IT 审计的更新

时间:2020-09-21 作者:poter
后台-系统-系统设置-扩展变量-(内容页告位1-手机版)
[摘要]先容杜邦公司IT审计的评价标准、代表组的工作、两种审计模型、IT审计的更新与。IT审计对我国内审的启迪:重视与外部审计师的合作;夸大对内审职员的培训;留意改进审计技巧;重视内审职员的知识更新。随着主义市场体制改革的深进发展,内部审计在现代中的重要性也日益凸现出来,特别是对一些规模大、治理严格的大型企业及跨国公司而言,信息技术审计(InformationTechn010gy,简称IT审计)作为内部审计的一种形式,在发达国家的跨国公司中发展迅猛,且在不断更新,它对于我国的公司有很重要的鉴戒意义。下面,作者重先容美国杜邦公司在信息技术审计方面的最新进展及。杜邦是一个拥有总资产44亿美元的大型跨国公司,一直在化学和化学器械、生物技术、地质学上处于技术上的领先地位。作为杜邦的审计职员,他们的使命是拿出世界一流的审计水平往支持公司的业务运作,他们定期制定标准且与其它公司相比较,然后评价结果,找出应改进的地方,为了与信息技术的飞速发展保持同步,杜邦公司把IT审计作为重点领域,要求内审职员拿出相应的方案,由于随着信息技术的迅速发展,相应的审计技术变得复杂起来。所以,杜邦公司决的支持、在职培训及监控。3.在一种业务范围内夸大IT在总体审计意见里发现难于评估系统的相关性时,必须能将系统里的发现转化为业务项目。4.发展一种聚焦池,确保能不断关注到所有存在和新出现的技术。5.能从外部雇佣职员或刚离校的毕业生,来作为IT职能部分的新鲜血液。6.夸大要通过初步的培训每个职员都应是全职的被培训者,如:规定每个人每年要参加培训10天。7.关心所有的重要技术开发,包括已存在和正在出现的技术。8.与研究部分紧密联系。这对IT审计来说是很重要的,由于这样会答应IT职能部分获得一些控制文件,在计划和设计阶段就会考虑这些因素。9,为协调治理而服务。杜邦以为在这个领域应处理得比其它公司的IT活动更有效率,同时,杜邦也希看自己的内审是通过适当的程序和技术来治理一些经营活动将来也可以于外审。10.适当地依靠外部服务所提供的信息。11.熟悉到它没必要达到高质量的最好限度。12.将自我评价作为未来世界一流审计组织的批评性产品,不仅对IT审计,而且对整个组织而言,都是很重要的。将以上发现作为评价标准,从而形成了很多固定的概念框架,根据以上内容,杜邦的研究小组设计了适应杜邦的IT审计方案。二、小组工作为使杜邦IT审计达到领先水平,杜邦从全球的内审职员和审计本公司的外部审计职员中抽调一部分组成了一个代表组,这个小组由一个总审计经理监视,对指挥部负责,这个指挥部包括副总裁、总审计师、副财务经理、信息主任和事务所的业务合伙人。该小组在很紧凑的时间安排下建立了一套的工作方法。并对杜邦IT审计的发展和更新提出长期性的意见。该小组给IT的定义是:IT审计与杜邦公司的其它所有审计活动是密切联系的。我们将在职能审计小组的支持下,对应用系统和整个信息系统的各个部分进行具体的审计,进而确保在系统的支持下的经营活动能有充分的应用控?quot;。小组的目标之一就是:保持一个完整的相应同一的内部审计职能部分时,决定如何进步杜邦的IT审计能力。在商讨和计划时,提到了几个固有风险因素,如:1.IT外部组织仍处于转换时期,且更大的组织变化将会发生。2.杜邦信息系统的可靠性已经惊人地进步。3.化的机,包括因特网和主要的系统化,如SAPR/3,正在成长期。4.成增长趋势的公司内部连网,导致公司向全体化和其它非传统贸易联营方向扩张。三、两种审计模型杜邦常用IT审计总体模型(AuditIntegrationModel,简称AIM)和变量实施模型(VariableSourcingModel,简称VSM)来决定是否应当从外部获得技术或保持他们,特别是以为计划需要改变的时候,这两个模型有重要的指导意义。这两个模型如下所示:1.AIMAIM根据IT审计的组成要素大略揭示了IT的审计过程,复杂的知识水平和工作职员的工作量随着以下所示的四个阶段而逐步下降阶段1经营过程控制准备活动实施选择培训要求所有回属于一个过程审计的非系统的不相关审计活动:如过程、计划、流程图、校阅阅兵程序、访问和测试执行所有正常情况下的预备活动,不包括具体的与IT有关的活动。不需要具体的IT审计技术不需要高水平的IT培钻15阶段2输出所有与符合性审计有关的活动,包括数据进进、错误书写、输出和进进控制决定应该用什么政策,若与具体的经营有关时,应在工作底稿上从头到尾写清楚;若与多种经营有关时,应把它单独拿出来进行符合性测试,然后,在工作底稿上注明由有经验的审计职员来执行任务。