- 相關推薦
IT 審計的更新
[摘 要]先容杜邦公司IT審計的評價標準、代表組的工作、兩種審計模型、IT審計的更新與。IT審計對我國內審的啟迪:重視與外部審計師的合作;夸大對內審職員的培訓;留意改進審計技巧;重視內審職員的知識更新! ‰S著主義市場體制 改革的深進發展,內部審計在現 代中的重要性也日益凸現出來,特別是對一些規模大、治理嚴格的大型企業及跨國公司而言,信息技術審計(Information Techn010gy,簡稱IT審計)作為內部審計的一種形式,在發達國家的跨國公司中發展迅猛,且在不斷更新,它對于我國的公司有很重要的鑒戒意義。下面,作者重先容美國杜邦公司在信息技術審計方面的最新進展及! 《虐钍且粋擁有總資產44億美元的大型跨國公司,一直在化學和化學器械、生物技術、地質學上處于技術上的領先地位。作為杜邦的審計職員,他們的使命是拿出世界一流的審計水平往支持公司的業務運作,他們定期制定標準且與其它公司相比較,然后評價結果,找出應改進的地方,為了與信息技術的飛速發展保持同步,杜邦公司把IT審計作為重點領域,要求內審職員拿出相應的方案,由于隨著信息技術的迅速發展,相應的審計技術變得復雜起來。所以,杜邦公司決的支持、在職培訓及監控。3.在一種業務范圍內夸大IT在總體審計意見里發現難于評估系統的相關性時,必須能將系統里的發現轉化為業務項目。4.發展一種聚焦池,確保能不斷關注到所有存在和新出現的技術。5.能從外部雇傭職員或剛離校的畢業生,來作為IT職能部分的新鮮血液。6.夸大要通過初步的培訓每個職員都應是全職的被培訓者,如:規定每個人每年要參加培訓10天。7.關心所有的重要技術開發,包括已存在和正在出現的技術。8.與研究部分緊密聯系。這對IT審計來說是很重要的,由于這樣會答應IT職能部分獲得一些控制文件,在計劃和設計階段就會考慮這些因素。9,為協調治理而服務。杜邦以為在這個領域應處理得比其它公司的IT活動更有效率,同時,杜邦也?醋约旱膬葘徥峭ㄟ^適當的程序和技術來治理一些經營活動將來也可以于外審。10.適當地依靠外部服務所提供的信息。11.熟悉到它沒必要達到高質量的最好限度。12.將自我評價作為未來世界一流審計組織的批評性產品,不僅對IT審計,而且對整個組織而言,都是很重要的。將以上發現作為評價標準,從而形成了很多固定的概念框架,根據以上內容,杜邦的研究小組設計了適應杜邦的IT審計方案。 二、小組工作 為使杜邦IT審計達到領先水平,杜邦從全球的內審職員和審計本公司的外部審計職員中抽調一部分組成了一個代表組,這個小組由一個總審計經理監視,對指揮部負責,這個指揮部包括副總裁、總審計師、副財務經理、信息主任和事務所的業務合伙人! ≡撔〗M在很緊湊的時間安排下建立了一套的工作方法。并對杜邦IT審計的發展和更新提出長期性的意見! ≡撔〗M給IT的定義是:IT審計與杜邦公司的其它所有審計活動是密切聯系的。我們將在職能審計小組的支持下,對應用系統和整個信息系統的各個部分進行具體的審計,進而確保在系統的支持下的經營活動能有充分的應用控?quot;! ⌒〗M的目標之一就是:保持一個完整的相應同一的內部審計職能部分時,決定如何進步杜邦的IT審計能力。 在商討和計劃時,提到了幾個固有風險因素,如:1.IT外部組織仍處于轉換時期,且更大的組織變化將會發生。2.杜邦信息系統的可靠性已經驚人地進步。3.化的機,包括因特網和主要的系統化,如SAPR/3,正在成長期。4.成增長趨勢的公司內部連網,導致公司向全體化和其它非傳統貿易聯營方向擴張。 三、兩種審計模型 杜邦常用IT審計總體模型(Audit Integration Model,簡稱AIM)和變量實施模型(Variable Sourcing Model,簡稱VSM)來決定是否應當從外部獲得技術或保持他們,特別是以為計劃需要改變的時候,這兩個模型有重要的指導意義。這兩個模型如下所示: 1.AIM AIM根據IT審計的組成要素大略揭示了IT的審計過程,復雜的知識水平和工作職員的工作量隨著以下所示的四個階段而逐步下降 階段1經營過程控制 準 備 活 動 實 施 選 擇 培 訓 要 求所有回屬于一個過程審 計的非系統的不相關審 計活動:如過程、計劃、流程圖、校閱閱兵程序、訪問和測試 執行所有正常情況下的 預備活動,不包括具體 的與IT有關的活動。 