IT审计范文（精选8篇）

IT审计 第1篇

一、IT审计的定义及其特点

IT审计是指对信息系统从计划、研发、实施到运行维护各个过程进行审查与评价的活动, 以审查企业信息系统是否安全、可靠、有效, 保证信息系统得出准确可靠的数据。由以上定义可知, IT审计的目标是保证IT系统的可用性、安全性、完整性和有效性, 最终达到强化企业内部控制的目的。

该审计过程具有以下特点:

1. IT审计是一个过程。

它通过获取的证据判断信息系统是否能保证资产的安全、数据的完整和组织目标的实现, 它贯穿于整个信息系统生命周期的全过程。

2. IT审计的对象综合且复杂。

IT审计从纵向 (生命周期) 看, 覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务;从横向 (各阶段截面) 看, 它包含对软硬件的获取审计、应用程序审计、安全审计等。IT审计将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。

3. IT审计拓宽了传统审计的目标。

传统审计目标仅仅包括“对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见”;但IT审计除了上述目标外, 还包括信息资产的安全性、数据的完整性及系统的可靠性、有效性和效率性。

4. IT审计是一种基于风险基础审计的理论和方法。

IT审计从基于控制的方法演变为基于风险的方法, 其内涵包括企业风险管理的整体框架, 如内部环境的控制、目标的设定、风险事项的识别、风险的评估、风险的管理与应对、信息与沟通以及对风险的监控。

二、我国IT审计面对的挑战

IT审计和传统审计相比具有的上述特点是吸引我国众多企业引入IT审计的重要原因, 但是这种方法的应用又会给企业提出巨大的挑战。

1. 传统审计线索的消失。

在手工会计环境下, 审计线索主要来自于纸质原始凭证、记账凭证、会计账簿和会计报表, 这些书面数据之间的勾稽关系使得数据若被修改可辨识出修改的线索和痕迹, 这就是传统审计线索的基本特征。但是现在计算机网络信息系统中这些数据直接记录在磁盘和光盘上, 无纸张记录, 审计人员用肉眼无法直接看到这些数据如何记录, 且非法修改删除原始数据也可以不留篡改的痕迹, 从而为舞弊人员作案留有可乘之机。尽管许多审计机构要求已实现会计信息化的企业将所有原始凭证、记账凭证、账簿、报表打印输出, 使用绕开计算机系统的审计方法, 并以打印出的证、账、表作为基本审计的线索和依据。但是如果原始数据在业务发生时就被有意篡改, 则其派生的记账凭证金额和账户余额及报表数据也一定会出错, 打印出的数据也不能作为审计证据。因此即使打印出所有电子数据, 传统审计线索也会在计算机信息系统下完全消失。

2. 计算机信息系统的数据安全面临挑战。

手工信息处理的环境下, 审计人员无须将数据和会计信息的安全性问题作为审计的重要内容, 但是在IT审计的工作中, 网络电子交易数据的安全是关系到交易双方切身利益的关键问题, 也是企业计算机网络应用中的重大障碍和审计的首要问题。例如计算机病毒的破坏、黑客用IP地址欺骗攻击网络系统来获取重要商业秘密、内部人员的计算机舞弊、数据丢失等, 都是传统审计从未涉及的, 但又是IT审计的重点, 这对当前我国的审计工作无论是操作系统, 还是制度建立等众多方面都是一个很大的挑战。

3. IT审计专业人才匮乏, 适应IT审计事业发展的人才培养和管理机制还有待建立和健全。

由于IT审计固有的复杂性, 这项工作需要具备会计、审计、组织管理和计算机、网络技术等综合知识的人才, 而且工作人员需要对内部控制和审计有深刻的理解, 对信息和网络技术有敏锐的捕捉能力, 在我国获得注册信息系统审计师资格的人数远远不能满足信息系统审计业务的需求。

三、我国IT审计应对策略

面对上述挑战, 我们应当多方位、多角度制订措施, 使IT审计工作更好地为我国企业发展做出贡献。具体措施如下:

1. 审计线索的重建。

根据计算机网络系统容易在不同地方同时形成相同“原本”数据的特点, 可以重建电子审计线索:在电子化的原始数据形成时, 同时在审计机构 (包括内审机构) 和关系紧密 (签字确认) 的部门形成原始数据的“原本”, 或在不同部门各自形成相关的数据库 (特别应当包括数量、金额和单价等主要数据项) , 这样不仅可以相互监督和牵制, 还给计算机审计提供可信的审计线索。这种保留审计线索的方法, 一方面成为有力的控制手段, 另一方面可从审计线索中发现疑点。这种方法主要是应用专用的审计比较软件, 同时将几个部门的同一种数据库进行自动比较形成有差异的数据记录文件, 详细审查相关的数据文件和访问有关的当事人, 从而取得有力的审计证据。上述比较审计方法是在不同部门同时形成业务数据文件的情况下应用, 如果企业业务数据分离存放, 如销售合同与销售发票、提货单在不同的部门保存, 这种实质性测试也可采用比较审计法, 应用专用的审计软件, 结合相关的几个业务数据文件进行比较, 查出有错误疑点的记录。

2. 确保信息系统的信息安全。

为了保证信息系统的信息安全, IT审计工作人员要在审计过程中评价企业的防火墙技术、网络系统的防病毒功能、数据加密措施、身份认证和授权的应用实施情况, 通过面谈实地审查企业安全管理制度建立和执行的情况, 查看企业是否为了预防计算机病毒, 对外来的软件和传输的数据经过病毒检查, 业务系统是否严禁使用游戏软件, 以及是否配置了自动检测关键数据库的软件, 使异常及时被发现;检测企业是否为了防范黑客入侵, 网络交易的数据库采用离散结构, 同时在不同的指定网点 (如在交易的双方) 形成完整的业务数据备份供特殊使用 (如审计和监控) ;此外IT审计人员还要注意检查企业的信息系统岗位责任实施、安全日志制度, 审查有关计算机安全的国家法律和管理条例的执行情况。

3. 建立一支完备的IT审计专业人才队伍。

IT审计的发展必须有一大批专业化的IT审计人才, 这就要求我们要采取短期培训和长期培养、操作层面上的培训与高层次人才的培养、在职人员培训与未来人才培养相结合的方法将这支队伍逐渐发展起来。此外我国可以从现有的审计队伍中选拔人员进行专门的信息系统审计培训, 并考虑在注册会计师的资格考试和审计师职称考试中逐步加入计算机、信息系统和网络技术等与信息系统审计有关的内容, 以及加强对从事信息化咨询的IT技术人员的会计与审计知识的培训。为了培养未来审计人员, 应在高校会计、审计专业教学计划中增加信息技术和电子商务等内容, 也可以考虑在高校中开设信息系统审计专业, 直接培养信息系统审计专业人才。

当前我国IT审计正处于起步阶段, 和传统审计相比, IT审计的显著特点决定了其势在必行, 但是一种新的方法的引入和实施必定会给企业和审计人员带来巨大的挑战, 面对种种挑战我们应采取积极措施, 迎难而上, 使IT审计工作不断发展完善。

参考文献

[1]张茂燕.论我国的信息系统审计[D].厦门:厦门大学, 2005.

[2]陈朝.我国信息化建设中信息系统审计问题研究[D].长春:东北师范大学, 2006.

[3]邓少灵.企业IT审计的框架[J].中国审计, 2002 (1) .

[4]李健, 朱锦淼, 王晓兵.IT审计——人民银行内审面临的新挑战[J].金融理论与实践, 2003 (6) .

[5]李朝阳, 胡昌振.计算机审计系统的防护方法[J].航空计算技术, 2002 (1) .

