系统审计论文范文
时间:2023-11-21 14:09:51
系统审计论文篇1
(Why)随着被审计单位经济业务活动对信息系统依赖程度越来越高,信息系统已经逐渐融入各项经济活动当中。但是,信息系统存在的漏洞和缺陷、非法舞弊程序、人为操作错误、病毒感染、黑客攻击、系统故障等导致被审计单位经济业务数据失真的各种风险也在进一步加大,也就是说信息系统本身的安全性、可靠性直接威胁和影响到信息系统所产生经济业务电子数据的真实、准确和完整。因此,基于现代风险基础审计理论的政府审计,必须考虑与经济业务活动相关的信息系统产生的风险因素,突破传统政府审计业务范围,涵盖信息系统审计内容。如果忽视对信息系统本身的审计,审计机关审计人员审计依赖的被审计电子数据的真实性就会成为“空中楼阁”,就有可能出现“假账真审”的问题。目前,各级政府部门、企事业单位为了提高信息化水平,纷纷加大资金投入,推进信息系统建设,建立统一数据集中平台,信息系统已经成为国家的一项投资巨大的重要资产。这就要求审计机关审计人员在对这些机构实施经济效益审计、绩效审计、经济责任审计等审计项目时,必须考虑信息系统资产因素,对信息系统实施相关审计,以有效揭示信息系统在安全、可靠、合法、效率、效果和效益等方面存在的问题,防范信息系统风险,保障信息系统安全、可靠运行,促进信息系统资源的有效利用,提高信息系统资源运用的收益水平。由此,在政府审计项目中,考虑到信息系统的影响因素,迫切需要大力开展结合型政府信息系统审计,而不是可审可不审的问题。
二、结合型政府信息系统审计的目标是什么
(What)信息系统审计目标是信息系统审计行为的出发点,它指明了审计工作方向,并指导着信息系统审计实践活动(王振武等,2011)。我国政府审计以维护国家财政经济秩序,提高财政资金使用效益,促进廉政建设,保障国民经济和社会健康发展为职能,以国家经济活动的真实性、合规性和效益性为总体目标。因此,我国政府审计机关实施的结合型政府信息系统审计,也应遵守真实、合规和效益的根本目标。审计机关审计人员在各项具体政府审计项目中,不能笼统地将一般意义上信息系统审计的安全性、可靠性、合法性和有效性目标作为结合型政府信息系统审计具体目标,这既不符合结合型政府信息系统审计的特点和需求,也不具备实际可操作性、指导性。如果信息系统审计目标因素与具体政府审计项目目标不相关,将起不到应有的作用,是多余的、不必要的,从成本效益角度来说,是对审计资源的浪费。审计人员应避免根据自己的理解来确定目标,造成混淆不清。结合型政府信息系统审计贯穿于各政府审计项目之中,成为审计全过程的一部分,其具体审计目标应根据国家审计机关实施审计项目预期要完成的任务和结果,即具体政府审计目标,以及所涉及的信息系统情况等综合确定。例如,政府财政财务收支审计的目标是财政财务收支情况的真实性、合规性和效益性,其审计的数据来源于相关信息系统产生的财务电子数据,而数据是否真实、完整,直接依赖于相关信息系统是否安全、可靠,由此可以确定政府财政财务收支审计中信息系统审计的目标是安全性、可靠性。又如,在国有企业绩效审计中,绩效审计的目标是效率性、效果性和效益性,虽然信息系统与绩效审计不直接相关,但是信息系统作为企业的一项重要资产,且信息系统建设的投入金额巨大,因此,在国有企业绩效审计中也应包括信息系统资产的绩效审计,这就决定了国有企业绩效审计中信息系统审计的目标应该是效率性、效果性和效益性。上述示例也表明,结合型政府信息系统审计具体目标随政府审计项目的不同而存在一定的差异性,也就是说政府审计具体目标的多元性决定了结合型政府信息系统审计具体目标的多元性,必须根据具体政府审计项目综合确定。
三、结合型政府信息系统审计的重点在哪里
(Where)结合型政府信息系统审计的成效取决于审计机关审计人员对信息系统审计重点内容的把握程度。审计人员应该在分析清楚各政府审计项目中信息系统审计具体目标的基础之上,确定信息系统审计意图和需要解决的问题,并根据“全面审计、突出重点”、“先系统本身后系统环境”的原则确定信息系统审计重点事项(唐剑,2012)。此外,还应考虑成本效益原则,尽力减少与政府审计目标不相关的、多余的、不必要的信息系统审计内容。
(一)结合型政府信息系统重点
审计对象的选择被审计单位一般建立有多个信息系统,依据结合型政府信息系统审计的特点,不需要也不必要将被审计单位的所有信息系统纳入重点关注的审计对象,只需要根据与被审计业务活动相关的程度选择目标信息系统。如何选择信息系统重点审计对象?审计机关审计人员选择的主要原则应是依据被审计单位核心业务对信息系统的依赖性以及被审计单位信息系统的复杂性确定需要重点调查和审计测试的信息系统的范围和深度。一般来说,越高度依赖的信息系统,就应该作为重点审计的对象;越复杂的信息系统,就应该扩大重点审计对象范围。例如,在财务收支审计中,被审计单位ERP系统由财务、采购、销售、库存、质量、人力资源等多个子系统组成,由于财务收支数据直接依赖于财务子系统,所以理应将其作为审计的重点,然而ERP系统又是一个集成化的复杂系统,审计人员还应扩大审计范围和深度,需要将ERP系统中系统管理子系统以及其他子系统的基础设置、凭证处理等模块也作为审计的重点。
(二)结合型政府信息系统内部控制
测试重点
内容的确定现代风险基础政府审计是建立在内部控制的测评基础之上,根据内部控制的符合性测试结果实施业务数据的实质性测试。信息系统内部控制测试是对信息系统内部控制的可靠性、健全性和有效性进行的测试。基于结合型政府信息系统审计的经济监督和重在审计业务数据的特点,以及政府审计人员信息技术能力限制,为避免将对信息系统的审计引入技术陷阱(李春青,2008),审计人员应重点选择信息系统中容易产生数据风险的部分,作为信息系统内部控制测试的重点内容。而信息系统的硬件、软件、应用程序、数据、人员、制度等组成要素中,对业务数据直接产生影响的主要有信息系统数据、应用程序、人员和制度,因此审计人员在结合型政府信息系统审计中应选择信息系统数据、应用程序、人员、制度作为审计测试的重点,只在必要的时候再根据实际情况适当关注信息系统的软硬件环境。
(三)信息系统效率、效果和效益审计重点
内容的选择在结合型政府信息系统审计中,对行政事业单位、企业的效益审计、绩效审计、经济责任审计等政府审计项目中涉及的信息系统效率、效果和效益审计,其审计范畴从属于政府审计项目的范畴,只是审计对象中包括信息系统资产。因此,在这种结合型政府信息系统审计中,审计机关审计人员审计信息系统效率、效果和效益应从被审计单位正在运行使用中的信息系统资源的有效利用、促进产品或服务目标实现、降低产品或服务成本和增加产品或服务收益的角度选择重点审计内容:(1)效率性审计应重点评价使用中的信息系统对提高被审计单位劳动生产率所作的贡献,如节省人力、提高人员工作效率等;(2)效果性审计应重点评价使用中的信息系统使被审计单位业务、管理和决策等方面得到改善和提升,如满足业务处理需求、促进业务流程改进、增强信息交流与共享、提升客户服务能力、提高管理决策水平等;(3)效益性审计应重点评价使用中的信息系统的资金投入以及产生效益之比,资金投入包括信息系统运维资金投入、升级改造资金投入等方面,产生效益则可以从降低产品或服务成本、提高资金周转速度、提高产品或服务收入、增强竞争力等方面考虑。
四、结合型政府信息系统审计如何实施
(How)结合型政府信息系统审计作为信息系统审计的一个特例,两者在审计技术、方法、手段等方面理应具有一定的一致性。但是,审计机关审计人员在借鉴目前常用信息系统审计方法的同时,需要结合具体政府审计项目,立足审计人员的信息技术审计能力相对较弱、业务审计能力较强的审计专长,以审计人员的业务思路和职业判断为工作核心(王亚清,2012),积极探索富有实效的信息系统审计与传统审计相结合的方法。
(一)如何做好信息系统审前调查
在进行结合型政府信息系统审计调查时,审计机关审计人员可以将被审计信息系统调查与被审计项目业务调查结合进行,将信息系统调查作为业务调查的延伸。一方面,可运用询问法、观察法、查阅法、调查表法、流程图法等传统审计调查的方法,将被审计单位业务活动情况与信息系统情况调查融合在一起,一并调查了解被审计单位整体和业务活动情况、信息系统环境(如硬件环境、软件环境、组成、结构、分布等)、内部控制制度(含信息系统内部控制制度)、手工和计算机信息系统处理过程(如业务流程、运行流程、人员操作流程等)及执行情况;另一方面,可运用计算机辅助审计方法获取被审计业务电子数据,调查了解被审计信息系统数据处理情况等。两种方法相互补充,既能全面了解被审计单位业务活动情况,又能够摸清被审计单位信息系统基本运作情况,实现信息系统审计调查与整个审计工作调查的衔接,从而确保审计调查的效率、质量。
(二)如何做好信息系统内部控制测试
在结合型政府信息系统审计中,审计机关审计人员可运用熟悉的传统审计测试方法,辅以计算机辅助审计测试方法对前述确定的信息系统数据、应用程序、人员、制度等重点内容进行审计测试。具体可采用:(1)传统审计方法。通常可采用询问法、观察法、检查法、核对法、比较法、数据分析法等方法。如:询问或观察职责分离制度、人员操作制度、运行维护制度的执行情况;观察有关人员对信息系统访问是否设定口令、系统操作是否违反职责分离原则;查阅系统日志文件、操作记录,查看系统中是否有非法访问记录和报告,有无未经授权的用户操作系统;观察、检查系统功能设置、程序化控制、权限设置、系统参数配置等是否合理、有效,如权限设置是否符合职权要求,人员岗位变动或离职前是否及时进行权限锁定或删除,客户数据是否进行唯一性检验,财务软件是否存在反结账、反记账等功能;核对、比较原始凭证与数据库凭证文件数据的一致性,以测试凭证数据输入控制的有效性;对数据库文件数据采用数据分析法,如分析数据文件中操作员代码、数据异常值、数据间的关联关系、数据间的平衡或合计关系等审查是否存在非法用户或越权操作、参数设置的有效性、数据处理是否存在错误等以测试数据处理控制的有效性,也可通过数据分析反推系统中存在的非法功能和漏洞,等等。(2)计算机辅助测试方法。通常可采用计算机数据审计软件工具、整体测试法、平行模拟法、虚拟实体法、受控处理法等方法。如利用计算机审计软件(OA)、数据库管理系统(Access、Sqlserver)、Excel等获取和分析被审计信息系统数据输入、处理、输出控制;运用整体测试法、平行模拟法、虚拟实体法、受控处理法等方法(张瑜,2012),测试系统的处理和控制功能是否恰当、可靠,接口程序是否存在缺陷等。除此以外,对于信息系统硬件、软件、网络安全等方面内部控制测试,由于其技术性较强,审计人员可重点从系统管理的视角着手。一般采用面谈法、询问法、观察法、测试软件等,重点审查计算机安全和管理制度的执行情况、是否建立安全认证机制、是否建立针对系统故障的应急安全机制、软硬件来源的合法性,观察硬件是否进行有效的保养、隔离,查看系统是否安装防火墙、安装防病毒软件、定期检测和清除计算机病毒,利用漏洞扫描工具和网络检测诊断工具等对网络环境进行测试和评估。
(三)如何做好信息系统效率、效果与效益审计