不需要具體的IT審計 技術 不需要高水平的IT培 鉆15 階段2輸出 所有與符合性審計有關 的活動,包括數據進進、錯誤書寫、輸出和進進 控制 決定應該用什么政策, 若與具體的經營有關 時,應在工作底稿上從 頭到尾寫清楚;若與多 種經營有關時,應把它 單獨拿出來進行符合性 測試,然后,在工作底稿 上注明 由有經驗的審計職員來執行任務。IT審計職員的任何行動都應得到支持,由于這個階段代表整個審計過程的重要環節。在向新結構進行完全轉變之前,IT審計職員對所執行的符合性測 試都以為是適當的。 確保每一個審計職員都 有執行符合性測試所需 技能,復核IT的組成要 素,決定是否需要改變,以確保達到目標。確保 這些技能對審計小組來 說是輕易達到的,且它 是必要的,直至達到審 計的長期目標。 階段3附臺性和分界面 在符合性審計和技術審 計之間的灰色領域,在這個階段需要有高技 能的高水平的審計人 員,由于這些活動要進 進到系統的內部工作且 與其他符合性相聯系。 決定執行的符合性復核 的細節應達到的水平, 確;疑I域被完全充分校測,尤其留意系 統的共同范圍,由于這 些可能沒被包括在先前 的比較窄的審計范圍中 確定符合條件的審計職員的比例和從外部尋找職員的可行性,確保此階段審計職員的技能對審計小組來說是輕易達到的,直至實現長期目標為止。 決定如何提供培訓,以 使他們達到更高的技術 水平,期看達到所需技 能的審計職員的比例將 被作為實施階段工作的 一部分,在轉換期,應確保這些技能對審計小組 來說輕易達到直至實現 長期目標! ‰A段4基礎性的結構 技術審計覆蓋了計算機 環境的內部工作.在此階段需要高技能和特 殊才能的人才,如:在運 行系統或安全軟件方面 通過符合性調試復核平臺的最近技術審計,根據峁?頁鮒蔥猩蠹頻氖奔洌?際跎蠹票匭胩峁┯泄仄教ǖ惱?逡?見,這一步應包括桌面系統環境和完整的桌面系統審計,必要時應事 先規劃 檢查正被杜邦使用的平臺系統,且必須做這項工作,確定在社邦所要求的技能范圍內的保存工作量,決定核心工作員、浮動工作量和特殊工作量的未來余 額,評價保存和維持這些技能的內部審計職員的職業道路前途等,確保改變計劃時答應小組充分協調好內部活動與6F部專家的聳囂- 對那些保存在杜邦內部 的技能應確定培訓的關 鍵來源且確保這些職員 是通用的,在這個階段,工作能力的大小受社邦 的聯營者的規模而定p 所以培訓只要及時就行! T AIM的建立可加強IT審計職員對IT審計的一般理解及他們應如何與其它審計活動相聯系。杜邦運用這個模型解釋了誰審計什么及在各個階段所期看達到的審計職員的工作能力和工作量之間的轉換,由于杜邦對全體審計職員進行了技能培訓,所以,杜邦尤其關注這樣的一些,如:實際培訓職員能力與各階段上審計職員應代表的水平之間的間隔有多遠,應在哪兒挑選有技能的IT審計職員等。AIM反映了社邦在這方面的決策,且AIM至少能被用于以下三個重要方面:1.通過提供一個評估與IT相關工作范圍的框架,來幫助計劃階段的審計。2.為將來建立IT審計評價表作預備,這張表用來作VSM的參照物。3.作為一種鑒別不同IT審計培訓的。 在以下三個領域中,模型提供了從一般了解到決策的各個部分的解決辦法。具體如下: 。ㄒ唬╊A備階段 當進行更多的經營過程審計時,預備階段的工作在確保清楚地界定審計范圍和審計小組應有的技能和工具往從事工作這兩方面起關鍵性的作用。經營過程審計將會在范圍上更廣、時間上更長,且很可能由大量不同機系統組成。如圖所示,AIM可作為一種有效的預備工具,假如某種技能需由外部職員來實施時,及時地在此階段補充審計職員會變得更重要! 。ǘ⿲嵤╇A段 這是工作范圍的重要部分,社邦審計小組一直在和采用VSM作為一個工具來決定成員水平和技術能力,模型顯示出杜邦計劃的技術能力保存在一個核心范圍內,核心范圍的大小由任何一年的估計工作量和杜邦是否維持這種技術能力由自己開發而決定,模型也表示出,可從外部獲取資源,若保存技術能力的工作量比估計工作量要高,這一部分差額稱為浮動工作,反之,稱之為特殊工作! IM與VSM結合起來,可用來確定保存在杜邦內審中的技術能力和將來的核心工作、浮動工作及特殊工作的平衡。與杜邦的支持者及供給商們討論,即實施IT審計的聯營公司,可能也是這個階段的一部分工作。