it审计论文实用13篇

it审计论文篇1

随着信息化浪潮推动市场经济主体快速步入大数据时代，企业日益注重信息技术（informationtechnology，IT）的投资与运用，其中企业资源管理计划（enterprise　resource　planning，ERP）是企业重要的IT投资之一。ERP技术融合了先进的IT技术与管理思想，针对企业管理中存在的问题对企业业务流程进行再造，运用IT技术整合协调贯穿于企业经营过程中的信息流以提高管理水平。企业ERP类IT投资不但改变了企业经营管理方式，还使得审计环境发生了显著变化。IT审计环境可能对审计人员面临的审计风险产生影响，其采取的审计方法、审计范围也随之发生变化，从而对其审计决策产生影响。对于事务所而言，最重要的外部审计决策表现在审计收费与审计意见两个方面。IT投资对外部审计决策产生了什么影响？究竟会通过何种路径影响审计收费与审计意见？本文对此展开研究。已有审计理论主要从企业和审计师特征这两个层面来构建审计费用和审计意见模型，而在企业特征层面很少有研究将企业信息技术因素纳入其中。本文把企业IT投资作为企业层面的信息技术特征，将其纳入审计费用和审计意见的模型中，能够丰富IT审计环境下的审计理论研究，拓展对审计师决策影响因素的研究。此外，在风险导向审计模式下，审计师的风险识别能力以及决策行为会对审计质量产生重要影响，通过研究我国企业IT投资对审计师决策的影响，有助于了解我国审计师在面对IT审计环境时的风险识别能力与风险管理战略。本文的后续内容安排如下：第二部分是文献回顾与研究假设，第三部分是研究设计与数据来源，第四部分是实证检验与分析，最后是研究结论与启示。

二、文献综述和研究假设

（一）文献综述现有关于IT投资对企业运营管理影响的研究文献较多，一方面主要考察IT投资达到预期效果的重要影响因素，另一方面则主要考察IT投资对公司业绩的影响。较多证据表明企业IT投资不仅能够改善经营业绩与加强成本管理，而且能够改善管理层经营决策所需要依赖的信息环境，提高企业信息透明度和精确性，增强高级经理人投资决策行为的科学性［1］。Morris和Laksmana（2011）发现IT投资企业报告了更少的内控缺陷［2］。IT投资会提高企业日常管理业务活动所需信息的及时性、完整性和透明度［3］，改善管理层对未来的盈余预测质量［1］。然而，关于IT投资对上市公司会计审计活动影响的研究仍然较少。Brazel和Dang（2008）发现实施ERP类IT投资企业的会计盈余信息质量下降［4］，但Morris和Laksmana（2010）在研究设计中控制了内生性问题后，发现IT投资企业盈余信息质量有所提高［5］。张子余等（2016）在控制内生性问题后，发现没有任何证据反映我国企业IT投资会降低会计盈余信息质量，有微弱证据表明盈余信息质量有所提高［6］。关于ERP系统对审计费用与审计意见的影响，Han等（2015）认为IT投资增加了审计风险，提高了风险溢价；以CI（computer　intelligence）数据库2000～2009年的美国公司为样本，他们发现企业IT投资与审计费用正相关，在IT审计环境下持续经营审计意见的概率降低［7］。综上，我国企业IT投资对外部审计决策影响的实证研究较为匮乏，不利于理解IT投资对我国企业外部审计决策的影响路径与机理，不利于理解我国会计师事务所在面临IT审计环境时所采取的风险管理策略。为此本文展开相应研究，本文与以往研究的显著不同之处在于：国外相关研究认为IT投资会增加审计风险，从而提高风险溢价与审计收费；而本文则揭示了我国企业IT投资对审计决策行为的影响路径与影响机理在于：IT审计环境下外部审计收费的提高不是由于重大错报风险变化引起的，而是由于追加审计程序以及学习成本增加，造成审计效率降低引起的。

（二）研究假设如果外部审计的重大错报风险加大，出于法律与自身信誉风险的考虑，审计师在出具审计意见时会更加谨慎，出具非标准审计意见的概率会提高［8］；反之，审计人员出具清洁审计意见的概率不会降低。因此，在风险导向型审计模式下，审计师要审慎评估企业的重大错报风险，需要对审计的固有风险与控制风险分别进行识别与评估。首先，需要对控制风险进行识别和评估。如果在业务流程再造过程中，IT系统中恰当植入关键控制点，会降低外部审计的控制风险；反之，如果ERP系统没有较好整合系统与植入关键控制点，IT投资企业存在较多内控缺陷，外部审计控制风险将可能提高。Morris（2011）发现ERP类IT投资企业报告更少的内控缺陷［2］；曾建光（2012）发现IT投资能降低两种内部控制实施成本———企业管理层与员工之间以及股东与管理层之间的监督成本［9］；张子余等（2016）认为我国企业IT投资能提高财务报告内控有效性［6］。据此我们倾向于认为IT投资并没有提高我国上市公司的控制风险。其次，评估重大错报风险还需要对固有风险进行识别和评估。企业IT投资能通过对被审计单位的经营环境以及舞弊动机产生影响，从而影响审计固有风险。第一，当被审计单位的经营成果和财务状况较差时，其固有风险水平较高；反之，当IT投资改善了企业经营业绩时，其固有风险会随之降低。而有较多经验证据表明企业IT投资会对其经营业绩改善产生积极影响［10］［11］。第二，当被审计单位存在有提供虚假会计报表动机时，固有风险相对较大。企业IT系统投资不仅为财务报告编制提供基础，还为各部门业绩考核与评价提供重要业绩数字，数字篡改会引发企业内部业绩评价部门相关人员的激烈争议。此外黄志忠和张娟（2012）还认为IT系统中数据更改需要高层授权，不精心设计容易导致系统崩溃［12］，对系统崩溃的担忧以及业绩考核相关部门对业绩数字的高度关注，这两种力量有利于制约被审计单位提供虚假报表的动机。因此，我们倾向于认为企业IT投资不会提高审计的固有风险。最后，如果IT系统本身存在明显系统缺陷，在ERP系统设计与运行过程中，操作者有意或无意造成的缺陷所产生的安全漏洞会增加外部审计的固有风险，某一环节问题可能波及其他相关联的诸多环节，此时被审计单位的固有风险可能增加。但我们不倾向于认为现在较为成熟的ERP类IT投资会存在明显安全漏洞与系统缺陷。尽管如此，基于上述诸多方面的分析，我们谨慎提出下列竞争性假设：假设1：在其他条件不变情况下，对于实施ERP类IT投资企业，审计师出具清洁审计意见的概率会降低（不会降低）。外部审计的审计收费首先会受到审计人员可接受的检查风险变化的影响。当其他条件不变时，如果IT投资使得企业的重大错报风险增加，此时审计人员可接受的检查风险程度降低，需要增加审计程序，审计费用增加。反之，如果IT投资使得企业的重大错报风险减少，此时审计人员可接受的检查风险程度提高，不需要增加审计程序与审计费用。外部审计的审计收费还会受到审计效率的影响。当IT系统提高了数据输入的及时性，降低了数据输入错误率时，审计工作效率提高，审计费用降低。然而，当企业进行IT投资时，审计师需要扩大审计范围，增加新的审计程序，这将降低审计效率，增加审计费用；审计师在面对IT审计环境时需要学习新的IT审计知识，学习在IT审计环境下专业审计判断的能力，增加的学习成本降低了审计效率，提高了审计费用。基于以上分析，我们提出下列竞争性假设：假设2：在其他条件不变情况下，我国企业IT投资会提高（不会提高）审计收费。

三、研究设计、数据来源与模型设定

（一）研究设计与数据来源为控制其他不可观测因素对被解释变量的影响，我们采用对照组方法进行研究，给IT投资企业寻找配对样本，将没有进行IT投资的配对样本与进行IT投资的上市公司样本混合在一起进行检验，对照组研究方法能够解决遗漏重要变量带来的内生性问题以及估计偏误问题。譬如，近十几年来审计监管逐渐加强，对事务所审计决策产生了影响，如果只运用IT投资样本进行检验，很容易将审计监管变化因素与企业IT投资带来的变化混为一谈。运用对照组方法进行研究，首先选取2003年1月1日至2010年12月31日在年报中首次公开披露实施ERP类IT投资的非金融类上市公司，然后给每家当年实施IT投资的企业寻找没有进行IT投资的配对样本。本文按照不放回抽样方法抽取配对样本，给IT投资企业按照行业相同、年度相同、总资产规模最接近原则寻找配对样本，每个配对样本的总资产在IT投资企业资产规模的正负20％以内。表1列示了成功配对的361组IT投资公司与配对样本的描述统计量，IT投资公司与配对公司资产规模的描述统计量非常接近。我们保留IT投资企业与配对样本在IT投资企业投资前三年与后三年的数据，研究样本时间的跨度是2000～2013年。其中，年报来源于巨潮资讯网以及新浪财经公告，内部控制指数来源于迪博内部控制与风险管理数据库，其他变量数据均来自CSMAR数据库。本文使用的统计软件是sta－ta12．0。为了避免极端值的影响，对连续型变量在上下1％水平上进行了Winsorize处理。

（二）模型设定我们采用如下logit回归模型对研究假设1进行检验。模型（1）中被解释变量是表示清洁审计意见的哑变量CleanOpin，变量定义见表2。CleanOpin＝k1IT＿post×ERP＋k2IT＿post＋k3control＋εit（1）为了检验假设2，本文在Simunic（1980）、Ke等（2014）的研究基础上构建了如下固定效应模型［13］［14］。模型（2）中被解释变量是审计费用Ln（AF）。Ln（AF）＝β1IT＿post×ERP＋β2IT＿post＋β3control＋εit（2）另外，本文参考Simunic（1980）与Ke等（2014）的相关研究［13］［14］，控制了影响审计收费与审计意见的其他因素，最终将上市公司规模（SIZE）、业务复杂程度（ARINV、FOROPS）、财务风险（LIQ、LEV）、盈利能力（ROE、LOSS、CFO）、审计师特征（BIG4）等作为控制变量，各变量定义见表2。四、实证检验与分析（一）描述性统计表3列示了主要变量的描述统计量。与已有研究一致，将审计费用取对数，取对数后的均值为13．213，标准差是0．646。审计意见的平均值为0．953，说明绝大多数公司被出具了清洁审计意见（不附加任何说明段的无保留审计意见）。内部控制指数得分的最小值是0，最大值是999．75，均值是679．66，符合得分分布特征。应收账款存货与总资产的比值（ARINV）的最小值为1．4％，最大值为73％，样本间差异较大。流动比率（LIQ）的平均值为1．743，表明样本公司短期偿债能力较好。资产负债率（LEV）的平均值为0．485，表明样本公司资本结构整体合理。聘请国际“四大”事务所的样本企业仅占6．7％。净资产收益率（ROE）的均值为6．2％，表明样本公司净资产收益水平一般。

