信息系统审计发展

2024-10-04

信息系统审计发展(精选12篇)

信息系统审计发展 篇1

随着信息系统应用功能与开发过程日益复杂化,对信息系统进行审计已经成为保障信息系统开发与应用安全的基本手段。与此同时,信息系统的广泛应用与信息化的迅猛推进,使得审计摆脱了传统的“手工”模式,进入了以信息技术支撑的信息化审计新模式。由此,信息系统审计应运而生,成为审计理论与实践领域的热点问题。信息系统审计主要包含两层意思。一是对信息系统(包含依托信息系统产生的各类数据)这一对象进行审计;二是以信息系统为技术手段开展审计业务。

一、信息系统审计发展障碍分析

(一)缺乏足够的重视在我国,信息系统审计尚是一个新名词,在企业层面信息系统审计不是一种强制性行为。企业能否进行信息系统审计,往往取决于领导的重视程度。相对于系统开发与应用,信息系统审计的效益是隐性的并在关键时刻才能显现出来。但基于成本及其短期效益,大部分企业领导十分重视系统的开发与应用,而不愿意投入人力、资金与时间成本去开展信息系统审计。实际上,除一些大型国企,我国企事业单位很少设立信息系统审计专门业务处,目前尚未出现以信息系统审计为主要业务的事务所。这从侧面反映了我国信息系统审计在实务界尚未引起足够的重视,仅仅只是作为传统审计的一种辅助手段而存在,严重阻碍了信息系统审计的发展。

(二)缺乏有力的行业领导与规范体系行业领导及规范体系是推进信息系统审计发展的重要力量。如信息系统审计与控制协会(ISACA)及其制定的COBIT框架,国际会计师联合会(IFAC)下设的国际审计实务委员会(IAPC)及其制定的系列信息系统审计准则,对当前国际信息系统审计发展起到了不可估量的作用。然而我国尚未成立一个专门的信息系统审计行业组织,信息系统审计相关规范也只是散见于国务院办公厅、审计署、中国注册会计师协会、中国内部审计协会等官方、民间组织的部分文件之中。包括《关于利用计算机信息系统开展审计工作有关问题的通知》、《独立审计具体准则第20号———计算机信息系统环境下的审计》、《内部审计具体准则第28号———信息系统审计》等重要规范皆非统一出口,难以形成统一的推动力量。

(三)缺乏有效数据接口与专业软件产品信息系统是否拥有审计数据接口是有效开展信息系统审计的关键要素。2010年由国家审计署提出,国家标准化管理委员会发布了 《财经信息技术会计核算软件数据接口》(GB/T24589标准),具体规定了会计核算软件接口的数据格式要求。现实情况是,尽管金蝶、用友以及甲骨文等国内外专业系统都设置了审计数据接口,但目前以操作系统和数据库为核心的关键技术基本为国外公司所有,数据接口往往成为非开放性的限制性接口,数据难以完全转换,在一定程度上限制了使信息系统审计的发展。另外,先进的专业审计软件是信息系统审计的重要工具,目前我国的审计软件数量偏少,功能健全的不多,偏向于简易的查询分析与制表工作,如审计抽样、编制工作底稿,可用性不足,严重影响了信息系统审计效率。

(四)缺乏复合型审计人才及培育机制信息系统审计本身是一门建立在审计、计算机技术、信息系统、项目管理、行为科学等多个学科基础之上的交叉复合型学科,一个合格的信息系统审计人员,必须具备审计专业知识与实践经验、信息系统项目管理知识与信息技术应用能力,但在我国这种复合型的人才极度匮乏,且没有相应的培育机制。目前,各高校审计、信息系统与信息管理、计算机科学技术等专业开设的较多,但尚未有专门立足培养信息系统审计人才的信息系统审计专业。且相关的职业资格认证较少,目前仅仅只是引入了国际注册信息系统审计师CISA资格认证考试,对信息系统审计从业资格、准入机制缺乏统一管理,职业资格体系与人才培养体系皆缺位,阻碍了我国信息系统审计的长足发展。

二、信息系统审计发展动力机制分析

(一)内部动力机制一是技术发展的内在需要。网络时代,企业的生产经营与管理活动越来越依赖于信息系统,特别是电子政务、电子商务的发展以及移动互联、大数据技术的运用,信息数据已经成为企业的重要资产。面对海量的数据,一般的使用者很难对其质量做出合理评估,信息系统审计作为一种专业技术活动,可以以第三方身份对信息系统及其输入输出数据的真实性、合法性进行审计,为使用者提供较为公允有效的企业经营效果与财务状况。随着金财工程、金税工程的推进,财务息化已经逐步取代了传统的手工财务,审计业务更多面向信息系统与电子数据,发展信息系统审计,是适应信息化发展与审计技术发展的内在需要。二是企业生存发展的内在需要。近年来,我国企业面临的境内外网络攻击越来越多,网络病毒、黑客入侵等信息安全问题已经成为企业危机管理中不可忽视的重要因素,在一定程度上制约了企业的健康发展。信息系统审计,是保护企业数据安全、系统安全的基本手段。另外,信息系统对于企业的意义在于整合先进的理念、技术,实现业务流程重组或再造,从而降低成本损耗,提高运行效率。信息系统审计作为一种贯穿于信息系统设计到维护整个生命周期的活动,可以尽早发现信息系统生命周期各阶段特别是前期的一些问题并提出相应改进建议,从而有效降低系统开发、维护成本,提高系统质量与运行效益。

(二)外部动力机制一是政府信息化发展战略的外在要求。2015年1月,中国互联网络中心发布《中国互联网络发展状况统计报告》,截至2014年12月,我国网民规模达6.49亿。全国企业使用计算机办公的比例为90.4%,使用互联网办公的比例为78.7%。面对如此庞大的用户群和高速发展的信息化现状,发展信息系统审计,保障信息系统有效应用与国家信息化战略稳定推进,是一个必然选择。二是国际竞争与合作的实际需要。融入国际竞争与合作是我国改革开放事业的必然要求。近年来,随着经济全球化和全球经济一体化的进程不断加快,我国企业海外战略跨国经营的步伐也不断加快,信息系统的跨国运行势在必行。美国、英国、德国、日本等西方发达国家,信息系统审计发展成效显著,国际化的标准不断涌现。我国企业要做大做强做优,必然要与国际接轨,发展信息系统审计,提升信息系统应用水平与安全运行能力,参与国际竞争与合作。

三、信息系统审计发展路径选择

(一)国外信息系统审计发展经验借鉴信息系统审计的兴起与计算机技术的运用息息相关,西方发达国家如美国、英国、日本等,其信息系统审计的发展基本是以准则和法案来控制审计风险的制度完善过程。以美国为例,早在70年代,美国Oracle、SAP等软件公司推出的企业信息系统在业界有广泛的影响,但随之而来的是利用软件技术进行舞弊与诈骗的事件,信息系统风险开始引起公众关注,相关行业协会乃至国家政府部门针对这些舞弊与诈骗丑闻,出台了一些针对性的标准与法案。1974年,针对信息系统安全风险,美国注册会计师协会(AICPA)发表了《内部控制制度的调查与评价对电子数据处理的影响》,为信息系统审计提供了基本标准。80年代,网络技术的引入,信息系统安全日益复杂并成为一个专门的研究领域,1981年,美国电子数据处理审计协会(EDPAA,ISACA的前身)推出注册信息系统审计师(CISA)资格认证考试工作,该资格目前已成为全球唯一的一个信息系统审计领域专业权威认证体系。90年代,互联网蓬勃发展,跨国公司的国际化信息系统应用越来越广泛,信息系统安全问题成为一个国际化问题,信息系统审计亦趋复杂并依赖于一个全面的信息技术风险控制理论框架,为此,信息系统审计与控制协会(ISACA)发展成为国际行业组织,并于1996年发布了具有里程碑意义的《信息及相关技术控制目标(COBIT)》(2013年推出了COBIT 5.0版),在全球范围内得到广泛应用。2001年,美国安然公司破产,安然财务欺诈与审计舞弊事件引起美国政坛的震动乃至全世界的关注,其中安然的审计师———安达信会计事务所提供的会计造假成为全球关注的丑闻。紧接着,2002年世通公司财务丑闻爆发。这直接催生了美国史上最严厉的萨班斯法案的诞生。萨班斯法案强调了审计的独立性,禁止审计人员从事财务信息系统的设计、实施以及安全服务等,对信息系统审计产生了重大影响。

(二)我国信息系统审计发展路径一是成立专业的信息系统审计组织机构。借鉴国外信息系统审计发展经验,成立专业的信息系统审计组织机构,是信息系统审计发展的重要保障。在全国范围内,立足我国坚持公有制经济主体地位的现实条件,并结合国情与社会文化传统,由政府主管部门———国家审计署主导,成立信息系统审计组织结构,指导全国信息系统审计的宏观政策、准则、法规制定,并承担相应的监督工作。各地也可在其地方审计局主导下成立地方信息系统审计组织结构。在企业及事务所内部,亦需成立专门的信息系统审计部门,对企业信息系统生命周期各阶段进行风险控制,保证信息系统的安全有效运行以及信息资产、财务数据的科学合法应用。

二是构建系统的信息系统审计规范与法规体系。建立系统的、统一的信息系统审计规范体系,并佐以相应的法规保障,是西方发达国家发展信息系统审计的基本途径。尽管我国审计署、中国注册会计师协会、中国内审协会出台了一些有关信息系统审计的准则,但这些准则皆立足于传统会计视角、瞄准于内部控制审计,以财务审计为中心,与专业的信息系统审计存在隔阂。因此,亟需转换思路,建立以信息系统审计为中心,瞄准信息系统全部生命周期、涵盖内部控制审计与信息系统安全审计、信息系统软硬件审计、绩效审计等内容的全新准则体系。同时,应加强与信息系统审计规范相配套的法规体系,确保规范的合法性。我国信息化领域的法规尚不完善,随着电子商务、电子政务的兴起,一些法律漏洞常常被不良分子利用,电子证据的篡改、电子单据的销毁等,都没有明确的法律规定,信息系统审计有准则遵照,但无法可依。实际操作中,可先行修改《会计法》、《审计法》等,增加信息系统审计相关法条,以后逐步完善建立专门的信息系统审计法规。建立信息系统审计规范与法规体系过程中,应立足国情,放眼世界,接轨国际,可以参照ISACA信息系统审计准则制定模式,逐条制定发布实施,在全球范围内广泛征询意见,保障各规范法规体系的前瞻性与稳定性,避免出现朝令夕改,力不从心的被动局面。

三是推进新技术环境下信息系统审计方法的创新。信息系统承载企业数据链和业务链,信息系统审计方法创新,最重要的是将传统审计方法与计算机审计技术、联网审计技术等现代审计手段相结合,以适应信息系统审计发展需求。近年来,随着移动互联、大数据、物联网、云技术等新技术的诞生与发展,信息系统的外部技术环境发生了巨大变化,为信息系统审计方法创新提供了机遇。一方面,全力推进信息系统在企业中的广泛应用,统一信息系统审计数据接口,增强系统对审计功能的支持。利用移动互联技术,形成基于电脑端、手机端多终端的信息系统,开发基于相应的先进信息系统审计软件,开展信息系统审计;另一方面,建立大数据审计思维,将传统的有选择的局部数据审计转向面向整体的大数据审计。信息系统本身是大数据的载体,大数据实际上也促进信息系统朝更复杂、更庞大、更健全的方向发展,以大数据技术为基础,将整个信息系统的全部财务与业务数据纳入到审计范围,是提高信息系统审计质量和效果的重要手段。

四是建立信息系统审计准入与人才培养衔接机制。人才是推动事业发展的关键要素。任何专业领域,能否取得快速长效发展,皆取决于是否有充足的人才。在我国,信息系统审计大多是传统财务审计人员的新工作,尚处于手工会计模式下的财务报表审计思维,其方法只不过是将手工转成了信息系统,将纸质报表转成了电子数据报表,与信息系统审计要求相差甚远。因此,建立科学严格的信息系统审计准入机制,并与之衔接配套相应的人才培养体系,是推动我国信息系统审计发展的重要举措。具体可以从三个方面入手:首先,参照注册信息系统审计师CISA认证,在注册会计师、审计师等资格考试基础上,增加以信息系统审计为主要考核内容的信息系统审计资格考试,并将其作为一种职业准入资格,使得信息系统审计人员达到专业化与职业化水准。其次,开发信息系统审计培训课程,对现阶段的审计人员进行信息系统审计专业培训。由于现有的审计人员大部分是财务审计出身,其一般审计学理论功底与实践经验较强,但缺乏过硬的计算机技术、网络技术与信息安全知识,培训重点应立足于信息系统下的审计业务实践。最后,在高校设置信息系统审计专业,系统培养信息系统审计专业人才。具体操作上,可以在会计、审计专业、信息管理等相关专业先行开设信息系统审计专业课程,然后在此基础上整合相关专业,成立新的信息系统审计专业,制定专业方案进行专门化的信息系统审计人才培养。

