理解证据规则
审计世界在可靠证据的收集和回顾中旋转。没有证据,主张或声明是无法验证的,审计师无法从虚构中分离出事实。好的证据能证实主张或提供您感兴趣事情的存在。
好的审计师使用充足的证据阐明意见。没有可接受数量、相关性、可靠性的证据,就不能发布意见。您的工作是作为一个专业的怀疑论者,并要求您能验证的证据。最好的证据需要很少的解释。当理解这个证据需要更多的判断的时候,证据的价值就降低了。您的工作是为在工作中找到证据打分,没有证据就是零分。
让我们假设您在寻找关于现有组织政策的证据。首先,您要寻找政策本身,是纸的还是电子文档?文档在几个小时内都找不到的话,可以假定其不存在。无法发现策略文件显示其没有被活跃地使用。现在假设客户发现了策略文件,它是很容易找到的,还是布满了灰尘?
下一步是验证您有最新的版本。您的审计宪章可能或者可能不要求您检查策略的内容,不管怎样,您需要验证您客户组织确实使用了该策略。您可做一个随机调查,询问工作人员是否能出示给您最新版本的策略。
下一步,您可以询问问题,考察工作人员是不是真的看过策略的文档。
然而,策略的单独存在并不符合证据法则。很多人展示他们读过文档的话,能提高被审计者的分数。
另一种方法是寻找策略讨论会的记录。很少策略存在,而没有提出任何形式的问题或讨论。对策略的质疑可能是电子邮件。您也可要求人执行和策略有关的任务来检查他们的行动。直接检查是最有利的证据。当您想要声明的要点时,只要要求客户重新执行就可以。展现的消息根据位置的事实,能调用害怕或自豪。重申,没有证据等于零。
识别需要会见的人
每个系统有内在的控制需求。审计师需要确保是和相应管理的人讨论。在每个系统中存在三个基本IT相关角色:所有者、用户和管理人。表1.1列举了他们的相关角色和职责:
这些人不用在IT部门工作,相反的,这些角色的存在不受部门界限的限制。如果某人行使功能,角色的职责就属于这个人,没有例外。如果一个人扮演2个角色,他就有2套职责。如果有人扮演所有3个角色。不是一个人操作,就是你需要讨论职责分开和您数据的价值(either it’s a one-person operation or you need to have a talk about separation of duties and the value of your data)。
CISA日记 [2007年01月14日]
与律师工作
关于谁应该雇佣审计师有很多讨论,是客户还是他们的律师?危险的是律师客户特权下的机密性法律争论。大多数律师和客户间的沟通可能从法定发现(披露)中免除。
我们建议询问您的客户。如果需要,律师可以写信批准审计师为他们的利益工作。作为审计师,为了公平、诚实,您应当不受任何胁迫地工作。这应该在审计宪章或您的雇佣信中写明。好的审计师应该把法律问题留给律师,并做好自己的审计工作。真理经常作为极佳的防卫。
保留审计文件
大多数情况,综合审计的档案可能要保存7年。每种审计根据确定的审计计划规则,可能有长或短的保存期。如果客户丢失了文件,那是他们的问题,而不是您的。
NOTE:当我听说客户没有完整的档案,我脑袋里的第一个声音就是chi-ching!我会向他们收更多的钱用来重建缺少的档案。
在审计中,您要在属于审计工作组的电脑上准备报告和文件。审计组的所有成员应该保证充分的物理安全,包括笔记本电脑线锁和在晚上或不用的时候锁住敏感的文件。您必须机警地瞪大眼睛和耳朵。审计团队贯彻设计“作战室”为安全工作场所是可取的。和所有其他的会议和接见应该在安全的其他地方。
提供良好的沟通和综合
您曾经感到紧张、害怕,或胁迫么?当您知道审计师要来拜访时,您的感觉如何?没什么比审计的威胁能更快激起人们的防御心理了。一个好的审计师明白客户的期望,并意识到有必要花时间与好奇或紧张的客户谈话。
以下是减轻您客户敬畏和焦虑的好办法:
●多观察,询问合适的问题。
●相互尊重,要想成功,审计师和被审计者必须项目尊重。当您发现问题,不要责备谁,因为您谈话的人可能就是那个糟糕决定的制定者。不要侮辱您的客户,只要盯住事实。您可以这样说:“根据现在的信息,看起来象是一个可接受的主意,然而现在需要您考虑…”。一个好的审计师永远尊重别人和他们的感觉。
理解领导责任
好的审计师在开始审计前花计划和设置优先级。您需要制定如何和其他团队工作的计划。发展您希望实行的领导风格。The days of Captain Bligh shouting orders “lest ye be flogged” are gone。
