it审计论文大全11篇
时间:2022-08-02 08:28:55
it审计论文篇(1)
【中图分类号】 F232 【文献标识码】 A 【文章编号】 1004-5937(2016)24-0128-04
一、引言
财务共享服务模式是依托大数据、云计算等信息新技术以财务业务流程再造为基础的分布式管理模式,目的是优化组织结构、提升核算流程效率、降低财务核算成本以及为企业创造价值,其站在市场视角为内外部客户提供专业化财务服务。在财务共享服务模式下,集团企业将日常的、共同的、分散的、大量的、重复的、可标准化的财务会计流程从下属分公司剥离出来,统一交给财务共享中心进行处理[1],实现了业务处理、数据存储的集中,同时也增加了IT风险。IT风险[2]已经成为企业的“经营风险”,包含IT环境风险、IT管理风险、IT技术风险和IT平台风险等。大数据时代基于财务共享服务模式的IT审计目的是为了找出并解决财务共享的IT风险,依托大数据、云计算等信息新技术,通过对大数据进行采集、处理、分析以发现问题。
IT审计一直受到诸多学者的重视,曹立明[3]分析了IT审计本质、目标与方法,认为IT审计是会计信息化的内在要求,并对会计信息化IT审计的目标、内容和实施条件进行分析,最后对会计信息化IT审计面临的问题进行了阐述。覃宪姬等[4]以广州地铁IT审计为例,在分析了广州地铁信息系统审计现状的基础上,构建了广州地铁IT审计框架并对其具体内容、实施步骤、审计策略以及审计方法进行了阐述。柳芳[5]从ERP系统安全性风险、业务流程风险和ERP系统管理风险入手,对ERP固有风险进行了分析并提出了相应的IT审计对策。李有华[6]将企业IT风险分为IT战略风险、IT项目风险、IT安全风险、IT服务风险、IT合规风险,并在此基础上对IT审计的内容、标准、范围、方法和制度进行了分析。
综观上述文献,大多数文献都基于传统信息系统,并从传统审计手段的角度出发对IT审计的框架、发展与实施进行研究。在大数据时代,财务共享服务模式成为大型集团企业的首要选择,其IT架构更多地运用到云计算技术,并需要大数据进行技术支撑。审计人员在财务共享服务模式下进行IT审计时将更多地运用大数据审计[7]手段进行IT审计,从数据的角度发现疑点,以减轻审计工作量,提高审计工作效率。有鉴于此,本文从大数据的角度对财务共享服务模式下IT审计的特点进行分析,梳理其数据流程,在此基础上构建IT审计框架模型,并对其实施流程进行阐述。
二、大数据时代基于财务共享服务模式的IT审计框架
(一)财务共享服务模式下IT审计的特征分析
一般认为IT内部控制包含组织层面的IT控制、一般控制和应用控制三个层面[6],审计人员通常以此为基础展开IT审计工作。财务共享服务模式下的IT审计需要充分结合财务共享IT架构特征,其IT审计范围如图1所示。同时,三个层面的IT审计在财务共享服务模式下也出现了有别于传统企业IT审计的特点。
1.组织层面的IT审计
组织层面的IT审计主要检查财务共享IT架构的设计是否合理,以及是否得到有效实施,其核心内容是管理层控制。集团企业建立财务共享服务模式的战略目标清晰,即降低财务核算成本,其IT战略规划应当以实现该目标为前提,并以此为基础进行IT部门与职能的设置。财务共享服务模式下组织层面IT审计应当对财务共享IT战略规划、IT部门与职能的设置是否符合财务共享战略目标进行检查,并对其实施的有效性进行审计。
2.一般控制层面的IT审计
一般控制层面的IT审计是为了确保IT系统运行的可持续性,能够为应用控制提供支撑,审计对象包含软硬件平台、网络等。财务共享服务模式下集团企业将财务核算业务集中,借助移动互联网、云计算等信息新技术实现了财务核算流程再造和数据的集中存储,其IT技术风险应当得到审计人员的重视。财务共享服务模式下一般控制层面的IT审计应当对数据安全、基础设施更新、访问安全和网络安全等主要风险点进行审计。
3.应用控制层面的IT审计
应用控制层面的IT审计主要检查业务系统层面所设计、执行的IT控制是否能够确保整个系统具有可信性,以及是否能够完成相关数据的产生、记录、传递、处理、分析和报告等功能。财务共享服务模式下集团公司、各分子公司的ERP、HR、OA等其他业务系统需要和财务共享中心实现数据对接与共享,为财务核算系统提供数据支撑,其间数据的产生、记录、传递、处理、分析和报告都是IT审计的关键风险点。财务共享服务模式下应用控制层面的IT审计应当对财务核算流程的设计与实施、业务系统与财务共享中心的数据对接、登录权限等内容进行重点关注。
(二)IT审计程序流程框架
COBIT(Control Objectives for Information and related Technology)即信息系统和技术控制目标,是一种用于“IT审计”的知识体系,由美国信息系统审计与控制协会(ISACA)于1996年首次提出并于2005年更新到COBIT 5.0。目前COBIT已经成为众多国家的政府部门、企业对IT的计划与组织、采购与实施、服务提供与服务支持、监督与控制等进行全面考核与认可的业界标准。由于COBIT 5.0具有普适性,因此财务共享服务模式下的IT审计可以此为基础构建IT审计流程框架。在大数据技术背景下基于财务共享服务模式的IT架构与传统IT架构有所区别,在构建IT审计流程框架时应当充分考虑到这一点。
财务共享服务模式下的IT审计流程框架包含IT审计指南和IT审计流程两部分。其中IT指南是参考COBIT 5.0得出的IT审计标准,在IT审计过程中起着指导作用,包含关键审计因素、流程能力模型、风险控制模型、IT技术可信评估和IT审计知识库等内容。IT审计流程则包含制定审计目标、风险评估、制定审计计划、设计审计程序、执行审计程序和出具审计报告六个流程,如图2所示。
(三)IT审计数据流程框架
在财务共享服务模式的IT审计中,审计大数据的产生、传递、处理和分析贯穿整个审计过程。为了充分利用大数据技术提高审计效率,审计机构可以历史数据、互联网数据等组成的大数据为基础构建审计数据中心,并建立IT审计知识库,帮助审计人员进行高效的IT审计。在审计过程中,审计人员可以通过IT审计知识库中的IT审计知识对审计对象的关键风险点进行重点关注,通过大数据审计方式对审计对象提供的相关大数据进行审计。待审计人员出具审计报告后,可将该审计项目的主要风险点、测试方式以及实质性程序等相关审计数据反馈到审计数据中心以完善IT审计知识库,形成IT审计的数据闭环,如图3所示。
三、大数据时代基于财务共享服务模式的IT审计流程
大数据时代基于财务共享服务模式的IT审计应当是一个包含审计大数据产生、传递、归集和使用的闭环系统,在审计过程中应当由IT审计指南对IT审计的计划、实施进行指导。
(一)制定审计目标
审计人员在进行财务共享服务模式下的IT审计时,应当充分考虑该模式下的特点,结合财务共享的IT战略规划,明确审计的时间、目标和范围。集团企业建立财务共享服务模式的战略目标为降低财务核算成本,为了实现该目标,其IT架构应当满足技术可信、内部控制有效、数据平台安全等基本要求,也是财务共享服务模式下IT审计的主要目标。在不同性质的IT审计中,审计人员可以按照实际的审计需求选择不同的侧重点来制定满足实际需要的审计目标。例如内部审计中,审计人员进行IT审计时更多地关心财务共享服务模式下的应用控制制度建设是否合理、是否得到有效实施;社会审计中,审计人员进行IT审计时则更加在意通过财务共享服务模式是否能够提供真实可靠的财务信息。
(二)风险评估
财务共享服务模式的IT架构相较于传统IT更多地使用了大数据、云计算等技术,因此财务共享服务模式下IT审计的审计风险与以往所有差别,例如审计人员在IT技术层面可能无法对IT技术风险有足够的了解,可以通过权威的第三方IT咨询机构获取该审计项目中财务共享下IT技术的评估报告,即IT审计指南中的IT技术可信评估。除了IT技术风险外,审计人员还应当充分考虑财务共享服务模式下独特的审计环境,结合财务共享服务模式下的业务流程再造,对财务共享中心内部控制制度建设情况进行评估,得出可能的其他审计风险以及风险发生的可能性,通过建立二维风险矩阵的方式对风险进行定性和定量的评估。
(三)制定审计计划
根据风险评估的结果,在考虑企业IT管理框架、人力资源配置等因素的基础上,审计人员应当充分结合财务共享服务模式下财务处理流程标准化程度高、业务量饱和以及财务核算成本低等特点,分别制定总体审计计划和具体审计计划,包括确定审计目的、审计范围、人力调配以及审计策略等内容。需要注意的是,财务共享服务模式下运用了大数据技术,传统审计手段很难进行有效的IT审计,应当在审计计划中明确使用大数据审计等审计手段。
(四)设计审计程序
财务共享服务模式下的IT审计程序包含IT管理层控制、IT一般控制和IT应用控制三部分。大数据技术在该步骤得到广泛运用,审计人员可以通过大数据爬虫获取互联网数据,从财务共享数据中心获取集团大数据,然后使用数据驱动测试、数据挖掘、数据多维分析等方法对大数据进行分析,实施审计程序。同时,审计人员也可以使用IT审计知识库比对其他财务共享IT审计项目,辅助确定IT审计中的主要风险点。
1.IT管理层控制
审计人员在进行IT管理层控制时可以结合COSO内部控制框架与财务共享实施情况设计调查问卷,向分子公司总经理、集团财务部员工、财务共享中心负责人等发放。然后可以根据问卷结果与财务共享负责人或IT管理层进行访谈,以评价集团企业在财务共享服务模式下IT管理层控制的有效性。
2.IT一般控制