（二）回归分析表4列示了我国企业IT投资对清洁审计意见影响的logit模型的回归结果，（Ⅰ）为不考虑控制变量的logit模型估计结果，交叉项IT＿post×ERP的系数为0．387，在10％显著性水平上大于0，意味着我国企业在IT投资后被出具清洁审计意见的概率提高。（Ⅱ）为考虑控制变量的logit模型混合回归结果，（Ⅲ）为考虑控制变量的面板logit随机效应模型估计结果，这两种情况下交叉项IT＿post×ERP的系数虽然都大于0但并不显著，表明我国企业在IT投资前后被出具清洁审计意见的概率无显著变化。控制变量LEV与LOSS的系数在1％水平上显著小于0，与现有研究结果一致，资产负债率越高的企业以及亏损企业获取清洁审计意见的概率显著降低。总之，表4表明在其他因素保持不变时，我国上市公司在IT投资前后被出具清洁审计意见的概率并没有显著变化。接下来利用模型（2）来检验我国企业IT投资对外部审计收费的影响。Hausman检验发现固定效应模型优于随机效应模型，因此采用固定效应模型来控制与被解释变量相关的不可观测的公司层面因素。表5列出了相应的检验结果。（Ⅳ）为不考虑控制变量时的估计结果，交叉项IT＿post×ERP的系数为0．072，在1％显著性水平上大于0，意味着我国企业在IT投资后审计费用显著提高。（Ⅴ）为考虑控制变量时固定效应模型的估计结果，交叉项IT＿post×ERP的系数为0．052，仍然在1％显著性水平上大于0。另外，表5两种回归中IT＿post的估计系数都在1％水平上显著大于0，意味着对应的非IT投资企业审计费用也随时间显著提高。原因可能在于，对于没有进行IT投资的配对企业，逐年的通货膨胀物价因素也使得事务所审计收费显著提高。在控制变量中，SIZE、BIG4的系数在1％水平上都显著大于0，这表明被审计单位规模越大以及由四大会计师事务所进行审计时，审计费用显著提高。

（三）稳健性检验在稳健性检验中，我们将来源于迪博内部控制与风险管理数据库的内部控制指数作为被解释变量，考察企业IT投资对内控有效性的影响，检验结果见表6。表6采用随机效应模型进行检验，是因为Hausman检验发现随机效应模型优于固定效应模型。（Ⅵ）列示了不考虑控制变量时的回归结果，交叉项IT＿post×ERP的系数为11．951，在5％显著性水平上大于0，我国企业IT投资后内控有效性显著提高。（Ⅶ）列示了考虑控制变量的回归结果，交叉项IT＿post×ERP的系数不显著，这表明当其他因素保持不变时，我国上市公司在IT投资前后内控有效性水平无显著变化。除此之外，我们重新定义审计意见，设置变量OPINION：当审计意见为标准无保留意见时O－PINION取值为4，审计意见为无保留意见加事项段时OPINION取值为3，审计意见为保留意见或保留意见加事项段时OPINION取值为2，审计意见为无法发表意见时OPINION取值为1，审计意见为否定意见时OPINION取值为0。然后运用ordinal　logit模型进行检验，结论与表4保持一致，这说明我国企业IT投资后被出具更好审计意见的概率无显著变化。另外，在前面本文是按照年度相同、行业相同、资产接近的原则进行配对，其中行业是根据字母行业编码选择相同行业，现在我们根据更加细分的字母加两位数字行业编码进行行业配对，为227个IT投资公司成功配对了227个没有进行IT投资的上市公司。运用新的样本，我们按照表4～6的分析顺序再次进行相关检验，研究结论保持不变。

（四）对重大错报风险的分析根据上述检验结论我们对重大错报风险展开进一步分析，重大错报风险分为财务报告层次的重大错报风险与认定层次的重大错报风险。首先，考察我国企业IT投资是否会影响财务报告整体层次的重大错报风险。通常，如果企业财务报告整体层次的重大错报风险显著增加，此时出具清洁审计意见的概率会降低。该命题的逆否命题为“如果企业出具清洁审计意见的概率没有显著降低，则企业财务报告整体层次的重大错报风险没有显著增加”。由于原命题和逆否命题是等价命题，逆否命题也应当为真命题。根据本文发现的“企业IT投资后被出具清洁审计意见的概率没有显著降低”，可推断我国企业IT投资后财务报告整体层次的重大错报风险无显著增加，这与张子余等（2016）发现的盈余信息质量无显著变化的证据保持一致［6］。其次，还需要考察我国企业IT投资是否会影响认定层次的重大错报风险。认定层次的重大错报风险细分为控制风险与固有风险。控制风险取决于内部控制设计与运行的有效性，根据本文的分析结果———我国企业IT投资后的内控有效性水平无显著变化，可知我国上市公司IT投资后的控制风险无显著变化。王立彦等（2007）、张露等（2013）均发现企业ERP投资对经营业绩改善有积极作用［10］［11］。当ERP类IT投资改善了企业经营业绩时，其固有风险会随之降低。因此，我们认为IT投资没有提高控制风险与固有风险，没有提高我国上市公司认定层次的重大错报风险。综上，本文认为我国上市公司的IT投资不会提高财务报告层次的重大错报风险，也不会提高认定层次的重大错报风险。我国企业IT投资没有影响重大错报风险，意味着我国企业IT投资后外部审计费用显著提高的原因不在于重大错报风险增加。外部审计面对企业新的IT审计环境时需要重新设计或追加审计程序以及增加IT审计学习成本，这会降低审计效率、提高审计费用。

四、研究结论与启示

本文实证检验了我国企业IT投资与外部审计决策之间的关系，研究发现：（1）我国企业在IT投资后被出具清洁审计意见的概率无显著变化，与张子余等（2016）发现的我国企业IT投资后盈余信息质量没有显著变化的证据相吻合［6］。（2）我国企业IT投资后外部审计的内部控制有效性水平没有降低，与曾建光（2012）发现的内部成本降低的逻辑保持一致［9］。（3）我国上市企业在IT投资后的外部审计费用有显著提高。根据上述研究结论可理解会计师事务所在面对新的IT审计环境时的风险管理策略包括：提高审计收费，调整审计程序，客观出具审计意见。从对影响路径的深入分析中可知，我国企业IT投资对外部审计的影响机理在于：首先，我国上市公司的IT投资没有降低内控有效性水平，没有提高外部审计的控制风险，重大错报风险无显著变化，企业在IT投资后被出具清洁审计意见的概率没有显著变化；其次，外部审计费用显著提高的原因不在于重大错报风险所带来的审计风险提高，而在于追加审计程序以及IT审计学习成本的增加，两者降低了审计效率，提高了审计费用。关于进一步的研究，我们认为可以运用调查问卷等形式，深入考察事务所对IT审计环境下重大错报风险的分析检查判断过程。基于本文分析可得出以下启示：第一，企业IT投资后在流程再造过程中需要合理设置内控关键控制点，将内部控制关键控制点合理嵌入ERP系统运行中，以进一步提高内控有效性，降低外部审计的控制风险。第二，与系统供应商保持紧密联系，加强对IT系统缺陷的后期维护。系统供应商作为系统的生产者，对该系统的缺陷以及运作流程了解较多，系统使用者应该与供应商加强沟通，以降低IT系统的固有风险。第三，会计事务所需要不断加强对IT审计人员的培训学习，学习与研究如何运用大数据背景下的IT审计技术，提高审计效率，降低审计收费，以提高事务所的核心竞争力。

参考文献：

［1］Dorantes，C．A．，Li，C．，Peters，G．F．，Richardson，V．J．The　Effect　of　Enterprise　Systems　Implementation　on　theFirm　Information　Environment［J］．Contemporary　Accounting　Research，2013，30（4）：1427—1461．

［2］Morris，J．J．The　Impact　of　Enterprise　Resource　Planning（ERP）Systems　on　the　Effectiveness　of　Internal　Con－trols　over　Financial　Reporting［J］．Journal　of　Information　Systems，2011，25（1）：129—157．

［3］Klaus，H．，Rosemann，M．，Gable，G．G．What　Is　ERP？［J］．Information　Systems　Frontiers，2000，2（2）：141—162．

［4］Brazel，J．F．，Dang，L．The　Effect　of　ERP　System　Implementations　on　the　Management　of　Earnings　andEarnings　Release　Dates［J］．Journal　of　Information　Systems，2008，22（2）：1—21．

［5］Morris，J．J．，Laksmana，I．Measuring　the　Impact　of　Enterprise　Resource　Planning（ERP）Systems　on　EarningsManagement［J］．Journal　of　Emerging　Technologies　in　Accounting，2010，7（1）：47—71．

［6］张子余，杨慧，李常安．我国企业IT投资对财务报告内控实施成本与盈余信息质量的影响研究［J］．审计研究，2016，（5）：98—103．

［7］Han，S．，Rezaee，Z．，Xue，L．，et　al．The　Association　between　Information　Technology　Investments　and　AuditRisk［J］．Journal　of　Information　Systems，2015，30（1）：93—116．

［8］Lennox，C．S．Audit　Quality　and　Auditor　Size：An　Evaluation　of　Reputation　and　Deep　Pockets　Hypotheses［J］．Journal　of　Business　Finance　＆Accounting，1999，26（7—8）：779—805．

［9］曾建光，王立彦，徐海乐．ERP系统的实施与成本———基于中国ERP导入期的证据［J］．南开管理评论，2012，（3）：131—138．

［10］王立彦，张继东．ERP系统实施与公司业绩增长之关系———基于中国上市公司数据的实证分析［J］．管理世界，2007，（3）：116—121．

［11］张露，黄京华，黎波．ERP实施对企业绩效影响的实证研究———基于倾向得分匹配法［J］．清华大学学报（自然科学版），2013，（1）：117—121．

［12］黄志忠，张娟．ERP实施、信息质量与公司绩效———基于中国上市公司的经验证据［J］．当代会计评论，2012，3（2）：1—13．

it审计论文篇2

一、 IT审计与传统审计在重大方面上是一致的

（一）IT审计与传统审计在基本概念及程序上大体一致

“独立性与客观性”、“权威性与公正性”等传统审计的基本概念在IT审计中得到了很好的体现。另外，IT审计独立于信息系统本身、信息系统相关开发、使用人员，由IT审计师依据法律规定，采用客观标准独立行使审计监督权，这与审计的“独立性与客观性”完全相同。同时，国际信息系统审计和控制协会（ISACA）对实行审计制度、建立审计机关以及审计机构的地位和权力都做了明确规定，这样使审计组织具有法律的权威性，其与公正性相辅相成。

