信息系统审计论文精品(七篇)
信息系统审计论文篇(1)
(Why)随着被审计单位经济业务活动对信息系统依赖程度越来越高,信息系统已经逐渐融入各项经济活动当中。但是,信息系统存在的漏洞和缺陷、非法舞弊程序、人为操作错误、病毒感染、黑客攻击、系统故障等导致被审计单位经济业务数据失真的各种风险也在进一步加大,也就是说信息系统本身的安全性、可靠性直接威胁和影响到信息系统所产生经济业务电子数据的真实、准确和完整。因此,基于现代风险基础审计理论的政府审计,必须考虑与经济业务活动相关的信息系统产生的风险因素,突破传统政府审计业务范围,涵盖信息系统审计内容。如果忽视对信息系统本身的审计,审计机关审计人员审计依赖的被审计电子数据的真实性就会成为“空中楼阁”,就有可能出现“假账真审”的问题。目前,各级政府部门、企事业单位为了提高信息化水平,纷纷加大资金投入,推进信息系统建设,建立统一数据集中平台,信息系统已经成为国家的一项投资巨大的重要资产。这就要求审计机关审计人员在对这些机构实施经济效益审计、绩效审计、经济责任审计等审计项目时,必须考虑信息系统资产因素,对信息系统实施相关审计,以有效揭示信息系统在安全、可靠、合法、效率、效果和效益等方面存在的问题,防范信息系统风险,保障信息系统安全、可靠运行,促进信息系统资源的有效利用,提高信息系统资源运用的收益水平。由此,在政府审计项目中,考虑到信息系统的影响因素,迫切需要大力开展结合型政府信息系统审计,而不是可审可不审的问题。
二、结合型政府信息系统审计的目标是什么
(What)信息系统审计目标是信息系统审计行为的出发点,它指明了审计工作方向,并指导着信息系统审计实践活动(王振武等,2011)。我国政府审计以维护国家财政经济秩序,提高财政资金使用效益,促进廉政建设,保障国民经济和社会健康发展为职能,以国家经济活动的真实性、合规性和效益性为总体目标。因此,我国政府审计机关实施的结合型政府信息系统审计,也应遵守真实、合规和效益的根本目标。审计机关审计人员在各项具体政府审计项目中,不能笼统地将一般意义上信息系统审计的安全性、可靠性、合法性和有效性目标作为结合型政府信息系统审计具体目标,这既不符合结合型政府信息系统审计的特点和需求,也不具备实际可操作性、指导性。如果信息系统审计目标因素与具体政府审计项目目标不相关,将起不到应有的作用,是多余的、不必要的,从成本效益角度来说,是对审计资源的浪费。审计人员应避免根据自己的理解来确定目标,造成混淆不清。结合型政府信息系统审计贯穿于各政府审计项目之中,成为审计全过程的一部分,其具体审计目标应根据国家审计机关实施审计项目预期要完成的任务和结果,即具体政府审计目标,以及所涉及的信息系统情况等综合确定。例如,政府财政财务收支审计的目标是财政财务收支情况的真实性、合规性和效益性,其审计的数据来源于相关信息系统产生的财务电子数据,而数据是否真实、完整,直接依赖于相关信息系统是否安全、可靠,由此可以确定政府财政财务收支审计中信息系统审计的目标是安全性、可靠性。又如,在国有企业绩效审计中,绩效审计的目标是效率性、效果性和效益性,虽然信息系统与绩效审计不直接相关,但是信息系统作为企业的一项重要资产,且信息系统建设的投入金额巨大,因此,在国有企业绩效审计中也应包括信息系统资产的绩效审计,这就决定了国有企业绩效审计中信息系统审计的目标应该是效率性、效果性和效益性。上述示例也表明,结合型政府信息系统审计具体目标随政府审计项目的不同而存在一定的差异性,也就是说政府审计具体目标的多元性决定了结合型政府信息系统审计具体目标的多元性,必须根据具体政府审计项目综合确定。
三、结合型政府信息系统审计的重点在哪里
(Where)结合型政府信息系统审计的成效取决于审计机关审计人员对信息系统审计重点内容的把握程度。审计人员应该在分析清楚各政府审计项目中信息系统审计具体目标的基础之上,确定信息系统审计意图和需要解决的问题,并根据“全面审计、突出重点”、“先系统本身后系统环境”的原则确定信息系统审计重点事项(唐剑,2012)。此外,还应考虑成本效益原则,尽力减少与政府审计目标不相关的、多余的、不必要的信息系统审计内容。
(一)结合型政府信息系统重点
审计对象的选择被审计单位一般建立有多个信息系统,依据结合型政府信息系统审计的特点,不需要也不必要将被审计单位的所有信息系统纳入重点关注的审计对象,只需要根据与被审计业务活动相关的程度选择目标信息系统。如何选择信息系统重点审计对象?审计机关审计人员选择的主要原则应是依据被审计单位核心业务对信息系统的依赖性以及被审计单位信息系统的复杂性确定需要重点调查和审计测试的信息系统的范围和深度。一般来说,越高度依赖的信息系统,就应该作为重点审计的对象;越复杂的信息系统,就应该扩大重点审计对象范围。例如,在财务收支审计中,被审计单位ERP系统由财务、采购、销售、库存、质量、人力资源等多个子系统组成,由于财务收支数据直接依赖于财务子系统,所以理应将其作为审计的重点,然而ERP系统又是一个集成化的复杂系统,审计人员还应扩大审计范围和深度,需要将ERP系统中系统管理子系统以及其他子系统的基础设置、凭证处理等模块也作为审计的重点。
(二)结合型政府信息系统内部控制
测试重点
内容的确定现代风险基础政府审计是建立在内部控制的测评基础之上,根据内部控制的符合性测试结果实施业务数据的实质性测试。信息系统内部控制测试是对信息系统内部控制的可靠性、健全性和有效性进行的测试。基于结合型政府信息系统审计的经济监督和重在审计业务数据的特点,以及政府审计人员信息技术能力限制,为避免将对信息系统的审计引入技术陷阱(李春青,2008),审计人员应重点选择信息系统中容易产生数据风险的部分,作为信息系统内部控制测试的重点内容。而信息系统的硬件、软件、应用程序、数据、人员、制度等组成要素中,对业务数据直接产生影响的主要有信息系统数据、应用程序、人员和制度,因此审计人员在结合型政府信息系统审计中应选择信息系统数据、应用程序、人员、制度作为审计测试的重点,只在必要的时候再根据实际情况适当关注信息系统的软硬件环境。
(三)信息系统效率、效果和效益审计重点
内容的选择在结合型政府信息系统审计中,对行政事业单位、企业的效益审计、绩效审计、经济责任审计等政府审计项目中涉及的信息系统效率、效果和效益审计,其审计范畴从属于政府审计项目的范畴,只是审计对象中包括信息系统资产。因此,在这种结合型政府信息系统审计中,审计机关审计人员审计信息系统效率、效果和效益应从被审计单位正在运行使用中的信息系统资源的有效利用、促进产品或服务目标实现、降低产品或服务成本和增加产品或服务收益的角度选择重点审计内容:(1)效率性审计应重点评价使用中的信息系统对提高被审计单位劳动生产率所作的贡献,如节省人力、提高人员工作效率等;(2)效果性审计应重点评价使用中的信息系统使被审计单位业务、管理和决策等方面得到改善和提升,如满足业务处理需求、促进业务流程改进、增强信息交流与共享、提升客户服务能力、提高管理决策水平等;(3)效益性审计应重点评价使用中的信息系统的资金投入以及产生效益之比,资金投入包括信息系统运维资金投入、升级改造资金投入等方面,产生效益则可以从降低产品或服务成本、提高资金周转速度、提高产品或服务收入、增强竞争力等方面考虑。
四、结合型政府信息系统审计如何实施
(How)结合型政府信息系统审计作为信息系统审计的一个特例,两者在审计技术、方法、手段等方面理应具有一定的一致性。但是,审计机关审计人员在借鉴目前常用信息系统审计方法的同时,需要结合具体政府审计项目,立足审计人员的信息技术审计能力相对较弱、业务审计能力较强的审计专长,以审计人员的业务思路和职业判断为工作核心(王亚清,2012),积极探索富有实效的信息系统审计与传统审计相结合的方法。
(一)如何做好信息系统审前调查
在进行结合型政府信息系统审计调查时,审计机关审计人员可以将被审计信息系统调查与被审计项目业务调查结合进行,将信息系统调查作为业务调查的延伸。一方面,可运用询问法、观察法、查阅法、调查表法、流程图法等传统审计调查的方法,将被审计单位业务活动情况与信息系统情况调查融合在一起,一并调查了解被审计单位整体和业务活动情况、信息系统环境(如硬件环境、软件环境、组成、结构、分布等)、内部控制制度(含信息系统内部控制制度)、手工和计算机信息系统处理过程(如业务流程、运行流程、人员操作流程等)及执行情况;另一方面,可运用计算机辅助审计方法获取被审计业务电子数据,调查了解被审计信息系统数据处理情况等。两种方法相互补充,既能全面了解被审计单位业务活动情况,又能够摸清被审计单位信息系统基本运作情况,实现信息系统审计调查与整个审计工作调查的衔接,从而确保审计调查的效率、质量。
(二)如何做好信息系统内部控制测试
