緒論:在尋找寫作靈感嗎����?愛發(fā)表網(wǎng)為您精選了8篇系統(tǒng)審計論文�,愿這些內容能夠啟迪您的思維,激發(fā)您的創(chuàng)作熱情�,歡迎您的閱讀與分享!
篇1
一�����、審計系統(tǒng)必須適應環(huán)境的發(fā)展
審計系統(tǒng)是在一定的經(jīng)濟社會環(huán)境下產生��,又在特定的外界環(huán)境中存在和發(fā)展����。它是環(huán)境的產物,必須和環(huán)境相適應�����。與生態(tài)系統(tǒng)中的生物一樣,審計系統(tǒng)的生存�����、生長受制于環(huán)境���,但審計系統(tǒng)的存在和發(fā)展又反過來影響和改變環(huán)境����?����;仡檶徲嬒到y(tǒng)的發(fā)展歷程�,經(jīng)歷了三個階段:
第一階段是19世紀中葉����,在資本主義得到充分發(fā)展、取得工業(yè)革命成功的英國出現(xiàn)了現(xiàn)代意義的審計(稱英國式審計或詳細審計)���。當時的審計對象是會計賬簿���,審計的目的是查錯防弊,所使用的審計工具是詳細檢查,審計信息的使用人是股東����。第二階段是本世紀初�,在資本主義發(fā)達的美國出現(xiàn)了以資產負債表為對象的資產負債表審計,其目的是判斷借款人的信用狀況�,審計信息使用人從股東擴大到債權人(主要是銀行)���。第三階段是本世紀20—30年代����,由于資本市場證券化���,在美國出現(xiàn)了以損益表為中心的財務會計報表審計�����,目的是提出客觀公正的審計意見����,審計信息使用人是所有的企業(yè)利害關系人,對上市公司而言就是社會公眾����。到了40年代以后,由于跨國公司的出現(xiàn),國際間資本流動頻繁����,在發(fā)達的資本主義國家出現(xiàn)了國際化的會計公司���。
從上述審計系統(tǒng)從一個階段向高一階段的進化過程分析����,我們可以得出兩點結論:一是審計系統(tǒng)每一次進化都是為了適應環(huán)境的變化�����,和任何系統(tǒng)一樣�����,只有適應環(huán)境的系統(tǒng)才能得以生存和發(fā)展。19世紀西方資本主義得到充分發(fā)展���,實行所有權和經(jīng)營權分離����,就出現(xiàn)了英國式的詳細審計。到了20世紀中葉���,隨著企業(yè)大型化和證券化����,經(jīng)濟活動劇增,審計師不可能對每筆交易都進行檢查�����,審計系統(tǒng)就由詳細審計進化到抽樣審計��。有了跨國公司,就有了國際性的會計事務所。正是審計系統(tǒng)適應了所生存的環(huán)境,才使得本身得到充分的發(fā)展。同時�,進化后的審計系統(tǒng)又反作用于環(huán)境�����,對社會經(jīng)濟起了積極推動作用�����,成為人類經(jīng)濟系統(tǒng)中不可缺少的一個子系統(tǒng)。二是審計系統(tǒng)的每一次進化都有賴于相應的理論�����、方法和技術的支持����。從英國式的詳細審計進化到資產負債表審計��,是因為有內部牽制理論和統(tǒng)計抽樣技術的支持。同樣,從資產負債表審計進化到財務會計報表審計��,是因為有內部控制理論和審計風險測試評價技術的支持�。這是審計系統(tǒng)一次具有非常意義的“進化”�����,正是由于審計系統(tǒng)普遍采用了統(tǒng)計抽樣技術和內部控制測試技術���,從而使審計系統(tǒng)的功能大大增強,在大大提高了審計效率的同時�,又有效地控制了審計風險�。
同理��,在步入21世紀的今天���,審計系統(tǒng)又面臨著新環(huán)境的挑戰(zhàn)。新經(jīng)濟和數(shù)字時代的到來,以及經(jīng)濟全球化�����、市場一體化等將對審計系統(tǒng)產生重大影響��。面對新經(jīng)濟環(huán)境的挑戰(zhàn)����,審計系統(tǒng)必須適應這種環(huán)境的進化,而要進化就必須有相應的理論和技術方法即系統(tǒng)科學和信息技術的支持���,筆者將由系統(tǒng)科學和計算機技術支持下進化了的審計稱為系統(tǒng)審計�,與之相對應的是傳統(tǒng)的詳細審計和內控審計。下圖表達了審計系統(tǒng)的進化過程���。
需要說明的是����,“系統(tǒng)審計”與“審計系統(tǒng)”是二個既有聯(lián)系又有區(qū)別的概念���。系統(tǒng)審計是指在系統(tǒng)科學和信息技術支持下的審計理論方法��,表明一種審計理念���,是相對于其它審計方法而言的。審計系統(tǒng)則是泛指審計體系����,詳細審計、財務會計報表審計�、系統(tǒng)審計都是審計系統(tǒng)各個不同歷史時期的產物。
二�、系統(tǒng)審計和傳統(tǒng)審計的比較
傳統(tǒng)審計的思維方式是:部分整體。傳統(tǒng)審計總是先分析對象的各個部分�����,然后再綜合為整體。這種思維方法的局限性在于把分析與綜合���、部分與整體�����、原因與結果機械地割裂開來��,認為部分是原因���,整體是結果����,部分決定整體。傳統(tǒng)審計方法著眼于一個個要素�����,進而得出整體的性能��,其邏輯結論往往是組成整體的要素好���,整體的性能也就好�。不論是一百五十年前的詳細審計,還是目前的財務會計報表審計���,注冊會計師的思想方法都是從部分去推測整體�,而系統(tǒng)審計的思想方法則是從整體到部分�。詳細審計是從每一筆交易賬戶再到報表;財務會計報表審計是通過對內部控制和控制風險的研究抽取部分交易為樣本賬戶最終證實報表信息的真實和公允性����。詳細審計和報表審計在研究審計對象經(jīng)濟活動時,只把各組成部分孤立地�、簡單地加起來,這并不能說明審計對象經(jīng)濟活動的整體性質和功能����。因為各要素的簡單相加,并不能構成一個系統(tǒng)�����。
系統(tǒng)審計思維方法則不同于傳統(tǒng)審計���,它的思維方式是:整體部分���。系統(tǒng)審計從整體出發(fā)����,先進行系統(tǒng)綜合�����,形成可能的系統(tǒng)方案��,再進行系統(tǒng)分析���。分析系統(tǒng)各要素及其相互關系���,建立模型��,然后進行系統(tǒng)選擇�,實現(xiàn)最優(yōu)化,重新綜合成整體�。系統(tǒng)審計方法的程序是:綜合分析綜合。它不僅著眼于個別要素的優(yōu)劣����,而且利用了要素之間的相互關系,觀察和判斷系統(tǒng)整體的性能����。要素和系統(tǒng)不是一種簡單的線性因果關系����,系統(tǒng)的整體性能不單是取決于組成系統(tǒng)的要素��,而且還有要素之間的相互作用����。系統(tǒng)審計方法正是在要素之間相互作用的關系中進行分析和綜合,才能正確地認識審計對象的整體性能�����。系統(tǒng)審計把審計對象的經(jīng)濟活動當作一個整體來研究��。這一整體的性質和規(guī)律�,只存在于組成要素的相互聯(lián)系、相互作用之中��。各個組成部分孤立的特征或者活動的總和��,并不能反映整體的特征和活動�。系統(tǒng)審計強調系統(tǒng)的整體性,要求注冊會計師不能象以前那樣,先把審計對象分成幾個部分�����,然后再匯集起來�。而是把審計對象作為一個有機的整體來對待,先看整體��,再看部分�;先看全局,再看局部�;先看宏觀,再看微觀��;先看全過程����,再看某一個階段。從整體與環(huán)境���、整體與部分的相互依賴、相互制約中�,去揭示系統(tǒng)的特征和運動規(guī)律。對局部的研究必須放在整體中��,從整體的各個部分的聯(lián)系�、制約中去加以研究���。當然,注冊會計師研究審計對象經(jīng)濟活動整體��,并不是不深入具體細節(jié)去考察分析���,一個正確地認識來自于從整體到部分�,部分到整體的反復過程�����。系統(tǒng)審計在研究問題時���,把任何對象都看成是系統(tǒng)��,然后著眼于系統(tǒng)和環(huán)境之間�����、系統(tǒng)和要素之間的相互關系���,確定要素的層次結構,這樣就便于用數(shù)學方法從定性和定量的結合上研究、描述現(xiàn)實系統(tǒng)���。系統(tǒng)審計比傳統(tǒng)審計方法更能將分析和綜合�、歸納和演繹等方法有機地結合起來�����,因而為運用數(shù)理邏輯方法和計算機技術開辟廣闊的道路�。
篇2
一、電子商務系統(tǒng)審計的必然性和必要性
在商業(yè)活動實現(xiàn)網(wǎng)絡化之前����,采購是面對面或通過紙質文件進行的,有跡可查��,即使是電子交易��,其設備結構是專用的���,一般只限于已知用戶使用����,任何外部用戶必須是已知的���、身份明確的�、可追蹤的�����;系統(tǒng)通常是主機結構方式���,相對易于監(jiān)督�����、控制和審計�����。與傳統(tǒng)商業(yè)相比�,萬維網(wǎng)客戶/服務器系統(tǒng)的特點是高度分散�,資源共享、服務分散���、顧客透明度高等��,而電子商務的運作速度更快���、業(yè)務循環(huán)周期更短�����、風險更大��、更高程度地依賴于技術�。電子商務系統(tǒng)的技術基礎和市場的快速變化意味著傳統(tǒng)的衡量方法已不再適用于企業(yè)的某些資產���,財務報告不能充分提供企業(yè)的狀況和價值方面的信息����,特別是網(wǎng)絡企業(yè)的無形資產��,如商譽�、客戶忠誠度和滿意程度等這些產生長期價值的關鍵資產。核實確認這類資產價值的困難在于缺乏足夠的歷史數(shù)據(jù)���、合適的參照標準�����、先進的實踐經(jīng)驗以及對網(wǎng)絡的各種威脅和概率的準確估算�����。企業(yè)管理層以及公眾都需要尋找能夠用以表述網(wǎng)絡企業(yè)的可信度�、安全性及其他資產價值的方法���,需要一些新的核查和審計方法�����,更有效地評價無形資產�,如知識�、品牌等。因此����,電子商務系統(tǒng)審計就成為歷史的必然。由于����,電子商務的可靠性、適用性����、安全性和性能等方面受到的威脅或存在的風險�����,都可能會影響其生存和發(fā)展�。風險因素包括:商業(yè)信息的泄露�����、智能財產的不當使用����、對版權的侵犯、對商標的侵犯����、網(wǎng)絡謠言和對信譽的損害等。因此��,進行必要和客觀的審計�,才會使董事會、審計委員會�����、高級管理層對電子商務系統(tǒng)的安全運作和效益滿意和放心�����。
