审计信息化管理(精选12篇)
审计信息化管理 第1篇
一、信息化财务管理审计概述
1. 信息化财务管理审计的内涵
一般认为, 信息化财务管理审计是将互联网与计算机技术引入财务管理审计的过程中, 并创立信息化工作平台, 以便可以更快速有效地对信息数据进行采集、整理、管理和分析, 继而使审计工作的流程更规范合理, 审计工作的质量和效率都更高。可见, 信息化财务管理审计是一种必然的趋势, 它能够较好地保证企业财务管理审计工作的科学性和有效性, 有助于企业实现稳步长足发展。
2. 在财务管理审计工作中应用信息技术的必要性和重要性
首先, 是为了顺应财务管理审计环境的变化。如今, 企业财务管理审计方面的信息数据日益增多。如果在进行财务管理审计的过程中引入信息技术, 对财务数据的采集、管理与分析等工作有较大帮助, 有助于企业顺应审计环境变化趋势, 促使审计工作更加有序开展。
同时, 是为了深化企业的财务管理审计工作。在企业的财务管理审计工作中引入信息技术, 能够及时发现、评估、补救工作过程中的漏洞与问题, 从而可以更好地规避或降低企业的经营风险, 推进企业良性发展。
其次, 可以使财务管理审计的业务范围扩大。企业进行财务管理审计的时候引入信息技术, 能够将以往的纸质化财务数据变成无纸化信息数据, 有助于降低财务管理审计的工作强度和难度, 对扩大业务范围有较好帮助。
再者, 可以使财务管理审计的监督效果更高。在过去, 企业都是在事后进行财务管理审计, 而随着信息技术的引入, 企业能够通过全程同步审计迅速及时地对财务数据中存在的问题和审计工作中存在的不足进行处理, 可以提高财务管理审计的监督效果。
二、某企业应用审计信息系统实施财务管理审计实例
1. A企业审计信息系统的建立
随着A企业的发展规模不断扩大, 经营业务日益增多, 财务管理审计方面的信息数据也越来越庞大, 为了确保这些信息数据的准确性和真实性, 进一步降低财务管理审计工作的难度, 该企业设法建立审计信息系统, 以便可以通过信息化技术对数据进行实时远程监控和管理, 减少企业生产经营中的潜在风险。为此, 该企业在审计信息系统中构建了全面预算管理、资金集中管理和会计集中核算等平台, 同时安排了专业技术人员对系统平台进行维护、管理和优化。
2. 审计信息系统在A企业财务管理审计工作中的应用
(1) 应用的初始阶段
财务数据是构建审计信息系统平台的基础, 在建立审计信息系统后要对这些数据进行采集、整理、管理和分析。A企业在创建信息系统平台后, 由专业审计人员适时采集平台中的财务数据, 然后及时对这些数据进行分类整理和全面分析, 以便快速有效地厘清财务管理审计工作的重点。与此同时, 业务操作人员要根据审计人员预先确定的标准, 结合联网审计与现场审计的工作模式和需要, 对采集到的财务数据进行信息化转换和最终分析。在系统平台的支持下, 可以根据实际情况对批量财务数据进行筛选、排序, 并将其制作成曲线、图表等更加直观化的表现形式, 从而有效提高审计工作的标准化和科学化程度。
(2) 应用的完善阶段
基于审计信息系统平台, 企业可以定期对批量财务数据进行全面审查。通过对初始应用阶段的分析, A企业发现在系统应用过程中存在一定问题和不足之处, 并采取了针对性措施来完善审计信息系统平台。例如, 在进行日常报销的时候, 存在舞弊现象。对此, 在系统平台中相应增加了发票明细、发票序号等填报项目, 同时针对评审、评审、会议和三公经费等设置了预警数值。此外, 要求审计人员适时对各类经费进行动态研究, 以便通过分析图表或曲线等的变化趋势更及时地发现审计工作的分析, 并以此为依据制定科学合理的改进方案。
(3) 应用的总结阶段
经过一段时间实践, A企业大部分的财务管理审计工作都在审计信息系统中进行。如此一来, 以往大量的纸质化财务数据转变成电子图表和曲线数据, 审计人员的工作强度和难度都大大降低, 审计工作过程中出现的人为失误也有所减少, 审计工作的准确性和有效性得到较大提升。同时, 由于财务数据的判断与分析都是依托信息化技术和软件平台进行的, 审计工作的规范性和科学性也相应提高。其次, 财务管理审计是以预先设计的程序为基础进行的, 使得追溯、监督和管理审计工作的全过程成为了可能, 有助于更充分地发挥财务管理审计的监督功能。因此, 总的来说, 审计信息系统在财务管理审计中的应用, 提高了A企业的财务管理审计工作的效率和质量, 对A企业实现可持续发展有较大推动作用。
三、审计信息系统在财务管理审计应用过程中的问题和建议
1. 审计信息系统应用过程中的常见问题
第一, 普遍存在财务管理审计工作和审计信息系统平台的融合问题。这主要是因为负责软件研发的工程师没有深入透彻地了解财务管理审计工作, 因而并不清楚财务管理审计业务的实际情况, 导致系统平台可能无法充分满足审计工作的实际需要。另一方面, 尽管审计人员有丰富的审计经验和清晰的工作思路, 但是没有熟练掌握计算机应用方面的知识和技能, 不知道如何向工程师有效表达自己的工作需求, 以至于系统平台的部分功能达不到应用标准。
第二, 审计信息系统平台的部分功能模块有待完善。例如, 在对系统平台中的数据进行查询时, 由于某些功能模块不够完善, 无法及时获得信息数据, 使得财务管理审计工作无法有序开展。
2. 优化审计信息系统的建议
首先, 要适时组织审计人员进行业务培训, 对审计队伍进行优化完善。例如, 可以定期安排审计人员参加审计理论和计算机技能方面的培训。在培训的过程中, 向审计人员介绍国内外先进的审计思想和方法, 并教授其当前使用广泛的计算机应用技巧, 适时开展计算机操作训练和考核, 以便审计人员能够进一步提升专业水平和计算机应用能力。同时, 可以不定期邀请有丰富计算机实践经验的财务管理审计专家、学者来企业进行讲座, 使审计人员能够接受先进思想观念的熏陶, 主动加强自我反思和提升。
其次, 要加强和审计信息系统开发商的联系。在企业发展过程中, 财务管理审计工作会要做出相应的调整和完善。如此一来, 审计信息系统平台的数据接口、功能软件和模块都会适时要进行维护、管理和升级, 以更好地适应实际工作需要。因此, 企业要和开放商达成共识, 展开长期合作, 以确保信息系统能够有序运作。
四、结束语
综上所述, 企业在发展过程中难免会遇到财务管理审计方面的问题, 为了能够更高效有序地开展财务管理审计工作, 企业有必要根据经营发展状况适时引入信息技术, 建立科学合理的审计信息系统, 并在实际应用过程中定期做好系统的维护、管理和升级工作, 适时对系统平台和功能模块的常见问题进行总结分析, 然后以此为依据制定切实可行的优化方案。同时, 为了确保审计人员能够灵活运用审计信息系统开展审计工作, 可以定期安排审计人员参加业务培训。
参考文献
[1]中国石化集团公司审计局北京分局课题组.信息技术在内部审计中的应用探索[J].中国内部审计, 2014, 05:62-70.
审计信息化管理 第2篇
工业和信息化部经济责任审计管理暂行办法
(工信部财[2009]532号)
为了进一步加强制度建设,规范经济责任审计工作,根据《中华人民共和国审计法》、《工业和信息化部内部审计工作规定(试行)》,工业和信息化部在国务院法制办《经济责任审计工作条例》(征求意见稿)的基础上,结合工作实际,研究制定了《工业和信息化部经济责任审计管理暂行办法》,现已印发。
工业和信息化部经济责任审计管理暂行办法
第一章 总 则
第一条 为了完善权力制约机制,加强对领导干部的监督和管理,规范经济责任审计工作,根据《 中华人民共和国审计法》以及《工业和信息化部内部审计工作规定(试行)》,制定本办法。
第二条 本办法适用于工业和信息化部所属行政事业单位法定代表人的经济责任审计工作。
第三条 本办法所称经济责任,是指法定代表人因其所任职务而对本单位的财政收支、财务收支、国有资产管理以及有关经济活动应当履行的职责、义务。
第四条 法定代表人离开所任职岗位,应当依法接受经济责任审计。根据工作需要,经济责任审计也可以在法定代表人任职期间进行。
第五条 经济责任审计结果应当作为任免、奖惩被审计法定代表人的依据。
第六条 经济责任审计工作所需的机构、人员、经费应当予以保证,经费列入财务预算。
第二章 组织与管理
第七条 工业和信息化部人事教育司(以下简称人事教育司)负责经济责任审计的组织工作,进行经济责任审计工作的委托。
第八条 工业和信息化部财务司(以下简称财务司)负责经济责任审计的实施工作,根据工作委托,对被审计法定代表人开展经济责任审计。
第九条 部内有关部门根据责任分工,对经济责任审计发现的问题和线索,依法依规进行追究和处理。
第十条 经济责任审计应当有计划地进行。人事教育司、财务司根据工作需要研究确定审计计划。
第三章 内容与要求
第十一条 经济责任审计应当包括以下主要内容:
(一)被审计法定代表人任职期间单位的事业发展和经营发展情况;
(二)有关法律法规和国家政策的执行情况;
(三)财政收支、财务收支以及资产管理情况;
(四)重大经济决策情况;
(五)对外投资的管理和效益情况;
(六)与经济活动相关的内部管理控制情况;
(七)被审计法定代表人遵守有关廉政规定情况;
(八)其他与被审计法定代表人履行经济责任相关的情况。
第十二条 被审计法定代表人以及其所在单位或者原任职单位,应当提供以下资料:
(一)单位的基本情况,包括单位组织结构、资本结构、重要资产产权证明、重要投资合同、贷款合同目录、主管部门有关政策的批准文件等;
(二)单位的管理情况,包括单位内部决策程序以及执行情况、内控制度以及执行情况等;
(三)任职期间单位的财务会计资料、统计资料、单位外部审计报告和管理建议书等;
(四)任职期间单位重大事项,包括重大投资决策、重大诉讼、重大资产损失等;
(五)任职期间单位各工作计划、工作报告和工作总结;
(六)任职期间的决策机构办公会会议纪要以及纪录;
(七)其他经济监督部门对本单位检查后提出的工作报告和处理意见;
(八)其他相关资料。
第十三条 被审计法定代表人以及其所在单位或者原任职单位须对所提供资料的真实性、完整性负责,并签字确认。
