内部信息系统审计

内部信息系统审计（精选8篇）

内部信息系统审计 篇1

江苏省2016年上半年注册内部审计师：信息系统安全考试题

本卷共分为1大题50小题，作答时间为180分钟，总分100分，60分及格。

一、单项选择题（共50题，每题2分。每题的备选项中，只有一个最符合题意）1.在将某自动化系统与人工系统进行比较时，审计师应该指望自动化系统具备以下哪项功能？ A：消除职责分工的需要；

B：将职责分工概念集中在电脑系统及其应用程序上； C：展示更高级别的错误； D：以上都不对。

2.制造资源计划(MRP-II)系统

A：完成企业ERP系统的后端功能。B：使用一个主产品计划。C：缺乏预测和预算。

D：完成ERP系统的前端功能。

3.以下哪项是制造业的一种产品成本? A：销售工人的车辆折旧。B：销售经理的薪水。

C：公司总部建筑物的保险费。D：工厂的财产税。

4.公司规定，必须从经过审批的卖方清单上的供应商处进行采购，这是以下哪种控制的范例？ A：预防型控制 B：检查型控制 C：纠正型控制 D：监测型控制

5.针对制造商废料处理职能的经营审计报告应当着重分析 A：废料处理过程的效果和效率，以及改进建议 B：废料存货是否列为当前的资产 C：废料存货是否账实相符

D：废料存货计价是否采取成本与市价孰低法

6.以下哪项对审计目标和审计程序之间的差别作出了最佳的解释 A：程序确立了宽泛的一般目标，目标专门针对所开展的详细工作； B：目标是为每项业务特制的，程序的应用较为通用；

C：目标界定了具体需要实现的内容，程序提供了取得目标的方式； D：程序和目标在本质上是相同的。

7.一个组织使用数据库管理系统作为数据来源。数据库管理系统支持用户使用第四代编程语言开发的软件。一些软件可以更新数据库。在评估控制进入和使用数据库的措施时，审计师最关注

A：在进入数据库之前，用户开发的应用软件在计算机上进行检测和开发； B：存在实时更新控制措施；

C：使用关系数据库模型，使得多个用户可以同时获得服务。

D：在进入数据库之前，最终用户使用数据处理通过了他们的只读程序； 8.个人电脑程序的密码用来阻止 A：不精确的数据处理； B：对计算机的非法进入； C：对数据文件的不完整更新； D：非法的使用软件。

9.以下哪种计算机控制措施对于从个人电脑向主机上载数据完整，而且没有其他数据被添加最为效果？

A：有效限制进入的密码，保证只有合法用户可以把数据上载到主机结构。B：字段层次编辑控制，检查每个字段的完整性。

C：自校验数位，保证只有有效的部分数字被添加到数据库中。D：批处理总数控制，包括控制总数和杂项总和。10.除了哪项，以下各项均是某工厂为防止排出不符合排放标准的废水的控制系统的组成部分

A：在排放前，对许可证中所指明的废水万分进行化学分析。

B：(通过政策、培训和建议标牌)详细说明哪些物质可以经工厂内的污水槽和地面排水管处理。

C：为工厂的预处理系统制定一个预防性的维修方案。

D：定期由大量净水冲洗污水槽和地面排水管，以确保污染物质被充分地稀释。11.以下哪项控制能用于检查已记录但并不存在的银行存款 A：固定现金收入点； B：尽早建立收入责任；

C：将收入与其它内部责任(如应收账款或销售额的收集)相联系； D：由第三方实施银行对账。12.3、“在个人经济方面遇到了困难”是一种 A：行为征兆。B：事态压力。C：合理理由。D：犯罪机会。

13.根据专业实务框架，内部审计活动的独立性通过以下哪项来获得？ A：人员配备和监督

B：持续的专业发展和应有的职业审慎 C：人际关系和沟通 D：机构状况和客观性

14.建立审计历史数据库的优点不包括以下哪项

A：可以更容易地确认商业环境、经济形势和竞争因素的变化 B：重视重复出现的问题

C：工作底稿的一部分可以从以前的文件中复制，并且使更新文件更为容易。D：减少了对计算机控制措施测试的数量 15.通用审计软件可以使审计人员 A：a．监视应用程序的执行。

B：b．在对主文件上用真实和虚拟的实体进行数据测试的过程中，处理这些测试数据。C：c．从文件中选取样本数据并且对计算进行检查。D：d．在正常的应用程序中插入特殊的审计例程。

16.一个设备制造商设有订货登记系统的拨号进入端口，以方便世界范围内的客户在需要的时候方便地进行订货。该制造商承诺在全世界范围内95%的零件订货可以在48小时之内送货。由于某些电子零件的成本和敏感性，供货商需要设立订货登记系统访问的安全措施。对 访问的安全性进行监视的最好技术是 A：订货登记系统的集成检测设备。B：通过订货登记系统对业务进行追踪。C：订货登记业务的业务选择。

D：对不成功的访问企图进行日志登记。

17.为鉴别通信系统的那些组成部分风险最大，内部审计师首先应该 A：确定网络的商业用途。

B：把网络软件和硬件按各自的层次绘图表示。C：检查开放系统互联网络模型。D：考查网络操作费用。

18.在考虑是否将现有的内部审计资源从正在进行的遵循性审计转向管理当局要求的某分部审计时，以下哪一种情况最不重要？

A：该分部一年前由外部审计师进行过一次财务审计。B：与遵循性审计相关的舞弊的可能性。C：过去一年中该分部费用的增长。

D：与遵循性审计相关的潜在重大违规罚款的可能性。

19.以下哪句话最好地描述了以控制为基础的控制的自我评价过程？ A：评价、改进、合理化选定的控制过程。

B：检查控制措施在控制重要风险时发挥作用的程度。C：分析控制设计与控制结构间的差异。D：决定控制的成本效益性。

20.以下哪些内容按开展初步调查的工作顺序列举了审计活动？Ⅰ。编写详细的审计程序；Ⅱ。确定被审计单位的目标、目的和标准；Ⅲ。确定有关风险和旨在防止相关损失的控制措施；Ⅳ。确定相关的审计目标。A：顺序是Ⅱ、Ⅰ、Ⅳ、Ⅲ； B：顺序是Ⅱ、Ⅲ、Ⅳ、Ⅰ； C：顺序是Ⅱ、Ⅳ、Ⅰ、Ⅲ； D：顺序是Ⅲ、Ⅳ、Ⅱ、Ⅰ

21.当前对付款活动的审计表明在应付凭单帐项处理过程中存在许多重要错误，导致了许多折扣的丧失和许多额外的调整和贷项通知单。由于有许多例外情况不得不分析，花在该部分的审计时间已超过了预计。审计师观察了每个应付凭单办事人员的操作，对应付账款、购买、收货三部门抽取了样本并分析了交易记录，得到了交易量、错误改正交易和丧失折扣摘要方面的系统资料。目前，在这三个部门中任何一个部门，在详细测试、实地观察和例外事项分析中所发现的各种错误的原因还未查明。审计师为查明原因，应采取的最适宜的行动过程是 A：询问处理应付帐款和涉及交易的人员，获取相应建议。B：扩大样本量，但抽取样本的属性与测试样本的属性相同。

C：集中精力审计现金支付方面，以期通过这些测试发现所有相关信息

D：在给管理当局的特别报告内描述和交易相关的问题，对其发生原因不作表述，也不下结论。22.根据《标准》，内部审计报告应该分发给有能力确保审计结果得到应有考虑的公司成员。对于公司的资深成员而言，一般可应用以下哪种报告来满足此要求？ A：总结报告。B：中期报告。C：口头报告。D：只有最终书面报告可以满足此要求。

23.在审计的哪个阶段，内部审计师确认出被审计活动的目标和相应的控制 A：员工挑选阶段； B：初步调查阶段； C：编制工作方案阶段； D：审计结果报告阶段。

24.内部审计部门已经对一项欺诈调查得出结论，该调查揭示出对以前从未发现的已签发财务报表的两年来的财务状况和经营结果的重大不利影响。内部审计主任应该立即通知 A：受到该发现影响的对财务报表负责的外部审计公司。B：适当的政府或管理机关。

C：适当的管理层和董事会的审计委员会。

D：最终负责编制正确日记账分录的内部会计职能部门。25.通用审计软件可以使审计人员 A：a．监视应用程序的执行。

B：b．在对主文件上用真实和虚拟的实体进行数据测试的过程中，处理这些测试数据。C：c．从文件中选取样本数据并且对计算进行检查。D：d．在正常的应用程序中插入特殊的审计例程。

26.为了增强应用软件的安全性,内部审计主管建议程序员应该配置无盘工作站.无盘工作站可以增强安全性是因为

A：促进程序员更紧密地协同工作.B：可以实施更为严格的访问控制.C：减少工作站的维护费用.D：使盗窃应用程序更加困难.27.如果内部控制非常薄弱，以下各项对组织资产的舞弊或滥用中应被确定为是风险最高的领域的是

A：高级经理使用组织的旅游招待资金进行很可能是未经批准的活动。B：向虚构的供应商购入物资。

C：资助提供给了可能与主席有关联的组织或者没有用于该组织章程规定的目的。D：工资部门职员增加虚构的员工。

28.通过内部审计部门的工作时间表，审计委员会应该总能获取充分的信息，从而决定所提议开展的审计业务是否能够 A：可能导致重要风险得到发现 B：包括充分的舞弊意识 C：支持公司目标的实现 D：可能发现控制薄弱环节

