微信
手机学习
智选
报班
  • 客服热线: 4008-000-428

考虑IT的逻辑原因

发布时间:2019年06月05日| 作者:佚名| 来源:ISACA| 点击数: |字体:    |    默认    |   
在内部和外部审计中考虑IT的需要似乎直观明显。绝大多数人都沉浸在IT - 从智能手机到复杂的电视/媒体系统再到工作技术,这一事实强调了这一点。然而,实体或个人不时仍未完全考虑高级管理层需要持续评估IT的原因,并由内部和外部审计师 该内容由中审 网 校所属www . a uditc n. com进行审查。
IT的普遍性
大多数(如果不是全部)都会同意IT已经变得普遍,包括会计和财务职能以及财务报告。与这种普遍性相关的一些影响和需求包括:
  • IT24/7要求
  • 需要尽早发现错误
  • 更自动化的控制,更少的手动控制
  • 多种技术的复杂性 - 整合
  • 电子工作流程
  • 无纸化交易(例如,电子数据交换[EDI]
  • 超越实体的网络
复杂性问题特别严重。审计师 该内容由中审 网 校所属www . a uditc n. com需要分解和理解复杂性,以有效地执行更大的审计领域(例如,注册会计师[CPA]的财务审计)。但是,复杂IT的本质使得这个过程变得困难因此,信息系统审计员需要终身学习和不断的继续教育。
另一个尖锐问题是电子工作流程和无纸化系统的增加。如果加油站的客户抽出自己的气体并对收据选项说,审计师 该内容由中审 网 校所属www . a uditc n. com如何审核该类交易?除了使用IT工具的IS审计师 该内容由中审 网 校所属www . a uditc n. com(例如,计算机辅助审计工具[CAAT])之外,还需要有人打印数据进行检查,并且数据仍然存在固有的缺乏信心。
为了解决其他问题,实体通过客户关系管理(CRM)工具欢迎客户加入他们的网络,通过供应链工具欢迎他们的供应商,并增加与系统和财务数据相关的风险。
所提出的观点不仅仅是IT的普遍性,这是一个明显的结论,而是与业务和审计相关的IT相关风险的增加。因此,需要信息系统审计师 该内容由中审 网 校所属www . a uditc n. com及其知识,技能和能力来评估风险,解决风险并制定适当的风险缓解控制措施。
IT的重要性
IT通常对业务或实体至关重要。简单的例子包括eBay.comAmazon.com,但传统的实体公司有时也非常依赖IT。沃尔玛和航空业是两个明显的例子。有一长串实体发现IT对其产品或服务至关重要。
因此,对于这些实体,了解IT及其与业务流程的关系以获得对实体的充分理解非常重要。例如,这对于注册会计师进行第一年审计尤为重要。
对于实体,IT可以影响以下任何内容以及此列表中没有的其他内容:
  • 商业模式
  • 目标,目标和计划
  • 竞争力
  • 经营风险
  • 交易流程
  • 数据流
  • 整个业务流程流
  • 交易报告
  • 会计和财务报告风险
例如,在将COBIT应用于组织时,将考虑先前列表中的大多数(如果不是全部)项目。也就是说,如果没有大量的努力以及可能的一些研究或对IT的认真评估,他们中的许多人不会很容易评估和/或充分理解。而且,由于其重要性,IT可能会增加与这些项目相关的各种业务风险因素。
IT的含义:黑暗面
分析风险影响的一种方法是考虑IT通用控制(ITGC)的各个方面。虽然ITGC有多种分类法,但以下内容将用于说明风险,但并非旨在进行详尽的分析。
IT环境
IT环境基本上被组织定义为对IT功能的有效监督和管理。这种疏忽包括:
  • 管理IT问题和问题服务台
  • 监控使用情况和问题
  • IT人员的能力
  • 继续培训IT人员
  • 适用于主要IT项目的合理项目管理实践
  • 有效的IT治理
  • 适当的IT职员/部门职责分工(SoD
  • 有效的政策和程序(PP)与实体的PP相结合
  • IT的有效使用或投资回报(ROI
  • 有效整合IT与组织的规划和组织
一些更常见的缺陷包括:
  • 缺乏关键IT决策的独立性
  • 董事会缺乏主题专家(SME)(BoD
  • 一个或多个ITGC领域管理不善
组织的一个常见错误是将所有IT决策的决策权交给首席信息官(CIO)或IT主管。该结构不是管理IT功能的最有效方式。实际上,健全的IT治理将表明,BoDIT指导委员会都会监督诸如有关IT的资本预算决策之类的事情。
对组织的一个共同监督是在BoD上存在中小企业。也许缺乏可用的中小企业至少占了一些缺席。但是,如果没有一个或多个中小企业参与规划和决策,很难实施合理的IT治理。