（二） IT审计体系与传统审计体系结构基本一致

传统审计体系在逻辑结构上具有较强的严密性，“基本准则―具体准则―实务指南”是由抽象到具体的逻辑规则，这是会计准则、注册会计师鉴证业务准则等专业标准规范的常用结构，这使审计后续的具体工作便于寻找相应的准则条款，为审计工作提供便捷之处。IT审计所表述的“标准―指南―程序”准则框架在字面上与传统审计体系没有太大差别。其标准反应了信息系统领域的纲领性问题，指南是标准的具体化，程序则是一些工作规范，这与传统审计体系的三个层次是一一对应的。

从审计体系涵盖的内容上来看，传统审计内容的绝大多部分都包含在了IT审计体系的范畴之内。但是，相对于ISACA系会下的准则部制定的IT系统审计准则而言，我国的IT系统审计准则体系还不够完整，尚有若干项准则没有涉及，这应该在我国IT审计未来项目计划中予以考虑。

二、 IT审计具体内容方面存在两点点创新

（一）安全性审计

在传统审计中，对于被审计对象的安全问题鲜有涉及，而信息的安全性问题关系到企业的生存与发展，是保持企业健康可持续发展的重要保障。IT审计中对于安全性审计做了详细的规范。安全性审计的主要目的就是审查企业信息系统和电子数据的安全隐患。一个存在安全隐患的信息系统很难为审计人员提供真实可靠的信息，因此安全性审计也是真实性审计的前提。

（二） IT审计的软件测试方法与电子取证方法

审计方法贯穿于整个审计过程当中，而不只是存在于某一审计阶段或某个环节。随着IT审计系统实践的丰富与IT审计理论的发展，IT审计处理运用传统审计的方法外，还大量借鉴了计算机学科的一些方法为我所用。其中“软件测试方法”是IT系统审计的重要方法之一，较为经典的测试方法是黑盒测试与白盒测试。另外，某些会计数据和其他信息只能以电子形式存在，或只能在某一时点或期间得到①，在IT审计时对于这些电子数据的获取极为重要，需要确保IT审计人员发掘和收集充足可靠的电子证据，最终生成审计报告。

三、完善IT审计体系还应借鉴传统审计

（一）借鉴传统审计中的绩效审计，加强其实践可行性

传统审计将审计的真实性、合法性和效益性作为审计的目标。为适应建立市场经济的需要，审计机关从2001年以前主要从事的真实、合法性审计到90年代初期，审计机关对国有企业的审计开始向检查内部控制和经济效益两方面的延伸，绩效审计的重要性逐步凸显。②由于IT项目的功能复杂性、结构庞大性、周期延长性，使得IT绩效审计很难准确地评价如此综合性的IT项目效果，如何完善IT绩效审计在实践上的可行性是摆在我们面前的一项重要任务。

IT绩效审计应充分借鉴传统绩效审计中的经济性、效果性、效率性特征，围绕这“三性”进行展开。在“经济性”上，为了以最低的资源耗费获得一定数量和质量的产出，可以通过多方面的改良提高其节约程度。如美国Gartner Group Inc公司研发的ERP系统，其自动化程度很好，从而提高了IT绩效审计的科学性与可行性，避免不必要的开支。在“效果性”上，力图在IT项目上实现绩效监控动态化，为企业提供丰富的管理信息，并在企业管理和决策过程中发挥作用，动态监控管理绩效变化，及时反馈和纠正出现的问题。在“效率性”上，提高企业物流、资金流、信息流一体化管理的效率并且要善于管理信息系统，对信息系统应用价值的实现是IT绩效审计的最重要方面。

（二）借鉴传统审计的风险管理，发挥其制约性作用

《企业内部控制基本规范》把“应当关注研究开发、技术投入、信息技术运用等自主创新因素”列为企业识别内部风险时应当关注的六个因素之一。③伴随IT而来的风险、利益和机会使得IT风险管理成为企业管理的重要内容，也是IT审计中应该完善的部分。

借鉴传统审计对于企业风险管理中风险评估、控制与防范的流程，结合IT风险管理的环境特殊性，程序复杂性和数据多样性等特点，对IT审计中的风险管理应按照“识别信息资产―威胁的量化和定性―评估漏洞―改进控制差距―管理剩余风险”的流程进行。首先，识别组织业务职能并确定每个流程的信息敏感度。然后识别流程的每一个组成部分的现有控制措施，按严重程度将控制差距分类。最后，通过风险等级、成本和有效性的选择，创建风险基准线，以便日后定期重新评估风险所用。

四、总结

通过对IT审计与传统审计的比较研究，我们发现：在基本内容、程序和体系结构等方面，传统审计与IT审计是协调的。在IT审计的软件测试方法与电子取证方法上，较传统审计来说有其先进性。但是IT审计的不完善性也是显而易见的，可以在绩效审计、风险管理等方面借鉴传统审计的优点，逐渐使IT审计广泛应用于我国的审计行业之中。通过传统审计带动IT审计的方式，使IT审计取其精华，去其糟粕，逐渐发展成为审计行业的新锐力量，是我国亟待努力的方向。

注解：

① 审计准则第1301号：审计证据

② 蔡春，刘学华.绩效审计论[M]，北京：中国时代经济出版社，2006

③ 陈耿，韩志耕，卢孙中.信息系统审计、控制与管理[M]，2014

参考文献：

[1] 肖杰浩著.Oracle 10g 数据库安全策略研究[M]，计算机科学技术，2004.

[2] 陈耿，韩志耕，卢孙中著.信息系统审计、控制与管理[M]，清华大学出版社，2014.

[3] 于海霞，我国IT审计面对的挑战[J]，中国管理信息化，2011.

it审计论文篇3

一、it审计的定义及其特点

it审计是指对信息系统从计划、研发、实施到运行维护各个过程进行审查与评价的活动，以审查企业信息系统是否安全、可靠、有效，保证信息系统得出准确可靠的数据。由以上定义可知，it审计的目标是保证it系统的可用性、安全性、完整性和有效性，最终达到强化企业内部控制的目的。

该审计过程具有以下特点：

1.it审计是一个过程。它通过获取的证据判断信息系统是否能保证资产的安全、数据的完整和组织目标的实现，它贯穿于整个信息系统生命周期的全过程。

2.it审计的对象综合且复杂。it审计从纵向（生命周期）看，覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务；从横向（各阶段截面）看，它包含对软硬件的获取审计、应用程序审计、安全审计等。it审计将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。

3.it审计拓宽了传统审计的目标。传统审计目标仅仅包括“对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见”；但it审计除了上述目标外，还包括信息资产的安全性、数据的完整性及系统的可靠性、有效性和效率性。

4.it审计是一种基于风险基础审计的理论和方法。it审计从基于控制的方法演变为基于风险的方法，其内涵包括企业风险管理的整体框架，如内部环境的控制、目标的设定、风险事项的识别、风险的评估、风险的管理与应对、信息与沟通以及对风险的监控。

二、我国it审计面对的挑战

it审计和传统审计相比具有的上述特点是吸引我国众多企业引入it审计的重要原因，但是这种方法的应用又会给企业提出巨大的挑战。

1.传统审计线索的消失。在手工会计环境下，审计线索主要来自于纸质原始凭证、记账凭证、会计账簿和会计报表，这些书面数据之间的勾稽关系使得数据若被修改可辨识出修改的线索和痕迹，这就是传统审计线索的基本特征。但是现在计算机网络信息系统中这些数据直接记录在磁盘和光盘上，无纸张记录，审计人员用肉眼无法直接看到这些数据如何记录，且非法修改删除原始数据也可以不留篡改的痕迹，从而为舞弊人员作案留有可乘之机。尽管许多审计机构要求已实现会计信息化的企业将所有原始凭证、记账凭证、账簿、报表打印输出，使用绕开计算机系统的审计方法，并以打印出的证、账、表作为基本审计的线索和依据。但是如果原始数据在业务发生时就被有意篡改，则其派生的记账凭证金额和账户余额及报表数据也一定会出错，打印出的数据也不能作为审计证据。因此即使打印出所有电子数据，传统审计线索也会在计算机信息系统下完全消失。

2.计算机信息系统的数据安全面临挑战。手工信息处理的环境下，审计人员无须将数据和会计信息的安全性问题作为审计的重要内容，但是在it审计的工作中，网络电子交易数据的安全是关系到交易双方切身利益的关键问题，也是企业计算机网络应用中的重大障碍和审计的首要问题。例如计算机病毒的破坏、黑客用 ip地址欺骗攻击网络系统来获取重要商业秘密、内部人员的计算机舞弊、数据丢失等，都是传统审计从未涉及的，但又是it审计的重点，这对当前我国的审计工作无论是操作系统，还是制度建立等众多方面都是一个很大的挑战。

3.it审计专业人才匮乏，适应it审计事业发展的人才培养和管理机制还有待建立和健全。由于it审计固有的复杂性，这项工作需要具备会计、审计、组织管理和计算机、网络技术等综合知识的人才，而且工作人员需要对内部控制和审计有深刻的理解，对信息和网络技术有敏锐的捕捉能力，在我国获得注册信息系统审计师资格的人数远远不能满足信息系统审计业务的需求。

三、我国it审计应对策略

面对上述挑战，我们应当多方位、多角度制订措施，使it审计工作更好地为我国企业发展做出贡献。具体措施如下：

1.审计线索的重建。根据计算机网络系统容易在不同地方同时形成相同“原本”数据的特点，可以重建电子审计线索：在电子化的原始数据形成时，同时在审计机构（包括内审机构）和关系紧密（签字确认）的部门形成原始数据的“原本”，或在不同部门各自形成相关的数据库（特别应当包括数量、金额和单价等主要数据项），这样不仅可以相互监督和牵制，还给计算机审计提供可信的审计线索。这种保留审计线索的方法，一方面成为有力的控制手段，另一方面可从审计线索中发现疑点。这种方法主要是应用专用的审计比较软件，同时将几个部门的同一种数据库进行自动比较形成有差异的数据记录文件，详细审查相关的数据文件和访问有关的当事人，从而取得有力的审计证据。上述比较审计方法是在不同部门同时形成业务数据文件的情况下应用，如果企业业务数据分离存放，如销售合同与销售发票、提货单在不同的部门保存，这种实质性测试也可采用比较审计法，应用专用的审计软件，结合相关的几个业务数据文件进行比较，查出有错误疑点的记录。

