序論:在您撰寫信息系統(tǒng)審計論文時,參考他人的優(yōu)秀作品可以開闊視野���,小編為您整理的7篇范文���,希望這些建議能夠激發(fā)您的創(chuàng)作熱情�����,引導您走向新的創(chuàng)作高度�����。
第1篇
當前會計信息系統(tǒng)審計主要圍繞以下內(nèi)容開展:其一是會計信息系統(tǒng)內(nèi)部控制審計�。由于會計信息系統(tǒng)大幅提高了會計舞弊和會計信息差錯識別的難度����,因而從內(nèi)部控制審計入手實施會計信息系統(tǒng)審計就顯得尤為必要。也就是說���,企業(yè)內(nèi)部控制體系影響甚至決定著企業(yè)會計信息系統(tǒng)的安全性和有效性�,越是健全的內(nèi)部控制體系就越能避免和降低企業(yè)會計信息差錯和舞弊風險���,因而對企業(yè)內(nèi)部控制體系的完整性�、有效性和安全性進行審計就成了目前會計信息系統(tǒng)審計的重要內(nèi)容和前提保障���。其二是會計信息系統(tǒng)應(yīng)用程序?qū)徲?�。其審計?nèi)容主要圍繞軟件的應(yīng)用程序設(shè)計功能是否完善���、標準是否可靠���,是否具備必要的會計信息處理功能,是否符合相關(guān)法律法規(guī)要求����,是否符合企業(yè)管理制度和企業(yè)會計政策,是否存在程序漏洞和程序錯誤����,是否人為故意地留有后門程序等。應(yīng)用程序的安全���、可靠�、高效同樣影響著企業(yè)會計信息系統(tǒng)的安全性和效能��,因而也是會計信息系統(tǒng)審計的重要內(nèi)容之一��。其三是會計信息系統(tǒng)數(shù)據(jù)��、信息����、資料的審計。同傳統(tǒng)審計內(nèi)容類似,其途徑是通過計算機對相關(guān)原始憑證�、財務(wù)報表、會計賬簿等進行審計�,對信息資料進行符合性測試和實質(zhì)性測試�����,對數(shù)據(jù)采用動態(tài)分析和比率分析等方法����,確保電子數(shù)據(jù)的真實、可靠�����、完整和有效��。另外���,還應(yīng)對會計信息系統(tǒng)進行事前審計�,即在信息系統(tǒng)開發(fā)之初就要求審計人員介入����,跟蹤前期的系統(tǒng)程序和硬件的設(shè)計、編寫、建構(gòu)��、實施���,跟蹤系統(tǒng)實施過程中的運營��、調(diào)試�、維護�、修正,以確保整個會計信息系統(tǒng)符合相關(guān)法律法規(guī)要求���、符合財務(wù)和會計行業(yè)標準�、符合公司會計政策和系統(tǒng)職能需求�。
二、會計信息系統(tǒng)審計發(fā)展現(xiàn)狀簡析
自20世紀末開始我國企業(yè)普遍實施會計信息化以來��,我國會計信息系統(tǒng)審計也應(yīng)運而生�����,并在政府���、企業(yè)及審計機構(gòu)的組織實施下有效開展起來并取得了長足進步�����。具體表現(xiàn)在:其一���,初步建立了會計信息化審計的相關(guān)準則和規(guī)范�����,使會計信息系統(tǒng)審計人員能夠依據(jù)這些技術(shù)標準和準則更好地開展會計信息審計工作。如中國注冊會計師協(xié)會1999年頒布的第一個信息系統(tǒng)審計準則《獨立審計具體準則第20號——計算機信息系統(tǒng)環(huán)境下的審計》���,以及國務(wù)院辦公廳2001年的《關(guān)于利用計算機信息系統(tǒng)開展審計工作有關(guān)問題的通知》�,都對會計信息系統(tǒng)審計的對象���、方法�����、程序��、內(nèi)容和范圍等進行了初步界定和規(guī)范�,明確了會計信息系統(tǒng)審計中審計人和被審計人的權(quán)責范圍�����。2008年中國內(nèi)部審計協(xié)會頒布了具有里程碑意義的會計信息系統(tǒng)審計準則《內(nèi)部審計具體準則第28號——信息系統(tǒng)審計》,更是將會計信息系統(tǒng)審計納入到風險導向?qū)徲嫷默F(xiàn)代審計范疇���,使之更為完善�����、全面和高效�����。其二����,會計信息系統(tǒng)審計發(fā)揮了一定成效�����,推進了企業(yè)會計信息化發(fā)展和企業(yè)信息化管理進程�。信息化發(fā)展是企業(yè)戰(zhàn)略發(fā)展的重要組成部分,也是企業(yè)現(xiàn)代化管理體系構(gòu)建的重要內(nèi)容����,企業(yè)信息化即包括會計信息化��,鑒于此��,我國審計體系也同樣順應(yīng)時展潮流��,針對會計信息化系統(tǒng)制訂和實施了相適應(yīng)的審計模式����,有效履行了審計職能����,推進了會計信息化的發(fā)展進程;與此同時���,審計體系自身也開始了信息化變革之路,構(gòu)建審計網(wǎng)絡(luò)和審計信息平臺���,審計信息化軟件也隨之興起并展現(xiàn)出高效能��,極大地提升了審計效率�����。
三����、會計信息系統(tǒng)審計存在的問題
盡管我國會計信息系統(tǒng)審計取得了一定成效,不僅促進了企業(yè)會計信息化發(fā)展和企業(yè)信息化戰(zhàn)略發(fā)展的步伐����,也直接促進了審計體系自身的信息化發(fā)展。然而研究過程中也同樣發(fā)現(xiàn)����,我國會計信息系統(tǒng)審計還存在一定的問題亟待改進,具體如下�����。
(一)會計信息系統(tǒng)審計法規(guī)制度不健全
先進水平的會計信息系統(tǒng)審計需要建立在健全的審計制度體系之上�,使審計工作在制度保障之下規(guī)范、高效運行�。然而我國在這一方面則存在較大差距,目前我國有關(guān)會計信息系統(tǒng)審計的相關(guān)制度法規(guī)十分零散�����,大多只針對某一方面做出具體規(guī)范��,還沒有統(tǒng)一的��、完整的、具有體系性的會計信息系統(tǒng)審計制度可以指導和保障實踐的有序����、有效進行。例如�,目前還有沒統(tǒng)一的會計信息系統(tǒng)審計準則,會計信息系統(tǒng)審計的內(nèi)容����、方法、技術(shù)�、程序等都未能界定統(tǒng)一的實施規(guī)范。
(二)缺乏專業(yè)的會計信息系統(tǒng)審計人才
會計信息系統(tǒng)對審計人員的審計能力提出了更高要求��。審計人員能力不足��、審計工作準備不充分都容易導致審計失敗���。會計信息系統(tǒng)審計要求審計人員不僅需要具備審計方面的專業(yè)知識,了解企業(yè)生產(chǎn)經(jīng)營狀況�����,還需要具備較高的信息技術(shù)能力����。然而目前�,我國大部分審計人員并不缺乏專業(yè)的審計知識���,也有著豐富的審計經(jīng)驗��,但對于會計信息化系統(tǒng)審計的信息技術(shù)能力要求普遍顯得力有不足����,信息技術(shù)水平和計算機技術(shù)水平不能滿足信息系統(tǒng)審計的需要���。
(三)信息化審計軟件效能不足
應(yīng)對會計信息系統(tǒng)審計的有效途徑是加快審計自身的信息化發(fā)展����,目前開發(fā)了眾多功能強大的審計軟件應(yīng)用于審計工作����,提升了審計效率,確保了審計的準確性和可靠性�����。然而目前的審計軟件其實用性����、針對性和有效性還不能滿足會計信息系統(tǒng)審計的需求��。其中存在的問題主要包括:一是軟件自身功能不足��,無法滿足會計信息系統(tǒng)審計的實際需求�,軟件只能實現(xiàn)一些簡單的數(shù)據(jù)查詢和計算功能��,無法對復(fù)雜的企業(yè)會計數(shù)據(jù)信息進行更為專業(yè)的處理和分析����。二是有的軟件設(shè)計過于復(fù)雜,易用性較差�����。審計人員不易操作或者操作過程極為繁瑣���,影響審計效率����。
(四)會計信息系統(tǒng)本身存在缺陷影響審計效能
在對會計信息系統(tǒng)進行審計時�,通行的做法是需要會計信息系統(tǒng)預(yù)留審計接口���,審計人員通過接口對會計信息系統(tǒng)中的數(shù)據(jù)信息進行查閱�、調(diào)取、審核�����。我國頒布的會計信息系統(tǒng)審核相關(guān)規(guī)范也明確了會計信息系統(tǒng)中“應(yīng)具備標準的數(shù)據(jù)接口”��。然而在具體實踐中�,許多企業(yè)的會計信息系統(tǒng)本身并未留置接口,使得一些審計軟件無法和被審計對象的會計信息系統(tǒng)對接�����,也有一些會計信息系統(tǒng)自身設(shè)置了復(fù)雜的權(quán)限驗證���、加密程序等�����,使審計軟件無法獲取需求數(shù)據(jù)���,或加大數(shù)據(jù)獲取難度,影響了審計時效,甚至使審計無法操作�����。另外��,會計信息系統(tǒng)本身的設(shè)計缺陷還包括一些軟件漏洞容易招致黑客攻擊篡改�、增刪數(shù)據(jù)信息,或者軟件故障頻發(fā)導致數(shù)據(jù)損毀��、滅失等�,這在目前的會計信息系統(tǒng)審計工作中也較為常見,極大地影響了會計信息系統(tǒng)審計的實施��。
四���、會計信息系統(tǒng)審計的治理策略
