it审计和普通审计
it审计和普通审计范文第1篇
随着主义市场体制 改革的深入发展,内部审计在现 代中的重要性也日益凸现出来,特别是对一些规模大、管理严格的大型企业及跨国公司而言,信息技术审计(Information Techn010gy,简称IT审计)作为内部审计的一种形式,在发达国家的跨国公司中发展迅猛,且在不断更新,它对于我国的公司有很重要的借鉴意义。下面,作者重介绍美国杜邦公司在信息技术审计方面的最新进展及。
杜邦是一个拥有总资产44亿美元的大型跨国公司,一直在化学和化学器械、生物技术、地质学上处于技术上的领先地位。作为杜邦的审计人员,他们的使命是拿出世界一流的审计水平去支持公司的业务运作,他们定期制定标准且与其它公司相比较,然后评价结果,找出应改进的地方,为了与信息技术的飞速发展保持同步,杜邦公司把IT审计作为重点领域,要求内审人员拿出相应的方案,因为随着信息技术的迅速发展,相应的审计技术变得复杂起来。所以,杜邦公司决的支持、在职培训及监控。3.在一种业务范围内强调IT在总体审计意见里发现难于评估系统的相关性时,必须能将系统里的发现转化为业务项目。4.发展一种聚焦池,确保能不断关注到所有存在和新出现的技术。5.能从外部雇佣职员或刚离校的毕业生,来作为IT职能部门的新鲜血液。6.强调要通过初步的培训每个职员都应是全职的被培训者,如:规定每个人每年要参加培训10天。7.关心所有的重要技术开发,包括已存在和正在出现的技术。8.与研究部门紧密联系。这对IT审计来说是很重要的,因为这样会允许IT职能部门获得一些控制文件,在计划和设计阶段就会考虑这些因素。9,为协调管理而服务。杜邦认为在这个领域应处理得比其它公司的IT活动更有效率,同时,杜邦也希望自己的内审是通过适当的程序和技术来管理一些经营活动将来也可以于外审。10.适当地依靠外部服务所提供的信息。11.认识到它没必要达到高质量的最好限度。12.将自我评价作为未来世界一流审计组织的批评性产品,不仅对IT审计,而且对整个组织而言,都是很重要的。将以上发现作为评价标准,从而形成了许多固定的概念框架,根据以上内容,杜邦的研究小组设计了适应杜邦的IT审计方案。
二、小组工作
为使杜邦IT审计达到领先水平,杜邦从全球的内审人员和审计本公司的外部审计人员中抽调一部分组成了一个代表组,这个小组由一个总审计经理监督,对指挥部负责,这个指挥部包括副总裁、总审计师、副财务经理、信息主任和事务所的业务合伙人。
该小组在很紧凑的时间安排下建立了一套的工作方法。并对杜邦IT审计的发展和更新提出长期性的意见。
该小组给IT的定义是:IT审计与杜邦公司的其它所有审计活动是密切联系的。我们将在职能审计小组的支持下,对应用系统和整个信息系统的各个部门进行具体的审计,进而确保在系统的支持下的经营活动能有充分的应用控?quot;。
小组的目标之一就是:保持一个完整的相应统一的内部审计职能部门时,决定如何提高杜邦的IT审计能力。
在商讨和计划时,提到了几个固有风险因素,如:1.IT外部组织仍处于转换时期,且更大的组织变化将会发生。2.杜邦信息系统的可靠性已经惊人地提高。3.化的机,包括因特网和主要的系统化,如SAPR/3,正在成长期。4.成增长趋势的公司内部连网,导致公司向全体化和其它非传统商业联营方向扩张。
三、两种审计模型
杜邦常用IT审计总体模型(Audit Integration Model,简称AIM)和变量实施模型(Variable Sourcing Model,简称VSM)来决定是否应当从外部获得技术或保持他们,特别是认为计划需要改变的时候,这两个模型有重要的指导意义。这两个模型如下所示:
1.AIM
AIM根据IT审计的组成要素大略揭示了IT的审计过程,复杂的知识水平和工作人员的工作量随着以下所示的四个阶段而逐步下降
阶段1经营过程控制 准 备 活 动 实 施 选 择 培 训 要 求所有归属于一个过程审 计的非系统的不相关审 计活动:如过程、计划、流程图、检阅程序、访问和测试 执行所有正常情况下的 准备活动,不包括具体 的与IT有关的活动。 不需要具体的IT审计 技术 不需要高水平的IT培 钻15
阶段2输出
所有与符合性审计有关 的活动,包括数据进入、错误书写、输出和进入 控制 决定应该用什么政策, 若与具体的经营有关 时,应在工作底稿上从 头到尾写清楚;若与多 种经营有关时,应把它 单独拿出来进行符合性 测试,然后,在工作底稿 上注明 由有经验的审计人员来执行任务。IT审计人员的任何行动都应得到支持,因为这个阶段代表整个审计过程的重要环节。在向新结构进行完全转变之前,IT审计人员对所执行的符合性测 试都认为是适当的。 确保每一个审计人员都 有执行符合性测试所需 技能,复核IT的组成要 素,决定是否需要改变,以确保达到目标。确保 这些技能对审计小组来 说是容易达到的,且它 是必要的,直至达到审 计的长期目标。
阶段3附台性和分界面
在符合性审计和技术审 计之间的灰色领域,在这个阶段需要有高技 能的高水平的审计人 员,因为这些活动要进 入到系统的内部工作且 与其他符合性相联系。 决定执行的符合性复核 的细节应达到的水平, 确保灰色领域被完全充分校测,尤其注意系 统的共同范围,因为这 些可能没被包括在先前 的比较窄的审计范围中 确定符合条件的审计人员的比例和从外部寻找人员的可行性,确保此阶段审计人员的技能对审计小组来说是容易达到的,直至实现长期目标为止。 决定如何提供培训,以 使他们达到更高的技术 水平,期望达到所需技 能的审计人员的比例将 被作为实施阶段工作的 一部分,在转换期,应确保这些技能对审计小组 来说容易达到直至实现 长期目标。
阶段4基础性的结构