第十四条 审计工作需向其他部门或单位调查核实有关情况的,被审计法定代表人以及其所在单位或者原任职单位应当予以协助。
第十五条 经济责任审计结果报告的内容应当包括:
(一)被审计法定代表人以及其所在单位或者原任职单位的基本情况;
(二)审计的依据、方法、内容和范围;
(三)任期期间财政收支、财务收支以及资产管理状况;
(四)对外投资管理以及收益情况;
(五)任期内存在的主要经济问题;
(六)审计评价;
(七)审计意见或建议;
(八)其他需要说明的情况。
第四章 步骤与程序
第十六条 人事教育司依据经济责任审计计划,进行经济责任审计项目委托,明确被审计法定代表人任期经济责任审计的起止时间,原则上审计起止时间不超过五年。
第十七条 财务司接受经济责任审计项目委托后,组成审计组,制定审计方案,确定审计重点,配置审计资源。
第十八条 财务司应当在经济责任审计实施前3个工作日,向被审计法定代表人以及其所在单位或者原任职单位送达审计通知书。遇有特殊情况,可以在召开进点会议时送达。
第十九条 财务司在实施经济责任审计时,应当会同人事教育司组织召开有被审计法定代表人以及有关人员参加的进点会议。被审计法定代表人应当在会议上报告任职期间经济责任的履行情况。
第二十条 审计人员在现场审计过程中,通过审查会计凭证、会计账簿、财务会计报告、有关信息系统以及电子数据,查阅与审计事项有关的文件、资料,检查现金、实物、有价证券,向有关单位和个人调查等方式进行审计,并取得证明材料。
第二十一条 审计人员在经济责任审计过程中,遇有重大问题可以提请被审计单位有关部门协助,有关部门应当及时予以协调解决。
第二十二条 审计人员在经济责任审计过程中,发现被审计法定代表人以及其所在单位或者原任职单位存在严重违反国家法律法规行为的,应当及时向财务司报告。
第二十三条 经济责任现场审计工作完成后,审计组应当及时向财务司提交审计报告。
审计报告报送财务司前应当书面征求被审计法定代表人以及其所在单位或者原任职单位的意见。被审计法定代表人以及其所在单位或者原任职单位应当在收到审计报告初稿后10个工作日内提出书面意见;逾期未提出书面意见的,视为无异议。
审计组应当将审计报告连同被审计法定代表人以及其所在单位或者原任职单位的书面意见一并报送财务司。
第二十四条 财务司在对审计报告、被审计法人代表经济责任履职报告、被审计法定代表人以及其所在单位或者原任职单位对审计报告提出的书面反馈意见进行审议和研究的基础上,向人事教育司提交经济责任审计结果报告,并将报告送被审计法定代表人以及其所在单位或者原任职单位。
被审计法定代表人对审计结果有异议的,可向有关部门申诉。
第五章 审计评价与责任界定
第二十五条 审计评价应当以审计查证或认可的事实、有关法律法规和国家政策、标准等为依据,实事求是,客观公正地对被审计法定代表人任职期间履行经济责任方面的决策能力、管理水平、经营效果,以及遵守法律法规、国家政策情况,作出经济责任审计评价。
第二十六条 责任界定是指依照法律法规和有关规定,对被审计法定代表人任职期间不履行或者不正确履行经济责任的行为应当承担的责任进行界定,包括直接责任、主管责任和领导责任。
第二十七条 本办法所称直接责任,是指法定代表人对其任职期间履行经济责任过程中的下列行为应当承担的责任:(一)直接违反法律法规和国家其他有关规定、单位内部管理规定的行为;
(二)授意、指使、强令、纵容、包庇下属人员违反法律法规和国家其他有关规定、单位内部管理规定的行为;
(三)失职、渎职行为;
(四)其他应当承担直接责任的行为。
第二十八条 本办法所称主管责任,是指除直接责任外,法定代表人对其直接主管的工作不履行或者不正确履行经济责任的行为应当承担的责任。
第二十九条 本办法所称领导责任,是指除直接责任外,法定代表人对其非直接主管的职责范围内的工作不履行或者不正确履行经济责任的行为应当承担的责任。
第六章 附 则
第三十条 审计人员依法独立实施经济责任审计,任何单位和个人不得拒绝、阻碍,不得打击报复。
第三十一条 审计人员对在审计工作中知悉的国家秘密、被审计法定代表人所在单位或者原任职单位的商业秘密和被审计法定代表人的个人隐私,负有保密的义务。
第三十二条 按照干部管理权限,对本办法规定的被审计法定代表人以外的其他负责人的经济责任审计,可由有关部门或者其所任职单位参照本办法的规定组织实施。
第三十三条 部主管的社会团体法定代表人的经济责任审计工作可参照本办法执行。
第三十四条 本办法由财务司和人事教育司依据职责分工负责解释。
第三十五条 本办法自发布之日起施行。
审计信息化管理 第3篇
【关键词】信息化;金融审计;组织管理模式;创新
引言
金融行业的发展与信息现代化息息相关,随着互联网金融、电子商务金融及APP等新金融创新案例的出现,金融审计组织管理模式不得不适应金融行业发展趋势而不断创新。信息化发展条件下,要求审计办组织审计手段实现信息化,金融审计组织管理形式要做出相应的调整,以便更好地发挥其金融审计的独特作用。本文认为信息化发展条件下的新型金融审计组织管理模式应通过审计项目管理的实时化、远程化和协作化,实现相关信息资源共享、业务协同和整体联动。
1.信息化发展对金融审计组织协作方式的影响
信息化发展对金融审计组织协作方式提出了更高要求,数据大集中一方面将审计密切关注的各种信息资源整合起来,另一方面也造成了审计压力的聚集。若总行的数据集中分析不到位将直接影响线索核查与问题反馈等环节的推进。当前,我国金融审计组织管理方法主要坚持集中分析、分散核查的原则,实际上审计测试过程是一种流水线作业写作方式,总行作为龙头,若能起到良好作用,会使整个审计流水线处于良性运行状态,若不能完全发挥集中分析的重要作用,必将影响到下游流水线作业。所以,在信息化发展环境下,金融审计项目实施组织方式应逐渐从网状结构转变为总—分结构,向数据集中的地方倾斜。共享是信息化发展的优势所在,目前各金融机构之间推行的总行—分行—支行的互联网络为审计信息资源的共享提供了新思路。审计共享主要涉及两方面内容,一是审计数据信息的实时共享,二是实时审计模型的共享,借助于联网审计,可以将不同地区的审计组在相同的时间内聚集起来共享与探讨同一份数据资料,摆脱了传统审计组织管理模式下受时间、地域等多种因素限制的现状,实现了现场与远程审计的有机结合。
2.新型金融审计组织管理模式的构建
根据上述关于对信息化条件下对金融审计组织协作方式的影响分析,本文认为应本着实现审计目标、提高审计效率与质量的原则,建立一个平台、两种渠道、三个中心与多个核查小组共同协作的新型金融审计组织管理模式。
2.1搭建一个综合信息管理平台
在信息化时代,为顺利推进金融审计信息化就必然要搭建一个综合信息管理平台,以便于审计人员能够通过该平台采集分析各项目的数据信息,实现审计项目基础信息、作业与管理信息的集中管理与实时维护。借助于该平台,各种类型的审计信息都将实现共享,各参与主体也可依托平台相互交流、发布信息,真正将金融审计的各个环节连结为一个整体。但是,这里需要强调的是应避免各参与主体滥用该平台发布不相关信息或肆意扰乱平台秩序,审计信息交流与共享主要是为了让各审计主体都能够了解更多真实的项目信息,以有利于自身的金融决策,切忌在平台各种复杂的信息中疲于应付而迷失项目既定目标与实际需求。因此,本文认为该平台的管理员要发挥好信息管理任务,根据审计主体差异设置相应的访问与信息发布权限,并定期归纳与整理平台审计信息,做到信息分层与有序,及时删除无效信息和不真实信息,避免审计信息泛滥过剩造成的金融决策失误等问题。
2.2形成信息交互与资源共享两种渠道
信息化发展条件下的金融审计组织管理模式变革要求从全面整合、合理利用、优化配置、有效开发与资源共享等方面管理审计资源,从而尽可能高质量的发挥金融审计的整体效能,使大量的审计资源能够物尽其用、相互协调。因为多数金融审计项目都是大型审计项目,无论是组织内部,还是外部环境一般都比较复杂,作业地点分散不易管理,这就要求金融审计必须依靠当前先进的信息交互技术,开通信息交互渠道,实现不同地域之间的信息交互。信息交互渠道以综合信息管理平台为依托,在不同审计主体间建立一种安全可靠的远程信息交互渠道,实现审计数据信息的实时传递与动态管理。同时,资源共享渠道也是不同审计主体进行信息交互的重要载体,让各审计人员及审计组织能够在信息交互过程中充分利用综合信息管理平台中的各种审计方法、数据模型,学习新的审计理论与法规等。
2.3建立决策指挥、数据分析与宏观研究三个中心
信息化发展条件下金融审计组织结构十分复杂,在管理过程中涉及多种要素的交叉管理,为将整个项目整合在一起实现高效管理,本文提出建立决策指挥、数据分析与宏观研究三个中心。首先,决策指挥中心应利用数据分析与宏观研究中心得出的相关信息给出决策意见,并提出具体的实施方案,在做到决策指令有根有据的基础上发挥决策指挥人员的创造力;其次,数据分析中心依据决策指挥中心指令预测金融机构数据变化,设置预警指标,利用资源共享渠道整合分析综合信息管理平台中的各项审计数据信息,对审计单位数据展开预警;最后,宏观研究中心应在审前调查与审计实施过程中分析金融领域宏观性、预见性问题,揭示系统性风险,在审计实施后期综合分析审计发现的各种问题,总结金融行业发展规律,提出相应发展策略,推进审计成果增值。
2.4组织多个核查小组
核查小组的主要职责是精确核查,确保金融审计的合理性、真实性与可靠性。本文提出多个核查小组相互协调,可实现小组核查之间的相互监督,同时能够更加全面的掌握各种核查信息。核查小组借助于综合信息管理平台与信息交互和共享渠道,结合决策指挥、数据分析与宏观研究中心提供的相关信息,进一步核查审计疑点问题,坚持总体把握、统筹安排的原则,汇集全国金融审计力量,若干审计核查小组齐心合力有针对性的实施精准核查。核查小组的优势在于一方面可以集中优势力量,准确选择突破目标和着力点,另一方面是需根据决策指挥中心的统一指挥开展工作,使核查工作在最短的时间内在更广泛的领域内展开,将大大提升核查效率与质量。
参考文献
[1]王智玉.审计信息化与审计组织方式[J].审计研究,2011,04:39-42.
