it审计论文10篇

it审计论文篇1

目前,现代企业经营越来越依赖信息系统,信息系统管理信息、处理业务以及存储大量的数据。也迫切需要对信息化管理现状进行全面的审计,以分析评估存在的问题,提出解决方案,完善IT风险控制,保障各信息系统的规范运作,降低信息化风险,提高业务运营的经济性和有效性。IT审计虽然区别于财务审计,运营审计等常规审计,但其审计方***仍不可能脱离常规审计所用的方***。也就是必须对审计目标,审计范围,审计计划等等均需进行清晰阐述,并在实施IT审计后,出具具有充分、适当的审计证据支持的IT审计报告。

一般来说,实现全面的IT审计,应当从审计对象的整个生命周期领域、审计对象及组织层次来开展。

一.IT审计范围

进行IT审计的对象包括但不限于以下领域:1.管理组织与制度;2.项目管理流程规范性 ,包括应用系统的开发、测试与上线管理;3.基础设施及运维管理;4.信息安全管理;

IT审计涉及的应用系统包括但不限于以下领域:1.生产系统;2.营销系统;3.办公自动化系统;

IT审计涉及的组织层次包括但不限于以下领域:1.高层决策者;2.中层管理者;3.技术部门员工;4.业务部门员工。

二.IT审计具体实施

ELC(entity level control)控制。关注客户在IT治理方面的相关组织架构是否合理,管理制度是不是健全,具体的审计程序就是获取客户的组织结构***,及一些比较虚的总纲类的书面管理制度如《IT管理制度》等等。

系统开发和变更。关注系统开发和系统后续变更实施中的控制,具体的审计程序首先就是获取系统开发及变更相关的管理制度,该文原载于中国社会科学院文献信息中心主办的《环球市场信息导报》杂志http://总第522期2013年第39期-----转载须注名来源如调阅《系统开发制度》《系统变更管理制度》,二是关注系统开发过程的合理性,如是否经过了需求提出、可行性研究、领导层审批,系统上线之前是否经过了充分的测试,获取一些内控痕迹和表单,如《××系统需求报告》、《××系统可行性报告》、《××系统立项审批单》、《××系统单元测试报告》、《××系统集成测试报告》、《××系统上线审批单》,《变更审批单》,采取抽样后穿行测试。

操作系统及数据库控制。关注操作系统和数据库的控制,如登录时密码控制强度、敏感操作的权限分配、日志的保存。

应用系统控制。关注应用系统控制的合理性。如银行使用的综合业务系统(有的叫核心业务系统)、国际结算系统、大小额系统、信贷管理系统等等,关注其安全配置和用户权限。

接口控制与信息安全。关注其数据准确性、完整性、以及组织级的网络管理的相关制度,如防火墙的架构,内外网分离程度等。

三.IT审计依据

IT审计依据的来源基本上业界都有很充分的理论依据以及最佳实践,以下IT控制标准、法律法规、行业最佳实践都可作为IT审计的依据。

IT标准、规范及最佳实践; 企业内控框架-COSO;IT治理-COBIT、ISO 38500;IT规划与架构设计-Zachman、TOGAF、FEA;IT应用系统开发与运维-软件开发规范、CMMI、ISO9126;IT基础设施生命周期管理-网络、主机、安全等设备管理规范;IT服务管理-ITIL、ISO20000;IT项目控制-PMP、Prince2、项目监理规范;信息安全管理-ISO27001、ISO27002;业务连续性计划-BS25999、ANSI/NFPA 1600;IT应用控制-输入控制、处理控制及输出控制;IT资源协同-EAI、SOA、共享中心等……

目前,信息系统的正常运行已经成为银行业务正常运营的最基本条件之一,信息科技在有力提升银行核心竞争力的同时,信息科技风险也愈发突出和集中,信息科技风险控制已成为银行业风险管理的重要内容,而IT审计作为银行业风险管理体系的重要组成部分,其重要性和必要性已经日益得到银行业管理层的关注。

IT与其他如财务审计等不同之处,主要在于审计框架是否全面。审计过程仍遵循常规审计步骤,包括审计策划、审计准备、审计对象调查、实施审计、审计发现复核及沟通、审计报告六大步骤。

it审计论文篇2

关键词:IT审计师 计算机审计 网络审计

一、引言

信息系统审计师,也称IT审计师或IS审计师,是指一批专家级人士,既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全,又熟悉管理的核心要义,能够利用规范和先进的审计技术,对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。IT审计师是由“国际信息系统审计与控制协会(ISACA)”认证的。ISACA是国际上惟一的信息系统审计师专业组织。会员被称为信息系统审计师,也就是我们通常所说的IT审计师,其主要从事的工作包括:向客户提供与信息系统相关的服务,在财务审计中对被审计单位的信息系统的了解、测试和评价以及计算机辅助审计技术的运用等方面。一般的IT审计师都具备全面的计算机软硬件知识,对网络和系统安全有独特的敏感性,并且对财会和单位内部控制有深刻的理解。

随着计算机技术在管理中的广泛运用,传统的控制、管理、检查和审计技术都受到巨大的挑战,国际公司、专业咨询公司和高级管理顾问都将控制风险,特别是控制计算机环境风险和信息系统运行风险作为管理咨询和服务的重点。几乎所有的大型跨国公司,由于普遍使用大型管理信息系统,都非常重视对信息系统安全性和稳定性的控制。这就常常需要高薪聘请国际信息系统审计师(简称IT审计师)进行内部审计。因此,IT审计师已经成为全球范围最抢手的高级人才之一。

二、IT审计师的出现迎合了计算机审计的发展

计算机审计的发展一般要经过绕过计算机审计,穿过、利用计算机审计,网络审计三个阶段。其中前两个阶段属于计算机桌面审计系统。绕过计算机审计是指将计算机处理系统看作是一个“黑箱”。根据被审对象对计算机数据处理系统输入的原始数据,通过手工操作,将处理结果于计算机处理系统的输出进行对比,检查其是否一致,属于计算机审计的初级阶段。穿过计算机审计是对计算机数据处理系统进行审计,包括系统目的与功能需求是否达到,系统与系统设计是否先进、和实用,程序设计是否正确可靠,内部控制是否健全、可靠,管理制度是否严密、有效,文件资料是否齐全、完整等。利用计算机审计是为实施审计专门开发计算机程序,检验被审单位电子计算机程序的可靠性。网络审计是指综合运用计算机网络及其相关技术手段对网络经济及网络系统进行审查的新型审计,是计算机桌面审计系统发展的高级阶段。

随着目前电子商务等网络经济的发展和完善,网络审计势在必行。网络审计的模式,从审计的客体角度方面,是建立在网络基础上,对被审单位一定时期内全部或部分经济活动,特别是正在发展中的电子商务、电子、网络财务、网络会计等进行审计的计算机系统。它包括两个方面:其一是对被审系统开发过程进行审计;其二是对被审系统运行过程及其结果进行审计。目前计算机审计的发展大多还处在只是对被审系统运行结果进行审计,或进一步对被审系统运行过程进行审计,这样的审计是建立在假定被审系统安全、可靠基础上的。而实际上这种假定是否合理,是应当予以验证的,这种验证也就是要对被审系统的安全性、稳定性、有效性进行审计、检查、评价和提出改造建议。而这也正是IT审计师的主要工作,并且这部分工作也是一直上溯到被审系统开发过程的。因此,IT审计师的出现正好迎合了网络审计模式的需要。IT审计师虽然主要源于信息系统安全而产生,其主要工作也含有较高的计算机技术因素,但就发展来看,IT审计师的出现迎合了计算机审机的发展趋势,昭示着计算机审计不久将随着电子商务、网络财务等的全面展开而逐步发展到网络审计阶段,未来的IT审计师们也将成为网络审计的“主力***”。从这个角度上讲,IT审计师也是计算机审计发展的必然产物。

三、IT审计师在网络审计的重要作用

计算机审计发展到网络审计后,计算机审计的主要将包括网络安全技术与内部控制系统的审计、系统开发审计、程序审计、数据文件审计等四个部分。通过分析可以发现,这四个部分的内容,不同程度地与IT审计师相关联,IT审计师在其中将起重要的作用。

(一)网络安全技术与内部控制系统的审计

从Internet诞生起,信息和网络的安全性就成为关注的一个焦点。在Internet发展的每一个阶段,安全问题也都是基础性的、关键性的因素。对于网络审计,其首先遇到的也是网络的安全性测试问题。与安全性相应的还有网络系统的内部控制的测试问题,网络系统的内部控制包括一般控制和应用控制两个方面。一般控制包括组织控制、软件开发、硬件和系统软件控制、系统安全控制、维护控制和文档控制等方面的审查与测试。应用控制包括输入控制、处理控制、输出控制。IT审计师的主要工作就是利用标准、规范和先进的审计技术,对信息系统的安全性、稳定性和有效性进行测试、检查、评价和改造。IT审计师首先关注信息系统的安全性,没有安全就没有一切,IT审计师会采用各种来测试系统的安全性,并对来自内部和外部的安全隐患提出相应对策;IT审计师还要审查信息系统的稳定性,没有长期稳定性,信息系统就无法承担起激烈竞争的压力,IT审计师会提出一系列对策保证客户信息系统的万无一失;IT审计师还要鉴别信息系统的有效性,最安全和最稳定的系统不一定是最有效的系统,而效率不高的系统就会消耗大量的资源,一般情况下,一说到信息系统建设,大家都觉得是工程师或程序员的事,事实上,这是非常错误的观点。一个好的系统,在安全和稳定的前提下,必须最大程度符合企业经营流程的特点,经济、有效地解决问题和提供信息。要做到这一点,信息系统开发和维护过程中,就必须有大量的经营管理人员参与, 设计出最优的信息流转路径。如果不重视信息系统的有效性,其危害同样是巨大的。一方面由于其繁琐和复杂,导致内部业务人员不会用、不想用或使用不当;另一方面使用过程中的差错又会导致稳定性和安全性方面的问题。显然,要对信息系统的安全、稳定和有效进行监控,就不单纯是某类技术人员能够完成的任务,经过专业训练,经验丰富的信息系统审计师将在这一领域发挥重要的作用。信息系统审计师的突出特点就是兼通技术和管理,能够利用规范的审计手段,比较客观和冷静地分析、评价企业现有信息系统的运行,并从专业的角度提出建议。

通过以上分析我们看到,IT审计师的工作中实际上已经包含了网络安全技术与内部控制审计的内容。进一步从IT审计师的服务对象分析,IT审计师主要是为以下几类对象服务:

软件供应商。特别是经济管理类的集成软件供应商,需要信息系统审计师参与产品设计、规划和检测,并对客户现有信息系统进行评价,提出改造设想。全球所有重要的ERP和CRM产品供应商都聘请大量信息系统审计师。

管理咨询机构。20世纪90年代以后,管理咨询的重点已经逐步为提供一揽子解决方案,其中信息系统的配置,就是解决方案成功的基础。国际知名的管理咨询机构中,有50%以上的员工熟悉信息技术,其中20%拥有信息系统审计师资格。

师审计师事务所,是信息系统审计师最早的落脚点,“五大”国际会计公司超过30%的收入来自于风险管理部门。这个部门的最主要工作就是监控客户的信息系统风险和运营风险,同时为客户提供ERP或CRM的安装、维护和培训。会计师审计师事务所中传统财务报表审计也越来越离不开信息系统审计师的贡献。没有他们的工作,评估内部控制风险和固有风险将成为一句空话。人们常常看到,“五大”会计公司里,最年轻的合伙人或经理,往往都是信息系统审计师,因为这是一项年轻人的工作。

跨国公司。作为信息系统最集中的用户,跨国公司急需大量信息系统审计师,一方面参与信息化建设的过程,另一方面时刻保持对分支机构的信息监控。还有一种最新迹象表明,跨国公司内部审计部门也在大量招聘信息系统审计师,以加强内部的监督和牵制。