二、網(wǎng)絡風險和風險管理
網(wǎng)絡風險如同自然災害一樣不可預見����。風險管理的關鍵在于風險評估,風險評估就是要分析和衡量風險事件發(fā)生的概率及后果���,引起風險的因素及其關聯(lián)因素,出現(xiàn)風險的關鍵點采取什么方法能夠減緩風險���,風險出現(xiàn)造成后果如何��,以及評價管理層是否履行了應有的職業(yè)審慎進行防范和控制���。同時在評估中還要為各項因素設計評價比率,計算各種風險的影響后果��,根據(jù)影響和后果排序�,對高風險因素作進一步的分析。
通過風險評估����,可以認識到潛在風險(威脅)及其影響�,以便對高風險領域作一些防范�、檢測、控制�、減緩和恢復的工作計劃和安排。這些計劃和安排應涵蓋對各項控制成本����,主要是指接受、避免���、轉移���、監(jiān)測成本的分析以及各項工作的先后次序。
三��、電子商務系統(tǒng)審計中網(wǎng)站的合法性證明
網(wǎng)絡終端用戶都會關注網(wǎng)站是否來自一個真實的��、可靠的機構���,提供的信息是否準確真實�,機構背景是否正當合法�,個人信息的隱私權是否得到保護等。所謂隱私權是指對個人的數(shù)據(jù)/信息的搜集必須合法、公平��,必須用于某一特定����、公開的目的,必須取得該個人的同意并受到保護����,本人必須有權進入系統(tǒng)進行修改或刪除,信息的越域流動和將來的使用��、披露必須予以安全保證和限制等��。
解決這些網(wǎng)站合法性問題的途徑之一就是由一公證機構提供可靠的證明�,以使網(wǎng)絡終端用戶能對網(wǎng)站提供的電子商務放心��。如Verisign�����,TRUSTe�,BBBOnline,WebTrust�,SysTurst等都是具有良好的信譽并且提供證明-查證服務的專業(yè)組織機構。網(wǎng)絡終端用戶可以通過查詢這些公證機構的記錄,獲得確認被訪問網(wǎng)站的名稱��、有效狀態(tài)�、服務器標識等信息。
四�����、內部審計和電子商務系統(tǒng)審計
美國注冊會計師協(xié)會對“核實查證”的定義是“提高決策者所需要信息的質量或內容的獨立性專業(yè)服務�。”其審計原則是保證系統(tǒng)的可用性����、安全性、真實完整性和持續(xù)性���,建議對系統(tǒng)安全性和真實完整性方面存在的控制點進行檢查�����、評價和測試�����。并盡量在今后采用合適的審計標準對信息技術進行審計����。不同于以年度為基礎的傳統(tǒng)外部審計,電子商務的實時性要求審計人員應對其進行連續(xù)不斷的評估��,按特定的審核標準對已發(fā)生的交易進行追蹤���,而系統(tǒng)內設置的自動登錄記錄可作為相應的審計軌跡��,在系統(tǒng)內部實施對事件監(jiān)督和控制�。
盡管當前許多人認為核實查證通常與外部審計人員相關��,內部審計人員則在公司內部出具審計報告���。然而��,國際內部審計師協(xié)會對電子商務系統(tǒng)審計的要求則是:審計控制目標主要是審計財務報告制度、經(jīng)營的效益和效率�����、合規(guī)性和保護財產安全等方面����。審計模式應該建立在系統(tǒng)的可用性、容量、功能���、保護和可靠性的基礎上�。例如�,內部審計對網(wǎng)絡企業(yè)控制水平的獨立評價,使得客戶了解到企業(yè)提供的數(shù)據(jù)將不會被有意或無意地濫用���。再如���,企業(yè)目標是建立電子商務以降低成本、提高市場占有率���,那么電子商務風險是隨著網(wǎng)絡交易的增加而增加�,以至于不能確保交易的安全性或分辨用戶的可靠性��,因此�����,所需要的控制就是對用戶的真實性進行確認以及對通訊信息進行加密����。
電子商務系統(tǒng)審計的成功與否在于審計人員是否掌握相關的技術知識����,了解商業(yè)風險及風險管理策略�����,是否有現(xiàn)成的策略隨時應付出現(xiàn)的風險�。因此,作為一個成功內部審計人員應了解企業(yè)的業(yè)務�,以服務為宗旨并努力增值,積極提高專業(yè)技能���,關注系統(tǒng)的效率和效益���,建立對電腦領域發(fā)展的職業(yè)敏感性。
篇3
(Why)隨著被審計單位經(jīng)濟業(yè)務活動對信息系統(tǒng)依賴程度越來越高�����,信息系統(tǒng)已經(jīng)逐漸融入各項經(jīng)濟活動當中���。但是,信息系統(tǒng)存在的漏洞和缺陷��、非法舞弊程序、人為操作錯誤����、病毒感染、黑客攻擊�、系統(tǒng)故障等導致被審計單位經(jīng)濟業(yè)務數(shù)據(jù)失真的各種風險也在進一步加大,也就是說信息系統(tǒng)本身的安全性��、可靠性直接威脅和影響到信息系統(tǒng)所產生經(jīng)濟業(yè)務電子數(shù)據(jù)的真實����、準確和完整。因此�����,基于現(xiàn)代風險基礎審計理論的政府審計�����,必須考慮與經(jīng)濟業(yè)務活動相關的信息系統(tǒng)產生的風險因素����,突破傳統(tǒng)政府審計業(yè)務范圍,涵蓋信息系統(tǒng)審計內容��。如果忽視對信息系統(tǒng)本身的審計,審計機關審計人員審計依賴的被審計電子數(shù)據(jù)的真實性就會成為“空中樓閣”����,就有可能出現(xiàn)“假賬真審”的問題。目前�����,各級政府部門�����、企事業(yè)單位為了提高信息化水平���,紛紛加大資金投入����,推進信息系統(tǒng)建設����,建立統(tǒng)一數(shù)據(jù)集中平臺,信息系統(tǒng)已經(jīng)成為國家的一項投資巨大的重要資產��。這就要求審計機關審計人員在對這些機構實施經(jīng)濟效益審計�����、績效審計��、經(jīng)濟責任審計等審計項目時���,必須考慮信息系統(tǒng)資產因素��,對信息系統(tǒng)實施相關審計�����,以有效揭示信息系統(tǒng)在安全�����、可靠�����、合法�����、效率��、效果和效益等方面存在的問題��,防范信息系統(tǒng)風險�,保障信息系統(tǒng)安全、可靠運行����,促進信息系統(tǒng)資源的有效利用,提高信息系統(tǒng)資源運用的收益水平�����。由此��,在政府審計項目中�,考慮到信息系統(tǒng)的影響因素,迫切需要大力開展結合型政府信息系統(tǒng)審計����,而不是可審可不審的問題。
二���、結合型政府信息系統(tǒng)審計的目標是什么
(What)信息系統(tǒng)審計目標是信息系統(tǒng)審計行為的出發(fā)點���,它指明了審計工作方向�,并指導著信息系統(tǒng)審計實踐活動(王振武等�����,2011)���。我國政府審計以維護國家財政經(jīng)濟秩序,提高財政資金使用效益����,促進廉政建設,保障國民經(jīng)濟和社會健康發(fā)展為職能�����,以國家經(jīng)濟活動的真實性����、合規(guī)性和效益性為總體目標。因此�,我國政府審計機關實施的結合型政府信息系統(tǒng)審計,也應遵守真實��、合規(guī)和效益的根本目標。審計機關審計人員在各項具體政府審計項目中����,不能籠統(tǒng)地將一般意義上信息系統(tǒng)審計的安全性、可靠性��、合法性和有效性目標作為結合型政府信息系統(tǒng)審計具體目標��,這既不符合結合型政府信息系統(tǒng)審計的特點和需求�����,也不具備實際可操作性�����、指導性�����。如果信息系統(tǒng)審計目標因素與具體政府審計項目目標不相關�,將起不到應有的作用,是多余的�、不必要的,從成本效益角度來說�����,是對審計資源的浪費。審計人員應避免根據(jù)自己的理解來確定目標����,造成混淆不清。結合型政府信息系統(tǒng)審計貫穿于各政府審計項目之中�����,成為審計全過程的一部分�,其具體審計目標應根據(jù)國家審計機關實施審計項目預期要完成的任務和結果����,即具體政府審計目標,以及所涉及的信息系統(tǒng)情況等綜合確定�����。例如�,政府財政財務收支審計的目標是財政財務收支情況的真實性、合規(guī)性和效益性�����,其審計的數(shù)據(jù)來源于相關信息系統(tǒng)產生的財務電子數(shù)據(jù),而數(shù)據(jù)是否真實���、完整�����,直接依賴于相關信息系統(tǒng)是否安全�、可靠����,由此可以確定政府財政財務收支審計中信息系統(tǒng)審計的目標是安全性、可靠性�����。又如��,在國有企業(yè)績效審計中��,績效審計的目標是效率性����、效果性和效益性,雖然信息系統(tǒng)與績效審計不直接相關��,但是信息系統(tǒng)作為企業(yè)的一項重要資產,且信息系統(tǒng)建設的投入金額巨大���,因此�����,在國有企業(yè)績效審計中也應包括信息系統(tǒng)資產的績效審計�����,這就決定了國有企業(yè)績效審計中信息系統(tǒng)審計的目標應該是效率性��、效果性和效益性。上述示例也表明�,結合型政府信息系統(tǒng)審計具體目標隨政府審計項目的不同而存在一定的差異性,也就是說政府審計具體目標的多元性決定了結合型政府信息系統(tǒng)審計具體目標的多元性����,必須根據(jù)具體政府審計項目綜合確定。
三����、結合型政府信息系統(tǒng)審計的重點在哪里
