写论文没有思路的时候,经常查阅一些论文范文,小编为此精心准备了《高校信息系统审计论文(精选3篇)》,欢迎阅读,希望大家能够喜欢。【摘要】高校综合信息系统的核心组成部分是财务信息系统,健全的信息系统审计程序既能有效保障国有资产安全完整,又能使其合理充分利用,发挥最大效益。
高校信息系统审计论文 篇1:
信息系统审计准则国际经验与启示
一、引言
信息系统审计(IS Audit)的概念最早出现于20世纪60年代,会计电算化的发展使得审计人员开始关注电子数据的采集、分析与处理,被人们称为EDP审计,这是信息系统审计的早期萌芽。20世纪90年代,信息系统日益复杂,如何保障信息系统的安全、可靠和有效变得越来越重要,信息系统审计开始在美、日、澳、英等国普及起来。2001年,国家审计署将注册信息系统审计师(CISA)考试引入我国,十余年来各行各业都开展了如火如荼的信息系统审计实践。准则是审计工作的基本规范,信息系统审计准则是信息系统审计师共同遵循的标准,对于促进信息系统审计行业发展具有重要意义。日本通产省(Ministry of Economy Trade and Industry,简称METI)早在1985年就颁布了信息系统审计准则,还成立了日本系统审计师协会(JSSA)。美国也成立了信息系统审计与控制协会(ISACA),制定和颁布了一系列信息系统审计准则指南,并在全球范围内应用推广。我国审计署以实务公告形式颁布了《信息系统审计指南》,中国内部审计协会也以具体准则形式颁布了信息系统审计准则,为规范我国的信息系统审计实践提供了重要参考。然而,由于信息系统审计的技术复杂性,以及我国信息化发展的阶段特征等客观原因,目前我国的信息系统审计理论与实务研究都尚处于百花争放时期,关于信息系统审计对象、范围和目标等基础概念的理解众口不一,更是缺少系统化的信息系统审计准则体系,严重制约了我国信息系统审计行业的发展。
二、信息系统审计概念内涵
信息系统审计概念,国内外尚没有统一定义。美国著名学者Ron A·Weber认为,IS审计是一个获取证据,对信息系统是否能保证资产的安全,数据的完整,以及是否有效的使用了组织资源并有效地实现了组织目标做出评价和判断的过程。该定义得到较为广泛的流传,印度审计署颁布的IT审计手册也采用了该定义。ISACA协会则认为,信息系统审计是一个搜集和评估证据过程,以确定信息系统和相关资源是否受到充分保护、是否能保障数据和系统的完整性、是否能提供相关和可靠信息、是否有效使用组织资源以实现组织目标,并建立了有效内部控制体系可以合理保障组织运营和控制目标。日本通产省(METI)在1996年修订了信息系统审计准则,指出信息系统审计是为了信息系统的安全、可靠与有效,由独立于审计对象的IT审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合检查与评价,向IT审计对象的最高领导,提出问题与建议的一连串的活动。中国内审协会颁布的《中国内部审计具体准则28号——信息系统审计》中指出,信息系统审计是指由组织内部审计机构及人员对信息系统及其相关的信息技术内部控制和流程开展的一系列综合检查、评价与报告活动。国家审计署颁布的《信息系统审计指南——计算机审计实务公告第34号》认为,信息系统审计是指国家审计机关依法对被审计单位信息系统的真实性、合法性、效益性和安全性进行检查监督的活动。
上述定义有差异,也有共同之处,本文从审计目标、审计对象和审计内容这些概念进行了对比分析,如表1所示。
从表1可知,目前学术界和业界对于信息系统审计的对象有较为统一认识,但学者们对审计目标、审计内容的理解存在较大分歧。信息系统审计是源于信息系统和审计理论的新兴交叉学科,观点分歧代表了信息系统审计的不同定位。日本的信息系统审计师考试是一种全国信息处理人员水平考试,因此日本信息系统审计强调对信息技术和软件规划开发等内容的审计,并不提及审计师的专业判断;其它观点多出自审计师视角,审计师们通常更多关注控制与风险,所以审计内容通常是一般控制和应用控制审计等;另外,审计又区分为国家审计,社会审计与内部审计,有着不同业务领域性质与要求,导致各领域对信息系统审计目标理解的多样化。
