序論:在您撰寫信息系統審計論文時,參考他人的優秀作品可以開闊視野�,小編為您整理的7篇范文,希望這些建議能夠激發您的創作熱情���,引導您走向新的創作高度�����。
第1篇
當前會計信息系統審計主要圍繞以下內容開展:其一是會計信息系統內部控制審計�。由于會計信息系統大幅提高了會計舞弊和會計信息差錯識別的難度,因而從內部控制審計入手實施會計信息系統審計就顯得尤為必要�。也就是說����,企業內部控制體系影響甚至決定著企業會計信息系統的安全性和有效性,越是健全的內部控制體系就越能避免和降低企業會計信息差錯和舞弊風險�����,因而對企業內部控制體系的完整性����、有效性和安全性進行審計就成了目前會計信息系統審計的重要內容和前提保障。其二是會計信息系統應用程序審計���。其審計內容主要圍繞軟件的應用程序設計功能是否完善�、標準是否可靠����,是否具備必要的會計信息處理功能,是否符合相關法律法規要求,是否符合企業管理制度和企業會計政策�,是否存在程序漏洞和程序錯誤,是否人為故意地留有后門程序等��。應用程序的安全���、可靠�����、高效同樣影響著企業會計信息系統的安全性和效能���,因而也是會計信息系統審計的重要內容之一。其三是會計信息系統數據��、信息����、資料的審計。同傳統審計內容類似���,其途徑是通過計算機對相關原始憑證����、財務報表、會計賬簿等進行審計��,對信息資料進行符合性測試和實質性測試��,對數據采用動態分析和比率分析等方法�,確保電子數據的真實、可靠���、完整和有效。另外���,還應對會計信息系統進行事前審計���,即在信息系統開發之初就要求審計人員介入,跟蹤前期的系統程序和硬件的設計���、編寫�、建構�����、實施�����,跟蹤系統實施過程中的運營、調試�����、維護����、修正,以確保整個會計信息系統符合相關法律法規要求�����、符合財務和會計行業標準���、符合公司會計政策和系統職能需求�����。
二�����、會計信息系統審計發展現狀簡析
自20世紀末開始我國企業普遍實施會計信息化以來����,我國會計信息系統審計也應運而生,并在政府�、企業及審計機構的組織實施下有效開展起來并取得了長足進步。具體表現在:其一�,初步建立了會計信息化審計的相關準則和規范,使會計信息系統審計人員能夠依據這些技術標準和準則更好地開展會計信息審計工作�����。如中國注冊會計師協會1999年頒布的第一個信息系統審計準則《獨立審計具體準則第20號——計算機信息系統環境下的審計》���,以及國務院辦公廳2001年的《關于利用計算機信息系統開展審計工作有關問題的通知》,都對會計信息系統審計的對象�、方法、程序����、內容和范圍等進行了初步界定和規范,明確了會計信息系統審計中審計人和被審計人的權責范圍����。2008年中國內部審計協會頒布了具有里程碑意義的會計信息系統審計準則《內部審計具體準則第28號——信息系統審計》,更是將會計信息系統審計納入到風險導向審計的現代審計范疇���,使之更為完善����、全面和高效。其二����,會計信息系統審計發揮了一定成效,推進了企業會計信息化發展和企業信息化管理進程�����。信息化發展是企業戰略發展的重要組成部分�,也是企業現代化管理體系構建的重要內容,企業信息化即包括會計信息化����,鑒于此,我國審計體系也同樣順應時展潮流�����,針對會計信息化系統制訂和實施了相適應的審計模式����,有效履行了審計職能��,推進了會計信息化的發展進程�;與此同時�����,審計體系自身也開始了信息化變革之路��,構建審計網絡和審計信息平臺����,審計信息化軟件也隨之興起并展現出高效能,極大地提升了審計效率�。
三、會計信息系統審計存在的問題
盡管我國會計信息系統審計取得了一定成效�,不僅促進了企業會計信息化發展和企業信息化戰略發展的步伐,也直接促進了審計體系自身的信息化發展�。然而研究過程中也同樣發現��,我國會計信息系統審計還存在一定的問題亟待改進��,具體如下�����。
(一)會計信息系統審計法規制度不健全
先進水平的會計信息系統審計需要建立在健全的審計制度體系之上,使審計工作在制度保障之下規范����、高效運行。然而我國在這一方面則存在較大差距�,目前我國有關會計信息系統審計的相關制度法規十分零散,大多只針對某一方面做出具體規范�����,還沒有統一的�、完整的、具有體系性的會計信息系統審計制度可以指導和保障實踐的有序�����、有效進行����。例如,目前還有沒統一的會計信息系統審計準則�����,會計信息系統審計的內容、方法���、技術����、程序等都未能界定統一的實施規范�。
(二)缺乏專業的會計信息系統審計人才
會計信息系統對審計人員的審計能力提出了更高要求。審計人員能力不足��、審計工作準備不充分都容易導致審計失敗�����。會計信息系統審計要求審計人員不僅需要具備審計方面的專業知識�,了解企業生產經營狀況,還需要具備較高的信息技術能力����。然而目前,我國大部分審計人員并不缺乏專業的審計知識��,也有著豐富的審計經驗�����,但對于會計信息化系統審計的信息技術能力要求普遍顯得力有不足�����,信息技術水平和計算機技術水平不能滿足信息系統審計的需要�。
(三)信息化審計軟件效能不足
應對會計信息系統審計的有效途徑是加快審計自身的信息化發展,目前開發了眾多功能強大的審計軟件應用于審計工作��,提升了審計效率���,確保了審計的準確性和可靠性���。然而目前的審計軟件其實用性、針對性和有效性還不能滿足會計信息系統審計的需求��。其中存在的問題主要包括:一是軟件自身功能不足�����,無法滿足會計信息系統審計的實際需求���,軟件只能實現一些簡單的數據查詢和計算功能����,無法對復雜的企業會計數據信息進行更為專業的處理和分析。二是有的軟件設計過于復雜�����,易用性較差��。審計人員不易操作或者操作過程極為繁瑣��,影響審計效率�。
(四)會計信息系統本身存在缺陷影響審計效能
在對會計信息系統進行審計時,通行的做法是需要會計信息系統預留審計接口��,審計人員通過接口對會計信息系統中的數據信息進行查閱�����、調取��、審核��。我國頒布的會計信息系統審核相關規范也明確了會計信息系統中“應具備標準的數據接口”��。然而在具體實踐中�����,許多企業的會計信息系統本身并未留置接口,使得一些審計軟件無法和被審計對象的會計信息系統對接�����,也有一些會計信息系統自身設置了復雜的權限驗證�����、加密程序等�����,使審計軟件無法獲取需求數據��,或加大數據獲取難度�����,影響了審計時效�,甚至使審計無法操作���。另外�,會計信息系統本身的設計缺陷還包括一些軟件漏洞容易招致黑客攻擊篡改��、增刪數據信息,或者軟件故障頻發導致數據損毀����、滅失等,這在目前的會計信息系統審計工作中也較為常見���,極大地影響了會計信息系統審計的實施�����。
四����、會計信息系統審計的治理策略
