緒論:在尋找寫作靈感嗎��?愛發表網為您精選了8篇系統審計論文,愿這些內容能夠啟迪您的思維,激發您的創作熱情���,歡迎您的閱讀與分享���!
篇1
一�����、審計系統必須適應環境的發展
審計系統是在一定的經濟社會環境下產生�,又在特定的外界環境中存在和發展��。它是環境的產物�,必須和環境相適應��。與生態系統中的生物一樣�����,審計系統的生存、生長受制于環境���,但審計系統的存在和發展又反過來影響和改變環境?��;仡檶徲嬒到y的發展歷程,經歷了三個階段:
第一階段是19世紀中葉��,在資本主義得到充分發展�����、取得工業革命成功的英國出現了現代意義的審計(稱英國式審計或詳細審計)����。當時的審計對象是會計賬簿�,審計的目的是查錯防弊,所使用的審計工具是詳細檢查��,審計信息的使用人是股東�����。第二階段是本世紀初,在資本主義發達的美國出現了以資產負債表為對象的資產負債表審計,其目的是判斷借款人的信用狀況�,審計信息使用人從股東擴大到債權人(主要是銀行)�����。第三階段是本世紀20—30年代,由于資本市場證券化,在美國出現了以損益表為中心的財務會計報表審計�����,目的是提出客觀公正的審計意見�����,審計信息使用人是所有的企業利害關系人�����,對上市公司而言就是社會公眾�。到了40年代以后�����,由于跨國公司的出現�,國際間資本流動頻繁���,在發達的資本主義國家出現了國際化的會計公司�。
從上述審計系統從一個階段向高一階段的進化過程分析,我們可以得出兩點結論:一是審計系統每一次進化都是為了適應環境的變化�����,和任何系統一樣�����,只有適應環境的系統才能得以生存和發展。19世紀西方資本主義得到充分發展,實行所有權和經營權分離,就出現了英國式的詳細審計�。到了20世紀中葉�,隨著企業大型化和證券化�����,經濟活動劇增���,審計師不可能對每筆交易都進行檢查�����,審計系統就由詳細審計進化到抽樣審計。有了跨國公司�,就有了國際性的會計事務所�����。正是審計系統適應了所生存的環境,才使得本身得到充分的發展。同時,進化后的審計系統又反作用于環境�,對社會經濟起了積極推動作用���,成為人類經濟系統中不可缺少的一個子系統����。二是審計系統的每一次進化都有賴于相應的理論����、方法和技術的支持���。從英國式的詳細審計進化到資產負債表審計����,是因為有內部牽制理論和統計抽樣技術的支持。同樣�����,從資產負債表審計進化到財務會計報表審計��,是因為有內部控制理論和審計風險測試評價技術的支持����。這是審計系統一次具有非常意義的“進化”����,正是由于審計系統普遍采用了統計抽樣技術和內部控制測試技術,從而使審計系統的功能大大增強����,在大大提高了審計效率的同時���,又有效地控制了審計風險���。
同理����,在步入21世紀的今天,審計系統又面臨著新環境的挑戰��。新經濟和數字時代的到來�,以及經濟全球化���、市場一體化等將對審計系統產生重大影響���。面對新經濟環境的挑戰����,審計系統必須適應這種環境的進化,而要進化就必須有相應的理論和技術方法即系統科學和信息技術的支持��,筆者將由系統科學和計算機技術支持下進化了的審計稱為系統審計���,與之相對應的是傳統的詳細審計和內控審計�。下圖表達了審計系統的進化過程。
需要說明的是����,“系統審計”與“審計系統”是二個既有聯系又有區別的概念�。系統審計是指在系統科學和信息技術支持下的審計理論方法���,表明一種審計理念�,是相對于其它審計方法而言的。審計系統則是泛指審計體系�����,詳細審計����、財務會計報表審計、系統審計都是審計系統各個不同歷史時期的產物���。
二、系統審計和傳統審計的比較
傳統審計的思維方式是:部分整體�。傳統審計總是先分析對象的各個部分,然后再綜合為整體。這種思維方法的局限性在于把分析與綜合、部分與整體��、原因與結果機械地割裂開來�����,認為部分是原因�,整體是結果����,部分決定整體。傳統審計方法著眼于一個個要素����,進而得出整體的性能����,其邏輯結論往往是組成整體的要素好�,整體的性能也就好。不論是一百五十年前的詳細審計,還是目前的財務會計報表審計,注冊會計師的思想方法都是從部分去推測整體�,而系統審計的思想方法則是從整體到部分���。詳細審計是從每一筆交易賬戶再到報表����;財務會計報表審計是通過對內部控制和控制風險的研究抽取部分交易為樣本賬戶最終證實報表信息的真實和公允性�。詳細審計和報表審計在研究審計對象經濟活動時,只把各組成部分孤立地、簡單地加起來���,這并不能說明審計對象經濟活動的整體性質和功能。因為各要素的簡單相加,并不能構成一個系統。
系統審計思維方法則不同于傳統審計�����,它的思維方式是:整體部分��。系統審計從整體出發���,先進行系統綜合���,形成可能的系統方案���,再進行系統分析���。分析系統各要素及其相互關系��,建立模型,然后進行系統選擇,實現最優化��,重新綜合成整體���。系統審計方法的程序是:綜合分析綜合���。它不僅著眼于個別要素的優劣��,而且利用了要素之間的相互關系����,觀察和判斷系統整體的性能��。要素和系統不是一種簡單的線性因果關系����,系統的整體性能不單是取決于組成系統的要素��,而且還有要素之間的相互作用����。系統審計方法正是在要素之間相互作用的關系中進行分析和綜合�,才能正確地認識審計對象的整體性能��。系統審計把審計對象的經濟活動當作一個整體來研究�。這一整體的性質和規律�����,只存在于組成要素的相互聯系�、相互作用之中�����。各個組成部分孤立的特征或者活動的總和��,并不能反映整體的特征和活動。系統審計強調系統的整體性�,要求注冊會計師不能象以前那樣����,先把審計對象分成幾個部分�,然后再匯集起來。而是把審計對象作為一個有機的整體來對待��,先看整體�,再看部分;先看全局��,再看局部���;先看宏觀��,再看微觀��;先看全過程,再看某一個階段����。從整體與環境、整體與部分的相互依賴���、相互制約中,去揭示系統的特征和運動規律。對局部的研究必須放在整體中�,從整體的各個部分的聯系���、制約中去加以研究��。當然���,注冊會計師研究審計對象經濟活動整體�����,并不是不深入具體細節去考察分析,一個正確地認識來自于從整體到部分����,部分到整體的反復過程�����。系統審計在研究問題時,把任何對象都看成是系統��,然后著眼于系統和環境之間���、系統和要素之間的相互關系��,確定要素的層次結構���,這樣就便于用數學方法從定性和定量的結合上研究����、描述現實系統����。系統審計比傳統審計方法更能將分析和綜合�����、歸納和演繹等方法有機地結合起來���,因而為運用數理邏輯方法和計算機技術開辟廣闊的道路�。
篇2
一��、電子商務系統審計的必然性和必要性
在商業活動實現網絡化之前����,采購是面對面或通過紙質文件進行的��,有跡可查�,即使是電子交易����,其設備結構是專用的,一般只限于已知用戶使用���,任何外部用戶必須是已知的、身份明確的��、可追蹤的���;系統通常是主機結構方式��,相對易于監督����、控制和審計���。與傳統商業相比����,萬維網客戶/服務器系統的特點是高度分散�,資源共享、服務分散�、顧客透明度高等���,而電子商務的運作速度更快���、業務循環周期更短�����、風險更大��、更高程度地依賴于技術。電子商務系統的技術基礎和市場的快速變化意味著傳統的衡量方法已不再適用于企業的某些資產�,財務報告不能充分提供企業的狀況和價值方面的信息��,特別是網絡企業的無形資產,如商譽�、客戶忠誠度和滿意程度等這些產生長期價值的關鍵資產�����。核實確認這類資產價值的困難在于缺乏足夠的歷史數據、合適的參照標準、先進的實踐經驗以及對網絡的各種威脅和概率的準確估算�。企業管理層以及公眾都需要尋找能夠用以表述網絡企業的可信度�、安全性及其他資產價值的方法����,需要一些新的核查和審計方法�����,更有效地評價無形資產����,如知識���、品牌等����。因此,電子商務系統審計就成為歷史的必然��。由于�,電子商務的可靠性、適用性���、安全性和性能等方面受到的威脅或存在的風險,都可能會影響其生存和發展�����。風險因素包括:商業信息的泄露�、智能財產的不當使用、對版權的侵犯��、對商標的侵犯���、網絡謠言和對信譽的損害等�����。因此,進行必要和客觀的審計,才會使董事會���、審計委員會、高級管理層對電子商務系統的安全運作和效益滿意和放心。
