学文网审计信息篇1
作者:石炜 方敏 南京市审计局
一是是否对信息系统和网络设备进行分区、分级管理,不同等级是否采取不同的安全措施。二是访问控制。机房对人员的控制,包括公司内部人员、外部人员进入机房是否有登记记录,清洁人员进入是否有登记记录,是否经过相关授权。信息系统的访问是否有申请和授权制度。普通用户是否经过授权访问业务系统。开发系统、生产系统是否隔离;开发人员与生产系统维护人员是否分离;信息系统开发人员是否经过授权访问业务系统。对访问内部网络的机器是否有控制,是否有身份认证;外部带入的电脑是否可以访问信息系统;同时访问内部系统和互联网的机器有没有隔离限制措施,内部机器是否不加控制上网;信息系统开发、维护外包的外部人员是否签订保密协议。对重要的生产系统是否有更严格的访问控制。检查内容:进入机房登记表;信息系统申请授权表、访问授权的原则;员工机器认证制度,认证中心、保密协议等。三是网络安全措施。员工机器和信息系统主机是否安装防病毒软件、是否有防火墙、负载均衡设备;企业对内部和外部的网络攻击、病毒攻击、蠕虫攻击的监控情况,是否有监控记录和遇到攻击时的处理措施。各部门、分子公司间信息传递的渠道,是否直接通过互联网、即时通讯设备传递,数据是否有加密措施。
检查内容:证券公司信息部门对客户机管理记录、网络安全记录,主要网络设备、信息系统主机的监控记录及安全应急预案。逻辑安全控制(审计重点内容)对网络逻辑访问和系统逻辑访问是否进行有效控制。一是软件和数据接触。是否对登陆用户的口令、权限、分配的功能进行有效控制。检查内容:权限分配记录、口令设置、机密数据保护、磁盘、U盘使用管理情况等。二是数据加密机制。关键数据是否进行加密,加密算法是否进行有效管理。三是数据完整性。校验信息是否加密,是否进行检查,数字签名认证机构是否安全可靠。四是入侵检测系统。入侵检测系统是否能满足对于信息系统网络环境安全的需求,该系统与防火墙/路由器间的通信是否安全,系统中是否包含用于生成日常事件日志的工具和自动响应机制,是否能提供适当的安全保证。五是病毒和其他恶意代码。各个终端用户是否采取了防病毒策略,系统中是否存在未授权的软件,防病毒软件是否能提供信息系统所需的安全保证。六是防火墙技术。防火墙是否能根据网络变化提供新的配置服务,是否能对数据包过滤进行检查,是否具有系统的分离特性,防火墙本身是否自带了审计工具,是否具有弱点探测的能力,是否具备报警与报告的能力。数据与系统安全一是主机是否有密码控制、主机的安全日志、信息系统是否有访问日志,系统数据是否定期备份。二是对那些可靠性要求高的系统是否采用服务器主机双机热备、磁盘阵列,甚至配备备用网络,建立异地容灾备份中心。三是是否制订灾难恢复计划和灾难恢复流程,建立灾难预警、触发、响应机制,组织相关培训和演练,适时升级和维护灾难恢复计划。四是信息系统之间传递时的数据质量与安全,数据传输是否加密,外包服务人员是否有权登录生产系统,系统开发、维护人员是否可以直接访问系统数据库。安全定级对证券公司信息管理系统等系统安全等级进行级别定位(分为非常好、较好、一般、较差),检查是否符合国家定级指南的要求及安全定级中存在的问题。信息系统运用控制一是证券公司信息系统的界面输入是否与业务吻合,数据的输入是否在有效业务授权下进行,输入的数据是否及时准确。二是系统处理数据是否有必要的控制措施保证数据处理的完整性和准确性。三是输出的数据是否有足够的措施保证输出的完整性和准确性,是否对数据打印和导出进行控制,审查输出各项报表的准确性,对外输出接口数据的准确性,是否建立数据核查机制。四是系统业务流程设置与实际业务是否吻合,是否建立业务流程设置审核机制。五是系统参数维护是否有严格的审批,参数是否按相关文件要求来设置,系统参数设置权限管理是在业务部门还是在信息机构,系统是否有预警功能。检查内容:对部分菜单进行输出控制检查,核对部分报表,指标等参数是否与证券管理部门规定的指标一致,查看业务蓝***与流程设置情况。系统生命周期关注证券公司的信息系统开发维护能力,是否适应业务变化的需要。系统变更过程的规范化,是否有需求文档、开发文档、测试文档、部署文档等;变更过程对信息系统安全和数据安全的影响;变更过程中的访问控制等。
对证券公司信息系统审计可采用访谈法、调查问卷法、查阅资料法、流程***检查法、现场查看法、平行模拟法以及数据测试法等多种审计技术与方法。信息部门组织管理控制。通过与证券公司网络信息部门进行访谈,说明审计的目的,列出需提供的资料清单和配合要求。详细查阅相关制度和文件,在充分的调查和分析基础上对信息部门组织管理控制作出客观评价。内部信息系统与互联网隔离控制。检查员工使用的机器是否同时访问业务系统和互联网,办公区IP地址是否自动获取,通过互联网接入专网是否有CA认证及数据签名。服务器容灾机制检查。数据应转变为集中异地存放,以应对突发事故的发生。物理环境安全审计。对证券公司主要机房进行实地调查,检查机房建设、验收资料和机房维护记录等文档。网络安全控制。查阅网络拓扑***,设计方案、招投标文件、施工和竣工等文档,现场查看、查阅维护记录和运行日志,并与网络管理员访谈,可借助网络安全测试工具对网络进行安全性检测。逻辑安全控制。主要是查阅工作记录和相关管理制度,并到信息访问点进行随机检查和访谈,登陆系统界面进行实际测试等。数据与系统安全。查阅相关管理制度,查阅备份日志,查阅系统及数据库日志,现场数据库、操作系统和系统的管理权限,并进行与管理员访谈,对证券公司信息系统运行控制、数据与系统安全控制作出客观评价。信息系统运用控制审计。查阅系统招投标文件、实施过程文档、验收文件、系统设置说明、系统配置文档、操作手册、维护记录等相关文档,并设计测试用例登陆系统进行测试,信息点调查用户对系统的评价等。系统生命周期。查阅信息系统规划,系统分析,系统设计,系统测试,系统实施,系统运行,系统维护,系统变更等相关文档,并与项目负责人访谈,对证券公司信息系统生命周期作出客观评价,并提出审计意见和建议。
审计信息篇2
一、信息化内部控制审计与信息系统审计的相关规范
国内外相关规范中的一系列规定表明,现代内部控制审计必须充分重视信息技术的应用。信息技术在财务报告内部控制领域的应用,主要的表现形式就是信息系统,特别是会计信息系统的建立。信息化内部控制审计关注会计信息系统的内部控制有效性问题,而这个问题也是信息系统审计关注的重要内容之一。而国内外一系列信息系统审计规范的陆续,又使信息系统审计成为人们关注的热点。信息系统本身就包含了信息技术的应用,信息技术的深入应用又对信息系统的内部控制产生重大影响。而信息系统,特别是会计信息系统的内部控制,同样是信息系统审计中重要的一环。
(一)信息化内部控制审计 会计信息质量不仅取决于财务报告本身,更取决于对财务报告产生过程的有效控制。内部控制是防范企业财务报告错误和舞弊行为,保证企业财务报告真实、完整的内在机制。而内部控制审计的目的就是要评价内部控制的有效性。信息技术应用的不断深入使经营管理越来越依赖于利用信息技术建立起来的信息系统。理论界也密切注意着信息化环境下企业内部控制制度的变化,许多学者纷纷探讨信息化环境对企业内部控制要素的影响、信息化环境下内部控制的构建等,并认为应该利用信息技术来构建与完善内部控制系统。信息化环境下内部控制系统的变化,必然导致内部控制规范的变化,不论是美国内部控制规范体系中的COSO 框架、SOX 法案、SEC 的《最终规则》、COBIT,还是日本的《财务报告内部控制的评价和监督准则》等规范,都充分地考虑了信息化环境对内部控制的影响。面对信息化环境下内部控制及其规范的变化,评价内部控制有效性的内部控制审计就必须考虑信息化环境的影响,从而就产生了信息化内部控制审计的问题。