技术审计覆盖了计算机 环境的内部工作.在此阶段需要高技能和特 殊才能的人才,如:在运 行系统或安全软件方面 通过符合性调试复核平台的最近技术审计,根据峁页鲋葱猩蠹频氖奔洌际跎蠹票匦胩峁泄仄教ǖ恼逡?见,这一步应包括桌面系统环境和完整的桌面系统审计,必要时应事 先规划 检查正被杜邦使用的平台系统,且必须做这项工作,确定在社邦所要求的技能范围内的保留工作量,决定核心工作员、浮动工作量和特殊工作量的未来余 额,评价保留和维持这些技能的内部审计人员的职业道路前途等,确保改变计划时允许小组充分协调好内部活动与6F部专家的耸嚣- 对那些保留在杜邦内部 的技能应确定培训的关 键来源且确保这些人员 是通用的,在这个阶段,工作能力的大小受社邦 的联营者的规模而定p 所以培训只要及时就行。
IT AIM的建立可加强IT审计人员对IT审计的一般理解及他们应如何与其它审计活动相联系。杜邦运用这个模型解释了谁审计什么及在各个阶段所期望达到的审计人员的工作能力和工作量之间的转换,由于杜邦对全体审计人员进行了技能培训,所以,杜邦尤其关注这样的一些,如:实际培训人员能力与各阶段上审计人员应代表的水平之间的距离有多远,应在哪儿挑选有技能的IT审计人员等。AIM反映了社邦在这方面的决策,且AIM至少能被用于以下三个重要方面:1.通过提供一个评估与IT相关工作范围的框架,来帮助计划阶段的审计。2.为将来建立IT审计评价表作准备,这张表用来作VSM的参照物。3.作为一种鉴别不同IT审计培训的。
在以下三个领域中,模型提供了从一般了解到决策的各个部分的解决办法。具体如下:
(一)准备阶段
当进行更多的经营过程审计时,准备阶段的工作在确保清楚地界定审计范围和审计小组应有的技能和工具去从事工作这两方面起关键性的作用。经营过程审计将会在范围上更广、时间上更长,且很可能由大量不同机系统组成。如图所示,AIM可作为一种有效的准备工具,如果某种技能需由外部人员来实施时,及时地在此阶段补充审计人员会变得更重要。
(二)实施阶段
这是工作范围的重要部分,社邦审计小组一直在和采用VSM作为一个工具来决定成员水平和技术能力,模型显示出杜邦计划的技术能力保留在一个核心范围内,核心范围的大小由任何一年的估计工作量和杜邦是否维持这种技术能力由自己开发而决定,模型也表示出,可从外部获取资源,若保留技术能力的工作量比估计工作量要高,这一部分差额称为浮动工作,反之,称之为特殊工作。
AIM与VSM结合起来,可用来确定保留在杜邦内审中的技术能力和将来的核心工作、浮动工作及特殊工作的平衡。与杜邦的支持者及供应商们讨论,即实施IT审计的联营公司,可能也是这个阶段的一部分工作。另外,杜邦还计划转变战略,确保内审依赖外部专家时有力量控制局势。
(三)培训
除发展AIM和VSM外,工作小组还针对现在的IT审计组织进行技术描绘未来IT审计组织的前景。由信息武装起来,杜邦利用AIM来决定所期望的能达到多种目的的审计人员的IT技能是什么水平,及什么样的特殊行为是杜邦将保留和维持的,提供的培训课程应确保有一个完整的途径。AIM可用来确定所需和所计划的培训。
四、更新
除以上外,该方案还包括不断变化的组织评估表和技术分析表,针对现在至未来的组织,通过预想的变化,这些需要-个全球IT审计经理的命令,他将在下列领域内得到三个工作领导者的支持。1.信息统一:负责计划、实施和提高技术审计。对诸如数据中心、远程通讯等基础设施方面负责咨询。2.技术支持:负责发展和完成每年的计划,这些计划重点在于关注新出现的技术,评价和支持内审的技术要求,包括硬件、软件、审计工作、计算机辅助审计技术和一个内审网站。3.应用支持:负责发展和完成每年的应用审计计划,支持审计过程中的符合性测试,应用支持负责人也有责任确保所有的审计人员应符合控制目标且充分地受到培训。
剩余的IT审计人员保持他们现存的管理报告流程,但增加了一份职能报告与以上所述三组之一相联系,将会执行许多审计活动,以便对杜邦审计计划的准备阶段进行控制,对全部审计工作进行监督。
五、启迪与借鉴
实践证明,IT审计开辟:内审的新领域,它取得了一些成功经验。
由于各种原因,我国的内审质量不高,更不用说IT审计了,因为对我国众多来说,:企业内部治理结构还没理顺,信息化程度还不普及,只是在某些特殊行业中(如行业)比较普遍,、可以说,IT审计在我国还处于起步阶段,而国外已发展得比较成熟。所以笔者认为,除了进一步改变国有企业的内审管理双重体制之外,我国可在以下方面借鉴西方先进经验,努力提高我国的IT审计水平:
1.重视与外部审计师的合作,尤其是注册师。我国的注册会计师行业虽然起步较晚,但已取得令人瞩目的成绩,特别是知名会计师事务所积累了大量的企业管理信息,相信与某公司长期合作的会计事务所定会为该公司提供良好的内审控制建议。
2.强调对内审人员的培训。在我国,由于内审管理体制还没理顺,没有统一的准则。各企业应根据IT审计要求的高低进行不同程度的培训。
3.规范I丁审计的同时,注意改进审计方法技巧。可杜邦的作法,把整个审计过程划分为几个阶段,并固定下来。但在各个阶段的审计工作中,应注意审计方法的灵活运用。另外,尽量使用量化标准,如建立变量模型等。
4.重视内审人员的知识更新,这是IT审计的性质所决定的。企业的信息系统普遍应用网络技术,且与商务系统紧密结合,使产业信息系统无纸化。在此环境下,审计人员不仅要掌握传统审计的基本知识,还必须掌握计算机应用基本技能,这样才能满足审计需求,特别是对于内审的IT审计来说,不只是对企业的会计信息系统进行审计。所以,内审的管理机构及企业都应重视内审人员的知识更新,如,加快有关计算机审计的教材建设,计算机审计人员资格及制作计算机审计的具体准则等,方便企业选拔IT审计人员。
[参考]
[1]Wayne More and David Hen-drey. It Audit Renewal(J)。 Internal Auditorl999(4)。
[2] Pete Rosenwald. To Be or Not To Be LJ]. Accountancy. 1999. (8)
[3]傅元明。计算机信息系统环境下的几个审计问题LJ].审计研究,1999. (5) .
