审计信息范文1
20世纪50年代以来,随着信息技术的高速发展与广泛应用,特别是电子商务的推广,信息技术正成为当今企业环境中最重要的资源之一。谁拥有最准确、最及时的信息,谁就会赢得竞争的胜利。获取信息的能力正成为企业的核心竞争能力之一b而互联网技术在电子商务中的应用越来越广泛和深人,可以使得价值链的各环节实现无缝隙的光滑的链接。企业与竞争对手建立起合作联系,原来的“价值链”(ValueChain)变成了“价值网”(ValueChain)。电于商务以及价值链的转变改变了传统的审计业务。当企业开始与新的贸易伙伴交换数据进行交易时,贸易伙伴及其交易处理系统的可靠性都必须得到评估。 当供应链管理中各个过程和步骤,如库存需求计划、购货订单、销售订单、运货单和现金支出等,通过电于商务信息系统被电子化处理时,审查交易数据和评估其完整性及可靠性则成为必要。社会的需要促使新的审计业务—lS审计的产生。它不仅仅是应用计算机技术进行审计(即传统EDI审计或计算机辅助审计),更重要的是对包括财务管理信息系统在内的所有信息系统本身的安全性、保密性、完整性及其实现企业目标的有效性进行的审计。 一、IS审计产生动因分析 1.电子商务的迅猛发展改变了商务环境 何谓“电子商务”?一般来说,电子商务可以理解为所有的商业行为和交易(包括内部和外部的)都是在基于互联网或类似互联网的计算机网络上进行。这些行为可以是简单的交易,如直接利用互联网销售商品,也可能是非常复杂的交易,如通过互联网技术将企业的价值链的各个环节,各类职能都整合在一体。当前网络经营的发展已经初具规模。 企业掀起了一波又一波的电子商务浪潮。如图所示:图中显示每一浪都比前一浪更进步、更大,伴随着每一浪潮的是电子商务技术和实务的更广泛应用。第一浪主要是80年代和90年代初的电子数据交换实务,现在已让位给第二浪,如今许多公司己踏上追赶第三浪的征程了。 在第一浪中电子交易仅仅出现在早已建立关系的商业伙伴之间。第二浪中电子交易能发生在虚拟的陌生人之间,因此要求向更广泛的人群(潜在的客户)提供公司的信息。无现金交易与智能将是第三浪的主题。商务环境正日益数字化、信息化。 2.电子商务改变了传统的价值链 传统价值链通常将信息系统的数据描述为在最初阶段的供应商输人到最终阶段的客户输出的依次流动。而信息时代,电子商务使公司在价值链的许多环节都与客户和供应商分享信息。互联网技术的支持对信息的基础结构产生了革命性的影响,特别是近几年基于网络技术的内联网和外联网的发展正是对这一点最好的诊释。企业逐步向所信任的供应商、合作伙伴及客户开发其内联网(Intranets),从而成倍降低其交易成本的同时分享价值链增值带来的好处。当公司的业务流程和工作流程实现了自动化,就进人了企业界内部联网的Intranet,将众多的连接在一起,就使得上下游企业的合作成为可能,工作流不仅在企业内部流动,而且也在企业间流动,这一外联网(Ex仃allets)使得企业网上商务活动水到渠成。在价值链的各个环节(如供应商、消费者以及他们所处的环境)中流动的信息必须具有可靠性和及时性。正是由于互联网技术在电子商务中的应用越来越广泛和深人,使得价值链的各环节实现了无缝隙的光滑的链接。企业与竞争对手逐步建立起合作联系,原来的“价值链”(ValueChain)变成了“价值网”(valueChain)。 3.价值链的改变带来信息使用者对信息要求的改变 信息使用者既包括企业管理者、交易伙伴也包括投资人。在信息时代,谁先掌握最及时最可靠的信息,谁就可以赢得市场。他们对信息的关注不再只是财务报表所反映的过去的信息.而是更多关注公司的实时信息以便及时做出更为科学的决策。因此信息使用者有着强烈的愿望需要有一个独立、客观、公正的第三方,为其提供所需信息的质量审查,以合理保证其信息的完整性、可靠性,社会的需要促使新的审计业务—IS审计(infbnl飞ation易stenlaudit)的产生。它不仅仅是应用计算机技术进行审计(即传统El)1审计或计算机辅助审计),更重要的是对包括财务管理信息系统在内的所有信息系统本身的安全性、保密性、完整性及其实现企业目标的有效性进行的审计。 二、IS审计的发展 lS审计的发展是伴随着信息技术的发展而发展的。在数据处理电算化的初期,由于人们对计算机在数据处理中的应用所产生的影响没有足够的认识,认为计算机处理数据准确可靠,不会出现错弊,因而很少对数据处理系统进行审计,主要是对计算机打印出的一部分资料进行传统的手工审计。 随着计算机在数据处理系统中应用的逐步扩大,利用计算机犯罪的案件不断出现,使审计人员认识到要应用计算机辅助审计技术对电子数据处理系统本身进行审计,即EDI审计。 同时随着社会经济的发展,审计对象、范围越来越大,审计业务也越来越复杂,利用传统的手工方法已不能及时完成审计任务,必须应用计算机辅助审计技术(CAA叮rs)进行审计。20世纪80年代、90年代信息技术的进一步发展与普及,使得企业越来越依赖信息及产生信息的信息系统。人们开始更多地关注信息系统的安全性、保密性、完整性及其实现企业目标的效率、效果,真正意义的IS审计才出现。随着电子商务的全球普及,信息系统的审计对象、范围及内容将逐渐扩大,采用的技术也将日益复杂。 1.信息技术带来审计范围的改变 信息技术的高速发展与广泛应用改变着商业环境,改变着信息的产生与处理方式,从而改变着信息使用者对信息的要求,而这一切必然影响并改变着审计鉴证业务的范围、内容与方法。在信息时代,电于商务公司为预防不良事件的发生必须将其内部控制扩展到交易处理系统的各个方面,包括企业内联网与外联网在内的任何直接或间接影响财务报表或其他至关重要资料的数据或处理系统,因为该系统与包括贸易伙伴在内的其他系统有着密切的联系。此外,这些公司还必须对与其互通商业数据的贸易伙伴的内部控制系统有信心。#p#分页标题#e# 2.信息技术带来审计内容的改变 信息系统(15)审计应对以下业务进行审计:(l)系统开发审计。包括开发过程的审计、开发方法的审计,为IT筹划指导委员会提供咨询服务。(2)主要数据中心、网络、通讯设施的结构审计。包括财务系统和非财务系统的应用审计。(3)支持其他审计人员的工作,如为财务审计人员与经营审计人员提供技术支持和培训。(4)为组织提供增值服务。如为管理信息系统人员提供技术、控制与安全指导;推动控制自评估程序的执行。(5)对软件及硬件供应商及外包服务商提供的产品及服务质量是否与合同相符的审计。(6)灾难恢复和业务持续计划审计。(7)计算机运行及应用开发测试。(8)系统的安全审计。(9)网站信誉审计。(10)全面控制审计等_ 3.信息技术带来审计方法的改变 在电子商务系统下,信息需求者要求实时的信息鉴证服务,并且纸上审计已不存在,所以要求有新的审计方法出现。 如:(l)连续步骤审计(continuousprocessauditing)。这种方法是审计师制定交易选择标准并执行测试,而这些测试的执行是在一定的间隙内进行的,如每天、每小时或发生时。审计师应该参与融人这些系统的设计过程,以便能对连续监督程序和输出结果有必要的保证。系统的输出可能是以例外报告或警告的形式出现。这种方法包括运用绕过计算机的审计技术和通过计算机技术。(2)控制(controlagent)。这是审计师定义的经验实用法,可以定期地运用到交易模式上。在找到不寻常业务活动时会首先搜寻类似的活动,以试图理解该活动模式。如果该活动无法解释,控制就会提醒审计师警觉。此外,他们还能促成对电于商务系统整体完整性的更及时的评估,这能使事件的发生与相关信息披露之间的差距缩小。 总之,IS审计业务将随着信息技术的发展而发展,为满足信息使用者不断变化的需要而增加新的服务内容。随着电子交易的普及,网络会计必然代替传统会计,鉴证传统会计报表的传统审计业务也将被IS审计包容。到目前为止,IS审计在全球来看,还是一个新的业务,从美国五大会计师事务所的数据看1990年拥有IS审计师12名到近百名,1995年已有500名,到2000年时,IS审计师正以40%一50%的速度增加,说明lS审计正逐渐受到重视。IS审计的主要推动者是美国信息系统AC气〔IS审计与控制协会),成立于1969年,在全球建有100多个分会,推出了一系列IS审计准则、职业道德准则等规范性文件,并开展了大量的理论研究,CO-Bl’f(G卫ltro!ObjectivoforInlbnllationandRelat司Technolo-盯)已出版了第三版。 三、我国注册会计师面对IS审计的机遇与挑战 1.机遇 (l)我国注册会计师面临的最大机遇是广阔市场需求。 仅2002年,中国每十天左右就会有一个预算为500万元以上的ERP项目招投标,一年的项目在50一70个左右;预算为100万元至500万元的ERP项目在60一100个左右;预算为100万元的项目在100一150个左右。有些项目是企业自筹资金,有些项目是国家资金支持。另外,从1999年起,全国普遍实行了政府上网工程。到2001年,绝大多数乡级以上政府都设有站点,通过网站向社会信息,有的还开始提供在线服务。2000年底,中国各式电子商务公司超过500家。预计电于商务市场规模将从2000年的873亿美元增长到20()4年的5463亿美元。网上银行、网络证券交易也出现在我们的生活中。大规模的信息化建设,对信息系统的安全、有效、保密以及其提供的信息的真实、完整等提出了鉴证要求,因此我们拥有极大的1s审计需求市场。 (2)lS审计在全球来看也是一项新业务,它的审计准则、规范、审计方法等还不成熟,有待进一步研究。这使我们有机会与世界强国在同一水平线起跑,通过积极参与IS审计研究,参与规则的制订,为我国lS审计争得有利地位 (3)我国注册会计师审计业务单一、事务所之间在有限的报表审计领域低层次竞争,过分依赖这一单一业务,甚至影响到注册会计师的独立性。发展IS审计业务,无疑为注册会计师找到了一个新的利润增长点。 2.挑战 (l)国际著名会计师事务所已纷纷抢滩中国,在lS审计方面会更甚。因为IS审计的许多准则都是由他们制订的普华永道、德勤、安永、毕马威都已开展IS审计业务,争夺重要客户,诸如网上银行、网上证券以及电子政府。而国内会计师事务所基本没有IS审计业务,甚至根本没有意识到信息时代新的业务机会。我国注册会计师若想站稳国内市场,必须充分认识到开展IS审计业务的紧迫性,奋起直追 (2)我国注册会计师的知识结构尚无法满足1S审计业务发展的要求。如注册会计师考试仅包括会计、审计、税法、经济法、成本与财务管理五部分,没有信息技术知识的要求,会是一个知识结构缺陷。此外,受观念落后的制约,我国目前计算机审计最多停留在计算机辅助审计与会计lS审计层面上,对非财务信息系统几乎没有关注。 3.几点建议 (l)加强宣传和引导。应加大对信息及信息系统资产的安全、完整、有效地实现组织目标的宣传,提高人们对IS审计的关注,引导并培育市场。如越来越多的传统企业大规模实施的企业信息化,提高了企业效率的同时,也为企业带来种种困难,如网络经常掉线,服务器宕机,邮件发不出去,病毒肆虐,客户资料被盗。这正是通过lS审计能够合理避免的现象,可以由此开展宣传。 (2)建议中注协成立信息系统(工S)审计专业委员会。着手研究制定我国IS审计执业规范体系,做好1S审计的推动与管理工作,并由委员会组织培训和执业资格考试,培养一批IS审计师,培育一批可以进行lS审计的事务所。 (3)建议相关部门尽快研究我国的琳审计制度,制定相关的法律、法规。对任何直接或间接影响财务报表或其他至关重要资料的数据或处理系统都要求审计,并可在重大信息化工程项目中试点,在总结经验教训的基础_L.再逐步推广施行lS审计制度。#p#分页标题#e# (4)加强对注册会计师信息技术知识的要求。lS审计人员一般都应具备全面的计算机软硬件知识,对网络和系统安全有独特的敏感性,并且对财务会计和单位内部控制有深刻的理解。为此,可在注册会计师资格考试中应加人信息技术方面的内容,在后续教育中也应不断对注册会计师的信息技术加以培训,以便能及时掌握技术的最新发展‘、同时注册会计师协会应该不断关注技术的发展。
审计信息范文2
关键词:会计审计;风险因素;信息化审计
在对2016年全国3000例会计审计违规案例进行分析的过程中,我们能够发现1875的案例是因为对会计审计风险认识不足造成的,正是因为对会计审计风险缺乏客观认识,才导致会计审计工作出现不规范、操作违规等多种迹象。
一、会计审计风险因素的有效分析
(一)法律法规不健全、市场竞争环境日益激烈
经济社会的发展使得社会各行各业都面临着前所未有的竞争压力,市场竞争环境具有明显的激烈性和突出性。各个企业为了有效地应对市场竞争形势的变化,纷纷开始重视会计审计工作方式的优化和生机。但是从我国目前的会计审计工作发展现状来看,某些管理者为了实现短期经济效益、在激烈的市场竞争中获得一席之地,往往会产生篡改会计审计数据的动机,导致会计审计工作质量受到波及和影响。部分单位和企业的会计审计工作方式和实际经济业务需要之间相去甚远,在无形之中加大了会计审计风险。此外,由于我国会计审计相关法律法规不健全,一些会计审计过程中存在的沉珂问题长时间存在,难以通过妥当的法律得到处理,在客观上导致会计审计工作风险的存在。上述内容是我国会计审计法律法规不健全和市场竞争环境日益激烈因素导致的,直接影响了我国会计审计工作的质量。在对审计工作人员开展的调查问卷中,53%的审计工作人员认为审计工作相关法律法规不健全,导致其在工作中遇到问题和情况时无据可依,工作效率和工作质量受到很大影响。
(二)会计审计人员素质有待提升
市场经济发展形势使得会计审计工作面临着多元化工作需求,同时也对会计审计工作人员的专业素质和专业能力提出了较高的要求。只有会计审计人员能够通过自身的专业知识对会计审计工作相关问题提出针对性将解决意见,才能引领会计审计工作走上现代化和科学化道路。但是我国会计审计工作人员整体上存在专业能力低下、责任意识不足的问题,间接地降低了会计审计工作效率。首先,部分会计审计人员在实际工作中不能将专业知识转化为解决实际问题的能力,不能适应会计审计工作实际发展需要,使得相关业务承担着较高的风险;其次,一些会计审计工作人员对于会计审计工作所需信息掌握不充分,不能充分掌握信息化审计工作模式的基本要求,导致会计审计工作效益难以达到生产经营活动预期达到的效益;再次,很多审计工作人员对会计审计工作的重要性和风险缺乏基本意识,不能充分把握会计审计工作的战略意义,最终导致单位和企业承担较大经济损失。
(三)审计工作数量增加、会计审计工作模式亟待更新
在在经济一体化和多边贸易的时代背景下,我国和其他国家的经济活动贸易总量正以几何式增长方式增长。在这种情况下,需要国家制定科学的部署和发展方向,引领我国经济社会朝着国际化和一体化的方向前进。这就直接导致了我国审计对象数量、会计审计工作内容显著增加。而我国会计审计工作模式受到传统会计审计工作模式的制约,难以适应现代化会计审计工作需要,致使实际工作开展中面临着较大的挑战和风险。因此,政府和各个企业都需要及时采取措施来应对时代条件变化带来的审计风险,为重新构建会计审计工作模式奠定良好的基础。
二、加强会计信息化审计建设的有效对策
(一)健全会计审计法律法规,制定科学的会计审计原则
要将会计审计工作从传统会计审计模式转变为信息会计审计模式,首先要从建立健全的会计审计法规着手,让单位和企业有明确的会计审计原则作为指导。笔者认为可以从以下几个方面努力:第一,政府部门需要结合市场竞争形势和会计审计工作实际需要进行引领,制定切实可行的工作方法和工作原则,在结合审计机构和审计部门实际工作需求的基础上不断完善会计审计法律法规,使得会计审计信息化建设的步伐得到持续前进;第二,要重视会计审计工作流程的优化和会计监督体系的建立,将会计审计工作中可能存在的问题扼杀在萌芽之中。同时,社会各界要提升对会计审计工作的重要性认识,为优化会计审计工作方式奠定良好的基础。调查统计结果显示伴随着内部控制规范、审计相关法律法规的出台与会计准则的适时调整,我国国内瑞华、立信、致同、天职国际等重要会计师事务所审计报告不规范数量降低了78.3%;政府审计和内部审计工作被揭露工作流程不规范、工作方法不科学的的案例减少了40%。
(二)加大会计审计人员专业能力的培训力度,强化其风险意识
要在短时间内快速地实现信息化会计审计工作目标,需要不断地提升会计审计工作人员的素质和能力,使其能够灵活有机地运用会计审计专业知识来应对会计审计工作现实情况,加深对会计审计风险的把握程度和认识能力。具体来讲,各个单位和企业需要根据自身业务性质和会计审计工作的基本要求来对会计审计人员进行针对性的培训,使其在审计实践之中充分地利用会计审计理论知识,循序渐渐地提升会计审计工作能力和素养;此外,各单位和企业要重视会计审计专业人才的引进工作,积极争取和高校会计审计专业的合作和交流,校企共同进行会计审计专业人才的打造,并通过专业的激励机制来强化会计审计人员风险意识,使得会计审计人员能够有效地应对会计审计流程之中的风险,并逐步地提升其综合素养。笔者在对本人所在地区会计审计人员培训情况进行调研的过程中发现,每一年有超过3000名的会计审计人员到高校或者培训机构进行进修,学习最新的会计知识和审计知识掌握了风险审计内涵和本质,为本地区会计审计工作规范性奠定了更加坚实的基础。
(三)注重信息技术的合理使用,实现会计审计信息管理系统
面对着会计审计数众多、内容繁杂的工作现状,为了有效地应对会计审计风险,需要充分地利用最新信息技术发展结构,构建强大的会计审计信息系管理提供,为全面的会计审计工作提供强有力的技术支撑。具体来说,首先,需要在会计审计工作中引用可靠的信息技术对工作质量进行客观评价和判断,并及时地对市场经济信息进行采集和整理,从整体上把控会计审计工作流程,将各个业务环节发生风险的概率讲到最低;其次,要利用最新的信息技术来构建服务功能健全的会计审计信息管理系统,使得该系统能够满足多元化会计审计业务开展需求,实现对审计风险的有效规避。在信息技术使用和审计信息管理系统建设上,我国会计审计领域已经取得了一定的成效,超过90%的会计审计部门已经做到了信息技术覆盖。
三、结语
会计审计工作开展之中,受到市场经济环境、会计人员综合素质、会计审计手段等多方面因素的影响,这些风险因素将会对审计业务质量和审计工作开展产生至关重要的影响。政府部门在这个过程中要充分发挥自身的引领作用,细化审计准则,帮助单位和企业明确会计审计工作规范。同时,单位和企业还要重视会计审计人员专业技能培训,使其意识到审计工作开展中的各项问题,借助激励机制的健全和信息化审计方式的建立来提升审计质量。
参考文献:
[1]王瑞华.基于会计审计风险原因与会计信息化审计对策的分析[J].商场现代化,2014,(27).
