信息系统审计论文范文
时间:2023-02-23 02:26:38
信息系统审计论文范文第1篇
[论文摘要]本文分析了信息系统环境下审计工作系统的功能特征、运作环节以及系统的构成,介绍了系统测试的方法,以期提高审计信息化水平,提高审计效率和效果。
数据库技术在审计信息管理中的广泛运用,能为审计人员充分、有效、便利地提供信息,为满足快捷决策需要奠定了基础。其主要设计思想是将分析决策所需的大量数据从传统的操作环境中分离出来,把分散的、难以访问的操作数据转换成集中统一、随时可用的信息而建立的一个大的数据库,其中存储了所有审计数据。
一、审计工作系统的功能特征
在审计工作系统中,审计数据库将信息按照主题来进行组织、管理、控制,审计系统对信息的组织、管理、控制方式一般具有以下特征:
1.一致性
不同来源的多种数据一旦进入数据库,就必须按照统一的主键和结构与编码规则重新组合,因而在审计系统中的数据信息具有一致性的特点。当业务事件发生时,所有原始数据被适当加工成标准编码的源数据,集成于一个逻辑数据库(或数据仓库),而不是重复存储于多个低耦合系统中。数据库不只记录符合会计事项定义的业务事件,而且记录管理者想要计划、控制和评价的所有业务事件,并且存储业务活动中多方面的细节信息。任何授权用户都可以通过数据库所存储的数据来定义和获取所需的有用信息,这样既能提供多种视图驱动应用所能提供的全部视图,又能避免数据重复存储和数据不一致的问题。此外,这种体系结构还实现了信息处理的实时控制,数据库中的处理单元在业务发生时捕捉业务数据,既能执行业务规划和控制,又能校验数据的准确性和完整性。
2.时间变量
审计数据库中的数据键始终包括时间元素,数据保存的时间通常较长,具有作历史比较和趋势分析预测的长期数据基础。数据库技术是将计算机应用于数据管理而产生的一种新的技术,它仅是审计信息系统凭借的一种新的管理手段,对于数据库的基本要素和管理对象——审计信息的源数据,并不是指没有经过任何加工的原始数据,而是在原始数据的基础上,经过了类似于会计流程中的原始凭证确认、统—会计科目标准编码等加工后所形成的数据。
二、审计工作系统的运作环节
审计数据库在审计工作系统的运作过程大致有如下4个重要方面:
1.数据获取
获取企业的数据信息,记录数据信息的功能和处理过程。根据审计人员的需要,对在数据库中运算所需的数据通过一定的方式进行采集,可以得到企业完整而清晰的数据信息,选取和不断更新数据,保证数据的一致性,使审计信息系统的数据不断更新与补充,并使数据在审计信息系统内部各部件之间可以沟通;利用现有系统的信息,确定从企业数据到审计信息系统的数据模型所必需的转化/综合模式。生成审计信息数据,是进行审计工作的数据基础,类似于传统手工环境下的审计对象。审计信息系统上的财务信息不再是简单的纯文本传统财务信息,它是特定协议标准格式,如超文本格式(HTML)的电子报表,所有数据只要点击都可以被随意移植使用。通过网络传输而来的电子报表按照一定的协议标准格式编制,也可以转换成审计信息系统所需的数据。通过数据获取环节,把这些数据转换成审计信息系统所能识别的形式,或直接采用被审计单位所提供电子数据加工出审计信息系统想要的形式。
2.数据管理
此环节包括会计信息库和用户信息库两部分,前者主要依据数据库技术进行管理,注重于对信息的分类、组织、维护、检索等,对存储的数据建立模型,通过数据模型来对信息进行保存和管理;后者主要包括有关用户个性特征的信息,个性特征数据结构设计是这部分的关键问题,决定了个性化信息服务系统服务质量的优劣,也是实现信息服务自动化和智能化的关键。通过将各种数据装入数据管理库之中,生成必需的、能为审计人员所直接使用的数据管理库,或通过其他方法为审计人员提供查询工具,以便审计人员能方便地从数据管理库中获取所需的信息,并可以通过一定的形式将其输出。生成审计工作所需的数据管理库包含各种审计计算底稿、审定表、审计报告、管理建议书等信息的结构化数据库,并形成与其他部件进行联系的桥梁。
3.分析推理
这是审计信息系统中对信息流进行控制的核心,其主要功能是接受审计人员通过审计信息系统传来的信息需求,判断需求指向的是已存在的信息,还是不存在的信息,或者是哪一层次的信息。对已存在的信息可直接调出并通过用户浏览器予以显示,对不存在的信息需要进行记录,并判断是否经适当可行的计算或处理即可提供,如是,则进行计算处理并显示;否则,作为遗留问题提示进行特别设置处理。此环节是审计工作数据库的主要组成部分之一,可以利用采集到的数据信息,根据程序设置,推断出审计人员工作需要的可能解;提供方便的审计分析模块。
4.解释报告
审计软件可以提供审计报告生成功能,审计人员可以通过它选择具体的信息项目、类型和表达形式,主要内容包括:(1)设置报告模式。模式中列有会计系统中与要素模块相应的数据项目,模式中的项目与含有多种会计方法的对话框或序列框相联,以便审计人员选择他们需要的会计方法来处理其选择的信息项目。(2)初始选择。在生成报告时,现行的会计准则和法规作为初始选择存放在对话框架或子对话框中。如不进行任何选择,审计人员可以得到一份通用的标准的审计报告。(3)选择项目。除初始选择以外,模式报告还提供可选择项目来满足审计人员不同的信息报告要求,这些选择项目可以是会计准则和法规、会计计量和估价方法、财务信息与非财务信息的类型、报告的频率、范围、使用的语言、形式等,提供可选择项目能够增强交互性相对化特征,既能满足审计人员的特殊信息报告需要,又能减少报告使用人员的信息负担。(4)帮助功能。可以采取3种方式:自动显示专业技术概念解释;在对话框中提供环境敏感帮助;一个全面的包括如何应用更复杂的会计技术和方法的目录。帮助功能可以避免审计人员和报告使用者有限的时间被信息的多样化这种无实际意义的工作浪费,有利于及时、准确、有效地寻找有用信息,提高对信息的利用效率。
三、审计工作系统的组成及内容
1.审计项目管理部分
通过建立审计项目管理组件,对每一个被审计项目的各方面情况进行记录并生成电子档案,可以让审计人员更方便地查阅、了解被审计单位的情况,让审计项目的新进人员可以更快熟悉工作;可以建立审计质量控制系统,明确审计人员的工作职责。2.审计法规管理部分
可以自动检查有关处理是否合法合规,能完成法规资料的录入、修改、删除、检索、打印等功能。检索功能不仅可以为用户按各种条件查找审计法规的目录,而且可以根据目录查找法规全文,可以按要求摘要其中的内容并打印输出。审计法规数据库也可以单独成为一个软件,现已成功地应用于审计工作第一线,是我国目前开发和应用较成功的专项审计软件之一。
3.审计操作管理部分
审计操作管理的功能:(1)参考功能。提供计算机审计中常用的工具、手段、可使用的审计程序,其主要内容有:审计环境建立、查询、抽样、汇总与计算、排序与分类、财务与效益分析、编制与输出工作底稿、打印各类审计文件等。(2)图像处理功能。通过对图像显示参数的设置,可以使审计结果以图表的形式表达出来,可以让内部审计人员直观地了解被审计单位的情况。(3)底稿处理功能。能完成审计工作底稿及有关参数和数据的增、删、改等维护工作。针对计算机系统还能自动查找、计算、输入底稿所需数据,并按格式打印,针对手工系统则可以提示审计人员输入有关数据,并进行计算性复核。
4.专用程序管理部分
对于一些需要对外报送资料的项目,尤其是需要送交政府部门的项目,有的政府部门可能提供了单独的审计软件,或者需要单独配备专用的审计功能,以满足政府部门的数据需要。还有的审计项目因数据量大,牵涉面广,并且各被审计单位的情况又不尽一致,为了对这些项目进行有效的审计,也需要针对每个项目的不同情况,单独配备专用的审计功能,以满足审计工作的要求。
四、审计工作系统的测试方法
1.现场交易选择测试数据
对被审计单位的现场交易作标记输入到应用程序中,把带标记的交易当作测试数据。采用这种方法,应用程序中必须有特定的计算机程序能够识别出带标记的交易,并且使这些交易既要更新应用系统的主文件,同时也要更新做检测用的虚拟实体。现场交易作标记选择和识别带记号的交易测试数据有多种策略:第一,在源文件中或屏幕布局中包含一个专门的标识字段,用来表示一笔交易既为正常交易又为带记号交易。由审计人员来选择确定对哪些现场交易作标记,所选交易的特征可以与测试数据的设计相一致,也可以根据制定的抽样计划进行选择。第二,在应用系统的程序中嵌入审计软件模块,利用审计软件来选择交易并给交易加标记使其成为带记号交易。第三,在应用系统中嵌入抽样程序,抽样程序具有根据抽样计划给交易作标记,并使其成为带记号交易的功能。不论采用何种策略,应用系统中必须有相应的处理程序,专门处理带标记的交易。
2.自行设计测试数据
自行设计测试数据是将测试数据与现场交易数据一同输入应用系统。采用这种方法,审计人员应当根据所要使用的测试数据特征设计并创建测试数据。自行设计测试数据的优点是覆盖面广,可全面测试系统;但设计和建立测试数据要花费一定的时间和费用。笔者认为,应用程序进行检测时,首先要在应用程序的文件中建立一个虚拟实体,并让应用程序处理该实体的审计测试数据。如果应用程序是工资系统,可在其数据库中建立一个虚拟的职员资料库;如果应用程序是存货系统,可在其数据库中建立一个虚拟的存货项目。将带标记的实际数据或模拟数据一同输入应用程序和审计软件进行处理,通过将应用程序对数据处理的结果同审计软件处理的结果进行比较,可确定应用程序的处理和控制功能是否恰当、可靠。当应用程序非常庞大或复杂时,全面追踪通过系统的不同执行路径会有一定难度,审计人员对交易进行审查时,可以在应用系统的重要处理发生点嵌入软件,当交易通过不同处理点时,嵌入软件可捕捉交易的过程。为证实不同关键点的处理,审计人员使用软件捕捉交易的前后过程,通过检验前后过程及其变换,评价交易处理的真实性、准确性和完整性。
主要参考文献
[1]WayneMoreandDavidHendrey.ITAuditRenewal[J].InternalAuditor,l999,(4):17.
[2]PeteRosenwald.ToBeornottoBe[J].Accountancy,1999,(8):21.