針對以上問題�,需要審計機關(guān)����、審計行業(yè)組織和企業(yè)共同努力,多管齊下����,對癥下藥���,在順應(yīng)社會經(jīng)濟信息化發(fā)展的前提下確保會計信息系統(tǒng)審計職能高效履行���。
(一)進一步健全會計信息系統(tǒng)審計規(guī)范
盡管我國已經(jīng)初步確立了會計信息系統(tǒng)審計相關(guān)規(guī)范體系�,但同西方發(fā)達國家相比�����,或者同我國社會經(jīng)濟發(fā)展的審計需求相比��,仍顯不足���,需要進一步完善���。健全我國會計信息系統(tǒng)審計規(guī)范應(yīng)基于以下原則:其一,與國際接軌���。在全球經(jīng)濟一體化發(fā)展背景下�����,審計準則與國際接軌是必然要求���,以確保審計結(jié)果能夠在更廣泛的范圍和空間發(fā)揮效用��。其二���,與國情相適。會計信息系統(tǒng)審計的相關(guān)規(guī)則和標準的設(shè)定要基于國情���,立足實踐��,與會計信息系統(tǒng)審計發(fā)展需求相適應(yīng)���。其三,關(guān)注細節(jié)�����。我國現(xiàn)有的會計信息系統(tǒng)審計相關(guān)規(guī)范僅僅就基本原則和審計內(nèi)容��、對象����、范圍等做了闡釋,而缺乏審計具體流程和操作指南���,還缺乏系統(tǒng)性和層次性����,需進一步完善。其四�����,前瞻性原則���。會計信息系統(tǒng)審計規(guī)范的制定需立足當前,著眼未來��,對會計信息系統(tǒng)審計工作未來的發(fā)展趨向和工作重點�、難點做出預(yù)測和判斷,在政策導向上予以規(guī)范和指引��。
(二)加強會計信息系統(tǒng)審計人才隊伍建設(shè)
人才問題是會計信息系統(tǒng)審計的突出問題��。近年來全球信息化發(fā)展迅猛�,企業(yè)信息化發(fā)展戰(zhàn)略如火如荼,日新月異���,凸顯了信息化人才不足帶來的制約����,需要相關(guān)審計機構(gòu)、教育機構(gòu)共同努力����,加大人才培養(yǎng)力度,壯大會計信息系統(tǒng)審計師人才隊伍��。首先�����,要細化會計信息系統(tǒng)審計資格認證體系�,打造階梯式人才隊伍,滿足不同審計需求��。其次�,要挖掘現(xiàn)有資源潛力,加強現(xiàn)有審計人員信息技術(shù)技能培訓����,提升會計信息系統(tǒng)審計能力。教育機構(gòu)應(yīng)將會計信息系統(tǒng)審計人才培養(yǎng)納入教育體系�,開設(shè)相關(guān)課程,培養(yǎng)專業(yè)人才��。最后,成立專門的會計信息系統(tǒng)審計行業(yè)組織����。會計信息系統(tǒng)審計同傳統(tǒng)審計有著極大不同,需要成立專門的會計信息系統(tǒng)審計行業(yè)協(xié)會��,對會計信息系統(tǒng)審計活動及審計人才隊伍進行有效指導和管理��,設(shè)立從業(yè)資格認證及審核機制���,組織資格考試,提高會計信息系統(tǒng)審計隊伍專業(yè)水平���。
(三)提升專門審計軟件的有效性
目前市場存在的審計軟件還存在一定問題��,還應(yīng)持續(xù)創(chuàng)新��、升級����、強化軟件功能�,在保障能以技術(shù)手段確保審計數(shù)據(jù)信息高效、順暢獲取的同時����,還應(yīng)內(nèi)置數(shù)據(jù)分析�、識別和處理功能模塊�,降低審計工作量和難度,提高審計效率�。就專業(yè)化發(fā)展而言,應(yīng)由信息技術(shù)人員和審計人員共同合作開發(fā)專門的會計信息系統(tǒng)審計軟件�,代替目前市場上常見的功能單一、穩(wěn)定性差���、操作復(fù)雜�、標準不一的審計軟件����,使審計人員更加容易操作,使審計流程得以高效實施�����,同時降低工作難度和風險�,以更好地履行審計職能。開發(fā)設(shè)計應(yīng)本著“實用性”���、“易用性”����、“安全性”和“高效性”原則,由審計人員負責確保軟件的實用性和易用性���,由信息技術(shù)人員負責確保軟件的安全性和高效性�����,以提升專門審計軟件的有效性����。
(四)統(tǒng)一會計信息系統(tǒng)審計軟件技術(shù)規(guī)范
第2篇
(一)信息系統(tǒng)審計的定義�����。中國內(nèi)部審計協(xié)會(2014)認為信息系統(tǒng)審計是指“內(nèi)部審計機構(gòu)和內(nèi)部審計人員對組織的信息系統(tǒng)及其相關(guān)的信息技術(shù)內(nèi)部控制和流程所進行的審查與評價活動”����。按照上述定義�����,信息系統(tǒng)審計的重點跟傳統(tǒng)審計一樣�����,還是專注于內(nèi)部控制與流程,但關(guān)注點不同��,信息系統(tǒng)審計的關(guān)注點是信息系統(tǒng)的控制和流程�����,而不僅僅只關(guān)注相關(guān)的制度和規(guī)范���。
(二)信息系統(tǒng)審計的目標��。信息系統(tǒng)審計和控制聯(lián)合會(ISACA)COBIT框架認為組織內(nèi)部的信息系統(tǒng)需求三原則是:質(zhì)量���、成本和安全,即在保證信息系統(tǒng)滿足組織需求的前提下����,盡可能避免組織內(nèi)外部風險,并減少研發(fā)和維護成本�。因此信息系統(tǒng)審計的目標就是對組織信息系統(tǒng)的運行的可靠性,數(shù)據(jù)的真實性和安全性提供評價��。
(三)信息系統(tǒng)審計的步驟。由于大多數(shù)高校內(nèi)審機構(gòu)在“數(shù)字化校園”開發(fā)階段并沒有參與其中�。本文所述的信息系統(tǒng)審計專指信息系統(tǒng)運行維護階段的審計。
1.審計準備階段����。信息系統(tǒng)審計準備階段步驟與傳統(tǒng)審計類似,通過從被審計單位獲取相關(guān)信息系統(tǒng)管理的規(guī)章制度��,找負責系統(tǒng)維護管理的工作人員座談�����,實地觀察等方式����,完成審前調(diào)查,進行風險評估��、初步確定審計重點和制定審計實施方案等工作�����。
2.審計實施階段���。信息系統(tǒng)審計在實施階段分為兩部分,分別為信息系統(tǒng)一般控制審計和應(yīng)用控制審計。一般控制審計往往比應(yīng)用控制審計更為重要��,因為應(yīng)用控制的有效性常常受到一般控制的影響���。根據(jù)審計項目不同�,審計人員可以只實施一般控制審計或者兩者結(jié)合進行審計�。(1)一般控制審計。一般控制審計又可以分為硬件和軟件兩部分���,兩部分的審計重點和方法有所不同�����,分別為:對硬件的審計通過實地觀察法實施�����,主要有審計網(wǎng)絡(luò)接口是否安全���,是否有硬件防火墻,硬件設(shè)備存放環(huán)境是否安全�����,防火、防雷���、防盜措施是否完備�����,是否裝備了UPS����,在硬件出現(xiàn)故障時是否制定了應(yīng)急響應(yīng)計劃等��。對軟件的審計通過抽樣�����、觀察和面談實施�,審計重點為:一是系統(tǒng)管理控制,主要有系統(tǒng)設(shè)定的職責分離是否合理��,授權(quán)管理是否充分�����,是否做到一個系統(tǒng)賬戶對應(yīng)一個工作人員��,是否確保了只有被授權(quán)的用戶才能對特定資源和數(shù)據(jù)進行訪問等�����;二是軟件安全控制��,主要有是否安裝了殺毒軟件�����,軟件是否定時升級�,未經(jīng)授權(quán)的軟件能否安裝,是否有系統(tǒng)操作規(guī)范等����;三是數(shù)據(jù)管理控制,主要有數(shù)據(jù)傳輸是否加密�����,系統(tǒng)數(shù)據(jù)是否定期備份��,有無冗余備份����,數(shù)據(jù)修改是否按照規(guī)定程序進行審核�����,向外部傳輸系統(tǒng)數(shù)據(jù)是否有身份認證�,是否定期對數(shù)據(jù)質(zhì)量進行檢查等���。(2)應(yīng)用控制審計���。信息系統(tǒng)應(yīng)用控制是指為保證應(yīng)用程序處理數(shù)據(jù)時按照組織流程運行,確保數(shù)據(jù)的完整性和真實性的控制����,包括輸入控制、處理控制�����、輸出控制三部分����。輸入控制包括輸入授權(quán)、數(shù)據(jù)轉(zhuǎn)換和編輯校驗��,處理控制包括運行總數(shù)控制���、計算機匹配和批處理控制���,輸出控制包括復(fù)核系統(tǒng)處理日志、審核輸出文本�、審核程序。對應(yīng)用控制的審計��,主要通過分析性復(fù)核和計算機輔助模擬的方法��,審計重點為信息系統(tǒng)業(yè)務(wù)的控制點設(shè)置是否合理����,數(shù)據(jù)處理程序最多運行數(shù),是否有審核系統(tǒng)日志程序等��。
3.報告階段���。內(nèi)審人員根據(jù)實施階段編制的工作底稿��,出具審計報告初稿����,與被審單位充分溝通后����,修改審計報告���,報相關(guān)層級領(lǐng)導審核后,簽發(fā)正式審計報告�。
二、高校做好信息系統(tǒng)審計的措施