大型国有企业和上市公司。这些机构往往有雄厚的财力来实现管理的信息化、保证生产经营的稳定性,他们对信息系统审计师的要求和跨国公司类似。

(二)系统开发审计

系统开发过程一般分为:系统初步调查和可行性、系统详细调查和系统、系统总体设计、系统详细设计、程序编制、程序调试、系统调试、系统转换、平行操作试验、系统评审、系统维护和评价等过程。系统开发审计是事前审计,实际上是审计人员参与系统的全过程。主要监督审查下列:(1)系统的功能是否恰当、完备,能否满足用户商务活动的需要;(2)系统的数据流程、处理是否符合有关商贸法规;(3)系统是否建立了恰当的程序控制,以防止或发现无意的差错或有意的舞弊;(4)系统是否保留充分的审计线索,保证了商务系统的可审性;(5)系统的安全保密措施和管理制度是否健全,能否保证系统安全可靠地运行;(6)系统的文档资料是否全面、完整。这部分和IT审计师的工作内容实际也是相适应的。因为IT审计师正是参与一个系统分析、设计和调试运行全过程的“保健医生”,并且IT审计师最关注系统的安全、稳定、有效。

(三)程序审计和数据文件审计

应用程序是信息系统的核心,其是否遵守国家财经法规和***策,对业务的处理是否合规、合法、正确等,均体现于应用程序。可以手工对应用程序直接进行审查,也可以使用机辅助方法,也可以通过数据在程序上的运行间接测试。电算化会计信息系统中,实质性测试的对象是数据文件。对数据库或数据文件的审计主要目的是为确保数据的完整性与正确性等。对数据文件的实质性测试包括:对各账户余额和发生额直接进行检查;对会计数据进行分析性复核,旨在对数据文件进行实质性测试;测试一般控制措施或应用控制的符合性。可以使用不处理数据文件的实质性测试方法、处理实际数据文件的实质性测试方法及处理虚拟数据文件的实质性测试方法。这两部分内容没有IT审计师的技术支持,一般审计人员也难胜其任。

四、结论

由上可知,审计业务发展至今,传统财务审计工作只是审计中一个特别小的组成部分。审计师最重要工作之一,是发现被审计单位最重大的风险隐患,在认定其持续经营的基础上,再对财务报表的真实、公允性发表审计意见。如果审计师认为被审计单位的信息系统是业务运转的平台,是风险高发区,那么对信息系统的安全、稳定和有效的评价就成为审计的基础和重点。当然,对信息系统的审计和对财务事项的审计,手段有所不同,但基本的程序和原理都是一样的。同时计算机审计的主要内容均和IT审计师有重要关联,IT审计师是开展计算机审计工作的重要推动力量。因此,我们在培养高级审计人才时,应注重IT审计师知识结构,在数学体系上增设以下内容:信息系统审计程序;信息系统的管理计划和组织;技术基础和操作实务;信息资产的保护;灾难恢复和业务持续计划;业务应用系统的开发、取得、实施和维护;业务过程的评价和风险管理等。

参考:

1.刘威,强清。关于计算机审计与IT审计师关系问题的探讨。财贸研究,2003(1)

it审计论文篇3

萨班斯法案从根本上改变了企业的经营环境和法律环境,其目的在于通过加强内部控制,来改进公司治理状况,并最终加强公司的责任。

当前it系统越来越多地对业务经营活动进行自动化处理,这就需要it提供必要数量的控制程序。因此,遵循萨班斯法案的程序需要包括基于it系统的控制程序。对大多数企业而言,it在建立与保持有效的财务报告内部控制方面将发挥重要作用。通过运用整合的erp系统,或综合运用各种经营管理、财务管理方面的软件,it系统将为有效的财务报告内部控制系统提供强有力的支持。

p***b第二号审计标准要求了解it在内部控制环境中的重要性。它特别指出:公司在其信息系统中运用信息技术的状况,影响着公司财务报告的内部控制。

目前我国四大电信运营商全部在美国上市,他们现在正在构建法案要求的内控系统,it内部控制系统构建及评审是无法绕过的工作。完善内控,特别是电信企业信息化水平很高、业务流程依赖于it流程的背景下,重视it内部控制,完善it内部控制十分迫切。本文讨论我国公司如何依据法案的要求在短时间内构建一套it内控系统, 并通过有效的it内控评价活动保证其持续健全有效, 以支持ceo 和cfo 的承诺进行初步探讨。

一、萨班斯法案的要求

世通公司造假案件和安然、安达信事件震惊了整个世界, 美国***府认为这是公司上下串通、内外勾结的严重结果, 所以法案对公司治理、内部控制及外部审计同时做出了严格的要求。明确规定要求建立***称职的审计委员会,管理层要负责内控系统的完善和落实,并对财务报告的真实性负刑事责任 .综观整个法案, 最主要的是对公司内控系统的要求, 主要体现在302条款和404 条款。法案对公司内控系统不但规定严格, 而且实施要求和指南也在相续出台, 如sec 于2003年6月5日根据法案的要求颁布了404条的细化条例, p***b于2004 年3月9日第2号审计准则, 对公司管理层提出了更明确的要求。

1、302条款的要求:

该条款要求由首席执行官和财务主管在内的企业管理层,对公司财务报告的内部控制按季度和年度就以下事项发表声明(予以证实):

对建立和维护与财务报告有关的内部控制负责。

设计了所需的内部控制,以保证这些官员能知道该公司及其并表子公司的所有重大信息,尤其是报告期内的重大信息;

与财务报告有关的内部控制的任何变更都已得到恰当的披露,这里的变更指最近一个会计季度已经产生,或者合理预期将对于财务报告有关的内部控制产生重大影响的变更。

在当前环境下,it系统驱动着财务报告流程。诸如erp之类的it系统紧密地贯穿于企业经济业务的开始、授权、记录、处理和报告一整套过程中。就其本身而言,it系统和整个财务报告流程也是紧密联系的,为了遵循萨班斯法案,也要对it内部控制的有效性予以评估。

为强调这一点,p***b第2号审计标准讨论了it以及it在测试内部控制设计合理性及运行有效性时的重要意义,并强调指出:[部分]

…内部控制,包括与财务报告中所有重要账户及披露内容相关的控制***策与程序,都应该予以测试。

一般而言,这样的控制包括it一般控制,以及其他控制所依赖的控制。

2、404条款管理要求

萨班斯法案的404条款要求,管理层在其年度文件中提供关于与财务报告有关的内部控制的年度评估报告。管理层的年度报告要求包括以下内容:

管理层有责任为企业建立和维护恰当的财务报告有关的内部控制。

识别管理层所采用的内部控制框架以便按要求评估公司与财务报告有关的内部控制的有效性。

对从一上个会计年度未以来,与财务报告有关的内部控制的有效性予以评估,其内容也包括有关与财务报告有关的内部控制是否有效的公开声明。

年度审计报告中,注册会计师事务所发表的财务审计报告,包括管理层对与财务报告有关的内部控制有效性评估的证明报告。

管理层关于公司针对财务报告内部控制有效性评估的书面结论,应包含在其对财务报告内部控制的报告和其对审计师的信函中。这一书面结论可采取多种形式,但是管理层对公司面向财务报告的内部控制的有效性必须发表直接意见

如果与财务报告有关的内部控制中有一个或多个重要缺陷,管理层将不能对财务报告的内部控制有效性做出评估结论,而且,管理层应该披露自最近一个会计年度未以来财务报告内部控制方面的所有重要缺陷。

面向财务报告的内部控制在这一会计期间可能存在一个或多个重要缺陷,但管理层仍可能会报告“从最近一个会计年度未起(上个会计年度未起),与财务报告有关的内部控制是有效的”。如果要做出这样的结论,管理层必须在评估日前已经改进了内部控制,消除了已有的缺陷,并在运行和测试其有效性后得到了满意的结果,测试的时间足以让管理层认为,从本会计年度起,与财务报告有关的内部控制设计合理、运行有效。

审计师需要合理地确定管理层的认定目标或审计目的(从而依此来收集审计证据),以支持管理层对内部控制有效性的评估结论。通过对审计师在这一过程中所应遵循程序的描述,p***b第二号审计标准接着指出:

公司在对财务报告做出确认时需要借助于企业的it系统。为了识别管理层对财务报告所作的相关认定,审计师应考虑每个重要账户潜在错报、漏报产生的原因。在决定一个认定是否与某一重要账户余额或其披露相关时,审计师应该评价it系统的性质、复杂程度以及企业it的使用状况。

p***b第2号审计标准还专门讲述了it在期末财务报告中运用,它指出:…要了解期末财务报告的提供过程,审计师就应在每一会计期末评估it在该过程中的应用范围。………[部分]

因此所有企业构建it内部控制至少都应具备以下三层通用要素:企业管理层,业务流程和共享服务。

二、我国电信运营企业面临的挑战

由于电信企业的信息化水平比较高,业务对it的依赖程度也比较高。因此依照萨班斯法案要求,完善与财务报告有关的内部控制时,电信企业的内部控制几乎离不开it,即使业务控制也是在it支持环境下的控制。因此,电信企业完善内部控制几乎可以说是完善it内部控制,包括it一般控制和it应用控制。但我们的现状不容乐观。

1. it专业人士,尤其是管理层,缺乏内部控制理论与实践来满足萨班斯法案的要求。

法案的要求使很多人认为,it专业人士应该对其负责的it系统所产生的信息质量及完整性负责,但问题在于,大多数it专业人士对复杂的内部控制并不精通或了解,难负其责。尽管这并不说明it人员没有参与风险管理,但至少it管理层没有按照组织管理层或审计师所要求的形式进行正式的、规范化的风险管理。 p***b指出首席信息官(cio)们现在必须面对以下的挑战:(1)增强他们有关内部控制方面的知识;(2)理解企业所制定的总的sox遵循计划;(3)专门针对it控制拟定一个遵循执行计划;(4)把这个计划与总体的sox遵循计划相整合。

2 缺乏系统的内部控制制度

事实上,每个电信企业都或多或少会都有一些it内部控制制度,正是由于第一点原因,这些制度基本是由技术管理者制定,他们缺乏规范化风险管理的经验,这些it控制制度可能不太规范,控制***策程序不太完善, it控制制度一般存在于系统安全和变更管理等一些一般控制领域,缺乏从公司透明度角度出发的、结合支持业务流程的完整的内部控制制度。所以这也是在国内企业在符合萨班斯法案的道路上,问题最多的领域。

3.现有的it内部控制不具有可审计性

it审计论文篇4

一、引言

IT审计(Information Technology Audit)是信息技术应用于审计实务产生的新概念,人们对IT审计的理解是逐步深入的。我国国家审计中相对于IT审计的提法一般为计算机审计,自上世纪80年代以来的探索和实践过程中,也先后出现过会计电算化审计、计算机辅助审计、计算机数据审计、信息系统审计等诸多与IT审计相关的称谓,国外则有EDPA、CAA、ISA、ICTA等各种提法。笔者认为,结合我国国家审计的职能和特点,IT审计可以定义为利用信息技术组织开展的审计。这一提法可以较为全面、准确地定义信息技术在国家审计实务中的应用,同时也是世界审计组织(INTOSAI)及其IT审计工作组各成员国最高审计机关普遍认可和采用的提法。

由于各国国家审计机关在IT审计的定位和侧重等方面存在差异,其组织形式和实施模式也不尽相同。世界审计组织(INTOSAI)认为IT审计是通过获得和评估证据,确定IT系统是否保护了组织的资产,有效率地使用资源,维持数据的安全性和一致性,以及有效地达到组织的业务目标的过程,这一定位得到了各国最高审计机关的普遍认同;国际信息系统审计与控制协会(ISACA)建立了普遍适用的信息系统审计标准、指南和流程,所的COBIT已经成为国际上公认最先进、最权威的信息技术控制框架;美国审计署(GAO)将信息系统审计作为IT审计的重点,在20__年2月的《联邦***府信息系统控制审计手册》中将信息系统审计的实施分为一般控制审计和应用控制审计两个部分;英国审计署(NAO)侧重于***府IT项目绩效审计,在20__年2月的绩效审计报告中对过去十年来信息技术在***府工作中发挥的作用、面临的挑战和发展的方向进行了系统总结。