在结合型政府信息系统审计中,审计机关审计人员可运用熟悉的传统审计测试方法,辅以计算机辅助审计测试方法对前述确定的信息系统数据、应用程序、人员、制度等重点内容进行审计测试。具体可采用:(1)传统审计方法。通常可采用询问法、观察法、检查法、核对法、比较法、数据分析法等方法。如:询问或观察职责分离制度、人员操作制度、运行维护制度的执行情况;观察有关人员对信息系统访问是否设定口令、系统操作是否违反职责分离原则;查阅系统日志文件、操作记录,查看系统中是否有非法访问记录和报告,有无未经授权的用户操作系统;观察、检查系统功能设置、程序化控制、权限设置、系统参数配置等是否合理、有效,如权限设置是否符合职权要求,人员岗位变动或离职前是否及时进行权限锁定或删除,客户数据是否进行唯一性检验,财务软件是否存在反结账、反记账等功能;核对、比较原始凭证与数据库凭证文件数据的一致性,以测试凭证数据输入控制的有效性;对数据库文件数据采用数据分析法,如分析数据文件中操作员代码、数据异常值、数据间的关联关系、数据间的平衡或合计关系等审查是否存在非法用户或越权操作、参数设置的有效性、数据处理是否存在错误等以测试数据处理控制的有效性,也可通过数据分析反推系统中存在的非法功能和漏洞,等等。(2)计算机辅助测试方法。通常可采用计算机数据审计软件工具、整体测试法、平行模拟法、虚拟实体法、受控处理法等方法。如利用计算机审计软件(OA)、数据库管理系统(Access、Sqlserver)、Excel等获取和分析被审计信息系统数据输入、处理、输出控制;运用整体测试法、平行模拟法、虚拟实体法、受控处理法等方法(张瑜,2012),测试系统的处理和控制功能是否恰当、可靠,接口程序是否存在缺陷等。除此以外,对于信息系统硬件、软件、网络安全等方面内部控制测试,由于其技术性较强,审计人员可重点从系统管理的视角着手。一般采用面谈法、询问法、观察法、测试软件等,重点审查计算机安全和管理制度的执行情况、是否建立安全认证机制、是否建立针对系统故障的应急安全机制、软硬件来源的合法性,观察硬件是否进行有效的保养、隔离,查看系统是否安装防火墙、安装防病毒软件、定期检测和清除计算机病毒,利用漏洞扫描工具和网络检测诊断工具等对网络环境进行测试和评估。
(三)如何做好信息系统效率、效果与效益审计
对于结合型政府信息系统审计中的效率、效果与效益性审计,应遵循可操作、实用性原则,审计机关审计人员可通过询问、观察、查阅资料、发放调查表和比较分析等方法,重点了解信息系统的各项功能在被审计单位日常工作过程中的使用情况,了解信息系统功能设置能否满足系统目标,了解信息系统保障被审计单位信息资源共享、业务有效开展和履行情况,了解信息系统运维成本和效益并进行定量化分析处理,对比被审计单位信息系统规划、运营目标,运用一定的评价方法(如平衡计分卡法、层次分析法、模糊综合法等)(张静等,2011)进行评价,给出审计结论和审计建议。就目前来说,信息系统的效率、效果和效益审计在我国仍然处于理论和实践探索阶段,缺少规范的指导,缺乏完善的评价指标体系,因此,如何科学、准确地评价信息系统的效率、效果和效益,仍然存在不小的难度。
五、结束语
信息系统审计论文篇(2)
1.资源限制,信息系统审计覆盖面尚不全面目前国际上比较先进的商业银行无一例外地全部开展了GCR(一般控制)和ACR(应用控制)的全方位信息系统审计。但我国还未能全面开展一般控制和应用控制的信息系统审计工作,基本处于一般控制的摸索阶段。
2.信息系统审计专业人才比较缺乏我国国内的审计人员不仅在数量上存在欠缺,质量上更是有待提高。当前我国金融界审计队伍中,主要由财经类专业人员构成,严重缺乏既掌握现代审计理论与技术又精通计算机知识与技能的新型复合型人才。传统的审计人员虽在财会审计领域经验丰富,但对计算机网络技术了解不多,这使得他们难以对复杂的网络会计系统进行有效的评审,难以应付电子商务环境下的审计风险。
3.缺乏有效的通用信息系统审计软件通用的审计软件具有计算机辅助审计软件的各种功能,并且在计算机环境中,通过数据接口与被审计信息系统连接,同时将审计工作程序化,从而在很大程度上代替了手工审计。目前我国信息系统审计刚起步不久,在信息系统审计软件这方面还存在很大空缺,通用的信息系统审计软件几乎不存在。此外,我国现有的财务软件大多没有审计接口,审计软件无法获取所需系统的电子资料。
二、我国商业银行信息系统审计的发展策略
1.信息系统审计制度与准则制定方面根据国际趋同的要求,我国应建立国际标准框架下具有各行特色的标准和规范体系。因而,我国商业银行也可应把目前国际上公认的最先进、最权威的信息系统审计标准——COB信息系统作为核心标准,建立符合中国实际、顺应国际准则趋同化要求的内控、风险管理体系、信息系统监审机制和制度。同时借鉴巴塞尔协议、BS7799、COSO等其他国际标准和原则,进而确立适合各行的信息系统审计目标、对象、范围、方法、流程等,具体指导信息系统审计工作。
2.信息系统审计管理方面第一,建立全方位信息系统审计管理体系。一方面,商业银行要切实落实《金融机构计算机安全保护工作暂行规定》要求,合理安排基础设施和安全防范措施。另一方面,监管部门应加强对我国商业银行的信息系统审计的监管,将信息系统安全作为监管的重要内容,将信息系统审计作为评价其安全性的重要因素。第二,进行信息系统审计人员的技术角色划分,突出信息系统审计的技术特色。根据各商业银行自己的信息系统技术体系及信息系统审计资源,划分不同的信息系统审计技术角色,突出信息系统审计的技术特色,提升信息系统审计层次。
3.信息系统审计专业人才培养方面商业银行的信息系统审计工作需要一支既精通审计业务又掌握信息技术的队伍。由于财经类专业人员缺少计算机审计所要求计算机的知识与技能,已成为制约金融信息系统审计的“瓶颈”。建议可以通过以下的途径加强商业银行信息系统审计人员的专业素质:一是吸收计算机专业人员,把他们培养成审计人员;二是对现有审计人员开展信息系统知识培训和继续教育,培养成信息系统审计师;三是建立激励机制,推行信息系统审计师持证上岗制度,鼓励内审人员学习和钻研计算机知识,考取国家计算机资格等级证书。
信息系统审计论文篇(3)
论文摘要:信息技术在为人类带来益处的同时,也会带来一定的风险。实施会计信息化审计,加强对会计信息化信息系统运作的有效监督,对防范信息系统的风险将起到一定的作用。目前,多数企业,没有充分认识到会计信息化审计的积极意义和效益,对会计信息化审计的必要性认识不足,从而使会计信息化审计工作没有引起足够的重视。本文从会计信息化审计的“目标、特点、策略、前景”四个方面进行分析探讨。
一、会计信息化审计的目标
1.会计信息系统的安全性
会计信息系统的安全性是指组成会计信息系统的硬件、软件、数据资源是否受到妥善保护,不因自然和人为的因素而遭到破坏、更改或者泄漏系统中的信息。会计信息系统的资源通常包括硬件、软件、数据文件、系统文档、消耗性材料和其他设施。这些资源经常放在一处或几处,硬件可能被恶意破坏,软件和数据文件的内容可能丢失或毁损,消耗性材料和数据资源可能未经批准而被使用。会计信息系统的安全是通过建立相应的安全控制措施而加以保护的,评价会计信息系统的安全性,主要是审查会计信息系统的安全控制措施是否健全有效,对于不足之处应提出需要进行改进与完善的建议。
2.会计信息系统的可靠性
会计信息系统的可靠性是由其中的硬件系统的可靠性、软件系统的可靠性及数据的可靠性等因素共同决定的。软件系统的可靠性是指在运行环境中,在规定的运行时间内或规定的运行次数下,程序和所有数据元素运行不同测试用例的无差错概率。硬件系统的可靠性是指在一个指定的时间周期内,在给定的控制条件下,硬件系统执行所需功能的成功概率。数据可靠性是指数据的真实、准确和及时,它取决于系统绝对数据的处理过程是否准确无误,以及确保数据可靠的控制措施是否有效。系统的可靠性还体现在它的容错能力上。对会计信息系统可靠性的评价要检查系统的运行是否稳定可靠、是否容易出现偏差和错误,是否能抵御外界干扰而正常工作。评价会计信息系统的可靠性时,审计人员应对决定会计信息系统可靠性的各项因素进行综合审查和评价。
3.会训信息系统的有效性
会计信息系统的有效性是指该系统能否实现既定的目标、系统的各项处理过程是否符合国家法律和有关规章制度的要求。评价会计信息系统的有效性,必须了解用户的需求。会计信息系统有效性的审计一般在系统运行一段时间之后进行,通过事后审计可确定会计信息系统是否能实现既定的目标,根据审计的结果,管理者可做出相应的决策。
二、会计信息化审计的特点
1.审计的所有领域全面运用现代信息技术
目前,审计在每一领域都还做得不够,如:尚未构筑起适应现代技术发展的一种或多种可能的、可用于解释和预测多种审计现象的多维审计理论—,这种理论将使对审计环境、目标、本质、假设、概念、标准、技术、方法、过程等的论述更新颖、更丰富、更具逻辑性和环境适应力;急需加速我国的审计工作从落后的“绕过计算机审计”向先进的“通过计算机审计”和“使用计算机审计”转化。如何利用现代信息技术管理责任与风险巨大的审计(尤其是独立审计)行业是一个值得探讨的问题,新时期,所有的审计人员都应成为完全意义上的电脑审计人员,而这是审计(后续)教育的重要任务。
2.会计信息化审计系统具有极强的适应性
信息化会计信息系统的多元、实时、开放性使会计信息化审计也具有多元、实时、开放性特征,实时审计、会计责任审计、环境审计、境外审计等都将因此而变得更加容易。
3.会计信息化审计将对传统审计进行重整
尽管“两权分离的程度决定了审计主体的种类和被审计单位的形式”,“审计效率和审计风险的矛盾决定了审计程序和方法的历史变迁”,但如果所有的计算机只囿于会计电算化信息系统的水平,提供的信息单一、过时、封闭,国外的会计师事务所的非审计业务(其必须依赖于多元、实时、开放的信息)收入又怎能达到其总收入的70%(我国仅30%左右)?事实上,正是信息量极大丰富的信息化会计信息系统和全新的会计信息化审计理论,支持了卓有成效的“四大”国际会计公司及其或集权或分权的管理模式,支持了审计效率和审计风险矛盾的最有效的解决,从而支持了现在和将有的多种繁杂的具体业务。
