it审计论文范文五篇-ag尊龙app

2022-11-06 凯时k66会员登录的版权声明

it审计论文

it审计论文篇1

目前,现代企业经营越来越依赖信息系统,信息系统管理信息、处理业务以及存储大量的数据。也迫切需要对信息化管理现状进行全面的审计,以分析评估存在的问题,提出凯时k66会员登录的解决方案,完善it风险控制,保障各信息系统的规范运作,降低信息化风险,提高业务运营的经济性和有效性。it审计虽然区别于财务审计,运营审计等常规审计,但其审计方法论仍不可能脱离常规审计所用的方法论。也就是必须对审计目标,审计范围,审计计划等等均需进行清晰阐述,并在实施it审计后,出具具有充分、适当的审计证据支持的it审计报告。

一般来说,实现全面的it审计,应当从审计对象的整个生命周期领域、审计对象及组织层次来开展。

一.it审计范围

进行it审计的对象包括但不限于以下领域:1.管理组织与制度;2.项目管理流程规范性 ,包括应用系统的开发、测试与上线管理;3.基础设施及运维管理;4.信息安全管理;

it审计涉及的应用系统包括但不限于以下领域:1.生产系统;2.营销系统;3.办公自动化系统;

it审计涉及的组织层次包括但不限于以下领域:1.高层决策者;2.中层管理者;3.技术部门员工;4.业务部门员工。

二.it审计具体实施

elc(entity level control)控制。关注客户在it治理方面的相关组织架构是否合理,管理制度是不是健全,具体的审计程序就是获取客户的组织结构图,及一些比较虚的总纲类的书面管理制度如《it管理制度》等等。

系统开发和变更。关注系统开发和系统后续变更实施中的控制,具体的审计程序首先就是获取系统开发及变更相关的管理制度,该文原载于中国社会科学院文献信息中心主办的《环球市场信息导报》杂志http://总第522期2013年第39期-----转载须注名来源如调阅《系统开发制度》《系统变更管理制度》,二是关注系统开发过程的合理性,如是否经过了需求提出、可行性研究、领导层审批,系统上线之前是否经过了充分的测试,获取一些内控痕迹和表单,如《××系统需求报告》、《××系统可行性报告》、《××系统立项审批单》、《××系统单元测试报告》、《××系统集成测试报告》、《××系统上线审批单》,《变更审批单》,采取抽样后穿行测试。

操作系统及数据库控制。关注操作系统和数据库的控制,如登录时密码控制强度、敏感操作的权限分配、日志的保存。

应用系统控制。关注应用系统控制的合理性。如银行使用的综合业务系统(有的叫核心业务系统)、国际结算系统、大小额系统、信贷管理系统等等,关注其安全配置和用户权限。

接口控制与信息安全。关注其数据准确性、完整性、以及组织级的网络管理的相关制度,如防火墙的架构,内外网分离程度等。

三.it审计依据

it审计依据的来源基本上业界都有很充分的理论依据以及最佳实践,以下it控制标准、法律法规、行业最佳实践都可作为it审计的依据。

it标准、规范及最佳实践; 企业内控框架-coso;it治理-cobit、iso 38500;it规划与架构设计-zachman、togaf、fea;it应用系统开发与运维-软件开发规范、cmmi、iso9126;it基础设施生命周期管理-网络、主机、安全等设备管理规范;it服务管理-itil、iso20000;it项目控制-pmp、prince2、项目监理规范;信息安全管理-iso27001、iso27002;业务连续性计划-bs25999、ansi/nfpa 1600;it应用控制-输入控制、处理控制及输出控制;it资源协同-eai、soa、共享中心等……

目前,信息系统的正常运行已经成为银行业务正常运营的最基本条件之一,信息科技在有力提升银行核心竞争力的同时,信息科技风险也愈发突出和集中,信息科技风险控制已成为银行业风险管理的重要内容,而it审计作为银行业风险管理体系的重要组成部分,其重要性和必要性已经日益得到银行业管理层的关注。

it与其他如财务审计等不同之处,主要在于审计框架是否全面。审计过程仍遵循常规审计步骤,包括审计策划、审计准备、审计对象调查、实施审计、审计发现复核及沟通、审计报告六大步骤。

