it內部審計論文范文

it內部審計論文范文第1篇

一、IT審計的定義及其特點

IT審計是指對信息系統從計劃、研發、實施到運行維護各個過程進行審查與評價的活動, 以審查企業信息系統是否安全、可靠、有效, 保證信息系統得出準確可靠的數據。由以上定義可知, IT審計的目標是保證IT系統的可用性、安全性、完整性和有效性, 最終達到強化企業內部控制的目的。

該審計過程具有以下特點:

1. IT審計是一個過程。

它通過獲取的證據判斷信息系統是否能保證資產的安全、數據的完整和組織目標的實現, 它貫穿于整個信息系統生命周期的全過程。

2. IT審計的對象綜合且復雜。

IT審計從縱向 (生命周期) 看, 覆蓋了信息系統從開發、運行、維護到報廢的全生命周期的各種業務;從橫向 (各階段截面) 看, 它包含對軟硬件的獲取審計、應用程序審計、安全審計等。IT審計將審計對象從財務范疇擴展到了同經營活動有關的一切信息系統。

3. IT審計拓寬了傳統審計的目標。

傳統審計目標僅僅包括“對被審計單位會計報表的合法性、公允性及會計處理方法的一貫性發表審計意見”;但IT審計除了上述目標外, 還包括信息資產的安全性、數據的完整性及系統的可靠性、有效性和效率性。

4. IT審計是一種基于風險基礎審計的理論和方法。

IT審計從基于控制的方法演變為基于風險的方法, 其內涵包括企業風險管理的整體框架, 如內部環境的控制、目標的設定、風險事項的識別、風險的評估、風險的管理與應對、信息與溝通以及對風險的監控。

二、我國IT審計面對的挑戰

IT審計和傳統審計相比具有的上述特點是吸引我國眾多企業引入IT審計的重要原因, 但是這種方法的應用又會給企業提出巨大的挑戰。

1. 傳統審計線索的消失。

在手工會計環境下, 審計線索主要來自于紙質原始憑證、記賬憑證、會計賬簿和會計報表, 這些書面數據之間的勾稽關系使得數據若被修改可辨識出修改的線索和痕跡, 這就是傳統審計線索的基本特征。但是現在計算機網絡信息系統中這些數據直接記錄在磁盤和光盤上, 無紙張記錄, 審計人員用肉眼無法直接看到這些數據如何記錄, 且非法修改刪除原始數據也可以不留篡改的痕跡, 從而為舞弊人員作案留有可乘之機。盡管許多審計機構要求已實現會計信息化的企業將所有原始憑證、記賬憑證、賬簿、報表打印輸出, 使用繞開計算機系統的審計方法, 并以打印出的證、賬、表作為基本審計的線索和依據。但是如果原始數據在業務發生時就被有意篡改, 則其派生的記賬憑證金額和賬戶余額及報表數據也一定會出錯, 打印出的數據也不能作為審計證據。因此即使打印出所有電子數據, 傳統審計線索也會在計算機信息系統下完全消失。

2. 計算機信息系統的數據安全面臨挑戰。

手工信息處理的環境下, 審計人員無須將數據和會計信息的安全性問題作為審計的重要內容, 但是在IT審計的工作中, 網絡電子交易數據的安全是關系到交易雙方切身利益的關鍵問題, 也是企業計算機網絡應用中的重大障礙和審計的首要問題。例如計算機病毒的破壞、黑客用IP地址欺騙攻擊網絡系統來獲取重要商業秘密、內部人員的計算機舞弊、數據丟失等, 都是傳統審計從未涉及的, 但又是IT審計的重點, 這對當前我國的審計工作無論是操作系統, 還是制度建立等眾多方面都是一個很大的挑戰。

3. IT審計專業人才匱乏, 適應IT審計事業發展的人才培養和管理機制還有待建立和健全。

由于IT審計固有的復雜性, 這項工作需要具備會計、審計、組織管理和計算機、網絡技術等綜合知識的人才, 而且工作人員需要對內部控制和審計有深刻的理解, 對信息和網絡技術有敏銳的捕捉能力, 在我國獲得注冊信息系統審計師資格的人數遠遠不能滿足信息系統審計業務的需求。

三、我國IT審計應對策略

面對上述挑戰, 我們應當多方位、多角度制訂措施, 使IT審計工作更好地為我國企業發展做出貢獻。具體措施如下:

1. 審計線索的重建。

根據計算機網絡系統容易在不同地方同時形成相同“原本”數據的特點, 可以重建電子審計線索:在電子化的原始數據形成時, 同時在審計機構 (包括內審機構) 和關系緊密 (簽字確認) 的部門形成原始數據的“原本”, 或在不同部門各自形成相關的數據庫 (特別應當包括數量、金額和單價等主要數據項) , 這樣不僅可以相互監督和牽制, 還給計算機審計提供可信的審計線索。這種保留審計線索的方法, 一方面成為有力的控制手段, 另一方面可從審計線索中發現疑點。這種方法主要是應用專用的審計比較軟件, 同時將幾個部門的同一種數據庫進行自動比較形成有差異的數據記錄文件, 詳細審查相關的數據文件和訪問有關的當事人, 從而取得有力的審計證據。上述比較審計方法是在不同部門同時形成業務數據文件的情況下應用, 如果企業業務數據分離存放, 如銷售合同與銷售發票、提貨單在不同的部門保存, 這種實質性測試也可采用比較審計法, 應用專用的審計軟件, 結合相關的幾個業務數據文件進行比較, 查出有錯誤疑點的記錄。

