时间:2023-08-17 18:03:27
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇国际审计标准,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
[关键词]效益审计 审计标准 评价指标 政府信息管理
[分类号]D630 F239
政府信息资源管理效益审计是指运用效益审计的理论和方法对政府信息资源管理活动所进行的一种专门性审计。在该活动中,效益审计者根据国家审计法规和国际惯例的要求,按照授权和规定的程序通过收集、分析、评价政府信息资源管理部门在其工作活动中形成的审计证据,对其信息资源管理活动的经济性、效率性、效果性(简称为“3E”)等进行审查,发现问题,找出产生这些问题的根源,提出改进政府信息资源管理的建议,将审计结果反馈给相关部门,帮助政府信息资源管理部门更好地履行其职能。在这项活动中,标准是关键,因为审计工作是在判断基础之上进行的,而所有的判断工作又都是建立在一定标准之上的。
1 政府信息资源管理效益审计标准含义
1.1 效益审计标准
什么是效益审计标准呢?在回答这个问题之前,先弄清楚什么是标准、什么是审计标准。根据《现代汉语词典》(2002年版)解释,标准是“衡量事务的准则”,而“准则”是指“言论、行动等所依据的原则”。相应地,审计标准就可以理解为在审计工作中为了便于审计工作有效开展并根据审计对象而制定的一些判断准则或原则。同理,作为审计工作重要组成部分的效益审计来讲,其标准就可以理解为衡量被评价对象效益状况的准则或原则,它是用来考察和评价被审计活动是否符合经济性、效率性和效果性的业绩标准。根据《世界审计组织绩效审计指南》的解释,这些标准应当反映待检查事项所应具备的规范化控制模式,应当代表良好的实践行为――即一个理性、有知识的人所认为的“应当是什么”。
1.2 政府信息资源管理效益审计标准
政府信息资源管理效益审计属于效益审计,其审计标准相应地为效益审计标准。结合上述效益审计标准的理解,政府信息资源管理效益审计标准就可以界定为用来判断政府信息资源管理效益的基准或原则,也即是用来衡量政府信息资源管理活动是否符合经济性、效率性和效果性的业绩标准。其中,经济性标准是用来评价政府信息资源管理活动资源消耗方面的标准。效率性标准是用来评价政府信息资源管理活动中其产出与消耗资源之间的关系标准。效果性标准是用来评价政府信息资源管理活动既定目标的实现程度以及政府信息资源管理活动的实际效果与预期效果的关系标准。经济性标准、效率性标准与效果性标准共同测度政府信息资源管理工作是否履行节约、是否实现高效、是否完成既定目标任务等。效益审计标准是评判政府信息资源管理效益高低的尺度和参照物,一方面它可以为效益审计工作提供测评基准,减少人为主观性,降低审计风险;另一方面它还可以引导政府信息管理部门向既定的目标迈进,更好地履行职能。
2 政府信息资源管理效益审计标准的构成
2.1 政府信息资源管理效益审计标准的层次构成
从衡量的结构层次来看,政府信息资源管理效益审计标准可以划分为微观层次标准、中观层次标准和宏观层次标准。微观层次标准主要是从某一政府信息资源管理部门或机构的角度来考察该部门或该机构信息资源管理工作的效益状况,如在经济性方面其成本是否低于财政预算、效率性方面是否比以往提供了更多的信息产品和信息服务等。中观层次标准主要是从某一区域范围的角度来考察该政府信息资源部门工作是否在这一范围内有效益,如是否实现了信息共享、共享是否有效、共享成本是否经济等。宏观层次标准主是从国家层面来看政府信息资源管理部门工作的效益状况,如是否有利于促进社会信息化进程,是否有利于改善政府管理和服务等。
2.2 政府信息资源管理效益审计标准的内容构成
从衡量的内容范围来看,政府信息资源管理效益审计标准可划分为经济性标准、效率性标准和效果性标准。经济性标准主要用来测度政府信息资源管理部门或机构是否以最低的成本为政府和公众提供符合质量要求的信息服务等;效率性标准主要用来测度政府信息资源管理活动是否以一定的投入实现了最大的产出,如在不增加政府信息资源管理费用和保证质量的前提下,政府信息资源管理部门将纳税人的钱是否“钱尽其用”等;效果性标准主要用来测度政府信息资源管理工作是否为政府决策带来了明显的好处,是否改善了政府与公众信息之间的不对称,是否完成既定目标任务等。
2.3 政府信息资源管理效益审计标准的性质构成
从衡量的效益性质上来看,政府信息资源管理效益审计标准可划分为定量标准和定性标准。定量标准主要着眼于政府信息资源管理工作中可以量化的效益指标,是评判政府信息资源管理工作效益程度的重要依据或准则。如考查资金运用是否符合经济性要求时,其标准就应该以定量标准为宜;定性标准主要着眼于政府信息资源管理工作的结论判断或难以量化的内容。在考察、衡量政府信息资源管理效益时,应注意标准的运用,因为政府信息资源管理效益主要是以社会效益为主,而这种社会效益具有难以量化、滞后性、模糊性和“心理价值”等特点,定量标准难以测度。
3 政府信息资源管理效益审计标准选择的要求
作为具体的政府信息资源管理效益审计工作来讲,选择什么样的标准还应具体问题具体分析。一般来讲,政府信息资源管理效益审计标准的选择应满足如下要求:
3.1 符合效益审计标准的一般性要求
根据《亚审组织效益审计指南》第3章22款规定,合适的效益审计标准应具有可靠性、客观性、有用性、易懂性、可比性、可接受性等特点。理所当然,政府信息资源管理效益审计标准也应符合这些要求。其中,可靠性要求是指在相同的环境下,不同的审计工作者运用同样的标准对政府信息资源管理效益审计能够得出同样的结论;客观性是指审计标准能最大限度地不受审计人员或管理部门偏见的影响;有用性是指通过这些判断标准,能够得出满足用户信息需求的审计发现和结论;易懂性是指这些政府信息资源管理效益审计标准的内容清晰,不会产生误解,方便理解;可比性,指运用在政府信息资源管理效益审计中的标准能与其他类似活动中的审计标准相比,并且还能进行同期比较等;可接受性是指这些审计标准能够被审计单位、立法机构、媒体和一般社会公众所理解,并且愿意认可。
3.2 标准必须围绕政府信息资源管理目标来选择
效益审计标准实际上是对审计对象目标的注解、转化和展开,使之变成可以进行取证与计量的各项质
量数量指标体系。在信息时代,政府信息资源管理效益审计的对象目标可以分解为以下方面:①为政府部门决策提供有效的信息或知识支持;②为公众提供及时有效的信息服务;③做好政府信息资源管理工作,提升自身工作效益。在确定政府信息资源管理效益审计标准时,必须考虑这些职能目标,围绕目标来选择合适的标准。因为只有这样,才能有的放矢,效益审计工作才能得出有针对性的审计结论,提出有价值的审计建议。
3.3 选择标准的来源应是广泛的
《世界审计组织效益审计指南》指出,规范性的效益审计标准可以从以下渠道获得:管辖被审计单位运作的法律和规定;立法机构或者行政部门采取的决策、政策和程序;与最佳实务的比较;与历史材料的比较;专业标准、经验和价值;独立专家建议和专长;新的或既定的科学知识以及其他可靠信息;以前在类似审计中用过的标准或者其他最高审计机关用过的标准;开展类似活动或项目的机构;效益准则或者立法机构以前开展的问询活动;关于一般管理和被审计事项的文字等。作为效益审计工作范畴之一的政府信息资源管理效益审计,其标准来源于也应是多渠道的,它既可以来源于国家的法律、法规和政策,也可以来源于部门制定的计划、预算和定额,既可以是其历史业绩水平、行业水平或国际水平,还可以是相关的理论依据或科学计算数据。在选择相关标准时,政府信息资源管理效益审计工作要拓宽眼界,注意标准来源的广泛性。
3.4 标准的选择必须与环境相一致
效益审计工作总是在一定环境下展开的,政府信息资源管理效益审计标准选择必须与环境相一致。应注意以下问题:①标准选择要与政府信息资源管理活动中存在的问题相适应,如当政府信息资源管理活动中浪费较严重时,经济性标准必然处于该项目审计的核心地位;②与社会对政府信息资源管理的要求相适应,如公众要求政府部门提供公平的信息服务时,效果性标准就显得更为重要了;③要注意与被审计单位意见的协调,被审计单位的意见是其工作开展的基础人文环境,在开展效益审计时必须考虑这一环境因素。
4 政府信息资源管理效益审计标准系的构建
一个科学合理且实用的评价标准体系是政府信息资源管理效益审计工作有效开展的前提保障。经过综合考虑,本文采取对审计标准进行具体转化(即评价指标体系设计),并给各指标赋予权重的思路来完成政府信息资源管理效益审计标准体系的构建工作。
4.1 评价指标体系的设计
根据政府信息资源管理效益审计标准的含义、构成和选择要求,结合政府信息资源管理效益审计的三大业绩标准――经济性、效率性与效果性,从实用的角度出发,经过反复讨论、筛选,设计出了由3个一级指标、9个二级指标、23个三级指标组成的评价指标体系,具体如表1所示:
4.2 给各个指标赋予合适的权重
权重的赋值是效益审计评价指标体系构建过程中非常关键的一个步骤,对于能否客观、真实地反映政府信息资源管理效益起着至关重要的作用。这可由专家小组根据经验或一些专门的方法来确定,本文采用层次分析法来确定各指标权重。层次分析法(AnalyticHierarchy Process,简称AHP)是美国运筹学家T.L.saaty教授于20世纪70年代初期提出的,对定性问题进行定量分析的一种简便、灵活而又实用的多准则决策方法。其核心思想是把复杂问题中的各种因素通过划分为相互联系的有序层次,使之条理化,根据对一定客观现实的主观判断结构(主要是两两比较)把专家意见和分析者的客观判断结果直接而有效地结合起来,将一层次元素两两比较的重要性进行定量描述,而后利用数学方法计算反映每一层次元素的相对重要性次序的权值,通过所有层次之间的总排序计算所有元素的相对权重并进行排序。
由于构建的政府信息资源管理效益审计评价指标体系共分为三层,为了求出最低层次所有因素对于最高层相对重要性的权重,在此采用逐层计算的方法,从最高层开始,由高向低逐层进行计算。具体到某一层,其操作方法是:对于某一层次准则c,假如有元素D1和D2,其中哪一个更重要,重要的程度如何,通常按1-9比例标度对重要性程度赋值。对于准则c,n个元素之间相对重要性的比较得到一个两两比较判断矩阵A=(aijnxn其中aaij,就是元素Di和Daj相对于c的重要性的比例标度,且aaij>0,aji=1/aij,aij=1。再对该矩阵进行运算,求得特征向量,并计算判断矩阵的最大特征值入、一致性指标cI和随机一致性比率CR,进行一致性检验,最后将符合一致性检验的特征向量作为指标的权重。现以效果性方面的“用户满意情况”为例进行分析。经过专家打分取平均值的方法得到判断矩阵(见表2),经过运算,该判断矩阵的特征向量w=(0.078,0.487,0.435)T,最大特行征值λ=3.013,cI=0.006,CR=0.010
同理,计算出其他各层次指标的权重。最后对这三层级的指标权重进行合并运算,就可以得出政府信息资源管理效益评价指标(三级指标)的最终权重,具体见表3。
有了这些具体的评价标准,就可以开始着手准备政府信息资源管理效益审计评价工作。当然,这些标准在具体的审计过程中,也不是一成不变的。随着审计活动的深入,有时因工作的要求也需要作适当的调整,以便更好地完成政府信息资源管理效益审计工作。
一般来说,对被审计部门自身的评价标准具有内部性,不考虑项目的外部影响,而社会的公共评价标准则具有宏观性和长期性,关注其对社会的影响。需要指出的是,尽管政府部门或相关机构会逐步制定并更详细的绩效评估规则和评估标准,由于社会环境的复杂性和审计目的的差异,永远都不可能有一套完全适合某一审计事项的绩效审计标准。绩效审计标准具有项目依存性。审计人员必须为每一项审计任务“量体裁衣”,根据审计项目的具体特点和具体审计目标,形成审计人员的绩效审计标准。当然每一项具体审计项目审计标准的制定也并非都从原始准则出发,可用已有的多元的规范性绩效审计标准作为基础来源,根据绩效审计的客观性、可比性、可获得和可计量性等一般绩效审计标准制定规则有针对性地来重新建立审计标准。
绩效审计标准具有幅度性或区间性特点
在对审计事项进行判别时,传统的财务收支审计所使用的标准往往具有惟一性。审计标准的判断一般是“非对即错”,它是对许多审计事项做出对错判断之后形成财务收支合规性审计结论。而绩效审计是以传统的合规性审计为基础,对审计事项实现的绩效程度做出评价。绩效审计虽然也关注合规性,也用对与错来评价审计事项,但它不是绩效审计的主要方面。绩效审计的主要目的是通过对被审计事项经济性、效率性和效果性的评价,借以披露信息并提出改善管理的建议。
由于经济性、效率性和效果性的复杂性,绩效审计就不能简单用一个“好或坏”、“高或低”、“对与错”来完整地评价一个绩效审计事项。因此,绩效审计对审计事项的评价没有一个“绝对高度”。衡量一个审计事项的绩效实现程度的标准往往有一定幅度,是一个区间变量。绩效审计是使用一定可量化的表示程度的各类指标来表达绩效目标的实现程度,通过若干绩效审计事项绩效状况不同程度的综合描述,来全面反映出审计事项的绩效状况。绩效审计可以用不同的绩效档次标准来评价审计事项的绩效程度,可能有些是达到“基本”绩效目标而有些则是达到了“优秀”的绩效目标。
