一、引言
信息系统审计(IS Audit)的概念最早出现于20世纪60年代,会计电算化的发展使得审计人员开始关注电子数据的采集、分析与处理,被人们称为EDP审计,这是信息系统审计的早期萌芽。20世纪90年代,信息系统日益复杂,如何保障信息系统的安全、可靠和有效变得越来越重要,信息系统审计开始在美、日、澳、英等国普及起来。2001年,国家审计署将注册信息系统审计师(CISA)考试引入我国,十余年来各行各业都开展了如火如荼的信息系统审计实践。准则是审计工作的基本规范,信息系统审计准则是信息系统审计师共同遵循的标准,对于促进信息系统审计行业发展具有重要意义。日本通产省 (Ministry of Economy Trade and Industry,简称METI)早在1985年就颁布了信息系统审计准则,还成立了日本系统审计师协会 (JSSA)。
美国也成立了信息系统审计与控制协会(ISACA),制定和颁布了一系列信息系统审计准则指南,并在全球
范围内应用推广。我国审计署以实务公告形式颁布了《信息系统审计指南》,中国内部审计协会也以具体准则形式颁布了信息系统审计准则,为规范我国的信息系统审计实践提供了重要参考。然而,由于信息系统审计的技术复杂性,以及我国信息化发展的阶段特征等客观原因,目前我国的信息系统审计理论与实务研究都尚处于百花争放时期,关于信息系统审计对象、范围和目标等基础概念的理解众口不一,更是缺少系统化的信息系统审计准则体系,严重制约了我国信息系统审计行业的发展。
二、信息系统审计概念内涵
信息系统审计概念,国内外尚没有统一定义。美国著名学者Ron A·Weber认为,IS审计是一个获取证据,对信息系统是否能保证资产的安全,数据的完整,以及是否有效的使用了组织资源并有效地实现了组织目标做出评价和判断的过程。该定义得到较为广泛的流传,印度审计署颁布的IT审计手册也采用了该定义。ISACA协会则认为,信息系统审计是一个搜集和评估证据过程,以确定信息系统和相关资源是否受到充分保护、是否能保障数据和系统的完整性、是否能提供相关和可靠信息、是否有效使用组织资源以实现组织目标,并建立了有效内部控制体系可以合理保障组织运营和控制目标。日本通产省(METI)在1996年修订了信息系统审计准则,指出信息系统审计是为了信息系统的安全、可靠与有效,由独立于审计对象的IT审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合检查与评价,向IT审计对象的最高领导,提出问题与建议的一连串的活动。中国内审协会颁布的《中国内部审计具体准则28号——信息系统审计》中指出,信息系统审计是指由组织内部审计机构及人员对信息系统及其相关的信息技术内部控制和流程开展的一系列综合检查、评价与报告活动。国家审计署颁布的《信息系统审计指南———计算机审计实务公告第34号》认为,信息系统审计是指国家审计机关依法对被审计单位信息系统的真实性、合法性、效益性和安全性进行检查监督的活动。
上述定义有差异,也有共同之处,本文从审计目标、审计对象和审计内容这些概念进行了对比分析。
目前学术界和业界对于信息系统审计的对象有较为统一认识,但学者们对审计目标、审计内容的理解存在较大分歧。信息系统审计是源于信息系统和审计理论的新兴交叉学科,观点分歧代表了信息系统审计的不同定位。日本的信息系统审计师考试是一种全国信息处理人员水平考试,因此日本信息系统审计强调对信息技术和软件规划开发等内容的审计,并不提及审计师的专业判断;其它观点多出自审计师视角,审计师们通常更多关注控制与风险,所以审计内容通常是一般控制和应用控制审计等;另外,审计又区分为国家审计,社会审计与内部审计,有着不同业务领域性质与要求,导致各领域对信息系统审计目标理解的多样化。
基于上述讨论,本文提出信息系统审计是审计主体遵循一定标准规范搜集与评估证据,判断信息系统及相关资产的安全性、可靠性和有效性,提出审计意见与建议,促进被审计单位信息系统实现组织目标的行为。从该定义可知,信息系统审计的对象是系统及相关资产,主要包括计算机硬件、软件、网络基础设施、数据、人和相关管理制度。信息系统审计有三大目标:安全性、可靠性和有效性。其中,系统安全性是指信息系统资源是否受到妥善保护,不因自然和人为的因素而遭到破坏、更改或者泄露系统中的信息。系统可靠性包括三个方面的内涵:硬件、软件和数据的可靠性。硬件的可靠性是指在一个指定的时间周期内,在给定的'控制条件下,硬件系统执行所需功能的成功概率。软件的可靠性是指在运行环境中,在规定的运行时间内或规定的运行次数下,程序和所有数据元素运行不同测试用例的无差错概率。数据的可靠性是指数据的真实、准确和完整,它取决于系统对数据的处理过程是否准确无误,以及确保数据可靠的控制措施是否有效。系统有效性也有三方而的内涵:一是指信息系统的处理过程是否符介国家法律和有关规章制度的要求(合规性);二是指信息系统是否能够实现既定的业务目标(效益性);三是指系统的效率性即系统利用各种资源输出用户所需要信息的及时程度和运行速度。
