审计的对象是“信息系统”,但这一个词涵盖了技术、人员和流程。高级审计师在制定审计方案时,必须能够系统性地分解审计内容。
1.IT治理与管理
对象:组织的IT战略、政策、组织架构、风险管理框架。
内容:审查IT战略是否支撑业务战略;IT决策机制是否有效;IT风险是否被充分识别和管理;IT资源(人、财、物)配置是否合理。
2.IT基础设施与操作
对象:硬件(服务器、网络设备)、系统软件、数据中心物理环境。
内容:
物理安全控制:机房准入、环境监控(温湿度、消防)。
逻辑访问控制:身份认证(如多因素认证)、授权管理、特权账户(如管理员权限)的监控。
网络安全:防火墙配置、入侵检测/防御系统的有效性。
运行管理:备份与恢复策略(审查备份日志、恢复演练报告)、灾难恢复计划和业务连续性计划的完备性和可操作性。
3.系统开发、采购与变更控制
对象:处于开发、测试或变更过程中的应用程序和系统。
内容:
系统开发/采购:审查项目立项、需求分析、招投标过程是否规范;系统上线前是否经过充分测试。
变更管理:审查变更流程(申请、审批、测试、部署)是否受控,是否存在未经授权的变更。这是防止舞弊和错误的关键控制点。
4.业务应用系统控制
对象:具体的业务软件(如ERP、财务软件、CRM系统)。
内容:审查嵌入在应用系统中,用以保证业务数据准确完整的控制措施。
输入控制:数据的合法性、完整性检查(如:必填项、数据类型匹配)。
处理控制:数据计算、对账、过账的准确性(如:批处理总额控制)。
输出控制:报告的准确性、完整性以及分发的保密性。
5.数据管理与安全
对象:数据库、数据仓库、数据文件。
内容:数据库访问权限(DBA权限分离);数据加密(存储和传输中);数据完整性;敏感数据(特别是个人隐私信息)的防泄露措施。
【高级审计师考点关注】
(组织协调能力)面对如此广泛的对象,高级审计师的首要任务是组织和安排。你需要根据风险评估结果,判断本次审计的重点范围。例如,是重点审计“IT一般控制”,还是深入审计某个特定“应用控制”?
(发现问题能力)案例中可能会描述一个现象(如:财务数据频繁出错),你需要分析这可能源于哪个对象的内容出了问题?(是“变更管理”失控,还是“应用控制”的“处理控制”设计缺陷?)
