数据可以反映问题,大数据管理是审计的一个非常有效的工具。
首先明确你们企业需要审计的方向:比如量、价格等等,有了方向之后,再有针对性的收集数据、分析数据,你就会看到很多问题。再结合发现的问题,到项目现场实地踏勘,找寻原因。
计划阶段是整个审计过程的起点。其主要工作包括:
(1)了解被审系统基本情况
了解被审系统基本情况是实施任何信息系统审计的必经程序,对基本情况的了解有助于审计组织对系统的组成、环境、运行年限、控制等有初步印象,以决定是否对该系统进行审计,明确审计的难度,所需时间以及人员配备情况等。
了解了基本情况,审计组织就可以大致判断系统的复杂性、管理层对审计的态度、内部控制的状况、以前审计的状况、审计难点与重点,以决定是否对其进行审计。
(2)初步评价被审单位系统的内部控制及外部控制
传统的内部控制制度是为防止舞弊和差错而形成的以内部稽核和相互牵制为核心的工作制度。随着信息技术特别是以Internet为代表的网络技术的发展和应用,企业信息系统进一步向深层次发展,这些变革无疑给企业带来了巨大的效益,但同时也给内部控制带来了新的问题和挑战。加强内部控制制度是信息系统安全可靠运行的有力保证。依据控制对象的范围和环境,信息系统内控制度的审计内容包括一般控制和应用控制两类。
一般控制是系统运行环境方而的控制,指对信息系统构成要素(人、机器、文件)的控制。它已为应用程序的正常运行提供外围保障,影响到计算机应用的成败及应用控制的强弱。主要包括:组织控制、 *** 作控制、硬件及系统软件控制和系统安全控制。
应用控制是对信息系统中具体的数据处理活动所进行的控制,是具体的应用系统中用来预测、检测和更正错误和处置不法行为的控制措施,信息系统的应用控制主要体现在输入控制、处理控制和输出控制。应用控制具有特殊性,不同的应用系统有着不同的处理方式和处理环节,因而有着不同的控制问题和不同的控制要求,但是一般可把它划分为:输入控制、处理控制和输出控制。
通过对信息系统组织机构控制,系统开发与维护控制,安全性控制,硬件、软件资源控制,输入控制,处理控制,输出控制等方而的审计分析,建立内部控制强弱评价的指标系统及评价模型,审计人员通过交互式人机对话,输入各评价指标的评分,内控制审计评价系统则可以进行多级综合审计评价。通过内控制度的审计,实现对系统的预防性控制,检测性控制和纠正性控制。
(3)识别重要性
为了有效实现审计目标,合理使用审计资源,在制定审计计划时,信息系统审计人员应对系统重要性进行适当评估。对重要性的评估一般需要运用专业判断。考虑重要性水平时要根据审计人员的职业判断或公用标准,系统的服务对象及业务性质,内控的初评结果。重要性的判断离不开特定环境,审计人员必须根据具体的信息系统环境确定重要性。重要性具有数量和质量两个方面的特征。越是重要的子系统,就越需要获取充分的审计证据,以支持审计结论或意见。
(4)编制审计计划
经过以上程序,为编制审计计划提供了良好准备,审计人员就可以据以编制总体及具体审计计划。
总体计划包括:被审单位基本情况;审计目的、审计范围及策略;重要问题及重要审计领域;工作进度及时间;审计小组成员分工;重要性确定及风险评估等。
具体计划包括:具体审计目标;审计程序;执行人员及时间限制等。 做好上诉材料的充分的准备,便可进行审计实施,具体包括以下内容:
(1)对信息系统计划开发阶段的审计
对信息系统计划开发阶段的审计包括对计划的审计和对开发的审计,可以采用事中审计,也可以是事后审计。比较而言事中审计更有意义,审计结果的得出利于故障、问题的及早发现,利于调整计划,利于开发顺序的改进。
信息系统计划阶段的关键控制点有:计划是否有明确的目的,计划中是否明确描述了系统的效果,是否明确了系统开发的组织,对整体计划进程是否正确预计,计划能否随经营环境改变而及时修正,计划是否制定有可行性报告,关于计划的过程和结果是否有文档记录等等。
系统开发阶段包括系统分析、系统设计、代码编写和系统测试三部分。其中涉及包括功能需求分析、业务数据分析、总体框架设计、结构设计、代码设计、数据库设计、输入输出设计、处理流程及模块功能的设计。编程时依据系统设计阶段的设计图及数据库结构和编码设计,用计算机程序语言来实现系统的过程。测试包括动态测试和静态测试,是系统开发完毕,进入试运行之前的必经程序。其关键控制点有:
分析控制点:是否己细致分析企业组织结构;是否确定用户功能和性能需求;是否确定用户的数据需求等。
设计控制点:设计界面是否方便用户使用;设计是否与业务内容相符;性能能否满足需要,是否考虑故障对策和安全保护等。