二、我国现行国家IT审计架构及缺陷

随着信息技术在社会经济生活各个方面的广泛运用,为适应信息化环境的变化,我国国家IT审计从上世纪80年代末开始起步,从无到有、从单机到网络、从探索研究到逐渐普及,在多年的发展中逐步形成了一套具有本国特色的IT审计架构和工作模式。

(一)现行国家IT审计架构。

在法理基础方面,审计法明确规定了审计机关有权要求被审计单位提供计算机储存和处理的财***、财务收支电子数据以及必要的技术文档,有权检查被审计单位的信息系统;《国家审计准则》也根据信息技术环境下开展审计工作的特殊性作出了一些特别规定,在编制年度审计项目计划和审计实施方案,实施审计检查、获取审计证据,作出审计结论、出具审计报告等环节表现出鲜明的关注信息系统、突出信息技术的特色。

在组织结构方面,以审计署为例,已经形成计算机技术中心负责组织协调和指导管理全国审计系统的信息化建设的格局,各审计业务部门负责结合审计项目开展电子数据审计。计算机技术中心不仅要配合业务部门开展计算机审计业务,同时还要承担建设、开发、推广和维护审计信息系统,以及编制IT审计规范和组织IT培训考试等各项工作。

在工作模式方面,随着现场审计实施系统(AO)和审计管理系统(OA)的全面应用,国家IT审计逐步迈入一个新的发展阶段,初步形成了利用信息技术开展大型项目组织管理,运用审计软件实施现场审计,积极探索联网审计和信息系统审计,逐步推进审计数据资源建设的IT审计模式,审计信息化水平不断提高。

(二)国家IT审计中存在的问题。

由于组织结构和工作模式还不能完全适应工作需求,与充分发挥审计保障国家经济社会健康运行“免***系统”功能的要求相比,我国国家IT审计还存在以下不足:

1.审计业务与IT技术的结合不够紧密。

虽然计算机审计培训已开展多年,计算机审计技术也已在国家审计的各个行业、领域得到推广应用,但仍然较为普遍地存在审计业务部门过于依赖IT部门技术支持的现象,粉饰和包装计算机审计成果的情况也屡见不鲜。在审计项目中原本应由审计业务部门主导和实施的常规计算机审计工作往往过多地需要借助IT技术人员的参与,不仅不利于各行业、领域中审计业务与计算机技术的紧密结合,而且较易形成审计业务与计算机技术“两张皮”,阻碍了计算机审计技术在审计实务中的进一步深入应用。

2. IT审计部门的职能定位不够清晰。

与部分其他国家审计机关比较,目前我国审计机关还没有纯粹意义上的IT审计部门,IT部门的职能定位较为模糊。一般来说,审计机关设立的计算机技术中心、计算机审计处、信息中心等部门同时承担了电子数据审计、信息系统审计、日常维护和技术支持等多项职能,凡是与信息技术相关的职能均由IT部门负责,因此不仅需要承担大量系统开发、维护和管理工作,还要投入精力开展计算机审计业务,IT业务需求与人力资源矛盾突出。同时,IT部门往往没有真正作为审计业务部门进行管理,在***开展信息系统审计和IT绩效审计项目方面存在障碍,处于较为尴尬的局面。

3.信息系统审计和IT绩效审计起步较晚。

由于信息化程度的差别,美国、英国等国家广泛开展的信息系统审计和IT绩效审计在我国尚处于探索阶段。一是信息系统审计还没有成熟有效的组织方式和审计标准,同时由于掌握核心技术的IT公司为保持其垄断地位不会轻易公开其核心技术,审计人员对商业 银行、大型国企等单位所使用信息系统难以了解透彻;二是对IT项目投资的审计还仅仅停留在资金审计的层面,IT项目绩效尚未开始作为一个单独的审计类别进入国家审计的范围,也没有形成系统、科学的***府IT项目绩效评价指标体系。

三、国家IT审计架构探析

IT审计的职能来源于审计工作的实际需求。国家审计机关的法定职责是监督被审计单位财***、财务收支以及有关经济活动的真实性、合法性、效益性,保障国家经济和社会健康发展的工作目标。为了适应信息化环境下国家审计履行法定职责的需要,应当构建国家IT审计的体系架构。

(一)国家IT审计架构需求分析。

前述定义,IT审计是利用信息技术组织开展的审计。一方面,利用信息技术对以电子数据为载体的财***财务收支和相关经济活动的真实性、合法性、效益性进行审计监督;另一方面,需要对记录、处理和产生电子数据的信息系统内部控制进行检查,以确保电子数据的真实、完整和可靠。于是,总体来说IT审计架构可以划分为两大类,即:利用信息技术对记载财***财务收支和相关经济活动的电子数据的审计和利用信息技术对产生电子数据的信息系统内部控制的审计。

从国家审计履行法定职责的角度看,可先组织信息系统审计,检查信息系统内部控制对产生电子数据的真实、完整和可靠性的影响;再组织电子数据审计,检查财***财务收支和相关经济活动的真实性、合法性、效益性。通常情况下,也可交叉组织实施。

1.信息系统审计。

通常情况下,信息系统审计是实施电子数据审计的必要准备,属于结合电子数据审计的信息系统审计。但对于电子***务工程建设项目、企业ERP建设项目的审计,需要对项目建设的信息系统的规划、设计、研发、实施、运行、维护等全过程,对信息系统的应用系统、信息资源、网络系统、安全系统、运行服务系统等各组成部分,进行全面审查。此时的信息系统审计并不结合电子数据审计,属于***的信息系统审计。因此,信息系统审计可划分为结合式和***式两种方式。

结合式的信息系统审计,其目标是检查信息系统内部控制对产生电子数据的数据风险,测评信息系统对数据的真实性、完整性和正确性的影响。由于数据式审计的运用一定是在信息化环境下,如同在纸质环境下一样,系统内部控制的合理性、健全性和有效性直接影响着数据的真实性、完整性和正确性。因此,为了控制数据风险,保障审计目标的实现,审计人员应该首先要对信息系统的内部控制进行调查、测试和评价。

***式的信息系统审计,其目标是检查项目建设的信息系统的安全性、可靠性和经济性。据有关统计数据,20__年我国***府行业IT应用建设投资总规模达707.5亿元,同比增长14.2%,相当于奥运全部场馆建设的3.6倍,超过三峡工程15年投入的三分之一。历年***府IT项目建设投入巨额资金后,是否存在重复建设、绩效低下的情况,以及电子***务建设在提高***府行***效能和公众服务能力方面的效果如何都亟待评估。因此,除了一般意义上对被审计单位的信息系统的安全、可靠、有效和效率等进行审计之外,对信息系统和IT项目的经济性和投资绩效也应纳入***式信息系统审计的范畴。

2.电子数据审计。

电子数据审计是以系统内部控制测评为基础,通过对电子数据的收集、转换、整理、分析和验证,对信息系统产生的电子数据及其他相关数据所记载的经济业务的真实、合法和效益进行审计。审计人员利用信息技术对被审计单位的财务数据及其他相关数据进行检查是审计机关的一项重要职责,电子数据审计的审计目标和审计范围与传统手工审计是基本一致的,只是审计的对象、方法和技术发生了变化,主要是审计机关和被审计单位双方都利用计算机作为作业工具,即一方用计算机记录财务会计核算和经营管理数据,另一方用计算机进行审计。

电子数据审计作为传统手工审计在信息化环境下的自然演化,是目前使用最多、应用最广的IT审计形式。近年来,我国各级审计机关总结审计经验,组织开发了以现场审计实施系统(AO)为代表的一批审计软件,并注重在实践中予以修改完善。审计软件的广泛应用,改进了审计手段,提高了审计效率,加强了审计工作在信息化环境下的适应能力。

另外,作为“金审工程”重要建设成果的国家审计信息系统(GAIS)已经初具规模,随着现场审计实施系统(AO)、审计管理系统(OA)、审计数据中心、网络系统和安全系统等应用的不断深化,对审计机关所属机房、网络、网站和信息系统等基础设施的建设、运行与维护,以及为审计业务和审计管理工作提供技术支持提出了更高的要求。

(二)建立适应国家审计需求的IT审计架构。

结合我国国家IT审计的实际需求,审计机关应该具备相应的组织结构,形成有效的IT审计模式开展工作。

1.开展信息系统审计的IT架构。

无论是结合式还是***式的信息系统审计,其审计对象是信息系统本身。信息系统审计的重点是检查信息系统对其产生数据的影响,或是信息系统自身的安全性、可靠性和经济性。结合式的信息系统审计,需要对信息系统承载的业务流、数据流的技术设计和技术路径,对数据的输入、处理和输出的内部控制和安全防护等进行检查,以测评系统内控对数据影响的风险; ***式的信息系统审计,需要对信息系统的应用系统、信息资源、网络系统、安全系统、运行服务系统等各组成部分进行检查,以测评信息系统的安全性、可靠性和经济性。由于信息系统审计的特殊要求,需要具有一定IT审计知识和技能的IT审计部门进行检查测评。

由于结合式的信息系统审计需要对信息系统承载的业务流、数据流进行检查,对数据输入、处理和输出的业务流程进行检查,即便***式的信息系统审计也要检查项目建设的业务目标和项目投资的经济性问题,需要审计业务部门的配合和支持。因此,信息系统审计的IT架构,需要IT审计部门和审计业务部门的共同合作。通常情况下,应该以IT审计部门为主,以审计业务部门为辅。

2.开展电子数据审计的IT架构。

电子数据审计的应用范围较为广泛,核心是通过分析被审计单位财务数据和其他相关数据并取得审计证据的技术。电子数据审计的重点应该是运用计算机技术对电子数据进行分析性复核、比较和抽样,无论是现场审计还是远程审计,无论是单机模式还是联网模式,无论是简单的比较分析还是相对复杂的数据仓库技术,无论是国内的AO还是国际上普遍使用的ACL、IDEA审计软件,共同点都是利用间接测试并从关系模型中得出审计证据。

运用计算机技术进行审计为查错纠弊带来了极大便利,很容易实现对某一类数据的查询和筛选,使手工审计条件下无法做到的详细审查成为可能,同时财务数据和业务数据的结合更便于发现被审计单位管理和经营方面的漏洞和舞弊行为。由于审计对象、环境、方法和技术的变化,一方面需要审计业务部门在掌握和运用各类审计业务的知识、技能的同时,也要掌握和运用计算机审计的知识和技能;另一方面,复杂业务的计算机审计处理依赖于信息技术的审计组织模式和管理模式的运用,需要IT审计部门的配合和支持。因此,电子数据审计的IT架构,需要审计业务部门和IT审计部门的共同合作。通常情况下,应该以审计业务部门为主,以IT审计 部门为辅。

四、进一步完善国家IT审计架构的几点建议

我国国家审计信息化建设正处于发展阶段,与先进国家的发展水平相比,IT审计架构还不够完善,审计理念还不够先进,在很多方面都需要借鉴国外的经验。但借鉴并不是原样照搬和全盘接受,而是应该根据自身的特点,对他国的先进经验进行批判地吸收。着眼于国家审计作为保障国家经济社会健康运行“免***系统”的特殊定位,同时结合国家IT审计的现实情况和发展方向,国家IT审计架构应该根据工作需求进一步加以完善。

(一)逐步实现审计模式的转变。

随着计算机技术在审计实务中的广泛运用,国家审计环境、对象和方法的变化导致原有的审计模式已不再适应发展的要求,国家审计正在原有的基础上不断完善,逐步向高效率、高质量的方向发展。未来信息化审计模式的实现在很大程度上需要依赖信息技术,其与传统审计模式相比有如下特征:其一,它是一种以电子数据作为直接审计对象的数据式审计模式;其二,具有不间断性、循环性和实时性,这意味着审计活动将在一个更连续、更频繁和更及时的基础上实施;其三,可以经济地实现详细测试,在信息化环境下利用技术自动执行控制测试和风险评估的方法使得进行连续性测试成为可能。在这种情况下,计算机技术势必与传统审计的技术和方法高度融合,以计算机技术作为支撑的审计业务处理能力大大提高,信息化环境下审计模式的转变将是IT审计未来发展的必然趋势。

