IT审计：了解IT复杂程度，从这3个方面入手

在IT审计工作开始前，首先要确定具体的审计范围。也就是说我们一开始要明确哪一些是要被纳入IT审计的范围里，哪一些是属于IT审计需要特别关注的事项？

我们可以从以下最基本的3个方面进行考虑，包括被审计单位的信息技术环境复杂程度，信息系统的复杂程度，业务流程的复杂程度等。

01

评估信息技术环境的复杂程度

信息技术环境其实就是保证公司IT正常运营的环境，包括具体IT部门的组织架构，与财务数据相关的信息系统数量和情况，公司的网络规模和基础情况，用户的数量，访问方式，外包情况等相关因素。

在有一些特殊情况下，可能被审计单位的IT系统本身比较简单，但是信息技术环境比较复杂，比如说IT组织架构的汇报线不够清晰，或者与财务相关的信息系统交互繁多，又或者是存在外部访问，并且存在部分第三方外包服务。所以在这种情况下，我们不能简单地把信息技术环境复杂程度等同于IT系统的复杂程度。

02

评估信息系统的复杂程度

那么在评估信息系统的复杂程度这一点呢，首先，我们要了解信息系统是自研的还是外购的，系统功能本身的复杂程度怎么样，是否是标准的商业软件，系统实施和运行过程中设置的参数是否复杂，距离上一次系统架构或系统版本重大变更是在什么时候，系统变更对财务系统是否有较大的影响，以及系统变更之后运行了多久等综合因素。

这里我们其实要清楚的一个点就是评估系统的复杂程度，其实并不是一个纯客观的判断，更多情况下，需要IT审计师的职业判断，这一切与IT审计师的能力，项目经验和工作经验是分不开的。

03

评估业务流程的复杂程度

在评估业务流程复杂程度这一点上，首先我们要先把与财务报表相关的业务流程梳理出来，可能不同的项目关注点是不一样的。比如说电商行业或者零售行业可能更会关注它的销售流程；而制造业的话，相对来说更会关注它的生产流程；在舞弊可能发生较大的行业，可能会更为关注采购流程。

所以针对不同的项目，我们首先要做一个基础的职业判断，具体在这一家公司哪一些流程是我们应该重点关注的，然后才是针对已梳理出的流程清单去做进一步的拆解，评估这个流程的处理过程是否涉及到复杂的公式或者大量数据的录入，哪一些过程是需要手工处理的，哪一些是通过自动化实现的？以及要与财务审计团队密切沟通了解具体在生成报告的过程中，对系统的依赖程度是怎样的，是否依赖自动化控制。

当然以上这三点只是最基本的三个评估要点，但是如果涉及到数据核查，还需要综合考虑系统生成的交易数量以及信息复杂计算的数量。

所以，在这个过程中，如果想要把整个复杂度的评估做完整，IT审计人员一定要有相关的会计、审计、管理和IT方面的知识，并且需要在IT审计项目实践中不断地积累，才能对一个新的项目，在刚接触时，就可以对它的技术环境信息系统和业务流程有一个初步的正确的判断。