编程控制点:是否有程序说明书,并按照说明书进行编写;编程与设计是否相符,有无违背编程原则;程序作者是否进行自测;是否有程序作者之外的第三人进行测试;编程的书写、变量的命名等是否规范。
测试控制点:测试数据的选取是否按计划及需要进行,是否具有代表性;测试是否站在公正客观的立场进行,是否有用户参与测试;测试结果是否正确记录等。
(2)对信息系统运行维护阶段的审计
对信息系统运行维护阶段的审计又细分为对运行阶段的审计和对维护阶段的审计。系统运行过程的审计是在信息系统正式运行阶段,针对信息系统是否被正确 *** 作和是否有效地运行,从而真正实现信息系统的开发目标、满足用户需求而进行的审计。对信息系统运行过程的审计分为系统输入审计、通信系统审计、处理过程审计、数据库审计、系统输出审计和运行管理审计六大部分。
输入审计的关键控制点有:是否制定并遵守输入管理规则,是否有数据生成顺序、处理等的防错、保护措施、防错、保护措施是否有效等。
通信系统实施的是实际数据的传输,通信系统中,审计轨迹应记录输入的数据、传送的数据和工作的通信系统。通信系统审计的关键控制点有:是否制定并遵守通信规则,对网络存取控制及监控是否有效等。
处理过程指处理器在接收到输入的数据后对数据进行加工处理的过程,此时的审计主要针对数据输入系统后是否被正确处理。关键控制点有:被处理的数据,数据处理器,数据处理时间,数据处理后的结果,数据处理实现的目的,系统处理的差错率,平均无故障时间,可恢复性和平均恢复时间等。
数据库审计是保障数据库正确行使了其职能,如对数据 *** 作的有效性和发生异常 *** 作时对数据的保护功能(正确数据不丢失,数据回滚以保证数据的一致性)。其关键控制点有:对数据的存取控制及监视是否有效,是否记录数据利用状况,并定期分析,是否考虑数据的保护功能,是否有防错、保密功能,防错、保密功能是否有效等。
输出审计不同于测试阶段的输出审计,此时的输出是在实际数据的基础上进行的,对其进行审计可以对系统输出进行再控制,结合用户需求进行评价。关键控制点有:输出信息的获取及处理时是否有防止不正当行为和机密保护措施,输出信息是否准确、及时,输出信息的形式是否被客户所接受,是否记录输出出错情况并定期分析等。
运行管理审计是对人机系统中人的行为的审计。关键控制点有: *** 作顺序是否标准化,作业进度是否有优先级, *** 作是否按标准进行,人员交替是否规范,能否对预计于实际运行的差异进行分析,遇问题时能否相互沟通,是否有经常性培训与教育等。
维护过程的审计包括对维护计划、维护实施、改良系统的试运行和旧系统的废除等维护活动的审计。维护过程的关键控制点有:维护组织的规模是否适应需要,人员分工是否明确,是否有一套管理机制和协调机制,维护过程发现的可改进点,维护是否得到维护负责人同意,是否对发现问题作了修正,维护记录是否有文档记载,是否定期分析,旧系统的废除是否在授权下进行等。 完成阶段是实质性的整个信息系统审计工作的结束,主要工作有:
整理、评价执行审计业务过程中收集到的证据。在信息系统审计的现代化管理时期,收集到的数据己存储在管理系统中,审计人员只需对其进行分析和调用即可。
复核审计底稿,完成二级复核。传统审计的三级复核制度对信息系统审计同样适用,它是保证审计质量、降低审计风险的重要措施。一级复核是由信息系统审计项目组长在审计过程进行中对工作底稿的复核,这层复核主要是评价已完成的审计工作、所获得的工作底稿编制人员形成的结论;二级复核是在外勤工作结束时,由审计部门领导对工作底稿进行的重点复核。在审计工作办公自动化的今天,二级复核制度同样可以通过网上报送及调用得以实现。
评价审计结果,形成审计意见,完成三级复核,编制审计报告。评价审计结果主要是为了确定将要发表的审计意见的类型及在整个审计工作中是否遵循了独立审计准则。信息系统审计人员需要对重要性和审计风险进行最终的评价。这是审计人员决定发表何种类型审计意见的必要过程,所确定的可接受审计风险一定要有足够充分适当的审计证据支持。签发审计报告之前,应当随工作底稿进行最终(三级)复核,三级复核由审计部门的主任进行,主要复核所采用审计程序的恰当性、审计工作底稿的充分性、审计过程中是否存在重大遗漏、审计工作是否符合事务所的质量要求等。三级复核制度的坚持是控制审计风险的重要手段。审计报告是审计工作的最终成果,审计报告首先应有审计人员对被审系统的安全性、可靠性、稳定性、有效性的意见,同时提出改进建议。
很多考生在报考志愿时都会选择审计专业,那么,审计专业到底是做什么的?审计的工作内容有哪些呢?下面和我一起来看看吧!
