it内部审计论文汇总十篇
it内部审计论文篇(1)
2000年以来,继四大行成功完成数据大集中后,各股份制商业银行纷纷加入数据大集中的行列,“科技兴行”、“科技引领”等理念不断冲击人们对商业银行信息系统的固有认识,电子银行渠道持续拓展,商业银行的业务流转也越来越依赖于信息系统的支撑。这些变化一方面使得信息科技在商业银行中的作用不断凸显,另一方面也使得商业银行的信息科技风险进一步放大。
继2006年中国银监会《银行业金融机构信息系统风险管理指引》将信息科技风险纳入商业银行风险管理范畴后,2009年银监会又正式《商业银行信息科技风险管理指引》(下文简称《指引》),进一步加强商业银行信息科技风险管理。2012年银监会宣布设立信息科技监管部,负责银行业信息科技监管督导和风险防范,信息科技风险监管工作不断细化、深入。监管部门对信息科技风险管理的日趋重视,客观上提高了商业银行信息科技风险管理工作的重视程度。
一、信息科技内部审计范围
《指引》提出了商业银行it风险管理的“三道防线”,即it管理、it风险管理和it风险审计。it风险审计作为第三道防线分为内部审计、外部审计两方面。按照《指引》要求,银行内部审计部门应当设立足够资源与具有专业能力的it内部审计人员,并独立于银行的日常活动。商业银行it内部审计应该包括以下三方面:
(一)专项审计
专项审计是指对it安全事件进行的调查、分析和评估。涉及重要业务系统、信息安全或审计部门认为必要的特殊事件都有必要展开it专项审计。
(二)全面审计
应定期实施全行范围内的it内部审计,应充分考虑业务性质、规模及复杂度,区分总行信息部门(数据中心)、分行、支行等各个层级,制定全覆盖的it内部审计计划。
(三)重要项目审计
在进行大规模系统开发时,内部审计部应对系统开发的整个生命周期进行控制。包括项目前期的可行性研究、需求分析,项目开发,项目正式上线后的业务及运维。实际操作中,可以根据项目情况,对各项目里程碑展开相应的审计工作。
可以看出,it内部审计既有全面审计,也有专项审计,还包括重大项目审计,涵盖了银行it的方方面面。
二、信息科技内部审计面临的困难
内部审计部门应当从上述三个方面入手,检查评估商业银行信息科技系统和内控机制的充分性和有效性,提出整改意见并检查整改意见的落实情况。近年来,商业银行根据《指引》做了大量工作,但是在信息科技内部审计方面仍然存在诸多困难。
(一)缺乏it审计人才
银行普遍存在着it审计岗位编制不足、it审计人员招聘培养困难、it审计人员专业技术能力不强等情况。it审计力量的薄弱,极大地影响了it内部审计的成效,甚至会出现it内部审计过分依赖信息科技部门的尴尬局面。
(二)缺乏it审计方法及规范
缺少规范的it审计方法论,缺乏对整个银行信息系统的全局认识,在it内部审计中会存在不知道审什么、不知道怎么审,不容易把握it内部审计的重点,无法触及部分风险隐患。
(三)缺乏it审计方向
现阶段银行的it内部审计都是为了满足监管要求,没有站在业务驱动的角度,缺少为“科技引领”提供保驾护航的力度。
三、商业银行如何加强it内部审计
面对上述困难与挑战,银行应当充分认识it内部审计对银行的重要作用,内部审计部门主动加强与信息科技部门的共同协作,加强it审计专业队伍的建设。
1.管理层及信息科技部应当认识到,it内部审计作为it风险审计的重要一环,是it风险管理的重要组成部分,应当重视内部it审计部门及岗位的建立,充分发挥其积极作用。对it内部审计的有效管理,可及时评价it整体风险管理的水平,可对开发项目进行事中控制,分析it事件原因、提出整改意见并监督落实。信息科技部应该认识到,it内部审计不是故意“挑错找茬”,它可以积极发现it潜在的管理疏漏,有效降低it风险发生概率,提高it全员的风险意识和认知。
2.内部审计部门应当加强与信息科技部的沟通与协助,可以进行各种形式的、有益的探索与尝试。比如,在it风险源的制定与风险库的建立方面充分发挥信息科技的能动性,甚至以信息科技部的意见为主。在此基础上,内部审计部通过各类it事件的分析、it专项审计等手段不断来丰富完善风险源。比如,加强与信息科技部的沟通,由其讲解it最新技术发展、整体架构、变更管理与运行维护等,提高自身的专业技术水平及对本行it工作的了解。比如,加强与信息科技部的沟通,从审计及监管的角度向管理层反映it发展中亟待解决的难题,解决信息科技的实际困难。
3.银行应当加强it审计队伍的建设。在内部审计部内设专门的it审计岗,有条件的银行可以设立独立的it审计部门。不仅要学习审计的方法论、沟通技巧,还要积极学习相关的信息技术,专业的it审计人才应当掌握较为全面的信息技术,对银行it的各方面都要有所涉猎。加强it审计人才的培养和储备。
it内部审计论文篇(2)
当前it系统越来越多地对业务经营活动进行自动化处理,这就需要it提供必要数量的控制程序。因此,遵循萨班斯法案的程序需要包括基于it系统的控制程序。对大多数企业而言,it在建立与保持有效的财务报告内部控制方面将发挥重要作用。通过运用整合的erp系统,或综合运用各种经营管理、财务管理方面的软件,it系统将为有效的财务报告内部控制系统提供强有力的支持。
pcaob第二号审计标准要求了解it在内部控制环境中的重要性。它特别指出:公司在其信息系统中运用信息技术的状况,影响着公司财务报告的内部控制。
目前我国四大电信运营商全部在美国上市,他们现在正在构建法案要求的内控系统,it内部控制系统构建及评审是无法绕过的工作。完善内控,特别是电信企业信息化水平很高、业务流程依赖于it流程的背景下,重视it内部控制,完善it内部控制十分迫切。本文讨论我国公司如何依据法案的要求在短时间内构建一套it内控系统, 并通过有效的it内控评价活动保证其持续健全有效, 以支持ceo 和cfo 的承诺进行初步探讨。
一、萨班斯法案的要求
世通公司造假案件和安然、安达信事件震惊了整个世界, 美国政府认为这是公司上下串通、内外勾结的严重结果, 所以法案对公司治理、内部控制及外部审计同时做出了严格的要求。明确规定要求建立独立称职的审计委员会,管理层要负责内控系统的完善和落实,并对财务报告的真实性负刑事责任 .综观整个法案, 最主要的是对公司内控系统的要求, 主要体现在302条款和404 条款。法案对公司内控系统不但规定严格, 而且实施要求和指南也在相续出台, 如sec 于2003年6月5日根据法案的要求颁布了404条的细化条例, pcaob于2004 年3月9日第2号审计准则, 对公司管理层提出了更明确的要求。
1、302条款的要求:
该条款要求由首席执行官和财务主管在内的企业管理层,对公司财务报告的内部控制按季度和年度就以下事项发表声明(予以证实):
对建立和维护与财务报告有关的内部控制负责。
设计了所需的内部控制,以保证这些官员能知道该公司及其并表子公司的所有重大信息,尤其是报告期内的重大信息;
与财务报告有关的内部控制的任何变更都已得到恰当的披露,这里的变更指最近一个会计季度已经产生,或者合理预期将对于财务报告有关的内部控制产生重大影响的变更。
在当前环境下,it系统驱动着财务报告流程。诸如erp之类的it系统紧密地贯穿于企业经济业务的开始、授权、记录、处理和报告一整套过程中。就其本身而言,it系统和整个财务报告流程也是紧密联系的,为了遵循萨班斯法案,也要对it内部控制的有效性予以评估。
为强调这一点,pcaob第2号审计标准讨论了it以及it在测试内部控制设计合理性及运行有效性时的重要意义,并强调指出:[部分]
…内部控制,包括与财务报告中所有重要账户及披露内容相关的控制政策与程序,都应该予以测试。
一般而言,这样的控制包括it一般控制,以及其他控制所依赖的控制。
2、404条款管理要求
萨班斯法案的404条款要求,管理层在其年度文件中提供关于与财务报告有关的内部控制的年度评估报告。管理层的年度报告要求包括以下内容:
管理层有责任为企业建立和维护恰当的财务报告有关的内部控制。
识别管理层所采用的内部控制框架以便按要求评估公司与财务报告有关的内部控制的有效性。
