财务审计对IT审计有哪些实际的需求呢？

wangderek

最初由 cccxue 发布
[B]ITAudit is "Value Added Services, ", in BIG 5, it is only internal service department, when you try hard to perform Business cycle review, CAATs, Please think the true value of your testing. At least the audit fee is fixed, right?

If it is Financial audit, SAR is enough for Depr. testing; while substantive testing for Stock, or sampling for Stock NRV are enough, your hard calculaiton on Stock or FA is only value added services. Just image, when you find out 1-2 errors, audit told you it is minor errors, there is no impact to financial statement, you can only issue "management insights", hope that client buys in another consulting or assurance project", what a pity.

In China, IT audit is not mature, IT audit department is just part of audit dept. (3 out of  Big 4), you are sharing your audit department revenue, your brother in audit smile at you....

While, if for consulting services, your CAATs work cannot compare to OLAP, DW consulting from local consulting or global consulting firm; while for IT audit, you cannot say you are IT Strategy, IT Implemention consultant. Ha.... [/B]

Yes, you are quite right. I am always confused about the role IS audit is playing. But now I am not confused again. In many cases, client's management does not care much for the financial statement. They do not care much for bad debt provision, stock provision, cut off or something. You know, these things do not mean anything to the client's business. While they like very much the management insights. So IT auditor's involvement is always proven to be a good way to improve service level and have more sales opportunities. To auditors, IT auditors have a lot of opportunities to know how the client runs its business and learned many things, which makes them feel much better than finanical auditors.
I think IT auditors can be good internal auditors instead of consultants

cccxue

If you are from BIG 4, u should note that IT audit is part of audit, at least 3 of 4 BIG 4 are doing so, the other one really does not have IT audit service.

running1977

最初由 cccxue 发布
[B]If you are from BIG 4, u should note that IT audit is part of audit, at least 3 of 4 BIG 4 are doing so, the other one really does not have IT audit service. [/B]

It's not the fact.

Financial audit include IT audit, however, IT audit was not only belong to Fiananical audit.
In our department, revenue from financial audit is only a small part. about 20%.
IT audit team also perform other areas: E-banking, E-payment, ERP certification, enterprise internal audit, process System & Intergration, Security e-business, outsourcing, etc. All these service is not belong to financial audit. Internal audit is also a big revenue source for IT audit service.

Jacky.Zhu

最初由 cccxue 发布
[B]If you are from BIG 4, u should note that IT audit is part of audit, at least 3 of 4 BIG 4 are doing so, the other one really does not have IT audit service. [/B]

Ok, let me tell you. In our firm, IT audit service is independent of Finance Audit department. Lots of finance audit engagements need our involvement, especially to many tycoon clients who adopted some large System. Yes, to IT Audit Service, we share, even you can say grab, the revenue from our finance audit, but you should ask why to yourself first. Why audit department would pay for this service while their audit fee is  so limited. Becasue the service can not be lacked before they can make an audit conclusion. The service has become one necessary component of the whole audit job.
I think you should think more about the development speed of this service-IT Audit- in these only 1 or 2 years and how large impact the service has made to our traditional audit methodology. Additionally, it's funny to talk about OLAP and DW concepts in this space which is openned for IT Audit especially. I believe you will  find more knowledge about OLAP or DW in some neighbour spaces. According to my experience, the OLAP and DW topic should be related to implementation service but not IT audit service.
Anyway, your involvement to this topic is very welcome.

Jacky.Zhu

最初由 wangderek 发布
[B]

