序論:在您撰寫信息系統(tǒng)審計(jì)論文時�,參考他人的優(yōu)秀作品可以開闊視野,小編為您整理的7篇范文�����,希望這些建議能夠激發(fā)您的創(chuàng)作熱情����,引導(dǎo)您走向新的創(chuàng)作高度。
第1篇
當(dāng)前會計(jì)信息系統(tǒng)審計(jì)主要圍繞以下內(nèi)容開展:其一是會計(jì)信息系統(tǒng)內(nèi)部控制審計(jì)�����。由于會計(jì)信息系統(tǒng)大幅提高了會計(jì)舞弊和會計(jì)信息差錯識別的難度�����,因而從內(nèi)部控制審計(jì)入手實(shí)施會計(jì)信息系統(tǒng)審計(jì)就顯得尤為必要���。也就是說�,企業(yè)內(nèi)部控制體系影響甚至決定著企業(yè)會計(jì)信息系統(tǒng)的安全性和有效性��,越是健全的內(nèi)部控制體系就越能避免和降低企業(yè)會計(jì)信息差錯和舞弊風(fēng)險��,因而對企業(yè)內(nèi)部控制體系的完整性�、有效性和安全性進(jìn)行審計(jì)就成了目前會計(jì)信息系統(tǒng)審計(jì)的重要內(nèi)容和前提保障。其二是會計(jì)信息系統(tǒng)應(yīng)用程序?qū)徲?jì)��。其審計(jì)內(nèi)容主要圍繞軟件的應(yīng)用程序設(shè)計(jì)功能是否完善�、標(biāo)準(zhǔn)是否可靠,是否具備必要的會計(jì)信息處理功能���,是否符合相關(guān)法律法規(guī)要求�,是否符合企業(yè)管理制度和企業(yè)會計(jì)政策,是否存在程序漏洞和程序錯誤��,是否人為故意地留有后門程序等����。應(yīng)用程序的安全、可靠��、高效同樣影響著企業(yè)會計(jì)信息系統(tǒng)的安全性和效能��,因而也是會計(jì)信息系統(tǒng)審計(jì)的重要內(nèi)容之一�����。其三是會計(jì)信息系統(tǒng)數(shù)據(jù)��、信息��、資料的審計(jì)����。同傳統(tǒng)審計(jì)內(nèi)容類似,其途徑是通過計(jì)算機(jī)對相關(guān)原始憑證�����、財務(wù)報表、會計(jì)賬簿等進(jìn)行審計(jì)���,對信息資料進(jìn)行符合性測試和實(shí)質(zhì)性測試,對數(shù)據(jù)采用動態(tài)分析和比率分析等方法�����,確保電子數(shù)據(jù)的真實(shí)����、可靠、完整和有效�。另外,還應(yīng)對會計(jì)信息系統(tǒng)進(jìn)行事前審計(jì)�����,即在信息系統(tǒng)開發(fā)之初就要求審計(jì)人員介入�,跟蹤前期的系統(tǒng)程序和硬件的設(shè)計(jì)、編寫�、建構(gòu)、實(shí)施�����,跟蹤系統(tǒng)實(shí)施過程中的運(yùn)營、調(diào)試、維護(hù)、修正����,以確保整個會計(jì)信息系統(tǒng)符合相關(guān)法律法規(guī)要求、符合財務(wù)和會計(jì)行業(yè)標(biāo)準(zhǔn)�����、符合公司會計(jì)政策和系統(tǒng)職能需求����。
二�、會計(jì)信息系統(tǒng)審計(jì)發(fā)展現(xiàn)狀簡析
自20世紀(jì)末開始我國企業(yè)普遍實(shí)施會計(jì)信息化以來,我國會計(jì)信息系統(tǒng)審計(jì)也應(yīng)運(yùn)而生���,并在政府����、企業(yè)及審計(jì)機(jī)構(gòu)的組織實(shí)施下有效開展起來并取得了長足進(jìn)步���。具體表現(xiàn)在:其一����,初步建立了會計(jì)信息化審計(jì)的相關(guān)準(zhǔn)則和規(guī)范,使會計(jì)信息系統(tǒng)審計(jì)人員能夠依據(jù)這些技術(shù)標(biāo)準(zhǔn)和準(zhǔn)則更好地開展會計(jì)信息審計(jì)工作�����。如中國注冊會計(jì)師協(xié)會1999年頒布的第一個信息系統(tǒng)審計(jì)準(zhǔn)則《獨(dú)立審計(jì)具體準(zhǔn)則第20號——計(jì)算機(jī)信息系統(tǒng)環(huán)境下的審計(jì)》����,以及國務(wù)院辦公廳2001年的《關(guān)于利用計(jì)算機(jī)信息系統(tǒng)開展審計(jì)工作有關(guān)問題的通知》���,都對會計(jì)信息系統(tǒng)審計(jì)的對象��、方法��、程序���、內(nèi)容和范圍等進(jìn)行了初步界定和規(guī)范,明確了會計(jì)信息系統(tǒng)審計(jì)中審計(jì)人和被審計(jì)人的權(quán)責(zé)范圍�。2008年中國內(nèi)部審計(jì)協(xié)會頒布了具有里程碑意義的會計(jì)信息系統(tǒng)審計(jì)準(zhǔn)則《內(nèi)部審計(jì)具體準(zhǔn)則第28號——信息系統(tǒng)審計(jì)》,更是將會計(jì)信息系統(tǒng)審計(jì)納入到風(fēng)險導(dǎo)向?qū)徲?jì)的現(xiàn)代審計(jì)范疇��,使之更為完善�����、全面和高效。其二�,會計(jì)信息系統(tǒng)審計(jì)發(fā)揮了一定成效,推進(jìn)了企業(yè)會計(jì)信息化發(fā)展和企業(yè)信息化管理進(jìn)程�����。信息化發(fā)展是企業(yè)戰(zhàn)略發(fā)展的重要組成部分����,也是企業(yè)現(xiàn)代化管理體系構(gòu)建的重要內(nèi)容,企業(yè)信息化即包括會計(jì)信息化����,鑒于此,我國審計(jì)體系也同樣順應(yīng)時展潮流���,針對會計(jì)信息化系統(tǒng)制訂和實(shí)施了相適應(yīng)的審計(jì)模式��,有效履行了審計(jì)職能�����,推進(jìn)了會計(jì)信息化的發(fā)展進(jìn)程���;與此同時�����,審計(jì)體系自身也開始了信息化變革之路��,構(gòu)建審計(jì)網(wǎng)絡(luò)和審計(jì)信息平臺���,審計(jì)信息化軟件也隨之興起并展現(xiàn)出高效能,極大地提升了審計(jì)效率���。
三、會計(jì)信息系統(tǒng)審計(jì)存在的問題
盡管我國會計(jì)信息系統(tǒng)審計(jì)取得了一定成效�����,不僅促進(jìn)了企業(yè)會計(jì)信息化發(fā)展和企業(yè)信息化戰(zhàn)略發(fā)展的步伐���,也直接促進(jìn)了審計(jì)體系自身的信息化發(fā)展�����。然而研究過程中也同樣發(fā)現(xiàn)���,我國會計(jì)信息系統(tǒng)審計(jì)還存在一定的問題亟待改進(jìn)���,具體如下。
(一)會計(jì)信息系統(tǒng)審計(jì)法規(guī)制度不健全
先進(jìn)水平的會計(jì)信息系統(tǒng)審計(jì)需要建立在健全的審計(jì)制度體系之上�����,使審計(jì)工作在制度保障之下規(guī)范�����、高效運(yùn)行�����。然而我國在這一方面則存在較大差距����,目前我國有關(guān)會計(jì)信息系統(tǒng)審計(jì)的相關(guān)制度法規(guī)十分零散,大多只針對某一方面做出具體規(guī)范��,還沒有統(tǒng)一的�����、完整的、具有體系性的會計(jì)信息系統(tǒng)審計(jì)制度可以指導(dǎo)和保障實(shí)踐的有序�、有效進(jìn)行。例如����,目前還有沒統(tǒng)一的會計(jì)信息系統(tǒng)審計(jì)準(zhǔn)則,會計(jì)信息系統(tǒng)審計(jì)的內(nèi)容����、方法、技術(shù)���、程序等都未能界定統(tǒng)一的實(shí)施規(guī)范��。
(二)缺乏專業(yè)的會計(jì)信息系統(tǒng)審計(jì)人才
會計(jì)信息系統(tǒng)對審計(jì)人員的審計(jì)能力提出了更高要求��。審計(jì)人員能力不足、審計(jì)工作準(zhǔn)備不充分都容易導(dǎo)致審計(jì)失敗���。會計(jì)信息系統(tǒng)審計(jì)要求審計(jì)人員不僅需要具備審計(jì)方面的專業(yè)知識�,了解企業(yè)生產(chǎn)經(jīng)營狀況�����,還需要具備較高的信息技術(shù)能力。然而目前�,我國大部分審計(jì)人員并不缺乏專業(yè)的審計(jì)知識,也有著豐富的審計(jì)經(jīng)驗(yàn)��,但對于會計(jì)信息化系統(tǒng)審計(jì)的信息技術(shù)能力要求普遍顯得力有不足�����,信息技術(shù)水平和計(jì)算機(jī)技術(shù)水平不能滿足信息系統(tǒng)審計(jì)的需要���。
(三)信息化審計(jì)軟件效能不足
應(yīng)對會計(jì)信息系統(tǒng)審計(jì)的有效途徑是加快審計(jì)自身的信息化發(fā)展�,目前開發(fā)了眾多功能強(qiáng)大的審計(jì)軟件應(yīng)用于審計(jì)工作�����,提升了審計(jì)效率�,確保了審計(jì)的準(zhǔn)確性和可靠性。然而目前的審計(jì)軟件其實(shí)用性��、針對性和有效性還不能滿足會計(jì)信息系統(tǒng)審計(jì)的需求�����。其中存在的問題主要包括:一是軟件自身功能不足����,無法滿足會計(jì)信息系統(tǒng)審計(jì)的實(shí)際需求�����,軟件只能實(shí)現(xiàn)一些簡單的數(shù)據(jù)查詢和計(jì)算功能����,無法對復(fù)雜的企業(yè)會計(jì)數(shù)據(jù)信息進(jìn)行更為專業(yè)的處理和分析���。二是有的軟件設(shè)計(jì)過于復(fù)雜����,易用性較差�。審計(jì)人員不易操作或者操作過程極為繁瑣,影響審計(jì)效率�����。
(四)會計(jì)信息系統(tǒng)本身存在缺陷影響審計(jì)效能
在對會計(jì)信息系統(tǒng)進(jìn)行審計(jì)時�����,通行的做法是需要會計(jì)信息系統(tǒng)預(yù)留審計(jì)接口���,審計(jì)人員通過接口對會計(jì)信息系統(tǒng)中的數(shù)據(jù)信息進(jìn)行查閱�����、調(diào)取�����、審核�����。我國頒布的會計(jì)信息系統(tǒng)審核相關(guān)規(guī)范也明確了會計(jì)信息系統(tǒng)中“應(yīng)具備標(biāo)準(zhǔn)的數(shù)據(jù)接口”��。然而在具體實(shí)踐中�,許多企業(yè)的會計(jì)信息系統(tǒng)本身并未留置接口��,使得一些審計(jì)軟件無法和被審計(jì)對象的會計(jì)信息系統(tǒng)對接���,也有一些會計(jì)信息系統(tǒng)自身設(shè)置了復(fù)雜的權(quán)限驗(yàn)證�、加密程序等��,使審計(jì)軟件無法獲取需求數(shù)據(jù)���,或加大數(shù)據(jù)獲取難度�,影響了審計(jì)時效,甚至使審計(jì)無法操作���。另外����,會計(jì)信息系統(tǒng)本身的設(shè)計(jì)缺陷還包括一些軟件漏洞容易招致黑客攻擊篡改����、增刪數(shù)據(jù)信息,或者軟件故障頻發(fā)導(dǎo)致數(shù)據(jù)損毀����、滅失等,這在目前的會計(jì)信息系統(tǒng)審計(jì)工作中也較為常見��,極大地影響了會計(jì)信息系統(tǒng)審計(jì)的實(shí)施�。
