学文网信息系统审计论文篇1
众所周知,审计质量是评价审计工作水平高低的标准,是会计师事务所的生命。审计质量的高低直接影响审计目标的实现,对社会经济的发展与稳定产生着直接或间接的影响。由于早期计算机应用比较简单,计算机审计业务主要关注被审计单位电子数据的取得、分析、计算等数据处理业务,还称不上信息系统审计;随着信息时代的到来,网络的普及及计算机信息系统的建立为信息系统审计带来了前所未有的机遇和挑战。
一、计算机信息系统环境下对审计质量的影响
(一)审计线索的减少
审计线索,亦称“审计轨迹”,在计算机信息系统环境下,会计核算主要由计算机完成,计算机只记录最后处理结果,忽略中间处理过程,数据形成依据的记录减少。储存于磁性介质上的会计数据具有存取方便、修改与删除不留痕迹的特点,这又给审计的追踪带来重重困难。因此,计算机信息系统环境下审计线索的减少和追踪困难的增加,必定给审计质量带来重大影响。
(二)审计对象的限制
审计对象是审计监督、检查和评价的客体,具体体现为被审计单位的各项经济活动及其反映的资料。在计算机信息系统环境下,注册会计师进行审计的依据是计算机的输出信息,审计对象在此受到计算机操作人员的限制。后者完全可以只提供他们愿意被审计的信息,其他敏感性信息则极有可能被人为掩藏。这样,注册会计师处于被动地位,难以获取充足的审计证据支持其审计结论,审计质量显然要受到影响。
(三)审计内容的扩展
手工系统中,审计内容就是有关财务会计的信息,而计算机环境下的审计内容还包括会计电算化系统的开发与设计、会计软件的程序以及数据库管理系统。此外,注册会计师还应该确定系统的开发与设计方法是否合理,是否严格按照分析、设计,测试、运行、维护的步骤进行,分析是否全面、设计是否恰当、测试是否充分,会计软件执行程序是否与实际操作中的业务流程一致,数据库管理系统是否有效,会计软件是否能够予以信赖,并以会计软件处理输出的结果作为审计对象。
(四)审计方法的落后
目前,被审计单位的财务工作多采用计算机进行数据处理,会计电算化软件功能日臻完善,但是审计软件的发展远远没有跟上会计软件发展的步伐,同时大部分注册会计师对计算机信息系统还不太熟悉,绝大多数审计业务仍停留在绕过计算机进行审计的阶段。但是这种方法的运用以系统必须留有足够的、肉眼可以识别的审计线索为条件,如前文所述,审计线索缺乏是计算机环境的一个特点,因此,绕过计算机审计的方法难以保证计算机环境下的审计质量。
(五)注册会计师计算机知识的缺乏
在计算机环境下,从审计计划的制定到审计程序的确定,从审计技术的选择到审计方法的采用,都必须由注册会计师操作和指挥。这要求注册会计师不仅要有丰富的会计、财务、审计知识和技能,熟悉财经法律以及其他的审计依据,而且还应当掌握计算机知识及应用技术,掌握数据处理和管理技术;不仅要懂得审计软件的操作方法,而且还应当根据审计过程中所出现的种种问题,即时编写出各种测试、审计程序模块。
二、计算机信息系统环境下提高审计质量的对策
为了提高在计算机信息系统环境下的审计质量,在财务审计中,变绕过计算机审计为穿过计算机审计,对计算机内部数据处理的详细过程直接进行审查。内容包括以下几个方面。
(一)积极开展计算机信息系统的事前审计
通过事前审计监督,对计算机信息系统建立的内部控制的严密完善性、系统的合规合法性以及系统的可审性等进行评价,保证计算机信息系统运行以后数据处理结果的真实性和正确性,防止和减少计算机信息系统信息失真风险的发生。
(二)定期对被审系统的内部控制制度进行审计
对计算机信息系统的内部控制进行审查和评价是提高计算机信息系统环境下审计质量的有效措施之一。通过对被审计系统内部控制制度的健全性调查和实际执行情况的符合性测试,找出控制的弱点,提出强化内部控制措施,督促被审计单位完善内部控制系统。(三)重视计算机信息系统的事后审计
通过事后审计,对计算机信息系统的电子账以及打印输出资料的真实性、合法性进行评价,防止和揭露计算机信息失真的风险。
通过以上分析,在计算机信息系统环境下审计的业务范围已经扩展到了符合性测试领域。为财务报表审计提供服务只是信息系统审计业务内容很小的一部分,与信息安全相关的防火墙审计、安全诊断、信息技术认证以及ERP相关的新型咨询业务在不断涌现。
三、加快发展信息系统审计
信息技术的发展对中国注册会计师和会计师事务所提出了更高的要求。国际同行的业务收入中,传统审计服务的收入比例在迅速下降,风险控制服务和管理咨询服务收入的比重大大提高,而这些收入中增长的部分往往又和IT环境审计和信息系统安全审计服务有关。所以,应该从三个方面发展信息系统审计工作。
(一)内部控制环节的变化,使许多传统的控制手段已经失去意义,评价和改进内部控制必须以信息系统的运转为基础
计算机信息系统下的内部控制虽然与手工会计系统的目标是一致的,但是与手工会计系统相比,由于计算机有自动处理的功能,内部处理的不可控制性要求采用更为严格的方法。所以在控制方式、内容、手段等方面均不同于手工会计系统的内部控制。
1.职权制审查:即从组织机构角度审查信息系统中各种人员的职责与权利、联系与牵制。
2.人员素质审查:即是否有以提高人员素质为目的的控制措施。
3.硬件及环境审查:即对存档的系统设计文本中有关硬件的资料审查。
4.运行审查:即对计算机在输入、处理、输出过程中的运行情况审查。
5.修改方式及保密措施审查:审查操作修改程序是否只有一个入口,即凭证输入口;发现错误是否采用重新输入凭证的方式加以修改;是否修改后有修改痕迹;各主要功能模块是否设置操作口令,程序是否建立保密制度。
(二)控制计算机环境风险和信息系统运行风险作为管理咨询和服务的重点
由于企业经营越来越依赖于信息系统,除了传统意义上的经营风险、控制风险和财务风险之外,企业信息系统安全性导致的信息风险也日益增长。非授权用户常常利用信息系统本身存在的脆弱性对系统进行非法访问,这种非法访问使系统中储存信息的完整性受到威胁,使信息被修改或破坏而不能继续使用,更为严重的是系统中有价值的信息被非法篡改、伪造、窃取或删改而不留任何痕迹。此外,计算机还容易受各种自然灾害和各种误操作的破坏。必须认识到信息系统的这种脆弱性,采取有效措施来保证信息系统的安全。
信息系统审计论文篇2
(一)信息系统审计的定义。中国内部审计协会(2014)认为信息系统审计是指“内部审计机构和内部审计人员对组织的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动”。按照上述定义,信息系统审计的重点跟传统审计一样,还是专注于内部控制与流程,但关注点不同,信息系统审计的关注点是信息系统的控制和流程,而不仅仅只关注相关的制度和规范。
(二)信息系统审计的目标。信息系统审计和控制联合会(ISACA)COBIT框架认为组织内部的信息系统需求三原则是:质量、成本和安全,即在保证信息系统满足组织需求的前提下,尽可能避免组织内外部风险,并减少研发和维护成本。因此信息系统审计的目标就是对组织信息系统的运行的可靠性,数据的真实性和安全性提供评价。
(三)信息系统审计的步骤。由于大多数高校内审机构在“数字化校园”开发阶段并没有参与其中。本文所述的信息系统审计专指信息系统运行维护阶段的审计。
1.审计准备阶段。信息系统审计准备阶段步骤与传统审计类似,通过从被审计单位获取相关信息系统管理的规章制度,找负责系统维护管理的工作人员座谈,实地观察等方式,完成审前调查,进行风险评估、初步确定审计重点和制定审计实施方案等工作。
2.审计实施阶段。信息系统审计在实施阶段分为两部分,分别为信息系统一般控制审计和应用控制审计。一般控制审计往往比应用控制审计更为重要,因为应用控制的有效性常常受到一般控制的影响。根据审计项目不同,审计人员可以只实施一般控制审计或者两者结合进行审计。(1)一般控制审计。一般控制审计又可以分为硬件和软件两部分,两部分的审计重点和方法有所不同,分别为:对硬件的审计通过实地观察法实施,主要有审计网络接口是否安全,是否有硬件防火墙,硬件设备存放环境是否安全,防火、防雷、防盗措施是否完备,是否装备了UPS,在硬件出现故障时是否制定了应急响应计划等。对软件的审计通过抽样、观察和面谈实施,审计重点为:一是系统管理控制,主要有系统设定的职责分离是否合理,授权管理是否充分,是否做到一个系统账户对应一个工作人员,是否确保了只有被授权的用户才能对特定资源和数据进行访问等;二是软件安全控制,主要有是否安装了杀毒软件,软件是否定时升级,未经授权的软件能否安装,是否有系统操作规范等;三是数据管理控制,主要有数据传输是否加密,系统数据是否定期备份,有无冗余备份,数据修改是否按照规定程序进行审核,向外部传输系统数据是否有身份认证,是否定期对数据质量进行检查等。(2)应用控制审计。信息系统应用控制是指为保证应用程序处理数据时按照组织流程运行,确保数据的完整性和真实性的控制,包括输入控制、处理控制、输出控制三部分。输入控制包括输入授权、数据转换和编辑校验,处理控制包括运行总数控制、计算机匹配和批处理控制,输出控制包括复核系统处理日志、审核输出文本、审核程序。对应用控制的审计,主要通过分析性复核和计算机辅助模拟的方法,审计重点为信息系统业务的控制点设置是否合理,数据处理程序最多运行数,是否有审核系统日志程序等。
