更新(IT 審計的更新)

更新

更新

更新gēng xīn[釋義] (動(dòng))舊的.去了，新的來(lái)到。[構成]  動(dòng)補式：更〈新[例句]  萬(wàn)象～。（作謂語(yǔ)）

IT 審計的更新

IT 審計的更新

[摘 要]先容杜邦公司IT審計的評價(jià)標準、代表組的工作、兩種審計模型、IT審計的更新與。IT審計對我國內審的啟迪：重視與外部審計師的合作；夸大對內審職員的培訓；留意改進(jìn)審計技巧；重視內審職員的知識更新。隨著(zhù)主義市場(chǎng)體制 改革的深進(jìn)發(fā)展，內部審計在現 代中的重要性也日益凸現出來(lái)，特別是對一些規模大、治理嚴格的大型企業(yè)及跨國公司而言，信息技術(shù)審計（Information Techn010gy，簡(jiǎn)稱(chēng)IT審計）作為內部審計的一種形式，在發(fā)達國家的跨國公司中發(fā)展迅猛，且在不斷更新，它對于我國的公司有很重要的鑒戒意義。下面，作者重先容美國杜邦公司在信息技術(shù)審計方面的最新進(jìn)展及。杜邦是一個(gè)擁有總資產(chǎn)44億美元的大型跨國公司，一直在化學(xué)和化學(xué)器械、生物技術(shù)、地質(zhì)學(xué)上處于技術(shù)上的領(lǐng)先地位。作為杜邦的審計職員，他們的使命是拿出世界一流的審計水平往支持公司的業(yè)務(wù)運作，他們定期制定標準且與其它公司相比較，然后評價(jià)結果，找出應改進(jìn)的地方，為了與信息技術(shù)的飛速發(fā)展保持同步，杜邦公司把IT審計作為重點(diǎn)領(lǐng)域，要求內審職員拿出相應的方案，由于隨著(zhù)信息技術(shù)的迅速發(fā)展，相應的審計技術(shù)變得復雜起來(lái)。所以，杜邦公司決的支持、在職培訓及監控。3.在一種業(yè)務(wù)范圍內夸大IT在總體審計意見(jiàn)里發(fā)現難于評估系統的相關(guān)性時(shí)，必須能將系統里的發(fā)現轉化為業(yè)務(wù)項目。4.發(fā)展一種聚焦池，確保能不斷關(guān)注到所有存在和新出現的技術(shù)。5.能從外部雇傭職員或剛離校的畢業(yè)生，來(lái)作為IT職能部分的新鮮血液。6.夸大要通過(guò)初步的培訓每個(gè)職員都應是全職的被培訓者，如：規定每個(gè)人每年要參加培訓10天。7.關(guān)心所有的重要技術(shù)開(kāi)發(fā)，包括已存在和正在出現的技術(shù)。8.與研究部分緊密聯(lián)系。這對IT審計來(lái)說(shuō)是很重要的，由于這樣會(huì )答應IT職能部分獲得一些控制文件，在計劃和設計階段就會(huì )考慮這些因素。9，為協(xié)調治理而服務(wù)。杜邦以為在這個(gè)領(lǐng)域應處理得比其它公司的IT活動(dòng)更有效率，同時(shí)，杜邦也希看自己的內審是通過(guò)適當的程序和技術(shù)來(lái)治理一些經(jīng)營(yíng)活動(dòng)將來(lái)也可以于外審。10.適當地依靠外部服務(wù)所提供的信息。11.熟悉到它沒(méi)必要達到高質(zhì)量的最好限度。12.將自我評價(jià)作為未來(lái)世界一流審計組織的批評性產(chǎn)品，不僅對IT審計，而且對整個(gè)組織而言，都是很重要的。將以上發(fā)現作為評價(jià)標準，從而形成了很多固定的概念框架，根據以上內容，杜邦的研究小組設計了適應杜邦的IT審計方案。　　二、小組工作為使杜邦I(lǐng)T審計達到領(lǐng)先水平，杜邦從全球的內審職員和審計本公司的外部審計職員中抽調一部分組成了一個(gè)代表組，這個(gè)小組由一個(gè)總審計經(jīng)理監視，對指揮部負責，這個(gè)指揮部包括副總裁、總審計師、副財務(wù)經(jīng)理、信息主任和事務(wù)所的業(yè)務(wù)合伙人。該小組在很緊湊的時(shí)間安排下建立了一套的工作方法。并對杜邦I(lǐng)T審計的發(fā)展和更新提出長(cháng)期性的意見(jiàn)。