it内部审计论文精选(九篇)

第1篇：it内部审计论文范文

［关键词］ IT；风险管理；责任主体；合规

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 06. 022

［中图分类号］ F272.35 ［文献标识码］ A ［文章编号］ 1673 - 0194（2012）06- 0045- 03

1 问题的提出

信息技术迅猛发展和深入应用使得企业的日常运营越来越依赖于IT系统，企业信息化的规划、实施、运行维护等各阶段都存在着各种风险，IT相关风险正成为管理层、监管部门重点关注的对象，IT内部控制与风险管理也逐渐成为企业内部控制与风险管理的重要组成部分。对于当前我国企业而言，谁应该成为IT风险管理的责任主体，董事会、IT战略委员会、IT监管部门、内部审计部门、外部审计、风险管理部门、IT日常管理部门等在IT风险管理中各承担哪些责任，我国企业在当前IT风险管理相关部门设置情况如何，为了弄清上述我国企业IT及其风险管理的责任主体的相关问题，笔者在理论分析和问卷调查的基础上，整理了相关的调查数据，统计并分析了我国企业在责任主体设置方面的分布特征。

2 IT风险管理责任主体的最新理论框架

与IT风险管理责任主体研究有关的最新的综合性理论框架为国际信息系统审计与控制协会（ISACA）于2009年12月颁布的IT风险管理框架。ISACA在IT风险管理框架中，定义了IT相关风险管理的一系列主体，并指出了各主体应在某一方面或某几个方面负责或承担责任。就某一特定方面而言，只有一个主体为负责部门，其他主体或承担部分责任，或没有责任。当然，该框架也说明由于每个企业的组织机构与职能部门设置情况并不完全相同，作为理论框架，只是提供原则性的指导，没有必要与某一具体企业的组织机构与职能部门完全一致，因此，在该框架中，对每个责任主体的定义只是进行了简洁描述。IT风险管理框架下的IT风险管理责任主体及承担的责任如表1所示。

资料来源：ISACA，Risk IT Framework，USA，2009．12．

3 我国企业IT风险管理相关的主要责任部门及责任探讨

如上述框架所述，不同企业的组织机构与职能部门设置情况并不完全相同，就我国而言，近年来，各方面的监管层出台了大量的规范，如《企业内部控制基本规范》、《中央企业全面风险管理指引》、《信息技术服务运维通用要求》、《商业银行信息科技风险管理指引》、《证券公司信息技术管理规范》等等，都对IT的相关风险做出了明确的规定及要求，企业已经进入了“合规年代”。当前我国企业的IT风险管理的责任部门主要包括：IT战略委员会、IT监管部门、IT日常管理部门、内部审计部门和风险管理部门。

其中，IT战略委员会应由企业的最高管理层及管理执行层包括IT管理和业务管理有关部门负责人、管理技术人员组成，定期召开会议，就企业的企业战略与IT战略的驱动与设置等议题进行讨论并做出决策，为企业IT及其风险管理提供导向与支持。IT监管部门分为企业外部和企业内部。

企业外部监管部门主要包括工业与信息化部、财政部、审计署、证监会、银监会等政府机构，从各自负责的领域对企业信息技术的相关方面提出监管标准和要求。企业内部的IT监管部门主要负责公司信息技术方面的评价、监督以及合规方面的检查。

“建立有效、健全的信息系统内部控制制度”这一责任的主要承担部门是IT日常管理部门。外部审计员对董事会负责的，协助董事会的专业委员会来确认和分析技术风险的程度，包括企业内部网与因特网在内的任何直接或间接影响财务报表或其他至关重要资料的数据或处理系统。

内部审计员协助董事会的专业委员会执行IT实务和系统的控制检查，并向委员会推荐合适的改进措施用于参考和实施。IT风险是企业风险管理体系至关重要的组成部分，与企业其他风险管理程序类似，需要运用企业风险管理的相关原则与方法，结合IT活动的特点，执行风险管理程序。

风险管理部门需要指导并参与IT相关风险管理，即识别风险、分析风险、制订IT风险工作计划、跟踪风险、应对风险，并借助于定期、不定期的检查风险防范措施的落实情况，通报检查结果，将风险管理过程纳入到日常管理中。

4 对我国企业IT风险管理相关责任部门设置的现状调查与分析

笔者于2010年7月-2010年9月进行了多次调查，调查形式分为现场纸质问卷以及远程网络问卷，其中，在2010年用友技术大会、2010年国资企业IT能力建设高峰论坛、2010年中国信息安全年会上共发放现场纸质问卷165份，回收114份，有效问卷数为97份，现场纸质问卷的有效回收率为58．79％，在线发送远程网络问卷调查邀请60次，在线回收数据14份，剔除不完整问卷2份，有效问卷数为12份，远程网络问卷的有效回收率为20％，最终用于数据分析的有效样本数为109份。

4.1 样本企业IT风险管理责任部门设置的总体情况

如表2所示，从企业来看，IT日常管理部门的设置最为普遍，有97％的企业设置了IT日常管理部门；内部审计部门设置情况较好，有82％的企业设置了内部审计部门；风险管理部门的设置情况一般，有不到七成的企业具有风险管理部门；IT战略委员会的设置情况最差，仅有不到六成的企业具有IT战略委员会。这一结果表明：我国部分企业还没有把IT纳入战略层面考虑的范畴，还停留在操作层面的IT日常管理工作上，作为传统的内部控制监督与检查部门，内部审计部门已成为绝大多数企业的常设机构，一半多的企业具有了较强的风险管理意识并将风险管理部门作为常设机构。

4.2 不同类别企业IT风险管理相关部门设置的情况

笔者按照不同经济成分企业、不同规模企业、不同上市状况企业进行了分组统计和比较，结果如表3所示。

表4表明，总体上看，三资企业类的企业IT风险管理相关部门设置情况最好，比重均为第一。其次为中央国有企业，民营企业与集体企业部门设置情况较差。具体来看，除了个别民营企业外，样本企业均有IT日常管理部门。地方国有企业最不重视IT战略委员会的职能，民营企业最不重视内部审计部门、风险管理部门的设置。无论是企业还是子公司，规模大的企业IT风险管理相关部门设置比例明显高于中小规模的企业。总体上看，无论是企业还是子公司，有香港或海外上市公司的企业IT风险管理相关部门设置比例都是最高的，除IT监管部门外，仅有大陆上市公司的企业IT风险管理相关部门设置比例第二，无上市公司的企业设置比例最低。

4.3 被调查者对企业高层应讨论IT哪些风险的看法

为了了解被调查者对企业高层应讨论IT哪些风险的看法，笔者在问卷中设计了一道多项选择题“IT的哪类风险应由企业高层会议讨论”，列出了IT投资风险、系统建设风险、系统运行维护风险三类风险，以及“都不是”与“不确定”两个选项。调查结果如表4所示。

结果表明，选择“都不是”的仅有15％，选择“不确定”的仅有8％，两者相加的比重为23％，即有将近八成的被调查者认为高层应讨论IT相关风险，这一结果说明绝大多数被调查者均认识到IT相关风险不仅是公司操作层、战术层应关注的，还应上升到战略层进行讨论。在三类风险中，被调查者认为高层应讨论IT系统建设风险的比重最大（为40％），认为应讨论IT投资风险的接近40％，说明投资风险与系统建设风险是应上升到战略层考虑的风险，而系统运行维护风险往往是战术层或操作层考虑的风险。

5 结论与建议

当前我国企业的IT风险管理的主要责任部门包括：IT战略委员会、IT监管部门、IT日常管理部门、内部审计部门和风险管理部门。我国企业IT日常管理部门的设置最为普遍，但当前我国部分企业还没有把IT纳入战略层面考虑的范畴，还停留在操作层面的IT日常管理工作上，作为传统的内部控制监督与检查部门，内部审计部门已成为绝大多数企业的常设机构。从规模特性来看，特大型企业IT风险管理相关部门设置比例明显高于非特大型的企业。从上市情况来看，有香港或海外上市公司的企业IT风险管理相关部门设置比例都是最高。被调查者认为投资风险与系统建设风险是应上升到战略层考虑的风险，而系统运行维护风险往往是战术层或操作层考虑的风险。

由此，笔者提出如下建议：

（1）要建立健全IT风险管理的组织机构，其中的重点是建立IT战略委员会，发挥IT战略委员会在战略层面IT风险管理中的作用。此外，还应重视建立风险管理部门，把全面风险管理作为专业职能部门的职责，在指导全部关键资产的风险治理机制方面发挥指导作用。

（2）做好相关人员的培训工作，风险管理意识方面，要加强对相关人员风险意识的培养，树立IT投资的成本效益观念。提高各部门负责人的战略风险意识。知识能力方面，要加强企业内部的复合型人才培养和队伍建设工作，企业自身才是IT风险管理的主体，应该注意培养自己的人才队伍，学习如何识别、收集、评估、主动控制IT风险方面的系统化知识和专业化的方法。

主要参考文献

第2篇：it内部审计论文范文

［关键词］ it审计；挑战；策略

随着信息技术的兴起，信息系统已经渗透到社会生活的方方面面，它在给人们带来便利与效益的同时，也带来了很多负面影响，如计算机犯罪案件的频频发生等，系统安全问题日益严峻。于是一个不容回避的问题——我国企业如何有效地开展信息技术审计（information technology audit，以下简称it审计），保证信息系统安全，摆在我们面前。本文拟对此进行探讨。

一、it审计的定义及其特点

it审计是指对信息系统从计划、研发、实施到运行维护各个过程进行审查与评价的活动，以审查企业信息系统是否安全、可靠、有效，保证信息系统得出准确可靠的数据。由以上定义可知，it审计的目标是保证it系统的可用性、安全性、完整性和有效性，最终达到强化企业内部控制的目的。

该审计过程具有以下特点：

1.it审计是一个过程。它通过获取的证据判断信息系统是否能保证资产的安全、数据的完整和组织目标的实现，它贯穿于整个信息系统生命周期的全过程。

2.it审计的对象综合且复杂。it审计从纵向（生命周期）看，覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务；从横向（各阶段截面）看，它包含对软硬件的获取审计、应用程序审计、安全审计等。it审计将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。