3.报告阶段。内审人员根据实施阶段编制的工作底稿,出具审计报告初稿,与被审单位充分沟通后,修改审计报告,报相关层级领导审核后,签发正式审计报告。
二、高校做好信息系统审计的措施
1.转变观念,提高开展信息系统审计必要性的认识。“数字化校园”建成以后,高校内部控制环境已经悄然发生改变,内部审计要想充分发挥其独有的管理评价职能,必须迎头而上,及时开展信息系统审计。不少内审机构认为信息系统审计专业性太强,无从着手,实际上信息系统审计的核心并没有改变,还是对信息系统控制的评价,并没有超出审计人员专业知识的范畴。
2.结合实际,建立信息系统审计的体系。当前,国际上已经有比较成熟的关于信息系统审计的体系,那就是信息系统审计和控制联合会(ISACA)COBIT体系,但完全照搬肯定是不行的,在实际操作中,内审机构必须结合国情、校情,进行修订更改,出台符合自身工作实际的、具备可操作性的信息系统审计体系,以规范审计工作。
3.加强对内审人员的培养。内审机构可以通过以下方式提高内审人员业务素质:一是鼓励内审人员取得CISA资格。由ISACA颁发国际信息系统审计师(CISA)执业证书是唯一在国际上获得认可的证书,具有很强的权威性。二是在聘请外部审计机构进行信息系统审计的同时,让内审人员参与其中,做到边实践边总结,起到“以审带练”的作用。
信息系统审计论文篇3
论文摘要:信息技术在为人类带来益处的同时,也会带来一定的风险。实施会计信息化审计,加强对会计信息化信息系统运作的有效监督,对防范信息系统的风险将起到一定的作用。目前,多数企业,没有充分认识到会计信息化审计的积极意义和效益,对会计信息化审计的必要性认识不足,从而使会计信息化审计工作没有引起足够的重视。本文从会计信息化审计的“目标、特点、策略、前景”四个方面进行分析探讨。
一、会计信息化审计的目标
1.会计信息系统的安全性
会计信息系统的安全性是指组成会计信息系统的硬件、软件、数据资源是否受到妥善保护,不因自然和人为的因素而遭到破坏、更改或者泄漏系统中的信息。会计信息系统的资源通常包括硬件、软件、数据文件、系统文档、消耗性材料和其他设施。这些资源经常放在一处或几处,硬件可能被恶意破坏,软件和数据文件的内容可能丢失或毁损,消耗性材料和数据资源可能未经批准而被使用。会计信息系统的安全是通过建立相应的安全控制措施而加以保护的,评价会计信息系统的安全性,主要是审查会计信息系统的安全控制措施是否健全有效,对于不足之处应提出需要进行改进与完善的建议。
2.会计信息系统的可靠性
会计信息系统的可靠性是由其中的硬件系统的可靠性、软件系统的可靠性及数据的可靠性等因素共同决定的。软件系统的可靠性是指在运行环境中,在规定的运行时间内或规定的运行次数下,程序和所有数据元素运行不同测试用例的无差错概率。硬件系统的可靠性是指在一个指定的时间周期内,在给定的控制条件下,硬件系统执行所需功能的成功概率。数据可靠性是指数据的真实、准确和及时,它取决于系统绝对数据的处理过程是否准确无误,以及确保数据可靠的控制措施是否有效。系统的可靠性还体现在它的容错能力上。对会计信息系统可靠性的评价要检查系统的运行是否稳定可靠、是否容易出现偏差和错误,是否能抵御外界干扰而正常工作。评价会计信息系统的可靠性时,审计人员应对决定会计信息系统可靠性的各项因素进行综合审查和评价。
3.会训信息系统的有效性
会计信息系统的有效性是指该系统能否实现既定的目标、系统的各项处理过程是否符合国家法律和有关规章制度的要求。评价会计信息系统的有效性,必须了解用户的需求。会计信息系统有效性的审计一般在系统运行一段时间之后进行,通过事后审计可确定会计信息系统是否能实现既定的目标,根据审计的结果,管理者可做出相应的决策。
二、会计信息化审计的特点
1.审计的所有领域全面运用现代信息技术
目前,审计在每一领域都还做得不够,如:尚未构筑起适应现代技术发展的一种或多种可能的、可用于解释和预测多种审计现象的多维审计理论—,这种理论将使对审计环境、目标、本质、假设、概念、标准、技术、方法、过程等的论述更新颖、更丰富、更具逻辑性和环境适应力;急需加速我国的审计工作从落后的“绕过计算机审计”向先进的“通过计算机审计”和“使用计算机审计”转化。如何利用现代信息技术管理责任与风险巨大的审计(尤其是***审计)行业是一个值得探讨的问题,新时期,所有的审计人员都应成为完全意义上的电脑审计人员,而这是审计(后续)教育的重要任务。
2.会计信息化审计系统具有极强的适应性
信息化会计信息系统的多元、实时、开放性使会计信息化审计也具有多元、实时、开放性特征,实时审计、会计责任审计、环境审计、境外审计等都将因此而变得更加容易。
3.会计信息化审计将对传统审计进行重整
尽管“两权分离的程度决定了审计主体的种类和被审计单位的形式”,“审计效率和审计风险的矛盾决定了审计程序和方法的历史变迁”,但如果所有的计算机只囿于会计电算化信息系统的水平,提供的信息单一、过时、封闭,国外的会计师事务所的非审计业务(其必须依赖于多元、实时、开放的信息)收入又怎能达到其总收入的70%(我国仅30%左右)?事实上,正是信息量极大丰富的信息化会计信息系统和全新的会计信息化审计理论,支持了卓有成效的“四大”国际会计公司及其或集权或分权的管理模式,支持了审计效率和审计风险矛盾的最有效的解决,从而支持了现在和将有的多种繁杂的具体业务。
三、会计信息化审计的策略
1.建立会计信息化审计组织机构
会计信息化审计组织机构不健全将会阻碍我国会计信息化审计的发展。为适应未来我国会计信息化审计发展的客观要求,我国应尽快建立自己的会计信息化审计组织机构,按照会计信息化审计的要求组织、协调会计信息化审计工作,规划会计信息化审计的发展策略和职业培训计划,研究会计信息化审计理论、方法、技术和规范,指导会计信息化审计工作。在这项工作的起步阶段,***府应加强领导力度,从宏观上搞好规划安排,从资金和技术上扶持会计信息化审计,有效规划、部署和指导我国的会计信息化审计工作。2.加强会计信息化审计理论研究
审计理论来源于审计实践,又反过来指导、促进审计实践,二者不可偏废。没有审计实践,审计理论无法产生,没有审计理论指导的实践会走弯路。因此,要在审计实践中善于及时发现、总结规律性的问题,将其上升到理论的高度。国内学术界、***府研究机构应当加强会计信息化审计的理论研究,积极开展学术交流,密切关注国际会计信息化审计的最新发展动态,不断发展与完善会计信息化审计理论,从而更好地为会计信息化审计实践活动提供指导,促进我国会计信息化审计事业的发展与繁荣。
3.制定会计信息化审计准则
会计信息化审计同传统财务审计相比,在审计对象、审计目标、审计内容等方面均有所不同。为了规范会计信息化审计业务,明确工作要求,保证执业质量,应研究和制定我国的会计信息化审计准则和实务指南。会计信息化审计发展到一定阶段,必须由行业组织出面将实践经验加以总结,并把有关概念、工作流程和技术方法固定和统一起来,形成行业标准和规范。
4.强化企业领导加强管理与控制的观念
树立企业领导的信息化会计信息系统管理意识是开展会计信息化审计工作的关键。因此,企业主管部门在充分领会***有关“国民经济信息化”指示精神,认真抓好企业信息化建设的同时,还必须注重对企业领导进行会计信息化系统管理与控制的思想教育,促使企业领导从企业生存与发展的高度来认识会计信息化审计的重要意义,重视会计信息化审计工作,将会计信息化审计作为一项重要工作来抓。
5.大力培养会计信息化审计人才
从内部讲,一是强化培训。各级审计机关要拥有完备的培训基地,从自己的需要加强不同岗位的适应性培训;二是重点选拔。即有重点地选派一些“尖子”人才进高校深造,进行知识更新,或参与国际技术交流和技术合作,在实践中不断增长才干;三是完善机制。要逐步形成能有效鼓励各类人才脱颖而出,能最大限度地挖掘,激发各类人才智力潜能的运行机制,使知识最终能作为最重要的生产要求参与分配。
6.加大会计信息化审计的宣传力度
开展会计信息化审计的主要障碍之一是对会计信息化审计的必要性认识不足,必须加大会计信息化审计的宣传力度,如实宣传网络环境下重构后的会计信息系统所带来的风险,大力宣传会计信息系统控制的重要性,让更多的经营管理者,真正认识到开展会计信息化审计的必要性,增强会计信息化审计的迫切性,促进社会舆论对会计信息化审计的理解与支持,进而推动会计信息化审计工作的开展。
作者单位:河南工程学院
参考文献:
[1]谢诗芬.高级财务会计问题研究[M].四川:西南财经大学出版社,2004.45-52.
