it内部审计论文大全11篇

it内部审计论文篇（1）

课题组成员：陈崇跃，徐克勋，朱燕涛，张杏英;

执笔：陈崇跃，朱燕涛。

摘要：随着信息科技的发展，人民银行系统对IT的依存度日增，信息系统风险也接踵而至，内部审计面临新的挑战，IT治理势在必行。为此，本课题组在分析了人行传统的内审已不能适应IT时代审计使命要求的基础上，提出了改革人行内部审计并以此深化央行IT治理的若干建议。

关键词：中央银行;内部审计;IT治理

中图分类号：F830文献标识码：A文章编号：1006-1428(2007)12-0088-02

随着人民银行各项业务与管理活动对IT依存度的日益提高，IT风险渐露端倪，人民银行内审从体制､手段和方式等均面临与IT发展程度相对应的新挑战，央行内审呼唤与IT治理相适应的改革。

一､加强人民银行IT审计促进央行IT治理的必要性。

IT治理大意指合理利用IT资源与适当管理IT相关风险的一种管理模式与机制。IT治理最重要的任务就是保证信息技术与各项业务的有效结合，促进组织收益最大化与风险的最有效控制。如同企业(公司)治理包括了内控管理及其内部审计等制度安排，“IT治理”也涵盖IT审计､信息安全审计､IT服务管理等内容。“IT审计”既是IT治理的组成部分，也是IT治理的促进因素。“IT审计”不仅对信息系统(IS)及其管理制度，还包括对内审自身的IT化建设行使“监督､评价与咨询”职责。

人民银行具有类似商业银行等现代企业的组织架构与业务体系，在管理上同样适用和更需引入“企业治理”与“IT治理”机制。人民银行在组织架构上设立了分支行机构，在业务上也有“存贷款”､“中间业务”､“黄金外汇储备与买卖”等经营性品种。因此人民银行的“业务”系统及其“应用系统”也更为庞大与复杂，日常运营越来越依赖于信息技术的支撑。在这种背景下，人民银行信息系统运行的有效性与潜藏的风险更加不容忽视，建立健全人民银行系统的IT治理及其IT内审机制十分迫切。

二､人民银行系统IT治理与IT审计的现状

在IT治理方面，人民银行表现明显滞后：一是尚未编制出一套适应我国国情的央行IT治理蓝图或规划;二是尚未建立与人民银行组织结构和业务体系及IT应用水平相适应的IT治理组织框架和制度体系;三是尚未建设和培育一支既掌握IT知识又谙熟央行业务的IT治理复合型或“两栖”的人才队伍;四是作为IT治理重要组成部分的IT审计､IT风险控制等监督与保障机制尚不成熟和健全，影响了人民银行IT治理的深化。

在IT审计方面，人民银行信息系统仍没有突破传统内审的窠臼。具体问题与原因：

一是IT审计的理论缺失。IT审计是审计理论的新兴领域，当前有关它的研究尚不够深入，阐述与定义尚不统一，也给IT审计制度的建设和IT审计的实践带来一定程度的混乱。

二是IT审计的制度缺失。人民银行内审司虽制定了《计算机信息系统监督检查工作暂行规定》､《计算机信息系统内部审计规程》等制度，但不是真正意义上的“IT审计”，仅处于信息系统(IS)审计层次，属于一般内控操作制度范畴。

三是IT审计的标准缺失。目前却仍未规划与制定出一套能与国际接轨的抑或有中国特色的IT审计标准与具体行业准则，使目前的IT审计没有明确的方向与标准的轨道。

四是IT审计的队伍缺失。首先，在组织体系上IT审计人员配置不足与结构不合理。其次，人员综合素质不高，既掌握IT知识又熟悉央行业务､懂得金融法律的人力资源十分匮乏。第三，未建立IT审计复合型人才培育机制，使现有人员IT审计素质不能得到应有的提高。

五是IT审计的手段缺失。即IT审计本身缺少信息技术硬件与软件的武装与支持。首先是内审部门计算机及其网络工具与设施配备不足，使目前所开展的IT审计仍停留于现场的､被动的､事后的传统审计形式。其次是业务审计的IT辅助审计应用软件缺乏，内审人员面对全面“数字化”的审计对象，只能望洋兴叹。第三是当前的业务应用系统在设计､开发之初就未考虑接受审计因素，内审人员实施IT审计时没有“合法”接口与取证手段。这些均极大地困扰与制约着IT审计的开展与发展。

三､改革央行内审深化IT治理的政策建议

1､加强IT审计及IT治理的理论研究，为新形势下的央行内审改革提供理论基础。2004年，人行内审司同ITGov(中国IT治理研究中心)合作开展了“IT治理与IS审计模型研究”，对国际通用的IT治理框架和信息系统审计标准“信息与相关技术控制目标”(COBIT)进行了研究，取得初步成果。但是，近年来类似的内审科研仍然偏少，成果不多。当前，国外在这方面的研究与探索均较深入，硕果累累，可以很好借鉴。

2､改革传统的人行内审体制，架构与IT治理相适应的新型内审模式。IT审计的目标是通过实施审计，维护､促进或增强人民银行计算机信息系统合规性､安全性､可靠性､有效性。人民银行已构建了强大的信息传输网络，作为内部审计主要对象的央行业务系统实现了数据大集中，人民银行分支机构业务运营与管理的内涵与外延也发生重大变化，不同层次的央行机构IS更存在鲜明的差异。这就要求央行对传统的内部审计架构进行新的设计，如构建“重心上移､机构下派”的内审新体系。借鉴西方中央银行组织治理模式并与央行IT治理机制相适应，在强调内部审计独立性的同时，注意与IS开发､应用部门的协调一致。采用更灵活的内审方式，如引入市场经济国家“内审社会化”或“内审外包”做法，对人民银行的部分IT审计项目可委托有资质的社会组织开展;提升手段，改革传统的现场审计与人力审计模式，利用计算机网络系统和审计辅助系统实施以“信息技术对抗信息技术”的“非现场审计”和“机器审计”，等等。

3､树立现代内部审计理念，实现内审由合规性监督向评价与咨询服务转变。审计的目的是确保整个组织活动的有效性､效率性､合规性､安全性，使组织“价值增值”。内审由于IT手段的利用及对IS的审计，使内审目标的实现更加可能。因此，人民银行的IT审计不应停滞在查错纠弊的监督阶段，而应要求审计人员树立服务意识，为被审对象提供咨询服务，当好参谋。

4､加快编制我国央行IT治理规划，建立适应人民银行体制的IT审计标准体系和框架。“信息系统审计和控制联合会”(ISACA)已制定了“面向过程的信息系统审计和评价的标准”(COBIT)，国际内部审计师协会(IIA)将其作为国际通用的IT审计标准。作为我国央行的人民银行内审也应积极借鉴标准，制定一套适合我国央行特色的IT审计标准与规范，为IT审计开展评价､咨询等活动提供尺度与准绳。

5､开展对新系统开发的审计，实现IS事后审计向全过程审计转变。即在新系统的立项､开发､测试和验收阶段，内审人员就参与其中，对程序开发到应用的全过程从审计的角度进行审慎监督;对系统的审计由事后转变为全过程监督。同时各业务部门在正式培训､推广使用新系统时，应邀请同级审计部门参加培训学习。对新系统开发审计时，应对新系统的今后可审计操作性提出要求，防止系统出现“拒审”等情况的发生。

6､加强IT审计队伍建设，提高央行内审从业人员综合素质。一是吸收计算机专业人员，把他们培养成审计人员;二是对现有审计人员开展IT知识培训和继续教育，培养成IT审计师;三是建立激励机制，推行IT审计师持证上岗制度，鼓励内审人员学习和钻研计算机知识，考取国家计算机资格等级证书，有条件的通过国际IT审计师资格认证。

(七)加强计算机辅助审计软件开发与应用，推进IT审计信息化建设。

参考文献：

[1]《内部审计思想》 (美)Andrew D．Bailey， (美)Audrey A．Gramling， (美)Sridnar Ramamoorti著;王光远等译，中国时代经济出版社，2006;1

it内部审计论文篇（2）

当前it系统越来越多地对业务经营活动进行自动化处理，这就需要it提供必要数量的控制程序。因此，遵循萨班斯法案的程序需要包括基于it系统的控制程序。对大多数企业而言，it在建立与保持有效的财务报告内部控制方面将发挥重要作用。通过运用整合的erp系统，或综合运用各种经营管理、财务管理方面的软件，it系统将为有效的财务报告内部控制系统提供强有力的支持。

pcaob第二号审计标准要求了解it在内部控制环境中的重要性。它特别指出：公司在其信息系统中运用信息技术的状况，影响着公司财务报告的内部控制。

目前我国四大电信运营商全部在美国上市，他们现在正在构建法案要求的内控系统，it内部控制系统构建及评审是无法绕过的工作。完善内控，特别是电信企业信息化水平很高、业务流程依赖于it流程的背景下，重视it内部控制，完善it内部控制十分迫切。本文讨论我国公司如何依据法案的要求在短时间内构建一套it内控系统， 并通过有效的it内控评价活动保证其持续健全有效， 以支持ceo 和cfo 的承诺进行初步探讨。

一、萨班斯法案的要求

世通公司造假案件和安然、安达信事件震惊了整个世界， 美国政府认为这是公司上下串通、内外勾结的严重结果， 所以法案对公司治理、内部控制及外部审计同时做出了严格的要求。明确规定要求建立独立称职的审计委员会，管理层要负责内控系统的完善和落实，并对财务报告的真实性负刑事责任 .综观整个法案， 最主要的是对公司内控系统的要求， 主要体现在302条款和404 条款。法案对公司内控系统不但规定严格， 而且实施要求和指南也在相续出台， 如sec 于2003年6月5日根据法案的要求颁布了404条的细化条例， pcaob于2004 年3月9日第2号审计准则， 对公司管理层提出了更明确的要求。

1、302条款的要求：

该条款要求由首席执行官和财务主管在内的企业管理层，对公司财务报告的内部控制按季度和年度就以下事项发表声明（予以证实）：

对建立和维护与财务报告有关的内部控制负责。

设计了所需的内部控制，以保证这些官员能知道该公司及其并表子公司的所有重大信息，尤其是报告期内的重大信息；

与财务报告有关的内部控制的任何变更都已得到恰当的披露，这里的变更指最近一个会计季度已经产生，或者合理预期将对于财务报告有关的内部控制产生重大影响的变更。

在当前环境下，it系统驱动着财务报告流程。诸如erp之类的it系统紧密地贯穿于企业经济业务的开始、授权、记录、处理和报告一整套过程中。就其本身而言，it系统和整个财务报告流程也是紧密联系的，为了遵循萨班斯法案，也要对it内部控制的有效性予以评估。

为强调这一点，pcaob第2号审计标准讨论了it以及it在测试内部控制设计合理性及运行有效性时的重要意义，并强调指出：[部分]