信息系统审计论文范文第2篇
当前会计信息系统审计主要围绕以下内容开展:其一是会计信息系统内部控制审计。由于会计信息系统大幅提高了会计舞弊和会计信息差错识别的难度,因而从内部控制审计入手实施会计信息系统审计就显得尤为必要。也就是说,企业内部控制体系影响甚至决定着企业会计信息系统的安全性和有效性,越是健全的内部控制体系就越能避免和降低企业会计信息差错和舞弊风险,因而对企业内部控制体系的完整性、有效性和安全性进行审计就成了目前会计信息系统审计的重要内容和前提保障。其二是会计信息系统应用程序审计。其审计内容主要围绕软件的应用程序设计功能是否完善、标准是否可靠,是否具备必要的会计信息处理功能,是否符合相关法律法规要求,是否符合企业管理制度和企业会计政策,是否存在程序漏洞和程序错误,是否人为故意地留有后门程序等。应用程序的安全、可靠、高效同样影响着企业会计信息系统的安全性和效能,因而也是会计信息系统审计的重要内容之一。其三是会计信息系统数据、信息、资料的审计。同传统审计内容类似,其途径是通过计算机对相关原始凭证、财务报表、会计账簿等进行审计,对信息资料进行符合性测试和实质性测试,对数据采用动态分析和比率分析等方法,确保电子数据的真实、可靠、完整和有效。另外,还应对会计信息系统进行事前审计,即在信息系统开发之初就要求审计人员介入,跟踪前期的系统程序和硬件的设计、编写、建构、实施,跟踪系统实施过程中的运营、调试、维护、修正,以确保整个会计信息系统符合相关法律法规要求、符合财务和会计行业标准、符合公司会计政策和系统职能需求。
二、会计信息系统审计发展现状简析
自20世纪末开始我国企业普遍实施会计信息化以来,我国会计信息系统审计也应运而生,并在政府、企业及审计机构的组织实施下有效开展起来并取得了长足进步。具体表现在:其一,初步建立了会计信息化审计的相关准则和规范,使会计信息系统审计人员能够依据这些技术标准和准则更好地开展会计信息审计工作。如中国注册会计师协会1999年颁布的第一个信息系统审计准则《独立审计具体准则第20号——计算机信息系统环境下的审计》,以及国务院办公厅2001年的《关于利用计算机信息系统开展审计工作有关问题的通知》,都对会计信息系统审计的对象、方法、程序、内容和范围等进行了初步界定和规范,明确了会计信息系统审计中审计人和被审计人的权责范围。2008年中国内部审计协会颁布了具有里程碑意义的会计信息系统审计准则《内部审计具体准则第28号——信息系统审计》,更是将会计信息系统审计纳入到风险导向审计的现代审计范畴,使之更为完善、全面和高效。其二,会计信息系统审计发挥了一定成效,推进了企业会计信息化发展和企业信息化管理进程。信息化发展是企业战略发展的重要组成部分,也是企业现代化管理体系构建的重要内容,企业信息化即包括会计信息化,鉴于此,我国审计体系也同样顺应时展潮流,针对会计信息化系统制订和实施了相适应的审计模式,有效履行了审计职能,推进了会计信息化的发展进程;与此同时,审计体系自身也开始了信息化变革之路,构建审计网络和审计信息平台,审计信息化软件也随之兴起并展现出高效能,极大地提升了审计效率。
三、会计信息系统审计存在的问题
尽管我国会计信息系统审计取得了一定成效,不仅促进了企业会计信息化发展和企业信息化战略发展的步伐,也直接促进了审计体系自身的信息化发展。然而研究过程中也同样发现,我国会计信息系统审计还存在一定的问题亟待改进,具体如下。
(一)会计信息系统审计法规制度不健全
先进水平的会计信息系统审计需要建立在健全的审计制度体系之上,使审计工作在制度保障之下规范、高效运行。然而我国在这一方面则存在较大差距,目前我国有关会计信息系统审计的相关制度法规十分零散,大多只针对某一方面做出具体规范,还没有统一的、完整的、具有体系性的会计信息系统审计制度可以指导和保障实践的有序、有效进行。例如,目前还有没统一的会计信息系统审计准则,会计信息系统审计的内容、方法、技术、程序等都未能界定统一的实施规范。
(二)缺乏专业的会计信息系统审计人才
会计信息系统对审计人员的审计能力提出了更高要求。审计人员能力不足、审计工作准备不充分都容易导致审计失败。会计信息系统审计要求审计人员不仅需要具备审计方面的专业知识,了解企业生产经营状况,还需要具备较高的信息技术能力。然而目前,我国大部分审计人员并不缺乏专业的审计知识,也有着丰富的审计经验,但对于会计信息化系统审计的信息技术能力要求普遍显得力有不足,信息技术水平和计算机技术水平不能满足信息系统审计的需要。
(三)信息化审计软件效能不足
应对会计信息系统审计的有效途径是加快审计自身的信息化发展,目前开发了众多功能强大的审计软件应用于审计工作,提升了审计效率,确保了审计的准确性和可靠性。然而目前的审计软件其实用性、针对性和有效性还不能满足会计信息系统审计的需求。其中存在的问题主要包括:一是软件自身功能不足,无法满足会计信息系统审计的实际需求,软件只能实现一些简单的数据查询和计算功能,无法对复杂的企业会计数据信息进行更为专业的处理和分析。二是有的软件设计过于复杂,易用性较差。审计人员不易操作或者操作过程极为繁琐,影响审计效率。
(四)会计信息系统本身存在缺陷影响审计效能
在对会计信息系统进行审计时,通行的做法是需要会计信息系统预留审计接口,审计人员通过接口对会计信息系统中的数据信息进行查阅、调取、审核。我国颁布的会计信息系统审核相关规范也明确了会计信息系统中“应具备标准的数据接口”。然而在具体实践中,许多企业的会计信息系统本身并未留置接口,使得一些审计软件无法和被审计对象的会计信息系统对接,也有一些会计信息系统自身设置了复杂的权限验证、加密程序等,使审计软件无法获取需求数据,或加大数据获取难度,影响了审计时效,甚至使审计无法操作。另外,会计信息系统本身的设计缺陷还包括一些软件漏洞容易招致黑客攻击篡改、增删数据信息,或者软件故障频发导致数据损毁、灭失等,这在目前的会计信息系统审计工作中也较为常见,极大地影响了会计信息系统审计的实施。
四、会计信息系统审计的治理策略
针对以上问题,需要审计机关、审计行业组织和企业共同努力,多管齐下,对症下药,在顺应社会经济信息化发展的前提下确保会计信息系统审计职能高效履行。
(一)进一步健全会计信息系统审计规范
尽管我国已经初步确立了会计信息系统审计相关规范体系,但同西方发达国家相比,或者同我国社会经济发展的审计需求相比,仍显不足,需要进一步完善。健全我国会计信息系统审计规范应基于以下原则:其一,与国际接轨。在全球经济一体化发展背景下,审计准则与国际接轨是必然要求,以确保审计结果能够在更广泛的范围和空间发挥效用。其二,与国情相适。会计信息系统审计的相关规则和标准的设定要基于国情,立足实践,与会计信息系统审计发展需求相适应。其三,关注细节。我国现有的会计信息系统审计相关规范仅仅就基本原则和审计内容、对象、范围等做了阐释,而缺乏审计具体流程和操作指南,还缺乏系统性和层次性,需进一步完善。其四,前瞻性原则。会计信息系统审计规范的制定需立足当前,着眼未来,对会计信息系统审计工作未来的发展趋向和工作重点、难点做出预测和判断,在政策导向上予以规范和指引。
(二)加强会计信息系统审计人才队伍建设
人才问题是会计信息系统审计的突出问题。近年来全球信息化发展迅猛,企业信息化发展战略如火如荼,日新月异,凸显了信息化人才不足带来的制约,需要相关审计机构、教育机构共同努力,加大人才培养力度,壮大会计信息系统审计师人才队伍。首先,要细化会计信息系统审计资格认证体系,打造阶梯式人才队伍,满足不同审计需求。其次,要挖掘现有资源潜力,加强现有审计人员信息技术技能培训,提升会计信息系统审计能力。教育机构应将会计信息系统审计人才培养纳入教育体系,开设相关课程,培养专业人才。最后,成立专门的会计信息系统审计行业组织。会计信息系统审计同传统审计有着极大不同,需要成立专门的会计信息系统审计行业协会,对会计信息系统审计活动及审计人才队伍进行有效指导和管理,设立从业资格认证及审核机制,组织资格考试,提高会计信息系统审计队伍专业水平。
(三)提升专门审计软件的有效性
目前市场存在的审计软件还存在一定问题,还应持续创新、升级、强化软件功能,在保障能以技术手段确保审计数据信息高效、顺畅获取的同时,还应内置数据分析、识别和处理功能模块,降低审计工作量和难度,提高审计效率。就专业化发展而言,应由信息技术人员和审计人员共同合作开发专门的会计信息系统审计软件,代替目前市场上常见的功能单一、稳定性差、操作复杂、标准不一的审计软件,使审计人员更加容易操作,使审计流程得以高效实施,同时降低工作难度和风险,以更好地履行审计职能。开发设计应本着“实用性”、“易用性”、“安全性”和“高效性”原则,由审计人员负责确保软件的实用性和易用性,由信息技术人员负责确保软件的安全性和高效性,以提升专门审计软件的有效性。
(四)统一会计信息系统审计软件技术规范
会计信息系统和会计信息系统审计都需要通过必要的软件来提升效率,目前市场上的相关软件种类众多,因而不同软件之间的兼容衔接性能就成为了影响会计信息系统审计效能的一个重要因素,这就需要建立统一的信息化行业技术标准作为支撑,以统一的技术规范解决会计信息系统软件、审计软件之间的对接问题。其一,企业自身要做好会计信息系统审计软件的规范工作,应在会计信息系统中预留审计接口,并且由专业的审计技术人员做好通道测试,确保接口和通道的畅通、高效、便捷。其二,以行业准则和法律法规的方式强制推行会计信息系统审计的数据接口标准规范,行业管理机构应将审计软件数据借口标准纳入到行业准则之中,对软件开发设计人员和使用人员开展相关培训,并监督落实状况,政府管理机构也应以制度和法律的形式对数据接口标准问题进行行政强制约束,要求企业和单位对其进行有效管理,避免数据因不能对接而需要手工重复录入所产生的差错风险。
信息系统审计论文范文第3篇
(一)信息系统审计的定义。中国内部审计协会(2014)认为信息系统审计是指“内部审计机构和内部审计人员对组织的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动”。按照上述定义,信息系统审计的重点跟传统审计一样,还是专注于内部控制与流程,但关注点不同,信息系统审计的关注点是信息系统的控制和流程,而不仅仅只关注相关的制度和规范。
(二)信息系统审计的目标。信息系统审计和控制联合会(ISACA)COBIT框架认为组织内部的信息系统需求三原则是:质量、成本和安全,即在保证信息系统满足组织需求的前提下,尽可能避免组织内外部风险,并减少研发和维护成本。因此信息系统审计的目标就是对组织信息系统的运行的可靠性,数据的真实性和安全性提供评价。
(三)信息系统审计的步骤。由于大多数高校内审机构在“数字化校园”开发阶段并没有参与其中。本文所述的信息系统审计专指信息系统运行维护阶段的审计。
1.审计准备阶段。信息系统审计准备阶段步骤与传统审计类似,通过从被审计单位获取相关信息系统管理的规章制度,找负责系统维护管理的工作人员座谈,实地观察等方式,完成审前调查,进行风险评估、初步确定审计重点和制定审计实施方案等工作。
2.审计实施阶段。信息系统审计在实施阶段分为两部分,分别为信息系统一般控制审计和应用控制审计。一般控制审计往往比应用控制审计更为重要,因为应用控制的有效性常常受到一般控制的影响。根据审计项目不同,审计人员可以只实施一般控制审计或者两者结合进行审计。(1)一般控制审计。一般控制审计又可以分为硬件和软件两部分,两部分的审计重点和方法有所不同,分别为:对硬件的审计通过实地观察法实施,主要有审计网络接口是否安全,是否有硬件防火墙,硬件设备存放环境是否安全,防火、防雷、防盗措施是否完备,是否装备了UPS,在硬件出现故障时是否制定了应急响应计划等。对软件的审计通过抽样、观察和面谈实施,审计重点为:一是系统管理控制,主要有系统设定的职责分离是否合理,授权管理是否充分,是否做到一个系统账户对应一个工作人员,是否确保了只有被授权的用户才能对特定资源和数据进行访问等;二是软件安全控制,主要有是否安装了杀毒软件,软件是否定时升级,未经授权的软件能否安装,是否有系统操作规范等;三是数据管理控制,主要有数据传输是否加密,系统数据是否定期备份,有无冗余备份,数据修改是否按照规定程序进行审核,向外部传输系统数据是否有身份认证,是否定期对数据质量进行检查等。(2)应用控制审计。信息系统应用控制是指为保证应用程序处理数据时按照组织流程运行,确保数据的完整性和真实性的控制,包括输入控制、处理控制、输出控制三部分。输入控制包括输入授权、数据转换和编辑校验,处理控制包括运行总数控制、计算机匹配和批处理控制,输出控制包括复核系统处理日志、审核输出文本、审核程序。对应用控制的审计,主要通过分析性复核和计算机辅助模拟的方法,审计重点为信息系统业务的控制点设置是否合理,数据处理程序最多运行数,是否有审核系统日志程序等。
3.报告阶段。内审人员根据实施阶段编制的工作底稿,出具审计报告初稿,与被审单位充分沟通后,修改审计报告,报相关层级领导审核后,签发正式审计报告。
二、高校做好信息系统审计的措施
1.转变观念,提高开展信息系统审计必要性的认识。“数字化校园”建成以后,高校内部控制环境已经悄然发生改变,内部审计要想充分发挥其独有的管理评价职能,必须迎头而上,及时开展信息系统审计。不少内审机构认为信息系统审计专业性太强,无从着手,实际上信息系统审计的核心并没有改变,还是对信息系统控制的评价,并没有超出审计人员专业知识的范畴。