1.轉(zhuǎn)變觀念��,提高開展信息系統(tǒng)審計必要性的認識�。“數(shù)字化校園”建成以后��,高校內(nèi)部控制環(huán)境已經(jīng)悄然發(fā)生改變�,內(nèi)部審計要想充分發(fā)揮其獨有的管理評價職能,必須迎頭而上�����,及時開展信息系統(tǒng)審計���。不少內(nèi)審機構(gòu)認為信息系統(tǒng)審計專業(yè)性太強����,無從著手,實際上信息系統(tǒng)審計的核心并沒有改變����,還是對信息系統(tǒng)控制的評價,并沒有超出審計人員專業(yè)知識的范疇����。
2.結(jié)合實際����,建立信息系統(tǒng)審計的體系。當前�����,國際上已經(jīng)有比較成熟的關(guān)于信息系統(tǒng)審計的體系�,那就是信息系統(tǒng)審計和控制聯(lián)合會(ISACA)COBIT體系,但完全照搬肯定是不行的��,在實際操作中����,內(nèi)審機構(gòu)必須結(jié)合國情、校情����,進行修訂更改��,出臺符合自身工作實際的�����、具備可操作性的信息系統(tǒng)審計體系�����,以規(guī)范審計工作�。
3.加強對內(nèi)審人員的培養(yǎng)����。內(nèi)審機構(gòu)可以通過以下方式提高內(nèi)審人員業(yè)務(wù)素質(zhì):一是鼓勵內(nèi)審人員取得CISA資格。由ISACA頒發(fā)國際信息系統(tǒng)審計師(CISA)執(zhí)業(yè)證書是唯一在國際上獲得認可的證書�����,具有很強的權(quán)威性����。二是在聘請外部審計機構(gòu)進行信息系統(tǒng)審計的同時,讓內(nèi)審人員參與其中�����,做到邊實踐邊總結(jié),起到“以審帶練”的作用�。
第3篇
關(guān)鍵詞:信息系統(tǒng)審計;企業(yè)信息化;信息系統(tǒng)
信息化是國家現(xiàn)代化的基本標志,也是一個國家綜合國力的集中體現(xiàn)��。信息化建設(shè)是一項長期的����、綜合的系統(tǒng)工程,在改善企業(yè)運作管理水平��、提高工作效率的同時��,也產(chǎn)生了巨大的風險�。因此�,建立信息系統(tǒng)審計制度,發(fā)展信息系統(tǒng)審計是信息化過程中必不可少的制度保證和手段����。
一、信息系統(tǒng)審計的概述
1.信息系統(tǒng)審計的定義
信息系統(tǒng)審計(InformationSystemAudit信息系統(tǒng)�����,簡稱ISA)目前還沒有公認的通用定義,國際信息系統(tǒng)審計領(lǐng)域的權(quán)威專家RonWeber將它定義為:收集并評估證據(jù)�����,以判斷一個計算機系統(tǒng)(信息系統(tǒng))是否有效做到保護資產(chǎn)�����、維護數(shù)據(jù)完整�、完成組織目標,同時最經(jīng)濟地使用資源�。可通俗的理解為是對信息系統(tǒng)的規(guī)劃�、開發(fā)、實施����、運行和維護等各個環(huán)節(jié)進行評價,確保其符合企業(yè)經(jīng)營目標的過程��。
2.信息系統(tǒng)審計的業(yè)務(wù)內(nèi)容
信息系統(tǒng)審計的業(yè)務(wù)內(nèi)容包括計算機資源管理審計���、軟硬件等獲取審計����、系統(tǒng)軟件審計、程序?qū)徲?�、?shù)據(jù)完整性審計����、系統(tǒng)生命周期審計、應(yīng)用系統(tǒng)開發(fā)審計�����、系統(tǒng)維護審計�����、操作審計和安全審計�����。
信息系統(tǒng)審計項目按生命周期來劃分�����,一般分為信息系統(tǒng)開發(fā)過程的審計���、信息系統(tǒng)運行維護過程的審計和信息系統(tǒng)生命周期共同業(yè)務(wù)的審計���。
信息系統(tǒng)開發(fā)過程中的審計是伴隨著系統(tǒng)規(guī)劃、系統(tǒng)分析����、系統(tǒng)設(shè)計、編碼���、測試和系統(tǒng)試運行這幾個階段同步進行的��。信息系統(tǒng)運行過程中的審計包括系統(tǒng)輸入審計�����、通信過程審計�、處理過程審計�、數(shù)據(jù)庫審計、系統(tǒng)輸出審計和運行管理審計�;信息系統(tǒng)維護過程中的審計包括維護組織審計、維護順序?qū)徲?�、維護計劃審計����、維護實施審計����、維護確認審計����、改良系統(tǒng)試運行審計和舊信息系統(tǒng)報廢審計。
3.信息系統(tǒng)審計的流程
信息系統(tǒng)審計流程包括三個階段即:審計計劃階段�、審計實施階段和審計完成階段。
計劃階段是信息系統(tǒng)審計流程的第一步���,主要任務(wù)是了解被審系統(tǒng)的基本情況�����;與委托單位簽訂業(yè)務(wù)約定書����;初步評價被審系統(tǒng)的內(nèi)部控制及外部控制����;確定重要性水平�����;分析審計風險和編制審計計劃。
實施階段的主要任務(wù)是根據(jù)重要性水平��、風險和計劃獲取有關(guān)資料�����;進行符合性測試和實質(zhì)性測試�����;對測試結(jié)果進行分析����;找出導致結(jié)果的原因。
完成階段的主要任務(wù)是整理���、評價審計證據(jù)��;復(fù)核工作底稿�����,完成二級復(fù)核����,匯總審計差異,同被審系統(tǒng)管理層交流�����;對重要性水平和風險進行最終評價�,形成審計意見,編制審計報告�,完成三級復(fù)核。
二����、信息系統(tǒng)審計的方法、技術(shù)與工具
由于信息系統(tǒng)本身的多樣性和復(fù)雜性�����,信息系統(tǒng)審計的難度也隨之增加�。面對錯綜復(fù)雜的信息系統(tǒng)和審計環(huán)境,要求審計師可以根據(jù)審計組織及信息系統(tǒng)的實際情況���,結(jié)合審計目標���、成本效益、審計小組的人員與設(shè)備配置情況等�,采用多種方法、技術(shù)和工具來幫助他們進行審計工作�����。
1.常規(guī)的審計方法���、技術(shù)與工具
常規(guī)的審計方法包括面談法����、問卷調(diào)查法��、系統(tǒng)評審會�、流程圖檢查、程序代碼檢查�、程序代碼比較和測試等。但在高度計算機化的信息系統(tǒng)中����,只采用常規(guī)審計法顯然是不夠的,無論是審計證據(jù)的收集���、評價����,還是實現(xiàn)審計工作的現(xiàn)代化,都需要借助計算機來高效完成��。
2.計算機輔助審計的技術(shù)與工具
信息系統(tǒng)被普遍應(yīng)用與企業(yè)生產(chǎn)�����、管理及經(jīng)營活動的各個環(huán)節(jié)�����,審計師為達到審計目的�,必須要收集大量儲存于計算機中的數(shù)據(jù),并借助于計算機對這些數(shù)據(jù)進行分析�,以得出審計的結(jié)論。因此審計師在收集證據(jù)并分析證據(jù)時�,必需利用計算機輔助審計工作,計算機輔助審計技術(shù)(ComputerAssistedAuditTechniques�,簡稱CAAT)越來越成為審計師不可或缺的手段。
計算機輔助審計技術(shù)可以使信息系統(tǒng)審計師獨立收集審計信息��,按照預(yù)定審計目標訪問和分析數(shù)據(jù)�、報告系統(tǒng)產(chǎn)生和維護的記錄的可靠性等審計發(fā)現(xiàn)。所用信息來源的可靠性為得出審計結(jié)論提供了再保證�����。
常用的計算機輔助審計軟件與技術(shù):共用軟件、測試數(shù)據(jù)��、應(yīng)用程序檢查�、審計專家系統(tǒng)��、整體測試�����、快照����、系統(tǒng)控制審計審核文檔、其他特殊的審計軟件等�����。三�����、信息系統(tǒng)審計的應(yīng)用價值
信息化是有風險的��,信息系統(tǒng)規(guī)模越大,功能越復(fù)雜��,風險也就越大��。信息系統(tǒng)審計為企業(yè)信息系統(tǒng)的有效管理提供了一系列詳細的審計方法��,從項目計劃開始介入信息系統(tǒng)建設(shè)的每個環(huán)節(jié)���,從項目的初始階段一直到運營階段的全過程����,給予項目投資者風險控制的評價和建議�����,提高信息系統(tǒng)的投資效益�����。
信息系統(tǒng)審計可以查出各種錯誤和舞弊����,合理地保證企業(yè)信息系統(tǒng)及其處理、產(chǎn)生的信息的真實性��、完整性與可靠性;可以促進企業(yè)更有效地融入到社會生活中���;可以促進企業(yè)改進內(nèi)部控制��,加強管理��,提高信息系統(tǒng)實現(xiàn)組織目標的效率�����。信息系統(tǒng)審計在信息化過程中,幫助企業(yè)建立健全的內(nèi)部控制制度���,進行系統(tǒng)診斷��。確定信息化的目標和內(nèi)容���,幫助企業(yè)調(diào)整現(xiàn)有的管理框架和流程或修改軟件產(chǎn)品使其更好地服務(wù)于管理的需要。
參考文獻:
[1]胡克瑾:IT審計[M].電子工業(yè)出版社��,2004.
[2]孫強:信息系統(tǒng)審計:安全�、風險管理與控制[M].機械工業(yè)出版,2003.
