it审计论文范文

it审计论文篇1

［关键词］ it审计；挑战；策略

随着信息技术的兴起，信息系统已经渗透到社会生活的方方面面，它在给人们带来便利与效益的同时，也带来了很多负面影响，如计算机犯罪案件的频频发生等，系统安全问题日益严峻。于是一个不容回避的问题——我国企业如何有效地开展信息技术审计（information technology audit，以下简称it审计），保证信息系统安全，摆在我们面前。本文拟对此进行探讨。

一、it审计的定义及其特点

it审计是指对信息系统从计划、研发、实施到运行维护各个过程进行审查与评价的活动，以审查企业信息系统是否安全、可靠、有效，保证信息系统得出准确可靠的数据。由以上定义可知，it审计的目标是保证it系统的可用性、安全性、完整性和有效性，最终达到强化企业内部控制的目的。

该审计过程具有以下特点：

1.it审计是一个过程。它通过获取的证据判断信息系统是否能保证资产的安全、数据的完整和组织目标的实现，它贯穿于整个信息系统生命周期的全过程。

2.it审计的对象综合且复杂。it审计从纵向（生命周期）看，覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务；从横向（各阶段截面）看，它包含对软硬件的获取审计、应用程序审计、安全审计等。it审计将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。

3.it审计拓宽了传统审计的目标。传统审计目标仅仅包括“对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见”；但it审计除了上述目标外，还包括信息资产的安全性、数据的完整性及系统的可靠性、有效性和效率性。

4.it审计是一种基于风险基础审计的理论和方法。it审计从基于控制的方法演变为基于风险的方法，其内涵包括企业风险管理的整体框架，如内部环境的控制、目标的设定、风险事项的识别、风险的评估、风险的管理与应对、信息与沟通以及对风险的监控。

二、我国it审计面对的挑战

it审计和传统审计相比具有的上述特点是吸引我国众多企业引入it审计的重要原因，但是这种方法的应用又会给企业提出巨大的挑战。

1.传统审计线索的消失。在手工会计环境下，审计线索主要来自于纸质原始凭证、记账凭证、会计账簿和会计报表，这些书面数据之间的勾稽关系使得数据若被修改可辨识出修改的线索和痕迹，这就是传统审计线索的基本特征。但是现在计算机网络信息系统中这些数据直接记录在磁盘和光盘上，无纸张记录，审计人员用肉眼无法直接看到这些数据如何记录，且非法修改删除原始数据也可以不留篡改的痕迹，从而为舞弊人员作案留有可乘之机。尽管许多审计机构要求已实现会计信息化的企业将所有原始凭证、记账凭证、账簿、报表打印输出，使用绕开计算机系统的审计方法，并以打印出的证、账、表作为基本审计的线索和依据。但是如果原始数据在业务发生时就被有意篡改，则其派生的记账凭证金额和账户余额及报表数据也一定会出错，打印出的数据也不能作为审计证据。因此即使打印出所有电子数据，传统审计线索也会在计算机信息系统下完全消失。

2.计算机信息系统的数据安全面临挑战。手工信息处理的环境下，审计人员无须将数据和会计信息的安全性问题作为审计的重要内容，但是在it审计的工作中，网络电子交易数据的安全是关系到交易双方切身利益的关键问题，也是企业计算机网络应用中的重大障碍和审计的首要问题。例如计算机病毒的破坏、黑客用 ip地址欺骗攻击网络系统来获取重要商业秘密、内部人员的计算机舞弊、数据丢失等，都是传统审计从未涉及的，但又是it审计的重点，这对当前我国的审计工作无论是操作系统，还是制度建立等众多方面都是一个很大的挑战。

3.it审计专业人才匮乏，适应it审计事业发展的人才培养和管理机制还有待建立和健全。由于it审计固有的复杂性，这项工作需要具备会计、审计、组织管理和计算机、网络技术等综合知识的人才，而且工作人员需要对内部控制和审计有深刻的理解，对信息和网络技术有敏锐的捕捉能力，在我国获得注册信息系统审计师资格的人数远远不能满足信息系统审计业务的需求。

三、我国it审计应对策略

面对上述挑战，我们应当多方位、多角度制订措施，使it审计工作更好地为我国企业发展做出贡献。具体措施如下：

1.审计线索的重建。根据计算机网络系统容易在不同地方同时形成相同“原本”数据的特点，可以重建电子审计线索：在电子化的原始数据形成时，同时在审计机构（包括内审机构）和关系紧密（签字确认）的部门形成原始数据的“原本”，或在不同部门各自形成相关的数据库（特别应当包括数量、金额和单价等主要数据项），这样不仅可以相互监督和牵制，还给计算机审计提供可信的审计线索。这种保留审计线索的方法，一方面成为有力的控制手段，另一方面可从审计线索中发现疑点。这种方法主要是应用专用的审计比较软件，同时将几个部门的同一种数据库进行自动比较形成有差异的数据记录文件，详细审查相关的数据文件和访问有关的当事人，从而取得有力的审计证据。上述比较审计方法是在不同部门同时形成业务数据文件的情况下应用，如果企业业务数据分离存放，如销售合同与销售发票、提货单在不同的部门保存，这种实质性测试也可采用比较审计法，应用专用的审计软件，结合相关的几个业务数据文件进行比较，查出有错误疑点的记录。

2.确保信息系统的信息安全。为了保证信息系统的信息安全，it审计工作人员要在审计过程中评价企业的防火墙技术、网络系统的防病毒功能、数据加密措施、身份认证和授权的应用实施情况，通过面谈实地审查企业安全管理制度建立和执行的情况，查看企业是否为了预防计算机病毒，对外来的软件和传输的数据经过病毒检查，业务系统是否严禁使用游戏软件，以及是否配置了自动检测关键数据库的软件，使异常及时被发现；检测企业是否为了防范黑客入侵，网络交易的数据库采用离散结构，同时在不同的指定网点（如在交易的双方）形成完整的业务数据备份供特殊使用（如审计和监控）；此外it审计人员还要注意检查企业的信息系统岗位责任实施、安全日志制度，审查有关计算机安全的国家法律和管理条例的执行情况。

3.建立一支完备的it审计专业人才队伍。it审计的发展必须有一大批专业化的it审计人才，这就要求我们要采取短期培训和长期培养、操作层面上的培训与高层次人才的培养、在职人员培训与未来人才培养相结合的方法将这支队伍逐渐发展起来。此外我国可以从现有的审计队伍中选拔人员进行专门的信息系统审计培训，并考虑在注册会计师的资格考试和审计师职称考试中逐步加入计算机、信息系统和网络技术等与信息系统审计有关的内容，以及加强对从事信息化咨询的it技术人员的会计与审计知识的培训。为了培养未来审计人员，应在高校会计、审计专业教学计划中增加信息技术和电子商务等内容，也可以考虑在高校中开设信息系统审计专业，直接培养信息系统审计专业人才。

当前我国it审计正处于起步阶段，和传统审计相比，it审计的显著特点决定了其势在必行，但是一种新的方法的引入和实施必定会给企业和审计人员带来巨大的挑战，面对种种挑战我们应采取积极措施，迎难而上，使it审计工作不断发展完善。

主要参考文献

［1］张茂燕． 论我国的信息系统审计［d］． 厦门:厦门大学，2005.

［2］陈朝.我国信息化建设中信息系统审计问题研究［d］．长春：东北师范大学， 2006.

［3］邓少灵． 企业it审计的框架［j］．中国审计，2002（1）.

［4］李健，朱锦淼，王晓兵． it审计——人民银行内审面临的新挑战［j］．金融理论与实践，2003（6）.

［5］李朝阳，胡昌振． 计算机审计系统的防护方法［j］．航空计算技术，2002（1）.

［6］李辉，杨青峰． 商业银行it审计的策略与方法 ［j］．信息空间，2004（7）.

it审计论文篇2

流程的概念很多,ISO/IEC9000将之定义为一组将输入转化为输出的相互关联或相互作用的活动。企业由流程构成,Kaplan(2001)将企业定义为是一系列相互关联的活动或流程的集合,或是一个价值链。在IT环境下,流程可理解为“角色加活动”,即将流程描述为一个为实现特殊目的而合作且互相影响的角色的集合。早期人们对企业流程的理解大多局限于传统的业务领域;当IT逐渐与业务融合,并成为企业所有经营活动的驱动引擎时,流程的范围开始拓展,此时的IT流程与业务流程需要实现动态整合,即IT活动被看作是业务,并执行与业务相同的管理方式。因此,IT环境下的企业业务流程应该是广义的,同时包含IT流程和业务流程。美国公众公司会计监督委员会的第5号审计准则就指出,作为理解重大流程的一部份,审计师应理解IT如何影响公司的交易流程。

