信息系统审计论文范文1
(一)企业应加强内部控制
随着市场经济的深入发展,企业逐步成为自主经营、自我约束、自我发展、自我完善的商品生产者和经营者。在“优胜劣汰、适者生存”的市场经济中,企业要想真正的做到“自主经营、自我约束、自我发展、自我完善”,必须要加强内部控制,建立有效、完善的内部控制制度,这样才能在一个绝对的高度上,对企业进行高瞻远瞩的控制,才能做出与时俱进的决策。
(二)内部审计是企业内部监督机制的重要组成部分
内部审计也是企业内部控制的一个重要的组成部分,是监督内部控制其他环节的主要力量。内部审计通过对控制环境和控制程序的有效性进行监督,评估企业的内部控制是否被执行,是否及时反馈有关执行结果的信息,是否帮助企业更有效地实现预期控制目标。同时,在监控过程中,内部审计可以促进控制环境的建立和改善,为改进控制制度提供建设性的意见,为企业建立健全所需要的内部控制水平服务。在内部控制的监督过程中,内部审计发挥着越来越重要的作用。
二、内部审计在防范信息系统风险中面临的问题
(一)信息系统安全管理机制不健全
企业信息系统风险的存在,很多是由于管理不善或控制不严造成的。一方面,缺乏一套统一的安全策略体系来指导安全管理工作,无法建立系统内部明确、全面的安全规范要求。从现有管理制度规范来看,主要存在的问题是可操作性差,条理不清、重叠或遗漏等;另一方面,现有安全管理制度的管理对象基本是网络系统管理员等技术部人员,管理对象没有全面涵盖所有信息系统技术相关人员,包括所有网络系统上的内部终端人员和外部人员。
(二)内部审计在信息系统风险防范中的角色缺乏独立性
内部审计的角色发生了转变。从传统的事后审计而逐渐转向事前和事中审计,主动参与内部控制系统的建立和完善。内部审计人员即承担着评价硬件和应用信息系统安全的任务,如果又同时有参与了系统的开发和实施过程,那么内部审计人员就却乏独立性。反之,如果处于对丧失独立性的担心,内部审计人员有可能会拒绝参与系统和软件的开发,那么系统开发过程中存在的风险又无法得到控制。
(三)内审部门技术力量薄弱造成对信息系统审计形成风险
审计稽核部门的技术力量薄弱,不熟悉业务系统的流程和功能,对信息系统缺乏必要的认证能力和标准。突出表现为以下几个方面:一是实施审计稽核的手段和方法没有得到及时更新,不适应信息系统管理的要求,大部分仍停留在手工审计阶段;二是审计稽核部门对计算机账务系统实施审计的依据仅依赖于被审计单位提供的打印资料或事后资料,计算机账务的真实性审计很难得到保证。
三、加强风险防范的措施和对策
(一)构建信息系统安全管理组织及规范体系
加强信息系统的自我风险评估体系,让信息系统的管理和技术人员在自身的职责范围之内正确识别和评估潜在操作风险,主要包括内控制度的查漏补缺、工作流程的整理和规范、应急预案完善和演练等。同时加强对操作人员的管理,规范操作程序。一是加强密码管理,明确规定操作人员的权限,操作员必须在规定的权限内办理业务,用户口令及密码必须专人专用,严禁公开口令及密码;二是要建立健全操作员岗位目标责任制,对网络操作人员要明确目标任务,规范操作程序,严格落实奖惩制度。三是要严格岗位设置,不相容职务进行分离。严禁系统管理人员、网络技术人员、程序开发人员和前台操作人员混岗、代岗或一人多岗。四是要加强系统内部的稽核监督检查。稽核监督应贯穿于网络操作的全过程,重点是加强对系统设计开发、内控管理制度落实、操作运行等方面的(二)关注信息系统的稳定性、安全性和有效性审计
首先,审计人员应运用用一定的技术方法识别系统的完整性,该过程包括检查、测试、评估系统的内制,以保证系统的稳定性;其次,审计人员应评价系统存在的风险和可能产生的后果将成为审计的核心工作和基本内容,保证信息系统的安全性。应根据审计的标准和准则,评价控制环境的和IT基础设施的安全,确保系统满足组织的业务需要,保护信息资产的安全完整,以防非授权使用、泄露、修改、损坏或丢失;最后,还应鉴别信息系统的有效性。内部审计必须理解并熟悉操作环境,了解系统技术的复杂性及其对决策的影响;对来自内部的安全隐患,采用一定的方法进行系统诊断、检验、测试,评价其有效性及效率,以支持组织业务目标的实现
(三)改善内审机构,提高内审人员素质,培养信息系统审计师
为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价。信息系统审计师也称lS审计师或IT审计师,是指那些既通晓信息系统的软件和硬件(包括信息系统的开发、运营、维护、管理和安全等),又熟悉经济管理的内部审计人才。
(四)聘请专家进行协助
内部审计人员的知识、技能和经验虽然有助于信息系统的风险防御,但现实中必须承认,在企业中同时具备计算机技术和审计专业知识的人才非常短缺。再出色的内部审计人员可能面临一些系统内的专业问题却无法解决,因此有必要聘请外部专家。可以通过专家的协助测试运用其专业技能测试系统安全,进一步防范和解决信息系统风险的存在。
论文关键词:内部审计信息系统风险防范
论文摘要:内部控制是社会经济发展到一定阶段的产物,其内容在不断的发展与变化,而内部审计是内部监督机制的重要组成部分。目前计算机信息系统已在企业中广泛使用,而在内部审计过程中如何加强计算机信息系统的风险防范,是企业内部控制过程中迫切需要解决的问题。
企业信息系统化的运用,原来的手工控制则变为手工与电脑控制相结合或全部由电脑自动进行控制。计算机信息系统的广泛使用,与技术管理相对薄弱和稽核监督的长期空白已形成了尖锐的矛盾。信息系统风险控制能力差的现状,迫切需要我们加强风险管理和监控。
信息系统审计论文范文2
【关键词】 信息系统审计;信息系统审计理论结构逻辑起点;信息系统审计理论结构框架
任何一个成熟的学科,都应在总结实践成果的基础上,构建一个完整的、相互关联的、合乎逻辑的理论框架。信息系统审计也是如此,它需要建立一个由各审计概念构建而成的、足以支撑并指导审计实践的理论框架。在研究信息系统审计的理论框架时,首先明确信息系统审计的相关概念是非常重要的。
一、信息系统审计的概念
(一)与信息系统审计有关的几个概念
信息系统审计是一种新兴的审计类型。尤其近年来,国外对信息系统审计的研究增长颇多,国内的研究和应用也呈上升趋势。在我国广泛开展对信息系统审计研究过程中,不可避免地采用和借鉴国外关于信息系统审计的研究成果。因此,不同的翻译和认知所导致的一个现象是,有关信息系统审计的名词大量出现,在学术方面有着不同的涵义和理解。
本文在研究和分析的基础上,试图借鉴前人的学术成果,并加之自己的理解,对现有名词进行甄别,对有关信息系统审计的相关概念的理解提出新的看法。涉及到的概念包括:EDP审计,信息技术环境下的财务审计,信息系统审计,IT审计,计算机审计,计算机辅助审计。在明确这些概念的同时,也可以看出信息系统审计从萌芽、发展、成熟到普及的发展历程。
1.EDP(Electronic Data Processing)审计,即电子数据处理审计。EDP审计可以看作是信息系统审计的雏形。美国学者F・坎夫曼在1961出版了第一本有关EDP审计的著作――《电子数据处理和审计》,此书被看做是信息系统审计的萌芽,但此时还未出现“信息系统审计”这个名词。而当时的EDP审计,也就是指针对电子数据及其处理过程的审计,审计的对象不是进行电子数据处理的计算机信息系统,而是被审计机构的电子数据处理过程和结果及相关的控制。1987年美国EDP审计师协会了《信息系统审计的基本准则》(General Standards for Information Systems Auditing),正式提出了信息系统审计这个名词;1994年,EDP审计师协会正式更名为信息系统审计与控制协会(Information System Audit and Control Association, ISACA),标志着EDP审计这个名词正式退出了历史舞台,由信息系统审计全面取代。
2.信息技术环境下的财务审计,是指运用计算机技术对被审单位的财务收支及其他活动进行的审计,对被审单位的财务收支活动的真实、合法和效益发表审计意见。从这个定义可以看出,信息技术环境下的财务审计,“依然是对被审计单位财务收支活动和会计资料是否真实、正确、合法和有效所进行的审计。这不仅表现在审计的具体内容上,而且还表现在审计的对象、目标、依据、时间、执行者等方面” 。由此可以看出,信息技术环境下的财务审计,即为我们日常工作中,口头上一般所指的“计算机审计”,但是显然,“计算机审计”这个名词的涵义要大于信息技术环境下的财务审计,这不能不承认是使用者对于计算机审计理解的误区。另外,与传统审计相比较,信息技术环境下的财务审计的区别在于,后者是随着信息技术的发展而产生的,是为了适应信息技术在企业财务会计活动中的广泛应用而产生的,并且是现在以及未来审计的发展方向。
3.信息系统审计,也称为IS审计(Information Systems Audit,ISA),简单来说,是对被审计单位信息系统的安全性、可靠性、有效性和效率所进行的审计。有关信息系统审计的定义,下文将进行具体阐述,在此只讨论信息系统审计这个名词的产生原因及与其他相关概念的区别与联系。信息系统审计的产生,与审计人员对内部控制和风险的重视有着十分重要的关系。随着信息技术的发展,传统的内部控制发生了变化,信息系统的安全性、可靠性与有效性已经直接影响被审单位的财务信息质量。因此,信息系统审计的产生是顺应时展需要的。
4. IT审计,也叫信息技术审计(Information Technology Audit ,ITA)。有观点认为,“IT 审计与信息系统审计是不完全相同的,信息技术审计虽然也是针对系统的审计但更加强调对信息技术的审计以及审计过程中信息技术手段的运用,” 本文的观点认为,信息技术审计与信息系统审计从审计方法到审计对象、目的、内容和准则都没有区别,不需要将二者作为不同的概念加以区分。此外,到2009年3月为止,由国际内部审计师协会(IIA)出台的全球信息系统审计指南(GTAG)中,对于信息技术审计和信息系统审计也未加以区分,并且明确指出,“本书中IIA所使用的信息技术审计,其实质就是信息系统审计。 ”