Jacky

我觉得你大可不必把我们的价值仅限于对外部审计的贡献，终究鉴证服务不是我们的强项，而咨询服务才是我们的强项。
前面有大虾提到固定资产，我觉得我们的CAATs可以发现出许多exception,比如中间固定资产的停用，折旧方法的改变，原值的改变，而这些光靠看公式是无法达成的，还是需要我们通过Gap analysis的做法去作清楚。audit staff可能可以用框算的方法，计算正常情况的固定资产，一旦客户有很多exception,audit staff就束手无策了，只能通过放飞机的手段编底稿，我们对客户折旧方法的把握的准确和完全，不是audit staff可以比的。
抽样仅仅是我们的一个强项，但并不是最有力的，我们最有利的地方是发现交易之间的规律，比如采购单的价格，如果我们把某种物料下的所有的采购订单价格都放在一起分析，我们就可以找到价格变化的趋势，如果某张订单的价格和其他的价格相去甚远，我们就可以进一步进行分析，也许这就是一笔非法的交易。如果我们把这种物料下的所有供应商都找出来进行分析，如果在都向A购买的物料中，还有向C购买的情况，那不是就有问题了吗？如果我们拿到支票的register,然后我们运行gap,那缺掉的支票号就有可能是有问题的，对发票也有同样的做法。
今天我终于想出了ACL 中stratify的一种用法，我们可以帮客户指定一种最合理的批准制度，假设采购单中90%的订单的价值在5万元以下，只有10%的订单价值在5万元以上，但是这部分订单的总价值占到全部采购总价值的40%，那么我们就可以推荐客户把approval matrix设在5万，则5万以上总经理批，5万以下经理批，更重要的是，客户能清楚地知道自己目前的风险，60%的金额是不在总经理的控制之内。
对于控制，我们可以有一种更全面的考量，对于某些audit staff来说，收到发票以后只要在系统里看看有没有收货就可以了，但是我们注意到系统的权限混乱，系统里的收货可以由任何人做出来的话，我们就要提建议了。
IS auditor cover的不仅是信息风险，还包括财务风险、业务风险，甚至包括法规风险。我觉得最重要的是IS auditor要学会应用手中的工具和对信息系统的理解。 [/B]

Thanks very very very much for above practice. What's a great pity your will leave me, 55555555555

wangjian55

Jacky.Zhu 我觉得你大可不必把我们的价值仅限于对外部审计的贡献，终究鉴证服务不是我们的强项，而咨询服务才是我们的强项。
前面有大虾提到固定资产，我觉得我们的CAATs可以发现出许多exception,比如中间固定资产的停用，折旧方法的改变，原值的改变，而这些光靠看公式是无法达成的，还是需要我们通过Gap analysis的做法去作清楚。audit staff可能可以用框算的方法，计算正常情况的固定资产，一旦客户有很多exception,audit staff就束手无策了，只能通过放飞机的手段编底稿，我们对客户折旧方法的把握的准确和完全，不是audit staff可以比的。

抽样仅仅是我们的一个强项，但并不是最有力的，我们最有利的地方是发现交易之间的规律，比如采购单的价格，如果我们把某种物料下的所有的采购订单价格都放在一起分析，我们就可以找到价格变化的趋势，如果某张订单的价格和其他的价格相去甚远，我们就可以进一步进行分析，也许这就是一笔非法的交易。

如果我们把这种物料下的所有供应商都找出来进行分析，如果在都向A购买的物料中，还有向C购买的情况，那不是就有问题了吗？

如果我们拿到支票的register,然后我们运行gap,那缺掉的支票号就有可能是有问题的，对发票也有同样的做法。

今天我终于想出了ACL 中stratify的一种用法，我们可以帮客户指定一种最合理的批准制度，假设采购单中90%的订单的价值在5万元以下，只有10%的订单价值在5万元以上，但是这部分订单的总价值占到全部采购总价值的40%，那么我们就可以推荐客户把approval matrix设在5万，则5万以上总经理批，5万以下经理批，更重要的是，客户能清楚地知道自己目前的风险，60%的金额是不在总经理的控制之内。

对于控制，我们可以有一种更全面的考量，对于某些audit staff来说，收到发票以后只要在系统里看看有没有收货就可以了，但是我们注意到系统的权限混乱，系统里的收货可以由任何人做出来的话，我们就要提建议了。

IS auditor cover的不仅是信息风险，还包括财务风险、业务风险，甚至包括法规风险。我觉得最重要的是IS auditor要学会应用手中的工具和对信息系统的理解。
Thanks very very very much for above practice. What's a great pity your will leave me, 55555555555 [/B]

痛苦中，不能使用洋文表达我的观点！请各位大师包容。努力ing!