針對以上問題�����,需要審計機關�����、審計行業組織和企業共同努力�����,多管齊下,對癥下藥��,在順應社會經濟信息化發展的前提下確保會計信息系統審計職能高效履行���。
(一)進一步健全會計信息系統審計規范
盡管我國已經初步確立了會計信息系統審計相關規范體系,但同西方發達國家相比����,或者同我國社會經濟發展的審計需求相比,仍顯不足�����,需要進一步完善���。健全我國會計信息系統審計規范應基于以下原則:其一���,與國際接軌。在全球經濟一體化發展背景下�����,審計準則與國際接軌是必然要求���,以確保審計結果能夠在更廣泛的范圍和空間發揮效用��。其二��,與國情相適�。會計信息系統審計的相關規則和標準的設定要基于國情,立足實踐��,與會計信息系統審計發展需求相適應��。其三�����,關注細節�����。我國現有的會計信息系統審計相關規范僅僅就基本原則和審計內容���、對象��、范圍等做了闡釋�,而缺乏審計具體流程和操作指南�����,還缺乏系統性和層次性,需進一步完善��。其四�,前瞻性原則。會計信息系統審計規范的制定需立足當前�����,著眼未來�,對會計信息系統審計工作未來的發展趨向和工作重點����、難點做出預測和判斷,在政策導向上予以規范和指引��。
(二)加強會計信息系統審計人才隊伍建設
人才問題是會計信息系統審計的突出問題��。近年來全球信息化發展迅猛�����,企業信息化發展戰略如火如荼�����,日新月異,凸顯了信息化人才不足帶來的制約�,需要相關審計機構、教育機構共同努力�,加大人才培養力度,壯大會計信息系統審計師人才隊伍���。首先�����,要細化會計信息系統審計資格認證體系�����,打造階梯式人才隊伍�,滿足不同審計需求����。其次,要挖掘現有資源潛力�����,加強現有審計人員信息技術技能培訓,提升會計信息系統審計能力���。教育機構應將會計信息系統審計人才培養納入教育體系����,開設相關課程��,培養專業人才��。最后���,成立專門的會計信息系統審計行業組織�。會計信息系統審計同傳統審計有著極大不同����,需要成立專門的會計信息系統審計行業協會����,對會計信息系統審計活動及審計人才隊伍進行有效指導和管理,設立從業資格認證及審核機制�����,組織資格考試,提高會計信息系統審計隊伍專業水平���。
(三)提升專門審計軟件的有效性
目前市場存在的審計軟件還存在一定問題�,還應持續創新���、升級��、強化軟件功能�,在保障能以技術手段確保審計數據信息高效�、順暢獲取的同時,還應內置數據分析���、識別和處理功能模塊�,降低審計工作量和難度�,提高審計效率。就專業化發展而言�����,應由信息技術人員和審計人員共同合作開發專門的會計信息系統審計軟件��,代替目前市場上常見的功能單一、穩定性差�、操作復雜、標準不一的審計軟件���,使審計人員更加容易操作�����,使審計流程得以高效實施�,同時降低工作難度和風險�,以更好地履行審計職能。開發設計應本著“實用性”����、“易用性”、“安全性”和“高效性”原則��,由審計人員負責確保軟件的實用性和易用性�����,由信息技術人員負責確保軟件的安全性和高效性�,以提升專門審計軟件的有效性�����。
(四)統一會計信息系統審計軟件技術規范
第2篇
(一)信息系統審計的定義。中國內部審計協會(2014)認為信息系統審計是指“內部審計機構和內部審計人員對組織的信息系統及其相關的信息技術內部控制和流程所進行的審查與評價活動”�����。按照上述定義�,信息系統審計的重點跟傳統審計一樣,還是專注于內部控制與流程��,但關注點不同�����,信息系統審計的關注點是信息系統的控制和流程���,而不僅僅只關注相關的制度和規范���。
(二)信息系統審計的目標。信息系統審計和控制聯合會(ISACA)COBIT框架認為組織內部的信息系統需求三原則是:質量�����、成本和安全�����,即在保證信息系統滿足組織需求的前提下,盡可能避免組織內外部風險�,并減少研發和維護成本。因此信息系統審計的目標就是對組織信息系統的運行的可靠性�����,數據的真實性和安全性提供評價����。
(三)信息系統審計的步驟。由于大多數高校內審機構在“數字化校園”開發階段并沒有參與其中���。本文所述的信息系統審計專指信息系統運行維護階段的審計���。
1.審計準備階段。信息系統審計準備階段步驟與傳統審計類似�,通過從被審計單位獲取相關信息系統管理的規章制度,找負責系統維護管理的工作人員座談�����,實地觀察等方式����,完成審前調查,進行風險評估���、初步確定審計重點和制定審計實施方案等工作�����。
2.審計實施階段�。信息系統審計在實施階段分為兩部分��,分別為信息系統一般控制審計和應用控制審計�。一般控制審計往往比應用控制審計更為重要,因為應用控制的有效性常常受到一般控制的影響��。根據審計項目不同��,審計人員可以只實施一般控制審計或者兩者結合進行審計����。(1)一般控制審計。一般控制審計又可以分為硬件和軟件兩部分���,兩部分的審計重點和方法有所不同�����,分別為:對硬件的審計通過實地觀察法實施�����,主要有審計網絡接口是否安全�����,是否有硬件防火墻���,硬件設備存放環境是否安全�,防火�����、防雷�����、防盜措施是否完備�����,是否裝備了UPS,在硬件出現故障時是否制定了應急響應計劃等�����。對軟件的審計通過抽樣��、觀察和面談實施�,審計重點為:一是系統管理控制�,主要有系統設定的職責分離是否合理,授權管理是否充分���,是否做到一個系統賬戶對應一個工作人員����,是否確保了只有被授權的用戶才能對特定資源和數據進行訪問等�����;二是軟件安全控制����,主要有是否安裝了殺毒軟件,軟件是否定時升級���,未經授權的軟件能否安裝���,是否有系統操作規范等�����;三是數據管理控制��,主要有數據傳輸是否加密�,系統數據是否定期備份�����,有無冗余備份����,數據修改是否按照規定程序進行審核,向外部傳輸系統數據是否有身份認證����,是否定期對數據質量進行檢查等。(2)應用控制審計����。信息系統應用控制是指為保證應用程序處理數據時按照組織流程運行�,確保數據的完整性和真實性的控制���,包括輸入控制��、處理控制�、輸出控制三部分��。輸入控制包括輸入授權��、數據轉換和編輯校驗���,處理控制包括運行總數控制、計算機匹配和批處理控制����,輸出控制包括復核系統處理日志、審核輸出文本�����、審核程序�。對應用控制的審計,主要通過分析性復核和計算機輔助模擬的方法,審計重點為信息系統業務的控制點設置是否合理���,數據處理程序最多運行數��,是否有審核系統日志程序等���。
3.報告階段。內審人員根據實施階段編制的工作底稿���,出具審計報告初稿��,與被審單位充分溝通后����,修改審計報告����,報相關層級領導審核后�,簽發正式審計報告。
二����、高校做好信息系統審計的措施
