请教 上市公司IT审计

在这一节中，我们将介绍在IT审计的实施流程、组织形式等过程中应该遵循的一些标准和准则。

我们在前面的131提到，IT审计是独立的IT审计师采用客观的标准对以计算机为核心的信息系统的整个生命周期内的相关的活动和产物进行完整、有效的检查和评估的过程。那么，为了保证审计结果的客观性和权威性，IT审计师必须采用一套公认的、权威的审计标准，作为实施IT审计的基本准则和实施依据。

制定或者采用权威的、公认的IT审计标准，是实现IT审计工作规范化、明确IT审计责任、保证IT审计质量的可靠保障。

目前在国际上较为流行的是美国的ISACA协会的审计标准。ISACA于1996年推出了用于“IT审计”的知识体系COBIT(Control Objectives for Information and related Technology)，即信息系统和技术控制目标。作为IT治理的核心模型，COBIT包含34个信息技术过程控制，并归集为4个控制域：IT规划和组织(Planning and Organization)、系统获得和实施(Acquisition and Implementation)、交付与支持(Delivery and Support)，以及信息系统运行性能监控(Monitoring)。目前，COBIT已成为国际公认的IT管理与控制标准。

1321 基本框架

IT审计标准是IT审计的纲领性规范，它列举了IT审计的事实过程中必须包含的审计项目。一般来说，一个IT审计标准的框架应该包含如下三个层次。

1 基本准则

规定了IT审计行为和审计报告必须达到的基本要求，是IT审计的总纲，也是制定其他相关标准、规范、准则和指南的基本依据。

2 具体准则

依据基本准则制定，对如何遵循IT审计的基本标准提供了详细规定和具体说明，是IT审计师实施审计业务、出具审计报告的具体规范。

3 实施指南

依据基本准则和具体准则制定，是IT审计的 *** 作规程和方法，为IT审计师实施审计业务提供可 *** 作性的指导。

IT审计标准是针对以计算机为核心的信息系统而制定的。其适用范围涵盖了信息系统的整个生命周期，包括可行性分析、需求分析、系统设计、开发、测试、运行维护等全部过程的每个环节。

1322 基本准则

作为IT审计的总纲，IT审计基本准则指明了IT审计的基本标准和要求，我们这里摘录了ISACA对于IT审计的基本准则的描述。

1 审计合同

IT审计应该由审计方与委托方签署IT审计合同，信息系统审计职能的责任、权利和义务均应在审计合同或聘书中有清楚的说明。

2 独立性

(1)职业独立性

在所有与审计相关的事物中，信息系统审计师均应在态度和表现上与被审计单位保持独立。

(2)组织关系

信息系统的审计职能应与被审计领域保持充分独立，以确保审计工作的客观完成。

3职业道德和标准

(1)职业道德准则

信息系统审计师须严格遵守信息系统审计与控制协会颁发的职业道德准则。

(2)敬业精神

信息系统审计师在各方面的工作中，均应具备敬业精神，并严格遵守相应的职业审计标准。

4专业技能

(1)技能与知识

信息系统审计师必须在技术上胜任，具备从事审计工作所必需的专业技能与知识。

(2)职业继续教育

信息系统审计师应通过相应的职业继续教育来保持其技术胜任能力。

IT审计是独立于信息系统本身、信息系统相关开发、使用人员的第三方－IT审计师采用客观的标准对信息系统的策划、开发、使用维护等相关活动和产物进行完整地、有效地检查和评估。

由上面的定义我们可以看出，IT审计涉及整个信息系统的生命周期，IT审计不是单纯强调对软硬件的审计。它的审计对象涵盖整个信息系统所有活动和中间产物，并包括信息系统实施相关的外部环境。

IT审计按照信息系统的生命周期分为业务计划审计，业务开发审计、业务执行审计和业务维护审计以及涵盖整个信息系统周期的共通业务审计。

工程审计的方法：

1、看图法：

即看图核实工程量与工程价款，审定工程造价的一种方法基建工程决算审计，首先必须认真仔细地看清所有的施工图纸，才能全面准确无误地计算审定工程造价的真实性。

要求审计人员必须熟练掌握所有的建筑识图知识，不仅要看建筑施工图，而且要看结构施工图和竣工图；不仅要看水电平面图，而且要看水电系统图；不仅要将每一张图纸看懂吃透，而且要将所有的图纸综合分析。只有在认真看懂吃透图纸的基础上，才能发现问题、揭露问题。