3.it审计拓宽了传统审计的目标。传统审计目标仅仅包括“对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见”；但it审计除了上述目标外，还包括信息资产的安全性、数据的完整性及系统的可靠性、有效性和效率性。

4.it审计是一种基于风险基础审计的理论和方法。it审计从基于控制的方法演变为基于风险的方法，其内涵包括企业风险管理的整体框架，如内部环境的控制、目标的设定、风险事项的识别、风险的评估、风险的管理与应对、信息与沟通以及对风险的监控。

二、我国it审计面对的挑战

it审计和传统审计相比具有的上述特点是吸引我国众多企业引入it审计的重要原因，但是这种方法的应用又会给企业提出巨大的挑战。

1.传统审计线索的消失。在手工会计环境下，审计线索主要来自于纸质原始凭证、记账凭证、会计账簿和会计报表，这些书面数据之间的勾稽关系使得数据若被修改可辨识出修改的线索和痕迹，这就是传统审计线索的基本特征。但是现在计算机网络信息系统中这些数据直接记录在磁盘和光盘上，无纸张记录，审计人员用肉眼无法直接看到这些数据如何记录，且非法修改删除原始数据也可以不留篡改的痕迹，从而为舞弊人员作案留有可乘之机。尽管许多审计机构要求已实现会计信息化的企业将所有原始凭证、记账凭证、账簿、报表打印输出，使用绕开计算机系统的审计方法，并以打印出的证、账、表作为基本审计的线索和依据。但是如果原始数据在业务发生时就被有意篡改，则其派生的记账凭证金额和账户余额及报表数据也一定会出错，打印出的数据也不能作为审计证据。因此即使打印出所有电子数据，传统审计线索也会在计算机信息系统下完全消失。

2.计算机信息系统的数据安全面临挑战。手工信息处理的环境下，审计人员无须将数据和会计信息的安全性问题作为审计的重要内容，但是在it审计的工作中，网络电子交易数据的安全是关系到交易双方切身利益的关键问题，也是企业计算机网络应用中的重大障碍和审计的首要问题。例如计算机病毒的破坏、黑客用 ip地址欺骗攻击网络系统来获取重要商业秘密、内部人员的计算机舞弊、数据丢失等，都是传统审计从未涉及的，但又是it审计的重点，这对当前我国的审计工作无论是操作系统，还是制度建立等众多方面都是一个很大的挑战。

3.it审计专业人才匮乏，适应it审计事业发展的人才培养和管理机制还有待建立和健全。由于it审计固有的复杂性，这项工作需要具备会计、审计、组织管理和计算机、网络技术等综合知识的人才，而且工作人员需要对内部控制和审计有深刻的理解，对信息和网络技术有敏锐的捕捉能力，在我国获得注册信息系统审计师资格的人数远远不能满足信息系统审计业务的需求。

三、我国it审计应对策略

面对上述挑战，我们应当多方位、多角度制订措施，使it审计工作更好地为我国企业发展做出贡献。具体措施如下：

1.审计线索的重建。根据计算机网络系统容易在不同地方同时形成相同“原本”数据的特点，可以重建电子审计线索：在电子化的原始数据形成时，同时在审计机构（包括内审机构）和关系紧密（签字确认）的部门形成原始数据的“原本”，或在不同部门各自形成相关的数据库（特别应当包括数量、金额和单价等主要数据项），这样不仅可以相互监督和牵制，还给计算机审计提供可信的审计线索。这种保留审计线索的方法，一方面成为有力的控制手段，另一方面可从审计线索中发现疑点。这种方法主要是应用专用的审计比较软件，同时将几个部门的同一种数据库进行自动比较形成有差异的数据记录文件，详细审查相关的数据文件和访问有关的当事人，从而取得有力的审计证据。上述比较审计方法是在不同部门同时形成业务数据文件的情况下应用，如果企业业务数据分离存放，如销售合同与销售发票、提货单在不同的部门保存，这种实质性测试也可采用比较审计法，应用专用的审计软件，结合相关的几个业务数据文件进行比较，查出有错误疑点的记录。

2.确保信息系统的信息安全。为了保证信息系统的信息安全，it审计工作人员要在审计过程中评价企业的防火墙技术、网络系统的防病毒功能、数据加密措施、身份认证和授权的应用实施情况，通过面谈实地审查企业安全管理制度建立和执行的情况，查看企业是否为了预防计算机病毒，对外来的软件和传输的数据经过病毒检查，业务系统是否严禁使用游戏软件，以及是否配置了自动检测关键数据库的软件，使异常及时被发现；检测企业是否为了防范黑客入侵，网络交易的数据库采用离散结构，同时在不同的指定网点（如在交易的双方）形成完整的业务数据备份供特殊使用（如审计和监控）；此外it审计人员还要注意检查企业的信息系统岗位责任实施、安全日志制度，审查有关计算机安全的国家法律和管理条例的执行情况。

3.建立一支完备的it审计专业人才队伍。it审计的发展必须有一大批专业化的it审计人才，这就要求我们要采取短期培训和长期培养、操作层面上的培训与高层次人才的培养、在职人员培训与未来人才培养相结合的方法将这支队伍逐渐发展起来。此外我国可以从现有的审计队伍中选拔人员进行专门的信息系统审计培训，并考虑在注册会计师的资格考试和审计师职称考试中逐步加入计算机、信息系统和网络技术等与信息系统审计有关的内容，以及加强对从事信息化咨询的it技术人员的会计与审计知识的培训。为了培养未来审计人员，应在高校会计、审计专业教学计划中增加信息技术和电子商务等内容，也可以考虑在高校中开设信息系统审计专业，直接培养信息系统审计专业人才。

当前我国it审计正处于起步阶段，和传统审计相比，it审计的显著特点决定了其势在必行，但是一种新的方法的引入和实施必定会给企业和审计人员带来巨大的挑战，面对种种挑战我们应采取积极措施，迎难而上，使it审计工作不断发展完善。

主要参考文献

［1］张茂燕． 论我国的信息系统审计［d］． 厦门:厦门大学，2005.

［2］陈朝.我国信息化建设中信息系统审计问题研究［d］．长春：东北师范大学， 2006.

［3］邓少灵． 企业it审计的框架［j］．中国审计，2002（1）.

［4］李健，朱锦淼，王晓兵． it审计——人民银行内审面临的新挑战［j］．金融理论与实践，2003（6）.

［5］李朝阳，胡昌振． 计算机审计系统的防护方法［j］．航空计算技术，2002（1）.

第3篇：it内部审计论文范文

【关键词】 财务报告内部控制； IT内部控制； 评价与审计

一、引言

安然、世通等财务舞弊和会计造假案件的发生，严重冲击了资本市场的正常秩序。结果表明，内部控制存在缺陷是导致企业经营失败并最终铤而走险、欺骗投资者和社会公众的重要原因。为此，许多国家通过立法强化企业内部控制，2002年7月美国总统布什签署了《萨班斯-奥克斯利法案》，日本在2006年6月出台了《金融商品交易法》，而我国也在2008年6月了《企业内部控制基本规范》，这标志着强化内部控制在全球范围内将达到新的高潮。这些法律法规的核心内容是要求所有上市公司的管理层必须对财务报告内部控制进行评估并编制和提交内部控制报告。审计人员对管理层评估的财务报告内部控制进行审核后发表恰当的审计意见。

目前企业的业务内容对IT的依赖越来越大，组织的信息系统与IT高度结合，使得在业务的处理过程中对企业内外IT采取适当的应对成为企业实现内部控制目标必不可少的内容。作为《金融商品交易法》中内部控制的具体操作指南，2007年2月日本企业会计审议会了《关于财务报告内部控制评价与审计准则及其实施准则的制定（意见书）》（简称意见书）。主要包括内部控制的基本框架，财务报告内部控制评价与审计准则（准则）以及财务报告内部控制评价与审计实施准则（实施准则）三部分内容。其核心是要求所有上市公司的管理层从2008年4月1日开始或以后的会计年度必须对财务报告内部控制进行评估并编制和提交内部控制报告，并由审计人员进行审核。意见书中，将IT的对应作为内部控制的一个基本要素，要求对组织内外IT环境和IT的使用和控制与内部控制的其他要素作为一个整体进行评价。这是日本评估和审计财务报告内部控制的一个重要特征。本文在阐述内部控制与会计信息质量关系的基础上，介绍内部控制框架中的IT内部控制，管理层评价和审计人员审计内部控制中对IT内部控制的处理方法。

二、内部控制与会计信息质量的关系

国际公认的内部控制框架是美国的COSO（Committee of Sponsoring Organizations of the Treadway Commission）委员会于1992年的内部控制整体框架（COSO框架）。COSO认为内部控制是由董事、管理层及其他人员在公司内进行的，旨在为经营的有效性、财务报告的可靠性、适用法律法规的遵循性提供合理保证的过程。它由控制环境、风险评估、控制活动、信息与沟通和监控五个要素组成。近年来，以安然、世通为代表的一系列特大财务舞弊事件在全球范围内蔓延，给投资者和债权人造成了巨大的损失，这表明以确保信息披露制度可靠性为目的的企业内部控制制度并没有发挥有效的作用。美国Treadway委员会（1985年成立的反虚假财务报告委员会）在调查中发现，内部控制存在缺陷和内部控制的缺失是影响会计信息质量，产生财务报告舞弊的重要原因，而且将近50％的财务舞弊事件可以全部或部分归咎于公司内部控制失败。因此，内部控制对于降低舞弊行为，保障会计信息质量具有重要的意义。