1.轉變觀念����,提高開展信息系統審計必要性的認識?��!皵底只@”建成以后�,高校內部控制環境已經悄然發生改變�����,內部審計要想充分發揮其獨有的管理評價職能��,必須迎頭而上��,及時開展信息系統審計�。不少內審機構認為信息系統審計專業性太強�,無從著手,實際上信息系統審計的核心并沒有改變�����,還是對信息系統控制的評價�,并沒有超出審計人員專業知識的范疇。
2.結合實際���,建立信息系統審計的體系�����。當前��,國際上已經有比較成熟的關于信息系統審計的體系���,那就是信息系統審計和控制聯合會(ISACA)COBIT體系�����,但完全照搬肯定是不行的���,在實際操作中,內審機構必須結合國情�����、校情�����,進行修訂更改�����,出臺符合自身工作實際的、具備可操作性的信息系統審計體系����,以規范審計工作。
3.加強對內審人員的培養�。內審機構可以通過以下方式提高內審人員業務素質:一是鼓勵內審人員取得CISA資格。由ISACA頒發國際信息系統審計師(CISA)執業證書是唯一在國際上獲得認可的證書�����,具有很強的權威性�。二是在聘請外部審計機構進行信息系統審計的同時,讓內審人員參與其中���,做到邊實踐邊總結,起到“以審帶練”的作用��。
第3篇
關鍵詞:信息系統審計;企業信息化;信息系統
信息化是國家現代化的基本標志�����,也是一個國家綜合國力的集中體現�����。信息化建設是一項長期的、綜合的系統工程�����,在改善企業運作管理水平�����、提高工作效率的同時�����,也產生了巨大的風險����。因此,建立信息系統審計制度���,發展信息系統審計是信息化過程中必不可少的制度保證和手段�����。
一����、信息系統審計的概述
1.信息系統審計的定義
信息系統審計(InformationSystemAudit信息系統,簡稱ISA)目前還沒有公認的通用定義�,國際信息系統審計領域的權威專家RonWeber將它定義為:收集并評估證據,以判斷一個計算機系統(信息系統)是否有效做到保護資產����、維護數據完整、完成組織目標�����,同時最經濟地使用資源���?����?赏ㄋ椎睦斫鉃槭菍π畔⑾到y的規劃�、開發���、實施、運行和維護等各個環節進行評價��,確保其符合企業經營目標的過程。
2.信息系統審計的業務內容
信息系統審計的業務內容包括計算機資源管理審計���、軟硬件等獲取審計�、系統軟件審計��、程序審計��、數據完整性審計�、系統生命周期審計、應用系統開發審計����、系統維護審計、操作審計和安全審計�。
信息系統審計項目按生命周期來劃分,一般分為信息系統開發過程的審計�、信息系統運行維護過程的審計和信息系統生命周期共同業務的審計。
信息系統開發過程中的審計是伴隨著系統規劃����、系統分析、系統設計�����、編碼、測試和系統試運行這幾個階段同步進行的�����。信息系統運行過程中的審計包括系統輸入審計����、通信過程審計、處理過程審計�����、數據庫審計����、系統輸出審計和運行管理審計;信息系統維護過程中的審計包括維護組織審計����、維護順序審計、維護計劃審計��、維護實施審計�、維護確認審計、改良系統試運行審計和舊信息系統報廢審計。
3.信息系統審計的流程
信息系統審計流程包括三個階段即:審計計劃階段�、審計實施階段和審計完成階段���。
計劃階段是信息系統審計流程的第一步���,主要任務是了解被審系統的基本情況;與委托單位簽訂業務約定書���;初步評價被審系統的內部控制及外部控制�����;確定重要性水平���;分析審計風險和編制審計計劃。
實施階段的主要任務是根據重要性水平�����、風險和計劃獲取有關資料����;進行符合性測試和實質性測試;對測試結果進行分析;找出導致結果的原因�。
完成階段的主要任務是整理、評價審計證據�;復核工作底稿,完成二級復核�����,匯總審計差異���,同被審系統管理層交流����;對重要性水平和風險進行最終評價�����,形成審計意見�����,編制審計報告�,完成三級復核。
二�、信息系統審計的方法����、技術與工具
由于信息系統本身的多樣性和復雜性�,信息系統審計的難度也隨之增加。面對錯綜復雜的信息系統和審計環境����,要求審計師可以根據審計組織及信息系統的實際情況�����,結合審計目標��、成本效益�����、審計小組的人員與設備配置情況等�����,采用多種方法�、技術和工具來幫助他們進行審計工作。
1.常規的審計方法�����、技術與工具
常規的審計方法包括面談法、問卷調查法����、系統評審會、流程圖檢查�����、程序代碼檢查�����、程序代碼比較和測試等�。但在高度計算機化的信息系統中,只采用常規審計法顯然是不夠的��,無論是審計證據的收集���、評價���,還是實現審計工作的現代化,都需要借助計算機來高效完成�。
2.計算機輔助審計的技術與工具
信息系統被普遍應用與企業生產���、管理及經營活動的各個環節,審計師為達到審計目的���,必須要收集大量儲存于計算機中的數據��,并借助于計算機對這些數據進行分析�����,以得出審計的結論。因此審計師在收集證據并分析證據時�����,必需利用計算機輔助審計工作�����,計算機輔助審計技術(ComputerAssistedAuditTechniques�,簡稱CAAT)越來越成為審計師不可或缺的手段。
計算機輔助審計技術可以使信息系統審計師獨立收集審計信息�����,按照預定審計目標訪問和分析數據、報告系統產生和維護的記錄的可靠性等審計發現�����。所用信息來源的可靠性為得出審計結論提供了再保證����。
常用的計算機輔助審計軟件與技術:共用軟件、測試數據��、應用程序檢查���、審計專家系統�、整體測試�����、快照�、系統控制審計審核文檔、其他特殊的審計軟件等����。三、信息系統審計的應用價值
信息化是有風險的�,信息系統規模越大�����,功能越復雜��,風險也就越大�����。信息系統審計為企業信息系統的有效管理提供了一系列詳細的審計方法����,從項目計劃開始介入信息系統建設的每個環節��,從項目的初始階段一直到運營階段的全過程��,給予項目投資者風險控制的評價和建議���,提高信息系統的投資效益。
信息系統審計可以查出各種錯誤和舞弊��,合理地保證企業信息系統及其處理�����、產生的信息的真實性、完整性與可靠性����;可以促進企業更有效地融入到社會生活中;可以促進企業改進內部控制�,加強管理,提高信息系統實現組織目標的效率�����。信息系統審計在信息化過程中���,幫助企業建立健全的內部控制制度����,進行系統診斷���。確定信息化的目標和內容���,幫助企業調整現有的管理框架和流程或修改軟件產品使其更好地服務于管理的需要。
參考文獻:
[1]胡克瑾:IT審計[M].電子工業出版社��,2004.
[2]孫強:信息系統審計:安全、風險管理與控制[M].機械工業出版,2003.