有些大的会计公司为了强调经营风险的审计方法,修改它们的审计辅助软件,以围绕业务流程组织审计证据,而不是按照传统的交易循环组织证据。关注业务流程的审计软件系统(Business-Process-Focused,BPF)通过价值链组织被审单位的信息;而传统的关注交易循环的审计软件系统(Transaction-Circle-Focused,TCF)是按照交易分类组织被审单位的信息。O''''DonnellE和JrJosephJSchultz(2003)的研究结果表明使用BPF软件的审计人员能识别出更多的风险情形,并将风险估计在恰当的水平;而使用TCF软件的审计人员对风险的识别和估计都较差。因此他们认为不同的信息组织形式会影响审计人员的决策判断。造成这种结果的原因在于业务流程关注事件之间的关联性,它通过情景引导记忆;而传统的交易循环关注的是交易分类,它通过语义引导记忆。因此,关注业务流程可降低任务的复杂性和认知难度。随后其他的研究人员也发现围绕业务流程开展内部控制的评估任务更为有效。

二、IT环境下基于流程的审计风险判断方法

为了协助审计人员运用自上而下的风险导向审计方法,国际审计和鉴证准则委员会于2005年制定了“在整个审计

过程中运用职业判断对重大错报风险进行更准确评估的框架和模型”。具体步骤如下:(1)了解企业及其环境(包括内部控制),识别风险,并在报表层次考虑交易性质、账户余额、披露;(2)将发现的风险与认定层次可能发生的错误与舞弊相联系;(3)考虑风险的重要性;(4)考虑风险的发生概率。这个风险判断思路也同样适用于IT环境。因此借鉴自上而下的审计方法,将流程作为IT风险判断的中间环节,改进了的IT环境下的审计风险判断方法具体实施步骤如下:

1.了解企业及其环境(包括内部控制)。我国2006出台的《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》列举了影响重大错报风险的因素:行业状况、监管环境以及其他外部因素,企业性质,目标和性质以及相关的经营风险,财务业绩的衡量和评级,内部控制。在IT环境下,识别和评价企业层面的风险和风险控制的有效性时,需特别考虑:(1)IT利益群体的风险及对IT利益群体控制的有效性,如IT治理;(2)企业层面的IT控制,如与IT相关的控制环境、风险评估、信息与沟通、监控、教育和培训等方面。

2.确定财务报告流程的核心要素。根据企业层面的风险评估结果识别重大账户、重要披露及与之相关联的认定。

3.识别关键业务流程。审计人员首先要识别与上述重大账户、重要披露、认定相关联的关键流程及流程所包括的主要交易,同时识别流程中易发生错误和舞弊的关键点(控制点)。为了判断业务流程能否实时预防或检测错误和舞弊,审计人员要识别出需要被测试的控制点,由于业务流程大多基于IT,因此要确定这些控制点哪些是依赖IT的,然后识别并证实关键的IT功能。

4.确定与IT功能相对应的应用系统的范围。详细列出与这些IT功能相关的应用系统和与之关联的子系统,包括交易应用系统和支持性应用系统。交易应用系统在处理组织内的数据时通常提供以下功能:(1)通过借贷关系记录交易的价值数据;(2)作为财务、经营和法规数据存放的仓库;(3)能够生成各种财务和管理报告,包括销售订单、客户发票、供应商发票以及日记账的处理。支持性应用系统并不参与交易的处理,但方便了业务活动的进行,如Email程序、传真软件、设计软件等。

然后IT审计人员与财务审计人员合作,从列示的子系统中识别出支持授权、复杂计算、维护重要账户(如存货、固定资产、贷款等)的完整性的重要应用系统。应用系统是否重要,需要考虑:交易量(交易量越多,应用系统越关键)、交易金额(金额越大,应用系统越关键)、运算的复杂性(运算越复杂,应用系统越关键)、数据和交易的敏感度(敏感度越大,应用系统越关键)。为应用系统提供IT服务,或者支持应用系统关键环节的IT一般流程即为需要进行IT一般控制测试的范围。

5.识别管理和驱动这些重大应用系统的IT流程。识别所有支持这些应用系统的基础设施,包括数据库、服务器、操作系统、网络,以及与之相关联的IT流程。判断这些IT流程的风险和相关的控制目标。识别出需要被测试的IT一般控制,进而判断其是否符合控制目标。控制测试结果将影响与之相关的IT应用控制的评价、业务流程的风险评价。对这些流程和系统进行风险和控制评估后,就可以制定风险控制矩阵。

6.评价IT控制、分析业务流程风险。结合对IT一般控制的评估结果和对业务流程中IT应用控制的评估结果,就可以分析关键业务流程的IT风险控制情况。此时的IT控制测试和人工控制测试要结合起来予以考虑,即将二者作为一个整体的测试对象。业务流程的风险是与业务流程所关联的一系列交易活动、账户群的余额、列报(包括披露)认定层次重大错报风险相联系的,因此,业务流程风险的评价结果构成了认定层次重大错报风险评估的直接基础。

7.评估电子证据证明力、设计实质性测试程序。审计人员可根据上述步骤的风险评估结果判断某一业务流程的电子审计证据的证明力并设计与业务流程有关的账户群的实质性测试程序。

通过上述7个步骤,审计人员可以将IT环境下的企业风险因素与报表层次和认定层次的重大错报风险相链接,同时也为电子审计证据证明力(即检查风险的判断)提供了依据。

参考文献:

[1]顾晓安,基于业务循环的审计风险评估专家系统研究[J].会计研究,2006(4):23-29.

[2]O''''DonnellE,JrJosephJSchultz.TheInflueceofBusiness-Process-FocusedAuditSupportSoftwareonAnalyticalProceduresJudgements[J].Auditing:AJournalofPractice&Theory.2003,22(2):265-279.

[论文关键词]审计风险审计风险判断IT环境

it审计论文篇3

2007年5月25日，企业内部控制标准委员会第三次全体会议在北京友谊宾馆低调举行。会议对企业内部控制规范征求意见稿和若干项具体规范讨论稿进行了深入讨论。可见，作为现代企业内控的重要手段和考量目标之一，IT内审重新引起了企业的广泛关注。

本期专题，就IT内审的目的与现状、中国企业IT内审的特点和难点、以及如何形成中国IT内审规范，展开了深入的探讨和调查分析。

“中国萨班斯”进行时

证监会纪委书记、企业内部控制标准委员会副主席李小雪在企业内部控制标准委员会第三次全体会议上表示，建设企业内部控制标准体系是资本市场的一件大事――健全有效的内部控制可以提高上市公司财务报告的有效性；可以保障公司资产安全，减少舞弊事件发生，堵塞漏洞，有效提高风险防范能力，降低公司风险；可以提高公司经营效益及效率，提升上市公司质量。

我国对企业内部控制评价的关注始于上个世纪80年代末，但当时的评价大都流于形式。“银广夏”等上市公司财务舞弊事件、“中航油事件”等等因内部控制失效造成财产重大损失的案件，在一定程度上要归咎于企业内控机制的不健全。

此后，我国政府开始重视内控评价的规范化建设。审计署、财政部、证监会、银监会等组织均出台了关于内部控制评价方面的规范，而2006年则是关于上市公司企业内控规范讨论最为热闹的一年。

2006年6月5日，上海证券交易所出台了《上海证券交易所上市公司内部控制指引》，对上市公司内控制度和风险管理制度出台了重要规定，引起了业界的强烈反响。

在信息技术无处不在的今天，IT既是企业内控的一个有效手段，同时IT本身又充满了风险，成为内控的重要目标之一。因此， IT内审引起了广泛关注。科索路咨询公司还专门对此了《IT内审调研报告》。

2006年7月15日，财政部联合国资委、证监会、审计署、银监会、保监会发起成立了“企业内部控制标准委员会”，旨在“基本建立一套以防范风险和控制舞弊为中心、以控制标准和评价标准为主体，结构合理、内容完整、方法科学的内部控制标准体系，推动企业完善治理结构和内部约束机制”。委员会的成立被视为中国版“萨班斯法案”即将出台的前兆，中国内部审计协会会长王道成当时曾向媒体表示，3年之内中国就会有自己的“萨班斯法案”。

2006年9月28日，深圳证券交易所《上市公司内部控制指引》，规定深市主板上市公司要建立完备的内部控制制度。在2007年7月1日文件正式生效后，上市公司均需按要求披露内控制度制订和实施情况。

很多人都相信，具有强制效力的中国上市公司内控法规就要形成，甚至有很多企业或个人认为随着企业内控法规的形成，与IT内审相关的咨询或者软件将是一个很好的市场机会，并雄心壮志地投身到这一领域。

但是到了2007年，在股市热潮背后，关于企业内控和IT内审规范工作似乎处于停滞状态。有些曾经看好IT内审市场机会的公司开始后悔自己当初的决定。这不禁让人怀疑，难道牛市的今天企业内控就不那么重要了？IT内审的热潮从此告一段落？

审迫在眉睫

事实远非如此。

2007年3月，企业内部控制标准委员会公布了《企业内部控制规范――基本规范》和17项具体规范(征求意见稿)，并开始向有关单位和专家征求意见。

2007年5月25日，由企业内部控制标准委员会主席、财政部副部长王军亲自参加的企业内部控制标准委员会第三次全体会议在北京友谊宾馆低调举行，会议对企业内部控制规范征求意见稿和若干项具体规范讨论稿进行了深入讨论。

