it审计论文汇总十篇
it审计论文篇(1)
课题组成员:陈崇跃,徐克勋,朱燕涛,张杏英;
执笔:陈崇跃,朱燕涛。
摘要:随着信息科技的发展,人民银行系统对it的依存度日增,信息系统风险也接踵而至,内部审计面临新的挑战,it治理势在必行。为此,本课题组在分析了人行传统的内审已不能适应it时代审计使命要求的基础上,提出了改革人行内部审计并以此深化央行it治理的若干建议。
关键词:中央银行;内部审计;it治理
中图分类号:f830文献标识码:a文章编号:1006-1428(2007)12-0088-02
随着人民银行各项业务与管理活动对it依存度的日益提高,it风险渐露端倪,人民银行内审从体制、手段和方式等均面临与it发展程度相对应的新挑战,央行内审呼唤与it治理相适应的改革。
一、加强人民银行it审计促进央行it治理的必要性。
it治理大意指合理利用it资源与适当管理it相关风险的一种管理模式与机制。it治理最重要的任务就是保证信息技术与各项业务的有效结合,促进组织收益最大化与风险的最有效控制。如同企业(公司)治理包括了内控管理及其内部审计等制度安排,“it治理”也涵盖it审计、信息安全审计、it服务管理等内容。“it审计”既是it治理的组成部分,也是it治理的促进因素。“it审计”不仅对信息系统(is)及其管理制度,还包括对内审自身的it化建设行使“监督、评价与咨询”职责。
人民银行具有类似商业银行等现代企业的组织架构与业务体系,在管理上同样适用和更需引入“企业治理”与“it治理”机制。人民银行在组织架构上设立了分支行机构,在业务上也有“存贷款”、“中间业务”、“黄金外汇储备与买卖”等经营性品种。因此人民银行的“业务”系统及其“应用系统”也更为庞大与复杂,日常运营越来越依赖于信息技术的支撑。在这种背景下,人民银行信息系统运行的有效性与潜藏的风险更加不容忽视,建立健全人民银行系统的it治理及其it内审机制十分迫切。
二、人民银行系统it治理与it审计的现状
在it治理方面,人民银行表现明显滞后:一是尚未编制出一套适应我国国情的央行it治理蓝图或规划;二是尚未建立与人民银行组织结构和业务体系及it应用水平相适应的it治理组织框架和制度体系;三是尚未建设和培育一支既掌握it知识又谙熟央行业务的it治理复合型或“两栖”的人才队伍;四是作为it治理重要组成部分的it审计、it风险控制等监督与保障机制尚不成熟和健全,影响了人民银行it治理的深化。
在it审计方面,人民银行信息系统仍没有突破传统内审的窠臼。具体问题与原因:
一是it审计的理论缺失。it审计是审计理论的新兴领域,当前有关它的研究尚不够深入,阐述与定义尚不统一,也给it审计制度的建设和it审计的实践带来一定程度的混乱。
二是it审计的制度缺失。人民银行内审司虽制定了《计算机信息系统监督检查工作暂行规定》、《计算机信息系统内部审计规程》等制度,但不是真正意义上的“it审计”,仅处于信息系统(is)审计层次,属于一般内控操作制度范畴。
三是it审计的标准缺失。目前却仍未规划与制定出一套能与国际接轨的抑或有中国特色的it审计标准与具体行业准则,使目前的it审计没有明确的方向与标准的轨道。
四是it审计的队伍缺失。首先,在组织体系上it审计人员配置不足与结构不合理。其次,人员综合素质不高,既掌握it知识又熟悉央行业务、懂得金融法律的人力资源十分匮乏。第三,未建立it审计复合型人才培育机制,使现有人员it审计素质不能得到应有的提高。
五是it审计的手段缺失。即it审计本身缺少信息技术硬件与软件的武装与支持。首先是内审部门计算机及其网络工具与设施配备不足,使目前所开展的it审计仍停留于现场的、被动的、事后的传统审计形式。其次是业务审计的it辅助审计应用软件缺乏,内审人员面对全面“数字化”的审计对象,只能望洋兴叹。第三是当前的业务应用系统在设计、开发之初就未考虑接受审计因素,内审人员实施it审计时没有“合法”接口与取证手段。这些均极大地困扰与制约着it审计的开展与发展。
三、改革央行内审深化it治理的政策建议
1、加强it审计及it治理的理论研究,为新形势下的央行内审改革提供理论基础。2004年,人行内审司同itgov(中国it治理研究中心)合作开展了“it治理与is审计模型研究”,对国际通用的it治理框架和信息系统审计标准“信息与相关技术控制目标”(cobit)进行了研究,取得初步成果。但是,近年来类似的内审科研仍然偏少,成果不多。当前,国外在这方面的研究与探索均较深入,硕果累累,可以很好借鉴。
2、改革传统的人行内审体制,架构与it治理相适应的新型内审模式。it审计的目标是通过实施审计,维护、促进或增强人民银行计算机信息系统合规性、安全性、可靠性、有效性。人民银行已构建了强大的信息传输网络,作为内部审计主要对象的央行业务系统实现了数据大集中,人民银行分支机构业务运营与管理的内涵与外延也发生重大变化,不同层次的央行机构is更存在鲜明的差异。这就要求央行对传统的内部审计架构进行新的设计,如构建“重心上移、机构下派”的内审新体系。借鉴西方中央银行组织治理模式并与央行it治理机制相适应,在强调内部审计独立性的同时,注意与is开发、应用部门的协调一致。采用更灵活的内审方式,如引入市场经济国家“内审社会化”或“内审外包”做法,对人民银行的部分it审计项目可委托有资质的社会组织开展;提升手段,改革传统的现场审计与人力审计模式,利用计算机网络系统和审计辅助系统实施以“信息技术对抗信息技术”的“非现场审计”和“机器审计”,等等。
3、树立现代内部审计理念,实现内审由合规性监督向评价与咨询服务转变。审计的目的是确保整个组织活动的有效性、效率性、合规性、安全性,使组织“价值增值”。内审由于it手段的利用及对is的审计,使内审目标的实现更加可能。因此,人民银行的it审计不应停滞在查错纠弊的监督阶段,而应要求审计人员树立服务意识,为被审对象提供咨询服务,当好参谋。
4、加快编制我国央行it治理规划,建立适应人民银行体制的it审计标准体系和框架。“信息系统审计和控制联合会”(isaca)已制定了“面向过程的信息系统审计和评价的标准”(cobit),国际内部审计师协会(iia)将其作为国际通用的it审计标准。作为我国央行的人民银行内审也应积极借鉴标准,制定一套适合我国央行特色的it审计标准与规范,为it审计开展评价、咨询等活动提供尺度与准绳。
5、开展对新系统开发的审计,实现is事后审计向全过程审计转变。即在新系统的立项、开发、测试和验收阶段,内审人员就参与其中,对程序开发到应用的全过程从审计的角度进行审慎监督;对系统的审计由事后转变为全过程监督。同时各业务部门在正式培训、推广使用新系统时,应邀请同级审计部门参加培训学习。对新系统开发审计时,应对新系统的今后可审计操作性提出要求,防止系统出现“拒审”等情况的发生。
6、加强it审计队伍建设,提高央行内审从业人员综合素质。一是吸收计算机专业人员,把他们培养成审计人员;二是对现有审计人员开展it知识培训和继续教育,培养成it审计师;三是建立激励机制,推行it审计师持证上岗制度,鼓励内审人员学习和钻研计算机知识,考取国家计算机资格等级证书,有条件的通过国际it审计师资格认证。
(七)加强计算机辅助审计软件开发与应用,推进it审计信息化建设。
参考文献:
[1]《内部审计思想》 (美)andrew d.bailey, (美)audrey a.gramling, (美)sridnar ramamoorti著;王光远等译,中国时代经济出版社,2006;1
it审计论文篇(2)
随着信息技术的兴起,信息系统已经渗透到社会生活的方方面面,它在给人们带来便利与效益的同时,也带来了很多负面影响,如计算机犯罪案件的频频发生等,系统安全问题日益严峻。于是一个不容回避的问题——我国企业如何有效地开展信息技术审计(information technology audit,以下简称it审计),保证信息系统安全,摆在我们面前。本文拟对此进行探讨。
一、it审计的定义及其特点
it审计是指对信息系统从计划、研发、实施到运行维护各个过程进行审查与评价的活动,以审查企业信息系统是否安全、可靠、有效,保证信息系统得出准确可靠的数据。由以上定义可知,it审计的目标是保证it系统的可用性、安全性、完整性和有效性,最终达到强化企业内部控制的目的。