[2]栾芳蕾.会计审计风险因素与信息化审计策略研究[J].中国市场,2015,(27).
[3]董燎原.会计风险与审计风险的防控对策探究[J].财经界:学术版,2016,(11).
[4]徐祖华.试论会计审计风险因素与信息化审计策略[J].中国乡镇会计,2016,(08).
审计信息范文3
[关键词]会计审计;审计风险;信息化审计
1引言
传统形式的会计审计方式已经无法满足现阶段社会的需求,为了能够适应现阶段的社会,就需要将传统形式的会计审计逐渐转变成信息化的形式,这对于现阶段很多公司而言都是一项非常重要的工作。在转变期间,需要公司及时将转变过程中会出现的一系列问题及时解决,这样才能有效预防公司在这期间会出现风险的可能性。与此同时,相关部门需要对审计当中的各项制度实施进一步的优化,这样才能够保证信息化审计的进步。
2会计信息系统在审计过程中的风险
2.1系统出现错误的风险。会计信息系统化相比之传统形式而言更加智能,其主要是以计算机当中的自动化处理技术为基础,对所有数据实行自动排列,能够节省大量的时间,同时还能够为公司节省一部分的人力资源,从而有效促进公司的进步。如果相关的工作人员无法对计算机当中的技术足够熟练,很有可能导致在对其实施计算的过程中,导致计算出来的结果出现错误。虽然人能够对计算机实施有效控制,而计算机是能够有效控制会计软件,在这种情况下,如果系统遭到他人修改还没有被发现,这样很有可能会导致一些不法分子,或是一些管理者将信息数据实施修改提供了理由。
2.2检查风险。为了能够有效避免出现一些虚假的信息,就需要对这方面派遣专业的工作人员,而且这类工作人员的主要工作为检查数据,对公司当中的各项信息数据实施有效的审查。因为在运行计算机实行相应的计算方面的工作比较烦琐,所以就对其实施检查的人员提出了相当高的要求,让这方面的工作人员不仅需要熟悉自身的业务,还要做到能够灵活的操控所有的软件。如果工作人员在这方面的能力较差,很有可能导致在审查过程中出现错误,甚至有可能为公司造成一定的损失。随着信息技术的不断普及,软件的更新速度逐渐提升,而这也就造成了在对其实施具体操作的难度逐渐降低。虽然能够非常快的将所有数据处理好,但是这也会让很多的工作人员过于依赖信息数据。随着软件的不断更新,也会导致对原数据实施处理更加困难,虽然能够有效降低审计的效率,与此同时还是会增加审计的风险。
3会计审计的风险要素
3.1社会竞争越来越大。随着我国经济的不断进步,人们对于从商的观念也随之改变,因为商业能够带给人极大的利益,这也就成为很多人选择创业的主要原因,伴随着越来越多的人开始创业,不断有新的公司建立起来,这也造成了在市场上的竞争逐渐激烈起来。因为公司之间的竞争逐渐加大,而计算机信息技术的不断提升,这项技术能够将数据做到零误差的情况。这也是为什么很多公司会为了能够谋取更大的利益,而将自身的会计审计水平提升,甚至将数据实行更改,这样做不仅为后期的审计工作提升了难度,还为整个审计的失败奠定了基础。
3.2审计对象与内容。在我国对于审计的过程中,其审计的对象主要是审计过程中所需要考察客体,也可以称为相关的经济方面活动。随着全球化的趋势逐渐加快,会计审计也逐渐向着全球化的方向进步,而市场竞争逐渐向着全球化方向迈进,这样还加剧了审计方面的工作。这时就需要根据现阶段的情况来具体分析,为了能够更好地解决这期间出现的各种问题,就需要各个企业将其克服,这样才能够让公司有一个飞跃式的进步。
3.3审计工作人员的能力与道德。审计工作是一项涉及面极广的工作,这也就造成对相关工作人员在这方面的要求比较高,需要相关工作人员在这方面的知识储备足够丰富,以及专业技能更为扎实,这样在具体实施工作的过程中更加得心应手,如果相关工作人员的能力不足,很有可能会为公司造成一定的损失。这时就需要工作人员能够跟上现阶段的进展需求,这样才能够在工作过程中不会出现损失。
4预防审计过程中的风险措施
4.1制定相关的制度。对于审计工作而言,必须制定相应且有效的管理制度,这样才能有效减少在审计过程中所出现的风险。所以就需要灵活运用科学的方式实施管理,这样不仅能够预防审计过程中的风险,还能有效降低风险的出现。尤其是在实行信息化审计过程中,必须严格按照相关的标准实行,这样不仅能有效满足信息化审计的基础需求,还能有效预防审计过程中风险的发生。
4.2加强对审计的检查工作。审计部门的主要职责是对所有单位实施定期的审计检查工作,所以这个部门需要对公司的实际情况做到有效的掌握,这样才能减少审计过程中出现风险的可能性。在实施具体审计过程中,需要对公司的各个方面实行细致的检查,这样才能减轻审计风险的出现。与此同时,还要对相关工作人员实行定期的考核,而其考核的具体内容不能只是在操作方面,更应该将工作人员的各个方面考虑周全,尤其是在职业素养方面,这样不仅能够减少因为人为因素所带来的风险,还能够有效降低公司的损失。与此同时,还要建立一个会计审计方面的信息数据库,因为公司所包含的信息量比较巨大,所以为了能够更加方便调取信息,就需要建设相应的信息数据库,这样不仅以极快的速度寻找到想要的信息数据,还能减少其中潜藏的风险。
4.3强化公司内部控制。将公司内部的信息系统实行有效的控制,是完善审计的前提,而这个控制不单单是指简单的控制,而是将系统中的各种情况实行有效的控制。虽然在对公司实施控制过程中,其所涉及的内容比较广泛,但是要想做到有效控制,就需要将制度以及程序在内部进行控制就可以了。要想做到这一点,就需要提升相关的工作人员实行具体的操作,而且对工作人员的要求也是相对较高,尤其是在专业技能方面,需要让工作人员能够对工作做到以一个正确的心态实行,并且加强工作人员在工作过程中的状态。
4.4信息化审计特点。伴随着我国在信息方面的不断进步,随之而来的就是我国在审计相关行业也逐渐使用信息化技术,这也是为我国在审计方面的工作逐渐完善化打下了坚实的基础。因为会计信息化速度的加快,并且逐渐涌现出诸多的要求,为了适应现阶段社会对审计的要求,就需要让审计人员的工作能力提升,并且能够及时更新与完善审计能力。会计审计自身具有较高效率的特点,这也是有效降低审计风险发生的概率,从而将信息数据做到高效提取的能力,还能加速传统审计的工作效率。
5会计信息化审计具体实施方案
5.1建立一个完善的审计制度。要想建立一个相对完善的审计方案,只是依靠公司自身是不可行的,还要依靠政府。先需要根据我国现阶段的具体情况分析,制定相应的审计制度,这样才能有效减少因为制度的原因而出现的损失,而相关的部门需要采取相应的补救措施,这样才能在一定程度上减少因为失误而造成的损失。与此同时,还要逐渐将审计制度实施优化,这样才能让会计信息化审计得到更快的发展。
5.2加强对审计工作人员的培训。审计的工作人员是能实现信息化审计的核心,为了有效保证我国的法律法规以及审计原则等,一些固定的资源能够得到充分的运用,就需要审计能力强且专业素质高的审计团队作为基础,将公司中的所有资源调动起来,让其能够发挥出应有的作用,这样能够从根本上将公司内部的风险有效预防,还能防止外界审计风险的出现。与此同时,对审计团队实行岗位责任制度,对所有审计工作人员分配明确的工作职能以及任务,还要让所有审计人员对的工作质量负责,并且对其设置相应的奖罚制度,通过奖罚制度来促进工作人员对自身工作的积极性,还能有效增强员工的专业素养,从而有效避免因人员在工作过程中出现的问题而导致审计出现风险。所以为了让审计过程中质量足够优质,就需要工作人员的能力足够高,为了有效提升公司审计水平,就需要对相关的工作人员实行相应培训工作,在培训过程中需要对其实行相应的培训,这样才能促进工作人员能够向着全方位的方向进步,从而促进这项工作在具体操作过程中更加专业。
5.3强化风险管理意识。为了能够保证审计工作以高质量进行,相关企业就需要对自身的风险管理意识提升,能够在实施审计工作的过程中一直保持高度警惕的心态,对企业自身及时检查,如果发现可能出现的风险苗头,就需要及时采取相应的应对措施。要想实现风险管理的意识,就需要从主观的角度出发,提升企业审计人员对自身工作富有强烈的责任感,以此来促进审计工作能够严格的按照相关规定实行,以防失误的发生。并且将风险管理作为整个审计工作的核心,与此同时,还要提升审计工作人员专业素质方面的培养,这样能够防止部分工作人员随意篡改审计的信息数据。在对信息化建设的过程中,相关的工作人员需要将互联网的环境风险考虑到并且要高度重视。此外,还要对互联网建设一个网络安全防护系统,以此来保证网络上的信息数据不会遭到窃取,防止网络风险出现。