但愿以下经验有所抛砖引玉：

由于IS audit都必须要求客户实现了信息化管理，所以，一般情况下，客户具有一定的计算机知识的。财务审计人员也已经具备一般计算机知识的。
（1）对于固定资产的审计，通过客户信息管理系统（譬如ERP）导出到EXCEL表中，计算折旧费用既便捷又准确。可以利用EXCEL中的公式设定全部按正常方法计算折旧，与导出的折旧额对比，利用排序将exception列出，再对其进行抽样或全面审计（查阅原始单据等）。即使在有很多exception的情况下也是如此。

（2）正如Derek所言的咨询服务，发现交易规律，基本不属于财务审计的范畴。“把某种物料下的所有的采购订单价格都放在一起分析，我们就可以找到价格变化的趋势”的实现也不需要专门的工具，一般管理软件中都有采购订单或存货进价的查询和导出功能，做这样的分析也不难。

（3）选择供应尚，一般大公司这样做：对比较重要的材料，基本固定进货的50%、30%、20%在三家（更多或更少）供应商，有时为了获得价格谈判能力，会暂时或偶尔另外选择其他供应尚，供应商的选择有价格因素，还有长期关系的维护、质量等因素。


（4）支票缺号是一种很普遍的现象。不是大问题。如发生笔误等原因。对所有缺号支票，会计规定必须存档保管，一定可以查到的。对于发票的号码连贯性也是用同样的方法来处理。

（5）采购订单控制风险的问题，第一在分析时可以使用类似（2）中EXCEL中的方法也不难达到。二呢，实际情况是，有时下属会将一笔大额采购分成两笔或更多笔采购来进行，这就绕过了控制点了。所以关于批准额度的确定方面可能还需要深入分析。

（6）关于发票和收货的关系，在会计记帐方法（借贷）中，确定发票数额，就知道了收货的金额，可以根据采购发票、销售发票、上期存货金额等确定本期存货的数量，根据帐簿存货清单进行实地盘点。如果系统权限混乱，是可以发现的。在这方面应该不存在问题。

以上观点，主要是希望IS audit们分析自己可以作些什么，特别是做些起决定作用的工作。
如有不正确，请指正。

下次若使用English,请诸位不要笑话！

wangderek

最初由 wangjian55 发布
[B]

痛苦中，不能使用洋文表达我的观点！请各位大师包容。努力ing!

但愿以下经验有所抛砖引玉：

由于IS audit都必须要求客户实现了信息化管理，所以，一般情况下，客户具有一定的计算机知识的。财务审计人员也已经具备一般计算机知识的。
（1）对于固定资产的审计，通过客户信息管理系统（譬如ERP）导出到EXCEL表中，计算折旧费用既便捷又准确。可以利用EXCEL中的公式设定全部按正常方法计算折旧，与导出的折旧额对比，利用排序将exception列出，再对其进行抽样或全面审计（查阅原始单据等）。即使在有很多exception的情况下也是如此。

（2）正如Derek所言的咨询服务，发现交易规律，基本不属于财务审计的范畴。“把某种物料下的所有的采购订单价格都放在一起分析，我们就可以找到价格变化的趋势”的实现也不需要专门的工具，一般管理软件中都有采购订单或存货进价的查询和导出功能，做这样的分析也不难。

（3）选择供应尚，一般大公司这样做：对比较重要的材料，基本固定进货的50%、30%、20%在三家（更多或更少）供应商，有时为了获得价格谈判能力，会暂时或偶尔另外选择其他供应尚，供应商的选择有价格因素，还有长期关系的维护、质量等因素。


（4）支票缺号是一种很普遍的现象。不是大问题。如发生笔误等原因。对所有缺号支票，会计规定必须存档保管，一定可以查到的。对于发票的号码连贯性也是用同样的方法来处理。

（5）采购订单控制风险的问题，第一在分析时可以使用类似（2）中EXCEL中的方法也不难达到。二呢，实际情况是，有时下属会将一笔大额采购分成两笔或更多笔采购来进行，这就绕过了控制点了。所以关于批准额度的确定方面可能还需要深入分析。

（6）关于发票和收货的关系，在会计记帐方法（借贷）中，确定发票数额，就知道了收货的金额，可以根据采购发票、销售发票、上期存货金额等确定本期存货的数量，根据帐簿存货清单进行实地盘点。如果系统权限混乱，是可以发现的。在这方面应该不存在问题。

以上观点，主要是希望IS audit们分析自己可以作些什么，特别是做些起决定作用的工作。
如有不正确，请指正。

下次若使用English,请诸位不要笑话！ [/B]

