期刊大全 杂志订阅 SCI期刊 SCI发表 期刊服务 文秘服务 出版社 登录/注册 购物车(0)

首页 > 精品范文 > it审计论文

it审计论文精品(七篇)

时间:2023-03-21 17:10:25

it审计论文

it审计论文篇(1)

课题组组长:史可山,人行南平市中心支行行长;

课题组成员:陈崇跃,徐克勋,朱燕涛,张杏英;

执笔:陈崇跃,朱燕涛。

摘要:随着信息科技的发展,人民银行系统对IT的依存度日增,信息系统风险也接踵而至,内部审计面临新的挑战,IT治理势在必行。为此,本课题组在分析了人行传统的内审已不能适应IT时代审计使命要求的基础上,提出了改革人行内部审计并以此深化央行IT治理的若干建议。

关键词:中央银行;内部审计;IT治理

中图分类号:F830文献标识码:A文章编号:1006-1428(2007)12-0088-02

随着人民银行各项业务与管理活动对IT依存度的日益提高,IT风险渐露端倪,人民银行内审从体制、手段和方式等均面临与IT发展程度相对应的新挑战,央行内审呼唤与IT治理相适应的改革。

一、加强人民银行IT审计促进央行IT治理的必要性。

IT治理大意指合理利用IT资源与适当管理IT相关风险的一种管理模式与机制。IT治理最重要的任务就是保证信息技术与各项业务的有效结合,促进组织收益最大化与风险的最有效控制。如同企业(公司)治理包括了内控管理及其内部审计等制度安排,“IT治理”也涵盖IT审计、信息安全审计、IT服务管理等内容。“IT审计”既是IT治理的组成部分,也是IT治理的促进因素。“IT审计”不仅对信息系统(IS)及其管理制度,还包括对内审自身的IT化建设行使“监督、评价与咨询”职责。

人民银行具有类似商业银行等现代企业的组织架构与业务体系,在管理上同样适用和更需引入“企业治理”与“IT治理”机制。人民银行在组织架构上设立了分支行机构,在业务上也有“存贷款”、“中间业务”、“黄金外汇储备与买卖”等经营性品种。因此人民银行的“业务”系统及其“应用系统”也更为庞大与复杂,日常运营越来越依赖于信息技术的支撑。在这种背景下,人民银行信息系统运行的有效性与潜藏的风险更加不容忽视,建立健全人民银行系统的IT治理及其IT内审机制十分迫切。

二、人民银行系统IT治理与IT审计的现状

在IT治理方面,人民银行表现明显滞后:一是尚未编制出一套适应我国国情的央行IT治理蓝图或规划;二是尚未建立与人民银行组织结构和业务体系及IT应用水平相适应的IT治理组织框架和制度体系;三是尚未建设和培育一支既掌握IT知识又谙熟央行业务的IT治理复合型或“两栖”的人才队伍;四是作为IT治理重要组成部分的IT审计、IT风险控制等监督与保障机制尚不成熟和健全,影响了人民银行IT治理的深化。

在IT审计方面,人民银行信息系统仍没有突破传统内审的窠臼。具体问题与原因:

一是IT审计的理论缺失。IT审计是审计理论的新兴领域,当前有关它的研究尚不够深入,阐述与定义尚不统一,也给IT审计制度的建设和IT审计的实践带来一定程度的混乱。

二是IT审计的制度缺失。人民银行内审司虽制定了《计算机信息系统监督检查工作暂行规定》、《计算机信息系统内部审计规程》等制度,但不是真正意义上的“IT审计”,仅处于信息系统(IS)审计层次,属于一般内控操作制度范畴。

三是IT审计的标准缺失。目前却仍未规划与制定出一套能与国际接轨的抑或有中国特色的IT审计标准与具体行业准则,使目前的IT审计没有明确的方向与标准的轨道。

四是IT审计的队伍缺失。首先,在组织体系上IT审计人员配置不足与结构不合理。其次,人员综合素质不高,既掌握IT知识又熟悉央行业务、懂得金融法律的人力资源十分匮乏。第三,未建立IT审计复合型人才培育机制,使现有人员IT审计素质不能得到应有的提高。

五是IT审计的手段缺失。即IT审计本身缺少信息技术硬件与软件的武装与支持。首先是内审部门计算机及其网络工具与设施配备不足,使目前所开展的IT审计仍停留于现场的、被动的、事后的传统审计形式。其次是业务审计的IT辅助审计应用软件缺乏,内审人员面对全面“数字化”的审计对象,只能望洋兴叹。第三是当前的业务应用系统在设计、开发之初就未考虑接受审计因素,内审人员实施IT审计时没有“合法”接口与取证手段。这些均极大地困扰与制约着IT审计的开展与发展。

三、改革央行内审深化IT治理的政策建议

1、加强IT审计及IT治理的理论研究,为新形势下的央行内审改革提供理论基础。2004年,人行内审司同ITGov(中国IT治理研究中心)合作开展了“IT治理与IS审计模型研究”,对国际通用的IT治理框架和信息系统审计标准“信息与相关技术控制目标”(COBIT)进行了研究,取得初步成果。但是,近年来类似的内审科研仍然偏少,成果不多。当前,国外在这方面的研究与探索均较深入,硕果累累,可以很好借鉴。

2、改革传统的人行内审体制,架构与IT治理相适应的新型内审模式。IT审计的目标是通过实施审计,维护、促进或增强人民银行计算机信息系统合规性、安全性、可靠性、有效性。人民银行已构建了强大的信息传输网络,作为内部审计主要对象的央行业务系统实现了数据大集中,人民银行分支机构业务运营与管理的内涵与外延也发生重大变化,不同层次的央行机构IS更存在鲜明的差异。这就要求央行对传统的内部审计架构进行新的设计,如构建“重心上移、机构下派”的内审新体系。借鉴西方中央银行组织治理模式并与央行IT治理机制相适应,在强调内部审计独立性的同时,注意与IS开发、应用部门的协调一致。采用更灵活的内审方式,如引入市场经济国家“内审社会化”或“内审外包”做法,对人民银行的部分IT审计项目可委托有资质的社会组织开展;提升手段,改革传统的现场审计与人力审计模式,利用计算机网络系统和审计辅助系统实施以“信息技术对抗信息技术”的“非现场审计”和“机器审计”,等等。

3、树立现代内部审计理念,实现内审由合规性监督向评价与咨询服务转变。审计的目的是确保整个组织活动的有效性、效率性、合规性、安全性,使组织“价值增值”。内审由于IT手段的利用及对IS的审计,使内审目标的实现更加可能。因此,人民银行的IT审计不应停滞在查错纠弊的监督阶段,而应要求审计人员树立服务意识,为被审对象提供咨询服务,当好参谋。

4、加快编制我国央行IT治理规划,建立适应人民银行体制的IT审计标准体系和框架。“信息系统审计和控制联合会”(ISACA)已制定了“面向过程的信息系统审计和评价的标准”(COBIT),国际内部审计师协会(IIA)将其作为国际通用的IT审计标准。作为我国央行的人民银行内审也应积极借鉴标准,制定一套适合我国央行特色的IT审计标准与规范,为IT审计开展评价、咨询等活动提供尺度与准绳。

5、开展对新系统开发的审计,实现IS事后审计向全过程审计转变。即在新系统的立项、开发、测试和验收阶段,内审人员就参与其中,对程序开发到应用的全过程从审计的角度进行审慎监督;对系统的审计由事后转变为全过程监督。同时各业务部门在正式培训、推广使用新系统时,应邀请同级审计部门参加培训学习。对新系统开发审计时,应对新系统的今后可审计操作性提出要求,防止系统出现“拒审”等情况的发生。

6、加强IT审计队伍建设,提高央行内审从业人员综合素质。一是吸收计算机专业人员,把他们培养成审计人员;二是对现有审计人员开展IT知识培训和继续教育,培养成IT审计师;三是建立激励机制,推行IT审计师持证上岗制度,鼓励内审人员学习和钻研计算机知识,考取国家计算机资格等级证书,有条件的通过国际IT审计师资格认证。

(七)加强计算机辅助审计软件开发与应用,推进IT审计信息化建设。

参考文献:

[1]《内部审计思想》 (美)Andrew D.Bailey, (美)Audrey A.Gramling, (美)Sridnar Ramamoorti著;王光远等译,中国时代经济出版社,2006;1

[2]仲安妮.IT审计直面差距找准定位促跨跃.金融时报,2006-8-22

it审计论文篇(2)

一、IT审计的定义及其特点

IT审计是指对信息系统从计划、研发、实施到运行维护各个过程进行审查与评价的活动,以审查企业信息系统是否安全、可靠、有效,保证信息系统得出准确可靠的数据。IT审计的目标是保证IT系统的可用性、安全性、完整性和有效性,最终达到增强企业内部控制的目的。IT审计具有以下特点:

(一)IT审计是一个过程。它通过获取的证据判断信息系统是否能保证资产的安全、数据的完整和组织目标的实现,它贯穿于整个信息系统生命周期的全过程。

(二)IT审计的对象综合且复杂。IT审计从纵向(生命周期)看,覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务;从横向(各阶段截面)看,它包含对软硬件的获取审计、应用程序审计、安全审计等。IT审计将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。

(三)IT审计拓宽了传统审计的目标。传统审计目标仅仅包括“对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见”;但IT审计除了上述目标外,还包括信息资产的安全性、数据的完整性及系统的可靠性、有效性和效率性。

(四)IT审计是一种基于风险基础审计的理论和方法。IT审计从基于控制的方法演变为基于风险的方法,其内涵包括企业风险管理的整体框架,如内部环境的控制、目标的设定、风险事项的识别、风险的评估、风险的管理与应对、信息与沟通以及对风险的监控。

二、IT审计面临的挑战

IT审计和传统审计相比具有的上述特点是吸引我国众多商业银行引入IT审计的重要原因,但是这种方法的应用又会给商业银行提出巨大的挑战。

(一)传统审计线索的消失。在手工会计环境下,审计线索主要来自于纸质原始凭证、记账凭证、会计账簿和会计报表,这些书面数据之间的勾稽关系使得数据若被修改可辨识出修改的线索和痕迹,这就是传统审计线索的基本特征。但是,现在计算机网络信息系统中这些数据直接记录在磁盘和光盘上,无纸质记录,审计人员用肉眼无法直接看到这些数据如何记录,且非法修改删除原始数据也可以不留篡改的痕迹,从而为舞弊人员作案留有可乘之机。

(二)计算机信息系统的数据安全面临挑战。手工信息处理的环境下,审计人员无须将数据和会计信息的安全性问题作为审计的重要内容,但是在IT审计中,网络电子交易数据的安全是关系到交易双方切身利益的关键问题,也是商业银行计算机网络应用中的重大障碍和审计的首要问题。例如,计算机病毒的破坏、黑客用IP地址欺骗攻击网络系统来获取重要商业秘密、内部人员的计算机舞弊、数据丢失等,都是传统审计从未涉及的,但又是IT审计的重点,这对当前我国的审计工作无论是操作系统,还是制度建立等众多方面都是一个很大的挑战。

(三)IT审计专业人才匮乏。适应IT审计事业发展的人才培养和管理机制还有待建立和健全。由于IT审计固有的复杂性,这项工作需要具备会计、审计、组织管理和计算机、网络技术等综合知识的复合型人才,而且工作人员需要对内部控制和审计有深刻的理解,对信息和网络技术有敏锐的捕捉能力,在我国获得注册信息系统审计师资格的人数远远不能满足信息系统审计业务的需求。

三、IT审计应对策略

面对上述挑战,我们应当勇于实践,积极探索新形势下如何使IT审计工作能够满足商业银行发展的需求。

(一)审计线索的重建。根据计算机网络系统容易在不同地方同时形成相同“原本”数据的特点,可以重建电子审计线索:在电子化的原始数据形成时,同时在审计机构(包括内审机构)和关系紧密(签字确认)的部门形成原始数据的“原本”,或在不同部门各自形成相关的数据库(特别应当包括数量、金额和单价等主要数据项),这样不仅可以相互监督和牵制,还给计算机审计提供可信的审计线索。这种保留审计线索的方法,一方面成为有力的控制手段;另一方面可从审计线索中发现疑点。这种方法主要是应用专用的审计比较软件,同时将几个部门的同一种数据库进行自动比较,形成有差异的数据记录文件,详细审查相关的数据文件和访问有关的当事人,从而取得有力的审计证据。上述比较审计方法是在不同部门同时形成业务数据文件的情况下应用,如果企业业务数据分离存放,如销售合同与销售发票、提货单在不同的部门保存,这种实质性测试也可采用比较审计法,应用专用的审计软件,结合相关的几个业务数据文件进行比较,查出有错误疑点的记录。

(二)确保信息系统的信息安全。为了保证信息系统的信息安全,IT审计工作人员要在审计过程中评价企业的防火墙技术、网络系统的防病毒功能、数据加密措施、身份认证和授权的应用实施情况,通过面谈实地审查企业安全管理制度建立和执行的情况,查看企业是否为了预防计算机病毒,对外来的软件和传输的数据经过病毒检查,业务系统是否严禁使用游戏软件,以及是否配置了自动检测关键数据库的软件,使异常及时被发现;检测企业是否为了防范黑客入侵,网络交易的数据库采用离散结构,同时在不同的指定网点(如在交易的双方)形成完整的业务数据备份供特殊使用(如审计和监控);此外,IT审计人员还要注意检查企业的信息系统岗位责任实施、安全日志制度,审查有关计算机安全的国家法律和管理条例的执行情况。

it审计论文篇(3)

 

一、IT审计的本质、目标与方法

 

(一)IT审计的概念和本质

 

随着信息化建设的不断深入,信息系统本身的安全性、合法性、有效性和可靠性成为影响企业风险控制的重要因素,也因此带来了对信息系统进行审计的需求。IT审计是指根据公认的标准和指导规范对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程,以确认预定的业务目标得以实现。认为,IT审计是一个获取证据,对信息系统是否能保证资产的安全、

 

数据的完整以及是否有效地使用了组织资源并有效地实现了组织目标做出评价和判断的过程。胡克瑾(2002)指出,IT审计是指对以计算机为核心的信息系统的审计。李会太等(2002)认为,IT审计实质上是对计算机软件和硬件及整个信息系统的审计,IT审计是技术审计的一个典型。

 

(二)IT审计的目标

 

IT审计以企业或政府等组织的信息系统为审计对象,通过现代的审计理论和IT管理理论,从信息资产的安全性、数据的完整性以及系统的有效性和效率性等方面出发,对其是否能够有效可靠地达到组织的战略目标进行全面的监测和评估,并为改善和健全组织对信息系统的控制提出详细的建议。基于IT的连续审计能使企业信息系统获得免疫,确保企业资产的安全系统的有效性和效率性以及数据的完整性。

 

(三)IT审计的方法

 

在审计方法上,目前国内主要还是借鉴国际上IT治理框架和方法,比如COBIT标准(1996年是C〇BIT1.0,2012年已更新至COBIT5.0版本)、ISO系列标准、ITIL、COSO框架等。这些协议有不同的控制重点,COBIT的审计范围几乎涵盖了所有与IT相关的活动,COS◦则侧重于企业自身内部控制,ITIL着重于IT系统的交付和支持等。目前,IT审计的开展可以采取基于独立的外部审计(独立执业的信息系统审计师,如CISA)、企业内部审计(企业内审部门的成员)以及作为财务审计的支撑(注册会计师事务所的IT审计机构,财务审计小组的IT控制专家)三种形式进行。通常,IT审计的成果可以是独立的IT审计报告,也可以作为注册会计师审计报告的一部分进行披露。

 

二、IT审计是会计信息化的内在要求

 

(一)IT审计是会计信息化风险控制的需要

 

