时间:2022-03-25 18:42:26
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇计算机审计发展,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
一、计算机审计是会计电算化的产物
深化改革是我国经济保持平稳较快增长的必由之路,也是建立现代企业会计制度的必由之路。在深化经济体制改革的过程中,会计电算化得到了普遍应用。会计电算化的普及对审计产生了非常大的影响,表现在多个方面,首先是对审计线索的影响尤其突出。实施了会计电算化,审计线索会发生很大的变化,传统的审计线索在电算化系统中中断甚至消失。其次是对审计内容的影响。系统的处理是否合法合规,是否安全可靠,都与计算机系统的处理和控制功能有关。因此在会计电算化条件下,审计人员要花费较多的时间和精力来了解和审查计算机系统的功能,以证实其处理的合法性、正确性、完整性和安全性。再次是对审计技术手段和方法的影响。实现会计电算化以后,会计电算化信息系统与传统手工会计系统相比,在许多方面发生了变化,必须采用新的审计技术方法才能适应这种变化。最后是对审计人员的影响。计算机要求审计人员除了要具有丰富的财务会计、审计等方面的知识和技能,熟悉有关的政策、法令依据外,还应掌握一定的计算机知识和应用技术。
由此可见,会计电算化的应用必然影响审计工作。会计电算化给审计提出了许多新问题和新要求,传统的审计已不能适应电算化的发展需要,开展计算机审计势在必行。
二、制约计算机审计发展的主要问题
会计电算化对传统的会计理论和实务产生了重大影响,必然对传统的审计产生很大的影响。所以,必须制定与新情况相适应的计算机审计准则,以利于开展计算机审计工作。与此同时,计算机审计准则的制定和计算机审计的开展将会对会计电算化的发展产生积极的推动作用。
在开展计算机审计工作中会遇到许多问题。这些问题正制约着计算机审计工作的进一步发展。概括有以下几个方面:
1.由于缺乏统一的计算机审计准则和标准,开展计算机审计存在较大风险。一是对计算机知识缺乏足够的了解,包括被审计单位的计算机系统程序缺乏了解,以及数据采集可能带来的机密泄露;二是使用技术不成熟的审计软件。有的审计软件没有经过科学的测试,可能本身就存在设计缺陷;三是审计证据的可靠性。由于有的被审计单位计算机运行处在缺乏控制的状态,审计人员就不能过分依靠,否则难以保证审计证据的可靠;四是过分对计算机技术的依赖。审计工作中,审计人员过分依赖计算机技术可能会导致检查效率低下,取证范围狭窄,审计证据不充分。
2.传统的思维方式和审计方法,阻碍了计算机审计的快速推进。首先,存在着用传统思维方式看待审计信息化,缺乏推进计算机审计的信心和远见。在计算机审计遇到困难时,不是从主观上找原因,而是简单地否定计算机审计的应用价值。其次,对计算机审计持观望和等待的态度。有的人认为计算机审计没什么大的用场,还不如手工审计快,不愿把时间浪费在掌握计算机技术上,无暇顾及计算机这一技术问题,自我隔离在信息化之外。其三,存在着技术困难和理念困惑,还没有真正认识到审计信息化必将带来人们思维方式、审计技术方法和作业流程的变革。
3.审计人员的素质与信息化发展水平不匹配,影响了计算机审计的整体推进。目前,有些审计机关面临的一个较大的问题是审计业务水平与审计信息化建设和发展的要求不相适应。一方面,由于审计人员队伍的老龄化,部分审计人员虽然有丰富的财会、审计知识和经验,但由于历史、客观的原因使他们没有机会接触计算机,造成一些知识结构上的欠缺,他们还很难提出符合信息化规律的审计需求,将传统的审计技术方法转换为计算机可以操作的语言还需要有个磨合的过程。另一方面,年轻的审计人员虽然掌握一定的计算机知识,但由于非计算机专业毕业,仅掌握浅层次的计算机基础知识和运用技能,缺乏深层次的计算机系统设计、程序编译检测技能,还不能有效分析系统结构。因此要真正运用计算机软件,完成难度较大的实质性审计程序尚有难度,需依赖专业的计算机技术人员协助,造成审计人员独立性减弱。此外,由于培训时间短,技术掌握不熟练,在审计过程中,还没有将计算机审计真正应用起来。实际运用与软件设计的要求还有一定的差距。4.对计算机审计软件开发和运用缓慢。目前由于电信、金融等机构计算机技术发展迅速,从而审计软件也开发利用较多,但其他领域较少,而通用的审计软件就更少了。迫切需要尽快开发实用审计软件,以提高计算机审计水平。
5.审计信息资源关联差,存在浪费。许多审计信息资料与数据储存在每一台电脑之中,审计信息资料不能有效地与局域网络进行链接,审计信息与数据不能互通,资源与信息没有实现共享。局域网内的审计数据库开发和建设不够完善,还没有为开展计算机审计提供更加便利的条件和环境。
三、计算机审计的发展思路
针对计算机审计发展中存在的问题,提出如下意见和建议,并采取有效措施,大力推动计算机审计工作的发展。
1.制定统一的计算机审计准则、规范和标准,有效规避计算机审计风险。要尽快制定计算机审计标准和准则,对计算机系统内部控制的评价、对审计人员应具备的资格、计算机审计过程和相关的审计技术以及证据收集等方面做出规范。保证计算机审计质量。
2.进一步提高认识,普及计算机审计知识,形成有利审计信息化实施的好环境。每一位审计人员都要提高对开展计算机审计工作的认识。要使审计人员不仅要了解计算机知识和原理;而且还要增强开展计算机审计的意识,并掌握计算机审计操作方法,逐步能根据审计过程中所出现的种种问题及时编写出各种测试、审查程序的模块。为此要大力强化审计干部开展计算机审计的紧迫性的认识,通过学习培训提高对计算机及网络知识的认识。
3.引入市场机制,尽快开发出更多的计算机审计应用软件。从开展计算机审计的实践来看,应当主要开发以下计算机应用审计软件:一是能帮助数据下载,提供不同被审计单位的计算机系统接口的软件;二是能对各管理系统进行测试软件。按特定标准生成用于测试系统的数据,使用测试数据检验程序进程,检测被审计单位执行的功能;三是能进行数据测试的审计软件。按审计的要求抽取数据后执行审计功能;四是建立规范的综合性审计数据库,包括满足制定审计计划需要的数据库,积累审计工作经验的数据库和为编写审计报告提供参考的数据库等。
4.各级审计机关要结合实际,开发适应基层审计工作的小软件。各级审计机关在引进和运用上级审计机关推广的通用审计软件的同时,更要注重结合各地的审计实践,开发出具有行业特点和地方特色的小软件。以通用性和适用性为原则,由最初的利用通用审计软件进行简单的查询和统计分析,向建立具体业务审计模型方向发展,形成较为固定的计算机审计模型,注意满足不同审计对象的相同审计项目的需要,方便不同类型数据的采集、转换与分析,避免资源浪费。
5.加强培训,建设一支适应时代需要的审计队伍。对审计人员素质的提高,要结合实际,因地制宜,分层进行。要经过培训使一线审计人员计算机审计能够分析建模,制订方案,建立审计模型;能够采集数据,下载数据,整理数据;转换数据和分析数据;最后要形成审计结果。
6.科学规划,循序渐进。要按照标准化、规范化、科学化的要求,加强网络硬件的配置。本着“先易后难,先急后缓”的原则。在软件的开发与应用上,要围绕审计项目的实际需要,积极探索适用对路的小软件,逐步建立功能配套、数据完备、操作简便的计算机审计系统。工作中要克服各自为政的状况,积极推行市场化运作模式,避免重复浪费。为此,审计机关的主要领导要经常研究计算机审计方面的问题,加大管理力度,进一步加强目标考核,将计算机审计的推广与应用作为一项硬指标落实到每个审计干部身上,引入奖惩激励机制,形成计算机审计良性发展的态势。
参考文献:
[1]孙伟峰:会计电算化信息系统的特点及其对审计的影响[J];会计之友;2004年04期;70--71
[2]严永斌:我国计算机审计现状及建议[J];会计之友;2006年03期;59--61
[3]张文婧:改进审计业务管理的思考[J];审计与经济研究;2007年03期;41--43
一、文献分类及统计结果
迄今为止,只有少数几位学者对我国计算机审计研究加以回顾。陈伟等(2007)结合国内外的研究,对计算机辅助审计技术(GAATs)进行了总结性回顾,探讨了GAATs的概念和分类,详细分析了GAATs的两类技术,即面向系统的七种GAATs,和面向数据的五种GAATs,并对GAATs研究发展进行了展望。李青春(2011)对计算机审计进行了文献综述,从计算机审计研究变迁的视角出发,探索了其五个发展阶段,并对计算机审计理论体系、核心动力与制约因素,研究者的敏感度、心态变化与用词倾向进行了回顾,认为目前计算机审计研究正处于一种平台期,需要进行理论和实务的突破。刘国瑶(2011)从国外信息系统审计理论的发展,基础理论研究,基本概念研究,应用研究四个方面进行了梳理和简短评述。现有的文献综述主要问题是研究所选取的文献范围比较狭窄,选取标准“有代表性文献”比较模糊,没有对研究内容进行综述,这些不足为本文的研究提供了契机。
本文基于中国期刊全文数据库(CNKI),对1983年~2011年有关计算机审计研究的文献进行了回顾分析,所选取的时间范围设定为“1980~2011”,期刊设定为“核心期刊”,以“计算机审计”、“电算化审计”、“计算机辅助审计”、“信息系统审计”、“IT审计”对“题名”进行“模糊”搜素,然后对搜索结果进行了分类合并,最终根据182篇文献的内容加以分类统计。把对计算机审计的研究分为基本理论问题研究,计算机审计技术应用研究,计算机审计风险问题,计算机审计发展与其他方面的研究四个方面,然后对每一方面再按不同的主题进行细分,进一步分为计算机审计基础理论研究,制度准则问题,计算机技术应用,内容与方法,案例应用研究,风险问题探讨,发展问题研究,人才培养问题,研究综述,其他等十个方面。接着采用归纳法对取得的文献样本进行分类统计,最终得到的统计结果如图1所示。
二、基本理论问题研究