…内部控制，包括与财务报告中所有重要账户及披露内容相关的控制政策与程序，都应该予以测试。

一般而言，这样的控制包括it一般控制，以及其他控制所依赖的控制。

2、404条款管理要求

萨班斯法案的404条款要求，管理层在其年度文件中提供关于与财务报告有关的内部控制的年度评估报告。管理层的年度报告要求包括以下内容：

管理层有责任为企业建立和维护恰当的财务报告有关的内部控制。

识别管理层所采用的内部控制框架以便按要求评估公司与财务报告有关的内部控制的有效性。

对从一上个会计年度未以来，与财务报告有关的内部控制的有效性予以评估，其内容也包括有关与财务报告有关的内部控制是否有效的公开声明。

年度审计报告中，注册会计师事务所发表的财务审计报告，包括管理层对与财务报告有关的内部控制有效性评估的证明报告。

管理层关于公司针对财务报告内部控制有效性评估的书面结论，应包含在其对财务报告内部控制的报告和其对审计师的信函中。这一书面结论可采取多种形式，但是管理层对公司面向财务报告的内部控制的有效性必须发表直接意见

如果与财务报告有关的内部控制中有一个或多个重要缺陷，管理层将不能对财务报告的内部控制有效性做出评估结论，而且，管理层应该披露自最近一个会计年度未以来财务报告内部控制方面的所有重要缺陷。

面向财务报告的内部控制在这一会计期间可能存在一个或多个重要缺陷，但管理层仍可能会报告“从最近一个会计年度未起（上个会计年度未起），与财务报告有关的内部控制是有效的”。如果要做出这样的结论，管理层必须在评估日前已经改进了内部控制，消除了已有的缺陷，并在运行和测试其有效性后得到了满意的结果，测试的时间足以让管理层认为，从本会计年度起，与财务报告有关的内部控制设计合理、运行有效。

审计师需要合理地确定管理层的认定目标或审计目的（从而依此来收集审计证据），以支持管理层对内部控制有效性的评估结论。通过对审计师在这一过程中所应遵循程序的描述，pcaob第二号审计标准接着指出：

公司在对财务报告做出确认时需要借助于企业的it系统。为了识别管理层对财务报告所作的相关认定，审计师应考虑每个重要账户潜在错报、漏报产生的原因。在决定一个认定是否与某一重要账户余额或其披露相关时，审计师应该评价it系统的性质、复杂程度以及企业it的使用状况。

pcaob第2号审计标准还专门讲述了it在期末财务报告中运用，它指出：…要了解期末财务报告的提供过程，审计师就应在每一会计期末评估it在该过程中的应用范围。………[部分]

因此所有企业构建it内部控制至少都应具备以下三层通用要素：企业管理层，业务流程和共享服务。

二、我国电信运营企业面临的挑战

由于电信企业的信息化水平比较高，业务对it的依赖程度也比较高。因此依照萨班斯法案要求，完善与财务报告有关的内部控制时，电信企业的内部控制几乎离不开it，即使业务控制也是在it支持环境下的控制。因此，电信企业完善内部控制几乎可以说是完善it内部控制，包括it一般控制和it应用控制。但我们的现状不容乐观。

1. it专业人士，尤其是管理层，缺乏内部控制理论与实践来满足萨班斯法案的要求。

法案的要求使很多人认为，it专业人士应该对其负责的it系统所产生的信息质量及完整性负责，但问题在于，大多数it专业人士对复杂的内部控制并不精通或了解，难负其责。尽管这并不说明it人员没有参与风险管理，但至少it管理层没有按照组织管理层或审计师所要求的形式进行正式的、规范化的风险管理。 pcaob指出首席信息官（cio）们现在必须面对以下的挑战：（1）增强他们有关内部控制方面的知识；（2）理解企业所制定的总的sox遵循计划；（3）专门针对it控制拟定一个遵循执行计划；（4）把这个计划与总体的sox遵循计划相整合。

2 缺乏系统的内部控制制度

事实上，每个电信企业都或多或少会都有一些it内部控制制度，正是由于第一点原因，这些制度基本是由技术管理者制定，他们缺乏规范化风险管理的经验，这些it控制制度可能不太规范，控制政策程序不太完善， it控制制度一般存在于系统安全和变更管理等一些一般控制领域，缺乏从公司透明度角度出发的、结合支持业务流程的完整的内部控制制度。所以这也是在国内企业在符合萨班斯法案的道路上，问题最多的领域。

it内部审计论文篇（3）

科技的迅猛发展已经给整个社会的经济管理活动造成了巨大影响。IT审计是在原来传统审计的财务审计和管理审计基础上，由于科学技术向经济管理领域的渗透而产生的。然而，到目前为止，IT审计在本质上并不是独立于财务审计和管理审计的第三大审计分支，而是其中的一类审计形态，其原因在于网络环境的复杂性、实际操作的复杂性、与传统审计的融合程度等因素都制约着IT审计的发展，本文旨通过比较，将两者有机结合，从而提高IT审计质量，拓展IT审计技术方法在企业审计中应用的深度和广度，促进企业在审计上的变革。

一、 IT审计与传统审计在重大方面上是一致的

（一）IT审计与传统审计在基本概念及程序上大体一致

“独立性与客观性”、“权威性与公正性”等传统审计的基本概念在IT审计中得到了很好的体现。另外，IT审计独立于信息系统本身、信息系统相关开发、使用人员，由IT审计师依据法律规定，采用客观标准独立行使审计监督权，这与审计的“独立性与客观性”完全相同。同时，国际信息系统审计和控制协会（ISACA）对实行审计制度、建立审计机关以及审计机构的地位和权力都做了明确规定，这样使审计组织具有法律的权威性，其与公正性相辅相成。

（二） IT审计体系与传统审计体系结构基本一致

传统审计体系在逻辑结构上具有较强的严密性，“基本准则―具体准则―实务指南”是由抽象到具体的逻辑规则，这是会计准则、注册会计师鉴证业务准则等专业标准规范的常用结构，这使审计后续的具体工作便于寻找相应的准则条款，为审计工作提供便捷之处。IT审计所表述的“标准―指南―程序”准则框架在字面上与传统审计体系没有太大差别。其标准反应了信息系统领域的纲领性问题，指南是标准的具体化，程序则是一些工作规范，这与传统审计体系的三个层次是一一对应的。

从审计体系涵盖的内容上来看，传统审计内容的绝大多部分都包含在了IT审计体系的范畴之内。但是，相对于ISACA系会下的准则部制定的IT系统审计准则而言，我国的IT系统审计准则体系还不够完整，尚有若干项准则没有涉及，这应该在我国IT审计未来项目计划中予以考虑。

二、 IT审计具体内容方面存在两点点创新

（一） 安全性审计

在传统审计中，对于被审计对象的安全问题鲜有涉及，而信息的安全性问题关系到企业的生存与发展，是保持企业健康可持续发展的重要保障。IT审计中对于安全性审计做了详细的规范。安全性审计的主要目的就是审查企业信息系统和电子数据的安全隐患。一个存在安全隐患的信息系统很难为审计人员提供真实可靠的信息，因此安全性审计也是真实性审计的前提。

（二） IT审计的软件测试方法与电子取证方法

审计方法贯穿于整个审计过程当中，而不只是存在于某一审计阶段或某个环节。随着IT审计系统实践的丰富与IT审计理论的发展，IT审计处理运用传统审计的方法外，还大量借鉴了计算机学科的一些方法为我所用。其中“软件测试方法”是IT系统审计的重要方法之一，较为经典的测试方法是黑盒测试与白盒测试。另外，某些会计数据和其他信息只能以电子形式存在，或只能在某一时点或期间得到①，在IT审计时对于这些电子数据的获取极为重要，需要确保IT审计人员发掘和收集充足可靠的电子证据，最终生成审计报告。

三、完善IT审计体系还应借鉴传统审计

（一）借鉴传统审计中的绩效审计，加强其实践可行性

传统审计将审计的真实性、合法性和效益性作为审计的目标。为适应建立市场经济的需要，审计机关从2001年以前主要从事的真实、合法性审计到90年代初期，审计机关对国有企业的审计开始向检查内部控制和经济效益两方面的延伸，绩效审计的重要性逐步凸显。②由于IT项目的功能复杂性、结构庞大性、周期延长性，使得IT绩效审计很难准确地评价如此综合性的IT项目效果，如何完善IT绩效审计在实践上的可行性是摆在我们面前的一项重要任务。

IT绩效审计应充分借鉴传统绩效审计中的经济性、效果性、效率性特征，围绕这“三性”进行展开。在“经济性”上，为了以最低的资源耗费获得一定数量和质量的产出，可以通过多方面的改良提高其节约程度。如美国Gartner Group Inc公司研发的ERP系统，其自动化程度很好，从而提高了IT绩效审计的科学性与可行性，避免不必要的开支。在“效果性”上，力图在IT项目上实现绩效监控动态化，为企业提供丰富的管理信息，并在企业管理和决策过程中发挥作用，动态监控管理绩效变化，及时反馈和纠正出现的问题。在“效率性”上，提高企业物流、资金流、信息流一体化管理的效率并且要善于管理信息系统，对信息系统应用价值的实现是IT绩效审计的最重要方面。

（二）借鉴传统审计的风险管理，发挥其制约性作用

《企业内部控制基本规范》把“应当关注研究开发、技术投入、信息技术运用等自主创新因素”列为企业识别内部风险时应当关注的六个因素之一。③伴随IT而来的风险、利益和机会使得IT风险管理成为企业管理的重要内容，也是IT审计中应该完善的部分。

借鉴传统审计对于企业风险管理中风险评估、控制与防范的流程，结合IT风险管理的环境特殊性，程序复杂性和数据多样性等特点，对IT审计中的风险管理应按照“识别信息资产―威胁的量化和定性―评估漏洞―改进控制差距―管理剩余风险”的流程进行。首先，识别组织业务职能并确定每个流程的信息敏感度。然后识别流程的每一个组成部分的现有控制措施，按严重程度将控制差距分类。最后，通过风险等级、成本和有效性的选择，创建风险基准线，以便日后定期重新评估风险所用。

四、 总结

通过对IT审计与传统审计的比较研究，我们发现：在基本内容、程序和体系结构等方面，传统审计与IT审计是协调的。在IT审计的软件测试方法与电子取证方法上，较传统审计来说有其先进性。但是IT审计的不完善性也是显而易见的，可以在绩效审计、风险管理等方面借鉴传统审计的优点，逐渐使IT审计广泛应用于我国的审计行业之中。通过传统审计带动IT审计的方式，使IT审计取其精华，去其糟粕，逐渐发展成为审计行业的新锐力量，是我国亟待努力的方向。

注解：

① 审计准则第1301号：审计证据

② 蔡春，刘学华.绩效审计论[M]，北京：中国时代经济出版社，2006

③ 陈耿，韩志耕，卢孙中.信息系统审计、控制与管理[M]，2014

参考文献：

[1] 肖杰浩著.Oracle 10g 数据库安全策略研究[M]，计算机科学技术，2004.

