持续审计信息系统

2024-12-08

持续审计信息系统（共12篇）

持续审计信息系统篇1

会计信息化环境下, 信息实时性要求和审计线索的消失使得持续审计的实施迫在眉睫。《审计署“十二五”审计工作发展规划》特别强调要探索创新审计方式和方法, 因此, 创新审计方法的信息化实现方式, 不断探索符合我国发展实际的审计方式和方法, 是时代发展对审计的要求。持续审计作为一种崭新的计算机审计理论、技术和反方式, 满足了信息时代对审计的实时性需求。近年来, 许多专业机构都致力于持续审计的研究与推进, 而笔者对持续审计应用困境的研究, 对持续审计的应用来说更具有指导性的意义。

一、持续审计相关概念

(一) 持续审计的含义

根据AICPA和CICA于1999年发布的研究报告《持续审计》中对满足持续审计的相关条件的界定, 可以将持续审计定义为:持续审计是在相关被审事项发生的同时或不久, 由独立的审计师出具系列审计报告, 对被审事项提供书面签证的一种审计方法。

(二) 持续审计思想发展路径

持续审计思想的发展经历了萌芽、发展和成熟三个阶段, 各阶段的具体特征见表1。

(三) 持续审计工作流程

持续审计工作流程分为六个步骤, 如图1所示:

二、会计信息化环境下我国持续审计应用困境分析

近年来, 我国信息化进程取得了重大发展, 以信息化促进工业化, 实现跨越式发展, 已经成为我国的一项战略部署。从政府部门到企业, 都把信息化提到了前所未有的高度。

普华永道会计师事务所2006年发布的《2006年内部审计状况执业研究》报告显示, 被调查的美国公司中, 有50%的公司已在一定程度上使用“持续审计”技术, 该报告还指出了美国内部审计发展的四大趋势, 其中之一便是持续审计。虽然持续审计思想已在我国部分企业内部审计中得到了体现, 但是由于不同类型企业的实际情况不同, 持续审计在我国内部审计和注册会计师审计中存在一些困境。

(一) 持续审计在我国内部审计中的应用困境

近年来, 持续审计在我国内部审计领域渐渐受到重视, 应用条件也渐趋成熟, 持续审计思想在我国实施ERP系统的大型集团公司以及经济实力相当雄厚的金融行业的内部审计中已经得到了初步体现。

(1) 持续审计在我国内部审计中的应用情况。目前, 中国人民银行、国家开发银行、中国建设银行等都建立了非现场审计系统, 以实现总部对各营业部的有效管理, 同时, 为了降低交易风险, 证券公司还建立了以实时交易监控系统为核心的中央监控系统。这些系统的实施都体现了持续审计思想的应用。国内很多大型集团已经实施网络审计, 充分体现了持续审计思想的应用, 如青岛港集团有限公司。

由图2可以看出, 青岛港内部网络审计实践推进了内部审计的现代化, 加大了审计监督力度, 拓宽了审计监督范围, 推动审计向纵深发展, 使审计由查错纠弊向审计管理转变, 由时点审计向过程控制转型, 充分体现了持续审计思想在集团内部审计中的应用。

(2) 持续审计在我国内部审计中的实施障碍分析。据有关学者对60家实施ERP系统的企业调查结果显示, 有60%以上的企业使用了计算机审计软件, 但这些软件的功能非常有限, 主要用于交易测试和余额测试, 同时计算机审计软件主要用于会计核算和财务管理系统, 生产计划和控制、采购、库存、分销以及人力资源管理系统很少涉及, 审计的重点停留在经营结果而不是过程审计。并且在会计核算系统中, 其应用的主要项目也非常局限, 集中在应收款和应付款, 其他项目如现金管理、成本核算等很少涉及。对内部审计能否适应ERP环境, 65.6%的内部审计师认为审计现状不能适应, 有待改进, 10%的内部审计师认为不适应, 急需变革。由此可见, 实施ERP系统企业的内部审计信息化程度与企业管理信息化环境存在一定的差距, 传统审计已不能适应ERP环境的变化。因此, 持续审计势在必行。

企业内部持续审计的实施存在很多障碍和阻力。我国学者采用Likert5点法对内部审计和注册会计师审计的持续审计实施障碍进行了的调查 (见表2) 。

资料来源:何芹:《持续审计研究》, 立信会计出版社2008年版。

由表2可以看到, 在内部审计方面, 认为信息技术和软件不能支持持续审计的人数比例最大, 打分值在3以上的人数达到总人数的78.1%;其次是缺少适当的审计标准和审计程序, 占被调查对象的比例达到72.5%;由于持续审计实施的起点较高, 要求被审计单位具有较高的信息化水平, 而企业的信息化要求企业购买信息化系统, 尤其是ERP系统, 一个完整的ERP系统的价格在100万元以上, 这对于小企业来说, 是难以承受的, 因此, 实施成本高也是限制持续审计发展的一个重要的限制因素, 打分值在3以上的人数所占比例高达61.2%;而被审计单位不接受持续审计这一观点仅占15.6%。而这样的结果与注册会计师审计的调查结果存在明显差异。在注册会计师审计中, 最大的障碍在于被审计不接受。其次是内部环境以及审计准则和审计程序的不支持。究其原因, 主要是我国迄今为止, 持续审计在注册会计师审计中的实施还仅仅是一种理念, 而相对于注册会计师审计来说, 持续审计在内部审计中的实施较为现实, 并且也逐渐得以使用, 到了具体操作的层面。尤其是在实施ERP系统的企业, 内部审计师对持续审计的认识更加具体, 而国内市场上的审计软件主要还停留在期间审计, 能够实现持续审计功能的软件很少, 因此内部持续审计实施中最大的障碍是信息技术和软件难以支持持续审计。在人员素质方面, 大多数审计专家认为, 就目前来说, 与注册会计师相比, 内部审计师的整体素质稍逊一筹, 因此, 内部审计师的胜任能力将是持续审计实施较大的障碍, 提高审计人员素质是当前内部审计发展的重中之重。

(二) 持续审计在我国注册会计师审计中的应用困境

(1) 持续审计在注册会计师审计中的使用情况。持续审计方法已经在国外四大会计师事务所的审计中得到了具体的应用, 如毕马威使用基金雷达审计美国的共同基金, 安永发展了一个和持续过程审计系统 (CPAS) 相似的应用程序—HMOs, 由于HMOs具有较大的市场份额, 因此安永就可以对持续审计系统进行投资, 并且将其用于其他使用HMOs的客户。然而从目前来看, 持续审计在我国注册会计师审计领域的应用还是一片空白。但是其发展前景如何呢?我国有关学者通过对上海市四大和非四大注册会计师对持续审计应用前景调查显示, 四大和非四大会计师认为未来持续审计发展最大的推动力是各行各业对缩短审计时间的强烈要求, 他们都认为有必要提前年度和半年度报告审计的时间, 将审计逐渐向实施监控转变, 因此, 可以借鉴国外同行运用持续审计的成功经验, 为我国注册会计师审计采用持续审计模式提供有益的参考。

(2) 持续审计在注册会计师审计中实施障碍分析。我国有关学者针对持续审计的实施障碍进行了问卷调查研究。问卷调查的对象是上海市四大和非四大的注册会计师, 分别就四大和非四大注册会计师对各种实施障碍的影响程度打分进行加权平均, 得出加权平均值, 满分是5分, 并且对打分值在3以上的人数比例进行统计见表3。

由表3可以看出, 其调查结果与表2基本一致。持续审计在注册会计师审计中实施的最大障碍是被审计单位的管理层不接受, 打分值在3以上的人数比例占到总人数的76.9%;而被审计单位管理层的不接受直接导致了持续审计发展的另一大障碍, 即被审计单位内部环境的不支持, 所占比例达到66.7%;同时, 由于持续审计在我国处于起步阶段, 审计界对持续审计的认知还非常少, 处于比较低的层次, 审计准则和审计程序等相关的审计理论无法引领审计实践的发展;而且, 由于被审计单位纷繁复杂, 涉及各行各业, 其发展状况和和规模也不同, 因此在注册会计师审计中应用持续审计还存在审计单位内部环境能否支持持续审计的问题。

三、结论

(一) 持续审计在我国实施的主要障碍

从表2和表3都可以看到, 持续审计实施的最大障碍在于被审计单位的支持与配合, 其次是审计师思维方式、审计技术和审计师胜任能力不够等问题, 同时, 由于我国持续审计尚处于起步阶段, 持续审计应用较少, 理论界和实务界对其的研究也不多, 因此客观上存在着审计准则和审计程序的障碍。

(二) 我国应用持续审计的基本思路

持续审计是我国信息化进程和审计发展的必然趋势, 而政府审计则是我国持续审计实施的起点。因此, 根据持续审计在我国应用困境的分析, 在应用思路方面, 我国应着力从被审计单位、审计师和政府部门这三个方面加以改进, 将其存在的问题及障碍加以解决, 加快持续审计在我国的应用进程。

参考文献

[1]毕秀玲:《持续审计基本问题研究》, 《审计研究》2008年第4期。

[2]叶焕倬、杨青:《持续审计技术发展与现状》, 《审计研究》2011年第3期。

[3]何芹:《《持续审计研究》, 立信会计出版社2008年版。

[4]张文秀、刘雷:《持续审计》, 东北财经大学出版社2012年版。

持续审计信息系统篇2

审计是一项具有独立性的经济监督活动，独立性是审计区别于其他经济监督的特征；审计的基本职能不仅是监督，而且是经济监督，是以第三者身份所实施的监督。审计的主体是从事审计工作的专职机构或专职的人员，是独立的第三者，如国家审计机关、会计师事务所及其人员。审计的对象是被审计单位的财政、财务收支及其他经济活动，这就是说审计对象不仅包括会计信息及其所反映的财政、财务收支活动，还包括其他经济信息及其所反映的其他经济活动。审计的基本工作方式是审查和评价，也即是搜集证据，查明事实，对照标准，做出好坏优劣的判断。审计的主要目标，不仅要审查评价会计资料及其反映的财政、财务收支的真实性和合法性，而且还要审查评价有关经济活动的效益性。

审计的重要性不言而喻，首先，审计具有强有力的制约作用。审计通过揭露和制止、处罚等手段，来制约经济活动中各种消极因素,有助于各种经济责任的正确履行和社会经济的健康发展。其次，审计还具有促进作用，审计通过调查、评价、提出建议等手段,来促进、服务宏观经济调控,促进微观经济管理，以助于国民经济管理水平和绩效的提高。

然而随着社会经济与科技的不断进步，审计的主体和客体的不断扩充，纯手工审计的方式尽管具有灵活运用的特点，但是因其效率低、错误率高而逐渐不能满足人们的需要，这时审计软件应运而生。审计软件是指用于审查电算化系统或利用计算机辅助审计而编写的各种计算机程序。广义上讲，审计软件是指用于帮助完成审计工作的各种软件工具。审计软件可分为四种类型：第一种现场作业软件、第二种法规软件、第三种专用审计软件、第四种是审计管理软件。

在我们专业实习之前，我们参与过鼎信诺审计软件的培训，比较可惜的是，在正式参与审计时，我们并没有利用专业审计软件进行审计和数据处理，仅利用EXCEL便完成了所有审计工作，但我也通过查阅资料书籍和询问事务所人员初步了解了中瑞岳华审计软件——鼎信诺的基本功能和操作，同时我也将在下文中大致描述EXCEL在审计中的运用。

二、XX会计师事务所审计软件——鼎信诺简介

鼎信诺审计系统作为XX会计师事务所的主要审计软件，有如下11个主要功能：

1、前端数据采集

审计前端能够从金蝶K3、金蝶KIS、用友7系列、用友8系列、用友通系列、速达3000、速达5000、新中大、久其、安易、博科、浪潮、远光、远方、小蜜蜂等常见财务软件中取出数据；并且不需要安装可直接运行；前端是完全免费，可以直接从公司网站上下载；对于定制的或者不常见的财务软件，可通过粘贴数据到EXCEL取数模板的方式采集数据。

2、审计抽样

审计人员凭经验和职业判断手工抽取样本；也可以依据审计人员选择的抽样方法，如随机、由大到小

或由小到大和条件（抽取笔数或金额），由计算机计算出各种统计数据（包括：样本总量、已选样本量、剩余样本量、所占比例大小等等）；同时保留审计轨迹，并与抽样结果一起反映到检查表中。对于已抽出的凭证还可以生成凭证并打印出来。

3、自动生成实质性工作底稿

所有的实质性工作底稿都是自动生成的，实质性工作底稿包括：审计程序、审定表、明细表、检查表等等。对于往来款中有核算项目的，也可自动在明细表中列示。工作底稿

4、往来款账龄计算

往来款的实质性工作底稿中，系统可以依据多年的账套数据计算出账龄。

5、生成银行函证和往来单位函证

在实质性工作底稿中选择要发送函证的银行或往来单位，修改系统提供的函证模板后，系统自动生成一页一页WORD格式的函证。

6、合并会计报表

系统根据母子公司间投资关系等信息自动产生权益抵消、收益抵消，内部往来抵消和内部购销抵消四种抵消分录，用户还可以手工输入抵消分录。系统根据母子公司间投资关系自动产生包括全部母子公司的过渡表和集团合并会计报表。系统自动合成集团公司下属全部单体公司的报表附注，合并报表附注同样可以刷新到WORD中。