三、信息系统审计准则国际经验
目前,国际上影响力较大的信息系统审计准则有四个,分别是国际信息系统审计与控制协会(ISACA)、日本通产省信息系统审计标准,以及国际内部审计师协会(IIA)颁布的全球技术审计指南和美国审计总署(GAO)颁布的联邦信息系统控制审计手册。
(一)ISACA的信息系统审计准则体系1994年,电子数据审计师协会(EDPAA)更名为ISACA协会,该协会是目前最有影响力的信息系统审计专业人员的国际性组织。它在全世界许多国家举办注册信息系统审计师(CISA)考试,还制定和颁布信息系统审计准则体系来规范和指导CISA工作。ISACA的信息系统审计准则体系由ISA标准、指南和程序三部分构成。信息系统审计标准是整体准则体系的总纲,是制定指南和程序的基础。审计标准规定了审计章程、独立性、职业道德和胜任能力,以及审计工作执行的基本行为规范,是CISA执行审计业务必须遵循的标准,具有强制性。目前ISACA共颁布了16条审计标准,42项审计指南,为CISA执行审计业务中如何遵守审计标准提供指引,任何偏离指南的行为必须有充分的理由,属于“强烈推荐遵循”。审计程序是依据审计标准与审计指南制定的,为CISA提供审计业务的程序与步骤,类似一种工作范例,并不强制要求。到目前为止有效的ISA程序共有9 项。
(二)日本的信息系统审计准则日本通产省(METI)于1985年发布了信息系统审计准则,1996年进行了修订。该准则由一般标准、执行标准和报告标准三部分组成。一般标准描述了信息系统审计的目标、对象、人员和流程等。执行标准描述了信息系统审计的具体实施内容,强调系统审计师应关注信息系统规划、开发到运行全生命周期各阶段的风险。报告标准描述了信息系统审计结果的收集整理,以及根据审计结论应采取的措施。
(三)IIA的全球技术审计指南(GTAG) 国际内部审计师协会(IIA)的内部审计国际实务准则框架(IPPF)是内部审计规范体系的标杆。IIA非常重视信息系统审计,IPPF在“实务指南”层次用相当篇幅详细规范了信息系统审计的内容与方法。自从2005年发布第1号全球信息技术审计指南(GTAG)指南起至今,IIA已发布了16项信息系统审计指南,内容涉及信息系统控制、应用控制审计、制订IT审计计划、IT项目审计和信息安全治理等等。
(四 )联邦 信息系统控制审计手册 (FISCAM)2009年美国审计总署(GAO)发布了联邦信息系统控制审计手册(FISCAM),在该手册的指导下,GAO每年还安排若干审计项目对政府部门信息系统控制进行审查评估。FISCAM的IT控制包括一般控制和应用控制。其中一般控制包括:实体安全控制、访问控制、应用软件开发和变更控制、职责分离控制、应急计划;应用控制包括:应用级一般控制、输入控制、处理控制、输出控制、接口控制、数据管理系统控制。FISCAM对以上各类控制的审计程序与步骤进行了详细说明。
ISACA作为专门的信息系统审计与控制协会,建立了较为完整的信息系统审计准则体系,它采用总分式分层体系,16项审计标准是总纲,自2005年发布后基本保持稳定,而42项审计指南一半以上是新增或新修订的,不断更新的审计指南赋予了审计标准新的内涵与外延,审计程序则重在描述审计程序与步骤。日本通产省的审计准则采取一体化形式,整套准则的内容相当于ISACA的审计标准层次。
从准则具体内容上看,日本的信息系统审计师属于计算机行业,其审计标准具有明显信息技术特征,主要规范了信息系统审计目标、审计对象、审计人员资质和审计方法,尤其详细明确了信息系统规划、开发和运行全过程的关键风险点;而ISACA的审计标准更多关注信息系统审计的审计特征,主要规范审计权力责任、审计人员职业道德规范、审计计划、审计证据、审计记录、审计抽样和审计报告等内容。ISACA协会的审计指南与IIA协会的GTAG指南的 *** 作性程度不同,前者类似我国的具体准则,GTAG指南则围绕不同的审计业务详细描述审计工作思路,审计方法、技术与工具等。
从是否强制性要求来看,ISACA协会的准则体系中既包含强制性遵循的审计标准、强烈推荐遵循的审计指南和非强制性要求的审计程序,还包含ISACA制订或编写的出版物以支持实务工作。IIA协会的GTAG指南处于IPPF框架的实务指南层次,属于强烈推荐遵循;美国审计总署GAO颁布的FISACM是非强制性要求的手册,用以指导实务工作。
四、我国信息系统审计准则现状
我国目前颁布的信息系统审计准则规范屈指可数,主要有审计署以实务公告形式颁布的信息系统审计指南,中国内审协会发布的信息系统审计具体准则。