[4]王学龙。内部审计风险初探U].审计研究资料,1999.(10)。
it审计和普通审计范文第2篇
关键词:IT外包;服务分包;项目分包
1 概述
近年来,计算机技术飞速发展,IT企业间的竞争也越来越激烈。为了节约成本,在IT行业中普遍采用外包的方式组织生产。IT外包一般分为服务分包和项目分包两种形式。
2 服务分包和项目分包的区别
服务分包是指项目承包商(总包人)在实施项目时吸纳具有相应资质的服务分包商参与开发、实施等,共同完成业务系统建设的活动。
项目分包是指项目承包商(总包人)将其所承包项目中的非主体业务通过书面合同形式并经业主同意,发包给其他具有相应资质的项目分包商完成的活动。
其中,服务分包具有及时性、定期性,按人、级、量和价结算的特点。为保证项目按期高质量完成,服务分包更倾向于对“人”的管控,且不需要业主方的同意,法律也未禁止服务分包。服务分包和项目分包的对比见表1。
3 服务分包流程
鉴于以上服务分包与项目分包的区别,以及服务分包的优势,通过实践经验,以及IT审计、IT治理的要求,总结出了服务分包工作流程。如图1所示。
服务分包工作流程划分为四个阶段十三个环节。
3.1 计划阶段
(1)制定服务分包计划。a.年度计划。需求部门根据年度项目清单,逐一分析用人需求,提出部门年度服务分包计划。分季度列出预计需求人数、预计签订合同额、预计利润等。人力资源部根据经营指标和人力资源配比,审核部门年度服务分包需求。并汇总形成公司年度服务分包需求计划(按季度滚动修订)。b.月度计划。每月初5日前,需求部门提出部门月度服务分包计划。包括项目信息、人员级别、数量、时间等信息。项目管理部根据项目进度、预算等情况审核月度服务分包计划。人力资源部汇总形成公司月度服务分包计划。
3.2 采购阶段
(2)签订框架协议。根据框架招标结果,物资部与中选供应商签订服务分包框架协议。并且为供应商开通信息管理平台账号。
(3)人员准入。a.提出需求。需求部门提出《服务分包申请》。包括项目信息、预计收入、预计用人计划、已用人员数量、人员需求数量、资格要求、需求原因、工作内容、配置方式(新增、调配)等。b.审核需求。人力资源部根据月度服务分包计划审核《服务分包申请》。计划外服务分包申请先由项目管理部审核,再由人力资源部汇总,并将月度服务分包计划准确率纳入需求部门绩效考核。c.需求。根据审批通过的《服务分包申请表》,物资部在信息管理平台上公开服务分包需求信息,供应商可以凭账号密码登录系统后查看。d.收集简历。人力资源部收集供应商推荐的简历,并进行初步筛选。e.组织面试。人力资源部对于筛选通过的简历,组织外包人员面试。f.初审评价。人力资源部先对外包人员进行初审评价。g.技术评价。需求部门对外包人员做技术评价。h.复审评价。对于高级别的外包人员,人力资源部会同项目管理部组织相关专家进行复评。
(4)核定级别。人力资源部根据外包人员初评、技评、复评结果,最终确定其级别。
(5)确定价格。对于每个外包人员,根据其定级结果,物资部与供应商再次进行谈判,针对此人员实际的技术能力、工作经验等,在不高于框架招标结果中相应级别的人员单价的原则下,通过谈判确定此人员的最终单价。在价格谈判过程中,对于优质供应商或者响应及时率高的供应商予以适当照顾。最终确定的单价经公司领导审批后,物资部与供应商签订《服务分包确认书》,双方签字盖章。
3.3 结算阶段
(6)核定工作量。外包人员每天在VP系统中报工(包括工作内容和工作地点),项目经理审批。同时,人力资源部统计外包人员考勤,包括请假、加班等信息。每月项目管理部从VP系统中导出外包人员报工工时及所在项目信息,然后根据人资部提供的请假、加班信息对工时进行调整,确定外包人员工作量。
(7)结算人工费。物资部根据每个外包人员的工时、单价计算出人工费,按供应商口径编制《服务分包月度人工费结算单》,按项目口径编制《服务分包月度人工费项目成本分摊表》。
(8)结算差旅费。根据项目需要,外包人员提出出差申请,项目经理和项目管理部分别审批。财务资产部审核外包人员出差的往返交通票据,并计算出差天数,按出差地区标准计算差旅补贴。物资部汇总外包人员交通费和差旅补贴信息,按供应商口径编制《服务分包人员月度差旅费结算单》,按项目口径编制《服务分包人员月度差旅费项目成本分摊表》。
(9)签订结算单。《服务分包月度人工费结算单》《服务分包月度差旅费结算单》经财务资产部审核后,由物资部分别与各供应商进行量、价、人的确认,并双方签字盖章。
(10)支付劳务费用。物资部向供应商收取发票。财务资产部收到发票后,按资金计划付款,并将《服务分包月度人工费结算单》《服务分包月度差旅费结算单》附在财务凭证后归档。
3.4 反馈阶段
(11)预警项目成本。财务资产部每月按部门核算每个项目的月度成本,编制《财务统计月报表》,并通知项目管理部、需求部门。项目管理部根据月度项目成本,监控项目预算,做预警提醒。需求部门根据已发生的项目成本,及时向人力资源部提请调增或调减外包人员,并按季度对部门年度服务分包计划提出修订。人力资源部按季度修订公司年度服务分包计划。
(12)考核外包人员。需求部门反馈外包人员工作情况,向人力Y源部提请调高或调低外包人员级别。人力资源部对于使用超过一年的外包人员,一般在每年年初,根据用人部门的反馈意见对其重新发起定级、定价流程。
(13)考核供应商。需求部门反馈供应商配合情况,外包人员工作情况。人力资源部反馈供应商对服务分包需求的响应及时率、响应质量。项目管理部反馈工时准确情况。物资部收集各部门的反馈信息,对供应商进行考核,编制《供应商季度考核报告》。
4 结束语
通过以上流程开工服务分包工作可以有效加强IT企业服务分包管理,规范服务分包流程,强化过程管控,规避审计风险,实现服务分包工作的规范化、流程化、标准化,提高服务分包工作效率,提高管理精益化水平。
参考文献
[1]刘晨鑫.合理优化企业IT基础架构的研究[J].科技创新与应用,2016(13):284.