2、观察法：

它是指审计人员亲临建筑现场，对审计事项进行实地观察，调查了解建设项目的实际情况，发现疑点，验证事实，核实实际工程量，审定工程造价的一种方法。

IT审计就是信息系统审计，主要介绍审计的历史和发展，对象、范围和意义对象、范围和意义计划。

知识方面的要求如下：

信息系统计划、开发和运营相关的知识： 信息系统构成相关的知识； 信息化战略、构想、提案、立项等相关的知识； 系统设计、程序设计、软件测试等相关知识； 系统 *** 作、数据管理等相关知识；

能力方面的要求如下： 系统审计的相关能力； 审计的立项、分析、评价相关的能力；信息收集、审核、审计方法掌握、技巧运用方面的能力；审计报告制作能力；

IT审计师必须具备全面的计算机软硬件知识，对计算机网络和信息系统的安全性具有高度而特殊的敏感意识，而且对财务会计和企业内部控制具有深刻的理解能力，要懂管理、懂经济、懂审计、懂计算机、懂内部控制、懂网络技术，既是审计专家，又是信息系统专家，以对计算机信息系统及软硬件的技术性审计来保证计算机审计质量的可靠性。

IT审计的定义：就是信息系统审计，也称IT监查，是独立于信息系统本身、信息系统相关开发、使用人员的第三方－IT审计师采用客观的标准对信息系统的策划、开发、使用维护等相关活动和产物进行完整地、有效地检查和评估。

IT审计的发展趋势：

我们从IT技术发展来看，随着IT技术在企业业务和管理中的广泛运用，IT逐渐从传统的后台支持而步入前台，成为企业竞争的重要支撑，企业凭借信息系统的强大功能优势，完成其业务的自动化，但与此同时，从信息系统安全性、效率性、合规性方面都存在风险，传统的控制、管理、检查和审计技术都受到了巨大的挑战。其次，从应用企业类型来看，目前IT审计主要集中在信息化程度要求较高、生产安全紧密相关的单位。比如电信运营商、各大银行金融机构、中央企业等，中小企业用户还比较少。企业对于IT审计人才的培养也处于初级阶段，目前的状况是懂IT的人才不少，但是这些专业人才往往缺少对企业的业务、审计的相关知识。

IT审计制度的建立需要注意三点：

IT审计师是跨信息技术和审计技术的复合型人才，要实施企业的IT审计制度，必须重视和培养合格的IT审计师；

企业应该建立相应的IT审计部门或审计岗位，确定其部门和岗位职责，并将之置于企业经营者的直接管理之内；

企业应该制定相应的IT审计准则、实施报表、报告等进行IT审计所必须的凭据；

IT审计的对象和范围：

IT审计设计整个信息系统的生命周期，IT审计不是单纯强调对软硬件的审计。它的审计对象涵盖整个信息系统所有活动和中间产物，并包括信息系统实施相关的外部环境。一般来说，对企业实施IT审计的对象有：本企业内的IT审计师、外部IT审计事务所委托审计师和国家审计机构。IT审计按照信息系统的生命周期分为业务计划审计，业务开发审计、业务执行审计和业务维护审计以及涵盖整个信息系统周期的共通业务审计。

业务计划审计主要面向信息系统的企划，对信息系统的投资可行性，系统规划与公司战略的相关性，系统开发计划的可行性以及系统需求的完整性和正确性进行审核和验证。

业务开发审计对信息系统开发的各个阶段的相关人员的活动、信息、中间产物进行审核，确认这些活动、信息和中间产物的规范性、有效性和对于信息系统目标的针对性。

业务执行审计确认与信息系统运行相关的数据、软硬件、安装环境等是否符合信息系统的运营要求，同时对信息系统的功能、性能、易用度、可 *** 作性等进行评估。

业务维护审计对信息系统的维护活动和维护结果实施审核和评价。发现在维护中可能出现的各种漏洞和信息系统维护中急待改善的问题。

共通业务审计涉及文档管理、进度管理、人员管理、采购管理、风险管理等，检查这些过程的规范性和有效性，并提出改良建议。

近年来，随着企业信息系统的不断完善，企业对于信息系统的依赖日益加强，信息系统审计也随之成了审计中不可或缺的一部分。今天，时代新威和大家聊一聊信息系统审计的过程。

1）调查

该审计步骤用来将控制目标下的相关活动用文档记录下来，对组织声称已实施的控制措施与程序进行识别，并且确认其存在。

与相关的管理者和员工进行会见，以理解：

·业务需求好相关的风险。

·组织结构。

·角色和职责。

·政策和程序。

·法律和法规。

·已有的控制措施。

·管理报告（状态、性能、行动项目）。

用文档记录与过程相关的IT资源，特别是那些被审计的IT流程所影响的IT资源。确认理解了审核的过程、过程的关键性能指标（KPI）、实际的控制状况。例如，可以通过对过程的抽查来进行了解。

