时间:2022-07-31 06:08:27
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇信息系统审计论文,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
(Why)随着被审计单位经济业务活动对信息系统依赖程度越来越高,信息系统已经逐渐融入各项经济活动当中。但是,信息系统存在的漏洞和缺陷、非法舞弊程序、人为操作错误、病毒感染、黑客攻击、系统故障等导致被审计单位经济业务数据失真的各种风险也在进一步加大,也就是说信息系统本身的安全性、可靠性直接威胁和影响到信息系统所产生经济业务电子数据的真实、准确和完整。因此,基于现代风险基础审计理论的政府审计,必须考虑与经济业务活动相关的信息系统产生的风险因素,突破传统政府审计业务范围,涵盖信息系统审计内容。如果忽视对信息系统本身的审计,审计机关审计人员审计依赖的被审计电子数据的真实性就会成为“空中楼阁”,就有可能出现“假账真审”的问题。目前,各级政府部门、企事业单位为了提高信息化水平,纷纷加大资金投入,推进信息系统建设,建立统一数据集中平台,信息系统已经成为国家的一项投资巨大的重要资产。这就要求审计机关审计人员在对这些机构实施经济效益审计、绩效审计、经济责任审计等审计项目时,必须考虑信息系统资产因素,对信息系统实施相关审计,以有效揭示信息系统在安全、可靠、合法、效率、效果和效益等方面存在的问题,防范信息系统风险,保障信息系统安全、可靠运行,促进信息系统资源的有效利用,提高信息系统资源运用的收益水平。由此,在政府审计项目中,考虑到信息系统的影响因素,迫切需要大力开展结合型政府信息系统审计,而不是可审可不审的问题。
二、结合型政府信息系统审计的目标是什么
(What)信息系统审计目标是信息系统审计行为的出发点,它指明了审计工作方向,并指导着信息系统审计实践活动(王振武等,2011)。我国政府审计以维护国家财政经济秩序,提高财政资金使用效益,促进廉政建设,保障国民经济和社会健康发展为职能,以国家经济活动的真实性、合规性和效益性为总体目标。因此,我国政府审计机关实施的结合型政府信息系统审计,也应遵守真实、合规和效益的根本目标。审计机关审计人员在各项具体政府审计项目中,不能笼统地将一般意义上信息系统审计的安全性、可靠性、合法性和有效性目标作为结合型政府信息系统审计具体目标,这既不符合结合型政府信息系统审计的特点和需求,也不具备实际可操作性、指导性。如果信息系统审计目标因素与具体政府审计项目目标不相关,将起不到应有的作用,是多余的、不必要的,从成本效益角度来说,是对审计资源的浪费。审计人员应避免根据自己的理解来确定目标,造成混淆不清。结合型政府信息系统审计贯穿于各政府审计项目之中,成为审计全过程的一部分,其具体审计目标应根据国家审计机关实施审计项目预期要完成的任务和结果,即具体政府审计目标,以及所涉及的信息系统情况等综合确定。例如,政府财政财务收支审计的目标是财政财务收支情况的真实性、合规性和效益性,其审计的数据来源于相关信息系统产生的财务电子数据,而数据是否真实、完整,直接依赖于相关信息系统是否安全、可靠,由此可以确定政府财政财务收支审计中信息系统审计的目标是安全性、可靠性。又如,在国有企业绩效审计中,绩效审计的目标是效率性、效果性和效益性,虽然信息系统与绩效审计不直接相关,但是信息系统作为企业的一项重要资产,且信息系统建设的投入金额巨大,因此,在国有企业绩效审计中也应包括信息系统资产的绩效审计,这就决定了国有企业绩效审计中信息系统审计的目标应该是效率性、效果性和效益性。上述示例也表明,结合型政府信息系统审计具体目标随政府审计项目的不同而存在一定的差异性,也就是说政府审计具体目标的多元性决定了结合型政府信息系统审计具体目标的多元性,必须根据具体政府审计项目综合确定。
三、结合型政府信息系统审计的重点在哪里
(Where)结合型政府信息系统审计的成效取决于审计机关审计人员对信息系统审计重点内容的把握程度。审计人员应该在分析清楚各政府审计项目中信息系统审计具体目标的基础之上,确定信息系统审计意图和需要解决的问题,并根据“全面审计、突出重点”、“先系统本身后系统环境”的原则确定信息系统审计重点事项(唐剑,2012)。此外,还应考虑成本效益原则,尽力减少与政府审计目标不相关的、多余的、不必要的信息系统审计内容。
(一)结合型政府信息系统重点
审计对象的选择被审计单位一般建立有多个信息系统,依据结合型政府信息系统审计的特点,不需要也不必要将被审计单位的所有信息系统纳入重点关注的审计对象,只需要根据与被审计业务活动相关的程度选择目标信息系统。如何选择信息系统重点审计对象?审计机关审计人员选择的主要原则应是依据被审计单位核心业务对信息系统的依赖性以及被审计单位信息系统的复杂性确定需要重点调查和审计测试的信息系统的范围和深度。一般来说,越高度依赖的信息系统,就应该作为重点审计的对象;越复杂的信息系统,就应该扩大重点审计对象范围。例如,在财务收支审计中,被审计单位ERP系统由财务、采购、销售、库存、质量、人力资源等多个子系统组成,由于财务收支数据直接依赖于财务子系统,所以理应将其作为审计的重点,然而ERP系统又是一个集成化的复杂系统,审计人员还应扩大审计范围和深度,需要将ERP系统中系统管理子系统以及其他子系统的基础设置、凭证处理等模块也作为审计的重点。
(二)结合型政府信息系统内部控制
测试重点
内容的确定现代风险基础政府审计是建立在内部控制的测评基础之上,根据内部控制的符合性测试结果实施业务数据的实质性测试。信息系统内部控制测试是对信息系统内部控制的可靠性、健全性和有效性进行的测试。基于结合型政府信息系统审计的经济监督和重在审计业务数据的特点,以及政府审计人员信息技术能力限制,为避免将对信息系统的审计引入技术陷阱(李春青,2008),审计人员应重点选择信息系统中容易产生数据风险的部分,作为信息系统内部控制测试的重点内容。而信息系统的硬件、软件、应用程序、数据、人员、制度等组成要素中,对业务数据直接产生影响的主要有信息系统数据、应用程序、人员和制度,因此审计人员在结合型政府信息系统审计中应选择信息系统数据、应用程序、人员、制度作为审计测试的重点,只在必要的时候再根据实际情况适当关注信息系统的软硬件环境。
(三)信息系统效率、效果和效益审计重点
内容的选择在结合型政府信息系统审计中,对行政事业单位、企业的效益审计、绩效审计、经济责任审计等政府审计项目中涉及的信息系统效率、效果和效益审计,其审计范畴从属于政府审计项目的范畴,只是审计对象中包括信息系统资产。因此,在这种结合型政府信息系统审计中,审计机关审计人员审计信息系统效率、效果和效益应从被审计单位正在运行使用中的信息系统资源的有效利用、促进产品或服务目标实现、降低产品或服务成本和增加产品或服务收益的角度选择重点审计内容:(1)效率性审计应重点评价使用中的信息系统对提高被审计单位劳动生产率所作的贡献,如节省人力、提高人员工作效率等;(2)效果性审计应重点评价使用中的信息系统使被审计单位业务、管理和决策等方面得到改善和提升,如满足业务处理需求、促进业务流程改进、增强信息交流与共享、提升客户服务能力、提高管理决策水平等;(3)效益性审计应重点评价使用中的信息系统的资金投入以及产生效益之比,资金投入包括信息系统运维资金投入、升级改造资金投入等方面,产生效益则可以从降低产品或服务成本、提高资金周转速度、提高产品或服务收入、增强竞争力等方面考虑。
四、结合型政府信息系统审计如何实施