三、会计信息化审计的策略
1.建立会计信息化审计组织机构
会计信息化审计组织机构不健全将会阻碍我国会计信息化审计的发展。为适应未来我国会计信息化审计发展的客观要求,我国应尽快建立自己的会计信息化审计组织机构,按照会计信息化审计的要求组织、协调会计信息化审计工作,规划会计信息化审计的发展策略和职业培训计划,研究会计信息化审计理论、方法、技术和规范,指导会计信息化审计工作。在这项工作的起步阶段,政府应加强领导力度,从宏观上搞好规划安排,从资金和技术上扶持会计信息化审计,有效规划、部署和指导我国的会计信息化审计工作。2.加强会计信息化审计理论研究
审计理论来源于审计实践,又反过来指导、促进审计实践,二者不可偏废。没有审计实践,审计理论无法产生,没有审计理论指导的实践会走弯路。因此,要在审计实践中善于及时发现、总结规律性的问题,将其上升到理论的高度。国内学术界、政府研究机构应当加强会计信息化审计的理论研究,积极开展学术交流,密切关注国际会计信息化审计的最新发展动态,不断发展与完善会计信息化审计理论,从而更好地为会计信息化审计实践活动提供指导,促进我国会计信息化审计事业的发展与繁荣。
3.制定会计信息化审计准则
会计信息化审计同传统财务审计相比,在审计对象、审计目标、审计内容等方面均有所不同。为了规范会计信息化审计业务,明确工作要求,保证执业质量,应研究和制定我国的会计信息化审计准则和实务指南。会计信息化审计发展到一定阶段,必须由行业组织出面将实践经验加以总结,并把有关概念、工作流程和技术方法固定和统一起来,形成行业标准和规范。
4.强化企业领导加强管理与控制的观念
树立企业领导的信息化会计信息系统管理意识是开展会计信息化审计工作的关键。因此,企业主管部门在充分领会国务院有关“国民经济信息化”指示精神,认真抓好企业信息化建设的同时,还必须注重对企业领导进行会计信息化系统管理与控制的思想教育,促使企业领导从企业生存与发展的高度来认识会计信息化审计的重要意义,重视会计信息化审计工作,将会计信息化审计作为一项重要工作来抓。
5.大力培养会计信息化审计人才
从内部讲,一是强化培训。各级审计机关要拥有完备的培训基地,从自己的需要加强不同岗位的适应性培训;二是重点选拔。即有重点地选派一些“尖子”人才进高校深造,进行知识更新,或参与国际技术交流和技术合作,在实践中不断增长才干;三是完善机制。要逐步形成能有效鼓励各类人才脱颖而出,能最大限度地挖掘,激发各类人才智力潜能的运行机制,使知识最终能作为最重要的生产要求参与分配。
6.加大会计信息化审计的宣传力度
开展会计信息化审计的主要障碍之一是对会计信息化审计的必要性认识不足,必须加大会计信息化审计的宣传力度,如实宣传网络环境下重构后的会计信息系统所带来的风险,大力宣传会计信息系统控制的重要性,让更多的经营管理者,真正认识到开展会计信息化审计的必要性,增强会计信息化审计的迫切性,促进社会舆论对会计信息化审计的理解与支持,进而推动会计信息化审计工作的开展。
作者单位:河南工程学院
参考文献:
[1]谢诗芬.高级财务会计问题研究[M].四川:西南财经大学出版社,2004.45-52.
[2]胡仁显.自助式会计信息系统[M].上海:立信会计出版社,2003.78-82.
信息系统审计论文篇(4)
[关键词]计算机审计;信息系统审计准则;isaca;协调机制
近年来,审计署、中国注册会计师协会(中注协)等部门对信息系统审计的开展都极为重视。2011年 7月出台的《审计署“十二五”审计工作发展规划》指出,“有步骤、分阶段地推进与重点中央企业信息系统的联网,试点实时审计”,“积极开展信息系统审计”[1]。 信息系统审计尽管遵循传统审计程序,但与财务审计有根本的区别,它本质上属于评价性、鉴定性审计。 信息系统审计的研究在西方国家较为成熟,在我国的研究与规范则尚处于起步阶段。 截至 2012年 2月,审计署、内审协会出台的有关信息系统审计方面的规范与标准仅 2项,即审计署于 2010年 9月颁布的《中华人民共和国国家审计准则》(第 8号令)[2]和内审协会于 2008年 9月颁布的《内部审计具体准则第 28号———信息系统审计》(内审准则第 28号)[3],而中注协至今还尚未颁布关于信息系统审计的规范。 我国亟待出善的信息系统审计系列标准,以此推进信息系统审计业务的开展。 结合近年的研究,本文就信息系统审计的特点、信息系统审计准则的国内外发展现状以及在我国的发展策略作一探讨。
一、计算机审计与信息系统审计
目前,我国出台的计算机辅助审计规范有 7项,信息系统审计方面的规范却较少。 若要促进信息系统审计准则的建设,区分计算机审计与信息系统审计就十分必要,这将有助于消除我国学术研究中两者混淆不清的情况。 日本会计检察院计算机中心认为,计算机审计包括两个方面:一是对计算机系统本身的审计,如系统安装、使用成本,系统和数据、硬件和系统环境的审计;二是计算机辅助审计,包括用计算机手段进行传统审计,用计算机建立一个审计数据库,帮助专业部门进行审计[4]。 根据2010年修订的《中华人民共和国审计法实施条例》和 2001年的《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》,计算机审计包括对计算机管理的数据进行检查及对管理数据的计算机进行检查两个方面[5]。 我国学者李学柔与秦荣生在《国际审计》一书中,对计算机审计的特性表述为:“一是对执行经济业务和会计处理的计算机系统进行审计,即计算机系统作为审计的对象;二是利用计算机辅助审计,即计算机作为审计的工具。”[6]笔者认同上述关于计算机审计内涵的论述,并认为计算机审计向两个方向发展:其一是信息系统审计方向,其二是计算机辅助审计方向。
当前,国内外学者对信息系统审计的界定不尽一致,主流的观点有:ron weber于 1999年提出,“信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效地实现组织目标的过程”[7];日本通产省情报协会于 1996年对信息系统审计的定义是“为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向信息系统审计对象的最高领导,提出问题与建议的一连串的活动”[7]。 信息系统是由计算机硬件、网络与通讯设备、计算机软件、信息资源、信息用户和规章协议组成的,以处理信息流为目的的集成化人机系统。 有效提高信息系统的安全管理与运行效率是信息系统审计的核心问题。 笔者认为,信息系统审计应该是 it审计师根据特定的规范,运用科学的信息系统管理方法,对信息系统网络的运行规程与应用政策所实施的一种评价与鉴证活动,旨在增强复杂信息网络的有效性、安全性、机密性与一致性,以此保障信息系统的高效运行。
二、中外信息系统审计准则的发展状况
(一) 我国信息系统审计准则的发展情形
在传统审计业务方面我国已经形成了一套相对成熟的规范体系,然而,在信息系统审计理论方面,我国的相关研究几乎是空白[8],至于对信息系统审计准则系列规定的构建,在我国更是无从谈起。 计算机审计包括信息系统审计与计算机辅助审计两方面,截至目前,我国出台的计算机审计规范或准则共计 9项,其中,计算机辅助审计方面的规范 7项,信息系统审计方面的准则 2项,见表 1。
表 1 当前我国已有的计算机审计规范
两项信息系统审计准则中,一项是内审协会于 2008年 9月颁布的《内部审计具体准则第 28号———信息系统审计》(内审准则第 28号),另一项是审计署于 2010年 9月颁布的《中华人民共和国国家审计准则》(第 8号令)中的 5项具体条款。 内审准则第 28号总计 8章 32项条款,该准则从总则、一般原则、信息技术风险评估、信息技术审计的内容与方法等方面对信息系统内审业务加以规范,它明确指出,“组织的信息技术管理目的是保证组织的信息技术战略充分反映该组织的业务战略目标,提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性,提高信息系统运行的效果与效率,合理保证信息系统的运行符合法律法规及监管的相关要求”[3]。 审计署第 8号令不是一项专业的信息系统审计准则,而是一项传统审计业务的新规范,但其某些具体条款涉及被审单位信息系统的检查方法与审计原则。 仅有的两项信息系统审计准则,前一项条款涉及范围相对全面,但是具体条款过于笼统,后一项所涉及的信息系统审计准则过于零散,难成体系,两项准则无法为我国信息系统审计业务的开展提供具体指导。
(二) 国外信息系统审计准则的发展情形