5.计算机审计(Computer Audit ,CA),在我国这个名词最早见于肖泽忠教授的《计算机审计》一书(1990),是与传统手工审计相对应的概念。经过多年的研究和发展,虽然对于计算机审计尚无一个统一的定义,但一般认为,计算机审计基本包括两方面的内容:一是指运用计算机审计技术对被审计单位的会计报表和其他资料及所反映的经济活动进行审查,对被审单位会计报表的合法性、公允性、一贯性发表审计意见;二是指对被审单位计算机信息系统保护资产的安全性、数据完整性及系统的有效性和效率进行审查、评价并发表审计意见 。
由这个定义可以看出来,计算机审计是一个高度概括性的定义,涵义范围较广,其中第一部分的内容,可以概括为信息技术环境下的财务审计;第二部分的内容,可以概括为信息系统审计。因此,本文认为,计算机审计实质包括两个方面,即信息技术环境下的财务审计与信息系统审计。
6.计算机辅助审计(Computer Assisted Audit,CAA),有关其定义,国家审计署认为,“计算机辅助审计,是指审计机关、审计人员将计算机作为辅助审计的工具,对被审计单位财政、财务收支及其计算机应用系统实施的审计。”由这个定义不难看出,计算机辅助审计与计算机审计并无实质区别,既包括信息技术环境下的财务审计,又包括信息系统审计。在过去的一些理解中,有观点将计算机辅助审计和计算机审计加以区分,认为计算机审计包括计算机辅助审计和信息系统审计。本文认为,这种区分混淆了计算机辅助审计与信息技术环境下的财务审计两个概念。而之所以选择后者,是因为信息技术环境下的财务审计,这个名词更能清晰的传达审计的目的和内容。因此,本文的观点是,计算机辅助审计与计算机审计实际上是同一概念。
综上所述,本文认为,虽然有关概念数量繁杂,难以理解,但有实际意义的概念只有以下三个,其他均为概念混淆或者重复命名:计算机审计,信息技术环境下的财务审计和信息系统审计。三者的关系为,计算机审计是这门学科的总称,后两者为计算机审计之下的两项具体内容和研究方向。
(二)信息系统审计的基本概念
有关信息系统审计的定义,至今还没有一个统一的说法。
目前,比较有代表性的定义有以下几种:
1.“信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及高效地利用组织的资源并有效果地实现组织目标的过程。”
2.“为了信息系统的安全、可靠与有效,由独立于审计对象的 IT 审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向IT审计对象的最高领导,提出问题与建议的一连串的活动。”
3.“信息技术(IT)审计侧重于企业信息系统的计算机应用方面,它包括对适当的实施、操作过程和计算机资源控制的评估。”
以上所说的IT审计或信息技术审计,严格意义上与信息系统审计有所不同,但从其定义来说有可借鉴的地方。Ron Weber、日本通产省对信息系统审计定义有共同之处,都认为信息系统审计是一个获取和评价审计证据的过程,并且都明确了信息系统审计的目的,不同的是Ron Weber认为信息系统审计的目的是保证资产的安全、数据的完整以及有效率的利用组织资源实现组织目标。日本通产省则把信息系统审计的目标定位在审查信息系统是否安全、可靠、有效等方面。詹姆斯・A・霍尔则侧重于对信息系统审计的对象进行分析,认为信息系统审计是对适当的实施、操作过程和计算机资源控制的评估。
通过对相关方面信息系统审计概念的分析,本文认为,所谓信息系统审计,是指通过对被审单位信息系统的组成部分及其规划、研发、实施、运行、维护等过程进行审查,就被审计单位的信息系统的安全性、可靠性、有效性和效率性,以及信息系统能否有效的使用组织资源并帮助实现组织目标发表意见和建议。
二、信息系统审计理论结构的逻辑起点
研究信息系统审计理论结构框架,一个首要的问题便是从何入手,即以什么作为逻辑的出发点。选择一个正确的逻辑起点有利于建立一个逻辑体系严密、完整、前后一致的理论体系,并对该学科其他理论要素的建立、发展和完善起着决定性作用。因此,构建信息系统审计理论的结构框架,首先需要合理确立它的逻辑起点。
(一) 审计理论结构逻辑起点的几种观点
目前,因为对信息系统审计理论结构框架的研究在我国基本还没有开展过,所以缺乏可以对比的理论依据,但是,我国学术界对审计理论结构框架的研究已有多年历史,本文借鉴了目前理论界对于审计理论结构逻辑起点的一些看法,从中引申和提炼出对于信息系统审计理论结构逻辑起点的观点。
对于审计理论结构的逻辑起点,目前我国理论界主要有以下几种代表性的观点:
1.审计本质起点论
本质是事物本身所固有的、决定事物性质、面貌和发展的根本属性,是决定一物区别于他物的根本属性。1984年,英国审计学家汤姆・李在《公司审计学》中,以审计的本质为逻辑起点,提出了审计理论结构;我国的蔡春教授在他所著的《审计理论结构研究》中指出,“只有准确地揭示并把握了审计的本质,才能把握住审计理论发展的方向”,并结合我国的国情,以审计本质作为逻辑起点,构建了审计理论结构。
审计本质,是在社会实践的基础上,为确保受托责任有效履行而形成的特定的人与人之间的关系。审计本质是一个高度抽象的理论范畴,具有作为审计理论框架逻辑起点的一般特征。我国过去的审计理论研究,大多选择“审计本质”作为逻辑起点,进而阐述审计属性、审计对象、审计职能、审计作用等一系列理论问题。但是,审计本质作为审计固有的属性,无法随着时代的发展反映审计环境的变化,以及由环境变化所引起的审计目标和职能的变化,易造成审计理论研究与实践相脱节。
2.审计目标起点论
这种观点认为审计目标是整个审计监督系统的定向机制,从审计目标出发,根据审计目标规定审计信息的质量特征,然后研究作为信息传递手段的审计报告的构成要素等问题。“目标是一切工作的出发点。”1977年,安德森在《外部审计》(The External Auditing)一书中提出了审计理论结构框架的六个要素,构建了以审计目标为逻辑起点的审计理论结构。国际审计准则委员会在 1986 年构建的审计理论结构中,也是将审计目标作为逻辑起点,将其它审计要素串联起来,建立审计理论结构。
实现审计目标,是从事审计活动的出发点和落脚点。在审计理论结构框架中,审计目标的确是一个非常重要的构成要素,它引导着审计系统的运行,还制约着审计准则、审计假设等要素。但是,审计目标同时也是由审计本质,以及信息使用者的需求所决定的。即审计目标的提出,是顺应审计环境的要求,同时受限于审计本质,因此,在理论结构框架中应列在第二个层次。因此,将审计目标作为审计理论结构的逻辑起点,在逻辑上不够严密,倾向于实用主义,使由此建立的审计理论结构框架难以揭示更深层次的审计理论。
3.审计环境起点论
按照系统论观点,审计是社会经济系统中的一个子系统,它的发展在很大程度上受到包括统计和数学等相关知识以及政治、哲学、经济、文化、法律、会计、计算机技术等的影响。审计环境包括社会需求和职业的自身条件两个方面,审计理论中的各要素均受审计环境的影响。近些年,各门学科的研究都对环境尤为重视。会计理论界也掀起了一阵以会计环境为逻辑起点构建会计理论的热潮,同样,审计环境也受到了许多专家、学者的关注。以审计环境作为逻辑起点的人认为,审计理论结构作为一个理论体系与所依存的社会经济环境存在相互作用关系,审计环境要求审计理论结构的构建必须适应环境的需要,并随环境的变革而变革。
的确,审计环境是审计理论结构框架中不可缺少的基本要素,脱离审计环境的审计理论结构是没有实际意义的。但是,以审计环境作为审计理论结构的逻辑起点,也存在一定的局限性:把审计放在社会政治、经济、文化、法律环境中来研究,并不表明审计环境就是研究审计理论结构框架的逻辑起点。因为从环境的涵义来看,环境是存在于系统之外的,对研究系统有影响作用的一切外部系统的总和。研究审计理论离不开审计环境,然而,审计与审计环境的关系,是本体与客体的关系,以审计环境作为逻辑起点是忽略了审计理论结构的内在要求的。
4.审计假设起点论
持这种观点的人认为,审计假设是审计人员对那些未确切认识或无法正面论证的现象,根据客观的正常情况或趋势做出的合乎情理的推断,是演绎的先决条件,是建立审计理论结构的基石,是理论研究的基本要素。1978 年,C・W・尚德尔教授发表《审计理论――评价、调查和判断》一书,提出了以审计假设为逻辑起点的,包括审计假设、定理、结构、原则和标准的审计理论结构。
审计假设是构造审计理论结构的基础,也是审计科学发展的前提。但是,审计假设是被决定的,是审计系统运行的前提条件,前提条件不能等同于逻辑起点,逻辑起点应该是不以该体系中任何其他范畴为中介和前提的范畴。此外,因为审计环境存在不确定性,才导致了审计假设的出现,但审计环境却是处于变化之中的,审计假设一旦确定,就无法反映不断发展变化着的审计环境对审计的要求,因此,审计假设不能成为构建审计理论结构的起点和基石。
(二)确定信息系统审计理论结构逻辑起点的标准
从哲学的角度看,逻辑起点是指研究对象(任何一种思想、理论、学说、流派)中最简单、最一般的本质规定,即构成研究对象最直接和最基本的单位。逻辑起点是构造一门学科的理论结构框架的出发点,是该学科理论体系中最简单、最抽象、最基本的一个理论范畴,对该学科中其他理论要素的建立和发展,以及整个理论结构框架的构建都起着决定性的作用。
因此作为信息系统审计理论结构的逻辑起点,应该符合以下几个要求:
第一,逻辑起点应该是信息系统审计理论结构中最简单、最抽象、最基本的本质规定。
第二,逻辑起点应该是信息系统审计理论结构的重要组成部分,能够紧密联系信息系统审计理论和实务,是信息系统审计理论和实务形成和发展的动力,贯穿于信息系统审计理论发展全过程。
第三,逻辑起点应该能够揭示信息系统审计理论诸要素之间的内在矛盾,以及信息系统审计理论结构中的一切矛盾,有助于形成完整的科学理论体系。
第四,逻辑起点作为信息系统审计理论结构中的一个基本要素,同整个系统发生着多方面的联系,应该能够推导论证其他抽象的信息系统审计理论范畴。
(三)信息系统审计理论结构逻辑起点观
纵观以上几种关于审计理论逻辑起点的代表性观点,以及确定逻辑起点的标准,单纯以某一信息系统审计理论要素作为信息系统审计理论结构的逻辑起点是不完善的。本文的观点是,应以信息系统审计环境和信息系统审计本质共同作为逻辑起点,构造二元的信息系统审计理论结构逻辑起点。理由如下:
信息系统审计本质是审计理论结构中最一般、最简单的规定,其自身的特点决定了它具备作为信息系统审计理论逻辑起点的先天条件;然而,信息系统审计本质作为信息系统审计固有的属性,无法反映信息系统审计目标和职能的变化,不能推导论证其他信息系统审计理论,不符合逻辑起点的内在要求。针对信息系统审计本质的这一缺陷,只有信息系统审计环境能够弥补:信息系统审计理论须适应环境的需要,并且必须随环境的变革而变革。
从信息系统审计环境的角度来看,世界经济一体化带来信息系统审计国际化,信息系统审计国际化的前提是充分认识不同审计环境下的国家审计差异,只有包含了信息系统审计环境的各国信息系统审计理论体系才有利于对上述差异的理解。此外,信息技术日新月异,审计环境的变化对于信息系统审计的影响,较之对于传统审计的影响要深刻的多,使得信息系统审计环境对信息系统审计理论和实务具有前所未有的影响力。任何一种未包括信息系统审计环境的、仅以一个要素为起点的信息系统审计理论结构框架都是不完善的。然而,信息系统审计环境不是唯一的起点,因为人们从信息系统审计环境并不能直接推导出其他的信息系统审计理论范畴。那么在这种情况下,就需要有不变的、内在的信息系统审计本质来与信息系统审计环境相互作用,即信息系统审计环境是通过信息系统审计本质来影响信息系统审计理论结构的,使信息系统审计本质克服了先天上的缺陷,能够紧密联系信息系统审计理论与实务,贯穿于理论发展全过程。
综上所述,以信息系统审计本质和信息系统审计环境共同作为信息系统审计理论框架的逻辑起点,充分体现了逻辑起点的内在要求,符合辩证法中动静结合的观点,不变当中体现着变化,变化中又蕴含着不变,完全符合信息系统审计工作本身的要求。
三、信息系统审计理论结构框架及其逻辑关系
(一)构建信息系统审计理论结构的原则
构建信息系统审计理论结构,揭示的是信息系统审计理论体系要素的内在有机联系形式。一个完善的理论结构框架,必须是在遵循一定原则的基础上构建起来的。因此,在构建信息系统审计理论结构框架时,应该遵循以下原则:
1.理论与实践相结合的原则
科学的信息系统审计理论结构,应具备与实践紧密相连且不断发展的特点。对实践的经验总结便形成了信息系统审计理论,而形成信息系统审计理论的目的是指导信息系统审计实践,二者是相互作用的关系,不可分离开来。只有这样,才能使信息系统审计理论结构起到正确指导审计实践的作用。
2.理论结构的整体性和层次性原则
信息系统审计理论结构框架中各要素虽然有主次之分,但它们是相互联系、相互作用的,具有内在的严密性和整体功能,是一个有机的体系结构。只有先从整体上把握信息系统审计理论结构的基本框架,在确定了逻辑起点的基础上,再确定应包括哪些理论要素,以及如何划分层次,才能对各信息系统审计理论要素按一定的逻辑关系进行系统的归类,透过各要素之间的相关性、有机性,从整体上构建信息系统审计理论结构。
3.理论结构内在逻辑一致性原则
在构建信息系统审计理论结构框架时,要按照各信息系统审计要素之间的逻辑关系来进行,而首要因素当然就是逻辑起点。此外,还应该充分使用系统论观点去考察各个信息系统审计要素之间内在的逻辑关系,构建前后一致、逻辑合理的信息系统审计理论结构,以免因逻辑不清、杂乱无序而导致信息系统审计理论结构前后矛盾,更造成实践的混乱。
(二)信息系统审计理论结构框架
根据以上构建信息系统审计理论结构的原则,本文认为,信息系统审计理论结构框架应如图1所示:
(三)信息系统审计理论结构逻辑关系
从整体上看,信息系统审计理论结构框架大致可以划分为两个层次,即信息系统审计基本理论与信息系统审计应用理论。信息系统审计基本理论是研究信息系统审计的一般规律,探索能揭示信息系统审计实践的普遍本质和发展规律的知识体系,在信息系统审计理论结构中处于基础地位。信息系统审计应用理论是信息系统审计基本理论在实践应用中的具体反映,是与信息系统审计实践工作直接相关的,可以直接用来指导信息系统审计工作的理论。
信息系统审计基本理论包括六个信息系统审计要素,分为五个层次:
1. 信息系统审计环境和信息系统审计本质共同作为逻辑起点,处于理论结构的最高层次,起着统驭整个信息系统审计理论结构的导向作用。有关逻辑起点的选择的内容,前文已做过详细阐述,此处不再重复,但要进一步说明的是,之所以将信息系统审计环境放在信息系统审计本质前面,是因为从选择逻辑起点的标准来看,信息系统审计本质无疑构成了逻辑起点的核心,但是不同的信息系统审计环境是一切信息系统审计要素的前提,它通过信息系统审计本质影响着信息系统审计目标、信息系统审计假设和信息系统审计职能,进而影响了信息系统审计应用理论。离开了信息系统审计环境,信息系统审计目标、假设等都成为空中楼阁。但不可否认的是,信息系统审计目标、信息系统审计假设研究的目的也是为了指导实践,从而进一步改造信息系统审计环境。
2.信息系统审计目标是对被审单位信息系统的安全、可靠、有效和效率以及能否有效地使用组织资源、实现组织目标等发表审计意见并提出改进建议。由以上定义可以看出,信息系统审计的目标是信息系统审计本质与特定的信息系统审计环境相互作用、相互影响的结果。即,信息系统审计目标的提出是应信息系统审计环境的要求而产生的,同时受制于信息系统审计本质。信息系统审计目标的确立必须紧扣信息系统审计本质,同时又要反映信息系统审计环境的变化。当信息系统审计环境发生变化时,信息系统审计目标应适应环境的要求作相应的改变,但无论这些目标如何变化均未偏离信息系统审计本质这一本源。
信息系统审计目标又是一切审计实践活动的中心,是制定信息系统审计程序、解释信息系统审计技术方法的依据,目标的实现结果也是评估信息系统审计风险的最有力的依据,所以,将信息系统审计目标置于信息系统审计理论结构的第二层,有助于排列其他组成要素。
3. 信息系统审计假设是信息系统审计人员在面对复杂的审计环境时,对某些无法正面论证的事项和现象所作出的合理推断。本文认为,信息系统假设应该包括以下几个方面:
(1) 信息系统审计标准假设。该假设是指存在用来衡量、评价信息系统审计对象的公认的信息系统审计标准。
(2)信息系统审计可验证假设。该假设是指,与信息系统审计目标有关的所有信息,都可以通过获取相关的信息系统审计证据,利用信息系统审计技术加以确认。
(3)信息系统审计风险可控性假设。该假设是指信息系统审计风险能够被识别和评价,而且在此基础上,信息系统审计风险能够被合理的控制。
信息系统审计假设是信息系统审计理论结构中的一个基本问题,是联系信息系统审计目标和其他审计要素的桥梁。信息系统审计假设为信息系统审计运行的前提条件做出限定,而这种限定取决于信息系统审计目标,因而信息系统审计目标制约着信息系统审计假设。
4.信息系统审计职能,即信息系统审计在客观上所固有的功能。为了确保信息系统审计目标的实现,信息系统审计的两大基本职能应为保证和咨询。保证,即通过对信息系统运行过程、维护状况等进行评价,合理保证信息系统的安全、稳定和有效。它是信息系统审计最基本的职能。咨询,就是指信息系统审计人员能够为信息系统的服务对象提供解决问题的方案,达到实现信息系统的安全有效和改善经营的目的。因此,信息系统审计职能是以信息系统审计目标和假设为前提而产生的,作为信息系统审计理论结构中基本理论的重要组成部分,从理论结构框架的逻辑关系上来说,应该位于信息系统审计目标和假设之后。
5.信息系统审计准则,是信息系统审计人员开展信息系统审计时所必须遵循的标准,一般由行业内专业的职业团体所制定和,是职业团体的全体会员共同遵循的行为准则。信息系统审计准则是在特定的信息系统审计环境下信息系统审计本质的拓展,又是信息系统审计假设的具体化和制度化。信息系统审计准则作为联系信息系统审计基本理论和应用理论的纽带,是根据信息系统审计目标和职能而制定具体的规范准则,同时又对信息系统审计流程、信息系统审计技术、信息系统审计风险等方面的内容作了相应的规定,对审计人员执业行为进行规范。因此,它既是审计基本理论的终点又是审计应用理论的起点。先有准则而后施行,符合人们认识世界、改造世界的一般规律与程序。
信息系统审计应用理论是建立在信息系统基础理论之上的,包含四个信息系统审计要素,分为两个层次:
1. 信息系统审计流程、信息系统审计技术和信息系统审计风险,是信息系统审计应用理论的主体部分,是信息系统审计基本理论在应用理论中的具体反映,也是由具体的信息系统审计准则所规范和影响的。
信息系统审计流程,是审计工作从开始到结束的整个过程。信息系统审计流程,实质上是一个获取并评价证据,以研判信息系统是否能够保证资产的安全、有效以及提供真实、完整的系统信息的动态循环流程。科学的信息系统审计流程是建立在信息系统审计基础理论和信息系统审计准则之上的,是保证信息系统审计工作顺利开展的必要条件。
信息系统审计技术,是信息系统审计的核心内容,是信息系统审计得以实现的必要手段。信息系统审计技术与方法的运用必须符合具体的规范准则,因为这将影响信息系统审计风险。先进的、与审计环境相适应的有效的信息系统审计技术,是信息系统审计工作顺利开展的重要前提。
信息系统审计风险,是信息系统的安全性、稳定性和有效性存在重大隐患,而信息系统审计师验证后发表不恰当审计意见的可能性。信息系统审计风险很显然在信息系统审计准则的规定之上,受信息系统审计流程和技术的影响,科学的审计流程和先进的技术方法可以降低风险,反之,则会使审计风险加大。
2.信息系统审计报告,是在审计工作完成之后由信息系统审计人员对于审计事项有关的审计证据进行整理、归纳和评价,形成的对信息系统的书面审计意见。报告的内容与格式,受到信息系统审计准则的规范,但实务工作中也可以根据环境变化的客观条件调整审计报告的具体内容。信息系统审计报告是信息系统审计行为的最终成果,是信息系统审计基础理论和应用理论最终体现的结果,也是信息系统理论结构框架的终点。
研究和构建信息系统审计理论结构框架,笔者认为还应明确的一点是,随着社会经济的发展和科学技术的进步,理论框架中各要素的内容及层次关系可能会发生相应的变化。因此,信息系统审计理论结构也会有发展和变化,需要学术界进行不懈地研究、思考,使之更能适应时代的发展、适应信息系统审计实务的需要。
【参考文献】
[1] 卢红柱.计算机信息系统审计的探索之路[J].审计研究,2006(12).
