中級審計師考試 為IT審計員準備的10條心得

　　如果你和許多的首席信息官所處的境遇一樣，遵章要求﹝Compliance Requirements﹞已經(jīng)影響了你整個機構(gòu)——而且你的審計員已經(jīng)做出了一些令你意想不到的要求，你也因此花費了比你想象中更多的費用。

　　通過一年在他們各自領(lǐng)域的Sarbanes-Oxley經(jīng)驗，IT執(zhí)行官們已經(jīng)在準備審計員的過程中吸取到了寶貴的經(jīng)驗，比如要在審計員達到之前先要建立相當(dāng)?shù)暮饬繕藴省?/p>

　　由Information Technology Process Institute頒布的 The Visible Ops Handbook手冊里專門為“增加你的審計透明度”準備了一章內(nèi)情報告。

　　Information Technology Process Institute是一個非營利性團體，它所開展的主要活動是進行研究，標桿以及給執(zhí)行官提供最優(yōu)方法。據(jù)該團體的主席兼創(chuàng)始人Kevin Behr說，到目前為止，這本價值19.95美元的手冊已經(jīng)銷售出了17，000本。以下就是從這本手冊中摘錄出來的其中最受歡迎的小抄之一中的一部分。

　　1.在審計員作審計之前先問清楚他們在期待著什么。讓他們想清楚審計的目標，即是有時候他們已經(jīng)做了一些審計前的清單。

　　2.確保列出你能預(yù)期到各種風(fēng)險。分門別類，按降序排列，把風(fēng)險最大的排在第一位，順便附上要降低這些風(fēng)險你所想到的控制管理方法。

　　3.確保你擁有預(yù)防性控制，以及在適當(dāng)?shù)奈恢糜袀商叫缘目刂苼碇甘舅麄冊诠ぷ鳌４_保變動管理進程。對于每個認證過的變動，通過探測性的控制來記錄這些結(jié)構(gòu)的變化，保證這些變化在工作次序的范圍之內(nèi)。對收集來的變化請求數(shù)據(jù)進行歸檔，并且隨時可以取得。在某些機構(gòu)，上述所有的信息都儲存在一個物理三環(huán)捆綁者內(nèi)（physical three-ring binder）。

　　4.選擇使用變動咨詢桌（Change Advisory Board）會議記錄來指示有人正在參加會議以及管理各種變動。

　　5.保持做出一個連續(xù)的并且準確的硬件和軟件的資產(chǎn)詳細目錄。

　　6.確保所有的內(nèi)部審計程序運行正常。比如你的路線表明你的防火墻日志是由可以回顧例外的系統(tǒng)控制的，那么你必須能夠通過其中的一個日志來驗證下一個路線。

　　7.弄清所有的儲運損耗和系統(tǒng)中的不在計劃內(nèi)的停工期，附上采取的矯正行動。

　　8. 保持連續(xù)的記錄，記錄下所有的政策外的特殊情況。

　　9.列出任何安全事件，附上采取的矯正行動。

　　10. 確保能夠出示以前的審計結(jié)果，能夠?qū)λ媒Y(jié)果做出分析，經(jīng)過矯正行動后結(jié)果取得了什么進步。

　　“更多的控制并補等同于更多的機構(gòu)組織和更多的工作。”Behr說，“事實表明，那些帶有控制的可以做得更多，而只需要跟少的機構(gòu)和工作，可以更快的完成工作，而且質(zhì)量更為優(yōu)越。”