1.2.2 整合审计

由于业务流程依赖IT，所以所有审计师都有必要了解IT控制结构。此外，信息系统审计师还必须了解业务控制结构。此类整合审计是指结合各种相关的审计学科知识，为运营、流程或实体评估关键内部控制的流程，并侧重于风险。风险评估的目的是了解并确定实体及其环境（包括相关的内部控制）中产生的风险。在此阶段，信息系统审计师的作用通常是了解并确定信息管理、IT基础设施、IT治理和IT运营等主题领域中的风险。其他审计和鉴证专家会设法了解组织环境、业务风险和业务控制。整合方法的关键要素是在整个审计团队中讨论新出现的风险，并考虑风险的影响和可能性。

详细的审计工作则侧重于为管理风险而采取的相关控制措施。IT系统通常提供预防性控制和检测性控制的第一道防线，整合审计方法则依靠对这些控制的效率和有效性的可靠评估。

整合审计流程通常包括：

• 确定组织机构在被审计领域所面临的风险。

• 确定相关的关键控制。

• 审查和了解关键控制的设计。

• 测试IT系统是否支持关键控制。

• 测试管理控制的运营有效性。

• 有关控制风险、设计和薄弱环节的综合性报告或意见。

整合审计要求关注业务风险并期望促成创造性的控制解决方案。这需要具有不同技能的审计和鉴证专业人员进行团队协作，共同努力。使用此方法时，只对实体进行一次审计便可得到一份综合性的报告。采用这种方法的另外一个好处是，员工将看到更多可能性，并且能够了解各部门（职能部门和IT部门）是如何协同工作的，这样有利于培养和保留员工。有关整合审计如图1.2所示。

图1.2 整合审计

整合审计的概念从根本上改变了不同利益相关方接受和关注审计的方式。例如：

• 员工或流程所有者可以更好地理解审计目标，因为他们能看出控制与审计程序之间的联系。

• 高级管理层可以更好地理解提高控制有效性与相应地改进IT资源的分配和使用之间的联系。

• 股东可以更好地理解推动公司治理程度的提高以及这样做对生成可靠财务报表的影响之间的联系。

由于所有这些发展，整合审计越来越受欢迎。