对从一上个会计年度未以来,与财务报告有关的内部控制的有效性予以评估,其内容也包括有关与财务报告有关的内部控制是否有效的公开声明。
年度审计报告中,注册会计师事务所发表的财务审计报告,包括管理层对与财务报告有关的内部控制有效性评估的证明报告。
管理层关于真人游戏第一品牌针对财务报告内部控制有效性评估的书面结论,应包含在其对财务报告内部控制的报告和其对审计师的信函中。这一书面结论可采取多种形式,但是管理层对公司面向财务报告的内部控制的有效性必须发表直接意见
如果与财务报告有关的内部控制中有一个或多个重要缺陷,管理层将不能对财务报告的内部控制有效性做出评估结论,而且,管理层应该披露自最近一个会计年度未以来财务报告内部控制方面的所有重要缺陷。
面向财务报告的内部控制在这一会计期间可能存在一个或多个重要缺陷,但管理层仍可能会报告“从最近一个会计年度未起(上个会计年度未起),与财务报告有关的内部控制是有效的”。如果要做出这样的结论,管理层必须在评估日前已经改进了内部控制,消除了已有的缺陷,并在运行和测试其有效性后得到了满意的结果,测试的时间足以让管理层认为,从本会计年度起,与财务报告有关的内部控制设计合理、运行有效。
审计师需要合理地确定管理层的认定目标或审计目的(从而依此来收集审计证据),以支持管理层对内部控制有效性的评估结论。通过对审计师在这一过程中所应遵循程序的描述,pcaob第二号审计标准接着指出:
公司在对财务报告做出确认时需要借助于企业的it系统。为了识别管理层对财务报告所作的相关认定,审计师应考虑每个重要账户潜在错报、漏报产生的原因。在决定一个认定是否与某一重要账户余额或其披露相关时,审计师应该评价it系统的性质、复杂程度以及企业it的使用状况。
it内部审计论文篇(3)
本期专题,就it内审的目的与现状、中国企业it内审的特点和难点、以及如何形成中国it内审规范,展开了深入的探讨和调查分析。
“中国萨班斯”进行时
证监会纪委书记、企业内部控制标准委员会副主席李小雪在企业内部控制标准委员会第三次全体会议上表示,建设企业内部控制标准体系是资本市场的一件大事――健全有效的内部控制可以提高上市公司财务报告的有效性;可以保障公司资产安全,减少舞弊事件发生,堵塞漏洞,有效提高风险防范能力,降低公司风险;可以提高公司经营效益及效率,提升上市公司质量。
我国对企业内部控制评价的关注始于上个世纪80年代末,但当时的评价大都流于形式。“银广夏”等上市公司财务舞弊事件、“中航油事件”等等因内部控制失效造成财产重大损失的案件,在一定程度上要归咎于企业内控机制的不健全。
此后,我国政府开始重视内控评价的规范化建设。审计署、财政部、证监会、银监会等组织均出台了关于内部控制评价方面的规范,而2006年则是关于上市公司企业内控规范讨论最为热闹的一年。
2006年6月5日,上海证券交易所出台了《上海证券交易所上市公司内部控制指引》,对上市公司内控制度和风险管理制度出台了重要规定,引起了业界的强烈反响。
在信息技术无处不在的今天,it既是企业内控的一个有效手段,同时it本身又充满了风险,成为内控的重要目标之一。因此, it内审引起了广泛关注。科索路咨询公司还专门对此了《it内审调研报告》。
2006年7月15日,财政部联合国资委、证监会、审计署、银监会、保监会发起成立了“企业内部控制标准委员会”,旨在“基本建立一套以防范风险和控制舞弊为中心、以控制标准和评价标准为主体,结构合理、内容完整、方法科学的内部控制标准体系,推动企业完善治理结构和内部约束机制”。委员会的成立被视为中国版“萨班斯法案”即将出台的前兆,中国内部审计协会会长王道成当时曾向媒体表示,3年之内中国就会有自己的“萨班斯法案”。
2006年9月28日,深圳证券交易所《上市公司内部控制指引》,规定深市主板上市公司要建立完备的内部控制制度。在2007年7月1日文件正式生效后,上市公司均需按要求披露内控制度制订和实施情况。
很多人都相信,具有强制效力的中国上市公司内控法规就要形成,甚至有很多企业或个人认为随着企业内控法规的形成,与it内审相关的咨询或者软件将是一个很好的市场机会,并雄心壮志地投身到这一领域。
但是到了2007年,在股市热潮背后,关于企业内控和it内审规范工作似乎处于停滞状态。有些曾经看好it内审市场机会的公司开始后悔自己当初的决定。这不禁让人怀疑,难道牛市的今天企业内控就不那么重要了?it内审的热潮从此告一段落?
审迫在眉睫
事实远非如此。
2007年3月,企业内部控制标准委员会公布了《企业内部控制规范――基本规范》和17项具体规范(征求意见稿),并开始向有关单位和专家征求意见。
2007年5月25日,由企业内部控制标准委员会主席、财政部副部长王军亲自参加的企业内部控制标准委员会第三次全体会议在北京友谊宾馆低调举行,会议对企业内部控制规范征求意见稿和若干项具体规范讨论稿进行了深入讨论。
财政部还表示,将根据本次会议讨论的情况尽快修订企业内部控制规范征求意见稿和讨论稿,抓紧建立中国企业内部控制标准体系。所有这一切都证明,尽管没有声势浩大的活动进入人们的视野,但“中国的萨班斯法案”依旧在紧锣密鼓地酝酿中。
业内人士分析,尽管今天企业内部控制规范征求意见稿依旧在讨论中,但是一旦被确定,肯定会和萨班斯法案一样对上市企业具有强制性的约束。毫无疑问,尽管还有上市公司对it内审没有足够重视,但it内审是否规范必将成为上市公司存在的必要条件之一。
现代企业的经营越来越依赖于信息系统,除了传统意义上的经营风险、控制风险和财务风险,企业信息系统的安全性导致的信息风险日益增长。同时对大部分企业来说,信息技术已经融入到企业各项业务中。it内审作为企业内部控制的一个重要手段和对象,已经得到政府相关机构、企业和咨询机构普遍认可。
目前的《企业内部控制具体规范(征求意见稿)》中,专门提出了计算机信息系统的征求意见稿,就总则,岗位分工与授权审批,信息系统开发、变更与维护控制,信息系统访问安全,硬件管理和会计电算化及其控制等六个方面提出了43条详细征求意见。
企业表现各不相同
“招聘资深内审员,要求具有5年以上跨国公司会计与财务方面工作经验,并有it系统审计方面的工作经验”。最近,“it内审员”的新鲜职位已经开始出现在各大招聘网站。
很多被访企业表示,他们已经或者正在考虑采用新的技术手段来辅助企业内部控制工作,比如说中信集团公司早已经在2005年就开始采用加拿大审计软件acl、易通审计软件开展审计。
承接企业内控咨询业务的会计师事务所或咨询公司表示,他们所接触的it内审业务在明显增加。
……
种种迹象表明,it内审规范的推动并没有停滞不前,之所以让人感觉“停滞”,主要是因为以下几方面的原因:
首先,很多企业对于内部控制仍然采取比较被动的态度。对于那些早在国内上市的企业,由于上交所和深交所出台的《指引》对他们没有强制性的约束,没有对内控的紧迫感。而那些在海外上市或者新上市的企业,大都是为了满足上市条件或者相关法规而被迫进行内部控制和it内审。在香港上市的某公司的cio告诉记者,对他们来说,it内审就是每隔一段时间按照会计师事务所提供的一张单子中对it的要求落实就可以了。
其次,目前大部分企业的it内审工作主要是交给第三方机构来办理的。很多在海外上市或者被外资公司控股,特别是在美国上市的企业,早已经通过第三方机构在it审计方面走在了前面。第三方机构对这块业务驾轻就熟,更多的企业选择it内审对他们来说只是业务量的增加,因而没有引起大范围的讨论。
第三,很多企业虽然已经意识到it内审的重要性,但是苦于it基础太差、缺乏相关经验而暂时搁置。亚新科工业技术有限公司是一家总部设在北京的外资企业。为了让企业健康稳定地发展,公司从1999年就已经建立了完整的内部制度,并且还专门成立了内控部。但是,公司内控部总监麻蔚冰告诉记者,目前他们还没有实现it内审。他认同随着信息技术在企业广泛应用,it内审是企业内部控制的必然趋势。亚新科从去年就开始关注这一趋势,但由于公司内部的it建设还不够完善,再加上it内审所牵涉的东西非常复杂,暂时也没有好的经验可以借鉴,所以目前尚处在探索中。
规范形成尚待时日
那么,适合中国的it内审到底该怎么做?如何形成适合中国国情的it内审?