第4篇
[論文摘要]本文分析了信息系統(tǒng)環(huán)境下審計工作系統(tǒng)的功能特征、運作環(huán)節(jié)以及系統(tǒng)的構(gòu)成����,介紹了系統(tǒng)測試的方法�����,以期提高審計信息化水平�����,提高審計效率和效果����。
數(shù)據(jù)庫技術(shù)在審計信息管理中的廣泛運用��,能為審計人員充分����、有效、便利地提供信息��,為滿足快捷決策需要奠定了基礎(chǔ)����。其主要設(shè)計思想是將分析決策所需的大量數(shù)據(jù)從傳統(tǒng)的操作環(huán)境中分離出來,把分散的����、難以訪問的操作數(shù)據(jù)轉(zhuǎn)換成集中統(tǒng)一�����、隨時可用的信息而建立的一個大的數(shù)據(jù)庫���,其中存儲了所有審計數(shù)據(jù)。
一����、審計工作系統(tǒng)的功能特征
在審計工作系統(tǒng)中,審計數(shù)據(jù)庫將信息按照主題來進行組織�����、管理���、控制,審計系統(tǒng)對信息的組織�����、管理����、控制方式一般具有以下特征:
1.一致性
不同來源的多種數(shù)據(jù)一旦進入數(shù)據(jù)庫�����,就必須按照統(tǒng)一的主鍵和結(jié)構(gòu)與編碼規(guī)則重新組合�����,因而在審計系統(tǒng)中的數(shù)據(jù)信息具有一致性的特點��。當業(yè)務(wù)事件發(fā)生時�,所有原始數(shù)據(jù)被適當加工成標準編碼的源數(shù)據(jù)��,集成于一個邏輯數(shù)據(jù)庫(或數(shù)據(jù)倉庫)����,而不是重復(fù)存儲于多個低耦合系統(tǒng)中。數(shù)據(jù)庫不只記錄符合會計事項定義的業(yè)務(wù)事件�,而且記錄管理者想要計劃、控制和評價的所有業(yè)務(wù)事件�����,并且存儲業(yè)務(wù)活動中多方面的細節(jié)信息��。任何授權(quán)用戶都可以通過數(shù)據(jù)庫所存儲的數(shù)據(jù)來定義和獲取所需的有用信息,這樣既能提供多種視圖驅(qū)動應(yīng)用所能提供的全部視圖�,又能避免數(shù)據(jù)重復(fù)存儲和數(shù)據(jù)不一致的問題。此外��,這種體系結(jié)構(gòu)還實現(xiàn)了信息處理的實時控制�,數(shù)據(jù)庫中的處理單元在業(yè)務(wù)發(fā)生時捕捉業(yè)務(wù)數(shù)據(jù),既能執(zhí)行業(yè)務(wù)規(guī)劃和控制�,又能校驗數(shù)據(jù)的準確性和完整性。
2.時間變量
審計數(shù)據(jù)庫中的數(shù)據(jù)鍵始終包括時間元素����,數(shù)據(jù)保存的時間通常較長,具有作歷史比較和趨勢分析預(yù)測的長期數(shù)據(jù)基礎(chǔ)����。數(shù)據(jù)庫技術(shù)是將計算機應(yīng)用于數(shù)據(jù)管理而產(chǎn)生的一種新的技術(shù),它僅是審計信息系統(tǒng)憑借的一種新的管理手段����,對于數(shù)據(jù)庫的基本要素和管理對象——審計信息的源數(shù)據(jù)�,并不是指沒有經(jīng)過任何加工的原始數(shù)據(jù),而是在原始數(shù)據(jù)的基礎(chǔ)上�,經(jīng)過了類似于會計流程中的原始憑證確認、統(tǒng)—會計科目標準編碼等加工后所形成的數(shù)據(jù)�。
二��、審計工作系統(tǒng)的運作環(huán)節(jié)
審計數(shù)據(jù)庫在審計工作系統(tǒng)的運作過程大致有如下4個重要方面:
1.數(shù)據(jù)獲取
獲取企業(yè)的數(shù)據(jù)信息��,記錄數(shù)據(jù)信息的功能和處理過程��。根據(jù)審計人員的需要��,對在數(shù)據(jù)庫中運算所需的數(shù)據(jù)通過一定的方式進行采集���,可以得到企業(yè)完整而清晰的數(shù)據(jù)信息,選取和不斷更新數(shù)據(jù)�����,保證數(shù)據(jù)的一致性�����,使審計信息系統(tǒng)的數(shù)據(jù)不斷更新與補充��,并使數(shù)據(jù)在審計信息系統(tǒng)內(nèi)部各部件之間可以溝通����;利用現(xiàn)有系統(tǒng)的信息,確定從企業(yè)數(shù)據(jù)到審計信息系統(tǒng)的數(shù)據(jù)模型所必需的轉(zhuǎn)化/綜合模式。生成審計信息數(shù)據(jù)����,是進行審計工作的數(shù)據(jù)基礎(chǔ),類似于傳統(tǒng)手工環(huán)境下的審計對象�。審計信息系統(tǒng)上的財務(wù)信息不再是簡單的純文本傳統(tǒng)財務(wù)信息,它是特定協(xié)議標準格式���,如超文本格式(HTML)的電子報表�,所有數(shù)據(jù)只要點擊都可以被隨意移植使用�����。通過網(wǎng)絡(luò)傳輸而來的電子報表按照一定的協(xié)議標準格式編制���,也可以轉(zhuǎn)換成審計信息系統(tǒng)所需的數(shù)據(jù)��。通過數(shù)據(jù)獲取環(huán)節(jié)����,把這些數(shù)據(jù)轉(zhuǎn)換成審計信息系統(tǒng)所能識別的形式��,或直接采用被審計單位所提供電子數(shù)據(jù)加工出審計信息系統(tǒng)想要的形式�����。
2.數(shù)據(jù)管理
此環(huán)節(jié)包括會計信息庫和用戶信息庫兩部分��,前者主要依據(jù)數(shù)據(jù)庫技術(shù)進行管理�����,注重于對信息的分類�、組織、維護����、檢索等,對存儲的數(shù)據(jù)建立模型�,通過數(shù)據(jù)模型來對信息進行保存和管理;后者主要包括有關(guān)用戶個性特征的信息��,個性特征數(shù)據(jù)結(jié)構(gòu)設(shè)計是這部分的關(guān)鍵問題�,決定了個性化信息服務(wù)系統(tǒng)服務(wù)質(zhì)量的優(yōu)劣,也是實現(xiàn)信息服務(wù)自動化和智能化的關(guān)鍵��。通過將各種數(shù)據(jù)裝入數(shù)據(jù)管理庫之中�����,生成必需的、能為審計人員所直接使用的數(shù)據(jù)管理庫��,或通過其他方法為審計人員提供查詢工具�����,以便審計人員能方便地從數(shù)據(jù)管理庫中獲取所需的信息��,并可以通過一定的形式將其輸出�。生成審計工作所需的數(shù)據(jù)管理庫包含各種審計計算底稿、審定表�����、審計報告����、管理建議書等信息的結(jié)構(gòu)化數(shù)據(jù)庫,并形成與其他部件進行聯(lián)系的橋梁�����。
3.分析推理
這是審計信息系統(tǒng)中對信息流進行控制的核心���,其主要功能是接受審計人員通過審計信息系統(tǒng)傳來的信息需求�,判斷需求指向的是已存在的信息,還是不存在的信息��,或者是哪一層次的信息�����。對已存在的信息可直接調(diào)出并通過用戶瀏覽器予以顯示�����,對不存在的信息需要進行記錄�����,并判斷是否經(jīng)適當可行的計算或處理即可提供�,如是��,則進行計算處理并顯示���;否則�����,作為遺留問題提示進行特別設(shè)置處理�����。此環(huán)節(jié)是審計工作數(shù)據(jù)庫的主要組成部分之一�����,可以利用采集到的數(shù)據(jù)信息����,根據(jù)程序設(shè)置,推斷出審計人員工作需要的可能解���;提供方便的審計分析模塊���。
4.解釋報告
審計軟件可以提供審計報告生成功能,審計人員可以通過它選擇具體的信息項目����、類型和表達形式,主要內(nèi)容包括:(1)設(shè)置報告模式��。模式中列有會計系統(tǒng)中與要素模塊相應(yīng)的數(shù)據(jù)項目���,模式中的項目與含有多種會計方法的對話框或序列框相聯(lián)�����,以便審計人員選擇他們需要的會計方法來處理其選擇的信息項目���。(2)初始選擇。在生成報告時����,現(xiàn)行的會計準則和法規(guī)作為初始選擇存放在對話框架或子對話框中。如不進行任何選擇��,審計人員可以得到一份通用的標準的審計報告��。(3)選擇項目��。除初始選擇以外�����,模式報告還提供可選擇項目來滿足審計人員不同的信息報告要求�,這些選擇項目可以是會計準則和法規(guī)、會計計量和估價方法�、財務(wù)信息與非財務(wù)信息的類型、報告的頻率����、范圍�、使用的語言�����、形式等��,提供可選擇項目能夠增強交互性相對化特征�,既能滿足審計人員的特殊信息報告需要,又能減少報告使用人員的信息負擔���。(4)幫助功能�����?���?梢圆扇?種方式:自動顯示專業(yè)技術(shù)概念解釋���;在對話框中提供環(huán)境敏感幫助���;一個全面的包括如何應(yīng)用更復(fù)雜的會計技術(shù)和方法的目錄���。幫助功能可以避免審計人員和報告使用者有限的時間被信息的多樣化這種無實際意義的工作浪費,有利于及時�����、準確���、有效地尋找有用信息,提高對信息的利用效率��。
三�����、審計工作系統(tǒng)的組成及內(nèi)容
1.審計項目管理部分
通過建立審計項目管理組件���,對每一個被審計項目的各方面情況進行記錄并生成電子檔案��,可以讓審計人員更方便地查閱��、了解被審計單位的情況����,讓審計項目的新進人員可以更快熟悉工作;可以建立審計質(zhì)量控制系統(tǒng)����,明確審計人員的工作職責。2.審計法規(guī)管理部分
可以自動檢查有關(guān)處理是否合法合規(guī)�����,能完成法規(guī)資料的錄入����、修改、刪除���、檢索�����、打印等功能����。檢索功能不僅可以為用戶按各種條件查找審計法規(guī)的目錄����,而且可以根據(jù)目錄查找法規(guī)全文�����,可以按要求摘要其中的內(nèi)容并打印輸出�。審計法規(guī)數(shù)據(jù)庫也可以單獨成為一個軟件����,現(xiàn)已成功地應(yīng)用于審計工作第一線,是我國目前開發(fā)和應(yīng)用較成功的專項審計軟件之一���。