如何在企业内建立it审计体系,首先,内部审计机构的建立是必要的,并需要给予该机构充分的权利来制定it控制内部审计相关的管理制度、审计方法流程及操作手册,用以指导企业开展it控制内部审计。另外,企业必须培养it审计人才。因国内的信息系统管理相对国外起步较晚,只有近十几年的发展,所以,对于it审计人才的培养仍处于比较初级的阶段,也是今后企业在实施全面it审计后,所面临的一个需要重点解决的it风险问题。

it审计论文篇2

关键词:it审计师 计算机审计 网络审计

一、引言

信息系统审计师,也称it审计师或is审计师,是指一批专家级人士,既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全,又熟悉管理的核心要义,能够利用规范和先进的审计技术,对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。it审计师是由“国际信息系统审计与控制协会(isaca)”认证的。isaca是国际上惟一的信息系统审计师专业组织。会员被称为信息系统审计师,也就是我们通常所说的it审计师,其主要从事的工作包括:向客户提供与信息系统相关的服务,在财务审计中对被审计单位的信息系统的了解、测试和评价以及计算机辅助审计技术的运用等方面。一般的it审计师都具备全面的计算机软硬件知识,对网络和系统安全有独特的敏感性,并且对财会和单位内部控制有深刻的理解。

随着计算机技术在管理中的广泛运用,传统的控制、管理、检查和审计技术都受到巨大的挑战,国际公司、专业咨询公司和高级管理顾问都将控制风险,特别是控制计算机环境风险和信息系统运行风险作为管理咨询和服务的重点。几乎所有的大型跨国公司,由于普遍使用大型管理信息系统,都非常重视对信息系统安全性和稳定性的控制。这就常常需要高薪聘请国际信息系统审计师(简称it审计师)进行内部审计。因此,it审计师已经成为全球范围最抢手的高级人才之一。

二、it审计师的出现迎合了计算机审计的发展

计算机审计的发展一般要经过绕过计算机审计,穿过、利用计算机审计,网络审计三个阶段。其中前两个阶段属于计算机桌面审计系统。绕过计算机审计是指将计算机处理系统看作是一个“黑箱”。根据被审对象对计算机数据处理系统输入的原始数据,通过手工操作,将处理结果于计算机处理系统的输出进行对比,检查其是否一致,属于计算机审计的初级阶段。穿过计算机审计是对计算机数据处理系统进行审计,包括系统目的与功能需求是否达到,系统与系统设计是否先进、和实用,程序设计是否正确可靠,内部控制是否健全、可靠,管理制度是否严密、有效,文件资料是否齐全、完整等。利用计算机审计是为实施审计专门开发计算机程序,检验被审单位电子计算机程序的可靠性。网络审计是指综合运用计算机网络及其相关技术手段对网络经济及网络系统进行审查的新型审计,是计算机桌面审计系统发展的高级阶段。

随着目前电子商务等网络经济的发展和完善,网络审计势在必行。网络审计的模式,从审计的客体角度方面,是建立在网络基础上,对被审单位一定时期内全部或部分经济活动,特别是正在发展中的电子商务、电子、网络财务、网络会计等进行审计的计算机系统。它包括两个方面:其一是对被审系统开发过程进行审计;其二是对被审系统运行过程及其结果进行审计。目前计算机审计的发展大多还处在只是对被审系统运行结果进行审计,或进一步对被审系统运行过程进行审计,这样的审计是建立在假定被审系统安全、可靠基础上的。而实际上这种假定是否合理,是应当予以验证的,这种验证也就是要对被审系统的安全性、稳定性、有效性进行审计、检查、评价和提出改造建议。而这也正是it审计师的主要工作,并且这部分工作也是一直上溯到被审系统开发过程的。因此,it审计师的出现正好迎合了网络审计模式的需要。it审计师虽然主要源于信息系统安全而产生,其主要工作也含有较高的计算机技术因素,但就发展来看,it审计师的出现迎合了计算机审机的发展趋势,昭示着计算机审计不久将随着电子商务、网络财务等的全面展开而逐步发展到网络审计阶段,未来的it审计师们也将成为网络审计的“主力军”。从这个角度上讲,it审计师也是计算机审计发展的必然产物。

三、it审计师在网络审计的重要作用

计算机审计发展到网络审计后,计算机审计的主要将包括网络安全技术与内部控制系统的审计、系统开发审计、程序审计、数据文件审计等四个部分。通过分析可以发现,这四个部分的内容,不同程度地与it审计师相关联,it审计师在其中将起重要的作用。

