it審計論文范文

it審計論文范文第1篇

一、IT審計的定義及其特點

IT審計是指對信息系統從計劃、研發、實施到運行維護各個過程進行審查與評價的活動, 以審查企業信息系統是否安全、可靠、有效, 保證信息系統得出準確可靠的數據。由以上定義可知, IT審計的目標是保證IT系統的可用性、安全性、完整性和有效性, 最終達到強化企業內部控制的目的。

該審計過程具有以下特點:

1. IT審計是一個過程。

它通過獲取的證據判斷信息系統是否能保證資產的安全、數據的完整和組織目標的實現, 它貫穿于整個信息系統生命周期的全過程。

2. IT審計的對象綜合且復雜。

IT審計從縱向 (生命周期) 看, 覆蓋了信息系統從開發、運行、維護到報廢的全生命周期的各種業務;從橫向 (各階段截面) 看, 它包含對軟硬件的獲取審計、應用程序審計、安全審計等。IT審計將審計對象從財務范疇擴展到了同經營活動有關的一切信息系統。

3. IT審計拓寬了傳統審計的目標。

傳統審計目標僅僅包括“對被審計單位會計報表的合法性、公允性及會計處理方法的一貫性發表審計意見”;但IT審計除了上述目標外, 還包括信息資產的安全性、數據的完整性及系統的可靠性、有效性和效率性。

4. IT審計是一種基于風險基礎審計的理論和方法。

IT審計從基于控制的方法演變為基于風險的方法, 其內涵包括企業風險管理的整體框架, 如內部環境的控制、目標的設定、風險事項的識別、風險的評估、風險的管理與應對、信息與溝通以及對風險的監控。

二、我國IT審計面對的挑戰

IT審計和傳統審計相比具有的上述特點是吸引我國眾多企業引入IT審計的重要原因, 但是這種方法的應用又會給企業提出巨大的挑戰。

1. 傳統審計線索的消失。

在手工會計環境下, 審計線索主要來自于紙質原始憑證、記賬憑證、會計賬簿和會計報表, 這些書面數據之間的勾稽關系使得數據若被修改可辨識出修改的線索和痕跡, 這就是傳統審計線索的基本特征。但是現在計算機網絡信息系統中這些數據直接記錄在磁盤和光盤上, 無紙張記錄, 審計人員用肉眼無法直接看到這些數據如何記錄, 且非法修改刪除原始數據也可以不留篡改的痕跡, 從而為舞弊人員作案留有可乘之機。盡管許多審計機構要求已實現會計信息化的企業將所有原始憑證、記賬憑證、賬簿、報表打印輸出, 使用繞開計算機系統的審計方法, 并以打印出的證、賬、表作為基本審計的線索和依據。但是如果原始數據在業務發生時就被有意篡改, 則其派生的記賬憑證金額和賬戶余額及報表數據也一定會出錯, 打印出的數據也不能作為審計證據。因此即使打印出所有電子數據, 傳統審計線索也會在計算機信息系統下完全消失。

2. 計算機信息系統的數據安全面臨挑戰。

手工信息處理的環境下, 審計人員無須將數據和會計信息的安全性問題作為審計的重要內容, 但是在IT審計的工作中, 網絡電子交易數據的安全是關系到交易雙方切身利益的關鍵問題, 也是企業計算機網絡應用中的重大障礙和審計的首要問題。例如計算機病毒的破壞、黑客用IP地址欺騙攻擊網絡系統來獲取重要商業秘密、內部人員的計算機舞弊、數據丟失等, 都是傳統審計從未涉及的, 但又是IT審計的重點, 這對當前我國的審計工作無論是操作系統, 還是制度建立等眾多方面都是一個很大的挑戰。

3. IT審計專業人才匱乏, 適應IT審計事業發展的人才培養和管理機制還有待建立和健全。

由于IT審計固有的復雜性, 這項工作需要具備會計、審計、組織管理和計算機、網絡技術等綜合知識的人才, 而且工作人員需要對內部控制和審計有深刻的理解, 對信息和網絡技術有敏銳的捕捉能力, 在我國獲得注冊信息系統審計師資格的人數遠遠不能滿足信息系統審計業務的需求。

三、我國IT審計應對策略

面對上述挑戰, 我們應當多方位、多角度制訂措施, 使IT審計工作更好地為我國企業發展做出貢獻。具體措施如下:

1. 審計線索的重建。

根據計算機網絡系統容易在不同地方同時形成相同“原本”數據的特點, 可以重建電子審計線索:在電子化的原始數據形成時, 同時在審計機構 (包括內審機構) 和關系緊密 (簽字確認) 的部門形成原始數據的“原本”, 或在不同部門各自形成相關的數據庫 (特別應當包括數量、金額和單價等主要數據項) , 這樣不僅可以相互監督和牽制, 還給計算機審計提供可信的審計線索。這種保留審計線索的方法, 一方面成為有力的控制手段, 另一方面可從審計線索中發現疑點。這種方法主要是應用專用的審計比較軟件, 同時將幾個部門的同一種數據庫進行自動比較形成有差異的數據記錄文件, 詳細審查相關的數據文件和訪問有關的當事人, 從而取得有力的審計證據。上述比較審計方法是在不同部門同時形成業務數據文件的情況下應用, 如果企業業務數據分離存放, 如銷售合同與銷售發票、提貨單在不同的部門保存, 這種實質性測試也可采用比較審計法, 應用專用的審計軟件, 結合相關的幾個業務數據文件進行比較, 查出有錯誤疑點的記錄。

2. 確保信息系統的信息安全。

為了保證信息系統的信息安全, IT審計工作人員要在審計過程中評價企業的防火墻技術、網絡系統的防病毒功能、數據加密措施、身份認證和授權的應用實施情況, 通過面談實地審查企業安全管理制度建立和執行的情況, 查看企業是否為了預防計算機病毒, 對外來的軟件和傳輸的數據經過病毒檢查, 業務系統是否嚴禁使用游戲軟件, 以及是否配置了自動檢測關鍵數據庫的軟件, 使異常及時被發現;檢測企業是否為了防范黑客入侵, 網絡交易的數據庫采用離散結構, 同時在不同的指定網點 (如在交易的雙方) 形成完整的業務數據備份供特殊使用 (如審計和監控) ;此外IT審計人員還要注意檢查企業的信息系統崗位責任實施、安全日志制度, 審查有關計算機安全的國家法律和管理條例的執行情況。