很多企业都希望 《企业内部控制具体规范(征求意见稿)》能够给他们未来的it内审提供有用的参考。
王军在企业内部控制标准委员会第三次全体作会议上也强调,内部控制标准体系建设要着力处理好借鉴国际和顺应国情的关系。目前,在尚未形成自己的规范并且没有更好的办法之前,业界已经认识到“西学中用”是最好的选择。
德勤咨询公司企业风险管理服务高级经理周梓滔告诉记者,目前的征求意见稿中不仅参照了萨班斯法案,还参照了很多地方的相关法规。
但是业内人士分析,毕竟中国企业有很强的特色,必须在参照这些经验的同时充分考虑中国企业自身的特色。
记者就it内审规范这个问题拨通财务部会计司企业内部控制标准委员会某一负责人的电话时,得到回答是,征求意见稿中“计算机信息系统”部分还只是“征求意见稿”,希望有经验的咨询公司和专业人员能够积极参与,提供有用的建议。
在访谈了一些内控咨询专家、企业内控工作者后,记者认为以下几个方面是在建立it内审规范过程中最不能忽视的:首先,企业对it内审的重视不够;其次,企业的it建设不够完善,建立像美国上市公司那样的it内审难度较大;第三,企业it内审部门的归属问题不明确:目前国内企业审计部门独立的就比较少,而it内审既涉及审计又涉及it,归属问题就更加不好确定;第四,it内审的投入成本大,美国的大型公司仅在第一年建立内部控制系统的平均成本就高达430万美元,这对规模偏小的中国上市企业来说是不现实的……
由此可见,我国要建立完善的it内审规范还需时日,但对于企业来讲,未雨绸缪却必不可少。否则具有法律约束力的规范一旦执行,临时抱佛脚几乎是不可行的――因为企业的it建设本身就不是一蹴而就的事情。
it内部审计论文篇(4)
随着信息技术的兴起,信息系统已经渗透到社会生活的方方面面,它在给人们带来便利与效益的同时,也带来了很多负面影响,如计算机犯罪案件的频频发生等,系统安全问题日益严峻。于是一个不容回避的问题——我国企业如何有效地开展信息技术审计(information technology audit,以下简称it审计),保证信息系统安全,摆在我们面前。本文拟对此进行探讨。
一、it审计的定义及其特点
it审计是指对信息系统从计划、研发、实施到运行维护各个过程进行审查与评价的活动,以审查企业信息系统是否安全、可靠、有效,保证信息系统得出准确可靠的数据。由以上定义可知,it审计的目标是保证it系统的可用性、安全性、完整性和有效性,最终达到强化企业内部控制的目的。
该审计过程具有以下特点:
1.it审计是一个过程。它通过获取的证据判断信息系统是否能保证资产的安全、数据的完整和组织目标的实现,它贯穿于整个信息系统生命周期的全过程。
2.it审计的对象综合且复杂。it审计从纵向(生命周期)看,覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务;从横向(各阶段截面)看,它包含对软硬件的获取审计、应用程序审计、安全审计等。it审计将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。
3.it审计拓宽了传统审计的目标。传统审计目标仅仅包括“对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见”;但it审计除了上述目标外,还包括信息资产的安全性、数据的完整性及系统的可靠性、有效性和效率性。
4.it审计是一种基于风险基础审计的理论和方法。it审计从基于控制的方法演变为基于风险的方法,其内涵包括企业风险管理的整体框架,如内部环境的控制、目标的设定、风险事项的识别、风险的评估、风险的管理与应对、信息与沟通以及对风险的监控。
二、我国it审计面对的挑战
it审计和传统审计相比具有的上述特点是吸引我国众多企业引入it审计的重要原因,但是这种方法的应用又会给企业提出巨大的挑战。
1.传统审计线索的消失。在手工会计环境下,审计线索主要来自于纸质原始凭证、记账凭证、会计账簿和会计报表,这些书面数据之间的勾稽关系使得数据若被修改可辨识出修改的线索和痕迹,这就是传统审计线索的基本特征。但是现在计算机网络信息系统中这些数据直接记录在磁盘和光盘上,无纸张记录,审计人员用肉眼无法直接看到这些数据如何记录,且非法修改删除原始数据也可以不留篡改的痕迹,从而为舞弊人员作案留有可乘之机。尽管许多审计机构要求已实现会计信息化的企业将所有原始凭证、记账凭证、账簿、报表打印输出,使用绕开计算机系统的审计方法,并以打印出的证、账、表作为基本审计的线索和依据。但是如果原始数据在业务发生时就被有意篡改,则其派生的记账凭证金额和账户余额及报表数据也一定会出错,打印出的数据也不能作为审计证据。因此即使打印出所有电子数据,传统审计线索也会在计算机信息系统下完全消失。
2.计算机信息系统的数据安全面临挑战。手工信息处理的环境下,审计人员无须将数据和会计信息的安全性问题作为审计的重要内容,但是在it审计的工作中,网络电子交易数据的安全是关系到交易双方切身利益的关键问题,也是企业计算机网络应用中的重大障碍和审计的首要问题。例如计算机病毒的破坏、黑客用 ip地址欺骗攻击网络系统来获取重要商业秘密、内部人员的计算机舞弊、数据丢失等,都是传统审计从未涉及的,但又是it审计的重点,这对当前我国的审计工作无论是操作系统,还是制度建立等众多方面都是一个很大的挑战。 转贴于
3.it审计专业人才匮乏,适应it审计事业发展的人才培养和管理机制还有待建立和健全。由于it审计固有的复杂性,这项工作需要具备会计、审计、组织管理和计算机、网络技术等综合知识的人才,而且工作人员需要对内部控制和审计有深刻的理解,对信息和网络技术有敏锐的捕捉能力,在我国获得注册信息系统审计师资格的人数远远不能满足信息系统审计业务的需求。
三、我国it审计应对策略
面对上述挑战,我们应当多方位、多角度制订措施,使it审计工作更好地为我国企业发展做出贡献。具体措施如下:
1.审计线索的重建。根据计算机网络系统容易在不同地方同时形成相同“原本”数据的特点,可以重建电子审计线索:在电子化的原始数据形成时,同时在审计机构(包括内审机构)和关系紧密(签字确认)的部门形成原始数据的“原本”,或在不同部门各自形成相关的数据库(特别应当包括数量、金额和单价等主要数据项),这样不仅可以相互监督和牵制,还给计算机审计提供可信的审计线索。这种保留审计线索的方法,一方面成为有力的控制手段,另一方面可从审计线索中发现疑点。这种方法主要是应用专用的审计比较软件,同时将几个部门的同一种数据库进行自动比较形成有差异的数据记录文件,详细审查相关的数据文件和访问有关的当事人,从而取得有力的审计证据。上述比较审计方法是在不同部门同时形成业务数据文件的情况下应用,如果企业业务数据分离存放,如销售合同与销售发票、提货单在不同的部门保存,这种实质性测试也可采用比较审计法,应用专用的审计软件,结合相关的几个业务数据文件进行比较,查出有错误疑点的记录。
2.确保信息系统的信息安全。为了保证信息系统的信息安全,it审计工作人员要在审计过程中评价企业的防火墙技术、网络系统的防病毒功能、数据加密措施、身份认证和授权的应用实施情况,通过面谈实地审查企业安全管理制度建立和执行的情况,查看企业是否为了预防计算机病毒,对外来的软件和传输的数据经过病毒检查,业务系统是否严禁使用游戏软件,以及是否配置了自动检测关键数据库的软件,使异常及时被发现;检测企业是否为了防范黑客入侵,网络交易的数据库采用离散结构,同时在不同的指定网点(如在交易的双方)形成完整的业务数据备份供特殊使用(如审计和监控);此外it审计人员还要注意检查企业的信息系统岗位责任实施、安全日志制度,审查有关计算机安全的国家法律和管理条例的执行情况。
3.建立一支完备的it审计专业人才队伍。it审计的发展必须有一大批专业化的it审计人才,这就要求我们要采取短期培训和长期培养、操作层面上的培训与高层次人才的培养、在职人员培训与未来人才培养相结合的方法将这支队伍逐渐发展起来。此外我国可以从现有的审计队伍中选拔人员进行专门的信息系统审计培训,并考虑在注册会计师的资格考试和审计师职称考试中逐步加入计算机、信息系统和网络技术等与信息系统审计有关的内容,以及加强对从事信息化咨询的it技术人员的会计与审计知识的培训。为了培养未来审计人员,应在高校会计、审计专业教学计划中增加信息技术和电子商务等内容,也可以考虑在高校中开设信息系统审计专业,直接培养信息系统审计专业人才。
当前我国it审计正处于起步阶段,和传统审计相比,it审计的显著特点决定了其势在必行,但是一种新的方法的引入和实施必定会给企业和审计人员带来巨大的挑战,面对种种挑战我们应采取积极措施,迎难而上,使it审计工作不断发展完善。
主要参考文献
[1]张茂燕. 论我国的信息系统审计[d]. 厦门:厦门大学,2005.
[2]陈朝.我国信息化建设中信息系统审计问题研究[d].长春:东北师范大学, 2006. 转贴于
[3]邓少灵. 企业it审计的框架[j].中国审计,2002(1).
[4]李健,朱锦淼,王晓兵. it审计——人民银行内审面临的新挑战[j].金融理论与实践,2003(6).