(一)网络安全技术与内部控制系统的审计

从internet诞生起,信息和网络的安全性就成为关注的一个焦点。在internet发展的每一个阶段,安全问题也都是基础性的、关键性的因素。对于网络审计,其首先遇到的也是网络的安全性测试问题。与安全性相应的还有网络系统的内部控制的测试问题,网络系统的内部控制包括一般控制和应用控制两个方面。一般控制包括组织控制、软件开发、硬件和系统软件控制、系统安全控制、维护控制和文档控制等方面的审查与测试。应用控制包括输入控制、处理控制、输出控制。it审计师的主要工作就是利用标准、规范和先进的审计技术,对信息系统的安全性、稳定性和有效性进行测试、检查、评价和改造。it审计师首先关注信息系统的安全性,没有安全就没有一切,it审计师会采用各种来测试系统的安全性,并对来自内部和外部的安全隐患提出相应对策;it审计师还要审查信息系统的稳定性,没有长期稳定性,信息系统就无法承担起激烈竞争的压力,it审计师会提出一系列对策保证客户信息系统的万无一失;it审计师还要鉴别信息系统的有效性,最安全和最稳定的系统不一定是最有效的系统,而效率不高的系统就会消耗大量的资源,一般情况下,一说到信息系统建设,大家都觉得是工程师或程序员的事,事实上,这是非常错误的观点。一个好的系统,在安全和稳定的前提下,必须最大程度符合企业经营流程的特点,经济、有效地解决问题和提供信息。要做到这一点,信息系统开发和维护过程中,就必须有大量的经营管理人员参与, 设计出最优的信息流转路径。如果不重视信息系统的有效性,其危害同样是巨大的。一方面由于其繁琐和复杂,导致内部业务人员不会用、不想用或使用不当;另一方面使用过程中的差错又会导致稳定性和安全性方面的问题。显然,要对信息系统的安全、稳定和有效进行监控,就不单纯是某类技术人员能够完成的任务,经过专业训练,经验丰富的信息系统审计师将在这一领域发挥重要的作用。信息系统审计师的突出特点就是兼通技术和管理,能够利用规范的审计手段,比较客观和冷静地分析、评价企业现有信息系统的运行,并从专业的角度提出建议。

通过以上分析我们看到,it审计师的工作中实际上已经包含了网络安全技术与内部控制审计的内容。进一步从it审计师的服务对象分析,it审计师主要是为以下几类对象服务:

软件供应商。特别是经济管理类的集成软件供应商,需要信息系统审计师参与产品设计、规划和检测,并对客户现有信息系统进行评价,提出改造设想。全球所有重要的erp和crm产品供应商都聘请大量信息系统审计师。

管理咨询机构。20世纪90年代以后,管理咨询的重点已经逐步为提供一揽子凯时k66会员登录的解决方案,其中信息系统的配置,就是凯时k66会员登录的解决方案成功的基础。国际知名的管理咨询机构中,有50%以上的员工熟悉信息技术,其中20%拥有信息系统审计师资格。

师审计师事务所,是信息系统审计师最早的落脚点,“五大”国际会计公司超过30%的收入来自于风险管理部门。这个部门的最主要工作就是监控客户的信息系统风险和运营风险,同时为客户提供erp或crm的安装、维护和培训。会计师审计师事务所中传统财务报表审计也越来越离不开信息系统审计师的贡献。没有他们的工作,评估内部控制风险和固有风险将成为一句空话。人们常常看到,“五大”会计公司里,最年轻的合伙人或经理,往往都是信息系统审计师,因为这是一项年轻人的工作。

跨国公司。作为信息系统最集中的用户,跨国公司急需大量信息系统审计师,一方面参与信息化建设的过程,另一方面时刻保持对分支机构的信息监控。还有一种最新迹象表明,跨国公司内部审计部门也在大量招聘信息系统审计师,以加强内部的监督和牵制。

大型国有企业和上市公司。这些机构往往有雄厚的财力来实现管理的信息化、保证生产经营的稳定性,他们对信息系统审计师的要求和跨国公司类似。

(二)系统开发审计

系统开发过程一般分为:系统初步调查和可行性、系统详细调查和系统、系统总体设计、系统详细设计、程序编制、程序调试、系统调试、系统转换、平行操作试验、系统评审、系统维护和评价等过程。系统开发审计是事前审计,实际上是审计人员参与系统的全过程。主要监督审查下列:(1)系统的功能是否恰当、完备,能否满足用户商务活动的需要;(2)系统的数据流程、处理是否符合有关商贸法规;(3)系统是否建立了恰当的程序控制,以防止或发现无意的差错或有意的舞弊;(4)系统是否保留充分的审计线索,保证了商务系统的可审性;(5)系统的安全保密措施和管理制度是否健全,能否保证系统安全可靠地运行;(6)系统的文档资料是否全面、完整。这部分和it审计师的工作内容实际也是相适应的。因为it审计师正是参与一个系统分析、设计和调试运行全过程的“保健医生”,并且it审计师最关注系统的安全、稳定、有效。