(一)基础理论 基础理论研究集中在计算机审计基础理论和信息系统审计基础理论两个方面,由于信息系统审计发展较快,重要性也快速提高,所以必须从计算机审计中分离出来单独加以研究,统计显示,近10年来对信息系统审计理论的研究比较丰富。关于计算机审计的基本理论,张金城(1995)认为计算机审计的理论体系应由理论基础(哲学,审计学,系统论、信息论、控制论和行为科学,计算机科学,数学等五大学科理论),基本理论(涵义,内容,意义等),实务理论(电算化信息系统审计实务理论,计算机辅助审计实务理论)组成。唐飞兵(2007)借鉴传统审计理论的基本原理,构建了计算机审计理论结构框架,即以审计环境和审计本质作为研究的逻辑起点,利用审计理论基础知识体系,通过审计的本质和特定的审计环境相互作用和互动形成审计目标,并以审计假设为前提,演绎出审计概念和审计原则。关于信息系统审计理论,周剑(2001)从“审计学”的概念出发,探讨了信息系统审计独特的审计职能、对象、方法、标准和证据等问题,建立了企业信息系统审计的基本理论框架。唐志豪(2007)借鉴蔡春教授提出的审计理论结构,从审计的本质出发构建审计理论结构体系,提出了信息系统审计理论结构六要素模型(本质、假设、目标、规范、信息和控制)。谢岳山(2009)提出了信息系统审计的审计目标及审计内容,在此基础上从审计理论基础、审计标准、实践环境、审计方法以及审计工具等多方面提出了联网环境下信息系统审计模型。根据该模型,着重分析信息系统审计的具体内容,提出了相应信息系统的审计内容框架,将审计内容划分为内控审计和系统本身审计两个方面。并从物理层次的审计以及逻辑层次的审计详细描述了系统本身审计的内容。王振武、张子瑾(2011)探讨了信息系统审计理论的结构框架,认为该框架应由信息系统审计基本理论和应用理论构成,并特别指出,信息系统审计环境和信息系统审计本质应是理论结构的最高层次,理论研究的逻辑起点,并起着统驭整个信息系统审计理论结构的导向作用。
(二)准则、规范研究 理论是实践的基础,而准则为实践提供了基本的指导。对准则的研究也分为计算机审计和信息系统审计两个方面的内容。关于计算机审计准则,张德山等(1991)初步探讨了计算机审计工作的规范问题。张金城(1997)首先探讨了加强计算机辅助审计制度建设的意义,然后提出了计算机辅助审计制度建设应遵循的原则,主要包括合法性,针对性,可行性,监控性和借鉴国外相关制度,并从微观和宏观两个方面系统讨论了计算机辅助审计制度应包括的基本内容。刘中华(1998)根据国际审计准则15《电子数据处理环境下的审计》第3条和第9条详细阐述了电子数据处理环境下内部控制的内容,并对此进行了研究与评价。我国的信息系统审计研究起步较晚,讨论一般也是借鉴ISACA的信息系统审计准则展开讨论。陈婉玲等(2006)对ISACA的信息系统审计准则及发展进行了简要介绍,在此基础上,主要借鉴了ISACA信息系统审计准则的体系,内容和制定方式等,提出了制定出适合我国国情的信息系统审计准则的一些建议。马良渝等(2007)辨析了ISA准则体系中标准、指南和程序三个层次的结构关系及标准与指南之间的交叉关系。李汉文等(2010)借鉴了制度经济学的有关原理,在介绍国内外信息系统审计相关规范的基础上,对我国信息系统审计规范供给的非均衡状态进行了分析,认为我国应整合信息系统审计准则制定资源,以便推进我国信息系统审计规范制定进程。刘杰等(2011)探讨了我国信息系统审计规范制定路径依赖的基础,分析了当前我国信息系统审计规范制定的困境,并提出打破现有路径依赖的途径。
三、计算机审计技术应用研究
(一)计算机审计技术研究 对全部182篇文献进行翻阅,手工收集整理论文所涉及的课题研究,发现共有20个课题,其中与计算机审计技术相关的课题13项(4项是国家级),可见国家对计算机审计技术研究的重视,也说明计算机审计技术研究的难度非同一般。对计算机审计技术的研究大致分为计算机技术在审计中的运用和模型构建两个方面,前者对计算机知识的要求相对要高。关于计算机技术在审计中的运用,杨小虎等(2000)探讨了数据仓库技术在计算机审计中的应用。万建国等(2000)分析了计算机审计软件需求分析常用的方法、技术和工具。孙兴国等(2000)讨论了开放数据库互联技术 (Open Database Connectivity)在计算机审计中的应用。张进等(2004)分析了数据清理在电子数据采集中的重要性,在阐述数据清理原理的基础上,研究了解决电子数据采集中常见问题的数据清理方法,并指出了电子数据采集中数据清理的研究方向。文巨峰等(2005)提出了一种基于计算机审计的多Agent系统体系架构,分析了该结构中各子系统的组成及各Agent的功能特点。并介绍了该系统中移动审计Agent和移动Agent服务器设计实现。汪加才等(2006)给出了一个基于移动数据挖掘服务的计算机审计框架模型。何玉洁等(2006)讨论了SQL 查询和OLAP 分析这两种技术在实际审计中的应用成果,展示了它们在计算机审计实践中的特性和前景。米天胜等(2006)分析了计算机审计的一般流程,指出审计数据的采集和采集后数据的清洗、集成、转换是与审计数据质量息息相关的关键环节。在对多种数据质量问题进行了详细分析和分类的基础上,提出了提高审计数据质量的一般处理方法和可实现的技术。黄永平(2006)探讨了孤立点分析方法在计算机审计中的应用。叶焕倬等(2010)为解决计算机审计数据采集中存在的大量字段匹配问题,提出了基于智能匹配的数据采集技术。关于模型构建方面,黄作明等(2000)对审计模式进行了一些归纳和探讨,并提出了几点发展方向。来明敏等(2004)探讨了四种计算机审计模式,即绕过,穿过,利用,在线实时(网络)计算机审计模式。文巨峰等(2004)在综合分析现有计算机审计软件系统基础上,指出网络环境下的计算机审计系统模型应该具有的特点要求,并依此提出了基于移动Agent的分布式审计系统模型。廖志芳等(2006)在深入调研众多被审计单位信息化环境及数据分布特征的基础上,提出了三种符合我国联网审计实际的新型联网审计组网模式,即集中式、分布式和点到点式组网模式,同时利用集中式海关联网审计组网模式对各组网模式的基本组成要素、需解决的关键问题及技术实现进行了较深入阐述。陈大峰等(2009)根据P2P技术下的计算机协同审计的特点,构建了P2P技术下的计算机协同审计模型。唐志豪等(2010)从目标、内容和流程三个维度建立起信息系统审计的业务模型。
(二)计算机审计内容与方法 对于计算机审计内容,学者从不同的角度进行了讨论,杜越强(2004)探讨了计算机审计中的四大内容,即对信息系统输入的审计,对数据库的审计,对网络系统的审计,对信息系统输出的审计。张福蕊(2004)探讨计算机网络环境下会计信息系统审计的内容(硬件,控制事项,处理事项,数据,安全事项)。吴沁红(2008)从信息系统构成要素、信息系统生命周期和信息系统管理三个维度入手,综合分析了信息系统的逻辑结构,构造了信息系统审计内容的基本框架,并对信息系统审计的内容与审计目标进行了阐述。对于计算机审计的方法,李光凤(2001)讨论了对会计电算化系统应用程序的七种审计方法,包括检测数据法,整体检测法,程序编码比较法,受控处理法,平行模拟法,嵌入审计程序法,追踪法。杨莉(2002)探讨了实施信息系统审计的主要方法(加强联网建设,改变审计方式,采用矩阵审计模式等)。罗莉、张亚连(2005)分析了在不同的计算机信息系统建立方法下(应用软件外包法,资源外包法,最终用户开发法),如何进行内部审计和外部审计的分工协作,从而保证信息系统的效率性,安全性,合法性。
(三)案例应用研究 对案例应用研究探讨的多数文献主要是审计署各特派办的人员所发。大量的文献集中在《中国审计》刊物上,这与我国1998年筹划,2002年10月底正式展开的金审工程有关,作为金审工程的主力推动者,审计署特派办人员根据长期的实际工作经验,对相关案例进行整理分析并撰文总结,得出了相应的研究成果。案例应用主要集中在公司和业务两个方面。对具体公司进行计算机审计探讨的有,刘世新等(2002)探讨了商业银行信息化与计算机审计的相关问题。邝作等(2002)对银行业,刘欢(2002)对行政事业单位,蔡峰(2003)对海关等审计中计算机审计案例进行了分析。欧洁等(2004)探讨了证券公司信息系统审计的关键技术。张德勇(2006)利用业务跟踪法对某航空公司进行了信息系统审计,并成功发现了该航空公司使用的收入结算系统中存在非法的销售暗扣处理模块。石勇等(2010)探讨了网络环境下的政府信息系统审计。关于业务方面,张蓉(2002)对金融,郭海鹏(2003)对再贴现业务,李向前等(2003)对税收,全宝(2003)对中央预算执行情况,李娟(2004)对水利建设资金,谭继舜(2004)对商业银行电子系统,史达等(2005)对电子政务,袁章军(2005)对失业保险金发放 ,周廉东等(2011)对城市供水等进行了计算机审计案例分析。张鹏等(2006)论述了信息系统审计在电子政务中应用的必要性和紧迫性,提出了一种电子政务中信息系统审计框架,以控制电子政务信息系统建设和改造项目的建设风险,并为改善和健全对电子政务信息系统的控制提出详细建议。吕成戍等(2007)探讨了电子政务信息系统审计的发起形式、审计责任书的内容与签订、审计工作的实施过程等基本问题。
四、计算机审计风险问题分析
(一)计算机审计的成因、防范与控制 马万民(1999)针对计算机会计信息系统的特点,分析了审计工作中可能会遇到的五种风险(系统风险,错误的连续性风险,人员操作风险,管理风险,环境风险),并对如何有效防范会计信息系统的审计风险进行了探讨。蒋家斌(2001)、曾俊等(2002)、王奇杰(2004)探讨了计算机审计的几种风险(审计软件、人员操作、财务数据、管理、固有风险、控制风险、检查风险)与防范措施(加强人员培训、内部控制审计等)。黄作明(2003)分析了远程计算机审计的风险,并提出了远程计算机审计的风险防范与控制措施。冯淑霞(2006)对计算机审计风险的形成原因做了具体分析,并从审计数据,审计方法与技术,审计方式、被审单位、评述机制等方面提出了控制计算机审计风险的对策。史振生(2008)基于外部监管及信息系统审计视角,探讨了会计信息系统建设中的风险控制与防范措施。