3.審計操作管理部分
審計操作管理的功能:(1)參考功能���。提供計算機審計中常用的工具���、手段�、可使用的審計程序�����,其主要內(nèi)容有:審計環(huán)境建立����、查詢���、抽樣、匯總與計算�、排序與分類、財務(wù)與效益分析����、編制與輸出工作底稿、打印各類審計文件等�����。(2)圖像處理功能�。通過對圖像顯示參數(shù)的設(shè)置,可以使審計結(jié)果以圖表的形式表達出來��,可以讓內(nèi)部審計人員直觀地了解被審計單位的情況�。(3)底稿處理功能。能完成審計工作底稿及有關(guān)參數(shù)和數(shù)據(jù)的增�����、刪����、改等維護工作����。針對計算機系統(tǒng)還能自動查找����、計算、輸入底稿所需數(shù)據(jù)�����,并按格式打印����,針對手工系統(tǒng)則可以提示審計人員輸入有關(guān)數(shù)據(jù),并進行計算性復(fù)核����。
4.專用程序管理部分
對于一些需要對外報送資料的項目�����,尤其是需要送交政府部門的項目�,有的政府部門可能提供了單獨的審計軟件,或者需要單獨配備專用的審計功能,以滿足政府部門的數(shù)據(jù)需要���。還有的審計項目因數(shù)據(jù)量大�,牽涉面廣�����,并且各被審計單位的情況又不盡一致���,為了對這些項目進行有效的審計���,也需要針對每個項目的不同情況,單獨配備專用的審計功能����,以滿足審計工作的要求。
四����、審計工作系統(tǒng)的測試方法
1.現(xiàn)場交易選擇測試數(shù)據(jù)
對被審計單位的現(xiàn)場交易作標記輸入到應(yīng)用程序中,把帶標記的交易當作測試數(shù)據(jù)��。采用這種方法�����,應(yīng)用程序中必須有特定的計算機程序能夠識別出帶標記的交易,并且使這些交易既要更新應(yīng)用系統(tǒng)的主文件�,同時也要更新做檢測用的虛擬實體。現(xiàn)場交易作標記選擇和識別帶記號的交易測試數(shù)據(jù)有多種策略:第一��,在源文件中或屏幕布局中包含一個專門的標識字段����,用來表示一筆交易既為正常交易又為帶記號交易。由審計人員來選擇確定對哪些現(xiàn)場交易作標記�����,所選交易的特征可以與測試數(shù)據(jù)的設(shè)計相一致����,也可以根據(jù)制定的抽樣計劃進行選擇。第二�����,在應(yīng)用系統(tǒng)的程序中嵌入審計軟件模塊�����,利用審計軟件來選擇交易并給交易加標記使其成為帶記號交易�����。第三�����,在應(yīng)用系統(tǒng)中嵌入抽樣程序��,抽樣程序具有根據(jù)抽樣計劃給交易作標記���,并使其成為帶記號交易的功能�����。不論采用何種策略�,應(yīng)用系統(tǒng)中必須有相應(yīng)的處理程序���,專門處理帶標記的交易����。
2.自行設(shè)計測試數(shù)據(jù)
自行設(shè)計測試數(shù)據(jù)是將測試數(shù)據(jù)與現(xiàn)場交易數(shù)據(jù)一同輸入應(yīng)用系統(tǒng)�����。采用這種方法,審計人員應(yīng)當根據(jù)所要使用的測試數(shù)據(jù)特征設(shè)計并創(chuàng)建測試數(shù)據(jù)���。自行設(shè)計測試數(shù)據(jù)的優(yōu)點是覆蓋面廣�����,可全面測試系統(tǒng)��;但設(shè)計和建立測試數(shù)據(jù)要花費一定的時間和費用�。筆者認為�,應(yīng)用程序進行檢測時,首先要在應(yīng)用程序的文件中建立一個虛擬實體����,并讓應(yīng)用程序處理該實體的審計測試數(shù)據(jù)。如果應(yīng)用程序是工資系統(tǒng)�,可在其數(shù)據(jù)庫中建立一個虛擬的職員資料庫;如果應(yīng)用程序是存貨系統(tǒng)���,可在其數(shù)據(jù)庫中建立一個虛擬的存貨項目�。將帶標記的實際數(shù)據(jù)或模擬數(shù)據(jù)一同輸入應(yīng)用程序和審計軟件進行處理,通過將應(yīng)用程序?qū)?shù)據(jù)處理的結(jié)果同審計軟件處理的結(jié)果進行比較��,可確定應(yīng)用程序的處理和控制功能是否恰當����、可靠��。當應(yīng)用程序非常龐大或復(fù)雜時�,全面追蹤通過系統(tǒng)的不同執(zhí)行路徑會有一定難度,審計人員對交易進行審查時�����,可以在應(yīng)用系統(tǒng)的重要處理發(fā)生點嵌入軟件��,當交易通過不同處理點時����,嵌入軟件可捕捉交易的過程。為證實不同關(guān)鍵點的處理���,審計人員使用軟件捕捉交易的前后過程��,通過檢驗前后過程及其變換����,評價交易處理的真實性、準確性和完整性�。
主要參考文獻
[1]WayneMoreandDavidHendrey.ITAuditRenewal[J].InternalAuditor,l999�����,(4):17.
第5篇
(Why)隨著被審計單位經(jīng)濟業(yè)務(wù)活動對信息系統(tǒng)依賴程度越來越高�����,信息系統(tǒng)已經(jīng)逐漸融入各項經(jīng)濟活動當中���。但是�,信息系統(tǒng)存在的漏洞和缺陷�����、非法舞弊程序����、人為操作錯誤、病毒感染��、黑客攻擊、系統(tǒng)故障等導致被審計單位經(jīng)濟業(yè)務(wù)數(shù)據(jù)失真的各種風險也在進一步加大���,也就是說信息系統(tǒng)本身的安全性�����、可靠性直接威脅和影響到信息系統(tǒng)所產(chǎn)生經(jīng)濟業(yè)務(wù)電子數(shù)據(jù)的真實、準確和完整����。因此,基于現(xiàn)代風險基礎(chǔ)審計理論的政府審計�,必須考慮與經(jīng)濟業(yè)務(wù)活動相關(guān)的信息系統(tǒng)產(chǎn)生的風險因素,突破傳統(tǒng)政府審計業(yè)務(wù)范圍���,涵蓋信息系統(tǒng)審計內(nèi)容�����。如果忽視對信息系統(tǒng)本身的審計�����,審計機關(guān)審計人員審計依賴的被審計電子數(shù)據(jù)的真實性就會成為“空中樓閣”�,就有可能出現(xiàn)“假賬真審”的問題。目前��,各級政府部門�、企事業(yè)單位為了提高信息化水平,紛紛加大資金投入�,推進信息系統(tǒng)建設(shè),建立統(tǒng)一數(shù)據(jù)集中平臺�����,信息系統(tǒng)已經(jīng)成為國家的一項投資巨大的重要資產(chǎn)����。這就要求審計機關(guān)審計人員在對這些機構(gòu)實施經(jīng)濟效益審計、績效審計�、經(jīng)濟責任審計等審計項目時,必須考慮信息系統(tǒng)資產(chǎn)因素���,對信息系統(tǒng)實施相關(guān)審計��,以有效揭示信息系統(tǒng)在安全�、可靠�����、合法、效率����、效果和效益等方面存在的問題,防范信息系統(tǒng)風險�����,保障信息系統(tǒng)安全�����、可靠運行���,促進信息系統(tǒng)資源的有效利用,提高信息系統(tǒng)資源運用的收益水平���。由此���,在政府審計項目中,考慮到信息系統(tǒng)的影響因素�����,迫切需要大力開展結(jié)合型政府信息系統(tǒng)審計,而不是可審可不審的問題��。
二�、結(jié)合型政府信息系統(tǒng)審計的目標是什么
(What)信息系統(tǒng)審計目標是信息系統(tǒng)審計行為的出發(fā)點,它指明了審計工作方向��,并指導著信息系統(tǒng)審計實踐活動(王振武等��,2011)�。我國政府審計以維護國家財政經(jīng)濟秩序,提高財政資金使用效益�,促進廉政建設(shè),保障國民經(jīng)濟和社會健康發(fā)展為職能����,以國家經(jīng)濟活動的真實性、合規(guī)性和效益性為總體目標���。因此���,我國政府審計機關(guān)實施的結(jié)合型政府信息系統(tǒng)審計,也應(yīng)遵守真實�、合規(guī)和效益的根本目標。審計機關(guān)審計人員在各項具體政府審計項目中�����,不能籠統(tǒng)地將一般意義上信息系統(tǒng)審計的安全性、可靠性���、合法性和有效性目標作為結(jié)合型政府信息系統(tǒng)審計具體目標����,這既不符合結(jié)合型政府信息系統(tǒng)審計的特點和需求�,也不具備實際可操作性、指導性�����。如果信息系統(tǒng)審計目標因素與具體政府審計項目目標不相關(guān)�,將起不到應(yīng)有的作用�����,是多余的�、不必要的,從成本效益角度來說���,是對審計資源的浪費�。審計人員應(yīng)避免根據(jù)自己的理解來確定目標,造成混淆不清�。結(jié)合型政府信息系統(tǒng)審計貫穿于各政府審計項目之中,成為審計全過程的一部分����,其具體審計目標應(yīng)根據(jù)國家審計機關(guān)實施審計項目預(yù)期要完成的任務(wù)和結(jié)果,即具體政府審計目標���,以及所涉及的信息系統(tǒng)情況等綜合確定�����。例如�����,政府財政財務(wù)收支審計的目標是財政財務(wù)收支情況的真實性���、合規(guī)性和效益性,其審計的數(shù)據(jù)來源于相關(guān)信息系統(tǒng)產(chǎn)生的財務(wù)電子數(shù)據(jù)����,而數(shù)據(jù)是否真實、完整�����,直接依賴于相關(guān)信息系統(tǒng)是否安全、可靠�����,由此可以確定政府財政財務(wù)收支審計中信息系統(tǒng)審計的目標是安全性��、可靠性�。又如,在國有企業(yè)績效審計中��,績效審計的目標是效率性�����、效果性和效益性�����,雖然信息系統(tǒng)與績效審計不直接相關(guān)��,但是信息系統(tǒng)作為企業(yè)的一項重要資產(chǎn)���,且信息系統(tǒng)建設(shè)的投入金額巨大�����,因此�����,在國有企業(yè)績效審計中也應(yīng)包括信息系統(tǒng)資產(chǎn)的績效審計��,這就決定了國有企業(yè)績效審計中信息系統(tǒng)審計的目標應(yīng)該是效率性���、效果性和效益性。上述示例也表明����,結(jié)合型政府信息系統(tǒng)審計具體目標隨政府審計項目的不同而存在一定的差異性,也就是說政府審計具體目標的多元性決定了結(jié)合型政府信息系統(tǒng)審計具體目標的多元性����,必須根據(jù)具體政府審計項目綜合確定。
