[p=null, 2, center][b]作者:[/b]惠普IT管理学院高级顾问,资深审计专家 宋琳[/p][p=null, 2, center] [/p]
[p=null, 2, center] [/p][p=null, 2, left][b]一、[/b][b]审计的定义[/b][/p][p=null, 2, left][b]系统的、独立的和文件化的获取证据[/b][b],[/b][b]并进行客观的评估,判断审核标准的范围得到履行[/b][b]。[/b][/p][list]
[*]审核内容要覆盖人员/程序/过程的执行力/设备/环境等所有影响因素(系统的)
[*]每个人不能审核自己所从事的工作(独立的)
[*]审核一定要查验到文件及记录(文件化的)
[*]审核是基于抽样,尽量是有代表性的样本。 一般抽3-5个样,如人员转岗时的权限变更,从HR的清单上找近期转岗的人员,选3-5个岗位较重要或职位较重要的人员,看其转岗前后的权限是否按要求变更。
[/list][p=null, 2, left] [/p][p=null, 2, left][b]二、[/b][b]IT[/b][b]审计的应用[/b][/p][p=null, 2, left] [/p][p=null, 2, left]企业(尤其是上市公司)每年要迎接各种各样的审核,如客户审核、认证审核、上市公司的内控及财务审计、集团的审计等, IT作为承载最大信息的载体以及保证公司运作的最重要的平台,每次都是审核的重点。现在IT审计大多缘于以下目的:[/p][p=null, 2, left][b]国际视角[/b][/p][list]
[*]SOX与COSO –塞班斯法案与COSO企业内部控制框架
[*]COBIT,ISO 系列标准,如:ISO 27001, ISO 20000和其他IT相关标准
[*]其他来源的相关指导文件,如:IIA, 美国审计署(GAO)…等
[/list][p=null, 2, left][b]国内标准[/b][/p][list]
[*]财政部等五部委发布的《内部控制指引》/CSOX等
[/list][p=null, 2, left] [/p][p=null, 2, left][b]三、[/b][b]各类审核标准之间的关系及范围[/b][/p][list]
[*]ISO20000/ITIL: 适用范围是IT运维部门. 运营级别的管理模式。
[*]ISO27001:适用范围是IT开发、运维、外来人员及除IT外其它等所有涉及或影响重要信息的部门。运营级别的管理模式。
[*]Cobit: IT治理, IT战略及运营级别的管理,包涵了ISO27001及ISO20000的范围。战略级别的管理模式。
[*]COSO/SOX: 公司治理/内控,公司战略及运营级别的管理,IT是其中的重要平台。战略级别的管理模式。
[/list][p=null, 2, left][ /showpic.html#blogid=7ebc432501017qzd& /orignal/7ebc4325g7b1545b68118][img=643,349]mw690/7ebc4325g7b1545b68118&690[/img][/url]
来自: 惠普IT管理学院 博客
[/p] |