公务员期刊网 精选范文 it审计论文范文

it审计论文精选(九篇)

时间:2023-09-15 16:24:09

it审计论文

第1篇:it审计论文范文

[关键词] it审计;挑战;策略

随着信息技术的兴起,信息系统已经渗透到社会生活的方方面面,它在给人们带来便利与效益的同时,也带来了很多负面影响,如计算机犯罪案件的频频发生等,系统安全问题日益严峻。于是一个不容回避的问题——我国企业如何有效地开展信息技术审计(information technology audit,以下简称it审计),保证信息系统安全,摆在我们面前。本文拟对此进行探讨。

一、it审计的定义及其特点

it审计是指对信息系统从计划、研发、实施到运行维护各个过程进行审查与评价的活动,以审查企业信息系统是否安全、可靠、有效,保证信息系统得出准确可靠的数据。由以上定义可知,it审计的目标是保证it系统的可用性、安全性、完整性和有效性,最终达到强化企业内部控制的目的。

该审计过程具有以下特点:

1.it审计是一个过程。它通过获取的证据判断信息系统是否能保证资产的安全、数据的完整和组织目标的实现,它贯穿于整个信息系统生命周期的全过程。

2.it审计的对象综合且复杂。it审计从纵向(生命周期)看,覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务;从横向(各阶段截面)看,它包含对软硬件的获取审计、应用程序审计、安全审计等。it审计将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。

3.it审计拓宽了传统审计的目标。传统审计目标仅仅包括“对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见”;但it审计除了上述目标外,还包括信息资产的安全性、数据的完整性及系统的可靠性、有效性和效率性。

4.it审计是一种基于风险基础审计的理论和方法。it审计从基于控制的方法演变为基于风险的方法,其内涵包括企业风险管理的整体框架,如内部环境的控制、目标的设定、风险事项的识别、风险的评估、风险的管理与应对、信息与沟通以及对风险的监控。

二、我国it审计面对的挑战

it审计和传统审计相比具有的上述特点是吸引我国众多企业引入it审计的重要原因,但是这种方法的应用又会给企业提出巨大的挑战。

1.传统审计线索的消失。在手工会计环境下,审计线索主要来自于纸质原始凭证、记账凭证、会计账簿和会计报表,这些书面数据之间的勾稽关系使得数据若被修改可辨识出修改的线索和痕迹,这就是传统审计线索的基本特征。但是现在计算机网络信息系统中这些数据直接记录在磁盘和光盘上,无纸张记录,审计人员用肉眼无法直接看到这些数据如何记录,且非法修改删除原始数据也可以不留篡改的痕迹,从而为舞弊人员作案留有可乘之机。尽管许多审计机构要求已实现会计信息化的企业将所有原始凭证、记账凭证、账簿、报表打印输出,使用绕开计算机系统的审计方法,并以打印出的证、账、表作为基本审计的线索和依据。但是如果原始数据在业务发生时就被有意篡改,则其派生的记账凭证金额和账户余额及报表数据也一定会出错,打印出的数据也不能作为审计证据。因此即使打印出所有电子数据,传统审计线索也会在计算机信息系统下完全消失。

2.计算机信息系统的数据安全面临挑战。手工信息处理的环境下,审计人员无须将数据和会计信息的安全性问题作为审计的重要内容,但是在it审计的工作中,网络电子交易数据的安全是关系到交易双方切身利益的关键问题,也是企业计算机网络应用中的重大障碍和审计的首要问题。例如计算机病毒的破坏、黑客用 ip地址欺骗攻击网络系统来获取重要商业秘密、内部人员的计算机舞弊、数据丢失等,都是传统审计从未涉及的,但又是it审计的重点,这对当前我国的审计工作无论是操作系统,还是制度建立等众多方面都是一个很大的挑战。

3.it审计专业人才匮乏,适应it审计事业发展的人才培养和管理机制还有待建立和健全。由于it审计固有的复杂性,这项工作需要具备会计、审计、组织管理和计算机、网络技术等综合知识的人才,而且工作人员需要对内部控制和审计有深刻的理解,对信息和网络技术有敏锐的捕捉能力,在我国获得注册信息系统审计师资格的人数远远不能满足信息系统审计业务的需求。

三、我国it审计应对策略

面对上述挑战,我们应当多方位、多角度制订措施,使it审计工作更好地为我国企业发展做出贡献。具体措施如下:

1.审计线索的重建。根据计算机网络系统容易在不同地方同时形成相同“原本”数据的特点,可以重建电子审计线索:在电子化的原始数据形成时,同时在审计机构(包括内审机构)和关系紧密(签字确认)的部门形成原始数据的“原本”,或在不同部门各自形成相关的数据库(特别应当包括数量、金额和单价等主要数据项),这样不仅可以相互监督和牵制,还给计算机审计提供可信的审计线索。这种保留审计线索的方法,一方面成为有力的控制手段,另一方面可从审计线索中发现疑点。这种方法主要是应用专用的审计比较软件,同时将几个部门的同一种数据库进行自动比较形成有差异的数据记录文件,详细审查相关的数据文件和访问有关的当事人,从而取得有力的审计证据。上述比较审计方法是在不同部门同时形成业务数据文件的情况下应用,如果企业业务数据分离存放,如销售合同与销售发票、提货单在不同的部门保存,这种实质性测试也可采用比较审计法,应用专用的审计软件,结合相关的几个业务数据文件进行比较,查出有错误疑点的记录。

2.确保信息系统的信息安全。为了保证信息系统的信息安全,it审计工作人员要在审计过程中评价企业的防火墙技术、网络系统的防病毒功能、数据加密措施、身份认证和授权的应用实施情况,通过面谈实地审查企业安全管理制度建立和执行的情况,查看企业是否为了预防计算机病毒,对外来的软件和传输的数据经过病毒检查,业务系统是否严禁使用游戏软件,以及是否配置了自动检测关键数据库的软件,使异常及时被发现;检测企业是否为了防范黑客入侵,网络交易的数据库采用离散结构,同时在不同的指定网点(如在交易的双方)形成完整的业务数据备份供特殊使用(如审计和监控);此外it审计人员还要注意检查企业的信息系统岗位责任实施、安全日志制度,审查有关计算机安全的国家法律和管理条例的执行情况。

3.建立一支完备的it审计专业人才队伍。it审计的发展必须有一大批专业化的it审计人才,这就要求我们要采取短期培训和长期培养、操作层面上的培训与高层次人才的培养、在职人员培训与未来人才培养相结合的方法将这支队伍逐渐发展起来。此外我国可以从现有的审计队伍中选拔人员进行专门的信息系统审计培训,并考虑在注册会计师的资格考试和审计师职称考试中逐步加入计算机、信息系统和网络技术等与信息系统审计有关的内容,以及加强对从事信息化咨询的it技术人员的会计与审计知识的培训。为了培养未来审计人员,应在高校会计、审计专业教学计划中增加信息技术和电子商务等内容,也可以考虑在高校中开设信息系统审计专业,直接培养信息系统审计专业人才。

当前我国it审计正处于起步阶段,和传统审计相比,it审计的显著特点决定了其势在必行,但是一种新的方法的引入和实施必定会给企业和审计人员带来巨大的挑战,面对种种挑战我们应采取积极措施,迎难而上,使it审计工作不断发展完善。

主要参考文献

[1]张茂燕. 论我国的信息系统审计[d]. 厦门:厦门大学,2005.

[2]陈朝.我国信息化建设中信息系统审计问题研究[d].长春:东北师范大学, 2006.

[3]邓少灵. 企业it审计的框架[j].中国审计,2002(1).

[4]李健,朱锦淼,王晓兵. it审计——人民银行内审面临的新挑战[j].金融理论与实践,2003(6).

[5]李朝阳,胡昌振. 计算机审计系统的防护方法[j].航空计算技术,2002(1).

第2篇:it审计论文范文

一、澳大利亚IT审计的特点

澳大利亚审计署(ANAO)分为联邦审计署和州审计署,在各自审计长的领导下,对管辖范围内的单位进行审计。其政府审计分为财务审计和绩效审计两部分,这两种审计中都涉及到以计算机为基础的IT审计,所占比例达到20%至30%。ANAO的IT审计发展经历了三个阶段:第一阶段是技术层面(Technical Level)的审计,如程序代码、数据输入输出控制、数据备份;第二是操作层面(Operational Level)的审计,如计算机核心操作、软件应用、物理安全与逻辑安全;第三是管理层面(Management/Governance Level)的审计,如操作结构、商业可持续性、风险管理、项目管理、服务传输、安全管理、资源管理、执行矩阵、信息管理等。经过多年的研究和发展,澳大利亚已形成了较为完善的国家审计体系,并长期处于世界领先地位,尤其在IT审计理论与技术领域,积累了丰富的经验和成果,目前已进入到注重管理层面审计的阶段,重在把握对IT项目经济、效率、效果的评价和项目开发的合规、安全上,标志着澳大利亚IT审计已经非常成熟。笔者发现澳大利亚IT审计存在如下特点:

特点一:IT审计各个方面均执行相对规范的标准

ANAO开展IT审计,执行相对规范的标准,如在IT项目管理方面,执行国际通用的Gateway、Prince2(Projects In a Controlled Environment2)、PMBOK(Project Management Body of Knowledge)等标准;在IT服务传输与服务管理方面,执行COBIT(Control Objectives for Information and related Technology)、MOF(Microsoft Operations Framework)、ITIL(IT Infrastructure Library)等标准;在IT安全方面,执行信息安全标准ISO17799;在IT风险管理方面,则执行澳大利亚国家标准:AS/NZ4360:2005风险管理标准,等等。各类标准具体规定了审计人员在审计某一类型项目时的方法、程序步骤、工作重点,具有很强的可操作性。它既为没有经验的审计人员提供了一个详实的可供参照的操作规程,又约束了审计人员的行为,减少和避免审计人员工作中的随意性。正是由于严格按照各类标准开展审计,ANAO的审计尤其是IT审计的质量都得到了可靠的保证。

