前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的簡述內(nèi)部控制的概念和要素主題范文,僅供參考,歡迎閱讀并收藏。
管理控制、會計控制和業(yè)務(wù)控制是內(nèi)部控制中三個不可分割的重要方面。與內(nèi)部控制一樣,會計控制理論與實(shí)務(wù)也是隨著的變革、環(huán)境的變化、競爭的加劇、內(nèi)部管理的需要而不斷豐富、和完善的。
但是,與起源于20世紀(jì)80年代并迅速發(fā)展的經(jīng)營管理革命相比,在財務(wù)和會計領(lǐng)域所發(fā)生的革新落后了一代(Thomas和Walther,1997),表現(xiàn)在“實(shí)時控制觀沒有得到會計理論和實(shí)務(wù)界的普遍重視,使得會計流程遠(yuǎn)離業(yè)務(wù)流程,導(dǎo)致為管理者提供的信息仍然是滯后的,無法滿足實(shí)時控制的需求。IT環(huán)境下實(shí)時控制的研究非常匱乏,使得會計只注重核算職能,控制職能弱化,特別是利用信息對經(jīng)營活動全過程進(jìn)行實(shí)時控制無法真正得以體現(xiàn)”(閻達(dá)五,2003)。筆者以泛系理論及觀控技術(shù)為指導(dǎo),構(gòu)建了以泛系理論為基礎(chǔ)的會計控制觀。
一、泛系理論簡述
泛系理論,又稱泛系方法論,是我國多棲學(xué)者、武漢數(shù)字工程研究所吳學(xué)謀教授于1976年開始籌創(chuàng)的一門前沿,其前身是數(shù)學(xué)逼近轉(zhuǎn)化論與電磁介質(zhì)動力學(xué)等價論,背景是辨證綜合、跨域一體、百科整合的大科學(xué)時代。作為對、數(shù)學(xué)、科學(xué)技術(shù)、系統(tǒng)科學(xué)、美學(xué)、詩學(xué)等領(lǐng)域跨學(xué)科新的探索,泛系理論是一種似哲非哲的形而泛學(xué)的開拓。它追求數(shù)、理、工、醫(yī)、文、哲等多種專題的自創(chuàng)一家之言而強(qiáng)化百科理法之間的聯(lián)系與中介互轉(zhuǎn),在經(jīng)歷了對百科理法的八次概括、與顯生后,處于不斷發(fā)展和完善之中。
泛系理論的研究對象為一般事物機(jī)理,主要涉及廣義的系統(tǒng)、關(guān)系與對稱的一般事物機(jī)理。它一方面用逐個典型數(shù)學(xué)建模的方法,另一方面用機(jī)語言或形式語言學(xué)遞歸定義的方法,同時用橫斷科學(xué)對實(shí)踐已證原型或?qū)W科概括的方法來研究泛系范疇并使之充分可觀控建?;▍菍W(xué)謀《從泛系觀看世界》)。
泛系理論的重要技術(shù)支撐是觀控技術(shù)。觀控技術(shù)認(rèn)為,物質(zhì)、能量、信息、空間、時間是科學(xué)技術(shù)的五個基本要素,這五個科學(xué)基元中的任何一個都不能單獨(dú)存在,只有包含了物質(zhì)、能量、信息、空間、時間的五維物理泛系才能客觀、獨(dú)立地存在。因?yàn)樵谶@五個科學(xué)基元之間存在著互聯(lián)、互轉(zhuǎn)、互導(dǎo)、互生、互克關(guān)系,并在一定的條件下相互轉(zhuǎn)化。觀控技術(shù)以泛系為觀控對象,以認(rèn)清現(xiàn)實(shí)、把握未來為基本使命,是一種追求完善的系統(tǒng)技術(shù)。
二、泛系會計控制系統(tǒng)的架構(gòu)
一個企業(yè)的內(nèi)部會計控制主要是指企業(yè)內(nèi)部會計方法和其他有關(guān)方法,對財務(wù)、會計工作和有關(guān)經(jīng)濟(jì)業(yè)務(wù)所進(jìn)行的控制(李鳳鳴《內(nèi)部控制學(xué)》)。從總體上看,會計控制可分為:宏觀控制,即發(fā)展比例控制;微觀控制,即單位內(nèi)部控制。宏觀方面可以通過財務(wù)計劃、工資計劃和成本計劃等進(jìn)行控制;微觀方面可以通過經(jīng)濟(jì)責(zé)任制、目標(biāo)成本、技術(shù)經(jīng)濟(jì)定額和內(nèi)部結(jié)算制度等進(jìn)行控制。會計控制是連接管理控制和業(yè)務(wù)控制的必要環(huán)節(jié),是內(nèi)部控制的核心。
從泛系理論看,會計控制系統(tǒng)就是一個極其復(fù)雜的廣義系統(tǒng),其硬部由控制者和控制對象的集合構(gòu)成;軟部由控制關(guān)系結(jié)構(gòu)集構(gòu)成。硬部是指發(fā)生控制關(guān)系的落腳點(diǎn),在一個企業(yè)內(nèi),它可以是人、貨幣資金和實(shí)物資產(chǎn)等,也可以是子公司、內(nèi)部責(zé)任中心等子系統(tǒng);軟部是指各控制要素之間或各子系統(tǒng)之間形成的關(guān)系結(jié)構(gòu)集,它可以是規(guī)章制度、內(nèi)部管理文件等。相同的硬部可以組成不同的關(guān)系結(jié)構(gòu)集??刂频膶?shí)質(zhì)就是實(shí)現(xiàn)控制者、控制對象和控制關(guān)系三者的相對優(yōu)化匹配,即通過一定的方法、措施、技術(shù)使管理系統(tǒng)達(dá)到一定的優(yōu)化目標(biāo)。
筆者認(rèn)為,泛系會計控制系統(tǒng)的構(gòu)建應(yīng)當(dāng)包括以下幾個方面:
1.建立開放式的會計信息系統(tǒng)(AIS)環(huán)境。包括、數(shù)據(jù)庫和管理軟件,這是進(jìn)行會計實(shí)時控制的基礎(chǔ)?!伴_放式”指AIS不僅僅是企業(yè)會計部門對經(jīng)營活動信息進(jìn)行采集、加工和報告的手段,也是企業(yè)內(nèi)部其他管理部門和業(yè)務(wù)部門以及企業(yè)外部利益相關(guān)者了解企業(yè)會計信息的窗口。當(dāng)然,AIS必須進(jìn)行權(quán)利限制:經(jīng)濟(jì)業(yè)務(wù)數(shù)據(jù)的收集和記錄只能由系統(tǒng)管理員操作,一旦錄入,未按正常程序批準(zhǔn)不得隨意修改;其他人員,包括企業(yè)最高管理層,也只能以“游客”的身份瀏覽會計信息,而無法修改它們。
