it审计和普通审计精选(九篇)

第1篇：it审计和普通审计范文

【关键词】信息 信息系统审计 问题

一、对信息系统审计的一般认识

（一）信息系统审计的发展历程

审计是经济社会发展到一定阶段的产物，随着经济和社会不断变化，计算机信息技术不断发展进步，信息系统审计也应运而生并不断发展。信息系统审历经形成、建立到逐渐完善，低级到高级历史进程，具体可划分为萌发阶段、拓展阶段、成熟阶段、普遍提升阶段。

1.萌发阶段。上世纪中叶，信息系统审计（以下简称ISA）处于萌芽阶段。IBM出版了《电子数据处理环境下的审计》；美国注册会计师协会（以下简称协会）出版了《会计审计和计算机》，阐述了如何进行电子数据下信息系统审计与传统外部审计，指出新的电子数据下内部审计的规范、组织方式等。此时ISA又被称为电子数据处理审计（EDPA），也就是以计算机为核心的审计。1969年，信息系统审计与控制协会（以下简称ISACA）在美国成立，标志着国际社会正式开始对ISA的研究。

2.拓展阶段。二十世纪七十年代，不断出现的计算机犯罪促使ISA的拓展。1974年，协会制定了电子数据处理审计的标准并记录于《内部管理的调查与评价对EDP的影响》一书中。1977年，内部审计师协会发表《系统可审计性及规则的研究》（SAC报告），该书汇总了针对欧洲、美国、加拿大与日本等国家的企业所展开的调研情况，同时指出审计执行工具取得的成就。1975年，日本ISA委员会成立并且在1976年发表多部与信息系统审计相关的书籍：《使用电子计算机的会计组织的内部规则质问书（修订案）》、《EDP审计标准及审计过程试案》和《EDP审计方法》等。1978年，信息系统审计师（CISA）考试与资格认证开始实施，这标志着ISA的深入拓展。

3.成熟阶段。信息系统审计发展的成熟期是八十年代。1982年，日本通产省设立计算机安全研究会，对健全信息化的必要法规进行研究。1983年，发表紧要课题——《有关计算机的安全对策》。1984年，日本ISA协会研究美国的ISA标准并于1985年《IT审计标准》，同时将IT审计师考试加入计算机水平考试中。

4.普遍提升阶段。ISA在二十世纪九十年代不断普及。这一时期，ISACA不断拓展扩大，一百六十多个分会遍布全球，拟定并颁发ISA法则与实务指南，同时积极推广CISA资格考试。1992年，EDP审计委员会在国际最高审计组织（INTOSAI）的推动下成立了，因此又被称为INTOSAI-EDP委员会。2002年11月将其变更为INTOSAI-IT委员会。

信息系统审计的拓展提升，一方面使得传统审计技术不断扩展改变并应用广泛；另一方面整个社会依赖计算机信息系统越来越紧密促使信息系统审计越来越重要，信息系统审计代表了未来审计发展的一个重要方向。

（二）信息系统审计的涵义

全球信息系统审计领域内的著名专家Ron A. Weber指出，信息系统审计是审计人员经被审计单位的授权或者委托，收集、整合证据，从而评估一个计算机信息系统能否有效地维护资产、保护数据完整性，同时最有效地实现组织目的的活动进程。它包含信息系统外部审计的鉴证目标和内部审计的管理目标，具体来讲是鉴证被审单位数据的完整性与资产的安全性以及信息系统的有效性。日本通产省情报协会将其概述如下：为了信息系统的有效、安全与可靠，由独立审计对象之外的IS审计师，以客观的立场对以计算机为主的信息系统展开全面的检查与评估，同时对所审计单位的最高领导提出意见和建议的一系列的活动。邓少灵学者指出，IT审计是从规划、研究、实行到执行维护各个阶段展开对信息系统的审查与评估，从而审查信息系统的有效、安全与可靠，以此来保障信息系统得出的数据精确可靠。

以上学者对信息系统的定义虽然不尽一致，但通过分析可以发现信息系统审计的一些要点：

1.信息系统审计的目标是判断信息系统能否有效保护公司资产，提高企业经营效率和企业核心竞争力。

2.信息系统审计是一个过程，这个过程需要涵盖企业信息系统从规划、开发、实施到运行维护的每一个阶段。

3.信息系统审计报告面对的对象是企业经营管理负责人，因为信息系统关系到企业的日常运营以至生存发展。

综合上述几个要点，笔者总结出，信息系统审计是对企业信息系统规划、研发、实行、执行维护与实现组织目标的效率进行审计的过程，在这个过程中，信息系统审计人员应该对信息系统能否有效保护公司资产，提高企业经营效率以及企业核心竞争力作出判断，并向企业经营管理负责人如实报告。

二、信息系统审计的研究现状

第2篇：it审计和普通审计范文

关键词：IT审计师　计算机审计　网络审计

一、引言

信息系统审计师，也称IT审计师或IS审计师，是指一批专家级人士，既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全，又熟悉管理的核心要义，能够利用规范和先进的审计技术，对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。IT审计师是由“国际信息系统审计与控制协会（ISACA）”认证的。ISACA是国际上惟一的信息系统审计师专业组织。会员被称为信息系统审计师，也就是我们通常所说的IT审计师，其主要从事的工作包括：向客户提供与信息系统相关的服务，在财务审计中对被审计单位的信息系统的了解、测试和评价以及计算机辅助审计技术的运用等方面。一般的IT审计师都具备全面的计算机软硬件知识，对网络和系统安全有独特的敏感性，并且对财会和单位内部控制有深刻的理解。

随着计算机技术在管理中的广泛运用，传统的控制、管理、检查和审计技术都受到巨大的挑战，国际公司、专业咨询公司和高级管理顾问都将控制风险，特别是控制计算机环境风险和信息系统运行风险作为管理咨询和服务的重点。几乎所有的大型跨国公司，由于普遍使用大型管理信息系统，都非常重视对信息系统安全性和稳定性的控制。这就常常需要高薪聘请国际信息系统审计师（简称IT审计师）进行内部审计。因此，IT审计师已经成为全球范围最抢手的高级人才之一。

二、IT审计师的出现迎合了计算机审计的发展

计算机审计的发展一般要经过绕过计算机审计，穿过、利用计算机审计，网络审计三个阶段。其中前两个阶段属于计算机桌面审计系统。绕过计算机审计是指将计算机处理系统看作是一个“黑箱”。根据被审对象对计算机数据处理系统输入的原始数据，通过手工操作，将处理结果于计算机处理系统的输出进行对比，检查其是否一致，属于计算机审计的初级阶段。穿过计算机审计是对计算机数据处理系统进行审计，包括系统目的与功能需求是否达到，系统与系统设计是否先进、和实用，程序设计是否正确可靠，内部控制是否健全、可靠，管理制度是否严密、有效，文件资料是否齐全、完整等。利用计算机审计是为实施审计专门开发计算机程序，检验被审单位电子计算机程序的可靠性。网络审计是指综合运用计算机网络及其相关技术手段对网络经济及网络系统进行审查的新型审计，是计算机桌面审计系统发展的高级阶段。

随着目前电子商务等网络经济的发展和完善，网络审计势在必行。网络审计的模式，从审计的客体角度方面，是建立在网络基础上，对被审单位一定时期内全部或部分经济活动，特别是正在发展中的电子商务、电子、网络财务、网络会计等进行审计的计算机系统。它包括两个方面：其一是对被审系统开发过程进行审计；其二是对被审系统运行过程及其结果进行审计。目前计算机审计的发展大多还处在只是对被审系统运行结果进行审计，或进一步对被审系统运行过程进行审计，这样的审计是建立在假定被审系统安全、可靠基础上的。而实际上这种假定是否合理，是应当予以验证的，这种验证也就是要对被审系统的安全性、稳定性、有效性进行审计、检查、评价和提出改造建议。而这也正是IT审计师的主要工作，并且这部分工作也是一直上溯到被审系统开发过程的。因此，IT审计师的出现正好迎合了网络审计模式的需要。IT审计师虽然主要源于信息系统安全而产生，其主要工作也含有较高的计算机技术因素，但就发展来看，IT审计师的出现迎合了计算机审机的发展趋势，昭示着计算机审计不久将随着电子商务、网络财务等的全面展开而逐步发展到网络审计阶段，未来的IT审计师们也将成为网络审计的“主力军”。从这个角度上讲，IT审计师也是计算机审计发展的必然产物。

三、IT审计师在网络审计的重要作用

计算机审计发展到网络审计后，计算机审计的主要将包括网络安全技术与内部控制系统的审计、系统开发审计、程序审计、数据文件审计等四个部分。通过分析可以发现，这四个部分的内容，不同程度地与IT审计师相关联，IT审计师在其中将起重要的作用。