2.结合实际,建立信息系统审计的体系。当前,国际上已经有比较成熟的关于信息系统审计的体系,那就是信息系统审计和控制联合会(ISACA)COBIT体系,但完全照搬肯定是不行的,在实际操作中,内审机构必须结合国情、校情,进行修订更改,出台符合自身工作实际的、具备可操作性的信息系统审计体系,以规范审计工作。
3.加强对内审人员的培养。内审机构可以通过以下方式提高内审人员业务素质:一是鼓励内审人员取得CISA资格。由ISACA颁发国际信息系统审计师(CISA)执业证书是唯一在国际上获得认可的证书,具有很强的权威性。二是在聘请外部审计机构进行信息系统审计的同时,让内审人员参与其中,做到边实践边总结,起到“以审带练”的作用。
4.在现有“数字化校园”平台的基础上,提供计算机辅助审计软件接口。“数字化校园”的建成,为内部审计实现审计方式的转变提供了可能。通过软件接口,内部审计能够随时监控学校各部门执行制度和程序情况,实现事中审计,更好地发挥内部审计职能。
信息系统审计论文范文第4篇
(一)企业应加强内部控制
随着市场经济的深入发展,企业逐步成为自主经营、自我约束、自我发展、自我完善的商品生产者和经营者。在“优胜劣汰、适者生存”的市场经济中,企业要想真正的做到“自主经营、自我约束、自我发展、自我完善”,必须要加强内部控制,建立有效、完善的内部控制制度,这样才能在一个绝对的高度上,对企业进行高瞻远瞩的控制,才能做出与时俱进的决策。
(二)内部审计是企业内部监督机制的重要组成部分
内部审计也是企业内部控制的一个重要的组成部分,是监督内部控制其他环节的主要力量。内部审计通过对控制环境和控制程序的有效性进行监督,评估企业的内部控制是否被执行,是否及时反馈有关执行结果的信息,是否帮助企业更有效地实现预期控制目标。同时,在监控过程中,内部审计可以促进控制环境的建立和改善,为改进控制制度提供建设性的意见,为企业建立健全所需要的内部控制水平服务。在内部控制的监督过程中,内部审计发挥着越来越重要的作用。
二、内部审计在防范信息系统风险中面临的问题
(一)信息系统安全管理机制不健全
企业信息系统风险的存在,很多是由于管理不善或控制不严造成的。一方面,缺乏一套统一的安全策略体系来指导安全管理工作,无法建立系统内部明确、全面的安全规范要求。从现有管理制度规范来看,主要存在的问题是可操作性差,条理不清、重叠或遗漏等;另一方面,现有安全管理制度的管理对象基本是网络系统管理员等技术部人员,管理对象没有全面涵盖所有信息系统技术相关人员,包括所有网络系统上的内部终端人员和外部人员。
(二)内部审计在信息系统风险防范中的角色缺乏独立性
内部审计的角色发生了转变。从传统的事后审计而逐渐转向事前和事中审计,主动参与内部控制系统的建立和完善。内部审计人员即承担着评价硬件和应用信息系统安全的任务,如果又同时有参与了系统的开发和实施过程,那么内部审计人员就却乏独立性。反之,如果处于对丧失独立性的担心,内部审计人员有可能会拒绝参与系统和软件的开发,那么系统开发过程中存在的风险又无法得到控制。
(三)内审部门技术力量薄弱造成对信息系统审计形成风险
审计稽核部门的技术力量薄弱,不熟悉业务系统的流程和功能,对信息系统缺乏必要的认证能力和标准。突出表现为以下几个方面:一是实施审计稽核的手段和方法没有得到及时更新,不适应信息系统管理的要求,大部分仍停留在手工审计阶段;二是审计稽核部门对计算机账务系统实施审计的依据仅依赖于被审计单位提供的打印资料或事后资料,计算机账务的真实性审计很难得到保证。
三、加强风险防范的措施和对策
(一)构建信息系统安全管理组织及规范体系
加强信息系统的自我风险评估体系,让信息系统的管理和技术人员在自身的职责范围之内正确识别和评估潜在操作风险,主要包括内控制度的查漏补缺、工作流程的整理和规范、应急预案完善和演练等。同时加强对操作人员的管理,规范操作程序。一是加强密码管理,明确规定操作人员的权限,操作员必须在规定的权限内办理业务,用户口令及密码必须专人专用,严禁公开口令及密码;二是要建立健全操作员岗位目标责任制,对网络操作人员要明确目标任务,规范操作程序,严格落实奖惩制度。三是要严格岗位设置,不相容职务进行分离。严禁系统管理人员、网络技术人员、程序开发人员和前台操作人员混岗、代岗或一人多岗。四是要加强系统内部的稽核监督检查。稽核监督应贯穿于网络操作的全过程,重点是加强对系统设计开发、内控管理制度落实、操作运行等方面的
(二)关注信息系统的稳定性、安全性和有效性审计
首先,审计人员应运用用一定的技术方法识别系统的完整性,该过程包括检查、测试、评估系统的内制,以保证系统的稳定性;其次,审计人员应评价系统存在的风险和可能产生的后果将成为审计的核心工作和基本内容,保证信息系统的安全性。应根据审计的标准和准则,评价控制环境的和IT基础设施的安全,确保系统满足组织的业务需要,保护信息资产的安全完整,以防非授权使用、泄露、修改、损坏或丢失;最后,还应鉴别信息系统的有效性。内部审计必须理解并熟悉操作环境,了解系统技术的复杂性及其对决策的影响;对来自内部的安全隐患,采用一定的方法进行系统诊断、检验、测试,评价其有效性及效率,以支持组织业务目标的实现
(三)改善内审机构,提高内审人员素质,培养信息系统审计师
为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价。信息系统审计师也称lS审计师或IT审计师,是指那些既通晓信息系统的软件和硬件(包括信息系统的开发、运营、维护、管理和安全等),又熟悉经济管理的内部审计人才。
(四)聘请专家进行协助
内部审计人员的知识、技能和经验虽然有助于信息系统的风险防御,但现实中必须承认,在企业中同时具备计算机技术和审计专业知识的人才非常短缺。再出色的内部审计人员可能面临一些系统内的专业问题却无法解决,因此有必要聘请外部专家。可以通过专家的协助测试运用其专业技能测试系统安全,进一步防范和解决信息系统风险的存在。
参考文献:
[1]胡晓明.信息时代的IS审计理论结构构建[J].武汉中南财经政法大学学报,2006,(3).
论文关键词:内部审计信息系统风险防范
信息系统审计论文范文第5篇
1.资源限制,信息系统审计覆盖面尚不全面目前国际上比较先进的商业银行无一例外地全部开展了GCR(一般控制)和ACR(应用控制)的全方位信息系统审计。但我国还未能全面开展一般控制和应用控制的信息系统审计工作,基本处于一般控制的摸索阶段。
2.信息系统审计专业人才比较缺乏我国国内的审计人员不仅在数量上存在欠缺,质量上更是有待提高。当前我国金融界审计队伍中,主要由财经类专业人员构成,严重缺乏既掌握现代审计理论与技术又精通计算机知识与技能的新型复合型人才。传统的审计人员虽在财会审计领域经验丰富,但对计算机网络技术了解不多,这使得他们难以对复杂的网络会计系统进行有效的评审,难以应付电子商务环境下的审计风险。
3.缺乏有效的通用信息系统审计软件通用的审计软件具有计算机辅助审计软件的各种功能,并且在计算机环境中,通过数据接口与被审计信息系统连接,同时将审计工作程序化,从而在很大程度上代替了手工审计。目前我国信息系统审计刚起步不久,在信息系统审计软件这方面还存在很大空缺,通用的信息系统审计软件几乎不存在。此外,我国现有的财务软件大多没有审计接口,审计软件无法获取所需系统的电子资料。
二、我国商业银行信息系统审计的发展策略
1.信息系统审计制度与准则制定方面根据国际趋同的要求,我国应建立国际标准框架下具有各行特色的标准和规范体系。因而,我国商业银行也可应把目前国际上公认的最先进、最权威的信息系统审计标准——COB信息系统作为核心标准,建立符合中国实际、顺应国际准则趋同化要求的内控、风险管理体系、信息系统监审机制和制度。同时借鉴巴塞尔协议、BS7799、COSO等其他国际标准和原则,进而确立适合各行的信息系统审计目标、对象、范围、方法、流程等,具体指导信息系统审计工作。
2.信息系统审计管理方面第一,建立全方位信息系统审计管理体系。一方面,商业银行要切实落实《金融机构计算机安全保护工作暂行规定》要求,合理安排基础设施和安全防范措施。另一方面,监管部门应加强对我国商业银行的信息系统审计的监管,将信息系统安全作为监管的重要内容,将信息系统审计作为评价其安全性的重要因素。第二,进行信息系统审计人员的技术角色划分,突出信息系统审计的技术特色。根据各商业银行自己的信息系统技术体系及信息系统审计资源,划分不同的信息系统审计技术角色,突出信息系统审计的技术特色,提升信息系统审计层次。
3.信息系统审计专业人才培养方面商业银行的信息系统审计工作需要一支既精通审计业务又掌握信息技术的队伍。由于财经类专业人员缺少计算机审计所要求计算机的知识与技能,已成为制约金融信息系统审计的“瓶颈”。建议可以通过以下的途径加强商业银行信息系统审计人员的专业素质:一是吸收计算机专业人员,把他们培养成审计人员;二是对现有审计人员开展信息系统知识培训和继续教育,培养成信息系统审计师;三是建立激励机制,推行信息系统审计师持证上岗制度,鼓励内审人员学习和钻研计算机知识,考取国家计算机资格等级证书。
4.信息系统审计软件研发方面我国商业银行必须从实际出发,研究并开发适合各自信息化平台、运行环境以及不同审计内容的信息系统审计软件。建立信息系统审计体系,规范审计手段和审计行为,提高审计质量、审计深度、扩大审计覆盖,促进信息系统审计软件的集成化、多元化和网络化发展。在软件的研制方面,还要考虑审计作业发展趋势。另外,信息系统软件开发除了要符合审计原理、规程外,也要考虑审计人员的工作方式和习惯,由审计和计算机专业人员共同完成信息系统审计软件功能需求较妥。
信息系统审计论文范文第6篇
为了更好的开展信息系统审计,审计组在编制审计实施方案前,对支队的信息系统开展了详细的审前调查,摸清了交警部门信息系统的基本情况,掌握了交通违法业务处理流程及业务数据的流向。最终,审计组决定以业务处理流程为切入点,抓住业务数据流向的关键点来开展审计,并确定了全市审计机关上下联动的审计组织模式,明确了审计的方向和重点。
1.开展信息系统审计审前调查审计组在审前调查阶段,专门开展了信息系统审计审前调查,调查的内容包括:信息系统承载的业务应用情况、业务应用软件、系统业务流程图和数据交互图、网络拓扑结构、主机/存储设备/操作系统/数据库系统、信息系统相关文档等。通过信息系统审计审前调查,大致了解了被审计单位的信息系统的基本情况及业务处理流程:市电子警察系统主要包括违法录入、违法修改、违法审批、法律文书管理、黑名单管理、违法统计等功能。其通过“邮政送达平台”和“银政联网平台”分别与广州市邮政局(以下简称邮局)和银行交换数据,以实现违法通知书的邮寄和罚款的缴纳。四区两市监控设备采集到的数据通过专线或3G网络传送到交警大队服务器中,通过前端审核系统对数据的有效性进行审核,审核完的有效数据上传到市交警支队的“电子警察系统”中。电子警察系统中通过审核的有效数据上传到省系统中,再上传到公安部的“六合一”平台。
2.确定审计组织模式审计组采用了市本级审计组与区县审计组上下联动、信息共享的审计组织方式,由市本级审计组负责市公安局交警支队和两个区分局交警大队的审计调查,其余的四个分局交警大队由各区县审计组分别负责。市本级审计组通过分析“电子警察系统”和“省系统”数据库,将问题数据分割后通过审计署OA系统及时发送给四区两市审计组。四区两市审计组审计分析各自的前端系统数据库,发现的审计线索也通过OA系统上传到市本级审计小组,以确定是否全市普遍存在问题。
3.确定审计重点和方法根据信息系统审计审前调查的结果,审计组决定以交通违法业务处理流程作为切入点,跟踪业务数据流向来开展信息系统审计。审计调查的重点包括四个方面:一是电子警察系统的合法性审计。因为电子警察系统的合法性决定了公安部门执法的合法性,其作出的行政处罚是否存在行政诉讼的可能。例如:执法点位有无按规定向社会公布;执法点是否按规定设置标识牌;执法点的设备是否经过验收和定期检测等,执法点的设备能否正常运行等。二是电子警察系统的有效性、完整性审计。如:违法数据是否按规定全部、及时核对录入;违法记录是否全部及时向当事人制发书面通知;超过规定时速的违法行为是否严格按规定进行处罚;有无擅自撤销处罚记录等。三是电子警察信息系统的安全性审计。如,数据上传过程中是否存在上传失败的情况;前后业务处理流程之间的数据量是否存在差异;操作系统、数据库以及应用系统访问是否存在的安全隐患等。四是电子警察系统的效益性审计。对审前调查确定的重点,审计组分别采用了不同的步骤和方法。①针对系统的合法性采取的审计方法:⑴取得目前交通“电子警察”的种类、数量及分布情况,与金盾网上向社会公布的执法点对比,检查执法点位有无全部按规定向社会公布。⑵在征询社会公众的意见的基础上,实地抽查执法点有无按规定设置标识牌;抽查指示灯号、标志线、限速指示牌等行车标志、标识是否合理;抽查交通“电子警察”测速设备,是否存在限速过低。⑶抽查交通“电子警察”设备的技术档案资料,检查所用的设备是否符合国家标准或者行业标准。⑷抽查记录,检查是否存在执罚程序不合法、未及时通知违法行为人等问题。②针对系统的有效性、完整性采取的审计方法:⑴抽查近三年广州市交通“电子警察”定期检测、保养、维护的日志、记录资料,检查设备有无定期检测、保养、维护;通过实地闯红灯和超速检查信息系统设备运行情况的有效性。⑵检查数据校验功能是否缺失。如核查决定书编号是否唯一编号、是否存在重号等。⑶通过不同系统之间数据的对比,核查系统数据完整性。一是横向比对,例如通过交警数据和邮政数据比对,违法记录是否全部及时向当事人制发书面通知,通过交警数据和银行数据比对,检查最终违章记录表中反映的已缴处罚金额总额是否与财政同一期间的非税收入金额一致;二是数据的竖向比对,例如通过四区两市的数据和支队数据比对,支队数据和省交警总队数据比对,检查系统数据在升级和迁移过程中是否发生丢失。⑷处罚撤销情况统计。审核撤销的数量、原因情况。审核撤销是否具有完整的内部控制制度,系统是否有控制手段。③针对系统的安全性采取的审计方法:⑴检查管理制度,查看系统后台记录的有关用户操作权限。⑵实地抽样查看系统操作人员对系统用户权限的管理,并运用数据审计技术和软件,对信息系统自动记录的日志进行筛选分析,检查有无未经授权的进入、非法修改删除数据等异常操作,从而判断信息系统的运行管理是否存在明显错误或者缺陷。④针对信息系统的效益性采取的审计方法:⑴通过直接发放调查问卷等方式,征询公众对广州市公安机关利用交通“电子警察”查处道路交通安全违法行为的意见,分析交通“电子警察”信息系统运行、交警执法的合理性、合法性和效益效果,提出对交通“电子警察”建设和利用的建议。⑵现场抽查交通“电子警察”设置到位情况,通过勘察、试验、拍照等取证手段,对市公安局“电子警察”项目的设置规划、分布、效益进行实地调查,重点检查有无长期在建、虚设不用、闲置浪费等低效益现象,形成绩效评价意见。⑶通过对交警执法效率提升、当地车辆保有量增长、交通事故数量及事故死亡人数变化等相关数据分析,采取量化指标反映“电子警察”取得的社会效益情况。⑷调取业务数据进行分析。如抽查监控点近三年开出罚单情况,动态分析监控点的运作情况汇报;分析近三年的事故多发地点,以及在事故多发地点设置交通“电子警察”情况。