第4篇
[論文摘要]本文分析了信息系統環境下審計工作系統的功能特征��、運作環節以及系統的構成����,介紹了系統測試的方法,以期提高審計信息化水平�����,提高審計效率和效果�。
數據庫技術在審計信息管理中的廣泛運用,能為審計人員充分�、有效、便利地提供信息�����,為滿足快捷決策需要奠定了基礎���。其主要設計思想是將分析決策所需的大量數據從傳統的操作環境中分離出來,把分散的�、難以訪問的操作數據轉換成集中統一、隨時可用的信息而建立的一個大的數據庫���,其中存儲了所有審計數據��。
一��、審計工作系統的功能特征
在審計工作系統中�,審計數據庫將信息按照主題來進行組織、管理�����、控制�����,審計系統對信息的組織����、管理、控制方式一般具有以下特征:
1.一致性
不同來源的多種數據一旦進入數據庫��,就必須按照統一的主鍵和結構與編碼規則重新組合��,因而在審計系統中的數據信息具有一致性的特點�����。當業務事件發生時,所有原始數據被適當加工成標準編碼的源數據��,集成于一個邏輯數據庫(或數據倉庫)�,而不是重復存儲于多個低耦合系統中。數據庫不只記錄符合會計事項定義的業務事件��,而且記錄管理者想要計劃�����、控制和評價的所有業務事件�����,并且存儲業務活動中多方面的細節信息��。任何授權用戶都可以通過數據庫所存儲的數據來定義和獲取所需的有用信息����,這樣既能提供多種視圖驅動應用所能提供的全部視圖,又能避免數據重復存儲和數據不一致的問題���。此外,這種體系結構還實現了信息處理的實時控制��,數據庫中的處理單元在業務發生時捕捉業務數據,既能執行業務規劃和控制����,又能校驗數據的準確性和完整性。
2.時間變量
審計數據庫中的數據鍵始終包括時間元素���,數據保存的時間通常較長��,具有作歷史比較和趨勢分析預測的長期數據基礎�。數據庫技術是將計算機應用于數據管理而產生的一種新的技術����,它僅是審計信息系統憑借的一種新的管理手段,對于數據庫的基本要素和管理對象——審計信息的源數據�����,并不是指沒有經過任何加工的原始數據���,而是在原始數據的基礎上����,經過了類似于會計流程中的原始憑證確認����、統—會計科目標準編碼等加工后所形成的數據�����。
二�、審計工作系統的運作環節
審計數據庫在審計工作系統的運作過程大致有如下4個重要方面:
1.數據獲取
獲取企業的數據信息���,記錄數據信息的功能和處理過程���。根據審計人員的需要,對在數據庫中運算所需的數據通過一定的方式進行采集�����,可以得到企業完整而清晰的數據信息����,選取和不斷更新數據,保證數據的一致性�����,使審計信息系統的數據不斷更新與補充�,并使數據在審計信息系統內部各部件之間可以溝通����;利用現有系統的信息���,確定從企業數據到審計信息系統的數據模型所必需的轉化/綜合模式。生成審計信息數據����,是進行審計工作的數據基礎,類似于傳統手工環境下的審計對象��。審計信息系統上的財務信息不再是簡單的純文本傳統財務信息�����,它是特定協議標準格式�,如超文本格式(HTML)的電子報表,所有數據只要點擊都可以被隨意移植使用�����。通過網絡傳輸而來的電子報表按照一定的協議標準格式編制�,也可以轉換成審計信息系統所需的數據。通過數據獲取環節��,把這些數據轉換成審計信息系統所能識別的形式,或直接采用被審計單位所提供電子數據加工出審計信息系統想要的形式�����。
2.數據管理
此環節包括會計信息庫和用戶信息庫兩部分�,前者主要依據數據庫技術進行管理,注重于對信息的分類�、組織、維護���、檢索等�����,對存儲的數據建立模型���,通過數據模型來對信息進行保存和管理;后者主要包括有關用戶個性特征的信息�����,個性特征數據結構設計是這部分的關鍵問題��,決定了個性化信息服務系統服務質量的優劣�,也是實現信息服務自動化和智能化的關鍵��。通過將各種數據裝入數據管理庫之中�����,生成必需的、能為審計人員所直接使用的數據管理庫����,或通過其他方法為審計人員提供查詢工具,以便審計人員能方便地從數據管理庫中獲取所需的信息����,并可以通過一定的形式將其輸出。生成審計工作所需的數據管理庫包含各種審計計算底稿�����、審定表�、審計報告、管理建議書等信息的結構化數據庫��,并形成與其他部件進行聯系的橋梁��。
3.分析推理
這是審計信息系統中對信息流進行控制的核心����,其主要功能是接受審計人員通過審計信息系統傳來的信息需求�,判斷需求指向的是已存在的信息��,還是不存在的信息��,或者是哪一層次的信息��。對已存在的信息可直接調出并通過用戶瀏覽器予以顯示�����,對不存在的信息需要進行記錄���,并判斷是否經適當可行的計算或處理即可提供���,如是,則進行計算處理并顯示��;否則�,作為遺留問題提示進行特別設置處理。此環節是審計工作數據庫的主要組成部分之一����,可以利用采集到的數據信息�,根據程序設置�,推斷出審計人員工作需要的可能解;提供方便的審計分析模塊�����。
4.解釋報告
審計軟件可以提供審計報告生成功能�����,審計人員可以通過它選擇具體的信息項目��、類型和表達形式�����,主要內容包括:(1)設置報告模式���。模式中列有會計系統中與要素模塊相應的數據項目,模式中的項目與含有多種會計方法的對話框或序列框相聯�,以便審計人員選擇他們需要的會計方法來處理其選擇的信息項目。(2)初始選擇��。在生成報告時,現行的會計準則和法規作為初始選擇存放在對話框架或子對話框中�。如不進行任何選擇,審計人員可以得到一份通用的標準的審計報告���。(3)選擇項目�。除初始選擇以外����,模式報告還提供可選擇項目來滿足審計人員不同的信息報告要求,這些選擇項目可以是會計準則和法規��、會計計量和估價方法���、財務信息與非財務信息的類型��、報告的頻率��、范圍�、使用的語言����、形式等,提供可選擇項目能夠增強交互性相對化特征��,既能滿足審計人員的特殊信息報告需要,又能減少報告使用人員的信息負擔��。(4)幫助功能���?���?梢圆扇?種方式:自動顯示專業技術概念解釋�;在對話框中提供環境敏感幫助;一個全面的包括如何應用更復雜的會計技術和方法的目錄��。幫助功能可以避免審計人員和報告使用者有限的時間被信息的多樣化這種無實際意義的工作浪費����,有利于及時���、準確�、有效地尋找有用信息���,提高對信息的利用效率����。
三、審計工作系統的組成及內容
1.審計項目管理部分
通過建立審計項目管理組件���,對每一個被審計項目的各方面情況進行記錄并生成電子檔案�,可以讓審計人員更方便地查閱�����、了解被審計單位的情況����,讓審計項目的新進人員可以更快熟悉工作;可以建立審計質量控制系統���,明確審計人員的工作職責���。2.審計法規管理部分
可以自動檢查有關處理是否合法合規,能完成法規資料的錄入�����、修改�����、刪除、檢索��、打印等功能�����。檢索功能不僅可以為用戶按各種條件查找審計法規的目錄���,而且可以根據目錄查找法規全文�,可以按要求摘要其中的內容并打印輸出����。審計法規數據庫也可以單獨成為一個軟件,現已成功地應用于審計工作第一線����,是我國目前開發和應用較成功的專項審計軟件之一。
