首页 > 文章中心 > it审计论文

it审计论文

it审计论文

it审计论文范文第1篇

关键词:IT审计;传统审计;比较

科技的迅猛发展已经给整个社会的经济管理活动造成了巨大影响。IT审计是在原来传统审计的财务审计和管理审计基础上,由于科学技术向经济管理领域的渗透而产生的。然而,到目前为止,IT审计在本质上并不是独立于财务审计和管理审计的第三大审计分支,而是其中的一类审计形态,其原因在于网络环境的复杂性、实际操作的复杂性、与传统审计的融合程度等因素都制约着IT审计的发展,本文旨通过比较,将两者有机结合,从而提高IT审计质量,拓展IT审计技术方法在企业审计中应用的深度和广度,促进企业在审计上的变革。

一、 IT审计与传统审计在重大方面上是一致的

(一)IT审计与传统审计在基本概念及程序上大体一致

“独立性与客观性”、“权威性与公正性”等传统审计的基本概念在IT审计中得到了很好的体现。另外,IT审计独立于信息系统本身、信息系统相关开发、使用人员,由IT审计师依据法律规定,采用客观标准独立行使审计监督权,这与审计的“独立性与客观性”完全相同。同时,国际信息系统审计和控制协会(ISACA)对实行审计制度、建立审计机关以及审计机构的地位和权力都做了明确规定,这样使审计组织具有法律的权威性,其与公正性相辅相成。

(二) IT审计体系与传统审计体系结构基本一致

传统审计体系在逻辑结构上具有较强的严密性,“基本准则―具体准则―实务指南”是由抽象到具体的逻辑规则,这是会计准则、注册会计师鉴证业务准则等专业标准规范的常用结构,这使审计后续的具体工作便于寻找相应的准则条款,为审计工作提供便捷之处。IT审计所表述的“标准―指南―程序”准则框架在字面上与传统审计体系没有太大差别。其标准反应了信息系统领域的纲领性问题,指南是标准的具体化,程序则是一些工作规范,这与传统审计体系的三个层次是一一对应的。

从审计体系涵盖的内容上来看,传统审计内容的绝大多部分都包含在了IT审计体系的范畴之内。但是,相对于ISACA系会下的准则部制定的IT系统审计准则而言,我国的IT系统审计准则体系还不够完整,尚有若干项准则没有涉及,这应该在我国IT审计未来项目计划中予以考虑。

二、 IT审计具体内容方面存在两点点创新

(一) 安全性审计

在传统审计中,对于被审计对象的安全问题鲜有涉及,而信息的安全性问题关系到企业的生存与发展,是保持企业健康可持续发展的重要保障。IT审计中对于安全性审计做了详细的规范。安全性审计的主要目的就是审查企业信息系统和电子数据的安全隐患。一个存在安全隐患的信息系统很难为审计人员提供真实可靠的信息,因此安全性审计也是真实性审计的前提。

(二) IT审计的软件测试方法与电子取证方法

审计方法贯穿于整个审计过程当中,而不只是存在于某一审计阶段或某个环节。随着IT审计系统实践的丰富与IT审计理论的发展,IT审计处理运用传统审计的方法外,还大量借鉴了计算机学科的一些方法为我所用。其中“软件测试方法”是IT系统审计的重要方法之一,较为经典的测试方法是黑盒测试与白盒测试。另外,某些会计数据和其他信息只能以电子形式存在,或只能在某一时点或期间得到①,在IT审计时对于这些电子数据的获取极为重要,需要确保IT审计人员发掘和收集充足可靠的电子证据,最终生成审计报告。

三、完善IT审计体系还应借鉴传统审计

(一)借鉴传统审计中的绩效审计,加强其实践可行性

传统审计将审计的真实性、合法性和效益性作为审计的目标。为适应建立市场经济的需要,审计机关从2001年以前主要从事的真实、合法性审计到90年代初期,审计机关对国有企业的审计开始向检查内部控制和经济效益两方面的延伸,绩效审计的重要性逐步凸显。②由于IT项目的功能复杂性、结构庞大性、周期延长性,使得IT绩效审计很难准确地评价如此综合性的IT项目效果,如何完善IT绩效审计在实践上的可行性是摆在我们面前的一项重要任务。

IT绩效审计应充分借鉴传统绩效审计中的经济性、效果性、效率性特征,围绕这“三性”进行展开。在“经济性”上,为了以最低的资源耗费获得一定数量和质量的产出,可以通过多方面的改良提高其节约程度。如美国Gartner Group Inc公司研发的ERP系统,其自动化程度很好,从而提高了IT绩效审计的科学性与可行性,避免不必要的开支。在“效果性”上,力图在IT项目上实现绩效监控动态化,为企业提供丰富的管理信息,并在企业管理和决策过程中发挥作用,动态监控管理绩效变化,及时反馈和纠正出现的问题。在“效率性”上,提高企业物流、资金流、信息流一体化管理的效率并且要善于管理信息系统,对信息系统应用价值的实现是IT绩效审计的最重要方面。

(二)借鉴传统审计的风险管理,发挥其制约性作用

《企业内部控制基本规范》把“应当关注研究开发、技术投入、信息技术运用等自主创新因素”列为企业识别内部风险时应当关注的六个因素之一。③伴随IT而来的风险、利益和机会使得IT风险管理成为企业管理的重要内容,也是IT审计中应该完善的部分。