[6]李辉, 杨青峰.商业银行IT审计的策略与方法[J].信息空间, 2004 (7) .

学习心得体会(IT审计培训) 第2篇

，感谢组织给予这次的机会，在这个芬芳的浅夏，前往美丽的，参加 举办的 培训。

此次培训内容围绕“ ”，主要讲述了基于大数据的风险导向IT审计。老师的授课极具系统性、理论性，给我留下了深刻的印象，引发了深深的思索，获益匪浅，体会良多。以下是我对此次学习的一些心得体会：

一是开阔了眼界。首先是提升了对这个数字化经济时代的认识。数字化是互联网的数字化，也是“第四次工业革命”。数字化经济时代的信息不对称被打破，人们消费行为转变。在零售业和金融行业尤为凸显。例如：零售业的线上商店的突飞猛进，线下商店不得不被迫进行收缩型关店、调整型关店或整合型关店。又如：金融行业的银行卡支付主导地位开始动摇，传统金融理财产品受到网络借贷平台、智能投顾等的侵蚀。数字化带了机遇，也带来了挑战。其次是信息化背景下的审计沿革。在人工智能、数据挖掘、商务智能等大数据时代数字化变革下，审计人员需培养自己对数据的敏感性。由于现在企业的财务流程都依赖于电子系统，财务数据自动化水平越来越高，因此对于企业财务体系和其他内控流程而言，其电子系统的安全稳定和准确可靠变得越来越重要。审计人员需要基于电子数据，利用专业软件（SQL、SPSS...）高效处理海量数据，保证覆盖全样本，进行聚类、离群分析，对未来趋势进行预测和预警。

商业银行IT审计面临的挑战 第3篇

一、I T审计的定义及其特点

IT审计是指对信息系统从计划、研发、实施到运行维护各个过程进行审查与评价的活动, 以审查企业信息系统是否安全、可靠、有效, 保证信息系统得出准确可靠的数据。IT审计的目标是保证IT系统的可用性、安全性、完整性和有效性, 最终达到增强企业内部控制的目的。IT审计具有以下特点:

(一) I T审计是一个过程。

它通过获取的证据判断信息系统是否能保证资产的安全、数据的完整和组织目标的实现, 它贯穿于整个信息系统生命周期的全过程。

(二) I T审计的对象综合且复杂。

IT审计从纵向 (生命周期) 看, 覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务;从横向 (各阶段截面) 看, 它包含对软硬件的获取审计、应用程序审计、安全审计等。IT审计将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。

(三) I T审计拓宽了传统审计的目标。

传统审计目标仅仅包括“对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见”;但IT审计除了上述目标外, 还包括信息资产的安全性、数据的完整性及系统的可靠性、有效性和效率性。

(四) I T审计是一种基于风险基础审计的理论和方法。

IT审计从基于控制的

□文/秦春

方法演变为基于风险的方法, 其内涵包括企业风险管理的整体框架, 如内部环境的控制、目标的设定、风险事项的识别、风险的评估、风险的管理与应对、信息与沟通以及对风险的监控。

二、I T审计面临的挑战

IT审计和传统审计相比具有的上述特点是吸引我国众多商业银行引入IT审计的重要原因, 但是这种方法的应用又会给商业银行提出巨大的挑战。

(一) 传统审计线索的消失。

在手工会计环境下, 审计线索主要来自于纸质原始凭证、记账凭证、会计账簿和会计报表, 这些书面数据之间的勾稽关系使得数据若被修改可辨识出修改的线索和痕迹, 这就是传统审计线索的基本特征。但是, 现在计算机网络信息系统中这些数据直接记录在磁盘和光盘上, 无纸质记录, 审计人员用肉眼无法直接看到这些数据如何记录, 且非法修改删除原始数据也可以不留篡改的痕迹, 从而为舞弊人员作案留有可乘之机。

(二) 计算机信息系统的数据安全面临挑战。

手工信息处理的环境下, 审计人员无须将数据和会计信息的安全性问题作为审计的重要内容, 但是在IT审计中, 网络电子交易数据的安全是关系到交易双方切身利益的关键问题, 也是商业银行计算机网络应用中的重大障碍和审计的首要问题。例如, 计算机病毒的破坏、黑客用IP地址欺骗攻击网络系统来获取重要商业秘密、内部人员的计算机舞弊、数据丢失等, 都是传统审计从未涉及的, 但又是IT审计的重点, 这对当前我国的审计工作无论是操作系统, 还是制度建立等众多方面都是一个很大的挑战。

(三) I T审计专业人才匮乏。

适应IT审计事业发展的人才培养和管理机制还有待建立和健全。由于IT审计固有的复杂性, 这项工作需要具备会计、审计、组织管理和计算机、网络技术等综合知识的复合型人才, 而且工作人员需要对内部控制和审计有深刻的理解, 对信息和网络技术有敏锐的捕捉能力, 在我国获得注册信息系统审计师资格的人数远远不能满足信息系统审计业务的需求。

三、I T审计应对策略

面对上述挑战, 我们应当勇于实践, 积极探索新形势下如何使IT审计工作能够满足商业银行发展的需求。

(一) 审计线索的重建。

根据计算机网络系统容易在不同地方同时形成相同“原本”数据的特点, 可以重建电子审计线索:在电子化的原始数据形成时, 同时在审计机构 (包括内审机构) 和关系紧密 (签字确认) 的部门形成原始数据的“原本”, 或在不同部门各自形成相关的数据库 (特别应当包括数量、金额和单价等主要数据项) , 这样不仅可以相互监督和牵制, 还给计算机审计提供可信的审计线索。这种保留审计线索的方法, 一方面成为有力的控制手段;另一方面可从审计线索中发现疑点。这种方法主要是应用专用的审计比较软件, 同时将几个部门的同一种数据库进行自动比较, 形成有差异的数据记录文件, 详细审查相关的数据文件和访问有关的当事人, 从而取得有力的审计证据。上述比较审计方法是在不同部门同时形成业务数据文件的情况下应用, 如果企业业务数据分离存放, 如销售合同与销售发票、提货单在不同的部门保存, 这种实质性测试也可采用比较审计法, 应用专用的审计软件, 结合相关的几个业务数据文件进行比较, 查出有错误疑点的记录。

(二) 确保信息系统的信息安全。

为了保证信息系统的信息安全, IT审计工作人员要在审计过程中评价企业的防火墙技术、网络系统的防病毒功能、数据加密措施、身份认证和授权的应用实施情况, 通过面谈实地审查企业安全管理制度建立和执行的情况, 查看企业是否为了预防计算机病毒, 对外来的软件和传输的数据经过病毒检查, 业务系统是否严禁使用游戏软件, 以及是否配置了自动检测关键数据库的软件, 使异常及时被发现;检测企业是否为了防范黑客入侵, 网络交易的数据库采用离散结构, 同时在不同的指定网点 (如在交易的双方) 形成完整的业务数据备份供特殊使用 (如审计和监控) ;此外, IT审计人员还要注意检查企业的信息系统岗位责任实施、安全日志制度, 审查有关计算机安全的国家法律和管理条例的执行情况。

(三) 建立一支完备的I T审计专业人才队伍。

IT审计的发展必须有一大批专业化的IT审计人才, 这就要求我们要采取短期培训和长期培养、操作层面上的培训与高层次人才的培养、在职人员培训与未来人才培养相结合的方法将这支队伍逐渐发展起来。此外, 商业银行可以从现有的审计队伍中选拔人员进行专门的信息系统审计培训。

