IT审计是对公司IT系统、基础设施和运营进行独立评估的过程。其目标是确保系统有效保护资产,维护会计数据的完整性和可靠性,按照既定程序运行,并符合业务目标。在数字化经济时代,所有交易和会计记录均以电子方式进行,IT审计成为至关重要的基础,增强了利益相关者对财务报表准确性和透明度的信心。
实际应用 2015年会计法关于电子交易和信息安全的法规要求组织机构拥有健全的IT控制系统。薄弱的控制措施会导致数据不准确、资产损失和税务风险。IT审计已成为评估这些控制措施设计和运行有效性的强制性要求。这项工作有助于组织机构管理风险,并确保数字化环境中交易和会计数据的准确性。
IT审计:定义、性质和关键作用
IT审计是一个独立的专业领域,旨在评估与IT相关的内部控制系统的有效性和完整性,确保安全性、完整性和合规性。与传统的财务审计不同,IT审计深入考察数字基础设施、软件应用、数据库和事件管理流程。在数字化转型和电子税务的背景下,这类审计有助于企业确保数据准确性、降低法律风险、保护数字资产并提高内部治理效率。
IT审计的官方定义和核心概念。
IT审计是一个独立的专业领域,专注于评估内部IT相关控制系统的充分性、适当性和有效性。其目标是确保这些系统能够支持组织实现其安全性、完整性、可用性和合规性目标。
审计人员将审查从会计软件应用、数据库和网络到事件和变更管理流程等方方面面。与传统的财务报表审计不同,IT审计深入到经济交易发生和处理的数字基础架构。
跨学科性质:会计、审计和技术的交叉领域。
在现代环境下,会计系统和IT系统之间的界限几乎已经模糊不清。电子文档、电子发票和在线审批流程构建了一个完全数字化的数据链。因此,财务报表的准确性直接取决于通用IT控制(GITC)和应用控制的有效性。IT审计正是评估这种紧密联系的桥梁。
IT审计评估系统是否符合2015年《会计法》第17条关于会计凭证(尤其是电子凭证)编制的规定。IT审计人员将检查数据存储控制(确保数据免遭篡改和丢失)、访问控制(确保只有授权人员才能记录交易)以及备份/恢复控制。IT审计结果为财务报表审计人员就财务报表的公允性和准确性发表意见提供了重要依据。
在电子税务合规的背景下,数字化转型和电子税务合规的重要性。
在数字化转型的大背景下,IT审计的重要性日益凸显,数据被视为战略资产。电子税务交易和电子发票的使用便是例证。 第123/2020/ND-CP号法令 78/2021/TT-BTC号通函和78/2021/TT-BTC号通函均基于IT平台。系统故障或错误可能导致大范围失误,进而引发严重的法律和税务后果。
因此,IT审计不仅确保这些系统正常运行,还能保证税务和会计文件的真实性、合法性和可追溯性。通过IT审计提升自动化流程的可靠性,有助于企业最大限度地降低因税务违规而受到处罚的风险。对于上市公司而言,IT审计带来的透明度和数据安全也有助于改善公司治理。
IT审计的目标和详细范围。
IT审计对IT系统进行全面评估,涵盖基础设施、应用程序、数据和运营等各个方面,旨在保障财务信息的安全性、完整性和可用性。IT审计的目标是确保效率、合规性和数据可靠性,重点关注一般控制、应用程序控制、变更管理、数据备份和安全性。
这项活动对于降低出错和欺诈的风险,确保财务报告准确反映实际情况至关重要,尤其是在数字化转型和电子会计的背景下。
核心目标:保护、保障和合规(中央情报局三要素及其他)
IT 审计的目标通常从三个基本控制目标(CIA 三元组):保密性、完整性和可用性扩展到与业务流程和治理相关的目标。
- 保密性:确保信息只能由授权人员或系统访问。在会计领域,对于工资、费用或客户数据等敏感信息而言,保密性至关重要。
- 完整性:确保数据在其整个生命周期内准确、完整和可靠。这直接影响财务报表的可靠性。
- 可用性:确保合法用户在需要时能够访问系统和数据。系统中断可能造成重大经济损失。
- 有效性:评估信息技术系统是否有效支持业务和会计目标。
- 合规性:核实是否遵守内部和外部法规,包括税务、会计和安全法律。合规性是所有IT审计的重点。
