审计信息化信息系统

审计信息化信息系统（共12篇）

审计信息化信息系统 篇1

1信息化内部控制审计

1.1内部控制审计

1.1.1内部控制审计定义

内部控制审计是通过对被审计单位的内部控制的审查、分析测试、评价, 确定其可信程度, 从而对内部控制是否有效做出鉴定的一种现代审计方法。

1.1.2内部控制审计的内容

审计其实是对被审计事项合规性的审查, 内部控制审计就是对内部控制五要素的一个审查, 这五要素就是美国COSO委员会提出的《内部控制-整合框架》中的“控制环境、风险评估、控制活动、信息与沟通、监察”。在内部控制审计过程中, 审计师在审计过程中查看被审企业是否对企业的内部环境有着很好的认识, 认识是否中肯, 是否存在夸大或贬低的情况;对企业进行风险评估, 将审计师自己所进行的风险评估与被审单位进行的风险评估进行比对, 查漏补缺。

1.2信息化内部控制审计

信息化内部控制审计与内部控制审计内容、方法其实基本相似, 最大的不同就在于, 信息化内部控制审计考虑了信息环境对内部控制的影响。它的内容更多的是涉及到信息化环境下的内部控制问题, 审计师更多的关注是信息技术在企业中使用的范围, 评价信息技术的使用对企业经营管理过程中可能带来的风险, 评估信息技术对财务报表等等各方面的影响。

2信息系统审计

2.1信息系统审计定义

信息系统审计是一个利用各种手段和工具对企业进行收集和评价审计证据, 并以此来判断其信息系统是否能够保护企业资产的安全、维护企业数据的完整, 能否有效地保证企业目标的实现, 并能使企业资源得到高效地利用等方面做出判断的过程。

2.2信息系统审计的内容

信息系统审计内容通常包括对企业组织层面信息技术控制、信息技术一般性控制、业务流程层面相关应用控制的审计。企业组织层面信息技术的审计要考虑的是信息技术对在内部控制审计所关注的五要素“控制环境、风险评估、控制活动、信息与沟通、监察”的影响, 如在控制环境因素中, 审计师要关注信息技术战略规划与企业发展战略规划的契合度、信息技术治理制度体系的建设以及信息技术部门的组织结构和关系以及信息技术教育和培训等情况。信息技术一般性控制关注的是构建信息系统所涉及到的技术及安全:计算机硬件系统、计算机软件系统如网络架构、操作系统、数据库、应用系统, 还包括使用信息系统相关人员以及规章规程, 以确保信息系统的稳定运行, 支持应用控制的有效性。如信息安全管理、系统变更管理、系统开发与采购管理、系统运行管理等。企业业务流程层面应用控制是为了保证信息系统能够准确、完整、及时完成企业数据的处理过程而设计的信息技术控制, 所以审计师应关注与数据输入、处理及输出环节的相关的控制过程。除了上述审计活动之外, 审计师还可根据企业的需求以及企业可能面临的特殊风险, 设计信息系统专项审计满足企业发展战略, 如:信息系统开发实施项目的专项审计、信息系统安全审计、信息技术投资专项审计等。

2.3信息系统审计过程和方法

典型的信息系统审计过程内部通常有下面几个阶段:1确定审计对象:明确将要审计的领域。2确定审计目标:明确审计目的。3审计范围:明确组织中要检查的具体系统、职能或单元。4制定初步审计计划:确定所需要的技术技能和资源, 检查信息的来源, 确认审计地点或设施。5搜集数据的审计程序和步骤:确定对控制进行测试, 验证审计方法和工具, 确定访谈对象名单, 确定需要检查的部门政策、标准和指南。6评价测试或检查结果的程序。7确定与管理人员沟通的程序。8审计报告:确定追踪审计程序测试和评价运营效果以及效率, 确定控制测试程序检查和评价文档、政策和规程的合理性。

和传统手工环境下的审计技术和方法相比, 信息系统审计的方法既包括一般方法即手工方法, 如询问控制相关人员、观察特定控制的运用、审阅文件和报告等方法, 同时也根据信息系统的特性, 应用计算机辅助审计工具和技术对信息系统进行穿行测试、追踪信息系统处理数据痕迹、验证系统控制和计算逻辑以及登录信息系统进行系统查询等方法。审计人员对信息系统审计进行评估时应获得充分、可靠及相关的审计证据以支持审计结论完成审计目标。在信息系统审计过程中, 我们要注意几个问题:1由于较多的计算和报表等都是信息系统自助完成的, 审计师在审计时要关注数据的来源、 去向是否明晰, 对数据报表审查功能是否完备等。2数据在两个信息系统之间进行数据传输时, 要制定一套规章来保证数据在传输过程中的完整性、准确性和真实可靠性。3信息系统审计师在使用计算机审计软件工具获取审计证据时, 要注意对原数据的保护, 不能对原始数据进行分析, 防止造成审计证据的丧失。4信息系统审计师对被审单位内部控制环节进行审计时, 要关注其内部控制系统是否存在并证明它正在有效地发挥作用。具体地应在这几个方面检查内控制度的有效性:控制系统资源的存取、控制系统资源的使用、建立用户职能分配资源的制度、确认处理过程的准确性、保护财务系统免遭计算机病毒的攻击。

3信息化内部控制审计与信息系统审计的联系

通过对信息化内部控制审计、信息系统审计的定义、内容等基本概念的介绍和分析, 我们对两个审计概念有清楚的了解。不管是信息系统审计还是信息化内部控制审计, 它们都是企业为防范风险、进行有效监管为主要目的的审计体系, 以此构建全方位的企业管理过程的控制体系。对企业来说财务管理尤为重要, 企业运营的决策很大程度依赖于财务报表等相关财务报告, 在信息化环境下, 财务报告信息是由会计信息系统依据日常财务信息统计计算获得的, 会计信息系统的有效运行依赖于内部控制的有效性。信息系统审计关注信息技术的应用与信息系统运行的有效性, 信息化内部控制审计关注信息技术的应用与内部控制的有效性, 从上述分析可以看出, 信息化内部控制审计与信息系统审计存在着许多联系。

3.1目标一致性

内部控制审计是对公司内部控制有效性的审计, 信息系统审计是对组织信息系统管理以及应用的综合评价, 似乎并不相同, 但是两者的最终目的是一致的, 它们都是建立企业的风险控制、监管体系保证企业管理人员得到完整的、真实可靠的管理信息。而且, 信息系统审计的内容在很大程度上与内部控制审计内容有着密切的相关性。企业管理信息系统通过收集企业日常运行的数据经过加工处理后产生了各管理层所需要的管理信息, 信息系统的运行依赖于内部控制的有效。因此, 内部控制的有效性, 是为了信息系统的有效运行, 是为了获得高质量的管理信息, 更有效地为企业管理人员服务。

3.2都属于鉴证业务

一般的鉴证业务定义是指注册会计师对鉴证对象信息提出结论, 以增强除责任方之外的预期使用者对鉴证对象信息信任程度的业务。我们认为内部控制审计和信息系统审计都属于专门的签证业务。审计人员在进行财务报表审计时, 根据已发布的各个准则对内部控制进行调查和测试, 目的是确定控制风险水平。当风险控制水平确定后, 审计人员在审计期间要考虑内部控制的有效性。而审计人员执行内部审计业务是一项专门的审计任务, 他事先与委托人就内部控制审计范围达成一致意见, 只要是业务约定书确定的内部控制审计范围, 审计人员都要进行审计, 也可将内部控制审计与财务报表审计整合进行。因此, 财务报告内部控制审计也是基于责任方认定的鉴证业务。

根据信息系统审计定义, 信息系统审计是以独立第三方的身份对被审计单位的信息系统以及信息系统应用发表意见, 这种意见明显属于合理保证的鉴证业务的范畴。ISACA提出的用于描述IT管理框架的COBIT, 已经成为众多国家的政府部门、企业对IT的计划与组织、采购与实施、服务提供与服务支持、监督与控制等进行全面考核与认可的业界标准。我国的信息系统审计准则基于COBIT的思想建立一套完善的企业信息系统审计的内部监控体系, 认为信息系统的开发、运行和维护以及信息技术相关的内部控制的设计、执行和监控是组织及其相关人员的责任, 实施信息系统审计工作并出具审计报告是信息系统审计人员的责任。这就说明了信息系统审计属于基于责任方认定的合理保证鉴证业务。

3.3基于风险控制的审计形式

我们知道内部控制有一项基本要素是“风险评估”, 同样的, 内部控制审计中采取的就是风险导向审计模式, 由审计师对被审单位的风险进行分析, 确定被审单位是否已经意识到了所有的风险, 或者说是否存在被审单位忽略的风险。对意识到的风险, 审查其控制活动, 确保控制到位, 不存在遗漏的地方;对于被审单位没有意识到的风险, 提出审计意见、提出控制活动, 建议被审单位重视这些被疏忽但是却不容小觑的潜在风险。

同样的, 信息系统审计也是采用了同样的风险导向审计模式, 在正式的审计活动展开之前, 先对被审单位进行风险评估, 了解被审单位风险控制是否到位, 根据风险评估结果决定信息系统审计师对被审单位进行的合规性测试、复合性测试的量的大小, 运用风险导向审计模式可以极大的减少信息系统审计师的工作量, 帮助信息系统审计师选取一种最优化、智能的测试方法获取想要的审计证据。所以说信息化内部控制审计与信息系统审计在这一点上是相同的。

3.4审计结果可以借鉴

从信息系统审计的审计过程来看, 不难发现, 在信息系统审计过程中有一项比较重要的调查就是“被审企业是否存在内部控制”, 这一项调查结果直接影响信息系统审计师后续审计工作的展开, 若是内部控制充分, 则信息系统审计师只需要进行少量的符合性测试和实质性测试, 审计工作量大大减少;若是内部控制不充分甚至于不存在内部控制, 则信息系统审计师需要进行大量的实质性测试甚至于对所有内容进行测试, 若是对一个大型企业大范围的进行实质性测试的话, 审计进度可能会延期。

因此, 我们的信息化内部控制审计就是对企业的内部控制有效性进行的审计活动, 该审计活动最终会出具被审单位内部控制是否有效的审计报告。同样都是对被审单位内部控制有效性进行的调查研究, 不难想出, 这两种审计活动在内部控制有效性审查这一部分存在很多相同的基础调查。所以, 信息化内部控制审计与信息系统审计两者的审计结果是相互通用的。信息系统审计师在审计时, 可以根据内部控制审计的审计结果, 适当地增加或减少内部控制调查的力度;反之, 内部控制审计师在审计时, 可以根据信息系统审计过程中内部控制的调查结果, 决定自己内部控制调查的工作重心。在一项调查工作中发现的问题可以为另一项调查提供线索和思路。需要注意的是, 一项调查结果并不能代替另一项调查, 就好比信息系统审计过程中对内部控制所做的调查并不能够完全代替内部控制审计, 因为两者对内部控制活动的关注程度、关注方面存在着很大的不同, 这也是信息化内部控制审计与信息系统审计的一大不同点。

4信息化内部控制审计与信息系统审计的区别

以上分析可以看出信息化内部控制审计与信息系统审计存在着一定的联系, 但从定义上来看, 两者在审计的对象、内容以及结果都是很大区别的。

4.1审计内容不同

这一点是最显而易见的。信息化内部控制审计的对象是企业的内部控制, 审计师在审查过程中会去重点关注的是被审单位首先是否存在内部控制制度以及制度是否健全;其次, 内部控制制度是否只是摆设, 是否积极主动的去实行;然后是制度是否有效, 最后才是根据审计师观察的结果得出改进意见等。而信息系统审计可能更加关注的就是信息系统是否有效了, 它包括了信息化的内部控制方方面面。

4.2对内部控制的关注程度不同

信息系统审计和内部控制审计都会关注企业的内部控制。但是两种审计模式对内部控制的关注目的是不同的。信息化内部控制审计中, 评价内部控制的目的是为了对内部控制本身的有效性发表审计意见;而信息系统审计评价内部控制只是为了评估被审单位对风险是否做到了有效控制。如果信息系统审计师不想审查被审单位的内部控制, 他可以不做。然而信息化内部控制审计却不能做到这一点, 这也是两者之间的一大不同。

4.3审计结果不同

根据其定义, 信息化内部控制审计中, 审计师会出具关于内部控制有效性的意见。在信息系统审计中, 审计师会对相关信息系统运行做出判断, 并提出意见。两者出具的是完全不同的两种报告, 所以说内部控制审计与信息系统审计的审计结果不同。

5总结

信息化时代已然来临, 随着计算机的普及与应用, 完全脱离计算机进行审计的审计活动是不存在的。如上分析, 信息化内部控制审计与信息系统审计存在许多的共同点, 而且相关的基础调查、结论等可以共用, 可以考虑将信息化内部控制审计与信息系统审计做一个适当的整合, 减少审计工作的冗余, 更加高效、正确地完成审计工作。

摘要：企业内部控制审计与信息系统审计都是以防范风险、有效监管为主要目的, 来构建全方位的企业管理过程的控制体系。但是由于信息技术渗透到企业管理的每一个过程, 使得两者的审计界限变得模糊。为了分析两者的区别和联系, 本文将从内部控制审计和信息系统审计的基本概念出发, 阐述它们各自的审计对象、审计内容以及审计结果, 以此说明两者的异同点。

关键词：信息化,审计,内控

参考文献

[1]骆良彬, 张白.企业信息化过程中内部控制问题研究[J].会计研究, 2008 (5) .

