【四大事務所日記】 IT電審是什麼？ | IT知識篇

▨ 前情提要：因為網路上沒有太多人在分享IT電審工作內容相關訊息，所以想把我在支援該組案件的經驗記錄下來給大家參考。如果有不正確的地方，歡迎專業的批評指教>”<

延伸閱讀：前一篇分享了更多關於IT電審職缺的基本常識，還沒看過的人建議先去看那篇！
👉【四大事務所日記】 IT電審是什麼？ | 基本工作概述篇

IT電審的目的&審查對象

如同前一篇文提到，IT電審與一般審計的主要差異，是該組會針對客戶的資訊系統進行審查。也由於大多會計系同學對於資訊相關知識比較少有涉略，因此事務所會另立一個IT電審組，來專門因應審計查核中的資訊系統內控審查這塊。

所謂資訊系統，包含ERP(Enterprise Resource Planning)、MES(Manufacturing Execution System)、AIS(Accounting Information System)等。IT電審會對這些系統的內部設定、流程進行審查，確定其受適當監管且程序方法合理。

IT電審的審查方法論

審查的對象會根據受查客戶使用的系統而有些微差異，常見的受查系統有SAP、MES、AIS、JIRA…等。

而對於上述不同系統，我們會一一針對各系統的AP(application)、DB(database)、OS(operating system)這三個層面(Tier)、以及Windows OS延伸出的AD網域、較獨立的NW(network)這5大項目進行審查。通常不同系統的相同項目，可以用同一份底稿template來展開，但會依據各系統特性或當期情形作不同調整。

所以要能有邏輯、知道自己在做什麼的審查這些系統，就需要先對這些系統的架構有一些認知。下一段將以ERP系統為例，稍微解釋它的組成架構。

資訊系統的組成

在眾多ERP系統用戶端（也就是client介面）的背後，都是由主機(Server=Host)控制，而主機又由三個tiers組成：

• 應用層（AP）：位於最頂端，表示 ERP系統的業務邏輯和用戶界面。這層處理用戶的輸入和請求，並向下傳送給資料庫層。ERP系統的核心功能（如財務、採購等模組）運行在此層。在IT審計實務面，AP這部分會延伸出一個額外的應用控制測試(AP comntrol)，主要用來檢視某些重要權限的核決人員是否適當。
• 資料庫層（DB）：位於中間，負責存儲和管理系統的數據。應用層發出的查詢會經過這層，並返回所需的數據。這層展示了數據操作的集中管理，保持數據的一致性和可用性。
• 作業系統層（OS）：最底層，負責管理硬體資源並提供支援上層應用的基礎設施。作業系統確保應用程式有足夠的資源運行並提供數據存取。在IT審計實務面，OS層會延伸出AD網域相關測試，詳見下方描述。
  

在主機構造之外，另外兩個比較獨立的審查項目有：

• Network網絡：負責數據傳輸，確保應用層、資料庫層和作業系統層之間的數據流順暢。它支持內部和外部通信，並確保各層能夠相互流通。為了保護這整個IT環境，對外也會有一個Network防火牆，來過濾進出的資訊。

• AD網域(Active Directory Domain)：由OS延伸出來，用以控制用戶身份驗證和訪問權限，管理跨系統的使用者登入、權限和安全性。AD能確保正確的用戶擁有相應的權限來訪問ERP系統，從而加強整體安全性。實務上，我們會針對信任關係、密碼原則、使用者權限…等相關設定進行審查。

▼資訊系統的組成架構圖（以ERP系統為例）

講了一堆（奇怪的）專有名詞，其實也只是IT審計基本的底層邏輯，進來之後會有非常多延伸的知識要學習。

不過好消息是，如果現在對這些知識比較陌生也沒關係，入職後組上senior會給你各種相關學習資源，幫你補好補滿該有的知識！！所以，如果非資訊本科而想跨入這個業務線，要具備的就是快速學習、和自己查資料、解決問題的能力！

IT電審的底稿有什麼特別嗎？

其實，IT電審的底稿架構大致和一般審一樣，都會在每份Excel底稿最前面有個Lead Sheet（或稱Summary）來放測試的RAIT(Risk Arising from IT)、整體架構、結論、發現的缺失(deficiencies)；後面各頁籤(tab)則是該測試的不同控制點（或稱控制活動）的底稿。每個測試都主要由控制活動名稱、設計有效性驗證DP(Design Procedure)、和執行有效性驗證OE(Operating Effectiveness)三個部分所組成。當中也會有控制是否獨立或仰賴其他控制的判斷、RF(Roll Forward)測試等段落。

而PBC方面，IT審計大多會拿到的是截圖形式，通常是每個控制點會放在一個Word檔案中。這點也和審計組大部分是拿到Excel檔案有所不同。

總而言之，IT審計的底稿和PBC，與一般審計最大的不同，是文字描述多於數字分析。理由就如同我前面說的，這個業務線是針對內控做審查（屬於控制測試），而非證實測試呀！

今天的分享就到這邊~之後也會繼續和大家分享四大顧問服務的日常，敬請期待( ˶ˊᵕˋ)੭♡