绩效审计标准具有以货币计量外的尺度衡量绩效程度的特点
传统的财务收支审计,评价一个审计事项的标准常常是以货币计量的违纪违规金额。而绩效审计标准除了货币计量的财务数据外,还需要大量的非货币计量尺度指标。主要原因有二:一是绩效审计应用的领域是多方面的,特别是政府公共管理部门涉及的绩效目标是多样的,其绩效状况仅靠财务数据是无法涵盖的。二是作为一个新型的审计方法,绩效审计所评价的绩效目标也不单纯的仅是资金效益,还包括许多其他管理等方面的内容和绩效目标。它是以审计“资源”为目标导向,而不是仅以“资金”为目标导向的审计方式。如资源的投入既包括货币资金投入,又包括材料等实物资源、人力资源、时间资源等。而且绩效审计之所以成一种新型的、有特色的审计方法,其原因之一就是这种审计方式涉及了对审计项目资金以外的诸多审计项目绩效要素状况发表评价意见并提出优化绩效水平的管理建议。因此必然涉及非财务数据的绩效标准内容。除货币表示的涉及资金的绩效标准内容外,还应包括空间维、时间维、“公共产品”质量维、技术维等多维内容。
空间维的绩效标准。如企业的库容面积使用情况是否节约有效、港口物资吞吐是否合理等,对这些内容的评价都涉及空间绩效评价标准。再如,当我们对投资项目审计时,为了审计工程项目的经济性,就需要对工程概算进行审查,而施工单位往往采用增加工程项目、加大工程量以便加大取费等方法增加概算赚取利益。因为工程量是施工取费的基本依据,因此,要审计项目的经济性就需要对项目工程量进行审查鉴证。
时间维的绩效标准。绩效审计会涉及审计事项的工作进度的评价。时间利用不充分或违背时间技术标准,不仅影响项目的绩效,有时还会带来负面的外部效应;同时,时间作为最宝贵的资源,时间配置效率就是资源配置效率的重要方面。例如工程项目可行性分析中涉及的工程进度安排就是投资审计最基本的绩效审计的评价内容。通过对进度情况的审查,发现问题,找出原因,提出绩效审计建议。因此绩效审计必然涉及时间维的绩效标准。
“公共产品”质量维的绩效标准。审计机关通过对占有公共资源的部门开展绩效审计,对公共资源配置和使用的经济性、效率性和效果性进行评价。为公共政策的执行和结果提供相关信息,加强责任感,提高公共产品和服务的质量。因此必然涉及衡量“公共产品”质量的绩效标准。如对公共卫生部门提供服务的水平和质量的效果评价指标就会涉及医院病床拥有数量、医生拥有数量等反映其提供“公共产品”的质量和效率情况的绩效标准。
专业技术维的绩效标准。随着绩效审计在管理中的广泛应用,必然会涉及技术指标问题。许多项目和活动都有一定的专业技术标准要求,只有按照专业技术标准的要求办事,才能达到预期的目标,才能确保其经济性、效率性和效果性。专业技术绩效标准一般作为绩效审计的中间标准,但在有些绩效审计项目中也作为最终的评价标准。
绩效审计标准中具有统计数据作为标准基础的特点
传统审计运用的是会计数据,除非审计调查,审计一般是不能依据统计数据作为审计评价标准而形成审计结论。而绩效审计本身就是运用数理统计、运筹学原理和特定指标体系,对照统一的标准,按照一定的程序,通过定量、定性对比分析,对项目管理者和经营者业绩做出客观、公正的评价过程。因而涉及大量统计的数据。这些统计数据既是绩效分析的基础,有些又是审计的标准。如企业的销售量、产量数据及建筑工程的土方量等由统计形成的数据,其标准只能是统计上形成的标准。因此评价的审计事项有一定量的数据是需要由统计数据做支撑的。如将审计项目计划指标与实际执行情况进行比较判断其绩效时,历史的或类似情况下的统计标准成为判断绩效的审计标准。此外,计划指标往往也根据以前的统计指标,结合当前的实际情况按照一定的程序而制定。
绩效审计标准具有过程性的特点
一、会计电算化对审计的影响
随着知识经济和信息时代的到来,我国会计电算化的普及工作在不断地深入,会计电算化取代手工会计已成为会计领域发展的必然趋势,越来越多的组织包括政府、企业都已经着手积极推动会计电算化系统的建立及完善。简单来讲,会计电算化是指将以计算机为代表的现代信息技术和网络技术引入会计领域,利用现代技术和手段,实现记账、算账与报账等信息处理的集中化、自动化,以及部分实现利用会计信息进行分析、预测、决策的信息化。
与传统会计相比,会计电算化的实现不论是对于会计工作的储存方式、处理流程、还是内部控制等都产生了重大的影响,在很大程度上提高了会计数据处理的有效性、及时性及准确性,同时使会计从业人员从复杂繁琐的重复性劳动中脱离出来,及时准确地把握企业运营状况,为企业的经营决策提供更加全面、系统的会计信息。会计电算化从广度上和深度上都扩大了会计的领域,也为加强全面核算和监督奠定了基础。
不难看出,虽然在职能、方法、目的与责任等几个方面会计与审计有着不同的特点,但两者具体对象都以会计资料为主,职能责任密切相关。会计电算化在对会计领域产生重大影响的同时,也必然对以会计过程为其职能对象的审计工作产生直接影响。具体来讲,在会计电算化条件下,审计的经济审查和监督职能本质上仍没有改变,但由于信息技术在会计领域中的运用,会计电算化对审计的影响主要体现改变了审计线索、扩大了审计的内容和范围、改变审计的技术方法、影响了审计标准和准则、提高了对审计人员素质的要求等。同时计算机环境下的舞弊作弊行为更具有隐蔽性,无疑加大了审计查处的难度和风险,审计面临巨大的挑战。
二、会计电算化下审计的对策分析
从内容上来看,会计电算化下的审计,是指审计机构和人员以在会计电算化系统(CAIS)环境下所产生的信息系统及其范围内会计信息所反映的经济行为为对象,审查和评价系统的合法性、效益性及系统输出信息的真实性、正确性。当前,我国大多数审计人员对于会计电算化系统的实施和运作难以做到完全了解和掌握,大部分地区的审计工作仍是以手工审计为主。新形势下,会计电算化的应用及普及使得审计工作环境发生了巨大变化,同时传统审计存在的信息反馈能力弱等问题难以适应信息化时代的要求。因此,为推进审计工作的有序展开,进一步提高审计质量和水平,强化审计的主动性与独立性,审计工作的开展必须根据会计环境的变化及时进行适当有效的调整。面对会计电算化时代的挑战,应从以下方面提高电算化审计的质量以更好地适应会计电算化条件下现代审计的需求。
1.加大会计电算化下审计工作的理论研究
理论来源于实践,反过来又进一步指导实践的深入发展。与会计电算化相比,电算化条件下审计工作无论是从理论上还是实践操作方面来看,都远远落后于会计电算化。特别是当前由于对电算化审计的优越性认识不够,计算机审计研究严重落后于实践发展的需求,缺乏先进理论指导,难以有效指导会计电算化环境下审计工作的有序高效展开。因此,在强化基本理论和审计目标研究的基础上,加快新形势审计理论的研究,不断总结我国计算机审计的经验和做法,拓宽理论研究的广度和深度,尤其要加快对会计电算化下审计对象、审计线索、审计内容、审计方法及技术等的研究,以进一步指导和实现计算机审计的规范化、科学化和高效化运作。
2.完善电算化审计标准与准则
会计电算化条件下,审计对象、审计内容、审计线索、审计方法的变化,也必须要求审计标准和准则做出相应的变化和调整以适应新要求。从国际审计发展来看,在国际审计准则中有专门的条款来详细规定计算机审计的范围、程序、技术等;从具体国家来看,美、日、英等国都制定和出台了相关计算机审计的审计准则和标准。目前我国审计界已经形成了一套相对完善的审计标准和准则,包括审计人员标准、质量标准、职业道德规范等。但针对不断普及和发展的电算化会计信息系统出现的一系列新问题新情况,过去手工环境下的审计标准和准则显然不适应,会计电算化下的审计准则中仍存在许多空白。因此,为适应新形势发展的需要,要加快制定计算机审计相关标准和准则的步伐,更新审计标准准则,完善电算化审计的标准体系,以规范计算机审计工作,为衡量和提高审计工作质量提供保证。其次,在积极借鉴和吸引国际上先进经验的基础上,充分考虑我国的特殊国情和发展要求,实现我国审计进一步适应国际审计发展的要求,为企业更好地参与国际市场竞争打好基础。第三,新的衡量标准不仅要包括计算机审计程序、过程、效果评价指标、审计人员从业标准等衡量审计业务的合法合理性标准,还需对电算化系统设计、开发、运行、维护等标准及计算机辅助审计技术的步骤、应用软件标准等做出明确性的规定。 3.加大事前系统审计力度
会计电算化系统的核心在于信息系统软件的应用。在会计电算化条件下,审计人员要深刻认识到除了对使用过程中的电算化会计信息系统进行审计外,抓好电算化系统设计和开发阶段的事前审计是对会计电算化信息系统实施审计的关键。只有切实加强抓好事先审计,才能确保系统设计、开发、运转达到预期标准,在协调和密切会计与审计的职能联系中更好地提高审计工作水平和质量。首先,在保证会计与审计各自职能标准的基础上,审计人员要加强自身的软件应用和分析水平,在事前系统设计与开发的审计过程中避免会计与审计两者间程序设计、开发及操作方面不协调状况的出现,防止在系统在投入使用后再进行改进,耗费巨大的人力物力财力。其次,审计人员直接参与会计电算化信息系统的设计与研发过程,监督系统开发过程严格按照相关的标准和程序进行,保障电算化系统及其处理的合法性、有效性、可靠性、保密安全性和可审性以达到会计管理
需要应有的质量。 4.完善审计内容
在会计电算化条件下,审计履行的经济检查、评价及监督的职能虽然没有改变,但不难看出,电算化下的审计除了对输入的原始数据及输出的会计数据进行审查外,电算化会计信息系统的特殊性及其固有的风险使审计面临着在与传统会计条件下不同的审计内容,扩展了审计的内容。一是,会计电算化软件质量直接决定了电算化信息系统的整体水平的高低,需根据审计实际操作情况增加审计审核窗口,重点对计算机信息系统处理和控制功能合法合规性、及时性、准确性、科学性及稳定性进行审查,了解掌握被审会计电算系统的各种功能和程序设计,保障系统的安全可靠。其次,加强对会计电算化系统内部控制控制的程序控制和制度控制两个方面的测试和评价,审查是否建立和健全相应的机器设备使用控制制度规范及操作流程规定、系统工作环境是否完善等。第三,为保障获得正确的财务数据,审计人员必须实现对财务软件的所有模块及相应流程进行及时有效的跟踪观察,必要时要进行手工复核方式。
5.改进审计方法
在知识经济时代,积极采用集信息技术、财务手段、环境评估等多学科知识的技术方法,革新审计方法及技术,充分利用现代信息和网络进行审计,实现由手工操作向电算化处理的转变是重要的发展趋势。一是,审计人员要充实认识到计算机作为提高审计质量和效率的有力审计工具的积极作用,自觉通过参与培训或自觉等方式提高计算机实际操作水平,采用专业软件实现更快速、更有效地对相关会计信息的查阅、核对、分析等各项审计内容。其次,可组织各方面专家,包括会计专家、审计专家及计算机专家等组织专门小组,加强各种通用、专用审计软件和辅助审计软件的研究和开发力度,在吸引国际先进经验的基础上,完善我国各类商品化审计软件的功能,尽快研制出台符合我国国情的审计软件以满足实际电算化系统审计的需要。第三,借鉴发展会计电算化的相关经验,大力发展审计软件市场,充分发挥市场配置资源的基础性作用,实现电算化审计软件在实际审计过程中的广泛应用及普及,逐步推进我国审计工作电算化的不断发展和完善。
随着知识经济和信息时代的到来,我国会计电算化的普及工作在不断地深入,会计电算化取代手工会计已成为会计领域发展的必然趋势,越来越多的组 织包括政府、企业都已经着手积极推动会计电算化系统的建立及完善。简单来讲,会计电算化是指将以计算机为代表的现代信息技术和网络技术引入会计领域,利用 现代技术和手段,实现记账、算账与报账等信息处理的集中化、自动化,以及部分实现利用会计信息进行分析、预测、决策的信息化。
与传统会计相比,会计电算化的实现不论是对于会计工作的储存方式、处理流程、还是内部控制等都产生了重大的影响,在很大程度上提高了会计数据 处理的有效性、及时性及准确性,同时使会计从业人员从复杂繁琐的重复性劳动中脱离出来,及时准确地把握企业运营状况,为企业的经营决策提供更加全面、系统 的会计信息。会计电算化从广度上和深度上都扩大了会计的领域,也为加强全面核算和监督奠定了基础。
不难看出,虽然在职能、方法、目的与责任等几个方面会计与审计有着不同的特点,但两者具体对象都以会计资料为主,职能责任密切相关。会计电算 化在对会计领域产生重大影响的同时,也必然对以会计过程为其职能对象的审计工作产生直接影响。具体来讲,在会计电算化条件下,审计的经济审查和监督职能本 质上仍没有改变,但由于信息技术在会计领域中的运用,会计电算化对审计的影响主要体现改变了审计线索、扩大了审计的内容和范围、改变审计的技术方法、影响 了审计标准和准则、提高了对审计人员素质的要求等。同时计算机环境下的舞弊作弊行为更具有隐蔽性,无疑加大了审计查处的难度和风险,审计面临巨大的挑战。