参考文献

[1]王强:《信息系统审计常用方法》,《审计月刊》2011年第11期。

[2]刘杰:《我国信息系统审计准则构建研究》,《财会月刊》2014年第17期。

信息系统审计发展 篇2

电子计算机在数据处理的发展过程可分为三个阶段:数据的单项处理阶段、数据的综合处理阶段、数据的系统处理阶段。

数据处理电算化以后,对传统的审计产生了巨大的影响,主要表现在:

1、对审计线索的影响~~~~

2、对审计方法和技术的影响~~~~~~

3、对审计人员的影响~~~~~

4、对审计准则的影响~~~~~~ 信息系统审计的定义:信息系统审计是根据公认的标准和指导规范,对信息系统从规划、实施到运行维护各个环节进行审查评价,对信息系统及其业务应用的完整性、有效性、效率性、安全性等进行检测、评估和控制的过程,以确认预订的业务目标得以实现,并提出一系列改进建议的管理活动。

信息系统的主体:有胜任能力的信息系统独立审计机构或人员 信息系统审计的对象:被审计的信息系统

信息系统审计工作的核心:客观地收集和评估证据

信息系统审计的目的是评估并提供反馈、保证及建议。关注之处被分为三类:可用性、保密性、完整性。

信息系统审计的特点:审计范围的广泛性、审计线索的隐蔽性、易逝性、审计取证的动态性、审计技术的复杂性。(真是为一道简答题。在P6,详细看一下各段内容,概括下再答题)信息系统审计目标:

1、保护资产的完整性

2、保证数据的准确性

3、提高系统的有效性

4、提高系统的效率性

5、保证信息系统的合规性与合法性

信息系统的主要内容:内部控制系统审计(分为一般控制系统、应用控制系统,对信息系统的内部控制系统进行审计的目的是在内部控制审计的基础上对信息系统的处理结果进行审计、加强内部控制,完善内部控制系统)系统开发审计(信息系统开发审计是对信息系统开发过程进行的审计,审计目的一是要检查开发的方法、程序是否科学,是否含有恰当的控制;二是要检查开发过程中产生的系统文档资料是否规范。)应用程序审计(审查应用程序有两个目的,意识测试应用控制系统的符合性,二是通过检查程序运算和逻辑的正确性达到实质性测试目的)数据文件审计(审计目的一是对数据文件进行实质性测试,二是通过数据文件的审计,测试一般控制或应用控制的符合性,但主要是为了实质性测试)(这是道简答题,在P8各个小概括下)

信息系统审计的基本方法:绕过信息系统审计、通过信息系统审计 信息系统审计的步骤(大题P11):

准备阶段:明确审计任务,组成信息系统审计小组,了解被审计系统的基本情况,指定信息系统审计方案,发出审计通知书 实施阶段:对被审计系统的内部控制制度进行健全性调查和符合性测试,对账表单证或数据文件的实质性审查

终结阶段:整理归纳审计资料,撰写审计报告,发出审计结论和决定,审计资料的归档和管理

国际信息系统审计准则:由信息系统审计与控制协会(ISACA)颁布和实施的。ISACA是国际上唯一的信息系统审计专业组织,通过制定和颁布信息系统审计标准、指南和程序来规范审计师的工作,它由三个层次构成: 审计标准(审计标准是整个信息系统准则体系的总纲,是制定审计指南和作业程序的基础和依据)审计指南(审计指南为审计标准的应用提供了指引,信息系统审计师在审计过程中应考虑如何应用指南以实现审计标准的要求,在应用过程中灵活运用专业判断并纠正任何偏离准则的行为)

作业程序(作业程序提供了信息系统审计师在审计过程中可能遇到的审计程序的示例)信息系统审计师应具备的素质(大题P18-19)

应具备的理论知识:传统审计理论、信息系统管理理论、计算机科学、行为科学理论

应具有的实践技能:参加过不同类别的工作培训、参与专业的机构或厂商组织的研讨会,动态掌握信息技术的新发展对审计实践的影响、具有理解信息处理活动的各种技术、理解并熟悉操作环境,评估内部控制的有效性、理解现有与未来系统的技术复杂性,以及它们对各级操作与决策的影响、能使用技术的方法去识别系统的完整性、要参与评估与使用信息技术相关的有效性、效率、风险等、能够提供审计集成服务并为审计员工提供指导,与财务审计师一起对公司财务状况做出说明、具备系统开发方法论、安全控制设计、实施后评估等、掌握网络相关的安全实践、信息安全服务、灾难恢复与业务持续计划、异步传输模式等通信技术。IT治理定义:德勒定义:IT治理是一个含义广泛的概念,包括信息系统、技术、通信、商业、所有利益相关者、合法性和其他问题。其主要任务是保持IT与业务目标一致,推动业务发展,促使收益最大化,合理利用IT资源,IT相关风险的适当管理。

IT治理必须与企业战略目标一致,IT对于企业非常关键,也是战略规划的组成,影响战略竞争;IT治理和其他治理主体一样,是管理执行人员和利益相关者的责任(以董事会为代表);IT治理保护利益相关者的权益,使风险透明化,指导和控制IT投资、机遇、利益、风险;IT治理包括管理层、组织结构、过程,以确保IT维护和拓展组织战略目标;应该合理利用企业的信息资源,有效的集成与协调;确保IT及时按照目标交付,有合适的功能和期望的收益,是一个一致性和价值传递的基本构建模块,有明确的期望值和衡量手段;引导IT战略平衡系统的投资,支持企业,变革企业,或者创建一个信息基础架构,保证业务增长,并在一个新的领域竞争。

IT治理和IT管理的关系:IT管理是在既定的IT治理模式下,管理层为实现公司的目标二采取的行动,IT治理规定了整个企业IT运作的基本框架,IT管理则是在这个既定的框架下驾驭企业奔向目标。缺乏良好IT治理模式的公司,即使有很好的IT管理体系,就想一座地基不牢固的大厦;同时,没有公司IT管理体系的流畅,单纯的治理模式也只能是一个美好的蓝图,而缺乏实际的内容。

公司治理和IT治理:公司治理,驱动和调整IT治理。同时,IT能够提供关键的输入,形成战略计划的一个重要组成部分,即IT影响企业的战略竞争机遇。IT治理标准:ITIL、COBIT BS7799 PRINCE2 IT治理成熟度模型:不存在、初始级、可重复级、已定义级、已管理级、已优化级(主要内容及其作用在P47-48)

信息系统内部控制:是一个单位在信息系统环境下,为了保证业务活动的有效进行,保护资产的安全与完整,防止、发现、纠正错误与舞弊、确保信息系统提供信息的真实、合法、完整,而制定和实施的一系列政策与程序措施。凡是与信息系统的建立、运作维护、管理和业务处理有关的部门、人员和活动,都属于信息系统内部控制的对象,可分为一般控制和应用控制。

信息系统一般控制是应用于一个单位信息系统全部或较大范围的内部控制,其基本目标为保证数据安全、保护计算机应用程序、防止系统被非法侵入、保证在意外中断情况下的继续运行等。

信息系统应用控制是用于对具体应用系统的控制,一个应用系统一般由多个相关计算机程序组成,有些应用系统可能是复杂的综合系统,牵涉到多个计算机程序和组织单元,与此相对应,应用控制包括包含在计算机编码中的日常控制及与用户活动相关的政策和流程。良好的一般控制是应用控制的基础,可以为应用控制的有效性提供有力的保障,某些应用控制的有效性取决于计算机整体环境控制的有效性。当计算机整体环境控制薄弱时,应用控制就无法真正提供合理保障。如果一般控制审计结果很差,应用控制审计结果很差,应用控制审计就没有进行的必要。

审计逻辑访问安全策略:知所必需原则

审查离职员工的访问控制:请辞、聘用合同期满和非自愿离职 数据库加密:一般采用公开密钥加密方法 系统访问控制及其审计:系统访问就是利用计算机资源达到一定目的的能力,对计算机化的信息资源的访问可以基于逻辑方式,也可以基于物理方式。物理访问控制可以限制人员进出敏感区域。对计算机信息的物理访问与逻辑访问应当建立在“知所必需”的基础上,按照最小授权原则和职责分离原则来分配系统访问权限,并把这些访问规则与访问授权通过正式书面文件记录下来,作为信息安全的重要文件加以妥善管理。身份识别与验证(简答题P65-66):逻辑访问控制中的身份识别与验证是一种提供用户身份证明的过程,在这个过程中,用户向系统提交有效的身份证明,系统验证这个身份证明后向用户授予访问系统的能力。可分为三类:“只有你知道的事情”“只有你拥有的东西”“只有你具有的特征” 例子:账号与口令、令牌设备、生物测定技术与行为测定技术。逻辑访问授权:一般情况下逻辑访问控制基于最小授权原则,支队因工作需要访问信息系统的人员进行必要的授权。当用户在组织变换工作角色时,在赋予他们新访问权限时,一般没有及时取消旧的访问权限,这就会产生访问控制上的风险。所以当员工职位有变动时,信息系统审计师就要及时审核访问控制列表是否做了有效变更。灾难恢复控制及其审计:信息系统的灾难恢复和业务持续计划是组织中总的业务持续计划和灾难恢复计划的重要组成部分。恢复策略与恢复类型:热站、温站、冷站、冗余信息处理设施、移动站点、组织间互惠协议。BCP中多个计划文件:业务持续性计划(BCP)、业务恢复计划(BRP)、连续作业计划(COOP)连续支持计划、IT应急计划、危机通信计划、事件响应事件、灾难恢复计划(DRP)、场所紧急计划(OEP)

异地备份:完全备份、增量备份、差分备份

灾难恢复与业务持续计划的审计:主要任务是理解与评价组织的业务连续性策略,及其组织业务目标的符合性;参考相应的标准和法律法规,评估该计划的充分性和时效性;审核信息系统及终端用户对计划所做的测试的结果,验证计划的有效性;审核异地存储设施机器内容、安全和环境控制,以评估异地存储站点的适当性;通过审核应急措施、员工培训、测试结果,评估信息系统及其终端用户在紧急情况下的有效反应能力;确认组织对业务持续性计划的维护措施存在并有效。

应用控制概念:应用控制是为适应各种数据处理的特殊控制要求,保证数据处理完整、准确地完成而建立的内部控制。应用控制涉及各种类型的业务,每种业务及其数据处理尤其特殊流程的要求,这决定了具体的应用控制的设计需结合具体的业务。单另一方面。由于数据处理过程一般都是由输入、处理和输出三个阶段构成,从这一共性出发,可将应用控制划分为输入控制、处理控制和输出控制。应用控制也是由手工控制和程序化控制构成,但以程序化控制为主。

软件维护的种类:纠错行为化、适应性维护、完善性维护、预防性维护 服务管理:面向IT基础设施管理的服务支持、面向业务管理的服务提供

IT服务提供流程主要面对付费的机构和个人客户,负责为客户提供高质量、低成本的IT服务。任务:根据组织的业务需求,对服务能力、持续性、可用性等服务级别目标进行规划和设计,同时还必须考虑到这些服务目标所需要耗费的成本。主要包括服务水平管理、IT服务财务管理、能力管理、IT服务持续性管理和可用性管理5个服务管理流程。

IT服务的服务支持主要面向终端用户,负责确保IT服务的稳定性与灵活性,用于确保终端用户得到适当的服务,以支持组织的业务功能。服务支持流程包括体现服务接触和沟通的服务台职能和5个运作层次的流程,即配置管理、事务管理、问题管理、变更管理、发布管理。应用程序审计的内容:

审查程序控制是否健全有效:程序中输入控制的审计、程序中处理控制的审计、程序中输出控制的审计。

审查程序的合法性P168 简单论述

审查程序编码的正确性:目标和任务不明确、系统设计差错、程序设计说明书错误、程序语法或逻辑错误

审查程序的有效性:在具体编写程序前应简化算术表达式及逻辑表达式、细心的分析多层嵌套循环,以确定能否把一些语句或表达式转移到循环体制外、尽量避免采用多维数组、尽量避免采用指针及复杂的表、采用“快”的算法;不要把不同的数据类型混在一起;只要可能就采用整形数的算法运算和布尔表达式。应用程序审计方法:对应用程序进行审计,往往是计算机辅助审计方法与手工审计方法的结合。