四、會計(jì)信息系統(tǒng)審計(jì)的治理策略
針對以上問題�����,需要審計(jì)機(jī)關(guān)����、審計(jì)行業(yè)組織和企業(yè)共同努力,多管齊下�����,對癥下藥�����,在順應(yīng)社會經(jīng)濟(jì)信息化發(fā)展的前提下確保會計(jì)信息系統(tǒng)審計(jì)職能高效履行���。
(一)進(jìn)一步健全會計(jì)信息系統(tǒng)審計(jì)規(guī)范
盡管我國已經(jīng)初步確立了會計(jì)信息系統(tǒng)審計(jì)相關(guān)規(guī)范體系���,但同西方發(fā)達(dá)國家相比,或者同我國社會經(jīng)濟(jì)發(fā)展的審計(jì)需求相比��,仍顯不足�����,需要進(jìn)一步完善�����。健全我國會計(jì)信息系統(tǒng)審計(jì)規(guī)范應(yīng)基于以下原則:其一,與國際接軌����。在全球經(jīng)濟(jì)一體化發(fā)展背景下,審計(jì)準(zhǔn)則與國際接軌是必然要求���,以確保審計(jì)結(jié)果能夠在更廣泛的范圍和空間發(fā)揮效用��。其二�,與國情相適�����。會計(jì)信息系統(tǒng)審計(jì)的相關(guān)規(guī)則和標(biāo)準(zhǔn)的設(shè)定要基于國情�����,立足實(shí)踐����,與會計(jì)信息系統(tǒng)審計(jì)發(fā)展需求相適應(yīng)。其三��,關(guān)注細(xì)節(jié)。我國現(xiàn)有的會計(jì)信息系統(tǒng)審計(jì)相關(guān)規(guī)范僅僅就基本原則和審計(jì)內(nèi)容��、對象�、范圍等做了闡釋,而缺乏審計(jì)具體流程和操作指南���,還缺乏系統(tǒng)性和層次性,需進(jìn)一步完善�。其四,前瞻性原則�。會計(jì)信息系統(tǒng)審計(jì)規(guī)范的制定需立足當(dāng)前,著眼未來����,對會計(jì)信息系統(tǒng)審計(jì)工作未來的發(fā)展趨向和工作重點(diǎn)、難點(diǎn)做出預(yù)測和判斷����,在政策導(dǎo)向上予以規(guī)范和指引。
(二)加強(qiáng)會計(jì)信息系統(tǒng)審計(jì)人才隊(duì)伍建設(shè)
人才問題是會計(jì)信息系統(tǒng)審計(jì)的突出問題��。近年來全球信息化發(fā)展迅猛�,企業(yè)信息化發(fā)展戰(zhàn)略如火如荼,日新月異��,凸顯了信息化人才不足帶來的制約,需要相關(guān)審計(jì)機(jī)構(gòu)�����、教育機(jī)構(gòu)共同努力�����,加大人才培養(yǎng)力度����,壯大會計(jì)信息系統(tǒng)審計(jì)師人才隊(duì)伍。首先����,要細(xì)化會計(jì)信息系統(tǒng)審計(jì)資格認(rèn)證體系,打造階梯式人才隊(duì)伍����,滿足不同審計(jì)需求。其次�,要挖掘現(xiàn)有資源潛力,加強(qiáng)現(xiàn)有審計(jì)人員信息技術(shù)技能培訓(xùn)���,提升會計(jì)信息系統(tǒng)審計(jì)能力�����。教育機(jī)構(gòu)應(yīng)將會計(jì)信息系統(tǒng)審計(jì)人才培養(yǎng)納入教育體系��,開設(shè)相關(guān)課程�,培養(yǎng)專業(yè)人才。最后��,成立專門的會計(jì)信息系統(tǒng)審計(jì)行業(yè)組織�����。會計(jì)信息系統(tǒng)審計(jì)同傳統(tǒng)審計(jì)有著極大不同��,需要成立專門的會計(jì)信息系統(tǒng)審計(jì)行業(yè)協(xié)會�����,對會計(jì)信息系統(tǒng)審計(jì)活動及審計(jì)人才隊(duì)伍進(jìn)行有效指導(dǎo)和管理����,設(shè)立從業(yè)資格認(rèn)證及審核機(jī)制�����,組織資格考試,提高會計(jì)信息系統(tǒng)審計(jì)隊(duì)伍專業(yè)水平�。
(三)提升專門審計(jì)軟件的有效性
目前市場存在的審計(jì)軟件還存在一定問題,還應(yīng)持續(xù)創(chuàng)新���、升級��、強(qiáng)化軟件功能���,在保障能以技術(shù)手段確保審計(jì)數(shù)據(jù)信息高效、順暢獲取的同時����,還應(yīng)內(nèi)置數(shù)據(jù)分析、識別和處理功能模塊��,降低審計(jì)工作量和難度�����,提高審計(jì)效率����。就專業(yè)化發(fā)展而言,應(yīng)由信息技術(shù)人員和審計(jì)人員共同合作開發(fā)專門的會計(jì)信息系統(tǒng)審計(jì)軟件�,代替目前市場上常見的功能單一���、穩(wěn)定性差、操作復(fù)雜���、標(biāo)準(zhǔn)不一的審計(jì)軟件���,使審計(jì)人員更加容易操作,使審計(jì)流程得以高效實(shí)施��,同時降低工作難度和風(fēng)險��,以更好地履行審計(jì)職能��。開發(fā)設(shè)計(jì)應(yīng)本著“實(shí)用性”�����、“易用性”���、“安全性”和“高效性”原則,由審計(jì)人員負(fù)責(zé)確保軟件的實(shí)用性和易用性�,由信息技術(shù)人員負(fù)責(zé)確保軟件的安全性和高效性,以提升專門審計(jì)軟件的有效性�。
(四)統(tǒng)一會計(jì)信息系統(tǒng)審計(jì)軟件技術(shù)規(guī)范
第2篇
(一)信息系統(tǒng)審計(jì)的定義����。中國內(nèi)部審計(jì)協(xié)會(2014)認(rèn)為信息系統(tǒng)審計(jì)是指“內(nèi)部審計(jì)機(jī)構(gòu)和內(nèi)部審計(jì)人員對組織的信息系統(tǒng)及其相關(guān)的信息技術(shù)內(nèi)部控制和流程所進(jìn)行的審查與評價活動”���。按照上述定義���,信息系統(tǒng)審計(jì)的重點(diǎn)跟傳統(tǒng)審計(jì)一樣,還是專注于內(nèi)部控制與流程��,但關(guān)注點(diǎn)不同�����,信息系統(tǒng)審計(jì)的關(guān)注點(diǎn)是信息系統(tǒng)的控制和流程��,而不僅僅只關(guān)注相關(guān)的制度和規(guī)范����。
(二)信息系統(tǒng)審計(jì)的目標(biāo)。信息系統(tǒng)審計(jì)和控制聯(lián)合會(ISACA)COBIT框架認(rèn)為組織內(nèi)部的信息系統(tǒng)需求三原則是:質(zhì)量��、成本和安全�,即在保證信息系統(tǒng)滿足組織需求的前提下,盡可能避免組織內(nèi)外部風(fēng)險�,并減少研發(fā)和維護(hù)成本�。因此信息系統(tǒng)審計(jì)的目標(biāo)就是對組織信息系統(tǒng)的運(yùn)行的可靠性�����,數(shù)據(jù)的真實(shí)性和安全性提供評價����。
(三)信息系統(tǒng)審計(jì)的步驟。由于大多數(shù)高校內(nèi)審機(jī)構(gòu)在“數(shù)字化校園”開發(fā)階段并沒有參與其中����。本文所述的信息系統(tǒng)審計(jì)專指信息系統(tǒng)運(yùn)行維護(hù)階段的審計(jì)。
1.審計(jì)準(zhǔn)備階段���。信息系統(tǒng)審計(jì)準(zhǔn)備階段步驟與傳統(tǒng)審計(jì)類似����,通過從被審計(jì)單位獲取相關(guān)信息系統(tǒng)管理的規(guī)章制度���,找負(fù)責(zé)系統(tǒng)維護(hù)管理的工作人員座談,實(shí)地觀察等方式�,完成審前調(diào)查,進(jìn)行風(fēng)險評估���、初步確定審計(jì)重點(diǎn)和制定審計(jì)實(shí)施方案等工作�����。
2.審計(jì)實(shí)施階段�。信息系統(tǒng)審計(jì)在實(shí)施階段分為兩部分,分別為信息系統(tǒng)一般控制審計(jì)和應(yīng)用控制審計(jì)���。一般控制審計(jì)往往比應(yīng)用控制審計(jì)更為重要�,因?yàn)閼?yīng)用控制的有效性常常受到一般控制的影響����。根據(jù)審計(jì)項(xiàng)目不同,審計(jì)人員可以只實(shí)施一般控制審計(jì)或者兩者結(jié)合進(jìn)行審計(jì)�����。(1)一般控制審計(jì)��。一般控制審計(jì)又可以分為硬件和軟件兩部分�����,兩部分的審計(jì)重點(diǎn)和方法有所不同,分別為:對硬件的審計(jì)通過實(shí)地觀察法實(shí)施����,主要有審計(jì)網(wǎng)絡(luò)接口是否安全,是否有硬件防火墻��,硬件設(shè)備存放環(huán)境是否安全��,防火�����、防雷�、防盜措施是否完備,是否裝備了UPS����,在硬件出現(xiàn)故障時是否制定了應(yīng)急響應(yīng)計(jì)劃等。對軟件的審計(jì)通過抽樣�、觀察和面談實(shí)施,審計(jì)重點(diǎn)為:一是系統(tǒng)管理控制�,主要有系統(tǒng)設(shè)定的職責(zé)分離是否合理,授權(quán)管理是否充分�,是否做到一個系統(tǒng)賬戶對應(yīng)一個工作人員,是否確保了只有被授權(quán)的用戶才能對特定資源和數(shù)據(jù)進(jìn)行訪問等��;二是軟件安全控制���,主要有是否安裝了殺毒軟件��,軟件是否定時升級����,未經(jīng)授權(quán)的軟件能否安裝��,是否有系統(tǒng)操作規(guī)范等�;三是數(shù)據(jù)管理控制,主要有數(shù)據(jù)傳輸是否加密�,系統(tǒng)數(shù)據(jù)是否定期備份,有無冗余備份����,數(shù)據(jù)修改是否按照規(guī)定程序進(jìn)行審核,向外部傳輸系統(tǒng)數(shù)據(jù)是否有身份認(rèn)證��,是否定期對數(shù)據(jù)質(zhì)量進(jìn)行檢查等���。(2)應(yīng)用控制審計(jì)���。信息系統(tǒng)應(yīng)用控制是指為保證應(yīng)用程序處理數(shù)據(jù)時按照組織流程運(yùn)行,確保數(shù)據(jù)的完整性和真實(shí)性的控制,包括輸入控制����、處理控制、輸出控制三部分�。輸入控制包括輸入授權(quán)、數(shù)據(jù)轉(zhuǎn)換和編輯校驗(yàn)��,處理控制包括運(yùn)行總數(shù)控制����、計(jì)算機(jī)匹配和批處理控制,輸出控制包括復(fù)核系統(tǒng)處理日志��、審核輸出文本�����、審核程序�。對應(yīng)用控制的審計(jì),主要通過分析性復(fù)核和計(jì)算機(jī)輔助模擬的方法����,審計(jì)重點(diǎn)為信息系統(tǒng)業(yè)務(wù)的控制點(diǎn)設(shè)置是否合理,數(shù)據(jù)處理程序最多運(yùn)行數(shù)�����,是否有審核系統(tǒng)日志程序等����。
3.報告階段。內(nèi)審人員根據(jù)實(shí)施階段編制的工作底稿���,出具審計(jì)報告初稿����,與被審單位充分溝通后�����,修改審計(jì)報告����,報相關(guān)層級領(lǐng)導(dǎo)審核后,簽發(fā)正式審計(jì)報告�。
二、高校做好信息系統(tǒng)審計(jì)的措施