[2] 陈耿，韩志耕，卢孙中著.信息系统审计、控制与管理[M]，清华大学出版社，2014.

[3] 于海霞，我国IT审计面对的挑战[J]，中国管理信息化，2011.

it内部审计论文篇（4）

一、IT审计的本质、目标与方法

 

(一)IT审计的概念和本质

 

随着信息化建设的不断深入，信息系统本身的安全性、合法性、有效性和可靠性成为影响企业风险控制的重要因素，也因此带来了对信息系统进行审计的需求。IT审计是指根据公认的标准和指导规范对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程，以确认预定的业务目标得以实现。认为，IT审计是一个获取证据，对信息系统是否能保证资产的安全、

 

数据的完整以及是否有效地使用了组织资源并有效地实现了组织目标做出评价和判断的过程。胡克瑾(2002)指出，IT审计是指对以计算机为核心的信息系统的审计。李会太等(2002)认为，IT审计实质上是对计算机软件和硬件及整个信息系统的审计，IT审计是技术审计的一个典型。

 

(二)IT审计的目标

 

IT审计以企业或政府等组织的信息系统为审计对象，通过现代的审计理论和IT管理理论，从信息资产的安全性、数据的完整性以及系统的有效性和效率性等方面出发，对其是否能够有效可靠地达到组织的战略目标进行全面的监测和评估，并为改善和健全组织对信息系统的控制提出详细的建议。基于IT的连续审计能使企业信息系统获得免疫，确保企业资产的安全系统的有效性和效率性以及数据的完整性。

 

(三)IT审计的方法

 

在审计方法上，目前国内主要还是借鉴国际上IT治理框架和方法，比如COBIT标准(1996年是C〇BIT1.0,2012年已更新至COBIT5.0版本)、ISO系列标准、ITIL、COSO框架等。这些协议有不同的控制重点，COBIT的审计范围几乎涵盖了所有与IT相关的活动，COS◦则侧重于企业自身内部控制，ITIL着重于IT系统的交付和支持等。目前，IT审计的开展可以采取基于独立的外部审计(独立执业的信息系统审计师，如CISA)、企业内部审计(企业内审部门的成员)以及作为财务审计的支撑(注册会计师事务所的IT审计机构，财务审计小组的IT控制专家)三种形式进行。通常，IT审计的成果可以是独立的IT审计报告，也可以作为注册会计师审计报告的一部分进行披露。

 

二、IT审计是会计信息化的内在要求

 

(一)IT审计是会计信息化风险控制的需要

 

会计信息系统(AIS)是企业管理信息系统的敏感地带，会计信息系统的风险控制是企业风险控制的重中之重。近年来因信息系统漏洞问题导致的案件屡见不鲜，信息系统的风险，如账务数据被销毁、巨额资金遭挪用而未被发现、银行交易系统存在漏洞，对业务操作中明显违反业务逻辑的操作没有任何控制防范功能等，对社会经济的运行危害巨大。一般地，会计信息化的风险来源于会计信息系统内部和外部的各种漏洞和威胁。会计信息化过程中的漏洞(技术漏洞、业务流程漏洞、管理控制漏洞)和IT环境中的威胁(攻击、篡改、窃取)，导致会计信息化面临各种安全问题。为了避免问题的产生，控制风险，需要对技术、业务、管理控制等进行统一的全方位的防范。IT审计通过获取与AIS控制和保证措施相关的证据，评估AIS控制的有效性、评价会计信息化绩效及会计信息化战略与业务目标的符合程度。CISA(注册信息系统审计师)针对会计信息系统的IT审计与传统的CPA(注册会计师)针对财务报表的财务审计以及针对经济管理的管理审计是并行不悖的，企业会计信息化环境下，IT审计既是财务审计、管理审计的基础，又是财务审计和管理审计的补充，它们共同对会计风险负责。IT审计对被审计单位会计信息系统的安全性、可靠性、有效性和效率性进行识别和评估，实现对会计信息化风险的控制。

 

(二)IT审计是会计信息化社会和行业监管的需要

 

CPA审计的工作重点往往集中于财务数据审计，而忽视了对财务数据进行收集、记录、存储、处理、分析与输出的会计信息系统(AIS)的审计。然而，会计数据是AIS的产出，信息系统对数据的真实性、完整性以及数据分析的可靠性有重要影响。同时，针对AIS的入侵和犯罪也越来越多，AIS本身的漏洞会带来巨大损失，IT风险日益严重。基于此，各国政府和组织认识到AIS本身的合法性、可靠性、安全性和有效性是首先要被审计的。IT审计成为会计信息化接受外部监管的内在需要。

 

在国外，1969年美国的计算机犯罪案件导致了后来的世界上第一个电子数据处理审计组织一一EDP审计师协会(EDPAA)的产生;1994年EDPAA更名为信息系统审计与控制协会，ISACA是一个非牟利的独立组织，工作内容除了主办国际会议、出版《国际信息系统审计期刊》、制定国际公认的信息系统的审计与监控标准，还推出各项全球公认的专业认证注册信息系统审计师。目前，CISA正在会计信息化监管中扮演着日益重要的角色。

 

1999年审计署颁布了独立审计准则第20号一一《计算机信息系统环境下的审计》，对CPA基于会计信息化的审计工作做了要求。2001年，国务院办公厅颁布了〈关于利用计算机系统开展审计工作的通知》。《通知》规定，审计机关有权审查被审计单位包括财务会计系统在内的计算机管理信息系统;审计机关发现被审计单位的计算机管理系统不符合法律、法规和政府有关主管部门的规定、标准的，可以责令其更正发现故意使用舞弊功能的计算机管理信息系统的，要依法追究有关单位和人员的责任。与此同时，国家标准《信息技术：会计核算软件数据接口》(GB/T19581—2004)于2005年1月1日起生效，进一步从法律规范和技术手段上为计算机在会计审计中的应用奠定了基础。

 

(三)IT审计是会计信息化体系的重要组成部分

 

杨周南(2003)在《论会计管理信息化的ISCA模型》一文中提出，会计信息化的工作内涵或称“会计信息化”的体系结构应由三大部分组成：⑴建立和实施IT环境下的会计信息系统(AIS);(2)确保AIS安全有效运作的系统内控制度;(3)开展对AIS及其内控制度的审计，以最终达到对AIS安全、可靠、有效和高效地应用。上述体系结构称为ISCA(InformationSystem,ControlandAuditing)模型图1)。ISCA模型是融AIS、内控制度和IT审计于一体的会计信息化体系结构，它成为我国会计信息化理论研究的基本框架。企业AIS在建设和运行过程中面临着各种风险，会计信息化通过IT审计可以发现信息系统本身及其控制环节的不足之处，并及时改进与完善，使信息系统在企业的经营管理中有效发挥作用。会计信息化中的IT审计包括计算机硬件和网络设备审计、服务器审计、操作系统和系统软件审计、程序和应用系统审计、数据和数据库系统审计、会计信息系统开发审计、会计信息系统运行审计、会计信息系统维护与升级审计等。IT审计是会计信息化体系中风险控制、确保和审查AIS有效实施的重要手段，是会计信息化体系的免疫系统。

 

(四)IT审计是开展会计信息化IT治理、实施会计信息化鉴证与评价的需要

 

信息时代的公司治理以IT为支撑，成功的企业已经意识到企业高层需要像重视业务一样重视IT，IT治理已成为公司治理的一部分。IT治理是企业为获得有效的IT应用，同时平衡IT及其流程中的风险和收益，增加价值，确保实现企业目标而采取的有效机制。IT审计是IT治理架构的重点要素，IT治理通过IT审计不断促进调整IT控制环境，使组织在风险可识别、可控、可管理的环境下保证组织利益最大化。会计信息化是企业信息化的重要内容，企业开展会计信息化的同时，必须遵循IT治理的框架和方法开展IT审计。ISACA近期的COBIT5中的《审计指南》为IT审计师对组织的会计信息系统进行分析、评估、实施、审计等提供了建议和指导。

 

IT审计同时又是实施会计信息化鉴证和评价的需要。会计信息化实施过程中，IT审计机构和IT审计师对被审计单位的会计信息系统及会计信息化建设进行检查和验证，对被审计单位会计信息系统的安全性、可靠性、有效性及效率进行审查和评价，并发表审计意见，出具书面证明，以便为审计授权人或委托人提供确切的信息，并取信于社会公众，从而为会计信息化提供鉴证职能。另一方面，IT审计机构和IT审计师对被审计单位的会计信息系统及会计信息化应用进行审查，并依据一定的标准对所查明的事实进行分析和判断，形成基于事实的评定或基于改善管理、提高效率的建议，这是IT审计为会计信息化提供的评价职能。

 

三、会计信息化IT审计的目标、内容和实施条件

 

(一)会计信息化IT审计的目标

 

会计信息化中的IT审计主要以会计信息系统为审计对象，围绕会计信息系统的IT资源、运行环境及系统的生命周期全过程，对被审计单位会计信息系统的安全性、可靠性、有效性及效率性进行审查和评价，并发表审计意见。会计信息化IT审计的目标。

 

(二)会计信息化IT审计的内容

 

会计信息化IT审计的内容包括相互联系而又相对独立的三个方面：会计信息系统本身的审计;会计信息化环境审计;会计信息系统数据的审计。会计信息系统的审计是指会计信息系统本身硬件和软件的

 

基于物理和逻辑的审计，以及基于软件生命周期的会计信息系统各阶段的过程审计。会计信息化环境的审计是指会计信息系统运行的外部环境(如防火墙、防止黑客攻击、备份制度等)及会计信息系统运行的内部环境(内部控制管理制度，如操作岗位授权、相关职务分离等)的审计。会计信息数据的审计是指财务会计数据及报表的审计。会计信息化IT审计的内容界定了会计信息化IT审计的范围。

 

(三)会计信息化IT审计的实施条件

 

IT审计的实施条件是指为促使审计目标的实现，确保审计过程的顺利开展所需要的企业内外部环境。开展会计信息化IT审计的实施条件包括：企业会计信息化水平、高层领导的重视、组织管理、审计人员的素质(IT审计师，CPA、CISA)、费用、会计信息系统审计依据与准则、其他。

 