会计信息系统(AIS)是企业管理信息系统的敏感地带,会计信息系统的风险控制是企业风险控制的重中之重。近年来因信息系统漏洞问题导致的案件屡见不鲜,信息系统的风险,如账务数据被销毁、巨额资金遭挪用而未被发现、银行交易系统存在漏洞,对业务操作中明显违反业务逻辑的操作没有任何控制防范功能等,对社会经济的运行危害巨大。一般地,会计信息化的风险来源于会计信息系统内部和外部的各种漏洞和威胁。会计信息化过程中的漏洞(技术漏洞、业务流程漏洞、管理控制漏洞)和IT环境中的威胁(攻击、篡改、窃取),导致会计信息化面临各种安全问题。为了避免问题的产生,控制风险,需要对技术、业务、管理控制等进行统一的全方位的防范。IT审计通过获取与AIS控制和保证措施相关的证据,评估AIS控制的有效性、评价会计信息化绩效及会计信息化战略与业务目标的符合程度。CISA(注册信息系统审计师)针对会计信息系统的IT审计与传统的CPA(注册会计师)针对财务报表的财务审计以及针对经济管理的管理审计是并行不悖的,企业会计信息化环境下,IT审计既是财务审计、管理审计的基础,又是财务审计和管理审计的补充,它们共同对会计风险负责。IT审计对被审计单位会计信息系统的安全性、可靠性、有效性和效率性进行识别和评估,实现对会计信息化风险的控制。

 

(二)IT审计是会计信息化社会和行业监管的需要

 

CPA审计的工作重点往往集中于财务数据审计,而忽视了对财务数据进行收集、记录、存储、处理、分析与输出的会计信息系统(AIS)的审计。然而,会计数据是AIS的产出,信息系统对数据的真实性、完整性以及数据分析的可靠性有重要影响。同时,针对AIS的入侵和犯罪也越来越多,AIS本身的漏洞会带来巨大损失,IT风险日益严重。基于此,各国政府和组织认识到AIS本身的合法性、可靠性、安全性和有效性是首先要被审计的。IT审计成为会计信息化接受外部监管的内在需要。

 

在国外,1969年美国的计算机犯罪案件导致了后来的世界上第一个电子数据处理审计组织一一EDP审计师协会(EDPAA)的产生;1994年EDPAA更名为信息系统审计与控制协会,ISACA是一个非牟利的独立组织,工作内容除了主办国际会议、出版《国际信息系统审计期刊》、制定国际公认的信息系统的审计与监控标准,还推出各项全球公认的专业认证注册信息系统审计师。目前,CISA正在会计信息化监管中扮演着日益重要的角色。

 

1999年审计署颁布了独立审计准则第20号一一《计算机信息系统环境下的审计》,对CPA基于会计信息化的审计工作做了要求。2001年,国务院办公厅颁布了〈关于利用计算机系统开展审计工作的通知》。《通知》规定,审计机关有权审查被审计单位包括财务会计系统在内的计算机管理信息系统;审计机关发现被审计单位的计算机管理系统不符合法律、法规和政府有关主管部门的规定、标准的,可以责令其更正发现故意使用舞弊功能的计算机管理信息系统的,要依法追究有关单位和人员的责任。与此同时,国家标准《信息技术:会计核算软件数据接口》(GB/T19581—2004)于2005年1月1日起生效,进一步从法律规范和技术手段上为计算机在会计审计中的应用奠定了基础。

 

(三)IT审计是会计信息化体系的重要组成部分

 

杨周南(2003)在《论会计管理信息化的ISCA模型》一文中提出,会计信息化的工作内涵或称“会计信息化”的体系结构应由三大部分组成:⑴建立和实施IT环境下的会计信息系统(AIS);(2)确保AIS安全有效运作的系统内控制度;(3)开展对AIS及其内控制度的审计,以最终达到对AIS安全、可靠、有效和高效地应用。上述体系结构称为ISCA(InformationSystem,ControlandAuditing)模型图1)。ISCA模型是融AIS、内控制度和IT审计于一体的会计信息化体系结构,它成为我国会计信息化理论研究的基本框架。企业AIS在建设和运行过程中面临着各种风险,会计信息化通过IT审计可以发现信息系统本身及其控制环节的不足之处,并及时改进与完善,使信息系统在企业的经营管理中有效发挥作用。会计信息化中的IT审计包括计算机硬件和网络设备审计、服务器审计、操作系统和系统软件审计、程序和应用系统审计、数据和数据库系统审计、会计信息系统开发审计、会计信息系统运行审计、会计信息系统维护与升级审计等。IT审计是会计信息化体系中风险控制、确保和审查AIS有效实施的重要手段,是会计信息化体系的免疫系统。

 

(四)IT审计是开展会计信息化IT治理、实施会计信息化鉴证与评价的需要

 

信息时代的公司治理以IT为支撑,成功的企业已经意识到企业高层需要像重视业务一样重视IT,IT治理已成为公司治理的一部分。IT治理是企业为获得有效的IT应用,同时平衡IT及其流程中的风险和收益,增加价值,确保实现企业目标而采取的有效机制。IT审计是IT治理架构的重点要素,IT治理通过IT审计不断促进调整IT控制环境,使组织在风险可识别、可控、可管理的环境下保证组织利益最大化。会计信息化是企业信息化的重要内容,企业开展会计信息化的同时,必须遵循IT治理的框架和方法开展IT审计。ISACA近期的COBIT5中的《审计指南》为IT审计师对组织的会计信息系统进行分析、评估、实施、审计等提供了建议和指导。

 

IT审计同时又是实施会计信息化鉴证和评价的需要。会计信息化实施过程中,IT审计机构和IT审计师对被审计单位的会计信息系统及会计信息化建设进行检查和验证,对被审计单位会计信息系统的安全性、可靠性、有效性及效率进行审查和评价,并发表审计意见,出具书面证明,以便为审计授权人或委托人提供确切的信息,并取信于社会公众,从而为会计信息化提供鉴证职能。另一方面,IT审计机构和IT审计师对被审计单位的会计信息系统及会计信息化应用进行审查,并依据一定的标准对所查明的事实进行分析和判断,形成基于事实的评定或基于改善管理、提高效率的建议,这是IT审计为会计信息化提供的评价职能。

 

三、会计信息化IT审计的目标、内容和实施条件

 

(一)会计信息化IT审计的目标

 

会计信息化中的IT审计主要以会计信息系统为审计对象,围绕会计信息系统的IT资源、运行环境及系统的生命周期全过程,对被审计单位会计信息系统的安全性、可靠性、有效性及效率性进行审查和评价,并发表审计意见。会计信息化IT审计的目标。

 

(二)会计信息化IT审计的内容

 

会计信息化IT审计的内容包括相互联系而又相对独立的三个方面:会计信息系统本身的审计;会计信息化环境审计;会计信息系统数据的审计。会计信息系统的审计是指会计信息系统本身硬件和软件的

 

基于物理和逻辑的审计,以及基于软件生命周期的会计信息系统各阶段的过程审计。会计信息化环境的审计是指会计信息系统运行的外部环境(如防火墙、防止黑客攻击、备份制度等)及会计信息系统运行的内部环境(内部控制管理制度,如操作岗位授权、相关职务分离等)的审计。会计信息数据的审计是指财务会计数据及报表的审计。会计信息化IT审计的内容界定了会计信息化IT审计的范围。

 

(三)会计信息化IT审计的实施条件

 

IT审计的实施条件是指为促使审计目标的实现,确保审计过程的顺利开展所需要的企业内外部环境。开展会计信息化IT审计的实施条件包括:企业会计信息化水平、高层领导的重视、组织管理、审计人员的素质(IT审计师,CPA、CISA)、费用、会计信息系统审计依据与准则、其他。

 