该审计过程具有以下特点:
1.it审计是一个过程。它通过获取的证据判断信息系统是否能保证资产的安全、数据的完整和组织目标的实现,它贯穿于整个信息系统生命周期的全过程。
2.it审计的对象综合且复杂。it审计从纵向(生命周期)看,覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务;从横向(各阶段截面)看,它包含对软硬件的获取审计、应用程序审计、安全审计等。it审计将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。
3.it审计拓宽了传统审计的目标。传统审计目标仅仅包括“对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见”;但it审计除了上述目标外,还包括信息资产的安全性、数据的完整性及系统的可靠性、有效性和效率性。
4.it审计是一种基于风险基础审计的理论和方法。it审计从基于控制的方法演变为基于风险的方法,其内涵包括企业风险管理的整体框架,如内部环境的控制、目标的设定、风险事项的识别、风险的评估、风险的管理与应对、信息与沟通以及对风险的监控。
二、我国it审计面对的挑战
it审计和传统审计相比具有的上述特点是吸引我国众多企业引入it审计的重要原因,但是这种方法的应用又会给企业提出巨大的挑战。
1.传统审计线索的消失。在手工会计环境下,审计线索主要来自于纸质原始凭证、记账凭证、会计账簿和会计报表,这些书面数据之间的勾稽关系使得数据若被修改可辨识出修改的线索和痕迹,这就是传统审计线索的基本特征。但是现在计算机网络信息系统中这些数据直接记录在磁盘和光盘上,无纸张记录,审计人员用肉眼无法直接看到这些数据如何记录,且非法修改删除原始数据也可以不留篡改的痕迹,从而为舞弊人员作案留有可乘之机。尽管许多审计机构要求已实现会计信息化的企业将所有原始凭证、记账凭证、账簿、报表打印输出,使用绕开计算机系统的审计方法,并以打印出的证、账、表作为基本审计的线索和依据。但是如果原始数据在业务发生时就被有意篡改,则其派生的记账凭证金额和账户余额及报表数据也一定会出错,打印出的数据也不能作为审计证据。因此即使打印出所有电子数据,传统审计线索也会在计算机信息系统下完全消失。
2.计算机信息系统的数据安全面临挑战。手工信息处理的环境下,审计人员无须将数据和会计信息的安全性问题作为审计的重要内容,但是在it审计的工作中,网络电子交易数据的安全是关系到交易双方切身利益的关键问题,也是企业计算机网络应用中的重大障碍和审计的首要问题。例如计算机病毒的破坏、黑客用 ip地址欺骗攻击网络系统来获取重要商业秘密、内部人员的计算机舞弊、数据丢失等,都是传统审计从未涉及的,但又是it审计的重点,这对当前我国的审计工作无论是操作系统,还是制度建立等众多方面都是一个很大的挑战。
3.it审计专业人才匮乏,适应it审计事业发展的人才培养和管理机制还有待建立和健全。由于it审计固有的复杂性,这项工作需要具备会计、审计、组织管理和计算机、网络技术等综合知识的人才,而且工作人员需要对内部控制和审计有深刻的理解,对信息和网络技术有敏锐的捕捉能力,在我国获得注册信息系统审计师资格的人数远远不能满足信息系统审计业务的需求。
三、我国it审计应对策略
面对上述挑战,我们应当多方位、多角度制订措施,使it审计工作更好地为我国企业发展做出贡献。具体措施如下:
1.审计线索的重建。根据计算机网络系统容易在不同地方同时形成相同“原本”数据的特点,可以重建电子审计线索:在电子化的原始数据形成时,同时在审计机构(包括内审机构)和关系紧密(签字确认)的部门形成原始数据的“原本”,或在不同部门各自形成相关的数据库(特别应当包括数量、金额和单价等主要数据项),这样不仅可以相互监督和牵制,还给计算机审计提供可信的审计线索。这种保留审计线索的方法,一方面成为有力的控制手段,另一方面可从审计线索中发现疑点。这种方法主要是应用专用的审计比较软件,同时将几个部门的同一种数据库进行自动比较形成有差异的数据记录文件,详细审查相关的数据文件和访问有关的当事人,从而取得有力的审计证据。上述比较审计方法是在不同部门同时形成业务数据文件的情况下应用,如果企业业务数据分离存放,如销售合同与销售发票、提货单在不同的部门保存,这种实质性测试也可采用比较审计法,应用专用的审计软件,结合相关的几个业务数据文件进行比较,查出有错误疑点的记录。
2.确保信息系统的信息安全。为了保证信息系统的信息安全,it审计工作人员要在审计过程中评价企业的防火墙技术、网络系统的防病毒功能、数据加密措施、身份认证和授权的应用实施情况,通过面谈实地审查企业安全管理制度建立和执行的情况,查看企业是否为了预防计算机病毒,对外来的软件和传输的数据经过病毒检查,业务系统是否严禁使用游戏软件,以及是否配置了自动检测关键数据库的软件,使异常及时被发现;检测企业是否为了防范黑客入侵,网络交易的数据库采用离散结构,同时在不同的指定网点(如在交易的双方)形成完整的业务数据备份供特殊使用(如审计和监控);此外it审计人员还要注意检查企业的信息系统岗位责任实施、安全日志制度,审查有关计算机安全的国家法律和管理条例的执行情况。
3.建立一支完备的it审计专业人才队伍。it审计的发展必须有一大批专业化的it审计人才,这就要求我们要采取短期培训和长期培养、操作层面上的培训与高层次人才的培养、在职人员培训与未来人才培养相结合的方法将这支队伍逐渐发展起来。此外我国可以从现有的审计队伍中选拔人员进行专门的信息系统审计培训,并考虑在注册会计师的资格考试和审计师职称考试中逐步加入计算机、信息系统和网络技术等与信息系统审计有关的内容,以及加强对从事信息化咨询的it技术人员的会计与审计知识的培训。为了培养未来审计人员,应在高校会计、审计专业教学计划中增加信息技术和电子商务等内容,也可以考虑在高校中开设信息系统审计专业,直接培养信息系统审计专业人才。
当前我国it审计正处于起步阶段,和传统审计相比,it审计的显著特点决定了其势在必行,但是一种新的方法的引入和实施必定会给企业和审计人员带来巨大的挑战,面对种种挑战我们应采取积极措施,迎难而上,使it审计工作不断发展完善。
主要参考文献
[1]张茂燕. 论我国的信息系统审计[d]. 厦门:厦门大学,2005.
[2]陈朝.我国信息化建设中信息系统审计问题研究[d].长春:东北师范大学, 2006.
[3]邓少灵. 企业it审计的框架[j].中国审计,2002(1).
[4]李健,朱锦淼,王晓兵. it审计——人民银行内审面临的新挑战[j].金融理论与实践,2003(6).
it审计论文篇(3)
it审计是指对信息系统从计划、研发、实施到运行维护各个过程进行审查与评价的活动,以审查企业信息系统是否安全、可靠、有效,保证信息系统得出准确可靠的数据。it审计的目标是保证it系统的可用性、安全性、完整性和有效性,最终达到增强企业内部控制的目的。it审计具有以下特点:
(一)it审计是一个过程。它通过获取的证据判断信息系统是否能保证资产的安全、数据的完整和组织目标的实现,它贯穿于整个信息系统生命周期的全过程。
(二)it审计的对象综合且复杂。it审计从纵向(生命周期)看,覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务;从横向(各阶段截面)看,它包含对软硬件的获取审计、应用程序审计、安全审计等。it审计将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。
(三)it审计拓宽了传统审计的目标。传统审计目标仅仅包括“对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见”;但it审计除了上述目标外,还包括信息资产的安全性、数据的完整性及系统的可靠性、有效性和效率性。
(四)it审计是一种基于风险基础审计的理论和方法。it审计从基于控制的方法演变为基于风险的方法,其内涵包括企业风险管理的整体框架,如内部环境的控制、目标的设定、风险事项的识别、风险的评估、风险的管理与应对、信息与沟通以及对风险的监控。