2.确保信息系统的信息安全。为了保证信息系统的信息安全，it审计工作人员要在审计过程中评价企业的防火墙技术、网络系统的防病毒功能、数据加密措施、身份认证和授权的应用实施情况，通过面谈实地审查企业安全管理制度建立和执行的情况，查看企业是否为了预防计算机病毒，对外来的软件和传输的数据经过病毒检查，业务系统是否严禁使用游戏软件，以及是否配置了自动检测关键数据库的软件，使异常及时被发现；检测企业是否为了防范黑客入侵，网络交易的数据库采用离散结构，同时在不同的指定网点（如在交易的双方）形成完整的业务数据备份供特殊使用（如审计和监控）；此外it审计人员还要注意检查企业的信息系统岗位责任实施、安全日志制度，审查有关计算机安全的国家法律和管理条例的执行情况。

3.建立一支完备的it审计专业人才队伍。it审计的发展必须有一大批专业化的it审计人才，这就要求我们要采取短期培训和长期培养、操作层面上的培训与高层次人才的培养、在职人员培训与未来人才培养相结合的方法将这支队伍逐渐发展起来。此外我国可以从现有的审计队伍中选拔人员进行专门的信息系统审计培训，并考虑在注册会计师的资格考试和审计师职称考试中逐步加入计算机、信息系统和网络技术等与信息系统审计有关的内容，以及加强对从事信息化咨询的it技术人员的会计与审计知识的培训。为了培养未来审计人员，应在高校会计、审计专业教学计划中增加信息技术和电子商务等内容，也可以考虑在高校中开设信息系统审计专业，直接培养信息系统审计专业人才。

当前我国it审计正处于起步阶段，和传统审计相比，it审计的显著特点决定了其势在必行，但是一种新的方法的引入和实施必定会给企业和审计人员带来巨大的挑战，面对种种挑战我们应采取积极措施，迎难而上，使it审计工作不断发展完善。

主要参考文献

［1］张茂燕．论我国的信息系统审计［d］．厦门:厦门大学，2005.

［2］陈朝.我国信息化建设中信息系统审计问题研究［d］．长春：东北师范大学， 2006.

［3］邓少灵．企业it审计的框架［j］．中国审计，2002（1）.

［4］李健，朱锦淼，王晓兵． it审计——人民银行内审面临的新挑战［j］．金融理论与实践，2003（6）.

it审计论文篇4

在现代金融系统中，商业银行扮演着极其重要的角色，而中国的商业银行在中国的金融体系乃至国民建设中都发挥着举足轻重的作用。在信息技术高速发展的今天，几乎每一个银行业务的处理都离不开信息系统，因此对信息系统的高可用性、高安全性有着非常高的要求。同时信息技术的发展与应用已经决定着商业银行的业务发展方向、模式以及创新能力，直接形成银行的核心竞争力。银行IT建设已经成为银行在市场竞争中的一项关键资源，因此对银行IT的风险控制与管理已经非常的重要，对商业银行的信息技术审计（ITA）提出新的要求。

一、商业银行IT审计的必要性

（一）IT审计是商业银行信息技术应用的必然结果

商业银行从最开始手工账务处理，到今天的信息技术覆盖到银行的方方面面。针对国内商业银行，据相关的数据统计，硬件网络平台已经实现了100%的应用，软件应用已经覆盖了80%以上的商业银行业务。从传统的手工处理，到今天的网上银行、手机银行等，商业银行对信息系统依赖性的日益增强，犯罪分子利用网络对银行信息系统攻击和破坏是益增多，必须要求对商业银行的信息基础建设及信息系统进行审计。

（二）IT审计是商业银行IT风险控制的必然要求

当前银行信息系统所采用IT技术与信息系统软硬件本身存在着大量的脆弱性，如硬件故障、系统漏洞、意外灾祸都会造成银行系统不能正常工作。国外相关统计数据表明，一些银行系统失效的风险损失占到总风险损失的10%-20%。如2009年1月下旬，某银行综合业务系统发生故障，造成综合业务系统故障时间约11个小时，导致整个银行不能对外营业，客户服务中断达4个小时，这种系统带来风险不仅给银行带来经济上的损失，而且直接关系到银行的声誉风险。

（三）IT审计既是银行信息化建设的必然保障，也有利于商业银行业务运营风险的防范

由于我国商业银行IT建设的起步较晚基础薄弱，同时在IT建设之初又缺乏系统、统一的规划，致使我国商业银行信息系统的建设缺乏标准性、前瞻性、规划性，重复建设严重，数据不完整或难以统一，甚至系统建好后发现不能满足要求而闲置等垢病。IT审计可以从IT建设规划，IT组织架构等方面加以评价或监督，推动银行信息化建设环境的治理。另一方面，由于银行业务经营风险很大程度上已经转移到信息系统的风险控制上，因此需要对信息系统的有效性进行评价，包括信息资产的保密性、完整性和可用性。

（四）IT审计也是商业银行审计发展的必然要求

随着信息技术在银行的应用，银行不实行IT审计，审计的内容不全面，审计风险也无法控制。而我国绝大多数银行现在IT审计都处于摸索试验的阶段，IT审计的基础相当薄弱，有些银行对IT风险监管缺乏独立性、系统性、全面性，这些都要求银行加快IT审计的步伐。

二、商业银行IT审计的内涵

到目前为止，国际上对IT审计定义也未形成统一标准的概念。一般来说国外的IT审计始于20世纪60年代的美国，从其发展历程来看，大概经历了三个阶段。最初是电子数据处理（EDP）审计，满足对财务电算化系统进行审计的需要，然后经历了以信息系统审计（ISA）为中心审计阶段，到今天逐渐形成独立的信息技术审计（ITA）。

而国内IT审计起步比较晚，还处于探索阶段，大家的认识也不统一，观念上仍存在若干模糊概念。纵观我国商业银行IT审计发展历程及做的IT审计项目，有以下几个方面特点：其一，认为IT审计就是对信息系统的审计（ISA），即对“计算机化的系统进行审计”，其审计对象、审计范围都有其局限性。其二，认为IT审计是审计人员利用计算机对财务数据进行审计，或者是等同于审计信息化，即运用IT手段或审计工具辅助传统审计或对传统审计进行深化。其三，将IT审计定义为IT运营环境的风险控制，包括IT基础环境安全、网络安全、信息安全等内容。在当前形势下，必须对IT审计形成一个统一、规范的认识，这才有利于IT审计工作的开展和IT风险的防范，也将为 IT审计形成行业规范和建立准则奠定基础。

综合众多观点以及IT审计在我国的实施情况，笔者结合多年在商业银行IT审计经验，认为IT审计（Information Technology Audit，简称ITA）是根据公认的标准和指导规范，对企业的信息技术应用和全体信息资产的安全、效率、潜在风险进行评价，从而保证整体IT资源能促进企业战略目标的实现，推动企业的可持续发展。商业银行的IT审计不仅是评价银行IT基础设施、系统稳定安全的运行，同时涵盖系统的建设、系统对业务的支持、以及IT环境建设及IT治理等方面。

三、商业银行中IT审计体系框架及主要内容

当银行业务的处理已经高度依赖于信息系统的稳定运行的今天，信息科技风险的防范，需要从一个更宏观的角度，对商业银行信息技术建立一个整体有效的监控体系。笔者结合多年商业银行IT审计的工作内容，以及对银行所面临的IT风险思考，提出商业银行IT审计体系框架应当是覆盖了银行IT的基础建设、保障、安全，信息系统整个生命周期中的全部活动和资源，以及信息系统的应用领域。与商业银行信息技术的建设不同，银行IT 审计更关注潜在可能风险、风险的规避、管理和控制等。其主要内容一般可以分为两个大的方面，即IT一般控制审计与IT应用控制审计。

（一）IT一般控制审计

IT一般控制审计主要包括以下几个方面的内容：IT环境治理的审计、IT基础建设的审计、IT系统开发建设过程的审计等。其具体的审计内容见表1：

（二）IT应用控制审计

IT应用控制审计可以分为两方面的内容：

1．信息系统审阅：审计人员参与到信息系统的整个开发过程，在系统的需求论证、系统的基本架构、系统与系统之间关系与影响、开发过程中对主要业务流程控制点、测试与交付等重大控制点发表自己独立专业的意见，为保证系统能满足业务要求和符合企业战略发展提供独立意见。

2．信息系统应用控制审计：审计人员应当对已开发的系统以第三方身份进行独立审计，尤其是对开发过程中无独立的风险部门参与实施的系统。信息系统应用控制审计的内容包括输入输出控制、计算的准确性、系统接口及数据转换的安全性与一致性、访问权限的控制与设计、系统流程对业务流程的表达与控制等，用来评价信息系统是否能准确的对业务提供支持，有效的防范操作风险，同时不产生额外的风险，并且随着业务的发展提出系统持续改进的意见。

四、结语

商业银行IT审计既是银行信息技术应用与审计发展到一定阶段的共同产物，同时也是银行控制自身风险的必然要求。中国商业银行实施IT审计任重而道远，这既有赖于中国商业银行IT治理环境与文化的建立，更有赖于中国IT审计人才的储备及成长，它不仅要求IT审计人员懂得IT技术本身，更应当懂得银行业务，同时还得有现代企业风险控制的意识。

参考文献：

[1]Ron Weber. Information Systems Control and Audit. Prentice Hall Inc. 1999.

[2]ISACA. Information System and Control Association. Review Technical Information Manual.