对于结合型政府信息系统审计中的效率、效果与效益性审计,应遵循可操作、实用性原则,审计机关审计人员可通过询问、观察、查阅资料、发放调查表和比较分析等方法,重点了解信息系统的各项功能在被审计单位日常工作过程中的使用情况,了解信息系统功能设置能否满足系统目标,了解信息系统保障被审计单位信息资源共享、业务有效开展和履行情况,了解信息系统运维成本和效益并进行定量化分析处理,对比被审计单位信息系统规划、运营目标,运用一定的评价方法(如平衡计分卡法、层次分析法、模糊综合法等)(张静等,2011)进行评价,给出审计结论和审计建议。就目前来说,信息系统的效率、效果和效益审计在我国仍然处于理论和实践探索阶段,缺少规范的指导,缺乏完善的评价指标体系,因此,如何科学、准确地评价信息系统的效率、效果和效益,仍然存在不小的难度。
五、结束语
目前,很多审计机关审计人员对开展结合型政府信息系统审计还存在概念模糊、认识不清以及不知道如何实施等问题,以至于结合型政府信息系统审计在我国政府审计项目实践中并没有普遍展开。基于此,本文就结合型政府信息系统审计问题提出了“3W1H”模型,以期能够帮助审计机关审计人员提高对结合型政府信息系统审计的理解和认识,并为审计人员开展结合型政府信息系统审计提供实践指导。
系统审计论文篇2
(一)企业应加强内部控制
随着市场经济的深入发展,企业逐步成为自主经营、自我约束、自我发展、自我完善的商品生产者和经营者。在“优胜劣汰、适者生存”的市场经济中,企业要想真正的做到“自主经营、自我约束、自我发展、自我完善”,必须要加强内部控制,建立有效、完善的内部控制制度,这样才能在一个绝对的高度上,对企业进行高瞻远瞩的控制,才能做出与时俱进的决策。
(二)内部审计是企业内部监督机制的重要组成部分
内部审计也是企业内部控制的一个重要的组成部分,是监督内部控制其他环节的主要力量。内部审计通过对控制环境和控制程序的有效性进行监督,评估企业的内部控制是否被执行,是否及时反馈有关执行结果的信息,是否帮助企业更有效地实现预期控制目标。同时,在监控过程中,内部审计可以促进控制环境的建立和改善,为改进控制制度提供建设性的意见,为企业建立健全所需要的内部控制水平服务。在内部控制的监督过程中,内部审计发挥着越来越重要的作用。
二、内部审计在防范信息系统风险中面临的问题
(一)信息系统安全管理机制不健全
企业信息系统风险的存在,很多是由于管理不善或控制不严造成的。一方面,缺乏一套统一的安全策略体系来指导安全管理工作,无法建立系统内部明确、全面的安全规范要求。从现有管理制度规范来看,主要存在的问题是可操作性差,条理不清、重叠或遗漏等;另一方面,现有安全管理制度的管理对象基本是网络系统管理员等技术部人员,管理对象没有全面涵盖所有信息系统技术相关人员,包括所有网络系统上的内部终端人员和外部人员。
(二)内部审计在信息系统风险防范中的角色缺乏独立性
内部审计的角色发生了转变。从传统的事后审计而逐渐转向事前和事中审计,主动参与内部控制系统的建立和完善。内部审计人员即承担着评价硬件和应用信息系统安全的任务,如果又同时有参与了系统的开发和实施过程,那么内部审计人员就却乏独立性。反之,如果处于对丧失独立性的担心,内部审计人员有可能会拒绝参与系统和软件的开发,那么系统开发过程中存在的风险又无法得到控制。
(三)内审部门技术力量薄弱造成对信息系统审计形成风险
审计稽核部门的技术力量薄弱,不熟悉业务系统的流程和功能,对信息系统缺乏必要的认证能力和标准。突出表现为以下几个方面:一是实施审计稽核的手段和方法没有得到及时更新,不适应信息系统管理的要求,大部分仍停留在手工审计阶段;二是审计稽核部门对计算机账务系统实施审计的依据仅依赖于被审计单位提供的打印资料或事后资料,计算机账务的真实性审计很难得到保证。
三、加强风险防范的措施和对策
(一)构建信息系统安全管理组织及规范体系
加强信息系统的自我风险评估体系,让信息系统的管理和技术人员在自身的职责范围之内正确识别和评估潜在操作风险,主要包括内控制度的查漏补缺、工作流程的整理和规范、应急预案完善和演练等。同时加强对操作人员的管理,规范操作程序。一是加强密码管理,明确规定操作人员的权限,操作员必须在规定的权限内办理业务,用户口令及密码必须专人专用,严禁公开口令及密码;二是要建立健全操作员岗位目标责任制,对网络操作人员要明确目标任务,规范操作程序,严格落实奖惩制度。三是要严格岗位设置,不相容职务进行分离。严禁系统管理人员、网络技术人员、程序开发人员和前台操作人员混岗、代岗或一人多岗。四是要加强系统内部的稽核监督检查。稽核监督应贯穿于网络操作的全过程,重点是加强对系统设计开发、内控管理制度落实、操作运行等方面的(二)关注信息系统的稳定性、安全性和有效性审计
首先,审计人员应运用用一定的技术方法识别系统的完整性,该过程包括检查、测试、评估系统的内制,以保证系统的稳定性;其次,审计人员应评价系统存在的风险和可能产生的后果将成为审计的核心工作和基本内容,保证信息系统的安全性。应根据审计的标准和准则,评价控制环境的和IT基础设施的安全,确保系统满足组织的业务需要,保护信息资产的安全完整,以防非授权使用、泄露、修改、损坏或丢失;最后,还应鉴别信息系统的有效性。内部审计必须理解并熟悉操作环境,了解系统技术的复杂性及其对决策的影响;对来自内部的安全隐患,采用一定的方法进行系统诊断、检验、测试,评价其有效性及效率,以支持组织业务目标的实现
(三)改善内审机构,提高内审人员素质,培养信息系统审计师
为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价。信息系统审计师也称lS审计师或IT审计师,是指那些既通晓信息系统的软件和硬件(包括信息系统的开发、运营、维护、管理和安全等),又熟悉经济管理的内部审计人才。
(四)聘请专家进行协助
内部审计人员的知识、技能和经验虽然有助于信息系统的风险防御,但现实中必须承认,在企业中同时具备计算机技术和审计专业知识的人才非常短缺。再出色的内部审计人员可能面临一些系统内的专业问题却无法解决,因此有必要聘请外部专家。可以通过专家的协助测试运用其专业技能测试系统安全,进一步防范和解决信息系统风险的存在。
论文关键词:内部审计信息系统风险防范
论文摘要:内部控制是社会经济发展到一定阶段的产物,其内容在不断的发展与变化,而内部审计是内部监督机制的重要组成部分。目前计算机信息系统已在企业中广泛使用,而在内部审计过程中如何加强计算机信息系统的风险防范,是企业内部控制过程中迫切需要解决的问题。
企业信息系统化的运用,原来的手工控制则变为手工与电脑控制相结合或全部由电脑自动进行控制。计算机信息系统的广泛使用,与技术管理相对薄弱和稽核监督的长期空白已形成了尖锐的矛盾。信息系统风险控制能力差的现状,迫切需要我们加强风险管理和监控。
参考文献:
系统审计论文篇3
【关键词】免疫系统论;审计文化建设;审计事业;价值取向
【作者简介】张艳玲,渤海大学副教授,硕士;王娟,渤海大学讲师,硕士,辽宁锦州121000
【中图分类号】F239.0 【文献标识码】A 【文章编号】1004-4434(2013)02-0155-05
免疫系统论是对审计理论的创新和审计本质、职能的重新界定,石化企业作为我国国民经济的重要组成部分,其在维护国家经济安全、促进国有资产保值增值中发挥中重要作用。在国际金融危机影响尚未完全消除、国内外经济发展环境多变、市场竞争日益激烈和企业风险趋于多元的后金融危机时代。石化企业必须以免疫系统论作为新的价值取向深度推进审计文化建设,促进审计事业的创新和发展,保证企业可持续发展的实现。
一、审计文化的内涵、特点及功能
(一)审计文化的内涵
审计文化与文化之间具有密不可分的联系,审计文化是文化的重要组成部分,要了解审计文化的内涵,必须先分析文化的具体内容。关于文化的内涵,在学术界有不同观点。按照《现代俄语标准辞典》的解析:文化是指人类社会在生产中、社会生活和精神生活中所取得的成就的总和,包括物质文化和精神文化两个层面。泰勒(1992)认为,文化是一个复合整体,包括知识、信仰、艺术、道德、法律、习俗以及作为一个社会成员的人所习得的其他一切努力和习惯。还有学者认为,文化是代表一定民族特点的反映其理论思维水平的精神面貌、心理状态、思维方式和价值取向等精神成果的总和。可见,文化是一个多视角、多维度和多层面的概念。包括了物质、精神、理性和感性等多方面的涵义。也正是由于文化的复杂性,审计文化也成为了仁者见仁、智者见智的问题。但整体而言,审计文化具有自然属性和社会属性两种属性已成为普遍共识。审计文化的自然属性是审计工作中具有的属性,是共性,如审计法律法规、审计准则、审计手段和方法以及审计行为等。审计文化的自然属性决定了不同社会、不同国家的审计文化的共性。是不同国家相互交流的基础。审计文化的社会属性是审计工作中所形成的属性,是个性,其决定了不同社会、不同国家审计文化的差异性。虽然审计文化还没有形成统一、具体的概念,但学者普遍认为,审计文化是审计机关及其审计人员在履行职责、发展审计事业过程中培育形成的,被共同认可、遵循的价值观念、道德规范、行为准则、群体意识的总和。不难看出,学者对于审计文化的理解和认同,主要是集中在审计价值观、审计精神、审计心理和审计道德等在内的精神方面。
(二)审计文化的特点
经过近30年的发展,审计文化已经逐步形成了区别于其他文化的特点。(1)时代性。审计文化是时展的产物,无法脱离特定时代、特定政治、经济和社会环境的制约,随着社会经济关系的发展而变化,以适应社会经济发展对审计工作的要求,与审计工作实际现状保持协调一致。(2)系统性。审计文化包括了审计物质文化、审计制度文化和审计精神文化三个层面,三者相互关联、缺一不可。审计文化建设,不仅要注重制度、技术等有形因素,更要重视信念、价值观、道德评价等无形因素。(3)创新性。在社会经济不断发展的背景下,审计手段、审计方法、审计理论以及审计的价值观等必定要不断创新。(4)开放性。审计文化与其他文化虽有本质区别,但又相互兼容,既需要吸收先进文化的基本元素,又可以为其他文化提供借鉴和吸收。(5)科学性。审计文化具有自身的发展规律,其发展以社会经济发展水平和社会环境为基础,不能超越于经济发展水平的需要而独立存在,审计文化应与经济发展和审计工作的实际需要保持协调一致。
(三)审计文化的功能
实践证明,审计文化具有四个方面的功能。其一,凝聚功能。先进的审计文化,可以增进审计及机关人员的相互了解。团结各岗位、各领域的人员,形成共同的认知和价值观,增强企业凝聚力和忠诚度,形成促进企业发展的巨大合力。其二,激励功能。价值观和精神文化是审计文化的重要内容,其具有良好的精神感召力,有利于形成强有力的激励环境和激励机制,调动审计人员的主动性,全身心投身于审计工作,推动审计事业发展。实践证明,在某种程度上,文化的激励作用往往胜过行政命令的执行约束。其三,约束功能。审计文化的约束功能在价值观的指导下,借助道德、信念和风气发挥作用,通过心理的诱导和规范,引导人的思想和行为趋于和谐、一致。其四,教育功能。良好的审计文化有利于企业职工陶冶思想素质和道德情操,遵循正确的思想准则和行为规范。此外,审计文化还可以促使外部人员增加对审计工作的理解和配合,促使社会各界更加关注和支持审计事业。
