欢迎访问发表云网!为您提供杂志订阅、期刊投稿咨询服务!

it内部审计论文大全11篇

时间:2023-04-20 18:00:34

it内部审计论文

it内部审计论文篇(1)

课题组成员:陈崇跃,徐克勋,朱燕涛,张杏英;

执笔:陈崇跃,朱燕涛。

摘要:随着信息科技的发展,人民银行系统对IT的依存度日增,信息系统风险也接踵而至,内部审计面临新的挑战,IT治理势在必行。为此,本课题组在分析了人行传统的内审已不能适应IT时代审计使命要求的基础上,提出了改革人行内部审计并以此深化央行IT治理的若干建议。

关键词:中央银行;内部审计;IT治理

中图分类号:F830文献标识码:A文章编号:1006-1428(2007)12-0088-02

随着人民银行各项业务与管理活动对IT依存度的日益提高,IT风险渐露端倪,人民银行内审从体制、手段和方式等均面临与IT发展程度相对应的新挑战,央行内审呼唤与IT治理相适应的改革。

一、加强人民银行IT审计促进央行IT治理的必要性。

IT治理大意指合理利用IT资源与适当管理IT相关风险的一种管理模式与机制。IT治理最重要的任务就是保证信息技术与各项业务的有效结合,促进组织收益最大化与风险的最有效控制。如同企业(公司)治理包括了内控管理及其内部审计等制度安排,“IT治理”也涵盖IT审计、信息安全审计、IT服务管理等内容。“IT审计”既是IT治理的组成部分,也是IT治理的促进因素。“IT审计”不仅对信息系统(IS)及其管理制度,还包括对内审自身的IT化建设行使“监督、评价与咨询”职责。

人民银行具有类似商业银行等现代企业的组织架构与业务体系,在管理上同样适用和更需引入“企业治理”与“IT治理”机制。人民银行在组织架构上设立了分支行机构,在业务上也有“存贷款”、“中间业务”、“黄金外汇储备与买卖”等经营性品种。因此人民银行的“业务”系统及其“应用系统”也更为庞大与复杂,日常运营越来越依赖于信息技术的支撑。在这种背景下,人民银行信息系统运行的有效性与潜藏的风险更加不容忽视,建立健全人民银行系统的IT治理及其IT内审机制十分迫切。

二、人民银行系统IT治理与IT审计的现状

在IT治理方面,人民银行表现明显滞后:一是尚未编制出一套适应我国国情的央行IT治理蓝图或规划;二是尚未建立与人民银行组织结构和业务体系及IT应用水平相适应的IT治理组织框架和制度体系;三是尚未建设和培育一支既掌握IT知识又谙熟央行业务的IT治理复合型或“两栖”的人才队伍;四是作为IT治理重要组成部分的IT审计、IT风险控制等监督与保障机制尚不成熟和健全,影响了人民银行IT治理的深化。

在IT审计方面,人民银行信息系统仍没有突破传统内审的窠臼。具体问题与原因:

一是IT审计的理论缺失。IT审计是审计理论的新兴领域,当前有关它的研究尚不够深入,阐述与定义尚不统一,也给IT审计制度的建设和IT审计的实践带来一定程度的混乱。

二是IT审计的制度缺失。人民银行内审司虽制定了《计算机信息系统监督检查工作暂行规定》、《计算机信息系统内部审计规程》等制度,但不是真正意义上的“IT审计”,仅处于信息系统(IS)审计层次,属于一般内控操作制度范畴。

三是IT审计的标准缺失。目前却仍未规划与制定出一套能与国际接轨的抑或有中国特色的IT审计标准与具体行业准则,使目前的IT审计没有明确的方向与标准的轨道。

四是IT审计的队伍缺失。首先,在组织体系上IT审计人员配置不足与结构不合理。其次,人员综合素质不高,既掌握IT知识又熟悉央行业务、懂得金融法律的人力资源十分匮乏。第三,未建立IT审计复合型人才培育机制,使现有人员IT审计素质不能得到应有的提高。

五是IT审计的手段缺失。即IT审计本身缺少信息技术硬件与软件的武装与支持。首先是内审部门计算机及其网络工具与设施配备不足,使目前所开展的IT审计仍停留于现场的、被动的、事后的传统审计形式。其次是业务审计的IT辅助审计应用软件缺乏,内审人员面对全面“数字化”的审计对象,只能望洋兴叹。第三是当前的业务应用系统在设计、开发之初就未考虑接受审计因素,内审人员实施IT审计时没有“合法”接口与取证手段。这些均极大地困扰与制约着IT审计的开展与发展。

三、改革央行内审深化IT治理的政策建议

1、加强IT审计及IT治理的理论研究,为新形势下的央行内审改革提供理论基础。2004年,人行内审司同ITGov(中国IT治理研究中心)合作开展了“IT治理与IS审计模型研究”,对国际通用的IT治理框架和信息系统审计标准“信息与相关技术控制目标”(COBIT)进行了研究,取得初步成果。但是,近年来类似的内审科研仍然偏少,成果不多。当前,国外在这方面的研究与探索均较深入,硕果累累,可以很好借鉴。

2、改革传统的人行内审体制,架构与IT治理相适应的新型内审模式。IT审计的目标是通过实施审计,维护、促进或增强人民银行计算机信息系统合规性、安全性、可靠性、有效性。人民银行已构建了强大的信息传输网络,作为内部审计主要对象的央行业务系统实现了数据大集中,人民银行分支机构业务运营与管理的内涵与外延也发生重大变化,不同层次的央行机构IS更存在鲜明的差异。这就要求央行对传统的内部审计架构进行新的设计,如构建“重心上移、机构下派”的内审新体系。借鉴西方中央银行组织治理模式并与央行IT治理机制相适应,在强调内部审计独立性的同时,注意与IS开发、应用部门的协调一致。采用更灵活的内审方式,如引入市场经济国家“内审社会化”或“内审外包”做法,对人民银行的部分IT审计项目可委托有资质的社会组织开展;提升手段,改革传统的现场审计与人力审计模式,利用计算机网络系统和审计辅助系统实施以“信息技术对抗信息技术”的“非现场审计”和“机器审计”,等等。

3、树立现代内部审计理念,实现内审由合规性监督向评价与咨询服务转变。审计的目的是确保整个组织活动的有效性、效率性、合规性、安全性,使组织“价值增值”。内审由于IT手段的利用及对IS的审计,使内审目标的实现更加可能。因此,人民银行的IT审计不应停滞在查错纠弊的监督阶段,而应要求审计人员树立服务意识,为被审对象提供咨询服务,当好参谋。

4、加快编制我国央行IT治理规划,建立适应人民银行体制的IT审计标准体系和框架。“信息系统审计和控制联合会”(ISACA)已制定了“面向过程的信息系统审计和评价的标准”(COBIT),国际内部审计师协会(IIA)将其作为国际通用的IT审计标准。作为我国央行的人民银行内审也应积极借鉴标准,制定一套适合我国央行特色的IT审计标准与规范,为IT审计开展评价、咨询等活动提供尺度与准绳。

5、开展对新系统开发的审计,实现IS事后审计向全过程审计转变。即在新系统的立项、开发、测试和验收阶段,内审人员就参与其中,对程序开发到应用的全过程从审计的角度进行审慎监督;对系统的审计由事后转变为全过程监督。同时各业务部门在正式培训、推广使用新系统时,应邀请同级审计部门参加培训学习。对新系统开发审计时,应对新系统的今后可审计操作性提出要求,防止系统出现“拒审”等情况的发生。

6、加强IT审计队伍建设,提高央行内审从业人员综合素质。一是吸收计算机专业人员,把他们培养成审计人员;二是对现有审计人员开展IT知识培训和继续教育,培养成IT审计师;三是建立激励机制,推行IT审计师持证上岗制度,鼓励内审人员学习和钻研计算机知识,考取国家计算机资格等级证书,有条件的通过国际IT审计师资格认证。

(七)加强计算机辅助审计软件开发与应用,推进IT审计信息化建设。

参考文献:

[1]《内部审计思想》 (美)Andrew D.Bailey, (美)Audrey A.Gramling, (美)Sridnar Ramamoorti著;王光远等译,中国时代经济出版社,2006;1

it内部审计论文篇(2)

当前IT系统越来越多地对业务经营活动进行自动化处理,这就需要IT提供必要数量的控制程序。因此,遵循萨班斯法案的程序需要包括基于IT系统的控制程序。对大多数企业而言,IT在建立与保持有效的财务报告内部控制方面将发挥重要作用。通过运用整合的ERP系统,或综合运用各种经营管理、财务管理方面的软件,IT系统将为有效的财务报告内部控制系统提供强有力的支持。

PCAOB第二号审计标准要求了解IT在内部控制环境中的重要性。它特别指出:公司在其信息系统中运用信息技术的状况,影响着公司财务报告的内部控制。

目前我国四大电信运营商全部在美国上市,他们现在正在构建法案要求的内控系统,IT内部控制系统构建及评审是无法绕过的工作。完善内控,特别是电信企业信息化水平很高、业务流程依赖于IT流程的背景下,重视IT内部控制,完善IT内部控制十分迫切。本文讨论我国公司如何依据法案的要求在短时间内构建一套IT内控系统, 并通过有效的IT内控评价活动保证其持续健全有效, 以支持CEO 和CFO 的承诺进行初步探讨。

一、萨班斯法案的要求

世通公司造假案件和安然、安达信事件震惊了整个世界, 美国政府认为这是公司上下串通、内外勾结的严重结果, 所以法案对公司治理、内部控制及外部审计同时做出了严格的要求。明确规定要求建立独立称职的审计委员会,管理层要负责内控系统的完善和落实,并对财务报告的真实性负刑事责任 .综观整个法案, 最主要的是对公司内控系统的要求, 主要体现在302条款和404 条款。法案对公司内控系统不但规定严格, 而且实施要求和指南也在相续出台, 如SEC 于2003年6月5日根据法案的要求颁布了404条的细化条例, PCAOB于2004 年3月9日第2号审计准则, 对公司管理层提出了更明确的要求。