二、網絡風險和風險管理
網絡風險如同自然災害一樣不可預見���。風險管理的關鍵在于風險評估,風險評估就是要分析和衡量風險事件發生的概率及后果,引起風險的因素及其關聯因素�,出現風險的關鍵點采取什么方法能夠減緩風險��,風險出現造成后果如何,以及評價管理層是否履行了應有的職業審慎進行防范和控制。同時在評估中還要為各項因素設計評價比率����,計算各種風險的影響后果�����,根據影響和后果排序,對高風險因素作進一步的分析。
通過風險評估,可以認識到潛在風險(威脅)及其影響,以便對高風險領域作一些防范�����、檢測、控制�����、減緩和恢復的工作計劃和安排�����。這些計劃和安排應涵蓋對各項控制成本����,主要是指接受�、避免、轉移�����、監測成本的分析以及各項工作的先后次序�。
三��、電子商務系統審計中網站的合法性證明
網絡終端用戶都會關注網站是否來自一個真實的���、可靠的機構���,提供的信息是否準確真實����,機構背景是否正當合法�,個人信息的隱私權是否得到保護等。所謂隱私權是指對個人的數據/信息的搜集必須合法���、公平,必須用于某一特定、公開的目的�,必須取得該個人的同意并受到保護�,本人必須有權進入系統進行修改或刪除�����,信息的越域流動和將來的使用���、披露必須予以安全保證和限制等�����。
解決這些網站合法性問題的途徑之一就是由一公證機構提供可靠的證明,以使網絡終端用戶能對網站提供的電子商務放心���。如Verisign,TRUSTe�,BBBOnline,WebTrust���,SysTurst等都是具有良好的信譽并且提供證明-查證服務的專業組織機構。網絡終端用戶可以通過查詢這些公證機構的記錄�����,獲得確認被訪問網站的名稱�、有效狀態、服務器標識等信息����。
四����、內部審計和電子商務系統審計
美國注冊會計師協會對“核實查證”的定義是“提高決策者所需要信息的質量或內容的獨立性專業服務�����?�!逼鋵徲嬙瓌t是保證系統的可用性、安全性��、真實完整性和持續性����,建議對系統安全性和真實完整性方面存在的控制點進行檢查�����、評價和測試。并盡量在今后采用合適的審計標準對信息技術進行審計�。不同于以年度為基礎的傳統外部審計����,電子商務的實時性要求審計人員應對其進行連續不斷的評估���,按特定的審核標準對已發生的交易進行追蹤����,而系統內設置的自動登錄記錄可作為相應的審計軌跡�����,在系統內部實施對事件監督和控制���。
盡管當前許多人認為核實查證通常與外部審計人員相關��,內部審計人員則在公司內部出具審計報告。然而���,國際內部審計師協會對電子商務系統審計的要求則是:審計控制目標主要是審計財務報告制度、經營的效益和效率���、合規性和保護財產安全等方面。審計模式應該建立在系統的可用性�����、容量�����、功能����、保護和可靠性的基礎上��。例如,內部審計對網絡企業控制水平的獨立評價,使得客戶了解到企業提供的數據將不會被有意或無意地濫用。再如,企業目標是建立電子商務以降低成本�、提高市場占有率���,那么電子商務風險是隨著網絡交易的增加而增加��,以至于不能確保交易的安全性或分辨用戶的可靠性,因此��,所需要的控制就是對用戶的真實性進行確認以及對通訊信息進行加密�����。
電子商務系統審計的成功與否在于審計人員是否掌握相關的技術知識��,了解商業風險及風險管理策略,是否有現成的策略隨時應付出現的風險。因此����,作為一個成功內部審計人員應了解企業的業務�����,以服務為宗旨并努力增值,積極提高專業技能,關注系統的效率和效益�����,建立對電腦領域發展的職業敏感性��。
篇3
(Why)隨著被審計單位經濟業務活動對信息系統依賴程度越來越高��,信息系統已經逐漸融入各項經濟活動當中。但是����,信息系統存在的漏洞和缺陷��、非法舞弊程序、人為操作錯誤�����、病毒感染����、黑客攻擊、系統故障等導致被審計單位經濟業務數據失真的各種風險也在進一步加大,也就是說信息系統本身的安全性�����、可靠性直接威脅和影響到信息系統所產生經濟業務電子數據的真實�����、準確和完整��。因此,基于現代風險基礎審計理論的政府審計����,必須考慮與經濟業務活動相關的信息系統產生的風險因素���,突破傳統政府審計業務范圍�����,涵蓋信息系統審計內容。如果忽視對信息系統本身的審計�����,審計機關審計人員審計依賴的被審計電子數據的真實性就會成為“空中樓閣”�,就有可能出現“假賬真審”的問題�����。目前���,各級政府部門�����、企事業單位為了提高信息化水平,紛紛加大資金投入��,推進信息系統建設���,建立統一數據集中平臺�,信息系統已經成為國家的一項投資巨大的重要資產。這就要求審計機關審計人員在對這些機構實施經濟效益審計����、績效審計��、經濟責任審計等審計項目時,必須考慮信息系統資產因素��,對信息系統實施相關審計�����,以有效揭示信息系統在安全����、可靠�����、合法�、效率��、效果和效益等方面存在的問題����,防范信息系統風險����,保障信息系統安全、可靠運行�,促進信息系統資源的有效利用��,提高信息系統資源運用的收益水平。由此�����,在政府審計項目中�����,考慮到信息系統的影響因素����,迫切需要大力開展結合型政府信息系統審計���,而不是可審可不審的問題���。
二��、結合型政府信息系統審計的目標是什么
(What)信息系統審計目標是信息系統審計行為的出發點����,它指明了審計工作方向���,并指導著信息系統審計實踐活動(王振武等����,2011)�����。我國政府審計以維護國家財政經濟秩序���,提高財政資金使用效益����,促進廉政建設�����,保障國民經濟和社會健康發展為職能����,以國家經濟活動的真實性���、合規性和效益性為總體目標�����。因此,我國政府審計機關實施的結合型政府信息系統審計�,也應遵守真實����、合規和效益的根本目標���。審計機關審計人員在各項具體政府審計項目中���,不能籠統地將一般意義上信息系統審計的安全性、可靠性���、合法性和有效性目標作為結合型政府信息系統審計具體目標,這既不符合結合型政府信息系統審計的特點和需求��,也不具備實際可操作性���、指導性���。如果信息系統審計目標因素與具體政府審計項目目標不相關��,將起不到應有的作用���,是多余的����、不必要的����,從成本效益角度來說,是對審計資源的浪費���。審計人員應避免根據自己的理解來確定目標,造成混淆不清�����。結合型政府信息系統審計貫穿于各政府審計項目之中�����,成為審計全過程的一部分,其具體審計目標應根據國家審計機關實施審計項目預期要完成的任務和結果�����,即具體政府審計目標���,以及所涉及的信息系統情況等綜合確定����。例如,政府財政財務收支審計的目標是財政財務收支情況的真實性��、合規性和效益性��,其審計的數據來源于相關信息系統產生的財務電子數據���,而數據是否真實��、完整,直接依賴于相關信息系統是否安全����、可靠�,由此可以確定政府財政財務收支審計中信息系統審計的目標是安全性�����、可靠性。又如,在國有企業績效審計中���,績效審計的目標是效率性、效果性和效益性,雖然信息系統與績效審計不直接相關����,但是信息系統作為企業的一項重要資產�,且信息系統建設的投入金額巨大���,因此�,在國有企業績效審計中也應包括信息系統資產的績效審計,這就決定了國有企業績效審計中信息系統審計的目標應該是效率性、效果性和效益性���。上述示例也表明,結合型政府信息系統審計具體目標隨政府審計項目的不同而存在一定的差異性��,也就是說政府審計具體目標的多元性決定了結合型政府信息系統審計具體目標的多元性,必須根據具體政府審計項目綜合確定。
