- 相關(guān)推薦
IT 審計的更新
[摘 要]先容杜邦公司IT審計的評價(jià)標準、代表組的工作、兩種審計模型、IT審計的更新與。IT審計對我國內審的啟迪:重視與外部審計師的合作;夸大對內審職員的培訓;留意改進(jìn)審計技巧;重視內審職員的知識更新! ‰S著(zhù)主義市場(chǎng)體制 改革的深進(jìn)發(fā)展,內部審計在現 代中的重要性也日益凸現出來(lái),特別是對一些規模大、治理嚴格的大型企業(yè)及跨國公司而言,信息技術(shù)審計(Information Techn010gy,簡(jiǎn)稱(chēng)IT審計)作為內部審計的一種形式,在發(fā)達國家的跨國公司中發(fā)展迅猛,且在不斷更新,它對于我國的公司有很重要的鑒戒意義。下面,作者重先容美國杜邦公司在信息技術(shù)審計方面的最新進(jìn)展及! 《虐钍且粋(gè)擁有總資產(chǎn)44億美元的大型跨國公司,一直在化學(xué)和化學(xué)器械、生物技術(shù)、地質(zhì)學(xué)上處于技術(shù)上的領(lǐng)先地位。作為杜邦的審計職員,他們的使命是拿出世界一流的審計水平往支持公司的業(yè)務(wù)運作,他們定期制定標準且與其它公司相比較,然后評價(jià)結果,找出應改進(jìn)的地方,為了與信息技術(shù)的飛速發(fā)展保持同步,杜邦公司把IT審計作為重點(diǎn)領(lǐng)域,要求內審職員拿出相應的方案,由于隨著(zhù)信息技術(shù)的迅速發(fā)展,相應的審計技術(shù)變得復雜起來(lái)。所以,杜邦公司決的支持、在職培訓及監控。3.在一種業(yè)務(wù)范圍內夸大IT在總體審計意見(jiàn)里發(fā)現難于評估系統的相關(guān)性時(shí),必須能將系統里的發(fā)現轉化為業(yè)務(wù)項目。4.發(fā)展一種聚焦池,確保能不斷關(guān)注到所有存在和新出現的技術(shù)。5.能從外部雇傭職員或剛離校的畢業(yè)生,來(lái)作為IT職能部分的新鮮血液。6.夸大要通過(guò)初步的培訓每個(gè)職員都應是全職的被培訓者,如:規定每個(gè)人每年要參加培訓10天。7.關(guān)心所有的重要技術(shù)開(kāi)發(fā),包括已存在和正在出現的技術(shù)。8.與研究部分緊密聯(lián)系。這對IT審計來(lái)說(shuō)是很重要的,由于這樣會(huì )答應IT職能部分獲得一些控制文件,在計劃和設計階段就會(huì )考慮這些因素。9,為協(xié)調治理而服務(wù)。杜邦以為在這個(gè)領(lǐng)域應處理得比其它公司的IT活動(dòng)更有效率,同時(shí),杜邦也?醋约旱膬葘徥峭ㄟ^(guò)適當的程序和技術(shù)來(lái)治理一些經(jīng)營(yíng)活動(dòng)將來(lái)也可以于外審。10.適當地依靠外部服務(wù)所提供的信息。11.熟悉到它沒(méi)必要達到高質(zhì)量的最好限度。12.將自我評價(jià)作為未來(lái)世界一流審計組織的批評性產(chǎn)品,不僅對IT審計,而且對整個(gè)組織而言,都是很重要的。將以上發(fā)現作為評價(jià)標準,從而形成了很多固定的概念框架,根據以上內容,杜邦的研究小組設計了適應杜邦的IT審計方案! 二、小組工作 為使杜邦I(lǐng)T審計達到領(lǐng)先水平,杜邦從全球的內審職員和審計本公司的外部審計職員中抽調一部分組成了一個(gè)代表組,這個(gè)小組由一個(gè)總審計經(jīng)理監視,對指揮部負責,這個(gè)指揮部包括副總裁、總審計師、副財務(wù)經(jīng)理、信息主任和事務(wù)所的業(yè)務(wù)合伙人! ≡撔〗M在很緊湊的時(shí)間安排下建立了一套的工作方法。并對杜邦I(lǐng)T審計的發(fā)展和更新提出長(cháng)期性的意見(jiàn)! ≡撔〗M給IT的定義是:IT審計與杜邦公司的其它所有審計活動(dòng)是密切聯(lián)系的。我們將在職能審計小組的支持下,對應用系統和整個(gè)信息系統的各個(gè)部分進(jìn)行具體的審計,進(jìn)而確保在系統的支持下的經(jīng)營(yíng)活動(dòng)能有充分的應用控?quot;! ⌒〗M的目標之一就是:保持一個(gè)完整的相應同一的內部審計職能部分時(shí),決定如何進(jìn)步杜邦的IT審計能力! ≡谏逃懞陀媱潟r(shí),提到了幾個(gè)固有風(fēng)險因素,如:1.IT外部組織仍處于轉換時(shí)期,且更大的組織變化將會(huì )發(fā)生。