(Where)結合型政府信息系統(tǒng)審計的成效取決于審計機關審計人員對信息系統(tǒng)審計重點內容的把握程度。審計人員應該在分析清楚各政府審計項目中信息系統(tǒng)審計具體目標的基礎之上�,確定信息系統(tǒng)審計意圖和需要解決的問題�,并根據(jù)“全面審計����、突出重點”、“先系統(tǒng)本身后系統(tǒng)環(huán)境”的原則確定信息系統(tǒng)審計重點事項(唐劍�����,2012)�。此外,還應考慮成本效益原則����,盡力減少與政府審計目標不相關的、多余的���、不必要的信息系統(tǒng)審計內容�����。
(一)結合型政府信息系統(tǒng)重點
審計對象的選擇被審計單位一般建立有多個信息系統(tǒng)���,依據(jù)結合型政府信息系統(tǒng)審計的特點,不需要也不必要將被審計單位的所有信息系統(tǒng)納入重點關注的審計對象���,只需要根據(jù)與被審計業(yè)務活動相關的程度選擇目標信息系統(tǒng)��。如何選擇信息系統(tǒng)重點審計對象����?審計機關審計人員選擇的主要原則應是依據(jù)被審計單位核心業(yè)務對信息系統(tǒng)的依賴性以及被審計單位信息系統(tǒng)的復雜性確定需要重點調查和審計測試的信息系統(tǒng)的范圍和深度。一般來說��,越高度依賴的信息系統(tǒng)�����,就應該作為重點審計的對象����;越復雜的信息系統(tǒng),就應該擴大重點審計對象范圍�。例如�����,在財務收支審計中����,被審計單位ERP系統(tǒng)由財務���、采購、銷售�、庫存、質量�����、人力資源等多個子系統(tǒng)組成�,由于財務收支數(shù)據(jù)直接依賴于財務子系統(tǒng),所以理應將其作為審計的重點�,然而ERP系統(tǒng)又是一個集成化的復雜系統(tǒng),審計人員還應擴大審計范圍和深度�,需要將ERP系統(tǒng)中系統(tǒng)管理子系統(tǒng)以及其他子系統(tǒng)的基礎設置、憑證處理等模塊也作為審計的重點����。
(二)結合型政府信息系統(tǒng)內部控制
測試重點
內容的確定現(xiàn)代風險基礎政府審計是建立在內部控制的測評基礎之上,根據(jù)內部控制的符合性測試結果實施業(yè)務數(shù)據(jù)的實質性測試���。信息系統(tǒng)內部控制測試是對信息系統(tǒng)內部控制的可靠性�、健全性和有效性進行的測試���?�;诮Y合型政府信息系統(tǒng)審計的經(jīng)濟監(jiān)督和重在審計業(yè)務數(shù)據(jù)的特點�����,以及政府審計人員信息技術能力限制��,為避免將對信息系統(tǒng)的審計引入技術陷阱(李春青�,2008),審計人員應重點選擇信息系統(tǒng)中容易產生數(shù)據(jù)風險的部分����,作為信息系統(tǒng)內部控制測試的重點內容。而信息系統(tǒng)的硬件�、軟件、應用程序�����、數(shù)據(jù)����、人員����、制度等組成要素中�����,對業(yè)務數(shù)據(jù)直接產生影響的主要有信息系統(tǒng)數(shù)據(jù)���、應用程序、人員和制度�,因此審計人員在結合型政府信息系統(tǒng)審計中應選擇信息系統(tǒng)數(shù)據(jù)、應用程序��、人員��、制度作為審計測試的重點�����,只在必要的時候再根據(jù)實際情況適當關注信息系統(tǒng)的軟硬件環(huán)境�。
(三)信息系統(tǒng)效率、效果和效益審計重點
內容的選擇在結合型政府信息系統(tǒng)審計中�����,對行政事業(yè)單位�����、企業(yè)的效益審計、績效審計�、經(jīng)濟責任審計等政府審計項目中涉及的信息系統(tǒng)效率、效果和效益審計�,其審計范疇從屬于政府審計項目的范疇,只是審計對象中包括信息系統(tǒng)資產����。因此,在這種結合型政府信息系統(tǒng)審計中���,審計機關審計人員審計信息系統(tǒng)效率��、效果和效益應從被審計單位正在運行使用中的信息系統(tǒng)資源的有效利用���、促進產品或服務目標實現(xiàn)、降低產品或服務成本和增加產品或服務收益的角度選擇重點審計內容:(1)效率性審計應重點評價使用中的信息系統(tǒng)對提高被審計單位勞動生產率所作的貢獻���,如節(jié)省人力�、提高人員工作效率等�����;(2)效果性審計應重點評價使用中的信息系統(tǒng)使被審計單位業(yè)務、管理和決策等方面得到改善和提升�����,如滿足業(yè)務處理需求���、促進業(yè)務流程改進、增強信息交流與共享���、提升客戶服務能力����、提高管理決策水平等���;(3)效益性審計應重點評價使用中的信息系統(tǒng)的資金投入以及產生效益之比�,資金投入包括信息系統(tǒng)運維資金投入�����、升級改造資金投入等方面����,產生效益則可以從降低產品或服務成本���、提高資金周轉速度、提高產品或服務收入�、增強競爭力等方面考慮。
四����、結合型政府信息系統(tǒng)審計如何實施
(How)結合型政府信息系統(tǒng)審計作為信息系統(tǒng)審計的一個特例,兩者在審計技術���、方法��、手段等方面理應具有一定的一致性���。但是,審計機關審計人員在借鑒目前常用信息系統(tǒng)審計方法的同時�����,需要結合具體政府審計項目�����,立足審計人員的信息技術審計能力相對較弱�����、業(yè)務審計能力較強的審計專長,以審計人員的業(yè)務思路和職業(yè)判斷為工作核心(王亞清����,2012)��,積極探索富有實效的信息系統(tǒng)審計與傳統(tǒng)審計相結合的方法�。
(一)如何做好信息系統(tǒng)審前調查
在進行結合型政府信息系統(tǒng)審計調查時,審計機關審計人員可以將被審計信息系統(tǒng)調查與被審計項目業(yè)務調查結合進行���,將信息系統(tǒng)調查作為業(yè)務調查的延伸����。一方面����,可運用詢問法、觀察法�����、查閱法����、調查表法�、流程圖法等傳統(tǒng)審計調查的方法�����,將被審計單位業(yè)務活動情況與信息系統(tǒng)情況調查融合在一起��,一并調查了解被審計單位整體和業(yè)務活動情況��、信息系統(tǒng)環(huán)境(如硬件環(huán)境�、軟件環(huán)境、組成���、結構���、分布等)、內部控制制度(含信息系統(tǒng)內部控制制度)�、手工和計算機信息系統(tǒng)處理過程(如業(yè)務流程、運行流程�����、人員操作流程等)及執(zhí)行情況�;另一方面��,可運用計算機輔助審計方法獲取被審計業(yè)務電子數(shù)據(jù)��,調查了解被審計信息系統(tǒng)數(shù)據(jù)處理情況等�����。兩種方法相互補充����,既能全面了解被審計單位業(yè)務活動情況����,又能夠摸清被審計單位信息系統(tǒng)基本運作情況�,實現(xiàn)信息系統(tǒng)審計調查與整個審計工作調查的銜接,從而確保審計調查的效率��、質量���。
(二)如何做好信息系統(tǒng)內部控制測試
在結合型政府信息系統(tǒng)審計中��,審計機關審計人員可運用熟悉的傳統(tǒng)審計測試方法��,輔以計算機輔助審計測試方法對前述確定的信息系統(tǒng)數(shù)據(jù)�����、應用程序�����、人員��、制度等重點內容進行審計測試���。具體可采用:(1)傳統(tǒng)審計方法����。通?�?刹捎迷儐柗?����、觀察法���、檢查法���、核對法�����、比較法�、數(shù)據(jù)分析法等方法���。如:詢問或觀察職責分離制度��、人員操作制度���、運行維護制度的執(zhí)行情況;觀察有關人員對信息系統(tǒng)訪問是否設定口令����、系統(tǒng)操作是否違反職責分離原則���;查閱系統(tǒng)日志文件��、操作記錄�����,查看系統(tǒng)中是否有非法訪問記錄和報告��,有無未經(jīng)授權的用戶操作系統(tǒng)��;觀察�����、檢查系統(tǒng)功能設置��、程序化控制����、權限設置、系統(tǒng)參數(shù)配置等是否合理����、有效,如權限設置是否符合職權要求�����,人員崗位變動或離職前是否及時進行權限鎖定或刪除��,客戶數(shù)據(jù)是否進行唯一性檢驗��,財務軟件是否存在反結賬、反記賬等功能����;核對、比較原始憑證與數(shù)據(jù)庫憑證文件數(shù)據(jù)的一致性�����,以測試憑證數(shù)據(jù)輸入控制的有效性�����;對數(shù)據(jù)庫文件數(shù)據(jù)采用數(shù)據(jù)分析法�,如分析數(shù)據(jù)文件中操作員代碼、數(shù)據(jù)異常值���、數(shù)據(jù)間的關聯(lián)關系���、數(shù)據(jù)間的平衡或合計關系等審查是否存在非法用戶或越權操作�����、參數(shù)設置的有效性�����、數(shù)據(jù)處理是否存在錯誤等以測試數(shù)據(jù)處理控制的有效性,也可通過數(shù)據(jù)分析反推系統(tǒng)中存在的非法功能和漏洞���,等等��。(2)計算機輔助測試方法��。通?����?刹捎糜嬎銠C數(shù)據(jù)審計軟件工具�、整體測試法�����、平行模擬法�、虛擬實體法、受控處理法等方法�。如利用計算機審計軟件(OA)、數(shù)據(jù)庫管理系統(tǒng)(Access�����、Sqlserver)、Excel等獲取和分析被審計信息系統(tǒng)數(shù)據(jù)輸入�����、處理��、輸出控制����;運用整體測試法、平行模擬法����、虛擬實體法、受控處理法等方法(張瑜�,2012),測試系統(tǒng)的處理和控制功能是否恰當����、可靠,接口程序是否存在缺陷等�。除此以外,對于信息系統(tǒng)硬件�、軟件、網(wǎng)絡安全等方面內部控制測試����,由于其技術性較強,審計人員可重點從系統(tǒng)管理的視角著手�����。一般采用面談法��、詢問法���、觀察法��、測試軟件等��,重點審查計算機安全和管理制度的執(zhí)行情況��、是否建立安全認證機制��、是否建立針對系統(tǒng)故障的應急安全機制�、軟硬件來源的合法性���,觀察硬件是否進行有效的保養(yǎng)����、隔離,查看系統(tǒng)是否安裝防火墻����、安裝防病毒軟件、定期檢測和清除計算機病毒�����,利用漏洞掃描工具和網(wǎng)絡檢測診斷工具等對網(wǎng)絡環(huán)境進行測試和評估����。