2. 確保信息系統的信息安全。

為了保證信息系統的信息安全, IT審計工作人員要在審計過程中評價企業的防火墻技術、網絡系統的防病毒功能、數據加密措施、身份認證和授權的應用實施情況, 通過面談實地審查企業安全管理制度建立和執行的情況, 查看企業是否為了預防計算機病毒, 對外來的軟件和傳輸的數據經過病毒檢查, 業務系統是否嚴禁使用游戲軟件, 以及是否配置了自動檢測關鍵數據庫的軟件, 使異常及時被發現;檢測企業是否為了防范黑客入侵, 網絡交易的數據庫采用離散結構, 同時在不同的指定網點 (如在交易的雙方) 形成完整的業務數據備份供特殊使用 (如審計和監控) ;此外IT審計人員還要注意檢查企業的信息系統崗位責任實施、安全日志制度, 審查有關計算機安全的國家法律和管理條例的執行情況。

3. 建立一支完備的IT審計專業人才隊伍。

IT審計的發展必須有一大批專業化的IT審計人才, 這就要求我們要采取短期培訓和長期培養、操作層面上的培訓與高層次人才的培養、在職人員培訓與未來人才培養相結合的方法將這支隊伍逐漸發展起來。此外我國可以從現有的審計隊伍中選拔人員進行專門的信息系統審計培訓, 并考慮在注冊會計師的資格考試和審計師職稱考試中逐步加入計算機、信息系統和網絡技術等與信息系統審計有關的內容, 以及加強對從事信息化咨詢的IT技術人員的會計與審計知識的培訓。為了培養未來審計人員, 應在高校會計、審計專業教學計劃中增加信息技術和電子商務等內容, 也可以考慮在高校中開設信息系統審計專業, 直接培養信息系統審計專業人才。

當前我國IT審計正處于起步階段, 和傳統審計相比, IT審計的顯著特點決定了其勢在必行, 但是一種新的方法的引入和實施必定會給企業和審計人員帶來巨大的挑戰, 面對種種挑戰我們應采取積極措施, 迎難而上, 使IT審計工作不斷發展完善。

參考文獻

[1]張茂燕.論我國的信息系統審計[D].廈門:廈門大學, 2005.

[2]陳朝.我國信息化建設中信息系統審計問題研究[D].長春:東北師范大學, 2006.

[3]鄧少靈.企業IT審計的框架[J].中國審計, 2002 (1) .

[4]李健, 朱錦淼, 王曉兵.IT審計——人民銀行內審面臨的新挑戰[J].金融理論與實踐, 2003 (6) .

[5]李朝陽, 胡昌振.計算機審計系統的防護方法[J].航空計算技術, 2002 (1) .

[6]李輝, 楊青峰.商業銀行IT審計的策略與方法[J].信息空間, 2004 (7) .

it內部審計論文范文第2篇

(一) 內部審計信息化的發展機會。

目前, 國內外針對信息化環境下的內部審計發展、內部審計的方法與工具的研究較少。在信息化背景下, 內部審計亟需提升到戰略高度, 一方面加強計算機輔助審計技術的開發與應用, 另一方面大力加強IT風險管理。對此, IIA已經采取行動, 在2009年更新的《國際內部審計專業實務框架》中新增了六項內部審計專業實務標準, 內容涉及信息系統合規治理、信息系統審計風險評估等。另外, 企業主要領導和利益相關者提高了對內部審計的重視程度, 內部審計應抓住這一機會, 充分利用多種計算機輔助審計技術和工具, 提高內部審計覆蓋率和效率, 并有效控制IT風險, 更好地幫助企業管理層以及治理層識別、了解、應對風險。

(二) 現代內部審計技術與工具的發展。

信息化環境下, 內部審計技術主要涉及:利用數據挖掘技術從海量的被查信息中發現問題, 利用現代風險管理技術發現風險點, 利用科學管理技術評價決策和業績管理等。這些技術以各種內部審計工具為載體來實現。從全球范圍來看, 數據分析軟件仍是使用最廣泛的工具, 此外, 審計工具涉及的領域還包括自動工作底稿、舞弊偵測/持續監控、風險評估等。然而, 目前我國內部審計工具的規范性、通用性較差, 沒有形成系統的、可操作性強的內部審計工具;內部審計工具只關注具體的技術與業務, 缺乏對治理與決策的關注, 沒有將內部審計與IT治理緊密結合。

二、IT治理下的內部審計

(一) IT治理的目標。

IT治理是公司治理的重要組成部分, 其基本目標可以概括為戰略一致、績效提升、資源合理、風險降低、價值交付。也就是說, IT治理是通過IT與組織戰略目標的融合互動來保持IT與組織業務目標一致, 通過平衡信息技術與過程的風險來合理管控信息化過程的風險, 通過合理調配和有效利用信息資源、提升組織績效、推動業務發展、增加價值來確保實現企業的目標, 促使收益最大化。

(二) IT治理與內部審計的關系。

IT治理與內部審計在增加價值、降低風險、改善運營和實現組織目標方面高度一致。內部審計能夠促進IT治理目標的實現, IT治理對內部審計信息化也具有指導和推動作用。

1. 內部審計促進IT治理目標的實現。

首先, 內部審計的定位是為組織“增加價值”, 這正是IT治理實現組織目標的一個重要途徑。內部審計為了增加價值需將審計內容向決策層面延伸, 通過一系列審計活動和報告推動董事會、管理層重視和了解IT治理的責任與效果。董事會、管理層根據組織戰略目標確定IT治理目標, 部署信息化方針和策略, 制定IT管理措施, 提高安全意識。內部審計監督、評價和分析組織IT管理政策、程序和措施的執行及IT資源的部署, 從而促進IT治理目標的實現。其次, 現代內部審計是基于風險的, 在信息化環境下通過評估風險、識別重點, 確定工作重心, 將有限的IT資源應用到最重要、最需要的地方, 將顯著提高信息資源利用效率和效果。針對識別出來的風險制定一系列風險防范與應急措施, 降低組織風險。因此, 內部審計可以有效促進IT治理的風險降低這一目標的實現。最后, 現代內部審計上升到治理層面, 幫助管理層完善治理職能, 為審計委員會成員提供相關培訓, 使他們加深對公司治理、IT治理和風險管理等方面的理解;提高信息溝通的各層級的透明度, 加強企業戰略實施和戰略業績的評價與反饋。