7、存货和固定资产的测试

存货或固定资产的实质性工作底稿中，系统可以自动提取前端已采集的相关数据，依据用户选择的不同方法进行测试。

8、数据分析

数据分析有报表分析、图表分析和指标分析三种，从不同的角度分析审计风险。数据

9、审计调整

输入一次审计调整后，该调整分录涉及到的底稿、报表、附注都能自动更新数据。调整分录，自动生成汇总表和审计会计报表。

10、生成未审会计报表

未审会计报表中，未审数是由科目得到，报表数是由企业提供。如果账表之间存在差异，以红色字体显示，用户可以据此进行账表差异调整，例如：往来款科目的负值调整。

11、自动生成会计报表附注

系统提供了财政部和国资委颁布的会计报表附注模版，会计报表附注的内容和格式是可以修改的。修改后的附注能够一次性全部刷新到WORD文档中。

显而易见，鼎信诺审计软件大大节约了审计的时间，提高了效率，在于同学和学姐交流时，使用过该软件的同学都普遍反映利用该软件效率提高了不少，仅以抽凭为例，我们利用EXCEL导出数据抽凭需要至少一整天的时间才能完成一家公司的电子抽凭工作，而导出数据的凭证号在实际抽凭过程中很多都是错的，而利用鼎信诺软件则需要不到半天的时间就能完成同等规模公司的抽凭工作，并且凭证号都能够对应的上。

而且审计工作底稿实现电子化后，审计人员能方便地通过公司内部的局域网或审计小组现场的对等网实现信息共享，相互之间查阅审计底稿只需l要点点鼠标即可轻松实现，而且审计人员之间互不影响，从而可以极大提高审计效率。审计人员只需要进行初始的数据录入，计算工作由计算机自动完成，计算结果准确无须验算，可节约时间，提高审计效率。

利用鼎信诺软件，审计底稿的素材范围得到了进一步的扩充，录音材料、录像材料、电子照片均能构成审计底稿，搜集证据不再单一化，更加方便快捷，审计风险也得到了降低，同时资料也变得容易方便携带起来。

三、EXCEL软件在审计中的应用

在事务所实习过程中，虽然我们并没有机会接触鼎信诺软件的使用，但是利用EXCEL也方便了我们的审计工作。

首先，事务所提供了带有公式链接和相应格式的EXCEL电子工作底稿和word底稿，企业财务软件erp不支持win7的使用，因此我们只能将相关数据导出到记事簿中，然后再粘贴进EXCEL中进行整理和使用。起初我们接触到的就是过期初数，平时我们认为简单的复制粘贴，但是要知道底稿中有很多公式，因此我们在粘贴时需要选择性粘贴，有一些审计调整要不要过进来也需要我们去自己把握。

接下来需要应用到的就是抽凭，删除或者隐藏掉不可排序行后按照排序或者条件性筛选我们便可以选取数额较大的或者关联方账目进行抽凭。再对数据进行分析时，我们还可以运用冻结窗格等功能，这对数据的整理十分重要，尤其是冻结首行，这对每一笔分录的借贷方更容易把控。

在填写附注阶段，在主表中有试算平衡表数据和明细表数据，只需要我们添加一个源公式，那么我们就能直接链接过来数据而不需要逐个粘贴，尤其是在试算平衡表中数据所变动的时候。这时，我们只需将附注中区域科目的明细下表科目链接到主表中，通过公式判断便可以验证数据是否一致。在逐个明细区域中，我们还是需要将主表中的数据链接过来，做一个简单的减法公式，如果结果显示的是“-”，那么证明两个数据相同；如果结果显示的是“0”，那么需要在该公式中复核加计round公式，若结果为“-”那么数据无误，否则数据出现错误。这是因为我们的数据在小数点后两位四舍五入，有时难免有误差。

这只是一些基本的功能，其实EXCEL还有很多功用，例如：利用Excel编制集团公司的经审合并报表、利用Excel进行分析性复核、对数据进行保护等等。但令我印象最深刻的是在对固定资产和应收账款账龄的测算中的应用，如果数据量小手工计算也不碍事，但是数据一旦成百上千，那么就需要EXCEL公式的综合运用了。

往来账款(应收账款、其他应收款、应付账款等)的账龄审计，是财务会计报表的基础审计工作，企业往来款项的明细账户动辄成百上千，账龄审计颇为繁琐。而利用Excel进行往来账款账龄审计却非常简单方便。利用Excel进行账龄审计，需要企业提供往来款项、分客户明细账户编制的“年初数、本年累计借方发生额、本年累计贷方发生额、年末余额”格式的会计数据资料。目前越来越多的企业采用会计软件进行核算，该资料可以利用会计软件提供的“数据导出”功能导出为Excel格式获得。将获取资料置于一个Excel工作簿内。运用Excel的数据排序功能将年末余额为负数的数据(需要报表重分类)剔除后，就可以在A、B、C、D单元格中设定函数公式。一是账龄1年以内的函数为：A＝IF(本年贷方发生额＞＝年初余额，年末余额，本年借方发生额)。二是接着利用Excel的数据排序功能，筛选出(年末余额一账龄1年以内金额)＞0的明细账户，获取其上年“年初数、本年累计借方发生额、本年累计贷方发生额、年末余额”格式的会计数据资料。在上表“单位名称”列左侧增加列，用以添加上年数据。账龄1～2年的函数为：B＝IF(本年贷方发生额十上年贷方发生额)＞：上年初余额，年末余额一账龄1年以内的金额A，上借方发生额)。三是筛选出(年末余额一账龄)1年以内金额一账龄1～2年的金额)＞0的明细账户，获取其更前一个的数据。账龄2～3年的函数为：C=IF((本年贷方发生额＋上年贷方发生额＋更上一年的贷方发生额)＞＝更上一个年初余额，年末余额—账龄1年以内的金额A-账龄1-2年的金额B，更上一个的借方发生额)。四是账龄3年以上的函数为：n：年末余额一账龄1年以内的金额A——账龄1-2年的金额B——账龄2--3年的金额C。输入完毕后，模板将自动计算年末账龄，方便准确。

四、审计软件的优势

如上文所述，审计电子化、信息化是一种高端审计方式，更是一种趋势，实现审计电子化，即用审计软件进行审计有如下优势：

1、审计信息化具有审计人员协同作业的优势。

审计信息化所面对的是比以前更加广泛和复杂的网络经济活动，审计的具体内容除了企业的经济活动和财务纪录以外还包括其使用的系统网络、外部网络及相关的企业，因此进一步分工协作成为必要。由于网络、计算机、现代通讯技术在审计中的运用，使得多个审计人员协作、联合审计成为可能，能使审计资源得到更广泛而有效地配置和运用，从而大大提高审计能力。

2、审计信息化具备审计连续性优势

审计信息化使得远程审计与就地审计相结合，当前审计与以前审计、后续审计相结合，因此，使审计跨时空作业成为可能。而网络经济的无边界性和复杂性又使得跨时空审计成为必要。跨时空作业使审计单位能够综合调用、管理机构内外的资源完成审计项目，将原本复杂繁重的审计任务改变成简单、方便、快捷的审计作业。

3、审计信息化具有准确高效的优势

会计信息系统审计问题探讨篇3

【关键词】汇集信息系统；审计问题；探讨分析

近些年，计算机技术得到飞速发展，在日常生活中现代信息技术的应用越来越广泛，成了大家不可或缺的一部分。随着时代的不断进步，会计审计系统改变了以往的传统手工凭证、账簿和报表等，在信息化技术的推动下，逐渐朝着电算化的趋势发展。而伴随着财务会计持续深入的电算化应用，会计信息系统审计被众多人所关注。不过，由于素质较低的审计人员和信息化程度较低的审计系统导致当前我国会计信息系统审计的发展处于原地踏步的状态。当前我国社会经济快速发展，只有不断引进先进的科学技术，提升审计人员素质，完善会计审计系统，才可以使办公效率得到有效提高。

一、会计信息系统审计的重要性

近年来，我国计算机信息技术得到快速发展，在现代化企业管理中，信息化技术应用发挥着至关重要的作用。所谓的信息系统审计，其实就是对审计证据进行收集和評价，从而判断出被评价单位资产安全是否可以得到保护、数据的完整性是否可以得到保障、确保有效实现被审计单位的目标、确保高效使用组织的资源的这一过程。计算机具有传输速度快、储存空间大等特点，通过计算机信息化技术的有效利用，可以使信息系统审计的工作效率得到有效提升。现如今我国处于社会发展阶段，不断更新的审计单位会计信息系统使会计电算化应用越来越广泛，计算机中储存了很多业务数据和财务数据，使会计信息系统审计的工作效率得到了有效保障，提高了会计信心系统审计在市场上的竞争力。当前，我国互联网与会计信息系统审计已经紧密相连，进一步实现了资源的共享。但是，随着社会经济的快速发展，假如审计单位和工作人员依然在纸质账目基础审计上停留，没有做到与时俱进，将信息系统的审计监督工作视而不见，一定会造成很大的审计风险，对审计工作的质量产生一定影响。

二、会计信息系统审计中存在的问题

1.没有明确的审计观念。现阶段，在我国的会计信息系统审计工作中，很多审计单位在进行信息系统审计过程中，由于模糊的审计观念认识，造成了在日常审计工作中故意找出许多问题，他们认为只有找出问题的答案，才可以证明审计单位所发挥的作用和成果。这些观念型的审计对理论相对比较重视，对审计的具体方法却总是回避，因此导致工作上的差错在会计信息系统审计工作中时有出现。

2.没有清晰的审计目标。当前一个时期，在我国会计信息系统审计工作中，促使审计单位信息系统真实、合法、效益得到有效保障是审计工作的根本目的。在审计信息系统和系统内控过程中，需要认真梳理被审计单位的财务收支及经济活动的真实、合法、效益，最终形成结论。但是在日常工作中，审计单位因为目标不明确导致审计行为的不规范性，即便对相关审计目标进行了指定，许多缺陷也存在于这种目标中。随着社会的不断发展，金融、行政、经贸等多种行业都被审计所涵盖，审计目标会随着行业的不同而产生变化，因此导致审计的难度也随之不断增大。在进行审计时，很多审计单位和工作人员对总体的审计目标和目标界限没有一个很好的把握，表述的相对比较模糊，操作性不强，不具备指导性。

3.缺乏真实的审计内容。目前，我国现代化企业得到快速发展，审计单位在审计这些企业的会计信息系统时，其一是在审计时工作人员没有一个正确的认识，导致审计的效果在审计过程中没有得到充分发挥；其二是许多企业为了使审计顺利通过，采用做假账的形式瞒天过海，这样就导致审计过程中，工作人员没有办法按照企业的实际情况进行审计，最终对审计质量产生严重影响。由于企业的不同，其审计方法也不尽相同。所以，文档的大量查阅，座谈会的多次召开等都是调查时所采用的方法，大批操作数据需要在测试时使用。审前调查与审计测试没有清晰的界限，也反映出工作人员在对信息系统流程上认识较为模糊，或者难以掌握的地方，无法对调查、测试、评价进行一个明确的界限分类，从而导致信息系统审计的规范化受到严重影响。

4.没有统一的审计系统。随着社会的不断发展和进步，市场上逐渐增多的企业其规模也不断增大，想要促进社会的稳定，保障经济的健康发展，就必须严格审计企业的会计信息系统。然而我国审计单位中，针对这些庞大数量的企业，审计工作不够全面。没有一个统一的审计系统，企业会计信息系统审计的真实价值得不到很好的体现，因此降低了审计效率。

三、会计信息系统审计应对策略

近年来，信息化技术得到快速发展，企业经济效益得到实现的主要手段之一就是通过计算机技术的利用从而使企业办公效率得到提升，通过信息化技术完成企业审计在我国会计信息系统审计工作中发挥着重要作用。随着信息时代的高速发展，审计的领域将逐渐被信息系统审计多替代，伴随着不断扩大的企业信息系统领域的覆盖，会计将会被作为一个独一无二的信息系统分离出来，它所发挥的作业也将也来越重要。所以，审计单位的工作人员必须全面了解所审计的对象，对自身专业知识加强培养，使我国信息系统的审计效率得到有效提高。

1.注重人才培养，加强审计队伍建设。新形势下，我国社会发展的主要力量就是人才，而伴随着社会竞争的日益激烈，人才精英在以后社会竞争中所发挥作用也将逐渐凸显。由于审计工作具有敏感性和特殊性，因此加强培养一批既对现代审计理论知识有所掌握且又对计算机技术有所了解的优秀人才对审计单位来说意义重大。在当前时代背景下，我国审计单位可以通过多种手段，加强培养一批高质量审计队伍，从而促进会计信息系统审计工作得到很好的开展，进一步推动我国现代化事业的发展。

2.建立统一系统，提高审计工作效率。近年来，计算机技术得到了快速发展，在我国现代化企业的发展过程中计算机信息系统发挥着至关重要的作用，企业大部分的数据信息都通过计算机系统进行储存。在信息系统中，部分数据需要多个财务信息系统进行储存，也有一些数据需要在业务信息系统与财务信息系统之间进行转移，在这个过程中许多问题会随着出现，特别是进行重新手工录入的过程。所以，我国审计单位需要进行统一系统的建立，通过计算机技术的应用，完成数据转换时的平价转换，输出信息的完整性和精确性可以通过统一审计系统的建立而实现，保证指定接受者在约定时间内能够准确的接受到输出的消息，确保流入消息准确真实可靠，从而使会计信息系统审计的工作效率得到进一步提高。

3.加大科技創新，加快审计工作进度。我国现代化事业发展的主要保障就是科技力量。当前一个时期，我国的会计信息系统审计的核心技术在一少部分人的手中掌握着，这些核心技术没有发挥其应有的作用，因此导致信息系统审计工作的进度受到制约。所以，我国必须加大对审计系统的科技创新，审计单位要与外界加强联系，及时将先进技术加以引进，从而使审计工作的效率得到进一步提升。

4.加强立法建设，提高审计工作质量。没有明确的制度流程和法律法规，工作就会出现混乱。在我国会计信息系统审计过程中，缺乏明确的审计法律法规，无法有效保障我国当前信息系统审计工作顺利开展。所以，我国应该加强对会计信息系统审计工作的法律法规建设，明确信息系统审计的相关责任，进而给信息系统审计工作提供法律保障，与此同时，也使企业的行为得到有效约束，切实做到有法可依，使审计质量在审计过程中得到不断提高。

四、结束语

近年来，伴随着社会主义市场经济的快速发展，企业在市场经济中占据着主要地位，它的规模也不断增加。而会计信息系统统计作为经济发展过程中的主要部分，对我国经济稳定发展起到了十分重要的作用。近几年，伴随着计算机信息化技术的持续发展，会计信息系统审计发展也得到了有效推动，使大量数据信息的安全性和可靠性得到有效保障。不过随着时间的推移，我国信息系统设计的弊端也逐渐凸显出来，没有统一的审计系统，没有清晰的审计目标，缺乏真实有效的审计内容等问题导致审计效率得不到提升，对我国审计事业的发展产生了严重影响。在当前时代发展的快速变化下，计算机信息化技术也日新月异，会计信息系统审计工作所面对的挑战十分巨大，但社会在进步，这需要我国审计单位及时建立统一系统，加强立法建设，使保障审计质量得到进一步提升。

参考文献：

[1]孙一秀.计算机审计技术在企业内部审计应用浅析[J].内蒙古科技与经济，2014（06）.

