it审计论文合集12篇
it审计论文篇1
一、引言
随着信息化浪潮推动市场经济主体快速步入大数据时代,企业日益注重信息技术(informationtechnology,IT)的投资与运用,其中企业资源管理计划(enterprise resource planning,ERP)是企业重要的IT投资之一。ERP技术融合了先进的IT技术与管理思想,针对企业管理中存在的问题对企业业务流程进行再造,运用IT技术整合协调贯穿于企业经营过程中的信息流以提高管理水平。企业ERP类IT投资不但改变了企业经营管理方式,还使得审计环境发生了显著变化。IT审计环境可能对审计人员面临的审计风险产生影响,其采取的审计方法、审计范围也随之发生变化,从而对其审计决策产生影响。对于事务所而言,最重要的外部审计决策表现在审计收费与审计意见两个方面。IT投资对外部审计决策产生了什么影响?究竟会通过何种路径影响审计收费与审计意见?本文对此展开研究。已有审计理论主要从企业和审计师特征这两个层面来构建审计费用和审计意见模型,而在企业特征层面很少有研究将企业信息技术因素纳入其中。本文把企业IT投资作为企业层面的信息技术特征,将其纳入审计费用和审计意见的模型中,能够丰富IT审计环境下的审计理论研究,拓展对审计师决策影响因素的研究。此外,在风险导向审计模式下,审计师的风险识别能力以及决策行为会对审计质量产生重要影响,通过研究我国企业IT投资对审计师决策的影响,有助于了解我国审计师在面对IT审计环境时的风险识别能力与风险管理战略。本文的后续内容安排如下:第二部分是文献回顾与研究假设,第三部分是研究设计与数据来源,第四部分是实证检验与分析,最后是研究结论与启示。
二、文献综述和研究假设
(一)文献综述现有关于IT投资对企业运营管理影响的研究文献较多,一方面主要考察IT投资达到预期效果的重要影响因素,另一方面则主要考察IT投资对公司业绩的影响。较多证据表明企业IT投资不仅能够改善经营业绩与加强成本管理,而且能够改善管理层经营决策所需要依赖的信息环境,提高企业信息透明度和精确性,增强高级经理人投资决策行为的科学性[1]。Morris和Laksmana(2011)发现IT投资企业报告了更少的内控缺陷[2]。IT投资会提高企业日常管理业务活动所需信息的及时性、完整性和透明度[3],改善管理层对未来的盈余预测质量[1]。然而,关于IT投资对上市公司会计审计活动影响的研究仍然较少。Brazel和Dang(2008)发现实施ERP类IT投资企业的会计盈余信息质量下降[4],但Morris和Laksmana(2010)在研究设计中控制了内生性问题后,发现IT投资企业盈余信息质量有所提高[5]。张子余等(2016)在控制内生性问题后,发现没有任何证据反映我国企业IT投资会降低会计盈余信息质量,有微弱证据表明盈余信息质量有所提高[6]。关于ERP系统对审计费用与审计意见的影响,Han等(2015)认为IT投资增加了审计风险,提高了风险溢价;以CI(computer intelligence)数据库2000~2009年的美国公司为样本,他们发现企业IT投资与审计费用正相关,在IT审计环境下持续经营审计意见的概率降低[7]。综上,我国企业IT投资对外部审计决策影响的实证研究较为匮乏,不利于理解IT投资对我国企业外部审计决策的影响路径与机理,不利于理解我国会计师事务所在面临IT审计环境时所采取的风险管理策略。为此本文展开相应研究,本文与以往研究的显著不同之处在于:国外相关研究认为IT投资会增加审计风险,从而提高风险溢价与审计收费;而本文则揭示了我国企业IT投资对审计决策行为的影响路径与影响机理在于:IT审计环境下外部审计收费的提高不是由于重大错报风险变化引起的,而是由于追加审计程序以及学习成本增加,造成审计效率降低引起的。
(二)研究假设如果外部审计的重大错报风险加大,出于法律与自身信誉风险的考虑,审计师在出具审计意见时会更加谨慎,出具非标准审计意见的概率会提高[8];反之,审计人员出具清洁审计意见的概率不会降低。因此,在风险导向型审计模式下,审计师要审慎评估企业的重大错报风险,需要对审计的固有风险与控制风险分别进行识别与评估。首先,需要对控制风险进行识别和评估。如果在业务流程再造过程中,IT系统中恰当植入关键控制点,会降低外部审计的控制风险;反之,如果ERP系统没有较好整合系统与植入关键控制点,IT投资企业存在较多内控缺陷,外部审计控制风险将可能提高。Morris(2011)发现ERP类IT投资企业报告更少的内控缺陷[2];曾建光(2012)发现IT投资能降低两种内部控制实施成本———企业管理层与员工之间以及股东与管理层之间的监督成本[9];张子余等(2016)认为我国企业IT投资能提高财务报告内控有效性[6]。据此我们倾向于认为IT投资并没有提高我国上市公司的控制风险。其次,评估重大错报风险还需要对固有风险进行识别和评估。企业IT投资能通过对被审计单位的经营环境以及舞弊动机产生影响,从而影响审计固有风险。第一,当被审计单位的经营成果和财务状况较差时,其固有风险水平较高;反之,当IT投资改善了企业经营业绩时,其固有风险会随之降低。而有较多经验证据表明企业IT投资会对其经营业绩改善产生积极影响[10][11]。第二,当被审计单位存在有提供虚假会计报表动机时,固有风险相对较大。企业IT系统投资不仅为财务报告编制提供基础,还为各部门业绩考核与评价提供重要业绩数字,数字篡改会引发企业内部业绩评价部门相关人员的激烈争议。此外黄志忠和张娟(2012)还认为IT系统中数据更改需要高层授权,不精心设计容易导致系统崩溃[12],对系统崩溃的担忧以及业绩考核相关部门对业绩数字的高度关注,这两种力量有利于制约被审计单位提供虚假报表的动机。因此,我们倾向于认为企业IT投资不会提高审计的固有风险。最后,如果IT系统本身存在明显系统缺陷,在ERP系统设计与运行过程中,操作者有意或无意造成的缺陷所产生的安全漏洞会增加外部审计的固有风险,某一环节问题可能波及其他相关联的诸多环节,此时被审计单位的固有风险可能增加。但我们不倾向于认为现在较为成熟的ERP类IT投资会存在明显安全漏洞与系统缺陷。尽管如此,基于上述诸多方面的分析,我们谨慎提出下列竞争性假设:假设1:在其他条件不变情况下,对于实施ERP类IT投资企业,审计师出具清洁审计意见的概率会降低(不会降低)。外部审计的审计收费首先会受到审计人员可接受的检查风险变化的影响。当其他条件不变时,如果IT投资使得企业的重大错报风险增加,此时审计人员可接受的检查风险程度降低,需要增加审计程序,审计费用增加。反之,如果IT投资使得企业的重大错报风险减少,此时审计人员可接受的检查风险程度提高,不需要增加审计程序与审计费用。外部审计的审计收费还会受到审计效率的影响。当IT系统提高了数据输入的及时性,降低了数据输入错误率时,审计工作效率提高,审计费用降低。然而,当企业进行IT投资时,审计师需要扩大审计范围,增加新的审计程序,这将降低审计效率,增加审计费用;审计师在面对IT审计环境时需要学习新的IT审计知识,学习在IT审计环境下专业审计判断的能力,增加的学习成本降低了审计效率,提高了审计费用。基于以上分析,我们提出下列竞争性假设:假设2:在其他条件不变情况下,我国企业IT投资会提高(不会提高)审计收费。
三、研究设计、数据来源与模型设定
(一)研究设计与数据来源为控制其他不可观测因素对被解释变量的影响,我们采用对照组方法进行研究,给IT投资企业寻找配对样本,将没有进行IT投资的配对样本与进行IT投资的上市公司样本混合在一起进行检验,对照组研究方法能够解决遗漏重要变量带来的内生性问题以及估计偏误问题。譬如,近十几年来审计监管逐渐加强,对事务所审计决策产生了影响,如果只运用IT投资样本进行检验,很容易将审计监管变化因素与企业IT投资带来的变化混为一谈。运用对照组方法进行研究,首先选取2003年1月1日至2010年12月31日在年报中首次公开披露实施ERP类IT投资的非金融类上市公司,然后给每家当年实施IT投资的企业寻找没有进行IT投资的配对样本。本文按照不放回抽样方法抽取配对样本,给IT投资企业按照行业相同、年度相同、总资产规模最接近原则寻找配对样本,每个配对样本的总资产在IT投资企业资产规模的正负20%以内。表1列示了成功配对的361组IT投资公司与配对样本的描述统计量,IT投资公司与配对公司资产规模的描述统计量非常接近。我们保留IT投资企业与配对样本在IT投资企业投资前三年与后三年的数据,研究样本时间的跨度是2000~2013年。其中,年报来源于巨潮资讯网以及新浪财经公告,内部控制指数来源于迪博内部控制与风险管理数据库,其他变量数据均来自CSMAR数据库。本文使用的统计软件是sta-ta12.0。为了避免极端值的影响,对连续型变量在上下1%水平上进行了Winsorize处理。
(二)模型设定我们采用如下logit回归模型对研究假设1进行检验。模型(1)中被解释变量是表示清洁审计意见的哑变量CleanOpin,变量定义见表2。CleanOpin=k1IT_post×ERP+k2IT_post+k3control+εit(1)为了检验假设2,本文在Simunic(1980)、Ke等(2014)的研究基础上构建了如下固定效应模型[13][14]。模型(2)中被解释变量是审计费用Ln(AF)。Ln(AF)=β1IT_post×ERP+β2IT_post+β3control+εit(2)另外,本文参考Simunic(1980)与Ke等(2014)的相关研究[13][14],控制了影响审计收费与审计意见的其他因素,最终将上市公司规模(SIZE)、业务复杂程度(ARINV、FOROPS)、财务风险(LIQ、LEV)、盈利能力(ROE、LOSS、CFO)、审计师特征(BIG4)等作为控制变量,各变量定义见表2。四、实证检验与分析(一)描述性统计表3列示了主要变量的描述统计量。与已有研究一致,将审计费用取对数,取对数后的均值为13.213,标准差是0.646。审计意见的平均值为0.953,说明绝大多数公司被出具了清洁审计意见(不附加任何说明段的无保留审计意见)。内部控制指数得分的最小值是0,最大值是999.75,均值是679.66,符合得分分布特征。应收账款存货与总资产的比值(ARINV)的最小值为1.4%,最大值为73%,样本间差异较大。流动比率(LIQ)的平均值为1.743,表明样本公司短期偿债能力较好。资产负债率(LEV)的平均值为0.485,表明样本公司资本结构整体合理。聘请国际“四大”事务所的样本企业仅占6.7%。净资产收益率(ROE)的均值为6.2%,表明样本公司净资产收益水平一般。
(二)回归分析表4列示了我国企业IT投资对清洁审计意见影响的logit模型的回归结果,(Ⅰ)为不考虑控制变量的logit模型估计结果,交叉项IT_post×ERP的系数为0.387,在10%显著性水平上大于0,意味着我国企业在IT投资后被出具清洁审计意见的概率提高。(Ⅱ)为考虑控制变量的logit模型混合回归结果,(Ⅲ)为考虑控制变量的面板logit随机效应模型估计结果,这两种情况下交叉项IT_post×ERP的系数虽然都大于0但并不显著,表明我国企业在IT投资前后被出具清洁审计意见的概率无显著变化。控制变量LEV与LOSS的系数在1%水平上显著小于0,与现有研究结果一致,资产负债率越高的企业以及亏损企业获取清洁审计意见的概率显著降低。总之,表4表明在其他因素保持不变时,我国上市公司在IT投资前后被出具清洁审计意见的概率并没有显著变化。接下来利用模型(2)来检验我国企业IT投资对外部审计收费的影响。Hausman检验发现固定效应模型优于随机效应模型,因此采用固定效应模型来控制与被解释变量相关的不可观测的公司层面因素。表5列出了相应的检验结果。(Ⅳ)为不考虑控制变量时的估计结果,交叉项IT_post×ERP的系数为0.072,在1%显著性水平上大于0,意味着我国企业在IT投资后审计费用显著提高。(Ⅴ)为考虑控制变量时固定效应模型的估计结果,交叉项IT_post×ERP的系数为0.052,仍然在1%显著性水平上大于0。另外,表5两种回归中IT_post的估计系数都在1%水平上显著大于0,意味着对应的非IT投资企业审计费用也随时间显著提高。原因可能在于,对于没有进行IT投资的配对企业,逐年的通货膨胀物价因素也使得事务所审计收费显著提高。在控制变量中,SIZE、BIG4的系数在1%水平上都显著大于0,这表明被审计单位规模越大以及由四大会计师事务所进行审计时,审计费用显著提高。