1 审计究竟是干什么的
作为财会领域的一大分支,审计,总是被大家不断提起。但“审计”究竟是做什么的,也许不少财务人都解释不清楚。在传统的印象中,审计是以一群围坐在桌旁,紧张翻阅大量资料查找问题的形象出现的。但其实,“审计”从来不是一个部门的事情。
审计,是以财务为出发点,设计实施相关审计程序,以此获取充分的审计证据,证明企业编制的财务报表的真实可信度,对整个公司的经营成果提出自己的意见。业务部分的原始单据往往是审计的重点所在。按照服务对象的区别,分为内审和外审,扮演着“经济监督者”的角色。
审计是由国家授权或接受委托的专职机构和人员,依照国家法规、审计准则和会计理论,运用专门的方法,对被审计单位的财政、财务收支、经营管理活动及其相关资料的真实性、正确性、合规性、合法性、效益性进行审查和监督,评价经济责任,鉴证经济业务,用以维护财经法纪、改善经营管理、提高经济效益的一项独立性的经济监督活动。
1 审计的工作内容有哪些
审计是因经济监督的需要,也即是为了确定经营者或其他受托管理者的经济责任的需要而产生的。处于具体的经营管理之外,是经济监督的重要组成部分,主要对财政、财务收支及其他经济活动的真实、合法和效益进行审查。
审计的对象主要是会计资料和其他经济信息所反映的经济活动。审计,既包含了检查会计账目,又包括了对计算行为及所有的经济活动进行实地考察、调查、分析、检验,即含审核稽查计算之意
1 审计的前景怎么样
随着现代市场经济的高速发展,审计体系也在不断完善。经营审计、管理审计、绩效审计等等职位应运而生。除了审计新职能的出现,政府审计、社会审计等的职能也不断完善。尤其是经过了会计电算化后,审计学的就业前景变得更加光明,为现代化审计体系的建立何发展提供了很好的背景条件。
统计数据显示,目前国内审计需求量达20万人次,但实际符合要求的不过8万左右,人才缺口还较大,其中,尤其是兼顾多项财务技能的高级复合型审计人才,其需求量更大。
与传统手工审计一样,计算机审计过程可分成接受业务、编制审计计划、实施审计和报告审计结果等四个阶段。其中重点是计算机审计实施阶段,包括计算机信息系统的内部控制评价和对计算机系统所产生的会计数据(信息)进行测试评价。计算机审计过程具体可细分为以下主要步骤:
1准备阶段。①了解企业基本情况,与企业的有关人员初步面谈并查阅其会计电算化系统的基本资料,归纳出被审计系统的特点和重点。②组织审计人员和准备所需要的审计软件。根据被审计企业会计电算化系统的构成特点,复杂程度可选择安排有计算机审计经验的注册会计师担任项目负责人,组成审计小组,准备审计软件。如果对某审计项目需要特殊的审计软件,还必须组成一个专门小组预先开发好所需要的软件,以保障审计工作顺利开展。
2内部控制的初步审查。初步审查的目标是使审计人员了解计算机信息系统在会计工作中的 应用 程度,初步熟悉电算化会计系统的业务流程和内部控制的基本结构,包括从原始凭证的编制到各种会计报表输出的整个过程。一般采用如下的检查和会谈:①审阅上期的审计报告和管理建议书,初步了解上期系统的弱点。②检查会计电算化系统的文档和系统使用手册,了解系统模块结构、名称、数据库以及相应的功能。③检查输入数据的基本依据( 电子 数据和有关的原始凭证),初步了解企业会计原始数据产生的内部控制制度的基本情况。④针对一些基本情况和上述检查发现的 问题 ,与会计人员、系统开发和维护人员、程序员面谈,以便得到与司题相关的背景资料。⑤初步审查数据处理流程图,了解原始数据的起点、文件名称和系统内的代码、数据经过的单位或部门、数据的终点和保管的措施,以及对产生和使用数据的单位的内部控制,并制作必要的简明数据流程图。
同时,审计人员还要对下列资料进行了解:①系统安装日期、计算机硬件系统的型号、机房的基本管理设施、系统管理制度、系统的负荷量(数据处理量)。②系统的组织结构、各级管理的职责,以及计算机系统的负责人和系统管理人员。③系统内务应用子系统的控制类型和主要 经济 业务。
3初步审查结果的评价。初步审查后,审计人员必须从整个会计信息系统内部控制的角度出发,评价初步审查的结果,确定内部控制的可行性程度,并作出结论。其结论可按以下三种方式之一作出:①退出审计。由于缺乏实施审计的技术或内部控制不可依赖等许多问题,审计人员可针对这些问题提出一些管理建议并退出审计。②对一般控制和应用控制进行进一步详细的审查。这一方式是在初步审查表明内部控制有可依赖性的情况下采取的,实质性测试可作一些简化。③决定不依赖于内部控制。作出这一决定可能有两种原因:一是直接进行实质性测试更容易达到预定的审计目标;二是因为计算机内部控制系统可能不完善,各应用系统的用户自己增加了一些必要的补充控制,对补偿控制进行测试更易于达到审计的目的。
初步审查是通过应用面谈、实地检查观察、阅读内控制度和有关系统 分析 设计的文档、填制内控制度调查表等 方法 取得初步审查结果,并对这些结果作出评价,为下一步应当怎样审计提供必要信息。
4内部控制的深入审查。与初步审查一样,审计人员要判断是否退出审计,或是依赖系统的内部控制进入下一阶段符合性测试,或是直接进入实质性测试过程。对于某些应用子系统,审计人员可决定依赖于其内部控制,也可采用其他更适宜的审计过程。
5符合性测试阶段。符合性测试阶段的目标是寻找证据确定 计算 机系统的内部控制制度是否在发挥作用,以及实际存在的控制制度是否可信赖。除了在前面审查中所用手工收集证据 方法 仍可用外,在这一步骤,审计人员基本上是用计算机辅助收集证据和验证审计计划中已提出的各项控制制度是否可依赖。