[2]游培玉.电算化时代审计的创新[J].企业改革与管理，2014（04）.

浅谈审计信息化可持续发展篇4

(一) 我国审计信息化的现状

审计机关扮演着我国经济运行“免疫系统”的重要角色, 审计机关出具审计报告很大程度上依托高质量的审计信息。1999年以来, 审计管理系统 (OA) 的应用, 使审计机关很大程度上实现了无纸化、网络办公化;我国全面开展实施“金审工程”, 审计机关的信息化建设也取得了很大的成果, 现场审计实施系统 (AO) 攻克了打开被审计单位电子账本的难题, 对各级审计人员进行了业务和专业软件相关的培训, 审计人员的综合素质水平中的科技水平有显著提高, 为审计信息化建设提供了充足的人才储备及技术支持。通过加强对现场审计系统软件的应用和探索, 以及对相关工作人员的培训, 使我们审计机关的审计效率、信息化效率得到了极大的提高, 信息化水平也得到了显著的提升。

(二) 当前审计信息化建设中存在的问题

1. 审计管理思想和观念没有跟上审计信息化进程。

由于当今的经济活动范围日益加大, 财务数据日渐增多, 传统纸质账已经不能满足新形势发展的需要, 由于受到一些传统思想的束缚, 加之对审计信息化发展速度预判不足, 造成了审计管理思想和观念没有跟上审计信息化发展进程, 制约了审计机关获取信息的质量。有部分审计机关, 对计算机审计在部分领域实施情况的期望值偏高, 一些审计环节没有从实际出发, 过分地强调计算机这个载体, 注重设备配置, 反而对审计软件的开发和推广办法研究不透彻, 实际审计效果不明显。有时忽视了对审计方式和方法的改革创新, 没有做到将审计信息化建设为依托, 来改进设计管理方式和方法, 其结果必然是导致部分单位审计信息化建设效率效果低下。

2. 审计信息化建设的重点不够明确。

一个信息化审计系统由三个重要的方面构成:硬件基础、软件基础、管理及操作系统的人员。目前, 各级审计机关停留在审计信息化建设方面的投入主要是硬件上的更新, 没有更多地关注设备和信息利用及使用效益, 没有最大地发挥其应有的作用。由于审计现场办公的计算机应用水平还较低, 使得计算机网络管理、分析没有充分发挥数据处理等功能的优势, 造成一定程度的资源浪费。

3. 人才匮乏制约审计信息化的建设与发展。

审计机关的一线审计人员不足, 特别是既熟练掌握计算机技能, 又精通财务运行状况的人员更加缺乏。虽然计算机技术发展迅猛但对其相关知识更新培训没有同步, 加上大部分一线审计骨干年龄偏大, 导致许多审计人员应用计算机获取审计信息及相关技能无法得到提高, 仍然停留在相对低的水平上, 计算机功能的优势也没有得到充分发挥, 有些审计人员还不知道计算机是如何处理财务业务, 还不懂计算机网络技术的运用存在什么风险, 怎样控制才能有效降低风险。因此, 审计机关储备人员缺乏也是限制审计信息化发展的重要因素。

二、与国内外审计信息化的差距分析

在中国, 网络的整体建设起步比国外晚, 相应的网络大环境还不完善, 审计工作开展起来给审计部门和审计人员造成了很大的阻碍, 使我国网络审计发展速度放缓。在审计部门的这种条件下, 给开展的审计工作造成了很大困难, 致使我国联网审计进展较慢。直至今天, 绝大多数的审计项目还是非网络环境的计算及审计。近年来, 政府加大投入技术对审计网络基础平台的支持, 但国内外审计信息仍然有较大的差距。

在许多欧洲国家, 所有的政府机构负责架构统一的网络平台, 并对平台的维护和运营负责, 经费则来源于国家财政拨款。我国也正在打算为国家的各个机构提供网络基础设施, 但由于这是一项系统性的工程, 首先实施的税务、银行、海关等部门已经自行组建网络系统, 其他的行业也在具体落实过程中先后形成自己的网络系统, 最后, 各个行业都应该纳入一个统一的网络平台。

另外, 国外联网审计发展离不开坚实的法律保障, 由于外国的宪法等法律对被审计单位需要提供的审计材料、相关财务信息等有明文的规定, 因此, 审计机关获得信息的真实性、完整性是受到法律保护的。近年来, 虽然我国逐步完善审计方面的法律和法规, 但在法律环境上也有一些突出的问题, 并且许多单位在执法时对法律条文理解不透彻, 导致工作失误。

尽管我国相比其他国家在联网审计上起步较晚, 但由于吸取了很多优秀的做法, 并对现今成熟的发展模式有所借鉴, 所以联网审计在我国已经有了跨越式的发展。近年来, 我国基于联网审计工作研究方面的投入也逐年增加, 在未来的一段时间内, 我国审计信息化建设一定会有新的发展。

三、审计信息化发展方向

(一) 建立被审计单位信息资料库

通过建立完善的信息资料库, 可以方便我们掌握各个被审计单位及其所属行业发展的总体情况和变化趋势, 当审计机关需要对审计项目作出选择时, 可以提供一定的科学依据, 使审计项目的选择具有科学性, 同时审计项目情况的确定更科学、更准确, 这是被审计单位的数据库活动的基本功能。虽然审计署很早就提出要建立信息资料库的想法, 但是由于当时我国的信息化水平落后, 又受到技术手段的限制, 只有极少数的地区在一定范围内搜集到了信息, 但也没能做到可持续的建设和应用。现在我国的网络化进程得到了长足的发展, 在一定程度上可以满足建立信息数据库的建设, 同时依托“金审工程”网络和OA、AO系统的应用, 应当建立一个全国性质并且覆盖重点行业的信息系统。通过这个系统, 我国的各个审计项目将会安排的更具科学性, 工作人员在对相关审计项目的风险把握上也会更加准确, 使审计监督效能更加突出, 同时也能够防范化解审计风险。

(二) 建立多行业的审计数据平台

目前, 我国虽然已经建立了一些专业性的领域审计数据平台, 在对国家金融宏观调控政策实施情况的跟踪审计调查中发挥了巨大作用, 并且这些平台为其他审计项目的顺利进行提供 (下转第143页) (上接第137页) 及时有效的服务。要使审计机关在各个经济领域的“免疫系统”的功能发挥得更好, 就要加快行业审计数据平台的建立, 要在预算执行、税收征管、社会保障等各类专业、行业建立深入的审计数据平台。要使审计单位更好地掌握全面的财务状况, 缩小与审计单位的期望差距, 就需要掌握企业和整个行业的重要数据, 从而更好地服务于审计项目, 更有利于审计目标的实现。

(三) 审计数据资源的标准化

建立和搜集完整有效的审计数据资源是审计信息发展的基本前提, 审计信息的标准化是推动审计信息化的保障和基础。其主要包括两个方面, 即数据采集的标准化和数据库建设的标准化。这就需要我们完善数据库存储的标准格式、审计数据的标准形式以及数据接口的标准化, 这样才能保证信息化背景下审计工作目标的顺利完成。

(四) 审计数据资源的信息共享

审计数据资源信息共享是推进审计信息化的根本途径。当今, 互联网高速发展, 讲求信息共享, 这就需要我们在保证数据资源准确、稳定、安全的前提下创建一个内容丰富、功能强大的数据中心, 集数据储存、分析、检索、自动化审计和预警等功能集成化的载体。

(五) 推进联网审计

大力推行联网审计, 是对我们当前审计工作的一种创新, 更是完善审计信息化水平的一个关键点, 联网审计对于适应当前国内形势发展以及发挥审计职能方面有着独到的优势, 这为我们新形势下的审计工作指明了发展方向。

联网审计是首先与被审计单位进行网络互连, 然后通过采集、剖析被审计单位的财务数据和业务运行数据, 进行财务收支审计。相对于传统审计来说, 联网审计实现对数据实时和远程采集和分析, 便于工作人员更有效地进行数据采集和分析。但是, 联网审计过程中所面临的网络安全问题也需要高度重视。这就需要始终保持着与系统网络维护部门的交流和沟通, 经常性地对系统安全管理和安全保密进行检查, 确保审计数据传输和存储的安全, 同时, 加强对使用数据所有人员的权限管理, 保证数据使用环节的安全, 以降低联网审计风险, 消除被审计单位泄露信息的顾虑。

准确把握审计信息化发展方向, 才能缩小国内与国外审计信息化建设的差距, 从而推动审计信息化的可持续发展, 更好地发挥审计的监督效能。

参考文献

[1]周俊红.审计信息化浅析[J].冶金财会, 2008 (9)

[2]黄胜等.我国审计信息化的现状和思考[J].内蒙古科技与经济, 2005 (2)

[3]高晓玲.深入推进审计信息化建设的思考[J].经济师, 2012 (9)

[4]马社昌, 董寒光.国家审计信息化现状及发展方向[J].现代审计与经济, 2012 (8)

信息系统审计期末考试重点篇5

公司治理关注利益相关者权益和管理，驱动和调整IT治理。IT能够提供关键的输入，形成战略计划的一个重要组成部分，是公司治理的重要功能。

IT管理是公司的信息及信息系统的运营，确定IT目标以及实现此目标所采取的行动。是在战术层面上

•IT治理是指最高管理层（董事会）利用它来监督管理层在IT战略上的过程、结构和联系，以确保这种运营处于正确的轨道之上。是在战略层面上

•IT治理规定了整个企业IT运作的基本框架，IT管理则是在这个既定框架下驾驭企业奔向目标。

（公司治理关注利益相关者权益和管理，驱动和调整IT治理

IT能够提供关键的输入，形成战略计划的一个重要组成部分，是公司治理的重要功能。IT治理规定了整个企业IT运作的基本框架，IT管理则是在这个既定框架下驾驭企业奔向目标。）

2、信息系统审计阶段，准备阶段应该了解被审计单位哪些方面内容 P11 了解被审计系统的基本情况

（1）、调查了解被审计单位信息系统的基本情况，如信息系统的硬件配置，系统软件的选用，应用软件的范围，网络结构，系统的管理结构和职能分工、文档资料等，调查完成后将审前调查情况记录下来。

（2）．提前三天送达审计通知书，要求被审计单位对所提供资料的真实性、完整性作出书面承诺，明确彼此的责任、权利和义务。

（3）．初步评价被审计单位的内部控制制度，以便确定符合性测试的范围和重点。

（4）．确定审计重要性、确定审计范围。

（5）．分析审计风险。

（6）．制定审计实施方案。在审计实施方案中除了对时间、人员、工作步骤及任务分配等方面作出安排以外，还要合理确定符合性测试、实质性测试的时间和范围，以及测试时的审计方法和测试数据。

在安排利用计算机辅助审计时，还需列出所选用的通用软件或专用软件。对于复杂的信息系统，也可聘请专家，但必须明确审计人员的责任。

3、信息系统一般控制、应用控制的区别和联系

区别：

范围：应用于一个单位信息系统全部或较大范围的内部控制。

• 对象：应为除信息系统应用程序以外的其他部分。

•基本目标：保证数据安全、保护计算机应用程序、防止系统被非法侵入、保证在意外情况下的持续运行等。

一般控制主要涉及：

–管理控制（包括部门管理、人员管理等）

–系统基础设施控制（包括物理环境、系统硬件、系统软件等）

–系统访问控制（包括系统通信控制等）

–系统网络架构控制；

–灾难恢复控制（即服务持续性控制）

应用控制是为适应各种数据处理的特殊控制要求，保证数据处理完整、准确地完成而建立的内部控制。有输入控制、处理控制、输出控制审查方法。

联系：

良好的一般控制是应用控制的基础。

如果一般控制审计结果很差，应用控制审计就没有进行的必要。

4、变更管理实施的过程

P159-1605、如何进行系统运营/维护阶段的审计？

从ISA角度，IS审计师通过审查系统运营与维护的安全性、有效性、效益性等，并对

此进行评估，提出改进意见，从而确保系统能满足企业的业务目标需求并实现其效益。

信息系统在日常运行过程中管理与维护内容主要涉及：

1、信息系统运营的管理；

2、信息系统变更管理；

3、软件配置管理；

4、项目管理；等。

6、电子数据处理系统对审计的影响？

电子数据处理系统对传统审计的影响:

(1)、对审计线索的影响：传统的审计线索缺失

EDP下：数据处理、存储电子化，不可见，难辨真伪。

(2)、对审计方法和技术的影响：技术方法复杂化

EDP下：利用计算机——审计技术变得复杂化

(3)、对审计人员的影响：知识构成要求发生变化

EDP下：会计、审计、计算机等知识和技能

(4)、对审计准则的影响：信息化下审计准则与标准的缺失

EDP下：在原有审计准则的基础上，建立一系列新的准则

(5)、对内部控制的影响：内部控制方式发生改变

传统方式下：强调对业务活动及会计活动使用授权批准和职责分工等控制程序来保证。

EDP下：数据处理根据既定的指令程序自动进行，信息的处理和存储高度集中于计算机，控制依赖于计算机信息系统，控制方式发生改变。

7、简要回答IT治理范围

P46

好的IT治理实践需要在企业全部范围内推行：

–最高管理层（董事会）

–管理者

–下层

8、信息系统访问方式及其审计方法有哪些？

系统访问方式：

–逻辑访问：用户通过软件方式对系统访问。

–物理访问：用户通过物理接触等方式对系统访问。

逻辑访问控制审计：

1.了解IS处理设施的技术、管理、安全环境；

2.记录逻辑访问路径，评估相关软硬件设施；

3、检查已实施的逻辑访问控制软件，查看软件的记录与报告；

4、查看组织的安全政策。

物理访问控制审计：

1、现场查看信息处理设施和异地存储设施；

2、评估物理进入的路径；

3、审核文件和记录。

9、回答恢复点目标和恢复时间目标的概念？

恢复点目标(RPO)：由业务中断情况下可接受的数据损失来决定，有效量化了业务中断时可以允许丢失的数据量。

恢复时间目标(RTO): 由业务中断情况下可接受的停机时间决定，指明了灾难发生后必须对业务进行恢复的最早时间点。

10、如何进行系统安装后的审计？

新系统是在日常作业环境中稳定下来之后，需要进行安装后审计。安装后审计是对系统实际运行状况进行集中分析和评价，审计师在平时管理工作基础上进行的。安装后审计和系统评价的内容相似，但目的不同，进行的时间不同。安装后审计师在系统投入运行后定期或不定期进行的审计，其目的是确认系统目标和需求、成本效益、变更、资源利用率、内部控制、运行日志、系统改进。

11、简要回答IT治理成熟度模型

IT治理成熟度级别：0没有级别—根本没有管理程序1初始级—程序混乱，没有组织2可重复级—程序遵循某种模式3已定义级—程序已形成正式文档，已发布4已管理级—程序得到控制和评测5优化级—遵循并自动实行最佳实践

优点与作用：

• 涉及经营需求的各个方面，简单实用的方式测定差异；

• 测量治理发展程度的方法，各个成熟度的典型模式，有助于组织,对照惯例和最佳实践，发现和解释缺陷与不足,关注关键的管理方面,确定组织发展目标。

12、逻辑访问控制中的识别技术有哪些？

身份识别与验证

–“只有你知道的事情”——账号与口令

•账号的控制

•口令的控制

–“只有你拥有的东西”——令牌设备

•发送许可权的特殊消息或一次性口令的设备

–“只有你具有的特征”——生物测定技术与行为测定技术

•指纹、虹膜等

•签名等

论述题

1、信息系统审计审计目标

一般审计目标

（1）保护资产的完整性/安全性。信息系统资产包括硬件、软件、人力资源、数据文件及系统文档（文件）等。所以，保护信息系统资产的完整性成为许多组织要达到的一个重要目标，也是信息系统审计所追求的目标之一。

（2）保证数据的准确性。有效防止数据的输入、输出错误，以及非授权状态下修改信息所造成的无效操作和错误后果。

（3）提高系统的有效性。信息系统获得预期的目标

（4）提高系统的效率性。信息系统以尽可能少的资源消耗达到预期目标。系统资源主要包括机器时间、设备、系统软件、劳动力等。

（5）保证系统的合法性、合规性。信息系统及其运用必须遵守有关法律、法规和规章制度。

2、IT治理的方法？(P41)

1.积极进行治理设计

2.选择正确的时间进行IT治理设计

3.高层经理人员的参与

4.对目标有所取舍

5.制定例外处理流程

6.提供相应的激励

7.在组织的多个层面设计治理

8.加强透明度和教育

9.运用相同的机制治理多个关键资产

3、信息系统面临互联网的风险及其控制技术？(P73)

来自互联网上的安全威胁主要分为主动攻击和被动攻击

–被动攻击：监听

–主动攻击：

• 中断

• 篡改

• 伪造

互联网攻击的主要表现形式：非授权访问。

恶意攻击者一般同时采取两种方式。

4、结合信息系统分析与设计如何考虑应用控制

输入控制、处理控制、输出控制

5、论述信息系统开发过程中的风险及其控制技术？

试论油田企业审计信息系统的构建篇6

摘要：信息系统控制已经步入企业的内部审计实际活动中。审计信息系统控制有效运行对提高审计工作的效率和效果起到举足轻重的作用。审计的本质是一个经济信息系统。对这个经济信息系统各个要素进行分析并综合，有效进行信息系统控制，是在当前复杂形势下完成审计工作的要务。将信息技术转化为审计能力，包括决策指挥的能力、发现错弊的能力和把握宏观的能力的提升，构建油田企业审计信息系统应当收集梳理大量相关的审计信息资源。

关键词：信息控制论；信息化审计实践运用；审计信息库建设

一、信息的概念及审计信息控制论的基本思想

（一）信息的概念

信息是关于客观事实的可通讯的知识。首先，信息是客观世界各种事物的变化和特征的反映。如油田企业的产量数据、各种生产报表等；其次，信息是可以通讯的，因此大量的信息需要通过传输工具获得；最后，信息形成知识。

信息按其重要性分为战略信息、战术信息和作业信息。

战略信息是关系到全局和重大问题决策的信息，它涉及到上层决策管理部门要达到的目标如产品投产和停产、开拓新市场等。战术信息是管理层控制的信息，是管理人员掌握资源利用情况，并将其实际结果与计划相比较，从而了解是否达到预期目的，如月计划与完成情况相比较的信息、库存信息等。作业信息是用来解决经常性的事务问题的，它与组织日常活动有关，并用以保证切实地完成具体任务。例如，每天统计的产量与质量数据、打印工资单等。

（二）审计信息控制论的基本思想

审计的本质是一个经济信息系统。传统审计的思维方式是：“部分→整体”。传统审计总是先分析对象的各个部分，然后再综合为整体。系统审计是指在系统科学和信息技术支持下的审计理论方法。系统审计思维方法不同于传统审计之处在于它的思维方式是：整体→部分，其程序是：综合→分析→综合。它不仅着眼于个别要素的优劣，而且利用了要素之间的相互关系，观察和判断系统整体的性能。系统审计方法正是在要素之间相互作用的关系中进行分析和综合，从而能正确地认识审计对象的整体性能。

二、信息化审计在油田企业审计实践中的运用

目前信息系统审计在审计工作实践中已进行了探索、尝试，对系统审计的方法、内容也有了一定的认识，但尚未形成系统的理论与规范的操作程序。笔者认为内部审计信息系统控制要达到促进审计质量和审计效率提高的目的，将信息技术转化为审计能力，包括决策指挥的能力、发现错弊的能力和把握宏观的能力的提升，具体可以从下面几个方面去加以建设和管理。

（一）加大事前信息控制力度，做到有的放矢。

加大事前控制就是要搞好审前调查工作，是审计质量控制的前提。审前调查是确定审计工作重点内容、审计范围、选择审计方法和步骤、制定审计实施方案的必备环节，是审计质量的事前信息控制。

审前调查是编制好审计方案的基础。在实际工作中往往存在三个突出的问题：一是有部分审计人员不搞审前调查，特别是对常规审计或者多次审计过的单位和项目，忽视审计对象总是处在变化之中；二是有调查但不深入，只了解一些人员、机构等的基本情况，而具体到资金来自哪些渠道，资金如何安排，管理方式内控要求，重大开支和特殊开支等情况，了解掌握的信息不够，导致审计方案简单、流于形式、重点不突出、针对性较差。高质量的审计方案的编制离不开审计信息的支撑。收集和掌握被审单位的审计信息是编制好的审计方案，实现审计项目质量高的前提。

（二）采用预警技术和抽样技术，注重持续审计和持续监控。

持续审计和持续监控分别是内部审计或管理层在一个固定时段内，经常或持续用来监控信息技术系统、交易和控制措施的自动反馈机制。中石化审计局开发的审计预警审计抽样系统按照重要性、业务发生频率、固定样本量进行审计抽样，抽样技术在审计工作中得到运用。笔者在一次内控审计中运用了抽样审计的方法对销售和采购流程实施审计程序，大大提高了审计效率。可以直接穿透到销售和采购订单。整个业务流程很明晰、直接可以查找到具体业务经办人员。采用预警技术能够更有效地分析风险数据。这个机制有助发现异常、例外、不一致和其他因素，以便更有效地集中审计资源。持续监管可向管理层提供近似实时的关键绩效指标信息，洞察事态发展的内涵，从而提高管理层管理风险，把握机会的能力。

（三）推进审计质量控制的信息化管理。

审计信息化建设和发展不仅仅是信息和网络技术在审计工作中运用的问题，更重要的是审计管理思想和观念的转变。中原油田内部审计宗旨是服务于油田更好更快经营发展的。油田的经营发展，是一个复杂而庞大的体系，众多方面的环节必然产生大量的相关信息，中原油田采取了先进的管理技术和手段。构建了一个纵横交错的项目组织管理架构。作为油田内部审计一线的审计人员意识到若继续以传统的审计来运作，将无法有效管理和规范这样一个审计人员众多、审计对象分散的审计项目，也难以形成一个协调、快捷、沟通的团队；信息化思维方式形成于信息化审计环境，也是创新计算机审计方法的基础。尽快摆脱以审计单位电子数据为主的传统审计方法，转变为以信息化系统化的审计方法。

三、建立油田企业审计信息资源库

长期的审计实践认为，建立一套油田审计内部的信息资源系统能提高审计人员的战略意识和系统意识。早在90年代初，油田管理部門设立政策研究室，研究油田企业的相关政策环境和制定油田的发展规划。审计部门是综合管理部门，建立审计信息的系统工程是未来发展的趋势。通过信息的分析加工，可以及时调整审计方向，把管理与国家、总部政策、以及企业的实际相结合。审计部门应当每半年梳理各部门、单位负责管理的内外部信息，对审计工作的宏观战略的提升必不可缺。下面就油田企业审计部门应收集梳理的信息列式如下，不同的油田企业或许有不同的管理模式和特点，但基本的信息应包含但不限于下列战略信息、战术信息和作业信息信息：

1、财务相关信息：预算资料信息：油气生产单位的经济活动分析。其他直接成本费用信息。

2、计划信息：油田建设项目前期工作计划项目建议书。

3、物资采购信息：物资需求计划信息。下一年度的物资采购策略。统计部门提供产量、销售、库存、石油工程工作量等统计数据。

4、勘探开发信息：油田勘探开发投资建议计划

5、合同信息：合同管理台账

上述审计信息的收集整理需要油田相关部门的配合，也需要有专门的审计人员完成信息的梳理建库工作。充分利用信息网络技术及时收集上述审计信息。油田企业审计信息系统构建的关键要素是信息网络系统建设、信息资源库建设、信息化人才建设三大方面。审计信息化建设需要我们在审计实践中不断的运用和发展完善。

参考文献：

[1] 信息化建设中信息系统审计问题研究，作者：程朝东北师范大学

审计信息系统联网审计模式浅析篇7

一、网络审计信息系统的体系结构

通过网络进行审计的网络审计信息系统是审计中心通过网络获得被审计单位的会计信息并进行审计。审计人员就不必亲自到审计单位, 这样便可以降低审计成本并且使审计人员更好的保持独立性。网络审计系统的体系结构如图1所示。

上述模式的系统由三个部分组成:审计中心 (服务器) 、被审计单位 (客户机) 、和网络环境。客户中心在服务器端配备有大容量的存储器。被审计单位会计信息系统的所有会计信息都实时的传输到审计中心, 由审计中心统一保存, 审计中心随时对保存在本地的审计信息进行审计。由于被审计单位的所有会计信息都在审计中心, 被审计系统可以不设数据库, 有关数据库的操作都可以请求服务器来完成, 但这样可能导致服务器不堪重负, 因此被审系统最好自设数据库, 保留本端数据, 相当于做一个备份。在这种模式下, 审计中心进行审计时不需通知被审系统, 更进一步提高了会计信息审计的真实性和审计的可靠性。