审计人员在进行IT一般控制时可以采取问卷调查、访谈、穿行测试等方式,也可以直接通过第三方IT咨询机构获取企业IT技术评估报告,以确认该审计项目中财务共享服务模式数据安全、基础设施更新、访问安全和网络安全等主要风险处于可接受范围内,不需要整改。
3.IT应用控制
审计人员在进行IT应用控制时可能更多地会运用大数据审计的方法获取审计证据,例如对采集到的大数据进行清洗后通过SQL查询、大数据挖掘和多维分析等方法寻找审计疑点,或通过黑盒测试法进行数据驱动测试以发现IT系统运行中存在的问题。除了大数据审计的方法外,穿行测试与控制测试也能帮助审计人员找出应用控制设计与执行中存在的问题。
(五)执行审计程序
按照设计好的审计程序进行下一步工作,审计人员需要结合风险评估结果对财务共享服务模式三个层面进行控制测试,根据实际需求实施实质性程序,通过大数据审计、穿行测试等审计手段得出审计证据,并将从中得出的主要控制风险告之相关人员,记录测试和交流沟通的结果。
(六)形成审计意见,出具管理层建议
按照得到的审计证据,结合最初制定的审计目标得出最后的审计结果,并根据审计结果当中的所发现的问题向管理层出具审计意见和提供建议,在与管理层进行沟通后取得其对管理建议的相关回复。
出具审计结果后审计人员应当将相关数据反馈到IT审计知识库以形成新的IT审计知识,完成审计大数据闭环。
四、结语
财务共享服务模式的建设需要大数据、云计算等技术支撑,但同时也改变了其IT审计的审计环境。本文基于财务共享服务模式的特点构建了该模式下IT审计的审计流程框架并对其具体流程进行了分析,以期对财务共享服务模式下的IT审计提供理论指导,帮助集团企业降低或规避其财务共享服务模式下的IT风险。
【参考文献】
[1] 王德宇.财务共享服务与企业管理研究[J].山东社会科学,2015(5):160-163.
[2] 周常兰.IT风险控制整合框架的构建――风险控制四维整合框架的引入与扩展[J].经济体制改革,2014(2):102-106.
[3] 曹立明.论IT审计与会计信息化[J].中国注册会计师,2012(12):108-113.
[4] 覃宪姬,陈瑜,佟柱.信息系统审计的透视与思考――基于广州地铁审计案例的分析[J].中国内部审计,2014(8):62-69.
[5] 柳芳.基于ERP系统固有风险的IT审计对策[J].中国内部审计,2013(12):67-69.
it审计论文篇(2)
随着信息技术的兴起,信息系统已经渗透到社会生活的方方面面,它在给人们带来便利与效益的同时,也带来了很多负面影响,如计算机犯罪案件的频频发生等,系统安全问题日益严峻。于是一个不容回避的问题——我国企业如何有效地开展信息技术审计(information technology audit,以下简称it审计),保证信息系统安全,摆在我们面前。本文拟对此进行探讨。
一、it审计的定义及其特点
it审计是指对信息系统从计划、研发、实施到运行维护各个过程进行审查与评价的活动,以审查企业信息系统是否安全、可靠、有效,保证信息系统得出准确可靠的数据。由以上定义可知,it审计的目标是保证it系统的可用性、安全性、完整性和有效性,最终达到强化企业内部控制的目的。
该审计过程具有以下特点:
1.it审计是一个过程。它通过获取的证据判断信息系统是否能保证资产的安全、数据的完整和组织目标的实现,它贯穿于整个信息系统生命周期的全过程。
2.it审计的对象综合且复杂。it审计从纵向(生命周期)看,覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务;从横向(各阶段截面)看,它包含对软硬件的获取审计、应用程序审计、安全审计等。it审计将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。
3.it审计拓宽了传统审计的目标。传统审计目标仅仅包括“对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见”;但it审计除了上述目标外,还包括信息资产的安全性、数据的完整性及系统的可靠性、有效性和效率性。
4.it审计是一种基于风险基础审计的理论和方法。it审计从基于控制的方法演变为基于风险的方法,其内涵包括企业风险管理的整体框架,如内部环境的控制、目标的设定、风险事项的识别、风险的评估、风险的管理与应对、信息与沟通以及对风险的监控。
二、我国it审计面对的挑战
it审计和传统审计相比具有的上述特点是吸引我国众多企业引入it审计的重要原因,但是这种方法的应用又会给企业提出巨大的挑战。
1.传统审计线索的消失。在手工会计环境下,审计线索主要来自于纸质原始凭证、记账凭证、会计账簿和会计报表,这些书面数据之间的勾稽关系使得数据若被修改可辨识出修改的线索和痕迹,这就是传统审计线索的基本特征。但是现在计算机网络信息系统中这些数据直接记录在磁盘和光盘上,无纸张记录,审计人员用肉眼无法直接看到这些数据如何记录,且非法修改删除原始数据也可以不留篡改的痕迹,从而为舞弊人员作案留有可乘之机。尽管许多审计机构要求已实现会计信息化的企业将所有原始凭证、记账凭证、账簿、报表打印输出,使用绕开计算机系统的审计方法,并以打印出的证、账、表作为基本审计的线索和依据。但是如果原始数据在业务发生时就被有意篡改,则其派生的记账凭证金额和账户余额及报表数据也一定会出错,打印出的数据也不能作为审计证据。因此即使打印出所有电子数据,传统审计线索也会在计算机信息系统下完全消失。
2.计算机信息系统的数据安全面临挑战。手工信息处理的环境下,审计人员无须将数据和会计信息的安全性问题作为审计的重要内容,但是在it审计的工作中,网络电子交易数据的安全是关系到交易双方切身利益的关键问题,也是企业计算机网络应用中的重大障碍和审计的首要问题。例如计算机病毒的破坏、黑客用 ip地址欺骗攻击网络系统来获取重要商业秘密、内部人员的计算机舞弊、数据丢失等,都是传统审计从未涉及的,但又是it审计的重点,这对当前我国的审计工作无论是操作系统,还是制度建立等众多方面都是一个很大的挑战。
3.it审计专业人才匮乏,适应it审计事业发展的人才培养和管理机制还有待建立和健全。由于it审计固有的复杂性,这项工作需要具备会计、审计、组织管理和计算机、网络技术等综合知识的人才,而且工作人员需要对内部控制和审计有深刻的理解,对信息和网络技术有敏锐的捕捉能力,在我国获得注册信息系统审计师资格的人数远远不能满足信息系统审计业务的需求。
三、我国it审计应对策略
面对上述挑战,我们应当多方位、多角度制订措施,使it审计工作更好地为我国企业发展做出贡献。具体措施如下:
1.审计线索的重建。根据计算机网络系统容易在不同地方同时形成相同“原本”数据的特点,可以重建电子审计线索:在电子化的原始数据形成时,同时在审计机构(包括内审机构)和关系紧密(签字确认)的部门形成原始数据的“原本”,或在不同部门各自形成相关的数据库(特别应当包括数量、金额和单价等主要数据项),这样不仅可以相互监督和牵制,还给计算机审计提供可信的审计线索。这种保留审计线索的方法,一方面成为有力的控制手段,另一方面可从审计线索中发现疑点。这种方法主要是应用专用的审计比较软件,同时将几个部门的同一种数据库进行自动比较形成有差异的数据记录文件,详细审查相关的数据文件和访问有关的当事人,从而取得有力的审计证据。上述比较审计方法是在不同部门同时形成业务数据文件的情况下应用,如果企业业务数据分离存放,如销售合同与销售发票、提货单在不同的部门保存,这种实质性测试也可采用比较审计法,应用专用的审计软件,结合相关的几个业务数据文件进行比较,查出有错误疑点的记录。
2.确保信息系统的信息安全。为了保证信息系统的信息安全,it审计工作人员要在审计过程中评价企业的防火墙技术、网络系统的防病毒功能、数据加密措施、身份认证和授权的应用实施情况,通过面谈实地审查企业安全管理制度建立和执行的情况,查看企业是否为了预防计算机病毒,对外来的软件和传输的数据经过病毒检查,业务系统是否严禁使用游戏软件,以及是否配置了自动检测关键数据库的软件,使异常及时被发现;检测企业是否为了防范黑客入侵,网络交易的数据库采用离散结构,同时在不同的指定网点(如在交易的双方)形成完整的业务数据备份供特殊使用(如审计和监控);此外it审计人员还要注意检查企业的信息系统岗位责任实施、安全日志制度,审查有关计算机安全的国家法律和管理条例的执行情况。
3.建立一支完备的it审计专业人才队伍。it审计的发展必须有一大批专业化的it审计人才,这就要求我们要采取短期培训和长期培养、操作层面上的培训与高层次人才的培养、在职人员培训与未来人才培养相结合的方法将这支队伍逐渐发展起来。此外我国可以从现有的审计队伍中选拔人员进行专门的信息系统审计培训,并考虑在注册会计师的资格考试和审计师职称考试中逐步加入计算机、信息系统和网络技术等与信息系统审计有关的内容,以及加强对从事信息化咨询的it技术人员的会计与审计知识的培训。为了培养未来审计人员,应在高校会计、审计专业教学计划中增加信息技术和电子商务等内容,也可以考虑在高校中开设信息系统审计专业,直接培养信息系统审计专业人才。
当前我国it审计正处于起步阶段,和传统审计相比,it审计的显著特点决定了其势在必行,但是一种新的方法的引入和实施必定会给企业和审计人员带来巨大的挑战,面对种种挑战我们应采取积极措施,迎难而上,使it审计工作不断发展完善。
主要参考文献
[1]张茂燕. 论我国的信息系统审计[d]. 厦门:厦门大学,2005.