三��、結合型政府信息系統審計的重點在哪里
(Where)結合型政府信息系統審計的成效取決于審計機關審計人員對信息系統審計重點內容的把握程度��。審計人員應該在分析清楚各政府審計項目中信息系統審計具體目標的基礎之上�����,確定信息系統審計意圖和需要解決的問題,并根據“全面審計��、突出重點”�����、“先系統本身后系統環境”的原則確定信息系統審計重點事項(唐劍�,2012)����。此外,還應考慮成本效益原則����,盡力減少與政府審計目標不相關的、多余的�����、不必要的信息系統審計內容��。
(一)結合型政府信息系統重點
審計對象的選擇被審計單位一般建立有多個信息系統�,依據結合型政府信息系統審計的特點�,不需要也不必要將被審計單位的所有信息系統納入重點關注的審計對象,只需要根據與被審計業務活動相關的程度選擇目標信息系統�����。如何選擇信息系統重點審計對象�����?審計機關審計人員選擇的主要原則應是依據被審計單位核心業務對信息系統的依賴性以及被審計單位信息系統的復雜性確定需要重點調查和審計測試的信息系統的范圍和深度�����。一般來說,越高度依賴的信息系統,就應該作為重點審計的對象���;越復雜的信息系統,就應該擴大重點審計對象范圍。例如��,在財務收支審計中����,被審計單位ERP系統由財務、采購����、銷售、庫存��、質量��、人力資源等多個子系統組成����,由于財務收支數據直接依賴于財務子系統�,所以理應將其作為審計的重點,然而ERP系統又是一個集成化的復雜系統�����,審計人員還應擴大審計范圍和深度�,需要將ERP系統中系統管理子系統以及其他子系統的基礎設置、憑證處理等模塊也作為審計的重點��。
(二)結合型政府信息系統內部控制
測試重點
內容的確定現代風險基礎政府審計是建立在內部控制的測評基礎之上����,根據內部控制的符合性測試結果實施業務數據的實質性測試。信息系統內部控制測試是對信息系統內部控制的可靠性��、健全性和有效性進行的測試?;诮Y合型政府信息系統審計的經濟監督和重在審計業務數據的特點����,以及政府審計人員信息技術能力限制��,為避免將對信息系統的審計引入技術陷阱(李春青�����,2008),審計人員應重點選擇信息系統中容易產生數據風險的部分���,作為信息系統內部控制測試的重點內容����。而信息系統的硬件、軟件��、應用程序��、數據�、人員���、制度等組成要素中�,對業務數據直接產生影響的主要有信息系統數據、應用程序���、人員和制度,因此審計人員在結合型政府信息系統審計中應選擇信息系統數據�����、應用程序�、人員、制度作為審計測試的重點�,只在必要的時候再根據實際情況適當關注信息系統的軟硬件環境��。
(三)信息系統效率、效果和效益審計重點
內容的選擇在結合型政府信息系統審計中����,對行政事業單位���、企業的效益審計��、績效審計、經濟責任審計等政府審計項目中涉及的信息系統效率��、效果和效益審計�,其審計范疇從屬于政府審計項目的范疇,只是審計對象中包括信息系統資產����。因此,在這種結合型政府信息系統審計中����,審計機關審計人員審計信息系統效率���、效果和效益應從被審計單位正在運行使用中的信息系統資源的有效利用����、促進產品或服務目標實現�、降低產品或服務成本和增加產品或服務收益的角度選擇重點審計內容:(1)效率性審計應重點評價使用中的信息系統對提高被審計單位勞動生產率所作的貢獻,如節省人力、提高人員工作效率等;(2)效果性審計應重點評價使用中的信息系統使被審計單位業務�����、管理和決策等方面得到改善和提升,如滿足業務處理需求、促進業務流程改進�����、增強信息交流與共享��、提升客戶服務能力�、提高管理決策水平等���;(3)效益性審計應重點評價使用中的信息系統的資金投入以及產生效益之比,資金投入包括信息系統運維資金投入、升級改造資金投入等方面���,產生效益則可以從降低產品或服務成本、提高資金周轉速度、提高產品或服務收入��、增強競爭力等方面考慮��。
四���、結合型政府信息系統審計如何實施
(How)結合型政府信息系統審計作為信息系統審計的一個特例,兩者在審計技術、方法、手段等方面理應具有一定的一致性。但是�,審計機關審計人員在借鑒目前常用信息系統審計方法的同時��,需要結合具體政府審計項目,立足審計人員的信息技術審計能力相對較弱、業務審計能力較強的審計專長�����,以審計人員的業務思路和職業判斷為工作核心(王亞清��,2012)�,積極探索富有實效的信息系統審計與傳統審計相結合的方法��。
(一)如何做好信息系統審前調查
在進行結合型政府信息系統審計調查時����,審計機關審計人員可以將被審計信息系統調查與被審計項目業務調查結合進行�����,將信息系統調查作為業務調查的延伸���。一方面���,可運用詢問法��、觀察法、查閱法�����、調查表法�����、流程圖法等傳統審計調查的方法,將被審計單位業務活動情況與信息系統情況調查融合在一起���,一并調查了解被審計單位整體和業務活動情況、信息系統環境(如硬件環境����、軟件環境�、組成���、結構�、分布等)、內部控制制度(含信息系統內部控制制度)���、手工和計算機信息系統處理過程(如業務流程、運行流程���、人員操作流程等)及執行情況;另一方面�����,可運用計算機輔助審計方法獲取被審計業務電子數據��,調查了解被審計信息系統數據處理情況等����。兩種方法相互補充����,既能全面了解被審計單位業務活動情況,又能夠摸清被審計單位信息系統基本運作情況����,實現信息系統審計調查與整個審計工作調查的銜接���,從而確保審計調查的效率���、質量����。
(二)如何做好信息系統內部控制測試
在結合型政府信息系統審計中,審計機關審計人員可運用熟悉的傳統審計測試方法�,輔以計算機輔助審計測試方法對前述確定的信息系統數據�����、應用程序、人員�、制度等重點內容進行審計測試���。具體可采用:(1)傳統審計方法����。通常可采用詢問法、觀察法����、檢查法��、核對法、比較法���、數據分析法等方法。如:詢問或觀察職責分離制度���、人員操作制度、運行維護制度的執行情況���;觀察有關人員對信息系統訪問是否設定口令����、系統操作是否違反職責分離原則;查閱系統日志文件、操作記錄,查看系統中是否有非法訪問記錄和報告�,有無未經授權的用戶操作系統���;觀察����、檢查系統功能設置����、程序化控制���、權限設置�、系統參數配置等是否合理�����、有效���,如權限設置是否符合職權要求�,人員崗位變動或離職前是否及時進行權限鎖定或刪除���,客戶數據是否進行唯一性檢驗�,財務軟件是否存在反結賬、反記賬等功能;核對��、比較原始憑證與數據庫憑證文件數據的一致性��,以測試憑證數據輸入控制的有效性;對數據庫文件數據采用數據分析法���,如分析數據文件中操作員代碼、數據異常值���、數據間的關聯關系�、數據間的平衡或合計關系等審查是否存在非法用戶或越權操作����、參數設置的有效性�、數據處理是否存在錯誤等以測試數據處理控制的有效性���,也可通過數據分析反推系統中存在的非法功能和漏洞����,等等。(2)計算機輔助測試方法����。通??刹捎糜嬎銠C數據審計軟件工具����、整體測試法、平行模擬法、虛擬實體法��、受控處理法等方法���。如利用計算機審計軟件(OA)���、數據庫管理系統(Access����、Sqlserver)��、Excel等獲取和分析被審計信息系統數據輸入���、處理�、輸出控制�;運用整體測試法、平行模擬法���、虛擬實體法、受控處理法等方法(張瑜���,2012),測試系統的處理和控制功能是否恰當�、可靠���,接口程序是否存在缺陷等�。除此以外,對于信息系統硬件�、軟件�、網絡安全等方面內部控制測試�,由于其技術性較強,審計人員可重點從系統管理的視角著手����。一般采用面談法�����、詢問法、觀察法����、測試軟件等����,重點審查計算機安全和管理制度的執行情況��、是否建立安全認證機制、是否建立針對系統故障的應急安全機制、軟硬件來源的合法性,觀察硬件是否進行有效的保養、隔離�����,查看系統是否安裝防火墻���、安裝防病毒軟件、定期檢測和清除計算機病毒,利用漏洞掃描工具和網絡檢測診斷工具等對網絡環境進行測試和評估�。
