it审计和普通审计合集13篇
it审计和普通审计篇1
IT审计(Information Technology Audit)是信息技术应用于审计实务产生的新概念,人们对IT审计的理解是逐步深入的。我国国家审计中相对于IT审计的提法一般为计算机审计,自上世纪80年代以来的探索和实践过程中,也先后出现过会计电算化审计、计算机辅助审计、计算机数据审计、信息系统审计等诸多与IT审计相关的称谓,国外则有EDPA、CAA、ISA、ICTA等各种提法。笔者认为,结合我国国家审计的职能和特点,IT审计可以定义为利用信息技术组织开展的审计。这一提法可以较为全面、准确地定义信息技术在国家审计实务中的应用,同时也是世界审计组织(INTOSAI)及其IT审计工作组各成员国最高审计机关普遍认可和采用的提法。
由于各国国家审计机关在IT审计的定位和侧重等方面存在差异,其组织形式和实施模式也不尽相同。世界审计组织(INTOSAI)认为IT审计是通过获得和评估证据,确定IT系统是否保护了组织的资产,有效率地使用资源,维持数据的安全性和一致性,以及有效地达到组织的业务目标的过程,这一定位得到了各国最高审计机关的普遍认同;国际信息系统审计与控制协会(ISACA)建立了普遍适用的信息系统审计标准、指南和流程,所的COBIT已经成为国际上公认最先进、最权威的信息技术控制框架;美国审计署(GAO)将信息系统审计作为IT审计的重点,在20__年2月的《联邦政府信息系统控制审计手册》中将信息系统审计的实施分为一般控制审计和应用控制审计两个部分;英国审计署(NAO)侧重于政府IT项目绩效审计,在20__年2月的绩效审计报告中对过去十年来信息技术在政府工作中发挥的作用、面临的挑战和发展的方向进行了系统总结。
二、我国现行国家IT审计架构及缺陷
随着信息技术在社会经济生活各个方面的广泛运用,为适应信息化环境的变化,我国国家IT审计从上世纪80年代末开始起步,从无到有、从单机到网络、从探索研究到逐渐普及,在多年的发展中逐步形成了一套具有本国特色的IT审计架构和工作模式。
(一)现行国家IT审计架构。
在法理基础方面,审计法明确规定了审计机关有权要求被审计单位提供计算机储存和处理的财政、财务收支电子数据以及必要的技术文档,有权检查被审计单位的信息系统;《国家审计准则》也根据信息技术环境下开展审计工作的特殊性作出了一些特别规定,在编制年度审计项目计划和审计实施方案,实施审计检查、获取审计证据,作出审计结论、出具审计报告等环节表现出鲜明的关注信息系统、突出信息技术的特色。
在组织结构方面,以审计署为例,已经形成计算机技术中心负责组织协调和指导管理全国审计系统的信息化建设的格局,各审计业务部门负责结合审计项目开展电子数据审计。计算机技术中心不仅要配合业务部门开展计算机审计业务,同时还要承担建设、开发、推广和维护审计信息系统,以及编制IT审计规范和组织IT培训考试等各项工作。
在工作模式方面,随着现场审计实施系统(AO)和审计管理系统(OA)的全面应用,国家IT审计逐步迈入一个新的发展阶段,初步形成了利用信息技术开展大型项目组织管理,运用审计软件实施现场审计,积极探索联网审计和信息系统审计,逐步推进审计数据资源建设的IT审计模式,审计信息化水平不断提高。
(二)国家IT审计中存在的问题。
由于组织结构和工作模式还不能完全适应工作需求,与充分发挥审计保障国家经济社会健康运行“免疫系统”功能的要求相比,我国国家IT审计还存在以下不足:
1.审计业务与IT技术的结合不够紧密。
虽然计算机审计培训已开展多年,计算机审计技术也已在国家审计的各个行业、领域得到推广应用,但仍然较为普遍地存在审计业务部门过于依赖IT部门技术支持的现象,粉饰和包装计算机审计成果的情况也屡见不鲜。在审计项目中原本应由审计业务部门主导和实施的常规计算机审计工作往往过多地需要借助IT技术人员的参与,不仅不利于各行业、领域中审计业务与计算机技术的紧密结合,而且较易形成审计业务与计算机技术“两张皮”,阻碍了计算机审计技术在审计实务中的进一步深入应用。
2. IT审计部门的职能定位不够清晰。
与部分其他国家审计机关比较,目前我国审计机关还没有纯粹意义上的IT审计部门,IT部门的职能定位较为模糊。一般来说,审计机关设立的计算机技术中心、计算机审计处、信息中心等部门同时承担了电子数据审计、信息系统审计、日常维护和技术支持等多项职能,凡是与信息技术相关的职能均由IT部门负责,因此不仅需要承担大量系统开发、维护和管理工作,还要投入精力开展计算机审计业务,IT业务需求与人力资源矛盾突出。同时,IT部门往往没有真正作为审计业务部门进行管理,在独立开展信息系统审计和IT绩效审计项目方面存在障碍,处于较为尴尬的局面。
3.信息系统审计和IT绩效审计起步较晚。
由于信息化程度的差别,美国、英国等国家广泛开展的信息系统审计和IT绩效审计在我国尚处于探索阶段。一是信息系统审计还没有成熟有效的组织方式和审计标准,同时由于掌握核心技术的IT公司为保持其垄断地位不会轻易公开其核心技术,审计人员对商业 银行、大型国企等单位所使用信息系统难以了解透彻;二是对IT项目投资的审计还仅仅停留在资金审计的层面,IT项目绩效尚未开始作为一个单独的审计类别进入国家审计的范围,也没有形成系统、科学的政府IT项目绩效评价指标体系。
三、国家IT审计架构探析
IT审计的职能来源于审计工作的实际需求。国家审计机关的法定职责是监督被审计单位财政、财务收支以及有关经济活动的真实性、合法性、效益性,保障国家经济和社会健康发展的工作目标。为了适应信息化环境下国家审计履行法定职责的需要,应当构建国家IT审计的体系架构。
(一)国家IT审计架构需求分析。
前述定义,IT审计是利用信息技术组织开展的审计。一方面,利用信息技术对以电子数据为载体的财政财务收支和相关经济活动的真实性、合法性、效益性进行审计监督;另一方面,需要对记录、处理和产生电子数据的信息系统内部控制进行检查,以确保电子数据的真实、完整和可靠。于是,总体来说IT审计架构可以划分为两大类,即:利用信息技术对记载财政财务收支和相关经济活动的电子数据的审计和利用信息技术对产生电子数据的信息系统内部控制的审计。
从国家审计履行法定职责的角度看,可先组织信息系统审计,检查信息系统内部控制对产生电子数据的真实、完整和可靠性的影响;再组织电子数据审计,检查财政财务收支和相关经济活动的真实性、合法性、效益性。通常情况下,也可交叉组织实施。
1.信息系统审计。
通常情况下,信息系统审计是实施电子数据审计的必要准备,属于结合电子数据审计的信息系统审计。但对于电子政务工程建设项目、企业ERP建设项目的审计,需要对项目建设的信息系统的规划、设计、研发、实施、运行、维护等全过程,对信息系统的应用系统、信息资源、网络系统、安全系统、运行服务系统等各组成部分,进行全面审查。此时的信息系统审计并不结合电子数据审计,属于独立的信息系统审计。因此,信息系统审计可划分为结合式和独立式两种方式。
结合式的信息系统审计,其目标是检查信息系统内部控制对产生电子数据的数据风险,测评信息系统对数据的真实性、完整性和正确性的影响。由于数据式审计的运用一定是在信息化环境下,如同在纸质环境下一样,系统内部控制的合理性、健全性和有效性直接影响着数据的真实性、完整性和正确性。因此,为了控制数据风险,保障审计目标的实现,审计人员应该首先要对信息系统的内部控制进行调查、测试和评价。
独立式的信息系统审计,其目标是检查项目建设的信息系统的安全性、可靠性和经济性。据有关统计数据,20__年我国政府行业IT应用建设投资总规模达707.5亿元,同比增长14.2%,相当于奥运全部场馆建设的3.6倍,超过三峡工程15年投入的三分之一。历年政府IT项目建设投入巨额资金后,是否存在重复建设、绩效低下的情况,以及电子政务建设在提高政府行政效能和公众服务能力方面的效果如何都亟待评估。因此,除了一般意义上对被审计单位的信息系统的安全、可靠、有效和效率等进行审计之外,对信息系统和IT项目的经济性和投资绩效也应纳入独立式信息系统审计的范畴。
2.电子数据审计。
电子数据审计是以系统内部控制测评为基础,通过对电子数据的收集、转换、整理、分析和验证,对信息系统产生的电子数据及其他相关数据所记载的经济业务的真实、合法和效益进行审计。审计人员利用信息技术对被审计单位的财务数据及其他相关数据进行检查是审计机关的一项重要职责,电子数据审计的审计目标和审计范围与传统手工审计是基本一致的,只是审计的对象、方法和技术发生了变化,主要是审计机关和被审计单位双方都利用计算机作为作业工具,即一方用计算机记录财务会计核算和经营管理数据,另一方用计算机进行审计。
电子数据审计作为传统手工审计在信息化环境下的自然演化,是目前使用最多、应用最广的IT审计形式。近年来,我国各级审计机关总结审计经验,组织开发了以现场审计实施系统(AO)为代表的一批审计软件,并注重在实践中予以修改完善。审计软件的广泛应用,改进了审计手段,提高了审计效率,加强了审计工作在信息化环境下的适应能力。
另外,作为“金审工程”重要建设成果的国家审计信息系统(GAIS)已经初具规模,随着现场审计实施系统(AO)、审计管理系统(OA)、审计数据中心、网络系统和安全系统等应用的不断深化,对审计机关所属机房、网络、网站和信息系统等基础设施的建设、运行与维护,以及为审计业务和审计管理工作提供技术支持提出了更高的要求。
(二)建立适应国家审计需求的IT审计架构。
结合我国国家IT审计的实际需求,审计机关应该具备相应的组织结构,形成有效的IT审计模式开展工作。
1.开展信息系统审计的IT架构。
无论是结合式还是独立式的信息系统审计,其审计对象是信息系统本身。信息系统审计的重点是检查信息系统对其产生数据的影响,或是信息系统自身的安全性、可靠性和经济性。结合式的信息系统审计,需要对信息系统承载的业务流、数据流的技术设计和技术路径,对数据的输入、处理和输出的内部控制和安全防护等进行检查,以测评系统内控对数据影响的风险; 独立式的信息系统审计,需要对信息系统的应用系统、信息资源、网络系统、安全系统、运行服务系统等各组成部分进行检查,以测评信息系统的安全性、可靠性和经济性。由于信息系统审计的特殊要求,需要具有一定IT审计知识和技能的IT审计部门进行检查测评。