二、利用网络和审计信息系统进行远程审计的步骤

第一, 数据采集。数据采集是网络审计中的一个初始环节, 是审计测试和审计抽样的数据来源的根本渠道。此环节通过以审计信息系统和被审单位的财务信息系统的对接使将被审计单位的财务数据按照通过已加密的传输通道从被审计单位的财务信息系统的接口中导入到审计部门的数据系统中从而实现数据采集。数据从被审计单位的财务信息系统转换到审计单位审计信息系统并不改变它的内容, 只是从形式上改变它在被审软件系统中的识别标志, 从而可以按照审计信息系统要求的标志为审计信息系统所识别。数据采集是网络审计系统工作的基础, 对于企业通常只需要导入科目表, 起初余额表, 凭证库表就可以生成相应的会计明细账、总账、各种报表等信息。还可将原始数据加入到相应的数据库, 以备核查和其他功能模块共享。第二, 数据整理、转换。数据清理对从被审计单位采集来的数据进行分析, 查找审计对象潜在的问题、疑点和异常情况, 并得出初步意见。主要涉及到数据的匹配与合并。通过匹配, 发现重复的对象;通过合并, 保留或生成一个完整的对象。数据清理活动的核心是近似重复对象的识别。如果两条记录在某些字段上的值相等或足够相似, 则认为这两条记录互为近似重复。我们把从被审计单位数据到审计中间表数据之间所需要的各种操作均刻画为转换操作, 在审计数据的转换过程中, 一个转换将源对象利用一种转换规则转换成一组目标对象。源对象和目标对象都是数据对象集合的元素。数据对象集中的元素能够是任何类型的数据元素, 但是典型的是表、列或表示在内存中暂存对象的模型元素。通常, 转换也可以产生一系列的临时数据。那些必须一起执行的转换被归类到相应的转换任务中。在执行时, 转换步骤是用来协调转换任务之间执行情况的控制流。每个转换步骤执行单一的转换任务, 这种转换任务既可以是从源对象利用一种转换规则转换成一组目标对象, 又可以是源对象经过多种转换规则转换成一组目标对象。第三, 数据处理。对预处理后的财务电子数据采用查询、统计、抽样、汇总、计算等技术进行分析处理。第四, 符合性测试。进行符合性测试工作按照计划安排, 依照审计程序, 对所审计对象进行符合性测试, 主要通过填表或回答问题方式完成调查表, 通过程序进行统计, 分析出符合性测试结果。第五, 实质性测试。在已做好符合性测试的基础上进行实质性测试。审计程序会自动形成各科目固定格式的审定表, 审计人员要进一步套用模板, 形成诸如现金盘点、固定资产折旧、应付福利费等的计算表。第六, 将分析和测试后的数据归档存入审计工作底稿。

三、审计信息系统进行网络审计的局限性及解决建议

1、统一会计软件数据接口标准

开发会计核算软件的厂商为了长期拥有自己的固定的用户和保证会计核算软件的安全, 对财务信息系统的数据存储格式保密, 以至该软件所含的信息不能被其他厂商调用, 从而使财务数据人为割裂, 形成数据孤岛。这些孤岛易守难攻, 大大增加了实施审计工作的难度。财务软件数据接口成为了制约审计信息系统开发使用的“瓶颈”。这个“瓶颈”就使每次审计都需要寻找不同的数据转换软件, 严重降低了审计工作效率, 也使得利用网络和审计。信息系统进行联网审计的使用范围大大缩小 (见图2) 。

统一会计软件数据接口标准可以使在审计中可以使用审计软件利用网络对各种财务信息系统的财务数据获取成为可能。有了统一的接口标准。首先, 审计软件可以向财务软件采集数据, 解决了原来财务数据不兼容而不能直接调用的问题, 而利用网络开发的网络审计信息系统就有了更广阔的空间。审计工作也将会更好地发挥其职能;其次, 可以充分利用现有的审计资源在各个审计机关之间形成一个有效的信息共享链, 许多集体和个人开发出来的经过实践证明行之有效的计算机审计小模块或计算机应用小技巧都可以在整个审计系统内共享, 避免审计资源的浪费以及重复建设, 可优化整合审计资源, 实现审计信息的有效共享。《中国财务软件数据接口标准》对审计应用软件的设计和开发方面将有巨大的推进作用。使审计信息系统联合网络进行网络审计在不久的将来将被广泛运用。它有利于审计软件的标准化、产品化, 缩短软件开发周期, 提高开发效率, 降低计算机审计工作的复杂度。

2、网络安全技术

首先, 应加强物理安全控制, 即参与系统开发和财务软件评审工作。财务软件开发时应全面考虑审计程序的嵌入, 建立一个独立的模块作为审计软件系统的“前置”来专门处理电子信息。即由前置模块来完成对输入电子信息的接收、真伪鉴别、解密、模式转换;针对发出的信息由它加密 (将标准数据模式生成电子报文并加密) 和发送。这样一来, 被审计单位的计算机网络就可以对经济业务进行实时监控, 自动完成部分审计任务。审计人员参与审计信息系统开发和财务软件审计有利于将错误扼杀在萌芽阶段。

其次, 加大逻辑安全控制, 即重点审查系统的安全控制。审计人员要着重对系统的职责分离情况、操作权限设置进行审查, 防止越权操作和计算机舞弊行为的发生, 检查被审单位的系统安全管理体制和安全保密技术, 是否设置外部访问区域, 是否建立防火墙和实时监控程序。

再次, 做好审计信息系统防病毒工作。使用计算机病毒的疫苗程序, 监督系统运行防止病毒入侵。及时升级杀毒软件。及时修补操作系统和审计信息系统的漏洞做好防病毒准备。

最后, 做好总体环境控制, 审计人员可以实施网络咨询和电子商务签证服务。可就如何选购财务软件, 如何实施有效的系统安全控制和如何改进现有的财务管理模式提供咨询服务, 并按照标准对网上商业活动的完整性、真实性和可靠性进行全面签证。

3、加强网络审计立法, 制定相关法规准则

网络审计立法是保障网络审计正常发展的保障。加强网络审计有关的立法, 使审计执业人员在开展网络审计工作时尤其是进行电子证据、电子签名、电子合同、电子货币等合法性审计时有法可依、有章可循。同时, 由于网络审计的对象、线索、方法、流程、结果等各方面相对于传统审计都发生了变化, 所以加快建立一套网络审计准则是促进网络审计的重要任务, 加强网络审计立法以指导网络审计工作实践的深入。

利用审计信息系统和网络进行审计虽然有很多的优点, 但我们也应该认识到联网审计并不能完全取代实地审计的全部。我们应该坚持网络审计和实地审计相结合。一些必须进行实地审计的工作是不能够完全被网络审计所取代的, 如取证材料的认可、现场查看, 实地盘点、询问和调查函证等, 所以网络的远程审计还必须和其他的审计方法相结合。

参考文献

[1]王学荣、张金城:网络环境下的实时自动化审计系统[J].审计与经济研究, 2001 (2) .

[2]中国软件协会财务与企业管理分会:中国财务软件数据接口标准[J].中国会计电算化, 1999 (4) .

指挥信息系统的持续改进模式篇8

指挥信息系统是以计算机网络为核心, 由指挥控制、情报、通信、信息对抗、综合保障等分系统组成, 可对作战信息进行实时地获取、传输、处理, 用于保障各级指挥机构对所属部队和武器实施科学高效指挥控制的军事信息系统。从国内外指挥信息系统的发展建设来看, 指挥信息系统的建设不是一次性行为, 而是一个持续性的过程。指挥信息系统的交付也不是终点, 而是发展的另一个起点。以美海军全球指挥信息系统 (GCCS-M) 为例, 从90年代交付部队形成能力到20世纪初, 经历了若干个版本的变迁以及两次增量研发, 目前仍在持续改进过程中。因此, 如何对交付后的指挥信息系统进行持续改进, 构建良好的持续改进模式, 是指挥信息系统发展所面临的现实问题。

1 持续改进模式

概括而言, 指挥信息系统的持续改进涉及两方面的工作, 一是解决现有系统存在的问题和不足, 二是满足不断变化的军事需求/作战使用需求。针对这两方面的工作, 指挥信息系统持续改进的模式有两种:

(1) 一种是针对系统的问题和需求进行持续维护升级, 解决系统遗留缺陷、增加系统易用性、提高系统性能、增加对变化环境的适应性, 从而逐步提高现役指挥信息系统的综合作战效能, 本文称之为“维护式持续改进”。美军和我军都采用了这种持续改进模式。

(2) 一种是针对系统的短板和需求进行若干个增量项目研制, 这些项目可能针对系统全部, 也可能是针对性地加强某方面的能力, 本文称之为“增量式持续改进”。实际上, 增量式持续改进非常有必要, 它可以在不影响系统使用下, 以经济的成本和高费效比来增强系统的功能性能, 适当地延长系统的使用寿命, 同时为顺利地过渡到下一代系统/新系统奠定基础。这种持续改进模式美军用的比较普遍, 在美国国防部2008年12月发布的5000.2防务采办文件中提到将继续推行增量式渐进采办策略, 每次增量是一种军事上有用的、可保障的作战能力, 可以开发、生产、部署和保持这种能力, 每次增量将具有由用户设置的一组门限值和目标值。批次升级、预先计划的产品改进等类似工作都将作为独立的增量进行管理。以美海军全球指挥控制系统 (GCCS-M) 为例, 遵循该转型采办策略, 结合军事需求的发展, 开展了两个增量研制, 增量1和增量2, 增量1主要是改进通用战术图, 扩展作战任务计划支持功能、扩展情报支持功能等, 增量2主要是确保与其他GCCS成员同步和协同作战的能力。需求以增量形式提出, 不连续的增量能力被开发、测试并发布, 以获得逐步提高的战斗力。

2 持续改进模型

为有效实现指挥信息系统的持续改进, 首先应建立长效的持续改进机制和持续改进模型。既要建立指挥信息系统交付部队后生命周期内的持续改进维护升级机制, 也要建立针对指挥信息系统短板和新增需求开展相应增量系统研制的渐进采办机制。前者属于系统维护范畴, 后者属于装备采办策略范畴, 通过规划若干增量系统研制, 实现系统短板的消除或新增需求的落实, 达到系统功能的逐步演进, 系统能力阶梯式提升。

结合指挥信息系统以上两种持续改进模式, 构建指挥信息系统持续改进模型, 如图1所示。

图中, “系统运维管理规定”指的不是具体的某一个管理规定, 而是指系列相关管理规定, 既包括顶层的原则性规定, 也包括具体的实施细则;涵盖维护管理机构的建立、维护信息的收集与评价、维护申请与审批、维护计划、维护实施、现场升级等活动内容。针对具体的指挥信息系统, 可以制定适合于该指挥信息系统的运维管理规定。

“系统研制管理规定”指的也不是具体的某一个管理规定, 而是指系列相关管理规定, 既包括顶层的原则性规定, 也包括具体的实施细则;涵盖立项、研制、试验、定型、生产等活动内容。针对具体的指挥信息系统, 可以制定适合于该指挥信息系统的研制管理规定。

“系统发展规划”指的是我军对指挥信息系统的总体规划, 既包括整个体系的规划, 如发展路线图、十年规划、五年规划等, 也包括针对某个具体指挥信息系统的发展规划, 如对系统的增量发展规划。

“系统研制管理规定”和“系统运维管理规定”是指挥信息系统持续改进的核心和支撑。这两者结合起来, 覆盖系统整个生命周期活动的管理。

图中, 在“系统运维管理规定”的支撑下, 通过对指挥信息系统运行过程中产生的问题和新需求进行鉴别与分类, 根据一定的原则进行分析, 确定其处理方式, 例如, 对于影响系统正常使用的缺陷, 以及用户提出的应用性建议、性能改进建议、环境变化需求, 能够通过系统维护来实现的, 就进入维护式持续改进渠道, 对问题和需求进行分析、设计、编码、测试、验收, 最后升级部署至部队现场;对于短期内难以解决的, 可根据需要纳入相应的增量系统研制中, 进入增量式持续改进渠道;增量系统既可以在系统规划初期就规划好, 也可以根据系统运行情况以及军方对信息系统的周期评估结果增加或调整, 增量系统研制应遵循系统研制管理规定;对于经过分析费效比不合理, 新增需求远远超出原系统及其增量系统研制范畴的, 可考虑将此类需求纳入下一代系统/新系统的研制。其实, 从某种意义上来说, 下一代系统/新系统的研制也是对原有系统的持续改进。

3 结束语

指挥信息系统涵盖多个学科专业技术领域和计算机信息处理技术, 涉及业务范围广, 系统接入信源和输出端口多, 业务流程、数据流程和操作流程多样, 系统架构及运行部署复杂, 网络化和分布式特征突出, 在规模上和复杂度上达到系统前所未有的水平。指挥信息系统对作战任务的完成起着重要的作用, 其持续改进发展也是任重而道远。只有多手段、多方式、系统地、规范地对指挥信息系统进行持续改进, 才能逐步消除指挥信息系统中遗留的缺陷, 提高系统的稳定性、可靠性、易用性和适用性, 才能满足新军事变革时代不断变化的军事需求和作战使用需求, 并使系统随着整个信息技术、装备体系和作战体系的发展不断提高其综合作战能力和作战效能。持续改进是提高指挥信息系统整体效能的有效手段。

参考文献

[1]全军军事术语管理委员会.军事科学院.中国人民解放军军语[M].北京:军事科学出版社, 2011.

[2]Deportment of Defense.Defense Acquisiton Management, Major Automated Information System Annual Report, Global Command and Control System-Maritime Increment 2.2010, 3.

[3]张宝珍邢晨光.美国国防部发布新版5000.2防务采办文件2008版[EB/OL]. (2012-4-16) .[2014-01-25].http://m.doc.com/p-076410547476.html/.

