下面是小编为大家整理的《it审计论文(精选5篇)》,仅供参考,大家一起来看看吧。2010年4月12日,世界审计组织(INTOSAI)IT审计工作组第6届效益审计研讨会在北京召开。来自37个国家的73名代表齐聚北京,共同就国际IT审计的热点问题进行研讨交流。中国审计署审计长刘家义出席开幕式并致辞。
IT审计与财报审计的深度融合探讨
摘要:财务信息化是企业构建现代化管理体系的必然选择。信息技术与企业管理之间的融合,让IT审计在企业审计中的重要性有所提升。文章主要对IT审计与财报审计之间的联系进行了探究。
关键词:IT审计;财报审计;信息系统专业审计人员
IT审计(信息系统审计)是对自动信息处理系统及相关非自动处理流程进行检查评估的审计方式。在企业管理方面,IT审计侧重于企业信息管理、IT体系、IT治理及IT运营等审计对象的风险。随着信息技术的不断发展,信息系统已经成为了企业记录财务信息、编制财务报告的重要平台。信息化的不断深入给企业内部控制带来的深远影响也已经成为了企业关注的内容。对IT审计与财报审计的深度融合问题进行探究,有助于企业内部控制体系的优化。
一、IT审计与财报审计的联系
(一)二者最终目的的一致性
在企业管理领域,IT审计与财报审计的侧重点具有一定的差异性,但是就企业管理工作的实际情况而言,IT审计与财报审计均以提升企业财务信息质量为主要目标。在提升财务报告的可靠性的基础上,IT审计与财报审计均可以为企业提供高质量的信息。
(二)二者都采取风险导向审计模式
在应用于企业管理领域以后,IT审计与财报审计均可采取风险导向审计模式。如在信息化财务管理环境下,注册会计师在财报审计工作开展过程中需要借助风险评估程序,对企业财务报表中可能存在的重大缺陷进行分析,进而借助有针对性的措施实施审计。专业信息系统审计师在IT审计工作实施过程中发挥着较为重要的作用,在风险导向审计模式应用于企业IT管理以后,信息技术专业审计人员可以在财务报表审计相关技术所导致的风险较低的情况下,为无报表审计人员提供咨询意见,在风险程度适中的情况下,为财务报表审计工作提供指导,帮助审计师完成相关审计程序的审计。在风险程度较高的情况下,信息系统审计程序需要由专业的信息系统审计人员实施。
(三)二者均需要识别重点账户,关注重要交易
IT审计与财报审计均要关注重点账户及重点交易等重点审计领域。在财务报告审计工作开展过程中,相关人员需要对重点账户及重要交易类别中的错报问题进行重点审查。通过IT审计的审计范围进行分析,业务层面的信息系统审计范围主要与以下因素有关:一是重要的财务报表科目、组成部分及企业重大披露事项;二是财务报表审批方面的重要业务流程与交易;三是相关业务流程及交易的潜在错报风险来源;四是重要业务流程及交易中的信息系统依赖。为保证IT审计的开展,信息系统审计与财务报表审计的整体工作策略之间的关系是审计人员所要关注的内容。信息系统审计范围的确定,需要服从于财务报表审计的整体范围。
二、IT审计与财报审计深度融合的措施
IT审计可以在财务报表审计工作实施过程中发挥一定的支撑作用,故而IT审计可以被看作是财报审计的重要组成部分。二者之间的深度融合,成为了提升企业财报审计效率的可行措施。就IT审计与企业财报审计的实际情况而言,内部控制审计团队的构建与信息系统专业审计人员入场时间等内容是企业在IT审计与财报审计融合过程中所要关注的内容。
(一)注重内部控制审计团队的构建
在财务报表与内控审计对业务系统的依赖关系确认以后,专业的信息系统审计人员需要参与到企业审计工作之中。现阶段专业化信息系统审计团队与财务报表内控审计团队是两个独立化的工作团队。出于提升审计效率的需要,一些会计师事务所已经开始注重专业信息系统审计团队与财务报表内控审计团队之间的整合。但是对于我国本土会计师事务所而言,受审计工作专业性与三级复核机制的影响,专业信息系统审计团队大多隶属于管理咨询板块。管理咨询板块与会计审计板块之间的物理壁垒,会给IT审计与财报审计的融合带来一定的干扰。為突破二者之间的壁垒,实际参加审计工作的审计人员也需要对自身的合作意识进行强化,并要在会计师事务所的项目管理流程中,对事关IT审计与财报审计的协同工作流程进行巩固,进而在构建专业化信息系统审计人员与财务报表审计人员相互配合的审计体系的基础上,提升审计工作的实效性。
(二)确定信息系统专业审计人员的入场时间
根据我国注册会计师审计准则的相关要求,审计师在IT审计工作实施过程中,需要对被审计单位对信息技术的以来领域进行明确,系统自动化控制的应用情况,系统所生成的报表(信息)、系统所支持的自动计算、系统的权限管理功能及系统之间的自动化接口等内容是IT审计所关注的重要内容。信息系统专业审计人员的入场时间也是审计工作开展过程中所关注的内容。一般情况下,企业开展IT审计的频率为每年一次,一些企业也会在一年之内多次开展IT审计。被审计单位的信息系统出现巨大变化的情况下,每年一次的信息系统审计工作并不能对系统变化以前的相关控制及数据进行有效验证,故而在被审计单位的信息系统可能出现巨大变动的情况下,审计人员需要在原有系统被新系统完全替代之前,开展一次信息系统的审计工作。
(三)注重IT审计与财务报表审计的整体时间契合