6用户补偿控制的`审查和测试。在某些情况下,审计人员可能决定不依赖计算机系统的内部控制,因为 应用 于系统的用户采用了一些补充控制来补充原控制制度的弱点。
7实质性测试。实质性测试阶段的目标是取得充分的证据,使审计人员能作出计算机系统在各重大方面是否偏离公允性或存在哪些弱点的最后判断。实质性测试可分为六类:①出错处理的测试;②数据质量的测试;③数据一致性的测试;④实物盘点与计算机系统中的数据比较测试;⑤利用外部数据资源对系统内的数据进行的测试;⑥ 分析 性检查测试。
8全面评价和编制审计报告。通过上述的审计步骤,审计证据和对各项目的初步评价结果已经形成,但这些证据和初步评价的结果是比较分散的。全面评价的目的是将收集到的审计证据和初步评价结果进行综合,筛选出重要的证据和主要的 问题 ,将这些问题和证据作为重点进行综合评价。评价的范围包括对 会计 数据的公允性、内控制度的健全性和有效性,以及会计电算化系统的效率性和效益性。在评价结果的基础上编制客观公正的审计报告和管理建议书。在报告提供给委托人之前,还应当征求被审计 企业 的意见,必要时对重大的问题进行追加审计,以保证审计报告和管理建议书有更高的可信度。编制审计报告和建议书的基本过程和方法都与传统审计一样。但应当注意的是,应用计算机进行审计,其审计结果汇总评价的许多方面可由计算机自动完成,甚至最终的审计报告也可由计算机辅助完成。
开展计算机审计是更好地应用企业信息网,促进企业 发展 的需要,企业信息网,包括 电子 商务系统的推广应用,将给企业带来巨大的收益。做好计算机审计将保证网上新的业务合法合规、健康发展,尽管这将给审计人员提出更高的要求。由于企业信息网、电子商务等系统采用多种计算机和通信技术,拥有多重设备资源,开展多种业务,系统较为复杂,因此,数据资源共享和数据安全成为一个非常重要的新问题,在这种情况下,审计工作表现出了很多 网络 环境下的新特点。一是责任的分散。在非网络情况下,包括数据文件整理、数据组织、数据存取、数据编辑与验证,以及数据库的建立与维护在内的控制责任,通常集中在小部分拥有权限的具体 *** 作人员身上。而在网络环境下,数据的使用面向整个网络用户,即这种控制责任除原具体 *** 作人员外,将向众多部门及人员转移,甚至涉及到网络的所有用户;二是重点的转移。在非网络环境下,审计人员关注的重点在于内部控制的符合性测试和实质性测试方面,整个电算系统运转的核心也是系统程序对内部控制的落实上。而在网络情况下,数据高度集中在网络系统中,数据可能被非法拷贝、非法篡改,从而引发新型的网络审计风险。因此,审计的重点也应放在网络系统上。
目前 我们要加强审计人员的素质, 现代 科学 技术飞速发展,审计人员单纯拥有审计专业知识和简单的计算机知识已经远远不够,必须提高审计人员的计算机技术水平和业务能力。由于计算机在企业内部的广泛应用,尤其是企业财务软件的应用,企业开展计算机审计已不能仅仅局限于简单的计算,而是应该形成一个系统的审计规范且将其融入一套软件程序,以适应审计工作需要。由于企业信息化水平不同,人员素质不同,计算机审计工作的开展可从易到难,具备基本功能的审计软件可以外购。但对于已推广应用财务软件的企业,可考虑组织力量自行开发审计软件。因为会计数据接口已确定,针对确定的接口开发审计软件可以更加符合企业要求,并且可以利用企业信息网的优势,开发出符合企业环境的网络化系统审计软件。
(1)应用审计软件。它是对相关网络进行实时跟踪,对数据库内文件进行审计的一种软件。要实现它的功能 自然 要应用网络技术,在网络上建立审计信息库、有效背景资料、最新动态和必要的审计档案信息。
(2)专业审计软件。专业审计软件可以分为两大部分:单体审计软件部分和合并审计软件。这两部分是相互联系的,数据传递与修改可以瞬时完成。审计整理功能:通过未审会计报表、科目明细表和审计人员编制的调整分录输入,软件将自动生成科目导引表、试算平衡表、审定的会计报表和会计报表附注。能根据使用者的要求,归类排序,排出重要账项,使审计者一目了然;审计分析功能:通过输入科目明细表和企业未审计表,能自动产生总体财务指标和变动趋势,并可做重要性标准的确定与分配工作,为项目负责人从总体上把握被审计单位财务状况和审计重点提供方向。同时,软件能自动产生科目导引表,导引表根据每一科目特点设置分析 内容 ,为审计人员在科目查证时提供分析性测试数据。
数据库安全审计主要用于监视并记录对数据库服务器的各类 *** 作行为,通过对网络数据的分析,实时地、智能地解析对数据库服务器的各种 *** 作,并记入审计数据库中以便日后进行查询、分析、过滤,实现对目标数据库系统的用户 *** 作的监控和审计。它可以监控和审计用户对数据库中的数据库表 、视图、序列、包、存储过程、函数、库、索引、同义词、快照、触发器等的创建、修改和删除等,分析的内容可以精确到SQL *** 作语句一级。它还可以根据设置的规则,智能的判断出违规 *** 作数据库的行为,并对违规行为进行记录、报警。由于数据库安全审计系统是以网络旁路的方式工作于数据库主机所在的网络,因此它可以在根本不改变数据库系统的任何设置的情况下对数据库的 *** 作实现跟踪记录、定位,实现数据库的在线监控,在不影响数据库系统自身性能的前提下,实现对数据库的在线监控和保护,及时地发现网络上针对数据库的违规 *** 作行为并进行记录、报警和实时阻断,有效地弥补现有应用业务系统在数据库安全使用上的不足,为数据库系统的安全运行提供了有力保障。