4.项目取得的成果审计组通过开展电子警察信息系统审计,查出了以下主要问题:①部分监控设备长期没有维护,导致无法采集数据或数据失效。②部分违法数据未及时核对、录入。③区(县级市)违法数据与市局存在差异。④未在规定时限内向当事人邮寄交通违法处理通知书。⑤电子警察管理系统反映的违法处理通知书数据与邮局反映的寄出数据存在差异。⑥未及时对区县的异常数据信息进行检查、分析,导致滞纳金数据失真。⑦交警部门记录的入库金额与银行返回的金额存在差异。⑧电子警察管理系统数据上传公安部“六合一”平台时数据丢失。⑨信息系统中交通违法信息内容记载不够完整。公安交警部门对以上查出的问题高度重视,边审计边整改。其中对部分监控设备长期没有维护的问题,市交警支队已加强设备巡检、维护工作的监督力度,对未能正常使用的设备已及时排除故障;通过优化系统和设备配置、延长工作时间、抽调人员支援、将人工拍摄的非现场数据核对录入工作下放至辖区交警大队等措施,有效解决对部分违法数据未及时核对、录入的问题;对未在规定时限内向当事人邮寄交通违法处理通知书的问题,支队按不同的形成原因采取措施予以解决,对确因传送失败而未寄出通知书的,支队与邮政部门重新设计和开发统计违法数据数量功能模块,已正式启用,同时,与邮局采取每日核对数据量、对异常数据加强巡检等监管手段,确保发送数据量与邮局接收数据量一致;对未及时对区县的异常数据信息进行检查、分析,导致部分数据失实的问题,支队已在系统中对滞纳金字段值进行限制,有效解决了缴款时间滞后造成滞纳金不实的问题;对相关业务处理流程之间的数据存在差异的问题,支队正在筹建交通管理数据交换平台,将邮政、银政、电子警察、交委等数据统一通过该平台进行管理,进一步规范数据的共享与交换,同时对数据共享与交换情况进行全面监控,同时,将加强对系统操作人员的培训,提高业务和技能水平;对数据上传公安部“六合一”平台失败后没有作补救处理的问题,支队通过开发数据上传失败查询模块和安排专人跟踪数据上传情况,一旦发现数据上传失败立即进行补传,确保不因技术问题导致上传失败;对信息系统中交通违法信息内容记载不够完整的问题,支队已在新的电子警察管理平台中增加相关字段内容,逐步完善系统的设置。
二、做好信息系统审计的启示
1.做好审前调查是做好信息系统审计的必要前提。审计人员需要根据审前调查了解的行业政策、信息系统的设计、管理和维护情况,从而确定审计的范围和关注点,准备好信息系统审计的软、硬件条件。只有做好信息系统审计审前调查,才能充分评估开展信息系统审计的重要性、可行性和风险性。
2.了解信息系统业务处理流程是做好信息系统审计的主要关键。深入了解被审计单位的业务处理流程,掌握信息系统内部控制环节、数据处理环节和数据传输转移环节,以业务处理流程为切入点,就可以知道容易产生问题的环节,从而确定审计的重点,做到有的放矢。
3.合理配置审计人力资源是做好信息系统审计的有力保证。当前审计机关普遍面临信息系统审计复合型人才馈乏的困境,要在短时间内改变这一状况是不现实的。本案例中审计组配备了专长财会的审计人员和专长计算机技术的审计人员,由专长财会的审计人员负责研究行业政策,收集业务流程各环节的关注点,提出审计需求,由专长计算机技术的审计人员按需求设计计算机语言,对海量数据进行筛选,再交专长财会的审计人员对筛选结果进行分析,共同研究提出审计意见。复用审计思路的审计组织方式能使信息系统审计事半功倍。
4.采取灵活多变的审计方法是开展信息系统审计的有效途径。本案例中采取了审阅、查询、计算、分析性复核、社会调查问卷等多种方法。多种审计方法的灵活运用,可以相互印证审计事项,拓宽审计视野,扩大审计成果,加强审计的影响力。
三、结语
今后,审计机关要完成“全面审计,突出重点”的审计目标,承担起社会经济运行的“免疫系统”作用,就必须充分认识开展信息系统审计的重要性,加快信息系统审计的步伐。信息系统审计将扩展审计的领域,将是审计未来发展的一个重要方向。
信息系统审计论文范文第7篇
20世纪60年代,随着计算机技术开始运用于企业的信息收集和整理中,会计信息处理逐渐无纸化,促使审计人员在执行传统审计业务时,必须关注以电子数据为载体的电子数据处理审计。20世纪70年代中期至80年代,电子数据处理和管理系统等在企业中逐渐普及,同时,计算机犯罪和计算机系统失效的事件频频发生,使得信息系统审计日益得到重视并迅速发展。美国、日本先后成立了IT审计方面的协会组织,从事对IT审计规则的制定和实施指导。20世纪90年代,信息和信息系统已成为企业的重要资产,企业和社会对信息系统控制和审计的需求愈发强烈。发达国家的信息系统审计进入普及期,许多国家的审计机关、学者和组织对计算机环境下的信息系统审计进行了有益的探索。同时,东南亚各国也逐渐认识到信息系统审计的重要性,开始着手研究信息系统审计理论和实务。
目前,我国信息系统审计仅有十几年的历史,尚处于探索阶段,既缺乏开展信息系统审计业务的人才队伍,也没有形成专业规范体系,所进行的一些计算机审计方面的探索和尝试以及计算机审计软件的开发和应用还大都停留在对被审计单位电子数据进行处理的阶段。存在的主要问题有:信息系统审计观念落后;信息系统审计相关的准则、标准和规范尚不完善;信息系统审计专业人才匮乏;信息系统审计软件开发工作滞后。1997年,广州地铁开始公司“信息化”建设。最初,广州地铁经营审计采用“绕过计算机审计”的方法,即对导出数据进行审计。审计过程中,其逐渐意识到了运用这种“黑箱原理”审计方法的风险。因此,2006年公司组建了专门的IT审计模块,探索“如何利用计算机审计”和“通过计算机审计”。其后,广州地铁信息系统审计发展经历了借力、助力和自立三个阶段。一是借力期:IT审计模块成立初期,公司与外部顾问共同开展IT审计项目,通过外部专业人员向审计人员传输IT审计技能,同时制定《IT审计实施细则》,在人员技能储备和制度上为IT审计模块的发展奠定了基础。二是助力期:审计人员参照审计手册,利用从外部顾问处学习到的审计技能,逐步开展信息系统审计工作,将IT审计工作模式调整为以自身力量为主,外部咨询服务为辅的模式。三是自立期:2009年,广州地铁IT审计已基本实现自主化,且IT审计模块逐步走向成熟,同时其还建立了具有自身特色的信息系统审计框架。目前,IT审计已经发展成为广州地铁内部审计的一根“支柱”,连同“内控审计”,作为基本的审计手段贯穿于各类专业审计工作中,支持审计体系的巩固与发展。
二、信息系统审计内容
1、国内外关于信息系统审计内容的研究
开展信息系统审计首先要明确审计内容。国际信息系统审计协会规定,信息系统审计的主要内容包括信息系统程序审计、信息技术(IT)治理、系统生命周期管理、IT服务的交付与支持、信息资产的保护、灾难恢复和业务连续性计划。近十几年来,国内的学者和组织也对信息系统审计的内容进行了探索和研究。审计署在2012年颁布的《信息系统审计指南———计算机审计实务公告第34号》中明确提出了:信息系统审计包括对应用控制、一般控制和项目管理的审计。其中,应用控制包括信息系统业务流程,数据输入、处理和输出的控制,信息共享和业务协同;一般控制包括信息系统总体控制、信息安全技术控制、信息安全管理控制;项目管理包括信息系统建设的经济性、信息系统建设管理、信息系统绩效。上述具有代表性的规定和研究成果对信息系统审计内容的划分,均是以对信息系统逻辑结构的分析为基础。全面分析信息系统的逻辑结构,可从信息系统的构成要素、信息系统生命周期和信息系统管理三个维度进行描述:从构成要素来看,信息系统由人员、应用(包括软件平台和应用系统)、所采用的技术、硬件设备、数据文件运行规则组成;信息系统生命周期可划分为信息系统的规划阶段、开发阶段、运行维护阶段和更新阶段;从信息系统管理的维度来看,对系统的管理与控制活动贯穿于信息系统生命周期的始终,主要是通过有效执行一系列健全有效的规章制度和管理规程来实现。
2、广州地铁信息系统审计实施框架
结合广州地铁信息化项目多、系统更新快、数据集成度高、系统控制与手工控制并重等特点,围绕信息系统构成要素、信息系统生命周期和信息系统管理三个维度,广州地铁将信息系统审计的内容划分为整体计算机控制审计、应用控制审计和系统建设效能评价三个方面。其中,整体计算机控制审计是对信息系统运行中的控制活动进行审计,目的是合理保证由信息系统支持的业务流程控制是可靠的、生成的数据和报告是可信的。应用系统控制审计是对业务流程中的自动化控制活动进行审计,以合理保证交易的有效性、经适当授权和记录、完成的完整性、准确性和及时性。项目及系统绩效审计是对信息化项目的过程及成果对企业和业务产生的效益进行审计,用来合理保证信息化项目的投资/产出比例符合建设的目标,以及信息系统对企业战略起到的预期的支撑作用。围绕上述三个方面,广州地铁内部审计确立了以下的实施框架。
(1)确立整体计算机控制安全、操作、变更的三个评价维度,围绕“信息系统全生命周期”,明确整体计算机控制十个流程。
广州地铁通过学习和借鉴国际信息系统技术管理和控制标准COBIT,建立起了一套自己的整体计算机控制审计框架。框架可按流程和控制类型两种方式进行划分,两种划分方式在本质上是一致的。在按流程划分出的每个子流程中,信息系统审计人员需要从变更、安全、操作的角度去确认和评估具体的控制点;在按控制职能所作的划分中,审计人员需要围绕信息系统的策略与计划、信息系统操作、与外部供应商关系、业务可持续计划、应用系统开发、数据库、软件支持、网络、硬件等十个子流程进行审计。围绕安全、变更、操作三个角度及十个子流程,广州地铁共梳理出有关整体计算机控制的41项审计内容,并针对每一项内容明确了控制目标和风险,建立起了一套完整的整体计算机控制矩阵。例如,信息系统策略和计划子流程中,广州地铁明确了整体计算机控制的三大目标———信息系统战略、规划和预算应与实际业务和战略目标保持一致,计算机处理环境应得到具有适当技能和经验的人员的充分支持和保证,以及计算机处理环境中的人员应接受适当的培训,审计人员在此基础上针对各控制目标,识别并归纳出广州地铁现行的9个控制活动。在具体开展信息系统整体计算机控制审计时,信息系统审计人员根据审计项目的特点和要求,选择需要评价的子流程,再对照子流程的控制活动进行评估及测试即可。
(2)从内部控制目标出发,将信息系统应用控制划分为访问控制、完整性控制及数据质量控制三大方面。
广州地铁将信息系统的应用控制划分为应用系统访问控制、流程和系统完整性控制以及数据质量控制三大类,并针对各类控制分别设计了不同的审计内容。一是应用系统授权访问控制审计包括对系统的认证方式、授权机制、权限的分配管理以及不相容职责分离在系统中的实现情况的审计,目的在于保证经过允许的人才能访问和操作系统。二是流程和系统完整性控制审计是对系统输入、处理、输出以及接口等各种系统运行规则的审计,用以保证所有经允许处理的数据均转换到介质上并被处理,且处理的结果可通过适当的方式加以输出,所有输入、转换、处理和输出均在正常的时间内准确地进行。三是数据质量控制审计则是指对信息系统中的数据的完整性、规范性和有效性所进行的审计,旨在保证所有系统的输出均反映为经批准的有效的经济业务,所有经过系统的数据真实、有效,且能满足企业各项业务的使用要求。
(3)围绕“信息化项目”和“信息系统”,综合评价信息化建设的效益。
在开展整体计算机控制审计和应用控制审计的基础上,广州地铁从企业经营和投资效益的视角出发,在信息系统审计中引入了3E审计的概念,尝试对信息系统建设项目的成效、建成后系统的应用效能以及信息化对战略的支撑效果进行审计。为了全面评价项目,广州地铁通常将对单个信息系统建设项目的合规性审计与项目效能审计结合在一起开展。一是信息系统建设成效审计旨在通过对系统建设全过程的审计,促进信息系统的建设规范性,提高信息系统建设的质量。二是信息系统应用效能审计包括对业务需求的实现情况、建成功能的使用情况的审计分析,以及对系统应用对业务管理规范化、标准化和精细化提升作用的综合评价,目的在于促进系统使用价值的最大化,减少系统建设的投资浪费。三是战略支撑效果审计是从支持战略实现的角度,评价信息系统的建设效益,保证信息化建设在符合业务管理要求的同时,符合公司战略的需要,支持公司战略的实现。