[2]胡仁显.自助式会计信息系统[M].上海:立信会计出版社,2003.78-82.
信息系统审计论文篇4
[关键词] 会计信息化;审计;监督
[中***分类号] F239.1 [文献标识码] A [文章编号] 1673 - 0194(2012)21- 0032- 02
会计信息化审计是指利用现代信息技术,对传统审计模式进行重构,并在重构的现代审计模式上通过评价控制会计信息化系统,深入开发和广泛利用审计对象,建立技术与审计高度融合的、开放的现代审计监督体系,以提高审计在优化资源配置中的作用,促进经济发展和社会进步[1-3]。信息化环境下,会计信息输出的实时化要求审计监督必须向实时审计鉴证方向发展。不仅如此,实行会计信息化后,一些审计证据更具易逝性,使审计难度更高,风险加大。因此必须变革审计技术和方法,实施内部审计信息化建设,增强其在信息化环境下查错防弊、规范管理、遏制腐败、打击犯罪的能力[4]。
1 会计信息化环境下审计的目标、对象及内容
(1)会计信息化审计以会计信息系统的安全性、可靠性和有效性作为审计目标。审计部门可通过数据通讯的控制测试、硬件系统的控制测试、软件系统的控制测试、数据资源的控制测试、系统安全产品的测试等方式来测评信息系统的安全可靠性。同时,在风险评估的基础上,从一般控制和应用控制两方面评价信息系统有关控制的健全性和有效性。
(2)会计信息化审计的对象就是会计主体。审计对象从传统的被审单位的看得见、摸得着的纸制账、表、证转变为无纸化的电子数据、文件;审计方式从审计人员采用传统的手工翻账、计算、记录、核对转变为通过鼠标的点击方式;审计的范围已经不再是传统的被审单位的纸制资料、数据,而是包括对被审计单位的计算机系统平台、业务处理系统、电子数据、文件以及软件、硬件获取、操作安全性等多个方面。
(3)会计信息化的审计内容是会计信息系统。会计信息系统与手工会计系统不同,它是由会计数据体系、计算机硬件与软件以及系统工作人员和维护人员组成,所以会计信息系统的审计内容与手工会计系统也存在着较大的差别。会计信息系统审计的内容主要包括:对会计信息系统的内部控制的审计;对会计信息系统的处理和控制功能的审计,也可称为对会计信息系统程序的审计;对会计信息系统的处理对象即会计数据的审计;对会计信息系统开发质量的审计[5]。
2 会计信息化对审计的影响
(1)传统的审计线索缺失。在手工会计方式下,凭证、账簿及会计报表等各种审计资料都是按照一定的标准填写与登记,并有经手人签字,是可见的文字、数字记录。而在信息化会计系统中,原先审计所必须审查的大量书面资料都存储在磁性介质中,肉眼不可见,会计数据的生成方式、传递方式也发生了变化,原有的审计线索改变了方式或干脆消失了。
(2)会计信息系统是建立在互联网和计算机基础之上的,信息系统的引进会给会计信息带来一定的安全隐患,这是由信息系统固有风险所造成的。在计算机以及网络环境下,会计信息系统存在技术风险、业务风险、控制操纵数据风险、篡改调用程序风险、纠错风险和安全风险等,这些风险无疑加大了审计人员的监督难度,而且对审计人员的素质有很高的要求。
(3)审计技术的复杂化。在会计信息化的条件下,原有的审计技术方法虽然仍然有效、仍很重要,但已经不能满足对会计信息系统进行审计的需要,信息处理的电算化和信息存储的电磁化,使得审计人员只能利用计算机对数据和系统进行审查,计算机辅助审计成为必不可少、效率更高的审计技术[6]。
(4)会计信息化导致当前审计的风险抵抗力下降。如果按照传统审计方法,审计人员能抵挡一定的风险,但随着信息化会计的深入应用,审计人员老龄化及审计人才缺失的问题将会日益突出,审计风险将不断加大[7]。
3 会计信息化审计的策略
(1)制定并统一会计信息化审计准则。在会计信息化环境下,现有的一些法律法规呈现出滞后性,对会计信息化审计缺乏操作性,无纸化的电子信息能否作为审计的有效证据是亟待解决的问题。为了规范会计信息化审计业务,明确工作要求,保证审计质量,应研究和制定我国的会计信息化审计准则和实务指南。一方面,有赖于***府制定相关的法律法规,对电子信息的有效性进行明确的界定,使会计信息化审计切实做到有法可依。另一方面,可以由行业组织出面将实践经验加以总结,并把有关概念、工作流程和技术方法固定和统一起来,形成行业标准和规范,不断完善原有的技术规范,统一网络技术管理规范、计算机系统内部控制的评价标准和要求,并对审计人员应具备的资格、计算机审计过程和相关的审计技术以及证据收集等方面做出规范。
(2)加强会计信息化审计理论研究及学习。审计理论来源于审计实践,又反过来指导、促进审计实践,二者不可偏废。没有审计实践,审计理论无法产生,没有审计理论指导的实践会走弯路。因此,要在审计实践中善于及时发现、总结规律性的问题,将其上升到理论的高度。国内学术界、***府研究机构应当加强会计信息化审计的理论研究,积极开展学术交流,密切关注国际会计信息化审计的最新发展动态,不断发展与完善会计信息化审计理论,从而更好地为会计信息化审计实践活动提供指导,促进我国会计信息化审计事业的发展与繁荣。每位审计人员应当加强对计算机知识的学习,而且还要增强开展计算机审计的意识,并掌握计算机审计操作方法,逐步能根据审计过程中所出现的种种问题及时编写出各种测试、审查程序的模块。
(3)积极探索审计方法的创新。审计环境的变化,客观上要求审计方法也要创新,审计过程中所产生的信息流如同审计基本程序一样,要有条不紊,秩序井然。在审计过程中,审计人员可以采用计算机抽样或者建立数据模型来辅助审计,使审计人员从简单的重复劳动中***出来,利用现代手段,找到审计的关键点和线索。通过计算机的海量搜寻,可以进一步扩大和延伸审计范围,从而可以抽取足够多的样本,达到从单一的事后审计转变为事后审计与事中审计相结合,从单一的静态审计转变为静态审计与动态审计相结合,从单一的现场审计转变为现场审计与远程审计相结合的目标。审计人员还可以充分运用数学方法、会计方法、控制方法等多学科的方法交叉进行,从而达到发现问题、分析问题和解决问题的目的。
(4)在审计软件技术的开发上下功夫。由于审计的范围已扩大到会计信息系统及其他计算机信息处理系统,迫使审计人员在采用传统的各种审计技术的同时,采用计算机辅助审计技术,用日益先进的计算机审计软件去对付单机、网络、多用户等各种工作平台下的会计软件。审计软件是大量审计方法和技术的集成,一般包括内部控制评价、审计计划管理、数据转换、抽样审计、实质性测试、会计报表生成、审计工作底稿打印与管理、审计证据归集与评价、审计报告生成等功能。为适应会计信息化环境下的各种财务软件的发展,必须提高开发审计软件的速度,加快审计软件更新换代的步伐,开发通用审计软件和专用审计软件。
(5)大力培养复合型会计信息化审计人才。当前大部分具有丰富的会计、审计知识和经验的老审计人员,由于历史、客观的原因使他们接触计算机的机会不多,造成一些知识结构上的欠缺。而年轻的审计人员虽然掌握一定的计算机知识,但由于非计算机专业毕业,仅掌握浅层次的计算机基础知识和运用技能,缺乏深层次的计算机系统设计、程序编译检测技能,不能有效分析系统结构。因此要真正运用计算机软件完成难度较大的实质性审计程序尚有难度,需依赖专业的计算机技术人员协助,但又造成审计人员***性减弱。因此培养复合型审计人员迫在眉睫[8]。审计机构应注重从多渠道对现有的审计人员进行培训,加快审计人员的知识更新,以适应会计信息化审计的要求。对审计专业人才的培养,既包括对审计人员计算机专业知识的培养和财务知识、审计知识的更新,也包括对计算机专业人员财务知识、审计知识的培养和计算机知识的更新。首先应强化培训。各级审计机关要拥有完备的培训基地,从自己的需要出发加强不同岗位的适应性培训。其次应重点选拔人才。即有重点地选派一些“尖子”人才进相关高校深造,进行知识更新,或参与国际技术交流和技术合作,在实践中不断增长才干。
(6)提高审计风险的防范能力,加强对信息系统的安全性和保密性进行审计。侧重对数据的输入与输出,软件开发维护及系统程序修改或管理等之间的关系处理进行审查,并对被审计单位网络结构进行分析与评价,以确认防范黑客侵入的能力;对被审计单位的系统容错处理机制、安全管理体制和安全保密技术等作深入的了解,以评价其系统安全性的等级,从而有效地控制审计风险[5]。
(7)加大会计信息化审计的宣传力度。开展会计信息化审计的主要障碍之一是对会计信息化审计的必要性认识不足,必须加大会计信息化审计的宣传力度,如实宣传网络环境下重构后的会计信息系统所带来的风险,大力宣传会计信息系统控制的重要性,让更多的经营管理者,真正认识到开展会计信息化审计的必要性,增强会计信息化审计的迫切性,促进社会舆论对会计信息化审计的理解与支持,进而推动会计信息化审计工作的开展[9]。
主要参考文献
[1]常婕.会计信息化对传统审计的影响及对策[J].企业导报,2011(1).