利用IT审计规避银行信息化风险 第4篇

各大银行一直在持续进行信息系统建设, 以工商银行完成数据大集中建设工程, 深圳发展企业业务外包等为标志, 银行业数据大集中取得了初步建设成果。数据集中化实现了银行账务数据与营业机构的分离, 实现了数据共享和异地远程交易便捷化, 帮助银行从以账务和产品为中心转变为以客户为中心, 为银行管理集中和科学运营奠定基础。与此同时, 银行数据大集中也加大了银行风险。由于信息技术在物理上、操作上和管理上存在的漏洞, 构成了IT系统安全的脆弱性, 给银行带来了一系列不安全的因素, 计算机犯罪和舞弊、会计信息的失真, 都将给银行的资金、信誉造成重大的损失。 (图1)

一、银行信息系统风险防范IT审计

2001年中国银行广东开平分行前后三任行长在长达10年的时间里, 把大量银行资金转移到海外, 总金额将近40亿元, 竟然一直没有人发现, 案发后3名主要嫌疑人先后逃往美国和加拿大;2005年中国银行哈尔滨分行河松街支行原行长高某勾结他人, 通过地下钱庄将3亿元银行存款挪用, 涉案的总金额超过10亿元, 成为建国以来黑龙江最大的金融舞弊案信息化建设加大了银行的经营风险, 在提高工作效率的同时, 也使得舞弊犯罪活动具有更强的隐蔽性和技术的复杂性。

1、信息系统审计师及其职责。

1996年日本通产省情报处理开发协会IT审计委员会对IT审计进行定义:为了信息系统的安全、可靠及有效, 由独立审计对象的IT审计师, 以第三方的客观立场对以计算机为核心的信息系统进行综合检查与评价, 向IT审计对象的最高领导, 提出问题与建议的一连串活动。

信息系统审计师可以通过检测银行信息系统的可用性、安全性和过程的完整性来确定信息是否可靠, 能够以在线、实时的信息为基础提供鉴证, 加大银行信息披露的力度, 有利于防范、规避、控制和化解银行的运行风险, 促进银行规范、有序、高效运作, 提高银行的资产营运质量和运作效率。而独立的信息审计体系制度, 也使得信息系统审计师可以审计控制信息系统风险, 用制度保证比用人和技术来保证安全更可靠。

那么, 信息系统审计师就必须在对系统固有的风险和系统内部控制机制进行评估和分析的基础上, 对信息系统从开发环节到运行环节进行重点检查和检测。

信息系统开发实施检查:主要包括对系统需求分析定义、系统设计、系统开发、系统测试、系统试运行、系统安装, 目的是对开发过程进行审计, 保证开发过程按内控要求执行。

信息系统运行管理检查:主要包括系统主机性能、系统网络性能、系统安全性、系统数据安全性、系统灾难备份、系统运行管理的监督和检查, 目的是保证系统的正常运转。

信息系统业务处理及控制功能检查:主要包括系统业务处理功能、系统访问权限控制管理、系统权限职责、系统数据输入/输出/处理控制, 目的是保证系统操作的正确性。

信息系统内部控制管理检查:主要包括内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正, 目的是保证系统风险得到重视, 并有效地控制。

信息系统基础设施管理检查:主要包括场地环境配置、硬件环境配置、场地安全性、设备安全性、设备管理制度的修订和执行, 目的是信息系统在安全、有保障的环境中运行。

信息系统数据与相关文档检查:指数据的完整性、准确性、真实性、合规性。包括文档种类管理、文档归档管理、文档密级管理、文档调阅管理。目的是对数据进行符合性测试, 检查文档管理的科学性。

2、银行信息系统及其风险控制。

银行是一个高风险的行业, 又是一个关乎经济增长和整个社会稳定的重要行业, 它还具有自身的一些特点。在对银行信息系统进行IT审计, 进行风险控制时, 应当注意:

首先, 在IT环境下, 除了考虑银行组织内外部经济、社会环境变化以及业务经营性质、管理当局特征等因素外, 一个不容忽视的因素便是信息系统本身。银行越依赖于信息系统, 信息系统越庞杂, 其固有风险也就越大。固有风险包括来自于外部的, 诸如战争、自然灾害等造成的计算机本身的物理损坏或者通信线路的中断;也有来自于内部的, 诸如系统运行不稳定或者应用软件本身的设计漏洞, 导致数据处理过程中出现的必然错误等。

其次, 控制的范围延伸到了系统的外部, 特别是在商业银行普遍采取电子商务交易模式, 计算机系统容易受到来自银行外部对系统安全造成影响的威胁, 包括网络攻击, 商业间谍破坏、黑客入侵以及病毒肆虐等, 银行作为资金密集型企业, 一旦遭到商业间谍的破坏或网络黑客的攻击, 后果将难以想像。

另外, 由于银行大量采用无纸化、联网作业, 使得许多原始凭证异地存放、甚至根本就不存在, 采用电子审计证据的可信性较之以前有很大幅度降低;同时, 由于计算机系统本身的可靠性、正确性决定了电子数据 (信息) 的准确性, 因此, 如果计算机信息系统本身不可靠或者不正确, 审计人员单纯分析电子数据也是毫无意义的。

二、基于COBIT的IT审计

COBIT信息及相关技术的控制目标, 是美国信息系统审计与控制协会ISACA的IT治理学会制定的一个开放性标准, 目前已成为国际上公认的最先进、最权威的信息技术管理和控制标准。 (图2)

COBIT将IT过程、IT资源与企业的策略与目标 (准则) 联系起来, 形成一个三维的体系结构。IT准则维集中反映了企业的战略目标, 主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性;IT资源主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源, 这是IT治理过程的主要对象;IT过程维则是在IT准则的指导下, 对信息及相关资源进行规划与处理, 从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面确定了34个信息技术处理过程, 每个处理过程还包括更加详细的控制目标和审计方针对IT处理过程进行评估。

当进行IT审计时, 可以首先参考COBIT控制目标, 选择基本的评价指标体系并根据银行的实际需要选取扩展其他评价指标;然后将银行选取的指标与COBIT控制目标形成映射关系。这样, 既能够满足评价在基本的标准体系中进行, 保证评价指标的科学合理性, 同时又能够满足信息化评价的个性化需求, 保证了评价的灵活性。

三、结论及展望

随着高科技的发展, 各家银行加大了IT建设的投资, 数字化、网络化等信息技术得到了迅速地推广应用。网上银行、移动银行、电子商务等, 已经成为各家银行追逐利润的增长点。然而, 与此同时带来的巨大风险, 也对银行高级管理人员提出了巨大的挑战。如何利用好信息技术, 加强IT审计工作, 势必会成为今后银行审计工作中的重点和难点。

参考文献

[1]胡克瑾.IT审计[M].北京:电子工业出版社, 2004.

[2]黄溶冰, 王跃堂.商业银行信息化进程中的审计风险与控制[J].经济问题探索, 2008.2.

[3]吴越, 俞文萍.通过IT审计加强金融企业风险管控[J].上海国资, 2008.8.

