it审计和普通审计第1篇

一、澳大利亚IT审计的特点

澳大利亚审计署(ANAO)分为联邦审计署和州审计署,在各自审计长的领导下,对管辖范围内的单位进行审计。其政府审计分为财务审计和绩效审计两部分,这两种审计中都涉及到以计算机为基础的IT审计,所占比例达到20%至30%。ANAO的IT审计发展经历了三个阶段:第一阶段是技术层面(Technical Level)的审计,如程序代码、数据输入输出控制、数据备份;第二是操作层面(Operational Level)的审计,如计算机核心操作、软件应用、物理安全与逻辑安全;第三是管理层面(Management/Governance Level)的审计,如操作结构、商业可持续性、风险管理、项目管理、服务传输、安全管理、资源管理、执行矩阵、信息管理等。经过多年的研究和发展,澳大利亚已形成了较为完善的国家审计体系,并长期处于世界领先地位,尤其在IT审计理论与技术领域,积累了丰富的经验和成果,目前已进入到注重管理层面审计的阶段,重在把握对IT项目经济、效率、效果的评价和项目开发的合规、安全上,标志着澳大利亚IT审计已经非常成熟。笔者发现澳大利亚IT审计存在如下特点:

特点一:IT审计各个方面均执行相对规范的标准

ANAO开展IT审计,执行相对规范的标准,如在IT项目管理方面,执行国际通用的Gateway、Prince2(Projects In a Controlled Environment2)、PMBOK(Project Management Body of Knowledge)等标准;在IT服务传输与服务管理方面,执行COBIT(Control Objectives for Information and related Technology)、MOF(Microsoft Operations Framework)、ITIL(IT Infrastructure Library)等标准;在IT安全方面,执行信息安全标准ISO17799;在IT风险管理方面,则执行澳大利亚国家标准:AS/NZ4360:2005风险管理标准,等等。各类标准具体规定了审计人员在审计某一类型项目时的方法、程序步骤、工作重点,具有很强的可操作性。它既为没有经验的审计人员提供了一个详实的可供参照的操作规程,又约束了审计人员的行为,减少和避免审计人员工作中的随意性。正是由于严格按照各类标准开展审计,ANAO的审计尤其是IT审计的质量都得到了可靠的保证。

特点二:IT审计综合运用各种信息技术

ANAO的审计人员在下列情况下,可应用计算机辅助审计技术:一种是在运用制度遵守性和数据真实性程序中缺少输入文件和缺乏可见的审计踪迹时;另一种是通过利用计算机辅助审计技术可以改进审计程序的效果和效率时。计算机辅助审计技术有多种,一是用于审计目的的审计软件和工具,用以处理来源于单位会计制度的重要审计数据。传统的CAAT(Computer Assisted Audit Techniques)工具有SQL(Structure Query Language,如MySQL)、Microsoft Access、Excel。其他一些风险分析与计划管理软件如Methodware、司法模式鉴定软件如Netmap、证据采集与镜像软件如Encase等,也被因地制宜地运用到审计中去。通过各种审计软件和工具,审计人员可以方便地对数据进行排序、求和、筛选等操作,并能生成审计人员需要的各类图表。二是数据测试技术,用以检验应用程序、控制程序和信息系统的可靠性。在执行审计程序时,将数据录入被审计单位的信息系统,跟踪某项业务直至数据输出,将获得结果同预期结果相比较,以检查访问权控制的有效性和输入有效性控制的执行情况。如对工资处理程序审计中,使用不同身份的人员登录,输入不同类型的数据测试。

特点三:IT审计围绕风险控制

ANAO一贯秉持。风险控制的理念,每年都对其风险管理计划的执行情况进行回顾,根据外部环境的变化,修改业务要求考虑战略层次和操作层次等不同层次的风险,开展了以识别和处理经营风险及舞弊风险为核心的风险导向审计,建立了全面的风险管理框架,规避与防范风险。这一框架既包括对ANAO整体的风险管理计划,也包括对每一工作领域的风险管理计划。它陈述了所有ANAO已识别的风险,从“确定风险存在的环境”、“识别风险”、“分析风险”、“评价风险”和“处理风险”等五个环节,合理地确定风险的控制措施,将风险减少到可以接受的水平。通过评估计算机设备、电子数据、信息通讯的安全性,以评估信息系统的固有风险;通过评估系统开发控制、内部管理控制、访问权限控制,以评估信息系统的控制风险;通过对数据输入控制的测试、数据通讯和数据处理控制的测试和数据输出控制的测试,以评估信息系统的检查风险。

特点四:IT审计统筹考虑成本与收益

ANAO开展IT审计,统筹考虑成本与收益,努力在审计时间、审计费用和审计质量三者之间寻求较好的平衡点,以求IT审计如同经济活动一样,达到效率性(Efficiency)、效果性(Effectiveness)与经济性(Economy)的完美结合。为此,他们对每一项IT审计工作都做出周密部署:在编制审计计划时,确定对信息系统控制的可信赖程度;制定关于何时、何处与如何检查信息系统功能的计划;制定关于利用IT审计技术进行的审计程序计划;分析IT审计技术的可行性、预期效果与效率;考虑时间因素。在实施审计时,收集与审计计划有关的信息系统环境的资料,包括信息系统的功能情况以及计算机处理的集中或分布程度、使用的计算机硬件和软件、数据重置情况等;注意传统审计技术和IT审计技术相结合、IT审计人员与非IT审计人员相结合,考虑审计人员的资质与背景;考虑被审计单位在哪些重要方面应用了IT技术,其程度如何,及其对审计的影响,以确定合适而恰当的审计方法。

特点五:注重IT审计人才培养

ANAO始终把人才培养放在第一位,积极引进既有审计经验又具备高层次IT知识技能的复合型人才,同时对审计人员有计划、有步骤地进行IT知识后续教育,此外还在审计中积极吸收IT审计方面的专家为IT审计提供技术咨询与服务,保证了审计项目的顺利实施,也锻炼了该国的IT审计队伍。目前,该国已形成一支知识呈阶梯状的IT审计队伍:首先是普通IT审计人员,他们理解操作系统、系统软件、应用软件和网络环境等概念,并具备一些病毒防护、入侵侦测、授权管理等信息安全控制方面的知识;其次是IT审计管理者,他们除具备普通IT审计人员应具备的技能与知识外,还深刻理解IT审计的要点,以便于科学计划、测试、分析、报告、跟踪,并合理地组织项目实施;再高一层是IT审计专家,他们深刻理解信息系统底层技术,并熟悉与之有关的威胁和弱点,同时在数据库、网络技术等领域有较高造诣。

二、收获和体会

澳大利亚网络不如我国普及,但在IT审计理论与实践方面却是走在许多经济发达国家的前列。经过澳大利亚之行,笔者深有收获和体会:

(一)树立先进的IT审计理念。通过培训和考察,笔者发现目前我国计算机审计在技术方法层面上并不逊于澳大利亚。澳大利亚审计中使用了传统的SQL Server、Microsoft Access、Excel,为我国审计人员所熟知并熟练使用。我国审计人员使用的集项目管理、数据采集、统计抽样、经验利用、报告生成于一体的AO软件,甚至比ANAO所使用的许多软件更为先进;我国审计人员在OLAP(多维分析技术)、数据挖掘技术等尖端技术的研究方面,也丝毫不逊于澳大利亚。澳大利亚在IT审计方面取得令人瞩目的成绩,支撑其取得实效的并不在于技术方法,而是审计人员的IT审计理念。我们要充分认识到:如果不搞IT审计,审计内容就不全面,我们就无法实现融入世界审计主流的目标。更重要的是,开展IT审计是对“免疫系统”理论的积极回应,是对审计署认真践行科学发展观的体现。

(二)建立规范的IT审计程序。无论是授课老师,还是两州审计同行,无不强调“程序和政策”(Procedures & Policies)。面对我国IT审计指南缺失的现状,我国审计机关应当尽快将审计程序设计与审计技术方法的运用有机结合,规范和引导审计人员运用适当的审计技术和方法,把审计技术与方法融入到规范的审计程序之中,要求并指导审计人员合理运用审计技术;同时,顺应经济全球化的发展趋势,建立与国际审计准则接轨的中国IT审计准则,规范IT审计的工作。针对我国IT审计中存在审计人员在运用审计技术和方法缺少规范与约束的问题,建议将COBIT的IT治理思想和框架,引入审计业务支撑体系的质量控制中,科学、系统地对信息及相关技术进行管理,实现了审计战略与IT战略的互动,并形成持续改进的良性循环机制,这对于规范IT审计程序、提高IT审计质量具有重要的现实意义。

it审计和普通审计第2篇

银行IT审计意义

目前，信息系统的正常运行已经成为银行业务正常运营的最基本条件之一，信息科技在有力提升银行核心竞争力的同时，信息科技风险也愈发突出和集中，信息科技风险控制已成为银行业风险管理的重要内容，而IT审计作为银行业风险管理体系的重要组成部分，其重要性和必要性已经日益得到银行业管理层的关注。同时，国家相关部门对信息系统的管控也越来越重视，自2006年8月《银行业金融机构信息系统风险管理指引》开始，银监会正式对银行科技风险进行监管，近年来推出一系列制度和措施（见表1），监管工作逐步走向规范化。通过IT审计来保证和监控全行的信息科技管控对各级监管政策法规的合规性，也成为银行业实施IT审计的重要目的之一。