29.组织的利益冲突政策规定了违背组织最终利益和福利的任何行为。下列那项属于该政策对禁止行为的规定

A：非盈利型组织的董事会成员必须致力于环境保护； B：同时作为地方政府的兼职官员；

C：向亲戚提供组织员工的联系方式，该亲戚提供的培训有可能使组织收益； D：兼职地方大学教授。

30.如果一个国家的法律要求至少应把所发行的10%的股票留给公司员工和非股东，这种规定对现有股东会产生哪种影响？

A：该法律将使现有股东受益，因为发行价格通常高于市场价格 B：该法律有损现有股东的利益，因为发行价格通常高于市场价格 C：该法律将使现有股东受益，因为发行价格通常低于市场价格 D：该法律有损现有股东的利益，因为发行价格通常低于市场价格

31.为确保数据能完整地从终端微机传送到主机，且不存在任何外加的数据，下面哪一项计算机控制程序最有效？

A：采用校验位技术，以确保只有经批准的零部件代码能添加到数据库中。B：采用批控制总数校验，包括控制每批的数量与金额总数和杂项总数。C：设置密码，确保只有经批准的人才能将数据发送到主机。

D：设置字段编辑控制，由计算机自动检查每个字段的字母/数字的完整性。32.与内部财务报告相关的内部审计的职能是 A：保证报告程序的遵循性；

B：审查费用开支项目，并将各项与实际开支相核对； C：确定是否有雇员未经授权而进行开支；

D：确认会增大未授权费用支出发生可能性的不充分的控制。

33.应用程序可用于阅读包括服务器上所有经过授权的访问用户编码的文件，以下哪种控制措施可防止这种情况的发生？ A：内部加密的口令 B：口令等级 C：登录口令

D：同行对同行网络

34.某大型零售公司新上任的首席审计执行官对审计活动中对商店广泛使用符合性测试表示质疑，他声称这个方法不符合重要性原则。下列陈述中哪一条是对这位首席审计执行官的说法最合理的反应？I、重要性不仅与每一商店的规模大小有关，也与影响整个组织的控制结构有关。II、根据定义，任何偏离规定控制程序的情形都是重要的。III、确保公司控制结构中重要的金额都受到检查的唯一方法是全面审计所有商店。A：只有I B：只有III C：只有I和II D：I、II和III都对

35.从理论上讲，公司为财务报表列报之目的而选择的最佳折旧方法应该是 A：最方便簿籍并能满足成本——效益要求的方法

B：使公司得以报告相关结果的方法，这些结果能力最低成本吸引最高投资 C：将应税收入讲到最低的方法

D：将资产的使用期限与其所产生的收入都匹配的方法

36.在六西格玛方法中，在以下哪一个阶段中使用了因果关系图? A：定义 B：分析 C：改进 D：控制

37.内部审计主管设置了一套电算化的电子数据表，以便对组织内不同部门进行风险估计。该电子数据表包括下列因素①部门经理完成利润指标的压力。②经营活动的复杂程度；③部门员工的胜任程度；④部门内会计账户受主观影响的美元余额，例如退休后津贴(Post-retirement benefit)等费用账户即受管理当局决策影响。内部审计主管召集了审计管理层的会议，以达成对部门员工胜任情形的共识。其他因素则由负责具体部门审计的审计经理 来估定。审计主管对各因素设定了0.5至1.0的权数，然后计算出综合的风险系数。下列关于风险评估程序的陈述中，正确的是

A：风险分析是不恰当的。因为它混同数量因素与质量因素，因而不可能进行预值的计算。B：将各因素按高、中、低等离散水平来测定风险的风险估计程序是不适合的，因为风险级别不可量化；

C：仅数的确定具有主观性，必须通过多元回归分析等程序来确定； D：通过集体的主观一致意见来评估员工的胜任情况是恰当的。

38.以下哪项内容会提醒管理层警惕研究部门发生的问题(如应用过时的设备和工艺等)？ A：执行预算，要求管理层对每年分配给研发部门的金额进行签字批准 B：每月对实际开支与预算开支进行比较

C：定期将研究活动与同一领域的其他企业的研究活动进行比较

D：研发设备所发生的所有资本开支均需得到审查和部门经理的签字批准 39.在修改项目进度时，以下哪项活动通常代表了缩短更多时间的机会。A：更短的持续时间 B：更长的持续时间 C：接近期限 D：未来

40.为了测试对公司政策的遵守情况，审计师需要应用以下哪种方法来确定抽样计划的恰当抽样规模？Ⅰ、预期的离差率；Ⅱ、希望达到的准确度；Ⅲ、希望达到的置信度；Ⅳ、标准离差。

A：应用Ⅰ，加上Ⅱ或Ⅲ的其中之一 B：只能应用Ⅱ和Ⅳ

C：应用Ⅲ，加上Ⅰ或Ⅳ其中之一； D：只能应用Ⅰ，Ⅱ或Ⅲ

41.开展跟踪审查的首要目的是 A：保证内部审计建议得到及时考虑

B：确认是否针对审计师报告的情况采取恰当行动； C：允许内部审计师评估其建议的效果性

D：为针对该领域的未来审计活动编制计划。

42.某公司正对各责任中心进行评价，方法是应用投资回报衡量业绩。中心经理可以采取行动，提高投资回报，但这些行动不包括 A：a．增加投资基数 B：b．增加销售额 C：c．减少开支 D：d．减少总资产

43.内部审计师正在用固定间隔的货币单位抽样法测试某余额为$750000的账户。样本量是50，该审计师以04719为随机起点选取样本。下面哪一项应是他选取的第三个样本项目发票金额累计金额 A：$7985 $31374 B：$4108 $35482 C：$12305 $47787 D：$456 $48243 44.通用审计软件(GAS)允许审计师 A：监控应用程序的执行； B：对包含实际数据和虚拟数据的主文件进行数据测试； C：从文件中选择抽样数据项和检查计算结果； D：在日常应用程序中插入特定的审计方法。

45.如果执行有效的话，以下控制程序中最有可能降低上述环境下舞弊发生可能的是 A：要求采购业务在不同供应商之间定期轮换。B：要求三个采购代理进行岗位轮换。

C：要求将验收报告直接传递给应付帐款部门。

D：要求由收货部门进行存货永续盘存的更新记录。

46.一个中型城市每年为31000名顾客提供8.5亿加仑的水。至少每5年要更换一次水表以保证正确计价。供水部门跟踪未计量的水以确认没有开出账单的量。最近，该部门发布了以下用水报告业务一月二月三月第一季度实际第一季度目标更换的水表数量 475 400 360 1235 1425 报告的泄露次数 100 100 85 285 修理的泄露次数 100 100 85 285 100% 未计量的用水 2% 6% 2% 4% 2% 根据第一季度的泄露修复业务报告，内部审计师可以得出以下哪项结论？

A：应该改变操作标准

B：应该分析偏离目标的情况并采取纠正措施 C：已建立的操作标准被理解和遵守 D：泄露修复项目配备的人员过多

47.为审计业务中需要开展的具体任务分配责任需要应用相关标准，以下哪项内容以最佳方式描述了此方面最重要的标准？

A：应该将任务分配给最有资格完成任务的审计小组成员。

B：所有被指派开展审计任务的审计师都应该拥有完成任务所需的知识和技能。C：审计师的指派应该主要依据其工作年限。

D：审计小组的所有成员都应该拥有满意完成审计业务所有任务所必须的技能。48.为了控制审计项目和避免时间超出预算，修订时间预算的决定通常在以下何种情况下作出？

A：在完成初步调查后立即。B：当证实时间存在严重不足时。

C：当指派没有经验的审计人员参加审计业务时。D：在为了证实审计发现而进行扩大性测试后立即。

49.某内部审计师正在评价车辆调配厂经营的效果和效率。业务工作方案包括运用分析性程序观察大型轮胎车辆的主要制造费用的趋势。该趋势表明下列各项有关的费用支出较去年有重大增长:(1)正使用的车辆数；(2)车辆运行里程数；(3)设备使用年数；(4)环境状况。内部审计师的调查指出厂里聘用了两家新的维修组织。所有维修业务的费用单据账项均完整，但在单据上发现维修报告的车辆牌号与正在使用的车辆不一致。审计师可能采取的业务程序包括:①与维修部门的负责人讨论此事并要求做出解释；②编制正开展的维修项目清单，并与制造业维修指南进行比较；③对车辆的车票进行分析来确定其中是否隐藏着需要注意的问题；④审核截止日报告，确定所维修的车辆在维修日期并未在使用中；⑤审核派遣时间安排，确定是否存在车辆正在使用的同时，维修部门报告中将其列为维修的情形；⑥与厂里安全部门讨论。上述行动中，应采用怎样的优先顺序 A：①，⑥，和④； B：④，⑤，和⑥； C：⑥，⑤，和②； D：②，③，和④。50.下面的网络图显示了完成项目所需要的几种活动之间的内在联系。箭头代表了活动，并且以字母表示。括号里面的数字表示了完成每种活动所需要的星期数目。

