样视被审计单位的IT控制具有符合性。审计师需要获得充分的、真实的证据支持对被审计单位IT控制符合性的判断。
　　第四，搜集证据并完成IT控制的实质性测试。IT控制经过设计和执行两个阶段，才能发挥效用。因此IT审计在执行控制测试时，同样需要针对IT控制的两个阶段分别进行测评。IT控制的实质性测试阶段，是针对通过符合性测试的IT控制的执行情况进行检测。实质性测试由于需要针对IT控制的执行过程进行检测，需要大量的证据以真实反映IT控制的实施过程。理论上讲，只有对所有的操作记录进行核对检测才能完全真实地反映IT控制的实质性，但由于信息系统记录数据量巨大，且历史操作记录的保存情况与信息系统自身的技术和机制有极大的依赖关系，无法做出统一的约束，换言之，对所有的操作记录进行审查基本上是不可行的。因此这一过程通常采用统计学的相关方法进行处理，例如，使用抽样的方法进行分析，抽样的样本空间设计依据被审计信息系统的业务交易量、IT控制重要性等要素进行综合考虑。经过抽样取证分析后，如果IT控制的执行过程与控制设计的要求一致，则认为该IT控制通过实质性测试，否则认为控制无效。
　　第五，综合评估证据以获得结论，并提交审计报告。审计报告需要按照信息系统审计准则中有关审计报告的标准要求进行撰写，报告除了审计过程的基本信息外，需要包含对被审计信息系统的IT控制现状的评价，以及对被审计单位改进当前IT控制提供的建议。IT审计报告在正式发布前，需要与被审计单位的管理层就审计初稿进行沟通修订，获得同意后才能定稿并发布。审计师需要在审计报告中说明报告的有效范围及需要明确的任何信息，同时，审计师需要在审计报告中清晰、准确地表达自己的联系方式，以承诺对报告的内容负责，确保如果第三方对该报告进行利用或审核时可以获得必要的信息。
　　进行后续审计跟踪。审计报告的提交并不意外IT审计过程的完结，审计师需要对自己在报告中提出的建议进行跟踪。
　　IT审计是一个错综复杂的过程，需要审计师具备足够的经验、良好的知识结构和技能，同时要求审计师具备符合标准要求的职业道德。IT审计虽然不如传统审计一般直接与财务报表打交道，但是如同信息技术在当今社会的地位一般，信息系统已经渗入到企业业务流程的各个环节，信息系统的安全、可靠、效果和效率直接决定着财务报表的可靠性和完整性；而且，由于业务的流程化运作，信息系统任何一个环节的错误或失败，带给企业的损失都会发生雪崩效应。因此，作为使用单位，不能忽视信息系统生命周期内任何一个环节以及系统各个层面上的IT控制在设计和执行上的安全性、可靠性以及效果效率；作为IT审计人员，同样不能遗漏IT控制的任何一个细节，要确保审计评估过程的完整性和客观性。

青清

逻辑性、理论性强 ，如果增加些实际例子、具体操作是不是更有可阅读性。