信息系统审计论文篇1
众所周知,审计质量是评价审计工作水平高低的标准,是会计师事务所的生命。审计质量的高低直接影响审计目标的实现,对社会经济的发展与稳定产生着直接或间接的影响。由于早期计算机应用比较简单,计算机审计业务主要关注被审计单位电子数据的取得、分析、计算等数据处理业务,还称不上信息系统审计;随着信息时代的到来,网络的普及及计算机信息系统的建立为信息系统审计带来了前所未有的机遇和挑战。
一、计算机信息系统环境下对审计质量的影响
(一)审计线索的减少
审计线索,亦称“审计轨迹”,在计算机信息系统环境下,会计核算主要由计算机完成,计算机只记录最后处理结果,忽略中间处理过程,数据形成依据的记录减少。储存于磁性介质上的会计数据具有存取方便、修改与删除不留痕迹的特点,这又给审计的追踪带来重重困难。因此,计算机信息系统环境下审计线索的减少和追踪困难的增加,必定给审计质量带来重大影响。
(二)审计对象的限制
审计对象是审计监督、检查和评价的客体,具体体现为被审计单位的各项经济活动及其反映的资料。在计算机信息系统环境下,注册会计师进行审计的依据是计算机的输出信息,审计对象在此受到计算机操作人员的限制。后者完全可以只提供他们愿意被审计的信息,其他敏感性信息则极有可能被人为掩藏。这样,注册会计师处于被动地位,难以获取充足的审计证据支持其审计结论,审计质量显然要受到影响。
(三)审计内容的扩展
手工系统中,审计内容就是有关财务会计的信息,而计算机环境下的审计内容还包括会计电算化系统的开发与设计、会计软件的程序以及数据库管理系统。此外,注册会计师还应该确定系统的开发与设计方法是否合理,是否严格按照分析、设计,测试、运行、维护的步骤进行,分析是否全面、设计是否恰当、测试是否充分,会计软件执行程序是否与实际操作中的业务流程一致,数据库管理系统是否有效,会计软件是否能够予以信赖,并以会计软件处理输出的结果作为审计对象。
(四)审计方法的落后
目前,被审计单位的财务工作多采用计算机进行数据处理,会计电算化软件功能日臻完善,但是审计软件的发展远远没有跟上会计软件发展的步伐,同时大部分注册会计师对计算机信息系统还不太熟悉,绝大多数审计业务仍停留在绕过计算机进行审计的阶段。但是这种方法的运用以系统必须留有足够的、肉眼可以识别的审计线索为条件,如前文所述,审计线索缺乏是计算机环境的一个特点,因此,绕过计算机审计的方法难以保证计算机环境下的审计质量。
(五)注册会计师计算机知识的缺乏
在计算机环境下,从审计计划的制定到审计程序的确定,从审计技术的选择到审计方法的采用,都必须由注册会计师操作和指挥。这要求注册会计师不仅要有丰富的会计、财务、审计知识和技能,熟悉财经法律以及其他的审计依据,而且还应当掌握计算机知识及应用技术,掌握数据处理和管理技术;不仅要懂得审计软件的操作方法,而且还应当根据审计过程中所出现的种种问题,即时编写出各种测试、审计程序模块。
二、计算机信息系统环境下提高审计质量的对策
为了提高在计算机信息系统环境下的审计质量,在财务审计中,变绕过计算机审计为穿过计算机审计,对计算机内部数据处理的详细过程直接进行审查。内容包括以下几个方面。
(一)积极开展计算机信息系统的事前审计
通过事前审计监督,对计算机信息系统建立的内部控制的严密完善性、系统的合规合法性以及系统的可审性等进行评价,保证计算机信息系统运行以后数据处理结果的真实性和正确性,防止和减少计算机信息系统信息失真风险的发生。
(二)定期对被审系统的内部控制制度进行审计
对计算机信息系统的内部控制进行审查和评价是提高计算机信息系统环境下审计质量的有效措施之一。通过对被审计系统内部控制制度的健全性调查和实际执行情况的符合性测试,找出控制的弱点,提出强化内部控制措施,督促被审计单位完善内部控制系统。(三)重视计算机信息系统的事后审计
通过事后审计,对计算机信息系统的电子账以及打印输出资料的真实性、合法性进行评价,防止和揭露计算机信息失真的风险。
通过以上分析,在计算机信息系统环境下审计的业务范围已经扩展到了符合性测试领域。为财务报表审计提供服务只是信息系统审计业务内容很小的一部分,与信息安全相关的防火墙审计、安全诊断、信息技术认证以及eRp相关的新型咨询业务在不断涌现。
三、加快发展信息系统审计
信息技术的发展对中国注册会计师和会计师事务所提出了更高的要求。国际同行的业务收入中,传统审计服务的收入比例在迅速下降,风险控制服务和管理咨询服务收入的比重大大提高,而这些收入中增长的部分往往又和it环境审计和信息系统安全审计服务有关。所以,应该从三个方面发展信息系统审计工作。
(一)内部控制环节的变化,使许多传统的控制手段已经失去意义,评价和改进内部控制必须以信息系统的运转为基础
计算机信息系统下的内部控制虽然与手工会计系统的目标是一致的,但是与手工会计系统相比,由于计算机有自动处理的功能,内部处理的不可控制性要求采用更为严格的方法。所以在控制方式、内容、手段等方面均不同于手工会计系统的内部控制。
1.职权制审查:即从组织机构角度审查信息系统中各种人员的职责与权利、联系与牵制。
2.人员素质审查:即是否有以提高人员素质为目的的控制措施。
3.硬件及环境审查:即对存档的系统设计文本中有关硬件的资料审查。
4.运行审查:即对计算机在输入、处理、输出过程中的运行情况审查。
5.修改方式及保密措施审查:审查操作修改程序是否只有一个入口,即凭证输入口;发现错误是否采用重新输入凭证的方式加以修改;是否修改后有修改痕迹;各主要功能模块是否设置操作口令,程序是否建立保密制度。
(二)控制计算机环境风险和信息系统运行风险作为管理咨询和服务的重点
由于企业经营越来越依赖于信息系统,除了传统意义上的经营风险、控制风险和财务风险之外,企业信息系统安全性导致的信息风险也日益增长。非授权用户常常利用信息系统本身存在的脆弱性对系统进行非法访问,这种非法访问使系统中储存信息的完整性受到威胁,使信息被修改或破坏而不能继续使用,更为严重的是系统中有价值的信息被非法篡改、伪造、窃取或删改而不留任何痕迹。此外,计算机还容易受各种自然灾害和各种误操作的破坏。必须认识到信息系统的这种脆弱性,采取有效措施来保证信息系统的安全。
信息系统审计论文篇2
(一)信息系统审计的定义。中国内部审计协会(2014)认为信息系统审计是指“内部审计机构和内部审计人员对组织的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动”。按照上述定义,信息系统审计的重点跟传统审计一样,还是专注于内部控制与流程,但关注点不同,信息系统审计的关注点是信息系统的控制和流程,而不仅仅只关注相关的制度和规范。
(二)信息系统审计的目标。信息系统审计和控制联合会(iSaCa)CoBit框架认为组织内部的信息系统需求三原则是:质量、成本和安全,即在保证信息系统满足组织需求的前提下,尽可能避免组织内外部风险,并减少研发和维护成本。因此信息系统审计的目标就是对组织信息系统的运行的可靠性,数据的真实性和安全性提供评价。
(三)信息系统审计的步骤。由于大多数高校内审机构在“数字化校园”开发阶段并没有参与其中。本文所述的信息系统审计专指信息系统运行维护阶段的审计。
1.审计准备阶段。信息系统审计准备阶段步骤与传统审计类似,通过从被审计单位获取相关信息系统管理的规章制度,找负责系统维护管理的工作人员座谈,实地观察等方式,完成审前调查,进行风险评估、初步确定审计重点和制定审计实施方案等工作。
2.审计实施阶段。信息系统审计在实施阶段分为两部分,分别为信息系统一般控制审计和应用控制审计。一般控制审计往往比应用控制审计更为重要,因为应用控制的有效性常常受到一般控制的影响。根据审计项目不同,审计人员可以只实施一般控制审计或者两者结合进行审计。(1)一般控制审计。一般控制审计又可以分为硬件和软件两部分,两部分的审计重点和方法有所不同,分别为:对硬件的审计通过实地观察法实施,主要有审计网络接口是否安全,是否有硬件防火墙,硬件设备存放环境是否安全,防火、防雷、防盗措施是否完备,是否装备了UpS,在硬件出现故障时是否制定了应急响应计划等。对软件的审计通过抽样、观察和面谈实施,审计重点为:一是系统管理控制,主要有系统设定的职责分离是否合理,授权管理是否充分,是否做到一个系统账户对应一个工作人员,是否确保了只有被授权的用户才能对特定资源和数据进行访问等;二是软件安全控制,主要有是否安装了杀毒软件,软件是否定时升级,未经授权的软件能否安装,是否有系统操作规范等;三是数据管理控制,主要有数据传输是否加密,系统数据是否定期备份,有无冗余备份,数据修改是否按照规定程序进行审核,向外部传输系统数据是否有身份认证,是否定期对数据质量进行检查等。(2)应用控制审计。信息系统应用控制是指为保证应用程序处理数据时按照组织流程运行,确保数据的完整性和真实性的控制,包括输入控制、处理控制、输出控制三部分。输入控制包括输入授权、数据转换和编辑校验,处理控制包括运行总数控制、计算机匹配和批处理控制,输出控制包括复核系统处理日志、审核输出文本、审核程序。对应用控制的审计,主要通过分析性复核和计算机辅助模拟的方法,审计重点为信息系统业务的控制点设置是否合理,数据处理程序最多运行数,是否有审核系统日志程序等。