[2] 胡克瑾.IT 审计[M].电子工业出版社,2004.
[3] 时现,李庭燎等.全球信息系统审计指南[M].中国时代经济出版社,2010.
[4] 吴沁红.信息系统审计内容分析[J].财会月刊,2008(10).
[5] 吴沁红.信息技术环境下财务审计与信息系统审计的比较[J].中国注册会计师,2008(10).
[6] 唐飞兵.关于构建我国计算机审计理论体系的探讨[J].中国管理信息化,2007(10).
[7] 姚靠华,周岳亭.构建计算机审计理论体系的逻辑起点:审计环境[J].中国管理信息化,2005(4).
[8] 王振武.信息系统审计技术研究[J].东北财经大学学报,2009(4).
[9] 王振武.会计信息系统[M].东北财经大学出版社,2006.
[10] 杨周南,赵纳晖.信息技术在会计和审计实务中的应用[M]. 清华大学出版社,2003.
[11] 张茂燕.论我国的信息系统审计[D].厦门大学硕士学位论文,2005.
[12] 庄明来,吴沁红,李俊.信息系统审计内容与方法[M].中国时代经济出版社,2008.
[13] 庄明来.计算机审计与信息系统审计之比较[J].会计之友(下旬刊),2010,(5).
[14] Marshall.B.Romney.Accounting Information Systems[M].10th Ed.Prentice Hall,2008.
信息系统审计论文范文3
论文摘要:信息技术在为人类带来益处的同时,也会带来一定的风险。实施会计信息化审计,加强对会计信息化信息系统运作的有效监督,对防范信息系统的风险将起到一定的作用。目前,多数企业,没有充分认识到会计信息化审计的积极意义和效益,对会计信息化审计的必要性认识不足,从而使会计信息化审计工作没有引起足够的重视。本文从会计信息化审计的“目标、特点、策略、前景”四个方面进行分析探讨。
一、会计信息化审计的目标
1.会计信息系统的安全性
会计信息系统的安全性是指组成会计信息系统的硬件、软件、数据资源是否受到妥善保护,不因自然和人为的因素而遭到破坏、更改或者泄漏系统中的信息。 会计信息系统的资源通常包括硬件、软件、数据文件、系统文档、消耗性材料和其他设施。这些资源经常放在一处或几处,硬件可能被恶意破坏,软件和数据文件的内容可能丢失或毁损,消耗性材料和数据资源可能未经批准而被使用。会计信息系统的安全是通过建立相应的安全控制措施而加以保护的,评价会计信息系统的安全性,主要是审查会计信息系统的安全控制措施是否健全有效,对于不足之处应提出需要进行改进与完善的建议。
2.会计信息系统的可靠性
会计信息系统的可靠性是由其中的硬件系统的可靠性、软件系统的可靠性及数据的可靠性等因素共同决定的。软件系统的可靠性是指在运行环境中,在规定的运行时间内或规定的运行次数下,程序和所有数据元素运行不同测试用例的无差错概率。硬件系统的可靠性是指在一个指定的时间周期内,在给定的控制条件下,硬件系统执行所需功能的成功概率。数据可靠性是指数据的真实、准确和及时,它取决于系统绝对数据的处理过程是否准确无误,以及确保数据可靠的控制措施是否有效。系统的可靠性还体现在它的容错能力上。对会计信息系统可靠性的评价要检查系统的运行是否稳定可靠、是否容易出现偏差和错误,是否能抵御外界干扰而正常工作。评价会计信息系统的可靠性时,审计人员应对决定会计信息系统可靠性的各项因素进行综合审查和评价。
3.会训信息系统的有效性
会计信息系统的有效性是指该系统能否实现既定的目标、系统的各项处理过程是否符合国家法律和有关规章制度的要求。评价会计信息系统的有效性,必须了解用户的需求。会计信息系统有效性的审计一般在系统运行一段时间之后进行,通过事后审计可确定会计信息系统是否能实现既定的目标,根据审计的结果,管理者可做出相应的决策。
二、会计信息化审计的特点
1.审计的所有领域全面运用现代信息技术
目前,审计在每一领域都还做得不够,如:尚未构筑起适应现代技术发展的一种或多种可能的、可用于解释和预测多种审计现象的多维审计理论—,这种理论将使对审计环境、目标、本质、假设、概念、标准、技术、方法、过程等的论述更新颖、更丰富、更具逻辑性和环境适应力;急需加速我国的审计工作从落后的“绕过计算机审计”向先进的“通过计算机审计”和 “使用计算机审计”转化。如何利用现代信息技术管理责任与风险巨大的审计 (尤其是独立审计)行业是一个值得探讨的问题,新时期,所有的审计人员都应成为完全意义上的电脑审计人员,而这是审计(后续)教育的重要任务。
2.会计信息化审计系统具有极强的适应性
信息化会计信息系统的多元、实时、开放性使会计信息化审计也具有多元、实时、开放性特征,实时审计、会计责任审计、环境审计、境外审计等都将因此而变得更加容易。
3.会计信息化审计将对传统审计进行重整
尽管“两权分离的程度决定了审计主体的种类和被审计单位的形式”,“审计效率和审计风险的矛盾决定了审计程序和方法的历史变迁”,但如果所有的计算机只囿于会计电算化信息系统的水平,提供的信息单一、过时、封闭,国外的会计师事务所的非审计业务 (其必须依赖于多元、实时、开放的信息)收入又怎能达到其总收入的70%(我国仅30%左右)?事实上,正是信息量极大丰富的信息化会计信息系统和全新的会计信息化审计理论,支持了卓有成效的“四大”国际会计公司及其或集权或分权的 管理模式,支持了审计效率和审计风险矛盾的最有效的解决,从而支持了现在和将有的多种繁杂的具体业务。
三、会计信息化审计的策略
1.建立会计信息化审计组织机构
会计信息化审计组织机构不健全将会阻碍我国会计信息化审计的发展。为适应未来我国会计信息化审计发展的客观要求,我国应尽快建立自己的会计信息化审计组织机构,按照会计信息化审计的要求组织、协调会计信息化审计工作,规划会计信息化审计的发展策略和职业培训计划,研究会计信息化审计理论、方法、技术和规范,指导会计信息化审计工作。在这项工作的起步阶段,政府应加强领导力度,从宏观上搞好规划安排,从资金和技术上扶持会计信息化审计,有效规划、部署和指导我国的会计信息化审计工作。
2.加强会计信息化审计理论研究
审计理论来源于审计实践,又反过来指导、促进审计实践,二者不可偏废。没有审计实践,审计理论无法产生,没有审计理论指导的实践会走弯路。因此,要在审计实践中善于及时发现、总结规律性的问题,将其上升到理论的高度。国内学术界、政府研究机构应当加强会计信息化审计的理论研究,积极开展学术交流,密切关注国际会计信息化审计的最新发展动态,不断发展与完善会计信息化审计理论,从而更好地为会计信息化审计实践活动提供指导,促进我国会计信息化审计事业的发展与繁荣。
3.制定会计信息化审计准则
会计信息化审计同传统财务审计相比,在审计对象、审计目标、审计内容等方面均有所不同。为了规范会计信息化审计业务,明确工作要求,保证执业质量,应研究和制定我国的会计信息化审计准则和实务指南。会计信息化审计发展到一定阶段,必须由行业组织出面将实践经验加以总结,并把有关概念、工作流程和技术方法固定和统一起来,形成行业标准和规范。
4.强化企业领导加强管理与控制的观念
树立企业领导的信息化会计信息系统管理意识是开展会计信息化审计工作的关键。因此,企业主管部门在充分领会国务院有关“国民经济信息化”指示精神,认真抓好企业信息化建设的同时,还必须注重对企业领导进行会计信息化系统管理与控制的思想教育,促使企业领导从企业生存与发展的高度来认识会计信息化审计的重要意义,重视会计信息化审计工作,将会计信息化审计作为一项重要工作来抓。
5.大力培养会计信息化审计人才
从内部讲,一是强化培训。各级审计机关要拥有完备的培训基地,从自己的需要加强不同岗位的适应性培训;二是重点选拔。即有重点地选派一些“尖子”人才进高校深造,进行知识更新,或参与国际技术交流和技术合作,在实践中不断增长才干;三是完善机制。要逐步形成能有效鼓励各类人才脱颖而出,能最大限度地挖掘,激发各类人才智力潜能的运行机制,使知识最终能作为最重要的生产要求参与分配。
6.加大会计信息化审计的宣传力度
开展会计信息化审计的主要障碍之一是对会计信息化审计的必要性认识不足,必须加大会计信息化审计的宣传力度,如实宣传网络环境下重构后的会计信息系统所带来的风险,大力宣传会计信息系统控制的重要性,让更多的经营管理者,真正认识到开展会计信息化审计的必要性,增强会计信息化审计的迫切性,促进社会舆论对会计信息化审计的理解与支持,进而推动会计信息化审计工作的开展。
作者单位:河南工程学院
参考文献:
[1]谢诗芬.高级财务会计问题研究 [m].四川:西南财经大学出版社,2004.45-52.
[2]胡仁显.自助式会计信息系统[m].上海:立信会计出版社,2003.78-82.