内部控制审计考虑信息化环境的影响始于上世纪80年代。本世纪以来,各国又陆续出台了一系列相关的规范。如,美国上市公司会计监督委员会(PCAOB)于2004年3月了第2号审计准则《与财务报表审计协同进行的财务报告内部控制审计》(简称AS NO.2)。随后,PCAOB于2007年5月又颁布了第5号审计准则《与财务报表审计相结合的财务报告内部控制审计》(简称AS NO.5)以取代AS NO.2。此外,美国注册会计师协会(AICPA))为了与AS No.5保持一致,于2008 年了鉴证准则第15 号(SSAE No. 15)。SOX 法案302条款和404条款中的实质性条款也直接影响到了PCAOB、AICPA等对内部控制审计的相关规范。从AS NO.2到AS NO.5,其内容都涉及到IT环境下的内部控制问题。AS NO.5对于IT 的应用表现出了更多的关注,如必须评价IT使用的范围,必须认真评估IT 对财务报告的影响及其带来的风险等。日本为体现IT的重要性,直接将“对IT的应用”作为内部控制的一个基本组成部分。
我国审计对信息化环境的关注最早体现在审计署的相关规范中。1993年,我国审计署了《关于计算机审计的暂行规定》,1996年又了《审计机关计算机辅助审计办法》,从而拉开了我国IT在审计领域应用的序幕。1999年,中国注册会计师协会了《***审计具体准则第20号——计算机信息系统环境下的审计》,要求注册会计师应充分关注IT环境对被审计单位会计信息及内部控制的影响。2003年6月,中国内部审计协会实施了《内部审计具体准则——内部控制审计》,其中要求内部审计人员应评价组织获取及处理信息的能力。2006年,***了《审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》,认为内部控制应包括自动化成分,在风险评估以及设计和实施进一步审计程序时,应当考虑自动化特征及其影响;还应当从信息技术和人工系统中,对交易生成、记录、处理和报告的程序了解与财务报告相关的信息系统。2007年,***了《审计准则第1633号——电子商务对财务报表审计的影响》,认为注册会计师应当考虑被审计单位在电子商务中运用的与审计相关的内部控制。2008 年,***等五部委联合了《内部控制审计指引》,认为应当关注信息系统对内部控制及风险评估的影响。2011年10月,中国注册会计师协会了《企业内部控制审计指引实施意见》,认为内部控制审计要考虑信息技术控制环境的影响。
审计信息篇3
会计信息化是指将会计信息作为管理信息资源,在会计电算化基础上全面应用以计算机,网络和远程通讯为主的现代信息技术对传统的会计模型进行重整的现代会计基础上,建立起满足现代企业管理要求的现代会计信息系统,为企业经营管理,控制决策和社会经济运行提供充足适时的信息。会计信息化具有以下基本特征:
1、在会计目标方面。会计信息化是以实现会计业务的信息化管理为目标,充分发挥会计在企业管理中的核心作用,主动和实时报告会计信息与企业管理和人类社会构成一个有机的信息系统。
2、在功能范围方面。会计信息化不光是进行业务核算,还包括会计信息管理和决策分析,并根据信息环境重构会计模型。
3、在技术手段的实现方面。会计信息化是以计算机网络及通讯等现代信息技术为主要的技术手段,高度自动化地处理信息的收集、加工、传输、存储、应用等。
4、在系统地位方面。会计信息化的地位,是企业业务处理以及管理系统的有机组成部分。在系统层次上,会计信息化还包括信息管理层、决策支持和决策层。
5、在信息的输入输出方面。会计信息化的大量数据从企业内部系统直接获取。会计信息输送模式是企业内外的各个机构、部门,根据授权直接从系统当中,从Internet上直接获取。
6、在理论基础方面。会计信息化的理论基础包括信息技术系统和信息化论等现代思想。
二、会计信息化审计的基础——会计电算化审计
会计信息化来源于会计电算化,但它们有着本质的区别。同样会计信息化审计也与电算化审计存在着根本的不同。首先,会计电算化审计只是将计算机仅仅当作手工作业审计的工具,只意味着审计手段的改变。其次,会计电算化审计对象局限于财***财务收支,难以扩大到与经济效益有关的经营管理和其他领域。第三,电算化会计技术由于模拟手工作业审计的审计过程,不仅未充分考虑计算机信息系统的特点(如隐形化,程序化,不尽安全等),而且未充分利用现代信息技术(通讯,网络等)的特点和优势。这不能不说是对现有资源的巨大浪费。但会计信息化审计则不同,它是建立在对现代信息技术(计算机、网络和通信等),对传统审计模式进行重构,并在重构的现代化审计模式上通过评价控制会计信息化信息系统。据此发展的会计信息化审计技术就是在计算机系统中模拟社会的审计工作,对计算机系统的活动进行监视和记录的一种安全技术。运用会计信息化审计技术的目的就是让对计算机系统的各种访问留下痕迹,使计算机犯罪行为留下证据,计算机审计技术的运用形成了会计信息化审计系统。
三、会计信息化环境下的审计
会计信息化审计是指利用现代信息技术,对传统审计模式进行重构,并在重构的现代审计模式上通过评价控制会计信息化系统,深入开发和广泛利用审计对象,建立技术与审计高度融合的、开放的现代审计监督体系,以提高审计在优化资源配置中的作用,促进经济发展和社会进步。它有以下几方面的特征:
1、现代信息技术运用到审计中。审计的所有领域包括审计的理论研究、实务工作、管理模式、知识结构等方面都将运用现代信息技术,使技术与审计高度融合,大大提高审计的工作质量和效率。审计工作向“计算机在内的审计”转变,审计人员不再依赖于纸张记录的会计数据而大部分或全部依赖于介质的电子数据。审计底稿、审计证据及有关审计档案也全部电子化。在管理模式上,要利用现代信息技术来管理责任与风险俱在的审计行业。审计人员除了掌握传统的审计知识外,还应掌握计算机数据处理、网络等现代信息技术。
2、明细信息的数据安全性、可靠性是未来审计的重点。在会计信息化环境下,企业所提供的最主要的会计信息是各种明细信息,因此审计的工作重点在于验证企业内部形成的明细信息的真实可靠性,以及审核进入外部网络的明细信息的安全性。随着信息新技术的广泛应用,越来越多的交易事项将自动化处理,会计数据输入、处理和输出,均以数据库文件为载体。未来审计将是数据库的审计,为此审计人员应当侧重于验证计算机内原始凭证数据是否真实、可靠,会计凭证数据库的存取是否得当,以及这些凭证数据被不留痕迹修改的风险有多大等问题。
3、提高了审计的实时性,扩大了审计的空间范围。在空间上,由于会计信息系统的开发性和网络化,使得会计信息系统在极大的范围内得以交流和共享,缩短了空间距离。在一个开放的空间范围处理会计信息,涉及到交易关联方的各个方面,同时能访问会计信息的用户可能涉及整个网上用户。因此,为防止信息的使用者破坏和更改会计数据,应将审计空间范围扩大到交易关联方以及网上的有关信息用户。
四、会计信息化环境下加强审计工作的策略
