it审计和普通审计范例6篇

前言：文有道精心挑选了it审计和普通审计范文供你参考和学习，希望我们的参考范文能激发你的文章创作灵感，欢迎阅读。

it审计和普通审计范文1

银行IT审计意义

目前，信息系统的正常运行已经成为银行业务正常运营的最基本条件之一，信息科技在有力提升银行核心竞争力的同时，信息科技风险也愈发突出和集中，信息科技风险控制已成为银行业风险管理的重要内容，而IT审计作为银行业风险管理体系的重要组成部分，其重要性和必要性已经日益得到银行业管理层的关注。同时，国家相关部门对信息系统的管控也越来越重视，自2006年8月《银行业金融机构信息系统风险管理指引》开始，银监会正式对银行科技风险进行监管，近年来推出一系列制度和措施（见表1），监管工作逐步走向规范化。通过IT审计来保证和监控全行的信息科技管控对各级监管政策法规的合规性，也成为银行业实施IT审计的重要目的之一。

因此，银行业加强和规范IT审计，既是自身发展和获取竞争优势的内在需要，也是监管当局的外部要求。

银行IT审计标准

准确地运用标准和参照，成为顺利开展IT审计工作的重要前提之一。

COBIT

COBIT(Control Objectives for Information and related Technology) 是由信息系统审计与控制基金会最早在1996年制定的IT治理模型。这是一个在国际上公认的、权威的安全与信息技术管理和控制的标准，也是目前国际上通用的信息系统审计的标准之一。COBIT是一个基于控制的IT治理模型，其制定的宗旨是跨越业务控制和IT控制之间的鸿沟，从而建立一个面向业务目标的IT控制框架。

COBIT本身并非针对IT审计的专门论述，其面向的使用者可以是企业中想通过改善IT过程实现经营目标的管理者，也可以是业务过程的所有者，即用户，也可以为IT审计师。它在商业风险、控制需要和技术问题之间架起了一座桥梁，以满足管理的多方面需要。在最新的COBIT5.0版本中，COBIT已经被称作“一个治理和管理企业IT的业务框架”。

COBIT4.1版本中经典的体系框架一直为众多使用者参考使用，它包括了实施简介、实施工具集、高层控制目标框架、管理指南、具体控制目标、审计指南等一系列文档（见图1）。管理指南为每个过程提供了关键成功因素、关键目标指标和关键绩效指标等，并根据这些指标对每个过程进行了成熟度模型的划分；而审计指南，则就审计的控制目标、调查对象、需要掌握的证据及如何进行测试和评估做出了详细的说明。

COBIT4.1版本中的流程参考模型将所有与信息系统相关的活动进行了划分，主要包括34个流程，分属4个域。而COBIT 5.0的参考模型涵盖了治理和管理流程的完整集合，共分为37个流程。COBIT5.0流程参考模型是COBIT4.1流程参考模型的继承者，同时也融合了风险IT、价值IT流程模型。COBIT的广泛通用性也造就了它在应用上的弱点和难点，即COBIT中对相关流程和控制目标的描述过于笼统普适，需要使用者结合企业的实际情况和专业经验进行较大的定制化方可实施。

因此，COBIT模型的最大作用是将IT过程、IT资源与企业的策略和目标联系了起来，保障了企业的IT战略目标和其业务发展目标的一致性，也在IT管理层、IT技术人员/用户和IT审计师之间搭建了桥梁。

《商业银行信息科技风险管理指引》

近年来，随着银监会信用风险、商业风险和操作风险管理指引的，以及“巴塞尔协议II”在银行业内的逐步实施，推动了银行内部风险管理机制的建立和健全。但是，在全面风险管理的框架下，目前银行的信息科技风险管理机制滞后于业务风险管理体系的发展，并未建立体系化的风险管控机制，成为了银行风险管理体系中的短板。这主要体现在，信息科技风险治理组织不健全、风险管理制度不完善、风险处理过程规划依据不充分以及风险监控指标不明确等方面。

2009年的《商业银行信息科技风险管理指引》(以下简称《指引》)，定义了商业银行信息科技风险的总体框架，即在当前商业银行普遍的信息科技现状下，可能存在的重大信息科技风险的范围，使商业银行的风险管理过程，能够集中精力在相关领域中。

《指引》确定了九大管理领域，即：信息科技治理；信息科技风险管理；信息安全；信息系统开发、测试和维护；信息科技运行；业务连续性管理；外包；内部审计；外部审计。这些领域覆盖了信息科技管理的大多数重要活动，这些活动中存在的风险，可能会对业务产生重大影响，因此对这些领域的风险识别和管理，应当在信息科技风险管理中优先对待。

在这九大领域中，IT审计占两个，分别是内部审计和外部审计。而《指引》本身，就是一个针对银行的框架完整的IT审计标准，银行可以参考这个标准，开展IT审计工作。

IT审计标准选择

实践中使用的标准远不止上述两个，而且，这两个标准建立本身就参照了很多IT相关的较为成熟的标准。如，COBIT制定时参照的标准就有ISO系列的相关IT技术标准、审计行为准则等等；《指引》其中“信息安全”管理领域的内容建立就是参照信息安全管理体系的国际标准ISO27001。

it审计和普通审计范文2

一、IT治理与风险管理

IT治理是一种引导和控制企业各种关系和流程的结构，确保组织拥有适当的结构、政策、工作职责、运营管理机制和监督实务，以达到公司治理中对IT方面的要求，旨在通过平衡信息技术及其流程中的风险和收益，增加价值，以实现企业目标。IT治理是企业治理结构中不可或缺的一部分，而相关的IT治理流程则可确保企业IT目标与业务目标保持一致，并可持续发展。因此，IT治理必须与企业战略目标一致，使IT发挥更大的作用、创造更多的价值，实现公司价值和利益的最大化。

IT治理领域中，首重策略、组织架构、政策与内部流程。控制风险、绩效评量与提供价值则为组织架构中关注的焦点。同时，IT治理牵涉的范畴，包含：IT服务提供、IT服务支援、营运业务展望、基础建设管理与应用管理。其不同视角的IT治理作用如下表。

保证所有的缺陷都已被控制所覆盖利用风险控制与审计策略管理IT风险，要求企业的高层管理者具备良好的风险意识，清晰了解企业对风险的态度，了解合规性要求，将风险管理的职责嵌入组织架构设计中，围绕信息化战略目标构建全面风险管理体系以进行有效的风险管理与控制。

二、IT风险管理体系

基于IT治理的IT风险管理需要执行一整套风险管理程序，必须建立风险识别、风险分析与评估、风险规避与应对、风险监控等流程并严格执行。从操作层面上分析，IT风险管理中对IT风险的控制与审计是风险管理中的两个重要环节：

（一）IT控制

IT控制就是在治理结构下，为实现组织的目标提供合理保证而实施的一系列政策和程序，内部控制是一个持续的过程，为了保证组织经营的效率和效果、财务报告的可靠性以及对有关法律和规章制度的遵循等情况下评估风险并设计、实施和持续监督控制措施。可以看出IT控制的主要目的是建立一个可持续监控的控制环境使组织风险可识别、可控、可管理。