三�、結(jié)合型政府信息系統(tǒng)審計的重點在哪里
(Where)結(jié)合型政府信息系統(tǒng)審計的成效取決于審計機關(guān)審計人員對信息系統(tǒng)審計重點內(nèi)容的把握程度。審計人員應(yīng)該在分析清楚各政府審計項目中信息系統(tǒng)審計具體目標的基礎(chǔ)之上����,確定信息系統(tǒng)審計意圖和需要解決的問題���,并根據(jù)“全面審計、突出重點”����、“先系統(tǒng)本身后系統(tǒng)環(huán)境”的原則確定信息系統(tǒng)審計重點事項(唐劍,2012)���。此外����,還應(yīng)考慮成本效益原則����,盡力減少與政府審計目標不相關(guān)的、多余的���、不必要的信息系統(tǒng)審計內(nèi)容�。
(一)結(jié)合型政府信息系統(tǒng)重點
審計對象的選擇被審計單位一般建立有多個信息系統(tǒng)��,依據(jù)結(jié)合型政府信息系統(tǒng)審計的特點���,不需要也不必要將被審計單位的所有信息系統(tǒng)納入重點關(guān)注的審計對象����,只需要根據(jù)與被審計業(yè)務(wù)活動相關(guān)的程度選擇目標信息系統(tǒng)�����。如何選擇信息系統(tǒng)重點審計對象��?審計機關(guān)審計人員選擇的主要原則應(yīng)是依據(jù)被審計單位核心業(yè)務(wù)對信息系統(tǒng)的依賴性以及被審計單位信息系統(tǒng)的復(fù)雜性確定需要重點調(diào)查和審計測試的信息系統(tǒng)的范圍和深度����。一般來說,越高度依賴的信息系統(tǒng)��,就應(yīng)該作為重點審計的對象��;越復(fù)雜的信息系統(tǒng)����,就應(yīng)該擴大重點審計對象范圍。例如�,在財務(wù)收支審計中,被審計單位ERP系統(tǒng)由財務(wù)��、采購、銷售��、庫存�、質(zhì)量、人力資源等多個子系統(tǒng)組成����,由于財務(wù)收支數(shù)據(jù)直接依賴于財務(wù)子系統(tǒng),所以理應(yīng)將其作為審計的重點���,然而ERP系統(tǒng)又是一個集成化的復(fù)雜系統(tǒng)���,審計人員還應(yīng)擴大審計范圍和深度,需要將ERP系統(tǒng)中系統(tǒng)管理子系統(tǒng)以及其他子系統(tǒng)的基礎(chǔ)設(shè)置���、憑證處理等模塊也作為審計的重點����。
(二)結(jié)合型政府信息系統(tǒng)內(nèi)部控制
測試重點
內(nèi)容的確定現(xiàn)代風險基礎(chǔ)政府審計是建立在內(nèi)部控制的測評基礎(chǔ)之上�,根據(jù)內(nèi)部控制的符合性測試結(jié)果實施業(yè)務(wù)數(shù)據(jù)的實質(zhì)性測試。信息系統(tǒng)內(nèi)部控制測試是對信息系統(tǒng)內(nèi)部控制的可靠性�����、健全性和有效性進行的測試?�;诮Y(jié)合型政府信息系統(tǒng)審計的經(jīng)濟監(jiān)督和重在審計業(yè)務(wù)數(shù)據(jù)的特點���,以及政府審計人員信息技術(shù)能力限制,為避免將對信息系統(tǒng)的審計引入技術(shù)陷阱(李春青����,2008),審計人員應(yīng)重點選擇信息系統(tǒng)中容易產(chǎn)生數(shù)據(jù)風險的部分�,作為信息系統(tǒng)內(nèi)部控制測試的重點內(nèi)容。而信息系統(tǒng)的硬件�����、軟件����、應(yīng)用程序、數(shù)據(jù)����、人員、制度等組成要素中��,對業(yè)務(wù)數(shù)據(jù)直接產(chǎn)生影響的主要有信息系統(tǒng)數(shù)據(jù)、應(yīng)用程序�、人員和制度,因此審計人員在結(jié)合型政府信息系統(tǒng)審計中應(yīng)選擇信息系統(tǒng)數(shù)據(jù)�����、應(yīng)用程序����、人員、制度作為審計測試的重點�����,只在必要的時候再根據(jù)實際情況適當關(guān)注信息系統(tǒng)的軟硬件環(huán)境��。
(三)信息系統(tǒng)效率���、效果和效益審計重點
內(nèi)容的選擇在結(jié)合型政府信息系統(tǒng)審計中���,對行政事業(yè)單位、企業(yè)的效益審計����、績效審計��、經(jīng)濟責任審計等政府審計項目中涉及的信息系統(tǒng)效率���、效果和效益審計,其審計范疇從屬于政府審計項目的范疇�����,只是審計對象中包括信息系統(tǒng)資產(chǎn)�����。因此�����,在這種結(jié)合型政府信息系統(tǒng)審計中�,審計機關(guān)審計人員審計信息系統(tǒng)效率��、效果和效益應(yīng)從被審計單位正在運行使用中的信息系統(tǒng)資源的有效利用�、促進產(chǎn)品或服務(wù)目標實現(xiàn)、降低產(chǎn)品或服務(wù)成本和增加產(chǎn)品或服務(wù)收益的角度選擇重點審計內(nèi)容:(1)效率性審計應(yīng)重點評價使用中的信息系統(tǒng)對提高被審計單位勞動生產(chǎn)率所作的貢獻�,如節(jié)省人力、提高人員工作效率等��;(2)效果性審計應(yīng)重點評價使用中的信息系統(tǒng)使被審計單位業(yè)務(wù)、管理和決策等方面得到改善和提升��,如滿足業(yè)務(wù)處理需求�����、促進業(yè)務(wù)流程改進���、增強信息交流與共享���、提升客戶服務(wù)能力、提高管理決策水平等���;(3)效益性審計應(yīng)重點評價使用中的信息系統(tǒng)的資金投入以及產(chǎn)生效益之比�����,資金投入包括信息系統(tǒng)運維資金投入���、升級改造資金投入等方面,產(chǎn)生效益則可以從降低產(chǎn)品或服務(wù)成本�����、提高資金周轉(zhuǎn)速度、提高產(chǎn)品或服務(wù)收入��、增強競爭力等方面考慮��。
四�、結(jié)合型政府信息系統(tǒng)審計如何實施
(How)結(jié)合型政府信息系統(tǒng)審計作為信息系統(tǒng)審計的一個特例,兩者在審計技術(shù)���、方法����、手段等方面理應(yīng)具有一定的一致性����。但是����,審計機關(guān)審計人員在借鑒目前常用信息系統(tǒng)審計方法的同時,需要結(jié)合具體政府審計項目����,立足審計人員的信息技術(shù)審計能力相對較弱、業(yè)務(wù)審計能力較強的審計專長�����,以審計人員的業(yè)務(wù)思路和職業(yè)判斷為工作核心(王亞清,2012)����,積極探索富有實效的信息系統(tǒng)審計與傳統(tǒng)審計相結(jié)合的方法。
(一)如何做好信息系統(tǒng)審前調(diào)查
在進行結(jié)合型政府信息系統(tǒng)審計調(diào)查時�,審計機關(guān)審計人員可以將被審計信息系統(tǒng)調(diào)查與被審計項目業(yè)務(wù)調(diào)查結(jié)合進行,將信息系統(tǒng)調(diào)查作為業(yè)務(wù)調(diào)查的延伸���。一方面����,可運用詢問法��、觀察法�、查閱法、調(diào)查表法�、流程圖法等傳統(tǒng)審計調(diào)查的方法,將被審計單位業(yè)務(wù)活動情況與信息系統(tǒng)情況調(diào)查融合在一起���,一并調(diào)查了解被審計單位整體和業(yè)務(wù)活動情況�����、信息系統(tǒng)環(huán)境(如硬件環(huán)境����、軟件環(huán)境、組成��、結(jié)構(gòu)����、分布等)、內(nèi)部控制制度(含信息系統(tǒng)內(nèi)部控制制度)��、手工和計算機信息系統(tǒng)處理過程(如業(yè)務(wù)流程�、運行流程、人員操作流程等)及執(zhí)行情況��;另一方面����,可運用計算機輔助審計方法獲取被審計業(yè)務(wù)電子數(shù)據(jù)����,調(diào)查了解被審計信息系統(tǒng)數(shù)據(jù)處理情況等。兩種方法相互補充,既能全面了解被審計單位業(yè)務(wù)活動情況��,又能夠摸清被審計單位信息系統(tǒng)基本運作情況���,實現(xiàn)信息系統(tǒng)審計調(diào)查與整個審計工作調(diào)查的銜接��,從而確保審計調(diào)查的效率���、質(zhì)量。
(二)如何做好信息系統(tǒng)內(nèi)部控制測試