借鉴传统审计对于企业风险管理中风险评估、控制与防范的流程,结合IT风险管理的环境特殊性,程序复杂性和数据多样性等特点,对IT审计中的风险管理应按照“识别信息资产―威胁的量化和定性―评估漏洞―改进控制差距―管理剩余风险”的流程进行。首先,识别组织业务职能并确定每个流程的信息敏感度。然后识别流程的每一个组成部分的现有控制措施,按严重程度将控制差距分类。最后,通过风险等级、成本和有效性的选择,创建风险基准线,以便日后定期重新评估风险所用。

四、 总结

通过对IT审计与传统审计的比较研究,我们发现:在基本内容、程序和体系结构等方面,传统审计与IT审计是协调的。在IT审计的软件测试方法与电子取证方法上,较传统审计来说有其先进性。但是IT审计的不完善性也是显而易见的,可以在绩效审计、风险管理等方面借鉴传统审计的优点,逐渐使IT审计广泛应用于我国的审计行业之中。通过传统审计带动IT审计的方式,使IT审计取其精华,去其糟粕,逐渐发展成为审计行业的新锐力量,是我国亟待努力的方向。

注解:

① 审计准则第1301号:审计证据

② 蔡春,刘学华.绩效审计论[M],北京:中国时代经济出版社,2006

③ 陈耿,韩志耕,卢孙中.信息系统审计、控制与管理[M],2014

参考文献:

[1] 肖杰浩著.Oracle 10g 数据库安全策略研究[M],计算机科学技术,2004.

[2] 陈耿,韩志耕,卢孙中著.信息系统审计、控制与管理[M],清华大学出版社,2014.

[3] 于海霞,我国IT审计面对的挑战[J],中国管理信息化,2011.

[4] 陈耿,网络环境下的信息系统审计职能与类型[J],南京审计学院学报,2012(1).

it审计论文范文第2篇

关键词:电网企业 IT审计 IT 风险 信息技术

近年来,计算机与网络技术使当今世界进入信息经济时代。Internet与电子商务的迅速发展正使企业的经营环境、经营方式和管理模式发生重大变化。这种环境下,电网企业除了继续加强传统生产管理技术投入,对信息技术投入也越来越大,各种生产、经营管理信息系统的运用极大的满足了企业生产经营的需求,提高了电网企业优质供电服务的能力,也促进了企业经营管理水平的提高。随着企业对信息化运用和依赖程度越来越高,如何保证各种信息系统正确、高效的运行,使得审计面临着新的挑战和任务,引入IT审计技术可加强对信息系统的风险控制。

IT审计与信息技术的发展密不可分。现代化的IT技术已经应用于内部审计之中, 大幅度地提高了内部审计工作的效率, 而且在多个方面对审计的发展产生了广泛的影响[1]。

IT审计在国内外学术界有多种叫法,例如 EDP审计、电算化审计、信息系统审计等。尽管叫法不同,但其涵义基本相同。IT审计与一般审计一样,同样是执行经济监督、鉴证与评价职能。其特殊性主要在两方面:(1)对执行经济业务和会计信息处理的IT系统进行审计,即IT系统作为审计的对象;(2)利用计算机辅助审计,即计算机作为审计的工具。概括起来说,无论是对IT系统进行审计还是利用计算机进行审计,都统称IT审计[2]。

1.电网企业IT审计的目标

为能有效地、恰当地和高效率地开展IT审计,应该明确IT审计的目标。IT审计并不改变审计的目的和职能,只是审计的环境、对象、方法和工具发生变化。电网企业IT审计的目标可概括为通过对企业IT规划、建设、应用、服务以及安全等全方位的审计,评价信息化投入效益,充分识别与评估IT风险,促进完善IT控制措施,提升IT系统的可用性、安全性、完整性、效益性,以达到强化IT内部控制的目的。

2.IT审计的内容[3]

2.1研究、审查与评价IT系统的内部控制

由于应用了电子数据处理技术、网络技术、电子商务技术等等,电算化和网络化带来了许多新的风险。系统的安全、可靠性很大程度决定于系统的内部控制。没有健全的控制,系统的程序和数据可能随时被人篡改,机密的经济信息可能被人窃取,系统可能遭受计算机病毒和黑客的攻击和破坏,等等。为了提高计算机信息系统的合法性、正确性和安全性,研究计算机信息系统的特点和风险,研究应有怎样的控制才能有效地降低这些风险,对系统的内部控制进行审查和评价,审查系统的内部控制是否完善,监督内部控制的有效执行,对控制的弱点和缺陷提出改进的建议,确保计算机信息系统能合法、正确、安全、可靠地处理有关的经济业务,是IT审计的一项重要任务。在电算化和网络化条件下,系统的内部控制包括程序化的控制和要求员工执行的管理制度。程序化的控制编写在系统应用程序中,其审查可在系统功能审计中进行。对管理制度的完善性和有效性进行审计,则类似于传统的内部控制审查。