为实现IT审计与财报审计的深度融合,IT审计与财务报表审计的整体时间契合也成为了相关单位不可忽视的内容。信息系统审计需要服务于企业的财务报表审计之间的协调一致性是IT审计审计规划与财务报表审计的整体策略的一致性的保障因素。IT审计与财务报表审计的整体时间契合有助于信息系统审计结果的合理评估。为提升二者之间的契合度,相关人员需要同时制定IT审计计划与财务报表审计计划,以便让IT审计在财务报表整体审计中的作用得到有效发挥。基于IT审计与财务报表审计的审计闭环的构建,可以在避免过度审计的基础上,促进审计效率的提升。为避免审计风险的出现,相关人员在IT审计与财报审计的融合过程中,也需要及时消除审计领域的空白区。现场审计工作也是IT审计的审计效果的主要影响因素。在实质性审计工作完成以前做好信息系统审计的现场审计,有助于财务报表整体审计策略的调整。
(四)完善信息系統专业审计人员与财务报表审计团队的沟通机制
信息系统一般控制也是IT审计的重要影响因素。根据信息技术的发展现状,信息系统一般控制可以被看作是一个完整化的整体,系统中的各个领域都具有一定的相关性。它们之间的相互作用是信息系统有效运转的保障因素。对于信息系统专业审计人员而言,在日常工作中保持职业怀疑态度与审慎化的工作作风,可以让他们对某一领域或某一领域中的某个控制环节与被审计单位之间的相关性进行明确。在审计风险判断方面,相关人员需要遵循与时俱进的原则,如在IT审计开始之前,审计人员需要对风险要素进行重新评估,并要对被审计单位在环境因素变化作用下所导致的风险变化进行关注。
为促进IT审计与财报审计之间的融合,相关人员也需要让审计工作与被审计单位所处的环境及背景要求相吻合。信息系统专业审计人员与财务报表审计团队之间的沟通机制与确认机制的构建,成为了提升审计效率的又一可行措施。根据前文所述,IT审计与财报审计在总体目标方面具有一致性。在IT审计与财报审计之间的深度融合实现以后,前者会在财报审计体系中处于辅助性地位。故而IT审计可以服务于财报审计。在财报审计工作实施过程中,财务报表审计人员与信息系统审计人员可以在各自对企业的实际情况进行了解以后,进行第一次沟通。双方之间的沟通有助于IT审计的审计范围的明确。二者之间的交流过程是一种反复沟通的过程。双方需要在相应的业务系统中准确提取与财务报表审计有关的数据信息。信息系统审计人员与财务审计人员之间的知识背景差异是二者交流过程的主要影响因素。提升审计人员的综合素质,在交流沟通过程中注重换位思考,是促进双方协作的可行措施。
三、结语
信息技术与企业管理之间的融合,给企业的会计核算带来了巨大的变化。在审计工作所涉及的信息技术超出传统审计范围以后,IT技术与财报审计之间的深度融合,可以有效提升审计工作的工作效率。专业化的审计团队的构建及IT审计的合理开展,有助于审计工作的科学化水平的提升。在构建协作体系的基础上,对IT审计的证据支撑作用进行有效发挥,也有助于财务报表审计体系的完善。
参考文献:
[1]郭颖,张文鑫.论IT审计与财报审计的深度融合[J].中国注册会计师,2018(01).
[2]彭程.内控审计与财报审计如何“完美结合”[J].智富时代,2017(04).
[3]弓颖.内控审计与财报审计结合浅析[J].经济师,2017(03).
(作者单位:中国银联股份有限公司)
作者:毕婷婷
[摘 要] 随着各组织对信息系统运用的增多,信息系统在为企业带来高收益的同时也带来了巨大风险,因此引入IT审计成为一种趋势。本文从IT审计的概念特点介绍出发,分析当前我国IT审计面临的挑战,并提出了应对措施。
[关键词] IT审计;挑战;策略
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2011 . 11. 010
[
随着信息技术的兴起,信息系统已经渗透到社会生活的方方面面,它在给人们带来便利与效益的同时,也带来了很多负面影响,如计算机犯罪案件的频频发生等,系统安全问题日益严峻。于是一个不容回避的问题——我国企业如何有效地开展信息技术审计(Information Technology Audit,以下简称IT审计),保证信息系统安全,摆在我们面前。本文拟对此进行探讨。
一、IT审计的定义及其特点
IT审计是指对信息系统从计划、研发、实施到运行维护各个过程进行审查与评价的活动,以审查企业信息系统是否安全、可靠、有效,保证信息系统得出准确可靠的数据。由以上定义可知,IT审计的目标是保证IT系统的可用性、安全性、完整性和有效性,最终达到强化企业内部控制的目的。
该审计过程具有以下特点:
1.IT审计是一个过程。它通过获取的证据判断信息系统是否能保证资产的安全、数据的完整和组织目标的实现,它贯穿于整个信息系统生命周期的全过程。
2.IT审计的对象综合且复杂。IT审计从纵向(生命周期)看,覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务;从横向(各阶段截面)看,它包含对软硬件的获取审计、应用程序审计、安全审计等。IT审计将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。
3.IT审计拓宽了传统审计的目标。传统审计目标仅仅包括“对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见”;但IT审计除了上述目标外,还包括信息资产的安全性、数据的完整性及系统的可靠性、有效性和效率性。
4.IT审计是一种基于风险基础审计的理论和方法。IT审计从基于控制的方法演变为基于风险的方法,其内涵包括企业风险管理的整体框架,如内部环境的控制、目标的设定、风险事项的识别、风险的评估、风险的管理与应对、信息与沟通以及对风险的监控。
