2025年IT审计简述 _原创精品文档.pdfVIP

好学近乎知，力行近乎仁，知耻近乎勇。——《中庸》

IT审计

概述：

IT审计是分为：信息技术一般控制审计（ITGC)和应用层面控制审计（ITAC）

（

1，ITAC支持财审做对一些对具体余额的认定进行审计）

ITAC即针对某一个应用软件的控制，例如对于银行来说，就有银行利息的计算

软件。那么审计这个计算过程对不对，就是ITAC了。IT审计员会在系统中查看

这个程序的源代码，看看利息是不是用借款乘以利率算出来的，另外，也会在系

统中生成一个存款，然后看看系统计算的对不对。

2，ITGC（IT一般控制）

但是我们知道，我们只能在一年中某已一个点来测试ITAC，如何保证在过去的

一个财年内这个软件计算过程都是对的呢？这就需要ITGC是不是有效的，如果

这个程序没有被乱篡改，所有的程序变更都事先得到了许可和授权，这个程序出

问题的时候可以得到及时有效的解决，也就是ITGC有效的情况下，IT审计员就

可以得出这个利率计算过程是有效的。

ITGC内容（可以先不看）：

（1）ELC（entitylevelcontrol）控制。

就是看看客户在IT治理方面的相关组织架构是否合理，书面的管理制度是不是健全，具

体的审计程序就是获取客户的组织结构图，及一些比较虚的总纲类的书面管理制度如《IT

管理制度》等等。

（2）系统开发和变更。

就是关注系统开发和系统后续小变更中的一些控制，具体的审计程序就是获取系统开发及变

更相关的管理制度典型的如《系统开发制度》《系统变更管理制度》等来看一看，再看系统

博学之，审问之，慎思之，明辨之，笃行之。——《礼记》

××系统需求报告》、《××系统可行性报告》、《××系

统立项审批单》、《××系统单元测试报告》、《××系统集成测试报告》、《××系统上线审

批单》，然后变更方面比较重要的就是《变更审批单》，这个一般来说还要进行抽样，而上

面的开发流程一般来说做一两个穿行测试就行了。

（3）操作系统及数据库控制。

这一块呢具体就是看操作系统和数据库登录是不是要密码，然后把登录界面截个屏作为审计

证据K进底稿里，蛮弱智的。然后呢就是调出操作系统及数据库中的一些安全配置，如密

码复杂度的要求，密码是不是强制一个月改一次，对系统的敏感操作是否有日志记录，日志

是否有人去复核，再者就是看用户权限管理是否按照基于角色来进行权限分配。现在商用方

面操作系统用得比较多的是win2000,LINUX,UNIX,银行AIX用得比较多，数据库就是SAP，

ORACLE,SQLserver等，银行DB2用得也比较多。审计的时候呢，对于安全配置，就是输

入一些命令，调出相关配置，四大像安永会有团队专门设计脚本，只要放到客户机器上那

么一跑，结果自动就出来了，高度傻瓜式，流程化机械化，IT审计师的可替代性更强了，

价值更低了。再就是把所有用户的权限列表拉出来，看是不是合理合规，后点关注超级管理

员的权限。

（4）应用系统控制。

关注点同操作系统及数据库。不过应用系统千变万化，比如银行里面比较大的应用系统就

有综合业务系统（有的叫核心业务系统）、国际结算系统、大小额系统、信贷管理系统等等

等等。但万变不离其综，这些系统做ITGC思路都是一样的，就看安全配置和用户权限。如

果要支持财审进行ITAC的审计，则要具体情况具体分析设计，因此个人认为ITAC的审计

是IT审计师能体现自身经验与价值的地方，光做ITGC是没有前途的

穷则独善其身，达则兼善天下。——《孟子》

（5）