IT审计 第5篇

2010年是国家“十一五”计划的最后1年,国内大型行业用户的IT系统建设继续处在强化并纷纷进入“深化应用”阶段,例如“十二金工程”后续建设、国家电网公司SG-ERP工程、南方电网公司登高计划等。这些面向全行业的信息系统在纵向、横向2个方面的耦合程度正在日益加深,使得总部与省/地市机构之间、各个部门之间的相互联系也日益增强,跨部门的运营效率正在明显提升。由此,信息系统进入了以“大网络、大系统、大集中、高可靠性、高安全性”为标志的“三大两高”时代。随着IT系统重要性的不断提升,如何提高企业的信息化管理水平成为一项重要工作,而最恰当的描述这一工作的词汇就是“IT治理”。

1 IT治理面临的困难

IT治理是信息化管理和控制的完整体系,包括与IT系统相关的组织架构、管理流程、内部风险控制与审计、考核体系等多个要素。其中,内部风险控制与审计作为IT治理的重要组成部分,越来越多地受到企业管理层以及监管机构的重视。例如,在萨班斯法案、等级保护、各大行业指导性文件中,均明确阐述了内控机制以及审计体系的必要性和意义。特别是在一些IT系统与业务流程紧密相关的行业(如税务、财政、金融、电信、电力等),内控与审计更为必要。

因此,要建立一套有效的内控及审计体系,对国内的大部分客户而言并非易事,困难主要体现在以下几方面。

(1)目前国内大部分用户缺乏一套体系完善、可具体实施的IT管理制度,部分用户的IT管理制度落后于IT系统及IT技术的发展,还有部分用户的IT管理制度生硬照搬,缺乏可执行性。

(2)员工的工作习惯与业界的最佳实践/监管机构的要求有一定差异,如系统维护人员发现问题随手解决,却未留下任何检修记录;或根据领导电话就为某账号开通权限等。而一个完善的内控及审计体系中,要求所有的操作都遵循一定控制要求来执行,所有的工作必须责任到人,对重要工作要留下相应的审计记录。

(3)缺乏相应的技术体系和架构来实现内控及审计要求。例如,绝大部分用户没有完善的账号生命周期管理系统,地址/账号/权限无法对应自然人,对数据库等关键系统的操作无法审计,认证授权体系零碎分散/多头管理等。

因此,如何建立一套内控/审计体系,并支撑管理制度有效实施就成为大型行业用户最急迫的需求。针对该需求,启明星辰通过多年来在管理咨询、风险评估、等级保护建设等方面的积累和最佳实践,依托最全面的信息安全产品线,提出了面向IT应用全流程的统一内控及安全审计解决方案。

2 统一内控及安全审计解决方案

2.1 设计原则

(1)确保业务连续性:内控及审计系统的最终目的是为了确保业务及数据安全,因此不能给业务连续性带来影响。

(2)覆盖业务全过程:为了确保内控及审计的有效性,必须做到对业务过程的全覆盖,这一覆盖既包含了从业务系统开发、变更、运行到废弃的业务生命周期,也包含了从账号创建、登录、授权、操作、维护和数据变化的业务使用全周期。

(3)审计数据可追溯:审计的目的是为了判断是否违规、追查原因并界定责任,不可溯源难以提升管理水平也无法达到审计的目的。

2.2 总体方案

启明星辰统一内控及安全审计解决方案包括以下几个模块:统一账号管理系统、统一认证管理系统、统一授权管理系统、统一安全审计系统、统一接入平台和综合显示/管理模块。

2.2.1 统一账号管理系统

统一账号管理系统包括账号生命周期管理、统一用户目录、自然人主账号管理、资源从账号管理及主从账号映射管理等模块。该系统解决了业务系统中常见的缺乏账号生命周期管理、业务系统权限分配混乱、权限无法对应自然人等问题,并为面向自然人的审计打下了坚实基础。各模块的功能如下:(1)账号生命周期管理模块:账号的全生命周期指账号的创建、变更、维护、删除。该模块确保在用户身份发生变化时,其IT系统账号的权限随之改变,以避免出现僵尸账号、人员职位变动但账号权限未及时变更等情况发生(见图1)。(2)统一用户目录模块:指根据用户的组织架构、业务系统架构等要素,建立全局统一、可有效标示用户身份属性的用户账号目录体系。(3)自然人主账号管理模块:为每一个员工、第三方维护人员、合作伙伴等建立唯一的主账号,并进行管理。(4)资源从账号管理模块:根据不同IT业务系统的需要,建立不同的资源从账号并进行管理。(5)主从账号映射模块:根据业务流程的需要,为每一个自然人主账号映射相应的资源从账号。

2.2.2 统一认证管理系统

统一认证管理系统包括PKI/CA平台、统一认证接口、集中认证平台等模块。该系统面向所有业务系统提供统一的认证接口,确保了所有业务系统及运维均采用强口令及CA证书进行双因子认证。同时,由于采用了主从账号机制,还解决了以往不同系统密码难以记忆、静态密码安全性低、定期修改资源账号密码工作量大等问题。

2.2.3 统一授权管理系统

统一授权管理系统包括统一授权接口、命令级访问控制网关、资源管理等模块。该系统的主要功能是根据业务需要,进行基于角色、用户组或实体的授权;对于部分业务系统所必需的超级账号提供命令级访问控制功能;同时实现对授权资源的描述和管理(见图2)。

2.2.4 统一安全审计系统

统一安全审计系统包括运维审计、数据库审计、终端审计、互联网审计及日志审计等模块(见图3)。其功能是收集所有业务操作日志,并根据审计策略对相关操作进行记录,对异常的操作进行告警,同时定期提供各类符合规范性要求的报表及分析报表。该系统涵盖了绝大多数的用户业务体系,支持绝大多数操作的解析和审计,特别是在加密审计、数据库操作审计上具备国际领先水平。

2.2.5 统一接入平台

统一接入平台是为运维用户及普通用户提供的一个安全、可信、可控的集中接入平台,所有的接入对象在访问业务系统或进行维护操作之前,必须先登录此集中接入平台,才能进行后续操作。同时,该平台也可对用户的操作行为进行命令级审计(见图4)。

通过上述启明星辰统一内控及安全审计解决方案,用户可有效落实相关管理制度,提升IT治理水平,具体表现在以下5个方面:(1)建立了完善的账号管理、授权管理体系及CA系统;(2)建立了面向多个层面用户的统一接入认证平台;(3)通过关联分析等技术,将行为定位到自然人;(4)每一个操作或互联网访问均可定位到明确的员工/第三方人员;(5)业务数据及其他敏感信息/文件的安全性大幅提升,杜绝了泄露客户信息、私自修改客户属性等违规行为。

该方案自出台后,受到了众多行业用户的关注及好评,并在中国移动数十个省级业务系统和多个金融机构业务系统中经受住了考验。

3 结语

信息化风险控制与审计体系是IT治理的精髓,随着IT系统与核心业务系统的耦合性不断增强,IT风险随之增大。启明星辰统一内控及安全审计解决方案可帮助用户在确保业务系统信息化水平日益提高的同时,使风险得到有效控制,从而不断提高IT治理水平。与此同时,还能为用户后续的COBIT、ITIL等IT管理体系和合规性体系建设打下一个坚实的基础。

摘要：IT治理是信息化管理和控制的完整体系,其中,内部风险控制与审计作为IT治理的重要组成部分,越来越多地受到企业管理层以及监管机构的重视。对此,启明星辰通过多年来在管理咨询、风险评估、等保建设等方面的积累和最佳实践,依托最全面的信息安全产品线,提出了面向IT应用全流程的统一内控及安全审计解决方案。

浅析IT环境下的财务审计 第6篇

1.IT 环境下财务审计的变化

IT环境下, 企业可以通过网络确认交易、出口报关、发送商品 (仅限于信息产品) 、传递发货单, 划账结汇等, 经济业务产生的原始凭证以电磁信息的形式在网上传递并存储于磁性介质中, 会计的确认、计量、记录和报告都集中由计算机完成。这种情况下, 审计过程中不确定因素增加, 审计的难度加大, 传统的对会计资料审阅、核对、分析、比较等已经不适应发展了, 提高审计数据采集及鉴证技术已是当务之急。

目前, 发达国家的会计师事务所在信息化方面已经发展到较高的水平, 如AICPA在1997年就将业务范围拓展到电子交易网站的审计, 香港会计师公会也推出了“网誉认证”服务。我国还有一定差距, 因此, 要想在激烈的竞争中立于不败之地, 就必须尽快实现审计信息化。