(How)结合型政府信息系统审计作为信息系统审计的一个特例,两者在审计技术、方法、手段等方面理应具有一定的一致性。但是,审计机关审计人员在借鉴目前常用信息系统审计方法的同时,需要结合具体政府审计项目,立足审计人员的信息技术审计能力相对较弱、业务审计能力较强的审计专长,以审计人员的业务思路和职业判断为工作核心(王亚清,2012),积极探索富有实效的信息系统审计与传统审计相结合的方法。
(一)如何做好信息系统审前调查
在进行结合型政府信息系统审计调查时,审计机关审计人员可以将被审计信息系统调查与被审计项目业务调查结合进行,将信息系统调查作为业务调查的延伸。一方面,可运用询问法、观察法、查阅法、调查表法、流程图法等传统审计调查的方法,将被审计单位业务活动情况与信息系统情况调查融合在一起,一并调查了解被审计单位整体和业务活动情况、信息系统环境(如硬件环境、软件环境、组成、结构、分布等)、内部控制制度(含信息系统内部控制制度)、手工和计算机信息系统处理过程(如业务流程、运行流程、人员操作流程等)及执行情况;另一方面,可运用计算机辅助审计方法获取被审计业务电子数据,调查了解被审计信息系统数据处理情况等。两种方法相互补充,既能全面了解被审计单位业务活动情况,又能够摸清被审计单位信息系统基本运作情况,实现信息系统审计调查与整个审计工作调查的衔接,从而确保审计调查的效率、质量。
(二)如何做好信息系统内部控制测试
在结合型政府信息系统审计中,审计机关审计人员可运用熟悉的传统审计测试方法,辅以计算机辅助审计测试方法对前述确定的信息系统数据、应用程序、人员、制度等重点内容进行审计测试。具体可采用:(1)传统审计方法。通常可采用询问法、观察法、检查法、核对法、比较法、数据分析法等方法。如:询问或观察职责分离制度、人员操作制度、运行维护制度的执行情况;观察有关人员对信息系统访问是否设定口令、系统操作是否违反职责分离原则;查阅系统日志文件、操作记录,查看系统中是否有非法访问记录和报告,有无未经授权的用户操作系统;观察、检查系统功能设置、程序化控制、权限设置、系统参数配置等是否合理、有效,如权限设置是否符合职权要求,人员岗位变动或离职前是否及时进行权限锁定或删除,客户数据是否进行唯一性检验,财务软件是否存在反结账、反记账等功能;核对、比较原始凭证与数据库凭证文件数据的一致性,以测试凭证数据输入控制的有效性;对数据库文件数据采用数据分析法,如分析数据文件中操作员代码、数据异常值、数据间的关联关系、数据间的平衡或合计关系等审查是否存在非法用户或越权操作、参数设置的有效性、数据处理是否存在错误等以测试数据处理控制的有效性,也可通过数据分析反推系统中存在的非法功能和漏洞,等等。(2)计算机辅助测试方法。通常可采用计算机数据审计软件工具、整体测试法、平行模拟法、虚拟实体法、受控处理法等方法。如利用计算机审计软件(OA)、数据库管理系统(Access、Sqlserver)、Excel等获取和分析被审计信息系统数据输入、处理、输出控制;运用整体测试法、平行模拟法、虚拟实体法、受控处理法等方法(张瑜,2012),测试系统的处理和控制功能是否恰当、可靠,接口程序是否存在缺陷等。除此以外,对于信息系统硬件、软件、网络安全等方面内部控制测试,由于其技术性较强,审计人员可重点从系统管理的视角着手。一般采用面谈法、询问法、观察法、测试软件等,重点审查计算机安全和管理制度的执行情况、是否建立安全认证机制、是否建立针对系统故障的应急安全机制、软硬件来源的合法性,观察硬件是否进行有效的保养、隔离,查看系统是否安装防火墙、安装防病毒软件、定期检测和清除计算机病毒,利用漏洞扫描工具和网络检测诊断工具等对网络环境进行测试和评估。
(三)如何做好信息系统效率、效果与效益审计
对于结合型政府信息系统审计中的效率、效果与效益性审计,应遵循可操作、实用性原则,审计机关审计人员可通过询问、观察、查阅资料、发放调查表和比较分析等方法,重点了解信息系统的各项功能在被审计单位日常工作过程中的使用情况,了解信息系统功能设置能否满足系统目标,了解信息系统保障被审计单位信息资源共享、业务有效开展和履行情况,了解信息系统运维成本和效益并进行定量化分析处理,对比被审计单位信息系统规划、运营目标,运用一定的评价方法(如平衡计分卡法、层次分析法、模糊综合法等)(张静等,2011)进行评价,给出审计结论和审计建议。就目前来说,信息系统的效率、效果和效益审计在我国仍然处于理论和实践探索阶段,缺少规范的指导,缺乏完善的评价指标体系,因此,如何科学、准确地评价信息系统的效率、效果和效益,仍然存在不小的难度。
五、结束语
(一)企业应加强内部控制
随着市场经济的深入发展,企业逐步成为自主经营、自我约束、自我发展、自我完善的商品生产者和经营者。在“优胜劣汰、适者生存”的市场经济中,企业要想真正的做到“自主经营、自我约束、自我发展、自我完善”,必须要加强内部控制,建立有效、完善的内部控制制度,这样才能在一个绝对的高度上,对企业进行高瞻远瞩的控制,才能做出与时俱进的决策。
(二)内部审计是企业内部监督机制的重要组成部分
内部审计也是企业内部控制的一个重要的组成部分,是监督内部控制其他环节的主要力量。内部审计通过对控制环境和控制程序的有效性进行监督,评估企业的内部控制是否被执行,是否及时反馈有关执行结果的信息,是否帮助企业更有效地实现预期控制目标。同时,在监控过程中,内部审计可以促进控制环境的建立和改善,为改进控制制度提供建设性的意见,为企业建立健全所需要的内部控制水平服务。在内部控制的监督过程中,内部审计发挥着越来越重要的作用。
二、内部审计在防范信息系统风险中面临的问题
(一)信息系统安全管理机制不健全
企业信息系统风险的存在,很多是由于管理不善或控制不严造成的。一方面,缺乏一套统一的安全策略体系来指导安全管理工作,无法建立系统内部明确、全面的安全规范要求。从现有管理制度规范来看,主要存在的问题是可操作性差,条理不清、重叠或遗漏等;另一方面,现有安全管理制度的管理对象基本是网络系统管理员等技术部人员,管理对象没有全面涵盖所有信息系统技术相关人员,包括所有网络系统上的内部终端人员和外部人员。
(二)内部审计在信息系统风险防范中的角色缺乏独立性
内部审计的角色发生了转变。从传统的事后审计而逐渐转向事前和事中审计,主动参与内部控制系统的建立和完善。内部审计人员即承担着评价硬件和应用信息系统安全的任务,如果又同时有参与了系统的开发和实施过程,那么内部审计人员就却乏独立性。反之,如果处于对丧失独立性的担心,内部审计人员有可能会拒绝参与系统和软件的开发,那么系统开发过程中存在的风险又无法得到控制。
(三)内审部门技术力量薄弱造成对信息系统审计形成风险
审计稽核部门的技术力量薄弱,不熟悉业务系统的流程和功能,对信息系统缺乏必要的认证能力和标准。突出表现为以下几个方面:一是实施审计稽核的手段和方法没有得到及时更新,不适应信息系统管理的要求,大部分仍停留在手工审计阶段;二是审计稽核部门对计算机账务系统实施审计的依据仅依赖于被审计单位提供的打印资料或事后资料,计算机账务的真实性审计很难得到保证。
三、加强风险防范的措施和对策
(一)构建信息系统安全管理组织及规范体系