二、it审计面临的挑战
it审计和传统审计相比具有的上述特点是吸引我国众多商业银行引入it审计的重要原因,但是这种方法的应用又会给商业银行提出巨大的挑战。
(一)传统审计线索的消失。在手工会计环境下,审计线索主要来自于纸质原始凭证、记账凭证、会计账簿和会计报表,这些书面数据之间的勾稽关系使得数据若被修改可辨识出修改的线索和痕迹,这就是传统审计线索的基本特征。但是,现在计算机网络信息系统中这些数据直接记录在磁盘和光盘上,无纸质记录,审计人员用肉眼无法直接看到这些数据如何记录,且非法修改删除原始数据也可以不留篡改的痕迹,从而为舞弊人员作案留有可乘之机。
(二)计算机信息系统的数据安全面临挑战。手工信息处理的环境下,审计人员无须将数据和会计信息的安全性问题作为审计的重要内容,但是在it审计中,网络电子交易数据的安全是关系到交易双方切身利益的关键问题,也是商业银行计算机网络应用中的重大障碍和审计的首要问题。例如,计算机病毒的破坏、黑客用ip地址欺骗攻击网络系统来获取重要商业秘密、内部人员的计算机舞弊、数据丢失等,都是传统审计从未涉及的,但又是it审计的重点,这对当前我国的审计工作无论是操作系统,还是制度建立等众多方面都是一个很大的挑战。
(三)it审计专业人才匮乏。适应it审计事业发展的人才培养和管理机制还有待建立和健全。由于it审计固有的复杂性,这项工作需要具备会计、审计、组织管理和计算机、网络技术等综合知识的复合型人才,而且工作人员需要对内部控制和审计有深刻的理解,对信息和网络技术有敏锐的捕捉能力,在我国获得注册信息系统审计师资格的人数远远不能满足信息系统审计业务的需求。
三、it审计应对策略
面对上述挑战,我们应当勇于实践,积极探索新形势下如何使it审计工作能够满足商业银行发展的需求。
(一)审计线索的重建。根据计算机网络系统容易在不同地方同时形成相同“原本”数据的特点,可以重建电子审计线索:在电子化的原始数据形成时,同时在审计机构(包括内审机构)和关系紧密(签字确认)的部门形成原始数据的“原本”,或在不同部门各自形成相关的数据库(特别应当包括数量、金额和单价等主要数据项),这样不仅可以相互监督和牵制,还给计算机审计提供可信的审计线索。这种保留审计线索的方法,一方面成为有力的控制手段;另一方面可从审计线索中发现疑点。这种方法主要是应用专用的审计比较软件,同时将几个部门的同一种数据库进行自动比较,形成有差异的数据记录文件,详细审查相关的数据文件和访问有关的当事人,从而取得有力的审计证据。上述比较审计方法是在不同部门同时形成业务数据文件的情况下应用,如果企业业务数据分离存放,如销售合同与销售发票、提货单在不同的部门保存,这种实质性测试也可采用比较审计法,应用专用的审计软件,结合相关的几个业务数据文件进行比较,查出有错误疑点的记录。
it审计论文篇(4)
有些大的会计公司为了强调经营风险的审计方法,修改它们的审计辅助软件,以围绕业务流程组织审计证据,而不是按照传统的交易循环组织证据。关注业务流程的审计软件系统(business-process-focused,bpf)通过价值链组织被审单位的信息;而传统的关注交易循环的审计软件系统(transaction-circle-focused,tcf)是按照交易分类组织被审单位的信息。o''''donnelle和jrjosephjschultz(2003)的研究结果表明使用bpf软件的审计人员能识别出更多的风险情形,并将风险估计在恰当的水平;而使用tcf软件的审计人员对风险的识别和估计都较差。因此他们认为不同的信息组织形式会影响审计人员的决策判断。造成这种结果的原因在于业务流程关注事件之间的关联性,它通过情景引导记忆;而传统的交易循环关注的是交易分类,它通过语义引导记忆。因此,关注业务流程可降低任务的复杂性和认知难度。随后其他的研究人员也发现围绕业务流程开展内部控制的评估任务更为有效。
二、it环境下基于流程的审计风险判断方法
为了协助审计人员运用自上而下的风险导向审计方法,国际审计和鉴证准则委员会于2005年制定了“在整个审计
过程中运用职业判断对重大错报风险进行更准确评估的框架和模型”。具体步骤如下:(1)了解企业及其环境(包括内部控制),识别风险,并在报表层次考虑交易性质、账户余额、披露;(2)将发现的风险与认定层次可能发生的错误与舞弊相联系;(3)考虑风险的重要性;(4)考虑风险的发生概率。这个风险判断思路也同样适用于it环境。因此借鉴自上而下的审计方法,将流程作为it风险判断的中间环节,改进了的it环境下的审计风险判断方法具体实施步骤如下:
1.了解企业及其环境(包括内部控制)。我国2006出台的《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》列举了影响重大错报风险的因素:行业状况、监管环境以及其他外部因素,企业性质,目标和性质以及相关的经营风险,财务业绩的衡量和评级,内部控制。在it环境下,识别和评价企业层面的风险和风险控制的有效性时,需特别考虑:(1)it利益群体的风险及对it利益群体控制的有效性,如it治理;(2)企业层面的it控制,如与it相关的控制环境、风险评估、信息与沟通、监控、教育和培训等方面。
2.确定财务报告流程的核心要素。根据企业层面的风险评估结果识别重大账户、重要披露及与之相关联的认定。
3.识别关键业务流程。审计人员首先要识别与上述重大账户、重要披露、认定相关联的关键流程及流程所包括的主要交易,同时识别流程中易发生错误和舞弊的关键点(控制点)。为了判断业务流程能否实时预防或检测错误和舞弊,审计人员要识别出需要被测试的控制点,由于业务流程大多基于it,因此要确定这些控制点哪些是依赖it的,然后识别并证实关键的it功能。
4.确定与it功能相对应的应用系统的范围。详细列出与这些it功能相关的应用系统和与之关联的子系统,包括交易应用系统和支持性应用系统。交易应用系统在处理组织内的数据时通常提供以下功能:(1)通过借贷关系记录交易的价值数据;(2)作为财务、经营和法规数据存放的仓库;(3)能够生成各种财务和管理报告,包括销售订单、客户发票、供应商发票以及日记账的处理。支持性应用系统并不参与交易的处理,但方便了业务活动的进行,如email程序、传真软件、设计软件等。
然后it审计人员与财务审计人员合作,从列示的子系统中识别出支持授权、复杂计算、维护重要账户(如存货、固定资产、贷款等)的完整性的重要应用系统。应用系统是否重要,需要考虑:交易量(交易量越多,应用系统越关键)、交易金额(金额越大,应用系统越关键)、运算的复杂性(运算越复杂,应用系统越关键)、数据和交易的敏感度(敏感度越大,应用系统越关键)。为应用系统提供it服务,或者支持应用系统关键环节的it一般流程即为需要进行it一般控制测试的范围。
5.识别管理和驱动这些重大应用系统的it流程。识别所有支持这些应用系统的基础设施,包括数据库、服务器、操作系统、网络,以及与之相关联的it流程。判断这些it流程的风险和相关的控制目标。识别出需要被测试的it一般控制,进而判断其是否符合控制目标。控制测试结果将影响与之相关的it应用控制的评价、业务流程的风险评价。对这些流程和系统进行风险和控制评估后,就可以制定风险控制矩阵。
6.评价it控制、分析业务流程风险。结合对it一般控制的评估结果和对业务流程中it应用控制的评估结果,就可以分析关键业务流程的it风险控制情况。此时的it控制测试和人工控制测试要结合起来予以考虑,即将二者作为一个整体的测试对象。业务流程的风险是与业务流程所关联的一系列交易活动、账户群的余额、列报(包括披露)认定层次重大错报风险相联系的,因此,业务流程风险的评价结果构成了认定层次重大错报风险评估的直接基础。
7.评估电子证据证明力、设计实质性测试程序。审计人员可根据上述步骤的风险评估结果判断某一业务流程的电子审计证据的证明力并设计与业务流程有关的账户群的实质性测试程序。
通过上述7个步骤,审计人员可以将it环境下的企业风险因素与报表层次和认定层次的重大错报风险相链接,同时也为电子审计证据证明力(即检查风险的判断)提供了依据。
参考文献:
[1]顾晓安,基于业务循环的审计风险评估专家系统研究[j].会计研究,2006(4):23-29.
