IT 审计的更新_审计论文_会计审计论文_管理学论文.doc

IT 审计的更新_审计论文_会计审计论文_管理学论文_ 摘 要介绍杜邦公司IT审计的评价标准、代表组的工作、两种审计模型、IT审计的更新与。IT审计对我国内审的启迪：重视与外部审计师的合作；强调对内审人员的培训；注意改进审计技巧；重视内审人员的知识更新。随着主义市场体制 改革的深入发展，内部审计在现 代中的重要性也日益凸现出来，特别是对一些规模大、管理严格的大型企业及跨国公司而言，信息技术审计（Information Techn010gy，简称IT审计）作为内部审计的一种形式，在发达国家的跨国公司中发展迅猛，且在不断更新，它对于我国的公司有很重要的借鉴意义。下面，作者重介绍美国杜邦公司在信息技术审计方面的最新进展及。杜邦是一个拥有总资产44亿美元的大型跨国公司，一直在化学和化学器械、生物技术、地质学上处于技术上的领先地位。作为杜邦的审计人员，他们的使命是拿出世界一流的审计水平去支持公司的业务运作，他们定期制定标准且与其它公司相比较，然后评价结果，找出应改进的地方，为了与信息技术的飞速发展保持同步，杜邦公司把IT审计作为重点领域，要求内审人员拿出相应的方案，因为随着信息技术的迅速发展，相应的审计技术变得复杂起来。所以，杜邦公司决的支持、在职培训及监控。3.在一种业务范围内强调IT在总体审计意见里发现难于评估系统的相关性时，必须能将系统里的发现转化为业务项目。4.发展一种聚焦池，确保能不断关注到所有存在和新出现的技术。5.能从外部雇佣职员或刚离校的毕业生，来作为IT职能部门的新鲜血液。6.强调要通过初步的培训每个职员都应是全职的被培训者，如：规定每个人每年要参加培训10天。7.关心所有的重要技术开发，包括已存在和正在出现的技术。8.与研究部门紧密联系。这对IT审计来说是很重要的，因为这样会允许IT职能部门获得一些控制文件，在计划和设计阶段就会考虑这些因素。9，为协调管理而服务。杜邦认为在这个领域应处理得比其它公司的IT活动更有效率，同时，杜邦也希望自己的内审是通过适当的程序和技术来管理一些经营活动将来也可以于外审。10.适当地依靠外部服务所提供的信息。11.认识到它没必要达到高质量的最好限度。12.将自我评价作为未来世界一流审计组织的批评性产品，不仅对IT审计，而且对整个组织而言，都是很重要的。将以上发现作为评价标准，从而形成了许多固定的概念框架，根据以上内容，杜邦的研究小组设计了适应杜邦的IT审计方案。二、小组工作为使杜邦IT审计达到领先水平，杜邦从全球的内审人员和审计本公司的外部审计人员中抽调一部分组成了一个代表组，这个小组由一个总审计经理监督，对指挥部负责，这个指挥部包括副总裁、总审计师、副财务经理、信息主任和事务所的业务合伙人。该小组在很紧凑的时间安排下建立了一套的工作方法。并对杜邦IT审计的发展和更新提出长期性的意见。该小组给IT的定义是：IT审计与杜邦公司的其它所有审计活动是密切联系的。我们将在职能审计小组的支持下，对应用系统和整个信息系统的各个部门进行具体的审计，进而确保在系统的支持下的经营活动能有充分的应用控？quot；。小组的目标之一就是：保持一个完整的相应统一的内部审计职能部门时，决定如何提高杜邦的IT审计能力。在商讨和计划时，提到了几个固有风险因素，如：1.IT外部组织仍处于转换时期，且更大的组织变化将会发生。2.杜邦信息系统的可靠性已经惊人地提高。3.化的机，包括因特网和主要的系统化，如SAPR3，正在成长期。4.成增长趋势的公司内部连网，导致公司向全体化和其它非传统商业联营方向扩张。三、两种审计模型杜邦常用IT审计总体模型（Audit Integration Model，简称AIM）和变量实施模型（Variable Sourcing Model，简称VSM）来决定是否应当从外部获得技术或保持他们，特别是认为计划需要改变的时候，这两个模型有重要的指导意义。