国外有关于信息系统审计准则的发展已经趋于成熟,其中较为典型的有信息系统审计与控制协会(isaca)制定的《信息系统准则体系》与《信息系统和技术控制目标》(cobit),美国审计署制定的《联邦信息系统控制审计手册》(fiscam),国际内部审计协会制定的《基于风险的信息系统控制评价指南》(gait),以及英国、法国、德国与荷兰共同制定的《信息技术安全评估准则》(itsec),这些准则与规范均为多个国家所广泛应用[8 9]。 上述准则与规范中最为典型的应为 isaca机构制定的准则体系,该体系框架见表2。 isaca是集信息系统控制、管理、审计于一体的专业机构,总部在芝加哥,在全世界 160个国家约有95000名会员。 isaca的任务包括注册信息系统审计师(cisa)资格认证、制定 isa准则、组织cisa资格考试等七项内容。 七项内容相互辅助,融为一体,且 isa准则的制定以其他六项为有机支撑。表2所阐释的 isaca信息系统审计准则体系来源于 isaca机构出版的《it standards, guidelines, andtools and techniques for audit and assurance and control professionals》[9]。 该体系总计330页,将信息系统审计准则分为审计标准、审计指南与作业程序三个部分,其中审计标准表述为 s1—s16,规定了审计章程及审计过程所必须达到的基本要求,是 cisa的执业行为的基本规范;审计指南表述为 g1—g42,明确规范了 cisa实施审计业务的具体标准,为 cisa如何遵守审计准则提供指引;作业程序的表述为 p1—p11,提供了信息系统审计业务的一般步骤,为 cisa提供了 is审计工作的具体思路。
(二) 我国的信息系统审计准则无法满足广泛的社会需求
近年来,复杂的信息系统在我国得到广泛应用,如公安综合网络信息系统、集团信息管理系统等。由于受到特定经济环境以及网状信息系统复杂性等多种不确定因素的影响,信息系统安全问题日趋严重,社会对信息系统审计准则的需求亦日益迫切。 如,2006年 10月 10日中国民航信息网络股份有限公司离港系统主机发生故障,包括北京、上海、广州在内的众多机场的离港系统整体性瘫痪;2009年 9月 17日,知名券商申银万国交易系统突然瘫痪,其位于全国各地的一百余个营业部均受到影响,近半个小时未能进行证券交易;2010年 2月 3日,民生银行因信息系统故障,全国范围所有业务无法办理;2011年10月25日,北京东城区39家社区卫生服务站出现信息系统故障,近一周的时间无法为患者提供正常门诊与取药服务。 若要解决上述问题,则亟须一套成熟的信息系统审计准则对信息系统进行事前预警、事中控制与事后评价,显然,目前我国仅有的两项准则无法满足社会的需求。 信息系统审计准则在我国的需求主要体现在三个方面:一是信息系统内部控制与审计的需求。 对此,内审协会需要出台全面的准则与规范,为组织中内部审计人员评价信息系统的安全提供参考标准。 二是公共机构中信息系统外部审计的需求。 对此,审计署需要出台系列的信息系统审计准则,为政府审计人员提供明确的审计流程与技术方法。 三是公共机构之外的组织中信息系统外部审计的需求。 对此,中注协需要出台规范的信息系统审计准则,为社会审计人员提供清晰的参照标准与风险控制思路。
(三) 我国的信息系统审计准则多方制定主体间缺乏默契的协调机制
政府审计准则、内部审计准则、社会审计准则的出台机构分别为审计署、内审协会与中注协,它们应根据其自身服务范围制定相应的信息系统审计准则。 然而,尽管三方均需制定各自的准则,但是由于在信息系统审计的目标、原则、方法与技术方面只是形式的不同,而内容并未有实质差异,因此,审计署、内审协会、中注协有必要就信息系统审计的原则与方法等同质的方面作出统一的规范,然后再根据各自的特点进行修订。 多年来,我国信息系统审计准则出台过于零散,其原因之一是审计署、内审协会、中注协各自缺少对外交流机制,且彼此之间缺乏协调机制。 一项准则的出台,不仅仅需要制定主体之间相互协调,同时还需要集合制定主体之外的多方相关利益主体。 信息系统审计准则所需集合的外部主体主要有信息系统审计师、信息系统管理工程师、信息安全工程师、信息系统项目管理师、学术界以及其他利益相关者。 因为信息系统审计准则制定者的理性并非无限的,因而,将各利益主体有机协调于一体,将会尽可能地集合审计学学科、计算机科学学科以及信息安全学学科中理论界与实务界更多人的知识与经验,从而全面提高信息系统审计准则的质量。 在我国,尽管信息系统审计并非强制性审计,且耗费人力、财力集合各方主体完善相关准则从目前来看并不会产生更多的社会效益,但是从长远来看,缺少必要的多方互动机制并非明智之举,准则制定者应在引入多方主体的基础上采取听证会等方式,多听反对意见,广纳民意,集中民智。
四、信息系统审计准则体系的构建策略探析
构建并完善信息系统审计准则体系是一项系统工程,它不是简单工作的叠加,而是具体工作的有机整合。 我国的信息系统审计准则建设刚刚起步,准则制定主体将面临全新的挑战。 在此,笔者希望准则制定主体在信息系统审计准则制定上,尽可能坚持以下三个方向。
(一) 合理借鉴国外成熟的信息系统审计准则体系
国外信息系统审计准则体系相对成熟,我国的准则制定机构可以直接引入国外先进的信息系统审计准则研究成果及实践经验,这样不仅可以避免开展重复性工作,而且能快速站于更高的起点。 当然,“借鉴”并不意味着“照搬”,准则制定机构在“借鉴”中应关注国际趋同、中国特色和自主创新三点。
1. 国际趋同。 当前,全球经济一体化趋势要求审计准则也趋向一体化。 2010年 11月 10日,国际审计准则制定机构在与中国审计准则委员会的联合声明中高度评价中国审计准则的国际趋同成果。 审计作为一门学科不分国界,大量“吸收”国外成熟的信息系统审计标准,走“国际趋同”道路,将是我国发展审计准则的大势所趋。 信息系统审计准则的国际趋同是矛盾的统一体,我国的准则制定机构需要实现“推动趋同的积极因素”与“阻碍趋同的消极因素”二者作用的均衡。
2. 中国特色。 由于各个国家的国情不尽相同,因而外国成熟的理念不尽适于中国。 我国与国外审计文化的差异主要体现于三个层次:其一是物质文化差异,包括审计环境、审计条件等;其二是制度文化差异,包括审计规范、审计机构组织方式等;其三是精神文化差异,包括价值取向、行为方式等[10]。 例如,国际政府审计准则由四部分组成,全部具体准则共计 191项条款,然而我国政府审计准则共分为六个部分,全部准则共计 47项条款[2]。 造成国内外差异的原因有诸多方面,其中一个是我国政府审计无论是实践经历还是理论研究都起步较晚。 正因如此,我国审计准则的制定与出台均是以实践经历为基础的,是紧紧围绕实践环节作出的程序性规定,在形式上和内容上拘泥于条条框框,难以达到“适度拓展性”与“适时适应性”等理论高度[11]。 有鉴于此,我国的准则制定机构在“借鉴”中,需要充分认识国内外审计文化的差异,明确我国审计文化的特色,努力设计出适用于我国的高效的信息系统审计准则体系。
3. 自主创新。 我国对信息系统审计准则的制定不仅要做到中国特色,还要做到与时俱进并具有前瞻性。 为满足上述要求,准则制定机构在借鉴国外的基础上,需要做到基于自身的不断创新。 如isaca采用的是会计师事务所的框架,美国审计署采用的是内部控制理论,二者构建的信息系统审计准则体系都主要以内部控制为基础[8],然而当前我国大部分被审单位的内控体系尚在建设之中。 再如,国外有众多有关信息化的法规为 isaca等体系做支撑,而我国尚缺[11]。 类似问题的解决都有赖于我国信息系统审计准则制定机构的持续创新。 为了实现“持续创新”,我国有必要为信息系统审计准则的制定与组织设立专门的机构,加大人力、物力、财力的投入,增强准则制定的必要的动力机制,强化准则制定主体,最大限度地发挥相关机构的创新潜力。(二) 全面设计信息系统审计准则的完善方案
信息系统审计准则的制定必须科学规划,建立切合实际的信息系统审计准则制订方案并非无法完成。 笔者认为,全面的信息系统审计准则完善方案至少包括四项内容:一是确立准则制定相关主体的多方合作机制。 信息系统审计准则制定主体的知识具有有限性,因此制定主体不可能制定出适用于任何情况的最优规范,故准则制定机构需要扩大准则制定主体的代表性,将信息系统审计师、信息安全工程师、软件工程师、资深学者等多方主体纳入准则制定团队,这样一方面可以集思广益,提升准则质量,另一方面可以向利益相关者增设利益诉求的通道,促进其对准则的遵从。 二是融合信息技术与安全方面的法规及标准。 信息系统审计涉及信息管理等多门学科,仅以传统审计理论演绎信息系统审计理论还远远不够,因此,我国在制定信息系统审计准则过程中,还需要融合信息技术与安全方面的法规与标准,如《中华人民共和国计算机信息系统安全保护条例》、《信息系统通用安全技术要求》、《网络基础安全技术要求》、《操作系统安全技术要求》等都将会对准则制定大有帮助。 三是加强与信息系统审计有关的法规与准则的确立。 信息系统服务于信息经济,制定信息系统审计准则就应以有关信息经济的法律规范为基础。 当前,我国有关电子商务、电子政务的法律体系尚未完全建立,由此导致网上交易的安全问题、电子证据的篡改问题等在法律上难以认定,这些都将促使审计人员在信息系统业务运营的合法性审计工作中无法可循。 四是做好与信息系统审计准则建设相配套的其他工作。 isaca机构的工作重点包括 isaca准则建设等七项内容,且这些内容相互支撑。 我国在制定信息系统审计准则的动态过程中,也有必要做好与其相配套的其他工作,以便为准则的制定打下良好的基础。 信息系统审计准则制定的配套工作应该包括建立信息系统审计协会并明确会员的权利与义务,大力开展信息系统审计教育与培训等,只有如此,高水平的准则参与团队才能涌现,准则的制定质量与执行效果也才会大幅攀升。