特点二:IT审计综合运用各种信息技术

ANAO的审计人员在下列情况下,可应用计算机辅助审计技术:一种是在运用制度遵守性和数据真实性程序中缺少输入文件和缺乏可见的审计踪迹时;另一种是通过利用计算机辅助审计技术可以改进审计程序的效果和效率时。计算机辅助审计技术有多种,一是用于审计目的的审计软件和工具,用以处理来源于单位会计制度的重要审计数据。传统的CAAT(Computer Assisted Audit Techniques)工具有SQL(Structure Query Language,如MySQL)、Microsoft Access、Excel。其他一些风险分析与计划管理软件如Methodware、司法模式鉴定软件如Netmap、证据采集与镜像软件如Encase等,也被因地制宜地运用到审计中去。通过各种审计软件和工具,审计人员可以方便地对数据进行排序、求和、筛选等操作,并能生成审计人员需要的各类图表。二是数据测试技术,用以检验应用程序、控制程序和信息系统的可靠性。在执行审计程序时,将数据录入被审计单位的信息系统,跟踪某项业务直至数据输出,将获得结果同预期结果相比较,以检查访问权控制的有效性和输入有效性控制的执行情况。如对工资处理程序审计中,使用不同身份的人员登录,输入不同类型的数据测试。

特点三:IT审计围绕风险控制

ANAO一贯秉持。风险控制的理念,每年都对其风险管理计划的执行情况进行回顾,根据外部环境的变化,修改业务要求考虑战略层次和操作层次等不同层次的风险,开展了以识别和处理经营风险及舞弊风险为核心的风险导向审计,建立了全面的风险管理框架,规避与防范风险。这一框架既包括对ANAO整体的风险管理计划,也包括对每一工作领域的风险管理计划。它陈述了所有ANAO已识别的风险,从“确定风险存在的环境”、“识别风险”、“分析风险”、“评价风险”和“处理风险”等五个环节,合理地确定风险的控制措施,将风险减少到可以接受的水平。通过评估计算机设备、电子数据、信息通讯的安全性,以评估信息系统的固有风险;通过评估系统开发控制、内部管理控制、访问权限控制,以评估信息系统的控制风险;通过对数据输入控制的测试、数据通讯和数据处理控制的测试和数据输出控制的测试,以评估信息系统的检查风险。

特点四:IT审计统筹考虑成本与收益

ANAO开展IT审计,统筹考虑成本与收益,努力在审计时间、审计费用和审计质量三者之间寻求较好的平衡点,以求IT审计如同经济活动一样,达到效率性(Efficiency)、效果性(Effectiveness)与经济性(Economy)的完美结合。为此,他们对每一项IT审计工作都做出周密部署:在编制审计计划时,确定对信息系统控制的可信赖程度;制定关于何时、何处与如何检查信息系统功能的计划;制定关于利用IT审计技术进行的审计程序计划;分析IT审计技术的可行性、预期效果与效率;考虑时间因素。在实施审计时,收集与审计计划有关的信息系统环境的资料,包括信息系统的功能情况以及计算机处理的集中或分布程度、使用的计算机硬件和软件、数据重置情况等;注意传统审计技术和IT审计技术相结合、IT审计人员与非IT审计人员相结合,考虑审计人员的资质与背景;考虑被审计单位在哪些重要方面应用了IT技术,其程度如何,及其对审计的影响,以确定合适而恰当的审计方法。

特点五:注重IT审计人才培养

ANAO始终把人才培养放在第一位,积极引进既有审计经验又具备高层次IT知识技能的复合型人才,同时对审计人员有计划、有步骤地进行IT知识后续教育,此外还在审计中积极吸收IT审计方面的专家为IT审计提供技术咨询与服务,保证了审计项目的顺利实施,也锻炼了该国的IT审计队伍。目前,该国已形成一支知识呈阶梯状的IT审计队伍:首先是普通IT审计人员,他们理解操作系统、系统软件、应用软件和网络环境等概念,并具备一些病毒防护、入侵侦测、授权管理等信息安全控制方面的知识;其次是IT审计管理者,他们除具备普通IT审计人员应具备的技能与知识外,还深刻理解IT审计的要点,以便于科学计划、测试、分析、报告、跟踪,并合理地组织项目实施;再高一层是IT审计专家,他们深刻理解信息系统底层技术,并熟悉与之有关的威胁和弱点,同时在数据库、网络技术等领域有较高造诣。

二、收获和体会

澳大利亚网络不如我国普及,但在IT审计理论与实践方面却是走在许多经济发达国家的前列。经过澳大利亚之行,笔者深有收获和体会:

(一)树立先进的IT审计理念。通过培训和考察,笔者发现目前我国计算机审计在技术方法层面上并不逊于澳大利亚。澳大利亚审计中使用了传统的SQL Server、Microsoft Access、Excel,为我国审计人员所熟知并熟练使用。我国审计人员使用的集项目管理、数据采集、统计抽样、经验利用、报告生成于一体的AO软件,甚至比ANAO所使用的许多软件更为先进;我国审计人员在OLAP(多维分析技术)、数据挖掘技术等尖端技术的研究方面,也丝毫不逊于澳大利亚。澳大利亚在IT审计方面取得令人瞩目的成绩,支撑其取得实效的并不在于技术方法,而是审计人员的IT审计理念。我们要充分认识到:如果不搞IT审计,审计内容就不全面,我们就无法实现融入世界审计主流的目标。更重要的是,开展IT审计是对“免疫系统”理论的积极回应,是对审计署认真践行科学发展观的体现。

(二)建立规范的IT审计程序。无论是授课老师,还是两州审计同行,无不强调“程序和政策”(Procedures & Policies)。面对我国IT审计指南缺失的现状,我国审计机关应当尽快将审计程序设计与审计技术方法的运用有机结合,规范和引导审计人员运用适当的审计技术和方法,把审计技术与方法融入到规范的审计程序之中,要求并指导审计人员合理运用审计技术;同时,顺应经济全球化的发展趋势,建立与国际审计准则接轨的中国IT审计准则,规范IT审计的工作。针对我国IT审计中存在审计人员在运用审计技术和方法缺少规范与约束的问题,建议将COBIT的IT治理思想和框架,引入审计业务支撑体系的质量控制中,科学、系统地对信息及相关技术进行管理,实现了审计战略与IT战略的互动,并形成持续改进的良性循环机制,这对于规范IT审计程序、提高IT审计质量具有重要的现实意义。

第3篇:it审计论文范文

手工条件下进行审计工作,主要是利用算盘、计算器等工具,采用审计查账法、审计分析法、审计调查法等方法对被审单位进行审查;在电算化条件下,审计人员主要利用计算机这一先进工具采用计算机审计技术开展审计工作,这无疑是审计技术的一大进步。由于计算机技术日益进步且管理方法日益电算化,计算机作为重要的审计工具越来越具有不可替代的作用。

(一)对审计实施方法的影响

目前,人们一般把运用计算机进行审计的技术称为CAAT技术。所谓CAAT就是Computer assisted auditing techniqu的缩写,即计算机辅助审计技术,是由一种或一系列专门针对某项审计职能而设计的计算机程序组成。在审计中借助它进行符合性测试或实质性测试。从而获取企业内部控制的审计证据。作为辅助审计技术,只要被审计的计算机信息系统不进行大的变动,就能使审计人员在短时间内正确无误地处理大量数据;审计人员还可以直接审计被审计单位电算化系统本身并打印出数据副本;可以长期作为获取审计证据的方法。因此,计算机辅助审计技术是一种经济、适用、长期受益的IT方式,被各审计单位广泛采用。具体地讲主要有以下几种:

1、数据检验技术。数据检验技术是指审计人员设计出一些虚拟的经济业务数据,提交给被审计单位的计算机数据处理系统进行处理。根据检测的目的,检测数据应包括合法和非法的数据。将系统对检测数据的处理结果与审计人员的预期结果进行对比,以确定系统控制是否存在并有效地执行。

这种方法简单易行、成本较低;但检测数据可能影响被审计单位计算机系统的正常运行,检查的范围也受审计人员对该系统的了解和想象力的局限。

2、平行模拟技术。平行模拟技术是审计人员模拟被审计单位对实际数据的处理情况而设计的一系列程序,它可以将被审计单位的真实数据用审计人员的程序重新处理一遍,以验证数据处理的正确性,平行模拟技术在日常审计中主要动用的方法是ITF(Integrated Test Facility)。ITF是一个建立在活动数据文档基础上的程序,使得审计人员能够不影响企业真实营运或财务数据的情况下对系统进行测试。大部分的电子商务软件包都配有ITF设置。审计人员可以通过VAN或第三方网络供应商对控制系统进行交易测试,当然前提是企业必须授权VAN接受审计人员启动的交易并将其发送至客户的信箱中,这种交易测试可以持续进行或者周期性进行,再将测试结果与期望结果相比较,从而得到验证;另一种替代方案是建立一种特定的审计交易类型(在VAN登记),重复现行发生的交易,并将结果反馈给审计人员,由审计人员对结果进行评估。

平行模拟技术具有不破坏被审计单位的数据文件,审计人员可以在不增加很多成本的情况下,扩大样本规模,独立地进行测试的优点;但这种技术的使用对审计人员的要求较高,如要求审计人员要注意所选取的数据要有代表性,所设计的审计程序也要达到被审单位计算机系统的处理能力。

3、嵌入审计模块。嵌入审计模块技术是指在被审计单位的计算机数据处理系统中加入为完成审计目的而编写的程序。嵌入的审计模块是被审计单位的计算机数据处理系统的一个组成部分,它可以按照审计人员的要求,以特定的时间间隔,或在系统中的数据达到某种条件时,为审计人员生成和输出有关的报告、嵌入审计模块主要以在线监测的方式被运用在审计工作中。在线监测是考虑到电子商务的交易数据可以会消失或改变的情况,而通过网络系统在交易进行的过程当中对企业业务的敏感和重要环节的即时监测,从而发现异常情况,掌握审计证据的技术。在线监测系统应该对计算机信息系统进行24小时全天候监测,迅速提交用户告警的详细信息和进行准确的告警定位,从而提醒审计人员异常情况的出现;也可以进行在线查询和实时测试,获得系统的实时运行数据。另外,监测系统还可以依据所储存的各项监测数据进行统计分析,掌握企业信息系统的运行情况,提示客户进行及时的维护预防。