信息化环境下审计项目管理问题探讨 第4篇
信息化环境下项目审计的组织管理将直接影响项目的实施与质量的好坏, 仍至直接关系审计项目的成败。因此, 做好信息化环境下的审计项目组织管理是项目管理的重要环节。
(一) 构建适应信息化项目审计需要的项目团队
审计项目团队是审计项目实施的主体, 团队成员的素质是否适应审计要求, 人员组成是否合理, 直接影响审计发现错弊、风险和漏洞的能力, 因此, 构建一个具有审计胜任能力的项目团队是保证完成审计任务和目标的关键要素之一。信息化环境下的项目审计对审计人员的专业素质提出了新要求, 不仅需要具有传统审计所需的知识技能, 而且还应当掌握计算机知识及其应用技术, 掌握运用计算机实施审计的思路、技术方法以及解决计算机审计问题的综合能力等。因此, 必须根据信息化项目审计要求, 考虑选择具有专业胜任能力的审计人员加入项目团队中来, 考虑团队成员的组成结构, 并根据审计工作任务要求, 充分挖掘每位成员的潜能, 合理分工, 以构建高效的审计项目团队。
(二) 做好信息化项目审计资源整合
通过审计资源的整合, 达到提高审计效率和质量的目的。做好信息化环境下项目审计资源的整合, 主要包括: (1) 审计力量资源整合。应根据信息化项目审计不同阶段的不同要求, 以结构优化为原则, 进行人员的合理配置, 解决好审计成员的信息技术水平差距问题, 科学分工, 以提高全体成员的审计水平。 (2) 信息资源整合。审计信息资源的交流与共享对完成审计目标十分重要。在信息化环境下, 可通过利用计算机网络技术, 建立审计信息数据库, 通过网络化平台, 实现信息共享。 (3) 审计技术方法资源整合。信息化环境下审计技术方法的整合, 体现在继承传统审计技术方法的基础上, 合理采用和推广使用计算机审计技术方法, 研究开发新技术, 以满足信息化项目审计需要。
(三) 建立和完善必要的信息化项目审计规章
制度针对信息化环境下项目审计的特点, 通过建立和完善审计规章, 将审计活动纳入有章可循、有章可依的轨道, 避免审计的随意性和盲目性。如通过制定信息化项目审计工作准则或操作指南, 明确审计项目组织所要展开的工作和要求, 明确审计操作程序和职责分工, 增强工作的目的性、审计操作的针对性。通过制定信息化项目审计考核制度, 以明确责、权、利为考核内容, 以审计质量为主要考核目标, 落实责任, 奖罚分明, 避免随意的、不负责任的审计行为, 等等。
二、控制信息化环境下审计项目成本
实施一个项目审计, 需投入大量的人力、物力与财力, 因此需考虑成本控制问题。在信息化环境下, 需针对审计项目成本的影响因素, 采取相关控制措施, 以降低项目成本。
(一) 审计主体方面
审计人员是审计项目的主体, 审计人员的审计工作责任心、专业知识和经验、审计技术与工具的掌握能力等, 对审计工作效率和质量将会产生很大影响, 进而影响审计成本。为了控制信息化环境下审计项目成本, 审计人员除了应增强审计责任心以外, 还应通过各种途径, 提高自己的信息化环境下审计所需的专业知识和能力, 掌握计算机审计技术与工具的应用, 还要通过典型信息化项目审计案例分析、审计专家经验系统等积累审计经验。从而提高审计的效率和质量, 以降低项目成本。
(二) 审计客体方面
在传统审计方式下, 由于采用传统的人工审计, 一个审计项目任务的复杂性、重要性越强, 越需投入更多的资金、人力等资源, 审计时间相对也较长, 审计成本就越高;反之亦然。在信息化环境下, 随着审计项目对象的信息化, 使得有利于审计人员充分运用现代计算机审计技术与工具实施审计, 从而可使上述关系得到弱化, 并能在此基础上进一步降低审计成本。
(三) 审计管理方面
在信息化环境下, 应根据信息化项目审计的新特点, 通过健全相关管理制度、规范费用支出等, 以有效降低审计成本。如通过建立电脑及软件的招投标采购制度、计算机设备耗材管理制度等, 以节约采购资金, 降低审计成本。通过建立规范费用支出制度, 如各种耗材领用制度、差旅费报销制度等, 尽量减少审计行为的随意性造成的不必要成本支出。通过建立健全审计成本管理的激励约束机制, 增强成本控制意识, 形成全员重视成本控制的良好环境。
(四) 审计技术手段方面
传统方式下的手工审计, 效率低, 成本高。信息化环境为计算机审计技术的应用创造了良好环境, 通过计算机审计技术的应用扩大了审计能力, 扩大了审计的广度和深度, 提高了审计效率, 节约了人力, 从而有利于降低审计成本。如利用审计软件提供的强大分析工具, 可高效的获取审计线索, 提高了审计效率。通过与被审计项目系统实施联网采集数据和网上审计, 可有效减少现场审计时间, 从而节约了差旅费用支出。通过审计办公自动化应用系统, 进行审计信息的文档处理、统计汇总等, 减少了审计文稿的抄写量和错误率, 节约了办公耗材, 等等。
三、信息化环境下审计项目质量控制
信息化环境将审计工作推向了一个新的发展阶段, 使得审计项目质量控制点、控制内容等发生了改变, 需针对信息化环境下项目审计的特点, 实施质量控制。
(一) 审计准备阶段的质量控制
审前准备工作是确保审计项目质量的基础, 每进行一项审计, 准备工作必不可缺。在信息化环境下项目审计的准备阶段, 审计项目质量的关键控制主要包括: (1) 充分的审前调查。只有通过充分的审前调查, 才能对被审计项目对象有全面了解, 进而便于审计时能集中力量, 直奔主题和突出重点, 以提高审计质量和效率。信息化条件下, 由于审计环境的变化, 需要调查的内容和范围发生了变化, 审计人员不仅要调查了解被审计项目单位的有关基本情况和主要经营状况, 更要在调查了解被审单位计算机系统在组织内分布、应用的总体情况基础上, 全面、详细地了解被审计系统的电子数据、数据结构等有关情况, 并要对信息化环境下的内部控制进行初步审查测试, 初步评价信息化审计风险, 从而为制定审计方案提供足够依据。 (2) 科学制定审计方案。科学合理的审计方案能够有效控制审计工作程序、进度和方向, 保证审计实施质量。信息化环境下的审计方案与传统常规审计不同, 方案中除了应包括一般必须的内容要素外, 还应针对信息化环境下审计特点, 调整和增加相关内容, 如:有关信息化环境下审计风险水平和重要性水平的确定;提出可行的、满足审计需要的数据需求;规范对电子数据的审计程序步骤、技术方法;合理分配和明确现场审计和非现场审计的内容、时间安排、目的及所采用的技术方法等。
(二) 审计实施阶段的质量控制
由于信息化环境下的审计模式转变为数据式系统基础审计模式, 导致信息化环境下的审计作业流程、取证方式等与传统审计方式有了很大不同, 因此, 必须根据信息化环境下审计实施阶段的特点建立相关质量控制。 (1) 标准化的审计作业流程控制。信息化环境下采取的计算机审计方式的程序性、逻辑性较强, 每一环节的结果都直接影响下一环节, 某一环节的错误会产生“累积放大”效应, 因此, 要保证审计作业实施的质量, 就需要审计人员实施标准化的审计作业流程, 防止错误的递延, 避免审计的片面性、盲目性。 (2) 审计取证的质量控制。审计实施过程就是进行审计取证的过程, 审计取证的质量, 直接关系到整个审计工作的质量。信息化环境下的项目审计出现了新的电子审计证据的形式存在, 由于电子证据存在易逝性、易被篡改、来源难以被确立、相关授权人员的批准以及签名本身的真实性难以确定等特点, 使审计人员面临电子审计证据获取方法的适当性、证据内容的真实性、证据签名的真伪性、证据法律符合性等一系列新问题, 因此须加强信息化环境下电子证据的质量控制。如为了保证被审计系统电子数据的真实性, 可在不通知操作人员情况下, 采取突击审计的方式采集数据。 (3) 审计工作底稿的质量控制。信息化环境下审计工作底稿的质量控制除了包括常规的相关性控制、完整性控制、准确性控制、规范性控制和审核控制等质量控制外, 应将信息技术运用到底稿的质量控制中来, 利用审计软件提供的模板功能, 自动生成规范化的底稿文档, 实施底稿及相关文档的统一管理, 并通过软件的功能设定, 确保底稿的内容完整、要素齐全, 以及经过必要的审核程序和手续, 从而提高底稿的质量。
(三) 审计项目终结阶段的质量控制
审计终结阶段是审计工作的最后阶段, 也是衡量审计工作目标能否实现的阶段, 对审计项目质量起把关作用。信息化环境下审计项目终结阶段质量控制需做好: (1) 建立严格的审计复核工作及制度。审计复核是审计项目质量控制必须履行的重要环节, 要建立严格的三级审计复核制度。在审计复核中, 要合理划分各级复核的重点, 明确各复核人员的职责, 从而把复核制度落到实处。在信息化环境下, 应特别注意计算机审计程序的充分性、计算机审计技术方法运用的适当性、电子证据的可靠性等的审查复核。 (2) 落实好审计报告的质量控制。审计质量的高低最终反映在审计报告中, 需做好审计报告的质量控制。审计报告的质量控制主要包括:一是报告内容规范、依据充分、要素齐全, 应附审计工作底稿和全部证明材料, 如电子证据、影印件、实物证据等;二是报告结论依据充分, 对查出的问题阐述清楚、真实可靠;三是报告中的审计处理处罚准确适当、合法、定性准确, 审计评价实事求是、客观公正, 审计建议有针对性、切实可行。在信息化环境下, 应引入审计软件等计算机工具, 实现审计报告的规范化编制和管理。
四、信息化环境下审计项目风险管理
在信息化环境下, 由于被审计单位内部的各种要素, 包括管理、经营、业务流程和交易方式等都发生了极大的变化, 使审计风险防范与控制涉及面增大, 并呈现出新的特征。如电子数据存在易于减少或消失审计线索的可能性, 内部控制主要依赖软件本身, 增加了难以全面检查测试的可能性等。为此, 需加强信息化环境下的审计项目风险管理。
(一) 树立信息化环境下审计风险意识
信息化环境下的项目审计与传统审计相比, 由于风险加大, 这就要求审计人员更要树立风险防范意识, 并贯穿于审计全过程。审计人员在审前调查时, 应保持必要的怀疑态度更深人地了解被审计项目的有关情况;在审计实施过程中, 尽可能从多角度通过建立分析模型对被审计数据进行深入分析, 以避免遗漏;审计终结作出审计结论时, 应经过充分交流、沟通和讨论, 保证审计结论的准确性。
(二) 注重信息化环境下内部控制的测试与评价
信息化环境下的审计模式是以系统内部控制测评为基础, 通过对电子数据的收集、转换、整理、分析和验证, 来实现审计目标的审计方式。信息化环境下内部控制的健全性、有效性, 直接影响所获取的被审电子数据的真实性、完整性和可靠性, 从而可能会带来电子数据失真的风险。因此, 应注重和实施对被审计单位信息化环境下的内部控制 (包括一般控制和应用控制) 审计测试, 全面评价信息化环境下内部控制风险, 以合理确定实质性测试范围, 控制审计风险。
(三) 做好信息化环境下的审计风险评估
信息化环境下的风险导向审计模式下, 要做好审计风险的管理和控制, 审计人员必须通过审计调查和了解, 分析信息化环境下被审计数据系统面临的系统风险因素和非系统风险因素 (即传统风险因素) , 判断重大错误风险可能存在的领域, 合理确定重大风险的存在范围。在此基础上, 根据审计风险模型, 合理确定检查风险, 以合理配置审计资源, 对风险较大的环节或区域实施重点审计, 以最大限度地避免重大审计遗漏, 规避审计风险。
(四) 合理选择和综合运用适当的审计技术与方法
信息化环境下的项目审计, 需根据不同的审计工作内容, 合理选择和综合运用适当的审计技术与方法, 特别是注重计算机审计技术与方法的运用, 以控制审计风险。如为了防范信息化环境下的内部控制风险, 除了采用传统的面谈法、问卷调查法、审阅法等外, 还需运用计算机审计测试法, 以测试信息系统应用程序、控制程序和系统的可靠性。再如, 在对审计数据的分析中, 通过采用计算机审计分析技术, 如审计软件、数据库多维分析技术、数据挖掘技术等, 通过数据分析和模型构建等数字化手段, 可有效的把握总体、锁定重点和精确延伸, 扩大审计的广度和深度, 避免手工抽样审计等的缺陷, 有效降低审计风险。
实施信息化环境下审计项目管理, 不仅是履行信息化环境下审计监督职能的需要, 也是实现信息化项目审计目标的内在需要。构架信息化环境下审计项目管理体系还有许多问题需要研究、探讨, 希望本文的探讨能有益于信息化环境下审计项目管理理论和实践的完善和发展。
参考文献
[1]林琳:《计算机审计风险分析及其防范对策》, 《审计研究》2005第7期。
审计信息化管理 第5篇
