行政管理基础
一切尽在掌握
审计
(FCA-UNAM,2008年)解释说,审计的概念可以理解为对实体财务报表的审查,以便负责人就源自财务报表的数据的合理性发表意见。
但是,(García,2001年)告诉我们,审计一词经常被错误地使用,并且被认为是一种评估,其唯一目的是发现错误并指出缺陷,因此“具有审计”的同义词,在执行之前,已经发现了故障,因此正在进行审计。
因此,作者指出,审核不仅要负责发现错误,而且要进行关键检查,以评估某个部门或某个有机体的效率和有效性,并确定采取行动的替代资源。改善组织并实现建议的目标。
另一方面,该作者指出,根据《新西班牙文Sopena词典》,他说,审计是根据国家和国际机构建立的规范,程序和技术进行的;审计一词来自拉丁语“ auditorius”,来自“ auditor”,即具有听觉美德的人;准确定义审核员是“合作客户审核员”。
审计是一种系统的,独立的,有文件记录的过程,用于获取记录,声明,事实或任何其他相关的可验证和有用的信息,并对这些信息进行评估,以确定所制定的一套政策,程序或要求的程度。他们将比较证据与提及的客观证据进行比较作为参考(Galindo,2013)。
(Brito&Solís,2008)解释说,在组织内维持适当的内部控制系统的主要原因如下:
- 保持有效的行政控制符合政府要求负责向第三方提供可靠的财务信息。
总而言之,从以前的审计定义来看,可以说这是一种控制工具,通过该工具可以对公司的所有流程,政策和法规进行深入而详尽的审查,以验证它们是在审计过程中执行的。根据建立。这样做是为了及时发现错误,评估组织内已审核部门的效率和有效性。通过审核,预期执行审核的人员将为组织有效地发布建议,从而使其程序完全适合其职能。
审核类型分类
(Galindo,2013年)解释说,审计被分类为:
- 审计员的原籍进行审计
- 外部审计内部审计
- 按应用领域进行审核
- 财务审计行政审计政府审计计算机审计
- 计算机审计
- 使用计算机进行审核不使用计算机进行审核对计算机管理进行审核对计算机系统进行审核对计算机系统进行审核对计算机系统的安全性进行审核对网络系统进行审核对计算机中心进行全面审核对计算机系统进行审核对计算机科学系统进行审核
信息系统
(Rodríguez,2014年)认为,信息系统从1950年代到今天有了长足的发展,随着时间的流逝,信息系统已成为组织内的宝贵工具,从而提高了效率和提高生产力。
如今,没有任何公共或私人公司不通过使用计算机来开展活动。技术革命提出了确保这种信息系统准确和可靠的需求,特别是在金融信息处理方面。现代审计的主要挑战之一是使用计算机工具充分有效地评估和控制业务管理。
(Brito&Solís,2008;Rodríguez,2014)认为,信息系统(SI)可以定义为一组元素或组件,您可以在其中输入,存储和呈现信息,以便及时有效地获取信息。决定。在谈到信息系统时,他并不完全指计算机或计算机。
根据组织的层次结构,有四个SI组:
- 运营级别系统:与组织的运营和交易流程直接相关。在此级别内是事务处理系统。它们的特点是易于使用,执行简单的交易流程,查询和报告的结构受到限制,并且他们的用户是组织主要级别的员工和负责人。对于组织而言,这些系统的目的是帮助开发,处理,排序和相互联系组织的信息和新知识。行政级别系统:专注于监视,指导,控制和决策活动中层老板这里是决策支持系统,例如成本分析系统,生产分析,销售分析,盈利能力,它们的特征是呈现定期信息以供分析,并且通常将内部和外部变量相关联以产生结果。战略层级系统:它们支持长期战略层级决策,考虑与组织外部环境有关的拟议政策和目标,从而使他们能够做出提高竞争力的决策。它们易于使用,灵活,并且不需要用户具备复杂的计算机技能即可使用。它的主要功能是通过对信息表或多维数据集进行建模来分析来自其他系统(交易和管理)的数据,在其中可以获得易于使用的表和信息摘要。
组织依赖于信息系统,其方式是根据其IS的增长能力,灵活性和能力来制定战略和组织计划。
将信息技术并入组织的生产过程中可以成为一种竞争优势,可以使它们变得更有效率,并使他们能够开发质量较低的产品和服务。
计算机审计
(Rodríguez,2014年)解释说,知识管理并不是什么新鲜事物,近年来有许多公司寻求实施计划以实现这一目标,公司选择了信息技术,该软件提供的解决方案一直在讨论。