[2]陈志斌.信息化生态环境下企业内部控制框架研究[J].会计研究, 2007 (01) .

[3]胡晓明.风险导向信息系统审计及其发展思路[J].经济管理, 2007 (2) .

审计信息化信息系统 篇2

审计是一项具有独立性的经济监督活动，独立性是审计区别于其他经济监督的特征；审计的基本职能不仅是监督，而且是经济监督，是以第三者身份所实施的监督。审计的主体是从事审计工作的专职机构或专职的人员，是独立的第三者，如国家审计机关、会计师事务所及其人员。审计的对象是被审计单位的财政、财务收支及其他经济活动，这就是说审计对象不仅包括会计信息及其所反映的财政、财务收支活动，还包括其他经济信息及其所反映的其他经济活动。审计的基本工作方式是审查和评价，也即是搜集证据，查明事实，对照标准，做出好坏优劣的判断。审计的主要目标，不仅要审查评价会计资料及其反映的财政、财务收支的真实性和合法性，而且还要审查评价有关经济活动的效益性。

审计的重要性不言而喻，首先，审计具有强有力的制约作用。审计通过揭露和制止、处罚等手段，来制约经济活动中各种消极因素,有助于各种经济责任的正确履行和社会经济的健康发展。其次，审计还具有促进作用，审计通过调查、评价、提出建议等手段,来促进、服务宏观经济调控,促进微观经济管理，以助于国民经济管理水平和绩效的提高。

然而随着社会经济与科技的不断进步，审计的主体和客体的不断扩充，纯手工审计的方式尽管具有灵活运用的特点，但是因其效率低、错误率高而逐渐不能满足人们的需要，这时审计软件应运而生。审计软件是指用于审查电算化系统或利用计算机辅助审计而编写的各种计算机程序。广义上讲，审计软件是指用于帮助完成审计工作的各种软件工具。审计软件可分为四种类型：第一种现场作业软件、第二种法规软件、第三种专用审计软件、第四种是审计管理软件。

在我们专业实习之前，我们参与过鼎信诺审计软件的培训，比较可惜的是，在正式参与审计时，我们并没有利用专业审计软件进行审计和数据处理，仅利用EXCEL便完成了所有审计工作，但我也通过查阅资料书籍和询问事务所人员初步了解了中瑞岳华审计软件——鼎信诺的基本功能和操作，同时我也将在下文中大致描述EXCEL在审计中的运用。

二、XX会计师事务所审计软件——鼎信诺 简介

鼎信诺审计系统作为XX会计师事务所的主要审计软件，有如下11个主要功能：

1、前端数据采集

审计前端能够从金蝶K3、金蝶KIS、用友7系列、用友8系列、用友通系列、速达3000、速达5000、新中大、久其、安易、博科、浪潮、远光、远方、小蜜蜂等常见财务软件中取出数据；并且不需要安装可直接运行；前端是完全免费，可以直接从公司网站上下载；对于定制的或者不常见的财务软件，可通过粘贴数据到EXCEL取数模板的方式采集数据。

2、审计抽样

审计人员凭经验和职业判断手工抽取样本；也可以依据审计人员选择的抽样方法，如随机、由大到小

或由小到大和条件（抽取笔数或金额），由计算机计算出各种统计数据（包括：样本总量、已选样本量、剩余样本量、所占比例大小等等）；同时保留审计轨迹，并与抽样结果一起反映到检查表中。对于已抽出的凭证还可以生成凭证并打印出来。

3、自动生成实质性工作底稿

所有的实质性工作底稿都是自动生成的，实质性工作底稿包括：审计程序、审定表、明细表、检查表等等。对于往来款中有核算项目的，也可自动在明细表中列示。工作底稿

4、往来款账龄计算

往来款的实质性工作底稿中，系统可以依据多年的账套数据计算出账龄。

5、生成银行函证和往来单位函证

在实质性工作底稿中选择要发送函证的银行或往来单位，修改系统提供的函证模板后，系统自动生成一页一页WORD格式的函证。

6、合并会计报表

系统根据母子公司间投资关系等信息自动产生权益抵消、收益抵消，内部往来抵消和内部购销抵消四种抵消分录，用户还可以手工输入抵消分录。系统根据母子公司间投资关系自动产生包括全部母子公司的过渡表和集团合并会计报表。系统自动合成集团公司下属全部单体公司的报表附注，合并报表附注同样可以刷新到WORD中。

7、存货和固定资产的测试

存货或固定资产的实质性工作底稿中，系统可以自动提取前端已采集的相关数据，依据用户选择的不同方法进行测试。

8、数据分析

数据分析有报表分析、图表分析和指标分析三种，从不同的角度分析审计风险。数据

9、审计调整

输入一次审计调整后，该调整分录涉及到的底稿、报表、附注都能自动更新数据。调整分录，自动生成汇总表和审计会计报表。

10、生成未审会计报表

未审会计报表中，未审数是由科目得到，报表数是由企业提供。如果账表之间存在差异，以红色字体显示，用户可以据此进行账表差异调整，例如：往来款科目的负值调整。

11、自动生成会计报表附注

系统提供了财政部和国资委颁布的会计报表附注模版，会计报表附注的内容和格式是可以修改的。修改后的附注能够一次性全部刷新到WORD文档中。

显而易见，鼎信诺审计软件大大节约了审计的时间，提高了效率，在于同学和学姐交流时，使用过该软件的同学都普遍反映利用该软件效率提高了不少，仅以抽凭为例，我们利用EXCEL导出数据抽凭需要至少一整天的时间才能完成一家公司的电子抽凭工作，而导出数据的凭证号在实际抽凭过程中很多都是错的，而利用鼎信诺软件则需要不到半天的时间就能完成同等规模公司的抽凭工作，并且凭证号都能够对应的上。

而且审计工作底稿实现电子化后，审计人员能方便地通过公司内部的局域网或审计小组现场的对等网实现信息共享，相互之间查阅审计底稿只需l要点点鼠标即可轻松实现，而且审计人员之间互不影响，从而可以极大提高审计效率。审计人员只需要进行初始的数据录入，计算工作由计算机自动完成，计算结果准确无须验算，可节约时间，提高审计效率。

利用鼎信诺软件，审计底稿的素材范围得到了进一步的扩充，录音材料、录像材料、电子照片均能构成审计底稿，搜集证据不再单一化，更加方便快捷，审计风险也得到了降低，同时资料也变得容易方便携带起来。

三、EXCEL软件在审计中的应用

在事务所实习过程中，虽然我们并没有机会接触鼎信诺软件的使用，但是利用EXCEL也方便了我们的审计工作。

首先，事务所提供了带有公式链接和相应格式的EXCEL电子工作底稿和word底稿，企业财务软件erp不支持win7的使用，因此我们只能将相关数据导出到记事簿中，然后再粘贴进EXCEL中进行整理和使用。起初我们接触到的就是过期初数，平时我们认为简单的复制粘贴，但是要知道底稿中有很多公式，因此我们在粘贴时需要选择性粘贴，有一些审计调整要不要过进来也需要我们去自己把握。

接下来需要应用到的就是抽凭，删除或者隐藏掉不可排序行后按照排序或者条件性筛选我们便可以选取数额较大的或者关联方账目进行抽凭。再对数据进行分析时，我们还可以运用冻结窗格等功能，这对数据的整理十分重要，尤其是冻结首行，这对每一笔分录的借贷方更容易把控。

在填写附注阶段，在主表中有试算平衡表数据和明细表数据，只需要我们添加一个源公式，那么我们就能直接链接过来数据而不需要逐个粘贴，尤其是在试算平衡表中数据所变动的时候。这时，我们只需将附注中区域科目的明细下表科目链接到主表中，通过公式判断便可以验证数据是否一致。在逐个明细区域中，我们还是需要将主表中的数据链接过来，做一个简单的减法公式，如果结果显示的是“-”，那么证明两个数据相同；如果结果显示的是“0”，那么需要在该公式中复核加计round公式，若结果为“-”那么数据无误，否则数据出现错误。这是因为我们的数据在小数点后两位四舍五入，有时难免有误差。

这只是一些基本的功能，其实EXCEL还有很多功用，例如：利用Excel编制集团公司的经审合并报表、利用Excel进行分析性复核、对数据进行保护等等。但令我印象最深刻的是在对固定资产和应收账款账龄的测算中的应用，如果数据量小手工计算也不碍事，但是数据一旦成百上千，那么就需要EXCEL公式的综合运用了。

往来账款(应收账款、其他应收款、应付账款等)的账龄审计，是财务会计报表的基础审计工作，企业往来款项的明细账户动辄成百上千，账龄审计颇为繁琐。而利用Excel进行往来账款账龄审计却非常简单方便。利用Excel进行账龄审计，需要企业提供往来款项、分客户明细账户编制的“年初数、本年累计借方发生额、本年累计贷方发生额、年末余额”格式的会计数据资料。目前越来越多的企业采用会计软件进行核算，该资料可以利用会计软件提供的“数据导出”功能导出为Excel格式获得。将获取资料置于一个Excel工作簿内。运用Excel的数据排序功能将年末余额为负数的数据(需要报表重分类)剔除后，就可以在A、B、C、D单元格中设定函数公式。一是账龄1年以内的函数为：A＝IF(本年贷方发生额＞＝年初余额，年末余额，本年借方发生额)。二是接着利用Excel的数据排序功能，筛选出(年末余额一账龄1年以内金额)＞0的明细账户，获取其上年“年初数、本年累计借方发生额、本年累计贷方发生额、年末余额”格式的会计数据资料。在上表“单位名称”列左侧增加列，用以添加上年数据。账龄1～2年的函数为：B＝IF(本年贷方发生额十上年贷方发生额)＞：上年初余额，年末余额一账龄1年以内的金额A，上借方发生额)。三是筛选出(年末余额一账龄)1年以内金额一账龄1～2年的金额)＞0的明细账户，获取其更前一个的数据。账龄2～3年的函数为：C=IF((本年贷方发生额＋上年贷方发生额＋更上一年的贷方发生额)＞＝更上一个年初余额，年末余额—账龄1年以内的金额A-账龄1-2年的金额B，更上一个的借方发生额)。四是账龄3年以上的函数为：n：年末余额一账龄1年以内的金额A——账龄1-2年的金额B——账龄2--3年的金额C。输入完毕后，模板将自动计算年末账龄，方便准确。

四、审计软件的优势

如上文所述，审计电子化、信息化是一种高端审计方式，更是一种趋势，实现审计电子化，即用审计软件进行审计有如下优势：

1、审计信息化具有审计人员协同作业的优势。

审计信息化所面对的是比以前更加广泛和复杂的网络经济活动，审计的具体内容除了企业的经济活动和财务纪录以外还包括其使用的系统网络、外部网络及相关的企业，因此进一步分工协作成为必要。由于网络、计算机、现代通讯技术在审计中的运用，使得多个审计人员 协作、联合审计成为可能，能使审计资源得到更广泛而有效地配置和运用，从而大大提高审计能力。

2、审计信息化具备审计连续性优势

审计信息化使得远程审计与就地审计相结合，当前审计与以前审计、后续审计相结合，因此，使审计跨时空作业成为可能。而网络经济的无边界性和复杂性又使得跨时空审计成为必要。跨时空作业使审计单位能够综合调用、管理机构内外的资源完成审计项目，将原本复杂繁重的审计任务改变成简单、方便、快捷的审计作业。

3、审计信息化具有准确高效的优势

会计信息系统审计问题探讨 篇3

【关键词】汇集信息系统；审计问题；探讨分析

近些年，计算机技术得到飞速发展，在日常生活中现代信息技术的应用越来越广泛，成了大家不可或缺的一部分。随着时代的不断进步，会计审计系统改变了以往的传统手工凭证、账簿和报表等，在信息化技术的推动下，逐渐朝着电算化的趋势发展。而伴随着财务会计持续深入的电算化应用，会计信息系统审计被众多人所关注。不过，由于素质较低的审计人员和信息化程度较低的审计系统导致当前我国会计信息系统审计的发展处于原地踏步的状态。当前我国社会经济快速发展，只有不断引进先进的科学技术，提升审计人员素质，完善会计审计系统，才可以使办公效率得到有效提高。

一、会计信息系统审计的重要性

近年来，我国计算机信息技术得到快速发展，在现代化企业管理中，信息化技术应用发挥着至关重要的作用。所谓的信息系统审计，其实就是对审计证据进行收集和評价，从而判断出被评价单位资产安全是否可以得到保护、数据的完整性是否可以得到保障、确保有效实现被审计单位的目标、确保高效使用组织的资源的这一过程。计算机具有传输速度快、储存空间大等特点，通过计算机信息化技术的有效利用，可以使信息系统审计的工作效率得到有效提升。现如今我国处于社会发展阶段，不断更新的审计单位会计信息系统使会计电算化应用越来越广泛，计算机中储存了很多业务数据和财务数据，使会计信息系统审计的工作效率得到了有效保障，提高了会计信心系统审计在市场上的竞争力。当前，我国互联网与会计信息系统审计已经紧密相连，进一步实现了资源的共享。但是，随着社会经济的快速发展，假如审计单位和工作人员依然在纸质账目基础审计上停留，没有做到与时俱进，将信息系统的审计监督工作视而不见，一定会造成很大的审计风险，对审计工作的质量产生一定影响。