检测数据法:是指审计人员把一批预先设计好的监测数据,利用被审程序加以处理,并把处理的结果与预期的结果作比较,以确定被审程序的控制与处理功能是否恰当、有效的一种方法。

平行模拟法:是指审计人员自己或请计算机专业人员编写的具有和被审计程序相同处理和控制的模拟程序,用这种程序处理当期的实际数据,并以处理的结果与被审计程序的处理结果进行比较,以评价被审程序的处理和控制功能是否可靠的一种方法 嵌入审计程序法:是指被审计信息系统的设计和开发阶段,在被审的应用程序中嵌入为执行特定的审计功能而设计的程序段,这些程序段可以用来收集审计人员感兴趣的资料,并且建立一个审计控制文件,用来存储这些资料,审计人员通过这些资料的审核来确定被审程序的处理和控制功能的可靠性。

会计信息系统审计问题探讨 篇3

【关键词】汇集信息系统;审计问题;探讨分析

近些年,计算机技术得到飞速发展,在日常生活中现代信息技术的应用越来越广泛,成了大家不可或缺的一部分。随着时代的不断进步,会计审计系统改变了以往的传统手工凭证、账簿和报表等,在信息化技术的推动下,逐渐朝着电算化的趋势发展。而伴随着财务会计持续深入的电算化应用,会计信息系统审计被众多人所关注。不过,由于素质较低的审计人员和信息化程度较低的审计系统导致当前我国会计信息系统审计的发展处于原地踏步的状态。当前我国社会经济快速发展,只有不断引进先进的科学技术,提升审计人员素质,完善会计审计系统,才可以使办公效率得到有效提高。

一、会计信息系统审计的重要性

近年来,我国计算机信息技术得到快速发展,在现代化企业管理中,信息化技术应用发挥着至关重要的作用。所谓的信息系统审计,其实就是对审计证据进行收集和評价,从而判断出被评价单位资产安全是否可以得到保护、数据的完整性是否可以得到保障、确保有效实现被审计单位的目标、确保高效使用组织的资源的这一过程。计算机具有传输速度快、储存空间大等特点,通过计算机信息化技术的有效利用,可以使信息系统审计的工作效率得到有效提升。现如今我国处于社会发展阶段,不断更新的审计单位会计信息系统使会计电算化应用越来越广泛,计算机中储存了很多业务数据和财务数据,使会计信息系统审计的工作效率得到了有效保障,提高了会计信心系统审计在市场上的竞争力。当前,我国互联网与会计信息系统审计已经紧密相连,进一步实现了资源的共享。但是,随着社会经济的快速发展,假如审计单位和工作人员依然在纸质账目基础审计上停留,没有做到与时俱进,将信息系统的审计监督工作视而不见,一定会造成很大的审计风险,对审计工作的质量产生一定影响。

二、会计信息系统审计中存在的问题

1.没有明确的审计观念。现阶段,在我国的会计信息系统审计工作中,很多审计单位在进行信息系统审计过程中,由于模糊的审计观念认识,造成了在日常审计工作中故意找出许多问题,他们认为只有找出问题的答案,才可以证明审计单位所发挥的作用和成果。这些观念型的审计对理论相对比较重视,对审计的具体方法却总是回避,因此导致工作上的差错在会计信息系统审计工作中时有出现。

2.没有清晰的审计目标。当前一个时期,在我国会计信息系统审计工作中,促使审计单位信息系统真实、合法、效益得到有效保障是审计工作的根本目的。在审计信息系统和系统内控过程中,需要认真梳理被审计单位的财务收支及经济活动的真实、合法、效益,最终形成结论。但是在日常工作中,审计单位因为目标不明确导致审计行为的不规范性,即便对相关审计目标进行了指定,许多缺陷也存在于这种目标中。随着社会的不断发展,金融、行政、经贸等多种行业都被审计所涵盖,审计目标会随着行业的不同而产生变化,因此导致审计的难度也随之不断增大。在进行审计时,很多审计单位和工作人员对总体的审计目标和目标界限没有一个很好的把握,表述的相对比较模糊,操作性不强,不具备指导性。

3.缺乏真实的审计内容。目前,我国现代化企业得到快速发展,审计单位在审计这些企业的会计信息系统时,其一是在审计时工作人员没有一个正确的认识,导致审计的效果在审计过程中没有得到充分发挥;其二是许多企业为了使审计顺利通过,采用做假账的形式瞒天过海,这样就导致审计过程中,工作人员没有办法按照企业的实际情况进行审计,最终对审计质量产生严重影响。由于企业的不同,其审计方法也不尽相同。所以,文档的大量查阅,座谈会的多次召开等都是调查时所采用的方法,大批操作数据需要在测试时使用。审前调查与审计测试没有清晰的界限,也反映出工作人员在对信息系统流程上认识较为模糊,或者难以掌握的地方,无法对调查、测试、评价进行一个明确的界限分类,从而导致信息系统审计的规范化受到严重影响。

4.没有统一的审计系统。随着社会的不断发展和进步,市场上逐渐增多的企业其规模也不断增大,想要促进社会的稳定,保障经济的健康发展,就必须严格审计企业的会计信息系统。然而我国审计单位中,针对这些庞大数量的企业,审计工作不够全面。没有一个统一的审计系统,企业会计信息系统审计的真实价值得不到很好的体现,因此降低了审计效率。

三、会计信息系统审计应对策略

近年来,信息化技术得到快速发展,企业经济效益得到实现的主要手段之一就是通过计算机技术的利用从而使企业办公效率得到提升,通过信息化技术完成企业审计在我国会计信息系统审计工作中发挥着重要作用。随着信息时代的高速发展,审计的领域将逐渐被信息系统审计多替代,伴随着不断扩大的企业信息系统领域的覆盖,会计将会被作为一个独一无二的信息系统分离出来,它所发挥的作业也将也来越重要。所以,审计单位的工作人员必须全面了解所审计的对象,对自身专业知识加强培养,使我国信息系统的审计效率得到有效提高。

1.注重人才培养,加强审计队伍建设。新形势下,我国社会发展的主要力量就是人才,而伴随着社会竞争的日益激烈,人才精英在以后社会竞争中所发挥作用也将逐渐凸显。由于审计工作具有敏感性和特殊性,因此加强培养一批既对现代审计理论知识有所掌握且又对计算机技术有所了解的优秀人才对审计单位来说意义重大。在当前时代背景下,我国审计单位可以通过多种手段,加强培养一批高质量审计队伍,从而促进会计信息系统审计工作得到很好的开展,进一步推动我国现代化事业的发展。

2.建立统一系统,提高审计工作效率。近年来,计算机技术得到了快速发展,在我国现代化企业的发展过程中计算机信息系统发挥着至关重要的作用,企业大部分的数据信息都通过计算机系统进行储存。在信息系统中,部分数据需要多个财务信息系统进行储存,也有一些数据需要在业务信息系统与财务信息系统之间进行转移,在这个过程中许多问题会随着出现,特别是进行重新手工录入的过程。所以,我国审计单位需要进行统一系统的建立,通过计算机技术的应用,完成数据转换时的平价转换,输出信息的完整性和精确性可以通过统一审计系统的建立而实现,保证指定接受者在约定时间内能够准确的接受到输出的消息,确保流入消息准确真实可靠,从而使会计信息系统审计的工作效率得到进一步提高。

3.加大科技創新,加快审计工作进度。我国现代化事业发展的主要保障就是科技力量。当前一个时期,我国的会计信息系统审计的核心技术在一少部分人的手中掌握着,这些核心技术没有发挥其应有的作用,因此导致信息系统审计工作的进度受到制约。所以,我国必须加大对审计系统的科技创新,审计单位要与外界加强联系,及时将先进技术加以引进,从而使审计工作的效率得到进一步提升。

4.加强立法建设,提高审计工作质量。没有明确的制度流程和法律法规,工作就会出现混乱。在我国会计信息系统审计过程中,缺乏明确的审计法律法规,无法有效保障我国当前信息系统审计工作顺利开展。所以,我国应该加强对会计信息系统审计工作的法律法规建设,明确信息系统审计的相关责任,进而给信息系统审计工作提供法律保障,与此同时,也使企业的行为得到有效约束,切实做到有法可依,使审计质量在审计过程中得到不断提高。

四、结束语

近年来,伴随着社会主义市场经济的快速发展,企业在市场经济中占据着主要地位,它的规模也不断增加。而会计信息系统统计作为经济发展过程中的主要部分,对我国经济稳定发展起到了十分重要的作用。近几年,伴随着计算机信息化技术的持续发展,会计信息系统审计发展也得到了有效推动,使大量数据信息的安全性和可靠性得到有效保障。不过随着时间的推移,我国信息系统设计的弊端也逐渐凸显出来,没有统一的审计系统,没有清晰的审计目标,缺乏真实有效的审计内容等问题导致审计效率得不到提升,对我国审计事业的发展产生了严重影响。在当前时代发展的快速变化下,计算机信息化技术也日新月异,会计信息系统审计工作所面对的挑战十分巨大,但社会在进步,这需要我国审计单位及时建立统一系统,加强立法建设,使保障审计质量得到进一步提升。

参考文献:

[1]孙一秀.计算机审计技术在企业内部审计应用浅析[J].内蒙古科技与经济,2014(06).

[2]游培玉.电算化时代审计的创新[J].企业改革与管理,2014(04).

信息系统审计发展 篇4

关键词:电力系统,审计管理,管理创新

一、对原有的审计管理内容进行补充和完善

1. 将控制成本的重心进行转移

考虑到审计重点内容及成本构成发生了一定的变化, 我们觉得在信息化的大环境下, 对电力系统的审计成本进行控制, 应该重点做好以下两点工作。第一, 对于计算机审计软件和硬件的购置及开发要严格把关, 使计算机软件和硬件在审计业务中的应用效率进一步提高。开展计算机审计, 开发和购置审计软硬件是必要条件, 从管理审计成本的层面出发, 对购置硬件和开发软件进行可行性论证, 避免没有目的性的资源投入和软件开发, 使审计资源产生不必要的浪费。第二, 进一步强化联网审计。一旦实现联网审计, 将使电力系统的审计人员大大解放出来, 缩短他们的出差时间, 减少他们的出差次数, 使审计单位的开支大幅减低。并且, 通过联网审计可以使被审计单位的数据更规范、更标准, 使审计成本进一步减低, 大幅提升审计效率。

2. 为应对审计风险, 要不断强化措施

在信息化条件下, 审计风险具有其独特的特征, 为了更好地适应这些特征, 一定要做好应对措施。首先, 当有重大错报风险的时候, 要做好应对措施。在进行计算机审计的最初阶段, 对被审计单位进行电算化系统的资料收集是电力系统审计人员一定要做好的工作, 这些资料既有会计电算化系统配备操作人员的情况, 也有系统软件的使用情况以及计算机硬件设备情况等。坚持事前审计与事中审计紧密结合, 使审计人员更清楚会计信息的产生和传递, 更明白会计信息系统的业务程序, 更懂得如何强化内部控制, 在此基础上, 把审计风险稳控在一个比较容易接受的范围内。其次, 当有检查风险的时候, 要做好应对措施。一方面, 审计人员在选择审计技术时, 要按照被审计单位的特点来进行, 要选择那些适合的、科学的审计技术, 将计算机审计软件的功能充分利用起来。另一方面, 加强审计人员的培训学习, 将计算机数据处理技术、应用技术掌握好, 使审计人员的计算机应用水平和业务素质进一步提升。

二、创新审计管理的内容和方法

1. 让审计资源达到最优整合

审计资源整合指的是科学合理地配置审计资源, 使其达到最优化, 这样做主要是为了让审计机关能够制定出与审计工作相适应的计划和策略。按照审计资源进行分类, 在信息化条件下, 审计资源整合主要包含三方面的含义。一是建立审计信息资源库。在信息化条件下, 审计工作的开展有赖于审计信息的收集, 审计信息资源是开展审计工作的基础要求和前提条件。并且, 对信息资源库进行有效的信息共享和信息管理, 能够帮助审计机关内部实现网络化和电子化。二是合理设置审计信息化条件下的电力系统审计组织机构。三是在信息化条件下, 对从事审计的工作人员进行有效整合。对于审计的基本方法和科学理论, 审计人员要熟练掌握, 充分利用先进的、正规的审计技术。另外, 还要将信息系统的硬件和软件开发, 以及维护、管理、运用和安全常识等掌握好。