(三) 科学建立信息系统审计准则的内容框架
信息系统审计准则取材于审计主体、审计过程、审计方法以及审计风险管理,反过来又对它们加以规范。 结合 isaca准则,审计署、内审协会、中注协在确定信息系统审计准则体系框架时,有必要将该体系划分为三个层次(见图 1):一是信息系统审计基本准则层次。 信息系统审计基本准则是信息系统审计准则的总纲,是审计机构与审计人员进行信息系统审计时应遵循的基本规范,是制定信息系统审计具体准则与信息系统审计指南的依据。 信息系统审计基本准则的主要内容应该包括总则、一般准则、作业准则、报告准则、不正当及非法行为、信息系统管理与附则等方面。 二是信息系统审计具体准则层次。 信息系统审计具体准则是审计机构和人员在进行信息系统审计时评价审计事项与作出审计决定应当遵循的具体规范。 信息系统审计具体准则的主要内容应该包括职业道德准则、审计证据准则、审计工作底稿准则、审计报告准则、审计抽样准则、内部控制评价准则、审计结果沟通准则等多个方面。 当然,在上述具体准则中需要融入有关信息系统技术与安全的多方面的专业知识,应该列示信息系统风险评估,入侵检测,防火墙、病毒及其他恶意代码、加密技术的管理控制评价等多项审计流程。 三是信息系统审计指南层次。 信息系统审计指南是为审计机构与审计人员进行信息系统审计提供的具有可操作性的指导意见。 由于当前网络经济的迅速发展与日趋复杂,我国出台的信息系统审计指南要尽可能全面细致,未来出台的信息系统审计操作指导性建议至少应该包括应用系统评审、访问控制、系统开发与维护、实物与环境安全、不正当及非法行为、b2b与 b2c的电子商务审核、移动计算、系统开发生命周期审核以及虚拟专用网络等各个方面。 科学的准则框架能够为信息系统审计准则的需求方(开发主体、用户主体、审计主体)提供规范化、专业化的管理框架,并能够明确它们的定位、权利与职责,笔者期待大家的共同努力。
参考文献:
[1]中华人民共和国审计署.审计署“十二五”审计工作发展规划[r/ ol].(20110701)[20120710]..
[2]中华人民共和国审计署.中华人民共和国国家审计准则(第 8号令)[eb/ ol].(20100901)[20120710].http:/ / www. audit. gov. cn/ n1992130/ n1992165/ n1993676/2601539. html.
[3]中国内部审计协会.内部审计具体准则第28号———信息系统审计[eb/ ol].[20110507][20120710]. ht?tp:/ / www. ciia. com. cn/ docs/ fg_xg_nszz/20110507/1304754306534. html.
[4]庄明来.计算机审计与信息系统审计之比较[j].会计之友,2010(5):8285.
[5]中华人民共和国审计署.计算机审计[eb/ ol].[20120710]. http:/ / www. audit. gov. cn/ cysite/ docpage/ c340/200301/0109_340_670. htm.
[6]李学柔,秦荣生.国际审计[m].北京:中国时代经济出版社,2002.
[7]王会金,刘国城.中观经济主体信息系统审计的理论分析及实施路径探索[j].审计与经济研究,2009(5):2731.
[8]李春青,周座.“国外引进”还是“自主发展”? ———对我国政府信息系统审计发展途径的探讨[j].南京审计学院学报,2012(1):5157.
[9]isaca. about isaca[eb/ ol].[201207
10]. .
信息系统审计论文篇(5)
一、会计信息系统审计特殊性分析
随着计算机技术水平的提高和现代信息技术的飞速发展,财务会计电算化的深入应用,会计信息系统审计AISA(AccountingInformationSystemAudit)受到越来越多的重视。会计信息系统审计是指“专业审计人员根据审计标准,针对信息系统的安全性、可靠性、有效性和效率性实施独立审计并发表意见,向信息系统对象的最高领导层提出一系列建议的活动”。这一定义既包括会计信息系统的外部审计的鉴证目标———即对被审计单位的会计信息系统安全性和可靠性的审查,又包含内部审计的管理目标———即不仅包括被审计会计信息系统安全性和可靠性,而且包括会计信息系统的有效性和效率性目标。
(一)会计信息系统审计与传统审计的区别会计信息系统审计是对被审计单位会计电算化信息系统的安全性、可靠性、有效性和效率性所进行的审计。它的对象是被审计单位的会计电算化信息系统。可见,会计信息系统审计是一项全新的审计业务,其审计对象、审计目标、审计内容、审计依据等与传统审计相比有许多不同,如表1。
(二)开展会计信息系统审计的意义开展会计信息系统审计的意义主要体现在两个方面,一方面会计信息系统审计可以促进被审计单位更有效地融入到社会经济生活中,促进被审计单位改进内部控制,加强管理,提高信息系统实现组织目标的效率、效果;另一方面,信息系统审计师在完成审计后,出具审计证明,即审计报告,以证明被审计单位信息的真实、完整、可靠,审计师的证明可以增强人们对其信息的信任程度。
二、会计信息系统审计内容与程序
(一)会计信息系统审计的主要内容会计信息系统包括会计信息系统主体、会计信息系统手段和会计信息三部分。其中会计信息系统主体是指从事会计信息工作的具有相关素质的会计人员;会计信息系统手段是指对信息的输入、加工、整理、储存、传递和输出的方法、计算工具和设备等;而会计信息则是指以一定载体反映资金运动的数据资料和相关资料。因此,会计信息系统的审计内容与手工会计系统也就存在着较大的差别,主要包括对系统开发过程审计、会计信息系统内部控制审计、应用系统审计及系统数据文件审计四个部分。
(二)会计信息系统审计的程序会计信息系统审计技术的使用,一方面丰富了传统审计技术的手段,同时对审计各个阶段的工作内容也发生了变化,甚至对审计程序、审计方式都产生了重要影响。信息系统的审计过程包括三个阶段:1、审计计划阶段。审计计划阶段是整个审计过程的起点。在此阶段主要是初步调查被审计单位会计信息系统的基本状况,明确审计任务,必要时组成审计小组,并拟定科学合理的计划。一般包括以下主要工作:(1)调查了解被审计单位会计信息系统的基本情况,如会计信息系统的硬件配置、系统软件的选用、应用软件的范围、网络结构、系统的管理结构和职能分工、文档资料等。(2)与被审计单位签订审计业务约定书,明确彼此的责任、权利和义务。(3)初步评价被审计单位的内部控制制度,以便确定符合性测试的范围和重点。(4)确定审计重要性及审计范围。(5)制定审计计划。如果要安排利用计算机辅助审计,则还需列出所选用的通用软件、专用软件。对于复杂的会计信息系统,也可聘请专家,但必须明确审计人员的责任。2、审计实施阶段。审计实施阶段是审计工作的核心,也是会计信息系统审计的核心。主要工作是根据准备阶段确定的范围、要点、步骤、方法,进行取证、评价,综合审计证据,借以形成审计结论,发表审计意见。实施阶段的主要工作应包括以下内容:(1)符合性测试。符合性测试是对信息系统中内部控制的存在性、有效性及控制程序编写方法的合规性进行核实,并得出相应审计结论的一种测试方法,其目的是检查内部控制机制是否健全有效。(2)实质性测试。实质性测试是对事务和事项的详细测试或分析性复核测试,以获得审计期间这些事务或事项完整、准确或存在的审计证据。实质性测试的目的是要实施必要的数据测试,对能否达到特定目标向管理者提供最终的保证。进行实质性测试须依赖于符合性测试的结果,如果符合性测试结果得出的审计风险偏高,而且被审单位有利用会计信息系统进行舞弊的动机与可能,又不能提供完整的会计文字资料,此时审计人员应考虑对会计报表发表保留意见或拒绝表示意见的审计报告。3、审计完成阶段。审计完成阶段是审计小组报告审计结果、总结审计工作、提交审计报告、出具审计意见、作出审计决定的阶段。审计报告是审计工作的最终成果,审计报告首先应有审计人员对被审系统的安全性、可靠性、稳定性、有效性的意见,同时提出改进建议。签发审计报告之前,应当对工作底稿进行最终(三级)复核。一级复核是由审计项目经理在审计过程进行中对工作底稿的复核,这层复核主要是评价已完成的审计工作;二级复核是在外勤工作结束时,由审计部门经理对工作底稿进行的重点复核。三级复核由事务所的主任会计师(审计师)进行,主要复核所采用审计程序的恰当性、审计工作底稿的充分性、审计过程中是否存在重大遗漏、审计工作是否符合事务所的质量要求等。三级复核制度的坚持是控制审计风险的重要手段。注册会计师审计报告完成后,先要征求被审单位的意见,并报送审计机关和有关部门。审计报告一经审定,所作的审计结论和决定需通知并监督被审单位执行。内部审计机构应将审计报告提交被审计单位和组织适当管理层,并要求被审计单位在规定的期限内落实纠正措施。新晨
三、我国会计信息系统审计发展存在的问题及对其建议