[2]高杨.基于云计算技术的桌面虚拟化研究[J].科技创新与应用,2015(34):93.
[3]佘品慧.IT外包服务关键因素研究[J].科技展望,2016(3):253.
[4]金桂永,戴普军.IT外包服务研究[J].电子技术与软件工程,2016(12):258.
[5]王建军,赵金辉.关系与IT外包绩效:服务质量调节的中介作用[J].科研管理,2015(8):104-111.
[6]马瑞强.云计算对软件服务外包产业附加值提升的探讨[J].科技创新与应用,2013(5):61.
[7]邵文浩.项目管理在中国IT外包服务企业的应用研究[J].中外企业家,2015(29):107-108.
it审计和普通审计范文第3篇
【关键词】 内部审计; IT环境; 信息化
一、IT环境下的内部审计
(一)内部审计的含义
国际内部审计师协会(IIA)在内部审计职业实务框架(IPPF)中对内部审计的定义为:内部审计是一种独立、客观的确认工作和咨询活动,它的目的是为组织增加价值,并提高组织的运作效率。它采取系统化、规范化的方法对风险管理、控制及治理程序进行评价,帮助组织实现其目标。
在IT环境下,企业要不断提高内部审计的战略高度,既要加强IT风险管理,又要顺应科技进步的潮流,加强计算机审计程序的开发与应用。因此,IIA在2009年更新的IPPF中新增了包括信息系统合规治理、信息系统审计风险评估在内的6项内部审计专业实务标准。除此之外,企业的管理者也应该加强对内部审计的重视程度,充分利用各种计算机辅助审计工具与技术,防范IT风险,加强公司治理。
(二)内部审计在企业治理中的作用
IIA倡导:现代企业内部审计通过介入企业的风险管理、治理和控制领域,以促进公司治理结构的完善,并提升企业的管理水平,完善业务流程控制,促进企业价值增加。可见,内部审计在公司治理、控制与风险管理中都发挥着重要作用。
1.内部审计是完善公司治理机制的重要内容,是创造公司价值的重要载体
同董事会、管理层、外部审计一样,内部审计也被认为是公司不可或缺的治理主体。一方面内部审计努力识别并预防风险,降低企业损失;另一方面在企业价值链的多个环节发挥作用,增加企业的经济附加值。
2.内部审计是完善内部控制的关键要素,对企业的风险管理具有重要意义
内部审计要检查企业内部控制的完整性和有效性,以便发挥内部控制的最大效用。同时,内部审计机构要加强与企业管理部门的合作,促进企业风险管理工作高效进行。
二、IT环境下内部审计的SWOT分析
(一)优势(Strengths)分析
1.制度优势
国内外许多法律法规都为IT环境下内部审计的发展提供了制度保障。《国际审计准则15——电子数据处理环境下的审计》,《国际审计准则16——计算机辅助审计技术》在审计人员的工作规范、技术能力,软件应用、效果效率等方面做了具体规定,进而对内部审计工作的开展具有重要的借鉴意义。在国内,《内部审计具体准则第5号——内部控制审计》明确规定了内部控制要素包括信息与沟通,要保证管理信息系统的安全可靠,并将其作为审查程序的重点。随着审计领域相关法律法规的不断完善,内部审计的发展具有明显的制度优势。
2.现实优势
IT引起的变革浪潮为企业内部职能的发展带来了革命性变化。信息技术在信息存储、分析数据等方面的优势,促进了审计软件与审计方法的更新与优化,实时审计成为可能。另一方面,信息技术的支撑推动了内部审计由传统的单一财务审计逐渐渗透到企业管理的各个领域,内部审计职能不断强化,在加强企业管理和提高企业经济效益方面发挥着积极作用,因而内部审计的探索发展也具备了现实优势。
(二)劣势(Weaknesses)分析
1.信息缺失
在信息时代,信息资源发挥着日益重要的作用,然而其也成为内部审计发展的制约因素。在企业的信息管理中,财务部门出于内部资源的安全性考虑,在一定程度上对内部审计部门获取财物信息具有排斥性,造成内审部门不能及时全面地获取相关财务信息,阻碍了审计实施,降低了审计效率,使审计效果大打折扣。因此,在IT环境下,要加大企业部门间的资源共享,不要让信息缺失影响内部审计职能的发挥。
2.人力资源不足
早期内部审计部门的主要职能是查错纠弊,财务会计专业背景的审计人员占了较大比重。随着内部审计职能的拓展,内审人员缺乏相关的计算机技能和经营管理知识,只依靠原有的知识技能是无法胜任IT环境下的审计工作的。虽然企业也在不断加大内审人员的职业后续教育,但仍与新环境下信息技术对内审人员职业素质的要求存在较大差距。
(三)机遇(Opportunities)分析
1.审计职能的拓展
内部审计产生初期,其主要职能是对企业内部财务资料进行审计,为企业查错纠弊提供合理化建议。审计职能并非一成不变,随着经济生活日趋复杂,科技迅速发展,内部审计逐步延伸到企业管理与公司治理的各个环节,不断拓展其影响的广度与深度。另一方面,信息技术的发展为内部审计业务拓展了新的领域,传统的财务审计业务逐步扩展到IT治理、IT控制、信息系统的设计与开发等领域,为内部审计职能的发挥提供了广阔空间。
2.审计质量的提高
信息技术的发展推动了审计软件在内部审计中的广泛应用,审计人员利用信息化的优势和先进的审计方式所带来的数据支持,大大提高了审计质量和管理水平。同时,现代计算机技术为审计工作实施适时监控提供了可能,充分利用审计软件的操作权限控制功能,对审计质量进行跟踪检查,大大提高了审计工作的质量与效果。
(四)挑战(Threats)分析
it审计和普通审计范文第4篇