2.2 IT信息系统开发审计

在网络化条件下,为企业能正常经营、有效管理,必须建立合法、有效、安全的计算机信息系统与企业内部网。一个计算机信息系统,尤其是大型的网络系统,如果问题到正式投入运行后才发现并进行修改,要比在开发阶段发现、改进耗费更长的时间和更高的成本。因此,有必要对计算机信息系统 (如 ERP系统)的开发进行事前、事中的审计。这项审计工作一般由内部审计人员执行。系统开发审计的主要内容包括:①审查系统开发的可行性;②审查系统业务和信息处理功能的合法性和正确性;③审查系统程序控制与管理功能的恰当性与有效性;④审查系统的可审性(即是否留下了充分的审计线索);⑤审查系统测试的全面性和恰当性;⑥审查系统文档资料的完整性;⑦审查系统的可扩展性。

通过系统开发的事前与事中审计,尽早发现系统的问题,及时提出改进的建议,可以把好系统质量第一关,同时也为审计人员今后对系统的审计打下基础。此外,审计人员在系统分析阶段应根据网络化审计的特点对系统提出审计方面的需求:①在系统中建立监控程序 (又叫嵌入审计程序),以便计算机能对一些敏感和重要环节实行实时监控,发现异常的情况或例外事件自动向审计部门报警或自动记入审计文件,以便审计人员审查。②在信息系统中建立审计子系统或模块,提供审计程序、审计工具和审计档案库,以便审计人员进行网上审计。

2.3 IT信息系统功能审计

在电算化和网络化条件下,经济业务处理或会计核算由计算机系统执行,为了能对计算机信息系统的合法性、正确性和安全性实行有效的监督,IT审计的另一项重要任务就是要对计算机信息系统的功能进行审计。对信息系统功能审计的主要内容包括:①审查验证系统对业务与信息处理的合法性、正确性和可追索性。查明它们能否按现行的会计制度以及有关的财经法规和政策规定进行各项经济业务处理和会计核算,提供合法、正确的经济信息。②审查系统程序控制功能的恰当性和有效性。查明系统能否有效地防止或及时地发现在输入、处理、输出等过程中可能出现的各种差错和舞弊,达到预定的控制要求。计算机系统由硬件设备、系统软件和应用程序组成。只有三者的功能都正确可靠,系统的处理和控制功能才可能正确可靠。因为硬件设备和系统软件是由计算机厂商提供的,其中建立了不少控制,其功能一般来说比较可靠,一旦出现故障也较容易发现。会计核算或经济业务处理是根据系统的应用程序进行的,计算机系统的处理和控制功能是否合法、正确、可靠,很大程度决定于系统应用程序的正确性和安全性。因此,对计算机信息系统功能的审查,常着重于对系统应用程序的审查。对复杂的IT信息系统功能的审计,审计人员应聘请IT专家共同参加审查。

2.4 IT信息系统电子资料审计

审计都要对被审单位的证、账、表及其他反映经济活动的有关资料进行审查。在会计电算化条件下,证、账、表以数据文件的形式存储在电磁介质中,对它们的审计可以利用计算机辅助审计。计算机可以快速准确地完成各种繁复的计算,可以对大量的数据按指定要求进行各种审计处理,利用计算机辅助审计可以加快审查速度、提高审计效率和审计质量。

如果说仅在会计电算化条件下,审计人员还可以绕过计算机,只对打印输出的证、账、表和有关资料进行审计的话,那么,在网络经营与电子商务的条件下,因为没有纸性的审计线索,只有电磁化的电子资料,审计人员不可能绕过IT审计。对经济活动和会计信息的审查,必须利用计算机对有关的电子资料 (包括各种原始单据、合同、记账凭证、账簿、报表等)进行审查取证、汇总分析。对电子资料的审查,是IT审计的重要任务之一。

3.IT信息系统审计的程序

IT信息系统审计的程序与手工会计信息系统审计的程序基本相同,是指审计工作从开始到结束的整个过程,一般包括三个主要阶段,即计划准备阶段、实施阶段和审计完成阶段[4]。

3.1计划准备阶段

计划准备阶段的任务是:根据审计的目标对被审计单位的计算机会计信息系统进行初步调查、组织IT审计小组、发出审计通知书、编制审计计划等。初步调查,了解被审计单位的基本情况。包括:计算机会计信息系统的硬件、软件配置状况;系统总体结构、功能模块划分及各模块之间的关系;系统人员的配备、职责分工、相关规章制度及业务流程;初步评价内部控制制度的执行情况。

组织IT审计小组,根据被审计单位计算机会计信息系统的复杂程度、审计任务的难度及审计人员的素质选择适当的审计人员组成IT审计小组。小组成员可以由经过IT知识培训的审计人员和具有会计、审计知识的IT技术人员共同组成,各自发挥专长。相互配合完成审计工作。

发出审计通知书,执行内部审计时,要对被审计单位发出审计通知书,审计通知书是告知对被审单位进行审计的书面文件,包括:审计机关的名称,审计的目的、范围、重点,审计的时间和要求等。编制审计计划,审计计划由审计项目负责人于现场审计工作开始前起草,基本内容包括:被审计单位的基本情况、审计目的、审计范围及重点、工作进度、审计组人员组成及分工、审计程序、提出审计报告的时间等。