会计信息系统舞弊审计探讨篇9

从会计信息系统的通用模型可以看出, 其四大处理阶段———数据采集、数据处理、数据库管理和信息生成, 都是舞弊的高风险领域。

(一) 数据采集阶段

数据采集是会计信息系统的第一个阶段。在很多方面, 数据采集都是系统最重要的阶段, 保证了进入系统的数据有效、完整且没有重大错误。数据采集模块的设计原则是相关性和效率。会计信息系统应该只获取那些相关的数据, 系统设计员通过分析用户的具体需求来定义哪些信息是相关的, 哪些是无关的。只有最终对信息生成有帮助的数据才是相关的。会计信息系统应该能够在数据采集阶段就过滤掉无关信息。有效率的数据采集是指避免重复采集相同信息。数据的多次采集会导致数据冗余和不一致。会计信息系统的采集、处理和存储数据能力是有限的, 数据冗余会使得设备超负荷运转而降低系统的整体效率, 最直接的表现是系统运行速度缓慢。会计信息系统中最简单的舞弊方法大都集中在数据采集阶段。这是传统的交易舞弊在IT环境中的等价形式。舞弊者只需了解系统如何输入数据即可。舞弊行为之一是伪造数据 (删除、修改或增加一项交易) 。如舞弊者在录入时, 插入一条虚假的工资交易, 或者增加工时字段的录入值, 系统将为舞弊者增加工资支票的金额。舞弊行为之二清偿一项虚假的负债。通过输入虚假的支付凭证 (如采购订单、验收报告或供应商发票等) , 舞弊者可以欺骗系统为不存在的交易创建应付账款记录。一旦应付记录建成, 系统将认为该交易合法并且在到期日打印支票, 按正常交易流程付款。分布式数据采集和网络传输使得地理位置相距甚远的关联公司间越来越多地遭遇舞弊, 如冒充、偷窥、跟踪和黑客等。冒充是指舞弊者通过伪装成授权用户从远程终端获得了会计信息系统的访问许可权。这通常首先需要事先获得授权访问用户名和密码。舞弊者还可搭线接入通讯线路并侵入一个已经登录进系统的授权用户账户。一旦舞弊者进入系统, 就和其他合法授权用户一样进行各种操作。现阶段黑客的主要目的已由原来的炫耀技能转变为偷窃、倒卖公司信息, 或者恶意制造破坏, 迫使公司高薪聘请他们修复和维护。

(二) 数据处理阶段

数据采集完成后, 经过处理才能生成直接可用的会计信息。数据处理阶段的任务包括用于生产日程安排应用程序的数学算法 (如线性编程模型) 、销售预测的统计技术、账务处理程序中的过账及汇总等。数据处理阶段的舞弊分为两种:操作舞弊和程序舞弊。操作舞弊是指滥用或偷窃公司的会计信息系统资源, 包括利用公司IT资源做私活。程序舞弊主要是指创建非法程序访问数据库文件、更改和删除会计记录, 或在会计记录中插入数值, 或用计算机病毒破坏程序的处理逻辑, 使数据处理异常。萨拉米舞弊是著名的程序舞弊。由于银行财务报告要求的数据精度低于数据库中实际存储的数据精度, 用来计算客户存款利息的程序必须具备取整功能。利息计算程序中的一个复杂的例行程序是清除舍入错误, 以使银行负担的利息总额等于各储户贷方的总额。程序暂时将每次计算的小数部分保存在一个内部存储累加器中。当累加器中的数值达到正或负的一分钱时, 这一分钱才被记入储户账户。舞弊者通过修改程序处理逻辑, 使得正一分钱不是随机地加入某储户账户, 而是加入舞弊者账户, 但负的一分钱仍然如实地从储户账户中扣除。虽然每次只加一分钱, 但由于银行交易量的巨大, 这种萨拉米舞弊可以汇集一笔可观的存款, 而且会计记录还能保持平衡。

(三) 数据库管理阶段

公司数据库是其财务和非财务信息的集中储藏室。数据库管理舞弊包括: (1) 更新、删除、乱序、毁坏或偷窃公司的数据。访问数据文件是这种舞弊的基本要件, 因此数据库管理舞弊常常与交易舞弊和程序舞弊相结合, 最常见的舞弊手段是从远程地址访问数据库, 在数据文件中浏览、拷贝并出卖数据。 (2) 心怀不满的雇员的报复性破坏公司的数据文件。 (3) 逻辑炸弹———编程人员在程序中插入破坏性例行程序, 在某特定条件满足时, 逻辑炸弹爆炸———删除重要数据、破坏系统等。例如, 某一工资程序中的逻辑炸弹是每天检查雇员名单, 如果没有找到特定雇员的记录 (如该雇员被解聘) , 则启动炸弹, 删除或恶意篡改相关数据表文件。

(四) 信息生成阶段

信息生成是为用户编译、格式化和表达直接可用信息的过程。信息可以是一个操作性的文件、结构化的报告或者计算机屏幕上的一条消息。有用信息在逻辑上具有如下特点:相关性、及时性、准确性、完整性和总括性。信息生成阶段最常见的舞弊形式是偷窃、误导或滥用计算机输出信息。实务中最常见的舞弊手段是垃圾寻宝, 即舞弊者在计算机输出终端附近的垃圾箱中寻找有用信息。另一种舞弊手段称为侦听, 即在通讯线路上监听输出信息。IT技术很容易使舞弊者窃听到正在通过的不受保护的电话线路和微波信道传送的信息。多数专家认为, 在操作上防止一个决意进入数据交换信道的舞弊者是不可能的, 但是数据加密可以使侦听者不能理解信息, 从而达不到舞弊目标。

二、会计信息系统舞弊审计

由于需要伪造会计记录, 许多舞弊方式在会计信息系统中都会留下审计线索。审计人员首先开发一个舞弊特征图, 用以刻画在某一特定类型舞弊中人们期望找到的数据特征, 然后采用各种数据获取和分析工具 (如ACL软件) 来收集和分析数据, 找到审计证据, 形成审计结论。以下仅详细说明向虚构供应商付款、工资舞弊和循环挪用应收款项各自对应的IT审计程序。

(一) 向虚构供应商付款

采购职能对于很多公司而言是一个重大的风险领域, 其常见舞弊方式之一是向虚构的供应商付款。采用这种方式的舞弊者首先要捏造一个供应商, 并在受害公司的记录中为其建立合法的供应商身份。然后舞弊者提交来自虚构供应商的发票, 并由受害公司的应付账款系统处理。由于存在组织结构和内部控制系统, 这种舞弊通常需要两个或两个以上雇员共谋。常见的审计程序分为以下几种情况: (1) 连续发票号码。既然受害公司是发票的唯一收受人, 虚构的供应商发出的发票应该是连续编号的。用ACL软件以发票号码和供应商代码为关键字对发票文件中的记录进行分类, 输出发票号码连续的发票清单, 以备进一步分析和检查。 (2) 有邮政信箱的供应商。伪造的供应商可能没有实际住址, 舞弊者会租用一个邮政信箱来收款。审计人员使用ACL的表达式生成器, 创建一个过滤器, 以便从发票文件中选取那些只有邮政信箱地址的供应商。 (3) 有雇员地址的供应商。舞弊者有时不租用邮政信箱, 而在发票上填列家庭住址。审计人员通过ACL软件的连接功能来连接雇员和发票两个文件, 并以住址字段作为二者的通用关键字, 使得只有供应商住址等与某雇员住址的记录才能输出到合并后的结果文件中。 (4) 多家公司拥有同一地址。为了避免与同一供应商进行过多交易而引起警觉, 舞弊者可能伪造多家共享同一邮件地址的供应商。此时可用ACL软件的重复性检查功能来生成一份由两个或两个以上供应商共享同一地址的供应商列表。 (5) 发票面值略低于检查临界值。许多公司为了控制支出, 建立了一个重要性临界金额。所有超过该临界金额的支票都要经过复查和签名。有鉴于此, 舞弊者会伪造刚好略低于临界金额的付款, 使得其既可谋取最大利益, 又能逃避审查。与此对应的审计程序是用ACL软件的表达式生成器来创建位于临界金额左右的值域, 如合计金额介于临界金额-100和临界金额之间的发票, 然后再综合另外四种审计程序全面检查。

(二) 工资舞弊

常见的工资舞弊有两种:雇员工资的超额支付和对不存在的雇员支付工资。第一种方式通常涉及夸大工时和/或重复发放工资。第二种方式包括向工资系统中加入虚假的雇员, 随后冒领该雇员的工资, 这种舞弊的变种之一是在工资名册上保留已离职雇员。 (1) 超额工时。什么是超额取决于各公司的政策和具体薪酬条款, 审计人员首先应获得关于工时及薪酬的详细内部标准, 然后使用ACL的表达式生成器功能, 筛选出具有超额工时的工资名单。如果超时现象相当普遍, 那么可选取周工时大于50小时的记录, 以生成舞弊嫌疑名单。 (2) 重复支付。使用ACL的重复性检查功能, 按雇员编码查找工资支付记录, 如存在以下情况之一者, 可视为重大舞弊嫌疑:相同雇员号码、相同姓名、相同账户;相同姓名, 不同账户;不同姓名, 相同账户;不同姓名, 不同账户, 但相同家庭住址等联系信息。 (3) 不存在的雇员。在ACL软件中, 连接工资支付文件和雇员文件, 选择雇员号码为共同属性, 使连接后的输出文件中仅包含在雇员文件中不存在的雇员的工资支付记录, 审计人员应就输出信息向工资部门追问支付原因。

(三) 循环挪用应收款项

循环挪用应收款项是指将从第一家客户收到的支票存入自己账户, 在以后的会计期中, 再把从第二家客户收到的款项挪到第一家客户账户中, 以此隐蔽其对第一家客户收款的挪用行为。因为公司的具体信用条款、会计信息系统的选型, 以及应收款管理相关模块的参数详细设置各不相同, 所以实际公司数据中的唯一的舞弊证据是应收款项的收到和记录的时间差, 舞弊特征极不明显, 给审计带来很大困难。开放发票法通常用于管理 (商业) 企业的应收账款。发票文件中各条记录相互独立, 从客户处取得的支票一般是对特定发票的支付。发票文件中的发票金额字段值在开票时填入, 而结账日期字段值在收到全部款项时才填入, 汇款额字段反映从客户处实际收到的付款金额。既然客户与供应商之间良好的信用关系很重要, 那么正常情况下的付款应该是准时且全额的, 部分付款很可能就存在应收款项的循环挪用。未付款的发票称为开放发票。例如, ZYZ公司收到客户A寄来的一张117万元的支票, 以全额支付其记录在发票文件中的一笔117万元的采购业务。ZYZ公司的舞弊者收款后占为己有, 挪作他用, 而未结清该发票, 则该117万元的发票仍为开放状态。在后续的会计期中, ZYZ公司收到客户B汇出一张200万元的的支票对另一张开放发票进行全额支付。挪用者将其中的117万元记入客户A账户, 结清该账户 (即关闭上述117万元的发票) , 余下的83万元清偿客户B的开放发票金额中的一部分。由于客户B的发票金额中还有部分未结清, 因此客户B的发票仍为开放状态。循环挪用是一种必须要舞弊者主动连续实施的舞弊手段, 因此舞弊特征随着时间的推移能得到最佳观测。这种向下结转的特点为审计人员提供了绘制舞弊特征图的基础。如果公司遵循恰当的文件备份程序, 发票文件在各个会计期内经常备份, 则可生成发票文件的不同版本, 把这些不同版本的发票文件收集在一起纵向比较其中的开放发票记录, 就反映出从各会计期结转的发票额。如果审计师怀疑存在循环挪用, 可采用以下的实质性测试程序:用ACL软件的表达式生成器从各版本的发票文件中选取部分结清的发票记录;将得到的结转文件合并到一个单独反映整个会计期活动的文件中;创建一个计算字段来计算结转的额度 (发票额-汇款额) ;用重复性检查命令, 查找结转额度相等的支付记录, 循环挪用款项就会浮出水面。

企业级会计信息系统中的舞弊存在三种主要形式:向虚构供应商付款、工资舞弊及循环挪用应收款项。这三种舞弊在数据采集、数据处理、数据库管理和信息生成四大处理阶段都各具特点, 由此形成了各自对应的、基于ACL软件的特色IT审计程序, 在实务中取得了较好的成效, 从而有效地降低了财务报告重大错报的风险, 提高了企业信息的可靠性和可用性。

参考文献

[1]王海林:《IT环境下企业内部控制探讨》, 《会计研究》2008年第11期。

[2] (美) 詹姆斯·A·霍尔 (James.A.Hall) 著, 李丹、刘济平译:《信息系统审计与鉴证》, 中信出版社2003年版。

企业信息系统审计实施研究篇10

一、组织信息系统审计概述

(一)信息系统审计定义

信息系统审计(Information System Audit,ISA)是目前常常提到的概念,一般理解为对计算机系统的审计,信息系统审计的国际权威组织——国际信息系统审计和控制协会给信息系统审计作了如下定义:信息系统审计是收集和评估证据,以确定信息系统与相关资源能否适当地保护资产、维护数据完整、提供相关和可靠的信息、有效完成组织目标、高效率地利用资源并且存在有效的内部控制,以确保满足业务、运作和控制目标,在发生非期望事件的情况下,能够及时地阻止、检测或更正的过程。信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及高效地利用组织的资源并有效地实现组织目标的过程。对信息系统合法性、可靠性、安全性、有效性和效率性进行审计,对被审计单位的信息系统做出科学、合理的评价。