信息系统审计论文范文4
[关键词]信息系统审计;发展途径;内部控制;计算机审计;IT审计;ISACA体系
[中图分类号]F239.1[文献标识码]A[文章编号]16728750(2012)01005107
从最早介绍国外理论的文章算起,我国对信息系统审计的研究与实践已将近三十年时间。由于实施主体不同,我国的信息系统审计形成了不同的方向,本文主要讨论的是政府审计机关为了更好地履行其审计监督职能而组织开展的政府信息系统审计[1]。
在经历了从理论引进到实践探索、从局部尝试到广泛开展的转变之后,审计人员对政府信息系统审计的发展途径出现了不同的观点,典型而极端的有两种:一种是认为国外的信息系统审计理论已经非常成熟,我国审计机关可以直接引进国外标准,不必浪费时间和精力去做重复工作,即从“国外引进”;另一种则认为国外理论与我国审计机关的实际工作相差甚远,我们不能够也不应该照搬国外模式,而是要根据我国的环境和现实探索自己的模式,即“自主发展”。
这两种观点都有自己的道理,它们都拥有各自忠实的支持者,但同时它们也都存在不同的缺陷。对于大多数在审计机关中从事信息系统审计的人员而言,他们在这两种观点之间常常感到矛盾和彷徨,这使得在政府信息系统审计的目的、内容、方法和过程等问题上都出现了较大的分歧和争议。短期的分歧是正常现象,但长久的分歧则容易进入混乱状态,因此,我们有必要在分析历史和现状的基础上,对我国政府信息系统审计的发展途径做出选择,以促进其健康发展。
一、 “国外引进”与“自主发展”的历史和现状
(一) 国外信息系统审计体系的引进
众所周知,我国审计机关对信息系统审计的最初理解是从美国等西方国家引入而来。在过去一个时期内,审计人员所做的大量工作是对西方国家信息系统审计思想、理论和方法体系的引进。
1. ISACA体系的引入
在国外的信息系统审计体系中,最受我国审计人员关注的是由信息系统审计与控制协会(Information System Audit and Control Association,简称ISACA)的由基本准则、审计指南和作业程序三部分组成的信息系统审计准则体系。
在相当长的一段时期内,ISACA体系是我国审计机关引入的主要内容和研究的主要对象,研究者发表了大量文献对之进行介绍,并就其对我国的借鉴意义展开讨论。可以说,在很多审计人员的理解中,ISACA就是信息系统审计的代名词。在审计实务中,一些审计人员也展开探索,尝试基于ISACA体系的信息系统审计。这一时期,ISACA体系自身也在不断地发展,其涉及范围逐渐扩展到IT治理等领域,建立起了《信息系统和技术控制目标》(Control Objectives for Information and related Technology,简称COBIT)等框架。这些内容同时受到我国审计人员的关注,他们进行了介绍和翻译。
在引进准则体系和理论知识的同时,我国也引入了ISACA的职业资格认证,注册信息系统审计师(Certified Information Systems Auditor,简称CISA)成为一段时期炙手可热的职业认证,相关媒体对CISA进行了大量的报道和介绍,吸引了一批审计人员的关注。
2. GAO体系和IIA体系的引入
虽然ISACA的准则体系受到广泛关注,但其内容偏向于咨询和内部管理,与我国审计机关的经济监督定位存在不小差异,因此部分人员开始将视角转向美国审计署(Government Accountability Office,简称GAO)的《联邦信息系统控制审计手册》(Federal Information System Controls Audit Manual,简称FISCAM)等信息系统审计体系。
审计人员对GAO信息系统审计体系的引进主要体现为对FISCAM等资料的翻译以及访问美国审计机关后撰写的考察报告。GAO的信息系统审计理论对我国的政府审计机关产生了较大的影响,如FISCAM将信息系统控制分为一般控制和应用控制两大类的做法被我国政府审计机关广泛接受。
同时,审计机关中的部分人员开始关注国际内部审计师协会(Institute of Internal Auditors,简称IIA)对信息系统审计的理解,对其的《基于风险的信息系统控制评价指南》(Guide to the Assessment of IT General Controls Scope Based on Risk,简称GAIT)、《全球信息系统审计指南》(Global Technology Audit Guide,简称GTAG)等进行了引进和介绍。
3. 日本信息系统审计体系的引入
日本是另一个较早开展信息系统审计的国家,通产省于1985年出台了由基本准则、实施准则和报告准则三部分组成的信息系统审计准则体系,并于1996年进行了修订。
我国审计人员对日本信息系统审计体系的引入是比较特殊的,从目前已经出版的书籍和发表的文献来看,直接对其进行学习、翻译、研究和引进的人员很少,主要是间接性的转述或引用。
日本的信息系统审计并不属于审计行业,而是归属于计算机行业,加之语言原因,其准则体系本身并未引起我国审计人员的广泛关注,他们而是把目光主要集中在定义和方法层面之上。审计人员在讨论信息系统审计或者IT审计、计算机审计等概念时,大多会提到日本通产省给出的定义,在当前所使用的信息系统审计技术方法中,也有相当一部分受到了日本信息系统审计的影响。
(二) 对“国外引进”模式的疑惑和基于现实环境的探索
从“国外引进”的模式存在一个致命的问题,那就是与我国政府审计机关实践之间无法逾越的鸿沟。在这种情况下,审计机关以“国外引进”的模式为基础开展信息系统审计时,在理论、标准与实践之间存在诸多矛盾之处,在实务操作中也就自然而然地进行了变通和调整。
1. 由于缺乏与IT相关的法规依据,主要依赖业务法规开展工作
审计机关开展信息系统审计时,所遇到的最直接也是最主要的问题就是审计取证和审计定性时缺少法律依据。
在学习和研究阶段,人们所采用的大多是ISACA和GAO的标准。虽然部分审计机关尝试过依据ISACA体系开展探索,但大多数审计人员对其并不认同,因为ISACA的标准显然不能作为我国审计机关进行审计定性的依据。而我国颁布的与信息系统或IT技术相关的国家标准中,除了信息系统安全等级分类等少数几个是强制标准外,大多只是具有导向作用的推荐性标准,其作为审计定性标准也存在许多争议。
然而,在信息系统审计实践中,审计机关在审计取证和审计定性时,对法律条款有着很强的依赖性,在微观层面一般要有强制性的法规作为依据。IT方面强制性法规的缺失,使得审计人员逐渐转向以业务法规作为依据,信息系统审计的内容也更多地转向与业务结合紧密的内容或者与资金相结合的内容,如审计署京津冀特派办对某航空公司的审计[2]。
2. 内控体系尚不成熟导致关注重点转向问题揭露
不论是ISACA体系还是GAO体系,均主要是以内部控制为基础的。不过,我国《企业内部控制基本规范》于2008年6月,《企业内部控制配套指引》到2010年4月才正式出台,而且首要的实施对象确定为上市公司,因此,客观而言,大部分被审计单位的内部控制体系尚在建设过程中。
由于尚未建立比较完善的内控体系,因此如果完全按照理想状态下的内控标准去测试,则被审计单位的信息系统几乎处处存在风险,这种状况在基层单位更加明显。同时,在经济发展过程中,信息化有着不同的地位。我国的信息化工作很多时候依然属于成本中心,在这种情况下,完美的内控要求将大大增加信息化方面的投入,这显得过于理想化而很难得到被审计单位的认同。因此,很多审计机关在关注点上选择了对已经形成问题的揭露,如审计署南京特派办对某高速公路收费系统的审计[3]。
3. 微观层面的成果难以得到认可,因而在实践中尝试走向中观
ISACA和GAO体系的内容大多集中在一个具体的组织层面,即在实践时都是集中在微观的、具体的被审计单位上。在我国,单纯进行具体的微观层面的风险提示由于分量单薄而难以得到认可,通常只有具有一定共性的审计成果才能受到关注,因此一些审计机关开始尝试中观层面进行探索。
与微观经济主体相比,中观经济主体涉及范围较大,运行机制复杂,因而大多数中观经济主体均有为自己量身定做的信息系统[4],如一些行业性信息系统。部分审计机关对中观层面进行探索,如审计署兰州特派办对8家煤矿安全监控系统开展的信息系统审计[5],而在部分审计机关的信息系统审计尝试中,则更是将目标定位在了更高的国家信息安全等宏观层面。
(三) “自主发展”遭遇的困境
国外引进的理论与现实环境之间的鸿沟,催生了我国审计机关“自主发展”的需求和探索,但这些“自主发展”的探索并非一帆风顺,在发展一段时间后它们陷入了困境。
1. 缺乏基础理论和体系性,处在能破不能立的尴尬状态
ISACA所采用的是会计师事务所的框架,GAO的基础是内部控制理论,日本信息系统审计的基础是软件开发理论,而我国审计机关对信息系统审计的实践探索,大多是依据审计机关自己的理解和具体项目开展的,目前来看主要是零散的个例,没有所依据的基础理论,缺乏体系性和科学性。
在信息系统审计理论方面,我国的相关研究几乎是空白[7],尽管已有部分学者开始研究理论框架,但尚未形成成熟的体系与观点。虽然审计人员怀疑ISACA,怀疑GAO,却又无法在短期内建立自己的思想体系,更难建立起完整的准则和方法体系,使得我国信息系统审计规范一直处于制度供给不足的状态,这一点政府信息系统审计尤为明显。
因此,当前的“自主发展”模式能指出从“国外引进”的理论不适合我国审计机关现实的问题,但研究者和审计人员还不能提出科学解决这些问题的措施,我国的政府信息系统审计处在能破不能立的尴尬状态。
2. 缺乏各方共同认可的价值观,不同审计机关间观点难以统一
我国审计机关的信息系统审计实践探索实际上是一个试错过程,“摸着石头过河”,如果一个方向能够走得通则继续发展,如果走不通则改变方向继续探索,不断的试错中缺少能够被广泛认同的核心价值观。从目前开展的政府信息系统审计来看,内容涉及合规性判断、安全性评价、风险揭示以及类似于投资审计的IT绩效审计,而这些内容很多时候是难以调和到一起的。
不同审计机关的探索相互之间很难达成共识。那些不认同国外模式的审计机关,大多在按照自己的理解发展,认为自己的做法切合实际;同时上下级审计机关之间,也缺乏相同的信息系统审计价值观,所关注的重点难以统一。即使在学术探讨中,学者们对政府信息系统审计相关概念的提法也各不相同,名词不一,缺少相互之间进行沟通交流的知识与语言基础。
二、 两条发展途径的比较和选择
从以上论述我们可以看出,当前的政府信息系统审计处于一个比较与选择、总结与思考的关键点。在“国外引进”与“自主发展”之间,我们是迷茫和困顿的:以后的发展途径我们该如何选择?是从“国外引进”,还是“自主发展”,抑或是其他的途径?