风险控制是指控制风险事件发生的动因、环境、条件等，来达到减轻风险事件发生时的损失或降低风险事件发生的概率的目的。风险无法彻底消除，仅能降低、控制与移转，对于残余风险，企业需自行审视可接受的程度。然而，在进行风险控制活动前，需先进行风险评估，对于潜在影响的弱点与威胁胪列出来，并分析评估矫正的优先程序，然后再针对风险，设计有关的预防性、检查性与纠正性的控制。控制的设计，应该就风险评估后的结果，因此，完整的风险评估作业，是极为重要的，不好的风险评估会影响后续控制设计，甚至于控制执行的落实程度。当控制设计完成后，需再次检视相对应的管理政策与办法是否足够满足控制的目标，倘若现有管理政策文件无法满足控制目标的要求，应立即进行增修作业，务必达到与现有作业机制一致的目标。

随着组织的发展对IT的依赖日趋明显，内部原有业务和管理风险特征由于信息系统越来越广泛的运用而出现了变化，业务对信息系统的依赖性增加，因此必须建立起有效的风险控制体系。管理层应从基本的内部控制环境着手建置，从一般信息技术控制环境到业务流程中的内部控制环境，其中应思考系统控制与人工控制紧密结合的协调性与完整性。

（二）IT审计

IT审计是一个获取并评价证据的过程，主要是判断信息系统是否能够保证资产的安全、数据的完整性、有效率利用组织的资源、有效果地实现组织目标地过程。

IT审计是监视和评审IT控制措施的执行情况和有效性的主要手段之一，可以从组织整体业务风险的角度，对实施和运行的控制措施进行持续监控，以管理组织的业务风险。

IT审计可以作为符合法律、法规以及管理要求的控制手段，可以证明管理层建立并维护了恰当的内控措施；可以提供证据说明业务相关数据的完整性，以及可以证明具备合法权限的人正确访问数据；可以提供报警和审计报告确保管理层知道重大信息和任何变更；IT审计可以围绕数据提供报告用于合规性评估，降低遵从成本。作为组织IT风险控制的最后防线，IT审计为组织进行风险防范，提高设计正确性和加强应用的管理控制提供建议。

（三）IT治理、IT控制与IT审计之间的联系

IT治理是为组织建立一个长效的均衡的治理结构，在风险可控的环境下保证组织获益。均衡的环境在满足组织外部约束的同时需要考虑如何降低成本、提高股东收益、满足客户要求以及建立良好的社会形象等条件下不断调整变化而达到的，因此IT治理侧重于宏观决策方面，要做哪些事，由谁来做这些事，以及如何建立决策机制、如何进行有效监控等。

IT控制就是在这样的治理结构下，为实现组织的目标提供合理保证而实施的一系列政策和程序，内部控制是一个持续的过程，为了保证组织经营的效率和效果、财务报告的可靠性以及对有关法律和规章制度的遵循等情况下评估风险并设计、实施和持续监督控制措施。可以看出IT控制的主要目的是建立一个可持续监控的控制环境使组织风险可识别、可控、可管理。IT审计是一个获取并评价证据的过程，主要目标就是对组织实施的风险管理环境和控制环境的保证措施进行识别和评估，判断管理层关于控制的声明是否是可靠的，所以审计必须保持其独立性，以第三方客观的立场进行检查和评价。

IT治理、IT控制以及IT审计之间既有联系又有区别。共同的关注点在于风险与保证。风险管理的主要目标是为了保证组织经营的效率和效果、财务报告的可靠性以及对有关法律和规章制度的遵循。保证，主要来自一系列相互依存的控制政策与程序，以及评价控制有效性的证据，这些证据可以证明控制是连续和充分的。IT治理要明确目标与方向，为IT控制环境与活动设定明确的目标。IT控制要建立一个完整的，具有弹性的内部控制体系，应对组织面临的各种风险挑战和意外事件。IT审计是获取与IT控制和保证措施相关的证据，评估IT控制的有效性、评价IT绩效及IT战略与业务目标的符合程度。

IT治理必须在风险与利益之间找到均衡，通过IT审计不断促进调整IT控制环境，使组织在风险可识别、可控、可管理的环境下保证组织利益最大化。

三、企业IT风险控制与审计实务

（一）组织框架

企业IT风险管理组织框架应当从“决策—管理—执行”三个层面设立风险管理职能，并辅以审计监督机制。

决策机构，通常以风险管理委员会的形式，行使风险管理的决策、风险管理政策的制定与批准等职能。

管理机构通常为设置为风险管理委员会下的职能机构，如风险管理部，是风险管理政策的执行部门，负责根据风险管理的规章制度，协调各执行机构的关系，推动风险管理措施的实施。

风险管理政策与措施的执行是由信息技术部门、相关业务部门等涉及到IT及其安全运作的部门具体实施，尤其是信息技术部门承担大部分的IT风险管理政策、技术的实施。

IT审计部门作为IT风险管理的监督与审计部门，负责检查、评估企业IT风险管理战略、政策、组织与实施的有效性，并提出管理建议。

（二）IT控制与审计规范

企业IT控制规范可以参考财政部等五部委联合发布的《企业内部控制基本规范》及配套指引，建立有效的IT内部控制框架内，从公司内部控制层面、信息技术整体层面、业务流程层面等建立控制规范。企业IT控制以风险为导向，规范企业组织结构、明确岗位权利责任分配，建立科学的绩效考核体系和制度，提升企业风险管理和应对能力，通过风险评估对企业内部控制体系进行持续评价和改进，最终建立配套信息系统，实现内控体系的信息化落地。从风险的角度去审视内部控制有没有做好；通过对绩效指标的监控去实时检测有没有风险发生，然后再去找到企业的缺陷漏洞；最后通过信息系统将这个体系落地执行。

企业风险管理体系的控制层面上，内部审计发挥着重要的作用，以风险为导向的审计是合理规避IT风险的一种有效途径。IT审计应当建立一套完整的审计标准、规范，并提供可供参考的IT审计指南与实施细则。企业IT审计应当在内部审计总体框架下开展，在制定内部审计章程时要体现信息化条件下内部审计工作的特点，制定有关IT审计的规范与要求，必要时可进一步制定IT审计工作规范。

IT审计是信息技术条件下的内部审计，具有较强的操作性要求，参考各行业的内部审计工作经验，吸收国家审计机关的制度与操作指南，可以从IT整体控制审计、应用控制审计两个方面编制实施细则。

1.IT整体控制审计——确保程序和数据文件的完整性、确保信息系统良好运行。审计内容包括IT基础设施、系统开发、系统运行与维护、变更控制、网络安全控制、访问控制等普遍适用于所有的应用系统的控制。

2.应用控制审计——应用控制与特定的应用程序有关，设计应用控制是为了应对威胁应用系统的潜在风险，确保应用系统处理数据的有效正确而实施的控制。应用控制审计主要包括业务流程控制审计、数据输入处理输出审计，提供业务信息完整性、准确性、有效性、可用性保证。

此外，企业的信息化规划应当在充分考虑风险管理与审计需求的基础上，建立并完善信息化审计工作平台，充分利用信息技术推进IT审计服务于企业治理与全面风险管理，实现价值增值。