三、信息系统审计实施步骤
信息系统审计步骤(或流程),是审计工作从开始到结束的整个过程。信息系统审计流程一般可划分为四个阶段:计划阶段、实施阶段、报告阶段和后续阶段。计划阶段是信息系统审计流程的起点,此阶段的主要工作包括了解被审计系统的基本情况,初步评价被审计单位信息系统的内部控制和外部控制,识别重要性和编制审计计划。实施阶段是根据计划阶段确定的审计范围、重点、步骤和方法进行有针对性的取证、评价,并形成审计结论的过程。实施阶段是信息系统审计工作的核心,主要由符合性测试和实质性测试两个部分构成。在报告阶段,信息系统审计人员需运用专业判断,整理、评价收集到的审计证据,以经过核实的审计证据为依据,形成审计意见,出具审计报告。审计报告的出具并不意味着信息系统审计工作的终结。根据国际信息系统审计标准,信息系统审计人员对于系统中发现的重大问题和漏洞,需要对被审计单位所采取的纠正措施及其效果进行后续审计。审计人员需要将后续审计纳入计划,并安排必要的人员和时间进行后续审计。广州地铁IT审计模块成立之初,即明确了IT审计“对公司的系统流程与控制、项目进行审计”和“提供有益于增加公司价值的咨询服务”两项核心职责,并围绕公司战略,以“风险导向”、“服务战略”理念为指导,从信息系统审计战略规划和具体项目执行两个层面分别制定信息系统审计的流程。
1、以公司战略为导向,制定信息系统审计的战略规划
一直以来,广州地铁奉行“源于战略、服务于战略”的现代审计理念。这一理念主要体现在两个方面:一是在制定内审工作计划时,从公司战略出发,制定各个内审业务及各专业审计模块的战略,并以业务战略为指导,开展具体的审计工作;二是在开展审计项目的过程中,始终从保障公司战略执行的角度去发现问题、评价问题,提出整改意见和落实整改。信息系统审计的战略规划来源于公司的战略,以及以公司战略指导制定的公司信息系统战略规划和内部审计业务战略规划;同时还须结合公司信息化现状和IT审计模块定位,明确广州地铁IT审计发展战略目标。
2、通过风险评估,确定各信息系统风险等级,制定层次分明、重点突出的信息系统循环审计计划
为利用有限的审计资源掌握公司主要信息系统的建设、运营情况,保障信息资源的有效利用,降低公司信息系统的整体风险,广州地铁建立了一套“根据信息系统风险评级制定差异化的审计策略”。
(1)梳理信息系统脉络,全面掌握信息系统现状。
广州地铁结合信息系统规划、建设和运营的情况及系统分类梳理出被审计信息系统清单,并从系统构成要素的角度收集系统相关的信息。这些信息包括系统名称、功能模块、采用产品等基本信息,以及项目的建设信息、系统的使用状况和运维的基本情况。这些信息是风险评分的依据,也为后续开展具体审计工作时确定审计方案提供了指引。
(2)开展信息系统风险评级,制定风险导向型审计计划。
内审人员从通用风险、业务风险、项目风险、系统风险、数据风险和人员风险六大风险类别出发,全面识别信息系统各类构成要素中存在的风险;对信息系统进行风险评价,根据风险得分将信息系统按优先级分别划分为高、中、低三类。结合公司IT审计资源的情况,对优先等级高的系统采用三年一审策略,中等级系统5—6年一个审计周期,风险等级低的系统则根据需要安排审计。在此审计策略的基础上,再综合考虑公司业务的十大风险、领导关注事项、上一年度内控评价结果和审计项目成果、公司新一年的工作重点、公司信息系统的变动情况,并制定出本年度的信息系统审计计划。
3、以风险为导向,开展信息系统审计
在项目实施阶段,审计人员必须从公司整体信息系统控制环境和被审计系统的状况、流程与内部控制两个方面进一步收集被审计系统的相关资料,了解和确认被审计单位已建立的内部控制措施,并对这些控制措施的设计是否达到控制目标进行评估。
(1)以“轮流循环+以点带面”的方式开展整体计算机控制审计。
公司的信息化业务采用统一集中管理的模式,整体计算机控制对各个系统具有一定的通用性。因此,在实务操作中,广州地铁采用“以点带面”的策略,以单个信息系统整体计算机控制为切入点对整体计算机控制进行审计,评价整体信息系统的安全性;同时,考虑到信息系统在一定时间内相对稳定,因此在实施整体计算机控制审计时可采取轮流测试的方式,即每年从十个子流程中选取几个进行测试,经过一定周期后,完成对整体计算机控制的全面审计。例如,在2011年开展的信息安全审计项目中,审计人员就围绕信息安全这个审计主题,从十个子流程中选取了与信息安全直接相关的信息系统操作、信息系统安全、业务可持续计划、应用系统开发与实施、数据库开发与实施和系统软件支持等六个流程进行审计。分步、循环开展整体计算机审计,在审计风险可控的情况下,大大节省了审计资源,也使得审计人员能够更加深入地挖掘和分析整体计算机控制方面所存在问题以及问题的成因,提出更为切实可行、同时又符合公司信息化业务发展现状和要求的整改措施。
(2)以风险为着眼点,确定应用控制审计重点。
应用控制是各个信息系统内部所建立的控制机制,应用控制审计必须针对某个具体信息系统开展。在开展应用控制审计的过程中,审计人员应紧紧围绕“风险”这个着眼点,通过对原有业务成熟度和系统建设过程中风险的评估,选择不同的审计侧重点开展应用控制审计。例如,在合同管理系统审计项目中,由于合同管理系统是全新开发的系统,审计人员经分析,判定系统在应用系统访问控制方面的风险较高。而在进行控制评估和测试后,审计人员发现业务人员在创建系统权限设置机制时完全套用了公司办公自动化系统的权限机制,而未针对合同业务流程中不同于公司组织架构下的角色设立相应的用户组,导致系统无法实现合同经办人与审批人职责的分离,存在重大的内控风险。
四、信息系统审计方法
在信息系统审计中,可因地制宜,综合运用多种学科的技术方法,包括:传统审计中内部控制测评的基本方法和审计取证的基本方法(包括审阅、核对、监盘、观察、查询、函证、计算、分析性复核);计算机科学的技术方法,如数据测试法、程序编码审查法、受控处理法、受控再处理法、整体测试法、平行模拟法、程序比较法、漏洞扫描、入侵检测、嵌入审计程序法等等;行为科学的技术方法,如运用组织发展的理论与方法、个体行为一般规律的理论和方法。这些方法与技术并不是孤立的,而是互相联系的。目前,广州地铁在信息系统审计中所运用的方法仍主要集中在传统的内控审计方法和信息系统管理的技术方法两个领域,具体包括询问、观察、文件复核、抽样、重新执行、使用计算机辅助软件等。在部分项目中,也采用了一些计算机科学的技术方法。受限于审计资源不足,广州地铁较少采用程序比较法、平行模拟法、程序编码审查法等高成本的审计方法,而倾向于选用一些较为高效的测试方法。但这些高效方法的运用不能完全消除审计风险,这就需要审计人员根据自身的经验尽量避免。
1、传统审计方法的运用
广州地铁在开展信息系统审计过程中较多运用传统审计的方法。例如,在对信息系统整体计算机控制进行审计时,通过对系统使用人员的访谈、调研和对系统各项操作的观察,梳理出整体计算机控制相关的各种控制活动。在没有测试环境的情况下对生产在用信息系统的人机交互界面和功能进行调查和确认时,审计人员大量运用了观察的方法。在对固定资产信息系统模块进行审计中,审计人员通过观察物资采购人员、资产管理人员、会计核算人员在系统中的操作界面、系统实现效果以及业务操作流程来了解系统功能的构造。发现采购中的供应商信息在跨系统流程过程中丢失,导致财务系统和实物管理的MAXIMO系统的资产台账中均缺少供应商信息,致使日后采购同类物资时,采购人员无法获取历史采购信息作为参考,增加了市场调研成本。除内控矩阵和访谈、观察等方法之外,编制流程图、数据流图和报表流图也是信息系统审计经常使用的方法。
2、计算机科学技术方法的运用
计算机科学技术方法是信息系统审计特有的方法,来源于IT行业的信息技术的转换应用,主要包括基于数据分析的方法和基于程序分析的方法,这些方法的综合使用使得对信息系统的审计更加有效。具体方法的选用需视被审计系统的实际情况而定。在一个审计项目中,广州地铁审计人员经常将多种方法结合使用。例如,在票务收入系统审计项目中,审计人员首先采用数据测试法,使用正常及非正常的测试地铁票搭乘地铁,在系统中跟踪测试票的处理情况,以验证系统处理与控制功能是否均有效;在对系统中后期内部开发的车站单程票售卖功能进行审计时,审计人员采用了程序编码审查法,对系统的源程序编码进行审查,审查后发现单程票售卖金额统计报表在进行数据处理时省略了小数点后的尾数,导致报表金额存在偏差;在对票务系统的清分报表进行验证时,审计人员又采用了平行模拟法,抽取系统中一段时间内的正式交易记录,在系统外模拟系统的处理规则对交易记录进行处理,并将处理结果与系统的报表数据进行核对,结果发现系统在数据传递和处理过程中,由于系统对于异常数据的审核过于严格,导致部分正常数据被当作垃圾数据丢进异常库,给公司造成票务损失。
3、计算机辅助审计软件的应用
计算机辅助审计软件的应用是信息系统审计的一个显著特点,也是审计人员准备阶段需要重点关注的问题之一。目前,广州地铁对计算机辅助审计软件的应用主要体现在以下两个方面。
(1)对系统中数据的准确性、完整性和一致性的检查。
例如,在合同管理系统审计项目中,为核对系统接口程序的可靠性,审计人员利用审计辅助软件快速完成了对合同系统和财务系统数据一致性的核对,迅速查找出两个系统中不一致的数据。经过深入分析,审计人员发现由于财务核算人员在财务系统中复核合同支付数据时发现错误,将支付申请退回给合同系统再由合同经办人重新填报时,合同系统未对已生成的支付信息进行更新,导致上述问题的出现。针对海量数据处理系统,数据验证是审计的重点,计算机辅助软件是“不可或缺”的审计工具。在地铁票务收入保障审计项目中,审计人需要通过数据验证的方式对业务处理的核心系统———自动售检票(AFC)系统中的系统传输和处理机制进行验证。为此,审计人员共设计了8大类29子类47个数据验证主题。审计时,审计人员运用计算机辅助审计技术,在两个月内完成了对AFC系统中10天总计超过3亿条运营数据的验证工作。
(2)利用计算机辅助软件进行对比测试。
即审计人员从信息系统中抽取某部门样本数据,将样本数据输入到与计算机辅助软件中进行处理,把审计软件输出的结果与业务系统产生的结果进行对比分析,以判定业务系统的可靠性与准确性。广州地铁在已开展的运营票务收入保障审计项目中大量地使用了此种方式。审计人员将各车站站务人员在票务系统中录入的售票数据导入到计算机辅助软件中,按照业务规则对数据进行处理,将处理结果和系统输出的结果进行对比。经对比,审计人员发现票务系统在处理异常数据时过于严格,导致部分非异常数据被系统当作异常数据丢入异常库中,给公司造成票务损失。
4、信息系统审计与业务内控审计相结合
企业管理流程信息化的过程中,会对原有的业务流程进行优化甚至重构。对原有手工流程的内控评价在信息化环境中可能不再适用。因此,广州地铁在信息系统审计中添加了对业务流程的内控评价———先对业务的内部控制情况进行评估,梳理并确定业务流程风险和关键控制点,再对照业务流程对系统的处理流程进行评价,确保信息系统审计评价的准确性。信息系统审计与业务内控审计相结合的方法还体现在对一个流程中未在信息系统实现的控制环节可以通过内控审计进行补充。实践表明,信息系统审计与业务内控审计相结合的方法在很大程度上提高了审计的全面性。由于信息技术自身的特点,例如电子数据的不可视性,加之被审计单位信息系统内部控制方面可能存在缺陷以及信息系统审计人员在专业技术和职业道德方面亦不完美,信息系统审计风险客观存在。面对信息系统审计风险,需要审计人员通过深入调研,全面了解被审计系统的情况;需要培养专业人才,“以点带面”提升团队能力;结合企业发展情况,制定内部信息系统审计标准;利用审计软件,降低抽样风险,提高审计效率等多种措施,不断降低审计过程中的检查风险,提高审计质量。
信息系统审计论文范文第8篇
【关键词】 计算机审计; 信息系统审计; 比较
计算机审计(Computer Auditing)与信息系统审计(Information System Audit,简称IS审计),前者约定俗成,后者势在必行,但两者在我国的学术研究与实践应用中长期模糊不清、难舍难分,这不仅不利于我国审计工作的开展,同时也可能影响我国审计信息化的发展。本文拟通过两者的产生与发展、基本概念与审计目标、适用准则与审计技术等方面的比较,厘清两者的主要区别,以求它们在我国取得并行不悖的发展。
一、两者的产生与发展过程比较
在计算机审计与IS审计产生之前,电子数据处理(Electronic Data Processing,EDP)审计早已存在。可以说,EDP审计是计算机审计与IS审计的前身与发展的基础。
(一)EDP审计的产生与发展
EDP审计不仅是指电子数据处理环境下的审计,还包括对电子数据处理系统的审计。F.Kanfuman(1961)、A.Pinkney(1966)、T..W.Merae(1976)、Joseph Sardinas(1987)、W.Thomas Poter和William E.Perry(1987)等学者都从不同的角度对EDP环境中内外部审计规则和组成方法、EDP审计的测试方法、特殊审计技术、审计步骤等方面展开深入研究。1968年美国注册会计师协会(AICPA)出版的《会计审计与计算机》一书,详细阐述了在EDP环境下如何开展IS审计和传统的外部审计。而作为信息系统审计与控制协会(IASCA)的前身,成立于1969年的EDP审计协会(EDPAA)及其属下的EDP审计师基金会(EDPAF)25年间一直使用EDP一词。至今,EDP审计与IS审计仍有并驾齐驱之势。例如,在Jack.J.Champlain所著的《审计信息系统》(第2版,2003)一书中,仍然将EDP审计师与IS审计师相提并论。