it审计论文篇(5)
一、it审计的本质、目标与方法
(一)it审计的概念和本质
随着信息化建设的不断深入,信息系统本身的安全性、合法性、有效性和可靠性成为影响企业风险控制的重要因素,也因此带来了对信息系统进行审计的需求。it审计是指根据公认的标准和指导规范对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程,以确认预定的业务目标得以实现。认为,it审计是一个获取证据,对信息系统是否能保证资产的安全、
数据的完整以及是否有效地使用了组织资源并有效地实现了组织目标做出评价和判断的过程。胡克瑾(2002)指出,it审计是指对以计算机为核心的信息系统的审计。李会太等(2002)认为,it审计实质上是对计算机软件和硬件及整个信息系统的审计,it审计是技术审计的一个典型。
(二)it审计的目标
it审计以企业或政府等组织的信息系统为审计对象,通过现代的审计理论和it管理理论,从信息资产的安全性、数据的完整性以及系统的有效性和效率性等方面出发,对其是否能够有效可靠地达到组织的战略目标进行全面的监测和评估,并为改善和健全组织对信息系统的控制提出详细的建议。基于it的连续审计能使企业信息系统获得免疫,确保企业资产的安全系统的有效性和效率性以及数据的完整性。
(三)it审计的方法
在审计方法上,目前国内主要还是借鉴国际上it治理框架和方法,比如cobit标准(1996年是c〇bit1.0,2012年已更新至cobit5.0版本)、iso系列标准、itil、coso框架等。这些协议有不同的控制重点,cobit的审计范围几乎涵盖了所有与it相关的活动,cos◦则侧重于企业自身内部控制,itil着重于it系统的交付和支持等。目前,it审计的开展可以采取基于独立的外部审计(独立执业的信息系统审计师,如cisa)、企业内部审计(企业内审部门的成员)以及作为财务审计的支撑(注册会计师事务所的it审计机构,财务审计小组的it控制专家)三种形式进行。通常,it审计的成果可以是独立的it审计报告,也可以作为注册会计师审计报告的一部分进行披露。
二、it审计是会计信息化的内在要求
(一)it审计是会计信息化风险控制的需要
会计信息系统(ais)是企业管理信息系统的敏感地带,会计信息系统的风险控制是企业风险控制的重中之重。近年来因信息系统漏洞问题导致的案件屡见不鲜,信息系统的风险,如账务数据被销毁、巨额资金遭挪用而未被发现、银行交易系统存在漏洞,对业务操作中明显违反业务逻辑的操作没有任何控制防范功能等,对社会经济的运行危害巨大。一般地,会计信息化的风险来源于会计信息系统内部和外部的各种漏洞和威胁。会计信息化过程中的漏洞(技术漏洞、业务流程漏洞、管理控制漏洞)和it环境中的威胁(攻击、篡改、窃取),导致会计信息化面临各种安全问题。为了避免问题的产生,控制风险,需要对技术、业务、管理控制等进行统一的全方位的防范。it审计通过获取与ais控制和保证措施相关的证据,评估ais控制的有效性、评价会计信息化绩效及会计信息化战略与业务目标的符合程度。cisa(注册信息系统审计师)针对会计信息系统的it审计与传统的cpa(注册会计师)针对财务报表的财务审计以及针对经济管理的管理审计是并行不悖的,企业会计信息化环境下,it审计既是财务审计、管理审计的基础,又是财务审计和管理审计的补充,它们共同对会计风险负责。it审计对被审计单位会计信息系统的安全性、可靠性、有效性和效率性进行识别和评估,实现对会计信息化风险的控制。
(二)it审计是会计信息化社会和行业监管的需要
cpa审计的工作重点往往集中于财务数据审计,而忽视了对财务数据进行收集、记录、存储、处理、分析与输出的会计信息系统(ais)的审计。然而,会计数据是ais的产出,信息系统对数据的真实性、完整性以及数据分析的可靠性有重要影响。同时,针对ais的入侵和犯罪也越来越多,ais本身的漏洞会带来巨大损失,it风险日益严重。基于此,各国政府和组织认识到ais本身的合法性、可靠性、安全性和有效性是首先要被审计的。it审计成为会计信息化接受外部监管的内在需要。
在国外,1969年美国的计算机犯罪案件导致了后来的世界上第一个电子数据处理审计组织一一edp审计师协会(edpaa)的产生;1994年edpaa更名为信息系统审计与控制协会,isaca是一个非牟利的独立组织,工作内容除了主办国际会议、出版《国际信息系统审计期刊》、制定国际公认的信息系统的审计与监控标准,还推出各项全球公认的专业认证注册信息系统审计师。目前,cisa正在会计信息化监管中扮演着日益重要的角色。
1999年审计署颁布了独立审计准则第20号一一《计算机信息系统环境下的审计》,对cpa基于会计信息化的审计工作做了要求。2001年,国务院办公厅颁布了〈关于利用计算机系统开展审计工作的通知》。《通知》规定,审计机关有权审查被审计单位包括财务会计系统在内的计算机管理信息系统;审计机关发现被审计单位的计算机管理系统不符合法律、法规和政府有关主管部门的规定、标准的,可以责令其更正发现故意使用舞弊功能的计算机管理信息系统的,要依法追究有关单位和人员的责任。与此同时,国家标准《信息技术:会计核算软件数据接口》(gb/t19581—2004)于2005年1月1日起生效,进一步从法律规范和技术手段上为计算机在会计审计中的应用奠定了基础。
(三)it审计是会计信息化体系的重要组成部分
杨周南(2003)在《论会计管理信息化的isca模型》一文中提出,会计信息化的工作内涵或称“会计信息化”的体系结构应由三大部分组成:⑴建立和实施it环境下的会计信息系统(ais);(2)确保ais安全有效运作的系统内控制度;(3)开展对ais及其内控制度的审计,以最终达到对ais安全、可靠、有效和高效地应用。上述体系结构称为isca(informationsystem,controlandauditing)模型图1)。isca模型是融ais、内控制度和it审计于一体的会计信息化体系结构,它成为我国会计信息化理论研究的基本框架。企业ais在建设和运行过程中面临着各种风险,会计信息化通过it审计可以发现信息系统本身及其控制环节的不足之处,并及时改进与完善,使信息系统在企业的经营管理中有效发挥作用。会计信息化中的it审计包括计算机硬件和网络设备审计、服务器审计、操作系统和系统软件审计、程序和应用系统审计、数据和数据库系统审计、会计信息系统开发审计、会计信息系统运行审计、会计信息系统维护与升级审计等。it审计是会计信息化体系中风险控制、确保和审查ais有效实施的重要手段,是会计信息化体系的免疫系统。
(四)it审计是开展会计信息化it治理、实施会计信息化鉴证与评价的需要
信息时代的公司治理以it为支撑,成功的企业已经意识到企业高层需要像重视业务一样重视it,it治理已成为公司治理的一部分。it治理是企业为获得有效的it应用,同时平衡it及其流程中的风险和收益,增加价值,确保实现企业目标而采取的有效机制。it审计是it治理架构的重点要素,it治理通过it审计不断促进调整it控制环境,使组织在风险可识别、可控、可管理的环境下保证组织利益最大化。会计信息化是企业信息化的重要内容,企业开展会计信息化的同时,必须遵循it治理的框架和方法开展it审计。isaca近期的cobit5中的《审计指南》为it审计师对组织的会计信息系统进行分析、评估、实施、审计等提供了建议和指导。
it审计同时又是实施会计信息化鉴证和评价的需要。会计信息化实施过程中,it审计机构和it审计师对被审计单位的会计信息系统及会计信息化建设进行检查和验证,对被审计单位会计信息系统的安全性、可靠性、有效性及效率进行审查和评价,并发表审计意见,出具书面证明,以便为审计授权人或委托人提供确切的信息,并取信于社会公众,从而为会计信息化提供鉴证职能。另一方面,it审计机构和it审计师对被审计单位的会计信息系统及会计信息化应用进行审查,并依据一定的标准对所查明的事实进行分析和判断,形成基于事实的评定或基于改善管理、提高效率的建议,这是it审计为会计信息化提供的评价职能。
三、会计信息化it审计的目标、内容和实施条件
(一)会计信息化it审计的目标
会计信息化中的it审计主要以会计信息系统为审计对象,围绕会计信息系统的it资源、运行环境及系统的生命周期全过程,对被审计单位会计信息系统的安全性、可靠性、有效性及效率性进行审查和评价,并发表审计意见。会计信息化it审计的目标。
(二)会计信息化it审计的内容
会计信息化it审计的内容包括相互联系而又相对独立的三个方面:会计信息系统本身的审计;会计信息化环境审计;会计信息系统数据的审计。会计信息系统的审计是指会计信息系统本身硬件和软件的
基于物理和逻辑的审计,以及基于软件生命周期的会计信息系统各阶段的过程审计。会计信息化环境的审计是指会计信息系统运行的外部环境(如防火墙、防止黑客攻击、备份制度等)及会计信息系统运行的内部环境(内部控制管理制度,如操作岗位授权、相关职务分离等)的审计。会计信息数据的审计是指财务会计数据及报表的审计。会计信息化it审计的内容界定了会计信息化it审计的范围。
(三)会计信息化it审计的实施条件
it审计的实施条件是指为促使审计目标的实现,确保审计过程的顺利开展所需要的企业内外部环境。开展会计信息化it审计的实施条件包括:企业会计信息化水平、高层领导的重视、组织管理、审计人员的素质(it审计师,cpa、cisa)、费用、会计信息系统审计依据与准则、其他。
企业会计信息化水平决定着it审计的规模,会计信息化程度高的企业开展it审计更具有现实性。当前会计信息化it审计更多地应用于规模较大的银行、保险等大型金融类企业以及中央企业,如中国人民银行、中国烟草总公司、中化集团、中国石油化工集团等。企业高层领导的重视或介入使得it审计更具有便利性。会计信息化已构成企业提高核心竞争力、获得生存与可持续发展的重要影响因素,已成为企业的重要资产,与企业的其他资产一样对会计信息系统加以控制和审计变成了企业必然的要求,企业需要在组织管理层面上为接受和实行it审计做好准备。会计信息化环境下的it审计要求审计人员掌握信息技术并熟悉会计与审计知识,可以是信息系统审计人员和注册信息系统审计师(cisa)。cisa既要熟悉信息系统的软件、硬件、开发、运营、维护、管理和安全,又要熟悉经济管理的核心要义,能够利用规范和先进的审计技术,对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。开展会计信息系统it审计工作所发生的成本支出表现为费用,费用是开展it审计的必要前提。会计信息系统审计依据是指it审计师提出审计意见、做出审计决定的依据,会计信息系统审计准则是it审计工作本身的规范,是审计人员的行为指南。会计信息系统审计依据包括会计信息系统的管理制、条例和法规、iso9000、会计信息系统的实际运行情况等,而会计信息系统审计准则可以参照isaca的信息系统审计标准。
四、会计信息化中开展it审计面临的问题
(一)企业缺乏会计信息化it审计的自发需求
当前,企业管理层对于it审计重要性缺乏高度认识,企业会计信息化进行it审计的压力更多地来自外部监管,而不是企业内部的自发性需求。比如,2002年7月,美国颁布了《萨班斯法案》,使得在美国上市的企业都必须遵循这一旨在“提高公司披露的准确性和可靠性的改革法案;在国内,中国上市公司需遵守《企业内部控制基本规范》(2008年)、银行业要遵循《商业银行信息科技风险管理指引》(2009年)、保险业需遵循《保险公司信息化工作管理指引(试行)》(2009年)。这些外部的监管机构与法律无一例外地对会计信息化安全和会计信息系统审计提出了要求。而在企业内部,基于观念不足和成本控制的原因,会计信息化过
it审计论文篇(6)
本期专题,就it内审的目的与现状、中国企业it内审的特点和难点、以及如何形成中国it内审规范,展开了深入的探讨和调查分析。
“中国萨班斯”进行时
证监会纪委书记、企业内部控制标准委员会副主席李小雪在企业内部控制标准委员会第三次全体会议上表示,建设企业内部控制标准体系是资本市场的一件大事――健全有效的内部控制可以提高上市公司财务报告的有效性;可以保障公司资产安全,减少舞弊事件发生,堵塞漏洞,有效提高风险防范能力,降低公司风险;可以提高公司经营效益及效率,提升上市公司质量。
我国对企业内部控制评价的关注始于上个世纪80年代末,但当时的评价大都流于形式。“银广夏”等上市公司财务舞弊事件、“中航油事件”等等因内部控制失效造成财产重大损失的案件,在一定程度上要归咎于企业内控机制的不健全。
此后,我国政府开始重视内控评价的规范化建设。审计署、财政部、证监会、银监会等组织均出台了关于内部控制评价方面的规范,而2006年则是关于上市公司企业内控规范讨论最为热闹的一年。
2006年6月5日,上海证券交易所出台了《上海证券交易所上市公司内部控制指引》,对上市公司内控制度和风险管理制度出台了重要规定,引起了业界的强烈反响。
在信息技术无处不在的今天,it既是企业内控的一个有效手段,同时it本身又充满了风险,成为内控的重要目标之一。因此, it内审引起了广泛关注。科索路咨询公司还专门对此了《it内审调研报告》。
2006年7月15日,财政部联合国资委、证监会、审计署、银监会、保监会发起成立了“企业内部控制标准委员会”,旨在“基本建立一套以防范风险和控制舞弊为中心、以控制标准和评价标准为主体,结构合理、内容完整、方法科学的内部控制标准体系,推动企业完善治理结构和内部约束机制”。委员会的成立被视为中国版“萨班斯法案”即将出台的前兆,中国内部审计协会会长王道成当时曾向媒体表示,3年之内中国就会有自己的“萨班斯法案”。
2006年9月28日,深圳证券交易所《上市公司内部控制指引》,规定深市主板上市公司要建立完备的内部控制制度。在2007年7月1日文件正式生效后,上市公司均需按要求披露内控制度制订和实施情况。
很多人都相信,具有强制效力的中国上市公司内控法规就要形成,甚至有很多企业或个人认为随着企业内控法规的形成,与it内审相关的咨询或者软件将是一个很好的市场机会,并雄心壮志地投身到这一领域。
但是到了2007年,在股市热潮背后,关于企业内控和it内审规范工作似乎处于停滞状态。有些曾经看好it内审市场机会的公司开始后悔自己当初的决定。这不禁让人怀疑,难道牛市的今天企业内控就不那么重要了?it内审的热潮从此告一段落?