此外,AIS必須與企業(yè)內(nèi)部其他管理系統(tǒng)進(jìn)行有效對接。會計信息來自于企業(yè)生產(chǎn)經(jīng)營活動和管理活動的方方面面,開放式的AIS要求會計人員不能只關(guān)注與資金收付、資產(chǎn)變動有關(guān)的會計核算業(yè)務(wù),還要密切關(guān)注其他業(yè)務(wù)活動對會計業(yè)務(wù)的,并采取相應(yīng)的對策。AIS與其他管理系統(tǒng)的鏈接、整個管理系統(tǒng)的網(wǎng)絡(luò)化為會計人員方便地掌握企業(yè)經(jīng)營活動的發(fā)展態(tài)勢提供了平臺。再者,AIS也應(yīng)該面向企業(yè)外部的利益相關(guān)者,如政府、債權(quán)人、供應(yīng)商以及客戶等,為他們提供準(zhǔn)確的會計信息,作為他們評價和監(jiān)督企業(yè)的客觀依據(jù)。
泛系理論是研究開放式系統(tǒng)的理論,因?yàn)橹挥虚_放式系統(tǒng)才能不停地與外界進(jìn)行物質(zhì)、能量和信息的交換,才能調(diào)整內(nèi)部結(jié)構(gòu)以適應(yīng)外部環(huán)境的變化,才能在時空中生存和發(fā)展。觀控技術(shù)就是通過對開放式系統(tǒng)物質(zhì)流和信息流的實(shí)時觀察,把握其運(yùn)動變化的,并采取一定的控制措施促使其優(yōu)化發(fā)展。這就要求進(jìn)行AIS的程序重組,建立一種新的AIS環(huán)境,以支持會計實(shí)時觀控。
2.建立泛系會計觀控程序??刂瞥绦蚴强刂七^程的具體化,一個好的控制程序應(yīng)能囊括會計控制的主要,完整、準(zhǔn)確地反映企業(yè)的控制目標(biāo),并有利于控制評價。傳統(tǒng)的、常規(guī)的會計控制的主要內(nèi)容,在資產(chǎn)管理方面包括資產(chǎn)收付、資產(chǎn)維護(hù)手續(xù)和資產(chǎn)維護(hù)手段。隨著企業(yè)經(jīng)濟(jì)業(yè)務(wù)的不斷發(fā)展和日趨復(fù)雜,控制內(nèi)容和范圍也不斷擴(kuò)大,這就要求會計人員研究新的控制方法和程序,并將其付諸實(shí)施。
另外,經(jīng)營活動的國際化以及競爭環(huán)境的日益激烈使企業(yè)的經(jīng)營風(fēng)險陡然加大,由此也產(chǎn)生了許多新的非常規(guī)事項(xiàng),其中某些事項(xiàng)會嚴(yán)重企業(yè)經(jīng)營活動的正常進(jìn)行,如訴訟、出口產(chǎn)品反傾銷等等。對此,可以按照對企業(yè)影響的大小建立控制原則和反映機(jī)制,并納入控制程序之中。控制的目標(biāo),在宏觀上,應(yīng)確保國家有關(guān)法律法規(guī)和企業(yè)內(nèi)部控制制度的貫徹執(zhí)行,確保企業(yè)戰(zhàn)略經(jīng)營目標(biāo)的實(shí)現(xiàn);在微觀上,應(yīng)規(guī)范企業(yè)會計行為,保證會計資料真實(shí)、完整,堵塞漏洞、消除隱患,防止并及時發(fā)現(xiàn)、糾正錯誤及舞弊行為,保證企業(yè)資產(chǎn)的安全、完整。
古典學(xué)把企業(yè)看作是一個生產(chǎn)函數(shù),土地、資本和勞動力是三個基本生產(chǎn)要素,由于對土地的資金投入在一定時期內(nèi)固定,通過對資本和勞動力的不同組合,企業(yè)可以生產(chǎn)相同數(shù)量的產(chǎn)品。在等產(chǎn)量曲線上,最優(yōu)的生產(chǎn)要素組合就是對資本和勞動力的綜合資金投入最少的那一點(diǎn),這可以用產(chǎn)量分別對資本和勞動力的偏導(dǎo)方程聯(lián)立求得。
筆者認(rèn)為,從泛系理論來看,企業(yè)是一個受內(nèi)外環(huán)境各種因素制約,既包含上述三個硬約束要素,也包括諸如市場環(huán)境、人員素質(zhì)、管理風(fēng)格等軟約束要素的綜合生產(chǎn)函數(shù),用公式表示為:
f(Y;X1,X2,…Xn)=0
Y表示企業(yè)的綜合狀態(tài),Xi(i=1,2,…n)表示各種約束要素。
該函數(shù)是一個隱函數(shù),表達(dá)的是多對一的對應(yīng)關(guān)系。運(yùn)用泛系理論的單值化原理,可以對各要素求泛導(dǎo)(泛系概念下的偏微分)來顯化它們對企業(yè)的有利影響(顯生)和不利影響(顯克),尋求企業(yè)資源的最佳配置,促進(jìn)企業(yè)的趨優(yōu)化。而建立合理、可行的觀控程序則是顯化生產(chǎn)函數(shù)的必要途徑,一般的會計觀控流程圖如下:
3.建立實(shí)時會計控制方法??刂品椒ㄊ欠从晨刂?、實(shí)現(xiàn)控制目標(biāo)、發(fā)揮控制效能的技術(shù)手段,在控制體系中占據(jù)著重要地位。經(jīng)濟(jì)環(huán)境的發(fā)展變化使很多傳統(tǒng)的會計控制方法的控制時效滯后、控制力度減弱,會計信息流與業(yè)務(wù)流成為“兩張皮”。一些新的會計控制方法,如預(yù)算控制、責(zé)任會計控制、標(biāo)準(zhǔn)成本控制、作業(yè)成本控制等,其中有些方法已經(jīng)具有實(shí)時控制所要求的事中屬性、動態(tài)屬性和時空屬性,但在我國企業(yè)中的運(yùn)用程度還非常低。實(shí)時會計控制方法就是在信息技術(shù)和觀控技術(shù)的支持下,對經(jīng)營活動全過程形成的物流和資金流進(jìn)行實(shí)時控制,建立各類基于結(jié)構(gòu)化控制規(guī)則的流程審批控制法、業(yè)務(wù)處理規(guī)則控制法、權(quán)限控制法以及既具有結(jié)構(gòu)化控制規(guī)則又具有明確控制標(biāo)準(zhǔn)的預(yù)算控制法、責(zé)任控制法、標(biāo)準(zhǔn)成本控制法等。
【關(guān)鍵詞】 信息系統(tǒng)審計 審計內(nèi)容 審計方法
一、引言