2.IT环境下财务审计存在的问题及原因分析

在IT环境下, 交易流无间隙的从一个主体到另一个主体, 几乎没有或很少有实际的证据用于证明交易的发生。被审计单位远离交易主体的在途信息的安全性评估, 交易授权是否合理, 都严重影响财务审计数据的质量。由于大多被审计单位的内部控制仍为为传统交易处理方式而设计的, 因而造成内部控制与外部审计的结合效果也不佳。目前来看IT环境下财务审计存在的问题及其原因有以下几点:

① 审计的安全性、可靠性问题

IT环境下, 借助计算机网络、审计软件等对网上经济活动及其记录进行审计, 必然对网络的安全性、可靠性、准确性产生依赖。没有安全可靠的计算机网络, 财务审计也就失去了物质基础。而目前网络犯罪已呈现国际性的发展趋势, 计算机病毒借助网络广泛传播, 给审计带来了安全隐患, 不仅如此, 网络的及时性, 使得网络系统内部的漏洞或错误会无限制的复制。企业原有的内部控制的某些过程消失后, 又出现了一些新的内部控制内容。因而, 在企业总体计算机水平应用能力不高的情况下, 不相容职责的分离尤其重要, 因为本身网络化经营管理中的计算机舞弊具有智能性、隐蔽性、严重危害性和易逃避法律责任的特点, 这样就增加了对系统模块熟悉人员篡改数据的风险。

②审计的实时性问题

IT环境下, 审计有很强的时效性。由于网络系统是持续运行的, 所以停下来接受大规模的测试是非常困难的, 这就要审计人员执行的审计任务应与系统的运行同时进行, 这就需要加强审计技术的研究以提高实时审计的可操作性、有效性和准确性。我国财务软件或者ERP系统中在设计时大多没有考虑专用的审计软件接口, 使得在财务软件中嵌入适时跟踪监控的审计程序难以实现, 使审计人员采集数据出现一定的难度。另一方面, 影响审计实时性的因素是审计单位还不能独立开发出一个内嵌的审计模块来进行审计的适时跟踪。

③审计软件的开发和使用问题

信息化时代, 审计人员必须使用计算机来跟踪电磁化的审计线索。但从我国审计软件发展的现状来看, 我国审计软件的市场还不够完善, 审计软件大多处于满足绕过计算机审计的阶段, 基本上还没有适应IT环境下的财务审计, 市场上大多数审计软件只能采集凭证、科目, 不能采集往来、项目等辅助核算数据。其中一个重要原因是由于审计软件的开发模型不像财务软件那样清晰, 使得审计软件的开发难度远大于财务软件。同时, 审计人员对当前已开发出的审计软件的认识不够, 错误的认为审计软件能完成所有的审计工作, 忽略了自己专业的判断, 有依赖心理不能做审计软件的主人。

④审计风险控制问题

审计工作的过程, 实质上是不断收集、鉴定和综合运用审计证据的过程, 而审计人员正是通过跟踪审计线索, 审核有关经济业务和收集审计证据的。在传统的业务活动中, 交易的每一个环节都有文字记录都有经办人签字, 审计线索十分清楚。但在IT环境中, 传统的凭证、账簿没有了, 纸质的文字记录消失了, 取而代之的是存有电子数据处理信息的硬盘, 软盘等, 这些存储介质上的信息是计算机可读的, 肉眼可见的传统审计线索在这里中断、消失了。而且随着信息化的迅猛发展, ERP系统的大规模实施, 企业的数据越来越集中, 容易引发新的风险, 一是系统中许多不相容职责相对集中, 加大了舞弊的风险, 二是可能导致机密的数据被不法分子拷贝, 甚至被不法分子篡改而不留下任何痕迹, 三是系统对错误的处理具有重复性和连续性, 四是数据传输和存储故障或软件的不完善, 有使数据出现异常错误的可能性, 上述因素都可能使得审计风险中的固有风险和控制风险增大, 根据审计风险=固有风险控制风险检查风险模型, 在固有风险和控制风险较高的情况下, 审计人员只有通过扩大审计范围, 增加其他测试程序措施, 降低检查风险, 才能将审计风险控制在可以接受的范围内。

3.对策与建议

(一) 创新IT环境下的审计数据采集技术

在IT环境下, 会计数据的无纸化和网络数据库化是一种发展趋势, 如何运用计算机辅助技术获取所需的审计证据, 并对证据进行评价、判断真伪是关键。审计人员面对的是一个无纸化的审计轨迹并且依赖于系统输出的财务报告。为了对财务报告的公允性发表审计意见, 审计人员必须着重收集足够的审计证据。传统的审计数据采集方式如实地盘查、询问、函证等应该被动态监控管理、网上电话、电子邮件等方式替代, 才能获取可靠的审计数据, 提高审计数据的质量, 降低审计的风险, 满足审计的安全控制要求。

①利用网络管理系统的自身功能进行审计数据采集

电算化系统中, 帐务处理是实时进行的。尤其是网络化系统, 在同一时间可能有多个用户执行同一项功能、调用同一个数据文件, 而系统只有记录最终的结果。若审计时只对静态系统数据进行审查, 不进行有关运行程序、数据文件的联机实时审计数据的采集, 就难以发现存在的问题。因此对重要业务的处理、关键的处理程序、业务人员的上机操作记录等, 应该加强其动态审计数据的采集。

网络化系统一般本身都提供了一定的实时审计和审计线索保存功能, 一旦发现非法的或有超越网络授权的操作行为, 就会记录入侵者的登录用户名、IP地址、登录日期时间等信息, 监视并记录下了整个非法的操作过程, 同时寻找到非法用户曾经潜入系统内部的痕迹, 审计人员可以实时检查系统存放这些信息的审计踪迹表, 充分利用这些线索, 查看相应的这些管理文件, 收集相关的审计信息。

②借助于Excel软件采集审计数据

对于用Microsoft Access、VFP、SQL Server 等数据库开发的会计信息系统, 可以直接利用Excel中提供的Microsoft Query 采集审计数据。审计人员可以根据会计系统的开发软件所使用的数据库管理系统的类型, 选择对应的数据源进行数据转换, 并将转换的数据存入审计底稿。利用Excel 进行审计数据采集, 可以大大地降低审计数据的采集成本, 提高审计的效率。目前, 用EXCEL采集审计数据的应用还很广泛, 利用EXCEL对数据进行转“存”, 即将数据从被审单位的系统内导出, 在此所指转换的基本数据主要指科目编码库、年初余额库及凭证库的转换, 其它数据, 如往来账款编码库、存货编码库、固定资产卡片帐数据库等会计核算的初始数据都可以参照上述方法进行。

由于转换涉及对数据库系统数据源数据的采集, 所以审计人员必须掌握相关的数据库管理知识, 对系统所在的数据库类型, 各种文件的数据结构以及每个数据库文件中字段的意义等都必须十分了解, 否则无法正确地获取审计数据。

③利用审计软件进行审计数据采集

审计软件是以审计作业为主的审计工具, 针对财务审计而言, 它主要是运用计算机程序自动检测财务软件的运行, 遇到错误或模糊之处自动提示审计人员, 利用审计软件采集审计对象的信息, 因而可以大大简化审计信息的采集过程, 大大提高审计效率。现在审计软件的数据采集一般是采用模板式。因为会计软件所采用的开发工具五花八门, 采用的数据库管理系统和数据结构也各不相同。利用一般的审计工具 (如Excel) 要将其数据采集到审计系统中, 需要知道它的数据库类型及相关的结构才能完成。这对于一般的审计人员而言, 进行这样的操作比较困难。而利用会计软件模板技术可以较好地解决会计软件数据采集问题。审计软件针对不同的会计软件, 已经建立了不同的模板方式, 模板自动解析数据库文件的类型及相关文件与会计数据中字段的对应关系, 审计人员只要选择相关的会计软件的模板及数据文件存放的路径, 审计软件则根据选择的模板自动完成将会计信息系统数据采集到审计软件系统中。而针对上面所提及我国审计软件开发和使用及会计软件设计现状, 我国财务软件在设计时很少考虑专用的审计接口, 然而财务软件的统一实施可以说是审计软件规划的前提和必要条件, 因而将审计软件的接口, 嵌入程序等达到一致, 整个社会的会计、审计工作就会相互协调, 形成更好的审计环境。