5.4完善企业开展会计审计工作的制度设计。现阶段,在实施审计工作的环境方面,尤其是在审计工作方面发生了比较大的变化,这时就需要在公司中开展会计审计制度的设计,这样才能进一步实现信息化审计工作。对于政府而言,需要结合审核地区的实际开展情况以及需求等要素,来完善审计方面的制度,以相关制度的方式来引导信息化审计工作的实现。此外,相关部门需要将自身的监管职能充分地发挥出来,在实行具体的审计工作过程中,需要对审计方面的工作做到充分掌握与了解,将所有不符合相关规定的准则,及时采取相应的措施将其解决。相关的工作人员需要对自身的工作职能充分了解,在具体实施工作的过程中,需要工作人员能够将理论充分运用至实践当中,从而将自身的专业水平进一步提升。
参考文献:
[1]关会好.建筑施工企业会计审计风险与信息化审计研究[J].住宅与房地产,2018(34):14.
审计信息范文4
关键词:内部审计;信息系统;渗透测试;信息安全
近年来,随着信息系统在央行履职中的支持作用不断增强,央行信息系统逐渐向外部机构或互联网开放,其面临的入侵风险与日俱增。在信息系统审计中,如何运用各种可信安全工具对信息系统安全性进行渗透测试审计,是当前信息系统审计工作的一个尝试。
一、信息系统安全审计的4种方式
在近两年的信息系统审计中,审计人员已不单局限于传统看配置的检查方式,而是逐渐延伸到挖漏洞、看代码、查日志等多种审计方式。以下是信息系统安全审计的4种方式。
(一)配置检查(看配置)
配置检查是指分析操作系统、数据库、网络设备和中间件的配置文件,评估其是否安全。在传统信息系统审计中,对系统安全的审计通常指配置检查,而近年来对人民银行信息系统的审计,已通过程序化脚本逐步实现对操作系统、数据库和网络设备的自动化配置检查。配置检查的优点是标准化程度高,检查人员只须逐项核对标准,或使用脚本检查即可完成。但配置检查也存在难以评估的问题,并且在配置合规的情况下,由于固有漏洞的存在,信息系统仍可能存在安全风险。传统的配置检查已难以达到信息安全的要求。
(二)渗透测试(挖漏洞)
渗透测试是信息系统审计的重要环节。审计署和中国内部审计协会均对渗透测试方式进行了阐述。审计署《信息系统审计指南》提出工具检测方法:安全工具检测,即利用入侵检测、漏洞扫描等工具的监测结果进行分析评价。中国内部审计协会《内部审计具体准则——信息系统审计》提出“内部审计人员在充分考虑安全的前提下,可以利用可靠的信息安全侦测工具进行渗透性测试”。通过渗透测试,审计人员可以对配置检查发现的问题予以确认并评估影响,使审计结论更具说服力;还可以从攻击者的视角挖掘配置检查难以发现的问题,找出系统安全的薄弱环节,为内审部门对系统安全进行深层次的审计分析和预警提供新思路。
(三)业务逻辑漏洞挖掘和代码审计(看代码)
业务逻辑漏洞是指与业务逻辑相关的漏洞,如身份认证安全、业务一致性、业务数据篡改等漏洞。代码审计是指检查关键代码中的安全缺陷,以发现安全隐患。业务逻辑漏洞可通过黑盒测试发现,也可通过白盒测试(代码审计)发现。
(四)日志审计(查日志)
日志审计是指基于信息系统中的日志,检查内部人员的操作是否合规,并检查系统是否被外部成功攻击。对内而言,通过检查堡垒机日志、数据库操作日志、操作系统日志等,可以发现是否存在影响系统安全的非授权操作;对外而言,通过检查应用日志、Web日志等,可以检查是否有黑客曾经成功入侵信息系统,并获取数据。当前,人民银行信息系统安全通常由科技部门、审计和第三方安全公司进行检查。配置方面,各种检查均有涉及,且较为成熟;挖漏洞方面,科技部门和安全公司通常借助安全工具进行检查,审计较少涉及;看代码方面,各项检查均较少涉及;查日志方面,科技部门和审计通常能检查内部访问日志和外部入侵日志,安全公司因保密所限通常只检查外部入侵日志。由于在挖漏洞和看代码方面仍存在一定的检查盲区,近年来,在人民银行信息系统审计中,审计人员也尝试逐步固化渗透测试流程,并在个别项目中尝试代码审计,取得了一定进展。
二、信息系统审计中渗透测试的基本流程
本节参考渗透测试执行标准(PenetrationTestingExecutionStandard,PTES),并结合人民银行信息系统审计的实际情况,对审计中的渗透测试(含业务逻辑漏洞挖掘)流程进行介绍。
(一)前期交互
在前期交互中,确定渗透测试的范围、环境、使用的工具等,并提前告知,经授权后方可实施。其中,范围指需要测试的系统和设备,应全面覆盖所有子站和设备;环境指测试或生产环境,应尽量选择非工作时间在测试环境进行测试,并限制扫描频率,必要情况下可在生产环境进行验证;工具指测试用的硬件或软件,包括漏洞扫描设备或软件等,在生产环境中进行测试验证应选择可信的软件,防止工具带有病毒影响生产环境。
(二)信息收集
1.信息系统资产信息
收集所有服务的系统和设备,包括IP地址、域名和端口等。对内网的系统,可使用扫描工具收集所有在用IP和端口;对外网的系统,可以通过搜索引擎搜索指定网站的后台管理等敏感页面。
2.操作系统、中间件和应用版本信息
获取各操作系统、数据库、服务、应用和中间件的版本信息,通常未更新的系统或中间件可能存在漏洞。
3.安全防护软件信息
信息系统的网站配有安全防护软件,用以防护恶意扫描及渗透测试。检查对应安全防护软件是存在能绕过,并确定漏洞扫描策略。
4.历史漏洞信息
通过国家信息安全漏洞共享平台等网站获取已发现的历史漏洞,检查漏洞是否被修复,或是否有相似的漏洞。此外,对审计人员而言,除上述渠道外,还可直接调阅相关资料。如针对信息系统资产,可调阅被审计单位IP分配表、运维操作手册、网络设备配置来获取相关信息;针对操作系统、中间件、应用、安全防护软件信息,可调取部署和变更文档;针对历史漏洞信息,可调阅第三方安全公司的渗透测试报告等。在必要情况下,审计人员还可调阅涉及输入、流程管理等核心部分的代码进行检查。
(三)漏洞挖掘
漏洞挖掘是渗透测试中最重要的环节,主要有以下方法。
1.漏洞扫描
一是使用通用扫描工具进行扫描。包括AWVS,Nessus等工具,其中AWVS主要针对网站进行漏洞扫描,Nessus除扫描网站漏洞外还可扫描系统漏洞。二是使用专用扫描工具进行扫描。包括Sqlmap,Xsser等工具,其中Sqlmap主要针对数据库注入漏洞,Xsser主要针对跨站漏洞。三是代码扫描。使用代码扫描软件,检查代码关键节点(如输入框、上传文件位置)是否存在漏洞。
2.查找系统和中间件漏洞
一是检查旧版本存在的漏洞。根据前期信息收集中的版本信息,通过CVEDetail等查找对应版本存在的漏洞,并查找是否存在相关漏洞利用代码。二是检查系统和中间件是否使用弱口令。通过Hashcat等工具检查系统、数据库等中间件是否存在弱口令。
3.挖掘业务逻辑漏洞
即使用各种工具,挖掘关键业务流程中是否存在业务逻辑漏洞。一是使用各种工具。包括浏览器自带的开发者工具、Wireshark,Fiddler,Burpsuite等抓包和改包工具。二是挖掘关键业务流程。关键业务流程包括信息修改、密码修改、支付流程,以及手机或邮箱验证的流程等。三是发现业务逻辑漏洞。常见的业务逻辑漏洞包括重放攻击、数据篡改、流程绕过、验证模块暴力破解、越权漏洞等。对涉及资金的业务而言,业务逻辑漏洞的危害性更大。在上述漏洞挖掘过程中,漏洞扫描可以发现大部分安全问题。但是在无法使用扫描工具的情况下,需要通过抓包和改包软件对业务逻辑进行黑盒测试,或进一步通过代码审计进行白盒测试才能发现安全漏洞。
(四)报告
1.描述过程
描述产生业务影响的漏洞攻击的过程,包括漏洞发现、利用和验证的全过程。
2.评估风险
综合考虑发现的所有漏洞,评估可能产生的业务风险。如当系统交易数据库同时存在弱口令和网络访问控制不严的漏洞时,攻击者可以远程修改数据威胁资金安全。
3.评估影响
对发现的漏洞,从日志层面评估相关数据是否已泄露或被篡改。目前,国家法规和行业规范均对日志提出要求,如《网络安全法》规定网络日志不少于6个月,因此可以根据日志评估漏洞已经造成的影响。
4.提出改进
从防御角度分析安全防御体系中的薄弱环节,并提出修补与升级的方案。
三、渗透测试审计发现的问题及应对方法
(一)系统中间件漏洞问题