(二)风险量化问题 黄冰等(2007)在科学地分析影响计算机审计风险的主要因素的基础上,建立了计算机审计风险综合评价指标体系,并且将定性指标定量化,进而利用层次分析法确定评价指标的权重。然后,利用模糊数学的方法,建立计算机审计风险的多层次模糊综合评价模型。王万军(2008)提出了一种基于信息系统安全定量评分体系的审计决策模型,这为信息系统审计师在审计时采取何种审计策略提供了参考。丁建平(2009)提出了信息系统审计的CIA风险评估方法和评估模型,并探讨了CIA风险评估商业银行中的应用。
(三)风险理论 胡晓明(2007)探讨了风险导向的信息系统审计,并提出了强化信息系统审计理论,建立完善信息系统审计各项规则,充分利用先进,有效的信息系统审计技术,积极培养信息系统审计领军人才等四点关于风险导向信息系统审计的发展思路。刘国城、王会金(2011)在研究中观审计、信息系统审计、审计风险、风险管理四要素的基础上,对中观信息系统审计风险管理理论进行了梳理,并以信息安全管理为视角,借鉴国外BS7799标准、COBIT模型、通用准则CC、ITIL标准,初步构建了中观信息系统审计风险管理框架,该框架以重大错报风险为切入点,深入探索了中观信息系统审计风险管理的施行思路。
五、计算机审计发展研究
(一)发展问题 张金城(2000)提出了理论研究与实践并重、事前审计与事后审计相结合,由绕过计算机审计发展为以通过计算机审计为主,由查账型软件向分析型和专家系统方向发展,通用审计软件与专用审计软件并存等21世纪中国计算机审计的十大发展方向。于向辉等(2004)分析了我国计算机审计发展落后的法规建设滞后,软件市场不够完善等原因,提出了加快法规建设,发展审计专业软件公司,培养电算化审计人才的发展策略。胡晓明(2005)针对信息系统审计理论研究空白,审计技术落后,制度不完备,审计人才奇缺等现状,探讨了加强信息系统审计理论研究,开发实用高效的信息系统审计软件,改进信息系统审计软件评审机制,完善信息系统审计标准于准则,加大信息系统审计人才的培养力度等五大发展战略。
(二)人才培养探讨 傅元略(1998)探讨了审计人员如何提高计算机审计技能的策略,需要掌握的几种基本技能。李丹(2001)建议了如何利用国际资源建立信息系统审计人才队伍。史振生(2002)介绍了注册信息系统审计师的需求情况,考试内容和应试对策。彭建平(2005)比较深入地分析了如何进行计算机审计人才资源管理的问题。包括计算机审计机构职能定位,计算机审计处人员结构,如何引进IT人才和培养复合型人才,如何为计算机审计人才创建发展平台等。赵辉(2006)探讨了审计部门的计算机人才状况,提出了如何加强管理和培训、提升审计人员能力的若干建议。王海洪(2009)提出了高校应推进实践教学,建设以计算机审计为主要手段的审计实验室,为社会输送高水平的计算机审计人才的建议。
(三)其他方面 高浩玮(2002)针对审计过程各阶段质量质量控制的要点,指出了计算机审计下项目质量控制的难点并提出了解决对策。张倩(2005)论述了信息系统审计在IT治理中的作用、信息系统审计师和审计构架等问题。陈峰(2006)对计算机审计方式下数据分析报告的作用和必要性,基本框架,文档结构,要素内容等进行了详细探讨。
本文基于中国期刊全文数据库,对1983年~2011年发表在核心期刊上的有关计算机审计研究的文献进行回顾分析。我国有关计算机审计研究涉及面比较广泛,包括基础理论与制度问题研究、计算机审计技术与实务应用研究、计算机审计风险问题研究、计算机审计发展问题、人才培养研究等诸多方面,但也存在着对计算机审计基础理论研究不足之缺陷。伴随着计算机审计在我国的逐步应用,关于计算机审计的基础理论必须进一步加强。比如与哲学,行为科学理论、数学等相关的计算机审计基础理论研究还是一片空白,这些基础理论研究的缺失将会掣肘计算机审计理论与实务的研究。理论与实践需要紧密结合,双方形成良性互动才会有力促进学科发展。目前,在案例应用研究的文献尽管比较多,但研究内容不深入,一般都是审计署特派办人员发表的经验总结,而理论工作者又缺少深入实地研究的条件,导致案例应用研究力量非常薄弱,今后在这方面仍需要大力加强。随着信息系统的复杂化,其功能也越来越强大,但其脆弱的一面也越来越明显,计算机审计风险逐步加大,如何防范和规避风险也是以后研究的重点之一。计算机审计人才的培养是审计信息化事业的成败关键,加强这方面的探索将会对计算机审计发展有重大的战略意义。
【关键词】联网审计;分析;技术要点
当前世界各国的联网审计的发展情况不同,其应用的测量方法和手段也不同。近年来我国联网审计技术和审计模型的开发已经走在世界前列,但在基层联网审计工作中仍存在着很多问题,专业的联网审计人员的综合素质有待提高,需要对联网审计的技术要点进行全面的掌握。针对突出问题采取必要的解决措施,不断促进联网审计的健康发展。
一、结合当前联网审计发展情况探讨制约联网审计发展的因素
1.联网审计的成本
通过对当前联网审计发展情况进行了解,发现在基层联网审计过程中,存在着成本管理问题,成本管理问题是联网审计需要考虑的重要问题。对于基层联网审计而言,其属于一个比较复杂的系统工程,一般联网审计成本管理包括显性成本管理、隐性成本管理等方面。通过相关统计和预算,结果表明以地税、社会保障为重点的联网审计,其建设成本比较昂贵,一般在百万元以上,对于市、县级城市的审计机关而言,是比较难接受的。
2.专业审计人员的计算机技术
在当前联网审计发展过程中,离不开计算机技术,联网审计工作是一项集合了计算机技术和审计业务的工作。对于审计人员而言,需要不断的更新知识,不断提高会计、财务等专业方面的知识,另外还要提高计算机基础知识和技术,加强对计算机软硬件的了解。
3.被审单位的配合
对于任何一个单位而言,其愿意与审计部门联网并接受全天的监督是需要勇气的,对于很多审计单位而言,其不愿意与审计局进行联网审计,主要考虑两个方面的因素:财务数据泄露问题、“敏感数据”的泄漏问题。在实际的联网审计过程中,出现被审计单位拒绝的现象,拒绝的主要原因是担心泄漏财务数据、资料等。
二、结合目前联网审计发展情况采取有效的联网审计技术要点
1.审计业务网组技术
在审计人员对基层被审计单位进行远程终端查询时,需要利用基层被审计单位的信息化管理系统,并根据实际情况进入基层被审计单位信息化管理系统,在使用的过程中,会占用相应的系统资源,其将对基层被审计单位的正常作业产生一定的影响。在远程网络审计过程中,在网络宽带不足的情况下,审计业务网组技术具有重要的作用和应用价值,网组技术包括:PSTN电话拨号、ISDN电话拨号、利用被审计单位楼宇内现有局域网资源组审计网络等。
2.被审计单位数据采集技术
结合当前的联网审计发展情况,数据采集技术是必要的。审计机关在实际基层使用被审计单位月备份、年备份等数据的过程中,需要通过信息系统进行采集,为了提高审计系统的处理能力和处理效率,需要应用被审计单位数据采集技术。被审计单位数据采集技术包括:设置前置机、PC服务器的群集、前置机审计模型等。
3.联网审计的安全技术
联网审计的安全技术主要包括四大方面,即数据采集安全、数据传输安全、数据存储安全、安全制度管理。其中注意数据采集的安全,禁止出现审计人员直接操作审计单位数据库的现象,如果基层审计单位在进行审计前置机迁移数据时,需要采取有效的隔离措施,将在一定程度上防止审计人员直接进入被信息系统。还要注意数据传输的安全问题,在局域网的情况下进行现场网络审计,需要被审计单位注意数据传输的安全问题。通常由平台解决数据传输安全问题,进入楼宇后的安全问题需要审计机进行重点关注。
另外要注意数据存储安全问题,审计机关的重要资产是大量的数据,需要运用计算机技术对数据存储安全采用必要的措施。对联网审计存储安全需要采用必要的措施,主要包括:进行经济合理的备份、对数据进行适度的恢复、避免出现误删除现象。最后要注意联网审计的安全管理,根据基层审计单位的实际情况,建立完善的机房管理系统,对终端机使用权限审批、数据备份等进行全面的规定,加强对数据存储的监控和日志管理。
三、结语
随着我国经济改革的不断深入,我国的联网审计得到了快速的发展,联网审计技术得到不断的更新和应用。通过对我国近年来联网审计发展的实际情况进行调查,发现我国的联网审计存在着一定的问题,包括:联网审计的管理存在混乱的现象、联网审计工作的重视程度较低等,面对这样的问题,需要采用及时、有效的措施予以解决,从而促进联网审计的良好发展。
参考文献:
[1]陈增强,杜升之,王敞,孙青林,袁著祉.核酸序列数据库上的联机分析处理[A].2003中国控制与决策学术年会论文集[C],2003
[2]江汉石油管理局审计处内部审计质量控制课题组.浅谈审计日记制度在审计项目质量控制中的作用[A].全国内部审计质量控制理论研讨暨经验交流论文汇编[C],2004
[3]赵华光,马日波.内部审计质量的影响因素与控制[A].全国内部审计质量控制理论研讨暨经验交流论文汇编[C],2004
信息系统审计的发展 历史
信息系统审计是对被审计对象所采用的 计算 机化的信息系统的安全性、可靠性进行了解、测试与评价,并对信息系统对财务报告的 影响 做出判断或单独提出信息系统审计报告的过程。对信息系统审计发展历史的了解,应该从 企业 信息化的发展和审计本身的发展两个方面考察,以了解信息系统审计发展的必然趋势。
(一)信息系统审计是企业信息化发展的必然要求
1、手工处理
企业内部的信息处理最初是以手工处理的方式进行的。一个企业的 会计 部门,通过不同岗位之间的分工协作,将企业在日常经营活动中产生的财务资料进行加工处理,形成企业内部和外部需要的各种会计信息。这种手工系统的特点是以人为处理工具和以纸张为信息的载体。在这种情况下的审计方式毫无疑问是手工的形式,审计的对象也是人和纸质文档。