1、302条款的要求:

该条款要求由首席执行官和财务主管在内的企业管理层,对公司财务报告的内部控制按季度和年度就以下事项发表声明(予以证实):

对建立和维护与财务报告有关的内部控制负责。

设计了所需的内部控制,以保证这些官员能知道该公司及其并表子公司的所有重大信息,尤其是报告期内的重大信息;

与财务报告有关的内部控制的任何变更都已得到恰当的披露,这里的变更指最近一个会计季度已经产生,或者合理预期将对于财务报告有关的内部控制产生重大影响的变更。

在当前环境下,IT系统驱动着财务报告流程。诸如ERP之类的IT系统紧密地贯穿于企业经济业务的开始、授权、记录、处理和报告一整套过程中。就其本身而言,IT系统和整个财务报告流程也是紧密联系的,为了遵循萨班斯法案,也要对IT内部控制的有效性予以评估。

为强调这一点,PCAOB第2号审计标准讨论了IT以及IT在测试内部控制设计合理性及运行有效性时的重要意义,并强调指出:[部分]

…内部控制,包括与财务报告中所有重要账户及披露内容相关的控制政策与程序,都应该予以测试。

一般而言,这样的控制包括IT一般控制,以及其他控制所依赖的控制。

2、404条款管理要求

萨班斯法案的404条款要求,管理层在其年度文件中提供关于与财务报告有关的内部控制的年度评估报告。管理层的年度报告要求包括以下内容:

管理层有责任为企业建立和维护恰当的财务报告有关的内部控制。

识别管理层所采用的内部控制框架以便按要求评估公司与财务报告有关的内部控制的有效性。

对从一上个会计年度未以来,与财务报告有关的内部控制的有效性予以评估,其内容也包括有关与财务报告有关的内部控制是否有效的公开声明。

年度审计报告中,注册会计师事务所发表的财务审计报告,包括管理层对与财务报告有关的内部控制有效性评估的证明报告。

管理层关于公司针对财务报告内部控制有效性评估的书面结论,应包含在其对财务报告内部控制的报告和其对审计师的信函中。这一书面结论可采取多种形式,但是管理层对公司面向财务报告的内部控制的有效性必须发表直接意见

如果与财务报告有关的内部控制中有一个或多个重要缺陷,管理层将不能对财务报告的内部控制有效性做出评估结论,而且,管理层应该披露自最近一个会计年度未以来财务报告内部控制方面的所有重要缺陷。

面向财务报告的内部控制在这一会计期间可能存在一个或多个重要缺陷,但管理层仍可能会报告“从最近一个会计年度未起(上个会计年度未起),与财务报告有关的内部控制是有效的”。如果要做出这样的结论,管理层必须在评估日前已经改进了内部控制,消除了已有的缺陷,并在运行和测试其有效性后得到了满意的结果,测试的时间足以让管理层认为,从本会计年度起,与财务报告有关的内部控制设计合理、运行有效。

审计师需要合理地确定管理层的认定目标或审计目的(从而依此来收集审计证据),以支持管理层对内部控制有效性的评估结论。通过对审计师在这一过程中所应遵循程序的描述,PCAOB第二号审计标准接着指出:

公司在对财务报告做出确认时需要借助于企业的IT系统。为了识别管理层对财务报告所作的相关认定,审计师应考虑每个重要账户潜在错报、漏报产生的原因。在决定一个认定是否与某一重要账户余额或其披露相关时,审计师应该评价IT系统的性质、复杂程度以及企业IT的使用状况。

it内部审计论文篇(3)

当前it系统越来越多地对业务经营活动进行自动化处理,这就需要it提供必要数量的控制程序。因此,遵循萨班斯法案的程序需要包括基于it系统的控制程序。对大多数企业而言,it在建立与保持有效的财务报告内部控制方面将发挥重要作用。通过运用整合的erp系统,或综合运用各种经营管理、财务管理方面的软件,it系统将为有效的财务报告内部控制系统提供强有力的支持。

pcaob第二号审计标准要求了解it在内部控制环境中的重要性。它特别指出:公司在其信息系统中运用信息技术的状况,影响着公司财务报告的内部控制。

目前我国四大电信运营商全部在美国上市,他们现在正在构建法案要求的内控系统,it内部控制系统构建及评审是无法绕过的工作。完善内控,特别是电信企业信息化水平很高、业务流程依赖于it流程的背景下,重视it内部控制,完善it内部控制十分迫切。本文讨论我国公司如何依据法案的要求在短时间内构建一套it内控系统, 并通过有效的it内控评价活动保证其持续健全有效, 以支持ceo 和cfo 的承诺进行初步探讨。

一、萨班斯法案的要求

世通公司造假案件和安然、安达信事件震惊了整个世界, 美国政府认为这是公司上下串通、内外勾结的严重结果, 所以法案对公司治理、内部控制及外部审计同时做出了严格的要求。明确规定要求建立独立称职的审计委员会,管理层要负责内控系统的完善和落实,并对财务报告的真实性负刑事责任 .综观整个法案, 最主要的是对公司内控系统的要求, 主要体现在302条款和404 条款。法案对公司内控系统不但规定严格, 而且实施要求和指南也在相续出台, 如sec 于2003年6月5日根据法案的要求颁布了404条的细化条例, pcaob于2004 年3月9日第2号审计准则, 对公司管理层提出了更明确的要求。

1、302条款的要求:

该条款要求由首席执行官和财务主管在内的企业管理层,对公司财务报告的内部控制按季度和年度就以下事项发表声明(予以证实):

对建立和维护与财务报告有关的内部控制负责。

设计了所需的内部控制,以保证这些官员能知道该公司及其并表子公司的所有重大信息,尤其是报告期内的重大信息;

与财务报告有关的内部控制的任何变更都已得到恰当的披露,这里的变更指最近一个会计季度已经产生,或者合理预期将对于财务报告有关的内部控制产生重大影响的变更。

在当前环境下,it系统驱动着财务报告流程。诸如erp之类的it系统紧密地贯穿于企业经济业务的开始、授权、记录、处理和报告一整套过程中。就其本身而言,it系统和整个财务报告流程也是紧密联系的,为了遵循萨班斯法案,也要对it内部控制的有效性予以评估。

为强调这一点,pcaob第2号审计标准讨论了it以及it在测试内部控制设计合理性及运行有效性时的重要意义,并强调指出:[部分]

…内部控制,包括与财务报告中所有重要账户及披露内容相关的控制政策与程序,都应该予以测试。

一般而言,这样的控制包括it一般控制,以及其他控制所依赖的控制。

2、404条款管理要求

萨班斯法案的404条款要求,管理层在其年度文件中提供关于与财务报告有关的内部控制的年度评估报告。管理层的年度报告要求包括以下内容:

管理层有责任为企业建立和维护恰当的财务报告有关的内部控制。

识别管理层所采用的内部控制框架以便按要求评估公司与财务报告有关的内部控制的有效性。

对从一上个会计年度未以来,与财务报告有关的内部控制的有效性予以评估,其内容也包括有关与财务报告有关的内部控制是否有效的公开声明。

年度审计报告中,注册会计师事务所发表的财务审计报告,包括管理层对与财务报告有关的内部控制有效性评估的证明报告。

管理层关于公司针对财务报告内部控制有效性评估的书面结论,应包含在其对财务报告内部控制的报告和其对审计师的信函中。这一书面结论可采取多种形式,但是管理层对公司面向财务报告的内部控制的有效性必须发表直接意见

如果与财务报告有关的内部控制中有一个或多个重要缺陷,管理层将不能对财务报告的内部控制有效性做出评估结论,而且,管理层应该披露自最近一个会计年度未以来财务报告内部控制方面的所有重要缺陷。

面向财务报告的内部控制在这一会计期间可能存在一个或多个重要缺陷,但管理层仍可能会报告“从最近一个会计年度未起(上个会计年度未起),与财务报告有关的内部控制是有效的”。如果要做出这样的结论,管理层必须在评估日前已经改进了内部控制,消除了已有的缺陷,并在运行和测试其有效性后得到了满意的结果,测试的时间足以让管理层认为,从本会计年度起,与财务报告有关的内部控制设计合理、运行有效。

审计师需要合理地确定管理层的认定目标或审计目的(从而依此来收集审计证据),以支持管理层对内部控制有效性的评估结论。通过对审计师在这一过程中所应遵循程序的描述,pcaob第二号审计标准接着指出:

公司在对财务报告做出确认时需要借助于企业的it系统。为了识别管理层对财务报告所作的相关认定,审计师应考虑每个重要账户潜在错报、漏报产生的原因。在决定一个认定是否与某一重要账户余额或其披露相关时,审计师应该评价it系统的性质、复杂程度以及企业it的使用状况。

pcaob第2号审计标准还专门讲述了it在期末财务报告中运用,它指出:…要了解期末财务报告的提供过程,审计师就应在每一会计期末评估it在该过程中的应用范围。………[部分]

因此所有企业构建it内部控制至少都应具备以下三层通用要素:企业管理层,业务流程和共享服务。

二、我国电信运营企业面临的挑战

由于电信企业的信息化水平比较高,业务对it的依赖程度也比较高。因此依照萨班斯法案要求,完善与财务报告有关的内部控制时,电信企业的内部控制几乎离不开it,即使业务控制也是在it支持环境下的控制。因此,电信企业完善内部控制几乎可以说是完善it内部控制,包括it一般控制和it应用控制。但我们的现状不容乐观。

1. it专业人士,尤其是管理层,缺乏内部控制理论与实践来满足萨班斯法案的要求。

法案的要求使很多人认为,it专业人士应该对其负责的it系统所产生的信息质量及完整性负责,但问题在于,大多数it专业人士对复杂的内部控制并不精通或了解,难负其责。尽管这并不说明it人员没有参与风险管理,但至少it管理层没有按照组织管理层或审计师所要求的形式进行正式的、规范化的风险管理。 pcaob指出首席信息官(cio)们现在必须面对以下的挑战:(1)增强他们有关内部控制方面的知识;(2)理解企业所制定的总的sox遵循计划;(3)专门针对it控制拟定一个遵循执行计划;(4)把这个计划与总体的sox遵循计划相整合。