嵌入审计模块技术虽然可以对被审计单位的计算机数据处理系统进行动态的监控,但它要求在系统设计时就应予以考虑,并应建立必要的控制措施,防止未经授权的人员接触和使用嵌入的审计模块及其生成报告。由于嵌入模块审计技术的使用条件比较苛刻,只适用于选定的范围。

4、远程审计。远程审计是指基于计算机网络,通过人机合作,对被审计单位进行的非现场的审计工作,远程审计主要实现审计信息网上传送和信息资源共享,审计人员只要把自己的计算机与网络连通,并取得被审计单位给予的审查权限,就可以在任何地方通过网络完成除实地盘点和观察外的大部分审计工作。审计人员可以通过网络审查远距离外的计算机信息功能;调用系统的审计功能或使用审计软件对系统的经济信息进行抽样、审查、核对和分析;使用电子邮件向被审计单位的银行、客户和供应商等进行函证;在网上复制有关文件或数据等审计证据、编写工作底稿等等,审计项目负责人可以在网上制定审计计划,给在不同地点的各审计人员分配审计任务;在网上复核助理人员的工作底稿,并对助理人员给予指示与帮助;随时了解审计项目进展情况,协调各审计人员的工作;草拟和签发审计报告,远程审计尤其适用于对电子数据的审阅、核对、复算、询查,但对于需要实物鉴定或就地盘点的审计证据,还必须依靠就地审计的方式,如观察或盘点等获得。

远程审计技术充分利用计算机网络的超越时空的特点,更具时效性,可明显节约审计费用,它的运用范围较广。

(二)对审计报告的影响

IT审计结果最终应以报告书形式归纳,向企业的最高领导提交。原则上,IT审计报告由承担该审计的IT审计人员完成,并在得到IT审计负责人的认可后方可提交。一般来说,IT审计报告大致由综合审计意见及个别审计意见两部分组成。

1、综合审计意见

综合审计意见包括本次审计的概要,重要的问题以及综合的结论。大致包括以下各项:(1)IT审计对象范围、实施日期及实施过程的概要;(2)IT审计目的;(3)重大问题及改进对策方案的概要;(4)本次审计的综合结论。

2、个别审计意见

个别审计意见是指在IT审计过程中发现的个别问题。大致包括以下内容:(1)问题所在及现状;(2)考虑这些问题的危险性及影响;(3)IT审计人员提议的改进对策。

IT审计报告是对IT审计实施的最后归总,目的是让被审计部门的最高领导明白该信息系统在可靠性、安全性与有效性等方面整体的状况及重大问题所在,IT审计报告必须简洁明了,重点突出,要考虑到有些企业领导不是信息系统专业的,因此技术用语或专业用语要尽量少用,在不得不用的情况下,最好附加一些说明。另外,对于企业最高领导想了解的问题或存在的疑问等,必须给予明确的回答。

在起草IT审计报告时要注意:(1)专业用语不能过多;(2)劝告的内容不能过于抽象,要尽量具体;(3)对于缺陷,一定要有明确的证据;(4)要有具体的解决实施方案,并考虑实施的可能性;(5)解决方案要考虑费用与效果比,费用不能过高;(6)详细的技术事项另付说明;(7)报告书中不能有对个人的攻击;(8)要考虑机密信息的保护。

IT审计报告书的内容包括:(1)IT审计人员制作IT审计报告的时间;(2)对信息系统的可靠性、安全性及有效性进行评价的结果;(3)系统存在的问题;(4)根据存在的问题提出的改进劝告;(5)根据改进的劝告提出的改进方案;(6)其他的必要事项。

需要指出的是,IT审计不是以提交报告书为结束,而是对审计报告中提出的问题特别是重大问题,要跟踪整改的状况,确立IT审计跟踪制度。

被审计部门要在规定期限内提交整改计划,IT审计师随时与被审计部门接触,了解跟踪整改的状况。如整改进展缓慢,要帮助找出原因,促使整改的完成。IT审计要达到最终目的,审计结果的跟踪是不可缺少的,并要使其成为一种制度。

此外,IT审计师还要对一年中的审计活动进行汇总,向经营者(被审计部门)提交年度报告。年度报告包括以下项目:(1)IT审计人员的变动;(2)IT审计人员的教育培训;(3)按照基本计划预定的IT审计活动的实施状况;(4)特别重大的问题及整改状况;(5)下年度IT审计计划的主题。

第4篇:it审计论文范文

IT审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。

IT审计过程与一般审计过程一样,分为准备阶段、实施阶段和报告阶段。其中,准备阶段和报告阶段所涉及的技术方法与财务审计所运用的技术方法区别不大,而实施阶段所涉及的技术方法则具有信息技术的特色。在实施阶段,针对被审计的信息系统,审计人员所开展的工作可以分为三个层次,即了解、描述和测试。

计算机信息系统环境下审计技术方法与手工环境下传统的审计技术方法相比,相应增加了计算机技术的内容。对IT审计的方法既包括一般方法即手工方法,也包括应用计算机审计的方法。IT审计的一般方法主要用于对信息系统的了解和描述,包括:面谈法、系统文档审阅法、观察法、计算机系统文字描述法、表格描述法、图形描述法等。应用计算机的方法一般用于对信息系统的控制测试,包括:测试数据法、平行模拟法、在线连续审计技术(通过嵌入审计模块实现)、综合测试法、受控处理法和受控再处理法等。应用计算机技术的审计方法主要是指计算机辅助审计技术与工具的运用。但不能把计算机辅助审计技术与工具的使用过程与IT审计等同起来。在IT审计的过程中,仍然需要运用大量的手工审计技术。

二、国内IT审计现状及其未来发展

随着IT技术在企业业务和管理中的广泛运用,IT逐渐从传统的后台支持而步入前台,成为企业竞争的重要支撑,企业凭借信息系统的强大功能优势,完成其业务的自动化,但与此同时,从信息系统安全性、效率性、合规性方面都存在风险,传统的控制、管理、检查和审计技术都受到了巨大的挑战。

其次,从应用企业类型来看,目前IT审计主要集中在信息化程度要求较高、生产安全紧密相关的单位。

企业对于IT审计人才的培养也处于初级阶段,目前的状况是懂IT的人才不少,但是这些专业人才往往缺少对企业的业务、审计的相关知识。

基于COBIT的IT综合审计是目前IT审计界的一个技术新趋势,COBIT着眼于与企业业务密切相关的IT资源的审计与评估,通过对IT审计流程的分析解剖,确认IT事件审计风险点、控制目标,从业务效果、效率、保密性、完整性、可用性、合规性、可靠性多个维度给出IT审计评价。以COBIT为基础是IT审计的重要发展方向。

IT审计(IT审计)实施方法简单概括一下:

1)IT审计总体框架

以监管部门的监管要求为基础,并将其与COBIT的IT治理控制框架进行整合,IT审计范围可包括IT原则、IT架构、IT基础设施、IT应用、IT投入等方面的制度建设和执行情况。

2)制定IT审计方案

IT审计应在行业信息技术特点和监管部门要求的基础上,将信息技术审计过程控制表按照COBIT四个控制领域,即规划与组织、获取与实施、交付与支持、监控与评价,进行划分和完善,形成包含34个高级控制流程、438个详细控制活动的审计方案和审计指南。

3)IT审计实施

IT审计实施过程按照审计控制域与IT管理职能、IT系统进行交叉,通过现场访谈、问卷调查和IT相关控制测试等不同的方式展开,最终归纳和整理形成了不同专业领域的IT审计底稿。

4)审计报告

重点对IT审计发现的事项进行描述,并被审计方进行确认,以审慎的态度验证审计发现的准确性与合理性。在被审计方确认审计发现的基础上,对所有审计发现进行汇总,出具IT审计报告。

三、针对国内IT审计针对性问题的合理对策

(一)信息系统的设计和开发没考虑审计的需求

IT审计进入我国较晚,较长一段时间以来,人们对它的认识还不全面、系统,信息产业更是缺乏对IT审计思想及必要性的认识,使得系统审计职能一直没有真正进入信息系统工程领域,在信息系统建设过程中,在系统的设计、开发环节没有考虑系统审计的需求,导致目前常规的IT审计方法与技术在具体实施过程中屡屡碰壁,证据取得困难,程序追踪困难,审计过程效率低、效果差。

同时有相当一部分信息系统的设计者、开发者认为软件测试可以取代IT审计。其实,测试只要求功能的实现,而审计需要功能的规范实现,要考虑更多的企业内部控制的需求。另外,系统测试只在软件开发阶段有效,而审计是覆盖信息系统整个生命周期的,因此,信息系统测试不能代替IT审计。

(二)IT审计人才匮乏

IT审计归根结底是从传统财务审计衍生出来的一种新审计分支,从业人员多数也是从传统审计转化而来。但是,IT审计涉及审计学、信息科学、系统科学等学科,是一个多学科交叉的新领域,对从业人员提出了更高的要求,需要同时具备相关知识的复合型人才。

四、IT审计对策

(一)深化对IT审计的认识

通过培训和教育,使有关部门和单位明确IT审计对于信息化建设工作的重要性。IT审计工作应随着系统建设的开展而开展,应当落实好涵盖所有相关信息资源、信息系统声明周期、信息系统管理维护的全方位的IT审计。

进一步理顺和划清IT审计与计算机审计等相关概念的联系和区别,以主管部门正式文件的形式规定各自的职责目标、业务范围、适用准则与技术,为IT审计的研究和实践打好基础。

(二)推广和建设审计信息系统

信息系统是数据与业务逻辑的集合体,在支持企业内部控制及外部审计方面具有先天优势。例如,在信息系统中可以设置内部控制审计轨迹保留机制,用来记录用户、应用程序及系统的关键活动。同样在信息系统中也可以增加会计记录随机抽样功能,并将抽样保存于安全数据库中,这样就可以有效防范“反记账”和“反结账”。