企业会计信息化水平决定着IT审计的规模,会计信息化程度高的企业开展IT审计更具有现实性。当前会计信息化IT审计更多地应用于规模较大的银行、保险等大型金融类企业以及中央企业,如中国人民银行、中国烟草总公司、中化集团、中国石油化工集团等。企业高层领导的重视或介入使得IT审计更具有便利性。会计信息化已构成企业提高核心竞争力、获得生存与可持续发展的重要影响因素,已成为企业的重要资产,与企业的其他资产一样对会计信息系统加以控制和审计变成了企业必然的要求,企业需要在组织管理层面上为接受和实行IT审计做好准备。会计信息化环境下的IT审计要求审计人员掌握信息技术并熟悉会计与审计知识,可以是信息系统审计人员和注册信息系统审计师(CISA)。CISA既要熟悉信息系统的软件、硬件、开发、运营、维护、管理和安全,又要熟悉经济管理的核心要义,能够利用规范和先进的审计技术,对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。开展会计信息系统IT审计工作所发生的成本支出表现为费用,费用是开展IT审计的必要前提。会计信息系统审计依据是指IT审计师提出审计意见、做出审计决定的依据,会计信息系统审计准则是IT审计工作本身的规范,是审计人员的行为指南。会计信息系统审计依据包括会计信息系统的管理制、条例和法规、ISO9000、会计信息系统的实际运行情况等,而会计信息系统审计准则可以参照ISACA的信息系统审计标准。

 

四、会计信息化中开展IT审计面临的问题

 

(一)企业缺乏会计信息化IT审计的自发需求

 

当前,企业管理层对于IT审计重要性缺乏高度认识,企业会计信息化进行IT审计的压力更多地来自外部监管,而不是企业内部的自发性需求。比如,2002年7月,美国颁布了《萨班斯法案》,使得在美国上市的企业都必须遵循这一旨在“提高公司披露的准确性和可靠性的改革法案;在国内,中国上市公司需遵守《企业内部控制基本规范》(2008年)、银行业要遵循《商业银行信息科技风险管理指引》(2009年)、保险业需遵循《保险公司信息化工作管理指引(试行)》(2009年)。这些外部的监管机构与法律无一例外地对会计信息化安全和会计信息系统审计提出了要求。而在企业内部,基于观念不足和成本控制的原因,会计信息化过

 

程中IT审计的内在动力不足。传统审计将注意力集中在数据的输入和输出分析上,而针对会计信息加工机制和加工过程的会计信息系统的审计重视不足。IT审计本应是会计信息化不可或缺的一部分,但企业以及审计人员对会计信息化开展IT审计的意义和作用、必要性和紧迫性认识不够,对IT审计多持等待与观望态度。另一方面,企业为了控制审计成本,会计信息化过程中自发开展IT审计的不多,多是被动应对。

it审计论文篇(4)

一、IT内部审计同IT治理和内部控制的关系

信息技术的重要性和复杂性使之影响到公司的决策及执行,IT管理也表现出越来越严重的问题,主要表现在:IT投资变得无法控制;风险控制与服务质量不能令其他部门满意;由于IT的专业性,IT战略规划常常同公司总体战略难以协调,可能导致影响公司总体战略的贯彻执行。IT治理就是为解决这些矛盾而引入的概念,现在IT治理已经在很多企业内实施,IT治理是公司治理的一个关键部分,它能使企业合理利用IT资源,促使IT投资收益最大化,使得IT在复杂的管理环境下有效进行相关风险管理,从而保障IT服务质量,推动企业整体目标的实现。IT内部审计是IT治理的重要组成部分,对IT治理起到促进作用。保险公司内部控制是指保险公司各层级的机构和人员依据各自的职责,采取适当措施,合理防范和有效控制经营管理中的各种风险,防止公司经营偏离发展战略的机制和过程。通过对内部控制的测评,确定系统信息的可依赖程度,评估控制风险的水平,减少审计工作量,节约审计成本,从而保障审计质量。内部审计是现代企业法人治理结构的内在需求,尤其是对于以经营风险为主的保险公司来讲,有效的内部审计对企业防范风险起到至关重要的作用。为有效节约审计成本,提高审计效率,外部审计也会使用内部审计工作成果。当然,两者在职能、地位、作用等方面都存在很大不同。内部审计部门是公司重要部门,内部审计是公司内部的一种独立、客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进公司总体目标的实现。内部审计人员需要熟悉公司保险经营和投资经营的运作流程,从整体上把握企业的经营管理。

二、现阶段保险行业IT内部审计特点

1.顺应政府监管的要求保险行业上市公司除中国人寿在美国上市需要执行SOX法案之外,其他保险公司需要执行保监会《保险公司内部控制基本准则》第三十条中有关于信息技术控制的专门条款,《保险公司内部控制指导原则》第八章支持保障系统中的48~53条中关于计算机信息系统控制的要求。

2.技术标准的选择一般监管部门会就IT内部控制提出基本准则和指导原则,选择具体的审计标准来达到政府的监管要求是保险公司IT内部审计需要解决的问题,现在有关IT内部控制和IT审计的国际标准很多,这些标准各具特点。一般保险公司的做法都是按照COBIT标准,根据自身特点,结合信息系统生命周期各个阶段的不同特点有选择性地实施COBIT控制模型,COBIT将IT过程、IT资源及信息与企业的策略、目标联系起来,形成一个三维的体系结构。其中,IT准则反映了企业的战略目标,从质量、成本、时间、资源利用率、系统效率、保密性、可用性等方面来保障信息的安全性和有效性;IT资源包括专业人才、应用系统、技术、设施及数据在内的信息相关的资源;IT过程从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面,确定了34个信息技术处理过程。

3.IT审计技术与方法该方法主要包括测试数据法、平行模拟法、嵌入审计模块法、虚拟实体法、受控处理法、受控再处理法和程序代码检查法。

4.有效控制IT内部审计把对审计风险的检查控制作为IT内部审计的重要质量控制目标。审计风险分为重大错误风险和检查风险,由于IT系统复杂性,检查风险是客观存在的,为避免检查风险的出现需要对IT内部审计进行有效控制。

5.采用非现场审计的方式依靠强大的信息技术的平台,IT内部审计主要采用非现场审计的方式进行。通过远程方式对审计对象相关数据和资料的不断搜集、整理和分析,把审计由事后审计变为事前统一规范、事中监督预警、事后定期分析回顾的过程。

三、保险业IT内部审计需要关注的问题

1.业务与IT联合审计IT内部审计与其他内部审计相比在技术上有其独特之处,如今IT和业务的融合越来越紧密,IT在支撑业务同时,也利用新的技术手段引领业务发展。因而IT和业务也需要进行联合审计,交付给公司管理层一个统一、全面的审计结论,使得审计结果更好地服务于公司稳定发展的总体目标。

2.从公司治理结构上解决审计独立性问题如何加强内部审计的独立性一直是内部审计探讨的重点,现在很多保险公司IT内部审计独立性从组织结构上来说还没有得到彻底解决,成立有公司决策层参加的审计委员会、有独立于IT研发和运维IT内部审计机构以保障IT内控审计和实质性审计的客观公正,是IT内部审计独立性的必然要求。

3.提高IT内部审计人员比例和素质IT审计是IT技术和审计技术相结合的边缘学科,IT审计人才是复合型人才,需要原来的IT技术人员和内部审计人员彼此钻研对方的学科,同时掌握财务、运营、商务等管理知识,在通过CISA认证的同时还需要有CFA、CIA、CISP等认证。人员素质的提高也是通过需求拉动的,只要公司有相应的需求和激励措施,人员素质的提高是指日可待的。

4.新技术和IT审计新理念、新技术的吸收运用新技术、IT审计新理念、新技术层出不穷,新理念、新技术对提高生产力、拉动经济增长、改变生活方式等具有良好的促进作用。只有加强对新理念、新技术的了解,迅速做出应对,才能适应时代的发展变化。

5.处理好IT内部审计的关系一是IT内部审计与IT研发、运维、管理关系;二是调整好内部审计与社会审计、国家审计的关系;三是摆正IT内部审计在公司内部审计中的位置。

6.成本效益原则IT内部审计同样需要遵从成本效益原则,不能进行不计成本的投入,服务公司追求股东利益最大化的整体目标,在兼顾效益的原则下进行适度审计。

it审计论文篇(5)