(三)程序审计和数据文件审计

应用程序是信息系统的核心,其是否遵守国家财经法规和政策,对业务的处理是否合规、合法、正确等,均体现于应用程序。可以手工对应用程序直接进行审查,也可以使用机辅助方法,也可以通过数据在程序上的运行间接测试。电算化会计信息系统中,实质性测试的对象是数据文件。对数据库或数据文件的审计主要目的是为确保数据的完整性与正确性等。对数据文件的实质性测试包括:对各账户余额和发生额直接进行检查;对会计数据进行分析性复核,旨在对数据文件进行实质性测试;测试一般控制措施或应用控制的符合性。可以使用不处理数据文件的实质性测试方法、处理实际数据文件的实质性测试方法及处理虚拟数据文件的实质性测试方法。这两部分内容没有it审计师的凯时k66会员登录的技术支持,一般审计人员也难胜其任。

四、结论

由上可知,审计业务发展至今,传统财务审计工作只是审计中一个特别小的组成部分。审计师最重要工作之一,是发现被审计单位最重大的风险隐患,在认定其持续经营的基础上,再对财务报表的真实、公允性发表审计意见。如果审计师认为被审计单位的信息系统是业务运转的平台,是风险高发区,那么对信息系统的安全、稳定和有效的评价就成为审计的基础和重点。当然,对信息系统的审计和对财务事项的审计,手段有所不同,但基本的程序和原理都是一样的。同时计算机审计的主要内容均和it审计师有重要关联,it审计师是开展计算机审计工作的重要推动力量。因此,我们在培养高级审计人才时,应注重it审计师知识结构,在数学体系上增设以下内容:信息系统审计程序;信息系统的管理计划和组织;技术基础和操作实务;信息资产的保护;灾难恢复和业务持续计划;业务应用系统的开发、取得、实施和维护;业务过程的评价和风险管理等。

参考:

1.刘威,强清。关于计算机审计与it审计师关系问题的探讨。财贸研究,2003(1)

2.孙万军。漫谈it审计师。电子化,2002(2)

it审计论文篇3

萨班斯法案从根本上改变了企业的经营环境和法律环境,其目的在于通过加强内部控制,来改进公司治理状况,并最终加强公司的责任。

当前it系统越来越多地对业务经营活动进行自动化处理,这就需要it提供必要数量的控制程序。因此,遵循萨班斯法案的程序需要包括基于it系统的控制程序。对大多数企业而言,it在建立与保持有效的财务报告内部控制方面将发挥重要作用。通过运用整合的erp系统,或综合运用各种经营管理、财务管理方面的软件,it系统将为有效的财务报告内部控制系统提供强有力的支持。

pcaob第二号审计标准要求了解it在内部控制环境中的重要性。它特别指出:公司在其信息系统中运用信息技术的状况,影响着公司财务报告的内部控制。

目前我国四大电信运营商全部在美国上市,他们现在正在构建法案要求的内控系统,it内部控制系统构建及评审是无法绕过的工作。完善内控,特别是电信企业信息化水平很高、业务流程依赖于it流程的背景下,重视it内部控制,完善it内部控制十分迫切。本文讨论我国公司如何依据法案的要求在短时间内构建一套it内控系统, 并通过有效的it内控评价活动保证其持续健全有效, 以支持ceo 和cfo 的承诺进行初步探讨。

一、萨班斯法案的要求

世通公司造假案件和安然、安达信事件震惊了整个世界, 美国政府认为这是公司上下串通、内外勾结的严重结果, 所以法案对公司治理、内部控制及外部审计同时做出了严格的要求。明确规定要求建立独立称职的审计委员会,管理层要负责内控系统的完善和落实,并对财务报告的真实性负刑事责任 .综观整个法案, 最主要的是对公司内控系统的要求, 主要体现在302条款和404 条款。法案对公司内控系统不但规定严格, 而且实施要求和指南也在相续出台, 如sec 于2003年6月5日根据法案的要求颁布了404条的细化条例, pcaob于2004 年3月9日第2号审计准则, 对公司管理层提出了更明确的要求。

1、302条款的要求:

该条款要求由首席执行官和财务主管在内的企业管理层,对公司财务报告的内部控制按季度和年度就以下事项发表声明(予以证实):

对建立和维护与财务报告有关的内部控制负责。

设计了所需的内部控制,以保证这些官员能知道该公司及其并表子公司的所有重大信息,尤其是报告期内的重大信息;