(三)如何做好信息系統效率��、效果與效益審計
對于結合型政府信息系統審計中的效率、效果與效益性審計����,應遵循可操作����、實用性原則�����,審計機關審計人員可通過詢問�、觀察����、查閱資料����、發放調查表和比較分析等方法���,重點了解信息系統的各項功能在被審計單位日常工作過程中的使用情況���,了解信息系統功能設置能否滿足系統目標���,了解信息系統保障被審計單位信息資源共享����、業務有效開展和履行情況��,了解信息系統運維成本和效益并進行定量化分析處理���,對比被審計單位信息系統規劃�����、運營目標,運用一定的評價方法(如平衡計分卡法、層次分析法�、模糊綜合法等)(張靜等�����,2011)進行評價,給出審計結論和審計建議��。就目前來說�����,信息系統的效率����、效果和效益審計在我國仍然處于理論和實踐探索階段����,缺少規范的指導,缺乏完善的評價指標體系�,因此�����,如何科學、準確地評價信息系統的效率���、效果和效益,仍然存在不小的難度����。
五����、結束語
篇4
20世紀60年代,隨著計算機技術開始運用于企業的信息收集和整理中���,會計信息處理逐漸無紙化,促使審計人員在執行傳統審計業務時����,必須關注以電子數據為載體的電子數據處理審計�����。20世紀70年代中期至80年代,電子數據處理和管理系統等在企業中逐漸普及��,同時��,計算機犯罪和計算機系統失效的事件頻頻發生���,使得信息系統審計日益得到重視并迅速發展。美國�����、日本先后成立了IT審計方面的協會組織�,從事對IT審計規則的制定和實施指導。20世紀90年代����,信息和信息系統已成為企業的重要資產���,企業和社會對信息系統控制和審計的需求愈發強烈��。發達國家的信息系統審計進入普及期�,許多國家的審計機關��、學者和組織對計算機環境下的信息系統審計進行了有益的探索�。同時��,東南亞各國也逐漸認識到信息系統審計的重要性����,開始著手研究信息系統審計理論和實務�。
目前,我國信息系統審計僅有十幾年的歷史�����,尚處于探索階段��,既缺乏開展信息系統審計業務的人才隊伍���,也沒有形成專業規范體系,所進行的一些計算機審計方面的探索和嘗試以及計算機審計軟件的開發和應用還大都停留在對被審計單位電子數據進行處理的階段����。存在的主要問題有:信息系統審計觀念落后�����;信息系統審計相關的準則、標準和規范尚不完善;信息系統審計專業人才匱乏;信息系統審計軟件開發工作滯后�。1997年�����,廣州地鐵開始公司“信息化”建設。最初,廣州地鐵經營審計采用“繞過計算機審計”的方法�����,即對導出數據進行審計�����。審計過程中����,其逐漸意識到了運用這種“黑箱原理”審計方法的風險。因此,2006年公司組建了專門的IT審計模塊���,探索“如何利用計算機審計”和“通過計算機審計”。其后,廣州地鐵信息系統審計發展經歷了借力、助力和自立三個階段�����。一是借力期:IT審計模塊成立初期��,公司與外部顧問共同開展IT審計項目�,通過外部專業人員向審計人員傳輸IT審計技能����,同時制定《IT審計實施細則》��,在人員技能儲備和制度上為IT審計模塊的發展奠定了基礎����。二是助力期:審計人員參照審計手冊�����,利用從外部顧問處學習到的審計技能����,逐步開展信息系統審計工作����,將IT審計工作模式調整為以自身力量為主,外部咨詢服務為輔的模式�。三是自立期:2009年�����,廣州地鐵IT審計已基本實現自主化,且IT審計模塊逐步走向成熟�,同時其還建立了具有自身特色的信息系統審計框架��。目前,IT審計已經發展成為廣州地鐵內部審計的一根“支柱”���,連同“內控審計”,作為基本的審計手段貫穿于各類專業審計工作中,支持審計體系的鞏固與發展。
二、信息系統審計內容
1、國內外關于信息系統審計內容的研究
開展信息系統審計首先要明確審計內容�����。國際信息系統審計協會規定����,信息系統審計的主要內容包括信息系統程序審計�、信息技術(IT)治理、系統生命周期管理��、IT服務的交付與支持����、信息資產的保護、災難恢復和業務連續性計劃�。近十幾年來��,國內的學者和組織也對信息系統審計的內容進行了探索和研究。審計署在2012年頒布的《信息系統審計指南———計算機審計實務公告第34號》中明確提出了:信息系統審計包括對應用控制����、一般控制和項目管理的審計�。其中��,應用控制包括信息系統業務流程����,數據輸入����、處理和輸出的控制,信息共享和業務協同�;一般控制包括信息系統總體控制���、信息安全技術控制���、信息安全管理控制���;項目管理包括信息系統建設的經濟性��、信息系統建設管理、信息系統績效���。上述具有代表性的規定和研究成果對信息系統審計內容的劃分,均是以對信息系統邏輯結構的分析為基礎��。全面分析信息系統的邏輯結構�,可從信息系統的構成要素、信息系統生命周期和信息系統管理三個維度進行描述:從構成要素來看���,信息系統由人員、應用(包括軟件平臺和應用系統)��、所采用的技術��、硬件設備�����、數據文件運行規則組成;信息系統生命周期可劃分為信息系統的規劃階段、開發階段�����、運行維護階段和更新階段�����;從信息系統管理的維度來看��,對系統的管理與控制活動貫穿于信息系統生命周期的始終,主要是通過有效執行一系列健全有效的規章制度和管理規程來實現���。
2、廣州地鐵信息系統審計實施框架
結合廣州地鐵信息化項目多���、系統更新快����、數據集成度高、系統控制與手工控制并重等特點,圍繞信息系統構成要素����、信息系統生命周期和信息系統管理三個維度�,廣州地鐵將信息系統審計的內容劃分為整體計算機控制審計��、應用控制審計和系統建設效能評價三個方面���。其中�����,整體計算機控制審計是對信息系統運行中的控制活動進行審計,目的是合理保證由信息系統支持的業務流程控制是可靠的����、生成的數據和報告是可信的�。應用系統控制審計是對業務流程中的自動化控制活動進行審計����,以合理保證交易的有效性、經適當授權和記錄、完成的完整性、準確性和及時性。項目及系統績效審計是對信息化項目的過程及成果對企業和業務產生的效益進行審計�����,用來合理保證信息化項目的投資/產出比例符合建設的目標�,以及信息系統對企業戰略起到的預期的支撐作用。圍繞上述三個方面,廣州地鐵內部審計確立了以下的實施框架。
(1)確立整體計算機控制安全���、操作、變更的三個評價維度��,圍繞“信息系統全生命周期”���,明確整體計算機控制十個流程�。
廣州地鐵通過學習和借鑒國際信息系統技術管理和控制標準COBIT,建立起了一套自己的整體計算機控制審計框架�����?�?蚣芸砂戳鞒毯涂刂祁愋蛢煞N方式進行劃分�,兩種劃分方式在本質上是一致的����。在按流程劃分出的每個子流程中,信息系統審計人員需要從變更�、安全�����、操作的角度去確認和評估具體的控制點;在按控制職能所作的劃分中,審計人員需要圍繞信息系統的策略與計劃���、信息系統操作、與外部供應商關系、業務可持續計劃���、應用系統開發、數據庫����、軟件支持���、網絡��、硬件等十個子流程進行審計。圍繞安全����、變更、操作三個角度及十個子流程�����,廣州地鐵共梳理出有關整體計算機控制的41項審計內容���,并針對每一項內容明確了控制目標和風險�,建立起了一套完整的整體計算機控制矩陣。例如�,信息系統策略和計劃子流程中���,廣州地鐵明確了整體計算機控制的三大目標———信息系統戰略����、規劃和預算應與實際業務和戰略目標保持一致�����,計算機處理環境應得到具有適當技能和經驗的人員的充分支持和保證����,以及計算機處理環境中的人員應接受適當的培訓��,審計人員在此基礎上針對各控制目標�,識別并歸納出廣州地鐵現行的9個控制活動���。在具體開展信息系統整體計算機控制審計時����,信息系統審計人員根據審計項目的特點和要求,選擇需要評價的子流程�����,再對照子流程的控制活動進行評估及測試即可�。
