緒論:在尋找寫作靈感嗎�����?愛發(fā)表網(wǎng)為您精選了8篇系統(tǒng)審計(jì)論文,愿這些內(nèi)容能夠啟迪您的思維,激發(fā)您的創(chuàng)作熱情���,歡迎您的閱讀與分享!
篇1
一、審計(jì)系統(tǒng)必須適應(yīng)環(huán)境的發(fā)展
審計(jì)系統(tǒng)是在一定的經(jīng)濟(jì)社會(huì)環(huán)境下產(chǎn)生���,又在特定的外界環(huán)境中存在和發(fā)展。它是環(huán)境的產(chǎn)物,必須和環(huán)境相適應(yīng)����。與生態(tài)系統(tǒng)中的生物一樣�����,審計(jì)系統(tǒng)的生存���、生長受制于環(huán)境�����,但審計(jì)系統(tǒng)的存在和發(fā)展又反過來影響和改變環(huán)境��。回顧審計(jì)系統(tǒng)的發(fā)展歷程���,經(jīng)歷了三個(gè)階段:
第一階段是19世紀(jì)中葉,在資本主義得到充分發(fā)展�����、取得工業(yè)革命成功的英國出現(xiàn)了現(xiàn)代意義的審計(jì)(稱英國式審計(jì)或詳細(xì)審計(jì))。當(dāng)時(shí)的審計(jì)對(duì)象是會(huì)計(jì)賬簿,審計(jì)的目的是查錯(cuò)防弊��,所使用的審計(jì)工具是詳細(xì)檢查���,審計(jì)信息的使用人是股東����。第二階段是本世紀(jì)初,在資本主義發(fā)達(dá)的美國出現(xiàn)了以資產(chǎn)負(fù)債表為對(duì)象的資產(chǎn)負(fù)債表審計(jì),其目的是判斷借款人的信用狀況���,審計(jì)信息使用人從股東擴(kuò)大到債權(quán)人(主要是銀行)。第三階段是本世紀(jì)20—30年代,由于資本市場(chǎng)證券化��,在美國出現(xiàn)了以損益表為中心的財(cái)務(wù)會(huì)計(jì)報(bào)表審計(jì)�����,目的是提出客觀公正的審計(jì)意見,審計(jì)信息使用人是所有的企業(yè)利害關(guān)系人�����,對(duì)上市公司而言就是社會(huì)公眾���。到了40年代以后����,由于跨國公司的出現(xiàn),國際間資本流動(dòng)頻繁��,在發(fā)達(dá)的資本主義國家出現(xiàn)了國際化的會(huì)計(jì)公司�。
從上述審計(jì)系統(tǒng)從一個(gè)階段向高一階段的進(jìn)化過程分析,我們可以得出兩點(diǎn)結(jié)論:一是審計(jì)系統(tǒng)每一次進(jìn)化都是為了適應(yīng)環(huán)境的變化�,和任何系統(tǒng)一樣���,只有適應(yīng)環(huán)境的系統(tǒng)才能得以生存和發(fā)展���。19世紀(jì)西方資本主義得到充分發(fā)展��,實(shí)行所有權(quán)和經(jīng)營權(quán)分離,就出現(xiàn)了英國式的詳細(xì)審計(jì)��。到了20世紀(jì)中葉����,隨著企業(yè)大型化和證券化,經(jīng)濟(jì)活動(dòng)劇增��,審計(jì)師不可能對(duì)每筆交易都進(jìn)行檢查���,審計(jì)系統(tǒng)就由詳細(xì)審計(jì)進(jìn)化到抽樣審計(jì)��。有了跨國公司�����,就有了國際性的會(huì)計(jì)事務(wù)所�。正是審計(jì)系統(tǒng)適應(yīng)了所生存的環(huán)境,才使得本身得到充分的發(fā)展。同時(shí),進(jìn)化后的審計(jì)系統(tǒng)又反作用于環(huán)境�����,對(duì)社會(huì)經(jīng)濟(jì)起了積極推動(dòng)作用�����,成為人類經(jīng)濟(jì)系統(tǒng)中不可缺少的一個(gè)子系統(tǒng)���。二是審計(jì)系統(tǒng)的每一次進(jìn)化都有賴于相應(yīng)的理論�、方法和技術(shù)的支持�����。從英國式的詳細(xì)審計(jì)進(jìn)化到資產(chǎn)負(fù)債表審計(jì)�����,是因?yàn)橛袃?nèi)部牽制理論和統(tǒng)計(jì)抽樣技術(shù)的支持�。同樣���,從資產(chǎn)負(fù)債表審計(jì)進(jìn)化到財(cái)務(wù)會(huì)計(jì)報(bào)表審計(jì)�����,是因?yàn)橛袃?nèi)部控制理論和審計(jì)風(fēng)險(xiǎn)測(cè)試評(píng)價(jià)技術(shù)的支持��。這是審計(jì)系統(tǒng)一次具有非常意義的“進(jìn)化”��,正是由于審計(jì)系統(tǒng)普遍采用了統(tǒng)計(jì)抽樣技術(shù)和內(nèi)部控制測(cè)試技術(shù)���,從而使審計(jì)系統(tǒng)的功能大大增強(qiáng)��,在大大提高了審計(jì)效率的同時(shí),又有效地控制了審計(jì)風(fēng)險(xiǎn)���。
同理,在步入21世紀(jì)的今天�,審計(jì)系統(tǒng)又面臨著新環(huán)境的挑戰(zhàn)���。新經(jīng)濟(jì)和數(shù)字時(shí)代的到來��,以及經(jīng)濟(jì)全球化、市場(chǎng)一體化等將對(duì)審計(jì)系統(tǒng)產(chǎn)生重大影響。面對(duì)新經(jīng)濟(jì)環(huán)境的挑戰(zhàn),審計(jì)系統(tǒng)必須適應(yīng)這種環(huán)境的進(jìn)化�����,而要進(jìn)化就必須有相應(yīng)的理論和技術(shù)方法即系統(tǒng)科學(xué)和信息技術(shù)的支持����,筆者將由系統(tǒng)科學(xué)和計(jì)算機(jī)技術(shù)支持下進(jìn)化了的審計(jì)稱為系統(tǒng)審計(jì),與之相對(duì)應(yīng)的是傳統(tǒng)的詳細(xì)審計(jì)和內(nèi)控審計(jì)。下圖表達(dá)了審計(jì)系統(tǒng)的進(jìn)化過程����。
需要說明的是��,“系統(tǒng)審計(jì)”與“審計(jì)系統(tǒng)”是二個(gè)既有聯(lián)系又有區(qū)別的概念。系統(tǒng)審計(jì)是指在系統(tǒng)科學(xué)和信息技術(shù)支持下的審計(jì)理論方法,表明一種審計(jì)理念,是相對(duì)于其它審計(jì)方法而言的。審計(jì)系統(tǒng)則是泛指審計(jì)體系���,詳細(xì)審計(jì)、財(cái)務(wù)會(huì)計(jì)報(bào)表審計(jì)、系統(tǒng)審計(jì)都是審計(jì)系統(tǒng)各個(gè)不同歷史時(shí)期的產(chǎn)物����。
二��、系統(tǒng)審計(jì)和傳統(tǒng)審計(jì)的比較
傳統(tǒng)審計(jì)的思維方式是:部分整體���。傳統(tǒng)審計(jì)總是先分析對(duì)象的各個(gè)部分�,然后再綜合為整體。這種思維方法的局限性在于把分析與綜合�����、部分與整體��、原因與結(jié)果機(jī)械地割裂開來��,認(rèn)為部分是原因,整體是結(jié)果��,部分決定整體�����。傳統(tǒng)審計(jì)方法著眼于一個(gè)個(gè)要素��,進(jìn)而得出整體的性能,其邏輯結(jié)論往往是組成整體的要素好���,整體的性能也就好。不論是一百五十年前的詳細(xì)審計(jì)�����,還是目前的財(cái)務(wù)會(huì)計(jì)報(bào)表審計(jì)��,注冊(cè)會(huì)計(jì)師的思想方法都是從部分去推測(cè)整體����,而系統(tǒng)審計(jì)的思想方法則是從整體到部分。詳細(xì)審計(jì)是從每一筆交易賬戶再到報(bào)表;財(cái)務(wù)會(huì)計(jì)報(bào)表審計(jì)是通過對(duì)內(nèi)部控制和控制風(fēng)險(xiǎn)的研究抽取部分交易為樣本賬戶最終證實(shí)報(bào)表信息的真實(shí)和公允性����。詳細(xì)審計(jì)和報(bào)表審計(jì)在研究審計(jì)對(duì)象經(jīng)濟(jì)活動(dòng)時(shí),只把各組成部分孤立地����、簡單地加起來���,這并不能說明審計(jì)對(duì)象經(jīng)濟(jì)活動(dòng)的整體性質(zhì)和功能�����。因?yàn)楦饕氐暮唵蜗嗉樱⒉荒軜?gòu)成一個(gè)系統(tǒng)����。
系統(tǒng)審計(jì)思維方法則不同于傳統(tǒng)審計(jì)�����,它的思維方式是:整體部分。系統(tǒng)審計(jì)從整體出發(fā)���,先進(jìn)行系統(tǒng)綜合,形成可能的系統(tǒng)方案��,再進(jìn)行系統(tǒng)分析����。分析系統(tǒng)各要素及其相互關(guān)系,建立模型���,然后進(jìn)行系統(tǒng)選擇,實(shí)現(xiàn)最優(yōu)化�,重新綜合成整體���。系統(tǒng)審計(jì)方法的程序是:綜合分析綜合。它不僅著眼于個(gè)別要素的優(yōu)劣�����,而且利用了要素之間的相互關(guān)系��,觀察和判斷系統(tǒng)整體的性能�。要素和系統(tǒng)不是一種簡單的線性因果關(guān)系�,系統(tǒng)的整體性能不單是取決于組成系統(tǒng)的要素,而且還有要素之間的相互作用。系統(tǒng)審計(jì)方法正是在要素之間相互作用的關(guān)系中進(jìn)行分析和綜合,才能正確地認(rèn)識(shí)審計(jì)對(duì)象的整體性能���。系統(tǒng)審計(jì)把審計(jì)對(duì)象的經(jīng)濟(jì)活動(dòng)當(dāng)作一個(gè)整體來研究。這一整體的性質(zhì)和規(guī)律,只存在于組成要素的相互聯(lián)系�、相互作用之中����。各個(gè)組成部分孤立的特征或者活動(dòng)的總和�,并不能反映整體的特征和活動(dòng)。系統(tǒng)審計(jì)強(qiáng)調(diào)系統(tǒng)的整體性,要求注冊(cè)會(huì)計(jì)師不能象以前那樣����,先把審計(jì)對(duì)象分成幾個(gè)部分�����,然后再匯集起來。而是把審計(jì)對(duì)象作為一個(gè)有機(jī)的整體來對(duì)待,先看整體����,再看部分��;先看全局,再看局部�;先看宏觀�,再看微觀���;先看全過程���,再看某一個(gè)階段�����。從整體與環(huán)境����、整體與部分的相互依賴��、相互制約中����,去揭示系統(tǒng)的特征和運(yùn)動(dòng)規(guī)律���。對(duì)局部的研究必須放在整體中���,從整體的各個(gè)部分的聯(lián)系����、制約中去加以研究。當(dāng)然,注冊(cè)會(huì)計(jì)師研究審計(jì)對(duì)象經(jīng)濟(jì)活動(dòng)整體�,并不是不深入具體細(xì)節(jié)去考察分析�,一個(gè)正確地認(rèn)識(shí)來自于從整體到部分���,部分到整體的反復(fù)過程���。系統(tǒng)審計(jì)在研究問題時(shí)���,把任何對(duì)象都看成是系統(tǒng)����,然后著眼于系統(tǒng)和環(huán)境之間�����、系統(tǒng)和要素之間的相互關(guān)系�,確定要素的層次結(jié)構(gòu)���,這樣就便于用數(shù)學(xué)方法從定性和定量的結(jié)合上研究�����、描述現(xiàn)實(shí)系統(tǒng)���。系統(tǒng)審計(jì)比傳統(tǒng)審計(jì)方法更能將分析和綜合�、歸納和演繹等方法有機(jī)地結(jié)合起來����,因而為運(yùn)用數(shù)理邏輯方法和計(jì)算機(jī)技術(shù)開辟廣闊的道路。
篇2
一�、電子商務(wù)系統(tǒng)審計(jì)的必然性和必要性
在商業(yè)活動(dòng)實(shí)現(xiàn)網(wǎng)絡(luò)化之前��,采購是面對(duì)面或通過紙質(zhì)文件進(jìn)行的,有跡可查����,即使是電子交易��,其設(shè)備結(jié)構(gòu)是專用的,一般只限于已知用戶使用���,任何外部用戶必須是已知的、身份明確的�、可追蹤的�;系統(tǒng)通常是主機(jī)結(jié)構(gòu)方式����,相對(duì)易于監(jiān)督��、控制和審計(jì)���。與傳統(tǒng)商業(yè)相比��,萬維網(wǎng)客戶/服務(wù)器系統(tǒng)的特點(diǎn)是高度分散��,資源共享、服務(wù)分散�����、顧客透明度高等�,而電子商務(wù)的運(yùn)作速度更快、業(yè)務(wù)循環(huán)周期更短��、風(fēng)險(xiǎn)更大����、更高程度地依賴于技術(shù)。電子商務(wù)系統(tǒng)的技術(shù)基礎(chǔ)和市場(chǎng)的快速變化意味著傳統(tǒng)的衡量方法已不再適用于企業(yè)的某些資產(chǎn)�����,財(cái)務(wù)報(bào)告不能充分提供企業(yè)的狀況和價(jià)值方面的信息��,特別是網(wǎng)絡(luò)企業(yè)的無形資產(chǎn)�,如商譽(yù)�����、客戶忠誠度和滿意程度等這些產(chǎn)生長期價(jià)值的關(guān)鍵資產(chǎn)�。核實(shí)確認(rèn)這類資產(chǎn)價(jià)值的困難在于缺乏足夠的歷史數(shù)據(jù)�、合適的參照標(biāo)準(zhǔn)�����、先進(jìn)的實(shí)踐經(jīng)驗(yàn)以及對(duì)網(wǎng)絡(luò)的各種威脅和概率的準(zhǔn)確估算���。企業(yè)管理層以及公眾都需要尋找能夠用以表述網(wǎng)絡(luò)企業(yè)的可信度��、安全性及其他資產(chǎn)價(jià)值的方法,需要一些新的核查和審計(jì)方法,更有效地評(píng)價(jià)無形資產(chǎn)�,如知識(shí)����、品牌等�����。因此���,電子商務(wù)系統(tǒng)審計(jì)就成為歷史的必然��。由于,電子商務(wù)的可靠性、適用性、安全性和性能等方面受到的威脅或存在的風(fēng)險(xiǎn)����,都可能會(huì)影響其生存和發(fā)展��。風(fēng)險(xiǎn)因素包括:商業(yè)信息的泄露、智能財(cái)產(chǎn)的不當(dāng)使用、對(duì)版權(quán)的侵犯、對(duì)商標(biāo)的侵犯、網(wǎng)絡(luò)謠言和對(duì)信譽(yù)的損害等���。因此,進(jìn)行必要和客觀的審計(jì),才會(huì)使董事會(huì)����、審計(jì)委員會(huì)�����、高級(jí)管理層對(duì)電子商務(wù)系統(tǒng)的安全運(yùn)作和效益滿意和放心����。