[2]宋璇.会计信息化下审计模式的创新[J].会计师,2009(6).
[3]谢京华.会计信息化下的审计问题[J].审计与理财,2007(5).
[4]张定明.信息化环境下内部审计如何应对会计舞弊[J].卫生经济研究,2007(9).
[5]王彩.试论会计信息化审计[J].经济管理者,2010(14).
[6]王逢娜,宋哲.会计信息化对审计的影响及对策[J].合作经济与科技,2007(1).
[7]宋英.会计信息化对审计的影响[J].审计与理财,2011(5).
信息系统审计论文篇5
1建立系统设计前期研发机制
以公司科技项目、管理咨询项目研究为依托,建立系统设计前期研发机制。通过将ERP业务审计研究、智能分析审计体系研究、公司信息化环境下内部控制特性及其审计研究等项目列入公司科技项目、管理咨询项目计划,联合国际知名的审计软件开发商、公司系统信息化建设单位,深入研究审计信息系统开发、建设各方面问题,根据审计信息系统建设的最新发展,借鉴国内外优秀企业的领先实践,研究提出了ERP业务审计系统、智能连续审计系统(审计监控预警系统)开发建设的技术路线、系统架构与功能,为系统开发奠定基础。
2建立系统建设过程管控机制
得到各业务部门的大力支持,获取多部门业务数据,是推进审计系统建设的管理难点。为此,审计部门紧抓机遇,以公司开展的“数据共享与业务融合”专项治理活动为契机,将审计系统建设所需数据集成需求,纳入公司重点工作平台,大力推进与相关业务部门的沟通协调工作,获得各部门的充分理解和对数据提供的大力支持。在系统建设过程中,通过与公司信息化主管部门建立周、月例会机制,及时研究讨论系统开发建设中出现的问题,加强系统建设过程管控,提高系统建设质量;根据各单位的反馈意见和建设中出现的问题,组织业务骨干开展技术攻关,持续优化完善系统功能及其实现方式,提高系统易用性水平,为建成好用、实用、高效的审计信息系统提供有效的机制保障。
3建立系统应用情况考核机制
通过制度指导、强化考核、典型示范、知识普及,推动各单位积极应用信息系统开展审计工作,创新信息化环境下的审计工作方式。一是制定下发《关于加强审计信息系统深化应用工作的实施意见》,对各单位做好系统应用工作、健全系统运维体系、加强应用环境保障等方面提出具体要求;制定系统应用定期考核、量化评分机制,发文通报考核情况,不断缩短考核周期,持续加大考核力度。二是将信息化纳入审计工作管理对标的四项重点之一,引导所属各单位着力推进审计信息化,深入思考,及时提炼工作经验,通过典型经验的机制,共享先进经验,发挥示范引领作用。三是建立审计信息系统深化应用培训的常态机制,培训工作纳入每年年度工作计划,公司总部、分部、省公司(直属单位)各司其职,开展分层、分类培训,加强系统应用知识、管理制度的推广、宣贯力度。
4建立审计信息化理论研讨机制
组织各单位结合自身实际,认真总结、提炼审计信息化建设、应用方面的成功经验,分析存在的问题,并提出建设性的意见和建议,开展理论研讨,撰写工作论文;抽调部分单位的审计信息化骨干组成评审专家组,对各单位提交的论文进行评选,提出修改完善意见,遴选优秀论文报送中国内部审计协会参评内部审计理论研讨优秀论文,并在审计门户系统开辟专栏共享研究成果,在公司系统培育学、用信息系统的良好氛围。
二、实施效果
1构建了体系完整的审计信息化体系
审计门户系统、审计综合管理系统、ERP业务审计系统、管控业务审计系统的相继建设应用,初步搭建起审计信息化平台,基本实现审计管理和审计作业的信息化。审计门户已成为审计人员应用系统,以及公司各单位交流审计工作信息、共享审计工作经验的重要平台;审计综合管理系统以项目管理为核心,实现了审计项目从计划到项目终结的全生命周期闭环管理,促进了审计管理的信息化;ERP业务审计系统、管控业务审计系统实现了审计业务对财务、工程、物资、设备、人力资源、营销管理等电网企业主要业务的全面覆盖,彻底改变了传统计算机辅助审计仅限于财务领域的状况,标志着审计信息系统与各主要业务应用系统的紧密融合,通过信息共享和互联,改变“信息孤岛”状况,初步实现了“信息共享,全程控制,***监督,辅助分析”的审计信息化建设目标。
2促进了审计部门履职能力的提高
审计系统功能设计体现的是经过凝练的专家经验,能够为审计人员提供高效率的辅助分析工具。通过对最直接、最有效、最核心的审计专家经验知识进行归纳、提炼,所建立的一系列审计分析模型,为审计人员提供了标准化、高效率的审计方法和工具,全面提升了内部审计在提供专业咨询、鉴证意见和增值服务方面的职能。审计人员应用系统探索开展非现场审计,在充分发挥信息系统应有效能的同时,利用审计监督视野广的优势,通过对跨业务数据进行整合分析,及时为公司相关决策提供信息支持,高效提升了审计工作价值。
3保障了依法治企工作水平的提升
信息系统审计论文篇6
现阶段,内部审计信息化建设的过程中,主要面临着理论体系缺乏标准性、信息化建设风险控制工作不够全面、内部审计信息化建设的功能不够完善等困境,对此必须采取针对性的解决措施,本文主要对内部审计信息化建设进行研究。
1 内部审计信息化建设中遇到的困境
1.1 理论体系缺乏标准性
理论上内部审计信息化建设主要从信息系统的安全以及数据分析等两方面进行,但是,在实际的建设中却发现,对于内部审计信息化建设的理论体系还缺乏标准性,不仅造成了内部审计信息化建设缓慢的局面,甚至还造成大量的建设资源浪费的现象[1]。
1.2 信息化建设风险控制工作不够全面
内部审计信息化建设是综合先进的信息技术、计算机技术、数据传输存储技术等多项技术为一体的信息化系统,也是内部审计走向信息化道路的重要途径。但是,就内部审计信息化建设过程来分析,对风险控制不够全面,例如,数据丢失、篡改、被盗取等严重威胁到信息数据的安全性。另外,再加上内部审计信息化数据传输接口存在不统一现象,造成大多数据很难完成相互之间的转换,从而影响到内部审计信息化建设的安全性。
1.3 内部审计信息化建设的功能不够完善
随着社会经济的不断发展,信息化建设水平的不断提升,内部审计工作也迎来的巨大的挑战[2]。信息化建设也成为内部审计必须要完善的关键环节,但是,由于内部审计涉及到的岗位以及行业较多,对内部审计的要求也有所不同,这样就会导致内部审计信息化建设水平出现差异,信息化建设平台的功能性不够全面,影响到内部审计信息化建设效率。
2 内部审计信息化建设的策略分析
2.1 制定内部审计信息化建设的标准化理论体系
内部审计信息化建设理论体系的标准性是对内部审计信息化工作一种约束的方式,更是提高内部审计质量的关键所在,通过以上的分析得知,现阶段内部审计信息化建设的理论体系缺乏标准性,因此,要制定内部审计信息化建设的标准化理论体系。首先,要掌握内部审计信息化实施的主要工作环节,再对各个环节运行的标准化体制进行建设,例如,内部审计信息化系统的运行、审计技术、审计过程、审计证据收集、系统后期的维护等。其次,内部审计信息化的建设必须对系统自身提出一定的规范性要求,而且,要在建设以及实践的过程中,不断的利用信息化技术来完善内部审计系统,当然,必须要在标准化理论体系的基础上来完善的,这样才能有效提高内部审计信息化系统的建设质量,同时能有效的减少建设资源的浪费。
2.2 完善内部审计信息化系统的风险管理体系
