it内部审计论文范文
it内部审计论文范文第1篇
目前,现代企业经营越来越依赖信息系统,信息系统管理信息、处理业务以及存储大量的数据。也迫切需要对信息化管理现状进行全面的审计,以分析评估存在的问题,提出解决方案,完善IT风险控制,保障各信息系统的规范运作,降低信息化风险,提高业务运营的经济性和有效性。IT审计虽然区别于财务审计,运营审计等常规审计,但其审计方法论仍不可能脱离常规审计所用的方法论。也就是必须对审计目标,审计范围,审计计划等等均需进行清晰阐述,并在实施IT审计后,出具具有充分、适当的审计证据支持的IT审计报告。
一般来说,实现全面的IT审计,应当从审计对象的整个生命周期领域、审计对象及组织层次来开展。
一.IT审计范围
进行IT审计的对象包括但不限于以下领域:1.管理组织与制度;2.项目管理流程规范性 ,包括应用系统的开发、测试与上线管理;3.基础设施及运维管理;4.信息安全管理;
IT审计涉及的应用系统包括但不限于以下领域:1.生产系统;2.营销系统;3.办公自动化系统;
IT审计涉及的组织层次包括但不限于以下领域:1.高层决策者;2.中层管理者;3.技术部门员工;4.业务部门员工。
二.IT审计具体实施
ELC(entity level control)控制。关注客户在IT治理方面的相关组织架构是否合理,管理制度是不是健全,具体的审计程序就是获取客户的组织结构图,及一些比较虚的总纲类的书面管理制度如《IT管理制度》等等。
系统开发和变更。关注系统开发和系统后续变更实施中的控制,具体的审计程序首先就是获取系统开发及变更相关的管理制度,该文原载于中国社会科学院文献信息中心主办的《环球市场信息导报》杂志http://总第522期2013年第39期-----转载须注名来源如调阅《系统开发制度》《系统变更管理制度》,二是关注系统开发过程的合理性,如是否经过了需求提出、可行性研究、领导层审批,系统上线之前是否经过了充分的测试,获取一些内控痕迹和表单,如《××系统需求报告》、《××系统可行性报告》、《××系统立项审批单》、《××系统单元测试报告》、《××系统集成测试报告》、《××系统上线审批单》,《变更审批单》,采取抽样后穿行测试。
操作系统及数据库控制。关注操作系统和数据库的控制,如登录时密码控制强度、敏感操作的权限分配、日志的保存。
应用系统控制。关注应用系统控制的合理性。如银行使用的综合业务系统(有的叫核心业务系统)、国际结算系统、大小额系统、信贷管理系统等等,关注其安全配置和用户权限。
接口控制与信息安全。关注其数据准确性、完整性、以及组织级的网络管理的相关制度,如防火墙的架构,内外网分离程度等。
三.IT审计依据
IT审计依据的来源基本上业界都有很充分的理论依据以及最佳实践,以下IT控制标准、法律法规、行业最佳实践都可作为IT审计的依据。
IT标准、规范及最佳实践; 企业内控框架-COSO;IT治理-COBIT、ISO 38500;IT规划与架构设计-Zachman、TOGAF、FEA;IT应用系统开发与运维-软件开发规范、CMMI、ISO9126;IT基础设施生命周期管理-网络、主机、安全等设备管理规范;IT服务管理-ITIL、ISO20000;IT项目控制-PMP、Prince2、项目监理规范;信息安全管理-ISO27001、ISO27002;业务连续性计划-BS25999、ANSI/NFPA 1600;IT应用控制-输入控制、处理控制及输出控制;IT资源协同-EAI、SOA、共享中心等……
目前,信息系统的正常运行已经成为银行业务正常运营的最基本条件之一,信息科技在有力提升银行核心竞争力的同时,信息科技风险也愈发突出和集中,信息科技风险控制已成为银行业风险管理的重要内容,而IT审计作为银行业风险管理体系的重要组成部分,其重要性和必要性已经日益得到银行业管理层的关注。
IT与其他如财务审计等不同之处,主要在于审计框架是否全面。审计过程仍遵循常规审计步骤,包括审计策划、审计准备、审计对象调查、实施审计、审计发现复核及沟通、审计报告六大步骤。
it内部审计论文范文第2篇
【关键词】信息科技 内部审计 信息化
2000年以来,继四大行成功完成数据大集中后,各股份制商业银行纷纷加入数据大集中的行列,“科技兴行”、“科技引领”等理念不断冲击人们对商业银行信息系统的固有认识,电子银行渠道持续拓展,商业银行的业务流转也越来越依赖于信息系统的支撑。这些变化一方面使得信息科技在商业银行中的作用不断凸显,另一方面也使得商业银行的信息科技风险进一步放大。
继2006年中国银监会《银行业金融机构信息系统风险管理指引》将信息科技风险纳入商业银行风险管理范畴后,2009年银监会又正式《商业银行信息科技风险管理指引》(下文简称《指引》),进一步加强商业银行信息科技风险管理。2012年银监会宣布设立信息科技监管部,负责银行业信息科技监管督导和风险防范,信息科技风险监管工作不断细化、深入。监管部门对信息科技风险管理的日趋重视,客观上提高了商业银行信息科技风险管理工作的重视程度。
一、信息科技内部审计范围
《指引》提出了商业银行IT风险管理的“三道防线”,即IT管理、IT风险管理和IT风险审计。IT风险审计作为第三道防线分为内部审计、外部审计两方面。按照《指引》要求,银行内部审计部门应当设立足够资源与具有专业能力的IT内部审计人员,并独立于银行的日常活动。商业银行IT内部审计应该包括以下三方面:
(一)专项审计
专项审计是指对IT安全事件进行的调查、分析和评估。涉及重要业务系统、信息安全或审计部门认为必要的特殊事件都有必要展开IT专项审计。
(二)全面审计
应定期实施全行范围内的IT内部审计,应充分考虑业务性质、规模及复杂度,区分总行信息部门(数据中心)、分行、支行等各个层级,制定全覆盖的IT内部审计计划。
(三)重要项目审计
在进行大规模系统开发时,内部审计部应对系统开发的整个生命周期进行控制。包括项目前期的可行性研究、需求分析,项目开发,项目正式上线后的业务及运维。实际操作中,可以根据项目情况,对各项目里程碑展开相应的审计工作。
可以看出,IT内部审计既有全面审计,也有专项审计,还包括重大项目审计,涵盖了银行IT的方方面面。
二、信息科技内部审计面临的困难
内部审计部门应当从上述三个方面入手,检查评估商业银行信息科技系统和内控机制的充分性和有效性,提出整改意见并检查整改意见的落实情况。近年来,商业银行根据《指引》做了大量工作,但是在信息科技内部审计方面仍然存在诸多困难。
(一)缺乏IT审计人才
银行普遍存在着IT审计岗位编制不足、IT审计人员招聘培养困难、IT审计人员专业技术能力不强等情况。IT审计力量的薄弱,极大地影响了IT内部审计的成效,甚至会出现IT内部审计过分依赖信息科技部门的尴尬局面。
(二)缺乏IT审计方法及规范
缺少规范的IT审计方法论,缺乏对整个银行信息系统的全局认识,在IT内部审计中会存在不知道审什么、不知道怎么审,不容易把握IT内部审计的重点,无法触及部分风险隐患。
(三)缺乏IT审计方向
现阶段银行的IT内部审计都是为了满足监管要求,没有站在业务驱动的角度,缺少为“科技引领”提供保驾护航的力度。
三、商业银行如何加强IT内部审计
面对上述困难与挑战,银行应当充分认识IT内部审计对银行的重要作用,内部审计部门主动加强与信息科技部门的共同协作,加强IT审计专业队伍的建设。
1.管理层及信息科技部应当认识到,IT内部审计作为IT风险审计的重要一环,是IT风险管理的重要组成部分,应当重视内部IT审计部门及岗位的建立,充分发挥其积极作用。对IT内部审计的有效管理,可及时评价IT整体风险管理的水平,可对开发项目进行事中控制,分析IT事件原因、提出整改意见并监督落实。信息科技部应该认识到,IT内部审计不是故意“挑错找茬”,它可以积极发现IT潜在的管理疏漏,有效降低IT风险发生概率,提高IT全员的风险意识和认知。
2.内部审计部门应当加强与信息科技部的沟通与协助,可以进行各种形式的、有益的探索与尝试。比如,在IT风险源的制定与风险库的建立方面充分发挥信息科技的能动性,甚至以信息科技部的意见为主。在此基础上,内部审计部通过各类IT事件的分析、IT专项审计等手段不断来丰富完善风险源。比如,加强与信息科技部的沟通,由其讲解IT最新技术发展、整体架构、变更管理与运行维护等,提高自身的专业技术水平及对本行IT工作的了解。比如,加强与信息科技部的沟通,从审计及监管的角度向管理层反映IT发展中亟待解决的难题,解决信息科技的实际困难。
3.银行应当加强IT审计队伍的建设。在内部审计部内设专门的IT审计岗,有条件的银行可以设立独立的IT审计部门。不仅要学习审计的方法论、沟通技巧,还要积极学习相关的信息技术,专业的IT审计人才应当掌握较为全面的信息技术,对银行IT的各方面都要有所涉猎。加强IT审计人才的培养和储备。
展望未来,银行信息科技内部审计不能局限于应对监管需求,而应立足于银行战略与业务需求,立足于解决信息科技的各种困难。银行应当将信息科技内部审计当成信息科技风险审计最重要的一环,建立完善的信息科技内部审计管理体系,并将之纳入银行整体风险管理体系中。银行应当充分认识信息科技内部审计的重要作用,有意识地引导与加强信息科技部门与内部审计部门的合作共赢,加强信息科技审计专业队伍建设,确保信息科技内部审计真正实现价值,为信息科技的发展提供保障,为银行的发展保驾护航。
it内部审计论文范文第3篇
课题组组长:史可山,人行南平市中心支行行长;
课题组成员:陈崇跃,徐克勋,朱燕涛,张杏英;
执笔:陈崇跃,朱燕涛。
摘要:随着信息科技的发展,人民银行系统对IT的依存度日增,信息系统风险也接踵而至,内部审计面临新的挑战,IT治理势在必行。为此,本课题组在分析了人行传统的内审已不能适应IT时代审计使命要求的基础上,提出了改革人行内部审计并以此深化央行IT治理的若干建议。
关键词:中央银行;内部审计;IT治理
中图分类号:F830文献标识码:A文章编号:1006-1428(2007)12-0088-02
随着人民银行各项业务与管理活动对IT依存度的日益提高,IT风险渐露端倪,人民银行内审从体制、手段和方式等均面临与IT发展程度相对应的新挑战,央行内审呼唤与IT治理相适应的改革。
一、加强人民银行IT审计促进央行IT治理的必要性。
IT治理大意指合理利用IT资源与适当管理IT相关风险的一种管理模式与机制。IT治理最重要的任务就是保证信息技术与各项业务的有效结合,促进组织收益最大化与风险的最有效控制。如同企业(公司)治理包括了内控管理及其内部审计等制度安排,“IT治理”也涵盖IT审计、信息安全审计、IT服务管理等内容。“IT审计”既是IT治理的组成部分,也是IT治理的促进因素。“IT审计”不仅对信息系统(IS)及其管理制度,还包括对内审自身的IT化建设行使“监督、评价与咨询”职责。
人民银行具有类似商业银行等现代企业的组织架构与业务体系,在管理上同样适用和更需引入“企业治理”与“IT治理”机制。人民银行在组织架构上设立了分支行机构,在业务上也有“存贷款”、“中间业务”、“黄金外汇储备与买卖”等经营性品种。因此人民银行的“业务”系统及其“应用系统”也更为庞大与复杂,日常运营越来越依赖于信息技术的支撑。在这种背景下,人民银行信息系统运行的有效性与潜藏的风险更加不容忽视,建立健全人民银行系统的IT治理及其IT内审机制十分迫切。
二、人民银行系统IT治理与IT审计的现状
在IT治理方面,人民银行表现明显滞后:一是尚未编制出一套适应我国国情的央行IT治理蓝图或规划;二是尚未建立与人民银行组织结构和业务体系及IT应用水平相适应的IT治理组织框架和制度体系;三是尚未建设和培育一支既掌握IT知识又谙熟央行业务的IT治理复合型或“两栖”的人才队伍;四是作为IT治理重要组成部分的IT审计、IT风险控制等监督与保障机制尚不成熟和健全,影响了人民银行IT治理的深化。
在IT审计方面,人民银行信息系统仍没有突破传统内审的窠臼。具体问题与原因:
一是IT审计的理论缺失。IT审计是审计理论的新兴领域,当前有关它的研究尚不够深入,阐述与定义尚不统一,也给IT审计制度的建设和IT审计的实践带来一定程度的混乱。
二是IT审计的制度缺失。人民银行内审司虽制定了《计算机信息系统监督检查工作暂行规定》、《计算机信息系统内部审计规程》等制度,但不是真正意义上的“IT审计”,仅处于信息系统(IS)审计层次,属于一般内控操作制度范畴。
三是IT审计的标准缺失。目前却仍未规划与制定出一套能与国际接轨的抑或有中国特色的IT审计标准与具体行业准则,使目前的IT审计没有明确的方向与标准的轨道。
四是IT审计的队伍缺失。首先,在组织体系上IT审计人员配置不足与结构不合理。其次,人员综合素质不高,既掌握IT知识又熟悉央行业务、懂得金融法律的人力资源十分匮乏。第三,未建立IT审计复合型人才培育机制,使现有人员IT审计素质不能得到应有的提高。
五是IT审计的手段缺失。即IT审计本身缺少信息技术硬件与软件的武装与支持。首先是内审部门计算机及其网络工具与设施配备不足,使目前所开展的IT审计仍停留于现场的、被动的、事后的传统审计形式。其次是业务审计的IT辅助审计应用软件缺乏,内审人员面对全面“数字化”的审计对象,只能望洋兴叹。第三是当前的业务应用系统在设计、开发之初就未考虑接受审计因素,内审人员实施IT审计时没有“合法”接口与取证手段。这些均极大地困扰与制约着IT审计的开展与发展。
三、改革央行内审深化IT治理的政策建议
1、加强IT审计及IT治理的理论研究,为新形势下的央行内审改革提供理论基础。2004年,人行内审司同ITGov(中国IT治理研究中心)合作开展了“IT治理与IS审计模型研究”,对国际通用的IT治理框架和信息系统审计标准“信息与相关技术控制目标”(COBIT)进行了研究,取得初步成果。但是,近年来类似的内审科研仍然偏少,成果不多。当前,国外在这方面的研究与探索均较深入,硕果累累,可以很好借鉴。
2、改革传统的人行内审体制,架构与IT治理相适应的新型内审模式。IT审计的目标是通过实施审计,维护、促进或增强人民银行计算机信息系统合规性、安全性、可靠性、有效性。人民银行已构建了强大的信息传输网络,作为内部审计主要对象的央行业务系统实现了数据大集中,人民银行分支机构业务运营与管理的内涵与外延也发生重大变化,不同层次的央行机构IS更存在鲜明的差异。这就要求央行对传统的内部审计架构进行新的设计,如构建“重心上移、机构下派”的内审新体系。借鉴西方中央银行组织治理模式并与央行IT治理机制相适应,在强调内部审计独立性的同时,注意与IS开发、应用部门的协调一致。采用更灵活的内审方式,如引入市场经济国家“内审社会化”或“内审外包”做法,对人民银行的部分IT审计项目可委托有资质的社会组织开展;提升手段,改革传统的现场审计与人力审计模式,利用计算机网络系统和审计辅助系统实施以“信息技术对抗信息技术”的“非现场审计”和“机器审计”,等等。
3、树立现代内部审计理念,实现内审由合规性监督向评价与咨询服务转变。审计的目的是确保整个组织活动的有效性、效率性、合规性、安全性,使组织“价值增值”。内审由于IT手段的利用及对IS的审计,使内审目标的实现更加可能。因此,人民银行的IT审计不应停滞在查错纠弊的监督阶段,而应要求审计人员树立服务意识,为被审对象提供咨询服务,当好参谋。
4、加快编制我国央行IT治理规划,建立适应人民银行体制的IT审计标准体系和框架。“信息系统审计和控制联合会”(ISACA)已制定了“面向过程的信息系统审计和评价的标准”(COBIT),国际内部审计师协会(IIA)将其作为国际通用的IT审计标准。作为我国央行的人民银行内审也应积极借鉴标准,制定一套适合我国央行特色的IT审计标准与规范,为IT审计开展评价、咨询等活动提供尺度与准绳。
