COBIT实施工具——使用COBIT进行风险评估与审计规划

COBIT实施工具——使用COBIT进行风险评估与审计规划

 

By AMT 周瑛编译

 

下面基于COBIT的标准能够帮助审计团队在审计工作开始前识别出可能的审计领域或管理咨询领域。一些标准需要由受审组织或业务流程所有者帮助完善。在这种情况下，审计团队需要确定是否与受审组织一起完善标准，这样就可能需要进行审计前的访谈。其中的一些访谈可能是十分有用的，因为它们在审计活动开始前就识别出应该受制于组织控制或运营标准的IT功能领域。访谈还可能帮助确定IT过程的负责人，识别出审计员应该访谈的对象和能提供所需信息的人员。这些标准还能够帮助审计员对内部控制文档进行高水平的评估。审计团队应该确定内部控制文档是否经过管理层的批准。如果有任何IT过程的控制没有文档化，那么就应将此视为控制薄弱的红灯，同时这也是提供管理咨询服务的机会。

 

1。审计工作开始前的调查表

 

目的：确定之前的一次审计是否包括与IT过程相关的审计工作。如果包括，那么调查表要求审计员找出之前的审计工作得出的结论。该调查表假定之前的审计中采用了COBIT标准。

 

调查表对象：由审计团队在访问受审组织之前的审计准备阶段完成。

 

讨论：如果之前的审计工作给出了明确的结论，那么就会出现需要加以解决的审计发现。由于每个IT过程可能有几个发现，调查表要求审计员确定每个IT过程的发现数目。

 

2.        实体调查表（简单）

 

目标：识别出被认为是最重要的IT过程，以及管理层对这些过程绩效的看法。

 

调查表对象：

在审计准备阶段由受审组织管理层（IT或非IT）或业务流程所有者完成。如果调查表是给由不同部门或分支机构的管理人员组成的代表性样本做的，那么就能得出组织内部对每个IT过程的重要性和绩效水平的理解差异。

如果某些IT过程是外包的，那么调查表就能用来调查管理层或业务流程所有者对第三方供应商的服务的满意程度。同样，如果调查表是给由不同部门或分支机构的管理人员组成的代表性样本做的，那么就能得出组织内部对外包服务水平的理解差异。

在审计准备阶段由审计团队完成，记录他们对每个IT过程重要性和绩效的看法。后者IT过程的绩效可以从用户满意度调查或管理层的绩效评估中得出。

 

讨论：调查表可以发给经理或业务流程所有者。同时应该将IT过程的描述附在表格后面。

这个调查表可用于为风险评估回答以下问题：“对我们来说什么是重要的？”“我们做得如何？”可以将调查表用于管理层、审计员、IT人员之间的讨论，也可以分开地发给这三组人员，比较得到的调查结果，找出对重要性和绩效的理解差异。在两种情况下，调查表都能激发有用的讨论。例如，如果有哪个小组不能确定重要性，那么就意味着需要进行一些教育。

这个调查表也可以使用多次。你可以先仅仅使用有关重要性的列，确定大家对重要性的看法。然后，过一段时间再使用有关绩效的列。由于人们一般不会将重要功能的绩效评为差的，这种两步处理的方法能够得到更有用的绩效评估。

 

实体调查表（详细）

 

目的：记录管理层和业务流程所有者对IT过程重要性和绩效的评估。调查表也记录了哪些IT过程有内部控制文档。

 

调查表对象：在审计准备阶段由审计团队完成。调查表既可以在访谈过程中，由审计团队与管理层、业务流程所有者一起完成，也可以由审计团队自己完成。

 

讨论：审计员可以洞察到管理层对IT过程内部控制文档化程度的理解。由于审计团队会在审计准备阶段向受审组织索要控制文档，因此审计工作报告应该附有控制文档。

 

3。风险评估调查表

 

目的：帮助审计团队确定需要进行审计的IT过程。

 

调查表对象：在审计准备阶段由审计团队或管理层或两者一起完成。

 

讨论：审计团队应该在完成了“实体调查表（简单）”和“实体调查表（详细）”，对受审组织的使命、主要业务目标、关键成功因素、规定或法律责任、控制结构有充分了解的基础上填写这个调查表。并且填写的时候要进行一定的分析。

 

4.        责任方调查表

 