(三)稳健性检验在稳健性检验中,我们将来源于迪博内部控制与风险管理数据库的内部控制指数作为被解释变量,考察企业IT投资对内控有效性的影响,检验结果见表6。表6采用随机效应模型进行检验,是因为Hausman检验发现随机效应模型优于固定效应模型。(Ⅵ)列示了不考虑控制变量时的回归结果,交叉项IT_post×ERP的系数为11.951,在5%显著性水平上大于0,我国企业IT投资后内控有效性显著提高。(Ⅶ)列示了考虑控制变量的回归结果,交叉项IT_post×ERP的系数不显著,这表明当其他因素保持不变时,我国上市公司在IT投资前后内控有效性水平无显著变化。除此之外,我们重新定义审计意见,设置变量OPINION:当审计意见为标准无保留意见时O-PINION取值为4,审计意见为无保留意见加事项段时OPINION取值为3,审计意见为保留意见或保留意见加事项段时OPINION取值为2,审计意见为无法发表意见时OPINION取值为1,审计意见为否定意见时OPINION取值为0。然后运用ordinal logit模型进行检验,结论与表4保持一致,这说明我国企业IT投资后被出具更好审计意见的概率无显著变化。另外,在前面本文是按照年度相同、行业相同、资产接近的原则进行配对,其中行业是根据字母行业编码选择相同行业,现在我们根据更加细分的字母加两位数字行业编码进行行业配对,为227个IT投资公司成功配对了227个没有进行IT投资的上市公司。运用新的样本,我们按照表4~6的分析顺序再次进行相关检验,研究结论保持不变。
(四)对重大错报风险的分析根据上述检验结论我们对重大错报风险展开进一步分析,重大错报风险分为财务报告层次的重大错报风险与认定层次的重大错报风险。首先,考察我国企业IT投资是否会影响财务报告整体层次的重大错报风险。通常,如果企业财务报告整体层次的重大错报风险显著增加,此时出具清洁审计意见的概率会降低。该命题的逆否命题为“如果企业出具清洁审计意见的概率没有显著降低,则企业财务报告整体层次的重大错报风险没有显著增加”。由于原命题和逆否命题是等价命题,逆否命题也应当为真命题。根据本文发现的“企业IT投资后被出具清洁审计意见的概率没有显著降低”,可推断我国企业IT投资后财务报告整体层次的重大错报风险无显著增加,这与张子余等(2016)发现的盈余信息质量无显著变化的证据保持一致[6]。其次,还需要考察我国企业IT投资是否会影响认定层次的重大错报风险。认定层次的重大错报风险细分为控制风险与固有风险。控制风险取决于内部控制设计与运行的有效性,根据本文的分析结果———我国企业IT投资后的内控有效性水平无显著变化,可知我国上市公司IT投资后的控制风险无显著变化。王立彦等(2007)、张露等(2013)均发现企业ERP投资对经营业绩改善有积极作用[10][11]。当ERP类IT投资改善了企业经营业绩时,其固有风险会随之降低。因此,我们认为IT投资没有提高控制风险与固有风险,没有提高我国上市公司认定层次的重大错报风险。综上,本文认为我国上市公司的IT投资不会提高财务报告层次的重大错报风险,也不会提高认定层次的重大错报风险。我国企业IT投资没有影响重大错报风险,意味着我国企业IT投资后外部审计费用显著提高的原因不在于重大错报风险增加。外部审计面对企业新的IT审计环境时需要重新设计或追加审计程序以及增加IT审计学习成本,这会降低审计效率、提高审计费用。
四、研究结论与启示
本文实证检验了我国企业IT投资与外部审计决策之间的关系,研究发现:(1)我国企业在IT投资后被出具清洁审计意见的概率无显著变化,与张子余等(2016)发现的我国企业IT投资后盈余信息质量没有显著变化的证据相吻合[6]。(2)我国企业IT投资后外部审计的内部控制有效性水平没有降低,与曾建光(2012)发现的内部成本降低的逻辑保持一致[9]。(3)我国上市企业在IT投资后的外部审计费用有显著提高。根据上述研究结论可理解会计师事务所在面对新的IT审计环境时的风险管理策略包括:提高审计收费,调整审计程序,客观出具审计意见。从对影响路径的深入分析中可知,我国企业IT投资对外部审计的影响机理在于:首先,我国上市公司的IT投资没有降低内控有效性水平,没有提高外部审计的控制风险,重大错报风险无显著变化,企业在IT投资后被出具清洁审计意见的概率没有显著变化;其次,外部审计费用显著提高的原因不在于重大错报风险所带来的审计风险提高,而在于追加审计程序以及IT审计学习成本的增加,两者降低了审计效率,提高了审计费用。关于进一步的研究,我们认为可以运用调查问卷等形式,深入考察事务所对IT审计环境下重大错报风险的分析检查判断过程。基于本文分析可得出以下启示:第一,企业IT投资后在流程再造过程中需要合理设置内控关键控制点,将内部控制关键控制点合理嵌入ERP系统运行中,以进一步提高内控有效性,降低外部审计的控制风险。第二,与系统供应商保持紧密联系,加强对IT系统缺陷的后期维护。系统供应商作为系统的生产者,对该系统的缺陷以及运作流程了解较多,系统使用者应该与供应商加强沟通,以降低IT系统的固有风险。第三,会计事务所需要不断加强对IT审计人员的培训学习,学习与研究如何运用大数据背景下的IT审计技术,提高审计效率,降低审计收费,以提高事务所的核心竞争力。
参考文献:
[1]Dorantes,C.A.,Li,C.,Peters,G.F.,Richardson,V.J.The Effect of Enterprise Systems Implementation on theFirm Information Environment[J].Contemporary Accounting Research,2013,30(4):1427—1461.
[2]Morris,J.J.The Impact of Enterprise Resource Planning(ERP)Systems on the Effectiveness of Internal Con-trols over Financial Reporting[J].Journal of Information Systems,2011,25(1):129—157.
[3]Klaus,H.,Rosemann,M.,Gable,G.G.What Is ERP?[J].Information Systems Frontiers,2000,2(2):141—162.
[4]Brazel,J.F.,Dang,L.The Effect of ERP System Implementations on the Management of Earnings andEarnings Release Dates[J].Journal of Information Systems,2008,22(2):1—21.
[5]Morris,J.J.,Laksmana,I.Measuring the Impact of Enterprise Resource Planning(ERP)Systems on EarningsManagement[J].Journal of Emerging Technologies in Accounting,2010,7(1):47—71.
[6]张子余,杨慧,李常安.我国企业IT投资对财务报告内控实施成本与盈余信息质量的影响研究[J].审计研究,2016,(5):98—103.
[7]Han,S.,Rezaee,Z.,Xue,L.,et al.The Association between Information Technology Investments and AuditRisk[J].Journal of Information Systems,2015,30(1):93—116.
[8]Lennox,C.S.Audit Quality and Auditor Size:An Evaluation of Reputation and Deep Pockets Hypotheses[J].Journal of Business Finance &Accounting,1999,26(7—8):779—805.
[9]曾建光,王立彦,徐海乐.ERP系统的实施与成本———基于中国ERP导入期的证据[J].南开管理评论,2012,(3):131—138.
[10]王立彦,张继东.ERP系统实施与公司业绩增长之关系———基于中国上市公司数据的实证分析[J].管理世界,2007,(3):116—121.
[11]张露,黄京华,黎波.ERP实施对企业绩效影响的实证研究———基于倾向得分匹配法[J].清华大学学报(自然科学版),2013,(1):117—121.
[12]黄志忠,张娟.ERP实施、信息质量与公司绩效———基于中国上市公司的经验证据[J].当代会计评论,2012,3(2):1—13.
it审计论文篇2
2000年以来,继四大行成功完成数据大集中后,各股份制商业银行纷纷加入数据大集中的行列,“科技兴行”、“科技引领”等理念不断冲击人们对商业银行信息系统的固有认识,电子银行渠道持续拓展,商业银行的业务流转也越来越依赖于信息系统的支撑。这些变化一方面使得信息科技在商业银行中的作用不断凸显,另一方面也使得商业银行的信息科技风险进一步放大。
继2006年中国银监会《银行业金融机构信息系统风险管理指引》将信息科技风险纳入商业银行风险管理范畴后,2009年银监会又正式《商业银行信息科技风险管理指引》(下文简称《指引》),进一步加强商业银行信息科技风险管理。2012年银监会宣布设立信息科技监管部,负责银行业信息科技监管督导和风险防范,信息科技风险监管工作不断细化、深入。监管部门对信息科技风险管理的日趋重视,客观上提高了商业银行信息科技风险管理工作的重视程度。
一、信息科技内部审计范围
《指引》提出了商业银行IT风险管理的“三道防线”,即IT管理、IT风险管理和IT风险审计。IT风险审计作为第三道防线分为内部审计、外部审计两方面。按照《指引》要求,银行内部审计部门应当设立足够资源与具有专业能力的IT内部审计人员,并独立于银行的日常活动。商业银行IT内部审计应该包括以下三方面:
(一)专项审计
专项审计是指对IT安全事件进行的调查、分析和评估。涉及重要业务系统、信息安全或审计部门认为必要的特殊事件都有必要展开IT专项审计。
(二)全面审计
应定期实施全行范围内的IT内部审计,应充分考虑业务性质、规模及复杂度,区分总行信息部门(数据中心)、分行、支行等各个层级,制定全覆盖的IT内部审计计划。
(三)重要项目审计
在进行大规模系统开发时,内部审计部应对系统开发的整个生命周期进行控制。包括项目前期的可行性研究、需求分析,项目开发,项目正式上线后的业务及运维。实际操作中,可以根据项目情况,对各项目里程碑展开相应的审计工作。
可以看出,IT内部审计既有全面审计,也有专项审计,还包括重大项目审计,涵盖了银行IT的方方面面。
二、信息科技内部审计面临的困难
内部审计部门应当从上述三个方面入手,检查评估商业银行信息科技系统和内控机制的充分性和有效性,提出整改意见并检查整改意见的落实情况。近年来,商业银行根据《指引》做了大量工作,但是在信息科技内部审计方面仍然存在诸多困难。
(一)缺乏IT审计人才
银行普遍存在着IT审计岗位编制不足、IT审计人员招聘培养困难、IT审计人员专业技术能力不强等情况。IT审计力量的薄弱,极大地影响了IT内部审计的成效,甚至会出现IT内部审计过分依赖信息科技部门的尴尬局面。
(二)缺乏IT审计方法及规范
缺少规范的IT审计方法论,缺乏对整个银行信息系统的全局认识,在IT内部审计中会存在不知道审什么、不知道怎么审,不容易把握IT内部审计的重点,无法触及部分风险隐患。
(三)缺乏IT审计方向
现阶段银行的IT内部审计都是为了满足监管要求,没有站在业务驱动的角度,缺少为“科技引领”提供保驾护航的力度。
三、商业银行如何加强IT内部审计
面对上述困难与挑战,银行应当充分认识IT内部审计对银行的重要作用,内部审计部门主动加强与信息科技部门的共同协作,加强IT审计专业队伍的建设。
1.管理层及信息科技部应当认识到,IT内部审计作为IT风险审计的重要一环,是IT风险管理的重要组成部分,应当重视内部IT审计部门及岗位的建立,充分发挥其积极作用。对IT内部审计的有效管理,可及时评价IT整体风险管理的水平,可对开发项目进行事中控制,分析IT事件原因、提出整改意见并监督落实。信息科技部应该认识到,IT内部审计不是故意“挑错找茬”,它可以积极发现IT潜在的管理疏漏,有效降低IT风险发生概率,提高IT全员的风险意识和认知。
2.内部审计部门应当加强与信息科技部的沟通与协助,可以进行各种形式的、有益的探索与尝试。比如,在IT风险源的制定与风险库的建立方面充分发挥信息科技的能动性,甚至以信息科技部的意见为主。在此基础上,内部审计部通过各类IT事件的分析、IT专项审计等手段不断来丰富完善风险源。比如,加强与信息科技部的沟通,由其讲解IT最新技术发展、整体架构、变更管理与运行维护等,提高自身的专业技术水平及对本行IT工作的了解。比如,加强与信息科技部的沟通,从审计及监管的角度向管理层反映IT发展中亟待解决的难题,解决信息科技的实际困难。