（一）网络安全技术与内部控制系统的审计

从Internet诞生起，信息和网络的安全性就成为关注的一个焦点。在Internet发展的每一个阶段，安全问题也都是基础性的、关键性的因素。对于网络审计，其首先遇到的也是网络的安全性测试问题。与安全性相应的还有网络系统的内部控制的测试问题，网络系统的内部控制包括一般控制和应用控制两个方面。一般控制包括组织控制、软件开发、硬件和系统软件控制、系统安全控制、维护控制和文档控制等方面的审查与测试。应用控制包括输入控制、处理控制、输出控制。IT审计师的主要工作就是利用标准、规范和先进的审计技术，对信息系统的安全性、稳定性和有效性进行测试、检查、评价和改造。IT审计师首先关注信息系统的安全性，没有安全就没有一切，IT审计师会采用各种来测试系统的安全性，并对来自内部和外部的安全隐患提出相应对策；IT审计师还要审查信息系统的稳定性，没有长期稳定性，信息系统就无法承担起激烈竞争的压力，IT审计师会提出一系列对策保证客户信息系统的万无一失；IT审计师还要鉴别信息系统的有效性，最安全和最稳定的系统不一定是最有效的系统，而效率不高的系统就会消耗大量的资源，一般情况下，一说到信息系统建设，大家都觉得是工程师或程序员的事，事实上，这是非常错误的观点。一个好的系统，在安全和稳定的前提下，必须最大程度符合企业经营流程的特点，经济、有效地解决问题和提供信息。要做到这一点，信息系统开发和维护过程中，就必须有大量的经营管理人员参与， 设计出最优的信息流转路径。如果不重视信息系统的有效性，其危害同样是巨大的。一方面由于其繁琐和复杂，导致内部业务人员不会用、不想用或使用不当；另一方面使用过程中的差错又会导致稳定性和安全性方面的问题。显然，要对信息系统的安全、稳定和有效进行监控，就不单纯是某类技术人员能够完成的任务，经过专业训练，经验丰富的信息系统审计师将在这一领域发挥重要的作用。信息系统审计师的突出特点就是兼通技术和管理，能够利用规范的审计手段，比较客观和冷静地分析、评价企业现有信息系统的运行，并从专业的角度提出建议。

通过以上分析我们看到，IT审计师的工作中实际上已经包含了网络安全技术与内部控制审计的内容。进一步从IT审计师的服务对象分析，IT审计师主要是为以下几类对象服务：

软件供应商。特别是经济管理类的集成软件供应商，需要信息系统审计师参与产品设计、规划和检测，并对客户现有信息系统进行评价，提出改造设想。全球所有重要的ERP和CRM产品供应商都聘请大量信息系统审计师。

管理咨询机构。20世纪90年代以后，管理咨询的重点已经逐步为提供一揽子解决方案，其中信息系统的配置，就是解决方案成功的基础。国际知名的管理咨询机构中，有50%以上的员工熟悉信息技术，其中20%拥有信息系统审计师资格。

师审计师事务所，是信息系统审计师最早的落脚点，“五大”国际会计公司超过30%的收入来自于风险管理部门。这个部门的最主要工作就是监控客户的信息系统风险和运营风险，同时为客户提供ERP或CRM的安装、维护和培训。会计师审计师事务所中传统财务报表审计也越来越离不开信息系统审计师的贡献。没有他们的工作，评估内部控制风险和固有风险将成为一句空话。人们常常看到，“五大”会计公司里，最年轻的合伙人或经理，往往都是信息系统审计师，因为这是一项年轻人的工作。

跨国公司。作为信息系统最集中的用户，跨国公司急需大量信息系统审计师，一方面参与信息化建设的过程，另一方面时刻保持对分支机构的信息监控。还有一种最新迹象表明，跨国公司内部审计部门也在大量招聘信息系统审计师，以加强内部的监督和牵制。

大型国有企业和上市公司。这些机构往往有雄厚的财力来实现管理的信息化、保证生产经营的稳定性，他们对信息系统审计师的要求和跨国公司类似。

（二）系统开发审计

系统开发过程一般分为：系统初步调查和可行性、系统详细调查和系统、系统总体设计、系统详细设计、程序编制、程序调试、系统调试、系统转换、平行操作试验、系统评审、系统维护和评价等过程。系统开发审计是事前审计，实际上是审计人员参与系统的全过程。主要监督审查下列：（1）系统的功能是否恰当、完备，能否满足用户商务活动的需要；（2）系统的数据流程、处理是否符合有关商贸法规；（3）系统是否建立了恰当的程序控制，以防止或发现无意的差错或有意的舞弊；（4）系统是否保留充分的审计线索，保证了商务系统的可审性；（5）系统的安全保密措施和管理制度是否健全，能否保证系统安全可靠地运行；（6）系统的文档资料是否全面、完整。这部分和IT审计师的工作内容实际也是相适应的。因为IT审计师正是参与一个系统分析、设计和调试运行全过程的“保健医生”，并且IT审计师最关注系统的安全、稳定、有效。

（三）程序审计和数据文件审计

应用程序是信息系统的核心，其是否遵守国家财经法规和政策，对业务的处理是否合规、合法、正确等，均体现于应用程序。可以手工对应用程序直接进行审查，也可以使用机辅助方法，也可以通过数据在程序上的运行间接测试。电算化会计信息系统中，实质性测试的对象是数据文件。对数据库或数据文件的审计主要目的是为确保数据的完整性与正确性等。对数据文件的实质性测试包括：对各账户余额和发生额直接进行检查；对会计数据进行分析性复核，旨在对数据文件进行实质性测试；测试一般控制措施或应用控制的符合性。可以使用不处理数据文件的实质性测试方法、处理实际数据文件的实质性测试方法及处理虚拟数据文件的实质性测试方法。这两部分内容没有IT审计师的技术支持，一般审计人员也难胜其任。

四、结论

由上可知，审计业务发展至今，传统财务审计工作只是审计中一个特别小的组成部分。审计师最重要工作之一，是发现被审计单位最重大的风险隐患，在认定其持续经营的基础上，再对财务报表的真实、公允性发表审计意见。如果审计师认为被审计单位的信息系统是业务运转的平台，是风险高发区，那么对信息系统的安全、稳定和有效的评价就成为审计的基础和重点。当然，对信息系统的审计和对财务事项的审计，手段有所不同，但基本的程序和原理都是一样的。同时计算机审计的主要内容均和IT审计师有重要关联，IT审计师是开展计算机审计工作的重要推动力量。因此，我们在培养高级审计人才时，应注重IT审计师知识结构，在数学体系上增设以下内容：信息系统审计程序；信息系统的管理计划和组织；技术基础和操作实务；信息资产的保护；灾难恢复和业务持续计划；业务应用系统的开发、取得、实施和维护；业务过程的评价和风险管理等。

参考：

1.刘威，强清。关于计算机审计与IT审计师关系问题的探讨。财贸研究，2003（1）

第3篇：it审计和普通审计范文

[关键词] COBIT IT外包 风险管理

一、COBIT标准综述

COBIT(Control Objectives for Information and related Technology)是美国信息系统审计和控制协会ISACA(Information Systems Audit and Control Association)基于其原有的控制目标体系(Control Objectives)，结合并改进现有的正在发展中的其他国际技术标准和工业标准而制定的控制目标体系,是国际上最先进、最权威的安全与信息技术管理和控制的标准。COBIT控制目标体系是一个较完整的信息系统管理和控制的参考模型,它将政府和企业的信息化归纳为34个IT处理过程，并逐个提出指导意见。通过将COBIT应用到信息系统的开发和实施环境，可以为管理人员、开发人员和审计人员来强化和评估信息技术外包风险的管理和控制提供依据。

二、IT外包的风险分析

企业IT外包处于IT战略中的资源管理层面，是帮助企业将注意力更多地投入到商业管理而非信息技术管理，进而更专注地追求核心竞争力的一条途径。尽管IT外包愈来愈普及，但外包失败的案例并未因此而减少。IT外包风险的表现就是外包失控。由于把部分或全部IT资源外包给企业外部的服务商，企业对服务商的管理就要比管理自己的IT部门复杂得多，时刻会面临失控，主要表现在以下三个方面:

风险一:IT外包可能会在服务的及时提供和服务的质量方面达不到预期效果。

风险二:企业对承包商的依赖度高反而降低了企业的灵活性，企业成本不降反升。

风险三:企业的商业机密可能会被泄露，知识产权可能会被盗用。

三、基于COBIT的IT外包风险管控体系

COBIT的控制目标主要是针对信息系统的管理控制和运行控制，COBIT提出的控制目标可以应用到所有的信息系统。因此，它的控制目标对IT外包系统来说大部分是适用的，但因其业务特殊性，必须结合发包企业的具体环境和承包商的实际情况，加以修改、补充和完善。