3.2实施阶段

实施阶段是审计全过程的中心环节,其任务是:对被审单位的内部控制的建立及遵守情况进行控制测试,对系统处理功能及处理结果的正确性进行实质性测试。

①控制测试。对内部控制措施的可靠性进行的测试,可分为一般控制测试和应用控制测试。一般控制测试的主要内容是:组织与管理控制、开发与维护控制、硬件和系统软件控制、系统安全控制、系统文档控制等方面的审查与测试。应用控制测试的主要内容是:输入控制、处理控制和输出控制的审查与测试。

②实质性测试。对被审计单位账户余额和发生额进行直接审核,以确认系统信息的正确、真实与可靠。在对会计资料所进行的实质性测试过程中,因为大量的信息都是以机器可读形式存放于一定的介质上,对这些数据文件的测试方法与手工截然不同。具体的测试方法包括以下三种:第一,不处理数据文件的实质性测试方法;第二,处理实际数据文件的实质性测试方法;第三,处理模拟数据文件的实质性测试方法。

上述三种方法与应用程序测试所叙述的方法基本一致。实际上,数据文件的测试可以与应用程序控制测试同时进行,也可以认为是计算机信息系统环境下的“双重测试”。

3.3审计完成阶段

审计完成阶段是实质性审计工作的结束,其任务是:整理、评价收集到的审计证据,复核审计工作底稿,编写审计报告。

①整理、评价收集到的审计证据。审计人员通过分类、计算、比较、综合等方法整理、分析审计证据。

②复核审计工作底稿。通过对审计工作底稿的复核,检验所引用的有关资料是否详实可靠,所获取的审计证据是否充分适当,审计判断是否合理,审计结论是否恰当。

③编写审计报告。审计人员必须正确运用职业判断、综合收集到的审计证据,根据审计准则,形成正确的审计意见,出具审计报告。审计报告除被审单位财务活动及文件编制的合法性、公允性,会计处理方法一贯性发表审计意见外,还应对被审单位计算机会计信息系统的内部控制和处理功能进行评价,并应提出改进建议。

4.IT审计技术及审计软件综述[5] [6]

4.1 IT嵌入式审计技术(一种在线审计技术)

嵌入式审计模块是集成于应用系统的各个环节的代码段, 或者说它是嵌入被审查的系统中的一个程序块, 应用它的主要目的是实现对交易处理等被审计事项的持续监控。嵌入式审计模块根据预先设定的规则对系统中每一项交易进行实时检查, 因此它尤其适用于需要处理大量数据的计算机系统中。嵌入式审计模块对满足预先设定规则的交易, 在该交易被进一步处理前作如下工作: 记录该交易的细节, 实现定期浏览和报告审计日志文件, 为后续审计作准备; 或者只是对交易作标记( tagging) 以便区分其他交易。

利用嵌入式审计采集审计证据有其独特的优点。其一, 它并不需要内部审计师连续地监控审计模块, 而是只要零星和偶然的监控即可获得有效的结果, 这就大大减少了内部审计师的工作量。实时审

计可以弥补事后审计线索不充分的缺陷。例如: 我们使用客户服务系统(CSS,Customer Service System )来管理客服功能。基于在线实时环境运行的CSS系统能保证客户服务数据直接由客户端传入系统数据库中, 对这种运行能够进行有效的实时监督的就是嵌入式审计过程。其二, 它可以采集审计所关心的关键数据。如对计算机非正常运行时间处理各项业务的记录, 或对非法调用数据文件处理的记录。嵌入的审计程序本身具有隐蔽性、安全性和稳定性。非审计人员不能看到这些审计程序和自动形成的审计数据。所以, 审计人员应用这些审计程序就能自动记载所要收集的审计证据, 同时还可随时调阅这些证据文件, 并利用这些审计证据适时判断系统运行情况和提出审计建议。

4.2通用IT审计软件(Generalized Audit Software,GAS)

GAS 是专门为审计人员设计的, 是能够直接访问各种数据库平台及平面文件(具有行和列的一维或二维数组的数据表)系统的标准软件。它可帮助审计人员完成基本的审计任务,尤其擅于测试计算机中存在的数据和信息。通用审计软件比较容易使用, 只需要审计人员具有有限的计算机知识, 并不要求有编程方面的专业知识,因此具有适用性强等优点, 是目前计算机审计中最广泛使用的审计工具。其基本结构图如图1所示。

国外著名的通用审计软件有审计命令语句ACL(Audit Command

Language)和IDEA(Interactive Data Extraction and Analysis)。国内的通用审计软件有: 中望软件公司的审易软件、中普软件公司的中岳软件、通审软件公司的通审2000、审计之星、金剑软件等。

在众多审计软件中,由ACL Services Ltd.()开发的审计命令语句ACL 是使用最广泛的通用审计软件。它允许审计师将个人笔记本电脑与客户机系统相联, 从而下载客户端数据到笔记本电脑中以供后期的处理。它可以针对覆盖所有交易事项的大数据集合进行符合性测试。值得一提的是, 它有审计追踪的功能, 从而审计师可以在任何时候观看他们的文档, 步骤和结论。ACL使用便利、适用范围广和可靠的优点使其在审计公司中非常流行。

4.3EXCEL中的审计工具

Excel是审计人员最常用的一种简单却非常易用的工具。可利用Excel辅助执行的审计工作有:利用Excel辅助审计程序表的编制,编制某些项目的审计表格,编制试算工作底稿与调整后会计报表, 编制集团公司的合并报表, 进行分析性复核。利用Excel辅助审计, 是一种成本低、效率高、灵活方便、实用有效的计算机审计技术。