(三)如何做好信息系統(tǒng)效率、效果與效益審計
對于結合型政府信息系統(tǒng)審計中的效率�、效果與效益性審計,應遵循可操作�����、實用性原則���,審計機關審計人員可通過詢問�、觀察����、查閱資料�、發(fā)放調查表和比較分析等方法����,重點了解信息系統(tǒng)的各項功能在被審計單位日常工作過程中的使用情況����,了解信息系統(tǒng)功能設置能否滿足系統(tǒng)目標,了解信息系統(tǒng)保障被審計單位信息資源共享���、業(yè)務有效開展和履行情況��,了解信息系統(tǒng)運維成本和效益并進行定量化分析處理�����,對比被審計單位信息系統(tǒng)規(guī)劃��、運營目標��,運用一定的評價方法(如平衡計分卡法���、層次分析法、模糊綜合法等)(張靜等�����,2011)進行評價,給出審計結論和審計建議�。就目前來說,信息系統(tǒng)的效率����、效果和效益審計在我國仍然處于理論和實踐探索階段,缺少規(guī)范的指導����,缺乏完善的評價指標體系,因此���,如何科學�����、準確地評價信息系統(tǒng)的效率�����、效果和效益��,仍然存在不小的難度�。
五、結束語
篇4
20世紀60年代�,隨著計算機技術開始運用于企業(yè)的信息收集和整理中,會計信息處理逐漸無紙化�,促使審計人員在執(zhí)行傳統(tǒng)審計業(yè)務時,必須關注以電子數(shù)據(jù)為載體的電子數(shù)據(jù)處理審計���。20世紀70年代中期至80年代,電子數(shù)據(jù)處理和管理系統(tǒng)等在企業(yè)中逐漸普及�,同時,計算機犯罪和計算機系統(tǒng)失效的事件頻頻發(fā)生��,使得信息系統(tǒng)審計日益得到重視并迅速發(fā)展�����。美國���、日本先后成立了IT審計方面的協(xié)會組織�����,從事對IT審計規(guī)則的制定和實施指導����。20世紀90年代,信息和信息系統(tǒng)已成為企業(yè)的重要資產��,企業(yè)和社會對信息系統(tǒng)控制和審計的需求愈發(fā)強烈�����。發(fā)達國家的信息系統(tǒng)審計進入普及期��,許多國家的審計機關��、學者和組織對計算機環(huán)境下的信息系統(tǒng)審計進行了有益的探索���。同時��,東南亞各國也逐漸認識到信息系統(tǒng)審計的重要性��,開始著手研究信息系統(tǒng)審計理論和實務�。
目前�����,我國信息系統(tǒng)審計僅有十幾年的歷史��,尚處于探索階段,既缺乏開展信息系統(tǒng)審計業(yè)務的人才隊伍�����,也沒有形成專業(yè)規(guī)范體系�����,所進行的一些計算機審計方面的探索和嘗試以及計算機審計軟件的開發(fā)和應用還大都停留在對被審計單位電子數(shù)據(jù)進行處理的階段��。存在的主要問題有:信息系統(tǒng)審計觀念落后����;信息系統(tǒng)審計相關的準則��、標準和規(guī)范尚不完善��;信息系統(tǒng)審計專業(yè)人才匱乏�;信息系統(tǒng)審計軟件開發(fā)工作滯后。1997年��,廣州地鐵開始公司“信息化”建設��。最初����,廣州地鐵經(jīng)營審計采用“繞過計算機審計”的方法���,即對導出數(shù)據(jù)進行審計。審計過程中�����,其逐漸意識到了運用這種“黑箱原理”審計方法的風險��。因此�����,2006年公司組建了專門的IT審計模塊����,探索“如何利用計算機審計”和“通過計算機審計”。其后���,廣州地鐵信息系統(tǒng)審計發(fā)展經(jīng)歷了借力���、助力和自立三個階段。一是借力期:IT審計模塊成立初期��,公司與外部顧問共同開展IT審計項目,通過外部專業(yè)人員向審計人員傳輸IT審計技能���,同時制定《IT審計實施細則》����,在人員技能儲備和制度上為IT審計模塊的發(fā)展奠定了基礎����。二是助力期:審計人員參照審計手冊,利用從外部顧問處學習到的審計技能�,逐步開展信息系統(tǒng)審計工作,將IT審計工作模式調整為以自身力量為主�����,外部咨詢服務為輔的模式���。三是自立期:2009年,廣州地鐵IT審計已基本實現(xiàn)自主化���,且IT審計模塊逐步走向成熟�,同時其還建立了具有自身特色的信息系統(tǒng)審計框架�����。目前,IT審計已經(jīng)發(fā)展成為廣州地鐵內部審計的一根“支柱”�,連同“內控審計”,作為基本的審計手段貫穿于各類專業(yè)審計工作中��,支持審計體系的鞏固與發(fā)展���。
二�、信息系統(tǒng)審計內容
1�����、國內外關于信息系統(tǒng)審計內容的研究
開展信息系統(tǒng)審計首先要明確審計內容�����。國際信息系統(tǒng)審計協(xié)會規(guī)定���,信息系統(tǒng)審計的主要內容包括信息系統(tǒng)程序審計�����、信息技術(IT)治理�����、系統(tǒng)生命周期管理����、IT服務的交付與支持、信息資產的保護�����、災難恢復和業(yè)務連續(xù)性計劃�。近十幾年來,國內的學者和組織也對信息系統(tǒng)審計的內容進行了探索和研究���。審計署在2012年頒布的《信息系統(tǒng)審計指南———計算機審計實務公告第34號》中明確提出了:信息系統(tǒng)審計包括對應用控制�����、一般控制和項目管理的審計����。其中�����,應用控制包括信息系統(tǒng)業(yè)務流程���,數(shù)據(jù)輸入�、處理和輸出的控制�,信息共享和業(yè)務協(xié)同;一般控制包括信息系統(tǒng)總體控制���、信息安全技術控制���、信息安全管理控制;項目管理包括信息系統(tǒng)建設的經(jīng)濟性����、信息系統(tǒng)建設管理、信息系統(tǒng)績效���。上述具有代表性的規(guī)定和研究成果對信息系統(tǒng)審計內容的劃分�,均是以對信息系統(tǒng)邏輯結構的分析為基礎�。全面分析信息系統(tǒng)的邏輯結構,可從信息系統(tǒng)的構成要素�、信息系統(tǒng)生命周期和信息系統(tǒng)管理三個維度進行描述:從構成要素來看,信息系統(tǒng)由人員�、應用(包括軟件平臺和應用系統(tǒng))�����、所采用的技術�、硬件設備����、數(shù)據(jù)文件運行規(guī)則組成;信息系統(tǒng)生命周期可劃分為信息系統(tǒng)的規(guī)劃階段�、開發(fā)階段、運行維護階段和更新階段���;從信息系統(tǒng)管理的維度來看�����,對系統(tǒng)的管理與控制活動貫穿于信息系統(tǒng)生命周期的始終�����,主要是通過有效執(zhí)行一系列健全有效的規(guī)章制度和管理規(guī)程來實現(xiàn)��。
2���、廣州地鐵信息系統(tǒng)審計實施框架
結合廣州地鐵信息化項目多、系統(tǒng)更新快�、數(shù)據(jù)集成度高、系統(tǒng)控制與手工控制并重等特點���,圍繞信息系統(tǒng)構成要素�、信息系統(tǒng)生命周期和信息系統(tǒng)管理三個維度��,廣州地鐵將信息系統(tǒng)審計的內容劃分為整體計算機控制審計�����、應用控制審計和系統(tǒng)建設效能評價三個方面����。其中,整體計算機控制審計是對信息系統(tǒng)運行中的控制活動進行審計�����,目的是合理保證由信息系統(tǒng)支持的業(yè)務流程控制是可靠的�、生成的數(shù)據(jù)和報告是可信的。應用系統(tǒng)控制審計是對業(yè)務流程中的自動化控制活動進行審計��,以合理保證交易的有效性、經(jīng)適當授權和記錄��、完成的完整性���、準確性和及時性�。項目及系統(tǒng)績效審計是對信息化項目的過程及成果對企業(yè)和業(yè)務產生的效益進行審計�,用來合理保證信息化項目的投資/產出比例符合建設的目標,以及信息系統(tǒng)對企業(yè)戰(zhàn)略起到的預期的支撐作用����。圍繞上述三個方面,廣州地鐵內部審計確立了以下的實施框架����。
(1)確立整體計算機控制安全、操作�、變更的三個評價維度,圍繞“信息系統(tǒng)全生命周期”���,明確整體計算機控制十個流程����。
廣州地鐵通過學習和借鑒國際信息系統(tǒng)技術管理和控制標準COBIT����,建立起了一套自己的整體計算機控制審計框架�?����?蚣芸砂戳鞒毯涂刂祁愋蛢煞N方式進行劃分�,兩種劃分方式在本質上是一致的�����。在按流程劃分出的每個子流程中�����,信息系統(tǒng)審計人員需要從變更�����、安全�����、操作的角度去確認和評估具體的控制點�;在按控制職能所作的劃分中�����,審計人員需要圍繞信息系統(tǒng)的策略與計劃�、信息系統(tǒng)操作����、與外部供應商關系、業(yè)務可持續(xù)計劃���、應用系統(tǒng)開發(fā)��、數(shù)據(jù)庫���、軟件支持、網(wǎng)絡���、硬件等十個子流程進行審計��。圍繞安全����、變更�、操作三個角度及十個子流程����,廣州地鐵共梳理出有關整體計算機控制的41項審計內容��,并針對每一項內容明確了控制目標和風險�����,建立起了一套完整的整體計算機控制矩陣����。例如�,信息系統(tǒng)策略和計劃子流程中,廣州地鐵明確了整體計算機控制的三大目標———信息系統(tǒng)戰(zhàn)略����、規(guī)劃和預算應與實際業(yè)務和戰(zhàn)略目標保持一致,計算機處理環(huán)境應得到具有適當技能和經(jīng)驗的人員的充分支持和保證�����,以及計算機處理環(huán)境中的人員應接受適當?shù)呐嘤?��,審計人員在此基礎上針對各控制目標�,識別并歸納出廣州地鐵現(xiàn)行的9個控制活動。在具體開展信息系統(tǒng)整體計算機控制審計時���,信息系統(tǒng)審計人員根據(jù)審計項目的特點和要求���,選擇需要評價的子流程,再對照子流程的控制活動進行評估及測試即可���。