5、开展对新系统开发的审计,实现IS事后审计向全过程审计转变。即在新系统的立项、开发、测试和验收阶段,内审人员就参与其中,对程序开发到应用的全过程从审计的角度进行审慎监督;对系统的审计由事后转变为全过程监督。同时各业务部门在正式培训、推广使用新系统时,应邀请同级审计部门参加培训学习。对新系统开发审计时,应对新系统的今后可审计操作性提出要求,防止系统出现“拒审”等情况的发生。
6、加强IT审计队伍建设,提高央行内审从业人员综合素质。一是吸收计算机专业人员,把他们培养成审计人员;二是对现有审计人员开展IT知识培训和继续教育,培养成IT审计师;三是建立激励机制,推行IT审计师持证上岗制度,鼓励内审人员学习和钻研计算机知识,考取国家计算机资格等级证书,有条件的通过国际IT审计师资格认证。
(七)加强计算机辅助审计软件开发与应用,推进IT审计信息化建设。
参考文献:
[1]《内部审计思想》 (美)Andrew D.Bailey, (美)Audrey A.Gramling, (美)Sridnar Ramamoorti著;王光远等译,中国时代经济出版社,2006;1
[2]仲安妮.IT审计直面差距找准定位促跨跃.金融时报,2006-8-22
it内部审计论文范文第4篇
关键词:电网企业 IT审计 IT 风险 信息技术
近年来,计算机与网络技术使当今世界进入信息经济时代。Internet与电子商务的迅速发展正使企业的经营环境、经营方式和管理模式发生重大变化。这种环境下,电网企业除了继续加强传统生产管理技术投入,对信息技术投入也越来越大,各种生产、经营管理信息系统的运用极大的满足了企业生产经营的需求,提高了电网企业优质供电服务的能力,也促进了企业经营管理水平的提高。随着企业对信息化运用和依赖程度越来越高,如何保证各种信息系统正确、高效的运行,使得审计面临着新的挑战和任务,引入IT审计技术可加强对信息系统的风险控制。
IT审计与信息技术的发展密不可分。现代化的IT技术已经应用于内部审计之中, 大幅度地提高了内部审计工作的效率, 而且在多个方面对审计的发展产生了广泛的影响[1]。
IT审计在国内外学术界有多种叫法,例如 EDP审计、电算化审计、信息系统审计等。尽管叫法不同,但其涵义基本相同。IT审计与一般审计一样,同样是执行经济监督、鉴证与评价职能。其特殊性主要在两方面:(1)对执行经济业务和会计信息处理的IT系统进行审计,即IT系统作为审计的对象;(2)利用计算机辅助审计,即计算机作为审计的工具。概括起来说,无论是对IT系统进行审计还是利用计算机进行审计,都统称IT审计[2]。
1.电网企业IT审计的目标
为能有效地、恰当地和高效率地开展IT审计,应该明确IT审计的目标。IT审计并不改变审计的目的和职能,只是审计的环境、对象、方法和工具发生变化。电网企业IT审计的目标可概括为通过对企业IT规划、建设、应用、服务以及安全等全方位的审计,评价信息化投入效益,充分识别与评估IT风险,促进完善IT控制措施,提升IT系统的可用性、安全性、完整性、效益性,以达到强化IT内部控制的目的。
2.IT审计的内容[3]
2.1研究、审查与评价IT系统的内部控制
由于应用了电子数据处理技术、网络技术、电子商务技术等等,电算化和网络化带来了许多新的风险。系统的安全、可靠性很大程度决定于系统的内部控制。没有健全的控制,系统的程序和数据可能随时被人篡改,机密的经济信息可能被人窃取,系统可能遭受计算机病毒和黑客的攻击和破坏,等等。为了提高计算机信息系统的合法性、正确性和安全性,研究计算机信息系统的特点和风险,研究应有怎样的控制才能有效地降低这些风险,对系统的内部控制进行审查和评价,审查系统的内部控制是否完善,监督内部控制的有效执行,对控制的弱点和缺陷提出改进的建议,确保计算机信息系统能合法、正确、安全、可靠地处理有关的经济业务,是IT审计的一项重要任务。在电算化和网络化条件下,系统的内部控制包括程序化的控制和要求员工执行的管理制度。程序化的控制编写在系统应用程序中,其审查可在系统功能审计中进行。对管理制度的完善性和有效性进行审计,则类似于传统的内部控制审查。
2.2 IT信息系统开发审计
在网络化条件下,为企业能正常经营、有效管理,必须建立合法、有效、安全的计算机信息系统与企业内部网。一个计算机信息系统,尤其是大型的网络系统,如果问题到正式投入运行后才发现并进行修改,要比在开发阶段发现、改进耗费更长的时间和更高的成本。因此,有必要对计算机信息系统 (如 ERP系统)的开发进行事前、事中的审计。这项审计工作一般由内部审计人员执行。系统开发审计的主要内容包括:①审查系统开发的可行性;②审查系统业务和信息处理功能的合法性和正确性;③审查系统程序控制与管理功能的恰当性与有效性;④审查系统的可审性(即是否留下了充分的审计线索);⑤审查系统测试的全面性和恰当性;⑥审查系统文档资料的完整性;⑦审查系统的可扩展性。
通过系统开发的事前与事中审计,尽早发现系统的问题,及时提出改进的建议,可以把好系统质量第一关,同时也为审计人员今后对系统的审计打下基础。此外,审计人员在系统分析阶段应根据网络化审计的特点对系统提出审计方面的需求:①在系统中建立监控程序 (又叫嵌入审计程序),以便计算机能对一些敏感和重要环节实行实时监控,发现异常的情况或例外事件自动向审计部门报警或自动记入审计文件,以便审计人员审查。②在信息系统中建立审计子系统或模块,提供审计程序、审计工具和审计档案库,以便审计人员进行网上审计。
2.3 IT信息系统功能审计
在电算化和网络化条件下,经济业务处理或会计核算由计算机系统执行,为了能对计算机信息系统的合法性、正确性和安全性实行有效的监督,IT审计的另一项重要任务就是要对计算机信息系统的功能进行审计。对信息系统功能审计的主要内容包括:①审查验证系统对业务与信息处理的合法性、正确性和可追索性。查明它们能否按现行的会计制度以及有关的财经法规和政策规定进行各项经济业务处理和会计核算,提供合法、正确的经济信息。②审查系统程序控制功能的恰当性和有效性。查明系统能否有效地防止或及时地发现在输入、处理、输出等过程中可能出现的各种差错和舞弊,达到预定的控制要求。计算机系统由硬件设备、系统软件和应用程序组成。只有三者的功能都正确可靠,系统的处理和控制功能才可能正确可靠。因为硬件设备和系统软件是由计算机厂商提供的,其中建立了不少控制,其功能一般来说比较可靠,一旦出现故障也较容易发现。会计核算或经济业务处理是根据系统的应用程序进行的,计算机系统的处理和控制功能是否合法、正确、可靠,很大程度决定于系统应用程序的正确性和安全性。因此,对计算机信息系统功能的审查,常着重于对系统应用程序的审查。对复杂的IT信息系统功能的审计,审计人员应聘请IT专家共同参加审查。
2.4 IT信息系统电子资料审计
审计都要对被审单位的证、账、表及其他反映经济活动的有关资料进行审查。在会计电算化条件下,证、账、表以数据文件的形式存储在电磁介质中,对它们的审计可以利用计算机辅助审计。计算机可以快速准确地完成各种繁复的计算,可以对大量的数据按指定要求进行各种审计处理,利用计算机辅助审计可以加快审查速度、提高审计效率和审计质量。
如果说仅在会计电算化条件下,审计人员还可以绕过计算机,只对打印输出的证、账、表和有关资料进行审计的话,那么,在网络经营与电子商务的条件下,因为没有纸性的审计线索,只有电磁化的电子资料,审计人员不可能绕过IT审计。对经济活动和会计信息的审查,必须利用计算机对有关的电子资料 (包括各种原始单据、合同、记账凭证、账簿、报表等)进行审查取证、汇总分析。对电子资料的审查,是IT审计的重要任务之一。
3.IT信息系统审计的程序
IT信息系统审计的程序与手工会计信息系统审计的程序基本相同,是指审计工作从开始到结束的整个过程,一般包括三个主要阶段,即计划准备阶段、实施阶段和审计完成阶段[4]。
3.1计划准备阶段
计划准备阶段的任务是:根据审计的目标对被审计单位的计算机会计信息系统进行初步调查、组织IT审计小组、发出审计通知书、编制审计计划等。初步调查,了解被审计单位的基本情况。包括:计算机会计信息系统的硬件、软件配置状况;系统总体结构、功能模块划分及各模块之间的关系;系统人员的配备、职责分工、相关规章制度及业务流程;初步评价内部控制制度的执行情况。
组织IT审计小组,根据被审计单位计算机会计信息系统的复杂程度、审计任务的难度及审计人员的素质选择适当的审计人员组成IT审计小组。小组成员可以由经过IT知识培训的审计人员和具有会计、审计知识的IT技术人员共同组成,各自发挥专长。相互配合完成审计工作。
发出审计通知书,执行内部审计时,要对被审计单位发出审计通知书,审计通知书是告知对被审单位进行审计的书面文件,包括:审计机关的名称,审计的目的、范围、重点,审计的时间和要求等。编制审计计划,审计计划由审计项目负责人于现场审计工作开始前起草,基本内容包括:被审计单位的基本情况、审计目的、审计范围及重点、工作进度、审计组人员组成及分工、审计程序、提出审计报告的时间等。
3.2实施阶段
实施阶段是审计全过程的中心环节,其任务是:对被审单位的内部控制的建立及遵守情况进行控制测试,对系统处理功能及处理结果的正确性进行实质性测试。
①控制测试。对内部控制措施的可靠性进行的测试,可分为一般控制测试和应用控制测试。一般控制测试的主要内容是:组织与管理控制、开发与维护控制、硬件和系统软件控制、系统安全控制、系统文档控制等方面的审查与测试。应用控制测试的主要内容是:输入控制、处理控制和输出控制的审查与测试。
②实质性测试。对被审计单位账户余额和发生额进行直接审核,以确认系统信息的正确、真实与可靠。在对会计资料所进行的实质性测试过程中,因为大量的信息都是以机器可读形式存放于一定的介质上,对这些数据文件的测试方法与手工截然不同。具体的测试方法包括以下三种:第一,不处理数据文件的实质性测试方法;第二,处理实际数据文件的实质性测试方法;第三,处理模拟数据文件的实质性测试方法。
上述三种方法与应用程序测试所叙述的方法基本一致。实际上,数据文件的测试可以与应用程序控制测试同时进行,也可以认为是计算机信息系统环境下的“双重测试”。
3.3审计完成阶段
审计完成阶段是实质性审计工作的结束,其任务是:整理、评价收集到的审计证据,复核审计工作底稿,编写审计报告。
①整理、评价收集到的审计证据。审计人员通过分类、计算、比较、综合等方法整理、分析审计证据。
②复核审计工作底稿。通过对审计工作底稿的复核,检验所引用的有关资料是否详实可靠,所获取的审计证据是否充分适当,审计判断是否合理,审计结论是否恰当。
③编写审计报告。审计人员必须正确运用职业判断、综合收集到的审计证据,根据审计准则,形成正确的审计意见,出具审计报告。审计报告除被审单位财务活动及文件编制的合法性、公允性,会计处理方法一贯性发表审计意见外,还应对被审单位计算机会计信息系统的内部控制和处理功能进行评价,并应提出改进建议。
4.IT审计技术及审计软件综述[5] [6]
4.1 IT嵌入式审计技术(一种在线审计技术)
嵌入式审计模块是集成于应用系统的各个环节的代码段, 或者说它是嵌入被审查的系统中的一个程序块, 应用它的主要目的是实现对交易处理等被审计事项的持续监控。嵌入式审计模块根据预先设定的规则对系统中每一项交易进行实时检查, 因此它尤其适用于需要处理大量数据的计算机系统中。嵌入式审计模块对满足预先设定规则的交易, 在该交易被进一步处理前作如下工作: 记录该交易的细节, 实现定期浏览和报告审计日志文件, 为后续审计作准备; 或者只是对交易作标记( tagging) 以便区分其他交易。
利用嵌入式审计采集审计证据有其独特的优点。其一, 它并不需要内部审计师连续地监控审计模块, 而是只要零星和偶然的监控即可获得有效的结果, 这就大大减少了内部审计师的工作量。实时审
计可以弥补事后审计线索不充分的缺陷。例如: 我们使用客户服务系统(CSS,Customer Service System )来管理客服功能。基于在线实时环境运行的CSS系统能保证客户服务数据直接由客户端传入系统数据库中, 对这种运行能够进行有效的实时监督的就是嵌入式审计过程。其二, 它可以采集审计所关心的关键数据。如对计算机非正常运行时间处理各项业务的记录, 或对非法调用数据文件处理的记录。嵌入的审计程序本身具有隐蔽性、安全性和稳定性。非审计人员不能看到这些审计程序和自动形成的审计数据。所以, 审计人员应用这些审计程序就能自动记载所要收集的审计证据, 同时还可随时调阅这些证据文件, 并利用这些审计证据适时判断系统运行情况和提出审计建议。
4.2通用IT审计软件(Generalized Audit Software,GAS)
GAS 是专门为审计人员设计的, 是能够直接访问各种数据库平台及平面文件(具有行和列的一维或二维数组的数据表)系统的标准软件。它可帮助审计人员完成基本的审计任务,尤其擅于测试计算机中存在的数据和信息。通用审计软件比较容易使用, 只需要审计人员具有有限的计算机知识, 并不要求有编程方面的专业知识,因此具有适用性强等优点, 是目前计算机审计中最广泛使用的审计工具。其基本结构图如图1所示。
国外著名的通用审计软件有审计命令语句ACL(Audit Command
Language)和IDEA(Interactive Data Extraction and Analysis)。国内的通用审计软件有: 中望软件公司的审易软件、中普软件公司的中岳软件、通审软件公司的通审2000、审计之星、金剑软件等。
在众多审计软件中,由ACL Services Ltd.()开发的审计命令语句ACL 是使用最广泛的通用审计软件。它允许审计师将个人笔记本电脑与客户机系统相联, 从而下载客户端数据到笔记本电脑中以供后期的处理。它可以针对覆盖所有交易事项的大数据集合进行符合性测试。值得一提的是, 它有审计追踪的功能, 从而审计师可以在任何时候观看他们的文档, 步骤和结论。ACL使用便利、适用范围广和可靠的优点使其在审计公司中非常流行。
4.3EXCEL中的审计工具
Excel是审计人员最常用的一种简单却非常易用的工具。可利用Excel辅助执行的审计工作有:利用Excel辅助审计程序表的编制,编制某些项目的审计表格,编制试算工作底稿与调整后会计报表, 编制集团公司的合并报表, 进行分析性复核。利用Excel辅助审计, 是一种成本低、效率高、灵活方便、实用有效的计算机审计技术。
5.结论
未来计算机审计工具与技术的发展更加要求内部控制制度的加强。传统记账方式下, 可以从字迹上辨认出登记人, 从而明确责任, 但是计算机环境下只能提供统一模式的输出资料。没有记录人的笔迹, 无法从记录上辨认登记人, 审计线索的痕迹不容易追踪,这就需要审计人员对会计部门的内部控制制度、职责的划分情况进行审查和评价。
随着电力行业快速发展,加强IT审计是建设国际一流电力企业的必然需要,也是国资委、工信部、国内外证监会等监管机构外部要求,更是践行“万家灯火、南网情深”企业理念的内生需求,必须通过加强IT审计来保证公司的信息技术应用对各级监管政策、法规的遵从性。因此,开展全面系统的IT审计是企业生存与发展的客观需要,具有重大的现实意义。需要我们以发展的眼光,与时俱进,坚持科学发展观,自主创新,深化研究,消化吸收国外IT审计先进方法、理论和技术,建立完整的、自主可控的信息系统事前、事中、事后多密级、多业务、多系统、多网络综合安全保障体系,为电网企业在各个领域的发展提供坚强后盾和有力保障。
参考文献:
[1]刘炳焕.我国计算机审计的现状与发展对策分析[J].审计文摘,2004(6)
[2]Larry E.Rittenberg,adley J.,Schwieger. Auditing:Concepts for a Changing Envioroment[M],Jointly published by Peking University Press,2003.