2、部分计算机处理
随着计算机的普及尤其是微型计算机价格的大众化,一些企业开始用计算机来处理部分会计资料。如:企业内部自行开发的工资管理程序、固定资产管理程序等,逐步用机器来代替了部分的人工劳动。这是上个世纪80年代末期和90年代初期的一种景象。这时,由于有 电子 数据的存在,已经为电子数据处理审计提供了可能。但由于计算机处理的范围还比较小,审计人员完全可以忽略计算机的存在,直接对打印出来的纸质文档进行审计。
3、会计系统全面计算机化
20世纪90年代中期以后,会计电算化工作在我国得到大规模的普及,企业的会计信息系统已经全面实现计算机化。这时的审计人员已经开始意识到计算机审计的重要性,但这时人们对计算机审计的认识还停留在对电子数据的采集和 分析 阶段,计算机系统的控制问题还未得到应有的重视。
4、企业信息系统的集成化
20世纪90年代后期至今,会计电算化已逐步走向成熟,而企业的信息化建设并没有就此停止,以ERP为代表的企业信息系统的高度集成逐渐开始兴起。这时的企业信息系统不仅仅是一个个孤立的系统,而是集财务、人事、供销、生产为一体的综合性的系统,财务信息只是这个系统所处理信息的一部分,单独的财务系统已不存在。而这时的审计人员只有对整个系统全面了解,才能把握审计对象的总体情况。
从企业信息化的发展历史可以看出,由于审计人员所面临的审计对象的不断变化,促使审计的方式随之改变,信息系统审计也就在这种历史背景下应运而生。
(二)信息系统审计是审计 理论 与技术发展的必然结果
随着审计理论与技术的发展,审计模式经历了详细审计、系统基础审计和风险基础审计三个阶段。 现代 审计十分强调对系统控制的依赖。它的基本观点是:设计上合理并且得到执行的控制制度是我们相信财务信息的重要依据。对于控制得好的领域,我们分配较少的审计资源;控制较弱的领域,分配较多的审计资源;如果控制不可依赖,我们则跳过控制测试环节,直接对账户余额和交易发生额进行测试。
在会计信息手工处理的环境下,系统的控制也是由人工完成的,对系统控制的了解和测试也可以由普通审计人员运用一般的财务审计知识来完成。由于计算机化的信息系统的介入,信息系统的控制越来越多地由计算机来完成,ERP的实现甚至改变了手工环境下的管理方式及业务流程,一般的财务审计知识已无法满足对系统和系统控制进行了解及测试的需要。而由于计算机信息系统的运用,使得审计人员对系统控制更加依赖,直接对如此庞大的数据量进行审计已经是不可想象的。信息系统审计因此也从财务审计的一个可以省略的环节成为不可缺少的工作 内容 ,甚至可以独立作为一项审计的任务。
(三)信息系统审计的 发展
从 企业 信息化及审计 理论 与技术两条发展轨迹来看我们可以得出这样的结论:信息系统审计是审计技术与信息技术共同发展的必然产物。
随着信息系统审计的发展,导致了这方面专业组织的产生。“信息系统审计与控制协会ISACA”,1969年在美国成立。从1978年开始,该协会推出“注册信息系统审计师CISA”的 考试 与资格认证,在全世界范围内得到广泛的认可,成为信息系统审计发展的重要标志。
开展信息系统审计的紧迫性
由于我们国家的信息系统审计工作尚未完全开展起来,一些 计算 机审计的探索与尝试还局限在 电子 数据的采集与处理领域,对信息系统的安全与控制的 问题 还没有充分的认识。从逻辑上讲,对系统的依赖是 现代 审计的基本策略,如果被审计对象全面采用计算机化的信息系统,而审计人员又没有对信息系统进行了解和审计,那么这种审计得出结论的可靠性就要受到质疑。整个审计行业,包括政府审计、注册 会计 师审计与内部审计在这方面所面临的问题日益严峻,已经危及到了审计行业的生存。“不搞计算机审计,我们就会失去审计的资格”已经逐渐成为审计业界的共识。
我国信息系统审计面临的问题
(一)审计观念的转变
观念问题也就是认识问题。如果不转换审计观念,将审计的目标局限为查错纠弊,势必将信息系统审计与当前中心工作对立起来。把审计仅仅理解为“查账”,则对信息系统审计的理解也只能停留在计算机辅助审计或辅助审计软件开发及 应用 的层次上。只有全面树立系统基础审计或风险基础审计的观念,才能理解信息系统审计的重要意义。审计中发现的很多错弊,由于都是管理上出了漏洞,也就是系统出了问题。一个管理完善的、控制良好的系统,应该能够防止、发现或纠正自身存在的问题。审计的任务就是帮助被审计者建立、健全这种机制,而不应该是代替被审计者去履行他们的“管理责任”或“会计责任”。
(二)信息系统审计的专业人才
开展信息系统审计需要一批既掌握现代审计理论与实务又了解计算机技术的复合型知识结构的专业人才, 目前 审计署干部培训中心开展的注册信息系统审计师培养及与之相关的在审计人员中进行计算机知识的培训工作,正是为了适应这一现实需要。但从目前的人员数量和知识结构上看,还远远达不到要求。
(三)行业标准与实务指南
信息系统审计发展到一定阶段,必须由行业组织出面将实践经验加以 总结 ,并把有关概念、工作流程和技术 方法 固定、统一起来,形成行业的标准和规范。这将是信息系统审计进一步发展的基础。这也是所有行业发展的共同 规律 。没有标准和规范,所有的实践活动只能局限在低水平上重复。
信息系统审计的未来发展前景
未来审计技术发展的动力来自于信息系统审计的发展。这是国外审计界的一个共识。许多大型会计公司在信息技术领域投入很大的资源也正是由于他们看到了这一点。
【关键词】计算机审计 问题及对策 审计软件
一、计算机审计的内涵与基本特征
(一)计算机审计的内涵
对计算机管理的电子数据进行审计。随着会计电算化等的普及和管理信息系统的发展,原来由账簿记录的财务数据,现在已经越来越多地 改用计算机来处理:数据存储介质也由纸质账本加文字转为数码形式,对用计算机管理的财政、财务等电子数据进行审计,核实经济活动记录的正确性,这就涉及到对各类信息系统管理的电子数据的审核。这是在信息化条件下,原来的审计业务在新形势下的载体变革后,传统审计手段必须进行的改革和延伸,否则审计人员将面临无账可查的被动局面。
(二)计算机审计的基本特征
1.电子证据具有无形性和高科技性。从一定意义上说,电子证据是按编码规则处理成的"0"和"1"的数据信息,需要依靠磁性或光电介质作为载体,具有无形性和高科技性。电子证据的无形性体现在,其形成和表现离不开某些介质,并借此存储为磁信息和光信息等。电子证据的无形性使其易被篡改和删除等,影响其完整性和真实性。
2.电子证据具有脆弱性。电子证据存储为磁信息、光信息,人为篡改或变造很难被发现。再加上存在难以预测和避免的事件(如系统瘫痪等),易导致电子证据的灭失或失实。特别是现如今,企事业单位、会计及审计领域都与计算机打交道,尽管恢复被删改资料的技术不断进步,但电子证据一旦遭到破坏,造成的后果往往比较严重。
3.电子数据生成的自动性和精密性。人工录入初始数据,计算机系统会利用相关软件完成后续的运算、处理,自动生成所需结果。由于运用的软件由专业机构科学设计,此过程若没有意外或人为恶意干扰,电子数据则具有较强的客观性和精密性,发生差错的可能性较其他证据类型要小得多。
4.电子证据具有多样性。传统的证据表现形式比较单调,而电子证据充分利用文字、图像和声音等多种形式存储, 并可以"多媒体"形式来展现,这是以往证据所望尘莫及的。由于其借助具有集成性、交互性、实时性的计算机及其网络系统,极大地改变了证据的运作方式。这种将多类表现形式融为一体的特点是电子证据所特有的。
(三)计算机审计的必然性
计算机审计是传统审计向现代审计转型的重要标志之一。(1)推进计算机审计是实现审计工作科学化的重要举措。 当前,我国的审计事业正处于传统审计向现代审计发展的技术转型期和战略机遇期,信息化建设是我们提高审计效率,改善审计手段,提高审计质量,降低审计成本的一个重要途径。审计信息化建设不仅仅是个方法、手段问题,而且是关系到审计事业发展的问题。(2)推进计算机审计是现代审计的必然选择。 首先,计算机审计突出了审计重点,丰富了审计手段。 运用计算机的自动筛选、汇总、分析等功能,改变过去手工逐笔分析的做法,使审计思路更为清晰,重点更为突出,发现重大违纪违规问题线索更为可靠。 同时,利用计算机快速、准确的特点,使得全面审计成为可能。其次,计算机审计拓展了审计空间,提高了审计效率。(3)推进计算机审计是提高审计质量和审计时效的重要手段。 现代计算机技术使我们可以充分利用软件系统提供的操作权限控制功能,并在各审计环节设置质量控制点,实行适时监控,从而有利于审计质量的跟踪检查,同时也使得审计质量的控制更加实时有效。
二、我国计算机审计实施中存在的主要问题
(一)审计软件应用水平的局限
审计软件是目前应用最为广泛的计算机辅助审计工具,一般分为两种:一种是通用审计软件,它是一组能够帮助审计人员获取、计算和分析电算化记录的程序,通常适用于多种审计工作,目前应用比较广泛的审计软件有用友审易、中审审易、鼎鑫诺、审计之星等;另一种是专用审计软件,其主要功能是为了完成某些特定的审计任务,如公路收费审计软件、工会经费审计软件、计算机审计抽样软件等。审计软件的使用改变了传统审计人海战术的工作模式,使从事审计工作的人员相对减少,而审计工作效率显著提高,从而降低了审计成本。但是,现代风险导向的审计毕竟是一个复杂的系统工程,而目前国内不管是通用审计软件还是专用审计软件,其主要功能是对保存在磁性介质或光介质上的数据文件进行查询、抽样、复核和核对等,由于其功能的制约,单纯依靠审计软件不能完全替代审计人员的职业判断,主要表现在两个方面。
1.会计信息化的概念 在国内外信息化大潮推动下,我国财务软件行业自1999年4月起开始研讨和采用“会计信息化”;这一新概念。它被有关专家称之为“会计发展史上的又一次革命”;。根据谢诗芬教授的定义,会计信息化就是利用现代信息技术(计算机、网络和通讯等),对传统会计模式进行重构,并在重构的现代会计模式上通过深化开发和广泛利用会计信息资源,建立技术与会计高度融合的、开放的现代会计信息系统,以提高会计信息在优化资源配置中的有用性,促进经济发展和社会进步的过程。会计信息化不仅是信息技术运用于会计上的变革,而且更代表了一种与现代信息技术环境相适应的新的会计思想。
