IT审计核心（一）

随着大数据、社交媒体、技术服务和云等新信息技术浪潮的到来，我们需要花时间重新审视IT审计的基础。

通常，当这些新技术出现时，带来的问题会与过去的某些问题雷同。应对这些新兴技术的方法便是IT审计员面临新技术挑战时采取的常规做法。让我们回溯到IT审计的核心以及IT审计的概念：风险识别和适当的控制措施，以将风险降低至可接受水平。

IT审计不是以下这三件事：

首先，特别是对于那些刚入行的新人以及业外人士而言，应注意IT审计不包含的范畴。IT审计不是普通的会计控制或传统的财务审计。从最初中世纪的审计开始（包括财政部和其他形式的审计），到20世纪50年代计算机系统引入之前，传统财务审计知识和技能足以支持审计行业的工作。事实上，在1954年以前，审计师完全可能从职业生涯的第一天直到退休都使用一套非常相似的审计程序表。简言之，会计系统中计算机的引入带来了会计流程和信息（即数据）相关的新风险源。此外，还为那些了解这一新“事物”的人带来了识别和规避风险的需求。

IT审计也不是合规测试。有些人认为，IT审计员的工作是确保人们遵守一些暗示或明示的规则，而我们所做的就是报告规则的例外情况。实际上，这是管理层的工作。IT审计员不关注合规是否实现，他们检验的是机构实现和监控合规性的相关系统或业务流程是否有效，同时对规则设计的有效性进行评估，例如规则的设计是否恰当，或涵盖范围是否足以适当降低目标风险或达到预期目标。

合规失败对IT审计员来说很重要，而其原因并非遵守规则本身。合规失败可能是（通常是）与某些风险因素和/或控制相关的某个更严重的问题的表现（如有漏洞的系统或业务流程），该问题可能或确实会对机构产生不利影响。因此，对于IT审计员来说，合规失败更多的是（最终）风险而不是规则本身。

若因某些规定与IT没有明确关联，就自动或随意地认为IT审计超出职责范围, 或认为IT审计浪费时间，都是不够与时俱进的行为。事实上，IT可以并且确实会对业务流程或财务数据产生不利影响，而管理层可能对此并不充分了解

独特的内在风险

IT对会计、审计和系统会带来特有的风险因素。也就是说，IT本身会给机构带来系统、业务流程和财务/会计处理的风险。这种风险是IT特有的，如果没有IT的存在，这种风险就不会存在——至少不会是同样的程度。因此，需要专业人员（如IT审计员）来识别和评估与IT相关的内在固有风险。

上述风险因素包括与系统相关的问题，如系统开发、变更管理和漏洞，以及其它技术相关因素。IT专业之外的人员可能会忽视此类风险，导致机构利益蒙受损害。一所大学的财政支持系统曾遇到过类似问题。

该大学的IT部门自己编写了财政支持程序代码。该大学是一所私立大学，有大量的财政援助可以以某种形式提供给多数学生。经验丰富的IT审计员看到这些情况以后，识别出了与财务支持相关的某些固有风险，包括程序编码的准确性，代码中存在漏洞的可能性以及欺诈性代码的可能性，这些风险都需要进行处理、检查与规避。然而，该大学的管理层没有意识到任何风险，并认为IT部门已经进行了尽职调查，财务支持程序中的各方面都是令人满意的。几年后，该大学意外地发现了编程代码中的一个错误，该错误导致财政支持预算被高估。在过去的几年中，多拨付了共计数百万美元的财政支持。而在此期间，该大学由于财务问题放弃了一些项目。本案例充分说明了识别和评估与机构相关的固有风险的必要性。

当前，几乎所有的机构都在某种程度上使用IT，聘请IT审计员来评估其IT固有风险的需求迫在眉睫。IT审计员受过专门的培训，能够熟练地识别IT技术和系统的性质和风险。