一、数据库安全审计主要功能包括:
· 实时监测并智能地分析、还原各种数据库 *** 作。
· 根据规则设定及时阻断违规 *** 作,保护重要的数据库表和视图。
· 实现对数据库系统漏洞、登录帐号、登录工具和数据 *** 作过程的跟踪,发现对数据库系统的异常使用。
· 支持对登录用户、数据库表名、字段名及关键字等内容进行多种条件组合的规则设定,形成灵活的审计策略。
· 提供包括记录、报警、中断和向网管系统报警等多种响应措施。
· 具备强大的查询统计功能,可生成专业化的报表。
二、数据库安全审计主要特点
· 采用旁路技术,不影响被保护数据库的性能。
· 使用简单,不需要对被保护数据库进行任何设置。
· 支持SQL-92标准,适用面广,可以支持Oracle、MS SQL Server、Sybase、Informix等多类数据库。
· 审计精细度高,可审计并还原SQL *** 作语句。
· 采用分布式监控与集中式管理的结构,易于扩展。
· 完备的"三权分立"管理体系,适应对敏感内容审计的管理要求。
近年来,随着企业信息系统的不断完善,企业对于信息系统的依赖日益加强,信息系统审计也随之成了审计中不可或缺的一部分。今天,时代新威和大家聊一聊信息系统审计的过程。
1)调查
该审计步骤用来将控制目标下的相关活动用文档记录下来,对组织声称已实施的控制措施与程序进行识别,并且确认其存在。
与相关的管理者和员工进行会见,以理解:
·业务需求好相关的风险。
·组织结构。
·角色和职责。
·政策和程序。
·法律和法规。
·已有的控制措施。
·管理报告(状态、性能、行动项目)。
用文档记录与过程相关的IT资源,特别是那些被审计的IT流程所影响的IT资源。确认理解了审核的过程、过程的关键性能指标(KPI)、实际的控制状况。例如,可以通过对过程的抽查来进行了解。
2)评价控制
该审计步骤用来评估当前已有控制措施的有效性或达到控制目标的程度,主要是决定测试什么、是否测试及如何测试的问题。
通过对比已确定的标准及行业最佳实践、控制方法的关键成功要素(CSF)和利用审计师的职业判断,来评价待审核过程所应用的控制措施的适宜性。
·存在已文档化的过程。
·存在适宜的输出。
·职责和责任是明确的、有效的。
·在必要时,存在补偿控制。
·对实现控制目标的程度做出结论。
3)评估符合性
该审计步骤用来确定已建立的控制措施是按组织规定的方式,持续地、一致地在起作用,并且对控制环境的适宜性做出结论。
·得到所选项目和阶段的直接或间接的证据,使用直接和间接的证据来保证待审核的项目和阶段一直遵守相关控制程序的要求。
·对过程输出结果的充分性进行有限的审核。
·为了证明IT流程是分的,确定需要进行实质性测试的程度和其他需要进行的工作。
4)证实风险
该审计步骤通过使用分析技术和可选的咨询资源,证实控制目标没有被实现时所带来的风险。目标是支持其审计判断,并督促管理者采取行动。审计师要创造性地寻找和提出通常是敏感的和机密的信息。
·用文档记录下控制弱点及其引起的威胁和漏洞。
·识别并记录实际的影响和潜在的影响,例如,利用因果分析的方法。
·提供比较信息。例如,通过基准比较的方法。
在信息高速爆炸的时代,进行信息系统审计,确保在线、实时的信息的可靠性,有助于整个市场经济的发展。以上就是时代新威为您科普的信息系统审计的过程,更多精彩内容,欢迎持续关注我们哦。
当然有了,合规性需求,国家对政府和金融、互联网等行业机构、企业的信息系统有相关要求,必须符合所在行业的规范及标准。为此,并出台了一系列法律法规,其中对应信息系统安全等级保护相关配套标准,等保二级以上对安全审计均提出了明确要求——审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。数据库审计产品因部署简单,且不会对系统造成过多影响,成为满足合规性要求的首选办法。
数据泄露事件越来越多,近些年,因数据库被入侵造成的信息泄露事件层出不穷,对国家、社会和个人均造成了严重的损失及恶劣影响,数据库用户信息泄露问题愈演愈烈,迫使政府部门和企业单位重视并展开一系列与数据库安全加固有关的行动。在此过程中,客户不仅会考虑事后的数据库审计,同时也会考虑数据库防火墙、数据库加密等事前、事中主动防御手段。
自身安全需要,当各单位的IT建设达到一定的成熟度和认知度,日常业务运作持续融入信息化建设,对核心数据安全防护日益增长的需求会促使管理者主动、有意识开展相关数据安全建设;同时,出于对自身商业信誉、社会名誉的维护与提升,管理者也需要促主动开展数据安全防护工作,在这一过程中,数据库审计产品只是构成完整体系的一环。
数据库审计产品目前是数据安全全线产品中成熟度最高的产品,安华金和作为国内安全领域的领头羊,更看重产品的实用性,做的不错。
<1>思考任何一件事的合理性
审计界有一句口头禅:“不re”。“不re”,是“not reasonable”的简称,也就是“不合理”,不符合常识。审计师的职责就是检查财务报表的真实性和合理性。为了防止上当受骗,审计师需要仔细推敲公司当局的每一种说法是否合理,这是他们的一种职业习惯。
举一个简单的例子。管理当局会说:“今年收入增长了50%,是因为销售数量增长了50%。”审计师一看报表:“不对啊,成本明明下降了20%啊,期末存货也比上年年底要多。而且也没听说有什么技术进步,能让单位成本大幅下降,所以成本下降只能是因为生产数量在下降。这和销售数量增长不是自相矛盾吗?”