3. 建立一支完備的IT審計專業人才隊伍。

IT審計的發展必須有一大批專業化的IT審計人才, 這就要求我們要采取短期培訓和長期培養、操作層面上的培訓與高層次人才的培養、在職人員培訓與未來人才培養相結合的方法將這支隊伍逐漸發展起來。此外我國可以從現有的審計隊伍中選拔人員進行專門的信息系統審計培訓, 并考慮在注冊會計師的資格考試和審計師職稱考試中逐步加入計算機、信息系統和網絡技術等與信息系統審計有關的內容, 以及加強對從事信息化咨詢的IT技術人員的會計與審計知識的培訓。為了培養未來審計人員, 應在高校會計、審計專業教學計劃中增加信息技術和電子商務等內容, 也可以考慮在高校中開設信息系統審計專業, 直接培養信息系統審計專業人才。

當前我國IT審計正處于起步階段, 和傳統審計相比, IT審計的顯著特點決定了其勢在必行, 但是一種新的方法的引入和實施必定會給企業和審計人員帶來巨大的挑戰, 面對種種挑戰我們應采取積極措施, 迎難而上, 使IT審計工作不斷發展完善。

參考文獻

[1]張茂燕.論我國的信息系統審計[D].廈門:廈門大學, 2005.

[2]陳朝.我國信息化建設中信息系統審計問題研究[D].長春:東北師范大學, 2006.

[3]鄧少靈.企業IT審計的框架[J].中國審計, 2002 (1) .

[4]李健, 朱錦淼, 王曉兵.IT審計——人民銀行內審面臨的新挑戰[J].金融理論與實踐, 2003 (6) .

[5]李朝陽, 胡昌振.計算機審計系統的防護方法[J].航空計算技術, 2002 (1) .

[6]李輝, 楊青峰.商業銀行IT審計的策略與方法[J].信息空間, 2004 (7) .

it審計論文范文第2篇

一、I T審計的定義及其特點

IT審計是指對信息系統從計劃、研發、實施到運行維護各個過程進行審查與評價的活動, 以審查企業信息系統是否安全、可靠、有效, 保證信息系統得出準確可靠的數據。IT審計的目標是保證IT系統的可用性、安全性、完整性和有效性, 最終達到增強企業內部控制的目的。IT審計具有以下特點:

(一) I T審計是一個過程。

它通過獲取的證據判斷信息系統是否能保證資產的安全、數據的完整和組織目標的實現, 它貫穿于整個信息系統生命周期的全過程。

(二) I T審計的對象綜合且復雜。

IT審計從縱向 (生命周期) 看, 覆蓋了信息系統從開發、運行、維護到報廢的全生命周期的各種業務;從橫向 (各階段截面) 看, 它包含對軟硬件的獲取審計、應用程序審計、安全審計等。IT審計將審計對象從財務范疇擴展到了同經營活動有關的一切信息系統。

(三) I T審計拓寬了傳統審計的目標。

傳統審計目標僅僅包括“對被審計單位會計報表的合法性、公允性及會計處理方法的一貫性發表審計意見”;但IT審計除了上述目標外, 還包括信息資產的安全性、數據的完整性及系統的可靠性、有效性和效率性。

(四) I T審計是一種基于風險基礎審計的理論和方法。

IT審計從基于控制的

□文/秦春

方法演變為基于風險的方法, 其內涵包括企業風險管理的整體框架, 如內部環境的控制、目標的設定、風險事項的識別、風險的評估、風險的管理與應對、信息與溝通以及對風險的監控。

二、I T審計面臨的挑戰

IT審計和傳統審計相比具有的上述特點是吸引我國眾多商業銀行引入IT審計的重要原因, 但是這種方法的應用又會給商業銀行提出巨大的挑戰。

(一) 傳統審計線索的消失。

在手工會計環境下, 審計線索主要來自于紙質原始憑證、記賬憑證、會計賬簿和會計報表, 這些書面數據之間的勾稽關系使得數據若被修改可辨識出修改的線索和痕跡, 這就是傳統審計線索的基本特征。但是, 現在計算機網絡信息系統中這些數據直接記錄在磁盤和光盤上, 無紙質記錄, 審計人員用肉眼無法直接看到這些數據如何記錄, 且非法修改刪除原始數據也可以不留篡改的痕跡, 從而為舞弊人員作案留有可乘之機。

(二) 計算機信息系統的數據安全面臨挑戰。

手工信息處理的環境下, 審計人員無須將數據和會計信息的安全性問題作為審計的重要內容, 但是在IT審計中, 網絡電子交易數據的安全是關系到交易雙方切身利益的關鍵問題, 也是商業銀行計算機網絡應用中的重大障礙和審計的首要問題。例如, 計算機病毒的破壞、黑客用IP地址欺騙攻擊網絡系統來獲取重要商業秘密、內部人員的計算機舞弊、數據丟失等, 都是傳統審計從未涉及的, 但又是IT審計的重點, 這對當前我國的審計工作無論是操作系統, 還是制度建立等眾多方面都是一個很大的挑戰。

(三) I T審計專業人才匱乏。

適應IT審計事業發展的人才培養和管理機制還有待建立和健全。由于IT審計固有的復雜性, 這項工作需要具備會計、審計、組織管理和計算機、網絡技術等綜合知識的復合型人才, 而且工作人員需要對內部控制和審計有深刻的理解, 對信息和網絡技術有敏銳的捕捉能力, 在我國獲得注冊信息系統審計師資格的人數遠遠不能滿足信息系統審計業務的需求。