(一)信息系统审计指南为指导和规范国家审计机关组织开展信息系统审计,2012年,审计署发布了《信息系统审计指南———计算机审计实务公告第34号》。该指南在借鉴国外信息系统审计指南的基础上,结合国家审计机关依法审计的法定职能,以及我国目前信息系统审计实践现状,提出了包含应用控制审计、一般控制审计、项目管理审计3大块的信息系统审计内容框架,重点描述了89项审计事项的审计要点。此外,审计署还在2013年出版了与该指南配套的《信息系统审计实务》,针对指南的各审计事项,分别描述了审计目标、审计程序、应取得的资料和常见错弊与定性依据等。
(二)内部审计具体准则第28号———信息系统审计为规范组织内部审计机构及人员开展信息系统审计活动,保证审计质量,中国内审协会颁布了《内部审计具体准则第28号———信息系统审计》,自2009年1月1日起开始实施。该准则对信息系统审计的一般原则、信息技术风险评估、信息系统审计内容、信息系统审计方法,审计报告和后续工作共五个方面的内容进行了规定,明确提出信息系统审计包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审计。
综合来说,我国目前尚未建立信息系统审计行业协会,审计署发布了信息系统审计指南,属于非强制性要求,更高级别的强制性要求准则尚未发布;内审协会的信息系统审计具体准则虽属于强烈推荐遵循层次,但与IIA协会相比,其信息系统审计准则和相关指南还有极大的丰富与细化空间。总体来看,我国的信息系统审计准则体系缺少系统性与结构性,尚没有建立完整的信息系统审计准则体系。目前,国家审计、社会审计和独立审计都在各自业务领域内开展了一些信息系统审计实践探索,但各界人士对信息系统审计的基本原则与规范还缺少共识,长此以往将给我国信息系统审计行业发展带来混乱。
五、结论
信息系统审计准则是信息系统审计师共同遵循的标准,对促进我国信息系统审计行业发展具有重要意义。首先,从准则制定的社会背景来看,我国的社会信息化水平与美国、日本等国家存在客观的差距,ISACA,IIA和FISCAM等准则指南均基于相对完善的内部控制(IT控制)环境,而我国政府部门、企事业单位的信息化建设正处于飞速发展时期,大部分被审单位的IT控制体系尚在建立之中,如果按照国外规范开展我国信息系统审计,过于理想化的审计意见建议很难得到认同。
第二,从准则的框架结构来说,ISACA,IIA和日本通产省的框架结构,不太符合中国人的理解习惯。ISACA采用的审计标准、指南和程序的三层框架结构,跟我国的内部审计准则体系,注册会计师鉴证业务准则和国家审计准则采用的常用结构也不一样,不太符合我国审计师的认知习惯。
第三,从准则的具体内容来看,由于我国信息系统审计方面的法律法规还非常不完善。目前只有信息系统安全方面颁布了安全保护条例和强制性标准,IT运维服务、外包、信息资源开发利用,信息公开与政务服务等方面尚缺乏充分的审计依据。审计环境决定了我国信息系统审计准则在明确信息系统审计目标、规范信息系统审计内容等方面都需要充分考虑本土国情。但是,国外ISACA,IIA,FISACM等信息系统审计准则指南历经20多年的发展,已形成相对成熟的体系,相关观点已为我国审计师熟识。而且,国家的信息系统审计准则需要在国际舞台上相互交流与合作。
因此,制定我国信息系统审计准则需要遵循的重要原则是:坚持国际化与本土化相结合,既立足本土国情又实现国际接轨。本文借鉴ISACA,IIA和FISCAM等准则指南的优秀经验,参照我国国家审计准则的体系框架,考虑信息系统审计新业务的不同特征,尝试提出如下图1所示的中国信息系统审计准则体系框架。
该框架采用了审计准则、审计指南和实务手册三层结构。审计准则是强制性要求,审计指南是强烈推荐遵循,实务手册是非强制性要求。审计准则分成基本准则和具体准则两层,基本准则可包括五块内容,分别是总则、信息系统审计道德规范、信息系统审计作业准则、信息系统审计质量控制准则和附则。审计指南包括通用指南和专业指南两类,如面向一般信息系统的通用指南,针对电子政务、电子商务和ERP系统的专业指南,或者体现行业信息系统特征(如金融、通信行业)的专业指南等等。指南的内容框架可以采用一般控制和应用控制的基本框架,但在设计具体事项,或者明确审计内容重点时,应充分考虑我国企业或政府部门的信息化发展阶段及当前法律环境。实务手册是审计指南的具体化,详细规范审计内容、审计程序、审计依据、审计技术方法和典型错弊等相关知识点。实务手册可根据审计指南来加以制定,也可以针对某类突出问题(如电子银行、IT外包等)进行特别规范。
为逐步完善我国信息系统审计准则体系,我们建议采取如下策略:首先,以审计署为主导,协调整合中国注册会计师协会、内审协会以及高校的相关专家资源,组建信息系统审计准则研究课题组和专家咨询小组,激发信息系统审计职业界的积极讨论与参与。其次,成立类似ISACA的中国信息系统审计行业协会专门机构,以信息系统审计职业化建设为主线,组织修订与持续完善信息系统审计准则体系;组织信息系统审计师职业教育,提升信息系统审计师职业素质;总结我国信息系统审计优秀经验,积极开展与国外相关协会和政府机关之间的合作与交流。最后,人才是行业持续发展的源泉,也是准则规范有效实施的载体。建议增设我国信息系统审计师职业资格考试,明确我国信息系统审计师应具备的素质、知识与技能以及任职资格,既能保障准则规范的有效实施,也为促进我国信息系统审计行业发展提供人才支撑。