信息技术在社会生产各个领域的广泛应用,也使得审计理论界与实务界出现了一系列相关术语。(1)计算机审计,国内学术界对计算机的叫法多种多样,例如信息系统审计、审计信息化、EDP审计等等;有的文献认为计算机审计包括:对计算机管理的数据进行检查;对管理数据的计算机进行检查。根据国内对“计算机审计”一词的使用情况,可以把计算机审计的含义总结如下:计算机审计是与传统审计相对称的概念,它是随着计算机技术的发展而产生的一种新的审计方式,其内容包括利用计算机进行审计和对计算机系统进行审计。由此可见,计算机审计的内涵和IT审计的内涵相似。(2)电子数据审计,电子数据审计是目前审计实务界使用较多的一个术语,对于电子数据审计,目前还没有给出明确的定义,根据目前对该术语的使用情况,电子数据审计一般可以理解为“对被审计单位信息系统中的电子数据进行采集、预处理以及分析,从而发现审计线索,获得审计证据的过程。”(3)电子数据处理审计,电子数据处理(Electronic Data Processing,EDP)审计和电子数据审计是两个不同的概念,电子数据处理审计是信息系统审计的初级阶段,它是指对计算机信息处理系统的开发及其软件、硬件和运行环境进行测试,并评价计算机信息系统数据处理是否准确、真实、安全、可靠、高效,满足企业经营管理的需要。对于电子数据审计和电子数据处理审计这两个不同的概念,在实际应用中,一定要加以区分。(4)持续审计,持续审计(Continuous Audit,CA)是指在相关事件发生的同时,或之后相当短的时间内产生审计结果的一种审计行为。持续审计是同传统期间审计相对应的概念,其本质是审计方法的创新,它强调审计过程的持续性、审计实施的即时性和审计活动的整合性,并且基于例外审计和战略系统审计的理念,要求审计师运用“自上而下”和“自下而上”相结合的手段,对审计对象做出合理的专业判断。(5)计算机辅助审计,如同CAM(Computer-aided Manufacturing,计算机辅助制造)、CAD(Computer-aided Design,计算机辅助设计)等概念一样,计算机在审计领域中的辅助应用被称为计算机辅助审计。中国国家审计署把计算机辅助审计理解为:“计算机辅助审计,是指审计机关、审计人员将计算机作为辅助审计的工具,对被审计单位财政、财务收支及其计算机应用系统实施的审计”。

(二)信息系统审计规范

国际内部审计协会(IIA)制定了基于风险的ITGC范围评估指南(GAIT)与全球技术审计指南(GTAG),GAIT是一套原则和方法,用于帮助评价组织信息系统控制的成本收益以及效率效果。通过制定GAIT,IIA一方面帮助组织识别信息系统控制中的关键因素,避免财务数据错弊的发生;另一方面指导管理层和内部审计师识别信息系统的关键控制点,以满足企业遵守《萨班斯一奥克斯利法案》404条款的要求。GTAG的制定是为了满足CAE和审计主管人员的要求,解决董事会和高级经理关心的问题,及时提供有关信息技术管理、控制或安全方面的信息。我国2008年颁布的《企业内部控制基本规范》中明确规定企业应当运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。2008年9月中国内部审计协会颁布了《内部审计具体准则第28号——信息系统审计》,对信息系统审计的含义、目的、专业胜任能力、内容、方法等进行了阐述。从以上信息系统审计规范来看,在信息系统审计实施阶段,内部审计师的主要工作包括搜集相关资料;确定审计的方式;根据需要列出需要访谈的人员名单;查阅相关部门的政策、标准及准则,以供审计使用;利用相关的审计方法对所有控制进行测试和评价。

(三)信息系统审计的特点

1. 信息系统审计是一个过程。

它是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程,它贯穿于信息系统生命周期的全过程。

2. 信息系统审计的对象具有综合性和复杂性。

信息系统审计的对象是以计算机为核心的信息系统,它包含了除财务信息以外的其他与生产经营流程有关的所有信息系统,其实质是审计对象及内容的拓展。从纵向(生命周期)看,覆盖了信息系统从规划、分析、设计到维护的全生命周期的各种业务;从横向(信息系统构成)看,它包含对软硬件审计、应用程序审计、安全审计等。从这个意义看,信息系统审计拓展了传统审计的内涵,将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。

3. 信息系统审计拓展了传统审计的目标。

传统审计目标仅仅包括了“对被审计单位财务报表的合法性、公允性及会计处理方法的一贯性发表审计意见”,《中国独立审计具体准则第20号——计算机信息系统环境下的审计》第四条也明确规定“注册会计师在计算机信息系统环境下执行财务报表审计业务,应当考虑其对审计的影响,但不应改变审计目的和范围”,由此可见EDP审计、电算化审计和计算机审计都没有改变审计的目标,但信息系统审计除了上述目标外,还包括信息资产的安全性、数据的完整性以及系统的可靠性、有效性和效率性。

4. 信息系统审计是事后、事前、事中审计的结合体。

注册会计师所执行的财务报表审计往往是年度审计,属于事后审计。而信息系统审计是事后、事前、事中审计兼而有之。如信息系统在开发过程中,由审计人员介入所进行的审计属于事中审计,此项审计相对于系统运行后而对其所进行的审计而言又可以看作是事前审计;信息系统运行后,对其在一定期间的运作情况所进行的审计则为事后审计。

5. 信息系统审计的内容更加宽泛。

信息系统审计包含了一切与信息系统有关的审计,除了整个生命周期过程及相关业务的审计外,随着信息技术的发展,还必将包括联网审计、电子商务审计、网站审计、ASP审计和XBRL审计等。

6. 信息系统审计是一种基于风险基础审计的理论和方法。

很多组织都能意识到技术带来的潜在好处,然而成功的组织还能够理解和管理好与采用新技术相关的很多风险。信息系统有着与生俱来的风险,这些风险用不同方式冲击着信息系统,审计者面临着审计什么、何时审计以及如何帮助信息系统的管理者管理和控制风险从而实现企业的战略目标的问题。

二、信息系统审计实施

(一)信息系统开发过程的审计

1. 系统规划的审计

系统规划是否能够做出重要的决策,决定着是否需要新的信息系统以及需要一个什么样的信息系统,这就需要内部审计来进行把关。系统规划审计的任务就是要确保新开发的信息系统能够满足组织战略发展需要,从技术、经济和操作的角度来说是可行的、恰当的。对系统规划的审计主要包括两个方面的内容,一个是跟踪整个系统规划的过程,判断整个规划是否是按照必要的可行性分析步骤进行的,是否越过了某些必要的关键步骤,或其规划步骤是否存在着明显的不合理性;二是审计规划的内容。规划内容的审计的一个重要依据就是分析员提交的文档,其中包括可行性分析报告及相应的系统流程图、数据流程图、数据字典或成本效益分析。

在系统规划阶段,内部审计师的考察重点主要体现在以下几个方面:系统规划是否从组织上确定了整体计划的主要体制,是否取得了最高层领导的认可;整体计划是否根据主要规则判定,是否得到了最高层领导的认可;整体计划中是否明确阐述了信息化的效果、推进体制、费用等各项内容,以及信息系统的整体概貌、系统开发的优先级、组织及业务改变、安全对策的方针,是否定期进行修正以及随经营环境的变化而修正;开发计划是否得到最高领导的认可,考虑了与整体计划的协同一致,是否是在对内外信息技术调查基础上决定的,是否明确阐述了目的、对象业务、性能价格比等各项内容,是否明确阐述了改变信息系统生命周期的条件。一旦内部审计师负责监督整个系统的开发规程,他们在这一阶段首先要考虑的就是确保系统实施的独立性。如果内部审计师只是从事后的审查或总体的把握的角度进行工作,则他们在这一阶段主要考虑的内容首先是过去的系统开发人员确定评估方法的过程,其次是过去这个评估方法所取得的效果怎样。内部审计师只能利用这些途径来评估这个决策对今后系统开发的影响。

2. 系统分析的审计

系统分析的目的主要在于将用户的需求及其解决方法确定下来。内部审计师在审计时要考察在系统分析的过程中是否有精通业务的用户参与,使用的分析模型是否便于分析员与用户沟通,并要考察系统的逻辑模型是否符合用户的需求。对系统分析阶段的审计主要表现在以下几个方面:开发计划和需求定义是否得到开发方和用户方的共同认可;在用户需求调查时是否明确了对象、范围及方法;是否对相关信息系统的法律制度等进行调查核实;对引入信息系统后会受到影响的业务、管理体制和各种规程等是否进行研讨与修正;用户部门和信息部门的功能分配是否考虑了软件、硬件和网络等的需求;是否存在达到信息系统目的的替代方案;是否按照开发的规程、时间及系统的特性来确定开发方法;开发以及相关运行费用的计算是否准确;是否对信息系统的运行效果进行了定量与定性的评价;是否有足够的开发所必需的人员、预算、设备及时间等。

3. 系统设计的审计

系统设计的主要内容包括新系统的总体框架、结构设计、代码设计、数据库设计、输入输出设计、处理流程及功能模块的设计。对系统设计的审计就是针对上述几个主要内容实现的过程进行审计,并根据系统分析报告,审查这一阶段所产生的各种文档,找出设计过程中所存在的错误及疏漏的地方并加以取证。从信息系统是否有效的角度出发,内部审计师要考虑设计是否满足需求描述。从效率的角度出发,内部审计师要评估所需资源的合理性。从安全性和数据完整性的角度出发,内部审计师要评估对系统的可靠性控制。当内部审计师在对信息系统的设计做事后评价或总体评估的时候,则应该主要审计以下两方面的内容:(1)详细需求的描述。可以从投资者那里了解他们需要什么,也可以利用分析与试验发现新的需求。(2)数据信息流的设计。内部审计师必须仔细地评估这个阶段的活动,以评价最终的设计是否符合了系统的需求。另外,在这个阶段内部审计师还要重点考察测试计划的制定,包括测试计划中是否明确目的、范围、方法及进度安排等。

4. 试运行的审计

试运行是系统调试和检测工作的延续。内部审计师主要从以下几个方面来开展审计工作:是否根据试运行计划进行试运行以及是否根据试运行决定运行计划;根据试运行计划,是否能确保必要的人员、预算和设备等;试运行结果的验收方法是否明确;是否制定试运行后的运行计划。具体来说,在这一审计过程中,内部审计师根据制定的试运行计划,审查系统的试运行准备情况,在试运行期间的实施情况以及检测反馈情况。内部审计师在系统试运行阶段应重点核对新系统输出和老系统(人工或计算机系统)输出的结果;对实际系统的输入方式进行考察(是否方便、效率如何和误操作保护等);对系统实际运行、响应速度(包括运算速度、传递速度、查询速度和输出速度等)进行实际测试。

(二)信息系统运行过程的审计

信息系统运行过程的审计是在信息系统正式运行阶段,针对信息系统是否被正确操作和是否有效地运行,从而真正实现信息系统的开发目标、满足用户需求而进行的审计。在这一阶段,内部审计师主要从信息系统本身的运行和用户对系统的运行管理两方面进行审计,指出现行系统的缺陷与不足,以及用户操作管理的疏漏与误区,并提出相应的改进建议。

1. 系统输入审计

系统输入审计主要对信息系统的输入操作进行审计,评价系统输入操作及其管理的正确性和规范性,同时它也是对输入界面和数据有效性验证等的再审计,以进一步确定和评价系统数据输入的有效性以及对错误数据的识别和纠正能力,指出系统输入的缺陷与不足,并提出相应的改进建议。内部审计师应主要考虑以下几点:信息系统用户是否制定并遵守输入管理的规则;数据的输入是否按照输入管理规则进行;输入数据的生成顺序、处理等是否有防止差错、防止不正当行为及机密保护的对策;数据输入的防止差错、防止不正当行为及机密保护的对策是否有效;输入数据的保管及废除是否按输入管理规则进行。对系统输入的性能的审计可以从输入界面、数据编码控制、校验码和数据有效性验证四个方面进行。

2. 通信系统审计

通信系统审计主要是对通信系统的管理的科学性和有效性进行考察和评价,同时也对信息系统的通讯设备以及通信过程中的各种控制的有效性进行再审计,以进一步确定系统数据传输的有效性和效率,指出通信系统的管理和自身性能中的缺陷与不足,并提出相应的改进建议。内部审计师应主要考察以下几点:是否制定并遵守网络管理的规则;对网络存取控制及监控是否有效;是否记录网络的利用状况,并定期进行分析。

3. 处理过程审计

处理过程审计是对数据在输入系统后是否被正确处理进行审计。内部审计师应该对处理过程进行抽样,对抽样的处理过程进行全程跟踪和记录,对数据从被系统接受到处理完毕之间的整个处理过程进行检验,分析和评价数据处理的正确性和效率,给出信息系统数据处理性能的评价报告和合理建议。

4. 数据库的审计

数据库审计主要对信息系统的数据库管理进行审计,同时也是对数据库的设计与运行状况的再审计,它进一步确定数据库系统对数据操作的有效性和发生异常操作时对数据的保护能力(正确数据不丢失,数据回滚以保证数据的一致性),评价数据库管理与维护工作的有效性和规范性,并提出相应的改进建议。在数据库审计中,内部审计师应主要考查以下几点:是否制定及遵守数据管理的规则;对数据的存取控制及监视是否有效;是否记录数据的利用状况,并进行定期分析;是否在考虑业务内容、处理状态及恢复的方法后决定数据备份的范围;数据的接受是否按数据管理的规则进行;数据的交换、保管、编制及废除是否有防止差错、防止不正当行为与机密保护等对策;是否有数据故障对策;是否对数据的知识产权进行管理。