审迫在眉睫
事实远非如此。
2007年3月,企业内部控制标准委员会公布了《企业内部控制规范――基本规范》和17项具体规范(征求意见稿),并开始向有关单位和专家征求意见。
2007年5月25日,由企业内部控制标准委员会主席、财政部副部长王军亲自参加的企业内部控制标准委员会第三次全体会议在北京友谊宾馆低调举行,会议对企业内部控制规范征求意见稿和若干项具体规范讨论稿进行了深入讨论。
财政部还表示,将根据本次会议讨论的情况尽快修订企业内部控制规范征求意见稿和讨论稿,抓紧建立中国企业内部控制标准体系。所有这一切都证明,尽管没有声势浩大的活动进入人们的视野,但“中国的萨班斯法案”依旧在紧锣密鼓地酝酿中。
业内人士分析,尽管今天企业内部控制规范征求意见稿依旧在讨论中,但是一旦被确定,肯定会和萨班斯法案一样对上市企业具有强制性的约束。毫无疑问,尽管还有上市公司对it内审没有足够重视,但it内审是否规范必将成为上市公司存在的必要条件之一。
现代企业的经营越来越依赖于信息系统,除了传统意义上的经营风险、控制风险和财务风险,企业信息系统的安全性导致的信息风险日益增长。同时对大部分企业来说,信息技术已经融入到企业各项业务中。it内审作为企业内部控制的一个重要手段和对象,已经得到政府相关机构、企业和咨询机构普遍认可。
目前的《企业内部控制具体规范(征求意见稿)》中,专门提出了计算机信息系统的征求意见稿,就总则,岗位分工与授权审批,信息系统开发、变更与维护控制,信息系统访问安全,硬件管理和会计电算化及其控制等六个方面提出了43条详细征求意见。
企业表现各不相同
“招聘资深内审员,要求具有5年以上跨国公司会计与财务方面工作经验,并有it系统审计方面的工作经验”。最近,“it内审员”的新鲜职位已经开始出现在各大招聘网站。
很多被访企业表示,他们已经或者正在考虑采用新的技术手段来辅助企业内部控制工作,比如说中信集团公司早已经在2005年就开始采用加拿大审计软件acl、易通审计软件开展审计。
承接企业内控咨询业务的会计师事务所或咨询公司表示,他们所接触的it内审业务在明显增加。
……
种种迹象表明,it内审规范的推动并没有停滞不前,之所以让人感觉“停滞”,主要是因为以下几方面的原因:
首先,很多企业对于内部控制仍然采取比较被动的态度。对于那些早在国内上市的企业,由于上交所和深交所出台的《指引》对他们没有强制性的约束,没有对内控的紧迫感。而那些在海外上市或者新上市的企业,大都是为了满足上市条件或者相关法规而被迫进行内部控制和it内审。在香港上市的某公司的cio告诉记者,对他们来说,it内审就是每隔一段时间按照会计师事务所提供的一张单子中对it的要求落实就可以了。
其次,目前大部分企业的it内审工作主要是交给第三方机构来办理的。很多在海外上市或者被外资公司控股,特别是在美国上市的企业,早已经通过第三方机构在it审计方面走在了前面。第三方机构对这块业务驾轻就熟,更多的企业选择it内审对他们来说只是业务量的增加,因而没有引起大范围的讨论。
第三,很多企业虽然已经意识到it内审的重要性,但是苦于it基础太差、缺乏相关经验而暂时搁置。亚新科工业技术有限公司是一家总部设在北京的外资企业。为了让企业健康稳定地发展,公司从1999年就已经建立了完整的内部制度,并且还专门成立了内控部。但是,公司内控部总监麻蔚冰告诉记者,目前他们还没有实现it内审。他认同随着信息技术在企业广泛应用,it内审是企业内部控制的必然趋势。亚新科从去年就开始关注这一趋势,但由于公司内部的it建设还不够完善,再加上it内审所牵涉的东西非常复杂,暂时也没有好的经验可以借鉴,所以目前尚处在探索中。
规范形成尚待时日
那么,适合中国的it内审到底该怎么做?如何形成适合中国国情的it内审?
