注册会计师信息化方向领军人才首期集中培训课程快递（十五）

毕马威华振：信息技术审计的方法论体系

2017年8月10日上午，毕马威华振会计师事务所合伙人董常凌和徐琅朗为全国会计领军（后备）人才注册会计师类（信息化方向）首期集中培训授课，题目为《信息技术审计的方法论体系》。授课内容主要涉及信息技术审计和大数据挖掘在审计中的应用两个板块，其中信息技术审计板块包括信息技术审计的依据、方法、程序以及结论等四个方面，大数据挖掘在审计中的应用板块包括大数据挖掘在审计中的应用相关方法和案例等。

关于信息技术审计依据，董常凌介绍了国际主流标准和指引，例如，信息技术控制目标（COBIT）、 信息技术服务能力（ITIL）、国际信息安全管理体系（ISO27000）、软件成熟度（CMMI）、国际内部控制框架（COSO）、项目管理知识体系（PMBOK）、信息技术风险管理框架（Risk IT）、信息技术价值交付框架（Val IT）等，并就信息技术控制评价国际通用标准COBIT、ISO 27000的框架和组成简要推演。同时，董常凌还针对银监会发布的“商业银行信息科技风险管理指引”以及近期颁布执行的《网络安全法》等进行了讲解及重点提示。

关于信息技术审计方法，董常凌结合审计工作目标及性质介绍了“了解当前风险”、“评价风险管控”、“形成结论并提出建议”的工作整体思路及步骤，并进一步将其分解为3层结构，包括公司层面信息技术控制、信息技术一般性控制、业务流程层面系统控制。同时，董常凌阐述了测试方法，具体介绍了观察、询问、检查、重新执行、观察跟踪、系统测试、调查问卷等重要信息技术测试方法。

关于信息技术审计程序，董常凌完整地分享了信息技术审计的所有重要部分，包括公司层面信息技术控制环境（战略规划、组织架构、职责分工、风险评估等）、一般性控制（权限管理、运行维护等）、应用控制（用户权限、数据交换、系统接口、系统自动控制等）。董常凌特别就应用控制如何有效用于互联网金融公司具体业务中，进行了精彩讲解与点评，即综合运用应用控制、数据分析及实质性测试，再结合第三方数据验证，以全面提升审计工作有效性。另外，就数据完整性审计的“三步法”进行重点讲解，即获取数据查询模版、观察系统抽样过程、将抽取样本导入分析软件并与原系统数据逐条比对。

关于信息技术审计结论，董常凌就信息技术内部控制有效性的评价结果进行了分析和总结。董常凌指出，当信息技术审计作为综合性内部审计项目的一部分时，审计人员应及时与其它相关内部审计人员沟通信息系统内部审计的发现，并考虑依据审计结果调整其他相关审计的范围、时间及性质。

此后，徐琅朗就在审计业务中运用大数据有关的方法论、原则、适用场景一一进行讲解，并就通讯、金融、能源、汽车行业代表公司实际运用大数据的案例进行了分享。