IT审计知识总结.pdf

IT审计知识总结

IT审计的出处源自60年代IBM出版的《AuditencountersElectronicData

Processing》等有关在EDI环境下进行审核和组织的论述。不久后有关该方面的研究结果不

断涌现，IT审计的雏形初步形成。但是由于信息系统在社会上尚未得到较为广泛的应用，

因此IT审计并未在社会上形成意识。

七十年代中后期到八十年代初由于计算机在发达国家的企业初步普及，利用计算机犯罪

和计算机系统失效的事件频频出现，使得IT审计日益得到社会重视，美国、日本先后成立

了IT审计方面的协会组织。从事对IT审计规则的制定和实施指导。值得注意的是1985年

日本政府出台了《IT审计标准》并根据美国劳工部的《SkillStart》和NorthwestCenter

forEmergingTechnologies（NCET）对IT信息人员的从业技能的要求制订了IT审计师（系

统统监查员）监查员）的的技能技能标准并标准并以之作以之作为为新新的的审计审计师（师（系统系统监查员）监查员）级考试的参考标准。

九十年代是IT审计的普及期，这主要归功于互联网的普及。互联网的普及是利用计算

机犯罪的人员温床，此外日益严重的软件项目失败问题引发了是否要对信息系统的投资和开

发进行审计的深思。IT审计得到了前所未有的重视。

IT审计知识概括如下

一、什么是IT审计

IT审计就是信息系统审计，也称IT监查，是独立于信息系统本身、信息系统相关开发、

使用人员的第三方。IT审计师采用客观的标准对信息系统的策划、开发、使用维护等相关

活动和产物进行完整地、有效地检查和评估。

二、IT审计的对象和范围

IT审计涉及整个信息系统的生命周期，IT审计不是单纯强调对软硬件的审计。它的审

计对象涵盖整个信息系统所有活动和中间产物，并包括信息系统实施相关的外部环境。一般

来说，对企业实施IT审计的对象有：本企业内的IT审计师、外部IT审计事务所委托审计

师和国家审计机构。IT审计按照信息系统的生命周期分为业务计划审计，业务开发审计、

业务执行审计和业务维护审计以及涵盖整个信息系统周期的共通业务审计。

1）业务计划审计主要面向信息系统的企划，对信息系统的投资可行性，系统规划与公

司战略的相关性，系统开发计划的可行性以及系统需求的完整性和正确性进行审核和验证。

2）业务开发审计对信息系统开发的各个阶段的相关人员的活动、信息、中间产物进行

审核，确认这些活动、信息和中间产物的规范性、有效性和对于信息系统目标的针对性。

3）业务执行审计确认与信息系统运行相关的数据、软硬件、安装环境等是否符合信息

系统的运营要求，同时对信息系统的功能、性能、易用度、可操作性等进行评估。

4）业务维护审计对信息系统的维护活动和维护结果实施审核和评价。发现在维护中可

能出现的各种漏洞和信息系统维护中急待改善的问题。

5）共通业务审计涉及文档管理、进度管理、人员管理、采购管理、风险管理等，检查

这些过程的规范性和有效性，并提出改良建议。

三、IT审计计划

IT审计的实施需要制定相应的计划，明确IT审计的任务、采用的方法和预期应当达到

的效果。该计划在提交经营层确认后得以实施。

IT审计的审计计划分为两种类型：基本计划和详细计划（又称分期计划）。

1）基本计划是一个审计年度内相关IT审计活动的计划，确认年度内IT审计的各项任

务及其大致时间安排。基本计划需要提交经营层批准。它是对整个IT审计年度的活动指引

方针。内容包括：审计对象、审计场所、审计原则、日程安排等。

2）详细计划（分期计划）针对具体项目（系统）或任务，得到IT审计部门领导的许可

即可，详细计划需要告知被审计对象。详细计划的内容包括：审计对象、目的、审计流程、

审计要点、审计时间、相关人员、审计报告提交事项等内容。

四、IT审计的任务

IT审计的任务在于站在客观公正的角度上，收集审计信息，生成审计报告，通过审计

报告促成信息系统生命周期活动和成果物的改善。

五、IT审计制度的建立需要注意三点

作为企业，建立一个完善的IT审