很多企业都希望 《企业内部控制具体规范(征求意见稿)》能够给他们未来的it内审提供有用的参考。
王军在企业内部控制标准委员会第三次全体作会议上也强调,内部控制标准体系建设要着力处理好借鉴国际和顺应国情的关系。目前,在尚未形成自己的规范并且没有更好的办法之前,业界已经认识到“西学中用”是最好的选择。
德勤咨询公司企业风险管理服务高级经理周梓滔告诉记者,目前的征求意见稿中不仅参照了萨班斯法案,还参照了很多地方的相关法规。
但是业内人士分析,毕竟中国企业有很强的特色,必须在参照这些经验的同时充分考虑中国企业自身的特色。
记者就it内审规范这个问题拨通财务部会计司企业内部控制标准委员会某一负责人的电话时,得到回答是,征求意见稿中“计算机信息系统”部分还只是“征求意见稿”,希望有经验的咨询公司和专业人员能够积极参与,提供有用的建议。
在访谈了一些内控咨询专家、企业内控工作者后,记者认为以下几个方面是在建立it内审规范过程中最不能忽视的:首先,企业对it内审的重视不够;其次,企业的it建设不够完善,建立像美国上市公司那样的it内审难度较大;第三,企业it内审部门的归属问题不明确:目前国内企业审计部门独立的就比较少,而it内审既涉及审计又涉及it,归属问题就更加不好确定;第四,it内审的投入成本大,美国的大型公司仅在第一年建立内部控制系统的平均成本就高达430万美元,这对规模偏小的中国上市企业来说是不现实的……
由此可见,我国要建立完善的it内审规范还需时日,但对于企业来讲,未雨绸缪却必不可少。否则具有法律约束力的规范一旦执行,临时抱佛脚几乎是不可行的――因为企业的it建设本身就不是一蹴而就的事情。
it审计论文篇(7)
信息技术的重要性和复杂性使之影响到公司的决策及执行,it管理也表现出越来越严重的问题,主要表现在:it投资变得无法控制;风险控制与服务质量不能令其他部门满意;由于it的专业性,it战略规划常常同公司总体战略难以协调,可能导致影响公司总体战略的贯彻执行。it治理就是为解决这些矛盾而引入的概念,现在it治理已经在很多企业内实施,it治理是公司治理的一个关键部分,它能使企业合理利用it资源,促使it投资收益最大化,使得it在复杂的管理环境下有效进行相关风险管理,从而保障it服务质量,推动企业整体目标的实现。it内部审计是it治理的重要组成部分,对it治理起到促进作用。保险公司内部控制是指保险公司各层级的机构和人员依据各自的职责,采取适当措施,合理防范和有效控制经营管理中的各种风险,防止公司经营偏离发展战略的机制和过程。通过对内部控制的测评,确定系统信息的可依赖程度,评估控制风险的水平,减少审计工作量,节约审计成本,从而保障审计质量。内部审计是现代企业法人治理结构的内在需求,尤其是对于以经营风险为主的保险公司来讲,有效的内部审计对企业防范风险起到至关重要的作用。为有效节约审计成本,提高审计效率,外部审计也会使用内部审计工作成果。当然,两者在职能、地位、作用等方面都存在很大不同。内部审计部门是公司重要部门,内部审计是公司内部的一种独立、客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进公司总体目标的实现。内部审计人员需要熟悉公司保险经营和投资经营的运作流程,从整体上把握企业的经营管理。
二、现阶段保险行业it内部审计特点
1.顺应政府监管的要求保险行业上市公司除中国人寿在美国上市需要执行sox法案之外,其他保险公司需要执行保监会《保险公司内部控制基本准则》第三十条中有关于信息技术控制的专门条款,《保险公司内部控制指导原则》第八章支持保障系统中的48~53条中关于计算机信息系统控制的要求。
2.技术标准的选择一般监管部门会就it内部控制提出基本准则和指导原则,选择具体的审计标准来达到政府的监管要求是保险公司it内部审计需要解决的问题,现在有关it内部控制和it审计的国际标准很多,这些标准各具特点。一般保险公司的做法都是按照cobit标准,根据自身特点,结合信息系统生命周期各个阶段的不同特点有选择性地实施cobit控制模型,cobit将it过程、it资源及信息与企业的策略、目标联系起来,形成一个三维的体系结构。其中,it准则反映了企业的战略目标,从质量、成本、时间、资源利用率、系统效率、保密性、可用性等方面来保障信息的安全性和有效性;it资源包括专业人才、应用系统、技术、设施及数据在内的信息相关的资源;it过程从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面,确定了34个信息技术处理过程。
3.it审计技术与方法该方法主要包括测试数据法、平行模拟法、嵌入审计模块法、虚拟实体法、受控处理法、受控再处理法和程序代码检查法。
4.有效控制it内部审计把对审计风险的检查控制作为it内部审计的重要质量控制目标。审计风险分为重大错误风险和检查风险,由于it系统复杂性,检查风险是客观存在的,为避免检查风险的出现需要对it内部审计进行有效控制。
5.采用非现场审计的方式依靠强大的信息技术的平台,it内部审计主要采用非现场审计的方式进行。通过远程方式对审计对象相关数据和资料的不断搜集、整理和分析,把审计由事后审计变为事前统一规范、事中监督预警、事后定期分析回顾的过程。
三、保险业it内部审计需要关注的问题
1.业务与it联合审计it内部审计与其他内部审计相比在技术上有其独特之处,如今it和业务的融合越来越紧密,it在支撑业务同时,也利用新的技术手段引领业务发展。因而it和业务也需要进行联合审计,交付给公司管理层一个统一、全面的审计结论,使得审计结果更好地服务于公司稳定发展的总体目标。
2.从公司治理结构上解决审计独立性问题如何加强内部审计的独立性一直是内部审计探讨的重点,现在很多保险公司it内部审计独立性从组织结构上来说还没有得到彻底解决,成立有公司决策层参加的审计委员会、有独立于it研发和运维it内部审计机构以保障it内控审计和实质性审计的客观公正,是it内部审计独立性的必然要求。
3.提高it内部审计人员比例和素质it审计是it技术和审计技术相结合的边缘学科,it审计人才是复合型人才,需要原来的it技术人员和内部审计人员彼此钻研对方的学科,同时掌握财务、运营、商务等管理知识,在通过cisa认证的同时还需要有cfa、cia、cisp等认证。人员素质的提高也是通过需求拉动的,只要公司有相应的需求和激励措施,人员素质的提高是指日可待的。
4.新技术和it审计新理念、新技术的吸收运用新技术、it审计新理念、新技术层出不穷,新理念、新技术对提高生产力、拉动经济增长、改变生活方式等具有良好的促进作用。只有加强对新理念、新技术的了解,迅速做出应对,才能适应时代的发展变化。
5.处理好it内部审计的关系一是it内部审计与it研发、运维、管理关系;二是调整好内部审计与社会审计、国家审计的关系;三是摆正it内部审计在公司内部审计中的位置。
it审计论文篇(8)
一、cobit标准综述
cobit(control objectives for information and related technology)是美国信息系统审计和控制协会isaca(information systems audit and control association)基于其原有的控制目标体系(control objectives),结合并改进现有的正在发展中的其他国际技术标准和工业标准而制定的控制目标体系,是国际上最先进、最权威的安全与信息技术管理和控制的标准。cobit控制目标体系是一个较完整的信息系统管理和控制的参考模型,它将政府和企业的信息化归纳为34个it处理过程,并逐个提出指导意见。通过将cobit应用到信息系统的开发和实施环境,可以为管理人员、开发人员和审计人员来强化和评估信息技术外包风险的管理和控制提供依据。
二、it外包的风险分析
企业it外包处于it战略中的资源管理层面,是帮助企业将注意力更多地投入到商业管理而非信息技术管理,进而更专注地追求核心竞争力的一条途径。尽管it外包愈来愈普及,但外包失败的案例并未因此而减少。it外包风险的表现就是外包失控。由于把部分或全部it资源外包给企业外部的服务商,企业对服务商的管理就要比管理自己的it部门复杂得多,时刻会面临失控,主要表现在以下三个方面:
风险一:it外包可能会在服务的及时提供和服务的质量方面达不到预期效果。
风险二:企业对承包商的依赖度高反而降低了企业的灵活性,企业成本不降反升。
风险三:企业的商业机密可能会被泄露,知识产权可能会被盗用。
三、基于cobit的it外包风险管控体系
cobit的控制目标主要是针对信息系统的管理控制和运行控制,cobit提出的控制目标可以应用到所有的信息系统。因此,它的控制目标对it外包系统来说大部分是适用的,但因其业务特殊性,必须结合发包企业的具体环境和承包商的实际情况,加以修改、补充和完善。
1.组织与规划
系统规划是it外包项目建设的第一步,包括发包企业的战略目标、政策和约束、计划和指标分析;发包企业原有的建设目标、建设模式;企业信息的功能结构、组织、人员管理;it外包的效益分析和实施计划。规划的好坏对it外包项目的建设的成败有至关重要的影响。
整个信息系统的建设要以优化企业的核心业务流程,提高工作效率,更好地发挥企业综合协调与服务的职能为总体目标。规划必须满足:规划本身应当明确无误而且易于理解,应当是一个可以为大多数人所理解和认同的概念。规划必须得到领导小组的认可;规划目标应当是可衡量的;规划必须建立在对内外信息调查的基础上制定。
2.获取与实施
系统分析是在充分的调查的基础上对企业内部的整体管理状况和信息处理过程进行分析。系统分析的工作量非常大,所涉及的业务、人、数据和信息非常多。而且在实际情况中,企业信息化的需求难以一次确定,并且会不断发生变化;另一方面,承包商对政府的具体业务业并不熟悉,常常会发生理解上的偏差,从而导致建模的错误。因此,完成的系统分析必须满足以下一致性、完整性、现实性和有效性这四方面的要求。然后在系统分析的基础上,研究承包商外包方案的可行性,制定相关技术标准、实施规范。