二、会计电算化下审计的对策分析
从内容上来看,会计电算化下的审计,是指审计机构和人员以在会计电算化系统(CAIS)环境下所产生的信息系统及其范围内会计信息所反映的经 济行为为对象,审查和评价系统的合法性、效益性及系统输出信息的真实性、正确性。当前,我国大多数审计人员对于会计电算化系统的实施和运作难以做到完全了 解和掌握,大部分地区的审计工作仍是以手工审计为主。新形势下,会计电算化的应用及普及使得审计工作环境发生了巨大变化,同时传统审计存在的信息反馈能力 弱等问题难以适应信息化时代的要求。因此,为推进审计工作的有序展开,进一步提高审计质量和水平,强化审计的主动性与独立性,审计工作的开展必须根据会计 环境的变化及时进行适当有效的调整。面对会计电算化时代的挑战,应从以下方面提高电算化审计的质量以更好地适应会计电算化条件下现代审计的需求。
1.加大会计电算化下审计工作的理论研究
理论来源于实践,反过来又进一步指导实践的深入发展。与会计电算化相比,电算化条件下审计工作无论是从理论上还是实践操作方面来看,都远远落 后于会计电算化。特别是当前由于对电算化审计的优越性认识不够,计算机审计研究严重落后于实践发展的需求,缺乏先进理论指导,难以有效指导会计电算化环境 下审计工作的有序高效展开。因此,在强化基本理论和审计目标研究的基础上,加快新形势审计理论的研究,不断总结我国计算机审计的经验和做法,拓宽理论研究 的广度和深度,尤其要加快对会计电算化下审计对象、审计线索、审计内容、审计方法及技术等的研究,以进一步指导和实现计算机审计的规范化、科学化和高效化 运作。
2.完善电算化审计标准与准则
会计电算化条件下,审计对象、审计内容、审计线索、审计方法的变化,也必须要求审计标准和准则做出相应的变化和调整以适应新要求。从国际审计 发展来看,在国际审计准则中有专门的条款来详细规定计算机审计的范围、程序、技术等;从具体国家来看,美、日、英等国都制定和出台了相关计算机审计的审计 准则和标准。目前我国审计界已经形成了一套相对完善的审计标准和准则,包括审计人员标准、质量标准、职业道德规范等。但针对不断普及和发展的电算化会计信 息 系统出现的一系列新问题新情况,过去手工环境下的审计标准和准则显然不适应,会计电算化下的审计准则中仍存在许多空白。因此,为适应新形势发展的需要, 要加快制定计算机审计相关标准和准则的步伐,更新审计标准准则,完善电算化审计的标准体系,以规范计算机审计工作,为衡量和提高审计工作质量提供保证。其 次,在积极借鉴和吸引国际上先进经验的基础上,充分考虑我国的特殊国情和发展要求,实现我国审计进一步适应国际审计发展的要求,为企业更好地参与国际市场 竞争打好基础。第三,新的衡量标准不仅要包括计算机审计程序、过程、效果评价指标、审计人员从业标准等衡量审计业务的合法合理性标准,还需对电算化系统设 计、开发、运行、维护等标准及计算机辅助审计技术的步骤、应用软件标准等做出明确性的规定。
3.加大事前系统审计力度
会计电算化系统的核心在于信息系统软件的应用。在会计电算化条件下,审计人员要深刻认识到除了对使用过程中的电算化会计信息系统进行审计外, 抓好电算化系统设计和开发阶段的事前审计是对会计电算化信息系统实施审计的关键。只有切实加强抓好事先审计,才能确保系统设计、开发、运转达到预期标准, 在协调和密切会计与审计的职能联系中更好地提高审计工作水平和质量。首先,在保证会计与审计各自职能标准的基础上,审计人员要加强自身的软件应用和分析水 平,在事前系统设计与开发的审计过程中避免会计与审计两者间程序设计、开发及操作方面不协调状况的出现,防止在系统在投入使用后再进行改进,耗费巨大的人 力物力财力。其次,审计人员直接参与会计电算化信息系统的设计与研发过程,监督系统开发过程严格按照相关的标准和程序进行,保障电算化系统及其处理的合法 性、有效性、可靠性、保密安全性和可审性以达到会计管理需要应有的质量。
4.完善审计内容
在会计电算化条件下,审计履行的经济检查、评价及监督的职能虽然没有改变,但不难看出,电算化下的审计除了对输入的原始数据及输出的会计数据 进行审查外,电算化会计信息系统的特殊性及其固有的风险使审计面临着在与传统会计条件下不同
的审计内容,扩展了审计的内容。一是,会计电算化软件质量直接 决定了电算化信息系统的整体水平的高低,需根据审计实际操作情况增加审计审核窗口,重点对计算机信息系统处理和控制功能合法合规性、及时性、准确性、科学 性及稳定性进行审查,了解掌握被审会计电算系统的各种功能和程序设计,保障系统的安全可靠。其次,加强对会计电算化系统内部控制控制的程序控制和制度控制 两个方面的测试和评价,审查是否建立和健全相应的机器设备使用控制制度规范及操作流程规定、系统工作环境是否完善等。第三,为保障获得正确的财务数据,审 计人员必须实现对财务软件的所有模块及相应流程进行及时有效的跟踪观察,必要时要进行手工复核方式。 5.改进审计方法
在知识经济时代,积极采用集信息技术、财务手段、环境评估等多学科知识的技术方法,革新审计方法及技术,充分利用现代信息和网络进行审计,实 现由手工操作向电算化处理的转变是重要的发展趋势。一是,审计人员要充实认识到计算机作为提高审计质量和效率的有力审计工具的积极作用,自觉通过参与培训 或自觉等方式提高计算机实际操作水平,采用专业软件实现更快速、更有效地对相关会计信息的查阅、核对、分析等各项审计内容。其次,可组织各方面专家,包括 会计专家、审计专家及计算机专家等组织专门小组,加强各种通用、专用审计软件和辅助审计软件的研究和开发力度,在吸引国际先进经验的基础上,完善我国各类 商品化审计软件的功能,尽快研制出台符合我国国情的审计软件以满足实际电算化系统审计的需要。第三,借鉴发展会计电算化的相关经验,大力发展审计软件市 场,充分发挥市场配置资源的基础性作用,实现电算化审计软件在实际审计过程中的广泛应用及普及,逐步推进我国审计工作电算化的不断发展和完善。
许松涛,陈霞 (九江学院会计学院,江西九江332005)
摘要 对最高审计机关国际组织、美国环保局、英国标准所的BS7750、欧盟EMAS和ISO 14000系列的环境审计和环境绩效审计的研究作了简要回顾与评述。指出我国环境绩效审计理论体系的构建,需在环境管理系统审计、环境绩效审计标准、与其他审计之间的关系、环境绩效审计作为环境管理工具等方面借鉴国外研究成果。
关键词 环境审计;环境绩效审计;最高审计机关国际组织; ISO 14000系列
中图分类号 X322
文献标识码 A
文章编号 0517-6611(2010)35-20309-03
工业社会为人类创造财富的同时,亦使环境问题日趋突出。在此背景下,环境审计成为各国政府和企业进行环境管理的重要工具。环境审计始于20世纪60年代末,在80年代被欧美的部分大公司使用,一些国际组织如英国标准所、欧共体(欧盟)和国际标准化组织(ISO)等推动着企业内部环境审计的发展。政府环境审计方面主要由最高审计机关国际组织(INTOSAI)推动。目前,国际上审计已向绩效审计发展,环境绩效审计亦面临着发展。INTOSAI在1995年的《开罗宣言》中,将环境审计分为财务审计、合规性审计和绩效审计。环境绩效审计是审计机关通过检查被审单位的环境经济活动,依照一定的标准,评价资源开发利用、环境保护、生态循环状况和发展潜力的合理性、有效性,并对其效率和效果表示意见的行为,即“3E”;审计。鉴于环境审计与环境绩效审计之间的包含与被包含关系,该研究对环境绩效审计及与此相应的环境审计的发展作回顾与评述,旨在指出未来环境绩效审计理论体系构建的关注点。
1 环境绩效审计研究的整体现状环境绩效审计源于环境审计,在其基础上发展而来。无论是环境审计还是环境绩效审计,国外相关审计、环保机构和其他组织积极地进行此项研究和推动工作,学者则关注较少,研究范围主要限定在职业会计师在环境审计中的作用。而国内学者则作出一定贡献,主要关注于:环境审计的理论基础、本质、目标、职能、原则、程序、方法、主体、内容和审计准则等理论性问题的研究;但对实务具有直接指导意义的程序、方法、内容、准则和标准等方面的研究则略显薄弱,尚未对环境审计实务产生重大影响。对环境绩效审计的研究中,国内学者的研究则较少,主要有王如燕对环境绩效审计标准,李山梅和王玲对审计的意义,曹建新和詹长杰对环境绩效审计评价体系的构建等方面进行了初有成效的研究。但研究未能对国际主要相关机构的研究成果作系统梳理和借鉴,研究成果缺乏实用性。
2 政府环境绩效审计研究
2.1 INTOSAI的贡献 对政府环境绩效审计研究和推动的主要机构为INTOSAI环境审计委员会,成立于1992年, 主要工作职责为:制定环境审计的指南和技术标准等;促进环境审计信息和经验交流;培训;鼓励各国最高审计机关开展联合审计等,目前已有46个成员。INTOSAI后续对环境审计(包括环境绩效审计)的贡献转向了对资源环境专项审计的研究,如2004年对水资源, 2007年对可持续发展和生物多样性,2010年对渔业、可持续能源、矿业、温度变化和森林等的审计进行规范或经验总结,以下专项环境审计规范或经验总结包括了环境财务、合规性和绩效审计,为综合性环境审计。
2.1.1 环境绩效审计的内容。INTOSAI环境审计委员会 2001年在其颁布的《从环境视角进行审计活动的指南》(以下简称《指南》)中,指出环境绩效审计应包括:对政府执行环境法规情况的审计;对政府环境项目的经济效益进行的审计;对政府其他项目的环境影响进行审计;对环境管理系统的审计;对计划的环境政策和环境项目进行评估[11]。
2.1.2 环境绩效审计的标准。环境绩效审计的标准,为对审计单位环境绩效指标的有效性、环境活动的经济性、效果性和有效性进行评价、形成结论的依据。其实质为对被审计单位的环境绩效进行评价的标准。《指南》将环境绩效审计的标准分为权威和非权威标准,权威标准包括由法律法规或其他强制性规定、某公认组织的通用标准和职业守则; 非权威标准包括被审单位与类似的组织使用的绩效指标,来自学术文献、外部专家和最高审计机关(SAI)自设的指标。
2.1.3 环境绩效指标的选择。与所选的环境绩效审计标准相对应的是环境绩效指标,《指南》对环境绩效指标要求具有相关性、可理解性和可靠性。
2.1.4 环境绩效审计与其他审计的关系。《指南》认为将环境财务审计、合规性审计和绩效审计中的2种或所有的结合起来执行是很常见的,将此称为环境综合审计。INTOSAI在 2004年了《环境审计与常规性审计》,进一步指出,在常规性审计中审计人员需考虑有关的环境因素。因此, INTO- SAI建议各国最高审计机关应在常规性审计中融入环境审计,没必要为专门考虑环境因素而进行(环境)绩效审计。 INTOSAI在2010年3月进一步了《ISSAI3100绩效审计准则》指出:财务和合规性审计,包括基于可持续发展的环境审计,可包含在绩效审计中[12]。由此可见, INTOSAI推崇以绩效审计为主的综合审计。
2.1.5 审计方法。《ISSAI 3100绩效审计准则》(以下简称《准则》)将绩效审计分为4种方法:①结果导向的方法,其评价预期的目标是否实现;②问题导向的方法,检验和分析特定问题的原因;③系统导向的方法,其检验管理系统的功能是否合适;④上述3种方法的综合方法。从其包括的方法可知, INTOSAI所指的审计方法类似于传统审计理论中的审计模式。由于INTOSAI注重对环境管理系统的审计,及采取环境绩效审计标准对被审计单位的环境绩效指标进行评价,可推断INTOSAI在环境绩效审计采用综合的审计方法,至少同时使用了系统导向和结果导向的方法。
2.1.6 审计过程。《准则》将绩效审计的过程分为4个阶段:①计划审计,在决策审计的范围和程序时,审计人员应评估内部控制的可靠性;②执行;③报告;④跟踪。对审计报告的后续跟踪,被认为是强化审计影响和提高未来审计工作的重要工具,此为INTOSAI绩效审计的一大特色。
2.1.7 环境绩效审计中与利益相关方的关系。《准则》认为:审计人员发展良好和适当的外部关系是有效率和效果完成绩效审计的关键因素。审计人员应与有关的利益相关方保持良好的职业关系。
2.2 美国环保局的贡献 20世纪80年代起,美国环保局 (USEPA)开始鼓励企业自愿进行环境审计(Environmental Audi,t亦有翻译为环境审核,国内多将非审计或会计相关组织执行的Audit/Auditing称之为审核,该研究对审核与审计2 词不作区分)。USEPA并未专门针对环境绩效审计进行研究,其贡献主要为环境管理系统审计。US EPA虽然将环境审计的主体定位于环境机关或其他联邦机关,但又将环境管理系统的审计定位为一改进不足的方法,亦具有内部审计的职能。
2.2.1 环境审计的定义和目标。US EPA在1986年对环境审计作了如下定义:系统地、有文件记录、定期和客观地评价企业与满足环境要求的运营和实务。其目标在于:①检验对环境规制的遵循状况;②评价环境管理系统的有效性;③评估来自管制和非管理的原材料、实务的风险。从目标的第2 点可知,USEPA所指的环境审计包括了环境绩效审计。