完成该项目的最短时间是 A：18周 B：17周 C：16周 D：14周

内部信息系统审计 篇2

1.1内部控制审计

1.1.1内部控制审计定义

内部控制审计是通过对被审计单位的内部控制的审查、分析测试、评价, 确定其可信程度, 从而对内部控制是否有效做出鉴定的一种现代审计方法。

1.1.2内部控制审计的内容

审计其实是对被审计事项合规性的审查, 内部控制审计就是对内部控制五要素的一个审查, 这五要素就是美国COSO委员会提出的《内部控制-整合框架》中的“控制环境、风险评估、控制活动、信息与沟通、监察”。在内部控制审计过程中, 审计师在审计过程中查看被审企业是否对企业的内部环境有着很好的认识, 认识是否中肯, 是否存在夸大或贬低的情况;对企业进行风险评估, 将审计师自己所进行的风险评估与被审单位进行的风险评估进行比对, 查漏补缺。

1.2信息化内部控制审计

信息化内部控制审计与内部控制审计内容、方法其实基本相似, 最大的不同就在于, 信息化内部控制审计考虑了信息环境对内部控制的影响。它的内容更多的是涉及到信息化环境下的内部控制问题, 审计师更多的关注是信息技术在企业中使用的范围, 评价信息技术的使用对企业经营管理过程中可能带来的风险, 评估信息技术对财务报表等等各方面的影响。

2信息系统审计

2.1信息系统审计定义

信息系统审计是一个利用各种手段和工具对企业进行收集和评价审计证据, 并以此来判断其信息系统是否能够保护企业资产的安全、维护企业数据的完整, 能否有效地保证企业目标的实现, 并能使企业资源得到高效地利用等方面做出判断的过程。

2.2信息系统审计的内容

信息系统审计内容通常包括对企业组织层面信息技术控制、信息技术一般性控制、业务流程层面相关应用控制的审计。企业组织层面信息技术的审计要考虑的是信息技术对在内部控制审计所关注的五要素“控制环境、风险评估、控制活动、信息与沟通、监察”的影响, 如在控制环境因素中, 审计师要关注信息技术战略规划与企业发展战略规划的契合度、信息技术治理制度体系的建设以及信息技术部门的组织结构和关系以及信息技术教育和培训等情况。信息技术一般性控制关注的是构建信息系统所涉及到的技术及安全:计算机硬件系统、计算机软件系统如网络架构、操作系统、数据库、应用系统, 还包括使用信息系统相关人员以及规章规程, 以确保信息系统的稳定运行, 支持应用控制的有效性。如信息安全管理、系统变更管理、系统开发与采购管理、系统运行管理等。企业业务流程层面应用控制是为了保证信息系统能够准确、完整、及时完成企业数据的处理过程而设计的信息技术控制, 所以审计师应关注与数据输入、处理及输出环节的相关的控制过程。除了上述审计活动之外, 审计师还可根据企业的需求以及企业可能面临的特殊风险, 设计信息系统专项审计满足企业发展战略, 如:信息系统开发实施项目的专项审计、信息系统安全审计、信息技术投资专项审计等。

2.3信息系统审计过程和方法

典型的信息系统审计过程内部通常有下面几个阶段:1确定审计对象:明确将要审计的领域。2确定审计目标:明确审计目的。3审计范围:明确组织中要检查的具体系统、职能或单元。4制定初步审计计划:确定所需要的技术技能和资源, 检查信息的来源, 确认审计地点或设施。5搜集数据的审计程序和步骤:确定对控制进行测试, 验证审计方法和工具, 确定访谈对象名单, 确定需要检查的部门政策、标准和指南。6评价测试或检查结果的程序。7确定与管理人员沟通的程序。8审计报告:确定追踪审计程序测试和评价运营效果以及效率, 确定控制测试程序检查和评价文档、政策和规程的合理性。

和传统手工环境下的审计技术和方法相比, 信息系统审计的方法既包括一般方法即手工方法, 如询问控制相关人员、观察特定控制的运用、审阅文件和报告等方法, 同时也根据信息系统的特性, 应用计算机辅助审计工具和技术对信息系统进行穿行测试、追踪信息系统处理数据痕迹、验证系统控制和计算逻辑以及登录信息系统进行系统查询等方法。审计人员对信息系统审计进行评估时应获得充分、可靠及相关的审计证据以支持审计结论完成审计目标。在信息系统审计过程中, 我们要注意几个问题:1由于较多的计算和报表等都是信息系统自助完成的, 审计师在审计时要关注数据的来源、 去向是否明晰, 对数据报表审查功能是否完备等。2数据在两个信息系统之间进行数据传输时, 要制定一套规章来保证数据在传输过程中的完整性、准确性和真实可靠性。3信息系统审计师在使用计算机审计软件工具获取审计证据时, 要注意对原数据的保护, 不能对原始数据进行分析, 防止造成审计证据的丧失。4信息系统审计师对被审单位内部控制环节进行审计时, 要关注其内部控制系统是否存在并证明它正在有效地发挥作用。具体地应在这几个方面检查内控制度的有效性:控制系统资源的存取、控制系统资源的使用、建立用户职能分配资源的制度、确认处理过程的准确性、保护财务系统免遭计算机病毒的攻击。

3信息化内部控制审计与信息系统审计的联系

通过对信息化内部控制审计、信息系统审计的定义、内容等基本概念的介绍和分析, 我们对两个审计概念有清楚的了解。不管是信息系统审计还是信息化内部控制审计, 它们都是企业为防范风险、进行有效监管为主要目的的审计体系, 以此构建全方位的企业管理过程的控制体系。对企业来说财务管理尤为重要, 企业运营的决策很大程度依赖于财务报表等相关财务报告, 在信息化环境下, 财务报告信息是由会计信息系统依据日常财务信息统计计算获得的, 会计信息系统的有效运行依赖于内部控制的有效性。信息系统审计关注信息技术的应用与信息系统运行的有效性, 信息化内部控制审计关注信息技术的应用与内部控制的有效性, 从上述分析可以看出, 信息化内部控制审计与信息系统审计存在着许多联系。

3.1目标一致性

内部控制审计是对公司内部控制有效性的审计, 信息系统审计是对组织信息系统管理以及应用的综合评价, 似乎并不相同, 但是两者的最终目的是一致的, 它们都是建立企业的风险控制、监管体系保证企业管理人员得到完整的、真实可靠的管理信息。而且, 信息系统审计的内容在很大程度上与内部控制审计内容有着密切的相关性。企业管理信息系统通过收集企业日常运行的数据经过加工处理后产生了各管理层所需要的管理信息, 信息系统的运行依赖于内部控制的有效。因此, 内部控制的有效性, 是为了信息系统的有效运行, 是为了获得高质量的管理信息, 更有效地为企业管理人员服务。

3.2都属于鉴证业务

一般的鉴证业务定义是指注册会计师对鉴证对象信息提出结论, 以增强除责任方之外的预期使用者对鉴证对象信息信任程度的业务。我们认为内部控制审计和信息系统审计都属于专门的签证业务。审计人员在进行财务报表审计时, 根据已发布的各个准则对内部控制进行调查和测试, 目的是确定控制风险水平。当风险控制水平确定后, 审计人员在审计期间要考虑内部控制的有效性。而审计人员执行内部审计业务是一项专门的审计任务, 他事先与委托人就内部控制审计范围达成一致意见, 只要是业务约定书确定的内部控制审计范围, 审计人员都要进行审计, 也可将内部控制审计与财务报表审计整合进行。因此, 财务报告内部控制审计也是基于责任方认定的鉴证业务。

根据信息系统审计定义, 信息系统审计是以独立第三方的身份对被审计单位的信息系统以及信息系统应用发表意见, 这种意见明显属于合理保证的鉴证业务的范畴。ISACA提出的用于描述IT管理框架的COBIT, 已经成为众多国家的政府部门、企业对IT的计划与组织、采购与实施、服务提供与服务支持、监督与控制等进行全面考核与认可的业界标准。我国的信息系统审计准则基于COBIT的思想建立一套完善的企业信息系统审计的内部监控体系, 认为信息系统的开发、运行和维护以及信息技术相关的内部控制的设计、执行和监控是组织及其相关人员的责任, 实施信息系统审计工作并出具审计报告是信息系统审计人员的责任。这就说明了信息系统审计属于基于责任方认定的合理保证鉴证业务。

3.3基于风险控制的审计形式

我们知道内部控制有一项基本要素是“风险评估”, 同样的, 内部控制审计中采取的就是风险导向审计模式, 由审计师对被审单位的风险进行分析, 确定被审单位是否已经意识到了所有的风险, 或者说是否存在被审单位忽略的风险。对意识到的风险, 审查其控制活动, 确保控制到位, 不存在遗漏的地方;对于被审单位没有意识到的风险, 提出审计意见、提出控制活动, 建议被审单位重视这些被疏忽但是却不容小觑的潜在风险。

同样的, 信息系统审计也是采用了同样的风险导向审计模式, 在正式的审计活动展开之前, 先对被审单位进行风险评估, 了解被审单位风险控制是否到位, 根据风险评估结果决定信息系统审计师对被审单位进行的合规性测试、复合性测试的量的大小, 运用风险导向审计模式可以极大的减少信息系统审计师的工作量, 帮助信息系统审计师选取一种最优化、智能的测试方法获取想要的审计证据。所以说信息化内部控制审计与信息系统审计在这一点上是相同的。