与财务报告有关的内部控制的任何变更都已得到恰当的披露,这里的变更指最近一个会计季度已经产生,或者合理预期将对于财务报告有关的内部控制产生重大影响的变更。

在当前环境下,it系统驱动着财务报告流程。诸如erp之类的it系统紧密地贯穿于企业经济业务的开始、授权、记录、处理和报告一整套过程中。就其本身而言,it系统和整个财务报告流程也是紧密联系的,为了遵循萨班斯法案,也要对it内部控制的有效性予以评估。

为强调这一点,pcaob第2号审计标准讨论了it以及it在测试内部控制设计合理性及运行有效性时的重要意义,并强调指出:[部分]

…内部控制,包括与财务报告中所有重要账户及披露内容相关的控制政策与程序,都应该予以测试。

一般而言,这样的控制包括it一般控制,以及其他控制所依赖的控制。

2、404条款管理要求

萨班斯法案的404条款要求,管理层在其年度文件中提供关于与财务报告有关的内部控制的年度评估报告。管理层的年度报告要求包括以下内容:

管理层有责任为企业建立和维护恰当的财务报告有关的内部控制。

识别管理层所采用的内部控制框架以便按要求评估公司与财务报告有关的内部控制的有效性。

对从一上个会计年度未以来,与财务报告有关的内部控制的有效性予以评估,其内容也包括有关与财务报告有关的内部控制是否有效的公开声明。

年度审计报告中,注册会计师事务所发表的财务审计报告,包括管理层对与财务报告有关的内部控制有效性评估的证明报告。

管理层关于ag尊龙app针对财务报告内部控制有效性评估的书面结论,应包含在其对财务报告内部控制的报告和其对审计师的信函中。这一书面结论可采取多种形式,但是管理层对公司面向财务报告的内部控制的有效性必须发表直接意见

如果与财务报告有关的内部控制中有一个或多个重要缺陷,管理层将不能对财务报告的内部控制有效性做出评估结论,而且,管理层应该披露自最近一个会计年度未以来财务报告内部控制方面的所有重要缺陷。

面向财务报告的内部控制在这一会计期间可能存在一个或多个重要缺陷,但管理层仍可能会报告“从最近一个会计年度未起(上个会计年度未起),与财务报告有关的内部控制是有效的”。如果要做出这样的结论,管理层必须在评估日前已经改进了内部控制,消除了已有的缺陷,并在运行和测试其有效性后得到了满意的结果,测试的时间足以让管理层认为,从本会计年度起,与财务报告有关的内部控制设计合理、运行有效。

审计师需要合理地确定管理层的认定目标或审计目的(从而依此来收集审计证据),以支持管理层对内部控制有效性的评估结论。通过对审计师在这一过程中所应遵循程序的描述,pcaob第二号审计标准接着指出:

公司在对财务报告做出确认时需要借助于企业的it系统。为了识别管理层对财务报告所作的相关认定,审计师应考虑每个重要账户潜在错报、漏报产生的原因。在决定一个认定是否与某一重要账户余额或其披露相关时,审计师应该评价it系统的性质、复杂程度以及企业it的使用状况。

pcaob第2号审计标准还专门讲述了it在期末财务报告中运用,它指出:…要了解期末财务报告的提供过程,审计师就应在每一会计期末评估it在该过程中的应用范围。………[部分]

因此所有企业构建it内部控制至少都应具备以下三层通用要素:企业管理层,业务流程和共享服务。

it审计论文篇4

it审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。

it审计过程与一般审计过程一样,分为准备阶段、实施阶段和报告阶段。其中,准备阶段和报告阶段所涉及的技术方法与财务审计所运用的技术方法区别不大,而实施阶段所涉及的技术方法则具有信息技术的特色。在实施阶段,针对被审计的信息系统,审计人员所开展的工作可以分为三个层次,即了解、描述和测试。

计算机信息系统环境下审计技术方法与手工环境下传统的审计技术方法相比,相应增加了计算机技术的内容。对it审计的方法既包括一般方法即手工方法,也包括应用计算机审计的方法。it审计的一般方法主要用于对信息系统的了解和描述,包括:面谈法、系统文档审阅法、观察法、计算机系统文字描述法、表格描述法、图形描述法等。应用计算机的方法一般用于对信息系统的控制测试,包括:测试数据法、平行模拟法、在线连续审计技术(通过嵌入审计模块实现)、综合测试法、受控处理法和受控再处理法等。应用计算机技术的审计方法主要是指计算机辅助审计技术与工具的运用。但不能把计算机辅助审计技术与工具的使用过程与it审计等同起来。在it审计的过程中,仍然需要运用大量的手工审计技术。