(一) 完全从“国外引进”可以吗?
从体系角度来看,ISACA、GAO、IIA和日本的信息系统审计知识体系都经过了多年的发展,形成了各自的特色,那么我国审计机关直接从国外引进可以吗?答案是否定的。
首先,如果审计机关依照“国外引进”模式开展信息系统审计,法律依据暂时无法解决,因为国外的标准显然不能作为我国审计机关审计取证和审计定性的依据,这是一个无法回避且在短期内也无法解决的现实问题。
其次,国外主流的信息系统审计模式是以内部控制为基础,而我国尚未建立比较完善的内控体系,同时应该花费多少资金用于信息化的内控也是难以统一的问题,这样基于内控的信息系统审计显得过于理想化而很难得到大多数被审计单位的认同。
最后,如果一味地引进,则我国的政府信息系统审计会陷入一种 “落后―引进―落后”的怪圈状态。学习别人的经验固然非常重要,国外的理论可以向我们传输信息系统审计的基本原理,让我们认识和了解该领域的最新进展,但是这不能替代我们对历史和现实情况的调查研究,不能替代我们基于现实的选择。
由此可见,“国外引进”模式在目前存在很多无法解决的问题,单一的“国外引进”模式是行不通的。
(二) 彻底抛弃“国外引进”可以吗?
既然从“国外引进”是行不通的,那么我们可以彻底抛弃国外模式吗?答案也是否定的。
第一,国外的信息系统审计经过多年发展,有很多值得我国借鉴的内容。西方的信息系统审计经历了较长时期的发展,形成了比较完整的体系,至少它们在培养人员、开拓思维上是不能被抛开的。
第二,我国政府信息系统审计的发展存在路径依赖,前期国外理论的引进,随后“自主发展”模式的探索,都对政府信息系统审计的发展途径产生重要影响。长期的“国外引进”,教育培训所采用的教材主要是ISACA、GAO或IIA的内容,或者是从上述三种衍生而来的,这在思想上具有极大的影响,对大多数审计机关中的信息系统审计人员来说,他们无法摆脱ISACA、GAO和IIA的影响,因为这些观点已经通过培训变得根深蒂固。
因此,我们并不能完全抛弃国外的理论、体系与技术方法,而需要从中吸收和借鉴很多内容。
(三) “自主发展”可以吗?
“国外引进”模式行不通,那么目前面临困境的“自主发展”可以吗?
我国政府审计机关是在内在需求和外在动力双方面因素推动下开展信息系统审计的。内在需求是被审计单位经济活动对信息系统依赖程度的提高。在信息化环境下,审计活动大多以电子数据为基础,如果审计机关不对信息系统开展审计,则无法保证所获取的电子数据的真实性、完整性,也就无法保证审计结果的质量、整体审计目标的实现和审计过程的顺利实施。同时,审计机关开展信息系统审计的外在动力为审计机关信息化部门发展的需要。当前阶段,计算机审计已经进入瓶颈阶段[8],因此信息系统审计被很多审计机关的IT部门作为主要的业务发展方向。
内在需求是政府信息系统审计可持续发展的根本,它来源于审计工作的实际需要,这些只能是“自主发展”,无法从“国外引进”而来。在我国,审计机关基于电子数据开展审计已经得到认可并取得很大程度的发展,因此有进一步发展信息系统审计的需要。同时,由于社会环境不同,我国的政府审计的定位具有自己的特色,如审计的“免疫系统”功能、审计的国家治理观等。对所审计业务基本原理的理解是信息系统审计的五大内容之一[9]。试想如果审计业务都不同,又如何照搬国外理论?因此只有基于我国审计机关现实需求的信息系统审计才能是“有本之木”和“有源之水”,单纯在外在动力驱动下的信息系统审计难以长久持续。
与此同时,在教科书上西方理论体现得比较多,但在审计人员的内心,则更多的是渴望本土精神的树立,也就是“自主发展”,这一点在媒体的宣传文章中已得到体现,它们的宣传主要依据于我国实践的探索与创新。
虽然数量较少,但基于我国现实环境的政府信息系统审计理论研究并不是一片空白,一些学者或实践者进行了一定的探索。如谢岳山针对联网环境提出了信息系统审计的体系架构,对信息审计的内容进行了重新梳理和分类[10];王万军等人将重要性水平的概念引入信息系统审计的决策,建立起一个信息系统安全量化评分体系[11];唐志豪等人在借鉴COBIT模型的基础上,从目标、内容与过程三个维度提出了一种信息系统审计的业务模型[12],也提出了信息系统审计理论结构[13];李春青等人从信息系统责任角度出发,讨论了政府信息系统审计的定位[14]。这些探索给“自主发展”的途径提供了一定的支撑和方向指引。
因此,虽然“自主发展”面临诸多困难,但它是符合现实情况、能够可持续发展的,也是政府信息系统审计最终发展的方向与出路。
三、 以“自主发展”为核心的发展方向
通过分析,我们可以得出结论,“自主发展”是我国政府信息系统审计的最佳发展途径。那么,在当前阶段我们应该做哪些工作,或者说朝着哪些方向努力?
(一) 协调好“自主发展”与“国外引进”的关系
一味的“国外引进”是行不通的,而对外界置若罔闻的“自主发展”,也存在很多问题。因此,存在一个如何协调 “自主发展”与“国外引进”的问题。
清末民初,中国曾经出现过“西学东渐”的浪潮以及由此而来的关于“西学东渐”与“本土精神”的广泛讨论。对于政府信息系统审计而言,它也面临同样的问题:我国的政府信息系统审计基本上是“西学东渐”的结果。正如余英时所言,比较的历史观点本来是有利无弊的,但是比较如果演变为一方是进化的高级阶段,而另一方则仍然停留在较低的层次,前者成为批判后者的绝对标准,那么许多历史和文化的歪曲便随着发生,出现 “尊西人若帝天,视西籍如神圣”的风尚[15]。
一般来说,对于自然科学而言,从外部引入是最经济、最高效的一种方式,而社会科学则更多地依赖自身的发展。政府信息系统审计同时具有社会科学和自然科学的成分,所以对其发展途径,则更多地呈现出混合模式的需求,“自主发展”和“国外引进”同时需要,但在这两者之间,应该以“自主发展”为根本,以“国外引进”为补充手段。
(二) 对“国外引进”内容的理解与消化
对于国外的信息系统审计模式,我国学者和实务界主要进行引进工作,引进过程也存在一定程度的盲目崇拜和生吞活剥,对这些模式本身并没有提出过革命性的意见或改进方案。当前政府信息系统审计实践中出现的很多问题,就是由于对国外模式的模糊认识造成的。当前我们要做的,是对“国外引进”内容的理解和消化,研究清楚这些国外模式的形成历史、适用条件和作用原理,因为只有真正理解了,人们才能明白这些模式能不能在我国审计机关适用,以及如何在我国的现实环境中进行改进和变通,才能避免在不理解原理和适用条件的情况下对国外模式教条的、盲目的生搬硬套。
(三) 对试错的包容和对信息系统审计边界的寻求
我国的政府信息系统审计发展,实际上是一个不断的试错过程,需要进行不断的探索。这个过程中,有些尝试是正确的,也有些可能是错误的,但只有在不断的探索中,才能找到正确的方向。因而我们对于试错过程中的失败,应该加以包容,因为这些经验是宝贵的财富。
不论是国外还是国内,随着实践探索的发展和理论研究的细化,都存在信息系统审计内容和范围无限扩大的趋势,比如将被审计单位的社会责任纳入信息系统审计范畴[16],因而我国审计机关在不断的试错过程中,需要完成的任务之一就是探索出政府信息系统审计的边界范围。
(四) 价值观的统一和内在精神的形成
政府审计机关开展信息系统审计存在一个问题,就是理论基础、实践操作和最终落脚点之间的分离。理论基础上受托责任不明确,实践操作上主要偏向咨询的实施框架,而最终落脚点是要发现重大问题,所以,一些审计人员在无可奈何的情况下,开始利用国外理论的解读来阐述自己的观点,出现了“旧瓶装新酒”、“六经注我”等间接变通的表达方式,因此,在下一阶段,需要形成各级审计机关能够共同认可的价值观念和内在精神。只有形成内在精神,才能解决矛盾的分裂和发展的动力问题。当然,这个价值体系和内在精神需要在不断的探索和磨合中形成。
(五) 实现从能破到能立,逐步建立自己的体系
在不断的试错过程中,政府信息系统审计要随着价值观的统一和内在精神的形成以及政府信息系统审计内容、方法的探索,实现从能破到能立的转变。立,需要从内在需求出发,不必过于追求体系与框架的完整和庞大,因为在短期内要建立一个庞大的体系,必然会有意无意地走向“国外引进”。我们可以先以过去的实践为基础,进行理论提升,逐步构建适合我国现状的政府信息系统审计理论体系框架。参考文献:
[1] 李春青.试论政府信息系统审计的定义、产生动因与影响因素[J].科技管理研究,2009(1):239240.
[2]张德勇.利用业务跟踪法开展信息系统审计的一个案例[J].审计研究,2006(S1):105107.
[3]审计署南京特派办.南京办运用“源代码分析法”探索信息系统审计取得实效[EB/OL].[20060706]. .
[4]陈希晖,崔应留.以问题为导向的信息系统审计及其实证分析[J].中国内部审计,2010(4):2829.
[5]王会金,刘国城. 中观经济主体信息系统审计的理论分析及实施路径探索[J].审计与经济研究,2009(3):2731.
[6]审计署兰州特派办.关注矿工生命安全 发挥审计“免疫”作用――审计署兰州办开展煤矿安全监控系统审计纪实[EB/OL].[20090925]. .
[7]胡晓明.我国信息系统审计的发展战略研究[J].学习与探索,2005(5):204206.
[8]李春青.我国计算机审计研究的变迁――基于文献综述[J].南京审计学院学报,2011(1):4652.
[9]Senft S,Gallegos F. Information technology control and audit[M].3rd ed. Florida:CRC PRESS,2009:157.
[10]谢岳山.联网环境下信息系统审计的体系架构[J].审计研究,2009(5):3739.