三、I T審計應對策略

面對上述挑戰, 我們應當勇于實踐, 積極探索新形勢下如何使IT審計工作能夠滿足商業銀行發展的需求。

(一) 審計線索的重建。

根據計算機網絡系統容易在不同地方同時形成相同“原本”數據的特點, 可以重建電子審計線索:在電子化的原始數據形成時, 同時在審計機構 (包括內審機構) 和關系緊密 (簽字確認) 的部門形成原始數據的“原本”, 或在不同部門各自形成相關的數據庫 (特別應當包括數量、金額和單價等主要數據項) , 這樣不僅可以相互監督和牽制, 還給計算機審計提供可信的審計線索。這種保留審計線索的方法, 一方面成為有力的控制手段;另一方面可從審計線索中發現疑點。這種方法主要是應用專用的審計比較軟件, 同時將幾個部門的同一種數據庫進行自動比較, 形成有差異的數據記錄文件, 詳細審查相關的數據文件和訪問有關的當事人, 從而取得有力的審計證據。上述比較審計方法是在不同部門同時形成業務數據文件的情況下應用, 如果企業業務數據分離存放, 如銷售合同與銷售發票、提貨單在不同的部門保存, 這種實質性測試也可采用比較審計法, 應用專用的審計軟件, 結合相關的幾個業務數據文件進行比較, 查出有錯誤疑點的記錄。

(二) 確保信息系統的信息安全。

為了保證信息系統的信息安全, IT審計工作人員要在審計過程中評價企業的防火墻技術、網絡系統的防病毒功能、數據加密措施、身份認證和授權的應用實施情況, 通過面談實地審查企業安全管理制度建立和執行的情況, 查看企業是否為了預防計算機病毒, 對外來的軟件和傳輸的數據經過病毒檢查, 業務系統是否嚴禁使用游戲軟件, 以及是否配置了自動檢測關鍵數據庫的軟件, 使異常及時被發現;檢測企業是否為了防范黑客入侵, 網絡交易的數據庫采用離散結構, 同時在不同的指定網點 (如在交易的雙方) 形成完整的業務數據備份供特殊使用 (如審計和監控) ;此外, IT審計人員還要注意檢查企業的信息系統崗位責任實施、安全日志制度, 審查有關計算機安全的國家法律和管理條例的執行情況。

(三) 建立一支完備的I T審計專業人才隊伍。

IT審計的發展必須有一大批專業化的IT審計人才, 這就要求我們要采取短期培訓和長期培養、操作層面上的培訓與高層次人才的培養、在職人員培訓與未來人才培養相結合的方法將這支隊伍逐漸發展起來。此外, 商業銀行可以從現有的審計隊伍中選拔人員進行專門的信息系統審計培訓。

it審計論文范文第3篇

各大銀行一直在持續進行信息系統建設, 以工商銀行完成數據大集中建設工程, 深圳發展企業業務外包等為標志, 銀行業數據大集中取得了初步建設成果。數據集中化實現了銀行賬務數據與營業機構的分離, 實現了數據共享和異地遠程交易便捷化, 幫助銀行從以賬務和產品為中心轉變為以客戶為中心, 為銀行管理集中和科學運營奠定基礎。與此同時, 銀行數據大集中也加大了銀行風險。由于信息技術在物理上、操作上和管理上存在的漏洞, 構成了IT系統安全的脆弱性, 給銀行帶來了一系列不安全的因素, 計算機犯罪和舞弊、會計信息的失真, 都將給銀行的資金、信譽造成重大的損失。 (圖1)

一、銀行信息系統風險防范———IT審計

2001年中國銀行廣東開平分行前后三任行長在長達10年的時間里, 把大量銀行資金轉移到海外, 總金額將近40億元, 竟然一直沒有人發現, 案發后3名主要嫌疑人先后逃往美國和加拿大;2005年中國銀行哈爾濱分行河松街支行原行長高某勾結他人, 通過地下錢莊將3億元銀行存款挪用, 涉案的總金額超過10億元, 成為建國以來黑龍江最大的金融舞弊案……信息化建設加大了銀行的經營風險, 在提高工作效率的同時, 也使得舞弊犯罪活動具有更強的隱蔽性和技術的復雜性。

1、信息系統審計師及其職責。

1996年日本通產省情報處理開發協會IT審計委員會對IT審計進行定義:為了信息系統的安全、可靠及有效, 由獨立審計對象的IT審計師, 以第三方的客觀立場對以計算機為核心的信息系統進行綜合檢查與評價, 向IT審計對象的最高領導, 提出問題與建議的一連串活動。

信息系統審計師可以通過檢測銀行信息系統的可用性、安全性和過程的完整性來確定信息是否可靠, 能夠以在線、實時的信息為基礎提供鑒證, 加大銀行信息披露的力度, 有利于防范、規避、控制和化解銀行的運行風險, 促進銀行規范、有序、高效運作, 提高銀行的資產營運質量和運作效率。而獨立的信息審計體系制度, 也使得信息系統審計師可以審計控制信息系統風險, 用制度保證比用人和技術來保證安全更可靠。

那么, 信息系統審計師就必須在對系統固有的風險和系統內部控制機制進行評估和分析的基礎上, 對信息系統從開發環節到運行環節進行重點檢查和檢測。

信息系統開發實施檢查:主要包括對系統需求分析定義、系統設計、系統開發、系統測試、系統試運行、系統安裝, 目的是對開發過程進行審計, 保證開發過程按內控要求執行。

信息系統運行管理檢查:主要包括系統主機性能、系統網絡性能、系統安全性、系統數據安全性、系統災難備份、系統運行管理的監督和檢查, 目的是保證系統的正常運轉。

信息系統業務處理及控制功能檢查:主要包括系統業務處理功能、系統訪問權限控制管理、系統權限職責、系統數據輸入/輸出/處理控制, 目的是保證系統操作的正確性。

信息系統內部控制管理檢查:主要包括內部控制環境、風險識別與評估、內部控制措施、信息交流與反饋、監督評價與糾正, 目的是保證系統風險得到重視, 并有效地控制。

信息系統基礎設施管理檢查:主要包括場地環境配置、硬件環境配置、場地安全性、設備安全性、設備管理制度的修訂和執行, 目的是信息系統在安全、有保障的環境中運行。

信息系統數據與相關文檔檢查:指數據的完整性、準確性、真實性、合規性。包括文檔種類管理、文檔歸檔管理、文檔密級管理、文檔調閱管理。目的是對數據進行符合性測試, 檢查文檔管理的科學性。