另外,杜邦還計劃轉變戰略,確保內審依靠外部專家時有氣力控制局勢! 。ㄈ┡嘤枴 〕l展AIM和VSM外,工作小組還針對現在的IT審計組織進行技術描繪未來IT審計組織的遠景。由信息武裝起來,杜邦利用AIM來決定所期看的能達到多種目的的審計職員的IT技能是什么水平,及什么樣的特殊行為是杜邦將保存和維持的,提供的培訓課程應確保有一個完整的途徑。AIM可用來確定所需和所計劃的培訓! 四、更新 除以上外,該方案還包括不斷變化的組織評估表和技術分析表,針對現在至未來的組織,通過預想的變化,這些需要-個全球IT審計經理的命令,他將在下列領域內得到三個工作領導者的支持。1.信息同一:負責計劃、實施和進步技術審計。對諸如數據中心、遠程通訊等基礎設施方面負責咨詢。2.技術支持:負責發展和完成每年的計劃,這些計劃重點在于關注新出現的技術,評價和支持內審的技術要求,包括硬件、軟件、審計工作、計算機輔助審計技術和一個內審網站。3.應用支持:負責發展和完成每年的應用審計計劃,支持審計過程中的符合性測試,應用支持負責人也有責任確保所有的審計職員應符合控制目標且充分地受到培訓! ∈S嗟腎T審計職員保持他們現存的治理報告流程,但增加了一份職能報告與以上所述三組之一相聯系,將會執行很多審計活動,以便對杜邦審計計劃的預備階段進行控制,對全部審計工作進行監視! 五、啟迪與鑒戒 實踐證實,IT審計開辟:內審的新領域,它取得了一些成功經驗。 由于各種原因,我國的內審質量不高,更不用說IT審計了,由于對我國眾多來說,:企業內部治理結構還沒理順,信息化程度還不普及,只是在某些特殊行業中(如行業)比較普遍,、可以說,IT審計在我國還處于起步階段,而國外已發展得比較成熟。所以筆者以為,除了進一步改變國有企業的內審治理雙重體制之外,我國可在以下方面鑒戒西方先進經驗,努力進步我國的IT審計水平: 1.重視與外部審計師的合作,尤其是注冊師。我國的注冊會計師行業固然起步較晚,但已取得令人矚目的成績,特別是著名會計師事務所積累了大量的企業治理信息,相信與某公司長期合作的會計事務所定會為該公司提供良好的內審控制建議! 2.夸大對內審職員的培訓。在我國,由于內審治理體制還沒理順,沒有同一的準則。各企業應根據IT審計要求的高低進行不同程度的培訓。 3.規范I丁審計的同時,留意改進審計方法技巧?啥虐畹淖鞣,把整個審計過程劃分為幾個階段,并固定下來。但在各個階段的審計工作中,應留意審計方法的靈活運用。另外,盡量使用量化標準,如建立變量模型等! 4.重視內審職員的知識更新,這是IT審計的性質所決定的。企業的信息系統普遍應用網絡技術,且與商務系統緊密結合,使產業信息系統無紙化。在此環境下,審計職員不僅要把握傳統審計的基本知識,還必須把握計算機應用基本技能,這樣才能滿足審計需求,特別是對于內審的IT審計來說,不只是對企業的會計信息系統進行審計。所以,內審的治理機構及企業都應重視內審職員的知識更新,如,加快有關計算機審計的教材建設,計算機審計職員資格及制作計算機審計的具體準則等,方便企業選拔IT審計職員! [參考] [1]Wayne More and David Hen-drey. It Audit Renewal(J)。 Internal Auditorl999(4)。 [2] Pete Rosenwald. To Be or Not To Be LJ]. Accountancy. 1999. (8) [3]傅元明。計算機信息系統環境下的幾個審計題目LJ].審計研究,1999. (5) . [4]王學龍。內部審計風險初探U].審計研究資料,1999.(10)。 [5]劉 實。企業內部審計協助治理當局有效履行其職能EJ].審計研究資料,1999.(6) L6]何少平。內部審計的七個落實是改各企業經營治理的有效手段D].審計研究資料。1999.(6)【IT 審計的更新】相關文章:
審計假設、審計準則與審計責任的界定03-24
審計監管與審計質量03-24
審計監管與審計質量的審計畢業論文12-08
審計任期對審計質量的影響12-04
論審計證據與審計風險03-24
非審計服務與審計質量03-22
科技發展的質變問題與科技觀的更新03-18
審計師如何利用被審計企業的內部審計功能03-24
績效審計與中國審計國際接軌03-24