3.银行应当加强IT审计队伍的建设。在内部审计部内设专门的IT审计岗,有条件的银行可以设立独立的IT审计部门。不仅要学习审计的方法论、沟通技巧,还要积极学习相关的信息技术,专业的IT审计人才应当掌握较为全面的信息技术,对银行IT的各方面都要有所涉猎。加强IT审计人才的培养和储备。
it审计论文篇3
[摘 要]当前,我国急需一套完善的中观信息系统审计风险控制体系。这是因为我国的中观经济主体在控制信息系统审计风险时需要一套成熟的管理流程,且国家有关部门在制定信息系统审计风险防范标准方面也需要完善的控制体系作为支撑。在阐述COBIT与数据挖掘基本理论的基础上,借鉴COBIT框架,构建中观信息系统审计风险的明细控制框架,利用数据挖掘技术有针对性地探索每一个明细标准的数据挖掘路径,创建挖掘流程,建立适用于我国中观经济特色的信息系统审计风险控制体系。
[关键词]中观信息系统审计;COBIT框架;数据挖掘;风险控制;中观审计
[中图分类号]F239.4 [文献标识码]A [文章编号]10044833(2012)01001608
中观信息系统审计是中观审计的重要组成部分,它从属于中观审计与信息系统审计的交叉领域。中观信息系统审计是指IT审计师依据特定的规范,运用科学系统的程序方法,对中观经济主体信息系统的运行规程与应用政策所实施的一种监督活动,旨在增强中观经济主体特定信息网络的有效性、安全性、机密性与一致性[1]。与微观信息系统相比,中观信息系统功能更为复杂,且区域内纷乱的个体间存在契约关系。中观信息系统的复杂性主要体现在跨越单个信息系统边界,参与者之间在信息技术基础设施水平、信息化程度和能力上存在差异,参与者遵循一定的契约规则,依赖通信网络支持,对安全性的要求程度很高等方面。中观信息系统审计风险是指IT审计师在对中观信息系统进行审计的过程中,由于受到某些不确定性因素的影响,而使审计结论与经济事实不符,从而受到相关关系人指控或媒体披露并遭受经济损失以及声誉损失的可能性。中观信息系统审计风险控制的研究成果能为我国大型企业集团、特殊的经济联合体等中观经济主体保持信息系统安全提供强有力的理论支持与实践指导。
一、 相关理论概述与回顾
(一) COBIT
信息及相关技术的控制目标(简称COBIT)由美国信息系统审计与控制协会(简称ISACA)颁布,是最先进、最权威的安全与信息技术管理和控制的规范体系。COBIT将IT过程、IT资源及信息与企业的策略及目标联系于一体,形成一个三维的体系框架。COBIT框架主要由执行工具集、管理指南、控制目标和审计指南四个部分组成,它主要是为管理层提供信息技术的应用构架。COBIT对信息及相关资源进行规划与处理,从信息技术的规划与组织、采集与实施、交付与支持以及监控等四个方面确定了34个信息技术处理过程。
ISACA自1976年COBIT1.0版以来,陆续颁布了很多版本,最近ISACA即将COBIT5.0版。ISACA对COBIT理论的研究已趋于成熟,其思路逐步由IT审计师的审计工具转向IT内部控制框架,再转向从高管层角度来思考IT治理。大多数国际组织在采纳COSO框架时,都同时使用COBIT控制标准。升阳电脑公司等大型国际组织成功应用COBIT优化IT投资。2005年,欧盟也选择将COBIT作为其审计准则。国内学者对COBIT理论的研究则以借鉴为主,如阳杰、张文秀等学者解读了COBIT基本理论及其评价与应用方法[23];谢羽霄、黄溶冰等学者尝试将COBIT理论应用于银行、会计、电信等不同的信息系统领域[45]。我国信息系统审计的研究目前正处于起步阶段,因而将COBIT理论应用于信息系统的研究也不够深入。王会金、刘国城研究了COBIT理论在中观信息系统重大错报风险评估中的运用,金文、张金城研究了信息系统控制与审计的模型[1,6]。
(二) 数据挖掘
数据挖掘技术出现于20世纪80年代,该技术引出了数据库的知识发现理论,因此,数据挖掘又被称为“基于数据库的知识发现(KDD)”。1995年,在加拿大蒙特利尔召开的首届KDD & Date Mining 国际学术会议上,学者们首次正式提出数据挖掘理论[7]。当前,数据挖掘的定义有很多,但较为公认的一种表述是:“从大型数据库中的数据中提取人们感兴趣的知识。这些知识是隐含的、事先未知的潜在有用信息,提取的知识表现为概念、规则、规律、模式等形式。数据挖掘所要处理的问题就是在庞大的数据库中寻找有价值的隐藏事件,加以分析,并将有意义的信息归纳成结构模式,供有关部门在进行决策时参考。”[7]1995年至2010年,KDD国际会议已经举办16次;1997年至2010年,亚太PAKDD会议已经举办14次,众多会议对数据挖掘的探讨主要围绕理论、技术与应用三个方面展开。
目前国内外学者对数据挖掘的理论研究已趋于成熟。亚太PAKDD会议主办方出版的论文集显示,2001年至2007年仅7年时间共有32个国家与地区的593篇会议论文被论文集收录。我国学者在数据挖掘理论的研究中取得了丰硕的成果,具体表现在两个方面:一是挖掘算法的纵深研究。李也白、唐辉探索了频繁模式挖掘进展,邓勇、王汝传研究了基于网络服务的分布式数据挖掘,肖伟平、何宏研究了基于遗传算法的数据挖掘方法[810]。二是数据挖掘的应用研究。我国学者对于数据挖掘的应用研究也积累了丰富的成果,并尝试将数据挖掘技术应用于医学、通讯、电力、图书馆、电子商务等诸多领域。2008年以来,仅在中国知网查到的关于数据挖掘应用研究的核心期刊论文就多达476篇。近年来,国际软件公司也纷纷开发数据挖掘工具,如SPSS Clementine等。同时,我国也开发出数据挖掘软件,如上海复旦德门公司开发的Dminer,东北大学软件中心开发的Open Miner等。2000年以来,我国学者将数据挖掘应用于审计的研究成果很多,但将数据挖掘应用于信息系统审计的研究成果不多,且主要集中于安全审计领域具体数据挖掘技术的应用研究。
二、 中观信息系统审计风险控制体系的构想
本文将中观信息系统审计风险控制体系(图1)划分为以下三个层次。
(一) 第一层次:设计中观信息系统审计风险的控制框架与明细控制标准
中观信息系统审计的对象包括信息安全、数据中心运营、技术支持服务、灾难恢复与业务持续、绩效与容量、基础设施、硬件管理、软件管理、数据库管理、系统开发、变革管理、问题管理、网络管理、中观系统通信协议与契约规则等共计14个主要方面[11]。中观信息系统审计风险控制体系的第一层次是根据COBIT三维控制框架设计的。这一层次需要构架两项内容:(1)中观信息系统审计风险的控制框架。该控制框架需要完全融合COBIT理论的精髓,并需要考虑COBIT理论的每一原则、标准、解释及说明。该控制框架由14项风险防范因子组成,这14个因子必须与中观信息系统审计的14个具体对象相对应。框架中的每一个因子也应该形成与自身相配套的风险控制子系统,且子系统应该包含控制的要素、结构、种类、目标、遵循的原则、执行概要等内容。(2)中观信息系统审计风险的明细控制标准。控制框架中的14项风险防范因子需要具备与自身相对应的审计风险明细控制规则,IT审计师只有具备相应的明细规范,才能在中观信息系统审计实施过程中拥有可供参考的审计标准。每个因子的风险控制标准的设计需要以COBIT三维控制框架为平台,以4个域、34个高层控制目标、318个明细控制目标为准绳。
(二) 第二层次:确定风险控制框架下的具体挖掘流程以及风险控制的原型系统
第一层次构建出了中观信息系统审计风险控制的明细标准Xi(i∈1n)。在第一层次的基础上,第二层次需要借助于数据挖掘技术,完成两个方面的工作。一是针对Xi,设计适用于Xi自身特性的数据挖掘流程。这一过程的完成需要数据资料库的支持,因而,中观经济主体在研讨Xi明细控制标准下的数据挖掘流程时,必须以多年积累的信息系统控制与审计的经历为平台,建立适用于Xi的主题数据库。针对明细标准Xi的内在要求以及主题数据库的特点,我们就可以选择数据概化、统计分析、聚类分析等众多数据挖掘方法中的一种或若干种,合理选取特征字段,分层次、多角度地进行明细标准Xi下的数据挖掘实验,总结挖掘规律,梳理挖掘流程。二是将适用于Xi的n个数据挖掘流程体系完善与融合,开发针对本行业的中观信息系统审计风险控制的原型系统。原型系统是指系统生命期开始阶段建立的,可运行的最小化系统模型。此过程通过对n个有关Xi的数据挖掘流程的融合,形成体系模型,并配以详细的说明与解释。对该模型要反复验证,多方面关注IT审计师对该原型系统的实际需求,尽可能与IT审计师一道对该原型系统达成一致理解。
(三) 第三层次:整合前两个步骤,构建中观信息系统风险控制体系
第三层次是对第一层次与第二层次的整合。第三层次所形成的中观信息系统风险控制体系包括四部分内容:(1)中观信息系统审计风险控制框架;(2)中观信息系统审计风险控制参照标准;(3)中观信息系统审计风险控制明细标准所对应的数据挖掘流程集;(4)目标行业的中观信息系统审计风险控制的原型系统。在此过程中,对前三部分内容,需要归纳、验证、总结,并形成具有普遍性的中观审计风险控制的书面成果;对第四部分内容,需要在对原型系统进行反复调试的基础上将其开发成软件,以形成适用于目标行业不同组织单位的“软性”成果。在设计中观信息系统风险控制体系的最后阶段,需要遵循控制体系的前三部分内容与第四部分内容相互一致、相互补充的原则。相互一致表现在控制体系中的框架、明细控制标准、相关控制流程与原型系统中的设计规划、属项特征、挖掘原则相协调;相互补充表现在控制体系中的框架、明细控制标准及相关控制流程是IT审计师在中观信息系统审计中所参照的一般理念,而原型系统可为IT审计师提供审计结论测试、理念指导测试以及验证结论。 三、 COBIT框架对中观信息系统审计风险控制的贡献
(一) COBIT框架与中观信息系统审计风险控制的契合分析
现代审计风险由重大错报风险与检查风险两个方面组成,与传统审计风险相比,现代审计风险拓展了风险评估的范围,要求考虑审计客体所处的行业风险。但从微观层面看,传统审计风险与现代审计风险的主要内容都包括固有风险、控制风险与检查风险。COBIT框架与中观信息系统审计风险控制的契合面就是中观信息系统的固有风险与控制风险。中观信息系统的固有风险是指“假定不存在内部控制情况下,中观信息系统存在严重错误或不法行为的可能性”;中观信息系统的控制风险是指“内部控制体系未能及时预防某些错误或不法行为,以致使中观信息系统依然存在严重错误或不法行为的可能性”;中观信息系统的检查风险是指“因IT审计师使用不恰当的审计程序,未能发现已经存在重大错误的可能性”。IT审计师若想控制中观信息系统的审计风险,必须从三个方面着手:(1)对不存在内部控制的方面,能够辨别和合理评价被审系统的固有风险;(2)对存在内部控制的方面,能够确认内部控制制度的科学性、有效性、健全性,合理评价控制风险;(3)IT审计师在中观信息系统审计过程中,能够更大程度地挖掘出被审系统“已经存在”的重大错误。我国信息系统审计的理论研究起步较晚,IT审计师在分辨被审系统固有风险,确认控制风险,将检查风险降低至可接受水平三个方面缺乏成熟的标准加以规范,因此我国的中观信息系统审计还急需一套完备的流程与指南 当前我国有四项信息系统审计标准,具体为《审计机关计算机辅助审计办法》、《独立审计具体准则第20号――计算机信息系统环境下的审计》、《关于利用计算机信息系统开展审计工作有关问题的通知》(88号文件)以及《内部审计具体准则第28号――信息系统审计》。。
图2 中观信息系统审计风险的控制框架与控制标准的设计思路