由于结合式的信息系统审计需要对信息系统承载的业务流、数据流进行检查,对数据输入、处理和输出的业务流程进行检查,即便独立式的信息系统审计也要检查项目建设的业务目标和项目投资的经济性问题,需要审计业务部门的配合和支持。因此,信息系统审计的IT架构,需要IT审计部门和审计业务部门的共同合作。通常情况下,应该以IT审计部门为主,以审计业务部门为辅。
2.开展电子数据审计的IT架构。
电子数据审计的应用范围较为广泛,核心是通过分析被审计单位财务数据和其他相关数据并取得审计证据的技术。电子数据审计的重点应该是运用计算机技术对电子数据进行分析性复核、比较和抽样,无论是现场审计还是远程审计,无论是单机模式还是联网模式,无论是简单的比较分析还是相对复杂的数据仓库技术,无论是国内的AO还是国际上普遍使用的ACL、IDEA审计软件,共同点都是利用间接测试并从关系模型中得出审计证据。
运用计算机技术进行审计为查错纠弊带来了极大便利,很容易实现对某一类数据的查询和筛选,使手工审计条件下无法做到的详细审查成为可能,同时财务数据和业务数据的结合更便于发现被审计单位管理和经营方面的漏洞和舞弊行为。由于审计对象、环境、方法和技术的变化,一方面需要审计业务部门在掌握和运用各类审计业务的知识、技能的同时,也要掌握和运用计算机审计的知识和技能;另一方面,复杂业务的计算机审计处理依赖于信息技术的审计组织模式和管理模式的运用,需要IT审计部门的配合和支持。因此,电子数据审计的IT架构,需要审计业务部门和IT审计部门的共同合作。通常情况下,应该以审计业务部门为主,以IT审计 部门为辅。
四、进一步完善国家IT审计架构的几点建议
我国国家审计信息化建设正处于发展阶段,与先进国家的发展水平相比,IT审计架构还不够完善,审计理念还不够先进,在很多方面都需要借鉴国外的经验。但借鉴并不是原样照搬和全盘接受,而是应该根据自身的特点,对他国的先进经验进行批判地吸收。着眼于国家审计作为保障国家经济社会健康运行“免疫系统”的特殊定位,同时结合国家IT审计的现实情况和发展方向,国家IT审计架构应该根据工作需求进一步加以完善。
(一)逐步实现审计模式的转变。
随着计算机技术在审计实务中的广泛运用,国家审计环境、对象和方法的变化导致原有的审计模式已不再适应发展的要求,国家审计正在原有的基础上不断完善,逐步向高效率、高质量的方向发展。未来信息化审计模式的实现在很大程度上需要依赖信息技术,其与传统审计模式相比有如下特征:其一,它是一种以电子数据作为直接审计对象的数据式审计模式;其二,具有不间断性、循环性和实时性,这意味着审计活动将在一个更连续、更频繁和更及时的基础上实施;其三,可以经济地实现详细测试,在信息化环境下利用技术自动执行控制测试和风险评估的方法使得进行连续性测试成为可能。在这种情况下,计算机技术势必与传统审计的技术和方法高度融合,以计算机技术作为支撑的审计业务处理能力大大提高,信息化环境下审计模式的转变将是IT审计未来发展的必然趋势。
(二)逐步实现IT审计的专业化。
it审计和普通审计篇2
杜邦是一个拥有总资产44亿美元的大型跨国公司,一直在化学和化学器械、生物技术、地质学上处于技术上的领先地位。作为杜邦的审计人员,他们的使命是拿出世界一流的审计水平去支持公司的业务运作,他们定期制定标准且与其它公司相比较,然后评价结果,找出应改进的地方,为了与信息技术的飞速发展保持同步,杜邦公司把IT审计作为重点领域,要求内审人员拿出相应的方案,因为随着信息技术的迅速发展,相应的审计技术变得复杂起来。所以,杜邦公司决的支持、在职培训及监控。3.在一种业务范围内强调IT在总体审计意见里发现难于评估系统的相关性时,必须能将系统里的发现转化为业务项目。4.发展一种聚焦池,确保能不断关注到所有存在和新出现的技术。5.能从外部雇佣职员或刚离校的毕业生,来作为IT职能部门的新鲜血液。6.强调要通过初步的培训每个职员都应是全职的被培训者,如:规定每个人每年要参加培训10天。7.关心所有的重要技术开发,包括已存在和正在出现的技术。8.与研究部门紧密联系。这对IT审计来说是很重要的,因为这样会允许IT职能部门获得一些控制文件,在计划和设计阶段就会考虑这些因素。9,为协调管理而服务。杜邦认为在这个领域应处理得比其它公司的IT活动更有效率,同时,杜邦也希望自己的内审是通过适当的程序和技术来管理一些经营活动将来也可以于外审。10.适当地依靠外部服务所提供的信息。11.认识到它没必要达到高质量的最好限度。12.将自我评价作为未来世界一流审计组织的批评性产品,不仅对IT审计,而且对整个组织而言,都是很重要的。将以上发现作为评价标准,从而形成了许多固定的概念框架,根据以上内容,杜邦的研究小组设计了适应杜邦的IT审计方案。
二、小组工作
为使杜邦IT审计达到领先水平,杜邦从全球的内审人员和审计本公司的外部审计人员中抽调一部分组成了一个代表组,这个小组由一个总审计经理监督,对指挥部负责,这个指挥部包括副总裁、总审计师、副财务经理、信息主任和事务所的业务合伙人。
该小组在很紧凑的时间安排下建立了一套的工作方法。并对杜邦IT审计的发展和更新提出长期性的意见。
该小组给IT的定义是:IT审计与杜邦公司的其它所有审计活动是密切联系的。我们将在职能审计小组的支持下,对应用系统和整个信息系统的各个部门进行具体的审计,进而确保在系统的支持下的经营活动能有充分的应用控?quot;。
小组的目标之一就是:保持一个完整的相应统一的内部审计职能部门时,决定如何提高杜邦的IT审计能力。
在商讨和计划时,提到了几个固有风险因素,如:1.IT外部组织仍处于转换时期,且更大的组织变化将会发生。2.杜邦信息系统的可靠性已经惊人地提高。3.化的机,包括因特网和主要的系统化,如SAPR/3,正在成长期。4.成增长趋势的公司内部连网,导致公司向全体化和其它非传统商业联营方向扩张。
三、两种审计模型
杜邦常用IT审计总体模型(Audit Integration Model,简称AIM)和变量实施模型(Variable Sourcing Model,简称VSM)来决定是否应当从外部获得技术或保持他们,特别是认为计划需要改变的时候,这两个模型有重要的指导意义。这两个模型如下所示:
1.AIM
AIM根据IT审计的组成要素大略揭示了IT的审计过程,复杂的知识水平和工作人员的工作量随着以下所示的四个阶段而逐步下降
阶段1经营过程控制 准 备 活 动 实 施 选 择 培 训 要 求所有归属于一个过程审 计的非系统的不相关审 计活动:如过程、计划、流程图、检阅程序、访问和测试 执行所有正常情况下的 准备活动,不包括具体 的与IT有关的活动。 不需要具体的IT审计 技术 不需要高水平的IT培 钻15
阶段2输出
所有与符合性审计有关 的活动,包括数据进入、错误书写、输出和进入 控制 决定应该用什么政策, 若与具体的经营有关 时,应在工作底稿上从 头到尾写清楚;若与多 种经营有关时,应把它 单独拿出来进行符合性 测试,然后,在工作底稿 上注明 由有经验的审计人员来执行任务。IT审计人员的任何行动都应得到支持,因为这个阶段代表整个审计过程的重要环节。在向新结构进行完全转变之前,IT审计人员对所执行的符合性测 试都认为是适当的。 确保每一个审计人员都 有执行符合性测试所需 技能,复核IT的组成要 素,决定是否需要改变,以确保达到目标。确保 这些技能对审计小组来 说是容易达到的,且它 是必要的,直至达到审 计的长期目标。
阶段3附台性和分界面
在符合性审计和技术审 计之间的灰色领域,在这个阶段需要有高技 能的高水平的审计人 员,因为这些活动要进 入到系统的内部工作且 与其他符合性相联系。 决定执行的符合性复核 的细节应达到的水平, 确保灰色领域被完全充分校测,尤其注意系 统的共同范围,因为这 些可能没被包括在先前 的比较窄的审计范围中 确定符合条件的审计人员的比例和从外部寻找人员的可行性,确保此阶段审计人员的技能对审计小组来说是容易达到的,直至实现长期目标为止。 决定如何提供培训,以 使他们达到更高的技术 水平,期望达到所需技 能的审计人员的比例将 被作为实施阶段工作的 一部分,在转换期,应确保这些技能对审计小组 来说容易达到直至实现 长期目标。
阶段4基础性的结构
技术审计覆盖了计算机 环境的内部工作.在此阶段需要高技能和特 殊才能的人才,如:在运 行系统或安全软件方面 通过符合性调试复核平台的最近技术审计,根据峁页鲋葱猩蠹频氖奔洌际跎蠹票匦胩峁泄仄教ǖ恼逡?见,这一步应包括桌面系统环境和完整的桌面系统审计,必要时应事 先规划 检查正被杜邦使用的平台系统,且必须做这项工作,确定在社邦所要求的技能范围内的保留工作量,决定核心工作员、浮动工作量和特殊工作量的未来余 额,评价保留和维持这些技能的内部审计人员的职业道路前途等,确保改变计划时允许小组充分协调好内部活动与6F部专家的耸嚣- 对那些保留在杜邦内部 的技能应确定培训的关 键来源且确保这些人员 是通用的,在这个阶段,工作能力的大小受社邦 的联营者的规模而定p 所以培训只要及时就行。
IT AIM的建立可加强IT审计人员对IT审计的一般理解及他们应如何与其它审计活动相联系。杜邦运用这个模型解释了谁审计什么及在各个阶段所期望达到的审计人员的工作能力和工作量之间的转换,由于杜邦对全体审计人员进行了技能培训,所以,杜邦尤其关注这样的一些,如:实际培训人员能力与各阶段上审计人员应代表的水平之间的距离有多远,应在哪儿挑选有技能的IT审计人员等。AIM反映了社邦在这方面的决策,且AIM至少能被用于以下三个重要方面:1.通过提供一个评估与IT相关工作范围的框架,来帮助计划阶段的审计。2.为将来建立IT审计评价表作准备,这张表用来作VSM的参照物。3.作为一种鉴别不同IT审计培训的。
在以下三个领域中,模型提供了从一般了解到决策的各个部分的解决办法。具体如下:
(一)准备阶段
当进行更多的经营过程审计时,准备阶段的工作在确保清楚地界定审计范围和审计小组应有的技能和工具去从事工作这两方面起关键性的作用。经营过程审计将会在范围上更广、时间上更长,且很可能由大量不同机系统组成。如图所示,AIM可作为一种有效的准备工具,如果某种技能需由外部人员来实施时,及时地在此阶段补充审计人员会变得更重要。
(二)实施阶段
这是工作范围的重要部分,社邦审计小组一直在和采用VSM作为一个工具来决定成员水平和技术能力,模型显示出杜邦计划的技术能力保留在一个核心范围内,核心范围的大小由任何一年的估计工作量和杜邦是否维持这种技术能力由自己开发而决定,模型也表示出,可从外部获取资源,若保留技术能力的工作量比估计工作量要高,这一部分差额称为浮动工作,反之,称之为特殊工作。