在日本的意见书中，将内部控制定义为为实现四个目标（经营的有效性和效率性；财务报告的可靠性；与经营活动相关的法律法规的遵守；资产的保全），由组织内部所有人员执行的程序。内部控制由控制环境、风险的评价与应对、控制活动、信息与沟通、监控以及IT的应对六项基本要素构成。其中，将为确保财务报告的可靠性的内部控制定义为财务报告内部控制，将财务报告内部控制的有效性定义为某一内部控制根据合理的内部控制框架予以构建和运行，且该内部控制不存在重大缺陷。与COSO框架相比，日本的内部控制定义在内部控制的目的中加上了“资产的保全”，在基本要素中加入了“IT的应对”。将资产的保全列为企业的目标之一，重在强调资产的取得、使用和处置必须通过正当的程序和授权，这将大大有利于会计信息质量的提高。考虑到自从COSO框架以后，随着IT环境的迅速发展，IT已经广泛和深入地渗透到企业的组织中的实际情况，日本将IT的对应作为内部控制的一个基本要素。相对于COSO框架，日本内部控制框架表述更加严密，更能适应经济环境的发展变化以及日本企业的实际。在信息系统中使用IT的情况下，信息通常由各种业务系统进行处理和提供，这些信息反映于会计系统之中。因此，管理层有必要对确保这些业务系统和会计系统所生成财务信息的可靠性的内部控制进行评价。审计人员也有必要对管理层评价的内部控制进行审核。

三、内部控制框架中与IT相关的内部控制

在前述意见书中，IT的应对作为内部控制的一个基本要素而出现。意见书中将IT的应对定义为为实现组织的目标事先规定合理的政策及程序，根据这些政策和程序，在业务实施中对组织内外的信息技术进行合理的应对。IT的应对，由IT环境的应对和IT的使用与控制组成。所谓IT环境的应对，是指组织活动中必然相关的组织内外的信息技术利用状况，社会和市场中信息技术使用情况、组织进行交易中信息技术使用情况，以及组织选择依存的一系列信息技术的状况等。这主要是强调为实现目标，组织有必要对其所处的IT环境进行了解，在组织范围内制定合理的政策和手续，并为落实这些规定和手续进行合理的应对。而IT的使用与控制是指在组织内部，对为确保内部控制的其他基本要素的有效性且高效地利用信息技术，以及在组织内系统地包含于业务之中的以各种形式利用的信息技术，事先制定合理的政策和手续，使内部控制的其他基本要素更有效地发挥功能。作为内部控制的一个基本要素，意见书指出，IT的应对不是独立于内部控制的其他要素而存在的，但组织的业务内容在较大程度上依赖于信息技术的情况或在组织的信息系统高度运用信息技术等情况下，作为实现内部控制目标来说是不可缺少的要素，它是内部控制有效性相关的判断标尺。但无论是IT环境的应对还是IT的使用与控制，都与内部控制的其他基本要素存在着密不可分的关系，都应将它们与内部控制的其他基本要素作为一个整体进行评价。因此，IT的应对在内部控制框架中的体现是日本信息技术的飞跃发展对组织产生深刻影响的产物，IT内部控制是日本内部控制框架的一个重要特征。

四、管理层对IT内部控制的评价

在管理层评估内部控制有效性时，与美国相似，日本也采用自上而下的以风险为基础的方法。即首先评估对财务报告可信性有实质性影响的公司层内部控制，同时充分评估企业内外的风险并考虑整体上可能对财务报告有重大影响的所有事件。在此基础上再评估业务层的控制，主要侧重可能导致财务报告中重大错报的风险的评估。与美国不同的是，意见书的实施准则部分明确规定由管理层评估使用IT的控制是评估业务水平控制的一项重要内容。实施准则从以下四个方面对使用IT的内部控制进行评价：一是使用IT的内部控制的评价。在这一内部控制中，既包括计算机程序之中的自动化的内部控制，也包括手工操作与计算机处理为一体发挥职能的内部控制。二是评价范围的决定。三是评价单位的认定。四是使用IT的内部控制的构建状况和运行状况有效性的评价。具体地说，IT的控制评价分为IT总体控制的评价和IT业务处理控制的评价。其中，IT总体控制是为确保业务处理控制有效地发挥职能的环境而进行的控制活动，通常是指与多数业务过程控制有关的政策和程序。IT业务处理控制是指为确保所有经过授权的经济活动在企业业务管理系统中正确的处理、记录的控制活动。实施准则列举了评估IT总体控制的设计和运行有效性的具体实例，如系统的开发和维护、系统的运用和管理、系统安全性的确保、委托加工物资的契约管理等。关于评估IT业务处理控制的设计和运行的有效性，实施准则也列示了考虑的要点，包括关于录入信息的完整性、正确性、正当性等确保的控制，错误的修正和再处理，主要数据的维护和管理等。

在管理层对内部控制有效性的判断中，实施准则对IT相关的内部控制有效性的判断专门作出规定。在IT相关的总体控制存在缺陷的情况下，应当检查采用替代的或补充的其他内部控制是否能达到财务报告可靠性的目的。而且IT相关的总体控制的缺陷，由于并不是与财务报告重要事项发生虚假记载风险直接相联系的，不能立即被评价为重大缺陷。但如果IT相关的总体控制存在缺陷，即使IT相关的业务处理控制的构建能有效地发挥功能，也存在不能连续维持其有效运行的可能性，虚假记载发生的风险很高。在IT相关的业务处理控制存在缺陷的情况下，与业务层的内部控制存在的情况相同，应当对其影响程度和发生的可能性进行评价。当手工操作与信息技术成为一体发挥功能的内部控制存在缺陷时，管理层应具体认定缺陷是由手工操作部分产生的还是由IT相关部分产生的。应当注意，在由IT相关的部分产生缺陷的情况下存在着相同种类错误重复发生的可能性。

五、审计人员对IT内部控制的审计

在对内部控制审计时，美国采用直接报告的方式，即由审计人员直接审计和报告财务报告内部控制的有效性。在这种方式下，为审计管理层评估的财务报告内部控制的有效性取得审计证据，审计人员必须计划和实施特定审计程序审计上市公司的内部控制。因此，审计人员和被审单位都要承受过度的负担。然而日本采用只审计管理层对内部控制有效性评估结果的间接报告方式，从而解决了直接审计被审单位内部控制有效性的过度负担的难题。这是日本对财务报告内部控制审计的特点之一。审计人员对管理层进行的内部控制评价的审核也是先审核公司层内部控制的评价，在此基础上再对管理层进行的业务流程相关的内部控制的评价的合理性进行审核。实施准则详细规定了对使用IT的内部控制的评价的审核。主要包括：一是对IT的内部控制的把握。审计人员对于使用手工操作进行控制的部分实施业务流程相关的内部控制评价的审核；对于使用IT进行控制的部分，通过以下对IT相关的总体控制和业务处理控制评价的审核进行验证。二是IT相关的总体控制评价的审核。实施准则详细规定了对系统的开发和维护、系统的运用和管理，系统安全性的确保、委托加工物资的契约管理等各方面审核时应当关注的要点。三是IT相关的业务处理控制评价的审核。实施准则规定了审计人员应当遵循以下手续进行审核：首先通过阅读系统设计书等对企业所期望的会计处理系统的设计进行确认；同时列示了具体的评价项目，包括是否采取为确保录入信息的安全性、准确性、正当性等的措施；是否对错误数据进行合理修订和再修订等。四是利用IT专家。利用专家时，审计人员不仅要对专家是否拥有IT方面的知识进行考虑，而且要对其是否拥有信息系统相关的财务报告产生重要影响的风险评估所必需的知识等进行考虑，同时对该专家的业务是否具有充分的客观性也应进行考虑。在发现使用IT的内部控制相关的IT总体控制的缺陷时，要求立即对其进行完善。因为IT的总体控制是为了保证IT相关的业务处理控制有效地发挥功能的环境而进行的控制活动，如果总体控制存在缺陷，即使为使业务处理控制有效的发挥功能而进行构建，也存在着不能连续维持其有效运行的可能性。但是，由于IT总体控制的缺陷本身并不一定是直接与财务报告重要事项虚假记载发生风险相联系的，如果能够验证业务处理控制现在能有效地发挥功能，就不能因总体控制的缺陷而立即将其评价为重大缺陷。这与管理层评价IT相关的内部控制的有效性的原则相同。

六、结论与建议

近年来，我国证券市场的财务欺诈事件愈演愈烈，这使内部控制的有效性问题得到空前的重视。1997年1月开始实行的《独立审计准则第9号 内部控制与审计准则》、1999年10月通过的《中华人民共和国会计法》、2002年中注协颁布的《内部控制审核指导意见》等，无不证明了我国在评估和审计内部控制的有效性方面取得了重大成就。特别是2008年6月28日财政部、证监会、审计署、银监会、保监会联合了我国第一部《企业内部控制基本规范》，这标志着中国版的“萨奥法案”已正式启动。在基本规范中提出我国内部控制的基本要素包括内部环境、风险评估、控制活动、信息与沟通和内部监督五项，并没有包括IT内部控制要素。随着信息技术的高度发展，组织的业务内容在很大程度上依赖于信息技术，组织的信息系统与IT高度结合，使很多组织离开信息技术就不能进行业务活动。因此，在业务的处理过程中对企业内外IT采取适当的应对理应成为企业实现内部控制目标必不可少的内容。而日本率先顺应了这种趋势，以准则的形式将IT的应对作为内部控制的一个基本要素，并制订了与IT内部控制相关的管理层评估和审计人员审计财务报告内部控制的具体措施，可供我国完善企业内部控制基本规范借鉴。

【主要参考文献】

[1] 日本金融厅企业会计审议会.关于财务报告内部控制评估与审计准则以及财务报告内部控制评估与审计实施准则的制定（意见书）[D].2007.（日语）.

[2] 财政部，证监会，审计署，银监会，保监会.企业内部控制基本规范[D].2008.