3.报告阶段。内审人员根据实施阶段编制的工作底稿,出具审计报告初稿,与被审单位充分沟通后,修改审计报告,报相关层级领导审核后,签发正式审计报告。
二、高校做好信息系统审计的措施
1.转变观念,提高开展信息系统审计必要性的认识。“数字化校园”建成以后,高校内部控制环境已经悄然发生改变,内部审计要想充分发挥其独有的管理评价职能,必须迎头而上,及时开展信息系统审计。不少内审机构认为信息系统审计专业性太强,无从着手,实际上信息系统审计的核心并没有改变,还是对信息系统控制的评价,并没有超出审计人员专业知识的范畴。
2.结合实际,建立信息系统审计的体系。当前,国际上已经有比较成熟的关于信息系统审计的体系,那就是信息系统审计和控制联合会(iSaCa)CoBit体系,但完全照搬肯定是不行的,在实际操作中,内审机构必须结合国情、校情,进行修订更改,出台符合自身工作实际的、具备可操作性的信息系统审计体系,以规范审计工作。
3.加强对内审人员的培养。内审机构可以通过以下方式提高内审人员业务素质:一是鼓励内审人员取得CiSa资格。由iSaCa颁发国际信息系统审计师(CiSa)执业证书是唯一在国际上获得认可的证书,具有很强的权威性。二是在聘请外部审计机构进行信息系统审计的同时,让内审人员参与其中,做到边实践边总结,起到“以审带练”的作用。
信息系统审计论文篇3
论文摘要:信息技术在为人类带来益处的同时,也会带来一定的风险。实施会计信息化审计,加强对会计信息化信息系统运作的有效监督,对防范信息系统的风险将起到一定的作用。目前,多数企业,没有充分认识到会计信息化审计的积极意义和效益,对会计信息化审计的必要性认识不足,从而使会计信息化审计工作没有引起足够的重视。本文从会计信息化审计的“目标、特点、策略、前景”四个方面进行分析探讨。
一、会计信息化审计的目标
1.会计信息系统的安全性
会计信息系统的安全性是指组成会计信息系统的硬件、软件、数据资源是否受到妥善保护,不因自然和人为的因素而遭到破坏、更改或者泄漏系统中的信息。会计信息系统的资源通常包括硬件、软件、数据文件、系统文档、消耗性材料和其他设施。这些资源经常放在一处或几处,硬件可能被恶意破坏,软件和数据文件的内容可能丢失或毁损,消耗性材料和数据资源可能未经批准而被使用。会计信息系统的安全是通过建立相应的安全控制措施而加以保护的,评价会计信息系统的安全性,主要是审查会计信息系统的安全控制措施是否健全有效,对于不足之处应提出需要进行改进与完善的建议。
2.会计信息系统的可靠性
会计信息系统的可靠性是由其中的硬件系统的可靠性、软件系统的可靠性及数据的可靠性等因素共同决定的。软件系统的可靠性是指在运行环境中,在规定的运行时间内或规定的运行次数下,程序和所有数据元素运行不同测试用例的无差错概率。硬件系统的可靠性是指在一个指定的时间周期内,在给定的控制条件下,硬件系统执行所需功能的成功概率。数据可靠性是指数据的真实、准确和及时,它取决于系统绝对数据的处理过程是否准确无误,以及确保数据可靠的控制措施是否有效。系统的可靠性还体现在它的容错能力上。对会计信息系统可靠性的评价要检查系统的运行是否稳定可靠、是否容易出现偏差和错误,是否能抵御外界干扰而正常工作。评价会计信息系统的可靠性时,审计人员应对决定会计信息系统可靠性的各项因素进行综合审查和评价。
3.会训信息系统的有效性
会计信息系统的有效性是指该系统能否实现既定的目标、系统的各项处理过程是否符合国家法律和有关规章制度的要求。评价会计信息系统的有效性,必须了解用户的需求。会计信息系统有效性的审计一般在系统运行一段时间之后进行,通过事后审计可确定会计信息系统是否能实现既定的目标,根据审计的结果,管理者可做出相应的决策。
二、会计信息化审计的特点
1.审计的所有领域全面运用现代信息技术
目前,审计在每一领域都还做得不够,如:尚未构筑起适应现代技术发展的一种或多种可能的、可用于解释和预测多种审计现象的多维审计理论—,这种理论将使对审计环境、目标、本质、假设、概念、标准、技术、方法、过程等的论述更新颖、更丰富、更具逻辑性和环境适应力;急需加速我国的审计工作从落后的“绕过计算机审计”向先进的“通过计算机审计”和“使用计算机审计”转化。如何利用现代信息技术管理责任与风险巨大的审计(尤其是独立审计)行业是一个值得探讨的问题,新时期,所有的审计人员都应成为完全意义上的电脑审计人员,而这是审计(后续)教育的重要任务。
2.会计信息化审计系统具有极强的适应性
信息化会计信息系统的多元、实时、开放性使会计信息化审计也具有多元、实时、开放性特征,实时审计、会计责任审计、环境审计、境外审计等都将因此而变得更加容易。
3.会计信息化审计将对传统审计进行重整
尽管“两权分离的程度决定了审计主体的种类和被审计单位的形式”,“审计效率和审计风险的矛盾决定了审计程序和方法的历史变迁”,但如果所有的计算机只囿于会计电算化信息系统的水平,提供的信息单一、过时、封闭,国外的会计师事务所的非审计业务(其必须依赖于多元、实时、开放的信息)收入又怎能达到其总收入的70%(我国仅30%左右)?事实上,正是信息量极大丰富的信息化会计信息系统和全新的会计信息化审计理论,支持了卓有成效的“四大”国际会计公司及其或集权或分权的管理模式,支持了审计效率和审计风险矛盾的最有效的解决,从而支持了现在和将有的多种繁杂的具体业务。
三、会计信息化审计的策略
1.建立会计信息化审计组织机构
会计信息化审计组织机构不健全将会阻碍我国会计信息化审计的发展。为适应未来我国会计信息化审计发展的客观要求,我国应尽快建立自己的会计信息化审计组织机构,按照会计信息化审计的要求组织、协调会计信息化审计工作,规划会计信息化审计的发展策略和职业培训计划,研究会计信息化审计理论、方法、技术和规范,指导会计信息化审计工作。在这项工作的起步阶段,政府应加强领导力度,从宏观上搞好规划安排,从资金和技术上扶持会计信息化审计,有效规划、部署和指导我国的会计信息化审计工作。2.加强会计信息化审计理论研究
审计理论来源于审计实践,又反过来指导、促进审计实践,二者不可偏废。没有审计实践,审计理论无法产生,没有审计理论指导的实践会走弯路。因此,要在审计实践中善于及时发现、总结规律性的问题,将其上升到理论的高度。国内学术界、政府研究机构应当加强会计信息化审计的理论研究,积极开展学术交流,密切关注国际会计信息化审计的最新发展动态,不断发展与完善会计信息化审计理论,从而更好地为会计信息化审计实践活动提供指导,促进我国会计信息化审计事业的发展与繁荣。
3.制定会计信息化审计准则
会计信息化审计同传统财务审计相比,在审计对象、审计目标、审计内容等方面均有所不同。为了规范会计信息化审计业务,明确工作要求,保证执业质量,应研究和制定我国的会计信息化审计准则和实务指南。会计信息化审计发展到一定阶段,必须由行业组织出面将实践经验加以总结,并把有关概念、工作流程和技术方法固定和统一起来,形成行业标准和规范。
4.强化企业领导加强管理与控制的观念
树立企业领导的信息化会计信息系统管理意识是开展会计信息化审计工作的关键。因此,企业主管部门在充分领会国务院有关“国民经济信息化”指示精神,认真抓好企业信息化建设的同时,还必须注重对企业领导进行会计信息化系统管理与控制的思想教育,促使企业领导从企业生存与发展的高度来认识会计信息化审计的重要意义,重视会计信息化审计工作,将会计信息化审计作为一项重要工作来抓。
5.大力培养会计信息化审计人才
从内部讲,一是强化培训。各级审计机关要拥有完备的培训基地,从自己的需要加强不同岗位的适应性培训;二是重点选拔。即有重点地选派一些“尖子”人才进高校深造,进行知识更新,或参与国际技术交流和技术合作,在实践中不断增长才干;三是完善机制。要逐步形成能有效鼓励各类人才脱颖而出,能最大限度地挖掘,激发各类人才智力潜能的运行机制,使知识最终能作为最重要的生产要求参与分配。
6.加大会计信息化审计的宣传力度
开展会计信息化审计的主要障碍之一是对会计信息化审计的必要性认识不足,必须加大会计信息化审计的宣传力度,如实宣传网络环境下重构后的会计信息系统所带来的风险,大力宣传会计信息系统控制的重要性,让更多的经营管理者,真正认识到开展会计信息化审计的必要性,增强会计信息化审计的迫切性,促进社会舆论对会计信息化审计的理解与支持,进而推动会计信息化审计工作的开展。
作者单位:河南工程学院
参考文献:
[1]谢诗芬.高级财务会计问题研究[m].四川:西南财经大学出版社,2004.45-52.