5.结论

未来计算机审计工具与技术的发展更加要求内部控制制度的加强。传统记账方式下, 可以从字迹上辨认出登记人, 从而明确责任, 但是计算机环境下只能提供统一模式的输出资料。没有记录人的笔迹, 无法从记录上辨认登记人, 审计线索的痕迹不容易追踪,这就需要审计人员对会计部门的内部控制制度、职责的划分情况进行审查和评价。

随着电力行业快速发展,加强IT审计是建设国际一流电力企业的必然需要,也是国资委、工信部、国内外证监会等监管机构外部要求,更是践行“万家灯火、南网情深”企业理念的内生需求,必须通过加强IT审计来保证公司的信息技术应用对各级监管政策、法规的遵从性。因此,开展全面系统的IT审计是企业生存与发展的客观需要,具有重大的现实意义。需要我们以发展的眼光,与时俱进,坚持科学发展观,自主创新,深化研究,消化吸收国外IT审计先进方法、理论和技术,建立完整的、自主可控的信息系统事前、事中、事后多密级、多业务、多系统、多网络综合安全保障体系,为电网企业在各个领域的发展提供坚强后盾和有力保障。

参考文献:

[1]刘炳焕.我国计算机审计的现状与发展对策分析[J].审计文摘,2004(6)

[2]Larry E.Rittenberg,adley J.,Schwieger. Auditing:Concepts for a Changing Envioroment[M],Jointly published by Peking University Press,2003.

[3]薛鹏.如何在会计电算化环境下实施有效的审计[J].工业会计,2002 (11).

[4]中国内部审计协会.中国内部审计规定与中国内部审计准则[M]. 北京:中国石化出版社,2004.

[5]王宝庆.现代内部审计[M].上海:立信会计出版社,2007.

[6]理查得·L·莱特里夫等.内部审计原理与技术[M].北京:中国审计出版社,2008.

it审计论文范文第3篇

[论文摘要]现代风险导向审计是以被审单位的经营风险为出发点,将“发现的风险因素同认定层次可能发生的错误相联系”是审计风险判断的关键。但传统的审计方法并未明确指明如何将两者相联系,也并未考虑IT带来的影响。在IT环境下,审计风险判断应以流程(包括业务流程和IT流程)为中间环节,建立基于流程的审计风险判断方法。

现代风险导向审计以被审单位的经营风险为出发点,相关的风险评估结果是评估报表层次和认定层次重大错报风险的基础。审计风险虽源于重大错报风险,但审计人员最终都要通过对报表各项目的审计发表财务报表审计意见,因此风险评估必须与各类交易、账户余额、列报的认定相联系。将“发现的风险因素同认定层次可能发生的错误相联系”是审计风险判断的关键。但传统的审计方法并未明确指明如何将两者相联系,而且也未关注IT环境下如何将风险因素与认定层次可能发生的错误相联系。在IT环境下,业务流程及其支持流程——IT流程,都是链接风险因素和认定层次可能发生错报的中间环节。在高度自动化的企业环境下,审计证据的证明力依赖于IT相关风险的控制情况。因此,有必要改进IT环境下的审计风险判断方法。在IT环境下,审计风险判断应以流程(包括业务流程和IT流程)为中间环节,建立基于流程的审计风险判断方法。

一、流程对审计风险判断具有重要意义

流程的概念很多,ISO/IEC 9000将之定义为一组将输入转化为输出的相互关联或相互作用的活动。企业由流程构成,Kaplan(2001)将企业定义为是一系列相互关联的活动或流程的集合,或是一个价值链。在IT环境下,流程可理解为“角色加活动”,即将流程描述为一个为实现特殊目的而合作且互相影响的角色的集合。早期人们对企业流程的理解大多局限于传统的业务领域;当IT逐渐与业务融合,并成为企业所有经营活动的驱动引擎时,流程的范围开始拓展,此时的IT流程与业务流程需要实现动态整合,即IT活动被看作是业务,并执行与业务相同的方式。因此,IT环境下的企业业务流程应该是广义的,同时包含IT流程和业务流程。美国公众公司监督委员会的第5号审计准则就指出,作为理解重大流程的一部份,审计师应理解IT如何影响公司的交易流程。

有些大的会计公司为了强调经营风险的审计方法,修改它们的审计辅助软件,以围绕业务流程组织审计证据,而不是按照传统的交易循环组织证据。关注业务流程的审计软件系统(Business-Process-Focused,BPF)通过价值链组织被审单位的信息;而传统的关注交易循环的审计软件系统(Transaction-Circle-Focused,TCF)是按照交易分类组织被审单位的信息。O'Donnell E和Jr Joseph J Schultz(2003)的研究结果表明使用BPF软件的审计人员能识别出更多的风险情形,并将风险估计在恰当的水平;而使用TCF软件的审计人员对风险的识别和估计都较差。因此他们认为不同的信息组织形式会影响审计人员的决策判断。造成这种结果的原因在于业务流程关注事件之间的关联性,它通过情景引导记忆;而传统的交易循环关注的是交易分类,它通过语义引导记忆。因此,关注业务流程可降低任务的复杂性和认知难度。随后其他的研究人员也发现围绕业务流程开展内部控制的评估任务更为有效。