(二)逐步实现IT审计的专业化。

在IT审计部门的机构设置和职能定位方面,以美国审计署为例,不仅有专门的信息技术局开展信息系统审计业务,而且还有专门的信息系统与技术服务部门保障内部信息系统的运转,另外还设有技术工程和信息安全实验中心负责改善信息技术和促进软件工程现代化,评估联邦***府计算机系统的安全性。我国国家审计也应当根据实际需求进一步调整IT部门的职能定位,结合审计机关内设机构细分电子数据审计、信息系统审计、技术支持与服务等不同的机构和职能,进而逐步实现IT审计的专业化。

it审计论文篇5

[论文摘要]现代风险导向审计是以被审单位的经营风险为出发点,将“发现的风险因素同认定层次可能发生的错误相联系”是审计风险判断的关键。但传统的审计方法并未明确指明如何将两者相联系,也并未考虑it带来的影响。在it环境下,审计风险判断应以流程(包括业务流程和it流程)为中间环节,建立基于流程的审计风险判断方法。

现代风险导向审计以被审单位的经营风险为出发点,相关的风险评估结果是评估财务报表层次和认定层次重大错报风险的基础。审计风险虽源于重大错报风险,但审计人员最终都要通过对报表各项目的审计发表财务报表审计意见,因此风险评估必须与各类交易、账户余额、列报的认定相联系。将“发现的风险因素同认定层次可能发生的错误相联系”是审计风险判断的关键。但传统的审计方法并未明确指明如何将两者相联系,而且也未关注it环境下如何将风险因素与认定层次可能发生的错误相联系。在it环境下,业务流程及其支持流程——it流程,都是链接风险因素和认定层次可能发生错报的中间环节。在高度自动化的企业环境下,审计证据的证明力依赖于it相关风险的控制情况。因此,有必要改进it环境下的审计风险判断方法。在it环境下,审计风险判断应以流程(包括业务流程和it流程)为中间环节,建立基于流程的审计风险判断方法。

一、流程对审计风险判断具有重要意义

流程的概念很多,iso/iec 9000将之定义为一组将输入转化为输出的相互关联或相互作用的活动。企业由流程构成,kaplan(2001)将企业定义为是一系列相互关联的活动或流程的集合,或是一个价值链。在it环境下,流程可理解为“角色加活动”,即将流程描述为一个为实现特殊目的而合作且互相影响的角色的集合。早期人们对企业流程的理解大多局限于传统的业务领域;当it逐渐与业务融合,并成为企业所有经营活动的驱动引擎时,流程的范围开始拓展,此时的it流程与业务流程需要实现动态整合,即it活动被看作是业务,并执行与业务相同的管理方式。因此,it环境下的企业业务流程应该是广义的,同时包含it流程和业务流程。美国公众公司会计监督委员会的第5号审计准则就指出,作为理解重大流程的一部份,审计师应理解it如何影响公司的交易流程。

有些大的会计公司为了强调经营风险的审计方法,修改它们的审计辅助软件,以围绕业务流程组织审计证据,而不是按照传统的交易循环组织证据。关注业务流程的审计软件系统(business-process-focused,bpf)通过价值链组织被审单位的信息;而传统的关注交易循环的审计软件系统(transaction-circle-focused,tcf)是按照交易分类组织被审单位的信息。o’donnell e和jr joseph j schultz(2003)的研究结果表明使用bpf软件的审计人员能识别出更多的风险情形,并将风险估计在恰当的水平;而使用tcf软件的审计人员对风险的识别和估计都较差。因此他们认为不同的信息组织形式会影响审计人员的决策判断。造成这种结果的原因在于业务流程关注事件之间的关联性,它通过情景引导记忆;而传统的交易循环关注的是交易分类,它通过语义引导记忆。因此,关注业务流程可降低任务的复杂性和认知难度。随后其他的研究人员也发现围绕业务流程开展内部控制的评估任务更为有效。

二、it环境下基于流程的审计风险判断方法

为了协助审计人员运用自上而下的风险导向审计方法,国际审计和鉴证准则委员会于2005年制定了“在整个审计

过程中运用职业判断对重大错报风险进行更准确评估的框架和模型”。具体步骤如下:(1)了解企业及其环境(包括内部控制),识别风险,并在报表层次考虑交易性质、账户余额、披露;(2)将发现的风险与认定层次可能发生的错误与舞弊相联系;(3)考虑风险的重要性;(4)考虑风险的发生概率。这个风险判断思路也同样适用于it环境。因此借鉴自上而下的审计方法,将流程作为it风险判断的中间环节,改进了的it环境下的审计风险判断方法具体实施步骤如下:

1.了解企业及其环境(包括内部控制)。我国2006出台的《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》列举了影响重大错报风险的因素:行业状况、监管环境以及其他外部因素,企业性质,目标和性质以及相关的经营风险,财务业绩的衡量和评级,内部控制。在it环境下,识别和评价企业层面的风险和风险控制的有效性时,需特别考虑:(1)it利益群体的风险及对it利益群体控制的有效性,如it治理;(2)企业层面的it控制,如与it相关的控制环境、风险评估、信息与沟通、监控、教育和培训等方面。

2.确定财务报告流程的核心要素。根据企业层面的风险评估结果识别重大账户、重要披露及与之相关联的认定。

3.识别关键业务流程。审计人员首先要识别与上述重大账户、重要披露、认定相关联的关键流程及流程所包括的主要交易,同时识别流程中易发生错误和舞弊的关键点(控制点)。为了判断业务流程能否实时预防或检测错误和舞弊,审计人员要识别出需要被测试的控制点,由于业务流程大多基于it,因此要确定这些控制点哪些是依赖it的,然后识别并证实关键的it功能。

4.确定与it功能相对应的应用系统的范围。详细列出与这些it功能相关的应用系统和与之关联的子系统,包括交易应用系统和支持性应用系统。交易应用系统在处理组织内的数据时通常提供以下功能:(1)通过借贷关系记录交易的价值数据;(2)作为财务、经营和法规数据存放的仓库;(3)能够生成各种财务和管理报告,包括销售订单、客户发票、供应商发票以及日记账的处理。支持性应用系统并不参与交易的处理,但方便了业务活动的进行,如email程序、传真软件、设计软件等。

然后it审计人员与财务审计人员合作,从列示的子系统中识别出支持授权、复杂计算、维护重要账户(如存货、固定资产、贷款等)的完整性的重要应用系统。应用系统是否重要,需要考虑:交易量(交易量越多,应用系统越关键)、交易金额(金额越大,应用系统越关键)、运算的复杂性(运算越复杂,应用系统越关键)、数据和交易的敏感度(敏感度越大,应用系统越关键)。为应用系统提供it服务,或者支持应用系统关键环节的it一般流程即为需要进行it一般控制测试的范围。

5.识别管理和驱动这些重大应用系统的it流程。识别所有支持这些应用系统的基础设施,包括数据库、服务器、操作系统、网络,以及与之相关联的it流程。判断这些it流程的风险和相关的控制目标。识别出需要被测试的it一般控制,进而判断其是否符合控制目标。控制测试结果将影响与之相关的it应用控制的评价、业务流程的风险评价。对这些流程和系统进行风险和控制评估后,就可以制定风险控制矩阵。

6.评价it控制、分析业务流程风险。结合对it一般控制的评估结果和对业务流程中it应用控制的评估结果,就可以分析关键业务流程的it风险控制情况。此时的it控制测试和人工控制测试要结合起来予以考虑,即将二者作为一个整体的测试对象。业务流程的风险是与业务流程所关联的一系列交易活动、账户群的余额、列报(包括披露)认定层次重大错报风险相联系的,因此,业务流程风险的评价结果构成了认定层次重大错报风险评估的直接基础。

7.评估电子证据证明力、设计实质性测试程序。审计人员可根据上述步骤的风险评估结果判断某一业务流程的电子审计证据的证明力并设计与业务流程有关的账户群的实质性测试程序。

通过上述7个步骤,审计人员可以将it环境下的企业风险因素与报表层次和认定层次的重大错报风险相链接,同时也为电子审计证据证明力(即检查风险的判断)提供了依据。

参考文献:

it审计论文篇6

【关键词】卷烟生产企业 IT服务管理 最佳实践

【中***分类号】TP39 【文献标识码】A 【文章编号】1672-5158(2012)11-0103-03

[正文]

一、卷烟生产企业IT服务管理面临的实际困难

面对具有超大规模、高端品牌的国际卷烟全面进入中国的激烈竞争,中国卷烟生产企业在国家,总局“做大做强”“大市场、大企业、大品”“淘汰小品牌、落后产能”的战略指导下,中国超级卷烟生产企业正在逐步形成,而稳定可靠、高品质的信息化服务管理保障正是快速发展和壮大成为世界一流卷烟生产集团企业的关键。广东中烟工业有限责任公司(以下简称广东中烟工业)的“双喜”品牌是国家烟草总局“532”战略规划中的国家重点烟草品牌,在2011年产量已达300万箱,收X600亿,2012年更是预计发展到500万箱,1000亿收入,达到国际知名烟草集团规模。

正是在此重大历史机遇和挑战的背景下,广东中烟工业在最近几年高速发展中为了满足企业生产经营的实际需要投入过亿的资金先后建设了集团IDC、MES、OA、门户、人力资源、SAP ERP、一号工程等一系列信息化大型项目,但在实际IT系统运行保障中不断暴露出以下实际困难:

1、现有质量管理体系不能适应强信息化支撑的现代化工业生产烟草企业

原有的企业质量管理体系没有过多考虑信息化业务的特性,已不能适应强信息化支撑的现代化工业生产企业,缺乏与现代化工业制造企业发展配套的、有效执行落地的IT服务管理质量体系来指导和管理日常IT服务运营工作,严重滞后了广东中烟工业的发展脚步。

2、不稳定的信息化运营质量和运营风险严重限制了烟草业务规模的扩大

现代化卷烟生产企业越来越严重依赖IT系统的正常运行,特别是核心IT系统的运行故障给企业带来灾难性的影响,原有粗放式的IT管理导致信息化系统服务运营如履薄冰,不稳定的信息化运营质量和运营风险严重限制了业务规模的扩大。

3、日益增长的IT运营服务成本已成为烟草企业沉重的包袱和管理黑洞

随着企业投入到信息化建设规模越来越大,企业IT部门疲于应对烽烟四起的信息化应用需求和故障,只能不断投入更多资源来四处救火补漏,导致后续的IT运营服务成本越来越高,成为卷烟企业沉重的包袱和管理黑洞。

4、现有企业信息化管理规范与实际业务流程和需求脱节导致执行效率低下

现有企业信息化管理规范没有按照业务流程的思想设计,流于文字形式,过于空洞繁琐,不能切合实际业务流程和需求,更无法量化测量和持续改进,导致企业信息化管理规范执行效率不高甚至无法执行。

广东中烟工业企业持续高速发展急需要IT服务运行保障的标准化、规范化,信息化部门要能够为企业提供稳定、可靠和高品质IT服务运营,并能不断持续优化改进,降低IT运营成本和风险。作者作为项目负责人组织实施了以广东中烟生产二部为试点的广东中烟工业IT服务管理体系建设项目,通过本文详细分享广东中烟工业IT服务管理的最佳实践。

二、参考借鉴的国际标准

广东中烟工业各级领导和信息中心领导高度重视企业IT月艮务管理体系建设,提出信息化要为工业化服务,为企业百年大计提出了广东中烟IT服务管理体系要与国际接轨,结合企业实际业务需求借鉴国际标准和最佳实践,向世界一流烟草企业学习借鉴并持续改进超越的目标。本文作者和项目团队一起在广东中烟以生产二部为试点建立自身IT服务管理体系工作中主要借鉴了ITIL和ISO/IEC 20000国际上认可的IT服务管理最佳实践和标准体系。