二、免疫系统论与审计文化建设的内在机理
审计免疫系统是国家审计署审计长刘家义于2007年提出的观点,并在2008年中国审计学会五届三次理事会暨第二次理事论坛对全面深刻地阐述了免疫系统理论。免疫系统论是对审计理论的创新、审计本质和审计职能的新发展。刘家义审计长指出,审计应具有和发挥预防、揭示、抵御功能,现代国家审计就是经济社会运行的一个免疫系统。很显然,免疫系统论下的审计已经超越了传统审计中的会查账就是审计的定位,并对传统审计的监督、评价和鉴证职能进行修正及突破。免疫系统论下的审计,要做到资金管理使用的合规性、合法性、效益与效果性兼顾;既要查处问题,又要完善制度政策;在审计经济问题的同时,加强对社会、生态、环境和民生等问题的关注。对于企业而言,审计部门作为公司“免疫系统”的重要组成部分,要从审计的本质出发,发挥预警、揭示和修补抵御等“免疫”功能,同时当好经济卫士和保健医生,查错纠弊、规范管理、完善制度、堵塞漏洞,促进公司依法经营、规范管理,并不断增强抗风险能力和市场竞争力,保障公司经营管理活动安全运行和健康发展。通过分析免疫系统论和审计文化的功能与目的,两者是趋于一致的。是可以融合的。互为促进的。
(二)创新审计制度,强化审计文化建设的制度保障
制度是由人制定的规则。它抑制着人际交往中可能出现的任意行为和机会主义行为,在协调个人行动上发挥着重要作用。事实上,审计文化的培育和发展过程就是审计人员、审计组织和审计制度作用发挥和创新的过程。促使审计观念、审计态度和审计价值观转变与新的审计文化相适应是推进审计文化建设的重要方面,这些都必须通过审计制度的创新来推动和保障。原因在于,审计人员或群体的正确信念、态度和价值观的培养及形成,必须依赖制度化、规范化和法制化来实现,即将审计文化外化为审计制度,依靠审计制度来倡导、要求和规范。我们应当看到,审计文化是具有认知刚性、路径依赖性、内部一致性和延续机制的,以免疫系统论为核心理念的审计不同于传统审计,要推进以免疫系统论为核心理念的新的审计文化建设,最关键的是要把新的审计文化转化为新的审计制度安排,运用审计制度的动力机制和惩罚机制促使其尽快占据主导地位。特别是要把“免疫系统论”作为新的审计制度的核心价值指向,推动审计制度创新转化为新的审计制度安排,为审计工作或审计行为提供新的制度框架。与此同时,审计文化建设涉及多个层面、多个部门和领域,并非审计人员、审计部门的力量所能主导和实现,吸纳各个部门、各个领域人的参与。寻求多方面力量的相互配合与支持,形成多种力量的聚集化、扩大化也是必不可少的条件。基于以上所述。审计文化建设至少要形成方面的制度创新来推动和保障。其一,要促进审计文化与企业文化建设的高度融合。要把审计文化纳入企业文化建设的重要内容,全面规划,系统安排,配套实施。通过增强审计人员终身学习意识、加强学习型机关建设、完善审计机关系统培训机制、营造审计文化建设良好环境和氛围、丰富审计文化建设活动等措施。来引导审计人员或群体形成符合以免疫系统论为核心理念的新的审计文化要求的正确信念、态度和价值观,将审计文化建设内化为审计人员或群体的内在行为。其二,构建审计文化建设的奖惩机制。人“私利”的本性和传统审计文化延续性因素的影响是新的审计文化建设不可忽视的制约因素,要完全依靠审计人员或群体的自觉性来推动新的审计文化建设只是一种“理想化”的状态,还必须发挥制度的规范性、强制性和引导性作用来推动。因此,在制定完善有利于免疫系统论功能发挥的审计原则、准则、评价体系的基础上,要进一步细化对审计人员工作绩效的考核机制,建立健全奖惩机制,约束审计人员的“非理”,引导和激励其向新审计文化要求转变,促使新的审计工作尽快取代传统审计。其三。建立健全审计文化建设的协调机制。审计范围、领域的广泛性和复杂性决定了审计文化建设绝非审计部门一己职责,而被审计部门的“利已”思想和“利益最大化”追求又必然促使其对审计工作存在“不欢迎”、“不配合”甚至是“排斥”之行为,在自身“局部利益”最大化的权衡下,要其主动完全配合审计工作和支持审计文化建设显然不现实,应在上述完善奖惩制度的制约基础上,构建相互协同、互促互进的协调机制。就石化销售企业而言,审计文化建设的协调机构至少要由包括财务、审计、纪检、基建、零售、非油品、物流等部门负责人在内的人员组成。考虑到企业为维护“局部”利益而在具体工作不作为或不完全作为的可能习惯,协调机构的负责人可由上级主管单位相关人员负责,其拥有对审计工作协调的具体控制权,并且每条专业线也要成立对应的协调机构。而且,在审计过程中,既要指定专人与审计人员对接,及时提供审计所需要的资料,接受审计工作的调查,又要加强对审计业务、法律法规、制度政策的学习。
(三)发挥审计人员的主体地位和作用,推进审计队伍建设
系统审计论文篇4
为了更好的开展信息系统审计,审计组在编制审计实施方案前,对支队的信息系统开展了详细的审前调查,摸清了交警部门信息系统的基本情况,掌握了交通违法业务处理流程及业务数据的流向。最终,审计组决定以业务处理流程为切入点,抓住业务数据流向的关键点来开展审计,并确定了全市审计机关上下联动的审计组织模式,明确了审计的方向和重点。
1.开展信息系统审计审前调查审计组在审前调查阶段,专门开展了信息系统审计审前调查,调查的内容包括:信息系统承载的业务应用情况、业务应用软件、系统业务流程图和数据交互图、网络拓扑结构、主机/存储设备/操作系统/数据库系统、信息系统相关文档等。通过信息系统审计审前调查,大致了解了被审计单位的信息系统的基本情况及业务处理流程:市电子警察系统主要包括违法录入、违法修改、违法审批、法律文书管理、黑名单管理、违法统计等功能。其通过“邮政送达平台”和“银政联网平台”分别与广州市邮政局(以下简称邮局)和银行交换数据,以实现违法通知书的邮寄和罚款的缴纳。四区两市监控设备采集到的数据通过专线或3G网络传送到交警大队服务器中,通过前端审核系统对数据的有效性进行审核,审核完的有效数据上传到市交警支队的“电子警察系统”中。电子警察系统中通过审核的有效数据上传到省系统中,再上传到公安部的“六合一”平台。
2.确定审计组织模式审计组采用了市本级审计组与区县审计组上下联动、信息共享的审计组织方式,由市本级审计组负责市公安局交警支队和两个区分局交警大队的审计调查,其余的四个分局交警大队由各区县审计组分别负责。市本级审计组通过分析“电子警察系统”和“省系统”数据库,将问题数据分割后通过审计署OA系统及时发送给四区两市审计组。四区两市审计组审计分析各自的前端系统数据库,发现的审计线索也通过OA系统上传到市本级审计小组,以确定是否全市普遍存在问题。
3.确定审计重点和方法根据信息系统审计审前调查的结果,审计组决定以交通违法业务处理流程作为切入点,跟踪业务数据流向来开展信息系统审计。审计调查的重点包括四个方面:一是电子警察系统的合法性审计。因为电子警察系统的合法性决定了公安部门执法的合法性,其作出的行政处罚是否存在行政诉讼的可能。例如:执法点位有无按规定向社会公布;执法点是否按规定设置标识牌;执法点的设备是否经过验收和定期检测等,执法点的设备能否正常运行等。二是电子警察系统的有效性、完整性审计。如:违法数据是否按规定全部、及时核对录入;违法记录是否全部及时向当事人制发书面通知;超过规定时速的违法行为是否严格按规定进行处罚;有无擅自撤销处罚记录等。三是电子警察信息系统的安全性审计。如,数据上传过程中是否存在上传失败的情况;前后业务处理流程之间的数据量是否存在差异;操作系统、数据库以及应用系统访问是否存在的安全隐患等。四是电子警察系统的效益性审计。对审前调查确定的重点,审计组分别采用了不同的步骤和方法。①针对系统的合法性采取的审计方法:⑴取得目前交通“电子警察”的种类、数量及分布情况,与金盾网上向社会公布的执法点对比,检查执法点位有无全部按规定向社会公布。⑵在征询社会公众的意见的基础上,实地抽查执法点有无按规定设置标识牌;抽查指示灯号、标志线、限速指示牌等行车标志、标识是否合理;抽查交通“电子警察”测速设备,是否存在限速过低。⑶抽查交通“电子警察”设备的技术档案资料,检查所用的设备是否符合国家标准或者行业标准。⑷抽查记录,检查是否存在执罚程序不合法、未及时通知违法行为人等问题。②针对系统的有效性、完整性采取的审计方法:⑴抽查近三年广州市交通“电子警察”定期检测、保养、维护的日志、记录资料,检查设备有无定期检测、保养、维护;通过实地闯红灯和超速检查信息系统设备运行情况的有效性。⑵检查数据校验功能是否缺失。如核查决定书编号是否唯一编号、是否存在重号等。⑶通过不同系统之间数据的对比,核查系统数据完整性。一是横向比对,例如通过交警数据和邮政数据比对,违法记录是否全部及时向当事人制发书面通知,通过交警数据和银行数据比对,检查最终违章记录表中反映的已缴处罚金额总额是否与财政同一期间的非税收入金额一致;二是数据的竖向比对,例如通过四区两市的数据和支队数据比对,支队数据和省交警总队数据比对,检查系统数据在升级和迁移过程中是否发生丢失。⑷处罚撤销情况统计。审核撤销的数量、原因情况。审核撤销是否具有完整的内部控制制度,系统是否有控制手段。③针对系统的安全性采取的审计方法:⑴检查管理制度,查看系统后台记录的有关用户操作权限。⑵实地抽样查看系统操作人员对系统用户权限的管理,并运用数据审计技术和软件,对信息系统自动记录的日志进行筛选分析,检查有无未经授权的进入、非法修改删除数据等异常操作,从而判断信息系统的运行管理是否存在明显错误或者缺陷。④针对信息系统的效益性采取的审计方法:⑴通过直接发放调查问卷等方式,征询公众对广州市公安机关利用交通“电子警察”查处道路交通安全违法行为的意见,分析交通“电子警察”信息系统运行、交警执法的合理性、合法性和效益效果,提出对交通“电子警察”建设和利用的建议。⑵现场抽查交通“电子警察”设置到位情况,通过勘察、试验、拍照等取证手段,对市公安局“电子警察”项目的设置规划、分布、效益进行实地调查,重点检查有无长期在建、虚设不用、闲置浪费等低效益现象,形成绩效评价意见。⑶通过对交警执法效率提升、当地车辆保有量增长、交通事故数量及事故死亡人数变化等相关数据分析,采取量化指标反映“电子警察”取得的社会效益情况。⑷调取业务数据进行分析。如抽查监控点近三年开出罚单情况,动态分析监控点的运作情况汇报;分析近三年的事故多发地点,以及在事故多发地点设置交通“电子警察”情况。
