我优求知网信息系统审计论文范文1
当前会计信息系统审计主要围绕以下内容开展:其一是会计信息系统内部控制审计。由于会计信息系统大幅提高了会计舞弊和会计信息差错识别的难度,因而从内部控制审计入手实施会计信息系统审计就显得尤为必要。也就是说,企业内部控制体系影响甚至决定着企业会计信息系统的安全性和有效性,越是健全的内部控制体系就越能避免和降低企业会计信息差错和舞弊风险,因而对企业内部控制体系的完整性、有效性和安全性进行审计就成了目前会计信息系统审计的重要内容和前提保障。其二是会计信息系统应用程序审计。其审计内容主要围绕软件的应用程序设计功能是否完善、标准是否可靠,是否具备必要的会计信息处理功能,是否符合相关法律法规要求,是否符合企业管理制度和企业会计***策,是否存在程序漏洞和程序错误,是否人为故意地留有后门程序等。应用程序的安全、可靠、高效同样影响着企业会计信息系统的安全性和效能,因而也是会计信息系统审计的重要内容之一。其三是会计信息系统数据、信息、资料的审计。同传统审计内容类似,其途径是通过计算机对相关原始凭证、财务报表、会计账簿等进行审计,对信息资料进行符合性测试和实质性测试,对数据采用动态分析和比率分析等方法,确保电子数据的真实、可靠、完整和有效。另外,还应对会计信息系统进行事前审计,即在信息系统开发之初就要求审计人员介入,跟踪前期的系统程序和硬件的设计、编写、建构、实施,跟踪系统实施过程中的运营、调试、维护、修正,以确保整个会计信息系统符合相关法律法规要求、符合财务和会计行业标准、符合公司会计***策和系统职能需求。
二、会计信息系统审计发展现状简析
自20世纪末开始我国企业普遍实施会计信息化以来,我国会计信息系统审计也应运而生,并在***府、企业及审计机构的组织实施下有效开展起来并取得了长足进步。具体表现在:其一,初步建立了会计信息化审计的相关准则和规范,使会计信息系统审计人员能够依据这些技术标准和准则更好地开展会计信息审计工作。如中国注册会计师协会1999年颁布的第一个信息系统审计准则《***审计具体准则第20号——计算机信息系统环境下的审计》,以及***办公厅2001年的《关于利用计算机信息系统开展审计工作有关问题的通知》,都对会计信息系统审计的对象、方法、程序、内容和范围等进行了初步界定和规范,明确了会计信息系统审计中审计人和被审计人的权责范围。2008年中国内部审计协会颁布了具有里程碑意义的会计信息系统审计准则《内部审计具体准则第28号——信息系统审计》,更是将会计信息系统审计纳入到风险导向审计的现代审计范畴,使之更为完善、全面和高效。其二,会计信息系统审计发挥了一定成效,推进了企业会计信息化发展和企业信息化管理进程。信息化发展是企业战略发展的重要组成部分,也是企业现代化管理体系构建的重要内容,企业信息化即包括会计信息化,鉴于此,我国审计体系也同样顺应时展潮流,针对会计信息化系统制订和实施了相适应的审计模式,有效履行了审计职能,推进了会计信息化的发展进程;与此同时,审计体系自身也开始了信息化变革之路,构建审计网络和审计信息平台,审计信息化软件也随之兴起并展现出高效能,极大地提升了审计效率。
三、会计信息系统审计存在的问题
尽管我国会计信息系统审计取得了一定成效,不仅促进了企业会计信息化发展和企业信息化战略发展的步伐,也直接促进了审计体系自身的信息化发展。然而研究过程中也同样发现,我国会计信息系统审计还存在一定的问题亟待改进,具体如下。
(一)会计信息系统审计法规制度不健全
先进水平的会计信息系统审计需要建立在健全的审计制度体系之上,使审计工作在制度保障之下规范、高效运行。然而我国在这一方面则存在较大差距,目前我国有关会计信息系统审计的相关制度法规十分零散,大多只针对某一方面做出具体规范,还没有统一的、完整的、具有体系性的会计信息系统审计制度可以指导和保障实践的有序、有效进行。例如,目前还有没统一的会计信息系统审计准则,会计信息系统审计的内容、方法、技术、程序等都未能界定统一的实施规范。
(二)缺乏专业的会计信息系统审计人才
会计信息系统对审计人员的审计能力提出了更高要求。审计人员能力不足、审计工作准备不充分都容易导致审计失败。会计信息系统审计要求审计人员不仅需要具备审计方面的专业知识,了解企业生产经营状况,还需要具备较高的信息技术能力。然而目前,我国大部分审计人员并不缺乏专业的审计知识,也有着丰富的审计经验,但对于会计信息化系统审计的信息技术能力要求普遍显得力有不足,信息技术水平和计算机技术水平不能满足信息系统审计的需要。
(三)信息化审计软件效能不足
应对会计信息系统审计的有效途径是加快审计自身的信息化发展,目前开发了众多功能强大的审计软件应用于审计工作,提升了审计效率,确保了审计的准确性和可靠性。然而目前的审计软件其实用性、针对性和有效性还不能满足会计信息系统审计的需求。其中存在的问题主要包括:一是软件自身功能不足,无法满足会计信息系统审计的实际需求,软件只能实现一些简单的数据查询和计算功能,无法对复杂的企业会计数据信息进行更为专业的处理和分析。二是有的软件设计过于复杂,易用性较差。审计人员不易操作或者操作过程极为繁琐,影响审计效率。
(四)会计信息系统本身存在缺陷影响审计效能
在对会计信息系统进行审计时,通行的做法是需要会计信息系统预留审计接口,审计人员通过接口对会计信息系统中的数据信息进行查阅、调取、审核。我国颁布的会计信息系统审核相关规范也明确了会计信息系统中“应具备标准的数据接口”。然而在具体实践中,许多企业的会计信息系统本身并未留置接口,使得一些审计软件无法和被审计对象的会计信息系统对接,也有一些会计信息系统自身设置了复杂的权限验证、加密程序等,使审计软件无法获取需求数据,或加大数据获取难度,影响了审计时效,甚至使审计无法操作。另外,会计信息系统本身的设计缺陷还包括一些软件漏洞容易招致黑客攻击篡改、增删数据信息,或者软件故障频发导致数据损毁、灭失等,这在目前的会计信息系统审计工作中也较为常见,极大地影响了会计信息系统审计的实施。
四、会计信息系统审计的治理策略
针对以上问题,需要审计机关、审计行业组织和企业共同努力,多管齐下,对症下药,在顺应社会经济信息化发展的前提下确保会计信息系统审计职能高效履行。
(一)进一步健全会计信息系统审计规范
尽管我国已经初步确立了会计信息系统审计相关规范体系,但同西方发达国家相比,或者同我国社会经济发展的审计需求相比,仍显不足,需要进一步完善。健全我国会计信息系统审计规范应基于以下原则:其一,与国际接轨。在全球经济一体化发展背景下,审计准则与国际接轨是必然要求,以确保审计结果能够在更广泛的范围和空间发挥效用。其二,与国情相适。会计信息系统审计的相关规则和标准的设定要基于国情,立足实践,与会计信息系统审计发展需求相适应。其三,关注细节。我国现有的会计信息系统审计相关规范仅仅就基本原则和审计内容、对象、范围等做了阐释,而缺乏审计具体流程和操作指南,还缺乏系统性和层次性,需进一步完善。其四,前瞻性原则。会计信息系统审计规范的制定需立足当前,着眼未来,对会计信息系统审计工作未来的发展趋向和工作重点、难点做出预测和判断,在***策导向上予以规范和指引。
(二)加强会计信息系统审计人才队伍建设
人才问题是会计信息系统审计的突出问题。近年来全球信息化发展迅猛,企业信息化发展战略如火如荼,日新月异,凸显了信息化人才不足带来的制约,需要相关审计机构、教育机构共同努力,加大人才培养力度,壮大会计信息系统审计师人才队伍。首先,要细化会计信息系统审计资格认证体系,打造阶梯式人才队伍,满足不同审计需求。其次,要挖掘现有资源潜力,加强现有审计人员信息技术技能培训,提升会计信息系统审计能力。教育机构应将会计信息系统审计人才培养纳入教育体系,开设相关课程,培养专业人才。最后,成立专门的会计信息系统审计行业组织。会计信息系统审计同传统审计有着极大不同,需要成立专门的会计信息系统审计行业协会,对会计信息系统审计活动及审计人才队伍进行有效指导和管理,设立从业资格认证及审核机制,组织资格考试,提高会计信息系统审计队伍专业水平。