(2)從內部控制目標出發���,將信息系統應用控制劃分為訪問控制、完整性控制及數據質量控制三大方面。
廣州地鐵將信息系統的應用控制劃分為應用系統訪問控制�、流程和系統完整性控制以及數據質量控制三大類��,并針對各類控制分別設計了不同的審計內容。一是應用系統授權訪問控制審計包括對系統的認證方式、授權機制、權限的分配管理以及不相容職責分離在系統中的實現情況的審計,目的在于保證經過允許的人才能訪問和操作系統。二是流程和系統完整性控制審計是對系統輸入、處理、輸出以及接口等各種系統運行規則的審計�,用以保證所有經允許處理的數據均轉換到介質上并被處理����,且處理的結果可通過適當的方式加以輸出�,所有輸入、轉換��、處理和輸出均在正常的時間內準確地進行�。三是數據質量控制審計則是指對信息系統中的數據的完整性、規范性和有效性所進行的審計��,旨在保證所有系統的輸出均反映為經批準的有效的經濟業務���,所有經過系統的數據真實����、有效,且能滿足企業各項業務的使用要求���。
(3)圍繞“信息化項目”和“信息系統”,綜合評價信息化建設的效益�����。
在開展整體計算機控制審計和應用控制審計的基礎上��,廣州地鐵從企業經營和投資效益的視角出發�����,在信息系統審計中引入了3E審計的概念�����,嘗試對信息系統建設項目的成效�、建成后系統的應用效能以及信息化對戰略的支撐效果進行審計�。為了全面評價項目�,廣州地鐵通常將對單個信息系統建設項目的合規性審計與項目效能審計結合在一起開展�����。一是信息系統建設成效審計旨在通過對系統建設全過程的審計,促進信息系統的建設規范性,提高信息系統建設的質量����。二是信息系統應用效能審計包括對業務需求的實現情況����、建成功能的使用情況的審計分析���,以及對系統應用對業務管理規范化��、標準化和精細化提升作用的綜合評價���,目的在于促進系統使用價值的最大化�,減少系統建設的投資浪費����。三是戰略支撐效果審計是從支持戰略實現的角度,評價信息系統的建設效益�,保證信息化建設在符合業務管理要求的同時,符合公司戰略的需要��,支持公司戰略的實現��。
三��、信息系統審計實施步驟
信息系統審計步驟(或流程),是審計工作從開始到結束的整個過程���。信息系統審計流程一般可劃分為四個階段:計劃階段、實施階段�����、報告階段和后續階段��。計劃階段是信息系統審計流程的起點����,此階段的主要工作包括了解被審計系統的基本情況,初步評價被審計單位信息系統的內部控制和外部控制�����,識別重要性和編制審計計劃��。實施階段是根據計劃階段確定的審計范圍�、重點�����、步驟和方法進行有針對性的取證����、評價�����,并形成審計結論的過程。實施階段是信息系統審計工作的核心�����,主要由符合性測試和實質性測試兩個部分構成�。在報告階段,信息系統審計人員需運用專業判斷��,整理�、評價收集到的審計證據,以經過核實的審計證據為依據�����,形成審計意見���,出具審計報告����。審計報告的出具并不意味著信息系統審計工作的終結。根據國際信息系統審計標準�,信息系統審計人員對于系統中發現的重大問題和漏洞���,需要對被審計單位所采取的糾正措施及其效果進行后續審計����。審計人員需要將后續審計納入計劃�����,并安排必要的人員和時間進行后續審計����。廣州地鐵IT審計模塊成立之初��,即明確了IT審計“對公司的系統流程與控制、項目進行審計”和“提供有益于增加公司價值的咨詢服務”兩項核心職責,并圍繞公司戰略,以“風險導向”����、“服務戰略”理念為指導����,從信息系統審計戰略規劃和具體項目執行兩個層面分別制定信息系統審計的流程���。
1�����、以公司戰略為導向��,制定信息系統審計的戰略規劃
一直以來���,廣州地鐵奉行“源于戰略�、服務于戰略”的現代審計理念�。這一理念主要體現在兩個方面:一是在制定內審工作計劃時,從公司戰略出發,制定各個內審業務及各專業審計模塊的戰略,并以業務戰略為指導����,開展具體的審計工作���;二是在開展審計項目的過程中����,始終從保障公司戰略執行的角度去發現問題���、評價問題�����,提出整改意見和落實整改。信息系統審計的戰略規劃來源于公司的戰略,以及以公司戰略指導制定的公司信息系統戰略規劃和內部審計業務戰略規劃�����;同時還須結合公司信息化現狀和IT審計模塊定位���,明確廣州地鐵IT審計發展戰略目標�����。
2���、通過風險評估�����,確定各信息系統風險等級,制定層次分明����、重點突出的信息系統循環審計計劃
為利用有限的審計資源掌握公司主要信息系統的建設�、運營情況���,保障信息資源的有效利用�,降低公司信息系統的整體風險,廣州地鐵建立了一套“根據信息系統風險評級制定差異化的審計策略”���。
(1)梳理信息系統脈絡�����,全面掌握信息系統現狀�����。
廣州地鐵結合信息系統規劃、建設和運營的情況及系統分類梳理出被審計信息系統清單����,并從系統構成要素的角度收集系統相關的信息���。這些信息包括系統名稱����、功能模塊����、采用產品等基本信息,以及項目的建設信息���、系統的使用狀況和運維的基本情況����。這些信息是風險評分的依據�����,也為后續開展具體審計工作時確定審計方案提供了指引����。
(2)開展信息系統風險評級�,制定風險導向型審計計劃�。
內審人員從通用風險、業務風險���、項目風險、系統風險��、數據風險和人員風險六大風險類別出發�,全面識別信息系統各類構成要素中存在的風險;對信息系統進行風險評價�����,根據風險得分將信息系統按優先級分別劃分為高�、中、低三類。結合公司IT審計資源的情況���,對優先等級高的系統采用三年一審策略,中等級系統5—6年一個審計周期,風險等級低的系統則根據需要安排審計。在此審計策略的基礎上����,再綜合考慮公司業務的十大風險��、領導關注事項、上一年度內控評價結果和審計項目成果��、公司新一年的工作重點��、公司信息系統的變動情況����,并制定出本年度的信息系統審計計劃�����。
3�����、以風險為導向�,開展信息系統審計
在項目實施階段,審計人員必須從公司整體信息系統控制環境和被審計系統的狀況��、流程與內部控制兩個方面進一步收集被審計系統的相關資料�����,了解和確認被審計單位已建立的內部控制措施��,并對這些控制措施的設計是否達到控制目標進行評估。
(1)以“輪流循環+以點帶面”的方式開展整體計算機控制審計��。
公司的信息化業務采用統一集中管理的模式�,整體計算機控制對各個系統具有一定的通用性。因此��,在實務操作中���,廣州地鐵采用“以點帶面”的策略���,以單個信息系統整體計算機控制為切入點對整體計算機控制進行審計���,評價整體信息系統的安全性�;同時,考慮到信息系統在一定時間內相對穩定,因此在實施整體計算機控制審計時可采取輪流測試的方式�����,即每年從十個子流程中選取幾個進行測試�����,經過一定周期后�,完成對整體計算機控制的全面審計�����。例如���,在2011年開展的信息安全審計項目中��,審計人員就圍繞信息安全這個審計主題,從十個子流程中選取了與信息安全直接相關的信息系統操作�、信息系統安全��、業務可持續計劃、應用系統開發與實施�、數據庫開發與實施和系統軟件支持等六個流程進行審計�。分步��、循環開展整體計算機審計���,在審計風險可控的情況下��,大大節省了審計資源,也使得審計人員能夠更加深入地挖掘和分析整體計算機控制方面所存在問題以及問題的成因���,提出更為切實可行、同時又符合公司信息化業務發展現狀和要求的整改措施����。
(2)以風險為著眼點����,確定應用控制審計重點���。
應用控制是各個信息系統內部所建立的控制機制�����,應用控制審計必須針對某個具體信息系統開展。在開展應用控制審計的過程中����,審計人員應緊緊圍繞“風險”這個著眼點��,通過對原有業務成熟度和系統建設過程中風險的評估,選擇不同的審計側重點開展應用控制審計�。例如���,在合同管理系統審計項目中�����,由于合同管理系統是全新開發的系統,審計人員經分析�,判定系統在應用系統訪問控制方面的風險較高��。而在進行控制評估和測試后,審計人員發現業務人員在創建系統權限設置機制時完全套用了公司辦公自動化系統的權限機制���,而未針對合同業務流程中不同于公司組織架構下的角色設立相應的用戶組,導致系統無法實現合同經辦人與審批人職責的分離���,存在重大的內控風險。
