[原创]SOX审计的一点经验(1)【本文被AMT公共知识库收录,奖励200金币,祝贺!】被会计师事务所审了几次,一直想把经验写下来与有兴趣的朋友分享。由于涉及的东西比较多,因此我会分开几个话题来写。
1、内部控制文档与实际流程不匹配 通常的公司都会建立内部控制的文档(包括企业标准、规章制度、规范、工作指引等),但在运行了一段时间后,企业的内部控制文档还存在,但已变得面目全非,无法反映当前的流程与控制要求。企业在对IT运作、管理的流程进行梳理化的过程中,会形成多种流程内控文档,例如按照Cobit的控制活动将企业的流程规划为五大类的活动,或按照ITIL的最佳实践规范将企业的IT服务规划为多个独立并相互关联的管理流程。这些流程的建立并不是一蹴而就的,应该是按照其特定的生命周期进行不断的改进,并且实现人、流程、技术的完整结合。但是企业往往只把该类活动当作一个项目的输出,没有将这些流程不断地更新、完善,也没有将这些流程同步到流程控制文档中。 2、内部控制文档之间的描述不一致 规范的规程或控制文档,在企业的运营实践中,是作为管理策略或制度来表现的,必须用书面的形式表现出来。这些文档,可以用来体现、定义和传达董事会和决策层对于企业IT管理的理念和展望,定义其他用以运营管理和技术架构的宏观框架,是所有IT管理工作的基础和依据。在制定时通常为了解决一些特定的问题而存在,而这些问题之间难免有交叉,这样就很容易造成对同一问题描述时出现不一致,这样很容易造成在审计过程中出现不必要的问题点。我们就试过由于规章制度与工作指引之间描述不一致,导致所抽查到的证据不一直,在内部审计时被要求对相关事项进行整改工作。 3、潜规则泛滥 许多规程或者控制,仅仅作为管理的潜规则存在于企业的日常运营中,并没有形成文档,或者是形成文档后也没有得到遵守,造成不但处理过程含糊不清,也没有流下足够的文档记录,一致几乎完全无法审计。这也是不少国内企业在进行IT审计时会经常遇到的问题。 责编:caigansheng 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 |
专业博客 |
|