二、我国IT审计面对的挑战
IT审计和传统审计相比具有的上述特点是吸引我国众多企业引入IT审计的重要原因,但是这种方法的应用又会给企业提出巨大的挑战。
1.传统审计线索的消失。在手工会计环境下,审计线索主要来自于纸质原始凭证、记账凭证、会计账簿和会计报表,这些书面数据之间的勾稽关系使得数据若被修改可辨识出修改的线索和痕迹,这就是传统审计线索的基本特征。但是现在计算机网络信息系统中这些数据直接记录在磁盘和光盘上,无纸张记录,审计人员用肉眼无法直接看到这些数据如何记录,且非法修改删除原始数据也可以不留篡改的痕迹,从而为舞弊人员作案留有可乘之机。尽管许多审计机构要求已实现会计信息化的企业将所有原始凭证、记账凭证、账簿、报表打印输出,使用绕开计算机系统的审计方法,并以打印出的证、账、表作为基本审计的线索和依据。但是如果原始数据在业务发生时就被有意篡改,则其派生的记账凭证金额和账户余额及报表数据也一定会出错,打印出的数据也不能作为审计证据。因此即使打印出所有电子数据,传统审计线索也会在计算机信息系统下完全消失。
2.计算机信息系统的数据安全面临挑战。手工信息处理的环境下,审计人员无须将数据和会计信息的安全性问题作为审计的重要内容,但是在IT审计的工作中,网络电子交易数据的安全是关系到交易双方切身利益的关键问题,也是企业计算机网络应用中的重大障碍和审计的首要问题。例如计算机病毒的破坏、黑客用 IP地址欺骗攻击网络系统来获取重要商业秘密、内部人员的计算机舞弊、数据丢失等,都是传统审计从未涉及的,但又是IT审计的重点,这对当前我国的审计工作无论是操作系统,还是制度建立等众多方面都是一个很大的挑战。
3.IT审计专业人才匮乏,适应IT审计事业发展的人才培养和管理机制还有待建立和健全。由于IT审计固有的复杂性,这项工作需要具备会计、审计、组织管理和计算机、网络技术等综合知识的人才,而且工作人员需要对内部控制和审计有深刻的理解,对信息和网络技术有敏锐的捕捉能力,在我国获得注册信息系统审计师资格的人数远远不能满足信息系统审计业务的需求。
三、我国IT审计应对策略
面对上述挑战,我们应当多方位、多角度制订措施,使IT审计工作更好地为我国企业发展做出贡献。具体措施如下:
1.审计线索的重建。根据计算机网络系统容易在不同地方同时形成相同“原本”数据的特点,可以重建电子审计线索:在电子化的原始数据形成时,同时在审计机构(包括内审机构)和关系紧密(签字确认)的部门形成原始数据的“原本”,或在不同部门各自形成相关的数据库(特别应当包括数量、金额和单价等主要数据项),这样不仅可以相互监督和牵制,还给计算机审计提供可信的审计线索。这种保留审计线索的方法,一方面成为有力的控制手段,另一方面可从审计线索中发现疑点。这种方法主要是应用专用的审计比较软件,同时将几个部门的同一种数据库进行自动比较形成有差异的数据记录文件,详细审查相关的数据文件和访问有关的当事人,从而取得有力的审计证据。上述比较审计方法是在不同部门同时形成业务数据文件的情况下应用,如果企业业务数据分离存放,如销售合同与销售发票、提货单在不同的部门保存,这种实质性测试也可采用比较审计法,应用专用的审计软件,结合相关的几个业务数据文件进行比较,查出有错误疑点的记录。
2.确保信息系统的信息安全。为了保证信息系统的信息安全,IT审计工作人员要在审计过程中评价企业的防火墙技术、网络系统的防病毒功能、数据加密措施、身份认证和授权的应用实施情况,通过面谈实地审查企业安全管理制度建立和执行的情况,查看企业是否为了预防计算机病毒,对外来的软件和传输的数据经过病毒检查,业务系统是否严禁使用游戏软件,以及是否配置了自动检测关键数据库的软件,使异常及时被发现;检测企业是否为了防范黑客入侵,网络交易的数据库采用离散结构,同时在不同的指定网点(如在交易的双方)形成完整的业务数据备份供特殊使用(如审计和监控);此外IT审计人员还要注意检查企业的信息系统岗位责任实施、安全日志制度,审查有关计算机安全的国家法律和管理条例的执行情况。
3.建立一支完备的IT审计专业人才队伍。IT审计的发展必须有一大批专业化的IT审计人才,这就要求我们要采取短期培训和长期培养、操作层面上的培训与高层次人才的培养、在职人员培训与未来人才培养相结合的方法将这支队伍逐渐发展起来。此外我国可以从现有的审计队伍中选拔人员进行专门的信息系统审计培训,并考虑在注册会计师的资格考试和审计师职称考试中逐步加入计算机、信息系统和网络技术等与信息系统审计有关的内容,以及加强对从事信息化咨询的IT技术人员的会计与审计知识的培训。为了培养未来审计人员,应在高校会计、审计专业教学计划中增加信息技术和电子商务等内容,也可以考虑在高校中开设信息系统审计专业,直接培养信息系统审计专业人才。
当前我国IT审计正处于起步阶段,和传统审计相比,IT审计的显著特点决定了其势在必行,但是一种新的方法的引入和实施必定会给企业和审计人员带来巨大的挑战,面对种种挑战我们应采取积极措施,迎难而上,使IT审计工作不断发展完善。
主要参考文献
[1]张茂燕. 论我国的信息系统审计[D]. 厦门:厦门大学,2005.
[2]陈朝.我国信息化建设中信息系统审计问题研究[D].长春:东北师范大学, 2006.
[3]邓少灵. 企业IT审计的框架[J].中国审计,2002(1).