濮城油田巧用“信息技术”根治数据归整顽疾“我们对单井信息库中2400口井的常用井号与其对应的设计井号进行核实对应。我厂的生产数据与静态数据关联之后,动态技术人员就可以任意调用库中的坐标、分层等数据喽。”8月8日,中原油田采油二厂信息技术人员秦义江如是说。7月下旬,该厂借助油田信息中心在全油田范围内统一、核实井号的时机,对单井基层信息库中的设计井号字段进行了完善,此项“小举措”根除了这个厂多年来因井号不统一对应,静态数据和动态数据不能关联,数据无法共享的难题。由于新井在输入井号时使用的是汉字井号,一些诸如坐标库、井斜数据库等静态信息采用的都是汉字井号。而油藏管理区信息录入人员输入日常的油水井产量、含水等生产数据时用的是简化井号,两套数据由于井号的不一致,造成数据无法共享。因为数据归整的工作量大,组织起来困难较多等原因,该项工作一直久拖未决,并成为了多年来工作中的一个“顽疾”。7月下旬,采油二厂抓住油田信息中心统一井号之机,升级了单井基础信息库程序,从而彻底根除了此项“顽疾”。(王远程 郭焕玲)
中国石化召开《内部控制手册》宣传贯彻视频会议贯彻落实内控规范 深入实施内部控制
为全面贯彻国家内控规范,健全完善中国石化集团公司、企业两级内控制度体系,深入实施内部控制,1月25日,中国石化《内部控制手册》(2011年版)宣传贯彻工作视频会议在总部召开。会议强调,必须坚定不移地贯彻执行内控制度,实行生产经营管理全方位控制和监督。
中国石化十分重视内控制度建设,积极开展内控工作。自2003年起,股份公司、集团公司先后在国内率先建立并实施内控制度,连续5年顺利通过外部监管的审计验证,内控工作得到财政部、国务院国资委、证监会等部委的大力支持和肯定。8年来,中国石化不断健全内控体系,建立日常管理机制,持续完善内控制度,加强内控检查与考核,企业的风险防控意识显著增强,为堵塞管理漏洞、促进企业健康发展发挥了不可替代的作用。中国石化在内控工作上创新不止,内控手册的修订是又一次重大调整。新版手册在集团公司《内部控制管理手册》和股份公司《内部控制手册》基础上修订整合,首次实现了上市、非上市内控标准的统一,为提升中国石化内控管理整体水平奠定了基础。
会议指出,中国石化的内控工作尽管起步早、发展快,但整体水平还处于“合规”的初级阶段,促进企业提升价值的作用还未完全显现,内控的有效性和高效性还需进一步增强,必须从战略和全局高度,进一步提高对内控工作的认识。
会议强调,深入实施内部控制既是进一步加强公司治理、提高公司规范化运作水平的基础性保障,又是提高自我管理水平、增强抗风险能力、做优做强企业的迫切需要。各企业要积极落实新版内控手册,健全企业内控制度,完善风险管控体系。一是明确内控组织机构,配备内控专职人员;二是认真组织实施细则修订工作;三是建立内控管理长效机制;四是认真自查测试,强化考核,提高内控执行力;五是深化内部控制,建立全面风险管理体系;六是持续开展宣传培训,培育风险控制文化。
基层审计机关审计信息化建设的途径 第6篇
随着社会经济文化的发展,审计环境发生着巨大的变化。基层审计机关的审计信息化建设工作,也面临着新的课题。《审计署“十二五”审计工作发展规划》提出信息化建设要上新台阶,所以笔者结合当前基层审计机关自身信息化建设的实际情况,在实践中探索现场审计实施由传统审计模式逐步向数字化审计模式的转变,探索审计行政管理由传统事务性管理向审计事务信息化的转变,并提出了推进基层审计机关审计信息化建设的具体途径,以期加强审计信息化工作,提升信息化环境下审计监督的能力,提高审计机关的影响力,进而促进审计事业的健康发展。
一、创造优良环境
首先,基层审计机关领导要重视信息化工作,立足机关实际研究审计信息化的发展思路,大力提高审计人员的思想认识,鼓励一线审计人员大胆实践,为计算机审计的发展提供了宽松的发展氛围,并及时解决计算机信息化工作出现的实际问题。其次,要大力加快计算机、信息设备等硬件建设,为信息化提供良好的硬件发展平台,为审计信息化建设打下坚实的基础。最后,结合《审计机关计算机辅助审计办法》等规定,在考核中加大对计算机辅助审计应用的奖励力度,鼓励审计人员进行探索实践,努力形成全员主动参与审计信息化建设的积极氛围。
二、立足自身实际
针对基层审计机关计算机专业人才缺乏的实际情况:首先,应选取计算机知识较多、能力较强的审计人员进行实践;其次,通过在审计项目中实地应用,探索经验;最后,向审计小组推开,全面应用。开始时,大多数审计员对开展计算机审计存在畏难情绪,认为方法不习惯、技术难度大,但是随着AO审计软件的深入普及和应用,审计人员对开展计算机审计的兴趣越来越高。在财政、税务、行政事业、社保、医疗等多个行业审计中,只要审计条件、环境具备,就积极组织力量和技术开展计算机审计,并在计算机项目应用结束后,及时总结经验、教训,为下一步深层次应用打好基础。
积极应用审计办公系统,加强行政公文和业务公文的无纸化办理,不仅能提高审计软件与办公软件的结合度,还能提高办公自动化的水平,进而逐步达到审计的现代化、信息化要求。
三、突出实践运用,注重审计信息化的成效性
(一)全面实施计算机辅助审计
大力推行AO审计软件,只要被审计单位具备电子数据条件的,就运用AO审计软件及其他数据库软件进行数据采集与转换,并进行计算机审计;不具备电子数据的,也运用AO审计软件的项目管理、辅助工具、审计底稿等功能开展审计工作。计算机审计在采集、分析、转化数据,筛选审计问题,查找审计疑点等工作中发挥了重要作用。通过全面推行现场审计实施系统,能够使审计工作质量和效率不断提高。
(二)大力推进重点行业、重点单位的计算机审计
对财政、税务、教育、社保等重要单位的审计中,大力推行计算机审计。做到采集数据突出重点并且为我所需;审计思路突出审计内部控制的关键点;计算机辅助审计与常规审计有机结合,协调发挥各自所长;审计方法做到针对性强、简明易用。审计软件结合数据库软件进行审计,对大数据量的数据进行筛选处理,应用SQL查询语句进行查询对基础数据进行分析,对有可能存在问题的数据,直接选取重点单位进行延伸调查,做到了手工条件下需要耗费大量人力物力才能做到的事情,提高了审计效率,降低了审计风险。
(三)积极探索信息系统审计
逐步探索信息系统审计,加大对单位信息化系统的关注力度;运用计算机辅助审计手段,采取穿行测试、实地观测、流程分析等信息系统审计的方法,分析评价被审计单位的信息系统;针对信息系统控制中心、系统数据的输入域输出、服务器管理、系统的灾难备份等方面进行审查,得出审计结论;并提出切实可行的改进建议,促进被审计单位完善信息系统,加强内部控制与管理,进而防范信息系统风险。
四、加强计算机人才的培训与新技术的推广
审计信息化的发展相对滞后于会计、计算机行业的发展。这个审计的“大环境”,决定着计算机辅助审计要随着被审计对象会计信息化水平的不断提高而逐步改进。审计信息化建设的发展水平与审计人员素质密切相关,所以要始终把提高审计人员在信息化环境下的工作能力作为一项重要工作来抓。
一是加强计算机信息化集中培训。对于计算机基础好、业务素质强的审计人员,可以采取开办集中时间、集中人员、封闭式的培训班形式,以提高学习效率、强化学习效果。
二是日常组织学习计算机知识的同时,采取傳帮带的方法,由计算机水平高的审计人员现场讲解与指导,加强了针对性,切实提升了业务人员计算机审计的实际应用能力,提高了计算机培训效率。
三是加大计算机信息化新技术的推广。审计署计算机中心研发了现场审计实施系统新版本,并在全国审计系统中推广。审计机关应加大新版审计软件新功能的宣传,使审计人员充分认识升级的必要性、增强应用新版审计软件的主动性;加强对审计人员的培训,通过培训课件结合操作演示,讲解新版审计软件的各项新增功能及使用方法;并结合具体审计项目应用,讲解新功能的实际应用,使审计人员能快速有效的掌握审计软件,提高审计质量与效率。
(作者单位:山东省泰安市泰山区审计局)
审计信息化管理 第7篇
关键词:信息化,企业内部审计,管理创新
审计管理工作是一个贯穿审计工作开展和审计机关建设全过程的大工程, 其目的是要实现审计资源的合理配置和使用, 保证审计工作的效率和质量。随着社会经济的发展, 建立高效的企业内部审计管理模式成为企业管理工作的重中之重。信息化条件下创新审计管理模式对于提高审计效率, 增强国家审计监督能力, 推进企业正常运行, 保障国家安定, 都具有关键性作用。
一、信息化对企业审计管理带来的冲击
信息化不仅是一个技术过程, 更是社会的发展进程。信息化指的是利用互联网计算机技术, 充分开发信息资源, 推动信息共享和融合, 提高经济效益, 实现社会经济转型的历史进程。审计信息化主要包括三个方面:审计业务管理信息化, 审计项目实施信息化, 审计机关事务管理信息化。信息化在给企业内部审计带来了便利的同时, 还对企业的审计管理工作提出了新要求和挑战。
1.审计计划管理数据库不完善
合理有效地分配利用审计资源, 是审计计划管理的核心。由于审计体系不完善, 多数的审计项目资料不够全, 导致审计数据库会出现信息重复和盲区等。审计信息化改变了审计资源共享和利用的方式, 审计组织内部分工和审计人力资源应该进行相应的改革。
2.审计业务组织部门没有充分发挥作用
虽然审计信息化已经被提出很多年了, 但是传统的审计管理模式仍然会影响现在的审计工作。对于审计组织来说, 这或多或少地干扰了审计项目, 使项目不能与时俱进, 实施项目时没有统一的规范, 造成审计格局没有跟上信息化的脚步。这样落后陈旧的审计业务组织管理方法不能实现审计目标, 导致审计业务效率低、质量差。
3.审计审理存在滞后现象
传统的审理模式是采用事后资料审理。很多审计机关没有现场对审计结果进行审理, 而是事后对纸质审计资料进行审理。这样, 很容易出现审计时间滞后, 审理内容不完备, 发现不了审计组现场审计存在的不足。这样很难发挥信息化在审计管理中的作用。
4.信息化带来了审计风险
信息交流和共享必然会增加审计数据库的风险, 尤其是审计报错风险和检查风险。网络会计模式使会计资料很容易被黑客等非法动用和修改, 审计内部控制由人的控制转变为计算机的控制, 这无疑会给内部控制的设计带来新的挑战。另外, 类似审计软件更新慢, 内部控制软件很难全面检查测试, 这都是导致检查风险的主要因素。对于信息化带来的弊端, 审计人员应该正确面对, 并改革审计管理模式, 创新管理内容、方式方法等, 建立更有效的审计格局。
二、审计管理创新的途径和方法
审计信息化改变了审计系统的基本目标、基本步骤和技术方法, 所以创新审计管理模式是信息化后的必然趋势。审计管理创新不仅可以提供一种全新的审计格局, 还能强化某些细节方面的管理。本文结合审计信息化建设过程存在的问题, 并根据计算机网络的自身特点, 创新了审计管理的内容方法。
1.整合审计资料
审计计划的数据库是进行企业内部审计的基础, 只有合理整合审计资源, 完善审计计划的数据库, 才能高效地完成审计目标。数据库应该根据审计单位和项目的基本情况, 以及以往的受审情况等方面收集数据, 制订合理的中长期计划和年度审计计划。为了使审计资源更加规范化, 还应该对所有的审计对象进行划分, 按照一定的分类准则, 进而确定其需要审计的周期和次数。
2.创新审计业务实施管理模式
在运用审计信息管理系统的前提下, 审计业务实施管理模式可以采用“矩阵式组织+头盔式管理+多层级联动联网”的模式。矩阵式组织就是从纵横两向来完成某一项目任务。在审计机关的领导下成立审计组, 横向建立综合指导小组和数据采集分析小组, 纵向同时成立多个审计查证小组, 分工明确, 齐心协作, 实施审计项目。同时应当发挥数据分析团队作用, 借用军队的单兵作战指挥系统的理念。
3.创新审理工作
审理工作可以从两个方面来创新。一方面, 审计人员通过权限设置, 在审计实施的整个过程中的每个环节都可获取资料, 实时跟踪审理, 实现审计项目的动态化管理。另一方面, 只把事后审理改成在线审理还不够, 应该提出再次审理。再次审理的内容主要是对在线审理时发现的问题及时进行落实, 重点确定对在线审理提出的审理意见。
4.加强审计风险的应对措施
针对应对重大错报风险, 审计人员前期应该注意收集电算化系统相关的资料, 比如计算机的硬件设备情况, 审计软件情况和使用人员的配备情况等。这样, 审计人员可以有效地对审计单位做出合理的风险评估。那如何应对检查风险呢?首先, 可以多利用各种审计软件, 选择科学合理的审计方法;其次, 加强审计人员的计算机水平, 多开设相关的培训班, 使审计人员掌握计算机应用技术、数据处理技术, 提高审计人员的业务能力。
三、结论
企业内部审计管理是企业财务管理工作的一个重要内容, 做好内部审计管理工作, 有利于解决财务监管难的问题。在信息化的条件下, 如果能很好地利用计算机技术, 企业内部审计管理就可以有一个实质性的改革, 较高的工作效率, 很好的工作质量, 这些都是审计信息化带来的优势。在审计管理信息化的进程中, 审计人员更应该多结合实际情况, 想方设法改善审计系统, 为建设合理公正的审计制度做贡献。
参考文献
[1]河南省审计厅课题组.信息化条件下国家审计业务组织管理模式创新研究[J].审计研究, 2013, (2) :169-171.
