购物车(0)
系统审计论文篇1
第一阶段是19世纪中叶,在资本主义得到充分发展、取得工业革命成功的英国出现了现代意义的审计(称英国式审计或详细审计)。当时的审计对象是会计账簿,审计的目的是查错防弊,所使用的审计工具是详细检查,审计信息的使用人是股东。第二阶段是本世纪初,在资本主义发达的美国出现了以资产负债表为对象的资产负债表审计,其目的是判断借款人的信用状况,审计信息使用人从股东扩大到债权人(主要是银行)。第三阶段是本世纪20—30年代,由于资本市场证券化,在美国出现了以损益表为中心的财务会计报表审计,目的是提出客观公正的审计意见,审计信息使用人是所有的企业利害关系人,对上市公司而言就是社会公众。到了40年代以后,由于跨国公司的出现,国际间资本流动频繁,在发达的资本主义国家出现了国际化的会计公司。
从上述审计系统从一个阶段向高一阶段的进化过程分析,我们可以得出两点结论:一是审计系统每一次进化都是为了适应环境的变化,和任何系统一样,只有适应环境的系统才能得以生存和发展。19世纪西方资本主义得到充分发展,实行所有权和经营权分离,就出现了英国式的详细审计。到了20世纪中叶,随着企业大型化和证券化,经济活动剧增,审计师不可能对每笔交易都进行检查,审计系统就由详细审计进化到抽样审计。有了跨国公司,就有了国际性的会计事务所。正是审计系统适应了所生存的环境,才使得本身得到充分的发展。同时,进化后的审计系统又反作用于环境,对社会经济起了积极推动作用,成为人类经济系统中不可缺少的一个子系统。二是审计系统的每一次进化都有赖于相应的理论、方法和技术的支持。从英国式的详细审计进化到资产负债表审计,是因为有内部牵制理论和统计抽样技术的支持。同样,从资产负债表审计进化到财务会计报表审计,是因为有内部控制理论和审计风险测试评价技术的支持。这是审计系统一次具有非常意义的“进化”,正是由于审计系统普遍采用了统计抽样技术和内部控制测试技术,从而使审计系统的功能大大增强,在大大提高了审计效率的同时,又有效地控制了审计风险。
同理,在步入21世纪的今天,审计系统又面临着新环境的挑战。新经济和数字时代的到来,以及经济全球化、市场一体化等将对审计系统产生重大影响。面对新经济环境的挑战,审计系统必须适应这种环境的进化,而要进化就必须有相应的理论和技术方法即系统科学和信息技术的支持,笔者将由系统科学和计算机技术支持下进化了的审计称为系统审计,与之相对应的是传统的详细审计和内控审计。下图表达了审计系统的进化过程。
需要说明的是,“系统审计”与“审计系统”是二个既有联系又有区别的概念。系统审计是指在系统科学和信息技术支持下的审计理论方法,表明一种审计理念,是相对于其它审计方法而言的。审计系统则是泛指审计体系,详细审计、财务会计报表审计、系统审计都是审计系统各个不同历史时期的产物。
二、系统审计和传统审计的比较
传统审计的思维方式是:部分整体。传统审计总是先分析对象的各个部分,然后再综合为整体。这种思维方法的局限性在于把分析与综合、部分与整体、原因与结果机械地割裂开来,认为部分是原因,整体是结果,部分决定整体。传统审计方法着眼于一个个要素,进而得出整体的性能,其逻辑结论往往是组成整体的要素好,整体的性能也就好。不论是一百五十年前的详细审计,还是目前的财务会计报表审计,注册会计师的思想方法都是从部分去推测整体,而系统审计的思想方法则是从整体到部分。详细审计是从每一笔交易账户再到报表;财务会计报表审计是通过对内部控制和控制风险的研究抽取部分交易为样本账户最终证实报表信息的真实和公允性。详细审计和报表审计在研究审计对象经济活动时,只把各组成部分孤立地、简单地加起来,这并不能说明审计对象经济活动的整体性质和功能。因为各要素的简单相加,并不能构成一个系统。
系统审计论文篇2
(一)内部审计价值实现的客观要求
2013年修订的《中国内部审计准则》对内部审计的表述为“内部审计是一种独立客观的确认和咨询活动,它通过运用系统、规范的方法,审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性,以促进组织完善治理、增加价值和实现目标”。确认、咨询、审查和评价是内部审计的工作内容及工作特征,完善治理、实现组织增值是内部审计的最终目标。对于事业单位来说,内部审计的价值增值功能主要体现在审计成果在未来的管理中使单位获得直接或间接的利益,给单位创造出预期之外的价值。如财务审计发现的不合理支出、工程审计的审减额;以及提供咨询服务,提示风险预警,减少损失发生。而将审计成果转化应用是实现内部审计工作目标必需的途径,是审计工作的最终环节,其作用直接关系着审计活动的完成与价值实现。近年来,随着医疗卫生体制改革的深入,政府对卫生事业经费的支持力度不断加大,如何进一步加强对卫生经费的监管显得尤为重要。根据原卫生部《卫生系统内部审计工作规定》的要求,卫生计生委直属事业单位和大型医疗机构相继成立了内部审计部门,开展了财务收支、经济合同、建设工程项目、内部控制、经济责任及绩效审计等工作。内审工作在卫生计生系统得到加强和发展,但审计成果的转化却还没有建立相应的制度体系,缺乏长效机制的保障。开展实施内部审计是内审工作的基础,审计成果的转化却是应用、提高和目标,是发挥内部审计免疫功能的关键环节。笔者认为,从内部审计工作功能发挥的有效性出发,疾控系统建立内部审计成果应用的制度与机制具有重要的现实意义。
(二)风险导向审计服务目标实现的基本途径
纵观历史演变,内部审计已经从传统的“控制为基础”转变为“风险为基础”。风险导向内部审计的一项重要职责是评价、改进风险管理和控制治理风险过程,而只有通过为管理层提供有价值的信息并服务于单位的管理、决策活动中,内部审计的风险导向职能才得以实现和履行。近几年,卫生计生系统加强了合同审计工作,中国疾控中心直属单位相继制定了合同管理制度,对外签订的合同都必须经审计部门审核。在合同审计中,评估经济合同的可执行性、合法合规性及履行的有效性,做出审计意见并使之得到落实,维护单位利益,规避潜在的经济纠纷,是内部审计风险导向服务的重要体现。
(三)建立健全内部控制制度的重要依据
财政部颁布了《行政事业单位内部控制规范》,从2014年1月1日起全面实施。建立有效地内部审计成果运用机制,将审计信息转化服务于事业单位的管理中,是建立完善事业内部控制制度,落实内控规范,提高事业单位管理水平的有效手段和重要依据。
(四)监督财务管理工作,规范财务行为的重要方式
事业单位的内部审计起到规范单位财务管理,保障国有资产安全,维护单位的合法利益的积极作用。通过定期的审计成果及信息的汇总报告,评价财务核算、会计信息及财务报告的真实性,防范舞弊发生,从而规范财务活动,强化财务管理。从疾控系统内部审计的工作来看,监督财务工作、规范财务行为、防范舞弊发生,保护财产安全是一直以来内部审计的最主要的目标。
(五)考评领导干部的重要依据
2014年中纪委等部门印发了《党政主要领导干部和国有企业领导人员经济责任审计规定实施细则》,其中第三十七条明确规定“经济责任审计结果应当作为干部考核、任免和奖惩的重要依据”。国家卫生计生委和中国疾控中心在2014年相继下发了直属和联系单位主要领导干部经济责任审计规定,内部审计成果已成为考评领导干部的重要依据。
三、内部审计成果在疾控系统事业单位中应用的制约因素
(一)内部审计成果质量不高
由于我国内部审计特别是事业单位的内部审计相对于政府审计和社会审计起步较晚,疾控系统从2009年开始才陆续成立了内部审计部门,内审工作发展时间尚短,加之工作内容广泛,从财务审计、内部控制审计到经济责任审计、建设工程项目审计等,对工作人员业务能力要求较高。因此内部审计普遍存在工作人员业务水平不高、工作经验不足、知识结构贫乏,审计方法和审计技术滞后,审计重点不突出,审计效率不高等问题。同时,内审人员对审计成果的总结与提炼不够,不善于针对单位管理中的风险和薄弱环节,提出有价值的意见及防范措施,从而导致审计成果无法获得认同与关注,难以获得重视与应用。
(二)单位管理层对审计成果重视不够
现实工作中,既有单位领导层不重视内审成果,也有被审计单位和部门对审计结论或意见认识不到位的情况存在。无论是领导还是被审计部门,大多数认识还停留在审计只是查找问题,出具审计报告、下达审计决定等,审计成果的运用只是附带产品,不是审计工作的主要职责和任务,因而存在重现有问题的整改,轻制度源头的建立;重审计决定的落实,轻审计建议的采纳;重审中监督,轻后续督查;重审计过程,轻审计成果的运用与转化现象的存在。
(三)工作成果运用机制不够健全
目前疾控系统普遍没有建立审计成果运用的工作制度与工作机制,审计成果产生与转化运用之间没有有效地衔接,后续审计监督工作力度普遍较弱。如果没有制度约束和机制作保障,只是依靠领导和部门的自觉,审计成果的转化运用不可能落到实处。同时也因为利用的随意性而使审计成果无法连续地发挥作用,导致实际运用效果较差。正因如此,本文旨在探索从建立疾控系统内部审计成果运用制度入手,为审计成果的转化提供机制保障。
四、建立内部审计成果运用长效机制的建议与对策
(一)切实提高审计质量,提升内部审计信息的价值
首先提高内审人员的能力素质,加强政策法规的学习,注重综合知识的积累,掌握现代计算机信息知识,更新审计理念,提高审计技术。其次,加强对审计问题的分析和研究,结合疾控工作实际,提高从繁杂的审计资料中提炼出具有全局性、前瞻性和权威性的信息的能力。第三,加强内部审计过程的质量控制,从审计计划和方案拟定到审计实施、报告撰写、建议的提出,使用统一的质量标准,使得审计成果更加规范。第四,审计内容向纵深发展。从传统的合规性审计向管理、效益、风险审计延伸,以为单位实现价值增值规避风险为出发点,提高内部审计的工作质量和审计成果运用的层次,提升审计成果的运用价值。从2003年以来,中国内审协会卫生分会每年都会分批组织卫生系统审计人员参加继续教育学习,聘请专家对工作中的热点难点、审计理论知识、审计法律法规进行讲授培训,对提高内审人员的业务水平和理论基础起到了积极的推动作用,但日常的自我学习和积累是非常重要的。
(二)单位内部为审计创造良好的工作环境
审计工作相对其他工作,更需要领导的支持与各部门的配合,良好、顺畅的工作环境是审计成果运用转化的前提和基础。首先,引起领导重视是审计成果得以应用的动力,有了领导层的批示和要求,各部门会认真整改审计问题、改善管理漏洞。其次,加强和被审计部门及其他部门的联络沟通,赢得对审计工作的尊重与理解,是审计成果转化的关键。内审人员对外多做宣传,要和领导、各级部门在审计工作的目标上寻求获得一致共识;向领导积极汇报审计要情;对外增加内审工作的透明度,及时和相关各部门通报审计结果。同时,在履行审查评价职责的同时,充实咨询服务工作内容,提高服务意识,将服务贯穿于审计工作之中来提高审计工作地位。
(三)开展后续审计,监督审计成果落实
通过后续审计,可以了解被审计部门是否对问题进行了纠正,对建议是否采纳,对管理的薄弱环节是否采取了相应的措施,是落实审计决定和审计建议的重要步骤。内审部门应强化后续跟踪审计,将其作为审计工作中的重要一环列入审计计划,这是发挥审计作用、树立审计权威的良好时机,通过后续审计确保审计成果得到真正的转化、应用。