因此，银行业加强和规范IT审计，既是自身发展和获取竞争优势的内在需要，也是监管当局的外部要求。

银行IT审计标准

准确地运用标准和参照，成为顺利开展IT审计工作的重要前提之一。

COBIT

COBIT(Control Objectives for Information and related Technology) 是由信息系统审计与控制基金会最早在1996年制定的IT治理模型。这是一个在国际上公认的、权威的安全与信息技术管理和控制的标准，也是目前国际上通用的信息系统审计的标准之一。COBIT是一个基于控制的IT治理模型，其制定的宗旨是跨越业务控制和IT控制之间的鸿沟，从而建立一个面向业务目标的IT控制框架。

COBIT本身并非针对IT审计的专门论述，其面向的使用者可以是企业中想通过改善IT过程实现经营目标的管理者，也可以是业务过程的所有者，即用户，也可以为IT审计师。它在商业风险、控制需要和技术问题之间架起了一座桥梁，以满足管理的多方面需要。在最新的COBIT5.0版本中，COBIT已经被称作“一个治理和管理企业IT的业务框架”。

COBIT4.1版本中经典的体系框架一直为众多使用者参考使用，它包括了实施简介、实施工具集、高层控制目标框架、管理指南、具体控制目标、审计指南等一系列文档（见图1）。管理指南为每个过程提供了关键成功因素、关键目标指标和关键绩效指标等，并根据这些指标对每个过程进行了成熟度模型的划分；而审计指南，则就审计的控制目标、调查对象、需要掌握的证据及如何进行测试和评估做出了详细的说明。

COBIT4.1版本中的流程参考模型将所有与信息系统相关的活动进行了划分，主要包括34个流程，分属4个域。而COBIT 5.0的参考模型涵盖了治理和管理流程的完整集合，共分为37个流程。COBIT5.0流程参考模型是COBIT4.1流程参考模型的继承者，同时也融合了风险IT、价值IT流程模型。COBIT的广泛通用性也造就了它在应用上的弱点和难点，即COBIT中对相关流程和控制目标的描述过于笼统普适，需要使用者结合企业的实际情况和专业经验进行较大的定制化方可实施。

因此，COBIT模型的最大作用是将IT过程、IT资源与企业的策略和目标联系了起来，保障了企业的IT战略目标和其业务发展目标的一致性，也在IT管理层、IT技术人员/用户和IT审计师之间搭建了桥梁。

《商业银行信息科技风险管理指引》

近年来，随着银监会信用风险、商业风险和操作风险管理指引的，以及“巴塞尔协议II”在银行业内的逐步实施，推动了银行内部风险管理机制的建立和健全。但是，在全面风险管理的框架下，目前银行的信息科技风险管理机制滞后于业务风险管理体系的发展，并未建立体系化的风险管控机制，成为了银行风险管理体系中的短板。这主要体现在，信息科技风险治理组织不健全、风险管理制度不完善、风险处理过程规划依据不充分以及风险监控指标不明确等方面。

2009年的《商业银行信息科技风险管理指引》(以下简称《指引》)，定义了商业银行信息科技风险的总体框架，即在当前商业银行普遍的信息科技现状下，可能存在的重大信息科技风险的范围，使商业银行的风险管理过程，能够集中精力在相关领域中。

《指引》确定了九大管理领域，即：信息科技治理；信息科技风险管理；信息安全；信息系统开发、测试和维护；信息科技运行；业务连续性管理；外包；内部审计；外部审计。这些领域覆盖了信息科技管理的大多数重要活动，这些活动中存在的风险，可能会对业务产生重大影响，因此对这些领域的风险识别和管理，应当在信息科技风险管理中优先对待。

在这九大领域中，IT审计占两个，分别是内部审计和外部审计。而《指引》本身，就是一个针对银行的框架完整的IT审计标准，银行可以参考这个标准，开展IT审计工作。

IT审计标准选择

实践中使用的标准远不止上述两个，而且，这两个标准建立本身就参照了很多IT相关的较为成熟的标准。如，COBIT制定时参照的标准就有ISO系列的相关IT技术标准、审计行为准则等等；《指引》其中“信息安全”管理领域的内容建立就是参照信息安全管理体系的国际标准ISO27001。

it审计和普通审计第3篇

COBIT已经在100多个国家得到应用。ISACA协会也在全球设立了160多个分会，负责推广COBIT框架和信息系统审计准则、实务指南等专业知识体系和方法论，指导信息系统审计师的工作。在我国，许多企业在全球化发展的背景下已经开始关注和应用COBIT。而电网企业中COBIT等相关标准的应用，尚处于研究和探讨阶段[17]。COBIT是一个框架和支持性的工具集，为管理层架起与相关方的沟通控制需求、技术性问题、业务风险和控制等级的桥梁。COBIT能够促进在企业内建立清晰的IT控制策略并良好的实践。COBIT正处于不断的更新中，并与其他标准和指南相互兼容。因此，COBIT已成为IT最佳实践的集大成者，其伞形的IT治理框架有助于理解并管理与IT有关的风险和收益。COBIT的流程结构和高级别业务导向的方法提供了一个端到端的IT视角，有助于IT决策的制定[18]。COBIT组件间的相互关系如图1所示。COBIT框架以业务为中心，以流程为导向，以控制为基础，以绩效测评为驱动，将为满足业务目标而应符合的控制标准定义为效果、效率、保密性、完整性、可用性、符合性和可靠性，统称业务需求，将为满足业务需求而需要投入的IT资源定义为应用系统、信息、基础设施和人员，然后将业务目标与IT资源紧密结合起来，定义为一个流程模型，分为4个域：计划与组织（PlanandOrganise，PO）、获取与实施（AcquireandImplement，AI）、交付与支持（DeliverandSupport，DS）、监控与评价（MonitorandEvaluate，ME）。这些域覆盖了传统的IT职责：计划、建设、运行和监控。通过这4个域，COBIT归纳了34个IT流程，每个流程均指明了业务目标与其所支持的IT目标之间的联系，同时也提供了如何衡量目标、关键活动、主要交付物以及由谁负责等相关信息。

电网企业IT审计实例

2012年，山西省电力公司对某信息系统进行了IT审计。审计人员结合COBIT框架的三维体系结构和电网企业信息化建设现状及特点，构建了信息系统审计过程模型，实施了规范的审计工作流程、标准的审计程序，运用全新的审计方法、技术和工具，对电力信息系统建设和运行中存在的问题进行了客观评价，降低了信息系统管理的风险，取得了良好的成效。首先，在信息系统生命周期的基础上，对照COBIT的流程定义，结合电网企业自身特色与风险评估的结果，构建信息系统审计过程模型，将信息系统过程集确定为规划与治理、基础设施获取、服务提供、服务支持、信息安全、业务连续性等6个过程，再进一步确定审计控制点，共68个。信息系统过程及控制点见表1所列。然后，针对已确定的控制点，对照COBIT的控制目标，依据电网企业相关的内控制度，进行现场取证，对比分析山西省电力公司信息化建设过程管理和内控措施的实际执行与标准控制目标之间的差异。在取证过程中，审计人员应用了规范的IT审计作业标准，制定了调研提纲模板、访谈模板、问卷调查模板、证据模板、合同统计模板、IT审计工作记录模板、IT审计底稿模板、IT审计分报告模板、IT审计总结模板等多个IT审计标准模板。同时，根据IT审计的特点采用了创新的审计方法和工具[23]，如大量采用座谈、访谈、现场操作演示等IT审计方法，以及证据模板、截图、屏幕录像等技术工具来保存审计证据链。本次审计过程中共开展了20余人次的座谈、访谈、系统操作演示，获取了有效的屏幕截图28张，证据说明材料27份。通过现场IT审计作业，审计人员发现了系统变更、信息泄密、系统集成、系统业务连续性、信息化建设管理等5方面的风险，以及系统存在操作报错、集成接口失效、接口性能过低、功能未实现、实用化不足、设计缺陷、验收资料不合规等7方面的问题。进而，审计人员引入风险坐标图，从风险发生的可能性和影响程度2方面进行分析，对发现的风险进行评估，确定了风险等级。其中，重大风险3项，中等风险1项，一般风险1项。最后，针对风险评估的结果和审计发现的问题，提出了具体可行的改进建议和整改意见，形成了IT审计报告和审计意见及建议。通过本次IT审计，及时发现了山西省电力公司信息化建设过程中的控制弱点，降低了信息系统管理的风险，取得了良好的成效，证明了运用IT审计过程模型在电网企业开展IT审计的可行性和适用性。