1.轉(zhuǎn)變觀念�,提高開展信息系統(tǒng)審計(jì)必要性的認(rèn)識?�!皵?shù)字化校園”建成以后,高校內(nèi)部控制環(huán)境已經(jīng)悄然發(fā)生改變�,內(nèi)部審計(jì)要想充分發(fā)揮其獨(dú)有的管理評價職能,必須迎頭而上��,及時開展信息系統(tǒng)審計(jì)��。不少內(nèi)審機(jī)構(gòu)認(rèn)為信息系統(tǒng)審計(jì)專業(yè)性太強(qiáng)�����,無從著手���,實(shí)際上信息系統(tǒng)審計(jì)的核心并沒有改變�,還是對信息系統(tǒng)控制的評價����,并沒有超出審計(jì)人員專業(yè)知識的范疇。
2.結(jié)合實(shí)際���,建立信息系統(tǒng)審計(jì)的體系��。當(dāng)前��,國際上已經(jīng)有比較成熟的關(guān)于信息系統(tǒng)審計(jì)的體系���,那就是信息系統(tǒng)審計(jì)和控制聯(lián)合會(ISACA)COBIT體系�,但完全照搬肯定是不行的���,在實(shí)際操作中��,內(nèi)審機(jī)構(gòu)必須結(jié)合國情、校情����,進(jìn)行修訂更改,出臺符合自身工作實(shí)際的�、具備可操作性的信息系統(tǒng)審計(jì)體系,以規(guī)范審計(jì)工作���。
3.加強(qiáng)對內(nèi)審人員的培養(yǎng)�����。內(nèi)審機(jī)構(gòu)可以通過以下方式提高內(nèi)審人員業(yè)務(wù)素質(zhì):一是鼓勵內(nèi)審人員取得CISA資格�����。由ISACA頒發(fā)國際信息系統(tǒng)審計(jì)師(CISA)執(zhí)業(yè)證書是唯一在國際上獲得認(rèn)可的證書���,具有很強(qiáng)的權(quán)威性�����。二是在聘請外部審計(jì)機(jī)構(gòu)進(jìn)行信息系統(tǒng)審計(jì)的同時��,讓內(nèi)審人員參與其中�����,做到邊實(shí)踐邊總結(jié)����,起到“以審帶練”的作用�。
第3篇
關(guān)鍵詞:信息系統(tǒng)審計(jì);企業(yè)信息化;信息系統(tǒng)
信息化是國家現(xiàn)代化的基本標(biāo)志,也是一個國家綜合國力的集中體現(xiàn)����。信息化建設(shè)是一項(xiàng)長期的、綜合的系統(tǒng)工程����,在改善企業(yè)運(yùn)作管理水平、提高工作效率的同時���,也產(chǎn)生了巨大的風(fēng)險�。因此,建立信息系統(tǒng)審計(jì)制度�,發(fā)展信息系統(tǒng)審計(jì)是信息化過程中必不可少的制度保證和手段。
一��、信息系統(tǒng)審計(jì)的概述
1.信息系統(tǒng)審計(jì)的定義
信息系統(tǒng)審計(jì)(InformationSystemAudit信息系統(tǒng)���,簡稱ISA)目前還沒有公認(rèn)的通用定義��,國際信息系統(tǒng)審計(jì)領(lǐng)域的權(quán)威專家RonWeber將它定義為:收集并評估證據(jù),以判斷一個計(jì)算機(jī)系統(tǒng)(信息系統(tǒng))是否有效做到保護(hù)資產(chǎn)��、維護(hù)數(shù)據(jù)完整����、完成組織目標(biāo),同時最經(jīng)濟(jì)地使用資源�����?���?赏ㄋ椎睦斫鉃槭菍π畔⑾到y(tǒng)的規(guī)劃��、開發(fā)��、實(shí)施���、運(yùn)行和維護(hù)等各個環(huán)節(jié)進(jìn)行評價,確保其符合企業(yè)經(jīng)營目標(biāo)的過程���。
2.信息系統(tǒng)審計(jì)的業(yè)務(wù)內(nèi)容
信息系統(tǒng)審計(jì)的業(yè)務(wù)內(nèi)容包括計(jì)算機(jī)資源管理審計(jì)����、軟硬件等獲取審計(jì)����、系統(tǒng)軟件審計(jì)、程序?qū)徲?jì)����、數(shù)據(jù)完整性審計(jì)、系統(tǒng)生命周期審計(jì)�����、應(yīng)用系統(tǒng)開發(fā)審計(jì)、系統(tǒng)維護(hù)審計(jì)����、操作審計(jì)和安全審計(jì)。
信息系統(tǒng)審計(jì)項(xiàng)目按生命周期來劃分����,一般分為信息系統(tǒng)開發(fā)過程的審計(jì)、信息系統(tǒng)運(yùn)行維護(hù)過程的審計(jì)和信息系統(tǒng)生命周期共同業(yè)務(wù)的審計(jì)���。
信息系統(tǒng)開發(fā)過程中的審計(jì)是伴隨著系統(tǒng)規(guī)劃��、系統(tǒng)分析�、系統(tǒng)設(shè)計(jì)���、編碼、測試和系統(tǒng)試運(yùn)行這幾個階段同步進(jìn)行的����。信息系統(tǒng)運(yùn)行過程中的審計(jì)包括系統(tǒng)輸入審計(jì)、通信過程審計(jì)����、處理過程審計(jì)、數(shù)據(jù)庫審計(jì)、系統(tǒng)輸出審計(jì)和運(yùn)行管理審計(jì)�;信息系統(tǒng)維護(hù)過程中的審計(jì)包括維護(hù)組織審計(jì)、維護(hù)順序?qū)徲?jì)�、維護(hù)計(jì)劃審計(jì)、維護(hù)實(shí)施審計(jì)���、維護(hù)確認(rèn)審計(jì)����、改良系統(tǒng)試運(yùn)行審計(jì)和舊信息系統(tǒng)報廢審計(jì)��。
3.信息系統(tǒng)審計(jì)的流程
信息系統(tǒng)審計(jì)流程包括三個階段即:審計(jì)計(jì)劃階段��、審計(jì)實(shí)施階段和審計(jì)完成階段�����。
計(jì)劃階段是信息系統(tǒng)審計(jì)流程的第一步�����,主要任務(wù)是了解被審系統(tǒng)的基本情況����;與委托單位簽訂業(yè)務(wù)約定書;初步評價被審系統(tǒng)的內(nèi)部控制及外部控制;確定重要性水平���;分析審計(jì)風(fēng)險和編制審計(jì)計(jì)劃����。
實(shí)施階段的主要任務(wù)是根據(jù)重要性水平�����、風(fēng)險和計(jì)劃獲取有關(guān)資料�;進(jìn)行符合性測試和實(shí)質(zhì)性測試;對測試結(jié)果進(jìn)行分析�����;找出導(dǎo)致結(jié)果的原因���。
完成階段的主要任務(wù)是整理�、評價審計(jì)證據(jù)����;復(fù)核工作底稿���,完成二級復(fù)核��,匯總審計(jì)差異�,同被審系統(tǒng)管理層交流;對重要性水平和風(fēng)險進(jìn)行最終評價���,形成審計(jì)意見�,編制審計(jì)報告��,完成三級復(fù)核�。
二、信息系統(tǒng)審計(jì)的方法�、技術(shù)與工具
由于信息系統(tǒng)本身的多樣性和復(fù)雜性,信息系統(tǒng)審計(jì)的難度也隨之增加�。面對錯綜復(fù)雜的信息系統(tǒng)和審計(jì)環(huán)境,要求審計(jì)師可以根據(jù)審計(jì)組織及信息系統(tǒng)的實(shí)際情況�,結(jié)合審計(jì)目標(biāo)、成本效益���、審計(jì)小組的人員與設(shè)備配置情況等����,采用多種方法���、技術(shù)和工具來幫助他們進(jìn)行審計(jì)工作���。
1.常規(guī)的審計(jì)方法��、技術(shù)與工具
常規(guī)的審計(jì)方法包括面談法�����、問卷調(diào)查法�、系統(tǒng)評審會���、流程圖檢查����、程序代碼檢查�、程序代碼比較和測試等。但在高度計(jì)算機(jī)化的信息系統(tǒng)中�����,只采用常規(guī)審計(jì)法顯然是不夠的�,無論是審計(jì)證據(jù)的收集、評價�,還是實(shí)現(xiàn)審計(jì)工作的現(xiàn)代化,都需要借助計(jì)算機(jī)來高效完成���。
2.計(jì)算機(jī)輔助審計(jì)的技術(shù)與工具
信息系統(tǒng)被普遍應(yīng)用與企業(yè)生產(chǎn)��、管理及經(jīng)營活動的各個環(huán)節(jié)�����,審計(jì)師為達(dá)到審計(jì)目的����,必須要收集大量儲存于計(jì)算機(jī)中的數(shù)據(jù)���,并借助于計(jì)算機(jī)對這些數(shù)據(jù)進(jìn)行分析���,以得出審計(jì)的結(jié)論。因此審計(jì)師在收集證據(jù)并分析證據(jù)時����,必需利用計(jì)算機(jī)輔助審計(jì)工作,計(jì)算機(jī)輔助審計(jì)技術(shù)(ComputerAssistedAuditTechniques�����,簡稱CAAT)越來越成為審計(jì)師不可或缺的手段。
計(jì)算機(jī)輔助審計(jì)技術(shù)可以使信息系統(tǒng)審計(jì)師獨(dú)立收集審計(jì)信息�,按照預(yù)定審計(jì)目標(biāo)訪問和分析數(shù)據(jù)、報告系統(tǒng)產(chǎn)生和維護(hù)的記錄的可靠性等審計(jì)發(fā)現(xiàn)�。所用信息來源的可靠性為得出審計(jì)結(jié)論提供了再保證。
常用的計(jì)算機(jī)輔助審計(jì)軟件與技術(shù):共用軟件���、測試數(shù)據(jù)�����、應(yīng)用程序檢查�����、審計(jì)專家系統(tǒng)��、整體測試、快照、系統(tǒng)控制審計(jì)審核文檔��、其他特殊的審計(jì)軟件等。三���、信息系統(tǒng)審計(jì)的應(yīng)用價值
信息化是有風(fēng)險的���,信息系統(tǒng)規(guī)模越大,功能越復(fù)雜���,風(fēng)險也就越大�����。信息系統(tǒng)審計(jì)為企業(yè)信息系統(tǒng)的有效管理提供了一系列詳細(xì)的審計(jì)方法����,從項(xiàng)目計(jì)劃開始介入信息系統(tǒng)建設(shè)的每個環(huán)節(jié)����,從項(xiàng)目的初始階段一直到運(yùn)營階段的全過程,給予項(xiàng)目投資者風(fēng)險控制的評價和建議�,提高信息系統(tǒng)的投資效益����。
信息系統(tǒng)審計(jì)可以查出各種錯誤和舞弊,合理地保證企業(yè)信息系統(tǒng)及其處理��、產(chǎn)生的信息的真實(shí)性���、完整性與可靠性���;可以促進(jìn)企業(yè)更有效地融入到社會生活中���;可以促進(jìn)企業(yè)改進(jìn)內(nèi)部控制�����,加強(qiáng)管理����,提高信息系統(tǒng)實(shí)現(xiàn)組織目標(biāo)的效率�����。信息系統(tǒng)審計(jì)在信息化過程中���,幫助企業(yè)建立健全的內(nèi)部控制制度��,進(jìn)行系統(tǒng)診斷���。確定信息化的目標(biāo)和內(nèi)容,幫助企業(yè)調(diào)整現(xiàn)有的管理框架和流程或修改軟件產(chǎn)品使其更好地服務(wù)于管理的需要�����。
參考文獻(xiàn):
[1]胡克瑾:IT審計(jì)[M].電子工業(yè)出版社��,2004.
[2]孫強(qiáng):信息系統(tǒng)審計(jì):安全�、風(fēng)險管理與控制[M].機(jī)械工業(yè)出版,2003.