COBIT框架能够满足IT审计师的中观信息系统审计需求,其三维控制体系,4个控制域、34个高层控制目标、318个明细控制目标为IT审计师辨别固有风险,分析控制风险,降低检查风险提供了绝佳的参照样板与实施指南。COBIT控制框架的管理理念、一般原则完全可以与中观信息系统审计风险的控制实现完美契合。通过对COBIT框架与中观信息系统审计的分析,笔者认为COBIT框架对中观信息系统审计风险控制的贡献表现在三个方面(见图2):(1)由COBIT的管理指南,虚拟中观信息系统的管理指南,进而评价中观主体对自身信息系统的管理程度。COBIT的管理指南由四部分组成,其中成熟度模型用来确定每一控制阶段是否符合行业与国际标准,关键成功因素用来确定IT程序中最需要控制的活动,关键目标指标用来定义IT控制的目标绩效水准,关键绩效指标用来测量IT控制程序是否达到目标。依据COBIT的管理指南,IT审计师可以探寻被审特定系统的行业与国际标准、IT控制活动的重要性层次、IT控制活动的目标绩效水平以及评价IT控制活动成效的指标,科学地拟定被审系统的管理指南。(2)由COBIT的控制目标,构建中观信息系统的控制目标体系,进而评价中观信息系统的固有风险与检查风险。COBIT的控制目标包括高层域控制、中层过程控制、下层任务活动控制三个方面,其中,高层域控制由规划与组织、获取与实施、交付与支持以及监控四部分组成,中层控制过程由“定义IT战略规划”在内的34个高层控制目标组成,下层任务活动控制由318个明细控制目标组成。COBIT的控制目标融合了“IT标准”、“IT资源”以及被审系统的“商业目标”,为IT审计师实施中观信息系统审计风险控制提供了层级控制体系与明细控制目标。IT审计师可以直接套用COBIT的控制层级与目标拟定中观信息系统管理与控制的层级控制体系以及明细控制目标,然后再进一步以所拟定的明细控制目标作为参照样板,合理评判中观信息系统的固有风险与控制风险。中观信息系统中“域”、“高层”、“明细”控制目标的三层结构加强了IT审计师审计风险控制的可操作性。(3)由COBIT的审计指南,设计IT审计师操作指南,进而降低中观信息系统审计的检查风险。COBIT的审计指南由基本准则、具体准则、执业指南三个部分组成。基本准则规定了信息系统审计行为和审计报告必须达到的基本要求,为IT审计师制定一般审计规范、具体审计计划提供基本依据。具体准则对如何遵循IT审计的基本标准,提供详细的规定、具体说明和解释,为IT审计师如何把握、评价中观经济主体对自身系统的控制情况提供指导。执业指南是根据基本标准与具体准则制定的,是系统审计的操作规程和方法,为IT审计师提供了审计流程与操作指南。
(二) 中观信息系统审计风险控制体系建设举例――构建“设备管理”控制目标体系
前文所述,中观信息系统审计的对象包括“信息安全”等14项内容,本文以“硬件管理”为例,运用COBIT的控制目标,构建“硬件管理”的控制目标体系,以利于IT审计师科学评价“硬件管理”存在的固有风险与控制风险。“设备管理”控制目标体系的构建思路参见表1。
注:IT标准对IT过程的影响中P表示直接且主要的,S表示间接且次要的;IT过程所涉及的IT资源中C表示涉及;空白表示关联微小。
表1以“设备管理”为研究对象,结合COBIT控制框架,并将COBIT框架中与“设备管理”不相关的中层控制过程剔除,最终构建出“设备管理”控制的目标体系。该体系由4个域控制目标、21个中层过程控制目标、149个明细控制目标三个层级构成,各个层级的关系见表1。(1)第一层级是域控制,由“P.设备管理的组织规划目标”、“A.设备管理的获取与实施目标”、“DS.设备管理的交付与支持目标”以及“M.设备管理的监控目标”构成;(2)第二层级是中层过程控制,由21个目标构成,其中归属于P的目标5个,归属于A的目标3个,归属于D的目标9个,归属于M的目标4个;(3)第三层级是下层任务活动控制,由149个明细目标构成,该明细目标体系是中层过程控制目标(P、A、DS、M)针对“IT标准”与“IT资源”的进一步细分。IT标准是指信息系统在运营过程中所应尽可能实现的规则,具体包括有效性、效率性、机密性等7项;IT资源是指信息系统在运营过程中所要求的基本要素,具体有人员、应用等5项。根据表1中“有效性”、“人员”等“IT标准”与“IT资源”合计的12个属项,每个具体中层控制目标都会衍生出多个明细控制目标。例如,中层控制目标“DS13.运营管理”基于“IT标准”与“IT资源”的特点具体能够演绎出6项明细控制目标,此7项可表述为“DS13-01.利用各项设备,充分保证硬件设备业务处理与数据存取的及时、正确与有效”,“DS13-02.充分保证硬件设备运营的经济性与效率性,在硬件设备投入成本一定的情况下,相对加大硬件设备运营所产生的潜在收益”,“DS13-03.硬件设备保持正常的运营状态,未经授权,不可以改变硬件的状态、使用范围与运营特性,保证设备运营的完整性”,“DS13-04.设备应该在规定条件下和规定时间内完成规定的功能与任务,保证设备的可用性”,“DS13-05.硬件设备运营的参与人员必须具备较高的专业素质,工作中遵循相应的行为规范”以及“DS13-06.工作人员在使用各项硬件设备时,严格遵循科学的操作规程,工作中注意对硬件设备的保护,禁止恶意损坏设备”。上述三个层级组成了完整的“硬件设备”控制目标体系,若将中观信息系统审计的14个对象都建立相应的控制目标体系,并将其融合为一体,则将会形成完备的中观信息系统审计风险控制的整体目标体系。
四、 数据挖掘技术对中观信息系统审计风险控制的贡献
(一) 数据挖掘技术与中观信息系统审计风险控制的融合分析
中观信息系统是由两个或两个以上微观个体所构成的中观经济主体所属个体的信息资源,在整体核心控制台的统一控制下,以Internet为依托,按照一定的契约规则实施共享的网状结构式的有机系统。与微观信息系统比较,中观信息系统运行复杂,日志数据、用户操作数据、监控数据的数量相对庞杂。因而,面对系统海量的数据信息,IT审计师针对前文所构建的明细控制目标Xi下的审计证据获取工作将面临很多问题,如数据信息的消化与吸收、数据信息的真假难辨等。而数据挖掘可以帮助决策者寻找数据间潜在的知识与规律,并通过关联规则实现对异常、敏感数据的查询、提取、统计与分析,支持决策者在现有的数据信息基础上进行决策[12]。数据挖掘满足了中观信息系统审计的需求,当IT审计师对繁杂的系统数据一筹莫展时,数据挖掘理论中的聚类分析、关联规则等技术却能为中观信息系统审计的方法提供创新之路。笔者认为,将数据挖掘技术应用于前文所述的明细控制目标Xi下审计证据筛选流程的构建是完全可行的。恰当的数据挖掘具体技术,科学的特征字段选取,对敏感与异常数据的精准调取,将会提高中观信息系统审计的效率与效果,进而降低审计风险。
(二) 中观信息系统审计风险控制目标Xi下数据挖掘流程的规划
数据挖掘技术在中观信息系统审计风险控制中的应用思路见图3。
注:数据仓库具体为目标行业特定中观经济主体的信息系统数据库
中观信息系统审计明细控制目标Xi下数据挖掘流程设计具体可分为六个过程:(1)阐明问题与假设。本部分的研究是在一个特定的应用领域中完成的,以“中观信息系统审计风险明细控制目标Xi”为主旨,阐明相关问题、评估“控制目标Xi”所处的挖掘环境、详尽的描述条件假设、合理确定挖掘的目标与成功标准,这些将是实现“控制目标Xi下”挖掘任务的关键。(2)数据收集。图3显示,本过程需要从原始数据、Web记录与日志文件等处作为数据源采集数据信息,采集后,还需要进一步描述数据特征与检验数据质量。所采集数据的特征描述主要包括数据格式、关键字段、数据属性、一致性,所采集数据的质量检验主要考虑是否满足“控制目标Xi”下数据挖掘的需求,数据是否完整,是否存有错误,错误是否普遍等。(3)数据预处理。该过程是在图3的“N.异构数据汇聚数据库”与“U.全局/局部数据仓库”两个模块下完成的。N模块执行了整合异构数据的任务,这是因为N中的异构数据库由不同性质的异构数据组合而成,数据属性、数据一致性彼此间可能存在矛盾,故N模块需要通过数据转换与数据透明访问实现异构数据的共享。U模块承载着实现数据清理、数据集成与数据格式化的功能。“控制目标Xi”下的数据挖掘技术实施前,IT审计师需要事先完成清理与挖掘目标相关程度低的数据,将特征字段中的错误值剔除以及将缺省值补齐,将不同记录的数据合并为新的记录值以及对数据进行语法修改形成适用于挖掘技术的统一格式数据等系列工作。(4)模型建立。在“V.数据挖掘与知识发现”过程中,选择与应用多种不同的挖掘技术,校准挖掘参数,实现最优化挖掘。“控制目标Xi”下的数据挖掘技术可以将分类与聚类分析、关联规则、统计推断、决策树分析、离散点分析、孤立点检测等技术相结合,用多种挖掘技术检查同一个“控制目标Xi”的完成程度[12]。选择挖掘技术后,选取少部分数据对目标挖掘技术的实用性与有效性进行验证,并以此为基础,以参数设计、模型设定、模型描述等方式对U模块数据仓库中的数据开展数据挖掘与进行知识发现。(5)解释模型。此过程在模块“W.模式解释与评价”中完成,中观信息系统审计风险领域专家与数据挖掘工程师需要依据各自的领域知识、数据挖掘成功标准共同解释模块V,审计领域专家从业务角度讨论模型结果,数据挖掘工程师从技术角度验证模型结果。(6)归纳结论。在“Z.挖掘规律与挖掘路径归纳”中,以W模块为基础,整理上述挖掘实施过程,归纳“控制目标Xi”下的挖掘规律,探究“控制目标Xi”下的挖掘流程,整合“控制目标Xi”(i∈1n)的数据挖掘流程体系,并开发原型系统。
(三) 数据挖掘流程应用举例――“访问控制”下挖掘思路的设计
如前所述,中观信息系统审计包括14个对象,其中“网络管理”对象包含“访问管理”等多个方面。结合COBIT框架下“M1.过程监控”与“IT标准-机密性”,“访问管理”可以将“M1-i.用户访问网络必须通过授权,拒绝非授权用户的访问”作为其控制目标之一。“M1-i”数据挖掘的数据来源主要有日志等,本部分截取网络日志对“M1-i”下数据挖掘流程的设计进行举例分析。
假设某中观信息系统在2011年4月20日18时至22时有如下一段日志记录。
(1) “Sep 20 19:23:06 UNIX login[1015]:FAILED LOGIN 3 FROM(null) FOR wanghua”
(2) “Sep 20 19:51:57 UNIX―zhangli[1016]:LOGIN ON Pts/1 BY zhangli FROM 172.161.11.49”
(3) “Sep 20 20:01:19 UNIX login[1017]:FAILED LOGIN 1 FROM(null) FOR wanghua”
(4) “Sep 20 20:17:23 UNIX―wanyu [1018]:LOGIN ON Pts/2 BY wanyu FROM 172.161.11.342”
(5) “Sep 20 21:33:20 UNIX―wanghua [1019]:LOGIN ON Pts/5 BY wanghua FROM 191.34.25.17”
(6) “Sep 20 21:34:39 UNIX su(pam――unix)[1020]:session opened for user root by wanghua (uid=5856)”
… … …
选取上述日志作为数据库,以前文“控制目标Xi”下数据挖掘的6个过程为范本,可以设计“M1-i.用户访问网络必须通过授权,拒绝非授权用户的访问”下的审计证据挖掘流程。该挖掘流程的设计至少包括如下思路:a.选取“授权用户”作为挖掘的“特征字段”,筛选出“非授权用户”的日志数据;b.以a为基础,以“LOGIN ON Pts BY 非授权用户”作为 “特征字段”进行挖掘;c.以a为基础,选取“opened … by …”作为“特征字段”实施挖掘。假如日志库中只有wanghua为非授权用户,则a将会挖出(1)(3)(5)(6),b会挖出(5),c将会挖掘出(6)。通过对(5)与(6)嫌疑日志的分析以及“M1-i”挖掘流程的建立,IT审计师就能够得出被审系统的“访问控制”存在固有风险,且wanghua已经享有了授权用户权限的结论。
参考文献:
[1]王会金,刘国城.COBIT及在中观经济主体信息系统审计的应用[J].审计研究,2009(1):5862.
[2]阳杰,庄明来,陶黎娟.基于COBIT的会计业务流程控制[J].审计与经济研究,2009(2):7886.
[3]张文秀,齐兴利.基于COBIT的信息系统审计框架研究[J].南京审计学院学报,2010(5):2934.
[4]谢羽霄,邱晨旭.基于COBIT的电信企业信息技术内部控制研究[J].电信科学,2009(7):3035.
[5]黄溶冰,王跃堂.商业银行信息化进程中审计风险与控制[J].经济问题探索,2008(2):134137.
[6]金文,张金城.基于COBIT的信息系统控制管理与审计[J].审计研究,2005(4):7579.
[7]陈安,陈宁.数据挖掘技术与应用[M].北京:科学工业出版社,2006.
[8]李也白,唐辉.基于改进的PE-tree的频繁模式挖掘算法[J].计算机应用,2011(1):101104.
[9]邓勇,王汝传.基于网格服务的分布式数据挖掘[J].计算机工程与应用,2010(8):610.
[10]肖伟平,何宏.基于遗传算法的数据挖掘方法及应用[J].湖南科技大学学报,2009(9):8286.
[11]孙强.信息系统审计[M].北京:机械工业出版社,2003.
[12]苏新宁,杨建林.数据挖掘理论与技术[M]. 北京:科学技术出版社,2003.