AIM与VSM结合起来,可用来确定保留在杜邦内审中的技术能力和将来的核心工作、浮动工作及特殊工作的平衡。与杜邦的支持者及供应商们讨论,即实施IT审计的联营公司,可能也是这个阶段的一部分工作。另外,杜邦还计划转变战略,确保内审依赖外部专家时有力量控制局势。
(三)培训
除发展AIM和VSM外,工作小组还针对现在的IT审计组织进行技术描绘未来IT审计组织的前景。由信息武装起来,杜邦利用AIM来决定所期望的能达到多种目的的审计人员的IT技能是什么水平,及什么样的特殊行为是杜邦将保留和维持的,提供的培训课程应确保有一个完整的途径。AIM可用来确定所需和所计划的培训。
四、更新
除以上外,该方案还包括不断变化的组织评估表和技术分析表,针对现在至未来的组织,通过预想的变化,这些需要-个全球IT审计经理的命令,他将在下列领域内得到三个工作领导者的支持。1.信息统一:负责计划、实施和提高技术审计。对诸如数据中心、远程通讯等基础设施方面负责咨询。2.技术支持:负责发展和完成每年的计划,这些计划重点在于关注新出现的技术,评价和支持内审的技术要求,包括硬件、软件、审计工作、计算机辅助审计技术和一个内审网站。3.应用支持:负责发展和完成每年的应用审计计划,支持审计过程中的符合性测试,应用支持负责人也有责任确保所有的审计人员应符合控制目标且充分地受到培训。
剩余的IT审计人员保持他们现存的管理报告流程,但增加了一份职能报告与以上所述三组之一相联系,将会执行许多审计活动,以便对杜邦审计计划的准备阶段进行控制,对全部审计工作进行监督。
五、启迪与借鉴
实践证明,IT审计开辟:内审的新领域,它取得了一些成功经验。
由于各种原因,我国的内审质量不高,更不用说IT审计了,因为对我国众多来说,:企业内部治理结构还没理顺,信息化程度还不普及,只是在某些特殊行业中(如行业)比较普遍,、可以说,IT审计在我国还处于起步阶段,而国外已发展得比较成熟。所以笔者认为,除了进一步改变国有企业的内审管理双重体制之外,我国可在以下方面借鉴西方先进经验,努力提高我国的IT审计水平:
1.重视与外部审计师的合作,尤其是注册师。我国的注册会计师行业虽然起步较晚,但已取得令人瞩目的成绩,特别是知名会计师事务所积累了大量的企业管理信息,相信与某公司长期合作的会计事务所定会为该公司提供良好的内审控制建议。
2.强调对内审人员的培训。在我国,由于内审管理体制还没理顺,没有统一的准则。各企业应根据IT审计要求的高低进行不同程度的培训。
3.规范I丁审计的同时,注意改进审计方法技巧。可杜邦的作法,把整个审计过程划分为几个阶段,并固定下来。但在各个阶段的审计工作中,应注意审计方法的灵活运用。另外,尽量使用量化标准,如建立变量模型等。
4.重视内审人员的知识更新,这是IT审计的性质所决定的。企业的信息系统普遍应用网络技术,且与商务系统紧密结合,使产业信息系统无纸化。在此环境下,审计人员不仅要掌握传统审计的基本知识,还必须掌握计算机应用基本技能,这样才能满足审计需求,特别是对于内审的IT审计来说,不只是对企业的会计信息系统进行审计。所以,内审的管理机构及企业都应重视内审人员的知识更新,如,加快有关计算机审计的教材建设,计算机审计人员资格及制作计算机审计的具体准则等,方便企业选拔IT审计人员。
[参考]
[1]Wayne More and David Hen-drey. It Audit Renewal(J)。 Internal Auditorl999(4)。
[2] Pete Rosenwald. To Be or Not To Be LJ]. Accountancy. 1999. (8)
[3]傅元明。计算机信息系统环境下的几个审计问题LJ].审计研究,1999. (5) .
it审计和普通审计篇3
电网企业IT审计实例
2012年,山西省电力公司对某信息系统进行了IT审计。审计人员结合COBIT框架的三维体系结构和电网企业信息化建设现状及特点,构建了信息系统审计过程模型,实施了规范的审计工作流程、标准的审计程序,运用全新的审计方法、技术和工具,对电力信息系统建设和运行中存在的问题进行了客观评价,降低了信息系统管理的风险,取得了良好的成效。首先,在信息系统生命周期的基础上,对照COBIT的流程定义,结合电网企业自身特色与风险评估的结果,构建信息系统审计过程模型,将信息系统过程集确定为规划与治理、基础设施获取、服务提供、服务支持、信息安全、业务连续性等6个过程,再进一步确定审计控制点,共68个。信息系统过程及控制点见表1所列。然后,针对已确定的控制点,对照COBIT的控制目标,依据电网企业相关的内控制度,进行现场取证,对比分析山西省电力公司信息化建设过程管理和内控措施的实际执行与标准控制目标之间的差异。在取证过程中,审计人员应用了规范的IT审计作业标准,制定了调研提纲模板、访谈模板、问卷调查模板、证据模板、合同统计模板、IT审计工作记录模板、IT审计底稿模板、IT审计分报告模板、IT审计总结模板等多个IT审计标准模板。同时,根据IT审计的特点采用了创新的审计方法和工具[23],如大量采用座谈、访谈、现场操作演示等IT审计方法,以及证据模板、截图、屏幕录像等技术工具来保存审计证据链。本次审计过程中共开展了20余人次的座谈、访谈、系统操作演示,获取了有效的屏幕截图28张,证据说明材料27份。通过现场IT审计作业,审计人员发现了系统变更、信息泄密、系统集成、系统业务连续性、信息化建设管理等5方面的风险,以及系统存在操作报错、集成接口失效、接口性能过低、功能未实现、实用化不足、设计缺陷、验收资料不合规等7方面的问题。进而,审计人员引入风险坐标图,从风险发生的可能性和影响程度2方面进行分析,对发现的风险进行评估,确定了风险等级。其中,重大风险3项,中等风险1项,一般风险1项。最后,针对风险评估的结果和审计发现的问题,提出了具体可行的改进建议和整改意见,形成了IT审计报告和审计意见及建议。通过本次IT审计,及时发现了山西省电力公司信息化建设过程中的控制弱点,降低了信息系统管理的风险,取得了良好的成效,证明了运用IT审计过程模型在电网企业开展IT审计的可行性和适用性。
it审计和普通审计篇4
中图分类号:F239 文献标识码:A 文章编号:1001-828X(2013)12-0-01
一、商业银行进行信息系统审计的意义
(一)商业银行日益依赖信息系统。商业银行信息系统一般可分为信息管理类系统、渠道类系统和外部清算结算类系统。
1.信息管理类系统与决策、管理和业务相关,以提高效率和规避风险为目的,主要有贷款系统、征信系统、客户管理系统、资产负债管理系统、办公自动化系统、档案系统(票据影像缩微系统和光学字符识别OCR)、数字终端录像系统、数字视频监控系统等。
2.渠道类系统是商业银行面向市场和客户的窗口,也是对外服务使用的载体,包括人工渠道、电子渠道和第三方渠道。人工渠道有柜面服务和职能部门的业务终端(例如会计账查询系统等);电子渠道分为自助服务系统(电话银行、手机银行和网上银行)和自助服务终端(ATM和P0S);第三方渠道包括银联交易、区域性通存通兑和同城跨行通存通兑等。外部清算类系统是指有外部接口的系统,包括行间资金转账系统SHFT,主要有大额清算系统、同城交换系统、同业往来清算系统和第三方存管清算系统。
(二)大数据时代将到来。随着信息系统的大力发展,商业银行信息系统出现了爆发式的增长,银行业务越来越依赖信息系统,商业银行的竟争很大一部分是靠信息战。目前,各大银行都实现了数据的总行大集中,信息数据己经成为银行的核心竟争力之一,大数据时代即将到来。
(三)监管当局的外部要求。随着金融业对信息系统的依赖度越来越高,国家相关部门对信息系统的管控也越来越重视,自2006年8月《银行业金融机构信息系统风险管理指引》开始,银监会正式对银行科技风险进行监管,近年来推出一系列制度和措施,监管工作逐步走向规范化。通过IT审计来保证和监控全行的信息科技管控对各级监管政策法规的合规性,也成为银行业实施IT审计的重要目的之一。
二、商业银行IT审计标准
商业银行IT审计,以国际最佳实践及相应的规则做为审计依据。主要有:
1.COBIT最佳实践模型
COBIT(Control Objectives for Information and related Technology)是由信息系统审计与控制基金会最早在1996年制定的IT治理模型。这是一个在国际上公认的、权威的安全与信息技术管理和控制的标准,其最大的作用是将IT过程、IT资源与企业的策略和目标联系起来,保障企业的IT战略目标和其业务发展目标的一致性。
COBIT4.1版本中经典的体系框架包括了实施简介、实施工具集、高层控制目标框架、管理指南、具体控制目标、审计指南等一系列文档。
2.监管部门颁发的《商业银行信息科技风险管理指引》
2009年的《商业银行信息科技风险管理指引》(以下简称《指引》),定义了商业银行信息科技风险的总体框架,即在当前商业银行普遍的信息科技现状下,可能存在的重大信息科技风险的范围,使商业银行的风险管理过程,能够集中精力在相关领域。
《指引》确定了九大管理领域,即:信息科技治理;信息科技风险管理;信息安全;信息系统开发、测试和维护;信息科技运行;业务连续性管理;外包;内部审计;外部审计。这些领域覆盖了信息科技管理的大多数重要活动,这些活动中存在的风险,可能会对业务产生重大影响,因此对这些领域的风险识别和管理,应当在信息科技风险管理中优先对待。
在这九大领域中,IT审计占两个,分别是内部审计和外部审计。而《指引》本身,就是一个针对银行的框架完整的IT审计标准,银行可以参考这个标准,开展IT审计工作。
3.其他IT审计标准
除了以上两个标准,实践中还可使用其他标准,如,由于信息科技的细分领域众多,在进行某些细分领域的专项审计或单领域审计时,可以考虑单独使用某些国际或国内标准作为审计标准,从而达到更深入和专业的目的。比如,在进行信息安全方面的审计时,可参考ISO27001等国际标准或国内标准SSE-CMM;在审计IT运维、IT服务的交付和支持相关领域时,可以考虑采用ITIL作为审计标准;银行应当依据自身特点,结合本行信息科技工作的特点以及每次IT审计的目的和范围,有选择地采用审计标准。
三、银行业IT审计展望