结语

it审计和普通审计第4篇

[关键词] 高校信息化； IT资源； 运维安全审计

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2015. 05. 050

[中图分类号] F239.1 [文献标识码] A [文章编号] 1673 - 0194（2015）05- 0093- 03

高校信息化经过多年的迅速发展，建成了大量的校务管理信息系统及相对完善的校园网络环境，建设成果在高校校务管理中发挥了重要作用，积累了丰富的系统建设及运维经验，同时这些系统的充分应用集聚了大量的学生、教学、科研、人事、财务等业务数据和工作成果。信息已成为高校组织业务至关重要的资产，信息的安全对高校的管理乃至今后的发展至关重要，一旦发生信息数据泄露和信息安全事件，将对高校造成不可估量的损失。因此，保障关键信息的安全成为高校信息化建设新的挑战。

1 高校运维安全审计系统建设的必要性

1.1 高校高度依赖信息系统，必须杜绝信息安全事件发生

高校信息化经历了初创期，发展期，目前已进入成熟期，学校师生及各级管理层、各职能管理部门对信息化给高校教学、科研、管理带来的变革及效应充分肯定，对管理信息系统建设热情高涨，摒弃原有落后的办公模式，全面基于信息平台开展日常办公，学校各个方面的管理业务都建设相应的管理信息系统，特别是移动应用的开发，更是给师生带来全新的人性化服务和体验，所以高校已经对信息系统应用产生前所未有的依赖。一旦由于管理或技术原因发生信息泄露或信息安全事件，将对师生及学校造成不可估量的损失。近年来，高校的各种信息安全事故不断见诸报端，充分说明高校必须提升信息安全保障工作的水平。

1.2 运维人员管理权限过高，内部安全威胁日益突出

上海财经大学管理信息系统所有应用系统、数据库及服务器等IT资源全部由一两个后台系统管理员集中管理，部分信息系统建设及运维采用服务外包模式，服务承包方技术人员也掌握后台服务器部分操作权限，包括应用服务及业务数据库操作权限。这种管理模式，势必导致来自单位内部的安全威胁日益增多，学校信息化管理层已经意识到综合防护、防范内部威胁的重要性，同时，信息化领域相关管理规范，如信息系统等级保护等也对运维人员的操作行为审计提出明确要求。因此，如何化解后台系统管理员过高的管理权限带来的内部信息安全风险，是高校信息化技术管理层必须解决的问题。

1.3 粗放式IT资源管理方式，导致安全事故责任难以追究

高校信息化的多年建设，积累了大量的各类软硬件IT资源，如操作系统、数据库、网络设备、应用服务等，管理庞大的IT资源库对后台系统管理员来讲，是一项复杂的工程，管理不善，容易出错，甚至造成严重后果，手段不先进，容易造成管理漏洞。特别是运维服务承包方技术人员掌握着学校的相当一部分IT资源的访问权，这些技术人员经常频繁流动，往往已经离开公司的技术人员权限不能及时清理，对学校造成极大信息安全隐患。同时，后台运维人员由于业务能力或责任心等原因导致误操作也时有发生。因此，对IT资源进行精细化管理，做到安全事故责任可追究，成为高校提升IT运维管理水平的必由之路[1]。

1.4 完善运维安全技术体系，适应新形势发展要求

上海财经大学经过几年的努力，已经在信息安全管理体系方面形成了一系列管理规范，组织体系方面设立了具有一定层次关系的信息安全虚拟组织机构及人员安排，负责全校信息安全工作的正常开展。在技术体系方面虽建立并加固了安全防护网，初步开展了一些安全常规工作。但新形势下，国家、教育部及上海市等上级主管部门在信息安全方面不断提出更高的要求，特别是美国斯诺登事件之后，信息安全形势严峻，学校需根据这些新的要求进一步完善运维安全软硬件建设，完善相关管理体系和技术体系。据此，建设并实施运维安全审计系统作为完善信息安全管理与技术体系的手段之一，显得尤为重要[2]。

针对以上问题，上海财经大学历时几个月，经过充分的调研与分析，在全校层面设计并建设了运维安全审计系统，从而达到监控正在运维的会话及后台资源被访问情况，实时监控在线运维操作，实施细粒度的安全管控策略，实时告警与阻断违规操作，拦截非法访问、恶意攻击，阻断不合法命令，过滤所有对目标设备的非法访问行为的目的。

2 运维安全审计系统解决方案

上海财经大学运维安全审计系统的整体建设目标是通过构建统一的运维安全审计平台，集中解决敏感IT资源及数据安全问题，同时为后期统一安全管理平台建设打好基础。

2.1 系统审计原理

运维安全审计系统之所以能够达到审计目的，主要是依靠截获运维人员的操作，并能够分析出其操作的内容。特殊的部署方式，确保系统能够截获运维人员的所有操作行为，分析出其中的操作内容以实现权限控制和行为审计的目的。同时该类系统还采用了应用的技术，对于运维操作人员来说运维审计型系统相当于一台服务器（Proxy Server）。因此，运维安全审计系统访问的基本原理是，运维人员在操作过程中首先连接到审计系统，然后向审计系统提交操作请求；该请求通过系统的权限审核后，系统的应用模块以用户身份连接到目标设备并完成相应操作，随后目标设备将操作结果反馈给审计系统，最后系统再将操作结果反馈给运维操作人员。

2.2 系统角色功能

运维安全审计系统的使用对象包括3类人员，审计系统管理员、系统运维管理员及审计人员。审计系统管理员主要职责是根据安全策略和系统运维管理员所需的操作权限来配置系统的安全策略。审计系统通过“策略管理”组件与审计系统管理员进行交互，并将审计系统管理员输入的安全策略存储到系统内部的策略配置库中。系统运维管理员的操作请求通过系统审核后，系统的应用组件负责完成相应操作，并将操作结果反馈给运维管理员，同时操作过程被记录至系统审计日志数据库，备日后调阅。审计人员则可在需要调查运维管理员的历史操作记录时，读取审计日志数据库，开展信息安全审计工作[3]。

2.3 系统实施方案

2.3.1 IT资源访问操作管理

当运维系统管理员对操作系统、数据库、防火墙、交换机、应用服务等操作进行命令和图形界面操作时，运维安全审计系统全程对所有操作界面进行文字记录和视频截图，便于出现问题后进行追踪。针对上海财经大学的情况，该审计系统可通过操作命令记录和录屏的方式对现有Linux、Unix、Windows操作系统、Oracle数据库、OracleAS等相关操作系统、数据库和应用服务的操作日志进行记录。实时监控通过SSH、SFTP、RDP、VNC、Telnet、FTP等协议的操作行为，对监控到的非法操作，可实时手工切断。可以对使用PLSQL、Toad等数据库客户端的应用服务系统数据库管理员数据操作和数据库对象操作进行记录，同时，可以记录服务器管理员对Linux、Unix操作系统的命令操作，同时可以对Windows操作系统、负载均衡、虚拟化平台客户端、交换机、防火墙等服务器操作界面进行视频截图，做到任何操作事前权限可分级，事后可追踪[4]。

2.3.2 IT资源访问权限管理

针对学校IT资源庞大，管理网络复杂，安全事故责任难以追究的问题，建设完成的运维安全审计系统，可对各类IT资源对象权限进行精细管理。对用户有权限管理的目标设备，可按部门、设备类型、业务类型等分组管理，对不同类型的用户设置不同的访问权限。如可限制数据库管理员对特定数据库对象的数据操作权限，避免数据库管理员的越权操作，同时可记录数据访问情况，从而真正提高资源访问安全。

2.3.3 IT资源访问账号管理

以往的操作中，经常存在多人共用一个IT资源访问账号的问题， 如应用系统数据库账号， 一旦操作失误，系统管理员将无法确定具体操作人员，无法追究相关责任。建设完成的运维安全审计系统则可向不同数据库操作员发放不同动态口令卡，做到用户与口令卡唯一对应， 从而识别数据和数据对象的操作人员，操作人员只有同时输入静态口令和动态口令，才能访问数据库对象和数据。一旦出现失误操作， 可准确定位到具体操作人员。

2.3.4 IT资源访问密码管理

服务器密码重置是一项运维常规工作，以往一直只能通过人工操作或通过编写代码实现，存在操作不稳定和误操作的风险。通过该审计系统的实施，可设置自动定期修改目标设备密码，且非专业的密码管理员不需要掌握修改后的具体密码。运维安全审计系统会自动代填服务器密码，所有服务器管理员都通过审计系统统一入口直接访问服务器资源，提高密码重置工作效率的同时，提高了服务器管理员访问操作的效率，也避免了服务器密码人为泄露的风险[5]。

运维安全审计系统的实施，特别对外包型项目的公司方技术人员访问系统数据库和应用服务操作的审计，发挥了重要作用。公司人员仅能通过统一入口访问权限内的数据库及应用服务资源，且校方不会告知其具体用户和密码。