2. IT治理指引內部審計信息化。

首先, IT治理為內部審計提供方向和保障。企業實施IT治理必須定義一個較為清晰的IT治理框架。企業診斷和評價當前自身所處的IT治理級別之后, 需確定總的IT治理目標和每個IT過程目標, 以及一系列的關鍵成功因素、關鍵目標指標和關鍵績效指標等。內部審計在IT治理框架和各指標的指引下, 一方面根據企業的需求, 獲得資源并合理利用, 有效提升內部審計信息化建設的質量和水平;另一方面, 對信息系統構建前后和構建過程中所涉及到的IT過程、所利用的IT資源進行管理, 充分考慮與IT過程相關的風險, 衡量IT服務的效果, 從而有效地指引和保障內部審計信息化的健康發展。其次, IT治理為內部審計信息化提供參照標準。在信息化環境下開展內部審計活動可以借鑒IT治理的一系列標準。其中, 最具代表性的IT治理標準是由ITGI發布的信息及相關技術控制模型 (COBIT) 。COBIT是一個基于控制的IT治理框架, 為企業規劃、實施和更新IT資產、進行全生命周期管理提供了良好的控制目標體系。它還包含管理指南、審計指南和應用工具集, 提供了管理與審計的工具與方法, 定義了度量模型, 并圍繞控制目標建立了相應的審計流程和改進建議。這些都為內部審計信息化的開展提供了具體而有效的工具和方法。

三、內部審計信息化發展框架

基于我國當前信息化水平和內部審計工具的現狀, 內部審計信息化建設應該在IT治理所確定的目標和框架指引下, 參照IT治理的標準和指南, 以審計數據提取與分析工具為核心, 將信息系統 (IS) 審計、聯網審計、風險管理、審計預警、審計專家分析系統、法律法規查詢系統、審計管理工具等新審計理念與方法引入與集成到內部審計信息化平臺。

(一) 以IT治理為指引, 加大IT審計、風險審計等。

首先, 應將內部審計目標提高至組織戰略層面, 即以組織的IT治理目標為指引, 以IT治理的框架如COBIT為指南和工具, 一方面進一步充分發展和利用計算機輔助審計技術開展審計工作, 另一方面對IT/IS進行規劃、實施、交付和監控的全過程審計。其次, 應積極開展風險審計和戰略審計, 促進組織風險管理, 使IT資源更合理地利用, 為組織增加價值, 實現IT治理目標, 監督和評價組織戰略目標的實現。第三, 內部審計應充分利用審計軟件, 通過網絡進行實時的數據采集、原始資料分析處理、風險評估等工作, 實現持續在線審計, 提高審計效率。

(二) 集成新的審計技術方法。

內部審計信息化平臺建設中需積極引入多種先進的審計技術方法, 合理部署和利用, 使內部審計信息化平臺更加專業化、系統化。

1. 審計預警等工具的開發與集成。審計預警將審計業

務涉及到的業務線的風險點列示, 通過系統的設定在規定的時間范圍內運行風險模型, 審計預警工具還能實現同類問題的自動發現。此外, 還應內置審計專家分析系統, 對各種財務指標實現智能化分析;集成法律法規查詢系統、內部審計管理工具等, 使內部審計人員便捷地使用集成化的工具開展日常工作。

2. IS審計。

當前我國正在實現由財務控制逐步向業務控制和信息系統控制轉變。IT治理將合理的制度安排、控制程序嵌入到信息系統中, 內部審計應開展IS審計。IS審計時應充分了解業務流程, 加強一般控制審計和應用控制審計, 并在IS審計中積極開展技術創新與流程優化, 促進內部審計方式的轉變, 提升內部審計的效果和效率。

3. 聯網審計。

隨著網絡技術的快速發展, 組織內外部信息溝通與數據傳輸都在網絡范圍內實現, 審計工作必須考慮聯網審計。聯網審計需要研究數據庫技術、聯機分析技術、數據挖掘技術等應用技術, 建立好審計數據中心, 以現場網絡模式為基礎, 進一步開展遠程聯網審計, 實現動態、遠程審計以及資源的充分共享。

4. 科學管理方法及內部控制自我評價估方法。

內部審計從最初的查錯防弊發展到現在價值增值的管理服務, 功能不斷拓展, 審計內容也在不斷更新, 許多科學的審計方法越來越多地被應用于內部審計實踐中, 但這些方法還需要進一步凝練、歸納和總結, 使之與現代內部審計業務的發展需求相一致, 滿足未來內部審計業務發展的需要。

(三) 完善內部審計工具與標準。

1. 統一審計數據接口, 規范財務/內部審計工具的開發, 強化內部審計工具的通用性。

參照由中國電子技術標準化研究所承辦的《信息技術會計核算軟件數據接口》 (GB/T19581-2004) 國家標準, 結合實際需要出臺相關的財務軟件與內部審計工具的數據接口標準。建立和完善內部審計軟件的開發規范, 加強內部審計工具的通用性。

2. 深入并拓展數據式審計。

深入研究先進的數據分析技術, 如數據挖掘技術、孤立點分析技術等。并且, 分別針對數值型數據的線性結構化的特點、非數值型數據的離散非結構化的特點研究不同的數據采集與分析方法, 相輔相成, 使數據式審計更加系統科學。

3. 與企業ERP平臺緊密結合。

企業ERP系統的應用和全面信息化的實現, 要求內部審計工具與企業ERP信息化平臺緊密結合。因此, 需要深入研究二者結合的策略、模式、實現技術等。 (注:本文系南京審計學院校級課題, 課題編號:NSK2009/B18;江蘇省政府留學獎學金資助項目)

it內部審計論文范文第3篇

一、I T審計的定義及其特點

IT審計是指對信息系統從計劃、研發、實施到運行維護各個過程進行審查與評價的活動, 以審查企業信息系統是否安全、可靠、有效, 保證信息系統得出準確可靠的數據。IT審計的目標是保證IT系統的可用性、安全性、完整性和有效性, 最終達到增強企業內部控制的目的。IT審計具有以下特點:

(一) I T審計是一個過程。

它通過獲取的證據判斷信息系統是否能保證資產的安全、數據的完整和組織目標的實現, 它貫穿于整個信息系統生命周期的全過程。

(二) I T審計的對象綜合且復雜。

IT審計從縱向 (生命周期) 看, 覆蓋了信息系統從開發、運行、維護到報廢的全生命周期的各種業務;從橫向 (各階段截面) 看, 它包含對軟硬件的獲取審計、應用程序審計、安全審計等。IT審計將審計對象從財務范疇擴展到了同經營活動有關的一切信息系統。

(三) I T審計拓寬了傳統審計的目標。

傳統審計目標僅僅包括“對被審計單位會計報表的合法性、公允性及會計處理方法的一貫性發表審計意見”;但IT審計除了上述目標外, 還包括信息資產的安全性、數據的完整性及系統的可靠性、有效性和效率性。

(四) I T審計是一種基于風險基礎審計的理論和方法。

IT審計從基于控制的

□文/秦春

方法演變為基于風險的方法, 其內涵包括企業風險管理的整體框架, 如內部環境的控制、目標的設定、風險事項的識別、風險的評估、風險的管理與應對、信息與溝通以及對風險的監控。

二、I T審計面臨的挑戰

IT審計和傳統審計相比具有的上述特點是吸引我國眾多商業銀行引入IT審計的重要原因, 但是這種方法的應用又會給商業銀行提出巨大的挑戰。

(一) 傳統審計線索的消失。

在手工會計環境下, 審計線索主要來自于紙質原始憑證、記賬憑證、會計賬簿和會計報表, 這些書面數據之間的勾稽關系使得數據若被修改可辨識出修改的線索和痕跡, 這就是傳統審計線索的基本特征。但是, 現在計算機網絡信息系統中這些數據直接記錄在磁盤和光盤上, 無紙質記錄, 審計人員用肉眼無法直接看到這些數據如何記錄, 且非法修改刪除原始數據也可以不留篡改的痕跡, 從而為舞弊人員作案留有可乘之機。

(二) 計算機信息系統的數據安全面臨挑戰。

手工信息處理的環境下, 審計人員無須將數據和會計信息的安全性問題作為審計的重要內容, 但是在IT審計中, 網絡電子交易數據的安全是關系到交易雙方切身利益的關鍵問題, 也是商業銀行計算機網絡應用中的重大障礙和審計的首要問題。例如, 計算機病毒的破壞、黑客用IP地址欺騙攻擊網絡系統來獲取重要商業秘密、內部人員的計算機舞弊、數據丟失等, 都是傳統審計從未涉及的, 但又是IT審計的重點, 這對當前我國的審計工作無論是操作系統, 還是制度建立等眾多方面都是一個很大的挑戰。

(三) I T審計專業人才匱乏。

適應IT審計事業發展的人才培養和管理機制還有待建立和健全。由于IT審計固有的復雜性, 這項工作需要具備會計、審計、組織管理和計算機、網絡技術等綜合知識的復合型人才, 而且工作人員需要對內部控制和審計有深刻的理解, 對信息和網絡技術有敏銳的捕捉能力, 在我國獲得注冊信息系統審計師資格的人數遠遠不能滿足信息系統審計業務的需求。

三、I T審計應對策略

面對上述挑戰, 我們應當勇于實踐, 積極探索新形勢下如何使IT審計工作能夠滿足商業銀行發展的需求。

(一) 審計線索的重建。

根據計算機網絡系統容易在不同地方同時形成相同“原本”數據的特點, 可以重建電子審計線索:在電子化的原始數據形成時, 同時在審計機構 (包括內審機構) 和關系緊密 (簽字確認) 的部門形成原始數據的“原本”, 或在不同部門各自形成相關的數據庫 (特別應當包括數量、金額和單價等主要數據項) , 這樣不僅可以相互監督和牽制, 還給計算機審計提供可信的審計線索。這種保留審計線索的方法, 一方面成為有力的控制手段;另一方面可從審計線索中發現疑點。這種方法主要是應用專用的審計比較軟件, 同時將幾個部門的同一種數據庫進行自動比較, 形成有差異的數據記錄文件, 詳細審查相關的數據文件和訪問有關的當事人, 從而取得有力的審計證據。上述比較審計方法是在不同部門同時形成業務數據文件的情況下應用, 如果企業業務數據分離存放, 如銷售合同與銷售發票、提貨單在不同的部門保存, 這種實質性測試也可采用比較審計法, 應用專用的審計軟件, 結合相關的幾個業務數據文件進行比較, 查出有錯誤疑點的記錄。

(二) 確保信息系統的信息安全。

為了保證信息系統的信息安全, IT審計工作人員要在審計過程中評價企業的防火墻技術、網絡系統的防病毒功能、數據加密措施、身份認證和授權的應用實施情況, 通過面談實地審查企業安全管理制度建立和執行的情況, 查看企業是否為了預防計算機病毒, 對外來的軟件和傳輸的數據經過病毒檢查, 業務系統是否嚴禁使用游戲軟件, 以及是否配置了自動檢測關鍵數據庫的軟件, 使異常及時被發現;檢測企業是否為了防范黑客入侵, 網絡交易的數據庫采用離散結構, 同時在不同的指定網點 (如在交易的雙方) 形成完整的業務數據備份供特殊使用 (如審計和監控) ;此外, IT審計人員還要注意檢查企業的信息系統崗位責任實施、安全日志制度, 審查有關計算機安全的國家法律和管理條例的執行情況。