第4篇：it内部审计论文范文

一、引言

21世纪，以计算机网络为代表的信息技术进一步迅猛发展，并不断更深入地渗透到生产、生活的各个层面。随着技术要素的渗透，计算机会计信息系统日益普及，计算机审计工作近年来蓬勃发展起来。目前的计算机审计虽然仍是桌面审计，但已逐步摆脱绕过计算机审计阶段，进入到穿过计算机审计、利用计算机审计阶段，并将随着网络经济的迅猛发展，向网络审计阶段进军。目前许多跨国公司已经开始普遍使用大型管理信息系统，但随之产生的问题是，信息系统对生产经营和管理的影响越重大，管理人员面对的经营风险和财务风险也越大。信息风险对企业生存和发展的挑战，使企业对信息系统的依赖程度越大，信息系统安全和运营隐患可能带来的伤害也就越严重。因此，信息系统必须随时置于专家的监控之下。

信息系统审计师，也称IT审计师或IS审计师，是指一批专家级人士，既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全，又熟悉经济管理的核心要义，能够利用规范和先进的审计技术，对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。IT审计师是由“国际信息系统审计与控制协会（ISACA）”认证的。ISACA是国际上惟一的信息系统审计师专业组织。会员被称为信息系统审计师，也就是我们通常所说的IT审计师，其主要从事的工作包括：向客户提供与信息系统相关的服务，在财务审计中对被审计单位的信息系统的了解、测试和评价以及计算机辅助审计技术的运用等方面。一般的IT审计师都具备全面的计算机软硬件知识，对网络和系统安全有独特的敏感性，并且对财会和单位内部控制有深刻的理解。因此，目前IT审计师已经成为全球范围最抢手的高级人才之一。

二、IT审计师的出现迎合了计算机审计的发展

计算机审计的发展一般要经过绕过计算机审计，穿过、利用计算机审计和网络审计三个阶段。其中前两个阶段属于计算机桌面审计系统。绕过计算机审计是指将计算机处理系统看作是一个“黑箱”。根据被审对象对计算机数据处理系统输入的原始数据，通过手工操作，将处理结果与计算机处理系统的输出进行对比，检查其是否一致，属于计算机审计的初级阶段。穿过计算机审计是对计算机数据处理系统进行审计，包括系统目的与功能需求是否达到，系统分析与系统设计是否先进、科学和实用，程序设计是否正确可靠，内部控制是否健全、可靠，管理制度是否严密、有效，文件资料是否齐全、完整等。利用计算机审计是为实施审计专门开发电子计算机程序，检验被审单位电子计算机程序的可靠性。网络审计是指综合运用计算机网络及其相关技术手段对网络经济及网络系统进行审查的新型审计，是计算机桌面审计系统发展的高级阶段。

随着目前电子商务等网络经济的发展和完善，网络审计势在必行。从审计的客体角度方面，网络审计的模式是建立在网络基础上，对被审单位一定时期内全部或部分经济活动，特别是正在发展中的电子商务、电子金融、网络财务和网络会计等进行审计的计算机系统。它包括两个方面：其一是对被审系统开发过程进行审计；其二是对被审系统运行过程及其结果进行审计。目前计算机审计的发展大多还处在只是对被审系统运行结果进行审计，或进一步对被审系统运行过程进行审计，这样的审计是建立在假定被审系统安全、可靠基础上的。而实际上这种假定是否合理，是应当予以验证的，这种验证也就是要对被审系统的安全性、稳定性和有效性进行审计、检查、评价和提出改造建议。而这也正是IT审计师的主要工作，并且这部分工作也是一直上溯到被审系统开发过程的。因此，IT审计师的出现正好迎合了网络审计模式的需要。IT审计师虽然主要源于信息系统安全问题而产生，其主要工作也含有较高的计算机技术因素，但就发展来看，IT审计师的出现迎合了计算机审机的发展趋势，昭示着计算机审计不久将随着电子商务和网络财务等的全面展开而逐步发展到网络审计阶段，未来的IT审计师们也将成为网络审计的“主力军”。从这个角度上讲，IT审计师也是计算机审计发展的必然产物。

三、IT审计师在网络审计的重要作用

计算机审计发展到网络审计后，计算机审计的主要内容将包括网络安全技术与内部控制系统的审计、系统开发审计、应用程序审计和数据文件审计等四个部分。通过分析可以发现，这四个部分的内容，不同程度地与IT审计师相关联，IT审计师在其中将起重要的作用。

（一）网络安全技术与内部控制系统的审计

从Internet诞生起，信息和网络的安全性就成为关注的一个焦点。在Internet发展的每一个阶段，安全问题也都是基础性的、关键性的因素。对于网络审计，其首先遇到的也是网络的安全性测试问题。与安全性相应的还有网络系统内部控制的测试问题，网络系统内部控制包括一般控制和应用控制两个方面。一般控制包括组织控制、软件开发、硬件和系统软件控制、系统安全控制、维护控制和文档控制等方面的审查与测试。应用控制包括输入控制、处理控制和输出控制。IT审计师的主要工作就是利用标准、规范和先进的审计技术，对信息系统的安全性、稳定性和有效性进行测试、检查、评价和改造。IT审计师首先关注信息系统的安全性，没有安全就没有一切，IT审计师会采用各种方法来测试系统的安全性，并对来自内部和外部的安全隐患提出相应对策；IT审计师还要审查信息系统的稳定性，没有长期稳定性，信息系统就无法承担起激烈竞争的压力，IT审计师会提出一系列对策保证客户信息系统的万无一失；IT审计师还要鉴别信息系统的有效性，最安全和最稳定的系统不一定是最有效的系统，而效率不高的系统就会消耗企业大量的资源，一般情况下，一说到信息系统建设，大家都觉得是工程师或程序员的事，事实上，这是非常错误的观点。一个好的系统，在安全和稳定的前提下，必须最大程度地符合企业经营流程的特点，经济、有效地解决问题和提供信息。要做到这一点，信息系统开发和维护过程中，就必须有大量的经营管理人员参与，设计出最优的信息流转路径。如果不重视信息系统的有效性，其危害同样是巨大的。一方面由于其繁琐和复杂，导致内部业务人员不会用、不想用或使用不当；另一方面使用过程中的差错又会导致稳定性和安全性方面的问题。显然，要对信息系统的安全、稳定和有效进行监控，就不单纯是某类技术人员能够完成的任务，经过专业训练，经验丰富的信息系统审计师将在这一领域发挥重要的作用。信息系统审计师的突出特点就是兼通技术和管理，能够利用规范的审计手段，比较客观和冷静地分析、评价企业现有信息系统的运行，并从专业的角度提出建议。

通过以上分析可以看到，IT审计师的工作中实际上已经包含了网络安全技术与内部控制审计的内容。进一步从IT审计师的服务对象分析，IT审计师主要是为以下几类对象服务的：

软件供应商。特别是经济管理类的集成软件供应商，需要信息系统审计师参与产品设计、规划和检测，并对客户现有信息系统进行评价，提出改造设想。全球所有重要的ERP和CRM产品供应商都聘请大量信息系统审计师，管理咨询机构。20世纪90年代以后，管理咨询的重点已经逐步发展为提供一揽子解决方案，其中信息系统的配置，就是解决方案成功的基础。国际知名的管理咨询机构中，有50%以上的员工熟悉信息技术，其中20%拥有信息系统审计师资格。

会计师审计师事务所是信息系统审计师最早的落脚点，“五大”国际会计公司超过30%的收入来自于风险管理部门。这个部门的最主要工作就是监控客户的信息系统风险和运营风险，同时为客户提供ERP或CRM的安装、维护和培训。会计师审计师事务所中传统财务报表审计也越来越离不开信息系统审计师的贡献。没有他们的工作，评估内部控制风险和企业固有风险将成为一句空话。人们常常看到，“五大”会计公司里，最年轻的合伙人或经理，往往都是信息系统审计师，因为这是一项年轻人的工作。

跨国公司。作为信息系统最集中的用户，跨国公司急需大量信息系统审计师，一方面参与信息化建设的过程；另一方面时刻保持对分支机构的信息监控。还有一种最新迹象表明，跨国公司内部审计部门也在大量招聘信息系统审计师，以加强内部的监督和牵制。

大型国有企业和上市公司。这些机构往往有雄厚的财力来实现管理的信息化、保证生产经营的稳定性，他们对信息系统审计师的要求和跨国公司类似。

（二）系统开发审计

系统开发过程一般分为：系统初步调查和可行性研究、系统详细调查和系统分析、系统总体设计、系统详细设计、程序编制、程序调试、系统调试、系统转换、平行操作试验、系统评审、系统维护和评价等过程。系统开发审计是事前审计，实际上是审计人员参与系统的全过程。主要监督审查下列问题：1.系统的功能是否恰当、完备，能否满足用户商务活动的需要；2.系统的数据流程、处理方法是否符合有关商贸法规；3.系统是否建立了恰当的程序控制，以防止或发现无意的差错或有意的舞弊；4.系统是否保留充分的审计线索，保证了电子商务系统的可审性；5.系统的安全保密措施和管理制度是否健全，能否保证系统安全、可靠地运行；6.系统的文档资料是否全面、完整。这部分内容和IT审计师的工作内容实际也是相适应的。因为IT审计师正是参与一个系统分析、设计和调试运行全过程的“保健医生”，并且IT审计师最关注系统的安全、稳定、有效。

（三）应用程序审计和数据文件审计

应用程序是信息系统的核心，其是否遵守国家财经法规和政策，对经济业务的处理是否合规、合法、正确等，均体现于应用程序。可以手工对应用程序直接进行审查，也可以使用计算机辅助方法，还可以通过数据在程序上的运行间接测试。电算化会计信息系统中，实质性测试的对象是数据文件。对数据库或数据文件的审计主要目的是为确保数据的完整性与正确性等。对数据文件的实质性测试包括：对各账户余额和发生额直接进行检查；对会计数据进行分析性复核，旨在对数据文件进行实质性测试；测试一般控制措施或应用控制的符合性。可以使用不处理数据文件的实质性测试方法、处理实际数据文件的实质性测试方法及处理虚拟数据文件的实质性测试方法。这两部分内容没有IT审计师的技术支持，一般审计人员也难胜其任。