运维安全审计系统从密码管理相关角色可分为普通运维人员、密码管理员和权限管理员。其中普通运维人员只能访问有权限的资源，且不掌握该资源密码；密码管理员只掌握所有服务器密码，但无操作服务器权限；权限管理员负责向不同运维人员分配不同资源，但不掌握具体密码。通过以上角色和权限的设置，可以达到相互制约的效果，从而大大提高服务器人员操作层面的安全。

3 建设成效

通过运维安全审计系统的实施，上海财经大学IT运维部门实现了对各个业务系统以及操作系统、数据库、网络设备等各种IT资源的账号、认证、授权和审计的集中控制和管理；实现了集中化、基于角色的主从账号管理，实现了角色属性级别的细粒度权限分配和管理；实现了集中化的身份认证和访问入口；实现了集中访问授权，基于集中管控安全策略的访问控制和角色的授权管理；实现了集中安全审计管理，收集、记录用户对业务支撑系统关键重要资源的使用情况。

4 结 语

高校信息安全和信息防护工作是一项长期的无止境的任务，实施运维安全审计系统是信息安全管理手段的延伸，是安全技术体系的有益补充。通过该系统的建设，上海财经大学IT运维部门有效控制了技术维护工作中的越权操作、误操作、恶意破坏等安全风险，实现了对维护操作的控制和约束，并做到了在问题发生后能够定位追查和取证定责，提升了IT运维管理能力与水平，为学校信息资产筑起一道安全屏障，同时也为其他高校信息资源安全防护提供有益借鉴。

主要参考文献

[1]曹伟峰.高校服务器运维安全审计系统的研究[J].电脑知识与技术，2014

（16）：3734-3736.

[2]王延明，许宁.高校信息安全风险分析与保障策略研究[J].情报科学，

2014（10）：134-138.

[3]宗波.浅析堡垒机概念及工作原理[J].计算机光盘软件与应用，2012（18）：

124-126.

[4]张顺喜.运维安全审计系统[J].无线互联科技，2013（7）：10.

it审计和普通审计第5篇

一、IT治理与风险管理

IT治理是一种引导和控制企业各种关系和流程的结构，确保组织拥有适当的结构、政策、工作职责、运营管理机制和监督实务，以达到公司治理中对IT方面的要求，旨在通过平衡信息技术及其流程中的风险和收益，增加价值，以实现企业目标。IT治理是企业治理结构中不可或缺的一部分，而相关的IT治理流程则可确保企业IT目标与业务目标保持一致，并可持续发展。因此，IT治理必须与企业战略目标一致，使IT发挥更大的作用、创造更多的价值，实现公司价值和利益的最大化。

IT治理领域中，首重策略、组织架构、政策与内部流程。控制风险、绩效评量与提供价值则为组织架构中关注的焦点。同时，IT治理牵涉的范畴，包含：IT服务提供、IT服务支援、营运业务展望、基础建设管理与应用管理。其不同视角的IT治理作用如下表。

保证所有的缺陷都已被控制所覆盖利用风险控制与审计策略管理IT风险，要求企业的高层管理者具备良好的风险意识，清晰了解企业对风险的态度，了解合规性要求，将风险管理的职责嵌入组织架构设计中，围绕信息化战略目标构建全面风险管理体系以进行有效的风险管理与控制。

二、IT风险管理体系

基于IT治理的IT风险管理需要执行一整套风险管理程序，必须建立风险识别、风险分析与评估、风险规避与应对、风险监控等流程并严格执行。从操作层面上分析，IT风险管理中对IT风险的控制与审计是风险管理中的两个重要环节：

（一）IT控制

IT控制就是在治理结构下，为实现组织的目标提供合理保证而实施的一系列政策和程序，内部控制是一个持续的过程，为了保证组织经营的效率和效果、财务报告的可靠性以及对有关法律和规章制度的遵循等情况下评估风险并设计、实施和持续监督控制措施。可以看出IT控制的主要目的是建立一个可持续监控的控制环境使组织风险可识别、可控、可管理。

风险控制是指控制风险事件发生的动因、环境、条件等，来达到减轻风险事件发生时的损失或降低风险事件发生的概率的目的。风险无法彻底消除，仅能降低、控制与移转，对于残余风险，企业需自行审视可接受的程度。然而，在进行风险控制活动前，需先进行风险评估，对于潜在影响的弱点与威胁胪列出来，并分析评估矫正的优先程序，然后再针对风险，设计有关的预防性、检查性与纠正性的控制。控制的设计，应该就风险评估后的结果，因此，完整的风险评估作业，是极为重要的，不好的风险评估会影响后续控制设计，甚至于控制执行的落实程度。当控制设计完成后，需再次检视相对应的管理政策与办法是否足够满足控制的目标，倘若现有管理政策文件无法满足控制目标的要求，应立即进行增修作业，务必达到与现有作业机制一致的目标。

随着组织的发展对IT的依赖日趋明显，内部原有业务和管理风险特征由于信息系统越来越广泛的运用而出现了变化，业务对信息系统的依赖性增加，因此必须建立起有效的风险控制体系。管理层应从基本的内部控制环境着手建置，从一般信息技术控制环境到业务流程中的内部控制环境，其中应思考系统控制与人工控制紧密结合的协调性与完整性。

（二）IT审计

IT审计是一个获取并评价证据的过程，主要是判断信息系统是否能够保证资产的安全、数据的完整性、有效率利用组织的资源、有效果地实现组织目标地过程。

IT审计是监视和评审IT控制措施的执行情况和有效性的主要手段之一，可以从组织整体业务风险的角度，对实施和运行的控制措施进行持续监控，以管理组织的业务风险。

IT审计可以作为符合法律、法规以及管理要求的控制手段，可以证明管理层建立并维护了恰当的内控措施；可以提供证据说明业务相关数据的完整性，以及可以证明具备合法权限的人正确访问数据；可以提供报警和审计报告确保管理层知道重大信息和任何变更；IT审计可以围绕数据提供报告用于合规性评估，降低遵从成本。作为组织IT风险控制的最后防线，IT审计为组织进行风险防范，提高设计正确性和加强应用的管理控制提供建议。

（三）IT治理、IT控制与IT审计之间的联系

IT治理是为组织建立一个长效的均衡的治理结构，在风险可控的环境下保证组织获益。均衡的环境在满足组织外部约束的同时需要考虑如何降低成本、提高股东收益、满足客户要求以及建立良好的社会形象等条件下不断调整变化而达到的，因此IT治理侧重于宏观决策方面，要做哪些事，由谁来做这些事，以及如何建立决策机制、如何进行有效监控等。

IT控制就是在这样的治理结构下，为实现组织的目标提供合理保证而实施的一系列政策和程序，内部控制是一个持续的过程，为了保证组织经营的效率和效果、财务报告的可靠性以及对有关法律和规章制度的遵循等情况下评估风险并设计、实施和持续监督控制措施。可以看出IT控制的主要目的是建立一个可持续监控的控制环境使组织风险可识别、可控、可管理。IT审计是一个获取并评价证据的过程，主要目标就是对组织实施的风险管理环境和控制环境的保证措施进行识别和评估，判断管理层关于控制的声明是否是可靠的，所以审计必须保持其独立性，以第三方客观的立场进行检查和评价。

IT治理、IT控制以及IT审计之间既有联系又有区别。共同的关注点在于风险与保证。风险管理的主要目标是为了保证组织经营的效率和效果、财务报告的可靠性以及对有关法律和规章制度的遵循。保证，主要来自一系列相互依存的控制政策与程序，以及评价控制有效性的证据，这些证据可以证明控制是连续和充分的。IT治理要明确目标与方向，为IT控制环境与活动设定明确的目标。IT控制要建立一个完整的，具有弹性的内部控制体系，应对组织面临的各种风险挑战和意外事件。IT审计是获取与IT控制和保证措施相关的证据，评估IT控制的有效性、评价IT绩效及IT战略与业务目标的符合程度。

IT治理必须在风险与利益之间找到均衡，通过IT审计不断促进调整IT控制环境，使组织在风险可识别、可控、可管理的环境下保证组织利益最大化。

三、企业IT风险控制与审计实务

（一）组织框架

企业IT风险管理组织框架应当从“决策—管理—执行”三个层面设立风险管理职能，并辅以审计监督机制。

决策机构，通常以风险管理委员会的形式，行使风险管理的决策、风险管理政策的制定与批准等职能。

管理机构通常为设置为风险管理委员会下的职能机构，如风险管理部，是风险管理政策的执行部门，负责根据风险管理的规章制度，协调各执行机构的关系，推动风险管理措施的实施。

风险管理政策与措施的执行是由信息技术部门、相关业务部门等涉及到IT及其安全运作的部门具体实施，尤其是信息技术部门承担大部分的IT风险管理政策、技术的实施。

IT审计部门作为IT风险管理的监督与审计部门，负责检查、评估企业IT风险管理战略、政策、组织与实施的有效性，并提出管理建议。

（二）IT控制与审计规范

企业IT控制规范可以参考财政部等五部委联合的《企业内部控制基本规范》及配套指引，建立有效的IT内部控制框架内，从公司内部控制层面、信息技术整体层面、业务流程层面等建立控制规范。企业IT控制以风险为导向，规范企业组织结构、明确岗位权利责任分配，建立科学的绩效考核体系和制度，提升企业风险管理和应对能力，通过风险评估对企业内部控制体系进行持续评价和改进，最终建立配套信息系统，实现内控体系的信息化落地。从风险的角度去审视内部控制有没有做好；通过对绩效指标的监控去实时检测有没有风险发生，然后再去找到企业的缺陷漏洞；最后通过信息系统将这个体系落地执行。