it内部审计论文篇(5)
首先,我们定义it控制是由期望达到的(it控制目标)和达到这些目标的方法(控制程序)构成。it控制目标是指通过对具体的it活动实施控制程序,以达到期望结果或目的的总体描述。可见,事实上,有效的it控制设计与实施指明了一个组织将信息技术条件下的风险降至可接受水平的途径。这里it风险指的是it使企业不能实现其经营目标的风险。
然后,我们从人员职责、it控制的构成和it控制对象这三个角度来理解it控制的外延:
1.从人员职责角度看:首先是以下三类人员的职责:
管理层――主要职责是确保控制存在并有效运行,为运营目标和控制目标的实现提供合理保证;
低层管理者与员工――主要职责是执行控制;
审计师――主要职责是对控制的正确性进行评估、提供改进建议及保证声明。
2.从it控制的构成角度看:it控制包括it控制环境、it一般控制、it应用控制。
3.从it控制对象与范围看:it控制对象包括企业it生命周期的所有流程。
实现it控制,中国企业需要应对三大挑战
国内企业信息化建设速度越来越快,信息化水平越来越高,业务与财务报告流程对it的依赖程度也随之越来越高。对大多数企业而言,运用整合的erp系统,或综合运用各种经营管理、财务管理方面的软件,已经成为财务报告系统强有力的支持。
随着萨班斯法案的出台,财务报告的内部控制几乎离不开it控制,即使业务层面的管理控制也是it支撑环境下的控制。但是,信息技术是一把双刃剑,其潜在风险也越来越大,企业在建立有效的it控制,以保证财务报告的有效性方面正面临着巨大的挑战。
但是,目前国内企业的内部控制体系多为传统的会计控制及管理控制,对it控制缺少系统的考虑,企业的it控制面临三大挑战。
挑战之一:cio缺乏内部控制理论与实践。
以萨班斯法案的要求来说明,404条款的遵照执行有四个阶段:1.公司应制定内部控制详细目录,确定内部控制是否足够,然后将这些控制与诸如coso之类的内部控制框架进行对照; 2.公司被要求记录控制措施评估方式,以及未来将用来弥补控制缺陷的政策和流程(如果有的话); 3.公司必须进行测试工作,以确保控制措施和补救手段起到预期作用; 4.管理层必须将前述三个阶段的各项活动情况汇总成一份正式的评估报告。
法案的要求使很多人认为,it专业人士应该对其负责的it系统所产生的信息质量及完整性负责,但问题在于,大多数it专业人士对复杂的内部控制并不精通或了解,因此难负其责。尽管不能说it人员没有参与风险管理,但至少it管理层没有按照管理层或审计师所要求的形式进行正式的、规范化的风险管理。cio(首席信息官)们现在到了不得不补课的时候了,当务之急是补充有关内部控制方面的知识,理解企业所制定的sox遵循计划,才能专门针对it控制拟定一个遵循执行计划,并把这个计划与总体的sox遵循计划相整合。
挑战之二:缺乏系统的it控制体系
事实上,每个企业或多或少都有一些it控制制度,很多企业错误地把这些静态的控制制度等同于控制体系。现在越来越多的人认识到,我们需要的是“发现问题,解决问题;发现新问题,解决新问题”的持续改进体系。同时鉴于第一点原因,这些制度基本是由技术管理者制定,他们缺乏规范化风险管理的经验,这些it控制制度可能不太规范且不成体系,控制程序也不够完善。it控制制度一般存在于系统安全和变更管理等一般控制领域,缺乏从公司透明度角度出发、结合支持业务战略和业务流程的完整内部控制体系。
挑战之三:现有it控制体系不具有可审计性
萨班斯法案相关的条款要求上市公司必须有足够的证据证明内部控制的有效性,这就要求企业必须有完善的内部控制流程及审计轨迹,在控制发挥作用的同时生成相应的文档记录,以便在对内部控制设计及运行的有效性进行评价时有足够的证据。
我国企业的it控制程序设计及运行不具备可审计性。尽管很多企业有庞杂的规章制度,但该体系的完整性、有效性以及遵照执行情况缺少评价,或没有证据进行评价。
因此,我们构建it控制系统时必须从全局着眼,借鉴国际内部控制框架及国际最佳实践经验,构建一套系统化、标准化、可审计、可持续改进的it控制体系。
构建有效而持续的it控制需要正确的理念、适合的内控框架和评估机制
对于企业,我们认为在构建it控制体系时,需要从三个层面来考虑才能保证it控制的有效性和持续性。为了更好地说明,笔者将以如何设计符合萨班斯法案要求的内部控制为例,来展示构建it控制体系的主要思路,以供参考。
1. 要认识到构建it控制体系是一个循序渐进的过程
sec管制条款内容复杂,为了满足萨班斯法案的要求,大多数企业需要调整其员工观念和9游会的文化,通常也需要对it系统及其处理流程作一些改进。改进的内容包括控制设计、控制文件、控制文件的保留,以及it控制的评估等方面。这是一个循序渐进的过程,不能将原有的一切推倒重来。鉴于在美上市的中国企业多为国有企业,这些企业的规章制度普遍较为健全,所以对于它们而言,更为重要的是如何根据内部控制的理念和原则,结合企业的实际情况,对不符合萨班斯法案404条款的各项差距进行分析、弥补、测试和改进。这项工作的顺利开展需要企业人员具备相应的理论知识和实践经验,因此,it控制和风险管理培训就成为贯穿始终、必不可少的一项重要工作。
2. 要选择好内部控制框架
法案并没有规定公司必须选择什么样的内控框架作为管理层评价内部控制有效性的依据, 需要企业自己选择。国际上比较有名的内控框架有英国的turnbull、美国的coso 和加拿大的coco , 它们从不同的角度剖析公司的经营管理活动, 为营造良好的内控框架提供了一系列政策和建议。pcaob审计标准ⅱ在“管理层用于开展其评估的内部控制框架”一节中,明确管理层要依据一个适当且公认的、由专家遵照应有程序制定的控制框架,来评估公司财务报告内部控制的有效性,sec也从侧面认可coso框架。coso 认为,内部控制是由企业董事会、经理层和其他员工,为合理保证实现企业营运的效率及效果、财务报告的可靠性及合法合规等目标而实施的一系列过程。内控框架的构成要素包括控制环境、风险评估、控制活动、信息和沟通、监督五个方面。这套理论得到了包括sec、公司管理者、投资者、债权人及专家学者的普遍认可, 国外许多公司都依据这个框架建立了内控系统。我国公司也可以按coso 建立内控框架, 逐步与国际管理模式接轨。通过引入coso 内控要素, 形成一个相互联系、综合作用的控制整体, 使单纯的控制活动与企业环境、管理目标及控制风险相结合, 形成一套不断改进、自我完善的内控机制。
尽管coso正在成为理解和评价内部控制的全球性框架。但是,coso不是唯一的控制框架,在有些情形下甚至可能不是最好的或最易于使用的框架,尤其是在coso框架中没有考虑到对it控制目标和相关控制活动的具体要求。目前,cobit(信息系统和技术控制目标,control objectives for information and related technology)正在成为更好地理解信息技术环境下内部控制的国际公认框架,该框架由美国it治理研究所(itgi),是一个it风险管理与it控制的综合性分析框架,由覆盖信息化生命周期的4个域、34个it控制目标、318个详细控制目标组成。cobit也涉及企业经营、合法合规等方面的控制。因此,该框架可作为制定it控制目标、审计、管理和执行方针的依据。cobit不是coso框架的替代品,而是coso框架的有力补充,这是因为在信息技术条件下,管理层、it人员、审计师都需要理解和记录it相关流程、流程中资源利用情况,以及支持这些流程的控制。
尤其是那些信息资产密集型或高度依赖于自动化处理的企业,理解和评估信息技术条件下的内部控制是一项巨大的挑战,但也是实现萨班斯合规性的关键之处。cobit对评估这种环境下的内部控制会特别有效,cobit的全部控制目标为审计人员寻求实施萨班斯法案404条款内部控制评审提供了强大的支持。不过对于初涉cobit框架的人来说,其庞杂体系令人望而却步,其指南分散在有很多图表构成的多卷本中。并且,cobit自1996年问世以来,在很长的一段时间里,许多审计人员单纯地将cobit看作是专门的信息系统审计工具,认为它对其他审计工作帮助不大。我们认为,虽然cobit的重点仍然在于it,但是所有的相关人员包括审计人员都要研究cobit框架,并将它作为一款优秀的控制框架,用于帮助实现萨班斯法案的合规性要求(coso、cobit与sox的对应关系见图1)。
整合运用cobit与coso作为构建it控制的框架,是将两种国际公认框架进行优势互补。同时在确定控制点、控制程序、留下相应审计轨迹时,也可以参考it运营、信息安全方面可审计的国际标准管理控制体系iso20000、iso17799等。
3. 建立一套自评估机制,确保内部控制系统的持续有效
众所周知, 企业的发展阶段、和管理状况以及外部环境的变化都是决定企业内控体系建立和有效运行的前提。任何内控体系都只是在一个特定的历史阶段有效。法案要求管理层每年都要对内部控制有效性做出声明,这也迫使公司必须建立一套控制自评估机制,评估内部控制体系设计、执行是否有效,以支持管理层的声明。同时,自评估机制也可以帮助公司发现控制薄弱区和控制漏洞,及时审时度势,弥补内控体系的缺陷,确保内控体系持续有效。这也正是萨班斯法案所要求的。