四�、信息系統審計方法
在信息系統審計中�,可因地制宜�,綜合運用多種學科的技術方法,包括:傳統審計中內部控制測評的基本方法和審計取證的基本方法(包括審閱����、核對�����、監盤、觀察�、查詢、函證��、計算�、分析性復核)���;計算機科學的技術方法���,如數據測試法�、程序編碼審查法�、受控處理法、受控再處理法�����、整體測試法�����、平行模擬法�����、程序比較法、漏洞掃描��、入侵檢測���、嵌入審計程序法等等�����;行為科學的技術方法�����,如運用組織發展的理論與方法����、個體行為一般規律的理論和方法。這些方法與技術并不是孤立的,而是互相聯系的。目前��,廣州地鐵在信息系統審計中所運用的方法仍主要集中在傳統的內控審計方法和信息系統管理的技術方法兩個領域�����,具體包括詢問���、觀察��、文件復核、抽樣�����、重新執行����、使用計算機輔助軟件等。在部分項目中��,也采用了一些計算機科學的技術方法���。受限于審計資源不足����,廣州地鐵較少采用程序比較法、平行模擬法�、程序編碼審查法等高成本的審計方法��,而傾向于選用一些較為高效的測試方法�����。但這些高效方法的運用不能完全消除審計風險����,這就需要審計人員根據自身的經驗盡量避免�����。
1�����、傳統審計方法的運用
廣州地鐵在開展信息系統審計過程中較多運用傳統審計的方法���。例如�����,在對信息系統整體計算機控制進行審計時����,通過對系統使用人員的訪談�����、調研和對系統各項操作的觀察��,梳理出整體計算機控制相關的各種控制活動����。在沒有測試環境的情況下對生產在用信息系統的人機交互界面和功能進行調查和確認時�,審計人員大量運用了觀察的方法。在對固定資產信息系統模塊進行審計中����,審計人員通過觀察物資采購人員�、資產管理人員��、會計核算人員在系統中的操作界面、系統實現效果以及業務操作流程來了解系統功能的構造。發現采購中的供應商信息在跨系統流程過程中丟失�,導致財務系統和實物管理的MAXIMO系統的資產臺賬中均缺少供應商信息,致使日后采購同類物資時�,采購人員無法獲取歷史采購信息作為參考��,增加了市場調研成本�。除內控矩陣和訪談��、觀察等方法之外,編制流程圖���、數據流圖和報表流圖也是信息系統審計經常使用的方法����。
2���、計算機科學技術方法的運用
計算機科學技術方法是信息系統審計特有的方法�,來源于IT行業的信息技術的轉換應用�����,主要包括基于數據分析的方法和基于程序分析的方法�����,這些方法的綜合使用使得對信息系統的審計更加有效。具體方法的選用需視被審計系統的實際情況而定�����。在一個審計項目中,廣州地鐵審計人員經常將多種方法結合使用�。例如�,在票務收入系統審計項目中,審計人員首先采用數據測試法,使用正常及非正常的測試地鐵票搭乘地鐵�,在系統中跟蹤測試票的處理情況,以驗證系統處理與控制功能是否均有效����;在對系統中后期內部開發的車站單程票售賣功能進行審計時�����,審計人員采用了程序編碼審查法,對系統的源程序編碼進行審查��,審查后發現單程票售賣金額統計報表在進行數據處理時省略了小數點后的尾數����,導致報表金額存在偏差;在對票務系統的清分報表進行驗證時�,審計人員又采用了平行模擬法�,抽取系統中一段時間內的正式交易記錄�����,在系統外模擬系統的處理規則對交易記錄進行處理,并將處理結果與系統的報表數據進行核對����,結果發現系統在數據傳遞和處理過程中,由于系統對于異常數據的審核過于嚴格,導致部分正常數據被當作垃圾數據丟進異常庫,給公司造成票務損失�����。
3�、計算機輔助審計軟件的應用
計算機輔助審計軟件的應用是信息系統審計的一個顯著特點,也是審計人員準備階段需要重點關注的問題之一�。目前�,廣州地鐵對計算機輔助審計軟件的應用主要體現在以下兩個方面����。
(1)對系統中數據的準確性��、完整性和一致性的檢查����。
例如�����,在合同管理系統審計項目中��,為核對系統接口程序的可靠性,審計人員利用審計輔助軟件快速完成了對合同系統和財務系統數據一致性的核對�����,迅速查找出兩個系統中不一致的數據�。經過深入分析����,審計人員發現由于財務核算人員在財務系統中復核合同支付數據時發現錯誤�����,將支付申請退回給合同系統再由合同經辦人重新填報時�,合同系統未對已生成的支付信息進行更新,導致上述問題的出現�����。針對海量數據處理系統���,數據驗證是審計的重點���,計算機輔助軟件是“不可或缺”的審計工具���。在地鐵票務收入保障審計項目中�,審計人需要通過數據驗證的方式對業務處理的核心系統———自動售檢票(AFC)系統中的系統傳輸和處理機制進行驗證。為此����,審計人員共設計了8大類29子類47個數據驗證主題。審計時���,審計人員運用計算機輔助審計技術����,在兩個月內完成了對AFC系統中10天總計超過3億條運營數據的驗證工作���。
(2)利用計算機輔助軟件進行對比測試���。
即審計人員從信息系統中抽取某部門樣本數據�����,將樣本數據輸入到與計算機輔助軟件中進行處理,把審計軟件輸出的結果與業務系統產生的結果進行對比分析��,以判定業務系統的可靠性與準確性�����。廣州地鐵在已開展的運營票務收入保障審計項目中大量地使用了此種方式�。審計人員將各車站站務人員在票務系統中錄入的售票數據導入到計算機輔助軟件中��,按照業務規則對數據進行處理���,將處理結果和系統輸出的結果進行對比。經對比,審計人員發現票務系統在處理異常數據時過于嚴格��,導致部分非異常數據被系統當作異常數據丟入異常庫中�����,給公司造成票務損失。
4、信息系統審計與業務內控審計相結合
篇5
木桶效應又稱木桶原理或短板理論���,是由美國管理學家彼得提出來的,其核心內容為:一只木桶的盛水量取決于最短的那一塊木板的長度。木桶效應蘊含以下三個推論:其一�����,只有桶壁上的所有木板都足夠高�,木桶才能盛滿水;其二���,只要桶壁上有一塊木板不夠高��,木桶里的水就不可能是滿的���;其三,只有木桶的底板、側板自身有足夠的結實度及相互之間有足夠的緊密結合度���,才能保證木桶盛水功能的完備�����,不漏水。木桶效應以人們所熟知的生活常識����,形象�、巧妙地揭示出整體優化面臨的共性問題,即最佳結構選擇問題:整體的實力和競爭力取決于整體內各部分有機組合而成的結構�����,結構的變化制約著整體的發展變化��,最終導致整體性能的改變��。木桶效應的形象生動及其蘊含的深厚哲理使得它被引用的頻率越來越高����、應用的范圍也越來越廣��。木桶效應中的“木桶”不僅可象征企業或其內審機構等實體性組織����;也可象征組織的某項職能��,如內部審計職能�。內部審計職能著眼于組織整體�����,較內部審計機構更為宏觀,也是本文的立足點。如果將內部審計職能看作一只木桶�,影響內部審計職能發揮的目標、組織�、行為及管理等四大因素猶如組成木桶的四大板塊����,任何一個板塊成為短板或存在漏洞�,都會產生木桶溢出的負效應,制約內部審計職能發揮�����,因此,需要應用系統管理理論方法將這四大因素科學管理起來���,避免短板或漏洞的產生�����,保障內部審計職能發揮。
二����、內部審計的系統管理模式分析
系統管理理論����,把管理對象看成是特定的系統���,以系統思想為指導��,以系統功能最佳為目標,運用系統管理方法�����,把握住系統的組成要素及要素之間的聯系�����,對各要素進行高效率的計劃、組織��、指導和控制�,及時調整和控制系統的運行,以實現系統全過程的動態優化管理�����,最終實現系統目標��。根據系統管理理論����,設計系統管理模式的一般方法是先進行系統的總體設計,然后進行各子系統或具體問題的研究���。內部審計系統主要包括目標、組織�、行為和管理等要素���,各要素之間存在著錯綜復雜的內在聯系�,且各要素本身又是由若干子要素組成的子系統���,構成一個完整的內部審計系統�����。