财政部还表示，将根据本次会议讨论的情况尽快修订企业内部控制规范征求意见稿和讨论稿，抓紧建立中国企业内部控制标准体系。所有这一切都证明，尽管没有声势浩大的活动进入人们的视野，但“中国的萨班斯法案”依旧在紧锣密鼓地酝酿中。

业内人士分析，尽管今天企业内部控制规范征求意见稿依旧在讨论中，但是一旦被确定，肯定会和萨班斯法案一样对上市企业具有强制性的约束。毫无疑问，尽管还有上市公司对IT内审没有足够重视，但IT内审是否规范必将成为上市公司存在的必要条件之一。

现代企业的经营越来越依赖于信息系统，除了传统意义上的经营风险、控制风险和财务风险，企业信息系统的安全性导致的信息风险日益增长。同时对大部分企业来说，信息技术已经融入到企业各项业务中。IT内审作为企业内部控制的一个重要手段和对象，已经得到政府相关机构、企业和咨询机构普遍认可。

目前的《企业内部控制具体规范(征求意见稿)》中，专门提出了计算机信息系统的征求意见稿，就总则，岗位分工与授权审批，信息系统开发、变更与维护控制，信息系统访问安全，硬件管理和会计电算化及其控制等六个方面提出了43条详细征求意见。

企业表现各不相同

“招聘资深内审员，要求具有5年以上跨国公司会计与财务方面工作经验，并有IT系统审计方面的工作经验”。最近，“IT内审员”的新鲜职位已经开始出现在各大招聘网站。

很多被访企业表示，他们已经或者正在考虑采用新的技术手段来辅助企业内部控制工作，比如说中信集团公司早已经在2005年就开始采用加拿大审计软件ACL、易通审计软件开展审计。

承接企业内控咨询业务的会计师事务所或咨询公司表示，他们所接触的IT内审业务在明显增加。

……

种种迹象表明，IT内审规范的推动并没有停滞不前，之所以让人感觉“停滞”，主要是因为以下几方面的原因：

首先，很多企业对于内部控制仍然采取比较被动的态度。对于那些早在国内上市的企业，由于上交所和深交所出台的《指引》对他们没有强制性的约束，没有对内控的紧迫感。而那些在海外上市或者新上市的企业，大都是为了满足上市条件或者相关法规而被迫进行内部控制和IT内审。在香港上市的某公司的CIO告诉记者，对他们来说，IT内审就是每隔一段时间按照会计师事务所提供的一张单子中对IT的要求落实就可以了。

其次，目前大部分企业的IT内审工作主要是交给第三方机构来办理的。很多在海外上市或者被外资公司控股，特别是在美国上市的企业，早已经通过第三方机构在IT审计方面走在了前面。第三方机构对这块业务驾轻就熟，更多的企业选择IT内审对他们来说只是业务量的增加，因而没有引起大范围的讨论。

第三，很多企业虽然已经意识到IT内审的重要性，但是苦于IT基础太差、缺乏相关经验而暂时搁置。亚新科工业技术有限公司是一家总部设在北京的外资企业。为了让企业健康稳定地发展，公司从1999年就已经建立了完整的内部制度，并且还专门成立了内控部。但是，公司内控部总监麻蔚冰告诉记者，目前他们还没有实现IT内审。他认同随着信息技术在企业广泛应用，IT内审是企业内部控制的必然趋势。亚新科从去年就开始关注这一趋势，但由于公司内部的IT建设还不够完善，再加上IT内审所牵涉的东西非常复杂，暂时也没有好的经验可以借鉴，所以目前尚处在探索中。

规范形成尚待时日

那么，适合中国的IT内审到底该怎么做？如何形成适合中国国情的IT内审？

很多企业都希望 《企业内部控制具体规范(征求意见稿)》能够给他们未来的IT内审提供有用的参考。

王军在企业内部控制标准委员会第三次全体作会议上也强调，内部控制标准体系建设要着力处理好借鉴国际和顺应国情的关系。目前，在尚未形成自己的规范并且没有更好的办法之前，业界已经认识到“西学中用”是最好的选择。

德勤咨询公司企业风险管理服务高级经理周梓滔告诉记者，目前的征求意见稿中不仅参照了萨班斯法案，还参照了很多地方的相关法规。

但是业内人士分析，毕竟中国企业有很强的特色，必须在参照这些经验的同时充分考虑中国企业自身的特色。

记者就IT内审规范这个问题拨通财务部会计司企业内部控制标准委员会某一负责人的电话时，得到回答是，征求意见稿中“计算机信息系统”部分还只是“征求意见稿”，希望有经验的咨询公司和专业人员能够积极参与，提供有用的建议。

在访谈了一些内控咨询专家、企业内控工作者后，记者认为以下几个方面是在建立IT内审规范过程中最不能忽视的：首先，企业对IT内审的重视不够；其次，企业的IT建设不够完善，建立像美国上市公司那样的IT内审难度较大；第三，企业IT内审部门的归属问题不明确：目前国内企业审计部门独立的就比较少，而IT内审既涉及审计又涉及IT，归属问题就更加不好确定；第四，IT内审的投入成本大，美国的大型公司仅在第一年建立内部控制系统的平均成本就高达430万美元，这对规模偏小的中国上市企业来说是不现实的……

由此可见，我国要建立完善的IT内审规范还需时日，但对于企业来讲，未雨绸缪却必不可少。否则具有法律约束力的规范一旦执行，临时抱佛脚几乎是不可行的――因为企业的IT建设本身就不是一蹴而就的事情。

链接:关于萨班斯法案

2002年7月25日，美国国会通过了《2002年萨班斯―奥克斯利法案》(也称《2002年公众

it审计论文篇4

[关键词] COBIT IT外包 风险管理

一、COBIT标准综述

COBIT(Control Objectives for Information and related Technology)是美国信息系统审计和控制协会ISACA(Information Systems Audit and Control Association)基于其原有的控制目标体系(Control Objectives)，结合并改进现有的正在发展中的其他国际技术标准和工业标准而制定的控制目标体系,是国际上最先进、最权威的安全与信息技术管理和控制的标准。COBIT控制目标体系是一个较完整的信息系统管理和控制的参考模型,它将政府和企业的信息化归纳为34个IT处理过程，并逐个提出指导意见。通过将COBIT应用到信息系统的开发和实施环境，可以为管理人员、开发人员和审计人员来强化和评估信息技术外包风险的管理和控制提供依据。

二、IT外包的风险分析

企业IT外包处于IT战略中的资源管理层面，是帮助企业将注意力更多地投入到商业管理而非信息技术管理，进而更专注地追求核心竞争力的一条途径。尽管IT外包愈来愈普及，但外包失败的案例并未因此而减少。IT外包风险的表现就是外包失控。由于把部分或全部IT资源外包给企业外部的服务商，企业对服务商的管理就要比管理自己的IT部门复杂得多，时刻会面临失控，主要表现在以下三个方面:

风险一:IT外包可能会在服务的及时提供和服务的质量方面达不到预期效果。

风险二:企业对承包商的依赖度高反而降低了企业的灵活性，企业成本不降反升。

风险三:企业的商业机密可能会被泄露，知识产权可能会被盗用。

三、基于COBIT的IT外包风险管控体系

COBIT的控制目标主要是针对信息系统的管理控制和运行控制，COBIT提出的控制目标可以应用到所有的信息系统。因此，它的控制目标对IT外包系统来说大部分是适用的，但因其业务特殊性，必须结合发包企业的具体环境和承包商的实际情况，加以修改、补充和完善。

1.组织与规划

系统规划是IT外包项目建设的第一步，包括发包企业的战略目标、政策和约束、计划和指标分析;发包企业原有的建设目标、建设模式;企业信息的功能结构、组织、人员管理；IT外包的效益分析和实施计划。规划的好坏对IT外包项目的建设的成败有至关重要的影响。

整个信息系统的建设要以优化企业的核心业务流程，提高工作效率，更好地发挥企业综合协调与服务的职能为总体目标。规划必须满足:规划本身应当明确无误而且易于理解，应当是一个可以为大多数人所理解和认同的概念。规划必须得到领导小组的认可;规划目标应当是可衡量的；规划必须建立在对内外信息调查的基础上制定。

2.获取与实施

系统分析是在充分的调查的基础上对企业内部的整体管理状况和信息处理过程进行分析。系统分析的工作量非常大,所涉及的业务、人、数据和信息非常多。而且在实际情况中,企业信息化的需求难以一次确定,并且会不断发生变化;另一方面，承包商对政府的具体业务业并不熟悉,常常会发生理解上的偏差,从而导致建模的错误。因此,完成的系统分析必须满足以下一致性、完整性、现实性和有效性这四方面的要求。然后在系统分析的基础上,研究承包商外包方案的可行性,制定相关技术标准、实施规范。

3.服务与支持

发包企业的需求是不断变化的，商业目标也是随着企业的发展而逐步更新的，承包商要做好完善的数据跟踪，在可行范围内满足发包企业的需求，不断改进和修正开发计划中遇到的问题和缺憾。