2 缺乏系统的内部控制制度

事实上,每个电信企业都或多或少会都有一些it内部控制制度,正是由于第一点原因,这些制度基本是由技术管理者制定,他们缺乏规范化风险管理的经验,这些it控制制度可能不太规范,控制政策程序不太完善, it控制制度一般存在于系统安全和变更管理等一些一般控制领域,缺乏从公司透明度角度出发的、结合支持业务流程的完整的内部控制制度。所以这也是在国内企业在符合萨班斯法案的道路上,问题最多的领域。

it内部审计论文篇(4)

科技的迅猛发展已经给整个社会的经济管理活动造成了巨大影响。IT审计是在原来传统审计的财务审计和管理审计基础上,由于科学技术向经济管理领域的渗透而产生的。然而,到目前为止,IT审计在本质上并不是独立于财务审计和管理审计的第三大审计分支,而是其中的一类审计形态,其原因在于网络环境的复杂性、实际操作的复杂性、与传统审计的融合程度等因素都制约着IT审计的发展,本文旨通过比较,将两者有机结合,从而提高IT审计质量,拓展IT审计技术方法在企业审计中应用的深度和广度,促进企业在审计上的变革。

一、 IT审计与传统审计在重大方面上是一致的

(一)IT审计与传统审计在基本概念及程序上大体一致

“独立性与客观性”、“权威性与公正性”等传统审计的基本概念在IT审计中得到了很好的体现。另外,IT审计独立于信息系统本身、信息系统相关开发、使用人员,由IT审计师依据法律规定,采用客观标准独立行使审计监督权,这与审计的“独立性与客观性”完全相同。同时,国际信息系统审计和控制协会(ISACA)对实行审计制度、建立审计机关以及审计机构的地位和权力都做了明确规定,这样使审计组织具有法律的权威性,其与公正性相辅相成。

(二) IT审计体系与传统审计体系结构基本一致

传统审计体系在逻辑结构上具有较强的严密性,“基本准则―具体准则―实务指南”是由抽象到具体的逻辑规则,这是会计准则、注册会计师鉴证业务准则等专业标准规范的常用结构,这使审计后续的具体工作便于寻找相应的准则条款,为审计工作提供便捷之处。IT审计所表述的“标准―指南―程序”准则框架在字面上与传统审计体系没有太大差别。其标准反应了信息系统领域的纲领性问题,指南是标准的具体化,程序则是一些工作规范,这与传统审计体系的三个层次是一一对应的。

从审计体系涵盖的内容上来看,传统审计内容的绝大多部分都包含在了IT审计体系的范畴之内。但是,相对于ISACA系会下的准则部制定的IT系统审计准则而言,我国的IT系统审计准则体系还不够完整,尚有若干项准则没有涉及,这应该在我国IT审计未来项目计划中予以考虑。

二、 IT审计具体内容方面存在两点点创新

(一) 安全性审计

在传统审计中,对于被审计对象的安全问题鲜有涉及,而信息的安全性问题关系到企业的生存与发展,是保持企业健康可持续发展的重要保障。IT审计中对于安全性审计做了详细的规范。安全性审计的主要目的就是审查企业信息系统和电子数据的安全隐患。一个存在安全隐患的信息系统很难为审计人员提供真实可靠的信息,因此安全性审计也是真实性审计的前提。

(二) IT审计的软件测试方法与电子取证方法

审计方法贯穿于整个审计过程当中,而不只是存在于某一审计阶段或某个环节。随着IT审计系统实践的丰富与IT审计理论的发展,IT审计处理运用传统审计的方法外,还大量借鉴了计算机学科的一些方法为我所用。其中“软件测试方法”是IT系统审计的重要方法之一,较为经典的测试方法是黑盒测试与白盒测试。另外,某些会计数据和其他信息只能以电子形式存在,或只能在某一时点或期间得到①,在IT审计时对于这些电子数据的获取极为重要,需要确保IT审计人员发掘和收集充足可靠的电子证据,最终生成审计报告。

三、完善IT审计体系还应借鉴传统审计

(一)借鉴传统审计中的绩效审计,加强其实践可行性

传统审计将审计的真实性、合法性和效益性作为审计的目标。为适应建立市场经济的需要,审计机关从2001年以前主要从事的真实、合法性审计到90年代初期,审计机关对国有企业的审计开始向检查内部控制和经济效益两方面的延伸,绩效审计的重要性逐步凸显。②由于IT项目的功能复杂性、结构庞大性、周期延长性,使得IT绩效审计很难准确地评价如此综合性的IT项目效果,如何完善IT绩效审计在实践上的可行性是摆在我们面前的一项重要任务。

IT绩效审计应充分借鉴传统绩效审计中的经济性、效果性、效率性特征,围绕这“三性”进行展开。在“经济性”上,为了以最低的资源耗费获得一定数量和质量的产出,可以通过多方面的改良提高其节约程度。如美国Gartner Group Inc公司研发的ERP系统,其自动化程度很好,从而提高了IT绩效审计的科学性与可行性,避免不必要的开支。在“效果性”上,力图在IT项目上实现绩效监控动态化,为企业提供丰富的管理信息,并在企业管理和决策过程中发挥作用,动态监控管理绩效变化,及时反馈和纠正出现的问题。在“效率性”上,提高企业物流、资金流、信息流一体化管理的效率并且要善于管理信息系统,对信息系统应用价值的实现是IT绩效审计的最重要方面。

(二)借鉴传统审计的风险管理,发挥其制约性作用

《企业内部控制基本规范》把“应当关注研究开发、技术投入、信息技术运用等自主创新因素”列为企业识别内部风险时应当关注的六个因素之一。③伴随IT而来的风险、利益和机会使得IT风险管理成为企业管理的重要内容,也是IT审计中应该完善的部分。

借鉴传统审计对于企业风险管理中风险评估、控制与防范的流程,结合IT风险管理的环境特殊性,程序复杂性和数据多样性等特点,对IT审计中的风险管理应按照“识别信息资产―威胁的量化和定性―评估漏洞―改进控制差距―管理剩余风险”的流程进行。首先,识别组织业务职能并确定每个流程的信息敏感度。然后识别流程的每一个组成部分的现有控制措施,按严重程度将控制差距分类。最后,通过风险等级、成本和有效性的选择,创建风险基准线,以便日后定期重新评估风险所用。

四、 总结

通过对IT审计与传统审计的比较研究,我们发现:在基本内容、程序和体系结构等方面,传统审计与IT审计是协调的。在IT审计的软件测试方法与电子取证方法上,较传统审计来说有其先进性。但是IT审计的不完善性也是显而易见的,可以在绩效审计、风险管理等方面借鉴传统审计的优点,逐渐使IT审计广泛应用于我国的审计行业之中。通过传统审计带动IT审计的方式,使IT审计取其精华,去其糟粕,逐渐发展成为审计行业的新锐力量,是我国亟待努力的方向。

注解:

① 审计准则第1301号:审计证据

② 蔡春,刘学华.绩效审计论[M],北京:中国时代经济出版社,2006

③ 陈耿,韩志耕,卢孙中.信息系统审计、控制与管理[M],2014

参考文献:

[1] 肖杰浩著.Oracle 10g 数据库安全策略研究[M],计算机科学技术,2004.

[2] 陈耿,韩志耕,卢孙中著.信息系统审计、控制与管理[M],清华大学出版社,2014.

[3] 于海霞,我国IT审计面对的挑战[J],中国管理信息化,2011.

it内部审计论文篇(5)

随着信息技术的兴起,信息系统已经渗透到社会生活的方方面面,它在给人们带来便利与效益的同时,也带来了很多负面影响,如计算机犯罪案件的频频发生等,系统安全问题日益严峻。于是一个不容回避的问题——我国企业如何有效地开展信息技术审计(Information Technology Audit,以下简称IT审计),保证信息系统安全,摆在我们面前。本文拟对此进行探讨。

一、IT审计的定义及其特点

IT审计是指对信息系统从计划、研发、实施到运行维护各个过程进行审查与评价的活动,以审查企业信息系统是否安全、可靠、有效,保证信息系统得出准确可靠的数据。由以上定义可知,IT审计的目标是保证IT系统的可用性、安全性、完整性和有效性,最终达到强化企业内部控制的目的。

该审计过程具有以下特点:

1.IT审计是一个过程。它通过获取的证据判断信息系统是否能保证资产的安全、数据的完整和组织目标的实现,它贯穿于整个信息系统生命周期的全过程。

2.IT审计的对象综合且复杂。IT审计从纵向(生命周期)看,覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务;从横向(各阶段截面)看,它包含对软硬件的获取审计、应用程序审计、安全审计等。IT审计将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。

3.IT审计拓宽了传统审计的目标。传统审计目标仅仅包括“对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见”;但IT审计除了上述目标外,还包括信息资产的安全性、数据的完整性及系统的可靠性、有效性和效率性。

4.IT审计是一种基于风险基础审计的理论和方法。IT审计从基于控制的方法演变为基于风险的方法,其内涵包括企业风险管理的整体框架,如内部环境的控制、目标的设定、风险事项的识别、风险的评估、风险的管理与应对、信息与沟通以及对风险的监控。