[4]李健,朱锦淼,王晓兵. IT审计——人民银行内审面临的新挑战[J].金融理论与实践,2003(6).
[5]李朝阳,胡昌振. 计算机审计系统的防护方法[J].航空计算技术,2002(1).
[6]李辉,杨青峰. 商业银行IT审计的策略与方法 [J].信息空间,2004(7).
[7]周新玲. 我国IT审计的发展对策[J].科技进步与对策,2004(3).
作者:于海霞
2010年4月12日,世界审计组织(INTOSAI)IT审计工作组第6届效益审计研讨会在北京召开。
来自37个国家的73名代表齐聚北京,共同就国际IT审计的热点问题进行研讨交流。中国审计署审计长刘家义出席开幕式并致辞。
刘家义在致辞中说,IT审计工作组是世界审计组织的重要专业课题研究机构,其目标是促进世界审计组织各成员国之间在IT审计领域的知识共享。
刘家义表示,2008年以来,中国政府统揽全局,果断决策,全面实施了包括四项政策措施在内的“一揽子计划”,统筹做好保增长、调结构、促改革、惠民生的各项工作,积极应对国际金融危机。中国的审计工作紧紧围绕经济社会发展这个中心,围绕应对国际金融危机、保持经济平稳较快发展这条主线,集中力量开展卓有成效的全过程跟踪审计,保障了应对国际金融危机各项措施的落实,保证了财政资金使用的安全、合理和有效,充分发挥了审计保障国家经济社会健康运行的“免疫系统”功能。
刘家义说,中国审计署已经确定,到2012年,所有的审计项目都要开展绩效审计,绩效评价指标体系必不可少。
作为世界审计组织IT工作组的主席国,印度副主计审计长阿诺尔·查特吉先生宣布研讨会开幕。
中国审计署石爱中副审计长率5名代表出席了开幕式。在为期两天的研讨会上,中国审计代表团宣读了2篇论文,并积极参加研讨活动。
作者:姜洪军
【摘 要】 财务共享服务模式受到了许多大型集团企业的重视,并得到了广泛运用。有效的IT审计可以帮助集团企业预防和规避财务共享服务模式带来的IT风险。在分析大数据时代财务共享服务模式下IT审计特征的基础上,构建了基于财务共享服务模式的IT审计流程框架,并分析了具体的审计流程,以期为财务共享服务模式下的IT审计提供理论指导。
【关键词】 IT审计; 财务共享服务模式; 大数据; 云会计
一、引言
财务共享服务模式是依托大数据、云计算等信息新技术以财务业务流程再造为基础的分布式管理模式,目的是优化组织结构、提升核算流程效率、降低财务核算成本以及为企业创造价值,其站在市场视角为内外部客户提供专业化财务服务。在财务共享服务模式下,集团企业将日常的、共同的、分散的、大量的、重复的、可标准化的财务会计流程从下属分公司剥离出来,统一交给财务共享中心进行处理[1],实现了业务处理、数据存储的集中,同时也增加了IT风险。IT风险[2]已经成为企业的“经营风险”,包含IT环境风险、IT管理风险、IT技术风险和IT平台风险等。大数据时代基于财务共享服务模式的IT审计目的是为了找出并解决财务共享的IT风险,依托大数据、云计算等信息新技术,通过对大数据进行采集、处理、分析以发现问题。
IT审计一直受到诸多学者的重视,曹立明[3]分析了IT审计本质、目标与方法,认为IT审计是会计信息化的内在要求,并对会计信息化IT审计的目标、内容和实施条件进行分析,最后对会计信息化IT审计面临的问题进行了阐述。覃宪姬等[4]以广州地铁IT审计为例,在分析了广州地铁信息系统审计现状的基础上,构建了广州地铁IT审计框架并对其具体内容、实施步骤、审计策略以及审计方法进行了阐述。柳芳[5]从ERP系统安全性风险、业务流程风险和ERP系统管理风险入手,对ERP固有风险进行了分析并提出了相应的IT审计对策。李有华[6]将企业IT风险分为IT战略风险、IT项目风险、IT安全风险、IT服务风险、IT合规风险,并在此基础上对IT审计的内容、标准、范围、方法和制度进行了分析。
综观上述文献,大多数文献都基于传统信息系统,并从传统审计手段的角度出发对IT审计的框架、发展与实施进行研究。在大数据时代,财务共享服务模式成为大型集团企业的首要选择,其IT架构更多地运用到云计算技术,并需要大数据进行技术支撑。审计人员在财务共享服务模式下进行IT审计时将更多地运用大数据审计[7]手段进行IT审计,从数据的角度发现疑点,以减轻审计工作量,提高审计工作效率。有鉴于此,本文从大数据的角度对财务共享服务模式下IT审计的特点进行分析,梳理其数据流程,在此基础上构建IT审计框架模型,并对其实施流程进行阐述。
二、大数据时代基于财务共享服务模式的IT审计框架
(一)财务共享服务模式下IT审计的特征分析
一般认为IT内部控制包含组织层面的IT控制、一般控制和应用控制三个层面[6],审计人员通常以此为基础展开IT审计工作。财务共享服务模式下的IT审计需要充分结合财务共享IT架构特征,其IT审计范围如图1所示。同时,三个层面的IT审计在财务共享服务模式下也出现了有别于传统企业IT审计的特点。
1.组织层面的IT审计
组织层面的IT审计主要检查财务共享IT架构的设计是否合理,以及是否得到有效实施,其核心内容是管理层控制。集团企业建立财务共享服务模式的战略目标清晰,即降低财务核算成本,其IT战略规划应当以实现该目标为前提,并以此为基础进行IT部门与职能的设置。财务共享服务模式下组织层面IT审计应当对财务共享IT战略规划、IT部门与职能的设置是否符合财务共享战略目标进行检查,并对其实施的有效性进行审计。