2. 施行审计项目管理的扁平化

对于以往的电力系统审计项目的管理, 往往采取分级别、重层次的管理方式。这样就会导致一些问题的产生, 如, 职能划分过于机械化、单纯对管理的行政层级进行强调。拿审计特派办来说, 从特派员、主审、审计组长、小组长、审计处长, 以及审计人员, 对于信息的沟通, 审计事项的处理, 将其时效、成本及是否经济放在一边不予考虑, 首先遵守的就是要逐级完成, 审计管理在信息化的条件下, 信息并不是按照预定的环节进行传播的, 使用者自身的需求和权限决定了信息应该如何取舍, 在这中间不要受到其他问题的干扰。即, 信息化为直接化管理提供了前提, 使电力系统审计项目管理有可能向扁平化的趋势发展。

3. 实施审计项目信息管理的动态化

在以往, 进行电力系统的审计项目管理, 会将较多的时间放在机械化处理行政文书上。管理工作的出发点往往是人的行为结果, 是静止的、补救式的被动管理。在信息化条件下的审计项目管理中, 管理围绕着控制信息流这一中心工作, 对动态的信息进行及时掌握, 在项目信息的管理过程中, 即时性是其显著特征, 管理工作的出发点是项目目标同工作的关系, 通过掌握信息在每个环节的产生、筛选、判断、纠错等, 对各种审计项目要素进行协调的、及时的、系统化地应用。全面发挥项目信息的价值。所以, 借助信息化技术建立起信息中心, 将管理者从冗杂的行政文书中分离出来, 对信息进行有效控制, 使项目实现系统化管理, 随着外界环境的改变, 进度的不断推进, 使各种管理资源更协调更合理, 使项目管理更加科学。

三、结束语

随着世界经济的飞速发展和社会的快速进步, 信息化已然是未来的一大发展趋势。我国乃至全世界必将会实现经济社会的全部信息化, 在这个过程中, 电力系统作为其中的一个重要系统, 必然会实现审计工作的信息化, 在不久的将来, 在审计工作领域将会出现一个合理的、科学的、新型的审计业务组织管理模式。到那时, 我国的审计工作将呈现“一盘棋”的状态, 作为电力系统中的审计管理人员和审计工作人员, 将在自己的办公室中, 借助云计算基础上的信息系统平台, 不用东奔西走, 便能很好地完成各项审计工作。

参考文献

[1]陈忠立, 邓洪斌.信息化条件下如何创新审计管理[J].宁波通讯, 2014, (5) :62-63.

[2]王红亮.高校教育内部审计管理的改进与创新[J].工业审计与会计, 2014, (1) :26-27.

信息系统审计方法浅谈 篇5

随着当前信息技术的发展,地方各级资金管理部门投入大量资金,开发了各种各样的信息系统软件,用于管理资金或实行会计电算化,信息系统的建设的合法性、软件开发的规范性、系统运行的安全性以及程序设置合规性等问题,成为审计关注的重点,开展信息系统审计成为审计机关避免“假账真审”、降低审计风险题中应有之义。

信息系统审计主要目标是确认信息系统的合法性、可靠性、机密性、有效性和安全性等,通过审查信息系统的运行状况,发现信息系统在使用和管理过程中存在的问题,确定是否存在漏洞和缺陷,有无非法和错误的处理和控制的薄弱环节,客观评价系统的现状,促进被审计调查单位进一步加强信息系统管理,完善信息系统功能,保证资金的安全与完整,防范利用计算机系统进行欺诈与舞弊,并提出具有建设性的建议。

信息系统审计重点内容主要有以下三个方面:

一、信息系统运行方面,主要包括:

1、系统安全性,审查信息系统的物理安全性,是否可以有效防止被非法使用,相关安全制度是否齐全,机房进出是否执行登记制度等;中心机房是否建设为标准机房,电源是否为单独供电或双路供电并配备UPS电源,服务器是否配置机柜;机房内是否摆放纸箱等可燃物品,墙体地板、天花等是否按防火标准建设或改造,是否配备防雷设施,地板是否经过防火、防静电处理,配备防静电设施;是否建有磁带库、虚拟带库等系统以备份系统数据,是否建有冗灾备份系统,以确保数据信息安全。

2、系统可靠性,审查硬件、软件是否有效能够保证业务的正常运行,操作系统和数据库是否为正版软件并及时更新,数据库是否能够满足运行需要,系统是否存在漏洞,是否易受病毒、木马、黑客等攻击,导致数据丢失、篡改等;杀毒软件病毒库及防火墙是否及时更新。

3、系统机密性,审查数据访问权限的保密性,是否存在数据被非法用户访问,不相容的权限是否设置单选或者禁用,是否存在同时操作前台和后台,既能办理业务,又能审核业务等,隐私数据的保密是否有力;操作系统及数据库是否加密存储用户口令,系统日志是否保留用户登录、操作系统模块和业务模块的相关信息;是否存在大量共享文件夹及文件,导致系统安全风险。

4、系统合法性,审查信息系统的开发、管理、运营是否符合法律、法规、规章的规定。重要信息是否为必填项或符合规范录入要求。

5、系统效益性,查信息化建设是否坚持成本节约原则,资源的利用是否坚持效率性原则,信息系统是否达到信息化建设目标。

二、信息系统管理方面,主要包括:

1、内部控制制度,主要审查信息系统是否建立相关内部控制及实际执行,关注各个控制

措施之间的相关性,业务运行结果是否与财务数据一致,某一控制是否存在补偿性或是重叠性的控制。

2、保障措施,主要审查各个环节、各个业务部门之间的联接、系统运营后勤保障、售后服务合同签订及后期实施情况等,查看是否存在薄弱环节,是否能有效保障系统的正常安全运行。

三、政策执行方面,主要包括:

1、政策执行,主要地方政策是否符合中央或省级政策的有关条目及法律法规的规定。

2、业务流程,主要审查信息系统是否严格按照流程进行运营,是否存在漏洞等。信息系统审计主要采取的方法:

1、座谈及现场察看,采取与信息化部门、用户及相关人员进行座谈,查阅与信息系统相关的文档、程序等,实地查看机房、业务终端、器材等。

2、计算机辅助审计,利用AO软件的查询、计算、分类、抽样选择、排序、数据文件联结、比较、合并等功能进行审查。

3、测试数据,通过测试数据样本,评价信息系统是否能够正确处理所有业务数据,是否能够对处理过程实施一定控制。

4、应用程序检查,检查系统软件开发过程中是否设置相应控制措施。

5、聘请计算机专家,为审计师提供指导及其他有价值的信息。

试论油田企业审计信息系统的构建 篇6

摘 要:信息系统控制已经步入企业的内部审计实际活动中。审计信息系统控制有效运行对提高审计工作的效率和效果起到举足轻重的作用。审计的本质是一个经济信息系统。对这个经济信息系统各个要素进行分析并综合,有效进行信息系统控制,是在当前复杂形势下完成审计工作的要务。将信息技术转化为审计能力,包括决策指挥的能力、发现错弊的能力和把握宏观的能力的提升,构建油田企业审计信息系统应当收集梳理大量相关的审计信息资源。

关键词:信息控制论;信息化审计实践运用;审计信息库建设

一、信息的概念及审计信息控制论的基本思想

(一)信息的概念

信息是关于客观事实的可通讯的知识。首先,信息是客观世界各种事物的变化和特征的反映。如油田企业的产量数据、各种生产报表等;其次,信息是可以通讯的,因此大量的信息需要通过传输工具获得;最后,信息形成知识。

信息按其重要性分为战略信息、战术信息和作业信息。

战略信息是关系到全局和重大问题决策的信息,它涉及到上层决策管理部门要达到的目标如产品投产和停产、开拓新市场等。战术信息是管理层控制的信息,是管理人员掌握资源利用情况,并将其实际结果与计划相比较,从而了解是否达到预期目的,如月计划与完成情况相比较的信息、库存信息等。作业信息是用来解决经常性的事务问题的,它与组织日常活动有关,并用以保证切实地完成具体任务。例如,每天统计的产量与质量数据、打印工资单等。

(二)审计信息控制论的基本思想

审计的本质是一个经济信息系统。传统审计的思维方式是:“部分→整体”。传统审计总是先分析对象的各个部分,然后再综合为整体。系统审计是指在系统科学和信息技术支持下的审计理论方法。系统审计思维方法不同于传统审计之处在于它的思维方式是:整体→部分,其程序是:综合→分析→综合。它不仅着眼于个别要素的优劣,而且利用了要素之间的相互关系,观察和判断系统整体的性能。系统审计方法正是在要素之间相互作用的关系中进行分析和综合,从而能正确地认识审计对象的整体性能。

二、信息化审计在油田企业审计实践中的运用

目前信息系统审计在审计工作实践中已进行了探索、尝试,对系统审计的方法、内容也有了一定的认识,但尚未形成系统的理论与规范的操作程序。笔者认为内部审计信息系统控制要达到促进审计质量和审计效率提高的目的,将信息技术转化为审计能力,包括决策指挥的能力、发现错弊的能力和把握宏观的能力的提升,具体可以从下面几个方面去加以建设和管理。

(一) 加大事前信息控制力度,做到有的放矢。

加大事前控制就是要搞好审前调查工作,是审计质量控制的前提。审前调查是确定审计工作重点内容、审计范围、选择审计方法和步骤、制定审计实施方案的必备环节,是审计质量的事前信息控制。

审前调查是编制好审计方案的基础。在实际工作中往往存在三个突出的问题:一是有部分审计人员不搞审前调查,特别是对常规审计或者多次审计过的单位和项目,忽视审计对象总是处在变化之中;二是有调查但不深入,只了解一些人员、机构等的基本情况,而具体到资金来自哪些渠道,资金如何安排,管理方式内控要求,重大开支和特殊开支等情况,了解掌握的信息不够,导致审计方案简单、流于形式、重点不突出、针对性较差。高质量的审计方案的编制离不开审计信息的支撑。收集和掌握被审单位的审计信息是编制好的审计方案,实现审计项目质量高的前提。

(二)采用预警技术和抽样技术,注重持续审计和持续监控。

持续审计和持续监控分别是内部审计或管理层在一个固定时段内,经常或持续用来监控信息技术系统、交易和控制措施的自动反馈机制。中石化审计局开发的审计预警审计抽样系统按照重要性、业务发生频率、固定样本量进行审计抽样,抽样技术在审计工作中得到运用。笔者在一次内控审计中运用了抽样审计的方法对销售和采购流程实施审计程序,大大提高了审计效率。可以直接穿透到销售和采购订单。整个业务流程很明晰、直接可以查找到具体业务经办人员。采用预警技术能够更有效地分析风险数据。这个机制有助发现异常、例外、不一致和其他因素,以便更有效地集中审计资源。 持续监管可向管理层提供近似实时的关键绩效指标信息,洞察事态发展的内涵,从而提高管理层管理风险,把握机会的能力。

(三)推进审计质量控制的信息化管理。

审计信息化建设和发展不仅仅是信息和网络技术在审计工作中运用的问题,更重要的是审计管理思想和观念的转变。中原油田内部审计宗旨是服务于油田更好更快经营发展的。油田的经营发展,是一个复杂而庞大的体系,众多方面的环节必然产生大量的相关信息,中原油田采取了先进的管理技术和手段。构建了一个纵横交错的项目组织管理架构。作为油田内部审计一线的审计人员意识到若继续以传统的审计来运作,将无法有效管理和规范这样一个审计人员众多、审计对象分散的审计项目,也难以形成一个协调、快捷、沟通的团队;信息化思维方式形成于信息化审计环境,也是创新计算机审计方法的基础。尽快摆脱以审计单位电子数据为主的传统审计方法,转变为以信息化系统化的审计方法。

三、建立油田企业审计信息资源库

长期的审计实践认为,建立一套油田审计内部的信息资源系统能提高审计人员的战略意识和系统意识。早在90年代初,油田管理部門设立政策研究室,研究油田企业的相关政策环境和制定油田的发展规划。审计部门是综合管理部门,建立审计信息的系统工程是未来发展的趋势。通过信息的分析加工,可以及时调整审计方向,把管理与国家、总部政策、以及企业的实际相结合。审计部门应当每半年梳理各部门、单位负责管理的内外部信息,对审计工作的宏观战略的提升必不可缺。下面就油田企业审计部门应收集梳理的信息列式如下,不同的油田企业或许有不同的管理模式和特点,但基本的信息应包含但不限于下列战略信息、战术信息和作业信息信息:

1、财务相关信息:预算资料信息:油气生产单位的经济活动分析。其他直接成本费用信息。

2、计划信息:油田建设项目前期工作计划项目建议书。

3、物资采购信息:物资需求计划信息。下一年度的物资采购策略。统计部门提供产量、销售、库存、石油工程工作量等统计数据。

4、勘探开发信息:油田勘探开发投资建议计划

5、合同信息:合同管理台账

上述审计信息的收集整理需要油田相关部门的配合,也需要有专门的审计人员完成信息的梳理建库工作。充分利用信息网络技术及时收集上述审计信息。油田企业审计信息系统构建的关键要素是信息网络系统建设、信息资源库建设、信息化人才建设三大方面。审计信息化建设需要我们在审计实践中不断的运用和发展完善。

参考文献 :

[1] 信息化建设中信息系统审计问题研究,作者:程朝 东北师范大学

信息系统审计发展 篇7

1.1内部控制审计

1.1.1内部控制审计定义

内部控制审计是通过对被审计单位的内部控制的审查、分析测试、评价, 确定其可信程度, 从而对内部控制是否有效做出鉴定的一种现代审计方法。

1.1.2内部控制审计的内容

审计其实是对被审计事项合规性的审查, 内部控制审计就是对内部控制五要素的一个审查, 这五要素就是美国COSO委员会提出的《内部控制-整合框架》中的“控制环境、风险评估、控制活动、信息与沟通、监察”。在内部控制审计过程中, 审计师在审计过程中查看被审企业是否对企业的内部环境有着很好的认识, 认识是否中肯, 是否存在夸大或贬低的情况;对企业进行风险评估, 将审计师自己所进行的风险评估与被审单位进行的风险评估进行比对, 查漏补缺。

1.2信息化内部控制审计

信息化内部控制审计与内部控制审计内容、方法其实基本相似, 最大的不同就在于, 信息化内部控制审计考虑了信息环境对内部控制的影响。它的内容更多的是涉及到信息化环境下的内部控制问题, 审计师更多的关注是信息技术在企业中使用的范围, 评价信息技术的使用对企业经营管理过程中可能带来的风险, 评估信息技术对财务报表等等各方面的影响。

2信息系统审计

2.1信息系统审计定义

信息系统审计是一个利用各种手段和工具对企业进行收集和评价审计证据, 并以此来判断其信息系统是否能够保护企业资产的安全、维护企业数据的完整, 能否有效地保证企业目标的实现, 并能使企业资源得到高效地利用等方面做出判断的过程。

2.2信息系统审计的内容

信息系统审计内容通常包括对企业组织层面信息技术控制、信息技术一般性控制、业务流程层面相关应用控制的审计。企业组织层面信息技术的审计要考虑的是信息技术对在内部控制审计所关注的五要素“控制环境、风险评估、控制活动、信息与沟通、监察”的影响, 如在控制环境因素中, 审计师要关注信息技术战略规划与企业发展战略规划的契合度、信息技术治理制度体系的建设以及信息技术部门的组织结构和关系以及信息技术教育和培训等情况。信息技术一般性控制关注的是构建信息系统所涉及到的技术及安全:计算机硬件系统、计算机软件系统如网络架构、操作系统、数据库、应用系统, 还包括使用信息系统相关人员以及规章规程, 以确保信息系统的稳定运行, 支持应用控制的有效性。如信息安全管理、系统变更管理、系统开发与采购管理、系统运行管理等。企业业务流程层面应用控制是为了保证信息系统能够准确、完整、及时完成企业数据的处理过程而设计的信息技术控制, 所以审计师应关注与数据输入、处理及输出环节的相关的控制过程。除了上述审计活动之外, 审计师还可根据企业的需求以及企业可能面临的特殊风险, 设计信息系统专项审计满足企业发展战略, 如:信息系统开发实施项目的专项审计、信息系统安全审计、信息技术投资专项审计等。

2.3信息系统审计过程和方法

典型的信息系统审计过程内部通常有下面几个阶段:1确定审计对象:明确将要审计的领域。2确定审计目标:明确审计目的。3审计范围:明确组织中要检查的具体系统、职能或单元。4制定初步审计计划:确定所需要的技术技能和资源, 检查信息的来源, 确认审计地点或设施。5搜集数据的审计程序和步骤:确定对控制进行测试, 验证审计方法和工具, 确定访谈对象名单, 确定需要检查的部门政策、标准和指南。6评价测试或检查结果的程序。7确定与管理人员沟通的程序。8审计报告:确定追踪审计程序测试和评价运营效果以及效率, 确定控制测试程序检查和评价文档、政策和规程的合理性。

和传统手工环境下的审计技术和方法相比, 信息系统审计的方法既包括一般方法即手工方法, 如询问控制相关人员、观察特定控制的运用、审阅文件和报告等方法, 同时也根据信息系统的特性, 应用计算机辅助审计工具和技术对信息系统进行穿行测试、追踪信息系统处理数据痕迹、验证系统控制和计算逻辑以及登录信息系统进行系统查询等方法。审计人员对信息系统审计进行评估时应获得充分、可靠及相关的审计证据以支持审计结论完成审计目标。在信息系统审计过程中, 我们要注意几个问题:1由于较多的计算和报表等都是信息系统自助完成的, 审计师在审计时要关注数据的来源、 去向是否明晰, 对数据报表审查功能是否完备等。2数据在两个信息系统之间进行数据传输时, 要制定一套规章来保证数据在传输过程中的完整性、准确性和真实可靠性。3信息系统审计师在使用计算机审计软件工具获取审计证据时, 要注意对原数据的保护, 不能对原始数据进行分析, 防止造成审计证据的丧失。4信息系统审计师对被审单位内部控制环节进行审计时, 要关注其内部控制系统是否存在并证明它正在有效地发挥作用。具体地应在这几个方面检查内控制度的有效性:控制系统资源的存取、控制系统资源的使用、建立用户职能分配资源的制度、确认处理过程的准确性、保护财务系统免遭计算机病毒的攻击。

3信息化内部控制审计与信息系统审计的联系

通过对信息化内部控制审计、信息系统审计的定义、内容等基本概念的介绍和分析, 我们对两个审计概念有清楚的了解。不管是信息系统审计还是信息化内部控制审计, 它们都是企业为防范风险、进行有效监管为主要目的的审计体系, 以此构建全方位的企业管理过程的控制体系。对企业来说财务管理尤为重要, 企业运营的决策很大程度依赖于财务报表等相关财务报告, 在信息化环境下, 财务报告信息是由会计信息系统依据日常财务信息统计计算获得的, 会计信息系统的有效运行依赖于内部控制的有效性。信息系统审计关注信息技术的应用与信息系统运行的有效性, 信息化内部控制审计关注信息技术的应用与内部控制的有效性, 从上述分析可以看出, 信息化内部控制审计与信息系统审计存在着许多联系。

3.1目标一致性

内部控制审计是对公司内部控制有效性的审计, 信息系统审计是对组织信息系统管理以及应用的综合评价, 似乎并不相同, 但是两者的最终目的是一致的, 它们都是建立企业的风险控制、监管体系保证企业管理人员得到完整的、真实可靠的管理信息。而且, 信息系统审计的内容在很大程度上与内部控制审计内容有着密切的相关性。企业管理信息系统通过收集企业日常运行的数据经过加工处理后产生了各管理层所需要的管理信息, 信息系统的运行依赖于内部控制的有效。因此, 内部控制的有效性, 是为了信息系统的有效运行, 是为了获得高质量的管理信息, 更有效地为企业管理人员服务。

3.2都属于鉴证业务

一般的鉴证业务定义是指注册会计师对鉴证对象信息提出结论, 以增强除责任方之外的预期使用者对鉴证对象信息信任程度的业务。我们认为内部控制审计和信息系统审计都属于专门的签证业务。审计人员在进行财务报表审计时, 根据已发布的各个准则对内部控制进行调查和测试, 目的是确定控制风险水平。当风险控制水平确定后, 审计人员在审计期间要考虑内部控制的有效性。而审计人员执行内部审计业务是一项专门的审计任务, 他事先与委托人就内部控制审计范围达成一致意见, 只要是业务约定书确定的内部控制审计范围, 审计人员都要进行审计, 也可将内部控制审计与财务报表审计整合进行。因此, 财务报告内部控制审计也是基于责任方认定的鉴证业务。

根据信息系统审计定义, 信息系统审计是以独立第三方的身份对被审计单位的信息系统以及信息系统应用发表意见, 这种意见明显属于合理保证的鉴证业务的范畴。ISACA提出的用于描述IT管理框架的COBIT, 已经成为众多国家的政府部门、企业对IT的计划与组织、采购与实施、服务提供与服务支持、监督与控制等进行全面考核与认可的业界标准。我国的信息系统审计准则基于COBIT的思想建立一套完善的企业信息系统审计的内部监控体系, 认为信息系统的开发、运行和维护以及信息技术相关的内部控制的设计、执行和监控是组织及其相关人员的责任, 实施信息系统审计工作并出具审计报告是信息系统审计人员的责任。这就说明了信息系统审计属于基于责任方认定的合理保证鉴证业务。

3.3基于风险控制的审计形式

我们知道内部控制有一项基本要素是“风险评估”, 同样的, 内部控制审计中采取的就是风险导向审计模式, 由审计师对被审单位的风险进行分析, 确定被审单位是否已经意识到了所有的风险, 或者说是否存在被审单位忽略的风险。对意识到的风险, 审查其控制活动, 确保控制到位, 不存在遗漏的地方;对于被审单位没有意识到的风险, 提出审计意见、提出控制活动, 建议被审单位重视这些被疏忽但是却不容小觑的潜在风险。

同样的, 信息系统审计也是采用了同样的风险导向审计模式, 在正式的审计活动展开之前, 先对被审单位进行风险评估, 了解被审单位风险控制是否到位, 根据风险评估结果决定信息系统审计师对被审单位进行的合规性测试、复合性测试的量的大小, 运用风险导向审计模式可以极大的减少信息系统审计师的工作量, 帮助信息系统审计师选取一种最优化、智能的测试方法获取想要的审计证据。所以说信息化内部控制审计与信息系统审计在这一点上是相同的。

3.4审计结果可以借鉴

从信息系统审计的审计过程来看, 不难发现, 在信息系统审计过程中有一项比较重要的调查就是“被审企业是否存在内部控制”, 这一项调查结果直接影响信息系统审计师后续审计工作的展开, 若是内部控制充分, 则信息系统审计师只需要进行少量的符合性测试和实质性测试, 审计工作量大大减少;若是内部控制不充分甚至于不存在内部控制, 则信息系统审计师需要进行大量的实质性测试甚至于对所有内容进行测试, 若是对一个大型企业大范围的进行实质性测试的话, 审计进度可能会延期。

因此, 我们的信息化内部控制审计就是对企业的内部控制有效性进行的审计活动, 该审计活动最终会出具被审单位内部控制是否有效的审计报告。同样都是对被审单位内部控制有效性进行的调查研究, 不难想出, 这两种审计活动在内部控制有效性审查这一部分存在很多相同的基础调查。所以, 信息化内部控制审计与信息系统审计两者的审计结果是相互通用的。信息系统审计师在审计时, 可以根据内部控制审计的审计结果, 适当地增加或减少内部控制调查的力度;反之, 内部控制审计师在审计时, 可以根据信息系统审计过程中内部控制的调查结果, 决定自己内部控制调查的工作重心。在一项调查工作中发现的问题可以为另一项调查提供线索和思路。需要注意的是, 一项调查结果并不能代替另一项调查, 就好比信息系统审计过程中对内部控制所做的调查并不能够完全代替内部控制审计, 因为两者对内部控制活动的关注程度、关注方面存在着很大的不同, 这也是信息化内部控制审计与信息系统审计的一大不同点。

4信息化内部控制审计与信息系统审计的区别

以上分析可以看出信息化内部控制审计与信息系统审计存在着一定的联系, 但从定义上来看, 两者在审计的对象、内容以及结果都是很大区别的。

4.1审计内容不同

这一点是最显而易见的。信息化内部控制审计的对象是企业的内部控制, 审计师在审查过程中会去重点关注的是被审单位首先是否存在内部控制制度以及制度是否健全;其次, 内部控制制度是否只是摆设, 是否积极主动的去实行;然后是制度是否有效, 最后才是根据审计师观察的结果得出改进意见等。而信息系统审计可能更加关注的就是信息系统是否有效了, 它包括了信息化的内部控制方方面面。

4.2对内部控制的关注程度不同

信息系统审计和内部控制审计都会关注企业的内部控制。但是两种审计模式对内部控制的关注目的是不同的。信息化内部控制审计中, 评价内部控制的目的是为了对内部控制本身的有效性发表审计意见;而信息系统审计评价内部控制只是为了评估被审单位对风险是否做到了有效控制。如果信息系统审计师不想审查被审单位的内部控制, 他可以不做。然而信息化内部控制审计却不能做到这一点, 这也是两者之间的一大不同。

4.3审计结果不同

根据其定义, 信息化内部控制审计中, 审计师会出具关于内部控制有效性的意见。在信息系统审计中, 审计师会对相关信息系统运行做出判断, 并提出意见。两者出具的是完全不同的两种报告, 所以说内部控制审计与信息系统审计的审计结果不同。

5总结

信息化时代已然来临, 随着计算机的普及与应用, 完全脱离计算机进行审计的审计活动是不存在的。如上分析, 信息化内部控制审计与信息系统审计存在许多的共同点, 而且相关的基础调查、结论等可以共用, 可以考虑将信息化内部控制审计与信息系统审计做一个适当的整合, 减少审计工作的冗余, 更加高效、正确地完成审计工作。

摘要:企业内部控制审计与信息系统审计都是以防范风险、有效监管为主要目的, 来构建全方位的企业管理过程的控制体系。但是由于信息技术渗透到企业管理的每一个过程, 使得两者的审计界限变得模糊。为了分析两者的区别和联系, 本文将从内部控制审计和信息系统审计的基本概念出发, 阐述它们各自的审计对象、审计内容以及审计结果, 以此说明两者的异同点。

关键词:信息化,审计,内控

参考文献

[1]骆良彬, 张白.企业信息化过程中内部控制问题研究[J].会计研究, 2008 (5) .