2.2.2 环境审计的分类与各类审计之间的关系。US EPA 对环境审计最大的贡献还是在政府环境审计方面。US EPA 在1997年的《联邦机构环境审计程序设计指南》中,将环境审计分为合规性审计、房地产交易评价、管理审计、废物承包商/经销商审计和防止污染机会评价等。上述5种审计,如有必要,可合在一起审计[13]。
2.2.3 环境管理系统审计。US EPA强调的管理审计,实质为环境管理系统审计,旨在检验企业环境管理系统的优点和不足,是发现环境管理缺陷的根本原因的一重要工具,是进行永久性纠正的一种非常有效的方法。US EPA在1996年的《联邦机构执行环境审计的通用行为准则———第3阶段: 环境管理系统审计》中,对如下环境管理系统进行评价:①组织结构;②环境承诺;③环境保护程序;④环境程序的正式手续;⑤内外部的交流;⑥雇员资源、培训和发展;⑦评估、报告和纠错程序;⑧环境计划与风险管理等。并对上述每一部分内容给出了绩效目标、评估的关键点和审计标准[14]。
3 内部环境绩效审计和其他外部环境绩效审计研究
3.1 英国标准所BS7750的贡献 BS7750是英国标准所于 1992年制定,1994年修订,用于指导英国企业建立环境管理体系,为现代第一个环境管理体系计划。该计划对内部环境绩效审计的贡献主要在于开创了环境管理系统的审计, BS7750要求企业的环境管理系统应周期性地进行内部审计,审计人员应是组织内部独立于被审领域的员工,并支持向管理层汇报。该标准对随后EMAS管理及审计体系和ISO 14000系列产生了重大的影响。因欧盟和ISO达成的《维也纳协议》,BS7750已于1997年3月被ISO 14001所取代。
3.2 欧盟EMAS的贡献 EMAS是1993年原欧共体 (EEC)以No.1836/93指令正式公布的《工业企业自愿参加环境管理和环境审核联合体系的规则》,简称《生态管理审核规则》(Eco-ManagementandAuditScheme,EMAS),于1995年实施。EMAS要求参与的企业执行内部环境审计。EMAS的大部分内容源于BS7750,历经2001和2009年修订,是目前环保领域最为严格的法规之一。
课题组组长:史可山,人行南平市中心支行行长;
课题组成员:陈崇跃,徐克勋,朱燕涛,张杏英;
执笔:陈崇跃,朱燕涛。
摘要:随着信息科技的发展,人民银行系统对IT的依存度日增,信息系统风险也接踵而至,内部审计面临新的挑战,IT治理势在必行。为此,本课题组在分析了人行传统的内审已不能适应IT时代审计使命要求的基础上,提出了改革人行内部审计并以此深化央行IT治理的若干建议。
关键词:中央银行;内部审计;IT治理
中图分类号:F830文献标识码:A文章编号:1006-1428(2007)12-0088-02
随着人民银行各项业务与管理活动对IT依存度的日益提高,IT风险渐露端倪,人民银行内审从体制、手段和方式等均面临与IT发展程度相对应的新挑战,央行内审呼唤与IT治理相适应的改革。
一、加强人民银行IT审计促进央行IT治理的必要性。
IT治理大意指合理利用IT资源与适当管理IT相关风险的一种管理模式与机制。IT治理最重要的任务就是保证信息技术与各项业务的有效结合,促进组织收益最大化与风险的最有效控制。如同企业(公司)治理包括了内控管理及其内部审计等制度安排,“IT治理”也涵盖IT审计、信息安全审计、IT服务管理等内容。“IT审计”既是IT治理的组成部分,也是IT治理的促进因素。“IT审计”不仅对信息系统(IS)及其管理制度,还包括对内审自身的IT化建设行使“监督、评价与咨询”职责。
人民银行具有类似商业银行等现代企业的组织架构与业务体系,在管理上同样适用和更需引入“企业治理”与“IT治理”机制。人民银行在组织架构上设立了分支行机构,在业务上也有“存贷款”、“中间业务”、“黄金外汇储备与买卖”等经营性品种。因此人民银行的“业务”系统及其“应用系统”也更为庞大与复杂,日常运营越来越依赖于信息技术的支撑。在这种背景下,人民银行信息系统运行的有效性与潜藏的风险更加不容忽视,建立健全人民银行系统的IT治理及其IT内审机制十分迫切。
二、人民银行系统IT治理与IT审计的现状
在IT治理方面,人民银行表现明显滞后:一是尚未编制出一套适应我国国情的央行IT治理蓝图或规划;二是尚未建立与人民银行组织结构和业务体系及IT应用水平相适应的IT治理组织框架和制度体系;三是尚未建设和培育一支既掌握IT知识又谙熟央行业务的IT治理复合型或“两栖”的人才队伍;四是作为IT治理重要组成部分的IT审计、IT风险控制等监督与保障机制尚不成熟和健全,影响了人民银行IT治理的深化。
在IT审计方面,人民银行信息系统仍没有突破传统内审的窠臼。具体问题与原因:
一是IT审计的理论缺失。IT审计是审计理论的新兴领域,当前有关它的研究尚不够深入,阐述与定义尚不统一,也给IT审计制度的建设和IT审计的实践带来一定程度的混乱。
二是IT审计的制度缺失。人民银行内审司虽制定了《计算机信息系统监督检查工作暂行规定》、《计算机信息系统内部审计规程》等制度,但不是真正意义上的“IT审计”,仅处于信息系统(IS)审计层次,属于一般内控操作制度范畴。
三是IT审计的标准缺失。目前却仍未规划与制定出一套能与国际接轨的抑或有中国特色的IT审计标准与具体行业准则,使目前的IT审计没有明确的方向与标准的轨道。
四是IT审计的队伍缺失。首先,在组织体系上IT审计人员配置不足与结构不合理。其次,人员综合素质不高,既掌握IT知识又熟悉央行业务、懂得金融法律的人力资源十分匮乏。第三,未建立IT审计复合型人才培育机制,使现有人员IT审计素质不能得到应有的提高。
五是IT审计的手段缺失。即IT审计本身缺少信息技术硬件与软件的武装与支持。首先是内审部门计算机及其网络工具与设施配备不足,使目前所开展的IT审计仍停留于现场的、被动的、事后的传统审计形式。其次是业务审计的IT辅助审计应用软件缺乏,内审人员面对全面“数字化”的审计对象,只能望洋兴叹。第三是当前的业务应用系统在设计、开发之初就未考虑接受审计因素,内审人员实施IT审计时没有“合法”接口与取证手段。这些均极大地困扰与制约着IT审计的开展与发展。
三、改革央行内审深化IT治理的政策建议
1、加强IT审计及IT治理的理论研究,为新形势下的央行内审改革提供理论基础。2004年,人行内审司同ITGov(中国IT治理研究中心)合作开展了“IT治理与IS审计模型研究”,对国际通用的IT治理框架和信息系统审计标准“信息与相关技术控制目标”(COBIT)进行了研究,取得初步成果。但是,近年来类似的内审科研仍然偏少,成果不多。当前,国外在这方面的研究与探索均较深入,硕果累累,可以很好借鉴。
2、改革传统的人行内审体制,架构与IT治理相适应的新型内审模式。IT审计的目标是通过实施审计,维护、促进或增强人民银行计算机信息系统合规性、安全性、可靠性、有效性。人民银行已构建了强大的信息传输网络,作为内部审计主要对象的央行业务系统实现了数据大集中,人民银行分支机构业务运营与管理的内涵与外延也发生重大变化,不同层次的央行机构IS更存在鲜明的差异。这就要求央行对传统的内部审计架构进行新的设计,如构建“重心上移、机构下派”的内审新体系。借鉴西方中央银行组织治理模式并与央行IT治理机制相适应,在强调内部审计独立性的同时,注意与IS开发、应用部门的协调一致。采用更灵活的内审方式,如引入市场经济国家“内审社会化”或“内审外包”做法,对人民银行的部分IT审计项目可委托有资质的社会组织开展;提升手段,改革传统的现场审计与人力审计模式,利用计算机网络系统和审计辅助系统实施以“信息技术对抗信息技术”的“非现场审计”和“机器审计”,等等。
3、树立现代内部审计理念,实现内审由合规性监督向评价与咨询服务转变。审计的目的是确保整个组织活动的有效性、效率性、合规性、安全性,使组织“价值增值”。内审由于IT手段的利用及对IS的审计,使内审目标的实现更加可能。因此,人民银行的IT审计不应停滞在查错纠弊的监督阶段,而应要求审计人员树立服务意识,为被审对象提供咨询服务,当好参谋。
4、加快编制我国央行IT治理规划,建立适应人民银行体制的IT审计标准体系和框架。“信息系统审计和控制联合会”(ISACA)已制定了“面向过程的信息系统审计和评价的标准”(COBIT),国际内部审计师协会(IIA)将其作为国际通用的IT审计标准。作为我国央行的人民银行内审也应积极借鉴标准,制定一套适合我国央行特色的IT审计标准与规范,为IT审计开展评价、咨询等活动提供尺度与准绳。
5、开展对新系统开发的审计,实现IS事后审计向全过程审计转变。即在新系统的立项、开发、测试和验收阶段,内审人员就参与其中,对程序开发到应用的全过程从审计的角度进行审慎监督;对系统的审计由事后转变为全过程监督。同时各业务部门在正式培训、推广使用新系统时,应邀请同级审计部门参加培训学习。对新系统开发审计时,应对新系统的今后可审计操作性提出要求,防止系统出现“拒审”等情况的发生。
6、加强IT审计队伍建设,提高央行内审从业人员综合素质。一是吸收计算机专业人员,把他们培养成审计人员;二是对现有审计人员开展IT知识培训和继续教育,培养成IT审计师;三是建立激励机制,推行IT审计师持证上岗制度,鼓励内审人员学习和钻研计算机知识,考取国家计算机资格等级证书,有条件的通过国际IT审计师资格认证。
(七)加强计算机辅助审计软件开发与应用,推进IT审计信息化建设。
参考文献:
[1]《内部审计思想》 (美)Andrew D.Bailey, (美)Audrey A.Gramling, (美)Sridnar Ramamoorti著;王光远等译,中国时代经济出版社,2006;1
[2]仲安妮.IT审计直面差距找准定位促跨跃.金融时报,2006-8-22
【关键词】计算机审计; 信息系统审计; 比较计算机审计(Computer Auditing)与信息系统审计(Information SystemAudit,简称IS 审计),前者约定俗成,后者势在必行,但两者在我国的学术研究与实践应用中长期模糊不清、难舍难分,这不仅不利于我国审计工作的开展,同时也可能影响我国审计信息化的发展。
本文拟通过两者的产生与发展、基本概
念与审计目标、适用准则与审计技术等
方面的比较,厘清两者的主要区别,以求
它们在我国取得并行不悖的发展。
一、两者的产生与发展过程比较
在计算机审计与IS 审计产生之前,
电子数据处理(Electronic Data Processing,EDP)审计早已存在。可以说,EDP 审计是计算机审计与IS 审计的前身与发展的基础。
(一)EDP 审计的产生与发展
EDP 审计不仅是指电子数据处理环
境下的审计,还包括对电子数据处理系统的
审计。F.Kanfuman(1961)、A.Pinkney
(1966)、T..W.Merae (1976)、Joseph
Sardinas (1987)、W.Thomas Poter 和
William E.Perry(1987)等学者都从不
同的角度对EDP 环境中内外部审计规则
和组成方法、EDP 审计的测试方法、特
殊审计技术、审计步骤等方面展开深入
研究。1968 年美国注册会计师协会
(AICPA)出版的《会计审计与计算机》一
书,详细阐述了在EDP 环境下如何开展
IS 审计和传统的外部审计。而作为信息
系统审计与控制协会(IASCA)的前身,
成立于1969 年的EDP 审计协会(EDPAA)
及其属下的EDP 审计师基金会
(EDPAF)25 年间一直使用EDP一词。至
今,EDP 审计与IS 审计仍有并驾齐驱之
势。例如,在Jack.J.Champlain所著的
《审计信息系统》(第2 版,2003) 一书
中,仍然将EDP 审计师与IS 审计师相
提并论。
从诸多文献资料分析,EDP 包含两
种含义,一为环境说;二为系统说。作环
境说,诚如国际审计准则15 指出:“为
了国际审计准则的目的,当一个单位对
与审计有重要意义的财务资料的处理,
包含有任何类型或大小的计算机时,就
存在着电子数据处理的环境”。面对这一
环境进行审计的审计师也就是EDP 审
计师。而作系统说,则更多是指计算机信
息系统,以该系统作为审计对象必然会
改变审计的总体目标和范围,因而也才
有应用而生的信息系统审计与控制协会
及其单独的审计标准、指南和程序,
以及由此产生的IS 审计师。
(二)计算机审计的产生与发展
有关计算机审计的研究,在国外参考
文献中并不少见。例如,Andrew D
Chambers(1984)、Javier F.Kuong(1987)
和S.Rao Vallabhaneni(1989)等学者,
均围绕计算机审计的安全与内部控制、相
关技术、内部控制的实施等加以论述。值
得注意的是,在各职业组织所的有
关标准、指南或程序中,却鲜有使用计算
机审计一词,如美国注册会计师协会
(AICPA) 的《计算机辅助审计》
(1978)和取代SAS No.3 号(1974)的
《审计标准说明书第48 号》(SAS.No.