二、我国IT审计面对的挑战

IT审计和传统审计相比具有的上述特点是吸引我国众多企业引入IT审计的重要原因,但是这种方法的应用又会给企业提出巨大的挑战。

1.传统审计线索的消失。在手工会计环境下,审计线索主要来自于纸质原始凭证、记账凭证、会计账簿和会计报表,这些书面数据之间的勾稽关系使得数据若被修改可辨识出修改的线索和痕迹,这就是传统审计线索的基本特征。但是现在计算机网络信息系统中这些数据直接记录在磁盘和光盘上,无纸张记录,审计人员用肉眼无法直接看到这些数据如何记录,且非法修改删除原始数据也可以不留篡改的痕迹,从而为舞弊人员作案留有可乘之机。尽管许多审计机构要求已实现会计信息化的企业将所有原始凭证、记账凭证、账簿、报表打印输出,使用绕开计算机系统的审计方法,并以打印出的证、账、表作为基本审计的线索和依据。但是如果原始数据在业务发生时就被有意篡改,则其派生的记账凭证金额和账户余额及报表数据也一定会出错,打印出的数据也不能作为审计证据。因此即使打印出所有电子数据,传统审计线索也会在计算机信息系统下完全消失。

2.计算机信息系统的数据安全面临挑战。手工信息处理的环境下,审计人员无须将数据和会计信息的安全性问题作为审计的重要内容,但是在IT审计的工作中,网络电子交易数据的安全是关系到交易双方切身利益的关键问题,也是企业计算机网络应用中的重大障碍和审计的首要问题。例如计算机病毒的破坏、黑客用 IP地址欺骗攻击网络系统来获取重要商业秘密、内部人员的计算机舞弊、数据丢失等,都是传统审计从未涉及的,但又是IT审计的重点,这对当前我国的审计工作无论是操作系统,还是制度建立等众多方面都是一个很大的挑战。 转贴于

3.IT审计专业人才匮乏,适应IT审计事业发展的人才培养和管理机制还有待建立和健全。由于IT审计固有的复杂性,这项工作需要具备会计、审计、组织管理和计算机、网络技术等综合知识的人才,而且工作人员需要对内部控制和审计有深刻的理解,对信息和网络技术有敏锐的捕捉能力,在我国获得注册信息系统审计师资格的人数远远不能满足信息系统审计业务的需求。

三、我国IT审计应对策略

面对上述挑战,我们应当多方位、多角度制订措施,使IT审计工作更好地为我国企业发展做出贡献。具体措施如下:

1.审计线索的重建。根据计算机网络系统容易在不同地方同时形成相同“原本”数据的特点,可以重建电子审计线索:在电子化的原始数据形成时,同时在审计机构(包括内审机构)和关系紧密(签字确认)的部门形成原始数据的“原本”,或在不同部门各自形成相关的数据库(特别应当包括数量、金额和单价等主要数据项),这样不仅可以相互监督和牵制,还给计算机审计提供可信的审计线索。这种保留审计线索的方法,一方面成为有力的控制手段,另一方面可从审计线索中发现疑点。这种方法主要是应用专用的审计比较软件,同时将几个部门的同一种数据库进行自动比较形成有差异的数据记录文件,详细审查相关的数据文件和访问有关的当事人,从而取得有力的审计证据。上述比较审计方法是在不同部门同时形成业务数据文件的情况下应用,如果企业业务数据分离存放,如销售合同与销售发票、提货单在不同的部门保存,这种实质性测试也可采用比较审计法,应用专用的审计软件,结合相关的几个业务数据文件进行比较,查出有错误疑点的记录。

2.确保信息系统的信息安全。为了保证信息系统的信息安全,IT审计工作人员要在审计过程中评价企业的防火墙技术、网络系统的防病毒功能、数据加密措施、身份认证和授权的应用实施情况,通过面谈实地审查企业安全管理制度建立和执行的情况,查看企业是否为了预防计算机病毒,对外来的软件和传输的数据经过病毒检查,业务系统是否严禁使用游戏软件,以及是否配置了自动检测关键数据库的软件,使异常及时被发现;检测企业是否为了防范黑客入侵,网络交易的数据库采用离散结构,同时在不同的指定网点(如在交易的双方)形成完整的业务数据备份供特殊使用(如审计和监控);此外IT审计人员还要注意检查企业的信息系统岗位责任实施、安全日志制度,审查有关计算机安全的国家法律和管理条例的执行情况。

3.建立一支完备的IT审计专业人才队伍。IT审计的发展必须有一大批专业化的IT审计人才,这就要求我们要采取短期培训和长期培养、操作层面上的培训与高层次人才的培养、在职人员培训与未来人才培养相结合的方法将这支队伍逐渐发展起来。此外我国可以从现有的审计队伍中选拔人员进行专门的信息系统审计培训,并考虑在注册会计师的资格考试和审计师职称考试中逐步加入计算机、信息系统和网络技术等与信息系统审计有关的内容,以及加强对从事信息化咨询的IT技术人员的会计与审计知识的培训。为了培养未来审计人员,应在高校会计、审计专业教学计划中增加信息技术和电子商务等内容,也可以考虑在高校中开设信息系统审计专业,直接培养信息系统审计专业人才。

当前我国IT审计正处于起步阶段,和传统审计相比,IT审计的显著特点决定了其势在必行,但是一种新的方法的引入和实施必定会给企业和审计人员带来巨大的挑战,面对种种挑战我们应采取积极措施,迎难而上,使IT审计工作不断发展完善。

主要参考文献

[1]张茂燕. 论我国的信息系统审计[D]. 厦门:厦门大学,2005.

[2]陈朝.我国信息化建设中信息系统审计问题研究[D].长春:东北师范大学, 2006. 转贴于

[3]邓少灵. 企业IT审计的框架[J].中国审计,2002(1).

[4]李健,朱锦淼,王晓兵. IT审计——人民银行内审面临的新挑战[J].金融理论与实践,2003(6).

it内部审计论文篇(6)

一、IT审计的本质、目标与方法

 

(一)IT审计的概念和本质

 

随着信息化建设的不断深入,信息系统本身的安全性、合法性、有效性和可靠性成为影响企业风险控制的重要因素,也因此带来了对信息系统进行审计的需求。IT审计是指根据公认的标准和指导规范对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程,以确认预定的业务目标得以实现。认为,IT审计是一个获取证据,对信息系统是否能保证资产的安全、

 

数据的完整以及是否有效地使用了组织资源并有效地实现了组织目标做出评价和判断的过程。胡克瑾(2002)指出,IT审计是指对以计算机为核心的信息系统的审计。李会太等(2002)认为,IT审计实质上是对计算机软件和硬件及整个信息系统的审计,IT审计是技术审计的一个典型。

 

(二)IT审计的目标

 

IT审计以企业或政府等组织的信息系统为审计对象,通过现代的审计理论和IT管理理论,从信息资产的安全性、数据的完整性以及系统的有效性和效率性等方面出发,对其是否能够有效可靠地达到组织的战略目标进行全面的监测和评估,并为改善和健全组织对信息系统的控制提出详细的建议。基于IT的连续审计能使企业信息系统获得免疫,确保企业资产的安全系统的有效性和效率性以及数据的完整性。

 

(三)IT审计的方法

 

在审计方法上,目前国内主要还是借鉴国际上IT治理框架和方法,比如COBIT标准(1996年是C〇BIT1.0,2012年已更新至COBIT5.0版本)、ISO系列标准、ITIL、COSO框架等。这些协议有不同的控制重点,COBIT的审计范围几乎涵盖了所有与IT相关的活动,COS◦则侧重于企业自身内部控制,ITIL着重于IT系统的交付和支持等。目前,IT审计的开展可以采取基于独立的外部审计(独立执业的信息系统审计师,如CISA)、企业内部审计(企业内审部门的成员)以及作为财务审计的支撑(注册会计师事务所的IT审计机构,财务审计小组的IT控制专家)三种形式进行。通常,IT审计的成果可以是独立的IT审计报告,也可以作为注册会计师审计报告的一部分进行披露。

 

二、IT审计是会计信息化的内在要求

 

(一)IT审计是会计信息化风险控制的需要

 

会计信息系统(AIS)是企业管理信息系统的敏感地带,会计信息系统的风险控制是企业风险控制的重中之重。近年来因信息系统漏洞问题导致的案件屡见不鲜,信息系统的风险,如账务数据被销毁、巨额资金遭挪用而未被发现、银行交易系统存在漏洞,对业务操作中明显违反业务逻辑的操作没有任何控制防范功能等,对社会经济的运行危害巨大。一般地,会计信息化的风险来源于会计信息系统内部和外部的各种漏洞和威胁。会计信息化过程中的漏洞(技术漏洞、业务流程漏洞、管理控制漏洞)和IT环境中的威胁(攻击、篡改、窃取),导致会计信息化面临各种安全问题。为了避免问题的产生,控制风险,需要对技术、业务、管理控制等进行统一的全方位的防范。IT审计通过获取与AIS控制和保证措施相关的证据,评估AIS控制的有效性、评价会计信息化绩效及会计信息化战略与业务目标的符合程度。CISA(注册信息系统审计师)针对会计信息系统的IT审计与传统的CPA(注册会计师)针对财务报表的财务审计以及针对经济管理的管理审计是并行不悖的,企业会计信息化环境下,IT审计既是财务审计、管理审计的基础,又是财务审计和管理审计的补充,它们共同对会计风险负责。IT审计对被审计单位会计信息系统的安全性、可靠性、有效性和效率性进行识别和评估,实现对会计信息化风险的控制。

 

(二)IT审计是会计信息化社会和行业监管的需要

 

CPA审计的工作重点往往集中于财务数据审计,而忽视了对财务数据进行收集、记录、存储、处理、分析与输出的会计信息系统(AIS)的审计。然而,会计数据是AIS的产出,信息系统对数据的真实性、完整性以及数据分析的可靠性有重要影响。同时,针对AIS的入侵和犯罪也越来越多,AIS本身的漏洞会带来巨大损失,IT风险日益严重。基于此,各国政府和组织认识到AIS本身的合法性、可靠性、安全性和有效性是首先要被审计的。IT审计成为会计信息化接受外部监管的内在需要。

 

在国外,1969年美国的计算机犯罪案件导致了后来的世界上第一个电子数据处理审计组织一一EDP审计师协会(EDPAA)的产生;1994年EDPAA更名为信息系统审计与控制协会,ISACA是一个非牟利的独立组织,工作内容除了主办国际会议、出版《国际信息系统审计期刊》、制定国际公认的信息系统的审计与监控标准,还推出各项全球公认的专业认证注册信息系统审计师。目前,CISA正在会计信息化监管中扮演着日益重要的角色。