(一)ITIL(国际IT服务管理最佳实践)

IT服务管理是一种以流程为导向、以客户为中心的方法,它通过整合IT服务与组织的业务,提高IT服务提供和服务支持能力和水平。目前,业界有许多IT服务管理相关的框架、规范、标准和实践参考等,其中ITIL是目前全球运用范围最广的IT月艮务管理方法和最佳实践参考。

ITIL(信息技术基础设施库,Information Technology Infrastmcture Library)是目前全球运用范围最广的IT服务管理方法。ITIL从流程、人员和技术三方面来规划企业的IT管理,强调通过这三方面的密切协同工作,形成IT组织一套专业化的综合能力,并在此基础上将IT服务的提供与企业的运营目标、需求高度协调一致。ITIL V1自20世纪80年代由CCTA(英国中央计算机与通讯局)的实践开发推出以来,已经历了两次的更新。其中,ITIL V2更新于自20世纪90年代末,由OGC(英国***府商务办公室)推出后,获得了很多大企业的一致认可,并在世界范围内得到了广泛推广。IT管理领域的重要标准,如英国国家标准BS 15000以及国际标准ISO/IEC 20000都是以ITIL V2为核心2007年5月30日,OGC正式颁布TITIL V3。

ITIL v3把IT上升到企业战略资产高度。ITIL V3的核心架构基于服务生命周期,它以服务战略作为总纲,通过服务设计、服务交付和服务运营加以实施,并借助持续服务改进不断完善整个过程。

服务战略(Service Strategy)是服务生命周期的核心,明确将服务管理作为战略性财富,并指导如何定义服务和服务战略,明确服务的价值以及服务管理与业务之间的关系。

服务设计(service Design)、服务转换(service Transition)和服务运营(service Operation)是服务的实施阶段。其中,服务设计明确了服务设计的目标和要素、服务设计的模型、成本模型、效益和风险分析,以及如何实施服务设计并对服务设计进行测量和控制;服务转换主要为如何管理组织和文化的变更提供指南,以及如何使用合适的方法、工具建立完整的知识管理体系;服务运营重点为如何实施应用、变更、运营等管理提供指导。

3、推广和试运行阶段

在管理流程和体系建立完成后,通过培训和宣传方式在公司内部推广新的IT服务管理体系,并在运行过程中收集数据和事件;同时,对公司内审人员进行培训,内审人员在咨询顾问的指导下,对试运行阶段的体系流程进行两阶段的内部审计,修正审计中发现的问题。

4、审计阶段

信息部门配合内部审计部门定期开展体系运行质量评审,在评审过程中针对管理体系执行中发现的问题和缺失进行改善。

5、持续改进阶段

定期对项目实施情况开展Qc专项活动,进行再评估和持续改善,进行追踪评审。

(二)IT服务管理体系建设中的有效措施

在广东中烟工业IT服务管理体系建设过程中,为保障项目的成功和质量,我们采取了以下有效措施:

1、前期做好项目规划和论证

前期开展了认真细致的项目规划和认证工作,充分认证了项目的必要性和收益,得到了公司高层领导和信息部门领导的高度重视和支持。

2、专业咨询公司提供有力支持

项目的成功得益于我们选择了专业顾问咨询公司提供IT服务管理体系建设的专业经验和全程支持,减少了项目的弯路和探索时间;

3、根据业务实际需求建立流程体系

流程体系的建设建立在对公司现有业务的充分调研和理解的前提下,确保所设计的流程体系和数据分类定义规划量身定做符合公司的业务发展需求,同时所设计的流程体系全程由各业务部门和信息部门项目成员全员参与设计、论证和编写,确保流程体系得到所有干系人的一致共识。

4、因地制宜采用体系融合实施方法

IT服务管理体系的建立也要符合公司的IS09000整体质量管理体系,我们采用了体系融合的实施方***,确保IT服务管理体系既兼顾了信息化业务和信息部门的个性化需求,又完全融入到了公司整体质量管理体系中。

(1)精准定义流程及测量指标

定义了详细的流程数据规划和测量指标,确保流程数据收集和测量的可行性、有效性和标准化。

(三)IT服务管理体系执行落地的有效措施

通常管理体系最难的阶段都是落实执行,一方面是员工前期没有很好参与不认同的管理体系;还有就是组织刚开始有点热度,热情一过,一切照旧烟消云散。得益于我们前期在管理体系建设过程让各业务部门代表充分参与需求调研和体系规划讨论,信息部门的全体员工更是全程积极参与体系规划和建设,本项目我们有非常好的共识基础和管理变革的铺垫,同时我们在IT服务管理体系落地执行过程中,还采取了以下有效措施:

1、对信息部门全体员工开展多次的IT服务管理体系的理念导入和规范培训,并要求所有信息部门员工必须通过的IT服务管理体系书面测试考试。

2、选择实施了优秀的基于工作流技术的专业IT服务管理软件系统(越维OMS系统)对我们所设计的流程体系进行固化和信息化,使得我们开展IT服务质量管理流程所需要的数据和报表能够高效的被及时统计、展示和得以分析;

3、强调信息化部门定期(试运行期间每周一次,正式运行每月一次)开展管理体系QC优化与持续改进活动,并与内部审计部门合作定期(每季度一次)开展管理体系的执行合规审计工作;

4、对坚决执行IT服务管理体系,取得流程绩效优秀及持续改进成果的信息部门员工和团队提供相应的荣誉和奖励。

(四)IT服务管理体系建设实施成果

信息化工作重心由建设到运营是卷烟生产企业上规模发展的必经之路:按照《广东中烟信息化规划》计划安排以及国家局信息化有关工作要求,建设基于ITIL最佳实践、IS020000准理念的广东中烟工业IT服务管理体系是信息化工作部门今年主要成果之一。广东中烟工业IT服务管理体系作为信息化部门日常业务运作的支撑体系,实现了企业战略与IT战略的互动,并形成持续改进的良性循环机制,它的实施大大提升了信息化日常各项运维和基础工作的效率及管理水平,实现信息化管理的创新,应用系统的可靠性达到了99.7%的高可用性指标,信息系统风险得到了有效的识别和控制,信息化运营成本得到了有效的控制和优化,使广东中烟工业信息化管理水平迈上一个新的台阶。

it审计论文篇7

内容摘要:本文详细介绍了电信行业的信息技术一般性控制的内容。首先介绍了国际上通用的信息技术内部控制的理论框架以及中国内部审计协会的内部审计第28号具体准则――信息系统审计的内容,并结合实践对电信行业信息技术一般性控制的系统范围、实施框架及信息技术一般性控制问题及改进措施进行了研究,以期为电信行业不断完善信息技术一般性控制体系提供理论参考。

关键词:内部控制 信息系统审计 信息技术一般性控制

美国的《萨班斯法案》404条款对企业的内部控制提出了严格规范,要求在美上市的公司按照404条款推荐的COSO框架建立起完善的公司内部控制体系,并对企业的公司治理、IT治理及IT控制提出了更严格的要求。同时其第二审计准则也提出了对信息技术的要求,如审计准则#40“……需要测试的控制包括其他控制所依赖的信息技术一般性控制……”,审计准则#5“……程序开发、程序变更、计算机运行、运行和数据访问等各方面的控制保证了业务处理的有效运行……”等等。

中国电信在2006年初启动了“与财务报告相关的信息技术内部控制(简称IT内控)”项目,项目涉及电信总部及20个上市子公司,建立起全公司的IT内部控制体系,并对发现的差异及不足开展深入细致的整改;自此历年完善,均顺利通过各年度外部审计。信息技术一般性控制作为电信IT内控的重要组成部分,一方面企业的组织、流程、系统是不断调整转变的,信息技术一般性控制的内容也应随之调整完善,满足SOX的合规性;另一方面为提升企业自身的IT治理水平,信息技术一般性控制也是一种加强IT管控和有效实现IT治理的重要手段。

信息技术一般性控制理论概述

(一)COBIT框架

美国IT治理协会(IT Governance Institute)于1996年颁布的COBIT,是国际上最具权威和最通用的有关IT控制和治理框架规范;2004年该协会颁布了COBIT中与《萨班斯――奥克斯利法案》第404条款的IT内控框架。COBIT框架将内部控制视为一个包括***策、程序、实务和组织结构的支持企业完成目标的程序。因此,通过有效地应用COBIT框架可帮助企业来达到COSO的监控要求。

COBIT框架主要有三个维度IT流程、IT资源、IT信息准则。其中:IT信息准则包括质量、信用、安全;IT资源包括人员、应用系统、设施、技术、数据;IT流程包括领域、流程、活动。

COBIT给出了在不同的IT生命周期流程中(包括信息系统计划、开发、运行维护全生命周期),对不同的IT资源的关键控制点和需要达到的信息准则目标作出规定。

(二)内部审计第28号具体准则――信息系统审计

“内部审计第28号具体准则――信息系统审计2”是2009年1月由中国内部审计协会实施的,该准则明确规定了对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审计。其中,第21条针对信息技术一般性控制做了明确的规定:信息技术一般性控制是指与网络、操作系统、数据库、应用系统及其相关人员有关的信息技术***策和措施,以确保信息系统持续稳定地运行,支持应用控制的有效性。信息技术一般性控制包含了信息安全管理、系统变更管理、系统开发和采购管理和系统运行管理五方面控制内容。

(三)国内企业内部控制体系建设现状

继美国SOX法案颁布之后,***、证监会、审计署、银监会、保监会在此前的《企业内部控制基本规范》基础上,于今年联合了《企业内部控制配套指引》。该配套指引包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》,这标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。同时,***等五部门制定了实施时间表:自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;之后将进一步扩大到在中小板和创业板的上市公司施行。

国内电信运营商作为在境外上市的国有超大型央企,将成为遵循中国企业内部控制规范体系的首批企业。一方面,当前国内企业还未大规模开展企业内部控制制度的建设,国内电信企业作为先行者,已按美国SOX法案要求于2006年开始初步建立了信息技术内部控制制度,积累了信息技术内部控制建设的宝贵经验,可为国内其他企业内部控制制度的建设提供参考借鉴。一方面,经过2008 年的运营商重组,电信行业进入全业务运营时代,业务、流程、系统的衔接变得更加复杂,对业务流程与系统支撑的要求越来越高;随着电信行业的快速发展和竞争的加剧,国内电信运营商的运营风险在逐步加大,加之行业监管力度的加强及中国企业内部控制规范的要求,电信运营商需要在更高层次上进一步完善内部控制体系。

信息技术一般性控制框架构建

在COBIT框架和内部审计第28号具体准则――信息系统审计的理论基础上,电信行业的信息技术一般性控制实施框架主要包括对程序和数据的访问、程序变更管理、程序开发、系统运行、最终用户计算控制五部分,其所具体包含的内容如下:

程序和数据的访问控制。涉及逻辑安全和物理安全、用户账号的添加、修改及删除控制、用户账号的定期审阅、职责分工控制等。

程序变更管理控制。涉及系统变更授权、系统变更的测试校验和批准、系统变更的移植、系统配置参数变更、紧急程序变更流程等。

程序开发控制。涉及系统开发审批授权、系统开发项目管理及开发方法、系统开发测试、数据移植等。

系统运行控制。涉及系统运行及作业计划、系统备份、系统备份恢复性测试、问题管理流程等。

最终用户计算控制。涉及对影响财务报表的重要电子表格和其它用户自编程序。

根据信息技术一般性控制要求,从电信业务运营流程中梳理出对应的与财务报表相关的信息系统,由此梳理出纳入信息技术一般性控制涉及的信息系统如表1所示。

程序和数据的访问的控制要求如表2所示。

程序变更管理的控制要求如表3所示:

程序开发的控制要求如表4所示。

系统运行的控制要求如表5所示。

最终用户计算的控制要求如表6所示。

信息技术一般性控制问题及改进措施

电信实施信息技术一般性控制以来,发现的主要问题主要有***策和流程缺失、缺乏职责分工、缺少工作留痕、异地备份和恢复性测试这四个方面,本文将对这四方面存在的问题以及对于问题的改进方法进行详细阐述。