2.杜邦信息系統的可靠性已經(jīng)驚人地進(jìn)步。3.化的機,包括因特網(wǎng)和主要的系統化,如SAPR/3,正在成長(cháng)期。4.成增長(cháng)趨勢的公司內部連網(wǎng),導致公司向全體化和其它非傳統貿易聯(lián)營(yíng)方向擴張! 三、兩種審計模型 杜邦常用IT審計總體模型(Audit Integration Model,簡(jiǎn)稱(chēng)AIM)和變量實(shí)施模型(Variable Sourcing Model,簡(jiǎn)稱(chēng)VSM)來(lái)決定是否應當從外部獲得技術(shù)或保持他們,特別是以為計劃需要改變的時(shí)候,這兩個(gè)模型有重要的指導意義。這兩個(gè)模型如下所示: 1.AIM AIM根據IT審計的組成要素大略揭示了IT的審計過(guò)程,復雜的知識水平和工作職員的工作量隨著(zhù)以下所示的四個(gè)階段而逐步下降 階段1經(jīng)營(yíng)過(guò)程控制 準 備 活 動(dòng) 實(shí) 施 選 擇 培 訓 要 求所有回屬于一個(gè)過(guò)程審 計的非系統的不相關(guān)審 計活動(dòng):如過(guò)程、計劃、流程圖、校閱閱兵程序、訪(fǎng)問(wèn)和測試 執行所有正常情況下的 預備活動(dòng),不包括具體 的與IT有關(guān)的活動(dòng)。 不需要具體的IT審計 技術(shù) 不需要高水平的IT培 鉆15 階段2輸出 所有與符合性審計有關(guān) 的活動(dòng),包括數據進(jìn)進(jìn)、錯誤書(shū)寫(xiě)、輸出和進(jìn)進(jìn) 控制 決定應該用什么政策, 若與具體的經(jīng)營(yíng)有關(guān) 時(shí),應在工作底稿上從 頭到尾寫(xiě)清楚;若與多 種經(jīng)營(yíng)有關(guān)時(shí),應把它 單獨拿出來(lái)進(jìn)行符合性 測試,然后,在工作底稿 上注明 由有經(jīng)驗的審計職員來(lái)執行任務(wù)。IT審計職員的任何行動(dòng)都應得到支持,由于這個(gè)階段代表整個(gè)審計過(guò)程的重要環(huán)節。在向新結構進(jìn)行完全轉變之前,IT審計職員對所執行的符合性測 試都以為是適當的。 確保每一個(gè)審計職員都 有執行符合性測試所需 技能,復核IT的組成要 素,決定是否需要改變,以確保達到目標。確保 這些技能對審計小組來(lái) 說(shuō)是輕易達到的,且它 是必要的,直至達到審 計的長(cháng)期目標! ‰A段3附臺性和分界面 在符合性審計和技術(shù)審 計之間的灰色領(lǐng)域,在這個(gè)階段需要有高技 能的高水平的審計人 員,由于這些活動(dòng)要進(jìn) 進(jìn)到系統的內部工作且 與其他符合性相聯(lián)系。 決定執行的符合性復核 的細節應達到的水平, 確;疑I(lǐng)域被完全充分校測,尤其留意系 統的共同范圍,由于這 些可能沒(méi)被包括在先前 的比較窄的審計范圍中 確定符合條件的審計職員的比例和從外部尋找職員的可行性,確保此階段審計職員的技能對審計小組來(lái)說(shuō)是輕易達到的,直至實(shí)現長(cháng)期目標為止。 決定如何提供培訓,以 使他們達到更高的技術(shù) 水平,期看達到所需技 能的審計職員的比例將 被作為實(shí)施階段工作的 一部分,在轉換期,應確保這些技能對審計小組 來(lái)說(shuō)輕易達到直至實(shí)現 長(cháng)期目標! ‰A段4基礎性的結構 技術(shù)審計覆蓋了計算機 環(huán)境的內部工作.在此階段需要高技能和特 殊才能的人才,如:在運 行系統或安全軟件方面 通過(guò)符合性調試復核平臺的最近技術(shù)審計,根據峁?頁(yè)鮒蔥猩蠹頻氖奔洌?際跎蠹票匭胩峁┯泄仄教ǖ惱?逡?