内部审计信息化系统的数据主要以电子版数据为主,相比于传统纸张记录的数据来说,不仅能够节省大量的资源,同时还便于查找和调用,但是,由于电子版数据具有可篡改、可删除、恢复难等特征,也使得内部审计信息化系统在运行的过程中可能出现一定的风险,对内部审计信息系统运行的安全性造成极大的影响,因此,要不断的完善内部审计信息化系统的风险管理体系[3]。首先,要根据内部审计信息化应用的特点以及需求,对内部审计系统建立风险预警,同时要重视对系统中的重点业务以及可能发生的风险环节进行有效的监控以及统一的管理。其次,要加强对内部审计信息的预测和分析,一旦发现风险因素,要及时采取有效的处理措施来规避风险,或是将风险带来的损失降至最低。再次,如果内部审计信息化应用到企业中之后,也结合企业的实际发展情况,内部审计信息归入企业风险管理中,并对其进行合理的资源配置,同时要做好内部控制工作,并对内部审计的流程进行不断的优化,将内部审计信息安全作为首要的审计工作。最后,在内部审计信息化建设的过程中,要完善风险评价、风险管理以及风险监控等体系,可以充分应用到计算机先进技术,不断的提高内部审计信息化风险管理水平,确保内部审计信息化建设以及实践的安全性。
2.3 加大内部审计信息化建设力度,完善信息化平台功能
由于内部审计信息化平台涉及面较广,为了避免出现功能不全面的现象,必须要加强内部审计信息化的建设力度,不断的完善信息化平台的功能[4]。内部审计信息化平台的功能应向着综合化应用平台发展,不仅要注重内部审计的工作,更要做好内部审计业务的管理、外部查证、预警功能等,同时还要结合内部审计信息化系统的具体应用情况,完善相应的功能,例如,网络办公自动化、审计业务、审计决策、审计业务管理、审计资源管理、审计数据综合分析等,在拓展内部审计信息化平台的同时,将内部审计信息化系统向着规范化、信息化、标准化、流程化的方向发展。另外,要建设人力、财力、物力、营销、供应、产品等多项数据综合调查分析功能,这样就可以通过内部审计信息化系统来实现对企业的发展情况进行全面的分析,对企业发展过程中做出正确的决策有着重大的作用。
信息系统审计论文篇7
关键词:信息化;审计;分析
一、会计信息化审计的目标
(一)会计信息系统的安全性
会计信息系统的安全是指存储数据,文件信息等构成的会计信息系统的硬件,软件方面的安全保护。不会因为外在因素而使会计信息受损或泄露。会计信息系统的资源包括计算机硬件,软件,存储文件和其它设施。会计信息的这些资源放在一起活零星散放很有可能造成资源的损坏,丢失,如硬盘遭到破坏,存储数据遭到毁坏,文件丢失,会计的消耗类资源等在没有被批准的情况下而被使用。会计信息安全是通过建立一系列安全措施对会计信息的资源进行有效的保护,避免资源的破坏,损失而造成会计信息的缺失。检查一个会计信息系统的安全性,主要是看其是否拥有一套系统的安全保护措施,对安全系统的不到位的地方改进和完善。
(二)会计信息系统的可靠性
会计信息系统的可靠性是有其构成的部件的软硬件系统的可靠性决定的。其软件系统的可靠性是指软件在运行的过程中,在规定的时间和运行次数下在不同的测试试用例的无差错概率。硬件的可靠性是指在在给定的控制条件下,硬件系统执行所需功能的成功概率。数据可靠性是指数据的真实、准确和及时,它取决于系统绝对数据的处理过程是否准确无误,以及确保数据可靠的控制措施是否有效。系统的可靠性还体现在它的容错能力上,审计人员应对决定会计信息系统可靠性的各项因素进行综合审查和评价。
(三)会训信息系统的有效性
会计信息系统的有效性是指该系统能否实现既定的目标、系统的各项处理过程是否符合国家法律和有关规章制度的要求。评价会计信息系统的有效性,必须了解用户的需求。会计信息系统有效性的审计一般在系统运行一段时间之后进行,通过事后审计可确定会计信息系统是否能实现既定的目标,根据审计的结果,管理者可做出相应的决策。
二、会计信息化审计的特点
(一)审计的所有领域全面运用现代信息技术
现在我国的会计审计在任一行业做得还都不够到位,例如,我国还没有建立起一套适应现在社会发展可用于解释和预测多种审计现象的多维的审计理论,这种理论将使对审计环境、目标、本质、假设、概念、标准、技术、方法、过程等的论述更新颖、更丰富、更具逻辑性和环境适应力;急需加速我国的审计工作从落后的“绕过计算机审计”向先进的“通过计算机审计”和“使用计算机审计”转化。如何利用现代信息技术管理责任与风险巨大的审计(尤其是***审计)行业是一个值得探讨的问题,新时期,所有的审计人员都应成为完全意义上的电脑审计人员,而这是审计(后续)教育的重要任务。
(二)会计信息化审计系统具有极强的适应性信息化会计信息系统的多元、实时、开放性使会计信息化审计也具有多元、实时、开放性特征,实时审计、会计责任审计、环境审计、境外审计等都将因此而变得更加容易。
(三)会计信息化审计将对传统审计进行重整
尽管“两权分离的程度决定了审计主体的种类和被审计单位的形式”,“审计效率和审计风险的矛盾决定了审计程序和方法的历史变迁”,但如果所有的计算机只囿于会计电算化信息系统的水平,提供的信息单一、过时、封闭,国外的会计师事务所的非审计业务收入又怎能达到其总收入的70%(我国仅30%左右)。事实上,正是信息量极大丰富的信息化会计信息系统和全新的会计信息化审计理论,支持了卓有成效的“四大”国际会计公司及其或集权或分权的管理模式,支持了审计效率和审计风险矛盾的最有效的解决,从而支持了现在和将有的多种繁杂的具体业务。
三、信息化审计技术分析
(一)风险评价
审查和评价内部控制主要是对影响内部控制风险的因素作进一步的排查,找出内部控制的薄弱部位,以预防可能出现的风险,做到未雨绸缪,风险发生时可以采取有针对性的措施应对。其基本步骤如下:
1.风险评价证据的收集。证据是会计审计工作的重点,为此风险评估也要以证据为依据。审计工作人员在评价和审查内部控制风险因素时,其工作的重要任务就是找到证据,并把其装订成工作底稿的形式做成审计文档,如资产安全性风险评价底稿、会计信息系统软件可靠性风险评价底稿等。
2.风险证据的量化。审计工作人员在找寻证据,制作审计底稿的基础上,要根据审计工作的实际情况和信息系统的特点,可以使用相应的审计辅助软件,对审计底稿的各项指标进行计量处理,并按照风险对控制影响的严重程度排序,以方便对审计的重点指明方向。
3.编制系统整体风险分析表。审计工作人员在对审计工作底稿进行风险影响排序以后,其重点审计的项目已经明确,并把那些对内部控制影响较严重的项目进行认真,详细的审计。
(二)数据库审计方法
在电算化会计信息系统中,手工会计的账、证、表、单以数据库或数据文件的形式存放在磁性介质中,鉴于磁性介质的特殊属性,如何确保电子会计数据的完整性和准确性显得非常重要。
1.审计软件取数分析技术。伴随着计算机技术的飞速发展,会计类的软件系统也随着跟新换代,新型的会计软件系统功能更全,水平得到了很大的提高。审计工作人员可以充分的利用这些会计软件所提供的功能,依据实际审计结果选择相应的条件和参数,以便获得所要抽取的相关业务数据。
2.采集数据方法。现在科学技术水平得到了飞速的发展,特别是计算机技术也得到了不断的发展,为此可以根据需要设计一个会计审计程序,扩展到现在审计单位的会计软件中,会计审计工作人员只需定期调阅这些证据文件,就可以知道怎么进行会计审计工作,提出相应的审计意见。
3.扩展记录方法。现在我国很多企业所使用的会计信息系统都没有考虑会计的审计线索,即便考虑了其审计线索,其考虑的也不够全不能够满足会计人员的需求。在对被审计的企业会计信息系统熟悉的情况下,会计工作人员可以使用记录扩展方法。所谓的会计记录扩展方法是指会计工作人员在数据记录的过程中添加必要的字段来记录所需的数据,以方便在会计审计时候能够直接使用这些审计的线索。
参考文献:
[1]谢诗芬.高级财务会计问题研究[M].四川:西南财经大学出版社,2004.45-52.
[2]胡仁显.自助式会计信息系统[M].上海:立信会计出版社,2003.78-82.