基于上述讨论,本文提出信息系统审计是审计主体遵循一定标准规范搜集与评估证据,判断信息系统及相关资产的安全性、可靠性和有效性,提出审计意见与建议,促进被审计单位信息系统实现组织目标的行为。从该定义可知,信息系统审计的对象是系统及相关资产,主要包括计算机硬件、软件、网络基础设施、数据、人和相关管理制度。信息系统审计有三大目标:安全性、可靠性和有效性。其中,系统安全性是指信息系统资源是否受到妥善保护,不因自然和人为的因素而遭到破坏、更改或者泄露系统中的信息。系统可靠性包括三個方面的内涵:硬件、软件和数据的可靠性。硬件的可靠性是指在一个指定的时间周期内,在给定的控制条件下,硬件系统执行所需功能的成功概率。软件的可靠性是指在运行环境中,在规定的运行时间内或规定的运行次数下,程序和所有数据元素运行不同测试用例的无差错概率。数据的可靠性是指数据的真实、准确和完整,它取决于系统对数据的处理过程是否准确无误,以及确保数据可靠的控制措施是否有效。系统有效性也有三方面的内涵:一是指信息系统的处理过程是否符合国家法律和有关规章制度的要求(合规性);二是指信息系统是否能够实现既定的业务目标(效益性);三是指系统的效率性即系统利用各种资源输出用户所需要信息的及时程度和运行速度。
三、信息系统审计准则国际经验
目前,国际上影响力较大的信息系统审计准则有四个,分别是国际信息系统审计与控制协会(ISACA)、日本通产省信息系统审计标准,以及国际内部审计师协会(IIA)颁布的全球技术审计指南和美国审计总署(GAO)颁布的联邦信息系统控制审计手册。
(一)ISACA的信息系统审计准则体系 1994年,电子数据审计师协会(EDPAA)更名为ISACA协会,该协会是目前最有影响力的信息系统审计专业人员的国际性组织。它在全世界许多国家举办注册信息系统审计师(CISA)考试,还制定和颁布信息系统审计准则体系来规范和指导CISA工作。ISACA的信息系统审计准则体系由ISA标准、指南和程序三部分构成。信息系统审计标准是整体准则体系的总纲,是制定指南和程序的基础。审计标准规定了审计章程、独立性、职业道德和胜任能力,以及审计工作执行的基本行为规范,是CISA执行审计业务必须遵循的标准,具有强制性。目前ISACA共颁布了16条审计标准,42项审计指南,为CISA执行审计业务中如何遵守审计标准提供指引,任何偏离指南的行为必须有充分的理由,属于“强烈推荐遵循”。审计程序是依据审计标准与审计指南制定的,为CISA提供审计业务的程序与步骤,类似一种工作范例,并不强制要求。到目前为止有效的ISA程序共有9 项。
(二)日本的信息系统审计准则 日本通产省(METI)于1985年发布了信息系统审计准则,1996年进行了修订。该准则由一般标准、执行标准和报告标准三部分组成。一般标准描述了信息系统审计的目标、对象、人员和流程等。执行标准描述了信息系统审计的具体实施内容,强调系统审计师应关注信息系统规划、开发到运行全生命周期各阶段的风险。报告标准描述了信息系统审计结果的收集整理,以及根据审计结论应采取的措施。
(三)IIA的全球技术审计指南(GTAG) 国际内部审计师协会(IIA)的内部审计国际实务准则框架(IPPF)是内部审计规范体系的标杆。IIA非常重视信息系统审计,IPPF在“实务指南”层次用相当篇幅详细规范了信息系统审计的内容与方法。自从2005年发布第1号全球信息技术审计指南(GTAG)指南起至今,IIA已发布了16项信息系统审计指南,内容涉及信息系统控制、应用控制审计、制订IT审计计划、IT项目审计和信息安全治理等等。
(四)联邦信息系统控制审计手册(FISCAM) 2009年美国审计总署(GAO)发布了联邦信息系统控制审计手册(FISCAM),在该手册的指导下,GAO每年还安排若干审计项目对政府部门信息系统控制进行审查评估。FISCAM的IT控制包括一般控制和应用控制。其中一般控制包括:实体安全控制、访问控制、应用软件开发和变更控制、职责分离控制、应急计划;应用控制包括:应用级一般控制、输入控制、处理控制、输出控制、接口控制、数据管理系统控制。FISCAM对以上各类控制的审计程序与步骤进行了详细说明。
上述四个准则的详细比较如表2所示。
从准则框架结构上看,ISACA作为专门的信息系统审计与控制协会,建立了较为完整的信息系统审计准则体系,它采用总分式分层体系,16项审计标准是总纲,自2005年发布后基本保持稳定,而42项审计指南一半以上是新增或新修订的,不断更新的审计指南赋予了审计标准新的内涵与外延,审计程序则重在描述审计程序与步骤。日本通产省的审计准则采取一体化形式,整套准则的内容相当于ISACA的审计标准层次。