[2]胡仁显.自助式会计信息系统[m].上海:立信会计出版社,2003.78-82.
信息系统审计论文篇4
[关键词]计算机审计;信息系统审计准则;isaca;协调机制
近年来,审计署、中国注册会计师协会(中注协)等部门对信息系统审计的开展都极为重视。2011年7月出台的《审计署“十二五”审计工作发展规划》指出,“有步骤、分阶段地推进与重点中央企业信息系统的联网,试点实时审计”,“积极开展信息系统审计”[1]。信息系统审计尽管遵循传统审计程序,但与财务审计有根本的区别,它本质上属于评价性、鉴定性审计。信息系统审计的研究在西方国家较为成熟,在我国的研究与规范则尚处于起步阶段。截至2012年2月,审计署、内审协会出台的有关信息系统审计方面的规范与标准仅2项,即审计署于2010年9月颁布的《中华人民共和国国家审计准则》(第8号令)[2]和内审协会于2008年9月颁布的《内部审计具体准则第28号———信息系统审计》(内审准则第28号)[3],而中注协至今还尚未颁布关于信息系统审计的规范。我国亟待出台完善的信息系统审计系列标准,以此推进信息系统审计业务的开展。结合近年的研究,本文就信息系统审计的特点、信息系统审计准则的国内外发展现状以及在我国的发展策略作一探讨。
一、计算机审计与信息系统审计
目前,我国出台的计算机辅助审计规范有7项,信息系统审计方面的规范却较少。若要促进信息系统审计准则的建设,区分计算机审计与信息系统审计就十分必要,这将有助于消除我国学术研究中两者混淆不清的情况。日本会计检察院计算机中心认为,计算机审计包括两个方面:一是对计算机系统本身的审计,如系统安装、使用成本,系统和数据、硬件和系统环境的审计;二是计算机辅助审计,包括用计算机手段进行传统审计,用计算机建立一个审计数据库,帮助专业部门进行审计[4]。根据2010年修订的《中华人民共和国审计法实施条例》和2001年的《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》,计算机审计包括对计算机管理的数据进行检查及对管理数据的计算机进行检查两个方面[5]。我国学者李学柔与秦荣生在《国际审计》一书中,对计算机审计的特性表述为:“一是对执行经济业务和会计处理的计算机系统进行审计,即计算机系统作为审计的对象;二是利用计算机辅助审计,即计算机作为审计的工具。”[6]笔者认同上述关于计算机审计内涵的论述,并认为计算机审计向两个方向发展:其一是信息系统审计方向,其二是计算机辅助审计方向。
当前,国内外学者对信息系统审计的界定不尽一致,主流的观点有:ronweber于1999年提出,“信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效地实现组织目标的过程”[7];日本通产省情报协会于1996年对信息系统审计的定义是“为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向信息系统审计对象的最高领导,提出问题与建议的一连串的活动”[7]。信息系统是由计算机硬件、网络与通讯设备、计算机软件、信息资源、信息用户和规章协议组成的,以处理信息流为目的的集成化人机系统。有效提高信息系统的安全管理与运行效率是信息系统审计的核心问题。笔者认为,信息系统审计应该是it审计师根据特定的规范,运用科学的信息系统管理方法,对信息系统网络的运行规程与应用政策所实施的一种评价与鉴证活动,旨在增强复杂信息网络的有效性、安全性、机密性与一致性,以此保障信息系统的高效运行。
二、中外信息系统审计准则的发展状况
(一)我国信息系统审计准则的发展情形
在传统审计业务方面我国已经形成了一套相对成熟的规范体系,然而,在信息系统审计理论方面,我国的相关研究几乎是空白[8],至于对信息系统审计准则系列规定的构建,在我国更是无从谈起。计算机审计包括信息系统审计与计算机辅助审计两方面,截至目前,我国出台的计算机审计规范或准则共计9项,其中,计算机辅助审计方面的规范7项,信息系统审计方面的准则2项,见表1。
表1 当前我国已有的计算机审计规范
两项信息系统审计准则中,一项是内审协会于2008年9月颁布的《内部审计具体准则第28号———信息系统审计》(内审准则第28号),另一项是审计署于2010年9月颁布的《中华人民共和国国家审计准则》(第8号令)中的5项具体条款。内审准则第28号总计8章32项条款,该准则从总则、一般原则、信息技术风险评估、信息技术审计的内容与方法等方面对信息系统内审业务加以规范,它明确指出,“组织的信息技术管理目的是保证组织的信息技术战略充分反映该组织的业务战略目标,提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性,提高信息系统运行的效果与效率,合理保证信息系统的运行符合法律法规及监管的相关要求”[3]。审计署第8号令不是一项专业的信息系统审计准则,而是一项传统审计业务的新规范,但其某些具体条款涉及被审单位信息系统的检查方法与审计原则。仅有的两项信息系统审计准则,前一项条款涉及范围相对全面,但是具体条款过于笼统,后一项所涉及的信息系统审计准则过于零散,难成体系,两项准则无法为我国信息系统审计业务的开展提供具体指导。
(二)国外信息系统审计准则的发展情形
国外有关于信息系统审计准则的发展已经趋于成熟,其中较为典型的有信息系统审计与控制协会(isaca)制定的《信息系统准则体系》与《信息系统和技术控制目标》(cobit),美国审计署制定的《联邦信息系统控制审计手册》(fiscam),国际内部审计协会制定的《基于风险的信息系统控制评价指南》(gait),以及英国、法国、德国与荷兰共同制定的《信息技术安全评估准则》(itsec),这些准则与规范均为多个国家所广泛应用[89]。上述准则与规范中最为典型的应为isaca机构制定的准则体系,该体系框架见表2。isaca是集信息系统控制、管理、审计于一体的专业机构,总部在芝加哥,在全世界160个国家约有95000名会员。isaca的任务包括注册信息系统审计师(cisa)资格认证、制定isa准则、组织cisa资格考试等七项内容。七项内容相互辅助,融为一体,且isa准则的制定以其他六项为有机支撑。表2所阐释的isaca信息系统审计准则体系来源于isaca机构出版的《itstandards,guidelines,andtoolsandtechniquesforauditandassuranceandcontrolprofessionals》[9]。该体系总计330页,将信息系统审计准则分为审计标准、审计指南与作业程序三个部分,其中审计标准表述为s1—s16,规定了审计章程及审计过程所必须达到的基本要求,是cisa的执业行为的基本规范;审计指南表述为g1—g42,明确规范了cisa实施审计业务的具体标准,为cisa如何遵守审计准则提供指引;作业程序的表述为p1—p11,提供了信息系统审计业务的一般步骤,为cisa提供了is审计工作的具体思路。
(二)我国的信息系统审计准则无法满足广泛的社会需求
近年来,复杂的信息系统在我国得到广泛应用,如公安综合网络信息系统、集团信息管理系统等。由于受到特定经济环境以及网状信息系统复杂性等多种不确定因素的影响,信息系统安全问题日趋严重,社会对信息系统审计准则的需求亦日益迫切。如,2006年10月10日中国民航信息网络股份有限公司离港系统主机发生故障,包括北京、上海、广州在内的众多机场的离港系统整体性瘫痪;2009年9月17日,知名券商申银万国交易系统突然瘫痪,其位于全国各地的一百余个营业部均受到影响,近半个小时未能进行证券交易;2010年2月3日,民生银行因信息系统故障,全国范围所有业务无法办理;2011年10月25日,北京东城区39家社区卫生服务站出现信息系统故障,近一周的时间无法为患者提供正常门诊与取药服务。若要解决上述问题,则亟须一套成熟的信息系统审计准则对信息系统进行事前预警、事中控制与事后评价,显然,目前我国仅有的两项准则无法满足社会的需求。信息系统审计准则在我国的需求主要体现在三个方面:一是信息系统内部控制与审计的需求。对此,内审协会需要出台全面的准则与规范,为组织中内部审计人员评价信息系统的安全提供参考标准。二是公共机构中信息系统外部审计的需求。对此,审计署需要出台系列的信息系统审计准则,为政府审计人员提供明确的审计流程与技术方法。三是公共机构之外的组织中信息系统外部审计的需求。对此,中注协需要出台规范的信息系统审计准则,为社会审计人员提供清晰的参照标准与风险控制思路。
(三)我国的信息系统审计准则多方制定主体间缺乏默契的协调机制
