首页。 / 资源 / 新闻及趋势 / 澳门赌场官方软件 / 2023 / 进行远程IT审计的关键考虑因素

进行远程IT审计的关键考虑因素

桑德拉Kuyengwa
作者: 桑德拉Kuyengwa, CISA, CRISC, CDPSE
发表日期: 2023年1月17日

IT不断发展的本质继续为IT审计行业提供机遇和挑战. 而远程审计并不是什么新鲜事物, 2019冠状病毒病大流行以及由此产生的保持社交距离的需求迅速推动了远程和混合审计的采用. 这些方法的主要好处包括由于费用减少而降低成本(例如.g., 旅行, 住宿), 能够利用具有不同技能的全球团队, 以及审计业务的时间和资源灵活性. 另一方面, 还有一些挑战, 包括增加的隐私和安全风险, 在哪些发现被认为是准确的方面存在复杂性和细微差别, 远程提供的完整证据以及证据收集的局限性.

确保在进行IT审核时实现最大的利益, 有几个因素需要考虑,包括IT审计的复杂性, 行业最佳实践和每个任务的审计目标.

持续评估风险

应该充分评估与执行远程IT审计相关的风险,以便在审计开始之前确定可行性,并在整个审计周期中不断进行审查,以确保满足关键的成功因素. 风险缓解战略为最佳审计方法提供信息,并允许根据范围的任何变化进行调整, 业务流程, 审计的时间等. 来自先前审核的反馈也可以用来确保改进点能够被纳入.

评估被审计单位的资源

成功的远程审计利用了视频会议软件等技术, 智能设备, 无人机和网络连接. 需要考虑的关键是审核员和被审核方之间技术平台的兼容性以及任何可能的限制,如加密, 虚拟专用网(vpn)和文件传输限制.

审核员遇到的常见陷阱包括:

  • 组织的政策限制,禁止审核员或被审核方安装未经对方组织授权的软件
  • 无法解密审核员和被审核员之间共享的信息
  • 无法在遗留IT平台或应用程序上拥有屏幕共享功能
  • 由于IT系统托管在第三方平台上,对IT环境审计元素的访问受限

克服上面的陷阱, 考虑到可能影响审计成功完成的所有可能情况,为审计做好充分准备是很重要的. 在预算允许的情况下, 对被审核方的IT环境和流程进行审计前检查,将提供潜在挑战的指示,并可以指示被审核方对审计的准备情况. 另一种方法是分阶段规划审计工作,确保在进入下一阶段审计工作之前,能够解决初步评估中发现的挑战,并及时对审计方法进行任何调整.

充分准备:范围、时间和成本

充分的计划是理解实现审计目标所需的总工作量和远程执行IT审计的可行性的关键. 的程度, 审计的复杂性和深度影响拟议的时间表, 哪些因素可以推动调整审计策略的决策. 由于技能要求是一个因素,范围和时间线会影响团队组成. 如果团队成员在多个地点,则需要考虑时差. 虽然旅行费用和开支可能会减少, 支持远程工作的技术的许可费用和培训要求也会产生成本. 计划是确保在整个审计周期中充分评估和优化效益的关键.

充分的计划是理解实现审计目标所需的总工作量和远程执行IT审计的可行性的关键.

考虑证据要求

进行质量审核, 必须获得充分和适当的证据才能得出合理的结论. 远程审计带来了更高的篡改证据的风险. 获取截图等方法, 在虚拟演练和测试期间的系统摘录或记录可以为信息的完整性和准确性提供一些保证. 然而, 在某些情况下,被审计方需要在较长时间内运行脚本或报告, 在这种情况下,审核员不能持续观察它们. 这引起了对所提供证据的准确性和完整性的质疑.

注册会计师在评估这些证据时必须持专业怀疑态度,并应对不完整和/或不准确的风险. 在收集证据时,注册会计师需要考虑:

  • 证据的传递方式和传输过程中的安全
  • 被审核方可能延迟提供证据
  • 当证据产生时无法观察时,实施适当的控制
  • 使用自动证据收集工具以减少操纵风险的可能性
  • 证据使用后的保留和销毁
  • 潜在的隐私和机密侵犯

评估IT审计期间的沟通需求

传统的/现场审核允许与被审核方进行快速的临时会议,以验证或澄清信息. 它还允许审核员在与被审核员互动时注意肢体语言和反应. 对于远程审计,这可能是不可能的,也不及时. 审核员需要预测这些挑战并清楚地表达需求,同时还需要利用虚拟演练和测试会话.

在IT审计期间进行的通信可以提高通信的质量,并允许建立关系. 这对于避免被审核方的反对是必要的, 如果在整个审计过程中经常中断或长时间没有沟通,会导致什么结果. 解决沟通问题, 被审核方需要提供关于进度的定期反馈, 延迟和其他更新. 提前提出审计要求也有助于被审核方准备信息,并确保信息由合适的人提供.

地址组队注意事项

执行远程IT审计需要被审核者具备评估审计领域的适当技能. 它要求在审计期间及时审查并与各种利益相关者进行接触. 由于远程工作,可能很难确定团队可能面临的任何问题, 因此, 有必要确定并商定最佳战略,以确保及时发现挑战和延误,并实施解决办法.

被审核方还应确保根据拟提供的信息确定最佳联系人, 责任, 在安排的审计时间内提供协助的能力和可用性.

结论

执行成功的远程IT审计没有放之四海而皆准的方法. 在评估最佳方法时必须小心,平衡收益和遵从性需求. 越来越多的组织选择混合或完全远程审计, 在利用这个机会为组织增加更多价值的同时,需要不断地适应和创新.

编者按

想了解更多作者对这个话题的看法,请收听“进行远程IT审计的关键考虑因素ISACA的一集® 播客.

桑德拉Kuyengwa, CISA, CRISC, CDPSE

IT审计助理经理是否在英国有超过6年的经验,在包括金融在内的各个行业提供和领导复杂的技术风险评估, 矿业, 制造业和电信业. 可以联系到她 http://www.linkedin.com/in/sandra-kuyengwa-26bb3823/.