3.4审计结果可以借鉴

从信息系统审计的审计过程来看, 不难发现, 在信息系统审计过程中有一项比较重要的调查就是“被审企业是否存在内部控制”, 这一项调查结果直接影响信息系统审计师后续审计工作的展开, 若是内部控制充分, 则信息系统审计师只需要进行少量的符合性测试和实质性测试, 审计工作量大大减少;若是内部控制不充分甚至于不存在内部控制, 则信息系统审计师需要进行大量的实质性测试甚至于对所有内容进行测试, 若是对一个大型企业大范围的进行实质性测试的话, 审计进度可能会延期。

因此, 我们的信息化内部控制审计就是对企业的内部控制有效性进行的审计活动, 该审计活动最终会出具被审单位内部控制是否有效的审计报告。同样都是对被审单位内部控制有效性进行的调查研究, 不难想出, 这两种审计活动在内部控制有效性审查这一部分存在很多相同的基础调查。所以, 信息化内部控制审计与信息系统审计两者的审计结果是相互通用的。信息系统审计师在审计时, 可以根据内部控制审计的审计结果, 适当地增加或减少内部控制调查的力度;反之, 内部控制审计师在审计时, 可以根据信息系统审计过程中内部控制的调查结果, 决定自己内部控制调查的工作重心。在一项调查工作中发现的问题可以为另一项调查提供线索和思路。需要注意的是, 一项调查结果并不能代替另一项调查, 就好比信息系统审计过程中对内部控制所做的调查并不能够完全代替内部控制审计, 因为两者对内部控制活动的关注程度、关注方面存在着很大的不同, 这也是信息化内部控制审计与信息系统审计的一大不同点。

4信息化内部控制审计与信息系统审计的区别

以上分析可以看出信息化内部控制审计与信息系统审计存在着一定的联系, 但从定义上来看, 两者在审计的对象、内容以及结果都是很大区别的。

4.1审计内容不同

这一点是最显而易见的。信息化内部控制审计的对象是企业的内部控制, 审计师在审查过程中会去重点关注的是被审单位首先是否存在内部控制制度以及制度是否健全;其次, 内部控制制度是否只是摆设, 是否积极主动的去实行;然后是制度是否有效, 最后才是根据审计师观察的结果得出改进意见等。而信息系统审计可能更加关注的就是信息系统是否有效了, 它包括了信息化的内部控制方方面面。

4.2对内部控制的关注程度不同

信息系统审计和内部控制审计都会关注企业的内部控制。但是两种审计模式对内部控制的关注目的是不同的。信息化内部控制审计中, 评价内部控制的目的是为了对内部控制本身的有效性发表审计意见;而信息系统审计评价内部控制只是为了评估被审单位对风险是否做到了有效控制。如果信息系统审计师不想审查被审单位的内部控制, 他可以不做。然而信息化内部控制审计却不能做到这一点, 这也是两者之间的一大不同。

4.3审计结果不同

根据其定义, 信息化内部控制审计中, 审计师会出具关于内部控制有效性的意见。在信息系统审计中, 审计师会对相关信息系统运行做出判断, 并提出意见。两者出具的是完全不同的两种报告, 所以说内部控制审计与信息系统审计的审计结果不同。

5总结

信息化时代已然来临, 随着计算机的普及与应用, 完全脱离计算机进行审计的审计活动是不存在的。如上分析, 信息化内部控制审计与信息系统审计存在许多的共同点, 而且相关的基础调查、结论等可以共用, 可以考虑将信息化内部控制审计与信息系统审计做一个适当的整合, 减少审计工作的冗余, 更加高效、正确地完成审计工作。

摘要：企业内部控制审计与信息系统审计都是以防范风险、有效监管为主要目的, 来构建全方位的企业管理过程的控制体系。但是由于信息技术渗透到企业管理的每一个过程, 使得两者的审计界限变得模糊。为了分析两者的区别和联系, 本文将从内部控制审计和信息系统审计的基本概念出发, 阐述它们各自的审计对象、审计内容以及审计结果, 以此说明两者的异同点。

关键词：信息化,审计,内控

参考文献

[1]骆良彬, 张白.企业信息化过程中内部控制问题研究[J].会计研究, 2008 (5) .

[2]陈志斌.信息化生态环境下企业内部控制框架研究[J].会计研究, 2007 (01) .

内部信息系统审计 篇3

【关键词】会计电算化；内部控制；审计

进入21世纪以来，世界各国审计机关对计算机处理环境的内部控制问题都更加重视，进行了非常深入的研究。既肯定了计算机处理环境对内部控制的影响，又研究了加强控制的措施，还探讨了审计内部控制的方法。但是，随着计算机技术的日新月异，尤其是商务和财务的出现，前述的这些研究已经显得苍白。我们认为，当前对内部控制的研究存在三个问题：一是对广域网络环境下会计系统的内部控制缺乏研究，二是对内部控制的分类欠，三是不少控制措施以及对内部控制的符合性测试方法脱离实际。下面将就这些问题展开讨论。

一、网络会计给内部控制提出了新课题

网络财务战略一经提出就获得的普遍认同，成为业界关注的焦点，引发人们对网络环境下财务与管理的思考。网络财务的最闪光之处是通过Internet实现多种远程处理和支持电子商务，而这恰恰给会计内部控制出了难题。

我们知道，电子商务和远程处理必然要求会计系统的进一步开放与数据共享，而开放与共享将增加安全控制的难度，信息安全、资金安全都将成为内部控制的焦点。安全威胁既来自企业内部工作漫不经心的员工，也来自心怀不满的职员、外部黑客以及竞争对手。因为网上交易公开化程度较高，操作人员和信息使用者干预系统的机会增大，再加上使用的是公用通讯线路，系统面临的安全隐患也必然增多，从而增大企业经营的风险。例如，不法之徒可能利用网络及安全管理的漏洞窥探用户口令或电子账号，冒充合法用户作案，篡改数据库内容以窃取资产；利用网络远距离窃取企业的商业秘密以换取钱财，或利用网络传播计算机病毒以破坏会计信息系统，甚至摧毁网络节点；此外，由于电子商务处理业务的原始记录以电子凭证的方式存在和传递，不法之徒通过改变电子货币账单、银行结算单等，就有可能转移财产的所有权。

有鉴于此，网络财务必须实现以下控制目标：

1.对远程操作的控制，即实现对远程记账、报账、查账、制表、审计以及网上报税等操作的安全控制。

2.对网上支付的控制，即保证支付信息的机密、支付过程的完整、交易双方的合法身份以及互操作性，实现安全支付。

3.对电子凭证的控制，即控制电子凭证的正确收发、真伪确认、安全传递和格式转换等问题。

以上控制既涉及技术层面，也涉及政府立法和企业内部的制度建设。在技术上要采用公开密匙加密、电子数字签名、电子信封、电子证书等技术，加强对网上输入、输出和传输信息的合法性、正确性控制，在企业内部网与外部公共网之间建立防火墙，对外部访问实行多层认证。在上建立电子商务法律法规，规范网上交易、支付、核算行为，并制定网络财务准则和相应的内部控制制度。没有网络安全，就没有网络财务。

二、关于内部控制的分类

美国执业会计师协会第3号《审计准则公告》、《国际审计准则》第20号以及我国《独立审计具体准则第20号》，都把计算机会计内部控制分为一般控制（General controls）和应用控制（Application controls）两大类，并将前者定义为：（1）电子数据处理的组织和操作的计划；（2）对系统或程序的设计、开发和变动的记录、审核、测试和批准；（3）由制造商在设备内部所设置的控制；（4）对接触设备和数据文件的控制；（5）对系统的运行有影响的其他数据和指令程序的控制。公告把应用控制定义为输入控制、数据处理控制和输出控制。

我们认为内部控制的分类既要概念清晰，又要区分控制的主体，以便明确责任。为此，建议将内部控制分为管理制度控制和程序系统控制两大类。其中程序系统指机软硬件系统，主要是系统和软件。程序系统控制主要是靠软件本身功能来实现的内部控制机制，以实现系统的自我保护，主要包括数据输入、内部处理、信息输出、数据传输和系统安全保护控制。程序系统控制的责任者是软件开发部门，用户不应负有责任。而管理制度控制一般是以管理制度的形式实行的，主要包括组织、操作、维护和资料保管等方面。我们也可以进一步将管理制度控制分为环境控制（或基础控制）和操作控制（或控制）两类，组织、维护和资料保管都属于环境控制的范畴。显然制度的制订和执行与计算机程序系统无关，而是会计软件使用单位的责任。这种分类法的优点是分类标准明确，容易

理解，而且实现控制的措施和控制的主体是一致的，责任分明，方面容易清楚自己应该怎么办。

三、关于内部控制措施及审计

目前我们接触到的具体控制措施以及内部控制的审计时往往脱离实际，形式繁琐，又不突出控制重点，主要存在以下：

1.无法实现或不合理的控制措施

在对内部控制措施的罗列中，有许多是无法实现或者是不合理的要求。例如，要求在会计软件中“安装一个联机审机控制器，用来收集审计人员感兴趣的资料”，要求在程序中设置断点以控制“主文件金额数、记录计数、前一程序指令序号”“每一个操作运行结束后应有一份打印输出”，通过使用“双重运算、逆运算法”检查错误等等，都是不合理的甚至根本就无法实现的措施。又如对会计软件系统的开发控制和审计是否合理，也是值得商榷的。