(三)提升专门审计软件的有效性
目前市场存在的审计软件还存在一定问题,还应持续创新、升级、强化软件功能,在保障能以技术手段确保审计数据信息高效、顺畅获取的同时,还应内置数据分析、识别和处理功能模块,降低审计工作量和难度,提高审计效率。就专业化发展而言,应由信息技术人员和审计人员共同合作开发专门的会计信息系统审计软件,代替目前市场上常见的功能单一、稳定性差、操作复杂、标准不一的审计软件,使审计人员更加容易操作,使审计流程得以高效实施,同时降低工作难度和风险,以更好地履行审计职能。开发设计应本着“实用性”、“易用性”、“安全性”和“高效性”原则,由审计人员负责确保软件的实用性和易用性,由信息技术人员负责确保软件的安全性和高效性,以提升专门审计软件的有效性。
(四)统一会计信息系统审计软件技术规范
信息系统审计论文范文2
关键词:信息系统审计信息技术现状
国内外学者对于信息系统审计及其相关概念缺乏统一的认识,因此有必要厘清信息系统审计及其相关概念。现代审计的主流是以财务报表审计为代表的对信息的检验,对信息系统审计研究的文献极其有限,且缺乏对信息系统审计研究的文献的梳理与评说。同财务审计相比,信息系统审计在审计目标、审计内容等方面存在着不同之处。
一、信息系统审计
信息系统审计(Information System Audit,ISA)是目前常常提到的概念,一般理解为对计算机系统的审计,信息系统审计的国际权威组织――国际信息系统审计和控制协会给信息系统审计作了如下定义:信息系统审计是收集和评估证据,以确定信息系统与相关资源能否适当地保护资产、维护数据完整、提供相关和可靠的信息、有效完成组织目标、高效率地利用资源并且存在有效的内部控制,以确保满足业务、运作和控制目标,在发生非期望事件的情况下,能够及时地阻止、检测或更正的过程。信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及高效地利用组织的资源并有效地实现组织目标的过程。对信息系统合法性、可靠性、安全性、有效性和效率性进行审计,对被审单位的信息系统做出科学、合理的评价。
信息技术在社会生产各个领域的广泛应用,也使得审计理论界与实务界出现了一系列相关术语。(1)计算机审计,国内学术界对计算机的叫法多种多样,例如信息系统审计、审计信息化、EDP审计等等;有的文献认为计算机审计包括:对计算机管理的数据进行检查;对管理数据的计算机进行检查。根据国内对“计算机审计”一词的使用情况,可以把计算机审计的含义总结如下:计算机审计是与传统审计相对称的概念,它是随着计算机技术的发展而产生的一种新的审计方式,其内容包括利用计算机进行审计和对计算机系统进行审计。由此可见,计算机审计的内涵和IT审计的内涵相似。(2)电子数据审计,电子数据审计是目前审计实务界使用较多的一个术语,对于电子数据审计,目前还没有给出明确的定义,根据目前对该术语的使用情况,电子数据审计一般可以理解为“对被审计单位信息系统中的电子数据进行采集、预处理以及分析,从而发现审计线索,获得审计证据的过程。”(3)电子数据处理审计,电子数据处理(Electronic Data Processing,EDP)审计和电子数据审计是两个不同的概念,电子数据处理审计是信息系统审计的初级阶段,它是指对计算机信息处理系统的开发及其软件、硬件和运行环境进行测试,并评价计算机信息系统数据处理是否准确、真实、安全、可靠、高效,满足企业经营管理的需要。对于电子数据审计和电子数据处理审计这两个不同的概念,在实际应用中,一定要加以区分。(4)持续审计,持续审计(Continuous Audit,CA)是指在相关事件发生的同时,或之后相当短的时间内产生审计结果的一种审计行为。持续审计是同传统期间审计相对应的概念,其本质是审计方法的创新,它强调审计过程的持续性、审计实施的即时性和审计活动的整合性,并且基于例外审计和战略系统审计的理念,要求审计师运用“自上而下”和“自下而上”相结合的手段,对审计对象做出合理的专业判断。(5)计算机辅助审计,如同CAM(Computer-aided Manufacturing,计算机辅助制造)、CAD(Computer-aided Design,计算机辅助设计)等概念一样,计算机在审计领域中的辅助应用被称为计算机辅助审计。中国国家审计署把计算机辅助审计理解为:“计算机辅助审计,是指审计机关、审计人员将计算机作为辅助审计的工具,对被审计单位财***、财务收支及其计算机应用系统实施的审计”。
通过以上的分析,笔者认为计算机审计覆盖了计算机辅助审计和信息系统审计两项内容,信息系统审计是计算机审计的组成内容之一。
二、国外信息系统审计研究现状
随着信息技术与审计理论的发展,国外信息系统审计大致经历了萌芽、发展、成熟和普及期四个时期。
20世纪80年代,计算机犯罪率急剧上升,信息系统的安全防范体制仍很不充分。为适应信息系统审计实务发展的要求,美国EDP审计师协会1981年举办了首次注册信息系统审计师(CISA)资格认证考试,1984年的《EDP控制的目标》提出了信息系统的系列控制标准,1987年了《信息系统审计的基本准则》(General Standards for Information Systems Auditing);日本通产省在1982年设立了“计算机安全研究会”,而后发表了《有关计算机安全对策》,1985年发表了《IT审计标准》,提出了“随着信息系统网络化的进展,仅仅是系统内部的审计是不充分的,有必要尽早地引入由具有专门知识与技术的、与系统没有直接关系的第三方(信息系统审计师)对信息系统的安全、可靠等进行全面检查……”等观点,并在日本的软件水平考试中增添“系统审计师”考试,培养从事信息系统审计的专业队伍。上述审计理论与实务表明,国外信息系统审计发展已经进入成熟期,并走上了正规化和专业化的轨道。
进入20世纪90年代以后,国外信息系统审计研究进入普及期。1994年, EDPAA正式更名为信息系统审计与控制协会(ISACA),ISACA成立后主要致立于信息系统审计准则体系的制定工作。ISACA的信息系统审计规范类似于CPA审计准则体系,它由基本准则、审计指南和作业程序构成,其显着特点就是以COBIT为基本工具,并借以与ITGI的指南相联系,以弥补ISACA规范在审计细节方面关注的不足。截止到2010年12月,ISACA已经了16项基
本准则,41项审计指南和11项作业程序,为信息系统审计人员开展审计活动提供了指引。
三、国内信息系统审计的研究现状
随着我国信息化进程的推进,国内理论界与实务界也开展了针对信息系统审计的相关研究。中华人民共和国审计署京津冀特派办于2005年了《计算机审计操作规则》、《审计中间表创建和使用管理规则》和《数据分析报告撰写规则》等操作规则之后,又于2006年9月了《信息系统审计操作规则》、《网上审计操作规则》以及《审计数字化应用规则》等信息系统审计的规则。中国审计协会为了规范组织审计机构及人员开展信息系统审计活动,保证审计质量,于2008年根据《内部基本审计准则》的精神制定并颁布了《审计具体准则第28 号――信息系统审计》。尽管28号审计准则的出台受了很多学者的评论,但20号审计准则却是我国第一个真正意义上的信息系统审计准则,也为我国信息系统审计人员开展信息系统审计活动提供了法律依据。在***府或相关机构颁布信息系统审计准则的同时,国内学者也对信息系统审计开展了研究。对我国开展信息系统审计已经迫在眉睫,而开展信息系统审计将面临审计观念的转变、信息系统审计的专业人才以及行业准则与实务指南等问题,应加快行业准则与实务指南的制定。可以借鉴ISACA的做法,也采用三个层次体系结构,以基本准则为核心,统领审计指南和作业程序,从而使整个准则体系不断扩展。
参考文献:
[1]中华人民共和国审计署,《审计机关计算机辅助审计办法》,1997,第二条.