四、小结

it审计和普通审计范文3

关键词：IT行业审计费用 Simunic 回归模型

一、引言

对于所有的上市公司，都需要注册会计师出具的审计报告来证明公司财务信息和业绩的真实可信性，以吸引投资并保持股价的稳定或是其他的经济目的。与此同时，会计师事务所需要把自己的审计服务卖给被审计公司，以获得维持其生存和发展的资金补充，审计费用就产生于这个过程中。近年来我国会计师事务所行业的竞争日趋激烈，国内事务所合并事件时有发生，使得合并后的会计师事务所与传统的国际“四大”业务收入差距逐步缩小。这导致审计费用标准的制定成为行业内外讨论的热点话题。

自改革开放以来，我国IT行业伴随着经济的蓬勃发展而日益强大。随着移动互联网以及大数据产业的不断崛起，IT行业对于国民经济的影响已经不言而喻，占国民经济的比重越来越大。同时随着十的胜利召开，《中共中央关于全面深化改革若干重大问题的决定》，针对IT行业未来的改革去向提出了“建立健全鼓励原始创新、集成创新、引进消化吸收再创新的体制机制”重要决策，为IT行业今后进一步发展指明了方向。

选用IT行业的数据来分析我国审计费用的影响因素可以起到以小见大的效果。本文正是根据我国2012年IT行业上市公司披露的数据，对审计费用的影响因素进行分析。

二、文献综述

审计费用的影响因素一直是国内外研究的热点。国外学者对审计费用影响因素的研究较早，Simunic（1980）率先提出了可能影响审计费用的十大因素，最终发现资产规模是决定审计费用最关键的因素。

国内方面，张继勋（2005）通过对我国上市公司在2001-2003年披露的审计费用进行研究，审计收费与被审计单位总资产规模、审计复杂程度和上市公司所在地是显著相关的。王小华（2005）认为审计费用影响因素在于公司治理特征、事务所特征和我国证券市场的制度等多种因素。郭葆春（2009）通过运用2006年沪、深两市上市公司的实证数据对我国审计定价影响因素进行实证研究，发现非审计费用未影响审计定价，董事会规模、董事会勤勉与独立性、事务所品牌、企业规模和子公司数目等直接影响审计定价。

三、研究假设

在针对审计费用的相关研究中，学者们普遍认为审计费用最主要的影响因素在于被审计单位的规模。被审计单位的规模越大，其子公司数量越多，业务量也随之增大，其固有风险和控制风险也越高，导致审计的工作量加大及审计费用的提高。因此，提出以下假设：

H1：公司规模与审计费用呈正相关。

审计风险是影响审计费用的重要因素，一般来说审计风险越高，事务所面临证监会和证券交易所的惩罚成本越大，从而审计收费也可能增加。

本文选取了应收账款占总资产的比重、存货占总资产的比重、无形资产占总资产的比重、资产负债率、流动比率、净资产收益率、审计意见类型等指标衡量审计风险对审计费用的影响。

其中，本文选取的应收账款和存货占总资产的比重是审计过程中业务最为复杂的核查内容之一，应收账款和存货需要审计人员加大工作力度进行清查，使得审计费用可能增大，因此预期其与审计费用呈正相关。选取的无形资产占总资产的比重，主要原因在于科技创新、产品研发、技术专利等是该行业的主要特点，因此针对无形资产的核查也需要审计人员面临一定的审计风险，从而提升审计费用，故其与审计费用呈正相关。选取的资产负债率与流动比率与审计费用呈负相关，两者越高，说明被审计单位的偿债能力越强，审计风险相对越小，从而审计费用就较低。选取的净资产收益率反映了被审计单位的盈利能力强弱，该值越大，相对应提供审计业务的事务所承担的审计风险越小，从而收取的审计费用也相应减少，故其与审计费用呈负相关。选取的审计意见类型主要影响审计的成本，如果注册会计师出具非标准保留审计意见，被审计单位的财务风险较大，审计风险也提升，审计工作量会加大，从而审计费用也会提升。根据以上内容，提出假设：

H2：审计风险与审计费用呈正相关。

根据以往的研究表明，会计师事务所声誉良好，审计人员的素质较高，可以提供较为出色的审计服务，其审计费用对于小规模的会计师事务所会有一定的提升。并且通过知名的大型会计师事务所审计，可能对公司声誉、投资者信任程度等方面都会起到积极的作用。所以，上市公司会愿意支付较高的审计费用。

本文根据中国注册会计师协会基于2012年业务数据的《2013年会计师事务所综合评价前百家信息》，选取审计业务领先的“六大”会计师事务所，即普华永道中天、德勤华永、瑞华、安永华明、立信、毕马威华振。其中，瑞华在2012年业务分为两家会计师事务所承担：中瑞岳华、国富浩华。据此，提出以下假设：

H3：会计师事务所为“六大”的，其审计费用较高。

四、实证分析与结果

（一）模型选择与变量说明

根据我国审计费用的实际情况和上述影响因素指标，本文建立了以下多元线性回归模型：

lnFee=β0 +β1lnAssets+β2 Rev+β3Inv+β4 Intangible+β5Debt+β6 Current+β7Roe+β8Opinion+β9BigSix+ε

it审计和普通审计范文4

一、IT环境下，审计理论基础的特点

(一)多元网络性

作为审计理论的根基，审计理论基础在IT环境下得到了不断的增强和加固。信息技术学、信息经济学、信息博弈论以及与审计相关的其他学科领域共同组成了一个动态的、多元性的审计理论基础网络组织。而构成审计理论基础的各个学科的具体内容则是这张网上的各个结点。审计理论基础的不断扩张、膨胀，意味着审计理论获得了更充足的理论养分，得到了更充分、更完善的发展。

(二)动态性

随着时代的变迁、客观条件的变化、社会经济环境的完善，审计理论基础也在不断的发展完善，在充分汲取新的学科理论养分的同时，也掘弃了一部分不适合于IT环境下的陈乏的、过时的理论。并且，审计理论基础的发展变化决定着审计理论的发展方向、趋势，同时审计理论的不断发展、完善，也进一步加强和巩固了审计理论基础，二者的关系是辨证统一的。

(三)质量性

IT环境下，质量非常重要，可以毫不夸张地说，质量是IT的生命。审计理论基础作为审计理论的根基，其质量性尤为重要。其质量性主要表现在：稳定性、安全性、品质性。尽管是审计理论基础在审计理论发展的历史长河中呈现出动态、发展性，但是，就某一时间段、期间而言，审计理论基础还是具有相对稳定性的。另外，作为根基、支撑点，其安全性、品质性也是非常重要的，不安全的、缺乏品质性的根基不具备支撑审计理论大厦的能力。

(四)交互渗透性

审计理论基础的内涵非常广泛，几乎涉及各个学科、领域，而这些学科、领域的理论并非简单的叠加构成审计理论基础，它们是按照一定的秩序、规则进行有效的组合而形成的有机整体。在IT环境下，社会生活的空间相对缩小，各学科间的渗透也日益频繁、紧密，它们通过移植、借用、感染三种方式共同组成一个有序的、交互渗透的、相互关联的动态网络，服务于审计理论。

(五)虚拟性

审计理论基础，并不象有型的建筑物建造时挖地基所形成的有型的根基，它是从多个相互关联的学科中抽象出来的、客观存在的无形的根基。在IT环境下，这一特性更加明显，虚拟的审计理论基础具有抽象性、概括性、逻辑性三个特性。