[2]陈朝.我国信息化建设中信息系统审计问题研究[d].长春:东北师范大学, 2006.
[3]邓少灵. 企业it审计的框架[j].中国审计,2002(1).
[4]李健,朱锦淼,王晓兵. it审计——人民银行内审面临的新挑战[j].金融理论与实践,2003(6).
it审计论文篇(3)
随着信息技术的兴起,信息系统已经渗透到社会生活的方方面面,它在给人们带来便利与效益的同时,也带来了很多负面影响,如计算机犯罪案件的频频发生等,系统安全问题日益严峻。于是一个不容回避的问题——我国企业如何有效地开展信息技术审计(Information Technology Audit,以下简称IT审计),保证信息系统安全,摆在我们面前。本文拟对此进行探讨。
一、IT审计的定义及其特点
IT审计是指对信息系统从计划、研发、实施到运行维护各个过程进行审查与评价的活动,以审查企业信息系统是否安全、可靠、有效,保证信息系统得出准确可靠的数据。由以上定义可知,IT审计的目标是保证IT系统的可用性、安全性、完整性和有效性,最终达到强化企业内部控制的目的。
该审计过程具有以下特点:
1.IT审计是一个过程。它通过获取的证据判断信息系统是否能保证资产的安全、数据的完整和组织目标的实现,它贯穿于整个信息系统生命周期的全过程。
2.IT审计的对象综合且复杂。IT审计从纵向(生命周期)看,覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务;从横向(各阶段截面)看,它包含对软硬件的获取审计、应用程序审计、安全审计等。IT审计将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。
3.IT审计拓宽了传统审计的目标。传统审计目标仅仅包括“对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见”;但IT审计除了上述目标外,还包括信息资产的安全性、数据的完整性及系统的可靠性、有效性和效率性。
4.IT审计是一种基于风险基础审计的理论和方法。IT审计从基于控制的方法演变为基于风险的方法,其内涵包括企业风险管理的整体框架,如内部环境的控制、目标的设定、风险事项的识别、风险的评估、风险的管理与应对、信息与沟通以及对风险的监控。
二、我国IT审计面对的挑战
IT审计和传统审计相比具有的上述特点是吸引我国众多企业引入IT审计的重要原因,但是这种方法的应用又会给企业提出巨大的挑战。
1.传统审计线索的消失。在手工会计环境下,审计线索主要来自于纸质原始凭证、记账凭证、会计账簿和会计报表,这些书面数据之间的勾稽关系使得数据若被修改可辨识出修改的线索和痕迹,这就是传统审计线索的基本特征。但是现在计算机网络信息系统中这些数据直接记录在磁盘和光盘上,无纸张记录,审计人员用肉眼无法直接看到这些数据如何记录,且非法修改删除原始数据也可以不留篡改的痕迹,从而为舞弊人员作案留有可乘之机。尽管许多审计机构要求已实现会计信息化的企业将所有原始凭证、记账凭证、账簿、报表打印输出,使用绕开计算机系统的审计方法,并以打印出的证、账、表作为基本审计的线索和依据。但是如果原始数据在业务发生时就被有意篡改,则其派生的记账凭证金额和账户余额及报表数据也一定会出错,打印出的数据也不能作为审计证据。因此即使打印出所有电子数据,传统审计线索也会在计算机信息系统下完全消失。
2.计算机信息系统的数据安全面临挑战。手工信息处理的环境下,审计人员无须将数据和会计信息的安全性问题作为审计的重要内容,但是在IT审计的工作中,网络电子交易数据的安全是关系到交易双方切身利益的关键问题,也是企业计算机网络应用中的重大障碍和审计的首要问题。例如计算机病毒的破坏、黑客用 IP地址欺骗攻击网络系统来获取重要商业秘密、内部人员的计算机舞弊、数据丢失等,都是传统审计从未涉及的,但又是IT审计的重点,这对当前我国的审计工作无论是操作系统,还是制度建立等众多方面都是一个很大的挑战。 转贴于
3.IT审计专业人才匮乏,适应IT审计事业发展的人才培养和管理机制还有待建立和健全。由于IT审计固有的复杂性,这项工作需要具备会计、审计、组织管理和计算机、网络技术等综合知识的人才,而且工作人员需要对内部控制和审计有深刻的理解,对信息和网络技术有敏锐的捕捉能力,在我国获得注册信息系统审计师资格的人数远远不能满足信息系统审计业务的需求。
三、我国IT审计应对策略
面对上述挑战,我们应当多方位、多角度制订措施,使IT审计工作更好地为我国企业发展做出贡献。具体措施如下:
1.审计线索的重建。根据计算机网络系统容易在不同地方同时形成相同“原本”数据的特点,可以重建电子审计线索:在电子化的原始数据形成时,同时在审计机构(包括内审机构)和关系紧密(签字确认)的部门形成原始数据的“原本”,或在不同部门各自形成相关的数据库(特别应当包括数量、金额和单价等主要数据项),这样不仅可以相互监督和牵制,还给计算机审计提供可信的审计线索。这种保留审计线索的方法,一方面成为有力的控制手段,另一方面可从审计线索中发现疑点。这种方法主要是应用专用的审计比较软件,同时将几个部门的同一种数据库进行自动比较形成有差异的数据记录文件,详细审查相关的数据文件和访问有关的当事人,从而取得有力的审计证据。上述比较审计方法是在不同部门同时形成业务数据文件的情况下应用,如果企业业务数据分离存放,如销售合同与销售发票、提货单在不同的部门保存,这种实质性测试也可采用比较审计法,应用专用的审计软件,结合相关的几个业务数据文件进行比较,查出有错误疑点的记录。
2.确保信息系统的信息安全。为了保证信息系统的信息安全,IT审计工作人员要在审计过程中评价企业的防火墙技术、网络系统的防病毒功能、数据加密措施、身份认证和授权的应用实施情况,通过面谈实地审查企业安全管理制度建立和执行的情况,查看企业是否为了预防计算机病毒,对外来的软件和传输的数据经过病毒检查,业务系统是否严禁使用游戏软件,以及是否配置了自动检测关键数据库的软件,使异常及时被发现;检测企业是否为了防范黑客入侵,网络交易的数据库采用离散结构,同时在不同的指定网点(如在交易的双方)形成完整的业务数据备份供特殊使用(如审计和监控);此外IT审计人员还要注意检查企业的信息系统岗位责任实施、安全日志制度,审查有关计算机安全的国家法律和管理条例的执行情况。
3.建立一支完备的IT审计专业人才队伍。IT审计的发展必须有一大批专业化的IT审计人才,这就要求我们要采取短期培训和长期培养、操作层面上的培训与高层次人才的培养、在职人员培训与未来人才培养相结合的方法将这支队伍逐渐发展起来。此外我国可以从现有的审计队伍中选拔人员进行专门的信息系统审计培训,并考虑在注册会计师的资格考试和审计师职称考试中逐步加入计算机、信息系统和网络技术等与信息系统审计有关的内容,以及加强对从事信息化咨询的IT技术人员的会计与审计知识的培训。为了培养未来审计人员,应在高校会计、审计专业教学计划中增加信息技术和电子商务等内容,也可以考虑在高校中开设信息系统审计专业,直接培养信息系统审计专业人才。
当前我国IT审计正处于起步阶段,和传统审计相比,IT审计的显著特点决定了其势在必行,但是一种新的方法的引入和实施必定会给企业和审计人员带来巨大的挑战,面对种种挑战我们应采取积极措施,迎难而上,使IT审计工作不断发展完善。
主要参考文献
[1]张茂燕. 论我国的信息系统审计[D]. 厦门:厦门大学,2005.