(一)加强以风险为导向的IT审计
银行IT审计职能和角色也在过去这些年发生了不少变化,从以合规审计为主的工作,逐渐变成了活跃的内部或外部业务顾问。如前文所述,基于风险的银行IT审计工作将成为银行IT审计的主流工作方法。
(二)计算机辅助审计技术(CAATs)会在IT审计中得以广泛应用
计算机辅助审计技术是指审计人员在审计过程和审计管理活动中,以计算机为工具,来执行和完成某些审计程序和任务。
it审计和普通审计篇5
1 概述
近年来,计算机技术飞速发展,IT企业间的竞争也越来越激烈。为了节约成本,在IT行业中普遍采用外包的方式组织生产。IT外包一般分为服务分包和项目分包两种形式。
2 服务分包和项目分包的区别
服务分包是指项目承包商(总包人)在实施项目时吸纳具有相应资质的服务分包商参与开发、实施等,共同完成业务系统建设的活动。
项目分包是指项目承包商(总包人)将其所承包项目中的非主体业务通过书面合同形式并经业主同意,发包给其他具有相应资质的项目分包商完成的活动。
其中,服务分包具有及时性、定期性,按人、级、量和价结算的特点。为保证项目按期高质量完成,服务分包更倾向于对“人”的管控,且不需要业主方的同意,法律也未禁止服务分包。服务分包和项目分包的对比见表1。
3 服务分包流程
鉴于以上服务分包与项目分包的区别,以及服务分包的优势,通过实践经验,以及IT审计、IT治理的要求,总结出了服务分包工作流程。如图1所示。
服务分包工作流程划分为四个阶段十三个环节。
3.1 计划阶段
(1)制定服务分包计划。a.年度计划。需求部门根据年度项目清单,逐一分析用人需求,提出部门年度服务分包计划。分季度列出预计需求人数、预计签订合同额、预计利润等。人力资源部根据经营指标和人力资源配比,审核部门年度服务分包需求。并汇总形成公司年度服务分包需求计划(按季度滚动修订)。b.月度计划。每月初5日前,需求部门提出部门月度服务分包计划。包括项目信息、人员级别、数量、时间等信息。项目管理部根据项目进度、预算等情况审核月度服务分包计划。人力资源部汇总形成公司月度服务分包计划。
3.2 采购阶段
(2)签订框架协议。根据框架招标结果,物资部与中选供应商签订服务分包框架协议。并且为供应商开通信息管理平台账号。
(3)人员准入。a.提出需求。需求部门提出《服务分包申请》。包括项目信息、预计收入、预计用人计划、已用人员数量、人员需求数量、资格要求、需求原因、工作内容、配置方式(新增、调配)等。b.审核需求。人力资源部根据月度服务分包计划审核《服务分包申请》。计划外服务分包申请先由项目管理部审核,再由人力资源部汇总,并将月度服务分包计划准确率纳入需求部门绩效考核。c.需求。根据审批通过的《服务分包申请表》,物资部在信息管理平台上公开服务分包需求信息,供应商可以凭账号密码登录系统后查看。d.收集简历。人力资源部收集供应商推荐的简历,并进行初步筛选。e.组织面试。人力资源部对于筛选通过的简历,组织外包人员面试。f.初审评价。人力资源部先对外包人员进行初审评价。g.技术评价。需求部门对外包人员做技术评价。h.复审评价。对于高级别的外包人员,人力资源部会同项目管理部组织相关专家进行复评。
(4)核定级别。人力资源部根据外包人员初评、技评、复评结果,最终确定其级别。
(5)确定价格。对于每个外包人员,根据其定级结果,物资部与供应商再次进行谈判,针对此人员实际的技术能力、工作经验等,在不高于框架招标结果中相应级别的人员单价的原则下,通过谈判确定此人员的最终单价。在价格谈判过程中,对于优质供应商或者响应及时率高的供应商予以适当照顾。最终确定的单价经公司领导审批后,物资部与供应商签订《服务分包确认书》,双方签字盖章。
3.3 结算阶段
(6)核定工作量。外包人员每天在VP系统中报工(包括工作内容和工作地点),项目经理审批。同时,人力资源部统计外包人员考勤,包括请假、加班等信息。每月项目管理部从VP系统中导出外包人员报工工时及所在项目信息,然后根据人资部提供的请假、加班信息对工时进行调整,确定外包人员工作量。
(7)结算人工费。物资部根据每个外包人员的工时、单价计算出人工费,按供应商口径编制《服务分包月度人工费结算单》,按项目口径编制《服务分包月度人工费项目成本分摊表》。
(8)结算差旅费。根据项目需要,外包人员提出出差申请,项目经理和项目管理部分别审批。财务资产部审核外包人员出差的往返交通票据,并计算出差天数,按出差地区标准计算差旅补贴。物资部汇总外包人员交通费和差旅补贴信息,按供应商口径编制《服务分包人员月度差旅费结算单》,按项目口径编制《服务分包人员月度差旅费项目成本分摊表》。
(9)签订结算单。《服务分包月度人工费结算单》《服务分包月度差旅费结算单》经财务资产部审核后,由物资部分别与各供应商进行量、价、人的确认,并双方签字盖章。
(10)支付劳务费用。物资部向供应商收取发票。财务资产部收到发票后,按资金计划付款,并将《服务分包月度人工费结算单》《服务分包月度差旅费结算单》附在财务凭证后归档。
3.4 反馈阶段
(11)预警项目成本。财务资产部每月按部门核算每个项目的月度成本,编制《财务统计月报表》,并通知项目管理部、需求部门。项目管理部根据月度项目成本,监控项目预算,做预警提醒。需求部门根据已发生的项目成本,及时向人力资源部提请调增或调减外包人员,并按季度对部门年度服务分包计划提出修订。人力资源部按季度修订公司年度服务分包计划。
(12)考核外包人员。需求部门反馈外包人员工作情况,向人力Y源部提请调高或调低外包人员级别。人力资源部对于使用超过一年的外包人员,一般在每年年初,根据用人部门的反馈意见对其重新发起定级、定价流程。
(13)考核供应商。需求部门反馈供应商配合情况,外包人员工作情况。人力资源部反馈供应商对服务分包需求的响应及时率、响应质量。项目管理部反馈工时准确情况。物资部收集各部门的反馈信息,对供应商进行考核,编制《供应商季度考核报告》。
4 结束语
通过以上流程开工服务分包工作可以有效加强IT企业服务分包管理,规范服务分包流程,强化过程管控,规避审计风险,实现服务分包工作的规范化、流程化、标准化,提高服务分包工作效率,提高管理精益化水平。
参考文献
[1]刘晨鑫.合理优化企业IT基础架构的研究[J].科技创新与应用,2016(13):284.
[2]高杨.基于云计算技术的桌面虚拟化研究[J].科技创新与应用,2015(34):93.
[3]佘品慧.IT外包服务关键因素研究[J].科技展望,2016(3):253.
[4]金桂永,戴普军.IT外包服务研究[J].电子技术与软件工程,2016(12):258.
[5]王建军,赵金辉.关系与IT外包绩效:服务质量调节的中介作用[J].科研管理,2015(8):104-111.
[6]马瑞强.云计算对软件服务外包产业附加值提升的探讨[J].科技创新与应用,2013(5):61.
it审计和普通审计篇6
金融、医疗等信息化起步较早的行业,早已是IT服务商们的必争之地,而这些行业中“不差钱”的企业级客户对于服务商的挑选格外严格和慎重。品牌知名度、核心业务整合度、服务满意度围成了一个巨大的商业壁垒,将实力较弱的服务商拒之门外。因此,作为一家起步较晚的公司,瑞宁并没有将市场定位在目前行业用户的核心业务层,而是采用迂回策略,将目光聚焦在运维审计方面。
除了市场定位的与众不同,瑞宁的迂回策略还体现在对行业用户的切入点上。“首先,我们并没有一开始就选择大型银行切入,而是利用公司的地域优势,选择省市级的中小型银行作为试点。双方的合作方式,也并非通过产品买卖的形式开始,而是以合作科研项目为契机,深入了解用户需求,在帮助客户解决问题的基础上,将产品巧妙地与科研项目整合在一起。”瑞宁CEO汉森介绍。
尽管是从中小银行入手,但在项目启动初期,瑞宁便会考虑到用户的长远需求以及产品日后在银行内部的快速普及等问题。“通过科研项目,银行总部或者分行会在第一时间体验到我们的产品,通过为客户按需定制以及运维分析安全报告,客户可以真实地监测到目前银行内部存在的不合规行为,并加以控制。”汉森说,“总之,在一个点的成功应用以及为客户带来的巨大收益,为我们的解决方案日后在整个银行内部普及打下了良好的基础。”
随着金融、医疗等行业用户对员工行为审计需求的日趋增大,瑞宁的目光也不再仅局限于中小型银行,目前他们已经开始和国有大型银行合作,当然形式还是以科研项目为切入,不过因为还处于项目保密阶段,汉森并没有过多透露合作细节。
专注领域 细水长流
“近年来,数据中心系统建设发展迅速,尤其是银行业,而IT系统的复杂性逐渐超出运维人员的现有水平,支持力不足,导致IT运维风险凸显,包括数据泄密、篡改、IT系统非正常中断的情况时有发生,对企业、社会造成不良影响。”汉森说。
据统计,金融、医疗等行业出现的严重泄密事件中,70%是由组织中的内部人员包括服务外包人员造成的。在IT系统非正常中断的事件中,超过80%是由于运维人员缺乏严格的流程执行意识、受限于技术技能及IT运维管理理念的落后导致。
基于上述情况,经过对近千家的企业级客户的调查分析与重点交流,瑞宁推出了集控制和审计于一身的CAM产品,它有别于主要功能为拦截的堡垒机。“就管理的复杂度而言,我们将IT运维发展分为四个阶段。第一阶段像自行车,第二阶段像摩托车,第三阶段像汽车,第四阶段像完全自动化的飞机。在传统的金融、电信和先知先觉型的电商等领域已经发展到第二阶段和准第三阶段。瑞宁当前的IT运维审计产品则主要满足第三阶段的运维需求。”汉森表示。
结合地域优势以及在运维审计方面的多年研究和积累经验,从山东起步,瑞宁为当地一家成立于2005年,下辖4个分行、20多个支行,实行总、分、支行管理模式的银行实施了运维审计系统的搭建。
“通过实施瑞宁CAM系统,银行很好地预防了运维过程的各种不安全因素,充分满足了内控风险管理要求的IT系统的使用权、管理权与监督权三权分立。在三权分立的基础上实施内控与审计,有效地控制了操作风险。”该银行项目负责人在项目实施效果报告中指出,“系统上线后,一旦发生违规行为,会在第一时间阻断并警告,大大提高了网络的安全性,同时,我们还将通过系统对网络日志进行定期审计,这些对于银行而言,事关生死。”
汉森认为,尽管目前瑞宁已经取得了一定成绩,但要做隐形冠军,还必须眼观六路,耳听八方,随时关注行业的发展动向。在未来,对于产品定位,瑞宁不会采取多条腿的策略,而是要将运维审计这一产业深挖下去。汉森坚信只有细分目标市场、准确定位产品、做最擅长的东西,瑞宁才能走得更远。