1.组织与规划

系统规划是IT外包项目建设的第一步，包括发包企业的战略目标、政策和约束、计划和指标分析;发包企业原有的建设目标、建设模式;企业信息的功能结构、组织、人员管理；IT外包的效益分析和实施计划。规划的好坏对IT外包项目的建设的成败有至关重要的影响。

整个信息系统的建设要以优化企业的核心业务流程，提高工作效率，更好地发挥企业综合协调与服务的职能为总体目标。规划必须满足:规划本身应当明确无误而且易于理解，应当是一个可以为大多数人所理解和认同的概念。规划必须得到领导小组的认可;规划目标应当是可衡量的；规划必须建立在对内外信息调查的基础上制定。

2.获取与实施

系统分析是在充分的调查的基础上对企业内部的整体管理状况和信息处理过程进行分析。系统分析的工作量非常大,所涉及的业务、人、数据和信息非常多。而且在实际情况中,企业信息化的需求难以一次确定,并且会不断发生变化;另一方面，承包商对政府的具体业务业并不熟悉,常常会发生理解上的偏差,从而导致建模的错误。因此,完成的系统分析必须满足以下一致性、完整性、现实性和有效性这四方面的要求。然后在系统分析的基础上,研究承包商外包方案的可行性,制定相关技术标准、实施规范。

3.服务与支持

发包企业的需求是不断变化的，商业目标也是随着企业的发展而逐步更新的，承包商要做好完善的数据跟踪，在可行范围内满足发包企业的需求，不断改进和修正开发计划中遇到的问题和缺憾。

4.审计

IT外包项目在发包企业实施以后，系统的可靠性、安全性和有效性是非常重要的，系统中的信息成为政府最宝贵的资源。内部审计是在政府内部建立信息系统审计组织，由内部信息系统审计人员对电子政务系统的可靠性、安全性、有效性进行检查与评价，将结果报告给政府管理层。内部信息系统审计部门，从组织地位上来讲必须独立于政府的IT职能部门和最终用户部门。

构建基于COBIT的信息系统管理、控制与审计模型，将便于人们对信息系统建设与应用过程的理解与分析,指导人们建立相应的机制,将信息系统建设与应用的全部过程置于有效的管理与控制之下。对信息系统的投资者和管理者,将帮助他们在通常不可预测的IT环境下平衡风险与投资。对信息系统的使用者,将通过管理、控制和审计为他们提供安全保障和一定的服务水平。对审计师而言,将帮助他们明确审计轨迹,使他们做出的鉴定和劝告更具说服力。

四、总结

通过构建基于COBIT标准的信息技术过程集，我们可以把对IT外包的风险管理细化到各个过程，构建过程的风险管理模型，从而化繁为简，使复杂的IT外包业务管理、控制和审计结构化。对IT外包拥有正确的风险管理思想为指导，能够促进健全的管理机制建立，便于技术与工具的应用，使风险管理过程更加规范化。

第4篇：it审计和普通审计范文

2007年5月25日，企业内部控制标准委员会第三次全体会议在北京友谊宾馆低调举行。会议对企业内部控制规范征求意见稿和若干项具体规范讨论稿进行了深入讨论。可见，作为现代企业内控的重要手段和考量目标之一，IT内审重新引起了企业的广泛关注。

本期专题，就IT内审的目的与现状、中国企业IT内审的特点和难点、以及如何形成中国IT内审规范，展开了深入的探讨和调查分析。

“中国萨班斯”进行时

证监会纪委书记、企业内部控制标准委员会副主席李小雪在企业内部控制标准委员会第三次全体会议上表示，建设企业内部控制标准体系是资本市场的一件大事――健全有效的内部控制可以提高上市公司财务报告的有效性；可以保障公司资产安全，减少舞弊事件发生，堵塞漏洞，有效提高风险防范能力，降低公司风险；可以提高公司经营效益及效率，提升上市公司质量。

我国对企业内部控制评价的关注始于上个世纪80年代末，但当时的评价大都流于形式。“银广夏”等上市公司财务舞弊事件、“中航油事件”等等因内部控制失效造成财产重大损失的案件，在一定程度上要归咎于企业内控机制的不健全。

此后，我国政府开始重视内控评价的规范化建设。审计署、财政部、证监会、银监会等组织均出台了关于内部控制评价方面的规范，而2006年则是关于上市公司企业内控规范讨论最为热闹的一年。

2006年6月5日，上海证券交易所出台了《上海证券交易所上市公司内部控制指引》，对上市公司内控制度和风险管理制度出台了重要规定，引起了业界的强烈反响。

在信息技术无处不在的今天，IT既是企业内控的一个有效手段，同时IT本身又充满了风险，成为内控的重要目标之一。因此， IT内审引起了广泛关注。科索路咨询公司还专门对此了《IT内审调研报告》。

2006年7月15日，财政部联合国资委、证监会、审计署、银监会、保监会发起成立了“企业内部控制标准委员会”，旨在“基本建立一套以防范风险和控制舞弊为中心、以控制标准和评价标准为主体，结构合理、内容完整、方法科学的内部控制标准体系，推动企业完善治理结构和内部约束机制”。委员会的成立被视为中国版“萨班斯法案”即将出台的前兆，中国内部审计协会会长王道成当时曾向媒体表示，3年之内中国就会有自己的“萨班斯法案”。

2006年9月28日，深圳证券交易所《上市公司内部控制指引》，规定深市主板上市公司要建立完备的内部控制制度。在2007年7月1日文件正式生效后，上市公司均需按要求披露内控制度制订和实施情况。

很多人都相信，具有强制效力的中国上市公司内控法规就要形成，甚至有很多企业或个人认为随着企业内控法规的形成，与IT内审相关的咨询或者软件将是一个很好的市场机会，并雄心壮志地投身到这一领域。

但是到了2007年，在股市热潮背后，关于企业内控和IT内审规范工作似乎处于停滞状态。有些曾经看好IT内审市场机会的公司开始后悔自己当初的决定。这不禁让人怀疑，难道牛市的今天企业内控就不那么重要了？IT内审的热潮从此告一段落？

审迫在眉睫

事实远非如此。

2007年3月，企业内部控制标准委员会公布了《企业内部控制规范――基本规范》和17项具体规范(征求意见稿)，并开始向有关单位和专家征求意见。

2007年5月25日，由企业内部控制标准委员会主席、财政部副部长王军亲自参加的企业内部控制标准委员会第三次全体会议在北京友谊宾馆低调举行，会议对企业内部控制规范征求意见稿和若干项具体规范讨论稿进行了深入讨论。

财政部还表示，将根据本次会议讨论的情况尽快修订企业内部控制规范征求意见稿和讨论稿，抓紧建立中国企业内部控制标准体系。所有这一切都证明，尽管没有声势浩大的活动进入人们的视野，但“中国的萨班斯法案”依旧在紧锣密鼓地酝酿中。

业内人士分析，尽管今天企业内部控制规范征求意见稿依旧在讨论中，但是一旦被确定，肯定会和萨班斯法案一样对上市企业具有强制性的约束。毫无疑问，尽管还有上市公司对IT内审没有足够重视，但IT内审是否规范必将成为上市公司存在的必要条件之一。

现代企业的经营越来越依赖于信息系统，除了传统意义上的经营风险、控制风险和财务风险，企业信息系统的安全性导致的信息风险日益增长。同时对大部分企业来说，信息技术已经融入到企业各项业务中。IT内审作为企业内部控制的一个重要手段和对象，已经得到政府相关机构、企业和咨询机构普遍认可。

目前的《企业内部控制具体规范(征求意见稿)》中，专门提出了计算机信息系统的征求意见稿，就总则，岗位分工与授权审批，信息系统开发、变更与维护控制，信息系统访问安全，硬件管理和会计电算化及其控制等六个方面提出了43条详细征求意见。

企业表现各不相同

“招聘资深内审员，要求具有5年以上跨国公司会计与财务方面工作经验，并有IT系统审计方面的工作经验”。最近，“IT内审员”的新鲜职位已经开始出现在各大招聘网站。

很多被访企业表示，他们已经或者正在考虑采用新的技术手段来辅助企业内部控制工作，比如说中信集团公司早已经在2005年就开始采用加拿大审计软件ACL、易通审计软件开展审计。

承接企业内控咨询业务的会计师事务所或咨询公司表示，他们所接触的IT内审业务在明显增加。

……

种种迹象表明，IT内审规范的推动并没有停滞不前，之所以让人感觉“停滞”，主要是因为以下几方面的原因：

首先，很多企业对于内部控制仍然采取比较被动的态度。对于那些早在国内上市的企业，由于上交所和深交所出台的《指引》对他们没有强制性的约束，没有对内控的紧迫感。而那些在海外上市或者新上市的企业，大都是为了满足上市条件或者相关法规而被迫进行内部控制和IT内审。在香港上市的某公司的CIO告诉记者，对他们来说，IT内审就是每隔一段时间按照会计师事务所提供的一张单子中对IT的要求落实就可以了。