(四)建立完善审计成果运用机制,保障审计成果的运用落到实处
1.建立成果运用工作机制,制定审计成果落实制度。制度是工作的保证,为了推动内部审计成果的转化应用,疾控系统应当建立相应的工作机制和领导体制。首先,事业单位应根据本单位实际情况制定关于内部审计工作成果落实转化的制度,建立起审计成果汇报和公告制度以及审计整改结果通报制度;健全后续跟踪审计制度等。同时还要建立内部审计工作质量分析和案例备查机制,以及审计结果及建议跟踪回访制度。其次,建立审计成果应用的组织领导机制,确定相应的主管领导、牵头部门和参与部门,明确职责,确定工作流程,使其逐渐成为单位的一项常规工作。卫生计生系统虽然制定了关于内部审计的工作规定,但还没有相应的审计建议落实应用的制度;委直属单位在预算编制、预算执行、财务检查、小金库检查、内控体系建设等工作中都建立了组织领导机构和工作办公室,但内部审计工作信息应用还缺乏领导体制的保障,一定程度上不利于甚至制约了审计成果的转化和应用。
系统审计论文篇3
(What)信息系统审计目标是信息系统审计行为的出发点,它指明了审计工作方向,并指导着信息系统审计实践活动(王振武等,2011)。我国政府审计以维护国家财政经济秩序,提高财政资金使用效益,促进廉政建设,保障国民经济和社会健康发展为职能,以国家经济活动的真实性、合规性和效益性为总体目标。因此,我国政府审计机关实施的结合型政府信息系统审计,也应遵守真实、合规和效益的根本目标。审计机关审计人员在各项具体政府审计项目中,不能笼统地将一般意义上信息系统审计的安全性、可靠性、合法性和有效性目标作为结合型政府信息系统审计具体目标,这既不符合结合型政府信息系统审计的特点和需求,也不具备实际可操作性、指导性。如果信息系统审计目标因素与具体政府审计项目目标不相关,将起不到应有的作用,是多余的、不必要的,从成本效益角度来说,是对审计资源的浪费。审计人员应避免根据自己的理解来确定目标,造成混淆不清。结合型政府信息系统审计贯穿于各政府审计项目之中,成为审计全过程的一部分,其具体审计目标应根据国家审计机关实施审计项目预期要完成的任务和结果,即具体政府审计目标,以及所涉及的信息系统情况等综合确定。例如,政府财政财务收支审计的目标是财政财务收支情况的真实性、合规性和效益性,其审计的数据来源于相关信息系统产生的财务电子数据,而数据是否真实、完整,直接依赖于相关信息系统是否安全、可靠,由此可以确定政府财政财务收支审计中信息系统审计的目标是安全性、可靠性。又如,在国有企业绩效审计中,绩效审计的目标是效率性、效果性和效益性,虽然信息系统与绩效审计不直接相关,但是信息系统作为企业的一项重要资产,且信息系统建设的投入金额巨大,因此,在国有企业绩效审计中也应包括信息系统资产的绩效审计,这就决定了国有企业绩效审计中信息系统审计的目标应该是效率性、效果性和效益性。上述示例也表明,结合型政府信息系统审计具体目标随政府审计项目的不同而存在一定的差异性,也就是说政府审计具体目标的多元性决定了结合型政府信息系统审计具体目标的多元性,必须根据具体政府审计项目综合确定。
三、结合型政府信息系统审计的重点在哪里
(Where)结合型政府信息系统审计的成效取决于审计机关审计人员对信息系统审计重点内容的把握程度。审计人员应该在分析清楚各政府审计项目中信息系统审计具体目标的基础之上,确定信息系统审计意图和需要解决的问题,并根据“全面审计、突出重点”、“先系统本身后系统环境”的原则确定信息系统审计重点事项(唐剑,2012)。此外,还应考虑成本效益原则,尽力减少与政府审计目标不相关的、多余的、不必要的信息系统审计内容。
(一)结合型政府信息系统重点
审计对象的选择被审计单位一般建立有多个信息系统,依据结合型政府信息系统审计的特点,不需要也不必要将被审计单位的所有信息系统纳入重点关注的审计对象,只需要根据与被审计业务活动相关的程度选择目标信息系统。如何选择信息系统重点审计对象?审计机关审计人员选择的主要原则应是依据被审计单位核心业务对信息系统的依赖性以及被审计单位信息系统的复杂性确定需要重点调查和审计测试的信息系统的范围和深度。一般来说,越高度依赖的信息系统,就应该作为重点审计的对象;越复杂的信息系统,就应该扩大重点审计对象范围。例如,在财务收支审计中,被审计单位ERP系统由财务、采购、销售、库存、质量、人力资源等多个子系统组成,由于财务收支数据直接依赖于财务子系统,所以理应将其作为审计的重点,然而ERP系统又是一个集成化的复杂系统,审计人员还应扩大审计范围和深度,需要将ERP系统中系统管理子系统以及其他子系统的基础设置、凭证处理等模块也作为审计的重点。
(二)结合型政府信息系统内部控制
测试重点
内容的确定现代风险基础政府审计是建立在内部控制的测评基础之上,根据内部控制的符合性测试结果实施业务数据的实质性测试。信息系统内部控制测试是对信息系统内部控制的可靠性、健全性和有效性进行的测试。基于结合型政府信息系统审计的经济监督和重在审计业务数据的特点,以及政府审计人员信息技术能力限制,为避免将对信息系统的审计引入技术陷阱(李春青,2008),审计人员应重点选择信息系统中容易产生数据风险的部分,作为信息系统内部控制测试的重点内容。而信息系统的硬件、软件、应用程序、数据、人员、制度等组成要素中,对业务数据直接产生影响的主要有信息系统数据、应用程序、人员和制度,因此审计人员在结合型政府信息系统审计中应选择信息系统数据、应用程序、人员、制度作为审计测试的重点,只在必要的时候再根据实际情况适当关注信息系统的软硬件环境。
(三)信息系统效率、效果和效益审计重点
内容的选择在结合型政府信息系统审计中,对行政事业单位、企业的效益审计、绩效审计、经济责任审计等政府审计项目中涉及的信息系统效率、效果和效益审计,其审计范畴从属于政府审计项目的范畴,只是审计对象中包括信息系统资产。因此,在这种结合型政府信息系统审计中,审计机关审计人员审计信息系统效率、效果和效益应从被审计单位正在运行使用中的信息系统资源的有效利用、促进产品或服务目标实现、降低产品或服务成本和增加产品或服务收益的角度选择重点审计内容:(1)效率性审计应重点评价使用中的信息系统对提高被审计单位劳动生产率所作的贡献,如节省人力、提高人员工作效率等;(2)效果性审计应重点评价使用中的信息系统使被审计单位业务、管理和决策等方面得到改善和提升,如满足业务处理需求、促进业务流程改进、增强信息交流与共享、提升客户服务能力、提高管理决策水平等;(3)效益性审计应重点评价使用中的信息系统的资金投入以及产生效益之比,资金投入包括信息系统运维资金投入、升级改造资金投入等方面,产生效益则可以从降低产品或服务成本、提高资金周转速度、提高产品或服务收入、增强竞争力等方面考虑。
四、结合型政府信息系统审计如何实施
(How)结合型政府信息系统审计作为信息系统审计的一个特例,两者在审计技术、方法、手段等方面理应具有一定的一致性。但是,审计机关审计人员在借鉴目前常用信息系统审计方法的同时,需要结合具体政府审计项目,立足审计人员的信息技术审计能力相对较弱、业务审计能力较强的审计专长,以审计人员的业务思路和职业判断为工作核心(王亚清,2012),积极探索富有实效的信息系统审计与传统审计相结合的方法。
(一)如何做好信息系统审前调查
在进行结合型政府信息系统审计调查时,审计机关审计人员可以将被审计信息系统调查与被审计项目业务调查结合进行,将信息系统调查作为业务调查的延伸。一方面,可运用询问法、观察法、查阅法、调查表法、流程图法等传统审计调查的方法,将被审计单位业务活动情况与信息系统情况调查融合在一起,一并调查了解被审计单位整体和业务活动情况、信息系统环境(如硬件环境、软件环境、组成、结构、分布等)、内部控制制度(含信息系统内部控制制度)、手工和计算机信息系统处理过程(如业务流程、运行流程、人员操作流程等)及执行情况;另一方面,可运用计算机辅助审计方法获取被审计业务电子数据,调查了解被审计信息系统数据处理情况等。两种方法相互补充,既能全面了解被审计单位业务活动情况,又能够摸清被审计单位信息系统基本运作情况,实现信息系统审计调查与整个审计工作调查的衔接,从而确保审计调查的效率、质量。
(二)如何做好信息系统内部控制测试
在结合型政府信息系统审计中,审计机关审计人员可运用熟悉的传统审计测试方法,辅以计算机辅助审计测试方法对前述确定的信息系统数据、应用程序、人员、制度等重点内容进行审计测试。具体可采用:(1)传统审计方法。通常可采用询问法、观察法、检查法、核对法、比较法、数据分析法等方法。如:询问或观察职责分离制度、人员操作制度、运行维护制度的执行情况;观察有关人员对信息系统访问是否设定口令、系统操作是否违反职责分离原则;查阅系统日志文件、操作记录,查看系统中是否有非法访问记录和报告,有无未经授权的用户操作系统;观察、检查系统功能设置、程序化控制、权限设置、系统参数配置等是否合理、有效,如权限设置是否符合职权要求,人员岗位变动或离职前是否及时进行权限锁定或删除,客户数据是否进行唯一性检验,财务软件是否存在反结账、反记账等功能;核对、比较原始凭证与数据库凭证文件数据的一致性,以测试凭证数据输入控制的有效性;对数据库文件数据采用数据分析法,如分析数据文件中操作员代码、数据异常值、数据间的关联关系、数据间的平衡或合计关系等审查是否存在非法用户或越权操作、参数设置的有效性、数据处理是否存在错误等以测试数据处理控制的有效性,也可通过数据分析反推系统中存在的非法功能和漏洞,等等。(2)计算机辅助测试方法。通常可采用计算机数据审计软件工具、整体测试法、平行模拟法、虚拟实体法、受控处理法等方法。如利用计算机审计软件(OA)、数据库管理系统(Access、Sqlserver)、Excel等获取和分析被审计信息系统数据输入、处理、输出控制;运用整体测试法、平行模拟法、虚拟实体法、受控处理法等方法(张瑜,2012),测试系统的处理和控制功能是否恰当、可靠,接口程序是否存在缺陷等。除此以外,对于信息系统硬件、软件、网络安全等方面内部控制测试,由于其技术性较强,审计人员可重点从系统管理的视角着手。一般采用面谈法、询问法、观察法、测试软件等,重点审查计算机安全和管理制度的执行情况、是否建立安全认证机制、是否建立针对系统故障的应急安全机制、软硬件来源的合法性,观察硬件是否进行有效的保养、隔离,查看系统是否安装防火墙、安装防病毒软件、定期检测和清除计算机病毒,利用漏洞扫描工具和网络检测诊断工具等对网络环境进行测试和评估。
(三)如何做好信息系统效率、效果与效益审计
对于结合型政府信息系统审计中的效率、效果与效益性审计,应遵循可操作、实用性原则,审计机关审计人员可通过询问、观察、查阅资料、发放调查表和比较分析等方法,重点了解信息系统的各项功能在被审计单位日常工作过程中的使用情况,了解信息系统功能设置能否满足系统目标,了解信息系统保障被审计单位信息资源共享、业务有效开展和履行情况,了解信息系统运维成本和效益并进行定量化分析处理,对比被审计单位信息系统规划、运营目标,运用一定的评价方法(如平衡计分卡法、层次分析法、模糊综合法等)(张静等,2011)进行评价,给出审计结论和审计建议。就目前来说,信息系统的效率、效果和效益审计在我国仍然处于理论和实践探索阶段,缺少规范的指导,缺乏完善的评价指标体系,因此,如何科学、准确地评价信息系统的效率、效果和效益,仍然存在不小的难度。