2.无需过问的控制措施

有许多控制措施是计算机系统的最基本的功能，并非为会计所设置，审计人员是无需过问的。例如，硬件的冗余检验、奇偶校验、回声检验，操作系统的错误处置、程序保护、文件保护，这些控制都是计算机系统所必备的功能，不应该将它们纳入会计内部控制的范畴，也不应该成为审计的。其实对许多系统保护措施审计人员也无从了解，更谈不上审计。

3.对内部控制的审计内容繁琐

许多文献对内部控制审计方法的介绍不仅内容空洞繁琐，而且空谈许多无法实现的审计方法，严重脱离实际，使审计人员不得要领，抓不住审计的重点。例如，对系统软件的测试是完全没有必要的，因为系统软件一般都比较可靠，而且不会对会计软件系统的安全造成威胁。此外，对会计软件的测试方法中许多方法从技术上看是不可行的，从成本效益原则上看也是不合算的。例如，程序流程图检验法、程序代码检查法都要求审计人员去阅读程序代码以确定会计软件的控制措施是否满足，这确实是一种天方夜谭的设想。又如所谓图示法要求“利用监督程序来测定被测试程序中哪些指令执行过，哪些指令未曾动用”，也是很不现实的方法。

鉴于以上原因，我们认为当前应该全面检讨内部控制的措施一方面通过制订《会计软件基本功能规范》进一步明确会计软件公司的责任，规范会计软件产品的程序系统在数据输入、处理、输出、传输和安全保护的控制功能；另一方面则应通过制订会计基础工作规范，明确推行会计电算化的单位的控制责任，规范必要和切实可行的控制措施。

四、应该重视对内部控制的审计

在相当长的时间里由于人们对计算机会计系统比较陌生，内部控制措施不明确，审计方法不得要领，所以审计人员只得沿用对手工会计的审计方法，很少能够对内部控制进行有效的审计，漏洞较多，不足以确保会计系统的安全。因此，提高对内部控制的认识，加强对其内涵和技术的，重视对内部控制的审计，仍是当前会计电算化和审计领域的一个关键课题。一般情况下审计人员的责任主要不是审计计算机和会计软件系统的内部控制措施，而是审计应用单位制订的内部控制制度是否健全和真正有效执行。计算机硬件和系统软件无需审计人员去审计，而会计软件系统的输入、处理、输出和安全控制功能则应由专家去评审。我国过去对会计核算软件的两级评审制度，其实质就是对会计软件内部控制功能的审计。

参考文献

[1]邓春华.财务会计风险防范[M].中国财政经济出版社，2001

[2]刘国常.企业内部会计控制及其评审[M].2中国财政经济出版社，003

[3]常勋.财务会计四大难题[M].中国财政经济出版社，2005

医院内部审计的信息化建设初探 篇4

一、引言 医保政策的出台，使得信息化支持的必要性逐渐加强。在医保信息化新一波建设中，医院的信息化工作已初具规模，各种现代化的信息管理手段在医院管理中得到了广泛的应用。在中共十七届中央委员会第五次全体会议通过的《中共中央关于制定国民经济和社会发展第十二个五年规划的建议》中，提出了健全覆盖城乡居民的社会保

障体系的要求，其中指出，加强社会保障信息网络建设，推进社会保障卡应用，实现精确管理。这与医院当前正在推行的财务业务一体化的HIS（Hospital Information System）系统密不可分。对于传统的手工审计技术，存在效率低下的问题，随着办公自动化的实施，审计对象也日益发生变动，从而使得医院的发展需要与之适应。加强审计信息化建设势在必行，本文将初步探讨医院内部审计的信息化建设的相关问题。

二、内部审计信息化建设的必要性

当前，内部审计正逐渐参与信息化建设中的风险管理，该技术将使得衡量潜在的可货币化或因暴露对组织产生的不利影响成为可能。其必要性主要有如下方面：

1.内部审计信息化建设是现代内部审计职能的要求。内部审计，是建立于组织内部、服务于管理部门的一种独立的检查、监督和评价活动，它既可用于对内部牵制制度的充分性和有效性进行检查、监督和评价，又可用于对会计及相关信息的真实、合法、完整，对资产的安全、完整，对企业自身经营业绩、经营合规性进行检查、监督和评价，从而帮助组织目标的达成。上述定义表明，内部审计的工作范围涉及与组织价值和运营相关的活动。为获得组织目标的实现，内部审计必须精确的对各种风险进行识别和评价。在医院的内部审计中，从单纯的财务收支审计为主发展成为以效益审计等增值审计为重，其职能导向从监督向管理转变，信息化的管理方式必将成为未来内部审计的核心。

2.医院内部审计的信息化管理具有独特优势。由于内部审计处在医院的内部控制环境下，具有其特殊的地位。就医院管理风格、医院文化、会计核算和控制程序等方面，均非常熟悉，并了解各方面业务开展的流程和关键点。对于外部人员和软件开发商来说，内部审计人员还需要更加熟练的掌握医院流程和高风险领域。由于内部审计具有较高的独立性，它能够凭借“局外人”的身份对医院的经营活动给予客观评价，充分汲取经营方面的情况，从全局出发，而非单个部门视角对医院的经营给予评价，从而对经营的洞察能够更加清晰，确保医院经营活动的开展。

三、医院内部审计信息化建设中的问题

1.观念认识不足。观念方面，涉及医院在其内部审计信息化过程中，往往受思想观念的束缚，认识不到位。对于该问题，就管理者而言，医院的主要任务或主要职能在于诊疗，从而使得内审工作并不关键。因此，内审的信息化也在某种程度上缺乏足够重视；与此同时，在实践中，沿袭传统操作途径的内审工作[论文网 ]人员为数不少，缺乏对新形势下的内审信息化理念的深刻意识，从而延缓了组织推进内审工作信息化的力度。

2.工作表面化。在一些企业的内审部门中，对信息化的概念缺乏深入认识，缺乏对信息化本质是数据信息共享和交换的理念，从而简单的将笔变成键盘，计算器变成计算机，这种缺乏效率的做法还导致一些医院在信息化工作中负担的加重，对于审计人员来说，需要将人工完成纸质账目和电子账目同步实施。这显然是对信息化高效原则的背离。

3.信息共享欠缺。在医院内审部门中，尽管计算机均已接入网络，但当前适用于医院内审的成熟软件比较欠缺。在审计流程上，各种信息存在离散的状态，审计人员的信息均位于不同的电脑上，难以有效实现管理平台之间的信息共享。在审计实践中，涉及到上级主管部门和内部职能部门之间的有效沟通，审计报告也需要相关部门的传达或批复，但这些批复大多以纸质形式下达，其信息化的处理相对滞后，从而延缓审计速度，影响结果处理效率，增

加成本。

四、加强医院内部审计信息化建设的对策

为使审计工作适应卫生事业的发展及市场经济的客观需要，必须加快医院内部审计信息化管理的步伐。笔者认为应从如下方面加强工作：

1.提升内部审计信息化管理的理念认识。随着信息技术的快速发展，医院各部门通过广泛的技术应用，将推动医院整体管理水平的提高，从而调整了审计的范围和内容、方式手段。医院的各级领导及内审人员，要认识到医院内部审计的信息化管理是保证审计质量，减少审计风险，提高审计效率，适应卫生事业改革与发展，以及加强内部管理的客观需要，有利于促进医院内部规章制度的完善。

2.提升审计资源的信息共享力度。通过应用信息管理系统，可以达到对财政、财务收支等各项经济活动全过程、全方位的监督。从财务审计上讲，通过建立联网审计的信息管理，能够节约审计资源，提高审计效率，减少审计成本。通过审计资源的充分利用，实现审计信息的共享，以达到规范经营行为的目的。

3.提升审计人员专业素质。作为审计人员，应当突破对一般办公软件、文档处理、数字输入的掌握，加强对现代审计手段，借助计算机技术的使用，提供审计信息加工处理的结果，为决策和管理提供有价值的信息。为此，要加大培训工作力度，提高审计人员的业务水平和对信息加工处理的能力；并通过引进专业技术人才逐步优化人员结构，实现人员配置的科学合理。

参考文献

内部信息系统审计 篇5

近年来，内部审计工作在推动完善国家治理，加强内部监督管理，发挥审计“免疫系统”功能，促进经济社会又好又快发展等方面起着举足轻重，不可或缺的作用。但是，随着高科技的日新月异,信息化建设的不断发展,内部审计工作也面临着前所未有的巨大变革和挑战。虽然，内部审计信息化建设起步较早,也取得了一些成绩，但总体来看，内部审计信息化建设的步伐还不大，速度还不快，认识还不高，意识还不强，力度还不够，推广使用还不广，相比之下发展不还均衡，建设相对滞后。由此，面对信息化条件下的现代内部审计不少内部审计人员严重“内存”不足，审计工作不是无所适从，不知所措，就是力不从心，难于应对，很大程度上制约着审计能力和技术水平的不断提升，影响着审计质量、审计效能的不断提高和审计职能作用的有效发挥。显而易见，传统、粗放式的审计方式和方法已远远不能适应现代审计对内部审计工作的需要和要求。因此，内部审计工作只有紧跟时代步伐,加快信息化建设,不断改进和提升审计手段、技术方法,才能提高内部审计的效力、效能,才能更好地履职尽责，促进内部审计事业的科学发展。