4.项目取得的成果审计组通过开展电子警察信息系统审计,查出了以下主要问题:①部分监控设备长期没有维护,导致无法采集数据或数据失效。②部分违法数据未及时核对、录入。③区(县级市)违法数据与市局存在差异。④未在规定时限内向当事人邮寄交通违法处理通知书。⑤电子警察管理系统反映的违法处理通知书数据与邮局反映的寄出数据存在差异。⑥未及时对区县的异常数据信息进行检查、分析,导致滞纳金数据失真。⑦交警部门记录的入库金额与银行返回的金额存在差异。⑧电子警察管理系统数据上传公安部“六合一”平台时数据丢失。⑨信息系统中交通违法信息内容记载不够完整。公安交警部门对以上查出的问题高度重视,边审计边整改。其中对部分监控设备长期没有维护的问题,市交警支队已加强设备巡检、维护工作的监督力度,对未能正常使用的设备已及时排除故障;通过优化系统和设备配置、延长工作时间、抽调人员支援、将人工拍摄的非现场数据核对录入工作下放至辖区交警大队等措施,有效解决对部分违法数据未及时核对、录入的问题;对未在规定时限内向当事人邮寄交通违法处理通知书的问题,支队按不同的形成原因采取措施予以解决,对确因传送失败而未寄出通知书的,支队与邮政部门重新设计和开发统计违法数据数量功能模块,已正式启用,同时,与邮局采取每日核对数据量、对异常数据加强巡检等监管手段,确保发送数据量与邮局接收数据量一致;对未及时对区县的异常数据信息进行检查、分析,导致部分数据失实的问题,支队已在系统中对滞纳金字段值进行限制,有效解决了缴款时间滞后造成滞纳金不实的问题;对相关业务处理流程之间的数据存在差异的问题,支队正在筹建交通管理数据交换平台,将邮政、银政、电子警察、交委等数据统一通过该平台进行管理,进一步规范数据的共享与交换,同时对数据共享与交换情况进行全面监控,同时,将加强对系统操作人员的培训,提高业务和技能水平;对数据上传公安部“六合一”平台失败后没有作补救处理的问题,支队通过开发数据上传失败查询模块和安排专人跟踪数据上传情况,一旦发现数据上传失败立即进行补传,确保不因技术问题导致上传失败;对信息系统中交通违法信息内容记载不够完整的问题,支队已在新的电子警察管理平台中增加相关字段内容,逐步完善系统的设置。
二、做好信息系统审计的启示
1.做好审前调查是做好信息系统审计的必要前提。审计人员需要根据审前调查了解的行业政策、信息系统的设计、管理和维护情况,从而确定审计的范围和关注点,准备好信息系统审计的软、硬件条件。只有做好信息系统审计审前调查,才能充分评估开展信息系统审计的重要性、可行性和风险性。
2.了解信息系统业务处理流程是做好信息系统审计的主要关键。深入了解被审计单位的业务处理流程,掌握信息系统内部控制环节、数据处理环节和数据传输转移环节,以业务处理流程为切入点,就可以知道容易产生问题的环节,从而确定审计的重点,做到有的放矢。
3.合理配置审计人力资源是做好信息系统审计的有力保证。当前审计机关普遍面临信息系统审计复合型人才馈乏的困境,要在短时间内改变这一状况是不现实的。本案例中审计组配备了专长财会的审计人员和专长计算机技术的审计人员,由专长财会的审计人员负责研究行业政策,收集业务流程各环节的关注点,提出审计需求,由专长计算机技术的审计人员按需求设计计算机语言,对海量数据进行筛选,再交专长财会的审计人员对筛选结果进行分析,共同研究提出审计意见。复用审计思路的审计组织方式能使信息系统审计事半功倍。
4.采取灵活多变的审计方法是开展信息系统审计的有效途径。本案例中采取了审阅、查询、计算、分析性复核、社会调查问卷等多种方法。多种审计方法的灵活运用,可以相互印证审计事项,拓宽审计视野,扩大审计成果,加强审计的影响力。
三、结语
今后,审计机关要完成“全面审计,突出重点”的审计目标,承担起社会经济运行的“免疫系统”作用,就必须充分认识开展信息系统审计的重要性,加快信息系统审计的步伐。信息系统审计将扩展审计的领域,将是审计未来发展的一个重要方向。
系统审计论文篇5
【关键词】计算机审计; 信息系统审计; 比较计算机审计(Computer Auditing)与信息系统审计(Information SystemAudit,简称IS 审计),前者约定俗成,后者势在必行,但两者在我国的学术研究与实践应用中长期模糊不清、难舍难分,这不仅不利于我国审计工作的开展,同时也可能影响我国审计信息化的发展。
本文拟通过两者的产生与发展、基本概
念与审计目标、适用准则与审计技术等
方面的比较,厘清两者的主要区别,以求
它们在我国取得并行不悖的发展。
一、两者的产生与发展过程比较
在计算机审计与IS 审计产生之前,
电子数据处理(Electronic Data Processing,EDP)审计早已存在。可以说,EDP 审计是计算机审计与IS 审计的前身与发展的基础。
(一)EDP 审计的产生与发展
EDP 审计不仅是指电子数据处理环
境下的审计,还包括对电子数据处理系统的
审计。F.Kanfuman(1961)、A.Pinkney
(1966)、T..W.Merae (1976)、Joseph
Sardinas (1987)、W.Thomas Poter 和
William E.Perry(1987)等学者都从不
同的角度对EDP 环境中内外部审计规则
和组成方法、EDP 审计的测试方法、特
殊审计技术、审计步骤等方面展开深入
研究。1968 年美国注册会计师协会
(AICPA)出版的《会计审计与计算机》一
书,详细阐述了在EDP 环境下如何开展
IS 审计和传统的外部审计。而作为信息
系统审计与控制协会(IASCA)的前身,
成立于1969 年的EDP 审计协会(EDPAA)
及其属下的EDP 审计师基金会
(EDPAF)25 年间一直使用EDP一词。至
今,EDP 审计与IS 审计仍有并驾齐驱之
势。例如,在Jack.J.Champlain所著的
《审计信息系统》(第2 版,2003) 一书
中,仍然将EDP 审计师与IS 审计师相
提并论。
从诸多文献资料分析,EDP 包含两
种含义,一为环境说;二为系统说。作环
境说,诚如国际审计准则15 指出:“为
了国际审计准则的目的,当一个单位对
与审计有重要意义的财务资料的处理,
包含有任何类型或大小的计算机时,就
存在着电子数据处理的环境”。面对这一
环境进行审计的审计师也就是EDP 审
计师。而作系统说,则更多是指计算机信
息系统,以该系统作为审计对象必然会
改变审计的总体目标和范围,因而也才
有应用而生的信息系统审计与控制协会
及其单独的审计标准、指南和程序,
以及由此产生的IS 审计师。
(二)计算机审计的产生与发展
有关计算机审计的研究,在国外参考
文献中并不少见。例如,Andrew D
Chambers(1984)、Javier F.Kuong(1987)
和S.Rao Vallabhaneni(1989)等学者,
均围绕计算机审计的安全与内部控制、相
关技术、内部控制的实施等加以论述。值
得注意的是,在各职业组织所的有
关标准、指南或程序中,却鲜有使用计算
机审计一词,如美国注册会计师协会
(AICPA) 的《计算机辅助审计》
(1978)和取代SAS No.3 号(1974)的
《审计标准说明书第48 号》(SAS.No.
48,1984),国际内部审计师协会20 世
纪70 年布的《系统控制与审计》,
加拿大执业会计师协会(CICA)两次发
布的《计算机控制和工作指南》
(1970,1986),以及加拿大审计标准委
员会颁布的《EDP环境下的审计———一
般原则》(1984)等等,也都较少采用“计
算机审计”一词。
在我国,有关计算机审计研究经久
不衰。在20 世纪80 年代,我国学者往
往将其与国外的EDP 审计相联系。例
如在对Poter 和Perry(1987)合著的
《EDP:Controlls And Auditing (第5
版)》翻译中,李大庆和乔勇等学者
(1990)就将其直接译为《计算机审计》。
我国学者潘晓江(1983)较早针对我国
会计电算化提出审计应采取的充分发
挥人在控制中的主导地位、注意实行数
据可靠性控制和注意保留必要的审计
线索三大措施。从20 世纪90 年代至
今,我国以“计算机审计”为题的研究
成果颇丰。据笔者不完全统计,这类教
材和专著已逾30 本,较早的作者有肖
泽忠(1990)、陈婉玲(1990)、李长旭
(1990)等。
我国审计机关无论是关于计算机应
用的规定,还是组织系统内有关专家进
行研究,也多以计算机审计为题加以进
行。例如,审计署1993 年的《审计
署关于计算机审计的暂行规定》和1996
年的《审计机关计算机辅助审计办
法》等。邱胜利和张玉(1990,1993)、董
化礼(2002)、刘汝焯(2004)、国家863
计划审计署课题组(2006)等,也都以计算机审计为题展开研究。
(三)IS 审计的产生与发展
对IS 审计贡献最大的莫过于国际
信息系统审计与控制协会(Information
System Audit and Control Association,
ISACA)。1994 年,ISACA 替代了
原有电子数据处理审计协会(EDPAA)
。至2008 年2 月止,该协会已经
了16 个审计标准、39 个审计指南
和11 个审计程序。而其于1996 年发
布的信息和相关技术控制目标(Control
Objective for information and
Related Technology,COBIT)已经成
为全球公认的、权威的信息技术控制目
标体系。同时,该协会每年还举办IS 审
计师资格考试,有力地推动了世界范围
内IS 审计的发展。
日本通产省于1983 年了《系
统审计标准》,并在全国软件水平考试中
增加“系统审计师”一级的考试。1985
年,日本内部审计师协会在其所的
《审计白皮书》中认为,内部审计师的最
新发展是“IS 审计”。另据IIA 对美国和
英国的调查,被调查企业中实施MIS 审
计的企业所占的比例各年分别为:1968
年48%,1975 年60%,1979 年65%。而
1983 年再对这两个国家1 687 个内部
审计部门的调查中显示,已有70.8%的
企业在进行MIS 审计。
由于我国从一开始就将电算化会计
信息系统确定为计算机审计对象,致使
人们将其等同于IS 审计的审计对象。同
时,学者们也往往将IS 审计与IT 审计
等同视之。如胡克瑾(2002)在其《IT 审
计》专著中指出,IT 审计是指对以计算
机为核心的信息系统的审计。李丹
(2003) 也认为,“信息系统审计也称为
IT 审计”。
(四)从国内研究现状看两者的发展
借助有关学术论文的统计数据,也
许可以发现我国学者对计算机审计与
IS 审计的研究偏好与倾向。笔者以“计
算机审计”、“信息系统审计”和“电算化
审计”作为关键词进行检索。采用“篇名
+ 年份+ 全部数据+ 全部期刊+ 精确
匹配”为检索条件,对中国期刊网的期刊
数据库各年进行检索,以下是检索结果
统计表(见表1)。
在表1 对29 年来统计
中,三种研究倾向的论文总数为696
篇,其中,有关计算机审计的研究论文占
了61.93%,而在近五年这一研究倾向
论文也高达219 篇,占近五年全部论文
总数的58.40%,无论处于哪一时间段,
研究计算机审计的论文占三种研究倾向
论文总数的比例均超过50%。而研究信
息系统审计的论文在2003 年及以前的
24 年中仅有44 篇,近五年则有101 篇,
其平均每年有20 篇,尤其是近三年更
呈递增趋势。但其各年所发表的论文数
均明显低于计算机审计研究倾向的论文