2.会计信息化审计的概念 审计和会计所面临的巨变环境的一致性,尤其是审计和会计关系的血缘性,使会计的每一次基于环境变化的重大变革都将直接导致审计的重大变革。传统手工会计对应的是手工作业审计及手工作业审计技术,20世纪50年代后的计算机信息系统(我国称之为会计电算化)产生的是计算机信息系统审计(国际审计准则称之为电子数据处理环境下的审计,我国称之为会计电算化审计) 及计算机辅助审计技术(包括测试数据技术、通用审计软件和专用审计软件,国际审计准则简称为GAATS)。毋庸置疑,会计信息化必将导致会计信息化审计及会计信息化审计技术。那么什么是会计信息化审计呢? 会计信息化审计是利用计算机、网络和通讯等现代信息技术,对传统会计审计模式进行重构,并在重构的现代审计模式上,通过评价控制会计信息化信息系统,深化开发和广泛利用审计对象,建立技术与审计高度融合的、开放的现代审计监督服务体系,并力求提高审计在优化资源配置中的有用性,促进经济发展和社会进步。会计信息化审计以会计信息系统的安全性、可靠性和有效性作为审计目标。
二、会计信息化审计的特征
1.会计信息化审计系统具有极强的适应性 会计信息化审计系统是与企业内外信息系统有机整合的、高度实时化的信息系统,它具有极强的适应性。会计信息化系统的多元、实时、开放性使会计信息化审计系统也具有相同的特征,实时审计、会计责任审计、环境审计、境外审计等都将因此而变得更加容易。
2.会计信息化审计将对传统审计进行重整 尽管“两权分离的程度决定了审计主体的种类和被审计单位的形式”;, “审计效率和审计风险的矛盾决定了审计程序和方法的历史变迁”;,但如果所有的计算机信息系统只限于会计电算化信息系统的水平,那么提供的信息会单一、过时和封闭。正是信息量极大丰富的会计信息化系统和全新的会计信息化审计理论,支持了集权或分权的管理模式,有效解决了审计效率和审计风险之间的矛盾,从而支持了已有的和将有的多样繁杂的具体业务。
3.现代信息技术对审计模式重构具有主观能动性 现代信息技术不再只是审计模式外部的挑战者和奴隶,它已成为审计模式内部的决策者和执行者。它不但像其他环境因素一样对审计模式变革提出了许多必要性,而且还逐一提供了可能性。仅以独立审计为例,国际最新动态显示,功能强大的会计信息化审计系统尽可能完美地执行和提供各类审计业务和非审计业务,从以注册会计师独立性和专业性为基础的保证服务到以注册会计势,注册会计师能够在环境审计领域发挥重要作用。同时环境标准的确立,环境影响的评价,环境污染的控制等,均须建立在环境科学和工程技术的基础上,因而环境专家、技术人员参与的环境审计,才能使环境审计依据的科学技术含量值增高,提高审计的准确性。
三、会计信息化审计面临的问题
1.审计线索具有很强的隐蔽性 会计信息化审计是随着会计电算化的发展而产生的,利用计算机技术进下行的审计。在过去的手工会计核算系统中,从原始凭证到记账凭证,从登账到报表编制,每一步都有文字记载和经办人员签名,审计线索比较清晰。而在会计信息化系统中,由于数据存储介质的磁性化和数据处理过程的自动化,业务数据进人计算机系统之后,由计算机按程序自动生成会计报表,即使有篡改也不会留有痕迹,比起手工系统来,信息化系统中的审计线索更隐蔽、更容易引发经济犯罪。
2.会计信息化审计技术的研究与应用尚处于探索阶段 重构后的会计信息系统有其固有的特点和风险,这就使得传统审计技术难以全面对会计信息化信息系统实施审计,开展会计信息化审计业务,必须应用信息系统审计技术。在会计信息化审计过程中,只有针对具体的审计目标,选择恰当可行的审计技术,才能切实有效地执行审计。国外在这方面已进行过多年的研究,开发出多种信息系统审计技术.并且已经应用于审计工作中,而我国目前对信息系统审计技术的研究与应用尚处于探索阶段,没有一套成熟的信息系统审计技术及其实践基础,这在一定程度上影响了我国会计信息化审计工作的展开。
3.会计软件缺乏权威的可审计认证 随着计算机技术的发展,会计软件层出不穷,摆在审计人员面前的是该软件是否具有可审计性的问题。审计人员对内部控制制度和数据文件审计的同时,很难对应用系统及软件的开发进行 —审计。曾有人尝试让审计 人员参与会计软件的系统 开发,但事实证明这一做 法是流于表面的形式,不 仅不能达到目的,还增加 了审计人员的劳动量。 4.审计人员的素质没有 完全达到要求 众所周之,在手工系 统中,审计人员凭借自己 的经验、专业知识,结合 运用各种审查的方法,就 可以达到目的。然而在计 算机信息系统下,除了需要运用一般的传统方法以外,最重要的是要借助计算机辅助技术来达到审计目的,审计人员除需具备一般审计所需的知识外,还应具备一定的计算机知识,对会计信息化系统有一定的了解,对有可能出现的错误及舞弊情况要有比较深刻的认识,但最重要的一点是审计人员应能熟练地运用计算机进行审计。然而在实践中,由于我国注册会计师的市场化建设与推行较晚,现行注册会计师的素质较低。同时在注册会计师的考试中也没有计算机理论及操作方面的要求,因此绝大多数的注册会计师运用计算机和网络的水平还很低。
四、加快会计信息化审计建设的对策
1.建立会计信息化审计组织机构 会计信息化审计组织机构不健全将会阻碍我国会计信息化审计的发展。为适应未来我国会计信息化审计发展的客观要求,我国应尽快建立自己的会计信息化审计组织机构,按照会计信息化审计的要求组织、协调会计信息化审计工作,规划会计信息化审计的发展策略和职业培训计划,研究会计信息化审计理论、方法、技术和规范,指导会计信息化审计工作。在这项工作的起步阶段,政府应加强领导力度,从宏观上搞好规划安排,从资金和技术上扶持会计信息化审计,有效规划、部署和指导我国的会计信息化审计工作。
2.制定一套严谨的会计信息化审计程序标准 除了对凭证、账簿、报表等数据文件的实质性审查加以规定外,更要对被审计系统的健全性、符合性,系统控制功能的有效性、各项初始化工作的准确性与合理性加以规定。尤其要突出对操作员及系统管理员或财务主管工作权限的规定,以便审计人员在审计前对被审计单位的情况有一个初步的认识,从而在进行审计时,依据相应的规定进行审查。这样不仅减少审计人员的工作量,也降低了会计信息化审计的风险。
3.制定会计信息化审计的审计准则 审计准则是审计工作应遵循的规范和尺度,是评价审计工作质量的权威性规则。会计信息化审计对象、线索、方法、结果等各方面相对于传统审计都发生了变化,以往的审计标准和准则已经不能完全适用,应该加快新的审计标准和准则的制定以指导审计工作。
【关键词】非现场审计,内部控制,风险评估
一、非现场审计的概念及现状
非现场审计是借助系统或计算机工具软件进行信息化的“一个业务数据采集和分析的过程”,即通过采集审计对象的业务数据,开展面向数据和系统的审计监测,进而进行持续、全面的分析,及时发现审计对象存在的问题、疑点和异常情况,评估审计对象的风险状况,为制定审计计划及审计方案提供支撑,为现场审计提供线索和资料。
非现场审计的现状如下:
1、目前,非现场审计系统已经实现了多样化的功能。一是全面覆盖银行资产与负债业务,实现产品种类和业务处理过程横向和纵向的全覆盖。二是提供业务流程内部控制及主要风险点的预警和提示,实现业务全流程有效监控。三是具备对业务数据进行分类、分层、因素分解、因果关联和汇总功能,并可按需进行灵活定制,实现了审计业务处理智能化。四是具备参数化维护方式和强大的自定义功能,能够自定义指标、预警规则和业务分类,并能进行参数调整,实现审计参数灵活控制。
2、审计业务管理流程信息化,已实现审计业务和管理流程的无纸化和审计信息的全员共享。一是提供审计文档的存储、录入、统计、查阅和检索功能,问题、风险点的统计、归并功能,实现审计成果共享。二是对审计项目立项和审批进行有效控制,使审计检查项目从立项申请、审批的流程实现无纸化,立项报告、审计方案、审批结果等文档自动归入文档数据库。三是对审计报告审核、审批进行有效控制,实现审计工作底稿的编写、核对,审计报告的编写、核对、审批的无纸化和流程控制。
3、在风险评估技术基础上,从机构、业务、产品、流程、IT 系统等不同维度绘制出剩余风险视图,揭示全行风险分布和影响程度信息,有利于将有限的审计资源集中于高风险的审计领域,突出审计工作重点,有针对性地提出审计意见和管理建议。
二、非现场审计存在的问题
1、对非现场审计认识存在偏差。非现场审计概念在国内最早出现于20世纪90年代,近年来,内部审计人员虽对开展非现场审计的重要性有了一定认识,但还不够全面、深刻,不少人仍认识不到位。审计理念仍停留在查错纠弊上,忽视系统性的、整体性的风险审计,缺少对体制性、机制性原因的分析。一是认为非现场审计仅仅是个手段,不应冒进;二是认为非现场审计专业性强,只能由非现场专业审计部门和专业人员完成,存在畏难情绪,给开展非现场审计工作带来消极作用。
2、对非现场审计系统期望过高。随着信息技术发飞速发展和银行间的激烈竞争,创新层出不穷,商业银行的发展呈现出业务综合化和电子化的趋势。各级领导以强烈的责任意识,对审计手段的信息化寄予厚望,迫切希望非现场审计能发挥最大作用。但因为我国网络发展和信息化水平相对于国际先进水平有较大差距,硬件设施相对落后,缺乏适用的审计业务应用软件等问题,加上计算机审计工作规范化程度不够,故对非现场审计发展较为不利,导致审计系统软件的使用效果预期值不高。
3、部分内部审计队伍专业知识不适应非现场审计发展的要求。目前,商业银行内审部门既懂计算机非现场审计又懂银行业务的人员较少。审计队伍结构和素质不适应,缺乏精业务、懂计算机、能力强的复合型人才。面对不断出现的新产品、新业务,他们往往力不从心,这种现状妨碍了商业银行计算机非现场审计的发展。?