二、網(wǎng)絡(luò)風(fēng)險(xiǎn)和風(fēng)險(xiǎn)管理
網(wǎng)絡(luò)風(fēng)險(xiǎn)如同自然災(zāi)害一樣不可預(yù)見���。風(fēng)險(xiǎn)管理的關(guān)鍵在于風(fēng)險(xiǎn)評(píng)估,風(fēng)險(xiǎn)評(píng)估就是要分析和衡量風(fēng)險(xiǎn)事件發(fā)生的概率及后果����,引起風(fēng)險(xiǎn)的因素及其關(guān)聯(lián)因素����,出現(xiàn)風(fēng)險(xiǎn)的關(guān)鍵點(diǎn)采取什么方法能夠減緩風(fēng)險(xiǎn),風(fēng)險(xiǎn)出現(xiàn)造成后果如何,以及評(píng)價(jià)管理層是否履行了應(yīng)有的職業(yè)審慎進(jìn)行防范和控制。同時(shí)在評(píng)估中還要為各項(xiàng)因素設(shè)計(jì)評(píng)價(jià)比率��,計(jì)算各種風(fēng)險(xiǎn)的影響后果�����,根據(jù)影響和后果排序�����,對(duì)高風(fēng)險(xiǎn)因素作進(jìn)一步的分析。
通過風(fēng)險(xiǎn)評(píng)估,可以認(rèn)識(shí)到潛在風(fēng)險(xiǎn)(威脅)及其影響����,以便對(duì)高風(fēng)險(xiǎn)領(lǐng)域作一些防范�����、檢測(cè)��、控制���、減緩和恢復(fù)的工作計(jì)劃和安排�����。這些計(jì)劃和安排應(yīng)涵蓋對(duì)各項(xiàng)控制成本,主要是指接受����、避免����、轉(zhuǎn)移�、監(jiān)測(cè)成本的分析以及各項(xiàng)工作的先后次序。
三�����、電子商務(wù)系統(tǒng)審計(jì)中網(wǎng)站的合法性證明
網(wǎng)絡(luò)終端用戶都會(huì)關(guān)注網(wǎng)站是否來自一個(gè)真實(shí)的����、可靠的機(jī)構(gòu),提供的信息是否準(zhǔn)確真實(shí)���,機(jī)構(gòu)背景是否正當(dāng)合法,個(gè)人信息的隱私權(quán)是否得到保護(hù)等��。所謂隱私權(quán)是指對(duì)個(gè)人的數(shù)據(jù)/信息的搜集必須合法�、公平,必須用于某一特定�、公開的目的��,必須取得該個(gè)人的同意并受到保護(hù),本人必須有權(quán)進(jìn)入系統(tǒng)進(jìn)行修改或刪除���,信息的越域流動(dòng)和將來的使用����、披露必須予以安全保證和限制等。
解決這些網(wǎng)站合法性問題的途徑之一就是由一公證機(jī)構(gòu)提供可靠的證明�,以使網(wǎng)絡(luò)終端用戶能對(duì)網(wǎng)站提供的電子商務(wù)放心�����。如Verisign,TRUSTe����,BBBOnline��,WebTrust,SysTurst等都是具有良好的信譽(yù)并且提供證明-查證服務(wù)的專業(yè)組織機(jī)構(gòu)����。網(wǎng)絡(luò)終端用戶可以通過查詢這些公證機(jī)構(gòu)的記錄��,獲得確認(rèn)被訪問網(wǎng)站的名稱���、有效狀態(tài)��、服務(wù)器標(biāo)識(shí)等信息。
四��、內(nèi)部審計(jì)和電子商務(wù)系統(tǒng)審計(jì)
美國注冊(cè)會(huì)計(jì)師協(xié)會(huì)對(duì)“核實(shí)查證”的定義是“提高決策者所需要信息的質(zhì)量或內(nèi)容的獨(dú)立性專業(yè)服務(wù)�����?��!逼鋵徲?jì)原則是保證系統(tǒng)的可用性�、安全性���、真實(shí)完整性和持續(xù)性�,建議對(duì)系統(tǒng)安全性和真實(shí)完整性方面存在的控制點(diǎn)進(jìn)行檢查����、評(píng)價(jià)和測(cè)試。并盡量在今后采用合適的審計(jì)標(biāo)準(zhǔn)對(duì)信息技術(shù)進(jìn)行審計(jì)。不同于以年度為基礎(chǔ)的傳統(tǒng)外部審計(jì)�����,電子商務(wù)的實(shí)時(shí)性要求審計(jì)人員應(yīng)對(duì)其進(jìn)行連續(xù)不斷的評(píng)估�����,按特定的審核標(biāo)準(zhǔn)對(duì)已發(fā)生的交易進(jìn)行追蹤�,而系統(tǒng)內(nèi)設(shè)置的自動(dòng)登錄記錄可作為相應(yīng)的審計(jì)軌跡����,在系統(tǒng)內(nèi)部實(shí)施對(duì)事件監(jiān)督和控制。
盡管當(dāng)前許多人認(rèn)為核實(shí)查證通常與外部審計(jì)人員相關(guān),內(nèi)部審計(jì)人員則在公司內(nèi)部出具審計(jì)報(bào)告。然而,國際內(nèi)部審計(jì)師協(xié)會(huì)對(duì)電子商務(wù)系統(tǒng)審計(jì)的要求則是:審計(jì)控制目標(biāo)主要是審計(jì)財(cái)務(wù)報(bào)告制度�����、經(jīng)營的效益和效率����、合規(guī)性和保護(hù)財(cái)產(chǎn)安全等方面。審計(jì)模式應(yīng)該建立在系統(tǒng)的可用性、容量�、功能�、保護(hù)和可靠性的基礎(chǔ)上���。例如�����,內(nèi)部審計(jì)對(duì)網(wǎng)絡(luò)企業(yè)控制水平的獨(dú)立評(píng)價(jià),使得客戶了解到企業(yè)提供的數(shù)據(jù)將不會(huì)被有意或無意地濫用����。再如�,企業(yè)目標(biāo)是建立電子商務(wù)以降低成本�����、提高市場(chǎng)占有率���,那么電子商務(wù)風(fēng)險(xiǎn)是隨著網(wǎng)絡(luò)交易的增加而增加���,以至于不能確保交易的安全性或分辨用戶的可靠性��,因此,所需要的控制就是對(duì)用戶的真實(shí)性進(jìn)行確認(rèn)以及對(duì)通訊信息進(jìn)行加密�。
電子商務(wù)系統(tǒng)審計(jì)的成功與否在于審計(jì)人員是否掌握相關(guān)的技術(shù)知識(shí)�,了解商業(yè)風(fēng)險(xiǎn)及風(fēng)險(xiǎn)管理策略�,是否有現(xiàn)成的策略隨時(shí)應(yīng)付出現(xiàn)的風(fēng)險(xiǎn)。因此����,作為一個(gè)成功內(nèi)部審計(jì)人員應(yīng)了解企業(yè)的業(yè)務(wù)��,以服務(wù)為宗旨并努力增值��,積極提高專業(yè)技能,關(guān)注系統(tǒng)的效率和效益�����,建立對(duì)電腦領(lǐng)域發(fā)展的職業(yè)敏感性���。
篇3
(Why)隨著被審計(jì)單位經(jīng)濟(jì)業(yè)務(wù)活動(dòng)對(duì)信息系統(tǒng)依賴程度越來越高�,信息系統(tǒng)已經(jīng)逐漸融入各項(xiàng)經(jīng)濟(jì)活動(dòng)當(dāng)中����。但是,信息系統(tǒng)存在的漏洞和缺陷�����、非法舞弊程序��、人為操作錯(cuò)誤����、病毒感染�����、黑客攻擊�、系統(tǒng)故障等導(dǎo)致被審計(jì)單位經(jīng)濟(jì)業(yè)務(wù)數(shù)據(jù)失真的各種風(fēng)險(xiǎn)也在進(jìn)一步加大�,也就是說信息系統(tǒng)本身的安全性、可靠性直接威脅和影響到信息系統(tǒng)所產(chǎn)生經(jīng)濟(jì)業(yè)務(wù)電子數(shù)據(jù)的真實(shí)��、準(zhǔn)確和完整�����。因此�,基于現(xiàn)代風(fēng)險(xiǎn)基礎(chǔ)審計(jì)理論的政府審計(jì)�,必須考慮與經(jīng)濟(jì)業(yè)務(wù)活動(dòng)相關(guān)的信息系統(tǒng)產(chǎn)生的風(fēng)險(xiǎn)因素,突破傳統(tǒng)政府審計(jì)業(yè)務(wù)范圍�,涵蓋信息系統(tǒng)審計(jì)內(nèi)容�����。如果忽視對(duì)信息系統(tǒng)本身的審計(jì),審計(jì)機(jī)關(guān)審計(jì)人員審計(jì)依賴的被審計(jì)電子數(shù)據(jù)的真實(shí)性就會(huì)成為“空中樓閣”����,就有可能出現(xiàn)“假賬真審”的問題。目前,各級(jí)政府部門、企事業(yè)單位為了提高信息化水平,紛紛加大資金投入����,推進(jìn)信息系統(tǒng)建設(shè)�,建立統(tǒng)一數(shù)據(jù)集中平臺(tái)��,信息系統(tǒng)已經(jīng)成為國家的一項(xiàng)投資巨大的重要資產(chǎn)�。這就要求審計(jì)機(jī)關(guān)審計(jì)人員在對(duì)這些機(jī)構(gòu)實(shí)施經(jīng)濟(jì)效益審計(jì)����、績效審計(jì)、經(jīng)濟(jì)責(zé)任審計(jì)等審計(jì)項(xiàng)目時(shí),必須考慮信息系統(tǒng)資產(chǎn)因素,對(duì)信息系統(tǒng)實(shí)施相關(guān)審計(jì),以有效揭示信息系統(tǒng)在安全�、可靠����、合法���、效率����、效果和效益等方面存在的問題,防范信息系統(tǒng)風(fēng)險(xiǎn)�,保障信息系統(tǒng)安全���、可靠運(yùn)行��,促進(jìn)信息系統(tǒng)資源的有效利用,提高信息系統(tǒng)資源運(yùn)用的收益水平。由此�����,在政府審計(jì)項(xiàng)目中,考慮到信息系統(tǒng)的影響因素����,迫切需要大力開展結(jié)合型政府信息系統(tǒng)審計(jì),而不是可審可不審的問題。
二、結(jié)合型政府信息系統(tǒng)審計(jì)的目標(biāo)是什么
(What)信息系統(tǒng)審計(jì)目標(biāo)是信息系統(tǒng)審計(jì)行為的出發(fā)點(diǎn)����,它指明了審計(jì)工作方向����,并指導(dǎo)著信息系統(tǒng)審計(jì)實(shí)踐活動(dòng)(王振武等�����,2011)���。我國政府審計(jì)以維護(hù)國家財(cái)政經(jīng)濟(jì)秩序��,提高財(cái)政資金使用效益,促進(jìn)廉政建設(shè)����,保障國民經(jīng)濟(jì)和社會(huì)健康發(fā)展為職能����,以國家經(jīng)濟(jì)活動(dòng)的真實(shí)性�、合規(guī)性和效益性為總體目標(biāo)。因此,我國政府審計(jì)機(jī)關(guān)實(shí)施的結(jié)合型政府信息系統(tǒng)審計(jì),也應(yīng)遵守真實(shí)����、合規(guī)和效益的根本目標(biāo)���。審計(jì)機(jī)關(guān)審計(jì)人員在各項(xiàng)具體政府審計(jì)項(xiàng)目中���,不能籠統(tǒng)地將一般意義上信息系統(tǒng)審計(jì)的安全性、可靠性����、合法性和有效性目標(biāo)作為結(jié)合型政府信息系統(tǒng)審計(jì)具體目標(biāo)�,這既不符合結(jié)合型政府信息系統(tǒng)審計(jì)的特點(diǎn)和需求�,也不具備實(shí)際可操作性、指導(dǎo)性��。如果信息系統(tǒng)審計(jì)目標(biāo)因素與具體政府審計(jì)項(xiàng)目目標(biāo)不相關(guān)��,將起不到應(yīng)有的作用����,是多余的��、不必要的�����,從成本效益角度來說,是對(duì)審計(jì)資源的浪費(fèi)����。審計(jì)人員應(yīng)避免根據(jù)自己的理解來確定目標(biāo)�����,造成混淆不清。結(jié)合型政府信息系統(tǒng)審計(jì)貫穿于各政府審計(jì)項(xiàng)目之中��,成為審計(jì)全過程的一部分����,其具體審計(jì)目標(biāo)應(yīng)根據(jù)國家審計(jì)機(jī)關(guān)實(shí)施審計(jì)項(xiàng)目預(yù)期要完成的任務(wù)和結(jié)果,即具體政府審計(jì)目標(biāo)���,以及所涉及的信息系統(tǒng)情況等綜合確定�。例如,政府財(cái)政財(cái)務(wù)收支審計(jì)的目標(biāo)是財(cái)政財(cái)務(wù)收支情況的真實(shí)性、合規(guī)性和效益性��,其審計(jì)的數(shù)據(jù)來源于相關(guān)信息系統(tǒng)產(chǎn)生的財(cái)務(wù)電子數(shù)據(jù),而數(shù)據(jù)是否真實(shí)�、完整���,直接依賴于相關(guān)信息系統(tǒng)是否安全��、可靠,由此可以確定政府財(cái)政財(cái)務(wù)收支審計(jì)中信息系統(tǒng)審計(jì)的目標(biāo)是安全性�����、可靠性�����。又如�����,在國有企業(yè)績效審計(jì)中,績效審計(jì)的目標(biāo)是效率性��、效果性和效益性�,雖然信息系統(tǒng)與績效審計(jì)不直接相關(guān),但是信息系統(tǒng)作為企業(yè)的一項(xiàng)重要資產(chǎn)��,且信息系統(tǒng)建設(shè)的投入金額巨大����,因此,在國有企業(yè)績效審計(jì)中也應(yīng)包括信息系統(tǒng)資產(chǎn)的績效審計(jì)����,這就決定了國有企業(yè)績效審計(jì)中信息系統(tǒng)審計(jì)的目標(biāo)應(yīng)該是效率性�����、效果性和效益性����。上述示例也表明,結(jié)合型政府信息系統(tǒng)審計(jì)具體目標(biāo)隨政府審計(jì)項(xiàng)目的不同而存在一定的差異性,也就是說政府審計(jì)具體目標(biāo)的多元性決定了結(jié)合型政府信息系統(tǒng)審計(jì)具體目標(biāo)的多元性,必須根據(jù)具體政府審計(jì)項(xiàng)目綜合確定�����。
三�����、結(jié)合型政府信息系統(tǒng)審計(jì)的重點(diǎn)在哪里
