COBIT实施工具——使用COBIT进行审计

大中小

2003-11-14 14:37:01【作者】畅享网【进入论坛】

本文关键字资源下载资料下载资料下载资料下载

COBIT实施工具——使用COBIT进行审计

By AMT 周瑛编译

一、使用COBIT进行审计

下面的大纲描述了如何将上述COBIT的各个模块和风险评估及规划标准运用到一个“典型”的审计流程中。

a. 可选步骤。如果需要的话，为受审实体选择审计类型。可选类型有：财务、绩效、一致性、IT（设备、开发中的系统、实施回顾、规划与组织、管理咨询服务）、合成审计、协议好程序的审计等等。这些审计类型不是互斥的。使用COBIT框架和工具（类似于上面提到的“实体调查表（简单）、“责任方调查表”、“合同服务/SLA”）进行一次风险评估，有助于选择审计类型。

b. 确定审计范围和审计目标。选定了实体和审计类型之后，现在要使用COBIT的具体控制目标来审视本次审计选定的IT过程，以获得更多信息。一旦确定审计范围后，使用COBIT控制目标来确定审计目标。审计范围和审计目标应该在审计开始前的会议中与客户商定。注意：本步骤可能在整个审计过程中需要重复进行。

c. 制定审计工作计划。如果有现成的审计工作计划：将审计目标与COBIT控制目标进行比较；将审计步骤与COBIT审计指南中的活动进行比较；加入具体平台、组织、法律、规则的指南和手册建议的审计活动。如果没有现成的审计工作计划：进行与上面相同的步骤，但不是将已有计划与COBIT进行比较，而是使用COBIT制定一个审计计划。

d. 进行审计。在审计开始会议上讨论审计类型、审计范围、审计目标时，介绍COBIT对确定这些问题的贡献，以及COBIT将如何被用来指导后面的审计。

e. 撰写审计报告。就实现的目标和未实现的目标撰写结论。使用COBIT分析具体的业务例子来证实结果。在审计发现的标准列举部分和审计方法部分中，将COBIT包括进来。

二、使用COBIT审计指南

如前所述，COBIT审计指南主要有两类用法：审计员有现成的审计计划或没有现成的审计计划。

如果没有现成的审计计划

下面的图表说明了如果要审计一个IT过程但又不存在现成的审计计划时应该采取的步骤。在这个例子中的IT过程是系统开发方法（System Development Methodology，SDM）。

在步骤1中，审计员将SDM与可应用的COBIT具体控制目标进行比较，确定SDM是否提供了充分的系统开发控制。

如果步骤1的结果是满意的，审计员在步骤2中根据他们对风险和SDM相关目标的理解，从这些具体控制目标中选出最重要的几个。COBIT会帮助审计员完成这一步骤，因为它关注于控制IT资源以实现信息的7个质量指标。

在步骤3中，审计员在COBIT审计指南的帮助下制定一个审计计划。注意我们已经定义了审计员感兴趣的具体目标，而COBIT审计指南是根据高层控制目标分类的。这两者之间的映射也需要在步骤3内进行，我们会在下面介绍如何映射。

在步骤4中，审计员确定审计计划中哪些步骤要特别注意。由于在步骤2中已经确定了最重要的具体目标，这一步做起来就十分容易了。

在一个组织中，在控制审计中使用COBIT能够加速审计计划过程，也能够导致COBIT在审计和IT中的进一步使用。表8是这个变化审计计划中的一段摘录。其中的“业务目标”改编自COBIT框架（高层控制目标）。“影响”是组织为审计所写的风险。“控制目标”改编自COBIT控制目标。“需要评价－测试的项目”改编自COBIT审计指南。这个过程是制定一个基于COBIT的审计计划的典型例子：