2）评价控制

该审计步骤用来评估当前已有控制措施的有效性或达到控制目标的程度，主要是决定测试什么、是否测试及如何测试的问题。

通过对比已确定的标准及行业最佳实践、控制方法的关键成功要素（CSF）和利用审计师的职业判断，来评价待审核过程所应用的控制措施的适宜性。

·存在已文档化的过程。

·存在适宜的输出。

·职责和责任是明确的、有效的。

·在必要时，存在补偿控制。

·对实现控制目标的程度做出结论。

3）评估符合性

该审计步骤用来确定已建立的控制措施是按组织规定的方式，持续地、一致地在起作用，并且对控制环境的适宜性做出结论。

·得到所选项目和阶段的直接或间接的证据，使用直接和间接的证据来保证待审核的项目和阶段一直遵守相关控制程序的要求。

·对过程输出结果的充分性进行有限的审核。

·为了证明IT流程是分的，确定需要进行实质性测试的程度和其他需要进行的工作。

4）证实风险

该审计步骤通过使用分析技术和可选的咨询资源，证实控制目标没有被实现时所带来的风险。目标是支持其审计判断，并督促管理者采取行动。审计师要创造性地寻找和提出通常是敏感的和机密的信息。

·用文档记录下控制弱点及其引起的威胁和漏洞。

·识别并记录实际的影响和潜在的影响，例如，利用因果分析的方法。

·提供比较信息。例如，通过基准比较的方法。

在信息高速爆炸的时代，进行信息系统审计，确保在线、实时的信息的可靠性，有助于整个市场经济的发展。以上就是时代新威为您科普的信息系统审计的过程，更多精彩内容，欢迎持续关注我们哦。

为什么需要审计

这是外部对企业的监管，是对企业进行审查监管的重要步骤，由外部专业人员对企业的账务和经营等进行审查并出具意见，并与企业共同承担责任和风险，这样可以在更大程度上保证企业资讯的真实有效。

审计的目的是查错防弊，保护企业资产的安全和完整；审计的方法是对会计账目进行详细审计；审计报告使用人主要为企业股东等。

（一）注册会计师审计的起源

注册会计师审计起源于16世纪的义大利。当时地中海沿岸的商业城市已经比较繁荣，而威尼斯是地中海沿岸国家航海贸易最为发达的地区，是东西方贸易的枢纽，商业经营规模不断扩大。由于单个的业主难以向企业投入钜额资金，为适应筹集所需大量资金的需要，合伙制企业应运而生。合伙经营方式不仅提出了会计主体的概念，促进了复式簿记在义大利的产生和发展，也产生了对注册会计师审计的最初需求。尽管当时合伙制企业的合伙人都是出资者，但是有的合伙人参与企业的经营管理，有的合伙人则不参与，所有权和经营权开始分离。这样，那些参与企业经营管理的合伙人有责任向不参与企业经营管理的合伙人证明合伙契约得到了认真履行，利润的计算与分配是正确、合理的，以保障全体合伙人的权利，进而保证合伙企业有足够的资金来源，使企业得以持续经营下去。在客观上产生了一个与任何方无利益关系的第三者能对合伙企业进行监督、检查的需求，人们开始聘请会计专家来担任查帐和公证的工作，这样，在16世纪义大利的商业城市中出现了一批具有良好的会计知识、专门从事查帐和公证工作的专业人员，他们所进行的查帐与公证，可以说是注册会计师审计的起源。随着此类专业人员的增多，他们于1581年在威尼斯创立了威尼斯会计协会。其后。米兰等城市的职业会计师也成立了类似的组织。

（二）注册会计师审计的形成

注册会计师审计虽然起源于义大利，但它对后来注册会计师审计事业的发展影响不大。英国在创立和传播注册会计师审计职业的过程中发挥了重要作用。

18世纪下半叶，英国的资本主义经济得到了迅速的发展，生产的社会化程度大大提高，企业的所有权和经营权进一步分离。企业主希望有外部的会计师来检查他们所雇佣的管理人员是否存在贪污、盗窃和其他舞弊行为，于是英国出现了第一批以查帐为职业的独立会计师。他们受企业主委托，对企业会计帐目进行逐笔检查，目的是查错防弊，检查结果也只向企业主报告。因为是否聘请独立会计师进行查帐由企业主自行决定，所以此时的独立审计尚为任意审计。