其次，目前大部分企业的IT内审工作主要是交给第三方机构来办理的。很多在海外上市或者被外资公司控股，特别是在美国上市的企业，早已经通过第三方机构在IT审计方面走在了前面。第三方机构对这块业务驾轻就熟，更多的企业选择IT内审对他们来说只是业务量的增加，因而没有引起大范围的讨论。

第三，很多企业虽然已经意识到IT内审的重要性，但是苦于IT基础太差、缺乏相关经验而暂时搁置。亚新科工业技术有限公司是一家总部设在北京的外资企业。为了让企业健康稳定地发展，公司从1999年就已经建立了完整的内部制度，并且还专门成立了内控部。但是，公司内控部总监麻蔚冰告诉记者，目前他们还没有实现IT内审。他认同随着信息技术在企业广泛应用，IT内审是企业内部控制的必然趋势。亚新科从去年就开始关注这一趋势，但由于公司内部的IT建设还不够完善，再加上IT内审所牵涉的东西非常复杂，暂时也没有好的经验可以借鉴，所以目前尚处在探索中。

规范形成尚待时日

那么，适合中国的IT内审到底该怎么做？如何形成适合中国国情的IT内审？

很多企业都希望 《企业内部控制具体规范(征求意见稿)》能够给他们未来的IT内审提供有用的参考。

王军在企业内部控制标准委员会第三次全体作会议上也强调，内部控制标准体系建设要着力处理好借鉴国际和顺应国情的关系。目前，在尚未形成自己的规范并且没有更好的办法之前，业界已经认识到“西学中用”是最好的选择。

德勤咨询公司企业风险管理服务高级经理周梓滔告诉记者，目前的征求意见稿中不仅参照了萨班斯法案，还参照了很多地方的相关法规。

但是业内人士分析，毕竟中国企业有很强的特色，必须在参照这些经验的同时充分考虑中国企业自身的特色。

记者就IT内审规范这个问题拨通财务部会计司企业内部控制标准委员会某一负责人的电话时，得到回答是，征求意见稿中“计算机信息系统”部分还只是“征求意见稿”，希望有经验的咨询公司和专业人员能够积极参与，提供有用的建议。

在访谈了一些内控咨询专家、企业内控工作者后，记者认为以下几个方面是在建立IT内审规范过程中最不能忽视的：首先，企业对IT内审的重视不够；其次，企业的IT建设不够完善，建立像美国上市公司那样的IT内审难度较大；第三，企业IT内审部门的归属问题不明确：目前国内企业审计部门独立的就比较少，而IT内审既涉及审计又涉及IT，归属问题就更加不好确定；第四，IT内审的投入成本大，美国的大型公司仅在第一年建立内部控制系统的平均成本就高达430万美元，这对规模偏小的中国上市企业来说是不现实的……

由此可见，我国要建立完善的IT内审规范还需时日，但对于企业来讲，未雨绸缪却必不可少。否则具有法律约束力的规范一旦执行，临时抱佛脚几乎是不可行的――因为企业的IT建设本身就不是一蹴而就的事情。

链接:关于萨班斯法案

第5篇：it审计和普通审计范文

关键词：信息系统审计；政府审计；社会审计；内部审计

信息系统审计是信息化发展到一定程度的必然结果。它是一个通过收集和评价审计证据，对信息系统能否保护资产安全、维护数据完整、有效实现组织目标、高效使用组织资源等方面做出判断的过程。

一、信息系统审计的发展与国内信息系统审计现状

早在大型计算机时代的1954年，美国通用电气公司就实现了会计电算化。那时审计人员没有能力检查计算机系统的内部处理过程，只能根据原始数据对处理结果进行人工核对，被称为“黑盒审计”。随着计算机应用技术的发展，财务软件和业务软件迅猛增长，客观上要求审计人员关注EDP（电子数据处理）。1973年，Touche Ross审计事务所首次检查美国权益融资公司电算化系统的计算机处理过程，开启了“白盒审计”时代。

1968年，美国注册会计师协会出版了《审计和EDP》，介绍如何开展EDP审计、如何进行内部控制检查。1969年，信息系统审计组织——EDP审计师协会正式成立；1977年，它出版了COBIT（信息及相关技术环境下的控制目标）行业标准；1978年，它推出了CISA（国际注册信息系统审计师）资格认证；1994年，该协会更名为ISACA（信息系统审计与控制协会），这反映了人们对计算机审计的关注重点从电子数据审计转向系统控制审计；1999年，它开始研究IT治理，并提供了信息及其相关技术的管理体系模型和最佳实务；2002年，它又推出了CISM（国际注册信息安全经理）资格认证。2002年美国政府出台SOX法案，对上市公司的年度审计增加了信息系统控制审计方面的要求。

我国的信息系统审计起步较晚，20世纪90年代学术界才开始在国外信息系统审计发展成果的基础上开展国内信息系统审计发展的探索和研究。到目前为止，主流的应用分为两大类：一类是依据SOX法案，对在美国上市的国内公司进行信息系统内部控制测评；另一类是依据COBIT标准来评价信息系统的安全性、可靠性和有效性。

二、国家审计、社会审计和内部审计的区别和联系

我国的审计组织体系由国家审计、社会审计和内部审计组成。

国家审计是指政府审计机关依法独立监督国务院各部门和地方各级政府、国有财政金融机构和企事业单位组织的财政财务收支情况的真实性、合法性和效益性的行为。其目标有：1、审查被审计单位的会计帐表、凭证及相关资料，评价其是否真实、完整、公允地反映了该单位的财政财务收支状况；2、评价被审计单位财政财务收支的合法性，审查其是否违反国家规定和相关财经法规；3、评价被审计单位财政财务收支活动的效益性，审查其是否存在决策失误、管理不善等造成的损失浪费和国有资产流失行为，是否存在不讲效益、效率和效果的现象。

社会审计是注册会计师接受委托，对被审计单位的会计报表及相关资料进行独立审查，并对其是否真实、公允地反应该单位的财务状况和经营成果做出鉴证。其职能有：1、替股东们揭露管理人员在业务经管过程中有无舞弊行为；2、验证财务报表是否真实公允地反映了公司财务状况和经营成果，发表一个具有职业权威的鉴证意见。

内部审计是指在部门或单位负责人领导下的专职审计机构或人员，对本部门、本单位的财政财务收支及各项经济活动的真实性、合法性和效益性进行审查和评价，以提出审计报告、意见和建议的一种经济监督活动。其目标是发现企业管理中的漏洞及存在的问题，从而挖掘企业内部潜力，改善经营管理，提高经济效益，实现企业资源的最佳配置，增强企业的自我发展能力。

我们要处理好这三者的关系，让它们各尽所能地执行审计监督，同时还要让它们相互协作、共享有关审计资源，从而使整个社会的审计监督成本最小化、审计效率最大化。在信息系统审计方面，国家审计、社会审计和内部审计应该分工协作，各有侧重点地均衡发展，以构建我国合理的信息系统审计监督体系。

三、国家审计、社会审计和内部审计在信息系统审计方面分工协作的建议

（一）国家信息系统审计工作思路为：

1.对于在财政财务收支审计、效益审计项目中涉及的信息系统审计，建议审计人员在详细了解和初步评价信息系统内部控制的基础上，对内部控制的薄弱环节实施数据审计；必要的时候再根据情况适当关注信息系统的软硬件环境及其建设过程。

2. 对信息系统展开专项审计调查时，还应对信息系统项目的整体效益进行审查，了解其功能设置能否满足系统目标，评价其信息系统建设是否符合整个单位的信息化发展战略及其业务发展战略。

（二）社会信息系统审计工作的重点为：

1.注册审计师应当关注各种内部控制框架，结合国内实际开发上市公司信息系统内部控制评价标准，为杜绝其财务舞弊提供法律约束和自律制衡机制。

除了COBIT框架中的相关内容外，注册审计师还应当关注的其他标准有COSO框架（内部控制——整体框架）和ITIL（信息技术基础架构库）。尽管COSO框架并不是信息技术方面的内部控制框架，但是由于它在审计领域的重要性，几乎所有的信息系统审计的框架和指南都会考虑吸取它的主要思想作为内部控制的考虑出发点。SOX法案把COSO框架作为组织加强内部控制的唯一参考框架。ITIL为企业的IT服务管理实践提供了一个客观、严谨、可量化的标准和规范，它是目前普遍实行的“事实”上的标准。它包括了一系列适用于所有IT组织的最佳实践——无论这些组织的规模如何，以及使用的是什么技术。

2.注册审计师还应当关注信息系统安全相关技术，紧跟国际潮流，参照国外SysTrust、WebTrust认证，结合国内实际，加快国内信息系统安全认证标准的研究和应用。