参考文献:
[1]张文秀:《国外信息系统审计规范、国家文化差异与制度移植》,《审计研究》2012年第5期。
[2]石爱中、周德铭、王智玉、杨蕴毅:《信息系统审计实务———中国计算机审计实务报告》,时代经济出版社2012年版。
ITGC:Information Technology General Controls。评价信息技术一般控制(ITGC)。就是看看客户在IT治理方面的相关组织架构是否合理,书面的管理制度是不是健全,具体的审计程序就是获取客户的组织结构图,及一些比较虚的总纲类的书面管理制度如《IT管理制度》等等。
ITAC:指一般公司企业内部的控制运作。内部会计控制是指单位为了提高会计信息质量,保护资产的安全、完整,确保有关法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序。
扩展资料:
业务部门,是要带领企业高质高效的达成企业的经营目标,将其价值最大化。这个目标是企业的自主性目标,是自己给自己的压力。它所实现的措施都是积极性的措施,是为了实现要带领企业有效率的的达成企业的价值最大化。
而内控,更多的是外部强加给我们的,它要求我们企业里的每个人应该使用正确的方法,做该做的事情,而不是不择手段的用你的智慧和能力去实现企业价值的最大化。从这个意义上说,内控的目标是强制性的,它的措施是防御性的。
所以COSO(美国反舞弊性财务报告委员会发起组织)的报告里写到“再好的内部控制体系,它不能够把一个劣迹斑斑的或没有经营智商的管理层变成一个非常有经验、头脑和能力的管理层。”
所以他的作用不在于智慧和能力,它的作用在于去完成外界强制要完成的事情,在企业实现主要目标的前提下。它是一种防御性措施,它所强调的是一种必须做的义务和责任,而不是智慧和能力。
参考资料来源:百度百科-内控
IT审计就是信息系统审计,主要介绍审计的历史和发展,对象、范围和意义对象、范围和意义计划。
知识方面的要求如下:
信息系统计划、开发和运营相关的知识: 信息系统构成相关的知识; 信息化战略、构想、提案、立项等相关的知识; 系统设计、程序设计、软件测试等相关知识; 系统 *** 作、数据管理等相关知识;
能力方面的要求如下: 系统审计的相关能力; 审计的立项、分析、评价相关的能力;信息收集、审核、审计方法掌握、技巧运用方面的能力;审计报告制作能力;
IT审计师必须具备全面的计算机软硬件知识,对计算机网络和信息系统的安全性具有高度而特殊的敏感意识,而且对财务会计和企业内部控制具有深刻的理解能力,要懂管理、懂经济、懂审计、懂计算机、懂内部控制、懂网络技术,既是审计专家,又是信息系统专家,以对计算机信息系统及软硬件的技术性审计来保证计算机审计质量的可靠性。
企业信息化绩效评价是一项涉及范围广、内容复杂的系统工程,无论是评价工作的组织实施,还是评价结果的具体应用都必须遵循一定的制度规范。企业信息化建设向着纵深发展,必然要在更深层面上解决体制和机制问题,从宏观层面建立并推行企业信息化绩效评价的有关工作制度。1 政府通过政策法规进行引导由于企业自身的局限性,企业对绩效管理的认识需要经历一个从被动接受到主动认识的过程,如果仅靠企业自身逐渐建立和完善绩效管理制度将是一个漫长的过程。政府的政策推行和立法引导是完善企业绩效管理制度的捷径,有助于从宏观上创建重视绩效管理的氛围,由强制执行逐渐引导企业走向自主进行绩效管理的正轨。美国在推行IT绩效管理制度方面,政府起到非常重要的引导作用。自90年代以来,美国相继颁布了各种法令,通过政府行为引导组织重视IT的绩效。下面列举了一些美国政府所采取的措施:1990年颁布的《首席财务官法案》(CFO法):要求在对机构审查时关注财务声明中的绩效信息,包括系统评价信息,机构应该制定年度绩效计划,采用可度量的、可比较的绩效指标衡量相关的输出以及服务的水平。1993年与1994年,分别颁布了《政府绩效与成果法案》和《联邦获取简化法案》(FASA):法案要求联邦机构在评价时要考查成本、绩效、规划等几个方面。确定是否有耽误进度、超支、与能力不符的现象存在,该法案实际上将规划与责任、绩效统一起来。1995年,颁布了《削减纸张法案》。该法案要求机构建立信息资源管理目标,通过IT改善生产力与效率,主张通过工作过程重新设计以及IT的应用提高政府部门的工作效率。机构需要对IT的成本收益进行分析,并进行信息系统实施后的审查、验收以及文档的管理等。1996年,颁布了Clinger-Cohen法案;该法案要求制定利用IT改进目标的计划。绩效评价目标必须评价IT如何支持机构的计划、机构必须制定基准,在成本、速度、生产力、输出、质量、成果等方面提供一个可比较的基准,确保IT投资有效支持组织使命的管理过程。