一、内部审计信息化建设的重要性

日前，2012年全国审计工作座谈会召开。会上把审计信息化建设提高到“中国审计的出路在于信息化”高度来认识和对待。由此，审计信息化建设的重要性和必要性可见一斑。同样，内部审计的出路也在于信息化。

随着信息化技术的广泛应用和全球经济一体化程度的不断提高和推进,企业、部门的经营模式也在发生着史无前例，翻天覆地的深刻变革，随之而来的各种经营风险也呈多样性、联动性、隐蔽性、复杂性的特征。这就给内部审计提出了更新、更高、更严的要求。因此，加快内部审计信息化建设步伐，不仅是为内部审计提供技术支撑的需要，而且也是创新驱动促发展的需要，不仅是提升审计能力和技术水平的需要，而且也是适应信息科技高速发展的需要，不仅是节约人力、物力的需要，而且也是无形中增效、增能的需要，不仅是创新发展的需要，而且也是创造内部审计工作新的增长点的需要，不仅是信息化时代的必然趋势，而且也是搞好内部审计工作的必然选择。无疑，不发展信息化内部审计就没有出路，就要被时代所无情淘汰。

二、内部审计信息化建设存在的问题

１、重视不够 给力不足。内部审计组织和内部审计人员无论从组建的数量还是人员数量、技术水平本身存在着严重的“先天不足”和“营养不良”，一直是影响和困扰审计工作全面、深入开展的“短腿”和“短版”。造成这一历史“欠账”的原因也许很多，但归根结底无疑与有些企业、单位领导对内部审计工作重视不够，支持不力，给力不足不无关系。不难看到，现在不少内部审计组织和人员也在积极争取向信息化“靠拢”，向高科技要技，向信息化要能，但前行遇到的阻力不小，困难不少。有些企业、单位的领导对内部审计信息化建设往往是“风声大，雨点小”，重视喊在口上，支持写在纸上，可就是不落实在具体行动上。于是，内部审计要人没有，要钱不给，要物不行，审计信息化建设几乎是“剃头挑子一头热”，“病人不急郎中急”，审计人员渴望审计信息化只能是画饼充饥，望梅止渴，望眼欲穿，发展的速度纸上谈兵，步履维艰，寸步难行，影响和制约着信息化建设的整体推进。

2、满足现状 固步自封。毋庸置疑，内部审计从无到有，从弱到强，内部审计工作硕果累累，成绩斐然。面对骄人的业绩，有些内部审计人员存在着满足现状，骄傲自满，沾沾自喜，固步自封，忘乎所以，小“富”即安，小进即满，不思进取的思想，认为没有信息化照样搞审计，“小米加步枪”照样“打天下”。由此，对新生事物不以为然，嗤之以鼻，对信息化建设不屑一顾，轻重倒置，缺少自觉性和使命感、紧迫感、危机感，缺乏能动性、主动性、参与性，不是“我要信息化，而是你要信息化”，于是，信息化建设“说起来重要，用起来次要，干起来不要”，信息化技术推广和应用无所作为，停滞不前。

3、因循守旧 墨守成规。不难看到，在我们的内部审计人员中不少人是老骥伏枥，让“老字号”去学习新生事物，掌握信息技术，应用计算机审计确实有点儿强人所难，“赶鸭子上架”。但是，这不是理由，也不是借口，既然你选择了审计，你在干审计，就要学到老，干到老，理应要学习、应用和掌握信息化技术，应对现代审计。令人遗憾的是，有些“老审计”面对审计信息化畏难懈怠，难字当头，被难难住了手脚，被难难倒了进取，存在“人到码头车到站”，“做一天和尚撞一天钟”的思想，内部审计工作得过且过，因循守旧，墨守成规，认为没有文凭有水平，没有智力有实力，没有真才有真干，没有水平有经验，凭“老经验”论审计，凭“老革命”干审计，凭“老眼光”看审计，审计难免停留在“小作坊”、“小儿科”上，使得审计效率低下，审计质量不高，信息化建设难于推进。

４、徒有虚名 浪费资源。时下，不少内部审计组织都为审计人员配备、添置了电脑，有的人手一台，为提高和提升了审计效率和技能创造了条件和保障。但是，有些内部审计人员却对高科技知之甚少，对计算机辅助审计技术一知半解，加之内部审计系统缺少组织对审计人员信息化技术应用现代审计的系统业务学习和培训，缺乏审计软硬件开发、推广、应用，内部审计人员“内存”严重不足，普遍存在应用不广泛、运用水平差、使用效率低、资源共享不高等问题，因而有了装备却没有很好“装备”自己，有了“武器”却没有很好“武装”自己，造成设备闲置，资源浪费，计算机进行辅助审计徒有虚名，信息化条件下的现代审计成了“聋子的耳朵——摆设”。

５、技术匮乏 后劲不足。不容置疑，经过这些年来的不懈努力，内部审计组织和审计人员得到了一定程度的发展壮大。但是，不难看到，眼下内部审计人员中不少是企业、单位的“老弱病残”，不仅既懂审计业务又懂计算机技术的复合型人才不多，而且勇于创新，肯于思考，热于奉献，年轻有为，精兵强将少，同时缺少人才引进和培训，缺乏有效的激励机制，从而年龄老化，知识断层，人才缺乏，技术匮乏，后劲不足，“青黄不接”，技不如人，某种程度上制约和影响着审计信息化建设的步伐。事实上，现在内部审计发展与经济社会快速发展相比内部审计人员的供需“缺口”还不小，但，随着审计信息化的不断推进，真正意义上缺的是人才，少的是技术，缺的是技高一筹，少的是以一当十，以少胜多，而不是滥竽充数，效能低下。

三、内部审计信息化建设的对策

１、领导重视 讲究实效。信息化建设是科技强审，科技促审的有力举措和根本保证。多年的审计工作证明审计也是生产力，审计也是效益。因此，审计信息化关键在领导，作为企业、单位领导首先要统一认识，高度重视信息化工作，把信息化工作放在事关重大重要的位置，以身作则，发挥表率作用，带头学习和应用信息化知识，带头应用，主动运用，学会利用信息化手段提高工作决策和驾驭能力，革新传统的思维方式和工作管理模式，对内部审计信息化建设遇到的问题和困难要及时解决，重在抓贯彻落实，少喊口号，多干实事，少搞形式，多讲实效，表里如一，言必行，行必果，保障有力，充分调动审计人员信息化建设的积极性、能动性，用自己言而有信的行动影响和带动审计信息化建设，形成信息化建设的良好氛围，从而以信息化促管理，以高科技促效益，使审计信息化既开花又结果。

２、学如不及 犹恐失之。确实，这些年来内部审计工作取得一些成绩，但成绩只能说明过去，不能说明未来。扪心自问，这些成绩与经济社会快速发展对内部审计的要求，与信息化条件下对内部审计的需求不能不说相形见绌，捉襟见肘，杯水车薪，差强人意，容不得半点骄傲自满，固步自封，忘乎所以，理应珍惜荣誉，不骄不躁，居安思危，百尺竿头，更进一步，理应审时度势，努力适应形势发展的需要。“学如不及，犹恐失之”，从而变“你要信息化为我要信息化”，常用信息化条件下的现代审计“尺子”来衡量自己的审计工作，不能凭经验，吃老本，工作只求过得去，不求过得硬的得过且过，只求好交差，不求交差好的差不多，自觉学习和掌握信息化技术，高标准，严要求，用信息化技术搞好现代内部审计。

３、锐意进取 勇于开拓。无可否认，让一些“老审计”学习信息化技术确实牵强附会，难度不小。但这既是压力，也是动力，既是劣势，也是优势，理应不畏难，不怕难，与时俱进，老当益壮，老骥伏枥，老有所为，老有所学，学无止境，知难而上，知难而进，锐意进取，勇于开拓，时不我待，奋发有为，勇于实践，不断研究新问题，接受新事物，不断用信息化“加载”“老经验”，不断用信息化“武装”“老革命”，不断用信息化擦亮“老眼光”，使“老经验”赋予新内涵，使“老革命”焕发青春，使“老审计”充满活力，从而既凭“老经验”搞审计，又增信息化干审计，既凭“老革命”干审计，又添信息化搞审计，既又“老字号”的优势，又有信息化的特点。如此才能双管齐下，如虎添翼，在信息化审计中不掉队，在高科技浪潮中不落伍。