4.审计

IT外包项目在发包企业实施以后，系统的可靠性、安全性和有效性是非常重要的，系统中的信息成为政府最宝贵的资源。内部审计是在政府内部建立信息系统审计组织，由内部信息系统审计人员对电子政务系统的可靠性、安全性、有效性进行检查与评价，将结果报告给政府管理层。内部信息系统审计部门，从组织地位上来讲必须独立于政府的IT职能部门和最终用户部门。

构建基于COBIT的信息系统管理、控制与审计模型，将便于人们对信息系统建设与应用过程的理解与分析,指导人们建立相应的机制,将信息系统建设与应用的全部过程置于有效的管理与控制之下。对信息系统的投资者和管理者,将帮助他们在通常不可预测的IT环境下平衡风险与投资。对信息系统的使用者,将通过管理、控制和审计为他们提供安全保障和一定的服务水平。对审计师而言,将帮助他们明确审计轨迹,使他们做出的鉴定和劝告更具说服力。

四、总结

通过构建基于COBIT标准的信息技术过程集，我们可以把对IT外包的风险管理细化到各个过程，构建过程的风险管理模型，从而化繁为简，使复杂的IT外包业务管理、控制和审计结构化。对IT外包拥有正确的风险管理思想为指导，能够促进健全的管理机制建立，便于技术与工具的应用，使风险管理过程更加规范化。

参考文献：

it审计论文篇5

关键词：IT治理；COBIT；IT管理；公司治理

中图分类号：TP14

当公司由快速发展期进入到整合见效期，经营模式单一、产品服务缺乏多样性、内控机制不完善、创新能力不足等问题将逐渐暴露出来。因此，如何提高核心竞争力，在新一轮的竞争中获得优势，已经成为当前各公司不得不面临的重要问题。

国内许多行业客户已经在考虑综合利用市场、营销、人才及新技术等策略，在竞争中做大做强。其中“新技术”占有越来越重要的地位，主要是指利用IT技术提高公司竞争力。当前各公司正关注如何持续巩固和提升IT能力，合理利用IT资源，控制相关风险，保障业务系统的运行安全，确保IT对业务发展与创新的持续支持，实现IT投资效益的最大化。

因此，实施IT治理，促进IT与业务融合，使IT成为公司的战略资产，提升公司的核心竞争力，已成为公司发展的首要问题。

1 IT治理背景介绍

二十世纪以来，IT技术的迅猛发展，已经重构人类社会的图景，导致国家和企业竞争的变革。有效的IT治理是竞争优势的源泉，是管理创新的决定因素之一，也是保证组织创新发展和基业常青的关键所在。IT治理正在成为各国政府、行业组织、学术界和产业界等共同关注、研究与实践的一个全球性课题。

信息技术的发展和网络环境的变化，使电子信息嵌入到企业业务活动的各方面，信息系统成为企业各个职能部门业务活动不可或缺的工具。企业信息化给公司治理和内部控制带来巨大冲击和挑战。在信息技术的影响下，传统的公司治理和内部控制方式发生了根本性变革。信息技术在经济发展中所体现的多重角色以及对未来经济发展所发挥作用的不可预见性使得IT治理问题更加复杂，因此中国企业在信息化的进程中，IT治理的重要性正日益凸显。

2 IT治理概念及目的

2.1 IT治理的概念

在对IT治理广泛研究和分析的基础上，关于其定义汇集了三种主要观点。美国南加州大学教授Robert认为，IT治理用于描述被委托治理实体的人员在监督、检查、控制和指导实体的过程中如何看待信息技术。IT的应用对于组织能否达到它的远景、使命、战略目标至关重要。德勤定义为，IT治理是一个含义广泛的概念，包括信息系统、技术、通讯、商业、所有利益相关者、合法性和其他问题。其主要任务是保持IT与业务目标一致，推动业务发展，促使收益最大化，合理利用IT资源，IT相关风险的适当管理。国际信息系统审计与控制协会（ISACA）理解为，IT治理是一个由关系和过程所构成的体制，用于指导和控制企业，通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。

2.2 IT治理的目的

IT治理使IT与组织业务有效融合，其出发点首先是组织的发展战略，遵循组织的风控体系，制定相应的IT建设运行的管理机制，需明确“做什么决策？谁来决策？怎么来决策？如何监督和评价决策？”。围绕IT建设全生命周期过程，构建持续的信息化建设长效机制，是IT治理的目标。IT治理的国际最佳实践包括CobiT、ITIL、ISO27001、Prince2等。

IT治理目标具体细化为以下三方面：

（1）与业务目标一致。IT治理要从组织目标和信息化战略中抽取信息需求和功能需求，形成总体的IT治理框架和系统整体模型，为进一步系统设计和实施奠定基础，保证信息技术跟上持续变化的业务目标。

（2）有效利用信息资源。由于目前信息化工程超期，IT客户的需求没有得到较好的满足，IT平台不支持业务应用等问题较为突出，通过IT治理可以对信息资源的管理职责进行有效管理，保证投资的回收，并支持决策。

（3）风险管理。由于企业越来越依赖于信息技术和网络，新的风险不断涌现。IT治理强调风险管理，通过制定信息资源的保护级别，强调关键的信息技术资源，有效实施监控和做好事故处理。

3 IT治理实施

3.1 IT原则与方针

重新定义适用于公司的IT原则，概述性描述IT的基础性作用和对公司业务发展的根本性影响。对IT在公司运营中所起的作用和IT投入等主要方面做出明确的规定。征求公司各部门的意见，就IT原则在IT治理委员会中形成决议后，在全公司范围内进行宣传，使之成为IT实践的行动指南。

3.2 IT决策组织与治理机制

根据公司当前的业务需求，建立专门的IT治理委员会或类似组织。组织应当包括公司最高管理层、IT治理直接责任人、IT部门负责人、相关业务负责人、财务负责人、内部控制负责人以及部分技术骨干等人员。

在IT治理相关制度中规定重大IT事项的决策机制和相关人员的参与责任，建立IT治理委员会议事规则、工作流程和正式的IT沟通渠道。

3.3 IT制度与流程

完善层次化的制度体系，并规范具体的操作流程，逐步实现IT管理的标准化和精细化；并进一步完善IT制度文档的建立、修订和完善的流程。在整合现有制度的基础上，进一步完善IT规划、基础建设、软件开发、系统运维等方面的制度和流程，在适当的时机建立统一质量监控与绩效评估体系，并编写包括信息安全、IT服务和开发管理体系文件并明确关键控制点与绩效指标。

3.4 IT规划与架构设计

通过建立IT治理组织，形成跨部门进行IT规划的工作机制，确保IT规划与业务战略保持一致，完善IT与业务的正式沟通机制；设立IT规划和架构的专门岗位，引入业务分析、IT规划和IT架构的高端人才；完善IT规划与架构设计方法论，增强业务部门对IT规划的参与程度。

在业务战略的基础上，进行中长期信息化规划，形成短期可执行项目计划，并建立IT规划与架构的制度与流程，把IT规划与架构设计作为IT工作的重要组成部分。公司应根据IT原则和治理目标定期进行IT规划与IT架构的设计，确定IT基础设施和IT应用系统的整体框架，指导后续的IT实践活动。

3.5 IT基础设施与服务管理

建立IT基础设施管理制度，明确IT基础设施建设的原则与要求，建立基础设施运维管理流程，明确运维人员的岗位责任与奖惩考核制度。在完善核心系统运维的基础上，加强非核心系统的运维管理工作，为非核心系统运维配备充分能力的人员，持续对运维人员进行相关专业培训。

3.6 IT与业务融合

在建立IT治理组织的基础上，搭建IT部门与业务部门的沟通平台，建立有效的沟通机制，并对沟通的结果进行跟踪和及时反馈。

完善现有的需求管理制度，建立需求管理和需求开发流程，以规范需求获取过程，提高业务需求质量。为IT项目建立合理的评审标准，并由公司内控部、财务部和IT部门会商后报公司IT治理委员会审议立项。把项目评审与IT治理委员会审议的结果与需求提出部门进行及时沟通。通过IT治理组织提供的沟通渠道，将IT应用实现所遇到的人力资源缺乏、资金缺乏等问题以及新的IT技术可能带来的业务机会向管理层进行反映，并说明这些问题可能对业务发展带来的影响。另外对开发人员进行持续性培训和鼓励创新也是此项内容必须要关注的内容。

3.7 IT投资管理

对IT作为公司战略资产的重要性认识需要进一步提高，管理层要意识到为了实现成为领先型行业客户的目标，需要对IT持续投入，使IT成为推动业务发展的动力。

公司应建立IT预算的合理评审原则，并听取业务部门与IT部门的建议。在提出IT预算时，IT部门应在合理的成本范围内从技术方面在进行可行性研究，业务部门从业务方面提出可实现的业务效益。参考同行或国外的经验，在IT项目成本管理方面建立可量化的指标体系。