管理IT功能对任何管理团队来说都是一项艰巨的任务。IT不断变化。竞争对手找到了利用IT获取优势的新方法。IT越来越复杂,因此难以理解。但是,健康的组织找到了一种在大多数情况下管理大部分IT的方法。
变更控制
变更控制应该在每次财务审计和许多内部审计中进行评估。变更控制的范围根据自定义编程(包括中间件)和组织IT的复杂性等事实在不同组织中有所不同。
一些常见的缺陷包括:
  • 缺乏对编码访问的控制
  • 对程序变更缺乏控制
  • 替换或升级IT的决策无效
最后一个问题是所有组织都可以使用的问题,无论规模大小。实际上,较小的实体可能更倾向于放弃变革管理的正式流程,甚至有时仅仅因为较小的实体不太可能拥有丰富的IT知识而基于糟糕的决策制定变更。
应用程序开发(AppDev
一般来说,AppDev是变更管理的一部分,但它是一个特例。某些应用程序会在应用程序中自动进行重要计 如果应用程序是内部定制开发的,那么这样做特别危险且危险。
例如,销售成本(COGS)由应用程序计算作为销售交易过账的一部分是相当普遍的。如果COGS是一个重要账户,而且通常是,那么实体应该小心确保它对该计算有一个有效的保证水平。
有一个例子,实用程序编写了自己的代码,并在if-then-else语句中出现了一个简单的错误。少于1,000个单位的费率为x.xx /单位。对于1,000-5,000个单位,该价格在该范围内的平均美元yy.yy加上美元z.zz /单位。在if-then-else之前设置为零的变量对于少于1,000个单位的变量保持为零(注意没有客户抱怨)。这导致了3700万美元的低收入。实体应该特别注意材料自动计算。
逻辑访问控制
逻辑访问控制是应在每次财务审计和许多内部审计中评估的另一个领域。前面的讨论提到了IT的普遍性和扩展以及系统的性质,导致需要有效的逻辑访问控制变得至关重要。
一些常见的缺陷包括:
  • 对财务应用程序的访问控制较弱
  • 未能在访问控制中使用最少权限的有效SoD
  • 提升的权限不会恢复正常
  • 凭据保持活动状态的已终止用户
因此,访问控制代表了相当强大的风险区域。由于系统和网络的复杂性以及这些系统的广泛性,通常需要IS审计师 该内容由中审 网 校所属www . a uditc n. com来评估大多数组织中的访问控制。
第三方提供商
越来越多的组织专注于实体外包给他们的服务。除此之外,云服务也是第三方提供商的增长,并且外包业务流程或功能的数量也在增加。这会增加整个业务流程流的风险。该实体如何合理保证第三方提供商已实施适当的控制?如果这个过程是内部的,那些控制会更好吗?重点是风险的增加和IT的存在。
业务连续性计划和灾难恢复计划
在业务连续性计划(BCP)和灾难恢复计划(DRP)方面,风险在灾难方面有所增加。随着云计算和系统复杂性的增加,系统故障可能会影响计算机操作。因此,风险涉及导致这种故障并且能够适当地恢复计算机操作。到目前为止讨论的底线是,IT的许多方面代表了具有相对较高评估的固有风险(IR)。IR通常独立于传统风险因素,例如与重大错报风险相关的风险因素。
IT的含义:力量与你同在
IT入侵有一个光明的一面。这是一把双刃剑:它能够对实体造成伤害,但也能够保护实体。
以下是IT的一些有益用途的简短列表:
  • 有可能确定审计程序的效率
  • 依赖有效的自动化控制的潜力
  • 利用CAAT在更昂贵的手动程序上执行IT实质性程序的潜力
  • 数据分析在有效决策和管理中的强大功能
  • 识别管理有益反馈的能力(例如,增值管理评论)
IS审计师 该内容由中审 网 校所属www . a uditc n. com不仅可以分析财务数据,还可以分析非财务数据。IS审计师 该内容由中审 网 校所属www . a uditc n. com可以通过检查正确的数据类型来推断控制的操作有效性,甚至控制的存在。通常,IT实质性测试总体上比手动实质性测试更便宜。
结论
            不可否认,IT方面存在许多挑战。本文的大部分内容都集中在当前环境中与IT相关的风险增加。对于新/新兴系统和现有系统,IT的快速变化(包括IT的复杂性)提升了这些挑战。一个关键点是需要识别,评估和减轻与IT相关的IR的存在。
            但首先,通过能够评估和降低风险,充分准备的信息系统审计师 该内容由中审 网 校所属www . a uditc n. com可以成为任何组织的巨大资产。其次,同一个IS审计员还可以利用IT为组织提供效率和有效性,例如,在业务实体中使用数据分析或在审计中使用CAAT。最后,在可预见的未来,环境不太可能发生变化因此,对于信息系统审计师 该内容由中审 网 校所属www . a uditc n. com来说,无论是否承认,都需要很长一段时间。
热销商品推荐
学员心声