[2]甘伟军.国家审计业务管理模式创新初探[J].审计文稿, 2009, (12) :39-41.
[3]徐林.试论如何发挥财务管理在基建项目管理中的作用[J].时代金融, 2007, 8 (350) :164-165.
[4]颜安琳.基建项目财务管理体系完善研究[J].财经界, 2004, (10) :207-208.
网络审计信息安全管理风险评估研究 第8篇
从审计的角度, 风险评估是现代风险导向审计的核心理念。无论是在历史财务报表审计还是在网络审计中, 现代风险导向审计均要求审计师在执行审计工作过程中应以风险评估为中心, 通过对被审计单位及其环境的了解, 评估确定被审计单位的高风险领域, 从而确定审计的范围和重点, 进一步决定如何收集、收集多少和收集何种性质的证据, 以便更有效地控制和提高审计效果及审计效率。从企业管理的角度, 企业风险管理将风险评估作为其基本的要素之一进行规范, 要求企业在识别和评估风险可能对企业产生影响的基础上, 采取积极的措施来控制风险, 降低风险为企业带来损失的概率或缩小损失程度来达到控制目的。信息安全风险评估作为企业风险管理的一部分, 是企业信息安全管理的基础和关键环节。尽管如此, 风险评估在网络审计、历史财务报表审计和企业信息安全管理等工作中的运用却不尽相同, 本文在分析计算机信息系统环境下所有特定风险和网络审计风险基本要素的基础上, 从风险评估中应关注的风险范围、风险评估的目的、内容、程序及实施流程等内容展开, 将网络审计与历史财务报表审计和信息安全管理的风险评估进行对比分析, 以期深化对网络审计风险评估的理解。
二、网络审计与历史财务报表审计的风险评估比较
(一) 审计风险要素
根据美国注册会计师协会发布的第47号审计标准说明中的审计风险模型, 审计风险又由固有风险、控制风险和检查风险构成。其中, 固有风险是指不考虑被审计单位相关的内部控制政策或程序的情况下, 其财务报表某项认定产生重大错报的可能性;控制风险是被审计单位内部控制未能及时防止或发现财务报表上某项错报或漏报的可能性;检查风险是审计人员通过预定的审计程序未能发现被审计单位财务报表上存在重大错报或漏报的可能性。在网络审计中, 审计风险仍然包括固有风险、控制风险和检查风险要素, 但其具体内容直接受计算机网络环境下信息系统特定风险的影响。计算机及网络技术的应用能提高企业经营活动的效率, 为企业的经营管理带来很大的优越性, 但同时也为企业带来了一些新的风险。这些新的风险主要表现为: (1) 数据与职责过于集中化。由于手工系统中的职责分工、互相牵制等控制措施都被归并到计算机系统自动处理过程中去了, 这些集中的数据库技术无疑会增加数据被操纵和破坏的风险。 (2) 系统程序易于被非法调用甚至遭到篡改。由于计算机系统有较高的技术要求, 非专业人员难以察觉计算机舞弊的线索, 这加大了数据被非法使用的可能性。如经过批准的系统使用人员滥用系统, 或者说, 企业对接近信息缺乏控制使得重要的数据或程序被盗窃等。 (3) 错误程序的风险, 例如程序中的差错反复和差错级联、数据处理不合逻辑、甚至是程序本身存在错误等。 (4) 信息系统缺乏应用的审计接口, 使得审计人员在审计工作中难以有效地采集或获取企业信息系统中的数据, 从而无法正常开展审计工作。 (5) 网络系统在技术和商业上的风险, 如计算机信息系统所依赖的硬件设备可能出现一些不可预料的故障, 或者信息系统所依赖的物理工作环境可能对整个信息系统的运行效能带来影响等。相对应地, 网络审计的固有风险主要是指系统环境风险, 即财务电算化系统本身所处的环境引起的风险, 它可分为硬件环境风险和软件环境风险。控制风险包括系统控制风险和财务数据风险, 其中, 系统控制风险是指会计电算化系统的内部控制不严密造成的风险, 财务数据风险是指电磁性财务数据被篡改的可能性。检查风险包括审计软件风险和人员操作风险, 审计软件风险是指计算机审计软件本身缺陷原因造成的风险, 人员操作风险是指计算机审计系统的操作人员、技术人员和开发人员等在工作中由于主观或客观原因造成的风险。
(二) 风险评估目的
无论在网络审计还是历史财务报表审计中, 风险评估只是审计的一项重要程序, 贯穿于审计的整个过程, 与其他审计程序紧密联系而不是一项独立的活动。尽管如此, 两者所关注的风险范围则有所不同。历史财务报表审计的风险评估要求审计人员主要关注的是被审计单位的重大错报风险——财务报表在审计前存在重大错报的可能性。由于网络审计的审计对象包括被审计单位基于网络的财务信息和网络财务信息系统两类, 因此审计人员关注的风险应是被审计单位经营过程中与该两类审计对象相关的风险。 (1) 对于与企业网络财务信息系统相关的风险, 审计人员应该从信息系统生命周期的各个阶段和信息系统的各组成部分及运行环境两方面出发进行评估。信息系统生命周期是指该信息系统从产生到完成乃至进入维护的各个阶段及其活动, 无论是在早期的线性开发模型中还是在更为复杂的螺旋式等模型中, 一个信息系统的生命周期大都包括规划和启动、设计开发或采购、集成实现、运行和维护、废弃等五个基本阶段。由于信息系统在不同阶段的活动内容不同, 企业在不同阶段的控制目标和控制行为也会有所不同, 因此, 审计人员的风险评估应该贯穿于信息系统的整个生命周期。信息系统的组成部分是指构成该信息系统的硬件、软件及数据等, 信息系统的运行环境是指信息系统正常运行使用所依托的物理和管理平台。具体可将其分为五个层面:物理层, 即信息系统运行所必备的机房、设备、办公场所、系统线路及相关环境;网络层, 即信息系统所需的网络架构的安全情况、网络设备的漏洞情况、网络设备配置的缺陷情况等;系统层, 即信息系统本身的漏洞情况、配置的缺陷情况;应用层, 即信息系统所使用的应用软件的漏洞情况、安全功能缺陷情况;管理层, 即被审计单位在该信息系统的运行使用过程中的组织、策略、技术管理等方面的情况。 (2) 对于与企业基于网络的财务信息相关的风险, 审计人员应着重关注财务信息的重大错报风险和信息的安全风险。重大错报风险主要指被审计单位基于网络的相关财务信息存在重大错报的可能性, 它是针对企业借助于网络信息系统或网络技术对有关账户、交易或事项进行确认、计量或披露而言。网络审计中关注的重大错报风险与传统审计下的内涵基本上是一致的, 审计人员在审计时应当考虑被审计单位的行业状况、经营性质、法律及监管环境、会计政策和会计方法的选用、财务业绩的衡量和评价等方面的情况对财务信息错报可能的影响。信息安全风险涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的风险, 主要针对企业利用信息系统或一定的网络平台来存储、传输、披露相关财务信息而言。在审计过程中, 审计人员应当主要关注相关财务信息被盗用、非法攻击或篡改及非法使用的可能性。当然, 这两类风险并非完全分离的, 评估时审计人员应将两者结合起来考虑。
(三) 风险评估内容
广泛意义的风险评估是指考虑潜在事件对目标实现的影响程度。由于网络审计与历史财务报表审计风险评估的目的并不完全相同, 因此两者在风险评估的内容上也是存在区别的。总的来说, 网络审计的风险评估内容比历史财务报表审计的风险评估内容更广泛和深入。根据《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》, 在历史财务报表审计中, 审计人员的风险评估应以了解被审计单位及其环境为内容。为识别和评价重大错报风险, 审计人员了解的具体内容包括被审计单位所在行业状况、法律环境与监管环境以及其他外部因素、被审计单位的性质、被审计单位对会计政策的选择和运用、被审计单位的目标、战略以及相关经营风险、被审计单位财务业绩的衡量和评价及被审计单位的内部控制等。在网络审计中, 为了识别和评估上文所述的两类风险, 审计人员除了从以上方面了解被审计单位及其环境外, 还应该关注其他相关的潜在事件及其影响, 尤其是企业的财务信息系统及基于网络的财务信息可能面临的威胁或存在的脆弱点。其中, 威胁是指对信息系统及财务信息构成潜在破坏的可能性因素或者事件, 它可能是一些如工作人员缺乏责任心、专业技能不足或恶意篡改等人为因素, 也可能是一些如灰尘、火灾或通讯线路故障等环境因素。脆弱点是指信息系统及基于网络的财务信息所存在的薄弱环节, 它是系统或网络财务信息本身固有的, 包括物理环境、组织、过程、人员、管理、配置、硬软件及信息等各方面的弱点。一般来说, 脆弱点本身不会带来损失或信息错报, 威胁却总是要利用网络、系统的弱点来成功地引起破坏。因此, 我们认为网络审计中风险评估的内容应包括以下几方面: (1) 识别被审计单位财务信息系统及其基于网络的财务信息可能面临的威胁, 并分析威胁发生的可能性; (2) 识别被审计单位财务信息系统及其基于网络的财务信息可能存在的脆弱点, 并分析脆弱点的严重程度; (3) 根据威胁发生的可能性和脆弱点发生的严重程度, 判断风险发生的可能性; (4) 根据风险发生的可能性, 评价风险对财务信息系统和基于网络的财务信息可能带来的影响; (5) 若被审计单位存在风险防范或化解措施, 审计人员在进行风险评估时还应该考虑相应措施的可行性及有效性。
(四) 风险评估程序
《中国注册会计师审计准则第1211号———了解被审计单位及其环境并评估重大错报风险》中要求, 审计人员应当实施询问、分析程序、观察和检查等程序, 以获取被审计单位的信息, 进而评估被审计单位的重大错报风险。这些程序同样适用于网络审计中的风险评估, 但在具体运用时网络审计中更加注重了解和分析被审计单位与信息系统及网络技术使用相关的事项。在实施询问程序时, 审计人员的询问对象围绕信息系统和基于网络的财务信息可大致分为管理人员、系统开发和维护人员 (或信息编制人员) 、系统使用人员 (或信息的内部使用人员) 、系统或网络技术顾问及其他外部相关人员 (如律师) 等五类, 分别从不同角度了解信息系统和基于网络的财务信息可能存在的威胁和脆弱点。在实施分析程序时, 除了研究财务数据及与财务信息相关的非财务数据可能的异常趋势外, 审计人员应格外关注对信息系统及网络的特性情况、被审计单位对信息系统的使用情况等内容的分析比较。实施观察和检查时, 除执行常规程序外, 审计人员应注意观察信息系统的操作使用和检查信息系统文档。除此之外, 针对特定系统或网络技术风险的评估, 审计人员还需要实施一些特定的程序。技术方面如IDS取样分析、渗透测试、工具扫描、安全策略分析等;管理方面如风险问卷调查、风险顾问访谈、风险策略分析、文档审核等。其中, IDS取样分析是指通过在核心网络采样监听通信数据方式, 获取网络中存在的攻击和蠕虫行为, 并对通信流量进行分析;渗透测试是指在获取用户授权后, 通过真实模拟黑客使用的工具、方法来进行实际漏洞发现和利用的安全测试方法;工具扫描是指通过评估工具软件或专用安全评估系统自动获取评估对象的脆弱性信息, 包括主机扫描、网络扫描、数据库扫描等, 用于分析系统、应用、网络设备存在的常见漏洞。风险问卷调查与风险顾问访谈要求审计人员分别采用问卷和面谈的方式向有关主体了解被审计单位的风险状况, 使用时关键是要明确问卷或访谈的对象情况;风险策略分析要求审计人员对企业所设定的风险管理和应对策略的有效性进行分析, 进而评价企业相关风险发生的概率以及可能带来的损失;文档审核是一种事前评价方法, 属于前置软件测试的一部分, 主要包括需求文档测试和设计文档测试。这些特定程序主要是针对被审计单位信息系统和基于网络的财务信息在网络安全风险方面进行评价, 审计人员在具体使用时应结合被审计单位的业务性质选择合适的程序。
三、网络审计与信息安全管理的风险评估比较
(一) 风险评估的目的