4、部分商业银行尚未建立完善的非现场审计机制。一些商业银行目前缺少一套完整、科学、统一的非现场审计管理办法和操作规程,不能对非现场审计监督的对象、方法、范围和相关责任从制度上明确界定,对相关业务及高风险领域缺乏规范的监控,业务操作随意性大,缺乏制度保障,影响到计算机非现场审计工作水平的提高。
5、非现场审计软件模型设计缺乏深度和针对性。非现场审计系统能否发挥应有的作用,取决于模型的构建。商业银行业务发展日新月异、规章制度的频繁变更、违规手段层出不穷、审计思路方法的创新突破,都需要及时对审计模型进行持续的优化改进。但目前缺乏一套相应的制度办法, 不能对模型的改进和优化实时跟进,或者是简单重复,导致不能出新的线索,或者是全部放弃原有模型,重新设计新模型,没有在以前经验、成果的基础上梳理和分析,审计模型的改进和完善缺乏针对性和连续性。因而非现场审计系统无论是在广度上,还是在深度上,都带有一定局限性。
三、建议与对策研究
1、转变陈旧观念,提高思想认识。要从思想上深刻认识到非现场审计是今后开展审计工作必不可少的“工具”,是适应商业银行业务信息化发展、有效履职的内在要求,是审计人员高效完成审计任务的必备手段。既要摒弃“无用论”,又要破除神秘感、克服为难情绪,全面准确地理解非现场审计的重要性、紧迫性。逐步将审计模式转变为非现场审计与传统审计模式相结合的方式,且逐步扩大非现场审计在审计活动中的占比。
2、全方位、多层次建设队伍、培养人才,打造一支具有复合型知识的非现场审计团队。非现场审计比传统的单纯现场审计更为复杂,涉及审计的内容和范围更为广泛,且非现场分析运用大量的数据、对审计人员的拓展思维和领悟能力的要求较高。对现有审计人员进行定期或不定期的业务知识特别是计算机知识、计算机审计技术和技能的培训,促使他们通过自学、培训等途径掌握操作和应用技能。鼓励审计人员参加注册内部审计师、注册会计师等审计类职业资格考试。同时建立考核制度,提高审计人员学习的积极性,打造一支综合素质较高的非现场审计队伍。
一、银行内部审计概述
从国际内部审计协会对内部审计的最新定义来看,内部审计是一种独立存在的保证以及咨询活动,内部审计的主要目的是为相关机构增加一定的价值,同时不断改善机构的运行效率,在内部审计的过程中,主要采用的是一种规划化以及系统的方法对组织机构的风险管理和控制以及机构的治理方式进行综合的评价,最终目标就是机构经济指标的实现与发展,从银行的内部审计来看,银行的内部审计主要是在银行的内部设立一个独立的内部审计部门,通过选拔相应的内部审计人员,对银行总部以及银行各个支行的经济业务进行审计,从而通过这种方法来不断提升银行的运作效率,并且不断增加银行的价值。从银行内部审计的作用来看,主要包括以下几点:首选,通过银行的内部审计能够不断完善银行的内部控制系统,其次通过银行的内部审计能够有效的维护银行的合法权益,在银行进行内部审计的过程中对银行经营的成本、效益以及结构等进行审计,从而有效的防止经济纠纷。最后,通过银行的内部审计能够促进银行道德文化的建设与发展,不断提高银行的形象,并且在银行内部营造积极向上的氛围。
二、银行内部审计存在的问题
(一)内部审计观念落后
从我国现阶段银行的内部审计工作来看,其工作的重心还是集中在查错防弊。只注重检查会计凭证、报表等资料是否真实、完整, 业务操作是否合规合法等, 缺乏对银行的信贷资产质量、风险责任、经济效益进行审计,同时银行现阶段你的内部审计工作也缺乏对银行的内部控制以及管理结构进行评价以及管理,在这种落后的内部审计观念的影响下,银行的内部审计职能没有得到全面的发挥,银行的内部审计工作不能得到顺利的执行。
(二)内部审计技术落后
随着21世纪计算机信息技术的不断发展,通过科学以及有效的内部审计技术能够促进银行内部审计的完善与发展。虽然目前我国银行已经广泛将计算机技术应用到工作以及业务管理流程中,银行的信息化发展已经成为历史发展的必然,但是从我国现阶段银行内部审计的技术来看,还停留在传统的手工操作法方式中,虽然银行在内部审计的过程中运用了计算机技术,但是计算机技术在银行的内部审计工作中覆盖面十分窄,并且缺乏一定的系统性以及连续性,银行内部审计的工作方式还是利用以往的现场检查以及内部审计人员进行主观的判断中,随着我国金融市场发展的日益复杂,银行经营所面临的风险也在逐渐增加,因此,传统的内部审计技术已经不能适应银行经营管理的需要,这种落后的内部审计技术也会影响我国银行内部审计功能的有效发挥。
(三)内部审计人员的素质有待提升
从目前我国银行的内部审计发展现状来看,我国银行的内部审计资源相对比较匮乏。对于我国银行的内部审计来说,内部审计工作涉及的范围面比较广,因此,这就需要银行的内部审计人员对内部审计业务有较高的认识以及较强的工作处理能力,从而才能发现银行在内部审计方面存在的问题,但是从我国银行现阶段内部审计人员的综合素质现状来看,银行内部审计人员的素质有待提升与发展。
三、促进银行内部审计发展的对策
(一)完善内部审计观念
对于银行内部审计工作的发展来说,完善以及革新内部审计观念是十分重要的。因此,在银行内部审计的过程中,要不断创新银行的内部审计挂念,并且促进银行内部审计观念的不断发展与进步,通过积极吸收国外先进的内部审计观念来不断促进我国银行内部审计理念的发展与进步。
(二)促进内部审计技术的发展
对于现阶段我国银行的内部审计工作来说,银行应大胆学习和借鉴国际上银行先进的内部审计方式、方法和经验, 不断探索和完善审计功能。并且不断将现阶段先进的计算机技术应用到银行的内部审计工作中,从而不断促进银行额内部审计技术的发展与创新,通过计算机技术对银行的各项经营业务进行再监督,及时发现问题,提高工作效率,同时扩大审计范围,促进审计效果的提升。计算机的审计软件也一直是我国内部审计发展的不足,所以需要不断开发研究出一套专门用于处理银行内部审计实务的系统软件。
(三)提高内部审计人员的素质
在银行内部审计工作实施的过程中,银行要积极对内部审计人员进行培养以及发展。在选聘银行内部审计人员时,要对其进行全方位的考核,只有达到了银行内部审计人员的相关要求,再予以录用。其次,银行要建立一套完整的内部审计人员培训体系,在内部审计人员刚刚入职时,要对其进行岗前培训,另外,对那些已有的内部审计人员,要定期或者不定期的对其尽心培养以及发展。同时,银行也可以通过制定相关的奖惩制度从而不断促进银行内部审计部门的整体素质。
【关键词】信息化 国家审计 组织方式 内容方法
一、信息化对国家审计的影响
(一)信息化条件下,审计风险呈现新特点
1.转型风险。传统的审计理念、审计方法、审计手段已经成为制约审计工作发展的“瓶颈”。比如在信息化条件下,被审计单位的手工明细账、日记账不存在了,记账凭证数据存储在磁性介质上,财务处理过程由软件自动完成,肉眼可见的审计线索大大减少,这无疑给审计人员带来了转型风险。
2.系统风险。比如电子化会计数据可能被滥用、篡改和丢失,电子化的审计线索易于减少或消失,原始数据的录入可能存在错漏以及不可预计的突发灾害、软硬件故障等都会给系统的可靠性造成严重危害。
3.控制风险。比如权限设置或职责分工导致约束机制失效,网络传输和数据存贮故障会使审计数据出现异常错误,审计软件对业务缺乏实时有效的控制手段等。
4.检查风险。比如会计软件的更新换代,增加了历史数据难以采集汇总的可能性。内部控制主要依赖软件本身,难以全面检查测试。
(二)信息化条件下国家审计发展的制约
1.审计系统的灵活和高度可扩展性面临的挑战。被审计单位业务的不断发展,监管条件的不断变化,审计系统的更新和升级将是一个长期的过程。因此,在建设审计署信息系统时,需考虑审计系统的灵活性和高度可扩展性。如何将审计业务与IT资源有机的结合,如何利用IT系统促进信息化审计业务的发展,避免因IT系统架构上的缺陷制约信息化审计业务的快速发展,是建设高性能的审计信息系统的重心。这需要考虑引入系统架构方法论来构建审计系统。需要以审计业务架构为基础,业务架构包括审计所需业务功能、业务流程、业务组织等规划,用于引导信息系统数据架构、应用架构的建立,以数据架构(是指审计所需信息实体如何在信息系统中合理分布,以及数据在审计系统不同应用功能之间如何有效的流转、共享、整合、存储)、应用架构(指支持审计业务发展的所需信息系统应用功能组成,即构建信息系统)为支持,构建完整的信息系统架构,这给审计带来较大挑战。
2.审计业务水平与信息化建设和发展的要求不适应。审计人员由于计算机知识的欠缺,很难提出符合信息化规律的审计需求,将传统的审计技术方法转换为计算机操作的语言需要较长磨合过程。虽然,审计署培养了大量中级计算审计人员,但由于多数属非计算机专业毕业,缺乏深层次的计算机系统设计技能,与被审计单位信息化人员专业结构相比还有很大差距,很难完成较大的实质性信息系统及信息安全审计程序的实际运用与评价工作。审计人员的结构在短期内难以与信息化发展的要求相适应。
二、信息化条件下国家审计的组织方式和内容方法
(一)国家审计组织方式的发展
随着信息化进程,在现有的审计组织方式即实行“五个统一”和“六个结合”基础上,一些新的审计组织方式将随着信息化进程而不断创新和发展。
1.打破业务、行业界限,开展项目审计和建立组织机构。目前上级审计机关尤其是审计署各业务司工作重复交叉,人力也不能满足现有工作需要。发挥审计“免疫”系统作用,已不能停留在脚疼医脚、独立作战的阶段。大项目、综合项目逐渐开展,财政审计与金融、企业、经济责任、资源环境和涉外审计等各行业审计开始结合,在审计组织上,客观要求打破各司局界限。而要真正打破各司局界限,只能靠行政手段,调整原来的机构设置。信息技术的飞速发展,尤其是审计数据库的整合和数字化审计方式的推广,为审计组织方式的发展提供了技术支持。因而,审计署应建立一支强大而稳定的综合统筹指挥部,在此架构下,建立一支支数据分析非现场审计团队,以及分布在各地以现场审计为主的审计机构,形成“总体指挥――数据分析――延伸核查”的组织模式和方式。这对按行业设置部门、分行业开展审计工作将是一次革命性的颠覆。
在现有组织结构下,可以采取发挥综合协调部门的力量。如在开展财政审计大格局工作中,可进一步发挥财政审计协调领导小组办公室的作用,这将有助于打破司局界限开展工作和成果利用。在组织方式上,改变过去按派出局成立审计组,采取按财政部资金科目成立审计组,如成立教育资金审计组、科技资金审计组、卫生资金审计组、水利资金审计组、农业资金审计组、社保资金审计组、环保资金审计组、国土增值资金审计组等,确保每个审计组从资金源头到使用全过程的审计。发挥审计 “免疫”系统功能,只有打破传统的组织方式,才能实现有效整合,服务于两个大报告的需要。
2.非现场审计成为日常监督的重要方式。数据中心的建立、以及金审三期工程规划的5大应用系统的建设等审计信息化的发展,都为非现场审计提供了保障,非现场审计将成为国家审计重要的方式。非现场审计不仅可以提高审计效率、节约审计成本,能够弥补现场审计人手不足的问题,更重要的是将与现场审计有机结合、互为补充。在审计组织模式上,将形成两支审计力量,一支是非现场审计人员,这将成为审计的主要力量和监督力量,实现对被审计单位的实时、在线审计监督,发现问题线索;另一支是现场审计人员,以非现场审计人员发现的问题线索为切入点,到现场核实取证和延伸调查。