2.一般控制层面的IT审计
一般控制层面的IT审计是为了确保IT系统运行的可持续性,能够为应用控制提供支撑,审计对象包含软硬件平台、网络等。财务共享服务模式下集团企业将财务核算业务集中,借助移动互联网、云计算等信息新技术实现了财务核算流程再造和数据的集中存储,其IT技术风险应当得到审计人员的重视。财务共享服务模式下一般控制层面的IT审计应当对数据安全、基础设施更新、访问安全和网络安全等主要风险点进行审计。
3.应用控制层面的IT审计
应用控制层面的IT审计主要检查业务系统层面所设计、执行的IT控制是否能够确保整个系统具有可信性,以及是否能够完成相关数据的产生、记录、传递、处理、分析和报告等功能。财务共享服务模式下集团公司、各分子公司的ERP、HR、OA等其他业务系统需要和财务共享中心实现数据对接与共享,为财务核算系统提供数据支撑,其间数据的产生、记录、传递、处理、分析和报告都是IT审计的关键风险点。财务共享服务模式下应用控制层面的IT审计应当对财务核算流程的设计与实施、业务系统与财务共享中心的数据对接、登录权限等内容进行重点关注。
(二)IT审计程序流程框架
COBIT(Control Objectives for Information and related Technology)即信息系统和技术控制目标,是一种用于“IT审计”的知识体系,由美国信息系统审计与控制协会(ISACA)于1996年首次提出并于2005年更新到COBIT 5.0。目前COBIT已经成为众多国家的政府部门、企业对IT的计划与组织、采购与实施、服务提供与服务支持、监督与控制等进行全面考核与认可的业界标准。由于COBIT 5.0具有普适性,因此财务共享服务模式下的IT审计可以此为基础构建IT审计流程框架。在大数据技术背景下基于财务共享服务模式的IT架构与传统IT架构有所区别,在构建IT审计流程框架时应当充分考虑到这一点。
财务共享服务模式下的IT审计流程框架包含IT审计指南和IT审计流程两部分。其中IT指南是参考COBIT 5.0得出的IT审计标准,在IT审计过程中起着指导作用,包含关键审计因素、流程能力模型、风险控制模型、IT技术可信评估和IT审计知识库等内容。IT审计流程则包含制定审计目标、风险评估、制定审计计划、设计审计程序、执行审计程序和出具审计报告六个流程,如图2所示。
(三)IT审计数据流程框架
在财务共享服务模式的IT审计中,审计大数据的产生、传递、处理和分析贯穿整个审计过程。为了充分利用大数据技术提高审计效率,审计机构可以历史数据、互联网数据等组成的大数据为基础构建审计数据中心,并建立IT审计知识库,帮助审计人员进行高效的IT审计。在审计过程中,审计人员可以通过IT审计知识库中的IT审计知识对审计对象的关键风险点进行重点关注,通过大数据审计方式对审计对象提供的相关大数据进行审计。待审计人员出具审计报告后,可将该审计项目的主要风险点、测试方式以及实质性程序等相关审计数据反馈到审计数据中心以完善IT审计知识库,形成IT审计的数据闭环,如图3所示。
三、大数据时代基于财务共享服务模式的IT审计流程
大数据时代基于财务共享服务模式的IT审计应当是一个包含审计大数据产生、传递、归集和使用的闭环系统,在审计过程中应当由IT审计指南对IT审计的计划、实施进行指导。
(一)制定审计目标
审计人员在进行财务共享服务模式下的IT审计时,应当充分考虑该模式下的特点,结合财务共享的IT战略规划,明确审计的时间、目标和范围。集团企业建立财务共享服务模式的战略目标为降低财务核算成本,为了实现该目标,其IT架构应当满足技术可信、内部控制有效、数据平台安全等基本要求,也是财务共享服务模式下IT审计的主要目标。在不同性质的IT审计中,审计人员可以按照实际的审计需求选择不同的侧重点来制定满足实际需要的审计目标。例如内部审计中,审计人员进行IT审计时更多地关心财务共享服务模式下的应用控制制度建设是否合理、是否得到有效实施;社会审计中,审计人员进行IT审计时则更加在意通过财务共享服务模式是否能够提供真实可靠的财务信息。
(二)风险评估
财务共享服务模式的IT架构相较于传统IT更多地使用了大数据、云计算等技术,因此财务共享服务模式下IT审计的审计风险与以往所有差别,例如审计人员在IT技术层面可能无法对IT技术风险有足够的了解,可以通过权威的第三方IT咨询机构获取该审计项目中财务共享下IT技术的评估报告,即IT审计指南中的IT技术可信评估。除了IT技术风险外,审计人员还应当充分考虑财务共享服务模式下独特的审计环境,结合财务共享服务模式下的业务流程再造,对财务共享中心内部控制制度建设情况进行评估,得出可能的其他审计风险以及风险发生的可能性,通过建立二维风险矩阵的方式对风险进行定性和定量的评估。
(三)制定审计计划
根据风险评估的结果,在考虑企业IT管理框架、人力资源配置等因素的基础上,审计人员应当充分结合财务共享服务模式下财务处理流程标准化程度高、业务量饱和以及财务核算成本低等特点,分别制定总体审计计划和具体审计计划,包括确定审计目的、审计范围、人力调配以及审计策略等内容。需要注意的是,财务共享服务模式下运用了大数据技术,传统审计手段很难进行有效的IT审计,应当在审计计划中明确使用大数据审计等审计手段。