[3]胡晓明.基于IT治理的我国信息系统控制与审计体系构建思考.科学管理研究.2008(9).

it审计论文篇5

IT审计与信息技术的发展密不可分。现代化的IT技术已经应用于内部审计之中，大幅度地提高了内部审计工作的效率，而且在多个方面对审计的发展产生了广泛的影响[1]。

IT审计在国内外学术界有多种叫法，例如 EDP审计、电算化审计、信息系统审计等。尽管叫法不同，但其涵义基本相同。IT审计与一般审计一样，同样是执行经济监督、鉴证与评价职能。其特殊性主要在两方面：（1）对执行经济业务和会计信息处理的IT系统进行审计，即IT系统作为审计的对象；（2）利用计算机辅助审计，即计算机作为审计的工具。概括起来说，无论是对IT系统进行审计还是利用计算机进行审计，都统称IT审计[2]。

1.电网企业IT审计的目标

为能有效地、恰当地和高效率地开展IT审计，应该明确IT审计的目标。IT审计并不改变审计的目的和职能，只是审计的环境、对象、方法和工具发生变化。电网企业IT审计的目标可概括为通过对企业IT规划、建设、应用、服务以及安全等全方位的审计，评价信息化投入效益，充分识别与评估IT风险，促进完善IT控制措施，提升IT系统的可用性、安全性、完整性、效益性，以达到强化IT内部控制的目的。

2.IT审计的内容[3]

2.1研究、审查与评价IT系统的内部控制

由于应用了电子数据处理技术、网络技术、电子商务技术等等，电算化和网络化带来了许多新的风险。系统的安全、可靠性很大程度决定于系统的内部控制。没有健全的控制，系统的程序和数据可能随时被人篡改，机密的经济信息可能被人窃取，系统可能遭受计算机病毒和黑客的攻击和破坏，等等。为了提高计算机信息系统的合法性、正确性和安全性，研究计算机信息系统的特点和风险，研究应有怎样的控制才能有效地降低这些风险，对系统的内部控制进行审查和评价，审查系统的内部控制是否完善，监督内部控制的有效执行，对控制的弱点和缺陷提出改进的建议，确保计算机信息系统能合法、正确、安全、可靠地处理有关的经济业务，是IT审计的一项重要任务。在电算化和网络化条件下，系统的内部控制包括程序化的控制和要求员工执行的管理制度。程序化的控制编写在系统应用程序中，其审查可在系统功能审计中进行。对管理制度的完善性和有效性进行审计，则类似于传统的内部控制审查。

2.2 IT信息系统开发审计

在网络化条件下，为企业能正常经营、有效管理，必须建立合法、有效、安全的计算机信息系统与企业内部网。一个计算机信息系统，尤其是大型的网络系统，如果问题到正式投入运行后才发现并进行修改，要比在开发阶段发现、改进耗费更长的时间和更高的成本。因此，有必要对计算机信息系统（如 ERP系统）的开发进行事前、事中的审计。这项审计工作一般由内部审计人员执行。系统开发审计的主要内容包括：①审查系统开发的可行性；②审查系统业务和信息处理功能的合法性和正确性；③审查系统程序控制与管理功能的恰当性与有效性；④审查系统的可审性（即是否留下了充分的审计线索）；⑤审查系统测试的全面性和恰当性；⑥审查系统文档资料的完整性；⑦审查系统的可扩展性。

通过系统开发的事前与事中审计，尽早发现系统的问题，及时提出改进的建议，可以把好系统质量第一关，同时也为审计人员今后对系统的审计打下基础。此外，审计人员在系统分析阶段应根据网络化审计的特点对系统提出审计方面的需求：①在系统中建立监控程序（又叫嵌入审计程序），以便计算机能对一些敏感和重要环节实行实时监控，发现异常的情况或例外事件自动向审计部门报警或自动记入审计文件，以便审计人员审查。②在信息系统中建立审计子系统或模块，提供审计程序、审计工具和审计档案库，以便审计人员进行网上审计。

2.3 IT信息系统功能审计

在电算化和网络化条件下，经济业务处理或会计核算由计算机系统执行，为了能对计算机信息系统的合法性、正确性和安全性实行有效的监督，IT审计的另一项重要任务就是要对计算机信息系统的功能进行审计。对信息系统功能审计的主要内容包括：①审查验证系统对业务与信息处理的合法性、正确性和可追索性。查明它们能否按现行的会计制度以及有关的财经法规和政策规定进行各项经济业务处理和会计核算，提供合法、正确的经济信息。②审查系统程序控制功能的恰当性和有效性。查明系统能否有效地防止或及时地发现在输入、处理、输出等过程中可能出现的各种差错和舞弊，达到预定的控制要求。计算机系统由硬件设备、系统软件和应用程序组成。只有三者的功能都正确可靠，系统的处理和控制功能才可能正确可靠。因为硬件设备和系统软件是由计算机厂商提供的，其中建立了不少控制，其功能一般来说比较可靠，一旦出现故障也较容易发现。会计核算或经济业务处理是根据系统的应用程序进行的，计算机系统的处理和控制功能是否合法、正确、可靠，很大程度决定于系统应用程序的正确性和安全性。因此，对计算机信息系统功能的审查，常着重于对系统应用程序的审查。对复杂的IT信息系统功能的审计，审计人员应聘请IT专家共同参加审查。

2.4 IT信息系统电子资料审计

审计都要对被审单位的证、账、表及其他反映经济活动的有关资料进行审查。在会计电算化条件下，证、账、表以数据文件的形式存储在电磁介质中，对它们的审计可以利用计算机辅助审计。计算机可以快速准确地完成各种繁复的计算，可以对大量的数据按指定要求进行各种审计处理，利用计算机辅助审计可以加快审查速度、提高审计效率和审计质量。

如果说仅在会计电算化条件下，审计人员还可以绕过计算机，只对打印输出的证、账、表和有关资料进行审计的话，那么，在网络经营与电子商务的条件下，因为没有纸性的审计线索，只有电磁化的电子资料，审计人员不可能绕过IT审计。对经济活动和会计信息的审查，必须利用计算机对有关的电子资料（包括各种原始单据、合同、记账凭证、账簿、报表等）进行审查取证、汇总分析。对电子资料的审查，是IT审计的重要任务之一。

3.IT信息系统审计的程序

IT信息系统审计的程序与手工会计信息系统审计的程序基本相同，是指审计工作从开始到结束的整个过程，一般包括三个主要阶段，即计划准备阶段、实施阶段和审计完成阶段[4]。

3.1计划准备阶段

计划准备阶段的任务是：根据审计的目标对被审计单位的计算机会计信息系统进行初步调查、组织IT审计小组、发出审计通知书、编制审计计划等。初步调查，了解被审计单位的基本情况。包括：计算机会计信息系统的硬件、软件配置状况；系统总体结构、功能模块划分及各模块之间的关系；系统人员的配备、职责分工、相关规章制度及业务流程；初步评价内部控制制度的执行情况。

组织IT审计小组，根据被审计单位计算机会计信息系统的复杂程度、审计任务的难度及审计人员的素质选择适当的审计人员组成IT审计小组。小组成员可以由经过IT知识培训的审计人员和具有会计、审计知识的IT技术人员共同组成，各自发挥专长。相互配合完成审计工作。

发出审计通知书，执行内部审计时，要对被审计单位发出审计通知书，审计通知书是告知对被审单位进行审计的书面文件，包括：审计机关的名称，审计的目的、范围、重点，审计的时间和要求等。编制审计计划，审计计划由审计项目负责人于现场审计工作开始前起草，基本内容包括：被审计单位的基本情况、审计目的、审计范围及重点、工作进度、审计组人员组成及分工、审计程序、提出审计报告的时间等。

3.2实施阶段

实施阶段是审计全过程的中心环节，其任务是：对被审单位的内部控制的建立及遵守情况进行控制测试，对系统处理功能及处理结果的正确性进行实质性测试。

①控制测试。对内部控制措施的可靠性进行的测试，可分为一般控制测试和应用控制测试。一般控制测试的主要内容是：组织与管理控制、开发与维护控制、硬件和系统软件控制、系统安全控制、系统文档控制等方面的审查与测试。应用控制测试的主要内容是：输入控制、处理控制和输出控制的审查与测试。

②实质性测试。对被审计单位账户余额和发生额进行直接审核，以确认系统信息的正确、真实与可靠。在对会计资料所进行的实质性测试过程中，因为大量的信息都是以机器可读形式存放于一定的介质上，对这些数据文件的测试方法与手工截然不同。具体的测试方法包括以下三种：第一，不处理数据文件的实质性测试方法；第二，处理实际数据文件的实质性测试方法；第三，处理模拟数据文件的实质性测试方法。

上述三种方法与应用程序测试所叙述的方法基本一致。实际上，数据文件的测试可以与应用程序控制测试同时进行，也可以认为是计算机信息系统环境下的“双重测试”。

3.3审计完成阶段

审计完成阶段是实质性审计工作的结束，其任务是：整理、评价收集到的审计证据，复核审计工作底稿，编写审计报告。

①整理、评价收集到的审计证据。审计人员通过分类、计算、比较、综合等方法整理、分析审计证据。

②复核审计工作底稿。通过对审计工作底稿的复核，检验所引用的有关资料是否详实可靠，所获取的审计证据是否充分适当，审计判断是否合理，审计结论是否恰当。

③编写审计报告。审计人员必须正确运用职业判断、综合收集到的审计证据，根据审计准则，形成正确的审计意见，出具审计报告。审计报告除被审单位财务活动及文件编制的合法性、公允性，会计处理方法一贯性发表审计意见外，还应对被审单位计算机会计信息系统的内部控制和处理功能进行评价，并应提出改进建议。

4.IT审计技术及审计软件综述[5] [6]

4.1 IT嵌入式审计技术（一种在线审计技术）

嵌入式审计模块是集成于应用系统的各个环节的代码段，或者说它是嵌入被审查的系统中的一个程序块，应用它的主要目的是实现对交易处理等被审计事项的持续监控。嵌入式审计模块根据预先设定的规则对系统中每一项交易进行实时检查，因此它尤其适用于需要处理大量数据的计算机系统中。嵌入式审计模块对满足预先设定规则的交易，在该交易被进一步处理前作如下工作：记录该交易的细节，实现定期浏览和报告审计日志文件，为后续审计作准备；或者只是对交易作标记（ tagging）以便区分其他交易。

利用嵌入式审计采集审计证据有其独特的优点。其一，它并不需要内部审计师连续地监控审计模块，而是只要零星和偶然的监控即可获得有效的结果，这就大大减少了内部审计师的工作量。实时审

计可以弥补事后审计线索不充分的缺陷。例如：我们使用客户服务系统（CSS，Customer Service System ）来管理客服功能。基于在线实时环境运行的CSS系统能保证客户服务数据直接由客户端传入系统数据库中，对这种运行能够进行有效的实时监督的就是嵌入式审计过程。其二，它可以采集审计所关心的关键数据。如对计算机非正常运行时间处理各项业务的记录，或对非法调用数据文件处理的记录。嵌入的审计程序本身具有隐蔽性、安全性和稳定性。非审计人员不能看到这些审计程序和自动形成的审计数据。所以，审计人员应用这些审计程序就能自动记载所要收集的审计证据，同时还可随时调阅这些证据文件，并利用这些审计证据适时判断系统运行情况和提出审计建议。

4.2通用IT审计软件（Generalized Audit Software，GAS）

GAS 是专门为审计人员设计的，是能够直接访问各种数据库平台及平面文件（具有行和列的一维或二维数组的数据表）系统的标准软件。它可帮助审计人员完成基本的审计任务，尤其擅于测试计算机中存在的数据和信息。通用审计软件比较容易使用，只需要审计人员具有有限的计算机知识，并不要求有编程方面的专业知识，因此具有适用性强等优点，是目前计算机审计中最广泛使用的审计工具。其基本结构图如图1所示。

国外著名的通用审计软件有审计命令语句ACL（Audit Command

Language）和IDEA（Interactive Data Extraction and Analysis）。国内的通用审计软件有：中望软件公司的审易软件、中普软件公司的中岳软件、通审软件公司的通审2000、审计之星、金剑软件等。