系统审计论文篇4
(一)计算机审计系统(CAS)。随着信息技术在企业管理中的广泛使用,尤其是ERP系统的实施,企业的经营、管理及核算越来越依赖于复杂而庞大的管理信息系统。审计的对象也发生了根本变化,由纸质财务账簿转变为数据库中的电子数据(或称电子账);同时,资本市场对审计报告真实性和及时性的要求也越来越高。无论是以加强内部控制和企业管理增值为目的的内部审计、以财务真实性和公允性鉴证为目的的社会审计,还是以真实性、合法性和效益性审查为目的的国家审计,都不可避免地会受到企业信息化的冲击与挑战。审计师必须运用IT技术手段,掌握数字化审计证据收集方法,才能胜任信息化环境下的审计工作,降低审计风险,提高审计效率。定义1计算机审计:计算机审计也称计算机辅助审计,是审计人员运用信息技术和审计知识,在被审计单位现场或者通过远程网络,对被审计单位与财政财务收支和管理财政财务收支相关的电子账目或财务数据库数据进行审计。现代审计的范围正逐步延伸,跨越了财务模块,计算机审计对象已经发展为面向整个供应链的信息系统审计,是对整个企业应用的业务数据审计。定义2计算机审计系统(CAS):计算机审计系统是在审计过程中所采用的能够完成特定审计功能的各种应用系统的总称。计算机审计系统作为审计辅助工具,可以完成审计数据采集、整理、计算、统计、查询和报表生成等工作,为审计人员实施各种审计检查和收集审计证据提供帮助。
(二)面向服务构架(SOA)。面向服务构架(简称SOA)是一种软件架构思想,这一思想认为软件即服务,是将企业内部与外部的每一个业务功能单元封装成服务。SOA将这些服务从复杂的环境中独立出来,进行组件化封装,不同的服务之间通过标准接口相互调用。作为企业应用解决方案的基本元素,服务可以被描述、、发现及绑定,其平台是独立的、自治的,并且可以用XML编程的大型分布式互操作应用系统。图1说明了Web服务能够执行面向服务架构的模型。图1描述了Web服务的基本组成。该架构由三个参与者和三个基本操作构成。三个参与者即服务提供者(Serviceprovider)、服务请求者(Servicerequester)和服务(Servicebroker);三个基本操作即服务(Publish)、服务查找(Find)和服务绑定(Bind)。
(三)研究动机。计算机审计系统解决了数据采集、数据预处理、数据分析、疑点管理、审计底稿撰写、审计报告生成等难题,提高了审计效率和效果,在实际工作中发挥着重要的作用。许多学者致力于将新的信息技术应用到计算机审计中,并开始探索新的计算机审计模式。廖志芳等提出了联网审计实际的三种审计组网模式,即集中式、分布式以及点到点式组网模式[2]。李世新在对XBRL和Web服务进行介绍的基础上,提出了一种基于XBRL和Web服务的网络化审计取证模式[3]。李湘蓉在研究了网络环境中计算机审计系统应具有特点的基础上,提出了一个基于本体的计算机审计系统[4]。还有学者论述了计算机审计模式及风险防范[512]。一些学者对Internet环境下的审计系统进行了研究,Chen和Sun通过对面向服务架构环境进行研究,提出了一个内部控制持续审计模型,称为协同持续性审计模型,通过对企业资源计划数据库中的数据转换组件进行封装,软件提供商可以为企业提供模式匹配服务来实时转换业务交易数据[13]。Ye和He运用Web服务的一系列组件,提出了基于Web服务的持续审计业务流程模型,用于提供有关特定业务的鉴证[14]。Internet环境下的动态信息系统具有共享资源的多样性,无统一控制的“真”分布性,基础平台的开放性和动态性,人、设备和软件的多重异构性,节点的高度自治性,链接方式的动态开放性,网络连接的多样性,使用方式的灵活性和个性化,实体行为的不可预测性。我们认为在新的动态企业信息环境下,迫切需要与之相适应的审计模式和计算机审计系统。
面向Web服务的计算机审计系统(WSCAS)体系结构
(一)系统体系结构。面向Web服务的计算机审计系统(WSCAS)是一个开放的系统,复杂的审计任务由大量解决问题的Agent承担,每一个智能Agent只能解决特指的某一类问题,关注特定任务的完成。用Webservices封装的Agent,一个服务可能涉及一个或多个Agent,这些不同功能的Agent协力合作并提供特定的服务。系统是一个开放的环境,不同的Agent不必在同一地点或属于同一公司。通过对其他Agent知识和能力的理解,这些Agent能够突破固有的智能范围,协同工作实现目标。图2是面向Web服务的计算机审计系统(WSCAS)体系结构。由于系统具有开放性,可以不断地向系统中加入新的Agent,从而使得系统的处理能力不断增强,适应性不断提高。也就是说,除了WSCAS提供的服务,其他个人和公司也可以提供审计项目管理服务、审计数据采集整理服务、审计数据分析服务、审计抽样服务、审计文档管理服务以及其他相关的计算机审计服务。通过标准的通讯协议,每一个Webservices封装的Agent可以自由选择访问其他服务。
(二)智能Agent交互。如下页图3所示,WSCAS交互系统由外部实体和审计组件两部分组成。外部实体向系统提供被审计单位的数据和模型。根据《审计法》规定,被审计单位接到审计通知书后,要向审计小组提供审计范围内以及特定时间段审计所需要的完整数据。被审计单位的数据不但包括财务数据、业务数据,还包括被审计单位的基本情况、上一次审计的结论等相关数据。被审计单位模型包括审计所需的被审计单位业务流程、相关的法律法规等系统模型,这些模型是开展审计工作的基础和判断审计疑点的依据。审计组件包括数据采集模块、审计数据分析模块、审计抽样模块和审计文档管理模块。
数据采集是审计人员从被审计单位的信息系统中提取指定范围、指定内容的业务数据并收集到审计系统中。用IT技术对电子账进行审计有两个需解决的关键问题:一是审计人员采集电子账中的电子数据,包括电子账套中的数据和信息系统数据库中的数据;二是分析审查采集到的电子数据。数据采集是对电子账数据进行实质性审查工作的第一步。数据采集是否全面、准确、客观将直接影响计算机审计的结果。若采集的数据不能客观全面地反映企业的经济业务状况,那么审计人员即使有很强的职业判断能力,也无法得出正确的审计结论,从而增加审计风险。因此数据采集在整个计算机审计过程中至关重要。数据采集的信息可以分为三类:被审计单位信息采集、财务数据采集、业务数据采集。
一是被审计单位信息采集Agent。审计业务的开展与被审计单位的企业规模、业务流程、组织结构以及相关的行业法规制度等密切相关,在审计准备阶段和审计实施阶段的初期,审计人员必须首先获得被审计单位相关信息,然后才能开展审计工作,被审计单位信息采集Agent负责此类信息点采集。二是财务数据采集Agent。财务数据采集主要采集以下两种数据:财务备份账套数据和财务数据库数据。财务账套数据是会计信息系统中经过加密后的备份电子数据,其格式不是标准的数据库格式,而是会计信息系统以其独特的方式备份数据。不同的会计信息系统财务账套数据文件的格式不同,所以WSCAS提供不同的财务账套数据采集Agent作为智能数据采集接口,完成财务备份账套数据的采集工作。财务数据库数据是保存在标准数据库中的会计数据,数据文件以标准的数据库文件格式保存,系统为各种数据库提供了相应的数据采集Agent,财务数据库中有许多表,其中和审计相关的主要数据库表为会计期间定义表、会计科目表、会计科目的设置表、凭证表等。通过数据采集Agent接口采集数据,审计人员要清楚数据库,数据库表,字段的结构、属性和含义,这样才能对数据进行采集整理,保证数据的完整性。三是业务数据采集Agent。由于审计范围的不断扩大,审计对象不再局限于财务数据,还包括许多业务数据的审计,如社会保障审计、高速公路收费审计、经济效益审计等,这些数据保存在业务数据库中,由业务数据采集Agent作为智能的采集接口,采集业务数据。
数据采集的目的是为审计分析做准备。审计数据分析是通过运用审计分析方法和分析工具,对被审计单位审计数据进行分析,发现审计线索,获取审计证据,进而形成审计结论。利用计算机的数据分析方法有:账表分析;数据查询;数据挖掘;联机处理;审计分析工具;审计疑点管理等。接下来进行具体分析。一是账表分析Agent。审计人员将采集到的财务备份数据还原成电子账,通过对被审计单位会计基础资料的检查和分析,找出审计线索,得出审计结论。账表分析Agent的主要功能包括总账审查、科目明细账审查、辅助账审查、会计科目审查、凭证审查、未记账凭证审查、日记账审查、报表审查等。二是数据查询分析Agent。审计人员根据审计经验,按照一定的审计分析模型,对从数据库中采集到的数据进行查询分析,发现审计线索,达到审计目的。数据查询分析Agent主要的查询分析方法有数值统计、重号分析、断号分析、分类分析、数据分层分析、时间分层分析等。三是数据挖掘Agent。随着信息技术的高速发展,尤其是被审计单位信息系统数据库中各种格式的业务数据急剧增长,只靠审计人员的人工阅读或简单的审计数据检索无法及时发现不同层次的审计线索。数据挖掘Agent能够从被审计单位海量的数据中挖掘出隐含的、先前未知的、对审计结论有价值的审计线索,以及能被审计人员所理解“知识”的数据处理过程。四是联机处理Agent。联机分析处理是与数据仓库密切相关的一种决策支持工具,联机处理Agent能够使审计人员从多角度对审计数据进行处理,获得对审计数据更深层次的了解,发现审计线索,实现对审计决策的支持和多维分析。五是审计分析工具Agent。除了上述一般审计分析方法外,WSCAS还提供了一个开放的、专用的审计分析工具平台,审计人员不但可以利用系统提供的审计分析工具,还可以不断充实新的审计分析服务。审计分析工具Agent可以进行单科目金额分析、对方科目分析、坏账准备计算、营业税计算、固定资产折旧计算、个人所得税计算、图表数据分析等,帮助审计人员发现审计疑点。六是审计疑点管理Agent。审计疑点管理Agent可以存储、管理并逐项落实审计分析中发现的审计疑点。
审计抽样是审计人员在实施审计的过程中,从审计对象总体中选取一定数量的样本进行测试,并根据样本测试结果推断总体特征的一种方法。审计抽样是一种能够大幅度提高工作效率、量化控制审计风险、规范审计行为、提高审计工作质量的审计技术方法。特别是在被审计单位内部控制制度健全、审计对象数量庞大且经验判断难以奏效的情况下,采用审计抽样技术审计效果显著。具体应用如下:一是抽样管理Agent。抽样管理Agent可以管理审计抽样全过程的信息,包括总体表中的数据管理、抽样方法的选择、样本表中的数据管理等。二是抽样审核Agent。抽样审核Agent对审计抽样的样本信息在审计现场进行审计核对,并将审核的结果输入系统中,输出生成抽样审核结果表供审计人员使用。三是抽样评价Agent。抽样评价Agent根据样本数据的审核结果,推断总体审计数据的情况。