加强信息系统的自我风险评估体系,让信息系统的管理和技术人员在自身的职责范围之内正确识别和评估潜在操作风险,主要包括内控制度的查漏补缺、工作流程的整理和规范、应急预案完善和演练等。同时加强对操作人员的管理,规范操作程序。一是加强密码管理,明确规定操作人员的权限,操作员必须在规定的权限内办理业务,用户口令及密码必须专人专用,严禁公开口令及密码;二是要建立健全操作员岗位目标责任制,对网络操作人员要明确目标任务,规范操作程序,严格落实奖惩制度。三是要严格岗位设置,不相容职务进行分离。严禁系统管理人员、网络技术人员、程序开发人员和前台操作人员混岗、代岗或一人多岗。四是要加强系统内部的稽核监督检查。稽核监督应贯穿于网络操作的全过程,重点是加强对系统设计开发、内控管理制度落实、操作运行等方面的(二)关注信息系统的稳定性、安全性和有效性审计
首先,审计人员应运用用一定的技术方法识别系统的完整性,该过程包括检查、测试、评估系统的内制,以保证系统的稳定性;其次,审计人员应评价系统存在的风险和可能产生的后果将成为审计的核心工作和基本内容,保证信息系统的安全性。应根据审计的标准和准则,评价控制环境的和IT基础设施的安全,确保系统满足组织的业务需要,保护信息资产的安全完整,以防非授权使用、泄露、修改、损坏或丢失;最后,还应鉴别信息系统的有效性。内部审计必须理解并熟悉操作环境,了解系统技术的复杂性及其对决策的影响;对来自内部的安全隐患,采用一定的方法进行系统诊断、检验、测试,评价其有效性及效率,以支持组织业务目标的实现
(三)改善内审机构,提高内审人员素质,培养信息系统审计师
为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价。信息系统审计师也称lS审计师或IT审计师,是指那些既通晓信息系统的软件和硬件(包括信息系统的开发、运营、维护、管理和安全等),又熟悉经济管理的内部审计人才。
(四)聘请专家进行协助
内部审计人员的知识、技能和经验虽然有助于信息系统的风险防御,但现实中必须承认,在企业中同时具备计算机技术和审计专业知识的人才非常短缺。再出色的内部审计人员可能面临一些系统内的专业问题却无法解决,因此有必要聘请外部专家。可以通过专家的协助测试运用其专业技能测试系统安全,进一步防范和解决信息系统风险的存在。
论文关键词:内部审计信息系统风险防范
论文摘要:内部控制是社会经济发展到一定阶段的产物,其内容在不断的发展与变化,而内部审计是内部监督机制的重要组成部分。目前计算机信息系统已在企业中广泛使用,而在内部审计过程中如何加强计算机信息系统的风险防范,是企业内部控制过程中迫切需要解决的问题。
企业信息系统化的运用,原来的手工控制则变为手工与电脑控制相结合或全部由电脑自动进行控制。计算机信息系统的广泛使用,与技术管理相对薄弱和稽核监督的长期空白已形成了尖锐的矛盾。信息系统风险控制能力差的现状,迫切需要我们加强风险管理和监控。
(一)企业应加强内部控制
随着市场经济的深入发展,企业逐步成为自主经营、自我约束、自我发展、自我完善的商品生产者和经营者。在“优胜劣汰、适者生存”的市场经济中,企业要想真正的做到“自主经营、自我约束、自我发展、自我完善”,必须要加强内部控制,建立有效、完善的内部控制制度,这样才能在一个绝对的高度上,对企业进行高瞻远瞩的控制,才能做出与时俱进的决策。
(二)内部审计是企业内部监督机制的重要组成部分
内部审计也是企业内部控制的一个重要的组成部分,是监督内部控制其他环节的主要力量。内部审计通过对控制环境和控制程序的有效性进行监督,评估企业的内部控制是否被执行,是否及时反馈有关执行结果的信息,是否帮助企业更有效地实现预期控制目标。同时,在监控过程中,内部审计可以促进控制环境的建立和改善,为改进控制制度提供建设性的意见,为企业建立健全所需要的内部控制水平服务。在内部控制的监督过程中,内部审计发挥着越来越重要的作用。
二、内部审计在防范信息系统风险中面临的问题
(一)信息系统安全管理机制不健全
企业信息系统风险的存在,很多是由于管理不善或控制不严造成的。一方面,缺乏一套统一的安全策略体系来指导安全管理工作,无法建立系统内部明确、全面的安全规范要求。从现有管理制度规范来看,主要存在的问题是可操作性差,条理不清、重叠或遗漏等;另一方面,现有安全管理制度的管理对象基本是网络系统管理员等技术部人员,管理对象没有全面涵盖所有信息系统技术相关人员,包括所有网络系统上的内部终端人员和外部人员。
(二)内部审计在信息系统风险防范中的角色缺乏独立性
内部审计的角色发生了转变。从传统的事后审计而逐渐转向事前和事中审计,主动参与内部控制系统的建立和完善。内部审计人员即承担着评价硬件和应用信息系统安全的任务,如果又同时有参与了系统的开发和实施过程,那么内部审计人员就却乏独立性。反之,如果处于对丧失独立性的担心,内部审计人员有可能会拒绝参与系统和软件的开发,那么系统开发过程中存在的风险又无法得到控制。
(三)内审部门技术力量薄弱造成对信息系统审计形成风险
审计稽核部门的技术力量薄弱,不熟悉业务系统的流程和功能,对信息系统缺乏必要的认证能力和标准。突出表现为以下几个方面:一是实施审计稽核的手段和方法没有得到及时更新,不适应信息系统管理的要求,大部分仍停留在手工审计阶段;二是审计稽核部门对计算机账务系统实施审计的依据仅依赖于被审计单位提供的打印资料或事后资料,计算机账务的真实性审计很难得到保证。
三、加强风险防范的措施和对策
(一)构建信息系统安全管理组织及规范体系
加强信息系统的自我风险评估体系,让信息系统的管理和技术人员在自身的职责范围之内正确识别和评估潜在操作风险,主要包括内控制度的查漏补缺、工作流程的整理和规范、应急预案完善和演练等。同时加强对操作人员的管理,规范操作程序。一是加强密码管理,明确规定操作人员的权限,操作员必须在规定的权限内办理业务,用户口令及密码必须专人专用,严禁公开口令及密码;二是要建立健全操作员岗位目标责任制,对网络操作人员要明确目标任务,规范操作程序,严格落实奖惩制度。三是要严格岗位设置,不相容职务进行分离。严禁系统管理人员、网络技术人员、程序开发人员和前台操作人员混岗、代岗或一人多岗。四是要加强系统内部的稽核监督检查。稽核监督应贯穿于网络操作的全过程,重点是加强对系统设计开发、内控管理制度落实、操作运行等方面的
(二)关注信息系统的稳定性、安全性和有效性审计
首先,审计人员应运用用一定的技术方法识别系统的完整性,该过程包括检查、测试、评估系统的内制,以保证系统的稳定性;其次,审计人员应评价系统存在的风险和可能产生的后果将成为审计的核心工作和基本内容,保证信息系统的安全性。应根据审计的标准和准则,评价控制环境的和IT基础设施的安全,确保系统满足组织的业务需要,保护信息资产的安全完整,以防非授权使用、泄露、修改、损坏或丢失;最后,还应鉴别信息系统的有效性。内部审计必须理解并熟悉操作环境,了解系统技术的复杂性及其对决策的影响;对来自内部的安全隐患,采用一定的方法进行系统诊断、检验、测试,评价其有效性及效率,以支持组织业务目标的实现
(三)改善内审机构,提高内审人员素质,培养信息系统审计师
为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价。信息系统审计师也称lS审计师或IT审计师,是指那些既通晓信息系统的软件和硬件(包括信息系统的开发、运营、维护、管理和安全等),又熟悉经济管理的内部审计人才。
(四)聘请专家进行协助
内部审计人员的知识、技能和经验虽然有助于信息系统的风险防御,但现实中必须承认,在企业中同时具备计算机技术和审计专业知识的人才非常短缺。再出色的内部审计人员可能面临一些系统内的专业问题却无法解决,因此有必要聘请外部专家。可以通过专家的协助测试运用其专业技能测试系统安全,进一步防范和解决信息系统风险的存在。
参考文献:
[1]胡晓明.信息时代的IS审计理论结构构建[J].武汉中南财经政法大学学报,2006,(3).