IT审计职员的任何行动都应得到支持,由于这个阶段代表整个审计过程的重要环节。在向新结构进行完全转变之前,IT审计职员对所执行的符合性测试都以为是适当的。确保每一个审计职员都有执行符合性测试所需技能,复核IT的组成要素,决定是否需要改变,以确保达到目标。确保这些技能对审计小组来说是轻易达到的,且它是必要的,直至达到审计的长期目标。阶段3附台性和分界面在符合性审计和技术审计之间的灰色领域,在这个阶段需要有高技能的高水平的审计人员,由于这些活动要进进到系统的内部工作且与其他符合性相联系。决定执行的符合性复核的细节应达到的水平,确保灰色领域被完全充分校测,尤其留意系统的共同范围,由于这些可能没被包括在先前的比较窄的审计范围中确定符合条件的审计职员的比例和从外部寻找职员的可行性,确保此阶段审计职员的技能对审计小组来说是轻易达到的,直至实现长期目标为止。决定如何提供培训,以使他们达到更高的技术水平,期看达到所需技能的审计职员的比例将被作为实施阶段工作的一部分,在转换期,应确保这些技能对审计小组来说轻易达到直至实现长期目标。阶段4基础性的结构技术审计覆盖了计算机环境的内部工作.在此阶段需要高技能和特殊才能的人才,如:在运行系统或安全软件方面通过符合性调试复核平台的最近技术审计,根据峁?页鲋葱猩蠹频氖奔洌?际跎蠹票匦胩峁┯泄仄教ǖ恼?逡?见,这一步应包括桌面系统环境和完整的桌面系统审计,必要时应事先规划检查正被杜邦使用的平台系统,且必须做这项工作,确定在社邦所要求的技能范围内的保存工作量,决定核心工作员、浮动工作量和特殊工作量的未来余额,评价保存和维持这些技能的内部审计职员的职业道路前途等,确保改变计划时答应小组充分协调好内部活动与6F部专家的耸嚣-对那些保存在杜邦内部的技能应确定培训的关键来源且确保这些职员是通用的,在这个阶段,工作能力的大小受社邦的联营者的规模而定p所以培训只要及时就行。ITAIM的建立可加强IT审计职员对IT审计的一般理解及他们应如何与其它审计活动相联系。杜邦运用这个模型解释了谁审计什么及在各个阶段所期看达到的审计职员的工作能力和工作量之间的转换,由于杜邦对全体审计职员进行了技能培训,所以,杜邦尤其关注这样的一些,如:实际培训职员能力与各阶段上审计职员应代表的水平之间的间隔有多远,应在哪儿挑选有技能的IT审计职员等。AIM反映了社邦在这方面的决策,且AIM至少能被用于以下三个重要方面:1.通过提供一个评估与IT相关工作范围的框架,来帮助计划阶段的审计。2.为将来建立IT审计评价表作预备,这张表用来作VSM的参照物。3.作为一种鉴别不同IT审计培训的。在以下三个领域中,模型提供了从一般了解到决策的各个部分的解决办法。具体如下:(一)预备阶段当进行更多的经营过程审计时,预备阶段的工作在确保清楚地界定审计范围和审计小组应有的技能和工具往从事工作这两方面起关键性的作用。经营过程审计将会在范围上更广、时间上更长,且很可能由大量不同机系统组成。如图所示,AIM可作为一种有效的预备工具,假如某种技能需由外部职员来实施时,及时地在此阶段补充审计职员会变得更重要。(二)实施阶段这是工作范围的重要部分,社邦审计小组一直在和采用VSM作为一个工具来决定成员水平和技术能力,模型显示出杜邦计划的技术能力保存在一个核心范围内,核心范围的大小由任何一年的估计工作量和杜邦是否维持这种技术能力由自己开发而决定,模型也表示出,可从外部获取资源,若保存技术能力的工作量比估计工作量要高,这一部分差额称为浮动工作,反之,称之为特殊工作。AIM与VSM结合起来,可用来确定保存在杜邦内审中的技术能力和将来的核心工作、浮动工作及特殊工作的平衡。与杜邦的支持者及供给商们讨论,即实施IT审计的联营公司,可能也是这个阶段的一部分工作。另外,杜邦还计划转变战略,确保内审依靠外部专家时有气力控制局势。(三)培训除发展AIM和VSM外,工作小组还针对现在的IT审计组织进行技术描绘未来IT审计组织的远景。由信息武装起来,杜邦利用AIM来决定所期看的能达到多种目的的审计职员的IT技能是什么水平,及什么样的特殊行为是杜邦将保存和维持的,提供的培训课程应确保有一个完整的途径。AIM可用来确定所需和所计划的培训。
后台-系统-系统设置-扩展变量-(内容页告位2-手机版)
声明:本文内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:123456789@qq.com 进行举报,并提供相关证据,工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。
后台-系统-系统设置-扩展变量-(内容页告位3-手机版)