2、銀行信息系統及其風險控制。

銀行是一個高風險的行業, 又是一個關乎經濟增長和整個社會穩定的重要行業, 它還具有自身的一些特點。在對銀行信息系統進行IT審計, 進行風險控制時, 應當注意:

首先, 在IT環境下, 除了考慮銀行組織內外部經濟、社會環境變化以及業務經營性質、管理當局特征等因素外, 一個不容忽視的因素便是信息系統本身。銀行越依賴于信息系統, 信息系統越龐雜, 其固有風險也就越大。固有風險包括來自于外部的, 諸如戰爭、自然災害等造成的計算機本身的物理損壞或者通信線路的中斷;也有來自于內部的, 諸如系統運行不穩定或者應用軟件本身的設計漏洞, 導致數據處理過程中出現的必然錯誤等。

其次, 控制的范圍延伸到了系統的外部, 特別是在商業銀行普遍采取電子商務交易模式, 計算機系統容易受到來自銀行外部對系統安全造成影響的威脅, 包括網絡攻擊, 商業間諜破壞、黑客入侵以及病毒肆虐等, 銀行作為資金密集型企業, 一旦遭到商業間諜的破壞或網絡黑客的攻擊, 后果將難以想像。

另外, 由于銀行大量采用無紙化、聯網作業, 使得許多原始憑證異地存放、甚至根本就不存在, 采用電子審計證據的可信性較之以前有很大幅度降低;同時, 由于計算機系統本身的可靠性、正確性決定了電子數據 (信息) 的準確性, 因此, 如果計算機信息系統本身不可靠或者不正確, 審計人員單純分析電子數據也是毫無意義的。

二、基于COBIT的IT審計

COBIT信息及相關技術的控制目標, 是美國信息系統審計與控制協會ISACA的IT治理學會制定的一個開放性標準, 目前已成為國際上公認的最先進、最權威的信息技術管理和控制標準。 (圖2)

COBIT將IT過程、IT資源與企業的策略與目標 (準則) 聯系起來, 形成一個三維的體系結構。IT準則維集中反映了企業的戰略目標, 主要從質量、成本、時間、資源利用率、系統效率、保密性、完整性、可用性等方面來保證信息的安全性、可靠性、有效性;IT資源主要包括以人、應用系統、技術、設施及數據在內的信息相關的資源, 這是IT治理過程的主要對象;IT過程維則是在IT準則的指導下, 對信息及相關資源進行規劃與處理, 從信息技術的規劃與組織、采集與實施、交付與支持、監控等四個方面確定了34個信息技術處理過程, 每個處理過程還包括更加詳細的控制目標和審計方針對IT處理過程進行評估。

當進行IT審計時, 可以首先參考COBIT控制目標, 選擇基本的評價指標體系并根據銀行的實際需要選取擴展其他評價指標;然后將銀行選取的指標與COBIT控制目標形成映射關系。這樣, 既能夠滿足評價在基本的標準體系中進行, 保證評價指標的科學合理性, 同時又能夠滿足信息化評價的個性化需求, 保證了評價的靈活性。

三、結論及展望

隨著高科技的發展, 各家銀行加大了IT建設的投資, 數字化、網絡化等信息技術得到了迅速地推廣應用。網上銀行、移動銀行、電子商務等, 已經成為各家銀行追逐利潤的增長點。然而, 與此同時帶來的巨大風險, 也對銀行高級管理人員提出了巨大的挑戰。如何利用好信息技術, 加強IT審計工作, 勢必會成為今后銀行審計工作中的重點和難點。

參考文獻

[1]胡克瑾.IT審計[M].北京:電子工業出版社, 2004.

[2]黃溶冰, 王躍堂.商業銀行信息化進程中的審計風險與控制[J].經濟問題探索, 2008.2.

[3]吳越, 俞文萍.通過IT審計加強金融企業風險管控[J].上海國資, 2008.8.

it審計論文范文第4篇

1.IT 環境下財務審計的變化

IT環境下, 企業可以通過網絡確認交易、出口報關、發送商品 (僅限于信息產品) 、傳遞發貨單, 劃賬結匯等, 經濟業務產生的原始憑證以電磁信息的形式在網上傳遞并存儲于磁性介質中, 會計的確認、計量、記錄和報告都集中由計算機完成。這種情況下, 審計過程中不確定因素增加, 審計的難度加大, 傳統的對會計資料審閱、核對、分析、比較等已經不適應發展了, 提高審計數據采集及鑒證技術已是當務之急。

目前, 發達國家的會計師事務所在信息化方面已經發展到較高的水平, 如AICPA在1997年就將業務范圍拓展到電子交易網站的審計, 香港會計師公會也推出了“網譽認證”服務。我國還有一定差距, 因此, 要想在激烈的競爭中立于不敗之地, 就必須盡快實現審計信息化。

2.IT環境下財務審計存在的問題及原因分析

在IT環境下, 交易流無間隙的從一個主體到另一個主體, 幾乎沒有或很少有實際的證據用于證明交易的發生。被審計單位遠離交易主體的在途信息的安全性評估, 交易授權是否合理, 都嚴重影響財務審計數據的質量。由于大多被審計單位的內部控制仍為為傳統交易處理方式而設計的, 因而造成內部控制與外部審計的結合效果也不佳。目前來看IT環境下財務審計存在的問題及其原因有以下幾點:

① 審計的安全性、可靠性問題

IT環境下, 借助計算機網絡、審計軟件等對網上經濟活動及其記錄進行審計, 必然對網絡的安全性、可靠性、準確性產生依賴。沒有安全可靠的計算機網絡, 財務審計也就失去了物質基礎。而目前網絡犯罪已呈現國際性的發展趨勢, 計算機病毒借助網絡廣泛傳播, 給審計帶來了安全隱患, 不僅如此, 網絡的及時性, 使得網絡系統內部的漏洞或錯誤會無限制的復制。企業原有的內部控制的某些過程消失后, 又出現了一些新的內部控制內容。因而, 在企業總體計算機水平應用能力不高的情況下, 不相容職責的分離尤其重要, 因為本身網絡化經營管理中的計算機舞弊具有智能性、隱蔽性、嚴重危害性和易逃避法律責任的特點, 這樣就增加了對系統模塊熟悉人員篡改數據的風險。

