论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 9 篇帖子 ] 
作者 内容
 文章标题 : 转贴:内审是铁,IT是钢,作者:Nosir
帖子发表于 : 2006-10-22 02:28 
离线
高级用户

注册: 2004-02-26 14:26
最近: 2009-08-20 10:57
拥有: 4,492.30 安全币

奖励: 2984 安全币
在线: 4401 点
帖子: 277
地址: 上海
现把评COSO一文作者Nosir的其他几篇和审计相关的文章一起发在这儿,与大家共享之

转贴:内审是铁,IT是钢,作者:Nosir

出处:http://club.esnai.com/club/bbs/userColumn.asp?column=%B6%C1%CA%E9%B1%CA%BC%C7&name=nosir&folderid=4304



当一群焦燥不安的内审在埋怨内审无人重视的时候,当充满怨气的内审愤愤地宣称内审是增值活动的时候,他们的目光很茫然,他们的内心充满着困惑,他们并不知道内审到底怎么创造价值,他们也不知道怎么向别人说明,缺少内审,世界将会怎样。他们知道的只是抱怨怀才不遇,他们希望别人倾听他们的苦衷,希望能遇到一个理解内审的“明君”,他们以为有了个理解内审的CEO,内审的日子就会好过些。可是他们错了,他们应该知道今天内审的困境首先并不在于别人对内审的偏见和不理解,而在于多数内审的确并没有创造价值,而是在破坏公司的价值。
但内审今日的困境是可以改变的。道路有很多,但千变万化,根本只有一条,首先是内审应该改变怨妇心态,积极面对当前的困境,通过实实在在的努力来创造价值,其次是采用各种有效的渠道,通过丰富多彩、富有创意的形式来传递价值。如果能做到这些,何愁花不好月不圆?指点江山,倚马可待。
要创造价值,内审人要做的是学习和思考。当世界已经进入二十一世纪,我们不能再用上个世纪的工具作战。小米加步枪的年代已经结束了。内审的口号不是“Work harder”(苦干),而是“Work smarter”(巧干)。我们要展示的不是我们的辛苦,因为辛苦只是投入,我们要展示的是我们的产出,即我们所创造的价值。而内审价值的创造离不开先进的工具。更恰当地说,先进工具的使用并不仅仅只是为了提高工作效率,而是意味着没有这些工具,我们已经无法工作。要审计这个信息化的世界,离得开信息工具吗?
我这里说的工具,指的是数字化审计工具,即CAAT(computer assisted auditing technique-计算机辅助审计技术,或者是CAATT,computer assisted auditing technique and tool计算机辅助审计技术和工具)。
世界已经改变。最主要的变化来自两个方面。一是人类交往空间的无限扩大,在传统中国,每个人的平均社交半径不超过30里,即多数人生活的圈子在家的30里范围内,由于缺乏发达的交通工具,人的活动空间受到限制。而今天,“千里江陵一日还”已经不是诗人的夸张,而是现实,甚至是这种速度已经落后于现实,一天时间足够飞越太平洋了。交往半径的扩大,导致“地球村”的出现,天涯若比邻,在今天听起来无比贴切。但地球村的另一个含义是,公司竞争的跨国化,竞争对手可能出现在地球的另一端,在你根本没有想到的地方。另一个变化是时间的变化。速度变快了,人的生活节奏加剧,匆匆的步履代替了昔日的闲庭信步。所以有人说,这是个“十倍速”的年代。也难怪Intel的格鲁夫说,只有偏执狂才能生存。这两个变化,即人类交往空间的扩张和时间速度的变化,对内审意味着什么?
答案很简单:意味着风险的加剧。从地理范围上说,一个村庄的手工作坊主,他的竞争对手如果只是方圆三十里内的其他作坊主,这种竞争再怎么激烈都不会是“cut-throat competition”(割喉战),而如果全世界都和你竞争的时候,竞争再怎么轻松都不会是冬日的阳光那么懒散。从速度来看,两个行人相撞最多擦破点皮,两部自行车相撞,最多不过骨肉之伤,而两部汽车相撞,就多半是车毁人亡,两部飞机相撞,就是尸骨无存了。空间和时间的变化的后果不是二者变化的相加,而是相乘。试想想,这是什么样的光景――风险呈几何级数倍增。内审作为风险评价部门,如果风险以几何级数倍增,内审会是什么样的处境?
具体地说,内审至少面临两方面的挑战。一是原来的抽样检查效果大打折扣,二是内审时效的滞后性变得异常突出。如果不能有效应对这两个挑战,内审的价值面临信心危机。
为什么说抽样检查――审计人员的看家武器之一――不再有效?审计的检查方式从早期的普查演进到近代的抽样。抽样无疑是审计技术的伟大创新,但抽样是审计不得已的创新,交易量扩大,人力无法再全面检查,只好想出个办法,既不需要全面检查,检查又能有代表性,于是抽样应运而生。但随着交易量爆涨,抽样的代表性值得怀疑。以我最近做的一个审计为例,我们公司一种产品一年交易的数据表的容量有7G多(7G只是其中一张表而已!),每天的交易10万笔左右,而这只是一种产品,这样的数据量和业务量,抽样多少才有代表性?即使抽千分之一检查,那也要检查3.65万笔,这远远超出审计资源所能承担的极限。而千分之一的抽样比例已经严重偏低了。
至于另一个问题,为什么内审的滞后性变得异常突出,那就是显而易见的了。按照传统的内审做法,年初对被审计单位进行风险评级,根据风险评级结果制订审计计划。高风险的一年审计1-2次,中风险的18个月审计一次,低风险的两年审计一次。正如前面所说,速度变快的情况下,风险以几何级数增长。风险的量度单位已经不能用年来衡量,而是要用天,甚至用分、秒来计量。一年审计一至两次,这能有多少效果呢?
面对挑战,只能应战。
既然抽样不再有效,那我们就来个普查。是的,普查。既然一年审计一次不够,那我们就365天每天审计。是的,一年审计365次,甚至是审计365×24×60×60次。这些不是梦想,但这些都需要CAAT的支撑。没有CAAT,这些都是乌托邦,是海市蜃楼。
CAAT可以改变内审的工作模式。
有了CAAT,内审从抽查重新回到普查,完成了一个历史的轮回,正印证了老子所说的“反者,道之动” 。内审人员可以忘掉繁琐的抽样公式,无需再担心抽样比率多少合适。你可以把所有数据灌入数据分析软件,通过设计问题特征模式,编制相应脚本。每笔交易都经过核查,没有一个漏网之鱼。你可以利用软件进行数据分层,做帐龄分析,查看交易集中度、分布频率、偏差区间,从而迅速发现异常交易。
其次,通过CAAT,可以实时连接业务系统,每一秒新发生的交易都在第一时间经过审计。如果条件不允许对接业务系统,可以通过定期导入业务数据的方式做非现场审计,虽然这种方式不能做到实时,但和传统的一年审计一次相比,无疑已经是质的突破,内审的时效性大大提高。
但是,CAAT没有替代内审人员的作用,CAAT让内审人员的角色发生革命性的变革。CAAT把内审人员从繁冗的常规事务中拯救出来,内审人员将从低附加值的劳动转移到高附加值劳动,内审人员的时间将投入到研究如何更好地定义问题、发现问题、解决问题中去。
《红楼梦》中有句:“好风凭借力,送我上轻云”。是的,天有多高,你就可以飞得多高,梦有多远,你就可以飞得多远。内审的高度取决于你的梦想和你所凭借的工具。