这两个模型如下所示：1.AIMAIM根据IT审计的组成要素大略揭示了IT的审计过程，复杂的知识水平和工作人员的工作量随着以下所示的四个阶段而逐步下降阶段1经营过程控制 准 备 活 动 实 施 选 择 培 训 要 求所有归属于一个过程审 计的非系统的不相关审 计活动：如过程、计划、流程图、检阅程序、访问和测试 执行所有正常情况下的 准备活动，不包括具体 的与IT有关的活动。 不需要具体的IT审计 技术 不需要高水平的IT培 钻15阶段2输出所有与符合性审计有关 的活动，包括数据进入、错误书写、输出和进入 控制 决定应该用什么政策， 若与具体的经营有关 时，应在工作底稿上从 头到尾写清楚；若与多 种经营有关时，应把它 单独拿出来进行符合性 测试，然后，在工作底稿 上注明 由有经验的审计人员来执行任务。IT审计人员的任何行动都应得到支持，因为这个阶段代表整个审计过程的重要环节。在向新结构进行完全转变之前，IT审计人员对所执行的符合性测 试都认为是适当的。 确保每一个审计人员都 有执行符合性测试所需 技能，复核IT的组成要 素，决定是否需要改变，以确保达到目标。确保 这些技能对审计小组来 说是容易达到的，且它 是必要的，直至达到审 计的长期目标。阶段3附台性和分界面在符合性审计和技术审 计之间的灰色领域，在这个阶段需要有高技 能的高水平的审计人 员，因为这些活动要进 入到系统的内部工作且 与其他符合性相联系。 决定执行的符合性复核 的细节应达到的水平， 确保灰色领域被完全充分校测，尤其注意系 统的共同范围，因为这 些可能没被包括在先前 的比较窄的审计范围中 确定符合条件的审计人员的比例和从外部寻找人员的可行性，确保此阶段审计人员的技能对审计小组来说是容易达到的，直至实现长期目标为止。 决定如何提供培训，以 使他们达到更高的技术 水平，期望达到所需技 能的审计人员的比例将 被作为实施阶段工作的 一部分，在转换期，应确保这些技能对审计小组 来说容易达到直至实现 长期目标。阶段4基础性的结构技术审计覆盖了计算机 环境的内部工作.在此阶段需要高技能和特 殊才能的人才，如：在运 行系统或安全软件方面 通过符合性调试复核平台的最近技术审计，根据峁页鲋葱猩蠹频氖奔洌际跎蠹票匦胩峁泄仄教恼逡？见，这一步应包括桌面系统环境和完整的桌面系统审计，必要时应事 先规划 检查正被杜邦使用的平台系统，且必须做这项工作，确定在社邦所要求的技能范围内的保留工作量，决定核心工作员、浮动工作量和特殊工作量的未来余 额，评价保留和维持这些技能的内部审计人员的职业道路前途等，确保改变计划时允许小组充分协调好内部活动与6F部专家的耸嚣- 对那些保留在杜邦内部 的技能应确定培训的关 键来源且确保这些人员 是通用的，在这个阶段，工作能力的大小受社邦 的联营者的规模而定p 所以培训只要及时就行。IT AIM的建立可加强IT审计人员对IT审计的一般理解及他们应如何与其它审计活动相联系。杜邦运用这个模型解释了谁审计什么及在各个阶段所期望达到的审计人员的工作能力和工作量之间的转换，由于杜邦对全体审计人员进行了技能培训，所以，杜邦尤其关注这样的一些，如：实际培训人员能力与各阶段上审计人员应代表的水平之间的距离有多远，应在哪儿挑选有技能的IT审计人员等。AIM反映了社邦在这方面的决策，且AIM至少能被用于以下三个重要方面：1.通过提供一个评估与IT相关工作范围的框架，来帮助计划阶段的审计。2.为将来建立IT审计评价表作准备，这张表用来作VSM的参照物。3.作为一种鉴别不同IT审计培训的。在以下三个领域中，模型提供了从一般了解到决策的各个部分的解决办法。具体如下：（一）准备阶段当进行更多的经营过程审计时，准备阶段的工作在确保清楚地界定审计范围和审计小组应有的技能和工具去从事工作这两方面起关键性的作用。经营过程审计将会在范围上更广、时间上更长，且很可能由大量不同机系统组成。