二、IT环境下基于流程的审计风险判断方法

为了协助审计人员运用自上而下的风险导向审计方法,国际审计和鉴证准则委员会于2005年制定了“在整个审计 [1]

2.确定财务报告流程的核心要素。根据企业层面的风险评估结果识别重大账户、重要披露及与之相关联的认定。

3.识别关键业务流程。审计人员首先要识别与上述重大账户、重要披露、认定相关联的关键流程及流程所包括的主要交易,同时识别流程中易发生错误和舞弊的关键点(控制点)。为了判断业务流程能否实时或检测错误和舞弊,审计人员要识别出需要被测试的控制点,由于业务流程大多基于IT,因此要确定这些控制点哪些是依赖IT的,然后识别并证实关键的IT功能。 然后IT审计人员与财务审计人员合作,从列示的子系统中识别出支持授权、复杂计算、维护重要账户(如存货、固定资产、贷款等)的完整性的重要应用系统。应用系统是否重要,需要考虑:交易量(交易量越多,应用系统越关键)、交易金额(金额越大,应用系统越关键)、运算的复杂性(运算越复杂,应用系统越关键)、数据和交易的敏感度(敏感度越大,应用系统越关键)。为应用系统提供IT服务,或者支持应用系统关键环节的IT一般流程即为需要进行IT一般控制测试的范围。

5.识别管理和驱动这些重大应用系统的IT流程。识别所有支持这些应用系统的基础设施,包括数据库、服务器、操作系统、网络,以及与之相关联的IT流程。判断这些IT流程的风险和相关的控制目标。识别出需要被测试的IT一般控制,进而判断其是否符合控制目标。控制测试结果将影响与之相关的IT应用控制的评价、业务流程的风险评价。对这些流程和系统进行风险和控制评估后,就可以制定风险控制矩阵。

6.评价IT控制、分析业务流程风险。结合对IT一般控制的评估结果和对业务流程中IT应用控制的评估结果,就可以分析关键业务流程的IT风险控制情况。此时的IT控制测试和人工控制测试要结合起来予以考虑,即将二者作为一个整体的测试对象。业务流程的风险是与业务流程所关联的一系列交易活动、账户群的余额、列报(包括披露)认定层次重大错报风险相联系的,因此,业务流程风险的评价结果构成了认定层次重大错报风险评估的直接基础。

it审计论文范文第4篇

[关键词] 商业银行IT审计

随着计算机网络的发展,商业银行在处理业务时对计算机信息系统的应用程度越来越高。信息系统就像一把双刃剑,它在带来经济效益的同时,也使商业银行面临巨大的风险,因此对信息系统进行严格规范的控制尤为重要。为了保证信息系统的安全、可靠与有效,实施有效的IT审计成为商业银行一项迫在眉睫的任务。

一、商业银行实施IT审计的必要性

1.这是由商业银行业务高风险性的特点决定的

商业银行本身是一个高风险行业,在银行业务中的主要风险包括:战略性的,名誉性的,操作的,信用,货币兑换,利率,流动性。随着银行业务信息化程度的提高,特别是近年来网络银行和信用卡的兴起,银行的业务和信息系统之间的联系不断加强,信息系统需要不断的修改和完善以适应业务发展的要求。当信息系统跟不上业务发展的需要时,就会造成系统故障,系统错误等情况,导致一些业务不能正常开展,这使得商业银行面临的战略性,名誉性,操作性的风险越来越大。为减少这些风险,这就需要IT审计对系统进行严格的规范控制,对信息系统进行综合的检查和评价以保证信息系统适应银行业务发展的需要。

2.这由信息系统本身的特点所决定的

信息系统的开发是一项长期而且庞大的工程,需要耗费大量的人力、物力以及财力,它具有投资大,风险高的特点,若开发不当,则可能会使信息系统无法投入使用,或即使能勉强投入使用,但在使用过程中也会错误不断,需要极高的成本来维护系统,因此需要IT审计对信息系统的开发过程进行跟踪审计,及时发现并改正错误,保证信息系统的质量,降低系统后期的维护成本。同时,由于并不存在十全十美的信息系统,也不可能在系统开发过程中发现全部潜在的错误,这使得在系统运行过程中可能会出现系统故障,系统错误,黑客攻击漏洞等情况,这可能会使数据被破坏,客户隐私被泄露,经济效益遭受损失,对商业银行的声誉、经营造成影响。这就需要在信息系统运行维护阶段进行IT审计找出系统的缺陷和不足,并提出改进和完善的意见,以保障系统安全、可靠以及有效的运行。

二、商业银行IT审计的现状及改进措施

1.建立完善的商业银行IT审计制度

在我国制度创新还跟不上IT的发展,相关的IT审计法规、准则存在着一定的滞后现象,目前存在相关法规、准则仅有审计署于1996年颁布的《审计机关计算机辅助审计办法》,1999年颁布的《独立审计具体准则第20号――计算机信息系统环境下的审计》等几个。而近年来IT发展迅速,这些法规、准则不一定能适应新的系统环境,这将会给商业银行的IT审计的实际操作带来一些困难和影响。为了促进商业银行的IT审计的发展,应该完善相关的法规、准则,使之跟得上IT的发展。同时,根据国际趋同的要求,我国也应根据国际IT审计的国际标准――COBIT(信息系统和技术控制标准)建立符合中国实际、顺应国际准则趋同化要求的内控、风险管理体系、IT监审机制和制度。