3.8 IT人力资源

在信息技术部门建立设置合理、职责明确的岗位责任制，定期对信息技术人员进行考核，且每年不少于一次。IT人员的配备不仅是在IT部门，也需要在业务部门配置具有IT背景的人员，以促进IT与业务的深度融合。同时根据公司业务战略及IT战略的要求，逐步增加IT研发人员的数量和开发水平。

3.9 IT安全和风险控制

建立信息安全管理体系，从制度、流程、技术及人员等方面保障系统安全及信息安全，建立持续的信息安全检查与审计机制，并使员工的安全行为与奖惩考核挂钩。增加系统运行组的资源配置，加强人员培训，优化流程，提高运维效率。逐步实现系统开发和运维管理在系统、人员及数据等方面进行有效分离。

进一步优化灾备系统的流程，加强员工对灾备系统的重要性认识，加强灾备操作技能的演练。

在客户资料保护方面，要对客户信息分级分类，对客户信息在流转整个过程中进行风险评估，并针对控制弱点采取相应的安全控制措施，例如加强员工和外部合作方在客户信息保护方面的教育与培训等。

在IT外包管理方面，IT部门应建立IT外包管理制度，并对制度的落实情况进行监督。

在IT风险管理方面，应根据公司现状，进一步完善IT风险管理框架、策略和流程，审计部门应当对IT风险评估结果进行跟踪检查，并定期进行修订。

在IT审计方面，在建立IT风险控制框架的基础上，建立有效的IT审计框架，建立IT审计流程和公司自制的IT审计标准，对现有IT审计人员进行培训，并对IT审计发现的问题积极整改，降低重大IT风险发生的概率。

4 结束语

为提升公司的IT能力，确保IT对业务发展与创新的持续支持，实现IT投资效益的最大化，根据IT战略层的IT治理存在的风险，从以上论述的九个方面展开IT治理实施，使IT管理从以往仅仅满足功能要求与性能指标到现在要求的最大化IT投资效益和业务增值，将以往局限于支持业务运营的IT管理发展演变为业务部门发展与规划的强有力的合作伙伴，最终提升企业的核心竞争能力。

参考文献：

[1]思春林.企业创新空间与技术管理[M].北京：清华大学出版社，2005.

[2]何建佳，葛玉辉，张光远.信息化进程中的组织变革与IT治理[J].商业研究，2006（17）：117-120.

[3]张运生，曾德明，张利飞.从公司治理本质透视lT治理本质[J].科技进步与对策，2007（02）：158-160.

[4]塞利格（美国）.实施IT治理：方法论?模型?全球最佳实践[M].北京：中国经济出版社，2011.

[5]陈宪宇.企业IT管理和控制研究[J].工业技术经济，2010（09）.

作者简介：郑妍（1978.05-），女，云南玉溪人，工科学士，工程师，研究方向：信息化管理，信息安全。

it审计论文篇6

地点：赛迪大厦18层会议室

形式：中计在线嘉宾现场对话

对话嘉宾：

王卫乡

中国中信集团公司管理信息部副主任

周梓滔

德勤华永会计师事务所有限公司企业风险管理服务高级经理

钱晨

科索路咨询公司副理

田海波

北京锐思盈泰科技有限公司董事副总经理

无内控等于慢性自杀

主持人：企业内部控制的目的是什么？有什么需求？

钱晨：企业内部控制的目的是在保证实现公司战略目标前提下，对存在的风险进行控制。无论董事会还是全体员工都要对企业披露的信息的可靠性负责，但最终责任会落在董事会上。

IT内审的引入是因为在给上市公司内控评估时，IT是其中的一个重要的组成部分和方法。

主持人：请德勤公司的周经理谈谈中国企业的内控跟国外企业的有什么差异？

周梓滔：主要是在理解法案、标准时可能会不一样，因为中国的国情和中国企业的管理方法跟国外企业不尽相同。比如说，国外企业可能会成立专门的审计委员会，但国内企业可能会把审计委员会放在某一个组织里面，如在财务部，这就造成了独立性的不同。

主持人：作为用户的代表，请王主任讲讲中信集团在内控方面是怎么考虑的？

王卫乡：目前中信集团有好几家上市公司，如刚上市的中信银行，中信证券、中信国安等。我们一直非常关注企业内控，其中包括IT内审和萨班斯法案。我们的审计部是唯一一个由集团公司董事长直接分管的部门。

实际上，从我们公司上一任董事长王军开始就一直特别强调内控。他曾指出：“没有发展的内控等于慢性自杀，没有内控的发展，发展越快损失越大”。中信集团自1979年成立到现在快30年了，一直都保持快速发展。在高速发展的20世纪90年代中期，我们深感管理手段和发展的速度不匹配，导致有些项目最后失去控制，并造成很大的损失。

现在我们已经采取了一些技术手段，并引进了一些软件来加强审计，如加拿大的ACL审计软件。我们的内部审计目前主要强调的内容包括：离任审计――像下属的子公司领导任期换届，中长期项目在项目实施过程中是否存在重大失误的专项审计，其他的，如下属的公司层面，因资产的分布不是很均衡，金融业务领域是由金融控股公司的风险管理部来主抓。

主持人：各位嘉宾能否总结一下信息技术对企业内部控制的价值是什么？

钱晨：IT是企业内控的一个重要内容和手段。现在多数企业都会用到IT系统，很多流程都嵌入到IT系统中，企业内部控制也应该对IT系统进行控制。同时，我们在进行内部控制的时候，也应该通过IT手段来辅助实现。

周梓滔：我们看到一个很重大的改变：以前内部控制都是通过手工来实现的，非常复杂；现在借助IT系统来实现内控，效率大大提高了。另外，对IT系统进行控制，可以优化系统，提高系统性能。

王卫乡：任何事情都有两面性，IT技术可以帮助我们进行内部审计、获取更加及时、有效的信息，但是如果不加强对IT本身的审计，可能会被人利用，拿这个工具去做不正当的事情。所以要从观念上重视IT内审。

田海波：从客户的反应上也可以看到IT内审的价值。我们之前是做电信行业的BOSS系统的，在跟客户接触过程中发现客户对IT内审的需求很大。因为客户觉得内控工作非常烦琐，希望能够借助有效的工具来帮助他们轻松实现。

主持人：那么，企业应该怎样进行IT内审呢？

周梓滔：如钱经理所言，IT审计有两个方面，一个是对IT进行审计，另外一个是利用IT技术来进行审计。首先要看IT有什么东西要做审计：现在很多ERP系统中已经就内部控制做了设置；另外可以利用DQI方法(利用数据库、程序去运行大量数据可以帮助企业分析发现业务上的问题，以供企业进行调整)。这是一个非常有效的审计方法。

对IT进行审计是指对整个IT环境各方面的审核工作，如信息安全、软件开发、系统维护等。

钱晨：也有说法认为IT控制有两个方面：一个是应用控制，即IT必须对业务流程进行某些控制；另一个是通常性控制，对于支撑公司运作的IT基础技术架构平台进行有效管理控制。

主持人：我听一个在香港上市的企业的CIO说，IT内审对他们来说就是会计师事务所给他们提供一个与IT相关的表格，他们只需按照这个表格的要求来执行就可以了。是这样的吗？

王卫乡：没有这么简单。这可能要牵扯到两个部门：一个是IT部门，一个是审计部门，实际上这是跨两个领域的事情。

周梓滔：我们给企业做IT内审的时候，要先了解被审企业的情况，了解他们的业务范围是什么，管理层对IT管控持什么样的看法，然后再按我们的方法论对风险较高的地方进行审计。

业务不同，IT审计的策略也就不同。比如一个企业拥有大型的数据中心，并依赖该数据中心为客户提供服务，那么该数据中心的物理环境安全就是非常重要的环节。但如果是一个销售企业，他们的IT系统会相对简单，数据中心的物理安全也会影响他们的财务数据，但要求就不那么高了。

IT内审谁在喝彩

主持人：去年大家都对IT内审比较关注，但是最近好像没什么大动静了。实际情况是这样吗？出现这种情况的原因又是什么呢？

周梓滔：我看到的情况有点不同。刚才王总说得很对，现在做IT审计的人并不多。企业如果成立专门的IT内审部门成本太高，所以往往会外包给一些第三方公司来做。

上交所、深交所要求他们的上市公司也要进行内控，其中IT内审是很重要的环节。有些母公司在国外的跨国企业在IT内审方面做得比较多，因为他们的网络、系统是全球化的，要符合母公司所在地相关法规的规定。

国内的一些大型企业在这方面也有很大的改善。但我们发现需求增加的速度比IT内审提高的速度要快很多。其中很重要的原因就是专业IT审计人才的缺乏。比如说有个全国性的银行，他们的IT审计部门只是一个小组，很难进行大的推动。

王卫乡：银行、电信企业强调IT审计取决于他们的业务特点。银行的服务器坏了可能会影响一大片。

此外，企业本身环境的要求或者政府的管制要求也很重要。美国政府已经以法案的形式来进行约束。其实国内前几年也发生过不少因为内控失效造成重大损失的案例，那在目前牛市的情况下，如果还不加强控制的话，影响就会更大。