这个例子正印证了一句老话:“说谎话容易,把谎话说圆却很难。”为了把一句谎话编圆,你需要修改很多相关的地方,而且还不一定修改得圆满。审计师就是通过寻找会计资料当中不正常、不合理的蛛丝马迹,从各个角度向公司提出一连串的问题,像猎犬一样刨啊刨,从而把公司隐瞒、编造的事情挖出来。
这年头,不仅公司财务的谎话编得不圆,连骗子的骗术也“不re”。前不久,我收到“淘宝网”发来的一个广告,通知我中了奖。我登陆淘宝网,输入密码,果然有35000元的现金大奖在等着我。在我收到这个广告之前一天,淘宝网的确在搞抽奖,所以我并没意识到这是一个骗局。
我继续读下去,兑奖通知说,税法规定奖不能白拿。只要我邮寄1500元的增值税到某个帐号,他们就会立即把奖金支付给我。我刚要激动地抬屁股去邮局,忽然想起一件事:你直接从我35000元的奖金里扣1500元不就可以了吗,为什么要我去邮局寄钱呢?我又仔细看了看一遍兑奖说明,发现一个新的问题:怎么会让我交增值税呢,增值税一般是在工厂进口原材料的时候才交的。就这样,我识破了一场“不re”的骗局。
审计师喜欢思考事情的合理性,这其实就是日常生活常识的积累。可是,如果审计师把这种职业习惯带到生活当中来,就不那么可爱了。在生活里,人不可能把所有事情都记得很清楚,难免说出一些不太准确的话。而且在夫妻之间,有时也会说一些善意的小谎言,互相哄一哄。如果你的另一半是一个干审计的,那么恭喜你,你的每一句善意的谎话都会引来对方的疑问,你会被打破沙锅问到底,越挖越深,直到谎话彻底败露为之。
所以,敢和审计师结婚的人,一定是个赤诚坦荡的人。
<2>用数字说话
中国人喜欢从表象上,从意识形态上,从趋势上说一些大而化之的话,偏偏懒的拿数字去支持自己的观点,用数字去检验一下是不是这么回事。审计师则不同,他们的很多科目的都需要匡算(Prove in Total)。比如工资费用,审计师会用公司的总人数乘以大致的人均工资,得出一个总数,和报表上的那个数字对比一下,看看相差得大不大。
用数字说话非常重要。因为,有些事情正确与否,并不是从概念上就能看出来的,你得实际计算一下成本、收益分别是多少,才能做出结论。只有数字,才能告诉你答案。
举个例子。很多西方国家发展竞技体育不会动用很多纳税人的钱,而是走市场化、职业化的道路。而在中国,竞技体育基本是靠国家财政支持的。如果你举行一场辩论的话,至少90%的中国人支持用“举国体制”发展竞技体育,恐怕只有不到10%的人反对这么做。到底谁对谁错呢?
我们可以匡算一下,如果让纳税人来赞助的话,一枚奥运会金牌会花费纳税人多少钱。假设1名奥运会,是从1000名运动员里挑选出来的(中国那么大,33个省平均每个省有30个人练习同一个项目,应该不夸张)。光运动员还不够,还得有后勤保障人员,比如教练,领队,队医,厨房师父。就算平均两个运动员有一个后勤人员吧。好了,运动员+后勤人员,一共1500个人,换一枚奥运金牌。这1500个人是职业性的,假设国家得管他们每个人20年,其中10年训练,10年退休金补贴。每人每月的工资,暂定为1000元。除此之外,运动员还要使用运动器械,要住宿舍,还要出去外地、外国比赛等等开销,每人每月1000元。这样一算,一枚奥运金牌的成本,1500人×20年×12个月×2000元/月=72亿人民币。雅典奥运会上,中国取得了32枚金牌,那么我们在这32枚金牌上花费了72亿×30=2304亿元人民币。
真是不算不知道,一算吓一条。数字出来以后,双方可以再进行一场辩论,就算仍然谁也说服不了谁,至少,他们会把辩论的焦点从简单的“是”或“否”,转移到对于成本、收益的权衡上来。这场辩论的水平就会上一个层次。
需要说明的是,我上边的这些数字都是自己估算的,而不是从哪个政府预算报告上摘录的。这是一件挺无奈的事情。我从没见政府给出过明细的财政预算。所以我不知道我纳的税有多少用于教育、多少用于竞技体育、多少用于医疗、多少用于公务员工资、多少用于业务招待……不过不要紧,我们每个人都有常识和头脑。就像上边计算奥运会金牌的成本一样,很多事情我们自己就可以依靠现有的知识,大致估算一下。这么做虽然会费点力气,但是总比一无所知要好。
希望每一个人都能够养成用数字说话、向数字索取答案的好习惯。
<3>做事要留证据
在审计工作当中,很重要的一条原则就是:“如果你没有写下来你做了什么,那就等于你没有做。”比如你询问了谁,询问的结果是什么,你查看了什么单据,都要记录在工作底稿里。审计师特别喜欢管客户要资料:合同啦,发票啦,内部文件啦,管理当局的声名啦,都象宝贝似的要过来,把重点标注清楚,归入审计工作底稿里。只有当这些证据齐全了,报表上的数字才有依据。