(2)從內部控制目標出發(fā)����,將信息系統(tǒng)應用控制劃分為訪問控制����、完整性控制及數(shù)據(jù)質量控制三大方面。
廣州地鐵將信息系統(tǒng)的應用控制劃分為應用系統(tǒng)訪問控制�����、流程和系統(tǒng)完整性控制以及數(shù)據(jù)質量控制三大類����,并針對各類控制分別設計了不同的審計內容。一是應用系統(tǒng)授權訪問控制審計包括對系統(tǒng)的認證方式��、授權機制、權限的分配管理以及不相容職責分離在系統(tǒng)中的實現(xiàn)情況的審計�,目的在于保證經(jīng)過允許的人才能訪問和操作系統(tǒng)。二是流程和系統(tǒng)完整性控制審計是對系統(tǒng)輸入���、處理�、輸出以及接口等各種系統(tǒng)運行規(guī)則的審計����,用以保證所有經(jīng)允許處理的數(shù)據(jù)均轉換到介質上并被處理,且處理的結果可通過適當?shù)姆绞郊右暂敵?�,所有輸入��、轉換�����、處理和輸出均在正常的時間內準確地進行��。三是數(shù)據(jù)質量控制審計則是指對信息系統(tǒng)中的數(shù)據(jù)的完整性��、規(guī)范性和有效性所進行的審計���,旨在保證所有系統(tǒng)的輸出均反映為經(jīng)批準的有效的經(jīng)濟業(yè)務�����,所有經(jīng)過系統(tǒng)的數(shù)據(jù)真實�、有效�����,且能滿足企業(yè)各項業(yè)務的使用要求����。
(3)圍繞“信息化項目”和“信息系統(tǒng)”,綜合評價信息化建設的效益��。
在開展整體計算機控制審計和應用控制審計的基礎上�����,廣州地鐵從企業(yè)經(jīng)營和投資效益的視角出發(fā)�����,在信息系統(tǒng)審計中引入了3E審計的概念����,嘗試對信息系統(tǒng)建設項目的成效���、建成后系統(tǒng)的應用效能以及信息化對戰(zhàn)略的支撐效果進行審計。為了全面評價項目����,廣州地鐵通常將對單個信息系統(tǒng)建設項目的合規(guī)性審計與項目效能審計結合在一起開展。一是信息系統(tǒng)建設成效審計旨在通過對系統(tǒng)建設全過程的審計����,促進信息系統(tǒng)的建設規(guī)范性,提高信息系統(tǒng)建設的質量���。二是信息系統(tǒng)應用效能審計包括對業(yè)務需求的實現(xiàn)情況�����、建成功能的使用情況的審計分析,以及對系統(tǒng)應用對業(yè)務管理規(guī)范化����、標準化和精細化提升作用的綜合評價,目的在于促進系統(tǒng)使用價值的最大化��,減少系統(tǒng)建設的投資浪費�。三是戰(zhàn)略支撐效果審計是從支持戰(zhàn)略實現(xiàn)的角度���,評價信息系統(tǒng)的建設效益,保證信息化建設在符合業(yè)務管理要求的同時����,符合公司戰(zhàn)略的需要,支持公司戰(zhàn)略的實現(xiàn)���。
三�、信息系統(tǒng)審計實施步驟
信息系統(tǒng)審計步驟(或流程)���,是審計工作從開始到結束的整個過程�����。信息系統(tǒng)審計流程一般可劃分為四個階段:計劃階段����、實施階段�、報告階段和后續(xù)階段。計劃階段是信息系統(tǒng)審計流程的起點���,此階段的主要工作包括了解被審計系統(tǒng)的基本情況�,初步評價被審計單位信息系統(tǒng)的內部控制和外部控制,識別重要性和編制審計計劃��。實施階段是根據(jù)計劃階段確定的審計范圍�����、重點��、步驟和方法進行有針對性的取證���、評價���,并形成審計結論的過程。實施階段是信息系統(tǒng)審計工作的核心�,主要由符合性測試和實質性測試兩個部分構成。在報告階段�����,信息系統(tǒng)審計人員需運用專業(yè)判斷�����,整理���、評價收集到的審計證據(jù)����,以經(jīng)過核實的審計證據(jù)為依據(jù)�,形成審計意見,出具審計報告����。審計報告的出具并不意味著信息系統(tǒng)審計工作的終結���。根據(jù)國際信息系統(tǒng)審計標準���,信息系統(tǒng)審計人員對于系統(tǒng)中發(fā)現(xiàn)的重大問題和漏洞,需要對被審計單位所采取的糾正措施及其效果進行后續(xù)審計�����。審計人員需要將后續(xù)審計納入計劃�,并安排必要的人員和時間進行后續(xù)審計�。廣州地鐵IT審計模塊成立之初����,即明確了IT審計“對公司的系統(tǒng)流程與控制、項目進行審計”和“提供有益于增加公司價值的咨詢服務”兩項核心職責�,并圍繞公司戰(zhàn)略����,以“風險導向”�、“服務戰(zhàn)略”理念為指導,從信息系統(tǒng)審計戰(zhàn)略規(guī)劃和具體項目執(zhí)行兩個層面分別制定信息系統(tǒng)審計的流程���。
1、以公司戰(zhàn)略為導向,制定信息系統(tǒng)審計的戰(zhàn)略規(guī)劃
一直以來�����,廣州地鐵奉行“源于戰(zhàn)略��、服務于戰(zhàn)略”的現(xiàn)代審計理念���。這一理念主要體現(xiàn)在兩個方面:一是在制定內審工作計劃時,從公司戰(zhàn)略出發(fā)����,制定各個內審業(yè)務及各專業(yè)審計模塊的戰(zhàn)略���,并以業(yè)務戰(zhàn)略為指導����,開展具體的審計工作�����;二是在開展審計項目的過程中���,始終從保障公司戰(zhàn)略執(zhí)行的角度去發(fā)現(xiàn)問題���、評價問題�,提出整改意見和落實整改���。信息系統(tǒng)審計的戰(zhàn)略規(guī)劃來源于公司的戰(zhàn)略���,以及以公司戰(zhàn)略指導制定的公司信息系統(tǒng)戰(zhàn)略規(guī)劃和內部審計業(yè)務戰(zhàn)略規(guī)劃;同時還須結合公司信息化現(xiàn)狀和IT審計模塊定位�,明確廣州地鐵IT審計發(fā)展戰(zhàn)略目標。
2�����、通過風險評估����,確定各信息系統(tǒng)風險等級,制定層次分明����、重點突出的信息系統(tǒng)循環(huán)審計計劃
為利用有限的審計資源掌握公司主要信息系統(tǒng)的建設、運營情況�����,保障信息資源的有效利用,降低公司信息系統(tǒng)的整體風險�,廣州地鐵建立了一套“根據(jù)信息系統(tǒng)風險評級制定差異化的審計策略”。
(1)梳理信息系統(tǒng)脈絡�����,全面掌握信息系統(tǒng)現(xiàn)狀�����。
廣州地鐵結合信息系統(tǒng)規(guī)劃��、建設和運營的情況及系統(tǒng)分類梳理出被審計信息系統(tǒng)清單��,并從系統(tǒng)構成要素的角度收集系統(tǒng)相關的信息�。這些信息包括系統(tǒng)名稱��、功能模塊�����、采用產品等基本信息���,以及項目的建設信息�、系統(tǒng)的使用狀況和運維的基本情況。這些信息是風險評分的依據(jù)����,也為后續(xù)開展具體審計工作時確定審計方案提供了指引。
(2)開展信息系統(tǒng)風險評級�����,制定風險導向型審計計劃���。
內審人員從通用風險��、業(yè)務風險����、項目風險�、系統(tǒng)風險、數(shù)據(jù)風險和人員風險六大風險類別出發(fā)��,全面識別信息系統(tǒng)各類構成要素中存在的風險����;對信息系統(tǒng)進行風險評價,根據(jù)風險得分將信息系統(tǒng)按優(yōu)先級分別劃分為高、中����、低三類。結合公司IT審計資源的情況�����,對優(yōu)先等級高的系統(tǒng)采用三年一審策略�,中等級系統(tǒng)5—6年一個審計周期,風險等級低的系統(tǒng)則根據(jù)需要安排審計�����。在此審計策略的基礎上����,再綜合考慮公司業(yè)務的十大風險����、領導關注事項、上一年度內控評價結果和審計項目成果��、公司新一年的工作重點����、公司信息系統(tǒng)的變動情況�,并制定出本年度的信息系統(tǒng)審計計劃����。
3、以風險為導向��,開展信息系統(tǒng)審計
在項目實施階段��,審計人員必須從公司整體信息系統(tǒng)控制環(huán)境和被審計系統(tǒng)的狀況���、流程與內部控制兩個方面進一步收集被審計系統(tǒng)的相關資料�����,了解和確認被審計單位已建立的內部控制措施���,并對這些控制措施的設計是否達到控制目標進行評估。
(1)以“輪流循環(huán)+以點帶面”的方式開展整體計算機控制審計�����。
公司的信息化業(yè)務采用統(tǒng)一集中管理的模式�,整體計算機控制對各個系統(tǒng)具有一定的通用性����。因此��,在實務操作中�,廣州地鐵采用“以點帶面”的策略,以單個信息系統(tǒng)整體計算機控制為切入點對整體計算機控制進行審計����,評價整體信息系統(tǒng)的安全性;同時�,考慮到信息系統(tǒng)在一定時間內相對穩(wěn)定,因此在實施整體計算機控制審計時可采取輪流測試的方式�����,即每年從十個子流程中選取幾個進行測試���,經(jīng)過一定周期后�����,完成對整體計算機控制的全面審計。例如����,在2011年開展的信息安全審計項目中����,審計人員就圍繞信息安全這個審計主題�,從十個子流程中選取了與信息安全直接相關的信息系統(tǒng)操作、信息系統(tǒng)安全��、業(yè)務可持續(xù)計劃��、應用系統(tǒng)開發(fā)與實施�、數(shù)據(jù)庫開發(fā)與實施和系統(tǒng)軟件支持等六個流程進行審計。分步�、循環(huán)開展整體計算機審計,在審計風險可控的情況下�����,大大節(jié)省了審計資源��,也使得審計人員能夠更加深入地挖掘和分析整體計算機控制方面所存在問題以及問題的成因���,提出更為切實可行��、同時又符合公司信息化業(yè)務發(fā)展現(xiàn)狀和要求的整改措施����。
(2)以風險為著眼點,確定應用控制審計重點�。