該小組給IT的定義是：IT審計與杜邦公司的其它所有審計活動(dòng)是密切聯(lián)系的。我們將在職能審計小組的支持下，對應用系統和整個(gè)信息系統的各個(gè)部分進(jìn)行具體的審計，進(jìn)而確保在系統的支持下的經(jīng)營(yíng)活動(dòng)能有充分的應用控？quot；。小組的目標之一就是：保持一個(gè)完整的相應同一的內部審計職能部分時(shí)，決定如何進(jìn)步杜邦的IT審計能力。在商討和計劃時(shí)，提到了幾個(gè)固有風(fēng)險因素，如：1.IT外部組織仍處于轉換時(shí)期，且更大的組織變化將會(huì )發(fā)生。2.杜邦信息系統的可靠性已經(jīng)驚人地進(jìn)步。3.化的機，包括因特網(wǎng)和主要的系統化，如SAPR／3，正在成長(cháng)期。4.成增長(cháng)趨勢的公司內部連網(wǎng)，導致公司向全體化和其它非傳統貿易聯(lián)營(yíng)方向擴張。三、兩種審計模型杜邦常用IT審計總體模型（Audit Integration Model，簡(jiǎn)稱(chēng)AIM）和變量實(shí)施模型（Variable Sourcing Model，簡(jiǎn)稱(chēng)VSM）來(lái)決定是否應當從外部獲得技術(shù)或保持他們，特別是以為計劃需要改變的時(shí)候，這兩個(gè)模型有重要的指導意義。這兩個(gè)模型如下所示：1.AIMAIM根據IT審計的組成要素大略揭示了IT的審計過(guò)程，復雜的知識水平和工作職員的工作量隨著(zhù)以下所示的四個(gè)階段而逐步下降階段1經(jīng)營(yíng)過(guò)程控制 準 備 活 動(dòng) 實(shí) 施 選 擇 培 訓 要 求所有回屬于一個(gè)過(guò)程審 計的非系統的不相關(guān)審 計活動(dòng)：如過(guò)程、計劃、流程圖、校閱閱兵程序、訪(fǎng)問(wèn)和測試 執行所有正常情況下的 預備活動(dòng)，不包括具體 的與IT有關(guān)的活動(dòng)。 不需要具體的IT審計 技術(shù) 不需要高水平的IT培 鉆15階段2輸出所有與符合性審計有關(guān) 的活動(dòng)，包括數據進(jìn)進(jìn)、錯誤書(shū)寫(xiě)、輸出和進(jìn)進(jìn) 控制 決定應該用什么政策， 若與具體的經(jīng)營(yíng)有關(guān) 時(shí)，應在工作底稿上從 頭到尾寫(xiě)清楚；若與多 種經(jīng)營(yíng)有關(guān)時(shí)，應把它 單獨拿出來(lái)進(jìn)行符合性 測試，然后，在工作底稿 上注明 由有經(jīng)驗的審計職員來(lái)執行任務(wù)。IT審計職員的任何行動(dòng)都應得到支持，由于這個(gè)階段代表整個(gè)審計過(guò)程的重要環(huán)節。在向新結構進(jìn)行完全轉變之前，IT審計職員對所執行的符合性測 試都以為是適當的。 確保每一個(gè)審計職員都 有執行符合性測試所需 技能，復核IT的組成要 素，決定是否需要改變，以確保達到目標。確保 這些技能對審計小組來(lái) 說(shuō)是輕易達到的，且它 是必要的，直至達到審 計的長(cháng)期目標。階段3附臺性和分界面在符合性審計和技術(shù)審 計之間的灰色領(lǐng)域，在這個(gè)階段需要有高技 能的高水平的審計人 員，由于這些活動(dòng)要進(jìn) 進(jìn)到系統的內部工作且 與其他符合性相聯(lián)系。 決定執行的符合性復核 的細節應達到的水平， 確保灰色領(lǐng)域被完全充分校測，尤其留意系 統的共同范圍，由于這 些可能沒(méi)被包括在先前 的比較窄的審計范圍中 確定符合條件的審計職員的比例和從外部尋找職員的可行性，確保此階段審計職員的技能對審計小組來(lái)說(shuō)是輕易達到的，直至實(shí)現長(cháng)期目標為止。 決定如何提供培訓，以 使他們達到更高的技術(shù) 水平，期看達到所需技 能的審計職員的比例將 被作為實(shí)施階段工作的 一部分，在轉換期，應確保這些技能對審計小組 來(lái)說(shuō)輕易達到直至實(shí)現 長(cháng)期目標。