该类问题通常使用漏洞扫描工具发现,常见的漏洞包括旧版本Struts2存在的远程执行漏洞等。通常系统的核心主站安全建设较好,难以发现该类问题,而系统的FTP、邮件系统、后台管理等旁站,则容易因安全管控不严而产生遗漏。为应对该类问题,建议对信息系统所有资产进行漏洞扫描,确保不留遗漏。
(二)系统弱口令问题
该类问题通常可通过穷举弱口令、Hashcat等工具逆向密码表的方式发现,常见的漏洞包括操作系统、数据库和应用用户使用弱口令。审计过程中发现,由于应用使用的操作系统和数据库用户通常在系统上线时设置了初始口令,而后期因配置相对固定,口令不会变更,因此,应用相关用户更易存在弱口令问题。为应对该类问题,建议信息系统将应用使用的口令单独保存成配置文件,而非固化在代码中。
(三)系统代码漏洞问题
该类问题通常使用漏洞扫描工具或代码审计发现,常见的代码漏洞包括注入、任意文件读写、跨站等。审计中发现,部分信息系统针对代码漏洞,仅在安全防护软件中增加相应的屏蔽规则进行修复,而并未从根源上修复代码中的漏洞。为应对该类问题,建议加强代码审计工作,力求在代码源头修复漏洞。
(四)业务逻辑漏洞问题
该类问题通常使用网络数据截包、改包软件发现常见的漏洞,包括流程绕过、数据篡改等。审计中发现,部分信息系统因在内网环境中运行,认为内部用户难以发现相关漏洞,而忽视了对业务逻辑漏洞的检查。为应对该类问题,建议在系统上线测试时,就测试是否存在业务逻辑漏洞。
(五)移动App及硬件设备漏洞问题
由于传统的漏洞扫描等工具均无法对移动App或硬件设备进行扫描,因此,目前相关平台的漏洞还只能通过手工测试的方式发现。为应对该类问题,建议在相关平台上线前,增加对业务逻辑漏洞的手工测试环节。
四、推进信息系统安全审计的建议
(一)扎实编程基础
信息系统安全审计,特别是渗透测试及代码审计,对审计人员的编程水平要求较高。检查人员首先要看得懂代码,才能查代码。因此,相关审计人员要扎实学习编程基础,及时更新知识结构。
(二)紧跟技术趋势
网络安全的发展日新月异,新漏洞层出不穷。审计人员也应不断跟踪网络安全情报,尝试新的安全工具,了解最新的漏洞信息,关注大数据云平台等新架构的安全问题。确保在审计前有所准备,在审计时有所应用。
(三)注重审计实践
一是在审计前,可在各类CTF(夺旗赛)在线平台中实践渗透测试流程,在比赛中学习。二是在审计中,尝试将渗透性测试固化在审计流程中,在审计实践中学习。
参考文献:
[1]王世轶,吴江,张辉. 渗透测试在网络安全等级保护测评中的应用[J]. 计算机应用与软件,2018(11):190-193.
[2]刘阳. 基于渗透测试的漏洞危害实例分析与防范策略[J]. 网络空间安全,2018(2):76-78.
审计信息范文5
以审计信息和业务的基本流转特征以及在各个方面所进行的防护规划和整体策略等发面出发,有效分析在审计业务范围要求之内的所开展的信息安全防护,以及在国产化装备的应用下有效强化信息化建设活动中的整体性信息安全防御工作,进而有效推动系统化的有效应用和整体运维服务体系的建设活动,其中主要包括制度、系统、资金行业方式、队伍等的建设,以及实现系统建设同运维活动的协调一致。
【关键词】
国家审计信息化;信息安全;运维建设
国家审计是在国家开展宏观经济综合监督体系的重要环节,实现其运行系统和整体信息安全的有效性是极为必要的。通过审计信息化系统建设项目有效结合了审计基本业务特征环节的信息安全防护以及实现系统健康运行的监控运维服务体系,在实现系统化的体系建设且开展综合性的防护保障措施之后,以有效保障国家审计在进行信息系统建设整体系统的健康安全运行[1]。
一、结合审计业务特征所开展的信息安全防护工作
信息安全防护在国家电子政务活动中进行应用时,需要严格遵守国家在相关方面的政策制定和规划性要求,更需要明确政务职能环节业务信息的风险和特征,然后从根本实际出发开展有针对性的信息安全防护规划工作,保障所采取的措施能够有效解决实际问题,确保安全防护工作的顺利有效。
1.1对审计信息和业务的流转型特征展开研究
一般而言,国际审计中包络初期的数据采集及有效形成核查环节的审计信息记录和证据整合,并通过互联网的应用将相关信息报送审计机关的非涉密专网中,这就涉及到业务活动中的信息安全性,如果在流转环节出现审计信息的泄露,因为国家审计所具有的设密性和权威性,将构成重大的安全风险[2]。
1.2针对审计业务的整体特征开展有效的安全防护规划
在国家审计要求范围之下,对国家电子政务信息安全和信息化的协调发展给出了总体性的规划要求,实现审计信息化系统项目建设的三网安全规范,通过审计门户网、审计专网、审计内网三个环节实现对电子政务信息的安全防护,有效保障涉密信息的安全性。此外,还需要根据四级互联审计专网对于信息安全防护的要求,在有效倚仗外网的信息信任体系来实现覆盖全国的信息系统建设,构建有效的病毒中心防御系统,为信息的安全防护提供基础环节的保障。
1.3根据国家审计的信息特征出发进行安全防护策略的研究
国家审计业务具有一定的流转性,这就需要对该环节的信息安全进行有效的风险评估,以避免出现泄漏状况,在国家信息保密和安全主管部门的支持和指导管理下,在进行信息化系统建设项目时采取了信息交换和安全交互以及三网隔离的主体策略,以有效保障审计信息在流转环节的安全性。
二、保障国家审计信息安全的运维服务体系建设
通过实现运维服务体系的建设有效保障了国家审计信息的整体安全性。在审计信息化系统建设项目中,运维体系的建设主要在整体队伍、方式、系统和制度以及资金等方面,在这个过程中要有效保障整体建设同运维服务的关系。
2.1运维服务系统
在审计信息化系统建设项目中,运行监管系统和信息服务系统构成了运维服务的整体系统。其中信息服务系统中的现场审计和审计管理系统已经面向全国的审计系统,以更好地实现两项系统应用的有效性,另外,审计署还建立了面向全国审计系统的热线电话和服务网站的整体服务体系,而且国家审计系统还发行了同信息安全建设运维系统相关的指导性信息和文件,以保障信息系统应用的有效性。运行监管系统侧重于对整体系统建设中的各项子系统的运行状态实现有效的监管控制,以有效纳入整体的安全系统实现统一的管理,整体性的满足了多层级的系统运维监管任务,极大地提升了监管力度,使得国家审计信息系统以及所属子系统的运行都能够具有稳定、安全的整体环境。
2.2运维服务队伍
审计信息化系统建设项目实现了国家审计总数的服务部门和省级的工程服务办的两级服务系统构建,并建设完成了中央省市县的四级审计机关的信息系统的整体运行服务队伍。在进行子系统集中管理的基础前提下,审计署建立了面向下属各个机关和部门及全国性地方审计的“呼叫中心”运维服务队伍,有效保障了热线电话和服务网站的整体有效性运行,将疑难问题和咨询答复等交由运行后台专家,并得到专业性的确定答案之后予以恢复,有效实现了整体运维服务体系的建设。
2.3运维服务制度
就审计信息化系统建设项目的相关制度而言,均是由审计署所制定的相关指导办法和体系,以有效明确运维过程中的职责分工和机构设置,有效实现对运维内容和机制的执行。另外,在进行运维资金的使用和管理方面也制定了一定的制度规范和要求,以确定在运行中经费使用的有效性以及利用的最大化。通过各项管理制度确定,使得整体的运维体系科学、合理,并能够在制度的支持下实现对相关专业人员的专业素质和技能培训以及使用经费和规范化服务等相关内容的引导,进一步强化了整体的运维服务体系建设[3]。
2.4运维服务外包方式
在实际的发展过程中,审计署将审计信息化系统建设项目中的“呼叫中心”服务队伍建设实行了外包政策,并在逐渐的发展中,在运维服务系统的整体性要求性下,将该环节在内的网络系统和应用系统通过集成商的方式通过外包服务实现有效的运维服务体系建设。另外在运维服务体系的信息系统建设中,也实现了政府对技术人员队伍建设的外包服务组建方式。
2.5完善整体系统与运维服务的体系构建
在国家审计信息系统建设环节中,运维保障和信息系统建设是支撑前进的两大驱动力量,这就需要正视两者之间的关系,在启动运维保应用的基础上开设有效的指导性栏目或者咨询通道。此外,还可以构建全国性的运维体系效能保障,实现普及性的管理建设,并在运维体系的支撑下强化整体系统的集中统一管理。最后,需要实现有效的监控运维提下,实现对整体运维服务的监控和管理,确保整体运行的安全性和有效性。
