[摘 要]介紹杜邦公司IT審計的評價標準、代表組的工作、兩種審計模型、IT審計的更新與發(fā)展。IT審計對我國內(nèi)審的啟迪：重視與外部審計師的合作；強調(diào)對內(nèi)審人員的培訓；注意改進審計方法技巧；重視內(nèi)審人員的知識更新。

　　隨著社會主義市場經(jīng)濟體制 改革的深入發(fā)展，內(nèi)部審計在現(xiàn) 代企業(yè)中的重要性也日益凸現(xiàn)出來，特別是對一些規(guī)模大、管理嚴格的大型企業(yè)及跨國公司而言，信息技術審計（Information Techn010gy，簡稱IT審計）作為內(nèi)部審計的一種形式，在發(fā)達國家的跨國公司中發(fā)展迅猛，且在不斷更新，它對于我國的公司有很重要的借鑒意義。下面，作者重介紹美國杜邦公司在信息技術審計方面的最新進展及內(nèi)容。

　　杜邦是一個擁有總資產(chǎn)44億美元的大型跨國公司，一直在化學和化學器械、生物技術、地質(zhì)學上處于技術上的領先地位。作為杜邦的審計人員，他們的使命是拿出世界的審計水平去支持公司的業(yè)務運作，他們定期制定標準且與其它公司相比較，然后評價結(jié)果，找出應改進的地方，為了與信息技術的飛速發(fā)展保持同步，杜邦公司把IT審計作為重點領域研究，要求內(nèi)審人員拿出相應的方案，因為隨著信息技術的迅速發(fā)展，相應的審計技術變得復雜起來。所以，杜邦公司決的支持、在職培訓及監(jiān)控。3.在一種業(yè)務范圍內(nèi)強調(diào)IT在總體審計意見里發(fā)現(xiàn)難于評估系統(tǒng)的相關性時，必須能將系統(tǒng)里的發(fā)現(xiàn)轉(zhuǎn)化為業(yè)務項目。4.發(fā)展一種聚焦池，確保能不斷關注到所有存在和新出現(xiàn)的技術。5.能從外部雇傭職員或剛離校的畢業(yè)生，來作為IT職能部門的新鮮血液。6.強調(diào)要通過初步的培訓每個職員都應是全職的被培訓者，如：規(guī)定每個人每年要參加培訓10天。7.關心所有的重要技術開發(fā)，包括已存在和正在出現(xiàn)的技術。8.與研究部門緊密聯(lián)系。這對IT審計來說是很重要的，因為這樣會允許IT職能部門獲得一些控制文件，在計劃和設計階段就會考慮這些因素。9，為協(xié)調(diào)管理而服務。杜邦認為在這個領域應處理得比其它公司的IT活動更有效率，同時，杜邦也希望自己的內(nèi)審是通過適當?shù)某绦蚝图夹g來管理一些經(jīng)營活動將來也可以應用于外審。10.適當?shù)匾揽客獠糠账峁┑男畔ⅰ?1.認識到它沒必要達到高質(zhì)量的最好限度。12.將自我評價作為未來世界審計組織的批評性產(chǎn)品，不僅對IT審計，而且對整個組織而言，都是很重要的。將以上發(fā)現(xiàn)作為評價標準，從而形成了許多固定的概念框架，根據(jù)以上內(nèi)容，杜邦的研究小組設計了適應杜邦的IT審計方案。

　　二、小組工作

　　為使杜邦IT審計達到領先水平，杜邦從全球的內(nèi)審人員和審計本公司的外部審計人員中抽調(diào)一部分組成了一個代表組，這個小組由一個總審計經(jīng)理監(jiān)督，對指揮部負責，這個指揮部包括副總裁、總審計師、副財務經(jīng)理、信息主任和事務所的業(yè)務合伙人。

　　該小組在很緊湊的時間安排下建立了一套科學的工作方法。并對杜邦IT審計的發(fā)展和更新提出長期性的意見。

　　該小組給IT的定義是：IT審計與杜邦公司的其它所有審計活動是密切聯(lián)系的。我們將在職能審計小組的支持下，對應用系統(tǒng)和整個信息系統(tǒng)的各個部門進行具體的審計，進而確保在系統(tǒng)的支持下的經(jīng)營活動能有充分的應用控？quot；。