[2]陈朝.我国信息化建设中信息系统审计问题研究[D].长春:东北师范大学, 2006. 转贴于
[3]邓少灵. 企业IT审计的框架[J].中国审计,2002(1).
[4]李健,朱锦淼,王晓兵. IT审计——人民银行内审面临的新挑战[J].金融理论与实践,2003(6).
it审计论文篇(4)
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 06. 022
[中图分类号] F272.35 [文献标识码] A [文章编号] 1673 - 0194(2012)06- 0045- 03
1 问题的提出
信息技术迅猛发展和深入应用使得企业的日常运营越来越依赖于IT系统,企业信息化的规划、实施、运行维护等各阶段都存在着各种风险,IT相关风险正成为管理层、监管部门重点关注的对象,IT内部控制与风险管理也逐渐成为企业内部控制与风险管理的重要组成部分。对于当前我国企业而言,谁应该成为IT风险管理的责任主体,董事会、IT战略委员会、IT监管部门、内部审计部门、外部审计、风险管理部门、IT日常管理部门等在IT风险管理中各承担哪些责任,我国企业在当前IT风险管理相关部门设置情况如何,为了弄清上述我国企业IT及其风险管理的责任主体的相关问题,笔者在理论分析和问卷调查的基础上,整理了相关的调查数据,统计并分析了我国企业在责任主体设置方面的分布特征。
2 IT风险管理责任主体的最新理论框架
与IT风险管理责任主体研究有关的最新的综合性理论框架为国际信息系统审计与控制协会(ISACA)于2009年12月颁布的IT风险管理框架。ISACA在IT风险管理框架中,定义了IT相关风险管理的一系列主体,并指出了各主体应在某一方面或某几个方面负责或承担责任。就某一特定方面而言,只有一个主体为负责部门,其他主体或承担部分责任,或没有责任。当然,该框架也说明由于每个企业的组织机构与职能部门设置情况并不完全相同,作为理论框架,只是提供原则性的指导,没有必要与某一具体企业的组织机构与职能部门完全一致,因此,在该框架中,对每个责任主体的定义只是进行了简洁描述。IT风险管理框架下的IT风险管理责任主体及承担的责任如表1所示。
资料来源:ISACA,Risk IT Framework,USA,2009.12.
3 我国企业IT风险管理相关的主要责任部门及责任探讨
如上述框架所述,不同企业的组织机构与职能部门设置情况并不完全相同,就我国而言,近年来,各方面的监管层出台了大量的规范,如《企业内部控制基本规范》、《中央企业全面风险管理指引》、《信息技术服务运维通用要求》、《商业银行信息科技风险管理指引》、《证券公司信息技术管理规范》等等,都对IT的相关风险做出了明确的规定及要求,企业已经进入了“合规年代”。当前我国企业的IT风险管理的责任部门主要包括:IT战略委员会、IT监管部门、IT日常管理部门、内部审计部门和风险管理部门。
其中,IT战略委员会应由企业的最高管理层及管理执行层包括IT管理和业务管理有关部门负责人、管理技术人员组成,定期召开会议,就企业的企业战略与IT战略的驱动与设置等议题进行讨论并做出决策,为企业IT及其风险管理提供导向与支持。IT监管部门分为企业外部和企业内部。
企业外部监管部门主要包括工业与信息化部、财政部、审计署、证监会、银监会等政府机构,从各自负责的领域对企业信息技术的相关方面提出监管标准和要求。企业内部的IT监管部门主要负责公司信息技术方面的评价、监督以及合规方面的检查。
“建立有效、健全的信息系统内部控制制度”这一责任的主要承担部门是IT日常管理部门。外部审计员对董事会负责的,协助董事会的专业委员会来确认和分析技术风险的程度,包括企业内部网与因特网在内的任何直接或间接影响财务报表或其他至关重要资料的数据或处理系统。
内部审计员协助董事会的专业委员会执行IT实务和系统的控制检查,并向委员会推荐合适的改进措施用于参考和实施。IT风险是企业风险管理体系至关重要的组成部分,与企业其他风险管理程序类似,需要运用企业风险管理的相关原则与方法,结合IT活动的特点,执行风险管理程序。
风险管理部门需要指导并参与IT相关风险管理,即识别风险、分析风险、制订IT风险工作计划、跟踪风险、应对风险,并借助于定期、不定期的检查风险防范措施的落实情况,通报检查结果,将风险管理过程纳入到日常管理中。
4 对我国企业IT风险管理相关责任部门设置的现状调查与分析
笔者于2010年7月-2010年9月进行了多次调查,调查形式分为现场纸质问卷以及远程网络问卷,其中,在2010年用友技术大会、2010年国资企业IT能力建设高峰论坛、2010年中国信息安全年会上共发放现场纸质问卷165份,回收114份,有效问卷数为97份,现场纸质问卷的有效回收率为58.79%,在线发送远程网络问卷调查邀请60次,在线回收数据14份,剔除不完整问卷2份,有效问卷数为12份,远程网络问卷的有效回收率为20%,最终用于数据分析的有效样本数为109份。
4.1 样本企业IT风险管理责任部门设置的总体情况
如表2所示,从企业来看,IT日常管理部门的设置最为普遍,有97%的企业设置了IT日常管理部门;内部审计部门设置情况较好,有82%的企业设置了内部审计部门;风险管理部门的设置情况一般,有不到七成的企业具有风险管理部门;IT战略委员会的设置情况最差,仅有不到六成的企业具有IT战略委员会。这一结果表明:我国部分企业还没有把IT纳入战略层面考虑的范畴,还停留在操作层面的IT日常管理工作上,作为传统的内部控制监督与检查部门,内部审计部门已成为绝大多数企业的常设机构,一半多的企业具有了较强的风险管理意识并将风险管理部门作为常设机构。
4.2 不同类别企业IT风险管理相关部门设置的情况
笔者按照不同经济成分企业、不同规模企业、不同上市状况企业进行了分组统计和比较,结果如表3所示。
表4表明,总体上看,三资企业类的企业IT风险管理相关部门设置情况最好,比重均为第一。其次为中央国有企业,民营企业与集体企业部门设置情况较差。具体来看,除了个别民营企业外,样本企业均有IT日常管理部门。地方国有企业最不重视IT战略委员会的职能,民营企业最不重视内部审计部门、风险管理部门的设置。无论是企业还是子公司,规模大的企业IT风险管理相关部门设置比例明显高于中小规模的企业。总体上看,无论是企业还是子公司,有香港或海外上市公司的企业IT风险管理相关部门设置比例都是最高的,除IT监管部门外,仅有大陆上市公司的企业IT风险管理相关部门设置比例第二,无上市公司的企业设置比例最低。
4.3 被调查者对企业高层应讨论IT哪些风险的看法
为了了解被调查者对企业高层应讨论IT哪些风险的看法,笔者在问卷中设计了一道多项选择题“IT的哪类风险应由企业高层会议讨论”,列出了IT投资风险、系统建设风险、系统运行维护风险三类风险,以及“都不是”与“不确定”两个选项。调查结果如表4所示。
结果表明,选择“都不是”的仅有15%,选择“不确定”的仅有8%,两者相加的比重为23%,即有将近八成的被调查者认为高层应讨论IT相关风险,这一结果说明绝大多数被调查者均认识到IT相关风险不仅是公司操作层、战术层应关注的,还应上升到战略层进行讨论。在三类风险中,被调查者认为高层应讨论IT系统建设风险的比重最大(为40%),认为应讨论IT投资风险的接近40%,说明投资风险与系统建设风险是应上升到战略层考虑的风险,而系统运行维护风险往往是战术层或操作层考虑的风险。
5 结论与建议
当前我国企业的IT风险管理的主要责任部门包括:IT战略委员会、IT监管部门、IT日常管理部门、内部审计部门和风险管理部门。我国企业IT日常管理部门的设置最为普遍,但当前我国部分企业还没有把IT纳入战略层面考虑的范畴,还停留在操作层面的IT日常管理工作上,作为传统的内部控制监督与检查部门,内部审计部门已成为绝大多数企业的常设机构。从规模特性来看,特大型企业IT风险管理相关部门设置比例明显高于非特大型的企业。从上市情况来看,有香港或海外上市公司的企业IT风险管理相关部门设置比例都是最高。被调查者认为投资风险与系统建设风险是应上升到战略层考虑的风险,而系统运行维护风险往往是战术层或操作层考虑的风险。
由此,笔者提出如下建议:
(1)要建立健全IT风险管理的组织机构,其中的重点是建立IT战略委员会,发挥IT战略委员会在战略层面IT风险管理中的作用。此外,还应重视建立风险管理部门,把全面风险管理作为专业职能部门的职责,在指导全部关键资产的风险治理机制方面发挥指导作用。