从诸多文献资料分析,EDP包含两种含义,一为环境说;二为系统说。作环境说,诚如国际审计准则15指出:“为了国际审计准则的目的,当一个单位对与审计有重要意义的财务资料的处理,包含有任何类型或大小的计算机时,就存在着电子数据处理的环境”。面对这一环境进行审计的审计师也就是EDP审计师。而作系统说,则更多是指计算机信息系统,以该系统作为审计对象必然会改变审计的总体目标和范围,因而也才有应用而生的信息系统审计与控制协会及其单独的审计标准、指南和程序,以及由此产生的IS审计师。
(二)计算机审计的产生与发展
有关计算机审计的研究,在国外参考文献中并不少见。例如,Andrew D Chambers(1984)、Javier F.Kuong(1987)和S.Rao Vallabhaneni(1989)等学者,均围绕计算机审计的安全与内部控制、相关技术、内部控制的实施等加以论述。值得注意的是,在各职业组织所的有关标准、指南或程序中,却鲜有使用计算机审计一词,如美国注册会计师协会(AICPA)的《计算机辅助审计》(1978)和取代SAS No.3号(1974)的《审计标准说明书第48号》(SAS.No.48,1984),国际内部审计师协会20世纪70年布的《系统控制与审计》,加拿大执业会计师协会(CICA)两次的《计算机控制和工作指南》(1970,1986),以及加拿大审计标准委员会颁布的《EDP环境下的审计――一般原则》(1984)等等,也都较少采用“计算机审计”一词。
在我国,有关计算机审计研究经久不衰。在20世纪80年代,我国学者往往将其与国外的EDP审计相联系。例如在对Poter和Perry(1987)合著的《EDP:ControllsAnd Auditing(第5版)》翻译中,李大庆和乔勇等学者(1990)就将其直接译为《计算机审计》。我国学者潘晓江(1983)较早针对我国会计电算化提出审计应采取的充分发挥人在控制中的主导地位、注意实行数据可靠性控制和注意保留必要的审计线索三大措施。从20世纪90年代至今,我国以“计算机审计”为题的研究成果颇丰。据笔者不完全统计,这类教材和专著已逾30本,较早的作者有肖泽忠(1990)、陈婉玲(1990)、李长旭(1990)等。
我国审计机关无论是关于计算机应用的规定,还是组织系统内有关专家进行研究,也多以计算机审计为题加以进行。例如,审计署1993年的《审计署关于计算机审计的暂行规定》和1996年的《审计机关计算机辅助审计办法》等。邱胜利和张玉(1990,1993)、董化礼(2002)、刘汝焯(2004)、国家863计划审计署课题组(2006)等,也都以计算机审计为题展开研究。
(三)IS审计的产生与发展
对IS审计贡献最大的莫过于国际信息系统审计与控制协会(Information System Audit and Control Association,ISACA)。1994年,ISACA替代了原有电子数据处理审计协会(EDPAA)。至2008年2月止,该协会已经了16个审计标准、39个审计指南和11个审计程序。而其于1996年的信息和相关技术控制目标(Control Objective for information and RelatedTechnology,COBIT)已经成为全球公认的、权威的信息技术控制目标体系。同时,该协会每年还举办IS审计师资格考试,有力地推动了世界范围内IS审计的发展。
日本通产省于1983年了《系统审计标准》,并在全国软件水平考试中增加“系统审计师”一级的考试。1985年,日本内部审计师协会在其所的《审计白皮书》中认为,内部审计师的最新发展是“IS审计”。另据IIA对美国和英国的调查,被调查企业中实施MIS审计的企业所占的比例各年分别为:1968年48%,1975年60%,1979年65%。而1983年再对这两个国家1 687个内部审计部门的调查中显示,已有70.8%的企业在进行MIS审计。
由于我国从一开始就将电算化会计信息系统确定为计算机审计对象,致使人们将其等同于IS审计的审计对象。同时,学者们也往往将IS审计与IT审计等同视之。如胡克瑾(2002)在其《IT审计》专著中指出,IT审计是指对以计算机为核心的信息系统的审计。李丹(2003)也认为,“信息系统审计也称为IT审计”。
(四)从国内研究现状看两者的发展
借助有关学术论文的统计数据,也许可以发现我国学者对计算机审计与IS审计的研究偏好与倾向。笔者以“计算机审计”、“信息系统审计”和“电算化审计”作为关键词进行检索。采用“篇名+年份+全部数据+全部期刊+精确匹配”为检索条件,对中国期刊网的期刊数据库各年进行检索,以下是检索结果统计表(见表1)。
在表1对29年来统计中,三种研究倾向的论文总数为696篇,其中,有关计算机审计的研究论文占了61.93%,而在近五年这一研究倾向论文也高达219篇,占近五年全部论文总数的58.40%,无论处于哪一时间段,研究计算机审计的论文占三种研究倾向论文总数的比例均超过50%。而研究信息系统审计的论文在2003年及以前的24年中仅有44篇,近五年则有101篇,其平均每年有20篇,尤其是近三年更呈递增趋势。但其各年所发表的论文数均明显低于计算机审计研究倾向的论文数。至于电算化审计研究方向,由于它与计算机审计、信息系统审计两个研究方向有重复之嫌,故近年来呈下降趋势,在未来研究中它可能被计算机审计和信息系统审计两个研究方向所替代。由表1也同时看到,我国在继续对计算机审计进行研究的同时,亟须加快对信息系统审计的理论与实务研究。
二、两者的基本概念、审计目标与审计内容比较
计算机审计与IS审计的本质区别,首先见之于基本概念、审计目标与审计内容等三个方面。因此,了解两者在这三个方面的区别与联系,有利于今后开展相关理论研究与应用研究。
(一)基本概念的比较
1.计算机审计的基本概念。日本会计检察院计算机中心认为,计算机审计有两方面的含义,一是对计算机系统本身的审计,包括系统安装、使用成本,系统和数据、硬件和系统环境的审计;二是计算机辅助审计,包括用计算机手段进行传统审计用计算机建立一个审计数据库,帮助专业部门进行审计。
我国学者对计算机审计的理解与上述基本一致。肖泽忠(1990)认为:“计算机审计是审计人员用手工的或电算化的审计方法、技术和程序对电算化或手工信息系统进行的审计”(以下简称为“二方观”)。陈婉玲(1990)、刘志涛(1990)、詹航恩和张蒙生(1993)、李学柔和秦荣生(2002)也都表达相同的观点。李长旭(1990)则认为,计算机审计是针对会计核算电算化而言的,即凡是对实现会计核算电算化的企业进行的审计都可称为计算机审计(以下简称为“一方观”)。
综观国内外学者对计算机审计的诸多论述,多数学者将计算机审计作为一个广义的概念,认为计算机审计包括两个方面,一是将计算机系统作为审计的对象;二是将计算机作为审计的工具。
与计算机审计的基本概念相近的还有“电算化审计”,它同样具有“二方观”与“一方观”。朱荣恩和徐建新(1986)根据英国《审计研究》(1982年版)的资料编译并发表题为“发展中的电算化审计”中指出,电算化审计是“评价、控制会计电算化信息系统”的审计。王军等(1995)多数学者赞同这一观点。袁树民等(1995)则持“二方观”,其基本概念与计算机审计无异。
2.IS审计的基本概念。IS审计至今尚未形成统一的概念。Ron Weber在《信息系统审计与控制》一书中指出,IS审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。日本通产省情报协会对IS审计定义如下:“为了信息系统的安全、可靠与有效,由独立于审计对象的IS审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向IS审计对象的最高领导,提出问题与建议的一连串的活动”。而我国学者也普遍认为,IS审计是由专业审计人员根据IS审计准则及相关规定,对信息系统的计划、研发、实施,以及运行维护等各环节所进行的审计,以保证被审计信息系统安全、稳定和有效,同时,它还将根据审计结果对被审单位提出改进建议。
应当指出的是,在我国审计署和财政部的诸多准则与通则中,“信息系统”一词尚未达到统一规范的表述。例如,审计署的《审计机关计算机辅助审计办法》(1996),将信息化的信息系统称为“计算机应用系统”,财政部的《独立审计准则20――计算机信息系统环境下的审计》,则为“计算机信息系统”,而《审计准则第1211号了解被审计单位及其环境并评估重大错报风险》中则称之为“财务报告信息系统”、“信息技术系统”、“信息系统”和“自动化信息系统”等不同的用语。在新《财务通则》第八章的信息管理中,则将信息系统定义为:“财务业务一体化信息处理系统,也称为财务管理信息系统或者管理型财务软件”。尽管我国对各类信息系统诸多的不同表述有待统一,但它们都是指信息化的会计信息系统则是毫无疑义的。
(二)审计目标与审计内容的比较
1.计算机审计的审计目标与审计内容。国际审计准则(ISAs)第401号《计算机信息系统环境下的审计》(2004)指出:“在计算机信息系统环境下,并不改变审计的总体目标和范围”,我国的《独立审计具体准则第20号――计算机信息系统环境下的审计》(1999)也指出:“注册会计师在计算机信息系统环境下执行会计报表审计业务,应当考虑其对审计的影响,但不改变审计目的和范围”。鉴于我国对计算机审计的“二方观”认识,其审计目标也包括两个方面:一是具有提高执行经济业务和会计信息处理的计算机系统的合法性、正确性和安全性;二是加快审查速度、扩大抽查范围、提高审计效率和审计质量的双重目标(陈婉玲,2002)。与之相适应,计算机审计内容也就相应包括两个方面:一是包括对信息化会计信息系统的开发设计、数据输入、处理和输出进行审计;二是加快审计信息化的步伐,建立信息化的审计网络体系。随着市场经济的迅速发展,在国务院办公厅《关于利用计算机信息系统开展审计工作有关问题的通知》([2001]88号)中也明显指出,“简单地讲,计算机审计包括:对计算机管理的数据进行检查;对管理数据的计算机进行检查”。可见,计算机审计的审计内容主要是面对数据(会计数据等)的检查,而对管理数据的计算机进行检查,则是借助于信息系统鉴证以获取处理数据是否正确性的判断。
2.IS审计的审计目标与审计内容。IS审计目标比较明确,它是指对信息系统的资产保护,信息系统的可用性、安全性、完整性和有效性发表审计意见。由于IS审计的审计对象是被审单位的信息系统,因此决定其审计内容包括:(1)信息系统的管理、规划与组织;(2)信息技术基础设施与操作实务;(3)资产的保护;(4)灾难恢复与业务持续计划;(5)应用系统开发、获得、实施与维护;(6)业务流程评价与风险管理。上述诸多的审计内容,以及日益纷繁复杂的信息系统,也迫使我们在IS审计之际不能不采用单独的审计准则体系和更多的计算机辅助审计技术。
三、两者适用准则及采用技术比较
由于计算机审计与IS审计的审计目标、审计内容的不同,决定了前者面向数据审计的特点与后者面向系统审计的特点,由此也就使各自的审计准则和审计技术各不相同。
(一)适用准则的比较
如上所述,计算机审计目标与内容决定其相关准则的多维性。这可以从国际审计准则15、16和20等内容加以了解。这些相关规定大多提及EDP环境,虽然也不免涉及系统审计,但却主要是针对财务报表等资料加以规定的。同时,它们也并非专门针对IS审计。我国的审计署、中注协、国务院办公厅从1993年至2007年,陆续诸多与计算机技术应用有关的规定,究其实质,也都侧重于财务会计数据审计而非单独针对IS审计的。
与计算机审计的上述规范相比,IS审计内涵、审计准则、职业组织、执业主体等则十分明确。以审计标准为例,截至2008年2月,国际信息系统审计与控制协会已16个审计标准,包括审计章程、审计独立性、职业道德和标准、职业能力、审计计划、审计工作的执行、审计报告、后续工作、违规和非法行为、信息技术管理、审计计划中风险评估的应用、审计实质性、使用其他审计专家的工作成果、审计证据、信息技术控制、电子商务等。可喜的是,我国内部审计协会并于2009年1月1日施行的《内部审计具体准则第28号――信息系统审计》围绕总则、一般原则、审计计划、信息技术风险评估、信息系统审计的内容、信息系统审计的方法、审计报告与后续工作等方面对内部审计中的信息系统审计加以规定。虽然这一具体准则与国际信息系统审计与控制协会已的审计标准尚有一定的距离,但它毕竟首开我国信息系统审计准则制定之先河。以下是国内外已的计算机审计与IS审计相关准则体系的比较(见表2)。
(二)采用的审计技术与工具比较
从当前相关文献来看,有关计算机审计技术介绍比较宽泛,而有关IS审计技术则有针对性强的特点。笔者认为,从信息与信息系统的“产品”与“生产工厂”的关系看,两者在审计过程中是紧密联系的。只有当产生信息的系统本身具有可靠性时,审计师才能初步确信该系统产生信息的可靠性。而为了鉴证系统的可靠性,IS审计师往往通过检测被审系统输入、处理与输出数据与信息来加以鉴证,其有效性不言而喻。鉴于计算机审计与IS审计两者的审计目标的不同,两者采用审计技术与工具也就有所不同。以下是笔者根据国内、外有关文献对两者采用技术与工具的归纳:
1.两者共同采用的技术与工具。主要有:测试数据法、追踪法、综合测试工具(ITF)、平行模拟法、嵌入审计模块法、流程图检查法、审计软件法、程序编码审查法、程序比较法等。
2.两者各自采用不同的技术与工具。其中,计算机审计技术主要有:受控处理法、受控再处理法、漏洞扫描与入侵检测、利用数据管理系统辅助法、利用操作系统和实用程序法、利用被审系统辅助法和利用电子表格辅助法等。IS审计技术主要有:基本案例评估法、系统控制审计复核文件(SCARF)、快照法、审计钩(hooks)、连续与间歇模拟(CIS)、延展性记录法等。
四、结论
计算机审计与IS审计无论是其产生与发展,还是其基本概念、审计目标、审计内容,抑或是其适用准则与采用的审计技术,都有着很大的区别。但两者在我国审计发展过程中却有其特定的地位与作用。以信息化会计系统的财务数据为审计对象的计算机审计,在当前广泛开展财务报表审计过程中对其展开研究仍然有着重要意义。同时,它所强调的审计信息化建设使其“二方观”能够进一步发扬光大。可以预见,随着环境的变化与信息技术应用的深入,计算机审计的内涵与外延也必将得以深入与拓展。
成功地开展我国的IS审计,是我国审计走向世界的必由之路。上市公司根据COBIT框架实施内部控制已是大势所趋,大、中型企业也必然紧随其后,由此也就决定了IS审计的势在必行。透过IS审计师资格考试的内容使我们看到了IS审计对知识与技术要求的高难度,尤其是近年来对某些企业单位的IS审计之实践更使我们感到任重而道远。因此,起步伊始的我国IS审计,倘一开始就能够借鉴国外先进的经验,追踪国际惯例,并针对国情提出自己的发展对策,无疑可以健康发展。
计算机审计与IS审计两者绝非泾渭分明,而两者究竟应当遵循哪些审计准则,是近期内我国应当重点研究的问题。诚然,从技术的角度看,国际IS审计标准、指南和程序已经日臻完整和成熟,我国似无另起炉灶之必要,但由于我国企业单位种类繁多,许多内外环境与国外迥然不同,如果没有切合国情的部门规章和规范性文件对IS审计加以指导,则可能欲速不达。因此,应当结合我国IS审计的现实状况,根据实践经验、具体业务流程和技术方法分期相应规章与规范性文件,逐步规范我国的IS审计。
【参考文献】
[1] Jack J.Champlain:Auditing Information Systems,2sted,John Wiley & Sons,Inc.2003.
[2] 张德明,译.国际审计准则[M].大连:东北财经大学出版社,1990.
[3] [美]W.ThomasPoter,等著.计算机审计[M].李大庆等,译.北京:中国财政经济出版社,1990.
[4] 潘晓江.电子计算机审计与数据可靠性控制―会计电算化之后现代审计的对策[J].会计研究,1983(5)、(6).
[5] 王光远.管理审计理论[M].北京:中国人民大学出版社,1996.
[6] 胡克瑾.IT审计[M].北京:电子工业出版社,2002.
[7] [美]詹姆斯.A.霍尔(Jame A.Hall),著.信息系统审计与鉴证[M].李丹,等.北京:中信出版社,2003.
[8] 肖泽忠.计算机审计[M].北京:中国商业出版社,1990.
[9] 李长旭.计算机审计入门[M].北京:中国审计出版社,1990.
[10] 朱荣恩,等.发展中的电算化审计[J].外国经济管理,1986(2).
[11] 王军,等.会计电算化理论探讨[M].长沙:湖南科学技术出版社,1995.
[12] 袁树民.电子化审计与会计决策支持系统[M].上海:立信会计出版社,1995.
[13] Ron Webber:Information Systems Control and Audit.Prentice-Hall Inc.,1999.
[14] 孙强.信息系统审计:安全风险管理与控制[M].北京:机械工业出版社,2003.
信息系统审计论文范文第9篇
在信息化时代,我们拥有极大的信息系统审计需求市场,信息系统审计已成为审计发展的新动力和新方向。然而我国信息系统审计的发展现状还不能适应时势的需要,尤其是在推行基于国际性的标准cobit 上的研究和实践缺乏。为此,我们应在全面把握我国信息系统存在问题的前提下,采取有效的对策,以适应大规模的信息化建设的需要。
一、问题的提出信息及相关技术控制目标标准(control ob2jectives for information and related technology , co2bit) 是美国信息系统审计与控制协会( informationsystem audit and control association , isaca) 的信息技术治理学会( information technology governanceinstitute ,itgi) 基于其原有的控制目标体系,结合并改进现有的正在发展中的其他国际技术标准和工业标准而制定的控制目标体系,为it 的治理、安全与控制提供了一个一般适用的公认标准。自1996 年问世以来,目前已经更新至第四版,是国际上最先进、最权威的安全与信息技术管理和控制的标准,已在全世界100 多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效管理与信息相关的风险。最新版本cobit 4. 0 更注重帮助董事会和员工应对不断增加的职责,包括面向公司董事会和各级管理层适用的指引,由四部分组成,即管理人员概述、框架、核心内容(控制目标、管理方针和成熟模式) 和附录(图表、前后参照和术语表) 。核心内容依据34 项it 流程来划分,全面介绍了如何控制、管理和测量每个流程。另外,cobit 4. 0 分析如何将具体的控制目标划入五项it 管理领域,以识别潜在缺口; 令cobit 标准与其他标准( itil 、cmm、coso、pmbok、isf 和iso17799) 协调一致;阐述关键目标指标(key goal indicator ,kgi)和关键绩效指标(key performance indicator ,kpi) 之间的关系,说明kpi 如何推动实现kgi ;结合业务目标、it 目标和it 流程。cobit 标准不仅为人们提供了信息系统控制目标和it 标准,而且提供了信息系统的审计指南。它为信息系统审计师提供了较为系统的评估指标,从而规范信息系统审计师的审计思路,而且它提供的控制矩阵、管理明确诊断表和风险评估表等科学的手段,让信息系统审计师合理评估审计风险,从而大大降低审计风险,提高审计质量。cobit 标准对我国开展信息系统审计有很好的启示和指导作用,我国应大力推行基于cobit 标准的信息系统审计。
二、我国信息系统审计存在的问题
1. 审计人才缺乏信息系统审计是会计、审计、信息系统、网络技术与计算机应用的交叉学科。开展信息系统审计,要求审计人员具有复合型的知识结构,既要掌握财会、审计知识,又要掌握信息系统、计算机与网络技术。但我国现在大部分审计人员并不熟悉计算机是如何进行经济与会计业务处理的,不知道计算机处理与网络技术的运用有什么风险、怎么样的控制才能有效降低这些风险,也不掌握如何对计算机信息系统进行审计或利用计算机和网络技术进行审计。计算机技术人员虽然对计算机和网络技术比较熟悉,但他们又不熟悉会计、审计知识,不知道要审什么、该怎样审。而开发实用性和通用性较强的审计软件所需要的高层次、高水平的人员也很缺乏。
2. 法律法规不完备在信息化条件下,审计方法、对象、技术都发生了很大的变化,传统的审计准则体系、法律法规体系已不能完全适应、指导和规范信息系统审计的实践,而新的关于信息系统审计的程序标准、准则和法律还没有出台或并不完备,有些甚至还是完全空白。例如,电子凭证、电子合同、数字签名等的法律效力和保存要求;数字认证机构的认定及其法律责任;计算机犯罪适用的法律;在信息系统审计中审计机构的权力、责任和被审计单位的义务等。从近年情况看,我国的信息系统审计制度建设工作才刚起步,尽管国务院办公厅、审计署、注册会计师协会等机关和组织颁布或制定了一些准则和规范,但是,这些准则和规范还不完善,没有形成系统性和结构性。不仅缺乏对信息系统开发和系统功能审计方面的规范,还比较概括、笼统,没有相应的实施细则。对信息系统审计尚处于摸索阶段的我国审计人员来说,显然还缺乏具体的指南。
3. 技术水平落后信息技术的高速发展与广泛应用使企业交易事项的大部分内容由系统自动运作完成,人工轨迹遗留较少,传统审计线索荡然无存。这就要求信息系统审计必须参与和融入信息系统的设计过程,在执行测试时必须穿越信息系统,以确保对连续监督程序和输出结果的控制。在我国信息系统的设计与开发中,尚不具备充分的保留和提供审计线索的功能。审计人员完全处于被动地位,难以获取充足的审计证据支持其审计结论,难以保证信息系统环境下的审计质量。
三、发展我国信息系统审计的对策从上述对我国信息系统审计存在的问题的概要分析中,作者认为,响应国际发展趋势,在信息系统控制和审计领域推行cobit 标准无疑具有美好的发展前景。具体实施时可针对以下几个方面进行改进。
1. 注重专业人才的培养cobit 标准具有系统的和完备的框架体系,它的运用首先定位于信息及其相关技术的控制和管理,因此,它在整体上表现出it 业的大量相关技术。这就意味着运用cobit 标准实施信息系统审计的审计人员应具有复合型的知识结构,既要掌握现代审计理论与实务,又要掌握信息系统、计算机与网络技术。目前,审计署干部培训中心开展的注册信息系统审计师培养及与之相关的在审计人员中进行计算机知识的培训工作,正是为了适应这一现实需要。在人员培训上,要求对低层次人员培训与高层次人才的培养、在职人员的培训与未来人才的培养进行统筹规划。对较高层次的人才培养,重点可放在信息系统的开发审计、系统的功能或应用程序审计、网络安全审计和审计软件的开发等方面;对未来审计人才的培养,应在高校会计专业教学计划中增加it 和电子商务等内容,不仅要把信息系统审计列为必修课,而且应对这门课的要求或大纲达成共识。审计机构的管理人员也应意识到,信息系统审计人才的培养不仅仅是对审计人员的培养。我们可以培训审计师成为掌握必要it 技能的人员,但很难要求他们成为计算机、信息系统和网络技术方面的专家。因此,审计机构要改变以往由会计师独唱主角的情况,计算机与网络专家、信息系统与电子商务专家将在审计组织中担任越来越重要的角色。审计机构应注意吸收这方面的人才,并进行审计知识和技能培训,使他们能与会计师良好合作,更好地执行信息系统审计任务。
2. 完善审计准则从国际同业的实践看,cobit 标准已经逐步成为通行准则。我国应遵循国际标准或规范,把cobit 标准作为核心标准, 同时, 借鉴isopiec17799、itil 、prince2、coso、sox 法案等其他国际标准和原则,进而确立适合自己的信息系统审计目标、对象、范围、方法、流程等。进一步完善与信息系统审计有关的法规和准则,要在法律法规上,确定审计机构和审计人员有权审查被审计算机的信息系统的功能与安全措施,有权利用网络和审计软件进行审计,被审单位应对审计人员的信息系统审计给予积极的协助。在建设信息系统审计准则体系时,可以借鉴isaca 的做法,也采用三个层次体系结构,以基本准则为核心,统领具体准则和执业指南,从而使整个准则体系不断扩展、完善。内容划分方式可分为审计的权利、义务与责任,审计人员和审计工作三大类,并按这些类别来制定准则。信息系统审计准则作为一个完整的准则体系,各项具体准则要相互依存、相互配合。在准则的制定、上,应当遵循务实原则、接轨原则、配套原则和科学原则。isaca 的做法是,先规划出基本准则的内容,在此基础上,有计划、有步骤、按照现实需要出台各项具体准则、指南和程序。准则采用分项制定,完成一项,一项,实施一项。这有利于信息系统审计准则的全面顺利的实施,也有利于信息系统审计人员循序渐进地正确掌握这一系列准则,从而促进信息系统审计准则在实务中迅速发挥作用。我们在信息系统审计准则的制定、上,可参照isaca 做法。同时,对国际上已有的成文准则、习惯做法、专业术语,应当尽可能与国际惯例保持一致,尽量做到与国际惯例接轨。
3. 加强审计方面的it 技术对于审计领域来说,cobit 只是一套成文的信息技术控制标准,它只是向信息系统审计人员指明了前进的道路,但究竟如何才能成功通向胜利的彼岸,却有待审计人员自身去开发高效快捷的通向目标的方式,尤其是在信息系统审计这样一个高专业化、高技术性的审计业务领域。首先,应注重软件的开发,如开发数据采集软件,建立一种能够容易访问被审计单位不同介质、不同编码、不同类型的数据库,以便打通采集信息系统所需原始数据的瓶颈;在软件的研制方面,还要考虑审计作业发展趋势,如在现有审计软件基础上开发、研制新的适用信息系统审计的分析工具。其次,联网审计的加强,它是方便快捷地运用cobit 标准的有力举措。这种审计方式成功实现的关键是被审计单位的信息系统提供标准化的审计接口,因此,信息化的管理部门和审计部门应加强宣传,提倡甚至是严令监督企业提供数据接口,以便联网审计的展开。最后,就是专家系统的构建,它能将基于cobit 标准的成功案例进行积累和专业化,更好地为我们的信息系统审计工作服务。放眼未来之路,如何借鉴cobit 标准开展适应国际趋势的而又探索有中国特色的信息系统审计道路,需要新时代的审计人员的不懈努力。我们只有充分认识存在的问题的基础上,才能有针对性地改进。中国审计人员将以倍增的热情,迎接新技术革命的挑战,充满豪情地投入到审计技术创新的洪流中。
[参考文献]
[1 ]李 丹. 信息系统审计———传统审计的一场革命[j ] .中国审计,2002 (1) :57 - 58.