数。至于电算化审计研究方向,由于它与
计算机审计、信息系统审计两个研究方
向有重复之嫌,故近年来呈下降趋势,在
未来研究中它可能被计算机审计和信息
系统审计两个研究方向所替代。由表1
也同时看到,我国在继续对计算机审计
进行研究的同时,亟须加快对信息系统
审计的理论与实务研究。
二、两者的基本概念、审计目标与审
计内容比较
计算机审计与IS 审计的本质区别,
首先见之于基本概念、审计目标与审计
内容等三个方面。因此,了解两者在这三
个方面的区别与联系,有利于今后开展
相关理论研究与应用研究。
(一)基本概念的比较
1.计算机审计的基本概念。日本会
计检察院计算机中心认为,计算机审计
有两方面的含义,一是对计算机系统本
身的审计,包括系统安装、使用成本,系
统和数据、硬件和系统环境的审计;二是
计算机辅助审计,包括用计算机手段进
行传统审计用计算机建立一个审计数据
库,帮助专业部门进行审计。
我国学者对计算机审计的理解与上
述基本一致。肖泽忠(1990)认为:“计算
机审计是审计人员用手工的或电算化的
审计方法、技术和程序对电算化或手工
信息系统进行的审计”(以下简称为“二
方观”)。陈婉玲(1990)、刘志涛(1990)、詹航恩和张蒙生(1993)、李学柔和秦荣生(2002)也都表达相同的观点。李长旭(1990)则认为,计算机审计是针对会计核算电算化而言的,即凡是对实现会计核算电算化的企业进行的审计都可称为计算机审计(以下简称为“一方观”)。
综观国内外学者对计算机审计的诸
多论述,多数学者将计算机审计作为一
个广义的概念,认为计算机审计包括两
个方面,一是将计算机系统作为审计的
对象;二是将计算机作为审计的工具。
与计算机审计的基本概念相近的还
有“电算化审计”,它同样具有“二方观”
与“一方观”。朱荣恩和徐建新(1986)根
据英国《审计研究》(1982 年版)的资料
编译并发表题为“发展中的电算化审计”
中指出,电算化审计是“评价、控制会计
电算化信息系统”的审计。王军等
(1995)多数学者赞同这一观点。袁树民
等(1995)则持“二方观”,其基本概念与
计算机审计无异。
2.IS 审计的基本概念。IS 审计至今尚未形成统一的概念。Ron Weber 在《信息系统审计与控制》一书中指出,IS审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。日本通产省情报协会对IS 审计定义如下:“为了信息系统的安全、可靠与有效,由独立于审计对象的IS 审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向IS 审计对象的最高领导,提出问题与建议的一连串的活动”。而我国学者也普遍认为,IS 审计是由专业审计人员根据IS 审计准则及相关规定,对信息系统的计划、研发、实施,以及运行维护等各环节所进行的审计,以保证被审计信息系统安全、稳定和有效,同时,它还将根据审计结果对被审单位提出改进建议。
应当指出的是,在我国审计署和财
政部的诸多准则与通则中,“信息系
统”一词尚未达到统一规范的表述。例
如,审计署的《审计机关计算机辅
助审计办法》(1996),将信息化的信息
系统称为“计算机应用系统”,财政部
的《独立审计准则 20———计算机
信息系统环境下的审计》,则为“计算
机信息系统”,而《审计准则第1211 号
了解被审计单位及其环境并评估重大
错报风险》中则称之为“财务报告信息
系统”、“信息技术系统”、“信息系统”
和“自动化信息系统”等不同的用语。
在新《财务通则》第八章的信息管理
中,则将信息系统定义为:“财务业务
一体化信息处理系统,也称为财务管理
信息系统或者管理型财务软件”。尽管
我国对各类信息系统诸多的不同表述
有待统一,但它们都是指信息化的会计
信息系统则是毫无疑义的。
(二)审计目标与审计内容的比较
1.计算机审计的审计目标与审计内
容。国际审计准则(ISAs)第401 号《计
算机信息系统环境下的审计》(2004)指
出:“在计算机信息系统环境下,并不改
变审计的总体目标和范围”,我国的
《独立审计具体准则第 20 号———计算
机信息系统环境下的审计》(1999)也
指出:“注册会计师在计算机信息系统
环境下执行会计报表审计业务,应当
考虑其对审计的影响,但不改变审计
目的和范围”。鉴于我国对计算机审计
的“二方观”认识,其审计目标也包括
两个方面:一是具有提高执行经济业
务和会计信息处理的计算机系统的合
法性、正确性和安全性;二是加快审查
速度、扩大抽查范围、提高审计效率和
审计质量的双重目标( 陈婉玲,
2002)。与之相适应,计算机审计内容
也就相应包括两个方面:一是包括对
信息化会计信息系统的开发设计、数
据输入、处理和输出进行审计;二是加
快审计信息化的步伐,建立信息化的
审计网络体系。随着市场经济的迅速
发展,在国务院办公厅《关于利用计算
机信息系统开展审计工作有关问题的
通知》(国办发[2001]88 号)中也明显
指出,“简单地讲,计算机审计包括:对
计算机管理的数据进行检查;对管理
数据的计算机进行检查”。可见,计算
机审计的审计内容主要是面对数据
(会计数据等)的检查,而对管理数据
的计算机进行检查,则是借助于信息
系统鉴证以获取处理数据是否正确性
的判断。
2.IS 审计的审计目标与审计内容。
IS 审计目标比较明确,它是指对信息系
统的资产保护,信息系统的可用性、安全
性、完整性和有效性发表审计意见。由于
IS 审计的审计对象是被审单位的信息
系统,因此决定其审计内容包括:(1)信
息系统的管理、规划与组织;(2)信息
技术基础设施与操作实务;(3)资产的
保护;(4)灾难恢复与业务持续计划;
(5)应用系统开发、获得、实施与维护;
(6)业务流程评价与风险管理。上述诸
多的审计内容,以及日益纷繁复杂的信
息系统,也迫使我们在IS 审计之际不能
不采用单独的审计准则体系和更多的计
算机辅助审计技术。
三、两者适用准则及采用技术比较
由于计算机审计与IS 审计的审计
目标、审计内容的不同,决定了前者面向
数据审计的特点与后者面向系统审计的
特点,由此也就使各自的审计准则和审
计技术各不相同。
(一)适用准则的比较
如上所述,计算机审计目标与内容
决定其相关准则的多维性。这可以从国
际审计准则15、16 和20 等内容加以了
解。这些相关规定大多提及EDP 环境,
虽然也不免涉及系统审计,但却主要是
针对财务报表等资料加以规定的。同时,
它们也并非专门针对IS 审计。我国的审
计署、中注协、国务院办公厅从1993 年
至2007 年,陆续诸多与计算机技
术应用有关的规定,究其实质,也都侧重
于财务会计数据审计而非单独针对IS
审计的。
与计算机审计的上述规范相比,IS
审计内涵、审计准则、职业组织、执业主
体等则十分明确。以审计标准为例,截至
2008 年2 月,国际信息系统审计与控制
协会已16 个审计标准,包括审计
章程、审计独立性、职业道德和标准、职
业能力、审计计划、审计工作的执行、审
计报告、后续工作、违规和非法行为、信
息技术管理、审计计划中风险评估的应
用、审计实质性、使用其他审计专家的工
作成果、审计证据、信息技术控制、电子
商务等。可喜的是,我国内部审计协会发
布并于2009 年1 月1 日施行的《内部
审计具体准则第 28 号———信息系统审
计》围绕总则、一般原则、审计计划、信息
技术风险评估、信息系统审计的内容、信
息系统审计的方法、审计报告与后续工
作等方面对内部审计中的信息系统审计
加以规定。虽然这一具体准则与国际信
息系统审计与控制协会已的审计标
准尚有一定的距离,但它毕竟首开我国
信息系统审计准则制定之先河。以下是
国内外已的计算机审计与IS 审计
相关准则体系的比较(见表2)。
(二)采用的审计技术与工具比较
从当前相关文献来看,有关计算机
审计技术介绍比较宽泛,而有关IS 审计
技术则有针对性强的特点。笔者认为,从
信息与信息系统的“产品”与“生产工厂”
的关系看,两者在审计过程中是紧密联
系的。只有当产生信息的系统本身具有
可靠性时,审计师才能初步确信该系统
产生信息的可靠性。而为了鉴证系统的
可靠性,IS 审计师往往通过检测被审系
统输入、处理与输出数据与信息来加以鉴证,其有效性不言而喻。鉴于计算机审计与IS 审计两者的审计目标的不同,两者采用审计技术与工具也就有所不同。
以下是笔者根据国内、外有关文献对两
者采用技术与工具的归纳:
1.两者共同采用的技术与工具。主
要有:测试数据法、追踪法、综合测试工
具(ITF)、平行模拟法、嵌入审计模块法、
流程图检查法、审计软件法、程序编码审
查法、程序比较法等。
2.两者各自采用不同的技术与工
具。其中,计算机审计技术主要有:受控
处理法、受控再处理法、漏洞扫描与入侵
检测、利用数据管理系统辅助法、利用操
作系统和实用程序法、利用被审系统辅
助法和利用电子表格辅助法等。IS 审计
技术主要有:基本案例评估法、系统控制
审计复核文件(SCARF)、快照法、审计
钩(hooks)、连续与间歇模拟(CIS)、延
展性记录法等。
四、结论
计算机审计与IS 审计无论是其产
生与发展,还是其基本概念、审计目标、
审计内容,抑或是其适用准则与采用的
审计技术,都有着很大的区别。但两者
在我国审计发展过程中却有其特定的
地位与作用。以信息化会计系统的财
务数据为审计对象的计算机审计,在当
前广泛开展财务报表审计过程中对其
展开研究仍然有着重要意义。同时,它
所强调的审计信息化建设使其“二方
观”能够进一步发扬光大。可以预见,
随着环境的变化与信息技术应用的深
入,计算机审计的内涵与外延也必将
得以深入与拓展。
成功地开展我国的IS 审计,是我国
审计走向世界的必由之路。上市公司根
据COBIT 框架实施内部控制已是大势
所趋,大、中型企业也必然紧随其后,由
此也就决定了IS 审计的势在必行。透过
IS 审计师资格考试的内容使我们看到
了IS 审计对知识与技术要求的高难度,
尤其是近年来对某些企业单位的IS 审
计之实践更使我们感到任重而道远。因
此,起步伊始的我国IS 审计,倘一开始
就能够借鉴国外先进的经验,追踪国际
惯例,并针对国情提出自己的发展对策,
无疑可以健康发展。
计算机审计与IS 审计两者绝非泾
渭分明,而两者究竟应当遵循哪些审计
准则,是近期内我国应当重点研究的问
题。诚然,从技术的角度看,国际IS 审计
标准、指南和程序已经日臻完整和成熟,
我国似无另起炉灶之必要,但由于我国
企业单位种类繁多,许多内外环境与国
外迥然不同,如果没有切合国情的部门
规章和规范性文件对IS 审计加以指
导,则可能欲速不达。因此,应当结合
我国IS 审计的现实状况,根据实践经
验、具体业务流程和技术方法分期发
布相应规章与规范性文件,逐步规范
我国的IS 审计。
【参考文献】
[1] Jack J.Champlain:Auditing InformationSystems,2sted,John Wiley &Sons,Inc.2003.