信息安全管理中的风险评估 (即信息安全风险评估) 是指根据国家有关信息安全技术标准, 对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程。作为信息安全保障体系建立过程中的重要的评价方法和决策机制, 信息安全风险评估是企业管理的组成部分, 它具有规划、组织、协调和控制等管理的基本特征, 其主要目的在于从企业内部风险管理的角度, 在系统分析和评估风险发生的可能性及带来的损失的基础上, 提出有针对性的防护和整改措施, 将企业面临或遭遇的风险控制在可接受水平, 最大限度地保证组织的信息安全。而网络审计是由独立审计人员向企业提供的一项鉴证服务, 其风险评估的目的在于识别和评价潜在事件对被审计单位基于网络的财务信息的合法性、公允性以及网络财务信息系统的合规性、可靠性和有效性的影响程度, 从而指导进一步审计程序。因此, 两者风险评估的目的是不一样。从评估所应关注的风险范围来看, 两者具有一致性, 即都需要考虑与信息系统和信息相关的风险。但是, 具体的关注边界则是不一样的。信息安全风险评估要评估企业资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性, 并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响, 它要求评估人员关注与企业整个信息系统和所有的信息相关的风险, 包括实体安全风险、数据安全风险、软件安全风险、运行安全风险等。网络审计中, 审计人员是对被审计单位的网络财务信息系统和基于网络的财务信息发表意见, 因此, 风险评估时审计人员主要关注的是与企业财务信息系统和基于网络的财务信息相关的风险, 而不是与企业的整个信息系统和所有的信息相关的风险。根据评估实施者的不同, 信息安全风险评估形式包括自评估和他评估。自评估是由组织自身对所拥有的信息系统进行的风险评估活动;他评估通常是由组织的上级主管机关或业务主管机关发起的, 旨在依据已经颁布的法规或标准进行的具有强制意味的检查。自评估和他评估都可以通过风险评估服务机构进行咨询、服务、培训以及风险评估有关工具的提供。因此, 对审计人员而言, 受托执行的信息安全风险评估应当归属于管理咨询类, 即属于非鉴证业务, 与网络审计严格区分开来。
(二) 风险评估的内容
在我国国家质量监督检验检疫总局发布的《信息安全风险评估指南》 (征求意见稿) 国家标准中, 它将信息安全风险评估的内容分为两部分:基本要素和相关属性, 提出信息安全风险评估应围绕其基本要素展开, 并充分考虑与这些基本要素相关的其他属性。其中, 风险评估的基本要素包括资产、脆弱性、威胁、风险和安全措施;相关属性包括业务战略、资产价值、安全需求、安全事件、残余风险等。在此基础上的风险计算过程是: (1) 对信息资产进行识别, 并对资产赋值; (2) 对威胁进行分析, 并对威胁发生的可能性赋值; (3) 识别信息资产的脆弱性, 并对弱点的严重程度赋值; (4) 根据威胁和脆弱性计算安全事件发生的可能性; (5) 根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失; (6) 根据安全事件发生的可能性以及安全事件出现后的损失, 计算安全事件一旦发生对组织的影响, 即风险值。结合上文网络审计风险评估五个方面的内容可以看出, 网络审计和信息安全风险评估在内容上有相近之处, 即都需要针对信息系统和信息可能面临的威胁和存在的脆弱点进行识别。但是, 信息安全管理作为企业的一项内部管理, 其风险评估工作需要从两个层次展开:一是评估风险发生的可能性及其影响;二是提出防护或整改措施以控制风险。第一个层次的工作实质上是为第二层次工作服务的, 其重点在第二层次。《信息安全风险评估指南》 (征求意见稿) 提出, 企业在确定出风险水平后, 应对不可接受的风险选择适当的处理方式及控制措施, 并形成风险处理计划。其中, 风险处理的方式包括回避风险、降低风险、转移风险、接受风险, 而控制措施的选择应兼顾管理和技术, 考虑企业发展战略、企业文化、人员素质, 并特别关注成本与风险的平衡。网络审计的风险评估工作主要集中在第一个层次, 即审计人员通过风险评估, 为进一步审计中做出合理的职业判断、有效地实施网络审计程序和实现网络审计目标提供重要基础。因此, 两者的评估内容是存在区别的。
(三) 风险评估的程序
网络审计和信息安全管理的风险评估程序基本上是一致的, 除了实施询问、观察和检查、分析等常规程序外, 评估人员都需要借助一些特定的评估工具对特定系统或网络技术风险进行评估。这些评估工具大致可以分为以下几类:安全管理评价系统;信息基础设施风险评估工具风险评估辅助工具。对于风险评估的具体实施, 《信息安全风险评估指南》 (征求意见稿) 将其确定为如下流程: (1) 风险评估的准备。包括确定风险评估的范围、目标, 建立适当的评估小组, 确定系统性的风险评估方法, 获得管理者对风险评估策划的批准的内容。 (2) 资产识别。包括定义资产并分类、对资产赋值。 (3) 识别威胁。包括定义威胁并分类、对威胁赋值。 (4) 识别脆弱性。包括定义脆弱性并分类、对脆弱性赋值。 (5) 确认已有的安全措施。 (6) 风险识别。包括风险的计算、风险等级的判定、控制措施的选择、残余风险的评价。 (7) 风险评估结果记录。
(四) 风险评估流程
网络审计中风险评估的实施流程可分为以下阶段:首先, 系统调研阶段。即调查并了解被审计单位信息系统的相关内容, 以确定风险评估的范围。其次, 制定风险评估方案。即对评估任务分工和责任、评估各阶段的工作计划、时间进度等事项进行安排。第三, 识别和评估脆弱点。即对被审计单位网络财务信息系统和基于网络的财务信息在技术和管理方面可能存在的漏洞进行识别和分析。第四, 识别和评估威胁。即对被审计单位网络财务信息系统和基于网络的财务信息在物理层、系统层、应用层、网络层及管理层所面临的各种威胁, 并分析它们发生的可能性。第五, 管理检查。即审计人员专门对被审计单位的总体管理措施的完备性和有效性进行评估。最后, 风险评估结果分析。即审计人员根据上述各阶段实施所得到的评估结果, 对信息系统及基于网络的财务信息进行综合的风险评价, 得出风险评估的结论。
摘要:本文基于风险评估中应关注的风险范围、目的、内容、实施程序及流程等, 对网络审计、历史财务报表审计、信息安全管理等风险评估进行了对比分析, 以深化对网络审计中风险评估工作的理解。
关键词:网络审计,历史财务报表审计,信息安全管理,风险评估
参考文献
[1]张胜、陈玉红:《信息安全风险评估理论研究》, 《山西财经大学学报》2008年第1期。
审计信息化管理 第9篇
一、信息化内部控制审计与信息系统审计的相关规范
国内外相关规范中的一系列规定表明, 现代内部控制审计必须充分重视信息技术的应用。信息技术在财务报告内部控制领域的应用, 主要的表现形式就是信息系统, 特别是会计信息系统的建立。信息化内部控制审计关注会计信息系统的内部控制有效性问题, 而这个问题也是信息系统审计关注的重要内容之一。而国内外一系列信息系统审计规范的陆续发布, 又使信息系统审计成为人们关注的热点。信息系统本身就包含了信息技术的应用, 信息技术的深入应用又对信息系统的内部控制产生重大影响。而信息系统, 特别是会计信息系统的内部控制, 同样是信息系统审计中重要的一环。
(一) 信息化内部控制审计
会计信息质量不仅取决于财务报告本身, 更取决于对财务报告产生过程的有效控制。内部控制是防范企业财务报告错误和舞弊行为, 保证企业财务报告真实、完整的内在机制。而内部控制审计的目的就是要评价内部控制的有效性。信息技术应用的不断深入使经营管理越来越依赖于利用信息技术建立起来的信息系统。理论界也密切注意着信息化环境下企业内部控制制度的变化, 许多学者纷纷探讨信息化环境对企业内部控制要素的影响、信息化环境下内部控制的构建等, 并认为应该利用信息技术来构建与完善内部控制系统。信息化环境下内部控制系统的变化, 必然导致内部控制规范的变化, 不论是美国内部控制规范体系中的COSO框架、SOX法案、SEC发布的《最终规则》、COBIT, 还是日本的《财务报告内部控制的评价和监督准则》等规范, 都充分地考虑了信息化环境对内部控制的影响。面对信息化环境下内部控制及其规范的变化, 评价内部控制有效性的内部控制审计就必须考虑信息化环境的影响, 从而就产生了信息化内部控制审计的问题。
内部控制审计考虑信息化环境的影响始于上世纪80年代。本世纪以来, 各国又陆续出台了一系列相关的规范。如, 美国上市公司会计监督委员会 (PCAOB) 于2004年3月发布了第2号审计准则《与财务报表审计协同进行的财务报告内部控制审计》 (简称AS NO.2) 。随后, PCAOB于2007年5月又颁布了第5号审计准则《与财务报表审计相结合的财务报告内部控制审计》 (简称AS NO.5) 以取代AS NO.2。此外, 美国注册会计师协会 (AICPA) ) 为了与AS No.5保持一致, 于2008年发布了鉴证准则第15号 (SSAE No.15) 。SOX法案302条款和404条款中的实质性条款也直接影响到了PCAOB、AICPA等对内部控制审计的相关规范。从AS NO.2到AS NO.5, 其内容都涉及到IT环境下的内部控制问题。AS NO.5对于IT的应用表现出了更多的关注, 如必须评价IT使用的范围, 必须认真评估IT对财务报告的影响及其带来的风险等。日本为体现IT的重要性, 直接将“对IT的应用”作为内部控制的一个基本组成部分。
我国审计对信息化环境的关注最早体现在审计署发布的相关规范中。1993年, 我国审计署发布了《关于计算机审计的暂行规定》, 1996年又发布了《审计机关计算机辅助审计办法》, 从而拉开了我国IT在审计领域应用的序幕。1999年, 中国注册会计师协会发布了《独立审计具体准则第20号——计算机信息系统环境下的审计》, 要求注册会计师应充分关注IT环境对被审计单位会计信息及内部控制的影响。2003年6月, 中国内部审计协会发布实施了《内部审计具体准则——内部控制审计》, 其中要求内部审计人员应评价组织获取及处理信息的能力。2006年, 财政部发布了《审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》, 认为内部控制应包括自动化成分, 在风险评估以及设计和实施进一步审计程序时, 应当考虑自动化特征及其影响;还应当从信息技术和人工系统中, 对交易生成、记录、处理和报告的程序了解与财务报告相关的信息系统。2007年, 财政部发布了《审计准则第1633号——电子商务对财务报表审计的影响》, 认为注册会计师应当考虑被审计单位在电子商务中运用的与审计相关的内部控制。2008年, 财政部等五部委联合发布了《内部控制审计指引》, 认为应当关注信息系统对内部控制及风险评估的影响。2011年10月, 中国注册会计师协会发布了《企业内部控制审计指引实施意见》, 认为内部控制审计要考虑信息技术控制环境的影响。
(二) 信息系统审计
信息系统审计源于EDP (Electronic Data Processing) 审计, 信息系统审计方面最早的文献是当时主要的计算机制造商IBM公司出版的《电子数据处理审计》和《内部电子处理和审计轨迹》等。这些文献充分考虑了电子数据环境对数据处理流程的影响, 提出了许多新的概念、术语和审计技术。
信息系统审计相关准则及规范的颁布进一步推动了信息系统审计理论与实务的不断发展。首先是国际会计师联合会颁布的一系列国际审计准则, 包括1984年颁布的国际审计准则第15号《电子数据处理环境下的审计》、国际审计准则第16号《计算机辅助审计技术》;1985年颁布的国际审计准则第20号《电子数据处理环境对会计制度和有关内部控制研究与评价的影响》;2004年颁布的国际审计准则第401号《计算机信息系统环境下的审计》等。在众多规范中, 影响最大的是国际信息系统审计协会 (ISACA) 制定的信息系统审计准则。其信息系统审计准则体系由标准、指南和程序等3个层次组成, 截至2010年1月, ISACA共发布了16个审计标准、42个审计指南和11个审计程序。