企业风险管理体系的控制层面上，内部审计发挥着重要的作用，以风险为导向的审计是合理规避IT风险的一种有效途径。IT审计应当建立一套完整的审计标准、规范，并提供可供参考的IT审计指南与实施细则。企业IT审计应当在内部审计总体框架下开展，在制定内部审计章程时要体现信息化条件下内部审计工作的特点，制定有关IT审计的规范与要求，必要时可进一步制定IT审计工作规范。

IT审计是信息技术条件下的内部审计，具有较强的操作性要求，参考各行业的内部审计工作经验，吸收国家审计机关的制度与操作指南，可以从IT整体控制审计、应用控制审计两个方面编制实施细则。

1.IT整体控制审计——确保程序和数据文件的完整性、确保信息系统良好运行。审计内容包括IT基础设施、系统开发、系统运行与维护、变更控制、网络安全控制、访问控制等普遍适用于所有的应用系统的控制。

2.应用控制审计——应用控制与特定的应用程序有关，设计应用控制是为了应对威胁应用系统的潜在风险，确保应用系统处理数据的有效正确而实施的控制。应用控制审计主要包括业务流程控制审计、数据输入处理输出审计，提供业务信息完整性、准确性、有效性、可用性保证。

此外，企业的信息化规划应当在充分考虑风险管理与审计需求的基础上，建立并完善信息化审计工作平台，充分利用信息技术推进IT审计服务于企业治理与全面风险管理，实现价值增值。

四、小结

it审计和普通审计第6篇

借科研下金蛋

金融、医疗等信息化起步较早的行业，早已是IT服务商们的必争之地，而这些行业中“不差钱”的企业级客户对于服务商的挑选格外严格和慎重。品牌知名度、核心业务整合度、服务满意度围成了一个巨大的商业壁垒，将实力较弱的服务商拒之门外。因此，作为一家起步较晚的公司，瑞宁并没有将市场定位在目前行业用户的核心业务层，而是采用迂回策略，将目光聚焦在运维审计方面。

除了市场定位的与众不同，瑞宁的迂回策略还体现在对行业用户的切入点上。“首先，我们并没有一开始就选择大型银行切入，而是利用公司的地域优势，选择省市级的中小型银行作为试点。双方的合作方式，也并非通过产品买卖的形式开始，而是以合作科研项目为契机，深入了解用户需求，在帮助客户解决问题的基础上，将产品巧妙地与科研项目整合在一起。”瑞宁CEO汉森介绍。

尽管是从中小银行入手，但在项目启动初期，瑞宁便会考虑到用户的长远需求以及产品日后在银行内部的快速普及等问题。“通过科研项目，银行总部或者分行会在第一时间体验到我们的产品，通过为客户按需定制以及运维分析安全报告，客户可以真实地监测到目前银行内部存在的不合规行为，并加以控制。”汉森说，“总之，在一个点的成功应用以及为客户带来的巨大收益，为我们的解决方案日后在整个银行内部普及打下了良好的基础。”

随着金融、医疗等行业用户对员工行为审计需求的日趋增大，瑞宁的目光也不再仅局限于中小型银行，目前他们已经开始和国有大型银行合作，当然形式还是以科研项目为切入，不过因为还处于项目保密阶段，汉森并没有过多透露合作细节。

专注领域 细水长流

“近年来，数据中心系统建设发展迅速，尤其是银行业，而IT系统的复杂性逐渐超出运维人员的现有水平，支持力不足，导致IT运维风险凸显，包括数据泄密、篡改、IT系统非正常中断的情况时有发生，对企业、社会造成不良影响。”汉森说。

据统计，金融、医疗等行业出现的严重泄密事件中，70%是由组织中的内部人员包括服务外包人员造成的。在IT系统非正常中断的事件中，超过80%是由于运维人员缺乏严格的流程执行意识、受限于技术技能及IT运维管理理念的落后导致。

基于上述情况，经过对近千家的企业级客户的调查分析与重点交流，瑞宁推出了集控制和审计于一身的CAM产品，它有别于主要功能为拦截的堡垒机。“就管理的复杂度而言，我们将IT运维发展分为四个阶段。第一阶段像自行车，第二阶段像摩托车，第三阶段像汽车，第四阶段像完全自动化的飞机。在传统的金融、电信和先知先觉型的电商等领域已经发展到第二阶段和准第三阶段。瑞宁当前的IT运维审计产品则主要满足第三阶段的运维需求。”汉森表示。

结合地域优势以及在运维审计方面的多年研究和积累经验，从山东起步，瑞宁为当地一家成立于2005年，下辖4个分行、20多个支行，实行总、分、支行管理模式的银行实施了运维审计系统的搭建。

“通过实施瑞宁CAM系统，银行很好地预防了运维过程的各种不安全因素，充分满足了内控风险管理要求的IT系统的使用权、管理权与监督权三权分立。在三权分立的基础上实施内控与审计，有效地控制了操作风险。”该银行项目负责人在项目实施效果报告中指出，“系统上线后，一旦发生违规行为，会在第一时间阻断并警告，大大提高了网络的安全性，同时，我们还将通过系统对网络日志进行定期审计，这些对于银行而言，事关生死。”

汉森认为，尽管目前瑞宁已经取得了一定成绩，但要做隐形冠军，还必须眼观六路，耳听八方，随时关注行业的发展动向。在未来，对于产品定位，瑞宁不会采取多条腿的策略，而是要将运维审计这一产业深挖下去。汉森坚信只有细分目标市场、准确定位产品、做最擅长的东西，瑞宁才能走得更远。

企业简介

it审计和普通审计第7篇

在PCAOB（美国公众会计监管委员会）审计标准Ⅱ中也特别指出，IT控制设计很重要，不可低估控制设计在整个IT控制环境中的重要性，并强调IT控制能有力地支持整个内部控制环境。该标准又进一步指出：公司整体内部控制系统的有效性依赖于“其他控制是否有效”（指的是控制环境或IT一般控制的有效性）。 因此，理解IT控制与IT控制体系设计的相关理念，成为企业必备的重要能力。

首先，我们定义IT控制是由期望达到的(IT控制目标)和达到这些目标的方法(控制程序)构成。IT控制目标是指通过对具体的IT活动实施控制程序，以达到期望结果或目的的总体描述。可见，事实上，有效的IT控制设计与实施指明了一个组织将信息技术条件下的风险降至可接受水平的途径。这里IT风险指的是IT使企业不能实现其经营目标的风险。

然后，我们从人员职责、IT控制的构成和IT控制对象这三个角度来理解IT控制的外延：

1．从人员职责角度看：首先是以下三类人员的职责：

 管理层――主要职责是确保控制存在并有效运行,为运营目标和控制目标的实现提供合理保证；

 低层管理者与员工――主要职责是执行控制；

 审计师――主要职责是对控制的正确性进行评估、提供改进建议及保证声明。

2．从IT控制的构成角度看：IT控制包括IT控制环境、IT一般控制、IT应用控制。

3．从IT控制对象与范围看：IT控制对象包括企业IT生命周期的所有流程。

实现IT控制，中国企业需要应对三大挑战

国内企业信息化建设速度越来越快，信息化水平越来越高，业务与财务报告流程对IT的依赖程度也随之越来越高。对大多数企业而言，运用整合的ERP系统，或综合运用各种经营管理、财务管理方面的软件，已经成为财务报告系统强有力的支持。

随着萨班斯法案的出台，财务报告的内部控制几乎离不开IT控制，即使业务层面的管理控制也是IT支撑环境下的控制。但是，信息技术是一把双刃剑，其潜在风险也越来越大，企业在建立有效的IT控制，以保证财务报告的有效性方面正面临着巨大的挑战。

但是，目前国内企业的内部控制体系多为传统的会计控制及管理控制，对IT控制缺少系统的考虑，企业的IT控制面临三大挑战。

挑战之一：CIO缺乏内部控制理论与实践。

以萨班斯法案的要求来说明，404条款的遵照执行有四个阶段：1.公司应制定内部控制详细目录，确定内部控制是否足够，然后将这些控制与诸如COSO之类的内部控制框架进行对照; 2.公司被要求记录控制措施评估方式，以及未来将用来弥补控制缺陷的政策和流程(如果有的话); 3.公司必须进行测试工作，以确保控制措施和补救手段起到预期作用; 4.管理层必须将前述三个阶段的各项活动情况汇总成一份正式的评估报告。