②審計的實時性問題

IT環境下, 審計有很強的時效性。由于網絡系統是持續運行的, 所以停下來接受大規模的測試是非常困難的, 這就要審計人員執行的審計任務應與系統的運行同時進行, 這就需要加強審計技術的研究以提高實時審計的可操作性、有效性和準確性。我國財務軟件或者ERP系統中在設計時大多沒有考慮專用的審計軟件接口, 使得在財務軟件中嵌入適時跟蹤監控的審計程序難以實現, 使審計人員采集數據出現一定的難度。另一方面, 影響審計實時性的因素是審計單位還不能獨立開發出一個內嵌的審計模塊來進行審計的適時跟蹤。

③審計軟件的開發和使用問題

信息化時代, 審計人員必須使用計算機來跟蹤電磁化的審計線索。但從我國審計軟件發展的現狀來看, 我國審計軟件的市場還不夠完善, 審計軟件大多處于滿足繞過計算機審計的階段, 基本上還沒有適應IT環境下的財務審計, 市場上大多數審計軟件只能采集憑證、科目, 不能采集往來、項目等輔助核算數據。其中一個重要原因是由于審計軟件的開發模型不像財務軟件那樣清晰, 使得審計軟件的開發難度遠大于財務軟件。同時, 審計人員對當前已開發出的審計軟件的認識不夠, 錯誤的認為審計軟件能完成所有的審計工作, 忽略了自己專業的判斷, 有依賴心理不能做審計軟件的主人。

④審計風險控制問題

審計工作的過程, 實質上是不斷收集、鑒定和綜合運用審計證據的過程, 而審計人員正是通過跟蹤審計線索, 審核有關經濟業務和收集審計證據的。在傳統的業務活動中, 交易的每一個環節都有文字記錄都有經辦人簽字, 審計線索十分清楚。但在IT環境中, 傳統的憑證、賬簿沒有了, 紙質的文字記錄消失了, 取而代之的是存有電子數據處理信息的硬盤, 軟盤等, 這些存儲介質上的信息是計算機可讀的, 肉眼可見的傳統審計線索在這里中斷、消失了。而且隨著信息化的迅猛發展, ERP系統的大規模實施, 企業的數據越來越集中, 容易引發新的風險, 一是系統中許多不相容職責相對集中, 加大了舞弊的風險, 二是可能導致機密的數據被不法分子拷貝, 甚至被不法分子篡改而不留下任何痕跡, 三是系統對錯誤的處理具有重復性和連續性, 四是數據傳輸和存儲故障或軟件的不完善, 有使數據出現異常錯誤的可能性, 上述因素都可能使得審計風險中的固有風險和控制風險增大, 根據審計風險=固有風險×控制風險×檢查風險模型, 在固有風險和控制風險較高的情況下, 審計人員只有通過擴大審計范圍, 增加其他測試程序措施, 降低檢查風險, 才能將審計風險控制在可以接受的范圍內。

3.對策與建議

(一) 創新IT環境下的審計數據采集技術

在IT環境下, 會計數據的無紙化和網絡數據庫化是一種發展趨勢, 如何運用計算機輔助技術獲取所需的審計證據, 并對證據進行評價、判斷真偽是關鍵。審計人員面對的是一個無紙化的審計軌跡并且依賴于系統輸出的財務報告。為了對財務報告的公允性發表審計意見, 審計人員必須著重收集足夠的審計證據。傳統的審計數據采集方式如實地盤查、詢問、函證等應該被動態監控管理、網上電話、電子郵件等方式替代, 才能獲取可靠的審計數據, 提高審計數據的質量, 降低審計的風險, 滿足審計的安全控制要求。

①利用網絡管理系統的自身功能進行審計數據采集

電算化系統中, 帳務處理是實時進行的。尤其是網絡化系統, 在同一時間可能有多個用戶執行同一項功能、調用同一個數據文件, 而系統只有記錄最終的結果。若審計時只對靜態系統數據進行審查, 不進行有關運行程序、數據文件的聯機實時審計數據的采集, 就難以發現存在的問題。因此對重要業務的處理、關鍵的處理程序、業務人員的上機操作記錄等, 應該加強其動態審計數據的采集。

網絡化系統一般本身都提供了一定的實時審計和審計線索保存功能, 一旦發現非法的或有超越網絡授權的操作行為, 就會記錄入侵者的登錄用戶名、IP地址、登錄日期時間等信息, 監視并記錄下了整個非法的操作過程, 同時尋找到非法用戶曾經潛入系統內部的痕跡, 審計人員可以實時檢查系統存放這些信息的審計蹤跡表, 充分利用這些線索, 查看相應的這些管理文件, 收集相關的審計信息。

②借助于Excel軟件采集審計數據

對于用Microsoft Access、VFP、SQL Server 等數據庫開發的會計信息系統, 可以直接利用Excel中提供的Microsoft Query 采集審計數據。審計人員可以根據會計系統的開發軟件所使用的數據庫管理系統的類型, 選擇對應的數據源進行數據轉換, 并將轉換的數據存入審計底稿。利用Excel 進行審計數據采集, 可以大大地降低審計數據的采集成本, 提高審計的效率。目前, 用EXCEL采集審計數據的應用還很廣泛, 利用EXCEL對數據進行轉“存”, 即將數據從被審單位的系統內導出, 在此所指轉換的基本數據主要指科目編碼庫、年初余額庫及憑證庫的轉換, 其它數據, 如往來賬款編碼庫、存貨編碼庫、固定資產卡片帳數據庫等會計核算的初始數據都可以參照上述方法進行。

由于轉換涉及對數據庫系統數據源數據的采集, 所以審計人員必須掌握相關的數據庫管理知識, 對系統所在的數據庫類型, 各種文件的數據結構以及每個數據庫文件中字段的意義等都必須十分了解, 否則無法正確地獲取審計數據。