用书面证据说事,和口头约定相比,无疑是一种进步。只有在每一个环节留下可供查证的证据,才能在发生纠纷的时候有理可说。可惜很多中国的企业总喜欢在合同里说一套,实际当中跟对方口头约定另外一套,不愿意及时更新合同。等发生了纠纷,双方各执一词。我想,随着中国司法制度越来越健全,那些不愿意用合同说事的企业,会越来越吃亏。
其实,审计报告本身就是一种书面证据。会计报表使用者需要看到注册会计师出具的审计报告,以确信会计报表是真实公允的。这年头股民很多,但是会看年报的股民却不多,看年报的时候关注受聘会计师事务所是谁的股民更是寥寥无几。如果你只是“炒股”,而不是“投资”股票的话,审计报告的确是可有可无的东西。
“做事要留证据”——这句话从另外一个角度讲,就是“不该留的证据坚决不留”。比如,审计师发现企业有一些小问题,但是不太严重,并不需要解决。那么,审计师就当根本不知道,在工作底稿上提都不提。如果你提了,但是没解决,反而容易被监管机构抓住小辫子。曾经有一种说法:我们做审计的目的,就是在赚到审计费的同时,取得适当的审计证据把责任尽量都推给公司管理层。这话虽然说的有点露骨,但是无疑是句大实话。
<4>简明、清晰地表达观点
“改革开放要坚持,纠正不正之风和打击经济犯罪也要坚持;改革开放要坚决,纠正不正之风和打击经济犯罪也要坚决;改革开放要是一个长期任务,纠正不正之风和打击经济犯罪也是一个长期任务。”——李瑞环,1986年4月3日在中央端正党风座谈会上的发言。
上边这段话,大家可能都读得比较累。如果换成一个审计师,他会怎么表达同样的意思呢?我想,他大概会这么说:“改革开放、纠正不正之风和打击经济犯罪这三件事都是需要长期坚持的任务。而且,我们在执行的时候要坚决。”
这就是商业社会的要求:从阅读者的角度出发,尽量通俗、简明地表达观点。如果阅读者很容易就明白了你的意思,他就有希望变成你的客户,你的表达就是成功的。如果他听不懂,或者听起来很费劲,双方交流的成本很高,你的表达就是失败的。
在我做第一个审计项目的时候,带领我工作的是一个第三年的高级审计员。我记得,她做事情一向很麻利,可是唯独她在往工作底稿上写“注释”的时候,总是磨磨蹭蹭的。每一条注释,她都是写了又写,改了又改,不断试验怎么表达才最清楚、最简明,让经理一眼就能看明白。她在遣词造句上所花费的时间,要远远多于给经理节省的时间。因为她觉得,多考虑一下阅读者的需要,让阅读者能够迅速抓住信息的重点,这样的底稿才是合格的。
在她的影响下,我也学着提高表达的效率,让别人不费脑子就能看明白。如果我想说的事情不太复杂,我就看门见山,第一句话就把结论扔出去,然后再写原因:<1>……,<2>……,<3>……。
如果我想说的事情比较复杂,需要先介绍背景知识,然后进行推理演绎,别人才能看懂,我就由浅入深地写,A,B,C……说清楚一件事,再说下一件事,依次说下去。每一条路如果有多个分支的话,我会加上序号A1,A2,B1,B2,这样读者就心里清楚自己“走”到了哪条路的哪个门牌号。
我看到很多人写长篇大论的时候,总是想到哪就写到哪,相同的意思也不合并一下,序号也不加,把ABCBDAE混成一团写,让人读起来像是在走迷宫。就拿李瑞环的那段话来说吧,第一句话的“要坚持”和第三句的“是一个长期任务”明明说的是同一个意思,他偏偏要拆成两句话到处乱丢。我们自己在写长篇大论的时候,切忌成为这种“乱丢盒子”的悟空啊。
在平时的阅读中,我们经常看到有些文章的作者容易陷入自言自语的梦呓,光顾着自己痛快,光顾着炫耀自己的文采和博学,而不顾文章的条理是否清楚、表达是否简明、别人是否明白。张五常近年来写的文章就是一个典型的例子,半文半白,思维跳跃。一个人的思想高明是一件好事,但是,如果他不善于表达,让读者读得晕头转向、不知所云、忘文兴叹,由于“交易费用高昂,导致交易无法达成”,这实在是一件让人遗憾的事情。
<5>出Q是完善文章的好办法
所谓出Q,就是由一个独立的第三人阅读审计底稿,指出里边有错误、或者是不清楚的地方,然后交给底稿的编制者去修改和完善。
在四大,员工不喜欢经理出Q,经理不喜欢合伙人出Q,审计部不喜欢税务部出Q。没有人喜欢别人给自己Q。但是,他们给别人出Q的时候都毫不留情。
出Q的确是完善文章的好办法。我将这种方法的优点总结如下:
<1>所谓“旁观者清”。有些事情,底稿编制者自己觉得说得很明白了,但是别人可能还是看不懂。让一个独立的第三人看一遍,提出他的疑问,就能够发现哪些地方表达得还不那么清楚。
<2>能够凝聚多个人的智慧。一张好的底稿,需要不断加以完善,充分吸纳不同人的好的思想。经理、合伙人通过出Q,把深层次的问题指出来,等于是将自己在职业生涯中所积累的知识注入到了底稿里。员工通过修改,模仿,下一年再完善,如此循环,底稿的质量就能不断提高。这不仅是工作底稿的进化模式,也是人类文明的进化模式。