(四)设计审计程序
财务共享服务模式下的IT审计程序包含IT管理层控制、IT一般控制和IT应用控制三部分。大数据技术在该步骤得到广泛运用,审计人员可以通过大数据爬虫获取互联网数据,从财务共享数据中心获取集团大数据,然后使用数据驱动测试、数据挖掘、数据多维分析等方法对大数据进行分析,实施审计程序。同时,审计人员也可以使用IT审计知识库比对其他财务共享IT审计项目,辅助确定IT审计中的主要风险点。
1.IT管理层控制
审计人员在进行IT管理层控制时可以结合COSO内部控制框架与财务共享实施情况设计调查问卷,向分子公司总经理、集团财务部员工、财务共享中心负责人等发放。然后可以根据问卷结果与财务共享负责人或IT管理层进行访谈,以评价集团企业在财务共享服务模式下IT管理层控制的有效性。
2.IT一般控制
审计人员在进行IT一般控制时可以采取问卷调查、访谈、穿行测试等方式,也可以直接通过第三方IT咨询机构获取企业IT技术评估报告,以确认该审计项目中财务共享服务模式数据安全、基础设施更新、访问安全和网络安全等主要风险处于可接受范围内,不需要整改。
3.IT应用控制
审计人员在进行IT应用控制时可能更多地会运用大数据审计的方法获取审计证据,例如对采集到的大数据进行清洗后通过SQL查询、大数据挖掘和多维分析等方法寻找审计疑点,或通过黑盒测试法进行数据驱动测试以发现IT系统运行中存在的问题。除了大数据审计的方法外,穿行测试与控制测试也能帮助审计人员找出应用控制设计与执行中存在的问题。
(五)执行审计程序
按照设计好的审计程序进行下一步工作,审计人员需要结合风险评估结果对财务共享服务模式三个层面进行控制测试,根据实际需求实施实质性程序,通过大数据审计、穿行测试等审计手段得出审计证据,并将从中得出的主要控制风险告之相关人员,记录测试和交流沟通的结果。
(六)形成审计意见,出具管理层建议
按照得到的审计证据,结合最初制定的审计目标得出最后的审计结果,并根据审计结果当中的所发现的问题向管理层出具审计意见和提供建议,在与管理层进行沟通后取得其对管理建议的相关回复。
出具审计结果后审计人员应当将相关数据反馈到IT审计知识库以形成新的IT审计知识,完成审计大数据闭环。
四、结语
财务共享服务模式的建设需要大数据、云计算等技术支撑,但同时也改变了其IT审计的审计环境。本文基于财务共享服务模式的特点构建了该模式下IT审计的审计流程框架并对其具体流程进行了分析,以期对财务共享服务模式下的IT审计提供理论指导,帮助集团企业降低或规避其财务共享服务模式下的IT风险。
【参考文献】
[1] 王德宇.财务共享服务与企业管理研究[J].山东社会科学,2015(5):160-163.
[2] 周常兰.IT风险控制整合框架的构建——风险控制四维整合框架的引入与扩展[J].经济体制改革,2014(2):102-106.
[3] 曹立明.论IT审计与会计信息化[J].中国注册会计师,2012(12):108-113.
[4] 覃宪姬,陈瑜,佟柱.信息系统审计的透视与思考——基于广州地铁审计案例的分析[J].中国内部审计,2014(8):62-69.
[5] 柳芳.基于ERP系统固有风险的IT审计对策[J].中国内部审计,2013(12):67-69.
[6] 李有华.企业IT审计方法研究及应用[J].中国内部审计,2013(10):63-65.
[7] 程平,白沂,贺灏璁.云会计环境下基于COBIT标准的大数据审计研究[J].会计之友,2016(4):125-128.
[8] 程平,温艳好.基于云会计的AIS可信性层次结构模型[J].重庆理工大学学报(社会科学版),2014(2):24-31.
作者:程平 白沂
摘要:中国人民银行肩负着国家宏观经济调控、保障金融安全与稳定、提供金融服务等职责。近年来,随着央行新业务的拓展、新系统的使用,人民银行信息科技面临的风险呈现出多样性和复杂性的特点。如何防范并有效化解各类风险,提升信息安全管理水平,已经成为亟待解决的重要课题。本文通过阐述基层央行信息技术审计现状,风险导向审计模式,分析基层央行开展信息技术审计工作存在的现实问题,研究对策措施,探索构建风险导向视角下的IT绩效审计模式。
关键词:信息技术审计;风险导向;绩效审计
一、信息技术审计研究现状
1.信息技术审计
在人民银行,信息技术审计的目的是通过实施信息技术审计工作,对组织是否达到信息技术管理目标进行综合评价,并基于评价意见提出管理建议,协助组织信息技术管理人员有效地履行其受托责任以达成组织的信息技术管理目标,从而提高信息系统运行的效果与效率。2000年8月在贵阳召开首届央行信息技术审计工作座谈会,标志着央行的信息技术审计工作在摸索中逐步推进。2011年总行制定了《人民银行内审工作转型2011-2013年规划》,明确提出:“在审计方法上,逐步由手工审计手段向更多运用计算机辅助审计手段转变”。近年来,在内审转型与发展的大环境下,信息技术审计有了长足的发展。
2. 风险导向审计
在人民银行,总行于2005年出台《中国人民银行内审工作制度》,将风险管理的理念纳入内部审计准则体系。2011年,内审司成立了风险评估攻关小组,初步构建了风险量化评估方法体系。在2013年内审工作会议上,人民银行行长助理郭庆平在讲话中明确指出:风险导向是内审的逻辑起点,风险引导审计、审计关注风险是审计工作性质和规律的要求。