(2)做好相关人员的培训工作,风险管理意识方面,要加强对相关人员风险意识的培养,树立IT投资的成本效益观念。提高各部门负责人的战略风险意识。知识能力方面,要加强企业内部的复合型人才培养和队伍建设工作,企业自身才是IT风险管理的主体,应该注意培养自己的人才队伍,学习如何识别、收集、评估、主动控制IT风险方面的系统化知识和专业化的方法。
it审计论文篇(5)
有些大的会计公司为了强调经营风险的审计方法,修改它们的审计辅助软件,以围绕业务流程组织审计证据,而不是按照传统的交易循环组织证据。关注业务流程的审计软件系统(Business-Process-Focused,BPF)通过价值链组织被审单位的信息;而传统的关注交易循环的审计软件系统(Transaction-Circle-Focused,TCF)是按照交易分类组织被审单位的信息。O''''DonnellE和JrJosephJSchultz(2003)的研究结果表明使用BPF软件的审计人员能识别出更多的风险情形,并将风险估计在恰当的水平;而使用TCF软件的审计人员对风险的识别和估计都较差。因此他们认为不同的信息组织形式会影响审计人员的决策判断。造成这种结果的原因在于业务流程关注事件之间的关联性,它通过情景引导记忆;而传统的交易循环关注的是交易分类,它通过语义引导记忆。因此,关注业务流程可降低任务的复杂性和认知难度。随后其他的研究人员也发现围绕业务流程开展内部控制的评估任务更为有效。
二、IT环境下基于流程的审计风险判断方法
为了协助审计人员运用自上而下的风险导向审计方法,国际审计和鉴证准则委员会于2005年制定了“在整个审计
过程中运用职业判断对重大错报风险进行更准确评估的框架和模型”。具体步骤如下:(1)了解企业及其环境(包括内部控制),识别风险,并在报表层次考虑交易性质、账户余额、披露;(2)将发现的风险与认定层次可能发生的错误与舞弊相联系;(3)考虑风险的重要性;(4)考虑风险的发生概率。这个风险判断思路也同样适用于IT环境。因此借鉴自上而下的审计方法,将流程作为IT风险判断的中间环节,改进了的IT环境下的审计风险判断方法具体实施步骤如下:
1.了解企业及其环境(包括内部控制)。我国2006出台的《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》列举了影响重大错报风险的因素:行业状况、监管环境以及其他外部因素,企业性质,目标和性质以及相关的经营风险,财务业绩的衡量和评级,内部控制。在IT环境下,识别和评价企业层面的风险和风险控制的有效性时,需特别考虑:(1)IT利益群体的风险及对IT利益群体控制的有效性,如IT治理;(2)企业层面的IT控制,如与IT相关的控制环境、风险评估、信息与沟通、监控、教育和培训等方面。
2.确定财务报告流程的核心要素。根据企业层面的风险评估结果识别重大账户、重要披露及与之相关联的认定。
3.识别关键业务流程。审计人员首先要识别与上述重大账户、重要披露、认定相关联的关键流程及流程所包括的主要交易,同时识别流程中易发生错误和舞弊的关键点(控制点)。为了判断业务流程能否实时预防或检测错误和舞弊,审计人员要识别出需要被测试的控制点,由于业务流程大多基于IT,因此要确定这些控制点哪些是依赖IT的,然后识别并证实关键的IT功能。
4.确定与IT功能相对应的应用系统的范围。详细列出与这些IT功能相关的应用系统和与之关联的子系统,包括交易应用系统和支持性应用系统。交易应用系统在处理组织内的数据时通常提供以下功能:(1)通过借贷关系记录交易的价值数据;(2)作为财务、经营和法规数据存放的仓库;(3)能够生成各种财务和管理报告,包括销售订单、客户发票、供应商发票以及日记账的处理。支持性应用系统并不参与交易的处理,但方便了业务活动的进行,如Email程序、传真软件、设计软件等。
然后IT审计人员与财务审计人员合作,从列示的子系统中识别出支持授权、复杂计算、维护重要账户(如存货、固定资产、贷款等)的完整性的重要应用系统。应用系统是否重要,需要考虑:交易量(交易量越多,应用系统越关键)、交易金额(金额越大,应用系统越关键)、运算的复杂性(运算越复杂,应用系统越关键)、数据和交易的敏感度(敏感度越大,应用系统越关键)。为应用系统提供IT服务,或者支持应用系统关键环节的IT一般流程即为需要进行IT一般控制测试的范围。
5.识别管理和驱动这些重大应用系统的IT流程。识别所有支持这些应用系统的基础设施,包括数据库、服务器、操作系统、网络,以及与之相关联的IT流程。判断这些IT流程的风险和相关的控制目标。识别出需要被测试的IT一般控制,进而判断其是否符合控制目标。控制测试结果将影响与之相关的IT应用控制的评价、业务流程的风险评价。对这些流程和系统进行风险和控制评估后,就可以制定风险控制矩阵。
6.评价IT控制、分析业务流程风险。结合对IT一般控制的评估结果和对业务流程中IT应用控制的评估结果,就可以分析关键业务流程的IT风险控制情况。此时的IT控制测试和人工控制测试要结合起来予以考虑,即将二者作为一个整体的测试对象。业务流程的风险是与业务流程所关联的一系列交易活动、账户群的余额、列报(包括披露)认定层次重大错报风险相联系的,因此,业务流程风险的评价结果构成了认定层次重大错报风险评估的直接基础。
7.评估电子证据证明力、设计实质性测试程序。审计人员可根据上述步骤的风险评估结果判断某一业务流程的电子审计证据的证明力并设计与业务流程有关的账户群的实质性测试程序。
通过上述7个步骤,审计人员可以将IT环境下的企业风险因素与报表层次和认定层次的重大错报风险相链接,同时也为电子审计证据证明力(即检查风险的判断)提供了依据。
参考文献:
[1]顾晓安,基于业务循环的审计风险评估专家系统研究[J].会计研究,2006(4):23-29.
it审计论文篇(6)
当前IT系统越来越多地对业务经营活动进行自动化处理,这就需要IT提供必要数量的控制程序。因此,遵循萨班斯法案的程序需要包括基于IT系统的控制程序。对大多数企业而言,IT在建立与保持有效的财务报告内部控制方面将发挥重要作用。通过运用整合的ERP系统,或综合运用各种经营管理、财务管理方面的软件,IT系统将为有效的财务报告内部控制系统提供强有力的支持。
PCAOB第二号审计标准要求了解IT在内部控制环境中的重要性。它特别指出:公司在其信息系统中运用信息技术的状况,影响着公司财务报告的内部控制。
目前我国四大电信运营商全部在美国上市,他们现在正在构建法案要求的内控系统,IT内部控制系统构建及评审是无法绕过的工作。完善内控,特别是电信企业信息化水平很高、业务流程依赖于IT流程的背景下,重视IT内部控制,完善IT内部控制十分迫切。本文讨论我国公司如何依据法案的要求在短时间内构建一套IT内控系统, 并通过有效的IT内控评价活动保证其持续健全有效, 以支持CEO 和CFO 的承诺进行初步探讨。
一、萨班斯法案的要求
世通公司造假案件和安然、安达信事件震惊了整个世界, 美国政府认为这是公司上下串通、内外勾结的严重结果, 所以法案对公司治理、内部控制及外部审计同时做出了严格的要求。明确规定要求建立独立称职的审计委员会,管理层要负责内控系统的完善和落实,并对财务报告的真实性负刑事责任 .综观整个法案, 最主要的是对公司内控系统的要求, 主要体现在302条款和404 条款。法案对公司内控系统不但规定严格, 而且实施要求和指南也在相续出台, 如SEC 于2003年6月5日根据法案的要求颁布了404条的细化条例, PCAOB于2004 年3月9日第2号审计准则, 对公司管理层提出了更明确的要求。
1、302条款的要求:
该条款要求由首席执行官和财务主管在内的企业管理层,对公司财务报告的内部控制按季度和年度就以下事项发表声明(予以证实):
对建立和维护与财务报告有关的内部控制负责。
设计了所需的内部控制,以保证这些官员能知道该公司及其并表子公司的所有重大信息,尤其是报告期内的重大信息;
与财务报告有关的内部控制的任何变更都已得到恰当的披露,这里的变更指最近一个会计季度已经产生,或者合理预期将对于财务报告有关的内部控制产生重大影响的变更。
在当前环境下,IT系统驱动着财务报告流程。诸如ERP之类的IT系统紧密地贯穿于企业经济业务的开始、授权、记录、处理和报告一整套过程中。就其本身而言,IT系统和整个财务报告流程也是紧密联系的,为了遵循萨班斯法案,也要对IT内部控制的有效性予以评估。
为强调这一点,PCAOB第2号审计标准讨论了IT以及IT在测试内部控制设计合理性及运行有效性时的重要意义,并强调指出:[部分]
…内部控制,包括与财务报告中所有重要账户及披露内容相关的控制政策与程序,都应该予以测试。