見(jiàn),這一步應包括桌面系統環(huán)境和完整的桌面系統審計,必要時(shí)應事 先規劃 檢查正被杜邦使用的平臺系統,且必須做這項工作,確定在社邦所要求的技能范圍內的保存工作量,決定核心工作員、浮動(dòng)工作量和特殊工作量的未來(lái)余 額,評價(jià)保存和維持這些技能的內部審計職員的職業(yè)道路前途等,確保改變計劃時(shí)答應小組充分協(xié)調好內部活動(dòng)與6F部專(zhuān)家的聳囂- 對那些保存在杜邦內部 的技能應確定培訓的關(guān) 鍵來(lái)源且確保這些職員 是通用的,在這個(gè)階段,工作能力的大小受社邦 的聯(lián)營(yíng)者的規模而定p 所以培訓只要及時(shí)就行! T AIM的建立可加強IT審計職員對IT審計的一般理解及他們應如何與其它審計活動(dòng)相聯(lián)系。杜邦運用這個(gè)模型解釋了誰(shuí)審計什么及在各個(gè)階段所期看達到的審計職員的工作能力和工作量之間的轉換,由于杜邦對全體審計職員進(jìn)行了技能培訓,所以,杜邦尤其關(guān)注這樣的一些,如:實(shí)際培訓職員能力與各階段上審計職員應代表的水平之間的間隔有多遠,應在哪兒挑選有技能的IT審計職員等。AIM反映了社邦在這方面的決策,且AIM至少能被用于以下三個(gè)重要方面:1.通過(guò)提供一個(gè)評估與IT相關(guān)工作范圍的框架,來(lái)幫助計劃階段的審計。2.為將來(lái)建立IT審計評價(jià)表作預備,這張表用來(lái)作VSM的參照物。3.作為一種鑒別不同IT審計培訓的! ≡谝韵氯齻(gè)領(lǐng)域中,模型提供了從一般了解到?jīng)Q策的各個(gè)部分的解決辦法。具體如下: 。ㄒ唬╊A備階段 當進(jìn)行更多的經(jīng)營(yíng)過(guò)程審計時(shí),預備階段的工作在確保清楚地界定審計范圍和審計小組應有的技能和工具往從事工作這兩方面起關(guān)鍵性的作用。經(jīng)營(yíng)過(guò)程審計將會(huì )在范圍上更廣、時(shí)間上更長(cháng),且很可能由大量不同機系統組成。如圖所示,AIM可作為一種有效的預備工具,假如某種技能需由外部職員來(lái)實(shí)施時(shí),及時(shí)地在此階段補充審計職員會(huì )變得更重要! 。ǘ⿲(shí)施階段 這是工作范圍的重要部分,社邦審計小組一直在和采用VSM作為一個(gè)工具來(lái)決定成員水平和技術(shù)能力,模型顯示出杜邦計劃的技術(shù)能力保存在一個(gè)核心范圍內,核心范圍的大小由任何一年的估計工作量和杜邦是否維持這種技術(shù)能力由自己開(kāi)發(fā)而決定,模型也表示出,可從外部獲取資源,若保存技術(shù)能力的工作量比估計工作量要高,這一部分差額稱(chēng)為浮動(dòng)工作,反之,稱(chēng)之為特殊工作! IM與VSM結合起來(lái),可用來(lái)確定保存在杜邦內審中的技術(shù)能力和將來(lái)的核心工作、浮動(dòng)工作及特殊工作的平衡。與杜邦的支持者及供給商們討論,即實(shí)施IT審計的聯(lián)營(yíng)公司,可能也是這個(gè)階段的一部分工作。另外,杜邦還計劃轉變戰略,確保內審依靠外部專(zhuān)家時(shí)有氣力控制局勢! 。ㄈ┡嘤枴 〕l(fā)展AIM和VSM外,工作小組還針對現在的IT審計組織進(jìn)行技術(shù)描繪未來(lái)IT審計組織的遠景。由信息武裝起來(lái),杜邦利用AIM來(lái)決定所期看的能達到多種目的的審計職員的IT技能是什么水平,及什么樣的特殊行為是杜邦將保存和維持的,提供的培訓課程應確保有一個(gè)完整的途徑。AIM可用來(lái)確定所需和所計劃的培訓! 四、更新 除以上外,該方案還包括不斷變化的組織評估表和技術(shù)分析表,針對現在至未來(lái)的組織,通過(guò)預想的變化,這些需要-個(gè)全球IT審計經(jīng)理的命令,他將在下列領(lǐng)域內得到三個(gè)工作領(lǐng)導者的支持。1.信息同一:負責計劃、實(shí)施和進(jìn)步技術(shù)審計。對諸如數據中心、遠程通訊等基礎設施方面負責咨詢(xún)。2.技術(shù)支持:負責發(fā)展和完成每年的計劃,這些計劃重點(diǎn)在于關(guān)注新出現的技術(shù),評價(jià)和支持內審的技術(shù)要求,包括硬件、軟件、審計工作、計算機輔助審計技術(shù)和一個(gè)內審網(wǎng)站。