2.加强IT审计的连续性

由于商业银行信息系统的开发多采用外包方式,这使得在实施IT审计时容易忽视信息系统开发阶段的IT审计,使得IT审计缺乏连续性。而系统开发阶段存在的一些潜在的问题可能会系统在运行维护阶段逐渐暴露出来,这个时候就需要去系统本身进行修正,与在系统开发阶段进行的修正相比,此时的花费的成本将更高。因此,需要加强在系统开发阶段的IT审计,加强IT审计的连续性,这将有助于保障高质量的信息系统的开发,减少系统存在的潜在问题,降低运行维护阶段的维护成本。

3.提高商业银行内部IT审计的质量

商业银行一般都拥有自己的IT部门,由于部分内审人员计算机知识与技能有限,这使得在进行内部审计时会在一定程度上依赖IT部门的人员的帮助,诚然这些IT部门的人员对于计算机知识以及相关的业务十分熟悉,有利于内部审计的实施,但是这却让他们拥有运动员和裁判员的双重身份,使得内部审计的独立性遭到质疑,内部审计的质量得不到保证。而高质量的内部审计能使信息系统安全、可靠以及有效的运行,同时也使信息系统容易通过外部审计。因此,需要在商业银行内部设立独立于IT部门的IT审计部门,实施有效的内部审计。

4.培养IT审计专业人员

我国商业银行IT审计起步较晚,IT审计专业人员在数量上严重不足,同时在专业技能方面与国外相比也存在一定的差距,而这些因素也在一定程度上影响了商业银行IT审计质量的提高,因此需要大力培养IT审计专业人员。对此,我们可采取专家讲课、委托培训、公派交流学习等措施来培养IT审计人员,提高IT内审人员的素质。

5.借鉴国外的一些先进经验

我国IT审计起步较晚,虽然在近年来取得了较快的进步,但相对于一些起步较早的国家而言,总体水平并不是很高。我们可以根据自身的实际情况,借鉴一些适合我国国情的先进经验,比如:挪威的数据获取自动化(TOMAS)系统,它能在提高效率保证质量的同时,使审计人员可以采集存储在财务管理会计系统中的基本数据而不增加被审计单位的安全风险;美国利用互联网实施联网审计,审计人员可以通过网络获取被审计单位的有关资料开展审计工作等。

参考文献:

[1]胡克瑾:IT审计[M].北京:电子工业出版社,2004

it审计论文范文第5篇

[论文摘要]现代风险导向审计是以被审单位的经营风险为出发点,将“发现的风险因素同认定层次可能发生的错误相联系”是审计风险判断的关键。但传统的审计方法并未明确指明如何将两者相联系,也并未考虑it带来的影响。在it环境下,审计风险判断应以流程(包括业务流程和it流程)为中间环节,建立基于流程的审计风险判断方法。 

 

 

 

现代风险导向审计以被审单位的经营风险为出发点,相关的风险评估结果是评估财务报表层次和认定层次重大错报风险的基础。审计风险虽源于重大错报风险,但审计人员最终都要通过对报表各项目的审计发表财务报表审计意见,因此风险评估必须与各类交易、账户余额、列报的认定相联系。将“发现的风险因素同认定层次可能发生的错误相联系”是审计风险判断的关键。但传统的审计方法并未明确指明如何将两者相联系,而且也未关注it环境下如何将风险因素与认定层次可能发生的错误相联系。在it环境下,业务流程及其支持流程——it流程,都是链接风险因素和认定层次可能发生错报的中间环节。在高度自动化的企业环境下,审计证据的证明力依赖于it相关风险的控制情况。因此,有必要改进it环境下的审计风险判断方法。在it环境下,审计风险判断应以流程(包括业务流程和it流程)为中间环节,建立基于流程的审计风险判断方法。 

 

一、流程对审计风险判断具有重要意义 

 

流程的概念很多,iso/iec 9000将之定义为一组将输入转化为输出的相互关联或相互作用的活动。企业由流程构成,kaplan(2001)将企业定义为是一系列相互关联的活动或流程的集合,或是一个价值链。在it环境下,流程可理解为“角色加活动”,即将流程描述为一个为实现特殊目的而合作且互相影响的角色的集合。早期人们对企业流程的理解大多局限于传统的业务领域;当it逐渐与业务融合,并成为企业所有经营活动的驱动引擎时,流程的范围开始拓展,此时的it流程与业务流程需要实现动态整合,即it活动被看作是业务,并执行与业务相同的管理方式。因此,it环境下的企业业务流程应该是广义的,同时包含it流程和业务流程。美国公众公司会计监督委员会的第5号审计准则就指出,作为理解重大流程的一部份,审计师应理解it如何影响公司的交易流程。 