<3>避免面对面的接触,从而提高沟通的效率。这个优点说来有点好笑,但是的确是一个事实。每个人都有自尊心和逆反心理的。据我观察,如果你当面指出别人底稿的缺点的话,通常会引起对方的解释、辩护和反驳。争来争去,底稿里问题并没有得到解决。如果是出Q的话,就快了很多。反正问题我已经给你指出来了。有则改之,无则加“注释”在底稿里说清楚,省得别人每次都误会你。
魔鬼存在于细节当中。出Q就是为了把底稿里隐藏着的大大小小的“妖精”挖出来。在四大,好的底稿无一例外都是Q出来的,而且是海量的Q,反复的Q。没有人喜欢别人给自己出Q,但是出Q的确能大大提高底稿的质量。希望你在清Q的时候,能够明白“严师出高徒”这个道理,把心态调整得积极一些。
<6>用二元表格传递大量信息
关于这个问题,happysun写过一篇文章,说的已经很清楚了,我没有什么要补充的。我将他的文章大段引用在下边。
用表格来说明问题是一种有条理的思考方法的体现
有这样一个问题,说某家旅馆今天有20个房间有旅客住,其中100元每天的房间有8家,150元每天的房间有7间,200元每天的房间有5间,请问这家旅馆今天的收入是多少?
这是一个很简单的题目。其要点不在于答案,而在于如何表达你的计算过程。我曾经拿着这个问题在近百名大学毕业生的教室里发问,得到的计算过程的表达方式全都是这样的:
100元x 8+150元x 7+200元x 5=2850元。
这不是一个令人高兴的结果。更好的表达方式是这样的:
房间单价房间数量收入
A B C=A x B
100元8800元 150元71050元 200元51000元 合计2850元
谁都能看出来,这种表达方式体现了一种数据库结构,而且非常有利于另外一个人来复查整个计算过程。审计师在工作底稿里,要善于使用这样的表达方式。
不过,这也不能怪那些大学生,我随便在互联网上找了一段新闻,是这么写的:
“去年频频出台的宏观政策极大遏制了北京楼市的蹿升式发展,尽管现房和期房的全年供应量都有不同程度的增加,但却明显呈现出求大于供的态势。受此影响,去年本市住宅销售非常火爆,现房销售率以及期房的预售率分别高达975%和923%。
记者昨天从北京市建委了解到,去年本市商品住宅现房销售面积总计22858万平方米,同比增长291%。由于供给增长明显小于需求,去年形成的现房市场已基本被消化完毕,销售率高达975%,比2003年同期高出124个百分点。
本市的期房销售也进入黄金时代。在商品住宅期房批准预售面积仅增长5%的前提下,预售登记同比增长接近60%,预售率为923%,比2003年高出304个百分点。
建委有关人士表示,上述数据证明目前本市房地产市场的消化吸收能力很强。这种销售、预售双走强的态势在今年还将持续。《京华时报》)”
这一段文字,就是典型的可以改造成一个表格的文字叙述。
单位:万平方米2004年2003年增长率/增长百分点
现房销售面积2,285801,77057291%
现房完工面积2,344412,08057127%
现房销售率975%851%124%
期房预售登记面积157100572%
期房批准预售面积17016254%
期房销售率923%619%304%
我自己试着将上面的文字叙述用表格表达了一下,发现这样做的好处真是多,不仅能够给读者提供更详细更丰富的信息,表达上也更清楚了
另外,我还发现,从数学上讲,上面那段文字里关于期房销售的数据也很有意思,记者不知道出于什么考虑,并没有给出期房的任何具体数据,只给出了几个百分比,但这几个百分比之间是互相约束并且自恰的。所以,不管我假设期房销售面积是1,还是1000,都无所谓。我因此没有办法推算出面积的任何具体数字。用数学语言说:根据目前的已知条件,期房的面积有无穷多解。
其实不仅仅是中国的记者很少用表格表达这些数字而宁愿用文字叙述,外国的记者也一样。你要是看华尔街日报的第一版,也经常有一大段文字是在讨论某些数字的。甚至连很多企业递交给美国证交会的上市文件里,也时常会用大段文字来描述一些数字。
我猜记者愿意用文字来表达这些数字是为了口头报道的方便。口头报道是一种单一维度的线性的信息输出,很难把一个二维的表格念出来。但写工作底稿和出报纸杂志,信息输出是一种两维的平面方式的,用表格来表达就是一种更清楚也更有效率的方式。
记者当然可以有他们的自由来选择他们喜欢的表达方式,但审计师为了让自己的思路尽量清楚,也为了让自己的工作能够让别人,例如合伙人,审阅起来简单易懂,还是用表格来表述自己的思路为好。
以上就是关于如何利用大数据开展审计工作全部的内容,包括:如何利用大数据开展审计工作、IT审计的审计流程、审计是做什么的审计的工作内容有哪些等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)