第4篇
[論文摘要]本文分析了信息系統(tǒng)環(huán)境下審計(jì)工作系統(tǒng)的功能特征、運(yùn)作環(huán)節(jié)以及系統(tǒng)的構(gòu)成��,介紹了系統(tǒng)測試的方法�����,以期提高審計(jì)信息化水平��,提高審計(jì)效率和效果�。
數(shù)據(jù)庫技術(shù)在審計(jì)信息管理中的廣泛運(yùn)用,能為審計(jì)人員充分�、有效、便利地提供信息�����,為滿足快捷決策需要奠定了基礎(chǔ)��。其主要設(shè)計(jì)思想是將分析決策所需的大量數(shù)據(jù)從傳統(tǒng)的操作環(huán)境中分離出來�����,把分散的�、難以訪問的操作數(shù)據(jù)轉(zhuǎn)換成集中統(tǒng)一、隨時可用的信息而建立的一個大的數(shù)據(jù)庫��,其中存儲了所有審計(jì)數(shù)據(jù)�����。
一���、審計(jì)工作系統(tǒng)的功能特征
在審計(jì)工作系統(tǒng)中���,審計(jì)數(shù)據(jù)庫將信息按照主題來進(jìn)行組織�����、管理����、控制�����,審計(jì)系統(tǒng)對信息的組織����、管理、控制方式一般具有以下特征:
1.一致性
不同來源的多種數(shù)據(jù)一旦進(jìn)入數(shù)據(jù)庫�,就必須按照統(tǒng)一的主鍵和結(jié)構(gòu)與編碼規(guī)則重新組合,因而在審計(jì)系統(tǒng)中的數(shù)據(jù)信息具有一致性的特點(diǎn)��。當(dāng)業(yè)務(wù)事件發(fā)生時����,所有原始數(shù)據(jù)被適當(dāng)加工成標(biāo)準(zhǔn)編碼的源數(shù)據(jù),集成于一個邏輯數(shù)據(jù)庫(或數(shù)據(jù)倉庫)���,而不是重復(fù)存儲于多個低耦合系統(tǒng)中��。數(shù)據(jù)庫不只記錄符合會計(jì)事項(xiàng)定義的業(yè)務(wù)事件���,而且記錄管理者想要計(jì)劃、控制和評價的所有業(yè)務(wù)事件�����,并且存儲業(yè)務(wù)活動中多方面的細(xì)節(jié)信息�����。任何授權(quán)用戶都可以通過數(shù)據(jù)庫所存儲的數(shù)據(jù)來定義和獲取所需的有用信息�����,這樣既能提供多種視圖驅(qū)動應(yīng)用所能提供的全部視圖��,又能避免數(shù)據(jù)重復(fù)存儲和數(shù)據(jù)不一致的問題�����。此外����,這種體系結(jié)構(gòu)還實(shí)現(xiàn)了信息處理的實(shí)時控制��,數(shù)據(jù)庫中的處理單元在業(yè)務(wù)發(fā)生時捕捉業(yè)務(wù)數(shù)據(jù)�,既能執(zhí)行業(yè)務(wù)規(guī)劃和控制��,又能校驗(yàn)數(shù)據(jù)的準(zhǔn)確性和完整性�����。
2.時間變量
審計(jì)數(shù)據(jù)庫中的數(shù)據(jù)鍵始終包括時間元素�,數(shù)據(jù)保存的時間通常較長,具有作歷史比較和趨勢分析預(yù)測的長期數(shù)據(jù)基礎(chǔ)���。數(shù)據(jù)庫技術(shù)是將計(jì)算機(jī)應(yīng)用于數(shù)據(jù)管理而產(chǎn)生的一種新的技術(shù)��,它僅是審計(jì)信息系統(tǒng)憑借的一種新的管理手段�����,對于數(shù)據(jù)庫的基本要素和管理對象——審計(jì)信息的源數(shù)據(jù)��,并不是指沒有經(jīng)過任何加工的原始數(shù)據(jù)���,而是在原始數(shù)據(jù)的基礎(chǔ)上�����,經(jīng)過了類似于會計(jì)流程中的原始憑證確認(rèn)��、統(tǒng)—會計(jì)科目標(biāo)準(zhǔn)編碼等加工后所形成的數(shù)據(jù)。
二���、審計(jì)工作系統(tǒng)的運(yùn)作環(huán)節(jié)
審計(jì)數(shù)據(jù)庫在審計(jì)工作系統(tǒng)的運(yùn)作過程大致有如下4個重要方面:
1.數(shù)據(jù)獲取
獲取企業(yè)的數(shù)據(jù)信息����,記錄數(shù)據(jù)信息的功能和處理過程�。根據(jù)審計(jì)人員的需要,對在數(shù)據(jù)庫中運(yùn)算所需的數(shù)據(jù)通過一定的方式進(jìn)行采集�����,可以得到企業(yè)完整而清晰的數(shù)據(jù)信息����,選取和不斷更新數(shù)據(jù),保證數(shù)據(jù)的一致性�����,使審計(jì)信息系統(tǒng)的數(shù)據(jù)不斷更新與補(bǔ)充,并使數(shù)據(jù)在審計(jì)信息系統(tǒng)內(nèi)部各部件之間可以溝通�����;利用現(xiàn)有系統(tǒng)的信息����,確定從企業(yè)數(shù)據(jù)到審計(jì)信息系統(tǒng)的數(shù)據(jù)模型所必需的轉(zhuǎn)化/綜合模式。生成審計(jì)信息數(shù)據(jù)���,是進(jìn)行審計(jì)工作的數(shù)據(jù)基礎(chǔ)����,類似于傳統(tǒng)手工環(huán)境下的審計(jì)對象��。審計(jì)信息系統(tǒng)上的財務(wù)信息不再是簡單的純文本傳統(tǒng)財務(wù)信息���,它是特定協(xié)議標(biāo)準(zhǔn)格式�����,如超文本格式(HTML)的電子報表�����,所有數(shù)據(jù)只要點(diǎn)擊都可以被隨意移植使用�。通過網(wǎng)絡(luò)傳輸而來的電子報表按照一定的協(xié)議標(biāo)準(zhǔn)格式編制,也可以轉(zhuǎn)換成審計(jì)信息系統(tǒng)所需的數(shù)據(jù)����。通過數(shù)據(jù)獲取環(huán)節(jié),把這些數(shù)據(jù)轉(zhuǎn)換成審計(jì)信息系統(tǒng)所能識別的形式�,或直接采用被審計(jì)單位所提供電子數(shù)據(jù)加工出審計(jì)信息系統(tǒng)想要的形式。
2.數(shù)據(jù)管理
此環(huán)節(jié)包括會計(jì)信息庫和用戶信息庫兩部分�����,前者主要依據(jù)數(shù)據(jù)庫技術(shù)進(jìn)行管理��,注重于對信息的分類�����、組織����、維護(hù)�����、檢索等,對存儲的數(shù)據(jù)建立模型��,通過數(shù)據(jù)模型來對信息進(jìn)行保存和管理���;后者主要包括有關(guān)用戶個性特征的信息����,個性特征數(shù)據(jù)結(jié)構(gòu)設(shè)計(jì)是這部分的關(guān)鍵問題�����,決定了個性化信息服務(wù)系統(tǒng)服務(wù)質(zhì)量的優(yōu)劣�,也是實(shí)現(xiàn)信息服務(wù)自動化和智能化的關(guān)鍵。通過將各種數(shù)據(jù)裝入數(shù)據(jù)管理庫之中�����,生成必需的����、能為審計(jì)人員所直接使用的數(shù)據(jù)管理庫,或通過其他方法為審計(jì)人員提供查詢工具�����,以便審計(jì)人員能方便地從數(shù)據(jù)管理庫中獲取所需的信息,并可以通過一定的形式將其輸出��。生成審計(jì)工作所需的數(shù)據(jù)管理庫包含各種審計(jì)計(jì)算底稿�����、審定表�、審計(jì)報告、管理建議書等信息的結(jié)構(gòu)化數(shù)據(jù)庫��,并形成與其他部件進(jìn)行聯(lián)系的橋梁�。
3.分析推理
這是審計(jì)信息系統(tǒng)中對信息流進(jìn)行控制的核心,其主要功能是接受審計(jì)人員通過審計(jì)信息系統(tǒng)傳來的信息需求���,判斷需求指向的是已存在的信息,還是不存在的信息�����,或者是哪一層次的信息��。對已存在的信息可直接調(diào)出并通過用戶瀏覽器予以顯示����,對不存在的信息需要進(jìn)行記錄����,并判斷是否經(jīng)適當(dāng)可行的計(jì)算或處理即可提供���,如是���,則進(jìn)行計(jì)算處理并顯示;否則���,作為遺留問題提示進(jìn)行特別設(shè)置處理�����。此環(huán)節(jié)是審計(jì)工作數(shù)據(jù)庫的主要組成部分之一����,可以利用采集到的數(shù)據(jù)信息����,根據(jù)程序設(shè)置,推斷出審計(jì)人員工作需要的可能解����;提供方便的審計(jì)分析模塊�。
4.解釋報告
審計(jì)軟件可以提供審計(jì)報告生成功能����,審計(jì)人員可以通過它選擇具體的信息項(xiàng)目、類型和表達(dá)形式���,主要內(nèi)容包括:(1)設(shè)置報告模式��。模式中列有會計(jì)系統(tǒng)中與要素模塊相應(yīng)的數(shù)據(jù)項(xiàng)目�,模式中的項(xiàng)目與含有多種會計(jì)方法的對話框或序列框相聯(lián)��,以便審計(jì)人員選擇他們需要的會計(jì)方法來處理其選擇的信息項(xiàng)目���。(2)初始選擇����。在生成報告時��,現(xiàn)行的會計(jì)準(zhǔn)則和法規(guī)作為初始選擇存放在對話框架或子對話框中���。如不進(jìn)行任何選擇,審計(jì)人員可以得到一份通用的標(biāo)準(zhǔn)的審計(jì)報告��。(3)選擇項(xiàng)目。除初始選擇以外��,模式報告還提供可選擇項(xiàng)目來滿足審計(jì)人員不同的信息報告要求��,這些選擇項(xiàng)目可以是會計(jì)準(zhǔn)則和法規(guī)�、會計(jì)計(jì)量和估價方法、財務(wù)信息與非財務(wù)信息的類型��、報告的頻率����、范圍、使用的語言�����、形式等���,提供可選擇項(xiàng)目能夠增強(qiáng)交互性相對化特征��,既能滿足審計(jì)人員的特殊信息報告需要�,又能減少報告使用人員的信息負(fù)擔(dān)�。(4)幫助功能。可以采取3種方式:自動顯示專業(yè)技術(shù)概念解釋����;在對話框中提供環(huán)境敏感幫助;一個全面的包括如何應(yīng)用更復(fù)雜的會計(jì)技術(shù)和方法的目錄�。幫助功能可以避免審計(jì)人員和報告使用者有限的時間被信息的多樣化這種無實(shí)際意義的工作浪費(fèi),有利于及時��、準(zhǔn)確���、有效地尋找有用信息��,提高對信息的利用效率�。
三�����、審計(jì)工作系統(tǒng)的組成及內(nèi)容
1.審計(jì)項(xiàng)目管理部分
通過建立審計(jì)項(xiàng)目管理組件�����,對每一個被審計(jì)項(xiàng)目的各方面情況進(jìn)行記錄并生成電子檔案���,可以讓審計(jì)人員更方便地查閱、了解被審計(jì)單位的情況,讓審計(jì)項(xiàng)目的新進(jìn)人員可以更快熟悉工作�����;可以建立審計(jì)質(zhì)量控制系統(tǒng)���,明確審計(jì)人員的工作職責(zé)���。2.審計(jì)法規(guī)管理部分
可以自動檢查有關(guān)處理是否合法合規(guī),能完成法規(guī)資料的錄入�、修改、刪除��、檢索�、打印等功能。檢索功能不僅可以為用戶按各種條件查找審計(jì)法規(guī)的目錄��,而且可以根據(jù)目錄查找法規(guī)全文��,可以按要求摘要其中的內(nèi)容并打印輸出����。審計(jì)法規(guī)數(shù)據(jù)庫也可以單獨(dú)成為一個軟件,現(xiàn)已成功地應(yīng)用于審計(jì)工作第一線�����,是我國目前開發(fā)和應(yīng)用較成功的專項(xiàng)審計(jì)軟件之一。
3.審計(jì)操作管理部分