[3]薛鹏.如何在会计电算化环境下实施有效的审计[J].工业会计,2002 (11).
[4]中国内部审计协会.中国内部审计规定与中国内部审计准则[M]. 北京:中国石化出版社,2004.
[5]王宝庆.现代内部审计[M].上海:立信会计出版社,2007.
[6]理查得·L·莱特里夫等.内部审计原理与技术[M].北京:中国审计出版社,2008.
it内部审计论文范文第5篇
2007年5月25日,企业内部控制标准委员会第三次全体会议在北京友谊宾馆低调举行。会议对企业内部控制规范征求意见稿和若干项具体规范讨论稿进行了深入讨论。可见,作为现代企业内控的重要手段和考量目标之一,IT内审重新引起了企业的广泛关注。
本期专题,就IT内审的目的与现状、中国企业IT内审的特点和难点、以及如何形成中国IT内审规范,展开了深入的探讨和调查分析。
“中国萨班斯”进行时
证监会纪委书记、企业内部控制标准委员会副主席李小雪在企业内部控制标准委员会第三次全体会议上表示,建设企业内部控制标准体系是资本市场的一件大事――健全有效的内部控制可以提高上市公司财务报告的有效性;可以保障公司资产安全,减少舞弊事件发生,堵塞漏洞,有效提高风险防范能力,降低公司风险;可以提高公司经营效益及效率,提升上市公司质量。
我国对企业内部控制评价的关注始于上个世纪80年代末,但当时的评价大都流于形式。“银广夏”等上市公司财务舞弊事件、“中航油事件”等等因内部控制失效造成财产重大损失的案件,在一定程度上要归咎于企业内控机制的不健全。
此后,我国政府开始重视内控评价的规范化建设。审计署、财政部、证监会、银监会等组织均出台了关于内部控制评价方面的规范,而2006年则是关于上市公司企业内控规范讨论最为热闹的一年。
2006年6月5日,上海证券交易所出台了《上海证券交易所上市公司内部控制指引》,对上市公司内控制度和风险管理制度出台了重要规定,引起了业界的强烈反响。
在信息技术无处不在的今天,IT既是企业内控的一个有效手段,同时IT本身又充满了风险,成为内控的重要目标之一。因此, IT内审引起了广泛关注。科索路咨询公司还专门对此了《IT内审调研报告》。
2006年7月15日,财政部联合国资委、证监会、审计署、银监会、保监会发起成立了“企业内部控制标准委员会”,旨在“基本建立一套以防范风险和控制舞弊为中心、以控制标准和评价标准为主体,结构合理、内容完整、方法科学的内部控制标准体系,推动企业完善治理结构和内部约束机制”。委员会的成立被视为中国版“萨班斯法案”即将出台的前兆,中国内部审计协会会长王道成当时曾向媒体表示,3年之内中国就会有自己的“萨班斯法案”。
2006年9月28日,深圳证券交易所《上市公司内部控制指引》,规定深市主板上市公司要建立完备的内部控制制度。在2007年7月1日文件正式生效后,上市公司均需按要求披露内控制度制订和实施情况。
很多人都相信,具有强制效力的中国上市公司内控法规就要形成,甚至有很多企业或个人认为随着企业内控法规的形成,与IT内审相关的咨询或者软件将是一个很好的市场机会,并雄心壮志地投身到这一领域。
但是到了2007年,在股市热潮背后,关于企业内控和IT内审规范工作似乎处于停滞状态。有些曾经看好IT内审市场机会的公司开始后悔自己当初的决定。这不禁让人怀疑,难道牛市的今天企业内控就不那么重要了?IT内审的热潮从此告一段落?
审迫在眉睫
事实远非如此。
2007年3月,企业内部控制标准委员会公布了《企业内部控制规范――基本规范》和17项具体规范(征求意见稿),并开始向有关单位和专家征求意见。
2007年5月25日,由企业内部控制标准委员会主席、财政部副部长王军亲自参加的企业内部控制标准委员会第三次全体会议在北京友谊宾馆低调举行,会议对企业内部控制规范征求意见稿和若干项具体规范讨论稿进行了深入讨论。
财政部还表示,将根据本次会议讨论的情况尽快修订企业内部控制规范征求意见稿和讨论稿,抓紧建立中国企业内部控制标准体系。所有这一切都证明,尽管没有声势浩大的活动进入人们的视野,但“中国的萨班斯法案”依旧在紧锣密鼓地酝酿中。
业内人士分析,尽管今天企业内部控制规范征求意见稿依旧在讨论中,但是一旦被确定,肯定会和萨班斯法案一样对上市企业具有强制性的约束。毫无疑问,尽管还有上市公司对IT内审没有足够重视,但IT内审是否规范必将成为上市公司存在的必要条件之一。
现代企业的经营越来越依赖于信息系统,除了传统意义上的经营风险、控制风险和财务风险,企业信息系统的安全性导致的信息风险日益增长。同时对大部分企业来说,信息技术已经融入到企业各项业务中。IT内审作为企业内部控制的一个重要手段和对象,已经得到政府相关机构、企业和咨询机构普遍认可。
目前的《企业内部控制具体规范(征求意见稿)》中,专门提出了计算机信息系统的征求意见稿,就总则,岗位分工与授权审批,信息系统开发、变更与维护控制,信息系统访问安全,硬件管理和会计电算化及其控制等六个方面提出了43条详细征求意见。
企业表现各不相同
“招聘资深内审员,要求具有5年以上跨国公司会计与财务方面工作经验,并有IT系统审计方面的工作经验”。最近,“IT内审员”的新鲜职位已经开始出现在各大招聘网站。
很多被访企业表示,他们已经或者正在考虑采用新的技术手段来辅助企业内部控制工作,比如说中信集团公司早已经在2005年就开始采用加拿大审计软件ACL、易通审计软件开展审计。
承接企业内控咨询业务的会计师事务所或咨询公司表示,他们所接触的IT内审业务在明显增加。
……
种种迹象表明,IT内审规范的推动并没有停滞不前,之所以让人感觉“停滞”,主要是因为以下几方面的原因:
首先,很多企业对于内部控制仍然采取比较被动的态度。对于那些早在国内上市的企业,由于上交所和深交所出台的《指引》对他们没有强制性的约束,没有对内控的紧迫感。而那些在海外上市或者新上市的企业,大都是为了满足上市条件或者相关法规而被迫进行内部控制和IT内审。在香港上市的某公司的CIO告诉记者,对他们来说,IT内审就是每隔一段时间按照会计师事务所提供的一张单子中对IT的要求落实就可以了。
其次,目前大部分企业的IT内审工作主要是交给第三方机构来办理的。很多在海外上市或者被外资公司控股,特别是在美国上市的企业,早已经通过第三方机构在IT审计方面走在了前面。第三方机构对这块业务驾轻就熟,更多的企业选择IT内审对他们来说只是业务量的增加,因而没有引起大范围的讨论。
第三,很多企业虽然已经意识到IT内审的重要性,但是苦于IT基础太差、缺乏相关经验而暂时搁置。亚新科工业技术有限公司是一家总部设在北京的外资企业。为了让企业健康稳定地发展,公司从1999年就已经建立了完整的内部制度,并且还专门成立了内控部。但是,公司内控部总监麻蔚冰告诉记者,目前他们还没有实现IT内审。他认同随着信息技术在企业广泛应用,IT内审是企业内部控制的必然趋势。亚新科从去年就开始关注这一趋势,但由于公司内部的IT建设还不够完善,再加上IT内审所牵涉的东西非常复杂,暂时也没有好的经验可以借鉴,所以目前尚处在探索中。
规范形成尚待时日
那么,适合中国的IT内审到底该怎么做?如何形成适合中国国情的IT内审?
很多企业都希望 《企业内部控制具体规范(征求意见稿)》能够给他们未来的IT内审提供有用的参考。
王军在企业内部控制标准委员会第三次全体作会议上也强调,内部控制标准体系建设要着力处理好借鉴国际和顺应国情的关系。目前,在尚未形成自己的规范并且没有更好的办法之前,业界已经认识到“西学中用”是最好的选择。
德勤咨询公司企业风险管理服务高级经理周梓滔告诉记者,目前的征求意见稿中不仅参照了萨班斯法案,还参照了很多地方的相关法规。
但是业内人士分析,毕竟中国企业有很强的特色,必须在参照这些经验的同时充分考虑中国企业自身的特色。
记者就IT内审规范这个问题拨通财务部会计司企业内部控制标准委员会某一负责人的电话时,得到回答是,征求意见稿中“计算机信息系统”部分还只是“征求意见稿”,希望有经验的咨询公司和专业人员能够积极参与,提供有用的建议。
在访谈了一些内控咨询专家、企业内控工作者后,记者认为以下几个方面是在建立IT内审规范过程中最不能忽视的:首先,企业对IT内审的重视不够;其次,企业的IT建设不够完善,建立像美国上市公司那样的IT内审难度较大;第三,企业IT内审部门的归属问题不明确:目前国内企业审计部门独立的就比较少,而IT内审既涉及审计又涉及IT,归属问题就更加不好确定;第四,IT内审的投入成本大,美国的大型公司仅在第一年建立内部控制系统的平均成本就高达430万美元,这对规模偏小的中国上市企业来说是不现实的……
由此可见,我国要建立完善的IT内审规范还需时日,但对于企业来讲,未雨绸缪却必不可少。否则具有法律约束力的规范一旦执行,临时抱佛脚几乎是不可行的――因为企业的IT建设本身就不是一蹴而就的事情。
链接:关于萨班斯法案
it内部审计论文范文第6篇
关键词:IT审计;传统审计;比较
科技的迅猛发展已经给整个社会的经济管理活动造成了巨大影响。IT审计是在原来传统审计的财务审计和管理审计基础上,由于科学技术向经济管理领域的渗透而产生的。然而,到目前为止,IT审计在本质上并不是独立于财务审计和管理审计的第三大审计分支,而是其中的一类审计形态,其原因在于网络环境的复杂性、实际操作的复杂性、与传统审计的融合程度等因素都制约着IT审计的发展,本文旨通过比较,将两者有机结合,从而提高IT审计质量,拓展IT审计技术方法在企业审计中应用的深度和广度,促进企业在审计上的变革。
一、 IT审计与传统审计在重大方面上是一致的
(一)IT审计与传统审计在基本概念及程序上大体一致
“独立性与客观性”、“权威性与公正性”等传统审计的基本概念在IT审计中得到了很好的体现。另外,IT审计独立于信息系统本身、信息系统相关开发、使用人员,由IT审计师依据法律规定,采用客观标准独立行使审计监督权,这与审计的“独立性与客观性”完全相同。同时,国际信息系统审计和控制协会(ISACA)对实行审计制度、建立审计机关以及审计机构的地位和权力都做了明确规定,这样使审计组织具有法律的权威性,其与公正性相辅相成。
(二) IT审计体系与传统审计体系结构基本一致
传统审计体系在逻辑结构上具有较强的严密性,“基本准则―具体准则―实务指南”是由抽象到具体的逻辑规则,这是会计准则、注册会计师鉴证业务准则等专业标准规范的常用结构,这使审计后续的具体工作便于寻找相应的准则条款,为审计工作提供便捷之处。IT审计所表述的“标准―指南―程序”准则框架在字面上与传统审计体系没有太大差别。其标准反应了信息系统领域的纲领性问题,指南是标准的具体化,程序则是一些工作规范,这与传统审计体系的三个层次是一一对应的。
从审计体系涵盖的内容上来看,传统审计内容的绝大多部分都包含在了IT审计体系的范畴之内。但是,相对于ISACA系会下的准则部制定的IT系统审计准则而言,我国的IT系统审计准则体系还不够完整,尚有若干项准则没有涉及,这应该在我国IT审计未来项目计划中予以考虑。
二、 IT审计具体内容方面存在两点点创新
(一) 安全性审计
在传统审计中,对于被审计对象的安全问题鲜有涉及,而信息的安全性问题关系到企业的生存与发展,是保持企业健康可持续发展的重要保障。IT审计中对于安全性审计做了详细的规范。安全性审计的主要目的就是审查企业信息系统和电子数据的安全隐患。一个存在安全隐患的信息系统很难为审计人员提供真实可靠的信息,因此安全性审计也是真实性审计的前提。
(二) IT审计的软件测试方法与电子取证方法
审计方法贯穿于整个审计过程当中,而不只是存在于某一审计阶段或某个环节。随着IT审计系统实践的丰富与IT审计理论的发展,IT审计处理运用传统审计的方法外,还大量借鉴了计算机学科的一些方法为我所用。其中“软件测试方法”是IT系统审计的重要方法之一,较为经典的测试方法是黑盒测试与白盒测试。另外,某些会计数据和其他信息只能以电子形式存在,或只能在某一时点或期间得到①,在IT审计时对于这些电子数据的获取极为重要,需要确保IT审计人员发掘和收集充足可靠的电子证据,最终生成审计报告。
三、完善IT审计体系还应借鉴传统审计
(一)借鉴传统审计中的绩效审计,加强其实践可行性
传统审计将审计的真实性、合法性和效益性作为审计的目标。为适应建立市场经济的需要,审计机关从2001年以前主要从事的真实、合法性审计到90年代初期,审计机关对国有企业的审计开始向检查内部控制和经济效益两方面的延伸,绩效审计的重要性逐步凸显。②由于IT项目的功能复杂性、结构庞大性、周期延长性,使得IT绩效审计很难准确地评价如此综合性的IT项目效果,如何完善IT绩效审计在实践上的可行性是摆在我们面前的一项重要任务。
IT绩效审计应充分借鉴传统绩效审计中的经济性、效果性、效率性特征,围绕这“三性”进行展开。在“经济性”上,为了以最低的资源耗费获得一定数量和质量的产出,可以通过多方面的改良提高其节约程度。如美国Gartner Group Inc公司研发的ERP系统,其自动化程度很好,从而提高了IT绩效审计的科学性与可行性,避免不必要的开支。在“效果性”上,力图在IT项目上实现绩效监控动态化,为企业提供丰富的管理信息,并在企业管理和决策过程中发挥作用,动态监控管理绩效变化,及时反馈和纠正出现的问题。在“效率性”上,提高企业物流、资金流、信息流一体化管理的效率并且要善于管理信息系统,对信息系统应用价值的实现是IT绩效审计的最重要方面。
(二)借鉴传统审计的风险管理,发挥其制约性作用
《企业内部控制基本规范》把“应当关注研究开发、技术投入、信息技术运用等自主创新因素”列为企业识别内部风险时应当关注的六个因素之一。③伴随IT而来的风险、利益和机会使得IT风险管理成为企业管理的重要内容,也是IT审计中应该完善的部分。
借鉴传统审计对于企业风险管理中风险评估、控制与防范的流程,结合IT风险管理的环境特殊性,程序复杂性和数据多样性等特点,对IT审计中的风险管理应按照“识别信息资产―威胁的量化和定性―评估漏洞―改进控制差距―管理剩余风险”的流程进行。首先,识别组织业务职能并确定每个流程的信息敏感度。然后识别流程的每一个组成部分的现有控制措施,按严重程度将控制差距分类。最后,通过风险等级、成本和有效性的选择,创建风险基准线,以便日后定期重新评估风险所用。
四、 总结
通过对IT审计与传统审计的比较研究,我们发现:在基本内容、程序和体系结构等方面,传统审计与IT审计是协调的。在IT审计的软件测试方法与电子取证方法上,较传统审计来说有其先进性。但是IT审计的不完善性也是显而易见的,可以在绩效审计、风险管理等方面借鉴传统审计的优点,逐渐使IT审计广泛应用于我国的审计行业之中。通过传统审计带动IT审计的方式,使IT审计取其精华,去其糟粕,逐渐发展成为审计行业的新锐力量,是我国亟待努力的方向。
注解:
① 审计准则第1301号:审计证据
② 蔡春,刘学华.绩效审计论[M],北京:中国时代经济出版社,2006
③ 陈耿,韩志耕,卢孙中.信息系统审计、控制与管理[M],2014
参考文献:
[1] 肖杰浩著.Oracle 10g 数据库安全策略研究[M],计算机科学技术,2004.
