IT内审那点事 之 内部审核工作流程
从事IT内部审计已经3年多了。国内IT审计可以说刚刚起步,可以借鉴的地方太少。在这我整理了一下3年内审工作的心得,希望能给大家有所帮助。
一、内审存在的意义
当组织已经建立了环境管理体系,并按规范进行运行,则必须同时建立定期审核制度,以确定体系是否符合计划安排。如果没有一个内部审核环节,体系运行就不能保持或改进。所以内审起到的是监督和审查的作用。
二、审核工作基本步骤
审计工作大致有以下几个步骤:
1. 审核计划
2. 启动审核
3. 文件审核
4. 现场审核准备
5. 现场审核
6. 审核报告
7. 完成审核
8. 审核跟踪
三、审核计划,
内审人员在审计工作启动前应做好审核计划,审核计划应包括:
1. 审核目标和范围
2. 审核标准
3. 被审核的组织或职能部门
4. 流程的结构、顺序和关系
5. 需要会见的关键人员
6. 关注或高优先级(风险)
7. 区域参考文档(程序、许可等)
8. 开发工作文档
9. 审核组成人员
已个人经验而言,在审计前最好再做一份审计底稿,预先罗列出所关注的问题。审计底稿能帮助审计人员关注焦点问题,确保不会遗漏问题。同时也助于提问的连贯性及对时间的掌控。审计底稿是可复用的。
四、启动审核
发起内审的起始会议,会议应包括以下内容:
1. 介绍
2. 确认审核目标、范围和标准
3. 确认关注区域
4. 确认审核计划
5. 协商会议时间和参加人员
6. 阐述报告的方式
由主任审核员主持,而不是被审核组织,作为主任审核员应掌握和维持整个会议的主导权。
五、文件审核
文件审核的目的是审核公司的制度文件与标准文档要求是否一致,若公司制度文件与标准向冲突,则将开出不符项的审计建议。
六、现场审核
现场审核包括
1. 面谈
2. 抽样
3. 观察
4. 收集数据
七、审核报告
现场审核完毕后,将审计发现的问题归纳总结,出具审计报告。审核发现大致分为3类
1. 重大不符合项:
a) 未执行或不符合一个或多个标准制度适用的控制要求
b) 造成系统性或区域性严重失效的不符合
c) 可能造成严重后果的不符合事项
2. 轻微不符合项
a) 孤立的人为错误
b) 文件偶尔未被遵守,造成后果不太严重
c) 对系统不会造成重要影响
3. 观察项或建议项
a) 证据稍不足,估计存在问题,需提醒注意
b) 已经发现问题,尚不构成不符合,但发展下去有可能成为不符合
c) 其他需要提醒被审核方注意的事项
八、完成审核
主任审计员发起内部审计结项会议,会议内容包括:
1) 审核情况通报
2) 审计发现通报
3) 审计关闭时间要求
会后,被审核部门应对审计发现提交辩解和整改时间。
九、审核跟踪
内审工作完成后,审核人员应依据对方许诺关闭审核发现时间点,对不符项进行审核跟踪,从而关闭不符项。 |