相比于傳統(tǒng)審計,信息系統(tǒng)審計(Information System Auditing)是審計領(lǐng)域中的一個新概念。目前,關(guān)于信息系統(tǒng)審計,學(xué)術(shù)界和業(yè)界均無通用的定義。美國信息系統(tǒng)審計權(quán)威專家Ron.A.Weber提出:信息系統(tǒng)審計可定義為通過一定的技術(shù)手段收集、分析證據(jù),以對計算機(jī)系統(tǒng)是否能夠保證資產(chǎn)安全、維護(hù)數(shù)據(jù)完整、實(shí)現(xiàn)組織目標(biāo)以及高效利用資源進(jìn)行評價的過程。日本通產(chǎn)情報協(xié)會作了如下定義:信息系統(tǒng)審計是指,為了信息系統(tǒng)的安全、可靠與有效,由獨(dú)立于審計對象的信息系統(tǒng)審計師以第三方的立場對以計算機(jī)為核心的信息系統(tǒng)進(jìn)行綜合檢查和評價,并向信息系統(tǒng)審計對象的最高領(lǐng)導(dǎo)者提出問題與建議的一連串活動。國際信息系統(tǒng)審計和控制協(xié)會(ISACA)將其定義為:信息系統(tǒng)審計是一個獲取并評價證據(jù),以判斷計算機(jī)系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效果地實(shí)現(xiàn)組織目標(biāo)的過程。
針對以上觀點(diǎn),我們將其要點(diǎn)歸納如下:信息系統(tǒng)審計是審計師對以計算機(jī)為核心的信息系統(tǒng),通過專業(yè)判斷和評價,合理保證信息系統(tǒng)安全、穩(wěn)定、有效,并向信息系統(tǒng)的高層管理者及使用者提供問題解決方案,以達(dá)到改善經(jīng)營和為組織增加價值目的的一個過程。
二、信息系統(tǒng)審計的發(fā)展與現(xiàn)狀
20世紀(jì)60年代,隨著計算機(jī)技術(shù)開始運(yùn)用于企業(yè)的信息收集和整理中,會計信息處理逐漸無紙化,促使審計人員在執(zhí)行傳統(tǒng)審計業(yè)務(wù)時,必須關(guān)注以電子數(shù)據(jù)為載體的電子數(shù)據(jù)處理審計(EDP Electronic Data Processing)。20世紀(jì)70年代中期至80年代,電子數(shù)據(jù)處理和管理系統(tǒng)等在企業(yè)中逐漸普及,同時,計算機(jī)犯罪和計算機(jī)系統(tǒng)失效的事件頻頻發(fā)生,使得信息系統(tǒng)審計日益得到重視并迅速發(fā)展。美國、日本先后成立了IT審計方面的協(xié)會組織,從事對IT審計規(guī)則的制定和實(shí)施指導(dǎo)。20世紀(jì)90年代,信息和信息系統(tǒng)已成為企業(yè)的重要資產(chǎn),企業(yè)和社會對信息系統(tǒng)控制和審計的需求愈發(fā)強(qiáng)烈。發(fā)達(dá)國家的信息系統(tǒng)審計進(jìn)入普及期,許多國家的審計機(jī)關(guān)、學(xué)者和組織對計算機(jī)環(huán)境下的信息系統(tǒng)審計進(jìn)行了有益的探索。同時,東南亞各國也逐漸認(rèn)識到信息系統(tǒng)審計的重要性,開始著手研究信息系統(tǒng)審計理論和實(shí)務(wù)。
目前,我國信息系統(tǒng)審計僅有十幾年的歷史,尚處于探索階段,既缺乏開展信息系統(tǒng)審計業(yè)務(wù)的人才隊伍,也沒有形成專業(yè)規(guī)范體系,所進(jìn)行的一些計算機(jī)審計方面的探索和嘗試以及計算機(jī)審計軟件的開發(fā)和應(yīng)用還大都停留在對被審計單位電子數(shù)據(jù)進(jìn)行處理的階段。存在的主要問題有:信息系統(tǒng)審計觀念落后;信息系統(tǒng)審計相關(guān)的準(zhǔn)則、標(biāo)準(zhǔn)和規(guī)范尚不完善;信息系統(tǒng)審計專業(yè)人才匱乏;信息系統(tǒng)審計軟件開發(fā)工作滯后。
1997年,廣州地鐵開始公司“信息化”建設(shè)。最初,廣州地鐵經(jīng)營審計采用“繞過計算機(jī)審計”的方法,即對導(dǎo)出數(shù)據(jù)進(jìn)行審計。審計過程中,其逐漸意識到了運(yùn)用這種“黑箱原理”審計方法的風(fēng)險。因此,2006年公司組建了專門的IT審計模塊,探索“如何利用計算機(jī)審計”和“通過計算機(jī)審計”。其后,廣州地鐵信息系統(tǒng)審計發(fā)展經(jīng)歷了借力、助力和自立三個階段。
一是借力期:IT審計模塊成立初期,公司與外部顧問共同開展IT審計項(xiàng)目,通過外部專業(yè)人員向?qū)徲嬋藛T傳輸IT審計技能,同時制定《IT審計實(shí)施細(xì)則》,在人員技能儲備和制度上為IT審計模塊的發(fā)展奠定了基礎(chǔ)。二是助力期:審計人員參照審計手冊,利用從外部顧問處學(xué)習(xí)到的審計技能,逐步開展信息系統(tǒng)審計工作,將IT審計工作模式調(diào)整為以自身力量為主,外部咨詢服務(wù)為輔的模式。三是自立期:2009年,廣州地鐵IT審計已基本實(shí)現(xiàn)自主化,且IT審計模塊逐步走向成熟,同時其還建立了具有自身特色的信息系統(tǒng)審計框架。
目前,IT審計已經(jīng)發(fā)展成為廣州地鐵內(nèi)部審計的一根“支柱”,連同“內(nèi)控審計”,作為基本的審計手段貫穿于各類專業(yè)審計工作中,支持審計體系的鞏固與發(fā)展。
三、信息系統(tǒng)審計內(nèi)容
1、國內(nèi)外關(guān)于信息系統(tǒng)審計內(nèi)容的研究
開展信息系統(tǒng)審計首先要明確審計內(nèi)容。國際信息系統(tǒng)審計協(xié)會規(guī)定,信息系統(tǒng)審計的主要內(nèi)容包括信息系統(tǒng)程序?qū)徲?、信息技術(shù)(IT)治理、系統(tǒng)生命周期管理、IT服務(wù)的交付與支持、信息資產(chǎn)的保護(hù)、災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計劃。