it审计和普通审计篇7
金融IT内部的运维风险
1. IT内部对服务器的维护和管理依赖于操作系统的口令认证,口令易被转授、窥探以及遗忘等弱点,以及授权不方便等问题造成管理困难,成本较高。
2. 第三方厂商技术支持人员、项目服务商等在对内部核心服务器、网络基础设施进行现场调试或远程技术维护时,无法有效地记录其操作过程和维护内容,核心机密数据容易泄露或遭到恶意破坏。
3. 研发部门在系统上线运行后,经常会通过普通的权限登录系统分析软件查看问题,从信息安全角度考虑,这些查询过程必须留有记录。
解决方案技术优势
1. 独创的数据库运维操作审计平台,覆盖主流商业数据库的企业应用和运维操作。
2. 支持RDP图形实时文字识别和文字提取功能。
3. 带来无缝应用的用户体验,所有应用均可本地化展示。
4. 提供文件传输内容审计记录。
5. 契合金融行业安全的三级会同功能(接入会同、密码会同、命令会同)。
解决方案部署收益
it审计和普通审计篇8
一、IT环境下的内部审计
(一)内部审计的含义
国际内部审计师协会(IIA)在内部审计职业实务框架(IPPF)中对内部审计的定义为:内部审计是一种独立、客观的确认工作和咨询活动,它的目的是为组织增加价值,并提高组织的运作效率。它采取系统化、规范化的方法对风险管理、控制及治理程序进行评价,帮助组织实现其目标。
在IT环境下,企业要不断提高内部审计的战略高度,既要加强IT风险管理,又要顺应科技进步的潮流,加强计算机审计程序的开发与应用。因此,IIA在2009年更新的IPPF中新增了包括信息系统合规治理、信息系统审计风险评估在内的6项内部审计专业实务标准。除此之外,企业的管理者也应该加强对内部审计的重视程度,充分利用各种计算机辅助审计工具与技术,防范IT风险,加强公司治理。
(二)内部审计在企业治理中的作用
IIA倡导:现代企业内部审计通过介入企业的风险管理、治理和控制领域,以促进公司治理结构的完善,并提升企业的管理水平,完善业务流程控制,促进企业价值增加。可见,内部审计在公司治理、控制与风险管理中都发挥着重要作用。
1.内部审计是完善公司治理机制的重要内容,是创造公司价值的重要载体
同董事会、管理层、外部审计一样,内部审计也被认为是公司不可或缺的治理主体。一方面内部审计努力识别并预防风险,降低企业损失;另一方面在企业价值链的多个环节发挥作用,增加企业的经济附加值。
2.内部审计是完善内部控制的关键要素,对企业的风险管理具有重要意义
内部审计要检查企业内部控制的完整性和有效性,以便发挥内部控制的最大效用。同时,内部审计机构要加强与企业管理部门的合作,促进企业风险管理工作高效进行。
二、IT环境下内部审计的SWOT分析
(一)优势(Strengths)分析
1.制度优势
国内外许多法律法规都为IT环境下内部审计的发展提供了制度保障。《国际审计准则15——电子数据处理环境下的审计》,《国际审计准则16——计算机辅助审计技术》在审计人员的工作规范、技术能力,软件应用、效果效率等方面做了具体规定,进而对内部审计工作的开展具有重要的借鉴意义。在国内,《内部审计具体准则第5号——内部控制审计》明确规定了内部控制要素包括信息与沟通,要保证管理信息系统的安全可靠,并将其作为审查程序的重点。随着审计领域相关法律法规的不断完善,内部审计的发展具有明显的制度优势。
2.现实优势
IT引起的变革浪潮为企业内部职能的发展带来了革命性变化。信息技术在信息存储、分析数据等方面的优势,促进了审计软件与审计方法的更新与优化,实时审计成为可能。另一方面,信息技术的支撑推动了内部审计由传统的单一财务审计逐渐渗透到企业管理的各个领域,内部审计职能不断强化,在加强企业管理和提高企业经济效益方面发挥着积极作用,因而内部审计的探索发展也具备了现实优势。
(二)劣势(Weaknesses)分析
1.信息缺失
在信息时代,信息资源发挥着日益重要的作用,然而其也成为内部审计发展的制约因素。在企业的信息管理中,财务部门出于内部资源的安全性考虑,在一定程度上对内部审计部门获取财物信息具有排斥性,造成内审部门不能及时全面地获取相关财务信息,阻碍了审计实施,降低了审计效率,使审计效果大打折扣。因此,在IT环境下,要加大企业部门间的资源共享,不要让信息缺失影响内部审计职能的发挥。
2.人力资源不足
早期内部审计部门的主要职能是查错纠弊,财务会计专业背景的审计人员占了较大比重。随着内部审计职能的拓展,内审人员缺乏相关的计算机技能和经营管理知识,只依靠原有的知识技能是无法胜任IT环境下的审计工作的。虽然企业也在不断加大内审人员的职业后续教育,但仍与新环境下信息技术对内审人员职业素质的要求存在较大差距。
(三)机遇(Opportunities)分析
1.审计职能的拓展
内部审计产生初期,其主要职能是对企业内部财务资料进行审计,为企业查错纠弊提供合理化建议。审计职能并非一成不变,随着经济生活日趋复杂,科技迅速发展,内部审计逐步延伸到企业管理与公司治理的各个环节,不断拓展其影响的广度与深度。另一方面,信息技术的发展为内部审计业务拓展了新的领域,传统的财务审计业务逐步扩展到IT治理、IT控制、信息系统的设计与开发等领域,为内部审计职能的发挥提供了广阔空间。
2.审计质量的提高
信息技术的发展推动了审计软件在内部审计中的广泛应用,审计人员利用信息化的优势和先进的审计方式所带来的数据支持,大大提高了审计质量和管理水平。同时,现代计算机技术为审计工作实施适时监控提供了可能,充分利用审计软件的操作权限控制功能,对审计质量进行跟踪检查,大大提高了审计工作的质量与效果。
it审计和普通审计篇9
银行的IT风险不仅涵盖了传统的操作风险、信誉风险,还包含了在银行的经营管理过程中,所表现出的许多与信息化相关联的其他类型风险。商业银行的内控应该以风险管理为中心,尤其离不开IT风险管理的支持。IT风险主要表现在:
(1)业务风险发生后一般可以通过业务流程、法律手段等加以弥补,而IT风险发生后往往难以弥补;
(2)IT风险的对象要考虑各类技术设施,相对来讲比较复杂;
(3)业务风险通过制度、流程、审批等环节能够基本加以控制,而IT风险中的IT设施自身存在这样那样的缺陷,要控制就相对复杂;
(4)IT风险发生后波及范围大、影响大,例如目前大多数银行采取的IT系统大集中模式,一旦IT风险发生,将会影响到上百万的用户。
2 银行信息技术审计的重点
银行信息技术审计是一个采集资料数据及对其进行评估,以确定电脑系统是否能达到“保护银行资产、维护数据的完整性、有效地协助银行实现其经营管理目标、高效率地利用资源”的效果。依据这一审计理念,信息技术审计的重点应包括应用控制,以及与应用控制对应的是信息系统的一般性控制,主要是嵌入到IT流程和服务中的控制。
211 一般性控制方面
IT一般控制的基本范围是IT内部普遍存在的风险及高层次的风险,而不是具体的应用程序所涉及的风险。IT一般控制包括但不限于以下类型:
(1)授权审批:授权包括根据政策及程序执行审批操作。
(2)职责分离:将不相容岗位的职责分离,防止个别人员利用职权作出并隐瞒错误或违规的行为。
(3)管理层审阅:独立于编制人的人员对编制人进行的活动进行分析并实施监控。
(4)特殊事项报告:用于监控发现的特殊事项以及对这些事项的跟进解决措施的报告。
(5)IT绩效指标:包括定期和不定期生成、审阅和分析IT绩效指标。
(6)系统访问权限:在信息系统操作环境中,通过系统设置以决定和定义系统用户的访问权限,系统访问权限应与授权的权限相一致。
212 应用控制方面
IT应用控制存在于每一个基于应用系统的事务及数据处理中,是针对输入、处理和输出功能的控制,信息系统的应用控制审计是利用标准、规范和审计技术,对信息系统进行测试、检查和评价,检查应用系统是否存在漏洞和功能缺陷,评价信息系统的安全性、稳定性和有效性,并提出相应的改造建议。IT应用控制包括但不限于以下类型:
(1)输入控制
①输入/数据源控制:输入控制程序必须确保每一笔需要被处理的数据能够正确完整地接受、处理和记录。
②输入授权:输入授权验证所有由管理层授权和批准的事务,输入授权有助于确保只有经授权的数据才能进入计算机系统进行处理。
③批处理控制:批处理控制对输入事务进行分组以提供总计控制,批处理控制包括基于总金额、总项目数、总文件数等控制手段。
④错误报告和错误处理方法:输入处理要求系统内部控制能够验证输入数据被系统正确地接受,输入错误会被识别和纠正。
⑤数据确认和编辑检查:建立程序以保证输入数据被确认,通过在程序中设定输入格式,确保数据以正确的格式被输入到正确的区域。
(2)处理控制
处理控制保证计算数据的完整性和准确性。这类控制保证数据在文件或数据库中的完整和准确,只有授权的处理或修改程序才能对数据进行更改。
(3)输出控制
输出控制主要是保证交付给用户的数据是符合格式要求的、可交付的,并以一致和安全的方式递交给用户或不同的系统。
3 银行信息技术审计的方法
信息技术审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的企业目标得以有效地实现、使组织的资源得到高效地使用等方面做出判断的过程。下面结合笔者开展审计项目的实践,就相关审计方法归纳如下:
(1)调查问卷法
调查问卷法是审计人员针对取证对象设计问卷,对于问卷不能解释清楚的部分在附注中用文字加以说明,要求被调查人员根据实际情况做出真实回答的取证方法。
(2)询问法
询问法是指审计人员在审计现场向取证对象了解信息系统开发、运行管理等方面情况的审计方法,访谈对象必须是执行该项控制的岗位人员。
(3)观察法
观察法是审计人员采用检查操作用户权限与被审单位内控制度、现场观察测试操作、分析系统的操作日志和分析系统业务数据等审计方法,对于正在执行的控制步骤是主要测试方法。
(4)书面文档检查法
该方法是指审计人员查阅被审计对象的信息技术政策、规章制度、项目的业务需求、设计文档、技术手册和操作手册、差错调整等相关文档的审计过程,用以了解系统业务处理流程,检查信息系统控制功能是否有效、完整。
(5)开发环境测试法
该方法是指审计人员设计一些测试案例,提交系统进行处理,以测试系统应用控制是否恰当、有效。
(6)穿行测试法
it审计和普通审计篇10