此外,年度绩效评价应该说明IT在机构中的具体运营情况。这些相继出台的立法都要求IT绩效管理的改善,并强调实施的责任以及强调结果导向的管理。法案中定义了成本绩效以及进度目标,提出通过IT来简化联邦组织的计划,这些法案的颁布促进了结果导向的绩效管理的发展。这些法案的颁布对IT绩效管理起到积极推动的作用。组织的高层领导不得不增强对IT绩效的重视程度。然而,对组织机构的管理者而言,其最终目标不只是要建立符合这些法令和法规要求的形式,而是如何使用有效的IT管理方法和系统来管理和衡量绩效。因此,绩效管理逐渐由政府强制执行过渡到企业要求自主评价的轨道上。美国政府在绩效管理的这套做法对我国也具有很强的借鉴意义。目前,我国政府已经通过法律规章制度对信息系统的开发、运行以及维护过程进行控制,以确保信息系统的安全与质量。尤其对于政府公开政务、银行、保险、国防安全等对安全和实时响应的要求很高,并关系着国际民生的信息系统,都通过法律和制度进行严格控制。对于一些上市公司,为了保护投资者的利益,法律法规方面的外部控制也起着很大的作用,必须按照一定的规章制度来进行。这说明我国政府在保证信息化的质量上已经发挥了重要作用。随着政府对信息化绩效的日趋重视,也会采用法律和制度的手段来规范企业信息化的绩效管理,出台相应的制度规范。例如,可以通过研究制定“企业信息化绩效评价办法”、“企业信息化绩效评价方法选择及工作程序”、“企业信息化绩效评价指标设置及标准选择”、“企业信息化绩效评价结果应用”等一系列统一的制度规范,对全国企业信息化绩效评价工作规则、工作程序、组织方式及结果应用等进行明确,这对推动信息化建设朝着理性、有序的方向发展具有非常深远的意义。2 引入IT审计制度要想实现信息化建设健康发展,虽然法律规章制度起到非常重要的作用,但是这远远不够。必须在业界范围内通过行业监控的形式来规范,落实组织内部控制及政府与市场监督体系的动态机制。目前,国内已经逐渐开始引入国际上较为通行的IT审计制度,来加强对整个信息化建设的控制。IT审计是一项独立的验证活动,主要是由独立的具有资格的第三方进行的对IT的有效性、效率和安全性进行审计。IT审计制度能够有效地控制信息资源投入的风险,从而确保信息资源的增值,有效地规范行业秩序。鉴于中国IT服务业未来巨大的增长空间,国际知名咨询顾问公司、专业技术服务提供商等纷纷抢滩中国市场,提供符合国际标准的信息系统审计服务,这也对我国发展IT审计起到一定的推动作用。3 发展第三方咨询服务发展第三方咨询服务也是促进绩效评估制度建立的一种有效举措。鉴于企业IT应用项目的复杂性,没有经历过实际项目的人根本无法把握整个项目的推进和有效规避风险,因此,企业需要第三方咨询服务机构即借助专业的IT管理咨询公司的帮助。通过独立的第三方提供的信息化管理诊断和业务流程优化咨询服务,对其信息化系统建设过程描绘清晰的远景,建立基于核心竞争战略的、以IT战略为主导的信息化总体规划,并建立基于IT战略规划的业务流程功能模型。第三方的管理咨询公司可以为企业用户提供从前期的IT战略咨询、信息化管理诊断、业务流程优化、信息化项目可行性研究、信息化系统总体规划、信息系统设计。在信息化实施过程中,第三方可以为信息化项目界定实施中与实施后评价标准,建立甲方、乙方沟通协调的平台,建立完整的企业信息化绩效评估体系,避免由于需求不明确、评估标准不统一而导致的企业信息系统建设延期的现象发生,从源头上降低信息化失败的风险,最终改善企业信息化绩效。
作者:No Kidding
链接:>
技术类:
市面上所有主流ERP系统的基本原理和实现机制,包括但不限于SAP、Oracle ERP、用友、金蝶等。
所有主流的 *** 作系统和数据库的基本原理和 *** 作,包括但不限于BD2、Oracle、SQL Server、mySQL、Linux、Unix、Windows等。
审计和会计的部分知识和理论,包括但不限于不同行业的收入确认准则、成本会计、内部控制相关的所有内容、整体审计流程等。
证监会、银监会、保监会对下属企业的IT风险管理和审计指引。
国际上主流的最佳实践和标准,包括但不限于Cobit 41以后的版本、COSO、ISO 2700X、巴塞尔协议、萨班斯法案等。
不同行业的行业风险、舞弊风险以及证监会审核的重点关注点,比较重要的有游戏企业的收入确认和异常账号筛选方法、电子商务、直播、互联网广告、在线教育等新兴互联网行业的收入完整性和准确性验证方法。
不同行业的业务流程(包括但不限于采购、生产、销售、人力资源、信息系统、财务报告、固定资产、无形资产等)标准做法、风险点及常见控制方法。
ITGC、AC、Journal Entries Testing等的测试方法和内容。
随时学习更新的各种法律法规,包括但不限于审计准则、会计准则、网络安全法、各种内控相关的标准,能够从各种法律法规的更新中识别出可以提供的服务和衍生新的业务。