信息系统审计论文范文3
关键词 软件工程;信息系统审计
中***分类号:F239 文献标识码:A 文章编号:1671-7597(2014)09-0176-01
在信息技术向人们工作、生活的每一个角落发起全面冲击的大潮中,对每个行业都带来了***性的变革。为适应这种变革,企业、单位、***府机构等都投入了大量的人力、物力资源构建复杂的信息系统来提高工作效率,完善工作管理。企业构建的是MIS、ERP、CRM等系统,主要追求的是经济效益,***府等机构和组织构建的是电子***务系统(G2B、G2C),主要追求的是社会效益。
对于这些信息系统是否能实现业务、管理的需求,真实的反应整个业务、管理过程,并能够适应各种需求的变化,最终实现所要追求的经济和社会效益,需要对信息系统生命周期中的某些或者全部过程进行评介,即通过信息系统审计的过程,对信息系统的真实、合法、有效进行审计和评价。
软件工程正是构建这些复杂信息系统的工程理论基础。因此从软件工程的视角来进行信息系统审计的实践有着必要性和必然性。
1 软件工程和信息系统审计的介绍
软件工程是一门研究用工程化方法构建和维护有效、实用和高质量的软件的学科,它着重研究和应用如何以系统性的、规范化的、可定量的过程化方法去开发和维护软件,以及如何把经过时间考验而证明正确的管理技术和当前能够得到的最好的技术方法结合起来。软件工程包括需求分析、设计、实现、测试和维护等过程。
信息系统审计(Information Systems Audit,ISA)是一个过程,在此过程中审计人员搜集和评估证据以确定信息系统和相关资源是否充分保护资产、维持数据和系统完整性、提供相关和可靠信息、有效实现组织机构目标、有效地使用资源、包含有效内部控制以提供运营和控制目标得到满足的合理保障(国际信息系统审计协会ISACA的标准定义)。
信息系统审计的目标更加注重于从信息资产的安全性、数据的完整性以及系统的可靠性、有效性和效率性等方面出发,对信息系统从开发、运行到维护的整个生命周期过程进行全面审查与评价,以确定其是否能够有效可靠地达到组织的战略目标,并为改善和健全组织对信息系统的控制提出建议。
2 软件工程对信息系统审计的助力
1)两者研究的内容高度重合。信息系统审计主要有6方面的内容,包括信息系统审计程序;IT治理(信息技术治理);系统和基础建设生命周期管理;IT服务的交付与支持;信息资产的保护;灾难恢复和业务连续性计划。
软件工程研究的内容涵盖软件的技术方法、软件工程管理,具体为在定义、开发、运行和维护三个阶段中的技术管理、工程管理各阶段的工程质量实现。
软件工程研究的内容包含在信息系统审计内容中重要的后4项。
2)两者的目标有一致性。信息系统审计的目标是通过对信息系统的审查,评价系统的真实性、合法性、有效性,发现信息系统在使用和管理过程中存在的问题,确定是否存在漏洞和缺陷,有无非法和错误的处理和控制的薄弱环节,客观评价系统的现状,促进被审计单位进一步加强信息系统管理,完善信息系统功能,保证和完善各项流程,防范利用计算机系统进行欺诈与舞弊,并提出具有建设性的建议。
软件工程的目标是在给定成本、进度的前提下,开发出具有适用性、有效性、可修改性、可靠性、可理解性、可维护性、可重用性、可移植性、可追踪性、可互操作性和满足用户需求的软件产品,尽量减少软件在运行过程中的漏洞和缺陷。追求这些目标有助于提高软件产品的质量和开发效率,减少维护的困难,提高信息系统的效益。
两者的目标具有一定的一致性。
3)软件工程定义的标准、规范为信息系统审计部分审计事项的评介提供了参考。
软件工程过程主要包括开发过程、动作过程、维护过程,在这些过程中都有着明确的规则、规范、要求以及需要达到的质量标准。在信息系统审计过程,通过材料和证据的收集,可以参考软件工程的标准,对审计事项发表审计评价。
如对信息系统的工程管理质量发表评价时可参考软件工程软件管理的理论(如ISO9000质量体系、CMM能力成熟度模
型等)。
4)软件工程为信息系统审计提供了审计方法和手段。在信息系统审计过程中,需要收集材料和数据,进行符合性和实质性审计测试。这一过程需要有一定的审计方法和技术手段,而软件工程正好可以提供。
如对信息系统所运行的业务流程进行真实性、完整性的符合性测试,可通过审计技术文档,重构软件工程需求分析阶段的实体关系***、数据流***、数据字典的方法进行。如对信息系统所运行的业务流程进行真实性、完整性的实质性测试,可通过使用软件工程软件测试阶段的各种测试方法(如静态、动态测试,白盒、黑盒测试、并行模拟等)进行。
3 审计项目实践
在2013年对《XX物流监管系统》进行信息系统审计过程中,审计小组正是利用软件工程理论对整个系统的建设、实施、运行和维护过程进行了审计。主要审计成果如下。
1)工程建设管理。根据软件工程的要求,收集各阶段的管理和技术资料。在此过程中,发现存在资料缺失、版本管理控制不足、某些必须的开发阶段被忽略,形成不符合相关法规和工程管理、技术上的问题及风险。
2)应用系统一般控制和个别控制。在对应用系统的一般控制审计时,主要对组织控制、人员职权职责的分配与分工及资源掌控、多系统互联及数据传输等方面进行了详细审查,发现了涉及用户管理权限、人员背景调查、保密管理、数据传输控制不足等方面的不足与漏洞。
在对应用系统的主要模块物流调拨模块进行个别控制审计时,使用了软件工程中的各种测试方法,对程序和数据进行了审计,发现了物资备案、调拨过程控制等业务方面的管理、控制不足,使部分无备案无审核的物资调拨得以进行,或者实际调拨数与申报数发生差异。
3)数据资产保护和业务连续性。根据软件工程对软件维护阶段的标准和要求,对系统的数据保护方案和业务连续性计划与实施进行审查,发现有单点故障、业务连续性计划不足、方案和计划实施不充分、无实际演练计划等问题和风险。
4 总结与展望
本文闸述了软件工程与信息系统审计之间的关系,通过一个实际审计项目实例,展示了如何利用软件工程的相关理论,从软件工程的视角来看待信息系统审计,并具体实施审计实施。一方面提高了信息系统审计中的规范性、操作性、可控制性和效率性,有利于审计项目的管理和审计项目质量的提高,降低审计风险;另一方面软件工程为信息系统审计提供了方***和实用工具,拓宽和深入了信息系统审计的范围和深度;最重要的是为信息系统审计中的审计事项提供了审计评价标准、规范和参考等。
参考文献
信息系统审计论文范文4
关键词:信息系统审计;发展状况;存在不足;改进措施
中***分类号:F239.1 文献识别码:A 文章编号:1001-828X(2016)016-000-02
一、研究背景
全球经济的结构和运行方式以及人们的思维方式都随着信息技术在全球的快速发展有着不小的改变,会计和审计行业也不例外。一方面,随着信息技术的普及以及快速发展,审计的方法相对于传统审计也有了很大的提升,信息的产生和思维处理方式也发生了巨大的变化,从而使审计的各个环节也会随之发生变化,进一步推动了审计的发展进程,使审计体系由原来传统的手工审计、EDP审计和计算机辅助审计,发展成为现如今对所有信息系统的可靠性、安全性、以及其实现组织目标的有效性进行的审计――信息系统审计。另一方面,互联网技术的快速发展,使得企业对信息的更新速度有了更加严格的要求,这也使得企业对信息系统的依赖性也会变得越来越强烈,企业所面临的各种风险,除了我们比较熟悉的:传统的经营风险、财务风险和控制风险外,也产生了一些额外的新型风险:利用计算机舞弊、欺诈等等,这都进一步增加了信息系统审计风险。因此,要想监控和管理信息系统风险,就需要保障信息系统的安全、有效和可靠,并及时发现系统管理和控制中的漏洞与薄弱环节,要想做到这些,就需要对内部控制的安全性与有效性、信息系统的软硬件及其相关的风险等方面进行及时的审计。因此,信息系统审计也显得越来越重要。
信息系统审计在我国起步较晚,无论是理论体系建设还是实践应用都还非常有限。通过研究国内外信息系统审计的发展过程,分析探讨了我国信息系统审计研究现状以及存在的问题,对我国信息系统审计的发展提出了自己的一些建议。
二、我国信息系统审计现存问题分析
(一)缺乏有效易用的信息系统审计操作软件
在我国,随着信息技术越发成熟,越来越多的企业将它们应用到自身各个环节,这也使得审计软件越来越受到人们的注意。目前,审计软件在我国已不算少数,软件的功能也有很大进步,但还是有不少的审计软件实用性不强,往往是其所提供的功能并不能被审计人员熟练地运用,审计人员在工作中需要用到的信息它又不具备,目前国内的审计软件与国外的相比,其功能较为单一,通用性也不够强,总体也不是很实用,更重要的是在对数据的分析处理上仍有不小的差距。另外,国外的软件公司发展已经比较成熟了,建立了自己的全球销售网络,而在我国,由于使用审计软件的企业不多,需求量较小,导致审计软件的销售市场规模一直比较小,所以审计操作软件一直到不到良性的发展。
(二)我国的信息系统与审计接口匹配度不高
要想使会计信息系统与审计工作一一对应,被审系统的电子信息资料是很重要的,这就要求计算机存在一定质量的审计接口。虽然,有这么一项规定《关于利用计算机信息系统开展审计工作有关问题的通知》“计算机信息系统应当具备符合国家标准或者行业标准的数据接口”,而且软相关协会也明确规范了有关于数据接口的国内标准,可结果却是,非常多的财务管理软件并没有遵照执行。目前我国大部分的计算机信息系统与审计接口匹配度不高,后果就是:审计软件访问信息系统资料时会提示你受阻,从而影响你的数据质量和审计质量。
(三)缺乏审计方面的综合人才
我们目前接触到的绝大部分是传统审计工作,而信息系统审计跟传统审计有很多不同之处,主要就是非常强的专业性。开展信息系统审计工作的主体人员是注册信息系统审计师(CISA),但由于信息系统审计的复杂性,目前全球CISA的数量并不是特别多,而在我国更是数量稀少。当然这根我国起步慢有直接的关系,但发展环境不理想也使得CISA的发展脚步过于缓慢。目前由于越来越多的企业接触了信息系统审计,对CISA的需求也会持续增加,这就对目前的审计培养机制提出了新的挑战,怎样才能够培养出审计方面的综合人才,既会传统的审计流程,也能熟练运用信息系统,并将二者有机结合在一起。
(四)相关联信息系统审计制度有些滞后和缺失
近年来,世界范围内许多国家都建立起了较为完善的信息系统审计制度,并在信息系统审计中发挥了举足轻重的作用。这一制度的重要性不亚于一套成熟的财务审计准则。这信息系统审计制度的起步比较晚,与发达国家比比较落后,虽然国家也在大力发展信息系统审计,可是发展的非常片面,并没有形成一套整体的、规范的制度,要想实现审计业务进一步发展和进步,对于实践经验的总结是非常重要的,而且,还要统一行业的标准与规范。
三、我国信息系统审计的发展对策
(一)建立信息系统审计的有效操作软件体系
没有合适的信息系统审计软件是我国信息系统审计仍然处在浅层次应用上的一个原因之一。对于开发信息系统审计的软件来说,不仅要求精通数据库理论及程序设计技术、数据结构、软件工程学等,而且对信息系统管理理论、审计、会计等知识的要求也非常高,因此,开发的难度非常之大。要想审计软件的质量提高,就必须采取相应的竞争机制,所以,针对目前我国的这种情况,应该加大审计软件的开发和推广。为了方便审计人员的学习与使用,我们应该集中资源去开发一些有很强通用性的审计软件,这样还能节约不少资源。其次,软件的需求分析也不能忽视,一线的审计人员也应参与软件的开发过程,这样才能增强审计软件的实用性,使开发出来的审计软件能够更好地运动到日常审计活动中去。
(二)强制要求信息系统提供审计接口
目前,各行各业都在研发属于自己企业的的信息化系统,面临的最大挑战就是解决审计接口这一问题,如果这个问题一直得不到有效处理,信息系统审计的未来或许还会困难重重,布满阴霾。对于系统接口的问题,***办公厅了88号文《关于利用计算机信息系统开展审计工作有关问题的通知([2001]88号)》对其做出了规定,取得的效果不是特别理想,看来相关审计和信息化部门还要继续加大宣传的力度。审计署与***应该联合参与软件的评审工作,对不满足审计要求的财务软件禁止使用。
(三)建立健全适应信息系统审计事业发展的管理模式和人才培养机制
大批专业化的信息系统审计人才队伍是发展信息系统审计事业的必备条件,但是我国专业人才数量远远不能满足信息系统审计业务的巨大需求,那就要求我们在大学培养与选拔一批专业的信息系统审计人才,并且在教育培训手段上,可以采取短期培训与长期培养、运用层面上的培训与高素质专业人才的培养、在职人员的精英培训和未来专业人才培养相结合的方法。
(四)建立信息系统审计评价指标体系
对于信息系统审计未来而言,建立一套科学、完整的信息系统审计评价指标体系非常重要,需要用其来衡量信息系统的控制是否满足有关信息的七个质量标准,即机密性、可靠性、合法一致性、有效性、完整性、效率以及可获得性。信息系统审计是基于风险基础的审计,审计的权威性需要拥有一套科学、完整的信息系统审计评价体系来做支撑,不然的话,信息系统审计也就成了空中楼阁,丧失了其本来的意义。我国应该参照COBIT模型,联系我国实际情况,针对我国国情建立出一套科学、完整,并具有中国特色的信息系统评价指标体系。
四、结语
信息系统审计越来越受到企业的青睐,发展逐年升温,作为新兴的研究与应用领域,CISA正在逐年递增,也正体现了信息系统审计的发展需求。因此,合理的发展我国信息系统审计人才培养机制,并结合我国实际情况,探索建设合理的理论体系,对于加快信息系统审计的发展与应用非常重要。
参考文献:
[1]吴晓东.信息系统审计问题研究[J].科技情报开发与研究,2009(2):95-97.