统一财务软件的数据结构与数据接口,做好信息系统的规范工作,强制要求信息系统提供审计接口,将会计信息系统是否支持标准数据格式、是否具有审计线索保留功能作为评价其质量高低的评价标准。

在信息系统建设过程中推广和应用时间戳技术、电子签名技术、XBRL技术对于审计数据的规范共享、提高审计证据的真实性有重要作用。

(三)加强IT审计人才培养

针对IT审计人才匮乏的现状,可以多渠道开展IT审计人才培养,弥补人才的不足。

1.鼓励现有审计人员学习IT审计知识,扩展和充实职业技能,应对IT审计业务的快速增长。他们具备完备的审计专业知识,只要适当地补充与IT审计相关的信息技术,就可胜任IT审计的职业要求。

2.在高校开展IT审计专业人才培养。针对审计专业的学生或者信息系统专业的学生开展交叉教学,培养复合型人才。

3.鼓励从业人员、学生参加注册IT审计师考试。ISACA针对IT审计的职业技能要求,推出了国际注册IT审计师考试,目前在我国北京、上海、广州、南京四个城市设有考点。准备和参加考试不仅可以学习和检验专业技能,同时可以了解相关领域的最新发展。

(四)加紧制定IT审计标准与规范,促进行业规范发展

尽管从技术角度来看,ISACA的标准、指南和程序已经日臻完善和成熟,我国似乎没有必要发展自己的准则,但是由于我国企业种类繁多,信息化水平地区差异大,许多内外环境与国外存在较大差异,如果没有切合国情的准则、程序对IT审计加以指导,则可能影响这项新审计业务的发展。因此,需要在借鉴国外先进经验,追踪国际惯例的基础上,结合我国IT审计的现实状况,由主管部门分期相应规章与规范性文件,逐步规范我国的IT审计。

第5篇:it审计论文范文

近年来,在美国上市的公司正受到萨班斯-奥克斯利法案(the Sarbanes-Oxley Act of 2002, 简称SOX法案)的影响。尤其随着其第404条款的逐渐实施,该法案的影响正在席卷全球,包括美国上市公司的中国分公司。可以说,SOX法案对全球的影响力直逼上世纪的“千年虫”事件,由于SOX法案的相对完善性,研究SOX法案对中国公司也有很强的借鉴意义。尤其SOX法案对信息化的要求严格,从公司治理和IT治理的高度提出IT内部控制的要求。

对于上市公司或者希望借鉴上市公司经验的公司来说,应该如何改进自身的IT控制水平?又应该如何治理IT以保证财务报告内部控制的有效性? 来看一个实际的案例,A公司是一家财富500强企业,全球五大制药公司之一。该公司在全球拥有58000余名员工,年销售收入超过180亿美元,年利润超过40亿美元。随着SOX法案第404条款的实施,一家会计师事务所将对其IT内部控制进行审计。因此,该公司计划在全球信息服务(IS)部门推行合规项目。项目分为以下几个步骤,如图1所示。

精通SOX

SOX法案的产生源自于公司操作的不规范和公司丑闻的披露。它对公司治理有着极为严格和苛刻的要求,要求公司针对产生财务交易的所有作业流程,都做到能见度、透明度、控制、通讯、风险管理和欺诈防范,且这些流程必须详细记录到可追查交易源头的地步。

所有人都清楚IT在现代企业中扮演着重要的角色。在很多公司内部,财务报告流程是由IT系统驱动的。无论是ERP还是其他系统,都与财务交易中的开始、批准、记录、处理和报告等活动紧密集成。可以说,IT是保证财务报告内部控制的有效性的基础,IT控制至关重要。

从IT控制的范围来说,IT控制通常包括IT控制环境、计算机运维、系统和数据的访问、系统开发和系统变更。IT控制有一个治理框架,即COBIT框架。COBIT的全称是信息及相关技术的控制目标(Control Objectives for Information and related Technology)。COBIT将IT流程、IT资源及信息与企业的策略与目标联系起来,在企业业务战略指导下,对信息及相关资源进行规划与处理。

制定项目计划

项目计划主要活动包括选择合适的团队和制定详细的项目计划。各国分公司团队组成情况各不相同,以中国区分公司为例,项目团队以中国区CEO、IS部门总监、IS经理和外部咨询顾问组成。对于SOX合规项目,可以采用“差距分析”方法来进行。

风险控制矩阵(Risk and Control Matrices,RCM)是差距分析和审计过程中的一个关键文档。RCM为公司相关的风险、需要达到的控制及当前控制状态等提供了一个控制范例。制定RCM可以从以下三点来考虑。首先,是否已识别出了所有风险?其次,已识别的风险是否都与财务交易相关?最后,对于每一个风险,有什么对应的控制?

差距通常可以分为人员差距、流程差距和技术差距。例如,系统日志可以记录系统运维状态,但是如果加上适当的过滤工具,就可以保证对关键的突发事件及时的响应,相关人员不在现场也不会造成不能及时响应。

开展控制评估

第一步,要确定评估的控制范围,可以分为四个步骤:首先,确定财务报告流程中的核心要

素;其次,识别关键的业务流程;再次,确定IT系统范围;最后,确定地理位置的范围。该公司中国区项目组根据财务交易活动,确定了关键的业务流程、支持系统和所在的位置。

第二步,在这些选定的范围内进行风险评估。风险评估使公司更加清晰地认识到,意外事件的发生将如何限制业务目标的达成。风险评估的目的就是辨别潜藏的内在风险与残存风险。

第三步,识别主要控制。对于公司和IT系统来说,存在三种控制:公司级控制、应用控制和通用控制。公司级控制的评估主要包括“高层的声音”(Tone at the top)、诚信、价值观与竞争力、管理哲学与运营风格、权责分配、政策与流程、员工的水平和技能、高层管理者的指示。应用控制主要适用于IT系统所支持的业务流程,以及被设计用来预防或探测非授权业务活动的控制。通用控制用于所有的信息系统,保证安全连续的运作。对这些流程和系统进行风险和控制评估后,就可以制定风险控制矩阵(RCM)。

该公司识别出来的风险涉及领域主要有:制度与流程手册、系统变更(包括应用系统及基础设施)、逻辑访问(包括应用系统及基础设施)、物理访问、IT灾难备份、数据接口、第三方管理、环境控制、问题管理和作业调度等。

进行控制设计

为了减少这些风险,中国区分公司进行了控制的优化与设计。在公司级控制方面,创建或优化各个制度,包括IS战略计划、逻辑访问控制制度、物理访问控制制度、第三方访问控制制度、环境控制制度、变更管理制度、业务连续性计划及灾备制度等。

在应用、流程及通用控制方面,创建和优化了流程,为重要的流程和应用系统设计了一系列文档,设计的主要流程包括采购管理、资产管理、系统开发生命周期(SDLC)管理、用户管理流程、变更管理流程、第三方访问权管理流程等。

进行内部审计

在控制文档设计完毕后,需要先进行一次内部审计,沟通风险控制矩阵、确定审计范围、制定测试脚本。对于测试不合格的控制,需要纠正缺陷、完善控制的设计与运维,以确保其有效性。

报告管理层

在内部审计通过后,管理层形成正式的书面内部控制结论,迎接外部审计。

在此案例中,需要重点关注的是公司有哪些重要的流程和控制,有哪些相关的风险和需要哪些相关的控制,以及如何设计与评估控制。通常来说,SOX合规项目会非常费时,成本也较高。不过,可以通过外部咨询公司帮助企业做一个快速诊断,以寻找从哪些地方入手做关键改进。

对于大多数公司来说,要达到SOX法案的要求,需要从文化上去改变。从历史事件来看,内部控制有重大缺陷会对整个公司造成灾难,因此主动地去提升内部控制,显得至关重要。

链接:中国企业IT内审的难点

1. 企业在观念上对IT内审的重视程度不够;

2. 企业IT内审的组织架构不清晰,因为IT内审既涉及IT,又包含审计的内容,很多企业不知道该由哪个部门来推动;

第6篇:it审计论文范文

关键词:IT行业 审计费用 Simunic 回归模型

一、 引言

对于所有的上市公司,都需要注册会计师出具的审计报告来证明公司财务信息和业绩的真实可信性,以吸引投资并保持股价的稳定或是其他的经济目的。与此同时,会计师事务所需要把自己的审计服务卖给被审计公司,以获得维持其生存和发展的资金补充,审计费用就产生于这个过程中。近年来我国会计师事务所行业的竞争日趋激烈,国内事务所合并事件时有发生,使得合并后的会计师事务所与传统的国际“四大”业务收入差距逐步缩小。这导致审计费用标准的制定成为行业内外讨论的热点话题。

自改革开放以来,我国IT行业伴随着经济的蓬勃发展而日益强大。随着移动互联网以及大数据产业的不断崛起,IT行业对于国民经济的影响已经不言而喻,占国民经济的比重越来越大。同时随着十的胜利召开,《中共中央关于全面深化改革若干重大问题的决定》,针对IT行业未来的改革去向提出了“建立健全鼓励原始创新、集成创新、引进消化吸收再创新的体制机制”重要决策,为IT行业今后进一步发展指明了方向。

选用IT行业的数据来分析我国审计费用的影响因素可以起到以小见大的效果。本文正是根据我国2012年IT行业上市公司披露的数据,对审计费用的影响因素进行分析。

二、文献综述

审计费用的影响因素一直是国内外研究的热点。国外学者对审计费用影响因素的研究较早,Simunic(1980)率先提出了可能影响审计费用的十大因素,最终发现资产规模是决定审计费用最关键的因素。

国内方面,张继勋(2005)通过对我国上市公司在2001-2003年披露的审计费用进行研究,审计收费与被审计单位总资产规模、审计复杂程度和上市公司所在地是显著相关的。王小华(2005)认为审计费用影响因素在于公司治理特征、事务所特征和我国证券市场的制度等多种因素。郭葆春(2009)通过运用2006年沪、深两市上市公司的实证数据对我国审计定价影响因素进行实证研究,发现非审计费用未影响审计定价,董事会规模、董事会勤勉与独立性、事务所品牌、企业规模和子公司数目等直接影响审计定价。