3.審計操作管理部分
審計操作管理的功能:(1)參考功能�����。提供計算機審計中常用的工具��、手段��、可使用的審計程序��,其主要內容有:審計環境建立��、查詢����、抽樣、匯總與計算���、排序與分類���、財務與效益分析、編制與輸出工作底稿����、打印各類審計文件等。(2)圖像處理功能����。通過對圖像顯示參數的設置,可以使審計結果以圖表的形式表達出來���,可以讓內部審計人員直觀地了解被審計單位的情況�����。(3)底稿處理功能����。能完成審計工作底稿及有關參數和數據的增、刪���、改等維護工作���。針對計算機系統還能自動查找、計算����、輸入底稿所需數據,并按格式打印���,針對手工系統則可以提示審計人員輸入有關數據���,并進行計算性復核。
4.專用程序管理部分
對于一些需要對外報送資料的項目�����,尤其是需要送交政府部門的項目�����,有的政府部門可能提供了單獨的審計軟件�,或者需要單獨配備專用的審計功能,以滿足政府部門的數據需要�。還有的審計項目因數據量大,牽涉面廣���,并且各被審計單位的情況又不盡一致��,為了對這些項目進行有效的審計����,也需要針對每個項目的不同情況�����,單獨配備專用的審計功能��,以滿足審計工作的要求���。
四�、審計工作系統的測試方法
1.現場交易選擇測試數據
對被審計單位的現場交易作標記輸入到應用程序中,把帶標記的交易當作測試數據��。采用這種方法����,應用程序中必須有特定的計算機程序能夠識別出帶標記的交易,并且使這些交易既要更新應用系統的主文件�,同時也要更新做檢測用的虛擬實體。現場交易作標記選擇和識別帶記號的交易測試數據有多種策略:第一�����,在源文件中或屏幕布局中包含一個專門的標識字段����,用來表示一筆交易既為正常交易又為帶記號交易。由審計人員來選擇確定對哪些現場交易作標記�����,所選交易的特征可以與測試數據的設計相一致����,也可以根據制定的抽樣計劃進行選擇。第二,在應用系統的程序中嵌入審計軟件模塊��,利用審計軟件來選擇交易并給交易加標記使其成為帶記號交易����。第三�����,在應用系統中嵌入抽樣程序���,抽樣程序具有根據抽樣計劃給交易作標記����,并使其成為帶記號交易的功能���。不論采用何種策略�����,應用系統中必須有相應的處理程序�,專門處理帶標記的交易��。
2.自行設計測試數據
自行設計測試數據是將測試數據與現場交易數據一同輸入應用系統。采用這種方法��,審計人員應當根據所要使用的測試數據特征設計并創建測試數據���。自行設計測試數據的優點是覆蓋面廣�,可全面測試系統����;但設計和建立測試數據要花費一定的時間和費用。筆者認為��,應用程序進行檢測時��,首先要在應用程序的文件中建立一個虛擬實體���,并讓應用程序處理該實體的審計測試數據�����。如果應用程序是工資系統�,可在其數據庫中建立一個虛擬的職員資料庫����;如果應用程序是存貨系統��,可在其數據庫中建立一個虛擬的存貨項目�����。將帶標記的實際數據或模擬數據一同輸入應用程序和審計軟件進行處理��,通過將應用程序對數據處理的結果同審計軟件處理的結果進行比較��,可確定應用程序的處理和控制功能是否恰當、可靠��。當應用程序非常龐大或復雜時�����,全面追蹤通過系統的不同執行路徑會有一定難度���,審計人員對交易進行審查時�����,可以在應用系統的重要處理發生點嵌入軟件���,當交易通過不同處理點時���,嵌入軟件可捕捉交易的過程。為證實不同關鍵點的處理���,審計人員使用軟件捕捉交易的前后過程�,通過檢驗前后過程及其變換����,評價交易處理的真實性、準確性和完整性���。
主要參考文獻
[1]WayneMoreandDavidHendrey.ITAuditRenewal[J].InternalAuditor��,l999�����,(4):17.
第5篇
(Why)隨著被審計單位經濟業務活動對信息系統依賴程度越來越高����,信息系統已經逐漸融入各項經濟活動當中����。但是����,信息系統存在的漏洞和缺陷�、非法舞弊程序、人為操作錯誤�����、病毒感染�����、黑客攻擊�����、系統故障等導致被審計單位經濟業務數據失真的各種風險也在進一步加大�,也就是說信息系統本身的安全性���、可靠性直接威脅和影響到信息系統所產生經濟業務電子數據的真實��、準確和完整����。因此,基于現代風險基礎審計理論的政府審計����,必須考慮與經濟業務活動相關的信息系統產生的風險因素,突破傳統政府審計業務范圍�����,涵蓋信息系統審計內容���。如果忽視對信息系統本身的審計�����,審計機關審計人員審計依賴的被審計電子數據的真實性就會成為“空中樓閣”��,就有可能出現“假賬真審”的問題��。目前����,各級政府部門����、企事業單位為了提高信息化水平�����,紛紛加大資金投入�����,推進信息系統建設����,建立統一數據集中平臺����,信息系統已經成為國家的一項投資巨大的重要資產。這就要求審計機關審計人員在對這些機構實施經濟效益審計�、績效審計、經濟責任審計等審計項目時���,必須考慮信息系統資產因素,對信息系統實施相關審計��,以有效揭示信息系統在安全����、可靠�����、合法�����、效率�、效果和效益等方面存在的問題�,防范信息系統風險,保障信息系統安全�、可靠運行,促進信息系統資源的有效利用���,提高信息系統資源運用的收益水平��。由此�����,在政府審計項目中��,考慮到信息系統的影響因素�����,迫切需要大力開展結合型政府信息系統審計���,而不是可審可不審的問題��。
二��、結合型政府信息系統審計的目標是什么
(What)信息系統審計目標是信息系統審計行為的出發點���,它指明了審計工作方向,并指導著信息系統審計實踐活動(王振武等�,2011)。我國政府審計以維護國家財政經濟秩序�����,提高財政資金使用效益����,促進廉政建設,保障國民經濟和社會健康發展為職能�,以國家經濟活動的真實性��、合規性和效益性為總體目標�。因此���,我國政府審計機關實施的結合型政府信息系統審計,也應遵守真實�、合規和效益的根本目標。審計機關審計人員在各項具體政府審計項目中���,不能籠統地將一般意義上信息系統審計的安全性���、可靠性、合法性和有效性目標作為結合型政府信息系統審計具體目標���,這既不符合結合型政府信息系統審計的特點和需求����,也不具備實際可操作性�����、指導性�。如果信息系統審計目標因素與具體政府審計項目目標不相關,將起不到應有的作用�����,是多余的、不必要的��,從成本效益角度來說��,是對審計資源的浪費��。審計人員應避免根據自己的理解來確定目標�,造成混淆不清。結合型政府信息系統審計貫穿于各政府審計項目之中����,成為審計全過程的一部分,其具體審計目標應根據國家審計機關實施審計項目預期要完成的任務和結果���,即具體政府審計目標�����,以及所涉及的信息系統情況等綜合確定����。例如��,政府財政財務收支審計的目標是財政財務收支情況的真實性�����、合規性和效益性�����,其審計的數據來源于相關信息系統產生的財務電子數據�����,而數據是否真實��、完整�,直接依賴于相關信息系統是否安全、可靠�����,由此可以確定政府財政財務收支審計中信息系統審計的目標是安全性�����、可靠性���。又如�,在國有企業績效審計中,績效審計的目標是效率性��、效果性和效益性�����,雖然信息系統與績效審計不直接相關����,但是信息系統作為企業的一項重要資產,且信息系統建設的投入金額巨大�����,因此�,在國有企業績效審計中也應包括信息系統資產的績效審計,這就決定了國有企業績效審計中信息系統審計的目標應該是效率性��、效果性和效益性��。上述示例也表明�,結合型政府信息系統審計具體目標隨政府審計項目的不同而存在一定的差異性,也就是說政府審計具體目標的多元性決定了結合型政府信息系統審計具體目標的多元性�,必須根據具體政府審計項目綜合確定�����。