20世纪90年代中期，互联网在全球范围内普及。1998年由于软件和程序的错误，AT&T公司的一台主要交换机产生故障，使许多信用卡用户在长达18个小时的时间里无法完成正常的交易。类似事件的发生使人们开始关注IT服务的可靠性问题，对信息系统的可靠性进行认证的服务应运而生，这种认证被称为SysTrust（信息系统安全认证），其标准被称为“SysTrust原则与标准”，该标准由美国注册会计师协会和加拿大特许会计师协会共同开发。

20世纪90年代末，电子商务迅速成为互联网上的热点应用。2000年2月，雅虎、亚马逊、易贝等许多大型电子商务公司遭到黑客攻击，这使消费者对电子商务的信心受到影响，网络公司开始关注如何进行自我保护，对电子商务网站的可靠性进行认证的服务应运而生，这种认证被称为WebTrust（网站认证），其标准被称为“WebTrust原则与标准”，该标准由美国注册会计师协会和加拿大特许会计师协会共同开发，目前欧洲的会计师协会也开始提供这项服务。

（三）内部信息系统审计工作方面：

建议内部审计师重点关注COBIT标准，协助本企业做好IT治理。

1999年，英国首先提出IT治理的概念，他们认为越来越多的企业风险是由内部控制疏忽、信息技术失败引起的。同年，ISACA成立了IT治理研究院，专门研究IT治理的概念，并提供了信息及其相关技术的管理体系模型和最佳实务。目前，该体系已在世界上100多个国家的重要组织中成功运用，指导这些组织有效利用信息资源、有效管理信息相关的风险。

内部审计师应当结合本单位实际来研究如何利用COBIT的IT治理最佳实践标准、方法和工具，针对组织的信息系统进行审计，以发现组织信息系统在IT治理、安全、运维、开发及业务连续性等方面存在的技术脆弱性和管理薄弱环节，以适宜的方式向管理当局报告所发现的风险，并对风险进行持续的追踪，不断提高组织的IT风险控制水平。（作者单位：河南省审计干部培训中心）

参考文献：

第6篇：it审计和普通审计范文

申石统一身份访问管理软件是由上海申石软件科技股份有限公司研发的重点产品，是一套完善的身份与访问控制管理软件平台。该产品可以帮助客户实现用户全生命周期管理、集中身份认证、应用的单点登录访问、访问权限集中授权和访问控制，以及用户访问行为的记录和审计。

集中管理所有IT用户

申石统一身份访问管理软件具有集中管理企事业单位的所有IT用户的功能，让其在合适的时间，用合适的权限，快速访问到合适的信息资源。一方面，提高IT运维管理效率；另一方面，保护信息资源的安全性，杜绝越权访问和信息泄露。

作为一套完善的身份与访问控制管理软件平台，申石统一身份访问管理软件具有以下主要功能模块。

·统一用户和权限管理模块；

·安全身份认证与访问行为控制模块；

·集中安全审计模块；

·.应用集成接口模块；

·用户自助服务模块；

信息安全的优势产品

在信息安全领域，申石统一身份访问管理软件具有其优势和特点。

首先是细粒度的权限管控。比如用户访问权限管控的功能，处于业内前沿水平。SENSE SUIAM统一权限管理模型能够适应各种不同应用系统的权限管理和存储。而且，该产品能够对应用内部高细粒度权限进行高效的安全管理，能够管控到菜单、按钮、操作级别的权限粒度。

第二是操作界面友好。SUIAM的管理界面设计合理，为管理员呈现出简洁清晰的管理视图，很大程度上提高管理员的运维管理效率，为广大的普通IT用户提供快捷的自助管理服务。

第三是流程引擎。SENSE SUIAM为用户提供拖拽式的流程设计工具，能够让普通的业务管理人员轻松上手定制需要的流程，而非当流程需要变更时，需要开发人员进行后来的开发才能进行定制

第7篇：it审计和普通审计范文

【关键词】cobit；会计信息系统；内部控制

一 、cobit简介与浅析

cobit（control objectives for information and related technology，信息及相关技术控制目标）是目前国际公认的最先进、最权威的安全和信息技术管理和控制的标准。普华永道的《2006年全球信息安全状况报告》中统计，全世界63%的公司采用了cobit控制框架标准，这一比率是it控制框架采用率最高的。cobit是由信息系统审计和控制协会（information system audit and control association，isaca）（）开发和的，旨在为it 的治理、安全和控制提供一个普遍适用的公认的标准，以辅助企业管理层进行it治理。自cobit 问世以来，先后经历了1998年、2000年和2006年的修改补充，2007年5月，itgi了cobit 4.1，它从it治理的角度，从更高的层面上来指导管理层进行it控制和信息系统管理。由于一方面全球信息化的加剧和我国信息化的发展，另一方面cobit对信息系统控制与审计又有着很好的指导作用，所以当前介绍和引进cobit对于推动我国信息化的健康发展有重要的意义。

cobit 4.1主要是由4部分组成：框架、控制目标、管理指南和成熟度模型。其相互关系如图1所示。

cobit是由相互关联的各组成部分有机结合在一起的，能够为不同的顾客群提供有关治理、管理、控制和保证方面的需要。下面对其组成部分逐一介绍分析。

1. 框架（framework）

cobit将it过程、it资源、与业务要求相适应的it目标结合起来，形成一个三维的体系结构，如图2所示。与业务要求相适应的cobit的it总体控制目标具体是有效性（effectiveness）、高效性（efficiency）、机密性（confidentiality）、完整性（integrity）、可用性（availability）、符合性（compliance）、可靠性（reliability）;it资源主要包括应用系统（applications）、信息（information）、基础设施（infrastructure）和人(people);it过程则是在与业务要求相适应的cobit的it总体控制目标的导向下，对信息及相关资源进行规划和处理，从信息技术的计划与组织、获取与实施、交付与支持、监控与评价等4个方面确定了34个信息技术处理过程。实际上， cobit的it控制目标的实现就是在it过程中管理it资源来完成的。图3详细地描述了完整的cobit框架，显示了cobit的处理模式是如何根据业务和治理要求来管理it资源并使之给业务传递信息的，该模式由4个领域构成，包括34个一般过程。

2. 控制目标（control objectives）

从领域、过程和活动3个层面对总体目标进行分解，通过对特定的活动实施控制，以实现预定的系统目标。为有效地进行it治理，在cobit框架内部通常将需要进行管理的活动和风险分为4个领域，即计划与组织(planning and arrangement)、获取与实施（acquisition and implementation）、交付与支持（delivery and support）和监测与评价（monitoring and evaluation）,领域目标按34个过程进行细分，根据每一个信息技术过程所涉及的系统资源，确定出相应的控制目标；针对每一个信息技术处理过程进一步细分为若干任务，确定出210个具体的控制目标。针对这些具体的控制目标，cobit提供了详细的系统管理策略，包括具体要采取的措施以及要考虑的问题等。这3个层次的控制目标体系使系统管理目标更清楚、更明确，更有操作性。cobit覆盖了整个信息系统的全部生命周期，涵盖了战略、战术与操作的所有层次，处于各个阶段的信息系统都可以参照使用，它所带来的益处是十分明显的，它使it战略与组织战略紧密联系，在业务目标、信息系统、业务绩效目标之间维持平衡。

3. 管理指南（management guidelines）

管理指南是控制目标在企业的具体应用准则，以进行自我评价与选择，进而实施并完善对信息及相关技术的控制，其目的是对it业务活动进行有效控制，使it与业务活动保持高度一致，并通过传递组织所需要的信息使业务活动得以进行。管理指南给出了度量信息系统生命周期各个it控制过程的安全、可靠与有效的指标体系。

4. 成熟度模型（maturity models）

对it过程进行管理和控制的成熟度模型是评价组织的一种方法。它划定6个成熟等级，如图4所示。每一个成熟度等级都规定相应特征，企业可以结合自身的特点，界定出本企业的当前状态。该方法来自于软件工程研究所（software engineering institute，sei）为软件开发能力所定义的成熟度模型，但cobit只是借助于能力成熟度模型（cmm）的形式来为其it管理过程的性质界定出成熟度等级。在cobit 4.1中，34个it治理过程都规定了自己的具体模型。

二、it环境下，加强会计信息系统内部控制的必要性

1. 会计信息系统的演进

会计信息系统的产生和发展是社会经济、技术发展的必然产物。从会计数据处理工具与处理模式来看，会计信息系统的发展可分为3个阶段：一是手工会计信息系统阶段，二是机械会计信息系统阶段，三是计算机会计信息系统阶段。杨周南教授认为计算机会计信息系统阶段又可分为3个阶段：一是电子数据处理阶段，二是综合数据处理阶段，三是决策支持与专家系统阶段。

2. 会计信息系统的定义和特征

会计信息系统（accounting information system，ais）是一种面向价值信息和基于会计管理活动的系统，是在计算机软件和网络环境下，采用现代信息处理技术的一个人机交互的管理信息系统。其基本特征如下：