确保会计数据的完整性和可靠性。
数据完整性是会计和审计的关键要素。IT审计侧重于检查确保财务数据完整性、准确性和及时性的控制措施。例如,它会检查输入控制,如顺序检查,以确保没有遗漏或重复的交易。
审计人员将检查处理控制,以确保系统正确执行会计计算和业务逻辑。这对于折旧计算、存货估价(先进先出法/加权平均法)或增值税计算等复杂交易尤为重要。IT审计人员对数据完整性的保证是最大限度减少财务报表实质性测试范围的基础。
详细审计范围(基础设施、应用程序、数据、运营)
IT审计的范围非常广泛,涵盖IT系统的每个组成部分。
| 审计领域 | 详细描述 | 与会计相关的重大风险 |
| 基础设施 | 评估网络系统、服务器、操作系统和存储设备。检查物理控制和安全配置。 | 系统故障(导致无法记录交易),物理安全漏洞。 |
| 通用应用控制(GITC) | 访问控制、系统开发和维护(SDLC)、变更管理、备份/恢复。 | 未经授权篡改会计数据、因不受控制的变更导致系统错误、财务数据丢失。 |
| 应用程序控件 | 软件中的输入/输出控制、处理控制(自动计算)和任务分离(SoD)。 | 交易记录存在差异,通过篡改电子文档进行欺诈。 |
| 安全和数据 | 评估安全策略、密码管理以及敏感数据(例如客户信息和工资明细)的加密情况。 | 违反信息安全法规,泄露敏感商业信息。 |
| 运营 | 事件管理评估、数据中心运营、业务连续性计划 (BCP) 和灾难恢复 (DRP)。 | 会计业务中断,无法完成结账期。 |
在GITC框架下,IT审计必须特别关注变更管理流程。根据审计准则,对核心会计系统的任何变更,无论多么微小,都必须受到严格控制。缺乏对这一流程的控制是财务信息系统中出现错误和舞弊的常见原因。
越南信息技术审计的法律框架和应用标准
越南的IT审计活动以国内法律框架和国际标准为基础。《2015年会计法》、《电子交易法》、第85/2016/ND-CP号法令以及第78/2021/TT-BTC号通知为电子文档、会计数据和电子发票的审计提供了法律依据。同时,COBIT、ISO 27001和ITIL为评估IT控制、安全和运营的有效性提供了国际标准。IT审计还支持VSA 315和VSA 330的实施,帮助财务报表审计人员评估风险并确保审计证据的充分性和准确性。
越南有关审计和信息技术的法律法规。
越南颁布了许多重要的法律文件,为信息技术审计活动提供了依据:
- 2015年《会计法》特别规定,会计凭证、账簿和财务报告必须以电子方式编制和存储。这就要求IT审计人员核实数字化文件的合法性和可靠性。
- 2005 年电子交易法:为数据信息的价值提供了法律框架,作为确定会计系统生成的电子文档有效性的基础。
- 第 85/2016/ND-CP 号法令(关于按级别确保信息系统安全):规定了信息安全的技术和管理要求,这是 IT 审计评估合规性的核心标准。
- 第78/2021/TT-BTC号通函(关于电子发票):要求系统确保电子发票的完整性、安全性和在指定期限内存储电子发票的能力。这是IT审计的强制性领域。
在 IT 审计报告中引用这些法律可以增强建议的法律效力和分量,尤其是在这些建议与改进控制措施以避免会计或税务方面的行政违规行为有关时。
国际标准和正式控制框架(COBIT、ISO 27001)
在实践中,专业的IT审计师通常依靠全球公认的国际标准和框架来进行评估。
- COBIT(信息及相关技术控制目标):这是由ISACA开发的、最流行的企业IT治理和管理框架。COBIT 2019提供了一套全面的控制目标,IT审计人员利用这些目标来评估政府信息技术控制(GITC)的设计和运行情况。COBIT被认为是所有IT内部控制审计的基石。
- ISO/IEC 27001(信息安全管理体系 – ISMS):该框架侧重于建立、实施、维护和持续改进信息安全管理体系。在进行 IT 安全审计时,审计人员通常会将公司当前的控制措施与 ISO 27002(实践规范)中列出的控制措施进行比较。