3.服务与支持
发包企业的需求是不断变化的,商业目标也是随着企业的发展而逐步更新的,承包商要做好完善的数据跟踪,在可行范围内满足发包企业的需求,不断改进和修正开发计划中遇到的问题和缺憾。
4.审计
it外包项目在发包企业实施以后,系统的可靠性、安全性和有效性是非常重要的,系统中的信息成为政府最宝贵的资源。内部审计是在政府内部建立信息系统审计组织,由内部信息系统审计人员对电子政务系统的可靠性、安全性、有效性进行检查与评价,将结果报告给政府管理层。内部信息系统审计部门,从组织地位上来讲必须独立于政府的it职能部门和最终用户部门。
构建基于cobit的信息系统管理、控制与审计模型,将便于人们对信息系统建设与应用过程的理解与分析,指导人们建立相应的机制,将信息系统建设与应用的全部过程置于有效的管理与控制之下。对信息系统的投资者和管理者,将帮助他们在通常不可预测的it环境下平衡风险与投资。对信息系统的使用者,将通过管理、控制和审计为他们提供安全保障和一定的服务水平。对审计师而言,将帮助他们明确审计轨迹,使他们做出的鉴定和劝告更具说服力。
四、总结
it审计论文篇(9)
21世纪,以计算机网络为代表的信息技术进一步迅猛发展,并不断更深入地渗透到生产、生活的各个层面。随着技术要素的渗透,计算机会计信息系统日益普及,计算机审计工作近年来蓬勃发展起来。目前的计算机审计虽然仍是桌面审计,但已逐步摆脱绕过计算机审计阶段,进入到穿过计算机审计、利用计算机审计阶段,并将随着网络经济的迅猛发展,向网络审计阶段进军。目前许多跨国公司已经开始普遍使用大型管理信息系统,但随之产生的问题是,信息系统对生产经营和管理的影响越重大,管理人员面对的经营风险和财务风险也越大。信息风险对企业生存和发展的挑战,使企业对信息系统的依赖程度越大,信息系统安全和运营隐患可能带来的伤害也就越严重。因此,信息系统必须随时置于专家的监控之下。
信息系统审计师,也称it审计师或is审计师,是指一批专家级人士,既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全,又熟悉经济管理的核心要义,能够利用规范和先进的审计技术,对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。it审计师是由“国际信息系统审计与控制协会(isaca)”认证的。isaca是国际上惟一的信息系统审计师专业组织。会员被称为信息系统审计师,也就是我们通常所说的it审计师,其主要从事的工作包括:向客户提供与信息系统相关的服务,在财务审计中对被审计单位的信息系统的了解、测试和评价以及计算机辅助审计技术的运用等方面。一般的it审计师都具备全面的计算机软硬件知识,对网络和系统安全有独特的敏感性,并且对财会和单位内部控制有深刻的理解。因此,目前it审计师已经成为全球范围最抢手的高级人才之一。
二、it审计师的出现迎合了计算机审计的发展
计算机审计的发展一般要经过绕过计算机审计,穿过、利用计算机审计和网络审计三个阶段。其中前两个阶段属于计算机桌面审计系统。绕过计算机审计是指将计算机处理系统看作是一个“黑箱”。根据被审对象对计算机数据处理系统输入的原始数据,通过手工操作,将处理结果与计算机处理系统的输出进行对比,检查其是否一致,属于计算机审计的初级阶段。穿过计算机审计是对计算机数据处理系统进行审计,包括系统目的与功能需求是否达到,系统分析与系统设计是否先进、科学和实用,程序设计是否正确可靠,内部控制是否健全、可靠,管理制度是否严密、有效,文件资料是否齐全、完整等。利用计算机审计是为实施审计专门开发电子计算机程序,检验被审单位电子计算机程序的可靠性。网络审计是指综合运用计算机网络及其相关技术手段对网络经济及网络系统进行审查的新型审计,是计算机桌面审计系统发展的高级阶段。
随着目前电子商务等网络经济的发展和完善,网络审计势在必行。从审计的客体角度方面,网络审计的模式是建立在网络基础上,对被审单位一定时期内全部或部分经济活动,特别是正在发展中的电子商务、电子金融、网络财务和网络会计等进行审计的计算机系统。它包括两个方面:其一是对被审系统开发过程进行审计;其二是对被审系统运行过程及其结果进行审计。目前计算机审计的发展大多还处在只是对被审系统运行结果进行审计,或进一步对被审系统运行过程进行审计,这样的审计是建立在假定被审系统安全、可靠基础上的。而实际上这种假定是否合理,是应当予以验证的,这种验证也就是要对被审系统的安全性、稳定性和有效性进行审计、检查、评价和提出改造建议。而这也正是it审计师的主要工作,并且这部分工作也是一直上溯到被审系统开发过程的。因此,it审计师的出现正好迎合了网络审计模式的需要。it审计师虽然主要源于信息系统安全问题而产生,其主要工作也含有较高的计算机技术因素,但就发展来看,it审计师的出现迎合了计算机审机的发展趋势,昭示着计算机审计不久将随着电子商务和网络财务等的全面展开而逐步发展到网络审计阶段,未来的it审计师们也将成为网络审计的“主力军”。从这个角度上讲,it审计师也是计算机审计发展的必然产物。
三、it审计师在网络审计的重要作用
计算机审计发展到网络审计后,计算机审计的主要内容将包括网络安全技术与内部控制系统的审计、系统开发审计、应用程序审计和数据文件审计等四个部分。通过分析可以发现,这四个部分的内容,不同程度地与it审计师相关联,it审计师在其中将起重要的作用。
(一)网络安全技术与内部控制系统的审计
从internet诞生起,信息和网络的安全性就成为关注的一个焦点。在internet发展的每一个阶段,安全问题也都是基础性的、关键性的因素。对于网络审计,其首先遇到的也是网络的安全性测试问题。与安全性相应的还有网络系统内部控制的测试问题,网络系统内部控制包括一般控制和应用控制两个方面。一般控制包括组织控制、软件开发、硬件和系统软件控制、系统安全控制、维护控制和文档控制等方面的审查与测试。应用控制包括输入控制、处理控制和输出控制。it审计师的主要工作就是利用标准、规范和先进的审计技术,对信息系统的安全性、稳定性和有效性进行测试、检查、评价和改造。it审计师首先关注信息系统的安全性,没有安全就没有一切,it审计师会采用各种方法来测试系统的安全性,并对来自内部和外部的安全隐患提出相应对策;it审计师还要审查信息系统的稳定性,没有长期稳定性,信息系统就无法承担起激烈竞争的压力,it审计师会提出一系列对策保证客户信息系统的万无一失;it审计师还要鉴别信息系统的有效性,最安全和最稳定的系统不一定是最有效的系统,而效率不高的系统就会消耗企业大量的资源,一般情况下,一说到信息系统建设,大家都觉得是工程师或程序员的事,事实上,这是非常错误的观点。一个好的系统,在安全和稳定的前提下,必须最大程度地符合企业经营流程的特点,经济、有效地解决问题和提供信息。要做到这一点,信息系统开发和维护过程中,就必须有大量的经营管理人员参与,设计出最优的信息流转路径。如果不重视信息系统的有效性,其危害同样是巨大的。一方面由于其繁琐和复杂,导致内部业务人员不会用、不想用或使用不当;另一方面使用过程中的差错又会导致稳定性和安全性方面的问题。显然,要对信息系统的安全、稳定和有效进行监控,就不单纯是某类技术人员能够完成的任务,经过专业训练,经验丰富的信息系统审计师将在这一领域发挥重要的作用。信息系统审计师的突出特点就是兼通技术和管理,能够利用规范的审计手段,比较客观和冷静地分析、评价企业现有信息系统的运行,并从专业的角度提出建议。
通过以上分析可以看到,it审计师的工作中实际上已经包含了网络安全技术与内部控制审计的内容。进一步从it审计师的服务对象分析,it审计师主要是为以下几类对象服务的:
软件供应商。特别是经济管理类的集成软件供应商,需要信息系统审计师参与产品设计、规划和检测,并对客户现有信息系统进行评价,提出改造设想。全球所有重要的erp和crm产品供应商都聘请大量信息系统审计师,管理咨询机构。20世纪90年代以后,管理咨询的重点已经逐步发展为提供一揽子j9九游会的解决方案,其中信息系统的配置,就是j9九游会的解决方案成功的基础。国际知名的管理咨询机构中,有50%以上的员工熟悉信息技术,其中20%拥有信息系统审计师资格。
会计师审计师事务所是信息系统审计师最早的落脚点,“五大”国际会计公司超过30%的收入来自于风险管理部门。这个部门的最主要工作就是监控客户的信息系统风险和运营风险,同时为客户提供erp或crm的安装、维护和培训。会计师审计师事务所中传统财务报表审计也越来越离不开信息系统审计师的贡献。没有他们的工作,评估内部控制风险和企业固有风险将成为一句空话。人们常常看到,“五大”会计公司里,最年轻的合伙人或经理,往往都是信息系统审计师,因为这是一项年轻人的工作。
跨国公司。作为信息系统最集中的用户,跨国公司急需大量信息系统审计师,一方面参与信息化建设的过程;另一方面时刻保持对分支机构的信息监控。还有一种最新迹象表明,跨国公司内部审计部门也在大量招聘信息系统审计师,以加强内部的监督和牵制。
大型国有企业和上市公司。这些机构往往有雄厚的财力来实现管理的信息化、保证生产经营的稳定性,他们对信息系统审计师的要求和跨国公司类似。
(二)系统开发审计
系统开发过程一般分为:系统初步调查和可行性研究、系统详细调查和系统分析、系统总体设计、系统详细设计、程序编制、程序调试、系统调试、系统转换、平行操作试验、系统评审、系统维护和评价等过程。系统开发审计是事前审计,实际上是审计人员参与系统的全过程。主要监督审查下列问题:1.系统的功能是否恰当、完备,能否满足用户商务活动的需要;2.系统的数据流程、处理方法是否符合有关商贸法规;3.系统是否建立了恰当的程序控制,以防止或发现无意的差错或有意的舞弊;4.系统是否保留充分的审计线索,保证了电子商务系统的可审性;5.系统的安全保密措施和管理制度是否健全,能否保证系统安全、可靠地运行;6.系统的文档资料是否全面、完整。这部分内容和it审计师的工作内容实际也是相适应的。因为it审计师正是参与一个系统分析、设计和调试运行全过程的“保健医生”,并且it审计师最关注系统的安全、稳定、有效。