48,1984),国际内部审计师协会20 世
纪70 年布的《系统控制与审计》,
加拿大执业会计师协会(CICA)两次发
布的《计算机控制和工作指南》
(1970,1986),以及加拿大审计标准委
员会颁布的《EDP环境下的审计———一
般原则》(1984)等等,也都较少采用“计
算机审计”一词。
在我国,有关计算机审计研究经久
不衰。在20 世纪80 年代,我国学者往
往将其与国外的EDP 审计相联系。例
如在对Poter 和Perry(1987)合著的
《EDP:Controlls And Auditing (第5
版)》翻译中,李大庆和乔勇等学者
(1990)就将其直接译为《计算机审计》。
我国学者潘晓江(1983)较早针对我国
会计电算化提出审计应采取的充分发
挥人在控制中的主导地位、注意实行数
据可靠性控制和注意保留必要的审计
线索三大措施。从20 世纪90 年代至
今,我国以“计算机审计”为题的研究
成果颇丰。据笔者不完全统计,这类教
材和专著已逾30 本,较早的作者有肖
泽忠(1990)、陈婉玲(1990)、李长旭
(1990)等。
我国审计机关无论是关于计算机应
用的规定,还是组织系统内有关专家进
行研究,也多以计算机审计为题加以进
行。例如,审计署1993 年的《审计
署关于计算机审计的暂行规定》和1996
年的《审计机关计算机辅助审计办
法》等。邱胜利和张玉(1990,1993)、董
化礼(2002)、刘汝焯(2004)、国家863
计划审计署课题组(2006)等,也都以计算机审计为题展开研究。
(三)IS 审计的产生与发展
对IS 审计贡献最大的莫过于国际
信息系统审计与控制协会(Information
System Audit and Control Association,
ISACA)。1994 年,ISACA 替代了
原有电子数据处理审计协会(EDPAA)
。至2008 年2 月止,该协会已经
了16 个审计标准、39 个审计指南
和11 个审计程序。而其于1996 年发
布的信息和相关技术控制目标(Control
Objective for information and
Related Technology,COBIT)已经成
为全球公认的、权威的信息技术控制目
标体系。同时,该协会每年还举办IS 审
计师资格考试,有力地推动了世界范围
内IS 审计的发展。
日本通产省于1983 年了《系
统审计标准》,并在全国软件水平考试中
增加“系统审计师”一级的考试。1985
年,日本内部审计师协会在其所的
《审计白皮书》中认为,内部审计师的最
新发展是“IS 审计”。另据IIA 对美国和
英国的调查,被调查企业中实施MIS 审
计的企业所占的比例各年分别为:1968
年48%,1975 年60%,1979 年65%。而
1983 年再对这两个国家1 687 个内部
审计部门的调查中显示,已有70.8%的
企业在进行MIS 审计。
由于我国从一开始就将电算化会计
信息系统确定为计算机审计对象,致使
人们将其等同于IS 审计的审计对象。同
时,学者们也往往将IS 审计与IT 审计
等同视之。如胡克瑾(2002)在其《IT 审
计》专著中指出,IT 审计是指对以计算
机为核心的信息系统的审计。李丹
(2003) 也认为,“信息系统审计也称为
IT 审计”。
(四)从国内研究现状看两者的发展
借助有关学术论文的统计数据,也
许可以发现我国学者对计算机审计与
IS 审计的研究偏好与倾向。笔者以“计
算机审计”、“信息系统审计”和“电算化
审计”作为关键词进行检索。采用“篇名
+ 年份+ 全部数据+ 全部期刊+ 精确
匹配”为检索条件,对中国期刊网的期刊
数据库各年进行检索,以下是检索结果
统计表(见表1)。
在表1 对29 年来统计
中,三种研究倾向的论文总数为696
篇,其中,有关计算机审计的研究论文占
了61.93%,而在近五年这一研究倾向
论文也高达219 篇,占近五年全部论文
总数的58.40%,无论处于哪一时间段,
研究计算机审计的论文占三种研究倾向
论文总数的比例均超过50%。而研究信
息系统审计的论文在2003 年及以前的
24 年中仅有44 篇,近五年则有101 篇,
其平均每年有20 篇,尤其是近三年更
呈递增趋势。但其各年所发表的论文数
均明显低于计算机审计研究倾向的论文
数。至于电算化审计研究方向,由于它与
计算机审计、信息系统审计两个研究方
向有重复之嫌,故近年来呈下降趋势,在
未来研究中它可能被计算机审计和信息
系统审计两个研究方向所替代。由表1
也同时看到,我国在继续对计算机审计
进行研究的同时,亟须加快对信息系统
审计的理论与实务研究。
二、两者的基本概念、审计目标与审
计内容比较
计算机审计与IS 审计的本质区别,
首先见之于基本概念、审计目标与审计
内容等三个方面。因此,了解两者在这三
个方面的区别与联系,有利于今后开展
相关理论研究与应用研究。
(一)基本概念的比较
1.计算机审计的基本概念。日本会
计检察院计算机中心认为,计算机审计
有两方面的含义,一是对计算机系统本
身的审计,包括系统安装、使用成本,系
统和数据、硬件和系统环境的审计;二是
计算机辅助审计,包括用计算机手段进
行传统审计用计算机建立一个审计数据
库,帮助专业部门进行审计。
我国学者对计算机审计的理解与上
述基本一致。肖泽忠(1990)认为:“计算
机审计是审计人员用手工的或电算化的
审计方法、技术和程序对电算化或手工
信息系统进行的审计”(以下简称为“二
方观”)。陈婉玲(1990)、刘志涛(1990)、詹航恩和张蒙生(1993)、李学柔和秦荣生(2002)也都表达相同的观点。李长旭(1990)则认为,计算机审计是针对会计核算电算化而言的,即凡是对实现会计核算电算化的企业进行的审计都可称为计算机审计(以下简称为“一方观”)。
综观国内外学者对计算机审计的诸
多论述,多数学者将计算机审计作为一
个广义的概念,认为计算机审计包括两
个方面,一是将计算机系统作为审计的
对象;二是将计算机作为审计的工具。
与计算机审计的基本概念相近的还
有“电算化审计”,它同样具有“二方观”
与“一方观”。朱荣恩和徐建新(1986)根
据英国《审计研究》(1982 年版)的资料
编译并发表题为“发展中的电算化审计”
中指出,电算化审计是“评价、控制会计
电算化信息系统”的审计。王军等
(1995)多数学者赞同这一观点。袁树民
等(1995)则持“二方观”,其基本概念与
计算机审计无异。
2.IS 审计的基本概念。IS 审计至今尚未形成统一的概念。Ron Weber 在《信息系统审计与控制》一书中指出,IS审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。日本通产省情报协会对IS 审计定义如下:“为了信息系统的安全、可靠与有效,由独立于审计对象的IS 审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向IS 审计对象的最高领导,提出问题与建议的一连串的活动”。而我国学者也普遍认为,IS 审计是由专业审计人员根据IS 审计准则及相关规定,对信息系统的计划、研发、实施,以及运行维护等各环节所进行的审计,以保证被审计信息系统安全、稳定和有效,同时,它还将根据审计结果对被审单位提出改进建议。
应当指出的是,在我国审计署和财
政部的诸多准则与通则中,“信息系
统”一词尚未达到统一规范的表述。例
如,审计署的《审计机关计算机辅
助审计办法》(1996),将信息化的信息
系统称为“计算机应用系统”,财政部
的《独立审计准则 20———计算机
信息系统环境下的审计》,则为“计算
机信息系统”,而《审计准则第1211 号
了解被审计单位及其环境并评估重大
错报风险》中则称之为“财务报告信息
系统”、“信息技术系统”、“信息系统”
和“自动化信息系统”等不同的用语。
在新《财务通则》第八章的信息管理
中,则将信息系统定义为:“财务业务
一体化信息处理系统,也称为财务管理
信息系统或者管理型财务软件”。尽管
我国对各类信息系统诸多的不同表述
有待统一,但它们都是指信息化的会计
信息系统则是毫无疑义的。
(二)审计目标与审计内容的比较
1.计算机审计的审计目标与审计内
容。国际审计准则(ISAs)第401 号《计
算机信息系统环境下的审计》(2004)指
出:“在计算机信息系统环境下,并不改
变审计的总体目标和范围”,我国的
《独立审计具体准则第 20 号———计算
机信息系统环境下的审计》(1999)也
指出:“注册会计师在计算机信息系统
环境下执行会计报表审计业务,应当
考虑其对审计的影响,但不改变审计
目的和范围”。鉴于我国对计算机审计
的“二方观”认识,其审计目标也包括
两个方面:一是具有提高执行经济业
务和会计信息处理的计算机系统的合
法性、正确性和安全性;二是加快审查
速度、扩大抽查范围、提高审计效率和
审计质量的双重目标( 陈婉玲,
2002)。与之相适应,计算机审计内容
也就相应包括两个方面:一是包括对
信息化会计信息系统的开发设计、数
据输入、处理和输出进行审计;二是加
快审计信息化的步伐,建立信息化的
审计网络体系。随着市场经济的迅速
发展,在国务院办公厅《关于利用计算
机信息系统开展审计工作有关问题的
通知》([2001]88 号)中也明显
指出,“简单地讲,计算机审计包括:对
计算机管理的数据进行检查;对管理
数据的计算机进行检查”。可见,计算
机审计的审计内容主要是面对数据
(会计数据等)的检查,而对管理数据
的计算机进行检查,则是借助于信息
系统鉴证以获取处理数据是否正确性
的判断。
2.IS 审计的审计目标与审计内容。
IS 审计目标比较明确,它是指对信息系
统的资产保护,信息系统的可用性、安全
性、完整性和有效性发表审计意见。由于
IS 审计的审计对象是被审单位的信息
系统,因此决定其审计内容包括:(1)信
息系统的管理、规划与组织;(2)信息
技术基础设施与操作实务;(3)资产的
保护;(4)灾难恢复与业务持续计划;
(5)应用系统开发、获得、实施与维护;
(6)业务流程评价与风险管理。上述诸
多的审计内容,以及日益纷繁复杂的信
息系统,也迫使我们在IS 审计之际不能
不采用单独的审计准则体系和更多的计
算机辅助审计技术。
三、两者适用准则及采用技术比较
由于计算机审计与IS 审计的审计
目标、审计内容的不同,决定了前者面向
数据审计的特点与后者面向系统审计的
特点,由此也就使各自的审计准则和审
计技术各不相同。
(一)适用准则的比较
如上所述,计算机审计目标与内容
决定其相关准则的多维性。这可以从国
际审计准则15、16 和20 等内容加以了
解。这些相关规定大多提及EDP 环境,
虽然也不免涉及系统审计,但却主要是
针对财务报表等资料加以规定的。同时,
它们也并非专门针对IS 审计。我国的审
计署、中注协、国务院办公厅从1993 年
至2007 年,陆续诸多与计算机技
术应用有关的规定,究其实质,也都侧重
于财务会计数据审计而非单独针对IS
审计的。
与计算机审计的上述规范相比,IS
审计内涵、审计准则、职业组织、执业主
体等则十分明确。以审计标准为例,截至
2008 年2 月,国际信息系统审计与控制
协会已16 个审计标准,包括审计
章程、审计独立性、职业道德和标准、职
业能力、审计计划、审计工作的执行、审
计报告、后续工作、违规和非法行为、信
息技术管理、审计计划中风险评估的应
用、审计实质性、使用其他审计专家的工
作成果、审计证据、信息技术控制、电子
商务等。可喜的是,我国内部审计协会发
布并于2009 年1 月1 日施行的《内部
审计具体准则第 28 号———信息系统审
计》围绕总则、一般原则、审计计划、信息
技术风险评估、信息系统审计的内容、信
息系统审计的方法、审计报告与后续工
作等方面对内部审计中的信息系统审计
加以规定。虽然这一具体准则与国际信
息系统审计与控制协会已的审计标
准尚有一定的距离,但它毕竟首开我国
信息系统审计准则制定之先河。以下是
国内外已的计算机审计与IS 审计
相关准则体系的比较(见表2)。
(二)采用的审计技术与工具比较
从当前相关文献来看,有关计算机
审计技术介绍比较宽泛,而有关IS 审计
技术则有针对性强的特点。笔者认为,从
信息与信息系统的“产品”与“生产工厂”
的关系看,两者在审计过程中是紧密联
系的。只有当产生信息的系统本身具有
可靠性时,审计师才能初步确信该系统
产生信息的可靠性。而为了鉴证系统的
可靠性,IS 审计师往往通过检测被审系
统输入、处理与输出数据与信息来加以鉴证,其有效性不言而喻。鉴于计算机审计与IS 审计两者的审计目标的不同,两者采用审计技术与工具也就有所不同。
以下是笔者根据国内、外有关文献对两
者采用技术与工具的归纳:
1.两者共同采用的技术与工具。主
要有:测试数据法、追踪法、综合测试工
具(ITF)、平行模拟法、嵌入审计模块法、
流程图检查法、审计软件法、程序编码审
查法、程序比较法等。
2.两者各自采用不同的技术与工
具。其中,计算机审计技术主要有:受控
处理法、受控再处理法、漏洞扫描与入侵
检测、利用数据管理系统辅助法、利用操
作系统和实用程序法、利用被审系统辅
助法和利用电子表格辅助法等。IS 审计
技术主要有:基本案例评估法、系统控制
审计复核文件(SCARF)、快照法、审计
钩(hooks)、连续与间歇模拟(CIS)、延
展性记录法等。
四、结论
计算机审计与IS 审计无论是其产
生与发展,还是其基本概念、审计目标、
审计内容,抑或是其适用准则与采用的
审计技术,都有着很大的区别。但两者
在我国审计发展过程中却有其特定的
地位与作用。以信息化会计系统的财
务数据为审计对象的计算机审计,在当
前广泛开展财务报表审计过程中对其
展开研究仍然有着重要意义。同时,它
所强调的审计信息化建设使其“二方
观”能够进一步发扬光大。可以预见,
随着环境的变化与信息技术应用的深
入,计算机审计的内涵与外延也必将
得以深入与拓展。
成功地开展我国的IS 审计,是我国
审计走向世界的必由之路。上市公司根
据COBIT 框架实施内部控制已是大势
所趋,大、中型企业也必然紧随其后,由
此也就决定了IS 审计的势在必行。透过
IS 审计师资格考试的内容使我们看到
了IS 审计对知识与技术要求的高难度,
尤其是近年来对某些企业单位的IS 审
计之实践更使我们感到任重而道远。因
此,起步伊始的我国IS 审计,倘一开始
就能够借鉴国外先进的经验,追踪国际
惯例,并针对国情提出自己的发展对策,
无疑可以健康发展。
计算机审计与IS 审计两者绝非泾
渭分明,而两者究竟应当遵循哪些审计
准则,是近期内我国应当重点研究的问
题。诚然,从技术的角度看,国际IS 审计
标准、指南和程序已经日臻完整和成熟,
我国似无另起炉灶之必要,但由于我国
企业单位种类繁多,许多内外环境与国
外迥然不同,如果没有切合国情的部门
规章和规范性文件对IS 审计加以指
导,则可能欲速不达。因此,应当结合
我国IS 审计的现实状况,根据实践经
验、具体业务流程和技术方法分期发
布相应规章与规范性文件,逐步规范
我国的IS 审计。
【参考文献】
[1] Jack J.Champlain:Auditing InformationSystems,2sted,John Wiley &Sons,Inc.2003.