一、引言

21世纪,以计算机网络为代表的信息技术进一步迅猛发展,并不断更深入地渗透到生产、生活的各个层面。随着技术要素的渗透,计算机会计信息系统日益普及,计算机审计工作近年来蓬勃发展起来。目前的计算机审计虽然仍是桌面审计,但已逐步摆脱绕过计算机审计阶段,进入到穿过计算机审计、利用计算机审计阶段,并将随着网络经济的迅猛发展,向网络审计阶段进军。目前许多跨国公司已经开始普遍使用大型管理信息系统,但随之产生的问题是,信息系统对生产经营和管理的影响越重大,管理人员面对的经营风险和财务风险也越大。信息风险对企业生存和发展的挑战,使企业对信息系统的依赖程度越大,信息系统安全和运营隐患可能带来的伤害也就越严重。因此,信息系统必须随时置于专家的监控之下。

信息系统审计师,也称IT审计师或IS审计师,是指一批专家级人士,既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全,又熟悉经济管理的核心要义,能够利用规范和先进的审计技术,对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。IT审计师是由“国际信息系统审计与控制协会(ISACA)”认证的。ISACA是国际上惟一的信息系统审计师专业组织。会员被称为信息系统审计师,也就是我们通常所说的IT审计师,其主要从事的工作包括:向客户提供与信息系统相关的服务,在财务审计中对被审计单位的信息系统的了解、测试和评价以及计算机辅助审计技术的运用等方面。一般的IT审计师都具备全面的计算机软硬件知识,对网络和系统安全有独特的敏感性,并且对财会和单位内部控制有深刻的理解。因此,目前IT审计师已经成为全球范围最抢手的高级人才之一。

二、IT审计师的出现迎合了计算机审计的发展

计算机审计的发展一般要经过绕过计算机审计,穿过、利用计算机审计和网络审计三个阶段。其中前两个阶段属于计算机桌面审计系统。绕过计算机审计是指将计算机处理系统看作是一个“黑箱”。根据被审对象对计算机数据处理系统输入的原始数据,通过手工操作,将处理结果与计算机处理系统的输出进行对比,检查其是否一致,属于计算机审计的初级阶段。穿过计算机审计是对计算机数据处理系统进行审计,包括系统目的与功能需求是否达到,系统分析与系统设计是否先进、科学和实用,程序设计是否正确可靠,内部控制是否健全、可靠,管理制度是否严密、有效,文件资料是否齐全、完整等。利用计算机审计是为实施审计专门开发电子计算机程序,检验被审单位电子计算机程序的可靠性。网络审计是指综合运用计算机网络及其相关技术手段对网络经济及网络系统进行审查的新型审计,是计算机桌面审计系统发展的高级阶段。

随着目前电子商务等网络经济的发展和完善,网络审计势在必行。从审计的客体角度方面,网络审计的模式是建立在网络基础上,对被审单位一定时期内全部或部分经济活动,特别是正在发展中的电子商务、电子金融、网络财务和网络会计等进行审计的计算机系统。它包括两个方面:其一是对被审系统开发过程进行审计;其二是对被审系统运行过程及其结果进行审计。目前计算机审计的发展大多还处在只是对被审系统运行结果进行审计,或进一步对被审系统运行过程进行审计,这样的审计是建立在假定被审系统安全、可靠基础上的。而实际上这种假定是否合理,是应当予以验证的,这种验证也就是要对被审系统的安全性、稳定性和有效性进行审计、检查、评价和提出改造建议。而这也正是IT审计师的主要工作,并且这部分工作也是一直上溯到被审系统开发过程的。因此,IT审计师的出现正好迎合了网络审计模式的需要。IT审计师虽然主要源于信息系统安全问题而产生,其主要工作也含有较高的计算机技术因素,但就发展来看,IT审计师的出现迎合了计算机审机的发展趋势,昭示着计算机审计不久将随着电子商务和网络财务等的全面展开而逐步发展到网络审计阶段,未来的IT审计师们也将成为网络审计的“主力军”。从这个角度上讲,IT审计师也是计算机审计发展的必然产物。

三、IT审计师在网络审计的重要作用

计算机审计发展到网络审计后,计算机审计的主要内容将包括网络安全技术与内部控制系统的审计、系统开发审计、应用程序审计和数据文件审计等四个部分。通过分析可以发现,这四个部分的内容,不同程度地与IT审计师相关联,IT审计师在其中将起重要的作用。

(一)网络安全技术与内部控制系统的审计

从Internet诞生起,信息和网络的安全性就成为关注的一个焦点。在Internet发展的每一个阶段,安全问题也都是基础性的、关键性的因素。对于网络审计,其首先遇到的也是网络的安全性测试问题。与安全性相应的还有网络系统内部控制的测试问题,网络系统内部控制包括一般控制和应用控制两个方面。一般控制包括组织控制、软件开发、硬件和系统软件控制、系统安全控制、维护控制和文档控制等方面的审查与测试。应用控制包括输入控制、处理控制和输出控制。IT审计师的主要工作就是利用标准、规范和先进的审计技术,对信息系统的安全性、稳定性和有效性进行测试、检查、评价和改造。IT审计师首先关注信息系统的安全性,没有安全就没有一切,IT审计师会采用各种方法来测试系统的安全性,并对来自内部和外部的安全隐患提出相应对策;IT审计师还要审查信息系统的稳定性,没有长期稳定性,信息系统就无法承担起激烈竞争的压力,IT审计师会提出一系列对策保证客户信息系统的万无一失;IT审计师还要鉴别信息系统的有效性,最安全和最稳定的系统不一定是最有效的系统,而效率不高的系统就会消耗企业大量的资源,一般情况下,一说到信息系统建设,大家都觉得是工程师或程序员的事,事实上,这是非常错误的观点。一个好的系统,在安全和稳定的前提下,必须最大程度地符合企业经营流程的特点,经济、有效地解决问题和提供信息。要做到这一点,信息系统开发和维护过程中,就必须有大量的经营管理人员参与,设计出最优的信息流转路径。如果不重视信息系统的有效性,其危害同样是巨大的。一方面由于其繁琐和复杂,导致内部业务人员不会用、不想用或使用不当;另一方面使用过程中的差错又会导致稳定性和安全性方面的问题。显然,要对信息系统的安全、稳定和有效进行监控,就不单纯是某类技术人员能够完成的任务,经过专业训练,经验丰富的信息系统审计师将在这一领域发挥重要的作用。信息系统审计师的突出特点就是兼通技术和管理,能够利用规范的审计手段,比较客观和冷静地分析、评价企业现有信息系统的运行,并从专业的角度提出建议。

通过以上分析可以看到,IT审计师的工作中实际上已经包含了网络安全技术与内部控制审计的内容。进一步从IT审计师的服务对象分析,IT审计师主要是为以下几类对象服务的:

软件供应商。特别是经济管理类的集成软件供应商,需要信息系统审计师参与产品设计、规划和检测,并对客户现有信息系统进行评价,提出改造设想。全球所有重要的ERP和CRM产品供应商都聘请大量信息系统审计师,管理咨询机构。20世纪90年代以后,管理咨询的重点已经逐步发展为提供一揽子解决方案,其中信息系统的配置,就是解决方案成功的基础。国际知名的管理咨询机构中,有50%以上的员工熟悉信息技术,其中20%拥有信息系统审计师资格。

会计师审计师事务所是信息系统审计师最早的落脚点,“五大”国际会计公司超过30%的收入来自于风险管理部门。这个部门的最主要工作就是监控客户的信息系统风险和运营风险,同时为客户提供ERP或CRM的安装、维护和培训。会计师审计师事务所中传统财务报表审计也越来越离不开信息系统审计师的贡献。没有他们的工作,评估内部控制风险和企业固有风险将成为一句空话。人们常常看到,“五大”会计公司里,最年轻的合伙人或经理,往往都是信息系统审计师,因为这是一项年轻人的工作。

跨国公司。作为信息系统最集中的用户,跨国公司急需大量信息系统审计师,一方面参与信息化建设的过程;另一方面时刻保持对分支机构的信息监控。还有一种最新迹象表明,跨国公司内部审计部门也在大量招聘信息系统审计师,以加强内部的监督和牵制。