政府审计准则、内部审计准则、社会审计准则的出台机构分别为审计署、内审协会与中注协,它们应根据其自身服务范围制定相应的信息系统审计准则。然而,尽管三方均需制定各自的准则,但是由于在信息系统审计的目标、原则、方法与技术方面只是形式的不同,而内容并未有实质差异,因此,审计署、内审协会、中注协有必要就信息系统审计的原则与方法等同质的方面作出统一的规范,然后再根据各自的特点进行修订。多年来,我国信息系统审计准则出台过于零散,其原因之一是审计署、内审协会、中注协各自缺少对外交流机制,且彼此之间缺乏协调机制。一项准则的出台,不仅仅需要制定主体之间相互协调,同时还需要集合制定主体之外的多方相关利益主体。信息系统审计准则所需集合的外部主体主要有信息系统审计师、信息系统管理工程师、信息安全工程师、信息系统项目管理师、学术界以及其他利益相关者。因为信息系统审计准则制定者的理性并非无限的,因而,将各利益主体有机协调于一体,将会尽可能地集合审计学学科、计算机科学学科以及信息安全学学科中理论界与实务界更多人的知识与经验,从而全面提高信息系统审计准则的质量。在我国,尽管信息系统审计并非强制性审计,且耗费人力、财力集合各方主体完善相关准则从目前来看并不会产生更多的社会效益,但是从长远来看,缺少必要的多方互动机制并非明智之举,准则制定者应在引入多方主体的基础上采取听证会等方式,多听反对意见,广纳民意,集中民智。
四、信息系统审计准则体系的构建策略探析
构建并完善信息系统审计准则体系是一项系统工程,它不是简单工作的叠加,而是具体工作的有机整合。我国的信息系统审计准则建设刚刚起步,准则制定主体将面临全新的挑战。在此,笔者希望准则制定主体在信息系统审计准则制定上,尽可能坚持以下三个方向。
(一)合理借鉴国外成熟的信息系统审计准则体系
国外信息系统审计准则体系相对成熟,我国的准则制定机构可以直接引入国外先进的信息系统审计准则研究成果及实践经验,这样不仅可以避免开展重复性工作,而且能快速站于更高的起点。当然,“借鉴”并不意味着“照搬”,准则制定机构在“借鉴”中应关注国际趋同、中国特色和自主创新三点。
1.国际趋同。当前,全球经济一体化趋势要求审计准则也趋向一体化。2010年11月10日,国际审计准则制定机构在与中国审计准则委员会的联合声明中高度评价中国审计准则的国际趋同成果。审计作为一门学科不分国界,大量“吸收”国外成熟的信息系统审计标准,走“国际趋同”道路,将是我国发展审计准则的大势所趋。信息系统审计准则的国际趋同是矛盾的统一体,我国的准则制定机构需要实现“推动趋同的积极因素”与“阻碍趋同的消极因素”二者作用的均衡。
2.中国特色。由于各个国家的国情不尽相同,因而外国成熟的理念不尽适于中国。我国与国外审计文化的差异主要体现于三个层次:其一是物质文化差异,包括审计环境、审计条件等;其二是制度文化差异,包括审计规范、审计机构组织方式等;其三是精神文化差异,包括价值取向、行为方式等[10]。例如,国际政府审计准则由四部分组成,全部具体准则共计191项条款,然而我国政府审计准则共分为六个部分,全部准则共计47项条款[2]。造成国内外差异的原因有诸多方面,其中一个是我国政府审计无论是实践经历还是理论研究都起步较晚。正因如此,我国审计准则的制定与出台均是以实践经历为基础的,是紧紧围绕实践环节作出的程序性规定,在形式上和内容上拘泥于条条框框,难以达到“适度拓展性”与“适时适应性”等理论高度[11]。有鉴于此,我国的准则制定机构在“借鉴”中,需要充分认识国内外审计文化的差异,明确我国审计文化的特色,努力设计出适用于我国的高效的信息系统审计准则体系。
3.自主创新。我国对信息系统审计准则的制定不仅要做到中国特色,还要做到与时俱进并具有前瞻性。为满足上述要求,准则制定机构在借鉴国外的基础上,需要做到基于自身的不断创新。如isaca采用的是会计师事务所的框架,美国审计署采用的是内部控制理论,二者构建的信息系统审计准则体系都主要以内部控制为基础[8],然而当前我国大部分被审单位的内控体系尚在建设之中。再如,国外有众多有关信息化的法规为isaca等体系做支撑,而我国尚缺[11]。类似问题的解决都有赖于我国信息系统审计准则制定机构的持续创新。为了实现“持续创新”,我国有必要为信息系统审计准则的制定与组织设立专门的机构,加大人力、物力、财力的投入,增强准则制定的必要的动力机制,强化准则制定主体,最大限度地发挥相关机构的创新潜力。(二)全面设计信息系统审计准则的完善方案
信息系统审计准则的制定必须科学规划,建立切合实际的信息系统审计准则制订方案并非无法完成。笔者认为,全面的信息系统审计准则完善方案至少包括四项内容:一是确立准则制定相关主体的多方合作机制。信息系统审计准则制定主体的知识具有有限性,因此制定主体不可能制定出适用于任何情况的最优规范,故准则制定机构需要扩大准则制定主体的代表性,将信息系统审计师、信息安全工程师、软件工程师、资深学者等多方主体纳入准则制定团队,这样一方面可以集思广益,提升准则质量,另一方面可以向利益相关者增设利益诉求的通道,促进其对准则的遵从。二是融合信息技术与安全方面的法规及标准。信息系统审计涉及信息管理等多门学科,仅以传统审计理论演绎信息系统审计理论还远远不够,因此,我国在制定信息系统审计准则过程中,还需要融合信息技术与安全方面的法规与标准,如《中华人民共和国计算机信息系统安全保护条例》、《信息系统通用安全技术要求》、《网络基础安全技术要求》、《操作系统安全技术要求》等都将会对准则制定大有帮助。三是加强与信息系统审计有关的法规与准则的确立。信息系统服务于信息经济,制定信息系统审计准则就应以有关信息经济的法律规范为基础。当前,我国有关电子商务、电子政务的法律体系尚未完全建立,由此导致网上交易的安全问题、电子证据的篡改问题等在法律上难以认定,这些都将促使审计人员在信息系统业务运营的合法性审计工作中无法可循。四是做好与信息系统审计准则建设相配套的其他工作。isaca机构的工作重点包括isaca准则建设等七项内容,且这些内容相互支撑。我国在制定信息系统审计准则的动态过程中,也有必要做好与其相配套的其他工作,以便为准则的制定打下良好的基础。信息系统审计准则制定的配套工作应该包括建立信息系统审计协会并明确会员的权利与义务,大力开展信息系统审计教育与培训等,只有如此,高水平的准则参与团队才能涌现,准则的制定质量与执行效果也才会大幅攀升。
(三)科学建立信息系统审计准则的内容框架
信息系统审计准则取材于审计主体、审计过程、审计方法以及审计风险管理,反过来又对它们加以规范。结合isaca准则,审计署、内审协会、中注协在确定信息系统审计准则体系框架时,有必要将该体系划分为三个层次(见图1):一是信息系统审计基本准则层次。信息系统审计基本准则是信息系统审计准则的总纲,是审计机构与审计人员进行信息系统审计时应遵循的基本规范,是制定信息系统审计具体准则与信息系统审计指南的依据。信息系统审计基本准则的主要内容应该包括总则、一般准则、作业准则、报告准则、不正当及非法行为、信息系统管理与附则等方面。二是信息系统审计具体准则层次。信息系统审计具体准则是审计机构和人员在进行信息系统审计时评价审计事项与作出审计决定应当遵循的具体规范。信息系统审计具体准则的主要内容应该包括职业道德准则、审计证据准则、审计工作底稿准则、审计报告准则、审计抽样准则、内部控制评价准则、审计结果沟通准则等多个方面。当然,在上述具体准则中需要融入有关信息系统技术与安全的多方面的专业知识,应该列示信息系统风险评估,入侵检测,防火墙、病毒及其他恶意代码、加密技术的管理控制评价等多项审计流程。三是信息系统审计指南层次。信息系统审计指南是为审计机构与审计人员进行信息系统审计提供的具有可操作性的指导意见。由于当前网络经济的迅速发展与日趋复杂,我国出台的信息系统审计指南要尽可能全面细致,未来出台的信息系统审计操作指导性建议至少应该包括应用系统评审、访问控制、系统开发与维护、实物与环境安全、不正当及非法行为、b2b与b2c的电子商务审核、移动计算、系统开发生命周期审核以及虚拟专用网络等各个方面。科学的准则框架能够为信息系统审计准则的需求方(开发主体、用户主体、审计主体)提供规范化、专业化的管理框架,并能够明确它们的定位、权利与职责,笔者期待大家的共同努力。
参考文献:
[1]中华人民共和国审计署.审计署“十二五”审计工作发展规划[r/ol].(20110701)[20120710]..
[2]中华人民共和国审计署.中华人民共和国国家审计准则(第8号令)[eb/ol].(20100901)[20120710].http://www.audit.gov.cn/n1992130/n1992165/n1993676/2601539.html.
[3]中国内部审计协会.内部审计具体准则第28号———信息系统审计[eb/ol].[20110507][20120710].http://www.ciia.com.cn/docs/fg_xg_nszz/20110507/1304754306534.html.
[4]庄明来.计算机审计与信息系统审计之比较[j].会计之友,2010(5):8285.
[5]中华人民共和国审计署.计算机审计[eb/ol].[20120710].http://www.audit.gov.cn/cysite/docpage/c340/200301/0109_340_670.htm.
[6]李学柔,秦荣生.国际审计[m].北京:中国时代经济出版社,2002.
[7]王会金,刘国城.中观经济主体信息系统审计的理论分析及实施路径探索[j].审计与经济研究,2009(5):2731.
[8]李春青,周座.“国外引进”还是“自主发展”?———对我国政府信息系统审计发展途径的探讨[j].南京审计学院学报,2012(1):5157.
[9]isaca.aboutisaca[eb/ol].[201207
10]..