[2] 张德明,译.国际审计准则[M].大
连:东北财经大学出版社,1990.
[3][美]W.Thomas Poter,等著.计算机
审计[M].李大庆等,译.北京:中国
财政经济出版社,1990.
[4] 潘晓江.电子计算机审计与数据可靠
性控制—会计电算化之后现代审计
的对策[J].会计研究,1983(5)、(6).
[5] 王光远.管理审计理论[M].北京:中
国人民大学出版社,1996.
[6] 胡克瑾.IT 审计[M].北京:电子工
该指南包括以下五个步骤:
步骤一:理解可持续能源问题及其对社会、经济和环境的影响
该步骤旨在帮助审计人员构建可持续能源问题的基本分析框架,识别可持续能源问题及其对所在国家环境、经济和社会的影响,包括可持续能源相关概念,常用的能源的种类及其优缺点,能源消耗、储备以及使用效率的相关问题,进而帮助最高审计机关与审计人员识别并理解各国可持续能源方面存在的问题及其对社会、经济和环境的影响。
可持续能源审计的最终目的是促进经济、高效地使用可持续能源,这一目的的实现面临诸多问题,例如:国家立法或政策不当;开发、生产和安装可再生资源的技术成本高昂;国家的补贴开发和支持可持续能源的制度执行效果不佳;国家对可再生能源的使用情况的关注力度不够;可再生资源产业竞争不充分;潜在投资者持怀疑态度等。
各国应该采取措施提高可再生能源在整个能源供给中的比例,提高可再生能源的利用效率。广泛应用可再生能源,可以促进采用现代科技的新兴部门的发展;降低国家对进口能源的依赖,应对环境变化和大气污染,创造新的工作岗位。可再生能源产业的开发,通常需要借助于国家投资、政策扶持等优势资源,因此,有必要监督审计可再生能源工作的开展情况。在开展可再生能源审计的过程中,最高审计机关的审计人员有必要理解所在国可持续能源的总体形势。包括:
(1)了解所在国使用的能源种类及其优缺点。
(2)所在国能源配给的状况。能源产出是可持续能源框架问题之一,能源从产出到终端用户的传输也是至关重要的,能源配给网络的有效性限制能源的使用效率,尤其是对于那些能源生产地距能源消耗地较远的情况。扩展可持续能源的供应渠道、降低可持续能源传输损耗就成为了可持续能源工作中的重要部分。
(3)能源耗用、能源节约及能源效率方面的基本信息。能源耗用通常有电能、热能、运输用直接燃料三种基本形式,能源节约及能源效率是能源耗用过程中所需考虑的主要问题,能源节约关注能使能源耗用降至最低必要值的技术和程序,能源效率关注提高耗用既定能源所能获得的产品及服务。
步骤二:理解政府对可持续能源问题的态度、政策和措施
此步骤用于帮助审计人员寻找可适用的审计标准,提供政府管理和规范能源部门的政策信息。可持续能源审计的标准,可借鉴各国政府对可持续能源问题的态度、政策和措施,包括缔约国参加的有强制约束力的国际协定或协议、可持续能源政策及直接资助、刺激投资等政策工具。
下图概括地描述了能源框架及影响因素,其中的概念框架就是政府的一系列的针对能源框架中开采、配给、耗用制定实施的政策、规定及手段,这一系列的政策、法规、措施等都可以作为可持续能源审计标准的参考。
具体来讲,审计标准可能包括:
(1)国际协定;(2)国家立法;(3)各国的能源政策以及评估能源政策执行状况实施管理的政策工具;(4)所在国应对能源开采对环境影响的工具;(5)相关的政府采购方面的文件;(6)被审计单位内部的组织职能和规章制度,对应的会计制度及相关会计资料。
步骤三:审计主题的选择方法
选择适当的审计主体是各国最高审计机关实施可持续能源审计时的重要议题。经过第一二步骤,审计人员已经对可持续能源的状况有了初步的评估,确定出可持续能源发展受到哪些国际协定或国内法律法规约束。基于对能源管理的政策工具的了解,审计人员可以识别出需要审计的主题,并提出适当的审计方法,包括评估审计风险和重要性水平。审计的主题包括:能源部门导向型,即把审计能源开采部门、供应部门以及消耗部门的问题作为审计的主题:事项导向型,即把审计主题确定为可再生能源的推广,能源节约等;措施导向型,即审计提高能源可持续性的政策和方案等。
对应不同的审计主题,审计人员应确定不同的关注点。另外,确定审计主题时审计人员有必要识别出审计风险要素,包括能源政策的本质、复杂性、国家能源政策目标的复杂性、模糊性和不连续性等外部风险,以及缺乏特定领域知识或经验、审计成本过高等内部风险,并制定合理的风险应对措施,风险的应对状况直接影响审计结果的成败及效率。
步骤四:制定可持续能源的审计计划
可持续能源领域的审计实际是一种针对问题的环境审计,可持续能源审计可以包括不同形式的审计,具体形式取决于所在国的具体情况以及最高审计机关的环境审计经验。现今各国对可持续能源审计经验甚少,许多最高审计机关还没有开展这种审计,因此《可持续能源审计指南》只提出基于通用原则的建议,总结部分最高审计机关的审计经验。《指南》本身无意于将这些建议当做严格的指导,但希望可以激发各国最高审计机关根据国情和立法开展可持续能源审计。
制定计划是为了确定是否实施可持续能源审计以及如何确定具体的审计程序。审计程序要具体写明如何对所有类型的被审计单位进行审计。当产生可持续能源审计的需求或事实需要,就可以进入审计计划阶段。这种审计需求可能是最高审计机关监督、跟踪和评价重要活动时延伸产生的,或者是源于政府、国会、相关团体或者公众的要求,或是应国际协定的要求等。
审计准备阶段始于最高审计机关已经直接获取被审计单位的文件、数据和信息。最高审计机关对可持续能源的绩效审计可以运用审计逻辑矩阵,将其作为制定审计计划、确定审计程序的辅助工具。
审计计划及其编制的关键领域包括:
(1)评估最高审计机关实施可持续能源审计的权限;最高审计机关要确定是否依法享有实施可持续能源审计的权限,这直接影响审计的形式和范围;(2)确定需审计的可持续能源问题;(3)确定审计目标和审计对象;(4)确定审计范围、审计期间、审计形式――是最高审计机关独自进行,还是与其他最高审计机关平行审计或联合审计,或外部专家辅助进行审计,还需确定审计的类型一财务审计或绩效审计;(5)估计审计效果,确定审计的具体领域;(6)熟悉审计环境和审计内容;(7)确定被审计单位;如部委、政府组织、基金、非政府组织、受益人等;(8)选择合规性审计的标准;(9)选择绩效审计评估的主要标准;这些标准应客观公正、不偏不倚、充分、可实现,并且可以清晰阐释;(10)选择需审计的问题,选择适合实际情况的方法。
审计计划阶段最终要编制出计划文档,并经最高审计机关或相关部门批准。
步骤五:实施审计业务和报告审计结果
确定了审计计划后,就应当按照确定的审计范围、审计目标和审计程序来实施审计业务。审计的关键领域包括:
(1)审核国家能源政策目标的存在性;(2)审核对被审查领域初步了解的完整性和准确性;(3)审核能源政策的管理系统和执行情况;(4)审核用于评价能源政策实施效果系统的可操作性;(5)对于政府补助的受益人,审核其对政策或项目规则、条款等的遵守情况;审核既定指标的实现情况。
在审计实施完毕后,最高审计机关应总结审计发现,指出所审计的可持续能源领域内最严重的问题,并提出必要的关于改进措施的建议。审计报告应该列示:
1.国际内部审计的职业化。
1941年,国际内部审计协会(IIA)的成立使内部审计开始成为独立的职业,内部审计作为一个独立的职业登上历史舞台。国际内部审计协会成立以来,在内部审计理论和实务界的共同努力下,从完善内部审计定义开始,不断加强内部审计标准建设,形成包括职业道德规范、内部审计工作标准、实务公告在内的较为完善的国际内部审计专业实务框架,对内部审计职业化发展起到重要的推动作用。国际内部审计协会通过持续完善国际内部审计专业框架,传播内部审计最佳实务,指导全球内部审计实践,在内部审计理论建设和业务实践中发挥了引领作用,对全球内部审计理论建设、标准建设和业务实践产生了积极的影响。
2.我国内部审计职业化。
我国内部审计协会成立以来,为我国内部审计规范化建设、提高内部审计质量作出了积极的努力。特别是21世纪以来,我国内部审计理论研究者和实务工作者在国际先进内部审计实践的影响下,对我国内部审计职业化发展进行了积极的、艰苦的探索,加快了理论创新和技术创新的步伐。我国内部审计队伍建设、实务发展和理论探索均取得了丰硕的成果。一是我国内部审计协会秉承“服务、管理、宣传、交流”的工作方针,以推动内部审计发展为己任,推进“内部审计的全面转型与发展”统领工作全局,倡导准确把握内部审计新理念,积极探索以风险为导向、以控制为主线、以治理为目标的审计新模式为重点,加强调查研究,加大宣传力度,推动理论创新,组织经验交流,深化准则建设,提高培训水平,扩大国际交往,推动内部审计职业化建设。二是自2003年以来,中国内部审计协会陆续了《内部审计基本了准则》、《内部审计人员职业道德规范》、29项具体准则和5项内部审计实务指南,初步形成了我国内部审计准则体系。三是为促进内部审计机构和人员遵循内部审计准则和内部审计人员职业道德规范,改善内部审计环境,增强内部审计工作的有效性,中国内部审计协会于2012年4月了《内部审计质量评估办法(试行)》和《中国内部审计质量评估手册(试行)》。分别规定了评估目标、评估依据、评估主体、评估人员、评估内容、组织方式、结果利用等规则、流程、方法,对各类组织开展内部审计质量评估工作具有较普遍的适用性,为有效提高中国内部审计准则的执行力,切实推进我国内部审计的转型与发展,提供了良好的机制保障。
二、内部审计质量的溢出效应
(一)内部审计质量和溢出效应
1.内部审计质量的概念。
“质量”一词最先应用于对产品好坏的衡量。《礼记》中的“考工记”曾记载:“令百工审查五库器材之质量。”按照《辞海》解释,“质量”即为优劣程度。美国质量管理专家克罗斯比认为,质量是符合规定要求的程度。美国着名的质量管理专家朱兰(J.M.Juran)博士从顾客的角度出发提出,质量是满足顾客需求的程度。现代质量改进之父戴明认为,质量是顾客需要和想要的任何东西。在全面质量管理中,质量的标准是每次都能够在第一时间满足顾客的要求和期望。内部审计是以增加组织价值、改善组织运营为目的,为组织提供确认和咨询服务的专业活动,本质上是组织内部的一项专业服务活动。狭义的内部审计质量是指内部审计服务的硬质量,也就是内部审计服务为组织增加价值的程度。广义的内部审计质量还应包括软质量,也就是利益相关各方所感受到的审计人员的形象、态度、知识、修养等文化因素,以及对审计机构的整体印象。从公司治理的角度来看,内部审计质量反映了内部审计职能作用发挥的好坏,或内部审计成果满足审计委托人需要的程度。
2.溢出效应的概念。
萨缪尔森认为,在市场经济条件下,一个行动可能在市场交易之外有利于或有损于其他人的利益,即存在着不发生经济支付的经济交易。这种现象被称为溢出效应,也称外部性。这种外部性又可以分为外部经济和外部不经济。外部经济是当一个经济主体对另一个经济主体造成好的影响,而另一个经济主体不能给与相应的补偿,也可以称为积极的溢出效应。外部不经济是当一个经济主体对另一个经济主体造成坏的影响,而另一个经济主体不能获得相应的赔偿,也可以称为消极的溢出效应。内部审计职业协会以促进实现内部审计职业正价值为目标,以职业知识和技术的传播方式,引导内部审计职业的发展,塑造先进的内部审计职业文化,帮助企业组织强化内部审计在公司治理中的作用,促进公司善治和经济社会科学发展。内部审计职业组织作为非营利性组织,其提供职业化服务并不以营利为目标,职业组织获取的回报与其输出价值的不对称性,使其具有类似公共产品的性质,从而符合溢出效应的基本特征。
(二)职业化溢出效应的作用机理
1.职业理念培育内部审计的精神品质。
职业不仅是每个人的谋生之道,也是每个人享受人生的一个重要方面。马克思在《青年在选择职业时的考虑》一文中说道:“能给人以尊严的只有这样的职业,在从事这种职业时我们不是作为奴隶般的工具,而是在自己的领域内独立地进行创造;这种职业不需要有不体面的行动,甚至最优秀的人物也会怀着崇高的自豪感去从事它。”因此,现代职业应该给人带来崇高感,这也是现代内部审计职业化的方向。这种理念要求从业人员通过创造优秀的工作成果,努力实践自己的职业价值。这种理念激励内部审计人员树立质量意识、服务意识、学习意识,增强重大风险的识别能力、审计问题分析能力和审计建议能力。这些意识和能力的增强将会在客观上提升内部审计服务的品质。