(一)我国会计信息系统审计存在的问题1、相关的法规和准则不够完善。审计必须依法进行,会计信息系统审计也不例外。尽管我国审计署和中国注册会计师协会都已颁发了一些有关会计信息系统审计的准则和规范,但是这些准则和规范还不完善,缺乏系统性和结构性。可以说,计算机审计有关法律、法规和准则的不完善,是影响我国会计信息系统审计发展的重要因素之一。2、已开发的软件通用性不强。首先,现有的财务软件缺乏应有的审计接口。开展会计信息系统审计,要求计算机信息系统留有审计接口,以便通过接口取得被审系统的电子信息,进行有关的审计处理。我国现有的计算机会计信息系统大部分没有设置审计接口,有些系统的数据库还加了密,使审计软件无法访问系统的资料,这些情况严重阻碍了我国会计信息系统审计的开展与普及。其次,目前我国国内通用审计软件的功能比较简单,虽具有一定的数据访问功能,可以执行一些常用的审计程序,但是相当一部分辅助审计的软件实用性不强,通用性弱,使用效果不理想。3、审计人员综合素质不高。会计信息系统审计是会计、审计、信息系统、网络技术与计算机应用的交叉学科。开展会计信息系统审计要求审计人员具有复合型的知识结构,既要掌握财会、审计知识,又要掌握信息系统、计算机与网络技术。但我国现在还很缺乏具有复合型知识结构的胜任的计算机审计人员。人才的缺乏严重制约着我国会计信息系统审计的发展。4、审计信息共享程度低。目前我国的审计信息资源存在巨大的浪费,一台计算机就是一个审计信息平台。现在许多审计信息资料与数据储存在各台电脑之中,审计信息资料没有有效地与局域网进行链接,审计信息与数据不能互通,没有实现共享。有的审计机关的局域网与相关部门没有实现互联互通,都是孤立的系统,形成一个个信息孤岛,实现远程审计比较困难,严重地影响了会计信息系统审计的应用与发展。(二)对我国会计信息系统审计发展的几点建议1、制定信息系统审计标准。审计的正确开展有赖于标准的制定。会计信息系统的审计,首先需要审计师恪守“客观、独立、全面、权威”的职业道德,遵循一定的程序,按照法定的格式出具审计结论(评价、建议)。其次,信息系统审计发展到一定阶段,必须由行业组织出面将实践经验加以总结,并把有关概念、工作流程和技术方法固定、统一起来,形成行业的标准和规范。最后,信息系统的审计需要尽可能参照国际信息系统审计与控制协会标准委员会颁布的国际认可的信息系统审计标准(ISACA的COBIT标准)。2、加强互联网建设。随着企业信息处理系统的大规模网络建设,审计人员不得不面对被审计单位越来越复杂的信息系统,因此,审计人员要适应信息技术的发展,将高新技术运用于审计工作。同时,信息系统审计软件要与企业的经营管理和会计核算信息系统联网,随时取得所需的电子数据和相关资料,实现对在线处理数据(磁盘或光盘数据)的审计,建立在计算机环境下新的审计模式。3、提高审计人员素质。开展会计信息系统审计最重要的在于人才的准备,需要一批既掌握现代审计理论与实务又了解计算机技术的复合型知识结构的专业人才。但现阶段我国的这方面人才相对整个审计市场来说仍是凤毛麟角,因此要在短期内全部由获得注册信息系统审计资格的人员实施会计信息系统审计是不太现实的,故目前可以采取使用两种知识类型的人员共同完成审计任务的方式。每个会计信息系统审计项目都配备专业审计人员和专业技术人员,由两种类型人员分别执行审计中的不同任务,同时也根据需要密切配合,这也是目前许多审计组织进行计算机辅助审计所采取的有效方式。4、开发高效实用软件。首先,强制要求新开发的财务软件提供审计接口。我国现有的财务软件大多没有审计接口,审计软件无法获取系统的电子资料。尽管国务院办公厅的88号文件已对会计信息系统的数据接口提出了明确要求,但对此文件的宣传不够,许多单位并不清楚有相应的要求。信息化管理部门与审计部门要加强宣传,让各单位明确凡是涉及经济和会计业务处理的计算机系统,必须要为经济监督部门提供数据接口,以便于今后计算机辅助审计方法的应用和审计信息化建设能顺利实施。其次,积极开发通用、实用、高效的审计软件。为了提高审计效率,降低审计风险,给会计信息系统审计打开通道,企业、社会团体、组织以及政府机构必须从实际出发,研究并开发适合不同信息化平台、运行环境以及不同审计内容的会计信息系统审计软件。
参考文献:
〔1〕胡晓明.我国信息系统审计的发展战略研究[J].学习与探索,2006,(5).
信息系统审计论文篇(6)
论文摘要:回顾IS审计的发展历程,进而披露IS审计在我国的发展现状,并对产生问题的原因进行剖析,最后对如何构建完善的Is审计模型提出解决策略。
Is审计,是指Informationsystemauditing,即信息系统审计,它是指审计组织以信息技术为手段,组织计划审计项目,实施审计的全过程,以判断该信息系统是否安全、可靠和有效,并对信息系统对财务报告的影响做出判断或单独提出信息系统审计报告的全过程。以确认审计风险或评价企业信息战略、优化组织运营为目标,对组织营运所依赖的信息系统进行独立、客观确认和咨询活动。信息系统审计的内容包括两个方面:一是以信息技术为手段所开展审计工作的全过程,即计算机辅助审计技术(CAAT);二是指审计部门以组织的信息系统为对象,以风险评估或内部控制检查为手段,对该系统所产生的会计信息系统的真实性、合法性做出确认或通过优化企业信息管理,增加企业核心竞争能力即信息系统的审计或EDP审计。信息系统审计与控制协会——ISACA成立于1969年,最初称为EDP审计师联合会,总部在美国的芝加哥。目前该组织在世界上100多个国家设有160多个分会,现有会员两万多人。是信息系统审计的专业人员唯一的国际性组织,CISA(CertiifedInformationSystemAuditor)也是这一领域的唯一职业资格。该组织通过制定和颁布信息系统审计准则、实务指南等专业标准来规范和指导信息系统审计师的工作;它还设立了信息系统审计与控制基金会,从事相关领域的研究工作,以使该组织的成员能够享用其最新研究成果;通过在世界各地举办各种形式的研讨会、培训班等活动,增进国际间同业人员的交流。ISACA每年还举办CISA资格考试,通过考试的人员可以申请CISA资格,符合ISACA规定的工作经验及其他相关要求的申请人会被授予CISA资格。
1IS审计发展历程回顾
在信息系统审计的萌芽阶段,人们称之为电子数据处理审计(electronicdataprocessingauditing)或计算机审计,它是作为传统审计业务的扩展发展起来的。早期的计算机应用比较简单,相应地,计算机审计业务主要关注对被审计单位电子数据的取得、分析、计算等数据处理业务,还称不上信息系统审计。从财务报表审计的角度来看,这一阶段的主要业务内容是对交易金额和账户、报表余额进行检查,属于审计程序中的实质性测试环节。此时,它只是传统财务审计业务的一种辅助工具,对客户的电子化会计数据进行处理和分析,为财务报表审计人员提供服务。
随着计算机技术应用范围的不断扩展,计算机对被审计单位各个业务环节的影响越来越大,计算机审计所关注的内容也从单纯的对电子的处理延伸到对计算机系统的可靠性、安全性进行了解和评价。在制度基础审计的模式下,计算机审计的业务内容已经扩展到了符合性测试领域。风险基础的审计模式的采用以及信息技术在被审计单位的各个领域的广泛应用,信息系统的安全性、可靠性与其所服务的组织所面临的各种风险的联系越来越紧密,并且直接或间接地影响到财务报表的真实、公允。在这种情况下,对被审计单位风险的评估必须将计算机信息系统纳入考虑范围。发展到这一阶段,计算机审计的业务范围已经覆盖了一项审计业务的全过程,计算机审计这一概念已经不能反映这一业务的全部内涵,信息系统审计的概念随之出现。
1.1在建立信息系统审计制度,开展信息系统审计研究方面,美国走在前面
早在计算机进入实用阶段时,美国就开始提出系统审计(SYSTEMAUDIT)。1969年在洛杉矶成立了电子数据处理审计师协会(EDPAA),1994年该协会更名为信息系统审计与控制协会(INFORMATIONSYSTEMAUDITANDCONTROLASSOCIATION)即ISACA。美国是首先对网上财务信息的审计直接颁布指导性文件的国家。注册会计师协会(AICPA)为指导其会计师事务所成员,于1997年1月颁布了名为《互联网上的财务报告》(FinnacialStatementsontheIntemet)的指导性文件。该文件于1999年8月15日更新,是现阶段的最新版本。该指导性文件详细表明了美国注册会计师协会审计和鉴证组成员的立场。他们指出网上财务报告的使用者不同于传统印刷版财务报告的使用者,网上披露财务信息只是一种营销手段,网络为企业提供了时常更新其信息的可能性。
1.22001年1月,英国审计职业委员会(APB)颁布了
《网上审计报告公告》(ElectmnicPublicationofAuditorsReports)该公告主要解决了以下几个问题:(1).检查电子版财务信息的生成。(2).审计报告的用词。在对应印刷版财务报表的审计报告中,审计报告往往通过页码范围来确认已审计的财务报表。然而在网站上所的财务报表和审计报告中,使用页码范围已不合时宜,因此APB建议直接使用财务报表名称来取代页码范围;同时需要在审计报告中指出所使用的通用会计准则和审计准则的国籍。(3).信息间的链接。APB非常关注已审计信息和未审计信息之间使用超链接的问题。APB建议审计师应要求“在信息使用者通过超链接从已审计信息跳到非审计信息时,网站应能向使用者发出警告信息”。