(Where)結(jié)合型政府信息系統(tǒng)審計(jì)的成效取決于審計(jì)機(jī)關(guān)審計(jì)人員對(duì)信息系統(tǒng)審計(jì)重點(diǎn)內(nèi)容的把握程度����。審計(jì)人員應(yīng)該在分析清楚各政府審計(jì)項(xiàng)目中信息系統(tǒng)審計(jì)具體目標(biāo)的基礎(chǔ)之上��,確定信息系統(tǒng)審計(jì)意圖和需要解決的問題����,并根據(jù)“全面審計(jì)�、突出重點(diǎn)”、“先系統(tǒng)本身后系統(tǒng)環(huán)境”的原則確定信息系統(tǒng)審計(jì)重點(diǎn)事項(xiàng)(唐劍,2012)����。此外���,還應(yīng)考慮成本效益原則�����,盡力減少與政府審計(jì)目標(biāo)不相關(guān)的�、多余的、不必要的信息系統(tǒng)審計(jì)內(nèi)容��。
(一)結(jié)合型政府信息系統(tǒng)重點(diǎn)
審計(jì)對(duì)象的選擇被審計(jì)單位一般建立有多個(gè)信息系統(tǒng)����,依據(jù)結(jié)合型政府信息系統(tǒng)審計(jì)的特點(diǎn),不需要也不必要將被審計(jì)單位的所有信息系統(tǒng)納入重點(diǎn)關(guān)注的審計(jì)對(duì)象��,只需要根據(jù)與被審計(jì)業(yè)務(wù)活動(dòng)相關(guān)的程度選擇目標(biāo)信息系統(tǒng)。如何選擇信息系統(tǒng)重點(diǎn)審計(jì)對(duì)象?審計(jì)機(jī)關(guān)審計(jì)人員選擇的主要原則應(yīng)是依據(jù)被審計(jì)單位核心業(yè)務(wù)對(duì)信息系統(tǒng)的依賴性以及被審計(jì)單位信息系統(tǒng)的復(fù)雜性確定需要重點(diǎn)調(diào)查和審計(jì)測(cè)試的信息系統(tǒng)的范圍和深度�����。一般來說����,越高度依賴的信息系統(tǒng),就應(yīng)該作為重點(diǎn)審計(jì)的對(duì)象;越復(fù)雜的信息系統(tǒng),就應(yīng)該擴(kuò)大重點(diǎn)審計(jì)對(duì)象范圍��。例如���,在財(cái)務(wù)收支審計(jì)中�,被審計(jì)單位ERP系統(tǒng)由財(cái)務(wù)、采購、銷售����、庫存�、質(zhì)量�、人力資源等多個(gè)子系統(tǒng)組成,由于財(cái)務(wù)收支數(shù)據(jù)直接依賴于財(cái)務(wù)子系統(tǒng),所以理應(yīng)將其作為審計(jì)的重點(diǎn),然而ERP系統(tǒng)又是一個(gè)集成化的復(fù)雜系統(tǒng)���,審計(jì)人員還應(yīng)擴(kuò)大審計(jì)范圍和深度,需要將ERP系統(tǒng)中系統(tǒng)管理子系統(tǒng)以及其他子系統(tǒng)的基礎(chǔ)設(shè)置、憑證處理等模塊也作為審計(jì)的重點(diǎn)��。
(二)結(jié)合型政府信息系統(tǒng)內(nèi)部控制
測(cè)試重點(diǎn)
內(nèi)容的確定現(xiàn)代風(fēng)險(xiǎn)基礎(chǔ)政府審計(jì)是建立在內(nèi)部控制的測(cè)評(píng)基礎(chǔ)之上�,根據(jù)內(nèi)部控制的符合性測(cè)試結(jié)果實(shí)施業(yè)務(wù)數(shù)據(jù)的實(shí)質(zhì)性測(cè)試。信息系統(tǒng)內(nèi)部控制測(cè)試是對(duì)信息系統(tǒng)內(nèi)部控制的可靠性��、健全性和有效性進(jìn)行的測(cè)試����?���;诮Y(jié)合型政府信息系統(tǒng)審計(jì)的經(jīng)濟(jì)監(jiān)督和重在審計(jì)業(yè)務(wù)數(shù)據(jù)的特點(diǎn),以及政府審計(jì)人員信息技術(shù)能力限制�����,為避免將對(duì)信息系統(tǒng)的審計(jì)引入技術(shù)陷阱(李春青��,2008)��,審計(jì)人員應(yīng)重點(diǎn)選擇信息系統(tǒng)中容易產(chǎn)生數(shù)據(jù)風(fēng)險(xiǎn)的部分,作為信息系統(tǒng)內(nèi)部控制測(cè)試的重點(diǎn)內(nèi)容��。而信息系統(tǒng)的硬件�����、軟件�、應(yīng)用程序�、數(shù)據(jù)、人員�、制度等組成要素中�,對(duì)業(yè)務(wù)數(shù)據(jù)直接產(chǎn)生影響的主要有信息系統(tǒng)數(shù)據(jù)��、應(yīng)用程序��、人員和制度,因此審計(jì)人員在結(jié)合型政府信息系統(tǒng)審計(jì)中應(yīng)選擇信息系統(tǒng)數(shù)據(jù)�����、應(yīng)用程序�����、人員、制度作為審計(jì)測(cè)試的重點(diǎn)����,只在必要的時(shí)候再根據(jù)實(shí)際情況適當(dāng)關(guān)注信息系統(tǒng)的軟硬件環(huán)境����。
(三)信息系統(tǒng)效率�����、效果和效益審計(jì)重點(diǎn)
內(nèi)容的選擇在結(jié)合型政府信息系統(tǒng)審計(jì)中���,對(duì)行政事業(yè)單位����、企業(yè)的效益審計(jì)、績效審計(jì)���、經(jīng)濟(jì)責(zé)任審計(jì)等政府審計(jì)項(xiàng)目中涉及的信息系統(tǒng)效率、效果和效益審計(jì)���,其審計(jì)范疇從屬于政府審計(jì)項(xiàng)目的范疇,只是審計(jì)對(duì)象中包括信息系統(tǒng)資產(chǎn)����。因此�,在這種結(jié)合型政府信息系統(tǒng)審計(jì)中���,審計(jì)機(jī)關(guān)審計(jì)人員審計(jì)信息系統(tǒng)效率���、效果和效益應(yīng)從被審計(jì)單位正在運(yùn)行使用中的信息系統(tǒng)資源的有效利用����、促進(jìn)產(chǎn)品或服務(wù)目標(biāo)實(shí)現(xiàn)�、降低產(chǎn)品或服務(wù)成本和增加產(chǎn)品或服務(wù)收益的角度選擇重點(diǎn)審計(jì)內(nèi)容:(1)效率性審計(jì)應(yīng)重點(diǎn)評(píng)價(jià)使用中的信息系統(tǒng)對(duì)提高被審計(jì)單位勞動(dòng)生產(chǎn)率所作的貢獻(xiàn),如節(jié)省人力、提高人員工作效率等;(2)效果性審計(jì)應(yīng)重點(diǎn)評(píng)價(jià)使用中的信息系統(tǒng)使被審計(jì)單位業(yè)務(wù)、管理和決策等方面得到改善和提升,如滿足業(yè)務(wù)處理需求、促進(jìn)業(yè)務(wù)流程改進(jìn)、增強(qiáng)信息交流與共享��、提升客戶服務(wù)能力����、提高管理決策水平等;(3)效益性審計(jì)應(yīng)重點(diǎn)評(píng)價(jià)使用中的信息系統(tǒng)的資金投入以及產(chǎn)生效益之比,資金投入包括信息系統(tǒng)運(yùn)維資金投入、升級(jí)改造資金投入等方面��,產(chǎn)生效益則可以從降低產(chǎn)品或服務(wù)成本�����、提高資金周轉(zhuǎn)速度���、提高產(chǎn)品或服務(wù)收入��、增強(qiáng)競爭力等方面考慮。
四、結(jié)合型政府信息系統(tǒng)審計(jì)如何實(shí)施
(How)結(jié)合型政府信息系統(tǒng)審計(jì)作為信息系統(tǒng)審計(jì)的一個(gè)特例,兩者在審計(jì)技術(shù)、方法、手段等方面理應(yīng)具有一定的一致性。但是����,審計(jì)機(jī)關(guān)審計(jì)人員在借鑒目前常用信息系統(tǒng)審計(jì)方法的同時(shí)���,需要結(jié)合具體政府審計(jì)項(xiàng)目��,立足審計(jì)人員的信息技術(shù)審計(jì)能力相對(duì)較弱、業(yè)務(wù)審計(jì)能力較強(qiáng)的審計(jì)專長,以審計(jì)人員的業(yè)務(wù)思路和職業(yè)判斷為工作核心(王亞清���,2012),積極探索富有實(shí)效的信息系統(tǒng)審計(jì)與傳統(tǒng)審計(jì)相結(jié)合的方法。
(一)如何做好信息系統(tǒng)審前調(diào)查
在進(jìn)行結(jié)合型政府信息系統(tǒng)審計(jì)調(diào)查時(shí)�����,審計(jì)機(jī)關(guān)審計(jì)人員可以將被審計(jì)信息系統(tǒng)調(diào)查與被審計(jì)項(xiàng)目業(yè)務(wù)調(diào)查結(jié)合進(jìn)行�����,將信息系統(tǒng)調(diào)查作為業(yè)務(wù)調(diào)查的延伸。一方面���,可運(yùn)用詢問法、觀察法��、查閱法�����、調(diào)查表法��、流程圖法等傳統(tǒng)審計(jì)調(diào)查的方法,將被審計(jì)單位業(yè)務(wù)活動(dòng)情況與信息系統(tǒng)情況調(diào)查融合在一起����,一并調(diào)查了解被審計(jì)單位整體和業(yè)務(wù)活動(dòng)情況���、信息系統(tǒng)環(huán)境(如硬件環(huán)境��、軟件環(huán)境�、組成��、結(jié)構(gòu)����、分布等)�����、內(nèi)部控制制度(含信息系統(tǒng)內(nèi)部控制制度)、手工和計(jì)算機(jī)信息系統(tǒng)處理過程(如業(yè)務(wù)流程�����、運(yùn)行流程����、人員操作流程等)及執(zhí)行情況;另一方面���,可運(yùn)用計(jì)算機(jī)輔助審計(jì)方法獲取被審計(jì)業(yè)務(wù)電子數(shù)據(jù),調(diào)查了解被審計(jì)信息系統(tǒng)數(shù)據(jù)處理情況等����。兩種方法相互補(bǔ)充�����,既能全面了解被審計(jì)單位業(yè)務(wù)活動(dòng)情況,又能夠摸清被審計(jì)單位信息系統(tǒng)基本運(yùn)作情況�����,實(shí)現(xiàn)信息系統(tǒng)審計(jì)調(diào)查與整個(gè)審計(jì)工作調(diào)查的銜接����,從而確保審計(jì)調(diào)查的效率、質(zhì)量�。
(二)如何做好信息系統(tǒng)內(nèi)部控制測(cè)試
在結(jié)合型政府信息系統(tǒng)審計(jì)中���,審計(jì)機(jī)關(guān)審計(jì)人員可運(yùn)用熟悉的傳統(tǒng)審計(jì)測(cè)試方法����,輔以計(jì)算機(jī)輔助審計(jì)測(cè)試方法對(duì)前述確定的信息系統(tǒng)數(shù)據(jù)�����、應(yīng)用程序、人員、制度等重點(diǎn)內(nèi)容進(jìn)行審計(jì)測(cè)試����。具體可采用:(1)傳統(tǒng)審計(jì)方法��。通常可采用詢問法、觀察法、檢查法��、核對(duì)法�����、比較法�����、數(shù)據(jù)分析法等方法。如:詢問或觀察職責(zé)分離制度�、人員操作制度����、運(yùn)行維護(hù)制度的執(zhí)行情況�;觀察有關(guān)人員對(duì)信息系統(tǒng)訪問是否設(shè)定口令、系統(tǒng)操作是否違反職責(zé)分離原則;查閱系統(tǒng)日志文件�、操作記錄�����,查看系統(tǒng)中是否有非法訪問記錄和報(bào)告��,有無未經(jīng)授權(quán)的用戶操作系統(tǒng);觀察��、檢查系統(tǒng)功能設(shè)置����、程序化控制����、權(quán)限設(shè)置、系統(tǒng)參數(shù)配置等是否合理、有效���,如權(quán)限設(shè)置是否符合職權(quán)要求,人員崗位變動(dòng)或離職前是否及時(shí)進(jìn)行權(quán)限鎖定或刪除,客戶數(shù)據(jù)是否進(jìn)行唯一性檢驗(yàn),財(cái)務(wù)軟件是否存在反結(jié)賬���、反記賬等功能;核對(duì)、比較原始憑證與數(shù)據(jù)庫憑證文件數(shù)據(jù)的一致性�,以測(cè)試憑證數(shù)據(jù)輸入控制的有效性�����;對(duì)數(shù)據(jù)庫文件數(shù)據(jù)采用數(shù)據(jù)分析法,如分析數(shù)據(jù)文件中操作員代碼、數(shù)據(jù)異常值���、數(shù)據(jù)間的關(guān)聯(lián)關(guān)系、數(shù)據(jù)間的平衡或合計(jì)關(guān)系等審查是否存在非法用戶或越權(quán)操作、參數(shù)設(shè)置的有效性、數(shù)據(jù)處理是否存在錯(cuò)誤等以測(cè)試數(shù)據(jù)處理控制的有效性�����,也可通過數(shù)據(jù)分析反推系統(tǒng)中存在的非法功能和漏洞����,等等。(2)計(jì)算機(jī)輔助測(cè)試方法。通?���?刹捎糜?jì)算機(jī)數(shù)據(jù)審計(jì)軟件工具���、整體測(cè)試法�����、平行模擬法����、虛擬實(shí)體法、受控處理法等方法����。如利用計(jì)算機(jī)審計(jì)軟件(OA)�、數(shù)據(jù)庫管理系統(tǒng)(Access��、Sqlserver)���、Excel等獲取和分析被審計(jì)信息系統(tǒng)數(shù)據(jù)輸入�、處理�����、輸出控制��;運(yùn)用整體測(cè)試法、平行模擬法�、虛擬實(shí)體法���、受控處理法等方法(張瑜���,2012)���,測(cè)試系統(tǒng)的處理和控制功能是否恰當(dāng)�、可靠�����,接口程序是否存在缺陷等�����。除此以外,對(duì)于信息系統(tǒng)硬件���、軟件、網(wǎng)絡(luò)安全等方面內(nèi)部控制測(cè)試��,由于其技術(shù)性較強(qiáng)����,審計(jì)人員可重點(diǎn)從系統(tǒng)管理的視角著手。一般采用面談法��、詢問法���、觀察法�、測(cè)試軟件等,重點(diǎn)審查計(jì)算機(jī)安全和管理制度的執(zhí)行情況���、是否建立安全認(rèn)證機(jī)制、是否建立針對(duì)系統(tǒng)故障的應(yīng)急安全機(jī)制����、軟硬件來源的合法性��,觀察硬件是否進(jìn)行有效的保養(yǎng)、隔離���,查看系統(tǒng)是否安裝防火墻、安裝防病毒軟件����、定期檢測(cè)和清除計(jì)算機(jī)病毒�,利用漏洞掃描工具和網(wǎng)絡(luò)檢測(cè)診斷工具等對(duì)網(wǎng)絡(luò)環(huán)境進(jìn)行測(cè)試和評(píng)估����。
(三)如何做好信息系統(tǒng)效率����、效果與效益審計(jì)