第5篇：it内部审计论文范文

一、以准则框架进行信息系统风险分类识别

（一）组织层面的IT风险

证券公司组织层面IT风险主要表现为以下方面：

1.缺乏明确的IT战略目标、IT目标与公司整体战略及业务目标不匹配造成的风险。

2.IT治理组织架构、授权机制、制度体系不健全对IT安全运行管理造成的风险。

3.IT部门人力资源管理（资质、培训、保密要求等）、岗位设置与职责分工控制不力造成的风险。

4.IT与业务之间的联系框架与工作机制运行不畅造成信息沟通、协作配合不良风险。

（二）一般层面的IT风险

证券公司一般层面的IT风险是指与IT网络、操作系统、数据库、应用系统及IT技术设施等IT基础环境相关的风险，主要表现为以下方面：

1.信息安全管理政策、物理与逻辑访问控制、用户身份认证，职责分离等控制缺失或不当造成的风险。

2.由于IT系统变更、参数设置授权与审批，变更测试与移植等控制缺失或不当所造成的风险。

3.因IT系统开发和采购授权审批，开发、测试与生产环境的隔离，系统测试、审核、移植等工作环节控制缺失或不健全所造成的风险。

4.由信息技术资产管理、系统容量管理、系统物理环境控制，系统和数据备份及恢复管理，问题管理和系统的日常运行管理等操作所产生的风险。

（三）业务流程层面IT风险

证券公司业务流程层面的IT风险来自于信息系统对业务数据输入、处理、输出的处理过程，主要表现为以下方面：

1.由于IT系统的数据输入授权、数据完整性与正确性检查以及系统间数据传输等控制缺失或不健全所造成的风险，如关键业务系统用户与权限管理风险（交易系统、清算系统、财务系统等）、重要业务操作授权、检查与复核风险。

2.由于IT系统对数据处理过程中的控制缺失或不健全所造成的风险。

3.对IT系统输出信息控制缺失或不健全所造成的风险，如信息存储、传输的安全保密风险。

二、风险评估

通过风险识别，可以将企业IT风险的全貌进行分类展开并列示，风险评估过程是针对所列示的风险进行量化与排序的过程。如前文所述，我们通常将IT复杂性、控制水平以及可能造成的财务损害3个方面作为评价打分构成项目，并把这种方法称为“综合矩阵法”。

需要注意的是，IT风险评估是一个持续的过程，伴随业务流程的不断变化、技术的不断进步、威胁随着新弱点的出现不断产生、监管要求不断更新以及审计方法不断改进等因素的影响，证券公司IT风险评估的技术与方法还需在实践中不断总结、探索与改进。

三、审计计划

国际内部审计师协会（IIA）外部质量评审报告指出，建立一项适当的IT审计计划成为内部审计活动中最重要的环节。不适当的IT审计计划将影响整体审计工作的效果与质量。

在制订时IT审计计划应该遵循“覆盖最大的风险和可以为组织增加最大价值的领域”原则。审计人员应在风险评估的基础上制订能够实现审计目标的审计计划。

审计计划内容要素包括：审计范围与目标、审计所涵盖具体内容、审计适用的法规及审计准则、审计的方法与程序、审计的资源配置等方面。

在制订信息系统审计计划时，还需要注意以下问题：第一，审计资源预算对审计计划具有重要的影响，审计项目负责人要根据人员配置、时间安排、需要重点开展的检查与评价活动，合理匹配审计资源。其次，IT系统作为审计对象时，审计计划中应涵盖对每一风险层面的审查。如：在“ABC公司网上交易系统专项审计”与“ABC公司财务系统专项审计”两个项目中均应对相关信息技术的组织层面、一般层面及业务流程层面的风险进行评估与检查。

四、检查测试

实施证券公司信息系统审计的检查与测试过程可以分为一般性检查、符合性测试与实质性测试3个阶段。

其中符合性测试是对已有的关键控制要点的实际作用进行测试，而实质性测试是对系统处理生成的财务信息、业务信息等处理结果的合法性、真实性、准确性进行直接检查或分析性复核。例如：证券营业部岗位隔离控制中要求交易系统管理员不得具有业务操作的职能。审计中对这种控制措施是否存在和有效执行的检查过程，为符合性测试。经测试，营业部并没有按照要求设置系统管理员权限，说明这种控制实际为无效，存在风险隐患，所以需要进一步在系统交易记录中检查系统管理员是否实施了违反规定的业务操作，这种检查系统业务数据的过程则属于实质性测试。

根据上例可以看出，对系统进行符合性测试的重点是在对内部控制初步评价的基础上得出的，在进行实质性测试之前，应当先对这些控制点进行符合性测试，并根据测试结果判断风险等级，确定实质性测试的要点与范围。也就是说，在符合性测试中认为控制失效的领域，风险更高，审计中应加大实质性测试的样本数量与审计检查的力度，这也是基于风险导向型审计程序的实际应用。

在对信息系统检查与测试工程中，审计人员除了运用询问访谈、问卷调查、现场观察、审阅文件、分析性复核等传统审计方法外，还经常会用到绘制控制流程图、穿行测试、并行模拟、渗透性检测、嵌入式审计模块等技术。

运用穿行测试将预先设计的测试数据输入系统，并将系统输出与预期的结果进行对比，检查系统处理过程是否正确。而并行模拟是对实际业务的系统处理结果进行重新计算，以验证系统计算准确性。例如为了验证证券公司财务核算系统中的自营投资证券成本价计算结果，我们从投资交易系统导出中的证券交易流水，用EXECL表格进行并行模拟计算，并与财务核算系统结果进行比对。与穿行测试相比，并行模拟不会对生产系统产生任何影响。

信息系统审计人员应当在对相关审计程序充分理解的基础上，采用适宜方法开展检查与测试工作。审计人员对有些审计方法与工具的配置和使用时，除了考虑成本效益性之外，还应特别关注对生产安全的考虑，证券公司IT管理层一般情况下不允许审计工具对生产系统的直接访问。因此， 在证券公司信息系统审计中执行穿行测试、渗透性检测等操作时，应与IT管理层充分讨论并得到授权。

测试与检查的过程中，审计人员需要根据实际情况进行持续的风险评估，并对评估发现的重要剩余风险开展进一步的检查与测试。

五、沟通与报告

信息系统审计具有专业性、复杂性及IT与业务的关联性等特征，为了提高审计质量与效果，有效沟通在其中发挥着重要的作用。沟通的作用主要表现在3个方面：首先，内部审计部门与董事会与管理层之间公开和详细的沟通有助于改善公司IT审计效果；其次，内部审计将被审计部门作为“客户”，双方通过充分的沟通增进对审计发现问题理解与认同，为被审计部门有效改进IT薄弱环节提供帮助；第三，审计组人员的内部沟通是协调审计工作、达成审计目标的关键。

审计报告是审计工作的最后产品，也是发挥审计效能，体现审计价值的重要工具。在审计实施结束后，审计人员应以充分、可靠及相关的审计证据为依据形成审计结论与建议，出具有建设性的审计报告。

六、后续跟踪

第6篇：it内部审计论文范文

信息系统自身对数据的处理也存在因系统设计缺陷而产生错漏的风险，这些问题都是IT审计应高度关注的重点。为此，在确认IT审计重点时，要牢牢抓住信息系统的建设目标及系统涉及业务的关键控制节点，考虑在信息系统实现控制功能时，可能会影响哪方面的控制力度以及建设过程中可能会产生的信息环境下的控制风险。根据该思路，内部审计在对运营票务收入业务进行审计时，考虑到漏管模型（见图6）对票务收入的影响，审计人员利用传统的内部控制评价辨识可能的收入损失区域和控制失衡与风险区域，从而确定审计重点：首先对整个票务收入业务进行梳理，划分出制票、定价、售票、充值、扣值、退票、特殊情况票务处理、运营资金管理、收入结算、车票管理、清分、财务会计入账13个票务收入子流程；再进一步梳理子流程内部的控制流程图、数据流程图和报表流程图；然后识别出流程中可能存在的48个风险和62个控制措施，编制13个子流程的内部控制矩阵最后在对内部控制矩阵中各项手工和系统控制措施的有效性进行评估，从而辨识出票务收入流程中售票、充值、扣值及退票等交易记录收集及处理、收入结算、清分和财务会计入账四个高风险区域，作为下一步执行有效性验证的重点内容。审计结果也证明，以传统的内部控制缺陷为启示，运用内部控制理念梳理风险的方式对提高IT审计重点的定位准确性有较大帮助。另外，在IT审计测试过程中，海量数据验证的要求和有限审计资源的矛盾也是审计人员需要解决的问题。对此，广州地铁也采用了内部控制风险评估的方法确定测试内容和重点，以提高审计效率。在票务收入验证项目中，在风险评估识别出四个高风险领域后，对高风险领域的控制进行有效性测试时，涉及了近2亿的海量交易数据和文件产生、传递、处理和输出的验证，每一项验证过程，都可能涉及几百万条数据间的分析、筛选和匹配等，涉及的数据处理工作量极大。因此，在审计过程中，通过风险评估方法，在票务收入系统的过百项数据处理操作中确定了交易数据及文件上传正确性及完整性、交易数据合法性及正确性、各类车票收入正确性及客流量统计的正确性四类指标为高风险区域，从而明确数据验证的重点，制定数据验证的方法，达到更有效地利用资源，提高了内部审计有效性的效用。