三、结束语
审计信息系统建设项目需要有效的网络效能支持,这就需要保障在管理应用中的安全有效性,尤其是国家审计环节中的涉密文件,因其本身所具有的严肃性和影响性,在这样的基本认知下,就需要从根本实际现状出发开展有效的安全防护工作以及相应的运维服务体系的完善和建设,以保障国家审计信息的整体安全性。
作者:薛拥华 邓冲 施泽寰 刘板浩 黄仙阳 单位:精诚瑞宝计算机系统有限公司
参考文献
[1]刘勇.审计信息化系统的研究与实践[D].四川大学,2006.
审计信息范文6
随着科技的进步,信息技术也在迅猛发展,在一定程度上改进了企业的运作模式,影响到企业的内部审计工作。为了适应现代社会的信息化管理,将信息技术应用在内部审计工作已经成为企业审计发展的必然趋势。本文主要针对信息技术在电力企业内部审计工作中的具体应用进行探讨。
【关键词】
电力;内部审计;分析
1引言
近年来,我国在电力企业经营管理方面涉及的业务领域在不断扩大,具有经营范围跨度大、营业场地分散、组织结构关系纵横交错等一系列特点,电力企业必须要依靠信息技术手段,通过计算机网络系统实现全过程信息化企业管理。内部审计部门在电力企业中起到经济监督的作用,为了充分发挥内部审计的作用,必须加快内部审计信息化建设步伐。
2信息技术在电力内部审计的应用现状
现阶段,在电力内部审计中存在的一体化审计综合系统和ERP业务审计系统是电力统审计信息化建设的主要成果,其主要作用在于对电力公司系统审计决策、计划及日常事务等具体事项进行有效管理。在平台上操作审计工作所能体现的作用主要包括:实现审计信息的共享、规范审计流程、保障审计的质量和效率、促进审计的现代化发展。另外,还便于审计人员查询相关数据,从多个角度对一些具体事项进行全面分析,从而快速掌握审计的方向和重点,在此基础上,并将ERP财务转化为ERP审计,从而为财务ERP系统的查账和查询凭证提供便捷和保障。
3信息技术在电力内部审计的具体应用
3.1电力企业概况
某市电力企业的信息化建设阶段比较早,因此,早已建立了能全面覆盖省、市、县的三级数据网,相应的信息系统也在各个公司投入使用,比如生产技术、物资管理、财务核算等。信息技术的发展和进步,不仅对企业的运作模式造成影响,还给企业内部审计工作的开展造成一定的困难。
3.2信息技术在电力内部技术的应用
3.2.1审计信息管理系统简介
该市的电力信息建设主要利用计算机技术及先进的通讯技术完成的,并以大型数据为中心,建立了集团一体化的审计信息管理系统,该系统的运作模式主要是集中管理的模式,在省公司网络框架的基础上,对各单位现有的审计管理软件和项目实施辅助审计软件进行网络平台的统一整合,与此同时,将新的审计管理和项目实施模块正式运作起来,将财务、业务系统和审计系统进行实时联网。集团一体化审计信息管理系统主要包括审计项目实时系统、审计监控分析系统、审计综合业务管理系统这三大主系统,和十五个子系统,具体如图1所示。
3.2.2该系统的特点
(1)对信息资源进行统一整合,并实现了数据的共享。实现了对应用截面和数据级上的整合,将各个单位的审计应用系统整合到统一的网络平台上,创建共享数据中心,保证省公司的服务器上有各个公司内部单位的审计管理和项目实施数据的存在,且保证数据只要就你行输入或采集,尽可以实现系统之间的数据共享。
(2)单机版外勤作业的系统和集团网络版的服务器之间可进行数据交换。若被审单位的系统不能连接到审计服务器时,一方面,可以将审计服务器上相关的项目资料或数据导入到单机版的外勤作业系统上,从而有利于现场工作的顺利开展;另一方面,将被审单位的财务数据及工作相关资料通过单机版外勤作业系统导入到审计服务器中,从而有利于实现数据的共享。
(3)将系统数据集中存放在服务器中,并分级授权进行维护和保障,还包括从客户端对数据进行维护,从而为数据维护工作的开展提供便捷,有利于保障数据的安全性和保密性。在集团一体化审计信息管理系统中,各下属公司都分别设置了一个专门的分系统管理员开展对授权模块的维护工作,在一定程度上,降低了省公司总系统管理员的维护工作量,提高了管理人员的工作效率,方便各项数据的及时更新。
(4)该系统为客户端提供独立的数据采集工具,方便操作,能够对一百多种财务软件或各种信息系统的数据完成采集,且将不同财务软件及不同年度的数据进行合并。
(5)该系统将业务审计平台进行统一,可定制和被审单位各种业务管理系统的接口,及时、完整的完成数据的抽取、挖掘、分析,比如营销、工程、物资采购等系统,且在数据的审计过程中,不会对连接单位的数据造成影响,从而体现出该系统的安全性和可靠性。
(6)该系统可支持远程联网审计,在线分析被连接单位的数据库;除此之外,还可对多个单位的数据库进行比较分析,对其中的同一业务类型指标进行横向对比分析,从而为出现的差异分析提供可靠性的数据依据。
3.2.3系统存在的不足
(1)审计信息管理系统所实现的资源整合和数据共享只是片面的,仅针对公司系统审计部门内部自上而下的应用系统,对于其它业务部门的应用系统、OA系统及不同部门信息系统之间还未实现资源的整合和数据共享。
(2)审计信息管理系统中的各个专项业务审计系统还未开发成功,比如电力营销、物资采购、人力资源等信息审计系统,而审计监控分析系统不能对除了财务系统以外的其它系统进行实时监控,在一定程度上,还未完成现代内部审计由传统的财务控制向业务控制的转变,不利于企业管理者决策支持信息的及时获得。
(3)在信息技术手段的应用方面,仅针对于对信息系统处理数据进行辅助审计,不利于保障信息系统自身审计的可用性、合理性、及时性、安全性。
(4)信息技术手段未能在公司各个审计部门的应用中体现出良好效果,内部审计相关人员不仅缺乏对信息技术相关知识的掌握和了解,还缺乏对审计信息化工作的重视度,部分单位的审计信息管理系统的应用水平较低,没有将系统的真正效用充分发挥出来。
3.2.4解决方法
(1)通过现有的信息平台实现资源的共享。电力审计部门在建立和完善企业内部制度方面,可参考其在实际工作中积累的审计信息资源,为了实现资源共享的目的,信息化建设是最佳选择,它提供了一个很好的交流平台。电力企业运用这一平台的优势在于:①方便工作人员在传达审计内容活动信息的过程中,及时发现该过程中存在的问题,以便向上反应和监督;②可以定期将信息在平台上相互交流,促进信息交流制度的形成,另外要及时与企业财务、纪检等部门交流在审计中出现的倾向性、苗头性的问题,从而为内控制度的建设提供有力保障;将审计成果管理由内部运作转变为公开的审计结果,将信息审计的粗加工转变为精细化加工,从而满足审计单位和部门的相关需求,有利于加快信息化建设的步伐。
(2)对信息系统进行优化升级,对服务功能进行完善。审计信息系统研发单位主要结合系统的实际运行情况,加强对更易操作、功能更强大的系统建设,增强其运算处理能力、科学设置相关权限等,加强研发单位和电力系统各部门之间的相互合作,及时发现在信息系统建设过程中存在的不足,并对其进行处理和完善,使各个环节的工作做到相互接应,进一步完善信息系统的服务功能。
(3)对审计技术手段进行改善,从而保障审计质量。计算机技术被广泛应用于审计实际工作中。一方面。将信息化技术和审计技术进行结合,审计检查的重点主要通过对内部制度的调查、测试和评价等进行确定,将其和信息化技术有机结合起来,实现传统审计技术和现代审计技术的充分融合;另一方面,审计部门要加大对人员的培训力度,并将计算机审计切实应用在具备开展计算机审计条件的项目中,在提高审计质量的同时,并将审计技术的积极作用充分发挥出来。
(4)对队伍结构进行优化,提高相关人员的业务素质。加大对复合型审计人员的招揽力度,广招一些对管理、技术、信息化等方面都有所了解的人才,在实际工作对审计理念进行不断创新,将信息技术在审计工作中的积极作用充分发挥出来。除此之外,还要对加强对审计干部的业务培训,将审计人员的知识和专业结构进行进一步优化和升级,实现其审计能力和学习能力的有效提高。
4结语
信息技术在电力企业内部审计工作中的应用可以降低审计成本,提高相关审计人员的综合工作能力和业务水平,从而更好的提升审计方面的工作效率,促进企业各方面的快速发展。
作者:谢丹丹 单位:国网湖南省电力公司娄底供电分公司
参考文献
[1]汪艳.信息技术在电力内部审计的应用[J].中国外资(月刊),2013(13):268.