在結(jié)合型政府信息系統(tǒng)審計中�,審計機關(guān)審計人員可運用熟悉的傳統(tǒng)審計測試方法,輔以計算機輔助審計測試方法對前述確定的信息系統(tǒng)數(shù)據(jù)���、應(yīng)用程序�、人員���、制度等重點內(nèi)容進行審計測試���。具體可采用:(1)傳統(tǒng)審計方法。通?����?刹捎迷儐柗ā⒂^察法����、檢查法、核對法�、比較法、數(shù)據(jù)分析法等方法���。如:詢問或觀察職責分離制度���、人員操作制度、運行維護制度的執(zhí)行情況�����;觀察有關(guān)人員對信息系統(tǒng)訪問是否設(shè)定口令�����、系統(tǒng)操作是否違反職責分離原則����;查閱系統(tǒng)日志文件��、操作記錄,查看系統(tǒng)中是否有非法訪問記錄和報告����,有無未經(jīng)授權(quán)的用戶操作系統(tǒng);觀察����、檢查系統(tǒng)功能設(shè)置、程序化控制���、權(quán)限設(shè)置���、系統(tǒng)參數(shù)配置等是否合理、有效��,如權(quán)限設(shè)置是否符合職權(quán)要求����,人員崗位變動或離職前是否及時進行權(quán)限鎖定或刪除,客戶數(shù)據(jù)是否進行唯一性檢驗����,財務(wù)軟件是否存在反結(jié)賬、反記賬等功能�;核對����、比較原始憑證與數(shù)據(jù)庫憑證文件數(shù)據(jù)的一致性��,以測試憑證數(shù)據(jù)輸入控制的有效性����;對數(shù)據(jù)庫文件數(shù)據(jù)采用數(shù)據(jù)分析法,如分析數(shù)據(jù)文件中操作員代碼���、數(shù)據(jù)異常值�、數(shù)據(jù)間的關(guān)聯(lián)關(guān)系����、數(shù)據(jù)間的平衡或合計關(guān)系等審查是否存在非法用戶或越權(quán)操作、參數(shù)設(shè)置的有效性�����、數(shù)據(jù)處理是否存在錯誤等以測試數(shù)據(jù)處理控制的有效性��,也可通過數(shù)據(jù)分析反推系統(tǒng)中存在的非法功能和漏洞���,等等�。(2)計算機輔助測試方法�。通常可采用計算機數(shù)據(jù)審計軟件工具�、整體測試法、平行模擬法�、虛擬實體法、受控處理法等方法��。如利用計算機審計軟件(OA)���、數(shù)據(jù)庫管理系統(tǒng)(Access����、Sqlserver)�����、Excel等獲取和分析被審計信息系統(tǒng)數(shù)據(jù)輸入�、處理、輸出控制����;運用整體測試法、平行模擬法�、虛擬實體法�����、受控處理法等方法(張瑜�,2012)����,測試系統(tǒng)的處理和控制功能是否恰當、可靠����,接口程序是否存在缺陷等。除此以外�����,對于信息系統(tǒng)硬件�����、軟件���、網(wǎng)絡(luò)安全等方面內(nèi)部控制測試�����,由于其技術(shù)性較強�����,審計人員可重點從系統(tǒng)管理的視角著手���。一般采用面談法、詢問法����、觀察法、測試軟件等�,重點審查計算機安全和管理制度的執(zhí)行情況、是否建立安全認證機制�����、是否建立針對系統(tǒng)故障的應(yīng)急安全機制����、軟硬件來源的合法性,觀察硬件是否進行有效的保養(yǎng)����、隔離�,查看系統(tǒng)是否安裝防火墻�����、安裝防病毒軟件�����、定期檢測和清除計算機病毒�����,利用漏洞掃描工具和網(wǎng)絡(luò)檢測診斷工具等對網(wǎng)絡(luò)環(huán)境進行測試和評估����。
(三)如何做好信息系統(tǒng)效率、效果與效益審計
對于結(jié)合型政府信息系統(tǒng)審計中的效率�、效果與效益性審計,應(yīng)遵循可操作�����、實用性原則�,審計機關(guān)審計人員可通過詢問、觀察、查閱資料��、發(fā)放調(diào)查表和比較分析等方法���,重點了解信息系統(tǒng)的各項功能在被審計單位日常工作過程中的使用情況��,了解信息系統(tǒng)功能設(shè)置能否滿足系統(tǒng)目標�����,了解信息系統(tǒng)保障被審計單位信息資源共享、業(yè)務(wù)有效開展和履行情況����,了解信息系統(tǒng)運維成本和效益并進行定量化分析處理,對比被審計單位信息系統(tǒng)規(guī)劃��、運營目標�����,運用一定的評價方法(如平衡計分卡法����、層次分析法、模糊綜合法等)(張靜等,2011)進行評價���,給出審計結(jié)論和審計建議�����。就目前來說����,信息系統(tǒng)的效率��、效果和效益審計在我國仍然處于理論和實踐探索階段�����,缺少規(guī)范的指導�����,缺乏完善的評價指標體系��,因此�,如何科學、準確地評價信息系統(tǒng)的效率��、效果和效益,仍然存在不小的難度����。
五、結(jié)束語
第6篇
(一)企業(yè)應(yīng)加強內(nèi)部控制
隨著市場經(jīng)濟的深入發(fā)展,企業(yè)逐步成為自主經(jīng)營����、自我約束、自我發(fā)展����、自我完善的商品生產(chǎn)者和經(jīng)營者。在“優(yōu)勝劣汰���、適者生存”的市場經(jīng)濟中,企業(yè)要想真正的做到“自主經(jīng)營、自我約束�、自我發(fā)展、自我完善”,必須要加強內(nèi)部控制,建立有效�、完善的內(nèi)部控制制度,這樣才能在一個絕對的高度上,對企業(yè)進行高瞻遠矚的控制,才能做出與時俱進的決策。
(二)內(nèi)部審計是企業(yè)內(nèi)部監(jiān)督機制的重要組成部分
內(nèi)部審計也是企業(yè)內(nèi)部控制的一個重要的組成部分,是監(jiān)督內(nèi)部控制其他環(huán)節(jié)的主要力量�。內(nèi)部審計通過對控制環(huán)境和控制程序的有效性進行監(jiān)督,評估企業(yè)的內(nèi)部控制是否被執(zhí)行,是否及時反饋有關(guān)執(zhí)行結(jié)果的信息,是否幫助企業(yè)更有效地實現(xiàn)預(yù)期控制目標。同時,在監(jiān)控過程中,內(nèi)部審計可以促進控制環(huán)境的建立和改善,為改進控制制度提供建設(shè)性的意見,為企業(yè)建立健全所需要的內(nèi)部控制水平服務(wù)����。在內(nèi)部控制的監(jiān)督過程中,內(nèi)部審計發(fā)揮著越來越重要的作用����。
二�����、內(nèi)部審計在防范信息系統(tǒng)風險中面臨的問題
(一)信息系統(tǒng)安全管理機制不健全
企業(yè)信息系統(tǒng)風險的存在,很多是由于管理不善或控制不嚴造成的�。一方面,缺乏一套統(tǒng)一的安全策略體系來指導安全管理工作,無法建立系統(tǒng)內(nèi)部明確、全面的安全規(guī)范要求��。從現(xiàn)有管理制度規(guī)范來看,主要存在的問題是可操作性差,條理不清���、重疊或遺漏等;另一方面,現(xiàn)有安全管理制度的管理對象基本是網(wǎng)絡(luò)系統(tǒng)管理員等技術(shù)部人員,管理對象沒有全面涵蓋所有信息系統(tǒng)技術(shù)相關(guān)人員,包括所有網(wǎng)絡(luò)系統(tǒng)上的內(nèi)部終端人員和外部人員��。
(二)內(nèi)部審計在信息系統(tǒng)風險防范中的角色缺乏獨立性
內(nèi)部審計的角色發(fā)生了轉(zhuǎn)變����。從傳統(tǒng)的事后審計而逐漸轉(zhuǎn)向事前和事中審計,主動參與內(nèi)部控制系統(tǒng)的建立和完善����。內(nèi)部審計人員即承擔著評價硬件和應(yīng)用信息系統(tǒng)安全的任務(wù),如果又同時有參與了系統(tǒng)的開發(fā)和實施過程,那么內(nèi)部審計人員就卻乏獨立性。反之,如果處于對喪失獨立性的擔心,內(nèi)部審計人員有可能會拒絕參與系統(tǒng)和軟件的開發(fā),那么系統(tǒng)開發(fā)過程中存在的風險又無法得到控制�。
(三)內(nèi)審部門技術(shù)力量薄弱造成對信息系統(tǒng)審計形成風險
審計稽核部門的技術(shù)力量薄弱,不熟悉業(yè)務(wù)系統(tǒng)的流程和功能,對信息系統(tǒng)缺乏必要的認證能力和標準。突出表現(xiàn)為以下幾個方面:一是實施審計稽核的手段和方法沒有得到及時更新,不適應(yīng)信息系統(tǒng)管理的要求,大部分仍停留在手工審計階段;二是審計稽核部門對計算機賬務(wù)系統(tǒng)實施審計的依據(jù)僅依賴于被審計單位提供的打印資料或事后資料,計算機賬務(wù)的真實性審計很難得到保證�����。
三、加強風險防范的措施和對策
(一)構(gòu)建信息系統(tǒng)安全管理組織及規(guī)范體系
加強信息系統(tǒng)的自我風險評估體系,讓信息系統(tǒng)的管理和技術(shù)人員在自身的職責范圍之內(nèi)正確識別和評估潛在操作風險,主要包括內(nèi)控制度的查漏補缺�����、工作流程的整理和規(guī)范���、應(yīng)急預(yù)案完善和演練等�����。同時加強對操作人員的管理,規(guī)范操作程序�����。一是加強密碼管理,明確規(guī)定操作人員的權(quán)限,操作員必須在規(guī)定的權(quán)限內(nèi)辦理業(yè)務(wù),用戶口令及密碼必須專人專用,嚴禁公開口令及密碼;二是要建立健全操作員崗位目標責任制,對網(wǎng)絡(luò)操作人員要明確目標任務(wù),規(guī)范操作程序,嚴格落實獎懲制度��。三是要嚴格崗位設(shè)置,不相容職務(wù)進行分離。嚴禁系統(tǒng)管理人員�、網(wǎng)絡(luò)技術(shù)人員、程序開發(fā)人員和前臺操作人員混崗�、代崗或一人多崗。四是要加強系統(tǒng)內(nèi)部的稽核監(jiān)督檢查���?����;吮O(jiān)督應(yīng)貫穿于網(wǎng)絡(luò)操作的全過程,重點是加強對系統(tǒng)設(shè)計開發(fā)����、內(nèi)控管理制度落實、操作運行等方面的(二)關(guān)注信息系統(tǒng)的穩(wěn)定性��、安全性和有效性審計
首先,審計人員應(yīng)運用用一定的技術(shù)方法識別系統(tǒng)的完整性,該過程包括檢查��、測試�、評估系統(tǒng)的內(nèi)制,以保證系統(tǒng)的穩(wěn)定性;其次,審計人員應(yīng)評價系統(tǒng)存在的風險和可能產(chǎn)生的后果將成為審計的核心工作和基本內(nèi)容,保證信息系統(tǒng)的安全性。應(yīng)根據(jù)審計的標準和準則,評價控制環(huán)境的和IT基礎(chǔ)設(shè)施的安全,確保系統(tǒng)滿足組織的業(yè)務(wù)需要,保護信息資產(chǎn)的安全完整,以防非授權(quán)使用����、泄露、修改�、損壞或丟失;最后,還應(yīng)鑒別信息系統(tǒng)的有效性。內(nèi)部審計必須理解并熟悉操作環(huán)境,了解系統(tǒng)技術(shù)的復(fù)雜性及其對決策的影響;對來自內(nèi)部的安全隱患,采用一定的方法進行系統(tǒng)診斷��、檢驗�、測試,評價其有效性及效率,以支持組織業(yè)務(wù)目標的實現(xiàn)