信息系统审计论文篇5
1建立系统设计前期研发机制
以公司科技项目、管理咨询项目研究为依托,建立系统设计前期研发机制。通过将eRp业务审计研究、智能分析审计体系研究、公司信息化环境下内部控制特性及其审计研究等项目列入公司科技项目、管理咨询项目计划,联合国际知名的审计软件开发商、公司系统信息化建设单位,深入研究审计信息系统开发、建设各方面问题,根据审计信息系统建设的最新发展,借鉴国内外优秀企业的领先实践,研究提出了eRp业务审计系统、智能连续审计系统(审计监控预警系统)开发建设的技术路线、系统架构与功能,为系统开发奠定基础。
2建立系统建设过程管控机制
得到各业务部门的大力支持,获取多部门业务数据,是推进审计系统建设的管理难点。为此,审计部门紧抓机遇,以公司开展的“数据共享与业务融合”专项治理活动为契机,将审计系统建设所需数据集成需求,纳入公司重点工作平台,大力推进与相关业务部门的沟通协调工作,获得各部门的充分理解和对数据提供的大力支持。在系统建设过程中,通过与公司信息化主管部门建立周、月例会机制,及时研究讨论系统开发建设中出现的问题,加强系统建设过程管控,提高系统建设质量;根据各单位的反馈意见和建设中出现的问题,组织业务骨干开展技术攻关,持续优化完善系统功能及其实现方式,提高系统易用性水平,为建成好用、实用、高效的审计信息系统提供有效的机制保障。
3建立系统应用情况考核机制
通过制度指导、强化考核、典型示范、知识普及,推动各单位积极应用信息系统开展审计工作,创新信息化环境下的审计工作方式。一是制定下发《关于加强审计信息系统深化应用工作的实施意见》,对各单位做好系统应用工作、健全系统运维体系、加强应用环境保障等方面提出具体要求;制定系统应用定期考核、量化评分机制,发文通报考核情况,不断缩短考核周期,持续加大考核力度。二是将信息化纳入审计工作管理对标的四项重点之一,引导所属各单位着力推进审计信息化,深入思考,及时提炼工作经验,通过典型经验的机制,共享先进经验,发挥示范引领作用。三是建立审计信息系统深化应用培训的常态机制,培训工作纳入每年年度工作计划,公司总部、分部、省公司(直属单位)各司其职,开展分层、分类培训,加强系统应用知识、管理制度的推广、宣贯力度。
4建立审计信息化理论研讨机制
组织各单位结合自身实际,认真总结、提炼审计信息化建设、应用方面的成功经验,分析存在的问题,并提出建设性的意见和建议,开展理论研讨,撰写工作论文;抽调部分单位的审计信息化骨干组成评审专家组,对各单位提交的论文进行评选,提出修改完善意见,遴选优秀论文报送中国内部审计协会参评内部审计理论研讨优秀论文,并在审计门户系统开辟专栏共享研究成果,在公司系统培育学、用信息系统的良好氛围。
二、实施效果
1构建了体系完整的审计信息化体系
审计门户系统、审计综合管理系统、eRp业务审计系统、管控业务审计系统的相继建设应用,初步搭建起审计信息化平台,基本实现审计管理和审计作业的信息化。审计门户已成为审计人员应用系统,以及公司各单位交流审计工作信息、共享审计工作经验的重要平台;审计综合管理系统以项目管理为核心,实现了审计项目从计划到项目终结的全生命周期闭环管理,促进了审计管理的信息化;eRp业务审计系统、管控业务审计系统实现了审计业务对财务、工程、物资、设备、人力资源、营销管理等电网企业主要业务的全面覆盖,彻底改变了传统计算机辅助审计仅限于财务领域的状况,标志着审计信息系统与各主要业务应用系统的紧密融合,通过信息共享和互联,改变“信息孤岛”状况,初步实现了“信息共享,全程控制,在线监督,辅助分析”的审计信息化建设目标。
2促进了审计部门履职能力的提高
审计系统功能设计体现的是经过凝练的专家经验,能够为审计人员提供高效率的辅助分析工具。通过对最直接、最有效、最核心的审计专家经验知识进行归纳、提炼,所建立的一系列审计分析模型,为审计人员提供了标准化、高效率的审计方法和工具,全面提升了内部审计在提供专业咨询、鉴证意见和增值服务方面的职能。审计人员应用系统探索开展非现场审计,在充分发挥信息系统应有效能的同时,利用审计监督视野广的优势,通过对跨业务数据进行整合分析,及时为公司相关决策提供信息支持,高效提升了审计工作价值。
3保障了依法治企工作水平的提升
信息系统审计论文篇6
现阶段,内部审计信息化建设的过程中,主要面临着理论体系缺乏标准性、信息化建设风险控制工作不够全面、内部审计信息化建设的功能不够完善等困境,对此必须采取针对性的解决措施,本文主要对内部审计信息化建设进行研究。
1内部审计信息化建设中遇到的困境
1.1理论体系缺乏标准性
理论上内部审计信息化建设主要从信息系统的安全以及数据分析等两方面进行,但是,在实际的建设中却发现,对于内部审计信息化建设的理论体系还缺乏标准性,不仅造成了内部审计信息化建设缓慢的局面,甚至还造成大量的建设资源浪费的现象[1]。
1.2信息化建设风险控制工作不够全面
内部审计信息化建设是综合先进的信息技术、计算机技术、数据传输存储技术等多项技术为一体的信息化系统,也是内部审计走向信息化道路的重要途径。但是,就内部审计信息化建设过程来分析,对风险控制不够全面,例如,数据丢失、篡改、被盗取等严重威胁到信息数据的安全性。另外,再加上内部审计信息化数据传输接口存在不统一现象,造成大多数据很难完成相互之间的转换,从而影响到内部审计信息化建设的安全性。
1.3内部审计信息化建设的功能不够完善
随着社会经济的不断发展,信息化建设水平的不断提升,内部审计工作也迎来的巨大的挑战[2]。信息化建设也成为内部审计必须要完善的关键环节,但是,由于内部审计涉及到的岗位以及行业较多,对内部审计的要求也有所不同,这样就会导致内部审计信息化建设水平出现差异,信息化建设平台的功能性不够全面,影响到内部审计信息化建设效率。
2内部审计信息化建设的策略分析
2.1制定内部审计信息化建设的标准化理论体系
内部审计信息化建设理论体系的标准性是对内部审计信息化工作一种约束的方式,更是提高内部审计质量的关键所在,通过以上的分析得知,现阶段内部审计信息化建设的理论体系缺乏标准性,因此,要制定内部审计信息化建设的标准化理论体系。首先,要掌握内部审计信息化实施的主要工作环节,再对各个环节运行的标准化体制进行建设,例如,内部审计信息化系统的运行、审计技术、审计过程、审计证据收集、系统后期的维护等。其次,内部审计信息化的建设必须对系统自身提出一定的规范性要求,而且,要在建设以及实践的过程中,不断的利用信息化技术来完善内部审计系统,当然,必须要在标准化理论体系的基础上来完善的,这样才能有效提高内部审计信息化系统的建设质量,同时能有效的减少建设资源的浪费。
2.2完善内部审计信息化系统的风险管理体系
内部审计信息化系统的数据主要以电子版数据为主,相比于传统纸张记录的数据来说,不仅能够节省大量的资源,同时还便于查找和调用,但是,由于电子版数据具有可篡改、可删除、恢复难等特征,也使得内部审计信息化系统在运行的过程中可能出现一定的风险,对内部审计信息系统运行的安全性造成极大的影响,因此,要不断的完善内部审计信息化系统的风险管理体系[3]。首先,要根据内部审计信息化应用的特点以及需求,对内部审计系统建立风险预警,同时要重视对系统中的重点业务以及可能发生的风险环节进行有效的监控以及统一的管理。其次,要加强对内部审计信息的预测和分析,一旦发现风险因素,要及时采取有效的处理措施来规避风险,或是将风险带来的损失降至最低。再次,如果内部审计信息化应用到企业中之后,也结合企业的实际发展情况,内部审计信息归入企业风险管理中,并对其进行合理的资源配置,同时要做好内部控制工作,并对内部审计的流程进行不断的优化,将内部审计信息安全作为首要的审计工作。最后,在内部审计信息化建设的过程中,要完善风险评价、风险管理以及风险监控等体系,可以充分应用到计算机先进技术,不断的提高内部审计信息化风险管理水平,确保内部审计信息化建设以及实践的安全性。
2.3加大内部审计信息化建设力度,完善信息化平台功能
由于内部审计信息化平台涉及面较广,为了避免出现功能不全面的现象,必须要加强内部审计信息化的建设力度,不断的完善信息化平台的功能[4]。内部审计信息化平台的功能应向着综合化应用平台发展,不仅要注重内部审计的工作,更要做好内部审计业务的管理、外部查证、预警功能等,同时还要结合内部审计信息化系统的具体应用情况,完善相应的功能,例如,网络办公自动化、审计业务、审计决策、审计业务管理、审计资源管理、审计数据综合分析等,在拓展内部审计信息化平台的同时,将内部审计信息化系统向着规范化、信息化、标准化、流程化的方向发展。另外,要建设人力、财力、物力、营销、供应、产品等多项数据综合调查分析功能,这样就可以通过内部审计信息化系统来实现对企业的发展情况进行全面的分析,对企业发展过程中做出正确的决策有着重大的作用。
信息系统审计论文篇7
关键词:信息化;审计;分析