- ITIL(信息技术基础架构库):专注于IT服务管理。审计人员使用ITIL来评估IT运营流程的有效性,例如事件管理、问题管理和变更管理。
越南审计准则(VSA)在IT审计中的作用。
尽管虚拟标准架构(VSA)并非专门的IT标准,但它们仍然发挥着指导作用:
- VSA 315(通过了解被审计单位及其环境来识别和评估重大不当行为风险):要求审计师了解客户的IT环境,以便识别和评估风险。这迫使财务报表审计师运用其在IT审计方面的知识或专业技能来完成VSA 315。
- VSA 330(审计师针对已评估风险的补救措施):如果信息技术控制被评估为有效,审计师可以尽量减少实质性测试,而主要依赖控制测试。相反,如果信息技术审计表明控制薄弱,则必须大幅扩大实质性测试的范围。
IT 审计在收集有关内部控制的证据以满足 VSA 要求方面发挥着至关重要的作用,确保审计证据的完整性和适当性。
IT审计流程和方法。
进行专业IT审计的过程通常遵循标准步骤,以确保系统性和客观性的执行。
第一阶段:IT风险规划与评估
IT 审计的第一步也是最重要的一步是规划,这首先要了解 IT 环境并评估风险。
- 了解 IT 环境:收集有关 IT 组织结构、关键应用程序(特别是 ERP 和会计系统)、网络基础设施以及当前政策和程序的信息。
- IT风险评估:识别可能影响财务信息系统目标的潜在威胁和漏洞。按重要性级别(高、中、低)对风险进行分类。常见风险包括未经授权的访问、不受控制的变更和数据丢失。
- 确定范围和目标:根据风险评估,明确定义IT审计范围涵盖的具体系统、流程和控制措施。例如,如果变更管理风险较高,则审计重点将放在此流程上。
第二阶段:收集和分析审计证据
这是实施阶段,IT审计人员将在此阶段执行审计程序。
- 访谈:采访 IT 人员和最终用户,以全面了解实际流程。
- 观察:观察数据备份程序和服务器机房的物理访问控制等活动。
- 文件审查:检查政策文件、程序、系统日志文件和变更管理报告。
- 控制测试:设计有效性测试:确定控制是否设计得当,能够预防或发现风险;运行有效性测试:验证控制在整个审计期间是否得到有效且一致的运行。
计算机化审计技术(CAAT)和工具应用
CAAT(计算机辅助审计技术)是 IT 审计人员用来收集数据、分析信息和测试自动化控制的工具和技术。
| CAATs技术 | 主要目的 | 会计/审计应用 |
| 数据分析软件 | 分析整个数据集(100% 交易),以识别异常或欺诈模式。 | 留意异常大额的交易、在营业时间之外批准的交易,并检查发票号码的完整性。 |
| 测试数据 | 通过系统运行测试数据(例如,包含无效产品代码、错误日期的发票),以查看应用程序控制是否正常工作。 | 确认系统会拒绝不符合预设输入控制条件的交易。 |
| 嵌入式审计模块 | 在生产系统中安装模块,以自动记录高风险交易。 | 持续监控特权用户进行的交易或超过阈值的交易。 |
| 创建控制流程图 | 使用软件在系统内创建自动化流程图。 | 了解会计系统的处理逻辑对于发现控制机制中的薄弱环节至关重要。 |
使用计算机辅助审计技术有助于提高 IT 审计的有效性,并确保对各种电子数据进行评估。
第三阶段:报告和建议
IT审计结果将汇总成一份审计报告。该报告不仅应列出审计发现,还应提供切实可行的建议。
- 调查结果:详细描述了内部控制方面的缺陷,包括已识别的IT风险。例如:“系统变更控制在部署前无需事先获得业务用户的批准,违反了变更管理政策。”
- 影响:解释调查结果的潜在后果,特别是对会计数据完整性和遵守法律能力的影响。
- 建议:提出具体措施以解决薄弱环节。例如:“要求IT部门修订变更管理流程,增加一个自动由首席会计师审批的步骤,以涵盖所有影响财务数据的变更。”
IT审计在会计、审计和税务领域的实际应用。