随着信息技术的推广普及,企业日益依托各类信息系统来及时收集、甄别、传递、处理和披露大量信息数据。信息技术逐步嵌入成为控制企业运营活动的重要手段和实施企业经营自动化的关键支撑,直接或间接地对企业内部控制产生深远的影响。企业内部控制是否有效,信息系统(IT)内部控制是否健全发挥着至关重要的作用。
一、信息技术嵌入促进了企业内部控制的强化
(一)信息技术嵌入直接推动了企业控制环境的完善
信息技术的嵌入促进了企业内部职责分工和角色分配的调整,推动了员工知识和技能结构的适应性改变;信息技术的嵌入推动了企业管理层参与各项制度的管控,使得企业在组织机构及职责优化的同时,流程重组及标准化建设得以大力推进;信息技术对组织机构提供信息流能力的改变,使得非IT环境下的顺序式集中信息传递逐步转化为平行式发散信息传递,大大增强了组织信息对称性并推动了组织机构扁平化。
(二)信息技术嵌入为复杂的风险分析预测提供了有效的手段
在建立信息系统之前,企业的内部控制制度往往是一堆文件和手册,只能通过定期检查和评估进行自我修正,企业控制主要通过事后控制的方式,基于风险的动态预防和调整性较差;信息系统建立以后,大量数据收集、分析工作可以由系统自动完成,组织可以更加集中于流程的优化调整和专注于风险的分析管理,即使面对急剧增长的业务规模、灵活转型的组织结构以及纷繁复杂的信息来源,组织依然可以进行有效处理,使得动态和实时控制成为可能,更好地发挥风险评价机制的预测、预防作用。
(三)信息技术嵌入增强了控制活动的透明度和执行刚性,提高了执行效率
在设计有效的信息系统中,内部控制的环节清晰明了,控制信息的收集、处理、生成和传递过程由系统自动生成,减少了人工处理环节,对数据变更均有系统记录,使得篡改或违背内控的行为将会留下操作线索,大大降低了数据传递过程中的舞弊机会;通过信息系统分配任务,建立明确的控制文档执行标准,并准确记录执行过程,有效地提升了组织控制活动的执行力,大大增强了执行刚性。
(四)信息技术嵌入使得沟通更加高效便捷,监控更加动态全面
具有良好结构、严密控制的信息系统,可以合理、及时、有效、全面反映企业的业务活动,改善企业与内外部环境相互联系的紧密程度,从而建立起有效的信息反映及传递机制;信息系统嵌入企业的制度安排和控制程序,使得系统本身具备了内在的控制机制,也使得企业对审批、异常、权限等的动态监控成为可能,可以说,信息技术将充分发挥内部控制的“预防性职能”,大大促进企业价值提升。
二、信息技术嵌入也给企业内部控制带来了新的风险
在关注信息技术促进企业内部控制的同时,也必须充分认识到由于信息系统自身的特点给企业内部控制体系带来的风险。
(一)信息技术嵌入为企业内部控制添加了新的风险元素
信息系统在实现跨部门业务集成和处理的同时,对交易数据的输入、处理、输出等系统应用风险,以及对信息系统开发维护、程序变更、系统安全、授权等特有的系统管理风险应运而生;由于企业信息系统建设通常由各个需求部门陆续发起,然后逐步根据整合需要在关联系统之间建立数据连接平台,以最大限度地实现各系统的数据共享,当涉及多个系统接口时,就会产生新的控制问题和风险;信息系统的权限分配通常采用设置用户组分配,一旦访问权限开放给不应该拥有访问权限的个人或团体,就会大大提高数据被泄露或破坏的风险。
(二)信息技术嵌入改变了控制流程以及授权的审批流转方式,增加了控制风险
传统控制主要采用书面方式审批,授权也多采用印章、签名等书面形式,且在呈递程序上采取层层通过相应级别人员的人为控制的方法,加强了各传递环节的内部牵制,从而有效地防止作弊;信息系统使得大量的审核、批准、授权以电子化的模式运作,审批意见均为电子信息输入,授权签名以电子签名为主,信息系统只会识别电子口令和密码(如授权支付资金的网上银行密码、合同审批的领导口令),一旦被窃取或冒用,就可能造成巨大损失。
(三)信息技术嵌入对信息的共享模式放大了信息数据的安全风险
信息系统多数都处于各种内部或外部网络状态,数据在存储与传递过程中很容易被篡改或受到病毒的侵扰而遭到破坏,同时黑客、商业间谍等也可以通过各种渠道侵入系统,获取所需信息,提高了企业数据信息保密的危险指数,信息流动的安全性风险被放大,企业固有风险和财务风险也被放大。
(四)信息技术嵌入改变了部分控制的关键点,直接导致审计风险的放大
信息系统嵌入后,企业风险结构发生变化,使得原来基于文件审批的内部控制的许多审计线索在引入信息系统后消失了,取而代之的是信息系统自身的应用管理关键点带来的风险。在IT环境下,审计人员对本身具有不安全性的信息资料和数据进行审计,加大了做出错误判断的可能性,使重大错报风险和检查风险放大,审计风险相应也被放大。
三、信息系统嵌入推动企业构建风险导向型的IT内部控制
信息技术嵌入环境下,企业更加重视基于IT信息系统的内部控制建设和管理,推动加速构建风险导向型的IT内部控制。
(一)风险导向型IT内部控制主要体现为3个方面:企业层面的信息技术整体控制;信息系统层面的IT一般性控制;业务流程层面的IT应用程序控制。
企业层面的信息技术整体控制是对企业信息技术进行战略规划、指导运作的前提,主要包括公司的IT环境、IT风险评估、IT信息沟通以及IT系统监控等,它既包括了企业信息技术战略规划、信息技术组织架构及关系,也涵盖了企业信息技术安全制度和标准,以及信息技术主要领域,还覆盖了企业信息技术组织的人力资源管理、员工培训计划等。
信息系统层面的IT一般性控制是其他基于信息系统的应用控制措施的基础,主要包括系统程序开发、程序变更、计算机运行、程序和数据访问、终端用户计算机应用等,控制点主要集中在新建系统、系统账号、权限和密码管理、程序变更和系统运行维护等方面。信息技术一般性控制并不针对某一特定应用系统,它强调的是对信息系统所处的整体信息技术环境的控制规范。
业务层面的IT应用程序控制是保证信息技术控制到位的最小数据单元,主要分为IT自动控制点以及与系统相关的手工控制点,具体包括这些控制的完整性、准确性、真实性、授权、职责分离等。其中,IT自动控制点包括系统访问权限/授权及批准、系统/功能配置、配置账项映射控制系统、异常情况报告和预警报告、系统接口、职责分工等;与系统相关的手工控制主要包括流程变更、关键绩效指标、管理层审阅核对、最终计算控制等。
(二)构建信息系统嵌入环境下的风险导向型IT内部控制,关键在于能否建立包括企业内外网安全、权限、签名、传递、备份以及交易等在内的风险导向型网络管理机制,具体包括:
设计严格的网络系统管理制度:通过明确的操作规范和制度体系,加强对系统管理人员的技能培训和职业教育,严格控制对系统数据的接触访问,定期对系统进行安全检查,实施系统日常备份,提高系统应急响应能力和快速重构恢复能力。
建立严密的网络安全控制:通过设置加密技术、实行网上公证、登陆用户密码认证、对敏感交易的访问实行限制级用户访问等多种方式加强IT环境下的网络安全管理,有效防范和避免信息被修改或伪造,降低网络信息被盗、被侵以及被破坏的风险。
建立完善的网络监控机制:通过对关键流程权限密码的定期审阅、使用过程记录及登录变动登记,对网络信息与异常情况实时动态监控,对系统规则的定期检查审视等一系列严密的信息系统审查监控,确保存在足够的有效控制来降低由于信息系统的使用而带来的业务风险。
(三)风险导向型IT内部控制体系还必须建立完善的沟通评价机制。
随着信息技术的嵌入,企业ERP信息系统应用的推广,IT内部控制逐步渗透到企业的各个业务过程和经营环节,覆盖到企业绝大多数部门和岗位,对于通过信息系统实现的控制环节不应留有任何“盲区”,以确保所有信息系统相关人员能够及时进行横向和纵向的全面信息沟通和交流。
it审计和普通审计篇11
(一)多元网络性
作为审计理论的根基,审计理论基础在IT环境下得到了不断的增强和加固。信息技术学、信息经济学、信息博弈论以及与审计相关的其他学科领域共同组成了一个动态的、多元性的审计理论基础网络组织。而构成审计理论基础的各个学科的具体内容则是这张网上的各个结点。审计理论基础的不断扩张、膨胀,意味着审计理论获得了更充足的理论养分,得到了更充分、更完善的发展。
(二)动态性
随着时代的变迁、客观条件的变化、社会经济环境的完善,审计理论基础也在不断的发展完善,在充分汲取新的学科理论养分的同时,也掘弃了一部分不适合于IT环境下的陈乏的、过时的理论。并且,审计理论基础的发展变化决定着审计理论的发展方向、趋势,同时审计理论的不断发展、完善,也进一步加强和巩固了审计理论基础,二者的关系是辨证统一的。
(三)质量性
IT环境下,质量非常重要,可以毫不夸张地说,质量是IT的生命。审计理论基础作为审计理论的根基,其质量性尤为重要。其质量性主要表现在:稳定性、安全性、品质性。尽管是审计理论基础在审计理论发展的历史长河中呈现出动态、发展性,但是,就某一时间段、期间而言,审计理论基础还是具有相对稳定性的。另外,作为根基、支撑点,其安全性、品质性也是非常重要的,不安全的、缺乏品质性的根基不具备支撑审计理论大厦的能力。
(四)交互渗透性
审计理论基础的内涵非常广泛,几乎涉及各个学科、领域,而这些学科、领域的理论并非简单的叠加构成审计理论基础,它们是按照一定的秩序、规则进行有效的组合而形成的有机整体。在IT环境下,社会生活的空间相对缩小,各学科间的渗透也日益频繁、紧密,它们通过移植、借用、感染三种方式共同组成一个有序的、交互渗透的、相互关联的动态网络,服务于审计理论。
(五)虚拟性
审计理论基础,并不象有型的建筑物建造时挖地基所形成的有型的根基,它是从多个相互关联的学科中抽象出来的、客观存在的无形的根基。在IT环境下,这一特性更加明显,虚拟的审计理论基础具有抽象性、概括性、逻辑性三个特性。
二、IT环境下审计理论基础的认定标准
审计理论基础的认定,一直都是一个比较困难的问题,尤其是IT环境下,高科技信息技术充分应用于审计领域,加速了审计理论基础的更新换代,使得审计理论基础从广度和深度上均有了较大的扩张,笔者认为,IT环境下,审计理论基础的认定标准为:
(一)作为审计理论基础,必须为审计理论的发展服务
审计理论基础与审计理论之间的关系是辨证统一的关系。即审计理论基础为审计理论服务,审计理论基础决定着审计理论发展的方向、趋势,审计理论基础的每一次变革都会引起审计理论发生相应的变化。反过来,当审计理论的发展适合于审计理论基础的客观要求时,则加强和巩固审计理论基础,反之则削弱审计理论基础。因此,判断某一理论、学科是否是审计理论基础,首先要看它是否为审计理论的发展服务,是否与审计理论呈辨证统一的关系。