2.独立精神成就内部审计的职业特征。
职业化要求成立专业、独立的内部审计组织,从机构设置、人员、报告权限、经费等方面增强内部审计的独立性。这是内部审计职业化的内在要求,也是内部审计结论客观和提高内部审计质量的基本保证。内部审计独立性的核心是内部审计机构的报告对象在组织治理中的地位。实践表明,报告对象缺乏权威性,内部审计工作容易受到利益相关方的干扰,进而影响审计工作的客观公正。另外,内部审计必须能够获得履行职责所需的足够的资源,因为拥有财务自由,也是内部审计机构独立性的重要保证。
3.职业标准建构结论公认的制度基础。
一是确立评价内部审计工作质量的审计标准,也就是内部审计准则和内部审计人员职业道德规范。建立适当的内部审计制度体系是规范内部审计工作的需要,也是衡量内部审计服务质量的需要。国际内部审计协会持续完善的国际内部审计实务标准为全球内部审计活动提供了最佳蓝本。二是内部审计应促进组织建立业务标准,这是审计人员作出客观判断的评价尺度。内部审计的职责在于评价内部控制、风险管理和治理,因此需要确立内部控制、风险管理和治理的规范,作为内部审计部门开展审计活动依据的评价标准。建立符合组织整体利益的业务标准是开展内部审计活动的基本前提。业务标准则经过适当的程序,得到组织最高层的批准,是审计评价权威性和审计结论获得被审计单位认可的制度基础。中国内部审计协会原会长王道成在2010年企业内部控制监督与评价座谈会上表示,内部审计部门代表董事会监督和评价内部控制,董事会和管理层应制定相应的标准。IIA国际内部审计专业实务框架也明确:“评估控制需要依据适当的标准,以确定目标和目的是否实现。内部审计师必须确认管理层制定适当标准的程度。”在具体审计活动中,两个标准缺一不可。内部审计实务标准为内部审计活动确立规范,是建立内部审计服务获得外部信任的客观基础。业务标准是内外部制度的精华,是组织内部业务和管理规范的灵魂,是衡量组织业务和管理活动是否规范的内部法律。从审计实践来看,审计标准和业务标准是审计结论权威性的保证,也是内部审计赢得组织公认的制度基础。
4.职业团队凝聚质量提升的核心要素。
内部审计是对管理者的再管理,监督者的再监督,必须要有高素质、专业化、复合型的内审人员来完成。在经济全球化背景下,建设职业化的内部审计团队是现代内部审计职业发展的必然要求。持续提高的团队胜任能力和职业形象,建立现代内部审计事业发展的基础。内部审计人员依靠自身的努力,提升内部审计职业的社会价值和职业形象,增加内部审计的职业魅力,共同创造一个富有竞争力的受人尊敬的现代职业。内部审计职业化为内部审计搭建了经验分享和提升职业胜任能力的广阔平台,帮助内部审计人员及时掌握行业动态,学习国际领先实务,掌握先进的内部审计方法、技术,增强学习创新能力和专业胜任能力。内部审计职业化有利于吸引越来越多的优秀人才加盟内部审计队伍,提升队伍的整体素质,促进内部审计事业的发展。
5.职业方法提供职业胜任的工具选择。
“系统的规范的方法”是现代内部审计的特征之一。在内部控制与风险管理日趋融合的背景下,风险管理方法成为内部审计人员必须掌握的重要方法之一,促进了内部审计技术的创新。先进的审计方法和技术被越来越多地运用于内部审计管理和运营当中,提高了内部审计的效率和效果。另外,审计对象信息化的推进促使内部审计人员大量使用计算机审计技术,创新审计手段,实现由手工审计向信息化审计转型。国家审计署原审计长李金华指出,作为内部审计部门来讲,必须要提高审计项目的管理水平,必须要改进审计的技术方法,加快审计手段的现代化建设,必须要强化审计项目的质量控制,提高审计的规范化水平。职业化响应了内部审计的要求,有利于在内部审计方法和推进内部审计信息化方面巩固自己的优势。
三、内部审计职业化发展和质量提升之路
(一)共享职业成果,加快内部审计知识体系建构
随着大数据时代的来临和经济全球化大趋势的发展和深化,需要内部审计业界在积极探索、实践和研究的基础上,加速内部审计知识体系建构,逐步提升内部审计职业含金量。企业组织与职业协会应积极互动,加强职业国际交流,实现全球知识与经验的共享,借鉴中外理论和实践成果,不断完善内部审计知识体系,为内部审计服务层次和质量水平提升提供理论支持。
[关键词] 审计问题;会计电算化;内容;影响
中图分类号:F275 文献标识码:A
1 前言
在信息化迅猛发展的今天,企业处理经济活动记录所采取的技术手段已经开始逐渐朝着无纸化、电子化、数字化以及集成化的方向不断发展,并且会计工作所采用的技术手段也发生了翻天覆地的变化,会计电算化得以普遍应用及广泛推广。众所周知,会计发展的一大必然方向就是会计电算化,这便将全新的考验及挑战带给审计工作,所以,企业应当研究及采用有效的措施,以便于有效的防范会计电算化中所存在的审计风险,进而将审计的目的实现,推动企业的可持续发展。由此可见,研究会计电算化条件下的审计问题,有着不容忽视的现实意义。
2 会计电算化的审计内容
与以往传统的手工会计系统相比,会计电算化系统有着极大的改进,会计电算化系统主要是由系统维护及工作人员、计算机软件及硬件、会计数据体系所构成。因此,会计电算化的审计内容有别于手工会计系统,主要包括以下几大方面:
2.1 对内部控制的审计
首先,在多大程度上企业的内部控制能够保证会计电算化系统中各项会计记录的可靠性及正确性,比如业务处理的审核,输出、输入的授权控制等;其次,在多大程度上有效执行内部控制能够有效的确保企业各项资产的完整性。借助于以上评价,能够判断在何种程度上企业内部控制系统可以发现亦或是避免经营过程的舞弊行为以及会计报表中的错误。
2.2 对会计数据的审计
众所周知,会计数据处理的可靠性、正确性和真实性会对会计信息的可靠性、正确性和真实性带来直接的影响,因此,此方面的审计是非常重要及必要的。审计人员可以采取抽查原始凭证来对比机内凭证的方法,也可以采取抽查打印日记账对比机内日记账的方法,还可以通过计算机辅助审计软件所具备的相关功能来将审计工作完成,以此有效的规避或降低审计风险。
2.3 对电算化系统程序的审计
可以说会计软件是会计电算化系统的核心所在。通常会计软件程序质量水平的高低在很大程度上对整体的会计电算化系统水平的高低起着直接的决定性作用。在审计会计软件程序上,可以采取计算机审计方法,借助于计算机辅助软件审计所具备的数据转换功能予以完成,该过程所审查的主要是会计软件程序控制与处理数据的可靠性、正确性、及时性,审查程序的容错能力以及纠错能力。
3 会计电算化对审计工作所带来的诸多影响
会计电算化的实现能够提高处理会计信息的准确性与及时性。会计电算化并未将审计工作的基本目标改变,但是却影响了审计工作,具体表现在以下几大方面:
3.1 对审计依据及审计准则的影响
实行会计电算化以后,因审计线索与审计对象有着重大变化发生,审计的技术方法和审计的内容便随之发生了相应的变化,因而审计准则及审计标准也会出现一系列的变化。要将与特殊状况下相切合的一套全新的审计准则、审计标准建立起来,主要涉及到系统的运行、开发、设计等标准与内部控制制度,以便于维护及规范审计工作的公正性、客观性和独立性。
3.2 对审计方法及审计内容的影响
会计电算化实现后,审计所具备的监督职能并未有任何变化发生,但是在很多方面会计工作出现了一系列的变化。所以,电算化审计应当切实的保持同步发展与会计电算化。审计的内容要涉及到会计软件的内容、数据文件、程序控制以及电算化系统的设计和开发,审计技术方法以及审计内容等需要审计人员在对以往传统审计技术加以采用的同时,还应当将计算机技术应用起来,来应对各种工作平台诸如多用户、网络、单机等的会计软件,使其最大限度的及时将该系统问题发现,进而将有效的改进意见提出。
3.3 对审计线索的影响
电算化实行后,由于在电算化系统中以往的审计线索被中断,审计人员无法借助于肉眼来对会计业务加以跟踪。在传统的手工会计下。不容易篡改这些线索,一旦有痕迹留下便能够得以及时发现,但是在会计电算化系统下则非常容易篡改审计线索,并且容易复制和销毁。如果但凡篡改亦或是销毁也不会将任何痕迹留下,这势必会使得审计工作的难度加大。为了将电算化审计工作有效的予以展开,审计人员可以通过计算机来得到被审计单位中的各项会计信息数据资料,同时借助于相应的数据转换,使这些数据资料转变成审计人员能够加以识别的数据文件形式,然后在对各类数据进行重新处理和重新组合,以便于实现审计的目的。
3.4 对审计人员的影响
即便是有了专业且完善的审计软件以及先进的电算化审计方法,但是仍然离不开专业的审计人员,需要审计人员出具审计报告、分析审计结果、执行审计程序以及制定审计计划等,计算机不能完全将专业审计人员取代。所以,审计人员不仅要切实的掌握丰富的审计知识及审计技能、财务会计知识及财务会计技能,全面的熟悉相关政策法规,而且应当全面的了解应用计算机技术和电子计算机知识,进而将高效、完整、准确、真实的审计信息提供出来。与此同时,在审计组织当中,需要将计算机审计方面的一批系统开发人员加以培养,以此构建起独具特色的计算机审计系统,以便于更好的应对审计工作中所存在的问题。
4 推动审计工作进一步适应会计电算化的途径
4.1 规范内部审计
审计部门要详细的对运用财务软件的情况备案登记,真正的做到有备而查,将内部审计工作切实的纳入规范化的管理轨道。还应当对操作性较强的审计工作方法、审计工作程序进行研究,建立健全电算化审计准则与审计标准,以便于为审计质量的提高以及审计工作标准的衡量提供可靠的保障。
4.2 完善电算化审计准则及标准
应当致力于电算化审计理论研究的开展,将与电算化会计信息系统相适应的审计准则和审计标准制定出来,电算化审计准则要不断的朝着国际审计准则靠近。在新准则的制定过程中,不仅要对我国的基本国情加以考虑,还应当对国外先进的经验予以借鉴,制定出设计、开发、运行及维护电算化系统的标准,制定出有效的内部控制制度,并且严格的按照审计业务的具体要求,来将计算机审计效果评价指标、计算机审计标准等确定出来。
4.3 培养准也电算化审计人才,提高审计人员素质
即便是已经掌握了且具备了功能完善的审计软件和电算化审计方法,但是审计人员仍然发挥着不可或缺的作用。会计电算化的迅速发展,明确的要求审计工作必须紧紧的跟随时展的脚步,强化人才的培养。所以,审计人员应当将自身的思想顾虑最大限度的消除,不断的加强学习,以便于及时的与审计工作的发展要求相适应。应当定期对计算机辅助审计方面的培训加以开展,真正的使审计人员了解到计算机的优势,正确的认识到电算化条件下内控的特点,熟练的掌握审计软件的维护技能以及使用技能,进而将计算机技术有效利用起来,以此更好的完成审计工作,从而在潜移默化中培养出有经验、懂技术的专业复合型审计人才。
4.4 加强审计会计电算化的内部控制
即便是开展了会电算化,但是内部控制制度仍然是整个审计工作的重要基础。只有提高内部控制制度的可信度,才能够确认审计风险为较低水平。由于计算机数据处理不易留下痕迹且极易篡改,因而审计人员应当将更多的关注放置于数据的本身以及数据处理系统。要完善授权控制制度、管理制度以及责任及职权分配制度等,这是充分的确保财务系统顺利安全运行的必要基础;要及时防止病毒侵害且备份维护计算机文档,以便于有效的保证计算机系统的安全运行;必须完善的设置操作密码,避免意外的出现;要确保各个相关岗位人员自身的素质水平能够与电算化工作开展的需求相满足,并且实施定期的岗位轮换。通过确定审计工作受到内部控制制度的影响程度,来合理划定审计工作的范围及重点,确定合理科学的审计工作程序,避免或减少审计风险出现在电算化系统中。
5 结束语
总而言之,随着时代的不断发展以及科学技术的迅速变革,审计工作也随之发生了巨大的变化。会计电算化的有效开展,不仅大幅度的提高了审计工作的工作效率,而且还极大的促进了审计工作现代化水平的提升。所以,我们应当正确的看待会计电算化发展的形势,及时的把握好会计电算化所带来的机遇,不断的充实、创新、完善和改进审计工作,只有这样才能够促使审计工作在会计电算化条件下得以顺利进行。
参考文献:
[1]李淑连.会计电算化条件下审计中存在的主要问题及对策[J].辽宁科技学院学报,2008,4(1):234-235.
[2]王艳.会计电算化条件下审计技术的变革[J].中小企业管理与科技,2011,3(8):27-28.