二、国内it审计现状及其未来发展

随着it技术在企业业务和管理中的广泛运用,it逐渐从传统的后台支持而步入前台,成为企业竞争的重要支撑,企业凭借信息系统的强大功能优势,完成其业务的自动化,但与此同时,从信息系统安全性、效率性、合规性方面都存在风险,传统的控制、管理、检查和审计技术都受到了巨大的挑战。

其次,从应用企业类型来看,目前it审计主要集中在信息化程度要求较高、生产安全紧密相关的单位。

企业对于it审计人才的培养也处于初级阶段,目前的状况是懂it的人才不少,但是这些专业人才往往缺少对企业的业务、审计的相关知识。

基于cobit的it综合审计是目前it审计界的一个技术新趋势,cobit着眼于与企业业务密切相关的it资源的审计与评估,通过对it审计流程的分析解剖,确认it事件审计风险点、控制目标,从业务效果、效率、保密性、完整性、可用性、合规性、可靠性多个维度给出it审计评价。以cobit为基础是it审计的重要发展方向。

it审计(it审计)实施方法简单概括一下:

1)it审计总体框架

以监管部门的监管要求为基础,并将其与cobit的it治理控制框架进行整合,it审计范围可包括it原则、it架构、it基础设施、it应用、it投入等方面的制度建设和执行情况。

2)制定it审计方案

it审计应在行业信息技术特点和监管部门要求的基础上,将信息技术审计过程控制表按照cobit四个控制领域,即规划与组织、获取与实施、交付与支持、监控与评价,进行划分和完善,形成包含34个高级控制流程、438个详细控制活动的审计方案和审计指南。

3)it审计实施

it审计实施过程按照审计控制域与it管理职能、it系统进行交叉,通过现场访谈、问卷调查和it相关控制测试等不同的方式展开,最终归纳和整理形成了不同专业领域的it审计底稿。

4)审计报告

重点对it审计发现的事项进行描述,并被审计方进行确认,以审慎的态度验证审计发现的准确性与合理性。在被审计方确认审计发现的基础上,对所有审计发现进行汇总,出具it审计报告。

三、针对国内it审计针对性问题的合理对策

(一)信息系统的设计和开发没考虑审计的需求

it审计进入我国较晚,较长一段时间以来,人们对它的认识还不全面、系统,信息产业更是缺乏对it审计思想及必要性的认识,使得系统审计职能一直没有真正进入信息系统工程领域,在信息系统建设过程中,在系统的设计、开发环节没有考虑系统审计的需求,导致目前常规的it审计方法与技术在具体实施过程中屡屡碰壁,证据取得困难,程序追踪困难,审计过程效率低、效果差。

同时有相当一部分信息系统的设计者、开发者认为软件测试可以取代it审计。其实,测试只要求功能的实现,而审计需要功能的规范实现,要考虑更多的企业内部控制的需求。另外,系统测试只在软件开发阶段有效,而审计是覆盖信息系统整个生命周期的,因此,信息系统测试不能代替it审计。

(二)it审计人才匮乏

it审计归根结底是从传统财务审计衍生出来的一种新审计分支,从业人员多数也是从传统审计转化而来。但是,it审计涉及审计学、信息科学、系统科学等学科,是一个多学科交叉的新领域,对从业人员提出了更高的要求,需要同时具备相关知识的复合型人才。

四、it审计对策

(一)深化对it审计的认识

通过培训和教育,使有关部门和单位明确it审计对于信息化建设工作的重要性。it审计工作应随着系统建设的开展而开展,应当落实好涵盖所有相关信息资源、信息系统声明周期、信息系统管理维护的全方位的it审计。

进一步理顺和划清it审计与计算机审计等相关概念的联系和区别,以主管部门正式文件的形式规定各自的职责目标、ag尊龙app的业务范围、适用准则与技术,为it审计的研究和实践打好基础。

(二)推广和建设审计信息系统

信息系统是数据与业务逻辑的集合体,在支持企业内部控制及外部审计方面具有先天优势。例如,在信息系统中可以设置内部控制审计轨迹保留机制,用来记录用户、应用程序及系统的关键活动。同样在信息系统中也可以增加会计记录随机抽样功能,并将抽样保存于安全数据库中,这样就可以有效防范“反记账”和“反结账”。

统一财务软件的数据结构与数据接口,做好信息系统的规范工作,强制要求信息系统提供审计接口,将会计信息系统是否支持标准数据格式、是否具有审计线索保留功能作为评价其质量高低的评价标准。