大型国有企业和上市公司。这些机构往往有雄厚的财力来实现管理的信息化、保证生产经营的稳定性,他们对信息系统审计师的要求和跨国公司类似。

(二)系统开发审计

系统开发过程一般分为:系统初步调查和可行性研究、系统详细调查和系统分析、系统总体设计、系统详细设计、程序编制、程序调试、系统调试、系统转换、平行操作试验、系统评审、系统维护和评价等过程。系统开发审计是事前审计,实际上是审计人员参与系统的全过程。主要监督审查下列问题:1.系统的功能是否恰当、完备,能否满足用户商务活动的需要;2.系统的数据流程、处理方法是否符合有关商贸法规;3.系统是否建立了恰当的程序控制,以防止或发现无意的差错或有意的舞弊;4.系统是否保留充分的审计线索,保证了电子商务系统的可审性;5.系统的安全保密措施和管理制度是否健全,能否保证系统安全、可靠地运行;6.系统的文档资料是否全面、完整。这部分内容和IT审计师的工作内容实际也是相适应的。因为IT审计师正是参与一个系统分析、设计和调试运行全过程的“保健医生”,并且IT审计师最关注系统的安全、稳定、有效。

(三)应用程序审计和数据文件审计

应用程序是信息系统的核心,其是否遵守国家财经法规和政策,对经济业务的处理是否合规、合法、正确等,均体现于应用程序。可以手工对应用程序直接进行审查,也可以使用计算机辅助方法,还可以通过数据在程序上的运行间接测试。电算化会计信息系统中,实质性测试的对象是数据文件。对数据库或数据文件的审计主要目的是为确保数据的完整性与正确性等。对数据文件的实质性测试包括:对各账户余额和发生额直接进行检查;对会计数据进行分析性复核,旨在对数据文件进行实质性测试;测试一般控制措施或应用控制的符合性。可以使用不处理数据文件的实质性测试方法、处理实际数据文件的实质性测试方法及处理虚拟数据文件的实质性测试方法。这两部分内容没有IT审计师的技术支持,一般审计人员也难胜其任。

it审计论文篇(6)

一、以准则框架进行信息系统风险分类识别

(一)组织层面的IT风险

证券公司组织层面IT风险主要表现为以下方面:

1.缺乏明确的IT战略目标、IT目标与公司整体战略及业务目标不匹配造成的风险。

2.IT治理组织架构、授权机制、制度体系不健全对IT安全运行管理造成的风险。

3.IT部门人力资源管理(资质、培训、保密要求等)、岗位设置与职责分工控制不力造成的风险。

4.IT与业务之间的联系框架与工作机制运行不畅造成信息沟通、协作配合不良风险。

(二)一般层面的IT风险

证券公司一般层面的IT风险是指与IT网络、操作系统、数据库、应用系统及IT技术设施等IT基础环境相关的风险,主要表现为以下方面:

1.信息安全管理政策、物理与逻辑访问控制、用户身份认证,职责分离等控制缺失或不当造成的风险。

2.由于IT系统变更、参数设置授权与审批,变更测试与移植等控制缺失或不当所造成的风险。

3.因IT系统开发和采购授权审批,开发、测试与生产环境的隔离,系统测试、审核、移植等工作环节控制缺失或不健全所造成的风险。

4.由信息技术资产管理、系统容量管理、系统物理环境控制,系统和数据备份及恢复管理,问题管理和系统的日常运行管理等操作所产生的风险。

(三)业务流程层面IT风险

证券公司业务流程层面的IT风险来自于信息系统对业务数据输入、处理、输出的处理过程,主要表现为以下方面:

1.由于IT系统的数据输入授权、数据完整性与正确性检查以及系统间数据传输等控制缺失或不健全所造成的风险,如关键业务系统用户与权限管理风险(交易系统、清算系统、财务系统等)、重要业务操作授权、检查与复核风险。

2.由于IT系统对数据处理过程中的控制缺失或不健全所造成的风险。

3.对IT系统输出信息控制缺失或不健全所造成的风险,如信息存储、传输的安全保密风险。

二、风险评估

通过风险识别,可以将企业IT风险的全貌进行分类展开并列示,风险评估过程是针对所列示的风险进行量化与排序的过程。如前文所述,我们通常将IT复杂性、控制水平以及可能造成的财务损害3个方面作为评价打分构成项目,并把这种方法称为“综合矩阵法”。

需要注意的是,IT风险评估是一个持续的过程,伴随业务流程的不断变化、技术的不断进步、威胁随着新弱点的出现不断产生、监管要求不断更新以及审计方法不断改进等因素的影响,证券公司IT风险评估的技术与方法还需在实践中不断总结、探索与改进。

三、审计计划

国际内部审计师协会(IIA)外部质量评审报告指出,建立一项适当的IT审计计划成为内部审计活动中最重要的环节。不适当的IT审计计划将影响整体审计工作的效果与质量。

在制订时IT审计计划应该遵循“覆盖最大的风险和可以为组织增加最大价值的领域”原则。审计人员应在风险评估的基础上制订能够实现审计目标的审计计划。

审计计划内容要素包括:审计范围与目标、审计所涵盖具体内容、审计适用的法规及审计准则、审计的方法与程序、审计的资源配置等方面。

在制订信息系统审计计划时,还需要注意以下问题:第一,审计资源预算对审计计划具有重要的影响,审计项目负责人要根据人员配置、时间安排、需要重点开展的检查与评价活动,合理匹配审计资源。其次,IT系统作为审计对象时,审计计划中应涵盖对每一风险层面的审查。如:在“ABC公司网上交易系统专项审计”与“ABC公司财务系统专项审计”两个项目中均应对相关信息技术的组织层面、一般层面及业务流程层面的风险进行评估与检查。

四、检查测试

实施证券公司信息系统审计的检查与测试过程可以分为一般性检查、符合性测试与实质性测试3个阶段。

其中符合性测试是对已有的关键控制要点的实际作用进行测试,而实质性测试是对系统处理生成的财务信息、业务信息等处理结果的合法性、真实性、准确性进行直接检查或分析性复核。例如:证券营业部岗位隔离控制中要求交易系统管理员不得具有业务操作的职能。审计中对这种控制措施是否存在和有效执行的检查过程,为符合性测试。经测试,营业部并没有按照要求设置系统管理员权限,说明这种控制实际为无效,存在风险隐患,所以需要进一步在系统交易记录中检查系统管理员是否实施了违反规定的业务操作,这种检查系统业务数据的过程则属于实质性测试。

根据上例可以看出,对系统进行符合性测试的重点是在对内部控制初步评价的基础上得出的,在进行实质性测试之前,应当先对这些控制点进行符合性测试,并根据测试结果判断风险等级,确定实质性测试的要点与范围。也就是说,在符合性测试中认为控制失效的领域,风险更高,审计中应加大实质性测试的样本数量与审计检查的力度,这也是基于风险导向型审计程序的实际应用。

在对信息系统检查与测试工程中,审计人员除了运用询问访谈、问卷调查、现场观察、审阅文件、分析性复核等传统审计方法外,还经常会用到绘制控制流程图、穿行测试、并行模拟、渗透性检测、嵌入式审计模块等技术。

运用穿行测试将预先设计的测试数据输入系统,并将系统输出与预期的结果进行对比,检查系统处理过程是否正确。而并行模拟是对实际业务的系统处理结果进行重新计算,以验证系统计算准确性。例如为了验证证券公司财务核算系统中的自营投资证券成本价计算结果,我们从投资交易系统导出中的证券交易流水,用EXECL表格进行并行模拟计算,并与财务核算系统结果进行比对。与穿行测试相比,并行模拟不会对生产系统产生任何影响。

信息系统审计人员应当在对相关审计程序充分理解的基础上,采用适宜方法开展检查与测试工作。审计人员对有些审计方法与工具的配置和使用时,除了考虑成本效益性之外,还应特别关注对生产安全的考虑,证券公司IT管理层一般情况下不允许审计工具对生产系统的直接访问。因此, 在证券公司信息系统审计中执行穿行测试、渗透性检测等操作时,应与IT管理层充分讨论并得到授权。