3.大型审计项目为主的审计模式。一是审计组织管理方式由“松散型”向“集中型”转变,实现了对各审计组审计全过程的统一指挥。二是审计质量控制由“事后监督”向“全程监控”转变,项目组长和质量控制人员不在现场也可随时查看现场审计工作情况,实时了解和核查审计查出的问题。三是信息资源管理由“单点分散独享”向“全面幅射共享”转变。通过审计专网,时时实现上下左右沟通、及时反映和掌握审计情况、汇总提升审计成果。
(二)国家审计内容方法的发展
信息化发展,使审计内容和方法发生技术性革命,审计由传统的现场审计发展为现场审计和非现场审计结合,以在线审计、实时审计为特征的联网非现场审计将得到更广泛的应用;由事后审计发展为事后、事中审计。审计方法中的检查、观察、询问、外部调查、重新计算、重新操作、分析等各种方法得到综合运用,尤其是对有关业务程序或者控制活动独立进行重新操作验证,分析研究数据之间的合理关系,对相关信息作出评价等重新操作和分析方法得以普遍使用。
1.全面审计成为可能。利用计算机技术快速、准确的特点,不仅能提高审计效率,而且能更加系统、全面了解被审计单位,使得全面审计成为可能。一方面,审计人员利用审计软件进行查询、筛选,摘取审计疑点,寻找审计线索;审计人员利用审计软件的数据挖掘技术,高效、准确地收集各种电子数据进行统计、分析,抓住审计重点,审计效率大大提高。另一方面,被审计单位信息化的管理,便于审计对被审计单位整体进行分析、对照、比较,从宏观上、总体上、系统上去把握审计对象,总揽全局,结合在审计环节上设置疑点控制,实行实时全面审计。
2.跟踪审计成为发挥审计“免疫”系统功能的重要方面。我国经济运行方式、政府管理方法发生深刻变化,重大政策措施和投资项目的实施,战略性资源的利用和开发,突发性公共事件的处置等,具有周期长、敏感性强、涉及面广、社会关注度高等特点,采取传统的事后审计难以达到“免疫”的要求。跟踪审计能够在事前、事中、事后全程进行追踪,通过对资金的监控和对政策执行力度的关注,确保了决策的科学性、执行的有效性和资金使用的效益性。
跟踪审计常见的难题是资金和项目执行的分散,两者皆呈“扇形辐射”,如何确定重点,来保证审计的时效性、准确性,信息化条件为跟踪审计解决上述难题提供了有效的保障。审计人员可以充分利用信息化进行数据分析,确定资金、项目、执行政策的审计重点内容。一是利用电子数据,沿着资金的流向、轨迹,对资金的收、支等环节及时跟进,查处各种违法违规问题,防范资金风险,最大限度地减少损失浪费,提升资金使用的效率和效果。二是利用被审计单位项目管理的信息化,对项目的规划、论证到设计、施工、竣工验收的全过程进行动态跟踪。三是通过以资金为主线,以项目为基数,对权力运行进行有效的监督,促进决策的民主性和科学性,保证政策的可行性和连续性。在审计方法上,要充分利用好金融数据库与各行业数据库的结合,采用数据分析技术开展数据分析和跟踪审计。如结合好财政、投资项目数据和银行账户审计数据的结合,更多的使用计算机分析技术,沿着资金流向的轨迹开展数据分析。
3.国家审计在反腐倡廉方面发挥更大作用。信息化一方面给犯罪分子带来了更为诡秘的犯罪方式,同时由于信息化的发展,也给监管提供更为广泛、系统而全面的信息资料。长期的审计实践表明,几乎所有的犯罪需要借助银行账户,尤其是一些高端犯罪离不开账户的运作。经济领域中的违纪违法犯罪活动一般都能从资金往来中查出蛛丝马迹。审计机关在审计过程中,运用独有的技术方法,能及时发现一些犯罪线索。在审计内容上,一是可以整合金融、财政、企业有效的数据,全面分析项目资金摆布,突出重点项目和资金的分析,注意发现可疑问题;二是整合银行间的数据,以资金异常流动为线索,分析账户的网络关系,重点查处违规资本运作的高端犯罪线索;三是可以结合审计发现的一些突出问题,围绕单位账户开展审计,设定一个金额界限,对账户之间的流转查深查透。在审计方法上,主要是运用数学算法对指标进行采集和分析评价,运用数据模型分析资金流动。
关键词:目标导向;智能审计;信息技术;方法;路径
一、引言
计算机技术和信息技术的发展推动着整个社会各行各业的改革,使得现代化进程日益深入。计算机技术在各行业中的应用得到了全社会的广泛认可,不仅提高了工作效率,降低失误率,而且解决了日常繁琐的工作问题。鉴于计算机技术在各行业中应用的优点,智能审计开始得到学者们的关注。审计工作是会计行业的重要环节,与企业各项资产资金密切相关。任何企业的发展都离不开有效的审计工作,因此审计工作必须得到应用的重视。近年来,随着信息技术的不断完善,智能审计工作也开始出现。所谓智能审计就是利用计算机和信息技术处理审计工作中的一些繁琐的问题,提高传统审计工作的效率,降低因为人为的原因而带来的失误。本文,在以目标导向为前提下,为设计出合理的智能审计提供相应的办法和措施进行了研究。
二、智能审计的发展
1.智能审计发展的需要
审计工作简单来说,是审计人员通过采集企业相关数据、资料的前提下对企业所要进行的活动进行资产上的核实审计的工作。因此,资料和相关数据的收集将直接影响着审计的结果。而审计的结果又直接影响着企业的利益。随着市场经济的发展,各种现代化技术的进步,人们对审计工作的效率期望也越来越大。传统的审计工作方法已经不能满足各企业利益相关者的要求。因此,智能审计的出现显得越来越必要。
2.智能审计的优点
智能审计就是利用信息技术对传统审计工作的中的不足进行弥补的新型审计工作。利用计算机技术对传统的审计进行优化具有以下优点。第一,智能审计利用计算机处理传统审计工作中的繁琐问题,提高了审计的效率。第二,利用计算机技术对审计方法进行优化,在风险预测上提高了准确性。第三,降低了人为审计过程中对数字处理出现的失误率。这些优点促使了智能审计越来越成为审计行业发展的趋势。
三、目标导向下智能审计的实现路径
1.以目标导向的审计
以目标为导向的审计工作是指以检验被审计方是否完成职责,达到预定目标为目的而开展的审计工作。以目标为导向的审计工作是现代审计类型的一种,其最终的根本目的都是为了帮助委托人了解被审计者的相关情况,分析其风险。随着计划经济向市场经济的转变,经济的风起云涌,不断变化是人们不能准确预测的。因此,企业在进行任何经济活动时都必须谨慎,把握其风险。以目标为导向的审计能更加明确的对企业将进行的投资给予风险评估和预测,为企业的决策提供十分重要的依据。
2.以目标为导向的智能审计的实现
以目标为导向的智能审计在设计过程中有两点值得注意的地方。第一,以目标为导向,要求智能审计在设计过程中其根本目的是为企业的投资建设提供风险评估指导,在具体的审计过程中要以检验被审计方是否能完成预定目标为依据进行审计工作。第二,智能审计是要利用现代信息技术对传统的审计工作进行优化,在各方面提高工作效率和正确性。具体实现路径需要以下几点。
(1)智能化审计流程
实现智能审计就是用计算机代替人为的繁琐工作,在尽可能大的程度上使用信息技术,提高工作效率。其中,审计流程是审计工作路径实现的基础。计算机与人不同,计算机只能进行刻板的工作。因此,在智能审计的设计过程中,智能审计流程是十分重要的。计算机可以按照设计好的流程根据审计的对象、类型的不同自行选择相应的审计过程和方法。尽管审计的对象和类型可能不同,但是在智能化审计流程的设计中,总体需要把握三点。分别是:会计报表分析、经济效益分析和经济责任分析。
(2)数据搜集的智能化
数据是审计工作得以顺利展开的依据,是保证审计结果正确性的前提。数据在审计工作中的重要性可想而知。传统的审计软件中数据的处理只是简单的划分整理,忽略了数据间联系性的必要性。而智能审计就需要在数集处理过程中建立必要的联系,应用自动化技术处理各种数据。这样不仅能够提高工作效率,还可以为下次数据的调用提供依据。
(3)数据标准的智能化
数据搜集只是审计工作的基础,数据的处理才是审计工作的重点。在审计过程中通过数据的比对和处理,分析出问题。这就需要给数据定一个标准。在智能审计中,需要建立完善的数据库,各种数据存储在数据库中,以便提取和更新。在数据标准的智能化要求中,主要需要以下四种数据的标准建立。
①历史数据。历史数据是指在之前的审计中留下的数据。历史数据在一定程度上可以作为审计的参考标准。
②企业自身数据。审计过程中涉及的不同企业的自身数据也是作为审计的参考值之一,这种数据更加结合实际,具有重要的意义。
③行业标准。审计工作所涉及的数据具有很强的行业性,各行业间的数据在本行业之内是具有可比性的。行业标准数据可以作为参考值进行分析。
④审计结果检验的智能化
审计结果的正确性与企业利益有着直接的联系。审计工作的最后环节就是结果的检验,也是最为重要的一点。在审计结果检验的过程中,设计利用计算机技术根据相应的数据进行检验。
四、总结
以目标为导向的智能审计是现代审计工作发展的趋势之一。本文,通过对智能审计和以目标为导向的审计发展的简述,结合信息技术为实现以目标为导向的智能审计提供方法。提出了实现以目标为导向的智能审计的实现路径。
参考文献:
20世纪60年代随着第二代晶体管机的出现和计算机的普及,特别是电算化之后,开始设立数据处理审计及安全办公室,出现了信息技术审计(IT审计)-EDP审计,当时称之为计算机审计,到70年代,利用计算机犯罪的案件开始出现,在上引起了强烈反响,人们开始认识到信息技术审计的必要性。进入80年代后,发达国家大力发展信息产业,加上计算机与通信相结合,使计算机的应用更加普及,同时也导致了利用计算机犯罪的比率升高,犯罪率的急剧上升引起了有关政府的极大重视,1984年日本政府公开发表了《IT审计标准》,在全日本的软件水平中增添了“IT审计师”一级的考试(在系统员考试之上的最高一级),培养从事信息技术审计的骨干队伍,信息技术审计逐步走向成熟。至20世纪90年代,信息系统向大型化、多样化及化发展,信息技术审计作为信息社会的安全对策进入普及时期。
二、信息系统审计(ISA)与信息技术审计(ITA)
信息系统审计(Information Systems Audit简称ISA)是指以某个业务应用系统为中心的审计,即对计算机信息系统的开发建设、运行环境、使用和维护、内部控制等情况进行监督、检查,并作出评价,提出意见和建议,它包括对新系统的开发审计和对现有系统的审计。而信息技术审计(Information Technology Audit简称ITA)则是侧重于对信息技术基础设施的审计,主要是对技术的安全性进行审计,重点在于网络安全和通讯安全。包括对防火墙的安全和公共密钥系统(PKI)的安全性的评价,以及对非法入侵进行检测等。在部分西方国家央行内部审计中,信息系统审计和信息技术审计有严格的区分,分别设置信息系统和信息技术审计机构,我国人民银行信息技术审计处于起步阶段,一般认为信息技术审计既包括对应用系统的审计,也包括对计算机基础设施的审计,二者是一个包含与被包含的关系,是可以通用的概念。
三、人民银行信息技术审计的发展方向