三、 研究假设

在针对审计费用的相关研究中,学者们普遍认为审计费用最主要的影响因素在于被审计单位的规模。被审计单位的规模越大,其子公司数量越多,业务量也随之增大,其固有风险和控制风险也越高,导致审计的工作量加大及审计费用的提高。因此,提出以下假设:

H1:公司规模与审计费用呈正相关。

审计风险是影响审计费用的重要因素,一般来说审计风险越高,事务所面临证监会和证券交易所的惩罚成本越大,从而审计收费也可能增加。

本文选取了应收账款占总资产的比重、存货占总资产的比重、无形资产占总资产的比重、资产负债率、流动比率、净资产收益率、审计意见类型等指标衡量审计风险对审计费用的影响。

其中,本文选取的应收账款和存货占总资产的比重是审计过程中业务最为复杂的核查内容之一,应收账款和存货需要审计人员加大工作力度进行清查,使得审计费用可能增大,因此预期其与审计费用呈正相关。选取的无形资产占总资产的比重,主要原因在于科技创新、产品研发、技术专利等是该行业的主要特点,因此针对无形资产的核查也需要审计人员面临一定的审计风险,从而提升审计费用,故其与审计费用呈正相关。选取的资产负债率与流动比率与审计费用呈负相关,两者越高,说明被审计单位的偿债能力越强,审计风险相对越小,从而审计费用就较低。选取的净资产收益率反映了被审计单位的盈利能力强弱,该值越大,相对应提供审计业务的事务所承担的审计风险越小,从而收取的审计费用也相应减少,故其与审计费用呈负相关。选取的审计意见类型主要影响审计的成本,如果注册会计师出具非标准保留审计意见,被审计单位的财务风险较大,审计风险也提升,审计工作量会加大,从而审计费用也会提升。根据以上内容,提出假设:

H2:审计风险与审计费用呈正相关。

根据以往的研究表明,会计师事务所声誉良好,审计人员的素质较高,可以提供较为出色的审计服务,其审计费用对于小规模的会计师事务所会有一定的提升。并且通过知名的大型会计师事务所审计,可能对公司声誉、投资者信任程度等方面都会起到积极的作用。所以,上市公司会愿意支付较高的审计费用。

本文根据中国注册会计师协会基于2012年业务数据的《2013年会计师事务所综合评价前百家信息》,选取审计业务领先的“六大”会计师事务所,即普华永道中天、德勤华永、瑞华、安永华明、立信、毕马威华振。其中,瑞华在2012年业务分为两家会计师事务所承担:中瑞岳华、国富浩华。据此,提出以下假设:

H3:会计师事务所为“六大”的,其审计费用较高。

四、 实证分析与结果

(一)模型选择与变量说明

根据我国审计费用的实际情况和上述影响因素指标,本文建立了以下多元线性回归模型:

lnFee=β0 +β1lnAssets+β2 Rev+β3Inv+β4 Intangible+β5Debt+β6 Current+β7Roe+β8Opinion+β9BigSix+ε

相关变量说明见表1。

(二)样本与数据来源

本文以2012年沪深两市A股信息传输、软件和IT服务业上市公司为研究样本。数据来源于上海证券交易所、深圳证券交易所网站和国泰安CSMAR数据库。

在本文样本筛选的过程中,遵循以下原则:(1)删除数据不完整的公司样本;(2)剔除“半年审计费用”与“季度审计费用”的公司样本。根据以上原则,最终决定了121个有效样本,并采用SPSS软件进行统计分析。样本的描述性分析如表2所示。

从上页表2可以看出,2012年IT行业上市公司审计费用的平均值为67.4万元人民币,取值区间为20万元至390万元人民币,最高值为最低值的19.5倍,差距较大。其中,总资产规模的平均值接近62亿元人民币,取值区间为677.9万元至5 183亿元人民币,最高值为最低值的7.65倍,说明我国IT行业上市公司的规模较大,相对应的经济业务也比较复杂。在应收账款、存货、无形资产与总资产的比重方面,最小值均是趋近于0,或者为0,说明目前我国IT行业上市公司发展水平不一,公司资产布局也有一定的区别。资产负债率的平均值达0.2463,而流动比率的平均值为7.4288,说明目前IT行业上市公司的短期偿债能力要明显高于其长期偿债能力。在被审计单位审计意见方面,获得标准无保留意见的上市公司达97.52%,说明绝大部分企业的信息披露客观性较强。在上市公司选取“六大”会计师事务所方面,有36.36%的企业选择,说明有较多的IT行业上市公司愿意请“六大”进行审计,并获得高质量的审计报告。

(三)实证分析

1.相关性分析。表3 变量间的Pearson相关系数。Pearson Correlation简写为P.C;Sig.(2-tailed)简写为S.(2-T)。

应收账款占总资产的比重与存货占总资产的比重呈正的弱相关。存货占总资产的比重与资产负债率呈正相关,与流动比率呈负相关。在公司总资产的自然对数方面,其与资产负债率、审计意见在1%水平上显著负相关,与流动比率呈正相关。资产负债率与流动比率之间呈负相关。

虽然本文选取的变量之间存在着一定的相关性,但是其相关系数并不高,可以看出,各个变量之间不存在多重共线性,可以针对本文选取的数据进行多元线性回归分析。

2.多元线性回归分析。根据本文建立的模型进行多元线性回归分析,可以得到表4至表6结果。

判定系数为0.501,说明拟合优度处于中等水平,本解释变量可以被模型解释的部分约占一半。模型中的DW值为1.809,趋近于2,说明残差序列存在无自相关。

进行回归方程的显著性检验。从表中可以得出,F检验统计量的观测值为61.532,对应的概率P-值近似为0。当显著性水平α为0.05时,由于概率P-值小于显著性水平,可以拒绝回归方程显著性检验的原假设,认为各回归系数不同时为0,被解释变量与解释变量全体的线性关系是显著的,可以建立线性模型。

审计费用的回归结果,从表中可以看出,只有总资产和审计意见是审计费用最大的决定因素。总资产(InFee)的系数为0.588,在5%水平上显著,与假设1的预测一致,说明针对我国IT行业上市公司规模、复杂程度与审计费用呈显著的正相关性,即被审计单位的规模越大,会计师事务所审计的工作量越大,相对应的审计费用越高。

针对上市公司的审计风险而言,回归分析没有得出较为一致的结论,仅有审计意见(Opinion)与审计费用存在着负的相关性,与预期相符合。

对于其他影响因素而言,虽然在5%水平上不显著相关,但也不能否认在综合影响水平方面有其相关的作用。从回归系数前的符号可以看出,上市公司存货占总资产的比重、流动比率、是否为“六大”事务所审计这些变量的符号与预期符号相一致,说明这些变量与审计费用存在着一定的相关关系。在应收账款和无形资产方面与本文的预期相反,其原因可能在于事务所在审计费用定价方面并不是主要的定价因素。另一个预期不同的是上市公司的净资产收益率,本文之前假设其与审计费用呈负相关关系,预期符号为负,但通过模型测算,其回归结果显示为正相关。主要原因可能在于样本企业的盈利能力普遍很强,其经济业务量数量多、复杂程度大,导致会计师事务所注册会计师需要花费更多的时间与精力进行审计,而被审计企业也愿意为此支付较高的审计费用。因此,产生了本文的结果,审计费用与净资产收益率呈正相关的关系。

(四)研究结论

通过以上论证可以发现,IT行业上市公司的资产规模和审计意见类型是审计费用主要的决定因素。除了审计意见类型,其他的审计风险因素,如应收账款占总资产比重,无形资产占总资产比重、存货占总资产比重、净资产收益率、流动资产、资产负债率等没有太大关系,但不能否认在综合方面有一定的影响。

在IT行业上市公司中选取“六大”占有36%,数量相对可观。然而进一步研究可以发现,选取传统“四大”国际会计师事务所审计的上市公司仅占2家,这说明我国本土事务所在审计公司数量上占有很大优势,但是被审计的公司中很少有大型国有企业、跨国公司等。

近几年来我国会计师事务所发展迅猛,传统的国际“四大”会计师事务所在我国的支配地位已经被打破,瑞华通过合并方式业务收入排名进入四强,立信已经超越毕马威进入前六名。但不能否认的是,合并不是简单的外延联合,合并后的整合是会计师事务所面临的关键问题,这里的整合不仅仅指在资本上的重组,更重要的是在技术管理技能等无形资产上的共享,从而能扩大竞争能力。合并后的本土事务所应当更注重长远的发展和自身的声誉。

参考文献:

1.Simunic,D.A. The pricing of audit services:Theory and evidence[J].Journal of Accounting Research,1980,(3).

2.张继勋,徐奕.上市公司审计收费影响因素研究――来自上市公司2001-2003年的经验证据[J].中国会计评论,2005,(1).

3.王小华.我国A股上市公司审计费用影响因素分析[D].暨南大学,2005.

4.郭葆春.我国审计定价影响因素的实证研究[J].财经理论与实践,2009,(30).

5.刘丹.会计师事务所合并与审计生产效率[J].财经问题研究,2014,(36).