让我们看看好的领导的特征:
当您的方向是强制的和当他们开放接受反馈和注释时,您的领导风格需要明白鉴别(Your leadership style needs to clearly identify when your directions are mandatory and when they are open to feedback and comments)。做注释和问问题让团队成员感到舒适。
好领导要为成功制定的详细需求并分享整个计划。好领导要为为大宗买进和团队合作奋斗。您不能领导不想被领导和不明白目标的人。
一个古老而有价值的领导课程说全体职员掌握他们经理的命运。经理的提升或者降级全靠下属的表现。如果您的员工相信工作是好的,您也通常会得到好的结果。如果他们不相信您做的事情,将要失败。您个人好、坏的评价不是首要因素。问题是团队相信什么。忠实的信徒能产生例外的结果。花时间教育您的下属并展示积极肯干的接受评价,是一个好领导的显著特点(Making time to educate your staff and demonstrating a willingness to take criticism are traits of a good leader)。
审计经理有责任制定清楚的责任和权力。为了防止混乱只能有一个头。这个头的责任就是做困难的决定和为选择负责。
审计和被审计都需要一个简要的时间表。所有客户沟通在共享前要审查。审查主要是评估和修改词语的过程,以得到预期的结果。
计划和设置优先级
好的审计是正确计划的结果,不是魔术或运气。每个审计都从审计宪章或雇佣信开始。顾客将定义审计的焦点和范围。审计师的责任是收集审计前的信息并制定与客户一体的审计活动进度表。为了成功,应该使用项目管理方法。
让我们看看计划过程中审计师的一些责任:
●理解客户业务
●关系业务周期(月、季度、季节、年)
●建立优先级
●根据已知或检查出的风险选择一个审计策略
●寻找审计团队成员
●优先整理审计资源、工作区和设备
●请求文档
●安排人员时间和有效性
●安排出差和住处
●为延期或无法履行做计划
●如果近期停工或风险批准,考虑重新计划
●制定可选策略
●制定简要时间表
专业的审计师在审计团队到达前会提供给被审计者一个基本要求和必须资源的清单。
好的审计师对执行工作所需的事项给予大量注意,包括在审计科目中包括的指南、方针和程序等文件需求。
提供参考的标准条款
审计师在执行审计时需要保持公正和目标。作为审计师,对您的客户应该可靠、有礼貌。可以制定参考的标准条款来提升尊敬和诚实的解释。作为审计师,您应该尝试使用以下条款,或一些相近的:
● Auditee claim/statement
● Present
● Not present
● Planned
● Tested (how)
● Not tested (why)
● Observed
● Verified (how)
● Not verified
● New requirement
● Requirement changed
● Requirement cancelled
● Failed to meet requirement
● Resource not available
● Insufficient evidence
● Access denied
● Personnel unavailable
● Lack of time
处理冲突和失败
一些级别的冲突是不可避免的,失败也是有可能的。IS审计师面对时间、资源和态度的挑战。
这些挑战可能是客户或审计师的。审计师必须一直证明专家地位。一个例外的审计师将用快速响应锻炼常识,使用过去的经验,并使工作看起来容易,特别是处理变化和冲突时。
识别外部和内部审计师的价值
在本学习指南中,我们作者经常意味外部审计位置。这是为了加强审计师独立性而有意为之。然而,外部和内部审计师都有充实的机会。
外部审计师是被聘用作为组织独立评论家。内部审计师可为帮助机构准备外部审计提供巨大价值的努力。即使他们不能认证或证明最终结果,凭着独立的态度,内部审计师可以达到同样的位置。他们专门的审计技能在比外部审计低很多成本的条件下,帮助指导设计和纠正活动。
IP卡
狗仔卡
发表于 2007-8-5 23:20:38
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
楼主