應用控制是各個信息系統(tǒng)內部所建立的控制機制,應用控制審計必須針對某個具體信息系統(tǒng)開展����。在開展應用控制審計的過程中,審計人員應緊緊圍繞“風險”這個著眼點�����,通過對原有業(yè)務成熟度和系統(tǒng)建設過程中風險的評估��,選擇不同的審計側重點開展應用控制審計��。例如�����,在合同管理系統(tǒng)審計項目中����,由于合同管理系統(tǒng)是全新開發(fā)的系統(tǒng)�����,審計人員經(jīng)分析,判定系統(tǒng)在應用系統(tǒng)訪問控制方面的風險較高�����。而在進行控制評估和測試后����,審計人員發(fā)現(xiàn)業(yè)務人員在創(chuàng)建系統(tǒng)權限設置機制時完全套用了公司辦公自動化系統(tǒng)的權限機制,而未針對合同業(yè)務流程中不同于公司組織架構下的角色設立相應的用戶組�����,導致系統(tǒng)無法實現(xiàn)合同經(jīng)辦人與審批人職責的分離�,存在重大的內控風險�����。
四��、信息系統(tǒng)審計方法
在信息系統(tǒng)審計中�����,可因地制宜�����,綜合運用多種學科的技術方法�,包括:傳統(tǒng)審計中內部控制測評的基本方法和審計取證的基本方法(包括審閱、核對�����、監(jiān)盤��、觀察�����、查詢���、函證��、計算�、分析性復核)��;計算機科學的技術方法��,如數(shù)據(jù)測試法、程序編碼審查法���、受控處理法�����、受控再處理法、整體測試法��、平行模擬法����、程序比較法、漏洞掃描�、入侵檢測、嵌入審計程序法等等��;行為科學的技術方法����,如運用組織發(fā)展的理論與方法、個體行為一般規(guī)律的理論和方法��。這些方法與技術并不是孤立的����,而是互相聯(lián)系的���。目前,廣州地鐵在信息系統(tǒng)審計中所運用的方法仍主要集中在傳統(tǒng)的內控審計方法和信息系統(tǒng)管理的技術方法兩個領域�����,具體包括詢問����、觀察、文件復核�、抽樣、重新執(zhí)行����、使用計算機輔助軟件等。在部分項目中��,也采用了一些計算機科學的技術方法��。受限于審計資源不足����,廣州地鐵較少采用程序比較法���、平行模擬法、程序編碼審查法等高成本的審計方法�����,而傾向于選用一些較為高效的測試方法��。但這些高效方法的運用不能完全消除審計風險�,這就需要審計人員根據(jù)自身的經(jīng)驗盡量避免��。
1����、傳統(tǒng)審計方法的運用
廣州地鐵在開展信息系統(tǒng)審計過程中較多運用傳統(tǒng)審計的方法。例如����,在對信息系統(tǒng)整體計算機控制進行審計時,通過對系統(tǒng)使用人員的訪談�����、調研和對系統(tǒng)各項操作的觀察��,梳理出整體計算機控制相關的各種控制活動。在沒有測試環(huán)境的情況下對生產在用信息系統(tǒng)的人機交互界面和功能進行調查和確認時�����,審計人員大量運用了觀察的方法���。在對固定資產信息系統(tǒng)模塊進行審計中���,審計人員通過觀察物資采購人員、資產管理人員�、會計核算人員在系統(tǒng)中的操作界面、系統(tǒng)實現(xiàn)效果以及業(yè)務操作流程來了解系統(tǒng)功能的構造���。發(fā)現(xiàn)采購中的供應商信息在跨系統(tǒng)流程過程中丟失���,導致財務系統(tǒng)和實物管理的MAXIMO系統(tǒng)的資產臺賬中均缺少供應商信息,致使日后采購同類物資時����,采購人員無法獲取歷史采購信息作為參考,增加了市場調研成本�。除內控矩陣和訪談、觀察等方法之外���,編制流程圖����、數(shù)據(jù)流圖和報表流圖也是信息系統(tǒng)審計經(jīng)常使用的方法。
2�、計算機科學技術方法的運用
計算機科學技術方法是信息系統(tǒng)審計特有的方法,來源于IT行業(yè)的信息技術的轉換應用���,主要包括基于數(shù)據(jù)分析的方法和基于程序分析的方法���,這些方法的綜合使用使得對信息系統(tǒng)的審計更加有效�。具體方法的選用需視被審計系統(tǒng)的實際情況而定。在一個審計項目中���,廣州地鐵審計人員經(jīng)常將多種方法結合使用�����。例如��,在票務收入系統(tǒng)審計項目中���,審計人員首先采用數(shù)據(jù)測試法��,使用正常及非正常的測試地鐵票搭乘地鐵�,在系統(tǒng)中跟蹤測試票的處理情況���,以驗證系統(tǒng)處理與控制功能是否均有效��;在對系統(tǒng)中后期內部開發(fā)的車站單程票售賣功能進行審計時�����,審計人員采用了程序編碼審查法���,對系統(tǒng)的源程序編碼進行審查,審查后發(fā)現(xiàn)單程票售賣金額統(tǒng)計報表在進行數(shù)據(jù)處理時省略了小數(shù)點后的尾數(shù)����,導致報表金額存在偏差;在對票務系統(tǒng)的清分報表進行驗證時���,審計人員又采用了平行模擬法����,抽取系統(tǒng)中一段時間內的正式交易記錄��,在系統(tǒng)外模擬系統(tǒng)的處理規(guī)則對交易記錄進行處理,并將處理結果與系統(tǒng)的報表數(shù)據(jù)進行核對�,結果發(fā)現(xiàn)系統(tǒng)在數(shù)據(jù)傳遞和處理過程中,由于系統(tǒng)對于異常數(shù)據(jù)的審核過于嚴格�����,導致部分正常數(shù)據(jù)被當作垃圾數(shù)據(jù)丟進異常庫���,給公司造成票務損失�����。
3�����、計算機輔助審計軟件的應用
計算機輔助審計軟件的應用是信息系統(tǒng)審計的一個顯著特點,也是審計人員準備階段需要重點關注的問題之一����。目前,廣州地鐵對計算機輔助審計軟件的應用主要體現(xiàn)在以下兩個方面�����。
(1)對系統(tǒng)中數(shù)據(jù)的準確性、完整性和一致性的檢查�。
例如,在合同管理系統(tǒng)審計項目中��,為核對系統(tǒng)接口程序的可靠性����,審計人員利用審計輔助軟件快速完成了對合同系統(tǒng)和財務系統(tǒng)數(shù)據(jù)一致性的核對,迅速查找出兩個系統(tǒng)中不一致的數(shù)據(jù)���。經(jīng)過深入分析��,審計人員發(fā)現(xiàn)由于財務核算人員在財務系統(tǒng)中復核合同支付數(shù)據(jù)時發(fā)現(xiàn)錯誤����,將支付申請退回給合同系統(tǒng)再由合同經(jīng)辦人重新填報時��,合同系統(tǒng)未對已生成的支付信息進行更新�����,導致上述問題的出現(xiàn)�。針對海量數(shù)據(jù)處理系統(tǒng),數(shù)據(jù)驗證是審計的重點���,計算機輔助軟件是“不可或缺”的審計工具����。在地鐵票務收入保障審計項目中,審計人需要通過數(shù)據(jù)驗證的方式對業(yè)務處理的核心系統(tǒng)———自動售檢票(AFC)系統(tǒng)中的系統(tǒng)傳輸和處理機制進行驗證�����。為此�,審計人員共設計了8大類29子類47個數(shù)據(jù)驗證主題。審計時�����,審計人員運用計算機輔助審計技術�,在兩個月內完成了對AFC系統(tǒng)中10天總計超過3億條運營數(shù)據(jù)的驗證工作。
(2)利用計算機輔助軟件進行對比測試��。
即審計人員從信息系統(tǒng)中抽取某部門樣本數(shù)據(jù)�����,將樣本數(shù)據(jù)輸入到與計算機輔助軟件中進行處理����,把審計軟件輸出的結果與業(yè)務系統(tǒng)產生的結果進行對比分析,以判定業(yè)務系統(tǒng)的可靠性與準確性���。廣州地鐵在已開展的運營票務收入保障審計項目中大量地使用了此種方式����。審計人員將各車站站務人員在票務系統(tǒng)中錄入的售票數(shù)據(jù)導入到計算機輔助軟件中��,按照業(yè)務規(guī)則對數(shù)據(jù)進行處理���,將處理結果和系統(tǒng)輸出的結果進行對比��。經(jīng)對比�����,審計人員發(fā)現(xiàn)票務系統(tǒng)在處理異常數(shù)據(jù)時過于嚴格����,導致部分非異常數(shù)據(jù)被系統(tǒng)當作異常數(shù)據(jù)丟入異常庫中��,給公司造成票務損失�����。
4、信息系統(tǒng)審計與業(yè)務內控審計相結合
篇5
木桶效應又稱木桶原理或短板理論�����,是由美國管理學家彼得提出來的�����,其核心內容為:一只木桶的盛水量取決于最短的那一塊木板的長度�����。木桶效應蘊含以下三個推論:其一�����,只有桶壁上的所有木板都足夠高���,木桶才能盛滿水�;其二�����,只要桶壁上有一塊木板不夠高�����,木桶里的水就不可能是滿的����;其三,只有木桶的底板��、側板自身有足夠的結實度及相互之間有足夠的緊密結合度����,才能保證木桶盛水功能的完備,不漏水����。木桶效應以人們所熟知的生活常識,形象����、巧妙地揭示出整體優(yōu)化面臨的共性問題,即最佳結構選擇問題:整體的實力和競爭力取決于整體內各部分有機組合而成的結構�,結構的變化制約著整體的發(fā)展變化,最終導致整體性能的改變��。木桶效應的形象生動及其蘊含的深厚哲理使得它被引用的頻率越來越高、應用的范圍也越來越廣���。木桶效應中的“木桶”不僅可象征企業(yè)或其內審機構等實體性組織��;也可象征組織的某項職能�����,如內部審計職能�。內部審計職能著眼于組織整體�����,較內部審計機構更為宏觀��,也是本文的立足點��。如果將內部審計職能看作一只木桶��,影響內部審計職能發(fā)揮的目標�����、組織���、行為及管理等四大因素猶如組成木桶的四大板塊����,任何一個板塊成為短板或存在漏洞,都會產生木桶溢出的負效應���,制約內部審計職能發(fā)揮,因此�����,需要應用系統(tǒng)管理理論方法將這四大因素科學管理起來��,避免短板或漏洞的產生�,保障內部審計職能發(fā)揮。
二��、內部審計的系統(tǒng)管理模式分析