IT审计是会计、审计和税务的关键环节,确保财务数据的准确性、完整性和合法合规性。这项活动评估整体IT控制、应用控制、会计自动化和电子发票,有助于降低出错风险、优化财务报表测试并确保符合电子税务法规。同时,IT审计通过分析授权、系统日志和交易数据来检测欺诈行为,成为保护资产、声誉和改善公司治理的关键防线。
财务报表审计应用(信息技术总控制 - 海湾合作委员会)
对于财务报表审计师而言,IT审计中关于通用计算机控制(GCC)的结果是决定审计方法的基础。通用计算机控制包括逻辑访问控制、变更控制和系统开发控制。
如果IT审计确认GCC运行有效(例如,只有授权人员才能访问系统;所有变更都经过全面测试和批准),则审计员可以:
- 尽量减少基础测试:依靠自动化应用程序检查,而不是手动测试大量事务。
- 增强信心:系统数据输出的可靠性提高了,从而降低了审计风险。
反之,如果全局控制中心(GCC)薄弱,审计人员将被迫认为系统不可靠,并必须执行广泛、耗时且成本高昂的实质性测试。IT审计提供的证据可以证明这一决定的合理性。
应用控制和会计自动化评估
应用控制是指会计软件(例如ERP系统、销售软件)中预先编程的控制措施。IT审计主要评估三种类型的应用控制:
- 输入控制:确保数据输入准确完整。例如,系统不应允许输入晚于当前日期的交易日期。
- 处理控制:确保数据处理准确无误。例如,根据已注册的税务识别号自动计算增值税。
- 输出控制:确保输出内容(报告、打印件)准确无误,并送达相关人员。例如,工资报告只有在获得批准后才能打印。
IT审计利用测试数据技术来验证这些应用程序控制的功能。这确保了自动化会计分录的准确性,从而显著降低了财务报表出错的风险。
对税务管理和电子发票(电子税务)的影响
在电子税务时代,使用电子发票已成为强制性要求。信息技术审计在保护企业免受税务合规风险方面发挥着至关重要的作用。
- 发票完整性:验证存储系统是否确保电子发票在经过数字签名并提交给税务机关后不会被篡改(符合第 123/2020/ND-CP 号法令第 7 条的规定)。
- 传输安全:评估与税务总局门户网站连接过程中的安全控制措施。
- 数据存储:验证能否检索和存储规定期限(根据会计法,通常为 10 年)的电子发票。
通过加强IT审计来强化IT控制,企业可以更有信心遵守复杂的电子税务法规,并最大限度地降低被处罚的可能性。
IT审计人员在发现会计舞弊中的作用(舞弊检测)
欺诈行为通常是通过利用信息技术系统中的漏洞来实现的。信息技术审计可以通过以下方式帮助检测欺诈行为:
- 职责分离 (SoD) 检查:分析会计系统中的用户权限,以确定是否有人拥有足够的权限来执行、记录和批准交易(例如,创建新供应商并批准向该供应商付款)。
- 系统日志分析:使用分析工具查找异常活动(例如,在工作时间之外访问数据、反复尝试访问失败)。
- 数据取证:应用 CAAT 技术分析整个交易数据,寻找欺诈模式(例如,使用本福特定律算法检查首位数字的分布)。
IT审计是一项先进的防御措施,可以帮助公司及时发现和预防欺诈行为,从而保护资产和声誉。
IT审计面临的挑战和未来趋势。
IT审计面临着云计算和人工智能带来的挑战,因为许多控制措施都以供应商为中心,而且人工智能模型的透明度和准确性也需要评估。因此,对兼具技术和会计/税务专业知识的IT审计师的需求日益增长。这项工作涉及审查关键控制措施,例如逻辑访问控制、变更管理、备份和恢复、任务分离以及网络安全,以确保会计数据的安全、准确和合规。
云计算和人工智能 (AI) 环境面临的挑战
向云计算的转型给IT审计人员带来了重大挑战。在云模式下,许多物理控制和一般控制(例如基础设施管理)都转移到了云服务提供商(CSP)手中。
- 审计范围:审计人员不能直接检查数据中心,必须依赖云服务提供商 (CSP) 提供的服务组织控制 (SOC) 报告。
- 数据合规性:确保存储在云端的会计数据符合越南关于数据存储地理位置的法律规定。IT审计人员需要深入了解云服务协议(SLA)和云安全标准(例如云安全联盟CSA)。
人工智能和机器学习在业务流程中的应用(例如,人工智能自动分类发票、建议会计分录)也要求IT审计人员开发新的评估方法。必须确保这些人工智能模型的透明度、可解释性和客观性。