一般而言,这样的控制包括IT一般控制,以及其他控制所依赖的控制。
2、404条款管理要求
萨班斯法案的404条款要求,管理层在其年度文件中提供关于与财务报告有关的内部控制的年度评估报告。管理层的年度报告要求包括以下内容:
管理层有责任为企业建立和维护恰当的财务报告有关的内部控制。
识别管理层所采用的内部控制框架以便按要求评估公司与财务报告有关的内部控制的有效性。
对从一上个会计年度未以来,与财务报告有关的内部控制的有效性予以评估,其内容也包括有关与财务报告有关的内部控制是否有效的公开声明。
年度审计报告中,注册会计师事务所发表的财务审计报告,包括管理层对与财务报告有关的内部控制有效性评估的证明报告。
管理层关于公司针对财务报告内部控制有效性评估的书面结论,应包含在其对财务报告内部控制的报告和其对审计师的信函中。这一书面结论可采取多种形式,但是管理层对公司面向财务报告的内部控制的有效性必须发表直接意见
如果与财务报告有关的内部控制中有一个或多个重要缺陷,管理层将不能对财务报告的内部控制有效性做出评估结论,而且,管理层应该披露自最近一个会计年度未以来财务报告内部控制方面的所有重要缺陷。
面向财务报告的内部控制在这一会计期间可能存在一个或多个重要缺陷,但管理层仍可能会报告“从最近一个会计年度未起(上个会计年度未起),与财务报告有关的内部控制是有效的”。如果要做出这样的结论,管理层必须在评估日前已经改进了内部控制,消除了已有的缺陷,并在运行和测试其有效性后得到了满意的结果,测试的时间足以让管理层认为,从本会计年度起,与财务报告有关的内部控制设计合理、运行有效。
审计师需要合理地确定管理层的认定目标或审计目的(从而依此来收集审计证据),以支持管理层对内部控制有效性的评估结论。通过对审计师在这一过程中所应遵循程序的描述,PCAOB第二号审计标准接着指出:
公司在对财务报告做出确认时需要借助于企业的IT系统。为了识别管理层对财务报告所作的相关认定,审计师应考虑每个重要账户潜在错报、漏报产生的原因。在决定一个认定是否与某一重要账户余额或其披露相关时,审计师应该评价IT系统的性质、复杂程度以及企业IT的使用状况。
it审计论文篇(7)
(一)IT过程界定信息及相关技术的控制对象(COBIT)界定了IT过程的范围,根据COBIT的规定,一个IT过程可以被归类为以下四个基本领域中的一个:计划与组织、获取与执行、传播与支持及监控与评估。
表1给出了这四个领域的34个具体的11I过程。
欺诈是否在每一个IT过程中都可能发生,目前还没有定论。为了更好的理解欺诈是否发生,所有的审计人员都应该更好地理解由犯罪学家唐纳德博士提出的欺诈三角假设。表2对他的三个因素进行了简单描述,任何人只要实施欺诈必然与这三个因素相关联。因为在任何IT过程中,不管IT系统的自动化程度如何,只要有一个以上人的参与,就必须慎重考虑欺诈发生的问题。
(二)欺诈的类型描述一般来讲,职业欺诈可以分为如下三种类型:资产挪用:任何涉及组织资产偷窃与误用的计划,如将软件及软件许可用于个人目的以获取收益。贿赂:一个人利用在商务交易中的影响力来获得与他,她对上司的责任向背的利益,例如将In殳备维护服务外报给提供回扣的服务商。虚假的陈述:财务报表的虚假陈述以使组织看起来盈利更好或更坏,如电信提供商通过虚假报告来调节每户平均收益。以上每一种欺诈还可以细分。不同类型的欺诈的知识以及跨行业的欺诈阴谋的识别大大地提高了欺诈风险评估的精确性与适用性。
二、欺诈风险评估及预防措施
欺诈风险评估开始于对与IT过程相关的欺诈活动可能性及其显著性的分级量化。只有对其工作评估的性质进行评估才能采取有效的防范措施。
(一)欺诈风险评估模型PCAOB第2号审计准则提供了一个风险或然性的样本以及相应的显著性,并具体化了三种风险水平:细微的、中度细微的及很可能的。PCAOB准则同时也将风险的显著性与影响分为三个层次:非实质性的、轻度实质性的及实质性的。图1阐述了风险的显著性与或然性之间的关系。
完成与IT过程相关的欺诈活动分级量化后,欺诈风险评估程序就能建立IT过程与各种现行的欺诈与控制之间的映射,如表3所示。欺诈风险评估使得组织能够容易的可视化欺诈的发生领域,并优先配置资源对这些潜在的欺诈高发领域加以控制与建设。随着企业、业务及IT环境的迅速改变,欺诈风险评估应该成为一项常规性的工作,或者随时确保IT过程跟上变化。甚至,为了风险评估而在识别具体的IT过程与环节时,审计人员在公司内部可以运用欺诈的历史模式作为标杆参考。
(二)欺诈的预防措施为了阻止欺诈的发生而进行的,预防是不言而喻的。如果等到产品、项目或者IT应用设计生产完成后,再采取措施代价是高昂的,也就是说在最初就应加以卓越的设计。欺诈预防现在已在审计活动中得到了实施,审计人员对组织早期的业务、过程和IT应用具备了越来越大的影响力。不管用来防范欺诈风险的控制措施是否充分,也不管欺诈风险的水平是细微还是显著,都应该设计、选择、集成相应的手段来及时地最小化欺诈风险与损失(可参考图1)。这些措施既可以内部化到内部控制中(BICs),作为常规的欺诈检测程序的一部分,或者作为欺诈风险发生的早期预警信号(EWSs)的一部分。表4提供了一些例子。
(三)欺诈的鉴别方法在完成与IT过程及相应的鉴别措施相关的欺诈风险评估后,IT审计人员便可设计ICQs来评估并测试所采取的控制措施,包括反欺诈程序。财务人员一般应评估与财务记录相关的措施以及商业运作的合规性。然而IT审计人员应该关注内部控制技术(ICTs)体系及其相关的过程。不过,欺诈鉴别中的ICQs的质量却在很大程度受到审计人员的技术胜任能力、对IT以及企业运作的洞察力和特定领域的专业知识(如软件开发编程能力、数据库管理能力、网络规划与实施技巧、IT安全等)的严重影响。而IcOs的开发很有可能成为已经建立的程序的参照物,最佳的实践以及监管的标准。
三、欺诈的调查分析殛结论
it审计论文篇(8)
本期专题,就IT内审的目的与现状、中国企业IT内审的特点和难点、以及如何形成中国IT内审规范,展开了深入的探讨和调查分析。
“中国萨班斯”进行时
证监会纪委书记、企业内部控制标准委员会副主席李小雪在企业内部控制标准委员会第三次全体会议上表示,建设企业内部控制标准体系是资本市场的一件大事――健全有效的内部控制可以提高上市公司财务报告的有效性;可以保障公司资产安全,减少舞弊事件发生,堵塞漏洞,有效提高风险防范能力,降低公司风险;可以提高公司经营效益及效率,提升上市公司质量。
我国对企业内部控制评价的关注始于上个世纪80年代末,但当时的评价大都流于形式。“银广夏”等上市公司财务舞弊事件、“中航油事件”等等因内部控制失效造成财产重大损失的案件,在一定程度上要归咎于企业内控机制的不健全。
此后,我国政府开始重视内控评价的规范化建设。审计署、财政部、证监会、银监会等组织均出台了关于内部控制评价方面的规范,而2006年则是关于上市公司企业内控规范讨论最为热闹的一年。
2006年6月5日,上海证券交易所出台了《上海证券交易所上市公司内部控制指引》,对上市公司内控制度和风险管理制度出台了重要规定,引起了业界的强烈反响。
在信息技术无处不在的今天,IT既是企业内控的一个有效手段,同时IT本身又充满了风险,成为内控的重要目标之一。因此, IT内审引起了广泛关注。科索路咨询公司还专门对此了《IT内审调研报告》。
2006年7月15日,财政部联合国资委、证监会、审计署、银监会、保监会发起成立了“企业内部控制标准委员会”,旨在“基本建立一套以防范风险和控制舞弊为中心、以控制标准和评价标准为主体,结构合理、内容完整、方法科学的内部控制标准体系,推动企业完善治理结构和内部约束机制”。委员会的成立被视为中国版“萨班斯法案”即将出台的前兆,中国内部审计协会会长王道成当时曾向媒体表示,3年之内中国就会有自己的“萨班斯法案”。
2006年9月28日,深圳证券交易所《上市公司内部控制指引》,规定深市主板上市公司要建立完备的内部控制制度。在2007年7月1日文件正式生效后,上市公司均需按要求披露内控制度制订和实施情况。
很多人都相信,具有强制效力的中国上市公司内控法规就要形成,甚至有很多企业或个人认为随着企业内控法规的形成,与IT内审相关的咨询或者软件将是一个很好的市场机会,并雄心壮志地投身到这一领域。
但是到了2007年,在股市热潮背后,关于企业内控和IT内审规范工作似乎处于停滞状态。有些曾经看好IT内审市场机会的公司开始后悔自己当初的决定。这不禁让人怀疑,难道牛市的今天企业内控就不那么重要了?IT内审的热潮从此告一段落?