③利用審計軟件進行審計數據采集

審計軟件是以審計作業為主的審計工具, 針對財務審計而言, 它主要是運用計算機程序自動檢測財務軟件的運行, 遇到錯誤或模糊之處自動提示審計人員, 利用審計軟件采集審計對象的信息, 因而可以大大簡化審計信息的采集過程, 大大提高審計效率?，F在審計軟件的數據采集一般是采用模板式。因為會計軟件所采用的開發工具五花八門, 采用的數據庫管理系統和數據結構也各不相同。利用一般的審計工具 (如Excel) 要將其數據采集到審計系統中, 需要知道它的數據庫類型及相關的結構才能完成。這對于一般的審計人員而言, 進行這樣的操作比較困難。而利用會計軟件模板技術可以較好地解決會計軟件數據采集問題。審計軟件針對不同的會計軟件, 已經建立了不同的模板方式, 模板自動解析數據庫文件的類型及相關文件與會計數據中字段的對應關系, 審計人員只要選擇相關的會計軟件的模板及數據文件存放的路徑, 審計軟件則根據選擇的模板自動完成將會計信息系統數據采集到審計軟件系統中。而針對上面所提及我國審計軟件開發和使用及會計軟件設計現狀, 我國財務軟件在設計時很少考慮專用的審計接口, 然而財務軟件的統一實施可以說是審計軟件規劃的前提和必要條件, 因而將審計軟件的接口, 嵌入程序等達到一致, 整個社會的會計、審計工作就會相互協調, 形成更好的審計環境。

④安裝審計黑匣子

在網絡化系統中, 在同一時間可能有多個用戶執行同一項功能, 調用同一個數據文件, 而系統可能只記錄下最終的結果。若審計人員只是靜態采集審計數據, 不進行聯機實時數據采集, 有時就難以發現其處理過程中存在的問題。因此對重要業務的處理、關鍵的處理程序、業務人員的上機操作記錄等應實施動態數據采集和監控。IT環境下, 審計部門可以通過網絡采集被審單位有關經濟、金融、財稅、貿易等一切與審計有關的信息, 加以存儲和整理, 以便進行依法審計。網絡的應用, 改變了傳統的審計信息采集的方式, 實地盤查、詢問、函證等審計數據的采集方法, 已經被動態監控管理、網上對話、電子郵件等方式代替。它將大大增加采集審計數據的實時性、可靠性, 也將大大減少審計數據的收集成本。

(二) 完善數據處理方法

審計數據采集完, 關鍵是用正確的數據處理方法來進行數據分析, 完善的數據處理方法能提高審計的效率, 是審計手段的一次大的飛躍, 它將克服人工審計的隨意性和彌補審計力量的不足, 起到優化審計手段, 改善審計條件, 提高審計質量直至降低審計風險的作用。通常完成了數據的轉存和讀取之后, 要利用審計方法對數據進行處理。而IT環境下, 數據的采集量往往很大, 如何在海量的數據中找到合理的樣本是關鍵。在以往的審計過程常常為了方便一般采取的抽樣方法是選擇金額大的物理單元作為抽樣樣本, 而計算機輔助技術為我們對海量數據的分析提供了方便, 我們可以將數據按預定的區間分組, 并記錄每個區間的記錄數以及累加每個區間的財務數值.以此來觀察交易數據的全面印象, 分析商業活動是否合理, 從而為被審計單位提出更多可行性意見。

(三) 與內部審計相結合

內部審計作為現代企業管理的組成部分, 傳統的主要以查錯糾錯為目的, 以檢查復核為手段, 對經濟活動的結果予以監察、督促的基本監督職能已不能滿足現代管理的需要?，F代管理需要內部審計人員充分發揮主觀能動性, 增強服務意識, 而大規模的信息系統的建立為實現內審的服務職能提供了最有利的條件。如利用ERP信息系統可直接產生審計所需要的分析數據, 然后從分析數據中找出漏洞或薄弱環節所在, 針對出現的問題尋根問源, 最后提出中肯的建議和改善辦法, 并以此來完善企業各項管理制度, 外部審計通過與內部審計的有效結合可以降低審計成本, 提高審計效率。

另一方面, 由于IT 環境對公司營運的影響, 實質性測試可能再也不符合成本效益原則。應該注意到有效的運用一般性控制對于有效的電子商務交易處理至關重要。因此, 必須具備大量的有效的內部控制措施, 且審計人員必須能夠對控制風險進行合理的評價。建立在一個活動數據文檔基礎上的程序, 使得審計人員能夠在不影響公司真實營運或財務數據的情況下對系統進行測試。而通常在測試數據法中, 虛擬數據的運行改變了客戶的數據記錄, 可能給系統帶來錯誤混亂, 可能遭到被審計單位的拒絕。若企業沒有一個很好的內部審計制度, 任何可能給系統帶來混亂的舉動可能遭到被審計單位的拒絕, 反之, 若企業內部審計良好, 那么常用的審計技術給系統帶來的各種影響就會在外部審計之前得到排除。因而, 在IT環境下, 一個內部審計良好的企業與外部審計結合將帶來很多方便之處, 提高審計質量。

(四) 提高審計的實時審計技術

IT環境下, 財務審計需要經常性和實時監督, 保證審計任務與系統運行同時進行。在已經建立好統一的審計軟件的接口前提下, 關鍵是要保持嵌入的審計本身具有隱蔽性、安全性和穩定性, 非CPA不能看到這些審計程序自動生成的數據。這就需要設計一個程序塊嵌入被審計單位的系統中, 內嵌的審計模塊能夠對交易處理流程實行不間斷的監控與分析, 這在一個交易量巨大, 實時性系統中特別有效, 因為這種系統對交易的及時性、完整性、準確性及其有效性有較高的要求。內嵌審計模塊經常用于審計那些具有高風險的應用程序, 尤其是當有些交易文檔會消失或改變而無法用來事后分析的情況。這些模塊能使審計人員在任何時候采集樣本, 并且是在正常的生產過程中進行數據采集, 適時判斷系統運行情況和提出審計意見。用嵌入的程序采集的審計證據文件, 一般可以分為一下幾種:不合法而進入使用有口令的程序;未經批準而調用某些數據文件程序;超權限使用系統程序;擅自調閱或修改審計線索數據項或審計證據程序, 通過這些程序來測試被審計單位應用控制過程中財務數據的輸入、處理、輸出是否得當。