企业会计信息化水平决定着IT审计的规模，会计信息化程度高的企业开展IT审计更具有现实性。当前会计信息化IT审计更多地应用于规模较大的银行、保险等大型金融类企业以及中央企业，如中国人民银行、中国烟草总公司、中化集团、中国石油化工集团等。企业高层领导的重视或介入使得IT审计更具有便利性。会计信息化已构成企业提高核心竞争力、获得生存与可持续发展的重要影响因素，已成为企业的重要资产，与企业的其他资产一样对会计信息系统加以控制和审计变成了企业必然的要求，企业需要在组织管理层面上为接受和实行IT审计做好准备。会计信息化环境下的IT审计要求审计人员掌握信息技术并熟悉会计与审计知识，可以是信息系统审计人员和注册信息系统审计师(CISA)。CISA既要熟悉信息系统的软件、硬件、开发、运营、维护、管理和安全，又要熟悉经济管理的核心要义，能够利用规范和先进的审计技术，对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。开展会计信息系统IT审计工作所发生的成本支出表现为费用，费用是开展IT审计的必要前提。会计信息系统审计依据是指IT审计师提出审计意见、做出审计决定的依据，会计信息系统审计准则是IT审计工作本身的规范，是审计人员的行为指南。会计信息系统审计依据包括会计信息系统的管理制、条例和法规、ISO9000、会计信息系统的实际运行情况等，而会计信息系统审计准则可以参照ISACA的信息系统审计标准。

 

四、会计信息化中开展IT审计面临的问题

 

(一)企业缺乏会计信息化IT审计的自发需求

 

当前，企业管理层对于IT审计重要性缺乏高度认识，企业会计信息化进行IT审计的压力更多地来自外部监管，而不是企业内部的自发性需求。比如，2002年7月，美国颁布了《萨班斯法案》，使得在美国上市的企业都必须遵循这一旨在“提高公司披露的准确性和可靠性的改革法案;在国内，中国上市公司需遵守《企业内部控制基本规范》(2008年)、银行业要遵循《商业银行信息科技风险管理指引》(2009年)、保险业需遵循《保险公司信息化工作管理指引(试行)》(2009年)。这些外部的监管机构与法律无一例外地对会计信息化安全和会计信息系统审计提出了要求。而在企业内部，基于观念不足和成本控制的原因，会计信息化过

 

it内部审计论文篇（5）

（一）中小券商IT审计环境有待改善。

《证券期货经营机构信息技术治理工作指引》要求“证券公司应建立内部IT 审计制度，至少每两年进行一次IT 审计”，但一些中小券商的IT内部审计业务开展还不够深入。首先表现为公司高层对IT内部审计认识不足、信心不足：一是对内部审计的认识依然停留在传统的财务审计领域；二是认为内部审计难以胜任，信息系统专业性强而内部审计根本不具备专业能力。其次，作为被审部门的信息技术部门因其专业性强的特点，从未接受过内部审计，因此，工作上存在抵触情绪。再次，内审部门的人员也有畏难情绪，一旦IT审计不到位，必将加大审计风险。上述情况导致其内部审计很难在该领域有效开展。

（二）信息系统审计资源限制。

IT审计人员与审计技术工具是影响信息系统审计的两个重要资源因素。内部审计准则第28号要求，IT审计人员应当通晓IT技术并掌握内控、管理和审计技能。而实际工作中，在企业具有多年IT从业经验又具备审计技能的复合型人才较为缺乏。2002年中国大陆引入注册信息系统审计师（CISA）考试培训以来，截止目前获得CISA资格的人也仅1000余人，专业人才资源的缺乏制约了券商有效开展专业的信息技术审计。

审计技术工具是影响IT审计系统质量与效果的另一个关键因素。鉴于IT审计技术性和专业性极强的特点，内部审计部门配备访问控制分析软件、系统配置分析软件、测试数据生成器、固件监测器等技术工具往往又受制于企业的财务预算限制和公司对信息技术的安排。

（三）信息系统审计标准缺乏。

COSO-ERM框架提出企业的风险管理应建立在一系列指标或标杆基础上实施事项识别、风险评估与应对。证监会2011年12月以行业标准（JR/T 0060-2010）形式颁发的《证券期货业信息系统安全等级保护基本要求》也对证券公司设置了五个等级的安全保护能力标准，券商应根据业务发展和风险控制能力制定适合本企业的风险控制等级标准。但实际工作中，还存在券商并未建立IT控制基准或基准建立没有涵盖所有系统的现象，这就造成了IT审计中缺乏标准和依据。

（四）信息系统风险的识别与评估的体系尚未建立。

在证券公司日常业务中出现的服务器宕机、通信中断、网络病毒等方方面面的风险事件，会给证券公司带来巨大损失。很多情况下，证券公司对IT风险的管理仍然停留在风险发生之后的分析与补救，没有形成一套对潜在风险开展系统化的识别与评估的方法，定期的风险识别评估机制的缺乏、审计环境基础薄弱成为开展风险导向型信息系统审计所面临的一个难点。

二、证券公司开展信息系统审计的对策

中国内部审计协会2009年1月1日正式施行的《内部审计具体准则第28号——信息系统审计》也标志着国内在内部审计领域开展的IT审计走向成熟，准则的颁布对证券公司信息系统内部审计工作具有重要的指导意义。针对证券公司信息系统审计所面临的问题和难点，本文从以下方面探讨其解决方案。

（一） 促进内部审计环境的不断改善。

内部审计效能发挥的关键取决于公司高层对内部审计的态度，为营造良好的内部审计环境应从以下三个方面入手：

1.加强内部审计准则和风险导向审计理念的宣传。证券公司高层对现代内部审计在企业全面风险管理（包括IT治理）中作用正确认识，才能使内部审计能够从公司高层获得信心支持、立项支持与财务支持，IT审计才能有效地开展。

2.内部审计应该树立主动服务意识与沟通意识。开展IT审计不只是对IT系统的检查和问题的揭示，更应该是协助公司高层，帮助信息技术部门把控IT风险，防范证券业务风险。因此沟通技巧也是有效开展IT审计的重要影响因素。内部审计部门在沟通方面，应积极主动与公司高层加强沟通以获取支持，与IT管理部门平等、协作取得IT部门的理解、配合，目的在于维护IT系统的安全运行。

3.内部审计人员不断加强信息系统学习。IT审计人员应该积极掌握和熟悉内部审计业务，具备必要的信息技术及信息系统审计的专业知识，克服畏难情绪，知难而进，树立“有为才有位”的观念。

（二） 建立并实施内部审计发展规划，化解IT资源稀缺的矛盾。

证券公司应该结合行业的发展、业务的开展和管理的需要，重新定位内部审计，建立内部审计发展规划，将审计资源稀缺问题纳入到证券公司的整体发展规划之中。

1.内部审计部门应该结合业务的发展，配备适当的IT审计人员。通过内部培养、外部引进相结合的方式发展IT审计人员，鼓励审计人员取得注册信息系统审计师职业资格，通过人员选聘、培训、技术设施配备等措施化解IT审计资源不足的矛盾。在审计部门暂时不具备IT审计能力的情况下，内部审计部门可以聘用外部专家或内审业务外包的形式开展IT审计，通过审计成果，提高内部审计的履职效能。

2.证券公司应结合业务发展和审计的需要给予必要的支持，在系统权限、专业审计工具引入、财务预算分配等方面放宽限制，确保IT审计质量和审计效果。

（三） 推动证券公司建立明确的IT控制标准。

建立并应用明确的IT控制标准作为审计依据可以提高审计的质量与效果。鉴于证券监管机构已推出《证券期货业信息系统安全等级保护基本要求（试行）》等行业规范，在物理安全、网络安全、主机系统安全、应用安全和数据安全等技术上的五个层面以及安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面已做了明确的要求，IT审计人员应在审计过程中推动公司建立适合公司自身的IT控制标准。

在企业尚未建立全面、明确的IT控制标准情况下，审计人员应当根据实际情况，结合企业战略、目标、风险偏好及成本效益等因素，采用国际通用标准与成熟实践（如COSO、COBIT、ISO27001等）作为审计的依据，同时推动IT治理层对这些标准的认可和采用。

（四） 积极探索IT审计方式，促进IT治理不断完善。

内部审计部门应结合本公司的实际，在IT审计开展初期，审计部门应加强内部审计准则和证券行业的IT监管要求的宣传，使公司从董事会、经营层到业务部充分了解IT控制规范，认识IT治理、防范IT风险的重要性。审计部门通过选派审计人员深入IT业务部门蹲点学习，开展系统的IT调研和IT自查活动等，帮助IT部门发现问题，共同探讨解决方案，提出富有成效的建议。通过转变IT审计方式与成果运用，引领、促进IT控制标准的建立，IT自我评价标准机制、IT监测机制的改进，促进IT治理的不断完善，从而为IT内部审计的有效开展创造良好的环境条件，以达到相互促进，共同发展的目的。

（五） 建立完善的信息系统审计策略。

1.建立系统化的审计实施流程。实施信息系统审计的首要任务是找出证券公司所面临的各类信息系统风险，对所有的信息系统风险进行系统地分类与识别。内部审计部门对风险的识别和评估有别于IT部门的定期风险自查式识别、评估，它是建立在IT风险评估基础上的再评估，审计中不仅关注对识别风险的控制恰当与否，还要从第三方角度发现未识别和未控制的风险，评价风险识别机制，这也正是IT审计的核心所在。

2.建立系统化的风险识别标准。我们在进行风险识别过程中，采用中国内审协会《内部审计具体准则第28号——信息系统审计》，它对信息技术风险的分类进行了规定，将各类IT风险归类为组织层面的IT风险、一般性控制层面的IT风险及业务流程层面的IT风险3个层面。

其中，组织层面风险是指IT治理、控制环境与组织框架等方面的风险；一般性控制层面的风险主要指IT基础设施与运行风险；业务流程层面风险指应用系统在业务数据输入、处理与输出过程中所产生的风险。各层面风险既有独立特征，又相互关联。

我们在对IT风险识别过程中，可以借鉴国际通用的IT风险控制的分类方法，如COSO框架的5项要素（内部环境、风险评估、控制活动、信息与沟通、监控）或是COBIT框架的4个领域（计划与组织、获取与实施、提供与支持、监控与评价）。尤其是通过将现行内部审计具体准则与COBIT相结合的方式，可以更加系统与清晰地对IT风险进行有效识别。

it内部审计论文篇（6）

随着计算机网络的发展，商业银行在处理业务时对计算机信息系统的应用程度越来越高。信息系统就像一把双刃剑，它在带来经济效益的同时，也使商业银行面临巨大的风险，因此对信息系统进行严格规范的控制尤为重要。为了保证信息系统的安全、可靠与有效，实施有效的IT审计成为商业银行一项迫在眉睫的任务。

一、商业银行实施IT审计的必要性

1.这是由商业银行业务高风险性的特点决定的

商业银行本身是一个高风险行业，在银行业务中的主要风险包括：战略性的，名誉性的，操作的，信用，货币兑换，利率，流动性。随着银行业务信息化程度的提高，特别是近年来网络银行和信用卡的兴起，银行的业务和信息系统之间的联系不断加强，信息系统需要不断的修改和完善以适应业务发展的要求。当信息系统跟不上业务发展的需要时，就会造成系统故障，系统错误等情况，导致一些业务不能正常开展，这使得商业银行面临的战略性，名誉性，操作性的风险越来越大。为减少这些风险，这就需要IT审计对系统进行严格的规范控制，对信息系统进行综合的检查和评价以保证信息系统适应银行业务发展的需要。