在众多审计软件中，由ACL Services Ltd.（）开发的审计命令语句ACL 是使用最广泛的通用审计软件。它允许审计师将个人笔记本电脑与客户机系统相联，从而下载客户端数据到笔记本电脑中以供后期的处理。它可以针对覆盖所有交易事项的大数据集合进行符合性测试。值得一提的是，它有审计追踪的功能，从而审计师可以在任何时候观看他们的文档，步骤和结论。ACL使用便利、适用范围广和可靠的优点使其在审计公司中非常流行。

4.3EXCEL中的审计工具

Excel是审计人员最常用的一种简单却非常易用的工具。可利用Excel辅助执行的审计工作有：利用Excel辅助审计程序表的编制，编制某些项目的审计表格，编制试算工作底稿与调整后会计报表，编制集团公司的合并报表，进行分析性复核。利用Excel辅助审计，是一种成本低、效率高、灵活方便、实用有效的计算机审计技术。

5.结论

未来计算机审计工具与技术的发展更加要求内部控制制度的加强。传统记账方式下，可以从字迹上辨认出登记人，从而明确责任，但是计算机环境下只能提供统一模式的输出资料。没有记录人的笔迹，无法从记录上辨认登记人，审计线索的痕迹不容易追踪，这就需要审计人员对会计部门的内部控制制度、职责的划分情况进行审查和评价。

随着电力行业快速发展，加强IT审计是建设国际一流电力企业的必然需要，也是国资委、工信部、国内外证监会等监管机构外部要求，更是践行“万家灯火、南网情深”企业理念的内生需求，必须通过加强IT审计来保证公司的信息技术应用对各级监管政策、法规的遵从性。因此，开展全面系统的IT审计是企业生存与发展的客观需要，具有重大的现实意义。需要我们以发展的眼光，与时俱进，坚持科学发展观，自主创新，深化研究，消化吸收国外IT审计先进方法、理论和技术，建立完整的、自主可控的信息系统事前、事中、事后多密级、多业务、多系统、多网络综合安全保障体系，为电网企业在各个领域的发展提供坚强后盾和有力保障。

参考文献：

[1]刘炳焕.我国计算机审计的现状与发展对策分析[J].审计文摘，2004（6）

[2]Larry E.Rittenberg，adley J.，Schwieger. Auditing：Concepts for a Changing Envioroment[M]，Jointly published by Peking University Press，2003.

[3]薛鹏.如何在会计电算化环境下实施有效的审计[J].工业会计，2002 （11）.

[4]中国内部审计协会.中国内部审计规定与中国内部审计准则[M]. 北京：中国石化出版社，2004.

[5]王宝庆.现代内部审计[M].上海：立信会计出版社，2007.

it审计论文篇6

二、IT环境下基于流程的审计风险判断方法

为了协助审计人员运用自上而下的风险导向审计方法,国际审计和鉴证准则委员会于2005年制定了“在整个审计

过程中运用职业判断对重大错报风险进行更准确评估的框架和模型”。具体步骤如下:(1)了解企业及其环境(包括内部控制),识别风险,并在报表层次考虑交易性质、账户余额、披露;(2)将发现的风险与认定层次可能发生的错误与舞弊相联系;(3)考虑风险的重要性;(4)考虑风险的发生概率。这个风险判断思路也同样适用于IT环境。因此借鉴自上而下的审计方法,将流程作为IT风险判断的中间环节,改进了的IT环境下的审计风险判断方法具体实施步骤如下:

1.了解企业及其环境(包括内部控制)。我国2006出台的《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》列举了影响重大错报风险的因素:行业状况、监管环境以及其他外部因素,企业性质,目标和性质以及相关的经营风险,财务业绩的衡量和评级,内部控制。在IT环境下,识别和评价企业层面的风险和风险控制的有效性时,需特别考虑:(1)IT利益群体的风险及对IT利益群体控制的有效性,如IT治理;(2)企业层面的IT控制,如与IT相关的控制环境、风险评估、信息与沟通、监控、教育和培训等方面。

2.确定财务报告流程的核心要素。根据企业层面的风险评估结果识别重大账户、重要披露及与之相关联的认定。

3.识别关键业务流程。审计人员首先要识别与上述重大账户、重要披露、认定相关联的关键流程及流程所包括的主要交易,同时识别流程中易发生错误和舞弊的关键点(控制点)。为了判断业务流程能否实时预防或检测错误和舞弊,审计人员要识别出需要被测试的控制点,由于业务流程大多基于IT,因此要确定这些控制点哪些是依赖IT的,然后识别并证实关键的IT功能。

4.确定与IT功能相对应的应用系统的范围。详细列出与这些IT功能相关的应用系统和与之关联的子系统,包括交易应用系统和支持性应用系统。交易应用系统在处理组织内的数据时通常提供以下功能:(1)通过借贷关系记录交易的价值数据;(2)作为财务、经营和法规数据存放的仓库;(3)能够生成各种财务和管理报告,包括销售订单、客户发票、供应商发票以及日记账的处理。支持性应用系统并不参与交易的处理,但方便了业务活动的进行,如Email程序、传真软件、设计软件等。

然后IT审计人员与财务审计人员合作,从列示的子系统中识别出支持授权、复杂计算、维护重要账户(如存货、固定资产、贷款等)的完整性的重要应用系统。应用系统是否重要,需要考虑:交易量(交易量越多,应用系统越关键)、交易金额(金额越大,应用系统越关键)、运算的复杂性(运算越复杂,应用系统越关键)、数据和交易的敏感度(敏感度越大,应用系统越关键)。为应用系统提供IT服务,或者支持应用系统关键环节的IT一般流程即为需要进行IT一般控制测试的范围。

5.识别管理和驱动这些重大应用系统的IT流程。识别所有支持这些应用系统的基础设施,包括数据库、服务器、操作系统、网络,以及与之相关联的IT流程。判断这些IT流程的风险和相关的控制目标。识别出需要被测试的IT一般控制,进而判断其是否符合控制目标。控制测试结果将影响与之相关的IT应用控制的评价、业务流程的风险评价。对这些流程和系统进行风险和控制评估后,就可以制定风险控制矩阵。

6.评价IT控制、分析业务流程风险。结合对IT一般控制的评估结果和对业务流程中IT应用控制的评估结果,就可以分析关键业务流程的IT风险控制情况。此时的IT控制测试和人工控制测试要结合起来予以考虑,即将二者作为一个整体的测试对象。业务流程的风险是与业务流程所关联的一系列交易活动、账户群的余额、列报(包括披露)认定层次重大错报风险相联系的,因此,业务流程风险的评价结果构成了认定层次重大错报风险评估的直接基础。

7.评估电子证据证明力、设计实质性测试程序。审计人员可根据上述步骤的风险评估结果判断某一业务流程的电子审计证据的证明力并设计与业务流程有关的账户群的实质性测试程序。

通过上述7个步骤,审计人员可以将IT环境下的企业风险因素与报表层次和认定层次的重大错报风险相链接,同时也为电子审计证据证明力(即检查风险的判断)提供了依据。

参考文献:

[1]顾晓安,基于业务循环的审计风险评估专家系统研究[J].会计研究,2006(4):23-29.

it审计论文篇7

PCAOB第二号审计标准要求了解IT在内部控制环境中的重要性。它特别指出：公司在其信息系统中运用信息技术的状况，影响着公司财务报告的内部控制。

目前我国四大电信运营商全部在美国上市，他们现在正在构建法案要求的内控系统，IT内部控制系统构建及评审是无法绕过的工作。完善内控，特别是电信企业信息化水平很高、业务流程依赖于IT流程的背景下，重视IT内部控制，完善IT内部控制十分迫切。本文讨论我国公司如何依据法案的要求在短时间内构建一套IT内控系统，并通过有效的IT内控评价活动保证其持续健全有效，以支持CEO 和CFO 的承诺进行初步探讨。

一、萨班斯法案的要求

世通公司造假案件和安然、安达信事件震惊了整个世界，美国政府认为这是公司上下串通、内外勾结的严重结果，所以法案对公司治理、内部控制及外部审计同时做出了严格的要求。明确规定要求建立独立称职的审计委员会，管理层要负责内控系统的完善和落实，并对财务报告的真实性负刑事责任 .综观整个法案，最主要的是对公司内控系统的要求，主要体现在302条款和404 条款。法案对公司内控系统不但规定严格，而且实施要求和指南也在相续出台，如SEC 于2003年6月5日根据法案的要求颁布了404条的细化条例， PCAOB于2004 年3月9日第2号审计准则，对公司管理层提出了更明确的要求。

1、302条款的要求：

该条款要求由首席执行官和财务主管在内的企业管理层，对公司财务报告的内部控制按季度和年度就以下事项发表声明（予以证实）：

对建立和维护与财务报告有关的内部控制负责。

设计了所需的内部控制，以保证这些官员能知道该公司及其并表子公司的所有重大信息，尤其是报告期内的重大信息；

与财务报告有关的内部控制的任何变更都已得到恰当的披露，这里的变更指最近一个会计季度已经产生，或者合理预期将对于财务报告有关的内部控制产生重大影响的变更。

在当前环境下，IT系统驱动着财务报告流程。诸如ERP之类的IT系统紧密地贯穿于企业经济业务的开始、授权、记录、处理和报告一整套过程中。就其本身而言，IT系统和整个财务报告流程也是紧密联系的，为了遵循萨班斯法案，也要对IT内部控制的有效性予以评估。

为强调这一点，PCAOB第2号审计标准讨论了IT以及IT在测试内部控制设计合理性及运行有效性时的重要意义，并强调指出：[部分]

…内部控制，包括与财务报告中所有重要账户及披露内容相关的控制政策与程序，都应该予以测试。

一般而言，这样的控制包括IT一般控制，以及其他控制所依赖的控制。

2、404条款管理要求

萨班斯法案的404条款要求，管理层在其年度文件中提供关于与财务报告有关的内部控制的年度评估报告。管理层的年度报告要求包括以下内容：

管理层有责任为企业建立和维护恰当的财务报告有关的内部控制。

识别管理层所采用的内部控制框架以便按要求评估公司与财务报告有关的内部控制的有效性。

对从一上个会计年度未以来，与财务报告有关的内部控制的有效性予以评估，其内容也包括有关与财务报告有关的内部控制是否有效的公开声明。

年度审计报告中，注册会计师事务所发表的财务审计报告，包括管理层对与财务报告有关的内部控制有效性评估的证明报告。

管理层关于公司针对财务报告内部控制有效性评估的书面结论，应包含在其对财务报告内部控制的报告和其对审计师的信函中。这一书面结论可采取多种形式，但是管理层对公司面向财务报告的内部控制的有效性必须发表直接意见