二、IT环境下审计理论基础的认定标准

审计理论基础的认定，一直都是一个比较困难的问题，尤其是IT环境下，高科技信息技术充分应用于审计领域，加速了审计理论基础的更新换代，使得审计理论基础从广度和深度上均有了较大的扩张，笔者认为，IT环境下，审计理论基础的认定标准为：

(一)作为审计理论基础，必须为审计理论的发展服务

审计理论基础与审计理论之间的关系是辨证统一的关系。即审计理论基础为审计理论服务，审计理论基础决定着审计理论发展的方向、趋势，审计理论基础的每一次变革都会引起审计理论发生相应的变化。反过来，当审计理论的发展适合于审计理论基础的客观要求时，则加强和巩固审计理论基础，反之则削弱审计理论基础。因此，判断某一理论、学科是否是审计理论基础，首先要看它是否为审计理论的发展服务，是否与审计理论呈辨证统一的关系。

(二)作为审计理论基础，必须与审计环境互动性

审计环境是审计理论乃至审计理论基础发生变迁的外在动因。在IT环境下，IT应用于审计理论中即审计电算化或网络审计。IT一方面刺激了审计理论基础的变革，将先进的IT理论植根于审计理论基础，将先进的IT技术应用于审计测试工作中，加速了审计理论的发展；另一方面，审计理论基础发生了变化，也会在一定程序上刺激审计环境进一步完善，使得审计理论基础更好的为审计理论服务。二者的关系呈互动性。

(三)作为审计理论基础，它必须是沟通审计理论与其他相关学科的桥梁

审计理论基础为审计理论与其他学科理论提供了一个公共区域，在此领域内，各学科理论知识相互交叉、渗透、融合，共同为审计理论服务。因而审计理论基础是审计理论科学体系的研究内容，但它本身并不是审计理论，它是连接审计理论与其他学科体系的桥梁与纽带，是审计理论与其他学科的交叉渗透区。

三、IT环境下，审计理论基础的具体内容

(一)信息技术理论

信息技术理论是IT理论的核心，其在审计理论中具体应用，也是审计电算化充分发展的标志之一。当代信息技术理论包括：网络技术理论，信息技术理论，数据挖掘理论、系统集成理论、多媒体理论技术、人工智能技术等等。这些理论、技术在审计中的应用，大大提高了审计测试效率、审计监督质量，为审计理论的发展提供了前所未有的机遇，使得审计理论基础从深度和广度上得到不断地扩张。

(二)经济学理论

经济学理论是审计理论基础的重要组成部分，它可以开阔我们的视野，转变我们的思维方式，为我们提供可供选择的理论依据和方法。它将一些西方经济学思想、观点引入审计理论中，从经济学视角分析审计理论的发展，寻求提高审计工作效率的途径，革新审计测试手段的策略，如：西方制度经济学、产权经济学、交易费用学说、信息博弈论等等，都大大地加深了审计理论知识，丰富了审计理论基础的营养，使我们从更深层次的角度探求审计理论的内涵、外延，深化了审计理论知识，为审计人员提高审计工作效率、降低审计交易费用、进行理性审计提供了新的思路。

(三)司法诉讼学

司法诉讼学与审计理论相结合是现代审计理论的发展趋势。一方面，审计证据的获得需要审计人员运用大量的司法刑侦手段、方法去检查、判断、排除伪证，以取得真实可靠的审计证据；另一方面，面对审计诉讼爆炸的时代，审计人员如何进行合法审计、避免审计诉讼，也是他们面临的现实问题。因此，将司法诉讼学注入审计理论基础，可以提高审计人员守法、学法意识，在法律允许的范围内开展有效的审计，同时掌握各国间法律的差异，审计豁免的范围、程度，为开展跨国审计作好准备。

(四)管理心理学

管理心理学又称行为管理学，是研究人的行为心理活动规律的科学，它是用管理学、行为学、社会学、生理学、伦理学、人类学等学科的原理，以研究人的心理行为和人际关系、人的积极性为对象的一门综合性科学。它主要研究人的行为激励问题，探索人的心理活动，提高激励人的心理和行为的各种途径和技巧，以达到最大限度提高工作效率为目的。它作为审计理论基础，对于开发审计人员思维、激发审计人员开展有效审计的积极性，提高审计工作效率有很大的意义。管理心理学作为审计理论基础，既满足了管理审计的客观要求，也为审计人员进行有效审计提供了理论依据和方法。

(五)会计、统计理论

会计理论是企业提供财务报告的基础，也是审计人员查错防弊所必备的基本知识，它与审计学理论有着很深的血缘关系。审计人员接受被审单位委托后，必须大量的分析和评价财务信息和非财务信息，检查被审单位会计报告的真实性，而所有这一些必须是在一定的财务理论和会计理论的指导下进行。统计理论成为审计理论基础，可以将有关经济计量模型应用于具体审计实践中，对审计结果、审计证据进行线性回归分析，测试各变量间的拟合度，大大地提高了审计测试手段的先进性和审计结论的准确性。同时，通过将一些审计问题定量化，也有助于审计人员作出准确的决策判断，并相应的化解日益复杂的审计风险。

it审计和普通审计范文5

［基金项目］教育部人文社会科学研究规划项目（10YJA790182）；南京审计学院校级一般项目（NSK2009/B22）；江苏省优势学科“审计科学与技术”研究项目

［作者简介］刘国城（1978― ），男，内蒙古赤峰人，南京审计学院讲师，硕士，从事审计理论研究。

第27卷第3期2012年5月审计与经济研究JOURNAL OF AUDIT & ECONOMICSVol.27, No. 3May, 2012

［摘要］在分析中观信息系统风险与损失的成因基础上，借鉴BS7799标准，一方面从物理层次与逻辑层次两个方面研究中观信息系统固有风险的评价模式；另一方面从一般控制与应用控制两个层面探索中观信息系统内部控制的评价机制。基于BS7799标准对中观信息系统审计进行研究，旨在为IT审计师有效实施中观信息系统审计提供应用指南。

［关键词］BS7799标准；中观审计；信息系统审计；内部控制；中观信息系统；中观信息系统风险

［中图分类号］F239.4［文献标识码］A［文章编号］10044833(2012)03005007

所谓中观信息系统审计就是指审计主体依据特定的规范，运用科学系统的程序方法，对中观信息系统网络的运行规程与应用政策实施的一种监督活动，旨在增强中观经济主体特定信息网络的有效性、安全性、机密性与一致性，以保障中观信息系统的高效运行［1］。中观信息系统的审计主体即IT审计师需要重视中观信息系统审计的复杂性，且有必要借助BS7799标准，构建并完善中观信息系统审计的实施流程，优化中观信息系统审计工作，提高审计质量。之所以需要借助BS7799标准，是因为BS7799标准的众多功能可以满足中观信息系统审计工作的需求。在尚未有详细信息系统审计（以下简称“IS审计”）规范的条件下，中观信息系统审计对信息安全管理策略的需求巨大，而BS7799标准恰恰是问世较早且相对成熟的信息安全管理标准，它能够确保在计算机网络系统进行自动通信、信息处理和利用时，在各个物理位置、逻辑区域、存储和传媒介质中，较好地实现保密性、完整性、有效性与可用性，能够在信息管理与计算机科学两个层面加强信息安全管理向中观信息系统审计的理论转化，中观信息系统审计的需求与BS7799标准的功能具备整合的可行性。