(三)改善內(nèi)審機構(gòu),提高內(nèi)審人員素質(zhì),培養(yǎng)信息系統(tǒng)審計師
為了信息系統(tǒng)的安全、可靠與有效,由獨立于審計對象的信息系統(tǒng)審計師,以第三方的客觀立場對以計算機為核心的信息系統(tǒng)進行綜合的檢查與評價��。信息系統(tǒng)審計師也稱lS審計師或IT審計師,是指那些既通曉信息系統(tǒng)的軟件和硬件(包括信息系統(tǒng)的開發(fā)、運營��、維護��、管理和安全等),又熟悉經(jīng)濟管理的內(nèi)部審計人才�。
(四)聘請專家進行協(xié)助
內(nèi)部審計人員的知識、技能和經(jīng)驗雖然有助于信息系統(tǒng)的風險防御,但現(xiàn)實中必須承認,在企業(yè)中同時具備計算機技術(shù)和審計專業(yè)知識的人才非常短缺��。再出色的內(nèi)部審計人員可能面臨一些系統(tǒng)內(nèi)的專業(yè)問題卻無法解決,因此有必要聘請外部專家�����?���?梢酝ㄟ^專家的協(xié)助測試運用其專業(yè)技能測試系統(tǒng)安全,進一步防范和解決信息系統(tǒng)風險的存在。
論文關(guān)鍵詞:內(nèi)部審計信息系統(tǒng)風險防范
論文摘要:內(nèi)部控制是社會經(jīng)濟發(fā)展到一定階段的產(chǎn)物,其內(nèi)容在不斷的發(fā)展與變化,而內(nèi)部審計是內(nèi)部監(jiān)督機制的重要組成部分�。目前計算機信息系統(tǒng)已在企業(yè)中廣泛使用,而在內(nèi)部審計過程中如何加強計算機信息系統(tǒng)的風險防范,是企業(yè)內(nèi)部控制過程中迫切需要解決的問題。
企業(yè)信息系統(tǒng)化的運用,原來的手工控制則變?yōu)槭止づc電腦控制相結(jié)合或全部由電腦自動進行控制�����。計算機信息系統(tǒng)的廣泛使用,與技術(shù)管理相對薄弱和稽核監(jiān)督的長期空白已形成了尖銳的矛盾��。信息系統(tǒng)風險控制能力差的現(xiàn)狀,迫切需要我們加強風險管理和監(jiān)控�����。
第7篇
(一)企業(yè)應(yīng)加強內(nèi)部控制
隨著市場經(jīng)濟的深入發(fā)展,企業(yè)逐步成為自主經(jīng)營���、自我約束���、自我發(fā)展、自我完善的商品生產(chǎn)者和經(jīng)營者�。在“優(yōu)勝劣汰、適者生存”的市場經(jīng)濟中,企業(yè)要想真正的做到“自主經(jīng)營����、自我約束、自我發(fā)展�����、自我完善”,必須要加強內(nèi)部控制,建立有效�、完善的內(nèi)部控制制度,這樣才能在一個絕對的高度上,對企業(yè)進行高瞻遠矚的控制,才能做出與時俱進的決策。
(二)內(nèi)部審計是企業(yè)內(nèi)部監(jiān)督機制的重要組成部分
內(nèi)部審計也是企業(yè)內(nèi)部控制的一個重要的組成部分,是監(jiān)督內(nèi)部控制其他環(huán)節(jié)的主要力量���。內(nèi)部審計通過對控制環(huán)境和控制程序的有效性進行監(jiān)督,評估企業(yè)的內(nèi)部控制是否被執(zhí)行,是否及時反饋有關(guān)執(zhí)行結(jié)果的信息,是否幫助企業(yè)更有效地實現(xiàn)預(yù)期控制目標�。同時,在監(jiān)控過程中,內(nèi)部審計可以促進控制環(huán)境的建立和改善,為改進控制制度提供建設(shè)性的意見,為企業(yè)建立健全所需要的內(nèi)部控制水平服務(wù)。在內(nèi)部控制的監(jiān)督過程中,內(nèi)部審計發(fā)揮著越來越重要的作用����。
二、內(nèi)部審計在防范信息系統(tǒng)風險中面臨的問題
(一)信息系統(tǒng)安全管理機制不健全
企業(yè)信息系統(tǒng)風險的存在,很多是由于管理不善或控制不嚴造成的����。一方面,缺乏一套統(tǒng)一的安全策略體系來指導安全管理工作,無法建立系統(tǒng)內(nèi)部明確、全面的安全規(guī)范要求��。從現(xiàn)有管理制度規(guī)范來看,主要存在的問題是可操作性差,條理不清��、重疊或遺漏等;另一方面,現(xiàn)有安全管理制度的管理對象基本是網(wǎng)絡(luò)系統(tǒng)管理員等技術(shù)部人員,管理對象沒有全面涵蓋所有信息系統(tǒng)技術(shù)相關(guān)人員,包括所有網(wǎng)絡(luò)系統(tǒng)上的內(nèi)部終端人員和外部人員����。
(二)內(nèi)部審計在信息系統(tǒng)風險防范中的角色缺乏獨立性
內(nèi)部審計的角色發(fā)生了轉(zhuǎn)變。從傳統(tǒng)的事后審計而逐漸轉(zhuǎn)向事前和事中審計,主動參與內(nèi)部控制系統(tǒng)的建立和完善�。內(nèi)部審計人員即承擔著評價硬件和應(yīng)用信息系統(tǒng)安全的任務(wù),如果又同時有參與了系統(tǒng)的開發(fā)和實施過程,那么內(nèi)部審計人員就卻乏獨立性。反之,如果處于對喪失獨立性的擔心,內(nèi)部審計人員有可能會拒絕參與系統(tǒng)和軟件的開發(fā),那么系統(tǒng)開發(fā)過程中存在的風險又無法得到控制����。
(三)內(nèi)審部門技術(shù)力量薄弱造成對信息系統(tǒng)審計形成風險
審計稽核部門的技術(shù)力量薄弱,不熟悉業(yè)務(wù)系統(tǒng)的流程和功能,對信息系統(tǒng)缺乏必要的認證能力和標準。突出表現(xiàn)為以下幾個方面:一是實施審計稽核的手段和方法沒有得到及時更新,不適應(yīng)信息系統(tǒng)管理的要求,大部分仍停留在手工審計階段;二是審計稽核部門對計算機賬務(wù)系統(tǒng)實施審計的依據(jù)僅依賴于被審計單位提供的打印資料或事后資料,計算機賬務(wù)的真實性審計很難得到保證����。
三、加強風險防范的措施和對策
(一)構(gòu)建信息系統(tǒng)安全管理組織及規(guī)范體系
加強信息系統(tǒng)的自我風險評估體系,讓信息系統(tǒng)的管理和技術(shù)人員在自身的職責范圍之內(nèi)正確識別和評估潛在操作風險,主要包括內(nèi)控制度的查漏補缺、工作流程的整理和規(guī)范�����、應(yīng)急預(yù)案完善和演練等�。同時加強對操作人員的管理,規(guī)范操作程序���。一是加強密碼管理,明確規(guī)定操作人員的權(quán)限,操作員必須在規(guī)定的權(quán)限內(nèi)辦理業(yè)務(wù),用戶口令及密碼必須專人專用,嚴禁公開口令及密碼;二是要建立健全操作員崗位目標責任制,對網(wǎng)絡(luò)操作人員要明確目標任務(wù),規(guī)范操作程序,嚴格落實獎懲制度�。三是要嚴格崗位設(shè)置,不相容職務(wù)進行分離��。嚴禁系統(tǒng)管理人員�、網(wǎng)絡(luò)技術(shù)人員、程序開發(fā)人員和前臺操作人員混崗���、代崗或一人多崗��。四是要加強系統(tǒng)內(nèi)部的稽核監(jiān)督檢查����?;吮O(jiān)督應(yīng)貫穿于網(wǎng)絡(luò)操作的全過程,重點是加強對系統(tǒng)設(shè)計開發(fā)、內(nèi)控管理制度落實��、操作運行等方面的
(二)關(guān)注信息系統(tǒng)的穩(wěn)定性、安全性和有效性審計
首先,審計人員應(yīng)運用用一定的技術(shù)方法識別系統(tǒng)的完整性,該過程包括檢查���、測試����、評估系統(tǒng)的內(nèi)制,以保證系統(tǒng)的穩(wěn)定性;其次,審計人員應(yīng)評價系統(tǒng)存在的風險和可能產(chǎn)生的后果將成為審計的核心工作和基本內(nèi)容,保證信息系統(tǒng)的安全性�����。應(yīng)根據(jù)審計的標準和準則,評價控制環(huán)境的和IT基礎(chǔ)設(shè)施的安全,確保系統(tǒng)滿足組織的業(yè)務(wù)需要,保護信息資產(chǎn)的安全完整,以防非授權(quán)使用����、泄露、修改����、損壞或丟失;最后,還應(yīng)鑒別信息系統(tǒng)的有效性。內(nèi)部審計必須理解并熟悉操作環(huán)境,了解系統(tǒng)技術(shù)的復(fù)雜性及其對決策的影響;對來自內(nèi)部的安全隱患,采用一定的方法進行系統(tǒng)診斷����、檢驗、測試,評價其有效性及效率,以支持組織業(yè)務(wù)目標的實現(xiàn)
(三)改善內(nèi)審機構(gòu),提高內(nèi)審人員素質(zhì),培養(yǎng)信息系統(tǒng)審計師
為了信息系統(tǒng)的安全���、可靠與有效,由獨立于審計對象的信息系統(tǒng)審計師,以第三方的客觀立場對以計算機為核心的信息系統(tǒng)進行綜合的檢查與評價����。信息系統(tǒng)審計師也稱lS審計師或IT審計師,是指那些既通曉信息系統(tǒng)的軟件和硬件(包括信息系統(tǒng)的開發(fā)、運營����、維護、管理和安全等),又熟悉經(jīng)濟管理的內(nèi)部審計人才����。
(四)聘請專家進行協(xié)助
內(nèi)部審計人員的知識��、技能和經(jīng)驗雖然有助于信息系統(tǒng)的風險防御,但現(xiàn)實中必須承認,在企業(yè)中同時具備計算機技術(shù)和審計專業(yè)知識的人才非常短缺����。再出色的內(nèi)部審計人員可能面臨一些系統(tǒng)內(nèi)的專業(yè)問題卻無法解決,因此有必要聘請外部專家?���?梢酝ㄟ^專家的協(xié)助測試運用其專業(yè)技能測試系統(tǒng)安全,進一步防范和解決信息系統(tǒng)風險的存在。
參考文獻:
[1]胡曉明.信息時代的IS審計理論結(jié)構(gòu)構(gòu)建[J].武漢中南財經(jīng)政法大學學報,2006,(3).