股份有限公司的兴起，使公司的所有权和经营权进一步分离，绝大多数股东已完全脱离经营管理，他们出于自身利益，非常关心公司的经营成果，以便做出是否继续持有公司股票的决定。证券市场上潜在的投资人同样关十分心公司的经营情况，以便决定是否购买公司的股票。同时，由于金融资本对产业资本的逐渐渗透，增加了债权人的风险，他们也非常重视公司的生产经营情况，以便做出是否继续贷款或者是否索偿债务的决定，而公司财务状况和经营成果，只有通过公司提供的财务报表来反映。因此，在客观上产生了由独立会计师对公司财务报表进行审计，以保证财务报表真实可靠的需求。值得一提的是，注册会计师审计产生的“催产剂”是1721年英国的“南海公司事件”。当时的“南海公司” 以虚假的会计资讯诱骗投资人上当，其股票价格一时扶摇直上。但好景不长，“南海公司”最终未能逃脱破产倒闭的厄运，使股东和债权人损失惨重。英国议会聘请会计师查尔斯•斯耐尔（Charles Snell）对“南海公司”进行审计。斯耐尔以“会计师”名义出具了“查帐报告”，从而宣告了独立会计师——注册会计师的诞生。

为了监督经营者的经营管理，防止其徇私舞弊，保护投

为什么会有审计？审计的作用是什么？为什么需要审计

运维管理审计系统涵盖多种运维协议（RDP、SSH、TELNET、FTP、SCP等）并提供 *** 作回放检索、输入记录、标题抓取等功能，从明确人、主机、帐户各个角度，提供丰富的统计分析，帮助使用者及时发现安全隐患，协助优化网路资源的使用。它能够对运维人员的访问过程进行细粒度的授权、全过程的 *** 作记录及控制、全方位的 *** 作审计、并支援事后 *** 作过程回放功能，实现运维过程的“事前预防、事中控制、事后审计”，在简化运维 *** 作的同时，全面解决各种复杂环境下的运维安全问题，提升企业IT 运维管理水平。 现在主流的堡垒机就是碉堡堡垒机，碉堡不同于传统的硬体堡垒机，是软体形态的，可以部署于任意伺服器装置上。碉堡提供了远端运维管理所需要的集中身份认证、集中访问授权、集中访问管理、集中 *** 作审计，以及简化 *** 作和管理的单点登陆功能。

为什么要由独立的第三方审计

独立的第三方审计可以保证审计的独立性。

审计独立性是指注册会计师不受那些削弱或纵是有合理的估计仍会削弱注册会计师做出无偏审计决策能力的压力及其他因素的影响。其对审计工作来讲至关重要。因为涉及市场经济的利益公平，独立性被职业界视为审计的灵魂。

狭义的审计独立性是指CPA执行审计或其他鉴定业务，应当保持形式上的独立和实质上的独立。形式上的独立性，是指注册会计师与被审计单位或个人没有任何直接或间接的利益关

系。否则，就会影响注册会计师执行审计工作，从而影响审计工作质量。实质上的独立性是指注册会计师在执行审计或其他鉴证业务时，应当不受个人或外界因素的约束、影响和干扰，保持客观且无私的精神态度。因此，注册会计师应在实质上和形式上没有任何被认为有影响独立、客观、公正的利益。实质和形式上的独立两者都能达到是通过审计的独立来达到审计报告的可靠与真实的必要条件。

执行审计工作发现的错报等问题，除了依赖审计独立性，还应当注意与可靠性的区别，审计可靠性还涉及审计人员的客观、公正、专业知识和职业道德等。也就是说，可靠性涵盖了独立性、正直和职业胜任能力等。