关键词 论文题目审核;论文评选;评选流程
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2014)14-0023-02
近年来,信息技术公司作为大庆油田的最大的信息技术密集型单位,为了推进中国石油油气生产信息化建设,按照《中国石油“十二五”信息技术总体规划》要求,信息技术公司每年都会承载大量的信息项目的研发任务。在这些项目中,技术人员们付出了他们艰辛的劳动,同时也取得了众多技术革新成果。因此,为了切实贯彻落实信息技术公司科技发展战略,提升公司核心竞争力并稳步推进公司科技进步与技术水平,及时地将这些成果进行汇总、评审,能够更加有效地提高技术人员的劳动热情与科技创新精神。
技术论文评审是提升公司科技创新战略的一项重要工作,由于涉及到的人员、部门较多并且工作量较大,因此传统的人工评审方式已经很难适应现代化的管理要求。随着软件、网络技术的不断进步,设计出一套技术论文评审系统显得尤为必要,既提高了论文评审的工作效率和工作规范性,还保证了评审工作的公平、公正和公开。
1 系统整体设计
1.1 系统需求分析
1.1.1 技术可行性
随着中国石油油气生产信息化程度的不断推进、深入,大庆油田信息技术公司软件开发组近年来圆满完成了多个重大软件信息项目的开发任务并拥有众多优秀的程序研发人员和成熟的技术手段,所以在技术上完全可以胜任。
1.1.2 经济可行性
从项目所需费用和经济效益上看是可行的。论文评审系统无须再次投资相关硬件设备,完全可以依靠公司内部已有硬件环境作为平台支撑;系统所需的软件开发工具简单并且易于
维护。
另外,在以往的论文审核过程中需要提交大量的纸质的论文手稿,一旦在论文中出现一些不必要的失误,如:标点缺失,格式不符、语义不畅的情况,通常会重新修改论文并打印,这样就造成了打印纸的大量浪费,与我们党倡导的“建设节约型社会”相不符,同时也不利于环境保护。
因此对于信息技术公司来说,开发技术论文评审系统是可行的,同时也是必要的。
1.1.3 管理可行性
管理上的可行性是指,随着信息时代的不断发展、进步和人员的计算机素养的极大提高,对于计算机系统的基本操作和相应系统的维护都有了一定的基础,因此从管理角度来讲是可以做到的。
1.1.4 业务流程分析
业务流程图如图1所示。
1.2 系统总体架构
论文评审系统采用基于Web的B/S三层体系结构模式。客户端浏览器发出请求,由服务器端来完成如数据请求、加工、结果返回以及动态网页生成等全部工作。系统应用B/S结构,服务器将承载更多的工作,并且能够简化客户机的工作量。B/S三层体系结构将业务逻辑进行封装,提高软件的复用度和可维护性。
1.3 系统功能设计
根据对相关用户功能的解析,本系统主要划分为以下几个主要功能模块:①员工模块;②员工所在主管科技领导模块;③科技发展部管理人员模块;④评委模块。
1.3.1 系统初始化
1)科技发展部管理人员。
2)各级单位主管科技领导。
3)评委人员。
1.3.2 公共功能
1)用户登录(Web登录)。
2)修改个人信息。
1.3.3 员工模块
1)员工提交论文题目。
2)论文选题结果查看(选题结果是否与其他人冲突,是否选上论文题目)。
3)查询论文的最终评审结果。
1.3.4 各级单位主管科技领导模块
1)在本单位员工提交的论文题目系统审核通过后,在对论文的内容等方面进行初审(主要内容包括:文章是否紧紧围绕信息通信行业及公司发展战略;是否有实用性、针对性、革新性、前瞻性;字体、排版等是否符合要求)。
2)初审论文。
①初审通过,论文向信息技术公司科技发展部推荐提交;同时按照文章的内容对论文进行初次分类;
②初审未通过,提交备注意见,通知本单位员工修改并重新提交审核。
1.3.5 科技发展部模块
1)管理各级注册用户。
2)向各级单位主管科技领导下达公司进行“评审论文”的通知。
3)对各级单位推荐的论文在内容等方面进行二审。
4)二审论文。
①二审通过,论文设置成“进入待评审阶段”;②二审未通过,提交备注意见,通知各级单位主管科技领导修改并重新提交;③当所有论文都进入待评审阶段,通知评委组进行评审
打分。
5)所有评委评分结束后,系统会自动按分数高低将论文进行排列显示,按照名次先后设置不同的奖项,并通知论文作者获奖情况,同时将获奖文章存入数据库备案。
6)通过网站向全公司展示获奖论文,进行技术交流。
1.3.6 评委模块
1)论文按照匿名随机分配给评委组,由评委进行打分,打分后按照“去掉一个最高分,一个最低分,取平均值”的原则由系统即时计算出该论文的分数。
2)当论文有争议时,可以申请全体评委复评。
2 未来展望
大庆油田信息技术公司论文评审系统提高了论文评审的现代化管理水平,真正实现公开公平、简单易行、效能提升的论文评审管理。本次论文系统采用了先进的计算机软件技术与科学严谨的评审管理相结合的方式,实现了精简工作流程、提高工作效率、管理规范化的目标,对科技技术信息化建设等有着重要的意义和深远的影响。同时可向全油田推广这套系统,全面提升油田信息化水平。
参考文献
[1]许淳熙.论文评审的历史考察[J].自然辩证法研究,2004(08).
【关键词】计算机审计; 信息系统审计; 比较计算机审计(Computer Auditing)与信息系统审计(Information SystemAudit,简称IS 审计),前者约定俗成,后者势在必行,但两者在我国的学术研究与实践应用中长期模糊不清、难舍难分,这不仅不利于我国审计工作的开展,同时也可能影响我国审计信息化的发展。
本文拟通过两者的产生与发展、基本概
念与审计目标、适用准则与审计技术等
方面的比较,厘清两者的主要区别,以求
它们在我国取得并行不悖的发展。
一、两者的产生与发展过程比较
在计算机审计与IS 审计产生之前,
电子数据处理(Electronic Data Processing,EDP)审计早已存在。可以说,EDP 审计是计算机审计与IS 审计的前身与发展的基础。
(一)EDP 审计的产生与发展
EDP 审计不仅是指电子数据处理环
境下的审计,还包括对电子数据处理系统的
审计。F.Kanfuman(1961)、A.Pinkney
(1966)、T..W.Merae (1976)、Joseph
Sardinas (1987)、W.Thomas Poter 和
William E.Perry(1987)等学者都从不
同的角度对EDP 环境中内外部审计规则
和组成方法、EDP 审计的测试方法、特
殊审计技术、审计步骤等方面展开深入
研究。1968 年美国注册会计师协会
(AICPA)出版的《会计审计与计算机》一
书,详细阐述了在EDP 环境下如何开展
IS 审计和传统的外部审计。而作为信息
系统审计与控制协会(IASCA)的前身,
成立于1969 年的EDP 审计协会(EDPAA)
及其属下的EDP 审计师基金会
(EDPAF)25 年间一直使用EDP一词。至
今,EDP 审计与IS 审计仍有并驾齐驱之
势。例如,在Jack.J.Champlain所著的
《审计信息系统》(第2 版,2003) 一书
中,仍然将EDP 审计师与IS 审计师相
提并论。
从诸多文献资料分析,EDP 包含两
种含义,一为环境说;二为系统说。作环
境说,诚如国际审计准则15 指出:“为
了国际审计准则的目的,当一个单位对
与审计有重要意义的财务资料的处理,
包含有任何类型或大小的计算机时,就
存在着电子数据处理的环境”。面对这一
环境进行审计的审计师也就是EDP 审
计师。而作系统说,则更多是指计算机信
息系统,以该系统作为审计对象必然会
改变审计的总体目标和范围,因而也才
有应用而生的信息系统审计与控制协会
及其单独的审计标准、指南和程序,
以及由此产生的IS 审计师。
(二)计算机审计的产生与发展
有关计算机审计的研究,在国外参考
文献中并不少见。例如,Andrew D
Chambers(1984)、Javier F.Kuong(1987)
和S.Rao Vallabhaneni(1989)等学者,
均围绕计算机审计的安全与内部控制、相
关技术、内部控制的实施等加以论述。值
得注意的是,在各职业组织所的有
关标准、指南或程序中,却鲜有使用计算
机审计一词,如美国注册会计师协会
(AICPA) 的《计算机辅助审计》
(1978)和取代SAS No.3 号(1974)的
《审计标准说明书第48 号》(SAS.No.