信息系统审计论文范文5
现阶段,内部审计信息化建设的过程中,主要面临着理论体系缺乏标准性、信息化建设风险控制工作不够全面、内部审计信息化建设的功能不够完善等困境,对此必须采取针对性的解决措施,本文主要对内部审计信息化建设进行研究。
1 内部审计信息化建设中遇到的困境
1.1 理论体系缺乏标准性
理论上内部审计信息化建设主要从信息系统的安全以及数据分析等两方面进行,但是,在实际的建设中却发现,对于内部审计信息化建设的理论体系还缺乏标准性,不仅造成了内部审计信息化建设缓慢的局面,甚至还造成大量的建设资源浪费的现象[1]。
1.2 信息化建设风险控制工作不够全面
内部审计信息化建设是综合先进的信息技术、计算机技术、数据传输存储技术等多项技术为一体的信息化系统,也是内部审计走向信息化道路的重要途径。但是,就内部审计信息化建设过程来分析,对风险控制不够全面,例如,数据丢失、篡改、被盗取等严重威胁到信息数据的安全性。另外,再加上内部审计信息化数据传输接口存在不统一现象,造成大多数据很难完成相互之间的转换,从而影响到内部审计信息化建设的安全性。
1.3 内部审计信息化建设的功能不够完善
随着社会经济的不断发展,信息化建设水平的不断提升,内部审计工作也迎来的巨大的挑战[2]。信息化建设也成为内部审计必须要完善的关键环节,但是,由于内部审计涉及到的岗位以及行业较多,对内部审计的要求也有所不同,这样就会导致内部审计信息化建设水平出现差异,信息化建设平台的功能性不够全面,影响到内部审计信息化建设效率。
2 内部审计信息化建设的策略分析
2.1 制定内部审计信息化建设的标准化理论体系
内部审计信息化建设理论体系的标准性是对内部审计信息化工作一种约束的方式,更是提高内部审计质量的关键所在,通过以上的分析得知,现阶段内部审计信息化建设的理论体系缺乏标准性,因此,要制定内部审计信息化建设的标准化理论体系。首先,要掌握内部审计信息化实施的主要工作环节,再对各个环节运行的标准化体制进行建设,例如,内部审计信息化系统的运行、审计技术、审计过程、审计证据收集、系统后期的维护等。其次,内部审计信息化的建设必须对系统自身提出一定的规范性要求,而且,要在建设以及实践的过程中,不断的利用信息化技术来完善内部审计系统,当然,必须要在标准化理论体系的基础上来完善的,这样才能有效提高内部审计信息化系统的建设质量,同时能有效的减少建设资源的浪费。
2.2 完善内部审计信息化系统的风险管理体系
内部审计信息化系统的数据主要以电子版数据为主,相比于传统纸张记录的数据来说,不仅能够节省大量的资源,同时还便于查找和调用,但是,由于电子版数据具有可篡改、可删除、恢复难等特征,也使得内部审计信息化系统在运行的过程中可能出现一定的风险,对内部审计信息系统运行的安全性造成极大的影响,因此,要不断的完善内部审计信息化系统的风险管理体系[3]。首先,要根据内部审计信息化应用的特点以及需求,对内部审计系统建立风险预警,同时要重视对系统中的重点业务以及可能发生的风险环节进行有效的监控以及统一的管理。其次,要加强对内部审计信息的预测和分析,一旦发现风险因素,要及时采取有效的处理措施来规避风险,或是将风险带来的损失降至最低。再次,如果内部审计信息化应用到企业中之后,也结合企业的实际发展情况,内部审计信息归入企业风险管理中,并对其进行合理的资源配置,同时要做好内部控制工作,并对内部审计的流程进行不断的优化,将内部审计信息安全作为首要的审计工作。最后,在内部审计信息化建设的过程中,要完善风险评价、风险管理以及风险监控等体系,可以充分应用到计算机先进技术,不断的提高内部审计信息化风险管理水平,确保内部审计信息化建设以及实践的安全性。
2.3 加大内部审计信息化建设力度,完善信息化平台功能
由于内部审计信息化平台涉及面较广,为了避免出现功能不全面的现象,必须要加强内部审计信息化的建设力度,不断的完善信息化平台的功能[4]。内部审计信息化平台的功能应向着综合化应用平台发展,不仅要注重内部审计的工作,更要做好内部审计业务的管理、外部查证、预警功能等,同时还要结合内部审计信息化系统的具体应用情况,完善相应的功能,例如,网络办公自动化、审计业务、审计决策、审计业务管理、审计资源管理、审计数据综合分析等,在拓展内部审计信息化平台的同时,将内部审计信息化系统向着规范化、信息化、标准化、流程化的方向发展。另外,要建设人力、财力、物力、营销、供应、产品等多项数据综合调查分析功能,这样就可以通过内部审计信息化系统来实现对企业的发展情况进行全面的分析,对企业发展过程中做出正确的决策有着重大的作用。
信息系统审计论文范文6
【关键词】 会计信息化理论;研究;国家自然科学基金;国家社会科学基金
经过三十多年的不懈努力,会计信息化逐步发展成为我国会计学科的重要组成部分,相对***的学科地位已经确立,其对传统会计理论及企业信息化的影响也越发明显。会计信息化理论的深入研究,在会计信息化学科建设中的作用是至关重要的,会计信息化理论研究热点反映出的研究导向,是会计信息化理论研究的“风向标”,对会计信息化理论研究的水平和质量的影响也是至关重要的。
一、我国会计信息化理论研究热点的简要回顾
根据有关专家的研究成果,我国会计信息化理论研究热点的历史演变可划分为三大阶段,见表1。
第一阶段的主要研究热点,从研究内容上聚类,基本上可归集为传统手工会计业务如何进行电子化数据处理问题上。第二阶段的研究热点,大体可归集为会计信息系统如何与所在组织的管理信息系统融合问题上。第三阶段的研究的热点,涉及网络财务报告和XBRL语言的相关研究较多,体现出较为明显的计算机网络特性。值得注意的是,从1979年至今,会计信息系统审计一直是我国会计信息化理论研究热点,已成为我国会计信息化理论研究的传统命题。三个阶段研究热点的演变,反映出较为明显的会计信息化理论研究由会计信息系统内部向外部渗透的趋势。
根据有关文献披露的历史过程,笔者认为第一阶段主要研究热点的驱动力主要来自于***府,第二及第三阶段的研究热点,除了受***府相关部门的持续推动影响外,信息化产品市场及国际信息化环境对研究热点的影响似乎已成为主要驱动力。
二、会计信息化理论研究热点的学术影响
某一特定学科的基础理论的“唯我”特色及其理论深度,是决定该学科在相关理论界的学术影响及被认可程度的关键因素。国家自然科学基金和国家社科基金是我国两大部级科研基金,某种程度上代表了我国相关学科的最高研究水平。这两大项目非常注重选题的理论研究深度和创新性,在绝大多数情况下,申报项目的理论价值和意义是能否获得立项的“瓶颈性”指标。
根据学科的隶属关系,会计信息化理论研究项目可以向国家自然科学基金和国家社科基金申请立项。笔者以上述两大部级科研基金为主要参照,简要分析会计信息化理论研究热点的学术影响。
(一)会计信息化相关项目获国家自然基金立项简况
