您好,欢迎访问中保天和!

今天:2024年03月29日

咨询热线:010 - 84264757

首页
专项服务
解决方案
新闻中心
政策规范
专家视角

我司通过各种资源,力邀行业内的权威专家对时代热点和相关政策法规进行解读,站在信息行业的制高点,描绘行业的宏伟蓝图,促进行业的健康发展。 以专家的视角,用事实说话,力求前瞻性和权威性,为企业和个人的发展提供参考依据

关于我们

首页 > >备用保留

0

IT审计与传统审计的异同

     IT 审计是在原来传统审计的财务审计和管理审计基础上, 由于科学技术向经济管理领域的渗透而产生的。然而, 到目前为止, IT 审计在本质上并不是独立于财务审计和管理审计的第三大审计分支, 而是其中的一类审计形态, 其原因在于网络环境的复杂性、实际操作的复杂性、与传统审计的融合程度等因素都制约着IT 审计的发展。

一、IT 审计与传统审计在重大方面上是一致的
     (一) IT 审计与传统审计在基本概念及程序上大体一致
    “独立性与客观性”、“权威性与公正性” 等传统审计的基本概念在IT 审计中得到了很好的体现。另外, IT 审计独立于信息系统本身、信息系统相关开发、使用人员, 由IT 审计师依据法律规定, 采用客观标准独立行使审计监督权, 这与审计的“独立性与客观性” 完全相同。同时, 国际信息系统审计和控制协会(ISACA) 对实行审计制度、建立审计机关以及审计机构的地位和权力都做了明确规定, 这样使审计组织具有法律的权威性, 其与公正性相辅相成。
     (二) IT 审计体系与传统审计体系结构基本一致
    传统审计体系在逻辑结构上具有较强的严密性, “基本准则—具体准则—实务指南” 是由抽象到具体的逻辑规则, 这是会计准则、注册会计师鉴证业务准则等专业标准规范的常用结构, 这使审计后续的具体工作便于寻找相应的准则条款, 为审计工作提供便捷之处。IT 审计所表述的“标准—指南—程序” 准则框架在字面上与传统审计体系没有太大差别。其标准反应了信息系统领域的纲领性问题, 指南是标准的具体化, 程序则是一些工作规范, 这与传统审计体系的三个层次是一一对应的。从审计体系涵盖的内容上来看, 传统审计内容的绝大多部分都包含在了IT 审计体系的范畴之内。但是, 相对于ISACA 系会下的准则部制定的IT 系统审计准则而言, 我国的IT 系统审计准则体系还不够完整, 尚有若干项准则没有涉及, 这应该在我国IT 审计未来项目计划中予以考虑。
二、IT 审计具体内容方面存在两点点创新
    (一) 安全性审计
    在传统审计中, 对于被审计对象的安全问题鲜有涉及, 而信息的安全性问题关系到企业的生存与发展, 是保持企业健康可持续发展的重要保障。IT 审计中对于安全性审计做了详细的规范。安全性审计的主要目的就是审查企业信息系统和电子数据的安全隐患。一个存在安全隐患的信息系统很难为审计人员提供真实可靠的信息, 因此安全性审计也是真实性审计的前提。
    (二) IT 审计的软件测试方法与电子取证方法
     审计方法贯穿于整个审计过程当中, 而不只是存在于某一审计阶段或某个环节。随着IT 审计系统实践的丰富与IT 审计理论的发展, IT 审计处理运用传统审计的方法外, 还大量借鉴了计算机学科的一些方法为我所用。其中“软件测试方法” 是IT 系统审计的重要方法之一, 较为经典的测试方法是黑盒测试与白盒测试。另外, 某些会计数据和其他信息只能以电子形式存在, 或只能在某一时点或期间得到 , 在IT 审计时对于这些电子数据的获取极为重要, 需要确保IT 审计人员发掘和收集充足可靠的电子证据, 最终生成审计报告。
三、完善IT 审计体系还应借鉴传统审计
   (一) 借鉴传统审计中的绩效审计, 加强其实践可行性
    传统审计将审计的真实性、合法性和效益性作为审计的目标。为适应建立市场经济的需要, 审计机关从2001 年以前主要从事的真实、合法性审计到90 年代初期, 审计机关对国有企业的审计开始向检查内部控制和经济效益两方面的延伸, 绩效审计的重要性逐步凸显。由于IT项目的功能复杂性、结构庞大性、周期延长性, 使得IT 绩效审计很难准确地评价如此综合性的IT 项目效果, 如何完善IT 绩效审计在实践上的可行性是摆在我们面前的一项重要任务。IT 绩效审计应充分借鉴传统绩效审计中的经济性、效果性、效率性特征, 围绕这“三性” 进行展开。在“经济性” 上, 为了以最低的资源耗费获得一定数量和质量的产出, 可以通过多方面的改良提高其节约程度。如美国Gartner Group Inc 公司研发的ERP 系统, 其自动化程度很好, 从而提高了IT 绩效审计的科学性与可行性, 避免不必要的开支。在“效果性” 上, 力图在IT 项目上实现绩效监控动态化, 为企业提供丰富的管理信息, 并在企业管理和决策过程中发挥作用, 动态监控管理绩效变化, 及时反馈和纠正出现的问题。在“效率性” 上, 提高企业物流、资金流、信息流一体化管理的效率并且要善于管理信息系统, 对信息系统应用价值的实现是IT 绩效审计的最重要方面。
(二) 借鉴传统审计的风险管理, 发挥其制约性作用
     《企业内部控制基本规范》把“应当关注研究开发、技术投入、信息技术运用等自主创新因素” 列为企业识别内部风险时应当关注的六个因素之一。伴随IT 而来的风险、利益和机会使得IT 风险管理成为企业管理的重要内容, 也是IT 审计中应该完善的部分。借鉴传统审计对于企业风险管理中风险评估、控制与防范的流程,结合IT 风险管理的环境特殊性, 程序复杂性和数据多样性等特点, 对IT 审计中的风险管理应按照“识别信息资产—威胁的量化和定性—评估漏洞—改进控制差距—管理剩余风险” 的流程进行。首先, 识别组织业务职能并确定每个流程的信息敏感度。然后识别流程的每一个组成部分的现有控制措施, 按严重程度将控制差距分类。最后, 通过风险等级、成本和有效性的选择, 创建风险基准线, 以便日后定期重新评估风险所用。
四、总结
     通过对IT 审计与传统审计的比较研究, 我们发现: 在基本内容、程序和体系结构等方面, 传统审计与IT 审计是协调的。在IT 审计的软件测试方法与电子取证方法上, 较传统审计来说有其先进性。但是IT 审计的不完善性也是显而易见的, 可以在绩效审计、风险管理等方面借鉴传统审计的优点, 逐渐使IT 审计广泛应用于我国的审计行业之中。通过传统审计带动IT审计的方式, 使IT 审计取其精华, 去其糟粕, 逐渐发展成为审计行业的新锐力量, 是我国亟待努力的方向。

访问统计: 12173 人次