[p=30,2,center]学习资料:IT运维管理社区专家讲堂直播300期视频回放[p=30,2,center]
[p=30,2,center]
IT内审那点事之内部审核工作流程
从事IT内部审计已经3年多了。国内IT审计可以说刚刚起步,可以借鉴的地方太少。在这我整理了一下3年内审工作的心得,希望能给大家有所帮助。
一、内审存在的意义
当组织已经建立了环境管理体系,并按规范进行运行,则必须同时建立定期审核制度,以确定体系是否符合计划安排。如果没有一个内部审核环节,体系运行就不能保持或改进。所以内审起到的是监督和审查的作用。
二、审核工作基本步骤
审计工作大致有以下几个步骤:
1.审核计划
2.启动审核
3.文件审核
4.现场审核准备
5.现场审核
6.审核报告
7.完成审核
8.审核跟踪
三、审核计划,
内审人员在审计工作启动前应做好审核计划,审核计划应包括:
1.审核目标和范围
2.审核标准
3.被审核的组织或职能部门
4.流程的结构、顺序和关系
5.需要会见的关键人员
6.关注或高优先级(风险)
7.区域参考文档(程序、许可等)
8.开发工作文档
9.审核组成人员
已个人经验而言,在审计前最好再做一份审计底稿,预先罗列出所关注的问题。审计底稿能帮助审计人员关注焦点问题,确保不会遗漏问题。同时也助于提问的连贯性及对时间的掌控。审计底稿是可复用的。
四、启动审核
发起内审的起始会议,会议应包括以下内容:
1.介绍
2.确认审核目标、范围和标准
3.确认关注区域
4.确认审核计划
5.协商会议时间和参加人员
6.阐述报告的方式
由主任审核员主持,而不是被审核组织,作为主任审核员应掌握和维持整个会议的主导权。
五、文件审核
文件审核的目的是审核公司的制度文件与标准文档要求是否一致,若公司制度文件与标准向冲突,则将开出不符项的审计建议。
六、现场审核
现场审核包括
1.面谈
2.抽样
3.观察
4.收集数据
七、审核报告
现场审核完毕后,将审计发现的问题归纳总结,出具审计报告。审核发现大致分为3类
1.重大不符合项:
a)未执行或不符合一个或多个标准制度适用的控制要求
b)造成系统性或区域性严重失效的不符合
c)可能造成严重后果的不符合事项
2.轻微不符合项
a)孤立的人为错误
b)文件偶尔未被遵守,造成后果不太严重
c)对系统不会造成重要影响
3.观察项或建议项
a)证据稍不足,估计存在问题,需提醒注意
b)已经发现问题,尚不构成不符合,但发展下去有可能成为不符合
c)其他需要提醒被审核方注意的事项
八、完成审核
主任审计员发起内部审计结项会议,会议内容包括:
1)审核情况通报
2)审计发现通报
3)审计关闭时间要求
会后,被审核部门应对审计发现提交辩解和整改时间。
九、审核跟踪
内审工作完成后,审核人员应依据对方许诺关闭审核发现时间点,对不符项进行审核跟踪,从而关闭不符项。
希望以上内容能对大家有所帮助
|
转播
分享
淘帖
()
