审计一家言读后感
審計一家言讀后感
網上狂搜Benford定律,一不小心搜到了一個神人的blog,文風語氣都及其幽默,對問題的理解也有獨到之處。查了查背景,原來是位在KPMG做了9年的Senior Manager。由于目前和“信息系統審計”相關的所有詞匯都是我大腦中的關鍵字,所以這本《審計一家言》進入了我的視野,駐扎在了我的硬盤,最終深深的印入了我的腦海。
書中最常用的手法就是比喻、夸張和舉例,從舉例看,作者的確是經驗豐富。對比喻的透徹應用讓我這個外行人也能理解他想表達的含義。作者有點像軟件開發領域的林銳,而這本《審計一家言》就類似林銳的《高質量C++編程》,不同之處在于前者有過之而無不及。這本書已經出版,出版社給起的名字叫《讓數字說話--審計就是這么簡單》。不知道出版后的書是否還一慣這么搞笑,不知道是否刪除了那些擦邊犯禁的內容,例如:too native.....
下面進入正題,講我讀完這本書后對審計的理解,特別是在信息系統審計方面。想想以前做工作的步驟,只知其然不知道其所以然。看了這篇文章才有了深入一點的理解。
了解企業的經營情況
作者認為審計師的任務是評價財務數字是否真實準確地講出企業的經營情況,所以他要先了解企業的經營情況,然后看財務數字合注釋是否符合他了解到的情況,對比以后就可以發表意見了。對信息系統審計師來說,他的任務是評價企業中的信息系統是否有效地支持企業的運行,這個涵蓋面很大。如果只做SOX法案302條款要求的信息系統審計,那么任務就小得多了,只要評價企業中的信息系統是否能有效地支持財務報告的準確性即可。不幸的是還有一個404條款,要求企業建立一套足夠有效的內控體系,管理層每年要對內控體系的有效性進行自我評估,外部審計師要對評估的結果發表意見,其實就是要對企業的內控發表意見。所以對IS Auditor來說他要對兩方面發表意見,而起點都是“了解企業的經營情況”。作者是這樣描述的:“了解企業的經營情況”既是審計工作的起點,也貫穿于審計工作全過程中,更是與審計結論緊密相連,怎么估計它的重要性都不算過分。
突然間,我想起了前些天那個讓我出離憤怒的550萬醫療費事件,干脆就用審計的觀點看一下這個事件。如果去審計這個事件,首先要做什么?按照以前我的理解,那就開始查它們(請允許我使用“它們”這個詞)的賬唄。你會發現從會計角度來說帳目都是合理的,每天的醫囑(暫時先不說偽造)都說明了要用哪些藥,每個藥的單價和用量都明明白白的列出,所以繳費金額也是合理的。如果由此得出類似那個狗屎醫院監察委員會的評價,那就該拉出去砍了。這事實際上和軟件開發一樣,都必須先了解對方的情況,對軟件開發來說是先了解用戶的情況和需求,對審計來說是了解它們的經營情況和必要的學科常識。有了必要的學科常識,就很容易發現問題,連總帳和科目分類帳都不用對比了,收費合理性一目了然。收費明細都已經做到讓它們自己都無法解釋其合理性的程度,只能說明它們都已經瘋了,離滅亡不遠了(但愿)。
關于企業的內控機制
文章也提到了了解經營情況的困難:“一家企業有多個部門,一年運營300多天。審計師總不能派一批人去,在每個部門安插上幾個監視人員,天天比客戶到得早走得晚,通過這種方式來深入了解企業的經營情況吧?這不成了FBI了?再說了,這么做,誰付工錢呀?”由此,引入了內控機制。對企業經營者來說內控是一個管理工具,通過內控系統能調控企業保證按照設定程序運行;對外部審計師來說內控是攝像機,它真實且及時的記錄能為審計師評價企業運營和財務情況提供足夠的證據。
我突然明白了軟件設計中日志記錄在這里的重要意義。你說你做了,show me,你要是瞎編來騙我,我用benford定律分析。真的都做了為什么還做不好?肯定是流程出了問題。所以這個過程整個應該調過頭來,先檢查內控機制合理性,就是要看標準流程文檔中規定是什么樣的。在標準流程合理的情況下再看操作是不是真的按規定來的,就是檢查操作記錄和日志。你說你每周檢查機房溫度濕度,給我看檢查記錄;你說你的helpdesk部門每天更新病毒服務器上的病毒庫,給我看看更新記錄。這時候不管審計還是被審計方都會就體會到自動記錄日志的可愛之處了,省了多少工作啊。但有人會說了,內控會降低運行效率,例如要求helpdesk部門記錄每次提供服務的日志,他們本來就忙,哪有時間一條一條記錄?沒錯,有時候內控機制的確會降低運行效率,但是好的內控帶來的好處要遠遠大過其缺點。上述的缺點也是能夠通過軟件來解決的。
忘記了是哪位西方國家的政治家說過:“民主也許不是最好的方法,但是卻能夠防止最壞的情況發生”。民主降低了決策產生的效率,但卻能夠避免某些領導“拍腦瓜”式的領導帶給老百姓巨大的傷害,這類似于企業的內控機制。
關于內控的測試
未完待續。。。。。
還想寫很多內容:如何驗證IS內控的合理性、如何在成本-效益目標下實現IS內控。。。。等等等等。。。。等我考完CISA再說。
總結
- 上一篇: 勾股定理,西方称为毕达哥拉斯定理
- 下一篇: 用SAS如何读取数据