1.內部審計目標系統。
目標系統是內部審計所要達到的最終狀態的描述系統��。由于內部審計是隸屬于企業內部的一項職能���,企業的每一項職能都要圍繞企業的核心目標而用力���,國際及中國內部審計協會對內部審計目標進行了恰當定位�����,即為了組織增加價值并提高組織的運作效率�����,幫助組織實現其目標?��?梢姡瑑炔繉徲嫺灿谄髽I目標而存在�,為最終實現企業目標保駕護航�。內部審計目標系統包含系統目標�、子目標和可執行目標三個層次,其中系統目標即企業目標����;子目標即開展的每一項審計項目的總括性目標�����,向上與系統目標銜接一致;可執行目標用于確定審計項目的詳細構成���,向上與項目目標銜接一致,應具有可操作性,便于審計人員具體執行�����,通過“自上而下”及“自下而上”雙向控制����,最終達到實現整個內部審計目標的目的�。
2.內部審計組織系統。
內部審計組織系統是由參與完成審計工作����、實現內部審計目標的個人和機構組成��。內部審計組織系統具有開放性,在進行內部審計組織系統設計時,應考慮以下幾點:一是把握突出內部審計的獨立性和權威性原則����;二是內部審計機構與董事會或者最高管理層的關系��,根據第2302號內部審計具體準則規定,內部審計機構與董事會或者最高管理層存在組織隸屬關系,應當接受董事會或者最高管理層的領導并向其報告�����,保持良好的關系���,積極尋求其對審計工作的理解與支持,增強內部審計的權威性及審計工作開展的便利性;三是內部審計機構及人員相對于同層級管理機構及人員應具有相對的獨立性和權威性�,便于審計工作開展��。
3.內部審計行為系統。
內部審計行為系統是由完成內部審計項目或任務、實現內部審計目標所有必需的內部審計活動構成的��,包括審計目標�、審計制度、審計計劃、審計工作方案制定�、審計項目實施以及審計建議落實等�。這些活動之間存在各種各樣的邏輯聯系���,構成一個有序的動態系統�����,設計內部審計的行為系統,應注意以下幾點:一是應包括實現內部審計目標系統必需的所有工作����,并將它們納入計劃和控制過程中�����;二是按照內部審計準則及制度實施審計項目,保證審計項目實施程序化、規范化����;三是保證內部審計行為系統與企業內其他機構��、部門及個人行為之間良好的協調。
4.內部審計管理系統���。
內部審計管理系統是指為使內部審計達到應有的效果,對內部審計的目標���、組織及行為系統所采取的控制措施總和。為最終確保內部審計目標的實現�����,內部審計管理系統從總體上應完成如下工作:一是對內部審計的目標系統進行策劃��、論證和控制��,使之與企業目標相統一;二是對內部審計的行為系統進行計劃和控制�����,使之符合內部審計準則及制度的規定�,保障審計質量���;三是對內部審計的組織系統進行設置�、協調和指揮,使之保持相對的獨立性和權威性�����,利于審計工作開展及審計目標實現����。
三、結語
篇6
隨著會計電器化的廣泛應用�����,傳統內部審計面臨著新的挑戰��,從而出現了電算化會計系統的內部審計�。
一��、計算機會計系統內部審計的特點
計算機會計系統內部審計的特點�,首先是審計的系統性���,要對數據�����、硬件�、軟件等各種要素進行系統的分析和檢查,才能確定輸出結果的正確性��,作出可靠的審計結論��。第二是審計的復雜性��,這是由被審系統數據處理方式�、數據貯存方式、系統控制方式��、應用系統和電子計算機輔助審計技術的多樣性和復雜性所決定的�。第三是審計資料的隱蔽性、敏感性和易逝性�����,這是由于審計線索主要以兩種形式存在:一種是肉眼可以看見的審計線索�,如輸入的原始憑證、記賬憑證等原始文件��、打印出來的會計賬簿����、會計報表等;另一種是肉眼看不見的���,如存儲在軟盤或硬盤上的會計數據庫資料等。第四是審計的運行性����,即在不斷運行的系統中進行審計和監督���。
二��、計算機會計系統內部審計的內容
內部審計可以從硬件和軟件的系統控制和實質性審查兩個方面來進行審計。
l、內控制度的審計����。對內部控制制度的審查與評價����,既是審計的基礎�,又是審計的前提。從實施的角度來看��,內部控制有些是通過程序來實施的���,有些則是通過制度約束來實現的����。通過程序的設計和運行來實施控制的“程序化”控制��,和通過建立管理工作制度來完成控制的“制度化”控制�����,必須通過內部審計來確保其實施,才能使計算機會計系統的安全�����、可靠和穩定得到雙重保險���。在電算化條件下����,雖然仍要審查傳統審計的一些內容,但重點主要在于系統軟硬件及數據的內部控制���。
內部審計人員應在本單位以上各方面制度的制定過程中,積極發揮參謀作用����,并在以上制度的實施過程中���,定期審計或突擊檢查��,查找內部控制的弱點,提出改進措施���,使制定的內部控制制度得以執行,以保證會計數據的安全性�����、有效性�、完整性和準確性。
2��、實質性審計���。在手工條件下�����,審計主要是對書面資料進行審查��。在電算化條件下,會計核算由計算機在程序的控制下完成��,除了審查輸入和輸出數據�����,還要審查電子計算機程序和貯存在機內的數據文件����。因此審計工作重點轉移至對會計軟件合法性����、正確性的審查和對機內數據文件的審計方面。
三���、計算機會計系統內部審計的方法
針對電算化會計系統審計的特點,結合本系統的工作實際����,我們已由以前的“繞過計算機”的審計方法,轉向在計算機輔助審計的基礎上進行“通過計算機”的審計方法:計算機技術和經濟管理的結合����,極大地提高了管理工作的現代化水平�����。其中發展最快、應用效果最顯著的����,是計算機在會計工作中的應用���。
隨著會計電器化的廣泛應用�����,傳統內部審計面臨著新的挑戰,從而出現了電算化會計系統的內部審計。
一、計算機會計系統內部審計的特點
計算機會計系統內部審計的特點,首先是審計的系統性��,要對數據���、硬件���、軟件等各種要素進行系統的分析和檢查�,才能確定輸出結果的正確性,作出可靠的審計結論�。第二是審計的復雜性�����,這是由被審系統數據處理方式、數據貯存方式��、系統控制方式�����、應用系統和電子計算機輔助審計技術的多樣性和復雜性所決定的。第三是審計資料的隱蔽性�����、敏感性和易逝性,這是由于審計線索主要以兩種形式存在:一種是肉眼可以看見的審計線索,如輸入的原始憑證、記賬憑證等原始文件、打印出來的會計賬簿、會計報表等;另一種是肉眼看不見的���,如存儲在軟盤或硬盤上的會計數據庫資料等。第四是審計的運行性,即在不斷運行的系統中進行審計和監督���。
二、計算機會計系統內部審計的內容
內部審計可以從硬件和軟件的系統控制和實質性審查兩個方面來進行審計。
l、內控制度的審計�����。對內部控制制度的審查與評價��,既是審計的基礎���,又是審計的前提�����。從實施的角度來看,內部控制有些是通過程序來實施的��,有些則是通過制度約束來實現的�。通過程序的設計和運行來實施控制的“程序化”控制,和通過建立管理工作制度來完成控制的“制度化”控制,必須通過內部審計來確保其實施�,才能使計算機會計系統的安全�����、可靠和穩定得到雙重保險��。在電算化條件下����,雖然仍要審查傳統審計的一些內容�����,但重點主要在于系統軟硬件及數據的內部控制�。
內部審計人員應在本單位以上各方面制度的制定過程中���,積極發揮參謀作用�����,并在以上制度的實施過程中���,定期審計或突擊檢查�,查找內部控制的弱點���,提出改進措施����,使制定的內部控制制度得以執行,以保證會計數據的安全性�����、有效性����、完整性和準確性�����。
2���、實質性審計����。在手工條件下,審計主要是對書面資料進行審查��。在電算化條件下�����,會計核算由計算機在程序的控制下完成����,除了審查輸入和輸出數據����,還要審查電子計算機程序和貯存在機內的數據文件。因此審計工作重點轉移至對會計軟件合法性���、正確性的審查和對機內數據文件的審計方面。
