IT内审那点事 之 内部审核工作流程
从事IT内部审计已经3年多了。国内IT审计可以说刚刚起步,可以借鉴的地方太少。在这我整理了一下3年内审工作的心得,希望能给大家有所帮助。
一、内审存在的意义
当组织已经建立了环境管理体系,并按规范进行运行,则必须同时建立定期审核制度,以确定体系是否符合计划安排。如果没有一个内部审核环节,体系运行就不能保持或改进。所以内审起到的是监督和审查的作用。
二、审核工作基本步骤
审计工作大致有以下几个步骤:
1.????????审核计划
2.????????启动审核
3.????????文件审核
4.????????现场审核准备
5.????????现场审核
6.????????审核报告
7.????????完成审核
8.????????审核跟踪
三、审核计划,
内审人员在审计工作启动前应做好审核计划,审核计划应包括:
1.????????审核目标和范围
2.????????审核标准
3.????????被审核的组织或职能部门
4.????????流程的结构、顺序和关系
5.????????需要会见的关键人员
6.????????关注或高优先级(风险)
7.????????区域参考文档(程序、许可等)
8.????????开发工作文档
9.????????审核组成人员
已个人经验而言,在审计前最好再做一份审计底稿,预先罗列出所关注的问题。审计底稿能帮助审计人员关注焦点问题,确保不会遗漏问题。同时也助于提问的连贯性及对时间的掌控。审计底稿是可复用的。
四、启动审核
发起内审的起始会议,会议应包括以下内容:
1.????????介绍
2.????????确认审核目标、范围和标准
3.????????确认关注区域
4.????????确认审核计划
5.????????协商会议时间和参加人员
6.????????阐述报告的方式
由主任审核员主持,而不是被审核组织,作为主任审核员应掌握和维持整个会议的主导权。
五、文件审核
文件审核的目的是审核公司的制度文件与标准文档要求是否一致,若公司制度文件与标准向冲突,则将开出不符项的审计建议。
六、现场审核
现场审核包括
1.????????面谈
2.????????抽样
3.????????观察
4.????????收集数据
七、审核报告
现场审核完毕后,将审计发现的问题归纳总结,出具审计报告。审核发现大致分为3类
1.????????重大不符合项:
a)????????未执行或不符合一个或多个标准制度适用的控制要求
b)????????造成系统性或区域性严重失效的不符合
c)????????可能造成严重后果的不符合事项
2.????????轻微不符合项
a)????????孤立的人为错误
b)????????文件偶尔未被遵守,造成后果不太严重
c)????????对系统不会造成重要影响
3.????????观察项或建议项
a)????????证据稍不足,估计存在问题,需提醒注意
b)????????已经发现问题,尚不构成不符合,但发展下去有可能成为不符合
c)????????其他需要提醒被审核方注意的事项
八、完成审核
主任审计员发起内部审计结项会议,会议内容包括:
1)????????审核情况通报
2)????????审计发现通报
3)????????审计关闭时间要求
会后,被审核部门应对审计发现提交辩解和整改时间。
九、审核跟踪
内审工作完成后,审核人员应依据对方许诺关闭审核发现时间点,对不符项进行审核跟踪,从而关闭不符项。 |
孤独无败
发表于 2014-4-8 16:42:59
转播
分享
淘帖
()
