内控内审月刊第二期.doc

三丁包内控内审月刊 （内部刊物，仅供参考） 第期 201年月 目 录 五、读者问与答 1、如何建立内控体系 2、如何进行制度的对标 六、工作介绍-猎头招聘 1、内审主管 2、内审员 一、基础知识学习 1、信息系统审计 信息系统审计分两部分一般安全审计和应用控制审计。 一般安全审计：组织控制、操作控制、硬件控制、软件控制、数据安全控制、人员安全控制 应用控制审计：输入控制、处理控制、输出控制 2、信息系统内控： 内部控制应用指引 一级流程 属性 二级流程 三级流程 第18号—信息系统 信息系统 控制环境 IT战略规划 　 IT风险评估 　 IT内审 IT一般安全审计 IT应用控制审计 控制活动 系统开发管理 自行开发系统管理 信息系统外包管理 IT日常管理 机房管理 批处理管理 备份管理 用户账号管理 系统安全及防火墙管理 灾难恢复管理 IT数据管理 二、内审新人培训 在进行内控内审访谈之前，我们先看一个内控人员进行信息系统内控访谈的一个记录： 1、权限在哪？ 总的管理是系统管理员，系统有两个帐号，超级用户是我们管理，后台职能部门无法管理，实际财务系统权限在集团公司，我们需要书面进行审批开设。现在系统是双管理员，管理员无法操作业务，职能监管运维和系统运行的状态。 2、数据备份？ 各数据是有两套，一套是资金管理，人力资源是放在公司，资金是双击备份。 3、备份间隔？ 每天两天自动备份，一个月从远程人工拷贝过来。 4、OA审批会传递到财务系统吗？ 没有接口，基本是走OA，除了报销。 5、OA流程设置？ 总体平稳。 6、密码管理需要定期改变吗？ 一个月登录查看关键部分是否增减，密码半年更换一次。 这是一个信息系统的内控访谈的部分内容，先分析一下访谈内容是哪些？ 信息系统权限管理、数据备份管理、OA流程设置以及最后的权限帐户的密码变更。内控访谈主要是访谈作业流程，至少是一个授权审批的流程，所以提问的方式都应该是开放式的。根据这一原理，第六条的访谈问题应该进行修改，如“修改成密码的变更是系统控制还是手工控制，变更具体是怎么要求的？” 如何进行内控访谈 第一步：就是做访谈提纲，对于新到一个类型的公司不熟悉作业，那么第一步就是拿到制度和部门职责书。通过阅读制度和部门职责书，了解应该有的控制环节。如果对方这两样都没有，那么最简单的控制就是baidu文库，新浪共享等，搜索同类型的企业。 第二步：提交访谈提纲。 第三步：交换名片，简单谈谈本次访谈的目的，最后才是进行正式访谈。 第四步：访谈结束，整理完毕后，将访谈记录进行打印，交被访谈部门确认。被访谈人员确认有差异的，则核实实际情况。 如何记录内控访谈 不需要全部记录，只需要记录与主题有关的内容。 三、内控内审实务案例操作 1、某团购案例 某审计员在对门店审计时发现个问题：在最新合同价低于核算售价的时候，门店还是按合同价打批发单，就会出现负毛利。但是按照公司运营部一般要求是3个点以上，所以门店就是合同价再加3个毛利点。因为营运部要求门店是按最新合同进价，合同价低于加权平均价的情况？ 其实这个是内审员在进行内部审计时常有的问题，也就是说审计人员凭主观感觉认为发现了审计问题，但是未提供审计的标准。 所以能做的方法就是与被审计部门的上一级确认作业或者运营标准。在确认完毕之后再次进行审计。 四、热门话题讨论 1、内审人员需要什么素质？ 网友一：精通业务结果导向坚韧不拔又识得进退能踏实做事又能忽悠领导还有什么？难说，各有各路，殊途同归。我总觉得，成功难以复制。好的内审,领导对你的评价,不错有思路有想法,还能让人下课。下属,哇真博学,一个房间能让两台电脑上网,还知道fi co wm 。对被查单位,哇,真敬业,都11点了还在加班,低头一看,爱情连连看。人格：正直；性格：圆滑；素质：专业精通；习惯：该说时要能说，不该说时闭嘴；以公司利益为重！ 1、专业技能，具备财务、税务、管理等综合能力，有很敏锐的触觉，知道哪些方面是内控的薄弱方面，也即风险点。? ?? ???2、很好的沟通能力，审计工作想要很好的开展，避免不了要和公司的各个阶层的人打交道，怎么样能够让人家认可你、接纳你? 3、不同流合污的高尚人格，内部审计也不时能够遇到各