④安装审计黑匣子

在网络化系统中, 在同一时间可能有多个用户执行同一项功能, 调用同一个数据文件, 而系统可能只记录下最终的结果。若审计人员只是静态采集审计数据, 不进行联机实时数据采集, 有时就难以发现其处理过程中存在的问题。因此对重要业务的处理、关键的处理程序、业务人员的上机操作记录等应实施动态数据采集和监控。IT环境下, 审计部门可以通过网络采集被审单位有关经济、金融、财税、贸易等一切与审计有关的信息, 加以存储和整理, 以便进行依法审计。网络的应用, 改变了传统的审计信息采集的方式, 实地盘查、询问、函证等审计数据的采集方法, 已经被动态监控管理、网上对话、电子邮件等方式代替。它将大大增加采集审计数据的实时性、可靠性, 也将大大减少审计数据的收集成本。

(二) 完善数据处理方法

审计数据采集完, 关键是用正确的数据处理方法来进行数据分析, 完善的数据处理方法能提高审计的效率, 是审计手段的一次大的飞跃, 它将克服人工审计的随意性和弥补审计力量的不足, 起到优化审计手段, 改善审计条件, 提高审计质量直至降低审计风险的作用。通常完成了数据的转存和读取之后, 要利用审计方法对数据进行处理。而IT环境下, 数据的采集量往往很大, 如何在海量的数据中找到合理的样本是关键。在以往的审计过程常常为了方便一般采取的抽样方法是选择金额大的物理单元作为抽样样本, 而计算机辅助技术为我们对海量数据的分析提供了方便, 我们可以将数据按预定的区间分组, 并记录每个区间的记录数以及累加每个区间的财务数值.以此来观察交易数据的全面印象, 分析商业活动是否合理, 从而为被审计单位提出更多可行性意见。

(三) 与内部审计相结合

内部审计作为现代企业管理的组成部分, 传统的主要以查错纠错为目的, 以检查复核为手段, 对经济活动的结果予以监察、督促的基本监督职能已不能满足现代管理的需要。现代管理需要内部审计人员充分发挥主观能动性, 增强服务意识, 而大规模的信息系统的建立为实现内审的服务职能提供了最有利的条件。如利用ERP信息系统可直接产生审计所需要的分析数据, 然后从分析数据中找出漏洞或薄弱环节所在, 针对出现的问题寻根问源, 最后提出中肯的建议和改善办法, 并以此来完善企业各项管理制度, 外部审计通过与内部审计的有效结合可以降低审计成本, 提高审计效率。

另一方面, 由于IT 环境对公司营运的影响, 实质性测试可能再也不符合成本效益原则。应该注意到有效的运用一般性控制对于有效的电子商务交易处理至关重要。因此, 必须具备大量的有效的内部控制措施, 且审计人员必须能够对控制风险进行合理的评价。建立在一个活动数据文档基础上的程序, 使得审计人员能够在不影响公司真实营运或财务数据的情况下对系统进行测试。而通常在测试数据法中, 虚拟数据的运行改变了客户的数据记录, 可能给系统带来错误混乱, 可能遭到被审计单位的拒绝。若企业没有一个很好的内部审计制度, 任何可能给系统带来混乱的举动可能遭到被审计单位的拒绝, 反之, 若企业内部审计良好, 那么常用的审计技术给系统带来的各种影响就会在外部审计之前得到排除。因而, 在IT环境下, 一个内部审计良好的企业与外部审计结合将带来很多方便之处, 提高审计质量。

(四) 提高审计的实时审计技术

IT环境下, 财务审计需要经常性和实时监督, 保证审计任务与系统运行同时进行。在已经建立好统一的审计软件的接口前提下, 关键是要保持嵌入的审计本身具有隐蔽性、安全性和稳定性, 非CPA不能看到这些审计程序自动生成的数据。这就需要设计一个程序块嵌入被审计单位的系统中, 内嵌的审计模块能够对交易处理流程实行不间断的监控与分析, 这在一个交易量巨大, 实时性系统中特别有效, 因为这种系统对交易的及时性、完整性、准确性及其有效性有较高的要求。内嵌审计模块经常用于审计那些具有高风险的应用程序, 尤其是当有些交易文档会消失或改变而无法用来事后分析的情况。这些模块能使审计人员在任何时候采集样本, 并且是在正常的生产过程中进行数据采集, 适时判断系统运行情况和提出审计意见。用嵌入的程序采集的审计证据文件, 一般可以分为一下几种:不合法而进入使用有口令的程序;未经批准而调用某些数据文件程序;超权限使用系统程序;擅自调阅或修改审计线索数据项或审计证据程序, 通过这些程序来测试被审计单位应用控制过程中财务数据的输入、处理、输出是否得当。

4.结束语

IT环境给传统财务审计带来了机遇, 同时也带来了不少的问题, 但不能否认的是IT环境已成为财务审计的从业环境, 在新的环境下只有抓住机遇迎接挑战, 从技术创新、管理创新、人员素质创新等方面着手, 才能取得良好的审计效果。

摘要：信息技术的发展使信息的记载、处理、传递和输出形式发生了质的变化, 传统的审计方式已经不能满足现代信息技术环境下的审计要求, 创新审计技术已经成为现代审计的发展方向。本文就IT环境下财务审计存在问题进行了分析, 提出在IT环境下如何提高财务审计的质量, 如何与内部审计更好的结合, 使财务审计更好的适应IT环境。

关键词：财务审计,数据采集,内部审计

参考文献

[1]陶玲.计算机审计中存在的问题及对策[J].科技信息, 2011, (5) .

绩效视角下人民银行IT审计研究 第7篇

一、人民银行IT审计工作现状

近年来, 人民银行转型工作不断深入, 全系统分别开展了多层次的科技综合管理审计项目。总行也多次下发指导意见及实施方案, IT审计以风险为导向的思路已经明确, 相关经验和做法也较为成熟。但是, 合规性和风险防控为主导的传统审计模式仍然占据了主导地位, 对科技管理工作的效率性、效果性、效益型关注程度仍有待提高。此外, 随着央行服务职能不断提高, 科技部门的责任也由原来的内部管理和服务转变为内外并重, 扩展到了金融机构信息安全管理等相关领域。传统的审计模式的缺陷也逐渐暴露出来, 如, 未及时关注科技人员的知识技能的更新、履职效能的提高以及对外提供科技服务的质量等等。因此, 构建科学的基于绩效的IT审计模式, 在关注IT管理各类风险基础上, 进一步关注IT管理的经济性、效率性、效果性已成为值得研究的重要课题。

二、探索构建绩效视角下的IT审计模式

(一) 确立科技管理工作的四大核心目标

科技管理工作肩负保障业务系统正常运行的重任, 是央行健康履职的基础。科技管理工作具有四个方面的核心目标:一是强化内部控制管理, 从管理层面推动科技基础工作规范有序;二是加强机房、网络、系统等方面的安全检查, 保障央行职能健康运行;三是提高科技服务水平, 及时有效满足对象需求;四是与时俱进, 不断提高科技人员的知识结构和水平, 加强科技人才队伍建设。