对高质量IT审计师(CISA)的需求
对高素质IT审计师的需求正在增加。四大审计公司和大型企业都需要拥有专业认证的人才,尤其是ISACA颁发的CISA(注册信息系统审计师)认证。
IT审计人员不仅需要技术知识,还需要对会计、税务和业务流程有透彻的了解。他们应具备以下能力:
- 跨部门沟通:与首席财务官 (CFO) 和首席技术官 (CIO) 进行沟通,提出全面的控制解决方案。
- 应用控制框架:掌握 COBIT 和 ISO 27001,按照标准实施 IT 审计程序。
对于任何想要管理数字化环境风险的组织而言,投资培训和发展IT审计团队都是一项至关重要的战略。
会计信息技术控制概述
为了更清楚地了解情况,请考虑IT审计必须涵盖的方面:
| 控制区 | 目标控制 | 对会计数据的影响 |
| 逻辑访问控制 | 用户访问控制,强密码策略 | 防止未经授权修改会计记录和电子文档。 |
| 变革管理 | 检查、批准和记录系统变更的程序。 | 确保会计系统的连续性,避免因不受控制的软件更新而导致的错误。 |
| 备份和恢复 | 定期备份数据并进行灾难恢复测试。 | 确保事件发生后会计数据的可用性和完整性。 |
| 任务分解(SoD) | 控制系统内重叠的权限。 | 防止串通或滥用职权造成的会计舞弊。 |
| 网络控制 | 防火墙、入侵检测系统(IDS/IPS) | 保护会计信息的机密性和完整性免受外部威胁。 |
IT审计人员在进行IT审计时,必须收集足够的证据来判断每个控制领域的有效性。
总结
IT审计是现代财务报表审计的关键组成部分,旨在确保数字化会计数据的透明度、准确性和合法合规性。它超越了简单的计算机或网络检查,评估技术环境中的财务和业务风险。专业的IT审计报告能够提供关于内部控制缺陷的深刻见解,有助于保护资产、提高运营效率并增强投资者信心。
提高财务管理效率和法律合规性 审计服务 和 全额税务会计 来自 MAN——会计师大师网络。我们提供全方位的解决方案:税务审计、财务报告、成本管理咨询和税务合规优化。MAN 拥有一支经验丰富的专业团队,帮助企业审查和优化成本、规避法律风险,并自信应对任何审计。我们深入的培训课程和专业研讨会将为您提供实用的知识,提升您的财务管理和税务会计能力。
MAN – Master Accountant Network 的服务联系信息
- 地址:胡志明市新顺坊43街19A号
- 手机/扎洛:0903 963 163 – 0903 428 622
- 电子邮件:man@man.net.vn
内容制作:先生 黎黄宣 – MAN – Master Accountant Network 的创始人兼首席执行官,越南注册会计师,拥有超过 30 年的会计、审计和财务咨询经验。
常见问题解答 – 关于 IT 审计的常见问题
IT审计与传统财务报表审计有何不同?
IT 审计评估的是 IT 控制系统,它是数据生成的基础,这与传统的财务报表审计不同,后者侧重于已生成的财务数据的准确性。
哪些企业需要进行IT审计?
任何使用 IT 处理关键财务交易的企业都需要进行 IT 审计,尤其是那些拥有复杂 ERP 系统、大量电子交易或受严格法律法规约束的公司。
CISA认证是什么?它在IT审计中扮演什么角色?
注册信息系统审计师 (CISA) 是最负盛名的国际认证,证明专业人员具备评估、设计、控制和确保 IT 系统合规性的知识和技能。
IT审计中最常用的控制框架有哪些?
主要框架包括 COBIT(用于 IT 治理和管理)和 ISO/IEC 27001(用于信息安全管理体系)。
IT审计能否帮助发现会计欺诈行为?
是的,IT 审计通过分析用户授权(职责分离)和使用高级数据分析技术(计算机辅助审计技术)来查找异常交易,从而帮助检测欺诈行为。
IT审计人员如何应对云计算带来的挑战?
IT 审计人员通过评估服务提供商的 SOC(内部审计)报告和审查 SLA 合同中的合规条款来应对云挑战。
