IT审计：ITAC底稿怎么做？（送上一份_套用的模板）

之前，小艾老师给大家普及过IT审计是干什么的，其实大致可以分为三类：ITEC（公司层面的控制）、ITGC（一般层面的控制）和ITAC（应用层面的控制）。【点此回顾>>】

今天，我们要聊聊ITAC的底稿怎么做？底稿是年审的一个“刚需“，很多审计人员都比较关心这个，尤其是刚入行的同学。为了帮助大家更好地理解，小艾老师去请教了一下我们老师，然后整理出一个框架给大家参考。大家可以把它当作“写小作文”的提纲，有了这个框架，面对实际工作时也会容易多了。

不过，老师也特别提醒大家，千万不要过于依赖模板和框架。毕竟，ITAC的审计工作是高度依赖分析和判断的，每个情况都有差异，搞清楚ITAC底稿的设计逻辑，灵活应对才是关键。

话不多说，我们直接上干货。

01 ITAC底稿的基本框架（逻辑）

ITAC底稿怎么做？建议遵循以下四个步骤：了解业务流程、识别IT相关应用控制、测试和评价设计有效性、测试和评价运行有效性。这四个步骤其实就是我们ITAC底稿的基本框架，它可以帮助我们理清思路，确保审计工作的有序进行。

1.了解IT相关业务流程

在编写底稿的_步，审计人员需要详细了解企业的业务流程。没有对业务流程的深刻理解，你无法有效识别其中的风险点。在这一步，审计人员需要通过实地调查、访谈和文档查阅等方式，确保对业务流程的了解是真实且全面的。

关键点：

• 调查核实：确保了解的业务流程与实际情况相符。
• 业务流程符合性测试：对流程进行核实，验证流程的执行是否按预定方式进行。

2.识别IT相关应用控制

了解了业务流程后，下一步就是识别这些流程中存在的控制风险和控制目标。审计人员需要分析每一个环节，识别出相关的控制措施，并确定其目标是什么。

关键点：

• 识别控制目标：确保关键流程中有适当的控制措施来应对可能的风险。
• 确认控制措施：审计人员要确认这些控制措施是否已经被有效部署，并且在实际操作中得以执行。

3.测试和评价IT相关应用控制设计有效性

设计有效性的测试是对IT相关应用控制设计是否合理的验证。此阶段，审计人员需要检查IT系统的设计是否能够实现控制目标。

关键点：

• 测试设计有效性：审计人员要对控制系统的设计进行测试，确认它是否能够有效预防或应对相关风险。
• 检查配置管理：系统的配置参数是否正确设置，管理员是否按照规定操作配置，确保控制有效性。

4.测试和评价IT相关应用控制运行有效性

即便一个控制系统的设计看起来很合理，它是否在实际操作中得以稳定运行也是需要验证的。此时，审计人员要通过实际操作测试，确保控制措施在日常运营中能够得到持续的执行。

关键点：

• 运行有效性测试：对实际操作中的控制效果进行测试，确认它是否能够稳定有效地运作。
• 稳定性评估：控制措施是否能在较长时间内保持有效，避免短期内出现漏洞。

02 用一个行业案例来具体说明

为了帮助大家更好地理解如何编写ITAC底稿，下面小艾老师将通过一个实际行业案例——制造业销售循环，来阐明每个步骤如何应用到实际审计工作中。

行业背景：制造业销售循环

在制造业中，销售循环涵盖了多个环节，包括：

1. 客户需求获取：销售团队通过市场调研、客户反馈等渠道精准把握客户的需求。
2. 订单生成：系统生成订单并与生产部门协作，确保生产安排。
3. 产品发货：物流管理系统确保产品按时、准确地送达客户。
4. 收款：财务系统与销售系统协同，确保资金的安全回笼。
5. 售后服务：维护客户满意度，增强客户忠诚度。

这些环节中涉及多个IT系统，如ERP系统、库存管理系统、财务管理系统等。

1、了解IT相关业务流程

在写ITAC底稿的_步，就是通过与企业相关部门（销售、生产、财务、物流等）的访谈和实际调查，确保掌握完整的业务流程信息。

操作：

假设审计人员已经通过访谈和文档审查，了解了订单生成和物流管理流程：

• 订单生成：销售团队通过ERP系统录入客户需求后，自动生成订单，并转交生产部门。系统根据客户信息、产品库存、生产能力等自动确认订单，生成生产计划。
• 物流管理：产品生产完成后，ERP系统与物流管理系统对接，自动生成发货单，并协调物流公司进行配送。