[2]陈志斌.信息化生态环境下企业内部控制框架研究[J].会计研究, 2007 (01) .

会计信息系统舞弊审计探讨 篇8

从会计信息系统的通用模型可以看出, 其四大处理阶段———数据采集、数据处理、数据库管理和信息生成, 都是舞弊的高风险领域。

(一) 数据采集阶段

数据采集是会计信息系统的第一个阶段。在很多方面, 数据采集都是系统最重要的阶段, 保证了进入系统的数据有效、完整且没有重大错误。数据采集模块的设计原则是相关性和效率。会计信息系统应该只获取那些相关的数据, 系统设计员通过分析用户的具体需求来定义哪些信息是相关的, 哪些是无关的。只有最终对信息生成有帮助的数据才是相关的。会计信息系统应该能够在数据采集阶段就过滤掉无关信息。有效率的数据采集是指避免重复采集相同信息。数据的多次采集会导致数据冗余和不一致。会计信息系统的采集、处理和存储数据能力是有限的, 数据冗余会使得设备超负荷运转而降低系统的整体效率, 最直接的表现是系统运行速度缓慢。会计信息系统中最简单的舞弊方法大都集中在数据采集阶段。这是传统的交易舞弊在IT环境中的等价形式。舞弊者只需了解系统如何输入数据即可。舞弊行为之一是伪造数据 (删除、修改或增加一项交易) 。如舞弊者在录入时, 插入一条虚假的工资交易, 或者增加工时字段的录入值, 系统将为舞弊者增加工资支票的金额。舞弊行为之二清偿一项虚假的负债。通过输入虚假的支付凭证 (如采购订单、验收报告或供应商发票等) , 舞弊者可以欺骗系统为不存在的交易创建应付账款记录。一旦应付记录建成, 系统将认为该交易合法并且在到期日打印支票, 按正常交易流程付款。分布式数据采集和网络传输使得地理位置相距甚远的关联公司间越来越多地遭遇舞弊, 如冒充、偷窥、跟踪和黑客等。冒充是指舞弊者通过伪装成授权用户从远程终端获得了会计信息系统的访问许可权。这通常首先需要事先获得授权访问用户名和密码。舞弊者还可搭线接入通讯线路并侵入一个已经登录进系统的授权用户账户。一旦舞弊者进入系统, 就和其他合法授权用户一样进行各种操作。现阶段黑客的主要目的已由原来的炫耀技能转变为偷窃、倒卖公司信息, 或者恶意制造破坏, 迫使公司高薪聘请他们修复和维护。

(二) 数据处理阶段

数据采集完成后, 经过处理才能生成直接可用的会计信息。数据处理阶段的任务包括用于生产日程安排应用程序的数学算法 (如线性编程模型) 、销售预测的统计技术、账务处理程序中的过账及汇总等。数据处理阶段的舞弊分为两种:操作舞弊和程序舞弊。操作舞弊是指滥用或偷窃公司的会计信息系统资源, 包括利用公司IT资源做私活。程序舞弊主要是指创建非法程序访问数据库文件、更改和删除会计记录, 或在会计记录中插入数值, 或用计算机病毒破坏程序的处理逻辑, 使数据处理异常。萨拉米舞弊是著名的程序舞弊。由于银行财务报告要求的数据精度低于数据库中实际存储的数据精度, 用来计算客户存款利息的程序必须具备取整功能。利息计算程序中的一个复杂的例行程序是清除舍入错误, 以使银行负担的利息总额等于各储户贷方的总额。程序暂时将每次计算的小数部分保存在一个内部存储累加器中。当累加器中的数值达到正或负的一分钱时, 这一分钱才被记入储户账户。舞弊者通过修改程序处理逻辑, 使得正一分钱不是随机地加入某储户账户, 而是加入舞弊者账户, 但负的一分钱仍然如实地从储户账户中扣除。虽然每次只加一分钱, 但由于银行交易量的巨大, 这种萨拉米舞弊可以汇集一笔可观的存款, 而且会计记录还能保持平衡。

(三) 数据库管理阶段

公司数据库是其财务和非财务信息的集中储藏室。数据库管理舞弊包括: (1) 更新、删除、乱序、毁坏或偷窃公司的数据。访问数据文件是这种舞弊的基本要件, 因此数据库管理舞弊常常与交易舞弊和程序舞弊相结合, 最常见的舞弊手段是从远程地址访问数据库, 在数据文件中浏览、拷贝并出卖数据。 (2) 心怀不满的雇员的报复性破坏公司的数据文件。 (3) 逻辑炸弹———编程人员在程序中插入破坏性例行程序, 在某特定条件满足时, 逻辑炸弹爆炸———删除重要数据、破坏系统等。例如, 某一工资程序中的逻辑炸弹是每天检查雇员名单, 如果没有找到特定雇员的记录 (如该雇员被解聘) , 则启动炸弹, 删除或恶意篡改相关数据表文件。

(四) 信息生成阶段

信息生成是为用户编译、格式化和表达直接可用信息的过程。信息可以是一个操作性的文件、结构化的报告或者计算机屏幕上的一条消息。有用信息在逻辑上具有如下特点:相关性、及时性、准确性、完整性和总括性。信息生成阶段最常见的舞弊形式是偷窃、误导或滥用计算机输出信息。实务中最常见的舞弊手段是垃圾寻宝, 即舞弊者在计算机输出终端附近的垃圾箱中寻找有用信息。另一种舞弊手段称为侦听, 即在通讯线路上监听输出信息。IT技术很容易使舞弊者窃听到正在通过的不受保护的电话线路和微波信道传送的信息。多数专家认为, 在操作上防止一个决意进入数据交换信道的舞弊者是不可能的, 但是数据加密可以使侦听者不能理解信息, 从而达不到舞弊目标。

二、会计信息系统舞弊审计

由于需要伪造会计记录, 许多舞弊方式在会计信息系统中都会留下审计线索。审计人员首先开发一个舞弊特征图, 用以刻画在某一特定类型舞弊中人们期望找到的数据特征, 然后采用各种数据获取和分析工具 (如ACL软件) 来收集和分析数据, 找到审计证据, 形成审计结论。以下仅详细说明向虚构供应商付款、工资舞弊和循环挪用应收款项各自对应的IT审计程序。

(一) 向虚构供应商付款

采购职能对于很多公司而言是一个重大的风险领域, 其常见舞弊方式之一是向虚构的供应商付款。采用这种方式的舞弊者首先要捏造一个供应商, 并在受害公司的记录中为其建立合法的供应商身份。然后舞弊者提交来自虚构供应商的发票, 并由受害公司的应付账款系统处理。由于存在组织结构和内部控制系统, 这种舞弊通常需要两个或两个以上雇员共谋。常见的审计程序分为以下几种情况: (1) 连续发票号码。既然受害公司是发票的唯一收受人, 虚构的供应商发出的发票应该是连续编号的。用ACL软件以发票号码和供应商代码为关键字对发票文件中的记录进行分类, 输出发票号码连续的发票清单, 以备进一步分析和检查。 (2) 有邮政信箱的供应商。伪造的供应商可能没有实际住址, 舞弊者会租用一个邮政信箱来收款。审计人员使用ACL的表达式生成器, 创建一个过滤器, 以便从发票文件中选取那些只有邮政信箱地址的供应商。 (3) 有雇员地址的供应商。舞弊者有时不租用邮政信箱, 而在发票上填列家庭住址。审计人员通过ACL软件的连接功能来连接雇员和发票两个文件, 并以住址字段作为二者的通用关键字, 使得只有供应商住址等与某雇员住址的记录才能输出到合并后的结果文件中。 (4) 多家公司拥有同一地址。为了避免与同一供应商进行过多交易而引起警觉, 舞弊者可能伪造多家共享同一邮件地址的供应商。此时可用ACL软件的重复性检查功能来生成一份由两个或两个以上供应商共享同一地址的供应商列表。 (5) 发票面值略低于检查临界值。许多公司为了控制支出, 建立了一个重要性临界金额。所有超过该临界金额的支票都要经过复查和签名。有鉴于此, 舞弊者会伪造刚好略低于临界金额的付款, 使得其既可谋取最大利益, 又能逃避审查。与此对应的审计程序是用ACL软件的表达式生成器来创建位于临界金额左右的值域, 如合计金额介于临界金额-100和临界金额之间的发票, 然后再综合另外四种审计程序全面检查。

(二) 工资舞弊

常见的工资舞弊有两种:雇员工资的超额支付和对不存在的雇员支付工资。第一种方式通常涉及夸大工时和/或重复发放工资。第二种方式包括向工资系统中加入虚假的雇员, 随后冒领该雇员的工资, 这种舞弊的变种之一是在工资名册上保留已离职雇员。 (1) 超额工时。什么是超额取决于各公司的政策和具体薪酬条款, 审计人员首先应获得关于工时及薪酬的详细内部标准, 然后使用ACL的表达式生成器功能, 筛选出具有超额工时的工资名单。如果超时现象相当普遍, 那么可选取周工时大于50小时的记录, 以生成舞弊嫌疑名单。 (2) 重复支付。使用ACL的重复性检查功能, 按雇员编码查找工资支付记录, 如存在以下情况之一者, 可视为重大舞弊嫌疑:相同雇员号码、相同姓名、相同账户;相同姓名, 不同账户;不同姓名, 相同账户;不同姓名, 不同账户, 但相同家庭住址等联系信息。 (3) 不存在的雇员。在ACL软件中, 连接工资支付文件和雇员文件, 选择雇员号码为共同属性, 使连接后的输出文件中仅包含在雇员文件中不存在的雇员的工资支付记录, 审计人员应就输出信息向工资部门追问支付原因。

(三) 循环挪用应收款项

循环挪用应收款项是指将从第一家客户收到的支票存入自己账户, 在以后的会计期中, 再把从第二家客户收到的款项挪到第一家客户账户中, 以此隐蔽其对第一家客户收款的挪用行为。因为公司的具体信用条款、会计信息系统的选型, 以及应收款管理相关模块的参数详细设置各不相同, 所以实际公司数据中的唯一的舞弊证据是应收款项的收到和记录的时间差, 舞弊特征极不明显, 给审计带来很大困难。开放发票法通常用于管理 (商业) 企业的应收账款。发票文件中各条记录相互独立, 从客户处取得的支票一般是对特定发票的支付。发票文件中的发票金额字段值在开票时填入, 而结账日期字段值在收到全部款项时才填入, 汇款额字段反映从客户处实际收到的付款金额。既然客户与供应商之间良好的信用关系很重要, 那么正常情况下的付款应该是准时且全额的, 部分付款很可能就存在应收款项的循环挪用。未付款的发票称为开放发票。例如, ZYZ公司收到客户A寄来的一张117万元的支票, 以全额支付其记录在发票文件中的一笔117万元的采购业务。ZYZ公司的舞弊者收款后占为己有, 挪作他用, 而未结清该发票, 则该117万元的发票仍为开放状态。在后续的会计期中, ZYZ公司收到客户B汇出一张200万元的的支票对另一张开放发票进行全额支付。挪用者将其中的117万元记入客户A账户, 结清该账户 (即关闭上述117万元的发票) , 余下的83万元清偿客户B的开放发票金额中的一部分。由于客户B的发票金额中还有部分未结清, 因此客户B的发票仍为开放状态。循环挪用是一种必须要舞弊者主动连续实施的舞弊手段, 因此舞弊特征随着时间的推移能得到最佳观测。这种向下结转的特点为审计人员提供了绘制舞弊特征图的基础。如果公司遵循恰当的文件备份程序, 发票文件在各个会计期内经常备份, 则可生成发票文件的不同版本, 把这些不同版本的发票文件收集在一起纵向比较其中的开放发票记录, 就反映出从各会计期结转的发票额。如果审计师怀疑存在循环挪用, 可采用以下的实质性测试程序:用ACL软件的表达式生成器从各版本的发票文件中选取部分结清的发票记录;将得到的结转文件合并到一个单独反映整个会计期活动的文件中;创建一个计算字段来计算结转的额度 (发票额-汇款额) ;用重复性检查命令, 查找结转额度相等的支付记录, 循环挪用款项就会浮出水面。