[2] 陈耿,韩志耕,卢孙中著.信息系统审计、控制与管理[M],清华大学出版社,2014.
[3] 于海霞,我国IT审计面对的挑战[J],中国管理信息化,2011.
[4] 陈耿,网络环境下的信息系统审计职能与类型[J],南京审计学院学报,2012(1).
it内部审计论文范文第7篇
关键词:风险 IT审计 研究
随着科技信息的不断发展,各种信息技术的应用,在全国范围内以及各行各业都非常广泛,那么,在这种趋势下,IT的审计风险也就在日益增大。尤其是以企业为主的有关审计,对于如何认识IT的审计风险,又应该如何有效地化解IT风险,这已经成为目前整个行业越来越关注的话题。现在,这一问题的解决,在国际上所通行的作法,就是对IT进行审计,本文就来详细地谈一谈关于IT审计的一些问题。
一、企业IT审计的主要概念
提起审计,每个人可能都很了解,就是对企业里经济活动的一种独立的监督和审查。那IT审计又是什么呢?这可能就会使很多人费解,其实理解IT审计并不难,与上面所提到的审计差不多,就是针对具体的IT活动进行独立的监督和审查。在这里我们要明确几个关于IT的基本概念:首先,我们要掌握IT活动的含义。IT其实是信息技术英文单词的缩写,信息技术和经济属于不同的概念,经济是社会上的一种具体现象,它主要是利用社会规范对其进行调整;而本文前面提到的信息技术,它是一种技术,是用具体的技术规范对此进行调整的。其实IT审计不仅仅是依据技术规范的信息对IT活动来进行审计,如果只有技术规范对其进行审计的话,就完全缩小了关于IT审计的主要范围。IT活动其实就是人的活动,其具体目的也是为人服务的,IT审计的主要范围不只包括IT的具体活动,还包括一些与IT活动有关的其他活动,只有这样,才能够保证关于IT的审计符合IT相关活动的具体要求。
其次,IT审计具有独立性。这也是审计活动中的基本原则。独立性要求的是审计主体与审计对象的相互独立,由此才能够保证IT审计结果的一种客观性。
再次就是IT审计的监督和审查。监督是能够使审计活动达到一个预期目标而对活动进行督促和监督,审计就是对IT审计中的某项活动进行核实。那么,IT的监督和审查程序就是为了预防IT可能发生的风险,督促、监视各种与IT相关的活动,并核实其符合规范性的具体活动。
二、对IT审计风险的具体理解和IT的制度规范
首先,风险就是某一个事件产生了我们不希望发生的后果的一种可能性。IT风险不能将风险局限在只有IT的考虑范围,IT作为技术,它必须是为组织目标服务,其实IT风险并不是IT本身所具有的风险,它是一种在组织引入IT技术后产生的风险,也就是说,它是组织风险。
IT与组织资产有紧密的联系,这种资产对IT组织来说是具有一定价值的,引入IT后,在这种资产的保护上就出现了一种新的薄弱点,外部对组织造成一定的威胁时,那么,组织的资产所具有的价值就可能会受到损害,由此,IT风险就产生了。
其次,关于IT的制度规范。要有效地防范IT风险,就必须要有一套严格的相关制度规范要求。拥有一个合理完善的IT制度规范体系,是有效防范IT风险的主要依据。IT的制度规范是有所区分的,第一种应该是法律规范,也是IT制度规范中强制性的规范,不管任何人在任何情况下都必须严格遵守,同时,法律法规也是审计的依据。第二种就是各大企业内部自主制定的相关制度规范。这种IT制度规范所体现的是一种强制性的制度规范,还具有两方面的特点:一方面它是为各大企业的发展战略目标而服务的;另一方面它要与IT活动存在的客观规律相符合。所以,企业所制定的制度规范的完善程度要能够促进企业自身发展目标的实现,切实贯彻强制性的规范要求,还要反映企业IT活动的各种客观规律。
三、IT审计的具体思路
首先,要认真学习并深入理解规范制度的强制性要求。其次,要结合企业的IT制度是如何对强制性规范进行规定的。再次,要了解企业内部资产价值的评估,以及企业的发展战略目标是怎样将这一规范制度体现出来的。最后,根据其资产的不同重要程度,要从最重要的开始,检查一个企业内部对所制定的IT制度规范具体的执行情况。另外,为了能够有效实现IT审计的目标,并且合理地使用IT审计资源,在进行审计的过程中,要对重要的评估,运用专业判断知识。要根据审计工作人员的公用标准或者职业判断,内控审计的结果,一些重要性的判断是离不开一定的环境的,审计工作人员,要根据具体的系统环境来确定其信息的重要性。
四、结语
总之,IT风险的防范,是目前各大企业所面临的一个最严峻的新挑战,同时,这也是一个企业在激烈的市场竞争中能够占据良好地位的新机遇。企业要及时做好有关IT风险的防范措施,其关键因素就是要进一步深入地理解一个企业内部的发展战略,及时摸清企业发展的现状,并在此基础上,逐步加强IT的审计工作,规范企业中IT的相关活动,为企业在市场竞争中能够取得良好的地位创造前提条件。
参考文献:
[1]陈阳.试论基于风险的IT审计[J].现代经济信息,2013(3)
[2]康洪艳.IT审计的更新[J].审计与经济研究,2008(2)
[3]安广实,陶芸辉.IT审计风险成因极其防范对策思考[J].中国乡镇企业会计,2012(8)
[4]吴越,俞文萍.通过IT审计加强金融企业风险管控[J].上海国资,2008(8)
it内部审计论文范文第8篇
在PCAOB(美国公众会计监管委员会)审计标准Ⅱ中也特别指出,IT控制设计很重要,不可低估控制设计在整个IT控制环境中的重要性,并强调IT控制能有力地支持整个内部控制环境。该标准又进一步指出:公司整体内部控制系统的有效性依赖于“其他控制是否有效”(指的是控制环境或IT一般控制的有效性)。 因此,理解IT控制与IT控制体系设计的相关理念,成为企业必备的重要能力。
首先,我们定义IT控制是由期望达到的(IT控制目标)和达到这些目标的方法(控制程序)构成。IT控制目标是指通过对具体的IT活动实施控制程序,以达到期望结果或目的的总体描述。可见,事实上,有效的IT控制设计与实施指明了一个组织将信息技术条件下的风险降至可接受水平的途径。这里IT风险指的是IT使企业不能实现其经营目标的风险。
然后,我们从人员职责、IT控制的构成和IT控制对象这三个角度来理解IT控制的外延:
1.从人员职责角度看:首先是以下三类人员的职责:
管理层――主要职责是确保控制存在并有效运行,为运营目标和控制目标的实现提供合理保证;
低层管理者与员工――主要职责是执行控制;
审计师――主要职责是对控制的正确性进行评估、提供改进建议及保证声明。
2.从IT控制的构成角度看:IT控制包括IT控制环境、IT一般控制、IT应用控制。
3.从IT控制对象与范围看:IT控制对象包括企业IT生命周期的所有流程。
实现IT控制,中国企业需要应对三大挑战
国内企业信息化建设速度越来越快,信息化水平越来越高,业务与财务报告流程对IT的依赖程度也随之越来越高。对大多数企业而言,运用整合的ERP系统,或综合运用各种经营管理、财务管理方面的软件,已经成为财务报告系统强有力的支持。
随着萨班斯法案的出台,财务报告的内部控制几乎离不开IT控制,即使业务层面的管理控制也是IT支撑环境下的控制。但是,信息技术是一把双刃剑,其潜在风险也越来越大,企业在建立有效的IT控制,以保证财务报告的有效性方面正面临着巨大的挑战。
但是,目前国内企业的内部控制体系多为传统的会计控制及管理控制,对IT控制缺少系统的考虑,企业的IT控制面临三大挑战。
挑战之一:CIO缺乏内部控制理论与实践。
以萨班斯法案的要求来说明,404条款的遵照执行有四个阶段:1.公司应制定内部控制详细目录,确定内部控制是否足够,然后将这些控制与诸如COSO之类的内部控制框架进行对照; 2.公司被要求记录控制措施评估方式,以及未来将用来弥补控制缺陷的政策和流程(如果有的话); 3.公司必须进行测试工作,以确保控制措施和补救手段起到预期作用; 4.管理层必须将前述三个阶段的各项活动情况汇总成一份正式的评估报告。
法案的要求使很多人认为,IT专业人士应该对其负责的IT系统所产生的信息质量及完整性负责,但问题在于,大多数IT专业人士对复杂的内部控制并不精通或了解,因此难负其责。尽管不能说IT人员没有参与风险管理,但至少IT管理层没有按照管理层或审计师所要求的形式进行正式的、规范化的风险管理。CIO(首席信息官)们现在到了不得不补课的时候了,当务之急是补充有关内部控制方面的知识,理解企业所制定的SOX遵循计划,才能专门针对IT控制拟定一个遵循执行计划,并把这个计划与总体的SOX遵循计划相整合。
挑战之二:缺乏系统的IT控制体系
事实上,每个企业或多或少都有一些IT控制制度,很多企业错误地把这些静态的控制制度等同于控制体系。现在越来越多的人认识到,我们需要的是“发现问题,解决问题;发现新问题,解决新问题”的持续改进体系。同时鉴于第一点原因,这些制度基本是由技术管理者制定,他们缺乏规范化风险管理的经验,这些IT控制制度可能不太规范且不成体系,控制程序也不够完善。IT控制制度一般存在于系统安全和变更管理等一般控制领域,缺乏从公司透明度角度出发、结合支持业务战略和业务流程的完整内部控制体系。
挑战之三:现有IT控制体系不具有可审计性
萨班斯法案相关的条款要求上市公司必须有足够的证据证明内部控制的有效性,这就要求企业必须有完善的内部控制流程及审计轨迹,在控制发挥作用的同时生成相应的文档记录,以便在对内部控制设计及运行的有效性进行评价时有足够的证据。
我国企业的IT控制程序设计及运行不具备可审计性。尽管很多企业有庞杂的规章制度,但该体系的完整性、有效性以及遵照执行情况缺少评价,或没有证据进行评价。
因此,我们构建IT控制系统时必须从全局着眼,借鉴国际内部控制框架及国际最佳实践经验,构建一套系统化、标准化、可审计、可持续改进的IT控制体系。
构建有效而持续的IT控制需要正确的理念、适合的内控框架和评估机制
对于企业,我们认为在构建IT控制体系时,需要从三个层面来考虑才能保证IT控制的有效性和持续性。为了更好地说明,笔者将以如何设计符合萨班斯法案要求的内部控制为例,来展示构建IT控制体系的主要思路,以供参考。
1. 要认识到构建IT控制体系是一个循序渐进的过程
SEC管制条款内容复杂,为了满足萨班斯法案的要求,大多数企业需要调整其员工观念和企业文化,通常也需要对IT系统及其处理流程作一些改进。改进的内容包括控制设计、控制文件、控制文件的保留,以及IT控制的评估等方面。这是一个循序渐进的过程,不能将原有的一切推倒重来。鉴于在美上市的中国企业多为国有企业,这些企业的规章制度普遍较为健全,所以对于它们而言,更为重要的是如何根据内部控制的理念和原则,结合企业的实际情况,对不符合萨班斯法案404条款的各项差距进行分析、弥补、测试和改进。这项工作的顺利开展需要企业人员具备相应的理论知识和实践经验,因此,IT控制和风险管理培训就成为贯穿始终、必不可少的一项重要工作。
2. 要选择好内部控制框架
法案并没有规定公司必须选择什么样的内控框架作为管理层评价内部控制有效性的依据, 需要企业自己选择。国际上比较有名的内控框架有英国的Turnbull、美国的COSO 和加拿大的CoCo , 它们从不同的角度剖析公司的经营管理活动, 为营造良好的内控框架提供了一系列政策和建议。PCAOB审计标准Ⅱ在“管理层用于开展其评估的内部控制框架”一节中,明确管理层要依据一个适当且公认的、由专家遵照应有程序制定的控制框架,来评估公司财务报告内部控制的有效性,SEC也从侧面认可COSO框架。COSO 认为,内部控制是由企业董事会、经理层和其他员工,为合理保证实现企业营运的效率及效果、财务报告的可靠性及合法合规等目标而实施的一系列过程。内控框架的构成要素包括控制环境、风险评估、控制活动、信息和沟通、监督五个方面。这套理论得到了包括SEC、公司管理者、投资者、债权人及专家学者的普遍认可, 国外许多公司都依据这个框架建立了内控系统。我国公司也可以按COSO 建立内控框架, 逐步与国际管理模式接轨。通过引入COSO 内控要素, 形成一个相互联系、综合作用的控制整体, 使单纯的控制活动与企业环境、管理目标及控制风险相结合, 形成一套不断改进、自我完善的内控机制。
尽管COSO正在成为理解和评价内部控制的全球性框架。但是,COSO不是唯一的控制框架,在有些情形下甚至可能不是最好的或最易于使用的框架,尤其是在COSO框架中没有考虑到对IT控制目标和相关控制活动的具体要求。目前,COBIT(信息系统和技术控制目标,Control Objectives for Information and related Technology)正在成为更好地理解信息技术环境下内部控制的国际公认框架,该框架由美国IT治理研究所(ITGI),是一个IT风险管理与IT控制的综合性分析框架,由覆盖信息化生命周期的4个域、34个IT控制目标、318个详细控制目标组成。COBIT也涉及企业经营、合法合规等方面的控制。因此,该框架可作为制定IT控制目标、审计、管理和执行方针的依据。COBIT不是COSO框架的替代品,而是COSO框架的有力补充,这是因为在信息技术条件下,管理层、IT人员、审计师都需要理解和记录IT相关流程、流程中资源利用情况,以及支持这些流程的控制。
尤其是那些信息资产密集型或高度依赖于自动化处理的企业,理解和评估信息技术条件下的内部控制是一项巨大的挑战,但也是实现萨班斯合规性的关键之处。COBIT对评估这种环境下的内部控制会特别有效,COBIT的全部控制目标为审计人员寻求实施萨班斯法案404条款内部控制评审提供了强大的支持。不过对于初涉COBIT框架的人来说,其庞杂体系令人望而却步,其指南分散在有很多图表构成的多卷本中。并且,COBIT自1996年问世以来,在很长的一段时间里,许多审计人员单纯地将COBIT看作是专门的信息系统审计工具,认为它对其他审计工作帮助不大。我们认为,虽然COBIT的重点仍然在于IT,但是所有的相关人员包括审计人员都要研究COBIT框架,并将它作为一款优秀的控制框架,用于帮助实现萨班斯法案的合规性要求(COSO、COBIT与SOX的对应关系见图1)。