審計(jì)操作管理的功能:(1)參考功能���。提供計(jì)算機(jī)審計(jì)中常用的工具����、手段�、可使用的審計(jì)程序,其主要內(nèi)容有:審計(jì)環(huán)境建立���、查詢��、抽樣����、匯總與計(jì)算�、排序與分類、財務(wù)與效益分析����、編制與輸出工作底稿、打印各類審計(jì)文件等�����。(2)圖像處理功能�����。通過對圖像顯示參數(shù)的設(shè)置����,可以使審計(jì)結(jié)果以圖表的形式表達(dá)出來,可以讓內(nèi)部審計(jì)人員直觀地了解被審計(jì)單位的情況�����。(3)底稿處理功能��。能完成審計(jì)工作底稿及有關(guān)參數(shù)和數(shù)據(jù)的增����、刪、改等維護(hù)工作����。針對計(jì)算機(jī)系統(tǒng)還能自動查找、計(jì)算�、輸入底稿所需數(shù)據(jù)��,并按格式打印���,針對手工系統(tǒng)則可以提示審計(jì)人員輸入有關(guān)數(shù)據(jù),并進(jìn)行計(jì)算性復(fù)核�。
4.專用程序管理部分
對于一些需要對外報送資料的項(xiàng)目,尤其是需要送交政府部門的項(xiàng)目���,有的政府部門可能提供了單獨(dú)的審計(jì)軟件�,或者需要單獨(dú)配備專用的審計(jì)功能���,以滿足政府部門的數(shù)據(jù)需要�����。還有的審計(jì)項(xiàng)目因數(shù)據(jù)量大��,牽涉面廣�,并且各被審計(jì)單位的情況又不盡一致�,為了對這些項(xiàng)目進(jìn)行有效的審計(jì),也需要針對每個項(xiàng)目的不同情況����,單獨(dú)配備專用的審計(jì)功能���,以滿足審計(jì)工作的要求。
四�����、審計(jì)工作系統(tǒng)的測試方法
1.現(xiàn)場交易選擇測試數(shù)據(jù)
對被審計(jì)單位的現(xiàn)場交易作標(biāo)記輸入到應(yīng)用程序中���,把帶標(biāo)記的交易當(dāng)作測試數(shù)據(jù)。采用這種方法����,應(yīng)用程序中必須有特定的計(jì)算機(jī)程序能夠識別出帶標(biāo)記的交易,并且使這些交易既要更新應(yīng)用系統(tǒng)的主文件��,同時也要更新做檢測用的虛擬實(shí)體?�,F(xiàn)場交易作標(biāo)記選擇和識別帶記號的交易測試數(shù)據(jù)有多種策略:第一��,在源文件中或屏幕布局中包含一個專門的標(biāo)識字段��,用來表示一筆交易既為正常交易又為帶記號交易����。由審計(jì)人員來選擇確定對哪些現(xiàn)場交易作標(biāo)記����,所選交易的特征可以與測試數(shù)據(jù)的設(shè)計(jì)相一致�����,也可以根據(jù)制定的抽樣計(jì)劃進(jìn)行選擇���。第二�����,在應(yīng)用系統(tǒng)的程序中嵌入審計(jì)軟件模塊���,利用審計(jì)軟件來選擇交易并給交易加標(biāo)記使其成為帶記號交易。第三�,在應(yīng)用系統(tǒng)中嵌入抽樣程序,抽樣程序具有根據(jù)抽樣計(jì)劃給交易作標(biāo)記���,并使其成為帶記號交易的功能�����。不論采用何種策略����,應(yīng)用系統(tǒng)中必須有相應(yīng)的處理程序,專門處理帶標(biāo)記的交易��。
2.自行設(shè)計(jì)測試數(shù)據(jù)
自行設(shè)計(jì)測試數(shù)據(jù)是將測試數(shù)據(jù)與現(xiàn)場交易數(shù)據(jù)一同輸入應(yīng)用系統(tǒng)���。采用這種方法�,審計(jì)人員應(yīng)當(dāng)根據(jù)所要使用的測試數(shù)據(jù)特征設(shè)計(jì)并創(chuàng)建測試數(shù)據(jù)����。自行設(shè)計(jì)測試數(shù)據(jù)的優(yōu)點(diǎn)是覆蓋面廣�,可全面測試系統(tǒng);但設(shè)計(jì)和建立測試數(shù)據(jù)要花費(fèi)一定的時間和費(fèi)用����。筆者認(rèn)為,應(yīng)用程序進(jìn)行檢測時�����,首先要在應(yīng)用程序的文件中建立一個虛擬實(shí)體���,并讓應(yīng)用程序處理該實(shí)體的審計(jì)測試數(shù)據(jù)�。如果應(yīng)用程序是工資系統(tǒng),可在其數(shù)據(jù)庫中建立一個虛擬的職員資料庫�����;如果應(yīng)用程序是存貨系統(tǒng)���,可在其數(shù)據(jù)庫中建立一個虛擬的存貨項(xiàng)目����。將帶標(biāo)記的實(shí)際數(shù)據(jù)或模擬數(shù)據(jù)一同輸入應(yīng)用程序和審計(jì)軟件進(jìn)行處理�,通過將應(yīng)用程序?qū)?shù)據(jù)處理的結(jié)果同審計(jì)軟件處理的結(jié)果進(jìn)行比較,可確定應(yīng)用程序的處理和控制功能是否恰當(dāng)�����、可靠�。當(dāng)應(yīng)用程序非常龐大或復(fù)雜時,全面追蹤通過系統(tǒng)的不同執(zhí)行路徑會有一定難度���,審計(jì)人員對交易進(jìn)行審查時�,可以在應(yīng)用系統(tǒng)的重要處理發(fā)生點(diǎn)嵌入軟件����,當(dāng)交易通過不同處理點(diǎn)時��,嵌入軟件可捕捉交易的過程�。為證實(shí)不同關(guān)鍵點(diǎn)的處理��,審計(jì)人員使用軟件捕捉交易的前后過程����,通過檢驗(yàn)前后過程及其變換,評價交易處理的真實(shí)性�����、準(zhǔn)確性和完整性��。
主要參考文獻(xiàn)
[1]WayneMoreandDavidHendrey.ITAuditRenewal[J].InternalAuditor�����,l999���,(4):17.
第5篇
(Why)隨著被審計(jì)單位經(jīng)濟(jì)業(yè)務(wù)活動對信息系統(tǒng)依賴程度越來越高,信息系統(tǒng)已經(jīng)逐漸融入各項(xiàng)經(jīng)濟(jì)活動當(dāng)中��。但是,信息系統(tǒng)存在的漏洞和缺陷�����、非法舞弊程序�、人為操作錯誤、病毒感染�����、黑客攻擊�����、系統(tǒng)故障等導(dǎo)致被審計(jì)單位經(jīng)濟(jì)業(yè)務(wù)數(shù)據(jù)失真的各種風(fēng)險也在進(jìn)一步加大�,也就是說信息系統(tǒng)本身的安全性、可靠性直接威脅和影響到信息系統(tǒng)所產(chǎn)生經(jīng)濟(jì)業(yè)務(wù)電子數(shù)據(jù)的真實(shí)���、準(zhǔn)確和完整�����。因此�,基于現(xiàn)代風(fēng)險基礎(chǔ)審計(jì)理論的政府審計(jì)�����,必須考慮與經(jīng)濟(jì)業(yè)務(wù)活動相關(guān)的信息系統(tǒng)產(chǎn)生的風(fēng)險因素,突破傳統(tǒng)政府審計(jì)業(yè)務(wù)范圍�,涵蓋信息系統(tǒng)審計(jì)內(nèi)容。如果忽視對信息系統(tǒng)本身的審計(jì)�����,審計(jì)機(jī)關(guān)審計(jì)人員審計(jì)依賴的被審計(jì)電子數(shù)據(jù)的真實(shí)性就會成為“空中樓閣”�����,就有可能出現(xiàn)“假賬真審”的問題�����。目前�,各級政府部門、企事業(yè)單位為了提高信息化水平�����,紛紛加大資金投入����,推進(jìn)信息系統(tǒng)建設(shè),建立統(tǒng)一數(shù)據(jù)集中平臺�����,信息系統(tǒng)已經(jīng)成為國家的一項(xiàng)投資巨大的重要資產(chǎn)����。這就要求審計(jì)機(jī)關(guān)審計(jì)人員在對這些機(jī)構(gòu)實(shí)施經(jīng)濟(jì)效益審計(jì)、績效審計(jì)���、經(jīng)濟(jì)責(zé)任審計(jì)等審計(jì)項(xiàng)目時��,必須考慮信息系統(tǒng)資產(chǎn)因素����,對信息系統(tǒng)實(shí)施相關(guān)審計(jì)��,以有效揭示信息系統(tǒng)在安全���、可靠����、合法���、效率�����、效果和效益等方面存在的問題����,防范信息系統(tǒng)風(fēng)險,保障信息系統(tǒng)安全����、可靠運(yùn)行,促進(jìn)信息系統(tǒng)資源的有效利用���,提高信息系統(tǒng)資源運(yùn)用的收益水平��。由此�,在政府審計(jì)項(xiàng)目中��,考慮到信息系統(tǒng)的影響因素�,迫切需要大力開展結(jié)合型政府信息系統(tǒng)審計(jì),而不是可審可不審的問題��。
二�����、結(jié)合型政府信息系統(tǒng)審計(jì)的目標(biāo)是什么
(What)信息系統(tǒng)審計(jì)目標(biāo)是信息系統(tǒng)審計(jì)行為的出發(fā)點(diǎn)����,它指明了審計(jì)工作方向,并指導(dǎo)著信息系統(tǒng)審計(jì)實(shí)踐活動(王振武等�����,2011)�。我國政府審計(jì)以維護(hù)國家財政經(jīng)濟(jì)秩序,提高財政資金使用效益���,促進(jìn)廉政建設(shè)�����,保障國民經(jīng)濟(jì)和社會健康發(fā)展為職能���,以國家經(jīng)濟(jì)活動的真實(shí)性、合規(guī)性和效益性為總體目標(biāo)�。因此,我國政府審計(jì)機(jī)關(guān)實(shí)施的結(jié)合型政府信息系統(tǒng)審計(jì)�����,也應(yīng)遵守真實(shí)、合規(guī)和效益的根本目標(biāo)�。審計(jì)機(jī)關(guān)審計(jì)人員在各項(xiàng)具體政府審計(jì)項(xiàng)目中,不能籠統(tǒng)地將一般意義上信息系統(tǒng)審計(jì)的安全性�����、可靠性����、合法性和有效性目標(biāo)作為結(jié)合型政府信息系統(tǒng)審計(jì)具體目標(biāo),這既不符合結(jié)合型政府信息系統(tǒng)審計(jì)的特點(diǎn)和需求��,也不具備實(shí)際可操作性�����、指導(dǎo)性�����。如果信息系統(tǒng)審計(jì)目標(biāo)因素與具體政府審計(jì)項(xiàng)目目標(biāo)不相關(guān)�,將起不到應(yīng)有的作用,是多余的、不必要的����,從成本效益角度來說,是對審計(jì)資源的浪費(fèi)���。審計(jì)人員應(yīng)避免根據(jù)自己的理解來確定目標(biāo),造成混淆不清����。結(jié)合型政府信息系統(tǒng)審計(jì)貫穿于各政府審計(jì)項(xiàng)目之中,成為審計(jì)全過程的一部分�,其具體審計(jì)目標(biāo)應(yīng)根據(jù)國家審計(jì)機(jī)關(guān)實(shí)施審計(jì)項(xiàng)目預(yù)期要完成的任務(wù)和結(jié)果,即具體政府審計(jì)目標(biāo)��,以及所涉及的信息系統(tǒng)情況等綜合確定�。例如,政府財政財務(wù)收支審計(jì)的目標(biāo)是財政財務(wù)收支情況的真實(shí)性��、合規(guī)性和效益性����,其審計(jì)的數(shù)據(jù)來源于相關(guān)信息系統(tǒng)產(chǎn)生的財務(wù)電子數(shù)據(jù),而數(shù)據(jù)是否真實(shí)�����、完整,直接依賴于相關(guān)信息系統(tǒng)是否安全���、可靠��,由此可以確定政府財政財務(wù)收支審計(jì)中信息系統(tǒng)審計(jì)的目標(biāo)是安全性��、可靠性��。又如�����,在國有企業(yè)績效審計(jì)中����,績效審計(jì)的目標(biāo)是效率性�、效果性和效益性,雖然信息系統(tǒng)與績效審計(jì)不直接相關(guān)����,但是信息系統(tǒng)作為企業(yè)的一項(xiàng)重要資產(chǎn),且信息系統(tǒng)建設(shè)的投入金額巨大���,因此����,在國有企業(yè)績效審計(jì)中也應(yīng)包括信息系統(tǒng)資產(chǎn)的績效審計(jì),這就決定了國有企業(yè)績效審計(jì)中信息系統(tǒng)審計(jì)的目標(biāo)應(yīng)該是效率性���、效果性和效益性�。上述示例也表明��,結(jié)合型政府信息系統(tǒng)審計(jì)具體目標(biāo)隨政府審計(jì)項(xiàng)目的不同而存在一定的差異性��,也就是說政府審計(jì)具體目標(biāo)的多元性決定了結(jié)合型政府信息系統(tǒng)審計(jì)具體目標(biāo)的多元性����,必須根據(jù)具體政府審計(jì)項(xiàng)目綜合確定�����。