其他小众的业务要活学活用了。
非技术类的内容有:
商务写作能力,包括但不限于底稿、审计报告、咨询报告、管理建议书、标书、服务建议书等的编写;
演讲能力:竞标、项目启动会、项目离场会、证监会沟通等都要用到。
项目管理能力:商业谈判、竞标、业务约定书签订、人员排班、项目整体计划、测试计划、访谈计划、项目内成员沟通、重大事项解决、质量复核沟通、项目底稿和报告编写和审阅、报告出具、发票开具、客户催款等。
管理能力:能够带领团队克服各种困难开心的完成任务就是目标,这点很难。
沟通能力:理解项目需求、引导合伙人和客户的预期、难点事项沟通解决、能和券商、客户、律师、财审团队有效沟通、主动沟通了解下属员工的想法和难处、主动沟通和思考领导的需求。要能跟客户的董事长、CEO、CFO、CIO、COO等各种O和部门负责人谈笑风生。
英语读写能力:现在跟老外客户和国外同仁的电话会议非常多,在会议上能有效沟通;可以出国完成项目;级别高了以后会有各种国际会议。
逻辑思考能力:在项目和各种事情错综复杂的情况下能冷静思考、认真观察、仔细调查,寻找最优解决方案。
市场宣传能力:对咨询类项目、法务鉴证类项目会制作各种宣传资料,有能力参加各种峰会和论坛并且发言,同时要不漏声色地加入各种软文和推广自己的业务。
谭小芳老师认为COBIT以其关注业务、面向过程、基于控制和度量驱动的主要特性,能够对IT和业务进行联系和控制。COBIT主要是一种IT治理工具,同时还可作为建立和改善企业的IT内部控制和进行IT审计的指南。COBIT的四个领域关注的是组织信息化建设的整个生命周期,因此对于我国的企业的信息化建设也具有指导意义。
(一)作为IT治理的核心模型
有效的IT治理必须保证组织战略与IT战略的一致性,以组织战略作为IT建设与运行的根本指导。对IT进行角色定位,从业务的视角创造信息技术指导原则,充分利用组织的现有资源来满足关键需求,避免建设的信息系统无法有效地支持组织的决策。
COBIT定位于IT治理的目标和范围,并与企业的治理准则相协调。COBIT认为IT治理是管理层和董事会的责任,它通过领导、组织结构和相应的过程来确保IT支持并拓展组织的战略和目标。它是一个集管理、问责制和监督为一体的质量控制系统。COBIT将一些最佳惯例进行整合并制度化。来确保组织的IT支持业务目标。从IT治理的五个关键领域来看,战略协调、价值交付、风险管理、资源管理和绩效管理都与COBIT的目标、标准、惯例和成熟度模型建立了映射关系,这使得IT治理在实践中可以做到有的放矢。
(二)作为企业信息化建设的实施指南
我国企业信息化建设普遍存在以下问题:欠缺长期的、整体的规划;重建设。轻管理;萤收益考量,轻风险与成本管理;重技术、工具,轻过程、知识;企业业务战略变化较大带来的用难。这些问题的根源在于缺乏对信息系统建设、应用的控制机制。缺乏每个环节上的控制目标,信息系统没有满足业务需求,或者在使用中由于缺乏有效手段,而导致使用效率过低,进而影响到业务的正常运作。
COBIT的4个领域涵盖了IT规划、建设、运行和监控整个生命周期,每个过程都有清晰的控制目标、成熟度模型,明确了过程的角色和职责,将各种目标统一于COBIT控制模型。COBIT的这些特性可以让企业从业务战略的高度来分析和设计信息系统,而且借助于控制只标和成熟度模型,可以让成本效益原则在信息化建设过程中得到更好的贯彻。过程角色和职责的明确,既是科学管理原则的贯彻,也能够弥补信息化建设过程中制度的缺失。
(三)作为建立和优化IT内部控制的参考
许多国内企业管理者对内部控制的理解目前仍停留在人工控制的层面,尚未建立一套完善的信息技术内部控制来降低大量使用关键的信息系统而面临的风险。这主要体现在:IT部门之间以及IT部门与业务部门之间缺乏有效的沟通来保证信息技术部门的工作能够充分满足业务的需要。企业缺乏有效的IT内部审计机制来监督信息技术部门的工作,缺乏完善的对数据及系统的访问控制管理,缺乏对系统变更的有效管理,缺乏完善的系统开发管理,缺乏完善的系统运行控制,导致系统发生故障时无法及时发现解决故障而造成数据的丢失等(高智纬,李可,2006)。这些问题是那些大量应用信息系统的国内企业所亟待解决的,否则风险威胁一旦转变为现实的损失,损失程度将可能是企业难以承受的。
COSO虽然是理解和评价内部控制的全球性框架,但它是一个高度抽象的概念框架,没有对具体的控制目标和控制活动做出指引,更没有针对IT环境提出具体的控制要求,因而其对于IT环境的应用价值大打折扣。COBIT是一个信息技术风险管理和控制框架,而非内部控制框架,它依然是以COSO框架为基础,围绕IT控制环境的若干方面提供概括性的指引,COBIT不仅在其控制同标与COSO的控制目标之间定义了清晰的联系,而且还将它的34个过程与COSO的5个要素之间建立了映射关系。COBIT针对IT环境制定了一系列详细控制目标,并将这些控制目标置于一个逻辑性的控制结构下,其应用性较强。因此可以说,COBIT框架是IT环境下COSO框架的有益补充。