审迫在眉睫
事实远非如此。
2007年3月,企业内部控制标准委员会公布了《企业内部控制规范――基本规范》和17项具体规范(征求意见稿),并开始向有关单位和专家征求意见。
2007年5月25日,由企业内部控制标准委员会主席、财政部副部长王军亲自参加的企业内部控制标准委员会第三次全体会议在北京友谊宾馆低调举行,会议对企业内部控制规范征求意见稿和若干项具体规范讨论稿进行了深入讨论。
财政部还表示,将根据本次会议讨论的情况尽快修订企业内部控制规范征求意见稿和讨论稿,抓紧建立中国企业内部控制标准体系。所有这一切都证明,尽管没有声势浩大的活动进入人们的视野,但“中国的萨班斯法案”依旧在紧锣密鼓地酝酿中。
业内人士分析,尽管今天企业内部控制规范征求意见稿依旧在讨论中,但是一旦被确定,肯定会和萨班斯法案一样对上市企业具有强制性的约束。毫无疑问,尽管还有上市公司对IT内审没有足够重视,但IT内审是否规范必将成为上市公司存在的必要条件之一。
现代企业的经营越来越依赖于信息系统,除了传统意义上的经营风险、控制风险和财务风险,企业信息系统的安全性导致的信息风险日益增长。同时对大部分企业来说,信息技术已经融入到企业各项业务中。IT内审作为企业内部控制的一个重要手段和对象,已经得到政府相关机构、企业和咨询机构普遍认可。
目前的《企业内部控制具体规范(征求意见稿)》中,专门提出了计算机信息系统的征求意见稿,就总则,岗位分工与授权审批,信息系统开发、变更与维护控制,信息系统访问安全,硬件管理和会计电算化及其控制等六个方面提出了43条详细征求意见。
企业表现各不相同
“招聘资深内审员,要求具有5年以上跨国公司会计与财务方面工作经验,并有IT系统审计方面的工作经验”。最近,“IT内审员”的新鲜职位已经开始出现在各大招聘网站。
很多被访企业表示,他们已经或者正在考虑采用新的技术手段来辅助企业内部控制工作,比如说中信集团公司早已经在2005年就开始采用加拿大审计软件ACL、易通审计软件开展审计。
承接企业内控咨询业务的会计师事务所或咨询公司表示,他们所接触的IT内审业务在明显增加。
……
种种迹象表明,IT内审规范的推动并没有停滞不前,之所以让人感觉“停滞”,主要是因为以下几方面的原因:
首先,很多企业对于内部控制仍然采取比较被动的态度。对于那些早在国内上市的企业,由于上交所和深交所出台的《指引》对他们没有强制性的约束,没有对内控的紧迫感。而那些在海外上市或者新上市的企业,大都是为了满足上市条件或者相关法规而被迫进行内部控制和IT内审。在香港上市的某公司的CIO告诉记者,对他们来说,IT内审就是每隔一段时间按照会计师事务所提供的一张单子中对IT的要求落实就可以了。
其次,目前大部分企业的IT内审工作主要是交给第三方机构来办理的。很多在海外上市或者被外资公司控股,特别是在美国上市的企业,早已经通过第三方机构在IT审计方面走在了前面。第三方机构对这块业务驾轻就熟,更多的企业选择IT内审对他们来说只是业务量的增加,因而没有引起大范围的讨论。
第三,很多企业虽然已经意识到IT内审的重要性,但是苦于IT基础太差、缺乏相关经验而暂时搁置。亚新科工业技术有限公司是一家总部设在北京的外资企业。为了让企业健康稳定地发展,公司从1999年就已经建立了完整的内部制度,并且还专门成立了内控部。但是,公司内控部总监麻蔚冰告诉记者,目前他们还没有实现IT内审。他认同随着信息技术在企业广泛应用,IT内审是企业内部控制的必然趋势。亚新科从去年就开始关注这一趋势,但由于公司内部的IT建设还不够完善,再加上IT内审所牵涉的东西非常复杂,暂时也没有好的经验可以借鉴,所以目前尚处在探索中。
规范形成尚待时日
那么,适合中国的IT内审到底该怎么做?如何形成适合中国国情的IT内审?
很多企业都希望 《企业内部控制具体规范(征求意见稿)》能够给他们未来的IT内审提供有用的参考。
王军在企业内部控制标准委员会第三次全体作会议上也强调,内部控制标准体系建设要着力处理好借鉴国际和顺应国情的关系。目前,在尚未形成自己的规范并且没有更好的办法之前,业界已经认识到“西学中用”是最好的选择。
德勤咨询公司企业风险管理服务高级经理周梓滔告诉记者,目前的征求意见稿中不仅参照了萨班斯法案,还参照了很多地方的相关法规。
但是业内人士分析,毕竟中国企业有很强的特色,必须在参照这些经验的同时充分考虑中国企业自身的特色。
记者就IT内审规范这个问题拨通财务部会计司企业内部控制标准委员会某一负责人的电话时,得到回答是,征求意见稿中“计算机信息系统”部分还只是“征求意见稿”,希望有经验的咨询公司和专业人员能够积极参与,提供有用的建议。
在访谈了一些内控咨询专家、企业内控工作者后,记者认为以下几个方面是在建立IT内审规范过程中最不能忽视的:首先,企业对IT内审的重视不够;其次,企业的IT建设不够完善,建立像美国上市公司那样的IT内审难度较大;第三,企业IT内审部门的归属问题不明确:目前国内企业审计部门独立的就比较少,而IT内审既涉及审计又涉及IT,归属问题就更加不好确定;第四,IT内审的投入成本大,美国的大型公司仅在第一年建立内部控制系统的平均成本就高达430万美元,这对规模偏小的中国上市企业来说是不现实的……
由此可见,我国要建立完善的IT内审规范还需时日,但对于企业来讲,未雨绸缪却必不可少。否则具有法律约束力的规范一旦执行,临时抱佛脚几乎是不可行的――因为企业的IT建设本身就不是一蹴而就的事情。
it审计论文篇(9)
作为IT审计工作组的成员,中国审计署一直以积极开放的姿态参与工作组的活动,多次派出代表团参加IT审计工作组会议。我本人曾于2003年9月参加了在挪威奥斯陆举行的IT审计委员会第12次会议,并作了《中国电子政务与审计信息化》的专题发言。
此外,中国审计署还派专家参与IT审计课题研究,组织撰写国家论文,在与国外同行分享中国审计经验的同时,也学习和借鉴了各国最高审计机关的先进做法,从而使我们能够立足本国实际,更好地推动IT审计的发展。中国审计署相信,在各成员国的共同努力下,IT审计工作组将取得更大的成绩。
2008年以来,国际金融危机在全球蔓延,严重威胁着世界各国的发展进步。中国政府统揽全局,果断决策,全面实施了包括四项政策措施在内的“一揽子计划”,统筹做好保增长、调结构、促改革、惠民生的各项工作,积极应对国际金融危机。一是大规模增加政府投资,实行结构性减税,扩大国内需求,全面促进经济平稳较快发展;二是大范围实施调整振兴产业规划,提高整体竞争力;三是大力推进自主创新,增强发展后劲;四是大幅度提高社会保障水平,扩大就业,促进社会事业发展。经过中国政府近两年的工作,中国经济回升向好的趋势不断巩固,社会经济发展取得显著成效,稳定了经济,稳定了就业,稳定了社会。
其间,中国的审计工作紧紧围绕经济社会发展这个中心,紧紧围绕应对国际金融危机、保持经济平稳较快发展这条主线,集中力量开展卓有成效的全过程跟踪审计,保障了应对国际金融危机各项措施的落实,保证了财政资金使用的安全、合理和有效。审计作为维护国家经济安全的有力工具,主动为国家建设服务,依法查处违法违规问题,推进反腐倡廉建设,并立足于从体制机制和制度层面揭示和反映问题,促进完善法制,充分发挥审计保障国家经济社会健康运行的“免疫系统”功能,审计工作的层次和水平不断提高。
近年来,中国的IT审计也取得了较快的发展。我的前任――现任全国政协副主席李金华先生曾经说过,中国审计取得很大的成绩,计算机技术功不可没,没有计算机技术,很多重大问题是查不出来的。
从中国近些年的实践看,国民经济主要领域进入信息化发展阶段之后,作为监督部门的审计机关,其工作手段、技术方法、组织方式乃至工作思维都要与之相适应并充满信息化色彩。当前,IT审计还面临着如何应对新的形势、如何深入发展的问题。本次研讨会所讨论的“衡量IT项目有效性和投资成功的效益指标”就是一个很好的主题。中国审计署已经确定,到2012年,所有的审计项目都要开展绩效审计,绩效评价指标体系必不可少。建立一个适用的、能得到业界广泛认同的衡量指标体系,促进IT项目绩效审计的规范化,正是世界审计组织IT审计工作组能够发挥作用之处。可以想象,世界各国最高审计机关对我们充满期待。
it审计论文篇(10)