一、IT环境下,审计理论基础的特点
(一)多元网络性
作为审计理论的根基,审计理论基础在IT环境下得到了不断的增强和加固。信息技术学、信息经济学、信息博弈论以及与审计相关的其他学科领域共同组成了一个动态的、多元性的审计理论基础网络组织。而构成审计理论基础的各个学科的具体内容则是这张网上的各个结点。审计理论基础的不断扩张、膨胀,意味着审计理论获得了更充足的理论养分,得到了更充分、更完善的发展。
(二)动态性
随着时代的变迁、客观条件的变化、社会经济环境的完善,审计理论基础也在不断的发展完善,在充分汲取新的学科理论养分的同时,也掘弃了一部分不适合于IT环境下的陈乏的、过时的理论。并且,审计理论基础的发展变化决定着审计理论的发展方向、趋势,同时审计理论的不断发展、完善,也进一步加强和巩固了审计理论基础,二者的关系是辨证统一的。
(三)质量性
IT环境下,质量非常重要,可以毫不夸张地说,质量是IT的生命。审计理论基础作为审计理论的根基,其质量性尤为重要。其质量性主要表现在:稳定性、安全性、品质性。尽管是审计理论基础在审计理论发展的历史长河中呈现出动态、发展性,但是,就某一时间段、期间而言,审计理论基础还是具有相对稳定性的。另外,作为根基、支撑点,其安全性、品质性也是非常重要的,不安全的、缺乏品质性的根基不具备支撑审计理论大厦的能力。
(四)交互渗透性
审计理论基础的内涵非常广泛,几乎涉及各个学科、领域,而这些学科、领域的理论并非简单的叠加构成审计理论基础,它们是按照一定的秩序、规则进行有效的组合而形成的有机整体。在IT环境下,社会生活的空间相对缩小,各学科间的渗透也日益频繁、紧密,它们通过移植、借用、感染三种方式共同组成一个有序的、交互渗透的、相互关联的动态网络,服务于审计理论。
(五)虚拟性
审计理论基础,并不象有型的建筑物建造时挖地基所形成的有型的根基,它是从多个相互关联的学科中抽象出来的、客观存在的无形的根基。在IT环境下,这一特性更加明显,虚拟的审计理论基础具有抽象性、概括性、逻辑性三个特性。
二、IT环境下审计理论基础的认定标准
审计理论基础的认定,一直都是一个比较困难的问题,尤其是IT环境下,高科技信息技术充分应用于审计领域,加速了审计理论基础的更新换代,使得审计理论基础从广度和深度上均有了较大的扩张,笔者认为,IT环境下,审计理论基础的认定标准为:
(一)作为审计理论基础,必须为审计理论的发展服务
审计理论基础与审计理论之间的关系是辨证统一的关系。即审计理论基础为审计理论服务,审计理论基础决定着审计理论发展的方向、趋势,审计理论基础的每一次变革都会引起审计理论发生相应的变化。反过来,当审计理论的发展适合于审计理论基础的客观要求时,则加强和巩固审计理论基础,反之则削弱审计理论基础。因此,判断某一理论、学科是否是审计理论基础,首先要看它是否为审计理论的发展服务,是否与审计理论呈辨证统一的关系。
(二)作为审计理论基础,必须与审计环境互动性
审计环境是审计理论乃至审计理论基础发生变迁的外在动因。在IT环境下,IT应用于审计理论中即审计电算化或网络审计。IT一方面刺激了审计理论基础的变革,将先进的IT理论植根于审计理论基础,将先进的IT技术应用于审计测试工作中,加速了审计理论的发展;另一方面,审计理论基础发生了变化,也会在一定程序上刺激审计环境进一步完善,使得审计理论基础更好的为审计理论服务。二者的关系呈互动性。
(三)作为审计理论基础,它必须是沟通审计理论与其他相关学科的桥梁
审计理论基础为审计理论与其他学科理论提供了一个公共区域,在此领域内,各学科理论知识相互交叉、渗透、融合,共同为审计理论服务。因而审计理论基础是审计理论科学体系的研究内容,但它本身并不是审计理论,它是连接审计理论与其他学科体系的桥梁与纽带,是审计理论与其他学科的交叉渗透区。
三、IT环境下,审计理论基础的具体内容
(一)信息技术理论
信息技术理论是IT理论的核心,其在审计理论中具体应用,也是审计电算化充分发展的标志之一。当代信息技术理论包括:网络技术理论,信息技术理论,数据挖掘理论、系统集成理论、多媒体理论技术、人工智能技术等等。这些理论、技术在审计中的应用,大大提高了审计测试效率、审计监督质量,为审计理论的发展提供了前所未有的机遇,使得审计理论基础从深度和广度上得到不断地扩张。
(二)经济学理论
经济学理论是审计理论基础的重要组成部分,它可以开阔我们的视野,转变我们的思维方式,为我们提供可供选择的理论依据和方法。它将一些西方经济学思想、观点引入审计理论中,从经济学视角分析审计理论的发展,寻求提高审计工作效率的途径,革新审计测试手段的策略,如:西方制度经济学、产权经济学、交易费用学说、信息博弈论等等,都大大地加深了审计理论知识,丰富了审计理论基础的营养,使我们从更深层次的角度探求审计理论的内涵、外延,深化了审计理论知识,为审计人员提高审计工作效率、降低审计交易费用、进行理性审计提供了新的思路。
(三)司法诉讼学
司法诉讼学与审计理论相结合是现代审计理论的发展趋势。一方面,审计证据的获得需要审计人员运用大量的司法刑侦手段、方法去检查、判断、排除伪证,以取得真实可靠的审计证据;另一方面,面对审计诉讼爆炸的时代,审计人员如何进行合法审计、避免审计诉讼,也是他们面临的现实问题。因此,将司法诉讼学注入审计理论基础,可以提高审计人员守法、学法意识,在法律允许的范围内开展有效的审计,同时掌握各国间法律的差异,审计豁免的范围、程度,为开展跨国审计作好准备。