（1）ais以符合会计管理工作和会计变更的需求为主要目标。

（2）ais以解决企业会计核算和管理所面临的问题为主要功能。

（3）ais以现代计算机硬软件和网络平台为处理环境，由人（含会计人员）、信息技术设备（含数据文件）和运行规程三要素组成，其核心部分是功能完备的会计软件。

（4）ais能充分利用现代信息处理技术，自动（或半自动）采集、存贮、处理、分析、传递和反馈会计信息。

3. 会计信息系统所面临的风险

在it环境下，由于与传统的手工操作环境有了很大的差别，会计信息系统面临着前所未有的风险。主要有以下几类：

（1）疏忽差错（unintended errors）。系统操作员或交易执行员在经济业务资料的输入与处理过程中，由于缺乏必要的上岗作业培训或身体状况欠佳等原因造成的非故意差错。

（2）蓄意差错(deliberated errors)。蓄意差错也就是故意性差错，实质就是舞弊，是不正当的或违法的。在信息的输入—处理—输出的流程中，甚至在软件的开发与研制过程中，都可能产生这种差错。它不仅对有关数据或输出信息的正确性与可信性造成影响，而且还可能导致企业资源的短缺损失和掩饰有关盗窃行为。

（3）疏忽性资产毁损（unintended asset damages）。企业数据资料记录可能承受非故意的毁损，比如存储于硬盘中的应收账款记录未作备份，可能因偶然的断电故障这类偶发事件而消失。

（4）安全措施破坏（breaches of securities）。未经授权许可的人员可能非法接近企业的交易资料与其他记录。电脑“黑客”通过互联网擅自进入企业的计算机系统窃取、篡改或恶意破坏交易资料或记录，以及未经授权员工私自偷阅未设定密码或口令保护的企业员工薪金报告等。这种风险可能在被竞争对手窃取本单位的重要资料时造成极为严重的后果。

（5）暴力（forces）。暴力的存在来源于外界人士（如）和怀有怨气的现有员工或已遭解雇员工的报复行为。如损坏会计信息系统或销毁企业的客户往来档案记录等。其后果可能是毁损企业的资产和资料，甚至导致经营过程中断以及企业的破产倒闭。

基于以上风险，it环境下的会计信息系统加强内部控制具有前所未有的必要性，具体如下：

（1）it环境下电脑操作隐形化和无纸化存储介质的缺陷。

（2）it环境下内部稽核削弱。

（3）it环境下会计工作质量有赖于计算机硬软件系统自身的可靠性及会计人员本身的操作水平。

（4）管理型会计软件的发展对内部控制提出了新要求。

（5）网络财务是it环境下的新型管理模式，其安全性和保密性有赖于建立健全有效的内部控制。

三、借鉴跨国公司经验，运用cobit，加强我国企业会计信息系统的内部控制

1． 保诚公司的经验分析简介

保诚公司于1848年在英国成立,它是目前全球领先的金融服务大鳄和在亚洲领先的欧洲寿险公司。随着其资产管理业务的快速增长,保诚公司（亚洲）在亚太地区的12个国家里拥有了9 000多位员工，除了在新加坡有一个区域分中心之外，它还有两个关键的区域it中心,其中一个在马来西亚,另一个在中国大陆。

保诚公司亚洲地区的资讯科技部长罗德里格斯在2005年首次引进cobit。他在香港领导着一个区域it小组，该小组拥有6名成员。由于得到这个区域it小组的支持, 保诚的ceo及其委员会成员同意采用cobit的倡议，他们强烈地支持采用更好的it框架、系统和程序以在整个地区给公司提供更好的竞争优势。“cobit是一个非常简单而强有力的管理工具,它让我们实现我们的目标”，罗德里格斯说。

罗德里格斯还认为，“一个好医生是一位能够清楚地向她或他的病人解释如何保持健康的人，同样,一个好的it专业人员是能够使该项目对一个公司观众来说容易得到理解的人。毫无疑问,我认为cobit是允许我获得这种能力的工具,利用cobit，我相信我们能为保诚建立一个更好的it和公司责任的文化。”

虽然保诚实施cobit仍在进行之中,但是，很显然,罗德里格斯已经获得了一些经验，具体如下:

（1）it治理:泛区域战略构成、一致性；

（2）削减成本:减少重复；

（3）安全:区域客户资料管理；

（4）外包:为外包业务伙伴提供适当债务；

（5）沟通:让广大的公司员工易于理解各种术语；

（6）业务增长:为领导者提供了一个更安全、更一致的全面it环境，以使其把精力集中在可增加企业价值的解决方案上。

上述这些经验显然是对整个保诚公司（亚洲）的it治理而言的，但是可以看到其中一些经验对会计信息系统的内部控制和审计具有指导意义。

2. 勇于开拓，争取早日构建基于我国实际情况并与国际接轨的cobit框架

随着我国经济的迅速发展和经济全球化的突飞猛进，近年来我国已逐渐重视企业内部控制，特别是2006年，被业界称为中国的“内部控制年”。财政部牵头联合发起成立了企业内部控制标准委员会，并邀请行政机关、高校、社会团体以及大中型企业的专家兼职咨询。该委员会了《企业内部控制规范》（征求意见稿），包括基本规范和一系列具体规范，并专门针对信息系统内部控制制定了《企业内部控制规范第××号——计算机信息系统》（征求意见稿），包括总则、岗位分工和授权批准、信息系统开发、变更与维护控制、信息系统访问安全和会计电算化及其控制等6部分。另外，财政部还于2006年颁布了新审计准则《中国注册会计师审计准则第1633号——电子商务对财务报表审计的影响》，针对电子商务环境下的信息系统审计进行了规范，其中第5章“对内部控制的考虑”里，提到了“注册会计师应当按照《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》和《中国注册会计师审计准则第1231号——针对评估的重大错报风险实施的程序》的规定，考虑被审计单位在电子商务中运用的与审计相关的内部控制”。这些标准或规范只是为本专业的内部控制提供了一个应用指导，在一定程度上为进行it治理环境下的内部控制发挥了一定的作用。但是，从综合的 it治理或it内部控制来看，还没有形成一个能够满足各方面要求，适应各种需要的综合的、完整的、系统的框架。目前虽然有些在国际上有显著影响力的it服务公司使用自己制定的标准或框架，如ibm公司使用ibm it process model（ ibm流程模型）；hp公司使用ho itsm reference model（hp服务管理参考模型）；微软使用microsoft operational framework（mof,微软运营框架），但是国际上绝大多数公司都使用主流的像cobit这样的it治理标准。因此，有必要建立我国自己的cobit框架，一方面是提升我国公司的管理能力，提高其经济效益，使其不断发展的需要；另一方面，也是我国企业走出国门融入经济全球化大潮中去的需要 。

主要参考文献

［1］ 杨周南等. 会计信息系统［m］. 北京： 经济科学出版社，2004.

［2］ 杨宝刚. 会计信息系统［m］. 北京：高等教育出版社，2001.

［3］ 蔡传勋. 会计信息系统［m］. 大连：东北财经大学出版社，2004.

第8篇：it审计和普通审计范文

【关键词】防范；金融风险；提升；审计系统

当前，互联网正在深刻和广泛地影响着银行的经营管理模式。随着各银行数据大集中的完成，IT风险也越来越集中。美国近日破获的“本世纪银行大劫案”，震惊了世界，也给世界金融业敲响了警钟。在这个信息化飞速发展的时代，信息系统故障和安全事件给企业带来了巨大的经济损失和严重的声誉影响，控制IT风险、保证信息系统稳定运行已成为银行最紧迫的任务。此外，随着金融监管力度的加大，银行信息披露制的实施也是当务之急。信息系统的稳定可靠运行、应用系统中敏感业务信息的保护，已成为业界内外关注的焦点。这些都要求银行加大对信息系统的审计力度。只有建立IT审计机制，由独立的IT审计师进行信息系统审计，才能形成对信息系统安全的客观评价。由于信息技术在银行经营管理领域各个层面的广泛运用，IT审计也已贯穿在各种审计之中，成为时下银行业最关注的重要课题。

1.最为突出的三种信息科技风险

因技术问题引发的金融风险问题由来已久，且在各个国家普遍存在。在因技术问题引发的金融风险中，有三类表现最为突出：

①宕机的风险。

2013年6月23日上午，北京、上海等多个地方的中国工行用户反映该行系统出现故障而暂停业务。工行回应称，这是由于部分地区计算机系统升级原因造成柜面和电子渠道业务办理缓慢。这一风波刚平息，中国银行再次“中招”：6月24日上午，中国银行银期转账前置系统一度出现交易缓慢，影响客户银期转账交易。尽管工行、中行两家银行公告称为系统升级引起，且经紧急处置后系统已恢复正常，但是，频繁的系统故障依然引发了市场关于“钱荒”的猜疑，银行股的集体暴跌，带动A股市场出现2008年国际金融危机后罕见的大幅下挫，跌幅超过5%。