但是,这些程序大多数都集中在内联网的植入上,这些内联网试图促进人与人之间的交流并记录组织的所有过程。除了向两名员工提供评估统计数据和指标外。
显然,知识很难管理,但是可以管理可用的信息。因此,信息具有相关的作用,并由基本知识管理策略来制定。
适当的信息管理是必不可少的要素。公司已经将信息技术作为其信息系统轴的一部分,以使其与公司计算机系统进行比较的程度进行,但是,很少正确地实施它。
信息或计算审核是帮助检测,控制和评估组织中存在的信息及其流程,信息对信息的使用以及对人员需求的适应性的过程。这样,将解决组织拥有什么以及组织在哪里的不确定性,这将有助于:
- 重复:指同一组织中有时独立保存相同信息的部门缺陷:有时,如果不共享信息,则会发现对企业内部某些业务部门的正常运作有害的空白实体:不一致:独立保存相同的信息可能会导致信息完全不同。
审计还可以诊断对信息的用途,以及最终对信息的重要性。这将使人们有可能知道在每种情况下以及在何种情况下使用它,从而在价值链中确定必须使用这些信息的关键点。
另一方面,(Brito&Solís,2008)认为,计算机化内部控制是组织内部控制系统中的一个子系统,并且包括组织内部的所有管理和系统化过程,其目的是保证控制和安全性。用于高效,有效和经济的运营管理的计算机资源。
计算机化内部控制的目标可以分为一般目标和特定目标。
我们的总体目标包括:
- 遵守由高级管理人员制定的政策和程序以及与使用技术有关的其他法律法规作为高级管理人员对计算机资源控制的支持,以及对内部审核职能的审核跟踪或外部审核员,确保对PED功能,IT服务质量和用户满意度进行适当的管理。
在具体目标中,我们有:
- 遵守组织的计算机计划;保持对信息系统所做更改的控制;确保仅授权人员访问信息;确保信息系统的开发和维护的质量;保护系统。抵御来自互联网(黑客)的计算机攻击,并最大程度地降低病毒感染的风险。
根据不同的国际标准,有多种实现计算机控制的方法,它们可分为两大类:定量和定性。
- 定量方法:基于数学模型进行风险分析,其中将发生概率分配给每种风险。然后,使用复杂的模拟,可以确定组织所面临的风险程度以及为降低风险而要实施的控制措施定性方法:它们基于负责实施计算机控制的专业人员的经验和能力。它使用简单的统计方法来识别组织内的潜在威胁,然后为这些威胁选择响应机制。
总之,计算机审计是对组织的计算机系统,硬件,软件和信息以及环境(工作区域,网络和电信)的系统化审查,目的是维护数据的完整性。负责执行此类审核的审核员必须是计算机系统领域的专家,他可以评估和验证最复杂的计算机控制和程序,并开发和应用审核技术以验证计算机的有效性,实用性,可靠性和安全性。设备和信息。
信息审核的阶段
(Serrano和Zapata,2003年)将信息审核的阶段描述如下:
- 计划:在此阶段中确定目标,起点和要走的距离,在此阶段中执行的任务包括确定关键人员,项目规模和资源位置,开发解决方案。实施行动计划,战略计划和业务计划数据收集:在此阶段准备要接收的信息,开发数据库,进行访谈等。数据评估:发现差距和重复项,将有助于解释信息流,评估问题,提出建议并制定变更行动计划。上一阶段结束后,必须传达有关发现不正常现象并解释所进行工作的建议,因此,组织和公司环境将获得有关结果的信息实施建议:必须制定实施计划,必须纳入正式计划的变更,并且必须制定实施后战略。进行更改后,您必须意识到需要进行持续监视,衡量和评估更改并计划周期性的信息审核周期。测量和评估变更,并计划一个周期性的信息审核周期。测量和评估变更,并计划一个周期性的信息审核周期。
组织中的计算机审计
(Galindo,2013年)认为,计算机化的内部控制及其审计可以使信息系统以最有效的方式进行管理并从中获利,简而言之就是优化结果。
作者提到当前存在三种类型的计算机审核方法:
- 由Arthur Andersen设计的OA(面向风险的方法)。CHECKLIST或调查表PRODUCT AUDIT(例如Windows NT本地网络; DB2数据库管理系统; RAFC安全软件包等)。
这三种方法均基于最小化风险,这将基于控制的存在和控制的有效性来实现。因此,审核员应审查这些控制及其操作。
在这三种方法中,最适合中小企业审计的方法是核对表。总之,为了获得均质的结果,有必要让审计领域的最熟练的人员适应或考虑审计点,以达到预期的均质结果。
清单方法
(Galindo,2013)解释说,由于简化了准备工作,方便了使用,以及容易发现偏差,这使其成为任何修订计算机系统的最可靠和可用的工具之一;同样,它既适用于系统领域,也适用于行政管理或任何其他IT功能。