Risk Control System of MesoInformation System Audit:From the Perspective of COBIT Framework of Date Mining Technology
WANG Huijin
it审计论文篇4
关键词 信息技术审计(ITA) 商业银行 审计体系
在现代金融系统中,商业银行扮演着极其重要的角色,而中国的商业银行在中国的金融体系乃至国民建设中都发挥着举足轻重的作用。在信息技术高速发展的今天,几乎每一个银行业务的处理都离不开信息系统,因此对信息系统的高可用性、高安全性有着非常高的要求。同时信息技术的发展与应用已经决定着商业银行的业务发展方向、模式以及创新能力,直接形成银行的核心竞争力。银行IT建设已经成为银行在市场竞争中的一项关键资源,因此对银行IT的风险控制与管理已经非常的重要,对商业银行的信息技术审计(ITA)提出新的要求。
一、商业银行IT审计的必要性
(一)IT审计是商业银行信息技术应用的必然结果
商业银行从最开始手工账务处理,到今天的信息技术覆盖到银行的方方面面。针对国内商业银行,据相关的数据统计,硬件网络平台已经实现了100%的应用,软件应用已经覆盖了80%以上的商业银行业务。从传统的手工处理,到今天的网上银行、手机银行等,商业银行对信息系统依赖性的日益增强,犯罪分子利用网络对银行信息系统攻击和破坏是益增多,必须要求对商业银行的信息基础建设及信息系统进行审计。
(二)IT审计是商业银行IT风险控制的必然要求
当前银行信息系统所采用IT技术与信息系统软硬件本身存在着大量的脆弱性,如硬件故障、系统漏洞、意外灾祸都会造成银行系统不能正常工作。国外相关统计数据表明,一些银行系统失效的风险损失占到总风险损失的10%-20%。如2009年1月下旬,某银行综合业务系统发生故障,造成综合业务系统故障时间约11个小时,导致整个银行不能对外营业,客户服务中断达4个小时,这种系统带来风险不仅给银行带来经济上的损失,而且直接关系到银行的声誉风险。
(三)IT审计既是银行信息化建设的必然保障,也有利于商业银行业务运营风险的防范
由于我国商业银行IT建设的起步较晚基础薄弱,同时在IT建设之初又缺乏系统、统一的规划,致使我国商业银行信息系统的建设缺乏标准性、前瞻性、规划性,重复建设严重,数据不完整或难以统一,甚至系统建好后发现不能满足要求而闲置等垢病。IT审计可以从IT建设规划,IT组织架构等方面加以评价或监督,推动银行信息化建设环境的治理。另一方面,由于银行业务经营风险很大程度上已经转移到信息系统的风险控制上,因此需要对信息系统的有效性进行评价,包括信息资产的保密性、完整性和可用性。
(四)IT审计也是商业银行审计发展的必然要求
随着信息技术在银行的应用,银行不实行IT审计,审计的内容不全面,审计风险也无法控制。而我国绝大多数银行现在IT审计都处于摸索试验的阶段,IT审计的基础相当薄弱,有些银行对IT风险监管缺乏独立性、系统性、全面性,这些都要求银行加快IT审计的步伐。
二、商业银行IT审计的内涵
到目前为止,国际上对IT审计定义也未形成统一标准的概念。一般来说国外的IT审计始于20世纪60年代的美国,从其发展历程来看,大概经历了三个阶段。最初是电子数据处理(EDP)审计,满足对财务电算化系统进行审计的需要,然后经历了以信息系统审计(ISA)为中心审计阶段,到今天逐渐形成独立的信息技术审计(ITA)。
而国内IT审计起步比较晚,还处于探索阶段,大家的认识也不统一,观念上仍存在若干模糊概念。纵观我国商业银行IT审计发展历程及做的IT审计项目,有以下几个方面特点:其一,认为IT审计就是对信息系统的审计(ISA),即对“计算机化的系统进行审计”,其审计对象、审计范围都有其局限性。其二,认为IT审计是审计人员利用计算机对财务数据进行审计,或者是等同于审计信息化,即运用IT手段或审计工具辅助传统审计或对传统审计进行深化。其三,将IT审计定义为IT运营环境的风险控制,包括IT基础环境安全、网络安全、信息安全等内容。在当前形势下,必须对IT审计形成一个统一、规范的认识,这才有利于IT审计工作的开展和IT风险的防范,也将为 IT审计形成行业规范和建立准则奠定基础。
综合众多观点以及IT审计在我国的实施情况,笔者结合多年在商业银行IT审计经验,认为IT审计(Information Technology Audit,简称ITA)是根据公认的标准和指导规范,对企业的信息技术应用和全体信息资产的安全、效率、潜在风险进行评价,从而保证整体IT资源能促进企业战略目标的实现,推动企业的可持续发展。商业银行的IT审计不仅是评价银行IT基础设施、系统稳定安全的运行,同时涵盖系统的建设、系统对业务的支持、以及IT环境建设及IT治理等方面。
三、商业银行中IT审计体系框架及主要内容
当银行业务的处理已经高度依赖于信息系统的稳定运行的今天,信息科技风险的防范,需要从一个更宏观的角度,对商业银行信息技术建立一个整体有效的监控体系。笔者结合多年商业银行IT审计的工作内容,以及对银行所面临的IT风险思考,提出商业银行IT审计体系框架应当是覆盖了银行IT的基础建设、保障、安全,信息系统整个生命周期中的全部活动和资源,以及信息系统的应用领域。与商业银行信息技术的建设不同,银行IT 审计更关注潜在可能风险、风险的规避、管理和控制等。其主要内容一般可以分为两个大的方面,即IT一般控制审计与IT应用控制审计。
(一)IT一般控制审计
IT一般控制审计主要包括以下几个方面的内容:IT环境治理的审计、IT基础建设的审计、IT系统开发建设过程的审计等。其具体的审计内容见表1:
(二)IT应用控制审计
IT应用控制审计可以分为两方面的内容:
1.信息系统审阅:审计人员参与到信息系统的整个开发过程,在系统的需求论证、系统的基本架构、系统与系统之间关系与影响、开发过程中对主要业务流程控制点、测试与交付等重大控制点发表自己独立专业的意见,为保证系统能满足业务要求和符合企业战略发展提供独立意见。
2.信息系统应用控制审计:审计人员应当对已开发的系统以第三方身份进行独立审计,尤其是对开发过程中无独立的风险部门参与实施的系统。信息系统应用控制审计的内容包括输入输出控制、计算的准确性、系统接口及数据转换的安全性与一致性、访问权限的控制与设计、系统流程对业务流程的表达与控制等,用来评价信息系统是否能准确的对业务提供支持,有效的防范操作风险,同时不产生额外的风险,并且随着业务的发展提出系统持续改进的意见。
四、结语
商业银行IT审计既是银行信息技术应用与审计发展到一定阶段的共同产物,同时也是银行控制自身风险的必然要求。中国商业银行实施IT审计任重而道远,这既有赖于中国商业银行IT治理环境与文化的建立,更有赖于中国IT审计人才的储备及成长,它不仅要求IT审计人员懂得IT技术本身,更应当懂得银行业务,同时还得有现代企业风险控制的意识。
参考文献:
[1]Ron Weber. Information Systems Control and Audit. Prentice Hall Inc. 1999.
[2]ISACA. Information System and Control Association. Review Technical Information Manual.
[3]胡晓明.基于IT治理的我国信息系统控制与审计体系构建思考.科学管理研究.2008(9).
it审计论文篇5
随着科技信息的不断发展,各种信息技术的应用,在全国范围内以及各行各业都非常广泛,那么,在这种趋势下,IT的审计风险也就在日益增大。尤其是以企业为主的有关审计,对于如何认识IT的审计风险,又应该如何有效地化解IT风险,这已经成为目前整个行业越来越关注的话题。现在,这一问题的解决,在国际上所通行的作法,就是对IT进行审计,本文就来详细地谈一谈关于IT审计的一些问题。
一、企业IT审计的主要概念
提起审计,每个人可能都很了解,就是对企业里经济活动的一种独立的监督和审查。那IT审计又是什么呢?这可能就会使很多人费解,其实理解IT审计并不难,与上面所提到的审计差不多,就是针对具体的IT活动进行独立的监督和审查。在这里我们要明确几个关于IT的基本概念:首先,我们要掌握IT活动的含义。IT其实是信息技术英文单词的缩写,信息技术和经济属于不同的概念,经济是社会上的一种具体现象,它主要是利用社会规范对其进行调整;而本文前面提到的信息技术,它是一种技术,是用具体的技术规范对此进行调整的。其实IT审计不仅仅是依据技术规范的信息对IT活动来进行审计,如果只有技术规范对其进行审计的话,就完全缩小了关于IT审计的主要范围。IT活动其实就是人的活动,其具体目的也是为人服务的,IT审计的主要范围不只包括IT的具体活动,还包括一些与IT活动有关的其他活动,只有这样,才能够保证关于IT的审计符合IT相关活动的具体要求。
其次,IT审计具有独立性。这也是审计活动中的基本原则。独立性要求的是审计主体与审计对象的相互独立,由此才能够保证IT审计结果的一种客观性。
再次就是IT审计的监督和审查。监督是能够使审计活动达到一个预期目标而对活动进行督促和监督,审计就是对IT审计中的某项活动进行核实。那么,IT的监督和审查程序就是为了预防IT可能发生的风险,督促、监视各种与IT相关的活动,并核实其符合规范性的具体活动。
二、对IT审计风险的具体理解和IT的制度规范
首先,风险就是某一个事件产生了我们不希望发生的后果的一种可能性。IT风险不能将风险局限在只有IT的考虑范围,IT作为技术,它必须是为组织目标服务,其实IT风险并不是IT本身所具有的风险,它是一种在组织引入IT技术后产生的风险,也就是说,它是组织风险。
IT与组织资产有紧密的联系,这种资产对IT组织来说是具有一定价值的,引入IT后,在这种资产的保护上就出现了一种新的薄弱点,外部对组织造成一定的威胁时,那么,组织的资产所具有的价值就可能会受到损害,由此,IT风险就产生了。
其次,关于IT的制度规范。要有效地防范IT风险,就必须要有一套严格的相关制度规范要求。拥有一个合理完善的IT制度规范体系,是有效防范IT风险的主要依据。IT的制度规范是有所区分的,第一种应该是法律规范,也是IT制度规范中强制性的规范,不管任何人在任何情况下都必须严格遵守,同时,法律法规也是审计的依据。第二种就是各大企业内部自主制定的相关制度规范。这种IT制度规范所体现的是一种强制性的制度规范,还具有两方面的特点:一方面它是为各大企业的发展战略目标而服务的;另一方面它要与IT活动存在的客观规律相符合。所以,企业所制定的制度规范的完善程度要能够促进企业自身发展目标的实现,切实贯彻强制性的规范要求,还要反映企业IT活动的各种客观规律。
三、IT审计的具体思路
首先,要认真学习并深入理解规范制度的强制性要求。其次,要结合企业的IT制度是如何对强制性规范进行规定的。再次,要了解企业内部资产价值的评估,以及企业的发展战略目标是怎样将这一规范制度体现出来的。最后,根据其资产的不同重要程度,要从最重要的开始,检查一个企业内部对所制定的IT制度规范具体的执行情况。另外,为了能够有效实现IT审计的目标,并且合理地使用IT审计资源,在进行审计的过程中,要对重要的评估,运用专业判断知识。要根据审计工作人员的公用标准或者职业判断,内控审计的结果,一些重要性的判断是离不开一定的环境的,审计工作人员,要根据具体的系统环境来确定其信息的重要性。
四、结语
总之,IT风险的防范,是目前各大企业所面临的一个最严峻的新挑战,同时,这也是一个企业在激烈的市场竞争中能够占据良好地位的新机遇。企业要及时做好有关IT风险的防范措施,其关键因素就是要进一步深入地理解一个企业内部的发展战略,及时摸清企业发展的现状,并在此基础上,逐步加强IT的审计工作,规范企业中IT的相关活动,为企业在市场竞争中能够取得良好的地位创造前提条件。
参考文献:
[1]陈阳.试论基于风险的IT审计[J].现代经济信息,2013(3)
[2]康洪艳.IT审计的更新[J].审计与经济研究,2008(2)
[3]安广实,陶芸辉.IT审计风险成因极其防范对策思考[J].中国乡镇企业会计,2012(8)
it审计论文篇6
当前it系统越来越多地对业务经营活动进行自动化处理,这就需要it提供必要数量的控制程序。因此,遵循萨班斯法案的程序需要包括基于it系统的控制程序。对大多数企业而言,it在建立与保持有效的财务报告内部控制方面将发挥重要作用。通过运用整合的erp系统,或综合运用各种经营管理、财务管理方面的软件,it系统将为有效的财务报告内部控制系统提供强有力的支持。
pcaob第二号审计标准要求了解it在内部控制环境中的重要性。它特别指出:公司在其信息系统中运用信息技术的状况,影响着公司财务报告的内部控制。