企业级会计信息系统中的舞弊存在三种主要形式:向虚构供应商付款、工资舞弊及循环挪用应收款项。这三种舞弊在数据采集、数据处理、数据库管理和信息生成四大处理阶段都各具特点, 由此形成了各自对应的、基于ACL软件的特色IT审计程序, 在实务中取得了较好的成效, 从而有效地降低了财务报告重大错报的风险, 提高了企业信息的可靠性和可用性。

参考文献

[1]王海林:《IT环境下企业内部控制探讨》, 《会计研究》2008年第11期。

[2] (美) 詹姆斯·A·霍尔 (James.A.Hall) 著, 李丹、刘济平译:《信息系统审计与鉴证》, 中信出版社2003年版。

信息系统审计国内研究综述 篇9

1 研究国外信息系统审计的理论与发展

我国的信息系统审计研究相对于国外起步较晚, 最初阶段主要是翻译和介绍国外的研究, 并对我国的信息系统审计建设作一些指导性的建议。其中比较有代表性的有以下成果:

胡晓明等 (2006) 系统地研究了COBIT4.0标准产生的背景、整体框架以及核心内容, 并把它与COBIT 3rd版本进行了简要对比, 就如何以COBIT4.0为蓝本, 整合商业目标与IT目标, 指导IT治理实践作了一定的分析。他认为实施COBIT标准, 从IT治理的角度为企业管理层提供了一个新的视角, 有助于实现IT治理目标与商业目标的战略统一。

胡克瑾等 (2008) 建立了COBIT4.1中IT过程的通用描述模型, 再分别定量考察过程模型的五个元素, 得出过程的成熟度。通过对成熟度的汇总分析, 得出对组织IT治理总体现状的认识, 并明确了改进方向;再通过敏感性分析和回溯分析。帮助管理层选择IT治理改进方案, 细化行动细则。

王会金, 刘国城 (2009) 在阐述COBIT模型的基础上, 分析了其在中观经济主体信息系统重大错报风险评估中的应用, 并从规范审计行为的角度研究了其在完善当前我国信息系统审计准则方面的指导作用。

2 信息系统审计基础理论研究

2.1 关于信息系统审计、计算机审计

我国从一开始就将电算化会计信息系统确定为计算机审计对象, 致使人们将其等同于 IS审计的审计对象。多数学者将计算机审计作为一个广义的概念, 认为其包括两个方面, 一是将计算机系统作为审计的对象;二是将计算机作为审计的工具。郭宗文等认为计算机审计与传统手工设审计没有本质区别, 其目的和职能没有改变同样是执行经济监督智能。而ISACA认为信息系统审计是一个获取并评价证据, 以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率的利用组织的资源并有效果的实现组织目标的过程。

2.2 关于信息系统审计与会计信息系统审计

在笔者研究的206篇信息系统审计的文献中, 其中有31篇研究的对象是会计电算化审计, 占总数的15.0%。会计信息系统审计指“通过一定的技术手段收集并评估证据, 以判断一个会计信息系统是否做到安全、可靠和有效, 同时又能最经济的使用资源”。所以会计信息系统审计是信息系统审计的一个子集, 它只是将广泛的信息系统具体为会计信息系统审计。

国内对于会计信息系统审计的研究集中在技术方法、策略、审计程序方面, 孙立辉 (2009) 提出的审计策略是:将整个会计信息系统分解成为子系统, 确定每一子系统的可靠性, 并根据每一子系统的可靠性推导出系统总体的可靠性。董霞 (2006) 、孔春玉 (2008) , 对会计信息系统审计的程序进行了探讨, 张福蕊 (2004) 、郑英雪 (2007) 、陈瑜 (2009) 、孙立辉 (2009) 从互联网角度探讨了会计信息系统审计, 马万民 (1999) 、赵立洋 (2008) 、史振生 (2008) 从风险控制角度研究了会计信息系统审计。

3 信息系统审计基本概念研究

国内关于信息系统审计的基本概念研究包括:审计目标、审计对象、内容以及方法。

陈希晖 (2010) 认为, 目前, 我国信息系统审计按照目标来分, 主要有两种, 一种是以信息安全为导向的信息系统审计, 意在识别系统的各种安全威胁, 使信息系统在一个安全的环境下运行;另一种是以内部控制为导向的信息系统审计, 通过分析信息系统的各项指标, 找出薄弱环节并有效的控制风险。

我国专家孙强 (2003) 认为, 信息系统审计的对象包括信息安全、数据中心运营、技术支持服务、灾难恢复与业务持续、绩效与容量、基础设施、硬件管理、软件管理、数据库管理、系统开发、变革管理、问题管理、网络问题、通信等, 他认为审计的对象会随着信息技术的不断发展将不断扩展。吴晓东 (2009) 认为, 信息系统的对象具有综合性和复杂性, 从纵向 (生命周期) 看, 覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务;从横向 (各阶段截面) 看, 它包含对软硬件的获取审计、应用程序审计、安全审计等。

吴沁红 (2008) 从信息系统构成要素、信息系统生命周期和信息系统管理三个维度来描述信息系统的逻辑结构, 进而全面分析和准确定位了信息系统的审计内容。谢岳山 (2009) 将信息系统审计的内容分为内部控制和系统本身的审计两大方面。

张大雷 (2010) 认为, 记录和描述信息系统内部控制制度的方法有三种, 即书面说明法、调查表法、流程图法, 并且对内部控制的执行情况要通过进行符合性测试、检查证据法、重新测试法、实地观察法等进行控制。王晓倩 (2011) 提出了从人员流、业务流、信息流统筹开展信息系统审计工作, 为开展信息系统审计活动提供了新的视角。

4 信息系统审计应用研究

我国的一些学者在近三年也逐步开始了对信息系统审计的实证方面的研究。秦娟 (2006) 对住房公积金管理信息系统审计进行了研究, 分析了主机模式和委托模式二者的优缺点以及各自存在的一些问题, 从成本和规范性来考虑建议公积金管理统一采用委托模式。

2008年, 王国清、蒋开颜 (2008) 对地税信息系统审计做了实证研究, 着重通过信息系统数据分析追踪法、业务流程数据跟踪法、功能与需求对比法等技术方法进行分析和测试, 在报表数据验证, 查证税收人库数据真实完整的基础上, 重点对“税收业务”系统应用控制的关键程序进行审计。张德勇 (2008) 研究了航空票务信息系统审计方面有关通过跟踪被审计单位的业务过程和数据处理流程。李春清 (2008) 引入具有东方人文色彩的WSR方法论, 建立基于WSR方法论的信息系统审计模型, 将信息系统按照物理、事理和人理展开探讨政府审计机关如何从经济监督的视角开展信息系统审计。

2009年, 刘洪锋, 周艳海 (2009) 分析了邮政储蓄银行开展信息系统审计工作存在的问题, 从转变审计观念、建立全方位审计体系与模式、培养专业人才等角度对邮政储蓄银行开展信息系统审计提出了建议。王威 (2009) 介绍一种基于JVMTI来对信息系统增强并行审计功能的软件——i-Audit的设计和实现。i-Audit通过非侵入式的方式来进行审计支持, 可以帮助新建的和遗留的J2EE信息系统实现并行审计功能, 而不需要对应用代码作任何的修改。

2010年, 侯俊华 (2010) 研究了新型农村合作医疗基金信息系统审计, 以传统数据式审计方法为基础, 以分析信息系统的薄弱环节为突破口, 采用数据回归测试法实施审计, 核查系统内部勾稽核对功能的完整性以及系统功能设置的正确性。李庭燎、辛风 (2010) 对联合国儿童基金会信息系统审计进行了研究, 从信息系统的审计涉及的组织、IT支持和业务流程三个层面, 提出应按照一般控制和应用控制两大类型, 参照ISACA的COBIT4.1审计标准开展工作。

5 我国信息系统审计研究的启示

国内关于信息系统审计的研究虽然已经取得了相对丰硕的成果, 但总的来说还处于初步发展阶段, 在研究中存在重理论, 轻实践的倾向, 对信息系统审计的研究都是从整体大方向上进行, 缺少细节方法的讨论, 而这些也可以作为今后研究的一个方向。

摘要:系统地回顾了1999年—2011年国内关于信息系统审计相关文献, 并从国外信息系统审计的理论与发展、信息系统审计基础理论研究、信息系统审计应用研究这三个方面对信息系统审计文献进行了述评, 最后在文献综述的基础上, 提出了对我国信息系统审计研究的启示。

关键词:信息系统,信息系统审计,文献综述

参考文献

[1]孙强.信息系统审计:安全风险管理与控制[M].北京:机械工业出版社, 2003.

[2]胡克瑾.IT审计[M].北京:电子工业出版社, 2002.

[3]钱啸森.国外信息系统审计案例[M].北京:中国时代经济出版社, 2007.

关于信息系统审计的思考 篇10

信息系统审计是对计算机信息系统及其业务应用的安全性、稳定性和有效性进行监测、评估和控制, 以确认目标得以实现, 并提出改进建议的过程。

2 如何开展信息系统审计

信息系统审计内容主要是运用一定的技术手段对计算机信息系统的安全性、可靠性和有效性进行审查与评价的活动, 其主要包括以下三项内容:系统开发审计、系统运行审计和系统控制审计。

1) 信息系统开发审计:信息系统开发审计是指对计算机处理的财务信息和业务信息开发过程进行的审计, 其目的是让审计人员理解计算机技术人员是如何研发会计核算软件, 按照软件开发人员的思路分析、理解软件的逻辑结构, 并通过实验加以验证, 以增强对电子数据的感性认识。信息系统开发审计的意义不在于让审计人员成为信息系统设计的专家, 而是让审计人员参与系统地分析、设计和调试, 使审计人员熟悉系统的结构、原理, 理解计算机技术人员的工作并能与之进行良好的沟通对话, 并对系统设计提出建设性意见。

2) 信息系统运行审计:系统运行审计主要是指对信息系统应用程序进行审计。信息系统是否遵循国家的财经政策和制度, 经济业务的处理是否合规、合法、正确等, 都体现在应用程序之中。信息系统运行审计应是审计的重点。信息系统运行审计, 不是直接在被审计单位运行的系统上进行审计, 采用的审计方法可以是联网审计或在被审计单位安装前置机, 在被审的应用程序中嵌入为执行特定的审计功能而设计的程序段来实现, 信息系统运行审计实现了事后审计向事中审计过渡。

3) 信息系统控制审计:信息系统控制审计, 一般应审查输入控制、处理控制和输出控制。系统数据的输入是信息系统运行的基础, 输入审计重点主要关注是否制定并遵守了数据录入的规则, 是否按照输入管理规则进行, 输入数据的生成顺序、处理等是否有防止差错的措施、防止不正当行为及机密保护的对策, 输入数据的防止差错、防止不正当行为及机密保护的对策是否有效, 输入数据的保管及废除是否按照输入管理规则进行。处理系统要有防止或及时发现在处理过程中数据丢失、重复或出错的控制措施。输出要有相应权限的人才能执行输出操作, 并要登记操作记录, 从而达到限制接触输出信息的目的。