一、 BS7799标准

1995年，英国贸工部制定了世界首部信息安全管理体系标准“BS77991：1995《信息安全管理实施规则》”，并作为各类组织实施信息安全管理的指南［2］，由于该标准采用建议和指导的方式编写，因而不作为认证标准使用；1998年，英国又制定了信息安全管理体系认证标准“BS77992：1998《信息安全管理体系规范》”，作为对组织信息安全管理体系进行评审认证的标准［3］；1999年，英国再次对信息安全管理体系标准进行了修订，形成“BS77991：1999”与“BS77992：1999”这一对配套标准；2000年12月，“BS77991：1999”被ISO/IEC正式采纳为国际标准“ISO/IEC17799：2000《信息技术：信息安全管理实施规则》”，此外，“BS77992：1999”也于2002年底被ISO/IEC作为蓝本修订，成为可用于认证的“ISO/IEC《信息安全管理体系规范》”；2005年，BS77991与BS77992再次改版，使得体系更为完善。BS7799标准体系包含10个管理要项、36个管理目标、127个控制目标及500多个管理要点。管理要项如今已成为组织实施信息安全管理的实用指南；安全控制目标能够帮助组织识别运作过程中影响信息安全的因素。BS77991几乎涵盖了所有的安全议题，它主要告诉IT审计师安全管理的注意事项与安全制度。BS77992详细说明了建立、实施和维护信息安全管理的要求，指出组织在实施过程中需要遵循的风险评估等级，从而识别最应该控制的对象并对自身需求进行适当控制。BS77991为信息系统提供了通用的控制措施，BS77992则为BS77991的具体实施提供了应用指南。

国外相对成熟的信息安全管理理论较多，它们各有千秋，彼此之间相互补充且有交叉。BS7799标准仅是众多信息安全管理理论中的一种，与传统审计方法相比，仅适用于IS审计范畴。然而，BS7799标准的特别之处表现在：其一，它是一部通用的信息安全管理指南，呈现了较为全面的系统安全控制措施，阐述了安全策略和优秀的、具有普遍意义的安全操作方法，能够为IT审计师开展审计工作提供全程支持；其二，它遵循“计划-行动-控制-改善方案”的风险管理思想，首先帮助IT审计师规划信息安全审计的方针和范围，其次在审计风险评估的基础上选择适当的审计方法及风险控制策略并予以实施，制定持续性管理规划，建立并运行科学的中观信息系统审计执行体系。

二、中观信息系统的风险与损失

中观信息系统风险是指成功利用中观信息系统的脆弱性或漏洞，并造成系统损害的可能性。中观信息系统风险极其庞杂且非常普遍，每个中观信息系统面临的风险都是不同的，这种风险可能是单一的，也可能是组合的［4］。中观信息系统风险包括：人员风险、组织风险、物理环境风险、信息机密性风险、信息完整性风险、系统风险、通信操作风险、设施风险、业务连续性风险、法律风险及黏合风险（见图1），它们共同构成了中观信息系统的风险体系，各种风险除具有各自的特性外，有时还可能相互作用。

中观信息系统风险的成因离不开外来威胁与系统自身的脆弱性，且风险的最终后果就是损失。图1中的“a.威胁性”是系统的“风险源”，它是由于未授权访问、毁坏、数据修改以及拒绝服务等给系统造成潜在危害的任何事件。中观信息系统的威胁来自于人为因素及非人为因素两个方面。人为因素是对中观信息系统造成威胁的决定性力量，人为因素造成威胁的主体有竞争对手、网络黑客、不满员工或正常员工。图1中的“b.脆弱性”是指在系统安全程序、管理控制、物理设计中存在的、可能被攻击者利用来获得未授权信息或破坏关键处理的弱点，由物理环境、技术问题、管理问题、法律问题四个方面组成。图1中的“d.风险承受力”是指在中观信息系统遭遇风险或受到攻击时，维持业务运行最基本的服务和保护信息资产的抵抗力、识别力、恢复力和自适应能力。

中观信息系统风险的产生有两种方式：一是遵循“abc”路径，这条路径形成的风险为中观信息系统“固有风险”，即假定中观信息系统中不存在内部控制制度，从而造成系统存在严重错误与不法行为的可能性。该路径的作用形式为人为因素或非人为因素是风险源，对中观信息系统构成威胁，该威胁产生后寻找并利用系统的脆弱点（假定中观信息系统对该脆弱点没有设计内控制度），当威胁成功作用于脆弱点后，就对系统进行有效攻击，进而产生中观信息系统风险。二是遵循“abPc”路径，该路径所形成的风险为中观信息系统的“控制风险”，即内部控制制度体系未能及时预防或发现系统中的某些错误或不法行为，以致中观信息系统遭受损失的可能性。与“abc”路径比较，该路径多出“P.内部控制”过程，这说明当威胁已产生并将利用系统的脆弱点时，中观经济主体已经对该脆弱点设计了内控制度体系，但是由于内部控制制度设计的不科学、不完善或没有得到有效执行，从而造成内部控制未能阻止“威胁”，致使中观信息系统形成风险。中观信息系统损失的形成遵循“cde”路径。然而，由于中观信息系统自身具有一定的风险防御能力（即“d.风险承受力”），因而并非所有风险都将造成损失。当中观信息系统识别并抵抗部分风险后，最终未能消除的风险通过对系统的负面作用，会给中观信息系统造成间接或直接的损失。

三、中观信息系统固有风险的评价模式

图1中的“abc”路径是中观信息系统固有风险产生的路径，固有风险形成的条件是“假定不存在内部控制制度”。评价固有风险是中观信息系统审计准备阶段的一项基础工作，只有正确评价固有风险，才能合理评估审计风险，准确确定审计范围并制定审计计划［56］。笔者认为，BS7799标准之所以能够有效评价中观信息系统的固有风险，是因为BS7799标准的管理要项、管理目标，控制措施与管理要点组成了信息安全管理体系，这个体系为IT审计师确定与评价系统固有风险提供了指南［7］。BS7799标准对IT审计师评价固有风险的贡献见上表1。

(一) 物理层次的风险评价

物理层次的内容包括物理环境安全与物理环境设备［7］，其中，物理环境安全包括硬件接触控制、预防灾难措施和网络环境安全；物理环境设备包括支持设施、硬件设备和网络物理环境。针对上述分类，下面对物理层次风险评价进行具体分析。