近十幾年來,國內(nèi)的學(xué)者和組織也對信息系統(tǒng)審計的內(nèi)容進(jìn)行了探索和研究。審計署在2012年頒布的《信息系統(tǒng)審計指南――計算機(jī)審計實(shí)務(wù)公告第34號》中明確提出了:信息系統(tǒng)審計包括對應(yīng)用控制、一般控制和項(xiàng)目管理的審計。其中,應(yīng)用控制包括信息系統(tǒng)業(yè)務(wù)流程,數(shù)據(jù)輸入、處理和輸出的控制,信息共享和業(yè)務(wù)協(xié)同;一般控制包括信息系統(tǒng)總體控制、信息安全技術(shù)控制、信息安全管理控制;項(xiàng)目管理包括信息系統(tǒng)建設(shè)的經(jīng)濟(jì)性、信息系統(tǒng)建設(shè)管理、信息系統(tǒng)績效。
上述具有代表性的規(guī)定和研究成果對信息系統(tǒng)審計內(nèi)容的劃分,均是以對信息系統(tǒng)邏輯結(jié)構(gòu)的分析為基礎(chǔ)。全面分析信息系統(tǒng)的邏輯結(jié)構(gòu),可從信息系統(tǒng)的構(gòu)成要素、信息系統(tǒng)生命周期和信息系統(tǒng)管理三個維度進(jìn)行描述:從構(gòu)成要素來看,信息系統(tǒng)由人員、應(yīng)用(包括軟件平臺和應(yīng)用系統(tǒng))、所采用的技術(shù)、硬件設(shè)備、數(shù)據(jù)文件運(yùn)行規(guī)則組成;信息系統(tǒng)生命周期可劃分為信息系統(tǒng)的規(guī)劃階段、開發(fā)階段、運(yùn)行維護(hù)階段和更新階段;從信息系統(tǒng)管理的維度來看,對系統(tǒng)的管理與控制活動貫穿于信息系統(tǒng)生命周期的始終,主要是通過有效執(zhí)行一系列健全有效的規(guī)章制度和管理規(guī)程來實(shí)現(xiàn)。
2、廣州地鐵信息系統(tǒng)審計實(shí)施框架
結(jié)合廣州地鐵信息化項(xiàng)目多、系統(tǒng)更新快、數(shù)據(jù)集成度高、系統(tǒng)控制與手工控制并重等特點(diǎn),圍繞信息系統(tǒng)構(gòu)成要素、信息系統(tǒng)生命周期和信息系統(tǒng)管理三個維度,廣州地鐵將信息系統(tǒng)審計的內(nèi)容劃分為整體計算機(jī)控制審計、應(yīng)用控制審計和系統(tǒng)建設(shè)效能評價三個方面。其中,整體計算機(jī)控制審計是對信息系統(tǒng)運(yùn)行中的控制活動進(jìn)行審計,目的是合理保證由信息系統(tǒng)支持的業(yè)務(wù)流程控制是可靠的、生成的數(shù)據(jù)和報告是可信的。應(yīng)用系統(tǒng)控制審計是對業(yè)務(wù)流程中的自動化控制活動進(jìn)行審計,以合理保證交易的有效性、經(jīng)適當(dāng)授權(quán)和記錄、完成的完整性、準(zhǔn)確性和及時性。項(xiàng)目及系統(tǒng)績效審計是對信息化項(xiàng)目的過程及成果對企業(yè)和業(yè)務(wù)產(chǎn)生的效益進(jìn)行審計,用來合理保證信息化項(xiàng)目的投資/產(chǎn)出比例符合建設(shè)的目標(biāo),以及信息系統(tǒng)對企業(yè)戰(zhàn)略起到的預(yù)期的支撐作用。圍繞上述三個方面,廣州地鐵內(nèi)部審計確立了以下的實(shí)施框架。
(1)確立整體計算機(jī)控制安全、操作、變更的三個評價維度,圍繞“信息系統(tǒng)全生命周期”,明確整體計算機(jī)控制十個流程。廣州地鐵通過學(xué)習(xí)和借鑒國際信息系統(tǒng)技術(shù)管理和控制標(biāo)準(zhǔn)COBIT,建立起了一套自己的整體計算機(jī)控制審計框架??蚣芸砂戳鞒毯涂刂祁愋蛢煞N方式進(jìn)行劃分,兩種劃分方式在本質(zhì)上是一致的。在按流程劃分出的每個子流程中,信息系統(tǒng)審計人員需要從變更、安全、操作的角度去確認(rèn)和評估具體的控制點(diǎn);在按控制職能所作的劃分中,審計人員需要圍繞信息系統(tǒng)的策略與計劃、信息系統(tǒng)操作、與外部供應(yīng)商關(guān)系、業(yè)務(wù)可持續(xù)計劃、應(yīng)用系統(tǒng)開發(fā)、數(shù)據(jù)庫、軟件支持、網(wǎng)絡(luò)、硬件等十個子流程進(jìn)行審計。
圍繞安全、變更、操作三個角度及十個子流程,廣州地鐵共梳理出有關(guān)整體計算機(jī)控制的41項(xiàng)審計內(nèi)容,并針對每一項(xiàng)內(nèi)容明確了控制目標(biāo)和風(fēng)險,建立起了一套完整的整體計算機(jī)控制矩陣。例如,信息系統(tǒng)策略和計劃子流程中,廣州地鐵明確了整體計算機(jī)控制的三大目標(biāo)――信息系統(tǒng)戰(zhàn)略、規(guī)劃和預(yù)算應(yīng)與實(shí)際業(yè)務(wù)和戰(zhàn)略目標(biāo)保持一致,計算機(jī)處理環(huán)境應(yīng)得到具有適當(dāng)技能和經(jīng)驗(yàn)的人員的充分支持和保證,以及計算機(jī)處理環(huán)境中的人員應(yīng)接受適當(dāng)?shù)呐嘤?xùn),審計人員在此基礎(chǔ)上針對各控制目標(biāo),識別并歸納出廣州地鐵現(xiàn)行的9個控制活動。在具體開展信息系統(tǒng)整體計算機(jī)控制審計時,信息系統(tǒng)審計人員根據(jù)審計項(xiàng)目的特點(diǎn)和要求,選擇需要評價的子流程,再對照子流程的控制活動進(jìn)行評估及測試即可。
(2)從內(nèi)部控制目標(biāo)出發(fā),將信息系統(tǒng)應(yīng)用控制劃分為訪問控制、完整性控制及數(shù)據(jù)質(zhì)量控制三大方面。廣州地鐵將信息系統(tǒng)的應(yīng)用控制劃分為應(yīng)用系統(tǒng)訪問控制、流程和系統(tǒng)完整性控制以及數(shù)據(jù)質(zhì)量控制三大類,并針對各類控制分別設(shè)計了不同的審計內(nèi)容。