[2] 张德明,译.国际审计准则[M].大
连:东北财经大学出版社,1990.
[3][美]W.Thomas Poter,等著.计算机
审计[M].李大庆等,译.北京:中国
财政经济出版社,1990.
[4] 潘晓江.电子计算机审计与数据可靠
性控制—会计电算化之后现代审计
的对策[J].会计研究,1983(5)、(6).
[5] 王光远.管理审计理论[M].北京:中
国人民大学出版社,1996.
[6] 胡克瑾.IT 审计[M].北京:电子工
业出版社,2002.
系统审计论文篇6
[关键词]计算机审计理念;审计内容;审计方法;审计程序
审计署前审计长李金华曾说,在网络经济时代,如果不搞计算机审计,将会失去审计资格。不懂得电脑的审计人员因审计数据的异化就无法有效地进行审计,不懂得电算化会计系统的特点和风险就不能识别和审查其内部控制,不懂得使用计算机,就无法对计算机内存储的会计资料进行审查或利用计算机进行审计,这就要求审计人员不仅要具备会计、审计理论和会计实务知识,而且还要掌握电算化会计方面的知识和计算机审计技能。计算机审计系统的创新包括审计理论创新、审计技术的创新等,其核心是审计观念、审计思维方式的创新。
一、审计理念的创新
(一)培养前瞻性的思维观念
审计工作的创新,在于审计人员,审计人员创新的根本在于审计理念的更新。审计人员应与时俱进、开拓创新,以科学发展观的思想,用超前的眼光把握审计工作的发展趋势,从中产生新的思想,发现新规律,寻求新办法,拓宽思维空间,把审计监督寓于管理和服务之中。
(二)强化审计监督理念
经济的信息化、网络化、虚拟化,使得网上交易非常普遍,且经济交易、资本决策可在瞬间完成,这在客观上也要求对这些无形化的网络会计实体进行适时监督。通过网络审计可改变事后审计而成为事前、事中、事后紧密结合一体的审计方式,变静态监督为动态监督,从单一的现场审计转变为现场审计与远程审计相结合,大大增强审计的及时性。审计人员借助强大的网络系统,对被审计单位的电子凭证、电子账簿和电子报表实施远程的在线的审计抽样和审计测试,保证审计监督作业的即时性、连续性和经常性。加强审计监督的力度,以制度来约束企业的管理者和各个岗位。
(三)树立“审出效益,审出水平”的审计新理念
计算机系统下的审计工作,不是仅限于财务,还有销售、采购、存货、人力资源等各子系统,而上述各子系统之间紧密相连。只有树立全面审计的观念,才能真正做好计算机系统下的审计工作。通过对会计电子系统的查漏补缺,从而推动企业经营的其他环节发现和纠正存在的问题;在财务收支方面不固守于“审会计”,而是“审效益”的创新审计理念,充分关注财务部门每一项财务收支及其活动在经济上的节约,投入产出的效率和达到预期目标的效果,通过审计,审出效益,审出水平。
(四)对审计权利的依法设定
审计监督权必须依法设定,审计监督权的边界由法律确定,这是法治的必然要求。不能因为行使审计监督权而侵犯自然人、法人和其他市场主体的合法权利。权力容易导致腐败,必须接受监督,所以,审计署党组决定在审计系统自我检查的基础上引入外部检查是英明之举。
二、审计队伍自身修养的创新
(一)多种途径培养复合型知识结构的审计人才
审计发展的关键是人才的培养和加快审计人员的知识更新以适应审计发展的要求,由于计算机审计涉及到多学科,大多数企业的现有人员仅仅具备的是某一方面的技能,缺乏综合运用的能力。开展计算机审计需要一批既掌握现代审计理论与实务又了解计算机技术的复合型知识结构的专业人才。目前审计署干部培训中心开展的注册信息系统审计师堵养及与之相关的在审计人员中进行的计算机知识的培训工作,正是为了适应这一现实需要。由于计算机系统和会计准则也在处于不断的变化当中,审计部门应该通过内部交流,外部培训,采取引进来和走出去的方式,通过多种途径培养审计人才。
(二)综合运用多学科知识
在手工会计核算情况下,审计人员凭借自己的经验、专业知识,综合运用各种审核检的方法,就可达到目的。然而在会计计算机信息系统下,由于审计线索、内容和审计技术的改变,对审计人员提出了更高的要求。审计人员不仅要有丰富的审计知识,而且要掌握一定的计算机、网络、通讯、电子商务知识与技能,最重要的是要借助计算机辅助技术来达到审计目的,掌握系统分析设计和系统评审技术,对会计信息核算系统可能出现的错误及舞弊要有敏锐性,只有具有专业素质和多学科背景的人才,才能真正做好审计工作。
三、审计内容的创新
(一)了解计算机审计内容
1993年9月1日签发的中华人民共和国审计署令第9号《审计署关于计算机审计的暂行规定》第二、三条明确指出:凡使用计算机处理财政、财务收支及其有关经济活动的被审计单位,审计机关有权使用计算机技术,依法独立对其计算机财务系统进行审计监督。计算机审计的内容包括:第一,内部控制制度,包括管理制度和软件控制技术;第二,记录在各载体上的数据资料,包括纸性、电磁性的凭证、账簿、报表等;第三,应用软件及其技术档案,包括各种管理财政、财务及其有关经济活动信息的计算机应用软件。
由于审计的目的不同,审计的内容也不相同。网络技术的应用给计算机审计的发展带来了契机与挑战,网络时代审计的创新远远不应局限于审计对象、审计技术、审计业务上,用计算机会计信息系统进行审计,除以上内容外,还包括内部控制系统的审计、系统开发审计、应用程序审计、数据文件审计等。
(二)不断完善审计内容
在计算机审计软件应用下,随着凭证、账簿等纸质载体的消失,以及计算机系统本身强大的核对、检查和内部控制功能,除了在某种特定条件下还需要由人来监盘实物库存、实地观察物资的流动及其记录外,传统意义上的查账已无存在的必要。
对计算机会计信息系统内部控制的审计,一方面是为了加强内部控制,完善内部控制体系,使得计算机系统的组织管理控制、系统开发与维护制度、计算机操作制度、硬软件控制、系统安全控制、系统文档控制、计算机处理与数据文件的控制发生变化;另一方面是通过对内部控制系统的审计来确定对计算会计信息系统结果的信赖程度,即通过对被审计单位资产、负债、损益、现金流情况的分析和主要财务、业务指标的计算分析,看计算机会计信息系中会计记录的正确性和可靠性,如输入、输出的授权控制、业务处理的审核等,和内部控制的有效执行能在多大程度上保护资产的完整性。判断企业内部控制系统能在何种程度上防止或发现会计报表中的错误及经营过程的舞弊;对系统开发的审计是事前审计,在审计过程中,审计人员一方面要检查系统的开发活动是否可行与恰当,系统的开发方法是否科学先进和合理;另一方面还要检查开发过程中是否产生了必要的审计线索,以及这些审计线索是否规范;对系统应用程序进行审计,一是要对嵌入应用程序中的控制措施进行测试,看其是否按设计要求在系统运行中起作用,即测试应用控制系统的符合性;二是通过检查程序运算和逻辑的正确性达到实质性测试的目的;对系统数据文件进行审计,一方面是对数据文件进行实质性测试,即对各会计账户余额、发生额直接进行检查,同时对会计数据进行分析审核,另一方面是通过对系统数据文件的审计,测试一般控制措施和应用控制措施的符合性。再者,审计人员可利用计算机方便地获取被审计单位计算机会计信息系统中的数据文件,通过必要的数据转换,使其成为审计人员可识别的数据文件形式,再进行各种数据的重新组合和处理,以达到审计目的。
四、审计方法的创新
审计方法的采用主要取决于审计的内容,对不同的审计内容可采用不同的审计方法,由于审计对象的多样化,计算机信息系统各成体系,审计方法也应因地制宜,灵活运用。最常用的审计方法有筛选法:如按某关键字查、按满足逻辑条件查、按设定的金额条件查、按时间条件查等,计算机会很快将符合条件的信息筛选出来;比较法:审计人员可以利用数据之间本身具有的关联性,对被审计单位不同性质的关联数据进行比较;计算法:有些数据之间的关系不能够直接比对,但可以用一定的计算关系式、借助于计算机强大的计算功能来审核其真实、合规性;分析法:审计人员只需要提出思路,编写适当程序,就可以对电子数据进行全方位、多角度的透视分析以及编程判断法等。审计方法从会计电算化角度考虑主要有计算机会计信息系统开发审计和计算机应用程序的审计。
在审计过程中,既有计算机数据,也有纸质的账册、凭证。内审时,由于经营情况比较熟悉,可以采用计算机抽样或者建立数据模型来辅助审计,找到审计的关键点和线索。通过计算机的海量搜寻,可以进一步扩大和延伸审计范围,从而可以抽取足够多的样本。还可以充分运用数学方法、统计方法、会计方法、控制方法等多学科来交叉进行,从而达到发现问题、分析问题和解决问题的目的。
五、审计程序的创新
计算机系统的核心就是会计软件,审计程序设计的质量高低直接决定了计算机系统整体水平的高低,审计程序主要审计会计软件对数据进行处理和控制的及时性、正确性和可靠性,以及软件的纠错能力和容错能力。
(一)计算机条件下的审计程序
计算机条件下的审计程序按照《审计法》的规定,一般审计程序可分为4个阶段,即准备阶段、实施阶段、审计结论和执行阶段、异议和复审阶段。
准备阶段主要是调查被审计单位计算机系统的基本状况并拟定科学合理的审计计划;实施阶段是审计工作的核心,也是计算机审计的核心。主要工作是根据准备阶段确定的范围、要点、步骤、方法,进行取证、评价,综合审计证据,借以形成审计结论,发表审计意见;审计结论和执行阶段,主要是对计算机系统,进行符合性测试和实质性测试后,整理审计工作底稿,编制审计报告时,除对被审单位会计报表的合理性、公允性、一惯生发表意见,做出审计结论外,还要对被审单位的计算机系统的处理功能和内部控制进行评价,并提出改进意见。审计报告完成后,先要征求被审单位的意见,并报送审计机关和有关部门。审计报告一经审定,所作的审计结论和决定需通知并监督被审单位执行;异议和复审阶段,被审单位对审计结论和决定若有异议,可提出复审要求,审计部门可组织复审并作出复审结论和决定。特别是被审单位计算机系统有了新的改进时,还需组织后续审计。