法案的要求使很多人认为，IT专业人士应该对其负责的IT系统所产生的信息质量及完整性负责，但问题在于，大多数IT专业人士对复杂的内部控制并不精通或了解，因此难负其责。尽管不能说IT人员没有参与风险管理，但至少IT管理层没有按照管理层或审计师所要求的形式进行正式的、规范化的风险管理。CIO（首席信息官）们现在到了不得不补课的时候了，当务之急是补充有关内部控制方面的知识，理解企业所制定的SOX遵循计划，才能专门针对IT控制拟定一个遵循执行计划，并把这个计划与总体的SOX遵循计划相整合。

挑战之二：缺乏系统的IT控制体系

事实上，每个企业或多或少都有一些IT控制制度，很多企业错误地把这些静态的控制制度等同于控制体系。现在越来越多的人认识到，我们需要的是“发现问题，解决问题；发现新问题，解决新问题”的持续改进体系。同时鉴于第一点原因，这些制度基本是由技术管理者制定，他们缺乏规范化风险管理的经验，这些IT控制制度可能不太规范且不成体系，控制程序也不够完善。IT控制制度一般存在于系统安全和变更管理等一般控制领域，缺乏从公司透明度角度出发、结合支持业务战略和业务流程的完整内部控制体系。

挑战之三：现有IT控制体系不具有可审计性

萨班斯法案相关的条款要求上市公司必须有足够的证据证明内部控制的有效性，这就要求企业必须有完善的内部控制流程及审计轨迹，在控制发挥作用的同时生成相应的文档记录，以便在对内部控制设计及运行的有效性进行评价时有足够的证据。

我国企业的IT控制程序设计及运行不具备可审计性。尽管很多企业有庞杂的规章制度，但该体系的完整性、有效性以及遵照执行情况缺少评价，或没有证据进行评价。

因此，我们构建IT控制系统时必须从全局着眼，借鉴国际内部控制框架及国际最佳实践经验，构建一套系统化、标准化、可审计、可持续改进的IT控制体系。

构建有效而持续的IT控制需要正确的理念、适合的内控框架和评估机制

对于企业，我们认为在构建IT控制体系时，需要从三个层面来考虑才能保证IT控制的有效性和持续性。为了更好地说明，笔者将以如何设计符合萨班斯法案要求的内部控制为例，来展示构建IT控制体系的主要思路，以供参考。

1. 要认识到构建IT控制体系是一个循序渐进的过程

SEC管制条款内容复杂，为了满足萨班斯法案的要求，大多数企业需要调整其员工观念和企业文化，通常也需要对IT系统及其处理流程作一些改进。改进的内容包括控制设计、控制文件、控制文件的保留，以及IT控制的评估等方面。这是一个循序渐进的过程，不能将原有的一切推倒重来。鉴于在美上市的中国企业多为国有企业，这些企业的规章制度普遍较为健全，所以对于它们而言，更为重要的是如何根据内部控制的理念和原则，结合企业的实际情况，对不符合萨班斯法案404条款的各项差距进行分析、弥补、测试和改进。这项工作的顺利开展需要企业人员具备相应的理论知识和实践经验，因此，IT控制和风险管理培训就成为贯穿始终、必不可少的一项重要工作。

2. 要选择好内部控制框架

法案并没有规定公司必须选择什么样的内控框架作为管理层评价内部控制有效性的依据, 需要企业自己选择。国际上比较有名的内控框架有英国的Turnbull、美国的COSO 和加拿大的CoCo , 它们从不同的角度剖析公司的经营管理活动, 为营造良好的内控框架提供了一系列政策和建议。PCAOB审计标准Ⅱ在“管理层用于开展其评估的内部控制框架”一节中，明确管理层要依据一个适当且公认的、由专家遵照应有程序制定的控制框架，来评估公司财务报告内部控制的有效性，SEC也从侧面认可COSO框架。COSO 认为，内部控制是由企业董事会、经理层和其他员工，为合理保证实现企业营运的效率及效果、财务报告的可靠性及合法合规等目标而实施的一系列过程。内控框架的构成要素包括控制环境、风险评估、控制活动、信息和沟通、监督五个方面。这套理论得到了包括SEC、公司管理者、投资者、债权人及专家学者的普遍认可, 国外许多公司都依据这个框架建立了内控系统。我国公司也可以按COSO 建立内控框架, 逐步与国际管理模式接轨。通过引入COSO 内控要素, 形成一个相互联系、综合作用的控制整体, 使单纯的控制活动与企业环境、管理目标及控制风险相结合, 形成一套不断改进、自我完善的内控机制。

尽管COSO正在成为理解和评价内部控制的全球性框架。但是，COSO不是唯一的控制框架，在有些情形下甚至可能不是最好的或最易于使用的框架，尤其是在COSO框架中没有考虑到对IT控制目标和相关控制活动的具体要求。目前，COBIT（信息系统和技术控制目标，Control Objectives for Information and related Technology）正在成为更好地理解信息技术环境下内部控制的国际公认框架，该框架由美国IT治理研究所（ITGI），是一个IT风险管理与IT控制的综合性分析框架，由覆盖信息化生命周期的4个域、34个IT控制目标、318个详细控制目标组成。COBIT也涉及企业经营、合法合规等方面的控制。因此，该框架可作为制定IT控制目标、审计、管理和执行方针的依据。COBIT不是COSO框架的替代品，而是COSO框架的有力补充，这是因为在信息技术条件下，管理层、IT人员、审计师都需要理解和记录IT相关流程、流程中资源利用情况，以及支持这些流程的控制。

尤其是那些信息资产密集型或高度依赖于自动化处理的企业，理解和评估信息技术条件下的内部控制是一项巨大的挑战，但也是实现萨班斯合规性的关键之处。COBIT对评估这种环境下的内部控制会特别有效，COBIT的全部控制目标为审计人员寻求实施萨班斯法案404条款内部控制评审提供了强大的支持。不过对于初涉COBIT框架的人来说，其庞杂体系令人望而却步，其指南分散在有很多图表构成的多卷本中。并且，COBIT自1996年问世以来，在很长的一段时间里，许多审计人员单纯地将COBIT看作是专门的信息系统审计工具，认为它对其他审计工作帮助不大。我们认为，虽然COBIT的重点仍然在于IT，但是所有的相关人员包括审计人员都要研究COBIT框架，并将它作为一款优秀的控制框架，用于帮助实现萨班斯法案的合规性要求（COSO、COBIT与SOX的对应关系见图1）。

整合运用COBIT与COSO作为构建IT控制的框架，是将两种国际公认框架进行优势互补。同时在确定控制点、控制程序、留下相应审计轨迹时，也可以参考IT运营、信息安全方面可审计的国际标准管理控制体系ISO20000、ISO17799等。

3. 建立一套自评估机制，确保内部控制系统的持续有效

众所周知, 企业的发展阶段、和管理状况以及外部环境的变化都是决定企业内控体系建立和有效运行的前提。任何内控体系都只是在一个特定的历史阶段有效。法案要求管理层每年都要对内部控制有效性做出声明，这也迫使公司必须建立一套控制自评估机制，评估内部控制体系设计、执行是否有效，以支持管理层的声明。同时，自评估机制也可以帮助公司发现控制薄弱区和控制漏洞，及时审时度势，弥补内控体系的缺陷，确保内控体系持续有效。这也正是萨班斯法案所要求的。

控制自我评估（CSA）是指企业内部为实现目标、控制风险而对内部控制系统的有效性和恰当性实施自我评估的一种方法。国际内部审计师协会（IIA）在1996年研究报告中总结了CSA的三个基本特征：关注业务的过程和控制的成效；由管理部门和职员共同进行；用结构化的方法开展自我评估。CSA最早出现在20世纪80年代末期，但其最主要的发展是在90年代，特别是在1992年COSO报告公布之后。COSO报告首次把内部控制从原来自上而下财务模式的平面结构发展为更全面的企业整体模式的立体框架。传统的内控评价方法只能用来评价诸如财务报告，资产与记录的接触、使用与传递，授权授信，岗位分离，数据处理与信息传递等的“硬控制”。在新的内部控制模式下，迫切需要评价包括公司治理、高层经营理念与管理风格、职业道德、诚实品质、胜任能力、风险评估等的“软控制”。在这种情况下，作为一种既可以用来评价传统的硬控制，又可以用来评价非正式控制即软控制的机制，CSA得到了普遍的信赖。

自评人员首先选择要评审的内控流程, 然后对其设计的健全、合理性进行评价, 如果设计合理, 则测试其运行的有效性, 最后进行综合设计测试和运行测试, 评价内控系统设计的合理性和运行的有效性。如果设计测试结果为不合理, 则直接进行内控系统的评价, 而不再进行运行的有效性测试（见图2）。

内控系统设计测试是指为了确定被审计单位内控政策和程序设计合理、恰当和完善进行的测试。合理的标准即控制设计与目标相关、恰当和完善, 能有效保证信息的机密性、完整性和可用性。运行有效性测试是指为了确定被审计单位的内控政策和程序在实际工作中是否得到贯彻执行, 并发挥应有的作用而进行的测试。执行有效的标准即内控政策和程序在实际工作中得到了贯彻执行并发挥了应有的作用。