首先是物理环境安全风险评价。在评价物理环境安全风险时，可以借鉴BS7799标准A、B、D1、D3、E、G8、H5、I、J。例如，IT审计师在了解被审中观信息系统的“预防灾难措施”时，可参照“A.安全方针”，依据BS7799对“安全方针”进行阐述，了解被审系统的“信息安全方针”，关注被审系统在相关的“方针与策略”中是否估计到了系统可能遭遇的所有内外部威胁；当威胁发生时，是否有具体的安全保护规定及明确的预防措施；对于方针的执行，是否对每位员工都有所要求。假若IT审计师在审计中未找到被审系统的“安全方针”，或找到了但“安全方针”并未涉及有关“灾难预防”方面的安全措施，则IT审计师可直接认定被审系统在这方面存在固有风险。其次，物理环境设备风险评价。在评价物理环境设备风险时，可以借鉴BS7799标准A、B、C1、D、E2、E3、F6、G3、G8、H5、I、J。例如，IT审计师在了解被审系统有关“硬件设备”的情况时，可参照“C1.资产责任”。BS7799标准对“资产责任”的说明有“组织可根据运作流程与系统结构识别资产，列出清单”，“组织的管理者应该确定专人负责相关资产，防止资产的被盗、丢失与滥用”。借鉴C1的信息安全管理目标与措施，IT审计师可以关注被审单位是否列出了系统硬件设备的清单，是否有专人对资产负责。如果相关方面的管理完备，则说明“硬件设备”在责任方面不存在固有风险，IT审计师也不需要再对此方面的固有风险进行评价。再如，IT审计师在确认“硬件设备”方面的固有风险时，还可参照“E3.通用控制”。BS7799标准对“通用控制”的说明有“定期进行资产清查”，“未经授权，资产不能随便迁移”等。借鉴这一措施，IT审计师需要了解被审系统的有关资产清查记录以及资产转移登记手续，如果相关记录不完整或手续不完备，则IT审计师可直接认定“硬件设备”在控制方面存在固有风险。

(二) 逻辑层次的风险评价

逻辑层次的内容包括软件环境、系统生命周期和逻辑安全［7］。其中，软件环境包括系统软件、网络软件与应用软件；系统生命周期包括系统规划、分析、设计、编码、测试、试运行以及维护；逻辑安全包括软件与数据接触、数据加密机制、数据完整性、入侵检测、病毒与恶意代码以及防火墙。针对以上分类，下面对逻辑层次风险评价进行具体分析。

首先是软件环境风险评价。在评价软件环境风险时可以借鉴BS7799标准A、B、C1、D、E1、E3、F、G、H、I、J。例如，IT审计师在掌握被审系统有关“网络软件”的情况时，可借鉴“G2.用户访问管理”标准。BS7799对该标准的阐述包括“建立用户登记过程，对用户访问实施授权”，“对特权实行严格管理”，“对用户口令进行严格管理”等。借鉴G2下相关信息安全管理措施，IT审计师可以详细核查被审网络软件是否建立了用户注册与登记过程、被审软件的特权管理是否严格、是否要求用户秘密保守口令。假若IT审计师发现用户并未得到访问网络软件的权限却可以轻易访问网络软件，则该软件必然存在风险，IT审计师就可通过与BS7799标准比照并发表评价结论。又如，IT审计师在评价“系统软件”固有风险时，可借鉴“G5.系统访问与使用的监控”标准。该标准的阐述有“使用终端安全登陆程序来访问信息服务”，“对高风险的不活动终端采取时限措施”。IT审计师在评价“系统软件”自身风险时，可套用上述安全措施，逐项分析被审系统软件是否完全达到上述标准并作出合理的风险评价。其次是系统生命周期的风险评价。在评价系统生命周期风险时，可借鉴BS7799标准A、B、D1、D3、E、F1、F2、F3、F4、F6、F7、G、H、I、J。如IT审计师在检查被审系统的“系统设计”时，可参照“H1.系统安全要求”。H1的解释为“系统设计阶段应该充分考虑系统安全性，组织在项目开始阶段需要识别所有的安全要求，并将其作为系统设计开发不可或缺的一部分进行调整与确认”。因而，IT审计师在检查系统设计有关资料时，需要分析被审单位是否把上述解释融入系统设计中，或是否全面、有效地融入设计过程，如果被审单位考虑了诸因素，IT审计师就可以确认被审系统的设计环节在此方面不存在风险。假若IT审计师发现在系统设计阶段被审单位没有考虑到需要“引入控制”，且在系统运营期间对系统的“控制”也不够重视，则IT审计师可以作出系统自身安全及系统设计开发过程存在风险的结论。第三是逻辑安全的风险评价。在评价逻辑安全风险时，可以借鉴BS7799标准A、B、C2、D、E1、E3、F、G1、G2、G4、G5、G6、G7、G8、H、I、J。IT审计师在检查被审系统的“病毒与恶意代码”时，可借鉴“G4.网络访问控制”。BS7799对该标准的阐述有“建立并实施网络用户服务使用方针”，“从用户终端到网络服务的路径必须受到控制”以及“对外部链接的用户进行身份鉴别”等。IT审计师在审计过程中，应该关注被审系统在上述方面的执行思路与执行程度，假若被审单位对上述方面缺乏重视，则恶意用户未经授权或未受限制就能轻易访问系统，系统遭受病毒或恶意代码损害的风险会相应加大。再如，IT审计师在评价系统“数据完整性”的风险时，可借鉴“F1.操作程序与职责”。该标准的描述有“在执行作业的过程中，提供差错处理及例外情况的指导”，“进行职责分离，减少出现非授权更改与数据信息滥用的机会”等。结合上述措施，IT审计师应该关注被审单位是否通过外键、约束、规则等方式保障数据的完整性，如果被审单位没有按照上述方法操作，则被审系统将会在“数据完整性”方面存在风险。

需要强调的是中观信息系统固有风险的评价较为复杂。在理论研究中，本文仅选取BS7799的某些标准举例进行阐述，但在实践中，IT审计师不应只借鉴BS7799标准的单个或部分标准，就做出某方面存在“固有风险”的结论。如仅从C1看，“硬件设备”无固有风险，但从E3看，“硬件设备”确实存在固有风险。鉴于此，IT审计师应由“点”及“面”，全面借鉴BS7799标准的整个体系。只有如此，才能更科学具体地进行物理及逻辑层次的风险评价。

四、中观信息系统内部控制的评价机制

图1中的“abPc”路径是中观信息系统控制风险产生的路径，控制风险的形成条件是“假定存在内部控制制度，但是内控制度不科学、不健全或执行不到位”，产生控制风险最主要的原因是内部控制机制失效，即“P”过程出现问题。评价内部控制是IT审计师防范审计风险的关键，也是中观信息系统审计实施阶段的一项重要工作。然而，当前我国信息系统审计方面的标准与规范仅有四项，因而IT审计师对信息系统内部控制的评价还处于摸索阶段，急需详细的流程与规范进行指导。笔者认为，BS77991《信息安全管理实施细则》与BS77992《信息安全管理体系规范》能够为IT审计师评价中观信息系统的内部控制提供思路。BS7799是一套完备的信息安全管理体系，IT审计师完全可以借鉴其体系与框架来设计中观信息系统内部控制评价流程，构建适用于中观信息系统的审计流程。BS7799标准的具体借鉴思路见表1，具体阐述如下。