人民银行2000年开始提出信息技术审计的概念,在充分了美国、德国、英国、加拿大、荷兰、日本等国中央银行信息技术审计的基础上,2000年8月在贵阳首次召开了人民银行信息技术审计工作座谈会,以此次会议为标志,人民银行正式将信息系统安全纳入内部审计范畴,并相继开展了一系列信息系统专项审计。经过几年的探索,人民银行对信息技术审计有了明确的定位,信息技术审计逐步走向正规化、日常化。从这几年的实践来看,人民银行信息技术审计虽然引起了各级领导的高度重视,但受人员素质等各种因素的制约,信息技术审计层次较低,基本上侧重于规章制度的执行和基础设施的安全,离信息技术审计的定义相差较远,笔者认为人民银行信息技术审计应向以下几个方向发展:
1、在审计策略上向参与式审计发展。西方内部审计理念的核心是,内审人员不仅要善于发现,而且更要善于解决问题,并要将所提建议当作本部门的服务产品向管理当局积极推销,以大大提高审计的效果。而现代内部审计方式的精髓则是参与式审计,即在整个审计过程中与被审人员维持良好的关系,共同分析问题的实际情况及潜在,一起探讨改进的可行性和应采取的措施,从而加强内部控制、改善经营管理,防范和化解潜在的风险。
信息技术审计不仅仅是传统审计业务的简单扩展,它是在传统审计、信息系统管理理论、行为理论和计算机科学四个理论基础上形成的一门边缘性学科,完全依靠自身的力量完成所有审计工作是不现实的,也是不符合成本效益原则的。西方国家信息技术审计普遍采用的做法是从外部咨询机构聘请信息技术专家、安全专家以及各种具体应用系统的专家参与审计。
参与式审计主要体现在以下几个方面:(1)在审计开始时,就对被审部门抱着信任态度,与他们讨论审计目标、审计、计划采取某些审计程序和的理由,以取得他们的理解和支持;(2)征求被审部门的意见,寻求他们的合作;(3)及时与当事人讨论审计中发现的问题,共同分析改进的必要性,并探讨改进的可行措施;(4)向被审部门报告期中审计结果,其中审计报告可以是口头的,非正式的,以便及时就地解决和改正存在的问题,避免发生更大的损失;(5)提出最终审计报告时,采用建设性的语调,重点放在问题产生的原因和可能造成的影响、改进的可能性和改进措施上,被审部门已经采取的改进行动也可以包括在审计报告中,以反映他们对审计工作的积极态度。
参与式审计的基础是信任被审部门,而我国人民银行内审脱胎于原稽核部门,沿袭了传统审计的思路和模式,在审计中持着怀疑一切的态度,将自己放在了被审单位的对立面,这样既不便于内审工作的开展,也了审计的质量和效果。
2、在审计对象上向安全审计。随着机网络技术的飞速发展,在人总行司的统一部署下,人民银行系统计算机网络经过近10年的建设已初具规模,形成了以内联网为核心,纵向覆盖至县支行,横向与各机构、财政、税务及海关、外汇交易中心等单位相联的大型网络。在人民银行系统内同时存在内联网、外联网和国际互联网三套网络系统,计算机网络成为人民银行业务系统运行、信息传输的重要平台和纽带,其运行状况直接关系到资金安全和政务信息的安全。网络在加快信息传播、加大资源共享、提高办公效率的同时也成为了人民银行系统内最大的潜在风险点。
目前人民银行系统正在运行的计算机系统共有二十多个,涉及支付结算,金融服务以及办公自动化等各个方面,在这种情况下,处于起步阶段的信息技术审计以各个业务应用系统为中心有其合理性:一是审计人员对各业务系统缺乏了解,对各系统还需要一个熟悉的过程,以系统为中心的审计有助于审计人员全面系统地了解业务系统的情况;二是计算机专业人员的缺乏,使以安全性为中心目标的信息技术审计难以有效开展;三是目前对计算机业务应用系统的监督检查环节还很薄弱,对于保证控制的各项制度措施不能很好地贯彻执行,合规性审计在一定时期内将是信息技术审计的主要。但是随着信息技术审计工作的不断开展,审计人员经验的丰富和技术的提高,信息技术审计应该走出以系统为中心的审计,向以保证组织网络与信息的安全方向发展,充分发挥信息技术审计技术性、专业性特点。
3、在审计内容上向系统开发审计发展。信息系统之所以风险较高,是因为它不仅涉及数据的安全和保护,而且涉及计算机网络的一致性和适用性,涉及系统建立和开发过程中的巨额资金流出。应用系统的开发不仅在开发阶段要花费大量的人力、物力和财力,而且对已经完成了的应用系统进行修改也将花费大量的时间和资金,相对传统业务审计而言,对信息系统仅仅进行事后审计意义不大,所以,内审部门对系统开发应在项目计划阶段就要介入,对其开况进行全过程审计监督。
对系统开况进行审计关键是要求内审人员“一开始就介入”。通过提前介入,内审部门对项目的概算、项目的必要性、招投标情况、建设工期执行情况、系统的“可审计性”等进行监督,保证系统的合理投资、合理设计开发和有效运行,及早发现系统在风险控制、质量保证和成本效益等方面存在的问题,避免走弯路,防止出现浪费和损失。同时,通过提前介入,也将信息系统的开发、购买、重大修改、委托运营、转让和退出使用等管理工作置于内审的有效监督之下。
在西方各国,一般要求信息系统管理部门在进行系统开发、购买、转让、重大修改和退出使用时要通知内审部门,内审部门根据系统的重要性决定审计的方式,可以要求提供相关资料,也可以派人参与开发过程,对于大型系统一般成立由财务审计人员和信息技术审计人员共同组成的联合工作组进行新系统开发审计。目前人民银行正准备进行应用系统开发审计的尝试。
4、在审计重点上向风险导向型审计发展。信息技术审计不同于我们以往的业务审计,以往的业务审计往往以发现已经发生的损失,已经实施的舞弊和违规为目的,属于以损失为基础的审计;而信息技术审计则具有一定的事前性,其目的在于发现潜在的风险和可能发生的损失。这种目的上的变化要求信息技术审计不可能以损失为基础,而应该以风险为基础,因此,信息技术审计部门必须借鉴风险评估的,由对系统运行的合规性审计逐渐转变为风险导向型审计:根据系统风险评估结果,确定审计计划,根据对固有风险和控制风险的测算,确定审计重点、制定审计方案。这种以风险为基础的审计也是当前国际审计界通行的观念和做法,也是今后我国审计的发展方向。
【关键词】内部审计;信息化环境;审计技能;观念意识
一、现代内部审计的涵义
来自国家内部审计协会(CIIA)《内部审计基本准则》的定义:“内部审计是组织内部的一种独立客观的监督和评价活动,它通过审计和评价经营活动及内部控制的适当性、合法性和效益性来促使目标的实现。”来自国家审计署《关于加强内部审计工作的规定》的定义:“内部审计是独立监督和评价本单位及所属单位财政收支、财务收支、经济活动的真实、合法效益的行为,以促进加强经济管理和实现经济目标。”来自国际内部审计师协会(IIA)《内部审计专业实务标准》的定义:“内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。它通过系统、规范的方法,评价并改善风险管理、控制和治理过程成的效果,帮助组织实现其目标。
该定义以帮助组织增加价值为目标,以关注组织风险为主线,以组织的风险管理、内部控制和组织治理为内部审计业务的三大领域。这表明内部审计的职能是站在组织整体利益的立场上,发挥增加组织价值和提高组织效率的作用。
二、现代内部审计的特点
现代企业的内部审计已经不仅仅是事后的传统意义上的财务审计,其职能也不仅仅是提供保证服务;而是向事中审计、事后审计发展,其职能更侧重于监督、评价和咨询。并且,高质量的企业内部审计总是把经营审计放在财务审计之上。
根据《内部审计专业实务标准》所体现的观点,“内部审计是一种独立、客观的保证与咨询活动,目的是为机构增加价值并提高机构的运作效率。它采取系统化、规范化的方法来对风险管理、控制及治理程序进行评估和改善,从而帮助机构实现其目标。”内部审计是管理审计,它具有以下几个特点:
1.内部审计是一种独立、客观的保证与咨询活动。
2.内部审计服务于企业整体价值的提高,具有增值作用。
3.内部审计遵循成本与效益原则。
4.内部审计的内容具有广泛性和全面性。
内部审计的内容涉及企业经营管理的方方面面,按业务内容可将其分为:经营审计、绩效审计、质量审计、合同审计、安全审计、保密审计、财务审计、IT信息系统审计、合规性审计、经济责任审计等。正是因为内部审计具有上述的广泛性和全面性的特点,所以内部审计人员作为一个集体应该具备开展审计业务所需的知识技能、逻辑思维能力、分析判断能力和其他能力;如果内部审计人缺乏从事工作所需要的知识或经验,可以通过职业培训、后续教育,或通过实践锻炼得以提升。
三、“十二五”审计发展规划提出的信息化要求
加大对国家信息化建设情况的审计力度,建立和完善电子审计体系;深入总结审计实践经验,创新审计方式和方法,不断探索符合我国发展实际的审计方式和方法。
以数字化为基础,创新计算机审计的形式和内容,总结推广数字化审计模式,探索形成适应信息化环境的审计方式。大力推进电子审计体系建设,努力提高审计工作的信息化水平,不断完善以审计业务信息化和审计管理数字化为主要内容的审计信息化系统。
提高审计业务信息化水平。完善并推广现场审计实施系统,积极开展信息系统审计;组织开展对重要单位的联网审计;积极探索统一组织项目、联网跟踪等审计组织方式。提高审计管理数字化水平,创新信息化环境下的审计管理方式。
整合审计资源,实现联互通、资源共享,促进审计业务协同,提升审计资源的配置效率。发挥内部审计与外部审计的协调的作用,统筹安排相关审计工。
四、信息化与审计人员应具备的新技能
信息化数据处理环境下,审计对象的经济业务运作方式、控制措施及作为审计线索和审计证据的财务、非财务数据,要求审计人员不仅要有审计方面的专业知识,还应具备信息化数据处理方面的知识。为适应信息化环境的需要,应当培养复合型审计人才。通常,现代审计人员应具备以下能力:
一是全面运用信息系统办公的能力。特别是能掌握应当掌握常用的财务软件,如:用友财务软件、金蝶财务软件等,打开被审计单位数据库;能把数据下载到审计人员的计算机,并转换成为审计人员可阅读的数据格式。
二是精通使用审计业务软件能力。审计人员应掌握通用软件或专用审计业务软件进行数据采集、数据处理、数据分析能力。
三是运用联网审计能力,审计人员应具备在审计现场搭建联网审计平台、实现资源共享和网络化审计、应用信息化手段对资金实现过程化的相对实时的监控能力,并能发现和排除常见的软件、硬件故障。
四是开展信息系统审计的能力。培养审计人员懂得信息系统审计程序、信息技术治理、系统和基础建设生命周期管理、IT服务支持、信息资产的保护、灾难恢复和业务持续能力。
信息化环境下,业务处理过程包括了人员手工处理、计算机系统处理、人与计算机进行交互处理,内部控制的重点变成了人及其处理的业务、人机交互处理过程、计算机系统业务处理过程和不同系统之间的传递过程,内部控制的重点和环节发生了很大变化。对信息系统的审计,应做到一般控制审查和应用控制审查相结合;只有对系统的内部控制实施审计,才能了解内部控制运行状况并确定后续实质性测试的重点和审计程序的范围。
五、新时期审计人员应具有的新意识或新观念
一是树立服务理念。服务是内部审计人员的职责,内部审计人员应当始终树立服务理念,当好领导决策的参谋和助手,发挥建设性作用。