48,1984),国际内部审计师协会20 世
纪70 年布的《系统控制与审计》,
加拿大执业会计师协会(CICA)两次发
布的《计算机控制和工作指南》
(1970,1986),以及加拿大审计标准委
员会颁布的《EDP环境下的审计———一
般原则》(1984)等等,也都较少采用“计
算机审计”一词。
在我国,有关计算机审计研究经久
不衰。在20 世纪80 年代,我国学者往
往将其与国外的EDP 审计相联系。例
如在对Poter 和Perry(1987)合著的
《EDP:Controlls And Auditing (第5
版)》翻译中,李大庆和乔勇等学者
(1990)就将其直接译为《计算机审计》。
我国学者潘晓江(1983)较早针对我国
会计电算化提出审计应采取的充分发
挥人在控制中的主导地位、注意实行数
据可靠性控制和注意保留必要的审计
线索三大措施。从20 世纪90 年代至
今,我国以“计算机审计”为题的研究
成果颇丰。据笔者不完全统计,这类教
材和专著已逾30 本,较早的作者有肖
泽忠(1990)、陈婉玲(1990)、李长旭
(1990)等。
我国审计机关无论是关于计算机应
用的规定,还是组织系统内有关专家进
行研究,也多以计算机审计为题加以进
行。例如,审计署1993 年的《审计
署关于计算机审计的暂行规定》和1996
年的《审计机关计算机辅助审计办
法》等。邱胜利和张玉(1990,1993)、董
化礼(2002)、刘汝焯(2004)、国家863
计划审计署课题组(2006)等,也都以计算机审计为题展开研究。
(三)IS 审计的产生与发展
对IS 审计贡献最大的莫过于国际
信息系统审计与控制协会(Information
System Audit and Control Association,
ISACA)。1994 年,ISACA 替代了
原有电子数据处理审计协会(EDPAA)
。至2008 年2 月止,该协会已经
了16 个审计标准、39 个审计指南
和11 个审计程序。而其于1996 年发
布的信息和相关技术控制目标(Control
Objective for information and
Related Technology,COBIT)已经成
为全球公认的、权威的信息技术控制目
标体系。同时,该协会每年还举办IS 审
计师资格考试,有力地推动了世界范围
内IS 审计的发展。
日本通产省于1983 年了《系
统审计标准》,并在全国软件水平考试中
增加“系统审计师”一级的考试。1985
年,日本内部审计师协会在其所的
《审计白皮书》中认为,内部审计师的最
新发展是“IS 审计”。另据IIA 对美国和
英国的调查,被调查企业中实施MIS 审
计的企业所占的比例各年分别为:1968
年48%,1975 年60%,1979 年65%。而
1983 年再对这两个国家1 687 个内部
审计部门的调查中显示,已有70.8%的
企业在进行MIS 审计。
由于我国从一开始就将电算化会计
信息系统确定为计算机审计对象,致使
人们将其等同于IS 审计的审计对象。同
时,学者们也往往将IS 审计与IT 审计
等同视之。如胡克瑾(2002)在其《IT 审
计》专著中指出,IT 审计是指对以计算
机为核心的信息系统的审计。李丹
(2003) 也认为,“信息系统审计也称为
IT 审计”。
(四)从国内研究现状看两者的发展
借助有关学术论文的统计数据,也
许可以发现我国学者对计算机审计与
IS 审计的研究偏好与倾向。笔者以“计
算机审计”、“信息系统审计”和“电算化
审计”作为关键词进行检索。采用“篇名
+ 年份+ 全部数据+ 全部期刊+ 精确
匹配”为检索条件,对中国期刊网的期刊
数据库各年进行检索,以下是检索结果
统计表(见表1)。
在表1 对29 年来统计
中,三种研究倾向的论文总数为696
篇,其中,有关计算机审计的研究论文占
了61.93%,而在近五年这一研究倾向
论文也高达219 篇,占近五年全部论文
总数的58.40%,无论处于哪一时间段,
研究计算机审计的论文占三种研究倾向
论文总数的比例均超过50%。而研究信
息系统审计的论文在2003 年及以前的
24 年中仅有44 篇,近五年则有101 篇,
其平均每年有20 篇,尤其是近三年更
呈递增趋势。但其各年所发表的论文数
均明显低于计算机审计研究倾向的论文
数。至于电算化审计研究方向,由于它与
计算机审计、信息系统审计两个研究方
向有重复之嫌,故近年来呈下降趋势,在
未来研究中它可能被计算机审计和信息
系统审计两个研究方向所替代。由表1
也同时看到,我国在继续对计算机审计
进行研究的同时,亟须加快对信息系统
审计的理论与实务研究。
二、两者的基本概念、审计目标与审
计内容比较
计算机审计与IS 审计的本质区别,
首先见之于基本概念、审计目标与审计
内容等三个方面。因此,了解两者在这三
个方面的区别与联系,有利于今后开展
相关理论研究与应用研究。
(一)基本概念的比较
1.计算机审计的基本概念。日本会
计检察院计算机中心认为,计算机审计
有两方面的含义,一是对计算机系统本
身的审计,包括系统安装、使用成本,系
统和数据、硬件和系统环境的审计;二是
计算机辅助审计,包括用计算机手段进
行传统审计用计算机建立一个审计数据
库,帮助专业部门进行审计。
我国学者对计算机审计的理解与上
述基本一致。肖泽忠(1990)认为:“计算
机审计是审计人员用手工的或电算化的
审计方法、技术和程序对电算化或手工
信息系统进行的审计”(以下简称为“二
方观”)。陈婉玲(1990)、刘志涛(1990)、詹航恩和张蒙生(1993)、李学柔和秦荣生(2002)也都表达相同的观点。李长旭(1990)则认为,计算机审计是针对会计核算电算化而言的,即凡是对实现会计核算电算化的企业进行的审计都可称为计算机审计(以下简称为“一方观”)。
综观国内外学者对计算机审计的诸
多论述,多数学者将计算机审计作为一
个广义的概念,认为计算机审计包括两
个方面,一是将计算机系统作为审计的
对象;二是将计算机作为审计的工具。
与计算机审计的基本概念相近的还
有“电算化审计”,它同样具有“二方观”
与“一方观”。朱荣恩和徐建新(1986)根
据英国《审计研究》(1982 年版)的资料
编译并发表题为“发展中的电算化审计”
中指出,电算化审计是“评价、控制会计
电算化信息系统”的审计。王军等
(1995)多数学者赞同这一观点。袁树民
等(1995)则持“二方观”,其基本概念与
计算机审计无异。
2.IS 审计的基本概念。IS 审计至今尚未形成统一的概念。Ron Weber 在《信息系统审计与控制》一书中指出,IS审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。日本通产省情报协会对IS 审计定义如下:“为了信息系统的安全、可靠与有效,由独立于审计对象的IS 审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向IS 审计对象的最高领导,提出问题与建议的一连串的活动”。而我国学者也普遍认为,IS 审计是由专业审计人员根据IS 审计准则及相关规定,对信息系统的计划、研发、实施,以及运行维护等各环节所进行的审计,以保证被审计信息系统安全、稳定和有效,同时,它还将根据审计结果对被审单位提出改进建议。
应当指出的是,在我国审计署和财
政部的诸多准则与通则中,“信息系
统”一词尚未达到统一规范的表述。例
如,审计署的《审计机关计算机辅
助审计办法》(1996),将信息化的信息
系统称为“计算机应用系统”,财政部
的《独立审计准则 20———计算机
信息系统环境下的审计》,则为“计算
机信息系统”,而《审计准则第1211 号