从准则具体内容上看,日本的信息系统审计师属于计算机行业,其审计标准具有明显信息技术特征,主要规范了信息系统审计目标、审计对象、审计人员资质和审计方法,尤其详细明确了信息系统规划、开发和运行全过程的关键风险点;而ISACA的审计标准更多关注信息系统审计的审计特征,主要规范审计权力责任、审计人员职业道德规范、审计计划、审计证据、审计记录、审计抽样和审计报告等内容。ISACA协会的审计指南与IIA协会的GTAG指南的操作性程度不同,前者类似我国的具体准则,GTAG指南则围绕不同的审计业务详细描述审计工作思路,审计方法、技术与工具等。
从是否强制性要求来看,ISACA协会的准则体系中既包含强制性遵循的审计标准、强烈推荐遵循的审计指南和非强制性要求的审计程序,还包含ISACA制订或编写的出版物以支持实务工作。IIA协会的GTAG指南处于IPPF框架的实务指南层次,属于强烈推荐遵循;美国审计总署GAO颁布的FISACM是非强制性要求的手册,用以指导实务工作。
四、我国信息系统审计准则现状
我国目前颁布的信息系统审计准则规范屈指可数,主要有审计署以实务公告形式颁布的信息系统审计指南,中国内审协会发布的信息系统审计具体准则。
(一)信息系统审计指南 为指导和规范国家审计机关组织开展信息系统审计,2012年,审计署发布了《信息系统审计指南——计算机审计实务公告第34号》。该指南在借鉴国外信息系统审计指南的基础上,结合国家审计机关依法审计的法定职能,以及我国目前信息系统审计实践现状,提出了包含应用控制审计、一般控制审计、项目管理审计3大块的信息系统审计内容框架,重点描述了89项审计事项的审计要点。此外,审计署还在2013年出版了与该指南配套的《信息系统审计实务》,针对指南的各审计事项,分别描述了审计目标、审计程序、应取得的资料和常见错弊与定性依据等。
(二)内部审计具体准则第28号——信息系统审计 为规范组织内部审计机构及人员开展信息系统审计活动,保证审计质量,中国内审协会颁布了《内部审计具体准则第28号——信息系统审计》,自2009年1月1日起开始实施。该准则对信息系统审计的一般原则、信息技术风险评估、信息系统审计内容、信息系统审计方法,审计报告和后续工作共五个方面的内容进行了规定,明确提出信息系统审计包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审计。
综合来说,我国目前尚未建立信息系统审计行业协会,审计署发布了信息系统审计指南,属于非强制性要求,更高级别的强制性要求准则尚未发布;内审协会的信息系统审计具体准则虽属于强烈推荐遵循层次,但与IIA协会相比,其信息系统审计准则和相关指南还有极大的丰富与细化空间。总体来看,我国的信息系统审计准则体系缺少系统性与结构性,尚没有建立完整的信息系统审计准则体系。目前,国家审计、社会审计和独立审计都在各自业务领域内开展了一些信息系统审计实践探索,但各界人士对信息系统审计的基本原则与规范还缺少共识,长此以往将给我国信息系统审计行业发展带来混乱。
五、结论
信息系统审计准则是信息系统审计师共同遵循的标准,对促进我国信息系统审计行业发展具有重要意义。首先,从准则制定的社会背景来看,我国的社会信息化水平与美国、日本等国家存在客观的差距,ISACA,IIA和FISCAM等准则指南均基于相对完善的内部控制(IT控制)环境,而我国政府部门、企事业单位的信息化建设正处于飞速发展时期,大部分被审单位的IT控制体系尚在建立之中,如果按照国外规范开展我国信息系统审计,过于理想化的审计意见建议很难得到认同。
第二,从准则的框架结构来说,ISACA,IIA和日本通产省的框架结构,不太符合中国人的理解习惯。ISACA采用的审计标准、指南和程序的三层框架结构,跟我国的内部审计準则体系,注册会计师鉴证业务准则和国家审计准则采用的常用结构也不一样,不太符合我国审计师的认知习惯。
第三,从准则的具体内容来看,由于我国信息系统审计方面的法律法规还非常不完善。目前只有信息系统安全方面颁布了安全保护条例和强制性标准,IT运维服务、外包、信息资源开发利用,信息公开与政务服务等方面尚缺乏充分的审计依据。审计环境决定了我国信息系统审计准则在明确信息系统审计目标、规范信息系统审计内容等方面都需要充分考虑本土国情。但是,国外ISACA,IIA,FISACM等信息系统审计准则指南历经20多年的发展,已形成相对成熟的体系,相关观点已为我国审计师熟识。而且,国家的信息系统审计准则需要在国际舞台上相互交流与合作。