目前我国四大电信运营商全部在美国上市,他们现在正在构建法案要求的内控系统,it内部控制系统构建及评审是无法绕过的工作。完善内控,特别是电信企业信息化水平很高、业务流程依赖于it流程的背景下,重视it内部控制,完善it内部控制十分迫切。本文讨论我国公司如何依据法案的要求在短时间内构建一套it内控系统, 并通过有效的it内控评价活动保证其持续健全有效, 以支持ceo 和cfo 的承诺进行初步探讨。
一、萨班斯法案的要求
世通公司造假案件和安然、安达信事件震惊了整个世界, 美国政府认为这是公司上下串通、内外勾结的严重结果, 所以法案对公司治理、内部控制及外部审计同时做出了严格的要求。明确规定要求建立独立称职的审计委员会,管理层要负责内控系统的完善和落实,并对财务报告的真实性负刑事责任 .综观整个法案, 最主要的是对公司内控系统的要求, 主要体现在302条款和404 条款。法案对公司内控系统不但规定严格, 而且实施要求和指南也在相续出台, 如sec 于2003年6月5日根据法案的要求颁布了404条的细化条例, pcaob于2004 年3月9日第2号审计准则, 对公司管理层提出了更明确的要求。
1、302条款的要求:
该条款要求由首席执行官和财务主管在内的企业管理层,对公司财务报告的内部控制按季度和年度就以下事项发表声明(予以证实):
对建立和维护与财务报告有关的内部控制负责。
设计了所需的内部控制,以保证这些官员能知道该公司及其并表子公司的所有重大信息,尤其是报告期内的重大信息;
与财务报告有关的内部控制的任何变更都已得到恰当的披露,这里的变更指最近一个会计季度已经产生,或者合理预期将对于财务报告有关的内部控制产生重大影响的变更。
在当前环境下,it系统驱动着财务报告流程。诸如erp之类的it系统紧密地贯穿于企业经济业务的开始、授权、记录、处理和报告一整套过程中。就其本身而言,it系统和整个财务报告流程也是紧密联系的,为了遵循萨班斯法案,也要对it内部控制的有效性予以评估。
为强调这一点,pcaob第2号审计标准讨论了it以及it在测试内部控制设计合理性及运行有效性时的重要意义,并强调指出:[部分]
…内部控制,包括与财务报告中所有重要账户及披露内容相关的控制政策与程序,都应该予以测试。
一般而言,这样的控制包括it一般控制,以及其他控制所依赖的控制。
2、404条款管理要求
萨班斯法案的404条款要求,管理层在其年度文件中提供关于与财务报告有关的内部控制的年度评估报告。管理层的年度报告要求包括以下内容:
管理层有责任为企业建立和维护恰当的财务报告有关的内部控制。
识别管理层所采用的内部控制框架以便按要求评估公司与财务报告有关的内部控制的有效性。
对从一上个会计年度未以来,与财务报告有关的内部控制的有效性予以评估,其内容也包括有关与财务报告有关的内部控制是否有效的公开声明。
年度审计报告中,注册会计师事务所发表的财务审计报告,包括管理层对与财务报告有关的内部控制有效性评估的证明报告。
管理层关于公司针对财务报告内部控制有效性评估的书面结论,应包含在其对财务报告内部控制的报告和其对审计师的信函中。这一书面结论可采取多种形式,但是管理层对公司面向财务报告的内部控制的有效性必须发表直接意见
如果与财务报告有关的内部控制中有一个或多个重要缺陷,管理层将不能对财务报告的内部控制有效性做出评估结论,而且,管理层应该披露自最近一个会计年度未以来财务报告内部控制方面的所有重要缺陷。
面向财务报告的内部控制在这一会计期间可能存在一个或多个重要缺陷,但管理层仍可能会报告“从最近一个会计年度未起(上个会计年度未起),与财务报告有关的内部控制是有效的”。如果要做出这样的结论,管理层必须在评估日前已经改进了内部控制,消除了已有的缺陷,并在运行和测试其有效性后得到了满意的结果,测试的时间足以让管理层认为,从本会计年度起,与财务报告有关的内部控制设计合理、运行有效。
审计师需要合理地确定管理层的认定目标或审计目的(从而依此来收集审计证据),以支持管理层对内部控制有效性的评估结论。通过对审计师在这一过程中所应遵循程序的描述,pcaob第二号审计标准接着指出:
公司在对财务报告做出确认时需要借助于企业的it系统。为了识别管理层对财务报告所作的相关认定,审计师应考虑每个重要账户潜在错报、漏报产生的原因。在决定一个认定是否与某一重要账户余额或其披露相关时,审计师应该评价it系统的性质、复杂程度以及企业it的使用状况。
pcaob第2号审计标准还专门讲述了it在期末财务报告中运用,它指出:…要了解期末财务报告的提供过程,审计师就应在每一会计期末评估it在该过程中的应用范围。………[部分]
因此所有企业构建it内部控制至少都应具备以下三层通用要素:企业管理层,业务流程和共享服务。
二、我国电信运营企业面临的挑战
由于电信企业的信息化水平比较高,业务对it的依赖程度也比较高。因此依照萨班斯法案要求,完善与财务报告有关的内部控制时,电信企业的内部控制几乎离不开it,即使业务控制也是在it支持环境下的控制。因此,电信企业完善内部控制几乎可以说是完善it内部控制,包括it一般控制和it应用控制。但我们的现状不容乐观。
1. it专业人士,尤其是管理层,缺乏内部控制理论与实践来满足萨班斯法案的要求。
法案的要求使很多人认为,it专业人士应该对其负责的it系统所产生的信息质量及完整性负责,但问题在于,大多数it专业人士对复杂的内部控制并不精通或了解,难负其责。尽管这并不说明it人员没有参与风险管理,但至少it管理层没有按照组织管理层或审计师所要求的形式进行正式的、规范化的风险管理。 pcaob指出首席信息官(cio)们现在必须面对以下的挑战:(1)增强他们有关内部控制方面的知识;(2)理解企业所制定的总的sox遵循计划;(3)专门针对it控制拟定一个遵循执行计划;(4)把这个计划与总体的sox遵循计划相整合。
2 缺乏系统的内部控制制度
事实上,每个电信企业都或多或少会都有一些it内部控制制度,正是由于第一点原因,这些制度基本是由技术管理者制定,他们缺乏规范化风险管理的经验,这些it控制制度可能不太规范,控制政策程序不太完善, it控制制度一般存在于系统安全和变更管理等一些一般控制领域,缺乏从公司透明度角度出发的、结合支持业务流程的完整的内部控制制度。所以这也是在国内企业在符合萨班斯法案的道路上,问题最多的领域。
it审计论文篇7
当前IT系统越来越多地对业务经营活动进行自动化处理,这就需要IT提供必要数量的控制程序。因此,遵循萨班斯法案的程序需要包括基于IT系统的控制程序。对大多数企业而言,IT在建立与保持有效的财务报告内部控制方面将发挥重要作用。通过运用整合的ERP系统,或综合运用各种经营管理、财务管理方面的软件,IT系统将为有效的财务报告内部控制系统提供强有力的支持。
PCAOB第二号审计标准要求了解IT在内部控制环境中的重要性。它特别指出:公司在其信息系统中运用信息技术的状况,影响着公司财务报告的内部控制。
目前我国四大电信运营商全部在美国上市,他们现在正在构建法案要求的内控系统,IT内部控制系统构建及评审是无法绕过的工作。完善内控,特别是电信企业信息化水平很高、业务流程依赖于IT流程的背景下,重视IT内部控制,完善IT内部控制十分迫切。本文讨论我国公司如何依据法案的要求在短时间内构建一套IT内控系统, 并通过有效的IT内控评价活动保证其持续健全有效, 以支持CEO 和CFO 的承诺进行初步探讨。
一、萨班斯法案的要求
世通公司造假案件和安然、安达信事件震惊了整个世界, 美国政府认为这是公司上下串通、内外勾结的严重结果, 所以法案对公司治理、内部控制及外部审计同时做出了严格的要求。明确规定要求建立独立称职的审计委员会,管理层要负责内控系统的完善和落实,并对财务报告的真实性负刑事责任 .综观整个法案, 最主要的是对公司内控系统的要求, 主要体现在302条款和404 条款。法案对公司内控系统不但规定严格, 而且实施要求和指南也在相续出台, 如SEC 于2003年6月5日根据法案的要求颁布了404条的细化条例, PCAOB于2004 年3月9日第2号审计准则, 对公司管理层提出了更明确的要求。
1、302条款的要求:
该条款要求由首席执行官和财务主管在内的企业管理层,对公司财务报告的内部控制按季度和年度就以下事项发表声明(予以证实):
对建立和维护与财务报告有关的内部控制负责。
设计了所需的内部控制,以保证这些官员能知道该公司及其并表子公司的所有重大信息,尤其是报告期内的重大信息;
与财务报告有关的内部控制的任何变更都已得到恰当的披露,这里的变更指最近一个会计季度已经产生,或者合理预期将对于财务报告有关的内部控制产生重大影响的变更。
在当前环境下,IT系统驱动着财务报告流程。诸如ERP之类的IT系统紧密地贯穿于企业经济业务的开始、授权、记录、处理和报告一整套过程中。就其本身而言,IT系统和整个财务报告流程也是紧密联系的,为了遵循萨班斯法案,也要对IT内部控制的有效性予以评估。
为强调这一点,PCAOB第2号审计标准讨论了IT以及IT在测试内部控制设计合理性及运行有效性时的重要意义,并强调指出:[部分]
…内部控制,包括与财务报告中所有重要账户及披露内容相关的控制政策与程序,都应该予以测试。
一般而言,这样的控制包括IT一般控制,以及其他控制所依赖的控制。
2、404条款管理要求
萨班斯法案的404条款要求,管理层在其年度文件中提供关于与财务报告有关的内部控制的年度评估报告。管理层的年度报告要求包括以下内容:
管理层有责任为企业建立和维护恰当的财务报告有关的内部控制。
识别管理层所采用的内部控制框架以便按要求评估公司与财务报告有关的内部控制的有效性。
对从一上个会计年度未以来,与财务报告有关的内部控制的有效性予以评估,其内容也包括有关与财务报告有关的内部控制是否有效的公开声明。
年度审计报告中,注册会计师事务所发表的财务审计报告,包括管理层对与财务报告有关的内部控制有效性评估的证明报告。
管理层关于公司针对财务报告内部控制有效性评估的书面结论,应包含在其对财务报告内部控制的报告和其对审计师的信函中。这一书面结论可采取多种形式,但是管理层对公司面向财务报告的内部控制的有效性必须发表直接意见
如果与财务报告有关的内部控制中有一个或多个重要缺陷,管理层将不能对财务报告的内部控制有效性做出评估结论,而且,管理层应该披露自最近一个会计年度未以来财务报告内部控制方面的所有重要缺陷。
面向财务报告的内部控制在这一会计期间可能存在一个或多个重要缺陷,但管理层仍可能会报告“从最近一个会计年度未起(上个会计年度未起),与财务报告有关的内部控制是有效的”。如果要做出这样的结论,管理层必须在评估日前已经改进了内部控制,消除了已有的缺陷,并在运行和测试其有效性后得到了满意的结果,测试的时间足以让管理层认为,从本会计年度起,与财务报告有关的内部控制设计合理、运行有效。
审计师需要合理地确定管理层的认定目标或审计目的(从而依此来收集审计证据),以支持管理层对内部控制有效性的评估结论。通过对审计师在这一过程中所应遵循程序的描述,PCAOB第二号审计标准接着指出:
公司在对财务报告做出确认时需要借助于企业的IT系统。为了识别管理层对财务报告所作的相关认定,审计师应考虑每个重要账户潜在错报、漏报产生的原因。在决定一个认定是否与某一重要账户余额或其披露相关时,审计师应该评价IT系统的性质、复杂程度以及企业IT的使用状况。
PCAOB第2号审计标准还专门讲述了IT在期末财务报告中运用,它指出:…要了解期末财务报告的提供过程,审计师就应在每一会计期末评估IT在该过程中的应用范围。………[部分]
因此所有企业构建IT内部控制至少都应具备以下三层通用要素:企业管理层,业务流程和共享服务。
二、我国电信运营企业面临的挑战
由于电信企业的信息化水平比较高,业务对IT的依赖程度也比较高。因此依照萨班斯法案要求,完善与财务报告有关的内部控制时,电信企业的内部控制几乎离不开IT,即使业务控制也是在IT支持环境下的控制。因此,电信企业完善内部控制几乎可以说是完善IT内部控制,包括IT一般控制和IT应用控制。但我们的现状不容乐观。
1. IT专业人士,尤其是管理层,缺乏内部控制理论与实践来满足萨班斯法案的要求。
法案的要求使很多人认为,IT专业人士应该对其负责的IT系统所产生的信息质量及完整性负责,但问题在于,大多数IT专业人士对复杂的内部控制并不精通或了解,难负其责。尽管这并不说明IT人员没有参与风险管理,但至少IT管理层没有按照组织管理层或审计师所要求的形式进行正式的、规范化的风险管理。 PCAOB指出首席信息官(CIO)们现在必须面对以下的挑战:(1)增强他们有关内部控制方面的知识;(2)理解企业所制定的总的SOX遵循计划;(3)专门针对IT控制拟定一个遵循执行计划;(4)把这个计划与总体的SOX遵循计划相整合。
2 缺乏系统的内部控制制度