三���、結(jié)合型政府信息系統(tǒng)審計(jì)的重點(diǎn)在哪里
(Where)結(jié)合型政府信息系統(tǒng)審計(jì)的成效取決于審計(jì)機(jī)關(guān)審計(jì)人員對信息系統(tǒng)審計(jì)重點(diǎn)內(nèi)容的把握程度�。審計(jì)人員應(yīng)該在分析清楚各政府審計(jì)項(xiàng)目中信息系統(tǒng)審計(jì)具體目標(biāo)的基礎(chǔ)之上����,確定信息系統(tǒng)審計(jì)意圖和需要解決的問題�����,并根據(jù)“全面審計(jì)����、突出重點(diǎn)”���、“先系統(tǒng)本身后系統(tǒng)環(huán)境”的原則確定信息系統(tǒng)審計(jì)重點(diǎn)事項(xiàng)(唐劍���,2012)。此外��,還應(yīng)考慮成本效益原則��,盡力減少與政府審計(jì)目標(biāo)不相關(guān)的��、多余的�����、不必要的信息系統(tǒng)審計(jì)內(nèi)容�����。
(一)結(jié)合型政府信息系統(tǒng)重點(diǎn)
審計(jì)對象的選擇被審計(jì)單位一般建立有多個信息系統(tǒng),依據(jù)結(jié)合型政府信息系統(tǒng)審計(jì)的特點(diǎn)�����,不需要也不必要將被審計(jì)單位的所有信息系統(tǒng)納入重點(diǎn)關(guān)注的審計(jì)對象�,只需要根據(jù)與被審計(jì)業(yè)務(wù)活動相關(guān)的程度選擇目標(biāo)信息系統(tǒng)。如何選擇信息系統(tǒng)重點(diǎn)審計(jì)對象���?審計(jì)機(jī)關(guān)審計(jì)人員選擇的主要原則應(yīng)是依據(jù)被審計(jì)單位核心業(yè)務(wù)對信息系統(tǒng)的依賴性以及被審計(jì)單位信息系統(tǒng)的復(fù)雜性確定需要重點(diǎn)調(diào)查和審計(jì)測試的信息系統(tǒng)的范圍和深度��。一般來說,越高度依賴的信息系統(tǒng)��,就應(yīng)該作為重點(diǎn)審計(jì)的對象����;越復(fù)雜的信息系統(tǒng),就應(yīng)該擴(kuò)大重點(diǎn)審計(jì)對象范圍�����。例如�����,在財務(wù)收支審計(jì)中,被審計(jì)單位ERP系統(tǒng)由財務(wù)�����、采購���、銷售�、庫存��、質(zhì)量��、人力資源等多個子系統(tǒng)組成���,由于財務(wù)收支數(shù)據(jù)直接依賴于財務(wù)子系統(tǒng)����,所以理應(yīng)將其作為審計(jì)的重點(diǎn)���,然而ERP系統(tǒng)又是一個集成化的復(fù)雜系統(tǒng)�,審計(jì)人員還應(yīng)擴(kuò)大審計(jì)范圍和深度�����,需要將ERP系統(tǒng)中系統(tǒng)管理子系統(tǒng)以及其他子系統(tǒng)的基礎(chǔ)設(shè)置、憑證處理等模塊也作為審計(jì)的重點(diǎn)��。
(二)結(jié)合型政府信息系統(tǒng)內(nèi)部控制
測試重點(diǎn)
內(nèi)容的確定現(xiàn)代風(fēng)險基礎(chǔ)政府審計(jì)是建立在內(nèi)部控制的測評基礎(chǔ)之上���,根據(jù)內(nèi)部控制的符合性測試結(jié)果實(shí)施業(yè)務(wù)數(shù)據(jù)的實(shí)質(zhì)性測試����。信息系統(tǒng)內(nèi)部控制測試是對信息系統(tǒng)內(nèi)部控制的可靠性��、健全性和有效性進(jìn)行的測試����。基于結(jié)合型政府信息系統(tǒng)審計(jì)的經(jīng)濟(jì)監(jiān)督和重在審計(jì)業(yè)務(wù)數(shù)據(jù)的特點(diǎn)����,以及政府審計(jì)人員信息技術(shù)能力限制�,為避免將對信息系統(tǒng)的審計(jì)引入技術(shù)陷阱(李春青,2008)���,審計(jì)人員應(yīng)重點(diǎn)選擇信息系統(tǒng)中容易產(chǎn)生數(shù)據(jù)風(fēng)險的部分�����,作為信息系統(tǒng)內(nèi)部控制測試的重點(diǎn)內(nèi)容�。而信息系統(tǒng)的硬件、軟件��、應(yīng)用程序����、數(shù)據(jù)、人員�����、制度等組成要素中�,對業(yè)務(wù)數(shù)據(jù)直接產(chǎn)生影響的主要有信息系統(tǒng)數(shù)據(jù)、應(yīng)用程序���、人員和制度���,因此審計(jì)人員在結(jié)合型政府信息系統(tǒng)審計(jì)中應(yīng)選擇信息系統(tǒng)數(shù)據(jù)、應(yīng)用程序�����、人員、制度作為審計(jì)測試的重點(diǎn)���,只在必要的時候再根據(jù)實(shí)際情況適當(dāng)關(guān)注信息系統(tǒng)的軟硬件環(huán)境���。
(三)信息系統(tǒng)效率、效果和效益審計(jì)重點(diǎn)
內(nèi)容的選擇在結(jié)合型政府信息系統(tǒng)審計(jì)中���,對行政事業(yè)單位��、企業(yè)的效益審計(jì)����、績效審計(jì)����、經(jīng)濟(jì)責(zé)任審計(jì)等政府審計(jì)項(xiàng)目中涉及的信息系統(tǒng)效率、效果和效益審計(jì)����,其審計(jì)范疇從屬于政府審計(jì)項(xiàng)目的范疇���,只是審計(jì)對象中包括信息系統(tǒng)資產(chǎn)�����。因此��,在這種結(jié)合型政府信息系統(tǒng)審計(jì)中�,審計(jì)機(jī)關(guān)審計(jì)人員審計(jì)信息系統(tǒng)效率、效果和效益應(yīng)從被審計(jì)單位正在運(yùn)行使用中的信息系統(tǒng)資源的有效利用����、促進(jìn)產(chǎn)品或服務(wù)目標(biāo)實(shí)現(xiàn)、降低產(chǎn)品或服務(wù)成本和增加產(chǎn)品或服務(wù)收益的角度選擇重點(diǎn)審計(jì)內(nèi)容:(1)效率性審計(jì)應(yīng)重點(diǎn)評價使用中的信息系統(tǒng)對提高被審計(jì)單位勞動生產(chǎn)率所作的貢獻(xiàn)�����,如節(jié)省人力�、提高人員工作效率等;(2)效果性審計(jì)應(yīng)重點(diǎn)評價使用中的信息系統(tǒng)使被審計(jì)單位業(yè)務(wù)�、管理和決策等方面得到改善和提升,如滿足業(yè)務(wù)處理需求�����、促進(jìn)業(yè)務(wù)流程改進(jìn)�����、增強(qiáng)信息交流與共享、提升客戶服務(wù)能力���、提高管理決策水平等���;(3)效益性審計(jì)應(yīng)重點(diǎn)評價使用中的信息系統(tǒng)的資金投入以及產(chǎn)生效益之比,資金投入包括信息系統(tǒng)運(yùn)維資金投入��、升級改造資金投入等方面�,產(chǎn)生效益則可以從降低產(chǎn)品或服務(wù)成本、提高資金周轉(zhuǎn)速度�����、提高產(chǎn)品或服務(wù)收入���、增強(qiáng)競爭力等方面考慮��。
四����、結(jié)合型政府信息系統(tǒng)審計(jì)如何實(shí)施
(How)結(jié)合型政府信息系統(tǒng)審計(jì)作為信息系統(tǒng)審計(jì)的一個特例�����,兩者在審計(jì)技術(shù)�、方法、手段等方面理應(yīng)具有一定的一致性���。但是�����,審計(jì)機(jī)關(guān)審計(jì)人員在借鑒目前常用信息系統(tǒng)審計(jì)方法的同時����,需要結(jié)合具體政府審計(jì)項(xiàng)目����,立足審計(jì)人員的信息技術(shù)審計(jì)能力相對較弱、業(yè)務(wù)審計(jì)能力較強(qiáng)的審計(jì)專長��,以審計(jì)人員的業(yè)務(wù)思路和職業(yè)判斷為工作核心(王亞清�����,2012)���,積極探索富有實(shí)效的信息系統(tǒng)審計(jì)與傳統(tǒng)審計(jì)相結(jié)合的方法�����。
(一)如何做好信息系統(tǒng)審前調(diào)查
在進(jìn)行結(jié)合型政府信息系統(tǒng)審計(jì)調(diào)查時���,審計(jì)機(jī)關(guān)審計(jì)人員可以將被審計(jì)信息系統(tǒng)調(diào)查與被審計(jì)項(xiàng)目業(yè)務(wù)調(diào)查結(jié)合進(jìn)行��,將信息系統(tǒng)調(diào)查作為業(yè)務(wù)調(diào)查的延伸�����。一方面�,可運(yùn)用詢問法���、觀察法���、查閱法、調(diào)查表法�����、流程圖法等傳統(tǒng)審計(jì)調(diào)查的方法��,將被審計(jì)單位業(yè)務(wù)活動情況與信息系統(tǒng)情況調(diào)查融合在一起,一并調(diào)查了解被審計(jì)單位整體和業(yè)務(wù)活動情況����、信息系統(tǒng)環(huán)境(如硬件環(huán)境、軟件環(huán)境��、組成�����、結(jié)構(gòu)�、分布等)����、內(nèi)部控制制度(含信息系統(tǒng)內(nèi)部控制制度)、手工和計(jì)算機(jī)信息系統(tǒng)處理過程(如業(yè)務(wù)流程�����、運(yùn)行流程��、人員操作流程等)及執(zhí)行情況�;另一方面,可運(yùn)用計(jì)算機(jī)輔助審計(jì)方法獲取被審計(jì)業(yè)務(wù)電子數(shù)據(jù)�,調(diào)查了解被審計(jì)信息系統(tǒng)數(shù)據(jù)處理情況等����。兩種方法相互補(bǔ)充�����,既能全面了解被審計(jì)單位業(yè)務(wù)活動情況���,又能夠摸清被審計(jì)單位信息系統(tǒng)基本運(yùn)作情況�,實(shí)現(xiàn)信息系統(tǒng)審計(jì)調(diào)查與整個審計(jì)工作調(diào)查的銜接�����,從而確保審計(jì)調(diào)查的效率�����、質(zhì)量����。
(二)如何做好信息系統(tǒng)內(nèi)部控制測試