5. 系统输出的审计

系统输出的审计是对信息系统输出数据的管理进行的审计,也是对报告等系统输出结果的设计的再审计,它进一步确定系统数据输出的正确有效性和系统输出数据对用户的易接受性和易理解性,评价对系统输出数据的管理的科学性和规范性,指出系统输出的缺陷与不足,并提出相应的改进建议。在系统输出审计中,内部审计师主要考查以下几点:是否制定及遵守输出管理的规则;输出信息的获取及处理时是否有防止不正当行为及机密保护对策;输出信息的传递是否及时准确,是否按输出管理规则进行;输出信息的保管及废除是否按输出管理规则进行;输出信息的正确性如何;输出信息的形式和格式是否便于用户理解和接受;是否记录输出信息的出错状况、利用状况,并定期进行分析。

(三)信息系统维护过程的审计

信息系统维护过程的审计是对信息系统维护活动所进行的审计,包括对维护计划、维护实施、改良系统的试运行和旧系统的废除等维护活动的审计。

1. 维护组织审计

建立维护组织是进行信息系统维护的第一步。在对维护组织的审计中,内部审计师应考查以下几点:维护组织的大小是否适应信息系统的规模的要求;维护组织中人员的职责分工是否明确;维护组织是否有一套科学的内部管理机制和协调工作机制。

2. 维护顺序审计。

内部审计师应审计维护组织是否制定并遵守了科学的维护顺序,可以从相关的书面文件以及实际操作过程中来寻找审计证据。

3. 维护计划审计

维护管理部门应根据维护费用、系统使用期限、业务变更情况、维护申请量以及错误的严重性等因素制定维护计划。在对维护计划的审计中,内部审计师主要审计维护计划包含的内容是否完整,对维护任务所需要的资源是否明确并合理配置,维护费用的预算是否能满足维护活动的需要,进度安排是否合理。对于维护计划的制定,内部审计师还应从以下几点进行审计:制定的维护计划是否得到维护方与用户责任人的认可;在维护计划的制定前是否对维护内容与影响范围进行了调查与分析,明确了解维护后的变更将造成的影响;维护的测试计划是否有明确的目的、范围、方法和安排等。

4. 维护实施审计

对维护实施的审计,内部审计师主要从以下几点进行:系统设计报告、程序设计说明书等是否按照维护计划进行修改,是否得到维护及被用户责任人认可;程序的修改是否按照维护顺序进行,是否在得到维护负责人的同意后实施;是否按照修改后的程序设计说明书对程序进行修改。

5. 维护确认的审计

维护确认是对维护活动的验收。在这一阶段,内部审计师主要从以下几点进行审计:修改程序的测试是否按照维护测试计划进行;修改的程序是否进行了与新开发的程序同等程度的测试;修改程序的测试是否由用户参加,按照用户手册实施;修改程序的测试结果是否得到开发、运行、维护及用户负责人的认可;修改的程序的测试结果是否记录下来,并进行保管;维护数据是否记录并妥善保存。

三、结束语

信息技术的发展和创新极大改变了企业信息系统的运行模式。其重要价值在于支持企业的业务并帮助组织完成总体使命。内部审计加强信息系统审计是拓展内审职业空间的需要,也是满足促进企业增效增能的需要。当前,随着企业信息化进程的推进,信息系统审计实践正在如火如荼地开展。关于审计什么,如何审计,内部审计师在实务操作中应遵循什么样的规范,还没有形成统一的标准,这也是信息系统审计实施研究的方向之一。

审计系统在电力信息安全中的运用篇11

一个完整信息安全保障体系,应该由预警、防护、监控、应急响应、灾难恢复等系统组成。审计系统是整个监控和预警体系的关键组成部分,做好安全审计工作,能够增强电力企业对故障、风险的预警能力和监控能力,也能够为防护体系和企业的内部管理体系提供客观、有效的改进依据。

审计系统组成要素

信息系统的运行由一系列的人员行为和系统行为组成,信息系统安全审计就是采集、监控、分析信息系统各组成部分的系统行为(日志)和操作行为的过程。

全面采集。审计信息的采集过程是整个审计体系的基础。采集过程应侧重于采集方式的灵活性及采集对象的全面性。审计系统应提供多种信息采集方式对审计信息源进行数据采集,对电力系统而言,审计系统应尽量避免在主机中安装软件,串接设备方式进行采集,而应尽量通过系统自身的日志协议(如syslog协议)、旁路(如端口镜像)等更安全的方式进行。电力公司信息系统中包含有各种各样的设备,服务器系统、路由器、交换机、工作站、终端等硬件设备;各类数据库、电力应用系统、中间件、OA、WEB等软件应用系统以及管理员的维护系统、普通用户的业务操作行为、上网行为等等人员的访问行为,审计系统应该通过不同方式灵活实现对上述相关系统日志和行为的采集。

采集过程还应保障信息源的客观性,不应篡改信息的原有属性。

实时监控。利用审计系统对采集到的日志信息、行为信息进行实时分析。通过审计系统的实时监控、告警功能,定制符合电力信息系统安全需求的规则库,规则库内容应涵盖各类操作系统、网络设备、人员操作规范等范围。实时监控还应该对每台设备的日志量进行监控,对日志量剧增、剧减等情况进行提醒。

审计分析。安全审计分析是整个信息安全体系的核心组成部分之一,电力系统应该利用审计系统对网络、应用的运行情况、企业内部信息安全制度的执行情况进行周期性审计。周期性的审计是整个审计系统发挥作用的关键,没有周期性的审计,就无法及时发现信息系统中存在的安全隐患。

实施审计系统的意义

保障数据的客观性。使用第三方审计产品对各类信息系统组成要素、人员行为进行安全审计,可以避免完全由技术人员进行手工审计带来因数据恶意篡改、人为疏忽而造成数据变化,从而保证审计数据源的客观性。

保障数据的安全性。信息系统的日志、行为记录默认状态下分散存储在各主机、应用系统当中。一旦主机操作黑客破坏,或者磁盘损坏等意外事件都有可能导致数据丢失或破坏。第三方专业审计系统在设计、开发时对安全性、可靠性均做了充分设计,可以有效地保障数据的安全性,避免上述情况的发生。

提高审计工作效率。信息安全审计工作在没有专业审计系统的情况下是一项繁重的工作,技术人员要面对数个甚至数十个主机、数据库、设备的海量日志,依靠人力根本无法完成周期性的日志审计工作,工作量的巨大直接导致目前日志分析工作都是在出现安全事件之后,有针对性的进行事后分析。

依赖于专业化的审计系统,电力信息系统可以将所有系统的运行日志均集中到审计系统中,利用审计系统高效的检索功能及自动化的审计功能帮助审计人员进行日常审计工作,从而大大减轻审计人员的工作负担,而且能够增加审计的准确性,避免了人为失误。

落实安全管理规范。在未部署审计系统之前,由于缺乏对维护人员操作的监控能力,大量的操作规范无法真正落到实处,如无法实现对telnet、ssh、RDP等维护协议的指令还原就无法知道维护人员每次维护时在操作系统内部输入了何种指令。在部署审计系统之后,通过对维护人员操作指令的定期审计,指出维护人员操作的不当或违规之处,经过一段时间的运行,就能逐步树立维护人员良好的操作习惯,避免由于人员疏忽造成的安全事故。

另外,通过审计系统也能检测维护人员是否按照信息安全管理规范对信息系统进行维护,如定期修改密码、定期备份关键数据等等。

作为信息安全体系建设的一个重要环节,日志综合审计系统在电力系统中比不可少;通过日志安全审计系统的运用,不仅能提高员工工作效率,规范维护人员良好的工作习惯,也能及时发现信息系统中潜在的安全隐患,在满足合规要求的同时,真正提高了信息系统的安全性。

关于信息系统审计的思考篇12

信息系统审计是对计算机信息系统及其业务应用的安全性、稳定性和有效性进行监测、评估和控制, 以确认目标得以实现, 并提出改进建议的过程。

2 如何开展信息系统审计

信息系统审计内容主要是运用一定的技术手段对计算机信息系统的安全性、可靠性和有效性进行审查与评价的活动, 其主要包括以下三项内容:系统开发审计、系统运行审计和系统控制审计。

1) 信息系统开发审计:信息系统开发审计是指对计算机处理的财务信息和业务信息开发过程进行的审计, 其目的是让审计人员理解计算机技术人员是如何研发会计核算软件, 按照软件开发人员的思路分析、理解软件的逻辑结构, 并通过实验加以验证, 以增强对电子数据的感性认识。信息系统开发审计的意义不在于让审计人员成为信息系统设计的专家, 而是让审计人员参与系统地分析、设计和调试, 使审计人员熟悉系统的结构、原理, 理解计算机技术人员的工作并能与之进行良好的沟通对话, 并对系统设计提出建设性意见。

2) 信息系统运行审计:系统运行审计主要是指对信息系统应用程序进行审计。信息系统是否遵循国家的财经政策和制度, 经济业务的处理是否合规、合法、正确等, 都体现在应用程序之中。信息系统运行审计应是审计的重点。信息系统运行审计, 不是直接在被审计单位运行的系统上进行审计, 采用的审计方法可以是联网审计或在被审计单位安装前置机, 在被审的应用程序中嵌入为执行特定的审计功能而设计的程序段来实现, 信息系统运行审计实现了事后审计向事中审计过渡。

3) 信息系统控制审计:信息系统控制审计, 一般应审查输入控制、处理控制和输出控制。系统数据的输入是信息系统运行的基础, 输入审计重点主要关注是否制定并遵守了数据录入的规则, 是否按照输入管理规则进行, 输入数据的生成顺序、处理等是否有防止差错的措施、防止不正当行为及机密保护的对策, 输入数据的防止差错、防止不正当行为及机密保护的对策是否有效, 输入数据的保管及废除是否按照输入管理规则进行。处理系统要有防止或及时发现在处理过程中数据丢失、重复或出错的控制措施。输出要有相应权限的人才能执行输出操作, 并要登记操作记录, 从而达到限制接触输出信息的目的。

3 当前开展信息系统审计存在的问题

1) 信息系统审计复合型人才缺, 制约发展:信息系统审计人员, 除了应具备会计、审计、法律和审计业务的专门知识外, 还应通晓信息系统的硬件、软件、开发、维护、管理和安全, 能够利用规范和先进的审计技术, 对信息系统的安全性、稳定性和有效性进行检查、审计和评价, 但我国信息系统审计人才短缺, 制约信息系统审计发展。客观原因是当前审计人员年龄偏大, 业务老化, 知识结构单一, 对开发应用计算机不感兴趣或仅满足于办公需要, 真正具有较高计算机应用水平的人员并不多, 既精通计算机编程又熟悉审计业务的复合型人才则更少, 与审计信息化建设和发展的需要还有较大差距。同时由于计算机技术的飞速发展与知识更新培训的不足, 许多审计人员的计算机应用水平及相关技能无法得到同步提高, 计算机应用仍停留在较低水平上, 计算机功能也没有得到充分发挥。当前审计机关要加大对信息系统审计人才的培训力度, 从现有的审计队伍中选拔有一定信息技能基础的审计人员提供信息系统审计培训, 拓展其相应知识、技术、能力, 掌握信息系统审计的基本原则和技能, 以适应现代信息系统审计的需要。

2) 信息系统审计统一规范体系未建立, 影响推广:我国的信息系统审计起步较晚, 尚未建立专门用于信息系统审计的规范体系, 现有的规范体系主要是对一般性的计算机审计方面的规定。如1993年审计署发布的《审计署关于计算机审计的暂行规定》, 1996年审计署发布的《审计机关计算机辅助审计方法》。2001年国务院办公厅颁布了《关于利用信息系统开展审计工作有关问题的通知》 (国办发[2001]88号文) , 这是审计机关利用信息系统开展审计工作的重要法规依据。通知中除了重申审计机关有权检查被审计单位运用计算机管理财政财务收支的信息系统之外, 还明确规定当审计机关对被审计单位电子数据真实性产生疑问时, 可以对信息系统进行测试, 这是在法律法规层次上第一次对信息系统审计内容做出的规定。但我国仍没有出台信息系统审计程序、准则和内容, 在具体的审计实践中, 由于无严谨的规程可循, 只能凭经验各显神通, 加大了审计风险, 影响信息系统审计的推广。当前, 应尽快出台信息系统审计具体程序、内容和准则, 能够给审计人员以全面、具体的规范和指导, 以有利于信息系统审计广泛开展。

摘要：随着计算机技术在会计记账、财务管理等方面的应用不断普及, 业务数据和财务数据高度集成, 计算机对被审计单位各个业务环节的影响越来越大, 改变了传统的审计方式和方法, 使审计工作面临的主客观环境发生了重大变化, 传统的审计工作思维方式、工作模式和工作手段已不能适应现代信息技术的发展需要, 对信息系统进行审计逐渐成为审计工作中的一个新的领域。该文从当前开展信息系统审计存在的问题以及如何开展信息系统审计进行了分析与论述。

关键词：信息系统审计,思考,探索

参考文献

[1]张金城.信息系统审计[M].北京:清华大学出版社, 2009.

[2]乔鹏, 杨宝刚.会计信息系统审计[M].北京:科学技术出版社, 2003.

[3]董霞.会计信息系统审计研究[D].天津:天津财经大学, 2006.

【持续审计信息系统】推荐阅读：

可持续发展与环境审计05-10

【审计】持续深化注册会计师行业创先争优07-02