(四)管理心理学
管理心理学又称行为管理学,是研究人的行为心理活动规律的科学,它是用管理学、行为学、社会学、生理学、伦理学、人类学等学科的原理,以研究人的心理行为和人际关系、人的积极性为对象的一门综合性科学。它主要研究人的行为激励问题,探索人的心理活动,提高激励人的心理和行为的各种途径和技巧,以达到最大限度提高工作效率为目的。它作为审计理论基础,对于开发审计人员思维、激发审计人员开展有效审计的积极性,提高审计工作效率有很大的意义。管理心理学作为审计理论基础,既满足了管理审计的客观要求,也为审计人员进行有效审计提供了理论依据和方法。
(五)会计、统计理论
会计理论是企业提供财务报告的基础,也是审计人员查错防弊所必备的基本知识,它与审计学理论有着很深的血缘关系。审计人员接受被审单位委托后,必须大量的分析和评价财务信息和非财务信息,检查被审单位会计报告的真实性,而所有这一些必须是在一定的财务理论和会计理论的指导下进行。统计理论成为审计理论基础,可以将有关经济计量模型应用于具体审计实践中,对审计结果、审计证据进行线性回归分析,测试各变量间的拟合度,大大地提高了审计测试手段的先进性和审计结论的准确性。同时,通过将一些审计问题定量化,也有助于审计人员作出准确的决策判断,并相应的化解日益复杂的审计风险。
it审计和普通审计范文第5篇
公司治理的效率、效果直接依赖于许多的制度要素。这既包括审计和信息披露的质量,也包括法律系统对契约的监督以及对外部投资者的保护能力等。例如,在逆向选择的框架下,我们可以看到:一个更好的会计标准和更及时的信息披露要求将大大减轻经理人与外部投资者之间的信息不对称,从而便利了融资,降低了风险。因此,公司治理的核心问题是信息不对称性或不完全性,解决公司治理问题,最核心的是公司信息的真实、准确以及处理与传递的效率问题,而IT技术在实时披露、实现透明度原则和体现监控力度上正日益成为有效的工具。2002年美国颁布的《萨班斯法案》对公众公司提出了更高的要求,法案的409条款要求上市公司必须向投资者实时披露必要的信息,包括图片、表格等信息,302、404条款要求公司应定期评价其信息系统及其内部控制的充分性来保证提供给投资者信息的准确和完整,强调公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任。因此,研究IT治理,加强IT控制,降低风险,有效地实现公司治理,成为全球关注的问题。
公司治理是建立组织各利益相关者之间的相互制衡机制,管理风险,有效实现组织目标的一系列过程及制度。内部控制制度是实现善治的制度安排之一。IT治理是实现公司治理的工具。IT治理不等于治理IT技术,它是一个信息时代背景下的制度安排,包括内部控制、审计以及公司信息的披露等。IT内控是内控的一个组成部分,信息时代,企业管理信息化水平日益提高,信息资产成为企业的核心价值资产,IT在给企业带来竞争力的同时,也带来了极大的风险。因此利用IT技术加强内部控制,并对信息系统自身加强管理控制,成为公司治理及IT治理必不可少的组成部分。IT内控是强化风险管理,完善信息时代公司治理的必要手段。IT治理、内部控制、审计、风险管理体系等都是促进公司治理的有效工具。
SOX法案的出台,对企业的公司治理、IT治理及IT内控提出了更严格的要求。
一、SOX法案的要求:
1.对公司治理的要求:
(1)要求上市公司必须建立审计委员会,并对审计委员会的人员组成做出了规定,保证审计委员会的独立性,同时赋予审计委员会更多的责任:《萨班斯-奥克斯莱法》,及其紧接着全美证券交易商协会和纽约证券交易所于2003年11月又的新的公司治理最终规则详细地界定了审计委员会的职责, 具体来说应包括:1)每年获取并审查独立董事提交的报告。2)与管理当局、独立审计师一起讨论经审计的公司年度财务报表和季度财务报表,包括公司在“管理当局对财务状况和经营结果的讨论和分析”项目中进行公告的财务事项。3)讨论公司收入公告及向分析师和评估机构的财务信息、收益指南。4)讨论风险评价、风险管理政策。5)分别与管理当局、内部审计师(或其他负责内部审计机构的人员)和独立审计师定期会面。6)与独立审计师讨论所有的审计难题以及管理当局的反应。7)制定清晰的关于聘用现任或前任独立审计师的政策。8)定期向董事会报告
(2)增加高管人员及董事会的责任:CEOs and CFOs必须保证财务报告真实,要求发行人的CEO和CFO保证定期报告没有对重大事件的不真实表述,也没有遗漏必须披露的重大事件,并保证财务报告在所有重大方面都公允反映了发行人的财务状况和经营成果。在此基础上,法案单独规定了对管理人员证明财务报告时失职的刑事处罚。CEO和CFO如果知道定期报告不符合上述要求但仍然做出保证的,将判处不超过100万美元的罚款,或是不超过10年的监禁,或是二者同罚;如果是蓄意做出书面保证的,将判处不超过500万的罚款,或是不超过20年的监禁,或是二者同罚。
2.萨班斯法案对内控的要求:
(1)法案302要求:公司管理层设计所需的内部控制,并保证首席官员能知道该公司及其合并报表子公司的所有重大信息,尤其是报告期内的重大信息;评价公司的内部控制在签署报告前90天内的有效性;在该定期报告中他们上述评价的结论。
(2)法案404节要求:编制的年度报告中包括内部控制报告,包括:强调公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任;发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价