3. 绩效审计
在人民银行,1998 年内审部门设立之初,人民银行总行党委就明确提出了“由易到难,逐步提高,先抓财务资金内审,逐步加强行政执法内审,在此基础上审查运行效率”的内审工作总体思路。2013年内审工作会上,总行内审司杨立杰司长在讲话中指出:“绩效审计既是一种审计类型,也是一种审计理念,在离任履职审计和各类专项审计中,都要增强关注绩效的意识,围绕投入与产出、成本与效益、措施与效果,深入开展审计和评估分析,更好地发挥内审的建设性作用”。
二、基层央行信息技术审计工作中存在的现实问题
1.内控环境并不理想。尽管近些年央行在加强内部控制方面做了积极探索和实践,取得了一些成绩,但受其传统审计的思路和模式的影响,部分内审人员对于风险导向审计、绩效审计等先进理念理解深度不够。风险识别、评估、应对工作尚处探索阶段,系统化、标准化水平并不高。
2.审计力量不足。信息技术风险导向审计对审计人员的素质要求较高,不但需要精通审计知识,而且要熟悉信息化环境下各个层面的风险评估和分析方法。但目前审计人员缺乏足够的风险管理与控制的实践经验,对风险导向审计的运用不够,难以很好的实现各类风险的科学评估。
3.审计方法需更新。风险导向模式下信息技术审计的理论研究和实践还处在摸索阶段,可参考的标准数据库尚未建立,风险导向的信息技术审计标准框架还未建立。计算机辅助审计手段不足,对各业务系统在业务操作过程中隐形的风险关注不多,很难在海量数据中分析出潜在的风险。
三、探索构建风险导向视角下IT绩效审计模式
风险导向视角下IT绩效审计是基于审计风险模型的绩效审计模式,对被审计单位在信息化管理过程中可能发生的各种风险进行系统分析,从而确定审计范围和审计重点。期间,风险的防范贯穿于整个审计过程。同时,关注信息化管理的效果。因此,将风险导向审计与绩效审计引入基层央行信息技术审计体系,不仅具有一定的理论研究意义,对于基层央行提升风险防范能力、风险管理和信息化管理水平也具有十分重要的现实意义。
“四位一体”风险导向视角下IT绩效审计模式框架,是本文的重点创新内容。通过将信息技术审计、风险导向审计、绩效审计三种审计模式有机融为一体,探索出“风险导向、关注绩效、服务治理”信息技术审计新思路,为促进健全风险防范机制,提升信息化管理水平提供有力支撑。“四位一体”审计模式框架由四个主要环节组成,第一步:以风险为导向,做好审前调查工作。首先,根据被审计单位填报的“风险评估赋值表”(风险描述、影响程度、损失的影响结果等)、“内部控制有效性赋值表”(评价对象、控制因素、控制有效性描述等),利用德尔菲法,运用风险矩阵,通过权重加总法得出审计对象的风险评估值,确定风险等级,判断重要风险可能发生的领域,制定审计对象清单;其次,以“审计对象清单”为基础,将信息科技管理中需要关注的风险进行细化,建立“风险指标知识库”;最后,通过询问、发放调查问卷等方式,进一步明确审计重点,并动态调整各领域风险权重及风险级别,完成审前评估报告。第二步:根据审前评估报告,确定审计重点、制定审计方案、优化配置审计资源。第三步:集中优势力量,重点关注重要风险及绩效情况,实施现场审计。第四步:综合分析审计发现的问题,按照风险大小和影响程度将问题进行归纳总结,分析问题形成的原因和可能存在的风险隐患。综合分析报告上报行领导,为领导决策、强化管理提供参谋。“四位一体”的审计框架,既能从宏观层面较准确地引领审计方向,又能从微观角度确定审计的重点,并能随时根据实际情况做出调整,真正体现了“风险引导审计,审计关注风险”的理念。
1. 风险导向视角下IT绩效审计模式的重要意义
一是通过开展风险导向审计,审计重点从检查和监督向分析和评价方面转变,可以增强对关键风险点的判断力,尽早发现风险易发区域和环节,对其实施针对性的控制,提升管理水平,增强组织治理。二是引入绩效评价,有助于提升信息化管理效能。使用统一的评价指标和标准,运用科学、规范的绩效评价方法,对信息化系统绩效目标及其实现程度进行综合性评价。三是构建“两个知识库”,即风险指标知识库及绩效指标知识库,为深化信息技术审计奠定基础。通过重点对知识信息进行科学准确的描述,归纳整理出方法详尽、操作简单的评价检查方法。可以解决目前信息技术专业人员缺乏、审计经验不足、范围不宽、深度不够的现实困境,并为将来借助信息技术开展高效的非现场审计提供重要支撑。
2. “四位一体”IT绩效审计新模式基本框架
(1)审前调查评估。
构建“三步走”的审前风险量化评估体系,实现风险引导审计、突出审计重点的目标。审前风险量化评估体系:首先,通过综合评估判断重要风险发生的领域,其次,通过细化重要风险指标,建立相应的风险指标知识库。最后,通过询问、发放调查问卷等多种方式,进一步明确审计重点,并动态调整权重及风险级别。
第一步,首先对被审计单位信息科技管理方面的情况进行风险量化评估。即从“信息技术基础设施管理”、“信息科技管理”、“应用系统管理”三个方面评估,经综合分析,制定《可审计对象清单》以确定审计重点和审计频率。
首先,填制“风险评估赋值表”。“风险评估赋值表”分“信息技术基础设施管理、信息科技管理、应用系统管理”三张分表,分别对上述三个方面风险的基础数据进行了赋值(根据实际情况评价资金损失、声誉损失、连续性损失影响结果)。利用风险矩阵(如图1所示),通过分析风险影响程度及风险发生可能性,确定风险等级,风险等级由低到高分为1-4级。