审计信息范文7
关键词:现代风险导向审计;信息系统审计
一、引言
随着大数据、云计算和数据信息化的日益普及,现代风险导向审计和信息系统审计的应用越来越广泛,我国风险导向审计也在发生改变,逐步从传统的基础风险导向审计模式转变为现代风险导向审计模式。作为一种重要的审计思想和理念,现代风险导向审计制度越来越受国内外业界的重视,已经逐渐成为推动我国审计事业快速发展的主流趋势,也是适应审计环境变化的重要模式。与此同时,信息系统审计已经变成各类社会组织开展工作最主要的基本平台[1]。信息系统审计工作应当与现代风险导向审计并驾齐驱,并且成为我国审计事业发展的一个新方向。那么,同样是一种新趋势,它们之间的关系又如何呢?本文主要讨论了二者的概念、内容、特点以及它们之间的关系。
二、现代风险导向审计与信息技术审计相关知识的引入与外延
(一)现代风险导向审计的概念及优势
1. 现代风险导向审计的概念
现代风险导向审计主要是分析和评价风险审计中存在的问题,综合分析多种审计影响因素,量化风险水平,从明确审计执行的重点与范围,进而检查被审计事项的真实性和公允性。实施风险导向审计,可以促进审计工作更好地贴近中小型企业的生产和经营活动,有助于及时地发现、理解和应对存在的问题,全面提高内部风险管理的有效性,不断加强风险控制的管理并完善内部风险控制措施,提高企业的经济效益,确保企业可持续性发展[2]。现代风险导向审计强调以内部业务风险管理为主要依据,了解被审计单位的管理环境,并且研究审计单位的内部运行方法,还需要识别被审计单位生产和经营活动中可能存在的错报。审计流程在不断地发展,新的审计环境也在不停发生变化,风险导向审计模式也在随之而发展变化(见图 1)。
2. 现代风险导向审计的优势
现代风险导向审计作为一种重要的审计模式,无疑被认为是当今我国审计历程上的一次巨大变化。但从概念上来说,现代风险导向审计与传统风险导向审计具有较大的区别。将传统风险导向审计作为参照,现代风险导向审计有下面的几个优点:首先,现代风险导向审计要求了解企业的内部控制和交易过程还有经营环境,并且合理分析被审计单位的经营状况,这样才能得出更为恰当的审计结论。其次,现代风险导向审计更加要求注册会计师关注重大错报风险,遵循规范化的审计流程,降低了审计工作过程中的检查风险。同时,现代风险导向审计摒弃了传统风险导向审计的弊端,发挥其优势,最终形成了一套适合当今社会的审计模式(见表 1)。
(二)信息系统审计的概念及特点
1. 信息系统审计的概念
信息系统审计又称为信息技术审计,与传统审计的内容大致相同,都是为了实现组织目标。作为审计发展的一个新领域,信息系统审计的发展在各审计环节的作用日益重要。除了信息系统审计程序、系统与基础设施的生命周期、信息技术治理,信息系统的审计内容还包括信息科技服务的交付与支持、信息资产保护、业务持续和灾难恢复。在实际工作中,信息系统的内容是根据其审计目标来决定的,实际工作中也会出现不同类型的信息系统对于审计业务的需求(见图 2)。
2. 信息系统审计的特点
近年来,随着被审计单位的信息化程度水平不断提高,对被审计单位进行信息系统的审计也越来越必要。信息系统审计的内容一般情况下分为两类:与财务审计相结合的组织方式以及专门进行信息系统审计的组织方式。前者主要是随着财务审计而开展起来,而后者却是适用于一些较小的信息系统的专项审计。这两种形式包括了几乎所有信息系统审计,但我国信息系统审计的概念尚有争议,在现在的业务活动中,很大一部分都是以财务审计为中心的。无论是对传统审计或者是信息系统审计,注册会计师均必须根据自己所属的信息系统来进行深入的了解,也就是说这是一个必经过程。信息系统审计的特点如图4所示。
三、现代风险导向审计与信息系统审计的关系
近年来,从人们的手机购物到企业的网络审计,大数据越来越流行。新环境下的审计程序对于审计人员来说,也必须去适应。但是这与传统审计程序相比较而言,对基于风险的审计来说并不是好事。大数据下的审计过程虽然提高了审计效率,但同时也增加了审计风险。风险导向审计主要是指以企业风险管理为导向的审计,而其中“风险”所指的就是企业经营风险。在审计前,企业应该将重大错报保持到较低水平。为了有效降低检查风险,注册会计师应尽可能多地收集审计证据。这个过程就要求信息系统审计来检查信息系统在整个组织中的安全、可靠、高效等方面,并且需要有效利用组织的资源并帮助其实现目标。这样才能够实施较为完整的审计流程,获得适当的审计证据。如果审计师无法准确地评估企业层面的审计风险,就会人为地把这些审计数据资源进行错误配置,进而导致错报难以发现。
(一)风险导向审计对信息系统的作用
首先,风险导向审计模式能够有效促进企业信息系统风险审计的稳步发展(见图5)。信息系统审计的主要技术包括重大数据系统审计、信息系统内部过程控制系统审计和应用信息系统的各种应用性内部控制系统审计。信息系统审计中的控制数据审计机构可以划分为两种:应用控制与一般控制[3]。应用控制审核的目的是确保被审核方的应用系统控制满足相关要求。然而,随着网络信息系统的发展,组织中出现了各种各样的网络信息系统。企业从经营管理层面到所有者管理领域的范围上都已经实现了向企业所有者和其他部门的全方位覆盖,使得企业信息系统对于企业在组织中发挥的作用愈加重要。同样,为了有效地保持投资收益,保证信息系统的安全运行,我们应该有效地利用新兴的信息系统[4]。信息系统审计是在风险导向审计等项目的基础上发展起来的,信息系统审计方法的研究是在传统审计项目方法的基础上进行的,可以“升华”。传统的审计方法效率低下,为了获得最合理的审计结果,审计人员需要将两者结合起来。图 5 风险导向审计模式其次,风险导向审计也给信息系统的审计工作指明了正确方向。由于企业风险导向审计所关注的主要是检查风险和财政工作,而且对于信息系统的审计并没有明确的审计目标和方向,因此风险导向审计给企业的信息系统审计工作提供了正确的审计目标和方向。同时,由于信息系统的审计已经为风险导向审计师提供了安全、完整的资料和信息,审计师需要先对信息系统进行审计,在此基础上进行风险导向审计,从而得出更加合理的审计结论。最后,风险导向审计促进了信息系统审计的发展,为信息系统审计提供了合理的保障,有效地确立了信息系统审计的社会地位,使信息系统审计进一步发展。
(二)信息系统审计对风险导向审计的作用
首先,信息系统审计的建设能够使风险导向审计实现对审计项目的合理划分,规范审计流程,监督和管理公共资金使用的全过程,灵活运用并不断积累审计的经验,全面地进行内部控制和风险测试。因此,信息系统审计是一种风险导向审计,它保证了良好的审计环境,有效降低了审计风险和审计成本。其次,信息系统审计可以有效监督各部门的工作状况。利用计算机网络技术和应用软件技术,构建具有财政资金全过程监督、预算执行综合监督、辅助决策等功能的信息平台,对各部门进行有效监督。最后,大数据环境下的信息系统审计是采用大数据集中处理技术和统计技术,取代传统的数据采样,使误差得到控制,对行业和上下游单位的数据进行综合分析,从而使形成的数据更加科学,审计线索的发现速度更快,审计结果更具说服力[5]。
结语
审计信息范文8