3.萨班斯对审计师的要求:增加了审计师对信息系统的审计,要求审计师必须了解业务如何穿过系统,而不是绕过系统。审计师必须了解业务流程,评价IT 应用控制与一般控制的设计及效果。评价 IT 控制设计效果,确定这些控制设计是否适当地实现相关目标。实施IT控制执行效果测试。
二、对上市电信运营商的挑战
萨班斯法案对高管严格的法律处罚令其中许多公司的最高管理层都如坐针毡、夜不能寐。美国有多达5000家大中型公众公司在2004年11月15日后结束的财政年度中紧张异常,这而对于公司治理尚不完善的中国电信企业领导来说,更是意味着要承担重大国际法律责任的风险。公司治理决定企业的兴衰,企业的兴衰决定国家的兴衰,因此公司治理建设不能出现任何重大失误。
我国电信企业在公司治理制度在股份制改造过程逐步发展,中国网通借美国上市契机建立了新型的公司治理结构,董事长与CEO分离,在董事会下设4个委员会:审计委员会、战略规划委员会、公司治理委员会和薪酬委员会。2005年3月7日,在京召开的中国电信集团实业工作会议明确:经过3年左右的时间,逐步规范法人治理结构。由于我们的企业处于社会转型的特定时期,公司治理水平与日、美等发达国家有一定的差距。信息产业部电信研究院公布的《中国电信业国际竞争力发展报告(2004年)》显示,我国电信业国际竞争力在全世界主要国家和地区中(共33个国家和地区)排名第14位,然而细细看来,却发现了很多隐忧。报告将国际竞争力解析为3大竞争力:环境竞争力、市场竞争力和企业竞争力,其中企业竞争力排名27,企业竞争力指数包括“技术创新”、“生产率”和“公司治理结构”,排名分别为18、28和21.不难看出,目前我国电信企业的公司治理水平。要成为电信强国,环境竞争力、市场竞争力和企业竞争力三者缺一不可,因此,我国目前距离电信强国还有较大差距。从分析要素来看,法律和制度框架、政府效率,以及企业技术创新、公司治理结构等 “软件”能力偏弱,单条腿走路。我国几大运营商中虽然已经有中国移动和中国电信进入了财富500强,虽然几大运营商均已上市实现了公司化治理,但由于脱胎于老的国有企业,因此公司管理能力和治理结构仍有待提高。因此,提高企业竞争力,就应该从改善公司治理结构做起。
三、运用信息化手段,完善公司治理
1.完善公司治理机制。我国电信运营商需要健全公司内部治理的规则和程序、建立公司的合法守规管理、完善约束与激励机制、加强公司的内部控制体系以及建立公司的风险管理与控制机制。虽然在现有的公司治理结构中,有些公司也有审计委员会、独立董事等监督机制,但这些人员的任职资格、发挥作用的程度、以及职责定位等都需要进一步改进。
2、利用信息技术,完善公司治理的监控体系。公司治理是一种对公司管理和运营进行监督和控制的体系。其核心是在所有权和经营权分离的条件下,解决好所有者和经营者的利益不一致而产生的委托-关系。由于委托人(所有者)和人(经营者)是不同的利益主体,委托人(所有者)与人(经营者)相比处于信息劣势的情况下,必然有成本或激励问题的产生。为完善公司治理,必须重视委托与之间的信息不对称问题,通过对公司重要信息有效的传递、鉴别和处理,使成本最小化,提高企业的经营绩效。萨班斯法案强化公司治理要求的目的也是提高上市公司透明度,提高公布信息的质量,加强信息披露,从而保护投资者的利益。
在市场经济中,信息交换是否充分,是否对称,直接关系到市场经济是否公平、是否有效。为了保证信息公平、公开,人们设立了一系列内外部机制。独立董事担任的审计委员会,公司聘请的会计师事务所都层层对公司财务信息的真实性、准确性、及时性进行审核、这些约束与激励机制的有效性取决于公司信息真实与准确性和处理与传递效率的问题。在这点上,IT技术正成为日益有效的工具。
萨班斯302、404、以及409等条款对公司的要求,使得IT在公司治理机制中的作用日益凸现。由于信息技术不以人们的意志为转移地在各类组织中的普遍应用,IT在各类组织中的多层次、横纵向嵌入,正在改变着组织的业务流程,进而改变组织的结构、组织的管理及公司治理;特别是电信企业对IT的依赖性非常大,没有相应IT治理机制的公司治理,使无法满足萨班斯的严格要求的。由于IT治理已成为完善公司治理的重要手段,成为实现 IT与业务的匹配管理、IT价值贡献管理、IT风险管理、IT绩效管理等的重要保证,花旗银行等美国大金融企业已经引进或正在引进IT治理机制。
国资委连续举办的旨在推动企业建立全面风险管理系统,进一步完善公司治理机制的企业全面风险管理培训上,也提到在公司董事会层面建立IT治理委员会,建立IT治理机制,完善信息时代的公司治理,促进现有公司治理制度安排的有效执行。但由于信息技术在治理方面所具有的复杂性,完善IT治理机制,构建符合萨班斯要求、适应时展的公司治理机制任重道远。
构建IT内控系统的思路
(1)不能因耗时且成本高昂就摒弃原有的IT控制而另搞一套。SEC管制条款内容复杂,为了满足萨班斯法案的要求,大多数企业需要调整其员工观念和企业文化,通常也需要对IT系统和其处理流程作一些改进,改进的内容包括其控制设计、控制文件、控制文件的保留,以及IT控制的评估等方面。这是一个循序渐进的过程,不能将原有的一切推倒重来。