(二)努力探索新的审计程序
系统审计论文篇7
关键词 国家审计 免疫系统 职能作用
中图分类号:F239 文献标识码:A
“现代国家审计是经济社会运行的一个‘免疫系统’”,这是中华人民共和国审计署刘家义审计长在2007年全国审计工作会议上首次提出的,从而引出了国家审计的免疫系统论。国家审计免疫系统论是我国国家审计本质、职能和定位理论发展过程中的里程碑式的论述。它的提出对在新的经济社会形势下的审计理论研究和审计实务发展都创造了新的契机。它是解决社会主义市场经济发展到一个新的阶段时遇到的审计问题的一种创新性思维,它促进对审计本质问题的进一步思考。免疫系统论的提出既推动审计基础理论的深入研究,也指出未来审计的发展方向,推动审计实践的跨越式发展。
一、国家审计作为“免疫系统”的理论分析
现代医学中免疫系统的概念是指是指生物的淋巴器官及其他器官内的淋巴组织等在与各种致病因子的长期不断斗争中形成的、保护自身的防御性结构。刘家义审计长的国家审计“免疫系统”论是在当前国际经济社会形势下,总结国家审计多年实践经验和海外先进审计理论的基础上,落实科学发展观的要求下提出的科学新命题。这个命题是在新的历史时期对国家审计的性质、功能做出的形象比喻和新的历史定位,为审计理论研究开辟了新空间,赋予国家审计新的内涵。同时,也拓展了审计工作的外延,对于进一步完善我国现行的审计监督制度和有效地开展审计工作,促进我国经济社会健康运行具有及其重要的现实意义。
二、“免疫系统”理论下的国家审计的职能
根据医学上免疫学研究成果,免疫系统具有三种基本功能: (1)免疫防御,即抗感染免疫,主要指机体针对外来抗原(如微生物及其毒素)侵袭的免疫保护作用; (2)免疫自稳,即免疫系统能及时识别、清除体内损伤或衰老的细胞,但对机体正常的细胞不发生攻击,同时修补受损器官和组织,使其恢复原来的功能,以维持自身内环境稳定的一种生理功能; (3)免疫监视,即因各种机体内外因素的影响,正常个体的组织细胞不断发生畸变和突变,免疫系统及时识别此类复制错误或突变细胞并将其清除的功能。国家审计作为国家经济社会的“免疫系统”,也应该具有这三大功能。
(一)防御功能。
中国国家审计的系统性和批判性保证审计机关能够更早地感受到经济领域的违法违规和效益问题所带来的风险,更早地揭示风险所带来的危害,更快地运用法定权限去查处产生这些风险出现的原因并减少各种风险的发生和防御各种风险的扩大;同时,也能更及时地建议政府和相关的权力机关,运用各种政治资源、经济资源、社会资源从根源上去消除这些风险。 国家审计通过审计中发现的问题去分析和揭示体制、机制、制度方面存在的漏洞和缺陷,有针对性地提出相应的审计对策和建议,从源头上规范经济社会运行秩序,弥补漏洞,为政府履行公共受托责任提供及时、准确和有用的信息,促进提高政府治理绩效,从根本上抵御类似问题的再次发生。从而健全制度,完善法律,使国家审计真正发挥“经济卫士”的职能,以维护国家利益,保障国家经济运行的健康发展。
(二)自稳功能。
中国国家审计可以明确经济责任、严肃财经法纪、促进被审计单位改善经营管理、提高经济效益,进而规范市场经济秩序。国家审计凭借其威慑作用及独立、客观、公正的超脱地位,能够及时地感应到违法违规、、铺张浪费等现象侵蚀经济社会的风险,分析其可能对系统总体产生危害的苗头性、倾向性问题,提前发出警报,及时建议政府部门采取行之有效的预防控制措施,加大查处重大违法违规和经济犯罪问题的力度,促进反腐倡廉建设,消除风险隐患,增强治理系统的 “免疫力”。与此同时,国家审计向政府提出建设性的改进意见,对宏观经济治理和微观经营管理起到改善、加强、提高和促进等作用,以维持国家经济秩序,保障经济环境稳定。
(三)监督职能。
根据法律规定,审计的首要职责是监督,监督就必须查错纠弊,纠正对规则、秩序和决策的背离和偏差。国家审计的基本职能是经济监督,这是由国家审计的性质决定的。国家审计必须揭露和查处违法违规、经济犯罪,督促被审计人的经济活动在规定范围内沿着正常的轨道健康运行;制止损失浪费、奢侈铺张、不合理利用资源、污染环境、损害人民群众利益、危害国家安全、破坏民主法治等行为,从而查明错误弊端,判断管理缺陷,追究经济责任并依法对这些行为进行惩戒。国家审计机关和审计人员从依法检查到依法评价,从依法作出审计处理处罚决定到督促决定的执行,无不体现审计的经济监督职能。国家审计不仅对政府部门和企事业单位进行审计,而且对财政预算的执行情况和决算进行审计。国家审计不仅对国有资产及国家建设项目实施具体的业务监督,即综合性的经济监督,同时还对综合经济管理部门和专业监督部门实施再监督,亦即对经济监督的再监督。国家审计通过及时发现、反映宏观政策落实中出现的新情况、新信息,从而推进相关政策措施的完善,更好地发挥宏观政策的导向作用。
三、提高并充分发挥国家审计“免疫系统”功能的途径
国家审计要扮演好其“经济卫士”的角色,充分发挥其作为国家经济社会运行的“免疫系统”功能,需要构建富有活力、行之有效的运行机制,需要健全和完善法律体制和制度,需要文化建设与理论创新的强力支撑,需要各级各部门的协同配合。为了进一步拓展和深化国家审计参与国家治理,更好地发挥国家审计的“免疫系统”功能,中国的国家审计宜立足于本国、着眼于世界,立足于民生、着眼于国计,立足于监督、着眼于免疫,立足于审计、着眼于治理。为了充分发挥国家审计的“免疫系统”功能,应着力于以下几个方面:
(一)以科学发展观为指导, 树立科学的审计理念。
我国现阶段的制度背景决定了国家审计必须贯彻落实科学发展观。审计创新的核心是审计理念的创新。审计“免疫系统论”是新形势下创新审计理念的典范,它的提出,使我们全面正确地认清了审计的本质和定位, 它要求审计在更大范围、 更高层次上发挥审计监督作用,树立全面、系统、整体的理念,符合当今经济社会形势的实际,自觉把审计工作融入到服务经济社会发展的大局之中。为此,在审计工作中要转变原有的思维定势和思维方法,剔除原有的一些不适应形势发展的习惯做法,按照科学发展观的要求,树立宏观意识、全局意识、协调发展意识、群众利益意识,积极研究和探索新形势下审计工作服务的新思路、新途径和新方法,促进审计工作自身的发展,树立起符合科学发展观和构建和谐社会要求的审计新理念,即发展的理念、服务理念、审计发挥建设性理念、大局理念、价值理念、文明审计理念等一系列促进审计工作又好又快发展的理念,使审计的“免疫系统”功能得到更高层次的发挥。
(二)建立和完善各级各部门的协调机制及国家审计的创新机制。
要切实发挥保障经济社会健康运行的“免疫系统”功能, 国家审计机关需要国家经济社会中各级各部门的积极协调配合。若是仅仅依靠审计机关自己的力量,其他部门不作为、不支持、不配合,甚至人为地设置障碍、阻挠抵制、制造矛盾,则国家审计难以充分发挥其“免疫系统”功能,各种风险将危及经济社会的健康安全,最终既损害国家利益,又损害人民利益。国家审计的“免疫系统”需要调动全社会各方面的资源和力量,建立各部门之间的沟通机制和交叉问题的处理机制,形成一个互利互助的协调体系,积极配合,广泛协同,形成合力,共同防御并消除威胁国家机体的风险。随着社会经济的不断发展,各种经济现象和经济状况不断涌现,经济社会运行中不断出现新情况、产生新问题。对此,维护经济社会平稳运行的国家审计,就需要构建和完善国家审计的创新机制,通过不断地创新审计理论、审计制度、审计管理方式、审计技术方法等来逐步完善“免疫系统”,不断增强“免疫系统”的免疫力,持续发挥免疫功能。
(三)全方位提高审计人员素质,加强审计队伍建设。
充分发挥审计 “免疫系统” 的功能和作用,必然对审计本身提出更高的要求。审计机关必须坚持以人为本,坚持改革创新,完善审计法规制度,强化审计管理,深化人事制度改革,不断优化人才结构,全方位提高审计人员素质,着力打造政治过硬、业务精通、作风优良、廉洁自律的审计干部队伍,为审计事业科学发展提供坚强的思想保证和人才支撑,逐步建立健全适应时展需要的审计管理机制。转变思维定式,创新审计机关人才引进机制,提高人才引进标准,优先聘用复合型人才;健全审计机关人才选拔机制,优先提拔具备过硬专业技术资格的人才;完善激励机制, 调动和提高审计人员自觉、主动学习的积极性,不断吸收国内外新型的审计方式方法,提高审计工作质量和效率。
审计干部队伍要加强精神文明建设,倡导文明审计,弘扬“依法、求实、严谨、奋进、奉献”的审计精神,不断加强职业道德建设和反腐倡廉教育,增强对外界腐蚀的抵抗力、免疫力,保证作为“免疫系统细胞”的审计队伍的健康发展。通过充分发挥国家审计作为经济社会运行的“免疫系统”的作用,逐步清除国家经济社会运行中出现的违法违规、、铺张浪费、效率低下及破坏和谐环境等“病害”,逐步净化国家经济社会运行的系统环境。
(作者单位:苏州市职业大学商学院)
参考文献:
[1]龚非力.医学免疫学(第1版)[M].北京:科学出版社,2007: 3.
[2]刘家义.以科学发展观为指导推动审计工作全面发展[J].审计研究, 2008(3): 3-10.
[3]宋常.“免疫系统”理论视野下的国家审计[J].审计与经济研究,2009( 1) : 4-11.
[4]刘英来.审计是经济社会运行的免疫系统研讨会综述[J].审计研究,2008(5): 3-7.
[5]刘家义.论国家治理计与国家审计[J]. 中国社会科学,2012(6):60-72.