控制自我评估(csa)是指企业内部为实现目标、控制风险而对内部控制系统的有效性和恰当性实施自我评估的一种方法。国际内部审计师协会(iia)在1996年研究报告中总结了csa的三个基本特征:关注业务的过程和控制的成效;由管理部门和职员共同进行;用结构化的方法开展自我评估。csa最早出现在20世纪80年代末期,但其最主要的发展是在90年代,特别是在1992年coso报告公布之后。coso报告首次把内部控制从原来自上而下财务模式的平面结构发展为更全面的企业整体模式的立体框架。传统的内控评价方法只能用来评价诸如财务报告,资产与记录的接触、使用与传递,授权授信,岗位分离,数据处理与信息传递等的“硬控制”。在新的内部控制模式下,迫切需要评价包括公司治理、高层经营理念与管理风格、职业道德、诚实品质、胜任能力、风险评估等的“软控制”。在这种情况下,作为一种既可以用来评价传统的硬控制,又可以用来评价非正式控制即软控制的机制,csa得到了普遍的信赖。
自评人员首先选择要评审的内控流程, 然后对其设计的健全、合理性进行评价, 如果设计合理, 则测试其运行的有效性, 最后进行综合设计测试和运行测试, 评价内控系统设计的合理性和运行的有效性。如果设计测试结果为不合理, 则直接进行内控系统的评价, 而不再进行运行的有效性测试(见图2)。
内控系统设计测试是指为了确定被审计单位内控政策和程序设计合理、恰当和完善进行的测试。合理的标准即控制设计与目标相关、恰当和完善, 能有效保证信息的机密性、完整性和可用性。运行有效性测试是指为了确定被审计单位的内控政策和程序在实际工作中是否得到贯彻执行, 并发挥应有的作用而进行的测试。执行有效的标准即内控政策和程序在实际工作中得到了贯彻执行并发挥了应有的作用。
为了评估企业内部控制水平,指导企业进行差距分析并确定改进目标,建议企业借鉴成熟度理论,描述企业it控制有效性的各种等级。
level 1 不可靠级 不可预知的环境,在这种环境中,控制活动没有设计或不适当;
level 2 不正式级 控制与披露活动已设计并适当,但没有充分记录。控制更大程度上依赖于人,没有正式的控制活动培训与沟通;
level 3 标准级 控制活动已被设计并适当,控制活动已被记录并在员工之间进行了沟通。控制活动的偏离可能不被发现;
level 4 监控级 标准化的控制,有定期的有效性测试并向管理层报告,有限的利用自动化工具支持控制活动;
level 5 优化级 一个整合的内部控制框架和实时的管理层监控与持续改善 (全面风险管理),运用自动化工具支持控制活动,也许组织在需要的时候对控制活动进行快速变更。
就某个内部控制目标而言,一些企业可能愿意接受等级不高于3的it控制。考虑到萨班斯法案 “外部审计师应就控制出具独立的鉴证”这一要求,审计师对一些关键控制活动的有效性水平不能低于3级。
it内部审计论文篇(6)
随着计算机网络的发展,商业银行在处理业务时对计算机信息系统的应用程度越来越高。信息系统就像一把双刃剑,它在带来经济效益的同时,也使商业银行面临巨大的风险,因此对信息系统进行严格规范的控制尤为重要。为了保证信息系统的安全、可靠与有效,实施有效的it审计成为商业银行一项迫在眉睫的任务。
一、商业银行实施it审计的必要性
1.这是由商业银行业务高风险性的特点决定的
商业银行本身是一个高风险行业,在银行业务中的主要风险包括:战略性的,名誉性的,操作的,信用,货币兑换,利率,流动性。随着银行业务信息化程度的提高,特别是近年来网络银行和信用卡的兴起,银行的业务和信息系统之间的联系不断加强,信息系统需要不断的修改和完善以适应业务发展的要求。当信息系统跟不上业务发展的需要时,就会造成系统故障,系统错误等情况,导致一些业务不能正常开展,这使得商业银行面临的战略性,名誉性,操作性的风险越来越大。为减少这些风险,这就需要it审计对系统进行严格的规范控制,对信息系统进行综合的检查和评价以保证信息系统适应银行业务发展的需要。
2.这由信息系统本身的特点所决定的
信息系统的开发是一项长期而且庞大的工程,需要耗费大量的人力、物力以及财力,它具有投资大,风险高的特点,若开发不当,则可能会使信息系统无法投入使用,或即使能勉强投入使用,但在使用过程中也会错误不断,需要极高的成本来维护系统,因此需要it审计对信息系统的开发过程进行跟踪审计,及时发现并改正错误,保证信息系统的质量,降低系统后期的维护成本。同时,由于并不存在十全十美的信息系统,也不可能在系统开发过程中发现全部潜在的错误,这使得在系统运行过程中可能会出现系统故障,系统错误,黑客攻击漏洞等情况,这可能会使数据被破坏,客户隐私被泄露,经济效益遭受损失,对商业银行的声誉、经营造成影响。这就需要在信息系统运行维护阶段进行it审计找出系统的缺陷和不足,并提出改进和完善的意见,以保障系统安全、可靠以及有效的运行。
二、商业银行it审计的现状及改进措施
1.建立完善的商业银行it审计制度
在我国制度创新还跟不上it的发展,相关的it审计法规、准则存在着一定的滞后现象,目前存在相关法规、准则仅有审计署于1996年颁布的《审计机关计算机辅助审计办法》,1999年颁布的《独立审计具体准则第20号――计算机信息系统环境下的审计》等几个。而近年来it发展迅速,这些法规、准则不一定能适应新的系统环境,这将会给商业银行的it审计的实际操作带来一些困难和影响。为了促进商业银行的it审计的发展,应该完善相关的法规、准则,使之跟得上it的发展。同时,根据国际趋同的要求,我国也应根据国际it审计的国际标准――cobit(信息系统和技术控制标准)建立符合中国实际、顺应国际准则趋同化要求的内控、风险管理体系、it监审机制和制度。
2.加强it审计的连续性
由于商业银行信息系统的开发多采用外包方式,这使得在实施it审计时容易忽视信息系统开发阶段的it审计,使得it审计缺乏连续性。而系统开发阶段存在的一些潜在的问题可能会系统在运行维护阶段逐渐暴露出来,这个时候就需要去系统本身进行修正,与在系统开发阶段进行的修正相比,此时的花费的成本将更高。因此,需要加强在系统开发阶段的it审计,加强it审计的连续性,这将有助于保障高质量的信息系统的开发,减少系统存在的潜在问题,降低运行维护阶段的维护成本。
3.提高商业银行内部it审计的质量
商业银行一般都拥有自己的it部门,由于部分内审人员计算机知识与技能有限,这使得在进行内部审计时会在一定程度上依赖it部门的人员的帮助,诚然这些it部门的人员对于计算机知识以及相关的业务十分熟悉,有利于内部审计的实施,但是这却让他们拥有运动员和裁判员的双重身份,使得内部审计的独立性遭到质疑,内部审计的质量得不到保证。而高质量的内部审计能使信息系统安全、可靠以及有效的运行,同时也使信息系统容易通过外部审计。因此,需要在商业银行内部设立独立于it部门的it审计部门,实施有效的内部审计。
4.培养it审计专业人员
我国商业银行it审计起步较晚,it审计专业人员在数量上严重不足,同时在专业技能方面与国外相比也存在一定的差距,而这些因素也在一定程度上影响了商业银行it审计质量的提高,因此需要大力培养it审计专业人员。对此,我们可采取专家讲课、委托培训、公派交流学习等措施来培养it审计人员,提高it内审人员的素质。
5.借鉴国外的一些先进经验
我国it审计起步较晚,虽然在近年来取得了较快的进步,但相对于一些起步较早的国家而言,总体水平并不是很高。我们可以根据自身的实际情况,借鉴一些适合我国国情的先进经验,比如:挪威的数据获取自动化(tomas)系统,它能在提高效率保证质量的同时,使审计人员可以采集存储在财务管理会计系统中的基本数据而不增加被审计单位的安全风险;美国利用互联网实施联网审计,审计人员可以通过网络获取被审计单位的有关资料开展审计工作等。
参考文献:
it内部审计论文篇(7)
公司治理与it治理相结合
1997年的亚洲金融危机、2002年美国股市丑闻,蓝田股份和银广夏的利润神话破灭事件,以及2005年年初相继出现的创维、伊利股份、三九集团等上市公司高管涉案,完善公司治理机制、有效管理企业风险正在成为企业议事日程中和企业财务高管们最重要和最迫切的任务。
我国政府将建立有效的公司治理机制视为“现代企业制度”建设的核心内容,而加入wto的承诺使得全面系统地处理这一问题显得更加紧迫。国务院国资委主任李荣融曾表示,目前上市公司所出现的问题都与公司治理结构不完善有关。国资委要与证监会正联合推动国有企业完善公司治理结构。