该工具由详细的有序列表组成,其中列出了系统操作,其组件,活动的开发,操作的完成或任何其他方面的要审查的所有方面。与系统领域的评估有关;此列表由一个或多个列补充,其中对与所评估方面的符合性进行了评分。遵从性通常是坚决的,不合规的被剔除或留空。这样一眼就可以确定是否符合评估方面。
清单可以分为两列:概念和符合性或不符合性,也可以分为几列:一列用于概念,另一列根据符合概念的程度选择在每一列中表示的等级。
清单是计算机审计领域中广泛使用的技术。它只不过是一份清单或调查表,根据我们正在评估的内容或要实现的目标而遵循某些准则。
审核员创建检查表以评估计算机系统(包括公司,公司,个人…),并在客户通过问卷或检查表给出的答复的指导下得出结论。
清单主要有两种,具体取决于必须对所提出问题的回答类型。
- 等级检查表:在答案中,客户将必须输入给定范围内的数字,例如,如果问题是他们对公司员工的工作感到满意,他们必须回答的分数必须介于最小和最大。响应范围可能会有所不同,具体取决于审核员或所提出的问题(在我们的工具中,如果您根本不满意,则为0;对于最大值,则为5)。二进制检查表:此类型为真和假答案(1和0分别)。无论是什么问题,都只能回答这两个值(Computer audit,2007)。
总之,清单是为收集信息而设计的工具,它可以帮助审核员简化并轻松地发现计算机系统领域中的偏差。这种类型的方法包括详细列出系统操作的所有方面的有序列表,例如:系统组件的检查,活动的开发,操作的完成或任何其他方面的检查。另一个方面涉及对系统领域的评估。
清单可以设计为两种类型的格式,第一种是两列格式,也称为二进制清单,第二种是多列格式,也称为范围清单,用于收集信息。
清单方法学示例
|
验证计算机网络的正常运行和合规性,以及包括其组件,其应用和使用。 |
|
| 概念说明 | 符合 |
| 网络安装非常灵活,可以适应公司的需求。 | |
| 网络组件列表包含正确操作所需的所有硬件。 | |
| 网络组件列表包含正确运行所需的所有软件。 | |
| 计算机网络已在公司中得到最大利用。 | |
| 网络资源配置是正确使用公司计算机系统的最佳方法。 | |
| 网络中存在等级和安全性。 |
图:两列检查的示例来源:(Galindo,2013年)
|
在计算机中心验证安全性,并根据其符合程度对每个概念进行评分。 |
||||
| 概念说明 | 100%优秀 | 80%
符合 |
60%
最低要求 |
40%较差 |
| 1.-评估系统访问的安全性 | ||||
| 评估系统访问属性 | ||||
| 评估系统访问级别 | ||||
| 评估系统密码管理 | ||||
| 2.-评估进入物理区域的安全性 | ||||
| 评估员工进入中心的权限 | ||||
| 计算 | ||||
| 评估用户和第三方对计算机中心的访问 | ||||
| 评估对系统区域的物理访问日志的管理。 |
图:多列检查示例。资料来源:(加林多,2013年)
咨询参考
- Brito,J.和Solís,G.(2008年)。分析和使用信息系统进行有效的管理控制审核。取自https://www.dspace.espol.edu.ec/bitstream/123456789/1901/1/3786.pdfFCA-UNAM。 (2008年8月)。计算机审核。取自http://fcasua.contad.unam.mx/apuntes/interiores/docs/98/8/audi_infor.pdf加林多,马萨诸塞州(2013)。中小企业的计算机审核。从http://cdigital.uv.mx/handle/123456789/34459García,JAE(2001)中恢复。计算机审核。麦格劳·希尔(McGraw-Hill),罗德里格斯(Rodriguez),N。(2014)。组织信息系统审核。取自http://www.auditorescontadoresbolivia.org/archivos/3.auditoriadelossistemasdeinformacion organizacionalimportancia.pdf塞拉诺(Serrano,S.)和扎帕塔(Zapata,M.)(2003)。信息审核知识管理的起点。信息专业人员,12(4),290–297。