４、切忌形式 表里如一。自从利用计算机开展辅助审计以来，不少内部组织为审计人员基本上配备了计算机，表面上看是在应用计算机进行审计，但实质上应用还是“皮毛”而已，可谓是“初级阶段”，缺乏真正意义上的开发和应用。有的计算机审计只是为了应付检查，用来“装饰”，摆“花架子”，做表面文章，存在表里不一，形式主义的现象。由此，信息化建设徒有虚名，现代审计徒有其名，造成资源浪费。这显然违反了信息化建设的初衷，曲解了审计信息化的含意。因此，相关部门不仅要抓审计信息化建设的推进速度，而且要抓审计信息化开发利用的进度，更要抓审计信息化应用的实效，从制度入手，采取切实有效措施，根本上解决内部审计人员“内在”不足等问题，使审计信息化建设真正落到实处。５、引进人才 增添后劲。内部审计信息化离不开人才。不言而喻，现在内部审计不仅缺人员，而且缺人才，更缺既懂审计业务，又懂信息技术的复合型人才。这些“短斤少两”影响和制约着内部审计信息化建设的发展和后劲。虽然，内部审计信息化建设困难不少，但是，办法总比困难多。因此，在信息化建设中，我们不妨两条腿走路，一方面眼睛向内，充分调动现有审计人员的积极性和参与性，挖掘内在潜力，加大学习培训力度，想方设法为内部审计人员“加载”和“充电”，千方百计解决内部审计人员“内在”不足的问题，使在职审计人员尽快适应和掌握信息化条件下的现代审计技术；另一方面眼睛向外，引进人才，做到既引人又引智，既引人又技，把一些既懂审计业务，又懂计算机业务的复合型人才“招募”到内部审计队伍中来，“加盟”到内部审计信息化建设中，增加内部审计“血液”，增添内部审计信息化建设发展的后劲，填补内部审计人才“缺口”，从而彻底解决和改变内部审计队伍人才“青黄不接”，知识断层，无所适从，难于适应和应对现代内部审计的尴尬局面，加快内部审计信息化建设的步伐。

内部信息系统审计 篇6

信息技术对内部控制的影响

对信息技术的考虑

【内容导航】：

(一)在计算机产生以前

(二)随着计算机的普及尤其是微型计算机的大众化

(三)会计信息技术化的大规模普及

(四)伴随着会计信息技术化的成熟

【所属章节】：

本知识点属于《审计》科目第五章信息技术对审计的影响第一节信息技术对内部控制的影响的内容。

【知识点】：对信息技术的考虑

(一)在计算机产生以前

1.在计算机产生以前，企业内部的信息处理最初是以手工处理的方式进行的。

2.一个企业的会计部门，通过不同岗位之间的分工协作，将日常经营活动中产生的财务资料进行加工处理，形成企业内部和外部需要的各种纸质会计信息。这种情况下的审计方式毫无疑问是手工的形式。

(二)随着计算机的普及尤其是微型计算机的大众化

随着计算机的普及尤其是微型计算机的大众化，一些企业开始用计算机来处理部分会计资料。

例如，工资管理程序、存货管理程序等，逐步用机器替代了部分人工劳动。但由于计算机处理的范围还比较小，注册会计师可以忽略计算机的存在，直接对打印出来的纸质文档进行审计。

(三)会计信息技术化的大规模普及

1.由于会计信息技术化的大规模普及，大部分企业的会计处理已经实现信息化。

2.注册会计师开始意识到信息技术审计的重要性，但这时人们对信息技术审计的认识还停留在对财务数据的采集和分析阶段，注册会计师仍然可以绕过信息系统，对财务数据和报表进行核实，以获取审计证据。

(四)伴随着会计信息技术化的成熟

高顿财经CPA培训中心

电话：400-600-8011 网址：cpa.gaodun.cn

公众微信号：gaoduncpa

高顿财经CPA培训中心

1.伴随着会计信息技术化的成熟，以ERP为代表的企业信息系统的高度集成逐渐开始兴起。

2.这时的企业信息系统已不仅仅是一个孤立的系统，而是集财务、人事、供销、生产为一体的综合性系统，财务信息只是这个系统所处理信息的一部分，因此，注册会计师必须在规划和执行审计工作时对企业信息技术进行全面考虑。

信息技术与财务报告的关系

【内容导航】：

(一)有效的信息系统实现的功能

(二)考虑信息的特征

【所属章节】：

本知识点属于《审计》科目第五章信息技术对审计的影响第一节信息技术对内部控制的影响的内容。

【知识点】：信息技术与财务报告的关系

(一)有效的信息系统实现的功能

有效的信息系统需要实现下列功能并保留记录结果：

1.识别和记录全部授权交易;

2.及时、详细记录交易内容，并在财务报告中对全部交易进行适当分类;

3.衡量交易价值，并在财务报告中适当体现相关价值;

4.确定交易发生期间，并将交易记录在适当的会计期间;

5.将相关交易信息在财务报告中作适当披露。

(二)考虑信息的特征

1.注册会计师在进行财务报表审计时，如果依赖相关信息系统所形成的财务信息和报告作为审计工作的依据，则必须考虑相关信息和报告的质量，而财务报告相关的信息质量是通过交易的录入到输出整个过程中适当的控制来实现的。

2.注册会计师需要在整个过程中考虑信息的准确性、完整性、授权体系及访问权限制等四个方面特征。

信息技术对内部控制的积极影响

高顿财经CPA培训中心

电话：400-600-8011 网址：cpa.gaodun.cn

公众微信号：gaoduncpa

高顿财经CPA培训中心

【内容导航】：

(一)人工控制、信息系统对控制的影响

(二)在信息技术环境下，自动控制能为企业带来的好处

【所属章节】：

本知识点属于《审计》科目第五章信息技术对审计的影响第一节信息技术对内部控制的影响的内容。

【知识点】：信息技术对内部控制的积极影响

(一)人工控制、信息系统对控制的影响

1.在信息技术环境下，传统的人工控制越来越多地被自动控制所替代。

2.如果被审计单位采用信息系统处理业务，并不意味着人工控制被完全取代。

3.信息系统对控制的影响，取决于被审计单位对信息系统的依赖程度。

4.在基于信息技术的信息系统中，系统进行自动操作来实现对交易信息的创建、记录、处理和报告，并将相关信息保存为电子形式，但相关控制活动也可能同时包括手工的部分。

5.由于被审计单位信息技术的特点及复杂程度不同，被审计单位的手工及自动控制的组合方式往往会有所区別。

(二)在信息技术环境下，自动控制能为企业带来的好处(5个方面)

1.自动控制能够有效处理大流量交易及数据，因为自动信息系统可以提供与业务规则一致的系统处理方法;

2.自动控制比较不容易被绕过;

3.自动信息系统、数据库及操作系统的相关安全控制可以实现有效的职责分离;

4.自动信息系统可以提高信息的及时性、准确性，并使信息变得更易获取;

5.自动信息系统可以提高管理层对企业业务活动及相关政策的监督水平。

高顿财经CPA培训中心

电话：400-600-8011 网址：cpa.gaodun.cn

浅谈会计信息系统内部控制审计 篇7

1 会计信息系统内部控制的特点

内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守, 由治理层、管理层和其他人员设计和执行的政策和程序。计算机引入会计信息系统后, 使内部控制本身呈现出了新的特征:

第一, 数据处理的集中性。在会计电算化信息系统中, 所有的会计业务都是按照计算机数据处理系统组织起来的, 所有的会计信息均由同一套电算化软件执行多项业务处理, 改变了以往手工会计的职能分割和人员分工的内部组织控制。在手工操作业务中, 每一项经济业务活动都可以划分为授权、主办、核准、执行、记录和符合等步骤, 并把这些步骤分别交给不同部门或不同的人员来办理。但在计算机信息系统中, 大量的工作都集中于电子数据处理部门, 一些职能部门往往只负责原始数据的生成、审核、编码以及分析处理计算机输出的报告。原始数据从输入计算机到记账、报表输出都是计算机自动处理, 全部的责任与数据都高度集中在电子数据处理部门。

第二, 会计资料存储介质发生了变化。传统的手工会计信息通常被记录于纸质的凭证、账簿、报表上, 而在计算机信息系统中, 会计档案包括打印输出的各种账簿、报表、凭证和贮存在计算机软硬盘以及其它存贮介质中的会计资料、程序。这些存放在磁性介质中的会计档案, 更容易被损坏、修改、仿造和复制, 特别是资料涂改不易留下痕迹, 不易实现签字盖章等具有法律效用的手段。而且磁性介质在受热、受潮、弯曲、强磁场等因素的影响下会遭到损坏, 易造成会计资料的丢失。

第三, 电算化软件设计中存在着资料保密性、安全性差的特点。财务软件上的资料是企业的商业机密, 直接关系着企业的发展。只要电算化软件是连接网络进行操作的, 就会有可能遭到非法的入侵, 以致窃取公司的内部机密, 如果系统一旦瘫痪, 或者受病毒侵袭, 或者在未保存状态下突然断电, 资料很难恢复。另外, 大量的内部数据被存储于磁、光等介质中, 一旦发生了火灾、水灾、被盗之类的事情, 便会造成数据的丢失或损毁等情况;同时磁、光介质的保存对环境的要求会比较高, 不仅要防水、防火, 还要防尘、防磁等, 这些都增加了数据的脆弱性。

2 会计信息系统内部控制审计的内容

会计信息系统的内部控制活动一般可以分为一般控制和应用控制两大类。内部控制应该与企业的经营管理过程相结合, 应用于会计信息系统所产生的特殊控制, 以监督企业经营过程的持续有效的进行, 是提供可靠和及时的会计信息的重要保证。

2.1 会计信息系统一般控制审计

(1) 实施组织控制的审查, 建立恰当的组织机构和职责分离制度, 以便形成相互制约与牵制, 实地的检查业务处理中是否存在发生错误与舞弊行为的可能性。

(2) 系统开发与维护控制的审查, 为了防止会计信息系统开发阶段的错误和偏差, 审计人员应该确保系统的开发及维护过程和内容符合相关标准与要求, 在软件修改后有无经过测试便投入使用, 有无对修改作出详细的文档记录等。