如果与财务报告有关的内部控制中有一个或多个重要缺陷，管理层将不能对财务报告的内部控制有效性做出评估结论，而且，管理层应该披露自最近一个会计年度未以来财务报告内部控制方面的所有重要缺陷。

面向财务报告的内部控制在这一会计期间可能存在一个或多个重要缺陷，但管理层仍可能会报告“从最近一个会计年度未起（上个会计年度未起），与财务报告有关的内部控制是有效的”。如果要做出这样的结论，管理层必须在评估日前已经改进了内部控制，消除了已有的缺陷，并在运行和测试其有效性后得到了满意的结果，测试的时间足以让管理层认为，从本会计年度起，与财务报告有关的内部控制设计合理、运行有效。

审计师需要合理地确定管理层的认定目标或审计目的（从而依此来收集审计证据），以支持管理层对内部控制有效性的评估结论。通过对审计师在这一过程中所应遵循程序的描述，PCAOB第二号审计标准接着指出：

公司在对财务报告做出确认时需要借助于企业的IT系统。为了识别管理层对财务报告所作的相关认定，审计师应考虑每个重要账户潜在错报、漏报产生的原因。在决定一个认定是否与某一重要账户余额或其披露相关时，审计师应该评价IT系统的性质、复杂程度以及企业IT的使用状况。

PCAOB第2号审计标准还专门讲述了IT在期末财务报告中运用，它指出：…要了解期末财务报告的提供过程，审计师就应在每一会计期末评估IT在该过程中的应用范围。………[部分]

因此所有企业构建IT内部控制至少都应具备以下三层通用要素：企业管理层，业务流程和共享服务。

二、我国电信运营企业面临的挑战

由于电信企业的信息化水平比较高，业务对IT的依赖程度也比较高。因此依照萨班斯法案要求，完善与财务报告有关的内部控制时，电信企业的内部控制几乎离不开IT，即使业务控制也是在IT支持环境下的控制。因此，电信企业完善内部控制几乎可以说是完善IT内部控制，包括IT一般控制和IT应用控制。但我们的现状不容乐观。

1. IT专业人士，尤其是管理层，缺乏内部控制理论与实践来满足萨班斯法案的要求。

法案的要求使很多人认为，IT专业人士应该对其负责的IT系统所产生的信息质量及完整性负责，但问题在于，大多数IT专业人士对复杂的内部控制并不精通或了解，难负其责。尽管这并不说明IT人员没有参与风险管理，但至少IT管理层没有按照组织管理层或审计师所要求的形式进行正式的、规范化的风险管理。 PCAOB指出首席信息官（CIO）们现在必须面对以下的挑战：（1）增强他们有关内部控制方面的知识；（2）理解企业所制定的总的SOX遵循计划；（3）专门针对IT控制拟定一个遵循执行计划；（4）把这个计划与总体的SOX遵循计划相整合。

2 缺乏系统的内部控制制度

事实上，每个电信企业都或多或少会都有一些IT内部控制制度，正是由于第一点原因，这些制度基本是由技术管理者制定，他们缺乏规范化风险管理的经验，这些IT控制制度可能不太规范，控制政策程序不太完善， IT控制制度一般存在于系统安全和变更管理等一些一般控制领域，缺乏从公司透明度角度出发的、结合支持业务流程的完整的内部控制制度。所以这也是在国内企业在符合萨班斯法案的道路上，问题最多的领域。

it审计论文篇8

一、流程对审计风险判断具有重要意义

流程的概念很多,ISO/IEC 9000将之定义为一组将输入转化为输出的相互关联或相互作用的活动。企业由流程构成,Kaplan(2001)将企业定义为是一系列相互关联的活动或流程的集合,或是一个价值链。在IT环境下,流程可理解为“角色加活动”,即将流程描述为一个为实现特殊目的而合作且互相影响的角色的集合。早期人们对企业流程的理解大多局限于传统的业务领域;当IT逐渐与业务融合,并成为企业所有经营活动的驱动引擎时,流程的范围开始拓展,此时的IT流程与业务流程需要实现动态整合,即IT活动被看作是业务,并执行与业务相同的方式。因此,IT环境下的企业业务流程应该是广义的,同时包含IT流程和业务流程。美国公众公司监督委员会的第5号审计准则就指出,作为理解重大流程的一部份,审计师应理解IT如何影响公司的交易流程。

有些大的会计公司为了强调经营风险的审计方法,修改它们的审计辅助软件,以围绕业务流程组织审计证据,而不是按照传统的交易循环组织证据。关注业务流程的审计软件系统(Business-Process-Focused,BPF)通过价值链组织被审单位的信息;而传统的关注交易循环的审计软件系统(Transaction-Circle-Focused,TCF)是按照交易分类组织被审单位的信息。O'Donnell E和Jr Joseph J Schultz(2003)的研究结果表明使用BPF软件的审计人员能识别出更多的风险情形,并将风险估计在恰当的水平;而使用TCF软件的审计人员对风险的识别和估计都较差。因此他们认为不同的信息组织形式会影响审计人员的决策判断。造成这种结果的原因在于业务流程关注事件之间的关联性,它通过情景引导记忆;而传统的交易循环关注的是交易分类,它通过语义引导记忆。因此,关注业务流程可降低任务的复杂性和认知难度。随后其他的研究人员也发现围绕业务流程开展内部控制的评估任务更为有效。

二、IT环境下基于流程的审计风险判断方法

为了协助审计人员运用自上而下的风险导向审计方法,国际审计和鉴证准则委员会于2005年制定了“在整个审计 [1]

2.确定财务报告流程的核心要素。根据企业层面的风险评估结果识别重大账户、重要披露及与之相关联的认定。

3.识别关键业务流程。审计人员首先要识别与上述重大账户、重要披露、认定相关联的关键流程及流程所包括的主要交易,同时识别流程中易发生错误和舞弊的关键点(控制点)。为了判断业务流程能否实时或检测错误和舞弊,审计人员要识别出需要被测试的控制点,由于业务流程大多基于IT,因此要确定这些控制点哪些是依赖IT的,然后识别并证实关键的IT功能。然后IT审计人员与财务审计人员合作,从列示的子系统中识别出支持授权、复杂计算、维护重要账户(如存货、固定资产、贷款等)的完整性的重要应用系统。应用系统是否重要,需要考虑:交易量(交易量越多,应用系统越关键)、交易金额(金额越大,应用系统越关键)、运算的复杂性(运算越复杂,应用系统越关键)、数据和交易的敏感度(敏感度越大,应用系统越关键)。为应用系统提供IT服务,或者支持应用系统关键环节的IT一般流程即为需要进行IT一般控制测试的范围。

it审计论文篇9

“中国萨班斯”进行时

证监会纪委书记、企业内部控制标准委员会副主席李小雪在企业内部控制标准委员会第三次全体会议上表示，建设企业内部控制标准体系是资本市场的一件大事――健全有效的内部控制可以提高上市公司财务报告的有效性；可以保障公司资产安全，减少舞弊事件发生，堵塞漏洞，有效提高风险防范能力，降低公司风险；可以提高公司经营效益及效率，提升上市公司质量。

我国对企业内部控制评价的关注始于上个世纪80年代末，但当时的评价大都流于形式。“银广夏”等上市公司财务舞弊事件、“中航油事件”等等因内部控制失效造成财产重大损失的案件，在一定程度上要归咎于企业内控机制的不健全。

此后，我国政府开始重视内控评价的规范化建设。审计署、财政部、证监会、银监会等组织均出台了关于内部控制评价方面的规范，而2006年则是关于上市公司企业内控规范讨论最为热闹的一年。

2006年6月5日，上海证券交易所出台了《上海证券交易所上市公司内部控制指引》，对上市公司内控制度和风险管理制度出台了重要规定，引起了业界的强烈反响。

在信息技术无处不在的今天，IT既是企业内控的一个有效手段，同时IT本身又充满了风险，成为内控的重要目标之一。因此， IT内审引起了广泛关注。科索路咨询公司还专门对此了《IT内审调研报告》。

2006年7月15日，财政部联合国资委、证监会、审计署、银监会、保监会发起成立了“企业内部控制标准委员会”，旨在“基本建立一套以防范风险和控制舞弊为中心、以控制标准和评价标准为主体，结构合理、内容完整、方法科学的内部控制标准体系，推动企业完善治理结构和内部约束机制”。委员会的成立被视为中国版“萨班斯法案”即将出台的前兆，中国内部审计协会会长王道成当时曾向媒体表示，3年之内中国就会有自己的“萨班斯法案”。

2006年9月28日，深圳证券交易所《上市公司内部控制指引》，规定深市主板上市公司要建立完备的内部控制制度。在2007年7月1日文件正式生效后，上市公司均需按要求披露内控制度制订和实施情况。

很多人都相信，具有强制效力的中国上市公司内控法规就要形成，甚至有很多企业或个人认为随着企业内控法规的形成，与IT内审相关的咨询或者软件将是一个很好的市场机会，并雄心壮志地投身到这一领域。

但是到了2007年，在股市热潮背后，关于企业内控和IT内审规范工作似乎处于停滞状态。有些曾经看好IT内审市场机会的公司开始后悔自己当初的决定。这不禁让人怀疑，难道牛市的今天企业内控就不那么重要了？IT内审的热潮从此告一段落？

审迫在眉睫

事实远非如此。

2007年3月，企业内部控制标准委员会公布了《企业内部控制规范――基本规范》和17项具体规范(征求意见稿)，并开始向有关单位和专家征求意见。

2007年5月25日，由企业内部控制标准委员会主席、财政部副部长王军亲自参加的企业内部控制标准委员会第三次全体会议在北京友谊宾馆低调举行，会议对企业内部控制规范征求意见稿和若干项具体规范讨论稿进行了深入讨论。

财政部还表示，将根据本次会议讨论的情况尽快修订企业内部控制规范征求意见稿和讨论稿，抓紧建立中国企业内部控制标准体系。所有这一切都证明，尽管没有声势浩大的活动进入人们的视野，但“中国的萨班斯法案”依旧在紧锣密鼓地酝酿中。

业内人士分析，尽管今天企业内部控制规范征求意见稿依旧在讨论中，但是一旦被确定，肯定会和萨班斯法案一样对上市企业具有强制性的约束。毫无疑问，尽管还有上市公司对IT内审没有足够重视，但IT内审是否规范必将成为上市公司存在的必要条件之一。

现代企业的经营越来越依赖于信息系统，除了传统意义上的经营风险、控制风险和财务风险，企业信息系统的安全性导致的信息风险日益增长。同时对大部分企业来说，信息技术已经融入到企业各项业务中。IT内审作为企业内部控制的一个重要手段和对象，已经得到政府相关机构、企业和咨询机构普遍认可。