(2)要选择好内控框架。法案并没有规定公司必须选择什么样的内控框架, 需要企业自己抉择。国际上比较有名的内控模式有英国的Cadbury、美国的COSO 和加拿大的COCO , 它们从不同的角度剖析公司的经营管理活动, 为营造良好的内控框架提供了一系列的趋于一致的政策和建议。第2号审计标准依据COSO制定的内部控制框架制订,在“管理层用于开展其评估的框架”一节中,明确管理层要依据一个适宜且公认的由专家群体遵照应有的程序制定的控制框架,来评估公司财务报告内部控制的有效性。SEC对该标准的认同等于从另外一个侧面承认COSO框架。COSO 认为内控是由企业董事会、经理层和其他员工实施的, 为营运的效率效果、财务报告的可靠性及相关法令的遵循性等目标的达成提供合理保证的过程。内控框架的构成要素包括控制环境、风险评估、控制活动、信息和沟通、监督五个方面。这套理论得到了包括SEC、公司管理者、投资者、债权人及专家学者的普遍认可, 国外许多公司都依据这个框架建立了内控系统, 我国公司也可以按COSO 建立内控框架, 逐步与国际管理模式接轨。通过引入COSO 内控要素, 形成一个相互联系、综合作用的控制整体, 使单纯的控制活动与企业环境、管理目标及控制风险相结合, 形成一套不断改进、自我完善的内控机制。
但是很明显,SEC所推荐的COSO控制框架有助于遵循萨班斯法案,虽然它针对的是内部控制,但没有对IT控制目标和相关控制活动提出具体的要求与限制。由于COSO框架缺少对IT内部控制的内容,所以单独以COSO为构建IT内部控制的框架显然是不合适的。COBIT为管理IT风险与IT控制提供了一个综合性的分析框架,是另外一个被国际认可的业内标准,由4大部分、34个IT处理流程、318个详细控制目标组成。COBIT也涉及企业经营、萨班斯法案遵循等方面的控制。但在萨班斯法案要求下,我们只考虑应用COBIT中与财务报告相关的控制。
因此Cobit与COSO结合作为构建IT内部控制框架,将是两种国际标准优势互补。同时在确定控制点、控制程序、留下相应审计轨迹时,也可以参考BS15000以及ISO17799等一些国际标准,这些标准都是IT运营、安全方面可审计的一套标准管理控制体系。
(3)要建立一套自评估机制,确保内部控制系统的持续有效
从历史来看, 企业的发展阶段和管理状况,以及外部环境的变化都是决定企业内控系统建立和运行有效的前提。任何内部控制系统都只是在一个特定的历史阶段有效,管理层对内部控制有效性的声明,要求公司必须建立一套自我评价机制,评价内部控制系统设计、执行是否有效,以支持管理层的声明。同时自我评估机制也可以帮助公司发现控制弱的区域,以及控制漏洞,及时审势度势,弥补内控系统的缺陷,确保内部控制系统持续有效。这也是萨班斯法案所要求的。
控制自我评估(CSA)是指企业内部为实现目标、控制风险而对内部控制系统的有效性和恰当性实施自我评估的方法。国际内部审计师协会(IIA)在1996年的研究报告中总结了CSA的三个基本特征:关注业务的过程和控制的成效;由管理部门和职员共同进行;用结构化的方法开展自我评估。CSA最早出现在20世纪80年代末期,但其最主要的发展是在90年代,特别是在1992年COSO报告公布之后。COSO报告首次把内部控制从原来自上而下财务模式的平面结构发展为更具弹性的企业整体模式的立体框架。传统的内控评价方法只能用来评价诸如财务报告,资产与记录的接触、使用与传递,授权授信,岗位分离,数据处理与信息传递等的“硬控制”。在新的内部控制模式下,迫切需要评价包括公司治理,高层经营理念与管理风格,职业道德,诚实品质,胜任能力,风险评估等的“软控制”。在这种情况下,作为一种既可以用来评价传统的硬控制,又可以用来评价非正式控制即软控制的机制,CSA得到了普遍的信赖。
图1 自评估流程(略)
如图1所示,自评人员首先选择要评审的内控流程, 然后对其设计的健全性进行评价, 如果健全, 则测试其运行的有效性, 最后综合设计测试和运行测试, 评价内控系统的健全性和有效性。如果设计测试结果为不健全, 则直接进行内控系统的评价, 而不再进行运行的有效性测试。
内控系统设计测试是指为了确定被审计单位内控政策和程序设计是否合理、恰当和完善进行的测试。健全的标准即设计合理、恰当和完善, 能有效保证信息的机密性、完整性和可用性。运行有效性测试是指, 为了确定被审计单位的内控政策和程序在实际工作中是否得到贯彻执行, 并发挥应有的作用而进行的测试。有效的标准即内控政策和程序在实际工作中得到了贯彻执行并发挥了应有的作用。
为了帮助评估控制设计,图2(略)提供了一个IT控制设计与运行有效性模型,它将依赖于企业所达到的状态、阶段,我们认为有必要花时间来改进控制程序的设计和有效性。
图2显示了企业中存在的控制可靠性的各种等级。就建立内部控制目标而言,一些企业可能愿意接受等级不高于3的IT内部控制。然而,考虑到萨班斯法案要求的“外部审计师应就控制出具独立的证据”这一要求,对一些关键性的控制活动,控制的可靠性则不能低于3等级。
控制运行的有效性评估。一旦控制设计的评估结果认为内部控制设计适当,就需要对其目前和以后的运行是否有效予以测试,而该测试由控制负责人及内部控制程序管理团队来进行。
一般而言,有些控制(如一般控制)程序是其他控制程序(如应用控制)的基础,企业组织对这些控制的测试范围应更广、频率更高。判断测试范围是否恰当时,组织应该考虑IT控制是如何影响财务信息披露与报告过程的。
一些企业利用外部服务机构所提供的外包服务,这也应该视为企业整个经营职责的一部分,在整个IT内部控制程序中应予以考虑。