因此,制定我国信息系统审计准则需要遵循的重要原则是:坚持国际化与本土化相结合,既立足本土国情又实现国际接轨。本文借鉴ISACA,IIA和FISCAM等准则指南的优秀经验,参照我国国家审计准则的体系框架,考虑信息系统审计新业务的不同特征,尝试提出如下图1所示的中国信息系统审计准则体系框架。
该框架采用了审计准则、审计指南和实务手册三层结构。审计准则是强制性要求,审计指南是强烈推荐遵循,实务手册是非强制性要求。审计准则分成基本准则和具体准则两层,基本准则可包括五块内容,分别是总则、信息系统审计道德规范、信息系统审计作业准则、信息系统审计质量控制准则和附则。审计指南包括通用指南和专业指南两类,如面向一般信息系统的通用指南,针对电子政务、电子商务和ERP系统的专业指南,或者体现行业信息系统特征(如金融、通信行业)的专业指南等等。指南的内容框架可以采用一般控制和应用控制的基本框架,但在设计具体事项,或者明确审计内容重点时,应充分考虑我国企业或政府部门的信息化发展阶段及当前法律环境。实务手册是审计指南的具体化,详细规范审计内容、审计程序、审计依据、审计技术方法和典型错弊等相关知识点。实务手册可根据审计指南来加以制定,也可以针对某类突出问题(如电子银行、IT外包等)进行特别规范。
为逐步完善我国信息系统审计准则体系,我们建议采取如下策略:首先,以审计署为主导,協调整合中国注册会计师协会、内审协会以及高校的相关专家资源,组建信息系统审计准则研究课题组和专家咨询小组,激发信息系统审计职业界的积极讨论与参与。其次,成立类似ISACA的中国信息系统审计行业协会专门机构,以信息系统审计职业化建设为主线,组织修订与持续完善信息系统审计准则体系;组织信息系统审计师职业教育,提升信息系统审计师职业素质;总结我国信息系统审计优秀经验,积极开展与国外相关协会和政府机关之间的合作与交流。最后,人才是行业持续发展的源泉,也是准则规范有效实施的载体。建议增设我国信息系统审计师职业资格考试,明确我国信息系统审计师应具备的素质、知识与技能以及任职资格,既能保障准则规范的有效实施,也为促进我国信息系统审计行业发展提供人才支撑。
[本文系中国博士后科学基金项目《基于计算实验的电子政务风险审计》阶段性研究成果]
参考文献:
[1]张文秀:《国外信息系统审计规范、国家文化差异与制度移植》,《审计研究》2012年第5期。
[2]石爱中、周德铭、王智玉、杨蕴毅:《信息系统审计实务——中国计算机审计实务报告》,时代经济出版社2012年版。
(编辑 陈 玲)
作者:曹洪泽 唐志豪
高校信息系统审计论文 篇2:
基于信息系统审计视角的高校内控系统分析
【摘 要】 高校综合信息系统的核心组成部分是财务信息系统,健全的信息系统审计程序既能有效保障国有资产安全完整,又能使其合理充分利用,发挥最大效益。文章结合目前频发的高校腐败现象,依据内部审计协会发布的高校内部审计准则,分析现代信息化环境下高校内控体系建设的状况,从信息系统审计的视角查找当前高校内控体系的缺陷与不足,指出只有以信息系统审计为平台,构建完备的内部控制体系,方能从根本上控制不断蔓延的高校腐败现象。
【关键词】 信息系统; 内部审计; 内部控制; 高校腐败现象
一、引言
近几年,全国各地高校腐败案件频频曝光,大学领导在基建工程、后勤运行、招生调剂与仪器设备采购环节受贿现象频发,这些腐败案件引起了社会各界的广泛关注。特别是百年名校武汉大学两名高层领导利用职权收受巨额贿赂,被捕落马,严重冲击了大学在公众心目中的“象牙塔”地位。预防与遏制高校腐败现象,成为当前行政主管部门和社会各界面临的重要课题。信息系统审计监控功能弱化,内控体系建设不完善,是高校腐败现象频发的重要原因。以信息系统审计为平台构建完备的高校内控体系是从根本上遏制高校腐败现象的关键。
二、信息系统审计与内部控制系统
会计信息系统是高校综合信息系统的核心组成部分,《内部审计具体准则第28号——信息系统审计》指出,信息系统审计是指由组织内部审计机构及人员对信息系统及其相关的信息技术内部控制和流程开展的一系列综合检查、评价与报告活动,该准则适用于各类组织的内部审计机构、内部审计人员及其从事的信息系统审计活动。