二、会计信息系统审计中存在的问题

1.没有明确的审计观念。现阶段，在我国的会计信息系统审计工作中，很多审计单位在进行信息系统审计过程中，由于模糊的审计观念认识，造成了在日常审计工作中故意找出许多问题，他们认为只有找出问题的答案，才可以证明审计单位所发挥的作用和成果。这些观念型的审计对理论相对比较重视，对审计的具体方法却总是回避，因此导致工作上的差错在会计信息系统审计工作中时有出现。

2.没有清晰的审计目标。当前一个时期，在我国会计信息系统审计工作中，促使审计单位信息系统真实、合法、效益得到有效保障是审计工作的根本目的。在审计信息系统和系统内控过程中，需要认真梳理被审计单位的财务收支及经济活动的真实、合法、效益，最终形成结论。但是在日常工作中，审计单位因为目标不明确导致审计行为的不规范性，即便对相关审计目标进行了指定，许多缺陷也存在于这种目标中。随着社会的不断发展，金融、行政、经贸等多种行业都被审计所涵盖，审计目标会随着行业的不同而产生变化，因此导致审计的难度也随之不断增大。在进行审计时，很多审计单位和工作人员对总体的审计目标和目标界限没有一个很好的把握，表述的相对比较模糊，操作性不强，不具备指导性。

3.缺乏真实的审计内容。目前，我国现代化企业得到快速发展，审计单位在审计这些企业的会计信息系统时，其一是在审计时工作人员没有一个正确的认识，导致审计的效果在审计过程中没有得到充分发挥；其二是许多企业为了使审计顺利通过，采用做假账的形式瞒天过海，这样就导致审计过程中，工作人员没有办法按照企业的实际情况进行审计，最终对审计质量产生严重影响。由于企业的不同，其审计方法也不尽相同。所以，文档的大量查阅，座谈会的多次召开等都是调查时所采用的方法，大批操作数据需要在测试时使用。审前调查与审计测试没有清晰的界限，也反映出工作人员在对信息系统流程上认识较为模糊，或者难以掌握的地方，无法对调查、测试、评价进行一个明确的界限分类，从而导致信息系统审计的规范化受到严重影响。

4.没有统一的审计系统。随着社会的不断发展和进步，市场上逐渐增多的企业其规模也不断增大，想要促进社会的稳定，保障经济的健康发展，就必须严格审计企业的会计信息系统。然而我国审计单位中，针对这些庞大数量的企业，审计工作不够全面。没有一个统一的审计系统，企业会计信息系统审计的真实价值得不到很好的体现，因此降低了审计效率。

三、会计信息系统审计应对策略

近年来，信息化技术得到快速发展，企业经济效益得到实现的主要手段之一就是通过计算机技术的利用从而使企业办公效率得到提升，通过信息化技术完成企业审计在我国会计信息系统审计工作中发挥着重要作用。随着信息时代的高速发展，审计的领域将逐渐被信息系统审计多替代，伴随着不断扩大的企业信息系统领域的覆盖，会计将会被作为一个独一无二的信息系统分离出来，它所发挥的作业也将也来越重要。所以，审计单位的工作人员必须全面了解所审计的对象，对自身专业知识加强培养，使我国信息系统的审计效率得到有效提高。

1.注重人才培养，加强审计队伍建设。新形势下，我国社会发展的主要力量就是人才，而伴随着社会竞争的日益激烈，人才精英在以后社会竞争中所发挥作用也将逐渐凸显。由于审计工作具有敏感性和特殊性，因此加强培养一批既对现代审计理论知识有所掌握且又对计算机技术有所了解的优秀人才对审计单位来说意义重大。在当前时代背景下，我国审计单位可以通过多种手段，加强培养一批高质量审计队伍，从而促进会计信息系统审计工作得到很好的开展，进一步推动我国现代化事业的发展。

2.建立统一系统，提高审计工作效率。近年来，计算机技术得到了快速发展，在我国现代化企业的发展过程中计算机信息系统发挥着至关重要的作用，企业大部分的数据信息都通过计算机系统进行储存。在信息系统中，部分数据需要多个财务信息系统进行储存，也有一些数据需要在业务信息系统与财务信息系统之间进行转移，在这个过程中许多问题会随着出现，特别是进行重新手工录入的过程。所以，我国审计单位需要进行统一系统的建立，通过计算机技术的应用，完成数据转换时的平价转换，输出信息的完整性和精确性可以通过统一审计系统的建立而实现，保证指定接受者在约定时间内能够准确的接受到输出的消息，确保流入消息准确真实可靠，从而使会计信息系统审计的工作效率得到进一步提高。

3.加大科技創新，加快审计工作进度。我国现代化事业发展的主要保障就是科技力量。当前一个时期，我国的会计信息系统审计的核心技术在一少部分人的手中掌握着，这些核心技术没有发挥其应有的作用，因此导致信息系统审计工作的进度受到制约。所以，我国必须加大对审计系统的科技创新，审计单位要与外界加强联系，及时将先进技术加以引进，从而使审计工作的效率得到进一步提升。

4.加强立法建设，提高审计工作质量。没有明确的制度流程和法律法规，工作就会出现混乱。在我国会计信息系统审计过程中，缺乏明确的审计法律法规，无法有效保障我国当前信息系统审计工作顺利开展。所以，我国应该加强对会计信息系统审计工作的法律法规建设，明确信息系统审计的相关责任，进而给信息系统审计工作提供法律保障，与此同时，也使企业的行为得到有效约束，切实做到有法可依，使审计质量在审计过程中得到不断提高。

四、结束语

近年来，伴随着社会主义市场经济的快速发展，企业在市场经济中占据着主要地位，它的规模也不断增加。而会计信息系统统计作为经济发展过程中的主要部分，对我国经济稳定发展起到了十分重要的作用。近几年，伴随着计算机信息化技术的持续发展，会计信息系统审计发展也得到了有效推动，使大量数据信息的安全性和可靠性得到有效保障。不过随着时间的推移，我国信息系统设计的弊端也逐渐凸显出来，没有统一的审计系统，没有清晰的审计目标，缺乏真实有效的审计内容等问题导致审计效率得不到提升，对我国审计事业的发展产生了严重影响。在当前时代发展的快速变化下，计算机信息化技术也日新月异，会计信息系统审计工作所面对的挑战十分巨大，但社会在进步，这需要我国审计单位及时建立统一系统，加强立法建设，使保障审计质量得到进一步提升。

参考文献：

[1]孙一秀.计算机审计技术在企业内部审计应用浅析[J].内蒙古科技与经济，2014（06）.

[2]游培玉.电算化时代审计的创新[J].企业改革与管理，2014（04）.

审计信息系统联网审计模式浅析 篇4

一、网络审计信息系统的体系结构

通过网络进行审计的网络审计信息系统是审计中心通过网络获得被审计单位的会计信息并进行审计。审计人员就不必亲自到审计单位, 这样便可以降低审计成本并且使审计人员更好的保持独立性。网络审计系统的体系结构如图1所示。

上述模式的系统由三个部分组成:审计中心 (服务器) 、被审计单位 (客户机) 、和网络环境。客户中心在服务器端配备有大容量的存储器。被审计单位会计信息系统的所有会计信息都实时的传输到审计中心, 由审计中心统一保存, 审计中心随时对保存在本地的审计信息进行审计。由于被审计单位的所有会计信息都在审计中心, 被审计系统可以不设数据库, 有关数据库的操作都可以请求服务器来完成, 但这样可能导致服务器不堪重负, 因此被审系统最好自设数据库, 保留本端数据, 相当于做一个备份。在这种模式下, 审计中心进行审计时不需通知被审系统, 更进一步提高了会计信息审计的真实性和审计的可靠性。

二、利用网络和审计信息系统进行远程审计的步骤

第一, 数据采集。数据采集是网络审计中的一个初始环节, 是审计测试和审计抽样的数据来源的根本渠道。此环节通过以审计信息系统和被审单位的财务信息系统的对接使将被审计单位的财务数据按照通过已加密的传输通道从被审计单位的财务信息系统的接口中导入到审计部门的数据系统中从而实现数据采集。数据从被审计单位的财务信息系统转换到审计单位审计信息系统并不改变它的内容, 只是从形式上改变它在被审软件系统中的识别标志, 从而可以按照审计信息系统要求的标志为审计信息系统所识别。数据采集是网络审计系统工作的基础, 对于企业通常只需要导入科目表, 起初余额表, 凭证库表就可以生成相应的会计明细账、总账、各种报表等信息。还可将原始数据加入到相应的数据库, 以备核查和其他功能模块共享。第二, 数据整理、转换。数据清理对从被审计单位采集来的数据进行分析, 查找审计对象潜在的问题、疑点和异常情况, 并得出初步意见。主要涉及到数据的匹配与合并。通过匹配, 发现重复的对象;通过合并, 保留或生成一个完整的对象。数据清理活动的核心是近似重复对象的识别。如果两条记录在某些字段上的值相等或足够相似, 则认为这两条记录互为近似重复。我们把从被审计单位数据到审计中间表数据之间所需要的各种操作均刻画为转换操作, 在审计数据的转换过程中, 一个转换将源对象利用一种转换规则转换成一组目标对象。源对象和目标对象都是数据对象集合的元素。数据对象集中的元素能够是任何类型的数据元素, 但是典型的是表、列或表示在内存中暂存对象的模型元素。通常, 转换也可以产生一系列的临时数据。那些必须一起执行的转换被归类到相应的转换任务中。在执行时, 转换步骤是用来协调转换任务之间执行情况的控制流。每个转换步骤执行单一的转换任务, 这种转换任务既可以是从源对象利用一种转换规则转换成一组目标对象, 又可以是源对象经过多种转换规则转换成一组目标对象。第三, 数据处理。对预处理后的财务电子数据采用查询、统计、抽样、汇总、计算等技术进行分析处理。第四, 符合性测试。进行符合性测试工作按照计划安排, 依照审计程序, 对所审计对象进行符合性测试, 主要通过填表或回答问题方式完成调查表, 通过程序进行统计, 分析出符合性测试结果。第五, 实质性测试。在已做好符合性测试的基础上进行实质性测试。审计程序会自动形成各科目固定格式的审定表, 审计人员要进一步套用模板, 形成诸如现金盘点、固定资产折旧、应付福利费等的计算表。第六, 将分析和测试后的数据归档存入审计工作底稿。

三、审计信息系统进行网络审计的局限性及解决建议

1、统一会计软件数据接口标准

开发会计核算软件的厂商为了长期拥有自己的固定的用户和保证会计核算软件的安全, 对财务信息系统的数据存储格式保密, 以至该软件所含的信息不能被其他厂商调用, 从而使财务数据人为割裂, 形成数据孤岛。这些孤岛易守难攻, 大大增加了实施审计工作的难度。财务软件数据接口成为了制约审计信息系统开发使用的“瓶颈”。这个“瓶颈”就使每次审计都需要寻找不同的数据转换软件, 严重降低了审计工作效率, 也使得利用网络和审计。信息系统进行联网审计的使用范围大大缩小 (见图2) 。

统一会计软件数据接口标准可以使在审计中可以使用审计软件利用网络对各种财务信息系统的财务数据获取成为可能。有了统一的接口标准。首先, 审计软件可以向财务软件采集数据, 解决了原来财务数据不兼容而不能直接调用的问题, 而利用网络开发的网络审计信息系统就有了更广阔的空间。审计工作也将会更好地发挥其职能;其次, 可以充分利用现有的审计资源在各个审计机关之间形成一个有效的信息共享链, 许多集体和个人开发出来的经过实践证明行之有效的计算机审计小模块或计算机应用小技巧都可以在整个审计系统内共享, 避免审计资源的浪费以及重复建设, 可优化整合审计资源, 实现审计信息的有效共享。《中国财务软件数据接口标准》对审计应用软件的设计和开发方面将有巨大的推进作用。使审计信息系统联合网络进行网络审计在不久的将来将被广泛运用。它有利于审计软件的标准化、产品化, 缩短软件开发周期, 提高开发效率, 降低计算机审计工作的复杂度。

2、网络安全技术

首先, 应加强物理安全控制, 即参与系统开发和财务软件评审工作。财务软件开发时应全面考虑审计程序的嵌入, 建立一个独立的模块作为审计软件系统的“前置”来专门处理电子信息。即由前置模块来完成对输入电子信息的接收、真伪鉴别、解密、模式转换;针对发出的信息由它加密 (将标准数据模式生成电子报文并加密) 和发送。这样一来, 被审计单位的计算机网络就可以对经济业务进行实时监控, 自动完成部分审计任务。审计人员参与审计信息系统开发和财务软件审计有利于将错误扼杀在萌芽阶段。

其次, 加大逻辑安全控制, 即重点审查系统的安全控制。审计人员要着重对系统的职责分离情况、操作权限设置进行审查, 防止越权操作和计算机舞弊行为的发生, 检查被审单位的系统安全管理体制和安全保密技术, 是否设置外部访问区域, 是否建立防火墙和实时监控程序。

再次, 做好审计信息系统防病毒工作。使用计算机病毒的疫苗程序, 监督系统运行防止病毒入侵。及时升级杀毒软件。及时修补操作系统和审计信息系统的漏洞做好防病毒准备。

最后, 做好总体环境控制, 审计人员可以实施网络咨询和电子商务签证服务。可就如何选购财务软件, 如何实施有效的系统安全控制和如何改进现有的财务管理模式提供咨询服务, 并按照标准对网上商业活动的完整性、真实性和可靠性进行全面签证。

3、加强网络审计立法, 制定相关法规准则

网络审计立法是保障网络审计正常发展的保障。加强网络审计有关的立法, 使审计执业人员在开展网络审计工作时尤其是进行电子证据、电子签名、电子合同、电子货币等合法性审计时有法可依、有章可循。同时, 由于网络审计的对象、线索、方法、流程、结果等各方面相对于传统审计都发生了变化, 所以加快建立一套网络审计准则是促进网络审计的重要任务, 加强网络审计立法以指导网络审计工作实践的深入。

利用审计信息系统和网络进行审计虽然有很多的优点, 但我们也应该认识到联网审计并不能完全取代实地审计的全部。我们应该坚持网络审计和实地审计相结合。一些必须进行实地审计的工作是不能够完全被网络审计所取代的, 如取证材料的认可、现场查看, 实地盘点、询问和调查函证等, 所以网络的远程审计还必须和其他的审计方法相结合。

参考文献

[1]王学荣、张金城:网络环境下的实时自动化审计系统[J].审计与经济研究, 2001 (2) .