1、制定和完善相关的法律法规。在会计信息化环境下,现有的一些法律法规呈现出滞后性,对会计信息化审计缺乏操作性,因而对保障审计***性起不到应有的作用,也不能从宏观环境层次上有效地预防外界对审计的干扰。要解决这一问题就必须借助法律的强制力营造一个外在的法律环境,对有损***性的行为予以法律诉讼和惩罚。法律上最有效的证据是记录业务发生的原件,但在法律上能否接受计算机的电子信息即无纸化信息作为有效的证据,已成为一个国际性的问题。无纸化的电子信息能否作为审计和税务检查的有效证据,也是亟待解决的问题。这些问题的解决都有赖于***府制定相关的法律法规,对电子信息的有效性进行明确的界定,使会计信息化审计切实做到有法可依。同时,要不断完善原有的技术规范,统一网络技术管理规范,如对进入网络的信息的格式制定统一的标准和规范,对网络的数据操作制定相应的程序等。还要对审计人员和被审计单位的行为进行约束,对违规操作者进行处罚,培养“公众利益”的法律意识,从而提高审计质量,加大审计力度。
2、加强审计软件技术的开发。对会计信息化审计,如果仍然采用常规的手工系统的那一套审计技术,就不可能达到审计的目的。由于审计的范围已扩大到会计信息化的会计信息系统及其他计算机信息处理系统,迫使审计人员在采用传统的各种审计技术的同时,采用计算机辅助审计技术,用日益先进的计算机审计软件去对付单机、网络、多用户等各种工作平台下的会计软件。审计软件是大量审计方法的技术的集成,一般包括内部控制评价、审计计划管理、数据转换、抽样审计、实质性测试、会计报表生成、审计工作底稿打印和管理、审计证据归集和评价、审计报告生成等功能。为适应会计信息化环境下的各种财务软件的发展,必须要提高开发审计软件的速度,加快审计软件更新换代的步伐,开发通用审计软件和专用审计软件,还可以引进计算机审计软件的技术,组织对有推广价值的审计软件进行评审,促进审计软件商品化。同时,要强化审计人员对数据库程序的学习,直接对数据库中的数据进行采集和转换,利用查询语句对财务数据进行分析和整理,完成审计任务,这样就能从根本上摆脱财务软件升级或有意识改动带来的束缚,克服审计工作中存在的各种技术问题。
审计信息篇4
一、围绕中心,突出重点,明确审计信息宣传的内容
(一)围绕***和国家的路线、方针、***策和重大部署,大力宣传全市审计机关在学习贯彻***的十精神,认真履行审计监督职责等方面采取的措施和取得的成效。
1.积极宣传全市审计机关围绕经济社会发展大局,开展各项审计工作动态,以及在维护经济安全、推进民主法治、维护民生、推动改革、促进发展等方面发挥的建设性作用。
2.及时反映审计在揭露体制、制度性缺陷和重大管理漏洞基础上提出的审计建议及效果,并结合被审计单位对审计发现问题的整改情况,以适当方式加以宣传。
3.适时报道已审查结案的通过审计查处的重大违法违规问题的典型案件,推动反腐倡廉建设。
(二)围绕审计署、省、市审计工作会议、重要活动、重大专题及社会关注的审计工作热点焦点问题,适时开展有针对性的信息宣传工作。
1.大力宣传全市各级领导、有关部门和社会各界对审计工作的重视和支持,营造良好的审计工作环境。
2.重点做好各级审计工作会议、座谈会、向人大***会作审计工作报告、“审计机关成立30周年”相关活动的信息宣传工作。
3.根据全年审计任务,着力做好财***资金分配和使用管理、权力运行、国有资产保值增值、重大投资项目建设进展、重点民生项目建设进度及资金使用、资源环境保护等方面审计情况的反映。
4.及时总结审计工作中的创新成果和宝贵经验,推动转变理念和创新方式,促进提高审计工作的质量和水平。
(三)围绕审计机关加强内部管理和自身建设,大力宣传在推进审计权能改革,加强队伍专业化建设、廉***建设、信息化建设和文化建设等方面的新举措和新成果。
1.积极宣传审计机制改革的主要做法和取得的主要成效,以及审计机关自身建设情况。
2.大力宣传全市审计机关先进集体和先进个人,弘扬正气,展示风采,树立良好的审计队伍形象。
3.结合具体审计项目,有重点地宣传审计机关在创新审计技术和方法、推动信息化建设及管理规范化方面采取的措施和取得的成效。
二、丰富形式,拓宽途径,增强审计信息宣传效应
(一)利用多种渠道扩大审计影响。充分利用审计行业报刊、***报***刊、电视台、广播电台、网站等各种平台,多管齐下,大力宣传审计工作的新思路、新方法和新成果,推动审计工作的深入开展。
(二)积极组织主题宣传报道。今年重点做好“审计机关成立30周年”活动的系列宣传报道,发挥各类新闻媒体的特点优势,充分展示审计机关成立30周年以来取得的成果。
(三)提炼信息挖掘成果服务宏观决策。加大对审计情况的全面把握、总体评价和综合分析力度,及时提炼审计工作中发现的问题,形成有价值的审计建议,为领导宏观决策提供参考依据。
审计信息篇5
关键词: 计算机;审计;信息系统;数据;技术
中***分类号:F239.1 文献识别码:A 文章编号:1001-828X(2016)009-000-01
一、计算机辅助审计与信息系统审计的基本概述
1.计算机辅助审计
我们所说的计算机辅助审计,其实指的就是在审计技术当中,充分的融入计算机技术。从本质上来说,无论是想要实现会计电算化的发展,还是实现审计技术自身的进步,都要求审计人员必须要合理的运用新技术,来促进审计效率的提升。在信息化的时代环境背景下,进行审计工作,最主要的是要进行被审计单位的会计信息数据采集,并将采集到的数据输入到审计人员的审计系统中,然后再通过技术转换,来使之转变成为能够供审计人员进行相关操作的数据,最后再运用计算机技术,来对数据进行一系列的综合分析,并最终得出审计结论。
2.信息系统审计
(1)信息系统审计的概述
我们所说的信息系统审计,主要指的就是计算机审计当中的一项主要内容与重要的切入点,信息系统审计所做的,主要是对被审计单位计算机信息系统的建设、规划与管理工作。从本质上来说,信息系统审计的对象除了包括产生与存储以及处理数据的信息系统以外,还包括了用于保障信息系统运行的一系列管理制度。
(2)信息系统审计的目标
简单来说,信息系统审计的目标,主要是通过实现对信息系统的可靠性与合法性审计,来进一步实现对被审计信息系统的评价,以此来为开展计算机数据活动提供重要线索并建立基础。具体来说,信息系统审计的目标主要包括了以下三个方面的内容:第一,是对信息系统的薄弱环节进行分析,第二,是对电子数据的完整性与真实性加以评价,第三,是发现信息系统当中所存在的漏洞与非法功能。
(3)信息系统审计的流程
做为审计过程中一个非常重要的组成部分,信息系统审计的基本流程主要包括以下五步:第一,是系统调查;第二,是控制测试;第三,是初步评价;第四,是分析测试;第五,是综合评价。其中,系统调查所需要做的是对被审计单位中信息系统的总体框架与管理体制等进行深入的了解与全面分析,该步也是进行信息系统审计工作的一项重要基础。
二、计算机审计在信息系统审计中的具体运用
1.进行数据的有效采集
我们所说的数据采集,主要指的是把相关数据从被审单位的信息系统中提取出来,然后再进一步将数据输送到审计人员系统当中去的过程。在这个过程当中,我们主要负责解决下面这两个问题:第一,是审计人员该怎样将采集到有效的电子数据,第二,是审计人员怎样对其所采集的数据加以审查分析。同时,也是测试被审单位信息系统接口控制的一个重要指标。
在数据采集过程中,为了确保被审单位的数据信息不被破坏,要求审计人员不能够使用自己的审计系统来对其进行直接的审计测试工作。如果说,在审计人员审计系统中的会计系统和被审计单位数据库系统相同,或者说审计系统中数据库的引擎能够与被审的系统数据库进行直接的连接,那么其就能够采用直接读取方式的方式,来对被审计对象的数据进行采集,并将其出传输到计算机辅助审计系统当中。
2.进行数据的适当清理