(二)作为审计理论基础,必须与审计环境互动性
审计环境是审计理论乃至审计理论基础发生变迁的外在动因。在IT环境下,IT应用于审计理论中即审计电算化或网络审计。IT一方面刺激了审计理论基础的变革,将先进的IT理论植根于审计理论基础,将先进的IT技术应用于审计测试工作中,加速了审计理论的发展;另一方面,审计理论基础发生了变化,也会在一定程序上刺激审计环境进一步完善,使得审计理论基础更好的为审计理论服务。二者的关系呈互动性。
(三)作为审计理论基础,它必须是沟通审计理论与其他相关学科的桥梁
审计理论基础为审计理论与其他学科理论提供了一个公共区域,在此领域内,各学科理论知识相互交叉、渗透、融合,共同为审计理论服务。因而审计理论基础是审计理论科学体系的研究内容,但它本身并不是审计理论,它是连接审计理论与其他学科体系的桥梁与纽带,是审计理论与其他学科的交叉渗透区。
三、IT环境下,审计理论基础的具体内容
(一)信息技术理论
信息技术理论是IT理论的核心,其在审计理论中具体应用,也是审计电算化充分发展的标志之一。当代信息技术理论包括:网络技术理论,信息技术理论,数据挖掘理论、系统集成理论、多媒体理论技术、人工智能技术等等。这些理论、技术在审计中的应用,大大提高了审计测试效率、审计监督质量,为审计理论的发展提供了前所未有的机遇,使得审计理论基础从深度和广度上得到不断地扩张。
(二)经济学理论
经济学理论是审计理论基础的重要组成部分,它可以开阔我们的视野,转变我们的思维方式,为我们提供可供选择的理论依据和方法。它将一些西方经济学思想、观点引入审计理论中,从经济学视角分析审计理论的发展,寻求提高审计工作效率的途径,革新审计测试手段的策略,如:西方制度经济学、产权经济学、交易费用学说、信息博弈论等等,都大大地加深了审计理论知识,丰富了审计理论基础的营养,使我们从更深层次的角度探求审计理论的内涵、外延,深化了审计理论知识,为审计人员提高审计工作效率、降低审计交易费用、进行理性审计提供了新的思路。
(三)司法诉讼学
司法诉讼学与审计理论相结合是现代审计理论的发展趋势。一方面,审计证据的获得需要审计人员运用大量的司法刑侦手段、方法去检查、判断、排除伪证,以取得真实可靠的审计证据;另一方面,面对审计诉讼爆炸的时代,审计人员如何进行合法审计、避免审计诉讼,也是他们面临的现实问题。因此,将司法诉讼学注入审计理论基础,可以提高审计人员守法、学法意识,在法律允许的范围内开展有效的审计,同时掌握各国间法律的差异,审计豁免的范围、程度,为开展跨国审计作好准备。
(四)管理心理学
管理心理学又称行为管理学,是研究人的行为心理活动规律的科学,它是用管理学、行为学、社会学、生理学、伦理学、人类学等学科的原理,以研究人的心理行为和人际关系、人的积极性为对象的一门综合性科学。它主要研究人的行为激励问题,探索人的心理活动,提高激励人的心理和行为的各种途径和技巧,以达到最大限度提高工作效率为目的。它作为审计理论基础,对于开发审计人员思维、激发审计人员开展有效审计的积极性,提高审计工作效率有很大的意义。管理心理学作为审计理论基础,既满足了管理审计的客观要求,也为审计人员进行有效审计提供了理论依据和方法。
(五)会计、统计理论
it审计和普通审计篇12
21世纪是信息化的时代,信息技术的飞速发展也给审计领域带来了巨大的冲击,它促使对传统业务流程的再造,以促进更加高效的运营,并加强企业内部、企业与客户、企业与供应商之间的沟通。然而,这种进步同时也会引发新的风险,需要企业有专门的内部控制措施来控制这种新的风险,还需要新的技术来评估控制的有效性,确保企业数据以及生成这些数据的信息系统的安全性和准确性。
一、信息系统审计概况
(一)何谓信息系统审计
信息系统审计是指根据公认的标准和指导规范对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程,以确保预定的业务目标得以实现。日本通产省1996年对信息系统审计的定义为:“为了信息系统的安全、可靠与有效,由独立于审计对象的IT审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向IT审计对象的最高领导,提出问题与建议的一连串活动。”
由于将传统的审计技术应用于信息系统之中,因此信息系统审计是一门综合叉性学科。在IT环境下,审计理论基础为审计理论与其他学科理论提供了一个公共区域,各学科理论知识相互交叉、渗透、融合,共同组成一个有序的、交互渗透的、相互关联的动态网络,服务于审计理论。
(二)信息系统审计的产生及发展
20世纪60年代,随着第二代晶体管计算机的出现和计算机应用的普及,特别是会计电算化之后,开始出现了IT审计。在信息系统审计的萌芽阶段,系统审计(System Audit)、电子数据处理审计(EDP Audit)和计算机审计(Computer Audit)这些概念之间并没有很明确的界限划分,它是作为传统审计业务的扩展发展起来的,并且都是在计算机大量进入实用阶段后产生的。
到了20世纪70年代,随着利用计算机犯罪的案例开始出现,美国注册会计师协会和内部审计师协会先后发表了《内部管理的调查与评价对EDP的影响》和《系统可审计性及规则的研究》两份报告。同时日本注册会计师协会也意识到了信息系统审计的重要性,于70年代中期设立了IT审计委员会。到了80年代,日本通产省在日本的软件水平考试中添加“IT审计师”一级的考试,以作为该考试的最高级别。
20世纪90年代开始随着信息系统的发展,系统越来越复杂化、大型化、多样化和网络化,再加上Internet的出现,使信息资源的作用得到充分发挥。互联网可以成为电子商务、金融证券的运作平台,当然也可以变成计算机犯罪的场所。别有用心者可以利用互联网的便利制造混乱,危害社会经济安全,竞争对手之间也可以通过其攻击或者窃取对方机密,大量事实证明信息系统的安全是可以关乎到国家安全的重要问题。因此,如何确保信息系统的安全、可靠和有效变得越来越重要。
说到信息系统审计,就不能不说ISACA。所谓ISACA,全称为信息系统审计和控制协会(The Information System Audit and Control Association,ISACA),其成立于1969年,是一个总部设在美国的芝加哥、拥有20000多名会员的跨国界、跨行业的专业机构,其前身为EDP审计师联合会。ISACA目前在世界上100多个国家设有160多个分会,该协会还举办一年一度的注册信息系统审计师(Certified Information System Auditor,CISA)考试,ISACA是目前唯一有权授予国际信息系统审计师资格的组织。
随着信息化成为企业的中枢,左右着企业的命运,欧美的发达国家几乎所有大企业的管理者都认识到了IT审计的必要性。人们也越来越清楚地意识到利用IT审计能有效地管理信息及与信息相关的技术,是进入信息化社会的可靠保障,在发达国家IT审计已得到了普及。
(三)信息系统审计的范围
信息系统审计的对象是指以电子计算机为核心的信息系统,并覆盖信息系统从计划、分析、设计、编程、测试、运行维护到系统报废为止的全生命周期的各个环节。要保证信息系统的安全有效,仅把信息系统审计仅仅理解为是对计算机硬件与软件的审计是不够的,信息系统审计必须是针对整体的信息系统进行的,而整体信息系统是包括信息系统环境以及与此有关的业务等在内的有机结合的整体,是以促使企业整体的健全的信息化为目标的。
二、信息系统审计的实施过程
由于信息系统在企业中的核心地位,因此对信息系统的审计要贯穿整个信息系统生命周期的始终。信息系统的生命周期可以分为系统规划、系统设计、系统实施、系统运行和维护五个阶段。所以信息系统审计的实施过程可分为:信息系统开发过程的审计、信息系统实施过程的审计和信息系统维护过程的审计。
(一)信息系统开发阶段的审计
一个大型信息系统的开发需要花费大量人力、物力和财力,如果开发不当,投入运行后需要的维护费用甚至会大大超过开发费用。对信息系统开发过程的跟踪审计是信息系统安全、可靠、有效的重要保证。在信息系统的开发过程中,每个阶段都不可避免的会发生错误,而且前一个阶段的错误必然会导致后一个阶段相应的错误发生甚至扩大,这也就是软件错误的“积累放大”效应。另一方面,在后期改正一个错误会比在早期改正同一个错误付出更多的代价。错误发现得越早,改正越容易,代价也越低。因此,通过对信息系统开发过程的中的每个阶段进行跟踪审计,可以及时发现并指出每个阶段发生的错误,使这些错误能够及时被修正,从而减轻开发过程中软件错误的积累放大效应,进一步降低开发过程所花费的成本,同时保障整个信息系统的质量。
(二)信息系统实施阶段的审计
在系统开发过程中的系统实施阶段,要建立数据库,对应用程序进行编码和测试,购买安装设备,培训雇员,整理系统文档并安装新系统。审计人员、编程人员、数据库管理员、用户和会计师都要参与实施过程。这一阶段的活动耗费了大部分成本,通常花费更多的工时,超出系统开发其他所有阶段的总和。
(三)信息系统维护阶段的审计
一旦系统实施完成,便进入信息系统开发的第三阶段――维护。这是系统生命周期中最长的阶段,通常会跨越几年时间。系统在这一阶段并非静止,实际上它们会经历一些或大或小的修改,使之适应用户需求的变化。有时变化很小,例如修改系统以生成新的报告,或者改变应用程序的逻辑和用户界面。维护同样可以是大范围的,例如对应用程序的逻辑和用户界面进行大的变动。
如果对应用程序进行了维护,其完整性可能遭到破坏。因此审计师的检查必须扩展到维护阶段,以确定应用程序的完整性是否依然存在。
三、我国信息系统审计的现状
90年代末,国内有学者提出计算机审计,电算化审计,但概念还停留在对会计信息系统的审计上,基本上延伸手工会计信息系统审计,尚未全面探讨信息时代给审计业务带来的深刻变化。以我国在1999年颁布了《独立审计准则第20号——计算机信息系统环境下的审计》为例,其更多关注的是会计信息系统。
中国审计协会为了规范审计机构及人员的信息系统审计活动,保证审计质量,于2008年根据《内部基本审计准则》的精神制定并颁布了《审计具体准则第28号——信息系统审计》。这是我国第一个真正意义上的信息系统审计准则,也为我国信息系统审计人员开展信息系统审计活动提供了法律依据。