對(duì)于結(jié)合型政府信息系統(tǒng)審計(jì)中的效率、效果與效益性審計(jì)�����,應(yīng)遵循可操作��、實(shí)用性原則����,審計(jì)機(jī)關(guān)審計(jì)人員可通過詢問��、觀察����、查閱資料���、發(fā)放調(diào)查表和比較分析等方法����,重點(diǎn)了解信息系統(tǒng)的各項(xiàng)功能在被審計(jì)單位日常工作過程中的使用情況,了解信息系統(tǒng)功能設(shè)置能否滿足系統(tǒng)目標(biāo),了解信息系統(tǒng)保障被審計(jì)單位信息資源共享�����、業(yè)務(wù)有效開展和履行情況���,了解信息系統(tǒng)運(yùn)維成本和效益并進(jìn)行定量化分析處理���,對(duì)比被審計(jì)單位信息系統(tǒng)規(guī)劃�、運(yùn)營目標(biāo),運(yùn)用一定的評(píng)價(jià)方法(如平衡計(jì)分卡法、層次分析法�����、模糊綜合法等)(張靜等���,2011)進(jìn)行評(píng)價(jià)�����,給出審計(jì)結(jié)論和審計(jì)建議�。就目前來說�,信息系統(tǒng)的效率、效果和效益審計(jì)在我國仍然處于理論和實(shí)踐探索階段,缺少規(guī)范的指導(dǎo),缺乏完善的評(píng)價(jià)指標(biāo)體系�����,因此�����,如何科學(xué)��、準(zhǔn)確地評(píng)價(jià)信息系統(tǒng)的效率、效果和效益����,仍然存在不小的難度���。
五、結(jié)束語
篇4
20世紀(jì)60年代����,隨著計(jì)算機(jī)技術(shù)開始運(yùn)用于企業(yè)的信息收集和整理中����,會(huì)計(jì)信息處理逐漸無紙化�����,促使審計(jì)人員在執(zhí)行傳統(tǒng)審計(jì)業(yè)務(wù)時(shí)�,必須關(guān)注以電子數(shù)據(jù)為載體的電子數(shù)據(jù)處理審計(jì)���。20世紀(jì)70年代中期至80年代���,電子數(shù)據(jù)處理和管理系統(tǒng)等在企業(yè)中逐漸普及�����,同時(shí)�����,計(jì)算機(jī)犯罪和計(jì)算機(jī)系統(tǒng)失效的事件頻頻發(fā)生,使得信息系統(tǒng)審計(jì)日益得到重視并迅速發(fā)展���。美國、日本先后成立了IT審計(jì)方面的協(xié)會(huì)組織����,從事對(duì)IT審計(jì)規(guī)則的制定和實(shí)施指導(dǎo)��。20世紀(jì)90年代����,信息和信息系統(tǒng)已成為企業(yè)的重要資產(chǎn),企業(yè)和社會(huì)對(duì)信息系統(tǒng)控制和審計(jì)的需求愈發(fā)強(qiáng)烈��。發(fā)達(dá)國家的信息系統(tǒng)審計(jì)進(jìn)入普及期��,許多國家的審計(jì)機(jī)關(guān)��、學(xué)者和組織對(duì)計(jì)算機(jī)環(huán)境下的信息系統(tǒng)審計(jì)進(jìn)行了有益的探索。同時(shí),東南亞各國也逐漸認(rèn)識(shí)到信息系統(tǒng)審計(jì)的重要性�����,開始著手研究信息系統(tǒng)審計(jì)理論和實(shí)務(wù)。
目前�����,我國信息系統(tǒng)審計(jì)僅有十幾年的歷史��,尚處于探索階段��,既缺乏開展信息系統(tǒng)審計(jì)業(yè)務(wù)的人才隊(duì)伍,也沒有形成專業(yè)規(guī)范體系�,所進(jìn)行的一些計(jì)算機(jī)審計(jì)方面的探索和嘗試以及計(jì)算機(jī)審計(jì)軟件的開發(fā)和應(yīng)用還大都停留在對(duì)被審計(jì)單位電子數(shù)據(jù)進(jìn)行處理的階段���。存在的主要問題有:信息系統(tǒng)審計(jì)觀念落后�;信息系統(tǒng)審計(jì)相關(guān)的準(zhǔn)則�����、標(biāo)準(zhǔn)和規(guī)范尚不完善�����;信息系統(tǒng)審計(jì)專業(yè)人才匱乏�����;信息系統(tǒng)審計(jì)軟件開發(fā)工作滯后�。1997年����,廣州地鐵開始公司“信息化”建設(shè)。最初,廣州地鐵經(jīng)營審計(jì)采用“繞過計(jì)算機(jī)審計(jì)”的方法����,即對(duì)導(dǎo)出數(shù)據(jù)進(jìn)行審計(jì)�。審計(jì)過程中�,其逐漸意識(shí)到了運(yùn)用這種“黑箱原理”審計(jì)方法的風(fēng)險(xiǎn)。因此,2006年公司組建了專門的IT審計(jì)模塊����,探索“如何利用計(jì)算機(jī)審計(jì)”和“通過計(jì)算機(jī)審計(jì)”����。其后�,廣州地鐵信息系統(tǒng)審計(jì)發(fā)展經(jīng)歷了借力、助力和自立三個(gè)階段。一是借力期:IT審計(jì)模塊成立初期,公司與外部顧問共同開展IT審計(jì)項(xiàng)目��,通過外部專業(yè)人員向?qū)徲?jì)人員傳輸IT審計(jì)技能����,同時(shí)制定《IT審計(jì)實(shí)施細(xì)則》,在人員技能儲(chǔ)備和制度上為IT審計(jì)模塊的發(fā)展奠定了基礎(chǔ)。二是助力期:審計(jì)人員參照審計(jì)手冊(cè),利用從外部顧問處學(xué)習(xí)到的審計(jì)技能,逐步開展信息系統(tǒng)審計(jì)工作�����,將IT審計(jì)工作模式調(diào)整為以自身力量為主�,外部咨詢服務(wù)為輔的模式。三是自立期:2009年,廣州地鐵IT審計(jì)已基本實(shí)現(xiàn)自主化��,且IT審計(jì)模塊逐步走向成熟����,同時(shí)其還建立了具有自身特色的信息系統(tǒng)審計(jì)框架�����。目前��,IT審計(jì)已經(jīng)發(fā)展成為廣州地鐵內(nèi)部審計(jì)的一根“支柱”,連同“內(nèi)控審計(jì)”�����,作為基本的審計(jì)手段貫穿于各類專業(yè)審計(jì)工作中���,支持審計(jì)體系的鞏固與發(fā)展�。
二�����、信息系統(tǒng)審計(jì)內(nèi)容
1、國內(nèi)外關(guān)于信息系統(tǒng)審計(jì)內(nèi)容的研究
開展信息系統(tǒng)審計(jì)首先要明確審計(jì)內(nèi)容���。國際信息系統(tǒng)審計(jì)協(xié)會(huì)規(guī)定,信息系統(tǒng)審計(jì)的主要內(nèi)容包括信息系統(tǒng)程序?qū)徲?jì)、信息技術(shù)(IT)治理����、系統(tǒng)生命周期管理�����、IT服務(wù)的交付與支持、信息資產(chǎn)的保護(hù)、災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃�。近十幾年來�,國內(nèi)的學(xué)者和組織也對(duì)信息系統(tǒng)審計(jì)的內(nèi)容進(jìn)行了探索和研究���。審計(jì)署在2012年頒布的《信息系統(tǒng)審計(jì)指南———計(jì)算機(jī)審計(jì)實(shí)務(wù)公告第34號(hào)》中明確提出了:信息系統(tǒng)審計(jì)包括對(duì)應(yīng)用控制��、一般控制和項(xiàng)目管理的審計(jì)。其中���,應(yīng)用控制包括信息系統(tǒng)業(yè)務(wù)流程,數(shù)據(jù)輸入���、處理和輸出的控制,信息共享和業(yè)務(wù)協(xié)同���;一般控制包括信息系統(tǒng)總體控制、信息安全技術(shù)控制�����、信息安全管理控制�����;項(xiàng)目管理包括信息系統(tǒng)建設(shè)的經(jīng)濟(jì)性��、信息系統(tǒng)建設(shè)管理、信息系統(tǒng)績效��。上述具有代表性的規(guī)定和研究成果對(duì)信息系統(tǒng)審計(jì)內(nèi)容的劃分���,均是以對(duì)信息系統(tǒng)邏輯結(jié)構(gòu)的分析為基礎(chǔ)��。全面分析信息系統(tǒng)的邏輯結(jié)構(gòu)���,可從信息系統(tǒng)的構(gòu)成要素����、信息系統(tǒng)生命周期和信息系統(tǒng)管理三個(gè)維度進(jìn)行描述:從構(gòu)成要素來看��,信息系統(tǒng)由人員、應(yīng)用(包括軟件平臺(tái)和應(yīng)用系統(tǒng))、所采用的技術(shù)、硬件設(shè)備、數(shù)據(jù)文件運(yùn)行規(guī)則組成���;信息系統(tǒng)生命周期可劃分為信息系統(tǒng)的規(guī)劃階段、開發(fā)階段、運(yùn)行維護(hù)階段和更新階段;從信息系統(tǒng)管理的維度來看����,對(duì)系統(tǒng)的管理與控制活動(dòng)貫穿于信息系統(tǒng)生命周期的始終���,主要是通過有效執(zhí)行一系列健全有效的規(guī)章制度和管理規(guī)程來實(shí)現(xiàn)���。
2�����、廣州地鐵信息系統(tǒng)審計(jì)實(shí)施框架
結(jié)合廣州地鐵信息化項(xiàng)目多、系統(tǒng)更新快�、數(shù)據(jù)集成度高����、系統(tǒng)控制與手工控制并重等特點(diǎn)����,圍繞信息系統(tǒng)構(gòu)成要素��、信息系統(tǒng)生命周期和信息系統(tǒng)管理三個(gè)維度,廣州地鐵將信息系統(tǒng)審計(jì)的內(nèi)容劃分為整體計(jì)算機(jī)控制審計(jì)���、應(yīng)用控制審計(jì)和系統(tǒng)建設(shè)效能評(píng)價(jià)三個(gè)方面。其中�����,整體計(jì)算機(jī)控制審計(jì)是對(duì)信息系統(tǒng)運(yùn)行中的控制活動(dòng)進(jìn)行審計(jì)���,目的是合理保證由信息系統(tǒng)支持的業(yè)務(wù)流程控制是可靠的���、生成的數(shù)據(jù)和報(bào)告是可信的���。應(yīng)用系統(tǒng)控制審計(jì)是對(duì)業(yè)務(wù)流程中的自動(dòng)化控制活動(dòng)進(jìn)行審計(jì)����,以合理保證交易的有效性�����、經(jīng)適當(dāng)授權(quán)和記錄��、完成的完整性、準(zhǔn)確性和及時(shí)性。項(xiàng)目及系統(tǒng)績效審計(jì)是對(duì)信息化項(xiàng)目的過程及成果對(duì)企業(yè)和業(yè)務(wù)產(chǎn)生的效益進(jìn)行審計(jì)���,用來合理保證信息化項(xiàng)目的投資/產(chǎn)出比例符合建設(shè)的目標(biāo),以及信息系統(tǒng)對(duì)企業(yè)戰(zhàn)略起到的預(yù)期的支撐作用。圍繞上述三個(gè)方面,廣州地鐵內(nèi)部審計(jì)確立了以下的實(shí)施框架���。
(1)確立整體計(jì)算機(jī)控制安全、操作、變更的三個(gè)評(píng)價(jià)維度��,圍繞“信息系統(tǒng)全生命周期”�,明確整體計(jì)算機(jī)控制十個(gè)流程。
廣州地鐵通過學(xué)習(xí)和借鑒國際信息系統(tǒng)技術(shù)管理和控制標(biāo)準(zhǔn)COBIT,建立起了一套自己的整體計(jì)算機(jī)控制審計(jì)框架。框架可按流程和控制類型兩種方式進(jìn)行劃分����,兩種劃分方式在本質(zhì)上是一致的����。在按流程劃分出的每個(gè)子流程中��,信息系統(tǒng)審計(jì)人員需要從變更、安全�����、操作的角度去確認(rèn)和評(píng)估具體的控制點(diǎn)���;在按控制職能所作的劃分中�����,審計(jì)人員需要圍繞信息系統(tǒng)的策略與計(jì)劃�����、信息系統(tǒng)操作、與外部供應(yīng)商關(guān)系���、業(yè)務(wù)可持續(xù)計(jì)劃、應(yīng)用系統(tǒng)開發(fā)�、數(shù)據(jù)庫��、軟件支持、網(wǎng)絡(luò)��、硬件等十個(gè)子流程進(jìn)行審計(jì)���。圍繞安全���、變更���、操作三個(gè)角度及十個(gè)子流程,廣州地鐵共梳理出有關(guān)整體計(jì)算機(jī)控制的41項(xiàng)審計(jì)內(nèi)容�����,并針對(duì)每一項(xiàng)內(nèi)容明確了控制目標(biāo)和風(fēng)險(xiǎn)��,建立起了一套完整的整體計(jì)算機(jī)控制矩陣。例如���,信息系統(tǒng)策略和計(jì)劃子流程中,廣州地鐵明確了整體計(jì)算機(jī)控制的三大目標(biāo)———信息系統(tǒng)戰(zhàn)略���、規(guī)劃和預(yù)算應(yīng)與實(shí)際業(yè)務(wù)和戰(zhàn)略目標(biāo)保持一致,計(jì)算機(jī)處理環(huán)境應(yīng)得到具有適當(dāng)技能和經(jīng)驗(yàn)的人員的充分支持和保證�����,以及計(jì)算機(jī)處理環(huán)境中的人員應(yīng)接受適當(dāng)?shù)呐嘤?xùn)�����,審計(jì)人員在此基礎(chǔ)上針對(duì)各控制目標(biāo)�,識(shí)別并歸納出廣州地鐵現(xiàn)行的9個(gè)控制活動(dòng)���。在具體開展信息系統(tǒng)整體計(jì)算機(jī)控制審計(jì)時(shí)���,信息系統(tǒng)審計(jì)人員根據(jù)審計(jì)項(xiàng)目的特點(diǎn)和要求�����,選擇需要評(píng)價(jià)的子流程����,再對(duì)照子流程的控制活動(dòng)進(jìn)行評(píng)估及測(cè)試即可��。
(2)從內(nèi)部控制目標(biāo)出發(fā)��,將信息系統(tǒng)應(yīng)用控制劃分為訪問控制、完整性控制及數(shù)據(jù)質(zhì)量控制三大方面����。
