北京时代新威信息技术有限公司

IT审计与传统审计的区别

科技的迅猛开展曾经给整个社会的经济管理活动形成了宏大影响。IT审计是在原来传统审计的财务审计和管理审计根底上，由于科学技术向经济管理范畴的浸透而产生的。但是，到目前为止，IT审计在实质上并不是独立于财务审计和管理审计的第三大审计分支，而是其中的一类审计形态，其缘由在于网络环境的复杂性、实践操作的复杂性、与传统审计的交融水平等要素都限制着IT审计的开展，本文旨经过比拟，将两者有机分离，从而进步IT审计质量，拓展IT审计技术办法在企业审计中应用的深度和广度，促进企业在审计上的革新。

一、 IT审计与传统审计在重大方面上是一致的

（一） IT审计体系与传统审计体系构造根本一致

传统审计体系在逻辑构造上具有较强的紧密性，“根本原则―详细原则―实务指南”是由笼统到详细的逻辑规则，这是会计原则、注册会计师鉴证业务原则等专业规范标准的常用构造，这使审计后续的详细工作便于寻觅相应的原则条款，为审计工作提供便利之处。IT审计所表述的“规范―指南―程序”原则框架在字面上与传统审计体系没有太大差异。其规范反响了信息系统范畴的纲要性问题，指南是规范的详细化，程序则是一些工作标准，这与传统审计体系的三个层次是逐个对应的。

（二）IT审计与传统审计在根本概念及程序上大致一致

“独立性与客观性”、“权威性与公正性”等传统审计的根本概念在IT审计中得到了很好的表现。另外，IT审计独立于信息系统自身、信息系统相关开发、运用人员，由IT审计师根据法律规则，采用客观规范独立行使审计监视权，这与审计的“独立性与客观性”完整相同。同时，国际信息系统审计和控制协会（ISACA）对实行审计制度、树立审计机关以及审计机构的位置和权利都做了明白规则，这样使审计组织具有法律的权威性，其与公正性相辅相成。

二、 IT审计详细内容方面存在两点点创新

（一） IT审计的软件测试办法与电子取证办法

审计办法贯串于整个审计过程当中，而不只是存在于某一审计阶段或某个环节。随着IT审计系统理论的丰厚与IT审计理论的开展，IT审计处置运用传统审计的办法外，还大量自创了计算机学科的一些办法为我所用。其中“软件测试办法”是IT系统审计的重要办法之一，较为经典的测试办法是黑盒测试与白盒测试。另外，某些会计数据和其他信息只能以电子方式存在，或只能在某一时点或期间得到①，在IT审计时关于这些电子数据的获取极为重要，需求确保IT审计人员开掘和搜集充足牢靠的电子证据，最终生成审计报告。

（二） 安全性审计

在传统审计中，关于被审计对象的安全问题鲜有触及，而信息的安全性问题关系到企业的生存与开展，是坚持企业安康可持续开展的重要保证。IT审计中关于安全性审计做了细致的标准。安全性审计的主要目的就是检查企业信息系统和电子数据的安全隐患。一个存在安全隐患的信息系统很难为审计人员提供真实牢靠的信息，因而安全性审计也是真实性审计的前提。

三、完善IT审计体系还应自创传统审计

（一）自创传统审计中的绩效审计，增强其理论可行性

传统审计将审计的真实性、合法性和效益性作为审计的目的。为顺应树立市场经济的需求，审计机关从2001年以前主要从事的真实、合法性审计到90年代初期，审计机关对国有企业的审计开端向检查内部控制和经济效益两方面的延伸，绩效审计的重要性逐渐凸显。②由于IT项目的功用复杂性、构造庞大性、周期延长性，使得IT绩效审计很难精确地评价如此综合性的IT项目效果，如何完善IT绩效审计在理论上的可行性是摆在我们面前的一项重要任务。

IT绩效审计应充沛自创传统绩效审计中的经济性、效果性、效率性特征，盘绕这“三性”停止展开。在“经济性”上，为了以最低的资源消耗取得一定数量和质量的产出，能够经过多方面的改进进步其节约水平。如美国Gartner Group Inc公司研发的ERP系统，其自动化水平很好，从而进步了IT绩效审计的科学性与可行性，防止不用要的开支。在“效果性”上，力图在IT项目上完成绩效监控动态化，为企业提供丰厚的管理信息，并在企业管理和决策过程中发挥作用，动态监控管理绩效变化，及时反应和纠正呈现的问题。在“效率性”上，进步企业物流、资金流、信息流一体化管理的效率并且要擅长管理信息系统，对信息系统应用价值的完成是IT绩效审计的最重要方面。

（二）自创传统审计的风险管理，发挥其限制性作用

《企业内部控制根本标准》把“应当关注研讨开发、技术投入、信息技术运用等自主创新要素”列为企业辨认内部风险时应当关注的六个要素之一。③随同IT而来的风险、利益和时机使得IT风险管理成为企业管理的重要内容，也是IT审计中应该完善的局部。

自创传统审计关于企业风险管理中风险评价、控制与防备的流程，分离IT风险管理的环境特殊性，程序复杂性和数据多样性等特性，对IT审计中的风险管理应依照“辨认信息资产―要挟的量化和定性―评价破绽―改良控制差距―管理剩余风险”的流程停止。首先，辨认组织业务职能并肯定每个流程的信息敏感度。然后辨认流程的每一个组成局部的现有控制措施，按重大水平将控制差距分类。最后，经过风险等级、本钱和有效性的选择，创立风险基准线，以便日后定期重新评价风险所用。

四、总结

经过对IT审计与传统审计的比拟研讨，我们发现：在根本内容、程序和体系构造等方面，传统审计与IT审计是谐和的。在IT审计的软件测试办法与电子取证办法上，较传统审计来说更方便且具有先进性。

公司简介

时代新威有十多年的IT审计与信息安全管理咨询经验，是唯一一家获得国内两大权威认证机构颁发的IT审计资质的企业，且是多个信息安全权威组织的专家委员，拥有信息安全领域最专业的培训认证资质，以提供专业网络安全咨询和IT审计服务、网络安全和IT审计工具研发、网络安全和审计教育培训为使命，为使客户的IT基础设施和应用系统有效支撑其业务发展提供保障和推动力量。

“十年磨一剑”， 时代新威® 在金融、能源、电信等关键信息基础设施领域形成了网络安全咨询与审计服务、培训和工具“一剑三刃”的拳头产品，在网络安全等级保护、网络安全风险评估、ISMS/ITSMS/BCMS建设和认证、关键信息基础设施保护、网络安全标准化、信息系统审计服务及信息系统审计人员和机构资质认证等领域经验丰富、成果显著，赢得了客户信任和政策部门支持。