能否在国家自然科学基金管理科学部获得立项,应该熟谙其一贯提倡的“顶天立地”理念。所谓“顶天”,即是把握科学发展的国际前沿、规范研究方法,推进成果的国际化;所谓“立地”即是要尽可能从中国管理实践中提炼出可能产生理论创新的科学问题,通过研究完成理论升华,并尽可能地运用这些理论创新指导解决中国的实际管理问题。按照这种理念,被批准立项的项目应在理论价值和意义方面具有较高的水准。
笔者对国家自然科学基金委员会管理科学部批准立项的管理信息系统类项目和会计信息系统类项目进行了统计,为便于对比分析,将会计信息系统类项目和管理信息系统类项目分开统计,统计数据中的这两类项目无相互隶属关系。统计的时间跨度自1991年至2009年(19个计划年度),统计范围包括面上项目、地区项目、青年项目、应急项目、重点项目和重大研究计划项目六类项目,统计结果见表2。
另外,笔者还对国家自然科学基金信息科学部网站披露的历年批准立项项目资料进行了检索,没有发现属于与会计信息系统交叉研究的立项项目。
从统计结果可以看出:
1.涉及管理信息系统的立项项目相对集中,在19年时间里,每年均获得批准立项,累计下来共计约500项,占管理科学部全部立项项目总项的8.79%;尤其是在2000年,获批项目达38项,占比为17.5%。
2.涉及会计信息系统的立项项目相对较少,与管理信息系统学科相比,差距较大,19年时间里,只获得批准立项10项,占比约为2‰,平均每年不足1项,共计14个年度出现空缺,2009年立项最多,也仅为4项,其中有3项隶属于会计信息系统审计与内控研究范围。详见表3。
(二)会计信息化相关项目获国家社科基金立项简况
国家社会科学基金项目没有单独的管理学项目类别,涉及管理信息系统及会计信息系统的项目主要分布在经济理论、应用经济及***书馆、情报与文献学项目类别中,因此笔者对这三类项目中属于管理信息系统和会计信息系统的立项项目进行了统计,同样,为便于对比分析,将会计信息系统类项目和管理信息系统类项目分开统计,统计数据中的这两类项目无相互隶属关系。统计的时间跨度从1993年到2009年,共17个计划年度。统计范围包括重大项目及委托研究项目、重点项目、一般项目、青年项目、自筹经费项目。
1993年至2009年,***书馆、情报与文献学类立项项目471项,其中属于信息化的项目共207项,占比达44%,属于与会计信息系统交叉研究的项目空缺。
1993年至2009年,经济理论类项目获得批准立项1 323项,其中属于管理信息系统的项目共7项,占总经济理论项目获得批准立项总数的0.53%,属于会计信息系统的项目空缺。
1993年至2009年,应用经济类项目获得批准立项2 388项,其中属于管理信息系统的共60项,占应用经济类项目获得批准立项总数的2.51%;属于会计信息系统的共5项,同口径占比为0.21%。详见表4与表5。
从表5中可以看到,5个项目中有4项涉及会计信息系统审计与内控内容,与国家自然科学基金立项倾向趋同。
(三)会计信息化理论研究热点的学术影响相对较弱
从上述统计资料可以看出,在国家自然科学基金和国家社科基金立项项目中,管理信息系统类项目获批比例相对较高,会计信息系统类项目获批比例相对较低,而且与管理信息系统类项目相比,差距较大,管理信息系统类项目已达到“百分比级”,而会计信息系统类项目只达到“千分比级”(由于未能检索到涉及会计信息系统的申报项目数量,尚无法对是否存在因申报项目少导致获批项目少的情况作出判断)。
获批项目中属于会计信息系统审计与内控问题研究的课题数量较多,说明上述两大部级科研基金管理方对“会计信息系统审计与内控”这一研究热点的认同程度较高,总体上看,会计信息化理论研究热点在重大部级科研项目立项方面反映出来的学术影响力相对较弱。
三、启示与思考
(一)会计信息化理论研究领域和内容的研究有待进一步发展
会计信息化理论研究热点是会计信息化理论研究领域和内容的焦点。笔者检索了针对会计信息化理论研究领域和内容进行分析和研究的论文类文献,发现为数较少,除会计信息化有关会议综述类文章外,只检索到如下几篇:《会计信息系统国际研究回眸与思考》(张瑞君、孙,2007)、《我国财务会计信息化理论研究的回顾与思考》(庄明来,2009)、《我国会计电算化研究的历史分期及学术倾向》(庄明来,2002)。广泛深入地开展这方面的研究,也许有助于国家自然科学基金“立地”理念的实现,促进会计信息化理论的升华。
(二)继续强化深入开展会计信息化基本理论研究的学术倾向
上述统计数据反映出一个现象,即非单一会计信息系统的管理信息系统类项目得到了国家自然科学基金和国家社科基金这两大部级科研基金较高程度的认同,而偏重于会计信息系统的项目却未能获得相应的认可度。这自然会使人们产生疑问,作为管理信息系统子系统之一的会计信息系统,为什么其相关研究问题未能获得相应的认可程度呢?上述现象是否反映了这种情况,即会计信息系统作为管理信息系统的子系统,相关理论业已十分成熟,不需要再做深入研究,从而形成了会计信息系统项目获批项目较少的局面?很显然,没有足够的证据能证明会计信息系统理论业已成熟,这种说法可能难以获得广泛的认同。
事实上,三十年以来,我国众多专家和学者非常重视会计信息化理论研究,在这方面也做了大量的工作,但是在基础理论和环境理论研究方面仍然明显不足。基础理论和环境理论有欠缺,就难以有力地支撑会计信息化应用理论研究和应用研究,进而从整体上弱化会计信息化研究的理论性。这可能是会计信息化理论研究项目未能获得国家自然科学基金和国家社科基金较高认可度的重要原因。
面对这种情况,有必要继续强化深入开展会计信息化基本理论研究的学术倾向,坚持以提升会计信息化理论研究价值和扩大会计信息化理论研究学术影响为目标,鼓励和支持会计信息化基础理论和环境理论研究。
(三)应充分关注会计信息系统内控和审计阶段研究成果对会计信息化基础理论的影响
从上述统计数据中可以看出,获批项目中属于会计信息系统审计与内控问题研究的课题数量最多。这一方面反映了国家自然科学基金和国家社科基金对这类研究项目理论研究深度的认同,另外一方面也反映了社会经济活动对会计信息系统审计与内控理论和方法的较强需求。随着国家自然基金和国家社科基金对这类项目的认可和批准立项,可能会引致其他各级纵向和横向科研基金支持和赞助会计信息系统审计与内控研究活动,我们期待着该类研究的丰硕成果能够早日面世。
会计信息系统内控和审计与会计信息化实务有着内生的、无法割裂的必然联系,早在1998年,邱寒就深入探讨了会计软件如何适应现代审计的要求。从理论层面分析,会计信息系统内控和审计理论与会计信息化基础理论的关系也应是内生关系,二者会相互影响和渗透。因此,应充分关注会计信息系统内控和审计阶段研究成果的进展情况,深入分析其对会计信息化基础理论和环境理论的深刻影响,可以考虑以会计信息化审计与内控理论对会计信息化基础理论需求为研究起点,“驱动”会计信息化基础理论和环境理论的深入研究。
【主要参考文献】
[1] 国家自然科学基金管理科学部.2010项目指南[M].
[2] 中国会计学会会计信息化专业委员会.辉煌历程―中国会计信息化30年[M].北京:中国财***经济出版社,2009:44.