　　小組的目標之一就是：保持一個完整的相應統(tǒng)一的內(nèi)部審計職能部門時，決定如何提高杜邦的IT審計能力。

　　在商討和計劃時，提到了幾個固有風險因素，如：1.IT外部組織仍處于轉(zhuǎn)換時期，且更大的組織變化將會發(fā)生。2.杜邦信息系統(tǒng)的可靠性已經(jīng)驚人地提高。3.網(wǎng)絡化的計算機，包括因特網(wǎng)和主要的系統(tǒng)化，如SAPR／3，正在成長期。4.成增長趨勢的公司內(nèi)部連網(wǎng)，導致公司向全體化和其它非傳統(tǒng)商業(yè)聯(lián)營方向擴張。

　　三、兩種審計模型

　　杜邦常用IT審計總體模型（Audit Integration Model，簡稱AIM）和變量實施模型（Variable Sourcing Model，簡稱VSM）來決定是否應當從外部獲得技術或保持他們，特別是認為計劃需要改變的時候，這兩個模型有重要的指導意義。這兩個模型如下所示：

　　1.AIM

　　AIM根據(jù)IT審計的組成要素大略揭示了IT的審計過程，復雜的知識水平和工作人員的工作量隨著以下所示的四個階段而逐步下降　　階段1經(jīng)營過程控制 準 備 活 動 實 施 選 擇 培 訓 要 求所有歸屬于一個過程審 計的非系統(tǒng)的不相關審 計活動：如過程、計劃、流程圖、檢閱程序、訪問和測試 執(zhí)行所有正常情況下的 準備活動，不包括具體 的與IT有關的活動。 不需要具體的IT審計 技術 不需要高水平的IT培 鉆15

　　階段2輸出

　　所有與符合性審計有關 的活動，包括數(shù)據(jù)進入、錯誤書寫、輸出和進入 控制 決定應該用什么政策， 若與具體的經(jīng)營有關 時，應在工作底稿上從 頭到尾寫清楚；若與多 種經(jīng)營有關時，應把它 單獨拿出來進行符合性 測試，然后，在工作底稿 上注明 由有經(jīng)驗的審計人員來執(zhí)行任務。IT審計人員的任何行動都應得到支持，因為這個階段代表整個審計過程的重要環(huán)節(jié)。在向新結(jié)構進行完全轉(zhuǎn)變之前，IT審計人員對所執(zhí)行的符合性測 試都認為是適當?shù)摹?確保每一個審計人員都 有執(zhí)行符合性測試所需 技能，復核IT的組成要 素，決定是否需要改變，以確保達到目標。確保 這些技能對審計小組來 說是容易達到的，且它 是必要的，直至達到審 計的長期目標。

　　階段3附臺性和分界面

　　在符合性審計和技術審 計之間的灰色領域，在這個階段需要有高技 能的高水平的審計人 員，因為這些活動要進 入到系統(tǒng)的內(nèi)部工作且 與其他符合性相聯(lián)系。 決定執(zhí)行的符合性復核 的細節(jié)應達到的水平， 確?；疑I域被完全充分校測，尤其注意系 統(tǒng)的共同范圍，因為這 些可能沒被包括在先前 的比較窄的審計范圍中 確定符合條件的審計人員的比例和從外部尋找人員的可行性，確保此階段審計人員的技能對審計小組來說是容易達到的，直至實現(xiàn)長期目標為止。 決定如何提供培訓，以 使他們達到更高的技術 水平，期望達到所需技 能的審計人員的比例將 被作為實施階段工作的 一部分，在轉(zhuǎn)換期，應確保這些技能對審計小組 來說容易達到直至實現(xiàn) 長期目標。