就针对于审计数据库的数据来说,要求其必须要充分的满足完整性、正确性、一致性和有效性等指标。不过,因为最开始的审计数据,主要还是由审计人员来从被审计单位的信息系统当中得到的,这些原始数据本身就可能存在着明显的不完整与不一致问题,而这些问题也会对会计报表上数据产生最直接的影响。一般来说,数据转换出现的问题是由于信息系统业务流程控制过程中数据的输入、处理和输出环节存在缺陷。所以说,当我们完成数据采集过程之后,要求审计人员必须要对这些原始数据的质量进行检查与控制分析,然后再从数据质量的问题上,来寻找相关的审计线索,然后再进一步对数据进行有效的清理,对不符合质量要求的数据进行全面的整理,才能更好地便于后续的数据分析于数据转换。
在大多数的情况下,缺失的数值往往都需要进行手工输入,这样一来,就能够从本数据源与其他的数据源当中,来将某些缺失的值推导出来。而针对于错误值来说,我们就能够通过运用统计分析和偏差分析等方法,来对其进行有效的检测。
3.进行数据的转换
所谓的数据转换,主要包括了以下两个方面的内容:首先,是对被审计单位中的相关会计信息数据进行有效的装载,使之传输到由审计软件操作的数据库当中去;然后,是要求其必须要对每张表以及每个字段当中所含有的经济含义进行明确的标识,并掌握各个字段与表格之间所存在相互联系。在此之前,还需要做好充分的前期准备:第一,要对被审计单位的会计信息系统进行详细的调查研究,并对被审计单位的技术人员进行相关事项的询问。第二,从本质上来说,在被审单位的系统设计文档资料当中,往往会对数据项与实务处理的逻辑进行详细的描述,所以审计人员要及时的获取这些资料,并以此来对被审单位的会计信息数据有一个充分的了解与掌握。
4.进行数据的分析
当我们在进行电子数据的具体分析时,应当先对其进行总体分析,并且要求审计人员必须要通过表表核对和账表核对等工作,来对被审计单位的总体情况有一个充分的掌握,然后在此基础上来找到其中的薄弱环节,以此来确定出审计的重点工作。当我们在进行数据的具体分析时,要求审计人员必须要依据相关的业务处理逻辑,来建立起具体的审计分析模型。根据分析结果,进一步发掘被审单位信息系统存在的问题和缺陷,以便对信息系统进行完善,保证使用的安全性、有效性和可靠性。
三、结语
综上所述,计算机审计与信息系统审计两者绝非泾渭分明,随着时代的发展与社会的进步,计算机审计工具和技术也实现了进一步的提升,通过结合我国信息系统审计的实际情况,并充分的依据具体业务流程与实践经验进行总结之后我们可以看出,在信息系统审计当中,计算机审计一定能够发挥出更大的功效。
参考文献:
[1]朱熙.会计信息系统审计问题探讨[D].江西财经大学,2013.
[2]章亮.我国信息系统审计发展的现状、问题及其改进[D].首都经济贸易大学,2014.
审计信息篇6
关键词:会计信息化;风险管理;风险因素分析
会计审计工作关系到整个企业的资金安全及正常经营管理,所以其中的风险因素我们应该引起足够的重视,并制定科学的信息化管理对策,以优化现有的会计审计流程,提高整体工作效率,为企业的各种经营活动提供便利,而传统的会计审计工作方法存在的一定局限性,间接地增加了会计审计业务的风险,因此要深入挖掘会计审计风险因素,从而促进其对于以审计工作信息化的发展趋势的适应。
一、会计风险因素分析
(一)市场竞争与法律不健全造成的会计风险。由于我国经济已经全面步入市场化,整体的竞争格局和压力在不断升级。为了应对这种竞争形式,我们需要对于会计审核制度进行优化和升级。那现实情况是有某些管理者为了在市场竞争当中取得一些不正当的经济收益,随意篡改会计审核工作的数据,间接地降低了会计审核工作的质量。让实际审核工作达不到所需要的质量标准,增加了会计审核工作实际开展业务的难度,增加了相关的财务风险。同时有与相关的法律制度不够健全在审核过程当中出现的问题无法通过法律途径进行及时处理,让人为制造的各种会计审计风险因素能被及时的发现和处理,最终多方因素影响之下会增加会计审计结果风险的概率,影响整个会计审计工作的质量及可靠性。(二)会计人员自身素质导致风险。由于市场竞争逐渐走向多样化和复杂化,对于会计审计人员的相关知识的储备也提出了更高的要求,但我国的会计审计人员在整体专业能力上面还是有着一定的欠缺,而且部分审计人员本身的责任心责任感不够强,间接地降低了整个审计工作的效率和质量,而具体而言表现在以下几点。首先是部分审计人员自身在工作开展时自身的专业知识不够全面,无法适应新时代会计审计工作变化所需要,结果是增加了相关的业务风险。其次是对于相关具体业务信息掌握不够充分。难以通过信息化审计手段,进行相关审计工作的开展,影响整个审计工作的实际效率。最后是有部分工作人员受制于自己对于审计工作的重视程度不足,工作作风不够严谨,对于审计结果准确性没有严格进行把控,导致最终审计数据出现误差,造成相应的经济损失。(三)会计审计对象的增加和变化提升了审计工作的难度。由于现在一带一路的相关计划不断落实和发展。我与周边国家的经济活动也逐渐开始增加,需要制定科学的战略部署,朝着国际化现代化方向进行发展。开放的市场环境与国际相关的会计业务不断增加,整体会计工作的复杂性上升。对于相关会计业务的专业化及国际化提出了更高的要求。所以为了适应新的环境,我们也要对现有的会计审计制度予以改革。
二、信息化审计建设的改进方案
(一)建立完善的相关法律规定,科学规划会计审计原则。为了提高整体审计工作质量和可靠性,现有的传统审计模式将会向全面数字化审计模式转换,所以对于相关的法律法规也应该予以跟进,逐步健全相关的规范,而具体而言,可以以下几个方面去予以入手:(1)由于现在市场竞争极为激烈,***府相关部门应该考虑到相关的市场的现实需求,并结合新时代的审计原则,对于相关的法律法规进一步的改进和完善,以到相关法律法规,适应新时代的审计工作需求的变化。(2)对现有的审计流程进行重新规划,健全制定相应的监管体系。正在改革时充分考虑到信息化审计工作的需求,从根本上根据信息化审计的具体要求,达到促进整个审计工作信息化改革的大方向的落实。(二)加大人员培训,强化风险意识。会计审计信息化的目标的实现离不开相关工作人员技能的提升,需要对于现有的相关专业知识予以灵活的运用,并且结合信息化相关的要求,对于现有的工作方式予以改进,以符合整个信息化审计的发展方向,具体来说,还需要做到以下2点:(1)通过信息化相关的审计模板,对于自身的审计工作和工作状态予以检查,并定期的针对性的展开专业培训,以促进审计相关工作人员能够在实践过程当中合理的运用新技术和新方法。(2)提高相关人员的职业道德和安全意识的培养,注重整体素质的提高,通过相应的奖惩激励制度,强化审计人员的风险意识,以促进他们的综合素质提高,避免因为疏忽大意而导致的审计风险。(三)通过信息技术重新构建审计管理系统。在整个审计工作推行信息化技术的同时,我们应该注重对于信息化技术的合理使用,通过相关系统架构的深化改革来完成对于现有审计工作效率的提升,在具体开展工作时,我们需要对于工作质量进行综合的评估,并结合市场需求及信息相关信息的采集,在信息化改革审计工作的同时,进一步的对于流程进行优化,降低风业务风险发生的概率。当新的增加的审计项目和会计制度加入到现有的审计体系当中以来,以提升整体审计体系与现代会计制度需求的结合程度,提高整体的工作效率。
三、结语
通过上面内容阐述已知审计相关工作的开展过程当中,有着较多的风险因素,且这些风险因素最终会转化为整个会计审计工作中的数据风险。所以在实际审计工作的开展过程当中,我们需要通过各方面通力合作,以实现对于风险的规避,同时结合信息化技术带来的便利性和规范性完成对于审计工作的相关系统和技术的革新,以提高整体审计工作的效率并降低其存在的风险。
参考文献
[1]李玫莹.会计审计风险因素与信息化审计措施分析[J].智富时代,2019(3).