[11]王万军,周希,陈耿.信息系统审计决策模型研究[J].审计与经济研究,2008(5):6366.
[12]唐志豪,冯占国,宋明霞.信息系统审计的业务模型构建[J].财会月刊,2010(6):4143.
[13]唐志豪.信息系统审计理论结构研究[J].财会月刊,2007(3):5961.
[14]李春青,段春军,王欣.角色认同差异、责任推脱行为与政府信息系统审计定位[J].审计与经济研究,2009(4):1216.
[15]余英时.钱穆与现代中国学术[M].广西:广西师范大学出版社,2006:19.
[16]Aggarwal A, Kanhere S, Kanhere V,et al. The fourth dimension of information system audit and security [C].The 8th WSEAS International Conference on Software Engineering, 2009:162168.
Absorption from Abroad or Independent Development:
Study on Development Approaches to Government
Information System Audit in China
LI Chunqing, ZHOU Zuo
信息系统审计论文范文5
关键词:计算机审计;教材;比较;内容设计
随着审计环境、审计对象日益复杂,信息化发展日益加快,以手工审计为代表的传统审计已经越来越不能适应形势的需要,传统审计越来越快地向以计算机审计为代表的新的审计方式转变。为了满足计算机审计课程教学的需要,已有不少学者编写了用于计算机审计课程教学的教材,但其内容体系大相径庭,对计算机审计概念的界定存在较大差异,不利于课程教学的需要。本文选取了几本比较具有代表性的教材,对其内容体系进行了分析,在此基础上对计算机审计课程内容体系的规范做些探讨。
一、计算机审计的含义
(一)部分学者的观点
我国计算机审计是在20世纪80年代末发展起来的,最初有学者将其称为“电算化审计”,现在已比较多的称“计算机审计”。关于“计算机审计”一词的涵义,目前没有权威的定义,许多学者都提出了自己的观点,现列举如下。
1.电算化审计人员用手工的或者电算化的审计方法、技术和程序对电算化或手工信息系统所进行的审计(肖泽忠,1990)。
2.在计算机环境下,由专门的机构和人员,接受财产所有者的授权或委托而对财产经营管理人员承担和履行经济责任的情况,进行审查并提出报告的一种经济监督活动(张立民,1994)。
3.计算机数据审计是指运用计算机审计技术对与财政收支、财务收支有关的计算机信息系统所处理的电子数据进行的审计(刘汝焯,2004)。
4.计算机审计应当包括三个方面的含义:(1)对计算机会计信息系统中的电子数据进行审计,这种计算机审计实际上是传统财务审计的延伸;(2)利用计算机辅助技术实施审计,其内容包括进行审计项目管理、建立审计数据库、审计测试和审计验证;(3)对计算机信息系统进行审计(苏运法、袁小勇、王海洪,2005)。
5.计算机审计泛指审计人员利用计算机应用程序或软件作为辅助审计工具,对被审计单位的财政、财务、相关业务和计算机信息系统等实施的审计,一般称为计算机辅助审计或电算化审计等(邱银河、木南,2006)。
(二)计算机审计的概念
以上列举的几种观点,是在不同时期人们对计算机审计的理解,一些学者是从计算机辅助审计的角度进行定义,还有些学者是从计算机信息系统审计角度进行定义。纵观计算机审计理论和实务的现状及未来学科体系的发展,应当将计算机审计、计算机辅助审计和信息系统审计几个概念加以区分。
计算机审计是指审计机构、审计人员对会计信息系统或ERP系统的工作环境、系统开发、数据处理、系统运行以及内部控制等环节进行的监督,旨在保证信息系统数据真实、安全的审计活动。而计算机辅助审计是指审计机构、审计人员利用计算机信息技术的优势,将计算机作为审计工作的工具,借助计算机硬件及审计专业软件,对被审计单位会计报表的合法性、公允性及会计处理方法运用的一贯性进行审查、评价并发表审计意见。信息系统审计则是指通过一定的技术手段采集审计证据,对被审计单位的计算机信息系统的安全性、可靠性、有效性和运行效率进行审查与评价。
二、目前计算机审计课程教材的内容及其评析
本文在此选取了几本比较具有代表性的教材,对其内容体系进行了评析。
(一)《计算机信息系统控制与审计》,张金城著,北京大学出版社2002年4月出版
本书全面系统地论述了计算机信息系统控制与审计的基本知识、基本理论、基本方法与技术。全书共十四章,16开本, 342页,分四个部分展开论述。第一部分介绍了计算机信息系统控制与审计的基本知识;第二部分论述了计算机信息系统一般控制和应用控制及其审计方法;第三部分系统地论述了系统开发、应用程序、数据文件、联机信息系统、终端机作业、数据库系统、网络信息系统、计算机犯罪的控制与审计方法和技术;第四部分论述了计算机辅助审计信息系统的开发方法。
本教材比较系统的介绍了计算机信息系统控制与审计的原理和审计对象及审计过程,内容比较全面,理论较深,具有较高的教学和科研参考价值,但如果作为教材,则缺乏应用的案例和深入浅出的讲解。
(二)《计算机审计》,苏运法,袁小勇,王海洪主编,首都经济贸易大学出版社2005年1月出版
本书共十二章,16开本,218页。全书主要论述了计算机审计的方法、技术与工具,计算机审计计划、重要性与审计风险,会计信息系统下的内部控制及审计评价,计算机审计证据的获取与收集,审计证据的评价,审计疑点查证,工作底稿与审计报告的形成。还介绍了计算机会计信息系统的审计和中岳审计软件学习指南。
本教材虽然名为《计算机审计》,但是教材的主要内容只介绍了计算机作为工具辅助审计的知识,应该叫《计算机辅助审计》更为恰当。
(三)《计算机审计技术和方法》,刘汝焯等编著,清华大学出版社2004年6月出版
本教材为国家审计署计算机审计中级培训系列教材之一,共十六章, 大16开本,305页。全书共分两大部分,第一部分主要介绍了计算机数据审计的内容,包括:审前调查,数据采集、清理、转换、验证、分析,审计现场网络构建等内容。第二部分主要介绍了信息系统审计的内容,包括:信息系统的控制,一般控制的审计,应用控制的审计,对应用软件的审计,信息系统生命周期的审计。
本教材两部分内容各占一半的篇幅,第一部分实际就是计算机辅助审计,第二部分才是真正意义上的计算机审计。第一部分通过实例,详细地介绍了计算机辅助审计的方法;第二部分按模块介绍了信息系统审计的内容。
(四)《计算机审计实务操作》,邱银河,木南主编,人民邮电出版社2006年8月出版
本书共八章, 大16开本,347页。全书主要介绍了计算机辅助审计的审前调查、数据采集、整理方法及常见问题的解决方案;以案例为主介绍了Excel在审计中的关键应用和数据库编程在审计中的应用;还介绍了现阶段应用最广泛的审计软件的基本操作,用审计软件完成一个审计项目的完整过程;最后简要介绍了信息系统审计的有关知识。全书附有光盘。
本书通过很多案例介绍了计算机辅助审计的实用方法,是一本比较全面而且实用的介绍计算机辅助审计方法的教材,但名称叫《计算机审计实务操作》,有失偏颇。
从以上几种教材分析可以看出,随着时间的推移和计算机审计实践和理论研究的深入,人们对计算机审计的认识逐渐明确,计算机辅助审计和计算机审计也有了比较清晰的划分。
三、计算机审计课程内容设计
(一)计算机审计内容
计算机审计的内容主要包括:内部控制系统审计,数据文件审计,软件开发审计,应用程序审计。
1.内部控制系统审计。对计算机会计信息系统审计时,整个审计工作的基础仍然是内部控制系统。内部控制系统的审计主要是审查内部控制制度与措施是否建立、是否完善、是否被一贯地执行。
2.数据文件审计。在计算机会计信息系统中,实质性测试的对象就是数据文件。对存贮在硬盘和移动存储设备上的数据文件,首先,需要采用计算机技术进行审计查证,分析数据是否被篡改过、存储数据是否完整等;其次,对数据文件的应用控制和一般控制是否健全、有效进行审查;第三,对数据文件内容的正确性与真实性进行审查。
3.软件开发审计。软件开发审计主要是审计专业人员对软件开发过程中形成的各种软件和数据文档进行审查。审查软件开发全过程及其结果是否符合企业内部控制规范指引和有关法规政策、软件开发工作是否符合既定的方案和规程、形成的文件是否符合相关标准等方面,以确保软件的可靠性、效率性、可维护性,运行结果的正确性、完整性,内部控制的适当性,从而提高系统的可审性。
4.应用程序审计。应用程序审计是信息系统审计的重要内容,同时也是计算机审计的核心。应用程序直接影响会计核算的结果,而程序是隐藏在后台的数据代码,检测程序运行痕迹,查找程序执行中的漏洞,需要耗费很大的精力和物力,这也是计算机审计过程中最困难的任务之一。实践过程表明,信息系统中最容易出现差错与舞弊的是程序,要想对信息系统的正确性、可靠性等作出公正的评价,必须对应用程序进行审计。应用程序审计的内容主要包括以下几个方面:审查计算机信息系统的安全性、可靠性;审查程序的合法性及内部控制的完整和有效;审查程序对数据处理和控制的有效性和运行效率;审查程序的容错能力和纠错能力。
(二)计算机审计教材(课程)体系及内容
1.计算机审计的概述。包括计算机审计的历史沿革,计算机审计的概念,计算机审计的方法与步骤, 计算机信息系统对审计工作的影响。
2.信息系统内部控制审计。包括计算机信息系统的内部控制概述,计算机环境下的审计风险,计算机信息系统的一般控制与应用控制,计算机信息系统内部控制审计及审计实例。
3.信息系统开发审计。主要介绍信息系统开发审计的目标,信息系统开发审计的内容和方法。
4.信息系统应用程序的审计。包括应用程序审计的内容,应用程序审计的方法,应用程序审计实例。
5.信息系统数据审计。包括数据审计概述,数据审计的准备工作,数据审计的技术与方法,数据审计案例。
6.计算机信息系统舞弊的控制和审计。包括计算机信息系统舞弊概述,计算机信息系统舞弊的控制,计算机信息系统舞弊的审计。
7.网络审计。包括网络审计概述,网络审计与电子商务,网络系统审计和网站审计。
8.计算机审计的发展趋势。包括未来的审计环境,审计决策支持与审计专家系统。
(三)建议规范计算机审计课程的内容
1.进一步明确计算机审计和计算机辅助审计的概念。由权威的学术机构、专家学者开展学术研讨,以学术成果的形式,对计算机审计和计算机辅助审计作出比较权威和明确的定义,以利于大家的进一步研究和引用;同时也便于学生在学习过程中对计算机审计知识的理解和掌握。
2.编著者在进行教材编写时应当对教材内容作出比较明确的定位,面向本科阶段使用的教材叫《计算机审计》为宜,侧重于审计对象,使学生掌握如何对计算机系统开展审计工作;而面向高职和中职阶段使用的教材应该叫《计算机辅助审计》,侧重于审计手段,使学生掌握如何利用计算机这一先进工具来开展审计工作。同时学校在课程开设上也应当明确化,使学生清楚该门课程的学习目标,对学生以后就业提供明确的参考方向。
参考文献:
[1]张立民.电算化系统控制与审计[M].天津科学技术出版社,1994.