3.應用支持:負責發(fā)展和完成每年的應用審計計劃,支持審計過(guò)程中的符合性測試,應用支持負責人也有責任確保所有的審計職員應符合控制目標且充分地受到培訓! ∈S嗟腎T審計職員保持他們現存的治理報告流程,但增加了一份職能報告與以上所述三組之一相聯(lián)系,將會(huì )執行很多審計活動(dòng),以便對杜邦審計計劃的預備階段進(jìn)行控制,對全部審計工作進(jìn)行監視! 五、啟迪與鑒戒 實(shí)踐證實(shí),IT審計開(kāi)辟:內審的新領(lǐng)域,它取得了一些成功經(jīng)驗! ∮捎诟鞣N原因,我國的內審質(zhì)量不高,更不用說(shuō)IT審計了,由于對我國眾多來(lái)說(shuō),:企業(yè)內部治理結構還沒(méi)理順,信息化程度還不普及,只是在某些特殊行業(yè)中(如行業(yè))比較普遍,、可以說(shuō),IT審計在我國還處于起步階段,而國外已發(fā)展得比較成熟。所以筆者以為,除了進(jìn)一步改變國有企業(yè)的內審治理雙重體制之外,我國可在以下方面鑒戒西方先進(jìn)經(jīng)驗,努力進(jìn)步我國的IT審計水平: 1.重視與外部審計師的合作,尤其是注冊師。我國的注冊會(huì )計師行業(yè)固然起步較晚,但已取得令人矚目的成績(jì),特別是著(zhù)名會(huì )計師事務(wù)所積累了大量的企業(yè)治理信息,相信與某公司長(cháng)期合作的會(huì )計事務(wù)所定會(huì )為該公司提供良好的內審控制建議! 2.夸大對內審職員的培訓。在我國,由于內審治理體制還沒(méi)理順,沒(méi)有同一的準則。各企業(yè)應根據IT審計要求的高低進(jìn)行不同程度的培訓! 3.規范I丁審計的同時(shí),留意改進(jìn)審計方法技巧?啥虐畹淖鞣,把整個(gè)審計過(guò)程劃分為幾個(gè)階段,并固定下來(lái)。但在各個(gè)階段的審計工作中,應留意審計方法的靈活運用。另外,盡量使用量化標準,如建立變量模型等! 4.重視內審職員的知識更新,這是IT審計的性質(zhì)所決定的。企業(yè)的信息系統普遍應用網(wǎng)絡(luò )技術(shù),且與商務(wù)系統緊密結合,使產(chǎn)業(yè)信息系統無(wú)紙化。在此環(huán)境下,審計職員不僅要把握傳統審計的基本知識,還必須把握計算機應用基本技能,這樣才能滿(mǎn)足審計需求,特別是對于內審的IT審計來(lái)說(shuō),不只是對企業(yè)的會(huì )計信息系統進(jìn)行審計。所以,內審的治理機構及企業(yè)都應重視內審職員的知識更新,如,加快有關(guān)計算機審計的教材建設,計算機審計職員資格及制作計算機審計的具體準則等,方便企業(yè)選拔IT審計職員! [參考] [1]Wayne More and David Hen-drey. It Audit Renewal(J)。 Internal Auditorl999(4)! 2] Pete Rosenwald. To Be or Not To Be LJ]. Accountancy. 1999. (8) [3]傅元明。計算機信息系統環(huán)境下的幾個(gè)審計題目LJ].審計研究,1999. (5) . [4]王學(xué)龍。內部審計風(fēng)險初探U].審計研究資料,1999.(10)! 5]劉 實(shí)。企業(yè)內部審計協(xié)助治理當局有效履行其職能EJ].審計研究資料,1999.(6) L6]何少平。內部審計的七個(gè)落實(shí)是改各企業(yè)經(jīng)營(yíng)治理的有效手段D].審計研究資料。1999.(6)【IT 審計的更新】相關(guān)文章:
審計假設、審計準則與審計責任的界定03-24
審計監管與審計質(zhì)量03-24
審計監管與審計質(zhì)量的審計畢業(yè)論文12-08
審計任期對審計質(zhì)量的影響12-04
論審計證據與審計風(fēng)險03-24
非審計服務(wù)與審計質(zhì)量03-22
科技發(fā)展的質(zhì)變問(wèn)題與科技觀(guān)的更新03-18
績(jì)效審計與中國審計國際接軌03-24