(二) 构建新型IT绩效审计模式

通过借鉴关键绩效指标 (KPI:Key Performance Indicator) 的思路, 结合科技管理工作核心目标和履职特点, 将核心目标分解细化“学习与发展”、“内部管理”、“服务对象”、“职能运行”四个核心环节, 构建起绩效视角下的IT审计模式, 如图1所示。

(三) 建立绩效评价体系

1. 利用关键绩效指标法原理, 构建指标体系。

在审计实践中, 我们分别根据四个核心环节, 细化了26项一级指标和35项二级指标, 并分别制定了各个指标的含义以及计算方法, 进而形成现场审计实施方案。如, “内部管理”指标中, 我们设计了内控制度控制率、岗位设置控制有效率、风险控制有效率、应急管理控制有效率、信息与沟通有效率、监控有效率等6个一级指标, 其他方面不再详述。

2. 定性与定量相结合, 构建科学的评价方法。

审计实践中, 通过审计人的主观经验判断和客观审计数据, 对指标进行“分级判断”及定量评价。每个核心环节的绩效得分为该核心环节每个绩效指标的评价值与该核心环节每个指标的权重之积, 通过分数的高低进而形象生动的对IT管理绩效目标及其实现程度进行综合性评价。绩效级别按照分数高低可依次评为一级 (90~100分) 、二级 (75~90分) 、三级 (60~75分) 、四级 (60分以下) 。

三、IT绩效审计模型的现实运用

我们选择了某地市中心支行进行了实际应用和验证。审计共发现部分应急演练记录要素不齐全、机房进出控制制度执行不严格等10个不同程度的问题。同时, 对26项一级关键指标、35项二级关键指标进行定量计算, 各核心环节绩效得分为:学习与发展 (权重15) 12.23分、内部管理 (权重35) 32.95分、服务对象 (权重20) 17.81分、职能运行 (30) 26.82分, 总绩效得分为89.81分。最终评定该中支科技工作较为扎实, 有效促进了业务开展, 提升了央行履职水平。

通过应用新型IT审计模式, 一是实现了审计评价效果由“对与错”向“好不好”的转变。实践证明, 建立的绩效评价体系, 改变了以往绩效审计中设立的关键业绩指标之间互相孤立状况, 为被审计部门绩效指标的设立找到了“平衡点”, 实现了合理地评价被审计部门绩效管理的目标, 推动了审计由原有只关注信息科技管理内控制度的充分性, 机房和网络的安全性, 运维、采购和保密等管理的规范性, 向关注内控制度控制有效性、安全系统管理有效性、科技服务满意度、员工满意度、创新工作推广效果等效率、效果、效益目标转变。二是实现了传统的审计工作重点由“只关注风险隐患”向“全面关注履职效能”的转变。通过量化分数, 可以有效确定被审计对象科技管理总体工作及各个细化工作所处的位次和水平, 发现工作中仍然存在的薄弱环节, 进一步提高管理工作的针对性和有效性, 进而促进科技整体水平的提高。

摘要：从绩效的视角出发, 积极探索与人民银行审计工作实际相适应的审计模式, 是加快内部审计工作立体化转型的关键环节。随着人民银行信息化建设的不断深入, 信息科技的作用已经从业务支持逐步走向与业务的融合, 成为央行稳健运行与发展的有力保障。如何构建符合当前IT内部控制要求的审计评价体系, 如何进一步发挥内审部门在提升IT管理水平中的咨询服务作用, 值得关注和研究。本文通过剖析IT审计工作中的现实问题, 借鉴国际上先进的关键绩效指标法 (KPI) , 探索构建绩效视角下的IT审计模式及评价体系, 力求从审计内容、审计方法等不同层面寻求突破, 以此有效指导央行IT审计工作的开展, 为央行有效履职保驾护航。

关键词：绩效,IT审计,评价体系

参考文献

[1]周翔.人民银行绩效审计初探[J].财会月刊, 2007 (9) .

[2]杜栋, 周娟.企业信息化的评价指标体系与评价方法研究[J].科技管理研究, 2005, (l) .

[3]高伟.企业信息化绩效评价体系分析[D].北京交通大学专业硕士学位论文, 2007.

IT审计 第8篇

1. IT环境下审计风险研究的局限性

IT改变了被审计单位的内外环境, 导致IT环境下审计风险研究成为一个交叉研究领域, 因此相关研究成果复杂多样。从1974年AICPA发布SAS No.3开始, 各国审计准则制定组织都专门针对IT环境下的内部控制评价出台了相关的准则及指南。通过系统梳理, 本文认为现有研究存在以下局限, 有待进一步改进: (1) 重风险控制评价, 轻风险识别。风险识别是风险控制的基础, 如果不能有效地识别风险, 就难以对被审单位所采取的IT风险控制措施作出恰当评价。 (2) 实务性研究缺乏系统性, 导致现有研究普遍缺乏一个支持性理论框架, 并给后续的进一步研究带来困难。 (3) 财务审计领域对IT研究成果的借鉴不够深入。财务审计领域的研究者大多将IT领域的研究成果应用于以IT (会计信息系统、ERP) 为对象的审计问题探讨中, 没有真正融入到财务审计流程中来。

可见, IT环境下审计风险研究需要转换视角, 将调适性结构理论 (AST) 融入IT环境下审计风险的研究中不仅是必要的, 也是可行的。这是唯一能从信息技术角度对审计风险判断作出合理解释的途径或方式。

2. 调适性结构理论基本观点及应用

人们对技术与社会间相互关系的不同理解也映射到IT与组织 (企业) 间关系的研究中。1994年, DeSanctis&Poole把对IT和组织变化之间关系的不同研究划分为两个学派:决策学派与制度学派。技术社会学派则采取整合两个学派的观点, 自成一派。调适性结构理论是技术社会学派思想的代表, 其基本观点主要包括:IT结构是社会互动的结构来源之一;互构过程会产生新的社会结构;社会互构包括IT的采用过程及组织中利益群体的决策流程两个方面;利益群体的内部系统会影响IT采用的特征。可见, AST理论的中心思想是“结构化” (structuration) 和“采用” (appropriation) 。它动态描述了利益相关者使用IT的过程, 说明了组织中利益相关者在采用IT过程中所作的调适是组织变革的关键因素。AST理论表明IT导入组织后可用于研究利益相关者互动关系并提供了一个分析互动过程的框架。目前AST理论被应用于IT许多领域, 通过构建基于AST的IT风险判断框架, 审计人员就能全面、系统地揭示IT所引发的企业风险。

3. AST对IT环境下审计风险研究的价值

依据决策学派、制度学派和技术社会学派对IT环境下企业风险驱动因素的不同理解, 可将IT风险依照其来源分为技术风险、组织风险、技术与组织互动风险3类。技术风险强调由于IT问题导致的IT风险;组织风险是指来源于组织内外结构的风险;技术与组织互构风险是指由于IT与组织在互构过程中出现的不协调风险。作为技术社会学派代表的AST进一步将IT与组织的互构过程归纳为3个共生与互动的子要素, 通过分析这些风险驱动因素和追踪其造成的影响, 可全面、系统地揭示IT所引发的企业风险。对审计人员而言, 借助由AST理论所提炼出的风险判断框架可全面地识别IT环境下被审计单位风险, 并对被审计单位的风险控制情况进行客观评价。

综上分析, 笔者所要探讨的主要问题为:借助调适性结构理论如何恰当地识别由IT引发的被审计单位风险;如何在正确识别风险的基础上控制被审计单位的IT风险;如何改进IT环境下审计风险的判断方法。基本研究思路可用图1表示。