一是應(yīng)用系統(tǒng)授權(quán)訪問控制審計包括對系統(tǒng)的認(rèn)證方式、授權(quán)機(jī)制、權(quán)限的分配管理以及不相容職責(zé)分離在系統(tǒng)中的實(shí)現(xiàn)情況的審計,目的在于保證經(jīng)過允許的人才能訪問和操作系統(tǒng)。二是流程和系統(tǒng)完整性控制審計是對系統(tǒng)輸入、處理、輸出以及接口等各種系統(tǒng)運(yùn)行規(guī)則的審計,用以保證所有經(jīng)允許處理的數(shù)據(jù)均轉(zhuǎn)換到介質(zhì)上并被處理,且處理的結(jié)果可通過適當(dāng)?shù)姆绞郊右暂敵?,所有輸入、轉(zhuǎn)換、處理和輸出均在正常的時間內(nèi)準(zhǔn)確地進(jìn)行。三是數(shù)據(jù)質(zhì)量控制審計則是指對信息系統(tǒng)中的數(shù)據(jù)的完整性、規(guī)范性和有效性所進(jìn)行的審計,旨在保證所有系統(tǒng)的輸出均反映為經(jīng)批準(zhǔn)的有效的經(jīng)濟(jì)業(yè)務(wù),所有經(jīng)過系統(tǒng)的數(shù)據(jù)真實(shí)、有效,且能滿足企業(yè)各項(xiàng)業(yè)務(wù)的使用要求。
(3)圍繞“信息化項(xiàng)目”和“信息系統(tǒng)”,綜合評價信息化建設(shè)的效益。在開展整體計算機(jī)控制審計和應(yīng)用控制審計的基礎(chǔ)上,廣州地鐵從企業(yè)經(jīng)營和投資效益的視角出發(fā),在信息系統(tǒng)審計中引入了3E審計的概念,嘗試對信息系統(tǒng)建設(shè)項(xiàng)目的成效、建成后系統(tǒng)的應(yīng)用效能以及信息化對戰(zhàn)略的支撐效果進(jìn)行審計。為了全面評價項(xiàng)目,廣州地鐵通常將對單個信息系統(tǒng)建設(shè)項(xiàng)目的合規(guī)性審計與項(xiàng)目效能審計結(jié)合在一起開展。
一是信息系統(tǒng)建設(shè)成效審計旨在通過對系統(tǒng)建設(shè)全過程的審計,促進(jìn)信息系統(tǒng)的建設(shè)規(guī)范性,提高信息系統(tǒng)建設(shè)的質(zhì)量。二是信息系統(tǒng)應(yīng)用效能審計包括對業(yè)務(wù)需求的實(shí)現(xiàn)情況、建成功能的使用情況的審計分析,以及對系統(tǒng)應(yīng)用對業(yè)務(wù)管理規(guī)范化、標(biāo)準(zhǔn)化和精細(xì)化提升作用的綜合評價,目的在于促進(jìn)系統(tǒng)使用價值的最大化,減少系統(tǒng)建設(shè)的投資浪費(fèi)。三是戰(zhàn)略支撐效果審計是從支持戰(zhàn)略實(shí)現(xiàn)的角度,評價信息系統(tǒng)的建設(shè)效益,保證信息化建設(shè)在符合業(yè)務(wù)管理要求的同時,符合公司戰(zhàn)略的需要,支持公司戰(zhàn)略的實(shí)現(xiàn)。
四、信息系統(tǒng)審計實(shí)施步驟
信息系統(tǒng)審計步驟(或流程),是審計工作從開始到結(jié)束的整個過程。信息系統(tǒng)審計流程一般可劃分為四個階段:計劃階段、實(shí)施階段、報告階段和后續(xù)階段。計劃階段是信息系統(tǒng)審計流程的起點(diǎn),此階段的主要工作包括了解被審計系統(tǒng)的基本情況,初步評價被審計單位信息系統(tǒng)的內(nèi)部控制和外部控制,識別重要性和編制審計計劃。實(shí)施階段是根據(jù)計劃階段確定的審計范圍、重點(diǎn)、步驟和方法進(jìn)行有針對性的取證、評價,并形成審計結(jié)論的過程。實(shí)施階段是信息系統(tǒng)審計工作的核心,主要由符合性測試和實(shí)質(zhì)性測試兩個部分構(gòu)成。在報告階段,信息系統(tǒng)審計人員需運(yùn)用專業(yè)判斷,整理、評價收集到的審計證據(jù),以經(jīng)過核實(shí)的審計證據(jù)為依據(jù),形成審計意見,出具審計報告。審計報告的出具并不意味著信息系統(tǒng)審計工作的終結(jié)。根據(jù)國際信息系統(tǒng)審計標(biāo)準(zhǔn),信息系統(tǒng)審計人員對于系統(tǒng)中發(fā)現(xiàn)的重大問題和漏洞,需要對被審計單位所采取的糾正措施及其效果進(jìn)行后續(xù)審計。審計人員需要將后續(xù)審計納入計劃,并安排必要的人員和時間進(jìn)行后續(xù)審計。
廣州地鐵IT審計模塊成立之初,即明確了IT審計“對公司的系統(tǒng)流程與控制、項(xiàng)目進(jìn)行審計”和“提供有益于增加公司價值的咨詢服務(wù)”兩項(xiàng)核心職責(zé),并圍繞公司戰(zhàn)略,以“風(fēng)險導(dǎo)向”、“服務(wù)戰(zhàn)略”理念為指導(dǎo),從信息系統(tǒng)審計戰(zhàn)略規(guī)劃和具體項(xiàng)目執(zhí)行兩個層面分別制定信息系統(tǒng)審計的流程。
1、以公司戰(zhàn)略為導(dǎo)向,制定信息系統(tǒng)審計的戰(zhàn)略規(guī)劃
一直以來,廣州地鐵奉行“源于戰(zhàn)略、服務(wù)于戰(zhàn)略”的現(xiàn)代審計理念。這一理念主要體現(xiàn)在兩個方面:一是在制定內(nèi)審工作計劃時,從公司戰(zhàn)略出發(fā),制定各個內(nèi)審業(yè)務(wù)及各專業(yè)審計模塊的戰(zhàn)略,并以業(yè)務(wù)戰(zhàn)略為指導(dǎo),開展具體的審計工作;二是在開展審計項(xiàng)目的過程中,始終從保障公司戰(zhàn)略執(zhí)行的角度去發(fā)現(xiàn)問題、評價問題,提出整改意見和落實(shí)整改。信息系統(tǒng)審計的戰(zhàn)略規(guī)劃來源于公司的戰(zhàn)略,以及以公司戰(zhàn)略指導(dǎo)制定的公司信息系統(tǒng)戰(zhàn)略規(guī)劃和內(nèi)部審計業(yè)務(wù)戰(zhàn)略規(guī)劃;同時還須結(jié)合公司信息化現(xiàn)狀和IT審計模塊定位,明確廣州地鐵IT審計發(fā)展戰(zhàn)略目標(biāo)。
2、通過風(fēng)險評估,確定各信息系統(tǒng)風(fēng)險等級,制定層次分明、重點(diǎn)突出的信息系統(tǒng)循環(huán)審計計劃