[2]陈卓然.会计审计风险因素及信息化审计方案研究[J].财会学习,2019(4).
审计信息篇7
【关键词】 审计 联网审计 审计信息化
在会计数据纸质化条件下,审计采用审阅、核对、分析、比较、调查和证实等方法对会计数据进行审查。所有审查工作都是由人工完成的。而会计电算化使越来越多的企业采用电算化会计信息系统处理会计信息以及保存会计信息。会计电算化的普及提高了会计信息的时效性,也使得对被审单位的审计更加复杂。审计人员需要在较短的时间内处理大量的信息,加之跨行业或地区的公司的出现,信息的载体处于一个高度分散的状态,从而使得能联系全国以致全球的网络有了发挥之地。所谓“审计信息系统联网审计”就是运用审计信息系统在网络环境下借助大容量的信息数据库利用网络资源的共享性、快捷性和广泛性的特点对客户的相关信息进行采集、整理、分析进而得出审计结论的过程。审计人员在获得必要权限下,利用网络审计信息系统和网络使得大量的分散的信息在较短的时间内得以集中整理分类,这样一来便可完整、快速地获取企业会计和经济业务数据,并做进一步的计算、分析、检查和核对,大大减少审计工作量和审计成本,提高审计效率。同时利用审计信息系统和网络联网审计使的审计执业人员减少现场审计,这样便能更好的保证审计人员的***性,降低了在审计过程中产生的审计风险和法律风险。所以研究审计信息系统的联网审计具有现实意义。
一、网络审计信息系统的体系结构
通过网络进行审计的网络审计信息系统是审计中心通过网络获得被审计单位的会计信息并进行审计。审计人员就不必亲自到审计单位,这样便可以降低审计成本并且使审计人员更好的保持***性。网络审计系统的体系结构如***1所示。
上述模式的系统由三个部分组成:审计中心(服务器)、被审计单位(客户机)、和网络环境。客户中心在服务器端配备有大容量的存储器。被审计单位会计信息系统的所有会计信息都实时的传输到审计中心,由审计中心统一保存,审计中心随时对保存在本地的审计信息进行审计。由于被审计单位的所有会计信息都在审计中心,被审计系统可以不设数据库,有关数据库的操作都可以请求服务器来完成,但这样可能导致服务器不堪重负,因此被审系统最好自设数据库,保留本端数据,相当于做一个备份。在这种模式下,审计中心进行审计时不需通知
被审系统,更进一步提高了会计信息审计的真实性和审计的可靠性。
二、利用网络和审计信息系统进行远程审计的步骤
第一,数据采集。数据采集是网络审计中的一个初始环节,是审计测试和审计抽样的数据来源的根本渠道。此环节通过以审计信息系统和被审单位的财务信息系统的对接使将被审计单位的财务数据按照通过已加密的传输通道从被审计单位的财务信息系统的接口中导入到审计部门的数据系统中从而实现数据采集。数据从被审计单位的财务信息系统转换到审计单位审计信息系统并不改变它的内容,只是从形式上改变它在被审软件系统中的识别标志,从而可以按照审计信息系统要求的标志为审计信息系统所识别。数据采集是网络审计系统工作的基础,对于企业通常只需要导入科目表,起初余额表,凭证库表就可以生成相应的会计明细账、总账、各种报表等信息。还可将原始数据加入到相应的数据库,以备核查和其他功能模块共享。第二,数据整理、转换。数据清理对从被审计单位采集来的数据进行分析,查找审计对象潜在的问题、疑点和异常情况,并得出初步意见。主要涉及到数据的匹配与合并。通过匹配,发现重复的对象;通过合并,保留或生成一个完整的对象。数据清理活动的核心是近似重复对象的识别。如果两条记录在某些字段上的值相等或足够相似,则认为这两条记录互为近似重复。我们把从被审计单位数据到审计中间表数据之间所需要的各种操作均刻画为转换操作,在审计数据的转换过程中,一个转换将源对象利用一种转换规则转换成一组目标对象。源对象和目标对象都是数据对象集合的元素。数据对象集中的元素能够是任何类型的数据元素,但是典型的是表、列或表示在内存中暂存对象的模型元素。通常,转换也可以产生一系列的临时数据。那些必须一起执行的转换被归类到相应的转换任务中。在执行时,转换步骤是用来协调转换任务之间执行情况的控制流。每个转换步骤执行单一的转换任务,这种转换任务既可以是从源对象利用一种转换规则转换成一组目标对象,又可以是源对象经过多种转换规则转换成一组目标对象。第三,数据处理。对预处理后的财务电子数据采用查询、统计、抽样、汇总、计算等技术进行分析处理。第四,符合性测试。进行符合性测试工作按照计划安排,依照审计程序,对所审计对象进行符合性测试,主要通过填表或回答问题方式完成调查表,通过程序进行统计,分析出符合性测试结果。第五,实质性测试。在已做好符合性测试的基础上进行实质性测试。审计程序会自动形成各科目固定格式的审定表,审计人员要进一步套用模板,形成诸如现金盘点、固定资产折旧、应付福利费等的计算表。第六,将分析和测试后的数据归档存入审计工作底稿。
三、审计信息系统进行网络审计的局限性及解决建议
1、统一会计软件数据接口标准
开发会计核算软件的厂商为了长期拥有自己的固定的用户和保证会计核算软件的安全,对财务信息系统的数据存储格式保密,以至该软件所含的信息不能被其他厂商调用,从而使财务数据人为割裂,形成数据孤岛。这些孤岛易守难攻,大大增加了实施审计工作的难度。财务软件数据接口成为了制约审计信息系统开发使用的“瓶颈”。这个“瓶颈”就使每次审计都需要寻找不同的数据转换软件,严重降低了审计工作效率,也使得利用网络和审计。信息系统进行联网审计的使用范围大大缩小(见***2)。
统一会计软件数据接口标准可以使在审计中可以使用审计软件利用网络对各种财务信息系统的财务数据获取成为可能。有了统一的接口标准。首先,审计软件可以向财务软件采集数据,解决了原来财务数据不兼容而不能直接调用的问题,而利用网络开发的网络审计信息系统就有了更广阔的空间。审计工作也将会更好地发挥其职能;其次,可以充分利用现有的审计资源在各个审计机关之间形成一个有效的信息共享链,许多集体和个人开发出来的经过实践证明行之有效的计算机审计小模块或计算机应用小技巧都可以在整个审计系统内共享,避免审计资源的浪费以及重复建设,可优化整合审计资源,实现审计信息的有效共享。《中国财务软件数据接口标准》对审计应用软件的设计和开发方面将有巨大的推进作用。使审计信息系统联合网络进行网络审计在不久的将来将被广泛运用。它有利于审计软件的标准化、产品化,缩短软件开发周期,提高开发效率,降低计算机审计工作的复杂度。
2、网络安全技术
首先,应加强物理安全控制,即参与系统开发和财务软件评审工作。财务软件开发时应全面考虑审计程序的嵌入,建立一个***的模块作为审计软件系统的“前置”来专门处理电子信息。即由前置模块来完成对输入电子信息的接收、真伪鉴别、解密、模式转换;针对发出的信息由它加密(将标准数据模式生成电子报文并加密)和发送。这样一来,被审计单位的计算机网络就可以对经济业务进行实时监控,自动完成部分审计任务。审计人员参与审计信息系统开发和财务软件审计有利于将错误扼杀在萌芽阶段。
其次,加大逻辑安全控制,即重点审查系统的安全控制。审计人员要着重对系统的职责分离情况、操作权限设置进行审查,防止越权操作和计算机舞弊行为的发生,检查被审单位的系统安全管理体制和安全保密技术,是否设置外部访问区域,是否建立防火墙和实时监控程序。