2.这由信息系统本身的特点所决定的

信息系统的开发是一项长期而且庞大的工程，需要耗费大量的人力、物力以及财力，它具有投资大，风险高的特点，若开发不当，则可能会使信息系统无法投入使用，或即使能勉强投入使用，但在使用过程中也会错误不断，需要极高的成本来维护系统，因此需要IT审计对信息系统的开发过程进行跟踪审计，及时发现并改正错误，保证信息系统的质量，降低系统后期的维护成本。同时，由于并不存在十全十美的信息系统，也不可能在系统开发过程中发现全部潜在的错误，这使得在系统运行过程中可能会出现系统故障，系统错误，黑客攻击漏洞等情况，这可能会使数据被破坏，客户隐私被泄露，经济效益遭受损失，对商业银行的声誉、经营造成影响。这就需要在信息系统运行维护阶段进行IT审计找出系统的缺陷和不足，并提出改进和完善的意见，以保障系统安全、可靠以及有效的运行。

二、商业银行IT审计的现状及改进措施

1.建立完善的商业银行IT审计制度

在我国制度创新还跟不上IT的发展，相关的IT审计法规、准则存在着一定的滞后现象，目前存在相关法规、准则仅有审计署于1996年颁布的《审计机关计算机辅助审计办法》，1999年颁布的《独立审计具体准则第20号――计算机信息系统环境下的审计》等几个。而近年来IT发展迅速，这些法规、准则不一定能适应新的系统环境，这将会给商业银行的IT审计的实际操作带来一些困难和影响。为了促进商业银行的IT审计的发展，应该完善相关的法规、准则，使之跟得上IT的发展。同时，根据国际趋同的要求，我国也应根据国际IT审计的国际标准――COBIT（信息系统和技术控制标准）建立符合中国实际、顺应国际准则趋同化要求的内控、风险管理体系、IT监审机制和制度。

2.加强IT审计的连续性

由于商业银行信息系统的开发多采用外包方式，这使得在实施IT审计时容易忽视信息系统开发阶段的IT审计，使得IT审计缺乏连续性。而系统开发阶段存在的一些潜在的问题可能会系统在运行维护阶段逐渐暴露出来，这个时候就需要去系统本身进行修正，与在系统开发阶段进行的修正相比，此时的花费的成本将更高。因此，需要加强在系统开发阶段的IT审计，加强IT审计的连续性，这将有助于保障高质量的信息系统的开发，减少系统存在的潜在问题，降低运行维护阶段的维护成本。

3.提高商业银行内部IT审计的质量

商业银行一般都拥有自己的IT部门，由于部分内审人员计算机知识与技能有限，这使得在进行内部审计时会在一定程度上依赖IT部门的人员的帮助，诚然这些IT部门的人员对于计算机知识以及相关的业务十分熟悉，有利于内部审计的实施，但是这却让他们拥有运动员和裁判员的双重身份，使得内部审计的独立性遭到质疑，内部审计的质量得不到保证。而高质量的内部审计能使信息系统安全、可靠以及有效的运行，同时也使信息系统容易通过外部审计。因此，需要在商业银行内部设立独立于IT部门的IT审计部门，实施有效的内部审计。

4.培养IT审计专业人员

我国商业银行IT审计起步较晚，IT审计专业人员在数量上严重不足，同时在专业技能方面与国外相比也存在一定的差距，而这些因素也在一定程度上影响了商业银行IT审计质量的提高，因此需要大力培养IT审计专业人员。对此，我们可采取专家讲课、委托培训、公派交流学习等措施来培养IT审计人员，提高IT内审人员的素质。

5.借鉴国外的一些先进经验

我国IT审计起步较晚，虽然在近年来取得了较快的进步，但相对于一些起步较早的国家而言，总体水平并不是很高。我们可以根据自身的实际情况，借鉴一些适合我国国情的先进经验，比如：挪威的数据获取自动化（TOMAS）系统，它能在提高效率保证质量的同时，使审计人员可以采集存储在财务管理会计系统中的基本数据而不增加被审计单位的安全风险；美国利用互联网实施联网审计，审计人员可以通过网络获取被审计单位的有关资料开展审计工作等。

参考文献：

it内部审计论文篇（7）

一、COBIT标准综述

COBIT(Control Objectives for Information and related Technology)是美国信息系统审计和控制协会ISACA(Information Systems Audit and Control Association)基于其原有的控制目标体系(Control Objectives)，结合并改进现有的正在发展中的其他国际技术标准和工业标准而制定的控制目标体系,是国际上最先进、最权威的安全与信息技术管理和控制的标准。COBIT控制目标体系是一个较完整的信息系统管理和控制的参考模型,它将政府和企业的信息化归纳为34个IT处理过程，并逐个提出指导意见。通过将COBIT应用到信息系统的开发和实施环境，可以为管理人员、开发人员和审计人员来强化和评估信息技术外包风险的管理和控制提供依据。

二、IT外包的风险分析

企业IT外包处于IT战略中的资源管理层面，是帮助企业将注意力更多地投入到商业管理而非信息技术管理，进而更专注地追求核心竞争力的一条途径。尽管IT外包愈来愈普及，但外包失败的案例并未因此而减少。IT外包风险的表现就是外包失控。由于把部分或全部IT资源外包给企业外部的服务商，企业对服务商的管理就要比管理自己的IT部门复杂得多，时刻会面临失控，主要表现在以下三个方面:

风险一:IT外包可能会在服务的及时提供和服务的质量方面达不到预期效果。

风险二:企业对承包商的依赖度高反而降低了企业的灵活性，企业成本不降反升。

风险三:企业的商业机密可能会被泄露，知识产权可能会被盗用。

三、基于COBIT的IT外包风险管控体系

COBIT的控制目标主要是针对信息系统的管理控制和运行控制，COBIT提出的控制目标可以应用到所有的信息系统。因此，它的控制目标对IT外包系统来说大部分是适用的，但因其业务特殊性，必须结合发包企业的具体环境和承包商的实际情况，加以修改、补充和完善。

1.组织与规划

系统规划是IT外包项目建设的第一步，包括发包企业的战略目标、政策和约束、计划和指标分析;发包企业原有的建设目标、建设模式;企业信息的功能结构、组织、人员管理；IT外包的效益分析和实施计划。规划的好坏对IT外包项目的建设的成败有至关重要的影响。

整个信息系统的建设要以优化企业的核心业务流程，提高工作效率，更好地发挥企业综合协调与服务的职能为总体目标。规划必须满足:规划本身应当明确无误而且易于理解，应当是一个可以为大多数人所理解和认同的概念。规划必须得到领导小组的认可;规划目标应当是可衡量的；规划必须建立在对内外信息调查的基础上制定。

2.获取与实施

系统分析是在充分的调查的基础上对企业内部的整体管理状况和信息处理过程进行分析。系统分析的工作量非常大,所涉及的业务、人、数据和信息非常多。而且在实际情况中,企业信息化的需求难以一次确定,并且会不断发生变化;另一方面，承包商对政府的具体业务业并不熟悉,常常会发生理解上的偏差,从而导致建模的错误。因此,完成的系统分析必须满足以下一致性、完整性、现实性和有效性这四方面的要求。然后在系统分析的基础上,研究承包商外包方案的可行性,制定相关技术标准、实施规范。

3.服务与支持

发包企业的需求是不断变化的，商业目标也是随着企业的发展而逐步更新的，承包商要做好完善的数据跟踪，在可行范围内满足发包企业的需求，不断改进和修正开发计划中遇到的问题和缺憾。

4.审计

IT外包项目在发包企业实施以后，系统的可靠性、安全性和有效性是非常重要的，系统中的信息成为政府最宝贵的资源。内部审计是在政府内部建立信息系统审计组织，由内部信息系统审计人员对电子政务系统的可靠性、安全性、有效性进行检查与评价，将结果报告给政府管理层。内部信息系统审计部门，从组织地位上来讲必须独立于政府的IT职能部门和最终用户部门。

构建基于COBIT的信息系统管理、控制与审计模型，将便于人们对信息系统建设与应用过程的理解与分析,指导人们建立相应的机制,将信息系统建设与应用的全部过程置于有效的管理与控制之下。对信息系统的投资者和管理者,将帮助他们在通常不可预测的IT环境下平衡风险与投资。对信息系统的使用者,将通过管理、控制和审计为他们提供安全保障和一定的服务水平。对审计师而言,将帮助他们明确审计轨迹,使他们做出的鉴定和劝告更具说服力。

四、总结

it内部审计论文篇（8）

（一）对审计实施方法的影响

目前，人们一般把运用计算机进行审计的技术称为CAAT技术。所谓CAAT就是Computer assisted auditing techniqu的缩写，即计算机辅助审计技术，是由一种或一系列专门针对某项审计职能而设计的计算机程序组成。在审计中借助它进行符合性测试或实质性测试。从而获取企业内部控制的审计证据。作为辅助审计技术，只要被审计的计算机信息系统不进行大的变动，就能使审计人员在短时间内正确无误地处理大量数据；审计人员还可以直接审计被审计单位电算化系统本身并打印出数据副本；可以长期作为获取审计证据的方法。因此，计算机辅助审计技术是一种经济、适用、长期受益的IT方式，被各审计单位广泛采用。具体地讲主要有以下几种：

1、数据检验技术。数据检验技术是指审计人员设计出一些虚拟的经济业务数据，提交给被审计单位的计算机数据处理系统进行处理。根据检测的目的，检测数据应包括合法和非法的数据。将系统对检测数据的处理结果与审计人员的预期结果进行对比，以确定系统控制是否存在并有效地执行。

这种方法简单易行、成本较低；但检测数据可能影响被审计单位计算机系统的正常运行，检查的范围也受审计人员对该系统的了解和想象力的局限。

2、平行模拟技术。平行模拟技术是审计人员模拟被审计单位对实际数据的处理情况而设计的一系列程序，它可以将被审计单位的真实数据用审计人员的程序重新处理一遍，以验证数据处理的正确性，平行模拟技术在日常审计中主要动用的方法是ITF（Integrated Test Facility）。ITF是一个建立在活动数据文档基础上的程序，使得审计人员能够不影响企业真实营运或财务数据的情况下对系统进行测试。大部分的电子商务软件包都配有ITF设置。审计人员可以通过VAN或第三方网络供应商对控制系统进行交易测试，当然前提是企业必须授权VAN接受审计人员启动的交易并将其发送至客户的信箱中，这种交易测试可以持续进行或者周期性进行，再将测试结果与期望结果相比较，从而得到验证；另一种替代方案是建立一种特定的审计交易类型（在VAN登记），重复现行发生的交易，并将结果反馈给审计人员，由审计人员对结果进行评估。