我国有关信息系统审计的规范相对比较零散。审计署于1993年发布了《关于计算机审计的暂行规定》, 1996年又发布了《审计机关计算机辅助审计办法》;中国注册会计师协会于1999发布了《独立审计准则第20号——计算机信息系统环境下的审计》, 2007发布了《审计准则第1633号——电子商务对财务报表审计的影响》;国务院于2001年下发了《关于利用计算机信息系统开展审计工作有关问题的通知》;2004年, 审计署在《2004至2007年审计信息化发展规划》中明确提出了要积极探索信息系统审计, 2008年, 《审计署2008至2012年信息化发展规划》再一次提出要探索符合我国国情的信息系统审计;2008年, 我国内部审计协会发布了《内部审计具体准则第28号——信息系统审计》, 这是我国发布的唯一专门针对信息系统审计的准则, 开创了我国信息系统审计准则制定的先河。
信息化内部控制审计与信息系统审计分属不同的审计范畴, 但却同时对信息技术的应用和内部控制的有效性予以关注。因此, 深入剖析信息化内部控制审计与信息系统审计的联系与区别, 对整合审计资源有着重要的意义。
二、信息化内部控制审计与信息系统审计的联系
财务报告信息是会计信息系统的产物, 会计信息系统的有效运行依赖于内部控制的有效性。在信息化环境下, 信息系统审计关注信息技术的应用与信息系统运行的有效性, 信息化内部控制审计关注信息技术的应用与内部控制的有效性, 因此, 信息化内部控制审计和信息系统审计存在着多方面联系。
(一) 最终目标一致
PCAOB的AS NO.5中明确规定, 财务报告内部控制审计的目标“是对公司财务报告内部控制的有效性发表意见”。我国《企业内部控制审计指引》也指出, 财务报告内部控制审计的目标是内部控制的“有效性”。根据《企业内部控制基本规范》 (2010) 的相关规定, “有效性”包括制度设计有效性和制度运行有效性两个方面。
ISACA的信息系统审计准则借助COB IT的“控制目标汇总”表确定各个IT过程的具体审计目标。我国《内部审计具体准则第28号——信息系统审计》明确指出, 信息系统审计的目的是对组织是否达成信息技术管理目标进行综合评价, 协助组织信息技术管理人员有效地履行其受托责任以达成组织的信息技术管理目标。
表面看来, 信息系统审计与信息化内部控制审计的目标并不一致, 但两者的最终目的是一致的, 都是合理保证报表使用者得到真实可靠的财务信息。而且, 信息系统审计目标的确定很大程度上都与内部控制密切相关。这是因为, 财务报告是信息系统的产物, 信息系统的运行依赖于内部控制的有效。所以, 内部控制的有效性, 是为了信息系统的有效运行, 是为了最终财务报告信息的质量。
(二) 业务类型一致
内部控制审计和信息系统审计都属于基于责任方认定的合理保证鉴证业务。在财务报告内部控制审计业务中, 管理层要先评估公司财务报告内部控制的有效性, 然后注册会计师再对管理层的评估进行审计, 这正是合理保证鉴证业务的范畴。我国《企业内部控制审计指引》中规定, “建立健全和有效实施内部控制, 评价内部控制的有效性是企业董事会的责任”, “对内部控制的有效性发表审计意见是注册会计师的责任”。因此, 财务报告内部控制审计也是基于责任方认定的鉴证业务。
信息系统审计的主要任务, 是以独立第三方的身份对被审计单位信息系统发表意见, 这种意见明显属于合理保证鉴证业务的范畴。COBIT框架明确提出, “管理层的责任是保护企业的所有资产, 为履行这一责任, 管理层应建立起一套完善的内部监控体系”。信息系统审计准则正是ISACA基于COBIT的思想建立的监控体系, 其目的也是要对管理层的责任认定进行鉴证。我国《内部审计具体准则第28号——信息系统审计》认为信息系统的开发、运行和维护以及信息技术相关的内部控制的设计、执行和监控是组织及其相关人员的责任, 实施信息系统审计工作并出具审计报告是信息系统审计人员的责任。这一规定同样说明了信息系统审计属于基于责任方认定的合理保证鉴证业务。
(三) 风险导向审计模式的应用
为了充分考虑IT环境的影响, PCAOB发布的AS NO.2和AS NO.5要求进行内部控制审计时采用自上而下的审计方法, 其中AS NO.5称之为风险基础的自上而下审计法, 即风险导向的审计模式。我国《企业内部控制审计指引》的亮点之一就是特别强调了风险导向审计思想, 根据《企业内部控制审计指引》的规定, 注册会计师按照自上而下的方法实施审计工作, 并将其作为识别风险、选择拟测试控制的基本思路, 这同样是风险导向审计模式的思想。
信息系统审计同样关注风险导向审计模式的应用。在ISACA发布的信息系统审计准则中, 与风险评估有关的审计标准有《S11:风险评估在审计计划中的应用》, 审计指南有《G13:风险评估在审计计划中的应用》, 审计程序有《P1:信息系统风险评估方法》、《P5:控制风险自我评估》等。胡晓明 (2007) 认为, 信息系统审计是信息系统风险防范的新途径, 应该实施风险导向的信息系统审计。我国《内部审计具体准则第28号——信息系统审计》专门讨论信息系统审计中对信息技术风险的评估, 同样体现了风险导向审计的思想。
(四) 审计程序相互关联, 工作成果能够相互利用
COSO框架认为, 信息与沟通是内部控制的五个要素之一, 自然是内部控制审计的关注点。而信息与沟通主要通过信息系统实现, 与现代信息技术相结合的信息系统具有开放化、实时化、电子化的技术特点, 从而影响到内部控制审计的规范实施。所以, 在信息化生态环境下, 内部控制要解决两个层面的问题, 一个是信息化环境下的业务内部控制问题, 另一个是其中的信息系统的内部控制问题。在信息化环境下, 安全审计应该成为内部控制审计的内容之一。COBIT作为一个综合内部控制模型, 既能够适应IT治理需要, 又可以确保信息与信息系统的完整性, 从而成为内部控制审计和信息系统审计共同的思想基础。PCAOB的AS NO.2和AS NO.5都强调应该在内部控制审计过程中充分注意信息系统的作用。日本的《财务报告内部控制的评价和监督准则》也指出, 要确保企业内部的信息处理系统能恰当地搜集和处理在各业务领域的数据并能反映在财务报告中。我国《内部审计具体准则——内部控制审计》认为保证管理信息系统的有序运行, 保证管理信息系统的安全可靠是内部控制审计过程中必须关注的内容。
信息系统审计通常要包括信息系统内部控制审计, 在ISACA发布的信息系统审计准则中, 与内部控制直接相关的审计标准有《S15:IT控制》, 审计指南有《G11:广泛的信息系统控制的效果》、《G16:在组织的IT控制中第三方的作用》、《G36:生物控制》、《G38:存取控制》, 审计程序有《P9:密码方法在管理控制中的评价》、《P10:商业应用改变控制》等。我国《内部审计具体准则第28号——信息系统审计》也认为信息系统审计包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审计。
因此, 内部控制审计和信息系统审计的很多审计程序相互关联, 工作成果能够相互利用。在内部控制审计中发现的控制缺陷能为注册会计师在信息系统审计中认定重点实施审计指明方向。在信息系统审计中对信息系统内部控制的关注可以作为内部控制审计的基础。
三、信息化内部控制审计与信息系统审计的区别
内部控制审计重在“控制有效性”, 信息系统审计重在“系统有效性”。因此, 二者的审计对象、审计重点等还是存在着差异。
(一) 审计对象与内容不同
内部控制审计的对象是企业的内部控制, 内部控制审计的内容主要包括内部控制制度的建立、内部控制制度的实施以及内部控制制度实施过程中的监管等方面。根据内部控制一般框架理论, 内部控制审计的对象还应包括内部控制的众多影响因素, 如内部控制的环境等。信息系统的审计对象是企业的信息系统。信息系统是个比较大的范畴, 其内容主要包括信息系统的开发与采纳、信息系统的实施、信息系统的控制、信息系统的维护与评价等。与内部控制审计的对象比较, 信息系统审计要包含信息系统内部控制的相关内容, 而信息系统化内部控制审计除了关注信息系统的内部控制之外, 还要关注企业其他方面的内容控制问题, 所以, 二者的审计对象与内容有所交叉, 但还是有明显的区别。
(二) 对内部控制的关注程度不同
首先, 从目的性来看, 二者对内部控制关注的目的不同。信息系统审计中评价内部控制的目的, 是为了判断是否可以相应减少实质性程序的工作量;内部控制审计中评价内部控制的目的, 则是为了对内部控制本身的有效性发表审计意见。其次, 从内部控制测试范围来看, 二者关注的内部控制的范围也不同。信息系统审计可以绕过内部控制测试程序进行审计, 而内部控制审计则不能绕过内部控制测试程序进行审计, 注册会计师必须针对每一审计领域获取控制有效性的证据, 以便对内部控制整体的有效性发表意见。此外, 在信息系统审计中, 对控制测试的可靠性要求相对较低, 而在内部控制审计中, 对控制测试的可靠性要求较严。
(三) 对控制缺陷的评价要求不同
在内部控制审计中, 注册会计师需要对内部控制缺陷进行严格的评估, 并区分出重大缺陷, 因为重大缺陷将影响到审计意见的类型。而在信息系统审计中, 注册会计师仅需区分出值得关注的内部控制缺陷和一般缺陷。
(四) 出具的审计报告不同
在信息系统审计中, 注册会计师主要是对信息系统的安全、可靠、有效和效率以及能否有效地组织资源, 实现组织目标等发表审计意见。在内部控制审计中, 注册会计师对内部控制整体的有效性发表意见。信息系统审计是对信息系统的合理鉴证, 内部控制审计是对内部控制有效性的合理鉴证。
四、结论
PCAOB的AS NO.5首次提出整合审计的模式, 认为财务报告审计与内部控制审计应进行整合。我国《企业内部控制审计指引》明确指出, “注册会计师可以单独进行内部控制审计, 也可将内部控制审计与财务报表审计整合进行”。因为整合审计既可以提高上市公司财务信息的质量, 又能提高审计效率, 降低审计风险, 所以, 整合审计是一种经济可行、切实兼顾了社会公众、被审计单位和注册会计师行业三者利益的制度安排。
财务报告信息产生于企业的会计信息系统, 而内部控制又是保证会计信息系统能够有效运行, 从而保证企业财务报告真实、完整的内在机制。内部控制与信息系统之间的必然联系, 以及信息技术的广泛应用, 使得信息化内部控制审计与信息系统审计之间的联系成为主要的、必然的联系。既然二者的审计模式、程序、方法等存在着相同之处, 二者的基础工作可以共享, 在一项审计中发现的问题还可以为另一项审计提供线索和思路, 那么就不得不考虑信息系统审计、内部控制审计与财务报告审计的关系问题。在信息化环境下, 应该把信息系统审计、内部控制审计和财务报告审计进行整合, 建立起完善的整合审计体系, 以保证财务报告信息的质量。
参考文献
[1]陈杰、黄正瑞:《网络环境下会计系统的安全审计》, 《会计研究》2000年第1期。
[2]陈志斌:《信息化生态环境下企业内部控制框架研究》, 《会计研究》2007年第1期。
[3]刘志远、刘洁:《信息技术条件下的企业内部控制》, 《会计研究》2001年第12期。
[4]骆良彬、张白:《企业信息化过程中内部控制问题研究》, 《会计研究》2008年第5期。
[5]谢晓燕、张龙平、李晓红:《我国上市公司整合审计研究》, 《会计研究》2009年第9期。
[6]章铁生:《信息技术条件下的内部控制规范:国际实践与启示》, 《会计研究》2007年第7期。
[7]胡晓明:《风险导向信息系统审计及其发展思路》, 《经济管理》2007年第2期。
[8]ISACA.Standards, Guidelines, and Tools and Techniques for Audit/Assurance and Control Professionals.http://www.isaca.org/KN O WLEDGECEN TER/STAN DAR DS/Pages/default.aspx.