再次,做好审计信息系统防病毒工作。使用计算机病毒的***苗程序,监督系统运行防止病毒入侵。及时升级杀毒软件。及时修补操作系统和审计信息系统的漏洞做好防病毒准备。
最后,做好总体环境控制,审计人员可以实施网络咨询和电子商务签证服务。可就如何选购财务软件,如何实施有效的系统安全控制和如何改进现有的财务管理模式提供咨询服务,并按照标准对网上商业活动的完整性、真实性和可靠性进行全面签证。
3、加强网络审计立法,制定相关法规准则
网络审计立法是保障网络审计正常发展的保障。加强网络审计有关的立法,使审计执业人员在开展网络审计工作时尤其是进行电子证据、电子签名、电子合同、电子货币等合法性审计时有法可依、有章可循。同时,由于网络审计的对象、线索、方法、流程、结果等各方面相对于传统审计都发生了变化,所以加快建立一套网络审计准则是促进网络审计的重要任务,加强网络审计立法以指导网络审计工作实践的深入。
利用审计信息系统和网络进行审计虽然有很多的优点,但我们也应该认识到联网审计并不能完全取代实地审计的全部。我们应该坚持网络审计和实地审计相结合。一些必须进行实地审计的工作是不能够完全被网络审计所取代的,如取证材料的认可、现场查看,实地盘点、询问和调查函证等,所以网络的远程审计还必须和其他的审计方法相结合。
【参考文献】
[1] 王学荣、张金城:网络环境下的实时自动化审计系统[J].审计与经济研究,2001(2).
审计信息篇8
关键词:审计;信息化;组织方式
中***分类号:F239.45 文献识别码:A 文章编号:1001-828X(2016)009-000-01
引言
审计信息化是通过一个转变过程,使审计工作以最大程度处于体现信息技术、运用信息技术的状态。审计信息化环境相对于纸质账簿环境使传统的查错纠弊手段在查账时不再奏效,对审计项目的组织形式产生了深刻影响。本文中,针对审计信息化在审计组织方式的影响下进行分析,找出适合审计组织方式的变革方法。
一、审计信息化对审计组织方式的影响
一是现场审计实施系统(AO)。现场审计实施系统由审计署2004年年底开发,是金审工程建设的重大成果,是国家审计信息系统的重要组成部分,是审计人员开展计算机审计、强化审计项目管理、实现审计信息共享的重要系统,目前已成为各级审计机关审计人员现场审计的必备工具。现场审计实施系统提供了多套审计作业操作模式,审计人员只要掌握一定的sql数据库知识、编写审计脚本语言就能对电子数据进行查证,其中自动化的审计功能使庞大的数据审核瞬间完成。同时现场审计实施系统还提供了项目管理功能,可以实现审计项目从发出审计通知书到出具审计报告一整套审计流程管理,是控制审计项目质量的基础。
二是审计管理系统(OA)。审计管理系统作为审计系统内部网络,主要是为了解决多个审计组共同实施一个审计项目或分别实施同一类审计项目,由此产生的项目组织管理的交互需求。具体实施项目的审计人员通过审计管理系统(OA)***审计项目资料到现场审计实施系统(AO)中,实施结束后及时将相关项目资料再上传到现场管理系统(OA)中,统一组织审计项目的主管机构,可以对各个***项目的开展情况进行总体分析把握,并提出指导意见。通过现场审计实施系统(AO)与审计管理系统(OA)的实时交互,大大增强了审计机关对审计项目控制能力,进而实现审计目标,进一步提高审计质量。
三是联网审计系统。联网审计是近年来兴起的一项现代化审计技术,它是指通过网络与被审计单位信息系统进行互联后,在系统测评和数据动态采集分析基础上,对被审计单位财***财务的真实、合法和效益进行实时、远程监督的行为。联网审计是推动审计信息化发展的必由之路,积极探索实施联网审计是适应新形势的必然选择,但是这项工作在我国尚处于初级阶段,还需要从提高被审计单位信息化程度、完善相关配套法律法规及提高审计人员计算机应用能力等方面不断加以完善。
四是基于数据中心的审计分析系统。金审二期工程建设的现场审计实施系统、联网审计系统的广泛应用,为实施审计分析系统奠定坚实基础。中央办公厅、***办公厅印发的《关于完善审计制度若干重大问题的框架意见》及配套文件《关于实行审计全覆盖的实施意见》,明确提出“适应大数据审计需要,构建国家审计数据系统和数字化审计平台,积极运用大数据技术,加大业务数据与财务数据、单位数据与行业数据以及跨行业、跨领域数据的综合比对和关联分析力度,提高运用信息化技术查核问题、评价判断、宏观分析的能力”。只有建立健全了基于数据中心的审计分析系统,才能真正实现审计全覆盖的目标要求。
二、满足审计组织方式的变革需求
一是调整与信息化不适应的审计项目组织方式。在信息化技术发展下,由于有些审计项目在组织方式上还不能适应良好的发展模式,所以就要对该审计项目的组织方式进行调整。被审计单位实施联网审计后,要提高审计效率,就要采取“一次通知审一年”的方式,即年初下一份审计通知书,实际审计时间为当年全年。审计机关只需抽调几名计算机审计骨干,每天、每周或定期查看,发现问题及时延伸调查,既节约了人力资源又提高了审计质量。
二是从改进项目管理入手提高审计工作质量。要提高审计工作的管理方式,目的是提高审计工作的质量。因为审计工作质量的提高需要进行全过程质量管理,包括选择和确定审计项目-计划-准备-实施-报告-后续工作等环节,而审计报告的质量是审计项目管理质量的集中体现。这就要加大相关审计软件的应用,以现场审计实施系统(AO)-审计管理系统(OA)-分级复核程序软件-公文起草签批流程为轴线,加强项目过程管理,提高审计项目质量。
三是调整与信息化不适应的审计程序。联网审计方式对传统的审计程序,如审计期限、审计程序以及通知书等法定程序都产生较大冲击。但从根本上说,联网审计并没有对审计法构成中实质性突破,因为审计法并没有限定被审计单位提供资料的形式或频率。当然,为了适应信息技术对审计工作中带来的变化,审计署可以制定部门规章的形式制定出适合信息建设发展的审计程序,从制度上推动信息技术发展下的有效性。
四是改进考核方式以推进新的组织方式。考核要随着审计项目组织方式的发展而作出相应改进。要鼓励新技术的采用,对审计信息化提出新的要求。加大从被审计单位数据或信息系统缺陷中及时发现案件线索等重要审计成果的考核比重。不仅要对审计项目的现实业绩进行考核,还要考核数据积累、计算机审计方法等有助于审计信息化的事项实现程度。
审计信息篇9
一、信息系统审计的内涵
信息系统审计的内涵与财务报表审计有较大的不同。以下通过对信息系统审计的定义、目标和类型来阐述信息系统审计的内涵。
1.信息系统审计的定义
由于信息系统审计的发展很快,因此对其始终没有一个通用的定义。下面分别介绍三种比较有代表性的定义。(1)日本通产省情报处理开发协会信息系统审计委员会1996年对信息系统审计定义为“为了信息系统的安全、可靠与有效,由***于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向信息系统审计对象的最高领导层,提出问题与建议的一系列活动”。该定义中强调***性的问题。(2)信息系统审计领域的着名专家威伯教授的定义(1999)是:“信息系统审计是收集并评估证据,以判断一个计算机系统是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济的使用资源”。(3)信息系统审计影响最大的国际组织——国际信息系统审计和控制协会(isaca)的定义是:信息系统审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率的利用组织的资源并有效果的实现组织目标的过程”。该定义比威伯的更详细一些。
