趋势与观点 | 开展远程IT审计的关键考虑因素

信息技术的不断发展,继续为IT审计行业带来了机遇和挑战。虽然远程审计已经不是什么新鲜事,但COVID-19的流行和由此产生的社交距离的需要,快速推动了远程审计和混合审计的采用。这些方法的主要好处包括减少开支(如旅行、住宿)而降低成本,能够利用具有不同技能的全球团队,以及审计工作的时间和资源灵活性。另一方面,也存在一些挑战,包括隐私、安全风险和复杂性的增加,一些审计结果被发现存在细微差别,在远程提供完整证据以及证据收集方面的局限性。

为了确保在进行IT审计时实现最大效益,有几个因素需要考虑,包括IT审计的复杂性、行业最佳实践和每项任务的审计目标。

持续评估风险

在审计开始前,应充分评估与远程执行IT审计相关的风险,以确定其可行性,并在整个审计周期内持续审查,以确保满足关键成功因素。风险缓解策略为最佳的审计方法提供了依据,并允许根据审计范围、业务流程、审计时间等方面的任何变化进行调整。以前的审计反馈也可以用来确保改进点能够被纳入。

评估被审计方的资源

一次成功的远程审计利用了视频会议软件、智能设备、无人机和网络连接等技术。需要考虑的关键是审计师和被审计方之间技术平台的兼容性,以及任何可能的限制,如加密、虚拟私人网络(VPN)和文件传输限制。

审计师会遇到的常见审计困难包括:

  • 组织政策限制,禁止审计师或被审计方安装未经对方组织授权的软件。

  • 未能解密审计师和被审计方之间共享的信息。

  • 无法在传统IT平台或应用程序上进行屏幕共享。

  • 由于IT系统被托管在第三方平台上,对IT环境审计要素的访问受限。

为了克服上述困难,重要的是为审计做充分的准备,考虑到所有影响审计成功完成的可能情况。在预算允许的情况下,对被审计单位的IT环境和流程进行审计前检查,可以了解潜在的挑战,也可以表明被审计单位对审计的准备情况。另一种方法是分阶段审计,确保在初步评估中发现的挑战可以得到解决,并在进入下一阶段审计之前及时对审计方法进行调整。

充分准备:范围、时间表和成本

充分的规划是了解实现审计目标所需的总工作量以及远程实施IT审计可行性的关键。审计的范围、复杂性和深度会影响到拟议的时间表,从而决定是否调整审计策略。范围和时间表会影响到团队的组成,因为技能要求是一个因素。如果团队成员分布在多个地方,则需要考虑到时区的差异。

虽然可以减少差旅费用和开支,但由于支持远程工作的技术的许可费和培训要求,也会产生费用。规划是确保在整个审计周期内充分评估和优化效益的关键。

考虑证据要求

为了进行高质量的审计,必须获得充分和适当的证据,以得出合理的结论。随着远程审计的进行,操纵证据的风险也越来越高。在模拟穿行和测试过程中,获取屏幕截图、系统摘录或记录等方法可以为信息的完整性和准确性提供一些保证。然而,有时候被审计方需要在较长的时间内运行脚本或报告,在这种情况下,审计师不能连续观察它们。这就对所提供证据的准确性和完整性提出了挑战。

审计师在评估这些证据时必须采用专业怀疑态度,并处理不完整和/或不准确的风险。在收集证据时,审计师需要考虑:

  • 证据的交付方式和传输过程中的安全性

  • 被审计方提供证据的潜在延误

  • 在无法观察到证据产生的情况下,实施适当的控制

  • 使用自动证据收集工具来减少操纵风险的可能性

  • 证据使用后的保留和销毁

  • 可能侵犯隐私和保密性的行为

评估IT审计期间的沟通需求

传统/现场审计允许快速地与被审计方会面,以核实或澄清信息。它还允许审计师在与被审计方的互动中捕捉到肢体语言和反应。在远程审计中,这些可能做不到或无法及时做到。审计师需要预见到这种挑战,并清楚地阐述要求,同时利用模拟穿行和测试会议。

在IT审计过程中,持续的沟通可以提高沟通的质量并建立关系。这对于避免来自被审计方的推诿是必要的,如果在整个审计过程中持续中断或长时间没有沟通,就会导致产生推诿的这种情况。为了补救沟通上的挑战,被审计方需要定期提供关于进度、延迟和其他更新的反馈。提前提出审计要求,也可以帮助被审计方准备资料,确保资料由合适的人提供。

解决团队合作的注意事项

实施远程IT审计需要被审计方具备评估审计领域的适当技能。它要求在审计过程中及时审查以及各利益相关方的参与。由于远程工作,可能很难确定团队可能面临的任何问题,因此,需要确定并商定最佳策略,以确保及时发现挑战和延误,并及时实施解决方案。

被审计方还应确保根据需要提供的信息、责任、能力确定最佳联系人 ,以及他们在预定的审计时间内能否提供协助。

结论

要成功地进行远程IT审计,没有一刀切的方法。在评估最佳方法时,必须小心谨慎地平衡利益与合规要求。随着越来越多的组织选择混合或完全远程审计,有必要不断调整和创新,同时利用这个机会为组织增加更多价值。

 

编者按: 本文于2023年1月17日首次发表 于ISACA官网News and Trends/Industry News。文章内容仅代表作者本人观点。
作者:Sandra Kuyengwa, CISA, CRISC, CDPSE,驻英国的IT审计助理经理,在提供和领导复杂的技术风险评估方面拥有超过6年的经验,涉及的行业领域包括金融、采矿、制造和电信等。
翻译:王岩 (Liam Wong),CISA、CDPSE、CISSP、PMP、OCM 11g/12c、PGCA、MCDBA、MCSE,ISACA微信公众号特邀通讯员。
校对:谭辰菲(William Tan),CISSP,CISA,CDPSE,CRISC, ISACA微信公众号特邀通讯员,德国商业银行信息安全经理。