廣州地鐵將信息系統(tǒng)的應(yīng)用控制劃分為應(yīng)用系統(tǒng)訪問控制、流程和系統(tǒng)完整性控制以及數(shù)據(jù)質(zhì)量控制三大類,并針對(duì)各類控制分別設(shè)計(jì)了不同的審計(jì)內(nèi)容���。一是應(yīng)用系統(tǒng)授權(quán)訪問控制審計(jì)包括對(duì)系統(tǒng)的認(rèn)證方式、授權(quán)機(jī)制���、權(quán)限的分配管理以及不相容職責(zé)分離在系統(tǒng)中的實(shí)現(xiàn)情況的審計(jì),目的在于保證經(jīng)過允許的人才能訪問和操作系統(tǒng)。二是流程和系統(tǒng)完整性控制審計(jì)是對(duì)系統(tǒng)輸入、處理����、輸出以及接口等各種系統(tǒng)運(yùn)行規(guī)則的審計(jì)���,用以保證所有經(jīng)允許處理的數(shù)據(jù)均轉(zhuǎn)換到介質(zhì)上并被處理�,且處理的結(jié)果可通過適當(dāng)?shù)姆绞郊右暂敵?����,所有輸入�����、轉(zhuǎn)換、處理和輸出均在正常的時(shí)間內(nèi)準(zhǔn)確地進(jìn)行。三是數(shù)據(jù)質(zhì)量控制審計(jì)則是指對(duì)信息系統(tǒng)中的數(shù)據(jù)的完整性���、規(guī)范性和有效性所進(jìn)行的審計(jì),旨在保證所有系統(tǒng)的輸出均反映為經(jīng)批準(zhǔn)的有效的經(jīng)濟(jì)業(yè)務(wù),所有經(jīng)過系統(tǒng)的數(shù)據(jù)真實(shí)�����、有效�����,且能滿足企業(yè)各項(xiàng)業(yè)務(wù)的使用要求���。
(3)圍繞“信息化項(xiàng)目”和“信息系統(tǒng)”�����,綜合評(píng)價(jià)信息化建設(shè)的效益。
在開展整體計(jì)算機(jī)控制審計(jì)和應(yīng)用控制審計(jì)的基礎(chǔ)上,廣州地鐵從企業(yè)經(jīng)營和投資效益的視角出發(fā),在信息系統(tǒng)審計(jì)中引入了3E審計(jì)的概念,嘗試對(duì)信息系統(tǒng)建設(shè)項(xiàng)目的成效��、建成后系統(tǒng)的應(yīng)用效能以及信息化對(duì)戰(zhàn)略的支撐效果進(jìn)行審計(jì)�����。為了全面評(píng)價(jià)項(xiàng)目��,廣州地鐵通常將對(duì)單個(gè)信息系統(tǒng)建設(shè)項(xiàng)目的合規(guī)性審計(jì)與項(xiàng)目效能審計(jì)結(jié)合在一起開展。一是信息系統(tǒng)建設(shè)成效審計(jì)旨在通過對(duì)系統(tǒng)建設(shè)全過程的審計(jì),促進(jìn)信息系統(tǒng)的建設(shè)規(guī)范性�,提高信息系統(tǒng)建設(shè)的質(zhì)量���。二是信息系統(tǒng)應(yīng)用效能審計(jì)包括對(duì)業(yè)務(wù)需求的實(shí)現(xiàn)情況�����、建成功能的使用情況的審計(jì)分析,以及對(duì)系統(tǒng)應(yīng)用對(duì)業(yè)務(wù)管理規(guī)范化���、標(biāo)準(zhǔn)化和精細(xì)化提升作用的綜合評(píng)價(jià),目的在于促進(jìn)系統(tǒng)使用價(jià)值的最大化�����,減少系統(tǒng)建設(shè)的投資浪費(fèi)��。三是戰(zhàn)略支撐效果審計(jì)是從支持戰(zhàn)略實(shí)現(xiàn)的角度�����,評(píng)價(jià)信息系統(tǒng)的建設(shè)效益�����,保證信息化建設(shè)在符合業(yè)務(wù)管理要求的同時(shí)��,符合公司戰(zhàn)略的需要,支持公司戰(zhàn)略的實(shí)現(xiàn)�����。
三�����、信息系統(tǒng)審計(jì)實(shí)施步驟
信息系統(tǒng)審計(jì)步驟(或流程)��,是審計(jì)工作從開始到結(jié)束的整個(gè)過程。信息系統(tǒng)審計(jì)流程一般可劃分為四個(gè)階段:計(jì)劃階段���、實(shí)施階段、報(bào)告階段和后續(xù)階段����。計(jì)劃階段是信息系統(tǒng)審計(jì)流程的起點(diǎn)��,此階段的主要工作包括了解被審計(jì)系統(tǒng)的基本情況,初步評(píng)價(jià)被審計(jì)單位信息系統(tǒng)的內(nèi)部控制和外部控制����,識(shí)別重要性和編制審計(jì)計(jì)劃��。實(shí)施階段是根據(jù)計(jì)劃階段確定的審計(jì)范圍、重點(diǎn)��、步驟和方法進(jìn)行有針對(duì)性的取證���、評(píng)價(jià)���,并形成審計(jì)結(jié)論的過程����。實(shí)施階段是信息系統(tǒng)審計(jì)工作的核心,主要由符合性測(cè)試和實(shí)質(zhì)性測(cè)試兩個(gè)部分構(gòu)成����。在報(bào)告階段�,信息系統(tǒng)審計(jì)人員需運(yùn)用專業(yè)判斷��,整理���、評(píng)價(jià)收集到的審計(jì)證據(jù)���,以經(jīng)過核實(shí)的審計(jì)證據(jù)為依據(jù)����,形成審計(jì)意見���,出具審計(jì)報(bào)告��。審計(jì)報(bào)告的出具并不意味著信息系統(tǒng)審計(jì)工作的終結(jié)�����。根據(jù)國際信息系統(tǒng)審計(jì)標(biāo)準(zhǔn),信息系統(tǒng)審計(jì)人員對(duì)于系統(tǒng)中發(fā)現(xiàn)的重大問題和漏洞����,需要對(duì)被審計(jì)單位所采取的糾正措施及其效果進(jìn)行后續(xù)審計(jì)。審計(jì)人員需要將后續(xù)審計(jì)納入計(jì)劃,并安排必要的人員和時(shí)間進(jìn)行后續(xù)審計(jì)�����。廣州地鐵IT審計(jì)模塊成立之初�,即明確了IT審計(jì)“對(duì)公司的系統(tǒng)流程與控制、項(xiàng)目進(jìn)行審計(jì)”和“提供有益于增加公司價(jià)值的咨詢服務(wù)”兩項(xiàng)核心職責(zé),并圍繞公司戰(zhàn)略��,以“風(fēng)險(xiǎn)導(dǎo)向”��、“服務(wù)戰(zhàn)略”理念為指導(dǎo)����,從信息系統(tǒng)審計(jì)戰(zhàn)略規(guī)劃和具體項(xiàng)目執(zhí)行兩個(gè)層面分別制定信息系統(tǒng)審計(jì)的流程�。
1、以公司戰(zhàn)略為導(dǎo)向,制定信息系統(tǒng)審計(jì)的戰(zhàn)略規(guī)劃
一直以來����,廣州地鐵奉行“源于戰(zhàn)略�����、服務(wù)于戰(zhàn)略”的現(xiàn)代審計(jì)理念。這一理念主要體現(xiàn)在兩個(gè)方面:一是在制定內(nèi)審工作計(jì)劃時(shí),從公司戰(zhàn)略出發(fā),制定各個(gè)內(nèi)審業(yè)務(wù)及各專業(yè)審計(jì)模塊的戰(zhàn)略�,并以業(yè)務(wù)戰(zhàn)略為指導(dǎo)���,開展具體的審計(jì)工作��;二是在開展審計(jì)項(xiàng)目的過程中,始終從保障公司戰(zhàn)略執(zhí)行的角度去發(fā)現(xiàn)問題、評(píng)價(jià)問題��,提出整改意見和落實(shí)整改�。信息系統(tǒng)審計(jì)的戰(zhàn)略規(guī)劃來源于公司的戰(zhàn)略,以及以公司戰(zhàn)略指導(dǎo)制定的公司信息系統(tǒng)戰(zhàn)略規(guī)劃和內(nèi)部審計(jì)業(yè)務(wù)戰(zhàn)略規(guī)劃;同時(shí)還須結(jié)合公司信息化現(xiàn)狀和IT審計(jì)模塊定位���,明確廣州地鐵IT審計(jì)發(fā)展戰(zhàn)略目標(biāo)。
2、通過風(fēng)險(xiǎn)評(píng)估���,確定各信息系統(tǒng)風(fēng)險(xiǎn)等級(jí)�����,制定層次分明���、重點(diǎn)突出的信息系統(tǒng)循環(huán)審計(jì)計(jì)劃
為利用有限的審計(jì)資源掌握公司主要信息系統(tǒng)的建設(shè)�、運(yùn)營情況�,保障信息資源的有效利用,降低公司信息系統(tǒng)的整體風(fēng)險(xiǎn)��,廣州地鐵建立了一套“根據(jù)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)級(jí)制定差異化的審計(jì)策略”�����。
(1)梳理信息系統(tǒng)脈絡(luò)�,全面掌握信息系統(tǒng)現(xiàn)狀。
廣州地鐵結(jié)合信息系統(tǒng)規(guī)劃�����、建設(shè)和運(yùn)營的情況及系統(tǒng)分類梳理出被審計(jì)信息系統(tǒng)清單�,并從系統(tǒng)構(gòu)成要素的角度收集系統(tǒng)相關(guān)的信息。這些信息包括系統(tǒng)名稱、功能模塊、采用產(chǎn)品等基本信息��,以及項(xiàng)目的建設(shè)信息�����、系統(tǒng)的使用狀況和運(yùn)維的基本情況���。這些信息是風(fēng)險(xiǎn)評(píng)分的依據(jù)��,也為后續(xù)開展具體審計(jì)工作時(shí)確定審計(jì)方案提供了指引。
(2)開展信息系統(tǒng)風(fēng)險(xiǎn)評(píng)級(jí),制定風(fēng)險(xiǎn)導(dǎo)向型審計(jì)計(jì)劃���。
內(nèi)審人員從通用風(fēng)險(xiǎn)����、業(yè)務(wù)風(fēng)險(xiǎn)、項(xiàng)目風(fēng)險(xiǎn)���、系統(tǒng)風(fēng)險(xiǎn)、數(shù)據(jù)風(fēng)險(xiǎn)和人員風(fēng)險(xiǎn)六大風(fēng)險(xiǎn)類別出發(fā)���,全面識(shí)別信息系統(tǒng)各類構(gòu)成要素中存在的風(fēng)險(xiǎn);對(duì)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)價(jià)�����,根據(jù)風(fēng)險(xiǎn)得分將信息系統(tǒng)按優(yōu)先級(jí)分別劃分為高���、中�����、低三類����。結(jié)合公司IT審計(jì)資源的情況����,對(duì)優(yōu)先等級(jí)高的系統(tǒng)采用三年一審策略,中等級(jí)系統(tǒng)5—6年一個(gè)審計(jì)周期�,風(fēng)險(xiǎn)等級(jí)低的系統(tǒng)則根據(jù)需要安排審計(jì)�����。在此審計(jì)策略的基礎(chǔ)上,再綜合考慮公司業(yè)務(wù)的十大風(fēng)險(xiǎn)��、領(lǐng)導(dǎo)關(guān)注事項(xiàng)�����、上一年度內(nèi)控評(píng)價(jià)結(jié)果和審計(jì)項(xiàng)目成果、公司新一年的工作重點(diǎn)、公司信息系統(tǒng)的變動(dòng)情況���,并制定出本年度的信息系統(tǒng)審計(jì)計(jì)劃。
3、以風(fēng)險(xiǎn)為導(dǎo)向�,開展信息系統(tǒng)審計(jì)
在項(xiàng)目實(shí)施階段��,審計(jì)人員必須從公司整體信息系統(tǒng)控制環(huán)境和被審計(jì)系統(tǒng)的狀況、流程與內(nèi)部控制兩個(gè)方面進(jìn)一步收集被審計(jì)系統(tǒng)的相關(guān)資料,了解和確認(rèn)被審計(jì)單位已建立的內(nèi)部控制措施,并對(duì)這些控制措施的設(shè)計(jì)是否達(dá)到控制目標(biāo)進(jìn)行評(píng)估。
(1)以“輪流循環(huán)+以點(diǎn)帶面”的方式開展整體計(jì)算機(jī)控制審計(jì)�。
公司的信息化業(yè)務(wù)采用統(tǒng)一集中管理的模式����,整體計(jì)算機(jī)控制對(duì)各個(gè)系統(tǒng)具有一定的通用性����。因此,在實(shí)務(wù)操作中,廣州地鐵采用“以點(diǎn)帶面”的策略�����,以單個(gè)信息系統(tǒng)整體計(jì)算機(jī)控制為切入點(diǎn)對(duì)整體計(jì)算機(jī)控制進(jìn)行審計(jì),評(píng)價(jià)整體信息系統(tǒng)的安全性�����;同時(shí)��,考慮到信息系統(tǒng)在一定時(shí)間內(nèi)相對(duì)穩(wěn)定����,因此在實(shí)施整體計(jì)算機(jī)控制審計(jì)時(shí)可采取輪流測(cè)試的方式����,即每年從十個(gè)子流程中選取幾個(gè)進(jìn)行測(cè)試����,經(jīng)過一定周期后,完成對(duì)整體計(jì)算機(jī)控制的全面審計(jì)。例如���,在2011年開展的信息安全審計(jì)項(xiàng)目中,審計(jì)人員就圍繞信息安全這個(gè)審計(jì)主題��,從十個(gè)子流程中選取了與信息安全直接相關(guān)的信息系統(tǒng)操作��、信息系統(tǒng)安全����、業(yè)務(wù)可持續(xù)計(jì)劃�����、應(yīng)用系統(tǒng)開發(fā)與實(shí)施����、數(shù)據(jù)庫開發(fā)與實(shí)施和系統(tǒng)軟件支持等六個(gè)流程進(jìn)行審計(jì)��。分步��、循環(huán)開展整體計(jì)算機(jī)審計(jì),在審計(jì)風(fēng)險(xiǎn)可控的情況下,大大節(jié)省了審計(jì)資源���,也使得審計(jì)人員能夠更加深入地挖掘和分析整體計(jì)算機(jī)控制方面所存在問題以及問題的成因,提出更為切實(shí)可行、同時(shí)又符合公司信息化業(yè)務(wù)發(fā)展現(xiàn)狀和要求的整改措施�。
(2)以風(fēng)險(xiǎn)為著眼點(diǎn)��,確定應(yīng)用控制審計(jì)重點(diǎn)。
應(yīng)用控制是各個(gè)信息系統(tǒng)內(nèi)部所建立的控制機(jī)制,應(yīng)用控制審計(jì)必須針對(duì)某個(gè)具體信息系統(tǒng)開展����。在開展應(yīng)用控制審計(jì)的過程中,審計(jì)人員應(yīng)緊緊圍繞“風(fēng)險(xiǎn)”這個(gè)著眼點(diǎn)�����,通過對(duì)原有業(yè)務(wù)成熟度和系統(tǒng)建設(shè)過程中風(fēng)險(xiǎn)的評(píng)估���,選擇不同的審計(jì)側(cè)重點(diǎn)開展應(yīng)用控制審計(jì)����。例如,在合同管理系統(tǒng)審計(jì)項(xiàng)目中��,由于合同管理系統(tǒng)是全新開發(fā)的系統(tǒng)�,審計(jì)人員經(jīng)分析,判定系統(tǒng)在應(yīng)用系統(tǒng)訪問控制方面的風(fēng)險(xiǎn)較高�。而在進(jìn)行控制評(píng)估和測(cè)試后����,審計(jì)人員發(fā)現(xiàn)業(yè)務(wù)人員在創(chuàng)建系統(tǒng)權(quán)限設(shè)置機(jī)制時(shí)完全套用了公司辦公自動(dòng)化系統(tǒng)的權(quán)限機(jī)制���,而未針對(duì)合同業(yè)務(wù)流程中不同于公司組織架構(gòu)下的角色設(shè)立相應(yīng)的用戶組���,導(dǎo)致系統(tǒng)無法實(shí)現(xiàn)合同經(jīng)辦人與審批人職責(zé)的分離����,存在重大的內(nèi)控風(fēng)險(xiǎn)��。