(三) 建立一支完備的I T審計專業人才隊伍。

IT審計的發展必須有一大批專業化的IT審計人才, 這就要求我們要采取短期培訓和長期培養、操作層面上的培訓與高層次人才的培養、在職人員培訓與未來人才培養相結合的方法將這支隊伍逐漸發展起來。此外, 商業銀行可以從現有的審計隊伍中選拔人員進行專門的信息系統審計培訓。

it內部審計論文范文第4篇

關鍵詞：商業銀行,IT審計

隨著計算機網絡的發展, 商業銀行在處理業務時對計算機信息系統的應用程度越來越高。信息系統就像一把雙刃劍, 它在帶來經濟效益的同時, 也使商業銀行面臨巨大的風險, 因此對信息系統進行嚴格規范的控制尤為重要。為了保證信息系統的安全、可靠與有效, 實施有效的IT審計成為商業銀行一項迫在眉睫的任務。

一、商業銀行實施IT審計的必要性

1. 這是由商業銀行業務高風險性的特點決定的

商業銀行本身是一個高風險行業, 在銀行業務中的主要風險包括:戰略性的, 名譽性的, 操作的, 信用, 貨幣兌換, 利率, 流動性。隨著銀行業務信息化程度的提高, 特別是近年來網絡銀行和信用卡的興起, 銀行的業務和信息系統之間的聯系不斷加強, 信息系統需要不斷的修改和完善以適應業務發展的要求。當信息系統跟不上業務發展的需要時, 就會造成系統故障, 系統錯誤等情況, 導致一些業務不能正常開展, 這使得商業銀行面臨的戰略性, 名譽性, 操作性的風險越來越大。為減少這些風險, 這就需要IT審計對系統進行嚴格的規范控制, 對信息系統進行綜合的檢查和評價以保證信息系統適應銀行業務發展的需要。

2. 這由信息系統本身的特點所決定的

信息系統的開發是一項長期而且龐大的工程, 需要耗費大量的人力、物力以及財力, 它具有投資大, 風險高的特點, 若開發不當, 則可能會使信息系統無法投入使用, 或即使能勉強投入使用, 但在使用過程中也會錯誤不斷, 需要極高的成本來維護系統, 因此需要IT審計對信息系統的開發過程進行跟蹤審計, 及時發現并改正錯誤, 保證信息系統的質量, 降低系統后期的維護成本。同時, 由于并不存在十全十美的信息系統, 也不可能在系統開發過程中發現全部潛在的錯誤, 這使得在系統運行過程中可能會出現系統故障, 系統錯誤, 黑客攻擊漏洞等情況, 這可能會使數據被破壞, 客戶隱私被泄露, 經濟效益遭受損失, 對商業銀行的聲譽、經營造成影響。這就需要在信息系統運行維護階段進行IT審計找出系統的缺陷和不足, 并提出改進和完善的意見, 以保障系統安全、可靠以及有效的運行。

二、商業銀行IT審計的現狀及改進措施

1. 建立完善的商業銀行IT審計制度

在我國制度創新還跟不上IT的發展, 相關的IT審計法規、準則存在著一定的滯后現象, 目前存在相關法規、準則僅有審計署于1996年頒布的《審計機關計算機輔助審計辦法》, 1999年頒布的《獨立審計具體準則第20號——計算機信息系統環境下的審計》等幾個。而近年來IT發展迅速, 這些法規、準則不一定能適應新的系統環境, 這將會給商業銀行的IT審計的實際操作帶來一些困難和影響。為了促進商業銀行的IT審計的發展, 應該完善相關的法規、準則, 使之跟得上IT的發展。同時, 根據國際趨同的要求, 我國也應根據國際IT審計的國際標準——COBIT (信息系統和技術控制標準) 建立符合中國實際、順應國際準則趨同化要求的內控、風險管理體系、IT監審機制和制度。

2. 加強IT審計的連續性

由于商業銀行信息系統的開發多采用外包方式, 這使得在實施IT審計時容易忽視信息系統開發階段的IT審計, 使得IT審計缺乏連續性。而系統開發階段存在的一些潛在的問題可能會系統在運行維護階段逐漸暴露出來, 這個時候就需要去系統本身進行修正, 與在系統開發階段進行的修正相比, 此時的花費的成本將更高。因此, 需要加強在系統開發階段的IT審計, 加強IT審計的連續性, 這將有助于保障高質量的信息系統的開發, 減少系統存在的潛在問題, 降低運行維護階段的維護成本。

3. 提高商業銀行內部IT審計的質量

商業銀行一般都擁有自己的IT部門, 由于部分內審人員計算機知識與技能有限, 這使得在進行內部審計時會在一定程度上依賴IT部門的人員的幫助, 誠然這些IT部門的人員對于計算機知識以及相關的業務十分熟悉, 有利于內部審計的實施, 但是這卻讓他們擁有運動員和裁判員的雙重身份, 使得內部審計的獨立性遭到質疑, 內部審計的質量得不到保證。而高質量的內部審計能使信息系統安全、可靠以及有效的運行, 同時也使信息系統容易通過外部審計。因此, 需要在商業銀行內部設立獨立于IT部門的IT審計部門, 實施有效的內部審計。

4. 培養IT審計專業人員

我國商業銀行IT審計起步較晚, IT審計專業人員在數量上嚴重不足, 同時在專業技能方面與國外相比也存在一定的差距, 而這些因素也在一定程度上影響了商業銀行IT審計質量的提高, 因此需要大力培養IT審計專業人員。對此, 我們可采取專家講課、委托培訓、公派交流學習等措施來培養IT審計人員, 提高IT內審人員的素質。

5. 借鑒國外的一些先進經驗

我國IT審計起步較晚, 雖然在近年來取得了較快的進步, 但相對于一些起步較早的國家而言, 總體水平并不是很高。我們可以根據自身的實際情況, 借鑒一些適合我國國情的先進經驗, 比如:挪威的數據獲取自動化 (TOMAS) 系統, 它能在提高效率保證質量的同時, 使審計人員可以采集存儲在財務管理會計系統中的基本數據而不增加被審計單位的安全風險;美國利用互聯網實施聯網審計, 審計人員可以通過網絡獲取被審計單位的有關資料開展審計工作等。