信息系统审计论文篇8
摘要:本文简要介绍了信息系统审计的相关概念,归纳了信息系统审计的方法、技术与工具,最后针对信息系统审计在信息化过程中的应用,总结出了其应用价值。
关键词:信息系统审计;企业信息化;信息系统
信息化是国家现代化的基本标志,也是一个国家综合国力的集中体现。信息化建设是一项长期的、综合的系统工程,在改善企业运作管理水平、提高工作效率的同时,也产生了巨大的风险。因此,建立信息系统审计制度,发展信息系统审计是信息化过程中必不可少的制度保证和手段。
一、信息系统审计的概述
1.信息系统审计的定义
信息系统审计(InformationSystemAudit信息系统,简称ISA)目前还没有公认的通用定义,国际信息系统审计领域的权威专家RonWeber将它定义为:收集并评估证据,以判断一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济地使用资源。可通俗的理解为是对信息系统的规划、开发、实施、运行和维护等各个环节进行评价,确保其符合企业经营目标的过程。
2.信息系统审计的业务内容
信息系统审计的业务内容包括计算机资源管理审计、软硬件等获取审计、系统软件审计、程序审计、数据完整性审计、系统生命周期审计、应用系统开发审计、系统维护审计、操作审计和安全审计。
信息系统审计项目按生命周期来划分,一般分为信息系统开发过程的审计、信息系统运行维护过程的审计和信息系统生命周期共同业务的审计。
信息系统开发过程中的审计是伴随着系统规划、系统分析、系统设计、编码、测试和系统试运行这几个阶段同步进行的。信息系统运行过程中的审计包括系统输入审计、通信过程审计、处理过程审计、数据库审计、系统输出审计和运行管理审计;信息系统维护过程中的审计包括维护组织审计、维护顺序审计、维护计划审计、维护实施审计、维护确认审计、改良系统试运行审计和旧信息系统报废审计。
3.信息系统审计的流程
信息系统审计流程包括三个阶段即:审计计划阶段、审计实施阶段和审计完成阶段。
计划阶段是信息系统审计流程的第一步,主要任务是了解被审系统的基本情况;与委托单位签订业务约定书;初步评价被审系统的内部控制及外部控制;确定重要性水平;分析审计风险和编制审计计划。
实施阶段的主要任务是根据重要性水平、风险和计划获取有关资料;进行符合性测试和实质性测试;对测试结果进行分析;找出导致结果的原因。
完成阶段的主要任务是整理、评价审计证据;复核工作底稿,完成二级复核,汇总审计差异,同被审系统管理层交流;对重要性水平和风险进行最终评价,形成审计意见,编制审计报告,完成三级复核。
二、信息系统审计的方法、技术与工具
由于信息系统本身的多样性和复杂性,信息系统审计的难度也随之增加。面对错综复杂的信息系统和审计环境,要求审计师可以根据审计组织及信息系统的实际情况,结合审计目标、成本效益、审计小组的人员与设备配置情况等,采用多种方法、技术和工具来帮助他们进行审计工作。
1.常规的审计方法、技术与工具
常规的审计方法包括面谈法、问卷调查法、系统评审会、流程***检查、程序代码检查、程序代码比较和测试等。但在高度计算机化的信息系统中,只采用常规审计法显然是不够的,无论是审计证据的收集、评价,还是实现审计工作的现代化,都需要借助计算机来高效完成。
2.计算机辅助审计的技术与工具
信息系统被普遍应用与企业生产、管理及经营活动的各个环节,审计师为达到审计目的,必须要收集大量储存于计算机中的数据,并借助于计算机对这些数据进行分析,以得出审计的结论。因此审计师在收集证据并分析证据时,必需利用计算机辅助审计工作,计算机辅助审计技术(ComputerAssistedAuditTechniques,简称CAAT)越来越成为审计师不可或缺的手段。
计算机辅助审计技术可以使信息系统审计师***收集审计信息,按照预定审计目标访问和分析数据、报告系统产生和维护的记录的可靠性等审计发现。所用信息来源的可靠性为得出审计结论提供了再保证。
常用的计算机辅助审计软件与技术:共用软件、测试数据、应用程序检查、审计专家系统、整体测试、快照、系统控制审计审核文档、其他特殊的审计软件等。
三、信息系统审计的应用价值
信息系统审计论文篇9
【关键词】 网络审计;信息共享;无纸化审计
网络审计作为新兴的审计形式,无论在理论上还是实践上都使传统审计发生了重大变革。网络审计在便利工作、准确高效和节约精力的同时,也面临着很多问题和风险。网络审计的全面推行和实施将是时代的必然。
一、网络审计的优势
随着网络技术在会计和审计信息管理中应用的不断深入,审计信息将提供更加专业化、准确化和智能化的服务,可以解决审计信息的海量存储、智能检索、高度共享等问题,对审计信息管理将产生变革性的影响。它与传统审计相比,除了具有便捷、隐秘、准确高效和多单位联合作业的协调等优势以外,还具有以下方面的优势:
(一)信息资源的充分共享
在实施审计过程中,计算机网络通过数据传输和数据交换网,利用通讯技术将不同地区的计算机连接在一起组成一个有机信息系统,其最大的特点是信息共享性。随着整个世界经济国际化进程的加速,我国企业与世界上不同国家与地区间的贸易来往愈来愈频繁,投资者、债权人及其他相关主体往往分布在世界不同国家与地区。因此,审计信息和审计报告是他们进行理性决策的必要信息资源。在网络环境下,审计信息可以充分共享,这样可以大大提高审计信息的使用效率。
(二)提供智能化服务
网络环境下,审计人员可以充分利用网络所特有的先进电子服务技术,查找跟踪各网络网站的审计数据资料,充分利用Web共享这些数据信息资源。网络审计所提供的智能化服务,是面向客户的智能化服务。同时在遇到难以解决、难以形成定论的问题时,也可以邀请国内外审计专家进行网上会议,共同寻找克服难点的途径,以保证给客户提供最完美、最优质的审计服务。
(三)大幅度降低费用
在网络环境下,审计领域节约的有关交易费用主要表现在以下几个方面:节约了有关搜寻审计信息、审计证据的长话、电传以及审计资料传递的邮递费,所有的一切工作都在网上进行;减轻了审计人员对审计信息的搜寻、整理、等待成本以及与其他单位、个人的联络费用;节约了有关审计人员的人力,减轻了劳动强度,节约了发生在审计工作中的能源、资源包括商品流、信息流、资金流、人员流的消耗。
(四)提供实时审计服务
在网络环境下,审计部门随时对企业进行审查,及时收集掌握被审计单位的最新会计信息和有关经济业务信息,并向有关各方,审计的时效性大大提高。审计从事后审计转变为实时审计,并从静态走向动态。
二、网络审计所面临的问题
(一)网络审计理论研究不足
在我国,网络在企业管理中的推广应用才刚刚开始,较大型的系统还不多。人们对网络财务及其网络审计的认识还较模糊,网络审计理论研究尚处于初级阶段。从发表在各种专业杂志上的有关网络审计方面的论文看,涉及网络审计理论研究的文章并不多,而市场上相关的各种审计软件不断出现,网络审计的理论研究和实践出现了不平衡的局面,网络审计软件将会因为缺乏理论的指导,重复会计软件开发初期时的老路,误入歧途,多走弯路。
(二)网络审计的相关法律和审计准则不完善
在网络时代,社会的信息化加大了社会的不确定性,而法律对规范社会经济的运作、控制社会经济秩序具有不可替代的作用,尤其在网络经济环境下,法律的重要性更为突出。网络审计作为一个维护社会经济秩序并服务于经济领域的中介活动,迫切需要一套符合自身发展规律的法律来规范,建立起一套能规范网络审计的审计准则,作为维护经济秩序的法律屏障。
美、日、英等国都制定了有关计算机审计的审计准则。国际审计准则中,对此也有专门计算机审计的范围、目标、程序、技术及方法。我国的《中国注册会计师***审计准则》中也有涉及到计算机辅助审计的内容,但针对网络经济时代下日益发展的电子商务系统及随之而出现的一系列新的问题,旧有的审计标准准则体系和法律法规体系已不能完全适应、指导和规范网络经济时代的审计实践。网络本身的虚拟性、实时性、广泛性要求比传统审计更加切实可行、更加完备的标准准则和法律法规的保证。