2、识别IT相关应用控制

了解业务流程后，接下来是识别与IT系统相关的应用控制。

操作：

在销售循环的流程中，审计人员识别出以下IT控制：

• 订单生成控制：ERP系统自动验证客户信息、库存状况，确保订单生成不出现错误。系统还设置了限制，如超出信用额度时无法生成订单。
• 物流管理控制：系统通过与物流公司接口，实时监控配送状态，确保产品按时送达。如果发现配送异常，系统会自动触发警报并通知相关人员。
• 财务收款控制：财务系统与销售系统集成，确保每一笔订单的资金收回都能自动与账务系统匹配，防止漏记和重复收款。

3、测试和评价IT相关应用控制设计有效性

在掌握了控制目标和控制措施后，下一步是对这些控制措施的设计进行测试，确认其是否能有效预防和控制风险。

操作：

审计人员对订单生成控制进行测试，操作步骤如下：

• 步骤1：检查订单生成的逻辑：审计人员测试ERP系统，尝试录入超过客户信用额度的订单。结果系统自动阻止了该订单的生成，验证了系统中的控制措施是有效的。
• 步骤2：核查库存信息：审计人员通过系统查看库存记录，确认系统在生成订单时能够实时更新库存数量，防止超卖。

接下来，审计人员对物流管理控制进行测试：

• 步骤1：检查配送流程：审计人员随机抽查了几笔订单的物流记录，确保物流管理系统能够实时更新配送状态，并在出现延迟时触发警报。
• 步骤2：核查系统报警功能：审计人员模拟了物流延误情况，系统能够及时自动报警，并向相关人员发送通知，验证了系统在处理异常时的反应能力。

4、测试和评价IT相关应用控制运行有效性

_后，审计人员需要确保这些设计良好的控制在实际运营中能够得到持续执行。

操作：

审计人员进行运行有效性测试，操作如下：

• 订单生成运行情况：审计人员通过抽查历史订单，发现系统在过去六个月内，每一笔订单都经过了信用额度验证，且库存记录准确无误。此时，审计人员确认了订单生成控制在运行中能够持续有效。
• 物流管理运行情况：审计人员访问物流管理系统，查看历史数据，确保每一笔订单的发货信息都与实际配送情况一致，并且在发生配送延迟时，系统自动发送了警报
• 通过大量样本数据的验证，审计人员确认了这些IT控制在实际运营中能够稳定运行，并有效管理风险。

03 ITAC审计底稿标准格式

1. 封面与基本信息
   • 包括审计项目名称、审计单位、审计时间、审计负责人、底稿编号等基本信息。
   • 需注明底稿的保密级别和归档要求。
2. 项目背景
   • 描述审计项目的背景、目的、范围及时间安排，例如评估信息系统的安全性、合规性等。
3. 审计目标与方法
   • 明确审计目标（如评估安全控制有效性）及采用的审计方法（如文件审查、访谈、观察、抽样测试等）。
   • 需列明具体的审计程序步骤，例如：
     1. 收集系统访问控制策略文档；
     2. 访谈系统管理员；
     3. 观察用户权限管理操作。

4. 审计程序与记录
   • 程序表：按步骤记录审计程序、实施人、日期及结果，例如：

• • 识别特征：如以“日期+编号”标识审计证据（如销售发票编号）。

5. 审计证据与发现
   • 记录获取的原始文件、访谈记录、观察结果等，要求真实、完整、可追溯。
   • 重大事项需单独标注（如安全漏洞、合规偏差），并附处理过程记录。
6. 结论与建议
   • 基于审计证据提出结论，例如“系统访问控制策略存在权限分配漏洞”；
   • 提供改进建议（如优化权限管理流程、加强日志监控）。
7. 附件
   • 补充材料如流程图、合同复印件、系统配置截图等

好了，今天的分享就到这里。下面是小艾老师的广告时间。

想要系统地学习IT审计的知识、技能和方法，小艾老师推荐大家参加CISA国际信息系统审计师认证。