13澳大利亚审计与鉴证准则委员会(AustralianAuditnadAssurnaceStnadardBoard,AASB)AASB是最先对网上财务信息审计作出指导的审计准则制定者。AASB于1999年颁布了审计指导声明(AGS)1050《与电子方式呈报财务报告相关的审计问题》。AGS1050的目的在于“当公司利用信息技术在公共网络如互联网上已审计财务信息时,就一些问题为审计师提供一定的指导”。AASB在AGS1050中重述了审计的基本准则,并强调“电子方式财务报告并没有改变管理当局和审计师的责任”,即财务报告的主要责任仍在管理当局。
1.4日本的系统审计是从八十年代开始,1983年通产省公开发表了《系统审计标准》,并在全国软件水平考试中增加了“系统审计师”一级的考试,着手培养从事信息系统审计的骨干队伍
2IS审计在我国发展现状及存在问题剖析
近年来,我国审计信息化建设在纳入国家信息化建设(即:金审工程)范围后,有了较快发展。在信息技术和网络技术方面逐渐形成体系,审计业务软件开发应用中也有了较快发展。但审计信息化建设在实际工作中,还存在一些不容忽视的问题,这些问题如不妥善解决将影响审计信息化建设和发展进程。
2.1审计人员对信息系统审计理解偏差,信息系统审计水平匮乏论文下载
在注册会计师的行业,由于我国CPA的市场化建设及推行较晚,现行的CPA的素质较低。同时在CPA的考试中也没有计算机方面的要求,因此绝大多数的CPA运用计算机的水平很低。CPA的审计工作仍然是传统的手工审计。计算机仅仅用作文字处理或者基本不用。有些单位计算机专业技术人员只占在职人员总数的5%左右,与审计信息化建设和发展的需要还有较大差距;同时由于计算机技术的飞速发展与知识更新培训的不足,许多审计人员的计算机应用水平及相关技能无法得到同步提高,计算机应用仍停留在较低水平上,计算机功能也没有得到充分发挥。主要体现在应用意识不强,操作技能还不熟练。因而审计系统计算机人材缺乏的问题,也是制约审计信息化建设和发展的因素之一。
2.2信息系统审计理论研究几乎是空白
信息系统审计工作目前还处于探索阶段,还没有形成一套成型的专业规范理论结构。会计、审计界所进行的一些信息系统审计的探索和尝试以及开发的一些信息系统审计软件,还大都停留在对被审计单位的电子数据进行处理的阶段。
2.3信息系统审计硬件条件严重不足
2.4信息系统审计软件条件严重欠缺
虽然我国的网络财务软件较国际先进水平的差距不大,但是由于推出较晚,目前使用面还不广。同时网络财务软件的设计没有考虑审计软件设计的需要,使得审计软件的数据收集以及其功能的发挥受到很大的制约。
2.5IS审计信息化建设效益低
2.6IS审计成本不断攀升
2.7IS审计业务水平不满足信息化发展的的要求
2.8IS审计准则及专业规范不到位
我国的信息系统审计工作目前还处于探索阶段,还没有形成一套成形的专业规范。目前我国会计审计界所进行的一些计算机审计的探索和尝试以及开发的一些计算机审计软件还大都停留在对被审计单位的电子数据进行处理的阶段。
运用传统的会计审计知识已经不能对这样的客户进行风险评估、内控测试与评价,从而无法进行真正意义上的“风险基础模式”的审计业务,影响我国会计师行业审计业务质量。这一现状使得我国的注册会计师行业在与国外大型会计公司的竞争中处于不利地位。
3基于新经济时代的完善的IS审计模型的构建策略
新经济是建立在网络经济和技术创新基础上的一种经济形态,以信息网络为代表的高新技术产业,正在世界范围内,尤其是发达国家飞速发展。因此,审计信息化建设和发展关系到我国审计事业的兴衰,体现着我国审计事业发展水平。为此,构建完善的Is审计模式成为当务之急:
31构建完善的Is审计准则体系
目前,我国的Is审计准则比较分散,不统一,执行起来具有很大难度。现有审计准则既有审计署和国务院办公厅的,又有中国注册会计师协会颁布的,而且只有一般性原则和指导意见,缺乏具体的实务公告和行业指南。并且《计算机辅助审计技术方法》只是涵盖了审计工作的一部分,针对我国目前审计实务界的现状,广泛采用的仍是系统打印出来的数据进行手工审计,即绕过计算机审计,如何对其进行规范,目前还没有相应的准则。因此,我国可以借鉴国际审计实务委员会颁布的有关计算机信息系统环境下的审计准则。因为这套准则既有一般性的原则和指导,又有具体的准则和实务公告,从独立微机到联机系统,再到数据库系统的审计和计算机辅助审计技术,内容比较全面并且结构性强。
3.2构建完善的Is审计实施体系
信息系统审计实施体系是指由IT和审计相关的学科为理论基础,以传统审计为实践基础,以审计指南为指导,以审计工具为辅助,以审计业务为核心的有机整体。构建信息系统审计实施体系的目的在于全面了解信息系统审计的内涵和外延,从而有助于该领域的进一步深入研究,也可更加有效地指导实际的审计工作。完善的Is审计实施体系如图所示:
3.3构建全面的联网审计系统
联网审计是指审计机关与被审计单位进行网络互连后,在对被审计单位财政财务管理相关信息系统进行测评和高效率的数据采集与分析的基础上,对被审计单位财政财务收支的真实、合法、效益进行实时、远程检查监督的行为。随着近年来一些地方联网审计试点的开展,有数据显示,在2003年,审计署对中国工商银行进行了联网审计,和1999年相比,全部参审人员仅为1999年人工现场审计的1.1%,人均发现的违纪违规问题却是1999年的38倍。
联网审计正悄悄改变着延续了100多年的传统审计模式。联网审计是顺应信息化发展的产物,不论在亚洲还是在欧洲、美洲,联网审计都处在试点阶段。据悉,2005年《中央部门预算执行联网审计工作方案》(以下简称《工作方案》)正式完成。《工作方案》规定,审计重点是国家工商总局等四大中央部门,将首批执行联网审计。该方案根据《审计署2005年度统一组织审计项目计划》、(2004至2007年审计信息化发展规划》、《审计机关审计项目质量控制办法(试行)》和(2005年财政审计应用计算机技术工作意见》制定。审计人员坐在办公室内就能动态甚至实时跟踪、查看被审计单位预算资金动态,从资产负债变动、预算经费收支、大额支出、预算指标执行、行政性收费等多个角度进行数据分析,发现疑点或异常后及时通知被审计单位,努力把腐败消灭在萌芽状态;在对具体项目审计中,大量的审前调查在自己的办公室内完成,进驻被审计单位前已经确定了审计重点和审计实施方案等,审计员在被审计单位的主要工作不再是查账找问题,而调查取证联网审计发现的疑点。
但联网审计,包括其试点活动都在近三年内才开始启动,联网审计无论在理论和实践中都存在很多问题,尤其是一些法律、技术、规范等多方面的难题。
(1)法律盲区是联网审计的主要障碍之一。比如,按照现有审计法规,审计机关能否具有与被审计单位联网取得数据的权力,有没有随时获取被审计单位数据并进行审计的权力,在发现问题后有没有及时通知被审计单位的权力,被审计单位有没有相对应的义务等。
(2)信息系统审计技术急需跟进。在开展联网审计前,应首先对被审计单位的信息系统进行审计;要探索适用范围更广的公网传输机制;要研究数据库技术、联机分析技术、数据挖掘技术等在联网审计中的应用;要通过与重点行业、重点领域的联网,建立审计数据中心,为审计业务提供支持。
3.4运用信息技术支撑审计管理的科学化
通过审计项目管理系统,审计人员可获得自己所需要的项目信息或上报自己的审计情况;审计组长可对审计人员的审计工作进行指导、监督和协调,并掌握审计进度情况;专职复核人员和业务部门负责人可对审计项目进行监督复核;本级审计机关领导对审计项目进行查询、指导和监督。
3.5尽快弥补我国注册会计师的知识结构缺陷
信息系统审计论文篇(7)
>> 信息系统在政府流程再造中的作用:影响因素及实证分析 人身保险需求的影响因素及实证分析 区际产业转移的影响因素及实证分析 信息系统在物流管理流程中的应用与存在问题的分析 影响住房需求因素的实证分析 民间投资影响因素的实证分析 资本结构影响因素的实证分析 农户贫困影响因素的实证分析 航班延误影响因素的实证分析 IPO费率的影响因素实证分析 公司市盈率影响因素的实证分析 股市波动影响因素的实证分析 对影响政府行政效能因素的实证分析及政策建议 学生主体作用影响因素的实证分析及对策 我国居民储蓄变动的影响因素及实证分析 我国短期资本流入分析及影响因素的实证检验 中国汽车产业全要素生产率及影响因素的实证分析 我国县域企业信贷需求影响因素及差异性的实证分析 关于我国CPI影响因素的实证分析及预测 基于消费者回收行为的废旧家电回收影响因素及实证分析 常见问题解答 当前所在位置:l。。在个性化程度方面,政府审计活动根据相关法律、法规进行,对相关单位进行审计和审计调查,相关单位和个人一般是被动接受审计,因此被审计对象的个性化程度低[8]。因此,由于审计对象的回应性需求和个性化程度都低,政府审计面临的环境稳定性高。
2.环境复杂性