测试与检查的过程中,审计人员需要根据实际情况进行持续的风险评估,并对评估发现的重要剩余风险开展进一步的检查与测试。

五、沟通与报告

信息系统审计具有专业性、复杂性及IT与业务的关联性等特征,为了提高审计质量与效果,有效沟通在其中发挥着重要的作用。沟通的作用主要表现在3个方面:首先,内部审计部门与董事会与管理层之间公开和详细的沟通有助于改善公司IT审计效果;其次,内部审计将被审计部门作为“客户”,双方通过充分的沟通增进对审计发现问题理解与认同,为被审计部门有效改进IT薄弱环节提供帮助;第三,审计组人员的内部沟通是协调审计工作、达成审计目标的关键。

审计报告是审计工作的最后产品,也是发挥审计效能,体现审计价值的重要工具。在审计实施结束后,审计人员应以充分、可靠及相关的审计证据为依据形成审计结论与建议,出具有建设性的审计报告。

六、后续跟踪

it审计论文篇(7)

公司治理的效率、效果直接依赖于许多的制度要素。这既包括审计和信息披露的质量,也包括法律系统对契约的监督以及对外部投资者的保护能力等。例如,在逆向选择的框架下,我们可以看到:一个更好的会计标准和更及时的信息披露要求将大大减轻经理人与外部投资者之间的信息不对称,从而便利了融资,降低了风险。因此,公司治理的核心问题是信息不对称性或不完全性,解决公司治理问题,最核心的是公司信息的真实、准确以及处理与传递的效率问题,而IT技术在实时披露、实现透明度原则和体现监控力度上正日益成为有效的工具。2002年美国颁布的《萨班斯法案》对公众公司提出了更高的要求,法案的409条款要求上市公司必须向投资者实时披露必要的信息,包括图片、表格等信息,302、404条款要求公司应定期评价其信息系统及其内部控制的充分性来保证提供给投资者信息的准确和完整,强调公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任。因此,研究IT治理,加强IT控制,降低风险,有效地实现公司治理,成为全球关注的问题。

公司治理是建立组织各利益相关者之间的相互制衡机制,管理风险,有效实现组织目标的一系列过程及制度。内部控制制度是实现善治的制度安排之一。IT治理是实现公司治理的工具。IT治理不等于治理IT技术,它是一个信息时代背景下的制度安排,包括内部控制、审计以及公司信息的披露等。IT内控是内控的一个组成部分,信息时代,企业管理信息化水平日益提高,信息资产成为企业的核心价值资产,IT在给企业带来竞争力的同时,也带来了极大的风险。因此利用IT技术加强内部控制,并对信息系统自身加强管理控制,成为公司治理及IT治理必不可少的组成部分。IT内控是强化风险管理,完善信息时代公司治理的必要手段。IT治理、内部控制、审计、风险管理体系等都是促进公司治理的有效工具。

SOX法案的出台,对企业的公司治理、IT治理及IT内控提出了更严格的要求。

一、SOX法案的要求:

1.对公司治理的要求:

(1)要求上市公司必须建立审计委员会,并对审计委员会的人员组成做出了规定,保证审计委员会的独立性,同时赋予审计委员会更多的责任:《萨班斯-奥克斯莱法》,及其紧接着全美证券交易商协会和纽约证券交易所于2003年11月又的新的公司治理最终规则详细地界定了审计委员会的职责, 具体来说应包括:1)每年获取并审查独立董事提交的报告。2)与管理当局、独立审计师一起讨论经审计的公司年度财务报表和季度财务报表,包括公司在“管理当局对财务状况和经营结果的讨论和分析”项目中进行公告的财务事项。3)讨论公司收入公告及向分析师和评估机构的财务信息、收益指南。4)讨论风险评价、风险管理政策。5)分别与管理当局、内部审计师(或其他负责内部审计机构的人员)和独立审计师定期会面。6)与独立审计师讨论所有的审计难题以及管理当局的反应。7)制定清晰的关于聘用现任或前任独立审计师的政策。8)定期向董事会报告

(2)增加高管人员及董事会的责任:CEOs and CFOs必须保证财务报告真实,要求发行人的CEO和CFO保证定期报告没有对重大事件的不真实表述,也没有遗漏必须披露的重大事件,并保证财务报告在所有重大方面都公允反映了发行人的财务状况和经营成果。在此基础上,法案单独规定了对管理人员证明财务报告时失职的刑事处罚。CEO和CFO如果知道定期报告不符合上述要求但仍然做出保证的,将判处不超过100万美元的罚款,或是不超过10年的监禁,或是二者同罚;如果是蓄意做出书面保证的,将判处不超过500万的罚款,或是不超过20年的监禁,或是二者同罚。

2.萨班斯法案对内控的要求:

(1)法案302要求:公司管理层设计所需的内部控制,并保证首席官员能知道该公司及其合并报表子公司的所有重大信息,尤其是报告期内的重大信息;评价公司的内部控制在签署报告前90天内的有效性;在该定期报告中他们上述评价的结论。

(2)法案404节要求:编制的年度报告中包括内部控制报告,包括:强调公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任;发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价

3.萨班斯对审计师的要求:增加了审计师对信息系统的审计,要求审计师必须了解业务如何穿过系统,而不是绕过系统。审计师必须了解业务流程,评价IT 应用控制与一般控制的设计及效果。评价 IT 控制设计效果,确定这些控制设计是否适当地实现相关目标。实施IT控制执行效果测试。

二、对上市电信运营商的挑战

萨班斯法案对高管严格的法律处罚令其中许多公司的最高管理层都如坐针毡、夜不能寐。美国有多达5000家大中型公众公司在2004年11月15日后结束的财政年度中紧张异常,这而对于公司治理尚不完善的中国电信企业领导来说,更是意味着要承担重大国际法律责任的风险。公司治理决定企业的兴衰,企业的兴衰决定国家的兴衰,因此公司治理建设不能出现任何重大失误。

我国电信企业在公司治理制度在股份制改造过程逐步发展,中国网通借美国上市契机建立了新型的公司治理结构,董事长与CEO分离,在董事会下设4个委员会:审计委员会、战略规划委员会、公司治理委员会和薪酬委员会。2005年3月7日,在京召开的中国电信集团实业工作会议明确:经过3年左右的时间,逐步规范法人治理结构。由于我们的企业处于社会转型的特定时期,公司治理水平与日、美等发达国家有一定的差距。信息产业部电信研究院公布的《中国电信业国际竞争力发展报告(2004年)》显示,我国电信业国际竞争力在全世界主要国家和地区中(共33个国家和地区)排名第14位,然而细细看来,却发现了很多隐忧。报告将国际竞争力解析为3大竞争力:环境竞争力、市场竞争力和企业竞争力,其中企业竞争力排名27,企业竞争力指数包括“技术创新”、“生产率”和“公司治理结构”,排名分别为18、28和21.不难看出,目前我国电信企业的公司治理水平。要成为电信强国,环境竞争力、市场竞争力和企业竞争力三者缺一不可,因此,我国目前距离电信强国还有较大差距。从分析要素来看,法律和制度框架、政府效率,以及企业技术创新、公司治理结构等 “软件”能力偏弱,单条腿走路。我国几大运营商中虽然已经有中国移动和中国电信进入了财富500强,虽然几大运营商均已上市实现了公司化治理,但由于脱胎于老的国有企业,因此公司管理能力和治理结构仍有待提高。因此,提高企业竞争力,就应该从改善公司治理结构做起。

三、运用信息化手段,完善公司治理

1.完善公司治理机制。我国电信运营商需要健全公司内部治理的规则和程序、建立公司的合法守规管理、完善约束与激励机制、加强公司的内部控制体系以及建立公司的风险管理与控制机制。虽然在现有的公司治理结构中,有些公司也有审计委员会、独立董事等监督机制,但这些人员的任职资格、发挥作用的程度、以及职责定位等都需要进一步改进。

2、利用信息技术,完善公司治理的监控体系。公司治理是一种对公司管理和运营进行监督和控制的体系。其核心是在所有权和经营权分离的条件下,解决好所有者和经营者的利益不一致而产生的委托-关系。由于委托人(所有者)和人(经营者)是不同的利益主体,委托人(所有者)与人(经营者)相比处于信息劣势的情况下,必然有成本或激励问题的产生。为完善公司治理,必须重视委托与之间的信息不对称问题,通过对公司重要信息有效的传递、鉴别和处理,使成本最小化,提高企业的经营绩效。萨班斯法案强化公司治理要求的目的也是提高上市公司透明度,提高公布信息的质量,加强信息披露,从而保护投资者的利益。

