跳到主要内容

3.2.2 审计方法与技术

摘要

略。

1. IT审计依据与准则

IT审计活动的开展需要结合相关法律法规、准则与标准。国际上发布的常用审计准则有:

  • 信息系统审计准则(ISACA,国际信息系统审计协会发布)
  • 《内部控制一整体框架》报告,即通称的COSO(The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting,美国虚假财务报告委员会下属的发起人委员会)报告。
  • 《萨班斯法案》(Sarbanes-Oxley Act,SOX)。SOX是美国政府出台的一部涉及会计职业监管、组织治理、证券市场监管等方面改革的重要法律。
  • 信息及相关技术控制目标(Control Objectives for Information and related Technology, COBIT)是目前国际上通用的信息及相关技术控制规范。

我国的IT审计相关法律法规、准则与标准如表3-7所示。

表3-7 IT审计相关法律法规、准则与标准(举例)

表3-1

2. IT审计常用方法

IT审计方法就是为了完成IT审计任务所采取的手段。在IT审计工作中,要完成每一项审计工作,都应选择合适的审计方法。常用审计方法包括:访谈法、调查法、检查法、观察法、测试法和程序代码检查法等,如表3-8所示。

表3-8 IT审计常用方法表(举例)

表3-8

3. IT审计技术

常用的IT审计技术包括风险评估技术、审计抽样技术、计算机辅助审计技术及大数据审计技术。

1) 风险评估技术

IT风险评估技术一般包括:

  • 风险识别技术:用以识别可能影响一个或多个目标的不确定性,包括德尔菲法、头脑风暴法、检查表法、SWOT技术及图解技术等。
  • 风险分析技术:是对风险影响和后果进行评价和估量,包括定性分析和定量分析。
  • 风险评价技术:是在风险分析的基础上,通过相应的指标体系和评价标准,对风险程度进行划分,以揭示影响成败的关键风险因素,包括单因素风险评价和总体风险评价。
  • 风险应对技术:IT技术体系中为特定风险制定的应对技术方案,包括云计算、冗余链路、冗余资源、系统弹性伸缩、两地三中心灾备、业务熔断限流等。

2) 审计抽样技术

审计抽样是指审计人员在实施审计程序时,从审计对象总体中选取一定数量的样本进行测试,并根据测试结果,推断审计对象总体特征的一种方法。审计抽样适用于时间及成本都不允许对既定总体中的所有交易或事件进行全面审计时。“总体”是指需要检查的全部事项,“样本”是用于测试总体的子集。审计抽样的方法如表3-9所示。

表3-9 审计抽样方法分类表

表3-9

3) 计算机辅助审计技术

计算机辅助审计(Computer Assisted Audit Tools,CAAT),也称为利用计算机审计,是指审计人员在审计过程和审计管理活动中,以计算机为工具来执行和完成某些审计程序和任务的一种新兴审计技术。它并非电算化系统审计特有的一种方法,对手工系统的审计也可应用这些技术。

计算机辅助审计技术是审计人员在这种环境下收集信息的重要工具。由于系统有不同的硬件和软件环境、数据结构、记录格式或处理功能,如果没有软件工具来收集和分析记录内容,审计人员收集证据几乎是不可能的。CAAT也使得审计人员可以独立地收集信息,CAAT为针对既定的审计目标访问和分析数据提供了一种方法,并以系统记录的可靠性为重点报告审计发现。源信息可靠性是审计发现的保证基础。CAAT包括多种工具和技术,如通用审计软件(GAS)、测试数据、实用工具软件、专家系统等。

4) 大数据审计技术

大数据审计是指遵循大数据理念,运用大数据技术方法和工具,利用数量巨大、来源分散、格式多样的数据,开展跨层级、跨系统、跨部门和跨业务等的深入挖掘与分析,提升审计发现问题、评价判断、宏观分析的能力。大数据审计技术包括大数据智能分析技术、大数据可视化分析技术及大数据多数据源综合分析技术等,如表3-10所示。

表3-10 大数据审计技术(举例)