參考文獻

[1]胡克瑾:IT審計[M].北京:電子工業出版社, 2004

[2]中國工商銀行內部審計局課題組.關于商業銀行IT審計問題的研究[J].金融論壇, 2005, 11

it內部審計論文范文第5篇

一、IT環境下內部控制的特點

(一) IT環境的含義

IT技術, 涵蓋制造、流通、金融、咨詢、醫院、出版、影視、教育, 甚至政府管理等幾乎所有的領域。目前, 以網絡、通訊、信息處理、人工智能和多媒體為核心的IT技術, 已然成為世界經濟與科技發展的引擎。中國也不例外, 迅猛發展的IT技術, 對我國傳統經營管理模式造成強烈沖擊, 并對各企業的外部經濟環境和內部管理控制產生巨大影響。眾所周知, 所謂環境, 是指周圍的地方及其情況和條件。顧名思義, IT環境就是在IT技術迅猛發展下的現實處境和條件。處于這樣的環境, 企業內部控制與傳統的內部控制比較, 在實施目標、實施方法、實施條件、實施結果等方面, 都有了一些明顯的區別, 體現了其獨有的特點。

(二) IT環境下內部控制規范實施的目標

實現企業價值最大化, 即利潤的最大化, 是企業內部控制的目標, 更是作為內部控制的一種先進手段或者方式的內部控制規范實施的終極目標。這些目標主要表現在:

1.確保組織目標的有效實現, 及時對那些構成組織的諸如財產、人力、知識、信息等資源進行合理的組織、整合和利用, 致使這些資源的運營一直處于控制之下或在一定的控制之中。

2.服從組織自行制定的和社會通過政府制定的政策、程序、規則和法律法規, 以營造公正和諧的生存環境。

3.經濟有效地利用資源, 努力用最低廉的成本取得最想要的結果, 防止不必要的浪費。

4.確保信息的質量, 保證信息的合法、真實和完整, 利用相關、可靠和及時的信息控制組織的行為。

5.客觀上, 資源的稀缺性要求組織通過有效的內部控制系統保護各種有形與無形的資源, 確保其安全和完整, 做到: (1) 這些資源不被損害和流失; (2) 對資產進行合理使用和必要維護, 杜絕信息的遺失、損壞和失竊, 培養員工對組織的忠誠。

(三) IT環境下內部控制規范實施的前提條件

IT環境下內部控制的規范實施, 應以人員、流程和信息為中心, 利用系統的連結性和創造性, 復用現有服務。在實施過程中, 做好:

1.正確理解和分析各個不同層次的管理人員對未來信息系統的需求。

2.提供最理想的解決方案以配合未來的業務需求。

3.以是否能滿足企業的業務需求為首要標準進行系統的選擇。

4.選擇能夠實現企業管理轉變的合適軟件, 并非僅指“先進的”軟件。

5.配置應用系統模塊、確定報表程式及集成接口程式。

6.系統成功遷移到正式投產的環境。

7.進行系統支援, 包括一系列的微調和性能量度及支援。

8.不斷完善系統模板方案并驗證系統完善模板的準確性及可行性。

9.指導軟、硬件的安裝, 并提供相應培訓。

10.進行數據轉移和系統測試, 直至系統上線和驗收。

(四) IT環境下內部控制規范實施的關鍵要素和實施程序

在IT環境下, 內部控制規范實施的關鍵要素和傳統條件下的內部控制規范實施基本吻合, 主要包括: (1) 企業架構團隊; (2) 實施路線圖; (3) 架構體系; (4) 技能; (5) 交付模型; (6) 管理; (7) 戰略安排; (8) 溝通; (9) 高級管理層的支持; (10) 持續進行重新設計。

在此基礎上, 結合上述內部控制的目標和實施方法, 不難發現, 內部控制的項目管理可按以下步驟實施:

1.項目開始, 主要是評估項目需求, 界定項目, 完成可行性分析, 作出項目總體安排, 并進行項目授權。

2.項目選型, 主要是篩選候選供應商, 重點候選供應商的系統演示, 決定系統評估和選型。

3.項目計劃, 主要是確定詳細的項目范圍, 明確用戶現狀, 定義遞交的工作成果, 評估實施時的主要風險, 制訂項目的時間計劃, 制訂成本和預算計劃, 制訂人力資源計劃。

4.項目執行, 這是內部控制規范實施歷時最長的一個階段, 貫穿于項目的業務模擬測試、系統開發確認和系統轉換運行3個程序之中, 包括:按預定的實施計劃開展日常工作, 按實施的進度控制項目的時間和成本, 對實施過程進行全面的文檔記錄和管理, 及時匯報項目的進度, 定期召開項目例會, 編寫例會的會議紀要。