为什么要资料库审计

随着大资料潮流的涌进，加强资料安全也越来越重要。下面从以下4点解释一下问什么要资料库审计：

(1)安全事故的权责追查，可通过审计到的客户端IP、资料库使用者、会话、sql语句、业务使用者等多个维度去捕获事件资讯，快速定位发生来源。

(2)资料库效能诊断，实时观察资料库的执行状况、访问流量、并发吞吐量、sql的相应速度，以便运维人员进行资料库效能的优化。

(3)发现程式后门，可实现对业务系统的sql建模，通过合法行为的规则制定，当触发这些规则时，推送实时的告警能力，大幅降低资料泄露损失

(4)资料库漏洞攻击的相应，可实现对资料库漏洞攻击的、sql的注入、危险sql语句指定防护策略，提供实时告警功能。

(5)制定资料库的防护措施，通过对资料库 *** 作行为的发现，有效的观察出行为基准，指定出相关的基准策略，一旦超出基准则可划为异常行为，及时发现危险行为。

关于审计产品您可以百度搜索看下安华金和CEO写的《纵论资料库安全审计产品的三代演进》这篇文章，相信对您也会有帮助。

为什么要做审计？什么样的企业需要做审计？

以年报审计为例，企业在2011年12月31日结束后要出一份关于2011年度的财务报告，来应对工商局、税务局、股东、董事会等等的检查，财务报表能反映企业在一年内的经营状况和财务情况，比如资产负债表、利润表、现金流量表、股东权益变动表等。

注意这些财务报表是在管理层的监督下做出来的，管理层即为以总经理为代表的有企业日常经营管理权的高层。而总经理的年薪很多情况下都是根据财务状况等来判断的，所以管理层很有可能在财务报表方面作假。

而年报审计就是会计师事务所对企业的账、报表、税务、资产等等方面来进行审计（可以理解为检查的意思吧）来增加股东、弗事会、工商局、税务局等等对年报的信赖度

总结下来审计是给报表使用者（股东、董事会等等也可以是管理层）提供可信度的一种服务。

一般外资企业是必须接受审计的。

企业为什么要进行内部审计

企业发展到一定的阶段，企业的所有者与管理者产生分离。随着企业的经营业务的增长，管理者不能对所有的工作进行监督和管理。需要有一个部门帮助他们了解企业的经营和治理情况，那么内部审计出现了。

为什么要出具审计报告,哪里可以出具？

审计报告是注册会计师根据独立审计准则的要求，在实施审计工作的基础上出具的、用于对被审计单位会计报表发表审计意见的书面档案。审计报告是审计工作的最终成果，具有法定证明效力。审计报告应当包括下列基本要素：①标题。②收件人。③引言段。④范围段。⑤意见段。⑥注册会计师的签名及盖章。⑦会计师事务所的名称、地址及盖章。⑧报告日期。

公司为何要四大来做审计

四大就是全球四大会计师事务所，分别是普华永道、安永、德勤、毕马威华振四大都是以审计为主的公司。四大的审计方法，与我们一般人对审计的理解不太一样，是比较注重从理解客户的业务出发，分析客户的经营风险和内部控制流程。四大也有管理咨询和税务咨询业务。他们的很有名，有影响力

为什么需要独立审计

首先你要了解审计的概念 你提得会计为什么要独立审计 就知道你提得是内部审计 。 内部审计的设立最重要的一点就是独立性。 最好是直接挂靠在董事会下才能保证足够的独立性来进行内部审计

什么是审计程式？为什么要对审计程式作出明确规定？

一，审计程式就是按照审计法的规定，将审计不同期间采用不同的方式进行审计，并且用法定的规则统一下来就是审计程式，例如;

1，制定审计计划

2，下达审计通知书

3，进驻被审计单位实施审计

4，调查取证、了解情况

5，归集审计资料

6，拟定审计报告

6，提交审计报告

7，讨论审计报告

8，将审计报告与被审计单位见面，交换意见

9，下达审计结论

10，将审计资料归档立卷

11，存档

二，审计程式作出明确规定

1，审计计划要周全，面大起到举一反三指功效

2，下达通知要提前，让被审计单位有所准备

3，审计实施期间，不徇私舞弊，该回避的要回避

4，调查取证要谨慎，不夸张。不缩小事实

5，归集资料要分类、齐全，待出示审计结论时有足够的证据

6，拟定审计报告时要公正客观，实事求是

7，讨论报告时集思广益，力求准确无误

8，审计报告与被十家单位交谈时，充分让人家谈看法，这样下达的审计意见更有说服力

9，下达审计决定要果断，以防夜长梦多，

10，立卷归档资料齐全，目录明显，

11，存档安全可靠，严防丢失。

以上就是关于IT审计标准以及原则全部的内容，包括:IT审计标准以及原则、IT 审计应该怎么做、请教 上市公司IT审计等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！