表3-10

4. IT审计证据

审计证据是指由审计机构和审计人员获取,用于确定所审计实体或数据是否遵循既定标准或目标,形成审计结论的证明材料。审计证据是审计意见的支柱,是审计人员形成审计结论的基础。审计人员必须基于足够、相关和适当的审计证据,为其审计观点提供合理的结论。审计证据还可以被作为解除或追究被审计人经济责住的依据,并且审计证据还是控制审计工作质量的关键。

审计证据的特性是指审计证据内在性质和特征,具体体现为审计人员围绕这些性质和特征收集审计证据时应达到的基本要求。对审计证据的属性,在国际上有不同的描述。审计证据的特性如表3-11所示。

表3-11 审计证据的特性

表3-11

电子证据是信息环境下经常使用的一种证据类型。电子证据是指以电子的、数据的、磁性的或类似性能的相关技术形式存在并能够证明事件事实真实情况的一切材料。刑事诉讼法中指出电子证据无论是形式还是证据规则都与传统证据有很大区别,高要求的技术规范,贯穿于电子证据的收集、提取、保存到出示、审查、判断、认证的各个环节。因此,通过司法解释缓解司法实践中的矛盾仅仅是权宜之计,彻底解决电子证据法律定位问题还是要从立法上予以突破,即应通过修改诉讼法或出台证据法典来明确电子证据的法律地位,赋予电子证据独立的法律地位,以电子证据取代视听资料的证据地位。

为了使收集到的分散、个别、不系统审计证据变成充分、适当、具有证明力证据,审计人员必须按照一定的方法对审计证据进行分类整理与分析,使之条理化、系统化,然后对各种审计证据进行合理归纳,并在此基础上形成恰当的整体审计结论。审计证据评价应考虑的因素包括证据提供者的独立性、提供信息/证据的个人资质、证据的客观性、证据的时效性、与审计目标的相关性、审计证据的说服力及审计证据的充分性。此外,在审计过程中还必须考虑取得审计证据的经济性,必须考虑成本效益原则,合理把握审计证据的充分性。

5. IT审计底稿

审计工作底稿是指审计人员对制订的审计计划,实施的审计程序、获取的相关审计证据,以及得出的审计结论做出的记录。审计工作底稿是审计证据的载体,是审计人员在审计过程中形成的审计工作记录和获取的资料。它形成于审计过程,也反映整个审计过程。审计底稿的作用表现在:

  • 是形成审计结论、发表审计意见的直接依据;
  • 是评价考核审计人员的主要依据;
  • 是审计质量控制与监督的基础;
  • 对未来审计业务具有参考备查作用。

审计工作底稿一般分为综合类工作底稿、业务类工作底稿和备查类工作底稿,具体如表3-12所示。

表3-12审计工作底稿分类

表3-12

审计工作底稿作为审计人员在整个审计过程中形成的审计工作记录资料,在编制上应满足内容和形式两方面的要求:

  • 内容要求包括资料翔实、重点突出、繁简得当、结论明确;
  • 形式要求包括要素齐全、格式规范、标识一致、记录清晰。

通常,根据审计机构的组织规模和业务范围,可以实行对审计工作底稿的三级复核制度。审计工作底稿三级复核制度是指以审计机构负责人、部门负责人和项目负责人(或项目经理)为复核人,依照规定的程序和要点对审计工作底稿进行逐级复核的制度。三级复核制度目前已成为较为普遍采用的形式,对于提高审计工作质量、加强质量控制起了重要的作用。

为了维护被审计单位及相关单位的利益,审计机构对审计工作底稿中涉及的商业秘密保密,建立健全审计工作底稿保密制度。但由于下列两种情况需要查阅审计工作底稿的,不属于泄密情形:

  • 法院、检察院及国家其他部门依法查阅,并按规定办理了必要手续;
  • 审计协会或其委派单位对审计机构执业情况进行检查。

审计工作底稿按照一定的标准归入审计档案后,应交由档案管理部门进行管理,并确保审计档案的安全、完整。