企业管理流程的信息化给审计带来的另一个挑战在于信息化建设往往增加了管理流程中的控制活动，甚至是调整了控制流程，使得审计人员不能迅速掌握流程的控制点并厘清评价逻辑，影响了审计的全面性。为此，广州地铁在IT审计中引入了内部控制评价的思路，通过梳理并确定流程风险和关键控制点，区分手工控制和系统控制，在此基础上依据不同的控制手段制定不同的测试程序，确保IT审计评价的全面性。比如，在运营票务收入保障评估项目中，针对风险评估的四个重点区域，通过数据验证的方式评估其控制的有效性。对于中低风险区域，采用常规的内部控制评价方法，按照一定的抽样比例进行抽样验证，确保对票务收入13个子流程的48个风险点和62个控制活动的全覆盖。从审计结果看，共发现问题或缺陷24个，其中4个高风险区域中通过数据验证的方式共发现问题或缺陷17个，通过常规内部控制评价手段发现问题7个，从而全面地评价该业务的管理。整合审计模块，加大IT审计效用1．开展“1+IT审计”，提高审计全面性。近年来，随着信息系统在经营开发、工程建设、职能管理等多个领域的广泛运用，广州地铁开始打破以往各审计模块独立开展审计项目的局限，逐步将IT审计融入到其他审计模块的项目中，采取“经营绩效审计+IT审计”、“内部控制审计+IT审计”、“工程审计+IT审计”等“1+IT审计”模式，强化IT审计在审计业务中的支柱作用，做到只要被审计对象或被审计单位的核心管理模块使用信息系统，则合并开展相关系统的IT审计。通过这种跨模块的审计结合，较好地形成了各审计模块“优势互补，并肩发展”的局面。比如在后勤中心管理审计项目中，IT审计通过对饭卡充扣费系统以及小卖部售卖系统的审计，发现了相关信息系统存在了账户使用和维护、基本数据的维护方面存在着内部控制缺陷，进而引导财务管理关注饭卡及小卖部的财务控制问题。大力推广信息技术，运用IT手段开展绩效评价。为实现审计的增值效用，广州地铁越来越多地运用绩效评价手段开展审计项目。而在信息系统环境下，绩效评价工作不可避免的涉及系统数据的整理和抽取，这时对系统极为熟悉的IT审计模块又发挥了强有力的支撑作用。比如，在开展运营物资绩效评价项目及运营委外维修管理绩效审计项目过程中，IT审计人员通过分析系统的报表和数据结构，设计出符合项目目标的数据提取模型，要求运维人员根据设计的模型从系统后台提取数据，大大提高了取数的效率。同时，IT人员通过数据处理软件，迅速对数据进行处理和分析，为绩效审计工作提供了准确的基础数据，大大提高了工作效率和质量。而在票务收入保障审计项目中，IT审计则针对业务处理的核心系统——自动售检票（AFC）系统，分析业务逻辑和系统处理机制，针对系统的应用控制，设计了8大类29子类47个数据验证主题。运用了计算机辅助审计技术，在2个月内完成了对AFC系统中10天总共超过3亿条的运营数据的验证工作，大大提高了审计效率。

完善监管体系，确保企业健康、规范运作对于广州地铁这种资产规模、人员规模均较大，组织架构复杂，发展迅速的企业而言，合规性保障也是一项巨大的挑战。并且随着信息网络的扩大，如仍以传统的文件查询、账册查询为主要审计手段，则难以防范信息系统环境下的操作风险和系统风险。IT审计的建立，将监督触角延伸到系统安全、系统的稳定性和信息控制上，确保监督体系覆盖公司经营管理的各个角落，促进了公司规范运作和管理。IT审计通过对信息系统所承载的业务流程进行审查，不仅关注手工控制，同时还检验系统控制的有效性，进而全面地评价业务流程的管理状况及效率。比如，广州地铁内部审计在对资金管理信息系统进行评估时，发现该系统后台缺乏维护责任部门，使用部门与后台维修两个重要职责未分离，存在资金支付控制失效和资金安全保障突破的风险。该做法明显未执行信息系统安全控制政策、新系统验收和委托运维等职责界面不明晰，导致资金系统验收后未进行系统运维交接。审计发现该问题后，管理层高度重视并要求立即整改。随后相关部门将资金系统委托给运维，统一优化信息系统建设管理模式，明确各部门在信息系统建设中职责、多项信息系统项目管理、运维管理制度，重新梳理信息系统建设管理体系。又如，在票务收入验证项目中，审计发现由于系统设计的数据校验条件过于复杂或相互矛盾，部分有效的交易记录被系统自动拦截到了异常库，未与羊城通结算；另外，因系统检修人员在维修后未及时更正时钟的时间，导致部分车票使用时间计算错误，存在票款收入流失的风险。审计发现该问题后即引起了业务部门的重视，随后公司便建立了定期AFC系统数据验证机制，以确保及时发现问题及时整改。同时要求业务人员定期检查系统异常库的记录，确保公司收入的正确、完整。近几年来，广州地铁开展了合同管理系统、物资管理系统、票务收入信息系统等10余个IT系统的审计工作，对信息系统的控制有效性和数据真实性进行了审计评估，共发现233个信息系统的控制缺陷和系统缺陷，并及时进行了改进，确保了广州地铁各项经营管理活动在信息化时代下依然能遵循“内部控制”要求，也使得公司在信息化环境下仍能不断改进管理、优化流程，提升公司的管理水平。

搭建内部控制与信息技术桥梁，助力信息化发展，构建高效、可靠的现代企业管理体系，确保企业战略实现随着广州地铁线网规模加大，建设速度加快、人员架构逐步膨胀、外部监管日益严格，为保证在此情况下各个环节的信息能得以完整保存，各个管理单元之间的信息迅速准确地传递，各项管理措施得到有效实施，广州地铁先后在财务、人力资源管理、物资管理、资产管理、设计管理、建设项目管理、安全监控、合同管理等领域引入信息系统。对于这些系统的建设和运营情况，IT审计通过对信息系统项目立项、需求调研、方案设计、系统测试、项目验收等过程开展审计工作，促进信息系统建设规范化工作，提高信息系统建设的品质；其次，IT审计通过对信息系统规划、实施和运营各阶段的（费用/效果）指标的核查、评价等工作，检查信息系统的使用效率，督促IT管理部门关注信息系统的使用效率，促进信息系统使用价值最大化，减少系统建设浪费的情况。比如在对合同管理系统的审计中，审计人员发现该模块的1个功能存在功能缺陷，4个功能由于在系统建设过程中业务管理模式改变而系统未调整到位导致无法使用；同时，审计人员在对系统功能使用情况进行分析后发现，系统中有5个功能在上线后没有使用或使用极少，系统功能的“建而不用”导致系统建设成本的浪费损失。审计提出问题后，项目建设团队及时对不能使用的功能进行了调整，保障了系统的正常运行。针对没有使用或使用极少的功能，项目建设团队与合同管理部门对功能进行了优化调整，使该项功能更加符合业务管理要求和使用习惯，以推进系统功能的使用。另一方面，IT审计定期总结审计过程中发现的问题，将已掌握的内部控制缺陷及改进建议与IT建设部门及业务部门共享，为各类业务的信息化工作提供咨询服务，提高信息系统的运作效率和实施效果，这也是IT审计在公司管理运作中的增值效用。比如，在对ERP系统进行审计时发现，系统无法针对单个供应商或者合同统计历史支付信息，造成财务无法及时便捷地掌握到对应于供应商的支付信息，不能及时判断是否存在超付的情况，也给审计核查工作带来了较大困难。审计提出该问题后，信息管理部组织供应商对报表进行了优化，确保了管理目标的实现。由此可见，IT审计有效地协助了相关部门优化信息系统设计方案，使得公司在大规模信息化建设过程中，能准确把握建设方向，而先进的现代管理理念与信息系统的结合，也构建了公司高效、稳定、全面的现代企业管理体系，帮助广州地铁加快实现企业战略目标。

第7篇：it内部审计论文范文

会计电算化在IT环境下的审计是对计算机数据处理系统中出现的错误进行审计并予以纠正。随着计算机审计工作的出现，给传统的统计工作带来了挑战。由于计算机舞弊案件的出现，审计人员认识到，对审计单位出具客观公正的评价，需要借助更先进的技术，即电子数据处理系统对审计工作进行更加权威的判断。

二、电算化会计IT环境对审计的影响

（一）审计工作发生了质的改变

电算化会计IT环境的审计活动不断增加，对审计产生的本质影响，是质变还是量变？当计算机审计还没有出现时，传统的审计方法，即手工审计工作表现出显著特征时，计算机审计逐步深入到整个审计工作的各个环节，使审计工作逐步产生的本质的变化，其审计特征也发生了本质变化，这样手工审计工作逐步消失，最终被计算机审计所替代，使审计工作发生了质的变化。

计算机审计工作做为传统审计工作的新生事物，其审计过程复杂多变。由于初期人们对于计算机审计工作的认识不充分，所以其理解角度多种多样，呈现的概念繁多，人们的理解千差成别。经过多年的争论与研究，现代审计必须工作在IT环境下，它是电子计算机技术与数据处理发展的产物。

（二）电算化会计IT对审计的影响

电算化会计由打印机输出会计资料，形成会计财簿，全部数据存在磁性介质上，这样对于会计数据的审计环境发生了改变，它要求审计人员充分利用计算机的各种功能，控制测试和审核风险。存储在计算机中的数据，使人们对其安全性有疑虑，当审计数据的相关性高时，审计证据要求的数量相对较少，其可靠性必须有足够的审计证据予以支持，增强会计信息可靠性，从长远来看，纸质数据被电磁介质替代，会带来会计风险。如：企业进行帐、表、证进行审计时，由于现有存储介质的改变，使信息失真的风险随时发生。

三、电算化会计IT环境对审计影响的应对对策

（一）核验审计数据

电算化会计信息失真风险随时发生，需要在基础测试过程，利用实际的数据测试被审计单位，将测试结果与应出现的结果进行核对，是否存在误差，检验被审计单位电算化会计的可靠性。尽可能利用审计软件实现审计数据的电算化转换，由审计人员复核工作，着重对相关数据进行组合，不断完善审计计划，识别虚假、失真会计信息，保证被审计单位会计数据真实性，控制误导而引起的风险。

（二）加强内部控制防范风险

对电算化会计IT环境下的审计工作，需要制定符合性测试，对内部控制制度进行审核与评价，结合各种文档资料，对本单位的电算化系统的可行性报告进行研究，仔细调查后方可实施。根据系统流程图、使用手册对会计数据输入、初始化、安全与维护设置控制点。采用恰当的机构模式，进行不相容岗位分工控制，遵循内部牵制原则，进行合理职责分工，建立、健全设备使用控制制度，规范操作流程，保证会计信息的准确性，确定审计工作重点，减少电算化系统审计风险。

（三）制定完善的审计制度

我国审计工作制度许多规范文件，针对不同的对象采取的技术手段变化较大，一些新增的审计项目已经不在适用原有的准则，因此，制定具体的计算机系统内部控制，规范审计人员的资格、审计证据收集流程、审计过程及相关技术质量控制等内容，是当下计算机环境下审计工作的重点。

（四）进一步研究审计技术

当前计算机处理与传统审计处理有着许多不同点，同时，也产生了许多不同的审计技术，计算机审计更加注重业务的处理与证据的收集，加大对计算机审计技术的研究力度，实现利用计算机审计工作的全面实施。

