大家好。
由于有大量感兴趣的人想加入安永的 ITRA,我想尝试回答经常被问到的问题: “IT 审计的工作是什么?” 。不过,在回答这个问题之前,我想先慢慢解释一下财务审计,并继续讲一下它们与IT审计的关系。希望这些知识有用。
1. 审计,是的……审计……
你一定经常看到名字末尾 中国电话号码表 带有“Tbk”的公司吧?文字缩写为“Open”,表示该公司在印尼证券交易所注册,可以向公众出售其股票(或者我们通常所说的“Go Public”)。那么,一家公司要开业的要求之一就是有经过审计的财务报告并获得不合格收入(WTP)。
为什么经审计的财务报告是一项重要要求?为什么不只是普通的财务报告?如果您想成为股东或投资者,请尝试一下。您购买了一家公司的一些股票。您拥有一家公司的部分所有权。当然,公司的损益和财务“健康状况”是您在股票游戏中做出决策的重要信息。
然而,即使你不是每天都在公司,你怎么知道公司的情况呢?财务报告就是答案。通过阅读财务报告,股东可以了解所投资公司的财务状况。
那么下一个问题就来了:作为股东,你怎么能完全相信这家公司提供的财务报告呢?公司不可能伪造财务报告以使其看起来很健康吗?这就是财务审计发挥作用的地方。审计师作为独立第三方,将审查公司的财务状况。这将确保(尽管不是100%)公司发布的财务报表反映其财务状况。
但无论如何,要真正使用财务审计师的服务,公司不必是开放的。对于尚未上市的公司来说,使用审计师的服务是可以的。也许他们只是想确保他们的财务报告没有误报。
至此,希望有关财务审计的解释能够传达清楚。如果出现问题,您也许可以提供帮助。
然后,让我们继续进行 IT 审计。
2. 好的...那么,这与 IT 审计有什么关系呢?
要知道,现在有很多公司的业务都是由各种技术支撑的。有了这个计算机化系统,各种公司活动都可以自动进行,例如向客户销售、从供应商处采购、过帐日记账分录、这样计算、那样计算,甚至……制作财务报告。
那么,这给财务审计师带来了一个问题:我如何了解这家公司的计算机系统是如何工作的?在执行审核过程时,我可以相信该公司计算机系统的结果吗?如果是这样,我可以在多大程度上信任这个系统?
就在这里!杰伦杰伦!IT 审计师前来救援!
IT 审计员将深入研究公司的 IT 系统,以评估其安全水平、控制水平和效率水平。然后,评估结果将提供给财务审计师,以确定他们是否可以信任公司的计算机系统来执行审计活动。
如果IT审计的结果确定公司中的系统是有效的(可以信任的),那么财务审计师的工作就会变得更容易、更短。他们可以直接从系统中提取一些数据。如果IT审计的结果说它无效,那么...他们不能依赖系统,大部分工作都必须手动完成...哈哈(至于细节,老实说我不知道)
3.解释还是有点抽象……IT审计工作的细节是怎样的?
从广义上讲,IT审计工作分为4个:IT一般控制(ITGC)、应用控制(AppCon)、JE测试(JET)和数据迁移。
顾名思义,在 ITGC中,我们将检查公司IT环境中组件系统、流程和数据的一般控制。检查了 3 种类型的控制:管理变更 (MC)、逻辑访问 (LA)、其他过程 (OP)。
- MC:项目变更管理中的控制。公司是否有实施计划变更的程序?是否有程序变更的文档?计划变更是否得到授权、批准和测试?
- LA:控制对应用程序、数据和基础设施的访问。最终用户如何进入应用程序?是否有遵守的密码政策?如何进入服务器机房?创建新用户访问权限必须遵循哪些程序?
- OP:其他控制,例如备份、计划处理和问题管理。数据备份多久进行一次?报告最终用户遇到的问题的程序是什么?公司有BCP/DRP吗?
与检查一般控制的 ITGC 相比,在 AppCon中,我们检查应用程序的特定控制。AppCon 测试了 3 个控制措施,即财务报表结算程序(FSCP – 也可以称为 FI)、采购到付款(PTP – 也可以称为 MM)、订单到现金(OTC – 也可以称为 MM)。称为SD)。老实说,我还是不太明白,因为我只做过一次。所以,我不敢提供太多信息,以免被误导……哈哈
至于 JET,这项工作相当简单(但有点烦人)。我们检查审计期间的日记账分录是否与试算表相符。示例:A 公司的中期审计期间为 2013 年 1 月至 2013 年 10 月。因此,JET 将检查 2013 年 1 月至 2013 年 10 月期间的日记帐分录过账是否与 2013 年 1 月至 2013 年 10 月的试算表变动具有相同的值。
而且 数据迁移 并不总是每次审核时都进行。仅当公司在审核期内迁移服务器时,才会进行数据迁移。这里,我们将检查服务器迁移前试算表中的最终余额是否等于迁移后试算表中的初始余额。例:A公司审计周期为2013年1月-2013年10月,A公司于2013年6月1日进行服务器迁移,因此将2013年5月31日试算表中的最终余额值与初始余额值进行匹配进行数据迁移测试2013 年 6 月 1 日的试算平衡表。
4. 波隆宁格!我是MABOOKKK!呜呜……咕我能不能进入IT审计?
冷静点,兄弟们!刚进去的时候,我也经历过同样的头痛。多次向前辈解释,只能瞥见。我个人认为,学习IT审计最有效的方法就是边做边学。如果你还没有跳进游泳池,你还不会游泳。哈哈
通常,当你第一次进入时,你会得到的第一份工作是ITGC。通过ITGC,我们也可以了解IT审计流程是如何运作的。如果我们已经做过多次ITGC,我们将有机会参加AppCon。别担心~一切都会慢慢学会的。哈哈
5. 到目前为止,您可以从IT审计员工作中获得哪些技能?
我认为这份IT审计员工作的有趣之处在于,我有机会看到各个公司的各种业务流程,也可以了解IT部门如何利用现有资源解决问题。
在这份工作中,我们还学习如何与客户打交道。因为我们肯定会经常见面进行采访、数据请求、演练等等。是的...学会有勇气去见人哈哈。