3 当前开展信息系统审计存在的问题

1) 信息系统审计复合型人才缺, 制约发展:信息系统审计人员, 除了应具备会计、审计、法律和审计业务的专门知识外, 还应通晓信息系统的硬件、软件、开发、维护、管理和安全, 能够利用规范和先进的审计技术, 对信息系统的安全性、稳定性和有效性进行检查、审计和评价, 但我国信息系统审计人才短缺, 制约信息系统审计发展。客观原因是当前审计人员年龄偏大, 业务老化, 知识结构单一, 对开发应用计算机不感兴趣或仅满足于办公需要, 真正具有较高计算机应用水平的人员并不多, 既精通计算机编程又熟悉审计业务的复合型人才则更少, 与审计信息化建设和发展的需要还有较大差距。同时由于计算机技术的飞速发展与知识更新培训的不足, 许多审计人员的计算机应用水平及相关技能无法得到同步提高, 计算机应用仍停留在较低水平上, 计算机功能也没有得到充分发挥。当前审计机关要加大对信息系统审计人才的培训力度, 从现有的审计队伍中选拔有一定信息技能基础的审计人员提供信息系统审计培训, 拓展其相应知识、技术、能力, 掌握信息系统审计的基本原则和技能, 以适应现代信息系统审计的需要。

2) 信息系统审计统一规范体系未建立, 影响推广:我国的信息系统审计起步较晚, 尚未建立专门用于信息系统审计的规范体系, 现有的规范体系主要是对一般性的计算机审计方面的规定。如1993年审计署发布的《审计署关于计算机审计的暂行规定》, 1996年审计署发布的《审计机关计算机辅助审计方法》。2001年国务院办公厅颁布了《关于利用信息系统开展审计工作有关问题的通知》 (国办发[2001]88号文) , 这是审计机关利用信息系统开展审计工作的重要法规依据。通知中除了重申审计机关有权检查被审计单位运用计算机管理财政财务收支的信息系统之外, 还明确规定当审计机关对被审计单位电子数据真实性产生疑问时, 可以对信息系统进行测试, 这是在法律法规层次上第一次对信息系统审计内容做出的规定。但我国仍没有出台信息系统审计程序、准则和内容, 在具体的审计实践中, 由于无严谨的规程可循, 只能凭经验各显神通, 加大了审计风险, 影响信息系统审计的推广。当前, 应尽快出台信息系统审计具体程序、内容和准则, 能够给审计人员以全面、具体的规范和指导, 以有利于信息系统审计广泛开展。

摘要:随着计算机技术在会计记账、财务管理等方面的应用不断普及, 业务数据和财务数据高度集成, 计算机对被审计单位各个业务环节的影响越来越大, 改变了传统的审计方式和方法, 使审计工作面临的主客观环境发生了重大变化, 传统的审计工作思维方式、工作模式和工作手段已不能适应现代信息技术的发展需要, 对信息系统进行审计逐渐成为审计工作中的一个新的领域。该文从当前开展信息系统审计存在的问题以及如何开展信息系统审计进行了分析与论述。

关键词:信息系统审计,思考,探索

参考文献

[1]张金城.信息系统审计[M].北京:清华大学出版社, 2009.

[2]乔鹏, 杨宝刚.会计信息系统审计[M].北京:科学技术出版社, 2003.

[3]董霞.会计信息系统审计研究[D].天津:天津财经大学, 2006.

审计系统在电力信息安全中的运用 篇11

一个完整信息安全保障体系,应该由预警、防护、监控、应急响应、灾难恢复等系统组成。审计系统是整个监控和预警体系的关键组成部分,做好安全审计工作,能够增强电力企业对故障、风险的预警能力和监控能力,也能够为防护体系和企业的内部管理体系提供客观、有效的改进依据。

审计系统组成要素

信息系统的运行由一系列的人员行为和系统行为组成,信息系统安全审计就是采集、监控、分析信息系统各组成部分的系统行为(日志)和操作行为的过程。

全面采集。审计信息的采集过程是整个审计体系的基础。采集过程应侧重于采集方式的灵活性及采集对象的全面性。审计系统应提供多种信息采集方式对审计信息源进行数据采集,对电力系统而言,审计系统应尽量避免在主机中安装软件,串接设备方式进行采集,而应尽量通过系统自身的日志协议(如syslog协议)、旁路(如端口镜像)等更安全的方式进行。电力公司信息系统中包含有各种各样的设备,服务器系统、路由器、交换机、工作站、终端等硬件设备;各类数据库、电力应用系统、中间件、OA、WEB等软件应用系统以及管理员的维护系统、普通用户的业务操作行为、上网行为等等人员的访问行为,审计系统应该通过不同方式灵活实现对上述相关系统日志和行为的采集。

采集过程还应保障信息源的客观性,不应篡改信息的原有属性。

实时监控。利用审计系统对采集到的日志信息、行为信息进行实时分析。通过审计系统的实时监控、告警功能,定制符合电力信息系统安全需求的规则库,规则库内容应涵盖各类操作系统、网络设备、人员操作规范等范围。实时监控还应该对每台设备的日志量进行监控,对日志量剧增、剧减等情况进行提醒。

审计分析。安全审计分析是整个信息安全体系的核心组成部分之一,电力系统应该利用审计系统对网络、应用的运行情况、企业内部信息安全制度的执行情况进行周期性审计。周期性的审计是整个审计系统发挥作用的关键,没有周期性的审计,就无法及时发现信息系统中存在的安全隐患。

实施审计系统的意义

保障数据的客观性。使用第三方审计产品对各类信息系统组成要素、人员行为进行安全审计,可以避免完全由技术人员进行手工审计带来因数据恶意篡改、人为疏忽而造成数据变化,从而保证审计数据源的客观性。

保障数据的安全性。信息系统的日志、行为记录默认状态下分散存储在各主机、应用系统当中。 一旦主机操作黑客破坏,或者磁盘损坏等意外事件都有可能导致数据丢失或破坏。第三方专业审计系统在设计、开发时对安全性、可靠性均做了充分设计,可以有效地保障数据的安全性,避免上述情况的发生。

提高审计工作效率。信息安全审计工作在没有专业审计系统的情况下是一项繁重的工作,技术人员要面对数个甚至数十个主机、数据库、设备的海量日志,依靠人力根本无法完成周期性的日志审计工作,工作量的巨大直接导致目前日志分析工作都是在出现安全事件之后,有针对性的进行事后分析。

依赖于专业化的审计系统,电力信息系统可以将所有系统的运行日志均集中到审计系统中,利用审计系统高效的检索功能及自动化的审计功能帮助审计人员进行日常审计工作,从而大大减轻审计人员的工作负担,而且能够增加审计的准确性,避免了人为失误。

落实安全管理规范。在未部署审计系统之前,由于缺乏对维护人员操作的监控能力,大量的操作规范无法真正落到实处,如无法实现对telnet、ssh、RDP等维护协议的指令还原就无法知道维护人员每次维护时在操作系统内部输入了何种指令。在部署审计系统之后,通过对维护人员操作指令的定期审计,指出维护人员操作的不当或违规之处,经过一段时间的运行,就能逐步树立维护人员良好的操作习惯,避免由于人员疏忽造成的安全事故。

另外,通过审计系统也能检测维护人员是否按照信息安全管理规范对信息系统进行维护,如定期修改密码、定期备份关键数据等等。

作为信息安全体系建设的一个重要环节,日志综合审计系统在电力系统中比不可少;通过日志安全审计系统的运用,不仅能提高员工工作效率,规范维护人员良好的工作习惯,也能及时发现信息系统中潜在的安全隐患,在满足合规要求的同时,真正提高了信息系统的安全性。

信息系统效益审计方法研究 篇12

一、审计证据采集方法

信息系统效益审计证据采集方法主要包括两类:一类为常规审计证据采集方法。这类方法在审计过程中被广泛使用, 审计人员可从信息系统建设者、技术开发人员以及用户等方面获取审计证据时都会运用到上述方法。另一类为特殊审计证据采集方法。由于信息系统有别于其他项目, 其审计证据的采集也比较独特, 因此需要一些特殊的方法进行证据采集。

(一) 计算机辅助审计方法

信息系统效益审计的需要有效监督整个项目的建设过程和建设效果, 但由于软件开发的不可视性, 采用传统的审计取证方法很难展现存在于这个过程中的各种审计线索, 因此, 审计人员需要借助计算机工具才能高效地完成审计任务。

1、嵌入审计模块方式。

审计人员可以自己设计或利用已有的应用程序和控制模块, 植入应用软件开发系统中, 然后根据需要详细记录各种的开发信息, 从而在建设成本、项目管理以及综合测试等方面形成有力的审计证据。

2、利用通用和专用审计软件。

目前国内外各类审计通用软件层出不穷而且功能强大, 审计人员可以根据实际需要选择使用, 同时也可以独立开发更具针对性的专用软件, 能够更有效的对信息系统开发实施阶段的资金和项目管理方面进行审查。

3、利用专业测试系统。

由于信息系统建设需要满足相应业务领域的专业和战术需要, 因此, 在实施效果审计时, 有必要采用相应的专业测试系统, 对建成信息系统的信息获取、传递、分析和处理质量等进行详细检测, 从而形成具体较强权威性的审计证据。

(二) 信息系统性能度量方法

信息系统性能度量方法是审计人员利用一系列的性能度量工具获取信息系统性能等方面的审计证据的方法。一般常用的性能度量工具有硬件监视器和软件监视器两种。其中, 硬件监视器通过对连接的信息系统硬件设备进行信息流处理检测, 可以直观地反馈出该设备的基本状态, 有效检测系统硬件的有效性;而软件监视器实际是一段具体的程序指令, 它插入到系统代码或其他程序中, 以收集应用软件的性能数据, 包括数据库操作访问记录、应用程序模块调用情况以及系统响应时间等方面, 为进一步的系统性能分析和评价提供依据。

二、审计分析评价方法

开展信息系统效益审计, 不能仅单纯地罗列一些审计查出的问题, 更重要的是对信息系统进行效益评价。一般来说, 使用不同的分析评价方法对评价结果会产生不同的影响, 因此需要根据评价对象的特征和属性采用不同的评价方法。

(一) 德尔菲法

信息系统效益审计评价的很多方面都无法进行定量评价, 所以都需要运用德尔菲法来开展工作。首先, 以当前审计组为基础成立管理小组, 并要求小组成员必须了解专家们的详细情况, 具备必要的专业知识和统计、数据处理等方面的基础知识;然后根据具体的评价要求筛选信息系统工程方面的专家, 组织专家应答小组, 将需要定性评价的问题以匿名的方式, 反复征求专家们意见, 从而形成评价结果。

(二) 软件度量技术

软件度量技术是研究软件质量与复杂性的定量评价技术, 它可以对一个软件系统、组件或过程在给定属性标度的前提下进行定量测量。一般来说, 对应用软件的建设过程进行分析和评价是信息系统效益审计的重点和难度, 因此软件过程度量技术是一项很有效的审计评价工具。

目前比较成熟的软件过程度量技术是GQM模型, 它是一种基于目标的自上而下的度量定义方法, 具体包括3个层次。概念层次:为度量对象制定一个目标。过程的度量对象一般是与时间有关的软件活动, 如设计、编程等。操作层次:用一组问题来描述将被用来评价实现一个特定目标的方法, 这些问题应根据所选的质量要点来描述度量对象。量化层次:针对每个问题得到一组数据来回答此问题。这3层是一个继承性的结构, 下一层对上面一层的细化, 通过这种细化和逐步求精, 最终由目标得到需要的度量。

(三) 层次分析法

它合理地将定性与定量分析结合起来, 按照思维、心理的规律把目标过程层次化、数量化。该方法首先将所要分析的问题层次化, 根据问题的性质和目标, 将问题分解成不同的组成因素, 按照因素间的相互关系及隶属关系, 将各因素按不同层次聚集组合, 形成一个多层分析结构模型, 最终归结为最低层指标等相对于最高层总目标相对重要程度的权重值或相对优劣次序的问题。它是确定信息系统各项评价指标权重的重要方法。

(四) 模糊综合评价法

模糊评价法可以与多种方法混合使用, 在进行信息系统效益审计评价时, 第一步, 采用德尔菲法, 通过多专家分析, 确定评价指标体系和评价等级划分;第二步, 构造判别矩阵并确定各指标权重, 其中对权重的计算可运用层次分析法;第三步, 确定指标的隶属度, 由审计人员根据之前确定的评价等级, 对信息系统效益评价指标进行具体判断, 并将所得结果用隶属度矩阵来表示;第四步, 计算评价值, 将得到的隶属度矩阵和综合指标权重进行矢量相乘, 最终得到信息系统效益评价值。

参考文献

[1]、陈晓剑等.系统评价方法及应用[M].中国科学技术大学出版社, 1993.

[2]、肖敏.审计信息化的审计软件过程度量的研究[J].审计月刊, 2008 (2) .

[3]、李丹.浅谈软件过程度量及技术[J].电脑知识与技术, 2007 (23) .

上一篇:幼儿讲述活动下一篇:项目驱动教学模式