整合运用COBIT与COSO作为构建IT控制的框架,是将两种国际公认框架进行优势互补。同时在确定控制点、控制程序、留下相应审计轨迹时,也可以参考IT运营、信息安全方面可审计的国际标准管理控制体系ISO20000、ISO17799等。
3. 建立一套自评估机制,确保内部控制系统的持续有效
众所周知, 企业的发展阶段、和管理状况以及外部环境的变化都是决定企业内控体系建立和有效运行的前提。任何内控体系都只是在一个特定的历史阶段有效。法案要求管理层每年都要对内部控制有效性做出声明,这也迫使公司必须建立一套控制自评估机制,评估内部控制体系设计、执行是否有效,以支持管理层的声明。同时,自评估机制也可以帮助公司发现控制薄弱区和控制漏洞,及时审时度势,弥补内控体系的缺陷,确保内控体系持续有效。这也正是萨班斯法案所要求的。
控制自我评估(CSA)是指企业内部为实现目标、控制风险而对内部控制系统的有效性和恰当性实施自我评估的一种方法。国际内部审计师协会(IIA)在1996年研究报告中总结了CSA的三个基本特征:关注业务的过程和控制的成效;由管理部门和职员共同进行;用结构化的方法开展自我评估。CSA最早出现在20世纪80年代末期,但其最主要的发展是在90年代,特别是在1992年COSO报告公布之后。COSO报告首次把内部控制从原来自上而下财务模式的平面结构发展为更全面的企业整体模式的立体框架。传统的内控评价方法只能用来评价诸如财务报告,资产与记录的接触、使用与传递,授权授信,岗位分离,数据处理与信息传递等的“硬控制”。在新的内部控制模式下,迫切需要评价包括公司治理、高层经营理念与管理风格、职业道德、诚实品质、胜任能力、风险评估等的“软控制”。在这种情况下,作为一种既可以用来评价传统的硬控制,又可以用来评价非正式控制即软控制的机制,CSA得到了普遍的信赖。
自评人员首先选择要评审的内控流程, 然后对其设计的健全、合理性进行评价, 如果设计合理, 则测试其运行的有效性, 最后进行综合设计测试和运行测试, 评价内控系统设计的合理性和运行的有效性。如果设计测试结果为不合理, 则直接进行内控系统的评价, 而不再进行运行的有效性测试(见图2)。
内控系统设计测试是指为了确定被审计单位内控政策和程序设计合理、恰当和完善进行的测试。合理的标准即控制设计与目标相关、恰当和完善, 能有效保证信息的机密性、完整性和可用性。运行有效性测试是指为了确定被审计单位的内控政策和程序在实际工作中是否得到贯彻执行, 并发挥应有的作用而进行的测试。执行有效的标准即内控政策和程序在实际工作中得到了贯彻执行并发挥了应有的作用。
为了评估企业内部控制水平,指导企业进行差距分析并确定改进目标,建议企业借鉴成熟度理论,描述企业IT控制有效性的各种等级。
Level 1 不可靠级 不可预知的环境,在这种环境中,控制活动没有设计或不适当;
Level 2 不正式级 控制与披露活动已设计并适当,但没有充分记录。控制更大程度上依赖于人,没有正式的控制活动培训与沟通;
Level 3 标准级 控制活动已被设计并适当,控制活动已被记录并在员工之间进行了沟通。控制活动的偏离可能不被发现;
Level 4 监控级 标准化的控制,有定期的有效性测试并向管理层报告,有限的利用自动化工具支持控制活动;
Level 5 优化级 一个整合的内部控制框架和实时的管理层监控与持续改善 (全面风险管理),运用自动化工具支持控制活动,也许组织在需要的时候对控制活动进行快速变更。
就某个内部控制目标而言,一些企业可能愿意接受等级不高于3的IT控制。考虑到萨班斯法案 “外部审计师应就控制出具独立的鉴证”这一要求,审计师对一些关键控制活动的有效性水平不能低于3级。
自评估的各种控制测试评价,有助于企业监控完善企业内部控制,也有助于管理者对内部控制有效性做出一个明确的评定,并最终以报告书的形式对外呈现,用以表明IT控制系统总体的可靠性及完整性。控制不是一件简单的事情,而是一个过程,需要对其不断地评估和改进,以符合当前经营的实际需要。这也必将成为IT部门组织文化的一个部分。
it内部审计论文范文第9篇
一、证券公司开展信息系统内部审计面临的问题和难点
(一)中小券商IT审计环境有待改善。
《证券期货经营机构信息技术治理工作指引》要求“证券公司应建立内部IT 审计制度,至少每两年进行一次IT 审计”,但一些中小券商的IT内部审计业务开展还不够深入。首先表现为公司高层对IT内部审计认识不足、信心不足:一是对内部审计的认识依然停留在传统的财务审计领域;二是认为内部审计难以胜任,信息系统专业性强而内部审计根本不具备专业能力。其次,作为被审部门的信息技术部门因其专业性强的特点,从未接受过内部审计,因此,工作上存在抵触情绪。再次,内审部门的人员也有畏难情绪,一旦IT审计不到位,必将加大审计风险。上述情况导致其内部审计很难在该领域有效开展。
(二)信息系统审计资源限制。
IT审计人员与审计技术工具是影响信息系统审计的两个重要资源因素。内部审计准则第28号要求,IT审计人员应当通晓IT技术并掌握内控、管理和审计技能。而实际工作中,在企业具有多年IT从业经验又具备审计技能的复合型人才较为缺乏。2002年中国大陆引入注册信息系统审计师(CISA)考试培训以来,截止目前获得CISA资格的人也仅1000余人,专业人才资源的缺乏制约了券商有效开展专业的信息技术审计。
审计技术工具是影响IT审计系统质量与效果的另一个关键因素。鉴于IT审计技术性和专业性极强的特点,内部审计部门配备访问控制分析软件、系统配置分析软件、测试数据生成器、固件监测器等技术工具往往又受制于企业的财务预算限制和公司对信息技术的安排。
(三)信息系统审计标准缺乏。
COSO-ERM框架提出企业的风险管理应建立在一系列指标或标杆基础上实施事项识别、风险评估与应对。证监会2011年12月以行业标准(JR/T 0060-2010)形式颁发的《证券期货业信息系统安全等级保护基本要求》也对证券公司设置了五个等级的安全保护能力标准,券商应根据业务发展和风险控制能力制定适合本企业的风险控制等级标准。但实际工作中,还存在券商并未建立IT控制基准或基准建立没有涵盖所有系统的现象,这就造成了IT审计中缺乏标准和依据。
(四)信息系统风险的识别与评估的体系尚未建立。
在证券公司日常业务中出现的服务器宕机、通信中断、网络病毒等方方面面的风险事件,会给证券公司带来巨大损失。很多情况下,证券公司对IT风险的管理仍然停留在风险发生之后的分析与补救,没有形成一套对潜在风险开展系统化的识别与评估的方法,定期的风险识别评估机制的缺乏、审计环境基础薄弱成为开展风险导向型信息系统审计所面临的一个难点。
二、证券公司开展信息系统审计的对策
中国内部审计协会2009年1月1日正式施行的《内部审计具体准则第28号——信息系统审计》也标志着国内在内部审计领域开展的IT审计走向成熟,准则的颁布对证券公司信息系统内部审计工作具有重要的指导意义。针对证券公司信息系统审计所面临的问题和难点,本文从以下方面探讨其解决方案。
(一) 促进内部审计环境的不断改善。
内部审计效能发挥的关键取决于公司高层对内部审计的态度,为营造良好的内部审计环境应从以下三个方面入手:
1.加强内部审计准则和风险导向审计理念的宣传。证券公司高层对现代内部审计在企业全面风险管理(包括IT治理)中作用正确认识,才能使内部审计能够从公司高层获得信心支持、立项支持与财务支持,IT审计才能有效地开展。
2.内部审计应该树立主动服务意识与沟通意识。开展IT审计不只是对IT系统的检查和问题的揭示,更应该是协助公司高层,帮助信息技术部门把控IT风险,防范证券业务风险。因此沟通技巧也是有效开展IT审计的重要影响因素。内部审计部门在沟通方面,应积极主动与公司高层加强沟通以获取支持,与IT管理部门平等、协作取得IT部门的理解、配合,目的在于维护IT系统的安全运行。
3.内部审计人员不断加强信息系统学习。IT审计人员应该积极掌握和熟悉内部审计业务,具备必要的信息技术及信息系统审计的专业知识,克服畏难情绪,知难而进,树立“有为才有位”的观念。
(二) 建立并实施内部审计发展规划,化解IT资源稀缺的矛盾。
证券公司应该结合行业的发展、业务的开展和管理的需要,重新定位内部审计,建立内部审计发展规划,将审计资源稀缺问题纳入到证券公司的整体发展规划之中。
1.内部审计部门应该结合业务的发展,配备适当的IT审计人员。通过内部培养、外部引进相结合的方式发展IT审计人员,鼓励审计人员取得注册信息系统审计师职业资格,通过人员选聘、培训、技术设施配备等措施化解IT审计资源不足的矛盾。在审计部门暂时不具备IT审计能力的情况下,内部审计部门可以聘用外部专家或内审业务外包的形式开展IT审计,通过审计成果,提高内部审计的履职效能。
2.证券公司应结合业务发展和审计的需要给予必要的支持,在系统权限、专业审计工具引入、财务预算分配等方面放宽限制,确保IT审计质量和审计效果。
(三) 推动证券公司建立明确的IT控制标准。
建立并应用明确的IT控制标准作为审计依据可以提高审计的质量与效果。鉴于证券监管机构已推出《证券期货业信息系统安全等级保护基本要求(试行)》等行业规范,在物理安全、网络安全、主机系统安全、应用安全和数据安全等技术上的五个层面以及安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面已做了明确的要求,IT审计人员应在审计过程中推动公司建立适合公司自身的IT控制标准。
在企业尚未建立全面、明确的IT控制标准情况下,审计人员应当根据实际情况,结合企业战略、目标、风险偏好及成本效益等因素,采用国际通用标准与成熟实践(如COSO、COBIT、ISO27001等)作为审计的依据,同时推动IT治理层对这些标准的认可和采用。
(四) 积极探索IT审计方式,促进IT治理不断完善。
内部审计部门应结合本公司的实际,在IT审计开展初期,审计部门应加强内部审计准则和证券行业的IT监管要求的宣传,使公司从董事会、经营层到业务部充分了解IT控制规范,认识IT治理、防范IT风险的重要性。审计部门通过选派审计人员深入IT业务部门蹲点学习,开展系统的IT调研和IT自查活动等,帮助IT部门发现问题,共同探讨解决方案,提出富有成效的建议。通过转变IT审计方式与成果运用,引领、促进IT控制标准的建立,IT自我评价标准机制、IT监测机制的改进,促进IT治理的不断完善,从而为IT内部审计的有效开展创造良好的环境条件,以达到相互促进,共同发展的目的。
(五) 建立完善的信息系统审计策略。
1.建立系统化的审计实施流程。实施信息系统审计的首要任务是找出证券公司所面临的各类信息系统风险,对所有的信息系统风险进行系统地分类与识别。内部审计部门对风险的识别和评估有别于IT部门的定期风险自查式识别、评估,它是建立在IT风险评估基础上的再评估,审计中不仅关注对识别风险的控制恰当与否,还要从第三方角度发现未识别和未控制的风险,评价风险识别机制,这也正是IT审计的核心所在。
2.建立系统化的风险识别标准。我们在进行风险识别过程中,采用中国内审协会《内部审计具体准则第28号——信息系统审计》,它对信息技术风险的分类进行了规定,将各类IT风险归类为组织层面的IT风险、一般性控制层面的IT风险及业务流程层面的IT风险3个层面。
其中,组织层面风险是指IT治理、控制环境与组织框架等方面的风险;一般性控制层面的风险主要指IT基础设施与运行风险;业务流程层面风险指应用系统在业务数据输入、处理与输出过程中所产生的风险。各层面风险既有独立特征,又相互关联。
我们在对IT风险识别过程中,可以借鉴国际通用的IT风险控制的分类方法,如COSO框架的5项要素(内部环境、风险评估、控制活动、信息与沟通、监控)或是COBIT框架的4个领域(计划与组织、获取与实施、提供与支持、监控与评价)。尤其是通过将现行内部审计具体准则与COBIT相结合的方式,可以更加系统与清晰地对IT风险进行有效识别。
3.设计并运用适当的风险评估模型。风险评估过程是对已经识别的证券公司IT风险进行风险度、重要度的测量与排序。风险评估的技术与方法有很多种类,不同的风险评估方法也有不同的优势与缺陷。我们根据证券公司IT风险特点设计了“综合矩阵”评估方法,即主要针对信息系统的技术复杂性、控制水平以及可能造成的财务损害等因素在规定的范围(如根据风险高低取值10-0分)内以定性与定量相结合方式进行风险评分,并对累计分值排序,决定审计的优先级。
it内部审计论文范文第10篇
(一)日本ICOFR评价依据:两个层次。日本ICOFR评价依据包括两个层次:法律法规层次———2006年6月日本议会通过的《金融商品交易法》;技术规范层次———2007年2月日本企业会计审计会正式的《关于财务报告内部控制评价与审计准则以及财务报告内部控制评价与审计实施准则的制定(意见书)》和同时颁布的《财务报告内部控制评价与审计准则》(简称为评价与审计准则),以及《财务报告内部控制评价与审计实施准则》(简称为实施准则),要求上市公司自2008年4月1日以后开始进行会计年度ICOFR的评价与审计。以上法规共同为企业管理层以及公认会计师对ICOFR评价提供指导。日本内部控制评价与审计准则主要由三部分组成:内部控制基本框架、财务报告内部控制评价及报告和财务报告内部控制的审计。“财务报告内部控制评价及报告”和“财务报告内部控制的审计”分别阐述了管理层对财务报告内部控制的有效性评价和注册会计师进行审计的思路。