信息系统审计论文范文7
在信息化时代,我们拥有极大的信息系统审计需求市场,信息系统审计已成为审计发展的新动力和新方向。然而我国信息系统审计的发展现状还不能适应时势的需要,尤其是在推行基于国际性的标准COBIT 上的研究和实践缺乏。为此,我们应在全面把握我国信息系统存在问题的前提下,采取有效的对策,以适应大规模的信息化建设的需要。
一、问题的提出信息及相关技术控制目标标准(Control Ob2jectives for Information and related Technology , CO2BIT) 是美国信息系统审计与控制协会( InformationSystem Audit and Control Association , ISACA) 的信息技术治理学会( Information Technology GovernanceInstitute ,ITGI) 基于其原有的控制目标体系,结合并改进现有的正在发展中的其他国际技术标准和工业标准而制定的控制目标体系,为IT 的治理、安全与控制提供了一个一般适用的公认标准。自1996 年问世以来,目前已经更新至第四版,是国际上最先进、最权威的安全与信息技术管理和控制的标准,已在全世界100 多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效管理与信息相关的风险。最新版本COBIT 4. 0 更注重帮助董事会和员工应对不断增加的职责,包括面向公司董事会和各级管理层适用的指引,由四部分组成,即管理人员概述、框架、核心内容(控制目标、管理方针和成熟模式) 和附录(***表、前后参照和术语表) 。核心内容依据34 项IT 流程来划分,全面介绍了如何控制、管理和测量每个流程。另外,COBIT 4. 0 分析如何将具体的控制目标划入五项IT 管理领域,以识别潜在缺口; 令COBIT 标准与其他标准( ITIL 、CMM、COSO、PMBOK、ISF 和ISO17799) 协调一致;阐述关键目标指标(key Goal Indicator ,KGI)和关键绩效指标(key performance indicator ,KPI) 之间的关系,说明KPI 如何推动实现KGI ;结合业务目标、IT 目标和IT 流程。COBIT 标准不仅为人们提供了信息系统控制目标和IT 标准,而且提供了信息系统的审计指南。它为信息系统审计师提供了较为系统的评估指标,从而规范信息系统审计师的审计思路,而且它提供的控制矩阵、管理明确诊断表和风险评估表等科学的手段,让信息系统审计师合理评估审计风险,从而大大降低审计风险,提高审计质量。COBIT 标准对我国开展信息系统审计有很好的启示和指导作用,我国应大力推行基于COBIT 标准的信息系统审计。
二、我国信息系统审计存在的问题
1. 审计人才缺乏信息系统审计是会计、审计、信息系统、网络技术与计算机应用的交叉学科。开展信息系统审计,要求审计人员具有复合型的知识结构,既要掌握财会、审计知识,又要掌握信息系统、计算机与网络技术。但我国现在大部分审计人员并不熟悉计算机是如何进行经济与会计业务处理的,不知道计算机处理与网络技术的运用有什么风险、怎么样的控制才能有效降低这些风险,也不掌握如何对计算机信息系统进行审计或利用计算机和网络技术进行审计。计算机技术人员虽然对计算机和网络技术比较熟悉,但他们又不熟悉会计、审计知识,不知道要审什么、该怎样审。而开发实用性和通用性较强的审计软件所需要的高层次、高水平的人员也很缺乏。
2. 法律法规不完备在信息化条件下,审计方法、对象、技术都发生了很大的变化,传统的审计准则体系、法律法规体系已不能完全适应、指导和规范信息系统审计的实践,而新的关于信息系统审计的程序标准、准则和法律还没有出台或并不完备,有些甚至还是完全空白。例如,电子凭证、电子合同、数字签名等的法律效力和保存要求;数字认证机构的认定及其法律责任;计算机犯罪适用的法律;在信息系统审计中审计机构的权力、责任和被审计单位的义务等。从近年情况看,我国的信息系统审计制度建设工作才刚起步,尽管***办公厅、审计署、注册会计师协会等机关和组织颁布或制定了一些准则和规范,但是,这些准则和规范还不完善,没有形成系统性和结构性。不仅缺乏对信息系统开发和系统功能审计方面的规范,还比较概括、笼统,没有相应的实施细则。对信息系统审计尚处于摸索阶段的我国审计人员来说,显然还缺乏具体的指南。
3. 技术水平落后信息技术的高速发展与广泛应用使企业交易事项的大部分内容由系统自动运作完成,人工轨迹遗留较少,传统审计线索荡然无存。这就要求信息系统审计必须参与和融入信息系统的设计过程,在执行测试时必须穿越信息系统,以确保对连续监督程序和输出结果的控制。在我国信息系统的设计与开发中,尚不具备充分的保留和提供审计线索的功能。审计人员完全处于被动地位,难以获取充足的审计证据支持其审计结论,难以保证信息系统环境下的审计质量。
三、发展我国信息系统审计的对策从上述对我国信息系统审计存在的问题的概要分析中,作者认为,响应国际发展趋势,在信息系统控制和审计领域推行COBIT 标准无疑具有美好的发展前景。具体实施时可针对以下几个方面进行改进。 1. 注重专业人才的培养COBIT 标准具有系统的和完备的框架体系,它的运用首先定位于信息及其相关技术的控制和管理,因此,它在整体上表现出IT 业的大量相关技术。这就意味着运用COBIT 标准实施信息系统审计的审计人员应具有复合型的知识结构,既要掌握现代审计理论与实务,又要掌握信息系统、计算机与网络技术。目前,审计署干部培训中心开展的注册信息系统审计师培养及与之相关的在审计人员中进行计算机知识的培训工作,正是为了适应这一现实需要。在人员培训上,要求对低层次人员培训与高层次人才的培养、在职人员的培训与未来人才的培养进行统筹规划。对较高层次的人才培养,重点可放在信息系统的开发审计、系统的功能或应用程序审计、网络安全审计和审计软件的开发等方面;对未来审计人才的培养,应在高校会计专业教学计划中增加IT 和电子商务等内容,不仅要把信息系统审计列为必修课,而且应对这门课的要求或大纲达成共识。审计机构的管理人员也应意识到,信息系统审计人才的培养不仅仅是对审计人员的培养。我们可以培训审计师成为掌握必要IT 技能的人员,但很难要求他们成为计算机、信息系统和网络技术方面的专家。因此,审计机构要改变以往由会计师独唱主角的情况,计算机与网络专家、信息系统与电子商务专家将在审计组织中担任越来越重要的角色。审计机构应注意吸收这方面的人才,并进行审计知识和技能培训,使他们能与会计师良好合作,更好地执行信息系统审计任务。
2. 完善审计准则从国际同业的实践看,COBIT 标准已经逐步成为通行准则。我国应遵循国际标准或规范,把COBIT 标准作为核心标准, 同时, 借鉴ISOPIEC17799、ITIL 、PRINCE2、COSO、SOX 法案等其他国际标准和原则,进而确立适合自己的信息系统审计目标、对象、范围、方法、流程等。进一步完善与信息系统审计有关的法规和准则,要在法律法规上,确定审计机构和审计人员有权审查被审计算机的信息系统的功能与安全措施,有权利用网络和审计软件进行审计,被审单位应对审计人员的信息系统审计给予积极的协助。在建设信息系统审计准则体系时,可以借鉴ISACA 的做法,也采用三个层次体系结构,以基本准则为核心,统领具体准则和执业指南,从而使整个准则体系不断扩展、完善。内容划分方式可分为审计的权利、义务与责任,审计人员和审计工作三大类,并按这些类别来制定准则。信息系统审计准则作为一个完整的准则体系,各项具体准则要相互依存、相互配合。在准则的制定、上,应当遵循务实原则、接轨原则、配套原则和科学原则。ISACA 的做法是,先规划出基本准则的内容,在此基础上,有计划、有步骤、按照现实需要出台各项具体准则、指南和程序。准则采用分项制定,完成一项,一项,实施一项。这有利于信息系统审计准则的全面顺利的实施,也有利于信息系统审计人员循序渐进地正确掌握这一系列准则,从而促进信息系统审计准则在实务中迅速发挥作用。我们在信息系统审计准则的制定、上,可参照ISACA 做法。同时,对国际上已有的成文准则、习惯做法、专业术语,应当尽可能与国际惯例保持一致,尽量做到与国际惯例接轨。
3. 加强审计方面的IT 技术对于审计领域来说,COBIT 只是一套成文的信息技术控制标准,它只是向信息系统审计人员指明了前进的道路,但究竟如何才能成功通向胜利的彼岸,却有待审计人员自身去开发高效快捷的通向目标的方式,尤其是在信息系统审计这样一个高专业化、高技术性的审计业务领域。首先,应注重软件的开发,如开发数据采集软件,建立一种能够容易访问被审计单位不同介质、不同编码、不同类型的数据库,以便打通采集信息系统所需原始数据的瓶颈;在软件的研制方面,还要考虑审计作业发展趋势,如在现有审计软件基础上开发、研制新的适用信息系统审计的分析工具。其次,联网审计的加强,它是方便快捷地运用COBIT 标准的有力举措。这种审计方式成功实现的关键是被审计单位的信息系统提供标准化的审计接口,因此,信息化的管理部门和审计部门应加强宣传,提倡甚至是严令监督企业提供数据接口,以便联网审计的展开。最后,就是专家系统的构建,它能将基于COBIT 标准的成功案例进行积累和专业化,更好地为我们的信息系统审计工作服务。放眼未来之路,如何借鉴COBIT 标准开展适应国际趋势的而又探索有中国特色的信息系统审计道路,需要新时代的审计人员的不懈努力。我们只有充分认识存在的问题的基础上,才能有针对性地改进。中国审计人员将以倍增的热情,迎接新技术***的挑战,充满豪情地投入到审计技术创新的洪流中。
[参考文献]
[1 ]李 丹. 信息系统审计———传统审计的一场***[J ] .中国审计,2002 (1) :57 - 58.
[2 ] 钱 艳. 信息系统审计———网络架构、测试与评价[D] . 重庆大学硕士学位论文,2003.
[3 ]管亚梅. 信息系统审计———一种全新的审计模式的构建思路[J ] . 科技进步与对策,2005 (12) :78 - 80.
[4 ]陈婉玲,杨文杰. ISACA 信息系统管理准则及其启示[J ] . 审计研究,2006 (增刊) .
[5 ]董 霞. 会计信息系统审计研究[D] . 天津财经大学硕士学位论文,2006.