真不错，和你交流很高兴。我所提到的只是我们可以利用ACL做的一些工作，远远不是IT audit的全部，我觉得在IT audit介入外部审计之前审计人员就能完成审计工作，所以IT audit在很多方面都不是无可替代的，但是我们不断追求审计效率和assurance，提供客户更好的服务，导致了IT audit越来越多地介入外部审计之中。
对于（1）你会发现exception很多，包括今年采购入的固定资产和今年停止折旧的固定资产都会作为exception,如果这些资产有几万件，你能完全分清原因吗？然而，用ACL的话，这些情况不会作为exception。我遇到一个客户，他们的固定资产会计用Excel计算PRC的折旧费用，使用的公式是错误的，但是仍然通过了多年的审计未被发现，直到我们采用了ACL
对于（2），除非作专门的开发，基本上没有一种系统提供这种报表，需要我们和客户的开发人员一起工作。
对于（3）ACL提供了最快捷的让我们了解客户数据的机会
对于（4）你能用Excel找出缺号的情况吗？还是你仅是看到了某些存档好了的错误支票。你能保证所有错误的支票都存档了吗？哪怕只有一张发票找不到，都意味着相当大的审计风险和管理漏洞
对于（5）你能用Excel找出采购订单主要集中在的金额段及其比例吗？还有如我2说的，没有一种系统自带这种功能。
对于（6）系统权限混乱，你怎么能知道呢？听客户说，还是要运行命令，或是看到有相应的批准，就认为OK,
uthorization Object: M_BANF_BSA (Class MM: Purchasing)
-- Field Activity: values noted in table III
-- Field Purchasing Document Type: Selected values
Authorization Object: M_BANF_EKG (Class MM:Purchasing)
-- Field Activity: values noted in table III
-- Field Purchasing Group: Selected values

Authorization Object: M_BANF_EKO (Class MM: Purchasing:
-- Field Activity: values noted in table III
-- Field Purchasing Organization: Selected values

Authorization Object: M_BANF_WRK (Class MM: Purchasing)
-- Field Activity: values noted in table III
-- Field Plant:  Selected values

Authorization Object: M_BANF_FRG (Class MM: Purchasing)
Field Purchase requisition release code:  Selected values
这是我们了解采购申请权限的流程，你认为财务审计人员能了解吗？或是客户自己能了解吗？
我曾经对采购流程和客户的CFO谈过，他非常兴奋，连说good points,而一边的财务审计冷冷地说，我的MP有100M呢。我想这就是由于IT auditor更接近于consultant,更致力于提供更多的service，扩张公司的财路的缘故。
欢迎和我进行讨论

wangjian55

[B]我们不断追求审计效率和assurance，提供客户更好的服务，导致了IT audit越来越多地介入外部审计之中。
IT auditor更接近于consultant,更致力于提供更多的service，扩张公司的财路。[/B]

外部审计中，对风险的态度，首先判断错误的性质，是失误还是有意舞弊，然后确定实质性审查的深度和力度。
对支票号码连续性的审计，应该是全面审查的。即每张作废支票都要审查。
对发票号码的连续性，税务局有更高的要求，因为涉及税款的问题。所以肯定是一张发票都不能少。
另外在EXCEL中，确实可以通过表格和插入图表的功能实现上述目的。当然可能没有ACL那样技术成熟。

我要先了解一下ACL了！其主页是www.acl.com吗？有机会向大师们学习！非常快乐！

Jacky.Zhu

最初由 wangjian55 发布
[B]

外部审计中，对风险的态度，首先判断错误的性质，是失误还是有意舞弊，然后确定实质性审查的深度和力度。
对支票号码连续性的审计，应该是全面审查的。即每张作废支票都要审查。
对发票号码的连续性，税务局有更高的要求，因为涉及税款的问题。所以肯定是一张发票都不能少。
另外在EXCEL中，确实可以通过表格和插入图表的功能实现上述目的。当然可能没有ACL那样技术成熟。

我要先了解一下ACL了！其主页是www.acl.com吗？有机会向大师们学习！非常快乐！ [/B]

看的出王兄也有很丰富的实务经验，如果在上海的话可以出来喝喝咖啡。就Excel，我觉得固然是一个不错的软件，但作为审计工具来说，他60000多行限制的硬伤是无法克服的，而如果我们的客户是银行或一些非常大的客户的时候，数据量是Excel所无法承受的。当然，ACL仅是统计软件中的一种，也有其他非常优秀的统计软件，只是我们用这个，所以对他谈到多一点。ACL的全称是Audit Command Language，你可以到www.acl.com了解更多。

Mathew

请问几位大虾，四大是不是都用ACL啊？