了解被审计单位及其环境并评估重大
错报风险》中则称之为“财务报告信息
系统”、“信息技术系统”、“信息系统”
和“自动化信息系统”等不同的用语。
在新《财务通则》第八章的信息管理
中,则将信息系统定义为:“财务业务
一体化信息处理系统,也称为财务管理
信息系统或者管理型财务软件”。尽管
我国对各类信息系统诸多的不同表述
有待统一,但它们都是指信息化的会计
信息系统则是毫无疑义的。
(二)审计目标与审计内容的比较
1.计算机审计的审计目标与审计内
容。国际审计准则(ISAs)第401 号《计
算机信息系统环境下的审计》(2004)指
出:“在计算机信息系统环境下,并不改
变审计的总体目标和范围”,我国的
《独立审计具体准则第 20 号———计算
机信息系统环境下的审计》(1999)也
指出:“注册会计师在计算机信息系统
环境下执行会计报表审计业务,应当
考虑其对审计的影响,但不改变审计
目的和范围”。鉴于我国对计算机审计
的“二方观”认识,其审计目标也包括
两个方面:一是具有提高执行经济业
务和会计信息处理的计算机系统的合
法性、正确性和安全性;二是加快审查
速度、扩大抽查范围、提高审计效率和
审计质量的双重目标( 陈婉玲,
2002)。与之相适应,计算机审计内容
也就相应包括两个方面:一是包括对
信息化会计信息系统的开发设计、数
据输入、处理和输出进行审计;二是加
快审计信息化的步伐,建立信息化的
审计网络体系。随着市场经济的迅速
发展,在国务院办公厅《关于利用计算
机信息系统开展审计工作有关问题的
通知》([2001]88 号)中也明显
指出,“简单地讲,计算机审计包括:对
计算机管理的数据进行检查;对管理
数据的计算机进行检查”。可见,计算
机审计的审计内容主要是面对数据
(会计数据等)的检查,而对管理数据
的计算机进行检查,则是借助于信息
系统鉴证以获取处理数据是否正确性
的判断。
2.IS 审计的审计目标与审计内容。
IS 审计目标比较明确,它是指对信息系
统的资产保护,信息系统的可用性、安全
性、完整性和有效性发表审计意见。由于
IS 审计的审计对象是被审单位的信息
系统,因此决定其审计内容包括:(1)信
息系统的管理、规划与组织;(2)信息
技术基础设施与操作实务;(3)资产的
保护;(4)灾难恢复与业务持续计划;
(5)应用系统开发、获得、实施与维护;
(6)业务流程评价与风险管理。上述诸
多的审计内容,以及日益纷繁复杂的信
息系统,也迫使我们在IS 审计之际不能
不采用单独的审计准则体系和更多的计
算机辅助审计技术。
三、两者适用准则及采用技术比较
由于计算机审计与IS 审计的审计
目标、审计内容的不同,决定了前者面向
数据审计的特点与后者面向系统审计的
特点,由此也就使各自的审计准则和审
计技术各不相同。
(一)适用准则的比较
如上所述,计算机审计目标与内容
决定其相关准则的多维性。这可以从国
际审计准则15、16 和20 等内容加以了
解。这些相关规定大多提及EDP 环境,
虽然也不免涉及系统审计,但却主要是
针对财务报表等资料加以规定的。同时,
它们也并非专门针对IS 审计。我国的审
计署、中注协、国务院办公厅从1993 年
至2007 年,陆续诸多与计算机技
术应用有关的规定,究其实质,也都侧重
于财务会计数据审计而非单独针对IS
审计的。
与计算机审计的上述规范相比,IS
审计内涵、审计准则、职业组织、执业主
体等则十分明确。以审计标准为例,截至
2008 年2 月,国际信息系统审计与控制
协会已16 个审计标准,包括审计
章程、审计独立性、职业道德和标准、职
业能力、审计计划、审计工作的执行、审
计报告、后续工作、违规和非法行为、信
息技术管理、审计计划中风险评估的应
用、审计实质性、使用其他审计专家的工
作成果、审计证据、信息技术控制、电子
商务等。可喜的是,我国内部审计协会发
布并于2009 年1 月1 日施行的《内部
审计具体准则第 28 号———信息系统审
计》围绕总则、一般原则、审计计划、信息
技术风险评估、信息系统审计的内容、信
息系统审计的方法、审计报告与后续工
作等方面对内部审计中的信息系统审计
加以规定。虽然这一具体准则与国际信
息系统审计与控制协会已的审计标
准尚有一定的距离,但它毕竟首开我国
信息系统审计准则制定之先河。以下是
国内外已的计算机审计与IS 审计
相关准则体系的比较(见表2)。
(二)采用的审计技术与工具比较
从当前相关文献来看,有关计算机
审计技术介绍比较宽泛,而有关IS 审计
技术则有针对性强的特点。笔者认为,从
信息与信息系统的“产品”与“生产工厂”
的关系看,两者在审计过程中是紧密联
系的。只有当产生信息的系统本身具有
可靠性时,审计师才能初步确信该系统
产生信息的可靠性。而为了鉴证系统的
可靠性,IS 审计师往往通过检测被审系
统输入、处理与输出数据与信息来加以鉴证,其有效性不言而喻。鉴于计算机审计与IS 审计两者的审计目标的不同,两者采用审计技术与工具也就有所不同。
以下是笔者根据国内、外有关文献对两
者采用技术与工具的归纳:
1.两者共同采用的技术与工具。主
要有:测试数据法、追踪法、综合测试工
具(ITF)、平行模拟法、嵌入审计模块法、
流程图检查法、审计软件法、程序编码审
查法、程序比较法等。
2.两者各自采用不同的技术与工
具。其中,计算机审计技术主要有:受控
处理法、受控再处理法、漏洞扫描与入侵
检测、利用数据管理系统辅助法、利用操
作系统和实用程序法、利用被审系统辅
助法和利用电子表格辅助法等。IS 审计
技术主要有:基本案例评估法、系统控制
审计复核文件(SCARF)、快照法、审计
钩(hooks)、连续与间歇模拟(CIS)、延
展性记录法等。
四、结论
计算机审计与IS 审计无论是其产
生与发展,还是其基本概念、审计目标、
审计内容,抑或是其适用准则与采用的
审计技术,都有着很大的区别。但两者
在我国审计发展过程中却有其特定的
地位与作用。以信息化会计系统的财
务数据为审计对象的计算机审计,在当
前广泛开展财务报表审计过程中对其
展开研究仍然有着重要意义。同时,它
所强调的审计信息化建设使其“二方
观”能够进一步发扬光大。可以预见,
随着环境的变化与信息技术应用的深
入,计算机审计的内涵与外延也必将
得以深入与拓展。
成功地开展我国的IS 审计,是我国
审计走向世界的必由之路。上市公司根
据COBIT 框架实施内部控制已是大势
所趋,大、中型企业也必然紧随其后,由
此也就决定了IS 审计的势在必行。透过
IS 审计师资格考试的内容使我们看到
了IS 审计对知识与技术要求的高难度,
尤其是近年来对某些企业单位的IS 审
计之实践更使我们感到任重而道远。因
此,起步伊始的我国IS 审计,倘一开始
就能够借鉴国外先进的经验,追踪国际
惯例,并针对国情提出自己的发展对策,
无疑可以健康发展。
计算机审计与IS 审计两者绝非泾
渭分明,而两者究竟应当遵循哪些审计
准则,是近期内我国应当重点研究的问
题。诚然,从技术的角度看,国际IS 审计
标准、指南和程序已经日臻完整和成熟,
我国似无另起炉灶之必要,但由于我国
企业单位种类繁多,许多内外环境与国
外迥然不同,如果没有切合国情的部门
规章和规范性文件对IS 审计加以指
导,则可能欲速不达。因此,应当结合
我国IS 审计的现实状况,根据实践经
验、具体业务流程和技术方法分期发
布相应规章与规范性文件,逐步规范
我国的IS 审计。
【参考文献】
[1] Jack J.Champlain:Auditing InformationSystems,2sted,John Wiley &Sons,Inc.2003.
[2] 张德明,译.国际审计准则[M].大
连:东北财经大学出版社,1990.