 

1999年审计署颁布了独立审计准则第20号一一《计算机信息系统环境下的审计》,对CPA基于会计信息化的审计工作做了要求。2001年,国务院办公厅颁布了〈关于利用计算机系统开展审计工作的通知》。《通知》规定,审计机关有权审查被审计单位包括财务会计系统在内的计算机管理信息系统;审计机关发现被审计单位的计算机管理系统不符合法律、法规和政府有关主管部门的规定、标准的,可以责令其更正发现故意使用舞弊功能的计算机管理信息系统的,要依法追究有关单位和人员的责任。与此同时,国家标准《信息技术:会计核算软件数据接口》(GB/T19581—2004)于2005年1月1日起生效,进一步从法律规范和技术手段上为计算机在会计审计中的应用奠定了基础。

 

(三)IT审计是会计信息化体系的重要组成部分

 

杨周南(2003)在《论会计管理信息化的ISCA模型》一文中提出,会计信息化的工作内涵或称“会计信息化”的体系结构应由三大部分组成:⑴建立和实施IT环境下的会计信息系统(AIS);(2)确保AIS安全有效运作的系统内控制度;(3)开展对AIS及其内控制度的审计,以最终达到对AIS安全、可靠、有效和高效地应用。上述体系结构称为ISCA(InformationSystem,ControlandAuditing)模型图1)。ISCA模型是融AIS、内控制度和IT审计于一体的会计信息化体系结构,它成为我国会计信息化理论研究的基本框架。企业AIS在建设和运行过程中面临着各种风险,会计信息化通过IT审计可以发现信息系统本身及其控制环节的不足之处,并及时改进与完善,使信息系统在企业的经营管理中有效发挥作用。会计信息化中的IT审计包括计算机硬件和网络设备审计、服务器审计、操作系统和系统软件审计、程序和应用系统审计、数据和数据库系统审计、会计信息系统开发审计、会计信息系统运行审计、会计信息系统维护与升级审计等。IT审计是会计信息化体系中风险控制、确保和审查AIS有效实施的重要手段,是会计信息化体系的免疫系统。

 

(四)IT审计是开展会计信息化IT治理、实施会计信息化鉴证与评价的需要

 

信息时代的公司治理以IT为支撑,成功的企业已经意识到企业高层需要像重视业务一样重视IT,IT治理已成为公司治理的一部分。IT治理是企业为获得有效的IT应用,同时平衡IT及其流程中的风险和收益,增加价值,确保实现企业目标而采取的有效机制。IT审计是IT治理架构的重点要素,IT治理通过IT审计不断促进调整IT控制环境,使组织在风险可识别、可控、可管理的环境下保证组织利益最大化。会计信息化是企业信息化的重要内容,企业开展会计信息化的同时,必须遵循IT治理的框架和方法开展IT审计。ISACA近期的COBIT5中的《审计指南》为IT审计师对组织的会计信息系统进行分析、评估、实施、审计等提供了建议和指导。

 

IT审计同时又是实施会计信息化鉴证和评价的需要。会计信息化实施过程中,IT审计机构和IT审计师对被审计单位的会计信息系统及会计信息化建设进行检查和验证,对被审计单位会计信息系统的安全性、可靠性、有效性及效率进行审查和评价,并发表审计意见,出具书面证明,以便为审计授权人或委托人提供确切的信息,并取信于社会公众,从而为会计信息化提供鉴证职能。另一方面,IT审计机构和IT审计师对被审计单位的会计信息系统及会计信息化应用进行审查,并依据一定的标准对所查明的事实进行分析和判断,形成基于事实的评定或基于改善管理、提高效率的建议,这是IT审计为会计信息化提供的评价职能。

 

三、会计信息化IT审计的目标、内容和实施条件

 

(一)会计信息化IT审计的目标

 

会计信息化中的IT审计主要以会计信息系统为审计对象,围绕会计信息系统的IT资源、运行环境及系统的生命周期全过程,对被审计单位会计信息系统的安全性、可靠性、有效性及效率性进行审查和评价,并发表审计意见。会计信息化IT审计的目标。

 

(二)会计信息化IT审计的内容

 

会计信息化IT审计的内容包括相互联系而又相对独立的三个方面:会计信息系统本身的审计;会计信息化环境审计;会计信息系统数据的审计。会计信息系统的审计是指会计信息系统本身硬件和软件的

 

基于物理和逻辑的审计,以及基于软件生命周期的会计信息系统各阶段的过程审计。会计信息化环境的审计是指会计信息系统运行的外部环境(如防火墙、防止黑客攻击、备份制度等)及会计信息系统运行的内部环境(内部控制管理制度,如操作岗位授权、相关职务分离等)的审计。会计信息数据的审计是指财务会计数据及报表的审计。会计信息化IT审计的内容界定了会计信息化IT审计的范围。

 

(三)会计信息化IT审计的实施条件

 

IT审计的实施条件是指为促使审计目标的实现,确保审计过程的顺利开展所需要的企业内外部环境。开展会计信息化IT审计的实施条件包括:企业会计信息化水平、高层领导的重视、组织管理、审计人员的素质(IT审计师,CPA、CISA)、费用、会计信息系统审计依据与准则、其他。

 

企业会计信息化水平决定着IT审计的规模,会计信息化程度高的企业开展IT审计更具有现实性。当前会计信息化IT审计更多地应用于规模较大的银行、保险等大型金融类企业以及中央企业,如中国人民银行、中国烟草总公司、中化集团、中国石油化工集团等。企业高层领导的重视或介入使得IT审计更具有便利性。会计信息化已构成企业提高核心竞争力、获得生存与可持续发展的重要影响因素,已成为企业的重要资产,与企业的其他资产一样对会计信息系统加以控制和审计变成了企业必然的要求,企业需要在组织管理层面上为接受和实行IT审计做好准备。会计信息化环境下的IT审计要求审计人员掌握信息技术并熟悉会计与审计知识,可以是信息系统审计人员和注册信息系统审计师(CISA)。CISA既要熟悉信息系统的软件、硬件、开发、运营、维护、管理和安全,又要熟悉经济管理的核心要义,能够利用规范和先进的审计技术,对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。开展会计信息系统IT审计工作所发生的成本支出表现为费用,费用是开展IT审计的必要前提。会计信息系统审计依据是指IT审计师提出审计意见、做出审计决定的依据,会计信息系统审计准则是IT审计工作本身的规范,是审计人员的行为指南。会计信息系统审计依据包括会计信息系统的管理制、条例和法规、ISO9000、会计信息系统的实际运行情况等,而会计信息系统审计准则可以参照ISACA的信息系统审计标准。

 

四、会计信息化中开展IT审计面临的问题

 

(一)企业缺乏会计信息化IT审计的自发需求

 

当前,企业管理层对于IT审计重要性缺乏高度认识,企业会计信息化进行IT审计的压力更多地来自外部监管,而不是企业内部的自发性需求。比如,2002年7月,美国颁布了《萨班斯法案》,使得在美国上市的企业都必须遵循这一旨在“提高公司披露的准确性和可靠性的改革法案;在国内,中国上市公司需遵守《企业内部控制基本规范》(2008年)、银行业要遵循《商业银行信息科技风险管理指引》(2009年)、保险业需遵循《保险公司信息化工作管理指引(试行)》(2009年)。这些外部的监管机构与法律无一例外地对会计信息化安全和会计信息系统审计提出了要求。而在企业内部,基于观念不足和成本控制的原因,会计信息化过

 

it内部审计论文篇(7)

(一)中小券商IT审计环境有待改善。

《证券期货经营机构信息技术治理工作指引》要求“证券公司应建立内部IT 审计制度,至少每两年进行一次IT 审计”,但一些中小券商的IT内部审计业务开展还不够深入。首先表现为公司高层对IT内部审计认识不足、信心不足:一是对内部审计的认识依然停留在传统的财务审计领域;二是认为内部审计难以胜任,信息系统专业性强而内部审计根本不具备专业能力。其次,作为被审部门的信息技术部门因其专业性强的特点,从未接受过内部审计,因此,工作上存在抵触情绪。再次,内审部门的人员也有畏难情绪,一旦IT审计不到位,必将加大审计风险。上述情况导致其内部审计很难在该领域有效开展。

(二)信息系统审计资源限制。

IT审计人员与审计技术工具是影响信息系统审计的两个重要资源因素。内部审计准则第28号要求,IT审计人员应当通晓IT技术并掌握内控、管理和审计技能。而实际工作中,在企业具有多年IT从业经验又具备审计技能的复合型人才较为缺乏。2002年中国大陆引入注册信息系统审计师(CISA)考试培训以来,截止目前获得CISA资格的人也仅1000余人,专业人才资源的缺乏制约了券商有效开展专业的信息技术审计。

审计技术工具是影响IT审计系统质量与效果的另一个关键因素。鉴于IT审计技术性和专业性极强的特点,内部审计部门配备访问控制分析软件、系统配置分析软件、测试数据生成器、固件监测器等技术工具往往又受制于企业的财务预算限制和公司对信息技术的安排。

(三)信息系统审计标准缺乏。

COSO-ERM框架提出企业的风险管理应建立在一系列指标或标杆基础上实施事项识别、风险评估与应对。证监会2011年12月以行业标准(JR/T 0060-2010)形式颁发的《证券期货业信息系统安全等级保护基本要求》也对证券公司设置了五个等级的安全保护能力标准,券商应根据业务发展和风险控制能力制定适合本企业的风险控制等级标准。但实际工作中,还存在券商并未建立IT控制基准或基准建立没有涵盖所有系统的现象,这就造成了IT审计中缺乏标准和依据。

(四)信息系统风险的识别与评估的体系尚未建立。

在证券公司日常业务中出现的服务器宕机、通信中断、网络病毒等方方面面的风险事件,会给证券公司带来巨大损失。很多情况下,证券公司对IT风险的管理仍然停留在风险发生之后的分析与补救,没有形成一套对潜在风险开展系统化的识别与评估的方法,定期的风险识别评估机制的缺乏、审计环境基础薄弱成为开展风险导向型信息系统审计所面临的一个难点。