为了评估企业内部控制水平，指导企业进行差距分析并确定改进目标，建议企业借鉴成熟度理论，描述企业IT控制有效性的各种等级。

 Level 1 不可靠级 不可预知的环境，在这种环境中，控制活动没有设计或不适当；

 Level 2 不正式级 控制与披露活动已设计并适当，但没有充分记录。控制更大程度上依赖于人，没有正式的控制活动培训与沟通；

 Level 3 标准级 控制活动已被设计并适当，控制活动已被记录并在员工之间进行了沟通。控制活动的偏离可能不被发现；

 Level 4 监控级 标准化的控制，有定期的有效性测试并向管理层报告，有限的利用自动化工具支持控制活动；

 Level 5 优化级 一个整合的内部控制框架和实时的管理层监控与持续改善 (全面风险管理)，运用自动化工具支持控制活动，也许组织在需要的时候对控制活动进行快速变更。

就某个内部控制目标而言，一些企业可能愿意接受等级不高于3的IT控制。考虑到萨班斯法案 “外部审计师应就控制出具独立的鉴证”这一要求，审计师对一些关键控制活动的有效性水平不能低于3级。

自评估的各种控制测试评价，有助于企业监控完善企业内部控制，也有助于管理者对内部控制有效性做出一个明确的评定，并最终以报告书的形式对外呈现，用以表明IT控制系统总体的可靠性及完整性。控制不是一件简单的事情，而是一个过程，需要对其不断地评估和改进，以符合当前经营的实际需要。这也必将成为IT部门组织文化的一个部分。

it审计和普通审计第8篇

关键词：IT行业 审计费用 Simunic 回归模型

一、 引言

对于所有的上市公司，都需要注册会计师出具的审计报告来证明公司财务信息和业绩的真实可信性，以吸引投资并保持股价的稳定或是其他的经济目的。与此同时，会计师事务所需要把自己的审计服务卖给被审计公司，以获得维持其生存和发展的资金补充，审计费用就产生于这个过程中。近年来我国会计师事务所行业的竞争日趋激烈，国内事务所合并事件时有发生，使得合并后的会计师事务所与传统的国际“四大”业务收入差距逐步缩小。这导致审计费用标准的制定成为行业内外讨论的热点话题。

自改革开放以来，我国IT行业伴随着经济的蓬勃发展而日益强大。随着移动互联网以及大数据产业的不断崛起，IT行业对于国民经济的影响已经不言而喻，占国民经济的比重越来越大。同时随着十的胜利召开，《中共中央关于全面深化改革若干重大问题的决定》，针对IT行业未来的改革去向提出了“建立健全鼓励原始创新、集成创新、引进消化吸收再创新的体制机制”重要决策，为IT行业今后进一步发展指明了方向。

选用IT行业的数据来分析我国审计费用的影响因素可以起到以小见大的效果。本文正是根据我国2012年IT行业上市公司披露的数据，对审计费用的影响因素进行分析。

二、文献综述

审计费用的影响因素一直是国内外研究的热点。国外学者对审计费用影响因素的研究较早，Simunic（1980）率先提出了可能影响审计费用的十大因素，最终发现资产规模是决定审计费用最关键的因素。

国内方面，张继勋（2005）通过对我国上市公司在2001-2003年披露的审计费用进行研究，审计收费与被审计单位总资产规模、审计复杂程度和上市公司所在地是显著相关的。王小华（2005）认为审计费用影响因素在于公司治理特征、事务所特征和我国证券市场的制度等多种因素。郭葆春（2009）通过运用2006年沪、深两市上市公司的实证数据对我国审计定价影响因素进行实证研究，发现非审计费用未影响审计定价，董事会规模、董事会勤勉与独立性、事务所品牌、企业规模和子公司数目等直接影响审计定价。

三、 研究假设

在针对审计费用的相关研究中，学者们普遍认为审计费用最主要的影响因素在于被审计单位的规模。被审计单位的规模越大，其子公司数量越多，业务量也随之增大，其固有风险和控制风险也越高，导致审计的工作量加大及审计费用的提高。因此，提出以下假设：

H1：公司规模与审计费用呈正相关。

审计风险是影响审计费用的重要因素，一般来说审计风险越高，事务所面临证监会和证券交易所的惩罚成本越大，从而审计收费也可能增加。

本文选取了应收账款占总资产的比重、存货占总资产的比重、无形资产占总资产的比重、资产负债率、流动比率、净资产收益率、审计意见类型等指标衡量审计风险对审计费用的影响。

其中，本文选取的应收账款和存货占总资产的比重是审计过程中业务最为复杂的核查内容之一，应收账款和存货需要审计人员加大工作力度进行清查，使得审计费用可能增大，因此预期其与审计费用呈正相关。选取的无形资产占总资产的比重，主要原因在于科技创新、产品研发、技术专利等是该行业的主要特点，因此针对无形资产的核查也需要审计人员面临一定的审计风险，从而提升审计费用，故其与审计费用呈正相关。选取的资产负债率与流动比率与审计费用呈负相关，两者越高，说明被审计单位的偿债能力越强，审计风险相对越小，从而审计费用就较低。选取的净资产收益率反映了被审计单位的盈利能力强弱，该值越大，相对应提供审计业务的事务所承担的审计风险越小，从而收取的审计费用也相应减少，故其与审计费用呈负相关。选取的审计意见类型主要影响审计的成本，如果注册会计师出具非标准保留审计意见，被审计单位的财务风险较大，审计风险也提升，审计工作量会加大，从而审计费用也会提升。根据以上内容，提出假设：

H2：审计风险与审计费用呈正相关。

根据以往的研究表明，会计师事务所声誉良好，审计人员的素质较高，可以提供较为出色的审计服务，其审计费用对于小规模的会计师事务所会有一定的提升。并且通过知名的大型会计师事务所审计，可能对公司声誉、投资者信任程度等方面都会起到积极的作用。所以，上市公司会愿意支付较高的审计费用。

本文根据中国注册会计师协会基于2012年业务数据的《2013年会计师事务所综合评价前百家信息》，选取审计业务领先的“六大”会计师事务所，即普华永道中天、德勤华永、瑞华、安永华明、立信、毕马威华振。其中，瑞华在2012年业务分为两家会计师事务所承担：中瑞岳华、国富浩华。据此，提出以下假设：

H3：会计师事务所为“六大”的，其审计费用较高。

四、 实证分析与结果

（一）模型选择与变量说明

根据我国审计费用的实际情况和上述影响因素指标，本文建立了以下多元线性回归模型：

lnFee=β0 +β1lnAssets+β2 Rev+β3Inv+β4 Intangible+β5Debt+β6 Current+β7Roe+β8Opinion+β9BigSix+ε

相关变量说明见表1。

（二）样本与数据来源

本文以2012年沪深两市A股信息传输、软件和IT服务业上市公司为研究样本。数据来源于上海证券交易所、深圳证券交易所网站和国泰安CSMAR数据库。

在本文样本筛选的过程中，遵循以下原则：（1）删除数据不完整的公司样本；（2）剔除“半年审计费用”与“季度审计费用”的公司样本。根据以上原则，最终决定了121个有效样本，并采用SPSS软件进行统计分析。样本的描述性分析如表2所示。

从上页表2可以看出，2012年IT行业上市公司审计费用的平均值为67.4万元人民币，取值区间为20万元至390万元人民币，最高值为最低值的19.5倍，差距较大。其中，总资产规模的平均值接近62亿元人民币，取值区间为677.9万元至5 183亿元人民币，最高值为最低值的7.65倍，说明我国IT行业上市公司的规模较大，相对应的经济业务也比较复杂。在应收账款、存货、无形资产与总资产的比重方面，最小值均是趋近于0，或者为0，说明目前我国IT行业上市公司发展水平不一，公司资产布局也有一定的区别。资产负债率的平均值达0.2463，而流动比率的平均值为7.4288，说明目前IT行业上市公司的短期偿债能力要明显高于其长期偿债能力。在被审计单位审计意见方面，获得标准无保留意见的上市公司达97.52%，说明绝大部分企业的信息披露客观性较强。在上市公司选取“六大”会计师事务所方面，有36.36%的企业选择，说明有较多的IT行业上市公司愿意请“六大”进行审计，并获得高质量的审计报告。

（三）实证分析

1.相关性分析。表3 变量间的Pearson相关系数。Pearson Correlation简写为P.C；Sig.（2-tailed）简写为S.（2-T）。

应收账款占总资产的比重与存货占总资产的比重呈正的弱相关。存货占总资产的比重与资产负债率呈正相关，与流动比率呈负相关。在公司总资产的自然对数方面，其与资产负债率、审计意见在1%水平上显著负相关，与流动比率呈正相关。资产负债率与流动比率之间呈负相关。