[2]张金城.计算机信息系统控制与审计[M].北京大学出版社,2002.
[3]刘汝焯等.计算机审计技术和方法[M].清华大学出版社,2004.
[4]苏运法,袁小勇,王海洪.计算机审计[M].首都经济贸易大学出版社,2005.
[5]邱银河,木南.计算机审计实务操作[M].人民邮电出版社,2006.
信息系统审计论文范文6
论文关键词:关于高校内部审计工作“关口前移”的几点思考
国家审计署审计长刘家义在2008年“推进内部审计转型与发展研讨会”上指出,现代内部审计是部门、单位企事业组织的“免疫系统”,是内部控制体系的重要组成部分,渗透到内部管理的各个方面,必须以“强管理、防风险、促发展”为己任财务论文,积极探索以“事前审计为基础、事中审计为重点、事后审计为保障”的审计方式,要责无旁贷地承担起推动内部控制建设、强化风险管理的重要职责。这给内部审计的发展趋势定下了基调。高校审计部门作为现代内部审计的重要组成部分,担负着高校依法行政、依法监督的重要职责。目前,各高校审计部门所从事的业务工作大都是“事后审计”、“秋后算账”,没有体现出审计监督所应有的作用论文参考文献格式。高校内审工作需要切实转变传统的审计观念,改变以往“要我审”的模式,将审计工作“关口前移”,树立“防范胜于纠正”的理念,提升高校内审工作的前瞻性,提出多角度全方位的建设性意见,为决策层提供更有力的支持财务论文,为学校发展提供更优质的监督和服务。
一、高校内部审计工作“关口前移”的内涵体系
内部审计工作“关口前移”是新时期党风廉政建设“更加注重预防”要求在审计工作的具体运用,是把事后审计变为事前、事中审计,发挥审计“免疫系统”功能的必然要求。那么如何理解高校内部审计“关口前移”内涵,本文认为可以结合科学有效的方法加以剖析。
(一)从系统论角度丰富高校内部审计工作“关口前移”内涵。
一个系统是由各个相互作用相互影响的个体集合形成的整体。高校内部审计工作“关口前移”是一项具有复杂性、前瞻性的系统工程。其一、从系统所处的环境出发,一个动态的系统必定与它所处的系统环境有着结构性的联系。刘家义审计长2008年3月提出发挥审计“免疫系统”功能的观点之后,全面审计系统积极响应,许多审计创新理念雨后春笋般出现,在这种审计转型大趋势环境下,高校内部审计工作“关口前移”是践行审计“免疫系统”理念,推动审计工作转型必要途径论文参考文献格式。其二、从系统的整体性出发,审计人员必须从审计项目的各个侧面对高校内部审计工作“关口前移”进行系统化动态化研究分析财务论文,包括:审计的战略目标、影响审计项目的内外部关系、被审计部门内控制度的相互作用等。
(二)从控制论角度强化高校内部审计工作“关口前移”监督。
控制论是信息交换过程中原因与结果不断相互作用以完成共同目标的过程控制,一个完整的控制系统必须包括三个要素:导向器、检测器以及矫正器。高校内部审计工作“关口前移”相当于导向器和检测器,侧重于事前、事中控制,发挥着审计“免疫系统”的预防功能和揭示功能。在高校内部审计过程中,当控制主体(审计人员)将获取的控制信息(审计证据)传达给被控制对象(被审计项目或被审计部门)时,其实也就是起到了一个行为修正的作用,即相当于控制系统中的矫正器,同时也发挥着审计“免疫系统”的抵御功能。
(三)从信息论角度畅通高校内部审计工作“关口前移”渠道。
为了全面清晰认识高校教育系统经济收支、专项资金管理、教育资产安全完整等情况,必须加大高校内部审计信息化建设,在改进审计手段和提升审计效能的基础上,畅通高校内部审计“关口前移”所必需的信息渠道财务论文,充分运用0A审计办公系统和AO审计现场实施系统对财务数据和业务数据联动审查,建立一套可操作性强的信息传输、信息获取、信息筛选、信息处理、信息储存的动态高校内审路径。
二、当前高校内部审计“关口前移”的主要制约因素
审计“关口前移”是审计方式创新的结果和审计工作科学发展的延伸论文参考文献格式。从工作实践上看,高校内部审计“关口前移”取得了卓著的工作成效和良好的社会评价。但是,近年来,很多高校投入大量资金,建设速度明显加快,新建项目、维修改造项目明显增多,物资设备采购规模不断扩大等等,现有的审计理念、审计独立性、审计方法、审计手段以及审计范围已经无法完全适应高校快速发展对内部审计工作的要求,具体表现以下几个方面:
(一)审计“关口前移”的认识不足
高校内审人员树立“关口前移”审计意识淡薄,仅仅着眼于问题的解决办法财务论文,没有立足于促进机制建设,通过与其他部门协作共同管理学校。并且高校内审工作侧重于行政监督,“事后纠弊”或“事后问责”,没有真正担负起为高校健康稳定发展“保驾护航”的职责。目前,高校内部控制机制的不完善和高校治理权力过分集中,客观上阻碍了高校内审工作“关口前移”的运用。在实际工作中,主要表现是:审计立项主观性较强,审计风险管理及质量控制不力,业务工作流程存在一定随意性,缺乏各个环节规范的文本等等。
(二)内部审计范围比较狭窄
由于我国内部审计工作起步较晚,发展较慢财务论文,高校内部审计工作内容大都停留在财务收支审计、基建(修缮)工程审计和领导干部经济责任审计等方面,内部控制审计、管理审计、专项资金审计、效益审计基本上没有开展,影响了我国高校内部审计职能的有效发展。
(三)内部审计工作手段落后
随着知识经济的来临,经济活动记录已面向电子化、数字化和无纸化的方向发展,会计技术为了跟随市场经济的知识化、信息化的步伐,很多企事业单位已经实现了会计电算化。然而,在会计电算化信息开发时代,我国的审计电算化却相对滞后,许多审计人员还停留在纸质账本审计阶段,对计算机审计技术掌握不够论文参考文献格式。我国高校内部审计技术手段相对落后尤为突出。
(四)内部审计人员质量不足
随着高校信息化快速发展,信息资源快速建设和不断引进财务论文,许多高校已经实现了校园网络一体化和,那么这就需要相配套的先进科学管理技术方法和高素质信息化管理人才。但从目前看,有很多高校内部审计人员不能从传统的审计手段中解放出来,信息技术知识缺乏、跟不上高校信息化建设对人才的需求。
三、高校内部审计工作“关口前移”的基本思路和具体做法
高校实行内部审计“关口前移”,就是要实现四个转变:在指导思想和工作定位上,实现由注重结果到注重过程、由注重监督到注重监督与服务并重的转变;在审计内容上,实现由单纯财务领域的差错防弊到注重改善经营管理的转变;在审计方式上,由单纯基建(修缮)工程结算审计到全过程跟踪审计、由领导干部离任审计到任前或任中审计的转变;在审计手段上,实现由手工操作向计算机审计、网络实时审计的转变。
(一)加快审计理念转变速度
在审计中,既注意对结果的审计,更注重对过程的审计财务论文,实现由注重治标向重在治本的转变、由查错纠弊向风险型审计转变;以加强控制、防范风险为目标,重点关注内部控制能力及其有效性的审计和评价,查找内部控制、风险管理的薄弱环节,更好地发挥内部审计在促进高校内部管理中的建设性作用。
(二)拓宽内部审计覆盖领域
除了开展基建(修缮)工程审计、财务收支和预决算审计,以及领导干部经济责任审计外,每年可以按照计划有针对性地开展内部控制审计、专项资金审计和效益审计。同时,要按照“全面审计,突出重点”的原则,将高校经济活动全部纳入审计范围,特别要注意从未审计或长期未审计的单位,做到不留死角。
(三)实施审计方式创新工作
由事后审计为主向事前、事中、事后审计并重转变财务论文,建立以“事前审计为基础、事中审计为重点、事后审计为保障”的审计方式,实现对审计项目的动态管理和监督,有利于进一步发挥审计监督在防范和控制风险中的积极作用论文参考文献格式。比如,基建(修缮)工程领域推行全过程跟踪审计,实现工程项目全程审计与建设工程同步,对工程建设的立项、决策、设计、招投标、施工监理、竣工结算等全过程经济活动和财务收支的真实性、合法性和效益性进行全过程跟踪审计服务和监督;针对领导干部任期经济责任审计,建立起“以任前、任中审计为主,兼顾离任审计”的审计模式,坚持有离必有审,先审后离,先审后任财务论文,把审计评价作为任免干部的重要参考依据。
(四)加强审计手段创新能力
在审计手段上,广泛运用现代审计技术,多形式、全方位地发挥监督和服务作用。第一,实现由传统手工操作向信息化、科学化的审计手段转变,构建起集联网审计、实时审计、在线审计为一体的现代化审计平台,实现对重点项目资金实时的、动态的监控,全面提高审计工作质量和效率。第二,探索建立“两书、两报告”制度(“两书”即《管理建议书》和《审计建议书》,“两报告”即《审计专项调查报告》和《审计工作报告(年度或半年度)》),充分发挥其在促进管理、服务领导决策方面的作用。第三,充分发挥审计专项调查作用财务论文,针对热点、重点问题积极开展审计调查,如开展教育收费专项审计调查、“小金库”清理、工程领域专项治理等工作,摸清家底,化解矛盾。
(五)加强内部审计队伍建设