一、会计信息化审计的目标
(一)会计信息系统的安全性
会计信息系统的安全是指存储数据,文件信息等构成的会计信息系统的硬件,软件方面的安全保护。不会因为外在因素而使会计信息受损或泄露。会计信息系统的资源包括计算机硬件,软件,存储文件和其它设施。会计信息的这些资源放在一起活零星散放很有可能造成资源的损坏,丢失,如硬盘遭到破坏,存储数据遭到毁坏,文件丢失,会计的消耗类资源等在没有被批准的情况下而被使用。会计信息安全是通过建立一系列安全措施对会计信息的资源进行有效的保护,避免资源的破坏,损失而造成会计信息的缺失。检查一个会计信息系统的安全性,主要是看其是否拥有一套系统的安全保护措施,对安全系统的不到位的地方改进和完善。
(二)会计信息系统的可靠性
会计信息系统的可靠性是有其构成的部件的软硬件系统的可靠性决定的。其软件系统的可靠性是指软件在运行的过程中,在规定的时间和运行次数下在不同的测试试用例的无差错概率。硬件的可靠性是指在在给定的控制条件下,硬件系统执行所需功能的成功概率。数据可靠性是指数据的真实、准确和及时,它取决于系统绝对数据的处理过程是否准确无误,以及确保数据可靠的控制措施是否有效。系统的可靠性还体现在它的容错能力上,审计人员应对决定会计信息系统可靠性的各项因素进行综合审查和评价。
(三)会训信息系统的有效性
会计信息系统的有效性是指该系统能否实现既定的目标、系统的各项处理过程是否符合国家法律和有关规章制度的要求。评价会计信息系统的有效性,必须了解用户的需求。会计信息系统有效性的审计一般在系统运行一段时间之后进行,通过事后审计可确定会计信息系统是否能实现既定的目标,根据审计的结果,管理者可做出相应的决策。
二、会计信息化审计的特点
(一)审计的所有领域全面运用现代信息技术
现在我国的会计审计在任一行业做得还都不够到位,例如,我国还没有建立起一套适应现在社会发展可用于解释和预测多种审计现象的多维的审计理论,这种理论将使对审计环境、目标、本质、假设、概念、标准、技术、方法、过程等的论述更新颖、更丰富、更具逻辑性和环境适应力;急需加速我国的审计工作从落后的“绕过计算机审计”向先进的“通过计算机审计”和“使用计算机审计”转化。如何利用现代信息技术管理责任与风险巨大的审计(尤其是独立审计)行业是一个值得探讨的问题,新时期,所有的审计人员都应成为完全意义上的电脑审计人员,而这是审计(后续)教育的重要任务。
(二)会计信息化审计系统具有极强的适应性信息化会计信息系统的多元、实时、开放性使会计信息化审计也具有多元、实时、开放性特征,实时审计、会计责任审计、环境审计、境外审计等都将因此而变得更加容易。
(三)会计信息化审计将对传统审计进行重整
尽管“两权分离的程度决定了审计主体的种类和被审计单位的形式”,“审计效率和审计风险的矛盾决定了审计程序和方法的历史变迁”,但如果所有的计算机只囿于会计电算化信息系统的水平,提供的信息单一、过时、封闭,国外的会计师事务所的非审计业务收入又怎能达到其总收入的70%(我国仅30%左右)。事实上,正是信息量极大丰富的信息化会计信息系统和全新的会计信息化审计理论,支持了卓有成效的“四大”国际会计公司及其或集权或分权的管理模式,支持了审计效率和审计风险矛盾的最有效的解决,从而支持了现在和将有的多种繁杂的具体业务。
三、信息化审计技术分析
(一)风险评价
审查和评价内部控制主要是对影响内部控制风险的因素作进一步的排查,找出内部控制的薄弱部位,以预防可能出现的风险,做到未雨绸缪,风险发生时可以采取有针对性的措施应对。其基本步骤如下:
1.风险评价证据的收集。证据是会计审计工作的重点,为此风险评估也要以证据为依据。审计工作人员在评价和审查内部控制风险因素时,其工作的重要任务就是找到证据,并把其装订成工作底稿的形式做成审计文档,如资产安全性风险评价底稿、会计信息系统软件可靠性风险评价底稿等。
2.风险证据的量化。审计工作人员在找寻证据,制作审计底稿的基础上,要根据审计工作的实际情况和信息系统的特点,可以使用相应的审计辅助软件,对审计底稿的各项指标进行计量处理,并按照风险对控制影响的严重程度排序,以方便对审计的重点指明方向。
3.编制系统整体风险分析表。审计工作人员在对审计工作底稿进行风险影响排序以后,其重点审计的项目已经明确,并把那些对内部控制影响较严重的项目进行认真,详细的审计。
(二)数据库审计方法
在电算化会计信息系统中,手工会计的账、证、表、单以数据库或数据文件的形式存放在磁性介质中,鉴于磁性介质的特殊属性,如何确保电子会计数据的完整性和准确性显得非常重要。
1.审计软件取数分析技术。伴随着计算机技术的飞速发展,会计类的软件系统也随着跟新换代,新型的会计软件系统功能更全,水平得到了很大的提高。审计工作人员可以充分的利用这些会计软件所提供的功能,依据实际审计结果选择相应的条件和参数,以便获得所要抽取的相关业务数据。
2.采集数据方法。现在科学技术水平得到了飞速的发展,特别是计算机技术也得到了不断的发展,为此可以根据需要设计一个会计审计程序,扩展到现在审计单位的会计软件中,会计审计工作人员只需定期调阅这些证据文件,就可以知道怎么进行会计审计工作,提出相应的审计意见。
3.扩展记录方法。现在我国很多企业所使用的会计信息系统都没有考虑会计的审计线索,即便考虑了其审计线索,其考虑的也不够全不能够满足会计人员的需求。在对被审计的企业会计信息系统熟悉的情况下,会计工作人员可以使用记录扩展方法。所谓的会计记录扩展方法是指会计工作人员在数据记录的过程中添加必要的字段来记录所需的数据,以方便在会计审计时候能够直接使用这些审计的线索。
参考文献:
[1]谢诗芬.高级财务会计问题研究[m].四川:西南财经大学出版社,2004.45-52.
[2]胡仁显.自助式会计信息系统[m].上海:立信会计出版社,2003.78-82.
信息系统审计论文篇8
摘要:本文简要介绍了信息系统审计的相关概念,归纳了信息系统审计的方法、技术与工具,最后针对信息系统审计在信息化过程中的应用,总结出了其应用价值。
关键词:信息系统审计;企业信息化;信息系统
信息化是国家现代化的基本标志,也是一个国家综合国力的集中体现。信息化建设是一项长期的、综合的系统工程,在改善企业运作管理水平、提高工作效率的同时,也产生了巨大的风险。因此,建立信息系统审计制度,发展信息系统审计是信息化过程中必不可少的制度保证和手段。
一、信息系统审计的概述
1.信息系统审计的定义
信息系统审计(informationSystemaudit信息系统,简称iSa)目前还没有公认的通用定义,国际信息系统审计领域的权威专家Ronweber将它定义为:收集并评估证据,以判断一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济地使用资源。可通俗的理解为是对信息系统的规划、开发、实施、运行和维护等各个环节进行评价,确保其符合企业经营目标的过程。
2.信息系统审计的业务内容
信息系统审计的业务内容包括计算机资源管理审计、软硬件等获取审计、系统软件审计、程序审计、数据完整性审计、系统生命周期审计、应用系统开发审计、系统维护审计、操作审计和安全审计。
信息系统审计项目按生命周期来划分,一般分为信息系统开发过程的审计、信息系统运行维护过程的审计和信息系统生命周期共同业务的审计。
信息系统开发过程中的审计是伴随着系统规划、系统分析、系统设计、编码、测试和系统试运行这几个阶段同步进行的。信息系统运行过程中的审计包括系统输入审计、通信过程审计、处理过程审计、数据库审计、系统输出审计和运行管理审计;信息系统维护过程中的审计包括维护组织审计、维护顺序审计、维护计划审计、维护实施审计、维护确认审计、改良系统试运行审计和旧信息系统报废审计。
3.信息系统审计的流程
信息系统审计流程包括三个阶段即:审计计划阶段、审计实施阶段和审计完成阶段。
计划阶段是信息系统审计流程的第一步,主要任务是了解被审系统的基本情况;与委托单位签订业务约定书;初步评价被审系统的内部控制及外部控制;确定重要性水平;分析审计风险和编制审计计划。
实施阶段的主要任务是根据重要性水平、风险和计划获取有关资料;进行符合性测试和实质性测试;对测试结果进行分析;找出导致结果的原因。
完成阶段的主要任务是整理、评价审计证据;复核工作底稿,完成二级复核,汇总审计差异,同被审系统管理层交流;对重要性水平和风险进行最终评价,形成审计意见,编制审计报告,完成三级复核。
二、信息系统审计的方法、技术与工具
由于信息系统本身的多样性和复杂性,信息系统审计的难度也随之增加。面对错综复杂的信息系统和审计环境,要求审计师可以根据审计组织及信息系统的实际情况,结合审计目标、成本效益、审计小组的人员与设备配置情况等,采用多种方法、技术和工具来帮助他们进行审计工作。
1.常规的审计方法、技术与工具