平行模拟技术具有不破坏被审计单位的数据文件，审计人员可以在不增加很多成本的情况下，扩大样本规模，独立地进行测试的优点；但这种技术的使用对审计人员的要求较高，如要求审计人员要注意所选取的数据要有代表性，所设计的审计程序也要达到被审单位计算机系统的处理能力。

3、嵌入审计模块。嵌入审计模块技术是指在被审计单位的计算机数据处理系统中加入为完成审计目的而编写的程序。嵌入的审计模块是被审计单位的计算机数据处理系统的一个组成部分，它可以按照审计人员的要求，以特定的时间间隔，或在系统中的数据达到某种条件时，为审计人员生成和输出有关的报告、嵌入审计模块主要以在线监测的方式被运用在审计工作中。在线监测是考虑到电子商务的交易数据可以会消失或改变的情况，而通过网络系统在交易进行的过程当中对企业业务的敏感和重要环节的即时监测，从而发现异常情况，掌握审计证据的技术。在线监测系统应该对计算机信息系统进行24小时全天候监测，迅速提交用户告警的详细信息和进行准确的告警定位，从而提醒审计人员异常情况的出现；也可以进行在线查询和实时测试，获得系统的实时运行数据。另外，监测系统还可以依据所储存的各项监测数据进行统计分析，掌握企业信息系统的运行情况，提示客户进行及时的维护预防。

嵌入审计模块技术虽然可以对被审计单位的计算机数据处理系统进行动态的监控，但它要求在系统设计时就应予以考虑，并应建立必要的控制措施，防止未经授权的人员接触和使用嵌入的审计模块及其生成报告。由于嵌入模块审计技术的使用条件比较苛刻，只适用于选定的范围。

4、远程审计。远程审计是指基于计算机网络，通过人机合作，对被审计单位进行的非现场的审计工作，远程审计主要实现审计信息网上传送和信息资源共享，审计人员只要把自己的计算机与网络连通，并取得被审计单位给予的审查权限，就可以在任何地方通过网络完成除实地盘点和观察外的大部分审计工作。审计人员可以通过网络审查远距离外的计算机信息功能；调用系统的审计功能或使用审计软件对系统的经济信息进行抽样、审查、核对和分析；使用电子邮件向被审计单位的银行、客户和供应商等进行函证；在网上复制有关文件或数据等审计证据、编写工作底稿等等，审计项目负责人可以在网上制定审计计划，给在不同地点的各审计人员分配审计任务；在网上复核助理人员的工作底稿，并对助理人员给予指示与帮助；随时了解审计项目进展情况，协调各审计人员的工作；草拟和签发审计报告，远程审计尤其适用于对电子数据的审阅、核对、复算、询查，但对于需要实物鉴定或就地盘点的审计证据，还必须依靠就地审计的方式，如观察或盘点等获得。

远程审计技术充分利用计算机网络的超越时空的特点，更具时效性，可明显节约审计费用，它的运用范围较广。

（二）对审计报告的影响

IT审计结果最终应以报告书形式归纳，向企业的最高领导提交。原则上，IT审计报告由承担该审计的IT审计人员完成，并在得到IT审计负责人的认可后方可提交。一般来说，IT审计报告大致由综合审计意见及个别审计意见两部分组成。

1、综合审计意见

综合审计意见包括本次审计的概要，重要的问题以及综合的结论。大致包括以下各项：（1）IT审计对象范围、实施日期及实施过程的概要；（2）IT审计目的；（3）重大问题及改进对策方案的概要；（4）本次审计的综合结论。

2、个别审计意见

个别审计意见是指在IT审计过程中发现的个别问题。大致包括以下内容：（1）问题所在及现状；（2）考虑这些问题的危险性及影响；（3）IT审计人员提议的改进对策。

IT审计报告是对IT审计实施的最后归总，目的是让被审计部门的最高领导明白该信息系统在可靠性、安全性与有效性等方面整体的状况及重大问题所在，IT审计报告必须简洁明了，重点突出，要考虑到有些企业领导不是信息系统专业的，因此技术用语或专业用语要尽量少用，在不得不用的情况下，最好附加一些说明。另外，对于企业最高领导想了解的问题或存在的疑问等，必须给予明确的回答。

在起草IT审计报告时要注意：（1）专业用语不能过多；（2）劝告的内容不能过于抽象，要尽量具体；（3）对于缺陷，一定要有明确的证据；（4）要有具体的解决实施方案，并考虑实施的可能性；（5）解决方案要考虑费用与效果比，费用不能过高；（6）详细的技术事项另付说明；（7）报告书中不能有对个人的攻击；（8）要考虑机密信息的保护。

IT审计报告书的内容包括：（1）IT审计人员制作IT审计报告的时间；（2）对信息系统的可靠性、安全性及有效性进行评价的结果；（3）系统存在的问题；（4）根据存在的问题提出的改进劝告；（5）根据改进的劝告提出的改进方案；（6）其他的必要事项。

需要指出的是，IT审计不是以提交报告书为结束，而是对审计报告中提出的问题特别是重大问题，要跟踪整改的状况，确立IT审计跟踪制度。

被审计部门要在规定期限内提交整改计划，IT审计师随时与被审计部门接触，了解跟踪整改的状况。如整改进展缓慢，要帮助找出原因，促使整改的完成。IT审计要达到最终目的，审计结果的跟踪是不可缺少的，并要使其成为一种制度。

it内部审计论文篇（9）

随着信息技术的兴起，信息系统已经渗透到社会生活的方方面面，它在给人们带来便利与效益的同时，也带来了很多负面影响，如计算机犯罪案件的频频发生等，系统安全问题日益严峻。于是一个不容回避的问题——我国企业如何有效地开展信息技术审计（InformationTechnologyAudit，以下简称IT审计），保证信息系统安全，摆在我们面前。本文拟对此进行探讨。

一、IT审计的定义及其特点

IT审计是指对信息系统从计划、研发、实施到运行维护各个过程进行审查与评价的活动，以审查企业信息系统是否安全、可靠、有效，保证信息系统得出准确可靠的数据。由以上定义可知，IT审计的目标是保证IT系统的可用性、安全性、完整性和有效性，最终达到强化企业内部控制的目的。

该审计过程具有以下特点：

1.IT审计是一个过程。它通过获取的证据判断信息系统是否能保证资产的安全、数据的完整和组织目标的实现，它贯穿于整个信息系统生命周期的全过程。

2.IT审计的对象综合且复杂。IT审计从纵向（生命周期）看，覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务；从横向（各阶段截面）看，它包含对软硬件的获取审计、应用程序审计、安全审计等。IT审计将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。

3.IT审计拓宽了传统审计的目标。传统审计目标仅仅包括“对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见”；但IT审计除了上述目标外，还包括信息资产的安全性、数据的完整性及系统的可靠性、有效性和效率性。

4.IT审计是一种基于风险基础审计的理论和方法。IT审计从基于控制的方法演变为基于风险的方法，其内涵包括企业风险管理的整体框架，如内部环境的控制、目标的设定、风险事项的识别、风险的评估、风险的管理与应对、信息与沟通以及对风险的监控。

二、我国IT审计面对的挑战

IT审计和传统审计相比具有的上述特点是吸引我国众多企业引入IT审计的重要原因，但是这种方法的应用又会给企业提出巨大的挑战。

1.传统审计线索的消失。在手工会计环境下，审计线索主要来自于纸质原始凭证、记账凭证、会计账簿和会计报表，这些书面数据之间的勾稽关系使得数据若被修改可辨识出修改的线索和痕迹，这就是传统审计线索的基本特征。但是现在计算机网络信息系统中这些数据直接记录在磁盘和光盘上，无纸张记录，审计人员用肉眼无法直接看到这些数据如何记录，且非法修改删除原始数据也可以不留篡改的痕迹，从而为舞弊人员作案留有可乘之机。尽管许多审计机构要求已实现会计信息化的企业将所有原始凭证、记账凭证、账簿、报表打印输出，使用绕开计算机系统的审计方法，并以打印出的证、账、表作为基本审计的线索和依据。但是如果原始数据在业务发生时就被有意篡改，则其派生的记账凭证金额和账户余额及报表数据也一定会出错，打印出的数据也不能作为审计证据。因此即使打印出所有电子数据，传统审计线索也会在计算机信息系统下完全消失。

2.计算机信息系统的数据安全面临挑战。手工信息处理的环境下，审计人员无须将数据和会计信息的安全性问题作为审计的重要内容，但是在IT审计的工作中，网络电子交易数据的安全是关系到交易双方切身利益的关键问题，也是企业计算机网络应用中的重大障碍和审计的首要问题。例如计算机病毒的破坏、黑客用IP地址欺骗攻击网络系统来获取重要商业秘密、内部人员的计算机舞弊、数据丢失等，都是传统审计从未涉及的，但又是IT审计的重点，这对当前我国的审计工作无论是操作系统，还是制度建立等众多方面都是一个很大的挑战。

3.IT审计专业人才匮乏，适应IT审计事业发展的人才培养和管理机制还有待建立和健全。由于IT审计固有的复杂性，这项工作需要具备会计、审计、组织管理和计算机、网络技术等综合知识的人才，而且工作人员需要对内部控制和审计有深刻的理解，对信息和网络技术有敏锐的捕捉能力，在我国获得注册信息系统审计师资格的人数远远不能满足信息系统审计业务的需求。

三、我国IT审计应对策略

面对上述挑战，我们应当多方位、多角度制订措施，使IT审计工作更好地为我国企业发展做出贡献。具体措施如下：

1.审计线索的重建。根据计算机网络系统容易在不同地方同时形成相同“原本”数据的特点，可以重建电子审计线索：在电子化的原始数据形成时，同时在审计机构（包括内审机构）和关系紧密（签字确认）的部门形成原始数据的“原本”，或在不同部门各自形成相关的数据库（特别应当包括数量、金额和单价等主要数据项），这样不仅可以相互监督和牵制，还给计算机审计提供可信的审计线索。这种保留审计线索的方法，一方面成为有力的控制手段，另一方面可从审计线索中发现疑点。这种方法主要是应用专用的审计比较软件，同时将几个部门的同一种数据库进行自动比较形成有差异的数据记录文件，详细审查相关的数据文件和访问有关的当事人，从而取得有力的审计证据。上述比较审计方法是在不同部门同时形成业务数据文件的情况下应用，如果企业业务数据分离存放，如销售合同与销售发票、提货单在不同的部门保存，这种实质性测试也可采用比较审计法，应用专用的审计软件，结合相关的几个业务数据文件进行比较，查出有错误疑点的记录。

it内部审计论文篇（10）

公司治理是建立组织各利益相关者之间的相互制衡机制，管理风险，有效实现组织目标的一系列过程及制度。内部控制制度是实现善治的制度安排之一。IT治理是实现公司治理的工具。IT治理不等于治理IT技术，它是一个信息时代背景下的制度安排，包括内部控制、审计以及公司信息的披露等。IT内控是内控的一个组成部分，信息时代，企业管理信息化水平日益提高，信息资产成为企业的核心价值资产，IT在给企业带来竞争力的同时，也带来了极大的风险。因此利用IT技术加强内部控制，并对信息系统自身加强管理控制，成为公司治理及IT治理必不可少的组成部分。IT内控是强化风险管理，完善信息时代公司治理的必要手段。IT治理、内部控制、审计、风险管理体系等都是促进公司治理的有效工具。