在市场经济中,信息交换是否充分,是否对称,直接关系到市场经济是否公平、是否有效。为了保证信息公平、公开,人们设立了一系列内外部机制。独立董事担任的审计委员会,公司聘请的会计师事务所都层层对公司财务信息的真实性、准确性、及时性进行审核、这些约束与激励机制的有效性取决于公司信息真实与准确性和处理与传递效率的问题。在这点上,IT技术正成为日益有效的工具。

萨班斯302、404、以及409等条款对公司的要求,使得IT在公司治理机制中的作用日益凸现。由于信息技术不以人们的意志为转移地在各类组织中的普遍应用,IT在各类组织中的多层次、横纵向嵌入,正在改变着组织的业务流程,进而改变组织的结构、组织的管理及公司治理;特别是电信企业对IT的依赖性非常大,没有相应IT治理机制的公司治理,使无法满足萨班斯的严格要求的。由于IT治理已成为完善公司治理的重要手段,成为实现 IT与业务的匹配管理、IT价值贡献管理、IT风险管理、IT绩效管理等的重要保证,花旗银行等美国大金融企业已经引进或正在引进IT治理机制。

国资委连续举办的旨在推动企业建立全面风险管理系统,进一步完善公司治理机制的企业全面风险管理培训上,也提到在公司董事会层面建立IT治理委员会,建立IT治理机制,完善信息时代的公司治理,促进现有公司治理制度安排的有效执行。但由于信息技术在治理方面所具有的复杂性,完善IT治理机制,构建符合萨班斯要求、适应时展的公司治理机制任重道远。

构建IT内控系统的思路

(1)不能因耗时且成本高昂就摒弃原有的IT控制而另搞一套。SEC管制条款内容复杂,为了满足萨班斯法案的要求,大多数企业需要调整其员工观念和企业文化,通常也需要对IT系统和其处理流程作一些改进,改进的内容包括其控制设计、控制文件、控制文件的保留,以及IT控制的评估等方面。这是一个循序渐进的过程,不能将原有的一切推倒重来。

(2)要选择好内控框架。法案并没有规定公司必须选择什么样的内控框架, 需要企业自己抉择。国际上比较有名的内控模式有英国的Cadbury、美国的COSO 和加拿大的COCO , 它们从不同的角度剖析公司的经营管理活动, 为营造良好的内控框架提供了一系列的趋于一致的政策和建议。第2号审计标准依据COSO制定的内部控制框架制订,在“管理层用于开展其评估的框架”一节中,明确管理层要依据一个适宜且公认的由专家群体遵照应有的程序制定的控制框架,来评估公司财务报告内部控制的有效性。SEC对该标准的认同等于从另外一个侧面承认COSO框架。COSO 认为内控是由企业董事会、经理层和其他员工实施的, 为营运的效率效果、财务报告的可靠性及相关法令的遵循性等目标的达成提供合理保证的过程。内控框架的构成要素包括控制环境、风险评估、控制活动、信息和沟通、监督五个方面。这套理论得到了包括SEC、公司管理者、投资者、债权人及专家学者的普遍认可, 国外许多公司都依据这个框架建立了内控系统, 我国公司也可以按COSO 建立内控框架, 逐步与国际管理模式接轨。通过引入COSO 内控要素, 形成一个相互联系、综合作用的控制整体, 使单纯的控制活动与企业环境、管理目标及控制风险相结合, 形成一套不断改进、自我完善的内控机制。

但是很明显,SEC所推荐的COSO控制框架有助于遵循萨班斯法案,虽然它针对的是内部控制,但没有对IT控制目标和相关控制活动提出具体的要求与限制。由于COSO框架缺少对IT内部控制的内容,所以单独以COSO为构建IT内部控制的框架显然是不合适的。COBIT为管理IT风险与IT控制提供了一个综合性的分析框架,是另外一个被国际认可的业内标准,由4大部分、34个IT处理流程、318个详细控制目标组成。COBIT也涉及企业经营、萨班斯法案遵循等方面的控制。但在萨班斯法案要求下,我们只考虑应用COBIT中与财务报告相关的控制。

因此Cobit与COSO结合作为构建IT内部控制框架,将是两种国际标准优势互补。同时在确定控制点、控制程序、留下相应审计轨迹时,也可以参考BS15000以及ISO17799等一些国际标准,这些标准都是IT运营、安全方面可审计的一套标准管理控制体系。

(3)要建立一套自评估机制,确保内部控制系统的持续有效

从历史来看, 企业的发展阶段和管理状况,以及外部环境的变化都是决定企业内控系统建立和运行有效的前提。任何内部控制系统都只是在一个特定的历史阶段有效,管理层对内部控制有效性的声明,要求公司必须建立一套自我评价机制,评价内部控制系统设计、执行是否有效,以支持管理层的声明。同时自我评估机制也可以帮助公司发现控制弱的区域,以及控制漏洞,及时审势度势,弥补内控系统的缺陷,确保内部控制系统持续有效。这也是萨班斯法案所要求的。

控制自我评估(CSA)是指企业内部为实现目标、控制风险而对内部控制系统的有效性和恰当性实施自我评估的方法。国际内部审计师协会(IIA)在1996年的研究报告中总结了CSA的三个基本特征:关注业务的过程和控制的成效;由管理部门和职员共同进行;用结构化的方法开展自我评估。CSA最早出现在20世纪80年代末期,但其最主要的发展是在90年代,特别是在1992年COSO报告公布之后。COSO报告首次把内部控制从原来自上而下财务模式的平面结构发展为更具弹性的企业整体模式的立体框架。传统的内控评价方法只能用来评价诸如财务报告,资产与记录的接触、使用与传递,授权授信,岗位分离,数据处理与信息传递等的“硬控制”。在新的内部控制模式下,迫切需要评价包括公司治理,高层经营理念与管理风格,职业道德,诚实品质,胜任能力,风险评估等的“软控制”。在这种情况下,作为一种既可以用来评价传统的硬控制,又可以用来评价非正式控制即软控制的机制,CSA得到了普遍的信赖。

图1 自评估流程(略)

如图1所示,自评人员首先选择要评审的内控流程, 然后对其设计的健全性进行评价, 如果健全, 则测试其运行的有效性, 最后综合设计测试和运行测试, 评价内控系统的健全性和有效性。如果设计测试结果为不健全, 则直接进行内控系统的评价, 而不再进行运行的有效性测试。

内控系统设计测试是指为了确定被审计单位内控政策和程序设计是否合理、恰当和完善进行的测试。健全的标准即设计合理、恰当和完善, 能有效保证信息的机密性、完整性和可用性。运行有效性测试是指, 为了确定被审计单位的内控政策和程序在实际工作中是否得到贯彻执行, 并发挥应有的作用而进行的测试。有效的标准即内控政策和程序在实际工作中得到了贯彻执行并发挥了应有的作用。

为了帮助评估控制设计,图2(略)提供了一个IT控制设计与运行有效性模型,它将依赖于企业所达到的状态、阶段,我们认为有必要花时间来改进控制程序的设计和有效性。

图2显示了企业中存在的控制可靠性的各种等级。就建立内部控制目标而言,一些企业可能愿意接受等级不高于3的IT内部控制。然而,考虑到萨班斯法案要求的“外部审计师应就控制出具独立的证据”这一要求,对一些关键性的控制活动,控制的可靠性则不能低于3等级。

控制运行的有效性评估。一旦控制设计的评估结果认为内部控制设计适当,就需要对其目前和以后的运行是否有效予以测试,而该测试由控制负责人及内部控制程序管理团队来进行。

一般而言,有些控制(如一般控制)程序是其他控制程序(如应用控制)的基础,企业组织对这些控制的测试范围应更广、频率更高。判断测试范围是否恰当时,组织应该考虑IT控制是如何影响财务信息披露与报告过程的。

一些企业利用外部服务机构所提供的外包服务,这也应该视为企业整个经营职责的一部分,在整个IT内部控制程序中应予以考虑。