--------本帖迄今已累计获得32安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2006-10-24 20:10 
离线
中级用户

注册: 2006-10-13 19:26
最近: 2007-11-12 20:44
拥有: 74.00 安全币

奖励: 205 安全币
在线: 1215 点
帖子: 82
说的真好啊~~~~~~~~~ :lol:


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2006-10-25 01:35 
离线
高级用户

注册: 2006-07-07 12:28
最近: 2010-10-26 16:06
拥有: 1,363.30 安全币

奖励: 1154 安全币
在线: 1675 点
帖子: 155
地址: 上海
我好像老在找Nosir的碴 :)

我觉得本文的title与内容好像搭不太起来;至少我不知道为什麽介绍CAATs要提到谁是铁谁是钢。CAAT简单来说就是在审计过程中引入编程的概念或利用某些工具软件进行协助。大型的工具如ACL可以处理几G的档案,简单的工具如excel+script也可以做些抽样与查核的工作。我想Nosir应该不是念计算机出身的,否则对这个东西不会那麽惊讶。

举个实际的例子说明好了。大家都有存钱在银行吧?银行利息的计算是否正确大家关心吗?会计师为了确认这点,会请电脑审计的同仁用CAATs的技术去做核算,简单来说就是独立计算某段时间内所有客户的利息总数,然後与银行本身用系统跑出来的东西做比对,以确认之间的差异并找出原因。这个称为re-performance。所以我们必须从银行的master file中逐步筛选需要的数据、栏目、对象,需考虑活期存款与不同期间的定期存款,还有人会提前解约,另外要考虑不同的利率,要考虑是否在计算期间内有升息或降息,然後设计利息计算的逻辑,最後重新计算...