　　階段4基礎性的結(jié)構

　　技術審計覆蓋了計算機 環(huán)境的內(nèi)部工作.在此階段需要高技能和特 殊才能的人才，如：在運 行系統(tǒng)或安全軟件方面 通過符合性調(diào)試復核平臺的最近技術審計，根據(jù)峁頁鮒蔥猩蠹頻氖奔?，茧H跎蠹票匭胩峁┯泄仄教ǖ惱逡？見，這一步應包括桌面系統(tǒng)環(huán)境和完整的桌面系統(tǒng)審計，必要時應事 先規(guī)劃 檢查目前正被杜邦使用的平臺系統(tǒng)，且必須做這項工作，確定在社邦所要求的技能范圍內(nèi)的保留工作量，決定核心工作員、浮動工作量和特殊工作量的未來余 額，評價保留和維持這些技能的內(nèi)部審計人員的職業(yè)道路前途等，確保改變計劃時允許小組充分協(xié)調(diào)好內(nèi)部活動與6F部專家的聳囂- 對那些保留在杜邦內(nèi)部 的技能應確定培訓的關 鍵來源且確保這些人員 是通用的，在這個階段，工作能力的大小受社邦 的聯(lián)營者的規(guī)模而定p 所以培訓只要及時就行。

　　IT AIM的建立可加強IT審計人員對IT審計的一般理解及他們應如何與其它審計活動相聯(lián)系。杜邦運用這個模型解釋了誰審計什么及在各個階段所期望達到的審計人員的工作能力和工作量之間的轉(zhuǎn)換，由于杜邦對全體審計人員進行了技能培訓，所以，杜邦尤其關注這樣的一些問題，如：實際培訓人員能力與各階段上審計人員應代表的水平之間的距離有多遠，應在哪兒挑選有技能的IT審計人員等。AIM反映了社邦在這方面的決策，且AIM至少能被用于以下三個重要方面：1.通過提供一個評估與IT相關工作范圍的框架，來幫助計劃階段的審計。2.為將來建立IT審計評價表作準備，這張表用來作VSM的參照物。3.作為一種鑒別不同IT審計培訓的方法。

　　在以下三個領域中，模型提供了從一般了解到?jīng)Q策的各個部分的解決辦法。具體如下：

　?。ㄒ唬蕚潆A段

　　當進行更多的經(jīng)營過程審計時，準備階段的工作在確保清楚地界定審計范圍和審計小組應有的技能和工具去從事工作這兩方面起關鍵性的作用。經(jīng)營過程審計將會在范圍上更廣、時間上更長，且很可能由大量不同計算機應用系統(tǒng)組成。如圖所示，AIM可作為一種有效的準備工具，如果某種技能需由外部人員來實施時，及時地在此階段補充審計人員會變得更重要。

　　（二）實施階段

　　這是工作范圍的重要部分，社邦審計小組一直在發(fā)展和采用VSM作為一個工具來決定成員水平和技術能力，模型顯示出杜邦計劃的技術能力保留在一個核心范圍內(nèi)，核心范圍的大小由任何一年的估計工作量和杜邦是否維持這種技術能力由自己開發(fā)而決定，模型也表示出，可從外部獲取資源，若保留技術能力的工作量比估計工作量要高，這一部分差額稱為浮動工作，反之，稱之為特殊工作。

　　AIM與VSM結(jié)合起來，可用來確定保留在杜邦內(nèi)審中的技術能力和將來的核心工作、浮動工作及特殊工作的平衡。與杜邦的支持者及供應商們討論，即實施IT審計的聯(lián)營公司，可能也是這個階段的一部分工作。另外，杜邦還計劃轉(zhuǎn)變戰(zhàn)略，確保內(nèi)審依賴外部專家時有力量控制局勢。

　?。ㄈ┡嘤?/P>

　　除發(fā)展AIM和VSM外，工作小組還針對現(xiàn)在的IT審計組織進行技術分析描繪未來IT審計組織的前景。由信息武裝起來，杜邦利用AIM來決定所期望的能達到多種目的的審計人員的IT技能是什么水平，及什么樣的特殊行為是杜邦將保留和維持的，提供的培訓課程應確保有一個完整的途徑。AIM可用來確定所需和所計劃的培訓。

