常运行。
　　七、IT

 

技术在传统审计项目中的运用分析

　　本次审计是将 IT 技术应用在常规风险管理审计中的一次实践，主要分成以下几个步

 

骤：
　　1.识别风险点。借助以往的审计经验、访谈结果、风险暴露事件等了解常见的业务风险
点。本次审计中，即通过业务梳理与相关信息系统梳理，建立起全面的信息系统（IT）风
险评估模型，从数据的真实性、安全性、准确性等多个方面，全方位识别流程中所存在的

 

风险点，这些风险点即是内审关注的主线。
　　2.获取数据。根据风险点，了解风险相关的数据及其来源。在识别风险的过程中，确
定了风险相关数据对应的目标数据库，及其业务流程和数据流程。通过分析这些流程，获
得了数据存储的具体数据库名称、数据表名称和字段名称。通过技术人员的协助，可从信

 

息系统中获取审计期间内与风险点相关的所有数据。
　　3.数据分析。由于获取的 IT 数据是海量的，因此还需要通过技术手段进行分析和筛选，
从海量的数据中准确定位出存在风险的可疑样本。本案例中，审计组借助了常用的 SQL
数据库查询工具技术对相关数据进行分析，从上亿级的数据中，精准获得数千个可疑样
本。这种样本获取方法较传统的手工抽样方法有难以比拟的优越性，不但可在样本上实现

 

全量覆盖，而且可准确定位可疑样本，使得潜在问题难以逃脱内审人员的视野。
　　4.现场审计。针对数据分析获得的可疑样本，进行全面的测试和确认，确定这些可疑
样本是否反映相应的管理不足或者风险漏洞，同时深挖造成这些管理不足和风险漏洞的
原因，并最终追溯到相应的个体或者部门，使得发现的问题有对应的整改责任人或者部

 

门，形成内审工作的审计闭环。
　　5.

“

形成关键风险指标（ KRI”

“

）。本次审计中尝试性地引入关键风险指标（ KRI”）这

个概念，对于内审项目过程中风险较高且存在问题的风险点设计了相应的关键风险指标 ，
这些指标包含相应的风险描述、量化的指标评估方法、指标相关的数据分析步骤等，使业

 

务部门、内审部门能对风险点进行常态、动态的持续监控。
　　通过计算机手段开展数据辅助分析在一定程度上解决了传统内审工作方法的局限性 ，
促进了 IT 技术和审计方式的有效融合，对今后信息化程度高的企业开展审计工作有较好
的借鉴意义。