政府绩效审计也可称为政府效益审计,关于他的定义国际上并没有统一的标准,根据最高审计机关国际组织的审计定义,绩效审计是指针对经济行为的经济性、效率性、效果性所进行的审计。我国的一些专家和学者经过对国外绩效审计的研究并结合我国国情认为:政府绩效审计就是国家审计机关依据其职责利用专门的审计方法和依据一定的审计标准,对被审计单位资源利用的经济性、效率性、效果性进行监督与评价。其实质就是,通过对被审计单位经济效益的评价,推动被审计单位以最低数量的资源投入获得最大效益的产出,圆满完成经营目标达到预期结果。
一、我国政府绩效审计工作现状
自从1983年我国建立政府审计机构和审计制度以来,政府绩效审计取得了较大发展。《审计工作暂行规定》、《审计条例》、《审计法》中先后提到了绩效审计;1991年全国审计工作会议上审计署明确提出:“既要继续进行财务审计,又要逐步向检查有关内部控制制度和‘效益审计’方面延伸”,通过适当的审计评价推动效益的提高,这是我国政府首次提出在审计工作中实践政府绩效审计。
我国政府开展的审计工作较好地融入了政府绩效审计的做法,积极探索了政府绩效审计的路子并取得初步成效,但是我国政府绩效审计工作的开展仍然不尽如人意。主要体现在以下几个方面:
第一,工作量比重低。政府绩效审计应该是政府审计工作的主流,纵观西方各国,英国在35%以上,澳大利亚在50%以上,美国更达到了90%以上。我国政府绩效审计工作量占政府审计工作量比重较低,还不到一个百分点。
第二,审计人员知识落后。目前,我国政府大部分审计人员只具备财经和审计方面的知识,但是绩效审计具有独特的方式和特殊性,所以审计人员必须掌握多元化的知识结构,也可以在审计机关中引进非财经类的工作人员使审计机关的总体知识结构可以满足绩效审计的需要。
第三,审计绩而不效。政府绩效审计包括事前审计、事中审计和事后审计三个阶段。目前,我国进行的绩效审计绝大部分是事后审计,事前审计尚不多见,而事中审计,即对经济活动过程中的控制和调节以推动被审计单位实现潜在利益的则更为少见。
由于我国在思想观念、法制基础、标准规范、人员素质和技术手段等方面不健全,当前并不具备全面开展绩效审计的条件,但仍可循序渐进。当前制约我国政府绩效审计发展的因素主要有以下方面:
(一)观念的束缚。自从审计工作在我国开展以来,财务审计始终占据主导地位,这使全社会对绩效审计了解比较少。传统观念认为政府部门并不能直接创造财富,所以对其活动的经济性、效率性和效果性都忽略了。但实际上政府部门作为国家的管理者,他们的任何一项决策出现失误都会对某一行业甚至整个国民经济的建设造成重要经济损失,他们工作效率的高低、工作结果的成败制约着整个国民经济发展速度的快慢和效益高低。
(二)体制不健全。随着经济的发展,我国政府的体制改革也取得较大的成就,逐渐由“权力型政府”转变为“服务型政府”,但不得不承认的是,在政府审计体制方面还没有取得令人满意的成果,我国政府审计体制仍然沿用“行政模式”。
(三)没有适合的审计方式。针对不同的审计对象不能提供一个统一的审计准则和审计程序,审计人员可以在工作中灵活选用与被审计事项相适应的方法。这虽然给审计人员提供了自主选择的余地,但是也使审计风险加大。
二、我国开展政府绩效审计方式探索
虽然我国尚不完全具备开展政府绩效审计的条件,但我们可以利用现存的有利条件在探索中开展这项工作。
(一)相关基础准备方面
1、选择合适的项目。我国绩效审计开展时间不长,审计人员无论是在技术水平还是经验方面都不足,我国也没有固定的审计比较标准可供审计人员参考,公共资金本身的效果性更加不容易把握,所以在选择审计项目的时候要遵照循序渐进的原则。由于有的项目的效果存在不同层次的要求标准,有的项目的效果性在短时间内难以凸现,因此在开展的初期选择技术较为简单、评价标准比较明确、效果直观易见的项目进行审计,在积累了一定的实践经验后逐渐向复杂的项目过渡。
2、审计中辩证思维的运用。政府绩效审计要求将经济性、效率性、效果性进行综合考虑,有时三者之间会发生矛盾,如何平衡三者的关系达到最优评价结果,这就需要我们运用辩证性的思维。运用一个例子则可以更好地说明这个观点。
2004年的希腊雅典奥运会为这个现代奥林匹克运动诞生地带来了全世界的赞誉,令人回味无穷,他的效果性毋庸置疑,但是从经济性的角度去分析则令人不乐观。最初,雅典人对本届奥运会的预算是46亿欧元,之后很快增加到60亿,而到最后竟然无法给出一个确切的数字,到底总共投入了多少资金。奥运会后,奥运场馆设施的维护每年需付出170亿欧元。虽然希腊政府准备将大多数的体育场馆转为民用,有的变成水上乐园、演出中心,有的全部出售,但是对于欧洲最贫穷的国家之一的希腊来说,这显然是一笔昂贵的支出。雅典奥运会可能使该国出现360亿欧元的赤字。
用绩效审计的方式去评价雅典奥运会这个整体的大项目时不难看出,这个项目非常不经济、不节约,但是他却具有极佳的效果性。如果当地政府只是单独去建筑某些体育场馆那一定经济适用,但是这些建筑却无法达到其作为奥运整体项目一部分时所能发挥的作用。所以,在做出绩效审计结论时要综合考虑三方面因素从整体性把握。
(二)如何开展政府绩效审计
1、审计方法和审计方式的种类。目前,世界上主要存在以结果为重点的审计方法和以问题为重点的审计方法,从上到下的审计方式和从下到上的审计方式。
以结果为重点的方法主要关注被审计单位有关目标与要求是否达到、取得了何种成果。他要求审计人员将所发现的被审计单位的情况与审计前确定的审计标准和既定规范相比较,若比较结果偏离了审计标准和既定规范则提出审计建议以帮助被审计单位消除偏离。
所谓从上到下的方式也称为“所有者的角度”,他着重于政府的要求、意图、目标和期望。而从下到上的方式是一种以客户为中心的角度,“如果公众要求最高审计机关重视对人民和社会团体真正有意义的问题”从下到上的方式可以满足这种要求。
[关键词] 邮政储蓄银行;信息系统审计;对策;建议
[中图分类号] F239.1 [文献标识码] A [文章编号] 1673 - 0194(2012)21- 0030- 02
1 中国邮政储蓄银行信息系统审计现状
自2007年3月中国邮政储蓄银行(以下简称邮储银行)成立以来,企业的信息化程度不断提高。信息科技已经成为邮储银行稳健运营和发展的重要支柱。但是,邮储银行对信息系统的依赖性也越来越强。信息系统在带来效益、效率的同时,也带来了巨大的风险,局部的故障极易引发银行业务交易失败甚至整个系统的瘫痪。目前邮储银行业务运营的特色就是数据大集中、业务大集中、信息科技风险大集中。因此,积极开展信息系统审计,有效防范信息科技风险已成为邮储内审工作的现实需要。
尽管邮储银行内审部门积极配合信息科技部门在科技管理和安全控制方面做了大量工作,各项控制措施不断得以完善和加强。但是,邮储银行的信息系统建设还存在一些薄弱环节,如重硬件投资建设,轻软件设计应用;重网络安全,轻信息安全;重被动防御,轻主动防御等,安全与应用结合薄弱,难以满足发展需求。邮储银行的信息系统审计工作起步较晚,信息系统审计在具体的实施过程中存在诸多问题。
2 中国邮政储蓄银行信息系统审计实践中面临的困难
2.1 信息系统审计的制度尚不完善
从国家层面来看,信息化条件下的审计方法、审计对象和审计技术都发生了很大变化,现行审计制度已不能满足金融机构信息技术发展的需求。从邮储银行自身来看,信息系统审计尚处在探索起步阶段,没有建立统一的行业标准和实务操作指南。这一切都影响了邮储银行信息系统审计工作的开展以及信息系统审计的效果。邮储银行审计人员也缺乏对信息系统审计方面的理论研究和实践探索。
2.2 信息系统审计控制措施有待提高
一方面,邮储银行信息系统审计的控制措施落实程度不够,信息技术人员的主动性和积极性有待进一步加强,预防性控制措施所占的比重较小,纠正性控制和检查性控制所占的比重较大;另一方面,邮储银行现行的信息系统控制措施在连续性和一致性方面存在缺陷,业务运行部门的良好控制措施可能会因为信息系统开发部门的控制措施不完善而不能起到预期的控制效果,反之亦然。
2.3 信息系统审计技术比较落后
信息技术的高速发展和广泛应用,使得企业的交易事项大部分由计算机系统自动完成,人工操作痕迹比较少,传统的审计线索荡然无存,充分适当的审计证据很难搜集。这就要求邮储银行的信息系统审计必须参与和融入信息系统建设整个生命周期的所有活动中去,包括信息系统的开发、设计、运行和维护等。但是在实际工作中,由于现有审计技术的局限性,审计人员完全处于被动地位。虽然邮储银行的审计人员也在逐步使用一些计算机辅助审计技术,但只停留在对被审计部门的电子数据进行处理阶段。从性质上来讲,仍然属于对事后工作成果检查性的控制和审查,没有充分发挥信息系统审计的真正作用。
2.4 信息系统审计专业人才匮乏
信息系统审计对审计人员素质要求比较高。从新加坡发展银行和美国大通银行的信息系统审计组织框架和人员配备上看,信息系统审计由于涵盖了软件开发、项目投产、运行维护的全过程,包含了信息系统生命周期的所有阶段,因此信息系统审计机构设置基本采用在总审计师领导下,与业务审计两条线并列的模式,人员专业化分工明确,技术水平要求也较高,懂信息技术人员的比例一般占审计人员的30%~50%。而邮储银行内审人员大多从原来的业务稽查岗位划转而来,在信息化技术的使用上还存在着欠缺;新招聘的人员,虽然具备财会和计算机等专业知识,但对银行业务却不甚了解,造成目前审计人员欠缺计算机专业知识,计算机人才欠缺审计知识的“两难”局面。邮储银行内审人员在数量和质量上与国内外同业相比,均有不小的差距,成为制约邮储银行推进信息系统审计的瓶颈问题。
3 邮储银行推进信息系统审计工作的对策建议
3.1 建立国际标准框架下的信息系统审计标准与规范体系
从国际同行的经验来看,大多数国际商业银行都在自己的信息系统审计体系下,遵循着一套行之有效的国际标准或规范。如COBIT、BS7799、COSO、ITIL等。邮储银行也要按照国际通常做法,结合本行实际,确立自己的信息系统审计标准与规范;同时,进一步明确信息系统审计的技术角色,强化信息系统审计的技术特色,结合本行的审计资源,把信息系统审计技术角色分为应用、系统、网络与硬件、管理4个大类。不同的技术角色分别负责信息系统生命周期中不同阶段的不同领域的控制、分析和评价,确立风险控制的重点,建立相应的风险评估指标,切实提高邮储银行信息系统审计的专业化水准。
3.2 建立全方位的信息系统审计管理体系
目前,邮储银行在对信息系统进行安全评价时,主要侧重反病毒、防火墙、系统备份等技术方面,而对信息系统审计在信息系统控制、风险管理以及公司治理中的作用没有给予足够的重视。因此,邮储银行要努力落实银监会颁布的《商业银行信息科技风险管理指引》具体要求,一方面,做好基础设施建设,科学设计和切实落实安全防护措施;另一方面,要重视信息系统内部审计的作用,抓紧完善公司治理机制,建立信息系统风险控制委员会,定期对信息系统风险管理情况进行研究,推进信息系统审计工作中故障发现、风险评估和风险防范措施的落实,督促指导信息系统审计人员的工作。从信息系统审计的对象来看,信息系统审计既包括软硬件系统,也包括对银行的业务持续性审计,以及信息系统项目的组织、策划、服务管理等诸多方面,因此邮储银行应借鉴其他商业银行开展信息系统审计的经验,其信息系统审计团队要由信息系统专家、银行业务专家、咨询专家等多方面的人员组成,主要的审计人员应具备信息系统审计师资格,以保证邮储银行信息系统审计工作高效运行。
3.3 推广先进的审计技术,建立科学的信息系统审计模式
从国际银行业界开展信息系统审计的模式来看,借助先进技术进行非现场审计已是大势所趋。邮储银行现阶段开展信息系统审计,应根据本行信息系统发展现状,将现场审计和非现场审计有效结合,合理配备审计资源,采用灵活的、可配置的审计模型及数据分析探测工具,构建科学、有效的风险识别、监测和评估体系;具体实施时,应从接近传统审计模式的制度审计、内部控制审计入手,逐步向系统内部深入;同时也要注意加强风险管理,规避信息系统审计风险;在关注重要性的同时,力求效益性,防止因审计不当,导致新的风险产生。
3.4 培养信息系统审计专业人才
信息系统审计专业人才培养是信息系统审计发展的前提和基础,也是一项长期的、系统性的工作。在具体实施时,可以考虑以下4个方面的内容。
一是专业人才的引进。从信息系统审计实践看,具有信息科技背景的人员和业务精通的人员是现实工作最需要的。因此,在人才引进方面应该兼顾两个方面的需求。
二是信息系统审计职业认证培训。职业认证培训相对成熟,可使审计人员获得全面、系统的知识,在组织内形成基础的知识共同体,以达成共同的认知和充分的沟通。邮储银行可以分批组织审计人员参与CISA(信息系统审计师)认证培训,提高专业素质。
三是信息科技专业培训。在认证培训的基础上,还应利用内部资源,在信息科技专业方面进行培训,如网络、操作系统、信息安全、应用系统等方面,以确保审计人员对本行信息科技充分了解。
四是专业化分工。由于银行信息科技的日趋复杂,信息系统审计内部的专业化分工是必然的选择。专业化分工可使邮储银行内审人员专注于某个领域,提高专业深度,有效地提高其信息系统审计的履职能力。
3.5 构建信息系统审计知识共享平台
鉴于信息科技自身发展迅速,邮储银行内审部门需要构建信息系统审计知识共享平台。该平台应该包括信息系统审计的审计标准、流程、测试点、审计案例等内容,并由专门人员进行维护,在全行审计条线内进行共享。这样做可以帮助审计人员更好掌握审计理念、技术和方法,为审计人员提供良好的沟通协作平台,保证了流程的规范性;同时也为审计人员提供了方便安全的证据查阅机制,为审计报告提供了量化参考,方便了内部审计和管理。
主要参考文献
[1]田佳林.信息系统审计简述[J].中国乡镇企业会计,2012(5).