(三)网络审计软件不完善
目前,我国通用的高水平的审计软件还很缺乏,主要原因是财务软件在设计时大多没有考虑专用的审计软件接口,使得在财务软件中嵌入适时跟踪监控的审计程序难以实现,使审计人员采集数据出现一定困难。我国现有的审计软件大多处于仅满足穿过计算机进行审计的阶段,现场审计和小规模的会计师事务所后期报告的制作几乎还在依赖于手工操作,规模较大的一些会计师事务所开始利用VB,VC开发更为自动化的审计系统软件。
(四)网络审计面临新的审计风险
1. 网络安全的风险。网络安全问题带来的风险不仅表现在被审计企业在审计后发出的报表可能受到恶意攻击,而且还表现在网络本身对外界的高度依赖性,比如,突然断电对电脑的影响和电脑数据的保存、计算机病毒的破坏、人为的毁损等异常情况等,会导致网络审计系统的数据与信息丢失。
2. 审计动态取证的风险。在网络环境下,企业几乎所有的业务信息和财务信息都通过网络传输,业务活动的数据处理都是实时的,审计人员要完成审计取证工作的同时又不能妨碍和终止被审计单位会计信息系统的运作。而在系统运作过程当中,进行取证,本身就难度很大,同时这部分无纸化审计线索的真实性、完整性、可靠性也难以保证,从而加大了审计风险。
3.传统审计线索消失的风险。在传统审计中,审计证据都以纸介质的形式保存,审计线索十分清楚。而在网络审计中,所有的审计证据都存储在磁介质上,这些在磁介质上的信息是机器可读的,肉眼不能识别。存储在磁性介质上的无纸化审计线索存在容易被修改、删改、隐匿、转移,又无明显痕迹。这些都将使审计证据的真实性、完整性和可靠性大打折扣,这势必会加大审计风险。
(五)审计人员计算机知识的缺乏
目前,我国审计人员中,能从事网络审计的人员不论在数量上还是在质量上都有较大差距,审计人员由于不懂网络经营与网络会计的特点,不能识别审查和评价企业的风险与内部控制,难以对复杂的网络会计系统进行正确有效的评价,越来越多的审计工作依赖于不懂审计的计算机专家。这样,审计人员的***性、客观公正性将会受到威胁。同时,在审计软件的开发上,要求开发人员既有计算机软件的开发能力又有熟练的审计流程知识。因此,我国迫切需要培养一批既懂网络技术又懂审计、会计的复合型人才,各高校应对此引起高度的重视。
三、对策建议
(一)建立网络审计理论体系
网络审计理论的建立不仅是传统审计理论的一大飞跃,而且有利于网络经济的健康发展。当然,理论的形成并不是实践的简单堆砌,而是需要一种理性的思维去引导实践。因此,建立较完善的、全新的网络审计理论体系是非常重要的,审计人员和有关人员应该加强这一领域的研究。
(二)加强网络审计相关的立法和审计准则
网络的出现和广泛应用对传统审计产生了强烈的冲击。旧有的审计标准准则体系和法律法规体系已不能完全适应、指导和规范网络审计的实践。网络本身的虚拟性、实时性、广泛性要求比传统审计更加切实可行、更加完备的标准准则和法律法规的保证。如对网络审计人员的一般要求,网络系统安全可靠性评价标准等。
美国的信息产业部在构建互联网络法律框架时指出,网络立法应涉及9方面:1.身份认证与安全;2.消费者中心;3.内容与商业通信;4.信息基础设施(包括可互操作性和互联网管理);5.知识产权保护;6.司法管辖权;7.责任;8.保护个人数据;9.税赋。总之,我国要建立起适应网络审计发展的良好的法律环境,使得网上交易的法律体系与国际框架基本保持一致。
(三)加快通用的审计软件的开发
为适应会计信息化的发展,提高审计工作的效率,应组织力量加快开发会计信息化环境下的审计软件,包括通用性好、实用性强、涵盖项目管理、审计计划、数据转换、符合性测试、实质性测试、合并会计报表、审计工作底稿制作、会计报告的生成等全程一体化的审计软件。从实际情况和科学性来说,最好选择财务软件公司,它在财务软件制作方面的经验有利于网络审计测试软件的开发。软件开发时应考虑重新生成审计线索,如:财务软件里增加“有痕迹”的修改操作功能,就可重建审计线索,可为审计人员提供可信的证据。
(四)加强网络审计风险控制
为了有效地降低网络审计风险,就必须采取相应的防范和控制措施,具体表现为:
1. 对相关网络系统进行实时跟踪。首先,对被审计单位的网络系统进行评价,并利用专用的对比软件,将存放于数据库不同地址的同一种数据进行自动比较,以形成相应的记录文件,并对有差异的文件数据进行详细审查;其次,对被审计单位的自动检测数据库软件和恢复软件进行审查和评价;最后,要对被审计单位的异常贸易,通过网络进行预警提示,以降低审计风险。
2. 加强对网络系统的安全性和保密性。在网络审计系统中,一方面要满足系统开放性的要求;另一方面又必须保证系统的安全保密性。如何处理好这两个方面的关系,是网络审计信息系统设计成败的关键。由于网络审计系统是建立在Internet环境下的信息系统,其开放性无疑会得到满足,现在困难的是如何保证系统的安全性。目前,从技术上讲有这么一些措施:
(1)物理保护:物理保护主要是针对网络系统的结构与硬件设备所实施的保护措施。(2)防火墙技术:防火墙控制技术是指在审计网络与外部环境之间建立一种隔离“屏障”,它一方面能够保证在CPA审计网络与外部环境(Internet)之间进行通畅的信息交流,另一方面,授权的用户可登录进入CPA网络审计系统,从而保证审计数据的安全性与保密性。(3)反病毒:审计软件可以挂接反病毒软件,如对电子邮件、文件传输FTP、网络面程序,甚至对文档中存在的病毒进行防范和查杀。(4)网络端口保护:通常对CPA审计系统的网络端口的保护可分为单端保护和双端保护,包括主机端保护和用户端保护,包括用户验证和终端验证。
3. 审计人员参与网络财务软件的评审。为了有效地防范审计检查风险和审计控制风险,审计人员应参与网络财务软件的评审。只有对网络财务软件在进入销售市场之前进行事前审计,才能从整体上减轻审计人员的劳动强度,提高审计工作效率,为事中审计和事后审计打下良好基础。
4. 充分利用计算机审计软件进行辅助审计。审计人员在实施审计的过程中,应根据网络“即时互动”的特点,充分利用通用的或专用的计算机审计软件,有效地降低审计风险:(1)利用审计法规合法性与合规性进行全面检查;(2)利用审计专家咨询软件对特定审计事项进行重点会诊,以减少审计误差;(3)利用审计接口软件获取充分、适当的审计证据,减少审计的固有风险和控制风险。
(五)大力培养网络审计人才
拥有大批精通网络、计算机及审计业务的审计人员队伍是网络审计能否得以实施的关键。网络审计已远远超出了计算机和局域网操作的范畴,计算机与网络专家、信息系统与电子商务专家对网络审计参与将是必然趋势。
针对网络审计对人才的挑战,一般可以尝试以下解决方法:1.系统学习审计风险方面的理论知识,掌握新的审计方法。重视从审计立项到审计结论的每一个步骤,并采取相应的风险防范措施,使每一个环节的风险减少到最低程度。2.更新审计监督观念。入世后,审计监督的重点应从有形资产审计转移到无形资产审计,重视管理方面和社会效益的审计,强化高新技术产业的审计,并促使其快速成长。3.树立竞争观念,培养创新意识。知识经济条件下,科学信息化技术对经济的促进作用进一步加强,应提高审计人员对信息经济的认识,树立面向经济的竞争观念。改革教育和培训模式,提高审计人员的素质和业务水平。
【主要参考文献】
[1] 刘剑民,周咏梅. 网络审计发展中的问题与建议[J].财会通讯,2005, ( 5 ).
[2] 王风化,李金克. 网络审计风险的防范[J].
中国管理信息化,2007, ( 3 ).
[3] 文英. 网络经济环境下网络审计的研究[J]. 经济师,2004, ( 3 ).