随着互联网信息时代的到来,计算机技术的高速发展和运用,信息化得以普及,会计信息化和审计信息化应运而生。在会计信息化不断发展的前提下,审计信息化也得以发展。文章首先分析了审计与会计之间的关系,审计源于会计,但是审计和会计又是相互独立的,有各自独立的体系;其次研究了审计信息化和会计信息化之间的联系和区别,两者既对立又统一,出现会计必定会出现审计,审计与会计是分不开的。
[关键词]
审计信息化;会计信息化;数据库
会计主要是运用专门的理论方法对经济体进行核算和监督的一个单位经济活动的经济关系工作。在结合信息化的发展情况来看,会计信息化是将传统的会计知识与信息化技术结合在一起,通过运用计算机、网络与通信为主的信息技术对会计的基本信息进行收集、归档、处理、储存以及运用。而对于审计信息化而言,审计信息化指的是对被审计的对象进行财务工作和经营时,审计人员为了实现其审计目的,采取必要的审计程序,对企业运营的合规性以及利用计算机网络生成的财务信息进行审计,在这个过程中涉及对报表进行审核的精确工作,需要对大量的数据进行收集、审查、核对以及验证工作。另外,信息化建设需要注重内部审计人员的培养,并且有步骤有计划地对信息化人员进行培训工作,这要求信息化审计人员不仅要适应信息化的情况,还应该提升审计的质量和效率。
1审计和会计之间的关系
审计与会计有着密不可分的关系,随着会计的发展,审计的范围也在不断地扩大,两者之间密不可分,协同发展,因此,就必须要求我们对审计和会计的职能有更深刻的认识和了解,并且能够正确地处理两者之间的关系。审计在整个国民经济监督体系中占据较高的位置,其位置具有很高的严密性,其地位也比较高。而会计有着具体的工作和具体的业务,主要针对企业内部人员的。审计是宪法赋予的一种监督的权力,而会计是在企业中对自我核算的一种监督,这两者之间有着本质的区别,但是从审计和会计在经济体中的地位和作用来看,审计是对会计监督的重新监督,会计是审计对象的一部分,而审计监督包括会计监督。因此,两者相互独立,相互联系。
(1)审计来源于会计。审计和会计本是一家,水乳交融,但又可以单独作为一个独立的系统去运用,会计是审计对象的一部分,审计是对会计中的数据进行重新的确认以及校准,因此,审计源于会计。会计是现代企业管理的核心内容,是一种经济管理的工具,主要以货币为主,有自己的独立体系的专业方法,会对企业和行政单位的经济活动进行完整的、系统的、规范的以及连续的纪录,并加以考核和指导的一种惯例活动,能有效地加强企业的经济管理并且能够促进经济效益的发展。对于审计,审计是有专业的独立机构和一些专业人员,这些机构和人员根据国家的一些法律法规,依法对被审计的单位中的一些会计数据,相关的经济活动以及一些财务收支和有关的经济督导活动,通过合法的法律手段,来监督企业的经济情况,并改进经营管理制度,提高经济收益,保障国家的经济的可持续发展。综上所述,可以发现,虽然“审计”和“会计”完全是两个不同的概念,但是从其发展以及定义来看,其中两者有着密不可分的关系,也同样有着明显的区别,所以说审计源于会计。
(2)审计与会计相互独立。在实际生活中,由于两者的基本概念不同,会计和审计是相互独立的。在工作中,国家的审计部门以及审计人员,会依法对各个部门行使监督权力,国家的审计部门有权对各个单位的会计部门进行审查监督,对其内部经济体制和经济状况进行审查和监督,并且在此过程中不受任何政府机构、社会团体以及个人的干涉。在这一过程中,对审计的要求将赋予最高层次的监督,这样可以起到两个方面的作用:第一是可以在会计监督之后再次进行经济状况的监督,可以降低风险;第二是对于一些相关的会计部门进行监督,可以起到良好的督导作用。从这一点可以看出,审计工作的职能和会计工作的职能有本质上的差别。因此,可以发现,审计与会计两者是相互独立的。
2会计信息化与审计信息化的关系研究
(1)联系。首先,传统的会计逐步从会计电算化走向会计信息化,会计信息化是应用计算机处理技术来处理一些会计业务,是一种基于传统的会计凭证和报表的核算工作,只是将原有的工作转为信息化处理,将传统的会计知识和计算机技术结合到一起,从而具备更强大的核算能力以及更有效的控制和管理功能。审计作为对会计质量的一种监督手段,审计信息化如果无法跟上会计信息化发展的脚步,就很难起到监督的作用。换句话说,无论是审计信息化还是会计信息化,都是在基于传统的会计与审计的理论知识下,形成的新型的审计和会计。因此,我们认为这两者之间是相互联系的。其次,信息化会计的主要职能任务是为企业内部和企业外部的工作人员提供相应的会计信息,信息化审计则是帮助审计人员快速高效地完成审计工作,两者的服务对象显然不同,但是在这其中两者的服务功能是有一定联系的,并且互相影响。比如,两者都有自己的数据库信息,如入账数据库、出账数据库以及对明细账数据库等一系列信息化数据,并且无论是在审计还是在会计的过程中,都需要确保数据的真实性和可靠性,两者数据库的信息质量都会对对方工作的开展产生作用和反馈。
(2)区别。尽管审计信息化来源于会计信息化,但是审计信息化和会计信息化亦有不同,审计信息化是根据传统的审计知识,在结合计算机信息技术,从而形成有自己独立体系特点的一种审计方式。在审计信息化的过程中,提高了审计的效率,并且使得审计工作变得更加快速,工作范围更为广泛,工作效率也优于传统的审计方法,所以,审计信息化和会计信息化是相互独立的。两者的不同在于,审计信息化是在会计信息化的结果上进行的,因为审计的对象是会计,审计是对会计监督的再监督。会计信息化主要是在处理会计信息时的效率有着很大的影响,在进行会计信息的处理时,都会在瞬间得以完成,与此同时,会计报表同时完成,可实现数据库的信息资源共享,实现会计信息的多元化服务。而对于审计信息化,主要是审计人员利用现有的计算机电子技术进行一些相应的审计工作,这能帮助一些工作人员完成一些在原有人工审计的条件下很难完成的审计工作,特别是一些大量数据的筛选工作,信息化为此提供了巨大的便利。与此同时,审计人员在引入会计数据时,能够通过计算机技术引入相关联的一些会计数据,把两者结合,从而更好地对经济制度和企业管理上存在的一些弊端和漏洞进行完善。因此说,审计信息化和会计信息化也是相互独立的,这样也有益于两者在各自的领域高速发展,不受约束。
3结论
会计信息化和审计信息化能根据国家的法律制度,在降低审计风险的情况下,充分地利用计算机技术,将传统的会计和审计工作推向会计信息化和审计信息化。对于审计信息化和会计信息化而言,都是通过现有的电子计算机技术和已有的传统的会计和审计方法相结合后产生的一种符合当代经济发展的新型审计和会计技术,这其中有实现过程,且两者的关系相互独立又密不可分。综上所述,我们可以看出,对于会计信息化和审计信息化,两者之间存在一定的联系,并且相辅相成,相互促进,如果只发展一个,另一个就无法进行相关的服务,因此两者之间的发展应齐头并进,但在这一过程中又不可以混为一谈,应该在两者相互促进发展的基础上,根据自己系统需求的条件,进行融合,并且独立于自己的系统相互发展。
作者:徐志新 李蔚 单位:国网浙江常山县供电公司
参考文献:
[1]袁秀梅.会计信息化目前的问题及对策[J].中国西部科技,2005,50(19):44-45.