[2]中国软件协会财务与企业管理分会:中国财务软件数据接口标准[J].中国会计电算化, 1999 (4) .

信息系统审计期末考试重点 篇5

公司治理关注利益相关者权益和管理，驱动和调整IT治理。IT能够提供关键的输入，形成战略计划的一个重要组成部分，是公司治理的重要功能。

IT管理是公司的信息及信息系统的运营，确定IT目标以及实现此目标所采取的行动。是在战术层面上

•IT治理是指最高管理层（董事会）利用它来监督管理层在IT战略上的过程、结构和联系，以确保这种运营处于正确的轨道之上。是在战略层面上

•IT治理规定了整个企业IT运作的基本框架，IT管理则是在这个既定框架下驾驭企业奔向目标。

（公司治理关注利益相关者权益和管理，驱动和调整IT治理

IT能够提供关键的输入，形成战略计划的一个重要组成部分，是公司治理的重要功能。IT治理规定了整个企业IT运作的基本框架，IT管理则是在这个既定框架下驾驭企业奔向目标。）

2、信息系统审计阶段，准备阶段应该了解被审计单位哪些方面内容 P11 了解被审计系统的基本情况

（1）、调查了解被审计单位信息系统的基本情况，如信息系统的硬件配置，系统软件的选用，应用软件的范围，网络结构，系统的管理结构和职能分工、文档资料等，调查完成后将审前调查情况记录下来。

（2）．提前三天送达审计通知书，要求被审计单位对所提供资料的真实性、完整性作出书面承诺，明确彼此的责任、权利和义务。

（3）．初步评价被审计单位的内部控制制度，以便确定符合性测试的范围和重点。

（4）．确定审计重要性、确定审计范围。

（5）．分析审计风险。

（6）．制定审计实施方案。在审计实施方案中除了对时间、人员、工作步骤及任务分配等方面作出安排以外，还要合理确定符合性测试、实质性测试的时间和范围，以及测试时的审计方法和测试数据。

在安排利用计算机辅助审计时，还需列出所选用的通用软件或专用软件。对于复杂的信息系统，也可聘请专家，但必须明确审计人员的责任。

3、信息系统一般控制、应用控制的区别和联系

区别：

范围：应用于一个单位信息系统全部或较大范围的内部控制。

• 对象：应为除信息系统应用程序以外的其他部分。

•基本目标：保证数据安全、保护计算机应用程序、防止系统被非法侵入、保证在意外情况下的持续运行等。

一般控制主要涉及：

–管理控制（包括部门管理、人员管理等）

–系统基础设施控制（包括物理环境、系统硬件、系统软件等）

–系统访问控制（包括系统通信控制等）

–系统网络架构控制；

–灾难恢复控制（即服务持续性控制）

应用控制是为适应各种数据处理的特殊控制要求，保证数据处理完整、准确地完成而建立的内部控制。有输入控制、处理控制、输出控制审查方法。

联系：

良好的一般控制是应用控制的基础。

如果一般控制审计结果很差，应用控制审计就没有进行的必要。

4、变更管理实施的过程

P159-1605、如何进行系统运营/维护阶段的审计？

从ISA角度，IS审计师通过审查系统运营与维护的安全性、有效性、效益性等，并对

此进行评估，提出改进意见，从而确保系统能满足企业的业务目标需求并实现其效益。

信息系统在日常运行过程中管理与维护内容主要涉及：

1、信息系统运营的管理；

2、信息系统变更管理；

3、软件配置管理；

4、项目管理；等。

6、电子数据处理系统对审计的影响？

电子数据处理系统对传统审计的影响:

(1)、对审计线索的影响：传统的审计线索缺失

EDP下：数据处理、存储电子化，不可见，难辨真伪。

(2)、对审计方法和技术的影响：技术方法复杂化

EDP下：利用计算机——审计技术变得复杂化

(3)、对审计人员的影响：知识构成要求发生变化

EDP下：会计、审计、计算机等知识和技能

(4)、对审计准则的影响：信息化下审计准则与标准的缺失

EDP下：在原有审计准则的基础上，建立一系列新的准则

(5)、对内部控制的影响：内部控制方式发生改变

传统方式下：强调对业务活动及会计活动使用授权批准和职责分工等控制程序来保证。

EDP下：数据处理根据既定的指令程序自动进行，信息的处理和存储高度集中于计算机，控制依赖于计算机信息系统，控制方式发生改变。

7、简要回答IT治理范围

P46

好的IT治理实践需要在企业全部范围内推行：

–最高管理层（董事会）

–管理者

–下层

8、信息系统访问方式及其审计方法有哪些？

系统访问方式：

–逻辑访问：用户通过软件方式对系统访问。

–物理访问：用户通过物理接触等方式对系统访问。

逻辑访问控制审计：

1.了解IS处理设施的技术、管理、安全环境；

2.记录逻辑访问路径，评估相关软硬件设施；

3、检查已实施的逻辑访问控制软件，查看软件的记录与报告；

4、查看组织的安全政策。

物理访问控制审计：

1、现场查看信息处理设施和异地存储设施；

2、评估物理进入的路径；

3、审核文件和记录。

9、回答恢复点目标和恢复时间目标的概念？

恢复点目标(RPO)：由业务中断情况下可接受的数据损失来决定，有效量化了业务中断时可以允许丢失的数据量。

恢复时间目标(RTO): 由业务中断情况下可接受的停机时间决定，指明了灾难发生后必须对业务进行恢复的最早时间点。

10、如何进行系统安装后的审计？

新系统是在日常作业环境中稳定下来之后，需要进行安装后审计。安装后审计是对系统实际运行状况进行集中分析和评价，审计师在平时管理工作基础上进行的。安装后审计和系统评价的内容相似，但目的不同，进行的时间不同。安装后审计师在系统投入运行后定期或不定期进行的审计，其目的是确认系统目标和需求、成本效益、变更、资源利用率、内部控制、运行日志、系统改进。

11、简要回答IT治理成熟度模型

IT治理成熟度级别：0没有级别—根本没有管理程序1初始级—程序混乱，没有组织2可重复级—程序遵循某种模式3已定义级—程序已形成正式文档，已发布4已管理级—程序得到控制和评测5优化级—遵循并自动实行最佳实践

优点与作用：

• 涉及经营需求的各个方面，简单实用的方式测定差异；

• 测量治理发展程度的方法，各个成熟度的典型模式，有助于组织,对照惯例和最佳实践，发现和解释缺陷与不足,关注关键的管理方面,确定组织发展目标。

12、逻辑访问控制中的识别技术有哪些？

身份识别与验证

–“只有你知道的事情”——账号与口令

•账号的控制

•口令的控制

–“只有你拥有的东西”——令牌设备

•发送许可权的特殊消息或一次性口令的设备

–“只有你具有的特征”——生物测定技术与行为测定技术

•指纹、虹膜等

•签名等

论述题

1、信息系统审计审计目标

一般审计目标

（1）保护资产的完整性/安全性。信息系统资产包括硬件、软件、人力资源、数据文件及系统文档（文件）等。所以，保护信息系统资产的完整性成为许多组织要达到的一个重要目标，也是信息系统审计所追求的目标之一。

（2）保证数据的准确性。有效防止数据的输入、输出错误，以及非授权状态下修改信息所造成的无效操作和错误后果。

（3）提高系统的有效性。信息系统获得预期的目标

（4）提高系统的效率性。信息系统以尽可能少的资源消耗达到预期目标。系统资源主要包括机器时间、设备、系统软件、劳动力等。

（5）保证系统的合法性、合规性。信息系统及其运用必须遵守有关法律、法规和规章制度。

2、IT治理的方法？(P41)

1.积极进行治理设计

2.选择正确的时间进行IT治理设计

3.高层经理人员的参与

4.对目标有所取舍

5.制定例外处理流程

6.提供相应的激励

7.在组织的多个层面设计治理

8.加强透明度和教育

9.运用相同的机制治理多个关键资产

3、信息系统面临互联网的风险及其控制技术？(P73)

来自互联网上的安全威胁主要分为主动攻击和被动攻击

–被动攻击：监听

–主动攻击：

• 中断

• 篡改

• 伪造

互联网攻击的主要表现形式：非授权访问。

恶意攻击者一般同时采取两种方式。

4、结合信息系统分析与设计如何考虑应用控制

输入控制、处理控制、输出控制

5、论述信息系统开发过程中的风险及其控制技术？

相关风险

系统不符合用户的业务需求

项目风险

（1）项目内部

（2）和供应商之间

（3）在组织内部

（4）和外部环境之间

重要原因：缺乏必要的规则，组织没有提供必要技术基础设施和支持，即缺乏有效的软件过程管理与项目管理。

风险降低：实现安全措施，以把风险降低到一个可以接受的的级别。实际上就是力图减小威

胁发生的可能性和带来的影响。

风险承受：接受潜在的风险并继续运行信息系统。即在实施了其他风险应对措施之后，对于残留的风险组织可以选择接受。

风险规避：通过消除风险的原因和后果来规避风险。

风险转移：通过使用其他措施来补偿损失，从而转移风险。

6、结合实例，IT服务管理的内容与框架？（P149）

IT服务管理实施规划用以建立IT服务管理流程，讨论规划和实施IT服务管理的关键性问题，并对实施和提升IT服务提供全面的指导。内容包括：(1)创建清晰的战略远景和使命；(2)分析企业当前IT状况与服务状况；(3)定义期望状态并进行差距分析；(4)设定优先级并启动过程改进；(5)定义关键成功因素和关键绩效指标。

审计信息化信息系统 篇6

【关键词】防范；金融风险；提升；审计系统

当前，互联网正在深刻和广泛地影响着银行的经营管理模式。随着各银行数据大集中的完成，IT风险也越来越集中。美国近日破获的“本世纪银行大劫案”，震惊了世界，也给世界金融业敲响了警钟。在这个信息化飞速发展的时代，信息系统故障和安全事件给企业带来了巨大的经济损失和严重的声誉影响，控制IT风险、保证信息系统稳定运行已成为银行最紧迫的任务。此外，随着金融监管力度的加大，银行信息披露制的实施也是当务之急。信息系统的稳定可靠运行、应用系统中敏感业务信息的保护，已成为业界内外关注的焦点。这些都要求银行加大对信息系统的审计力度。只有建立IT审计机制，由独立的IT审计师进行信息系统审计，才能形成对信息系统安全的客观评价。由于信息技术在银行经营管理领域各个层面的广泛运用，IT审计也已贯穿在各种审计之中，成为时下银行业最关注的重要课题。

1.最为突出的三种信息科技风险

因技术问题引发的金融风险问题由来已久，且在各个国家普遍存在。在因技术问题引发的金融风险中，有三类表现最为突出：

①宕机的风险。

2013年6月23日上午，北京、上海等多个地方的中国工行用户反映该行系统出现故障而暂停业务。工行回应称，这是由于部分地区计算机系统升级原因造成柜面和电子渠道业务办理缓慢。这一风波刚平息，中国银行再次“中招”：6月24日上午，中国银行银期转账前置系统一度出现交易缓慢，影响客户银期转账交易。尽管工行、中行两家银行发布公告称为系统升级引起，且经紧急处置后系统已恢复正常，但是，频繁的系统故障依然引发了市场关于“钱荒”的猜疑，银行股的集体暴跌，带动A股市场出现2008年国际金融危机后罕见的大幅下挫，跌幅超过5%。

2003年1月，美国银行（Bank of America）13000台ATM机因病毒瞬间宕机，该行客户无法通过ATM完成存取款交易。

2005年2月，美国银行备用客户信息磁盘在空运过程中失窃，约120万客户信息泄，丢失的信息包括社保号码和私人帐户信息，全部是电子银行诈骗的必备资料。

2010年新加坡的星辰银行和2011年的美国银行都出现过大型机宕机的事件。

……

系统故障是计划内的系统升级还是“计划外”的，都反映出银行在系统质量和安全方面存在漏洞。信息化高度发展和银行业数据大集中背景下，业务系统中断已经成为银行难以接受的风险，每次银行信息系统宕机都会导致严重损失，并对银行声誉带来很大负面影响。中国银行业监督管理委员会业务创新监管协作部副主任王岩岫认为，如果银行系统中断1小时，将直接影响该行的基本支付业务；中断1天，将对其声誉造成极大伤害；中断2-3天以上不能恢复，将直接危及其他银行乃至整个融系统的稳定。