在信息系统建设过程中推广和应用时间戳技术、电子签名技术、xbrl技术对于审计数据的规范共享、提高审计证据的真实性有重要作用。

(三)加强it审计人才培养

针对it审计人才匮乏的现状,可以多渠道开展it审计人才培养,弥补人才的不足。

1.鼓励现有审计人员学习it审计知识,扩展和充实职业技能,应对it审计业务的快速增长。他们具备完备的审计专业知识,只要适当地补充与it审计相关的信息技术,就可胜任it审计的职业要求。

2.在高校开展it审计专业人才培养。针对审计专业的学生或者信息系统专业的学生开展交叉教学,培养复合型人才。

3.鼓励从业人员、学生参加注册it审计师考试。isaca针对it审计的职业技能要求,推出了国际注册it审计师考试,目前在我国北京、上海、广州、南京四个城市设有考点。准备和参加考试不仅可以学习和检验专业技能,同时可以了解相关领域的最新发展。

(四)加紧制定it审计标准与规范,促进行业规范发展

尽管从技术角度来看,isaca的标准、指南和程序已经日臻完善和成熟,我国似乎没有必要发展自己的准则,但是由于我国企业种类繁多,信息化水平地区差异大,许多内外环境与国外存在较大差异,如果没有切合国情的准则、程序对it审计加以指导,则可能影响这项新审计业务的发展。因此,需要在借鉴国外先进经验,追踪国际惯例的基础上,结合我国it审计的现实状况,由主管部门分期相应规章与规范性文件,逐步规范我国的it审计。

五、结论

it审计论文篇5

[论文摘要]现代风险导向审计是以被审单位的经营风险为出发点,将“发现的风险因素同认定层次可能发生的错误相联系”是审计风险判断的关键。但传统的审计方法并未明确指明如何将两者相联系,也并未考虑it带来的影响。在it环境下,审计风险判断应以流程(包括业务流程和it流程)为中间环节,建立基于流程的审计风险判断方法。

现代风险导向审计以被审单位的经营风险为出发点,相关的风险评估结果是评估财务报表层次和认定层次重大错报风险的基础。审计风险虽源于重大错报风险,但审计人员最终都要通过对报表各项目的审计发表财务报表审计意见,因此风险评估必须与各类交易、账户余额、列报的认定相联系。将“发现的风险因素同认定层次可能发生的错误相联系”是审计风险判断的关键。但传统的审计方法并未明确指明如何将两者相联系,而且也未关注it环境下如何将风险因素与认定层次可能发生的错误相联系。在it环境下,业务流程及其支持流程——it流程,都是链接风险因素和认定层次可能发生错报的中间环节。在高度自动化的企业环境下,审计证据的证明力依赖于it相关风险的控制情况。因此,有必要改进it环境下的审计风险判断方法。在it环境下,审计风险判断应以流程(包括业务流程和it流程)为中间环节,建立基于流程的审计风险判断方法。

一、流程对审计风险判断具有重要意义

流程的概念很多,iso/iec 9000将之定义为一组将输入转化为输出的相互关联或相互作用的活动。企业由流程构成,kaplan(2001)将企业定义为是一系列相互关联的活动或流程的集合,或是一个价值链。在it环境下,流程可理解为“角色加活动”,即将流程描述为一个为实现特殊目的而合作且互相影响的角色的集合。早期人们对企业流程的理解大多局限于传统的业务领域;当it逐渐与业务融合,并成为企业所有经营活动的驱动引擎时,流程的范围开始拓展,此时的it流程与业务流程需要实现动态整合,即it活动被看作是业务,并执行与业务相同的管理方式。因此,it环境下的企业业务流程应该是广义的,同时包含it流程和业务流程。美国公众公司会计监督委员会的第5号审计准则就指出,作为理解重大流程的一部份,审计师应理解it如何影响公司的交易流程。

有些大的会计公司为了强调经营风险的审计方法,修改它们的审计辅助软件,以围绕业务流程组织审计证据,而不是按照传统的交易循环组织证据。关注业务流程的审计软件系统(business-process-focused,bpf)通过价值链组织被审单位的信息;而传统的关注交易循环的审计软件系统(transaction-circle-focused,tcf)是按照交易分类组织被审单位的信息。o’donnell e和jr joseph j schultz(2003)的研究结果表明使用bpf软件的审计人员能识别出更多的风险情形,并将风险估计在恰当的水平;而使用tcf软件的审计人员对风险的识别和估计都较差。因此他们认为不同的信息组织形式会影响审计人员的决策判断。造成这种结果的原因在于业务流程关注事件之间的关联性,它通过情景引导记忆;而传统的交易循环关注的是交易分类,它通过语义引导记忆。因此,关注业务流程可降低任务的复杂性和认知难度。随后其他的研究人员也发现围绕业务流程开展内部控制的评估任务更为有效。