没人喝彩好像是没有动静，但不能说就没有行动。我相信政府一直在推动，我们企业也在考虑怎么加强这方面的工作。当然，如果将政府和企业两者结合起来，推动的效果会更好。

田海波：我们涉及这块业务是因为我们有一个电信客户希望能从数据模型角度来评估系统设计是否满足其业务需求，要对软件实施过程中阶段性成果进行验证。这是IT内审的一部分。

主持人：在国内上市的公司也同样那么重视IT内审吗？

周梓滔：深交所、上交所的《指引》中提出的内控要求主要是针对上市企业。但是随着相关法案的出台，越来越多的国内上市企业意识到了IT 审计的重要作用和影响，很多公司已经开始了相关的工作。

王卫乡：我觉得企业进行内控往往从自发和自觉两个角度出发。从自觉的角度来做内控的企业，很明白内控对企业发展的好处。如果企业要发展，是不可能不去做这方面工作的，应该是一个自发的行为。有些上市公司大张旗鼓地宣扬自己的内控做得怎么好，这实际上是他们自己应该做的。

主持人： IT内审的推广还有哪些比较现实的问题呢？

王卫乡：我觉得最难的还是观念问题。如果在观念上没有重视这个事情，其他的技术再高超、完善，但如果不去用，那就一点用都没有。

还有一个问题就是现在很多企业的信息化建设还不尽如人意，在这种情况下强调太多的IT审计还没有必要。

主持人：IT内审是一个中长期的工作，上市公司该怎么看IT内审的运作成本和收益？

王卫乡：我个人认为这个投入非常值得，既能够维持公司良好的运转，又能够比较好地监控公司运转的状况。IT审计是一个提供保障的机制，不会直接创造效益，但是它至少不会让已经创造的效益流失。

钱晨：对。也许企业什么都不做也能成功运转很长时间，但风险永远是存在的，像“9•11”那样的小概率事件也是会发生。

王卫乡：为此，我们公司建立了金融的灾备中心，是和运营中心分开的。这应该是IT审计或者企业内控的一个重要组成部分，而且尤其对大型企业来说特别重要。

周梓滔：当企业很大程度上依赖IT的时候，IT内控不但能够帮助企业理顺业务流程、培养人才和提高技术能力，能够降低风险、提升能力，还能推动业务模式的转变。我们有个客户，他们的IT部门原来是个成本中心，后来通过IT内审优化业务模式，使他们公司的服务达到了世界一流水平，很多国外公司都来找他们咨询。后来这个公司的IT部门因此慢慢成长为一个咨询公司。

中国路线怎么走

主持人：各位认为适合中国国情的IT内审规范应该是什么样的？

王卫乡：这个问题很难回答。但是全球化以后，很多中国企业都在海外上市，要求我们去适应海外交易所的法规，同时也会带来一些好的做法，我们可以借鉴一下。

主持人：那中国的IT内审规范应该怎么来做？

周梓滔：IT内审并不是因为萨班斯法案才有的，这在上个世纪80年代就开始有了。当时行内人已经为通过打孔机从电脑上提取数据的计算机进行IT审计。现在随着IT技术的发展，IT审计的内容、方法、技术等各方面都已经发生了变化。

钱晨：我们可以先西学中用，把国外做得好的拿过来借鉴，再对用得不好的加以改进。

田海波：我觉得中国IT内审如果能够形成一个大的产业链会更好，像当初推项目管理时那样，对相关的咨询、培训起了很大的推动作用。

主持人：很多企业不知道自己的IT内审该如何开始，请各位给他们提点建议。

周梓滔：首先可以找我们这样的专业机构来做。如果企业一定要内部自己做，自己培养人才，可以让IT部门负责信息安全的同事去学习一些审计知识――信息安全是IT审计的一部分。但这样有很多东西需要学习和推动，可能历时比较长。

主持人：内部控制标准委员会公布了《企业内部控制规范――基本规范》和17项具体规范(征求意见稿)。不知道各位对这个征求意见稿有什么期望？

周梓滔：征求意见稿不仅参考了萨班斯法案，还参考了很多其他地方的法规，对信息安全、系统运作、应用系统开发等各个方面都有所提及。但是有一点值得我们注意，很多法规都已经推行好几年了，我们应该充分吸取这些法规推行后的经验和教训，并加以消化吸收。比如说，要充分考虑企业内控的成本。

钱晨：我国对上市公司的内控监管还不够，远远达不到萨班斯法案那样的力度。

王卫乡：说到监管力度，我们可以分别来看看欧洲、美国和中国三块市场。对市场的监管力度最强的是美国，欧洲比较温和。从历史上看，欧洲的贵族文化本身对自律性要求比较高，在欧洲上市的公司如果运作不好，自动就退市了。美国虽然只有200多年的历史，但相关制度为他们的发展提供了有力的保障。如果运作不好就有强硬的措施逼着它退市。我觉得中国应该兼顾这两个市场的特点。我们有5000年的文化，好的地方要继承下来，不好的地方要通过制度来完善。希望现在的征求意见稿能起到这个作用，真正实现对上市企业的违规行为的约束。

详情请见中计在线“阡陌三人行”访谈实录(.cn/Special/InternalAuditing/)

链接:有关IT内审的外包

周梓滔：企业如果成立专门IT内审部门成本太高，可以外包给专业的第三方公司来做。

王卫乡：我赞成这个观点，IT内审业务的外包是比较可取的，因为这对技术要求很高，而且需要经验。

钱晨：IT审计外包更能够体现审计结果的独立性。如果IT部门本身既做系统管理又做系统的审计，这本身就是一个矛盾的问题，看问题就不会很客观，也会造成利益的冲突。

中国中信集团公司管理信息部副主任 王卫乡

IT审计包括对IT系统的审计、通过IT辅助审计工作和审计管理的信息化。

德勤华永会计师事务所有限公司企业风险管理服务高级经理 周梓滔

我们应充分吸取其他地方相关法规推行后的经验和教训，并加以消化吸收。

科索路咨询公司副理

钱晨

内部控制的目标是在保证实现公司战略目标的前提下，对存在的风险进行控制。

北京锐思盈泰科技有限公司董事副总经理 田海波

it审计论文篇7

公司治理的效率、效果直接依赖于许多的制度要素。这既包括审计和信息披露的质量，也包括系统对契约的监督以及对外部投资者的保护能力等。例如，在逆向选择的框架下，我们可以看到：一个更好的标准和更及时的信息披露要求将大大减轻经理人与外部投资者之间的信息不对称，从而便利了融资，降低了风险。因此，公司治理的核心问题是信息不对称性或不完全性，解决公司治理问题，最核心的是公司信息的真实、准确以及处理与传递的效率问题，而IT技术在实时披露、实现透明度原则和体现监控力度上正日益成为有效的工具。2002年美国颁布的《萨班斯法案》对公众公司提出了更高的要求，法案的409条款要求上市公司必须向投资者实时披露必要的信息，包括图片、表格等信息，302、404条款要求公司应定期评价其信息系统及其内部控制的充分性来保证提供给投资者信息的准确和完整，强调公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任。因此，IT治理，加强IT控制，降低风险，有效地实现公司治理，成为全球关注的问题。

公司治理是建立组织各利益相关者之间的相互制衡机制，管理风险，有效实现组织目标的一系列过程及制度。内部控制制度是实现善治的制度安排之一。IT治理是实现公司治理的工具。IT治理不等于治理IT技术，它是一个信息背景下的制度安排，包括内部控制、审计以及公司信息的披露等。IT内控是内控的一个组成部分，信息时代，企业管理信息化水平日益提高，信息资产成为企业的核心价值资产，IT在给企业带来竞争力的同时，也带来了极大的风险。因此利用IT技术加强内部控制，并对信息系统自身加强管理控制，成为公司治理及IT治理必不可少的组成部分。IT内控是强化风险管理，完善信息时代公司治理的必要手段。IT治理、内部控制、审计、风险管理体系等都是促进公司治理的有效工具。

SOX法案的出台，对企业的公司治理、IT治理及IT内控提出了更严格的要求。

一、SOX法案的要求：

1.对公司治理的要求：

（1）要求上市公司必须建立审计委员会，并对审计委员会的人员组成做出了规定，保证审计委员会的独立性，同时赋予审计委员会更多的责任：《萨班斯-奥克斯莱法》，及其紧接着全美证券交易商协会和纽约证券交易所于2003年11月又的新的公司治理最终规则详细地界定了审计委员会的职责， 具体来说应包括：1）每年获取并审查独立董事提交的报告。2）与管理当局、独立审计师一起讨论经审计的公司年度财务报表和季度财务报表，包括公司在“管理当局对财务状况和经营结果的讨论和”项目中进行公告的财务事项。3）讨论公司收入公告及向分析师和评估机构的财务信息、收益指南。4）讨论风险评价、风险管理政策。5）分别与管理当局、内部审计师（或其他负责内部审计机构的人员）和独立审计师定期会面。6）与独立审计师讨论所有的审计难题以及管理当局的反应。7）制定清晰的关于聘用现任或前任独立审计师的政策。8）定期向董事会报告

