审计起源于所有权和治理权分离。以最早的审计为例子,你和朋友A合伙开企业,朋友A负责管理运营,你负责出钱。为了尽最大可能避免你的钱被朋友A侵吞、转移、滥用或者投资高风险领域,你需要一个客观公证且具有专业技能的第三方组织来确保你的合法权益。这个组织就叫会计师事务所。这个行为就叫做审计。
审计的方法论,相对是比较枯燥的,假如没有实际的案例辅助理解的话,弄明白是很费劲的,这就是为什么很多没有实务经验的人看CPA考试的审计书就像看天书的原因。事务所的工作是先接触实务,通过工作的体会,一步步了解审计,最后才完整地接触理论。
第一个阶段一般是在10到11月份执行。首先是预审,需要一周左右的时间,此阶段执行的审计程序非常集中和系统,也就是PRC准则下的内控测试。方法就是将企业的行为,包括非财务行为,分为7大系统:分别是Financial accounting cycle(财务报销穿行)、Expenditure cycle(采购穿行)、Inventory cycle(存货穿行)、Fixed assets cycle(固定资产穿行)、Revenue cycle(收入穿行)、Payroll cycle(人事穿行)、Treasury cycle(投融资活动穿行),每个系统都会去检视公司的内部控制活动,确认关键的内控点并监查公司有没有正真获得执行。
第二个阶段就是年终结束后的审计活动。年审需要一到两周不等,大的项目需要3到5个人关注一个月以上,小的项目3个人一周就能完成。这样一个时间段执行的审计程序大多数都是Substantive testing的范畴,包括:
①抽样测试。审计师会对每个被选定为重大风险的科目执行抽样测试,确定的重要性水平下,对每个科目抽取数量不同的样本,检查抽中的样本在处理上是否有原始的单据、真实的交易内容和是否经过正常的审批流程等等,并记录有关信息。这种方法的优点就是简单,缺点是数量比较大,保证程度较低。根据德勤的审计方法,收入的抽样是150笔(高低估各75笔),数量是比较大 ,需要一个A1一到两天,效率较低。
②匡算。这也是一种常用的手段,简单的说就是重新计算。比如说客户账面记录本期管理费用有200万的租金,那审计师就会要求财务提供这两百万租金的租赁合同,然后自己算一遍,看到底是客户少记了还是多记了,记得时间对不对。这种方法的优点就是保证程度较高,但是有一些业务类型是不能这样做的。比如一个超市一年的收入是20亿,审计师是没办法进行匡算的。
③函证。所谓的函证程序,客户和关联方及重要的往来供应商之间的交易,以及客户与银行的账务,审计师都会单独寄送函证去询问,看这个客户今年截至12月31日在银行是否有这么多的存款,是不是还欠某个客户多少钱,今年总共卖了多少产品。这样就可以确认客户账面银行存款、应收应付给某个供应商的余额是不是正确,收入或者采购的数据是不是准确等等。这样的解决方法的优点就是保证程度非常高,是来自第三方的数据,理论上是最让人信服的。缺点是周期长,并且由于时间结算点和归类不同等原因,函证寄回后对方的答复可能是否定的,你要消耗大量的时间去解释差异。同时这样的解决方法一般只是用于银行与往来科目,在使用上有局限性。
④盘点。这个是很重要的方法,每年年末最后几天,审计师都会被派往各个客户现场去负责监盘,监督客户的年末盘点。对于存货较大的客户,盘点是必经的程序,并且理论上只有一次机会。这个测试的目的是要看看客户年末账面上显示的资产是不是真实存在,有没有损毁和减值等等。
⑤分析性复核。这是一种普遍的方法,就是对比每个科目,根据明细列示的两年变动做多元化的分析等等,来说明该科目本年核算的内容、变化原因和特点等等。
除此之外审计还包括很多其他的工作,例如调查,采用评估师的报告,网上查证和搜索等等,这些也可当作审计证据的一部分。
网络安全威胁持续发展、恶化,无显著的规则或限制条件表明哪家企业会成为下一个攻击目标。用户无需对相关设备做物理访问,便可以对企业造成危害。他们能够利用恶意软件或鱼叉式网络钓鱼攻击、与第三方的联系、新兴技术和其他新出现和正在发展的途径访问企业网络。
企业一定要重视IT审计安全和信息安全,制定应对下列风险的网络审计计划,从而避免受到网络攻击:
网络技术的发展为公司能够带来了新的发展机遇,与此同时,我们应该妥善处理网络安全带来的风险。只有进行风险评估和制定内部审计计划,方能掌控数字化时代。
时代新威有十多年的IT审计与信息安全管理咨询经验,是唯一一家获得国内两大权威认证机构颁发的IT审计资质的企业,且是多个信息安全权威组织的专家委员,拥有信息安全领域最专业的培训认证资质,以提供专业网络安全咨询和IT审计服务、网络安全和IT审计工具研发、网络安全和审计教育培训为使命,为使客户的IT基础设施和应用系统有效支撑其业务发展提供保障和推动力量。
“十年磨一剑”, 时代新威® 在金融、能源、电信等关键信息基础设施领域形成了网络安全咨询与审计服务、培训和工具“一剑三刃”的拳头产品,在网络安全等级保护、网络安全风险评估、ISMS/ITSMS/BCMS建设和认证、关键信息基础设施保护、网络安全标准化、信息系统审计服务及信息系统审计人员和机构资质认证等领域经验比较丰富、成果显著,赢得了客户信任和政策部门支持。
综上,作者觉得防范IT风险,是目前企业面临的一个比较前沿的新挑战,同时也是企业能够在激烈市场之间的竞争中占据优势的新机遇。我们要做好IT风险防控,关键是要深入理解企业的发展的策略,摸清企业的现状,在此基础上,加强IT审计,规范企业的IT活动,为企业在未来的市场之间的竞争中争取主动创造条件。