目的：识别每个IT过程的实施者和最终责任人。

 

调查表对象：在审计准备阶段由审计团队与受审组织管理层共同完成。

可以发给管理层和业务流程所有者。应该将IT过程描述附在调查表后面。

 

讨论：建议将这个调查表与服务水平协议调查表一起进行，以便全面调查出实体内由IT服务提供的服务、实体内非IT服务提供的服务、第三方提供的服务。

基于IT已在组织中普遍深入，因此很有可能一个过程由IT服务和非IT服务员工一起完成。在此种情况下，与高级管理人员一起完成调查表能够洞悉管理层对过程执行者的知晓程度。调查表还能够确定IT责任在组织内的分布。

虽然IT过程及其解决的问题通常不言自明，审计团队最好还是向管理层介绍一下每个过程的内容。另外，调查表也可以在访谈不同部门或分支机构的经理时使用，以便确定他们对IT过程执行部门的了解程度。

虽然调查表要求审计团队确定IT过程的主要负责人，但这只是关于责任分配、分布式IT过程活动、标准化程度的讨论的开端。如果在某个组织内，IT服务部门的一些过程转移到了其他部门，这并不代表与IT服务相关的数据安全与系统可用性控制目标不再适用了。控制目标仍需实现，但是由其他部门、通常也是通过不同的控制策略实现。

 

5.        合同服务/SLA调查表

 

目的：前面的“责任方调查表”表明一些IT服务不是由IT服务部门提供的，合同服务/SLA调查表则确定针对这些“合同的”IT过程是否存在正式的合同或SLA。

合同的/SLA的IT过程包括：外包的服务、内部合同的服务（组织内非IT服务部门提供的服务）、有内部SLA的服务。调查表能够帮助审计团队确定没有明确合同或协议的“合同的”服务。从而调查表也能够确定是否要对合同/SLA进行审计。

 

调查表对象：在审计准备阶段由审计团队完成。

 

讨论：合同服务/SLA调查表帮助审计员评估内部控制。在对控制进行合理性评估之前，审计员需要确定控制的文档化程度。

 

 

运用计划标准的例子

 

例1：

一个信息系统审计员在某个银行实施COBIT之前，先进行了一项调查作为评估活动的开始。这项调查（见表3）是“责任方调查表”的一个应用。调查对象是向高级运营与技术副总裁直接报告的人员。调查表后面附了4页从COBIT软件包中导出的文件。调查结果显示，几乎所有人都对COBIT定义的过程负有责任。这个信息系统审计员，将责任不清归因于副总裁的指导不力。这个调查和一次规则审计的结果就是，为运营与技术组织增加了一个技术管理职能。这一职能被赋予了COBIT定义的大多数规划与组织过程的责任。

 

 

例2：

另一个组织中的一名信息系统审计员使用表4中的矩阵，将COBIT的34个高层控制目标映射到他所在组织的信息政策、程序和标准上。这是一个反复的过程，因为信息系统审计员逐渐找出文档化的政策。最初这是一种定量的评估，后来又对组织已有政策、程序和标准的质量和充分性进行了评估。表4是“实体调查表（详细）”的改编。

 

 

例3：

另一个组织的一名信息系统审计员，使用COBIT来评估风险及找出需要关注的审计领域。表5是他使用的表格。注意COBIT信息标准和IT资源在这个评估中起到了十分重要的作用。表格融合了“审计工作开始前的调查表”和“风险评估调查表”的内容。

 

 

例4：

另一个组织中，一名信息系统审计员和IT专家组成了一个团队，运用表6中所示的表格找出需要加强政策、程序、标准或审计的过程。这张表格改编自“风险评估调查表”。

 

 

例5：

在一个审计组织中，审计员们正使用COBIT的34个过程帮助他们评估现有和计划中的审计范围（见表7）。他们想弄清楚每个过程需要花费的审计工作是多少，哪些IT过程是有问题的。而且，他们想知道哪些实体要进行审计、进行何种审计。

 

 

总而言之，所有这些基准化/评估/规划活动都向组织提供了额外的信息，比如：

l          需要增加（或文档化）政策、程序、标准。

l          需要增加或撤销一些IT过程（或控制）。

l          需要分配或重新分配IT过程责任。

l          需要规避一些风险。

l          需要更好地管理一些内部或外包职能。

l          需要进行审计。