4.結束語

IT環境給傳統財務審計帶來了機遇, 同時也帶來了不少的問題, 但不能否認的是IT環境已成為財務審計的從業環境, 在新的環境下只有抓住機遇迎接挑戰, 從技術創新、管理創新、人員素質創新等方面著手, 才能取得良好的審計效果。

摘要：信息技術的發展使信息的記載、處理、傳遞和輸出形式發生了質的變化, 傳統的審計方式已經不能滿足現代信息技術環境下的審計要求, 創新審計技術已經成為現代審計的發展方向。本文就IT環境下財務審計存在問題進行了分析, 提出在IT環境下如何提高財務審計的質量, 如何與內部審計更好的結合, 使財務審計更好的適應IT環境。

關鍵詞：財務審計,數據采集,內部審計

參考文獻

[1]陶玲.計算機審計中存在的問題及對策[J].科技信息, 2011, (5) .

it審計論文范文第5篇

1. IT環境下審計風險研究的局限性

IT改變了被審計單位的內外環境, 導致IT環境下審計風險研究成為一個交叉研究領域, 因此相關研究成果復雜多樣。從1974年AICPA發布SAS No.3開始, 各國審計準則制定組織都專門針對IT環境下的內部控制評價出臺了相關的準則及指南。通過系統梳理, 本文認為現有研究存在以下局限, 有待進一步改進: (1) 重風險控制評價, 輕風險識別。風險識別是風險控制的基礎, 如果不能有效地識別風險, 就難以對被審單位所采取的IT風險控制措施作出恰當評價。 (2) 實務性研究缺乏系統性, 導致現有研究普遍缺乏一個支持性理論框架, 并給后續的進一步研究帶來困難。 (3) 財務審計領域對IT研究成果的借鑒不夠深入。財務審計領域的研究者大多將IT領域的研究成果應用于以IT (會計信息系統、ERP) 為對象的審計問題探討中, 沒有真正融入到財務審計流程中來。

可見, IT環境下審計風險研究需要轉換視角, 將調適性結構理論 (AST) 融入IT環境下審計風險的研究中不僅是必要的, 也是可行的。這是唯一能從信息技術角度對審計風險判斷作出合理解釋的途徑或方式。

2. 調適性結構理論基本觀點及應用

人們對技術與社會間相互關系的不同理解也映射到IT與組織 (企業) 間關系的研究中。1994年, DeSanctis&Poole把對IT和組織變化之間關系的不同研究劃分為兩個學派:決策學派與制度學派。技術社會學派則采取整合兩個學派的觀點, 自成一派。調適性結構理論是技術社會學派思想的代表, 其基本觀點主要包括:IT結構是社會互動的結構來源之一;互構過程會產生新的社會結構;社會互構包括IT的采用過程及組織中利益群體的決策流程兩個方面;利益群體的內部系統會影響IT采用的特征?？梢? AST理論的中心思想是“結構化” (structuration) 和“采用” (appropriation) 。它動態描述了利益相關者使用IT的過程, 說明了組織中利益相關者在采用IT過程中所作的調適是組織變革的關鍵因素。AST理論表明IT導入組織后可用于研究利益相關者互動關系并提供了一個分析互動過程的框架。目前AST理論被應用于IT許多領域, 通過構建基于AST的IT風險判斷框架, 審計人員就能全面、系統地揭示IT所引發的企業風險。

3. AST對IT環境下審計風險研究的價值

依據決策學派、制度學派和技術社會學派對IT環境下企業風險驅動因素的不同理解, 可將IT風險依照其來源分為技術風險、組織風險、技術與組織互動風險3類。技術風險強調由于IT問題導致的IT風險;組織風險是指來源于組織內外結構的風險;技術與組織互構風險是指由于IT與組織在互構過程中出現的不協調風險。作為技術社會學派代表的AST進一步將IT與組織的互構過程歸納為3個共生與互動的子要素, 通過分析這些風險驅動因素和追蹤其造成的影響, 可全面、系統地揭示IT所引發的企業風險。對審計人員而言, 借助由AST理論所提煉出的風險判斷框架可全面地識別IT環境下被審計單位風險, 并對被審計單位的風險控制情況進行客觀評價。

綜上分析, 筆者所要探討的主要問題為:借助調適性結構理論如何恰當地識別由IT引發的被審計單位風險;如何在正確識別風險的基礎上控制被審計單位的IT風險;如何改進IT環境下審計風險的判斷方法?；狙芯克悸房捎脠D1表示。

二、基于AST的IT環境下審計風險的識別和控制

1. 基于AST的IT環境下審計風險識別

(1) 技術風險。技術風險包括技術結構特征風險和技術精神風險。技術結構特征風險包含兩層含義:一是指軟硬件技術性安全風險;二是指軟硬件等基礎設施的靈活性風險?？山柚褂谜呤謨?、設計人員等對該風險進行識別;ERP的導入可能限制企業靈活性, 企業選擇的ERP系統如果不符合政府法規或行業要求等都會引發技術精神風險?？赏ㄟ^系統設計的隱喻、系統特征及表現方式、使用者界面的本質等方式進行識別。

(2) 組織風險。組織中多樣性員工在實現組織目標過程中可能存在沖突, 這些沖突必然給IT的設計、開發、使用帶來影響, 從而產生IT環境下的組織風險。此外, 現有研究結論表明, 組織的集權化會影響信息系統的應用及績效, 集成化的ERP所體現的管理思想源于歐美, 在盛行中華文化地區的企業實施時則會遇到更多阻礙?？傊? 不論從整體層面還是從個體層面, 組織中既存的風險會對IT引發的變革產生影響, 也會最終作用于企業的IT風險。

(3) IT與組織互構系統風險。包括IT利益群體相關風險和流程風險兩個層面。IT利益群體相關風險可從企業層面、功能單元層面、個人層面等3個不同層面來界定識別。企業層面的IT利益群體風險可從信息文化缺乏風險、企業層面利益群體互動風險、缺乏高級管理層支持風險3個維度來界定并識別;功能單元層面的IT利益群體風險是指技術人員未能把用戶需求轉化為技術需求, 從而為IT的應用埋下的風險隱患;個體層面的IT利益群體風險主要包括相關知識與經驗不足的風險和用戶認同度低的風險。流程風險包括IT流程風險和業務流程風險。IT流程風險可從流程目標無法實現風險、流程負責人不到位風險、流程難以改進風險等方面分析、識別;業務流程風險可從針對業務流程總體風險 (應用系統無法支持業務流程風險) 和針對業務流程中信息流風險 (應用系統中數據獲取和生成過程中風險) 兩個方面分析、識別。