篇7
信息系統審計對審計人員的素質要求較高����,既需要熟悉計算機技術�����,同時又要精通人民銀行各項業務�。目前,從現有的人民銀行內審人員構成來看,具有計算機專業背景人員較少,從而制約了信息系統審計開展的深度和廣度����。尤其是中心支行這一級�,大部分單位缺少信息技術審計人員��,即使有在數量上也很少��,難以獨立開展高質量的信息技術審計項目。
二�����、轉型環境下提高基層人民銀行信息系統審計水平的對策
(一)創新審計流程���,強化信息系統事前和事中審計�。信息系統審計是以保證計算機信息系統安全平穩運行,有效控制風險為目標的��,如果僅從合規性的角度進行信息系統審計���,無法達到上述目標�,因此,開展信息系統審計的目的不僅要善于發現問題����,有效防范已暴露的風險��,更要分析化解潛在的風險,以提高審計效果。這就要求我們要創新審計流程��,改變傳統審計方法���,采用“參與式”的審計方式����,加強與科技等部門的溝通交流�,重視事前與事中審計。一要完善溝通機制�����?�?萍寂c系統應用部門應及時將制定的有關制度�、操作規程�����、系統運行中的事故情況���、解決措施����、處理結果發送給內審部門;內審部門應就審計系統時發現的問題,及時向科技和系統應用部門進行通報和反饋�,并與他們定期或不定期地磋商��、交流,了解各業務系統運行情況,更好地發揮信息系統審計的作用。二要組織審計人員參與新系統的開發���、評估,并設計滿足審計業務需要的功能,真正做到對信息系統的事前和事中審計���。三是在審計過程中采用“參與式”審計方法,參與信息系統審計目標、內容����、計劃的制訂����,參與審計中發現問題的分析��、討論,參與信息系統風險的評估及改進措施的制訂等。
(二)確立風險導向審計,從風險管理的視角推動信息系統審計����。對信息系統的審計����,往往需要對信息系統的潛在風險進行分析評估�,這就需要引入風險導向審計。風險導向審計的重點是分析評估系統固有�����、控制和檢查三類風險���。即:評估分析計算機系統本身存在的脆弱性����,如容易感染病毒、易受到侵害����、攻擊以及軟件�����、硬件、網絡方面出現的故障等����;分析評估系統操作人員沒有按照內控制度的要求進行操作��,而又沒有被內控防止或者糾正的可能性�����;分析評估審計人員沒有進行實質性測試而不能發生被審計單位差錯的可能性���。通過風險分析評估����,量化各類風險的大小��,從而把審計資源集中到高風險的審計領域����,以最大限度降低信息系統審計風險�,提高信息系統審計的質量。
篇8
一����、電子商務系統審計的必然性和必要性
在商業活動實現網絡化之前�,采購是面對面或通過紙質文件進行的����,有跡可查�,即使是電子交易����,其設備結構是專用的,一般只限于已知用戶使用�,任何外部用戶必須是已知的��、身份明確的、可追蹤的�;系統通常是主機結構方式���,相對易于監督、控制和審計�����。與傳統商業相比���,萬維網客戶/服務器系統的特點是高度分散��,資源共享�����、服務分散、顧客透明度高等,而電子商務的運作速度更快��、業務循環周期更短��、風險更大�����、更高程度地依賴于技術。電子商務系統的技術基礎和市場的快速變化意味著傳統的衡量方法已不再適用于企業的某些資產,財務報告不能充分提供企業的狀況和價值方面的信息�,特別是網絡企業的無形資產�����,如商譽、客戶忠誠度和滿意程度等這些產生長期價值的關鍵資產。核實確認這類資產價值的困難在于缺乏足夠的歷史數據、合適的參照標準、先進的實踐經驗以及對網絡的各種威脅和概率的準確估算。企業管理層以及公眾都需要尋找能夠用以表述網絡企業的可信度����、安全性及其他資產價值的方法�,需要一些新的核查和審計方法���,更有效地評價無形資產����,如知識���、品牌等�。因此,電子商務系統審計就成為歷史的必然�。由于�����,電子商務的可靠性、適用性�����、安全性和性能等方面受到的威脅或存在的風險�����,都可能會影響其生存和發展���。風險因素包括:商業信息的泄露�、智能財產的不當使用����、對版權的侵犯、對商標的侵犯、網絡謠言和對信譽的損害等��。因此����,進行必要和客觀的審計�,才會使董事會���、審計委員會��、高級管理層對電子商務系統的安全運作和效益滿意和放心。
二�����、網絡風險和風險管理
網絡風險如同自然災害一樣不可預見���。風險管理的關鍵在于風險評估���,風險評估就是要分析和衡量風險事件發生的概率及后果�,引起風險的因素及其關聯因素,出現風險的關鍵點采取什么方法能夠減緩風險���,風險出現造成后果如何,以及評價管理層是否履行了應有的職業審慎進行防范和控制�。同時在評估中還要為各項因素設計評價比率�,計算各種風險的影響后果�,根據影響和后果排序,對高風險因素作進一步的分析��。
通過風險評估����,可以認識到潛在風險(威脅)及其影響,以便對高風險領域作一些防范�、檢測����、控制�、減緩和恢復的工作計劃和安排。這些計劃和安排應涵蓋對各項控制成本��,主要是指接受���、避免��、轉移、監測成本的分析以及各項工作的先后次序���。
三、電子商務系統審計中網站的合法性證明
網絡終端用戶都會關注網站是否來自一個真實的�、可靠的機構����,提供的信息是否準確真實�����,機構背景是否正當合法�����,個人信息的隱私權是否得到保護等。所謂隱私權是指對個人的數據/信息的搜集必須合法、公平�����,必須用于某一特定����、公開的目的,必須取得該個人的同意并受到保護�����,本人必須有權進入系統進行修改或刪除�����,信息的越域流動和將來的使用、披露必須予以安全保證和限制等��。
解決這些網站合法性問題的途徑之一就是由一公證機構提供可靠的證明����,以使網絡終端用戶能對網站提供的電子商務放心�����。如Verisign,TRUSTe,BBBOnline,WebTrust,SysTurst等都是具有良好的信譽并且提供證明-查證服務的專業組織機構。網絡終端用戶可以通過查詢這些公證機構的記錄���,獲得確認被訪問網站的名稱、有效狀態、服務器標識等信息�����。
四���、內部審計和電子商務系統審計
美國注冊會計師協會對“核實查證”的定義是“提高決策者所需要信息的質量或內容的獨立性專業服務��?�!逼鋵徲嬙瓌t是保證系統的可用性、安全性����、真實完整性和持續性����,建議對系統安全性和真實完整性方面存在的控制點進行檢查��、評價和測試���。并盡量在今后采用合適的審計標準對信息技術進行審計。不同于以年度為基礎的傳統外部審計�����,電子商務的實時性要求審計人員應對其進行連續不斷的評估��,按特定的審核標準對已發生的交易進行追蹤���,而系統內設置的自動登錄記錄可作為相應的審計軌跡���,在系統內部實施對事件監督和控制��。
盡管當前許多人認為核實查證通常與外部審計人員相關,內部審計人員則在公司內部出具審計報告。然而����,國際內部審計師協會對電子商務系統審計的要求則是:審計控制目標主要是審計財務報告制度���、經營的效益和效率��、合規性和保護財產安全等方面。審計模式應該建立在系統的可用性�����、容量�����、功能���、保護和可靠性的基礎上���。例如,內部審計對網絡企業控制水平的獨立評價����,使得客戶了解到企業提供的數據將不會被有意或無意地濫用����。再如����,企業目標是建立電子商務以降低成本����、提高市場占有率���,那么電子商務風險是隨著網絡交易的增加而增加���,以至于不能確保交易的安全性或分辨用戶的可靠性���,因此�����,所需要的控制就是對用戶的真實性進行確認以及對通訊信息進行加密����。
電子商務系統審計的成功與否在于審計人員是否掌握相關的技術知識�����,了解商業風險及風險管理策略,是否有現成的策略隨時應付出現的風險。因此��,作為一個成功內部審計人員應了解企業的業務�����,以服務為宗旨并努力增值��,積極提高專業技能,關注系統的效率和效益�,建立對電腦領域發展的職業敏感性�。