三���、結合型政府信息系統審計的重點在哪里
(Where)結合型政府信息系統審計的成效取決于審計機關審計人員對信息系統審計重點內容的把握程度�����。審計人員應該在分析清楚各政府審計項目中信息系統審計具體目標的基礎之上�����,確定信息系統審計意圖和需要解決的問題���,并根據“全面審計�����、突出重點”��、“先系統本身后系統環境”的原則確定信息系統審計重點事項(唐劍�,2012)�����。此外,還應考慮成本效益原則��,盡力減少與政府審計目標不相關的�、多余的、不必要的信息系統審計內容���。
(一)結合型政府信息系統重點
審計對象的選擇被審計單位一般建立有多個信息系統���,依據結合型政府信息系統審計的特點,不需要也不必要將被審計單位的所有信息系統納入重點關注的審計對象����,只需要根據與被審計業務活動相關的程度選擇目標信息系統。如何選擇信息系統重點審計對象�����?審計機關審計人員選擇的主要原則應是依據被審計單位核心業務對信息系統的依賴性以及被審計單位信息系統的復雜性確定需要重點調查和審計測試的信息系統的范圍和深度�����。一般來說���,越高度依賴的信息系統����,就應該作為重點審計的對象;越復雜的信息系統�,就應該擴大重點審計對象范圍。例如����,在財務收支審計中�����,被審計單位ERP系統由財務���、采購����、銷售���、庫存�、質量���、人力資源等多個子系統組成��,由于財務收支數據直接依賴于財務子系統���,所以理應將其作為審計的重點��,然而ERP系統又是一個集成化的復雜系統����,審計人員還應擴大審計范圍和深度�����,需要將ERP系統中系統管理子系統以及其他子系統的基礎設置�、憑證處理等模塊也作為審計的重點。
(二)結合型政府信息系統內部控制
測試重點
內容的確定現代風險基礎政府審計是建立在內部控制的測評基礎之上�,根據內部控制的符合性測試結果實施業務數據的實質性測試。信息系統內部控制測試是對信息系統內部控制的可靠性��、健全性和有效性進行的測試��?;诮Y合型政府信息系統審計的經濟監督和重在審計業務數據的特點,以及政府審計人員信息技術能力限制,為避免將對信息系統的審計引入技術陷阱(李春青���,2008)�,審計人員應重點選擇信息系統中容易產生數據風險的部分���,作為信息系統內部控制測試的重點內容�����。而信息系統的硬件���、軟件、應用程序�、數據���、人員��、制度等組成要素中�����,對業務數據直接產生影響的主要有信息系統數據��、應用程序���、人員和制度�,因此審計人員在結合型政府信息系統審計中應選擇信息系統數據�、應用程序、人員�、制度作為審計測試的重點,只在必要的時候再根據實際情況適當關注信息系統的軟硬件環境�����。
(三)信息系統效率����、效果和效益審計重點
內容的選擇在結合型政府信息系統審計中,對行政事業單位�����、企業的效益審計��、績效審計���、經濟責任審計等政府審計項目中涉及的信息系統效率����、效果和效益審計,其審計范疇從屬于政府審計項目的范疇�,只是審計對象中包括信息系統資產。因此���,在這種結合型政府信息系統審計中�,審計機關審計人員審計信息系統效率�、效果和效益應從被審計單位正在運行使用中的信息系統資源的有效利用、促進產品或服務目標實現�����、降低產品或服務成本和增加產品或服務收益的角度選擇重點審計內容:(1)效率性審計應重點評價使用中的信息系統對提高被審計單位勞動生產率所作的貢獻���,如節省人力���、提高人員工作效率等�����;(2)效果性審計應重點評價使用中的信息系統使被審計單位業務�、管理和決策等方面得到改善和提升,如滿足業務處理需求、促進業務流程改進�����、增強信息交流與共享�、提升客戶服務能力、提高管理決策水平等�����;(3)效益性審計應重點評價使用中的信息系統的資金投入以及產生效益之比�����,資金投入包括信息系統運維資金投入�����、升級改造資金投入等方面��,產生效益則可以從降低產品或服務成本�、提高資金周轉速度、提高產品或服務收入�����、增強競爭力等方面考慮。
四�、結合型政府信息系統審計如何實施
(How)結合型政府信息系統審計作為信息系統審計的一個特例,兩者在審計技術�、方法、手段等方面理應具有一定的一致性���。但是�����,審計機關審計人員在借鑒目前常用信息系統審計方法的同時�,需要結合具體政府審計項目��,立足審計人員的信息技術審計能力相對較弱����、業務審計能力較強的審計專長,以審計人員的業務思路和職業判斷為工作核心(王亞清����,2012),積極探索富有實效的信息系統審計與傳統審計相結合的方法�。
(一)如何做好信息系統審前調查
在進行結合型政府信息系統審計調查時����,審計機關審計人員可以將被審計信息系統調查與被審計項目業務調查結合進行��,將信息系統調查作為業務調查的延伸����。一方面�,可運用詢問法、觀察法�����、查閱法�、調查表法、流程圖法等傳統審計調查的方法�����,將被審計單位業務活動情況與信息系統情況調查融合在一起�,一并調查了解被審計單位整體和業務活動情況、信息系統環境(如硬件環境��、軟件環境��、組成���、結構�����、分布等)�、內部控制制度(含信息系統內部控制制度)、手工和計算機信息系統處理過程(如業務流程����、運行流程、人員操作流程等)及執行情況����;另一方面,可運用計算機輔助審計方法獲取被審計業務電子數據�,調查了解被審計信息系統數據處理情況等。兩種方法相互補充��,既能全面了解被審計單位業務活動情況�,又能夠摸清被審計單位信息系統基本運作情況,實現信息系統審計調查與整個審計工作調查的銜接����,從而確保審計調查的效率、質量����。
(二)如何做好信息系統內部控制測試