对于尚未建立IT内部控制的企业而言,可以根据风险评估的结果,对一些关键控制点进行控制。对于已经初步建立了IT内部控制的组织。可以参照COBIT的要求对企业IT内部控制现状进行分析,找出差距,进而确定需要增加或者完善的控制点,对每个控制点的控制活动必须进行清晰的描述和文档化,这些控制活动必须具备可 *** 作性和可检验性,最终形成IT控制矩阵。企业必须完成一整套与IT控制相关的文档,随后通过细致扎实的工作落实已被确定的IT控制点,从而使IT控制得到贯彻实施。
(四)作为IT审计的工具
IT审计的目的就是要从制度保障方面,彻底解决信息系统规划、建设、实施、维护和控制过程中,与企业业务、管理和战略的融合问题。通过量化的方法,衡餐信息系统对企业业务带来的影响.进而评估这些影响种的风险因素和价值因素,有目的地对信息系统的质量、方法、过程和绩效,出具类似财务审计意见的报告。以便企业董事会和管理层能够真正了解和把握本企业内信息系统的核心作用。
IT业务流程是COBIT关注的焦点,对每一个lT业务流程。COBIT提出了一系列的控制目标、相应的实现这些控制目标的控制程序,评价这共控制程序是否存在,并被有效执行的一系列审计程序。该标准为IT治理、安全与控制提供了一个普遍适用的公认标准,以辅助管理层进行IT治理。为了改善对IT过程模型的理解,COBIT为每个IT过程进行了定义,对每个过程及基本输入/输出及与其他过程的关系进行了描述,确定它从哪个过程来,到哪个过程去,或是否有其它路径。这些输入,输出的连接使COBIT中的关键过程被确定下来。方便审计人员对审计对象及其相关控制的理解。
在运用COBIT实施IT审计时,可从COBIT有关过程中的控制目标入手,进行风险分析,得出与该过程相关的风险控制目标,再从风险控制目标中导出与该目标相关的风险控制点。针对每个风险控制点,结合企业自身的技术特色,找出其所包含的风险检杳点,风险检查点又可以组成对相关部分的检查表。针对检查的结果,与COBIT相关部分中的要求相比照,找出相关的薄弱点,并就此提出相应的改进意见。风险控制目标和风险q查点之间的推导方式主要有两种,一种是自下而上,即从具体的管理过程或技术实施措施人手。从中得出相应的风险控制点,对相应的风险控制点进行提炼。最后得到风险控制目标;一种是自上而下。从风险控制日标出发.将其进行分解,得到相应的风险控制点并对其进行细分,直到能够直接得出检查点为止。最后将得到的风险控制日标与COBIT相关过程的控制目标相比较,以确保整个信息系统审计目标的完整性。
随着网络技术的发展和普及,企业信息化程度不断提高,生产经营管 理、财务管理和会计核算等均具有了网络信息化的新特点。广大审计工作 者与时俱进,在实际工作中逐步探索计算机审计技术方法和应用领域,审 计效率事半功倍,审计成果显著。计算机技术在审计工作中的运用,是审 计事业发展的一个里程碑,也是审计技术和手段的一场深刻变革。笔者仅 就现阶段计算机审计中存在的不足和未来的发展趋势,谈几点看法。
一、计算机审计发展现状 随着各级审计部门对计算机审计的重视程度日益提高,越来越多的人 参与到理论研究与实践应用中来,为计算机审计工作的发展创造了良好的 局面。但是,由于我国计算机审计起步较晚,基础较为薄弱,所以仍然存 在着一定的不足。 (一)计算机审计软件适用性不强 目前,计算机审计软件的开发,在我国已经形成了一定的规模,比较 有影响力的如“审计之星”、“思博审计”、 “中油审计”等,尤其是“中 油审计”软件,是针对中国石油天然气总公司“中油财务管理信息系统” 开发的财务审计软件,从技术角度上讲,已经是较为成熟的产品,并在实 际应用中取得很好的效果。但是,目前开发的许多审计软件因跟不上业务 需求的发展,往往昙花一现即被弃用,存在着资源浪费严重的问题。 (二)计算机审计领域不广泛 计算机审计资源投入的领域,“贫富悬殊”现象严重。对于电算化会 计这一信息化程度较高的领域,开发出了相对较多的审计软件系统,并已 经很好的应用到实际工作中。而对于非财务信息领域,相应的审计信息系 统建设起步相对较晚,计算机审计水平难以满足对这些行业的审计需要。 因此,加强对这些领域的审计信息化建设已刻不容缓。 (三)计算机审计应用水平不高 几年来的摸索与实践,为审计行业造就了一批计算机审计人才,这些 人才为计算机审计工作的发展起到了关键的作用,但是计算机技术的普 及,对于审计队伍来讲还不能满足需求。一方面,部分审计人员虽然有丰 富的传统审计专业知识和经验,但由于历史、客观的原因使他们在计算机 知识结构上有一定欠缺;另一方面,绝大多数的审计人员虽然掌握一定的 计算机知识,但仅仅掌握的是浅层次的计算机运用技能,缺乏对计算机程 序编译检测、系统设计等专业技能。 (四)计算机审计法律依据不充分 随着电子商务技术的不断发展,电子货币流通、电子数据审核、电子 合同审核、电子签名辨别等网络信息技术的运用也越来越广泛,伴随而来 的信息系统合理性、安全性保障措施、网络信息资源的所有权、使用权认 证、认证中心和数字证书的法律地位等,都需要制订法律法规加以规范。 鉴于此,完善计算机审计立法工作,时机已经日趋成熟。