（2）增加高管人员及董事会的责任：CEOs and CFOs必须保证财务报告真实，要求发行人的CEO和CFO保证定期报告没有对重大事件的不真实表述，也没有遗漏必须披露的重大事件，并保证财务报告在所有重大方面都公允反映了发行人的财务状况和经营成果。在此基础上，法案单独规定了对管理人员证明财务报告时失职的刑事处罚。CEO和CFO如果知道定期报告不符合上述要求但仍然做出保证的，将判处不超过100万美元的罚款，或是不超过10年的监禁，或是二者同罚；如果是蓄意做出书面保证的，将判处不超过500万的罚款，或是不超过20年的监禁，或是二者同罚。

2.萨班斯法案对内控的要求：

（1）法案302要求：公司管理层设计所需的内部控制，并保证首席官员能知道该公司及其合并报表子公司的所有重大信息，尤其是报告期内的重大信息；评价公司的内部控制在签署报告前90天内的有效性；在该定期报告中他们上述评价的结论。

（2）法案404节要求：编制的年度报告中包括内部控制报告，包括：强调公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任；发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价

3.萨班斯对审计师的要求：增加了审计师对信息系统的审计，要求审计师必须了解业务如何穿过系统，而不是绕过系统。审计师必须了解业务流程，评价IT 控制与一般控制的设计及效果。评价 IT 控制设计效果，确定这些控制设计是否适当地实现相关目标。实施IT控制执行效果测试。

二、对上市电信运营商的挑战

萨班斯法案对高管严格的法律处罚令其中许多公司的最高管理层都如坐针毡、夜不能寐。美国有多达5000家大中型公众公司在2004年11月15日后结束的财政年度中紧张异常，这而对于公司治理尚不完善的电信企业领导来说，更是意味着要承担重大国际法律责任的风险。公司治理决定企业的兴衰，企业的兴衰决定国家的兴衰，因此公司治理建设不能出现任何重大失误。

我国电信企业在公司治理制度在股份制改造过程逐步，中国网通借美国上市契机建立了新型的公司治理结构，董事长与CEO分离，在董事会下设4个委员会：审计委员会、战略规划委员会、公司治理委员会和薪酬委员会。2005年3月7日，在京召开的中国电信集团实业工作会议明确：经过3年左右的时间，逐步规范法人治理结构。由于我们的企业处于转型的特定时期，公司治理水平与日、美等发达国家有一定的差距。信息产业部电信研究院公布的《中国电信业国际竞争力发展报告（2004年）》显示，我国电信业国际竞争力在全世界主要国家和地区中（共33个国家和地区）排名第14位，然而细细看来，却发现了很多隐忧。报告将国际竞争力解析为3大竞争力：环境竞争力、市场竞争力和企业竞争力，其中企业竞争力排名27，企业竞争力指数包括“技术创新”、“生产率”和“公司治理结构”，排名分别为18、28和21.不难看出，目前我国电信企业的公司治理水平。要成为电信强国，环境竞争力、市场竞争力和企业竞争力三者缺一不可，因此，我国目前距离电信强国还有较大差距。从分析要素来看，法律和制度框架、政府效率，以及企业技术创新、公司治理结构等 “软件”能力偏弱，单条腿走路。我国几大运营商中虽然已经有中国移动和中国电信进入了财富500强，虽然几大运营商均已上市实现了公司化治理，但由于脱胎于老的国有企业，因此公司管理能力和治理结构仍有待提高。因此，提高企业竞争力，就应该从改善公司治理结构做起。

三、运用信息化手段，完善公司治理

1.完善公司治理机制。我国电信运营商需要健全公司内部治理的规则和程序、建立公司的合法守规管理、完善约束与激励机制、加强公司的内部控制体系以及建立公司的风险管理与控制机制。虽然在现有的公司治理结构中，有些公司也有审计委员会、独立董事等监督机制，但这些人员的任职资格、发挥作用的程度、以及职责定位等都需要进一步改进。

2、利用信息技术，完善公司治理的监控体系。公司治理是一种对公司管理和运营进行监督和控制的体系。其核心是在所有权和经营权分离的条件下，解决好所有者和经营者的利益不一致而产生的委托-关系。由于委托人（所有者）和人（经营者）是不同的利益主体，委托人（所有者）与人（经营者）相比处于信息劣势的情况下，必然有成本或激励问题的产生。为完善公司治理，必须重视委托与之间的信息不对称问题，通过对公司重要信息有效的传递、鉴别和处理，使成本最小化，提高企业的经营绩效。萨班斯法案强化公司治理要求的目的也是提高上市公司透明度，提高公布信息的质量，加强信息披露，从而保护投资者的利益。

在市场中，信息交换是否充分，是否对称，直接关系到市场经济是否公平、是否有效。为了保证信息公平、公开，人们设立了一系列内外部机制。独立董事担任的审计委员会，公司聘请的会计师事务所都层层对公司财务信息的真实性、准确性、及时性进行审核、这些约束与激励机制的有效性取决于公司信息真实与准确性和处理与传递效率的问题。在这点上，IT技术正成为日益有效的工具。

萨班斯302、404、以及409等条款对公司的要求，使得IT在公司治理机制中的作用日益凸现。由于信息技术不以人们的意志为转移地在各类组织中的普遍，IT在各类组织中的多层次、横纵向嵌入，正在改变着组织的业务流程，进而改变组织的结构、组织的管理及公司治理；特别是电信对IT的依赖性非常大，没有相应IT治理机制的公司治理，使无法满足萨班斯的严格要求的。由于IT治理已成为完善公司治理的重要手段，成为实现 IT与业务的匹配管理、IT价值贡献管理、IT风险管理、IT绩效管理等的重要保证，花旗银行等美国大企业已经引进或正在引进IT治理机制。

国资委连续举办的旨在推动企业建立全面风险管理系统，进一步完善公司治理机制的企业全面风险管理培训上，也提到在公司董事会层面建立IT治理委员会，建立IT治理机制，完善信息的公司治理，促进现有公司治理制度安排的有效执行。但由于信息技术在治理方面所具有的复杂性，完善IT治理机制，构建符合萨班斯要求、适应时代的公司治理机制任重道远。

构建IT内控系统的思路

（1）不能因耗时且成本高昂就摒弃原有的IT控制而另搞一套。SEC管制条款复杂，为了满足萨班斯法案的要求，大多数企业需要调整其员工观念和企业文化，通常也需要对IT系统和其处理流程作一些改进，改进的内容包括其控制设计、控制文件、控制文件的保留，以及IT控制的评估等方面。这是一个循序渐进的过程，不能将原有的一切推倒重来。

（2）要选择好内控框架。法案并没有规定公司必须选择什么样的内控框架， 需要企业自己抉择。国际上比较有名的内控模式有英国的Cadbury、美国的COSO 和加拿大的COCO ， 它们从不同的角度剖析公司的经营管理活动， 为营造良好的内控框架提供了一系列的趋于一致的政策和建议。第2号审计标准依据COSO制定的内部控制框架制订，在“管理层用于开展其评估的框架”一节中，明确管理层要依据一个适宜且公认的由专家群体遵照应有的程序制定的控制框架，来评估公司财务报告内部控制的有效性。SEC对该标准的认同等于从另外一个侧面承认COSO框架。COSO 认为内控是由企业董事会、经理层和其他员工实施的， 为营运的效率效果、财务报告的可靠性及相关法令的遵循性等目标的达成提供合理保证的过程。内控框架的构成要素包括控制环境、风险评估、控制活动、信息和沟通、监督五个方面。这套得到了包括SEC、公司管理者、投资者、债权人及专家学者的普遍认可， 国外许多公司都依据这个框架建立了内控系统， 我国公司也可以按COSO 建立内控框架， 逐步与国际管理模式接轨。通过引入COSO 内控要素， 形成一个相互联系、综合作用的控制整体， 使单纯的控制活动与企业环境、管理目标及控制风险相结合， 形成一套不断改进、自我完善的内控机制。

但是很明显，SEC所推荐的COSO控制框架有助于遵循萨班斯法案，虽然它针对的是内部控制，但没有对IT控制目标和相关控制活动提出具体的要求与限制。由于COSO框架缺少对IT内部控制的内容，所以单独以COSO为构建IT内部控制的框架显然是不合适的。COBIT为管理IT风险与IT控制提供了一个综合性的框架，是另外一个被国际认可的业内标准，由4大部分、34个IT处理流程、318个详细控制目标组成。COBIT也涉及企业经营、萨班斯法案遵循等方面的控制。但在萨班斯法案要求下，我们只考虑应用COBIT中与财务报告相关的控制。

因此Cobit与COSO结合作为构建IT内部控制框架，将是两种国际标准优势互补。同时在确定控制点、控制程序、留下相应审计轨迹时，也可以BS15000以及ISO17799等一些国际标准，这些标准都是IT运营、安全方面可审计的一套标准管理控制体系。