在結合型政府信息系統審計中,審計機關審計人員可運用熟悉的傳統審計測試方法��,輔以計算機輔助審計測試方法對前述確定的信息系統數據���、應用程序�����、人員�����、制度等重點內容進行審計測試����。具體可采用:(1)傳統審計方法���。通?�?刹捎迷儐柗?����、觀察法��、檢查法���、核對法�、比較法���、數據分析法等方法��。如:詢問或觀察職責分離制度�����、人員操作制度��、運行維護制度的執行情況��;觀察有關人員對信息系統訪問是否設定口令�����、系統操作是否違反職責分離原則���;查閱系統日志文件��、操作記錄����,查看系統中是否有非法訪問記錄和報告���,有無未經授權的用戶操作系統;觀察���、檢查系統功能設置���、程序化控制、權限設置���、系統參數配置等是否合理�、有效����,如權限設置是否符合職權要求,人員崗位變動或離職前是否及時進行權限鎖定或刪除�,客戶數據是否進行唯一性檢驗,財務軟件是否存在反結賬、反記賬等功能��;核對����、比較原始憑證與數據庫憑證文件數據的一致性,以測試憑證數據輸入控制的有效性�����;對數據庫文件數據采用數據分析法�,如分析數據文件中操作員代碼、數據異常值�����、數據間的關聯關系���、數據間的平衡或合計關系等審查是否存在非法用戶或越權操作�����、參數設置的有效性�、數據處理是否存在錯誤等以測試數據處理控制的有效性�,也可通過數據分析反推系統中存在的非法功能和漏洞�����,等等���。(2)計算機輔助測試方法。通?�?刹捎糜嬎銠C數據審計軟件工具�、整體測試法、平行模擬法�、虛擬實體法��、受控處理法等方法�����。如利用計算機審計軟件(OA)��、數據庫管理系統(Access�����、Sqlserver)�����、Excel等獲取和分析被審計信息系統數據輸入、處理����、輸出控制;運用整體測試法���、平行模擬法��、虛擬實體法�����、受控處理法等方法(張瑜��,2012)�����,測試系統的處理和控制功能是否恰當����、可靠�,接口程序是否存在缺陷等�。除此以外�����,對于信息系統硬件���、軟件����、網絡安全等方面內部控制測試�����,由于其技術性較強��,審計人員可重點從系統管理的視角著手����。一般采用面談法�、詢問法、觀察法����、測試軟件等�����,重點審查計算機安全和管理制度的執行情況��、是否建立安全認證機制�����、是否建立針對系統故障的應急安全機制���、軟硬件來源的合法性,觀察硬件是否進行有效的保養��、隔離����,查看系統是否安裝防火墻、安裝防病毒軟件����、定期檢測和清除計算機病毒,利用漏洞掃描工具和網絡檢測診斷工具等對網絡環境進行測試和評估�����。
(三)如何做好信息系統效率、效果與效益審計
對于結合型政府信息系統審計中的效率��、效果與效益性審計��,應遵循可操作�����、實用性原則����,審計機關審計人員可通過詢問、觀察���、查閱資料�����、發放調查表和比較分析等方法��,重點了解信息系統的各項功能在被審計單位日常工作過程中的使用情況,了解信息系統功能設置能否滿足系統目標���,了解信息系統保障被審計單位信息資源共享��、業務有效開展和履行情況����,了解信息系統運維成本和效益并進行定量化分析處理,對比被審計單位信息系統規劃��、運營目標�����,運用一定的評價方法(如平衡計分卡法��、層次分析法��、模糊綜合法等)(張靜等���,2011)進行評價�����,給出審計結論和審計建議�。就目前來說�,信息系統的效率、效果和效益審計在我國仍然處于理論和實踐探索階段���,缺少規范的指導�,缺乏完善的評價指標體系,因此�����,如何科學���、準確地評價信息系統的效率���、效果和效益,仍然存在不小的難度��。
五�、結束語
第6篇
(一)企業應加強內部控制
隨著市場經濟的深入發展,企業逐步成為自主經營、自我約束�����、自我發展�、自我完善的商品生產者和經營者。在“優勝劣汰����、適者生存”的市場經濟中,企業要想真正的做到“自主經營、自我約束�����、自我發展����、自我完善”,必須要加強內部控制,建立有效、完善的內部控制制度,這樣才能在一個絕對的高度上,對企業進行高瞻遠矚的控制,才能做出與時俱進的決策�。
(二)內部審計是企業內部監督機制的重要組成部分
內部審計也是企業內部控制的一個重要的組成部分,是監督內部控制其他環節的主要力量。內部審計通過對控制環境和控制程序的有效性進行監督,評估企業的內部控制是否被執行,是否及時反饋有關執行結果的信息,是否幫助企業更有效地實現預期控制目標���。同時,在監控過程中,內部審計可以促進控制環境的建立和改善,為改進控制制度提供建設性的意見,為企業建立健全所需要的內部控制水平服務��。在內部控制的監督過程中,內部審計發揮著越來越重要的作用��。
二���、內部審計在防范信息系統風險中面臨的問題
(一)信息系統安全管理機制不健全
企業信息系統風險的存在,很多是由于管理不善或控制不嚴造成的。一方面,缺乏一套統一的安全策略體系來指導安全管理工作,無法建立系統內部明確��、全面的安全規范要求�����。從現有管理制度規范來看,主要存在的問題是可操作性差,條理不清、重疊或遺漏等;另一方面,現有安全管理制度的管理對象基本是網絡系統管理員等技術部人員,管理對象沒有全面涵蓋所有信息系統技術相關人員,包括所有網絡系統上的內部終端人員和外部人員����。
(二)內部審計在信息系統風險防范中的角色缺乏獨立性
內部審計的角色發生了轉變。從傳統的事后審計而逐漸轉向事前和事中審計,主動參與內部控制系統的建立和完善��。內部審計人員即承擔著評價硬件和應用信息系統安全的任務,如果又同時有參與了系統的開發和實施過程,那么內部審計人員就卻乏獨立性���。反之,如果處于對喪失獨立性的擔心,內部審計人員有可能會拒絕參與系統和軟件的開發,那么系統開發過程中存在的風險又無法得到控制�����。
(三)內審部門技術力量薄弱造成對信息系統審計形成風險
審計稽核部門的技術力量薄弱,不熟悉業務系統的流程和功能,對信息系統缺乏必要的認證能力和標準�����。突出表現為以下幾個方面:一是實施審計稽核的手段和方法沒有得到及時更新,不適應信息系統管理的要求,大部分仍停留在手工審計階段;二是審計稽核部門對計算機賬務系統實施審計的依據僅依賴于被審計單位提供的打印資料或事后資料,計算機賬務的真實性審計很難得到保證���。
三、加強風險防范的措施和對策
(一)構建信息系統安全管理組織及規范體系
加強信息系統的自我風險評估體系,讓信息系統的管理和技術人員在自身的職責范圍之內正確識別和評估潛在操作風險,主要包括內控制度的查漏補缺����、工作流程的整理和規范�、應急預案完善和演練等�����。同時加強對操作人員的管理,規范操作程序��。一是加強密碼管理,明確規定操作人員的權限,操作員必須在規定的權限內辦理業務,用戶口令及密碼必須專人專用,嚴禁公開口令及密碼;二是要建立健全操作員崗位目標責任制,對網絡操作人員要明確目標任務,規范操作程序,嚴格落實獎懲制度�����。三是要嚴格崗位設置,不相容職務進行分離���。嚴禁系統管理人員、網絡技術人員���、程序開發人員和前臺操作人員混崗�����、代崗或一人多崗�����。四是要加強系統內部的稽核監督檢查��?�;吮O督應貫穿于網絡操作的全過程,重點是加強對系統設計開發�、內控管理制度落實、操作運行等方面的(二)關注信息系統的穩定性��、安全性和有效性審計