在結(jié)合型政府信息系統(tǒng)審計(jì)中,審計(jì)機(jī)關(guān)審計(jì)人員可運(yùn)用熟悉的傳統(tǒng)審計(jì)測試方法���,輔以計(jì)算機(jī)輔助審計(jì)測試方法對前述確定的信息系統(tǒng)數(shù)據(jù)����、應(yīng)用程序、人員�、制度等重點(diǎn)內(nèi)容進(jìn)行審計(jì)測試。具體可采用:(1)傳統(tǒng)審計(jì)方法���。通??刹捎迷儐柗?、觀察法����、檢查法、核對法���、比較法�����、數(shù)據(jù)分析法等方法�。如:詢問或觀察職責(zé)分離制度����、人員操作制度�、運(yùn)行維護(hù)制度的執(zhí)行情況�;觀察有關(guān)人員對信息系統(tǒng)訪問是否設(shè)定口令、系統(tǒng)操作是否違反職責(zé)分離原則�;查閱系統(tǒng)日志文件、操作記錄����,查看系統(tǒng)中是否有非法訪問記錄和報告,有無未經(jīng)授權(quán)的用戶操作系統(tǒng)��;觀察���、檢查系統(tǒng)功能設(shè)置��、程序化控制���、權(quán)限設(shè)置、系統(tǒng)參數(shù)配置等是否合理�、有效,如權(quán)限設(shè)置是否符合職權(quán)要求��,人員崗位變動或離職前是否及時進(jìn)行權(quán)限鎖定或刪除�,客戶數(shù)據(jù)是否進(jìn)行唯一性檢驗(yàn),財務(wù)軟件是否存在反結(jié)賬、反記賬等功能�����;核對����、比較原始憑證與數(shù)據(jù)庫憑證文件數(shù)據(jù)的一致性,以測試憑證數(shù)據(jù)輸入控制的有效性��;對數(shù)據(jù)庫文件數(shù)據(jù)采用數(shù)據(jù)分析法����,如分析數(shù)據(jù)文件中操作員代碼、數(shù)據(jù)異常值��、數(shù)據(jù)間的關(guān)聯(lián)關(guān)系����、數(shù)據(jù)間的平衡或合計(jì)關(guān)系等審查是否存在非法用戶或越權(quán)操作�����、參數(shù)設(shè)置的有效性�、數(shù)據(jù)處理是否存在錯誤等以測試數(shù)據(jù)處理控制的有效性,也可通過數(shù)據(jù)分析反推系統(tǒng)中存在的非法功能和漏洞,等等�����。(2)計(jì)算機(jī)輔助測試方法����。通常可采用計(jì)算機(jī)數(shù)據(jù)審計(jì)軟件工具���、整體測試法��、平行模擬法�、虛擬實(shí)體法�、受控處理法等方法。如利用計(jì)算機(jī)審計(jì)軟件(OA)�、數(shù)據(jù)庫管理系統(tǒng)(Access、Sqlserver)����、Excel等獲取和分析被審計(jì)信息系統(tǒng)數(shù)據(jù)輸入、處理���、輸出控制�����;運(yùn)用整體測試法���、平行模擬法����、虛擬實(shí)體法���、受控處理法等方法(張瑜����,2012)���,測試系統(tǒng)的處理和控制功能是否恰當(dāng)�����、可靠,接口程序是否存在缺陷等���。除此以外�����,對于信息系統(tǒng)硬件����、軟件、網(wǎng)絡(luò)安全等方面內(nèi)部控制測試��,由于其技術(shù)性較強(qiáng)�����,審計(jì)人員可重點(diǎn)從系統(tǒng)管理的視角著手��。一般采用面談法��、詢問法���、觀察法��、測試軟件等��,重點(diǎn)審查計(jì)算機(jī)安全和管理制度的執(zhí)行情況����、是否建立安全認(rèn)證機(jī)制、是否建立針對系統(tǒng)故障的應(yīng)急安全機(jī)制�、軟硬件來源的合法性,觀察硬件是否進(jìn)行有效的保養(yǎng)����、隔離,查看系統(tǒng)是否安裝防火墻���、安裝防病毒軟件�����、定期檢測和清除計(jì)算機(jī)病毒�,利用漏洞掃描工具和網(wǎng)絡(luò)檢測診斷工具等對網(wǎng)絡(luò)環(huán)境進(jìn)行測試和評估����。
(三)如何做好信息系統(tǒng)效率、效果與效益審計(jì)
對于結(jié)合型政府信息系統(tǒng)審計(jì)中的效率���、效果與效益性審計(jì)�����,應(yīng)遵循可操作���、實(shí)用性原則,審計(jì)機(jī)關(guān)審計(jì)人員可通過詢問����、觀察、查閱資料�����、發(fā)放調(diào)查表和比較分析等方法�,重點(diǎn)了解信息系統(tǒng)的各項(xiàng)功能在被審計(jì)單位日常工作過程中的使用情況,了解信息系統(tǒng)功能設(shè)置能否滿足系統(tǒng)目標(biāo)����,了解信息系統(tǒng)保障被審計(jì)單位信息資源共享、業(yè)務(wù)有效開展和履行情況����,了解信息系統(tǒng)運(yùn)維成本和效益并進(jìn)行定量化分析處理,對比被審計(jì)單位信息系統(tǒng)規(guī)劃�����、運(yùn)營目標(biāo)�,運(yùn)用一定的評價方法(如平衡計(jì)分卡法��、層次分析法���、模糊綜合法等)(張靜等,2011)進(jìn)行評價����,給出審計(jì)結(jié)論和審計(jì)建議。就目前來說���,信息系統(tǒng)的效率��、效果和效益審計(jì)在我國仍然處于理論和實(shí)踐探索階段�����,缺少規(guī)范的指導(dǎo)��,缺乏完善的評價指標(biāo)體系����,因此���,如何科學(xué)���、準(zhǔn)確地評價信息系統(tǒng)的效率、效果和效益�����,仍然存在不小的難度�。
五、結(jié)束語
第6篇
(一)企業(yè)應(yīng)加強(qiáng)內(nèi)部控制
隨著市場經(jīng)濟(jì)的深入發(fā)展,企業(yè)逐步成為自主經(jīng)營��、自我約束��、自我發(fā)展�、自我完善的商品生產(chǎn)者和經(jīng)營者。在“優(yōu)勝劣汰�、適者生存”的市場經(jīng)濟(jì)中,企業(yè)要想真正的做到“自主經(jīng)營、自我約束��、自我發(fā)展�����、自我完善”,必須要加強(qiáng)內(nèi)部控制,建立有效�����、完善的內(nèi)部控制制度,這樣才能在一個絕對的高度上,對企業(yè)進(jìn)行高瞻遠(yuǎn)矚的控制,才能做出與時俱進(jìn)的決策。
(二)內(nèi)部審計(jì)是企業(yè)內(nèi)部監(jiān)督機(jī)制的重要組成部分
內(nèi)部審計(jì)也是企業(yè)內(nèi)部控制的一個重要的組成部分,是監(jiān)督內(nèi)部控制其他環(huán)節(jié)的主要力量����。內(nèi)部審計(jì)通過對控制環(huán)境和控制程序的有效性進(jìn)行監(jiān)督,評估企業(yè)的內(nèi)部控制是否被執(zhí)行,是否及時反饋有關(guān)執(zhí)行結(jié)果的信息,是否幫助企業(yè)更有效地實(shí)現(xiàn)預(yù)期控制目標(biāo)。同時,在監(jiān)控過程中,內(nèi)部審計(jì)可以促進(jìn)控制環(huán)境的建立和改善,為改進(jìn)控制制度提供建設(shè)性的意見,為企業(yè)建立健全所需要的內(nèi)部控制水平服務(wù)���。在內(nèi)部控制的監(jiān)督過程中,內(nèi)部審計(jì)發(fā)揮著越來越重要的作用�����。
二�、內(nèi)部審計(jì)在防范信息系統(tǒng)風(fēng)險中面臨的問題
(一)信息系統(tǒng)安全管理機(jī)制不健全
企業(yè)信息系統(tǒng)風(fēng)險的存在,很多是由于管理不善或控制不嚴(yán)造成的��。一方面,缺乏一套統(tǒng)一的安全策略體系來指導(dǎo)安全管理工作,無法建立系統(tǒng)內(nèi)部明確����、全面的安全規(guī)范要求。從現(xiàn)有管理制度規(guī)范來看,主要存在的問題是可操作性差,條理不清�����、重疊或遺漏等;另一方面,現(xiàn)有安全管理制度的管理對象基本是網(wǎng)絡(luò)系統(tǒng)管理員等技術(shù)部人員,管理對象沒有全面涵蓋所有信息系統(tǒng)技術(shù)相關(guān)人員,包括所有網(wǎng)絡(luò)系統(tǒng)上的內(nèi)部終端人員和外部人員�����。
(二)內(nèi)部審計(jì)在信息系統(tǒng)風(fēng)險防范中的角色缺乏獨(dú)立性
內(nèi)部審計(jì)的角色發(fā)生了轉(zhuǎn)變。從傳統(tǒng)的事后審計(jì)而逐漸轉(zhuǎn)向事前和事中審計(jì),主動參與內(nèi)部控制系統(tǒng)的建立和完善����。內(nèi)部審計(jì)人員即承擔(dān)著評價硬件和應(yīng)用信息系統(tǒng)安全的任務(wù),如果又同時有參與了系統(tǒng)的開發(fā)和實(shí)施過程,那么內(nèi)部審計(jì)人員就卻乏獨(dú)立性。反之,如果處于對喪失獨(dú)立性的擔(dān)心,內(nèi)部審計(jì)人員有可能會拒絕參與系統(tǒng)和軟件的開發(fā),那么系統(tǒng)開發(fā)過程中存在的風(fēng)險又無法得到控制。
(三)內(nèi)審部門技術(shù)力量薄弱造成對信息系統(tǒng)審計(jì)形成風(fēng)險
審計(jì)稽核部門的技術(shù)力量薄弱,不熟悉業(yè)務(wù)系統(tǒng)的流程和功能,對信息系統(tǒng)缺乏必要的認(rèn)證能力和標(biāo)準(zhǔn)。突出表現(xiàn)為以下幾個方面:一是實(shí)施審計(jì)稽核的手段和方法沒有得到及時更新,不適應(yīng)信息系統(tǒng)管理的要求,大部分仍停留在手工審計(jì)階段;二是審計(jì)稽核部門對計(jì)算機(jī)賬務(wù)系統(tǒng)實(shí)施審計(jì)的依據(jù)僅依賴于被審計(jì)單位提供的打印資料或事后資料,計(jì)算機(jī)賬務(wù)的真實(shí)性審計(jì)很難得到保證����。
三、加強(qiáng)風(fēng)險防范的措施和對策
(一)構(gòu)建信息系統(tǒng)安全管理組織及規(guī)范體系
加強(qiáng)信息系統(tǒng)的自我風(fēng)險評估體系,讓信息系統(tǒng)的管理和技術(shù)人員在自身的職責(zé)范圍之內(nèi)正確識別和評估潛在操作風(fēng)險,主要包括內(nèi)控制度的查漏補(bǔ)缺���、工作流程的整理和規(guī)范�����、應(yīng)急預(yù)案完善和演練等�����。同時加強(qiáng)對操作人員的管理,規(guī)范操作程序�����。一是加強(qiáng)密碼管理,明確規(guī)定操作人員的權(quán)限,操作員必須在規(guī)定的權(quán)限內(nèi)辦理業(yè)務(wù),用戶口令及密碼必須專人專用,嚴(yán)禁公開口令及密碼;二是要建立健全操作員崗位目標(biāo)責(zé)任制,對網(wǎng)絡(luò)操作人員要明確目標(biāo)任務(wù),規(guī)范操作程序,嚴(yán)格落實(shí)獎懲制度�����。三是要嚴(yán)格崗位設(shè)置,不相容職務(wù)進(jìn)行分離�����。嚴(yán)禁系統(tǒng)管理人員���、網(wǎng)絡(luò)技術(shù)人員�、程序開發(fā)人員和前臺操作人員混崗�����、代崗或一人多崗�����。四是要加強(qiáng)系統(tǒng)內(nèi)部的稽核監(jiān)督檢查�。稽核監(jiān)督應(yīng)貫穿于網(wǎng)絡(luò)操作的全過程,重點(diǎn)是加強(qiáng)對系統(tǒng)設(shè)計(jì)開發(fā)��、內(nèi)控管理制度落實(shí)��、操作運(yùn)行等方面的(二)關(guān)注信息系統(tǒng)的穩(wěn)定性、安全性和有效性審計(jì)
首先,審計(jì)人員應(yīng)運(yùn)用用一定的技術(shù)方法識別系統(tǒng)的完整性,該過程包括檢查��、測試���、評估系統(tǒng)的內(nèi)制,以保證系統(tǒng)的穩(wěn)定性;其次,審計(jì)人員應(yīng)評價系統(tǒng)存在的風(fēng)險和可能產(chǎn)生的后果將成為審計(jì)的核心工作和基本內(nèi)容,保證信息系統(tǒng)的安全性�����。應(yīng)根據(jù)審計(jì)的標(biāo)準(zhǔn)和準(zhǔn)則,評價控制環(huán)境的和IT基礎(chǔ)設(shè)施的安全,確保系統(tǒng)滿足組織的業(yè)務(wù)需要,保護(hù)信息資產(chǎn)的安全完整,以防非授權(quán)使用���、泄露�����、修改����、損壞或丟失;最后,還應(yīng)鑒別信息系統(tǒng)的有效性。內(nèi)部審計(jì)必須理解并熟悉操作環(huán)境,了解系統(tǒng)技術(shù)的復(fù)雜性及其對決策的影響;對來自內(nèi)部的安全隱患,采用一定的方法進(jìn)行系統(tǒng)診斷�、檢驗(yàn)、測試,評價其有效性及效率,以支持組織業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)