二、证券公司开展信息系统审计的对策

中国内部审计协会2009年1月1日正式施行的《内部审计具体准则第28号——信息系统审计》也标志着国内在内部审计领域开展的IT审计走向成熟,准则的颁布对证券公司信息系统内部审计工作具有重要的指导意义。针对证券公司信息系统审计所面临的问题和难点,本文从以下方面探讨其解决方案。

(一) 促进内部审计环境的不断改善。

内部审计效能发挥的关键取决于公司高层对内部审计的态度,为营造良好的内部审计环境应从以下三个方面入手:

1.加强内部审计准则和风险导向审计理念的宣传。证券公司高层对现代内部审计在企业全面风险管理(包括IT治理)中作用正确认识,才能使内部审计能够从公司高层获得信心支持、立项支持与财务支持,IT审计才能有效地开展。

2.内部审计应该树立主动服务意识与沟通意识。开展IT审计不只是对IT系统的检查和问题的揭示,更应该是协助公司高层,帮助信息技术部门把控IT风险,防范证券业务风险。因此沟通技巧也是有效开展IT审计的重要影响因素。内部审计部门在沟通方面,应积极主动与公司高层加强沟通以获取支持,与IT管理部门平等、协作取得IT部门的理解、配合,目的在于维护IT系统的安全运行。

3.内部审计人员不断加强信息系统学习。IT审计人员应该积极掌握和熟悉内部审计业务,具备必要的信息技术及信息系统审计的专业知识,克服畏难情绪,知难而进,树立“有为才有位”的观念。

(二) 建立并实施内部审计发展规划,化解IT资源稀缺的矛盾。

证券公司应该结合行业的发展、业务的开展和管理的需要,重新定位内部审计,建立内部审计发展规划,将审计资源稀缺问题纳入到证券公司的整体发展规划之中。

1.内部审计部门应该结合业务的发展,配备适当的IT审计人员。通过内部培养、外部引进相结合的方式发展IT审计人员,鼓励审计人员取得注册信息系统审计师职业资格,通过人员选聘、培训、技术设施配备等措施化解IT审计资源不足的矛盾。在审计部门暂时不具备IT审计能力的情况下,内部审计部门可以聘用外部专家或内审业务外包的形式开展IT审计,通过审计成果,提高内部审计的履职效能。

2.证券公司应结合业务发展和审计的需要给予必要的支持,在系统权限、专业审计工具引入、财务预算分配等方面放宽限制,确保IT审计质量和审计效果。

(三) 推动证券公司建立明确的IT控制标准。

建立并应用明确的IT控制标准作为审计依据可以提高审计的质量与效果。鉴于证券监管机构已推出《证券期货业信息系统安全等级保护基本要求(试行)》等行业规范,在物理安全、网络安全、主机系统安全、应用安全和数据安全等技术上的五个层面以及安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面已做了明确的要求,IT审计人员应在审计过程中推动公司建立适合公司自身的IT控制标准。

在企业尚未建立全面、明确的IT控制标准情况下,审计人员应当根据实际情况,结合企业战略、目标、风险偏好及成本效益等因素,采用国际通用标准与成熟实践(如COSO、COBIT、ISO27001等)作为审计的依据,同时推动IT治理层对这些标准的认可和采用。

(四) 积极探索IT审计方式,促进IT治理不断完善。

内部审计部门应结合本公司的实际,在IT审计开展初期,审计部门应加强内部审计准则和证券行业的IT监管要求的宣传,使公司从董事会、经营层到业务部充分了解IT控制规范,认识IT治理、防范IT风险的重要性。审计部门通过选派审计人员深入IT业务部门蹲点学习,开展系统的IT调研和IT自查活动等,帮助IT部门发现问题,共同探讨解决方案,提出富有成效的建议。通过转变IT审计方式与成果运用,引领、促进IT控制标准的建立,IT自我评价标准机制、IT监测机制的改进,促进IT治理的不断完善,从而为IT内部审计的有效开展创造良好的环境条件,以达到相互促进,共同发展的目的。

(五) 建立完善的信息系统审计策略。

1.建立系统化的审计实施流程。实施信息系统审计的首要任务是找出证券公司所面临的各类信息系统风险,对所有的信息系统风险进行系统地分类与识别。内部审计部门对风险的识别和评估有别于IT部门的定期风险自查式识别、评估,它是建立在IT风险评估基础上的再评估,审计中不仅关注对识别风险的控制恰当与否,还要从第三方角度发现未识别和未控制的风险,评价风险识别机制,这也正是IT审计的核心所在。

2.建立系统化的风险识别标准。我们在进行风险识别过程中,采用中国内审协会《内部审计具体准则第28号——信息系统审计》,它对信息技术风险的分类进行了规定,将各类IT风险归类为组织层面的IT风险、一般性控制层面的IT风险及业务流程层面的IT风险3个层面。

其中,组织层面风险是指IT治理、控制环境与组织框架等方面的风险;一般性控制层面的风险主要指IT基础设施与运行风险;业务流程层面风险指应用系统在业务数据输入、处理与输出过程中所产生的风险。各层面风险既有独立特征,又相互关联。

我们在对IT风险识别过程中,可以借鉴国际通用的IT风险控制的分类方法,如COSO框架的5项要素(内部环境、风险评估、控制活动、信息与沟通、监控)或是COBIT框架的4个领域(计划与组织、获取与实施、提供与支持、监控与评价)。尤其是通过将现行内部审计具体准则与COBIT相结合的方式,可以更加系统与清晰地对IT风险进行有效识别。

it内部审计论文篇(8)

随着计算机网络的发展,商业银行在处理业务时对计算机信息系统的应用程度越来越高。信息系统就像一把双刃剑,它在带来经济效益的同时,也使商业银行面临巨大的风险,因此对信息系统进行严格规范的控制尤为重要。为了保证信息系统的安全、可靠与有效,实施有效的it审计成为商业银行一项迫在眉睫的任务。

一、商业银行实施it审计的必要性

1.这是由商业银行业务高风险性的特点决定的

商业银行本身是一个高风险行业,在银行业务中的主要风险包括:战略性的,名誉性的,操作的,信用,货币兑换,利率,流动性。随着银行业务信息化程度的提高,特别是近年来网络银行和信用卡的兴起,银行的业务和信息系统之间的联系不断加强,信息系统需要不断的修改和完善以适应业务发展的要求。当信息系统跟不上业务发展的需要时,就会造成系统故障,系统错误等情况,导致一些业务不能正常开展,这使得商业银行面临的战略性,名誉性,操作性的风险越来越大。为减少这些风险,这就需要it审计对系统进行严格的规范控制,对信息系统进行综合的检查和评价以保证信息系统适应银行业务发展的需要。

2.这由信息系统本身的特点所决定的

信息系统的开发是一项长期而且庞大的工程,需要耗费大量的人力、物力以及财力,它具有投资大,风险高的特点,若开发不当,则可能会使信息系统无法投入使用,或即使能勉强投入使用,但在使用过程中也会错误不断,需要极高的成本来维护系统,因此需要it审计对信息系统的开发过程进行跟踪审计,及时发现并改正错误,保证信息系统的质量,降低系统后期的维护成本。同时,由于并不存在十全十美的信息系统,也不可能在系统开发过程中发现全部潜在的错误,这使得在系统运行过程中可能会出现系统故障,系统错误,黑客攻击漏洞等情况,这可能会使数据被破坏,客户隐私被泄露,经济效益遭受损失,对商业银行的声誉、经营造成影响。这就需要在信息系统运行维护阶段进行it审计找出系统的缺陷和不足,并提出改进和完善的意见,以保障系统安全、可靠以及有效的运行。

二、商业银行it审计的现状及改进措施

1.建立完善的商业银行it审计制度

在我国制度创新还跟不上it的发展,相关的it审计法规、准则存在着一定的滞后现象,目前存在相关法规、准则仅有审计署于1996年颁布的《审计机关计算机辅助审计办法》,1999年颁布的《独立审计具体准则第20号——计算机信息系统环境下的审计》等几个。而近年来it发展迅速,这些法规、准则不一定能适应新的系统环境,这将会给商业银行的it审计的实际操作带来一些困难和影响。为了促进商业银行的it审计的发展,应该完善相关的法规、准则,使之跟得上it的发展。同时,根据国际趋同的要求,我国也应根据国际it审计的国际标准——cobit(信息系统和技术控制标准)建立符合中国实际、顺应国际准则趋同化要求的内控、风险管理体系、it监审机制和制度。

2.加强it审计的连续性

由于商业银行信息系统的开发多采用外包方式,这使得在实施it审计时容易忽视信息系统开发阶段的it审计,使得it审计缺乏连续性。而系统开发阶段存在的一些潜在的问题可能会系统在运行维护阶段逐渐暴露出来,这个时候就需要去系统本身进行修正,与在系统开发阶段进行的修正相比,此时的花费的成本将更高。因此,需要加强在系统开发阶段的it审计,加强it审计的连续性,这将有助于保障高质量的信息系统的开发,减少系统存在的潜在问题,降低运行维护阶段的维护成本。

3.提高商业银行内部it审计的质量

商业银行一般都拥有自己的it部门,由于部分内审人员计算机知识与技能有限,这使得在进行内部审计时会在一定程度上依赖it部门的人员的帮助,诚然这些it部门的人员对于计算机知识以及相关的业务十分熟悉,有利于内部审计的实施,但是这却让他们拥有运动员和裁判员的双重身份,使得内部审计的独立性遭到质疑,内部审计的质量得不到保证。而高质量的内部审计能使信息系统安全、可靠以及有效的运行,同时也使信息系统容易通过外部审计。因此,需要在商业银行内部设立独立于it部门的it审计部门,实施有效的内部审计。