5.項目評估及更新, 通過實施階段性評估, 召開項目里程碑會議, 建立質量保證體系等途徑, 完成項目評估及更新。

6.項目完成, 實施行政驗收、項目總結、經驗交流等手段, 將成熟的內部控制規范系統正式移交給使用單位。

(五) IT環境下內部控制規范實施的后果

1.IT環境下的內部控制規范實施, 一改傳統方式下原始數據獲取靠員工肉眼觀察、手工計數或使用儀器測量, 以及用紙介質存儲等手段, 采用電纜、光纜、無線電波等以光速傳遞信息, 利用傳感設備全自動獲取所需數據和信息。借助計算機的高速處理能力, 使信息處理速度大為加快, 效率大為提高, 而且傳遞的信息量遠非傳統方式可比, 為企業加強內部控制提供了基礎。減少了會計記錄和反映的時滯以及會計核算與會計控制的脫節, 將會計流程和業務流程融為一體。但如果信息傳遞過程受到阻礙或破壞, 就會給企業帶來更大的損失。存儲介質由紙變為磁盤或光盤, 與紙介質存儲相比, 磁介質或光介質具有存儲密度大、擦寫沒有痕跡的特點, 可以集中保存數據和信息資源, 但這種存儲介質容易遭襲, 一旦毀損或者被盜, 抑或數據被篡改, 很難恢復。還有, 若不能及時對各期的數據信息進行備份, 就極易導致大量數據信息丟失?？傊? 一方面, 信息處理效率的提高有利于企業實施更復雜更有效的控制措施和控制方法, 提高內部控制的效果和效率;另一方面, 借助高速的信息處理能力, 企業員工或管理當局造假的能力也得到提高。同時, 過分信賴這種集中存儲方式, 使組織內部控制的許多審計線索或審計軌跡消失, 呈現信息系統本身的脆弱性, 給內部控制增加難題, 并使系統在一定程度上喪失了人類所具有的對不合邏輯、不合理以及例外事件的理性判斷和處理能力。如果程序設計不周或在系統的初始設置中設置不當, 而在系統處理過程中又不能進行人工干預, 就可能導致一些錯誤的、不合理的業務和數據游離于組織內部控制之外, 不能被及時發現。

2.IT環境下的內部控制規范實施, 借助于網絡, 人與人之間的直接接觸相應減少, 網絡世界的無形性和匿名性直接對人的心理造成一定的影響, 使部分人誤以為借助網絡興風作浪不容易被抓住, 從而可能降低犯罪的心理閾值。網絡的遠程接入特性也給犯罪分子提供了方便, 他們只要獲得一個登錄密碼就可能通過網絡侵入系統, 竊取組織重要的信息資產, 或使信息系統崩潰。有的組織由于電腦口令設置簡單, “主管授權、審核”這些功能形同虛設, 容易被破解, 甚至被黑客遠程入侵攻擊。同時, 大量會計信息通過網絡傳輸, 有可能被非法攔截、竊取、篡改;網絡系統遭受病毒攻擊的可能性也很大, 計算機病毒復制和傳播能力很強, 破壞性也強, 可以破壞計算機內存、硬盤、軟盤上的程序和數據文件, 進而影響信息的可靠性。

3.IT環境下的內部控制規范實施, 借助于ERP, 全面集成企業的所有資源, 并為企業提供決策、計劃、控制與經營業績評價的全面化、整合化和動態化管理平臺。就企業會計核算而言, 很多數據的錄入和生成工作已經前移至業務部門, 在財務人員對后臺配置相應會計科目后, 業務部門的人員只需錄入業務數據, 由授權部門進行審核、確認、計量, 并登錄系統進行必要操作, 系統就自動生成會計憑證, 并在操作完成的同時, 通過計算機網絡集成到財務模塊, 自動完成財務賬簿登記。但是, 也正是因為這種會計系統將許多不相容職責相對集中, 加大了舞弊風險;系統信息容易被修改、刪除、隱匿或偽造, 且不留痕跡。還有, 由于系統運用了多項物資編碼, 搜集和定義了物料的屬性, 形成了較為準確的產品結構資料, 提高了財務標準, 并通過設置一套名稱準確、內容完整的會計科目, 規范了會計核算過程, 保證了各類數據、財務信息的真實、完整, 有效地杜絕了利用相關政策人為調節會計利潤的現象。但是, 鑒于ERP軟件系統功能繁多的特點, 就不可避免地存在某些功能不足或潛在缺陷, 給組織帶來新的風險。包括:內部職員或信息系統操作員、計算機程序編寫人員、職能部門經理和會計人員、已離職員工, 客戶與供應商、市場競爭者、外界犯罪分子, 都會成為信息系統正常運轉潛在風險的主體。ERP系統的開放與共享程度越深, 上述主體通過公用通訊線路干預系統的概率就越大, 系統面臨的安全隱患也就越多。

4.IT環境下的內部控制規范實施, 在信息化條件下, 數據處理的準確性、完全性依賴于原始數據輸入的準確性, 但是, 由于系統一體化、數據邏輯化、信息生成自動化的特點, 致使疏忽差錯、故意性差錯、非故意資產損毀、資產的失竊、防護程序失控、暴力或自然災害, 以及計算機硬件和與之相關的網絡通信、電源等設備引起的外部諸如火災、停電等不可抗拒的因素和操作失誤等人為因素引起系統故障, 導致數據丟失甚至系統癱瘓。特別地, 信息資產的稀缺性, 可能誘使掌握它的管理人員不惜犯罪將其賣給競爭對手, 加上信息的無形性、可拷貝性, 致使信息的泄密不易被發現, 畢竟用不著像盜竊有形資產那樣撬門開鎖、翻墻入室、避開警衛等大動干戈。

5.IT環境下的內部控制規范實施, 必然存在軟件開發人員對內部控制理解不深, IT技術不熟練, 或者考慮問題不周, 導致IT產品與實際需求不相吻合。而操作人員只是應用軟件的使用者, 對軟件編程等計算機專業知識掌握有限, 很難及時發現設計錯誤, 在專業人員查出漏洞前, 內部控制信息系統只能按原設計多次重復同一錯誤, 造成損失擴大。這種風險在傳統內部控制中恰恰是最少出現的。同時, 由于信息化與電子商務的法律環境滯后, 包括我國在內的很多國家, 目前還缺少有關電子商務交易責任與可靠性方面的法律規定, 法律保護有限。

二、IT環境下內部控制規范實施應采取的措施

良好的信息技術治理有助于公司治理機制的完善, 而公司治理機制的完善將為企業內部控制的完善提供良好的基礎。面對IT環境下內部控制規范實施的特點, 企業應制定與企業戰略相融合的信息技術戰略, 并從戰略投資、企業管理變革的角度, 降低其信息技術風險, 站在公司治理角度實施信息技術治理。