(一) 一般控制的评价

1. 组织管理的内部控制评价

在评价组织管理的内控时，可借鉴BS7799标准A、B、C1、D1、D3、E、F、G、H、I、J。IT审计师可将BS7799标准体系作为信息系统组织管理内部控制的衡量标准，并以此确认被审系统组织管理内控制度的科学性与健全性。假若某中观经济主体将信息系统的部分管理活动外包，则IT审计师可借鉴BS7799中的“B3.外包控制”标准，检查外包合同的全面性与合理性。如果被审单位在外包合同中规定了信息系统的风险、承包主客体各自的系统安全控制程序，并明确规定了“哪些措施必须到位，以保证涉及外包的所有各方关注各自的安全责任”，“哪些措施用以确定与检测信息资产的完整性和保密性”，“采取哪些实物的和逻辑的控制以限制和限定授权用户对系统敏感信息的访问”以及“发生灾难时，采用怎样的策略来维持服务可用性”，则IT审计师就可确认被审系统在外包方面的控制设计具有科学性与全面性，只需再对外包控制条款的执行效果进行评价就可以得出对被审单位外包活动评价的整体结论。

2. 数据资源管理的内部控制评价

在评价数据资源管理的内控时，可以借鉴BS7799标准A、B、C、D、E1、E3、F、G、H、I、J。信息系统数据包括数据字典、权限设置、存储分配、网络地址、硬件配置与系统配置参数，系统数据资源管理有数据存放、备份、恢复等，内容相对复杂。IT审计师在评价数据资源管理的内部控制时，也需要借鉴BS7799标准体系。例如，IT审计师可借鉴“F1.操作程序与职责”或“G6.应用访问控制”评价数据资源管理。F1与G6的阐述有“识别和记录重要数据的更改”、“对数据更改的潜在影响作出评估”、“向所有相关人员传达更改数据的细节”、“数据更改不成功的恢复措施”、“控制用户的数据访问权，如对读、写、删除等进行限制”、“在系统共享中，对敏感的数据实施高级别的保护”。IT审计师在审计时，有必要根据上述思路对系统数据管理的控制制度进行深层次评价。在当前缺乏信息系统审计规范的情况下，以BS7799体系作为评价数据资源管理内部控制的指南，不失为一种好的审计策略。

3. 环境安全管理的内部控制评价

在评价环境安全管理的内控时可以借鉴BS7799标准A、B、C1、D、E、F、G、H、I、J。信息系统的环境安全管理包括物理环境安全管理与软件环境安全管理，系统环境是否安全决定着危险因素对脆弱性的攻击程度，进而决定着信息系统风险。IT审计师在审计系统环境的安全管理过程时，需要关注设备、网络、软件以及硬件等方面。在评价系统环境安全管理的内部控制时，IT审计师有必要借助上述BS7799标准体系。例如，BS7799的“E1.安全区域”标准与“E2.设备安全”标准的解释有“信息处理设施可能受到非法物理访问、盗窃、泄密等威胁，通过建立安全区域、严格进入控制等控制措施对重要的系统设施进行全面保护”，“应该对信息处理设施运作产生不良影响的环境条件加以监控，如，湿度与温度的影响”。类似上述的BS7799系列标准都为IT审计师如何确认环境安全管理的内控提供了审计指导，且其指导思路清晰、全面。IT审计师通过借鉴BS7799系列标准，可以深层次挖掘系统环境安全管理规章制度中存在的疏漏以及执行中存在的问题，从而有效评判环境安全管理的控制风险。

4. 系统运行管理的内部控制评价

在评价系统运行管理的内控时，可以借鉴BS7799标准A、B、C1、D、E1、E3、F、G、H、I、J。中观经济主体对运行系统的管理相对复杂，涉及到系统组织、系统维护、系统完善等多个方面。由于系统运行中需要管理的环节繁多，而且目前也没有规范与流程可以参考，因而，评价系统运行管理的内控也有必要借鉴上述BS7799标准体系。例如，BS7799标准“D2.设备安全”与“H5.开发与支持过程中的安全”的阐述有“信息系统操作者需要接受安全意识培训，熟悉与系统运行相关的安全职责、安全程序与故障制度”，“系统运行中，建立并实施更改控制程序”以及“对操作系统的更改进行技术评审”等方面。IT审计师采用询问、观察、检查、穿行测试等方法评审系统运行管理的内部控制，需要有上述明细的、清晰的信息安全管理规则予以指导，这些标准可以指导IT审计师了解被审系统是否有健全的运行管理规范及是否得到有效运行，借此，IT审计师可以作出全面的内控判断，进而出具正确的审计结论。

(二) 应用控制的评价

信息系统的应用控制包括输入控制、处理控制与输出控制。在评价系统输入控制、处理控制以及输出控制三者的内控时，同样有必要借鉴BS7799标准，且BS7799标准中A、B、D、E1、E3、F1、F2、F3、F4、F5、F7、G1、G2、G4、G5、G6、G7、G8、H、I、J相对应的信息安全管理目标与措施能够在IT审计师对三者进行内控评价时提供相对详尽的审计框架。为确保信息系统输入、处理与输出的信息完整、正确，中观经济主体需要加强对信息系统的应用控制。IT审计师在中观信息系统审计的过程中，需要做到对被审系统应用控制进行正确评价。

在IT审计师对应用控制的符合性测试过程中，上述BS7799标准体系可以对应用控制评价进行全程指导。例如，BS7799标准中“H2.应用系统的安全”提到“数据输入的错误，可以通过双重输入或其他输入检查侦测，建立用于响应输入错误的程序”，“已正确输入的数据可因处理错误或故意行为而被破坏，系统应有确认检查功能以探测数据的破坏”，“为确保所存储的信息相对于各种情况的处理是正确而恰当的，来自应用系统的输出数据应该得到确认”等控制策略，并提出了相对详细的控制措施。应用控制环节是信息处理的脆弱集结点，IT审计师在进行应用控制的符合性测试环节时有必要考虑周全，详尽规划。IT审计师可以遵循H2全面实施针对应用控制的审计，依照BS7799标准体系，检查被审系统对于超范围数值、数据区中的无效字符、丢失的数据、未经认可的控制数据等系统输入问题的控制措施以及应急处理能力；检查是否对系统产生的数据进行了确认，系统的批处理控制措施、平衡控制措施等，以及相关控制行为的执行力度；检查信息输出是否实施了可信性检查、一致性控制等措施，如果有相关措施，那么执行力度如何。BS7799标准体系较为全面，对于IT审计师评价系统的应用控制贡献很大，如果IT审计师能够创造性借鉴该标准，必可做好符合性测试，为实质性测试夯实基础，也定会提高审计质量。

五、结束语

表1是笔者在分析某商业银行信息系统与某区域物流信息系统的基础上，对“BS7799标准如何应用于信息系统审计”所进行的设计，当针对其他行业时，或许需要对表1进行适当调整。不同行业、不同特性的中观经济主体在信息系统审计中运用BS7799标准时侧重点会有所不同。本文以分析中观信息系统风险为着手点，沿用BS7799标准对中观信息系统审计进行研究，旨在抛砖引玉。

参考文献：

［1］王会金,刘国城.中观经济主体信息系统审计的理论分析及实施路径探索［J］.审计与经济研究,2009(5):2731.

［2］BSI.ISO/IEC17799-2000 Information technologycode of practice for information security management［S］. London:British Standards Institation,2000:179202.

［3］BSI.BS779922002 information security managementspecification for information security management systems［S］. London: British Standards Institation,2002:267280

［4］孙强.信息系统审计［M］.北京:机械工业出版社,2003.

［5］刘国城,王会金.中观信息系统审计风险的理论探索与体系构架［J］.审计研究,2011(2):2128.