為利用有限的審計資源掌握公司主要信息系統(tǒng)的建設(shè)、運(yùn)營情況,保障信息資源的有效利用,降低公司信息系統(tǒng)的整體風(fēng)險,廣州地鐵建立了一套“根據(jù)信息系統(tǒng)風(fēng)險評級制定差異化的審計策略”。
(1)梳理信息系統(tǒng)脈絡(luò),全面掌握信息系統(tǒng)現(xiàn)狀。廣州地鐵結(jié)合信息系統(tǒng)規(guī)劃、建設(shè)和運(yùn)營的情況及系統(tǒng)分類梳理出被審計信息系統(tǒng)清單,并從系統(tǒng)構(gòu)成要素的角度收集系統(tǒng)相關(guān)的信息。這些信息包括系統(tǒng)名稱、功能模塊、采用產(chǎn)品等基本信息,以及項(xiàng)目的建設(shè)信息、系統(tǒng)的使用狀況和運(yùn)維的基本情況。這些信息是風(fēng)險評分的依據(jù),也為后續(xù)開展具體審計工作時確定審計方案提供了指引。
(2)開展信息系統(tǒng)風(fēng)險評級,制定風(fēng)險導(dǎo)向型審計計劃。內(nèi)審人員從通用風(fēng)險、業(yè)務(wù)風(fēng)險、項(xiàng)目風(fēng)險、系統(tǒng)風(fēng)險、數(shù)據(jù)風(fēng)險和人員風(fēng)險六大風(fēng)險類別出發(fā),全面識別信息系統(tǒng)各類構(gòu)成要素中存在的風(fēng)險;對信息系統(tǒng)進(jìn)行風(fēng)險評價,根據(jù)風(fēng)險得分將信息系統(tǒng)按優(yōu)先級分別劃分為高、中、低三類。結(jié)合公司IT審計資源的情況,對優(yōu)先等級高的系統(tǒng)采用三年一審策略,中等級系統(tǒng)5―6年一個審計周期,風(fēng)險等級低的系統(tǒng)則根據(jù)需要安排審計。在此審計策略的基礎(chǔ)上,再綜合考慮公司業(yè)務(wù)的十大風(fēng)險、領(lǐng)導(dǎo)關(guān)注事項(xiàng)、上一年度內(nèi)控評價結(jié)果和審計項(xiàng)目成果、公司新一年的工作重點(diǎn)、公司信息系統(tǒng)的變動情況,并制定出本年度的信息系統(tǒng)審計計劃。
3、以風(fēng)險為導(dǎo)向,開展信息系統(tǒng)審計
在項(xiàng)目實(shí)施階段,審計人員必須從公司整體信息系統(tǒng)控制環(huán)境和被審計系統(tǒng)的狀況、流程與內(nèi)部控制兩個方面進(jìn)一步收集被審計系統(tǒng)的相關(guān)資料,了解和確認(rèn)被審計單位已建立的內(nèi)部控制措施,并對這些控制措施的設(shè)計是否達(dá)到控制目標(biāo)進(jìn)行評估。
(1)以“輪流循環(huán)+以點(diǎn)帶面”的方式開展整體計算機(jī)控制審計。公司的信息化業(yè)務(wù)采用統(tǒng)一集中管理的模式,整體計算機(jī)控制對各個系統(tǒng)具有一定的通用性。因此,在實(shí)務(wù)操作中,廣州地鐵采用“以點(diǎn)帶面”的策略,以單個信息系統(tǒng)整體計算機(jī)控制為切入點(diǎn)對整體計算機(jī)控制進(jìn)行審計,評價整體信息系統(tǒng)的安全性;同時,考慮到信息系統(tǒng)在一定時間內(nèi)相對穩(wěn)定,因此在實(shí)施整體計算機(jī)控制審計時可采取輪流測試的方式,即每年從十個子流程中選取幾個進(jìn)行測試,經(jīng)過一定周期后,完成對整體計算機(jī)控制的全面審計。例如,在2011年開展的信息安全審計項(xiàng)目中,審計人員就圍繞信息安全這個審計主題,從十個子流程中選取了與信息安全直接相關(guān)的信息系統(tǒng)操作、信息系統(tǒng)安全、業(yè)務(wù)可持續(xù)計劃、應(yīng)用系統(tǒng)開發(fā)與實(shí)施、數(shù)據(jù)庫開發(fā)與實(shí)施和系統(tǒng)軟件支持等六個流程進(jìn)行審計。分步、循環(huán)開展整體計算機(jī)審計,在審計風(fēng)險可控的情況下,大大節(jié)省了審計資源,也使得審計人員能夠更加深入地挖掘和分析整體計算機(jī)控制方面所存在問題以及問題的成因,提出更為切實(shí)可行、同時又符合公司信息化業(yè)務(wù)發(fā)展現(xiàn)狀和要求的整改措施。
(2)以風(fēng)險為著眼點(diǎn),確定應(yīng)用控制審計重點(diǎn)。應(yīng)用控制是各個信息系統(tǒng)內(nèi)部所建立的控制機(jī)制,應(yīng)用控制審計必須針對某個具體信息系統(tǒng)開展。在開展應(yīng)用控制審計的過程中,審計人員應(yīng)緊緊圍繞“風(fēng)險”這個著眼點(diǎn),通過對原有業(yè)務(wù)成熟度和系統(tǒng)建設(shè)過程中風(fēng)險的評估,選擇不同的審計側(cè)重點(diǎn)開展應(yīng)用控制審計。例如,在合同管理系統(tǒng)審計項(xiàng)目中,由于合同管理系統(tǒng)是全新開發(fā)的系統(tǒng),審計人員經(jīng)分析,判定系統(tǒng)在應(yīng)用系統(tǒng)訪問控制方面的風(fēng)險較高。而在進(jìn)行控制評估和測試后,審計人員發(fā)現(xiàn)業(yè)務(wù)人員在創(chuàng)建系統(tǒng)權(quán)限設(shè)置機(jī)制時完全套用了公司辦公自動化系統(tǒng)的權(quán)限機(jī)制,而未針對合同業(yè)務(wù)流程中不同于公司組織架構(gòu)下的角色設(shè)立相應(yīng)的用戶組,導(dǎo)致系統(tǒng)無法實(shí)現(xiàn)合同經(jīng)辦人與審批人職責(zé)的分離,存在重大的內(nèi)控風(fēng)險。
五、信息系統(tǒng)審計方法
在信息系統(tǒng)審計中,可因地制宜,綜合運(yùn)用多種學(xué)科的技術(shù)方法,包括:傳統(tǒng)審計中內(nèi)部控制測評的基本方法和審計取證的基本方法(包括審閱、核對、監(jiān)盤、觀察、查詢、函證、計算、分析性復(fù)核);計算機(jī)科學(xué)的技術(shù)方法,如數(shù)據(jù)測試法、程序編碼審查法、受控處理法、受控再處理法、整體測試法、平行模擬法、程序比較法、漏洞掃描、入侵檢測、嵌入審計程序法等等;行為科學(xué)的技術(shù)方法,如運(yùn)用組織發(fā)展的理論與方法、個體行為一般規(guī)律的理論和方法。這些方法與技術(shù)并不是孤立的,而是互相聯(lián)系的。