SOX法案的出台，对企业的公司治理、IT治理及IT内控提出了更严格的要求。

一、SOX法案的要求：

1.对公司治理的要求：

（1）要求上市公司必须建立审计委员会，并对审计委员会的人员组成做出了规定，保证审计委员会的独立性，同时赋予审计委员会更多的责任：《萨班斯-奥克斯莱法》，及其紧接着全美证券交易商协会和纽约证券交易所于2003年11月又的新的公司治理最终规则详细地界定了审计委员会的职责， 具体来说应包括：1）每年获取并审查独立董事提交的报告。2）与管理当局、独立审计师一起讨论经审计的公司年度财务报表和季度财务报表，包括公司在“管理当局对财务状况和经营结果的讨论和分析”项目中进行公告的财务事项。3）讨论公司收入公告及向分析师和评估机构的财务信息、收益指南。4）讨论风险评价、风险管理政策。5）分别与管理当局、内部审计师（或其他负责内部审计机构的人员）和独立审计师定期会面。6）与独立审计师讨论所有的审计难题以及管理当局的反应。7）制定清晰的关于聘用现任或前任独立审计师的政策。8）定期向董事会报告

（2）增加高管人员及董事会的责任：CEOs and CFOs必须保证财务报告真实，要求发行人的CEO和CFO保证定期报告没有对重大事件的不真实表述，也没有遗漏必须披露的重大事件，并保证财务报告在所有重大方面都公允反映了发行人的财务状况和经营成果。在此基础上，法案单独规定了对管理人员证明财务报告时失职的刑事处罚。CEO和CFO如果知道定期报告不符合上述要求但仍然做出保证的，将判处不超过100万美元的罚款，或是不超过10年的监禁，或是二者同罚；如果是蓄意做出书面保证的，将判处不超过500万的罚款，或是不超过20年的监禁，或是二者同罚。

2.萨班斯法案对内控的要求：

（1）法案302要求：公司管理层设计所需的内部控制，并保证首席官员能知道该公司及其合并报表子公司的所有重大信息，尤其是报告期内的重大信息；评价公司的内部控制在签署报告前90天内的有效性；在该定期报告中他们上述评价的结论。

（2）法案404节要求：编制的年度报告中包括内部控制报告，包括：强调公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任；发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价

3.萨班斯对审计师的要求：增加了审计师对信息系统的审计，要求审计师必须了解业务如何穿过系统，而不是绕过系统。审计师必须了解业务流程，评价IT 应用控制与一般控制的设计及效果。评价 IT 控制设计效果，确定这些控制设计是否适当地实现相关目标。实施IT控制执行效果测试。

二、对上市电信运营商的挑战

萨班斯法案对高管严格的法律处罚令其中许多公司的最高管理层都如坐针毡、夜不能寐。美国有多达5000家大中型公众公司在2004年11月15日后结束的财政年度中紧张异常，这而对于公司治理尚不完善的中国电信企业领导来说，更是意味着要承担重大国际法律责任的风险。公司治理决定企业的兴衰，企业的兴衰决定国家的兴衰，因此公司治理建设不能出现任何重大失误。

我国电信企业在公司治理制度在股份制改造过程逐步发展，中国网通借美国上市契机建立了新型的公司治理结构，董事长与CEO分离，在董事会下设4个委员会：审计委员会、战略规划委员会、公司治理委员会和薪酬委员会。2005年3月7日，在京召开的中国电信集团实业工作会议明确：经过3年左右的时间，逐步规范法人治理结构。由于我们的企业处于社会转型的特定时期，公司治理水平与日、美等发达国家有一定的差距。信息产业部电信研究院公布的《中国电信业国际竞争力发展报告（2004年）》显示，我国电信业国际竞争力在全世界主要国家和地区中（共33个国家和地区）排名第14位，然而细细看来，却发现了很多隐忧。报告将国际竞争力解析为3大竞争力：环境竞争力、市场竞争力和企业竞争力，其中企业竞争力排名27，企业竞争力指数包括“技术创新”、“生产率”和“公司治理结构”，排名分别为18、28和21.不难看出，目前我国电信企业的公司治理水平。要成为电信强国，环境竞争力、市场竞争力和企业竞争力三者缺一不可，因此，我国目前距离电信强国还有较大差距。从分析要素来看，法律和制度框架、政府效率，以及企业技术创新、公司治理结构等 “软件”能力偏弱，单条腿走路。我国几大运营商中虽然已经有中国移动和中国电信进入了财富500强，虽然几大运营商均已上市实现了公司化治理，但由于脱胎于老的国有企业，因此公司管理能力和治理结构仍有待提高。因此，提高企业竞争力，就应该从改善公司治理结构做起。

三、运用信息化手段，完善公司治理

1.完善公司治理机制。我国电信运营商需要健全公司内部治理的规则和程序、建立公司的合法守规管理、完善约束与激励机制、加强公司的内部控制体系以及建立公司的风险管理与控制机制。虽然在现有的公司治理结构中，有些公司也有审计委员会、独立董事等监督机制，但这些人员的任职资格、发挥作用的程度、以及职责定位等都需要进一步改进。

2、利用信息技术，完善公司治理的监控体系。公司治理是一种对公司管理和运营进行监督和控制的体系。其核心是在所有权和经营权分离的条件下，解决好所有者和经营者的利益不一致而产生的委托-关系。由于委托人（所有者）和人（经营者）是不同的利益主体，委托人（所有者）与人（经营者）相比处于信息劣势的情况下，必然有成本或激励问题的产生。为完善公司治理，必须重视委托与之间的信息不对称问题，通过对公司重要信息有效的传递、鉴别和处理，使成本最小化，提高企业的经营绩效。萨班斯法案强化公司治理要求的目的也是提高上市公司透明度，提高公布信息的质量，加强信息披露，从而保护投资者的利益。

在市场经济中，信息交换是否充分，是否对称，直接关系到市场经济是否公平、是否有效。为了保证信息公平、公开，人们设立了一系列内外部机制。独立董事担任的审计委员会，公司聘请的会计师事务所都层层对公司财务信息的真实性、准确性、及时性进行审核、这些约束与激励机制的有效性取决于公司信息真实与准确性和处理与传递效率的问题。在这点上，IT技术正成为日益有效的工具。

萨班斯302、404、以及409等条款对公司的要求，使得IT在公司治理机制中的作用日益凸现。由于信息技术不以人们的意志为转移地在各类组织中的普遍应用，IT在各类组织中的多层次、横纵向嵌入，正在改变着组织的业务流程，进而改变组织的结构、组织的管理及公司治理；特别是电信企业对IT的依赖性非常大，没有相应IT治理机制的公司治理，使无法满足萨班斯的严格要求的。由于IT治理已成为完善公司治理的重要手段，成为实现 IT与业务的匹配管理、IT价值贡献管理、IT风险管理、IT绩效管理等的重要保证，花旗银行等美国大金融企业已经引进或正在引进IT治理机制。

国资委连续举办的旨在推动企业建立全面风险管理系统，进一步完善公司治理机制的企业全面风险管理培训上，也提到在公司董事会层面建立IT治理委员会，建立IT治理机制，完善信息时代的公司治理，促进现有公司治理制度安排的有效执行。但由于信息技术在治理方面所具有的复杂性，完善IT治理机制，构建符合萨班斯要求、适应时展的公司治理机制任重道远。

构建IT内控系统的思路

（1）不能因耗时且成本高昂就摒弃原有的IT控制而另搞一套。SEC管制条款内容复杂，为了满足萨班斯法案的要求，大多数企业需要调整其员工观念和企业文化，通常也需要对IT系统和其处理流程作一些改进，改进的内容包括其控制设计、控制文件、控制文件的保留，以及IT控制的评估等方面。这是一个循序渐进的过程，不能将原有的一切推倒重来。

（2）要选择好内控框架。法案并没有规定公司必须选择什么样的内控框架， 需要企业自己抉择。国际上比较有名的内控模式有英国的Cadbury、美国的COSO 和加拿大的COCO ， 它们从不同的角度剖析公司的经营管理活动， 为营造良好的内控框架提供了一系列的趋于一致的政策和建议。第2号审计标准依据COSO制定的内部控制框架制订，在“管理层用于开展其评估的框架”一节中，明确管理层要依据一个适宜且公认的由专家群体遵照应有的程序制定的控制框架，来评估公司财务报告内部控制的有效性。SEC对该标准的认同等于从另外一个侧面承认COSO框架。COSO 认为内控是由企业董事会、经理层和其他员工实施的， 为营运的效率效果、财务报告的可靠性及相关法令的遵循性等目标的达成提供合理保证的过程。内控框架的构成要素包括控制环境、风险评估、控制活动、信息和沟通、监督五个方面。这套理论得到了包括SEC、公司管理者、投资者、债权人及专家学者的普遍认可， 国外许多公司都依据这个框架建立了内控系统， 我国公司也可以按COSO 建立内控框架， 逐步与国际管理模式接轨。通过引入COSO 内控要素， 形成一个相互联系、综合作用的控制整体， 使单纯的控制活动与企业环境、管理目标及控制风险相结合， 形成一套不断改进、自我完善的内控机制。

但是很明显，SEC所推荐的COSO控制框架有助于遵循萨班斯法案，虽然它针对的是内部控制，但没有对IT控制目标和相关控制活动提出具体的要求与限制。由于COSO框架缺少对IT内部控制的内容，所以单独以COSO为构建IT内部控制的框架显然是不合适的。COBIT为管理IT风险与IT控制提供了一个综合性的分析框架，是另外一个被国际认可的业内标准，由4大部分、34个IT处理流程、318个详细控制目标组成。COBIT也涉及企业经营、萨班斯法案遵循等方面的控制。但在萨班斯法案要求下，我们只考虑应用COBIT中与财务报告相关的控制。

因此Cobit与COSO结合作为构建IT内部控制框架，将是两种国际标准优势互补。同时在确定控制点、控制程序、留下相应审计轨迹时，也可以参考BS15000以及ISO17799等一些国际标准，这些标准都是IT运营、安全方面可审计的一套标准管理控制体系。

（3）要建立一套自评估机制，确保内部控制系统的持续有效

从历史来看， 企业的发展阶段和管理状况，以及外部环境的变化都是决定企业内控系统建立和运行有效的前提。任何内部控制系统都只是在一个特定的历史阶段有效，管理层对内部控制有效性的声明，要求公司必须建立一套自我评价机制，评价内部控制系统设计、执行是否有效，以支持管理层的声明。同时自我评估机制也可以帮助公司发现控制弱的区域，以及控制漏洞，及时审势度势，弥补内控系统的缺陷，确保内部控制系统持续有效。这也是萨班斯法案所要求的。