作者简介:

第7篇:it审计论文范文

银行IT审计意义

目前,信息系统的正常运行已经成为银行业务正常运营的最基本条件之一,信息科技在有力提升银行核心竞争力的同时,信息科技风险也愈发突出和集中,信息科技风险控制已成为银行业风险管理的重要内容,而IT审计作为银行业风险管理体系的重要组成部分,其重要性和必要性已经日益得到银行业管理层的关注。同时,国家相关部门对信息系统的管控也越来越重视,自2006年8月《银行业金融机构信息系统风险管理指引》开始,银监会正式对银行科技风险进行监管,近年来推出一系列制度和措施(见表1),监管工作逐步走向规范化。通过IT审计来保证和监控全行的信息科技管控对各级监管政策法规的合规性,也成为银行业实施IT审计的重要目的之一。

因此,银行业加强和规范IT审计,既是自身发展和获取竞争优势的内在需要,也是监管当局的外部要求。

银行IT审计标准

准确地运用标准和参照,成为顺利开展IT审计工作的重要前提之一。

COBIT

COBIT(Control Objectives for Information and related Technology) 是由信息系统审计与控制基金会最早在1996年制定的IT治理模型。这是一个在国际上公认的、权威的安全与信息技术管理和控制的标准,也是目前国际上通用的信息系统审计的标准之一。COBIT是一个基于控制的IT治理模型,其制定的宗旨是跨越业务控制和IT控制之间的鸿沟,从而建立一个面向业务目标的IT控制框架。

COBIT本身并非针对IT审计的专门论述,其面向的使用者可以是企业中想通过改善IT过程实现经营目标的管理者,也可以是业务过程的所有者,即用户,也可以为IT审计师。它在商业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。在最新的COBIT5.0版本中,COBIT已经被称作“一个治理和管理企业IT的业务框架”。

COBIT4.1版本中经典的体系框架一直为众多使用者参考使用,它包括了实施简介、实施工具集、高层控制目标框架、管理指南、具体控制目标、审计指南等一系列文档(见图1)。管理指南为每个过程提供了关键成功因素、关键目标指标和关键绩效指标等,并根据这些指标对每个过程进行了成熟度模型的划分;而审计指南,则就审计的控制目标、调查对象、需要掌握的证据及如何进行测试和评估做出了详细的说明。

COBIT4.1版本中的流程参考模型将所有与信息系统相关的活动进行了划分,主要包括34个流程,分属4个域。而COBIT 5.0的参考模型涵盖了治理和管理流程的完整集合,共分为37个流程。COBIT5.0流程参考模型是COBIT4.1流程参考模型的继承者,同时也融合了风险IT、价值IT流程模型。COBIT的广泛通用性也造就了它在应用上的弱点和难点,即COBIT中对相关流程和控制目标的描述过于笼统普适,需要使用者结合企业的实际情况和专业经验进行较大的定制化方可实施。

因此,COBIT模型的最大作用是将IT过程、IT资源与企业的策略和目标联系了起来,保障了企业的IT战略目标和其业务发展目标的一致性,也在IT管理层、IT技术人员/用户和IT审计师之间搭建了桥梁。

《商业银行信息科技风险管理指引》

近年来,随着银监会信用风险、商业风险和操作风险管理指引的,以及“巴塞尔协议II”在银行业内的逐步实施,推动了银行内部风险管理机制的建立和健全。但是,在全面风险管理的框架下,目前银行的信息科技风险管理机制滞后于业务风险管理体系的发展,并未建立体系化的风险管控机制,成为了银行风险管理体系中的短板。这主要体现在,信息科技风险治理组织不健全、风险管理制度不完善、风险处理过程规划依据不充分以及风险监控指标不明确等方面。

2009年的《商业银行信息科技风险管理指引》(以下简称《指引》),定义了商业银行信息科技风险的总体框架,即在当前商业银行普遍的信息科技现状下,可能存在的重大信息科技风险的范围,使商业银行的风险管理过程,能够集中精力在相关领域中。

《指引》确定了九大管理领域,即:信息科技治理;信息科技风险管理;信息安全;信息系统开发、测试和维护;信息科技运行;业务连续性管理;外包;内部审计;外部审计。这些领域覆盖了信息科技管理的大多数重要活动,这些活动中存在的风险,可能会对业务产生重大影响,因此对这些领域的风险识别和管理,应当在信息科技风险管理中优先对待。

在这九大领域中,IT审计占两个,分别是内部审计和外部审计。而《指引》本身,就是一个针对银行的框架完整的IT审计标准,银行可以参考这个标准,开展IT审计工作。

IT审计标准选择

实践中使用的标准远不止上述两个,而且,这两个标准建立本身就参照了很多IT相关的较为成熟的标准。如,COBIT制定时参照的标准就有ISO系列的相关IT技术标准、审计行为准则等等;《指引》其中“信息安全”管理领域的内容建立就是参照信息安全管理体系的国际标准ISO27001。

第8篇:it审计论文范文

2005年4月的火灾事故让范孝文至今想起来都觉得惊心动魄:当火灾来临时,重庆市农村信用联社的数据中心直接面临大火的威胁,好在数辆消防车对位于大厦六层的数据中心进行了重点补救,最后在下面几层楼房几乎被烧毁的情况下,数据中心得以幸存。

在数据中心幸免被毁之后,作为重庆市农村信用联社科技部总经理的范孝文开始思考火灾引出的风险问题。不同于以往考虑的信用风险、市场风险等传统风险问题,这次数据中心安危引发的是对信息科技风险的思考。这种思考直接导致了后来《重庆农村信用社信息系统风险管理方案》的制定与出台。

其实,像范孝文这样思考信息科技风险,并付诸实际行动的银行业人士并不在少数。事实上,在2006年11月,中国银监会先后出台了《银行业金融机构信息系统风险管理指引》(以下简称《指引》)和《关于开展2006年度信息科技风险内部和外部评价审计的通知》(以下简称《通知》),进一步强调了信息科技风险管理的必要性,并对银行业的信息科技风险管理作出了明确要求。

《指引》的起草人、中国银监会信息中心设备管理处处长陈文雄告诉记者:“《指引》一方面把信息科技风险提到了与银行的战略风险、法律风险密切相关的高度,让金融机构重视信息科技风险;另一方面,我们更希望银行机构能够运用信息科技来防范银行的风险,这才是最有意义的。”

随着银行业对信息技术不断增加的依赖程度,银行机构已经普遍对信息安全给予了重视,但《指引》和《通知》出台则让整个银行业开始直接、系统地面对信息科技风险。信息科技风险把传统的银行信息安全与IT治理、风险审计和风险评估结合在一起,产生了一个新的管理维度和应用维度,就此将引发一系列的连锁反应。例如,银行需要重新思考IT治理的层次,需要从信息资产的角度来看待信息科技风险、尝试科技风险的计量、筹划如何编织科技风险管理的大网,并通过IT手段来管理操作风险等。

从工具风险到全员风险

《指引》第一章第四条明确了对信息科技风险的定义:是指信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于技术和管理缺陷产生的操作、法律和声誉等风险。

“信息科技风险的管理不仅是IT部门的事,还是银行全体部门的事,更是银行董事会要承担责任的。”这种“管法人”的观念无疑是《指引》对银行高管的一次洗脑,而《通知》则在时间安排上做了一个非常明确的要求:试点机构要在2007年1月31日之前完成内部审计,2007年6月30日之前完成外部审计。《通知》还将审计要点圈定为信息科技治理和组织结构、信息安全管理、项目开发和变更管理、信息系统运行和操作管理、业务持续性等五大领域。

“以前银行也重视IT,但只是把它当成一种工具,没有认识到IT其实也是一种资产。”陈文雄谈到,“《指引》中将信息系统生命周期中的几个重要环节,及其风险点单独拿出来,例如研发、运行维护、外包,这是一种与以往不同的价值观。”

陈文雄说:“《指引》结合了IT治理、ITIL、信息安全、风险审计和评估的内容,形成了全面的信息科技风险管理指引。”前几年,信息安全已经得到了银行高层的重视,而此次《指引》和《通知》的出台一方面丰富和完善了信息科技风险的内涵,同时把信息科技风险提到了前所未有的重视高度,“管法人、管风险”的原则对国内银行机构加强科技风险管理无疑是一支强心针。

中国民生银行科技开发部总经理助理贾凤军说:“如果说让银行的董事会和高管对科技风险负责,以前是不好提的,银监会的文件在例如业务连续性等多处提到需要银行董事会和高管明确职责,让银行高层更加了解科技风险的重要性。以前银行内很多人认为科技风险是科技部门的事,其实这是整个银行的事,银监会的文件明确了信息技术风险的高度,有利于改善银行界的认识。”

对于“管法人”的原则,陈文雄解释说:“这是企业IT治理必须解决的问题,没有高层的直接参与,IT治理就是句空话。与《指引》联动的是,我们将把对银行机构的科技风险评价纳入银行整体的评价体系当中去,与银行的整体风险评级挂钩。目前对银行评级的新标准正在制订过程中,科技风险会在整体评价中占有一定的权重,另外再加上对风险进行量化、价值化以后,会使银行对科技风险有更清晰的认识。”

陈文雄认为,以前人民银行曾经规定过银行机构需要将投资额的一定比例用于信息安全管理,但是实施的效果不明显,《指引》结合了IT治理、ITIL、信息安全、审计和评估的内容,令银行的科技风险管理目标更明确。

据介绍,《指引》共分为八章七十三条,前三章描述了总体原则和风险管理中的共性部分。第四章至第七章分别针对信息系统生命周期的几个重要环节进行风险控制,包括了研发风险控制、运行维护风险控制、外包风险控制、审计等。

对于《指引》和《通知》的出台,毕马威国际会计师事务所的朱恩良先生认为,银行机构应该通过审计活动来找到管理上的薄弱点,从审计的结果来改进,达到完善信息科技风险管理体制这样一个目的。

贾凤军说:“我觉得风险管理应该是全员的风险,跟每一个人都有关系,所以应该有一个全员风险管理的概念。银行需要制定总体的风险管理策略,具体到每一个人都应该有风险意识,然后每一个人都是控制风险点的一个环节。”

编织风险管理大网

《指引》和《通知》的出台为银行着手科技风险管理营造了良好的大环境,而实施科技风险管理如同编织一张风险管理的大网,银行的业务流程和风险点就是大网上的线和点,不同的银行会编出不同的网。

银行机构应该如何构建风险管理体系,朱恩良建议:“首先要根据银监会审计要点的范围,来制定本行科技风险管理目标,再依据管理目标建立起一整套控制措施,来达到对每个环节的管理。因此,银行就不可避免地要评估他自己的信息系统和科技工作。对不同的银行来说,科技风险的情况是不一样的,产生的风险点也不一样,那么当银行在设定控制体系的时候,要针对实质性的科技风险进行控制,同时要保证不影响正常的业务效率,我们审计公司也会评估这两个方面。”