第8篇：it内部审计论文范文

1.企业对财务报告的责任。所有定期财务报告必须由负责签章的主管查阅、确认并签字；签章的主管必须对财务报告的准确度和清晰度负责。 合规性需求：通过签章，公司的签章主管必须确认已经审查过财务报告。这个签章证明他们认为财务报告是准确的，并且所有数字来源是准确的。 这个需求对IT意味着：财务报告中使用的数据必须有已知的起源与推导，有正确的格式，在适当的场景下被使用；整个流程必须有负责人；数据也必须有负责人；最终文档以及相关的支持文档必须记录更改日志，以进行控制管理。 对特定的协同办公软件的要求：使用元数据进行数据分类以及管理数据的属性信息；协作网站必须在参与人员之间以一种有序的方式共享信息；中心文档库需要提供一组专门的文档供参与者共同进行编辑，文档经过核定并附带更改记录，然后作为最终文档被；最终文档更改控制必须提供对更改的审核跟踪与控制，以保证文档的权威可信；集中记录跟踪的目的是提供一个公共平台，让参与者可以对那些可能违背SOX的问题和难点引起注意。 2.财务公开。满足必要财务规则的财务报表和报告必须是由精确计算得出，而且在报表和报告中不能有任何遗漏和省略，以免产生误解。报表和报告中一定要包含影响企业健康的表外信息。 合规性需求：企业负责人一定要对所有财务报表做准确性确认；估计的数据一定要清晰准确，并且要和企业实际的财务阶段完全一致；企业管理的责任就是建立和维护对财务报告负责的内控架构和内控过程。 这个需求对IT意味着：数据一定要可追溯；文档一定要做变更管理；问题一定要记载并公布出来；定义的元数据必须能保证内容进行正确的分类、上下文以及对数据合理的解释；一定要保留审计痕迹，数据拥有者对元数据操作过程，一定要进行身份识别；流程拥有者在对那些影响企业绩效的关键流程的操作，一定要进行身份识别；通过元数据来清晰地区分历史、现实以及未来信息；数据源要具备内部可追溯性；在建立、修改、删除信息时，要采用一致的、可重用的、可测量的、标准的过程。 对特定协作软件的需求：使用元数据进行数据分类以及管理数据的属性信息；协作网站必须在参与人员之间以一种有序的方式共享信息；中心文档库需要提供一组专门的文档供参与者共同进行编辑，文档经过核定并附带更改记录，然后作为最终文档被；最终文档更改控制必须提供对更改的审核跟踪与控制，以保证文档的权威可信；企业内外广泛的审查者和参与者很容易使用企业的web站点；使用元数据进行数据分类以及管理数据的属性信息；协作网站必须在参与人员之间以一种有序的方式共享信息；中心文档库需要提供一组专门的文档供参与者共同进行编辑，文档经过核定并附带更改记录，然后作为最终文档被。 3.实时问题暴露（公开）。紧急事件发生的时候，管理者必须报告企业财务及运营方面变化情况的信息。 这些信息一定要易于理解，以趋势图的方式表示出来，信息质量必须保证。 合规性需求：企业信息的者必须提供最新的可用信息（例如，实时信息）。这些信息必须满足财务期报告准确性和清晰性的要求。 这个需求对IT意味着：一旦发生数据的畸变或者数据变化，这些变化可能影响到现实财务报告的准确性，IT部门必须能提供支持来快速识别、分类、分析、这些变化。 对特定协作软件的需求：使用元数据进行数据分类以及管理数据的属性信息；中心文档库需要提供一组专门的文档供参与者共同进行编辑，文档经过核定并附带更改记录，然后作为最终文档被；最终文档更改控制必须提供对更改的审核跟踪与控制，以保证文档的权威可信。 总之，为遵从SOX法案，保证会计账务、财务报告、流程、财务应用和底层IT基础结构的完整性、可用性和准确性，要求IT在以下四方面有所准备： 第一，优化财务流程，完善财务应用系统。在财务应用的基础上要实现财务数据整合和统计分析，引进全面预算管理、KPI绩效管理、财务预警等模块，保证企业提供准确、完整、实时、真实、有价值的财务报告。 第二，建立内部控制体系并引入内控管理信息系统。SOX要求企业高管加强对内控程序和内控报告的责任，要求CEO和CFO能够证明年度和季度财务报告没有差错和遗漏现象，要求企业记录并检查企业的内部控制情况，揭露任何“严重弱点”，要求企业高层能够判断与业务过程相关的风险，以及这些风险对公司财务报告可能产生的影响。达到上述要求的核心内容首先是建立公司内部控制体系，美国“反对虚假财务报告委员会”的COSO是SEC（美国证券交易委员会）及PCAOB（美国上市公司会计监督委员会）推荐的框架，COSO包括控制环境、风险评估、控制活动、信息与沟通和监督五个要素，强调建立一系列的管理体制，加强公司的内部控制。 第三，IT是COSO实施的关键，应建立起遵从SOX的企业内控管理信息系统。内控管理信息系统至少应实现下述功能：能够创建和记录企业内部业务流程，使公司的CEO、CFO、员工和审计人员能够实时识别、分配、测试并监视内部控制与流程，确保业务流程根据内控标准执行。一旦系统发现任何违反行为，将向适当人员自动报警。能够收集并监视控制信息，使管理人员快速查看流程、组织、控制和风险的实时状态，提示管理人员注意控制目标是否实现。为了帮助企业更好地了解和跟踪风险，内控管理信息系统为企业建立一个能够与企业的每项业务过程相关联的风险库。一旦认识出潜在风险，内部控制管理系统能够允许企业设计控制以降低风险。 某些公司的内部控制管理系统的开发旨在帮助企业有效地执行SOX法案的要求。 第四，加强IT控制。SOX法案要求企业的内控活动，不论是人还是信息系统的操作流程都必须明白地定义并保存相关记录，对审计过程也有存档的要求。因此，对影响财务报告的信息系统的IT控制也是SOX内部控制的核心组成部分之一。这就要求IT完善治理机制，进行IT内部控制和信息系统审计，以保证达到SOX对IT的基本要求。国际上已经形成一些较为完整的IT治理的规范，如ITIL（信息技术基础结构库）、COBIT（信息和相关技术的控制目标）、BS7799（信息安全管理标准）等。其中，COBIT是信息系统审计与控制协会（ISACA）提出的IT治理的控制框架。IT服务管理（ITSM）的标准ITIL则与COBIT紧密一致，通过IT服务管理流程与产品，能够实现IT的规范化管理，记录和控制IT的基本信息，包括对网络、硬件、网页、应用、防火墙、信息系统访问控制权限、访问密码等信息，保证财务报告的底层IT基础结构的业务持续，帮助公司更有效监督和管理IT风险。#p#分页标题#e#

第9篇：it内部审计论文范文

2002年安然、世通等公司造假案件和安达信事件震惊了整个世界, 美国政府认为这是公司上下串通、内外勾结的严重结果, 所以“萨班斯法案”对公司治理、内部控制及外部审计同时做出了严格的要求。明确规定要建立独立称职的审计委员会，管理层要负责内控系统的完善和落实，并对财务报告的真实性负刑事责任。纵观整个法案, 最主要的是对公司内控系统的要求, 主要体现在302条款和404 条款。法案对公司内控系统不但规定严格, 而且实施要求和指南也相续出台, 如美国证券交易委员会（SEC）于2003年6月5日根据法案的要求颁布了404条款的细化条例, PCAOB于2004 年3月9日第2号审计准则, 对公司管理层提出了更明确的要求。

“萨班斯法案”的出台，使全球各国监管部门、企业和投资者都把眼球关注在公司治理和全面风险管理上。为保护投资者、降低风险，各国纷纷效仿“萨班斯法案”，出台自己的公司治理广泛要求以及全面风险管理指南。被称为“自罗斯福总统以来美国商业界影响最为深远的改革法案” 的“SOX法案”引发了全球公司治理与风险管理翻天覆地的变化。如何更好地规范公司治理、完善公司全面风险管理框架，如何发挥信息技术在公司治理和风险管理中的作用，是目前理论界与实务界普遍关注的话题。公司治理与IT治理，IT治理与目前风险管理等议题正逐渐成为人们关注的焦点。公司内部从董事会到CEO、到CFO、再到CIO等高级管理人员都参与到公司治理、合法合规等实践中来，打破了原有职责范围的局限，重新认识自己的责任定位。

302条款和404条款核心要求

302条款的要求：

该条款要求由首席执行官和首席财务官在内的企业高管层，对公司财务报告的内部控制按季度和年度就以下事项发表声明（予以证实）：

*对建立和维护与财务报告有关的内部控制负责;

*设计了所需的内部控制，以保证这些官员能知道该公司及其并表子公司的所有重大信息，尤其是报告期内的重大信息;

*与财务报告有关的内部控制的任何变更都已得到恰当的披露，这里的变更指最近一个会计季度已经产生，或者合理预期将对于财务报告有关的内部控制产生重大影响的变更。

在当前环境下，IT系统驱动着财务报告的流程。诸如ERP之类的IT系统紧密地贯穿于企业经济业务的开始、授权、记录、处理和报告一整套过程中。就其本身而言，IT系统和整个财务报告流程也是紧密联系的，为了遵循“萨班斯法案”，也要对IT内部控制的有效性予以评估。

为强调这一点，PCAOB第2号审计标准讨论了IT以及IT在测试内部控制设计合理性及运行有效性时的重要意义，并强调指出[部分]:

……内部控制，包括与财务报告中所有重要账户及披露内容相关的控制政策与程序，都应该予以测试。

一般而言，这样的控制包括IT一般控制，以及其他控制所依赖的控制。

404条款管理要求:

