《审计一家言》读后感
网上狂搜Benford定律,一不小心搜到了一个神人的blog,文风语气都及其幽默,对问题的理解也有独到之处。查了查背景,原来是位在KPMG做了9年的Senior Manager。由于目前和“信息系统审计”相关的所有词汇都是我大脑中的关键字,所以这本《审计一家言》进入了我的视野,驻扎在了我的硬盘,最终深深的印入了我的脑海。
书中最常用的手法就是比喻、夸张和举例,从举例看,作者的确是经验丰富。对比喻的透彻应用让我这个外行人也能理解他想表达的含义。作者有点像软件开发领域的林锐,而这本《审计一家言》就类似林锐的《高质量C++编程》,不同之处在于前者有过之而无不及。这本书已经出版,出版社给起的名字叫《让数字说话--审计就是这么简单》。不知道出版后的书是否还一惯这么搞笑,不知道是否删除了那些擦边犯禁的内容,例如:too native.....
下面进入正题,讲我读完这本书后对审计的理解,特别是在信息系统审计方面。想想以前做工作的步骤,只知其然不知道其所以然。看了这篇文章才有了深入一点的理解。
了解企业的经营情况
作者认为审计师的任务是评价财务数字是否真实准确地讲出企业的经营情况,所以他要先了解企业的经营情况,然后看财务数字合注释是否符合他了解到的情况,对比以后就可以发表意见了。对信息系统审计师来说,他的任务是评价企业中的信息系统是否有效地支持企业的运行,这个涵盖面很大。如果只做SOX法案302条款要求的信息系统审计,那么任务就小得多了,只要评价企业中的信息系统是否能有效地支持财务报告的准确性即可。不幸的是还有一个404条款,要求企业建立一套足够有效的内控体系,管理层每年要对内控体系的有效性进行自我评估,外部审计师要对评估的结果发表意见,其实就是要对企业的内控发表意见。所以对IS Auditor来说他要对两方面发表意见,而起点都是“了解企业的经营情况”。作者是这样描述的:“了解企业的经营情况”既是审计工作的起点,也贯穿于审计工作全过程中,更是与审计结论紧密相连,怎么估计它的重要性都不算过分。
突然间,我想起了前些天那个让我出离愤怒的550万医疗费事件,干脆就用审计的观点看一下这个事件。如果去审计这个事件,首先要做什么?按照以前我的理解,那就开始查它们(请允许我使用“它们”这个词)的账呗。你会发现从会计角度来说帐目都是合理的,每天的医嘱(暂时先不说伪造)都说明了要用哪些药,每个药的单价和用量都明明白白的列出,所以缴费金额也是合理的。如果由此得出类似那个狗屎医院监察委员会的评价,那就该拉出去砍了。这事实际上和软件开发一样,都必须先了解对方的情况,对软件开发来说是先了解用户的情况和需求,对审计来说是了解它们的经营情况和必要的学科常识。有了必要的学科常识,就很容易发现问题,连总帐和科目分类帐都不用对比了,收费合理性一目了然。收费明细都已经做到让它们自己都无法解释其合理性的程度,只能说明它们都已经疯了,离灭亡不远了(但愿)。
关于企业的内控机制
文章也提到了了解经营情况的困难:“一家企业有多个部门,一年运营300多天。审计师总不能派一批人去,在每个部门安插上几个监视人员,天天比客户到得早走得晚,通过这种方式来深入了解企业的经营情况吧?这不成了FBI了?再说了,这么做,谁付工钱呀?”由此,引入了内控机制。对企业经营者来说内控是一个管理工具,通过内控系统能调控企业保证按照设定程序运行;对外部审计师来说内控是摄像机,它真实且及时的记录能为审计师评价企业运营和财务情况提供足够的证据。
我突然明白了软件设计中日志记录在这里的重要意义。你说你做了,show me,你要是瞎编来骗我,我用benford定律分析。真的都做了为什么还做不好?肯定是流程出了问题。所以这个过程整个应该调过头来,先检查内控机制合理性,就是要看标准流程文档中规定是什么样的。在标准流程合理的情况下再看操作是不是真的按规定来的,就是检查操作记录和日志。你说你每周检查机房温度湿度,给我看检查记录;你说你的helpdesk部门每天更新病毒服务器上的病毒库,给我看看更新记录。这时候不管审计还是被审计方都会就体会到自动记录日志的可爱之处了,省了多少工作啊。但有人会说了,内控会降低运行效率,例如要求helpdesk部门记录每次提供服务的日志,他们本来就忙,哪有时间一条一条记录?没错,有时候内控机制的确会降低运行效率,但是好的内控带来的好处要远远大过其缺点。上述的缺点也是能够通过软件来解决的。
忘记了是哪位西方国家的政治家说过:“民主也许不是最好的方法,但是却能够防止最坏的情况发生”。民主降低了决策产生的效率,但却能够避免某些领导“拍脑瓜”式的领导带给老百姓巨大的伤害,这类似于企业的内控机制。
关于内控的测试
未完待续。。。。。
还想写很多内容:如何验证IS内控的合理性、如何在成本-效益目标下实现IS内控。。。。等等等等。。。。等我考完CISA再说。 |