我国开展信息系统审计已经迫在眉睫,而开展信息系统审计将面临审计观念的转变、缺乏信息系统审计的专业人才以及行业准则与实务指南缺失等问题,应加快行业准则与实务指南的制定,加大力度培养专门的信息系统审计师。
it审计和普通审计篇13
公司治理与IT治理相结合
1997年的亚洲金融危机、2002年美国股市丑闻,蓝田股份和银广夏的利润神话破灭事件,以及2005年年初相继出现的创维、伊利股份、三九集团等上市公司高管涉案,完善公司治理机制、有效管理企业风险正在成为企业议事日程中和企业财务高管们最重要和最迫切的任务。
我国政府将建立有效的公司治理机制视为“现代企业制度”建设的核心内容,而加入WTO的承诺使得全面系统地处理这一问题显得更加紧迫。国务院国资委主任李荣融曾表示,目前上市公司所出现的问题都与公司治理结构不完善有关。国资委要与证监会正联合推动国有企业完善公司治理结构。
公司治理的效率、效果直接依赖于许多的制度要素。这既包括审计和信息披露的质量,也包括法律系统对契约的监督以及对外部投资者的保护能力等。例如在逆向选择的框架下,我们可以看到:一个更好的会计标准和更及时的信息披露要求将大大减轻经理人与外部投资者之间的信息不对称,从而便利了融资,降低了风险。因此,公司治理的核心问题是信息不对称性或不完全性,解决公司治理问题,最核心的是公司信息的真实、准确以及处理与传递的效率问题,而IT技术在实现透明度原则和体现监控力度上正日益成为有效的工具。由于许多在美上市企业的核心业务都依赖IT系统,因此,2002年美国颁布的“萨班斯法案”对公众公司提出了更高的要求,公司应定期评价其信息系统及其内部控制的充分性,来保证提供给投资者信息的准确和完整,强调公司管理层建立和维护内部控制(尤其是IT控制)及相应控制程序充分有效的责任。因此,研究IT治理,加强IT控制,降低风险,有效地实现公司治理,成为全球关注的话题。
十六届五中全会通过了《中共中央在关于“十一五”规划的建议》中明确提出了今后五年时间内公司治理与内部控制、全面风险管理时企业改革的重点,“加快国有大型企业股份制改革,完善公司治理结构。加快建立国有资本经营预算制度,建立健全金融资产、非经营性资产、自然资源资产等监管体制,防止国有资产流失;”“完善金融机构的公司治理结构,加强内控机制建设;”“完善对境外投资的协调机制和风险管理,加强对海外国有资产的监管”;“健全金融市场的登记、托管、交易、清算系统。完善金融监管体制,强化资本充足率约束,防范和化解金融风险。”
ITGov(中国)IT治理研究中心主任孙强在发言中指出:未来公司治理和IT治理对企业的影响一定是革命性的,并且这种影响直接关系到中国企业的国际竞争力,可以说国际竞争很大程度上就是公司治理和IT治理的竞争。孙强认为没有完善的公司治理和IT治理,我国企业首先在利用国际市场筹资方面就输给了竞争对手,产品市场的竞争必将更加困难。因此,不进行治理实践改革的公司在想获得资本,加速发展时,将发现自己处于竞争劣势。
尽管现实距离最终理想的公司治理和IT治理看上去有些遥远,但实际上今天的公司治理与IT治理已经不仅仅停留在概念炒作的层面。目前很多研究机构、IT厂商、咨询企业都已就IT如何在公司治理、全面风险管理中发挥新的使命,纷纷提出了整合的理念、框架和解决方案。
全面风险管理与IT治理相结合
在2004年底,国资委组织召开的中央企业负责人会议上,国务院黄菊副总理强调指出,要完善企业内部管理制度,高度重视风险的防范和管理,要建立健全企业法律顾问制度,增强依法经营的能力和水平。国资委李荣融主任也提出企业要善于识别风险、规避风险、控制和化解风险。随后,由国资委企业改革局牵头,起草了国内首部企业风险管理指导性文件―《全面风险管理指导纲要》,目前已经进入征求企业意见和论证修改的最后阶段,即将出台。《全面风险管理指导纲要》适用于所有中央企业,要求企业在经营管理的各个环节和业务过程中执行风险管理的基本流程,建立健全风险管理的组织体系、信息系统和内部控制系统。
孙强先生在题为“公司治理、IT治理与中国企业的国际竞争力”的主题演讲中认为:在全球风险的时代,所有的企业,不论其规模、结构、性质或产业是什么,风险管理都将是必不可少的。有效的风险管理和机会管理将成为竞争优势的源泉。同时,随着IT重要性的增加和普遍应用,IT将被整合到所有的生产过程与经营管理体系中去。所以,IT的风险亦将显著影响到组织的战略执行及目标的实现。在这种情况下,将全面风险管理与IT治理整合起来推动,就成为必然的选择。孙强还认为一旦中国企业形成了与企业文化相适应的良好治理结构,这就是我们企业的国际核心竞争力。
内部控制责任:“六方”相结合
国资委全面风险管理专家组成员孟秀转女士认为:不仅仅是管理人员、内部审计师或董事会,组织中的每一个人都对内部控制负有责任。确立这种指导思想有利于将组织中的所有员工团结一致,使其主动地维护和改善企业的内部控制,而不是与管理层对立,被动地执行内部控制。这样才能实现我们企业所期望的“发现问题,解决问题,发现新问题,解决新问题”。她特别倡导六方(CEO、CFO、CIO、COO、CKO、CRO)打破原有职责范围局限,携手参与到公司治理、合法合规等实践中来,共同肩负起内部控制的责任,最终形成“内部控制人人有责”的企业文化。
符合“萨班斯”的IT控制与信息系统审计
“萨班斯法案”最主要的特征之一表现在:法案要求组织机构使用文档化的财务政策和流程来改善可审计性,并更快地拿出财务报告。要求企业针对产生财务交易的所有作业流程,都做到高透明度、可控制、实时风险管理并防治诈欺,并且这些流程必须有可追查到的交易源头的详细记录。
如何构建满足“萨班斯”要求的内部控制,管理层如何评价这些控制设计与执行的有效性,外部审计师如何鉴证管理层对其内部控制的评价并出具审计报告?在会上国资委全面风险管理专家孟秀转女士就这些问题从三个方面作了详细介绍:
第一,“萨班斯法案”对IT 部门、对管理部门提出了哪些内部控制要求,特别是对 IT 的控制目标要求。第二,“萨班斯”内部控制的审计标准。控制目标做的怎么样,控制措施设计的是否恰当,执行的是否有效,需要有审计师进行评价,在这个评价的基础上找到内控的弱项,以便于我们企业弥补。这是因为符合“萨班斯”的过程是一个持续的过程,并且内部控制受控制成本的固有限制,不可能完美,需要根据环境的改变不断的完善。 第三,符合“萨班斯”的信息系统审计工具与审计流程。按照PCAOB的内控审计标准,如何对内部控制给予恰当的评价,这可能是企业的高端人员非常关注的问题。“萨班斯法案”要求企业的高管人员对内控的有效性做一个评价。所以管理者、内部审计师、外部审计师都非常需要有一套审计的工作流程,以帮助他们对内部控制,包括IT控制做一个相对客观的评价。
孟女士指出,在信息时代企业的整个交易和业务以及财务报告的产生,都是基于企业IT基础架构的服务。管理层要保证财务报告的有效,就不可能忽略IT的控制。 在PCAOB建议的内部控制构建与评价工具COSO 框架中缺少对IT 内部控制的关注。所以国际上关于IT的内控基本上是采用Cobit 标准。在IT部门中采用 Cobit 框架的话是一定要符合 COSO 要求的。除此之外,Cobit控制框架也可以帮助企业建立和完善与 IT有关的内部控制目标和控制活动的设计。Cobit 是流程化的内控,它将IT的生命周期划分为四个构成领域。除此以外,IT控制也要参考 ISO20000,这是IT服务管理领域的国际标准,长期支持企业的运营,保证财务报告的数据真实合法,并且是完整、安全的IT的运维过程。ISO20000 是关于IT支持业务和财务报告产生过程中的管理控制框架。这个框架的特点就是一系列标准化的可审计的IT服务流程和程序。财务报告审计无保留意见的前提是财务信息的安全。关于信息安全的一个国际标准ISO27001,也是被广泛采用的IT内控构建与审计的工具,其中总结了39 个内控目标和 133个详细的控制措施。
Cobit 、ISO 20000 和ISO27001不仅是构建IT控制体系的指导,它们本身就是一个可审计的控制流程。PCAOB在“萨班斯 404”内部控制审计标准Ⅱ中关于IT部分的审计就是参考了Cobit:应用控制与一般控制的审计。
最后,孟女士总结说,“萨班斯”IT控制和审计一定要在高管层内达成统一的认识。不要认为IT控制与审计 是IT的事,财务只管财务控制,人为地把两者割裂起来。我们的业务是建立在 IT基础上运营的,所以必须将它作为一盘棋考虑。 还有一个就是我们建议在构建内部控制框架时,要借鉴国际标准,这是国际上多年实践的总结,我们可以少走弯路。
PCAOB针对“萨班斯404”条款提出审计要求:审计师在评价内部控制时,不得绕过计算机系统,必须了解从业务产生、业务处理到产生财务报告的完整计算机处理过程,确保整个过程都有充分、适当的控制,并评价这些控制的有效性。
“萨班斯404”给审计师提出了挑战:必须对影响财务报表的信息系统进行审计。不仅如此,“萨班斯”也给企业内部控制人员、内部审计人员及风险管理人员提出了挑战。目前国内外都缺乏既懂技术又擅长风险评估、内部控制以及审计的人才。IT风险评估、IT控制以及信息系统审计的人才缺乏是我们通过“萨班斯”大考的关键问题。
“合力”应对“萨班斯”
毕博管理咨询公司大中华区董事Rolan Spahr博士认为,对员工的培训必不可少,要使员工认识到现在企业存在的风险。应该让每个员工都对风险有一种责任感,这样才能提升我们整体的业务。这是体现在个人生活当中遵循的原则,这也适用于在激烈的竞争中的公司需要。
甲骨文公司高级董事Lane Leskela先生在介绍波音公司财务变革与“萨班斯”合规项目时说,讨论内控问题,就是要看企业在不同阶段的变化。“萨班斯法案”要求我们提供企业不同时期变化的数据,所以企业必须使得数据尽量的简化、及时。同时,还要在这个流程中加入能够提高运营效率的东西。
在财务变革的过程当中,企业必须了解能从这场变革中获得什么。有很多公司在过去几年都为符合“萨班斯法案”的要求做出了努力,他们甚至需要改变企业的流程来适应“萨班斯法案”的规定。因此,风险管理非常重要,如果处理不好,这种改变会对企业内部的业务带来风险。我们的经验就是,企业要学习这些好的经验,借鉴其他公司的做法,给本企业的财务管理过程带来一些新的想法。此外,得到管理层的支持也很关键。管理层的支持可以确保整个过程是有效的。最后,就是要使财务改革和合规项目之间实现互动。