公司治理的效率、效果直接依赖于许多的制度要素。这既包括审计和信息披露的质量,也包括法律系统对契约的监督以及对外部投资者的保护能力等。例如在逆向选择的框架下,我们可以看到:一个更好的会计标准和更及时的信息披露要求将大大减轻经理人与外部投资者之间的信息不对称,从而便利了融资,降低了风险。因此,公司治理的核心问题是信息不对称性或不完全性,解决公司治理问题,最核心的是公司信息的真实、准确以及处理与传递的效率问题,而it技术在实现透明度原则和体现监控力度上正日益成为有效的工具。由于许多在美上市企业的核心业务都依赖it系统,因此,2002年美国颁布的“萨班斯法案”对公众公司提出了更高的要求,公司应定期评价其信息系统及其内部控制的充分性,来保证提供给投资者信息的准确和完整,强调公司管理层建立和维护内部控制(尤其是it控制)及相应控制程序充分有效的责任。因此,研究it治理,加强it控制,降低风险,有效地实现公司治理,成为全球关注的话题。
十六届五中全会通过了《中共中央在关于“十一五”规划的建议》中明确提出了今后五年时间内公司治理与内部控制、全面风险管理时企业改革的重点,“加快国有大型企业股份制改革,完善公司治理结构。加快建立国有资本经营预算制度,建立健全金融资产、非经营性资产、自然资源资产等监管体制,防止国有资产流失;”“完善金融机构的公司治理结构,加强内控机制建设;”“完善对境外投资的协调机制和风险管理,加强对海外国有资产的监管”;“健全金融市场的登记、托管、交易、清算系统。完善金融监管体制,强化资本充足率约束,防范和化解金融风险。”
itgov(中国)it治理研究中心主任孙强在发言中指出:未来公司治理和it治理对企业的影响一定是革命性的,并且这种影响直接关系到中国企业的国际竞争力,可以说国际竞争很大程度上就是公司治理和it治理的竞争。孙强认为没有完善的公司治理和it治理,我国企业首先在利用国际市场筹资方面就输给了竞争对手,产品市场的竞争必将更加困难。因此,不进行治理实践改革的公司在想获得资本,加速发展时,将发现自己处于竞争劣势。
尽管现实距离最终理想的公司治理和it治理看上去有些遥远,但实际上今天的公司治理与it治理已经不仅仅停留在概念炒作的层面。目前很多研究机构、it厂商、咨询企业都已就it如何在公司治理、全面风险管理中发挥新的使命,纷纷提出了整合的理念、框架和j9九游会的解决方案。
全面风险管理与it治理相结合
在2004年底,国资委组织召开的中央企业负责人会议上,国务院黄菊副总理强调指出,要完善企业内部管理制度,高度重视风险的防范和管理,要建立健全企业法律顾问制度,增强依法经营的能力和水平。国资委李荣融主任也提出企业要善于识别风险、规避风险、控制和化解风险。随后,由国资委企业改革局牵头,起草了国内首部企业风险管理指导性文件―《全面风险管理指导纲要》,目前已经进入征求企业意见和论证修改的最后阶段,即将出台。《全面风险管理指导纲要》适用于所有中央企业,要求企业在经营管理的各个环节和业务过程中执行风险管理的基本流程,建立健全风险管理的组织体系、信息系统和内部控制系统。
孙强先生在题为“公司治理、it治理与中国企业的国际竞争力”的主题演讲中认为:在全球风险的时代,所有的企业,不论其规模、结构、性质或产业是什么,风险管理都将是必不可少的。有效的风险管理和机会管理将成为竞争优势的源泉。同时,随着it重要性的增加和普遍应用,it将被整合到所有的生产过程与经营管理体系中去。所以,it的风险亦将显著影响到组织的战略执行及目标的实现。在这种情况下,将全面风险管理与it治理整合起来推动,就成为必然的选择。孙强还认为一旦中国企业形成了与9游会的文化相适应的良好治理结构,这就是我们企业的国际核心竞争力。
内部控制责任:“六方”相结合
国资委全面风险管理专家组成员孟秀转女士认为:不仅仅是管理人员、内部审计师或董事会,组织中的每一个人都对内部控制负有责任。确立这种指导思想有利于将组织中的所有员工团结一致,使其主动地维护和改善企业的内部控制,而不是与管理层对立,被动地执行内部控制。这样才能实现我们企业所期望的“发现问题,解决问题,发现新问题,解决新问题”。她特别倡导六方(ceo、cfo、cio、coo、cko、cro)打破原有职责范围局限,携手参与到公司治理、合法合规等实践中来,共同肩负起内部控制的责任,最终形成“内部控制人人有责”的9游会的文化。
符合“萨班斯”的it控制与信息系统审计
“萨班斯法案”最主要的特征之一表现在:法案要求组织机构使用文档化的财务政策和流程来改善可审计性,并更快地拿出财务报告。要求企业针对产生财务交易的所有作业流程,都做到高透明度、可控制、实时风险管理并防治诈欺,并且这些流程必须有可追查到的交易源头的详细记录。
如何构建满足“萨班斯”要求的内部控制,管理层如何评价这些控制设计与执行的有效性,外部审计师如何鉴证管理层对其内部控制的评价并出具审计报告?在会上国资委全面风险管理专家孟秀转女士就这些问题从三个方面作了详细介绍:
第一,“萨班斯法案”对it 部门、对管理部门提出了哪些内部控制要求,特别是对 it 的控制目标要求。第二,“萨班斯”内部控制的审计标准。控制目标做的怎么样,控制措施设计的是否恰当,执行的是否有效,需要有审计师进行评价,在这个评价的基础上找到内控的弱项,以便于我们企业弥补。这是因为符合“萨班斯”的过程是一个持续的过程,并且内部控制受控制成本的固有限制,不可能完美,需要根据环境的改变不断的完善。 第三,符合“萨班斯”的信息系统审计工具与审计流程。按照pcaob的内控审计标准,如何对内部控制给予恰当的评价,这可能是企业的高端人员非常关注的问题。“萨班斯法案”要求企业的高管人员对内控的有效性做一个评价。所以管理者、内部审计师、外部审计师都非常需要有一套审计的工作流程,以帮助他们对内部控制,包括it控制做一个相对客观的评价。
孟女士指出,在信息时代企业的整个交易和业务以及财务报告的产生,都是基于企业it基础架构的服务。管理层要保证财务报告的有效,就不可能忽略it的控制。 在pcaob建议的内部控制构建与评价工具coso 框架中缺少对it 内部控制的关注。所以国际上关于it的内控基本上是采用cobit 标准。在it部门中采用 cobit 框架的话是一定要符合 coso 要求的。除此之外,cobit控制框架也可以帮助企业建立和完善与 it有关的内部控制目标和控制活动的设计。cobit 是流程化的内控,它将it的生命周期划分为四个构成领域。除此以外,it控制也要参考 iso20000,这是it服务管理领域的国际标准,长期支持企业的运营,保证财务报告的数据真实合法,并且是完整、安全的it的运维过程。iso20000 是关于it支持业务和财务报告产生过程中的管理控制框架。这个框架的特点就是一系列标准化的可审计的it服务流程和程序。财务报告审计无保留意见的前提是财务信息的安全。关于信息安全的一个国际标准iso27001,也是被广泛采用的it内控构建与审计的工具,其中总结了39 个内控目标和 133个详细的控制措施。
cobit 、iso 20000 和iso27001不仅是构建it控制体系的指导,它们本身就是一个可审计的控制流程。pcaob在“萨班斯 404”内部控制审计标准ⅱ中关于it部分的审计就是参考了cobit:应用控制与一般控制的审计。
最后,孟女士总结说,“萨班斯”it控制和审计一定要在高管层内达成统一的认识。不要认为it控制与审计 是it的事,财务只管财务控制,人为地把两者割裂起来。我们的业务是建立在 it基础上运营的,所以必须将它作为一盘棋考虑。 还有一个就是我们建议在构建内部控制框架时,要借鉴国际标准,这是国际上多年实践的总结,我们可以少走弯路。
pcaob针对“萨班斯404”条款提出审计要求:审计师在评价内部控制时,不得绕过计算机系统,必须了解从业务产生、业务处理到产生财务报告的完整计算机处理过程,确保整个过程都有充分、适当的控制,并评价这些控制的有效性。
“萨班斯404”给审计师提出了挑战:必须对影响财务报表的信息系统进行审计。不仅如此,“萨班斯”也给企业内部控制人员、内部审计人员及风险管理人员提出了挑战。目前国内外都缺乏既懂技术又擅长风险评估、内部控制以及审计的人才。it风险评估、it控制以及信息系统审计的人才缺乏是我们通过“萨班斯”大考的关键问题。
“合力”应对“萨班斯”
毕博管理咨询公司大中华区董事rolan spahr博士认为,对员工的培训必不可少,要使员工认识到现在企业存在的风险。应该让每个员工都对风险有一种责任感,这样才能提升我们整体的业务。这是体现在个人生活当中遵循的原则,这也适用于在激烈的竞争中的公司需要。
甲骨文公司高级董事lane leskela先生在介绍波音公司财务变革与“萨班斯”合规项目时说,讨论内控问题,就是要看企业在不同阶段的变化。“萨班斯法案”要求我们提供企业不同时期变化的数据,所以企业必须使得数据尽量的简化、及时。同时,还要在这个流程中加入能够提高运营效率的东西。
在财务变革的过程当中,企业必须了解能从这场变革中获得什么。有很多公司在过去几年都为符合“萨班斯法案”的要求做出了努力,他们甚至需要改变企业的流程来适应“萨班斯法案”的规定。因此,风险管理非常重要,如果处理不好,这种改变会对企业内部的业务带来风险。我们的经验就是,企业要学习这些好的经验,借鉴其他公司的做法,给本企业的财务管理过程带来一些新的想法。此外,得到管理层的支持也很关键。管理层的支持可以确保整个过程是有效的。最后,就是要使财务改革和合规项目之间实现互动。
it内部审计论文篇(8)
一、引言