信息系统审计要求内部审计人员首先收集和评价审计证据,经过信息沟通和专业技术方法处理;进而对信息系统能否有效保护资产的安全和及时维护数据完整作出判断;最后测试信息系统能否促使被审计单位充分高效地使用资源,能否促进被审计单位发展目标的顺利实现。在信息系统审计的实施阶段,所涉及的审计方法需要具备信息化专业技术,针对被审计单位的财务信息系统,审计人员首先需要进行了解和描述,再进行专业技术测试。
内部控制系统以控制环境为核心,由控制环境、控制活动、风险评估、信息沟通和监督五要素组成一个有机的整体,各要素之间相互作用、相互影响。《高校内部审计准则》(2009年9月1日颁布实施)定义的内部控制为“内部控制是指为了实现教育事业发展目标,保证资金、资产、资源安全、完整,并得到合理有效利用;保证会计信息真实、准确;保证有关法律、法规、规章的贯彻实施而制定与实施的一系列控制方法、保证措施和业务程序。”
三、高校内部控制体系现状分析
(一)硬件软件配置齐备,内部控制理念缺乏
目前,大多数高校比较重视财务信息化建设,逐步实现了硬件设备和软件系统的信息化,实行计算机财务信息统一管理,在跨校区财务管理平台上实现信息数据同步。特别是以硬件VPN(虚拟专用网Virtual Private Network,VPN)技术组建的财务专网,为财务管理工作实现计算机信息统一管理和维护提供了很好的网络基础平台。但是,随着硬件设备的更新、软件系统的升级和VPN技术的发展,仍有部分院校领导和财审负责人对信息系统内部控制管理的认识不足、重视不够,未能及时以信息系统审计为平台建立和完善内部控制体系。
(二)复合型审计人才缺乏,风险评估技术滞后
现代内部审计需要内部审计人员在具备审计专业知识的基础上,还要学习信息系统和计算机技术。目前,复合型审计人才培养工程进展缓慢,信息系统审计工作缺乏制度创新,尚未形成有利于复合型审计人才成长的机制和环境。信息技术风险评估是高校信息系统内部审计的前提。目前,大多数高校的内部审计人员风险评估技术滞后,尚不能准确识别与信息系统技术相关的内部和外部风险,缺失完善的风险评价指标体系,因而不能准确分析信息系统发生风险的可能性和影响程度。
(三)内部控制环境弱化,缺失风险控制评价
评价单位内部控制环境优劣的主要考察因素有:单位的组织结构、职权划分、人事安排以及领导的思维方式、价值观、管理理念和风格等。目前,高校管理者大多是某些专业突出人才转换而来,在管理理念上或多或少受到非管理专业思维模式的误导,在对高校的内部控制和风险分析上缺乏科学认识。例如,在单位的组织机构设置和人员配置方面,职责不清晰、权限不明确的现象依然存在;在考核机制上,更侧重于对工作态度等主观表现评价,忽视了专业不胜任、职责不相容原则的运用。风险评估是内部控制体系的重要功能之一,风险评估有三个步骤:首先,通过信息沟通与交流,判断控制风险发生的概率;然后,分析评估风险的影响程度;最后,总结环境测试数据,制定控制措施,撰写风险评估报告。目前,大多数高校是在风险发生后,才从自身找原因,忽视了从源头采取措施,避免事态发生。
(四)法人治理结构存在缺陷,导致内控体系不完善
根据《会计法》相关规定,校长对学校财务工作和会计资料的真实性、完整性负责。《高等教育法》依法确立了“党委领导下的校长负责制”,明确了校长和学校内部各主体之间的权利与义务关系,在学校党委的统一领导下,校长负责管理日常校务工作,但是在实际工作中却时而“政出多门、条块分割、多头操作”。高校内部会计控制涉及各个管理部门和二级学院,各单位都根据自身特点制定了内部管理办法和监督控制手段,但是缺乏综合衔接的内部“统一管理”办法和联动牵制的内部“监督控制”手段,达不到整体运用的理想效果,从而导致部门之间工作重叠、利益矛盾、效率低下。法人治理结构的缺陷必然导致资源配置失调,难以充分利用资源获取最大效益,进而导致内部控制体系崩溃,严重制约学校事业的可持续发展。
(五)人为干预信息系统监控功能,肆意变更财政预算支出项目
目前,大部分高校已配置了功能强大的综合财务管理系统,对校级和二级单位以及基层单位的财政预算通过信息系统实施监控,对预算项目的经费执行情况实时结算汇报,并对出现赤字的非正常项目及时通报预警。但是,近年来“刚性预算”的严肃性频受挑战,高校预算管理不规范的项目渐趋增多,弱化了财政预算的权威性。财政预算一经教代会表决通过,对任何教职工和学校领导都具有约束力,无权随意变更项目内容和预算金额,因发生特殊情况未列入预算又必须急办的项目,必须按财政主管部门规定程序上报审批、调整预算。然而,仍有部分高校在预算执行过程中法规观念淡薄,人为干预信息系统监控功能,肆意变更财政预算支出项目,不时挑战“刚性预算”的严肃性。