二、it环境下基于流程的审计风险判断方法

为了协助审计人员运用自上而下的风险导向审计方法,国际审计和鉴证准则委员会于2005年制定了“在整个审计

过程中运用职业判断对重大错报风险进行更准确评估的框架和模型”。具体步骤如下:(1)了解企业及其环境(包括内部控制),识别风险,并在报表层次考虑交易性质、账户余额、披露;(2)将发现的风险与认定层次可能发生的错误与舞弊相联系;(3)考虑风险的重要性;(4)考虑风险的发生概率。这个风险判断思路也同样适用于it环境。因此借鉴自上而下的审计方法,将流程作为it风险判断的中间环节,改进了的it环境下的审计风险判断方法具体实施步骤如下:

1.了解企业及其环境(包括内部控制)。我国2006出台的《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》列举了影响重大错报风险的因素:行业状况、监管环境以及其他外部因素,企业性质,目标和性质以及相关的经营风险,财务业绩的衡量和评级,内部控制。在it环境下,识别和评价企业层面的风险和风险控制的有效性时,需特别考虑:(1)it利益群体的风险及对it利益群体控制的有效性,如it治理;(2)企业层面的it控制,如与it相关的控制环境、风险评估、信息与沟通、监控、教育和培训等方面。

2.确定财务报告流程的核心要素。根据企业层面的风险评估结果识别重大账户、重要披露及与之相关联的认定。

3.识别关键业务流程。审计人员首先要识别与上述重大账户、重要披露、认定相关联的关键流程及流程所包括的主要交易,同时识别流程中易发生错误和舞弊的关键点(控制点)。为了判断业务流程能否实时预防或检测错误和舞弊,审计人员要识别出需要被测试的控制点,由于业务流程大多基于it,因此要确定这些控制点哪些是依赖it的,然后识别并证实关键的it功能。

4.确定与it功能相对应的应用系统的范围。详细列出与这些it功能相关的应用系统和与之关联的子系统,包括交易应用系统和支持性应用系统。交易应用系统在处理组织内的数据时通常提供以下功能:(1)通过借贷关系记录交易的价值数据;(2)作为财务、经营和法规数据存放的仓库;(3)能够生成各种财务和管理报告,包括销售订单、客户发票、供应商发票以及日记账的处理。支持性应用系统并不参与交易的处理,但方便了业务活动的进行,如email程序、传真软件、设计软件等。

然后it审计人员与财务审计人员合作,从列示的子系统中识别出支持授权、复杂计算、维护重要账户(如存货、固定资产、贷款等)的完整性的重要应用系统。应用系统是否重要,需要考虑:交易量(交易量越多,应用系统越关键)、交易金额(金额越大,应用系统越关键)、运算的复杂性(运算越复杂,应用系统越关键)、数据和交易的敏感度(敏感度越大,应用系统越关键)。为应用系统提供it服务,或者支持应用系统关键环节的it一般流程即为需要进行it一般控制测试的范围。

5.识别管理和驱动这些重大应用系统的it流程。识别所有支持这些应用系统的基础设施,包括数据库、服务器、操作系统、网络,以及与之相关联的it流程。判断这些it流程的风险和相关的控制目标。识别出需要被测试的it一般控制,进而判断其是否符合控制目标。控制测试结果将影响与之相关的it应用控制的评价、业务流程的风险评价。对这些流程和系统进行风险和控制评估后,就可以制定风险控制矩阵。

6.评价it控制、分析业务流程风险。结合对it一般控制的评估结果和对业务流程中it应用控制的评估结果,就可以分析关键业务流程的it风险控制情况。此时的it控制测试和人工控制测试要结合起来予以考虑,即将二者作为一个整体的测试对象。业务流程的风险是与业务流程所关联的一系列交易活动、账户群的余额、列报(包括披露)认定层次重大错报风险相联系的,因此,业务流程风险的评价结果构成了认定层次重大错报风险评估的直接基础。

7.评估电子证据证明力、设计实质性测试程序。审计人员可根据上述步骤的风险评估结果判断某一业务流程的电子审计证据的证明力并设计与业务流程有关的账户群的实质性测试程序。

通过上述7个步骤,审计人员可以将it环境下的企业风险因素与报表层次和认定层次的重大错报风险相链接,同时也为电子审计证据证明力(即检查风险的判断)提供了依据。

参考文献

[1]顾晓安,基于业务循环的审计风险评估专家系统研究[j].会计研究,2006(4):23-29.