系統(tǒng)管理理論��,把管理對象看成是特定的系統(tǒng)�����,以系統(tǒng)思想為指導��,以系統(tǒng)功能最佳為目標,運用系統(tǒng)管理方法����,把握住系統(tǒng)的組成要素及要素之間的聯(lián)系,對各要素進行高效率的計劃��、組織����、指導和控制,及時調整和控制系統(tǒng)的運行��,以實現(xiàn)系統(tǒng)全過程的動態(tài)優(yōu)化管理��,最終實現(xiàn)系統(tǒng)目標�����。根據(jù)系統(tǒng)管理理論�,設計系統(tǒng)管理模式的一般方法是先進行系統(tǒng)的總體設計,然后進行各子系統(tǒng)或具體問題的研究�。內部審計系統(tǒng)主要包括目標、組織��、行為和管理等要素��,各要素之間存在著錯綜復雜的內在聯(lián)系,且各要素本身又是由若干子要素組成的子系統(tǒng)����,構成一個完整的內部審計系統(tǒng)。
1.內部審計目標系統(tǒng)����。
目標系統(tǒng)是內部審計所要達到的最終狀態(tài)的描述系統(tǒng)。由于內部審計是隸屬于企業(yè)內部的一項職能���,企業(yè)的每一項職能都要圍繞企業(yè)的核心目標而用力,國際及中國內部審計協(xié)會對內部審計目標進行了恰當定位���,即為了組織增加價值并提高組織的運作效率�,幫助組織實現(xiàn)其目標�。可見����,內部審計根植于企業(yè)目標而存在,為最終實現(xiàn)企業(yè)目標保駕護航�����。內部審計目標系統(tǒng)包含系統(tǒng)目標、子目標和可執(zhí)行目標三個層次��,其中系統(tǒng)目標即企業(yè)目標�����;子目標即開展的每一項審計項目的總括性目標�����,向上與系統(tǒng)目標銜接一致�����;可執(zhí)行目標用于確定審計項目的詳細構成��,向上與項目目標銜接一致����,應具有可操作性,便于審計人員具體執(zhí)行����,通過“自上而下”及“自下而上”雙向控制,最終達到實現(xiàn)整個內部審計目標的目的。
2.內部審計組織系統(tǒng)�。
內部審計組織系統(tǒng)是由參與完成審計工作、實現(xiàn)內部審計目標的個人和機構組成�。內部審計組織系統(tǒng)具有開放性,在進行內部審計組織系統(tǒng)設計時���,應考慮以下幾點:一是把握突出內部審計的獨立性和權威性原則�;二是內部審計機構與董事會或者最高管理層的關系���,根據(jù)第2302號內部審計具體準則規(guī)定��,內部審計機構與董事會或者最高管理層存在組織隸屬關系��,應當接受董事會或者最高管理層的領導并向其報告,保持良好的關系����,積極尋求其對審計工作的理解與支持,增強內部審計的權威性及審計工作開展的便利性�����;三是內部審計機構及人員相對于同層級管理機構及人員應具有相對的獨立性和權威性����,便于審計工作開展���。
3.內部審計行為系統(tǒng)。
內部審計行為系統(tǒng)是由完成內部審計項目或任務���、實現(xiàn)內部審計目標所有必需的內部審計活動構成的�����,包括審計目標�、審計制度�����、審計計劃�、審計工作方案制定、審計項目實施以及審計建議落實等�����。這些活動之間存在各種各樣的邏輯聯(lián)系�,構成一個有序的動態(tài)系統(tǒng),設計內部審計的行為系統(tǒng)�����,應注意以下幾點:一是應包括實現(xiàn)內部審計目標系統(tǒng)必需的所有工作,并將它們納入計劃和控制過程中�����;二是按照內部審計準則及制度實施審計項目����,保證審計項目實施程序化、規(guī)范化�;三是保證內部審計行為系統(tǒng)與企業(yè)內其他機構、部門及個人行為之間良好的協(xié)調��。
4.內部審計管理系統(tǒng)�。
內部審計管理系統(tǒng)是指為使內部審計達到應有的效果,對內部審計的目標��、組織及行為系統(tǒng)所采取的控制措施總和�。為最終確保內部審計目標的實現(xiàn)��,內部審計管理系統(tǒng)從總體上應完成如下工作:一是對內部審計的目標系統(tǒng)進行策劃��、論證和控制��,使之與企業(yè)目標相統(tǒng)一;二是對內部審計的行為系統(tǒng)進行計劃和控制��,使之符合內部審計準則及制度的規(guī)定�����,保障審計質量���;三是對內部審計的組織系統(tǒng)進行設置�����、協(xié)調和指揮��,使之保持相對的獨立性和權威性�����,利于審計工作開展及審計目標實現(xiàn)�����。
三��、結語
篇6
隨著會計電器化的廣泛應用���,傳統(tǒng)內部審計面臨著新的挑戰(zhàn)�,從而出現(xiàn)了電算化會計系統(tǒng)的內部審計�����。
一����、計算機會計系統(tǒng)內部審計的特點
計算機會計系統(tǒng)內部審計的特點,首先是審計的系統(tǒng)性����,要對數(shù)據(jù)、硬件���、軟件等各種要素進行系統(tǒng)的分析和檢查�����,才能確定輸出結果的正確性����,作出可靠的審計結論�����。第二是審計的復雜性���,這是由被審系統(tǒng)數(shù)據(jù)處理方式����、數(shù)據(jù)貯存方式���、系統(tǒng)控制方式���、應用系統(tǒng)和電子計算機輔助審計技術的多樣性和復雜性所決定的。第三是審計資料的隱蔽性����、敏感性和易逝性,這是由于審計線索主要以兩種形式存在:一種是肉眼可以看見的審計線索���,如輸入的原始憑證��、記賬憑證等原始文件���、打印出來的會計賬簿��、會計報表等�����;另一種是肉眼看不見的����,如存儲在軟盤或硬盤上的會計數(shù)據(jù)庫資料等�。第四是審計的運行性,即在不斷運行的系統(tǒng)中進行審計和監(jiān)督�。
二、計算機會計系統(tǒng)內部審計的內容
內部審計可以從硬件和軟件的系統(tǒng)控制和實質性審查兩個方面來進行審計�����。
l�����、內控制度的審計���。對內部控制制度的審查與評價����,既是審計的基礎,又是審計的前提�。從實施的角度來看�,內部控制有些是通過程序來實施的,有些則是通過制度約束來實現(xiàn)的��。通過程序的設計和運行來實施控制的“程序化”控制��,和通過建立管理工作制度來完成控制的“制度化”控制�,必須通過內部審計來確保其實施,才能使計算機會計系統(tǒng)的安全�����、可靠和穩(wěn)定得到雙重保險��。在電算化條件下��,雖然仍要審查傳統(tǒng)審計的一些內容��,但重點主要在于系統(tǒng)軟硬件及數(shù)據(jù)的內部控制�����。
內部審計人員應在本單位以上各方面制度的制定過程中�,積極發(fā)揮參謀作用����,并在以上制度的實施過程中�,定期審計或突擊檢查,查找內部控制的弱點�,提出改進措施,使制定的內部控制制度得以執(zhí)行�,以保證會計數(shù)據(jù)的安全性、有效性�����、完整性和準確性��。
2�����、實質性審計����。在手工條件下,審計主要是對書面資料進行審查���。在電算化條件下�,會計核算由計算機在程序的控制下完成,除了審查輸入和輸出數(shù)據(jù)�����,還要審查電子計算機程序和貯存在機內的數(shù)據(jù)文件�����。因此審計工作重點轉移至對會計軟件合法性���、正確性的審查和對機內數(shù)據(jù)文件的審計方面。
三�、計算機會計系統(tǒng)內部審計的方法
針對電算化會計系統(tǒng)審計的特點,結合本系統(tǒng)的工作實際�����,我們已由以前的“繞過計算機”的審計方法���,轉向在計算機輔助審計的基礎上進行“通過計算機”的審計方法:計算機技術和經(jīng)濟管理的結合�����,極大地提高了管理工作的現(xiàn)代化水平�。其中發(fā)展最快、應用效果最顯著的��,是計算機在會計工作中的應用����。
隨著會計電器化的廣泛應用,傳統(tǒng)內部審計面臨著新的挑戰(zhàn)���,從而出現(xiàn)了電算化會計系統(tǒng)的內部審計���。
一、計算機會計系統(tǒng)內部審計的特點
計算機會計系統(tǒng)內部審計的特點����,首先是審計的系統(tǒng)性,要對數(shù)據(jù)����、硬件、軟件等各種要素進行系統(tǒng)的分析和檢查�����,才能確定輸出結果的正確性,作出可靠的審計結論���。第二是審計的復雜性��,這是由被審系統(tǒng)數(shù)據(jù)處理方式��、數(shù)據(jù)貯存方式���、系統(tǒng)控制方式、應用系統(tǒng)和電子計算機輔助審計技術的多樣性和復雜性所決定的���。第三是審計資料的隱蔽性、敏感性和易逝性����,這是由于審計線索主要以兩種形式存在:一種是肉眼可以看見的審計線索,如輸入的原始憑證�����、記賬憑證等原始文件�、打印出來的會計賬簿、會計報表等�����;另一種是肉眼看不見的,如存儲在軟盤或硬盤上的會計數(shù)據(jù)庫資料等���。第四是審計的運行性�,即在不斷運行的系統(tǒng)中進行審計和監(jiān)督�����。
二�����、計算機會計系統(tǒng)內部審計的內容
內部審計可以從硬件和軟件的系統(tǒng)控制和實質性審查兩個方面來進行審計��。
l����、內控制度的審計。對內部控制制度的審查與評價����,既是審計的基礎,又是審計的前提�。從實施的角度來看�����,內部控制有些是通過程序來實施的�,有些則是通過制度約束來實現(xiàn)的�����。通過程序的設計和運行來實施控制的“程序化”控制����,和通過建立管理工作制度來完成控制的“制度化”控制,必須通過內部審計來確保其實施�,才能使計算機會計系統(tǒng)的安全、可靠和穩(wěn)定得到雙重保險��。在電算化條件下����,雖然仍要審查傳統(tǒng)審計的一些內容�,但重點主要在于系統(tǒng)軟硬件及數(shù)據(jù)的內部控制。
內部審計人員應在本單位以上各方面制度的制定過程中�,積極發(fā)揮參謀作用,并在以上制度的實施過程中����,定期審計或突擊檢查�����,查找內部控制的弱點���,提出改進措施,使制定的內部控制制度得以執(zhí)行�����,以保證會計數(shù)據(jù)的安全性��、有效性��、完整性和準確性�����。