中国民生银行在几年前就开始了科技风险的控制管理。贾凤军说:“《通知》中提到了许多控制点,但银行在实施过程中应该有自己的侧重点,我们实施的时候不会一项一项地按照文件去做,但文件中提到的风险控制的要点是可以供银行机构参照的,把这些要点管好,风险的关口就守住了。”

目前,国内的商业银行体系具有多个层次,从国有大型银行、全国性的股份制商业银行,到城市商业银行和农村信用社,不同类型银行的信息化水平以及对信息科技风险的管理程度差异巨大,《指引》和《通知》的出台一方面指出了全面的风险控制点,另一方面也督促了各家银行的实施的步骤,内部摸底――外部审计――评价――建立或完善风险管理体系。

显然,编织风险管理的大网是一个长期的工作,贾凤军对此的看法是:“目前银行业的做法还不够流程化、企业化、日常化,风险管理的很多内容应该放在日常工作里,让他自动去运作才是有效的。文件了就赶紧去做,做完就不管了,最后肯定是无效的,企业需要建立流程化的日常管理机制,而且风险的特点就是它是动态的,需要不断地评估它的变化。”

在计算机世界《新金融》举办的第三届农信系统高峰论坛上,来自德勤会计师事务所的辛彤先生专门谈到了他对风险管理的看法:“银行应该有专人专岗负责科技风险监控,不管这个人在内审部门也好,在IT部门也好,他会定期进行风险监控。如果我们把IT部门的操作者作为第一道岗,通过他来控制风险,那这个监控专岗就是第二道防线。然后是持续改进和科技信息审计,这是第三道防线。通过内审或者外审,审计部门会定期检查,同时向高层进行反馈。”

重庆市农村信用联社在今年年初制定并开始实施《重庆农村信用社信息系统风险管理方案》。回顾管理方案8个月的制定过程,重庆农村信用联社科技部总经理范孝文认为,合理评估自身的实力,制定出实用的方案才能落实科技风险管理。

“在制定自己的信息系统风险管理方案时,应该结合自己的技术实力、人力、管理水平、资金投入等综合因素,一些对投入要求过高的项目可以暂时不考虑。例如,网络流量分析系统建立在积累大量的网络管理日志的基础上,需要很大的投入,目前还不适合我们。”范孝文表示。

风险计量成管理软肋?

风险究竟是摸不着的概念,还是可以量化的数字?问题的答案在银行管理科技风险时是惟一的:不能准确计量的风险就不可能得到好的管理。而风险的计量却是目前科技风险管理中的软肋。

可惜的是,目前无论是国内还是国外,对于信息科技风险的计量还属于探索期。银行信息科技风险的发生究竟会产生多大的损失,国外的银行也没有积累足够的数据。《巴塞尔协议Ⅱ》中明确提出:业务中断和系统错误属于操作风险。但如果进一步追究,银行数据中心中断一小时会产生多大损失,用资金计量是多少?上午停机1小时与晚上停机1小时产生的损失显然是不同的,每家银行的损失也不相同,银行应该如何衡量这样的损失?这些问题目前还没有很好的答案。这只是科技风险计量中的一个简单例子,而如果发生银行客户数据失窃等事件,不仅仅会产生直接的损失,还会产生声誉风险和法律风险,这会使风险的计量更为复杂。

贾凤军说:“银行有哪些科技风险,大家都是知道的,但因为没有准确的风险计量,大家的看法不一样。就像打仗用兵一样,到底是这个山头重要,还是那个山头重要?如果看法不一样,结果也就不一样。本来应该布置两个团兵力的地方,布置了一个团就会不够用,应该布置一个营,结果你布置了一个团,那样就浪费了。风险管理也是同样的道理,没有计量就没法正确应对。”

对于风险的计量,陈文雄认为计量指标体系的建设将是目前的方向。他说:“信息化的东西,只有资产化、价值化才好计量,信息安全没有进行资产计量就是空谈。对于银行机构来讲,有一个信息资产权重的问题,不同的信息系统所占的风险权重是多少,这需要成熟的指标体系来衡量,在《指引》之后,我们正在研究出台后续的指标体系。”

善用双刃剑

“IT会给银行带来风险,但不能说不用IT系统就没有风险了,信息科技风险需要的是防范而不是逃避,IT双刃剑要看是否能运用得当。”陈文雄表示。

对于信息技术的作用,陈文雄看到的不仅是消极一面,更有积极的一面。他说:“信息科技的风险管理要去防范、要去预知,更重要的是利用它的正面作用,如果进行了风险防范,信息科技用于防范风险的作用远大于其本身潜在的风险,利用IT加强银行内控的潜力很大,但作为银行整体的风险管理,IT只是其中一部分,不可能依赖它防范所有的银行风险。”

贾凤军对信息技术的作用也有相似的观点。他说:“风险管理最有效的方法之一就是用IT系统去控制,减少人为的干扰,就是说业务流程化、流程IT化。”

陈文雄说:“风险管理的关键就是要把内控做到整个业务的每一环,出现有异常情况,系统会自动预警,这样的风险管理就已经非常到位了,现在银行发生的风险案件有很多事先不能预知,过了若干年后才发现,这是不应该的,这里面IT应该能起到更多的作用。”

针对当前中国银行业操作风险中的欺诈风险挑战,IBM公司结合银行业务的特点与风险管理战略,推出了《整合管理平台、规避欺诈风险――银行业全面提升操作风险管理水平》白皮书,提出了“建立统一的风险管理战略、加强运营实时监测、构建整合的欺诈风险管理平台、采用先进的反欺诈信息技术”的风险管理架构。

“能够提供部分银行风险管理产品的厂商很多,产品也不少,但目前还没有一个非常全面的厂商,而操作风险管理需要融入到每个应用系统和业务流程当中去,所以目前的操作风险管理是咨询做先导,IT跟进。”IBM大中华区金融服务事业部战略发展总经理黎江说。

目前,国内银行的大部分业务都可以通过信息系统实现电子化和流程化,这给IT支持操作风险管理提供了基础,但利用IT做好风险监测、事件模型预警、数据仓库分析首先需要理清业务流程,找准每个业务流程中的全部风险点,才能对症下药地利用IT工具来防治。这也给目前的IT厂商出了难题,毕竟利用IT系统全面防范操作风险是一个新领域,路才刚刚开始。

新维度下的新战场

中国银监会一系列加强银行信息科技风险管理文件的出台,除了会提升银行业对科技风险的重视程度,还将对传统的金融安全、金融风险管理市场带来深远影响。信息科技风险的管理维度涉及了几个IT产品的领域,打破了原有的信息安全、业务连续性、ITIL分疆而治的局面,换以信息科技风险的总体管理。这一方面会为很多IT厂商带来商机,同时也催生了市场格局重新划分的内在需求。

对于农村信用社、城市商业银行这类信息化基础相对薄弱的机构而言,信息科技风险的加强需要投入更多的资金和力量。而对于国有大型商业银行和股份制商业银行而言,银监会的高标准严要求仍然需要他们查漏补缺。其中涉及到信息安全领域的产品,业务连续性的产品,以及软件开发管理和系统运维的产品。但是,银行在需要上述产品和解决方案的同时,更需要对信息科技风险的计量。

目前,无论是为银行风险管理提供解决方案的厂商,还是针对信息系统提供安全服务、业务连续性的厂商都不在少数,但这两类厂商都缺乏对信息科技风险全面、有效的计量方法。分析这种现状产生的原因,一方面是因为计量信息科技风险是一个较新的领域,而风险的计量需要相当大的数据才能做出准确的判断,目前的积累还不足;另一方面,信息科技风险横跨了诸多IT产品的领域,这种跨领域的风险管理不仅对银行用户的综合能力提出了新挑战,也对IT服务厂商提出了很高的要求。

第9篇:it审计论文范文

【关键词】 IT治理;IT内部控制;对策研究

2008年6月,堪称我国SOX法案的《企业内部控制基本规范》正式出台;2010年,《企业内部控制配套指引》全面推出,我国企业内部控制规范体系正式形成,对内部控制的重视达到了前所未有的高度。而探讨企业内部控制就必须注意到,随着IT应用的逐步深入,企业的日常运营越来越依赖于IT系统的支撑。IT的发展在给企业带来收益的同时,也给企业带来了越来越大的风险。没有正确的IT治理机制,就无法确保IT决策的正确性,无法控制信息化进程给企业带来的各种风险。而我国企业目前仍处于IT内控与风险管理的萌芽期,在基于IT治理的IT内部控制制度建设方面较为薄弱,文章主要针对此问题提出一些对策。

一、IT治理与IT内部控制的相关概念

(一)IT治理

关于IT治理的概念,不同学者有着不同的定义,以下为有代表性的几种:

ISACA(信息系统审计和控制协会)定义IT治理是一个由关系和过程所构成的体制,用于指导和控制企业,通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。价值、风险与控制是IT治理的核心 ;

全球IT治理协会(ITGI)认为IT治理主要是董事会和执行层的责任,是企业治理的重要组成部分,通过领导、组织和过程来保证IT实现和推动企业战略目标的发展;

Robert S . Roussey (美国南加州大学教授)认为:IT治理用于描述被委托治理实体的人员在监督、检查、控制和指导实体的过程中如何看待信息技术。IT的应用对于企业能否实现愿景、使命、战略目标至关重要 ;

Peter Weill 认为IT治理是在IT应用过程中,为鼓励期望行为而明确的IT决策权和责任框架 ;

Gartner集团(著名IT分析公司)认为,IT治理是一种新的商业范式。这种新范式的形成是由战略竞争力、全球化、业务流程共享网络和实时性的企业新需求所驱动的;

德勤咨询公司认为IT治理是一个含义广泛的术语,包括信息系统、技术、通讯、商业、所有利益相关者、合法性和其他问题;