四、信息系統(tǒng)審計(jì)方法
在信息系統(tǒng)審計(jì)中�����,可因地制宜�,綜合運(yùn)用多種學(xué)科的技術(shù)方法,包括:傳統(tǒng)審計(jì)中內(nèi)部控制測(cè)評(píng)的基本方法和審計(jì)取證的基本方法(包括審閱�����、核對(duì)���、監(jiān)盤�、觀察��、查詢����、函證�、計(jì)算、分析性復(fù)核)���;計(jì)算機(jī)科學(xué)的技術(shù)方法,如數(shù)據(jù)測(cè)試法����、程序編碼審查法���、受控處理法���、受控再處理法�����、整體測(cè)試法、平行模擬法���、程序比較法、漏洞掃描����、入侵檢測(cè)、嵌入審計(jì)程序法等等����;行為科學(xué)的技術(shù)方法����,如運(yùn)用組織發(fā)展的理論與方法���、個(gè)體行為一般規(guī)律的理論和方法�。這些方法與技術(shù)并不是孤立的,而是互相聯(lián)系的。目前�����,廣州地鐵在信息系統(tǒng)審計(jì)中所運(yùn)用的方法仍主要集中在傳統(tǒng)的內(nèi)控審計(jì)方法和信息系統(tǒng)管理的技術(shù)方法兩個(gè)領(lǐng)域�,具體包括詢問、觀察、文件復(fù)核��、抽樣����、重新執(zhí)行、使用計(jì)算機(jī)輔助軟件等。在部分項(xiàng)目中��,也采用了一些計(jì)算機(jī)科學(xué)的技術(shù)方法���。受限于審計(jì)資源不足����,廣州地鐵較少采用程序比較法、平行模擬法�、程序編碼審查法等高成本的審計(jì)方法�,而傾向于選用一些較為高效的測(cè)試方法。但這些高效方法的運(yùn)用不能完全消除審計(jì)風(fēng)險(xiǎn)�,這就需要審計(jì)人員根據(jù)自身的經(jīng)驗(yàn)盡量避免�。
1��、傳統(tǒng)審計(jì)方法的運(yùn)用
廣州地鐵在開展信息系統(tǒng)審計(jì)過程中較多運(yùn)用傳統(tǒng)審計(jì)的方法。例如,在對(duì)信息系統(tǒng)整體計(jì)算機(jī)控制進(jìn)行審計(jì)時(shí),通過對(duì)系統(tǒng)使用人員的訪談、調(diào)研和對(duì)系統(tǒng)各項(xiàng)操作的觀察�,梳理出整體計(jì)算機(jī)控制相關(guān)的各種控制活動(dòng)����。在沒有測(cè)試環(huán)境的情況下對(duì)生產(chǎn)在用信息系統(tǒng)的人機(jī)交互界面和功能進(jìn)行調(diào)查和確認(rèn)時(shí)�����,審計(jì)人員大量運(yùn)用了觀察的方法����。在對(duì)固定資產(chǎn)信息系統(tǒng)模塊進(jìn)行審計(jì)中���,審計(jì)人員通過觀察物資采購人員��、資產(chǎn)管理人員��、會(huì)計(jì)核算人員在系統(tǒng)中的操作界面、系統(tǒng)實(shí)現(xiàn)效果以及業(yè)務(wù)操作流程來了解系統(tǒng)功能的構(gòu)造���。發(fā)現(xiàn)采購中的供應(yīng)商信息在跨系統(tǒng)流程過程中丟失,導(dǎo)致財(cái)務(wù)系統(tǒng)和實(shí)物管理的MAXIMO系統(tǒng)的資產(chǎn)臺(tái)賬中均缺少供應(yīng)商信息����,致使日后采購?fù)愇镔Y時(shí)����,采購人員無法獲取歷史采購信息作為參考�����,增加了市場(chǎng)調(diào)研成本�����。除內(nèi)控矩陣和訪談����、觀察等方法之外,編制流程圖��、數(shù)據(jù)流圖和報(bào)表流圖也是信息系統(tǒng)審計(jì)經(jīng)常使用的方法����。
2、計(jì)算機(jī)科學(xué)技術(shù)方法的運(yùn)用
計(jì)算機(jī)科學(xué)技術(shù)方法是信息系統(tǒng)審計(jì)特有的方法����,來源于IT行業(yè)的信息技術(shù)的轉(zhuǎn)換應(yīng)用�,主要包括基于數(shù)據(jù)分析的方法和基于程序分析的方法�,這些方法的綜合使用使得對(duì)信息系統(tǒng)的審計(jì)更加有效。具體方法的選用需視被審計(jì)系統(tǒng)的實(shí)際情況而定����。在一個(gè)審計(jì)項(xiàng)目中����,廣州地鐵審計(jì)人員經(jīng)常將多種方法結(jié)合使用����。例如,在票務(wù)收入系統(tǒng)審計(jì)項(xiàng)目中�����,審計(jì)人員首先采用數(shù)據(jù)測(cè)試法��,使用正常及非正常的測(cè)試地鐵票搭乘地鐵,在系統(tǒng)中跟蹤測(cè)試票的處理情況���,以驗(yàn)證系統(tǒng)處理與控制功能是否均有效;在對(duì)系統(tǒng)中后期內(nèi)部開發(fā)的車站單程票售賣功能進(jìn)行審計(jì)時(shí),審計(jì)人員采用了程序編碼審查法���,對(duì)系統(tǒng)的源程序編碼進(jìn)行審查����,審查后發(fā)現(xiàn)單程票售賣金額統(tǒng)計(jì)報(bào)表在進(jìn)行數(shù)據(jù)處理時(shí)省略了小數(shù)點(diǎn)后的尾數(shù)���,導(dǎo)致報(bào)表金額存在偏差��;在對(duì)票務(wù)系統(tǒng)的清分報(bào)表進(jìn)行驗(yàn)證時(shí)�,審計(jì)人員又采用了平行模擬法���,抽取系統(tǒng)中一段時(shí)間內(nèi)的正式交易記錄��,在系統(tǒng)外模擬系統(tǒng)的處理規(guī)則對(duì)交易記錄進(jìn)行處理����,并將處理結(jié)果與系統(tǒng)的報(bào)表數(shù)據(jù)進(jìn)行核對(duì)��,結(jié)果發(fā)現(xiàn)系統(tǒng)在數(shù)據(jù)傳遞和處理過程中�����,由于系統(tǒng)對(duì)于異常數(shù)據(jù)的審核過于嚴(yán)格,導(dǎo)致部分正常數(shù)據(jù)被當(dāng)作垃圾數(shù)據(jù)丟進(jìn)異常庫�����,給公司造成票務(wù)損失����。
3����、計(jì)算機(jī)輔助審計(jì)軟件的應(yīng)用
計(jì)算機(jī)輔助審計(jì)軟件的應(yīng)用是信息系統(tǒng)審計(jì)的一個(gè)顯著特點(diǎn),也是審計(jì)人員準(zhǔn)備階段需要重點(diǎn)關(guān)注的問題之一。目前��,廣州地鐵對(duì)計(jì)算機(jī)輔助審計(jì)軟件的應(yīng)用主要體現(xiàn)在以下兩個(gè)方面��。
(1)對(duì)系統(tǒng)中數(shù)據(jù)的準(zhǔn)確性����、完整性和一致性的檢查����。
例如,在合同管理系統(tǒng)審計(jì)項(xiàng)目中,為核對(duì)系統(tǒng)接口程序的可靠性�����,審計(jì)人員利用審計(jì)輔助軟件快速完成了對(duì)合同系統(tǒng)和財(cái)務(wù)系統(tǒng)數(shù)據(jù)一致性的核對(duì)���,迅速查找出兩個(gè)系統(tǒng)中不一致的數(shù)據(jù)���。經(jīng)過深入分析�,審計(jì)人員發(fā)現(xiàn)由于財(cái)務(wù)核算人員在財(cái)務(wù)系統(tǒng)中復(fù)核合同支付數(shù)據(jù)時(shí)發(fā)現(xiàn)錯(cuò)誤,將支付申請(qǐng)退回給合同系統(tǒng)再由合同經(jīng)辦人重新填報(bào)時(shí),合同系統(tǒng)未對(duì)已生成的支付信息進(jìn)行更新��,導(dǎo)致上述問題的出現(xiàn)�����。針對(duì)海量數(shù)據(jù)處理系統(tǒng)����,數(shù)據(jù)驗(yàn)證是審計(jì)的重點(diǎn)��,計(jì)算機(jī)輔助軟件是“不可或缺”的審計(jì)工具。在地鐵票務(wù)收入保障審計(jì)項(xiàng)目中��,審計(jì)人需要通過數(shù)據(jù)驗(yàn)證的方式對(duì)業(yè)務(wù)處理的核心系統(tǒng)———自動(dòng)售檢票(AFC)系統(tǒng)中的系統(tǒng)傳輸和處理機(jī)制進(jìn)行驗(yàn)證�����。為此�����,審計(jì)人員共設(shè)計(jì)了8大類29子類47個(gè)數(shù)據(jù)驗(yàn)證主題�����。審計(jì)時(shí),審計(jì)人員運(yùn)用計(jì)算機(jī)輔助審計(jì)技術(shù),在兩個(gè)月內(nèi)完成了對(duì)AFC系統(tǒng)中10天總計(jì)超過3億條運(yùn)營數(shù)據(jù)的驗(yàn)證工作。
(2)利用計(jì)算機(jī)輔助軟件進(jìn)行對(duì)比測(cè)試�����。
即審計(jì)人員從信息系統(tǒng)中抽取某部門樣本數(shù)據(jù)�,將樣本數(shù)據(jù)輸入到與計(jì)算機(jī)輔助軟件中進(jìn)行處理,把審計(jì)軟件輸出的結(jié)果與業(yè)務(wù)系統(tǒng)產(chǎn)生的結(jié)果進(jìn)行對(duì)比分析,以判定業(yè)務(wù)系統(tǒng)的可靠性與準(zhǔn)確性��。廣州地鐵在已開展的運(yùn)營票務(wù)收入保障審計(jì)項(xiàng)目中大量地使用了此種方式�����。審計(jì)人員將各車站站務(wù)人員在票務(wù)系統(tǒng)中錄入的售票數(shù)據(jù)導(dǎo)入到計(jì)算機(jī)輔助軟件中�����,按照業(yè)務(wù)規(guī)則對(duì)數(shù)據(jù)進(jìn)行處理,將處理結(jié)果和系統(tǒng)輸出的結(jié)果進(jìn)行對(duì)比�。經(jīng)對(duì)比,審計(jì)人員發(fā)現(xiàn)票務(wù)系統(tǒng)在處理異常數(shù)據(jù)時(shí)過于嚴(yán)格��,導(dǎo)致部分非異常數(shù)據(jù)被系統(tǒng)當(dāng)作異常數(shù)據(jù)丟入異常庫中�,給公司造成票務(wù)損失。
4����、信息系統(tǒng)審計(jì)與業(yè)務(wù)內(nèi)控審計(jì)相結(jié)合
篇5
木桶效應(yīng)又稱木桶原理或短板理論�,是由美國管理學(xué)家彼得提出來的��,其核心內(nèi)容為:一只木桶的盛水量取決于最短的那一塊木板的長度���。木桶效應(yīng)蘊(yùn)含以下三個(gè)推論:其一���,只有桶壁上的所有木板都足夠高�,木桶才能盛滿水�����;其二����,只要桶壁上有一塊木板不夠高���,木桶里的水就不可能是滿的����;其三,只有木桶的底板��、側(cè)板自身有足夠的結(jié)實(shí)度及相互之間有足夠的緊密結(jié)合度���,才能保證木桶盛水功能的完備���,不漏水���。木桶效應(yīng)以人們所熟知的生活常識(shí)�,形象�����、巧妙地揭示出整體優(yōu)化面臨的共性問題���,即最佳結(jié)構(gòu)選擇問題:整體的實(shí)力和競爭力取決于整體內(nèi)各部分有機(jī)組合而成的結(jié)構(gòu)���,結(jié)構(gòu)的變化制約著整體的發(fā)展變化�����,最終導(dǎo)致整體性能的改變�。木桶效應(yīng)的形象生動(dòng)及其蘊(yùn)含的深厚哲理使得它被引用的頻率越來越高��、應(yīng)用的范圍也越來越廣�。木桶效應(yīng)中的“木桶”不僅可象征企業(yè)或其內(nèi)審機(jī)構(gòu)等實(shí)體性組織�;也可象征組織的某項(xiàng)職能,如內(nèi)部審計(jì)職能�。內(nèi)部審計(jì)職能著眼于組織整體���,較內(nèi)部審計(jì)機(jī)構(gòu)更為宏觀��,也是本文的立足點(diǎn)。如果將內(nèi)部審計(jì)職能看作一只木桶��,影響內(nèi)部審計(jì)職能發(fā)揮的目標(biāo)�、組織、行為及管理等四大因素猶如組成木桶的四大板塊����,任何一個(gè)板塊成為短板或存在漏洞,都會(huì)產(chǎn)生木桶溢出的負(fù)效應(yīng),制約內(nèi)部審計(jì)職能發(fā)揮��,因此�����,需要應(yīng)用系統(tǒng)管理理論方法將這四大因素科學(xué)管理起來�,避免短板或漏洞的產(chǎn)生���,保障內(nèi)部審計(jì)職能發(fā)揮���。
二���、內(nèi)部審計(jì)的系統(tǒng)管理模式分析
系統(tǒng)管理理論����,把管理對(duì)象看成是特定的系統(tǒng),以系統(tǒng)思想為指導(dǎo),以系統(tǒng)功能最佳為目標(biāo)��,運(yùn)用系統(tǒng)管理方法�,把握住系統(tǒng)的組成要素及要素之間的聯(lián)系,對(duì)各要素進(jìn)行高效率的計(jì)劃、組織、指導(dǎo)和控制,及時(shí)調(diào)整和控制系統(tǒng)的運(yùn)行���,以實(shí)現(xiàn)系統(tǒng)全過程的動(dòng)態(tài)優(yōu)化管理,最終實(shí)現(xiàn)系統(tǒng)目標(biāo)。根據(jù)系統(tǒng)管理理論�����,設(shè)計(jì)系統(tǒng)管理模式的一般方法是先進(jìn)行系統(tǒng)的總體設(shè)計(jì)�,然后進(jìn)行各子系統(tǒng)或具體問題的研究。內(nèi)部審計(jì)系統(tǒng)主要包括目標(biāo)��、組織�����、行為和管理等要素,各要素之間存在著錯(cuò)綜復(fù)雜的內(nèi)在聯(lián)系����,且各要素本身又是由若干子要素組成的子系統(tǒng)����,構(gòu)成一個(gè)完整的內(nèi)部審計(jì)系統(tǒng)��。
1.內(nèi)部審計(jì)目標(biāo)系統(tǒng)���。