而调研机构Qualix Group曾有一组数字说明不同行业关键业务中断带来的金钱损失：服务器宕机1分钟，平均会使运输业损失15万美元，银行业损失27万美元，通信业损失35万美元，制造业损失42万美元，证券业损失45万美元……这从直接经济效益的角度解释了关键业务平台对于稳定性和可靠性的要求。对于以上行业的关键业务来说，都需要遵循“5个9”（99、999）、“6个9”（99、9999%）甚至“7个9”（99、99999%）的标准来加以评估，而这些标准代表的，就是一台服务器每年的非计划停机时间分别只有5分钟、30秒和3秒钟。由此我们可以想象本次4小时宕机的时间是多么漫长，所造成的损失又是多么巨大。

②金融欺诈的风险。

来自金融内部的票据、金融凭证诈骗，以及来自外部的信用卡、保险、信贷诈骗等，都不同程度地令金融业不寒而栗。近年，不断出现的银行钓鱼网站、银行卡盗刷案件，更令客户对银行的安全性产生质疑。

③黑客侵袭的风险。

2009年1月8日，美国万事达公司宣布，有黑客侵入了“信用卡第三方付款处理器”的网络系统，造成包括万事达、Visa、AmericanExpress和Discover在内各种信用卡多达4000多万用户的数据资料被窃；2009年2月5日，ANZ银行向消费者发出警告，“一种计算机病毒入侵了银行系统”，假冒网站要求用户输入用户名、密码和个人身份号码；2007年08月18日，荷兰银行有部分客户账号中的资金被网络犯罪分子利用电脑病毒盗走，这些客户的损失将得到银行的补偿，但是银行方面并没有透露被盗账户和资金的具体情况；2009年08月17日，一名迈阿密居民因盗取1、3亿张信用卡和借记卡数据被起诉。嫌疑人通过入侵零售商电脑，盗取银行卡信息，其中包括哈特兰支付系统，零售连锁7/11公司和汉纳福德兄弟公司等。

2009年10月26日，我国福建省厦门市法院审理了一起“黑客”入侵银行系统窃取储户信息案件作出判决，被告人楼家渊利用自编的“黑客”程序和网上下载的任务自动加载程序，入侵多家商业银行网站，非法获取755名网上银行客户资料，并利用其中的部分信息复制银行卡。其行为构成非法获取计算机信息系统数据罪，依法判处有期徒刑7个月。

2009年11月10日，美国司法部起诉一个由俄罗斯和东欧人组成的黑客集团，指他们涉嫌入侵苏格兰皇家银行（RBS）旗下信用卡公司的计算机网络，伪造假卡，在不足12小时内，于全球至少280个城市合共2，100部提款机提取逾900万美元现金，香港警方去年亦参与联合行动，拘捕两名提款人士。

近年来，世界多国的银行遭遇黑客攻击，并蒙受巨额经济损失。银行、金融机构已成为网络黑客攻击的重点，网络黑客已从最初的个人行为，发展为有组织的犯罪。黑客犯罪，全球已形成“黑色产业链”。我国每年因遭受网络攻击造成的损失就多达70多亿元，信息系统故障和安全事件给企业带来了巨大的经济损失和严重的声誉影响。

2.通过IT审计准确计量风险

目前，信息系统的正常运行已经成为银行业务正常运营的最基本条件之一，信息科技在有力提升银行核心竞争力的同时，信息科技风险也愈发突出和集中，信息科技风险控制已成为银行业风险管理的重要内容，而IT审计作为银行业风险管理体系的重要组成部分，其重要性和必要性已经日益得到银行业管理层的关注。作为商业银行信息科技风险管理的第三道防线——信息系统审计（简称“IT审计”）在银行内部控制建设过程中扮演了更为重要的角色。金融信息化使审计信息、审计方法、审计技术发生了根本性变化，金融风险管理和IT审计机制的建立已经势在必行。利用信息化技术促使内审和风险管理高效、可控将对金融机构产生积极影响，并将成为企业风险管理不可缺少的重要平台。

通过IT审计来保证和监控全行的信息科技管控对各级监管政策法规的合规性，也成为银行业实施IT审计的重要目的之一。

3.优化审计平台

随着互联网金融信息科技应用的推广、银行业务正在发生的重大的变革，IT审计部门只有紧跟信息化建设步伐，加快审计信息化建设，不断改进审计手段和技术方法，才能提高内部审计的生产力。

4.结束语

政府审计信息化系统平台的构建 篇7

一、政府审计信息化建设方案设计

为满足各级审计机关信息化系统建设需要。全面的信息系统建设方案有两种主要的设计思路:“省、市、县一体化方案设计”和“审计机关一体化方案设计”, 前者主要应用于省、市、县三级审计机关的设计, 后者适用于独立的审计机关。

(一) 省、市、县三级审计机关方案设计

这种方案强调的上下级审计机关的相互配合工作, 通过建立一个完整、全面的审计信息化网络, 达到实现政府审计信息化的综合目标。省、市、县审计机关均建有自身完善的信息系统和基础数据库;通过业务系统向被审单位进行数据采集、审计;通过决策系统进行政务公开、接受监督、向政府汇报工作。其中包括:省、市、县三级审计机关各自建立局域网;并通过审计专用网络相连;上级审计机关对下级机关进行直接的业务指令;下级审计机关对上级机关直接做工作汇报。

(二) 审计机关一体化方案设计

针对独立的审计机关, 则应建设自己系统内部完善的信息系统。这些系统的建立, 也适用于上述三级机关中每一级机关内部的系统设计。

基本的审计信息系统应包括以下五种数据系统, 通过这些系统对审计部门所有业务进行规范。各数据系统应在严格的授权和监督下进行数据操作和运行。各个应用系统的基本目标如下:

1. 数据获取与整理系统。

通过数据获取与整理系统, 实现现场或网上远程实时收集被审计单位会计数据和其他有关数据的目标, 节省了大量搜集基础数据资料的时间, 提高了审计效率, 降低了失误和差错。

2. 审计业务系统。

通过审计方案、审计程序、内控测试、审计证据与工作底稿的管理, 辅之以审计抽样等审计工具, 审计业务系统对被审计单位会计数据进行账表复核处理, 通过作业系统的工作, 实现从审计准备到审计实施阶段除数据获取与整理以外的各项审计工作的程序化、规范化的审计工作管理。

3. 审计数据库。

审计业务数据根据业务循环将相关数据传递到审计结果信息数据库, 审计结果信息系统完成从外勤工作结束到审计处理结束各环节的管理。通过该系统, 实现审计结果的模块化、规范化管理, 减少了人为处理可能会产生的错误。

4. 审计报警系统。

通过对获取与整理的被审单位数据, 审计报警系统在限定一系列的预警指标和预警方案后, 系统自动进行数据筛选、判断和运算, 形成两种数据:一种是可能的审计疑点或审计重点, 存储在审计待查数据库中, 以备审计人员进行后续的专业判断。一种是没有疑点的数据, 存储在其他经济数据库中, 为审计人员进行分析、综合报告及审计信息的统计及工作总结等备用。

5. 审计办公自动化 (OA) 系统。

进行日常公文处理、行政事务管理、审计项目档案管理等, 并根据管理需要查找或引用审计信息数据, 实现审计机关领导、行政办公与审计业务系统的有机结合;审计机关领导通过审计档案管理系统随时对正在进行或已经完成的审计项目进行指导和监督, 审计结果可自动生成统计报表向领导报送。

这五种数据库系统可以实现对整个政府审计工作流程的全面管理, 即从审计计划、审计准备、审计实施到审计终结的全过程全部实现信息化、规范化。真正实现从传统手工审计到信息系统审计的飞跃。

二、建立政府审计信息化系统平台

针对上述政府审计信息化建设的方案设计, 审计机关使用的各种审计信息化应用系统, 应包含的必要子系统及主要的基本功能如下:

(一) 审计数据获取与整理系统

这一系统的主要功能是运用计算机技术及网络技术, 对被审计单位的会计数据 (电子数据) 进行收集, 并整理转换成审计人员可以理解和使用的数据, 为后面的计算机辅助审计提供数据来源。

(二) 审计业务系统

用于对审计的全过程从审计准备阶段、审计实施阶段到审计终结阶段的全面管理。这一系统通过计算机技术, 提供丰富、简便的审计工具 (如明细账、日记账、余额汇总表、序时账查询等审计查询工具) ;科目发生频率分析、比率分析、报表分析等审计分析工具;审计抽样、自动审计、调整分录、账表复算、疑点处理等辅助审计工具。

(三) 审计数据库

这一系统负责对审计终结阶段的审计结果数据进行管理。如:基础信息维护、审计对象管理、审计项目进度查询控制管理、审计意见书等审计结果管理、审计复核管理、审计复议管理、审计听证管理以及其他审计相关数据管理等。

(四) 审计报警系统

这一系统的主要功能是审计人员为确定审计重点, 对可能的舞弊错误行为设置预警指标、预警方案、设置自动产生疑点数据的业务处理管理信息系统。

(五) 审计办公自动化 (OA) 系统

会计信息系统舞弊审计探讨 篇8

从会计信息系统的通用模型可以看出, 其四大处理阶段———数据采集、数据处理、数据库管理和信息生成, 都是舞弊的高风险领域。

(一) 数据采集阶段

数据采集是会计信息系统的第一个阶段。在很多方面, 数据采集都是系统最重要的阶段, 保证了进入系统的数据有效、完整且没有重大错误。数据采集模块的设计原则是相关性和效率。会计信息系统应该只获取那些相关的数据, 系统设计员通过分析用户的具体需求来定义哪些信息是相关的, 哪些是无关的。只有最终对信息生成有帮助的数据才是相关的。会计信息系统应该能够在数据采集阶段就过滤掉无关信息。有效率的数据采集是指避免重复采集相同信息。数据的多次采集会导致数据冗余和不一致。会计信息系统的采集、处理和存储数据能力是有限的, 数据冗余会使得设备超负荷运转而降低系统的整体效率, 最直接的表现是系统运行速度缓慢。会计信息系统中最简单的舞弊方法大都集中在数据采集阶段。这是传统的交易舞弊在IT环境中的等价形式。舞弊者只需了解系统如何输入数据即可。舞弊行为之一是伪造数据 (删除、修改或增加一项交易) 。如舞弊者在录入时, 插入一条虚假的工资交易, 或者增加工时字段的录入值, 系统将为舞弊者增加工资支票的金额。舞弊行为之二清偿一项虚假的负债。通过输入虚假的支付凭证 (如采购订单、验收报告或供应商发票等) , 舞弊者可以欺骗系统为不存在的交易创建应付账款记录。一旦应付记录建成, 系统将认为该交易合法并且在到期日打印支票, 按正常交易流程付款。分布式数据采集和网络传输使得地理位置相距甚远的关联公司间越来越多地遭遇舞弊, 如冒充、偷窥、跟踪和黑客等。冒充是指舞弊者通过伪装成授权用户从远程终端获得了会计信息系统的访问许可权。这通常首先需要事先获得授权访问用户名和密码。舞弊者还可搭线接入通讯线路并侵入一个已经登录进系统的授权用户账户。一旦舞弊者进入系统, 就和其他合法授权用户一样进行各种操作。现阶段黑客的主要目的已由原来的炫耀技能转变为偷窃、倒卖公司信息, 或者恶意制造破坏, 迫使公司高薪聘请他们修复和维护。

(二) 数据处理阶段

数据采集完成后, 经过处理才能生成直接可用的会计信息。数据处理阶段的任务包括用于生产日程安排应用程序的数学算法 (如线性编程模型) 、销售预测的统计技术、账务处理程序中的过账及汇总等。数据处理阶段的舞弊分为两种:操作舞弊和程序舞弊。操作舞弊是指滥用或偷窃公司的会计信息系统资源, 包括利用公司IT资源做私活。程序舞弊主要是指创建非法程序访问数据库文件、更改和删除会计记录, 或在会计记录中插入数值, 或用计算机病毒破坏程序的处理逻辑, 使数据处理异常。萨拉米舞弊是著名的程序舞弊。由于银行财务报告要求的数据精度低于数据库中实际存储的数据精度, 用来计算客户存款利息的程序必须具备取整功能。利息计算程序中的一个复杂的例行程序是清除舍入错误, 以使银行负担的利息总额等于各储户贷方的总额。程序暂时将每次计算的小数部分保存在一个内部存储累加器中。当累加器中的数值达到正或负的一分钱时, 这一分钱才被记入储户账户。舞弊者通过修改程序处理逻辑, 使得正一分钱不是随机地加入某储户账户, 而是加入舞弊者账户, 但负的一分钱仍然如实地从储户账户中扣除。虽然每次只加一分钱, 但由于银行交易量的巨大, 这种萨拉米舞弊可以汇集一笔可观的存款, 而且会计记录还能保持平衡。

(三) 数据库管理阶段

公司数据库是其财务和非财务信息的集中储藏室。数据库管理舞弊包括: (1) 更新、删除、乱序、毁坏或偷窃公司的数据。访问数据文件是这种舞弊的基本要件, 因此数据库管理舞弊常常与交易舞弊和程序舞弊相结合, 最常见的舞弊手段是从远程地址访问数据库, 在数据文件中浏览、拷贝并出卖数据。 (2) 心怀不满的雇员的报复性破坏公司的数据文件。 (3) 逻辑炸弹———编程人员在程序中插入破坏性例行程序, 在某特定条件满足时, 逻辑炸弹爆炸———删除重要数据、破坏系统等。例如, 某一工资程序中的逻辑炸弹是每天检查雇员名单, 如果没有找到特定雇员的记录 (如该雇员被解聘) , 则启动炸弹, 删除或恶意篡改相关数据表文件。