信息系统审计论文篇10
【关键词】计算机审计发展对策
一、发展计算机审计的必要性
1、拓宽审计范围,全面开展审计监督
一方面,审计人员借助于审计软件,利用计算机提供的程序输入必要的条件进行样本抽取,对异常项目进行调查测试,以确定审计重点,并可以在一定范围内逐笔审计,使得审计内容更加广泛,审计人员可以不再由于时间和工作量的原因而缩小审计范围。另一方面,在计算机审计条件下可以利用计算机快速、准确的特点,积极开展事前审计、事中审计和效益审计,扩大审计范围、提高审计工作质量、减少审计风险,使全面审计成为可能。
2、科学统计与抽样,提高审计工作效率
会计电算化提供的电子账是肉眼不可见的,对不懂计算机的审计人员来说是风险,但对可以用计算机查账的审计人员来说是有利条件。审计人员利用计算机处理数据既快速又准确的特点,使得审计资料的审查与分析工作主要由计算机完成,从而提高审计工作效率。效益审计一般比财务审计、法纪审计需要进行更多的经济定量分析和经济效益指标的计算,利用计算机辅助审计,使得审计人员能挤出时间和精力开展效益审计,更能显示出计算机审计特有的优势。
3、查错防弊,促使会计电算化向更高的目标迈进
会计电算化后,内部控制方式发生了较大变化,内部控制变为对人和机器两方面的控制,如果会计电算化系统在控制上有漏洞,就会造成比手工记账更严重的损失。而开展计算机审计可以找出会计电算化系统内部控制制度的薄弱环节,促进会计电算化系统内部控制制度的建立,达到间接防弊的目的。
在电算系统不规范的情况下,要实现审计软件的通用性只能安排层层提示和大量的人机对话,这必定降低软件的运行速度和效率。要有效地开展计算机审计就必须做到电算会计系统的规范化。此外,深层次的计算机审计是要对会计电算化系统本身进行审查,这就要求审计人员通过打开电算化信息系统这个“黑箱”,探索和测试信息系统的处理逻辑,对它的安全性、可靠性、稳定性、合法性等方面进行监督,从而揭露问题、找出不足、提出改进意见,促使会计电算化系统向更高的目标迈进。
4、加强信息反馈,促进信息化建设
在手工审计条件下,信息的整理、反馈以及灵敏度等方面都存在着较大的不足,而计算机审计则给审计信息的利用提供了极大的便利。例如,审计电算化后,大量的审计信息、审计法规、被审单位的基本情况都存储在计算机内,需要时可随时查阅,使资料的索取更加及时;利用计算机对审计的信息进行统计、汇总、分析和上报,将会大大加快信息的反馈,增强审计系统信息的反馈能力,这将为领导决策提供更多的、及时有用的信息,能有效地发挥审计对宏观调控的作用。
5、推动审计工作规范化、办公自动化
研制开发一种操作简单、使用方便、功能性强、通用性强的审计软件是实施计算机审计的关键。手工条件下,审计人员在各自负责的项目范围内开展工作,工作存在大量的重复劳动。在计算机审计情况下,每个审计人员工作的中间结果大家可以共享,对某一项目的各个部分可根据专业分工同时开展工作,然后把结果汇集到一起,整合成一个完整的工作成果,不仅能节约大量的人力,还能极大地提高审计工作效率,保证审计工作的质量和进度。同时,通过计算机辅助管理,给文字处理、审计程序、审计工作底稿、电子表格等建立规范的模板,使审计工作规范化、审计手段现代化、审计领域高科技化。
二、目前在我国发展计算机审计存在的主要问题
虽然在信息化的推动下,我国的计算机审计有了迅速的发展,但总的来说还是处于学习和摸索阶段,还存在着不少问题,主要有以下几个方面。
1、相关法律法规不完善,准则缺乏可操作性
审计必须依法进行,计算机审计工作同样要依法进行,但目前我国计算机审计的相关法律法规还不完善,特别是与电子商务、网络经济和计算机应用有关的法律法规。例如对联网审计中审计人员应具有的相应的权力和权限、被审计单位的义务、对数据的机密性和隐私性的规定等相关的立法还很欠缺。
2、计算机信息系统的可审性不强
(1)不提供审计所需的数据接口,也不提供系统凭证、账簿和报表的文件结构及设置,很难进行审计取证工作。虽然我国软件协会财务及管理软件分会曾对财务与管理软件的数据接口提出了标准要求,但许多财务与管理软件都没有执行;有些系统的数据库还加了密,使审计软件无法访问系统的资料。
(2)计算机信息系统在开发上没有考虑在应用系统中嵌入审计模块以对系统的交易进行连续监控,方便审计证据收集。
(3)计算机信息系统在功能设计上也没有很好的考虑审计需要,为计算机审计留下足够的审计线索。如保留足够的操作日志、留下经济业务的详细记录,而不是只保留更新后的当前余额等。
(4)由于保密等原因,厂商或者使用单位一般不提供详细的系统开发资料(如数据库表结构、系统设计说明书),这样不利于审计人员对系统软件进行整体评价和有效地采集、转换数据。有效的数据采集和转换建立在对信息系统的有效分析和研究上。
3、审计软件的实用性与通用性不强
首先是实用性不强。国内审计软件的功能虽然比前几年有了很大的进步,但从总体上看,国内通用审计软件的功能还比较简单,数据分析功能较差,相当一部分辅助审计的软件实用性不强,功能不完善,无法与被审计单位数据连接,运行容易出错,使用效果不够理想。部分审计软件鉴定通过后,真正用于审计一线的不多。其次是通用性较差。我国部分较实用的审计软件是针对特定的信息系统或某一类型的数据库来编写的,这些软件的适用面很窄。目前,国内市场上的通用审计软件主要是针对用友、金蝶、安易等市场上流行的财务软件提供数据导入程序,用户如需针对其他财务软件的数据导入程序,则要通过订制开发方式来提供,这种方式极其影响效益。
4、信息系统审计尚未被业界所接受
随着社会信息化程度的提高,信息系统审计越来越受到社会的重视,与信息系统审计相关的专业组织也越来越多,有关职业资格的标准日趋完善。但是在我国,信息系统审计尚未被业界所接受,主要原因有两点。
(1)缺乏相应的信息系统审计标准。我国目前还没有正式的信息系统审计准则,而原有的审计准则已不能完全适应信息系统审计的需要。目前国内开展信息系统审计主要是参考ISACA信息系统审计准则,但由于国内信息系统集成程度不高、客观应用环境的差异以及法律法规不完善等原因,在国内开展信息系统审计工作还不能完全按照此标准,处于起步阶段的国内信息系统审计工作必须尽快形成适合中国国情的信息系统审计标准体系。
(2)缺乏全面开展信息系统审计业务的人才。信息系统审计要求审计人员不仅要通晓信息系统的软件、硬件、开发、运营、维护和管理,对网络和信息系统安全等具有高度的敏感性,对财务会计和单位内部控制有深刻的理解,而且还必须能够利用规范和先进的审计技术,对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。目前注册信息系统审计师己成为全球范围内最抢手的高级人才,虽然我国己经开展了相关的培训和认证考试,但是规模较小,远不能满足社会需求,因此,我们必须加强专业审计人员的培养,尽快建立一支高素质的信息系统审计师队伍。
三、完善计算机审计的对策
1、加强计算机审计立法
计算机审计立法是保障计算机审计正常发展的关键性措施。新的《会计法》已增加了有关网络财务的内容,《电子商务法》起草工作正在加紧进行之中,但上述法规都不是针对计算机审计而的,不能够满足网络审计的需要。因此,有必要加快网络审计立法工作的进度,使人们在开展网络审计工作时有章可循。如对电子证据、电子签名、电子合同、电子货币等网络经济工具的合法性及其使用规定都需要由立法加以明确,使得网络审计工作尤其是进行合法性审计时有法可依。
2、制定计算机审计准则
审计准则是审计工作应遵循的规范和尺度,是评价审计工作质量的权威性规则。计算机审计在对象、线索、方法、流程、结果等方面相对于传统审计都发生了变化,以往的审计标准和准则已经不能完全适用,所以应加快新的审计标准和准则的制定,以指导网络审计工作实践的深入。如规范对网络审计人员的一般要求,制定网络系统安全可靠性评价标准及网络系统内部控制准则等。
3、大力推行计算机辅助审计技术,提高计算机审计水平
计算机辅助审计技术主要指审计软件和数据测试技术。面对日益先进和复杂的审计环境和对象,传统的审计方法已经远远不能达到现代审计的要求,在这种情况下,审计人员革新审计手段、大力推行计算机辅助审计、充分利用计算机和网络等现代信息技术,无疑是解决问题的好办法。美国***府绩效审计发展成熟,取得的成绩有目共睹,其中的经验之一就是***府绩效审计的科技含量很高。美国***府非常重视数量分析方法和决策模型研究,将一些科学理论,如将信息论、系统论、控制论、概率论、数理统计等运用到绩效审计中,使得计算机等信息技术不仅运用于计算过程,而且运用于绩效审计的计划、分析、管理等方面。
4、加快计算机审计人才的培养
与传统审计相比,计算机审计在审计线索、审计内容、审计风险等方面都发生了变化,这就要求审计人员学习新的理论知识、掌握信息技术条件下的审计方法。因此,从长远看,培养一大批能够***开展计算机审计业务的专门人才是解决我国计算机审计人才匮乏的有效途径。
我国的网络经济虽然有了很大的发展,但和发达国家相比仍显落后。我国电子商务的销售总额仅相当于美国著名电子商务公司亚马逊销售总额的十分之一,而对网络财务的研究和软件开发也才刚刚开始。审计网络建设不会一蹴而就,应该从某些易于实现的部分入手,有计划地在一段时间内逐步实现;从大型的***府或社会审计单位开始,从经济较发达的地区开始,逐步试验、推广。审计网络适合于采用虚拟专用网络技术,而无须耗费大量的人力物力铺设专用网络。
【参考文献】
[1]秦华:网络会计信息失真原因及其防范研究[J].企业家天地(理论版),2007(4).
[2]门金刚:论企业如何推进网络审计[J].现代审计,2007(2).
转载请注明出处学文网 » 信息系统审计论文10篇