信息技术的重要性和复杂性使之影响到公司的决策及执行,IT管理也表现出越来越严重的问题,主要表现在:IT投资变得无法控制;风险控制与服务质量不能令其他部门满意;由于IT的专业性,IT战略规划常常同公司总体战略难以协调,可能导致影响公司总体战略的贯彻执行。IT治理就是为解决这些矛盾而引入的概念,现在IT治理已经在很多企业内实施,IT治理是公司治理的一个关键部分,它能使企业合理利用IT资源,促使IT投资收益最大化,使得IT在复杂的管理环境下有效进行相关风险管理,从而保障IT服务质量,推动企业整体目标的实现。IT内部审计是IT治理的重要组成部分,对IT治理起到促进作用。保险公司内部控制是指保险公司各层级的机构和人员依据各自的职责,采取适当措施,合理防范和有效控制经营管理中的各种风险,防止公司经营偏离发展战略的机制和过程。通过对内部控制的测评,确定系统信息的可依赖程度,评估控制风险的水平,减少审计工作量,节约审计成本,从而保障审计质量。内部审计是现代企业法人治理结构的内在需求,尤其是对于以经营风险为主的保险公司来讲,有效的内部审计对企业防范风险起到至关重要的作用。为有效节约审计成本,提高审计效率,外部审计也会使用内部审计工作成果。当然,两者在职能、地位、作用等方面都存在很大不同。内部审计部门是公司重要部门,内部审计是公司内部的一种独立、客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进公司总体目标的实现。内部审计人员需要熟悉公司保险经营和投资经营的运作流程,从整体上把握企业的经营管理。
二、现阶段保险行业IT内部审计特点
1.顺应政府监管的要求保险行业上市公司除中国人寿在美国上市需要执行SOX法案之外,其他保险公司需要执行保监会《保险公司内部控制基本准则》第三十条中有关于信息技术控制的专门条款,《保险公司内部控制指导原则》第八章支持保障系统中的48~53条中关于计算机信息系统控制的要求。
2.技术标准的选择一般监管部门会就IT内部控制提出基本准则和指导原则,选择具体的审计标准来达到政府的监管要求是保险公司IT内部审计需要解决的问题,现在有关IT内部控制和IT审计的国际标准很多,这些标准各具特点。一般保险公司的做法都是按照COBIT标准,根据自身特点,结合信息系统生命周期各个阶段的不同特点有选择性地实施COBIT控制模型,COBIT将IT过程、IT资源及信息与企业的策略、目标联系起来,形成一个三维的体系结构。其中,IT准则反映了企业的战略目标,从质量、成本、时间、资源利用率、系统效率、保密性、可用性等方面来保障信息的安全性和有效性;IT资源包括专业人才、应用系统、技术、设施及数据在内的信息相关的资源;IT过程从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面,确定了34个信息技术处理过程。
3.IT审计技术与方法该方法主要包括测试数据法、平行模拟法、嵌入审计模块法、虚拟实体法、受控处理法、受控再处理法和程序代码检查法。
4.有效控制IT内部审计把对审计风险的检查控制作为IT内部审计的重要质量控制目标。审计风险分为重大错误风险和检查风险,由于IT系统复杂性,检查风险是客观存在的,为避免检查风险的出现需要对IT内部审计进行有效控制。
5.采用非现场审计的方式依靠强大的信息技术的平台,IT内部审计主要采用非现场审计的方式进行。通过远程方式对审计对象相关数据和资料的不断搜集、整理和分析,把审计由事后审计变为事前统一规范、事中监督预警、事后定期分析回顾的过程。
三、保险业IT内部审计需要关注的问题
1.业务与IT联合审计IT内部审计与其他内部审计相比在技术上有其独特之处,如今IT和业务的融合越来越紧密,IT在支撑业务同时,也利用新的技术手段引领业务发展。因而IT和业务也需要进行联合审计,交付给公司管理层一个统一、全面的审计结论,使得审计结果更好地服务于公司稳定发展的总体目标。
2.从公司治理结构上解决审计独立性问题如何加强内部审计的独立性一直是内部审计探讨的重点,现在很多保险公司IT内部审计独立性从组织结构上来说还没有得到彻底解决,成立有公司决策层参加的审计委员会、有独立于IT研发和运维IT内部审计机构以保障IT内控审计和实质性审计的客观公正,是IT内部审计独立性的必然要求。
3.提高IT内部审计人员比例和素质IT审计是IT技术和审计技术相结合的边缘学科,IT审计人才是复合型人才,需要原来的IT技术人员和内部审计人员彼此钻研对方的学科,同时掌握财务、运营、商务等管理知识,在通过CISA认证的同时还需要有CFA、CIA、CISP等认证。人员素质的提高也是通过需求拉动的,只要公司有相应的需求和激励措施,人员素质的提高是指日可待的。
4.新技术和IT审计新理念、新技术的吸收运用新技术、IT审计新理念、新技术层出不穷,新理念、新技术对提高生产力、拉动经济增长、改变生活方式等具有良好的促进作用。只有加强对新理念、新技术的了解,迅速做出应对,才能适应时代的发展变化。
5.处理好IT内部审计的关系一是IT内部审计与IT研发、运维、管理关系;二是调整好内部审计与社会审计、国家审计的关系;三是摆正IT内部审计在公司内部审计中的位置。
it审计论文篇(11)
一、COBIT标准综述
COBIT(Control Objectives for Information and related Technology)是美国信息系统审计和控制协会ISACA(Information Systems Audit and Control Association)基于其原有的控制目标体系(Control Objectives),结合并改进现有的正在发展中的其他国际技术标准和工业标准而制定的控制目标体系,是国际上最先进、最权威的安全与信息技术管理和控制的标准。COBIT控制目标体系是一个较完整的信息系统管理和控制的参考模型,它将政府和企业的信息化归纳为34个IT处理过程,并逐个提出指导意见。通过将COBIT应用到信息系统的开发和实施环境,可以为管理人员、开发人员和审计人员来强化和评估信息技术外包风险的管理和控制提供依据。
二、IT外包的风险分析
企业IT外包处于IT战略中的资源管理层面,是帮助企业将注意力更多地投入到商业管理而非信息技术管理,进而更专注地追求核心竞争力的一条途径。尽管IT外包愈来愈普及,但外包失败的案例并未因此而减少。IT外包风险的表现就是外包失控。由于把部分或全部IT资源外包给企业外部的服务商,企业对服务商的管理就要比管理自己的IT部门复杂得多,时刻会面临失控,主要表现在以下三个方面:
风险一:IT外包可能会在服务的及时提供和服务的质量方面达不到预期效果。
风险二:企业对承包商的依赖度高反而降低了企业的灵活性,企业成本不降反升。
风险三:企业的商业机密可能会被泄露,知识产权可能会被盗用。
三、基于COBIT的IT外包风险管控体系
COBIT的控制目标主要是针对信息系统的管理控制和运行控制,COBIT提出的控制目标可以应用到所有的信息系统。因此,它的控制目标对IT外包系统来说大部分是适用的,但因其业务特殊性,必须结合发包企业的具体环境和承包商的实际情况,加以修改、补充和完善。
1.组织与规划
系统规划是IT外包项目建设的第一步,包括发包企业的战略目标、政策和约束、计划和指标分析;发包企业原有的建设目标、建设模式;企业信息的功能结构、组织、人员管理;IT外包的效益分析和实施计划。规划的好坏对IT外包项目的建设的成败有至关重要的影响。
整个信息系统的建设要以优化企业的核心业务流程,提高工作效率,更好地发挥企业综合协调与服务的职能为总体目标。规划必须满足:规划本身应当明确无误而且易于理解,应当是一个可以为大多数人所理解和认同的概念。规划必须得到领导小组的认可;规划目标应当是可衡量的;规划必须建立在对内外信息调查的基础上制定。
2.获取与实施
系统分析是在充分的调查的基础上对企业内部的整体管理状况和信息处理过程进行分析。系统分析的工作量非常大,所涉及的业务、人、数据和信息非常多。而且在实际情况中,企业信息化的需求难以一次确定,并且会不断发生变化;另一方面,承包商对政府的具体业务业并不熟悉,常常会发生理解上的偏差,从而导致建模的错误。因此,完成的系统分析必须满足以下一致性、完整性、现实性和有效性这四方面的要求。然后在系统分析的基础上,研究承包商外包方案的可行性,制定相关技术标准、实施规范。
3.服务与支持
发包企业的需求是不断变化的,商业目标也是随着企业的发展而逐步更新的,承包商要做好完善的数据跟踪,在可行范围内满足发包企业的需求,不断改进和修正开发计划中遇到的问题和缺憾。
4.审计
IT外包项目在发包企业实施以后,系统的可靠性、安全性和有效性是非常重要的,系统中的信息成为政府最宝贵的资源。内部审计是在政府内部建立信息系统审计组织,由内部信息系统审计人员对电子政务系统的可靠性、安全性、有效性进行检查与评价,将结果报告给政府管理层。内部信息系统审计部门,从组织地位上来讲必须独立于政府的IT职能部门和最终用户部门。
构建基于COBIT的信息系统管理、控制与审计模型,将便于人们对信息系统建设与应用过程的理解与分析,指导人们建立相应的机制,将信息系统建设与应用的全部过程置于有效的管理与控制之下。对信息系统的投资者和管理者,将帮助他们在通常不可预测的IT环境下平衡风险与投资。对信息系统的使用者,将通过管理、控制和审计为他们提供安全保障和一定的服务水平。对审计师而言,将帮助他们明确审计轨迹,使他们做出的鉴定和劝告更具说服力。
四、总结