虽然本文选取的变量之间存在着一定的相关性，但是其相关系数并不高，可以看出，各个变量之间不存在多重共线性，可以针对本文选取的数据进行多元线性回归分析。

2.多元线性回归分析。根据本文建立的模型进行多元线性回归分析，可以得到表4至表6结果。

判定系数为0.501，说明拟合优度处于中等水平，本解释变量可以被模型解释的部分约占一半。模型中的DW值为1.809，趋近于2，说明残差序列存在无自相关。

进行回归方程的显著性检验。从表中可以得出，F检验统计量的观测值为61.532，对应的概率P-值近似为0。当显著性水平α为0.05时，由于概率P-值小于显著性水平，可以拒绝回归方程显著性检验的原假设，认为各回归系数不同时为0，被解释变量与解释变量全体的线性关系是显著的，可以建立线性模型。

审计费用的回归结果，从表中可以看出，只有总资产和审计意见是审计费用最大的决定因素。总资产（InFee）的系数为0.588，在5%水平上显著，与假设1的预测一致，说明针对我国IT行业上市公司规模、复杂程度与审计费用呈显著的正相关性，即被审计单位的规模越大，会计师事务所审计的工作量越大，相对应的审计费用越高。

针对上市公司的审计风险而言，回归分析没有得出较为一致的结论，仅有审计意见（Opinion）与审计费用存在着负的相关性，与预期相符合。

对于其他影响因素而言，虽然在5%水平上不显著相关，但也不能否认在综合影响水平方面有其相关的作用。从回归系数前的符号可以看出，上市公司存货占总资产的比重、流动比率、是否为“六大”事务所审计这些变量的符号与预期符号相一致，说明这些变量与审计费用存在着一定的相关关系。在应收账款和无形资产方面与本文的预期相反，其原因可能在于事务所在审计费用定价方面并不是主要的定价因素。另一个预期不同的是上市公司的净资产收益率，本文之前假设其与审计费用呈负相关关系，预期符号为负，但通过模型测算，其回归结果显示为正相关。主要原因可能在于样本企业的盈利能力普遍很强，其经济业务量数量多、复杂程度大，导致会计师事务所注册会计师需要花费更多的时间与精力进行审计，而被审计企业也愿意为此支付较高的审计费用。因此，产生了本文的结果，审计费用与净资产收益率呈正相关的关系。

（四）研究结论

通过以上论证可以发现，IT行业上市公司的资产规模和审计意见类型是审计费用主要的决定因素。除了审计意见类型，其他的审计风险因素，如应收账款占总资产比重，无形资产占总资产比重、存货占总资产比重、净资产收益率、流动资产、资产负债率等没有太大关系，但不能否认在综合方面有一定的影响。

在IT行业上市公司中选取“六大”占有36%，数量相对可观。然而进一步研究可以发现，选取传统“四大”国际会计师事务所审计的上市公司仅占2家，这说明我国本土事务所在审计公司数量上占有很大优势，但是被审计的公司中很少有大型国有企业、跨国公司等。

近几年来我国会计师事务所发展迅猛，传统的国际“四大”会计师事务所在我国的支配地位已经被打破，瑞华通过合并方式业务收入排名进入四强，立信已经超越毕马威进入前六名。但不能否认的是，合并不是简单的外延联合，合并后的整合是会计师事务所面临的关键问题，这里的整合不仅仅指在资本上的重组，更重要的是在技术管理技能等无形资产上的共享，从而能扩大竞争能力。合并后的本土事务所应当更注重长远的发展和自身的声誉。

参考文献：

1.Simunic，D.A. The pricing of audit services：Theory and evidence[J].Journal of Accounting Research，1980，（3）.

2.张继勋，徐奕.上市公司审计收费影响因素研究――来自上市公司2001-2003年的经验证据[J].中国会计评论，2005，（1）.

3.王小华.我国A股上市公司审计费用影响因素分析[D].暨南大学，2005.

4.郭葆春.我国审计定价影响因素的实证研究[J].财经理论与实践，2009，（30）.

5.刘丹.会计师事务所合并与审计生产效率[J].财经问题研究，2014，（36）.

作者简介：

it审计和普通审计第9篇

1　信息技术的广泛应用给银行带来的风险

银行的IT风险不仅涵盖了传统的操作风险、信誉风险，还包含了在银行的经营管理过程中，所表现出的许多与信息化相关联的其他类型风险。商业银行的内控应该以风险管理为中心，尤其离不开IT风险管理的支持。IT风险主要表现在：

(1)业务风险发生后一般可以通过业务流程、法律手段等加以弥补，而IT风险发生后往往难以弥补；

(2)IT风险的对象要考虑各类技术设施，相对来讲比较复杂；

(3)业务风险通过制度、流程、审批等环节能够基本加以控制，而IT风险中的IT设施自身存在这样那样的缺陷，要控制就相对复杂；

(4)IT风险发生后波及范围大、影响大，例如目前大多数银行采取的IT系统大集中模式，一旦IT风险发生，将会影响到上百万的用户。

2　银行信息技术审计的重点

银行信息技术审计是一个采集资料数据及对其进行评估，以确定电脑系统是否能达到“保护银行资产、维护数据的完整性、有效地协助银行实现其经营管理目标、高效率地利用资源”的效果。依据这一审计理念，信息技术审计的重点应包括应用控制，以及与应用控制对应的是信息系统的一般性控制，主要是嵌入到IT流程和服务中的控制。

211　一般性控制方面

IT一般控制的基本范围是IT内部普遍存在的风险及高层次的风险，而不是具体的应用程序所涉及的风险。IT一般控制包括但不限于以下类型：

(1)授权审批：授权包括根据政策及程序执行审批操作。

(2)职责分离：将不相容岗位的职责分离，防止个别人员利用职权作出并隐瞒错误或违规的行为。

(3)管理层审阅：独立于编制人的人员对编制人进行的活动进行分析并实施监控。

(4)特殊事项报告：用于监控发现的特殊事项以及对这些事项的跟进解决措施的报告。

(5)IT绩效指标：包括定期和不定期生成、审阅和分析IT绩效指标。

(6)系统访问权限：在信息系统操作环境中，通过系统设置以决定和定义系统用户的访问权限，系统访问权限应与授权的权限相一致。

212　应用控制方面

IT应用控制存在于每一个基于应用系统的事务及数据处理中，是针对输入、处理和输出功能的控制，信息系统的应用控制审计是利用标准、规范和审计技术，对信息系统进行测试、检查和评价，检查应用系统是否存在漏洞和功能缺陷，评价信息系统的安全性、稳定性和有效性，并提出相应的改造建议。IT应用控制包括但不限于以下类型：

(1)输入控制

①输入／数据源控制：输入控制程序必须确保每一笔需要被处理的数据能够正确完整地接受、处理和记录。

②输入授权：输入授权验证所有由管理层授权和批准的事务，输入授权有助于确保只有经授权的数据才能进入计算机系统进行处理。

③批处理控制：批处理控制对输入事务进行分组以提供总计控制，批处理控制包括基于总金额、总项目数、总文件数等控制手段。

④错误报告和错误处理方法：输入处理要求系统内部控制能够验证输入数据被系统正确地接受，输入错误会被识别和纠正。

⑤数据确认和编辑检查：建立程序以保证输入数据被确认，通过在程序中设定输入格式，确保数据以正确的格式被输入到正确的区域。

(2)处理控制

处理控制保证计算数据的完整性和准确性。这类控制保证数据在文件或数据库中的完整和准确，只有授权的处理或修改程序才能对数据进行更改。

(3)输出控制

输出控制主要是保证交付给用户的数据是符合格式要求的、可交付的，并以一致和安全的方式递交给用户或不同的系统。

3　银行信息技术审计的方法

信息技术审计是一个通过收集和评价审计证据，对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的企业目标得以有效地实现、使组织的资源得到高效地使用等方面做出判断的过程。下面结合笔者开展审计项目的实践，就相关审计方法归纳如下：

(1)调查问卷法

调查问卷法是审计人员针对取证对象设计问卷，对于问卷不能解释清楚的部分在附注中用文字加以说明，要求被调查人员根据实际情况做出真实回答的取证方法。

(2)询问法

询问法是指审计人员在审计现场向取证对象了解信息系统开发、运行管理等方面情况的审计方法，访谈对象必须是执行该项控制的岗位人员。

(3)观察法

观察法是审计人员采用检查操作用户权限与被审单位内控制度、现场观察测试操作、分析系统的操作日志和分析系统业务数据等审计方法，对于正在执行的控制步骤是主要测试方法。

(4)书面文档检查法

该方法是指审计人员查阅被审计对象的信息技术政策、规章制度、项目的业务需求、设计文档、技术手册和操作手册、差错调整等相关文档的审计过程，用以了解系统业务处理流程，检查信息系统控制功能是否有效、完整。

(5)开发环境测试法

该方法是指审计人员设计一些测试案例，提交系统进行处理，以测试系统应用控制是否恰当、有效。

(6)穿行测试法

该方法主要是由审计人员通过重新执行某项控制，检查该项控制实际执行结果是否准确的方法。