审计文档管理是计算机审计过程中的一项重要内容,审计过程中的文档主要有审计底稿、审计日记、审计证据、审计报告、审计台账等。具体应用如下:一是审计底稿Agent。审计底稿Agent记录审计过程中所发现的被审计单位违纪违规问题,对审计日记、审计证据所反映的问题进行描述,汇总审计报告、审计台账等审计资料。二是审计日记Agent。审计日记Agent记录审计人员当天的审计过程,内容涉及审计分工、审计事项、审计实施步骤和方法、审计查阅的资料和数量、审计人员的专业判断和查证结果以及其他一些需要记录的情况等。三是审计证据Agent。审计证据Agent负责建立、管理和汇总审计证据。四是审计报告Agent。审计报告Agent以审计底稿为素材,生成报告提纲并形成审计小组的审计报告初稿。五是审计台账Agent。对照审计报告、审计决定等审计文书的结论,对每篇审计底稿的问题和金额进行确认,系统根据确认后的结果,由审计台账Agent自动汇总问题和处理处罚数据,生成审计台账,最终生成的审计台账参与审计报表的汇总。
面向Web服务的计算机审计系统(WSCAS)的原型开发
本文将移动Agent技术和Webservices技术结合,集成两者优势,克服各自局限性,构建面向Web服务的计算机审计系统,如图4开放Internet环境下的计算机审计服务的集成架构。为了实现系统中审计服务的统一调用,我们将各种业务逻辑封装为服务,提供标准、统一的服务接口,从而实现技术对外界透明。本文使用了Java技术开发系统功能模型,描述模型的架构和元素。
系统评价
为了验证本文所论述方法的有效性,阐明基于Web服务是如何集成工作并实现计算机审计的目标,我们用一个案例来描述服务的协同操作过程(具体见下页图5)。审计人员对企业进行财务审计,首先要明确审计任务,组成计算机审计小组,在了解被审计单位基本情况的基础上,制定计算机审计方案,确定计算机审计范围、审计重点、审计实施步骤、审计安排、审计方式、人员分工以及需要运用的计算机审计方法和审计实施注意事项等,利用WSCAS开展基于Web服务的计算机审计工作。
(1)审计项目管理Service发出审计通知书。审计小组通过系统的审计项目管理服务,向被审计单位发出审计项目通知书。
(2)被审计单位信息Service以服务的形式向系统被审计单位的基本情况信息,提供给审计小组。
(3)审计数据采集Service采集被审计单位审计数据。被审计单位信息Service按照审计小组的审计要求,将审计通知书中说明的指定时间段、指定范围的审计数据进行服务封装、注册和,提供给审计数据采集Service。审计数据采集Service首先对采集到的审计数据进行数据验证,确认采集数据的真实性、正确性和完整性,然后对数据进行预处理,这是由于被审计单位的数据来源繁杂,采集来的审计数据可能存在质量问题,不能直接进行审计数据分析,需要进行预处理。预处理包括数据转换和数据清理。数据转换是将采集来的原始数据转换成审计人员容易识别的数据格式和名称,主要包括将被审计单位的数据有效装载到WSCAS系统中,明确数据字典,标识出每张表、每个字段的含义及其关系;数据清理是整理不符合质量要求的数据,清除存在明显错误的数据,如缺失的数据、不完整的数据、不准确的数据、不一致的数据以及重复的记录等。
(4)审计数据分析Service。以审计数据采集Service输出的中间表作为审计分析的基础进行审计分析。在审计分析中,审计人员根据相关的业务处理逻辑、业务数据的勾稽关系、法律法规的规定或审计经验等,建立审计分析模型,用账表核对、指标分析、账表勾稽关系模型、业务逻辑分析模型、法律法规分析模型以及审计经验模型等方法进行总体审计数据分析,然后审计数据分析Service对审计数据进行复算、检查、核对和判断,发现审计线索,收集审计证据。
(5)审计数据抽样Service。在明确审计目标和审计对象的基础上,根据被审计单位的内部控制评价水平确定审计抽样的样本量。审计数据抽样Service选取样本并审查,评价抽样结果,并返回到审计数据分析Service。
(6)在审计数据分析和审计数据抽样过程中,审计人员记录当天审计过程、实施审计的步骤和方法、审计查阅的资料和数量、审计人员的专业判断和查证结果等,将这些情况提交到审计文档管理Service,形成审计日记。
(7)在审计数据分析过程中,审计数据分析Service将审计发现的问题作为审计疑点,发送到审计文档管理Service,审计文档管理Service负责落实审计疑点,若证实确是问题,则将该疑点作为审计证据。
(8)审计文档管理Service编制审计报告初稿,和被审计单位沟通,生成审计报告正式稿,形成审计意见。
系统审计论文篇5
2)目前审计机关信息系统审计主要有两种方式,一种是将信息系统审计作为常规审计的一部分,为实现审计项目的总体目标服务,即数据审计、信息系统审计和系统内部控制审计"三位一体"的结合方式.信息系统审计和系统内部控制审计为数据审计服务,通过审计数据得出结论.另一种是独立立项的,直接审计信息系统本身的安全性、可靠性和有效性。
二、为什么要开展信息系统审计
信息系统审计作为国家审计机关的一项重要工作,是信息化发展到一定程度的必然产物。
(一)开展信息系统审计是控制审计风险的要求.近几年,审计纸质账目时,内部控制也要审计,不能假账真审.同样的道理也不能假电子数据真审,如果被审计单位运载电子数据的信息系统的安全性、可靠性和有效性出现了问题,计算机数据审计就会存在风险,系统的可信与可靠程度是数据审计得以进行的前提和最终实现的基本条件。
(二)开展信息系统审计是全面履行审计职责的要求.信息化环境下的审计,电子数据、信息系统、系统内部控制审计必须"三位一体",在审计过程中,这三项内容不能少.只有这样,我们才能完成审计署党组强调的"全面审计,突出重点"的要求,全面履行审计职责。
三、信息系统审计与常规审计之间的区别与联系
1)信息系统审计是常规审计的一部分,是以常规审计理论为理论基础的,两者之间有紧密的联系,也存在一定的区别。
2)两者的联系是:信息系统审计继承了常规审计的基本理论与方法,与常规的审计一样。在立场上,要求信息系统审计师站在独立的立场上,通过选择特定的审计对象,采用询问、检查、分析、模拟、测试等方法获得客观的审计证据,来判断其与既定标准的符合程度。在程序上,信息系统审计一般也要经过审计计划、符合性测试与实质性测试、审计报告等主要阶段来进行审计工作,实现审计目标。
3)两者的区别也比较明显,主要表现在:首先,信息系统的审计对象不同于常规审计的财务领域,而是信息系统,包括基础设施,软硬件管理,信息安全,网络管理合通信等;其次,信息系统审计提出了更多的审计法与审计程序,这都是常规审计所不具备的,比如对某软件进行审计时,要采用技术含量相当高的测试,对网络安全审计时要采用穿透性测试(模拟成黑客进行各种攻击以验证其安全性);第三,信息系统审计不光是事后审计,主要关注系统的运行现状,在某种情况下,直接参与项目的开发或变更过程,以保证足够的控制得以顺利实施;最后,信息系统审计的咨询价值显得更高,信息化的风险很高,信息系统审计师可凭借其专门知识和实践经验,受托或主动服务于被审计单位的管理者或其业务人员,在企业信息化过程中,帮助企业建立健全内部控制制度,进行系统诊断,根据企业需求,确定信息化的目标和内容,选择合适的信息系统。
四.如何使信息系统审计与常规审计有机结合
1)在项目计划上的相结合
信息系统通过选择特定的审计对象,采用询问、检查、分析、模拟、测试等方法获得客观的审计证据,来判断其与既定标准的符合程度。在程序上,经过信息系统审计,审计项目计划、符合性测试与实质性测试、审计报告等主要阶段来进行审计工作,实现审计目标。
2)在项目实施过程中相结合
(1)全面开展对项目实施过程中电子数据的审计,包括会计电子数据和业务管理电子数据。采取的具体方法是:1.精确复核。运用计算机,对各种项目数据进行精确复核,既可以对全辖并表机构的会计报表与汇总报表进行全面复核,又可以从会计流水账逐级核对至总账,还可以将业务管理数据与会计报表数据进行复核;2.编制计算机程序进行辅助计算。可以编制计算机程序对有比例关系的项目进行计算,然后与实际记录进行比较,找出产生差异的记录;3.对一些异常会计记录和交易进行筛选和查询,为审计人员提供审计线索,主要是根据某一特征进行筛选分析,从不同角度分析可疑问题线索。
(2)以信息系统审计对项目实施时,对项目管理系统的内部控制情况进行初步的调查和评价,重点是权限管理、参数表的设置和修改控制等是否有效,被审计单位对交易录入的原始数据是否实施相应的控制,信息系统的数据流和业务流程是否吻合;3.通过系统日志等文件分析一些重大事件的原因,避免在项目实施过程中发生不可预测影响。
3)在资源配制上相结合
常规审计在我国的审计实践中,对项目资源存在的漏端很难察觉,原因主要是以下三大困难:一是审计人员难以在短时间内透彻了解被审计单位的项目存在弊病。一般来说,小型的数据管理,由专业的软件公司开发后打包在市场销售,被审计单位人员仅仅是使用者,审计人员无法获得开发设计的细节;而定制的系统多用于大型的数据管理,由软件公司或内部的开发部门根据企业的应用量身定做,这类系统技术文档和技术支持比较完善,但是由于系统过于庞大,细节设计过于复杂,审计人员在有限的审计时间内难以对系统进行评估。二是难以发现系统内的瑕疵。从表面看,常规审计的各项令人眼花缭乱审计方法无论是从开发文档还是操作手册都不会直接察觉系统的瑕疵,而且在现场审计中,审计人员一般不允许对正在运行的系统进行测试,较难识别系统的问题。三是难以评估系统瑕疵所导致的后果。在审计实践中,即使审计人员发现了常规审计存在的某些瑕疵,但是未发现该瑕疵导致的已经存在的后果,常常使得审计结论缺乏直接证据。
信息系统审计作为一种全新的审计手段和审计理念,首先,审计人员可以通过整体评价被审计单位的项目管理系统重要性的基础上,确定审计重点。其次,审计人员应用内控测试和数据审计两种方式对选定的项目管理系统进行分析,一般能迅速找出项目管理信息系统存在的瑕疵,尤其是人为舞弊的线索。第三,根据已经发现的问题,对系统进行延伸,进一步追查系统存在问题所引致财务收支失真等方面的问题。可以较好地从信息系统的角度发现舞弊问题和内控漏洞,使得审计内容不断丰富完整,较好降低审计风险。
五、在常规审计后,开展信息系统审计的意义
1)信息系统审计是未来审计发展的必然,未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展。
2)维护信息时代的市场经济秩序
系统审计论文篇6
(二)内部审计是企业内部监督机制的重要组成部分
内部审计也是企业内部控制的一个重要的组成部分,是监督内部控制其他环节的主要力量。内部审计通过对控制环境和控制程序的有效性进行监督,评估企业的内部控制是否被执行,是否及时反馈有关执行结果的信息,是否帮助企业更有效地实现预期控制目标。同时,在监控过程中,内部审计可以促进控制环境的建立和改善,为改进控制制度提供建设性的意见,为企业建立健全所需要的内部控制水平服务。在内部控制的监督过程中,内部审计发挥着越来越重要的作用。
二、内部审计在防范信息系统风险中面临的问题
(一)信息系统安全管理机制不健全