四、以信息系统审计为平台,完善内部控制体系
(一)提高认识、高度重视,完善内部控制体系
加强高等学校内部审计工作的信息化建设,完善内部控制体系,首先从思想观念上要高度重视。为适应高校内部审计信息化建设的步伐,审计人员要增强紧迫感,努力学习现代计算机技术,不断提升信息化审计的技术水平。作为高校的领导层,更应高度重视信息化建设,及时更新硬件设备配置,升级信息化软件系统,实行计算机财务信息统一管理,完善信息系统“数据同步、统一管理”体制,坚持以硬件VPN技术组建的信息系统平台为信息化建设提供技术保障。随着网络技术的不断发展和软硬件配置的不断更新,高校领导和财审负责人应更加重视信息系统管理,增强内部控制理念,及时建立和完善以信息系统审计为平台的高校内控体系。
(二)加强培训、积极引进,建立复合型审计队伍
审计专业知识不仅关系到高校信息系统审计工作的质量,也事关整个学校的可持续发展。建立一支既有扎实的理论知识,又有丰富实践经验的复合型审计队伍,对审计人员定期培训、定向交流,让专业审计人员轮流到会计师事务所实践,也可以选择大型企业的内审部门学习交流,详细记录审计实践的经历,及时总结大案要案审计的经验,并将这些素材加以提炼、内部交流,从根本上提高审计实践能力。另外,审计专业人才对实践性要求较高,高校也可以通过人才引进模式,面向社会公开招聘信息化审计人才。通过人才引进模式,吸收专业知识丰富、计算机水平高、实践能力强的人才到信息化审计队伍中来,以促进学校教育事业的可持续发展。
(三)优化高校内部控制环境,构建信息化审计软件平台
随着现代网络技术的发展,财务系统和审计系统逐步实现了实时联网,强化了审计部门的事中审计监督职能。目前,大多数高校已更新计算机硬件设备、升级财务系统软件,并着手构建信息系统审计平台。信息系统审计软件历经数次升级,功能逐步完善,主要有四个模块:(1)“审计项目管理”模块,进行人员分工、业务协作,监控审计工作进程;(2)“财务数据查询”模块,审计人员按照职责分工和授权范围,查询预算项目执行情况、分析经费支出数据;(3)“财经审计法律法规查询”模块,审计人员可以方便地检索、查询最新的法律法规文件;(4)“审计公文管理”模块,审计人员检索、查询、编写、存储相关审计项目的适用性文件。
(四)合理设置审计机构,完善法人治理结构
针对目前高校法人治理结构的缺陷带来的内控体系不完善,应合理设置内部审计机构,解决高校法人治理结构缺陷。内部审计部门与单位其他职能部门之间相对独立,专业技术要求高,具有较强的权威性。虽然高校领导的权力受党委和纪委等部门的监督和制约,但大都是事后监督、查证落实。完善的内部审计机构更侧重事前预防,预测风险发生的可能性以及分析风险的影响程度,从而在根源上防止高校腐败案件的发生。
(五)强化信息系统监控功能,实行财政支出“刚性预算”
高校的年度财政预算确定以后,必须维护其“刚性”,不能肆意变更项目内容和预算金额。全面预算管理建立在高校教育事业的发展战略基础上,预算制定过程是一个联系各部门实际情况、注重各项目绩效考评的决策过程。预算一经教职工大会表决通过,便具有“强制性”,学校各部门承办的具体预算项目都必须严格执行预算,所有经济活动的开展都必须围绕财政预算,强化全面预算的“刚性”。内部审计部门应按照学校的年度财政预算跟踪监督各项目的预算执行过程,即时反映项目预算执行情况,严格监督预算支出额度,结合高校具体情况制定有效的制约措施。
五、结语
近年来频发的高校腐败现象,与信息系统审计功能弱化、内部控制体系不完善密切相关。结合目前我国高校内部控制体系的现状,我们必须提高认识、高度重视,加强培养复合型审计队伍,优化高校内部控制环境,以信息系统审计为平台构建完备的内部控制体系,才能从根本上遏制不断蔓延的高校腐败现象。
【参考文献】
[1] 姜猛.试论以内部审计为核心的高校内部控制体系建设[J].财会通讯,2011(8).
[2] 唐文杰.高校信息系统审计策略探讨[J].财会月刊,2012(15).
[3] 胡玲玲.基于网络环境下的高校内部审计信息化研究[J].商业会计,2012(10).
[4] 杨霞光.信息化环境下的高校审计人才培养探讨[J].商业会计,2010(14).
[5] 姜猛.以内部审计为核心的高校内部控制体系可行性分析[J].审计月刊,2010(7).
[6] 邱玲.高校内部控制体系中的问题及对策[J].宁夏审计,2011(4).