常规的审计方法包括面谈法、问卷调查法、系统评审会、流程图检查、程序代码检查、程序代码比较和测试等。但在高度计算机化的信息系统中,只采用常规审计法显然是不够的,无论是审计证据的收集、评价,还是实现审计工作的现代化,都需要借助计算机来高效完成。
2.计算机辅助审计的技术与工具
信息系统被普遍应用与企业生产、管理及经营活动的各个环节,审计师为达到审计目的,必须要收集大量储存于计算机中的数据,并借助于计算机对这些数据进行分析,以得出审计的结论。因此审计师在收集证据并分析证据时,必需利用计算机辅助审计工作,计算机辅助审计技术(Computerassistedaudittechniques,简称Caat)越来越成为审计师不可或缺的手段。
计算机辅助审计技术可以使信息系统审计师独立收集审计信息,按照预定审计目标访问和分析数据、报告系统产生和维护的记录的可靠性等审计发现。所用信息来源的可靠性为得出审计结论提供了再保证。
常用的计算机辅助审计软件与技术:共用软件、测试数据、应用程序检查、审计专家系统、整体测试、快照、系统控制审计审核文档、其他特殊的审计软件等。
三、信息系统审计的应用价值
信息系统审计论文篇9
关键词:会计信息系统审计
随着信息技术的发展,包括会计处理系统在内的企业或事业单位的各项经济事项都构建于信息系统之上,人们不仅需要对磁介质的会计信息进行审计,也需要对会计信息系统的各项流程所涉经济事项进行审计,审计工作因而扩大了其审计范围,从“观其会计”进步为“察其会计”,不再只从结果为出发点,而是提前到了过程伊始及过程进行之中,整个的会计信息系统的开发、设计、运行的全过程都成为了审计的对象。它突破了传统的审计理论架构,对审计理论和实践都提出了新的问题和挑战。由此可见,会计信息系统审计的重要性决定,完善其理论体系,制定执业标准和规范,增强实践操作性,应当成为我们努力的方向[1]。
1、会计信息系统审计产生的必然性
1.1会计信息系统的可靠性需要审计
随着信息技术的发展,信息系统正向大型化、复杂化、网络化的方向发展,其处理过程就极为复杂。任何一个环节处理的信息出现问题,都会影响其他环节处理的信息的可靠性,而这些信息对企业的经营可能是至关重要的。因此,企业的管理者需要审计人员对会计信息系统的可靠性作出评价,以确保会计信息系统的可靠性。
另外,信息系统在技术上客观存在着一些不稳定因素。一方面,信息技术不断推陈出新,导致一些技术的应用尚未到成熟阶段便遭淘汰,新技术往往被广泛使用。这无疑有利于提高信息系统的性能,但同时未到成熟阶段的新技术会给信息系统带来不稳定的因素。另一方面,信息系统要进入运行阶段,要经过规划、设计、编程和测试阶段,任一阶段出现错误,都会导致下一阶段错误的出现,甚至会出现“积累放大”效应。尤其是信息系统中的软件系统,其开发需要大量的人力、物力和财力,由于人的认识与客观实际始终存在着差距,无论采用何种开发方法和技术,都难免会出现错误。企业对对信息系统的依赖性和信息系统在技术上客观存在的不稳定因素,推动了信息系统的使用者和开发者对信息系统实施审计,以提高信息系统的可靠性和减少信息系统的不稳定因素。
1.2会计信息系统的有效性需要审计
企业建立会计信息系统的目的是为了改进经营管理,提高核心竞争力。信息化实施后,能否带来预期效果,是企业管理者极为关心的问题。另外,会计信息系统建设是一项需要大量投资的工程。因此,企业的投资者肯定会关心会计信息系统的有效性,也就需要独立审计师对会计信息系统的有效性作出客观的评价。
2、我国会计信息系统审计存在的主要问题
2.1缺乏胜任的会计信息系统审计人才
会计信息系统审计是会计、审计、信息系统、网络技术与计算机应用的交叉学科。开展会计信息系统审计要求审计人员具有复合型的知识结构,既要掌握财会、审计知识,又要掌握信息系统、计算机与网络技术。但我国现在还很缺乏具有复合型知识结构的胜任的计算机审计人员。大部分审计人员并不熟悉计算机是如何进行经济与会计业务处理的,不知道计算机处理与网络技术的运用有什么风险、怎么样的控制才能有效降低这些风险,也不掌握如何对计算机信息系统进行审计或利用计算机和网络技术进行审计。计算机技术人员虽然对计算机和网络技术比较熟悉,但他们又不熟悉会计、审计知识,不知道要审什么、该怎样审。而开发实用性和通用性较强的审计软件所需要的高层次、高水平的人员也很缺乏。人才的缺乏严重制约着我国计算机审计的发展。
2.2信息系统缺乏应有的审计接口
开展会计信息系统审计要求计算机信息系统留有审计接口,以便通过接口取得被审系统的电子信息,进行有关的审计处理。虽然我国软件协会财务及管理软件分会曾对财务软件的数据接口提出了标准要求,但许多财务与管理软件都没有执行。我国现有的计算机信息系统大部分没有设置审计接口,有些系统的数据库还加了密,使审计软件无法访问系统的资料,电子资料的获取成了利用计算机辅助审计的瓶颈。除已有的信息系统缺乏审计接口外,更令人忧虑的是,现在正在开发的电子政务系统和企业管理系统大部分也都没有考虑到审计接口这一要求。
3、对我国会计信息系统审计发展的几点建议
3.1加大会计信息系统审计人才的培养和培训力度
制约我国会计信息系统审计发展的痼疾是高素质专业人才的缺乏。信息系统与传统审计相比,在审计线索、审计内容、审计风险等方面都发生了变化,这就要求审计人员学习新的理论知识,掌握信息技术条件下的审计方法技巧。因此,会计信息系统审计要求审计人员必须具有复合型知识结构,既通晓经营管理核心要义,又具备全面的信息技术知识,并能为会计信息系统可靠性提供合理保证。会计人最好的策略是不断学习,提高创新能力和对信息技术的使用能力,从而提高自身的价值。在人员培训上,要对短期培训和长期培养、面上的培训与高层次人才的培养、在职人员培训和未来人才培养进行统筹规划。对较高层次的人才培养,重点可放在会计信息系统的开发审计、系统的功能或应用程序审计、网络安全审计和审计软件的开发等方面。
3.2强制要求信息系统提供审计接口
我国许多会计信息系统没有审计接口,审计软件无法获取系统的电子资料。缺乏数据接口已成为我国利用计算机辅助审计的桎梏,解决审计接口问题刻不容缓。日前,我国的信息化建设正在紧锣密鼓地进行,各行各业都在开发自己的信息系统,如果不及时提出并解决审计接口这一问题,势必影响今后我国会计信息审计的开展。尽管国务院办公厅的88号文已对会计信息系统的数据接口提出了明确要求,但对此文件的宣传不够,许多单位并不清楚有相应的要求。信息化管理部门与审计部门要加强宣传,让各单位明确凡涉及经济和会计业务处理的计算机系统,必须要为经济监督部门提供数据接口,以便于今后计算机辅助审计方法的应用和审计信息化建设能顺利实施[2]。
3.3注重对计算机信息系统开发与功能审计的研究,积极尝试网络审计
正如前面所述,我国审计机构目前有意无意地忽略了计算机信息系统开发与功能的审计。其实,会计信息系统提供的信息是否正确首先确定于系统的功能,而系统的功能正确与否,又确定于系统的开发。在电子商务与网络经济条件下,审计人员无法再绕过计算机审计,必须对计算机信息系统的开发与功能进行审计。我国审计机构应积极关注和组织计算机信息系统开发与功能审计的研究,包括其规范与指南、技术和方法、风险及防范等方面的研究,以准备积极开展这项审计,适应我国信息化的发展。
同时,随着网络审计的开展,审计证据与工作底稿将以电磁形式存储,审计信息也可以采用网上,无纸化审计将会出现。我国规划中的金审工程就是准备用五年左右的时间,建成能对财政、银行、税务、海关等部门和重点国有企业事业单位的财务信息系统及相关电子数据进行密切跟踪,对财政收支或者财务收支的真实、合法和效益实施有效监督的信息化系统,逐步实现从单一的事后审计转变为事中审计和事后审计相结合,从单一的静态审计转变为动态审计和静态审计相结合,从单一现场审计转变为现场审计与远程审计相结合。
4、结论
总之,会计信息系统审计的本质是会计学、审计学与现代信息技术、系统工程学相融合的一个发展过程。其目标是通过审计与现代信息技术的有机结合,评价控制会计信息系统,实施审计监督服务,以促进经济发展和社会进步。
参考文献:
信息系统审计论文篇10
【关键词】计算机审计发展对策
一、发展计算机审计的必要性
1、拓宽审计范围,全面开展审计监督
一方面,审计人员借助于审计软件,利用计算机提供的程序输入必要的条件进行样本抽取,对异常项目进行调查测试,以确定审计重点,并可以在一定范围内逐笔审计,使得审计内容更加广泛,审计人员可以不再由于时间和工作量的原因而缩小审计范围。另一方面,在计算机审计条件下可以利用计算机快速、准确的特点,积极开展事前审计、事中审计和效益审计,扩大审计范围、提高审计工作质量、减少审计风险,使全面审计成为可能。
2、科学统计与抽样,提高审计工作效率