事实上,每个电信企业都或多或少会都有一些IT内部控制制度,正是由于第一点原因,这些制度基本是由技术管理者制定,他们缺乏规范化风险管理的经验,这些IT控制制度可能不太规范,控制政策程序不太完善, IT控制制度一般存在于系统安全和变更管理等一些一般控制领域,缺乏从公司透明度角度出发的、结合支持业务流程的完整的内部控制制度。所以这也是在国内企业在符合萨班斯法案的道路上,问题最多的领域。
it审计论文篇8
现代风险导向审计以被审单位的经营风险为出发点,相关的风险评估结果是评估报表层次和认定层次重大错报风险的基础。审计风险虽源于重大错报风险,但审计人员最终都要通过对报表各项目的审计发表财务报表审计意见,因此风险评估必须与各类交易、账户余额、列报的认定相联系。将“发现的风险因素同认定层次可能发生的错误相联系”是审计风险判断的关键。但传统的审计方法并未明确指明如何将两者相联系,而且也未关注IT环境下如何将风险因素与认定层次可能发生的错误相联系。在IT环境下,业务流程及其支持流程——IT流程,都是链接风险因素和认定层次可能发生错报的中间环节。在高度自动化的企业环境下,审计证据的证明力依赖于IT相关风险的控制情况。因此,有必要改进IT环境下的审计风险判断方法。在IT环境下,审计风险判断应以流程(包括业务流程和IT流程)为中间环节,建立基于流程的审计风险判断方法。
一、流程对审计风险判断具有重要意义
流程的概念很多,ISO/IEC 9000将之定义为一组将输入转化为输出的相互关联或相互作用的活动。企业由流程构成,Kaplan(2001)将企业定义为是一系列相互关联的活动或流程的集合,或是一个价值链。在IT环境下,流程可理解为“角色加活动”,即将流程描述为一个为实现特殊目的而合作且互相影响的角色的集合。早期人们对企业流程的理解大多局限于传统的业务领域;当IT逐渐与业务融合,并成为企业所有经营活动的驱动引擎时,流程的范围开始拓展,此时的IT流程与业务流程需要实现动态整合,即IT活动被看作是业务,并执行与业务相同的方式。因此,IT环境下的企业业务流程应该是广义的,同时包含IT流程和业务流程。美国公众公司监督委员会的第5号审计准则就指出,作为理解重大流程的一部份,审计师应理解IT如何影响公司的交易流程。
有些大的会计公司为了强调经营风险的审计方法,修改它们的审计辅助软件,以围绕业务流程组织审计证据,而不是按照传统的交易循环组织证据。关注业务流程的审计软件系统(Business-Process-Focused,BPF)通过价值链组织被审单位的信息;而传统的关注交易循环的审计软件系统(Transaction-Circle-Focused,TCF)是按照交易分类组织被审单位的信息。O'Donnell E和Jr Joseph J Schultz(2003)的研究结果表明使用BPF软件的审计人员能识别出更多的风险情形,并将风险估计在恰当的水平;而使用TCF软件的审计人员对风险的识别和估计都较差。因此他们认为不同的信息组织形式会影响审计人员的决策判断。造成这种结果的原因在于业务流程关注事件之间的关联性,它通过情景引导记忆;而传统的交易循环关注的是交易分类,它通过语义引导记忆。因此,关注业务流程可降低任务的复杂性和认知难度。随后其他的研究人员也发现围绕业务流程开展内部控制的评估任务更为有效。
二、IT环境下基于流程的审计风险判断方法
为了协助审计人员运用自上而下的风险导向审计方法,国际审计和鉴证准则委员会于2005年制定了“在整个审计 [1]
2.确定财务报告流程的核心要素。根据企业层面的风险评估结果识别重大账户、重要披露及与之相关联的认定。
3.识别关键业务流程。审计人员首先要识别与上述重大账户、重要披露、认定相关联的关键流程及流程所包括的主要交易,同时识别流程中易发生错误和舞弊的关键点(控制点)。为了判断业务流程能否实时或检测错误和舞弊,审计人员要识别出需要被测试的控制点,由于业务流程大多基于IT,因此要确定这些控制点哪些是依赖IT的,然后识别并证实关键的IT功能。 然后IT审计人员与财务审计人员合作,从列示的子系统中识别出支持授权、复杂计算、维护重要账户(如存货、固定资产、贷款等)的完整性的重要应用系统。应用系统是否重要,需要考虑:交易量(交易量越多,应用系统越关键)、交易金额(金额越大,应用系统越关键)、运算的复杂性(运算越复杂,应用系统越关键)、数据和交易的敏感度(敏感度越大,应用系统越关键)。为应用系统提供IT服务,或者支持应用系统关键环节的IT一般流程即为需要进行IT一般控制测试的范围。
5.识别管理和驱动这些重大应用系统的IT流程。识别所有支持这些应用系统的基础设施,包括数据库、服务器、操作系统、网络,以及与之相关联的IT流程。判断这些IT流程的风险和相关的控制目标。识别出需要被测试的IT一般控制,进而判断其是否符合控制目标。控制测试结果将影响与之相关的IT应用控制的评价、业务流程的风险评价。对这些流程和系统进行风险和控制评估后,就可以制定风险控制矩阵。
it审计论文篇9
IT审计(Information Technology Audit)是信息技术应用于审计实务产生的新概念,人们对IT审计的理解是逐步深入的。我国国家审计中相对于IT审计的提法一般为计算机审计,自上世纪80年代以来的探索和实践过程中,也先后出现过会计电算化审计、计算机辅助审计、计算机数据审计、信息系统审计等诸多与IT审计相关的称谓,国外则有EDPA、CAA、ISA、ICTA等各种提法。笔者认为,结合我国国家审计的职能和特点,IT审计可以定义为利用信息技术组织开展的审计。这一提法可以较为全面、准确地定义信息技术在国家审计实务中的应用,同时也是世界审计组织(INTOSAI)及其IT审计工作组各成员国最高审计机关普遍认可和采用的提法。
由于各国国家审计机关在IT审计的定位和侧重等方面存在差异,其组织形式和实施模式也不尽相同。世界审计组织(INTOSAI)认为IT审计是通过获得和评估证据,确定IT系统是否保护了组织的资产,有效率地使用资源,维持数据的安全性和一致性,以及有效地达到组织的业务目标的过程,这一定位得到了各国最高审计机关的普遍认同;国际信息系统审计与控制协会(ISACA)建立了普遍适用的信息系统审计标准、指南和流程,所的COBIT已经成为国际上公认最先进、最权威的信息技术控制框架;美国审计署(GAO)将信息系统审计作为IT审计的重点,在20xx年2月的《联邦政府信息系统控制审计手册》中将信息系统审计的实施分为一般控制审计和应用控制审计两个部分;英国审计署(NAO)侧重于政府IT项目绩效审计,在20xx年2月的绩效审计报告中对过去十年来信息技术在政府工作中发挥的作用、面临的挑战和发展的方向进行了系统总结。
二、我国现行国家IT审计架构及缺陷
随着信息技术在社会经济生活各个方面的广泛运用,为适应信息化环境的变化,我国国家IT审计从上世纪80年代末开始起步,从无到有、从单机到网络、从探索研究到逐渐普及,在多年的发展中逐步形成了一套具有本国特色的IT审计架构和工作模式。
(一)现行国家IT审计架构。
在法理基础方面,审计法明确规定了审计机关有权要求被审计单位提供计算机储存和处理的财政、财务收支电子数据以及必要的技术文档,有权检查被审计单位的信息系统;《国家审计准则》也根据信息技术环境下开展审计工作的特殊性作出了一些特别规定,在编制年度审计项目计划和审计实施方案,实施审计检查、获取审计证据,作出审计结论、出具审计报告等环节表现出鲜明的关注信息系统、突出信息技术的特色。
在组织结构方面,以审计署为例,已经形成计算机技术中心负责组织协调和指导管理全国审计系统的信息化建设的格局,各审计业务部门负责结合审计项目开展电子数据审计。计算机技术中心不仅要配合业务部门开展计算机审计业务,同时还要承担建设、开发、推广和维护审计信息系统,以及编制IT审计规范和组织IT培训考试等各项工作。
在工作模式方面,随着现场审计实施系统(AO)和审计管理系统(OA)的全面应用,国家IT审计逐步迈入一个新的发展阶段,初步形成了利用信息技术开展大型项目组织管理,运用审计软件实施现场审计,积极探索联网审计和信息系统审计,逐步推进审计数据资源建设的IT审计模式,审计信息化水平不断提高。
(二)国家IT审计中存在的问题。
由于组织结构和工作模式还不能完全适应工作需求,与充分发挥审计保障国家经济社会健康运行“免疫系统”功能的要求相比,我国国家IT审计还存在以下不足:
1.审计业务与IT技术的结合不够紧密。
it审计论文篇10
随着信息技术的兴起,信息系统已经渗透到社会生活的方方面面,它在给人们带来便利与效益的同时,也带来了很多负面影响,如计算机犯罪案件的频频发生等,系统安全问题日益严峻。于是一个不容回避的问题——我国企业如何有效地开展信息技术审计(InformationTechnologyAudit,以下简称IT审计),保证信息系统安全,摆在我们面前。本文拟对此进行探讨。
一、IT审计的定义及其特点
IT审计是指对信息系统从计划、研发、实施到运行维护各个过程进行审查与评价的活动,以审查企业信息系统是否安全、可靠、有效,保证信息系统得出准确可靠的数据。由以上定义可知,IT审计的目标是保证IT系统的可用性、安全性、完整性和有效性,最终达到强化企业内部控制的目的。
该审计过程具有以下特点:
1.IT审计是一个过程。它通过获取的证据判断信息系统是否能保证资产的安全、数据的完整和组织目标的实现,它贯穿于整个信息系统生命周期的全过程。
2.IT审计的对象综合且复杂。IT审计从纵向(生命周期)看,覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务;从横向(各阶段截面)看,它包含对软硬件的获取审计、应用程序审计、安全审计等。IT审计将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。
3.IT审计拓宽了传统审计的目标。传统审计目标仅仅包括“对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见”;但IT审计除了上述目标外,还包括信息资产的安全性、数据的完整性及系统的可靠性、有效性和效率性。
4.IT审计是一种基于风险基础审计的理论和方法。IT审计从基于控制的方法演变为基于风险的方法,其内涵包括企业风险管理的整体框架,如内部环境的控制、目标的设定、风险事项的识别、风险的评估、风险的管理与应对、信息与沟通以及对风险的监控。
二、我国IT审计面对的挑战
IT审计和传统审计相比具有的上述特点是吸引我国众多企业引入IT审计的重要原因,但是这种方法的应用又会给企业提出巨大的挑战。
1.传统审计线索的消失。在手工会计环境下,审计线索主要来自于纸质原始凭证、记账凭证、会计账簿和会计报表,这些书面数据之间的勾稽关系使得数据若被修改可辨识出修改的线索和痕迹,这就是传统审计线索的基本特征。但是现在计算机网络信息系统中这些数据直接记录在磁盘和光盘上,无纸张记录,审计人员用肉眼无法直接看到这些数据如何记录,且非法修改删除原始数据也可以不留篡改的痕迹,从而为舞弊人员作案留有可乘之机。尽管许多审计机构要求已实现会计信息化的企业将所有原始凭证、记账凭证、账簿、报表打印输出,使用绕开计算机系统的审计方法,并以打印出的证、账、表作为基本审计的线索和依据。但是如果原始数据在业务发生时就被有意篡改,则其派生的记账凭证金额和账户余额及报表数据也一定会出错,打印出的数据也不能作为审计证据。因此即使打印出所有电子数据,传统审计线索也会在计算机信息系统下完全消失。
2.计算机信息系统的数据安全面临挑战。手工信息处理的环境下,审计人员无须将数据和会计信息的安全性问题作为审计的重要内容,但是在IT审计的工作中,网络电子交易数据的安全是关系到交易双方切身利益的关键问题,也是企业计算机网络应用中的重大障碍和审计的首要问题。例如计算机病毒的破坏、黑客用IP地址欺骗攻击网络系统来获取重要商业秘密、内部人员的计算机舞弊、数据丢失等,都是传统审计从未涉及的,但又是IT审计的重点,这对当前我国的审计工作无论是操作系统,还是制度建立等众多方面都是一个很大的挑战。
3.IT审计专业人才匮乏,适应IT审计事业发展的人才培养和管理机制还有待建立和健全。由于IT审计固有的复杂性,这项工作需要具备会计、审计、组织管理和计算机、网络技术等综合知识的人才,而且工作人员需要对内部控制和审计有深刻的理解,对信息和网络技术有敏锐的捕捉能力,在我国获得注册信息系统审计师资格的人数远远不能满足信息系统审计业务的需求。
三、我国IT审计应对策略
面对上述挑战,我们应当多方位、多角度制订措施,使IT审计工作更好地为我国企业发展做出贡献。具体措施如下:
1.审计线索的重建。根据计算机网络系统容易在不同地方同时形成相同“原本”数据的特点,可以重建电子审计线索:在电子化的原始数据形成时,同时在审计机构(包括内审机构)和关系紧密(签字确认)的部门形成原始数据的“原本”,或在不同部门各自形成相关的数据库(特别应当包括数量、金额和单价等主要数据项),这样不仅可以相互监督和牵制,还给计算机审计提供可信的审计线索。这种保留审计线索的方法,一方面成为有力的控制手段,另一方面可从审计线索中发现疑点。这种方法主要是应用专用的审计比较软件,同时将几个部门的同一种数据库进行自动比较形成有差异的数据记录文件,详细审查相关的数据文件和访问有关的当事人,从而取得有力的审计证据。上述比较审计方法是在不同部门同时形成业务数据文件的情况下应用,如果企业业务数据分离存放,如销售合同与销售发票、提货单在不同的部门保存,这种实质性测试也可采用比较审计法,应用专用的审计软件,结合相关的几个业务数据文件进行比较,查出有错误疑点的记录。
it审计论文篇11
随着计算机网络的发展,商业银行在处理业务时对计算机信息系统的应用程度越来越高。信息系统就像一把双刃剑,它在带来经济效益的同时,也使商业银行面临巨大的风险,因此对信息系统进行严格规范的控制尤为重要。为了保证信息系统的安全、可靠与有效,实施有效的it审计成为商业银行一项迫在眉睫的任务。
一、商业银行实施it审计的必要性
1.这是由商业银行业务高风险性的特点决定的
商业银行本身是一个高风险行业,在银行业务中的主要风险包括:战略性的,名誉性的,操作的,信用,货币兑换,利率,流动性。随着银行业务信息化程度的提高,特别是近年来网络银行和信用卡的兴起,银行的业务和信息系统之间的联系不断加强,信息系统需要不断的修改和完善以适应业务发展的要求。当信息系统跟不上业务发展的需要时,就会造成系统故障,系统错误等情况,导致一些业务不能正常开展,这使得商业银行面临的战略性,名誉性,操作性的风险越来越大。为减少这些风险,这就需要it审计对系统进行严格的规范控制,对信息系统进行综合的检查和评价以保证信息系统适应银行业务发展的需要。
2.这由信息系统本身的特点所决定的
信息系统的开发是一项长期而且庞大的工程,需要耗费大量的人力、物力以及财力,它具有投资大,风险高的特点,若开发不当,则可能会使信息系统无法投入使用,或即使能勉强投入使用,但在使用过程中也会错误不断,需要极高的成本来维护系统,因此需要it审计对信息系统的开发过程进行跟踪审计,及时发现并改正错误,保证信息系统的质量,降低系统后期的维护成本。同时,由于并不存在十全十美的信息系统,也不可能在系统开发过程中发现全部潜在的错误,这使得在系统运行过程中可能会出现系统故障,系统错误,黑客攻击漏洞等情况,这可能会使数据被破坏,客户隐私被泄露,经济效益遭受损失,对商业银行的声誉、经营造成影响。这就需要在信息系统运行维护阶段进行it审计找出系统的缺陷和不足,并提出改进和完善的意见,以保障系统安全、可靠以及有效的运行。
二、商业银行it审计的现状及改进措施
1.建立完善的商业银行it审计制度
在我国制度创新还跟不上it的发展,相关的it审计法规、准则存在着一定的滞后现象,目前存在相关法规、准则仅有审计署于1996年颁布的《审计机关计算机辅助审计办法》,1999年颁布的《独立审计具体准则第20号——计算机信息系统环境下的审计》等几个。而近年来it发展迅速,这些法规、准则不一定能适应新的系统环境,这将会给商业银行的it审计的实际操作带来一些困难和影响。为了促进商业银行的it审计的发展,应该完善相关的法规、准则,使之跟得上it的发展。同时,根据国际趋同的要求,我国也应根据国际it审计的国际标准——cobit(信息系统和技术控制标准)建立符合中国实际、顺应国际准则趋同化要求的内控、风险管理体系、it监审机制和制度。
2.加强it审计的连续性
由于商业银行信息系统的开发多采用外包方式,这使得在实施it审计时容易忽视信息系统开发阶段的it审计,使得it审计缺乏连续性。而系统开发阶段存在的一些潜在的问题可能会系统在运行维护阶段逐渐暴露出来,这个时候就需要去系统本身进行修正,与在系统开发阶段进行的修正相比,此时的花费的成本将更高。因此,需要加强在系统开发阶段的it审计,加强it审计的连续性,这将有助于保障高质量的信息系统的开发,减少系统存在的潜在问题,降低运行维护阶段的维护成本。
3.提高商业银行内部it审计的质量
商业银行一般都拥有自己的it部门,由于部分内审人员计算机知识与技能有限,这使得在进行内部审计时会在一定程度上依赖it部门的人员的帮助,诚然这些it部门的人员对于计算机知识以及相关的业务十分熟悉,有利于内部审计的实施,但是这却让他们拥有运动员和裁判员的双重身份,使得内部审计的独立性遭到质疑,内部审计的质量得不到保证。而高质量的内部审计能使信息系统安全、可靠以及有效的运行,同时也使信息系统容易通过外部审计。因此,需要在商业银行内部设立独立于it部门的it审计部门,实施有效的内部审计。
4.培养it审计专业人员
我国商业银行it审计起步较晚,it审计专业人员在数量上严重不足,同时在专业技能方面与国外相比也存在一定的差距,而这些因素也在一定程度上影响了商业银行it审计质量的提高,因此需要大力培养it审计专业人员。对此,我们可采取专家讲课、委托培训、公派交流学习等措施来培养it审计人员,提高it内审人员的素质。
5.借鉴国外的一些先进经验
我国it审计起步较晚,虽然在近年来取得了较快的进步,但相对于一些起步较早的国家而言,总体水平并不是很高。我们可以根据自身的实际情况,借鉴一些适合我国国情的先进经验,比如:挪威的数据获取自动化(tomas)系统,它能在提高效率保证质量的同时,使审计人员可以采集存储在财务管理会计系统中的基本数据而不增加被审计单位的安全风险;美国利用互联网实施联网审计,审计人员可以通过网络获取被审计单位的有关资料开展审计工作等。
参考文献:
it审计论文篇12
现代风险导向审计以被审单位的经营风险为出发点,相关的风险评估结果是评估财务报表层次和认定层次重大错报风险的基础。审计风险虽源于重大错报风险,但审计人员最终都要通过对报表各项目的审计发表财务报表审计意见,因此风险评估必须与各类交易、账户余额、列报的认定相联系。将“发现的风险因素同认定层次可能发生的错误相联系”是审计风险判断的关键。但传统的审计方法并未明确指明如何将两者相联系,而且也未关注it环境下如何将风险因素与认定层次可能发生的错误相联系。在it环境下,业务流程及其支持流程——it流程,都是链接风险因素和认定层次可能发生错报的中间环节。在高度自动化的企业环境下,审计证据的证明力依赖于it相关风险的控制情况。因此,有必要改进it环境下的审计风险判断方法。在it环境下,审计风险判断应以流程(包括业务流程和it流程)为中间环节,建立基于流程的审计风险判断方法。
一、流程对审计风险判断具有重要意义
流程的概念很多,iso/iec 9000将之定义为一组将输入转化为输出的相互关联或相互作用的活动。企业由流程构成,kaplan(2001)将企业定义为是一系列相互关联的活动或流程的集合,或是一个价值链。在it环境下,流程可理解为“角色加活动”,即将流程描述为一个为实现特殊目的而合作且互相影响的角色的集合。早期人们对企业流程的理解大多局限于传统的业务领域;当it逐渐与业务融合,并成为企业所有经营活动的驱动引擎时,流程的范围开始拓展,此时的it流程与业务流程需要实现动态整合,即it活动被看作是业务,并执行与业务相同的管理方式。因此,it环境下的企业业务流程应该是广义的,同时包含it流程和业务流程。美国公众公司会计监督委员会的第5号审计准则就指出,作为理解重大流程的一部份,审计师应理解it如何影响公司的交易流程。
有些大的会计公司为了强调经营风险的审计方法,修改它们的审计辅助软件,以围绕业务流程组织审计证据,而不是按照传统的交易循环组织证据。关注业务流程的审计软件系统(business-process-focused,bpf)通过价值链组织被审单位的信息;而传统的关注交易循环的审计软件系统(transaction-circle-focused,tcf)是按照交易分类组织被审单位的信息。o’donnell e和jr joseph j schultz(2003)的研究结果表明使用bpf软件的审计人员能识别出更多的风险情形,并将风险估计在恰当的水平;而使用tcf软件的审计人员对风险的识别和估计都较差。因此他们认为不同的信息组织形式会影响审计人员的决策判断。造成这种结果的原因在于业务流程关注事件之间的关联性,它通过情景引导记忆;而传统的交易循环关注的是交易分类,它通过语义引导记忆。因此,关注业务流程可降低任务的复杂性和认知难度。随后其他的研究人员也发现围绕业务流程开展内部控制的评估任务更为有效。
二、it环境下基于流程的审计风险判断方法
为了协助审计人员运用自上而下的风险导向审计方法,国际审计和鉴证准则委员会于2005年制定了“在整个审计
过程中运用职业判断对重大错报风险进行更准确评估的框架和模型”。具体步骤如下:(1)了解企业及其环境(包括内部控制),识别风险,并在报表层次考虑交易性质、账户余额、披露;(2)将发现的风险与认定层次可能发生的错误与舞弊相联系;(3)考虑风险的重要性;(4)考虑风险的发生概率。这个风险判断思路也同样适用于it环境。因此借鉴自上而下的审计方法,将流程作为it风险判断的中间环节,改进了的it环境下的审计风险判断方法具体实施步骤如下:
1.了解企业及其环境(包括内部控制)。我国2006出台的《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》列举了影响重大错报风险的因素:行业状况、监管环境以及其他外部因素,企业性质,目标和性质以及相关的经营风险,财务业绩的衡量和评级,内部控制。在it环境下,识别和评价企业层面的风险和风险控制的有效性时,需特别考虑:(1)it利益群体的风险及对it利益群体控制的有效性,如it治理;(2)企业层面的it控制,如与it相关的控制环境、风险评估、信息与沟通、监控、教育和培训等方面。
2.确定财务报告流程的核心要素。根据企业层面的风险评估结果识别重大账户、重要披露及与之相关联的认定。
3.识别关键业务流程。审计人员首先要识别与上述重大账户、重要披露、认定相关联的关键流程及流程所包括的主要交易,同时识别流程中易发生错误和舞弊的关键点(控制点)。为了判断业务流程能否实时预防或检测错误和舞弊,审计人员要识别出需要被测试的控制点,由于业务流程大多基于it,因此要确定这些控制点哪些是依赖it的,然后识别并证实关键的it功能。
4.确定与it功能相对应的应用系统的范围。详细列出与这些it功能相关的应用系统和与之关联的子系统,包括交易应用系统和支持性应用系统。交易应用系统在处理组织内的数据时通常提供以下功能:(1)通过借贷关系记录交易的价值数据;(2)作为财务、经营和法规数据存放的仓库;(3)能够生成各种财务和管理报告,包括销售订单、客户发票、供应商发票以及日记账的处理。支持性应用系统并不参与交易的处理,但方便了业务活动的进行,如email程序、传真软件、设计软件等。
然后it审计人员与财务审计人员合作,从列示的子系统中识别出支持授权、复杂计算、维护重要账户(如存货、固定资产、贷款等)的完整性的重要应用系统。应用系统是否重要,需要考虑:交易量(交易量越多,应用系统越关键)、交易金额(金额越大,应用系统越关键)、运算的复杂性(运算越复杂,应用系统越关键)、数据和交易的敏感度(敏感度越大,应用系统越关键)。为应用系统提供it服务,或者支持应用系统关键环节的it一般流程即为需要进行it一般控制测试的范围。
5.识别管理和驱动这些重大应用系统的it流程。识别所有支持这些应用系统的基础设施,包括数据库、服务器、操作系统、网络,以及与之相关联的it流程。判断这些it流程的风险和相关的控制目标。识别出需要被测试的it一般控制,进而判断其是否符合控制目标。控制测试结果将影响与之相关的it应用控制的评价、业务流程的风险评价。对这些流程和系统进行风险和控制评估后,就可以制定风险控制矩阵。
6.评价it控制、分析业务流程风险。结合对it一般控制的评估结果和对业务流程中it应用控制的评估结果,就可以分析关键业务流程的it风险控制情况。此时的it控制测试和人工控制测试要结合起来予以考虑,即将二者作为一个整体的测试对象。业务流程的风险是与业务流程所关联的一系列交易活动、账户群的余额、列报(包括披露)认定层次重大错报风险相联系的,因此,业务流程风险的评价结果构成了认定层次重大错报风险评估的直接基础。
7.评估电子证据证明力、设计实质性测试程序。审计人员可根据上述步骤的风险评估结果判断某一业务流程的电子审计证据的证明力并设计与业务流程有关的账户群的实质性测试程序。
通过上述7个步骤,审计人员可以将it环境下的企业风险因素与报表层次和认定层次的重大错报风险相链接,同时也为电子审计证据证明力(即检查风险的判断)提供了依据。