首先,審計人員應運用用一定的技術方法識別系統的完整性,該過程包括檢查�、測試、評估系統的內制,以保證系統的穩定性;其次,審計人員應評價系統存在的風險和可能產生的后果將成為審計的核心工作和基本內容,保證信息系統的安全性��。應根據審計的標準和準則,評價控制環境的和IT基礎設施的安全,確保系統滿足組織的業務需要,保護信息資產的安全完整,以防非授權使用�、泄露、修改��、損壞或丟失;最后,還應鑒別信息系統的有效性����。內部審計必須理解并熟悉操作環境,了解系統技術的復雜性及其對決策的影響;對來自內部的安全隱患,采用一定的方法進行系統診斷、檢驗�、測試,評價其有效性及效率,以支持組織業務目標的實現
(三)改善內審機構,提高內審人員素質,培養信息系統審計師
為了信息系統的安全、可靠與有效,由獨立于審計對象的信息系統審計師,以第三方的客觀立場對以計算機為核心的信息系統進行綜合的檢查與評價�����。信息系統審計師也稱lS審計師或IT審計師,是指那些既通曉信息系統的軟件和硬件(包括信息系統的開發��、運營、維護���、管理和安全等),又熟悉經濟管理的內部審計人才�。
(四)聘請專家進行協助
內部審計人員的知識�、技能和經驗雖然有助于信息系統的風險防御,但現實中必須承認,在企業中同時具備計算機技術和審計專業知識的人才非常短缺。再出色的內部審計人員可能面臨一些系統內的專業問題卻無法解決,因此有必要聘請外部專家����?�?梢酝ㄟ^專家的協助測試運用其專業技能測試系統安全,進一步防范和解決信息系統風險的存在�。
論文關鍵詞:內部審計信息系統風險防范
論文摘要:內部控制是社會經濟發展到一定階段的產物,其內容在不斷的發展與變化,而內部審計是內部監督機制的重要組成部分。目前計算機信息系統已在企業中廣泛使用,而在內部審計過程中如何加強計算機信息系統的風險防范,是企業內部控制過程中迫切需要解決的問題�����。
企業信息系統化的運用,原來的手工控制則變為手工與電腦控制相結合或全部由電腦自動進行控制����。計算機信息系統的廣泛使用,與技術管理相對薄弱和稽核監督的長期空白已形成了尖銳的矛盾。信息系統風險控制能力差的現狀,迫切需要我們加強風險管理和監控���。
第7篇
(一)企業應加強內部控制
隨著市場經濟的深入發展,企業逐步成為自主經營�����、自我約束��、自我發展�����、自我完善的商品生產者和經營者���。在“優勝劣汰��、適者生存”的市場經濟中,企業要想真正的做到“自主經營�、自我約束��、自我發展����、自我完善”,必須要加強內部控制,建立有效、完善的內部控制制度,這樣才能在一個絕對的高度上,對企業進行高瞻遠矚的控制,才能做出與時俱進的決策�。
(二)內部審計是企業內部監督機制的重要組成部分
內部審計也是企業內部控制的一個重要的組成部分,是監督內部控制其他環節的主要力量。內部審計通過對控制環境和控制程序的有效性進行監督,評估企業的內部控制是否被執行,是否及時反饋有關執行結果的信息,是否幫助企業更有效地實現預期控制目標��。同時,在監控過程中,內部審計可以促進控制環境的建立和改善,為改進控制制度提供建設性的意見,為企業建立健全所需要的內部控制水平服務�����。在內部控制的監督過程中,內部審計發揮著越來越重要的作用。
二����、內部審計在防范信息系統風險中面臨的問題
(一)信息系統安全管理機制不健全
企業信息系統風險的存在,很多是由于管理不善或控制不嚴造成的。一方面,缺乏一套統一的安全策略體系來指導安全管理工作,無法建立系統內部明確���、全面的安全規范要求��。從現有管理制度規范來看,主要存在的問題是可操作性差,條理不清�、重疊或遺漏等;另一方面,現有安全管理制度的管理對象基本是網絡系統管理員等技術部人員,管理對象沒有全面涵蓋所有信息系統技術相關人員,包括所有網絡系統上的內部終端人員和外部人員�����。
(二)內部審計在信息系統風險防范中的角色缺乏獨立性
內部審計的角色發生了轉變�����。從傳統的事后審計而逐漸轉向事前和事中審計,主動參與內部控制系統的建立和完善���。內部審計人員即承擔著評價硬件和應用信息系統安全的任務,如果又同時有參與了系統的開發和實施過程,那么內部審計人員就卻乏獨立性。反之,如果處于對喪失獨立性的擔心,內部審計人員有可能會拒絕參與系統和軟件的開發,那么系統開發過程中存在的風險又無法得到控制��。
(三)內審部門技術力量薄弱造成對信息系統審計形成風險
審計稽核部門的技術力量薄弱,不熟悉業務系統的流程和功能,對信息系統缺乏必要的認證能力和標準。突出表現為以下幾個方面:一是實施審計稽核的手段和方法沒有得到及時更新,不適應信息系統管理的要求,大部分仍停留在手工審計階段;二是審計稽核部門對計算機賬務系統實施審計的依據僅依賴于被審計單位提供的打印資料或事后資料,計算機賬務的真實性審計很難得到保證�����。
三���、加強風險防范的措施和對策
(一)構建信息系統安全管理組織及規范體系
加強信息系統的自我風險評估體系,讓信息系統的管理和技術人員在自身的職責范圍之內正確識別和評估潛在操作風險,主要包括內控制度的查漏補缺�、工作流程的整理和規范�、應急預案完善和演練等。同時加強對操作人員的管理,規范操作程序�����。一是加強密碼管理,明確規定操作人員的權限,操作員必須在規定的權限內辦理業務,用戶口令及密碼必須專人專用,嚴禁公開口令及密碼;二是要建立健全操作員崗位目標責任制,對網絡操作人員要明確目標任務,規范操作程序,嚴格落實獎懲制度����。三是要嚴格崗位設置,不相容職務進行分離。嚴禁系統管理人員��、網絡技術人員���、程序開發人員和前臺操作人員混崗�����、代崗或一人多崗�����。四是要加強系統內部的稽核監督檢查���?�;吮O督應貫穿于網絡操作的全過程,重點是加強對系統設計開發���、內控管理制度落實、操作運行等方面的
(二)關注信息系統的穩定性����、安全性和有效性審計
首先,審計人員應運用用一定的技術方法識別系統的完整性,該過程包括檢查��、測試�、評估系統的內制,以保證系統的穩定性;其次,審計人員應評價系統存在的風險和可能產生的后果將成為審計的核心工作和基本內容,保證信息系統的安全性。應根據審計的標準和準則,評價控制環境的和IT基礎設施的安全,確保系統滿足組織的業務需要,保護信息資產的安全完整,以防非授權使用�、泄露、修改���、損壞或丟失;最后,還應鑒別信息系統的有效性�。內部審計必須理解并熟悉操作環境,了解系統技術的復雜性及其對決策的影響;對來自內部的安全隱患,采用一定的方法進行系統診斷、檢驗�����、測試,評價其有效性及效率,以支持組織業務目標的實現
(三)改善內審機構,提高內審人員素質,培養信息系統審計師
為了信息系統的安全��、可靠與有效,由獨立于審計對象的信息系統審計師,以第三方的客觀立場對以計算機為核心的信息系統進行綜合的檢查與評價��。信息系統審計師也稱lS審計師或IT審計師,是指那些既通曉信息系統的軟件和硬件(包括信息系統的開發����、運營、維護�����、管理和安全等),又熟悉經濟管理的內部審計人才�。
(四)聘請專家進行協助
內部審計人員的知識、技能和經驗雖然有助于信息系統的風險防御,但現實中必須承認,在企業中同時具備計算機技術和審計專業知識的人才非常短缺�����。再出色的內部審計人員可能面臨一些系統內的專業問題卻無法解決,因此有必要聘請外部專家��。可以通過專家的協助測試運用其專業技能測試系統安全,進一步防范和解決信息系統風險的存在�����。
參考文獻:
[1]胡曉明.信息時代的IS審計理論結構構建[J].武漢中南財經政法大學學報,2006,(3).