目標(biāo)系統(tǒng)是內(nèi)部審計(jì)所要達(dá)到的最終狀態(tài)的描述系統(tǒng)����。由于內(nèi)部審計(jì)是隸屬于企業(yè)內(nèi)部的一項(xiàng)職能���,企業(yè)的每一項(xiàng)職能都要圍繞企業(yè)的核心目標(biāo)而用力�����,國際及中國內(nèi)部審計(jì)協(xié)會(huì)對(duì)內(nèi)部審計(jì)目標(biāo)進(jìn)行了恰當(dāng)定位����,即為了組織增加價(jià)值并提高組織的運(yùn)作效率,幫助組織實(shí)現(xiàn)其目標(biāo)���。可見��,內(nèi)部審計(jì)根植于企業(yè)目標(biāo)而存在����,為最終實(shí)現(xiàn)企業(yè)目標(biāo)保駕護(hù)航���。內(nèi)部審計(jì)目標(biāo)系統(tǒng)包含系統(tǒng)目標(biāo)�、子目標(biāo)和可執(zhí)行目標(biāo)三個(gè)層次,其中系統(tǒng)目標(biāo)即企業(yè)目標(biāo)�����;子目標(biāo)即開展的每一項(xiàng)審計(jì)項(xiàng)目的總括性目標(biāo)�����,向上與系統(tǒng)目標(biāo)銜接一致�;可執(zhí)行目標(biāo)用于確定審計(jì)項(xiàng)目的詳細(xì)構(gòu)成�����,向上與項(xiàng)目目標(biāo)銜接一致�,應(yīng)具有可操作性�����,便于審計(jì)人員具體執(zhí)行����,通過“自上而下”及“自下而上”雙向控制��,最終達(dá)到實(shí)現(xiàn)整個(gè)內(nèi)部審計(jì)目標(biāo)的目的���。
2.內(nèi)部審計(jì)組織系統(tǒng)����。
內(nèi)部審計(jì)組織系統(tǒng)是由參與完成審計(jì)工作�、實(shí)現(xiàn)內(nèi)部審計(jì)目標(biāo)的個(gè)人和機(jī)構(gòu)組成���。內(nèi)部審計(jì)組織系統(tǒng)具有開放性��,在進(jìn)行內(nèi)部審計(jì)組織系統(tǒng)設(shè)計(jì)時(shí)��,應(yīng)考慮以下幾點(diǎn):一是把握突出內(nèi)部審計(jì)的獨(dú)立性和權(quán)威性原則;二是內(nèi)部審計(jì)機(jī)構(gòu)與董事會(huì)或者最高管理層的關(guān)系,根據(jù)第2302號(hào)內(nèi)部審計(jì)具體準(zhǔn)則規(guī)定,內(nèi)部審計(jì)機(jī)構(gòu)與董事會(huì)或者最高管理層存在組織隸屬關(guān)系,應(yīng)當(dāng)接受董事會(huì)或者最高管理層的領(lǐng)導(dǎo)并向其報(bào)告���,保持良好的關(guān)系,積極尋求其對(duì)審計(jì)工作的理解與支持,增強(qiáng)內(nèi)部審計(jì)的權(quán)威性及審計(jì)工作開展的便利性;三是內(nèi)部審計(jì)機(jī)構(gòu)及人員相對(duì)于同層級(jí)管理機(jī)構(gòu)及人員應(yīng)具有相對(duì)的獨(dú)立性和權(quán)威性����,便于審計(jì)工作開展����。
3.內(nèi)部審計(jì)行為系統(tǒng)�����。
內(nèi)部審計(jì)行為系統(tǒng)是由完成內(nèi)部審計(jì)項(xiàng)目或任務(wù)�����、實(shí)現(xiàn)內(nèi)部審計(jì)目標(biāo)所有必需的內(nèi)部審計(jì)活動(dòng)構(gòu)成的,包括審計(jì)目標(biāo)����、審計(jì)制度�����、審計(jì)計(jì)劃����、審計(jì)工作方案制定�、審計(jì)項(xiàng)目實(shí)施以及審計(jì)建議落實(shí)等����。這些活動(dòng)之間存在各種各樣的邏輯聯(lián)系,構(gòu)成一個(gè)有序的動(dòng)態(tài)系統(tǒng),設(shè)計(jì)內(nèi)部審計(jì)的行為系統(tǒng)����,應(yīng)注意以下幾點(diǎn):一是應(yīng)包括實(shí)現(xiàn)內(nèi)部審計(jì)目標(biāo)系統(tǒng)必需的所有工作����,并將它們納入計(jì)劃和控制過程中��;二是按照內(nèi)部審計(jì)準(zhǔn)則及制度實(shí)施審計(jì)項(xiàng)目�����,保證審計(jì)項(xiàng)目實(shí)施程序化、規(guī)范化���;三是保證內(nèi)部審計(jì)行為系統(tǒng)與企業(yè)內(nèi)其他機(jī)構(gòu)、部門及個(gè)人行為之間良好的協(xié)調(diào)�����。
4.內(nèi)部審計(jì)管理系統(tǒng)��。
內(nèi)部審計(jì)管理系統(tǒng)是指為使內(nèi)部審計(jì)達(dá)到應(yīng)有的效果���,對(duì)內(nèi)部審計(jì)的目標(biāo)����、組織及行為系統(tǒng)所采取的控制措施總和���。為最終確保內(nèi)部審計(jì)目標(biāo)的實(shí)現(xiàn)��,內(nèi)部審計(jì)管理系統(tǒng)從總體上應(yīng)完成如下工作:一是對(duì)內(nèi)部審計(jì)的目標(biāo)系統(tǒng)進(jìn)行策劃、論證和控制��,使之與企業(yè)目標(biāo)相統(tǒng)一����;二是對(duì)內(nèi)部審計(jì)的行為系統(tǒng)進(jìn)行計(jì)劃和控制,使之符合內(nèi)部審計(jì)準(zhǔn)則及制度的規(guī)定����,保障審計(jì)質(zhì)量��;三是對(duì)內(nèi)部審計(jì)的組織系統(tǒng)進(jìn)行設(shè)置、協(xié)調(diào)和指揮����,使之保持相對(duì)的獨(dú)立性和權(quán)威性����,利于審計(jì)工作開展及審計(jì)目標(biāo)實(shí)現(xiàn)����。
三、結(jié)語
篇6
隨著會(huì)計(jì)電器化的廣泛應(yīng)用��,傳統(tǒng)內(nèi)部審計(jì)面臨著新的挑戰(zhàn)����,從而出現(xiàn)了電算化會(huì)計(jì)系統(tǒng)的內(nèi)部審計(jì)。
一�、計(jì)算機(jī)會(huì)計(jì)系統(tǒng)內(nèi)部審計(jì)的特點(diǎn)
計(jì)算機(jī)會(huì)計(jì)系統(tǒng)內(nèi)部審計(jì)的特點(diǎn)���,首先是審計(jì)的系統(tǒng)性�����,要對(duì)數(shù)據(jù)、硬件�����、軟件等各種要素進(jìn)行系統(tǒng)的分析和檢查�,才能確定輸出結(jié)果的正確性,作出可靠的審計(jì)結(jié)論����。第二是審計(jì)的復(fù)雜性�����,這是由被審系統(tǒng)數(shù)據(jù)處理方式、數(shù)據(jù)貯存方式����、系統(tǒng)控制方式���、應(yīng)用系統(tǒng)和電子計(jì)算機(jī)輔助審計(jì)技術(shù)的多樣性和復(fù)雜性所決定的��。第三是審計(jì)資料的隱蔽性、敏感性和易逝性��,這是由于審計(jì)線索主要以兩種形式存在:一種是肉眼可以看見的審計(jì)線索��,如輸入的原始憑證���、記賬憑證等原始文件��、打印出來的會(huì)計(jì)賬簿、會(huì)計(jì)報(bào)表等���;另一種是肉眼看不見的�,如存儲(chǔ)在軟盤或硬盤上的會(huì)計(jì)數(shù)據(jù)庫資料等。第四是審計(jì)的運(yùn)行性,即在不斷運(yùn)行的系統(tǒng)中進(jìn)行審計(jì)和監(jiān)督���。
二、計(jì)算機(jī)會(huì)計(jì)系統(tǒng)內(nèi)部審計(jì)的內(nèi)容
內(nèi)部審計(jì)可以從硬件和軟件的系統(tǒng)控制和實(shí)質(zhì)性審查兩個(gè)方面來進(jìn)行審計(jì)。
l��、內(nèi)控制度的審計(jì)�。對(duì)內(nèi)部控制制度的審查與評(píng)價(jià),既是審計(jì)的基礎(chǔ),又是審計(jì)的前提���。從實(shí)施的角度來看,內(nèi)部控制有些是通過程序來實(shí)施的,有些則是通過制度約束來實(shí)現(xiàn)的����。通過程序的設(shè)計(jì)和運(yùn)行來實(shí)施控制的“程序化”控制����,和通過建立管理工作制度來完成控制的“制度化”控制��,必須通過內(nèi)部審計(jì)來確保其實(shí)施��,才能使計(jì)算機(jī)會(huì)計(jì)系統(tǒng)的安全、可靠和穩(wěn)定得到雙重保險(xiǎn)。在電算化條件下���,雖然仍要審查傳統(tǒng)審計(jì)的一些內(nèi)容,但重點(diǎn)主要在于系統(tǒng)軟硬件及數(shù)據(jù)的內(nèi)部控制。
內(nèi)部審計(jì)人員應(yīng)在本單位以上各方面制度的制定過程中,積極發(fā)揮參謀作用�,并在以上制度的實(shí)施過程中�,定期審計(jì)或突擊檢查�,查找內(nèi)部控制的弱點(diǎn),提出改進(jìn)措施,使制定的內(nèi)部控制制度得以執(zhí)行��,以保證會(huì)計(jì)數(shù)據(jù)的安全性�����、有效性�、完整性和準(zhǔn)確性�。
2����、實(shí)質(zhì)性審計(jì)。在手工條件下���,審計(jì)主要是對(duì)書面資料進(jìn)行審查��。在電算化條件下,會(huì)計(jì)核算由計(jì)算機(jī)在程序的控制下完成���,除了審查輸入和輸出數(shù)據(jù),還要審查電子計(jì)算機(jī)程序和貯存在機(jī)內(nèi)的數(shù)據(jù)文件�����。因此審計(jì)工作重點(diǎn)轉(zhuǎn)移至對(duì)會(huì)計(jì)軟件合法性���、正確性的審查和對(duì)機(jī)內(nèi)數(shù)據(jù)文件的審計(jì)方面����。
三、計(jì)算機(jī)會(huì)計(jì)系統(tǒng)內(nèi)部審計(jì)的方法
針對(duì)電算化會(huì)計(jì)系統(tǒng)審計(jì)的特點(diǎn),結(jié)合本系統(tǒng)的工作實(shí)際����,我們已由以前的“繞過計(jì)算機(jī)”的審計(jì)方法��,轉(zhuǎn)向在計(jì)算機(jī)輔助審計(jì)的基礎(chǔ)上進(jìn)行“通過計(jì)算機(jī)”的審計(jì)方法:計(jì)算機(jī)技術(shù)和經(jīng)濟(jì)管理的結(jié)合,極大地提高了管理工作的現(xiàn)代化水平。其中發(fā)展最快���、應(yīng)用效果最顯著的,是計(jì)算機(jī)在會(huì)計(jì)工作中的應(yīng)用���。
隨著會(huì)計(jì)電器化的廣泛應(yīng)用,傳統(tǒng)內(nèi)部審計(jì)面臨著新的挑戰(zhàn)����,從而出現(xiàn)了電算化會(huì)計(jì)系統(tǒng)的內(nèi)部審計(jì)。
一�、計(jì)算機(jī)會(huì)計(jì)系統(tǒng)內(nèi)部審計(jì)的特點(diǎn)
計(jì)算機(jī)會(huì)計(jì)系統(tǒng)內(nèi)部審計(jì)的特點(diǎn)����,首先是審計(jì)的系統(tǒng)性����,要對(duì)數(shù)據(jù)、硬件�、軟件等各種要素進(jìn)行系統(tǒng)的分析和檢查�����,才能確定輸出結(jié)果的正確性,作出可靠的審計(jì)結(jié)論����。第二是審計(jì)的復(fù)雜性��,這是由被審系統(tǒng)數(shù)據(jù)處理方式、數(shù)據(jù)貯存方式���、系統(tǒng)控制方式、應(yīng)用系統(tǒng)和電子計(jì)算機(jī)輔助審計(jì)技術(shù)的多樣性和復(fù)雜性所決定的�。第三是審計(jì)資料的隱蔽性���、敏感性和易逝性�,這是由于審計(jì)線索主要以兩種形式存在:一種是肉眼可以看見的審計(jì)線索����,如輸入的原始憑證、記賬憑證等原始文件����、打印出來的會(huì)計(jì)賬簿����、會(huì)計(jì)報(bào)表等�;另一種是肉眼看不見的���,如存儲(chǔ)在軟盤或硬盤上的會(huì)計(jì)數(shù)據(jù)庫資料等����。第四是審計(jì)的運(yùn)行性,即在不斷運(yùn)行的系統(tǒng)中進(jìn)行審計(jì)和監(jiān)督。
二����、計(jì)算機(jī)會(huì)計(jì)系統(tǒng)內(nèi)部審計(jì)的內(nèi)容
內(nèi)部審計(jì)可以從硬件和軟件的系統(tǒng)控制和實(shí)質(zhì)性審查兩個(gè)方面來進(jìn)行審計(jì)���。
l�、內(nèi)控制度的審計(jì)。對(duì)內(nèi)部控制制度的審查與評(píng)價(jià)��,既是審計(jì)的基礎(chǔ)�����,又是審計(jì)的前提����。從實(shí)施的角度來看����,內(nèi)部控制有些是通過程序來實(shí)施的,有些則是通過制度約束來實(shí)現(xiàn)的����。通過程序的設(shè)計(jì)和運(yùn)行來實(shí)施控制的“程序化”控制�����,和通過建立管理工作制度來完成控制的“制度化”控制���,必須通過內(nèi)部審計(jì)來確保其實(shí)施�����,才能使計(jì)算機(jī)會(huì)計(jì)系統(tǒng)的安全����、可靠和穩(wěn)定得到雙重保險(xiǎn)���。在電算化條件下����,雖然仍要審查傳統(tǒng)審計(jì)的一些內(nèi)容,但重點(diǎn)主要在于系統(tǒng)軟硬件及數(shù)據(jù)的內(nèi)部控制。
內(nèi)部審計(jì)人員應(yīng)在本單位以上各方面制度的制定過程中���,積極發(fā)揮參謀作用,并在以上制度的實(shí)施過程中,定期審計(jì)或突擊檢查,查找內(nèi)部控制的弱點(diǎn),提出改進(jìn)措施,使制定的內(nèi)部控制制度得以執(zhí)行�,以保證會(huì)計(jì)數(shù)據(jù)的安全性���、有效性���、完整性和準(zhǔn)確性�����。
2、實(shí)質(zhì)性審計(jì)�。在手工條件下����,審計(jì)主要是對(duì)書面資料進(jìn)行審查��。在電算化條件下,會(huì)計(jì)核算由計(jì)算機(jī)在程序的控制下完成��,除了審查輸入和輸出數(shù)據(jù)�����,還要審查電子計(jì)算機(jī)程序和貯存在機(jī)內(nèi)的數(shù)據(jù)文件���。因此審計(jì)工作重點(diǎn)轉(zhuǎn)移至對(duì)會(huì)計(jì)軟件合法性��、正確性的審查和對(duì)機(jī)內(nèi)數(shù)據(jù)文件的審計(jì)方面。
篇7