2003年1月，美国银行（Bank of America）13000台ATM机因病毒瞬间宕机，该行客户无法通过ATM完成存取款交易。

2005年2月，美国银行备用客户信息磁盘在空运过程中失窃，约120万客户信息泄，丢失的信息包括社保号码和私人帐户信息，全部是电子银行诈骗的必备资料。

2010年新加坡的星辰银行和2011年的美国银行都出现过大型机宕机的事件。

……

系统故障是计划内的系统升级还是“计划外”的，都反映出银行在系统质量和安全方面存在漏洞。信息化高度发展和银行业数据大集中背景下，业务系统中断已经成为银行难以接受的风险，每次银行信息系统宕机都会导致严重损失，并对银行声誉带来很大负面影响。中国银行业监督管理委员会业务创新监管协作部副主任王岩岫认为，如果银行系统中断1小时，将直接影响该行的基本支付业务；中断1天，将对其声誉造成极大伤害；中断2-3天以上不能恢复，将直接危及其他银行乃至整个融系统的稳定。

而调研机构Qualix Group曾有一组数字说明不同行业关键业务中断带来的金钱损失：服务器宕机1分钟，平均会使运输业损失15万美元，银行业损失27万美元，通信业损失35万美元，制造业损失42万美元，证券业损失45万美元……这从直接经济效益的角度解释了关键业务平台对于稳定性和可靠性的要求。对于以上行业的关键业务来说，都需要遵循“5个9”（99、999）、“6个9”（99、9999%）甚至“7个9”（99、99999%）的标准来加以评估，而这些标准代表的，就是一台服务器每年的非计划停机时间分别只有5分钟、30秒和3秒钟。由此我们可以想象本次4小时宕机的时间是多么漫长，所造成的损失又是多么巨大。

②金融欺诈的风险。

来自金融内部的票据、金融凭证诈骗，以及来自外部的信用卡、保险、信贷诈骗等，都不同程度地令金融业不寒而栗。近年，不断出现的银行钓鱼网站、银行卡盗刷案件，更令客户对银行的安全性产生质疑。

③黑客侵袭的风险。

2009年1月8日，美国万事达公司宣布，有黑客侵入了“信用卡第三方付款处理器”的网络系统，造成包括万事达、Visa、AmericanExpress和Discover在内各种信用卡多达4000多万用户的数据资料被窃；2009年2月5日，ANZ银行向消费者发出警告，“一种计算机病毒入侵了银行系统”，假冒网站要求用户输入用户名、密码和个人身份号码；2007年08月18日，荷兰银行有部分客户账号中的资金被网络犯罪分子利用电脑病毒盗走，这些客户的损失将得到银行的补偿，但是银行方面并没有透露被盗账户和资金的具体情况；2009年08月17日，一名迈阿密居民因盗取1、3亿张信用卡和借记卡数据被。嫌疑人通过入侵零售商电脑，盗取银行卡信息，其中包括哈特兰支付系统，零售连锁7/11公司和汉纳福德兄弟公司等。

2009年10月26日，我国福建省厦门市法院审理了一起“黑客”入侵银行系统窃取储户信息案件作出判决，被告人楼家渊利用自编的“黑客”程序和网上下载的任务自动加载程序，入侵多家商业银行网站，非法获取755名网上银行客户资料，并利用其中的部分信息复制银行卡。其行为构成非法获取计算机信息系统数据罪，依法判处有期徒刑7个月。

2009年11月10日，美国司法部一个由俄罗斯和东欧人组成的黑客集团，指他们涉嫌入侵苏格兰皇家银行（RBS）旗下信用卡公司的计算机网络，伪造假卡，在不足12小时内，于全球至少280个城市合共2，100部提款机提取逾900万美元现金，香港警方去年亦参与联合行动，拘捕两名提款人士。

近年来，世界多国的银行遭遇黑客攻击，并蒙受巨额经济损失。银行、金融机构已成为网络黑客攻击的重点，网络黑客已从最初的个人行为，发展为有组织的犯罪。黑客犯罪，全球已形成“黑色产业链”。我国每年因遭受网络攻击造成的损失就多达70多亿元，信息系统故障和安全事件给企业带来了巨大的经济损失和严重的声誉影响。

2.通过IT审计准确计量风险

目前，信息系统的正常运行已经成为银行业务正常运营的最基本条件之一，信息科技在有力提升银行核心竞争力的同时，信息科技风险也愈发突出和集中，信息科技风险控制已成为银行业风险管理的重要内容，而IT审计作为银行业风险管理体系的重要组成部分，其重要性和必要性已经日益得到银行业管理层的关注。作为商业银行信息科技风险管理的第三道防线——信息系统审计（简称“IT审计”）在银行内部控制建设过程中扮演了更为重要的角色。金融信息化使审计信息、审计方法、审计技术发生了根本性变化，金融风险管理和IT审计机制的建立已经势在必行。利用信息化技术促使内审和风险管理高效、可控将对金融机构产生积极影响，并将成为企业风险管理不可缺少的重要平台。

通过IT审计来保证和监控全行的信息科技管控对各级监管政策法规的合规性，也成为银行业实施IT审计的重要目的之一。

3.优化审计平台

随着互联网金融信息科技应用的推广、银行业务正在发生的重大的变革，IT审计部门只有紧跟信息化建设步伐，加快审计信息化建设，不断改进审计手段和技术方法，才能提高内部审计的生产力。

第9篇：it审计和普通审计范文

【关键词】 IT治理；IT内部控制；对策研究

2008年6月，堪称我国SOX法案的《企业内部控制基本规范》正式出台；2010年，《企业内部控制配套指引》全面推出，我国企业内部控制规范体系正式形成，对内部控制的重视达到了前所未有的高度。而探讨企业内部控制就必须注意到，随着IT应用的逐步深入，企业的日常运营越来越依赖于IT系统的支撑。IT的发展在给企业带来收益的同时，也给企业带来了越来越大的风险。没有正确的IT治理机制，就无法确保IT决策的正确性，无法控制信息化进程给企业带来的各种风险。而我国企业目前仍处于IT内控与风险管理的萌芽期，在基于IT治理的IT内部控制制度建设方面较为薄弱，文章主要针对此问题提出一些对策。

一、IT治理与IT内部控制的相关概念

（一）IT治理

关于IT治理的概念，不同学者有着不同的定义，以下为有代表性的几种：

ISACA（信息系统审计和控制协会）定义IT治理是一个由关系和过程所构成的体制，用于指导和控制企业，通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。价值、风险与控制是IT治理的核心 ；

全球IT治理协会（ITGI）认为IT治理主要是董事会和执行层的责任，是企业治理的重要组成部分，通过领导、组织和过程来保证IT实现和推动企业战略目标的发展；

Robert S . Roussey （美国南加州大学教授）认为：IT治理用于描述被委托治理实体的人员在监督、检查、控制和指导实体的过程中如何看待信息技术。IT的应用对于企业能否实现愿景、使命、战略目标至关重要 ；

Peter Weill 认为IT治理是在IT应用过程中，为鼓励期望行为而明确的IT决策权和责任框架 ；

Gartner集团（著名IT分析公司）认为，IT治理是一种新的商业范式。这种新范式的形成是由战略竞争力、全球化、业务流程共享网络和实时性的企业新需求所驱动的；

德勤咨询公司认为IT治理是一个含义广泛的术语，包括信息系统、技术、通讯、商业、所有利益相关者、合法性和其他问题；

国内学者胡克瑾（同济大学博士生导师）认为：IT治理是一个关系和过程的结构，用来指导和控制企业，通过平衡在IT及其过程中的风险和回报来增加企业价值从而达到企业的目标。

（二）IT治理的相关标准

目前在IT治理领域公认的国际标准主要有以下几种：

1.COBIT（信息及相关技术的控制目标）模型。它是ISACA制定的面向过程的信息系统审计和评价的标准，是基于IT治理概念的、面向IT建设过程的IT治理实现指南和审计标准。其侧重点在于IT过程控制和IT度量评价，从战略、战术、运营层面给出了对IT的评测、量度和审计方法，它的应用较为广泛，其目标对象是信息系统审计人员，企业高级IT管理人员。

2.ITIL（IT基础架构库）。ITIL是一套IT管理指南，列出了各个服务管理流程“最佳”的目标、活动、输入和输出以及各个流程之间的关系，主要关注IT的战术和运营层面，对IT服务的提供和支持定义了更为详细和更易理解的过程集。

3.ISO/IEC 17799/27001，是有关信息安全管理的国际标准。该标准可用于组织的信息安全管理体系的建立和实施，保障组织的信息安全，侧重于强调信息安全管理体系的有效性、经济性、全面性、普遍性和开放性，涵盖内容非常广泛。