企业信息系统风险的存在,很多是由于管理不善或控制不严造成的。一方面,缺乏一套统一的安全策略体系来指导安全管理工作,无法建立系统内部明确、全面的安全规范要求。从现有管理制度规范来看,主要存在的问题是可操作性差,条理不清、重叠或遗漏等;另一方面,现有安全管理制度的管理对象基本是网络系统管理员等技术部人员,管理对象没有全面涵盖所有信息系统技术相关人员,包括所有网络系统上的内部终端人员和外部人员。
(二)内部审计在信息系统风险防范中的角色缺乏独立性
内部审计的角色发生了转变。从传统的事后审计而逐渐转向事前和事中审计,主动参与内部控制系统的建立和完善。内部审计人员即承担着评价硬件和应用信息系统安全的任务,如果又同时有参与了系统的开发和实施过程,那么内部审计人员就却乏独立性。反之,如果处于对丧失独立性的担心,内部审计人员有可能会拒绝参与系统和软件的开发,那么系统开发过程中存在的风险又无法得到控制。
(三)内审部门技术力量薄弱造成对信息系统审计形成风险
审计稽核部门的技术力量薄弱,不熟悉业务系统的流程和功能,对信息系统缺乏必要的认证能力和标准。突出表现为以下几个方面:一是实施审计稽核的手段和方法没有得到及时更新,不适应信息系统管理的要求,大部分仍停留在手工审计阶段;二是审计稽核部门对计算机账务系统实施审计的依据仅依赖于被审计单位提供的打印资料或事后资料,计算机账务的真实性审计很难得到保证。
三、加强风险防范的措施和对策
(一)构建信息系统安全管理组织及规范体系
加强信息系统的自我风险评估体系,让信息系统的管理和技术人员在自身的职责范围之内正确识别和评估潜在操作风险,主要包括内控制度的查漏补缺、工作流程的整理和规范、应急预案完善和演练等。同时加强对操作人员的管理,规范操作程序。一是加强密码管理,明确规定操作人员的权限,操作员必须在规定的权限内办理业务,用户口令及密码必须专人专用,严禁公开口令及密码;二是要建立健全操作员岗位目标责任制,对网络操作人员要明确目标任务,规范操作程序,严格落实奖惩制度。三是要严格岗位设置,不相容职务进行分离。严禁系统管理人员、网络技术人员、程序开发人员和前台操作人员混岗、代岗或一人多岗。四是要加强系统内部的稽核监督检查。稽核监督应贯穿于网络操作的全过程,重点是加强对系统设计开发、内控管理制度落实、操作运行等方面的(二)关注信息系统的稳定性、安全性和有效性审计
首先,审计人员应运用用一定的技术方法识别系统的完整性,该过程包括检查、测试、评估系统的内制,以保证系统的稳定性;其次,审计人员应评价系统存在的风险和可能产生的后果将成为审计的核心工作和基本内容,保证信息系统的安全性。应根据审计的标准和准则,评价控制环境的和IT基础设施的安全,确保系统满足组织的业务需要,保护信息资产的安全完整,以防非授权使用、泄露、修改、损坏或丢失;最后,还应鉴别信息系统的有效性。内部审计必须理解并熟悉操作环境,了解系统技术的复杂性及其对决策的影响;对来自内部的安全隐患,采用一定的方法进行系统诊断、检验、测试,评价其有效性及效率,以支持组织业务目标的实现
(三)改善内审机构,提高内审人员素质,培养信息系统审计师
为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价。信息系统审计师也称lS审计师或IT审计师,是指那些既通晓信息系统的软件和硬件(包括信息系统的开发、运营、维护、管理和安全等),又熟悉经济管理的内部审计人才。
(四)聘请专家进行协助
内部审计人员的知识、技能和经验虽然有助于信息系统的风险防御,但现实中必须承认,在企业中同时具备计算机技术和审计专业知识的人才非常短缺。再出色的内部审计人员可能面临一些系统内的专业问题却无法解决,因此有必要聘请外部专家。可以通过专家的协助测试运用其专业技能测试系统安全,进一步防范和解决信息系统风险的存在。
论文关键词:内部审计信息系统风险防范
论文摘要:内部控制是社会经济发展到一定阶段的产物,其内容在不断的发展与变化,而内部审计是内部监督机制的重要组成部分。目前计算机信息系统已在企业中广泛使用,而在内部审计过程中如何加强计算机信息系统的风险防范,是企业内部控制过程中迫切需要解决的问题。
系统审计论文篇7
二、网络风险和风险管理
网络风险如同自然灾害一样不可预见。风险管理的关键在于风险评估,风险评估就是要分析和衡量风险事件发生的概率及后果,引起风险的因素及其关联因素,出现风险的关键点采取什么方法能够减缓风险,风险出现造成后果如何,以及评价管理层是否履行了应有的职业审慎进行防范和控制。同时在评估中还要为各项因素设计评价比率,计算各种风险的影响后果,根据影响和后果排序,对高风险因素作进一步的分析。
通过风险评估,可以认识到潜在风险(威胁)及其影响,以便对高风险领域作一些防范、检测、控制、减缓和恢复的工作计划和安排。这些计划和安排应涵盖对各项控制成本,主要是指接受、避免、转移、监测成本的分析以及各项工作的先后次序。
三、电子商务系统审计中网站的合法性证明
网络终端用户都会关注网站是否来自一个真实的、可靠的机构,提供的信息是否准确真实,机构背景是否正当合法,个人信息的隐私权是否得到保护等。所谓隐私权是指对个人的数据/信息的搜集必须合法、公平,必须用于某一特定、公开的目的,必须取得该个人的同意并受到保护,本人必须有权进入系统进行修改或删除,信息的越域流动和将来的使用、披露必须予以安全保证和限制等。
解决这些网站合法性问题的途径之一就是由一公证机构提供可靠的证明,以使网络终端用户能对网站提供的电子商务放心。如Verisign,TRUSTe,BBBOnline,WebTrust,SysTurst等都是具有良好的信誉并且提供证明-查证服务的专业组织机构。网络终端用户可以通过查询这些公证机构的记录,获得确认被访问网站的名称、有效状态、服务器标识等信息。
四、内部审计和电子商务系统审计
美国注册会计师协会对“核实查证”的定义是“提高决策者所需要信息的质量或内容的独立性专业服务。”其审计原则是保证系统的可用性、安全性、真实完整性和持续性,建议对系统安全性和真实完整性方面存在的控制点进行检查、评价和测试。并尽量在今后采用合适的审计标准对信息技术进行审计。不同于以年度为基础的传统外部审计,电子商务的实时性要求审计人员应对其进行连续不断的评估,按特定的审核标准对已发生的交易进行追踪,而系统内设置的自动登录记录可作为相应的审计轨迹,在系统内部实施对事件监督和控制。
尽管当前许多人认为核实查证通常与外部审计人员相关,内部审计人员则在公司内部出具审计报告。然而,国际内部审计师协会对电子商务系统审计的要求则是:审计控制目标主要是审计财务报告制度、经营的效益和效率、合规性和保护财产安全等方面。审计模式应该建立在系统的可用性、容量、功能、保护和可靠性的基础上。例如,内部审计对网络企业控制水平的独立评价,使得客户了解到企业提供的数据将不会被有意或无意地滥用。再如,企业目标是建立电子商务以降低成本、提高市场占有率,那么电子商务风险是随着网络交易的增加而增加,以至于不能确保交易的安全性或分辨用户的可靠性,因此,所需要的控制就是对用户的真实性进行确认以及对通讯信息进行加密。
系统审计论文篇8
随着网络与信息系统的广泛使用,网络与信息系统安全问题逐渐成为人们关注的焦点。
网与因特网之间一般采取了物理隔离的安全措施,在一定程度上保证了内部网络的安全性。然而,网络安全管理人员仍然会对所管理网络的安全状况感到担忧,因为整个网络安全的薄弱环节往往出现在终端用户。网络安全存在着“木桶”效应,单个用户计算机的安全性不足时刻威胁着整个网络的安全[1]。如何加强对终端用户计算机的安全管理成为一个急待解决的问题。
本文从系统的、整体的、动态的角度,参照国家对安全审计产品的技术要求和对部分主机审计软件的了解,结合实际的信息安全管理需求,讨论主机审计系统的设计,达到对终端用户的有效管理和控制。
2安全审计概念。
计算机网络信息系统中信息的机密性、完整性、可控性、可用性和不可否认性,简称“五性”,安全审计是这“五性”的重要保障之一[2]。
凡是对于网络信息系统的薄弱环节进行测试、评估和分析,以找到极佳途径在最大限度保障安全的基础上使得业务正常运行的一切行为和手段,都可以叫做安全审计[3]。
传统的安全审计多为“日志记录”,注重事后的审计,强调审计的威慑作用和安全事件的可核查性。随着国家信息安全政策的改变,美国首先在信息保障技术框架(IATF)中提出在信息基础设置中进行所谓“深层防御策略(Defense2in2DepthStrategy)”,对安全审计系统提出了参与主动保护和主动响应的要求[4]。这就是现代网络安全审计的雏形,突破了以往“日志记录”
等浅层次的安全审计概念,是全方位、分布式、多层次的强审计概念,符合信息保障技术框架提出的保护、检测、反应和恢复(PDRR)动态过程的要求,在提高审计广度和深度的基础上,做到对信息的主动保护和主动响应。
3主机审计系统设计。
安全审计从技术上分为网络审计、数据库审计、主机审计、应用审计和综合审计。主机审计就是获取、记录被审计主机的状态信息和敏感操作,并从已有的主机系统审计记录中提取信息,依据审计规则分析判断是否有违规行为。
一般网络系统的主机审计多采用传统的审计,系统的主机审计应采用现代综合审计,做到对信息的主动保护和主动响应。因此,网络的主机审计在设计时就应该全方位进行考虑。
3.1体系架构。
主机审计系统由控制中心、受控端、管理端等三部分组成。管理端和控制中心间为B/S架构,管理端通过浏览器访问控制中心。对于管理端,其操作系统应不限于Windows,浏览器也不是只有IE。管理端地位重要,应有一定保护措施,同时管理端和控制中心的通讯应有安全保障,可考虑隔离措施和SHTTP协议。
主机审计能够分不同的角色来使用,至少划分安全策略管理员、审计管理员、系统管理员。
安全策略管理员按照制定的监控审计策略进行实施;审计管理员负责定期审计收集的信息,根据策略判断用户行为(包括三个管理员的行为)是否违规,出审计报告;系统管理员负责分配安全策略管理员和审计管理员的权限。三员的任何操作系统有相应记录,对系统的操作互相配合,同时互相监督,既方便管理,又保证整个监控体系和系统本身的安全。控制中心是审计系统的核心,所有信息都保存在控制中心。因此,控制中心的操作系统和数据库最好是国内自己研发的。控制中心的存储空间到一定限额时报警,提醒管理员及时备份并删除信息,保证审计系统能够采集新的信息。超级秘书网
3.2安全策略管理。
系统审计论文篇9
【中图分类号】F239.0 【文献标识码】A 【文章编号】1004-4434(2013)02-0155-05
免疫系统论是对审计理论的创新和审计本质、职能的重新界定,石化企业作为我国国民经济的重要组成部分,其在维护国家经济安全、促进国有资产保值增值中发挥中重要作用。在国际金融危机影响尚未完全消除、国内外经济发展环境多变、市场竞争日益激烈和企业风险趋于多元的后金融危机时代。石化企业必须以免疫系统论作为新的价值取向深度推进审计文化建设,促进审计事业的创新和发展,保证企业可持续发展的实现。
一、审计文化的内涵、特点及功能
(一)审计文化的内涵