(二)日本ICOFR的基本框架———超越COSO框架。在借鉴美国SOX法案主要内容的基础上,日本在意见书中规定了全新的内部控制框架,提出了建立内部控制的四个目标和六个基本要素。四目标:除了COSO报告中包括的提高业务活动的效率性、财务报告的可靠性与经营活动的合法性三个目标外,还增加了“资产保全”目标。内部控制的基本要素,除了吸收美国COSO报告中的关于控制环境、风险评估、控制活动、信息与沟通和监控被多数国家认可的五要素以外,考虑到随着IT环境变化发展,IT渗透企业以及信息系统反馈与ICOFR制度密切相关,日本增加了“对IT的应付”这一新的基本要素。IT的应对在内部控制框架中体现了日本信息技术的飞跃发展对组织产生的深刻影响。IT内部控制是日本内部控制框架的重要特征。在管理层评估内部控制有效性时,日本与美国都是采用自上而下基于风险导向的方法。但与美国不同的是,日本意见书实施准则规定:由管理层评估使用IT的控制是评估业务水平控制的重要内容。实施准则包括:使用IT内部控制的评价、评价范围的决定、评价单位的认定及使用IT的内部控制的构建状况和运行状况有效性的评价四方面。
(三)日本ICOFR评价———与财务报告审计相关联。具体体现在:(1)ICOFR评价与财务报表审计协同进行。两个审计过程可由同一个注册会计师执行,并且可互相利用对方的审计证据。这样可以缩小测试范围,减少审计工作量和降低执行成本。(2)主要评价与财务报告相关的内部控制。内部控制是一个非常广泛的概念,日本审计准则的内部控制评价范围只与财务报告相关,这与美国相同。日本准则同时对公认会计师进行ICOFR的评价范围做了要求,其内容主要包括管理层对内部控制评价范围的适当性、评价范围所选择方法的合理性、内部控制有效性评价适当性以及内部控制重大缺陷的报告适当性等几部分。(3)内部控制评价报告原则上可与财务报表审计合并编制。所以日本财务报告内部控制评价执行标准是与财务报告审计相关联的。日本以上的做法也是基于成本效益原则的考虑。
二、美日经验对我国的借鉴
美国的财务报告内部控制体系较为成熟,而日本的经济和人文环境与我国较为相似,美、日两国ICOFR评价经验对于我国上市公司如何实施ICOFR评价具有重要的借鉴意义。
(一)关注IT的应对。2008年6月我国五部委联合了《企业内部控制基本规范》,表明我国在内部控制评价和审计中取得了重大成就。但基本规范中提出的我国内部控制五要素中不包括内部控制IT的应对,这不得不说是一个缺憾。目前IT环境迅速发展,IT已渗透到企业经济业务的各方面,组织的业务内容在很大程度上依赖信息技术,组织信息系统与IT高度结合,如果离开了IT信息技术上市公司将无法进行业务活动。上市公司各项业务活动对IT的应对已成为公司实现内部控制目标必不可少的内容,因此我国应借鉴日本的做法,将IT的应对作为内部控制的基本要素之一,及时制订与IT内部控制相关的I-COFR评价和审计的具体措施。
(二)通过法律形式对我国I-COFR的有效性评价进行强制性规定并严加监管。我国开展内部控制评价和审计工作时间不长,取得了一定的成就,企业内控重视程度、经营管理水平、风险防范与应对能力都有显著提高,但也存在不少问题。截至2012年12月1日,沪、深交易所共有2492家上市公司,其中2244家披露了内部控制评价报告,占比90.64%,还有9.36%没披露;有2236家上市公司未披露内控缺陷,占比99.64%,8家上市公司内控存在重大缺陷。内部控制审计情况:2012年共有1532家上市公司披露了内部控制审计报告,占比仅为61.48%,其中内控审计结论为标准无保留意见的为1506家,占98.%,非标准意见的是26家,占1.7%。从中可以看出,目前还有不少上市公司未披露ICOFR评价和审计的情况,公司财务报告的可靠性无法得到保证。所以我国有必要借鉴美国的做法,通过法律形式对ICOFR的有效性评价进行强制性规定。为了更好地推动内控规范体系的落地,应针对不同行业以及企业现实需求,研究特殊行业运作特点、共性风险和行之有效的控制措施,及时制定和行业实务指南。针对目前有些公司内控缺陷认定的随意性,监管部门应研究制定内控缺陷认定指南。在修改《会计法》、《证券法》等相关法律法规时增加内部控制相关条款,提升内控要求的法律层次,进一步明确企业及相关中介机构对内控的责任。要建立健全考试和培训制度,将内控的规范知识纳入到会计从业和专业技术职称考试以及继续教育的内容中,培育壮大内控专业技术队伍人才。财政部、证监会及派出机构要加大监管资源的投入,形成合力,加大对有关企业、会计师事务所和咨询机构实施规范体系的监督检查力度,坚决查处内控评价工作走过场、缺陷认定不客观、评价结论不适当和内控信息披露不充分的违规违法行为。
it内部审计论文范文第11篇
此次年会围绕“公司治理与IT治理、‘萨班斯法案’、IT控制”三个核心议题,广泛、深入地探讨和推广中国企业在风险管理时代“三个结合”,即公司治理与IT治理相结合,全面风险管理与IT治理相结合以及六方(CEO、CFO、CIO、COO、CKO、CMO)协作的理念。
公司治理与IT治理相结合
1997年的亚洲金融危机、2002年美国股市丑闻,蓝田股份和银广夏的利润神话破灭事件,以及2005年年初相继出现的创维、伊利股份、三九集团等上市公司高管涉案,完善公司治理机制、有效管理企业风险正在成为企业议事日程中和企业财务高管们最重要和最迫切的任务。
我国政府将建立有效的公司治理机制视为“现代企业制度”建设的核心内容,而加入WTO的承诺使得全面系统地处理这一问题显得更加紧迫。国务院国资委主任李荣融曾表示,目前上市公司所出现的问题都与公司治理结构不完善有关。国资委要与证监会正联合推动国有企业完善公司治理结构。
公司治理的效率、效果直接依赖于许多的制度要素。这既包括审计和信息披露的质量,也包括法律系统对契约的监督以及对外部投资者的保护能力等。例如在逆向选择的框架下,我们可以看到:一个更好的会计标准和更及时的信息披露要求将大大减轻经理人与外部投资者之间的信息不对称,从而便利了融资,降低了风险。因此,公司治理的核心问题是信息不对称性或不完全性,解决公司治理问题,最核心的是公司信息的真实、准确以及处理与传递的效率问题,而IT技术在实现透明度原则和体现监控力度上正日益成为有效的工具。由于许多在美上市企业的核心业务都依赖IT系统,因此,2002年美国颁布的“萨班斯法案”对公众公司提出了更高的要求,公司应定期评价其信息系统及其内部控制的充分性,来保证提供给投资者信息的准确和完整,强调公司管理层建立和维护内部控制(尤其是IT控制)及相应控制程序充分有效的责任。因此,研究IT治理,加强IT控制,降低风险,有效地实现公司治理,成为全球关注的话题。
十六届五中全会通过了《中共中央在关于“十一五”规划的建议》中明确提出了今后五年时间内公司治理与内部控制、全面风险管理时企业改革的重点,“加快国有大型企业股份制改革,完善公司治理结构。加快建立国有资本经营预算制度,建立健全金融资产、非经营性资产、自然资源资产等监管体制,防止国有资产流失;”“完善金融机构的公司治理结构,加强内控机制建设;”“完善对境外投资的协调机制和风险管理,加强对海外国有资产的监管”;“健全金融市场的登记、托管、交易、清算系统。完善金融监管体制,强化资本充足率约束,防范和化解金融风险。”
ITGov(中国)IT治理研究中心主任孙强在发言中指出:未来公司治理和IT治理对企业的影响一定是革命性的,并且这种影响直接关系到中国企业的国际竞争力,可以说国际竞争很大程度上就是公司治理和IT治理的竞争。孙强认为没有完善的公司治理和IT治理,我国企业首先在利用国际市场筹资方面就输给了竞争对手,产品市场的竞争必将更加困难。因此,不进行治理实践改革的公司在想获得资本,加速发展时,将发现自己处于竞争劣势。
尽管现实距离最终理想的公司治理和IT治理看上去有些遥远,但实际上今天的公司治理与IT治理已经不仅仅停留在概念炒作的层面。目前很多研究机构、IT厂商、咨询企业都已就IT如何在公司治理、全面风险管理中发挥新的使命,纷纷提出了整合的理念、框架和解决方案。
全面风险管理与IT治理相结合
在2004年底,国资委组织召开的中央企业负责人会议上,国务院黄菊副总理强调指出,要完善企业内部管理制度,高度重视风险的防范和管理,要建立健全企业法律顾问制度,增强依法经营的能力和水平。国资委李荣融主任也提出企业要善于识别风险、规避风险、控制和化解风险。随后,由国资委企业改革局牵头,起草了国内首部企业风险管理指导性文件―《全面风险管理指导纲要》,目前已经进入征求企业意见和论证修改的最后阶段,即将出台。《全面风险管理指导纲要》适用于所有中央企业,要求企业在经营管理的各个环节和业务过程中执行风险管理的基本流程,建立健全风险管理的组织体系、信息系统和内部控制系统。
孙强先生在题为“公司治理、IT治理与中国企业的国际竞争力”的主题演讲中认为:在全球风险的时代,所有的企业,不论其规模、结构、性质或产业是什么,风险管理都将是必不可少的。有效的风险管理和机会管理将成为竞争优势的源泉。同时,随着IT重要性的增加和普遍应用,IT将被整合到所有的生产过程与经营管理体系中去。所以,IT的风险亦将显著影响到组织的战略执行及目标的实现。在这种情况下,将全面风险管理与IT治理整合起来推动,就成为必然的选择。孙强还认为一旦中国企业形成了与企业文化相适应的良好治理结构,这就是我们企业的国际核心竞争力。
内部控制责任:“六方”相结合
国资委全面风险管理专家组成员孟秀转女士认为:不仅仅是管理人员、内部审计师或董事会,组织中的每一个人都对内部控制负有责任。确立这种指导思想有利于将组织中的所有员工团结一致,使其主动地维护和改善企业的内部控制,而不是与管理层对立,被动地执行内部控制。这样才能实现我们企业所期望的“发现问题,解决问题,发现新问题,解决新问题”。她特别倡导六方(CEO、CFO、CIO、COO、CKO、CRO)打破原有职责范围局限,携手参与到公司治理、合法合规等实践中来,共同肩负起内部控制的责任,最终形成“内部控制人人有责”的企业文化。
符合“萨班斯”的IT控制与信息系统审计
“萨班斯法案”最主要的特征之一表现在:法案要求组织机构使用文档化的财务政策和流程来改善可审计性,并更快地拿出财务报告。要求企业针对产生财务交易的所有作业流程,都做到高透明度、可控制、实时风险管理并防治诈欺,并且这些流程必须有可追查到的交易源头的详细记录。
如何构建满足“萨班斯”要求的内部控制,管理层如何评价这些控制设计与执行的有效性,外部审计师如何鉴证管理层对其内部控制的评价并出具审计报告?在会上国资委全面风险管理专家孟秀转女士就这些问题从三个方面作了详细介绍:
第一,“萨班斯法案”对IT 部门、对管理部门提出了哪些内部控制要求,特别是对 IT 的控制目标要求。第二,“萨班斯”内部控制的审计标准。控制目标做的怎么样,控制措施设计的是否恰当,执行的是否有效,需要有审计师进行评价,在这个评价的基础上找到内控的弱项,以便于我们企业弥补。这是因为符合“萨班斯”的过程是一个持续的过程,并且内部控制受控制成本的固有限制,不可能完美,需要根据环境的改变不断的完善。 第三,符合“萨班斯”的信息系统审计工具与审计流程。按照PCAOB的内控审计标准,如何对内部控制给予恰当的评价,这可能是企业的高端人员非常关注的问题。“萨班斯法案”要求企业的高管人员对内控的有效性做一个评价。所以管理者、内部审计师、外部审计师都非常需要有一套审计的工作流程,以帮助他们对内部控制,包括IT控制做一个相对客观的评价。
孟女士指出,在信息时代企业的整个交易和业务以及财务报告的产生,都是基于企业IT基础架构的服务。管理层要保证财务报告的有效,就不可能忽略IT的控制。 在PCAOB建议的内部控制构建与评价工具COSO 框架中缺少对IT 内部控制的关注。所以国际上关于IT的内控基本上是采用Cobit 标准。在IT部门中采用 Cobit 框架的话是一定要符合 COSO 要求的。除此之外,Cobit控制框架也可以帮助企业建立和完善与 IT有关的内部控制目标和控制活动的设计。Cobit 是流程化的内控,它将IT的生命周期划分为四个构成领域。除此以外,IT控制也要参考 ISO20000,这是IT服务管理领域的国际标准,长期支持企业的运营,保证财务报告的数据真实合法,并且是完整、安全的IT的运维过程。ISO20000 是关于IT支持业务和财务报告产生过程中的管理控制框架。这个框架的特点就是一系列标准化的可审计的IT服务流程和程序。财务报告审计无保留意见的前提是财务信息的安全。关于信息安全的一个国际标准ISO27001,也是被广泛采用的IT内控构建与审计的工具,其中总结了39 个内控目标和 133个详细的控制措施。
Cobit 、ISO 20000 和ISO27001不仅是构建IT控制体系的指导,它们本身就是一个可审计的控制流程。PCAOB在“萨班斯 404”内部控制审计标准Ⅱ中关于IT部分的审计就是参考了Cobit:应用控制与一般控制的审计。
最后,孟女士总结说,“萨班斯”IT控制和审计一定要在高管层内达成统一的认识。不要认为IT控制与审计 是IT的事,财务只管财务控制,人为地把两者割裂起来。我们的业务是建立在 IT基础上运营的,所以必须将它作为一盘棋考虑。 还有一个就是我们建议在构建内部控制框架时,要借鉴国际标准,这是国际上多年实践的总结,我们可以少走弯路。
PCAOB针对“萨班斯404”条款提出审计要求:审计师在评价内部控制时,不得绕过计算机系统,必须了解从业务产生、业务处理到产生财务报告的完整计算机处理过程,确保整个过程都有充分、适当的控制,并评价这些控制的有效性。