会计电算化提供的电子账是肉眼不可见的,对不懂计算机的审计人员来说是风险,但对可以用计算机查账的审计人员来说是有利条件。审计人员利用计算机处理数据既快速又准确的特点,使得审计资料的审查与分析工作主要由计算机完成,从而提高审计工作效率。效益审计一般比财务审计、法纪审计需要进行更多的经济定量分析和经济效益指标的计算,利用计算机辅助审计,使得审计人员能挤出时间和精力开展效益审计,更能显示出计算机审计特有的优势。
3、查错防弊,促使会计电算化向更高的目标迈进
会计电算化后,内部控制方式发生了较大变化,内部控制变为对人和机器两方面的控制,如果会计电算化系统在控制上有漏洞,就会造成比手工记账更严重的损失。而开展计算机审计可以找出会计电算化系统内部控制制度的薄弱环节,促进会计电算化系统内部控制制度的建立,达到间接防弊的目的。
在电算系统不规范的情况下,要实现审计软件的通用性只能安排层层提示和大量的人机对话,这必定降低软件的运行速度和效率。要有效地开展计算机审计就必须做到电算会计系统的规范化。此外,深层次的计算机审计是要对会计电算化系统本身进行审查,这就要求审计人员通过打开电算化信息系统这个“黑箱”,探索和测试信息系统的处理逻辑,对它的安全性、可靠性、稳定性、合法性等方面进行监督,从而揭露问题、找出不足、提出改进意见,促使会计电算化系统向更高的目标迈进。
4、加强信息反馈,促进信息化建设
在手工审计条件下,信息的整理、反馈以及灵敏度等方面都存在着较大的不足,而计算机审计则给审计信息的利用提供了极大的便利。例如,审计电算化后,大量的审计信息、审计法规、被审单位的基本情况都存储在计算机内,需要时可随时查阅,使资料的索取更加及时;利用计算机对审计的信息进行统计、汇总、分析和上报,将会大大加快信息的反馈,增强审计系统信息的反馈能力,这将为领导决策提供更多的、及时有用的信息,能有效地发挥审计对宏观调控的作用。
5、推动审计工作规范化、办公自动化
研制开发一种操作简单、使用方便、功能性强、通用性强的审计软件是实施计算机审计的关键。手工条件下,审计人员在各自负责的项目范围内开展工作,工作存在大量的重复劳动。在计算机审计情况下,每个审计人员工作的中间结果大家可以共享,对某一项目的各个部分可根据专业分工同时开展工作,然后把结果汇集到一起,整合成一个完整的工作成果,不仅能节约大量的人力,还能极大地提高审计工作效率,保证审计工作的质量和进度。同时,通过计算机辅助管理,给文字处理、审计程序、审计工作底稿、电子表格等建立规范的模板,使审计工作规范化、审计手段现代化、审计领域高科技化。
二、目前在我国发展计算机审计存在的主要问题
虽然在信息化的推动下,我国的计算机审计有了迅速的发展,但总的来说还是处于学习和摸索阶段,还存在着不少问题,主要有以下几个方面。
1、相关法律法规不完善,准则缺乏可操作性
审计必须依法进行,计算机审计工作同样要依法进行,但目前我国计算机审计的相关法律法规还不完善,特别是与电子商务、网络经济和计算机应用有关的法律法规。例如对联网审计中审计人员应具有的相应的权力和权限、被审计单位的义务、对数据的机密性和隐私性的规定等相关的立法还很欠缺。
2、计算机信息系统的可审性不强
(1)不提供审计所需的数据接口,也不提供系统凭证、账簿和报表的文件结构及设置,很难进行审计取证工作。虽然我国软件协会财务及管理软件分会曾对财务与管理软件的数据接口提出了标准要求,但许多财务与管理软件都没有执行;有些系统的数据库还加了密,使审计软件无法访问系统的资料。
(2)计算机信息系统在开发上没有考虑在应用系统中嵌入审计模块以对系统的交易进行连续监控,方便审计证据收集。
(3)计算机信息系统在功能设计上也没有很好的考虑审计需要,为计算机审计留下足够的审计线索。如保留足够的操作日志、留下经济业务的详细记录,而不是只保留更新后的当前余额等。
(4)由于保密等原因,厂商或者使用单位一般不提供详细的系统开发资料(如数据库表结构、系统设计说明书),这样不利于审计人员对系统软件进行整体评价和有效地采集、转换数据。有效的数据采集和转换建立在对信息系统的有效分析和研究上。
3、审计软件的实用性与通用性不强
首先是实用性不强。国内审计软件的功能虽然比前几年有了很大的进步,但从总体上看,国内通用审计软件的功能还比较简单,数据分析功能较差,相当一部分辅助审计的软件实用性不强,功能不完善,无法与被审计单位数据连接,运行容易出错,使用效果不够理想。部分审计软件鉴定通过后,真正用于审计一线的不多。其次是通用性较差。我国部分较实用的审计软件是针对特定的信息系统或某一类型的数据库来编写的,这些软件的适用面很窄。目前,国内市场上的通用审计软件主要是针对用友、金蝶、安易等市场上流行的财务软件提供数据导入程序,用户如需针对其他财务软件的数据导入程序,则要通过订制开发方式来提供,这种方式极其影响效益。
4、信息系统审计尚未被业界所接受
随着社会信息化程度的提高,信息系统审计越来越受到社会的重视,与信息系统审计相关的专业组织也越来越多,有关职业资格的标准日趋完善。但是在我国,信息系统审计尚未被业界所接受,主要原因有两点。
(1)缺乏相应的信息系统审计标准。我国目前还没有正式的信息系统审计准则,而原有的审计准则已不能完全适应信息系统审计的需要。目前国内开展信息系统审计主要是参考iSaCa信息系统审计准则,但由于国内信息系统集成程度不高、客观应用环境的差异以及法律法规不完善等原因,在国内开展信息系统审计工作还不能完全按照此标准,处于起步阶段的国内信息系统审计工作必须尽快形成适合中国国情的信息系统审计标准体系。
(2)缺乏全面开展信息系统审计业务的人才。信息系统审计要求审计人员不仅要通晓信息系统的软件、硬件、开发、运营、维护和管理,对网络和信息系统安全等具有高度的敏感性,对财务会计和单位内部控制有深刻的理解,而且还必须能够利用规范和先进的审计技术,对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。目前注册信息系统审计师己成为全球范围内最抢手的高级人才,虽然我国己经开展了相关的培训和认证考试,但是规模较小,远不能满足社会需求,因此,我们必须加强专业审计人员的培养,尽快建立一支高素质的信息系统审计师队伍。
三、完善计算机审计的对策
1、加强计算机审计立法
计算机审计立法是保障计算机审计正常发展的关键性措施。新的《会计法》已增加了有关网络财务的内容,《电子商务法》起草工作正在加紧进行之中,但上述法规都不是针对计算机审计而的,不能够满足网络审计的需要。因此,有必要加快网络审计立法工作的进度,使人们在开展网络审计工作时有章可循。如对电子证据、电子签名、电子合同、电子货币等网络经济工具的合法性及其使用规定都需要由立法加以明确,使得网络审计工作尤其是进行合法性审计时有法可依。
2、制定计算机审计准则
审计准则是审计工作应遵循的规范和尺度,是评价审计工作质量的权威性规则。计算机审计在对象、线索、方法、流程、结果等方面相对于传统审计都发生了变化,以往的审计标准和准则已经不能完全适用,所以应加快新的审计标准和准则的制定,以指导网络审计工作实践的深入。如规范对网络审计人员的一般要求,制定网络系统安全可靠性评价标准及网络系统内部控制准则等。
3、大力推行计算机辅助审计技术,提高计算机审计水平
计算机辅助审计技术主要指审计软件和数据测试技术。面对日益先进和复杂的审计环境和对象,传统的审计方法已经远远不能达到现代审计的要求,在这种情况下,审计人员革新审计手段、大力推行计算机辅助审计、充分利用计算机和网络等现代信息技术,无疑是解决问题的好办法。美国政府绩效审计发展成熟,取得的成绩有目共睹,其中的经验之一就是政府绩效审计的科技含量很高。美国政府非常重视数量分析方法和决策模型研究,将一些科学理论,如将信息论、系统论、控制论、概率论、数理统计等运用到绩效审计中,使得计算机等信息技术不仅运用于计算过程,而且运用于绩效审计的计划、分析、管理等方面。
4、加快计算机审计人才的培养
与传统审计相比,计算机审计在审计线索、审计内容、审计风险等方面都发生了变化,这就要求审计人员学习新的理论知识、掌握信息技术条件下的审计方法。因此,从长远看,培养一大批能够独立开展计算机审计业务的专门人才是解决我国计算机审计人才匮乏的有效途径。
我国的网络经济虽然有了很大的发展,但和发达国家相比仍显落后。我国电子商务的销售总额仅相当于美国著名电子商务公司亚马逊销售总额的十分之一,而对网络财务的研究和软件开发也才刚刚开始。审计网络建设不会一蹴而就,应该从某些易于实现的部分入手,有计划地在一段时间内逐步实现;从大型的政府或社会审计单位开始,从经济较发达的地区开始,逐步试验、推广。审计网络适合于采用虚拟专用网络技术,而无须耗费大量的人力物力铺设专用网络。
【参考文献】
[1]秦华:网络会计信息失真原因及其防范研究[J].企业家天地(理论版),2007(4).
[2]门金刚:论企业如何推进网络审计[J].现代审计,2007(2).