返回
科技管理风险导向审计的应用

科技管理风险导向审计的应用

ID:14310069

大小:30.50 KB

页数:9页

时间:2018-07-27

科技管理风险导向审计的应用_第1页
科技管理风险导向审计的应用_第2页
科技管理风险导向审计的应用_第3页
科技管理风险导向审计的应用_第4页
科技管理风险导向审计的应用_第5页
资源描述:

《科技管理风险导向审计的应用》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、科技管理风险导向审计的应用科技管理风险导向审计的应用科技管理风险导向审计的应用科技管理风险导向审计的应用科技管理风险导向审计的应用科技管理风险导向审计的应用科技管理风险导向审计的应用  一、引言  在意大利上市的前100家大型企业运用风险导向审计的状况进行了调查,结果表明:有25%的企业未采用风险导向审计方法;有67%的企业只在年度审计计划编制过程中采用了风险导向审计方法;只有8%的企业在年度审计计划编制过程和具体审计项目的实施过程中都采用了风险导向审计方法。可见,风险导向审计并未在具体审计项目实施过程中得到广泛运用。而在理论研究方面,有关风险导向审计的研究也多停留在

2、介绍基本概念、分析其必要性上,虽然提出了一些推广运用的设想,但多数较为笼统,缺少实践案例,对实际操作的借鉴性不强。鉴于此,我们以科技管理审计实施为切入点,将风险导向审计理念贯穿于整个审计过程的始终,为在具体审计项目中运用风险导向审计方法开展了积极探索。  二、风险导向审计实施过程风险导向审计过程主要分为审前准备、审计实施、审计报告三个阶段。  审前准备。风险导向审计的一大特点是审计重心前移,在现场审计前需充分了解被审计对象的情况,分析、评估其面临的风险,这是风险导向审计的基础和关键环节,决定了审计的成败。  1、风险识别  为了识别被审计对象科技管理方面存在的风险,我

3、们在审前采取询问被审计对象内部相关人员、咨询其上级主管部门、收集内外部相关资料、审计组内讨论等方式,收集了被审计对象科技管理和信息系统基本情况、内部控制和风险管理状况、被检查和考核资料等相关信息,为进行风险识别准备好了数据原料。对于科技管理的风险,可从风险源、风险影响和风险行为等多个角度来分类。由于考虑到审计的目的是为了完善风险控制,因此从风险控制措施的角度来看,同一风险源可能采取多种攻击方式,不同风险源也可能产生同样的危害,不便于提出控制措施;而从风险的影响来区分较为笼统,也不便于提出有针对性的控制措施。因此在审计中,我们从风险行为的角度,将科技管理风险主要分为操作

4、失误、滥用授权、行为抵赖、身份假冒或密码分析、黑客攻击、恶意代码和病毒、泄露信息、篡改数据、破坏系统、系统意外故障、系统环境威胁、物理攻击和管理不到位等十多类。我们以以往开展的科技管理审计获取的数据和所收集到的被审计对象科技管理情况为基础,明确科技管理的目标,分析威胁目标实现的风险,依据风险分类方式,进行风险识别。由于风险不可能穷尽,为抓住主要矛盾,仅识别较重要的风险,共识别出7类、24个风险域、49个风险点,形成了科技管理风险清单。  2、风险评估  为对已识别风险进行评估,确定每个风险点的等级,采用了风险矩阵的方式,将风险分为4个等级:风险可忽略、风险较低、较高风

5、险、重大风险。对于风险发生的可能性和影响程度,由于目前还未能建立完备的风险监测数据库,无法准确的量化风险的发生频率和影响,因此采取的是主观估计法,在审计组内部实施头脑风暴法,由审计人员根据以往科技管理审计的实际情况和经验,对风险的可能性和影响作出判断,在风险矩阵中得出对应的风险等级。对风险影响程度的判断,主要是从风险发生后影响的范围、损失金额大小、系统重要性和业务量、系统数据安全性和保密性要求、系统持续运行要求、系统操作难度等因素来考虑。需要注意的是,这里评估的是固有风险,非剩余风险,使用固有风险是因为审计的目的就是通过检查,评估已有控制措施的效力,进而确定剩余风险,

6、因此,审计前的风险评估应评价的是固有风险的发生可能性和影响程度。在评估固有风险后,还可根据被审计对象的控制风险进行调整。调整因素包括:距上次审计或检查的时间、上次审计或检查的结果、上次审计或检查后的整改情况。调整原则是,如果被审计对象在近2年被审计或检查过,且未发现严重问题,整改情况良好,则被审计或检查过的那部分风险点全部降一个等级。  3、建立科技管理风险评估指标体系  为更好的指导审计实施,量化风险评估结果,提高科技管理风险评估的可比性,我们还研究建立了科技管理风险评估指标体系,制作了《对××单位科技管理审计风险评估表》。在风险评估表中,围绕科技管理内控机制建设、

7、机房与设施管理、网络管理、安全保密管理、业务应用系统运行维护管理、采购和外包服务管理、应急备份和文档管理情况等7部分科技管理主要工作,确定了每部分的工作目标,列出每部分的风险域和风险域中存在的风险点,并针对每个风险点提示了相应的控制措施,便于审计人员根据控制措施的提示对风险点进行脆弱性检测。对于指标体系中权重的设置,由于存在分类、风险域、风险点3个层次,分2种方法进行处理。对于分类和风险域这两种较为抽象的指标,运用了层次分析法。向科技人员和审计骨干们发放调查问卷,请专家们按照1-9标度法对指标的重要性作两两比较,填写判断矩阵;将结果进行汇总平均后,得

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。