［6］王会金.中观信息系统审计风险控制体系研究――以COBIT框架与数据挖掘技术相结合为视角［J］.审计与经济研究，2012（1）：1623.

［7］科飞管理咨询公司.信息安全管理概论-BS7799理解与实施［M］.北京:机械工业出版社, 2002.

BS7799 Criterion and Its Application in Mesoinformation Systems Audit

LIU Guocheng

（Jinshen College of Nanjing Audit University, Nanjing 210029, China）

it审计和普通审计范文6

我国《注册会计师法》第21条规定了注册会计师的审计责任：“注册会计师执行审计业务，必须按照执行准则、规则确定的工作程序出具报告”。中国独立审计准则对注册会计师的审计责任也做了详细的规定：注册会计师的审计责任是指注册会计师按照独立审计准则的要求出具审计报告，并对发表的审计意见负责。由于基本会计数据及其他管理数据的庞大以及审计成本的限制，现代审计多采用评价内部控制基础上的抽样审计以获得支持财务报表的证据。在信息系统条件下，审计基础数据更加庞大和复杂，内部控制的内容与方法也发生了巨大变化，获取基础审计数据，评价新的内部控制结构的效力与证据之间的联系，这些都构成了对注册会计师的极大挑战。

我国2004年的《独立审计具体准则第20号――计算机信息系统环境下的审计》明确指出，注册会计师应当充分关注计算机信息系统环境对被审计单位会计信息及内部控制的影响。2006年的《中国注册会计师审计准则第1633号电子商务对财务报表审计的影响》第十八条指出，注册会计师应当关注审计单位是否运用适当的安全基础架构和相关控制；第32条也指出，注册会计师应当考虑被审计单位实施的信息安全政策和控制措施，是否足以防止未经授权修改会计系统或会计记录，或修改向会计系统提供数据的系统。《国际审计准则15――电子数据处理环境下的审计》明确指出，当在一个电子数据处理的环境下进行审计时，审计人员应当对约定计划中的计算机因硬件、软件和处理系统有充分的了解，并且要了解电子数据对内部控制的研究与评价和对审计程序实施的影响，包括计算机辅助审计技术。但我国的独立审计具体准则和国际审计准则都没有给出审计测试的具体评价标准，注册会计师在评价计算机信息系统的安全、正确及有效性方面遇到了很大的困难。

以上情况表明，虽然注册会计师可能无需对信息系统和信息活动提出鉴证结论和咨询意见，但必须考虑信息系统和信息活动对被审计单位的影响与重大错报的风险。因此，注册会计师在面对复杂的信息系统时必须考虑借用有效的IT标准来对被审计系统进行评价。当前国际上普遍应用的IT相关标准众多，但有关信息系统管理及如何对信息系统进行审计的标准相对比较少，对审计人员来说，COBIT对审计人员具有更强的针对性，其执业规范和操作指南对审计人员提供了重要参考价值的标准。

二、COBIT概述

COBIT(Control Objectives for Information and Related Technolo-gy)是信息系统审计及控制协会(Information Systems Audit andControl Association,ISACA)指定的关于信息技术安全及控制的通用标准，COBIT实质上已经成为国际公认的最权威的信息技术管理、控制和审计的标准。

COBIT控制目标体系是一个较完整的信息系统管理和控制的参考模型，通过将COBIT应用到信息系统的开发和实施环境中，管理人员、开发人员和审计人员可以在强化和评估信息系统的管理和控制时获得依据。COBIT主要包括六个部分的内容：执行概要、系统框架、管理指南、详细控制目标、审计指南、实施工具集等。执行概要围绕着IT控制与企业经营目标之间的关系说明了CO-B17的基本概念和原理，使得COBIT与企业活动紧密相连，具有现实的指导意义；系统框架介绍了COBIT的领域、IT过程和高层控制目标，指出了每个控制目标对信息的要求和主要对哪些信息系统资源产生影响，可以成为审计人员选择审计程序和方法的主要依据；管理指南主要阐述企业对内部IT的控制情况的自我评价，提高和改进IT过程的措施以及对IT过程性能的监控，是企业内部审计的重要参考依据之一，也是注册会计师借助于内部审计报告来评估IT控制的重要证据；详细控制目标介绍了COBIT的IT过程所包括的详细控制目标，是评价IT管理和过程的具体参考标准；审计指南从信息管理人员和审计人员的角度说明了如何实施对IT控制的检查，提出了具体的审计方法；实施工具集主要包括管理认知、IT控制诊断、实施指南、常见问题、COBIT案例研究等工具，为快速学习和运用COBIT提供丰富的素材。

三、COBIT信息评价标准对注册会计师的指导意义

企业的财务报表反映了一系列有关该企业财务状况的管理当局认定，注册会计师的任务是确定这些财务报表的公允表述。为了完成这一任务，注册会计师制定了审计目标，确定了达到这一目标而需要执行的审计程序，并为证实或否定管理当局认定收集证据。管理当局对会计报表的认定可以归结为五类：存在或发生；完整性；权力和义务；估价或分摊；表达与披露。在这些认定的基础上，注册会计师在具体的审计实务中产生了总体合理性、真实性、完整性、所有权、估价、截止、机械准确性、披露、分类等一般审计目标。由此可见，管理认定在注册会计师的具体审计行为具有非常重要的指导意义。

实际上，财务报表就是信息，注册会计师对财务报表的合法性、公允性、一贯性发表的审计意见就是对相关信息进行鉴证，在鉴证过程中，注册会计师必须对信息系统本身的安全性、保密性、完整性及其实现企业目标的有效性进行审计。在对信息系统的审计中，信息的评价标准在指导具体的IS审计行为中具有管理认定对注册会计师审计类似的指导意义。COBIT提出的如下表的信息评价标准值得注册会计师借鉴。为使信息达到标准，信息系统的组织规划、信息获取和系统实施、服务与支持、信息系统监控都要有一套合理的控制目标和标准，这就成为注册会计师对信息系统输，出的财务报告发表意见的具体审计目标。COBIT把以上目标以34个IT过程方式进行了描述，就产生了34个高级控制目标，并成为审计人员进行审计评价时的参考标准。

四、信息系统环境下注册会计师的行为选择

(一)一般控制与应用控制的符合性测试评价在信息系统环境下，注册会计师的审计不管采用绕过计算机的审计还是通过计算机的审计，都需对内部控制进行测试。信息系统中建立了许多新的控制措施，许多内部控制是建立在计算机的程序中。信息系统条件下的内部控制包括一般控制和应用控制，注册会计师可参考COBIT标准来识别、研究、审查、评价这些新的内部控制。如果注册会计师对信息技术和COBIT的标准不熟悉，聘任IT审计师或信息系统专家一同工作可能是最好的选择。此外，查阅内部审计报告和征询内部审计人员的意见、查阅和分析管理报告、软件控制测试等也可作为内部控制测试的辅助方法选择。

(二)业务与信息风险的评价信息系统的附加业务风险主要来源于信息系统的安全，尤其在IT业务外包、电子商务、ERP(企业资源计划)和BPR(企业过程重组)、网络金融环境下。在对这些单位实施审计时，注册会计师必须注重对相关合同的审查，要评价系统提供方或服务提供方的技术水平、服务能力和未来业务的可持续性，并审查系统的形成和服务过程。