审计信息化管理 第10篇
以传统的财务为导向的审计和会计电算化起步较早, 这一方面的审计信息化已有一定的发展基础, 如国家审计署规划实施的“金审工程”。此外, 一些大型企业也在审计信息化方面进行了积极的探索与尝试。但总体来说, 内部审计信息化的步伐是相对滞后的, 信息化审计也就无法得以有效开展, 最根本的原因是人才队伍建设跟不上时代的步伐。
1 对审计信息化的理解
相关书籍、网络对审计信息化的定义也不尽准确, 基本还是停留在财务导向审计基础之上的概念。内部审计人员使用计算机辅助审计编辑一些记录文件也远称不上审计信息化, 通过研究开发自己的审计管理信息系统, 我们对审计信息化有了更充分的了解:审计信息化是一项系统的工程, 在这项工程中需要将优秀的审计经验、先进的审计方法和标准与计算机系统高度集成形成信息化管理平台, 内部审计机构和审计人员可以通过这一平台对审计决策、审计方法与标准的选择、执行及审计成果利用实现全过程的在线作业。这一审计信息化管理平台不仅包含各种功能框架, 还应包含预置在内的审计方法、审计标准、知识库等审计应用数据库。在审计信息化的过程中, 审计人员不能只是被动等待与接受, 应该与计算机系统开发人员一起探讨、研究形成符合审计实际需要的管理信息系统。
2 审计信息化和信息化审计对人员素质的要求
传统的手工审计因为效率低下、方法单一而无法满足信息化时代审计工作的需要。与传统的审计方式比较, 审计信息化是一场革命, 是一项系统工程, 内部审计机构需要拥有并维持一支既熟悉审计业务又熟悉信息技术的高素质人才队伍。审计信息化建设之初, 这支队伍应在继承、发扬既有审计理论、审计控制标准与方法的同时, 转变思维方式和思想观念, 积极探索、推动内部审计信息化工作;审计信息化初具规模或基本实现之后, 这支队伍应在信息化审计实践中持续提高自身的理论素养与业务能力的同时, 持续优化审计信息化系统的建设水平。
3 审计信息化发展滞后的原因分析
在信息化高度发达的今天, 内部审计信息化水平还普遍不高, 甚至可以说是基础薄弱, 审计信息化程度远不及其他领域的信息发展程度高, 主要归咎于以下原因。
3.1 审计人力不足, 基本素质、理论素养不足
长久以来, 由于管理层对审计的认识不足, 审计在企业内部还得不到足够的重视, 当审计的监督职能与企业生产或经营利益发生冲突时, 常常会出现为保证生产或经营利益而牺牲审计监督职能的情形, 从而导致内部审计人员配备不足或配备的人员素质不符合要求。
随着社会的飞速发展、市场竞争的不断加剧、信息媒体的急速反应以及公司产业的快速发展, 企业面临的治理环境发生了巨大的变化, 对内部审计工作的要求越来越高, 不但要求内部审计扮演监督者的角色, 对各种风险进行有效监控和及时预警, 更要求其担当价值创造的职能, 为管理层决策和企业安全运营提供服务。加之近些年来内部审计对象的多元化发展, 内部审计人员的力量与能力更显不足。
3.2 审计操作标准精细化程度不高, 可操作性差
在传统手工审计体制下形成的审计规范中, 关于审计质量标准、审计过程控制和审计方法的内容精细化程度先天不足, 难以满足审计信息化要求, 严重制约了审计质量和审计工作效率的提高。
4 信息化审计人才队伍建设
“工欲善其事, 必先利其器。”近两年来, 结合本公司的审计业务, 我们在审计规范、审计标准、审计方法等方面进行了积极的探索与研究, 并在此基础上在审计信息化的道路上迈出了坚实的一步, 设计、开发了自己的审计管理信息系统并将其应用于审计实践。
从实质性地开始审计管理信息系统的开发到成功投入使用, 在领导的重视与积极推动下, 我们只用了6个月的时间就成功开发出了一套基本符合本公司业务需求的审计管理信息系统。实践证明, 要在企业里推动审计信息化建设并使之获得成功, 领导层要高度重视、审计人员及系统开发人员的业务素质是成功的关键。
审计管理信息系统的建设是个没有终点的研究与应用过程, 需要结合审计实践与审计研究持续优化, 在借助系统实施审计作业的过程中, 我们需要拥有一支既要具有实战技能又要具有理论素养的信息化审计人才队伍。这样一支信息化人才队伍必须满足下列条件:
(1) 充足的人力配备:由于内部审计已发展为以风险控制为导向的审计, 审计对象的多元化要求内部审计机构在配置审计人员时, 要充分考虑审计人员的数量、专业配置要与之承担的审计任务适应。如果人力不足或专业配置不当而审计业务相对繁重的情况下, 审计人员成年累月忙于应付审计项目而必将无暇顾及审计理论的研究。
(2) 良好的实操技能:审计人员应该具备信息化环境下熟练审计的实操技能, 这是一种能够快速适应我们的审计管理信息系统并能熟练使用其进行审计作业的能力, 包括审计业务与计算机使用能力2个方面的内容。
审计信息化建设 第11篇
富平县审计局通过各种措施推动计算机审计项目提水平。一是扩大计算机审计覆盖面,今年全局计算机审计项目占全年计划项目的38.5%。二是建立了计算机审计项目复核程序,要求审计计划牵涉到的计算机审计项目,在报送审计卷宗的同时,要将计算机审计流程一并报送局法制股进行复核。三是加强业务指导和沟通,由局法制股专人负责计算机审计项目,对相关业务股室进行业务指导和管理,同时聘请专家进行现场指导和培训。 (李晓龙)
◆镇巴县
为了进一步加大审计信息化应用系统推广力度,镇巴县审计局近年来对县局信息化基础设施进行升级改造,包括建设机房、更新办公电脑、按照内外网分离的原则重新进行布线等,并先后派出12名干部赴省、市培训。同时邀请省厅计算机中心对县局审计专网向电子政务外网线路迁移工作进行指导,顺利完成了此项迁移工作,对下一步建立各市县区信息化统一平台奠定了基础。 (李卓)
◆洋县
计算机审计对审计信息化的影响 第12篇
一、计算机审计对审计信息化的影响
谈及计算机审计对审计信息化的影响, 其必然具有两面性, 计算机审计对审计信息化既具有重要的正面影响, 能够有效的促进审计信息化的发展, 同时计算机审计也必然有其弊端:
(一) 计算机审计对审计信息化的积极影响
首先, 计算机审计更有助于加强对整个审计过程的监督力度。计算机的审计过程是比较复杂的, 先后经过了接受客户的委托——为审计工作做准备——做好审计计划——实施审计计划——对实施过程的报告与反馈等几个阶段。较完善的计算机审计方式会更好的对审计过程实施监督, 使审计的结果更加的公正合理。
其次, 计算机审计会促使审计软件的不断更新与开发, 随着各方面的不断发展, 所要审计的项目和内容也越来越复杂, 单纯的依靠人工审计的方式或者是简单的审计软件已经不能够满足审计的要求, 因此, 计算机审计这种新兴的审计方式深入的发展之后会带来审计软件的更新速度加快和审计结果的准确性, 提高审计人员的工作效率, 缩减审计开支。
最后, 计算机审计会有效的避免人工审计所带来的一些弊端, 一方面可以避免了由于人工计算能力与信息的整合能力缺陷所带来的影响, 另一方面也能有效的避免由于审计组的人员与审计项目之间存在着某种利益关系而导致了在审计的过程中掺杂入个人感情, 以权谋私, 不能做到审计过程的公正性与合理性。
(二) 计算机审计对审计信息化的消极影响
首先, 在利用手工的方式进行审计时, 由控制环境和程序以及会计制度三个要素构成的内部控制结构可以有效的掌握和了解内部控制过程, 而计算机审计的最大的弊端就在于利用计算机系统在进行审计的过程中, 都是由电脑自动完成的整个过程, 所以不能有效的掌控内部。
其次, 计算机审计缩减了审计的线索资料。利用手工的方式进行计算机审核, 审计的工作人员必须关注到审计项目的各项资料材料和各项数据, 并按照一定的步骤进行记录与整理, 表现为一定的书面形式, 而在计算机审计过程中大量的信息资料是以电子介质的方式进行储存的, 并不能很直观的用肉眼观察到审计信息。
最后, 计算机审计的方式会导致核算的过程不能直观观察到, 计算机进行核算往往是通过某种审计软件进行的, 这种不直观的核算方式使得要想对审计项目的相关经济进行审查就必须得计算机审计软件的程序进行审查, 但是这种审查对于以往本身并不具备高素质的审计人员来说是一个比较大的挑战。
二、计算机审计建设的措施
(一) 加强审计人员的计算机审计技能和素质
计算机审计技术区别于以往的审计方式, 这种方式需要审计人员除了具备最基本的会计和审计知识之外, 还必须熟练的掌握计算机技术, 熟练的操作各种审计软件和最基本的计算机工具。
(二) 建立健全计算机审计的相关法律法规建设, 确立审计的相关准则
计算机审计虽然能够提高工作效率, 有很多的优势, 但是也是存在弊端的, 只有实现与手工审计之间的完美结合才能取长补短, 互相弥补, 让计算机审计获得长足的发展并发挥其重要作用。
(三) 完善计算机审计软件的质量和增强其实用性
不断的更新完善计算机审计软件和程序, 引进和吸收培养一批能够开发与创新计算机审计软件的高素质人才, 通过对计算机软件质量的提高, 使软件更具实用性, 更能够适应不同的审计项目、不同类型的数据审计等等。
(四) 完善审计的内容和重点
审计的内容不仅仅是对法规制度和组织机构等方面的控制, 而且对企业的计算机管理系统的开发使用与控制也应该被列入审计的内容和重点之中, 必须做好对系统可行性和合法性的审计, 做好系统利弊的审计。
总结语:随着计算机技术的不断发展与广泛应用, 还有信息化时代的必然要求, 利用计算机技术实现审计的信息化, 顺应时代的发展需求是十分必要的。审计信息化对于顺应会计信息化发展的要求, 规范审计工作, 转变审计手段, 更好的迎战国际竞争具有不可替代的作用。
摘要:当今时代是一个信息化高速发展的时代, 信息化建设对于各行各业的发展具有至关重要的作用, 审计信息化也逐渐的提上日程并不断获得发展。计算机审计是会计电算化的发展过程中产生的, 它对于审计信息化的发展具有非常重要的意义。本文将对计算机审计对审计信息化的影响和如何更好的加强计算机审计的建设进行阐述。
关键词:计算机审计,审计信息化,影响
参考文献
[1]张钦.创新审计技术提高审计效率, 计算机复制审计初见成效[J].中国内部审计协会2010年度全国“信息化环境下的内部审计”理论探讨暨经验交流会三等奖论文汇编.200
[2]廖忠友, 陈茸, 苏长江.内部审计信息化展望[J].中国内部审计协会2011年度全国“信息化环境下的内部审计”理论探讨暨经验交流会三等奖论文汇编.2011