“萨班斯404”给审计师提出了挑战:必须对影响财务报表的信息系统进行审计。不仅如此,“萨班斯”也给企业内部控制人员、内部审计人员及风险管理人员提出了挑战。目前国内外都缺乏既懂技术又擅长风险评估、内部控制以及审计的人才。IT风险评估、IT控制以及信息系统审计的人才缺乏是我们通过“萨班斯”大考的关键问题。
“合力”应对“萨班斯”
毕博管理咨询公司大中华区董事Rolan Spahr博士认为,对员工的培训必不可少,要使员工认识到现在企业存在的风险。应该让每个员工都对风险有一种责任感,这样才能提升我们整体的业务。这是体现在个人生活当中遵循的原则,这也适用于在激烈的竞争中的公司需要。
甲骨文公司高级董事Lane Leskela先生在介绍波音公司财务变革与“萨班斯”合规项目时说,讨论内控问题,就是要看企业在不同阶段的变化。“萨班斯法案”要求我们提供企业不同时期变化的数据,所以企业必须使得数据尽量的简化、及时。同时,还要在这个流程中加入能够提高运营效率的东西。
在财务变革的过程当中,企业必须了解能从这场变革中获得什么。有很多公司在过去几年都为符合“萨班斯法案”的要求做出了努力,他们甚至需要改变企业的流程来适应“萨班斯法案”的规定。因此,风险管理非常重要,如果处理不好,这种改变会对企业内部的业务带来风险。我们的经验就是,企业要学习这些好的经验,借鉴其他公司的做法,给本企业的财务管理过程带来一些新的想法。此外,得到管理层的支持也很关键。管理层的支持可以确保整个过程是有效的。最后,就是要使财务改革和合规项目之间实现互动。
在本次会议中,来自美国翰宇国际律师事务所的律师Amy Sommers女士也从律师的视角从美国上市公司的历史谈起,从背景上帮助大家理解 “萨班斯法案”出台的历史背景和带来的影响,并详细介绍了法案主要涉及的关于公司治理、信息披露、公司检举人保护等问题。
it内部审计论文范文第12篇
[关键词] COBIT IT外包 风险管理
一、COBIT标准综述
COBIT(Control Objectives for Information and related Technology)是美国信息系统审计和控制协会ISACA(Information Systems Audit and Control Association)基于其原有的控制目标体系(Control Objectives),结合并改进现有的正在发展中的其他国际技术标准和工业标准而制定的控制目标体系,是国际上最先进、最权威的安全与信息技术管理和控制的标准。COBIT控制目标体系是一个较完整的信息系统管理和控制的参考模型,它将政府和企业的信息化归纳为34个IT处理过程,并逐个提出指导意见。通过将COBIT应用到信息系统的开发和实施环境,可以为管理人员、开发人员和审计人员来强化和评估信息技术外包风险的管理和控制提供依据。
二、IT外包的风险分析
企业IT外包处于IT战略中的资源管理层面,是帮助企业将注意力更多地投入到商业管理而非信息技术管理,进而更专注地追求核心竞争力的一条途径。尽管IT外包愈来愈普及,但外包失败的案例并未因此而减少。IT外包风险的表现就是外包失控。由于把部分或全部IT资源外包给企业外部的服务商,企业对服务商的管理就要比管理自己的IT部门复杂得多,时刻会面临失控,主要表现在以下三个方面:
风险一:IT外包可能会在服务的及时提供和服务的质量方面达不到预期效果。
风险二:企业对承包商的依赖度高反而降低了企业的灵活性,企业成本不降反升。
风险三:企业的商业机密可能会被泄露,知识产权可能会被盗用。
三、基于COBIT的IT外包风险管控体系
COBIT的控制目标主要是针对信息系统的管理控制和运行控制,COBIT提出的控制目标可以应用到所有的信息系统。因此,它的控制目标对IT外包系统来说大部分是适用的,但因其业务特殊性,必须结合发包企业的具体环境和承包商的实际情况,加以修改、补充和完善。
1.组织与规划
系统规划是IT外包项目建设的第一步,包括发包企业的战略目标、政策和约束、计划和指标分析;发包企业原有的建设目标、建设模式;企业信息的功能结构、组织、人员管理;IT外包的效益分析和实施计划。规划的好坏对IT外包项目的建设的成败有至关重要的影响。
整个信息系统的建设要以优化企业的核心业务流程,提高工作效率,更好地发挥企业综合协调与服务的职能为总体目标。规划必须满足:规划本身应当明确无误而且易于理解,应当是一个可以为大多数人所理解和认同的概念。规划必须得到领导小组的认可;规划目标应当是可衡量的;规划必须建立在对内外信息调查的基础上制定。
2.获取与实施
系统分析是在充分的调查的基础上对企业内部的整体管理状况和信息处理过程进行分析。系统分析的工作量非常大,所涉及的业务、人、数据和信息非常多。而且在实际情况中,企业信息化的需求难以一次确定,并且会不断发生变化;另一方面,承包商对政府的具体业务业并不熟悉,常常会发生理解上的偏差,从而导致建模的错误。因此,完成的系统分析必须满足以下一致性、完整性、现实性和有效性这四方面的要求。然后在系统分析的基础上,研究承包商外包方案的可行性,制定相关技术标准、实施规范。
3.服务与支持
发包企业的需求是不断变化的,商业目标也是随着企业的发展而逐步更新的,承包商要做好完善的数据跟踪,在可行范围内满足发包企业的需求,不断改进和修正开发计划中遇到的问题和缺憾。
4.审计
IT外包项目在发包企业实施以后,系统的可靠性、安全性和有效性是非常重要的,系统中的信息成为政府最宝贵的资源。内部审计是在政府内部建立信息系统审计组织,由内部信息系统审计人员对电子政务系统的可靠性、安全性、有效性进行检查与评价,将结果报告给政府管理层。内部信息系统审计部门,从组织地位上来讲必须独立于政府的IT职能部门和最终用户部门。
构建基于COBIT的信息系统管理、控制与审计模型,将便于人们对信息系统建设与应用过程的理解与分析,指导人们建立相应的机制,将信息系统建设与应用的全部过程置于有效的管理与控制之下。对信息系统的投资者和管理者,将帮助他们在通常不可预测的IT环境下平衡风险与投资。对信息系统的使用者,将通过管理、控制和审计为他们提供安全保障和一定的服务水平。对审计师而言,将帮助他们明确审计轨迹,使他们做出的鉴定和劝告更具说服力。
四、总结
通过构建基于COBIT标准的信息技术过程集,我们可以把对IT外包的风险管理细化到各个过程,构建过程的风险管理模型,从而化繁为简,使复杂的IT外包业务管理、控制和审计结构化。对IT外包拥有正确的风险管理思想为指导,能够促进健全的管理机制建立,便于技术与工具的应用,使风险管理过程更加规范化。
it内部审计论文范文第13篇
地点:赛迪大厦18层会议室
形式:中计在线嘉宾现场对话
对话嘉宾:
王卫乡
中国中信集团公司管理信息部副主任
周梓滔
德勤华永会计师事务所有限公司企业风险管理服务高级经理
钱晨
科索路咨询公司副理
田海波
北京锐思盈泰科技有限公司董事副总经理
无内控等于慢性自杀
主持人:企业内部控制的目的是什么?有什么需求?
钱晨:企业内部控制的目的是在保证实现公司战略目标前提下,对存在的风险进行控制。无论董事会还是全体员工都要对企业披露的信息的可靠性负责,但最终责任会落在董事会上。
IT内审的引入是因为在给上市公司内控评估时,IT是其中的一个重要的组成部分和方法。
主持人:请德勤公司的周经理谈谈中国企业的内控跟国外企业的有什么差异?
周梓滔:主要是在理解法案、标准时可能会不一样,因为中国的国情和中国企业的管理方法跟国外企业不尽相同。比如说,国外企业可能会成立专门的审计委员会,但国内企业可能会把审计委员会放在某一个组织里面,如在财务部,这就造成了独立性的不同。
主持人:作为用户的代表,请王主任讲讲中信集团在内控方面是怎么考虑的?
王卫乡:目前中信集团有好几家上市公司,如刚上市的中信银行,中信证券、中信国安等。我们一直非常关注企业内控,其中包括IT内审和萨班斯法案。我们的审计部是唯一一个由集团公司董事长直接分管的部门。
实际上,从我们公司上一任董事长王军开始就一直特别强调内控。他曾指出:“没有发展的内控等于慢性自杀,没有内控的发展,发展越快损失越大”。中信集团自1979年成立到现在快30年了,一直都保持快速发展。在高速发展的20世纪90年代中期,我们深感管理手段和发展的速度不匹配,导致有些项目最后失去控制,并造成很大的损失。
现在我们已经采取了一些技术手段,并引进了一些软件来加强审计,如加拿大的ACL审计软件。我们的内部审计目前主要强调的内容包括:离任审计――像下属的子公司领导任期换届,中长期项目在项目实施过程中是否存在重大失误的专项审计,其他的,如下属的公司层面,因资产的分布不是很均衡,金融业务领域是由金融控股公司的风险管理部来主抓。
主持人:各位嘉宾能否总结一下信息技术对企业内部控制的价值是什么?
钱晨:IT是企业内控的一个重要内容和手段。现在多数企业都会用到IT系统,很多流程都嵌入到IT系统中,企业内部控制也应该对IT系统进行控制。同时,我们在进行内部控制的时候,也应该通过IT手段来辅助实现。
周梓滔:我们看到一个很重大的改变:以前内部控制都是通过手工来实现的,非常复杂;现在借助IT系统来实现内控,效率大大提高了。另外,对IT系统进行控制,可以优化系统,提高系统性能。
王卫乡:任何事情都有两面性,IT技术可以帮助我们进行内部审计、获取更加及时、有效的信息,但是如果不加强对IT本身的审计,可能会被人利用,拿这个工具去做不正当的事情。所以要从观念上重视IT内审。
田海波:从客户的反应上也可以看到IT内审的价值。我们之前是做电信行业的BOSS系统的,在跟客户接触过程中发现客户对IT内审的需求很大。因为客户觉得内控工作非常烦琐,希望能够借助有效的工具来帮助他们轻松实现。
主持人:那么,企业应该怎样进行IT内审呢?
周梓滔:如钱经理所言,IT审计有两个方面,一个是对IT进行审计,另外一个是利用IT技术来进行审计。首先要看IT有什么东西要做审计:现在很多ERP系统中已经就内部控制做了设置;另外可以利用DQI方法(利用数据库、程序去运行大量数据可以帮助企业分析发现业务上的问题,以供企业进行调整)。这是一个非常有效的审计方法。
对IT进行审计是指对整个IT环境各方面的审核工作,如信息安全、软件开发、系统维护等。
钱晨:也有说法认为IT控制有两个方面:一个是应用控制,即IT必须对业务流程进行某些控制;另一个是通常性控制,对于支撑公司运作的IT基础技术架构平台进行有效管理控制。
主持人:我听一个在香港上市的企业的CIO说,IT内审对他们来说就是会计师事务所给他们提供一个与IT相关的表格,他们只需按照这个表格的要求来执行就可以了。是这样的吗?
王卫乡:没有这么简单。这可能要牵扯到两个部门:一个是IT部门,一个是审计部门,实际上这是跨两个领域的事情。
周梓滔:我们给企业做IT内审的时候,要先了解被审企业的情况,了解他们的业务范围是什么,管理层对IT管控持什么样的看法,然后再按我们的方法论对风险较高的地方进行审计。
业务不同,IT审计的策略也就不同。比如一个企业拥有大型的数据中心,并依赖该数据中心为客户提供服务,那么该数据中心的物理环境安全就是非常重要的环节。但如果是一个销售企业,他们的IT系统会相对简单,数据中心的物理安全也会影响他们的财务数据,但要求就不那么高了。
IT内审谁在喝彩
主持人:去年大家都对IT内审比较关注,但是最近好像没什么大动静了。实际情况是这样吗?出现这种情况的原因又是什么呢?
周梓滔:我看到的情况有点不同。刚才王总说得很对,现在做IT审计的人并不多。企业如果成立专门的IT内审部门成本太高,所以往往会外包给一些第三方公司来做。
上交所、深交所要求他们的上市公司也要进行内控,其中IT内审是很重要的环节。有些母公司在国外的跨国企业在IT内审方面做得比较多,因为他们的网络、系统是全球化的,要符合母公司所在地相关法规的规定。
国内的一些大型企业在这方面也有很大的改善。但我们发现需求增加的速度比IT内审提高的速度要快很多。其中很重要的原因就是专业IT审计人才的缺乏。比如说有个全国性的银行,他们的IT审计部门只是一个小组,很难进行大的推动。
王卫乡:银行、电信企业强调IT审计取决于他们的业务特点。银行的服务器坏了可能会影响一大片。
此外,企业本身环境的要求或者政府的管制要求也很重要。美国政府已经以法案的形式来进行约束。其实国内前几年也发生过不少因为内控失效造成重大损失的案例,那在目前牛市的情况下,如果还不加强控制的话,影响就会更大。
没人喝彩好像是没有动静,但不能说就没有行动。我相信政府一直在推动,我们企业也在考虑怎么加强这方面的工作。当然,如果将政府和企业两者结合起来,推动的效果会更好。
田海波:我们涉及这块业务是因为我们有一个电信客户希望能从数据模型角度来评估系统设计是否满足其业务需求,要对软件实施过程中阶段性成果进行验证。这是IT内审的一部分。
主持人:在国内上市的公司也同样那么重视IT内审吗?
周梓滔:深交所、上交所的《指引》中提出的内控要求主要是针对上市企业。但是随着相关法案的出台,越来越多的国内上市企业意识到了IT 审计的重要作用和影响,很多公司已经开始了相关的工作。
王卫乡:我觉得企业进行内控往往从自发和自觉两个角度出发。从自觉的角度来做内控的企业,很明白内控对企业发展的好处。如果企业要发展,是不可能不去做这方面工作的,应该是一个自发的行为。有些上市公司大张旗鼓地宣扬自己的内控做得怎么好,这实际上是他们自己应该做的。
主持人: IT内审的推广还有哪些比较现实的问题呢?
王卫乡:我觉得最难的还是观念问题。如果在观念上没有重视这个事情,其他的技术再高超、完善,但如果不去用,那就一点用都没有。
还有一个问题就是现在很多企业的信息化建设还不尽如人意,在这种情况下强调太多的IT审计还没有必要。
主持人:IT内审是一个中长期的工作,上市公司该怎么看IT内审的运作成本和收益?