（3）要建立一套自评估机制，确保内部控制系统的持续有效

从来看， 企业的发展阶段和管理状况，以及外部环境的变化都是决定企业内控系统建立和运行有效的前提。任何内部控制系统都只是在一个特定的历史阶段有效，管理层对内部控制有效性的声明，要求公司必须建立一套自我评价机制，评价内部控制系统设计、执行是否有效，以支持管理层的声明。同时自我评估机制也可以帮助公司发现控制弱的区域，以及控制漏洞，及时审势度势，弥补内控系统的缺陷，确保内部控制系统持续有效。这也是萨班斯法案所要求的。

控制自我评估（CSA）是指企业内部为实现目标、控制风险而对内部控制系统的有效性和恰当性实施自我评估的。国际内部审计师协会（IIA）在1996年的报告中了CSA的三个基本特征：关注业务的过程和控制的成效；由管理部门和职员共同进行；用结构化的方法开展自我评估。CSA最早出现在20世纪80年代末期，但其最主要的发展是在90年代，特别是在1992年COSO报告公布之后。COSO报告首次把内部控制从原来自上而下财务模式的平面结构发展为更具弹性的企业整体模式的立体框架。传统的内控评价方法只能用来评价诸如财务报告，资产与记录的接触、使用与传递，授权授信，岗位分离，数据处理与信息传递等的“硬控制”。在新的内部控制模式下，迫切需要评价包括公司治理，高层经营理念与管理风格，职业道德，诚实品质，胜任能力，风险评估等的“软控制”。在这种情况下，作为一种既可以用来评价传统的硬控制，又可以用来评价非正式控制即软控制的机制，CSA得到了普遍的信赖。

图1 自评估流程（略）

如图1所示，自评人员首先选择要评审的内控流程， 然后对其设计的健全性进行评价， 如果健全， 则测试其运行的有效性， 最后综合设计测试和运行测试， 评价内控系统的健全性和有效性。如果设计测试结果为不健全， 则直接进行内控系统的评价， 而不再进行运行的有效性测试。

内控系统设计测试是指为了确定被审计单位内控政策和程序设计是否合理、恰当和完善进行的测试。健全的标准即设计合理、恰当和完善， 能有效保证信息的机密性、完整性和可用性。运行有效性测试是指， 为了确定被审计单位的内控政策和程序在实际工作中是否得到贯彻执行， 并发挥应有的作用而进行的测试。有效的标准即内控政策和程序在实际工作中得到了贯彻执行并发挥了应有的作用。

为了帮助评估控制设计，图2（略）提供了一个IT控制设计与运行有效性模型，它将依赖于企业所达到的状态、阶段，我们认为有必要花时间来改进控制程序的设计和有效性。

图2显示了企业中存在的控制可靠性的各种等级。就建立内部控制目标而言，一些企业可能愿意接受等级不高于3的IT内部控制。然而，考虑到萨班斯法案要求的“外部审计师应就控制出具独立的证据”这一要求，对一些关键性的控制活动，控制的可靠性则不能低于3等级。

控制运行的有效性评估。一旦控制设计的评估结果认为内部控制设计适当，就需要对其和以后的运行是否有效予以测试，而该测试由控制负责人及内部控制程序管理团队来进行。

一般而言，有些控制（如一般控制）程序是其他控制程序（如应用控制）的基础，企业组织对这些控制的测试范围应更广、频率更高。判断测试范围是否恰当时，组织应该考虑IT控制是如何财务信息披露与报告过程的。

一些企业利用外部服务机构所提供的外包服务，这也应该视为企业整个经营职责的一部分，在整个IT内部控制程序中应予以考虑。

在这种情况下，组织在确定其内部控制的可靠性时，应复核服务机构所提供的控制活动，并将其记录下来，以便独立审计师收集内部控制是否有效的证据。因此，在决定证据的充分性、适当性时，就有必要评估外包服务机构的整体状况。

it审计论文篇8

在电子商务环境下，越来越多的企业通过互联网产品信息，确定产品交易，传递产品发货单，划账结汇等。客户也从网上了解所需产品的相关信息，与厂方签订合同，发送订单。经济业务产生的原始凭证由传统的纸质凭证演变为电磁信息的形式在网上传递并存储于磁性介质中；由于网络账务系统具有共享性的特点，会计信息的相关使用者可以随时通过授权，上网查询企业的财务状况和经营成果，信息的及时性大大提高，作为事后反映的会计报表对于会计信息使用者的重要性大大降低；网络财务的兴起使得企业从采购，销售，支付及到资金回笼这一系列烦琐的处理过程变成网上的瞬间实现，这些都使得在手工会计系统环境下进行的传统审计模式受到极大的冲击。由此，IT审计这一新兴审计模式应运而生。

一、IT审计与传统审计相比较之优势

1、使审计时效性大大提高。传统审计一般是在企业的会计报表完成后进行，审计人员经过调查取证等一系列工作后再经过一段时间的整理形成审计书面报告，这期间往往要耗用几个月的时间，其时效性不强。而在网络环境中，审计部门可随时对被审计企业进行审查，及时收集其最新的会计信息，并向有关各方，从而使审计的时效性得到保障。

2、收集审计证据的成本大大降低。传统审计通过实物盘点，审查大量的凭证，账簿和报表，口头询问及函询等来获取证据，耗费了大量的人力物力。而在IT审计中，所有的现金，存货及各项固定资产等实物由计算机进行实时动态管理，所有凭证等书面文件都已成为网络中的电磁信息，口头询问及函询可通过发送邮件和网上实时交谈的形式来获取。这必将大大减少审计证据的收集成本。

3、减轻了审计人员的工作量。传统审计中，审计人员要进行大量的调查取证工作。而在IT审计中，在获得必要的权限下，审计人员利用审计接口软件便可轻松、便捷、完整的获得被审计企业的会计信息和经济数据，大大减少了工作量。

二、IT审计应用中存在的问题

1、由于在网络环境中，经济业务产生的原始凭证是以电磁信息的形式传递并存储于磁性介质中，具有能被无痕修改，容易丢失不利于永久保存等缺点，审计面对的是企业的电算化会计信息系统和网络账务系统，它们的合理有效性，安全程度直接影响到审计工作的质量和效率，而这些又受到技术和人为的诸多因素影响，审计环境中的不确定因素增加。

2、在IT审计中，审计人员对于计算机网络的依赖性大大增强。主要的审计证据来自于系统网络，属间接证据，其可靠性依赖于网络内控制度的健全有效性，且由于计算机病毒和黑客攻击都可以通过网络威胁到会计信息系统的安全，使得审计人员对网络的安全可靠产生依赖。

三、IT审计发展现状

美国等先进国家开展IT审计始于20世纪六十年代，国际上唯一的信息系统控制与审计协会ISACA总部就设在美国，目前已经在世界上100多个国家设立了160多个分会，现有会员两万多人。在发达国家，IT审计已经得到了普及。

在我国，信息化事业已发展到一个新的阶段。各级政府正在推进“电子政务”，并认真落实“以信息化带动工业化”的战略。广大企业也开始着手整合与升级各自的信息化应用系统。可以预计，全国将有更大更多的信息系统上马。但是在信息化推进的过程中，至今不同程度上存在一些问题，主要表现在规划制定不够深思熟虑；项目管理不够严格；系统运行效益不够明显。究其原因是相当普遍的对信息化风险认识不足，规避风险的措施不力。中国加入WTO后，为了保证我国经济社会与科技方面的稳步发展，保证与经济安全，社会安全，国家安全紧密相连的信息系统的安全，在我国发展IT审计已经势在必行！

四、对我国IT审计工作未来开展的几点思考

1、规范电算化会计信息系统模块，规范会计信息系统的数据结构。开展IT审计工作要求企业的计算机信息系统留有审计接口，以便通过接口取得被审系统的电子信息，进行有关的审计处理。虽然我国软件协会财务及管理软件分会曾对财务软件的数据接口提出了标准要求，但许多财务与管理软件都没有执行。我国现有的计算机信息系统大部分没有设置审计接口，有些系统的数据库还加了密，使审计软件无法访问系统的资料，电子资料的获取成了利用计算机辅助审计的瓶颈。

2、加快审计网络建设。在网络环境中，审计人员所面临的不再是传统的交易模式和经营管理理念，而是实时动态的网络信息资源。审计人员只有通过互联网才能完成审计线索的收集，审计信息的输出及传送，因此需要加强审计网络建设。

3、迫切需要培育一批既懂得审计知识，又懂得计算机网络知识的复合型人才。目前，我国国内的审计人员无论在数量上还是质量上仍有较大不足。传统的审计人员虽在财会审计领域经验丰富，但对计算机网络技术了解不多，这使得他们难以对复杂的网络会计系统进行有效的评审，难以应付电子商务环境下的审计风险。因此要保障IT审计工作的顺利开展，必须培育出一批高素质合格的IT审计师队伍。

4、建立更切实完备的法律法规和准则规范，加强网络立法。由于网络的虚拟性，广泛性和实时性，使得旧有的审计准则和法律法规体系受到了冲击。为了更好的指导和规范网络审计实践，使人们在开展网络审计工作时有法可依，有章可循，必须加快建立一套符合自身发展特性的新的审计标准和准则――网络审计准则，给IT审计提供一个良好的发展环境。