2. 基于AST的IT環境下審計風險控制

(1) 技術控制。技術控制是使用IT手段所進行的自動控制, 可分為計算機硬件層次上的內部控制和系統支持軟件中的控制。硬件控制通常是由計算機硬件制造商設計并內嵌于計算機硬件設備上的;軟件控制包括系統軟件控制和專業應用軟件控制。系統軟件控制是軟件開發商設計并自帶的, 專業應用軟件控制則與具體的業務規則相關聯。

(2) 組織控制。組織控制就是組織通過某種手段使得具有各種個人需求的員工服從組織的要求。作為管束人們經濟行為的規則, 從社會學的角度看, 制度可分為兩大類。一類是有形制度安排。作為制度的外在安排, 形式化的規則與程序往往是通過制度構建或通過強制性方式建立起來的。另一類是無形的文化形式。作為制度的內在安排, 這種價值模式往往是通過一種歷史性的社會化過程, 對每個社會成員進行文化塑造而實現的。

(3) IT與組織互構系統的控制。主要涉及對IT利益群體風險控制和對流程風險控制兩個方面。對IT利益群體控制可分為整體層面控制和個體層面控制。整體層面控制主要是通過廣義的制度控制 (包括有形制度控制和無形文化控制) , 建立一套合理的制度安排, 使企業的IT應用符合企業的期望行為 (即IT治理) ;個體層面控制主要指對IT利益群體成員的IT知識和相關實踐經驗的交流、培訓和教育。對業務流程控制可采用組織控制方法和技術控制方法結合使用, 并同時執行預防性控制、檢測性控制、糾正性控制, 審計人員在設計業務流程控制測試時應注重對詢問、觀察、檢查、重新執行等多種測試方法的綜合應用。

三、基于AST的IT環境下審計風險判斷方法的改進與完善

1. IT環境下基于流程的審計風險判斷方法

借鑒自上而下審計方法, 結合AST理論中以流程為IT風險判斷的中間環節分析法, 改進的IT環境下審計風險判斷方法的具體實施步驟如下: (1) 了解企業及其環境, 包括內部控制; (2) 確定財務報告流程的核心要素; (3) 識別關鍵的業務流程; (4) 確定與IT功能相對應的應用系統范圍; (5) 識別管理和驅動重大應用系統的IT流程; (6) 評價IT控制和分析業務流程風險; (7) 評估電子證據證明力和設計實質性測試程序。通過上述7個步驟將IT環境下的企業風險因素與報表和認定層次的重大錯報風險相鏈接, 同時為電子審計證據證明力, 即檢查風險的判斷提供依據。

2. 協助審計人員實施以流程為基礎審計的工具

Carla Camaghan (2006) 對審計準則及審計領域中所需的適用于審計風險估計的工具與企業模型中關于業務流程的概念和結構作比較, 結果表明審計人員所需的知識類似于管理人員對業務流程的理解和控制。因此, 協助審計人員實施以流程為基礎審計的工具主要包括:

(1) 數據流程圖。數據流程圖是一種分析系統數據流程的圖形工具。它最初是為了滿足信息系統設計需求, 按照結構化方法, 在總體上遵循自頂向下逐層分解的原則, 這樣把大問題、復雜問題分解成若干個小問題, 然后分別解決。這種分解是以加工性分解為中心, 屬于功能分解性質。

(2) REA模型。William E.McCarthy (1982) 在“事項會計”概念基礎上, 運用實體關系 (Entity-Relationship Diagram) 建立了REA會計模型。REA模型創立的本意是為描述組織內的經濟交易提供一個數據模型, 隨后REA的作用被擴展為對業務流程建模的一種方法, 以協助企業建立統一的數據庫。REA通過分析經濟交易的實質, 從價值鏈角度定義業務流程, 其目標是通過數據指導人們應對經濟活動的哪些特征建模及如何體現這些特征。

(3) IDEF模型。IDEF是流程模式工具, 也是一種流程分析與設計方法。它借助圖示方式, 清楚嚴謹地描述大而復雜的組織內流程之間、流程與外界實體間的業務流程。審計人員借鑒這些相關的企業流程及子流程通用設計模式, 可針對各項流程加以系統分析及研究。

3. 組建綜合性審計團隊支持流程基礎的審計

IT環境下技術與組織之間的交互作用要求審計人員實施建立在流程基礎上的審計風險判斷方法。此時的流程是人工與自動化相結合的流程, 這對審計人員的技能提出了更高的要求。因此, 組建由具有不同知識背景的計算機審計專家與財務審計人員構成的綜合性審計團隊, 是正確判斷IT環境下審計風險的有效方法。當然計算機專家與財務審計人員都需要增加對方領域的知識, 這樣才可以促進彼此之間有效的交流與合作。相關研究表明, 當財務審計人員擁有更多的IT環境下的審計經驗時, 他能更好地識別計算機審計人員工作結果的優劣。因此, 財務審計人員需要增加相關的專業知識以增強自身的競爭力。

參考文獻

[1][美]詹姆斯.A.霍爾 (James A Hall) .信息系統審計與鑒證[M].李丹, 譯.北京:中信出版社, 2003.

[2][加]尤蘇費利.F.穆沙基, [匈]阿什.胡克.ERP系統整合審計[M].陳明坤, 譯.北京:經濟科學出版社, 2007.

[3]美國公眾會計監督委員會.第5號審計準則——與財務報表審計相結合的財務報告內部控制審計[S].張宜霞, 劉玉廷, 譯.大連:東北財經大學出版社, 2008.

[4]莊明來, 吳沁紅, 李俊.信息系統審計內容與方法[M].北京:中國時代經濟出版社, 2008.

[5]B Ballou, C E Earley, J S Rich.The Impact of Strategic Positioning Information on Auditor Judgments about Business Process Performance[R].Working Paper Series, 2001.