信息系统审计论文范文8
一、信息技术发展带来的挑战和机遇
在计算机没有问世以前,企业的内部信息处理最初都是以手工处理方式进行的,即企业将日常经营活动中产生的财务资料进行加工处理,形成满足一定需要的各种会计信息。在这种背景下,审计是以手动方式进行的。自20世纪70年代以来,信息技术开始迅猛发展,网上商场、网上银行、网上公司等电子商务的全球普及和通讯技术的发展,促使以鉴证财务信息的真实、公允为核心的传统审计遭遇到了巨大的冲击与挑战:信息技术使传统的会计实体假设、持续经营假设、货币计量假设等受到挑战,进而对传统审计形成明显冲击。信息技术***的来临以及信息技术的迅猛发展,使知识和信息的扩散和应用的速度加快,大量“虚拟企业”不断涌现和消亡,交易和决策瞬间完成,给作为信息记录与处理手段的传统会计业带来巨大影响,致使传统的会计核算空间处于一种模糊状态,主体界限难以把握,对传统的会计实体假设形成巨大挑战,进而给以会计信息为最主要工作对象的传统审计业也带来极大影响。
随着计算机的普及和会计电算化的发展,人们开始意识到信息技术对审计的重要性,一些企业和业务单位开始采用计算机进行一些数据收集来辅助整个审计过程。伴随网络技术和数据库技术的发展,企业信息系统逐渐从一个孤立的系统成长为集财务、人事、供销、生产为一体的综合性系统。现代财务系统从最初的单机版向多机版、网络版发展,人们越来越多的开始研究信息技术环境下的计算机审计。而且,若一个企业在先进的信息技术环境下采用计算机审计,这意味着该企业可以在同行业领域内用更短点的时间更高的效率完成相同的审计工作,即获得更多的收益。信息技术的发展促使传统审计工作获得了前所未有的发展机遇:信息技术的广泛运用为计算机审计创造了条件,为扩大审计业务范围和内容奠定了坚实的基础,为现代审计方式、程序以及审计项目的管理等提供了手段。
二、信息技术对现代审计产生的显性转变
第一,计算机输入和输出设备代替了手工记录。传统审计中包括大量的人工填写、人工取证、人工核对账表等诸多审计程序,需要通过顺差和逆差的方法来审查凭证、日记账、分类账和报表的每项记录,检查和确定其是否正确地反映被审计单位的经济业务。这既给审计人员增添了繁琐的工作细节,更增加了审计风险,并有可能降低审计结果的准确程度。信息技术环境下的计算机审计则将各类科目设定为一定的二进制代码,方便计算机的录入和输出,待审计时由计算机按照程序指令进行存取,既提高了效率又避免了填写造成的误差。
第二,计算机文档代替了纸质日记账和分类账。在传统审计过程中,纸质日记账和分类账一旦记录形成,若有填写差错需要被更正是一个很麻烦的过程,涂改后的账本会使得其可信程度降低。而且,这种以纸质凭证为主的传统审计方式,比较容易遭受损失或者是字迹变得模糊不清,不利于审计人员的查阅和取证。在计算机审计过程中,计算机文档是一种电子文档,可以通过一定的授权来对其进行更改订正,这既保证了文档的保密性,又有利于文档的永久性地保存,而且方便审计人员的随时查阅。
第三,电算化审计代替了手工审计。传统审计受个人偏向和感情偏好的影响较大,将对审计的结果产生一定程度的影响。以信息技术为主的计算机审计,将手工账簿简化成为计算机文档,不仅所有数据储存在电脑内存中,而且审计工作中的管理需求完全可以固化到应用程序之中,不会因为人的意志变更而转移审计的重心。这种电算化审计,既有利于确保审计的准确性,又有利于确保审计结果的公允性。
第四,网络通信和电子邮件代替了传统的邮寄。传统的邮寄方式很有可能因为所需数据的半路遗失或者是被调换而导致审计结果的错误,而信息技术环境下的网络通信和电子邮件则较好地避免了这些不利于正常审计的因素。虽然网络也有黑客,但只要加强对信息质量的监控就能为计算机审计提供保障。
第五,灵活多样的报告代替了固定的定期报告。传统审计牵扯到大量繁杂的工作,一般每年只有中期和全年的定期报告。计算机审计则可以不拘泥于原先的定期报告,高效快速地制定各种审计报告,随时向社会公布不同时期的审计结果。这有利于社会各界更好地了解被审计企业的情况,掌握该企业更新更准确的相关信息。
三、信息技术对现代审计的隐性影响
信息技术给现代审计注入了新鲜的元素,让审计再次充满生机。然而,这些都是我们肉眼说能观察到的变化。实际上,信息技术对现代审计也有着潜移默化的影响。
1.信息技术的发展要求全面提高审计人员的素质。
由于信息技术的影响,审计范围的扩大,审计经济业务的多元化,审计中加入了更多的不确定性和多变性。审计人员只有对计算机审计风险进行正确估计,并能够针对计算机信息系统实施必要的技术性审计时,才有可能保证审计结果的正确性。这就要求审计人员及时掌握和更新知识,全面提高自身素质,以适应目前已经出现的“计算机审计”、“网络适时审计”等基于先进信息技术手段的审计方式,实现审计工作的智能化。
2.信息技术的发展要求有效全面控制审计风险。
由于信息技术的影响,审计过程无形化、审计证据隐含化、审计对象“虚拟化”的出现,在一定程度上使得现代审计的可验证性受到限制。计算机技术的大量应用,以及网络技术先天的脆弱性,极大地增加了信息被变造、伪造的可能性,降低了信息的可信度,所有这一切无不扩大了审计风险。采用更先进的信息技术,如“系统克隆”、“电子函证”、“审计黑匣子”等技术,创新审计技术手段与方法,尽快研究制定计算机审计准则和指南,加快计算机法和相关法律的立法、***和司法建设,同时注重考虑审计过程中的任何相关信息和报告质量,以及相关审计线索和各种信息的准确性、完整性、授权体系和访问限制等,将有效防范错误信息被采纳和运用到审计过程中来。
3.信息技术的发展将对审计理论及其研究方法产生影响。
伴随知识经济时代的来临,信息经济学、信息技术、电子商务等多种学科理论越来越广泛地渗透到审计理论的研究之中。在信息技术的影响下,伴随审计机关或审计团体互联网络和资料数据库的建立,审计理论、审计理论研究也出现了很多新方法、新概念,促使审计理论不断地完善、健全和充实。
信息系统审计论文范文9
论文摘要:回顾IS审计的发展历程,进而披露IS审计在我国的发展现状,并对产生问题的原因进行剖析,最后对如何构建完善的Is审计模型提出解决策略。
Is审计,是指Informationsystemauditing,即信息系统审计,它是指审计组织以信息技术为手段,组织计划审计项目,实施审计的全过程,以判断该信息系统是否安全、可靠和有效,并对信息系统对财务报告的影响做出判断或单独提出信息系统审计报告的全过程。以确认审计风险或评价企业信息战略、优化组织运营为目标,对组织营运所依赖的信息系统进行***、客观确认和咨询活动。信息系统审计的内容包括两个方面:一是以信息技术为手段所开展审计工作的全过程,即计算机辅助审计技术(CAAT);二是指审计部门以组织的信息系统为对象,以风险评估或内部控制检查为手段,对该系统所产生的会计信息系统的真实性、合法性做出确认或通过优化企业信息管理,增加企业核心竞争能力即信息系统的审计或EDP审计。信息系统审计与控制协会——ISACA成立于1969年,最初称为EDP审计师联合会,总部在美国的芝加哥。目前该组织在世界上100多个国家设有160多个分会,现有会员两万多人。是信息系统审计的专业人员唯一的国际性组织,CISA(CertiifedInformationSystemAuditor)也是这一领域的唯一职业资格。该组织通过制定和颁布信息系统审计准则、实务指南等专业标准来规范和指导信息系统审计师的工作;它还设立了信息系统审计与控制基金会,从事相关领域的研究工作,以使该组织的成员能够享用其最新研究成果;通过在世界各地举办各种形式的研讨会、培训班等活动,增进国际间同业人员的交流。ISACA每年还举办CISA资格考试,通过考试的人员可以申请CISA资格,符合ISACA规定的工作经验及其他相关要求的申请人会被授予CISA资格。
1 IS审计发展历程回顾
在信息系统审计的萌芽阶段,人们称之为电子数据处理审计(electronicdataprocessingauditing)或计算机审计,它是作为传统审计业务的扩展发展起来的。早期的计算机应用比较简单,相应地,计算机审计业务主要关注对被审计单位电子数据的取得、分析、计算等数据处理业务,还称不上信息系统审计。从财务报表审计的角度来看,这一阶段的主要业务内容是对交易金额和账户、报表余额进行检查,属于审计程序中的实质性测试环节。此时,它只是传统财务审计业务的一种辅助工具,对客户的电子化会计数据进行处理和分析,为财务报表审计人员提供服务。
随着计算机技术应用范围的不断扩展,计算机对被审计单位各个业务环节的影响越来越大,计算机审计所关注的内容也从单纯的对电子的处理延伸到对计算机系统的可靠性、安全性进行了解和评价。在制度基础审计的模式下,计算机审计的业务内容已经扩展到了符合性测试领域。风险基础的审计模式的采用以及信息技术在被审计单位的各个领域的广泛应用,信息系统的安全性、可靠性与其所服务的组织所面临的各种风险的联系越来越紧密,并且直接或间接地影响到财务报表的真实、公允。在这种情况下,对被审计单位风险的评估必须将计算机信息系统纳入考虑范围。发展到这一阶段,计算机审计的业务范围已经覆盖了一项审计业务的全过程,计算机审计这一概念已经不能反映这一业务的全部内涵,信息系统审计的概念随之出现。
1.1在建立信息系统审计制度,开展信息系统审计研究方面,美国走在前面
