信息化发展34

IT 审计目的

1 、IT 审计的目的是指通过开展IT 审计工作， 了解组织IT 系统与IT 活动的总体状况， 对组织是否实现口目标进行审查和评价， 充分识别与评估相关口风险，提出评价意见及改进建议， 促进组织实现IT 目标。
2 、组织的IT 目标主要包括：

1. 组织的IT 战略应与业务战略保持一致；
   2 ）保护信息资产的安全及数据的完整、可靠、有效；
   3 ） 提高信息系统的安全性、可靠性及有效性；
   4 ） 合理保证信息系统及其运用符合有关法律、法规及标准等的要求。

IT 审计范围和IT 审计人员

1 、IT 审计范围的确定， 如下表所示。

2 、审计人员在实施口审计项目前， 应先对组织与信息系统相关的总体情况进行了解和风险评估， 确定主要口风险， 如与环境控制相关的风险、与系统相关的风险、与数据相关的风险等， 然后根据确定的风险来判断哪些控制、流程对组织的影响比较大， 并结合审计项目预计的时间、配备的审计力量等来确定重点审计范围。
3 、根据GB/T 34690. 4 《信息技术服务治理第4 部分： 审计导则》， 对IT 审计人员的要求包括职业道德、知识、技能、资格与经验、专业胜任能力及利用外部专家服务等方面。

IT 审计风险主要包括固有风险、控制风险、检查风险和总体审计风险。


总体审计风险是指针对单个控制目标所产生的各类审计风险总和。良好的审计计划应尽可能评估和控制审计风险， 减少或控制所检查领域的审计风险， 比如采取合适的审计工具， 在完成审计时把总体审计风险控制在足够低的水平之内，以达到预期保证水平。
审计风险也用于描述审计人员在执行审计任务时可接受的风险水平。审计人员可通过设定目标风险水平并调整审计工作量， 以合适的审计成本满足最小化总体审计风险要求。