階段4基礎性的結構技術(shù)審計覆蓋了計算機 環(huán)境的內部工作.在此階段需要高技能和特 殊才能的人才，如：在運 行系統或安全軟件方面 通過(guò)符合性調試復核平臺的最近技術(shù)審計，根據峁?頁(yè)鮒蔥猩蠹頻氖奔洌?際跎蠹票匭胩峁┯泄仄教ǖ惱?逡？見(jiàn)，這一步應包括桌面系統環(huán)境和完整的桌面系統審計，必要時(shí)應事 先規劃 檢查正被杜邦使用的平臺系統，且必須做這項工作，確定在社邦所要求的技能范圍內的保存工作量，決定核心工作員、浮動(dòng)工作量和特殊工作量的未來(lái)余 額，評價(jià)保存和維持這些技能的內部審計職員的職業(yè)道路前途等，確保改變計劃時(shí)答應小組充分協(xié)調好內部活動(dòng)與6F部專(zhuān)家的聳囂- 對那些保存在杜邦內部 的技能應確定培訓的關(guān) 鍵來(lái)源且確保這些職員 是通用的，在這個(gè)階段，工作能力的大小受社邦 的聯(lián)營(yíng)者的規模而定p 所以培訓只要及時(shí)就行。IT AIM的建立可加強IT審計職員對IT審計的一般理解及他們應如何與其它審計活動(dòng)相聯(lián)系。杜邦運用這個(gè)模型解釋了誰(shuí)審計什么及在各個(gè)階段所期看達到的審計職員的工作能力和工作量之間的轉換，由于杜邦對全體審計職員進(jìn)行了技能培訓，所以，杜邦尤其關(guān)注這樣的一些，如：實(shí)際培訓職員能力與各階段上審計職員應代表的水平之間的間隔有多遠，應在哪兒挑選有技能的IT審計職員等。AIM反映了社邦在這方面的決策，且AIM至少能被用于以下三個(gè)重要方面：1.通過(guò)提供一個(gè)評估與IT相關(guān)工作范圍的框架，來(lái)幫助計劃階段的審計。2.為將來(lái)建立IT審計評價(jià)表作預備，這張表用來(lái)作VSM的參照物。3.作為一種鑒別不同IT審計培訓的。在以下三個(gè)領(lǐng)域中，模型提供了從一般了解到?jīng)Q策的各個(gè)部分的解決辦法。具體如下：（一）預備階段當進(jìn)行更多的經(jīng)營(yíng)過(guò)程審計時(shí)，預備階段的工作在確保清楚地界定審計范圍和審計小組應有的技能和工具往從事工作這兩方面起關(guān)鍵性的作用。經(jīng)營(yíng)過(guò)程審計將會(huì )在范圍上更廣、時(shí)間上更長(cháng)，且很可能由大量不同機系統組成。如圖所示，AIM可作為一種有效的預備工具，假如某種技能需由外部職員來(lái)實(shí)施時(shí)，及時(shí)地在此階段補充審計職員會(huì )變得更重要。（二）實(shí)施階段這是工作范圍的重要部分，社邦審計小組一直在和采用VSM作為一個(gè)工具來(lái)決定成員水平和技術(shù)能力，模型顯示出杜邦計劃的技術(shù)能力保存在一個(gè)核心范圍內，核心范圍的`大小由任何一年的估計工作量和杜邦是否維持這種技術(shù)能力由自己開(kāi)發(fā)而決定，模型也表示出，可從外部獲取資源，若保存技術(shù)能力的工作量比估計工作量要高，這一部分差額稱(chēng)為浮動(dòng)工作，反之，稱(chēng)之為特殊工作。AIM與VSM結合起來(lái)，可用來(lái)確定保存在杜邦內審中的技術(shù)能力和將來(lái)的核心工作、浮動(dòng)工作及特殊工作的平衡。與杜邦的支持者及供給商們討論，即實(shí)施IT審計的聯(lián)營(yíng)公司，可能也是這個(gè)階段的一部分工作。另外，杜邦還計劃轉變戰略，確保內審依靠外部專(zhuān)家時(shí)有氣力控制局勢。（三）培訓除發(fā)展AIM和VSM外，工作小組還針對現在的IT審計組織進(jìn)行技術(shù)描繪未來(lái)IT審計組織的遠景。由信息武裝起來(lái)，杜邦利用AIM來(lái)決定所期看的能達到多種目的的審計職員的IT技能是什么水平，及什么樣的特殊行為是杜邦將保存和維持的，提供的培訓課程應確保有一個(gè)完整的途徑。AIM可用來(lái)確定所需和所計劃的培訓。