***策与流程缺失。问题主要在于信息系统维护管理的组织架构中缺少信息安全管理的岗位及职能,没有制定统一的信息安全***策、变更管理流程、信息系统开发方法与项目管理方法的***策与流程。对此,信息系统维护部门至少设立一个信息安全管理岗位,该岗位可专职或兼职,岗位工作职责应包括维护组织信息安全管理办法、负责对员工安全教育和宣贯、审阅超级用户的操作日志和系统安全日志等;建立或完善信息系统管理***策及流程,如制定统一的信息安全***策,包括网络安全、物理安全、操作系统安全、应用程序安全等方面;通过培训宣贯、监督检查等方式督促员工掌握并执行相关的信息系统管理***策和流程。

缺乏职责分工。主要出现在信息系统的维护管理缺乏有效的职责分离,个别信息系统的权限过于集中。具体存在两种情况:一是信息系统的系统管理人员同时身兼操作系统/数据库和应用系统管理员;二是各类信息系统均缺乏***于系统管理员的日志审核人员。对此,操作系统管理员(或数据库管理员)和应用系统管理员、系统开发人员与系统维护人员、系统安全日志审核人员与系统管理员之间不能交叉兼任;在实际工作中,受到维护人员较少等客观因素的制约,可以通过交叉管理的方式解决实际的人员短缺等困难。例如有A、B两个系统 ,可以由A系统的管理员担任B系统的日志管理员,而A系统的日志管理员则由B系统的管理员担任,通过交叉审核达到要求。

缺少工作留痕。问题普遍存在日常工作中,对于所执行的操作、系统/日志的检查、定期审阅、授权、审核签字等过程中未能保留完整的书面记录。对此,应充分重视培养工作留痕、记录书面化的习惯,将此项工作纳入日常工作检查范围;公司统一使用信息技术一般性控制的文档模版,按控制要求所规定的执行频率进行填写,并保证主管/领导签字确认和统一归档备查。

异地备份和恢复性测试。由于存放环境等条件制约因素限制,大部分信息系统均未达到异地备份的要求;各类信息系统均未定期执行恢复性测试的工作。对此,介质存放的手段可以是通过DCN网、光纤传输到不同楼宇的存储服务器上,也可以利用DVD、磁带、移动硬盘等介质备份后送到异地;定期执行后保留书面记录;对于不存在测试环境的系统,可利用厂商的资源搭建测试环境,根据已确定的测试方法进行测试,并保留测试记录。

总之,本文详细介绍了电信行业的信息技术一般性控制的内容,结合实践对电信行业信息技术一般性控制的系统范围、实施框架进行了介绍,以期为电信行业不断完善信息技术一般性控制体系提供参考。

参考文献:

it审计论文篇8

一、加强金融IT审计的重要性、紧迫性

随着信息技术的快速发展,我国的金融信息化已经走过了“金融电子化”,正向“金融信息化”深层次迈进。在数据大集中之后,各家金融机构通过数据仓库、数据挖掘(DM)等日渐成熟的技术,加强客户和市场分析,努力构建以金融信息化和信息网络化为基础的先进网络化金融机构。但信息技术在物理上、操作上和管理上存在的漏洞,构成了IT系统安全的脆弱性,给银行带来了一系列新的不安全因素,计算机犯罪和舞弊、会计信息的失真,都将给银行的的资金、信誉造成重大的损失。因此,如何确保IT战略目标与银行总体发展目标的一致性,最大限度地规避战略风险、投资风险和运行风险,保证银行的可持续发展,是银行面临的必须优先解决的难题。

当前,风险管理是银行经营活动的主旋律。在银行界越来越依赖于信息技术的情况下,加强金融IT治理审计将成为银行化解风险、获得可持续发展的重要保证。首先,伴随着我国商业银行信息化建设的不断深入和飞速发展,信息已经成为商业银行可持续发展的重要基础性资源。信息技术已不再是单纯的业务实现手段和支持方式,而逐渐成为商业银行战略规划、投资决策所必须考虑的重要因素之一。其次,信息技术本身具有不可抗拒的风险。主要是由于机器设备的自然损耗、制造缺陷和不可预测的自然环境因素。第三,由于技术发展的局限和人类的能力限制,在设计之时人们的失误在所难免。第四,虽然各金融机构都有自己的信息安全部门,他们是信息安全的建设者、维护者,对信息安全有着丰富的现场经验与专业经验,但在他们身兼运动员和裁判员双重身份的同时,已不足以向最高管理层保证信息安全的有效性。同时,IT作为一种工具并不万能,其必须通过有效的应用才能体现价值。要想让IT得到有效的应用,并让信息系统绩效最优,最根本是管理。所以,加强对金融IT策略、安全、效益的审查与评估,为管理层战略规划、投资决策、化解风险提供重要依据,就显得尤为迫切和重要。

二、依托IT技术平台,加快在金融审计领域的变革

由于信息技术的发展与运用,传统的审计对象账务、管理数据的生成、存储和传递的模式发生了根本性的转变,传统的纸质账簿和文字记录日渐被磁性介质取代,审计人员越来越难以得到传统的有形的审计线索,传统的以查账为主要手段的审计遇到了来自IT技术的挑战,客观上要求金融部门进行一场深刻的审计领域的革新,对审计人员、审计方式、审计内容等方面,及时做出相应的调整,以“四要”建设为核心,突破IT技术审计这一重点和难点。

要在思想认识上突破。要提高认识,转变观念,正确认识计算机审计的重要性。必须充分认识到随着信息技术的应用在银行界的不断推广,传统的审计方式已不适应信息时代的要求,以计算机技术作审计手段是时展的必然选择。审计人员不掌握计算机知识和技能,将面临进不了门、打不开账的危险,将处于“失去审计资格”的尴尬境地。只有利用计算机知识,学习和掌握被审计单位计算机系统的设计思想,梳理其主要的核算流程,经过艰苦而细致的研究与实践,才能准确地、相对完整地剖析各种由IT技术支持的业务系统与核算系统,综合评定应用核算数据和业务数据,然后选定必要的、适宜的审计程序和方法,进行分析与审核。

要在审计方式、方法上创新。依托信息技术平台,积极开展计算机审计。首先,在审计方式上,由于金融领域信息技术的广范应用及数据仓库的建立,为开展计算机辅助审计提供了技术平台和数据源。通过计算机审计软件或在应用系统中的预置、嵌入审计程序,实现数据的直接获取、账簿凭证浏览查询、异常项目筛选、日常会计资料及财务指标趋势分析、变动分析、抽样列表等多种审计事务;实现审计事项的事前、事中、事后的全过程审计,并进而实现审计系统信息资源共享,促进审计项目的规范化,提高审计工作效率和质量,降低审计风险。其次,在审计方法上,对IT系统的审计可通过询问、观察、审阅系统文档、审查系统日志、系统配置文件有关参数、设置电子文档等来评价计算机数据处理系统的基础情况、各种性能和技术指标、潜在的风险和控制措施;及内部控制执行情况,以确定对系统的依赖程度,进而确定详细测试中审计资源分配的策略。

同时,对计算机审计软件的开发实现市场化外包。因为,审计软件的外包符合社会发展的历史潮流,是社会分工和科技水平进一步发展的必然选择;利用市场的整合力,集中一批既懂财务、统计、审计业务,又熟悉计算机应用技术有经验的专业人员,组建开发和营销审计软件的专业公司,专门从事审计软件的开发和营销,不仅会促进审计软件水平的不断提高,进而推动计算机审计工作的迅猛发展。所以,开展计算机辅助审计,实现计算机软件的外包,是推动我国审计信息化的有效途径,同时也是形势发展的客观要求。

要在IT审计的内容上求实、求全。一方面,银行IT审计的范围应该覆盖了银行所有系统的应用领域,以及信息系统整个生命周期中的所有活动和所有资源。其主要内容包括:银行IT战略规划审计、银行信息系统需求获取和开发过程审计、系统交付后技术支持和运行维护审计、对整个系统生命周期中相关管理活动的审计、对相关过程中文档管理的审计、对相关人员的审计、对灾难恢复和业务持续性计划的审计等内容。另一方面,加强IT策略和绩效审查与评估。审查银行管理者的IT投资策略,是否是由业务需求的驱动,而不是由信息技术的推进,是否造成IT投资泡沫;审查IT作为一种工具,在实际工作中是否得到有效的应用,价值是否得到体现,绩效是否优化。从而为确保IT战略目标、有效管理与银行总体发展目标的一致。

要加快复合型审计队伍的建立。随着信息技术的迅猛发展,银行信息化程度越来越高,已经进入“无账本”环境。目前,我国金融界审计队伍中,主要由财经类专业人员构成,严重缺乏既掌握现代审计理论与技术又精通计算机知识与技能的新型复合型人才。由于财经类专业人员缺少计算机审计所要求计算机的知识与技能,已成为制约金融IT审计的“瓶颈”。迅速补充计算机、信息工程等方面的专业人才,并实现与财经类专业人员的资源整合,充分实现资源优势互补,是有效开展金融IT治理审计前提。

从长远目标来看,要锻造出一支披坚执锐、无往不胜的数字化金融审计队伍,离不开以下三个环节:第一,要着力培养一支精通计算机系统审计和电子数据审计的专家队伍;第二,形成一支审计业务娴熟、又掌握信息技术、能***开展计算机审计工作的复合型审计骨干力量;第三,培养广大审计人员掌握计算机知识,在审计工作中能熟练地运用计算机技术,以提升审计工作质量和水平。

it审计论文篇9

在信息化时代,我们拥有极大的信息系统审计需求市场,信息系统审计已成为审计发展的新动力和新方向。然而我国信息系统审计的发展现状还不能适应时势的需要,尤其是在推行基于国际性的标准cobit 上的研究和实践缺乏。为此,我们应在全面把握我国信息系统存在问题的前提下,采取有效的对策,以适应大规模的信息化建设的需要。

一、问题的提出信息及相关技术控制目标标准(control ob2jectives for information and related technology , co2bit) 是美国信息系统审计与控制协会( informationsystem audit and control association , isaca) 的信息技术治理学会( information technology governanceinstitute ,itgi) 基于其原有的控制目标体系,结合并改进现有的正在发展中的其他国际技术标准和工业标准而制定的控制目标体系,为it 的治理、安全与控制提供了一个一般适用的公认标准。自1996 年问世以来,目前已经更新至第四版,是国际上最先进、最权威的安全与信息技术管理和控制的标准,已在全世界100 多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效管理与信息相关的风险。最新版本cobit 4. 0 更注重帮助董事会和员工应对不断增加的职责,包括面向公司董事会和各级管理层适用的指引,由四部分组成,即管理人员概述、框架、核心内容(控制目标、管理方针和成熟模式) 和附录(***表、前后参照和术语表) 。核心内容依据34 项it 流程来划分,全面介绍了如何控制、管理和测量每个流程。另外,cobit 4. 0 分析如何将具体的控制目标划入五项it 管理领域,以识别潜在缺口; 令cobit 标准与其他标准( itil 、cmm、coso、pmbok、isf 和iso17799) 协调一致;阐述关键目标指标(key goal indicator ,kgi)和关键绩效指标(key performance indicator ,kpi) 之间的关系,说明kpi 如何推动实现kgi ;结合业务目标、it 目标和it 流程。cobit 标准不仅为人们提供了信息系统控制目标和it 标准,而且提供了信息系统的审计指南。它为信息系统审计师提供了较为系统的评估指标,从而规范信息系统审计师的审计思路,而且它提供的控制矩阵、管理明确诊断表和风险评估表等科学的手段,让信息系统审计师合理评估审计风险,从而大大降低审计风险,提高审计质量。cobit 标准对我国开展信息系统审计有很好的启示和指导作用,我国应大力推行基于cobit 标准的信息系统审计。