(三)改善內(nèi)審機(jī)構(gòu),提高內(nèi)審人員素質(zhì),培養(yǎng)信息系統(tǒng)審計(jì)師
為了信息系統(tǒng)的安全����、可靠與有效,由獨(dú)立于審計(jì)對象的信息系統(tǒng)審計(jì)師,以第三方的客觀立場對以計(jì)算機(jī)為核心的信息系統(tǒng)進(jìn)行綜合的檢查與評價。信息系統(tǒng)審計(jì)師也稱lS審計(jì)師或IT審計(jì)師,是指那些既通曉信息系統(tǒng)的軟件和硬件(包括信息系統(tǒng)的開發(fā)、運(yùn)營�����、維護(hù)�、管理和安全等),又熟悉經(jīng)濟(jì)管理的內(nèi)部審計(jì)人才。
(四)聘請專家進(jìn)行協(xié)助
內(nèi)部審計(jì)人員的知識�����、技能和經(jīng)驗(yàn)雖然有助于信息系統(tǒng)的風(fēng)險防御,但現(xiàn)實(shí)中必須承認(rèn),在企業(yè)中同時具備計(jì)算機(jī)技術(shù)和審計(jì)專業(yè)知識的人才非常短缺�。再出色的內(nèi)部審計(jì)人員可能面臨一些系統(tǒng)內(nèi)的專業(yè)問題卻無法解決,因此有必要聘請外部專家??梢酝ㄟ^專家的協(xié)助測試運(yùn)用其專業(yè)技能測試系統(tǒng)安全,進(jìn)一步防范和解決信息系統(tǒng)風(fēng)險的存在。
論文關(guān)鍵詞:內(nèi)部審計(jì)信息系統(tǒng)風(fēng)險防范
論文摘要:內(nèi)部控制是社會經(jīng)濟(jì)發(fā)展到一定階段的產(chǎn)物,其內(nèi)容在不斷的發(fā)展與變化,而內(nèi)部審計(jì)是內(nèi)部監(jiān)督機(jī)制的重要組成部分���。目前計(jì)算機(jī)信息系統(tǒng)已在企業(yè)中廣泛使用,而在內(nèi)部審計(jì)過程中如何加強(qiáng)計(jì)算機(jī)信息系統(tǒng)的風(fēng)險防范,是企業(yè)內(nèi)部控制過程中迫切需要解決的問題�。
企業(yè)信息系統(tǒng)化的運(yùn)用,原來的手工控制則變?yōu)槭止づc電腦控制相結(jié)合或全部由電腦自動進(jìn)行控制�。計(jì)算機(jī)信息系統(tǒng)的廣泛使用,與技術(shù)管理相對薄弱和稽核監(jiān)督的長期空白已形成了尖銳的矛盾。信息系統(tǒng)風(fēng)險控制能力差的現(xiàn)狀,迫切需要我們加強(qiáng)風(fēng)險管理和監(jiān)控����。
第7篇
(一)企業(yè)應(yīng)加強(qiáng)內(nèi)部控制
隨著市場經(jīng)濟(jì)的深入發(fā)展,企業(yè)逐步成為自主經(jīng)營、自我約束�����、自我發(fā)展、自我完善的商品生產(chǎn)者和經(jīng)營者�。在“優(yōu)勝劣汰、適者生存”的市場經(jīng)濟(jì)中,企業(yè)要想真正的做到“自主經(jīng)營���、自我約束���、自我發(fā)展、自我完善”,必須要加強(qiáng)內(nèi)部控制,建立有效����、完善的內(nèi)部控制制度,這樣才能在一個絕對的高度上,對企業(yè)進(jìn)行高瞻遠(yuǎn)矚的控制,才能做出與時俱進(jìn)的決策。
(二)內(nèi)部審計(jì)是企業(yè)內(nèi)部監(jiān)督機(jī)制的重要組成部分
內(nèi)部審計(jì)也是企業(yè)內(nèi)部控制的一個重要的組成部分,是監(jiān)督內(nèi)部控制其他環(huán)節(jié)的主要力量�。內(nèi)部審計(jì)通過對控制環(huán)境和控制程序的有效性進(jìn)行監(jiān)督,評估企業(yè)的內(nèi)部控制是否被執(zhí)行,是否及時反饋有關(guān)執(zhí)行結(jié)果的信息,是否幫助企業(yè)更有效地實(shí)現(xiàn)預(yù)期控制目標(biāo)����。同時,在監(jiān)控過程中,內(nèi)部審計(jì)可以促進(jìn)控制環(huán)境的建立和改善,為改進(jìn)控制制度提供建設(shè)性的意見,為企業(yè)建立健全所需要的內(nèi)部控制水平服務(wù)。在內(nèi)部控制的監(jiān)督過程中,內(nèi)部審計(jì)發(fā)揮著越來越重要的作用����。
二、內(nèi)部審計(jì)在防范信息系統(tǒng)風(fēng)險中面臨的問題
(一)信息系統(tǒng)安全管理機(jī)制不健全
企業(yè)信息系統(tǒng)風(fēng)險的存在,很多是由于管理不善或控制不嚴(yán)造成的�����。一方面,缺乏一套統(tǒng)一的安全策略體系來指導(dǎo)安全管理工作,無法建立系統(tǒng)內(nèi)部明確、全面的安全規(guī)范要求�����。從現(xiàn)有管理制度規(guī)范來看,主要存在的問題是可操作性差,條理不清����、重疊或遺漏等;另一方面,現(xiàn)有安全管理制度的管理對象基本是網(wǎng)絡(luò)系統(tǒng)管理員等技術(shù)部人員,管理對象沒有全面涵蓋所有信息系統(tǒng)技術(shù)相關(guān)人員,包括所有網(wǎng)絡(luò)系統(tǒng)上的內(nèi)部終端人員和外部人員。
(二)內(nèi)部審計(jì)在信息系統(tǒng)風(fēng)險防范中的角色缺乏獨(dú)立性
內(nèi)部審計(jì)的角色發(fā)生了轉(zhuǎn)變�����。從傳統(tǒng)的事后審計(jì)而逐漸轉(zhuǎn)向事前和事中審計(jì),主動參與內(nèi)部控制系統(tǒng)的建立和完善�。內(nèi)部審計(jì)人員即承擔(dān)著評價硬件和應(yīng)用信息系統(tǒng)安全的任務(wù),如果又同時有參與了系統(tǒng)的開發(fā)和實(shí)施過程,那么內(nèi)部審計(jì)人員就卻乏獨(dú)立性。反之,如果處于對喪失獨(dú)立性的擔(dān)心,內(nèi)部審計(jì)人員有可能會拒絕參與系統(tǒng)和軟件的開發(fā),那么系統(tǒng)開發(fā)過程中存在的風(fēng)險又無法得到控制����。
(三)內(nèi)審部門技術(shù)力量薄弱造成對信息系統(tǒng)審計(jì)形成風(fēng)險
審計(jì)稽核部門的技術(shù)力量薄弱,不熟悉業(yè)務(wù)系統(tǒng)的流程和功能,對信息系統(tǒng)缺乏必要的認(rèn)證能力和標(biāo)準(zhǔn)。突出表現(xiàn)為以下幾個方面:一是實(shí)施審計(jì)稽核的手段和方法沒有得到及時更新,不適應(yīng)信息系統(tǒng)管理的要求,大部分仍停留在手工審計(jì)階段;二是審計(jì)稽核部門對計(jì)算機(jī)賬務(wù)系統(tǒng)實(shí)施審計(jì)的依據(jù)僅依賴于被審計(jì)單位提供的打印資料或事后資料,計(jì)算機(jī)賬務(wù)的真實(shí)性審計(jì)很難得到保證��。
三���、加強(qiáng)風(fēng)險防范的措施和對策
(一)構(gòu)建信息系統(tǒng)安全管理組織及規(guī)范體系
加強(qiáng)信息系統(tǒng)的自我風(fēng)險評估體系,讓信息系統(tǒng)的管理和技術(shù)人員在自身的職責(zé)范圍之內(nèi)正確識別和評估潛在操作風(fēng)險,主要包括內(nèi)控制度的查漏補(bǔ)缺����、工作流程的整理和規(guī)范、應(yīng)急預(yù)案完善和演練等�����。同時加強(qiáng)對操作人員的管理,規(guī)范操作程序��。一是加強(qiáng)密碼管理,明確規(guī)定操作人員的權(quán)限,操作員必須在規(guī)定的權(quán)限內(nèi)辦理業(yè)務(wù),用戶口令及密碼必須專人專用,嚴(yán)禁公開口令及密碼;二是要建立健全操作員崗位目標(biāo)責(zé)任制,對網(wǎng)絡(luò)操作人員要明確目標(biāo)任務(wù),規(guī)范操作程序,嚴(yán)格落實(shí)獎懲制度����。三是要嚴(yán)格崗位設(shè)置,不相容職務(wù)進(jìn)行分離。嚴(yán)禁系統(tǒng)管理人員�、網(wǎng)絡(luò)技術(shù)人員、程序開發(fā)人員和前臺操作人員混崗�����、代崗或一人多崗�����。四是要加強(qiáng)系統(tǒng)內(nèi)部的稽核監(jiān)督檢查�?����;吮O(jiān)督應(yīng)貫穿于網(wǎng)絡(luò)操作的全過程,重點(diǎn)是加強(qiáng)對系統(tǒng)設(shè)計(jì)開發(fā)、內(nèi)控管理制度落實(shí)���、操作運(yùn)行等方面的
(二)關(guān)注信息系統(tǒng)的穩(wěn)定性��、安全性和有效性審計(jì)
首先,審計(jì)人員應(yīng)運(yùn)用用一定的技術(shù)方法識別系統(tǒng)的完整性,該過程包括檢查�����、測試�、評估系統(tǒng)的內(nèi)制,以保證系統(tǒng)的穩(wěn)定性;其次,審計(jì)人員應(yīng)評價系統(tǒng)存在的風(fēng)險和可能產(chǎn)生的后果將成為審計(jì)的核心工作和基本內(nèi)容,保證信息系統(tǒng)的安全性�����。應(yīng)根據(jù)審計(jì)的標(biāo)準(zhǔn)和準(zhǔn)則,評價控制環(huán)境的和IT基礎(chǔ)設(shè)施的安全,確保系統(tǒng)滿足組織的業(yè)務(wù)需要,保護(hù)信息資產(chǎn)的安全完整,以防非授權(quán)使用�����、泄露�、修改、損壞或丟失;最后,還應(yīng)鑒別信息系統(tǒng)的有效性��。內(nèi)部審計(jì)必須理解并熟悉操作環(huán)境,了解系統(tǒng)技術(shù)的復(fù)雜性及其對決策的影響;對來自內(nèi)部的安全隱患,采用一定的方法進(jìn)行系統(tǒng)診斷�����、檢驗(yàn)、測試,評價其有效性及效率,以支持組織業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)
(三)改善內(nèi)審機(jī)構(gòu),提高內(nèi)審人員素質(zhì),培養(yǎng)信息系統(tǒng)審計(jì)師
為了信息系統(tǒng)的安全���、可靠與有效,由獨(dú)立于審計(jì)對象的信息系統(tǒng)審計(jì)師,以第三方的客觀立場對以計(jì)算機(jī)為核心的信息系統(tǒng)進(jìn)行綜合的檢查與評價���。信息系統(tǒng)審計(jì)師也稱lS審計(jì)師或IT審計(jì)師,是指那些既通曉信息系統(tǒng)的軟件和硬件(包括信息系統(tǒng)的開發(fā)、運(yùn)營����、維護(hù)、管理和安全等),又熟悉經(jīng)濟(jì)管理的內(nèi)部審計(jì)人才��。
(四)聘請專家進(jìn)行協(xié)助
內(nèi)部審計(jì)人員的知識�、技能和經(jīng)驗(yàn)雖然有助于信息系統(tǒng)的風(fēng)險防御,但現(xiàn)實(shí)中必須承認(rèn),在企業(yè)中同時具備計(jì)算機(jī)技術(shù)和審計(jì)專業(yè)知識的人才非常短缺。再出色的內(nèi)部審計(jì)人員可能面臨一些系統(tǒng)內(nèi)的專業(yè)問題卻無法解決,因此有必要聘請外部專家�����?���?梢酝ㄟ^專家的協(xié)助測試運(yùn)用其專業(yè)技能測試系統(tǒng)安全,進(jìn)一步防范和解決信息系統(tǒng)風(fēng)險的存在。
參考文獻(xiàn):
[1]胡曉明.信息時代的IS審計(jì)理論結(jié)構(gòu)構(gòu)建[J].武漢中南財經(jīng)政法大學(xué)學(xué)報,2006,(3).