如图所示，AIM可作为一种有效的准备工具，如果某种技能需由外部人员来实施时，及时地在此阶段补充审计人员会变得更重要。（二）实施阶段这是工作范围的重要部分，社邦审计小组一直在和采用VSM作为一个工具来决定成员水平和技术能力，模型显示出杜邦计划的技术能力保留在一个核心范围内，核心范围的大小由任何一年的估计工作量和杜邦是否维持这种技术能力由自己开发而决定，模型也表示出，可从外部获取资源，若保留技术能力的工作量比估计工作量要高，这一部分差额称为浮动工作，反之，称之为特殊工作。AIM与VSM结合起来，可用来确定保留在杜邦内审中的技术能力和将来的核心工作、浮动工作及特殊工作的平衡。与杜邦的支持者及供应商们讨论，即实施IT审计的联营公司，可能也是这个阶段的一部分工作。另外，杜邦还计划转变战略，确保内审依赖外部专家时有力量控制局势。（三）培训除发展AIM和VSM外，工作小组还针对现在的IT审计组织进行技术描绘未来IT审计组织的前景。由信息武装起来，杜邦利用AIM来决定所期望的能达到多种目的的审计人员的IT技能是什么水平，及什么样的特殊行为是杜邦将保留和维持的，提供的培训课程应确保有一个完整的途径。AIM可用来确定所需和所计划的培训。四、更新除以上外，该方案还包括不断变化的组织评估表和技术分析表，针对现在至未来的组织，通过预想的变化，这些需要-个全球IT审计经理的命令，他将在下列领域内得到三个工作领导者的支持。1.信息统一：负责计划、实施和提高技术审计。对诸如数据中心、远程通讯等基础设施方面负责咨询。2.技术支持：负责发展和完成每年的计划，这些计划重点在于关注新出现的技术，评价和支持内审的技术要求，包括硬件、软件、审计工作、计算机辅助审计技术和一个内审网站。3.应用支持：负责发展和完成每年的应用审计计划，支持审计过程中的符合性测试，应用支持负责人也有责任确保所有的审计人员应符合控制目标且充分地受到培训。剩余的IT审计人员保持他们现存的管理报告流程，但增加了一份职能报告与以上所述三组之一相联系，将会执行许多审计活动，以便对杜邦审计计划的准备阶段进行控制，对全部审计工作进行监督。五、启迪与借鉴实践证明，IT审计开辟：内审的新领域，它取得了一些成功经验。由于各种原因，我国的内审质量不高，更不用说IT审计了，因为对我国众多来说，：企业内部治理结构还没理顺，信息化程度还不普及，只是在某些特殊行业中（如行业）比较普遍，、可以说，IT审计在我国还处于起步阶段，而国外已发展得比较成熟。所以笔者认为，除了进一步改变国有企业的内审管理双重体制之外，我国可在以下方面借鉴西方先进经验，努力提高我国的IT审计水平：1.重视与外部审计师的合作，尤其是注册师。我国的注册会计师行业虽然起步较晚，但已取得令人瞩目的成绩，特别是知名会计师事务所积累了大量的企业管理信息，相信与某公司长期合作的会计事务所定会为该公司提供良好的内审控制建议。2.强调对内审人员的培训。在我国，由于内审管理体制还没理顺，没有统一的准则。各企业应根据IT审计要求的高低进行不同程度的培训。3.规范I丁审计的同时，注意改进审计方法技巧。可杜邦的作法，把整个审计过程划分为几个阶段，并固定下来。但在各个阶段的审计工作中，应注意审计方法的灵活运用。另外，尽量使用量化标准，如建立变量模型等。4.重视内审人员的知识更新，这是IT审计的性质所决定的。企业的信息系统普遍应用网络技术，且与商务系统紧密结合，使产业信息系统无纸化。在此环境下，审计人员不仅要掌握传统审计的基本知识，还必须掌握计算机应用基本技能，这样才能满足审计需求，特别是对于内审的IT审计来说，不只是对企业的会计信息系统进行审计。所以，内审的管理机构及企业都应重视内审人员的知识更新，如，加快有关计算机审计的教材建设，计算机审计人员资格及制作计算机审计的具体准则等，方便企业选拔IT审计人员。参考1Wayne More and David Hen-drey. It Audit Ren