[3][美]W.Thomas Poter,等著.计算机
审计[M].李大庆等,译.北京:中国
财政经济出版社,1990.
[4] 潘晓江.电子计算机审计与数据可靠
性控制—会计电算化之后现代审计
的对策[J].会计研究,1983(5)、(6).
[5] 王光远.管理审计理论[M].北京:中
国人民大学出版社,1996.
[6] 胡克瑾.IT 审计[M].北京:电子工
1建立系统设计前期研发机制
以公司科技项目、管理咨询项目研究为依托,建立系统设计前期研发机制。通过将ERP业务审计研究、智能分析审计体系研究、公司信息化环境下内部控制特性及其审计研究等项目列入公司科技项目、管理咨询项目计划,联合国际知名的审计软件开发商、公司系统信息化建设单位,深入研究审计信息系统开发、建设各方面问题,根据审计信息系统建设的最新发展,借鉴国内外优秀企业的领先实践,研究提出了ERP业务审计系统、智能连续审计系统(审计监控预警系统)开发建设的技术路线、系统架构与功能,为系统开发奠定基础。
2建立系统建设过程管控机制
得到各业务部门的大力支持,获取多部门业务数据,是推进审计系统建设的管理难点。为此,审计部门紧抓机遇,以公司开展的“数据共享与业务融合”专项治理活动为契机,将审计系统建设所需数据集成需求,纳入公司重点工作平台,大力推进与相关业务部门的沟通协调工作,获得各部门的充分理解和对数据提供的大力支持。在系统建设过程中,通过与公司信息化主管部门建立周、月例会机制,及时研究讨论系统开发建设中出现的问题,加强系统建设过程管控,提高系统建设质量;根据各单位的反馈意见和建设中出现的问题,组织业务骨干开展技术攻关,持续优化完善系统功能及其实现方式,提高系统易用性水平,为建成好用、实用、高效的审计信息系统提供有效的机制保障。
3建立系统应用情况考核机制
通过制度指导、强化考核、典型示范、知识普及,推动各单位积极应用信息系统开展审计工作,创新信息化环境下的审计工作方式。一是制定下发《关于加强审计信息系统深化应用工作的实施意见》,对各单位做好系统应用工作、健全系统运维体系、加强应用环境保障等方面提出具体要求;制定系统应用定期考核、量化评分机制,发文通报考核情况,不断缩短考核周期,持续加大考核力度。二是将信息化纳入审计工作管理对标的四项重点之一,引导所属各单位着力推进审计信息化,深入思考,及时提炼工作经验,通过典型经验的机制,共享先进经验,发挥示范引领作用。三是建立审计信息系统深化应用培训的常态机制,培训工作纳入每年年度工作计划,公司总部、分部、省公司(直属单位)各司其职,开展分层、分类培训,加强系统应用知识、管理制度的推广、宣贯力度。
4建立审计信息化理论研讨机制
组织各单位结合自身实际,认真总结、提炼审计信息化建设、应用方面的成功经验,分析存在的问题,并提出建设性的意见和建议,开展理论研讨,撰写工作论文;抽调部分单位的审计信息化骨干组成评审专家组,对各单位提交的论文进行评选,提出修改完善意见,遴选优秀论文报送中国内部审计协会参评内部审计理论研讨优秀论文,并在审计门户系统开辟专栏共享研究成果,在公司系统培育学、用信息系统的良好氛围。
二、实施效果
1构建了体系完整的审计信息化体系
审计门户系统、审计综合管理系统、ERP业务审计系统、管控业务审计系统的相继建设应用,初步搭建起审计信息化平台,基本实现审计管理和审计作业的信息化。审计门户已成为审计人员应用系统,以及公司各单位交流审计工作信息、共享审计工作经验的重要平台;审计综合管理系统以项目管理为核心,实现了审计项目从计划到项目终结的全生命周期闭环管理,促进了审计管理的信息化;ERP业务审计系统、管控业务审计系统实现了审计业务对财务、工程、物资、设备、人力资源、营销管理等电网企业主要业务的全面覆盖,彻底改变了传统计算机辅助审计仅限于财务领域的状况,标志着审计信息系统与各主要业务应用系统的紧密融合,通过信息共享和互联,改变“信息孤岛”状况,初步实现了“信息共享,全程控制,在线监督,辅助分析”的审计信息化建设目标。
2促进了审计部门履职能力的提高
审计系统功能设计体现的是经过凝练的专家经验,能够为审计人员提供高效率的辅助分析工具。通过对最直接、最有效、最核心的审计专家经验知识进行归纳、提炼,所建立的一系列审计分析模型,为审计人员提供了标准化、高效率的审计方法和工具,全面提升了内部审计在提供专业咨询、鉴证意见和增值服务方面的职能。审计人员应用系统探索开展非现场审计,在充分发挥信息系统应有效能的同时,利用审计监督视野广的优势,通过对跨业务数据进行整合分析,及时为公司相关决策提供信息支持,高效提升了审计工作价值。
3保障了依法治企工作水平的提升
一、信息化环境下的计算机审计的特点
(一)信息化给计算机审计带来了较大挑战。
当今社会是个信息爆炸的时代,信息资讯已经成为重要的生产要素、无形的资产和宝贵的社会财富,信息技术正以空前的影响力、传播力和渗透力,不可阻挡地改变着社会的经济结构、生产方式和每个人的生活方式。在信息化环境下,一方面国家制定实施了一系列信息化发展战略和发展规划,超高速宽带网络、新一代移动通信技术、云计算、物联网、计算机仿真等新技术、新产业、新应用不断涌现,全面提升了国民经济信息化水平,国家电子政务得到快速发展,国家审计的信息化建设也必须努力适应、快速跟进;另一方面被审计单位不断采用新技术,信息系统日趋复杂,数据量急剧增长,要求管理者和被管理者、审计机关和被审计对象所使用的工具手段必须处于同一个量级,才能相互适应,形成有效的监督制约关系。在这样一种背景下,审计监督的信息化成为把握住信息化的先机,抢占审计发展的突破点和制高点。
(二)信息化条件下的计算机审计风险。
1.系统风险。信息化条件下,计算机审计不再是常规的简单的数据式审计,更加关注信息系统本本身,信息系统的控制风险、检查风险等给审计人员带来较大挑战,需要审计人员除了具备常规的数据分析技能外,还要掌握的系统设计架构、系统布局、网络布局、软硬件环境等各方面的专业知识,通常情况下,能掌握上述一方面专业知识就已经很不容易,要系统全面地将上述知识全面掌握,难度非常大。由此可见,开展信息系统审计的系统风险非常大。
2.控制风险。信息化条件下的计算机审计更加关注在总体分析的基础上进行控制风险的把控。数据分析的模式更倾向于“总体分析、发现疑点、分散核查、系统分析”。对于总体分析和系统分析来说,对新消息系统和业务数据的控制测试尤为重要,也是一大难点。
3.组织风险。信息化条件下的大项目更多,为了整合资源,需要搭建大项目的组织模式,特别是数据分析平台的模式,需要将业务人员和计算机专业人员有机整合,整合多部门、跨专业数据,进行数据关联挖掘和分析,在组织方式上提出了更高的要求。
4.审计机关内部风险。一是人才匮乏。信息化条件下的计算机审计需要既懂审计业务,又精通计算机技术的复核型人才。国家审计机关虽然通过计算机中级考试培养了大量计算机人才,但随着信息化技术的不断发展,各种新技术的不断涌现,审计人员的知识储备还是难以满足信息化建设的需要。二是软硬件环境相还有待加强。审计机关经过金审工程一期和二期建设,基本搭建了适应我国审计机关发展的软硬件环境,但审计机关的电子政务建设还是与财政、税务等部门有一定差距。如审计机关未布置主流的ORACLE环境,对流行的空间地理技术等新技术不掌握,一定程度上制约和弱化了审计机关的监督能力。
二、信息化环境下的计算机审计的组织方式和主要内容
(一)组织方式。