信心技术环境下的内部控制问题由来已久。伴随着信息技术(information technology,简称it)在企业中的应用和发展,企业的经营环境和经营方式发生了巨大的变化,企业利用it成为一种必然。但在解决了it基础设施建设、满足了it在业务处理和企业管理中的基本应用的同时,it带来的问题与风险也会出现。在美国,早在1992年,并于1994年修订的《内部控制――整体框架》中,对it的考虑分别在“控制活动”和“信息沟通”中涉及。而在完善1992年coso报告的前提下,美国注册会计师协会(aicpa)的《美国审计准则第319节――在财务报表审计中对内部控制的考虑》的第16―20条、第30―32条和第77―79条着重讨论了it对财务报告内部控制的影响。由于安然崩塌、世通丑闻等一系列突发事件带来的冲击,在世界范围内掀起了加强风险管理的热潮。2004年,美国防虚假财务报告委员会的《企业风险管理――整合框架》通过技术专栏的方式对一般控制和应用控制做了更加全面和深入的规范,并在“信息与沟通”中要求企业信息系统的构造必须足够灵活和敏捷,以便与外界相关方有效地整合或及时随企业内部环境的变化保持协调一致,而又不相互妨碍对方。
我国自20世纪80年代就对内部控制进行了理论探索,但近年来监管部门才对it环境下内部控制问题提出明确要求。2008年5月财政部印发的《企业内部控制基本规范》中要求“企业应当运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。”但因缺乏强制性要求和明确的指南,很多企业并没有实际运用上述成果,it环境下内部控制方法有限,对it环境下内部控制的研究较为匮乏。
二、it环境下内部控制的本质属性:持续一致的利益关系
it的应用给企业的经营管理带来了效率的提高和管理的方便,但在享用it应用给企业带来利益的同时,也给企业内部控制带来了新的挑战。许多学者对此进行了不少的论述,代表性的观点主要有三:it使企业内外部环境发生了一定的变化,对企业内部控制提出了新的挑战(刘志远等,2001);it对企业的整体内部控制产生根本性的影响,内部控制方式已经发生了根本性的变革(章铁生,2007);it对内部控制的影响程度与整个社会、企业自身信息化程度以及it的发展水平密切相关,并随后者的改变而变化(王海林,2008)。本文认为,it与内部控制是相互影响并且共同促进的,it的应用使企业经营的内外环境、面临的风险更为复杂多变,这成为内部控制理论和实务不断发展的源动力。而内部控制制度的存在恰恰是为了企业能够在激烈的竞争环境中自我调整,控制it应用带来的风险,保障企业的各种经济活动能够顺利地进行,减少不确定性,降低成本。内部控制对it应用的控制是激励和约束并行的。从这一意义上说,it环境下内部控制的本质属性是持续一致的利益关系。
三、企业it应用与企业内部控制之间的博弈
(一)模型假设
在本模型中,博弈双方是企业实施信息化与内部控制的构建,对于模型笔者做如下假设:(1)企业实施信息化的过程是理性的,即总是以追求企业价值最大化为目标;(2)企业实施信息化使得信息技术在横纵向嵌入改变了企业基本业务流程。同时假设企业实施信息化后企业的得益为v;(3)假设企业不实施信息化改造,则企业的得益将为0;(4)it环境下内部控制现状:各类信息透明度不高,因而it应用与内部控制处于信息不对称状态。同时假设企业实施信息化后企业面临更多的内部控制风险,损失为v2。
(二)模型的分析与求解
第一阶段,企业实施信息化,使得企业组织结构扁平化,风险评估得到优化,控制手段多样、高效、灵活,提高了信息的质量,增加了沟通的渠道。企业实施信息化后企业的得益为v1。有两种可能,如果未出现内部控制问题则得益为v1,博弈停止;反之出现了内部控制问题,例如利用计算机进行的舞弊的行为活动、信息资源使用中断对企业经营生产的负面影响、信息系统的扁平矩阵型组织不利于准确区分权责利等。则企业得益为v1-v2(v1>v2),进入下一阶段。
第二阶段,这一阶段由企业根据实施信息化后企业遇到的内部控制问题进行内部控制体系的构建与实施,本文认为,it环境下内部控制的本质属性是持续一致的利益关系,it环境下内部控制的构建可以为企业获益,假设得益为v3。
企业的得益:v=v1-v2 v3
企业实施信息化与企业it环境下内部控制的构建都受企业努力程度(e)的影响,内部控制带来的损失受随机扰动项(w)影响。
所以本博弈中企业的得益:max{v}=max{v1 e-(v2 w) (v3 e)}。
(三)博弈模型的建立
参与者:企业实现信息化与企业构建内部控制体系。将积极投入人力物力实现企业信息化定义为2,消极投入人力物力实现企业信息化为0。积极投入人力物力构建内部控制体系为1,消极投入人力物力构建内部控制体系为0。
博弈规则:信息不完全对称的条件下二者的策略集合分别是:s1={积极投入人力物力实现企业信息化,消极投入人力物力实现企业信息化},s2={积极投入人力物力构建内部控制体系,消极投入人力物力构建内部控制体系}。
博弈过程及收益如图1的博弈树,支付矩阵如表1所示。
如上所述,it环境下内部控制的本质属性是持续一致的利益关系,那么,二者之间博弈的最后均衡结果应为{积极投入人力物力实现企业信息化,积极投入人力物力构建内部控制体系},其均衡收益为(2,1)。企业能否实现收益最大化受是否积极投入人力物力实现企业信息化、积极投入人力物力构建内部控制体系影响。
通过以上的博弈分析可见,一方面,如何构建it环境下内部控制体系有效避免内部控制风险,减少内部控制漏洞将成为企业实现价值最大化的首要问题。第一,从系统控制考查it风险与控制的基本框架。
表2列示了考查it风险与控制的基本框架。其中一般控制适用于较宽范围的风险,这些风险威胁到it环境中所有应用程序的合法性、信息可靠性、数据完整性、访问安全性、软硬件的维护、人的因素以及效率等。应用控制则是针对特定的系统的风险,如进销存系统、职工薪酬管理系统等。应用控制测试涉及到具体的审计目标,如检查应付账款完整性等。
第二,从管理控制上要完善企业内部治理制度。美国总统华盛顿说过:“人是靠不住的,只有制度才靠得住。”企业经济活动的顺利进行需要一个完善的企业内部治理制度来协调。制度一旦形成,任何人都不能超越制度的约束。内部控制制度是控制风险的“防火墙”,要求企业对it的应用满足风险管理和制度的基本要求,必须接受企业高层和监管部门的充分监督,保证相关原则、政策和内部控制制度得到贯彻执行。
另一方面,it应用与内部控制之间存在信息不对称问题,it治理是解决信息不对称的良好途径,it治理力求实现业务与信息的集成,这些不仅可使公司经营活动变得更透明,还可提高公司信息的质量,减少利益相关者之间的信息不对称问题。it治理是提高内部控制的有效手段,it治理将合理的制度安排、程序控制嵌入到it系统中以及会计软件中,使得it系统与会计软件具备内在的控制机制,减少了信息生成过程中错误与舞弊行为,确保企业运营满足相关法律法规的要求。
结合我国it环境下内部控制实际,笔者认为构建it环境下内部控制体系是一个以it治理为基础,系统控制、管理控制为重点的“预防―风险评估―控制监督”的内部控制体系。早在系统开发阶段就应在it系统以及会计软件中嵌入完善的内部控制,例如:更合理的权限分配、信息加密处理等,并从系统控制、管理控制出发全面评估现行业务过程和信息过程有关风险,利用信息作为资源进行风险控制。“一分预防顶上十分改正。”预防控制远比问题出现以后的检查和改正更划算。风险评估是内部控制的第二道防线,风险评估通过对实际发生或预计发生的情况与设定标准的比较来查出问题的出处。对风险评估查出的问题进行控制,这是风险评估与控制活动的一个重大区别,监督是为了弥补控制活动的缺陷,监督应该由独立的审计部门来完成,在公正的审计法规和先进的审计j9九游会的技术支持下,完善企业信息化环境下的监督管理机制。在分析系统控制、管理控制环节的实务工作,应充分借鉴cobit等国外先进的it内部控制模型,并在它们的基础上提出适合我国现状的it内部控制模型,而如何利用it进行控制,是我们未来需要着重研究的课题。
【主要参考文献】
[1] 章铁生.信息技术条件下的内部控制规范:国际实践与启示[j].会计研究,2007(7).
[2] 潘琰,郑仙萍.论内部控制理论之构建:关于内部控制基本假设的探讨[j].会计研究,2008(2).
[3] 骆良彬,张白.企业信息化过程中内部控制问题研究[j].会计研究,2008(5).
[4] 唐志豪,计春阳,胡克瑾.it治理研究述评[j].会计研究,2008(5).
[5] 石爱中.从内部控制历史看内部控制发展[j].审计研究,2006(6).
[6] 陈志斌,陆瑶.内控规范制定机制研究[j].会计研究,2008(4).
[7] 刘志远,刘洁.信息技术条件下的内部控制[j].会计研究,2001(12).
[8] 张砚.内部控制历史发展的组织演化研究[j].会计研究,2005(5).
[9] 林钟高,郑军.基于契约视角的企业内部控制研究[j].会计研究,2007(10).