目前,廣州地鐵在信息系統(tǒng)審計中所運(yùn)用的方法仍主要集中在傳統(tǒng)的內(nèi)控審計方法和信息系統(tǒng)管理的技術(shù)方法兩個領(lǐng)域,具體包括詢問、觀察、文件復(fù)核、抽樣、重新執(zhí)行、使用計算機(jī)輔助軟件等。在部分項(xiàng)目中,也采用了一些計算機(jī)科學(xué)的技術(shù)方法。受限于審計資源不足,廣州地鐵較少采用程序比較法、平行模擬法、程序編碼審查法等高成本的審計方法,而傾向于選用一些較為高效的測試方法。但這些高效方法的運(yùn)用不能完全消除審計風(fēng)險,這就需要審計人員根據(jù)自身的經(jīng)驗(yàn)盡量避免。
1、傳統(tǒng)審計方法的運(yùn)用
廣州地鐵在開展信息系統(tǒng)審計過程中較多運(yùn)用傳統(tǒng)審計的方法。例如,在對信息系統(tǒng)整體計算機(jī)控制進(jìn)行審計時,通過對系統(tǒng)使用人員的訪談、調(diào)研和對系統(tǒng)各項(xiàng)操作的觀察,梳理出整體計算機(jī)控制相關(guān)的各種控制活動。在沒有測試環(huán)境的情況下對生產(chǎn)在用信息系統(tǒng)的人機(jī)交互界面和功能進(jìn)行調(diào)查和確認(rèn)時,審計人員大量運(yùn)用了觀察的方法。在對固定資產(chǎn)信息系統(tǒng)模塊進(jìn)行審計中,審計人員通過觀察物資采購人員、資產(chǎn)管理人員、會計核算人員在系統(tǒng)中的操作界面、系統(tǒng)實(shí)現(xiàn)效果以及業(yè)務(wù)操作流程來了解系統(tǒng)功能的構(gòu)造。發(fā)現(xiàn)采購中的供應(yīng)商信息在跨系統(tǒng)流程過程中丟失,導(dǎo)致財務(wù)系統(tǒng)和實(shí)物管理的MAXIMO系統(tǒng)的資產(chǎn)臺賬中均缺少供應(yīng)商信息,致使日后采購?fù)愇镔Y時,采購人員無法獲取歷史采購信息作為參考,增加了市場調(diào)研成本。除內(nèi)控矩陣和訪談、觀察等方法之外,編制流程圖、數(shù)據(jù)流圖和報表流圖也是信息系統(tǒng)審計經(jīng)常使用的方法。
2、計算機(jī)科學(xué)技術(shù)方法的運(yùn)用
計算機(jī)科學(xué)技術(shù)方法是信息系統(tǒng)審計特有的方法,來源于IT行業(yè)的信息技術(shù)的轉(zhuǎn)換應(yīng)用,主要包括基于數(shù)據(jù)分析的方法和基于程序分析的方法,這些方法的綜合使用使得對信息系統(tǒng)的審計更加有效。具體方法的選用需視被審計系統(tǒng)的實(shí)際情況而定。在一個審計項(xiàng)目中,廣州地鐵審計人員經(jīng)常將多種方法結(jié)合使用。例如,在票務(wù)收入系統(tǒng)審計項(xiàng)目中,審計人員首先采用數(shù)據(jù)測試法,使用正常及非正常的測試地鐵票搭乘地鐵,在系統(tǒng)中跟蹤測試票的處理情況,以驗(yàn)證系統(tǒng)處理與控制功能是否均有效;在對系統(tǒng)中后期內(nèi)部開發(fā)的車站單程票售賣功能進(jìn)行審計時,審計人員采用了程序編碼審查法,對系統(tǒng)的源程序編碼進(jìn)行審查,審查后發(fā)現(xiàn)單程票售賣金額統(tǒng)計報表在進(jìn)行數(shù)據(jù)處理時省略了小數(shù)點(diǎn)后的尾數(shù),導(dǎo)致報表金額存在偏差;在對票務(wù)系統(tǒng)的清分報表進(jìn)行驗(yàn)證時,審計人員又采用了平行模擬法,抽取系統(tǒng)中一段時間內(nèi)的正式交易記錄,在系統(tǒng)外模擬系統(tǒng)的處理規(guī)則對交易記錄進(jìn)行處理,并將處理結(jié)果與系統(tǒng)的報表數(shù)據(jù)進(jìn)行核對,結(jié)果發(fā)現(xiàn)系統(tǒng)在數(shù)據(jù)傳遞和處理過程中,由于系統(tǒng)對于異常數(shù)據(jù)的審核過于嚴(yán)格,導(dǎo)致部分正常數(shù)據(jù)被當(dāng)作垃圾數(shù)據(jù)丟進(jìn)異常庫,給公司造成票務(wù)損失。
3、計算機(jī)輔助審計軟件的應(yīng)用
計算機(jī)輔助審計軟件的應(yīng)用是信息系統(tǒng)審計的一個顯著特點(diǎn),也是審計人員準(zhǔn)備階段需要重點(diǎn)關(guān)注的問題之一。目前,廣州地鐵對計算機(jī)輔助審計軟件的應(yīng)用主要體現(xiàn)在以下兩個方面。
(1)對系統(tǒng)中數(shù)據(jù)的準(zhǔn)確性、完整性和一致性的檢查。例如,在合同管理系統(tǒng)審計項(xiàng)目中,為核對系統(tǒng)接口程序的可靠性,審計人員利用審計輔助軟件快速完成了對合同系統(tǒng)和財務(wù)系統(tǒng)數(shù)據(jù)一致性的核對,迅速查找出兩個系統(tǒng)中不一致的數(shù)據(jù)。經(jīng)過深入分析,審計人員發(fā)現(xiàn)由于財務(wù)核算人員在財務(wù)系統(tǒng)中復(fù)核合同支付數(shù)據(jù)時發(fā)現(xiàn)錯誤,將支付申請退回給合同系統(tǒng)再由合同經(jīng)辦人重新填報時,合同系統(tǒng)未對已生成的支付信息進(jìn)行更新,導(dǎo)致上述問題的出現(xiàn)。針對海量數(shù)據(jù)處理系統(tǒng),數(shù)據(jù)驗(yàn)證是審計的重點(diǎn),計算機(jī)輔助軟件是“不可或缺”的審計工具。在地鐵票務(wù)收入保障審計項(xiàng)目中,審計人需要通過數(shù)據(jù)驗(yàn)證的方式對業(yè)務(wù)處理的核心系統(tǒng)――自動售檢票(AFC)系統(tǒng)中的系統(tǒng)傳輸和處理機(jī)制進(jìn)行驗(yàn)證。為此,審計人員共設(shè)計了8大類29子類47個數(shù)據(jù)驗(yàn)證主題。審計時,審計人員運(yùn)用計算機(jī)輔助審計技術(shù),在兩個月內(nèi)完成了對AFC系統(tǒng)中10天總計超過3億條運(yùn)營數(shù)據(jù)的驗(yàn)證工作。