其次,填制“内部控制有效性赋值表”,从审计和整改的角度(最近一次审计结果、上次审计以来内部控制变化情况)对控制的有效性进行评估,确定风险级别。
第三,将“风险评估赋值表”和“内部控制有效性赋值表”中的相关数据通过风险量化评估的公式(风险级别=[(∑固有风险权重×风险级别+∑内部控制有效性权重×风险级别)÷∑A、B两部分权重])进行计算,并填制“风险评估表”,以下图为例。
最后,对分项的“风险评估表”进行综合分析,填制“可审计对象清单”。通过分析固有风险和剩余风险的大小,发现风险较大的领域,确定审计重点和审计频率。以下以“信息技术基础设施管理可审计对象清单”为例。
第二步,以“审计对象清单”为基础,从“信息技术基础设施管理、信息科技管理、应用系统管理”三大类风险的角度,将需要特别关注的风险进行细化,建立“风险指标知识库”。主要包括:风险点的描述,统一的评价标准等,从而引导审计人员进入现场时知道查什么、怎么查、如何评价等。
第三步,收集风险信息,动态调整审计重点,确保审计质量与效率。主要关注的风险信息包括:上级及同级审计和监管部门报告、内部审计报告、内部控制评价报告、突发事件处理报告、重大事故报告、人员变动及业务变化情况报告等。通过电话咨询、邮件等方式,了解被审计单位其关注的重点风险内容。一是通过与管理层交谈,了解管理层对风险管理工作的实施情况,如突发事件应急管理、重要岗位风险点排查情况。二是了解管理层及科室负责人关注哪些重要风险,如人员交接、重要网络设备的更换、系统的升级维护等情况。审计组收到被审计单位答复后,再根据实际情况对审计的关键环节进行微调,把握审计重点。
(2)根据审前综合分析评估结果,制定审计方案、分配审计资源
充分利用综合分析结果,制定配套的审计方案,指导新建软硬件、业务系统、网络设备、计算机机房环境及设施的升级改造等重点风险控制及管理的现场审计。并按照风险等级的大小,合理分配审计力量,提升审计效率。
(3)现场审计以风险控制为主、注重绩效评价
一是突出审计重点、量化风险大小、动态调整风险等级及权重。围绕审前分析出的重要风险,制定重要风险控制指标。依据风险损失程度建立了风险影响程度等级表,按照较小、中等、较大、重大影响程度,划分为1-4级。依据风险出现的频率建立风险发生可能性等级表,按照较小可能、可能、较大可能、基本确定,划分为1-4级。运用风险矩阵,结合风险的发生可能性及影响程度确定风险等级,风险等级由低到高分为1-4级。风险量化评价总分赋值为100分。风险等级1:比重为25%;风险等级2:比重为50%;风险等级3:比重为75%;风险等级4:比重为100%;风险分值=审前确定的权重 风险等级所占相应的比重。风险值越高,表明风险越大,关注度越高。最后,按照综合考评得分结果评价风险管理情况。风险管理情况从高到低依次为优秀(60分及以下)、良好(60-75分)、一般(75-90分)、较差(90~100分)。审后,依据审计结果,重新调整权重及风险等级,为下一次审前分析提供重要的参考数据,有效提升审计效率。
二是关注绩效评价,提升信息化管理效能。绩效审计是内审工作转型与发展中需要重点攻克的课题。本文通过深入分析信息化系统建设、升级改造及运用过程中的“3E”,初步构建信息化系统的绩效评价体系。确定了以“统一指导、分类管理、客观公正、科学规范、社会、经济效益相结合”为原则,运用科学、规范的绩效评价方法,依据统一的评价指标和标准,对信息化系统绩效目标及其实现程度进行综合性评价。首先,通过借鉴COBIT等国内外先进的绩效指标体系,结合基层央行实际,构建了人力资源管理、信息化系统立项情况、采购管理、信息化系统建设升级改造质量、经济效益、社会效益九大类绩效指标。其次,绩效评价采取定性与定量相结合的方式。采用比较法、公众评价法等绩效评价方法,对指标进行“分级判断”及定量评价,重点评价项目实施全过程管理效能、使用效果。评价值总分100分,每项绩效指标细分为四级,分为A、B、C、D四项,得分依次为1分、0.7分、0.35分、0分。最后,按照综合考评得分结果确定绩效级别。绩效级别从高到低依次为优秀(90~100分)、良好(75~90分)、一般(60~75分)、较差(60分以下)。被评价单位可以利用绩效考评结果,进一步总结经验,关注信息化建设的资金成本控制,强化成果的充分运用。
参考文献:
[1] 周欢.风险导向审计与央行风险管理.中国集体经济[J].2010,(1l).
[2] 于丹.浅谈风险导向审计在基层人民银行内审工作中的运用.理论界.2010,(12).
[3] 张金隆,于本海.面向项目绩效评价的软件过程改进模型与决策支持研究[J].计算机应用研究,2008,(6).
[4] 时现,李庭燎等.全球信息系统审计指南[M].中国时代经济出版社,2010.
[5] 陈耿.信息系统审计.清华大学出版社,2009.06.
作者:高博
推荐阅读:
it审计论文提纲11-15
it内部审计论文05-13
it内部审计论文(推荐5篇)03-21
审计最新审计论文题目05-08
审计质量会计审计论文提纲11-15
审计机关跟踪审计论文提纲11-15
审计机关审计风险论文提纲11-15
审计依据审计标准分析论文提纲11-15
委托审计与审计风险论文提纲11-15
审计证据判断审计失败论文提纲11-15
