3.2 IT审计

1. IT 审计范围：（1）总体范围：需要根据审计目的和投入的审计成本来确定；（2）组织范围：明确审计涉及的组织机构、主要流程、活动及人员等；（3）物理范围：具体的物理地点与边界；（4）逻辑范围：涉及的信息系统和逻辑边界。

2. IT 审计风险：固有风险、控制风险、检查风险、总体审计风险。（1）固有风险是指 IT 活动不存在相关控制的情况下，易于导致重大错误的风险；（2）控制风险是指与 IT 活动相关的内部控制体系不能及时预防或检查出存在的重大错误的风险；（3）检查风险是指通过预定的审计程序未能发现重大、单个或与其他错误相结合的风险；（4）总体审计风险是指针对单个控制目标所产生的各类审计风险总和。

3. IT 审计方法：访谈法、调查法、检查法（审阅法、核对法、复算法和分析法）、观察法、测试法（黑盒法和白盒法）、程序代码检查法。

4. IT 审计技术：（1）风险评估技术：风险识别技术：德尔菲法、头脑风暴法、检查表法、SWOT 技术及图解技术；风险分析技术：定性分析、定量分析；风险评价技术：单因素风险评价和总体风险评价；风险应对技术：云计算、冗余链路、冗余资源、系统弹性伸缩、两地三中心灾备、业务熔断限流。（2）审计抽样技术：统计抽样（属性抽样、变量抽样）、非统计抽样。（3）计算机辅助审计技术：通用审计软件（GAS）、测试数据、实用工具软件、专家系统。（4）大数据审计技术：大数据智能分析技术、大数据可视化分析技术、大数据多数据源综合分析技术。

5. 审计证据特性：充分性、客观性、相关性、可靠性、合法性。

6. 审计工作底稿：综合类工作底稿（计划阶段和审计报告阶段）、业务类工作底稿（审计实施阶段）、备查类工作底稿（审计过程中）。

7. 审计流程：审计准备、审计实施、审计终结、后续审计。（1）审计准备阶段：①明确审计目的及任务；②组建审计项目组；③搜集相关信息；④编制审计计划等；（2）审计实施阶段：①深入调查并调整审计计划；②了解并初步评估 IT 内部控制；③进行符合性测试；④进行实质性测试等；（3）审计终结阶段：①整理与复核审计工作底稿；②整理审计证据；③评价相关 IT 控制目标的实现；④判断并报告审计发现；⑤沟通审计结果；⑥出具审计报告；⑦归档管理等；（4）后续审计阶段：后续审计并不是一次新的审计，而是前一次审计的有机组成部分。