通过对相关信息系统审计定义的分析,本文认为,所谓的信息系统审计,是指通过对被审单位的信息系统组成部分的审查来获取和评价审计证据,由此对信息系统的安全性、可靠性、数据的完整性以及信息系统能否经济的使用组织资源并有效地实现组织目标发表审计意见。我们必须清楚的识别信息系统审计、it审计、审计工程之间的区别。一般而言,1t审计(计算机审计)包括信息系统审计和审计工程。信息系统审计的研究对象是企业的信息系统或信息资产,采用的研究方法是传统的审计方法和计算机技术等;而审计工程的研究对象是企业的电子财务和业务数据,研究方法采用计算机技术、系统工程方法和数学理论等。
2.信息系统审计的目标
审计本质上是根据审计目标对收集的证据进行分析评价并得出结论的过程。一切的审计活动都是为了实现一定的审计目标,并围绕审计目标来进行。可以说,审计目标是审计工作的“纲”。它贯穿审计活动的各个方面和审计过程的始终。(1)真实性。信息系统中的数据要真实的反映企业的生产经营活动。要通过数字签名等一系列技术手段和保留不可更改记录、定期审计等管理手段确保数据的真实性。(2)完整性。完整性信息不被偶然或蓄意的删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。完整性是一种面向信息的安全性,它要求保持信息的原样,即信息的正确生成、存储和传输。(3)合法性。系统在购买、使用、开发、更新、维护、转移等过程中必须符合相关法律、法规、准则、行规以及企业内部的规定等。(4)安全性。安全性是指信息系统在遭受各种因素破坏的情况下,仍然能够正常运行的概率。威胁信息系统安全的因素有外部和内部两种。外部主要是黑客的入侵、病毒的攻击、线路的侦听等;内部主要是被授权的用户访问和修改、删除等操作。安全性是真实性的基础之一。(5)可靠性。可靠性是指信息系统在遭受非人因素破坏或人为差错影响的情况下仍然能够正常运行的概率。威胁信息系统可靠性的因素包括自然灾害对硬件和坏境的破坏以及误操作对软件和硬件的破坏等。可靠性也是真实性的基础之一闭。(6)效果和效率。效果是指应用信息系统以后,企业在生产控制、管理质量、提品和服务等方面产生的变化。效率是指信息系统的应用在企业劳动生产率的提高方面所起的作用。
3.信息系统审计的类型
根据信息系统审计的定义和审计目标,我们可以将信息系统审计分为三个基本类型:(l)信息系统的真实性审计是对传统审计的补充,防止“错”账真审。(2)信息系统的安全性审计是对企业信息资产安全性的审核,防止由信息系统造成的经营风险。(3)信息系统的绩效审计是对信息系统投入产出比的审核。
二、信息系统审计的特点
信息系统审计具有其独特的特点,具体特点
1.信息系统审计是一个过程。它是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程,它贯穿于信息系统生命周期的全过程。
2.信息系统审计的对象具有综合性和复杂性。信息系统审计的对象是以计算机为核心的信息系统,它包含了除财务信息以外的其他与生产经营流程有关的所有信息系统,其实质是审计对象及内容的拓展。从纵向(生命周期)看,覆盖了信息系统从规划、分析、设计到维护的全生命周期的各种业务;从横向(信息系统构成)看,它包含对软硬件审计、应用程序审计、安全审计等。从这个意义看,信息系统审计拓展了传统审计的内涵,将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。
3.信息系统审计拓展了传统审计的目标。传统审计目标仅仅包括了“对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见”,《中国***审计具体准则第20号--计算机信息系统环境下的审计》第四条也明确规定“注册会计师在计算机信息系统环境下执行会计报表审计业务,应当考虑其对审计的影响,但不应改变审计目的和范围”,由此可见edp审计、电算化审计和计算机审计都没有改变审计的目标,但信息系统审计除了上述目标外,还包括信息资产的安全性、数据的完整性以及系统的可靠性、有效性和效率性。
4.信息系统审计是事后、事前、事中审计的结合体。注册会计师所执行的财务报表审计往往是年度审计,属于事后审计。而信息系统审计是事后、事前、事中审计兼而有之。如信息系统在开发过程中,由审计人员介入所进行的审计属于事中审计,此项审计相对于系统运行后而对其所进行的审计而言又可以看作是事前审计;信息系统运行后,对其在一定期间的运作情况所进行的审计则为事后审计。
5.信息系统审计的内容更加宽泛。信息系统审计包含了一切与信息系统有关的审计,除了整个生命周期过程及相关业务的审计外,随着信息技术的发展,还必将包括联网审计、电子商务审计、网站审计、asp审计和xbrl审计等。
6.信息系统审计是一种基于风险基础审计的理论和方法。很多组织都能意识到技术带来的潜在好处,然而成功的组织还能够理解和管理好与采用新技术相关的很多风险。信息系统有着与生俱来的风险,这些风险用不同方式冲击着信息系统,审计者面临着审计什么、何时审计以及如何帮助信息系统的管理者管理和控制风险从而实现企业的战略目标的问题。
三、信息系统审计的过程
审计过程是审计工作从开始到结束的整个过程。信息系统审计一般可以分为计划阶段、实施阶段和报告阶段。由于信息系统审计的对象和具体业务不同,每个阶段所包括的具体内容与财务审计也不同。
1.计划阶段
计划阶段是信息系统审计过程的起点。科学合理的审计计划有利于帮助审计人员有的放矢的去调查、取证,形成正确的审计结论,实现审计目标。计划阶段的主要任务包括:调查被审单位的基本情况和内部控制;初步评价审计风险;确定重要性水平;制定审计计划。(1)调查被审单位的基本情况,初步评价固有风险为了做好审计工作,审计人员首先应了解被审单位的基本情况。需要了解的基本情况包括:第一,被审单位的业务性质和生产经营情况。第二,被审单位的组织结构和管理水平。第三,被审单位信息系统一般情况,即信息系统的结构,所使用的软硬件和网络设施以及运行环境。第四,被审单位应用系统及其所处理的交易和事项的类型。(2)调查被审单位信息系统内部控制,评价控制风险在计划阶段,审计人员应了解被审单位的内部控制特别是信息系统内部控制,对内部控制的健全和有效性进行评估,初步确定控制风险的大小。(3)评估审计风险,确定重要性水平。为了合理使用审计资源,有效的实现审计目标,在制定审计计划时审计人员应评估审计风险,确定重要性水平。重要性水平是指在审计事项中,能够容忍出现差错的程度和大小。(4)编制审计计划。在对被审单位的风险进行初步评估,确定重要性水平后,审计人员应当编制审计计划。审计计划的内容应当包括:被审单位的基本情况、审计的范围和重点、审计的步骤和时间安排、审计人员分工、运用的信息系统审计方法、审计中应当注意的事项和其他内容等。