　　四、更新

　　除以上內(nèi)容外，該方案還包括不斷變化的組織評估表和技術分析表，針對現(xiàn)在至未來的組織，通過研究預想的變化，這些需要-個全球IT審計經(jīng)理的命令，他將在下列領域內(nèi)得到三個網(wǎng)絡工作領導者的支持。1.信息統(tǒng)一：負責計劃、實施和提高技術審計。對諸如數(shù)據(jù)中心、遠程通訊等基礎設施方面負責咨詢。2.技術支持：負責發(fā)展和完成每年的計劃，這些計劃重點在于關注新出現(xiàn)的技術，評價和支持內(nèi)審的技術要求，包括硬件、軟件、審計工作、計算機輔助審計技術和一個內(nèi)審網(wǎng)站。3.應用支持：負責發(fā)展和完成每年的應用審計計劃，支持審計過程中的符合性測試，應用支持負責人也有責任確保所有的審計人員應符合控制目標且充分地受到培訓。

　　剩余的IT審計人員保持他們現(xiàn)存的管理報告流程，但增加了一份職能報告與以上所述三組之一相聯(lián)系，將會執(zhí)行許多審計活動，以便對杜邦審計計劃的準備階段進行控制，對全部審計工作進行監(jiān)督。

　　五、啟迪與借鑒

　　實踐證明，IT審計開辟：內(nèi)審的新領域，它取得了一些成功經(jīng)驗。

　　由于各種原因，我國的內(nèi)審質(zhì)量不高，更不用說IT審計了，因為對我國眾多企業(yè)來說，：企業(yè)內(nèi)部治理結(jié)構還沒理順，信息化程度還不普及，只是在某些特殊行業(yè)中（如金融行業(yè)）比較普遍，、可以說，IT審計在我國還處于起步階段，而國外已發(fā)展得比較成熟。所以筆者認為，除了進一步改變國有企業(yè)的內(nèi)審管理雙重體制之外，我國可在以下方面借鑒西方先進經(jīng)驗，努力提高我國的IT審計水平：

　　1.重視與外部審計師的合作，尤其是注冊會計師。我國的注冊會計師行業(yè)雖然起步較晚，但目前已取得令人矚目的成績，特別是知名會計師事務所積累了大量的企業(yè)管理信息，相信與某公司長期合作的會計事務所定會為該公司提供良好的內(nèi)審控制建議。

　　2.強調(diào)對內(nèi)審人員的培訓。在我國，由于內(nèi)審管理體制還沒理順，沒有統(tǒng)一的準則。各企業(yè)應根據(jù)IT審計要求的高低進行不同程度的培訓。

　　3.規(guī)范I丁審計的同時，注意改進審計方法技巧?？蓞⒖级虐畹淖鞣ǎ颜麄€審計過程劃分為幾個階段，并固定下來。但在各個階段的審計工作中，應注意審計方法的靈活運用。另外，盡量使用量化標準，如建立變量模型等。

　　4.重視內(nèi)審人員的知識更新，這是IT審計的性質(zhì)所決定的?，F(xiàn)代企業(yè)的信息系統(tǒng)普遍應用網(wǎng)絡技術，且與電子商務系統(tǒng)緊密結(jié)合，使產(chǎn)業(yè)信息系統(tǒng)無紙化。在此環(huán)境下，審計人員不僅要掌握傳統(tǒng)審計的基本知識，還必須掌握計算機應用基本技能，這樣才能滿足審計需求，特別是對于內(nèi)審的IT審計來說，不只是對企業(yè)的會計信息系統(tǒng)進行審計。所以，內(nèi)審的管理機構及企業(yè)都應重視內(nèi)審人員的知識更新，如，加快有關計算機審計的教材建設，計算機審計人員資格考試及制作計算機審計的具體準則等，方便企業(yè)選拔IT審計人員。

　　[參考文獻]

　　[1]Wayne More and David Hen-drey. It Audit Renewal（J）。 Internal Auditorl999（4）。

　　[2] Pete Rosenwald. To Be or Not To Be LJ]. Accountancy. 1999. （8）

　　[3]傅元明。計算機信息系統(tǒng)環(huán)境下的幾個審計問題LJ].審計研究，1999. （5） .

　　[4]王學龍。內(nèi)部審計風險初探U].審計研究資料，1999.（10）。

　　[5]劉 實。企業(yè)內(nèi)部審計協(xié)助管理當局有效履行其職能EJ].審計研究資料，1999.（6）

　　L6]何少平。內(nèi)部審計的七個落實是改各企業(yè)經(jīng)營管理的有效手段D].審計研究資料。1999.（6）