(三)应用程序审计和数据文件审计
it审计论文篇(10)
中图分类号:tp14
当公司由快速发展期进入到整合见效期,经营模式单一、产品服务缺乏多样性、内控机制不完善、创新能力不足等问题将逐渐暴露出来。因此,如何提高核心竞争力,在新一轮的竞争中获得优势,已经成为当前各公司不得不面临的重要问题。
国内许多行业客户已经在考虑综合利用市场、营销、人才及新技术等策略,在竞争中做大做强。其中“新技术”占有越来越重要的地位,主要是指利用it技术提高公司竞争力。当前各公司正关注如何持续巩固和提升it能力,合理利用it资源,控制相关风险,保障业务系统的运行安全,确保it对业务发展与创新的持续支持,实现it投资效益的最大化。
因此,实施it治理,促进it与业务融合,使it成为公司的战略资产,提升公司的核心竞争力,已成为公司发展的首要问题。
1 it治理背景介绍
二十世纪以来,it技术的迅猛发展,已经重构人类社会的图景,导致国家和企业竞争的变革。有效的it治理是竞争优势的源泉,是管理创新的决定因素之一,也是保证组织创新发展和基业常青的关键所在。it治理正在成为各国政府、行业组织、学术界和产业界等共同关注、研究与实践的一个全球性课题。
信息技术的发展和网络环境的变化,使电子信息嵌入到企业业务活动的各方面,信息系统成为企业各个职能部门业务活动不可或缺的工具。企业信息化给公司治理和内部控制带来巨大冲击和挑战。在信息技术的影响下,传统的公司治理和内部控制方式发生了根本性变革。信息技术在经济发展中所体现的多重角色以及对未来经济发展所发挥作用的不可预见性使得it治理问题更加复杂,因此中国企业在信息化的进程中,it治理的重要性正日益凸显。
2 it治理概念及目的
2.1 it治理的概念
在对it治理广泛研究和分析的基础上,关于其定义汇集了三种主要观点。美国南加州大学教授robert认为,it治理用于描述被委托治理实体的人员在监督、检查、控制和指导实体的过程中如何看待信息技术。it的应用对于组织能否达到它的远景、使命、战略目标至关重要。德勤定义为,it治理是一个含义广泛的概念,包括信息系统、技术、通讯、商业、所有利益相关者、合法性和其他问题。其主要任务是保持it与业务目标一致,推动业务发展,促使收益最大化,合理利用it资源,it相关风险的适当管理。国际信息系统审计与控制协会(isaca)理解为,it治理是一个由关系和过程所构成的体制,用于指导和控制企业,通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。
2.2 it治理的目的
it治理使it与组织业务有效融合,其出发点首先是组织的发展战略,遵循组织的风控体系,制定相应的it建设运行的管理机制,需明确“做什么决策?谁来决策?怎么来决策?如何监督和评价决策?”。围绕it建设全生命周期过程,构建持续的信息化建设长效机制,是it治理的目标。it治理的国际最佳实践包括cobit、itil、iso27001、prince2等。
it治理目标具体细化为以下三方面:
(1)与业务目标一致。it治理要从组织目标和信息化战略中抽取信息需求和功能需求,形成总体的it治理框架和系统整体模型,为进一步系统设计和实施奠定基础,保证信息技术跟上持续变化的业务目标。
(2)有效利用信息资源。由于目前信息化工程超期,it客户的需求没有得到较好的满足,it平台不支持业务应用等问题较为突出,通过it治理可以对信息资源的管理职责进行有效管理,保证投资的回收,并支持决策。
(3)风险管理。由于企业越来越依赖于信息技术和网络,新的风险不断涌现。it治理强调风险管理,通过制定信息资源的保护级别,强调关键的信息技术资源,有效实施监控和做好事故处理。
3 it治理实施
3.1 it原则与方针
重新定义适用于公司的it原则,概述性描述it的基础性作用和对公司业务发展的根本性影响。对it在公司运营中所起的作用和it投入等主要方面做出明确的规定。征求公司各部门的意见,就it原则在it治理委员会中形成决议后,在全公司范围内进行宣传,使之成为it实践的行动指南。
3.2 it决策组织与治理机制
根据公司当前的业务需求,建立专门的it治理委员会或类似组织。组织应当包括公司最高管理层、it治理直接责任人、it部门负责人、相关业务负责人、财务负责人、内部控制负责人以及部分技术骨干等人员。
在it治理相关制度中规定重大it事项的决策机制和相关人员的参与责任,建立it治理委员会议事规则、工作流程和正式的it沟通渠道。
3.3 it制度与流程
完善层次化的制度体系,并规范具体的操作流程,逐步实现it管理的标准化和精细化;并进一步完善it制度文档的建立、修订和完善的流程。在整合现有制度的基础上,进一步完善it规划、基础建设、软件开发、系统运维等方面的制度和流程,在适当的时机建立统一质量监控与绩效评估体系,并编写包括信息安全、it服务和开发管理体系文件并明确关键控制点与绩效指标。
3.4 it规划与架构设计
通过建立it治理组织,形成跨部门进行it规划的工作机制,确保it规划与业务战略保持一致,完善it与业务的正式沟通机制;设立it规划和架构的专门岗位,引入业务分析、it规划和it架构的高端人才;完善it规划与架构设计方法论,增强业务部门对it规划的参与程度。
在业务战略的基础上,进行中长期信息化规划,形成短期可执行项目计划,并建立it规划与架构的制度与流程,把it规划与架构设计作为it工作的重要组成部分。公司应根据it原则和治理目标定期进行it规划与it架构的设计,确定it基础设施和it应用系统的整体框架,指导后续的it实践活动。
3.5 it基础设施与服务管理
建立it基础设施管理制度,明确it基础设施建设的原则与要求,建立基础设施运维管理流程,明确运维人员的岗位责任与奖惩考核制度。在完善核心系统运维的基础上,加强非核心系统的运维管理工作,为非核心系统运维配备充分能力的人员,持续对运维人员进行相关专业培训。
3.6 it与业务融合
在建立it治理组织的基础上,搭建it部门与业务部门的沟通平台,建立有效的沟通机制,并对沟通的结果进行跟踪和及时反馈。
完善现有的需求管理制度,建立需求管理和需求开发流程,以规范需求获取过程,提高业务需求质量。为it项目建立合理的评审标准,并由公司内控部、财务部和it部门会商后报公司it治理委员会审议立项。把项目评审与it治理委员会审议的结果与需求提出部门进行及时沟通。通过it治理组织提供的沟通渠道,将it应用实现所遇到的人力资源缺乏、资金缺乏等问题以及新的it技术可能带来的业务机会向管理层进行反映,并说明这些问题可能对业务发展带来的影响。另外对开发人员进行持续性培训和鼓励创新也是此项内容必须要关注的内容。
3.7 it投资管理
对it作为公司战略资产的重要性认识需要进一步提高,管理层要意识到为了实现成为领先型行业客户的目标,需要对it持续投入,使it成为推动业务发展的动力。
公司应建立it预算的合理评审原则,并听取业务部门与it部门的建议。在提出it预算时,it部门应在合理的成本范围内从技术方面在进行可行性研究,业务部门从业务方面提出可实现的业务效益。参考同行或国外的经验,在it项目成本管理方面建立可量化的指标体系。
3.8 it人力资源
在信息技术部门建立设置合理、职责明确的岗位责任制,定期对信息技术人员进行考核,且每年不少于一次。it人员的配备不仅是在it部门,也需要在业务部门配置具有it背景的人员,以促进it与业务的深度融合。同时根据公司业务战略及it战略的要求,逐步增加it研发人员的数量和开发水平。
3.9 it安全和风险控制
建立信息安全管理体系,从制度、流程、技术及人员等方面保障系统安全及信息安全,建立持续的信息安全检查与审计机制,并使员工的安全行为与奖惩考核挂钩。增加系统运行组的资源配置,加强人员培训,优化流程,提高运维效率。逐步实现系统开发和运维管理在系统、人员及数据等方面进行有效分离。
进一步优化灾备系统的流程,加强员工对灾备系统的重要性认识,加强灾备操作技能的演练。
在客户资料保护方面,要对客户信息分级分类,对客户信息在流转整个过程中进行风险评估,并针对控制弱点采取相应的安全控制措施,例如加强员工和外部合作方在客户信息保护方面的教育与培训等。
在it外包管理方面,it部门应建立it外包管理制度,并对制度的落实情况进行监督。
在it风险管理方面,应根据公司现状,进一步完善it风险管理框架、策略和流程,审计部门应当对it风险评估结果进行跟踪检查,并定期进行修订。
在it审计方面,在建立it风险控制框架的基础上,建立有效的it审计框架,建立it审计流程和公司自制的it审计标准,对现有it审计人员进行培训,并对it审计发现的问题积极整改,降低重大it风险发生的概率。
4 结束语
为提升公司的it能力,确保it对业务发展与创新的持续支持,实现it投资效益的最大化,根据it战略层的it治理存在的风险,从以上论述的九个方面展开it治理实施,使it管理从以往仅仅满足功能要求与性能指标到现在要求的最大化it投资效益和业务增值,将以往局限于支持业务运营的it管理发展演变为业务部门发展与规划的强有力的j9九游会的合作伙伴,最终提升企业的核心竞争能力。
参考文献:
[1]思春林.企业创新空间与技术管理[m].北京:清华大学出版社,2005.
[2]何建佳,葛玉辉,张光远.信息化进程中的组织变革与it治理[j].商业研究,2006(17):117-120.
[3]张运生,曾德明,张利飞.从公司治理本质透视lt治理本质[j].科技进步与对策,2007(02):158-160.
[4]塞利格(美国).实施it治理:方法论?模型?全球最佳实践[m].北京:中国经济出版社,2011.