2.实施阶段
实施阶段是根据计划阶段确定的范围、重点、步骤和方法,进行有针对性的取评价,并形成审计结论的过程。主要由符合性测试和实质性测试两个阶段构成。(1)实施符合性测试。符合性测试的目的是检查内部控制措施是否健全有效。计人员需要对被审单位的控制系统进行识别、测试和评价。测试的性质、范围和程度。为了达到这个目的,审从而确定后续的实质性控制系统识别。审计人员通过与相关人员面谈、调查问卷以及查阅信息系统和控制系统说明文件等方,识别被审单位的控制系统以及控制环境,并将调查情况记录在审计工作底稿中。(2)实施实质性测试。实质性测试是对信息系统控制进行的详细测试,以获得这些控制在审计期间是否真实存在并合法有效的审计证据。实质性测试主要通过测试必要的数据,对信息系统达到特定的控制目标的程度进行评价。
审计信息篇10
以审计信息和业务的基本流转特征以及在各个方面所进行的防护规划和整体策略等发面出发,有效分析在审计业务范围要求之内的所开展的信息安全防护,以及在国产化装备的应用下有效强化信息化建设活动中的整体性信息安全防御工作,进而有效推动系统化的有效应用和整体运维服务体系的建设活动,其中主要包括制度、系统、资金行业方式、队伍等的建设,以及实现系统建设同运维活动的协调一致。
【关键词】
国家审计信息化;信息安全;运维建设
国家审计是在国家开展宏观经济综合监督体系的重要环节,实现其运行系统和整体信息安全的有效性是极为必要的。通过审计信息化系统建设项目有效结合了审计基本业务特征环节的信息安全防护以及实现系统健康运行的监控运维服务体系,在实现系统化的体系建设且开展综合性的防护保障措施之后,以有效保障国家审计在进行信息系统建设整体系统的健康安全运行[1]。
一、结合审计业务特征所开展的信息安全防护工作
信息安全防护在国家电子中进行应用时,需要严格遵守国家在相关方面的***策制定和规划性要求,更需要明确***务职能环节业务信息的风险和特征,然后从根本实际出发开展有针对性的信息安全防护规划工作,保障所采取的措施能够有效解决实际问题,确保安全防护工作的顺利有效。
1.1对审计信息和业务的流转型特征展开研究
一般而言,国际审计中包络初期的数据采集及有效形成核查环节的审计信息记录和证据整合,并通过互联网的应用将相关信息报送审计机关的非专网中,这就涉及到业务活动中的信息安全性,如果在流转环节出现审计信息的泄露,因为国家审计所具有的设密性和权威性,将构成重大的安全风险[2]。
1.2针对审计业务的整体特征开展有效的安全防护规划
在国家审计要求范围之下,对国家电子***务信息安全和信息化的协调发展给出了总体性的规划要求,实现审计信息化系统项目建设的三网安全规范,通过审计门户网、审计专网、审计内网三个环节实现对电子***务信息的安全防护,有效保障信息的安全性。此外,还需要根据四级互联审计专网对于信息安全防护的要求,在有效倚仗外网的信息信任体系来实现覆盖全国的信息系统建设,构建有效的病毒中心防御系统,为信息的安全防护提供基础环节的保障。
1.3根据国家审计的信息特征出发进行安全防护策略的研究
国家审计业务具有一定的流转性,这就需要对该环节的信息安全进行有效的风险评估,以避免出现泄漏状况,在国家信息保密和安全主管部门的支持和指导管理下,在进行信息化系统建设项目时采取了信息交换和安全交互以及三网隔离的主体策略,以有效保障审计信息在流转环节的安全性。
二、保障国家审计信息安全的运维服务体系建设
通过实现运维服务体系的建设有效保障了国家审计信息的整体安全性。在审计信息化系统建设项目中,运维体系的建设主要在整体队伍、方式、系统和制度以及资金等方面,在这个过程中要有效保障整体建设同运维服务的关系。
2.1运维服务系统
在审计信息化系统建设项目中,运行监管系统和信息服务系统构成了运维服务的整体系统。其中信息服务系统中的现场审计和审计管理系统已经面向全国的审计系统,以更好地实现两项系统应用的有效性,另外,审计署还建立了面向全国审计系统的热线电话和服务网站的整体服务体系,而且国家审计系统还发行了同信息安全建设运维系统相关的指导性信息和文件,以保障信息系统应用的有效性。运行监管系统侧重于对整体系统建设中的各项子系统的运行状态实现有效的监管控制,以有效纳入整体的安全系统实现统一的管理,整体性的满足了多层级的系统运维监管任务,极大地提升了监管力度,使得国家审计信息系统以及所属子系统的运行都能够具有稳定、安全的整体环境。
2.2运维服务队伍
审计信息化系统建设项目实现了国家审计总数的服务部门和省级的工程服务办的两级服务系统构建,并建设完成了中央省市县的四级审计机关的信息系统的整体运行服务队伍。在进行子系统集中管理的基础前提下,审计署建立了面向下属各个机关和部门及全国性地方审计的“呼叫中心”运维服务队伍,有效保障了热线电话和服务网站的整体有效性运行,将疑难问题和咨询答复等交由运行后台专家,并得到专业性的确定答案之后予以恢复,有效实现了整体运维服务体系的建设。
2.3运维服务制度
就审计信息化系统建设项目的相关制度而言,均是由审计署所制定的相关指导办法和体系,以有效明确运维过程中的职责分工和机构设置,有效实现对运维内容和机制的执行。另外,在进行运维资金的使用和管理方面也制定了一定的制度规范和要求,以确定在运行中经费使用的有效性以及利用的最大化。通过各项管理制度确定,使得整体的运维体系科学、合理,并能够在制度的支持下实现对相关专业人员的专业素质和技能培训以及使用经费和规范化服务等相关内容的引导,进一步强化了整体的运维服务体系建设[3]。
2.4运维服务外包方式
在实际的发展过程中,审计署将审计信息化系统建设项目中的“呼叫中心”服务队伍建设实行了外包***策,并在逐渐的发展中,在运维服务系统的整体性要求性下,将该环节在内的网络系统和应用系统通过集成商的方式通过外包服务实现有效的运维服务体系建设。另外在运维服务体系的信息系统建设中,也实现了***府对技术人员队伍建设的外包服务组建方式。
2.5完善整体系统与运维服务的体系构建
在国家审计信息系统建设环节中,运维保障和信息系统建设是支撑前进的两大驱动力量,这就需要正视两者之间的关系,在启动运维保应用的基础上开设有效的指导性栏目或者咨询通道。此外,还可以构建全国性的运维体系效能保障,实现普及性的管理建设,并在运维体系的支撑下强化整体系统的集中统一管理。最后,需要实现有效的监控运维提下,实现对整体运维服务的监控和管理,确保整体运行的安全性和有效性。
三、结束语
审计信息系统建设项目需要有效的网络效能支持,这就需要保障在管理应用中的安全有效性,尤其是国家审计环节中的文件,因其本身所具有的严肃性和影响性,在这样的基本认知下,就需要从根本实际现状出发开展有效的安全防护工作以及相应的运维服务体系的完善和建设,以保障国家审计信息的整体安全性。
作者:薛拥华 邓冲 施泽寰 刘板浩 黄仙阳 单位:精诚瑞宝计算机系统有限公司
参考文献
[1]刘勇.审计信息化系统的研究与实践[D].四川大学,2006.