国内学者胡克瑾(同济大学博士生导师)认为:IT治理是一个关系和过程的结构,用来指导和控制企业,通过平衡在IT及其过程中的风险和回报来增加企业价值从而达到企业的目标。

(二)IT治理的相关标准

目前在IT治理领域公认的国际标准主要有以下几种:

1.COBIT(信息及相关技术的控制目标)模型。它是ISACA制定的面向过程的信息系统审计和评价的标准,是基于IT治理概念的、面向IT建设过程的IT治理实现指南和审计标准。其侧重点在于IT过程控制和IT度量评价,从战略、战术、运营层面给出了对IT的评测、量度和审计方法,它的应用较为广泛,其目标对象是信息系统审计人员,企业高级IT管理人员。

2.ITIL(IT基础架构库)。ITIL是一套IT管理指南,列出了各个服务管理流程“最佳”的目标、活动、输入和输出以及各个流程之间的关系,主要关注IT的战术和运营层面,对IT服务的提供和支持定义了更为详细和更易理解的过程集。

3.ISO/IEC 17799/27001,是有关信息安全管理的国际标准。该标准可用于组织的信息安全管理体系的建立和实施,保障组织的信息安全,侧重于强调信息安全管理体系的有效性、经济性、全面性、普遍性和开放性,涵盖内容非常广泛。

4.COSO委员会《企业风险管理――整合框架》和SOX法案(《2002年萨班斯-奥克斯利法案》)。前者是美国COSO委员会提出的内部控制理论框架和操作框架,关注企业风险管理。从IT角度看,该框架关于IT对内部控制影响的规范主要体现在“控制活动”和“信息与沟通”要素中。后者对企业的公司治理、IT治理和IT控制提出了更严格的要求。

此外还有PRINCE2(受控环境下的项目)、CMM1(能力成熟度集成模型)和PMPOK等。PRINCE2重点强调项目的可控性,明确项目管理中人员、角色的具体职责,同时实现项目管理质量的不断改进。CMM1是一种用于评价软件组织能力并帮助改善软件质量的方法,已经成为评价软件组织开发过程的标准,成为软件组织过程改进的参考依据。PMPOK主要适用于所有类型的工程项目管理。这些模型从不同的角度对IT治理进行了规范。

(三)IT内部控制

当前对IT控制并没有较为权威和统一的定义,处于不同角度(例如外部审计人员和企业管理人员)对IT控制有着不同的理解,对其应当包含的内容和控制目标等的认识也不尽相同。总体来说,早期的IT控制概念来源于审计领域的EDP(电子数据处理系统)控制,主要指的是EDP环境下的会计控制,包括一般控制和应用控制两个类别。其目标主要是为保证计算机系统处理的数据质量。这种控制包含两个层面:一是对信息系统处理数据的控制;二是在信息系统中设计某些内部控制措施。随着IT在企业中的应用越来越普及,IT控制的概念也逐渐变得更为宽泛,包括了IT在企业中多种形式的应用,IT控制包含的范围已超过了EDP控制对会计信息质量目标的单纯追求,是由期望达到的(IT控制目标)和达到这些目标的方法(控制程序)构成,有效的IT控制设计与实施指明了一个组织将IT条件下的风险降至可接受水平的途径(孟秀转,2007),IT控制实质上是企业运作过程中涉及IT这部分资产的购入、使用及维护等不同阶段的相关内部控制过程(余瑾,2006)。

从上述概念中可以看出,对IT治理不管用何种界定,其内容都包括通过有关责任与权利的划分对企业战略起到支持作用,从而确保企业价值最大化的目标。IT控制则是在现有的IT治理环境下企业所采取的一列政策、程序和措施的总称 。IT治理相对IT控制来讲,处于基础地位,是IT控制发挥作用的先决条件,而IT治理目标的实现又需要IT控制发挥作用。

二、IT内部控制主要内容及存在的主要问题

从内容上来划分,IT控制分为一般控制和应用控制,贯穿于整个信息化生命周期内,涉及信息化各个领域。

(一)IT内部控制的主要内容

我国《企业内部控制基本规范》对信息系统的控制重点体现在组织控制、系统开发控制、系统操作控制、系统运维控制和会计系统控制等几方面。

1.组织控制。就IT角度而言,组织控制主要是指职责分离。职责分离包含两个方面,一是业务部门与IT部门关于IT职责的分工,二是IT部门内部职责的分工。业务部门与IT部门的职责分工较为规范,但IT部门内部职责分工则在实际工作中普遍存在一个人同时有好几个不同权限的问题,在人手不足的情况下,每个人要参与多项工作,相应的权限也就较多。

2.系统开发、变更与运维控制。包括职责分离,确保系统的合规合法性和可行性,开发过程的人员控制、系统设计控制、系统的日常维护和系统功能的改进与扩充等。

3.操作控制。信息系统操作控制的主要内容包括操作权限控制和操作规程控制两个方面。

4.硬件管理控制。计算机系统对工作环境的要求比较高,对系统的自然环境、作业环境都应有严格的控制措施,主要应包括计算机系统硬件管理制度。

5.会计信息化及其控制。主要指企业实现会计信息化后给企业内部控制带来的新的风险。包括数据存储介质变换带来的风险、操作人员权限控制不当带来的错误和舞弊的风险、对软件质量过于依赖带来的风险等。

(二)IT内部控制中存在的主要风险

首先,我国企业和西方企业所处的政治经济环境不同,人文背景不同,在信息化建设上仍然属于“人治时代”,信息化的随意性较大。有些企业虽然已经制定了信息化的相关制度,但整体而言仍然缺少对信息化进行整体规划、实施与控制的决策机制和责任担当框架。信息化成功与否往往在很大程度上取决于企业高层和董事会对信息化的理解和影响,一旦管理者的个人影响力发生变化,IT规划建设就会失控,从而导致组织的信息化风险,这是IT治理风险的宏观体现。

其次,在具体实践中,企业信息化水平越来越高,其业务与财务报告流程对IT的依赖程度也随之越来越高。一方面财务报告的内部控制几乎离不开IT控制,另一方面即使业务层面的管理控制也是IT支撑环境下的控制。但信息技术是一把双刃剑,随着不安全因素的增多,信息安全的潜在风险也越来越大。从技术层面讲,系统缺陷、人为误操作、系统攻击等不可预料的各种IT风险逐渐增多;从信息安全架构层面讲,没有一个系统化、程序化和文件化的管理体系,就不可能有效防范信息安全风险。企业在建立安全有效的IT控制方面正面临着巨大的挑战,需要重视起来。

三、基于IT治理加强IT内部控制的相关对策

IT系统已经不仅仅是企业日常运营的重要支撑,它同时还是对企业活动进行控制的重要手段。以具体运营流程为基础展开的IT控制,直接关系到日常运营活动的实施效果。事实上,有效的IT控制设计与实施指明了一个组织将信息技术条件下的风险降至可接受水平的途径①。因而,在企业IT治理机制下加强IT内部控制应当是突破口。

(一)从理论层面看,要构建企业IT内部控制体系

科学合理的IT控制体系应当具有前瞻性的、全局性的控制机制,能融合防范与应对信息安全、IT治理、IT管理、IT服务、IT应用、IT项目、IT基础设施、业务连续性、IT外包方面的风险,并能有效地指导组织控制IT风险,使IT战略与企业战略相匹配,促进IT为组织持续地创造价值,以实现有效益的信息化。应当在充分考虑我国信息化建设的实际情况下,确定信息系统控制目标,将信息系统项目运作的全部过程置于有效的管理与控制之下,建立适用的、协同的IT治理标准模式,制定相关管理指南,提供集成的IT管理,指导我们建立起相应的机制,对处理过程进行有效监控,保证有关企业信息处理过程的高效、有序。

(二)从企业信息化建设角度看,应当由整个企业来进行IT内部控制组织体系的构建

企业应当组建科学合理的多层次内部控制组织机构,在《企业内部控制规范》和《企业内部控制配套指引》的规定下,参照上述第一点理论建设的国内外研究成果,选取适合自身特点的控制流程,建立自己的IT内部控制框架并组织实施。

(三)从用户实践层面看,针对本文第二部分所提到的几大内容进行具体控制

信息工具的变革带来了内部控制手段的创新,严格的职责分离可以有效地避免错误和舞弊行为的发生,如IT部门与业务部门之间、IT部门内部之间、系统开发部门内部等都应有明确的岗位责任。系统开发环节应当注重成本与效益原则,判断是否具有可行性;加强开发过程的人员控制、系统设计控制和文档控制等。在操作控制方面主要集中在操作权限控制和操作规程控制上两方面。每个岗位的人员只能按照所授予权限进行作业,不得越权接触系统。权限控制不仅仅通过规章制度来执行,更重要的是要由系统制定全县标准体系,使之不被越权操作,例如用户身份鉴定、口令设置、密码保护、电子签章等。应用控制方面主要重视输入控制、处理过程控制、输出控制等。

建立合理的IT治理架构是实现有效IT控制的基础,IT治理为IT控制提供了制度环境;而IT控制的有效性又直接反映了IT治理的成效。企业只有在建立了完整的IT规范、有了明确的方向基础上,IT控制才能达到高层管理者的要求。反之,没有企业IT控制体系的畅通,单纯的IT治理模式也只能是一个美好的蓝图,而缺乏实际的内容。

内部控制体系建设是一个长期的过程,其中IT内部控制更是由于对硬件环境、软件环境、工作人员素质等方面有较高要求而面临很多困难,还需要董事会、高管层和企业全体员工共同努力,才能真正落实和贯彻。

【主要参考文献】

[1] ITGI. Control Objective for Information and Related Technology (COBIT) 3rd Edition [Z]. America, 2000.

[2] ROBERT SROUSSEY. Challenges Facing the Profession Information Technology[J]. Enterprise Innovation& Risk, 2003(5): 26-27.

[3] PETER WEILL, JEANNE W ROSS. IT Governance on One Page. CISR Working Paper, ssrn. com, 2004.

[4] 陶黎娟.IT环境下我国财务报告内部控制研究[D].厦门大学博士论文,2009:68.