有些大的会计公司为了强调经营风险的审计方法,修改它们的审计辅助软件,以围绕业务流程组织审计证据,而不是按照传统的交易循环组织证据。关注业务流程的审计软件系统(business-process-focused,bpf)通过价值链组织被审单位的信息;而传统的关注交易循环的审计软件系统(transaction-circle-focused,tcf)是按照交易分类组织被审单位的信息。o’donnell e和jr joseph j schultz(2003)的研究结果表明使用bpf软件的审计人员能识别出更多的风险情形,并将风险估计在恰当的水平;而使用tcf软件的审计人员对风险的识别和估计都较差。因此他们认为不同的信息组织形式会影响审计人员的决策判断。造成这种结果的原因在于业务流程关注事件之间的关联性,它通过情景引导记忆;而传统的交易循环关注的是交易分类,它通过语义引导记忆。因此,关注业务流程可降低任务的复杂性和认知难度。随后其他的研究人员也发现围绕业务流程开展内部控制的评估任务更为有效。 

 

二、it环境下基于流程的审计风险判断方法 

 

为了协助审计人员运用自上而下的风险导向审计方法,国际审计和鉴证准则委员会于2005年制定了“在整个审计 

过程中运用职业判断对重大错报风险进行更准确评估的框架和模型”。具体步骤如下:(1)了解企业及其环境(包括内部控制),识别风险,并在报表层次考虑交易性质、账户余额、披露;(2)将发现的风险与认定层次可能发生的错误与舞弊相联系;(3)考虑风险的重要性;(4)考虑风险的发生概率。这个风险判断思路也同样适用于it环境。因此借鉴自上而下的审计方法,将流程作为it风险判断的中间环节,改进了的it环境下的审计风险判断方法具体实施步骤如下: 

1.了解企业及其环境(包括内部控制)。我国2006出台的《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》列举了影响重大错报风险的因素:行业状况、监管环境以及其他外部因素,企业性质,目标和性质以及相关的经营风险,财务业绩的衡量和评级,内部控制。在it环境下,识别和评价企业层面的风险和风险控制的有效性时,需特别考虑:(1)it利益群体的风险及对it利益群体控制的有效性,如it治理;(2)企业层面的it控制,如与it相关的控制环境、风险评估、信息与沟通、监控、教育和培训等方面。 

2.确定财务报告流程的核心要素。根据企业层面的风险评估结果识别重大账户、重要披露及与之相关联的认定。 

3.识别关键业务流程。审计人员首先要识别与上述重大账户、重要披露、认定相关联的关键流程及流程所包括的主要交易,同时识别流程中易发生错误和舞弊的关键点(控制点)。为了判断业务流程能否实时预防或检测错误和舞弊,审计人员要识别出需要被测试的控制点,由于业务流程大多基于it,因此要确定这些控制点哪些是依赖it的,然后识别并证实关键的it功能。 

4.确定与it功能相对应的应用系统的范围。详细列出与这些it功能相关的应用系统和与之关联的子系统,包括交易应用系统和支持性应用系统。交易应用系统在处理组织内的数据时通常提供以下功能:(1)通过借贷关系记录交易的价值数据;(2)作为财务、经营和法规数据存放的仓库;(3)能够生成各种财务和管理报告,包括销售订单、客户发票、供应商发票以及日记账的处理。支持性应用系统并不参与交易的处理,但方便了业务活动的进行,如email程序、传真软件、设计软件等。 

然后it审计人员与财务审计人员合作,从列示的子系统中识别出支持授权、复杂计算、维护重要账户(如存货、固定资产、贷款等)的完整性的重要应用系统。应用系统是否重要,需要考虑:交易量(交易量越多,应用系统越关键)、交易金额(金额越大,应用系统越关键)、运算的复杂性(运算越复杂,应用系统越关键)、数据和交易的敏感度(敏感度越大,应用系统越关键)。为应用系统提供it服务,或者支持应用系统关键环节的it一般流程即为需要进行it一般控制测试的范围。 

5.识别管理和驱动这些重大应用系统的it流程。识别所有支持这些应用系统的基础设施,包括数据库、服务器、操作系统、网络,以及与之相关联的it流程。判断这些it流程的风险和相关的控制目标。识别出需要被测试的it一般控制,进而判断其是否符合控制目标。控制测试结果将影响与之相关的it应用控制的评价、业务流程的风险评价。对这些流程和系统进行风险和控制评估后,就可以制定风险控制矩阵。 

6.评价it控制、分析业务流程风险。结合对it一般控制的评估结果和对业务流程中it应用控制的评估结果,就可以分析关键业务流程的it风险控制情况。此时的it控制测试和人工控制测试要结合起来予以考虑,即将二者作为一个整体的测试对象。业务流程的风险是与业务流程所关联的一系列交易活动、账户群的余额、列报(包括披露)认定层次重大错报风险相联系的,因此,业务流程风险的评价结果构成了认定层次重大错报风险评估的直接基础。 

7.评估电子证据证明力、设计实质性测试程序。审计人员可根据上述步骤的风险评估结果判断某一业务流程的电子审计证据的证明力并设计与业务流程有关的账户群的实质性测试程序。 

通过上述7个步骤,审计人员可以将it环境下的企业风险因素与报表层次和认定层次的重大错报风险相链接,同时也为电子审计证据证明力(即检查风险的判断)提供了依据。 

 

参考文献: 

相关期刊更多

ITS通讯

省级期刊 审核时间1个月内

清华大学交通研究所

TWICE消费电子商讯

部级期刊 审核时间1个月内

中国电子商会

Journal of Zhejiang University Science A

SCI期刊 审核时间1-3个月

中华人民共和国教育部