二、基于AST的IT环境下审计风险的识别和控制

1. 基于AST的IT环境下审计风险识别

(1) 技术风险。技术风险包括技术结构特征风险和技术精神风险。技术结构特征风险包含两层含义:一是指软硬件技术性安全风险;二是指软硬件等基础设施的灵活性风险。可借助使用者手册、设计人员等对该风险进行识别;ERP的导入可能限制企业灵活性, 企业选择的ERP系统如果不符合政府法规或行业要求等都会引发技术精神风险。可通过系统设计的隐喻、系统特征及表现方式、使用者界面的本质等方式进行识别。

(2) 组织风险。组织中多样性员工在实现组织目标过程中可能存在冲突, 这些冲突必然给IT的设计、开发、使用带来影响, 从而产生IT环境下的组织风险。此外, 现有研究结论表明, 组织的集权化会影响信息系统的应用及绩效, 集成化的ERP所体现的管理思想源于欧美, 在盛行中华文化地区的企业实施时则会遇到更多阻碍。总之, 不论从整体层面还是从个体层面, 组织中既存的风险会对IT引发的变革产生影响, 也会最终作用于企业的IT风险。

(3) IT与组织互构系统风险。包括IT利益群体相关风险和流程风险两个层面。IT利益群体相关风险可从企业层面、功能单元层面、个人层面等3个不同层面来界定识别。企业层面的IT利益群体风险可从信息文化缺乏风险、企业层面利益群体互动风险、缺乏高级管理层支持风险3个维度来界定并识别;功能单元层面的IT利益群体风险是指技术人员未能把用户需求转化为技术需求, 从而为IT的应用埋下的风险隐患;个体层面的IT利益群体风险主要包括相关知识与经验不足的风险和用户认同度低的风险。流程风险包括IT流程风险和业务流程风险。IT流程风险可从流程目标无法实现风险、流程负责人不到位风险、流程难以改进风险等方面分析、识别;业务流程风险可从针对业务流程总体风险 (应用系统无法支持业务流程风险) 和针对业务流程中信息流风险 (应用系统中数据获取和生成过程中风险) 两个方面分析、识别。

2. 基于AST的IT环境下审计风险控制

(1) 技术控制。技术控制是使用IT手段所进行的自动控制, 可分为计算机硬件层次上的内部控制和系统支持软件中的控制。硬件控制通常是由计算机硬件制造商设计并内嵌于计算机硬件设备上的;软件控制包括系统软件控制和专业应用软件控制。系统软件控制是软件开发商设计并自带的, 专业应用软件控制则与具体的业务规则相关联。

(2) 组织控制。组织控制就是组织通过某种手段使得具有各种个人需求的员工服从组织的要求。作为管束人们经济行为的规则, 从社会学的角度看, 制度可分为两大类。一类是有形制度安排。作为制度的外在安排, 形式化的规则与程序往往是通过制度构建或通过强制性方式建立起来的。另一类是无形的文化形式。作为制度的内在安排, 这种价值模式往往是通过一种历史性的社会化过程, 对每个社会成员进行文化塑造而实现的。

(3) IT与组织互构系统的控制。主要涉及对IT利益群体风险控制和对流程风险控制两个方面。对IT利益群体控制可分为整体层面控制和个体层面控制。整体层面控制主要是通过广义的制度控制 (包括有形制度控制和无形文化控制) , 建立一套合理的制度安排, 使企业的IT应用符合企业的期望行为 (即IT治理) ;个体层面控制主要指对IT利益群体成员的IT知识和相关实践经验的交流、培训和教育。对业务流程控制可采用组织控制方法和技术控制方法结合使用, 并同时执行预防性控制、检测性控制、纠正性控制, 审计人员在设计业务流程控制测试时应注重对询问、观察、检查、重新执行等多种测试方法的综合应用。

三、基于AST的IT环境下审计风险判断方法的改进与完善

1. IT环境下基于流程的审计风险判断方法

借鉴自上而下审计方法, 结合AST理论中以流程为IT风险判断的中间环节分析法, 改进的IT环境下审计风险判断方法的具体实施步骤如下: (1) 了解企业及其环境, 包括内部控制; (2) 确定财务报告流程的核心要素; (3) 识别关键的业务流程; (4) 确定与IT功能相对应的应用系统范围; (5) 识别管理和驱动重大应用系统的IT流程; (6) 评价IT控制和分析业务流程风险; (7) 评估电子证据证明力和设计实质性测试程序。通过上述7个步骤将IT环境下的企业风险因素与报表和认定层次的重大错报风险相链接, 同时为电子审计证据证明力, 即检查风险的判断提供依据。

2. 协助审计人员实施以流程为基础审计的工具

Carla Camaghan (2006) 对审计准则及审计领域中所需的适用于审计风险估计的工具与企业模型中关于业务流程的概念和结构作比较, 结果表明审计人员所需的知识类似于管理人员对业务流程的理解和控制。因此, 协助审计人员实施以流程为基础审计的工具主要包括:

(1) 数据流程图。数据流程图是一种分析系统数据流程的图形工具。它最初是为了满足信息系统设计需求, 按照结构化方法, 在总体上遵循自顶向下逐层分解的原则, 这样把大问题、复杂问题分解成若干个小问题, 然后分别解决。这种分解是以加工性分解为中心, 属于功能分解性质。

(2) REA模型。William E.McCarthy (1982) 在“事项会计”概念基础上, 运用实体关系 (Entity-Relationship Diagram) 建立了REA会计模型。REA模型创立的本意是为描述组织内的经济交易提供一个数据模型, 随后REA的作用被扩展为对业务流程建模的一种方法, 以协助企业建立统一的数据库。REA通过分析经济交易的实质, 从价值链角度定义业务流程, 其目标是通过数据指导人们应对经济活动的哪些特征建模及如何体现这些特征。

(3) IDEF模型。IDEF是流程模式工具, 也是一种流程分析与设计方法。它借助图示方式, 清楚严谨地描述大而复杂的组织内流程之间、流程与外界实体间的业务流程。审计人员借鉴这些相关的企业流程及子流程通用设计模式, 可针对各项流程加以系统分析及研究。

3. 组建综合性审计团队支持流程基础的审计

IT环境下技术与组织之间的交互作用要求审计人员实施建立在流程基础上的审计风险判断方法。此时的流程是人工与自动化相结合的流程, 这对审计人员的技能提出了更高的要求。因此, 组建由具有不同知识背景的计算机审计专家与财务审计人员构成的综合性审计团队, 是正确判断IT环境下审计风险的有效方法。当然计算机专家与财务审计人员都需要增加对方领域的知识, 这样才可以促进彼此之间有效的交流与合作。相关研究表明, 当财务审计人员拥有更多的IT环境下的审计经验时, 他能更好地识别计算机审计人员工作结果的优劣。因此, 财务审计人员需要增加相关的专业知识以增强自身的竞争力。

参考文献

[1][美]詹姆斯.A.霍尔 (James A Hall) .信息系统审计与鉴证[M].李丹, 译.北京:中信出版社, 2003.

[2][加]尤苏费利.F.穆沙基, [匈]阿什.胡克.ERP系统整合审计[M].陈明坤, 译.北京:经济科学出版社, 2007.

[3]美国公众会计监督委员会.第5号审计准则——与财务报表审计相结合的财务报告内部控制审计[S].张宜霞, 刘玉廷, 译.大连:东北财经大学出版社, 2008.

[4]庄明来, 吴沁红, 李俊.信息系统审计内容与方法[M].北京:中国时代经济出版社, 2008.

[5]B Ballou, C E Earley, J S Rich.The Impact of Strategic Positioning Information on Auditor Judgments about Business Process Performance[R].Working Paper Series, 2001.