别踩坑!?IT审计过程的12个误区
在IT审计过程中,存在一些常见的误区,今天给大家整理了一下常见的误区,希望大家在工作中注意,尽量避免影响审计的有效性。
01
基本认知问题
1、忽视相关法律法规和标准:
“读标准破万卷,做项目如有神。”
如果没有结合相关的法律法规、准则与标准进行IT审计工作,可能导致审计工作不全面,无法达到预期的审计目标。常见标准有ISACA信息系统审计原则、COSO内部控制框架、SOX萨班斯法案和COBIT信息及相关技术控制目标等。
2、对固有风险的认知存在问题:
固有风险,是指IT活动在没有相关控制的情况下容易导致重大错误的风险。部分IT审计人员对于固有风险存在错误的认识,认为固有风险的存在就是被审计单位的问题的问题。
但是IT审计人员应该认识到固有风险是IT活动本身所具有的,是一直存在的,是与企业是否执行控制活动无关的,可以通过评估来了解。然后IT审计人员才要进一步识别相应的控制,而不是在了解固有风险后,直接认定为这就是企业控制没有做到位。
3、低估控制风险:
控制风险,是指与IT活动相关的内部控制体系不能及时预防或检查出存在的重大错误的风险。IT审计人员应该评估与内部控制有关的信息系统控制的有效性,而不是仅仅依赖控制的存在,尤其是不要过于依赖信息系统自动化控制,要对系统配置进行深入检查后再做判断。
4、忽视检查风险:
IT审计人员胜任能力不足或者执行审计程序过程中粗心大意,可能导致“检查风险”。为了避免最大的危险来自于IT审计师本身,IT审计师需要不断更新自己的知识和技能,并且细心仔细按照审计准则执行审计程序,尽可能降低检查风险。
5、忽略内部审计的作用:
内部审计是公司治理的重要组成部分,IT审计人员应该检查公司是否有定期执行内部审计,并且是否涉及到IT层面的问题。同时,内部审计发现的问题是否得到及时处理和改进也是重要的考量点。
6、 忽视信息安全:
在进行IT审计时,保证数据的正确性和信息的安全性是非常重要的前提。如果忽视了这一点,即使完成了审计,其结果也可能存在严重的安全隐患。
7、忽视职业道德:
IT审计人员在执业过程中,始终应当保持独立、客观、公正,保持正直、诚实和守信,正确履行审计职责。尤其是要对在实施IT审计业务中所获取的信息负有保密责任。千万别因为一时疏忽,酿成大错。
02
项目沟通问题
8、未明确审计范围:
在进行IT审计之前,必须明确审计的范围,这包括确定哪些系统、过程和数据将被审查。没有明确的IT审计范围,很可能到交付阶段才发现存在范围模糊不清的情况。
9、IT审计范围受限:
在IT审计过程中,如果审计范围受到限制,可能会影响审计目标和审计计划的实现。
如果资料要不到,访谈约不上,场地去不了,就算现场时间再长,人手再充足,也无法正常完成IT审计任务。所以,在这种情况下,IT审计人员应及时与相关管理层沟通这些限制及其潜在影响。
10、IT审计过程沟通结果未进行确认:
有效的沟通对于IT审计至关重要,如果在审计过程中沟通结果不进行二次确认,可能会导致关键信息的丢失或误解,从而影响审计结果。
所以这里建议大家在完成访谈或者资料获取后,一定要再与被审计客户确认一下理解的信息是否准确,是否存在误解。否则如果只是IT审计人员单方面输出一个结果,夹杂着错误的理解和判断,那与审计初衷也是背道而驰的。
03
程序执行问题
11、缺乏风险识别:
IT审计师在进行信息技术整体环境的了解时,应该有意识地开始进行风险点相关性的识别工作,了解哪些风险类别与被审计单位相关,哪些不相关,并且在这个过程中要与注册会计师密切沟通。这样才能针对识别的相关风险评估应对体系,有效地开展审计工作。
12、过度依赖技术手段或自动化工具:
虽然IT审计在软件测试方法和电子取证方法上具有先进性,自动化工具可以提高审计效率,但过度依赖这些工具可能会忽略人工审查的重要性,导致某些问题被遗漏。
你学废了吗?
- 发表于:
- 原文链接:https://page.om.qq.com/page/OgqdwixtlRa0RMtjWiXBPfKg0
- 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
- 如有侵权,请联系 cloudcommunity@tencent.com 删除。
相关快讯
扫码
添加站长 进交流群
领取专属 10元无门槛券
私享最新 技术干货
腾讯云开发者