作者:王恒斌
高校信息系统审计论文 篇3:
大数据对商业银行信息系统审计的影响研究
【摘要】随着科技的发展,大数据一词越来越被频繁提及,成为各界热议的话题之一,也引起了学术界众多学者的关注,与大数据相关的实践几乎成为所有行业在技术和应用方面最具创新意义的活动,因此对于以数据处理为依托的信息系统审计来说也是一种机遇。与此同时,大数据在信息系统审计工作的应用程度直接影响了审计的质量和风险,这就给信息系统审计工作带来了挑战。此外,随着大数据的高速发展,商业银行的客户数据、交易数据以及管理数据均呈现爆炸式增长,商业银行如何开展大数据环境下的信息系统审计极为重要。本文通过分析大数据环境下商业银行信息系统审计的现状,指出商业银行在大数据环境下开展信息系统审计面临的问题,最后就商业银行如何在大数据时代推进信息系统审计工作提出自己的意见和建议。
【关键词】大数据 信息系统审计 商业银行
一、大数据环境下的商业银行信息系统审计
随着互联网的不断发展,全球经济逐渐迈向数字化转型的新时代。大数据一经提出便掀起了社会各界的研究浪潮,部分国家甚至将其上升至国家战略的重要地位(维克托.迈尔-舍恩伯格,肯尼思.库克耶,2012;涂子沛,2012)[1][2]。在商业领域方面,国内外众多社交网络公司(如谷歌、Facebook、腾讯等)也根据自身庞大的用户数据信息展开相关大数据研究,试图发掘潜在的商业价值。学术界也对大数据展开了大量的研究,国际顶级学术刊物《Nature》早在2008年就开辟专刊《Big Data》,《Science》2011年推出第一个关于科学数据的专刊《Dea1ing with Data》。中国计算机学会还专门成立大数据专家委员会对大数据的发展状况追踪研究。
尽管大数据频繁地被媒体以及行业提及,但“大数据分析”在国内的发展仍处于初期阶段,发展状况远不如国外。审计与数据充分接触、依赖数据而生,大数据时代的到来,必然对审计工作造成很大的影响(Kiesow Andreas,Thomas Oliver,2014)[3]。数据规模空前加大,导致数据处理难度的加大;但若处理方法运用得当就可以从巨大的数据流中挖掘出更大的价值。可以说商业银行信息系统审计想要进一步发展就必须充分利用大数据技术挖掘海量数据中有价值的部分。当前我国大数据存储分析技术和处理技术相当薄弱,要达到信息智能化审计,都需要长时间大力投入人力、物力、财力(Setty Kumar, Bakhshi Rohit,2013)[4]。在大数据浪潮的冲击下,审计方式将朝着数据化、多样化、创新化方向发展(Xihan Qian,2014; Tammy Whitehouse,2014)[5][6]。大数据审计是传統信息审计的发展,是企业内部控制、安全风险控制的关键手段(许金叶、许琳,2013)[7]。与此同时,在大数据时代不可能收集和分析被审计单位全部数据,审计方式必须从传统的抽样审计转变为整体审计模式,可以减少由于抽取样本有限性而无法完全发现被审计单位的重大舞弊,大大提高审计质量(秦荣生,2014)[8]。随着大数据的快速发展,商业银行经营管理均以数据信息流的方式呈现,审计部门获取数据变得相对容易并且全面,但是数据处理和分析会更为复杂(王一多,2015)[9]。传统审计流程“采集数据——转化为标准表——分析处理”过程中可能会由于转换过程中数据的修改造成信息损耗,但是大数据时代“样本=总体”模式刚好可以克服这一弊端(张金城,柳巧玲,2016)[10]。所以说,大数据在给商业银行信息系统审计带来机遇的同时,也带来了挑战。
尽管我国近年来关于信息系统审计的研究已经取得了一定的成果,但大数据建设才引起了我国审计人员的广泛重视,加强数据管理是推进我国大数据环境下商业银行信息系统审计的必要条件。
二、大数据环境下商业银行信息系统审计的转变
商业银行只有真正将数据作为其战略性资产,才能有效防范和控制大数据时代商业银行的经营风险。
(一)审计思维的转变
传统审计由于数据存储的局限性只能采取抽样审计的方式,由于选取样本的有限性,容易忽视重要的业务活动,不能完全发现被审计单位的舞弊行为,隐藏了审计风险,利用大数据技术可以收集和分析处理全体数据,得出更为客观的审计结论(石登华,2016)[11]。另外,大数据时代追求“局部”、“精确”向“全貌”、“高效”转变,强调数据及时性和利用效率,容忍模糊和不确定性,利用来源广泛的海量数据帮助审计人员认清事物的真相(朱海星,2016)[12]。另外,在大数据时代强调用相关关系代替因果关系,通过对海量数据的挖掘与分析掌握问题与数据的相关性,揭示事物内在规律和发展方向。
(二)审计风险特点的改变
风险管理是商业银行的重点工作,在大数据时代背景下开展商业银行信息系统审计的过程中商业银行的风险特点发生了显著变化。与商业银行原有的信用风险、市场风险等传统风险相比,大数据环境下商业银行面临的数据纷繁复杂、数量庞大,数据安全问题日益突出(刘杰,2014)[13],我国存储和处理大数据的能力还很薄弱,个人或企业隐私泄露现象严重,使得商业银行信息系统审计数据安全问题突出。
三、大数据环境下商业银行信息系统审计面临的问题分析
自上个世纪90年代以来,我国在商业银行信息系统建设方面取得了巨大的成就,但是在开展信息系统审计的过程中,大数据技术的运用还处于起步阶段,面临的问题较多。
(一)信息系统审计法规、准则滞后
