IT 审计目的
1 、IT 审计的目的是指通过开展IT 审计工作, 了解组织IT 系统与IT 活动的总体状况, 对组织是否实现口目标进行审查和评价, 充分识别与评估相关口风险,提出评价意见及改进建议, 促进组织实现IT 目标。
2 、组织的IT 目标主要包括:
- 组织的IT 战略应与业务战略保持一致;
2 )保护信息资产的安全及数据的完整、可靠、有效;
3 ) 提高信息系统的安全性、可靠性及有效性;
4 ) 合理保证信息系统及其运用符合有关法律、法规及标准等的要求。
IT 审计范围和IT 审计人员
1 、IT 审计范围的确定, 如下表所示。
2 、审计人员在实施口审计项目前, 应先对组织与信息系统相关的总体情况进行了解和风险评估, 确定主要口风险, 如与环境控制相关的风险、与系统相关的风险、与数据相关的风险等, 然后根据确定的风险来判断哪些控制、流程对组织的影响比较大, 并结合审计项目预计的时间、配备的审计力量等来确定重点审计范围。
3 、根据GB/T 34690. 4 《信息技术服务治理第4 部分: 审计导则》, 对IT 审计人员的要求包括职业道德、知识、技能、资格与经验、专业胜任能力及利用外部专家服务等方面。
IT 审计风险主要包括固有风险、控制风险、检查风险和总体审计风险。
总体审计风险是指针对单个控制目标所产生的各类审计风险总和。良好的审计计划应尽可能评估和控制审计风险, 减少或控制所检查领域的审计风险, 比如采取合适的审计工具, 在完成审计时把总体审计风险控制在足够低的水平之内,以达到预期保证水平。
审计风险也用于描述审计人员在执行审计任务时可接受的风险水平。审计人员可通过设定目标风险水平并调整审计工作量, 以合适的审计成本满足最小化总体审计风险要求。