(四) 信息生成阶段

信息生成是为用户编译、格式化和表达直接可用信息的过程。信息可以是一个操作性的文件、结构化的报告或者计算机屏幕上的一条消息。有用信息在逻辑上具有如下特点:相关性、及时性、准确性、完整性和总括性。信息生成阶段最常见的舞弊形式是偷窃、误导或滥用计算机输出信息。实务中最常见的舞弊手段是垃圾寻宝, 即舞弊者在计算机输出终端附近的垃圾箱中寻找有用信息。另一种舞弊手段称为侦听, 即在通讯线路上监听输出信息。IT技术很容易使舞弊者窃听到正在通过的不受保护的电话线路和微波信道传送的信息。多数专家认为, 在操作上防止一个决意进入数据交换信道的舞弊者是不可能的, 但是数据加密可以使侦听者不能理解信息, 从而达不到舞弊目标。

二、会计信息系统舞弊审计

由于需要伪造会计记录, 许多舞弊方式在会计信息系统中都会留下审计线索。审计人员首先开发一个舞弊特征图, 用以刻画在某一特定类型舞弊中人们期望找到的数据特征, 然后采用各种数据获取和分析工具 (如ACL软件) 来收集和分析数据, 找到审计证据, 形成审计结论。以下仅详细说明向虚构供应商付款、工资舞弊和循环挪用应收款项各自对应的IT审计程序。

(一) 向虚构供应商付款

采购职能对于很多公司而言是一个重大的风险领域, 其常见舞弊方式之一是向虚构的供应商付款。采用这种方式的舞弊者首先要捏造一个供应商, 并在受害公司的记录中为其建立合法的供应商身份。然后舞弊者提交来自虚构供应商的发票, 并由受害公司的应付账款系统处理。由于存在组织结构和内部控制系统, 这种舞弊通常需要两个或两个以上雇员共谋。常见的审计程序分为以下几种情况: (1) 连续发票号码。既然受害公司是发票的唯一收受人, 虚构的供应商发出的发票应该是连续编号的。用ACL软件以发票号码和供应商代码为关键字对发票文件中的记录进行分类, 输出发票号码连续的发票清单, 以备进一步分析和检查。 (2) 有邮政信箱的供应商。伪造的供应商可能没有实际住址, 舞弊者会租用一个邮政信箱来收款。审计人员使用ACL的表达式生成器, 创建一个过滤器, 以便从发票文件中选取那些只有邮政信箱地址的供应商。 (3) 有雇员地址的供应商。舞弊者有时不租用邮政信箱, 而在发票上填列家庭住址。审计人员通过ACL软件的连接功能来连接雇员和发票两个文件, 并以住址字段作为二者的通用关键字, 使得只有供应商住址等与某雇员住址的记录才能输出到合并后的结果文件中。 (4) 多家公司拥有同一地址。为了避免与同一供应商进行过多交易而引起警觉, 舞弊者可能伪造多家共享同一邮件地址的供应商。此时可用ACL软件的重复性检查功能来生成一份由两个或两个以上供应商共享同一地址的供应商列表。 (5) 发票面值略低于检查临界值。许多公司为了控制支出, 建立了一个重要性临界金额。所有超过该临界金额的支票都要经过复查和签名。有鉴于此, 舞弊者会伪造刚好略低于临界金额的付款, 使得其既可谋取最大利益, 又能逃避审查。与此对应的审计程序是用ACL软件的表达式生成器来创建位于临界金额左右的值域, 如合计金额介于临界金额-100和临界金额之间的发票, 然后再综合另外四种审计程序全面检查。

(二) 工资舞弊

常见的工资舞弊有两种:雇员工资的超额支付和对不存在的雇员支付工资。第一种方式通常涉及夸大工时和/或重复发放工资。第二种方式包括向工资系统中加入虚假的雇员, 随后冒领该雇员的工资, 这种舞弊的变种之一是在工资名册上保留已离职雇员。 (1) 超额工时。什么是超额取决于各公司的政策和具体薪酬条款, 审计人员首先应获得关于工时及薪酬的详细内部标准, 然后使用ACL的表达式生成器功能, 筛选出具有超额工时的工资名单。如果超时现象相当普遍, 那么可选取周工时大于50小时的记录, 以生成舞弊嫌疑名单。 (2) 重复支付。使用ACL的重复性检查功能, 按雇员编码查找工资支付记录, 如存在以下情况之一者, 可视为重大舞弊嫌疑:相同雇员号码、相同姓名、相同账户;相同姓名, 不同账户;不同姓名, 相同账户;不同姓名, 不同账户, 但相同家庭住址等联系信息。 (3) 不存在的雇员。在ACL软件中, 连接工资支付文件和雇员文件, 选择雇员号码为共同属性, 使连接后的输出文件中仅包含在雇员文件中不存在的雇员的工资支付记录, 审计人员应就输出信息向工资部门追问支付原因。

(三) 循环挪用应收款项

循环挪用应收款项是指将从第一家客户收到的支票存入自己账户, 在以后的会计期中, 再把从第二家客户收到的款项挪到第一家客户账户中, 以此隐蔽其对第一家客户收款的挪用行为。因为公司的具体信用条款、会计信息系统的选型, 以及应收款管理相关模块的参数详细设置各不相同, 所以实际公司数据中的唯一的舞弊证据是应收款项的收到和记录的时间差, 舞弊特征极不明显, 给审计带来很大困难。开放发票法通常用于管理 (商业) 企业的应收账款。发票文件中各条记录相互独立, 从客户处取得的支票一般是对特定发票的支付。发票文件中的发票金额字段值在开票时填入, 而结账日期字段值在收到全部款项时才填入, 汇款额字段反映从客户处实际收到的付款金额。既然客户与供应商之间良好的信用关系很重要, 那么正常情况下的付款应该是准时且全额的, 部分付款很可能就存在应收款项的循环挪用。未付款的发票称为开放发票。例如, ZYZ公司收到客户A寄来的一张117万元的支票, 以全额支付其记录在发票文件中的一笔117万元的采购业务。ZYZ公司的舞弊者收款后占为己有, 挪作他用, 而未结清该发票, 则该117万元的发票仍为开放状态。在后续的会计期中, ZYZ公司收到客户B汇出一张200万元的的支票对另一张开放发票进行全额支付。挪用者将其中的117万元记入客户A账户, 结清该账户 (即关闭上述117万元的发票) , 余下的83万元清偿客户B的开放发票金额中的一部分。由于客户B的发票金额中还有部分未结清, 因此客户B的发票仍为开放状态。循环挪用是一种必须要舞弊者主动连续实施的舞弊手段, 因此舞弊特征随着时间的推移能得到最佳观测。这种向下结转的特点为审计人员提供了绘制舞弊特征图的基础。如果公司遵循恰当的文件备份程序, 发票文件在各个会计期内经常备份, 则可生成发票文件的不同版本, 把这些不同版本的发票文件收集在一起纵向比较其中的开放发票记录, 就反映出从各会计期结转的发票额。如果审计师怀疑存在循环挪用, 可采用以下的实质性测试程序:用ACL软件的表达式生成器从各版本的发票文件中选取部分结清的发票记录;将得到的结转文件合并到一个单独反映整个会计期活动的文件中;创建一个计算字段来计算结转的额度 (发票额-汇款额) ;用重复性检查命令, 查找结转额度相等的支付记录, 循环挪用款项就会浮出水面。

企业级会计信息系统中的舞弊存在三种主要形式:向虚构供应商付款、工资舞弊及循环挪用应收款项。这三种舞弊在数据采集、数据处理、数据库管理和信息生成四大处理阶段都各具特点, 由此形成了各自对应的、基于ACL软件的特色IT审计程序, 在实务中取得了较好的成效, 从而有效地降低了财务报告重大错报的风险, 提高了企业信息的可靠性和可用性。

参考文献

[1]王海林:《IT环境下企业内部控制探讨》, 《会计研究》2008年第11期。

[2] (美) 詹姆斯·A·霍尔 (James.A.Hall) 著, 李丹、刘济平译:《信息系统审计与鉴证》, 中信出版社2003年版。

审计信息化信息系统 篇9

关键词：远程审计,审计系统,系统运用

0 引言

随着信息化时代的到来,各类软件和系统在企业经营管理中广泛应用,内部审计的方式也随之发生了革命性变化。由最初的查账式的内部审计向管理审计逐步转型,且大部分公司已经实现了所有核心业务操作过程的信息化覆盖。业务操作都是依靠信息系统来完成,系统中存储的数据客观、真实地反映了业务操作的全过程,业务经营活动充分反映在各类数据信息中。原先需要审计人员去现场查阅纸质资料、翻阅纸质凭证的模式也逐步被在系统中查看电子资料所代替。因此远程审计逐步成为现场审计之后的一大审计模式。远程审计在网络时代适应了经济环境的要求,也适应了企业加强风险管理、实现价值增值的要求,必将成为新时期内部审计常规、主要的审计形式。远程审计的出现,凸显了现代新审计模式的“即时、高效、便捷、低成本”等特点,突破了传统审计模式下“时间与空间”的限制,使审计的效率性、效益性和效果性得到了优化和提升。那么公司如何利用审计系统让远程审计的范围更扩大、实效更高呢?本文将对这部分进行探讨。

1 远程审计的概念

所谓远程审计,是指审计人员通过运用网络通信技术和信息技术,对企业的经营管理进行持续跟踪的一种审计模式[1]。针对远程审计,国内没有一个统一的概念,涵盖在线审计、非现场审计等不同的概念。远程审计就是一种汇集了计算机技术、网络技术、审计技术于一体的现代审计作业方式,是利用网络、计算机支持系统,对审计信息实施采集、处理和传输,使审计人员能够在远离被审计单位的情况下即时获取经营及管理等数据,并运用数据处理、统计分析等系统功能,对其经营管理活动进行审计、监督和检查,从而达到优化审计资源、提高审计效率的目标。从改变传统的审计模式、扩大审计面、完善审计监督的角度来说,远程审计不是目的,远程审计的目的是为了节省时间,减少费用,提高效率,增加审计的及时性[2]。这一模式既减少了消耗在审计途中的时间和经费,也减少了多次进驻被审计单位带来的影响。

2 人保财险公司现有审计系统在远程审计中的作用

2.1 审计系统的开发背景

随着信息技术的不断进步与广泛应用,信息和数据分析等技术已经成为内部控制和风险管理体系的重要技术支撑。内部审计如何及时适应新形势的变化,充分借助各种新技术、利用好现有数据资源,去发现运营和管理过程中的错误和违规行为,揭示潜在风险与控制薄弱环节,既是当前面临的重要工作,也是内审工作转型发展的内在需要,对于提高履职能力、提升审计价值具有重要的现实意义。基于此,人保财险总部在成都监察稽核中心研发的审计系统的基础上,开发了新一代审计系统。

2.2 审计系统在远程审计中的运用

人保财险新一代审计系统分为审计管理子系统和数据分析子系统两大部分,功能组成如图一所示。该系统具备完整的审计管理、资源库功能,强化了监控分析功能,数据查询相对高效。其中审计管理子系统又由三个模块组成,分别是审计管理模块、在线作业模块、共享资源模块。该子系统侧重于审计项目的流程管理,各审计单位的审计工作计划和审计工作流程均可在该子系统中维护和实施。该子系统还可以将审计工作中审计依据、审计模板、审计对象、审计组织等各类信息资源进行共享,以促进审计知识沉淀和经验重用。数据分析子系统侧重于数据查询和监控预警,着重解决审计人员如何有效采集到电子数据、审计人员如何分析审查所采集到的电子数据的问题,为现场审计工作和持续监控提供业务、财务等风险数据。在开展远程审计项目时,审计人员利用新一代审计系统以被审计单位计算机信息系统和底层数据库原始数据为切入点,在对信息系统实行检查测评的基础上,通过对底层数据的采集、转换、清理、验证,形成审计中间表,并运用查询分析、多维度分析、数据挖掘等多种技术和方法构建模型进行数据分析,发现趋势、异常和错误,把握总体、突出重点、精确延伸,从而收集审计证据,实现审计目标。网络审计系统中的“数据中心”,融汇大量的财务信息、经济活动信息等,使审计人员能够更好的拓展审计内容的深度,提高项目审计的数据资料覆盖面,较好的保证项目审计质量[3]。因此,人保财险公司现在的远程审计利用新一代审计系统对被审计单位的数据进行实时的采集、存储、分析和传输,从而得到及时、科学和完善的审计数据和审计分析结果的过程,使审计工作从事后审计与事中审计相结合,从静态审计转变为静态审计与动态审计相结合。利用新一代审计系统开展远程审计项目的优势在于能直接访问被审计单位的底层电子数据,而底层数据具有未经加工处理以及原子性两个特点,在将其根据审计需要组合生成新的信息后,其灵活性和潜在价值都远远大于现有的信息。

远程审计跨时空作业使审计单位能够综合调用、管理机构内外的资源,完成审计项目,将原本复杂繁重的审计任务变成简单、方便、快捷的审计作业[4]。它主要是依托审计系统的数据分析子系统完成对业务数据的采集与转换,再利用审计辅助程序进行统计、抽样、分析等审计作业处理,最终形成审计报告的过程。