二、我国信息系统审计存在的问题

1. 审计人才缺乏信息系统审计是会计、审计、信息系统、网络技术与计算机应用的交叉学科。开展信息系统审计,要求审计人员具有复合型的知识结构,既要掌握财会、审计知识,又要掌握信息系统、计算机与网络技术。但我国现在大部分审计人员并不熟悉计算机是如何进行经济与会计业务处理的,不知道计算机处理与网络技术的运用有什么风险、怎么样的控制才能有效降低这些风险,也不掌握如何对计算机信息系统进行审计或利用计算机和网络技术进行审计。计算机技术人员虽然对计算机和网络技术比较熟悉,但他们又不熟悉会计、审计知识,不知道要审什么、该怎样审。而开发实用性和通用性较强的审计软件所需要的高层次、高水平的人员也很缺乏。

2. 法律法规不完备在信息化条件下,审计方法、对象、技术都发生了很大的变化,传统的审计准则体系、法律法规体系已不能完全适应、指导和规范信息系统审计的实践,而新的关于信息系统审计的程序标准、准则和法律还没有出台或并不完备,有些甚至还是完全空白。例如,电子凭证、电子合同、数字签名等的法律效力和保存要求;数字认证机构的认定及其法律责任;计算机犯罪适用的法律;在信息系统审计中审计机构的权力、责任和被审计单位的义务等。从近年情况看,我国的信息系统审计制度建设工作才刚起步,尽管***办公厅、审计署、注册会计师协会等机关和组织颁布或制定了一些准则和规范,但是,这些准则和规范还不完善,没有形成系统性和结构性。不仅缺乏对信息系统开发和系统功能审计方面的规范,还比较概括、笼统,没有相应的实施细则。对信息系统审计尚处于摸索阶段的我国审计人员来说,显然还缺乏具体的指南。

3. 技术水平落后信息技术的高速发展与广泛应用使企业交易事项的大部分内容由系统自动运作完成,人工轨迹遗留较少,传统审计线索荡然无存。这就要求信息系统审计必须参与和融入信息系统的设计过程,在执行测试时必须穿越信息系统,以确保对连续监督程序和输出结果的控制。在我国信息系统的设计与开发中,尚不具备充分的保留和提供审计线索的功能。审计人员完全处于被动地位,难以获取充足的审计证据支持其审计结论,难以保证信息系统环境下的审计质量。

三、发展我国信息系统审计的对策从上述对我国信息系统审计存在的问题的概要分析中,作者认为,响应国际发展趋势,在信息系统控制和审计领域推行cobit 标准无疑具有美好的发展前景。具体实施时可针对以下几个方面进行改进。

1. 注重专业人才的培养cobit 标准具有系统的和完备的框架体系,它的运用首先定位于信息及其相关技术的控制和管理,因此,它在整体上表现出it 业的大量相关技术。这就意味着运用cobit 标准实施信息系统审计的审计人员应具有复合型的知识结构,既要掌握现代审计理论与实务,又要掌握信息系统、计算机与网络技术。目前,审计署干部培训中心开展的注册信息系统审计师培养及与之相关的在审计人员中进行计算机知识的培训工作,正是为了适应这一现实需要。在人员培训上,要求对低层次人员培训与高层次人才的培养、在职人员的培训与未来人才的培养进行统筹规划。对较高层次的人才培养,重点可放在信息系统的开发审计、系统的功能或应用程序审计、网络安全审计和审计软件的开发等方面;对未来审计人才的培养,应在高校会计专业教学计划中增加it 和电子商务等内容,不仅要把信息系统审计列为必修课,而且应对这门课的要求或大纲达成共识。审计机构的管理人员也应意识到,信息系统审计人才的培养不仅仅是对审计人员的培养。我们可以培训审计师成为掌握必要it 技能的人员,但很难要求他们成为计算机、信息系统和网络技术方面的专家。因此,审计机构要改变以往由会计师独唱主角的情况,计算机与网络专家、信息系统与电子商务专家将在审计组织中担任越来越重要的角色。审计机构应注意吸收这方面的人才,并进行审计知识和技能培训,使他们能与会计师良好合作,更好地执行信息系统审计任务。

2. 完善审计准则从国际同业的实践看,cobit 标准已经逐步成为通行准则。我国应遵循国际标准或规范,把cobit 标准作为核心标准, 同时, 借鉴isopiec17799、itil 、prince2、coso、sox 法案等其他国际标准和原则,进而确立适合自己的信息系统审计目标、对象、范围、方法、流程等。进一步完善与信息系统审计有关的法规和准则,要在法律法规上,确定审计机构和审计人员有权审查被审计算机的信息系统的功能与安全措施,有权利用网络和审计软件进行审计,被审单位应对审计人员的信息系统审计给予积极的协助。在建设信息系统审计准则体系时,可以借鉴isaca 的做法,也采用三个层次体系结构,以基本准则为核心,统领具体准则和执业指南,从而使整个准则体系不断扩展、完善。内容划分方式可分为审计的权利、义务与责任,审计人员和审计工作三大类,并按这些类别来制定准则。信息系统审计准则作为一个完整的准则体系,各项具体准则要相互依存、相互配合。在准则的制定、上,应当遵循务实原则、接轨原则、配套原则和科学原则。isaca 的做法是,先规划出基本准则的内容,在此基础上,有计划、有步骤、按照现实需要出台各项具体准则、指南和程序。准则采用分项制定,完成一项,一项,实施一项。这有利于信息系统审计准则的全面顺利的实施,也有利于信息系统审计人员循序渐进地正确掌握这一系列准则,从而促进信息系统审计准则在实务中迅速发挥作用。我们在信息系统审计准则的制定、上,可参照isaca 做法。同时,对国际上已有的成文准则、习惯做法、专业术语,应当尽可能与国际惯例保持一致,尽量做到与国际惯例接轨。

3. 加强审计方面的it 技术对于审计领域来说,cobit 只是一套成文的信息技术控制标准,它只是向信息系统审计人员指明了前进的道路,但究竟如何才能成功通向胜利的彼岸,却有待审计人员自身去开发高效快捷的通向目标的方式,尤其是在信息系统审计这样一个高专业化、高技术性的审计业务领域。首先,应注重软件的开发,如开发数据采集软件,建立一种能够容易访问被审计单位不同介质、不同编码、不同类型的数据库,以便打通采集信息系统所需原始数据的瓶颈;在软件的研制方面,还要考虑审计作业发展趋势,如在现有审计软件基础上开发、研制新的适用信息系统审计的分析工具。其次,联网审计的加强,它是方便快捷地运用cobit 标准的有力举措。这种审计方式成功实现的关键是被审计单位的信息系统提供标准化的审计接口,因此,信息化的管理部门和审计部门应加强宣传,提倡甚至是严令监督企业提供数据接口,以便联网审计的展开。最后,就是专家系统的构建,它能将基于cobit 标准的成功案例进行积累和专业化,更好地为我们的信息系统审计工作服务。放眼未来之路,如何借鉴cobit 标准开展适应国际趋势的而又探索有中国特色的信息系统审计道路,需要新时代的审计人员的不懈努力。我们只有充分认识存在的问题的基础上,才能有针对性地改进。中国审计人员将以倍增的热情,迎接新技术***的挑战,充满豪情地投入到审计技术创新的洪流中。

[参考文献]

[1 ]李 丹. 信息系统审计———传统审计的一场***[j ] .中国审计,2002 (1) :57 - 58.

[2 ] 钱 艳. 信息系统审计———网络架构、测试与评价[d] . 重庆大学硕士学位论文,2003.

[3 ]管亚梅. 信息系统审计———一种全新的审计模式的构建思路[j ] . 科技进步与对策,2005 (12) :78 - 80.

[4 ]陈婉玲,杨文杰. isaca 信息系统管理准则及其启示[j ] . 审计研究,2006 (增刊) .

[5 ]董 霞. 会计信息系统审计研究[d] . 天津财经大学硕士学位论文,2006.

it审计论文篇10

二、小组工作

为使杜邦IT审计达到领先水平,杜邦从全球的内审人员和审计本公司的外部审计人员中抽调一部分组成了一个代表组,这个小组由一个总审计经理监督,对指挥部负责,这个指挥部包括副总裁、总审计师、副财务经理、信息主任和事务所的业务合伙人。

该小组在很紧凑的时间安排下建立了一套 科学 的工作方法。并对杜邦IT审计的发展和更新提出长期性的意见。

该小组给IT的定义是:IT审计与杜邦公司的其它所有审计活动是密切联系的。我们将在职能审计小组的支持下,对应用系统和整个信息系统的各个部门进行具体的审计,进而确保在系统的支持下的经营活动能有充分的应用控?quot;。

小组的目标之一就是:保持一个完整的相应统一的内部审计职能部门时,决定如何提高杜邦的IT审计能力。

三、两种审计模型

杜邦常用IT审计总体模型(Audit Integration Model,简称AIM)和变量实施模型(Variable Sourcing Model,简称V***)来决定是否应当从外部获得技术或保持他们,特别是认为计划需要改变的时候,这两个模型有重要的指导意义。这两个模型如下所示:

1.AIM

AIM根据IT审计的组成要素大略揭示了IT的审计过程,复杂的知识水平和工作人员的工作量随着以下所示的四个阶段而逐步下降 阶段1经营过程控制 准 备 活 动 实 施 选 择 培 训 要 求所有归属于一个过程审 计的非系统的不相关审 计活动:如过程、计划、流程***、检阅程序、访问和测试 执行所有正常情况下的 准备活动,不包括具体 的与IT有关的活动。 不需要具体的IT审计 技术 不需要高水平的IT培 钻15

阶段2输出

所有与符合性审计有关 的活动,包括数据进入、错误书写、输出和进入 控制 决定应该用什么***策, 若与具体的经营有关 时,应在工作底稿上从 头到尾写清楚;若与多 种经营有关时,应把它 单独拿出来进行符合性 测试,然后,在工作底稿 上注明 由有经验的审计人员来执行任务。IT审计人员的任何行动都应得到支持,因为这个阶段代表整个审计过程的重要环节。在向新结构进行完全转变之前,IT审计人员对所执行的符合性测 试都认为是适当的。 确保每一个审计人员都 有执行符合性测试所需 技能,复核IT的组成要 素,决定是否需要改变,以确保达到目标。确保 这些技能对审计小组来 说是容易达到的,且它 是必要的,直至达到审 计的长期目标。

阶段3附台性和分界面

在符合性审计和技术审 计之间的灰色领域,在这个阶段需要有高技 能的高水平的审计人 员,因为这些活动要进 入到系统的内部工作且 与其他符合性相联系。 决定执行的符合性复核 的细节应达到的水平, 确保灰色领域被完全充分校测,尤其注意系 统的共同范围,因为这 些可能没被包括在先前 的比较窄的审计范围中 确定符合条件的审计人员的比例和从外部寻找人员的可行性,确保此阶段审计人员的技能对审计小组来说是容易达到的,直至实现长期目标为止。 决定如何提供培训,以 使他们达到更高的技术 水平,期望达到所需技 能的审计人员的比例将 被作为实施阶段工作的 一部分,在转换期,应确保这些技能对审计小组 来说容易达到直至实现 长期目标。

阶段4基础性的结构

技术审计覆盖了计算机 环境的内部工作.在此阶段需要高技能和特 殊才能的人才,如:在运 行系统或安全软件方面 通过符合性调试复核平台的最近技术审计,根据峁页鲋葱猩蠹频氖奔洌际跎蠹票匦胩峁泄仄教ǖ恼逡?见,这一步应包括桌面系统环境和完整的桌面系统审计,必要时应事 先规划 检查 目前 正被杜邦使用的平台系统,且必须做这项工作,确定在社邦所要求的技能范围内的保留工作量,决定核心工作员、浮动工作量和特殊工作量的未来余 额,评价保留和维持这些技能的内部审计人员的职业道路前途等,确保改变计划时允许小组充分协调好内部活动与6F部专家的耸嚣- 对那些保留在杜邦内部 的技能应确定培训的关 键来源且确保这些人员 是通用的,在这个阶段,工作能力的大小受社邦 的联营者的规模而定p 所以培训只要及时就行。