二、计算机审计发展趋势 (一)计算机审计是促进审计工作向管理效益审计延伸的主要手段 随着计算机审计理论和实践水平的不断提高,计算机审计将会广泛的 深入到各个领域,通过计算机审计手段,能够从管理制度和管理环节入手, 审查企业管理中存在的漏洞,揭发违法乱纪行为,发现企业管理存在的不 足。通过计算机审计,对被审计单位经济活动的效率、效果和效益等方面 进行检查和分析以及提出建议,促使其经济效益提高。在将来,一个合格 的审计工作者必须要熟练掌握计算机审计手段。 (二)运用计算机技术对信息系统审计是内部控制审计的重要环节 由于企业信息网(包括网络办公自动化、行业信息管理、电子商务等 系统)拥有多样化的信息资源,采用多种网络信息技术,系统较为复杂, 舞弊手段更加隐蔽,因此,网络数据和网络资金安全成为一个非常重要的 新问题。在这种情况下,审计人员关注的重点在于内部控制的符合性测试 和具体业务实质性测试方面,整个信息系统运转的核心也是系统程序对内 部控制的落实上。 (三)计算机审计软件的开发将更注重网络化、智能化和专业适用 性 随着电子计算机的人工智能和软件技术的日益发展,审计工作将与 计算机技术更加紧密地结合在一起,而计算机对于被审计数据的预警、综 合分析、穿透查询等功能将更加强大。未来的审计软件设计将更加注重与 审计人员的实际工作相结合,从审前调查、行业咨询、网络信息互动、方 案的设定、数据查询、数据分析、数据取证、底稿、报告的形成都与审计 人员的职业判断能够紧密地结合,成为审计人员手中的“超级武器”。计 算机审计与科技的共同进步,使计算机审计的前景将更为广阔。
三、进一步推进和深化计算机审计的对策 (一)整合计算机审计资源 1整合软件资源。为避免在软件开发上的重复建设而造成的资源浪 费,在资金、技术、软件开发、推广、应用、后期维护等方面应进行信息 互动,集中整合。及时根据一线审计人员实际应用的需求,对软件进行更 新维护,加强实用性,延长使用寿命,最大限度地发挥软件的整体功能。 2整合人力资源。 企业计算机审计系统是构建于通用计算机技术、数据库技术、 INTERNET 技术等当代先进信息技术基础上的,以企业信息网为平台,应 用专业的审计软件进行审计。因此,审计工作需要得到技术部门的全力支 持。如果审计队伍本身具备相应的人才,也可以成立专门计算机审计机构, 负责技术的开发与推广。 (二)注重利用通用计算机技术对信息系统进行审计 计算机审计技术的应用,首要的一点是其实用性,由于信息管理系统 种类多样,应用的专业和范围广泛,逐一开发出相应的审计软件较为困难, 因此,利用通用计算机技术对被审计单位信息管理系统的相关数据进行破 解,整理和分析,往往能够使审计工作起到事半功倍的效果。大庆石油管 理局在开展设备修理行业专项审计中,应用此方法就取得了很好的效果, 而且通用计算机技术实用性强,审计人员比较容易掌握。 (三)开展行业或部门系统软件的开发审计 这主要是针对企业自行开发软件而言,如企业信息网络平台、物资进 销存系统、设备修理结算系统和电子商务系统等开发审计,是一种事前审 计。审计人员参与电算会计或审计软件开发,从而使系统具有较强的可审 性。对企业而言,有审计人员参加,检查系统是否运行正常、可靠、准确, 减少由系统弊端带来的损失。 (四)加强对企业内部信息系统使用的规范和监管力度 由于不同部门,不同行业的信息管理系统应用和使用状况不尽相同, 因此,审计部门必须全面掌握其应用情况,计算机审计工作必须建立在全 面了解信息系统应用和普及状况的基础上。同时与相关管理部门共同督促 使用者加强信息系统管理力度,保障信息系统提供数据的准确性,为今后 全面开展计算机审计工作创造有利条件,并规避可能出现的计算机审计风 险。
综上所述,利用计算机审计技术促进传统审计手段向现代审计转型, 有效地发挥审计监督职能,是审计工作发展的必然趋势,是拓展审计空间 的重要途径,必将对审计事业发展产生深远的影响。
Audit审计中生产环境和系统访问授权给谁,一般来说,应该授予给那些负责管理生产环境和系统的专业人员,以及具有良好的安全意识和责任感的管理人员。这些人员应具备相关的安全知识和技能,以确保安全控制的有效实施。同时,他们也应具备良好的审计意识,能够及时发现可能存在的安全问题,并及时采取有效的措施,以确保系统的安全运行。
以上就是关于信息系统审计概念及其四个国际准则论文全部的内容,包括:信息系统审计概念及其四个国际准则论文、内控中提出的ITGC和ITAC是什么意思、请教 上市公司IT审计等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)