3 审计系统在远程审计应用过程中存在的不足

我国网络经济起步较晚,对网络审计的理论研究起步更晚,目前仍处于摸索上升阶段,经验不足导致相关理论还未能形成系统的体系,对审计行为的判别依旧模糊,与网络审计相适应的软硬件设施也在逐步发展中,需要更多的探索实践去反复验证[5]。结合人保财险的工作实践,笔者总结了审计系统在远程审计应用中存在以下三个方面的不足。

3.1 审计系统与其他系统分离

虽然目前的新审计系统能基本满足远程审计项目流转和数据支持的需求,但新审计系统独立于其他业务系统,无法直观的向审计人员展示更为具体的业务数据,审计人员需要单独申请业务系统的查询权限才能直观的分析风险数据和查看到相关联的影像资料。

3.2 审计系统增加了人员的工作负荷

审计系统的管理子系统将所有审计流程所需要的资料文档诸如审计通知、审计方案、审计底稿、事实确认书、审计报告、反馈意见和整改报告等都纳入该子系统进行管理,但是除了工作底稿和事实确认书是在审计系统中生成以外,其他的关键资料均为其他系统流转生成的资料,主审需将其回传到审计系统中进行归档,增加了审计系统项目维护的工作量。

3.3 审计系统收集的信息具有局限性

作为远程审计项目,更多的是需要和被审计单位进行电话沟通,如若涉及到重要的谈话记录,需要谈话对象签字,且现有审计系统未提供谈话录音功能或谈话记录确认功能,则需要审计人员将谈话记录提供给被谈话人员签字确认后邮寄回审计人员,这个签字及邮寄环节的时效性无法保障,如果谈话人员事后反悔,将不利于审计工作的开展。而且在开展远程审计项目时,由于地理位置的限制,无法发挥调查问卷的功能,也使得收集信息方面有了一定的局限性。

4 审计系统在远程审计中应用的对策

基于上面对审计系统的介绍,笔者认为如果审计系统要在远程审计项目中发挥更高效的作用,需要将原先单一的并行流程模式转变为复合的全流程模式。将在审计系统以外操作的部分都纳入到审计系统中完成,并记录轨迹。同时让项目的实施过程面对被审计单位,使得被审计单位也参与到新审计系统项目的实施过程中来,一是可以调动被审计单位的积极性,二是减轻审计人员的系统维护工作量,三是增加沟通协调的效率。结合文献调研以及工作实践,笔者提出新的审计模式。

4.1 项目准备阶段

主审在审计系统中起草审计通知,然后通过审计系统下发审计通知。被审计单位在接到通知后根据时间要求,分类上传审计所需要的资料至审计系统。

4.2 项目实施阶段

(1)风险点分析:首先,审计人员可以通过审计系统的数据分析子模块的查询分析功能结合被审计单位提供的资料确定疑点。然后通过审计系统和相关业务系统的接口,跳转至业务系统,直观的分析风险数据的成因和影响。如有需要进一步和被审计单位沟通核实时,可通过审计系统的网络视频功能与相关人员直接联系,并审计系统中录入谈话记录,由被谈话人在系统中确认签字。

(2)审计调查问卷:审计人员可以在审计系统中设计调查问卷,并通过审计系统将调查问卷发送至相关人员的邮箱,相关人员填写完问卷后回复邮件即可实现在线的问卷调查。

(3)审计确认书和审计报告的征求意见:出具确认书环节,首先由审计人员根据核实沟通的结果,在审计系统中录入审计确认书,经主审复核后通过审计系统发送至被审计单位,然后由被审计单位在审计系统中对审计人员发送的审计确认书进行确认和解释。征求意见书的环节,主审在审计系统中撰写审计报告的征求意见稿,经审计组组长审核后发送至被审计单位,被审计单位根据审计系统中审计报告的征求意见稿进行反馈,并将最终反馈意见通过审计系统返回至主审。

(4)审计报告:主审结合被审计单位的反馈结果,在审计系统中起草正式的审计报告,并流转至高级管理层签发后通过审计系统发送至被审计单位。

4.3 审计整改阶段

被审计单位收到审计报告后根据整改时限要求,在审计系统中对审计发现的问题逐条反馈整改举措,并形成汇总的整改报告。审计人员可在审计系统中对被审计单位反馈的整改举措进行监督,这样才能真正的形成审计项目的闭环管理。

4.4 项目归档阶段

将审计系统和档案管理系统对接,由主审将审计系统生成的电子资料发送至数字档案管理系统,形成审计项目的电子档案。除此之外,为保障远程审计得以正常发展,要积极促进在立足我国国情的基础上参照国际有关法律法规,制定与远程审计有关的法律规章[6]。公司还需完善远程审计的相关制度,使审计人员在开展远程审计工作时,尤其是进行电子证据、电子签名、电子合同等审计时有据可依。

5 结束语

综上所述,远程审计作为新兴的审计形式,无论是理论还是实践都使传统审计发生重大变革,迫使被审计机构和审计人员都要做出更多的努力以适应形势发展的需要。同时,由于我国对远程审计的理论研究和实践探索尚处于初步阶段,推进远程审计过程中必然会面临诸多疑问和难题,需要审计人员在实践中进行不断地探索、研究和解决。

参考文献

[1]蒋洪浪.远程审计技术下的内部审计体系重塑[J].中国内部审计,2015,(09):30-32.

[2]吴开兵.略论国家审计中远程审计模式[J].中国审计,2003,(21):71-73.

[3]朱才厚.浅谈远程审计在实施内部审计业务中的应用——基于烟草行业远程审计的实践[J].财经界,2013,(17):237-239.

[4]于德福.审计发展的主要方向——网络审计[J].中国管理信息化(综合版),2006,9(08):48-49.

[5]李杰平.电子商务环境下网络审计面临的挑战及对策分析[J].中国管理信息化,2015,18(14):10.

信息系统审计国内研究综述 篇10

1 研究国外信息系统审计的理论与发展

我国的信息系统审计研究相对于国外起步较晚, 最初阶段主要是翻译和介绍国外的研究, 并对我国的信息系统审计建设作一些指导性的建议。其中比较有代表性的有以下成果:

胡晓明等 (2006) 系统地研究了COBIT4.0标准产生的背景、整体框架以及核心内容, 并把它与COBIT 3rd版本进行了简要对比, 就如何以COBIT4.0为蓝本, 整合商业目标与IT目标, 指导IT治理实践作了一定的分析。他认为实施COBIT标准, 从IT治理的角度为企业管理层提供了一个新的视角, 有助于实现IT治理目标与商业目标的战略统一。

胡克瑾等 (2008) 建立了COBIT4.1中IT过程的通用描述模型, 再分别定量考察过程模型的五个元素, 得出过程的成熟度。通过对成熟度的汇总分析, 得出对组织IT治理总体现状的认识, 并明确了改进方向;再通过敏感性分析和回溯分析。帮助管理层选择IT治理改进方案, 细化行动细则。

王会金, 刘国城 (2009) 在阐述COBIT模型的基础上, 分析了其在中观经济主体信息系统重大错报风险评估中的应用, 并从规范审计行为的角度研究了其在完善当前我国信息系统审计准则方面的指导作用。

2 信息系统审计基础理论研究

2.1 关于信息系统审计、计算机审计

我国从一开始就将电算化会计信息系统确定为计算机审计对象, 致使人们将其等同于 IS审计的审计对象。多数学者将计算机审计作为一个广义的概念, 认为其包括两个方面, 一是将计算机系统作为审计的对象;二是将计算机作为审计的工具。郭宗文等认为计算机审计与传统手工设审计没有本质区别, 其目的和职能没有改变同样是执行经济监督智能。而ISACA认为信息系统审计是一个获取并评价证据, 以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率的利用组织的资源并有效果的实现组织目标的过程。

2.2 关于信息系统审计与会计信息系统审计

在笔者研究的206篇信息系统审计的文献中, 其中有31篇研究的对象是会计电算化审计, 占总数的15.0%。会计信息系统审计指“通过一定的技术手段收集并评估证据, 以判断一个会计信息系统是否做到安全、可靠和有效, 同时又能最经济的使用资源”。所以会计信息系统审计是信息系统审计的一个子集, 它只是将广泛的信息系统具体为会计信息系统审计。

国内对于会计信息系统审计的研究集中在技术方法、策略、审计程序方面, 孙立辉 (2009) 提出的审计策略是:将整个会计信息系统分解成为子系统, 确定每一子系统的可靠性, 并根据每一子系统的可靠性推导出系统总体的可靠性。董霞 (2006) 、孔春玉 (2008) , 对会计信息系统审计的程序进行了探讨, 张福蕊 (2004) 、郑英雪 (2007) 、陈瑜 (2009) 、孙立辉 (2009) 从互联网角度探讨了会计信息系统审计, 马万民 (1999) 、赵立洋 (2008) 、史振生 (2008) 从风险控制角度研究了会计信息系统审计。

3 信息系统审计基本概念研究

国内关于信息系统审计的基本概念研究包括:审计目标、审计对象、内容以及方法。

陈希晖 (2010) 认为, 目前, 我国信息系统审计按照目标来分, 主要有两种, 一种是以信息安全为导向的信息系统审计, 意在识别系统的各种安全威胁, 使信息系统在一个安全的环境下运行;另一种是以内部控制为导向的信息系统审计, 通过分析信息系统的各项指标, 找出薄弱环节并有效的控制风险。

我国专家孙强 (2003) 认为, 信息系统审计的对象包括信息安全、数据中心运营、技术支持服务、灾难恢复与业务持续、绩效与容量、基础设施、硬件管理、软件管理、数据库管理、系统开发、变革管理、问题管理、网络问题、通信等, 他认为审计的对象会随着信息技术的不断发展将不断扩展。吴晓东 (2009) 认为, 信息系统的对象具有综合性和复杂性, 从纵向 (生命周期) 看, 覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务;从横向 (各阶段截面) 看, 它包含对软硬件的获取审计、应用程序审计、安全审计等。

吴沁红 (2008) 从信息系统构成要素、信息系统生命周期和信息系统管理三个维度来描述信息系统的逻辑结构, 进而全面分析和准确定位了信息系统的审计内容。谢岳山 (2009) 将信息系统审计的内容分为内部控制和系统本身的审计两大方面。

张大雷 (2010) 认为, 记录和描述信息系统内部控制制度的方法有三种, 即书面说明法、调查表法、流程图法, 并且对内部控制的执行情况要通过进行符合性测试、检查证据法、重新测试法、实地观察法等进行控制。王晓倩 (2011) 提出了从人员流、业务流、信息流统筹开展信息系统审计工作, 为开展信息系统审计活动提供了新的视角。

4 信息系统审计应用研究

我国的一些学者在近三年也逐步开始了对信息系统审计的实证方面的研究。秦娟 (2006) 对住房公积金管理信息系统审计进行了研究, 分析了主机模式和委托模式二者的优缺点以及各自存在的一些问题, 从成本和规范性来考虑建议公积金管理统一采用委托模式。

2008年, 王国清、蒋开颜 (2008) 对地税信息系统审计做了实证研究, 着重通过信息系统数据分析追踪法、业务流程数据跟踪法、功能与需求对比法等技术方法进行分析和测试, 在报表数据验证, 查证税收人库数据真实完整的基础上, 重点对“税收业务”系统应用控制的关键程序进行审计。张德勇 (2008) 研究了航空票务信息系统审计方面有关通过跟踪被审计单位的业务过程和数据处理流程。李春清 (2008) 引入具有东方人文色彩的WSR方法论, 建立基于WSR方法论的信息系统审计模型, 将信息系统按照物理、事理和人理展开探讨政府审计机关如何从经济监督的视角开展信息系统审计。

2009年, 刘洪锋, 周艳海 (2009) 分析了邮政储蓄银行开展信息系统审计工作存在的问题, 从转变审计观念、建立全方位审计体系与模式、培养专业人才等角度对邮政储蓄银行开展信息系统审计提出了建议。王威 (2009) 介绍一种基于JVMTI来对信息系统增强并行审计功能的软件——i-Audit的设计和实现。i-Audit通过非侵入式的方式来进行审计支持, 可以帮助新建的和遗留的J2EE信息系统实现并行审计功能, 而不需要对应用代码作任何的修改。

2010年, 侯俊华 (2010) 研究了新型农村合作医疗基金信息系统审计, 以传统数据式审计方法为基础, 以分析信息系统的薄弱环节为突破口, 采用数据回归测试法实施审计, 核查系统内部勾稽核对功能的完整性以及系统功能设置的正确性。李庭燎、辛风 (2010) 对联合国儿童基金会信息系统审计进行了研究, 从信息系统的审计涉及的组织、IT支持和业务流程三个层面, 提出应按照一般控制和应用控制两大类型, 参照ISACA的COBIT4.1审计标准开展工作。

5 我国信息系统审计研究的启示

国内关于信息系统审计的研究虽然已经取得了相对丰硕的成果, 但总的来说还处于初步发展阶段, 在研究中存在重理论, 轻实践的倾向, 对信息系统审计的研究都是从整体大方向上进行, 缺少细节方法的讨论, 而这些也可以作为今后研究的一个方向。

摘要：系统地回顾了1999年—2011年国内关于信息系统审计相关文献, 并从国外信息系统审计的理论与发展、信息系统审计基础理论研究、信息系统审计应用研究这三个方面对信息系统审计文献进行了述评, 最后在文献综述的基础上, 提出了对我国信息系统审计研究的启示。

关键词：信息系统,信息系统审计,文献综述

参考文献

[1]孙强.信息系统审计:安全风险管理与控制[M].北京:机械工业出版社, 2003.

[2]胡克瑾.IT审计[M].北京:电子工业出版社, 2002.