[2 ] 钱 艳. 信息系统审计———网络架构、测试与评价[d] . 重庆大学硕士学位论文,2003.
[3 ]管亚梅. 信息系统审计———一种全新的审计模式的构建思路[j ] . 科技进步与对策,2005 (12) :78 - 80.
[4 ]陈婉玲,杨文杰. isaca 信息系统管理准则及其启示[j ] . 审计研究,2006 (增刊) .
[5 ]董 霞. 会计信息系统审计研究[d] . 天津财经大学硕士学位论文,2006.
[6 ]陈 朝. 我国信息化建设中信息系统审计问题研究[d] . 东北师范大学硕士学位论文,2006.
信息系统审计论文范文第10篇
论文关键词:会计信息系统审计数据有效性内部控制
论文摘要:本文根据财务报表审计对会计信息系统数据的要求,先给出数据有效性的定义分析,然后分析了影响会计信息系统数据安全有效的几个方面,初步探讨了解决数据有效性威胁的一些方法。
一、数据有效性的定义
在目前的财务报表审计工作中,审计人员在了解被审计单位及其环境之后,实施控制测试程序和实质性测试程序,而在实施实质性测试的时候,会先从被审计单位的会计信息系统中采集所有与审计相关的数据,假设审计人员能够采集与被审计单位的会计信息系统中的数据完全一致。但是由于会计信息系统本身所固有的风险性,会使得其产生大量的数据不正确,或者不真实可靠,这将使审计的风险大大增加,产生事务所可能无法接受的风险,这时候就不应该继续审计工作。所以,在审计工作实施之前,应当把分析被审计单位会计信息系统所产生数据的有效性作为应当执行的程序。
数据有效性是指体现审计需求的程度。审计中利用会计信息系统所产生的数据的主要目的是为了取得审计证据,支持其关于审计事项的判断或结论。据此,我将会计信息系统的数据有效性定义为以下几个方面:可验证性、可理解性、可分析性、正确性、完整性和惟一性。
二、数据有效性的影响因素分析
会计信息系统由计算机硬件及其环境,计算机网络,系统管理软件和应用软件组成。影响被审计数据的有效性主要是会计信息系统的风险性。会计信息系统的风险是指由于各种不确定因素的影响,系统输出的会计信息与真实信息发生背离的可能性。会计信息系统既给会计工作带来了高效率,同时也带来了一些手工条件下所没有的风险。种种安全隐患在会计信息系统中突出表现在以下四个方面:
(一)系统环境
系统环境因素主要是指会计信息系统的硬件和软件、系统开发以及自然环境等方面的因素。
1.硬件和软件
在硬件和软件方面由于硬件失灵、逻辑线路错误等而造成信息传递或处理中的失真,或由于网络软件自身的程序、后门程序、通信线路不稳定等因素都为系统的安全带来诸多隐患,使系统面临病毒和黑客的攻击。
2.系统开发
在系统开发方面,主要表现为没有按科学的方法架构网络、开发系统和设计程序,系统未经测试和调试等,而致使财务信息面临被窃取的安全隐患。
3.自然环境
在自然环境方面,火灾、水灾、风灾、地震等都有可能造成系统的安全问题。
(二)管理制度方面
传统会计系统非常强调对业务活动的使用授权批准和职责性、正确性与合法性,在会计信息系统下,原来使用的靠账簿之间互相核对实现的差错纠正控制已经不复存在,光、电、磁介质也不同于纸张介质,它所载信息能不留痕迹地被修改和删除,使企业内部会计控制面临失效的安全隐患。因此,在会计信息系统下管理制度方面的影响要素主要包括会计信息系统的建设组织、管理制度、人员配备、内部审计机制等。
1.建设组织
在组织方面,存在职责不分、没有监督机构等问题。
2.管理制度
在管理制度方面,存在没有健全的管理制度,或者是有章不循、有规不依等问题。
3.人员配备
在人员配备方面,存在企业没有对网络会计系统以足够的重视,没有配备足够的人员,尤其是没有配备足够的系统安全人员的问题。
4.内部审计机制
在内部审计机制方面,存在没有建立有效的内部审计机制,或者建立的内部审计机制没有坚持执行等问题。
(三)数据处理方面
在会计信息系统中,需要财务部门集中输入的记账凭证可由各部门的多台计算机同时输入。这虽然提高了整个账务处理的工作效率,也遵循了会计数据输入的及时性原则。但毕竟会计数据的数量是庞大的,数据处理会出现多种错误。一是输入环节录入错误信息,使用无效代码,击错功能键,丢失数据,重复输入,没有将数据存盘等。二是处理环节使用了错误程序,使用了错误的数据文件以及丢失数据文件和程序等。这些使会计档案面临保存失效的安全隐患。
(四)人员素质方面
其安全隐患主要包括:
第一,人员配备方面没有配备足够的系统安全人员。使用与管理人员培训不够,业务素质偏低,容易产生错误操作,从而对计算机会计信息系统安全构成威胁;
第二,责权不明、管理混乱、安全管理制度不健全及缺乏可操作性等都可能使安全风险增强;
第三,内部人员道德风险,主要指企业内部人员对会计信息的管理不善、非法篡改、破坏和不正当泄密等,造成资料损坏或丢失,为犯罪造成可乘之机。
三、针对数据有效性的威胁审计人员应当采取的措施
国际上知名的会计师事务所都已经意识到会计信息系统所带来的审计风险,并且让信息系统审计师协助审计小组工作。审计小组应该首先了解:会计信息系统的一般控制和应用控制,被审计单位是否配备了合格的系统安全管理人员。然后请专家(即信息系统审计师)根据审计对会计信息数据的需求,实施一定的信息系统审计方法来测试会计信息系统产生数据的有效性,以达到降低审计风险的目的。
(一)应当了解的情况
审计人员应该了解会计信息的一般控制和应用控制。
1.一般控制
一般控制作为会计信息系统的主要控制手段之一,涉及面很广,从人员管理到计算机软硬件及运行环境的管理等,具体包括以下几个方面:
(1)组织控制
指为保证会计信息系统责任和义务而采取的控制。具体包括:建立管理的组织机构,选择、监督、培训人员,职责分工并授权,计算机应用系统建立的组织,以及会计信息内控制度计划、引导、管理。
(2)系统开发与维护控制
具体包括:系统开发计划控制,编程与软件测试控制,系统维护及功能改进的控制以及日常运行管理维护,文档资料的控制。
(3)软件与硬件的控制
具体包括:硬件系统控制,软件系统控制,网络系统控制。
(4)安全控制
主要涉及计算机系统的环境安全、设备保护以及安全保密制度。
(5)操作控制
主要涉及使用计算机系统的一整套管理制度,包括计算机系统操作规程和守则,上机日记,保密制度等。
2.应用控制
应用控制的目的是保证计算机系统数据处理的完整性、一致性、准确性和安全性。一般分为输入控制,处理控制和输出控制。
(1)输入控制
其目的是保证经审批的经济业务数据准确输入计算机系统。输入控制与组织控制是相辅相成的,业务审批应在电算部门之外。
(2)处理控制
其目的是保证会计信息系统按程序设计的要求进行数据处理。一般通过计算机程序加以执行。
(3)输出控制
其目的是保证会计信息系统处理结果能正确的输出,任何未经授权的人不能取得计算机系统内的数据。来源于/
上述介绍的是在会计信息系统环境下系统完整的内部控制体系。对一个企业来说,实际情况是,其内控往往并不能包括全部,如一些单位的应用软件是购买的,对软件的开发过程的内控实际上是无法控制的。因此,审计人员在实际测试工作中,还要针对每个企业实际情况制定具体的测试方案,进行符合性测试和实质性测试,并对其会计信息系统的内控做出评价,然后根据测试结果决定是否依赖或部分依赖会计信息系统下的内控制度制定,并制定相应的审计策略,同时对内控制度存在的重大缺陷提出管理建议。
(二)信息系统审计师实施的主要测试方法
审计通过检查系统状态是否正常或是否符合包括系统和组织策略在内的安全需求来支持对操作的保障。
1.自动工具
对安全特征的人工检查是一项费时的重要工作。自动工具使得对大型计算机系统的各种安全错误的检查成为可能。它可以用来发现各种威胁和漏洞,如不适当的访问控制、脆弱口令、缺乏完整性的系统软件,或没有及时更新和修补的软件。有两种类型的自动工具:一种是主动工具,它是通过破解系统来发现系统缺陷的工具;另一种是被动工具,它是用来检查系统和通过系统状态推断系统所存在问题的工具。
2.内部控制审计
审计可以对己经部署的控制进行检查以确定它们是否有效。审计者通常会对计算机和非计算机的控制进行分析,其技术包括询问、观察、测试(包括控制本身及其数据)。审计还可以发现非法活动、错误、反常行为和法律法规的执行疏漏。
3.安全检查表
计算机安全可以通过检查表的方式对系统进行审计。安全计划对系统中包括管理、操作和技术在内的主要安全要求进行概括。审计者也可以自己开发出合适形式的检查表。
4.系统日志的检查
定期对系统产生的日志进行检查可以发现安全问题,包括超越系统权限的在非正常时间内访问系统的企图。
5.报警和阻断
报警子系统发现和警示非授权的操作或企图,并报知系统管理员。阻断响应则是对非授权的操作进行阻止,对非授权的操作所引起的操作结果进行恢复。
四、小结
综上所述,在会计信息系统条件下开展财务报表审计工作,必须要充分认识并考虑会计信息系统所潜在的风险,并且实施相应的审计程序,以合理保证会计信息系统产生数据的有效性,达到降低拟信赖该系统所带来的审计风险。
参考文献:
[1]李荣梅,陈良民.企业内部控制与审计[M].经济科学出版社,2004,(8).
[2]刘汝焯.计算机审计技术和方法[M].清华大学出版社,2004,(6).
[3]唐勇军,时薛原.网络环境下的会计信息内部控制研究[J].财会通讯,2003,(10).
[4]袁树民.电算化审计[M].上海财经大学出版社,1996,(6).