(2)利用計算機(jī)輔助軟件進(jìn)行對比測試。即審計人員從信息系統(tǒng)中抽取某部門樣本數(shù)據(jù),將樣本數(shù)據(jù)輸入到與計算機(jī)輔助軟件中進(jìn)行處理,把審計軟件輸出的結(jié)果與業(yè)務(wù)系統(tǒng)產(chǎn)生的結(jié)果進(jìn)行對比分析,以判定業(yè)務(wù)系統(tǒng)的可靠性與準(zhǔn)確性。廣州地鐵在已開展的運(yùn)營票務(wù)收入保障審計項(xiàng)目中大量地使用了此種方式。審計人員將各車站站務(wù)人員在票務(wù)系統(tǒng)中錄入的售票數(shù)據(jù)導(dǎo)入到計算機(jī)輔助軟件中,按照業(yè)務(wù)規(guī)則對數(shù)據(jù)進(jìn)行處理,將處理結(jié)果和系統(tǒng)輸出的結(jié)果進(jìn)行對比。經(jīng)對比,審計人員發(fā)現(xiàn)票務(wù)系統(tǒng)在處理異常數(shù)據(jù)時過于嚴(yán)格,導(dǎo)致部分非異常數(shù)據(jù)被系統(tǒng)當(dāng)作異常數(shù)據(jù)丟入異常庫中,給公司造成票務(wù)損失。
4、信息系統(tǒng)審計與業(yè)務(wù)內(nèi)控審計相結(jié)合
企業(yè)管理流程信息化的過程中,會對原有的業(yè)務(wù)流程進(jìn)行優(yōu)化甚至重構(gòu)。對原有手工流程的內(nèi)控評價在信息化環(huán)境中可能不再適用。因此,廣州地鐵在信息系統(tǒng)審計中添加了對業(yè)務(wù)流程的內(nèi)控評價――先對業(yè)務(wù)的內(nèi)部控制情況進(jìn)行評估,梳理并確定業(yè)務(wù)流程風(fēng)險和關(guān)鍵控制點(diǎn),再對照業(yè)務(wù)流程對系統(tǒng)的處理流程進(jìn)行評價,確保信息系統(tǒng)審計評價的準(zhǔn)確性。信息系統(tǒng)審計與業(yè)務(wù)內(nèi)控審計相結(jié)合的方法還體現(xiàn)在對一個流程中未在信息系統(tǒng)實(shí)現(xiàn)的控制環(huán)節(jié)可以通過內(nèi)控審計進(jìn)行補(bǔ)充。實(shí)踐表明,信息系統(tǒng)審計與業(yè)務(wù)內(nèi)控審計相結(jié)合的方法在很大程度上提高了審計的全面性。
由于信息技術(shù)自身的特點(diǎn),例如電子數(shù)據(jù)的不可視性,加之被審計單位信息系統(tǒng)內(nèi)部控制方面可能存在缺陷以及信息系統(tǒng)審計人員在專業(yè)技術(shù)和職業(yè)道德方面亦不完美,信息系統(tǒng)審計風(fēng)險客觀存在。面對信息系統(tǒng)審計風(fēng)險,需要審計人員通過深入調(diào)研,全面了解被審計系統(tǒng)的情況;需要培養(yǎng)專業(yè)人才,“以點(diǎn)帶面”提升團(tuán)隊能力;結(jié)合企業(yè)發(fā)展情況,制定內(nèi)部信息系統(tǒng)審計標(biāo)準(zhǔn);利用審計軟件,降低抽樣風(fēng)險,提高審計效率等多種措施,不斷降低審計過程中的檢查風(fēng)險,提高審計質(zhì)量。
【參考文獻(xiàn)】
[1] Ron A.Weber,Information Systems Control and Audit,1st ed,NJ:Prentice Hall,1998.
[2] S. Anantha Sayana:The IS Audit Process[J].The ISACA Journal,2002(1).
[3] Craig S. Wright:The IT Regulatory and Standards Compliance Handbook:How to Survive Information Systems Audit and Assessments,1st ed,MA:Syngress, 2008.
[4] Robert E. Davis:Information Systems Auditing:The IS Audit Planning Process,3rd ed,2010.
[5] Jack J. Champlain:Auditing Information Systems[J].2nd ed,NJ:John Wiley&Sons,2003.
[6] 盧紅柱:計算機(jī)信息系統(tǒng)審計的探索之路[J].審計研究,2006(增刊).
[7] 王進(jìn)波、常衛(wèi):信息系統(tǒng)審計的發(fā)展與現(xiàn)狀[J].財政監(jiān)督,2008(4).
[8] 陳繼初:信息系統(tǒng)審計在我國的現(xiàn)狀及存在的問題[J].消費(fèi)導(dǎo)刊,2008(12).
[9] 吳沁紅:信息系統(tǒng)審計內(nèi)容分析[J].財會研究,2008(10).
[10] 胡曉明:信息系統(tǒng)審計理論體系的構(gòu)建[J].中國注冊會計師,2006(6).
[11] 王艷、周劍:信息系統(tǒng)審計辨析[J].圖書情報工作,2004(48).
[12] 田佳林:信息系統(tǒng)審計簡述[J].財政監(jiān)督,2008(4).
[13] 陳婉玲、楊文杰:COBIT及其在信息系統(tǒng)控制與審計中的應(yīng)用[J].審計研究,2006(增刊).
[14] 趙靜:COBIT框架在IT審計中的應(yīng)用[J].中國內(nèi)部審計,2009(12).
[15] 張妍:信息系統(tǒng)審計方法研究[J].審計月刊,2010(11).
[16] 劉杰、羅繼榮:信息系統(tǒng)審計質(zhì)量控制準(zhǔn)則研究[J].財會通訊,2011(5).
[17] 王振武、張子瑾:信息系統(tǒng)審計理論結(jié)構(gòu)框架研究[J].會計之友,2011(7).