控制自我评估（CSA）是指企业内部为实现目标、控制风险而对内部控制系统的有效性和恰当性实施自我评估的方法。国际内部审计师协会（IIA）在1996年的研究报告中总结了CSA的三个基本特征：关注业务的过程和控制的成效；由管理部门和职员共同进行；用结构化的方法开展自我评估。CSA最早出现在20世纪80年代末期，但其最主要的发展是在90年代，特别是在1992年COSO报告公布之后。COSO报告首次把内部控制从原来自上而下财务模式的平面结构发展为更具弹性的企业整体模式的立体框架。传统的内控评价方法只能用来评价诸如财务报告，资产与记录的接触、使用与传递，授权授信，岗位分离，数据处理与信息传递等的“硬控制”。在新的内部控制模式下，迫切需要评价包括公司治理，高层经营理念与管理风格，职业道德，诚实品质，胜任能力，风险评估等的“软控制”。在这种情况下，作为一种既可以用来评价传统的硬控制，又可以用来评价非正式控制即软控制的机制，CSA得到了普遍的信赖。

图1 自评估流程（略）

如图1所示，自评人员首先选择要评审的内控流程， 然后对其设计的健全性进行评价， 如果健全， 则测试其运行的有效性， 最后综合设计测试和运行测试， 评价内控系统的健全性和有效性。如果设计测试结果为不健全， 则直接进行内控系统的评价， 而不再进行运行的有效性测试。

内控系统设计测试是指为了确定被审计单位内控政策和程序设计是否合理、恰当和完善进行的测试。健全的标准即设计合理、恰当和完善， 能有效保证信息的机密性、完整性和可用性。运行有效性测试是指， 为了确定被审计单位的内控政策和程序在实际工作中是否得到贯彻执行， 并发挥应有的作用而进行的测试。有效的标准即内控政策和程序在实际工作中得到了贯彻执行并发挥了应有的作用。

为了帮助评估控制设计，图2（略）提供了一个IT控制设计与运行有效性模型，它将依赖于企业所达到的状态、阶段，我们认为有必要花时间来改进控制程序的设计和有效性。

图2显示了企业中存在的控制可靠性的各种等级。就建立内部控制目标而言，一些企业可能愿意接受等级不高于3的IT内部控制。然而，考虑到萨班斯法案要求的“外部审计师应就控制出具独立的证据”这一要求，对一些关键性的控制活动，控制的可靠性则不能低于3等级。

控制运行的有效性评估。一旦控制设计的评估结果认为内部控制设计适当，就需要对其目前和以后的运行是否有效予以测试，而该测试由控制负责人及内部控制程序管理团队来进行。

一般而言，有些控制（如一般控制）程序是其他控制程序（如应用控制）的基础，企业组织对这些控制的测试范围应更广、频率更高。判断测试范围是否恰当时，组织应该考虑IT控制是如何影响财务信息披露与报告过程的。

it内部审计论文篇（11）

商业银行是IT应用最广泛和深入的行业,鉴于信息系统对业务及运营管理的支撑作用,发达国家的商业银行非常重视IT审计,多数在内审部门设立专门的IT审计机构,其工作量约占内审工作的1/3。在审计内容安排上,其范围基本覆盖了信息系统生命周期中的所有IT活动,包括基础设施和应用软件的开发、上线、运行、维护等过程;将IT审计与业务审计结合起来开展综合审计;一些大型银行还针对系统特殊事件开展专项审计,评价IT项目风险。

目前,国际上最为IT审计界广为接受的标准是“信息及相关技术控制目标”(COBIT),它是美国信息系统审计与控制协会(ISACA)的IT治理及审计标准。COBIT从体系化、标准化的高度,构建了关于信息系统投资、建设、控制、评价、审计的知识体系和方法论,在业务风险、控制需求和技术问题之间架起了一座桥梁,以满足管理的多方面需要。COBIT是当前国际上公认最先进、最成熟的IT控制和审计高层框架,已在100多个国家的重要组织与企业中得到应用。

COBIT的主要目标是面向业务,其框架设计基于以下原理:提供实现业务目标所需的企业信息,企业需要采用一系列结构化的IT流程来投资、管理和控制IT资源,提供服务以交付所需的企业信息。管理并控制信息是COBIT框架的核心,这有助于确保IT与业务需求保持一致。COBIT将IT流程、IT资源和业务需求(信息标准)联系起来,构成一个三维体系结构。其中,“信息标准”维集中反映了企业的战略目标,包括信息及信息系统的质量、安全性和可用(信)性;“IT资源”维主要包括人、应用系统、技术、设施及数据在内的信息相关资源,这是IT治理过程的主要对象;“IT流程”维则是对信息及相关资源进行运作的一系列IT活动,涵盖了信息技术规划与组织、获取与实施、交付与支持、监控4个领域、34个过程、318个活动及其控制目标。该标准之所以广受认可是基于如下四个特点:

―COBIT为美国信息系统控制与审计协会(ISACA协会,下同)所推出,而ISACA本身就是一个审计师和控制师的组织,其主要目的和动机就是评估IT控制和实施IT审计。依托COBIT实施审计,有其先天的合理性。

―COBIT实现了组织的总体战略与IT战略之间的互动,依据COBIT实施审计,有利于IT审计工作保持与组织战略目标的高度一致而不至于发生审计目标的偏离。

―COBIT可以帮助审计部门与管理层、IT部门达成共识,并提供了彼此之间有效沟通的共同语言。

―COBIT将IT工作分解为一系列细化的过程和目标,使得IT管理工作简易并量化,减轻对信息系统管理工作的复杂性,同时,也为IT审计的实施提供了一个细化的系统化框架,使得IT审计易于操作实施。另外,还可以利用COBIT提供的责任矩阵分解框架,做到基于角色的IT审计。

我国商业银行IT审计任重道远

相较于以上公认的IT审计国际标准,当前国内多数商业银行的IT审计尚有较大差距,尤其是在以下几个方面还存在明显不足。

专业人力资源匮乏。各银行虽然近年来引入了一些IT人员。但受多年以来惯性和存量的影响,内审人员绝大多数都是财会、经济专业出身,IT技术专业出身的审计人员数量很少,一般占比在4%以下,与需要承担的IT审计工作量和工作难度相比,数量和专业能力缺口很大。

经验不足。多年来我们对财会、信贷等传统业务审计已积累了丰富经验,基本有成例可循,而IT审计刚刚起步,处处都需要研究、探索。而且,作为被审计对象的财会、信贷等传统业务本身已经相对成熟稳定,而IT技术进步日新月异,新产品层出不穷,银行应用系统更迭频繁,即便是已有的审计经验也往往不过两年就会过时。

工作负荷和工作难度大。大型商业银行在用系统往往达近百个,且新系统上线不断,加之银行应用系统规模庞大、技术架构复杂,IT专业分工又日趋细致,要对其实施全面、深入、定期的审计困难极大。

审计规范体系有待建立。虽然个别银行制定了IT审计规程、IT审计方案,但是或者比较粗略,或者尚不够全面,完备、细致的IT审计规范体系有待建立。

审计内容有待深化和扩充。目前国内银行内审部门所实施的IT审计一般都局限于系统开发、系统运行的操作控制和流程控制层面,而缺少从IT治理高度针对银行IT组织架构、运行机制的高层次的审计,缺少对信息系统绩效的审计,缺乏更复杂、更为专业的信息系统应用控制审计等。

我国IT审计改进要点

对照上述国际IT审计标准,目前国内商业银行IT审计工作的重点应当是围绕业务这个中心,制订一套开放的IT审计规范体系,明确审计领域及目标,确定业务、IT和审计人员共同接受的审计标准,并遵从一致的方法和程序组织实施。建议主要采用以下步骤来实现。

以业务为中心规划IT审计领域

商业银行的IT因业务而存在,离开业务需求IT也就失去了在商业银行的存在价值。IT技术能力在使用IT资源的同时也创造了新的IT资源,作为一个资源整体为运营能力提供支持,通过提高业务能力实现业务收益。业务对IT的需求是自上而下的,始于增加银行收益的业务目标,终于技术能力的实现;反之,IT价值的实现则是自下而上的。因此,IT审计的首要目标是确保IT能合理保证业务目标的实现,以业务为中心,以风险为导向规划IT审计领域,确定IT审计内容。主要包括规划与组织、获取与实施、交付与支持、监督与评价是IT审计的四大领域。

以流程为组件确定IT审计范围

审计领域为IT审计指明了方向,确立了以业务为中心的总体审计目标,在具体实施中,还应进一步细分,以识别相对独立的IT流程,归纳出4个领域的33个流程,主要包括:在规划与组织领域分为战略规划、信息架构、技术方针、组织架构、财务管理、管理目标贯彻、人力资源管理、质量管理、风险评估与管理和项目管理等流程。在获取与实施领域分为可行性研究和需求分析、应用系统开发与维护、基础设施、运营知识保障、IT资源采购、变更管理、系统测试与等流程。在交付与支持领域分为服务水平管理、供应商管理、容量和性能管理、业务持续性计划、信息安全管理、IT成本确认与分摊、用户培训、服务台管理、配置管理、问题管理、数据管理、物理环境管理和运营管理等流程。在监督与评价领域分为IT业绩评价、内部控制评价和IT合规性等环节。

在不同审计项目中,可根据流程相关性及风险评估结果选择关键IT流程作为具体审计内容;每个流程又细分为若干项活动,对应于IT流程内的工作阶段或子流程,每项活动在流程内按顺序编号,审计人员可据此确定详细的审计范围及审计程序。

以控制为基础设计IT审计程序

控制是指为合理保证IT目标的实现,预防、检查和纠正非预期事件的发生所制定的一系列政策、规程、实务和组织架构。一旦设定了流程的控制目标,内部控制系统应持续检查流程结果等控制信息,并在出现偏差时及时采取纠正措施。控制目标为IT流程提供了一系列完整的高层需求,在用于管理层对流程进行有效控制的同时,也可用于审计人员检查流程的运行效果及效率。商业银行的内部控制系统在以下三个层次上影响IT:首先,高级管理层设定银行业务目标、制定政策,对如何部署和管理资源做出战略决策。IT控制环境受控于这些高层目标和政策。其次,业务流程层控制具体的业务活动。许多业务流程与IT应用系统进行了整合,这些流程中的控制也多数嵌入到业务应用系统中,称为应用控制,如:信息完整性、准确性、有效性、授权、职责分离等。虽然应用控制需要IT职能予以支持进行设计和开发,但其建立和管理都是业务部门的职责。再次,为支持业务流程,IT通常采用共享服务的方式为多个业务流程提供IT服务。这些嵌入IT流程、应用于所有IT服务的控制措施称为一般控制,如:系统开发、变更管理、信息安全、计算机运行等。一般控制的可靠运行是应用控制可靠性的必备条件。