[3]钱啸森.国外信息系统审计案例[M].北京:中国时代经济出版社, 2007.

审计信息化信息系统 篇11

关键词：信息系统;审计内容;审计方法

1 信息系统审计的内容及程序

为了实现信息系统审计目的，信息系统审计内容应包括：系统开发审计、应用程序审计、数据文件审计、内部控制系统审计等内容。

1.1 系统开发审计。由于系统开发审计是对信息系统开发过程所进行一种事前审计，因此内部审计人员不仅要参与开发，一方面要在检查开发活动是否受到适当的控制，系统开发的方法是否科学、合理，系统开发过程中是否产生了必要的系统文档以及这些文档资料是否符合规范的过程中指出现有措施的不足，提出改进意见，另一方面还要在系统开发过程中选择关键控制点对开发工作本身进行测试和评价，保证计算机信息系统运行以后的数据处理结果正确、完整，系统运行效率达到设计目的。

1.2 应用程序审计。实践证明程序是差错和舞弊最容易发生的地方，因此应用程序审计是计算机信息系统审计中最困难的任务之一，也是对信息系统做出公正评价的关键。

在应用程序审计过程中内部审计人员可以选择计算机辅助审计与手工审计相结合的审计方法，通过对应用程序的直接审查或通过数据在程序上的运行进行间接的测试，实现对程序控制系统的健全性，程序运算和逻辑的合法、有效、正确、可靠性测试的目的。

对程序控制健全性的审计主要内容包括：对程序输入控制的审计，程序处理控制的审计，程序输出控制的审计。重点应审查输入程序是否能够保证只有经过授权批准的业务才能完整、准确地输入计算机;对输入计算机的正确业务能否进行被完整的处理，对不正确的业务能否检查处理并拒绝处理;经计算机处理的业务是否能够连续、完整、正确地输出。

在对程序合法性审查中，我们应重点审查程序中是否含有非法编码，因为非法编码通常是指为了舞弊而设计的编码，他们在满足某种条件下执行产生非法结果。例如：程序员如果在对物资采购计划程序中添加遇到某类物资计划自动锁定某供应商为指定供货厂商的程序，将会给比价采购带来干扰。此外审计人员还要审查程序编码是否有错误，这些错误包括程序语法和逻辑错误。这些错误的存在也会给系统带来处理错误，例如错误计算成本、利润等，都将给企业的经营决策带来干扰。

1.3 数据文件审计。数据文件审计是通过将存储于硬盘及软盘等空间里的电子数据打印出来或直接进行检查的方式，对数据文件进行的实质性测试及对一般控制或应用控制进行的符合性测试。

在计算机信息系统中，输入的原始数据、处理的中间结果和最后结果都是以数据文件的形式存储在电、磁介质上或打印输出在纸面上。对打印输出的数据文件进行审计可以采取手工对帐的方法，直接检查所有经济业务记录，如查证应付福利费用等集体的恰当性，核对总账与明细账的余额是否相符等。也可以对信息进行综合分析性复核，如重要账户的余额和发生额进行趋势分析、结构分析，将有关数据进行比较。

对存储在电、磁介质上的数据进行审计要借助与审计辅助软件进行，利用审计软件中的功能分析程序分析被审计数据的正确、完整、合法性。

1.4 内部控制系统审计。信息系统审计是以在计算机信息系统环境下加强、完善内部控制体系，监督处理结果正确性为目的的测试评价过程。它包括一般控制系统审计及应用控制系统审计两个方面。一般控制系统审计多适用于测试信息系统有无涉及威胁应用程序完整性的风险审计。而应用控制系统审计主要是用于测试应用系统本身的漏洞或直接威胁到数据的安全、准确等特定应用系统的风险审计。

2 计算机信息系统审计的方法

计算机信息系统审计的方法可以分为：绕过计算机审计（Audit Around the Computer）、通过计算机审计（Audit Through the Computer）和利用计算机审计（Audit With the Computer）三种。

绕过计算机审计也叫“黑箱”审计法，它是建立在理解计算机的功能、相信其处理正确性的前提下，只对输入数据和打印输出的数据资料及其管理制度进行审查，而对计算机内程序和文件不进行审查的审计方法。在这种审计方法的应用中审计人员可以用事先准备的模拟数据进行输入，然后把预先核算的结果与信息系统程序运行结果进行比对，评价程序功能的正确性;也可以在输出结果之后，利用输入数据来核算验证。它应用技术简单，较少干扰被审计系统工作，但是由于受到打印输出文件的充分性限制，审计结论可靠性较弱。

通过计算机审计有人也叫他“白箱”审计法（是以计算机系统为基础的审计，除对审查输入输出文件外进行审查外还要对计算机内程序和文件进行审查，所以应用这种审计方法得到的审计结果全面可靠，但审计技术复杂，要求审计人员必须能够看懂程序编码，难度巨大。但是我们也可以寻找到一些简单易行的办法进行审计。如：在计算机信息系统条件下，根据可逆规则编写出程序，自动追溯被审计单位提供数据真实性。如会计原始凭证与记账凭证不一致，表明记账凭证有被修改的风险，记账凭证与账表不一致时，账表有被修改的痕迹。还可以通过对系统操作日志的审计，跟踪信息系统软件中的操作日志记录，检查日志真实记录的操作者代号、姓名、操作的日期、时间、使用模块、运行状态、处理数据动作等，有效地发现以反复核、反登账、反结账的手段进行账户调整的审计线索。

对于利用计算机审计来说开发和使用审计软件是实现计算机信息系统审计的一个重要步骤，但在没有审计软件时也可以利用信息系统功能模块基础上的多种为了满足内部控制与决策要求的辅助功能，进行测试。这些功能通常包括：①利用数据库自动生成满足决策需要的各种分析性报表和中间数据表，例如能够描述业务轨迹的数据表;②可以把生成的数据文件存储成其它文件格式，如EXCEL文件等。这些功能都可以较为轻松方便地被审计人员利用来对数据进行进一步的加工处理得出审计结论。充分利用这些功能要比开发单独的审计软件容易得多，而且最后企业所承担的综合成本也会大大降低。

参考文献：

[1]S.拉奥.瓦莱布哈内尼.CIA考试指南经营分析和信息技术[M].

2006.6.

审计信息化信息系统 篇12

一、审计信息化研究的两个方向

关于审计信息化的研究, 理论界百家争鸣, 其中许多研究具有指导意义, 大体上可分为两个方向:

1. 智能工具论:

一部分研究者认为科技是服务于人的, 那么作为信息技术的产物, 审计信息系统是和算盘、计算器一样, 仅仅是审计人员的工具武器而已, 它的作用不过是将人类思维能力的一部分扩大了。

显然, 智能工具论一定程度上是源自于会计电算化的发展, 而这种思路在中国审计工作技术的提高过程中起到了不可替代的作用, 但随着信息化的深入以及互联网技术的迅速提升, 这一思路已经不能适应审计信息化的现状。究其原因在于:它将广义的人类缩小为具体的人, 把信息系统的概念浓缩于一台微机。这在相当程度上“窄化”了审计信息化的内涵, 审计信息化绝非对会计电算化后的会计系统进行审计, 而是具有更深层次上的内容。比如马克思所言, 生产工具代表的不是物, 而是生产发展的阶段。以算盘为例子, 算盘产生的意义绝非仅仅是一种工具的发明和计算速度的大幅提高, 它实际上是人类对十进制理解的一种飞跃, 它将人对十进制的具体认识 (手指脚趾等) 提高到抽象的高度, 进一步发展到指数、开方运算的系统化、普遍化;在生产力的层面上看, 算盘的普及反映了宋代中国封建工商业的高度发展。

智能工具论的一个直接后果是将审计人员的工作分为两类:需要创造性思维的和不需要创造性思维的。那么, 在目前的技术水平下, 审计人员利用软件的协助, 把自己的精力体力节约出来, 作用于需要创造性思维的方向, 另一方面, 审计人员的解决创造性思维的问题时, 在软件帮助下可以有更高的效率。

2. 技术导向论:

另一部分研究者认为, 社会的信息化、生产消费的信息化、经济的优先信息化使得金融、财政、保险、证券等行业的财务软件已经全面进入实践, 这一系列的条件使审计软件取代注册会计师工作的趋势已不可避免;在具体工作中, 许多具体传统的工作方法程序将被革新, 如网络审计理论、人工神经元网络审计理论的提出。

这种理论的创新性无可置疑, 但问题在于, 现阶段中国社会经济的发展程度, 财务软件在经济生活中的作用, 审计人员的整体水平 (尤其是信息技术方面的) 都限制着新思路的应用和生产力的形成。如果把以上两种思路作一比较, 可以看到区别的关键在于:审计和会计信息系统的接口是什么, 是人?还是制度?

由人的理智、经验、主观能力来选择对信息反馈做出的行为或不行为的决定, 审计软件仅作为人的工具, 这时人就是其中的接口。考察现有的财务软件, 仍然将“人”放置于软件内部联系的核心, “人”是作为财务信息系统和财务软件的接口。而这就是审计软件工具化思路的实践基础, 也是理论研究的客观环境。

另一方面, 当前许多审计机构要求审计人员通过熟练使用信息系统, 设置因果关系、往来流程, 利用不断增加的硬件运算能力和不断扩展的信息网络, 将判断交由系统做出, 而且这种情况的比重越来越高。若我们能将财务软件、管理信息系统、电子商务系统、物流信息管理等信息系统所形成的构架作为设计审计信息系统的背景, 把制度本身看做系统的核心, 审计信息系统的研究就会沿着“技术导向论”的方向前进。

二、审计信息化存在的问题

中国的审计软件使用已经超过十五年, 期间审计软件的发展有过高潮, 也遭遇过低谷, 但整体发展情况来看仍然不甚理想。这种情况部分上由审计软件本身的特点所决定的, 因为审计软件是一种有专业使用群体的产品, 即使在软件业已经非常发达的西方国家, 世界知名的大事务所使用的工作软件也往往是定制或自己开发的 (这同时也是一种商业秘密的保护方法) , 这种“与邻为壑”的经营思路使商务审计软件的推广遇到不少困难。对于国内市场, 政府审计采购的主观作用过于明显, 使正常的发展难以实现。另外, 在审计软件发展过程中, 审计软件公司体现出了不成熟的一面:对既得利益的过分看重, 导致软件公司分崩离析, 元气大伤;全国范围内盲目销售而服务却无法跟进, 无法及时解决用户的问题, 导致用户对审计软件丧失信心;对同行的恶意中伤以及过度的价格竞争, 导致审计软件市场环境日益恶化。

三、理想的审计信息体系构建

1. 对人的培养。

培养大批既精通计算机技术、审计业务能力同时又有全面知识、判断能力的审计人员队伍是审计信息化能否得以实施的关键。虽然中国有充足的计算机操作和会计审计应用人才的储备, 但是真正同时拥有以上能力的人才可谓一将难求。此外, 被审计单位财务及管理信息系统的日益复杂也是对审计人员的一种挑战, 审计人员必须经常更新自身的知识结构才能面对不同的审计工作。当然审计人员不可能都成为计算机与网络专家, 因此, 计算机与网络专家、信息系统与电子商务专家对审计参与将是必然趋势。

2. 对数据库软件的设计。

中国有自主知识产权的数据库软件无论从规模还是质量上都无法达到要求。以企业财务软件为例, 作为对企业的会计报表以及财务经营情况进行审查的审计工具, 审计软件的数据必然来自于财务软件。没有财务软件的数据, 审计软件就成为无本之木, 无源之水。目前财务软件实施情况来看, 全国一共有三百多家财务软件提供商。他们提供的财务软件在数据库的选用, 数据库的格式上不尽相同, 这给审计软件导入财务软件的数据带来了一定的困难。目前, 各家审计软件公司都提供了不同的数据接口, 以分别导入不同的财务软件数据。但是, 审计软件公司提供的数据接口只占到了全部财务软件的1/5, 在很长的时间内财务软件数据接口都将成为制约审计软件发展的瓶颈。

3. 建立各种法律法规, 对磁信息、电子签名的法律地位加以正名。

在手工会计系统中, 会计核算程序中的每一步都在纸介质上留有文字记录及经手人签字, 审计线索十分清楚。而将来会计信息化达到一定程度之后, 传统的审计线索可能部分消失。各种单据, 票证和账簿等都以人眼无法直接辨识的电磁信息的形式在网上传递并存储于磁性介质中, 只能通过计算机进行审查;并且这些线索还具有被无痕删改、不能永久保存等缺点。如果系统设计时考虑不周, 可能到审计时才发现只留下业务处理的结果而不能追索其来源。

4. 完善审计的各项法律法规, 使之适应经济的发展和信息技术的进步。

审计信息系统涉及的法律问题涵盖审计法、注册会计师法、民法、行政许可法等多个法律领域。然而, 由于中国审计法是在以手工审计为主导审计方式的背景下制定的, 而对与手工审计相对应的计算机审计方式没有予以规范, 其他法律文件中对计算机审计的规定也是少之又少, 因此, 在计算机审计实践中出现了很多急待解决的问题, 如审计机关是否具有检查计算机的权力、拒绝计算机审计是否属于拒绝审计等。

参考文献

[1]吕新民.论信息化环境下的审计专业判断[J].财会通讯, 2006, (6) .

[2]张丽燕.计算机辅助审计的现状及建议[J].财会研究, 2006, (1) .

[3]彭建平.加快计算机审计软件的市场化[J].中国审计, 2004, (7) .