(3) 系统安全控制的审查, 会计信息系统应采用安全性能良好的数据管理系统和操作平台, 审计人员通过实地的观察, 查看系统的运行环境是否安全, 是否只有经过批准的人员才可以接触到系统的硬、软件以及数据和文档资料。

(4) 硬件和系统软件控制的审查, 硬件与系统软件通常是由计算机厂商直接提供的, 是预先在软件内部设计好的, 其功能和控制是比较可靠的。

(5) 操作控制的审查, 通过标准的计算机操作来保证高质量的信息处理, 审计人员应当先检查操作的管理制度是否完整, 操作员的人数、口令、使用权限等是否有着严格的控制管理。

2.2 会计信息系统应用控制审计

(1) 业务流程的审计, 一般较为完善的计算机会计信息系统应当有着明确的业务处理流程, 审计人员不仅要向有关方面了解这些流程以及其执行情况, 还应当实际跟踪系统的业务流程。

(2) 输入控制的审计, 数据输入分为数据采集和数据输入两个环节, 这两个环节主要是对手工输入过程中如果计算机发生错误, 而拒绝接受错误业务的改正和提交的控制。

(3) 输出控制的审计, 输出控制用于确保由已授权的人员将计算机处理的输出结果通过信息系统的打印、网络发送或拷贝输出准确无误、及时地提供给已授权的接收人员, 审计人员对输出日志随机的进行抽查, 并检查相关授权是否适合。

3 会计信息系统的内部控制审计的步骤

首先, 对计算机信息系统的内部控制进行了解, 尤其是与会计信息相关的部分, 包括电子数据处理的组织、管理、人员和经济业务处理过程等。

其次, 对与会计信息相关的内部控制进行初步审查及测试, 即对内部控制设计和实际执行情况进行检查, 并对内部控制的设计和执行的有效性作出评价。

再者, 对信息系统内部控制进行评价, 一是要评价控制的设计, 即考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。二是要评价确定控制是否得到执行, 即某项控制存在且被企业正在使用符合性测试过程中。

最后, 出具内部控制审计报告, 审计人员根据对内部控制的审计情况编制内部控制审计报告, 并针对会计信息系统内部控制存在的问题, 提出改进建议。

4 结论

随着全球经济一体化的进程不断的加速, 企业之间的竞争愈演愈烈, 所面临的风险也逐渐加大。与财务报告相关的信息系统所生成的信息的质量, 对管理层能否做出恰当的经营管理决策以及编制可靠的财务报告具有重大的影响。会计信息系统的内部控制不仅需要企业高层管理者的高度重视, 还需要信息系统应用部门的积极参与配合, 才能为企业的经营管理服务。

摘要：会计电算化的实施在很大程度上改善了会计业务的处理, 与此同时, 会计工作的业务关系发生了一系列的变化, 这也给审计人员的内部控制审计工作带来了新的挑战。本文针对会计信息系统内部控制的特点, 对会计信息系统内部控制审计的内容进行了阐述, 并指出审计的步骤, 期望对企业内部控制的建设和完善提供一些参考。

关键词：会计信息系统,内部控制,内部控制审计

参考文献

[1]石景秀.浅析计算机会计信息系统的内部控制[J].现代会计, 2006年第1期.

[2]宛玉敏.会计电算化信息系统环境下内部质量控制探讨[J].山东财政学院学报, 2002 (4) .

[3]唐如军.浅议计算机会计信息系统内部控制审计[J].审计月刊, 2009年第1期.

[4]王海洪.浅谈对计算机会计信息系统程序化的内部控制的审计[J].中国管理信息化 (会计版) , 2005年第10期.

信息化条件下的内部审计 篇8

关键词：信息化；内部审计

信息化条件下，审计工作最大的变化，莫过于审计对象改用计算机记账，使用计算机管理经济活动。因此，内审部门被“逼迫”必须采用信息化审计，来应对信息化的被审计单位。因此，加快审计信息化建设，是时代发展的必然要求，是内部审计工作面临的一场革命性的挑战。但开展审计信息化毕竟任重道远，还要在具体的业务实践中慢慢总结、发展。本文将结合公路施工企业的现状，与各位同行探讨一下信息化条件下内审工作的开展。

一、信息化对内部审计工作的影响及对策

施工企业会计管理信息系统由手工操作变为计算机处理后，在信息处理流程、信息存储介质和存取方式、组织结构及内部控制等方面发生了很大的变化，这种变化对审计产生了很大影响。

1、对审计线索的影响及对策

在手工会计系统中，内审人员可以利用凭证、日记账、分类账、报表等审计线索从原始业务追踪到报表中的合计数，或将合计数分解为原始业务，并据此判断单位经济业务的真实性、合法性。但计算机信息系统改变了与审计线索有关的一些关键因素，会计数据一进入凭证系统，就在计算机会计系统内不受人工干预的情况下自动进入下一数据流程。与此同时，机内的日志文件又可删除，保存在磁性介质中的会计数据也可以人为不留痕迹地加以修改或删除，这些都削弱了审计线索，减少了审计过程中发现错误的机会。这就为审计评价数据完整性和可靠性增加了难度。在这种情况下，审计人员在采集获取被审计单位的电子数据时，可要求被审计单位以书面的形式对包括电子数据在内的信息系统可靠性、完整性进行确认，同时要求财务人员提供相应审计范围的纸质凭证，做为辅助审计证据。

2、对审计方法的影响及对策

数据的重算、比较、查对是审计的基本手段方法。而电算化环境下审计证据大多存储在数据库中，传统的审计技术难以达到目的，因此审计人员必须采用面向计算机的新方法，采用新的审计技术和手段，比如采用测试程序嵌入系统完成对重要处理的审计、利用审计软件采集和分析要审计的数据、采用软件动态跟踪某些重要数据的变化。因此，应力争使审计电算化与信息系统的电算化同步发展，当然这并不意味着在审计中能用计算机完全代替手工操作，而是说审计人员应充分掌握计算机技术，把它当成一种有力的工具来使用。

3、对审计范围的影响及对策

传统手工审计受距离、计算分析等工作量的限制，审计范围相对于信息技术而言往往比较窄；随着网络通信技术的发展，审计人员可以远距离查询、检索信息管理系统的资料，获取大量的审计数据。审计人员可以利用信息技术，将大量的数据瞬间进行分析，对照标准进行判断，得出审计结论，大大减少手工计算、复核分析的工作强度，从往常单调、繁重的工作中解脱出来，提高了工作效率，使审计人员能有更多的精力扩展审计业务，扩大审计范围。

4、对内部控制的影响及对策

以往的内部审计受资源限制，获取信息较慢，往往是“马后炮”—事后控制。当发现问题时往往已造成损失，无法挽回。管理信息化为即时监控提供可能。审计人员可以进行事前、事中控制，甚至进行全过程监控。例如，施工企业实行会计信息系统联网后，内部审计人员可以通过远程登录任何一个项目部、施工单位的成本核算系统，查看费用支出情况，对变异较大的数据随时跟踪监控；在财务管理系统使用的同时，为审计提供接口，审计人员可以通过审计软件直接将财务数据进行分析、研究，实行即时控制，对突变和变异较大的事项，及时查明原因，及时纠正，避免造成不可挽救的损失。

5、对审计人员的影响及对策

随着管理信息化的深化，信息技术工程人员越来越重要，没有他们，审计就会“找不到门”，无从下手。因此，审计人员面临着更新知识的要求。此外，为了实现审计信息化，审计机构和组织中需要有既懂审计，又懂信息系统的设计和开发的复合型人才。逐步形成“人员精干、专业多样、一专多能”的人员结构。

二、信息化条件下内部审计工作的开展

1、大力开展计算机辅助审计，提高审计效率

目前，计算机辅助审计在内部审计中的应用，很多仍然停留在办公自动化和收集信息、数据转换上。而在信息化条件下，审计人员仍采用传统的手工审计手段显然已不能适应现代审计要求，应充分利用各种计算机辅助审计工具，开发相应的审计软件，对各个管理系统的关键环节、主要控制点嵌入审计软件，从而使审计人员可以随时随地获得大量的审计数据；利用审计分析软件可以模拟人的审计分析过程，指导和规范审计人员按标准的步骤和方法去完成审计分析工作，为提高审计的分析质量和效率提供了技术支持。同时，利用审计软件和计算机辅助审计，还可以突破地域、时间、资源的限制，开展异地实时审计，从而有效地降低审计成本，提高审计工作效率。

2、对企业的信息系统实施审计，防范审计风险

目前，绝大多数单位在内部审计时是绕过信息系统的。由于集成化系统中原始凭证大量减少、数据之间直接对应关系模糊、业务处理和财务处理高度集成，使得系统中存储数据与输出数据可能不一致。比如，有关人员通过在系统中嵌入非法程序块转移了数据，而打印出虚假数据提供给审计人员，这种行为必然加大审计风险。内部审计人员要想了解系统提供的数据的可信赖程度，必须对系统本身进行审计，这是内部审计不能回避的。

3、合理配置审计人力资源，提高信息化条件下的审计能力