审计文化与文化之间具有密不可分的联系,审计文化是文化的重要组成部分,要了解审计文化的内涵,必须先分析文化的具体内容。关于文化的内涵,在学术界有不同观点。按照《现代俄语标准辞典》的解析:文化是指人类社会在生产中、社会生活和精神生活中所取得的成就的总和,包括物质文化和精神文化两个层面。泰勒(1992)认为,文化是一个复合整体,包括知识、信仰、艺术、道德、法律、习俗以及作为一个社会成员的人所习得的其他一切努力和习惯。还有学者认为,文化是代表一定民族特点的反映其理论思维水平的精神面貌、心理状态、思维方式和价值取向等精神成果的总和。可见,文化是一个多视角、多维度和多层面的概念。包括了物质、精神、理性和感性等多方面的涵义。也正是由于文化的复杂性,审计文化也成为了仁者见仁、智者见智的问题。但整体而言,审计文化具有自然属性和社会属性两种属性已成为普遍共识。审计文化的自然属性是审计工作中具有的属性,是共性,如审计法律法规、审计准则、审计手段和方法以及审计行为等。审计文化的自然属性决定了不同社会、不同国家的审计文化的共性。是不同国家相互交流的基础。审计文化的社会属性是审计工作中所形成的属性,是个性,其决定了不同社会、不同国家审计文化的差异性。虽然审计文化还没有形成统一、具体的概念,但学者普遍认为,审计文化是审计机关及其审计人员在履行职责、发展审计事业过程中培育形成的,被共同认可、遵循的价值观念、道德规范、行为准则、群体意识的总和。不难看出,学者对于审计文化的理解和认同,主要是集中在审计价值观、审计精神、审计心理和审计道德等在内的精神方面。
(二)审计文化的特点
经过近30年的发展,审计文化已经逐步形成了区别于其他文化的特点。(1)时代性。审计文化是时展的产物,无法脱离特定时代、特定政治、经济和社会环境的制约,随着社会经济关系的发展而变化,以适应社会经济发展对审计工作的要求,与审计工作实际现状保持协调一致。(2)系统性。审计文化包括了审计物质文化、审计制度文化和审计精神文化三个层面,三者相互关联、缺一不可。审计文化建设,不仅要注重制度、技术等有形因素,更要重视信念、价值观、道德评价等无形因素。(3)创新性。在社会经济不断发展的背景下,审计手段、审计方法、审计理论以及审计的价值观等必定要不断创新。(4)开放性。审计文化与其他文化虽有本质区别,但又相互兼容,既需要吸收先进文化的基本元素,又可以为其他文化提供借鉴和吸收。(5)科学性。审计文化具有自身的发展规律,其发展以社会经济发展水平和社会环境为基础,不能超越于经济发展水平的需要而独立存在,审计文化应与经济发展和审计工作的实际需要保持协调一致。
(三)审计文化的功能
实践证明,审计文化具有四个方面的功能。其一,凝聚功能。先进的审计文化,可以增进审计及机关人员的相互了解。团结各岗位、各领域的人员,形成共同的认知和价值观,增强企业凝聚力和忠诚度,形成促进企业发展的巨大合力。其二,激励功能。价值观和精神文化是审计文化的重要内容,其具有良好的精神感召力,有利于形成强有力的激励环境和激励机制,调动审计人员的主动性,全身心投身于审计工作,推动审计事业发展。实践证明,在某种程度上,文化的激励作用往往胜过行政命令的执行约束。其三,约束功能。审计文化的约束功能在价值观的指导下,借助道德、信念和风气发挥作用,通过心理的诱导和规范,引导人的思想和行为趋于和谐、一致。其四,教育功能。良好的审计文化有利于企业职工陶冶思想素质和道德情操,遵循正确的思想准则和行为规范。此外,审计文化还可以促使外部人员增加对审计工作的理解和配合,促使社会各界更加关注和支持审计事业。
二、免疫系统论与审计文化建设的内在机理
审计免疫系统是国家审计署审计长刘家义于2007年提出的观点,并在2008年中国审计学会五届三次理事会暨第二次理事论坛对全面深刻地阐述了免疫系统理论。免疫系统论是对审计理论的创新、审计本质和审计职能的新发展。刘家义审计长指出,审计应具有和发挥预防、揭示、抵御功能,现代国家审计就是经济社会运行的一个免疫系统。很显然,免疫系统论下的审计已经超越了传统审计中的会查账就是审计的定位,并对传统审计的监督、评价和鉴证职能进行修正及突破。免疫系统论下的审计,要做到资金管理使用的合规性、合法性、效益与效果性兼顾;既要查处问题,又要完善制度政策;在审计经济问题的同时,加强对社会、生态、环境和民生等问题的关注。对于企业而言,审计部门作为公司“免疫系统”的重要组成部分,要从审计的本质出发,发挥预警、揭示和修补抵御等“免疫”功能,同时当好经济卫士和保健医生,查错纠弊、规范管理、完善制度、堵塞漏洞,促进公司依法经营、规范管理,并不断增强抗风险能力和市场竞争力,保障公司经营管理活动安全运行和健康发展。通过分析免疫系统论和审计文化的功能与目的,两者是趋于一致的。是可以融合的。互为促进的。
(二)创新审计制度,强化审计文化建设的制度保障
系统审计论文篇10
0 引言
科研项目申报与科研成果的统计、管理师高校科研管理工作的重要内容之一,也是高校科研处日常工作的重要组成部分。做好科研项目申报、科研成果统计,使之达到准确、高效的水平,是高校科研管理部门始终关注和追求的目标。
随着信息技术的发展,由于各高校科研项目、科研成果、科研经费的不断增多,科研管理的信息量也日益增大。各高校纷纷摒弃了传统的手工管理模式,进而建立了基于WEB的科研管理系统,以提高工作效率。笔者在本单位的科研管理系统的开发过程中,根据本单位的实际情况,引入了论文提交审核、项目预申报2个子系统的开发,使用的实践证明,效果良好,解决了实际工作中长期存在的问题,具有一定现实意义。
1 系统需求分析
1.1论文提交审核需求
论文是科学研究的重要成果之一,其数量和质量也是衡量高校科研水平的重要指标之一,因此论文的统计和审核是高校科研处的重要工作之一,为此,一般的科研管理系统均包含此功能。
论文的提交和审核,过去一般由作者提交论文纸质复印件,科研处汇总后,逐一审核(包括是否属SCI、EI收录、是否属中文核心期刊发表、数否属非法期刊发表等),再由科研处人员逐一录入。许多高校由于实行高级别论文的奖励政策,使得科研处在该项工作中尤其不敢掉以轻心,稍有疏忽,即容易引发投诉和矛盾。在论文数量大、科研处人员少的院校尤其如此。因此,科研管理系统若只承担录入、存储且辅之以统计查询的作用是不够的。
高校图书馆在论文的甄别工作上具有得天独厚的条件,应充分发挥图书馆功能之所长,在系统中专门开辟一个审核模块归之使用,从而避免科研处在论文甄别上的尴尬与被动。
论文的提交可由作者纸质提交改为自行登入系统录入。图书馆审核后,其数据不允许再修改。此举有2个优点:其一,减少纸张使用,低碳环保从日常的工作中开始;其二,审核结果权威性增强,减少争议。
1.2 项目预申报需求
笔者从事科研项目申报工作多年,学校规定的项目申报截止日到后,个别教师仍提交申报书的情况时有发生。其原因有多方面,申报期内教学工作繁忙、外出公干等。在科研管理系统中加入预申报模块,可以有效地减少逾期申报的情况发生。
其做法为,科研处每次项目申报通知发出后,即在通知后面链接项目预申报模块,教师浏览完申报通知后,有意申报者即可进入项目预申报子系统,进行申报登记。科研处在受理申报材料截止日的前三天,可以根据目前所收材料的情况与项目预申报子系统内的登记情况进行对比,对尚未交材料者进行提醒和督促。该系统投入使用后,逾期申报的情况大幅减少。保证了申报工作的顺利进行。
2 系统结构设计
2.1系统体系结构设计
通过以上需求分析,针对本校科研管理业务流程的实际需求,本系统采用了多层B/S(Browser/Server)模式体系结构。B/S模式是Web兴起后的一种网络结构模式,WEB浏览器是客户端最主要的应用软件。这种模式统一了客户端,将系统功能实现的核心部分集中到服务器上,简化了系统的开发、维护和使用。本系统采用.NET框架支持下的n层分布式体系结构,使系统具有良好的可操作性和可维护性。
2.2 系统业务流程设计
论文提交审核流程设计
3 系统安全性设计
系统的安全性问题是本系统设计需要考虑的重要方面,除了它关系到整个系统的实用性和可靠性,更重要的是图书馆对数据库中论文审核的结论具有权威性和不可更改性,因此,本系统除了使用通信协议提供的功能完成连接和验证省份外,在应用程序和数据库中还对用户访问权限进行了分配和限制,从而确保数据库中的数据信息部不被非法泄露和修改。
用户的权限主要按用户使用性质进行分配,其中包括:教师角色用户(即有科研信息的用户)、人事处用户(专门负责教师基本信息的录入、修改、删除)、科技处用户、图书馆用户(负责论文审核)、财务处用户(负责科研经费的录入、修改、删除)、部门领导查询用户(只限于对本部门的科研信息、汇总信息进行查询)、院领导查询用户(可对全院科研信息、汇总信息进行查询)。
4 结论及应用效果
本系统于2009年10月正式投入使用,运行效果良好,它的多级用户权限管理、分布式实时查询等特点进一步增强了系统的通用性、可操作性和安全性,达到原设计目标。通过该系统的使用,实现了论文审核过程的无纸化提交,同时引入图书馆作为一个用户,解决了论文甄别问题上的难题,加强了论文审核环节的可靠性与准确性。在项目申报方面,该系统能提前让科研处掌握参加申报的人员数量及其姓名,便以及时做好提交申报材料的提醒和督促工作,保证申报工作的顺利完成。
系统审计论文篇11
3.缺乏有效的通用信息系统审计软件通用的审计软件具有计算机辅助审计软件的各种功能,并且在计算机环境中,通过数据接口与被审计信息系统连接,同时将审计工作程序化,从而在很大程度上代替了手工审计。目前我国信息系统审计刚起步不久,在信息系统审计软件这方面还存在很大空缺,通用的信息系统审计软件几乎不存在。此外,我国现有的财务软件大多没有审计接口,审计软件无法获取所需系统的电子资料。
二、我国商业银行信息系统审计的发展策略
1.信息系统审计制度与准则制定方面根据国际趋同的要求,我国应建立国际标准框架下具有各行特色的标准和规范体系。因而,我国商业银行也可应把目前国际上公认的最先进、最权威的信息系统审计标准——COB信息系统作为核心标准,建立符合中国实际、顺应国际准则趋同化要求的内控、风险管理体系、信息系统监审机制和制度。同时借鉴巴塞尔协议、BS7799、COSO等其他国际标准和原则,进而确立适合各行的信息系统审计目标、对象、范围、方法、流程等,具体指导信息系统审计工作。
2.信息系统审计管理方面第一,建立全方位信息系统审计管理体系。一方面,商业银行要切实落实《金融机构计算机安全保护工作暂行规定》要求,合理安排基础设施和安全防范措施。另一方面,监管部门应加强对我国商业银行的信息系统审计的监管,将信息系统安全作为监管的重要内容,将信息系统审计作为评价其安全性的重要因素。第二,进行信息系统审计人员的技术角色划分,突出信息系统审计的技术特色。根据各商业银行自己的信息系统技术体系及信息系统审计资源,划分不同的信息系统审计技术角色,突出信息系统审计的技术特色,提升信息系统审计层次。
系统审计论文篇12
2.确定审计组织模式审计组采用了市本级审计组与区县审计组上下联动、信息共享的审计组织方式,由市本级审计组负责市公安局交警支队和两个区分局交警大队的审计调查,其余的四个分局交警大队由各区县审计组分别负责。市本级审计组通过分析“电子警察系统”和“省系统”数据库,将问题数据分割后通过审计署OA系统及时发送给四区两市审计组。四区两市审计组审计分析各自的前端系统数据库,发现的审计线索也通过OA系统上传到市本级审计小组,以确定是否全市普遍存在问题。
