首页 / 资源 / ISACA杂志 / 问题 / 2022 / 卷5 / HelpSource

帮助来源Q&A

HelpSource
作者: Sunil Bakshi, CISA, CRISC, CISM, CGEIT, CDPSE, AMIIB, MCA
发表日期: 2022年9月1日

问题 我将从IT运营和咨询转到信息系统审计领域. 为了有效地开展审计工作,信息系统审核员应该具备哪些基本的个人技能?

回答 欢迎加入我们. 大约20年前,我从运营部门转到信息系统审计部门. 最初, 培养所谓的“审计师心态”是一场斗争,唯一可用的指导来自资深专业人士. 尽管ISACA提供了指导® 及国际标准化组织(ISO), 由于互联网尚未普及,审计人员必须努力工作.

ISACA的 IT审计框架(ITAF), 4th1 以及《澳门赌场官方软件》2 帮助审核员培养所需的个人素质. ITAF帮助审核员专业地进行有效的审计工作.

ISO标准ISO 19011:2018 审核管理体系的指南3 为审核员提供详细指导. 它还描述了参与管理体系审核的人员需要具备的一些个人素质,以及实施标准的适当指南.

这些个人品质包括:

  • 道德行为,审计人员的行为应当合乎道德、公正和真实. 审计人员应该对利益相关者真诚和诚实,对调查结果和决策谨慎. 尽管道德行为没有明确的定义, ISACA的职业道德准则有助于定义什么是道德行为.
  • 〇乐于沟通审核员必须思想开放,听取同事和被审核员的不同观点. 这一点很重要,因为有时审计师很难改变自己的信念.
  • 敏锐的和警觉的审计师应该善于观察. 这很重要,因为, 经常, 观察被审核方执行任务的情况有助于审核员识别可能的弱点.
  • 〇适应性强、灵活审核员应该能够感知和适应不同的情况. 审核员需要了解关于被审核方的许多因素(例如.g.(组织规模、IT团队规模、组织从事的IT外包类型).
  • 集中,审核员必须集中精力确保审计目标的实现.
  • 分析- - - - - -重要的是,审计师能够分析证据并得出有关控制有效性的逻辑结论.
  • 自力更生,Auditors should be self-reliant; however, 执行信息系统审计时, 审计人员有时可能不得不依赖其他专家. 审核员应该能够决定何时依赖此类工作以及何时再次执行此类工作.
  • 独立,在接受审计业务之前,审计师必须确保他们在个人和专业上独立于被审计单位,以避免任何潜在的利益冲突.
  • 主管- - - - - -审核员在执行信息系统审核时应具备胜任能力,并愿意继续学习和专业发展. 胜任地工作, 审核员还应具备风险管理和项目管理方面的知识和专业知识. 风险管理是必需的,因为审核员需要评估审计工作的风险,并能够理解被审计领域的风险. 项目管理技能是必要的,因为每次审计都是一个项目,必须在预算内及时完成, 并以审计报告的形式提供所需的质量输出.

基于这些个人品质,我总结了审计师应该始终遵循的三条规则:

  1. 不要犹豫问问题. 有些人可能会说这条规则是显而易见的——问问题是审计师的工作. 然而, 当信息系统审核员与被审核方雇佣的IT专业人员互动时, IT专业人员经常使用技术术语和缩写来解释要审计的IT设置. 这一点,再加上快速变化的技术,往往使审计人员处于不利地位. 此外,许多组织都有自己的非正式缩写,可能不为人所知 是审计人员. 只要沟通各方都熟悉专业术语,使用专业术语并没有错. 一些组织实现了审计人员可能不知道的业务流程自动化所需的独特IT解决方案.

    当审计师遇到未知术语时, 由于担心被审计方可能认为审计师不懂技术或提出愚蠢的问题,有些人在要求解释时犹豫不决. 审核员需要记住,除非他们了解被审核方的技术设置及其用途, 审计不可能有效.
  2. 仔细而完整地倾听. 在审计工作中, 审核员必须与被审核员进行讨论,以了解所使用的技术和过程. 可能是被审核方对其特定的业务需求具有独特的流程. 在这种情况下,审核员必须要求详细解释技术实现. 这里的挑战是,当我们倾听的时候, 我们的大脑会形成被描述对象的图像. 如果审计师不仔细和完整地倾听, 所形成的形象可能与被审计方所描述的不同. 在这种情况下,审核员必须应用第一条和第二条规则,以确保他们和被审核方具有相同的理解水平. 当被审核方没有完整的文档和演示技术可能不可能时,也会发生这种情况. 审计人员应该首先了解该技术支持的业务功能. 这有助于理解在技术解决方案中实现业务所需的控制.
  3. 关注功能并将其与业务联系起来. IT领域的创新和新兴技术使得一个人不可能成为所有IT领域的专家. 此外,每天都在开发和部署基于新兴技术的新解决方案. 信息系统审核员在对此类实现进行信息系统审核时可能面临挑战,因为他们需要了解新的解决方案. 在这些情况下,重要的问题包括“这个解决方案的目的是什么??以及“它支持哪些业务功能”?“了解业务功能的审计员知道需要实现哪些控制. 可以评估那些与业务相关的控制, 其次是技术控制, 就控制对业务的影响向审计师提供基本的保证.

    另一个重要步骤是分析证据并准备与被审核方讨论的发现清单. 最好的方法是将这些发现与业务目标联系起来,以确定风险水平. 管理层可能有兴趣优先处理高风险领域.

一旦ITAF和ISO的标准和指导方针支持这三个规则被采用, 审计是否成为被审核方的增值工作.

尾注

1 ISACA®, IT审计框架(ITAF), 4th,美国,2020; http://5wb7.baileherculane.net/itaf
2 美国职业道德准则 http://5wb7.baileherculane.net/credentialing/code-of-professional-ethics
3 国际标准化组织(ISO), ISO 19011:2018 审核管理系统指南,瑞士,2018; http://www.iso.org/standard/70017.html

Sunil bakshi | cisa, crisis, cism, cgeit, cdpse, amiib, MCA

从事过IT、IT治理、信息系统审计、信息安全和IT风险管理工作吗. 他在不同行业的不同职位上有40年的经验. 目前,他是印度的一名自由顾问.