环境复杂性主要指审计活动的知识密集程度。审计工作复杂且专业性很强,如审计计划管理需要较高的政策、专业水平和综合能力,审计查证等环节则需要较强的专业技能,且涉及大量法律、法规、规章和规范性文件。以北京市为例,常用法规超过120项,其中审计类法规达到24项,总数大且涉及很多专门知识和专业技能资料来源:http:///flfg/cy_cj_fl.asp。。此外,现代信息技术又对现有的审计标准和准则提出了挑战[9]。审计线索、内部控制、审计内容、审计方法与技术等的改变对审计人员提出了更高的要求,审计人员不仅要有丰富的财会和审计知识,而且要掌握一定的计算机、网络、通讯知识与技能[10]。因此,无论从涉及的相关法律、法规,还从对审计人员专业技能要求的角度,政府审计活动的知识密集程度都高,相应的环境复杂性大。
3.任务规则性
在任务间的差异性方面,审计工作任务种类繁多、差异大。如北京市审计局在2010年全年共审计和审计调查837个单位,提交审计报告和信息2836份,提出审计建议1713条2010年北京市审计工作情况,http:///sjgg/content.asp?ID=9201。,具体包括财政收支、金融领域、政府投资、各种资金和经济责任等。在任务处理时间的方差方面,由于审计任务的设定一般要提前进行规划,且要严格按法律、法规进行审查,任务完成时间差异不大,处理时间方差小。如湘潭市公布2009年度审计项目计划时,同时也公布了湘潭市审计局2009年审计计划项目时间进度安排表;当对年度审计项目进行调整时,也同时对相关时间和期限进行规定;说明审计任务的规律性强,处理时间的方差小,便于进行审查期限的限制。由于对审计项目的审查时间存在相对稳定的预期,因此大多审计部门对审计项目的审查设定时间限制,如湘潭市实行限时审结制度,对每个审计项目涉及的审计准备、设计查证、项目审理、项目审定(审议)与审计结论性文件制发、审计结论性文件执行、审计项目案卷归档均规定限期完成[8]。总体上,政府审计事项包含的任务种类多、差异大,但同类任务处理时间的方差小,因此任务规则性处于中等水平。
4.任务相关性
从工作包含的任务数来看,审计过程的核心是审计查证,还包含计划、审理、执行等相对次要环节,涉及要求提供资料权、检查权、调查取证权、处理处罚权、采取行政强制措施权、提请协助权、建议权、通报公布审计结果权等8种不同的审计权限,包含的任务数处于中等水平。在审计各个环节上,按审计计划审计查证审计审理审计执行的顺序依次进行。其中,审计计划在管理上要保持“超然”地位,独立行使“计划立项权”,所有的审计与审计调查项目均应纳入年度审计项目计划;而审计审理必须将审核、监督贯穿于审计查证的全过程之中,增加“审理”部门专职审理的次数,审理与查证部门之间相互联系、相互配合、相互制约、相互监督,才能真正防止因取证不足、事实不清等出现的质量问题及以审谋私问题。因此,审计各任务之间主要存在顺序相依性,也涉及部分交互式和分取式相依性,相互间依赖程度处于中等水平[11]。总体上,结合工作任务数和任务间的相互依赖程度,审计工作的任务相关性处于中等水平。
5.信息系统
在传统审计模式下,各业务部门独立完成审计的全部环节,对审计事项进行全流程审计,审计对象的数量少,一般不需借助信息系统,没有信息效率和信息协同。审计四分离模式中的信息系统主要涉及信息支持系统,建立相关数据库,包括审记机关人力资源及被审记对象基本情况数据库。以湘潭市审计局为例,审计人力资源数据库的主要内容包括每个审计业务查证部门的人员分布情况,审计查证人员学历、专业、职称、工作年限和工作经历等情况;被审计对象基本情况数据库的主要内容包括被审计对象或单位名称、单位性质及财政、财务隶属关系,历次接受本级审计机关审计监督情况及其他行政监督单位检查情况等。运用电子计算机建立审计机关人力资源和被设计对象基本情况数据库平台,设计相关软件以能够快速检索;及时对数据库进行维护和更新。湘潭市审计局至2010年共收录市本级366个被审计对象的基本情况数据,为对被审计对象进行分类管理及编制审计中、长期计划和年度计划打下了良好基础[8]。因此,政府审计流程再造中信息系统的作用主要是实现了信息效率(见表2)。
总体上,政府审计面临的环境稳定性、环境复杂性大,任务规则性和任务相关性处于中等水平;在传统审计模式中信息系统基本不发挥1表2政府审计的影响因素与信息系统环境稳定性1回应性需求
个性化程度1小
小1大环境复杂性1知识密集程度1大1大任务规则性1任务间的差异
任务处理时间方差1大
小1中任务相关性1工作包含的任务数
相互依赖程度1中
中1中信息系统1传统审计方式
四分离审计模式11无
信息效率作用,在审计四分离模式下信息系统实现了一定的信息效率,信息系统的作用处于中等水平,证实了研究推论。
(三)两种流程再造模式的比较
总结城管执法崇文模式和审计四分离模式这两种典型的政府流程再造情况可以发现,在环境稳定性、环境复杂性和任务规则性方面,政府审计都要比城管执法大,在任务相关性方面,政府审计和城管执法相似。为了便于比较上述因素对信息系统的最终影响,我们为各影响因素进行赋值,环境稳定性、环境复杂性的相对顺序用小、中、大表示,任务规则性和任务相关性的相对顺序用大、中、小表示,并分别用量化数值3、2、1来对应(见表3)。1表3两种模式的影响因素及信息系统得分1城管执法1政府审计环境稳定性1小(3)1大(1)环境复杂性1中(2)1大(3)任务规则性1小(3)1中(2)任务相关性1中(2)1中(2)合计11018信息系统1信息效率+信息协同1信息效率总体上,城管执法相对政府审计在环境稳定性、任务规则性上得分高,在环境复杂性上得分低,在任务相关性上得分相同,城管执法总体得分为10分,政府审计总体得分为8分;相应城管执法崇文模式的信息系统作用更大,实现了信息效率和信息协同,而政府审计四分离模式的信息系统作用处于中等水平,只是实现了信息效率。总体上,城管执法崇文模式的影响因素得分高于政府审计四分离模式,相应信息系统的作用更大,证实了研究假设。
四、研究结论
根据上述理论分析和实证研究,可以得出如下结论:
(1)信息系统在政府流程再造中起着重要作用。城管执法流程再造过程中,传统执法模式的信息效率低,而在城管执法崇文模式中则实现了信息效率和信息协同;政府审计流程再造过程中,传统审计模式中信息系统基本不发挥作用,而在审计四分离模式中则实现了信息效率。城管执法崇文模式和政府审计四分离模式的流程再造过程中信息系统的应用程度都增加了,都发挥了重要作用,这与已有研究结论是一致的。因此,政府在流程再造过程中要大力加强信息系统建设,充分发挥信息系统的作用,从而提升信息效率和信息协同水平。
(2)信息系统在政府流程再造中作用的大小受环境稳定性、环境复杂性、任务规则性和任务相关性四方面因素影响。城管执法与政府审计相比,环境稳定性、环境复杂性、任务规则性和任务相关性要小,信息系统在流程再造中发挥的作用更大,证明信息系统发挥作用需要一定条件,受多种因素影响,即环境稳定性、环境复杂性越小,任务规则性、任务相关性越大,政府流程再造中信息系统的作用越大;反之,则信息系统的作用越小。因此,政府的信息系统建设应当与环境稳定性、环境复杂性、任务规则性和任务相关性四方面因素相匹配,不能盲目超前建设,否则会形成投资浪费,无法获得高的信息系统收益。
参考文献:
[1]DEWETT T, JONES G R. The Role of Information Technology in the Organization: A Review, Model, and Assessment [J]. Journal of Management, 2001, 27: 313-346.
[2]MARSCHAK T. Information Technology and the Organization of Firms [J]. Journal of Economics & Management Strategy, 2004, 13 (3): 473-515.
[3]HUBER G P. A Theory of the Effects of Advanced Information Technologies on Organizational Design, Intelligence, and Decision Making [J]. Academy of Management Review, 1990, 15(1): 47-71.
[4]SUNDARAJAN A. Modeling and Designing Business Process[D].University of Rochester, 1998: 26-49.
[5]FOWLER A, WILKINSON T. An Examination of the Role of the Information Systems Centre [J]. Journal of Strategic Information Systems, 1998, 7: 87-111.
[6]胡小武. 现代都市“大城管”模式的反思与前瞻 [J]. 上海城市管理,2010(3):9-12.
[7]于国. 现代都市流动商贩的三维治理模式[D].上海:上海师范大学,2008:21-24.
[8 ]贺庆华,王天安. 审计职权“四分离”模式[M]. 北京:中国时代出版社,2010: 35-96.
[9]苏孜. 知识经济时代审计创新问题研究[J]. 兰州商学院学报,2007,23(2):75-79.