王卫乡:我个人认为这个投入非常值得,既能够维持公司良好的运转,又能够比较好地监控公司运转的状况。IT审计是一个提供保障的机制,不会直接创造效益,但是它至少不会让已经创造的效益流失。
钱晨:对。也许企业什么都不做也能成功运转很长时间,但风险永远是存在的,像“9•11”那样的小概率事件也是会发生。
王卫乡:为此,我们公司建立了金融的灾备中心,是和运营中心分开的。这应该是IT审计或者企业内控的一个重要组成部分,而且尤其对大型企业来说特别重要。
周梓滔:当企业很大程度上依赖IT的时候,IT内控不但能够帮助企业理顺业务流程、培养人才和提高技术能力,能够降低风险、提升能力,还能推动业务模式的转变。我们有个客户,他们的IT部门原来是个成本中心,后来通过IT内审优化业务模式,使他们公司的服务达到了世界一流水平,很多国外公司都来找他们咨询。后来这个公司的IT部门因此慢慢成长为一个咨询公司。
中国路线怎么走
主持人:各位认为适合中国国情的IT内审规范应该是什么样的?
王卫乡:这个问题很难回答。但是全球化以后,很多中国企业都在海外上市,要求我们去适应海外交易所的法规,同时也会带来一些好的做法,我们可以借鉴一下。
主持人:那中国的IT内审规范应该怎么来做?
周梓滔:IT内审并不是因为萨班斯法案才有的,这在上个世纪80年代就开始有了。当时行内人已经为通过打孔机从电脑上提取数据的计算机进行IT审计。现在随着IT技术的发展,IT审计的内容、方法、技术等各方面都已经发生了变化。
钱晨:我们可以先西学中用,把国外做得好的拿过来借鉴,再对用得不好的加以改进。
田海波:我觉得中国IT内审如果能够形成一个大的产业链会更好,像当初推项目管理时那样,对相关的咨询、培训起了很大的推动作用。
主持人:很多企业不知道自己的IT内审该如何开始,请各位给他们提点建议。
周梓滔:首先可以找我们这样的专业机构来做。如果企业一定要内部自己做,自己培养人才,可以让IT部门负责信息安全的同事去学习一些审计知识――信息安全是IT审计的一部分。但这样有很多东西需要学习和推动,可能历时比较长。
主持人:内部控制标准委员会公布了《企业内部控制规范――基本规范》和17项具体规范(征求意见稿)。不知道各位对这个征求意见稿有什么期望?
周梓滔:征求意见稿不仅参考了萨班斯法案,还参考了很多其他地方的法规,对信息安全、系统运作、应用系统开发等各个方面都有所提及。但是有一点值得我们注意,很多法规都已经推行好几年了,我们应该充分吸取这些法规推行后的经验和教训,并加以消化吸收。比如说,要充分考虑企业内控的成本。
钱晨:我国对上市公司的内控监管还不够,远远达不到萨班斯法案那样的力度。
王卫乡:说到监管力度,我们可以分别来看看欧洲、美国和中国三块市场。对市场的监管力度最强的是美国,欧洲比较温和。从历史上看,欧洲的贵族文化本身对自律性要求比较高,在欧洲上市的公司如果运作不好,自动就退市了。美国虽然只有200多年的历史,但相关制度为他们的发展提供了有力的保障。如果运作不好就有强硬的措施逼着它退市。我觉得中国应该兼顾这两个市场的特点。我们有5000年的文化,好的地方要继承下来,不好的地方要通过制度来完善。希望现在的征求意见稿能起到这个作用,真正实现对上市企业的违规行为的约束。
详情请见中计在线“阡陌三人行”访谈实录(.cn/Special/InternalAuditing/)
链接:有关IT内审的外包
周梓滔:企业如果成立专门IT内审部门成本太高,可以外包给专业的第三方公司来做。
王卫乡:我赞成这个观点,IT内审业务的外包是比较可取的,因为这对技术要求很高,而且需要经验。
钱晨:IT审计外包更能够体现审计结果的独立性。如果IT部门本身既做系统管理又做系统的审计,这本身就是一个矛盾的问题,看问题就不会很客观,也会造成利益的冲突。
中国中信集团公司管理信息部副主任 王卫乡
IT审计包括对IT系统的审计、通过IT辅助审计工作和审计管理的信息化。
德勤华永会计师事务所有限公司企业风险管理服务高级经理 周梓滔
我们应充分吸取其他地方相关法规推行后的经验和教训,并加以消化吸收。
科索路咨询公司副理
钱晨
内部控制的目标是在保证实现公司战略目标的前提下,对存在的风险进行控制。
it内部审计论文范文第14篇
关键词:商业银行;IT审计;数据;必要性;方法;展望
中图分类号:F239 文献标识码:A 文章编号:1001-828X(2013)12-0-01
一、商业银行进行信息系统审计的意义
(一)商业银行日益依赖信息系统。商业银行信息系统一般可分为信息管理类系统、渠道类系统和外部清算结算类系统。
1.信息管理类系统与决策、管理和业务相关,以提高效率和规避风险为目的,主要有贷款系统、征信系统、客户管理系统、资产负债管理系统、办公自动化系统、档案系统(票据影像缩微系统和光学字符识别OCR)、数字终端录像系统、数字视频监控系统等。
2.渠道类系统是商业银行面向市场和客户的窗口,也是对外服务使用的载体,包括人工渠道、电子渠道和第三方渠道。人工渠道有柜面服务和职能部门的业务终端(例如会计账查询系统等);电子渠道分为自助服务系统(电话银行、手机银行和网上银行)和自助服务终端(ATM和P0S);第三方渠道包括银联交易、区域性通存通兑和同城跨行通存通兑等。外部清算类系统是指有外部接口的系统,包括行间资金转账系统SHFT,主要有大额清算系统、同城交换系统、同业往来清算系统和第三方存管清算系统。
(二)大数据时代将到来。随着信息系统的大力发展,商业银行信息系统出现了爆发式的增长,银行业务越来越依赖信息系统,商业银行的竟争很大一部分是靠信息战。目前,各大银行都实现了数据的总行大集中,信息数据己经成为银行的核心竟争力之一,大数据时代即将到来。
(三)监管当局的外部要求。随着金融业对信息系统的依赖度越来越高,国家相关部门对信息系统的管控也越来越重视,自2006年8月《银行业金融机构信息系统风险管理指引》开始,银监会正式对银行科技风险进行监管,近年来推出一系列制度和措施,监管工作逐步走向规范化。通过IT审计来保证和监控全行的信息科技管控对各级监管政策法规的合规性,也成为银行业实施IT审计的重要目的之一。
二、商业银行IT审计标准
商业银行IT审计,以国际最佳实践及相应的规则做为审计依据。主要有:
1.COBIT最佳实践模型
COBIT(Control Objectives for Information and related Technology)是由信息系统审计与控制基金会最早在1996年制定的IT治理模型。这是一个在国际上公认的、权威的安全与信息技术管理和控制的标准,其最大的作用是将IT过程、IT资源与企业的策略和目标联系起来,保障企业的IT战略目标和其业务发展目标的一致性。
COBIT4.1版本中经典的体系框架包括了实施简介、实施工具集、高层控制目标框架、管理指南、具体控制目标、审计指南等一系列文档。
2.监管部门颁发的《商业银行信息科技风险管理指引》
2009年的《商业银行信息科技风险管理指引》(以下简称《指引》),定义了商业银行信息科技风险的总体框架,即在当前商业银行普遍的信息科技现状下,可能存在的重大信息科技风险的范围,使商业银行的风险管理过程,能够集中精力在相关领域。
《指引》确定了九大管理领域,即:信息科技治理;信息科技风险管理;信息安全;信息系统开发、测试和维护;信息科技运行;业务连续性管理;外包;内部审计;外部审计。这些领域覆盖了信息科技管理的大多数重要活动,这些活动中存在的风险,可能会对业务产生重大影响,因此对这些领域的风险识别和管理,应当在信息科技风险管理中优先对待。
在这九大领域中,IT审计占两个,分别是内部审计和外部审计。而《指引》本身,就是一个针对银行的框架完整的IT审计标准,银行可以参考这个标准,开展IT审计工作。
3.其他IT审计标准
除了以上两个标准,实践中还可使用其他标准,如,由于信息科技的细分领域众多,在进行某些细分领域的专项审计或单领域审计时,可以考虑单独使用某些国际或国内标准作为审计标准,从而达到更深入和专业的目的。比如,在进行信息安全方面的审计时,可参考ISO27001等国际标准或国内标准SSE-CMM;在审计IT运维、IT服务的交付和支持相关领域时,可以考虑采用ITIL作为审计标准;银行应当依据自身特点,结合本行信息科技工作的特点以及每次IT审计的目的和范围,有选择地采用审计标准。
三、银行业IT审计展望
(一)加强以风险为导向的IT审计
银行IT审计职能和角色也在过去这些年发生了不少变化,从以合规审计为主的工作,逐渐变成了活跃的内部或外部业务顾问。如前文所述,基于风险的银行IT审计工作将成为银行IT审计的主流工作方法。
(二)计算机辅助审计技术(CAATs)会在IT审计中得以广泛应用
计算机辅助审计技术是指审计人员在审计过程和审计管理活动中,以计算机为工具,来执行和完成某些审计程序和任务。
计算机辅助审计包含两个层次的内容:第一个层次是指在审计业务中利用电子表格、数据库、字处理常规软件中的一些功能,或审计人员自编的一些小程序,帮助审计人员计算、复核、分析审计数据。第二个层次是指利用专门的辅助审计软件进行项目审计。在开展行业审计时,根据审计工作方案,编制专门的审计汇总软件,自下而上,从审计底稿开始,对审计情况进行逐级汇总。对于银行业来说,实施成熟、适用的审计辅助软件,也成为IT审计的一个发展方向。
it内部审计论文范文第15篇
[关键词]IT审计;挑战;策略
随着信息技术的兴起,信息系统已经渗透到社会生活的方方面面,它在给人们带来便利与效益的同时,也带来了很多负面影响,如计算机犯罪案件的频频发生等,系统安全问题日益严峻。于是一个不容回避的问题——我国企业如何有效地开展信息技术审计(InformationTechnologyAudit,以下简称IT审计),保证信息系统安全,摆在我们面前。本文拟对此进行探讨。
一、IT审计的定义及其特点
IT审计是指对信息系统从计划、研发、实施到运行维护各个过程进行审查与评价的活动,以审查企业信息系统是否安全、可靠、有效,保证信息系统得出准确可靠的数据。由以上定义可知,IT审计的目标是保证IT系统的可用性、安全性、完整性和有效性,最终达到强化企业内部控制的目的。
该审计过程具有以下特点:
1.IT审计是一个过程。它通过获取的证据判断信息系统是否能保证资产的安全、数据的完整和组织目标的实现,它贯穿于整个信息系统生命周期的全过程。
2.IT审计的对象综合且复杂。IT审计从纵向(生命周期)看,覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务;从横向(各阶段截面)看,它包含对软硬件的获取审计、应用程序审计、安全审计等。IT审计将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。
3.IT审计拓宽了传统审计的目标。传统审计目标仅仅包括“对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见”;但IT审计除了上述目标外,还包括信息资产的安全性、数据的完整性及系统的可靠性、有效性和效率性。
4.IT审计是一种基于风险基础审计的理论和方法。IT审计从基于控制的方法演变为基于风险的方法,其内涵包括企业风险管理的整体框架,如内部环境的控制、目标的设定、风险事项的识别、风险的评估、风险的管理与应对、信息与沟通以及对风险的监控。
二、我国IT审计面对的挑战
IT审计和传统审计相比具有的上述特点是吸引我国众多企业引入IT审计的重要原因,但是这种方法的应用又会给企业提出巨大的挑战。
1.传统审计线索的消失。在手工会计环境下,审计线索主要来自于纸质原始凭证、记账凭证、会计账簿和会计报表,这些书面数据之间的勾稽关系使得数据若被修改可辨识出修改的线索和痕迹,这就是传统审计线索的基本特征。但是现在计算机网络信息系统中这些数据直接记录在磁盘和光盘上,无纸张记录,审计人员用肉眼无法直接看到这些数据如何记录,且非法修改删除原始数据也可以不留篡改的痕迹,从而为舞弊人员作案留有可乘之机。尽管许多审计机构要求已实现会计信息化的企业将所有原始凭证、记账凭证、账簿、报表打印输出,使用绕开计算机系统的审计方法,并以打印出的证、账、表作为基本审计的线索和依据。但是如果原始数据在业务发生时就被有意篡改,则其派生的记账凭证金额和账户余额及报表数据也一定会出错,打印出的数据也不能作为审计证据。因此即使打印出所有电子数据,传统审计线索也会在计算机信息系统下完全消失。
2.计算机信息系统的数据安全面临挑战。手工信息处理的环境下,审计人员无须将数据和会计信息的安全性问题作为审计的重要内容,但是在IT审计的工作中,网络电子交易数据的安全是关系到交易双方切身利益的关键问题,也是企业计算机网络应用中的重大障碍和审计的首要问题。例如计算机病毒的破坏、黑客用IP地址欺骗攻击网络系统来获取重要商业秘密、内部人员的计算机舞弊、数据丢失等,都是传统审计从未涉及的,但又是IT审计的重点,这对当前我国的审计工作无论是操作系统,还是制度建立等众多方面都是一个很大的挑战。
3.IT审计专业人才匮乏,适应IT审计事业发展的人才培养和管理机制还有待建立和健全。由于IT审计固有的复杂性,这项工作需要具备会计、审计、组织管理和计算机、网络技术等综合知识的人才,而且工作人员需要对内部控制和审计有深刻的理解,对信息和网络技术有敏锐的捕捉能力,在我国获得注册信息系统审计师资格的人数远远不能满足信息系统审计业务的需求。
三、我国IT审计应对策略
面对上述挑战,我们应当多方位、多角度制订措施,使IT审计工作更好地为我国企业发展做出贡献。具体措施如下:
1.审计线索的重建。根据计算机网络系统容易在不同地方同时形成相同“原本”数据的特点,可以重建电子审计线索:在电子化的原始数据形成时,同时在审计机构(包括内审机构)和关系紧密(签字确认)的部门形成原始数据的“原本”,或在不同部门各自形成相关的数据库(特别应当包括数量、金额和单价等主要数据项),这样不仅可以相互监督和牵制,还给计算机审计提供可信的审计线索。这种保留审计线索的方法,一方面成为有力的控制手段,另一方面可从审计线索中发现疑点。这种方法主要是应用专用的审计比较软件,同时将几个部门的同一种数据库进行自动比较形成有差异的数据记录文件,详细审查相关的数据文件和访问有关的当事人,从而取得有力的审计证据。上述比较审计方法是在不同部门同时形成业务数据文件的情况下应用,如果企业业务数据分离存放,如销售合同与销售发票、提货单在不同的部门保存,这种实质性测试也可采用比较审计法,应用专用的审计软件,结合相关的几个业务数据文件进行比较,查出有错误疑点的记录。
2.确保信息系统的信息安全。为了保证信息系统的信息安全,IT审计工作人员要在审计过程中评价企业的防火墙技术、网络系统的防病毒功能、数据加密措施、身份认证和授权的应用实施情况,通过面谈实地审查企业安全管理制度建立和执行的情况,查看企业是否为了预防计算机病毒,对外来的软件和传输的数据经过病毒检查,业务系统是否严禁使用游戏软件,以及是否配置了自动检测关键数据库的软件,使异常及时被发现;检测企业是否为了防范黑客入侵,网络交易的数据库采用离散结构,同时在不同的指定网点(如在交易的双方)形成完整的业务数据备份供特殊使用(如审计和监控);此外IT审计人员还要注意检查企业的信息系统岗位责任实施、安全日志制度,审查有关计算机安全的国家法律和管理条例的执行情况。