2�、實質性審計。在手工條件下��,審計主要是對書面資料進行審查���。在電算化條件下���,會計核算由計算機在程序的控制下完成�����,除了審查輸入和輸出數(shù)據(jù)�,還要審查電子計算機程序和貯存在機內的數(shù)據(jù)文件�。因此審計工作重點轉移至對會計軟件合法性、正確性的審查和對機內數(shù)據(jù)文件的審計方面��。
篇7
信息系統(tǒng)審計對審計人員的素質要求較高�����,既需要熟悉計算機技術��,同時又要精通人民銀行各項業(yè)務�。目前�,從現(xiàn)有的人民銀行內審人員構成來看,具有計算機專業(yè)背景人員較少����,從而制約了信息系統(tǒng)審計開展的深度和廣度��。尤其是中心支行這一級����,大部分單位缺少信息技術審計人員��,即使有在數(shù)量上也很少��,難以獨立開展高質量的信息技術審計項目���。
二����、轉型環(huán)境下提高基層人民銀行信息系統(tǒng)審計水平的對策
(一)創(chuàng)新審計流程���,強化信息系統(tǒng)事前和事中審計��。信息系統(tǒng)審計是以保證計算機信息系統(tǒng)安全平穩(wěn)運行���,有效控制風險為目標的,如果僅從合規(guī)性的角度進行信息系統(tǒng)審計����,無法達到上述目標�,因此�����,開展信息系統(tǒng)審計的目的不僅要善于發(fā)現(xiàn)問題���,有效防范已暴露的風險��,更要分析化解潛在的風險���,以提高審計效果。這就要求我們要創(chuàng)新審計流程�,改變傳統(tǒng)審計方法,采用“參與式”的審計方式�����,加強與科技等部門的溝通交流����,重視事前與事中審計。一要完善溝通機制���?�?萍寂c系統(tǒng)應用部門應及時將制定的有關制度���、操作規(guī)程、系統(tǒng)運行中的事故情況��、解決措施����、處理結果發(fā)送給內審部門;內審部門應就審計系統(tǒng)時發(fā)現(xiàn)的問題����,及時向科技和系統(tǒng)應用部門進行通報和反饋,并與他們定期或不定期地磋商�����、交流���,了解各業(yè)務系統(tǒng)運行情況�����,更好地發(fā)揮信息系統(tǒng)審計的作用��。二要組織審計人員參與新系統(tǒng)的開發(fā)�����、評估�,并設計滿足審計業(yè)務需要的功能,真正做到對信息系統(tǒng)的事前和事中審計��。三是在審計過程中采用“參與式”審計方法����,參與信息系統(tǒng)審計目標、內容����、計劃的制訂,參與審計中發(fā)現(xiàn)問題的分析��、討論����,參與信息系統(tǒng)風險的評估及改進措施的制訂等。
(二)確立風險導向審計��,從風險管理的視角推動信息系統(tǒng)審計。對信息系統(tǒng)的審計��,往往需要對信息系統(tǒng)的潛在風險進行分析評估���,這就需要引入風險導向審計。風險導向審計的重點是分析評估系統(tǒng)固有�、控制和檢查三類風險。即:評估分析計算機系統(tǒng)本身存在的脆弱性��,如容易感染病毒��、易受到侵害�����、攻擊以及軟件����、硬件、網(wǎng)絡方面出現(xiàn)的故障等����;分析評估系統(tǒng)操作人員沒有按照內控制度的要求進行操作,而又沒有被內控防止或者糾正的可能性��;分析評估審計人員沒有進行實質性測試而不能發(fā)生被審計單位差錯的可能性。通過風險分析評估�����,量化各類風險的大小���,從而把審計資源集中到高風險的審計領域�,以最大限度降低信息系統(tǒng)審計風險����,提高信息系統(tǒng)審計的質量。
篇8
一���、電子商務系統(tǒng)審計的必然性和必要性
在商業(yè)活動實現(xiàn)網(wǎng)絡化之前�,采購是面對面或通過紙質文件進行的����,有跡可查,即使是電子交易���,其設備結構是專用的�����,一般只限于已知用戶使用��,任何外部用戶必須是已知的����、身份明確的、可追蹤的��;系統(tǒng)通常是主機結構方式���,相對易于監(jiān)督、控制和審計��。與傳統(tǒng)商業(yè)相比�,萬維網(wǎng)客戶/服務器系統(tǒng)的特點是高度分散,資源共享�����、服務分散�、顧客透明度高等,而電子商務的運作速度更快��、業(yè)務循環(huán)周期更短�����、風險更大、更高程度地依賴于技術����。電子商務系統(tǒng)的技術基礎和市場的快速變化意味著傳統(tǒng)的衡量方法已不再適用于企業(yè)的某些資產,財務報告不能充分提供企業(yè)的狀況和價值方面的信息���,特別是網(wǎng)絡企業(yè)的無形資產���,如商譽、客戶忠誠度和滿意程度等這些產生長期價值的關鍵資產�����。核實確認這類資產價值的困難在于缺乏足夠的歷史數(shù)據(jù)����、合適的參照標準、先進的實踐經(jīng)驗以及對網(wǎng)絡的各種威脅和概率的準確估算����。企業(yè)管理層以及公眾都需要尋找能夠用以表述網(wǎng)絡企業(yè)的可信度、安全性及其他資產價值的方法���,需要一些新的核查和審計方法�����,更有效地評價無形資產�����,如知識���、品牌等���。因此���,電子商務系統(tǒng)審計就成為歷史的必然����。由于�,電子商務的可靠性、適用性��、安全性和性能等方面受到的威脅或存在的風險����,都可能會影響其生存和發(fā)展��。風險因素包括:商業(yè)信息的泄露����、智能財產的不當使用���、對版權的侵犯�����、對商標的侵犯��、網(wǎng)絡謠言和對信譽的損害等���。因此,進行必要和客觀的審計����,才會使董事會、審計委員會��、高級管理層對電子商務系統(tǒng)的安全運作和效益滿意和放心。
二�、網(wǎng)絡風險和風險管理
網(wǎng)絡風險如同自然災害一樣不可預見。風險管理的關鍵在于風險評估��,風險評估就是要分析和衡量風險事件發(fā)生的概率及后果�,引起風險的因素及其關聯(lián)因素,出現(xiàn)風險的關鍵點采取什么方法能夠減緩風險�����,風險出現(xiàn)造成后果如何�,以及評價管理層是否履行了應有的職業(yè)審慎進行防范和控制。同時在評估中還要為各項因素設計評價比率�,計算各種風險的影響后果,根據(jù)影響和后果排序�����,對高風險因素作進一步的分析�����。
通過風險評估�,可以認識到潛在風險(威脅)及其影響����,以便對高風險領域作一些防范���、檢測、控制��、減緩和恢復的工作計劃和安排���。這些計劃和安排應涵蓋對各項控制成本����,主要是指接受����、避免、轉移��、監(jiān)測成本的分析以及各項工作的先后次序��。
三����、電子商務系統(tǒng)審計中網(wǎng)站的合法性證明
網(wǎng)絡終端用戶都會關注網(wǎng)站是否來自一個真實的、可靠的機構���,提供的信息是否準確真實�����,機構背景是否正當合法�����,個人信息的隱私權是否得到保護等���。所謂隱私權是指對個人的數(shù)據(jù)/信息的搜集必須合法��、公平�,必須用于某一特定����、公開的目的,必須取得該個人的同意并受到保護�,本人必須有權進入系統(tǒng)進行修改或刪除,信息的越域流動和將來的使用�、披露必須予以安全保證和限制等。
解決這些網(wǎng)站合法性問題的途徑之一就是由一公證機構提供可靠的證明�,以使網(wǎng)絡終端用戶能對網(wǎng)站提供的電子商務放心���。如Verisign�����,TRUSTe��,BBBOnline����,WebTrust,SysTurst等都是具有良好的信譽并且提供證明-查證服務的專業(yè)組織機構��。網(wǎng)絡終端用戶可以通過查詢這些公證機構的記錄���,獲得確認被訪問網(wǎng)站的名稱����、有效狀態(tài)�、服務器標識等信息。
四���、內部審計和電子商務系統(tǒng)審計
美國注冊會計師協(xié)會對“核實查證”的定義是“提高決策者所需要信息的質量或內容的獨立性專業(yè)服務��?��!逼鋵徲嬙瓌t是保證系統(tǒng)的可用性�、安全性��、真實完整性和持續(xù)性��,建議對系統(tǒng)安全性和真實完整性方面存在的控制點進行檢查���、評價和測試�����。并盡量在今后采用合適的審計標準對信息技術進行審計��。不同于以年度為基礎的傳統(tǒng)外部審計�,電子商務的實時性要求審計人員應對其進行連續(xù)不斷的評估����,按特定的審核標準對已發(fā)生的交易進行追蹤,而系統(tǒng)內設置的自動登錄記錄可作為相應的審計軌跡��,在系統(tǒng)內部實施對事件監(jiān)督和控制�����。
盡管當前許多人認為核實查證通常與外部審計人員相關��,內部審計人員則在公司內部出具審計報告�。然而,國際內部審計師協(xié)會對電子商務系統(tǒng)審計的要求則是:審計控制目標主要是審計財務報告制度�����、經(jīng)營的效益和效率�、合規(guī)性和保護財產安全等方面。審計模式應該建立在系統(tǒng)的可用性�、容量、功能�����、保護和可靠性的基礎上���。例如����,內部審計對網(wǎng)絡企業(yè)控制水平的獨立評價�,使得客戶了解到企業(yè)提供的數(shù)據(jù)將不會被有意或無意地濫用。再如�����,企業(yè)目標是建立電子商務以降低成本、提高市場占有率��,那么電子商務風險是隨著網(wǎng)絡交易的增加而增加��,以至于不能確保交易的安全性或分辨用戶的可靠性�,因此,所需要的控制就是對用戶的真實性進行確認以及對通訊信息進行加密�����。
電子商務系統(tǒng)審計的成功與否在于審計人員是否掌握相關的技術知識�����,了解商業(yè)風險及風險管理策略�,是否有現(xiàn)成的策略隨時應付出現(xiàn)的風險。因此�����,作為一個成功內部審計人員應了解企業(yè)的業(yè)務���,以服務為宗旨并努力增值�����,積極提高專業(yè)技能���,關注系統(tǒng)的效率和效益,建立對電腦領域發(fā)展的職業(yè)敏感性��。