信息系統(tǒng)審計(jì)對(duì)審計(jì)人員的素質(zhì)要求較高�����,既需要熟悉計(jì)算機(jī)技術(shù),同時(shí)又要精通人民銀行各項(xiàng)業(yè)務(wù)����。目前�,從現(xiàn)有的人民銀行內(nèi)審人員構(gòu)成來看����,具有計(jì)算機(jī)專業(yè)背景人員較少,從而制約了信息系統(tǒng)審計(jì)開展的深度和廣度�。尤其是中心支行這一級(jí)���,大部分單位缺少信息技術(shù)審計(jì)人員��,即使有在數(shù)量上也很少,難以獨(dú)立開展高質(zhì)量的信息技術(shù)審計(jì)項(xiàng)目。
二����、轉(zhuǎn)型環(huán)境下提高基層人民銀行信息系統(tǒng)審計(jì)水平的對(duì)策
(一)創(chuàng)新審計(jì)流程,強(qiáng)化信息系統(tǒng)事前和事中審計(jì)���。信息系統(tǒng)審計(jì)是以保證計(jì)算機(jī)信息系統(tǒng)安全平穩(wěn)運(yùn)行,有效控制風(fēng)險(xiǎn)為目標(biāo)的��,如果僅從合規(guī)性的角度進(jìn)行信息系統(tǒng)審計(jì)�����,無法達(dá)到上述目標(biāo)����,因此�����,開展信息系統(tǒng)審計(jì)的目的不僅要善于發(fā)現(xiàn)問題�����,有效防范已暴露的風(fēng)險(xiǎn),更要分析化解潛在的風(fēng)險(xiǎn)�����,以提高審計(jì)效果�。這就要求我們要?jiǎng)?chuàng)新審計(jì)流程,改變傳統(tǒng)審計(jì)方法����,采用“參與式”的審計(jì)方式�,加強(qiáng)與科技等部門的溝通交流�����,重視事前與事中審計(jì)。一要完善溝通機(jī)制。科技與系統(tǒng)應(yīng)用部門應(yīng)及時(shí)將制定的有關(guān)制度�����、操作規(guī)程����、系統(tǒng)運(yùn)行中的事故情況、解決措施、處理結(jié)果發(fā)送給內(nèi)審部門����;內(nèi)審部門應(yīng)就審計(jì)系統(tǒng)時(shí)發(fā)現(xiàn)的問題�����,及時(shí)向科技和系統(tǒng)應(yīng)用部門進(jìn)行通報(bào)和反饋,并與他們定期或不定期地磋商、交流���,了解各業(yè)務(wù)系統(tǒng)運(yùn)行情況,更好地發(fā)揮信息系統(tǒng)審計(jì)的作用�。二要組織審計(jì)人員參與新系統(tǒng)的開發(fā)����、評(píng)估,并設(shè)計(jì)滿足審計(jì)業(yè)務(wù)需要的功能��,真正做到對(duì)信息系統(tǒng)的事前和事中審計(jì)���。三是在審計(jì)過程中采用“參與式”審計(jì)方法�,參與信息系統(tǒng)審計(jì)目標(biāo)、內(nèi)容�����、計(jì)劃的制訂����,參與審計(jì)中發(fā)現(xiàn)問題的分析��、討論��,參與信息系統(tǒng)風(fēng)險(xiǎn)的評(píng)估及改進(jìn)措施的制訂等。
(二)確立風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì),從風(fēng)險(xiǎn)管理的視角推動(dòng)信息系統(tǒng)審計(jì)�����。對(duì)信息系統(tǒng)的審計(jì)���,往往需要對(duì)信息系統(tǒng)的潛在風(fēng)險(xiǎn)進(jìn)行分析評(píng)估�,這就需要引入風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)。風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的重點(diǎn)是分析評(píng)估系統(tǒng)固有����、控制和檢查三類風(fēng)險(xiǎn)���。即:評(píng)估分析計(jì)算機(jī)系統(tǒng)本身存在的脆弱性�����,如容易感染病毒、易受到侵害、攻擊以及軟件、硬件、網(wǎng)絡(luò)方面出現(xiàn)的故障等��;分析評(píng)估系統(tǒng)操作人員沒有按照內(nèi)控制度的要求進(jìn)行操作��,而又沒有被內(nèi)控防止或者糾正的可能性�;分析評(píng)估審計(jì)人員沒有進(jìn)行實(shí)質(zhì)性測(cè)試而不能發(fā)生被審計(jì)單位差錯(cuò)的可能性����。通過風(fēng)險(xiǎn)分析評(píng)估,量化各類風(fēng)險(xiǎn)的大小,從而把審計(jì)資源集中到高風(fēng)險(xiǎn)的審計(jì)領(lǐng)域����,以最大限度降低信息系統(tǒng)審計(jì)風(fēng)險(xiǎn),提高信息系統(tǒng)審計(jì)的質(zhì)量���。
篇8
一、電子商務(wù)系統(tǒng)審計(jì)的必然性和必要性
在商業(yè)活動(dòng)實(shí)現(xiàn)網(wǎng)絡(luò)化之前��,采購是面對(duì)面或通過紙質(zhì)文件進(jìn)行的�,有跡可查,即使是電子交易��,其設(shè)備結(jié)構(gòu)是專用的���,一般只限于已知用戶使用���,任何外部用戶必須是已知的�����、身份明確的�、可追蹤的��;系統(tǒng)通常是主機(jī)結(jié)構(gòu)方式����,相對(duì)易于監(jiān)督��、控制和審計(jì)���。與傳統(tǒng)商業(yè)相比�����,萬維網(wǎng)客戶/服務(wù)器系統(tǒng)的特點(diǎn)是高度分散,資源共享����、服務(wù)分散�����、顧客透明度高等,而電子商務(wù)的運(yùn)作速度更快��、業(yè)務(wù)循環(huán)周期更短�、風(fēng)險(xiǎn)更大、更高程度地依賴于技術(shù)���。電子商務(wù)系統(tǒng)的技術(shù)基礎(chǔ)和市場(chǎng)的快速變化意味著傳統(tǒng)的衡量方法已不再適用于企業(yè)的某些資產(chǎn),財(cái)務(wù)報(bào)告不能充分提供企業(yè)的狀況和價(jià)值方面的信息���,特別是網(wǎng)絡(luò)企業(yè)的無形資產(chǎn),如商譽(yù)�、客戶忠誠度和滿意程度等這些產(chǎn)生長期價(jià)值的關(guān)鍵資產(chǎn)�����。核實(shí)確認(rèn)這類資產(chǎn)價(jià)值的困難在于缺乏足夠的歷史數(shù)據(jù)、合適的參照標(biāo)準(zhǔn)����、先進(jìn)的實(shí)踐經(jīng)驗(yàn)以及對(duì)網(wǎng)絡(luò)的各種威脅和概率的準(zhǔn)確估算��。企業(yè)管理層以及公眾都需要尋找能夠用以表述網(wǎng)絡(luò)企業(yè)的可信度、安全性及其他資產(chǎn)價(jià)值的方法���,需要一些新的核查和審計(jì)方法,更有效地評(píng)價(jià)無形資產(chǎn)���,如知識(shí)、品牌等�����。因此���,電子商務(wù)系統(tǒng)審計(jì)就成為歷史的必然��。由于,電子商務(wù)的可靠性、適用性、安全性和性能等方面受到的威脅或存在的風(fēng)險(xiǎn)���,都可能會(huì)影響其生存和發(fā)展。風(fēng)險(xiǎn)因素包括:商業(yè)信息的泄露��、智能財(cái)產(chǎn)的不當(dāng)使用�、對(duì)版權(quán)的侵犯、對(duì)商標(biāo)的侵犯�����、網(wǎng)絡(luò)謠言和對(duì)信譽(yù)的損害等��。因此���,進(jìn)行必要和客觀的審計(jì)�,才會(huì)使董事會(huì)����、審計(jì)委員會(huì)、高級(jí)管理層對(duì)電子商務(wù)系統(tǒng)的安全運(yùn)作和效益滿意和放心。
二��、網(wǎng)絡(luò)風(fēng)險(xiǎn)和風(fēng)險(xiǎn)管理
網(wǎng)絡(luò)風(fēng)險(xiǎn)如同自然災(zāi)害一樣不可預(yù)見�。風(fēng)險(xiǎn)管理的關(guān)鍵在于風(fēng)險(xiǎn)評(píng)估,風(fēng)險(xiǎn)評(píng)估就是要分析和衡量風(fēng)險(xiǎn)事件發(fā)生的概率及后果,引起風(fēng)險(xiǎn)的因素及其關(guān)聯(lián)因素����,出現(xiàn)風(fēng)險(xiǎn)的關(guān)鍵點(diǎn)采取什么方法能夠減緩風(fēng)險(xiǎn)��,風(fēng)險(xiǎn)出現(xiàn)造成后果如何,以及評(píng)價(jià)管理層是否履行了應(yīng)有的職業(yè)審慎進(jìn)行防范和控制。同時(shí)在評(píng)估中還要為各項(xiàng)因素設(shè)計(jì)評(píng)價(jià)比率�,計(jì)算各種風(fēng)險(xiǎn)的影響后果��,根據(jù)影響和后果排序,對(duì)高風(fēng)險(xiǎn)因素作進(jìn)一步的分析���。
通過風(fēng)險(xiǎn)評(píng)估,可以認(rèn)識(shí)到潛在風(fēng)險(xiǎn)(威脅)及其影響����,以便對(duì)高風(fēng)險(xiǎn)領(lǐng)域作一些防范�、檢測(cè)���、控制�、減緩和恢復(fù)的工作計(jì)劃和安排。這些計(jì)劃和安排應(yīng)涵蓋對(duì)各項(xiàng)控制成本,主要是指接受����、避免�、轉(zhuǎn)移��、監(jiān)測(cè)成本的分析以及各項(xiàng)工作的先后次序�。
三����、電子商務(wù)系統(tǒng)審計(jì)中網(wǎng)站的合法性證明
網(wǎng)絡(luò)終端用戶都會(huì)關(guān)注網(wǎng)站是否來自一個(gè)真實(shí)的、可靠的機(jī)構(gòu),提供的信息是否準(zhǔn)確真實(shí)����,機(jī)構(gòu)背景是否正當(dāng)合法��,個(gè)人信息的隱私權(quán)是否得到保護(hù)等。所謂隱私權(quán)是指對(duì)個(gè)人的數(shù)據(jù)/信息的搜集必須合法����、公平����,必須用于某一特定��、公開的目的,必須取得該個(gè)人的同意并受到保護(hù)�,本人必須有權(quán)進(jìn)入系統(tǒng)進(jìn)行修改或刪除���,信息的越域流動(dòng)和將來的使用���、披露必須予以安全保證和限制等���。
解決這些網(wǎng)站合法性問題的途徑之一就是由一公證機(jī)構(gòu)提供可靠的證明��,以使網(wǎng)絡(luò)終端用戶能對(duì)網(wǎng)站提供的電子商務(wù)放心。如Verisign�,TRUSTe��,BBBOnline,WebTrust��,SysTurst等都是具有良好的信譽(yù)并且提供證明-查證服務(wù)的專業(yè)組織機(jī)構(gòu)����。網(wǎng)絡(luò)終端用戶可以通過查詢這些公證機(jī)構(gòu)的記錄,獲得確認(rèn)被訪問網(wǎng)站的名稱�����、有效狀態(tài)�����、服務(wù)器標(biāo)識(shí)等信息��。
四、內(nèi)部審計(jì)和電子商務(wù)系統(tǒng)審計(jì)
美國注冊(cè)會(huì)計(jì)師協(xié)會(huì)對(duì)“核實(shí)查證”的定義是“提高決策者所需要信息的質(zhì)量或內(nèi)容的獨(dú)立性專業(yè)服務(wù)�?���!逼鋵徲?jì)原則是保證系統(tǒng)的可用性�����、安全性、真實(shí)完整性和持續(xù)性,建議對(duì)系統(tǒng)安全性和真實(shí)完整性方面存在的控制點(diǎn)進(jìn)行檢查�、評(píng)價(jià)和測(cè)試�。并盡量在今后采用合適的審計(jì)標(biāo)準(zhǔn)對(duì)信息技術(shù)進(jìn)行審計(jì)���。不同于以年度為基礎(chǔ)的傳統(tǒng)外部審計(jì),電子商務(wù)的實(shí)時(shí)性要求審計(jì)人員應(yīng)對(duì)其進(jìn)行連續(xù)不斷的評(píng)估���,按特定的審核標(biāo)準(zhǔn)對(duì)已發(fā)生的交易進(jìn)行追蹤,而系統(tǒng)內(nèi)設(shè)置的自動(dòng)登錄記錄可作為相應(yīng)的審計(jì)軌跡��,在系統(tǒng)內(nèi)部實(shí)施對(duì)事件監(jiān)督和控制����。
盡管當(dāng)前許多人認(rèn)為核實(shí)查證通常與外部審計(jì)人員相關(guān),內(nèi)部審計(jì)人員則在公司內(nèi)部出具審計(jì)報(bào)告���。然而,國際內(nèi)部審計(jì)師協(xié)會(huì)對(duì)電子商務(wù)系統(tǒng)審計(jì)的要求則是:審計(jì)控制目標(biāo)主要是審計(jì)財(cái)務(wù)報(bào)告制度��、經(jīng)營的效益和效率�����、合規(guī)性和保護(hù)財(cái)產(chǎn)安全等方面��。審計(jì)模式應(yīng)該建立在系統(tǒng)的可用性、容量���、功能、保護(hù)和可靠性的基礎(chǔ)上。例如�,內(nèi)部審計(jì)對(duì)網(wǎng)絡(luò)企業(yè)控制水平的獨(dú)立評(píng)價(jià)�����,使得客戶了解到企業(yè)提供的數(shù)據(jù)將不會(huì)被有意或無意地濫用�。再如,企業(yè)目標(biāo)是建立電子商務(wù)以降低成本、提高市場(chǎng)占有率��,那么電子商務(wù)風(fēng)險(xiǎn)是隨著網(wǎng)絡(luò)交易的增加而增加�����,以至于不能確保交易的安全性或分辨用戶的可靠性��,因此,所需要的控制就是對(duì)用戶的真實(shí)性進(jìn)行確認(rèn)以及對(duì)通訊信息進(jìn)行加密。
電子商務(wù)系統(tǒng)審計(jì)的成功與否在于審計(jì)人員是否掌握相關(guān)的技術(shù)知識(shí)����,了解商業(yè)風(fēng)險(xiǎn)及風(fēng)險(xiǎn)管理策略����,是否有現(xiàn)成的策略隨時(shí)應(yīng)付出現(xiàn)的風(fēng)險(xiǎn)��。因此�����,作為一個(gè)成功內(nèi)部審計(jì)人員應(yīng)了解企業(yè)的業(yè)務(wù),以服務(wù)為宗旨并努力增值�����,積極提高專業(yè)技能�,關(guān)注系統(tǒng)的效率和效益,建立對(duì)電腦領(lǐng)域發(fā)展的職業(yè)敏感性�����。