系统审计论文篇8
一、现代审计理论结构研究的历史发展任何一门成熟的学科,都应在总结实践的基础上形成一套完整的、相互关联的、合乎逻辑的理论框架。审计理论的研究亦是如此。构建一个科学的审计理论框架,是审计理论研究系统需要,是审计学科趋向成熟的表现。本文主要探讨民间审计(注册会计师审计)的理论结构模式。何谓审计理论结构?从系统论的观点看,结构是指系统内部各组成要素之间的相互联系、相互作用的方式和秩序,也就是各要素之间在时间或空间上排列与组合的具体形式。审计理论作为一个系统,自应有其组成部分(要素)及各组成部分(要素)的组合方式。也就是说,审计理论结构是由构成的诸要素组合而成,而且诸要素之间有着合乎逻辑的内在联系并形成一个有机整体。
审计理论结构研究的意义何在?按照安德森(R.J.Anderson)的观点,“审计理论的目的是提供一个合理的、首尾相应的概念结构以决定实现既定审计目标必需的审计程序。审计理论还提供一个评价与改善现行实务与程序的框架结构。”为此,审计理论必须有一个框架结构或结构体系,即审计理论结构,它是我们指导和评价现行审计实务的依据。研究审计理论结构需要解决的问题有二:一是构成审计理沦结构的要素有哪些?二是诸要素的内在联系,也即确定诸要素各处哪一层次?审计理论研究的开山之作是1961年莫茨及夏拉夫的《审计理论结构》(PhilosophyofAuditing)。他们认为:“审计是有理论基础的,在审计行为活动的背后,存在着一整套基本的假设和完整的概念体系。”他们以哲学为逻辑起点,提出了八项审计假设和五个基本审计概念(即证据、应有审计关注、公允表达、独立性、道德行为卜构建了由哲学基础、假设、概念、规则及实际应用五个要素组成的审计理论结构模式。1978年尚德尔(charle,w.scholdl)所著《审计理论拟Theory。fAuditing)一书中提出的审计理论结构模式与莫茨及夏拉夫的模式相近,他则是从语义哲学、传播理论和思维心理学的角度来展开研究,提出的审计理论结构模式为“审计假设一审计定理一审计理论结构一原则一标准”这一形式。尚德尔的创新在于:(l)从假设中衍生了“定理”这一要素;(2) 将说明理论结构组成部分及其相互关系的“结构”作为一个要素。他更注重审计在信息传播过程中的作用,认为“审计是一种旨在确立某种标准之遵循情况,进而表达意见或判断的人类评价过程”。1977年,安德森在《外部审计))(TheExtemalAuditing)一书中提出的审计理论结构由6个要素组成: 审计目标一公认审计准则(GAAS)一审计概念一审计假定一审计技术方法一审计过程。安德森的贡献是,以目标为基点建立审计理论结构,并将目标的要求与作用延伸到实务即“审计过程”之中,形成了首尾相应的理论体系。20世纪80年代英国审计学家汤姆•李(TomLee)与戴维•弗林特(Dav记 Flint)两人的观点基本相似,但与以上模式均有不同。
汤姆•李于1984年提出的模式由3个要素构成,即“本质与目标一假设一概念”,而弗林特于1988年提出的模式为“本质与目标一假设一概念一标准”。这两个模式的共同点是以审计的本质为出发点来构架审计理论结构。分析上述学者的观点,我们可大致将审计理论结构研究的历史发展划分为三个时期:(1)20世纪50年代到70年代中期,以审计假设为逻辑起点的模式;(2)70年代中期到80年代中期,以审计目标为逻辑起点的模式;(3)80年代中期以后,以审计本质为逻辑起点的模式。应该指出,上述各个时期的审计理论结构模式,在历史上各有所创新、有所发展,为我们研究现代审计理论模式奠定了基础。但是由于社会经济的发展,从今天的审计理论建设角度分析,上述模式似各有不足之处。主要表现在:莫茨及夏拉夫是审计理论结构模式的奠基人,他们以哲学为基础提出了理论结构诸要素,直到现在仍有着巨大的指导意义,其影响是深远的。但是他们把各门科学的共同方法论—哲学基础作为审计理论第一个层次要素,似失之过宽,而且其模式要素中没有列人审计目标、审计本质,也没有论及审计环境的影响,这些是他们所提出模式的相对不足之处。安德森的审计理论模式中提出了以审计吕标为基础引列其他诸要素,较之葛茨及夏拉夫的模式有新的发展,但是,他把审计假设这个重要的前提性因素列在审计准则及审计概念之后,逻辑欠严密。20世纪80年代汤姆• 李与弗林特的模式都从审计本质出发引述其他因素,把审计本质这个因素列为模式之首位,是有贡献的,但是他还没有把模式诸因素置于社会环境中去进行考察。
二、审计环境对审计理论结构的影响审计理论结构与其他学科理论一样,受到环境的影响。这里所说的环境主要有:资本市场发展的全球化、一日千里发展着的信息技术、注册会计师面临着日益增加的诉讼风险环境等企业内部和外部的环境。这些环境发生变化,均会对审计理论结构诸要素产生巨大的影响。资本市场发展的全球化,包括资本利率、货币汇率的波动,人力资源、资本、技术的国际范围内的流动和产品更新换代、企业淘汰的加速。这些全球性环境因素,对企业的产品营销、成本、利润均会发生巨大影响,而作为鉴证、评价、判断企业经济活动的审计,必然在其本质、目的、假设、概念及标准等方面发生变化,从而影响审计的理论结构。随着社会经济的变化,信息技术发生了革命性的变革。信息技术的飞速发展正改变着市场、企业经营方式和产品的更新、人们的消费及储蓄方式,也改变着审计本身,即审计工作的电脑化。时至今日,审计工作中收集、分析、抽样、判断和报告都离不开先进的信息技术。审计人员在审计工作中,不仅利用计算机制订审计计划,储存工作底稿,而且可进行实时审计,保证客户的系统产生可靠的实时信息,同时可监控企业的经济业务,找出与审计准则之间的差异。可以预期,随着计算机技术的不断革新,审计软件的智能化将会实现,这就可减轻或替代审计师的劳动。
同时借助发达的信用卡金融工具和网络保密及识别技术而蓬勃发展起来的电子商务活动,已使企业的运作方式发生了根本的变化,要求企业能够根据某种要求,立即执行某种任务,建立或解除某种人事或商务关系,企业面临的不确定性因素更大,从而对中介机构的审计工作也提出了新的挑战。这充分说明:现代信息技术的革命必然推动审计技术方法的革命,从而影响审计理论结构。现代注册会计师审计,已成为最主要的一种审计。作为职业工作者的注册会计师,在其职业生涯中,无时无刻不处在潜在的职业风险中,一有疏忽,这种潜在的风险就可能转化为实在的风险,从而引起诉讼。以西方国家的注册会计师为例,自20世纪30年代以来,注册会计师涉嫌的诉讼案例已成千上万,而自20世纪60年代以来进人了诉讼“爆炸”时期。仅1993年,国际六大会计公司在法律诉讼及赔偿方面的费用就占总收人的19%。在中国,近10年来,先后发生的涉及审计诉讼的重大事件主要有深圳“原野”事件、北京“中诚”事件、浙江“尖峰”事件、山东“石油大明”事件、海南“琼民源”、四川“红光”和“东方锅炉”事件、甘肃的“银广夏”事件等。在验资业务方面,“全国已发生验资业务诉讼案件多达500余起,并仍呈上升趋势。”这些事例都涉及注册会计师的法律责任或经济责任,为此,已有多家会计师事务所被撤消或受处罚。这说明诉讼风险对审计已产生重大影响,审计,特别是注册会计师审计,处在潜在的职业风险环境之中。注册会计师界也因势而动,20世纪80年代以来,世界著名的五大会计公司都不同程度地实施了一种新审计模式—风险导向审计。我们可以看到,新的审计模式、方法或程序的采用,无不是职业界因日益变化的商业环境、审计环境而作出的反应。除上述各种主要审计环境外,审计还受到哲学、政治制度、国家方针政策、法律、文化等外界环境的影响。可见,研究审计理论结构,必须置于审计环境中进行考察。近几年来,国际及我国的审计学术界都开始重视审计环境问题。中国审计学会曾把审计环境问题列为专题进行研究。西南财经大学蔡春博士撰写的《审计理论结构》论文中着重阐述了环境对审计理论的影响;胡春元的博士论文《审计风险研究》也强调审计环境与审计理论诸要素的关系。
三、审计本质在审计理论结构中的地位前已述及,20世纪80年代英国的审计学家汤姆•李和弗林特分别提出的审计理论结构模式中,均以审计本质与审计目标为起点构建审计结构模式。这里拟对审计本质在结构中的地位进行论述。审计本质是一定社会环境或条件下,审计在达到审计目标、实现其职能后对社会所产生的影响。它反映了社会对审计的客观要求,是人们运用社会科学和自然科学的推理而得出的对审计的认识。由于人们在不同历史条件下的观点不同、研究的方法有异,所以审计本质的理论从传统的查账论发展为信息论、论、保险论。传统的查账论只反映审计工作活动的特征,未能反映审计的社会需求,也没有把审计置于社会环境中来考察,所以查账论不能反映审计的本质。自20世纪50年代开始,人们对审计的本质有了新的思考,信息论是其中的一种。以信息论为主导的审计本质理论认为经过审计后的信息,可提高其可信性,可使投资者依据披露信息决定企业的市场价值,从而做出理性的决策。论认为:随着股份有限公司组织形式下两权分离的深人发展,投资人、债权人和管理人员之间必然出现较多的利益冲突,为了促使股东和管理人员利益最大化,就产生了股东(委托人)委托外部审计人员对管理人员(人)的财务报告进行审查的需要,而同时,管理人员也需要外部审计人员通过审计鉴定其业绩报告的有效性和真实性。于是,论便应运而生。
这一理论认为,审计既代表财产所有者又代表财产经营者,它是两者的共同需求,审计的作用在于可促进股东利益和公司管理人员的利益都达到最大化。如前所述,20世纪80年代以来,注册会计师面临着的职业风险日益严峻,企业所有者与经营者都期望把企业的财务报告降低到社会可接受的风险水平之下,并愿意从自己的收人中支付一部分费用来聘请外部审计人员来进行审计,并把这部分审计费用视为保险费用。如果发生审计失职或疏漏而造成损失,审计人员依法就负有责任进行赔偿。在这种理论的指导下,审计本质被视为一种保险行为,因而称为审计本质的保险论。以上所述的审计本质的信息论、论和保险论都是与社会客观环境相联系,把审计置于社会结构中作考察。只是由于考察的角度不同而提出不同的观点。尽管审计本质可有不同的表述形式,但是弗林特称,“作为一种近乎普遍的真理,凡是在审计的地方,必存在一种受托责任关系,受托责任关系是审计存在的重要条件,审计是一种确保受托责任关系履行的社会控制机制。”我们认为,社会经济是复杂的、多样的、经常变化的,作为审计本质的理论,也是不断发展的,所以应该应用新的社会科学研究结构论的方法,把各种审计本质理论结合起来进行研究。
四、审计理论结构的关系问题
1.审计目标与审计理论结构的关系审计目标是审计行为活动意欲达到的理想境地或状态,它是审计环境对审计系统要求的反应,也是审计系统满足审计环境的要求标准。审计目标的确定是一种主观见之于客观的行为,是审计本质与特定的审计环境相互作用、互动的结果。也即审计目标的提出,是应审计环境的要求,同时受制于审计本质,不能超越审计本质来随意构建。所以,不从审计的本质出发,来理解审计是在财产所有权与经营管理权相分离而形成的受托责任关系下发展起来的一种社会控制机制,就无法理解现代审计包括从民间审计、内部审计到政府审计,从财务合规性审计到管理审计的全部发展过程。正是因为需要评价的受托经管责任范围的扩大,审计目标从合法合规性审计拓展到现在包括合法性、经济性、效率性、效果性等的多维审计目标体系。同时尽管审计目标响应审计环境的要求,作了扩展,然而这些目标均未偏离审计作为一种确保受托责任有效履行的社会控制机制这一本质。“传统财务审计是审核受托财务责任的完成过程及结果,管理审计是审核受托管理责任的完成过程及结果。”与汤姆•李和弗林特不同,我们认为,审计目标受制于审计本质,列为第二层次。审计目标是一多维的目标体系,可分解为财务审计目标、管理审计目标等。财务审计目标可进一步分解为查错防弊,财务报表的合法性、公允性、一贯性等;管理审计目标可进一步分解为评价企业管理部门、公共事业部门使用和管理受托资源的经济性、效率性、效果性、公平性、环保性等。这些目标指导、制约和影响着审计理论结构的其他因素。
2.审计假设与审计理论结构的关系审计假设是审计理论中的基本问题,它是联系审计目标与审计概念及审计准则等要素的中介。如何根据社会经济环境来构建审计假设,是审计理论研究方面的一个重要课题。在审计理论研究中,有些学者把审计假设作为论证指导其他要素的基础,如莫茨及夏拉夫的《审计理论结构》就是把审计假设列为审计理论诸要素之首的;尚德尔也是以审计假设为基础构建审计理沦结构的。我们认为,审计假设确实是审计理论结构中的核心问题,但应该是列于审计本质及审计目标之后的一个层次,因为是不可能依据审计假设来推导审计本质及审计目标的,如把它置于第一层次,就本末倒置,缺乏严密的逻辑联系。
五、审计理论结构框架的设想我们可以看到,在对审计理论结构的研究中,理论界一直期望并努力要能形成几种统一的理论,并且_,这些地理论要能为日益发展着的审计实务提供一个有效而强有力的依据。如果我们不从日益变迁的社会经济权责结构、商业环境、科学技术条件出发,我们就不能诊释现代审计理论的发展。审计理论结构的研究要顺应审计环境的变迁而发展,顺应时代的变化变革我们的理念。