*“萨班斯法案”的404条款要求管理层在其年度文件中提供关于与财务报告有关的内部控制的年度评估报告。管理层的年度报告要求包括以下内容：

*管理层有责任为企业建立和维护恰当的与财务报告有关的内部控制。

*识别管理层所采用的内部控制框架以便按要求评估公司与财务报告有关的内部控制的有效性。

*对从一上个会计年度末以来，与财务报告有关的内部控制的有效性予以评估，其内容也包括有关与财务报告有关的内部控制是否有效的公开声明。

*年度审计报告中，注册会计师事务所发表的财务审计报告，包括管理层对与财务报告有关的内部控制有效性评估的证明报告。

*管理层关于公司针对财务报告内部控制有效性评估的书面结论，应包含在其对财务报告内部控制的报告和其对审计师的信函中。这一书面结论可采取多种形式，但是管理层对公司面向财务报告的内部控制的有效性必须发表直接意见。

*如果与财务报告有关的内部控制中有一个或多个重要缺陷，管理层将不能对财务报告的内部控制有效性做出评估结论，而且，管理层应该披露自最近一个会计年度未以来财务报告内部控制方面的所有重要缺陷。

显然，404条款对于公司内部控制情况做出了严厉要求，目的是为了使得公众更易于察觉到公司的欺诈行为，并确保公司财务报告的可靠性。而上市公司为了遵循该条款将付出沉重的代价，包括大量的时间和人力、财力的投入。

在“SOX404”项目中的IT

事实上，早在1994年TSE的题为“董事何去何从？提高加拿大公司治理的指南”中就认为：整合企业的内部控制和管理信息系统是董事会的五个“首要责任”之一，对此责任的解释，是有效地履行董事会的责任需要有效的控制和信息系统来支持。例如在批准企业战略时，董事会需明确各种评价战略的标准和监督执行战略的体系；同样，在审查和批准财务信息时，董事会需要企业的审计系统来通报数据的完整性和对会计原则的遵循。总之，该指南认为董事会必须关注内部控制和信息系统，因为它是履行其他责任必须依靠的机制。该报告对董事会责任的界定提高了内部控制在加拿大上市公司中的重要性，并有助于改善公司的控制环境。

在“萨班斯法案”中，我们看到了一脉相承的要求，只不过这些要求是以前所未有的法律形式固定下来的，良好的公司治理和高管层对IT的职责再也不是一个可有可无的美好远景。

*公司数据的完整性受到公司IT控制的充分性影响；

*公司交易从交易开始、记录、处理到报告全程应用IT；

*加快并支持财务报告的IT控制；

*IT控制的有效性记录与评价的要求；

*IT一般控制与应用控制；

*利用IT自动记录并监控控制制度的执行。

因此，“萨班斯法案”开始要求CIO必须成为管理控制专家，不仅要参与到公司治理领域，以使IT与业务一致，还要在完善内部控制和全面风险管理体系中发挥作用。IT也成为公司治理、全面风险管理关注的新领域。

眼下，我国几十家在美国上市的企业正在紧锣密鼓地忙符合“SOX法案”的项目。对于符合“SOX法案”项目而言，更引起广泛关注的是上市公司管理当局要评价信息时代财务报告内部控制的设计与执行的有效性，并对此负责，外部审计师要连同财务报告审计一起审计内部控制。这主要是针对“SOX404”条款的遵从，所以很多符合“SOX法案”的项目也称为“SOX404” 项目。

“SOX法案”最主要的特征表现在：法案要求组织机构使用文档化的财务政策和流程来改善可审计性，并更快地拿出财务报告。要求企业针对产生财务交易的所有作业流程，都做到高透明度、可控制、实时风险管理并防治诈欺，并且这些流程必须有可追查到交易源头的详细记录。

对于这些在海外上市的中国企业而言，必须在2006财年结束前通过此项法案的认证，否则，证券市场会认为企业财务管理不规范、报表值得怀疑、股价不可信。如果中国企业大量不合规范，可能影响对中国企业整体的信任。严格的披露要求、紧迫的披露时限和严重的违规处罚，令在美国的上市公司加紧“萨班斯符合项目”，未通过的加紧建设完善的内部控制体系，特别是IT内部控制体系，已通过的公司正在寻求如何加强持续符合“萨班斯法案”。

SOX的实施问题

对于上市公司来说，“SOX404”条款的实施是遵从“萨班斯法案”的一个重要举措，必须由公司董事、管理层、“SOX404”项目小组、内控总监与其他人士积极监察和参与。“SOX404”条款的遵照执行有四个明显的区分阶段：

1.公司应制订内部控制详细目录，确定内部控制是否足够，然后将这些控制与诸如COSO委员会之类的内部控制研究机构的内部控制框架进行对照;

2.公司被要求记录控制措施评估方式，以及未来将被用来弥补控制缺陷的政策和流程(如果有的话);

3.公司必须进行测试工作，以确保控制措施和补救手段起到预期作用;

4.管理层必须将前述三个阶段的各项活动情况整理成为一份正式的报告。

在“SOX404”项目中，企业应该考虑以下问题：

* “萨班斯法案”需要对各个部门的员工和管理者进行培训。

* 要求管理者和审计师增加文档纪录、测试和检查。

* 纠正在检查中发现的任何潜在缺陷。

* 完善风险评估和控制行为的测试与监督战略。

* 投入更高的审计费用。

* 法规遵从软件的购买―买哪一种?

* 利用COSO建立的内部控制框架给IT部门的系统控制带来的变更。

完善内部控制可能需要几年的时间实现完全转变，并且可能要有很大的投入。从国内外的实施经验来看，基于风险的、由上至下的确定范围和测试策略的方法将减少目前工作所需的时间。

* 优化关键控制；

* 优化应用控制；

* 实施持续控制监督；

* 重新设计控制；

* 使流程和系统合理化。

“萨班斯法案”遵从成本

“萨班斯法案”的严厉性和高昂的执行成本从一开始就遭人诟病，已有包括新加坡“创新科技”在内的一批著名公司主动申请摘牌退市，更多的中国国企和银行也毫不犹豫地放弃了在美国上市的既定计划。该成本之高昂，据安永的调查显示：收入超过50亿美元的公司中，四分之一的公司在“萨班斯”符合项目启动之前弥补了500多个单独控制； 超过70%的公司在“萨班斯”符合项目启动之前对IT系统和控制进行了重大修改，在这70%的公司中，与404条款有关的成本耗费要比最初预计值高出50%；58%的年收入不足50亿美元的公司把超过半数的内部审计资源用于与404条款相关的活动中；76%的公司期望使用一些控制自评估(CSA)的表格来满足目前404条款的要求； 53% 的企业想在一年内开展企业风险管理 (ERM);87%的企业想通过由404条款带来的职责分明和控制负责人的推动获取价值。

来自普华永道的另一份调查清晰地描述了“萨班斯”遵从的投入，如下表：

根据国际财务执行官(FEI)对321家企业的调查结果，每家需要遵守“萨班斯法案”的美国大型企业第一年实施404条款的总成本将超过460万美元。这些成本包括35000小时的内部人员投入、130万美元的外部顾问和软件费用以及150万美元的额外审计费用(增幅达到35%)。全球著名的通用电气公司就表示，404条款致使公司在执行内部控制规定上的花费已经高达3000万美元。

欧洲最大的金融机构之一，荷兰国际集团(ING)负责人也抱怨说，随着银行和保险业忙于采用一批新规则，这些行业会出现“监管疲劳”。欧洲各银行在承担了实施“萨班斯法案”以及转向国际会计准则所带来的成本后，现在又面临着引入巴塞尔2号协议而产生的成本。有关规章变化的速度使法律、财务和合规部门员工疲于应付。

该集团首席执行官陶曼特(Michel Tilmant)表示，“你需要让机构适应这些监管变化，”陶曼特先生表示，“你必须确保正确执行了规定，并有时间调整心态。”

股权持有者们认为新法案的代价是值得的，推行404条款会带来一个前所未有的好光景。因为“萨班斯法案”的本质是对企业管理全方位的要求，比如企业是不是设计了一套完善的内部控制框架，这个框架是不是在企业内有效运营，并能够防止企业在内部控制流程中的一些风险。从长远来看，会提升公司治理水平，或许更多人会认同404条款对于美国资本市场健康发展的作用。毕竟，一旦发生公司丑闻，投资者的损失将远远超过公司目前付出的成本。

中国在美上市企业的“生死时速”

中国公司风险管理和内部控制薄弱，整体准备状况较差，进展缓慢。有调查显示，40%在美国上市的海外公司在原定期限前难以达到404条款的要求，更何况一直在外部监管不健全环境下成长的中国企业！离最终通过考验的时刻正在迫近，如何在短时间内，抓住主要问题，完善公司内部控制，是国内众多在美上市企业迫切关注的问题。同时，那些没有在美国上市的企业也开始关注“萨班斯法案”，因为，如香港联交所和中国内地新颁布的《中华人民共和国公司法》和《中华人民共和国证券法》也都出台了类似的规定。

严格的公司治理与信息披露要求不仅影响到在美国上市的公司，国内公司目前也面临这种强制压力。无论是上海证券交易所，还是香港联交所，都已经先后公布了与“SOX法案”类似的相关法规，对上市公司建立内部稽核制度和信息披露要求进行了探讨，也对与财务报告相关的IT控制提出了要求。可见，与“SOX法案”遵从类似的项目，必将进入更多中国公司董事会和管理层的议事日程。

我国近期也出台一系列加强公司治理、严格公司信息披露，保护投资者的法律、法规以及指引：

2005年10月27日通过的新《证券法》、新《公司法》结合中国股权结构集中的特点，在公司治理问题上，特别增加控制股东的诚信义务，既包括对公司的诚信义务，也包括对中小股东的诚信义务。新《公司法》确认控制股东对公司和其他股东负有诚信义务，并明确控制股东的赔偿责任范围和责任追究机制。新《公司法》还细化董事、经理等高管人员的诚信义务，引进股东代表诉讼制度，允许具有公益心的股东在公司怠于或者拒绝对损害公司利益的高管人员追究责任时，以自己的名义、为了公司的利益而对于高管人员提讼。“揭开公司面纱”制度被正式引进新《公司法》。“揭开公司面纱”是在英美国家的司法实践中发展起来的判例规则。“面纱”就是公司的法人人格，即公司以其全部资产对其债务承担有限责任。揭开这层“面纱”就是为了实现公平正义的目的，在具体案例中漠视或忽视公司的法人人格，责令躲在背后的股东或公司的内部人员对公司债权人直接承担责任。