it内部审计论文篇(9)
中图分类号:f239 文献标识码:a 文章编号:1001-828x(2013)12-0-01
一、商业银行进行信息系统审计的意义
(一)商业银行日益依赖信息系统。商业银行信息系统一般可分为信息管理类系统、渠道类系统和外部清算结算类系统。
1.信息管理类系统与决策、管理和业务相关,以提高效率和规避风险为目的,主要有贷款系统、征信系统、客户管理系统、资产负债管理系统、办公自动化系统、档案系统(票据影像缩微系统和光学字符识别ocr)、数字终端录像系统、数字视频监控系统等。
2.渠道类系统是商业银行面向市场和客户的窗口,也是对外服务使用的载体,包括人工渠道、电子渠道和第三方渠道。人工渠道有柜面服务和职能部门的业务终端(例如会计账查询系统等);电子渠道分为自助服务系统(电话银行、手机银行和网上银行)和自助服务终端(atm和p0s);第三方渠道包括银联交易、区域性通存通兑和同城跨行通存通兑等。外部清算类系统是指有外部接口的系统,包括行间资金转账系统shft,主要有大额清算系统、同城交换系统、同业往来清算系统和第三方存管清算系统。
(二)大数据时代将到来。随着信息系统的大力发展,商业银行信息系统出现了爆发式的增长,银行业务越来越依赖信息系统,商业银行的竟争很大一部分是靠信息战。目前,各大银行都实现了数据的总行大集中,信息数据己经成为银行的核心竟争力之一,大数据时代即将到来。
(三)监管当局的外部要求。随着金融业对信息系统的依赖度越来越高,国家相关部门对信息系统的管控也越来越重视,自2006年8月《银行业金融机构信息系统风险管理指引》开始,银监会正式对银行科技风险进行监管,近年来推出一系列制度和措施,监管工作逐步走向规范化。通过it审计来保证和监控全行的信息科技管控对各级监管政策法规的合规性,也成为银行业实施it审计的重要目的之一。
二、商业银行it审计标准
商业银行it审计,以国际最佳实践及相应的规则做为审计依据。主要有:
1.cobit最佳实践模型
cobit(control objectives for information and related technology)是由信息系统审计与控制基金会最早在1996年制定的it治理模型。这是一个在国际上公认的、权威的安全与信息技术管理和控制的标准,其最大的作用是将it过程、it资源与企业的策略和目标联系起来,保障企业的it战略目标和其业务发展目标的一致性。
cobit4.1版本中经典的体系框架包括了实施简介、实施工具集、高层控制目标框架、管理指南、具体控制目标、审计指南等一系列文档。
2.监管部门颁发的《商业银行信息科技风险管理指引》
2009年的《商业银行信息科技风险管理指引》(以下简称《指引》),定义了商业银行信息科技风险的总体框架,即在当前商业银行普遍的信息科技现状下,可能存在的重大信息科技风险的范围,使商业银行的风险管理过程,能够集中精力在相关领域。
《指引》确定了九大管理领域,即:信息科技治理;信息科技风险管理;信息安全;信息系统开发、测试和维护;信息科技运行;业务连续性管理;外包;内部审计;外部审计。这些领域覆盖了信息科技管理的大多数重要活动,这些活动中存在的风险,可能会对业务产生重大影响,因此对这些领域的风险识别和管理,应当在信息科技风险管理中优先对待。
在这九大领域中,it审计占两个,分别是内部审计和外部审计。而《指引》本身,就是一个针对银行的框架完整的it审计标准,银行可以参考这个标准,开展it审计工作。
3.其他it审计标准
除了以上两个标准,实践中还可使用其他标准,如,由于信息科技的细分领域众多,在进行某些细分领域的专项审计或单领域审计时,可以考虑单独使用某些国际或国内标准作为审计标准,从而达到更深入和专业的目的。比如,在进行信息安全方面的审计时,可参考iso27001等国际标准或国内标准sse-cmm;在审计it运维、it服务的交付和支持相关领域时,可以考虑采用itil作为审计标准;银行应当依据自身特点,结合本行信息科技工作的特点以及每次it审计的目的和范围,有选择地采用审计标准。
三、银行业it审计展望
(一)加强以风险为导向的it审计
银行it审计职能和角色也在过去这些年发生了不少变化,从以合规审计为主的工作,逐渐变成了活跃的内部或外部业务顾问。如前文所述,基于风险的银行it审计工作将成为银行it审计的主流工作方法。
(二)计算机辅助审计技术(caats)会在it审计中得以广泛应用
计算机辅助审计技术是指审计人员在审计过程和审计管理活动中,以计算机为工具,来执行和完成某些审计程序和任务。
it内部审计论文篇(10)
it审计过程与一般审计过程一样,分为准备阶段、实施阶段和报告阶段。其中,准备阶段和报告阶段所涉及的技术方法与财务审计所运用的技术方法区别不大,而实施阶段所涉及的技术方法则具有信息技术的特色。在实施阶段,针对被审计的信息系统,审计人员所开展的工作可以分为三个层次,即了解、描述和测试。
计算机信息系统环境下审计技术方法与手工环境下传统的审计技术方法相比,相应增加了计算机技术的内容。对it审计的方法既包括一般方法即手工方法,也包括应用计算机审计的方法。it审计的一般方法主要用于对信息系统的了解和描述,包括:面谈法、系统文档审阅法、观察法、计算机系统文字描述法、表格描述法、图形描述法等。应用计算机的方法一般用于对信息系统的控制测试,包括:测试数据法、平行模拟法、在线连续审计技术(通过嵌入审计模块实现)、综合测试法、受控处理法和受控再处理法等。应用计算机技术的审计方法主要是指计算机辅助审计技术与工具的运用。但不能把计算机辅助审计技术与工具的使用过程与it审计等同起来。在it审计的过程中,仍然需要运用大量的手工审计技术。
二、国内it审计现状及其未来发展
随着it技术在企业业务和管理中的广泛运用,it逐渐从传统的后台支持而步入前台,成为企业竞争的重要支撑,企业凭借信息系统的强大功能优势,完成其业务的自动化,但与此同时,从信息系统安全性、效率性、合规性方面都存在风险,传统的控制、管理、检查和审计技术都受到了巨大的挑战。
其次,从应用企业类型来看,目前it审计主要集中在信息化程度要求较高、生产安全紧密相关的单位。
企业对于it审计人才的培养也处于初级阶段,目前的状况是懂it的人才不少,但是这些专业人才往往缺少对企业的业务、审计的相关知识。
基于cobit的it综合审计是目前it审计界的一个技术新趋势,cobit着眼于与企业业务密切相关的it资源的审计与评估,通过对it审计流程的分析解剖,确认it事件审计风险点、控制目标,从业务效果、效率、保密性、完整性、可用性、合规性、可靠性多个维度给出it审计评价。以cobit为基础是it审计的重要发展方向。
it审计(it审计)实施方法简单概括一下:
1)it审计总体框架
以监管部门的监管要求为基础,并将其与cobit的it治理控制框架进行整合,it审计范围可包括it原则、it架构、it基础设施、it应用、it投入等方面的制度建设和执行情况。
2)制定it审计方案
it审计应在行业信息技术特点和监管部门要求的基础上,将信息技术审计过程控制表按照cobit四个控制领域,即规划与组织、获取与实施、交付与支持、监控与评价,进行划分和完善,形成包含34个高级控制流程、438个详细控制活动的审计方案和审计指南。
3)it审计实施
it审计实施过程按照审计控制域与it管理职能、it系统进行交叉,通过现场访谈、问卷调查和it相关控制测试等不同的方式展开,最终归纳和整理形成了不同专业领域的it审计底稿。
4)审计报告
重点对it审计发现的事项进行描述,并被审计方进行确认,以审慎的态度验证审计发现的准确性与合理性。在被审计方确认审计发现的基础上,对所有审计发现进行汇总,出具it审计报告。
三、针对国内it审计针对性问题的合理对策
(一)信息系统的设计和开发没考虑审计的需求
it审计进入我国较晚,较长一段时间以来,人们对它的认识还不全面、系统,信息产业更是缺乏对it审计思想及必要性的认识,使得系统审计职能一直没有真正进入信息系统工程领域,在信息系统建设过程中,在系统的设计、开发环节没有考虑系统审计的需求,导致目前常规的it审计方法与技术在具体实施过程中屡屡碰壁,证据取得困难,程序追踪困难,审计过程效率低、效果差。
同时有相当一部分信息系统的设计者、开发者认为软件测试可以取代it审计。其实,测试只要求功能的实现,而审计需要功能的规范实现,要考虑更多的企业内部控制的需求。另外,系统测试只在软件开发阶段有效,而审计是覆盖信息系统整个生命周期的,因此,信息系统测试不能代替it审计。
(二)it审计人才匮乏
it审计归根结底是从传统财务审计衍生出来的一种新审计分支,从业人员多数也是从传统审计转化而来。但是,it审计涉及审计学、信息科学、系统科学等学科,是一个多学科交叉的新领域,对从业人员提出了更高的要求,需要同时具备相关知识的复合型人才。
四、it审计对策
(一)深化对it审计的认识
通过培训和教育,使有关部门和单位明确it审计对于信息化建设工作的重要性。it审计工作应随着系统建设的开展而开展,应当落实好涵盖所有相关信息资源、信息系统声明周期、信息系统管理维护的全方位的it审计。
进一步理顺和划清it审计与计算机审计等相关概念的联系和区别,以主管部门正式文件的形式规定各自的职责目标、真人游戏第一品牌的业务范围、适用准则与技术,为it审计的研究和实践打好基础。
(二)推广和建设审计信息系统
信息系统是数据与业务逻辑的集合体,在支持企业内部控制及外部审计方面具有先天优势。例如,在信息系统中可以设置内部控制审计轨迹保留机制,用来记录用户、应用程序及系统的关键活动。同样在信息系统中也可以增加会计记录随机抽样功能,并将抽样保存于安全数据库中,这样就可以有效防范“反记账”和“反结账”。
统一财务软件的数据结构与数据接口,做好信息系统的规范工作,强制要求信息系统提供审计接口,将会计信息系统是否支持标准数据格式、是否具有审计线索保留功能作为评价其质量高低的评价标准。
在信息系统建设过程中推广和应用时间戳技术、电子签名技术、xbrl技术对于审计数据的规范共享、提高审计证据的真实性有重要作用。
(三)加强it审计人才培养
针对it审计人才匮乏的现状,可以多渠道开展it审计人才培养,弥补人才的不足。
1.鼓励现有审计人员学习it审计知识,扩展和充实职业技能,应对it审计业务的快速增长。他们具备完备的审计专业知识,只要适当地补充与it审计相关的信息技术,就可胜任it审计的职业要求。
2.在高校开展it审计专业人才培养。针对审计专业的学生或者信息系统专业的学生开展交叉教学,培养复合型人才。
3.鼓励从业人员、学生参加注册it审计师考试。isaca针对it审计的职业技能要求,推出了国际注册it审计师考试,目前在我国北京、上海、广州、南京四个城市设有考点。准备和参加考试不仅可以学习和检验专业技能,同时可以了解相关领域的最新发展。
(四)加紧制定it审计标准与规范,促进行业规范发展