在以下三个领域中,模型提供了从一般了解到决策的各个部分的解决办法。具体如下:

(一)准备阶段

当进行更多的经营过程审计时,准备阶段的工作在确保清楚地界定审计范围和审计小组应有的技能和工具去从事工作这两方面起关键性的作用。经营过程审计将会在范围上更广、时间上更长,且很可能由大量不同 计算 机 应用 系统组成。如***所示,AIM可作为一种有效的准备工具,如果某种技能需由外部人员来实施时,及时地在此阶段补充审计人员会变得更重要。

(二)实施阶段

这是工作范围的重要部分,社邦审计小组一直在 发展 和采用V***作为一个工具来决定成员水平和技术能力,模型显示出杜邦计划的技术能力保留在一个核心范围内,核心范围的大小由任何一年的估计工作量和杜邦是否维持这种技术能力由自己开发而决定,模型也表示出,可从外部获取资源,若保留技术能力的工作量比估计工作量要高,这一部分差额称为浮动工作,反之,称之为特殊工作。

AIM与V***结合起来,可用来确定保留在杜邦内审中的技术能力和将来的核心工作、浮动工作及特殊工作的平衡。与杜邦的支持者及供应商们讨论,即实施IT审计的联营公司,可能也是这个阶段的一部分工作。另外,杜邦还计划转变战略,确保内审依赖外部专家时有力量控制局势。

(三)培训

除发展AIM和V***外,工作小组还针对现在的IT审计组织进行技术 分析 描绘未来IT审计组织的前景。由信息武装起来,杜邦利用AIM来决定所期望的能达到多种目的的审计人员的IT技能是什么水平,及什么样的特殊行为是杜邦将保留和维持的,提供的培训课程应确保有一个完整的途径。AIM可用来确定所需和所计划的培训。

四、更新

剩余的IT审计人员保持他们现存的管理报告流程,但增加了一份职能报告与以上所述三组之一相联系,将会执行许多审计活动,以便对杜邦审计计划的准备阶段进行控制,对全部审计工作进行监督。

五、启迪与借鉴

实践证明,IT审计开辟:内审的新领域,它取得了一些成功经验。

由于各种原因,我国的内审质量不高,更不用说IT审计了,因为对我国众多 企业 来说,:企业内部治理结构还没理顺,信息化程度还不普及,只是在某些特殊行业中(如 金融 行业)比较普遍,、可以说,IT审计在我国还处于起步阶段,而国外已发展得比较成熟。所以笔者认为,除了进一步改变国有企业的内审管理双重体制之外,我国可在以下方面借鉴西方先进经验,努力提高我国的IT审计水平:

1.重视与外部审计师的合作,尤其是注册 会计 师。我国的注册会计师行业虽然起步较晚,但 目前 已取得令人瞩目的成绩,特别是知名会计师事务所积累了大量的企业管理信息,相信与某公司长期合作的会计事务所定会为该公司提供良好的内审控制建议。

2.强调对内审人员的培训。在我国,由于内审管理体制还没理顺,没有统一的准则。各企业应根据IT审计要求的高低进行不同程度的培训。

3.规范I丁审计的同时,注意改进审计方法技巧。可 参考 杜邦的作法,把整个审计过程划分为几个阶段,并固定下来。但在各个阶段的审计工作中,应注意审计方法的灵活运用。另外,尽量使用量化标准,如建立变量模型等。

4.重视内审人员的知识更新,这是IT审计的性质所决定的。 现代 企业的信息系统普遍应用网络技术,且与 电子 商务系统紧密结合,使产业信息系统无纸化。在此环境下,审计人员不仅要掌握传统审计的基本知识,还必须掌握计算机应用基本技能,这样才能满足审计需求,特别是对于内审的IT审计来说,不只是对企业的会计信息系统进行审计。所以,内审的管理机构及企业都应重视内审人员的知识更新,如,加快有关计算机审计的教材建设,计算机审计人员资格 考试 及制作计算机审计的具体准则等,方便企业选拔IT审计人员。

[参考 文献 ]

[1]Wayne More and David Hen-drey. It Audit Renewal(J)。 Internal Auditorl999(4)。

[2] Pete Rosenwald. To Be or Not To Be LJ]. Accountancy. 1999. (8)

[3]傅元明。计算机信息系统环境下的几个审计问题LJ].审计研究,1999. (5) .

[4]王学龙。内部审计风险初探U].审计研究资料,1999.(10)。

转载请注明出处学文网 » it审计论文10篇

学习

质量管理与控制论文模板

阅读(38)

本文为您介绍质量管理与控制论文模板,内容包括质量管理与控制论文,质量管理中的质量控制论文怎么写。3工程管理风险控制策略1)采取国外先进工程质量管理经验。首先,我国的管理工程虽然有国家***策的支持和肯定,但是与美国、日本等一些发达

学习

内部审计风险论文10篇

阅读(42)

本文为您介绍内部审计风险论文10篇,内容包括风险导向内部审计论文的思路,审计风险及防范的论文。3.内部控制审计风险模型的风险。在审计内部控制的过程当中,将是否有严重弱点存在于企业的内部控制系统当中确定下来是审计师的主要目标,审计

学习

审计博士论文10篇

阅读(103)

本文为您介绍审计博士论文10篇,内容包括审计博士论文,审计学术硕士论文选题。一、H大学计算机学院博士生培养模式改革措施H大学计算机学院根据其学科优势明显、培养基地实力雄厚、学生生源优秀等特点,逐步建立了具有本学科特色的博士生培

学习

审计毕业论文10篇

阅读(16)

本文为您介绍审计毕业论文10篇,内容包括审计方面毕业论文网站,审计毕业论文好写吗。关键词:新时代;企业发展;会计审计一、现代企业会计审计工作中存在的问题(一)会计审计工作被忽视在当代的许多企业中经常将工作的重点放在产品的销售或利润的

学习

美术研修总结模板

阅读(36)

本文为您介绍美术研修总结模板,内容包括美术研修培训记录怎么写范文,美术研修总结及自我成长计划。作为术科教师,了解本学科的前沿知识以及掌握本领域的专业技能一直是我们不断追寻的东西,我如饥似渴地吸吮着本次培训专家、教授带来的营养

学习

建设项目审计论文10篇

阅读(17)

本文为您介绍建设项目审计论文10篇,内容包括工程项目审计论文范文,建设项目审计案例论文引言怎么写。(二)跟踪审计力量有待提升近年来,各高校不同程度地开展了审计队伍建设,但离建设项目跟踪审计的需求仍有一定距离。一是审计力量的不足制约

学习

非现场审计论文10篇

阅读(45)

本文为您介绍非现场审计论文10篇,内容包括非现场审计的论文,非现场审计。PringleandCrum(1990)认为,既然持续经营不确定性审计意见在预测公司破产时有显著的作用,那么,持续经营不确定性审计意见的出具就会减少股票市场对公司后续提出破产申

学习

审计理论论文10篇

阅读(36)

本文为您介绍审计理论论文10篇,内容包括审计理论论文,审计论文基本方法。1.1人理论(1)人理论的基本观点。人理论认为,由于经营权和所有权的分离,经理与股东,债权人的的利益不一致时就会产生成本,经理往往为了自己的利益而做出损害股东或

学习

审计研究论文10篇

阅读(41)

本文为您介绍审计研究论文10篇,内容包括审计研究发表的论文格式模板,审计研究论文题目大全。一、审计理论研究的规范法一直到20世纪50年代,与论述会计理论的丰富资料相比,在审计文献中,很难找到论述审计理论的文章或专著①。莫茨(R.K.Mauts)

学习

内部审计控制论文10篇

阅读(34)

本文为您介绍内部审计控制论文10篇,内容包括内部审计风险控制论文模板,内部审计与控制的论文1500字。(二)文献回顾以SOX法案的颁布实施为分界点,美国内部控制相关研究可以分为2002年之前和2002年之后两个阶段。2002年之前,相关文献主要集中

学习

审计重要性论文10篇

阅读(53)

本文为您介绍审计重要性论文10篇,内容包括审计论文发表期刊,审计重要性水平问题研究论文题目。

学习

城投人才工作计划

阅读(38)

本文为您介绍城投人才工作计划,内容包括城投公司人力资源战略规划方案,城投集团人力资源部年培训计划。二2011年6月,常州市***府了《关于加快引进和培育领***型创新创业人才的意见》,决定以更大力度引进和培育领***型创新创业人才(简称“龙

学习

会计试用期个人总结

阅读(35)

本文为您介绍会计试用期个人总结,内容包括会计试用期工作总结100字,试用期收获总结会计。实习期的工作可以分以下三个方面:一、费用成本、客户往来方面的管理1.规范了低值易耗品的核算管理,全面建立低值易耗品台帐,从易耗品的购买、领用全

学习

审计课程论文10篇

阅读(40)

本文为您介绍审计课程论文10篇,内容包括审计论文发表期刊,审计学课程论文1000字。应用型本科高校必须牢固确立“应用型、地方性、开放式的办学定位;坚持开放合作,走校企、校地、校际和中外合作的办学道路,突出地方特色,积极为地方经济社会发

学习

质量管理与控制论文模板

阅读(38)

本文为您介绍质量管理与控制论文模板,内容包括质量管理与控制论文,质量管理中的质量控制论文怎么写。3工程管理风险控制策略1)采取国外先进工程质量管理经验。首先,我国的管理工程虽然有国家***策的支持和肯定,但是与美国、日本等一些发达

学习

内部审计风险论文10篇

阅读(42)

本文为您介绍内部审计风险论文10篇,内容包括风险导向内部审计论文的思路,审计风险及防范的论文。3.内部控制审计风险模型的风险。在审计内部控制的过程当中,将是否有严重弱点存在于企业的内部控制系统当中确定下来是审计师的主要目标,审计

学习

审计博士论文10篇

阅读(103)

本文为您介绍审计博士论文10篇,内容包括审计博士论文,审计学术硕士论文选题。一、H大学计算机学院博士生培养模式改革措施H大学计算机学院根据其学科优势明显、培养基地实力雄厚、学生生源优秀等特点,逐步建立了具有本学科特色的博士生培

学习

审计毕业论文10篇

阅读(16)

本文为您介绍审计毕业论文10篇,内容包括审计方面毕业论文网站,审计毕业论文好写吗。关键词:新时代;企业发展;会计审计一、现代企业会计审计工作中存在的问题(一)会计审计工作被忽视在当代的许多企业中经常将工作的重点放在产品的销售或利润的

学习

建设项目审计论文10篇

阅读(17)

本文为您介绍建设项目审计论文10篇,内容包括工程项目审计论文范文,建设项目审计案例论文引言怎么写。(二)跟踪审计力量有待提升近年来,各高校不同程度地开展了审计队伍建设,但离建设项目跟踪审计的需求仍有一定距离。一是审计力量的不足制约

学习

非现场审计论文10篇

阅读(45)

本文为您介绍非现场审计论文10篇,内容包括非现场审计的论文,非现场审计。PringleandCrum(1990)认为,既然持续经营不确定性审计意见在预测公司破产时有显著的作用,那么,持续经营不确定性审计意见的出具就会减少股票市场对公司后续提出破产申

学习

审计职称论文10篇

阅读(38)

本文为您介绍审计职称论文10篇,内容包括审计中级职称论文范文,审计论文发表期刊。一、申报程序1、拟申报人应自行对照《**省会计专业高级会计师资格条件》(以下简称《条件》),基本符合规定要求的,可以向本单位人事(或职称)部门提出申请,并提供

学习

审计基础论文10篇

阅读(38)

本文为您介绍审计基础论文10篇,内容包括审计论文发表期刊,审计的重要性论文范文大全。风险基础审计的思想基础主要运用了我国的孙子兵法中诸如“凡事予则立”、“仗不打就赢”等思想,即由上而下,由宏观而微观,用评估的方式对财务报表加以评