近年来,审计机关开展的财政大格局审计、社保资金审计和省长经济责任审计过程中,打破业务和行业界限,将审计机关内部有机整合,“全国一盘旗”,尝试搭建数据分析平台,组建数据分析团队,提出了“总体分析、发现疑点、分散核查、系统分析”计算机审计思路,取得了较好效果。如有的特派办创新计算机审计模式,探索构建“特派办级分析平台、项目审计组级分析平台、审计人员级分析平台”的三级数据分析平台。整合多部门、跨专业数据,搭建特派办级数据分析平台,进行数据关联挖掘和分析;根据审计组的业务需求,组建审计组级数据分析平台,开展针对性的数据采集和分析;根据具体需求,针对特定数据,构建审计人员级数据分析平台,迅速完成个性化的数据分析。通过数据信息与业务经验的紧密结合,人力资源与设备资源的科学组合,业务骨干和计算机骨干的有效整合,以及审计延伸与数据分析时间的合理安排,增强了计算机技术对审计工作支撑能力,强化了数据分析审计成果的转化率,大大提高了信息化审计能力。
(二)主要内容。
1.开展信息系统审计,探索信息系统审计的方式方法。围绕安全性、有效性和经济性这三个着力点,研究建立信息技术项目绩效评价体系,逐步探索开展对电子政务项目和企事业单位信息系统的绩效审计。
2. 拓展计算机审计的宽度和深度。计算机审计要向被审计单位管理领域和业务的核心技术环节渗透,关注数据产生的关键控制节点,在常规的数据式审计外,更加关注数据产生的真实性和合法性,研究和评估信息系统能否有效满足管理需要,以促进完善系统、提高管理水平,充分发挥审计建设性、预防性的 “免疫系统”功能。
3. 占领信息技术高地,积极探索新技术的应用和推广。积极学习和研究被审计单位及行业广泛应用的地理信息系统(GIS)技术、全球定位系统(GPS)技术、自动监测技术等先进技术和方法,并探索运用于审计,不断创新审计技术方法,提升信息化环境下的审计监督能力。
4. 加强计算机审计理论课题研究工作。加强计算机审计标准规范、计算机审计方法体系和操作制度体系的建设,全面提升信息化建设理论研究水平。
论文摘 要 计算机网络技术的广泛运用实现了会计工作的信息化趋势,新会计信息系统的运用给会计人员的工作带来了较大的挑战,审计风险则是会计信息系统运行中需要重点考虑的问题。基于此,本文对审计风险在会计信息系统下的特征及对策进行了探讨。
会计电算化是单位会计信息系统的标志,对于单位财务信息的处理有很大的促进作用。但新会计模式的推广给会计人员的工作造成了一定的难度,使得了会计信息系统的审计风险增大。由于会计信息系统的审计风险不容易察觉,一旦风险发生后则会造成巨大的经济损失,这是单位管理中必须要注重的问题。而广大审计人员在对会计信息系统审计过程中,必须从思想上认识到审计风险的危害性,然后选择科学的审计方法获得审计结论。
一、会计信息系统审计的风险
1.误报风险
(1)会计信息系统里采用了计算机自动化处理技术,对原始信息数据编排处理后自行生成财务表格。尽管整个过程无需会计人员参与完成,但纸面信息变成了只有计算机才能识别的磁性介质上的代码,而会计人员在磁质代码的识别上还存在不足,这些往往会导致会计信息系统出现误报、错报等问题。(2)计算机是会计信息化控制的主要设备,单位的内部控制则调整为对人和机器的双重控制。在这种会计环境下,当被审计单位内部缺乏科学的控制制度时,对计算机数据和程序的修改后完全察觉不出来,这些都会给管理者私自修改信息创造条件。并且系统会遭到“黑客”的入侵和“病毒”的侵袭,这些都使得审计重大错报风险增大。
2.检查风险
(1)检查工作的开展是为了避免虚假信息、错误信息的存在,其可以通过检查工作来实现各项数据的科学审计。面对计算机系统运行模式,内部控制融汇于财务软件之中,这就要求审计人员掌握足够的业务数据,对软件的控制能力综合检测处理。考虑到大部分审计人员在计算机操作技能、理论知识上还存在不足,若要想通过计算机对相应的数据信息审计检查,则常常会增加审计检查风险。(2)信息技术的发展促进了会计软件的更新,使得历史文件提取的难度降低。而很多重要的账户检测必须要依赖于单位的历史数据,若软件版本不断更新升级则会阻碍原始数据的处理。既降低了审计效率,也使得审计检查风险不断增大。
二、减小审计风险的有效策略
1.制定标准,执行准则
对于会计信息系统制定科学的管理标准,对潜在的风险状况及时防范处理,这是降低审计风险的前提条件。计算机审计能够对单位信息进行有效地审查,对内部财务信息系统及会计工作进行科学的监测评估,对单位资金、各种资产实施密切跟踪,这对于审计风险的评估是有帮助的,可以从事前、事中、事后多方审计。单位制定审计准则过程中,需要将重点放在计算机系统内部控制上,要求会计人员按照标准对原始数据进行处理。此外,还需要构建与新情况相适应的审计准则,如:系统设计、开发、运行、维护等标准,这不仅满足了会计信息化的要求,也能给审计风险的评估创造条件。
2.定期检查,了解情况
作为审计部门,应定期对单位开展审计检查,掌握单位经过管理的实际状况。在检查过程中需要把握的内容包括:(1)熟悉被审单位采用的会计软件情况、业务操作处理流程等,这样可以及时发现会计操作面临的风险隐患。(2)考核会计人员的职业素养,特别是会计信息系统的工作者,如:管理人员、操作人员、维护人员等,防止人为因素造成的审计风险。(3)创建审计信息库,对被审单位的信息系统创建庞大的信息库,这样可以方便单位调用资源。信息库中应涉及到单位各方面的信息,如:采购、销售、财务等等,从而了解被审单位的背景状况以及最新动态。利用信息库查阅资料,可降低审计部门的工作难度,将潜在的审计风险控制在最小。
3.内部控制,优化审计
从目前单位会计信息系统运行的状况看,内部控制主要涉及到了:制度控制、程序控制等两大块,这些主要可采取加强内外部安全机制、权限密码、完善软件功能、改进数据录入、优化信息传输等措施粗合理,保证审计风险得到有效控制。审计人员在调查被审计单位会计信息系统内部控制情况时,需注意检查被审计单位会计信息系统存在的缺陷,避免“假账真查”的问题的发生。通常可选择抽查原始凭证与机内凭证,通过两者之间的对比后发现问题。或者抽查打印日记账和机内日记账,对被审单位的报表取数公式严格检查,通过这样的方式来分析单位提供的财务信息是否属实。在检查时若发现各种问题,审计人员有权要求单位负责人配合处理,只有每一笔账务都检查到位才能降低审计风险。
4.选择软件,统一接口
会计软件是信息系统的主要工具,单位在选择会计软件之后要保证数据结构的统一性。当前,单位要坚持采用会计管理及核算系统的标准数据接口规范,确保会计人员在使用时不会出现信息丢失等问题。标准数据接口规范是对所有正在使用的会计软件规定统一的数据输入输出格式,这样可以为审计人员的查询、审计工作提供方便,及时收集到单位相关的信息后进一步审计。制定标准数据接口规范能加快规范信息领域的各种数据信息,给税务部门的数据统计工作带来方便,为单位的日常经营工作提供指导。审计人员在操作中只需把会计软件中的输入文件调入审计软件即可,简单的操作流程可显著减少审计风险。作为财政部则应及时调整会计软件基本的功能规范,重视数据接口的标准的规定,这样可以增强各会计软件开发商对数据接口的革新优化。
三、结语
总而言之,会计信息系统是未来单位财务工作的新模式,在会计电算模式里,会计人员应不断调整自己的工作模式,保证各项会计工作都能顺利进行。而审计部门在审计过程中,要注重单位各方面数据信息的收集,对审计风险严格控制,避免风险发生后给单位造成经济损失。
参考文献:
[1]冯纯纯,胡彦斌.浅谈会计信息系统审计.商业会计.2009(06).