早在计算机进入实用阶段时,美国就开始提出系统审计(SYSTEMAUDIT)。1969年在洛杉矶成立了电子数据处理审计师协会(EDPAA),1994年该协会更名为信息系统审计与控制协会(INFORMATIONSYSTEM AUDITANDCONTROLASSOCIATION)即ISACA。美国是首先对网上财务信息的审计直接颁布指导性文件的国家。注册会计师协会(AICPA)为指导其会计师事务所成员,于1997年1月颁布了名为《互联网上的财务报告》(FinnacialStatementsontheIntemet)的指导性文件。该文件于1999年8月15日更新,是现阶段的最新版本。该指导性文件详细表明了美国注册会计师协会审计和鉴证组成员的立场。他们指出网上财务报告的使用者不同于传统印刷版财务报告的使用者,网上披露财务信息只是一种营销手段,网络为企业提供了时常更新其信息的可能性。
1.2 2001年1月,英国审计职业委员会(APB)颁布了
《网上审计报告公告》(ElectmnicPublicationofAuditorsReports)该公告主要解决了以下几个问题:(1).检查电子版财务信息的生成。(2).审计报告的用词。在对应印刷版财务报表的审计报告中,审计报告往往通过页码范围来确认已审计的财务报表。然而在网站上所的财务报表和审计报告中,使用页码范围已不合时宜,因此APB建议直接使用财务报表名称来取代页码范围;同时需要在审计报告中指出所使用的通用会计准则和审计准则的国籍。(3).信息间的链接。APB非常关注已审计信息和未审计信息之间使用超链接的问题。APB建议审计师应要求“在信息使用者通过超链接从已审计信息跳到非审计信息时,网站应能向使用者发出警告信息”。
13澳大利亚审计与鉴证准则委员会(AustralianAuditnadAssurnaceStnadardBoard,AASB)AASB是最先对网上财务信息审计作出指导的审计准则制定者。AASB于1999年颁布了审计指导声明(AGS)1050《与电子方式呈报财务报告相关的审计问题》。AGS1050的目的在于“当公司利用信息技术在公共网络如互联网上发 布已审计财务信息时,就一些问题为审计师提供一定的指导”。AASB在AGS1050中重述了审计的基本准则,并强调“电子方式财务报告并没有改变管理当局和审计师的责任”,即财务报告的主要责任仍在管理当局。
1.4日本的系统审计是从八十年代开始,1983年通产省公开发表了《系统审计标准》,并在全国软件水平考试中增加了“系统审计师”一级的考试,着手培养从事信息系统审计的骨干队伍
2 IS审计在我国发展现状及存在问题剖析
近年来,我国审计信息化建设在纳入国家信息化建设(即:金审工程)范围后,有了较快发展。在信息技术和网络技术方面逐渐形成体系,审计业务软件开发应用中也有了较快发展。但审计信息化建设在实际工作中,还存在一些不容忽视的问题,这些问题如不妥善解决将影响审计信息化建设和发展进程。
2.1审计人员对信息系统审计理解偏差,信息系统审计水平匮乏
在注册会计师的行业,由于我国CPA的市场化建设及推行较晚,现行的CPA的素质较低。同时在CPA的考试中也没有计算机方面的要求,因此绝大多数的CPA运用计算机的水平很低。CPA的审计工作仍然是传统的手工审计。计算机仅仅用作文字处理或者基本不用。有些单位计算机专业技术人员只占在职人员总数的5%左右,与审计信息化建设和发展的需要还有较大差距;同时由于计算机技术的飞速发展与知识更新培训的不足,许多审计人员的计算机应用水平及相关技能无法得到同步提高,计算机应用仍停留在较低水平上,计算机功能也没有得到充分发挥。主要体现在应用意识不强,操作技能还不熟练。因而审计系统计算机人材缺乏的问题,也是制约审计信息化建设和发展的因素之一。
2.2信息系统审计理论研究几乎是空白
信息系统审计工作目前还处于探索阶段,还没有形成一套成型的专业规范理论结构。会计、审计界所进行的一些信息系统审计的探索和尝试以及开发的一些信息系统审计软件,还大都停留在对被审计单位的电子数据进行处理的阶段。
2.3信息系统审计硬件条件严重不足
2.4信息系统审计软件条件严重欠缺
虽然我国的网络财务软件较国际先进水平的差距不大,但是由于推出较晚,目前使用面还不广。同时网络财务软件的设计没有考虑审计软件设计的需要,使得审计软件的数据收集以及其功能的发挥受到很大的制约。
2.5 IS审计信息化建设效益低
2.6 IS审计成本不断攀升
2.7 IS审计业务水平不满足信息化发展的的要求
2.8 IS审计准则及专业规范不到位
我国的信息系统审计工作目前还处于探索阶段,还没有形成一套成形的专业规范。目前我国会计审计界所进行的一些计算机审计的探索和尝试以及开发的一些计算机审计软件还大都停留在对被审计单位的电子数据进行处理的阶段。
运用传统的会计审计知识已经不能对这样的客户进行风险评估、内控测试与评价,从而无法进行真正意义上的“风险基础模式”的审计业务,影响我国会计师行业审计业务质量。这一现状使得我国的注册会计师行业在与国外大型会计公司的竞争中处于不利地位。
3基于新经济时代的完善的IS审计模型的构建策略
新经济是建立在网络经济和技术创新基础上的一种经济形态,以信息网络为代表的高新技术产业,正在世界范围内,尤其是发达国家飞速发展。因此,审计信息化建设和发展关系到我国审计事业的兴衰,体现着我国审计事业发展水平。为此,构建完善的Is审计模式成为当务之急:
31构建完善的Is审计准则体系
目前,我国的Is审计准则比较分散,不统一,执行起来具有很大难度。现有审计准则既有审计署和***办公厅的,又有中国注册会计师协会颁布的,而且只有一般性原则和指导意见,缺乏具体的实务公告和行业指南。并且《计算机辅助审计技术方法》只是涵盖了审计工作的一部分,针对我国目前审计实务界的现状,广泛采用的仍是系统打印出来的数据进行手工审计,即绕过计算机审计,如何对其进行规范,目前还没有相应的准则。因此,我国可以借鉴国际审计实务委员会颁布的有关计算机信息系统环境下的审计准则。因为这套准则既有一般性的原则和指导,又有具体的准则和实务公告,从***微机到联机系统,再到数据库系统的审计和计算机辅助审计技术,内容比较全面并且结构性强。
3.2构建完善的Is审计实施体系
信息系统审计实施体系是指由IT和审计相关的学科为理论基础,以传统审计为实践基础,以审计指南为指导,以审计工具为辅助,以审计业务为核心的有机整体。构建信息系统审计实施体系的目的在于全面了解信息系统审计的内涵和外延,从而有助于该领域的进一步深入研究,也可更加有效地指导实际的审计工作。完善的Is审计实施体系如***所示:
3.3构建全面的联网审计系统
联网审计是指审计机关与被审计单位进行网络互连后,在对被审计单位财***财务管理相关信息系统进行测评和高效率的数据采集与分析的基础上,对被审计单位财***财务收支的真实、合法、效益进行实时、远程检查监督的行为。随着近年来一些地方联网审计试点的开展,有数据显示,在2003年,审计署对中国工商银行进行了联网审计,和1999年相比,全部参审人员仅为1999年人工现场审计的1.1%,人均发现的违纪违规问题却是1999年的38倍。
联网审计正悄悄改变着延续了100多年的传统审计模式。联网审计是顺应信息化发展的产物,不论在亚洲还是在欧洲、美洲,联网审计都处在试点阶段。据悉,2005年《中央部门预算执行联网审计工作方案》(以下简称《工作方案》)正式完成。《工作方案》规定,审计重点是国家工商总局等四大中央部门,将首批执行联网审计。该方案根据《审计署2005年度统一组织审计项目计划》、(2004至2007年审计信息化发展规划》、《审计机关审计项目质量控制办法(试行)》和(2005年财***审计应用计算机技术工作意见》制定。审计人 员坐在办公室内就能动态甚至实时跟踪、查看被审计单位预算资金动态,从资产负债变动、预算经费收支、大额支出、预算指标执行、行***性收费等多个角度进行数据分析,发现疑点或异常后及时通知被审计单位,努力把腐败消灭在萌芽状态;在对具体项目审计中,大量的审前调查在自己的办公室内完成,进驻被审计单位前已经确定了审计重点和审计实施方案等,审计员在被审计单位的主要工作不再是查账找问题,而调查取证联网审计发现的疑点。
但联网审计,包括其试点活动都在近三年内才开始启动,联网审计无论在理论和实践中都存在很多问题,尤其是一些法律、技术、规范等多方面的难题。
(1)法律盲区是联网审计的主要障碍之一。比如,按照现有审计法规,审计机关能否具有与被审计单位联网取得数据的权力,有没有随时获取被审计单位数据并进行审计的权力,在发现问题后有没有及时通知被审计单位的权力,被审计单位有没有相对应的义务等。
(2)信息系统审计技术急需跟进。在开展联网审计前,应首先对被审计单位的信息系统进行审计;要探索适用范围更广的公网传输机制;要研究数据库技术、联机分析技术、数据挖掘技术等在联网审计中的应用;要通过与重点行业、重点领域的联网,建立审计数据中心,为审计业务提供支持。
3.4运用信息技术支撑审计管理的科学化
通过审计项目管理系统,审计人员可获得自己所需要的项目信息或上报自己的审计情况;审计组长可对审计人员的审计工作进行指导、监督和协调,并掌握审计进度情况;专职复核人员和业务部门负责人可对审计项目进行监督复核;本级审计机关领导对审计项目进行查询、指导和监督。
3.5尽快弥补我国注册会计师的知识结构缺陷
转载请注明出处我优求知网 » 信息系统审计论文集锦