3.确定审计重点和方法根据信息系统审计审前调查的结果,审计组决定以交通违法业务处理流程作为切入点,跟踪业务数据流向来开展信息系统审计。审计调查的重点包括四个方面:一是电子警察系统的合法性审计。因为电子警察系统的合法性决定了公安部门执法的合法性,其作出的行政处罚是否存在行政诉讼的可能。例如:执法点位有无按规定向社会公布;执法点是否按规定设置标识牌;执法点的设备是否经过验收和定期检测等,执法点的设备能否正常运行等。二是电子警察系统的有效性、完整性审计。如:违法数据是否按规定全部、及时核对录入;违法记录是否全部及时向当事人制发书面通知;超过规定时速的违法行为是否严格按规定进行处罚;有无擅自撤销处罚记录等。三是电子警察信息系统的安全性审计。如,数据上传过程中是否存在上传失败的情况;前后业务处理流程之间的数据量是否存在差异;操作系统、数据库以及应用系统访问是否存在的安全隐患等。四是电子警察系统的效益性审计。对审前调查确定的重点,审计组分别采用了不同的步骤和方法。①针对系统的合法性采取的审计方法:⑴取得目前交通“电子警察”的种类、数量及分布情况,与金盾网上向社会公布的执法点对比,检查执法点位有无全部按规定向社会公布。⑵在征询社会公众的意见的基础上,实地抽查执法点有无按规定设置标识牌;抽查指示灯号、标志线、限速指示牌等行车标志、标识是否合理;抽查交通“电子警察”测速设备,是否存在限速过低。⑶抽查交通“电子警察”设备的技术档案资料,检查所用的设备是否符合国家标准或者行业标准。⑷抽查记录,检查是否存在执罚程序不合法、未及时通知违法行为人等问题。②针对系统的有效性、完整性采取的审计方法:⑴抽查近三年广州市交通“电子警察”定期检测、保养、维护的日志、记录资料,检查设备有无定期检测、保养、维护;通过实地闯红灯和超速检查信息系统设备运行情况的有效性。⑵检查数据校验功能是否缺失。如核查决定书编号是否唯一编号、是否存在重号等。⑶通过不同系统之间数据的对比,核查系统数据完整性。一是横向比对,例如通过交警数据和邮政数据比对,违法记录是否全部及时向当事人制发书面通知,通过交警数据和银行数据比对,检查最终违章记录表中反映的已缴处罚金额总额是否与财政同一期间的非税收入金额一致;二是数据的竖向比对,例如通过四区两市的数据和支队数据比对,支队数据和省交警总队数据比对,检查系统数据在升级和迁移过程中是否发生丢失。⑷处罚撤销情况统计。审核撤销的数量、原因情况。审核撤销是否具有完整的内部控制制度,系统是否有控制手段。③针对系统的安全性采取的审计方法:⑴检查管理制度,查看系统后台记录的有关用户操作权限。⑵实地抽样查看系统操作人员对系统用户权限的管理,并运用数据审计技术和软件,对信息系统自动记录的日志进行筛选分析,检查有无未经授权的进入、非法修改删除数据等异常操作,从而判断信息系统的运行管理是否存在明显错误或者缺陷。④针对信息系统的效益性采取的审计方法:⑴通过直接发放调查问卷等方式,征询公众对广州市公安机关利用交通“电子警察”查处道路交通安全违法行为的意见,分析交通“电子警察”信息系统运行、交警执法的合理性、合法性和效益效果,提出对交通“电子警察”建设和利用的建议。⑵现场抽查交通“电子警察”设置到位情况,通过勘察、试验、拍照等取证手段,对市公安局“电子警察”项目的设置规划、分布、效益进行实地调查,重点检查有无长期在建、虚设不用、闲置浪费等低效益现象,形成绩效评价意见。⑶通过对交警执法效率提升、当地车辆保有量增长、交通事故数量及事故死亡人数变化等相关数据分析,采取量化指标反映“电子警察”取得的社会效益情况。⑷调取业务数据进行分析。如抽查监控点近三年开出罚单情况,动态分析监控点的运作情况汇报;分析近三年的事故多发地点,以及在事故多发地点设置交通“电子警察”情况。
4.项目取得的成果审计组通过开展电子警察信息系统审计,查出了以下主要问题:①部分监控设备长期没有维护,导致无法采集数据或数据失效。②部分违法数据未及时核对、录入。③区(县级市)违法数据与市局存在差异。④未在规定时限内向当事人邮寄交通违法处理通知书。⑤电子警察管理系统反映的违法处理通知书数据与邮局反映的寄出数据存在差异。⑥未及时对区县的异常数据信息进行检查、分析,导致滞纳金数据失真。⑦交警部门记录的入库金额与银行返回的金额存在差异。⑧电子警察管理系统数据上传公安部“六合一”平台时数据丢失。⑨信息系统中交通违法信息内容记载不够完整。公安交警部门对以上查出的问题高度重视,边审计边整改。其中对部分监控设备长期没有维护的问题,市交警支队已加强设备巡检、维护工作的监督力度,对未能正常使用的设备已及时排除故障;通过优化系统和设备配置、延长工作时间、抽调人员支援、将人工拍摄的非现场数据核对录入工作下放至辖区交警大队等措施,有效解决对部分违法数据未及时核对、录入的问题;对未在规定时限内向当事人邮寄交通违法处理通知书的问题,支队按不同的形成原因采取措施予以解决,对确因传送失败而未寄出通知书的,支队与邮政部门重新设计和开发统计违法数据数量功能模块,已正式启用,同时,与邮局采取每日核对数据量、对异常数据加强巡检等监管手段,确保发送数据量与邮局接收数据量一致;对未及时对区县的异常数据信息进行检查、分析,导致部分数据失实的问题,支队已在系统中对滞纳金字段值进行限制,有效解决了缴款时间滞后造成滞纳金不实的问题;对相关业务处理流程之间的数据存在差异的问题,支队正在筹建交通管理数据交换平台,将邮政、银政、电子警察、交委等数据统一通过该平台进行管理,进一步规范数据的共享与交换,同时对数据共享与交换情况进行全面监控,同时,将加强对系统操作人员的培训,提高业务和技能水平;对数据上传公安部“六合一”平台失败后没有作补救处理的问题,支队通过开发数据上传失败查询模块和安排专人跟踪数据上传情况,一旦发现数据上传失败立即进行补传,确保不因技术问题导致上传失败;对信息系统中交通违法信息内容记载不够完整的问题,支队已在新的电子警察管理平台中增加相关字段内容,逐步完善系统的设置。
二、做好信息系统审计的启示
1.做好审前调查是做好信息系统审计的必要前提。审计人员需要根据审前调查了解的行业政策、信息系统的设计、管理和维护情况,从而确定审计的范围和关注点,准备好信息系统审计的软、硬件条件。只有做好信息系统审计审前调查,才能充分评估开展信息系统审计的重要性、可行性和风险性。
2.了解信息系统业务处理流程是做好信息系统审计的主要关键。深入了解被审计单位的业务处理流程,掌握信息系统内部控制环节、数据处理环节和数据传输转移环节,以业务处理流程为切入点,就可以知道容易产生问题的环节,从而确定审计的重点,做到有的放矢。
3.合理配置审计人力资源是做好信息系统审计的有力保证。当前审计机关普遍面临信息系统审计复合型人才馈乏的困境,要在短时间内改变这一状况是不现实的。本案例中审计组配备了专长财会的审计人员和专长计算机技术的审计人员,由专长财会的审计人员负责研究行业政策,收集业务流程各环节的关注点,提出审计需求,由专长计算机技术的审计人员按需求设计计算机语言,对海量数据进行筛选,再交专长财会的审计人员对筛选结果进行分析,共同研究提出审计意见。复用审计思路的审计组织方式能使信息系统审计事半功倍。
4.采取灵活多变的审计方法是开展信息系统审计的有效途径。本案例中采取了审阅、查询、计算、分析性复核、社会调查问卷等多种方法。多种审计方法的灵活运用,可以相互印证审计事项,拓宽审计视野,扩大审计成果,加强审计的影响力。
系统审计论文篇13
本文随后的内容安排如下:首先是简要的文献综述,梳理审计理论框架及行为审计理论相关研究;在此基础上,以系统论为基础,阐述行为审计理论框架,包括行为审计研究对象、行为审计理论核心要素及相关关系;最后是结论和讨论。
二、文献综述
根据本文的研究主题,文献综述涉及两部分内容,一是一般审计理论框架研究,二是行为审计理论框架研究。
关于一般审计理论框架有不少的研究,主要围绕审计理论的逻辑起点、理论要素及相互关系,但是,学术观点分歧较大。
关于审计理论框架的逻辑起点,形成了一元论和多元论。一元论认为审计理论框架逻辑起点只有一个起点,但是,对于这个起点却有多种观点,主要的观点包括:哲学起点论(莫茨,夏拉夫,1990);审计专业假设起点论(Schandll,1978);审计目标起点论(李若山,1995;谢荣,2011);审计本质起点论(阎金锷、林炳发,1996;蔡春,2001;徐政旦,2004);审计环境起点论(刘明辉,2003;赵华、许福敏,2004);受托责任起点论(冯均科、陈淑芳、张丽达,2012;李明辉,2011)。多元论则认为审计理论框架研究有多个逻辑起点,主要有二起点和三起点,例如:审计动因、审计环境和审计目标结合论(吴联生,2000);审计本质、审计环境与审计假设结合论(刘冬荣、李香花,2005);审计环境和审计本质结合论(江金锁,2004;陈燕,2005;施玲、王愫、唐建华,2008);审计本质和审计目标结合论(杨蓉,2011);审计目标和审计环境结合论(李钢,2004;王振鸿、侯斌,2006)。
关于审计理论要素及其相互关系有不同的观点,蔡春(2001)将国外的主要观点归纳为莫氏模式(莫茨,夏拉夫,1962)、尚氏模式(尚德尔,1978)、安氏模式(安德森,1977)、李氏模式(汤姆·李,1984)、弗氏模式(弗林特,1988)。同样,国内也存在多种观点(徐政旦,2004;蔡春,2001;石爱中,2008;陈汉文,2009;杨肃昌,2012;王家新,2014;郑石桥,2014)。
以上是一般审计理论框架研究的简要概况。这些研究无疑加深了人们对审计理论框架的认识。然而,无论是审计理论的逻辑起点,还是审计理论要素及相关关系,都存在较大的分歧。这些分歧的存在表明,一些文献的研究存在方法论方面的问题,没有将审计理论框架作为一个复杂系统,而是坠入了简单的线性思维。认识论与方法论是紧密相关的,要在认识论上有所更新,必须在方法论上有所改造(郑石桥,2014)。
关于行为审计理论框架研究,行为审计历史源远流长,对它的研究却很少。国外的代表性人物是日本的鸟羽至英,他将审计主题区分为行为和信息两类,从而将审计区分为行为审计和信息审计,认为行为审计研究要关注如下特定问题:需要就评价标准达成共识;通常审计人被授予较大的权限;往往缺乏确定的审计命题;只能提供消极保证;受伦理道德的影响较大(鸟羽至英,1995)。国内文献,谢少敏(2006)在其教材《审计学导论——审计理论入门和研究》中提到信息审计和行为审计的概念,并介绍了鸟羽至英教授的研究。尚未有文献涉及行为审计理论框架。
总体来说,现有研究已经为行为审计理论框架研究提供了一些基础,但是,尚未有文献直接研究行为审计理论框架。本文以系统论为基础,研究行为审计理论框架。
三、行为审计理论框架:行为审计研究对象
构建行为审计理论框架,首先要解决的问题是,行为审计研究对象是什么。毛泽东指出,对于某一现象的领域所特有的某一种矛盾的研究,就构成某一门科学的对象①。行为审计学是否有自己的特有研究对象呢?