4.COSO委员会《企业风险管理――整合框架》和SOX法案（《2002年萨班斯-奥克斯利法案》）。前者是美国COSO委员会提出的内部控制理论框架和操作框架，关注企业风险管理。从IT角度看，该框架关于IT对内部控制影响的规范主要体现在“控制活动”和“信息与沟通”要素中。后者对企业的公司治理、IT治理和IT控制提出了更严格的要求。

此外还有PRINCE2（受控环境下的项目）、CMM1（能力成熟度集成模型）和PMPOK等。PRINCE2重点强调项目的可控性，明确项目管理中人员、角色的具体职责，同时实现项目管理质量的不断改进。CMM1是一种用于评价软件组织能力并帮助改善软件质量的方法，已经成为评价软件组织开发过程的标准，成为软件组织过程改进的参考依据。PMPOK主要适用于所有类型的工程项目管理。这些模型从不同的角度对IT治理进行了规范。

（三）IT内部控制

当前对IT控制并没有较为权威和统一的定义，处于不同角度（例如外部审计人员和企业管理人员）对IT控制有着不同的理解，对其应当包含的内容和控制目标等的认识也不尽相同。总体来说，早期的IT控制概念来源于审计领域的EDP（电子数据处理系统）控制，主要指的是EDP环境下的会计控制，包括一般控制和应用控制两个类别。其目标主要是为保证计算机系统处理的数据质量。这种控制包含两个层面：一是对信息系统处理数据的控制；二是在信息系统中设计某些内部控制措施。随着IT在企业中的应用越来越普及，IT控制的概念也逐渐变得更为宽泛，包括了IT在企业中多种形式的应用，IT控制包含的范围已超过了EDP控制对会计信息质量目标的单纯追求，是由期望达到的（IT控制目标）和达到这些目标的方法（控制程序）构成，有效的IT控制设计与实施指明了一个组织将IT条件下的风险降至可接受水平的途径（孟秀转，2007），IT控制实质上是企业运作过程中涉及IT这部分资产的购入、使用及维护等不同阶段的相关内部控制过程（余瑾，2006）。

从上述概念中可以看出，对IT治理不管用何种界定，其内容都包括通过有关责任与权利的划分对企业战略起到支持作用，从而确保企业价值最大化的目标。IT控制则是在现有的IT治理环境下企业所采取的一列政策、程序和措施的总称 。IT治理相对IT控制来讲，处于基础地位，是IT控制发挥作用的先决条件，而IT治理目标的实现又需要IT控制发挥作用。

二、IT内部控制主要内容及存在的主要问题

从内容上来划分，IT控制分为一般控制和应用控制，贯穿于整个信息化生命周期内，涉及信息化各个领域。

（一）IT内部控制的主要内容

我国《企业内部控制基本规范》对信息系统的控制重点体现在组织控制、系统开发控制、系统操作控制、系统运维控制和会计系统控制等几方面。

1.组织控制。就IT角度而言，组织控制主要是指职责分离。职责分离包含两个方面，一是业务部门与IT部门关于IT职责的分工，二是IT部门内部职责的分工。业务部门与IT部门的职责分工较为规范，但IT部门内部职责分工则在实际工作中普遍存在一个人同时有好几个不同权限的问题，在人手不足的情况下，每个人要参与多项工作，相应的权限也就较多。

2.系统开发、变更与运维控制。包括职责分离，确保系统的合规合法性和可行性，开发过程的人员控制、系统设计控制、系统的日常维护和系统功能的改进与扩充等。

3.操作控制。信息系统操作控制的主要内容包括操作权限控制和操作规程控制两个方面。

4.硬件管理控制。计算机系统对工作环境的要求比较高，对系统的自然环境、作业环境都应有严格的控制措施，主要应包括计算机系统硬件管理制度。

5.会计信息化及其控制。主要指企业实现会计信息化后给企业内部控制带来的新的风险。包括数据存储介质变换带来的风险、操作人员权限控制不当带来的错误和舞弊的风险、对软件质量过于依赖带来的风险等。

（二）IT内部控制中存在的主要风险

首先，我国企业和西方企业所处的政治经济环境不同，人文背景不同，在信息化建设上仍然属于“人治时代”，信息化的随意性较大。有些企业虽然已经制定了信息化的相关制度，但整体而言仍然缺少对信息化进行整体规划、实施与控制的决策机制和责任担当框架。信息化成功与否往往在很大程度上取决于企业高层和董事会对信息化的理解和影响，一旦管理者的个人影响力发生变化，IT规划建设就会失控，从而导致组织的信息化风险，这是IT治理风险的宏观体现。

其次，在具体实践中，企业信息化水平越来越高，其业务与财务报告流程对IT的依赖程度也随之越来越高。一方面财务报告的内部控制几乎离不开IT控制，另一方面即使业务层面的管理控制也是IT支撑环境下的控制。但信息技术是一把双刃剑，随着不安全因素的增多，信息安全的潜在风险也越来越大。从技术层面讲，系统缺陷、人为误操作、系统攻击等不可预料的各种IT风险逐渐增多；从信息安全架构层面讲，没有一个系统化、程序化和文件化的管理体系，就不可能有效防范信息安全风险。企业在建立安全有效的IT控制方面正面临着巨大的挑战，需要重视起来。

三、基于IT治理加强IT内部控制的相关对策

IT系统已经不仅仅是企业日常运营的重要支撑，它同时还是对企业活动进行控制的重要手段。以具体运营流程为基础展开的IT控制，直接关系到日常运营活动的实施效果。事实上，有效的IT控制设计与实施指明了一个组织将信息技术条件下的风险降至可接受水平的途径①。因而，在企业IT治理机制下加强IT内部控制应当是突破口。

（一）从理论层面看，要构建企业IT内部控制体系

科学合理的IT控制体系应当具有前瞻性的、全局性的控制机制，能融合防范与应对信息安全、IT治理、IT管理、IT服务、IT应用、IT项目、IT基础设施、业务连续性、IT外包方面的风险，并能有效地指导组织控制IT风险，使IT战略与企业战略相匹配，促进IT为组织持续地创造价值，以实现有效益的信息化。应当在充分考虑我国信息化建设的实际情况下，确定信息系统控制目标，将信息系统项目运作的全部过程置于有效的管理与控制之下，建立适用的、协同的IT治理标准模式，制定相关管理指南，提供集成的IT管理，指导我们建立起相应的机制，对处理过程进行有效监控，保证有关企业信息处理过程的高效、有序。

（二）从企业信息化建设角度看，应当由整个企业来进行IT内部控制组织体系的构建

企业应当组建科学合理的多层次内部控制组织机构，在《企业内部控制规范》和《企业内部控制配套指引》的规定下，参照上述第一点理论建设的国内外研究成果，选取适合自身特点的控制流程，建立自己的IT内部控制框架并组织实施。

（三）从用户实践层面看，针对本文第二部分所提到的几大内容进行具体控制

信息工具的变革带来了内部控制手段的创新，严格的职责分离可以有效地避免错误和舞弊行为的发生，如IT部门与业务部门之间、IT部门内部之间、系统开发部门内部等都应有明确的岗位责任。系统开发环节应当注重成本与效益原则，判断是否具有可行性；加强开发过程的人员控制、系统设计控制和文档控制等。在操作控制方面主要集中在操作权限控制和操作规程控制上两方面。每个岗位的人员只能按照所授予权限进行作业，不得越权接触系统。权限控制不仅仅通过规章制度来执行，更重要的是要由系统制定全县标准体系，使之不被越权操作，例如用户身份鉴定、口令设置、密码保护、电子签章等。应用控制方面主要重视输入控制、处理过程控制、输出控制等。

建立合理的IT治理架构是实现有效IT控制的基础，IT治理为IT控制提供了制度环境；而IT控制的有效性又直接反映了IT治理的成效。企业只有在建立了完整的IT规范、有了明确的方向基础上，IT控制才能达到高层管理者的要求。反之，没有企业IT控制体系的畅通，单纯的IT治理模式也只能是一个美好的蓝图，而缺乏实际的内容。

内部控制体系建设是一个长期的过程，其中IT内部控制更是由于对硬件环境、软件环境、工作人员素质等方面有较高要求而面临很多困难，还需要董事会、高管层和企业全体员工共同努力，才能真正落实和贯彻。

【主要参考文献】

［1］ ITGI. Control Objective for Information and Related Technology （COBIT） 3rd Edition ［Z］. America， 2000.

［2］ ROBERT SROUSSEY. Challenges Facing the Profession Information Technology［J］. Enterprise Innovation& Risk， 2003（5）： 26-27.

［3］ PETER WEILL， JEANNE W ROSS. IT Governance on One Page. CISR Working Paper， ssrn. com， 2004.

［4］ 陶黎娟.IT环境下我国财务报告内部控制研究［D］.厦门大学博士论文，2009：68.