由于我国对商业银行信息系统审计的研究才刚起步,有关的规章制度很少,没有形成完善的规范体系来约束商业银行信息系统审计(李米,2014)[14],现有制度只是关于计算机审计的一般性指导,并没有具体的操作准则,如中国内部审计协会《内部审计具体准则第28号——信息系统审计》(2008)。然而,计算机审计与信息系统审计并不能视为同一个概念,其概念、审计目标、内容、适用准则或审计技术存在很大的区别,不能完全适应和规范商业银行信息系统审计的实践。要想加快我国信息系统审计的发展必须不断加强我国有关方面的立法。
(二)缺乏信息系统审计的专业人才
商业银行信息系统于传统审计相比最大的区别就是依托计算机技术进行审计(薛雁,2013)[15],因此对审计人员的素质要求相对较高,既需懂得计算机应用,又要有一定审计经验。但我国信息系统审计人员不仅在数量方面存在欠缺,质量方面更加有待提高。目前我国审计队伍严重缺乏既精通现代审计理论又精通计算机技能复合型人才,不能将大数据技术及时运用到信息系统审计中去,严重降低了信息系统审计的效率。
(三)缺乏有效的通用信息系统审计软件
信息系统审计必然离不开软件技术支撑,通用软件不仅具备了计算机辅助审计软件的各种功能,而且还可以利用计算机技术将数据接口与商业银行被审计的信息系统相连接,将审计工作程序化,大大减少手工审计的工作量(苟海霞,2014)[16]。然而,我国对于信息系统审计的研究才刚刚开始,几乎不存在通用信息系统审计软件,在信息系统审计软件开发方面存在很大的发展空间。
四、大数据环境下我国商业银行信息系统审计的发展策略
针对大数据环境下商业银行信息系统审计存在的问题分析,我认为应当从规范体系建设、专业人才培养、软件研发三个方面进行改进来推进大数据环境下商业银行信息系统审计的不断发展。
(一)完善相应的标准与规范体系
在大数据时代到來之际,国家审计机关与立法机关应思考如何利用好大数据所带来的优势。立法机关首先应在《审计法》中增加信息系统审计的相关条例,让审计人员在实际信息系统审计实务中做到有法可依,同时应该加强保护数据安全,构建大数据环境下的信息系统审计规范与法律体系。
(二)培养信息系统审计的专业人才
大数据环境下的商业银行信息系统审计工作需要一支既熟练精通审计业务和信息技术的队伍,然而财经类专业人员计算机技能大多达不到信息系统审计要求,制约商业银行信息系统审计的实施”。我国可以效仿美国、日本等信息系统审计发展先进的国家,组织国际信息系统审计师(CISA)执业考试,激励从业人员掌握最前沿的信息系统审计知识或者在高校开设相关专业。
(三)研发相应的信息系统审计软件
我国商业银行必须从实际出发,研发适合各自运行环境及不同审计内容的信息系统审计软件。在软件的研制方面,还要考虑审计作业发展趋势。研发过程除了要符合审计原理外,也要考虑审计人员的工作方式和习惯,建立简单易行的操作软件。
大数据环境下开展商业银行信息系统审计还处于初始阶段.这不仅仅是巨大的挑战.也是一个不可多得的机遇。
参考文献
[1]维克托·迈尔-舍恩伯格,肯尼思·库克耶.大数据时代[M],2012.
[2]涂子沛.大数据:正在到来的数据革命,以及它如何改变政府、商业与我们的生活[M].桂林:广西师范大学出版社,2012.
[3]Kiesow,Andreas,Thomas,Oliver Kiesow,Andreas,Thomas,Oliver.Continuous auditing in big data computing environments:Towards an integrated audit approach by using CAATTs,Series of the Gesellschaft fur Informatik (GI),v P-232,p 901-912,2014.
[4]Setty Kumar,Bakhshi Rohit.What is big data and what does it have to do with it audit,ISACA Journal,v 3,p 23-25,2013.
[5]Xihan Qian.The challenges and countermeasures of government audit in the age of big data. BioTechnology:An Indian Journal,v10,n8,p 2539-2545,2014.
[6]Tammy Whitehouse.Auditing in the Era of Big Data,Apirl 29,2014.
[7]许金叶,金琳.大数据审计:物联网建设的制度保障[J].会计之友,2013,(33):118-121.
[8]秦荣生.大数据、云计算技术对审计的影响研究[J].审计研究,2014(6):23-28.
[9]王一多.大数据分析助推审计信息化[N].四川法制报,2015- 07-23(008).
[10]张金城,柳巧玲.大数据环境下基于云计算的信息系统审计实施研究[J].商业会计,2016,(21):13-16.
[11]石登华.大数据时代对会计和审计的影响[J].财经界(学术版),2016,(12):281.
[12]朱海星.大数据环境下推进审计信息化建设的思路[N].中国审计报,2016-07-13(006).
[13]刘杰.ISACA信息系统审计基本准则解读[J].财会通讯,2014,(34):105-107.
[14]李米.浅析大数据环境下信息技术在银行内审中的应用[N].中国审计报,2014-10-29(008).
[15]薛雁.浅谈在大数据背景下应如何开展企业审计[N].中国审计报,2013-06-21(002).
[16]苟海霞.大数据在审计信息化中的应用及思考[J].财会研究,2014,(12):40-43.
作者:蔺亚利