另外我其实不太了解Nosir谈的IT审计的范围有哪些。一般来说,CPA做电脑审计会分成三块,大体上来说是一般电脑控制审计(GCC),应用控制审计(AC),以及CAATs。比起Nosir这篇文章推崇的CAATs,我觉得AC更是技术面与管理面的结合:因为惟有彻底了解企业实际的流程的运作与控管,才能审核应用系统是否体现了企业规范流程的运作与控管是否落实。简单来说,一般企业采购不能兼任验收,那请问您公司的ERP里面,是否有做相对应的设计?是系统会自动根据岗位职责设定还是必须手动设定?权限申请、核准、实际设定、测试、通知、结案等是否妥善的规范与执行?是否.....

ISMS里面要求对岗位要做职务说明与厘清职责分工,为的也是落实AC里面的实际控制阿...但这边若要做到位,是得花上很大代价的...

leon转贴的文章都是两年半以前的东西,不知这位"先烈"现在在何方,好希望有机会可以当面或在版上讨论讨论...


--------本帖迄今已累计获得25安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2007-01-12 09:05 
离线
新手

注册: 2007-01-12 07:15
最近: 2007-01-14 07:18
拥有: 0.00 安全币

奖励: 0 安全币
在线: 12 点
帖子: 1
看了两为大大的聊天,真是受益非浅啊!!


回到顶部
  用户资料  
 
 文章标题 : 我也觉得是文不对题。
帖子发表于 : 2007-01-13 17:45 
离线
新手

注册: 2006-10-10 18:58
最近: 2011-10-19 16:51
拥有: 16.00 安全币

奖励: 0 安全币
在线: 323 点
帖子: 12
不知道为什么内审是铁,IT是钢。难道楼主认为CAAT就是所谓的IT?那对于内审人员来说,审计工作就简单的多了。而且CAAT工具无非也就是一种工具,审计的经验和能力才是最重要的。
而且统计抽样也不像楼主说的那样已经是没有任何意义了。反倒是把一种工具作为救内审出苦海的法宝,倒是挺有意思的。
希望看到更多前辈关于这个问题的经验和看法。


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2008-07-21 08:57 
离线
初级用户

注册: 2008-07-18 08:20
最近: 2008-08-01 11:44
拥有: 129.10 安全币

奖励: 0 安全币
在线: 121 点
帖子: 55
学习了。
顶了先
呵呵。


回到顶部
  用户资料  
 
 文章标题 : Re: 转贴:内审是铁,IT是钢,作者:Nosir
帖子发表于 : 2010-06-01 11:34 
离线
初级用户

注册: 2008-05-29 18:46
最近: 2011-01-10 09:37
拥有: 22.70 安全币

奖励: 0 安全币
在线: 16 点
帖子: 42
谢谢,学习啦


回到顶部
  用户资料  
 
 文章标题 : Re: 转贴:内审是铁,IT是钢,作者:Nosir
帖子发表于 : 2010-06-01 17:38 
离线
顶级用户

注册: 2004-02-03 14:27
最近: 2017-12-28 16:42
拥有: 1,180.70 安全币

奖励: 836 安全币
在线: 9253 点
帖子: 779
caat只是工具把,可能会给内审带来一定的便利性,
但是这个文章给人感觉是戴了一个很大的帽子,但是却有着一个很小的身体


回到顶部
  用户资料  
 
 文章标题 : Re: 转贴:内审是铁,IT是钢,作者:Nosir
帖子发表于 : 2010-07-18 16:52 
离线
新手

注册: 2010-07-18 13:01
最近: 2010-07-18 17:23
拥有: 48.00 安全币

奖励: 0 安全币
在线: 0 点
帖子: 12
受益非浅啊!!


回到顶部
  用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 9 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012