4.培养it审计专业人员

我国商业银行it审计起步较晚,it审计专业人员在数量上严重不足,同时在专业技能方面与国外相比也存在一定的差距,而这些因素也在一定程度上影响了商业银行it审计质量的提高,因此需要大力培养it审计专业人员。对此,我们可采取专家讲课、委托培训、公派交流学习等措施来培养it审计人员,提高it内审人员的素质。

5.借鉴国外的一些先进经验

我国it审计起步较晚,虽然在近年来取得了较快的进步,但相对于一些起步较早的国家而言,总体水平并不是很高。我们可以根据自身的实际情况,借鉴一些适合我国国情的先进经验,比如:挪威的数据获取自动化(tomas)系统,它能在提高效率保证质量的同时,使审计人员可以采集存储在财务管理会计系统中的基本数据而不增加被审计单位的安全风险;美国利用互联网实施联网审计,审计人员可以通过网络获取被审计单位的有关资料开展审计工作等。

参考文献:

it内部审计论文篇(9)

随着计算机网络的发展,商业银行在处理业务时对计算机信息系统的应用程度越来越高。信息系统就像一把双刃剑,它在带来经济效益的同时,也使商业银行面临巨大的风险,因此对信息系统进行严格规范的控制尤为重要。为了保证信息系统的安全、可靠与有效,实施有效的IT审计成为商业银行一项迫在眉睫的任务。

一、商业银行实施IT审计的必要性

1.这是由商业银行业务高风险性的特点决定的

商业银行本身是一个高风险行业,在银行业务中的主要风险包括:战略性的,名誉性的,操作的,信用,货币兑换,利率,流动性。随着银行业务信息化程度的提高,特别是近年来网络银行和信用卡的兴起,银行的业务和信息系统之间的联系不断加强,信息系统需要不断的修改和完善以适应业务发展的要求。当信息系统跟不上业务发展的需要时,就会造成系统故障,系统错误等情况,导致一些业务不能正常开展,这使得商业银行面临的战略性,名誉性,操作性的风险越来越大。为减少这些风险,这就需要IT审计对系统进行严格的规范控制,对信息系统进行综合的检查和评价以保证信息系统适应银行业务发展的需要。

2.这由信息系统本身的特点所决定的

信息系统的开发是一项长期而且庞大的工程,需要耗费大量的人力、物力以及财力,它具有投资大,风险高的特点,若开发不当,则可能会使信息系统无法投入使用,或即使能勉强投入使用,但在使用过程中也会错误不断,需要极高的成本来维护系统,因此需要IT审计对信息系统的开发过程进行跟踪审计,及时发现并改正错误,保证信息系统的质量,降低系统后期的维护成本。同时,由于并不存在十全十美的信息系统,也不可能在系统开发过程中发现全部潜在的错误,这使得在系统运行过程中可能会出现系统故障,系统错误,黑客攻击漏洞等情况,这可能会使数据被破坏,客户隐私被泄露,经济效益遭受损失,对商业银行的声誉、经营造成影响。这就需要在信息系统运行维护阶段进行IT审计找出系统的缺陷和不足,并提出改进和完善的意见,以保障系统安全、可靠以及有效的运行。

二、商业银行IT审计的现状及改进措施

1.建立完善的商业银行IT审计制度

在我国制度创新还跟不上IT的发展,相关的IT审计法规、准则存在着一定的滞后现象,目前存在相关法规、准则仅有审计署于1996年颁布的《审计机关计算机辅助审计办法》,1999年颁布的《独立审计具体准则第20号――计算机信息系统环境下的审计》等几个。而近年来IT发展迅速,这些法规、准则不一定能适应新的系统环境,这将会给商业银行的IT审计的实际操作带来一些困难和影响。为了促进商业银行的IT审计的发展,应该完善相关的法规、准则,使之跟得上IT的发展。同时,根据国际趋同的要求,我国也应根据国际IT审计的国际标准――COBIT(信息系统和技术控制标准)建立符合中国实际、顺应国际准则趋同化要求的内控、风险管理体系、IT监审机制和制度。

2.加强IT审计的连续性

由于商业银行信息系统的开发多采用外包方式,这使得在实施IT审计时容易忽视信息系统开发阶段的IT审计,使得IT审计缺乏连续性。而系统开发阶段存在的一些潜在的问题可能会系统在运行维护阶段逐渐暴露出来,这个时候就需要去系统本身进行修正,与在系统开发阶段进行的修正相比,此时的花费的成本将更高。因此,需要加强在系统开发阶段的IT审计,加强IT审计的连续性,这将有助于保障高质量的信息系统的开发,减少系统存在的潜在问题,降低运行维护阶段的维护成本。

3.提高商业银行内部IT审计的质量

商业银行一般都拥有自己的IT部门,由于部分内审人员计算机知识与技能有限,这使得在进行内部审计时会在一定程度上依赖IT部门的人员的帮助,诚然这些IT部门的人员对于计算机知识以及相关的业务十分熟悉,有利于内部审计的实施,但是这却让他们拥有运动员和裁判员的双重身份,使得内部审计的独立性遭到质疑,内部审计的质量得不到保证。而高质量的内部审计能使信息系统安全、可靠以及有效的运行,同时也使信息系统容易通过外部审计。因此,需要在商业银行内部设立独立于IT部门的IT审计部门,实施有效的内部审计。

4.培养IT审计专业人员

我国商业银行IT审计起步较晚,IT审计专业人员在数量上严重不足,同时在专业技能方面与国外相比也存在一定的差距,而这些因素也在一定程度上影响了商业银行IT审计质量的提高,因此需要大力培养IT审计专业人员。对此,我们可采取专家讲课、委托培训、公派交流学习等措施来培养IT审计人员,提高IT内审人员的素质。

5.借鉴国外的一些先进经验

我国IT审计起步较晚,虽然在近年来取得了较快的进步,但相对于一些起步较早的国家而言,总体水平并不是很高。我们可以根据自身的实际情况,借鉴一些适合我国国情的先进经验,比如:挪威的数据获取自动化(TOMAS)系统,它能在提高效率保证质量的同时,使审计人员可以采集存储在财务管理会计系统中的基本数据而不增加被审计单位的安全风险;美国利用互联网实施联网审计,审计人员可以通过网络获取被审计单位的有关资料开展审计工作等。

参考文献:

it内部审计论文篇(10)

一、COBIT标准综述

COBIT(Control Objectives for Information and related Technology)是美国信息系统审计和控制协会ISACA(Information Systems Audit and Control Association)基于其原有的控制目标体系(Control Objectives),结合并改进现有的正在发展中的其他国际技术标准和工业标准而制定的控制目标体系,是国际上最先进、最权威的安全与信息技术管理和控制的标准。COBIT控制目标体系是一个较完整的信息系统管理和控制的参考模型,它将政府和企业的信息化归纳为34个IT处理过程,并逐个提出指导意见。通过将COBIT应用到信息系统的开发和实施环境,可以为管理人员、开发人员和审计人员来强化和评估信息技术外包风险的管理和控制提供依据。

二、IT外包的风险分析

企业IT外包处于IT战略中的资源管理层面,是帮助企业将注意力更多地投入到商业管理而非信息技术管理,进而更专注地追求核心竞争力的一条途径。尽管IT外包愈来愈普及,但外包失败的案例并未因此而减少。IT外包风险的表现就是外包失控。由于把部分或全部IT资源外包给企业外部的服务商,企业对服务商的管理就要比管理自己的IT部门复杂得多,时刻会面临失控,主要表现在以下三个方面:

风险一:IT外包可能会在服务的及时提供和服务的质量方面达不到预期效果。

风险二:企业对承包商的依赖度高反而降低了企业的灵活性,企业成本不降反升。

风险三:企业的商业机密可能会被泄露,知识产权可能会被盗用。

三、基于COBIT的IT外包风险管控体系

COBIT的控制目标主要是针对信息系统的管理控制和运行控制,COBIT提出的控制目标可以应用到所有的信息系统。因此,它的控制目标对IT外包系统来说大部分是适用的,但因其业务特殊性,必须结合发包企业的具体环境和承包商的实际情况,加以修改、补充和完善。

1.组织与规划

系统规划是IT外包项目建设的第一步,包括发包企业的战略目标、政策和约束、计划和指标分析;发包企业原有的建设目标、建设模式;企业信息的功能结构、组织、人员管理;IT外包的效益分析和实施计划。规划的好坏对IT外包项目的建设的成败有至关重要的影响。

整个信息系统的建设要以优化企业的核心业务流程,提高工作效率,更好地发挥企业综合协调与服务的职能为总体目标。规划必须满足:规划本身应当明确无误而且易于理解,应当是一个可以为大多数人所理解和认同的概念。规划必须得到领导小组的认可;规划目标应当是可衡量的;规划必须建立在对内外信息调查的基础上制定。

2.获取与实施

系统分析是在充分的调查的基础上对企业内部的整体管理状况和信息处理过程进行分析。系统分析的工作量非常大,所涉及的业务、人、数据和信息非常多。而且在实际情况中,企业信息化的需求难以一次确定,并且会不断发生变化;另一方面,承包商对政府的具体业务业并不熟悉,常常会发生理解上的偏差,从而导致建模的错误。因此,完成的系统分析必须满足以下一致性、完整性、现实性和有效性这四方面的要求。然后在系统分析的基础上,研究承包商外包方案的可行性,制定相关技术标准、实施规范。

3.服务与支持

发包企业的需求是不断变化的,商业目标也是随着企业的发展而逐步更新的,承包商要做好完善的数据跟踪,在可行范围内满足发包企业的需求,不断改进和修正开发计划中遇到的问题和缺憾。

4.审计

IT外包项目在发包企业实施以后,系统的可靠性、安全性和有效性是非常重要的,系统中的信息成为政府最宝贵的资源。内部审计是在政府内部建立信息系统审计组织,由内部信息系统审计人员对电子政务系统的可靠性、安全性、有效性进行检查与评价,将结果报告给政府管理层。内部信息系统审计部门,从组织地位上来讲必须独立于政府的IT职能部门和最终用户部门。