本文认为,行为审计学的研究对象是行为审计现象。行为审计现象主要表现为以行为为主题的审计现象。这里的行为是特定的自然人或组织对其经管责任履行具有重要影响的作为或不作为。行为审计的核心内容是从众多的行为中找出缺陷行为。缺陷行为是行为的下位概念,是行为的一个子集。除了缺陷行为这个子集外,行为还包括正常行为,也就是缺陷行为之外的其他行为。缺陷行为不能有效地履行经管责任,包括违规行为和瑕疵行为。违规行为是指明确违反了委托人意愿或相关法律法规的行为,而瑕疵行为是没有采用最合宜方案的行为或不作为。总体来说,缺陷行为是存在改进潜力的行为,这些行为如果得到改善,经管责任的履行会更好。这里的正常行为是与缺陷行为相对应的,这些行为的实施对经管责任的履行产生了正面的效果。
根据行为及缺陷行为的界定可以发现,以鉴证缺陷行为作为核心内容的审计现象大量存在,也就是说,行为审计现象大量存在。从历史上来看,公元前3 000多年的古埃及,法老委任监督官负责对全国各机构和官员是否忠实地履行职责的情况进行检查(文硕,1998);公元前1 000多年的西周时期,宰夫就具有审计职掌,主要是检查百官执掌的财政财务收支(吴泽湘,2002)。这里的履行职责、财政财务收支都属于行为,这些审计都属于行为审计。从后来发展的各审计主体来看,民间审计根据委托可以实施商定程序;政府审计业务有合规审计、财务收支审计;内部审计业务有财务收支审计、经营审计、舞弊审计等(黄溶冰、王素梅、王旭辉,2014)。商定程序、合规审计、财务收支审计、经营审计、舞弊审计都具有行为审计的内容。从当代中国政府审计来看,预算执行审计、金融审计、企业审计、固定资产投资审计以及合规审计、建设性审计、中国特色绩效审计都非常关注行为是否合规,从本质上来说,当代中国的政府审计都是以行为为主题的审计。
看来,行为审计作为一种独特的审计现象是客观存在的。行为审计学以这种独特的行为审计现象为研究对象,研究其理论和方法。
四、行为审计理论框架:理论要素组成
行为审计学研究行为审计的理论和方法,行为审计理论以其中的理论为核心,而行为审计理论核心要素关注的是行为审计理论究竟研究什么问题,也就是说,哪些问题的研究属于行为审计理论。
行为审计理论框架作为一个观念系统必须解决或回答有关行为审计的基本问题,这些基本问题的解决方案或回答的答案就是构成要素。第一,什么是行为审计?这个问题的回答就是行为审计本质。第二,为什么需要行为审计?这个问题的回答就是行为审计需求。第三,行为审计究竟干什么?这个问题的回答就是行为审计目标。第四,行为审计究竟审计谁?这个问题的回答就是行为审计客体。第五,谁来实施行为审计?这个问题的回答就是行为审计主体。第六,行为审计究竟审计什么?这个问题的回答就是行为审计内容。第七,如何实施行为审计?这个问题的回答就是行为审计机制,也就是关于如何进行行为审计的制度安排,包括行为审计取证模式、行为审计标准、行为审计定性、行为审计处理处罚、行为审计建议。
总体来说,行为审计理论作为行为审计现象的观念总结,应该包括下列要素:行为审计本质、行为审计需求、行为审计目标、行为审计主体、行为审计客体、行为审计内容、行为审计机制。当然,行为审计环境是行为审计存在的条件,所以,一般也需要作为行为审计理论的重要内容来讨论。一般来说,将审计环境之外的理论要素称为核心理论要素,所以,行为审计理论框架由核心理论要素和审计环境组成。
五、行为审计理论框架:各要素之间的关系
行为审计理论框架各要素之间的关系包括两个层面:一是核心理论要素之间的关系,这是行为审计内部各核心理论要素之间的关系;二是核心理论要素与审计环境之间的关系,这是行为审计与环境之间的关系。
(一)行为审计理论各核心要素之间的关系
系统论认为,系统要素之间的关系是各要素在联系的基础上形成的结构。联系是指系统要素与要素、要素与系统、系统与环境之间的相互作用关系。结构是指系统内部各要素的结合方式。每一个系统都有自己特定的结构,它以自己的存在方式规定了各个要素在系统中的地位与作用。结构是实现整体大于部分之和的关键,结构的变化制约着整体的发展变化,构成整体的要素间发生数量比例关系的变化,也会导致整体性能的改变。总之,系统的整体功能是由结构来实现的(贝塔朗菲,1987)。
关于行为审计理论框架要素之间究竟是什么关系,现有研究文献基本上都是线性思维,从逻辑起点出发,顺序确定不同要素之间的主导关系和反馈关系。这些确定大多没有说明理由。根据系统论,系统中各要素之间的关系主要是非线性的,不只是简单的两个要素之间的主导关系和反馈关系。行为审计是一个复杂系统,无论是系统与环境之间的关系,还是系统要素之间的关系,都不是简单的线性关系,而是非线性关系。既然要素之间是非线性关系,所谓的逻辑起点问题也就意义不大。非线性关系是行为审计理论框架要素之间的主要关系形式,这种非线性关系是各要素之间相互作用,而正是这种相互作用,使得整体不再是简单地等于部分之和,而可能出现不同于“线性叠加”的关系。根据上述思想,本文前面确定的行为审计理论框架各要素之间的关系如图1所示。图1表达的主要思想如下:第一,行为审计环境是行为审计理论框架的外部元素,它与理论结构各要素之间存在交换关系。第二,除了行为审计环境之外,行为审计理论框架各核心要素之间存在非线性关系,不只是简单的两个要素之间的主导关系和反馈关系,而是各要素之间存在相互作用关系。
(二)行为审计环境因素及其与行为审计的关系
环境是指系统与边界之外进行物质、能量和信息交换的客观事物或其总和。系统边界将起到对系统的投入与产出进行过滤的作用,在边界之外是系统的外部环境,它是系统存在、变化和发展的必要条件。虽然由于系统的作用,会给外部环境带来某些变化,但更为重要的是,系统外部环境的性质和内容发生变化,往往会引起系统的性质和功能发生变化。因此,任何一个具体的系统都必须具有适应外部环境变化的功能,否则,将难以生存与发展。
行为审计作为一个系统,其环境因素包括行为审计外部直接或间接与行为审计相关的经济因素、政治因素、法律因素、技术因素、社会因素、文化因素。这些环境因素又可以分为宏观环境因素和微观环境因素。例如,就国家审计主体实施的行为审计来说,国家治理特别是政府治理是其行为审计的重要环境要素,这个环境要素不同,其行为审计的许多重要特征都不同。就内部审计主体实施的行为审计来说,公司治理是其重要的环境要素,公司治理构造不同,其行为审计的许多重要特征也不同。
根据系统论,系统与环境之间存在交换关系,行为审计也不例外。行为审计环境提供了行为审计生存和发展的条件,对行为审计有资源和压力两种输入。行为审计环境给行为审计提供其生存发展所需要的空间、资源、激励或其他条件,是积极的作用、有利的输入,统称为资源。行为审计环境给行为审计施加约束、扰动、压力甚至危害行为审计的生存发展,是消极的作用、不利的输入,统称为压力。不同行为审计环境造就不同的行为审计。行为审计环境影响行为审计的结构选择,当行为审计环境变化到一定程度时,会影响行为审计的结构。行为审计在发展变化中有许多可能的结构状态,行为审计环境选择那个与自己相适应的结构状态,使之稳定,成为现实。行为审计环境影响行为审计的功能选择,行为审计环境的变化会影响行为审计的功能。行为审计环境能否满足行为审计的输入与输出要求,是行为审计能否发挥功能的重要条件。行为审计对审计环境也有功能和污染两种输出。给审计环境提供功能服务,是积极的作用、有利的输出,统称为功能。行为审计自身的行为,有时有破坏审计环境的作用,即不利的输出,称为对审计环境的污染。总之,行为审计和审计环境之间存在复杂的交换关系,表现为资源、压力、功能和污染,这种关系并不是简单的线性关系,而是非线性关系。上述思想体现在图1中。
六、结论和讨论
行为审计的核心内容是从众多的行为中查找缺陷行为,其历史源远流长,但其理论并不成熟。本文以系统论为基础,研究行为审计理论框架,包括行为审计研究对象、行为审计理论核心要素及相关关系。
行为审计学的研究对象是行为审计现象,主要表现为以行为为主题的审计现象。这里的行为是特定的自然人或组织对其经管责任履行具有重要影响的作为或不作为。行为审计的核心内容是从众多的行为中找出缺陷行为,包括违规行为和瑕疵行为。从古今中外审计看来,行为审计作为一种独特的审计现象是客观存在的。
行为审计理论框架作为一个观念系统必须解决或回答有关行为审计的基本问题,这些基本问题的解决方案或回答的答案就是审计理论构成要素。总体来说,行为审计理论核心要素包括:行为审计本质、行为审计需求、行为审计目标、行为审计主体、行为审计客体、行为审计内容、行为审计机制(包括行为审计取证模式、行为审计标准、行为审计定性、行为审计处理处罚、行为审计建议)。当然,行为审计环境是行为审计存在的条件,所以,一般也需要作为行为审计理论的重要内容来讨论。
行为审计理论框架各要素之间的关系包括两个层面:一是核心理论要素之间的关系,这是行为审计内部各核心理论要素之间的关系;二是核心理论要素与审计环境之间的关系,这是行为审计与环境之间的关系。
非线性关系是行为审计核心理论要素之间的主要关系形式,这种非线性关系是各要素之间相互作用,而正是这种相互作用,使得整体不再是简单地等于部分之和,而可能出现不同于“线性叠加”的关系。
行为审计作为一个系统,其环境因素包括行为审计外部直接或间接与行为审计相关的经济因素、政治因素、法律因素、技术因素、社会因素、文化因素。行为审计和审计环境之间存在复杂的交换关系,表现为资源、压力、功能和污染,这种关系并不是简单的线性关系,而是非线性关系。
行为审计理论严重滞后于行为审计实践,本文的研究提供了一个研究框架,以此为基础,对行为审计实践进行归纳、概括和总结,发展行为审计理论,为行为审计准则之构建提供理论基础。此外,由于中国政府审计主要是行为审计为主,在某种程度上,容易使人将审计行为的特色作为中国政府审计特色,这种观点可能不利于借鉴和总结其他国家的行为审计经验,就行为审计本身来说,各国在一定程度上都存在,所以,对行为审计理论的研究及实践经验的总结,要具有国际视野,不能仅仅局限于中国的行为审计实践。