(一) 以人為本, 提高全員素質

IT環境下, 對組織的每一個人都提出了很高的要求。內部控制規范實施信息系統本身就是人機共存的系統, 也就是說僅有計算機和內部控制基礎軟件或應用軟件是遠遠不夠的, 還要有能夠熟練操作計算機并使用內部控制軟件的人。內部控制的規范實施, 對不同階層的職員有不同的要求。包括:

1.對高層領導的要求。 (1) 在項目各個階段, 與組織成員就信息技術整體應用在企業中的角色和定位進行溝通; (2) 評估組織信息系統應用狀況、進展情況和整體信息技術應用的領先性; (3) 確定組織未來信息技術應用的整體規劃。

2.要求管理人員對信息技術知識的了解掌握必須經過認識、認同和視為己任3個階段, 從接受培訓、掌握基礎知識到參與操作和了解系統, 最后變為信息技術的帶頭人并培訓他人。

3.對一般人員的要求。 (1) 在項目初期, 積極了解項目信息, 參加項目相關培訓; (2) 在方案設計階段, 提供業務現狀及現存問題的信息, 并提供改進建議, 為設計工作獻計獻策; (3) 在實施階段, 根據要求進行數據準備和整理, 為系統上線做準備, 盡量熟悉系統, 多進行系統操作, 協助進行最終用戶培訓; (4) 在系統上線后, 繼續使用系統進行日常工作, 及時發現系統存在的問題, 并提出改進建議。所有這些要求的達成, 都要做到以人為本, 提高全員信息技術水平, 大力培養優秀復合型人才。

(二) 合理的職責分工

出于網絡技術需要極強的邏輯判斷和邏輯分析能力的考慮, 并且通過網絡信息的傳輸可以實現各種內部控制數據的共享, 所以應盡量根據組織結構及職員的崗位責任, 很細致地設置每個職員對系統的操作權限以及對信息的查詢范圍, 以保證組織的各項經濟活動均是由被批準或被授權的職員執行。信息系統硬件與軟件管理由不同的職員負責, 編程人員、維護人員以及系統操作人員之間分工協作, 系統維護人員權責分離, 建立不兼容職務相互分離控制、會計系統控制、預算控制、財產保全控制、風險控制、內部報告控制和職務輪換制度。同時, 由于系統維護人員和熟悉信息系統技術的相關人員能直接接觸各種數據庫、各種軟件, 他們的有意作案或無意的錯誤操作所造成的影響很難估量, 所以必須制定嚴格的制度予以約束。做到業務決策人員與經辦人員權限設置全面分離制約, 將業務授權 (管理職能) 、業務執行 (保管職能) 、業務記錄 (會計職能) 、業績檢查 (監督職能) 很好地分離;重大事項的決策和執行很好地分離等。

(三) 強化信息系統設施的維護和保養

合理控制信息系統的硬件設施, 這個程序通常已由計算機硬件制造商設計并安裝在計算機硬件設備上, 如邊界保護、雙電路、奇偶校驗、溢出校驗及程序固化等;目的是為了使計算機有更高的可靠性, 在環境出現一些細微干擾的時候不至于影響計算機的運行。強化訪問控制、隔離控制、加密變換和口令控制等, 能有效防止未經授權的人擅自動用系統的各種資源, 包括硬件設備、軟件程序、數據文件以及相關的檔案資料。采用多層式 (客戶機/服務器) 模式組建企業內部網, 即利用中間代理服務器隔離客戶與數據庫服務器的聯系, 實現數據的一致性;采用較為成熟的大型網絡數據庫產品并合理定義應用子模式, 子模式是全部數據資料中面向某一特定用戶或應用項目的一個數據處理集, 通過它可以分別定義面向用戶操作的用戶界面, 做到特定數據面向特定用戶開放, 建立信息資源授權制度;采取定期的網絡基礎數據備份, 制訂緊急恢復及災難補救計劃。系統維護, 包括軟件修改、代碼結構修改和計算機硬件與通訊設備的維修等, 涉及系統功能的調整、擴充和完善, 必須經過周密計劃和嚴格記錄, 維護過程的每一環節都應設置必要的控制, 維護的原因和性質必須有書面形式的報告, 經批準后才能實施修改;特別是軟件修改, 網絡系統操作員絕對不能參與, 所有與系統維護有關的記錄都應打印后存檔。在病毒處理上, 對不需要本地硬盤和軟盤的工作站, 盡量采用無盤工作站;采用基于服務器的網絡殺毒軟件進行實時監控、追蹤病毒;在網絡服務上采用防病毒卡或芯片等硬件, 以有效防治病毒;財務軟件可掛接或捆綁第三方反病毒軟件, 加強軟件自身的防病毒能力;對外來軟件和傳輸的數據必須經過病毒檢查, 在業務系統中嚴禁使用游戲軟件;及時升級本系統的防病毒產品。

(四) 不斷提高組織文化建設的力度

組織文化是組織高層為保證組織的生存發展, 根據組織內環境設計提出的, 并為組織普遍接受的有關組織經營管理活動和員工行為的一整套價值體系。組織文化滲透到各個分支機構和經營部門的經營、管理中, 貫穿于組織管理、質量、檢測、銷售、服務、資產重組、體制轉換、跨國經營、科研、教育培訓等領域之中, 具體體現在組織經營策略和各種規范、規章制度的實踐中。IT環境下, 組織應當從物質文化、行為文化、精神文化、制度文化幾個方面著手塑造組織文化, 在繼承和發揚本國優秀文化、教育傳統, 借鑒國外優秀文化的基礎上, 努力改造組織環境, 優化組織素質, 樹立組織形象, 增強組織活力, 完善組織管理, 促進文化與經濟的有機結合, 使組織文化真正發揮出整合功能、規范功能、導向功能、凝聚功能及激勵功能等, 為組織的繁榮昌盛服務。唯如此, 組織才能在新經濟時代立于不敗之地, 使組織文化和組織的內部控制在IT環境下得到很好的耦合。

三、結論