构建基于COBIT的信息系统管理、控制与审计模型,将便于人们对信息系统建设与应用过程的理解与分析,指导人们建立相应的机制,将信息系统建设与应用的全部过程置于有效的管理与控制之下。对信息系统的投资者和管理者,将帮助他们在通常不可预测的IT环境下平衡风险与投资。对信息系统的使用者,将通过管理、控制和审计为他们提供安全保障和一定的服务水平。对审计师而言,将帮助他们明确审计轨迹,使他们做出的鉴定和劝告更具说服力。

四、总结

it内部审计论文篇(11)

一、引言

信心技术环境下的内部控制问题由来已久。伴随着信息技术(Information Technology,简称IT)在企业中的应用和发展,企业的经营环境和经营方式发生了巨大的变化,企业利用IT成为一种必然。但在解决了IT基础设施建设、满足了IT在业务处理和企业管理中的基本应用的同时,IT带来的问题与风险也会出现。在美国,早在1992年,并于1994年修订的《内部控制――整体框架》中,对IT的考虑分别在“控制活动”和“信息沟通”中涉及。而在完善1992年COSO报告的前提下,美国注册会计师协会(AICPA)的《美国审计准则第319节――在财务报表审计中对内部控制的考虑》的第16―20条、第30―32条和第77―79条着重讨论了IT对财务报告内部控制的影响。由于安然崩塌、世通丑闻等一系列突发事件带来的冲击,在世界范围内掀起了加强风险管理的热潮。2004年,美国防虚假财务报告委员会的《企业风险管理――整合框架》通过技术专栏的方式对一般控制和应用控制做了更加全面和深入的规范,并在“信息与沟通”中要求企业信息系统的构造必须足够灵活和敏捷,以便与外界相关方有效地整合或及时随企业内部环境的变化保持协调一致,而又不相互妨碍对方。

我国自20世纪80年代就对内部控制进行了理论探索,但近年来监管部门才对IT环境下内部控制问题提出明确要求。2008年5月财政部印发的《企业内部控制基本规范》中要求“企业应当运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。”但因缺乏强制性要求和明确的指南,很多企业并没有实际运用上述成果,IT环境下内部控制方法有限,对IT环境下内部控制的研究较为匮乏。

二、IT环境下内部控制的本质属性:持续一致的利益关系

IT的应用给企业的经营管理带来了效率的提高和管理的方便,但在享用IT应用给企业带来利益的同时,也给企业内部控制带来了新的挑战。许多学者对此进行了不少的论述,代表性的观点主要有三:IT使企业内外部环境发生了一定的变化,对企业内部控制提出了新的挑战(刘志远等,2001);IT对企业的整体内部控制产生根本性的影响,内部控制方式已经发生了根本性的变革(章铁生,2007);IT对内部控制的影响程度与整个社会、企业自身信息化程度以及IT的发展水平密切相关,并随后者的改变而变化(王海林,2008)。本文认为,IT与内部控制是相互影响并且共同促进的,IT的应用使企业经营的内外环境、面临的风险更为复杂多变,这成为内部控制理论和实务不断发展的源动力。而内部控制制度的存在恰恰是为了企业能够在激烈的竞争环境中自我调整,控制IT应用带来的风险,保障企业的各种经济活动能够顺利地进行,减少不确定性,降低成本。内部控制对IT应用的控制是激励和约束并行的。从这一意义上说,IT环境下内部控制的本质属性是持续一致的利益关系。

三、企业IT应用与企业内部控制之间的博弈

(一)模型假设

在本模型中,博弈双方是企业实施信息化与内部控制的构建,对于模型笔者做如下假设:(1)企业实施信息化的过程是理性的,即总是以追求企业价值最大化为目标;(2)企业实施信息化使得信息技术在横纵向嵌入改变了企业基本业务流程。同时假设企业实施信息化后企业的得益为V;(3)假设企业不实施信息化改造,则企业的得益将为0;(4)IT环境下内部控制现状:各类信息透明度不高,因而IT应用与内部控制处于信息不对称状态。同时假设企业实施信息化后企业面临更多的内部控制风险,损失为V2。

(二)模型的分析与求解

第一阶段,企业实施信息化,使得企业组织结构扁平化,风险评估得到优化,控制手段多样、高效、灵活,提高了信息的质量,增加了沟通的渠道。企业实施信息化后企业的得益为V1。有两种可能,如果未出现内部控制问题则得益为V1,博弈停止;反之出现了内部控制问题,例如利用计算机进行的舞弊的行为活动、信息资源使用中断对企业经营生产的负面影响、信息系统的扁平矩阵型组织不利于准确区分权责利等。则企业得益为V1-V2(V1>V2),进入下一阶段。

第二阶段,这一阶段由企业根据实施信息化后企业遇到的内部控制问题进行内部控制体系的构建与实施,本文认为,IT环境下内部控制的本质属性是持续一致的利益关系,IT环境下内部控制的构建可以为企业获益,假设得益为V3。

企业的得益:V=V1-V2+V3

企业实施信息化与企业IT环境下内部控制的构建都受企业努力程度(e)的影响,内部控制带来的损失受随机扰动项(w)影响。

所以本博弈中企业的得益:MAX{V}=MAX{V1+e-(V2+w)+(V3+e)}。

(三)博弈模型的建立

参与者:企业实现信息化与企业构建内部控制体系。将积极投入人力物力实现企业信息化定义为2,消极投入人力物力实现企业信息化为0。积极投入人力物力构建内部控制体系为1,消极投入人力物力构建内部控制体系为0。

博弈规则:信息不完全对称的条件下二者的策略集合分别是:S1={积极投入人力物力实现企业信息化,消极投入人力物力实现企业信息化},S2={积极投入人力物力构建内部控制体系,消极投入人力物力构建内部控制体系}。

博弈过程及收益如图1的博弈树,支付矩阵如表1所示。

如上所述,IT环境下内部控制的本质属性是持续一致的利益关系,那么,二者之间博弈的最后均衡结果应为{积极投入人力物力实现企业信息化,积极投入人力物力构建内部控制体系},其均衡收益为(2,1)。企业能否实现收益最大化受是否积极投入人力物力实现企业信息化、积极投入人力物力构建内部控制体系影响。

通过以上的博弈分析可见,一方面,如何构建IT环境下内部控制体系有效避免内部控制风险,减少内部控制漏洞将成为企业实现价值最大化的首要问题。第一,从系统控制考查IT风险与控制的基本框架。

表2列示了考查IT风险与控制的基本框架。其中一般控制适用于较宽范围的风险,这些风险威胁到IT环境中所有应用程序的合法性、信息可靠性、数据完整性、访问安全性、软硬件的维护、人的因素以及效率等。应用控制则是针对特定的系统的风险,如进销存系统、职工薪酬管理系统等。应用控制测试涉及到具体的审计目标,如检查应付账款完整性等。

第二,从管理控制上要完善企业内部治理制度。美国总统华盛顿说过:“人是靠不住的,只有制度才靠得住。”企业经济活动的顺利进行需要一个完善的企业内部治理制度来协调。制度一旦形成,任何人都不能超越制度的约束。内部控制制度是控制风险的“防火墙”,要求企业对IT的应用满足风险管理和制度的基本要求,必须接受企业高层和监管部门的充分监督,保证相关原则、政策和内部控制制度得到贯彻执行。

另一方面,IT应用与内部控制之间存在信息不对称问题,IT治理是解决信息不对称的良好途径,IT治理力求实现业务与信息的集成,这些不仅可使公司经营活动变得更透明,还可提高公司信息的质量,减少利益相关者之间的信息不对称问题。IT治理是提高内部控制的有效手段,IT治理将合理的制度安排、程序控制嵌入到IT系统中以及会计软件中,使得IT系统与会计软件具备内在的控制机制,减少了信息生成过程中错误与舞弊行为,确保企业运营满足相关法律法规的要求。

结合我国IT环境下内部控制实际,笔者认为构建IT环境下内部控制体系是一个以IT治理为基础,系统控制、管理控制为重点的“预防―风险评估―控制监督”的内部控制体系。早在系统开发阶段就应在IT系统以及会计软件中嵌入完善的内部控制,例如:更合理的权限分配、信息加密处理等,并从系统控制、管理控制出发全面评估现行业务过程和信息过程有关风险,利用信息作为资源进行风险控制。“一分预防顶上十分改正。”预防控制远比问题出现以后的检查和改正更划算。风险评估是内部控制的第二道防线,风险评估通过对实际发生或预计发生的情况与设定标准的比较来查出问题的出处。对风险评估查出的问题进行控制,这是风险评估与控制活动的一个重大区别,监督是为了弥补控制活动的缺陷,监督应该由独立的审计部门来完成,在公正的审计法规和先进的审计技术支持下,完善企业信息化环境下的监督管理机制。在分析系统控制、管理控制环节的实务工作,应充分借鉴COBIT等国外先进的IT内部控制模型,并在它们的基础上提出适合我国现状的IT内部控制模型,而如何利用IT进行控制,是我们未来需要着重研究的课题。

【主要参考文献】

[1] 章铁生.信息技术条件下的内部控制规范:国际实践与启示[J].会计研究,2007(7).

[2] 潘琰,郑仙萍.论内部控制理论之构建:关于内部控制基本假设的探讨[J].会计研究,2008(2).

[3] 骆良彬,张白.企业信息化过程中内部控制问题研究[J].会计研究,2008(5).

[4] 唐志豪,计春阳,胡克瑾.IT治理研究述评[J].会计研究,2008(5).

[5] 石爱中.从内部控制历史看内部控制发展[J].审计研究,2006(6).

[6] 陈志斌,陆瑶.内控规范制定机制研究[J].会计研究,2008(4).

[7] 刘志远,刘洁.信息技术条件下的内部控制[J].会计研究,2001(12).

[8] 张砚.内部控制历史发展的组织演化研究[J].会计研究,2005(5).

[9] 林钟高,郑军.基于契约视角的企业内部控制研究[J].会计研究,2007(10).