目前的《企业内部控制具体规范(征求意见稿)》中，专门提出了计算机信息系统的征求意见稿，就总则，岗位分工与授权审批，信息系统开发、变更与维护控制，信息系统访问安全，硬件管理和会计电算化及其控制等六个方面提出了43条详细征求意见。

企业表现各不相同

“招聘资深内审员，要求具有5年以上跨国公司会计与财务方面工作经验，并有IT系统审计方面的工作经验”。最近，“IT内审员”的新鲜职位已经开始出现在各大招聘网站。

很多被访企业表示，他们已经或者正在考虑采用新的技术手段来辅助企业内部控制工作，比如说中信集团公司早已经在2005年就开始采用加拿大审计软件ACL、易通审计软件开展审计。

承接企业内控咨询业务的会计师事务所或咨询公司表示，他们所接触的IT内审业务在明显增加。

……

种种迹象表明，IT内审规范的推动并没有停滞不前，之所以让人感觉“停滞”，主要是因为以下几方面的原因：

首先，很多企业对于内部控制仍然采取比较被动的态度。对于那些早在国内上市的企业，由于上交所和深交所出台的《指引》对他们没有强制性的约束，没有对内控的紧迫感。而那些在海外上市或者新上市的企业，大都是为了满足上市条件或者相关法规而被迫进行内部控制和IT内审。在香港上市的某公司的CIO告诉记者，对他们来说，IT内审就是每隔一段时间按照会计师事务所提供的一张单子中对IT的要求落实就可以了。

其次，目前大部分企业的IT内审工作主要是交给第三方机构来办理的。很多在海外上市或者被外资公司控股，特别是在美国上市的企业，早已经通过第三方机构在IT审计方面走在了前面。第三方机构对这块业务驾轻就熟，更多的企业选择IT内审对他们来说只是业务量的增加，因而没有引起大范围的讨论。

第三，很多企业虽然已经意识到IT内审的重要性，但是苦于IT基础太差、缺乏相关经验而暂时搁置。亚新科工业技术有限公司是一家总部设在北京的外资企业。为了让企业健康稳定地发展，公司从1999年就已经建立了完整的内部制度，并且还专门成立了内控部。但是，公司内控部总监麻蔚冰告诉记者，目前他们还没有实现IT内审。他认同随着信息技术在企业广泛应用，IT内审是企业内部控制的必然趋势。亚新科从去年就开始关注这一趋势，但由于公司内部的IT建设还不够完善，再加上IT内审所牵涉的东西非常复杂，暂时也没有好的经验可以借鉴，所以目前尚处在探索中。

规范形成尚待时日

那么，适合中国的IT内审到底该怎么做？如何形成适合中国国情的IT内审？

很多企业都希望《企业内部控制具体规范(征求意见稿)》能够给他们未来的IT内审提供有用的参考。

王军在企业内部控制标准委员会第三次全体作会议上也强调，内部控制标准体系建设要着力处理好借鉴国际和顺应国情的关系。目前，在尚未形成自己的规范并且没有更好的办法之前，业界已经认识到“西学中用”是最好的选择。

德勤咨询公司企业风险管理服务高级经理周梓滔告诉记者，目前的征求意见稿中不仅参照了萨班斯法案，还参照了很多地方的相关法规。

但是业内人士分析，毕竟中国企业有很强的特色，必须在参照这些经验的同时充分考虑中国企业自身的特色。

记者就IT内审规范这个问题拨通财务部会计司企业内部控制标准委员会某一负责人的电话时，得到回答是，征求意见稿中“计算机信息系统”部分还只是“征求意见稿”，希望有经验的咨询公司和专业人员能够积极参与，提供有用的建议。

在访谈了一些内控咨询专家、企业内控工作者后，记者认为以下几个方面是在建立IT内审规范过程中最不能忽视的：首先，企业对IT内审的重视不够；其次，企业的IT建设不够完善，建立像美国上市公司那样的IT内审难度较大；第三，企业IT内审部门的归属问题不明确：目前国内企业审计部门独立的就比较少，而IT内审既涉及审计又涉及IT，归属问题就更加不好确定；第四，IT内审的投入成本大，美国的大型公司仅在第一年建立内部控制系统的平均成本就高达430万美元，这对规模偏小的中国上市企业来说是不现实的……

由此可见，我国要建立完善的IT内审规范还需时日，但对于企业来讲，未雨绸缪却必不可少。否则具有法律约束力的规范一旦执行，临时抱佛脚几乎是不可行的――因为企业的IT建设本身就不是一蹴而就的事情。

it审计论文篇10

一、IT审计的定义及其特点

IT审计是指对信息系统从计划、研发、实施到运行维护各个过程进行审查与评价的活动，以审查企业信息系统是否安全、可靠、有效，保证信息系统得出准确可靠的数据。由以上定义可知，IT审计的目标是保证IT系统的可用性、安全性、完整性和有效性，最终达到强化企业内部控制的目的。

该审计过程具有以下特点：

1.IT审计是一个过程。它通过获取的证据判断信息系统是否能保证资产的安全、数据的完整和组织目标的实现，它贯穿于整个信息系统生命周期的全过程。

2.IT审计的对象综合且复杂。IT审计从纵向（生命周期）看，覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务；从横向（各阶段截面）看，它包含对软硬件的获取审计、应用程序审计、安全审计等。IT审计将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。

3.IT审计拓宽了传统审计的目标。传统审计目标仅仅包括“对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见”；但IT审计除了上述目标外，还包括信息资产的安全性、数据的完整性及系统的可靠性、有效性和效率性。

4.IT审计是一种基于风险基础审计的理论和方法。IT审计从基于控制的方法演变为基于风险的方法，其内涵包括企业风险管理的整体框架，如内部环境的控制、目标的设定、风险事项的识别、风险的评估、风险的管理与应对、信息与沟通以及对风险的监控。

二、我国IT审计面对的挑战

IT审计和传统审计相比具有的上述特点是吸引我国众多企业引入IT审计的重要原因，但是这种方法的应用又会给企业提出巨大的挑战。

2.计算机信息系统的数据安全面临挑战。手工信息处理的环境下，审计人员无须将数据和会计信息的安全性问题作为审计的重要内容，但是在IT审计的工作中，网络电子交易数据的安全是关系到交易双方切身利益的关键问题，也是企业计算机网络应用中的重大障碍和审计的首要问题。例如计算机病毒的破坏、黑客用IP地址欺骗攻击网络系统来获取重要商业秘密、内部人员的计算机舞弊、数据丢失等，都是传统审计从未涉及的，但又是IT审计的重点，这对当前我国的审计工作无论是操作系统，还是制度建立等众多方面都是一个很大的挑战。

3.IT审计专业人才匮乏，适应IT审计事业发展的人才培养和管理机制还有待建立和健全。由于IT审计固有的复杂性，这项工作需要具备会计、审计、组织管理和计算机、网络技术等综合知识的人才，而且工作人员需要对内部控制和审计有深刻的理解，对信息和网络技术有敏锐的捕捉能力，在我国获得注册信息系统审计师资格的人数远远不能满足信息系统审计业务的需求。

三、我国IT审计应对策略

面对上述挑战，我们应当多方位、多角度制订措施，使IT审计工作更好地为我国企业发展做出贡献。具体措施如下：

it审计论文篇11

一、商业银行实施IT审计的必要性

1.这是由商业银行业务高风险性的特点决定的

商业银行本身是一个高风险行业，在银行业务中的主要风险包括：战略性的，名誉性的，操作的，信用，货币兑换，利率，流动性。随着银行业务信息化程度的提高，特别是近年来网络银行和信用卡的兴起，银行的业务和信息系统之间的联系不断加强，信息系统需要不断的修改和完善以适应业务发展的要求。当信息系统跟不上业务发展的需要时，就会造成系统故障，系统错误等情况，导致一些业务不能正常开展，这使得商业银行面临的战略性，名誉性，操作性的风险越来越大。为减少这些风险，这就需要IT审计对系统进行严格的规范控制，对信息系统进行综合的检查和评价以保证信息系统适应银行业务发展的需要。

2.这由信息系统本身的特点所决定的

信息系统的开发是一项长期而且庞大的工程，需要耗费大量的人力、物力以及财力，它具有投资大，风险高的特点，若开发不当，则可能会使信息系统无法投入使用，或即使能勉强投入使用，但在使用过程中也会错误不断，需要极高的成本来维护系统，因此需要IT审计对信息系统的开发过程进行跟踪审计，及时发现并改正错误，保证信息系统的质量，降低系统后期的维护成本。同时，由于并不存在十全十美的信息系统，也不可能在系统开发过程中发现全部潜在的错误，这使得在系统运行过程中可能会出现系统故障，系统错误，黑客攻击漏洞等情况，这可能会使数据被破坏，客户隐私被泄露，经济效益遭受损失，对商业银行的声誉、经营造成影响。这就需要在信息系统运行维护阶段进行IT审计找出系统的缺陷和不足，并提出改进和完善的意见，以保障系统安全、可靠以及有效的运行。

二、商业银行IT审计的现状及改进措施

1.建立完善的商业银行IT审计制度

在我国制度创新还跟不上IT的发展，相关的IT审计法规、准则存在着一定的滞后现象，目前存在相关法规、准则仅有审计署于1996年颁布的《审计机关计算机辅助审计办法》，1999年颁布的《独立审计具体准则第20号――计算机信息系统环境下的审计》等几个。而近年来IT发展迅速，这些法规、准则不一定能适应新的系统环境，这将会给商业银行的IT审计的实际操作带来一些困难和影响。为了促进商业银行的IT审计的发展，应该完善相关的法规、准则，使之跟得上IT的发展。同时，根据国际趋同的要求，我国也应根据国际IT审计的国际标准――COBIT（信息系统和技术控制标准）建立符合中国实际、顺应国际准则趋同化要求的内控、风险管理体系、IT监审机制和制度。

2.加强IT审计的连续性

由于商业银行信息系统的开发多采用外包方式，这使得在实施IT审计时容易忽视信息系统开发阶段的IT审计，使得IT审计缺乏连续性。而系统开发阶段存在的一些潜在的问题可能会系统在运行维护阶段逐渐暴露出来，这个时候就需要去系统本身进行修正，与在系统开发阶段进行的修正相比，此时的花费的成本将更高。因此，需要加强在系统开发阶段的IT审计，加强IT审计的连续性，这将有助于保障高质量的信息系统的开发，减少系统存在的潜在问题，降低运行维护阶段的维护成本。

3.提高商业银行内部IT审计的质量

商业银行一般都拥有自己的IT部门，由于部分内审人员计算机知识与技能有限，这使得在进行内部审计时会在一定程度上依赖IT部门的人员的帮助，诚然这些IT部门的人员对于计算机知识以及相关的业务十分熟悉，有利于内部审计的实施，但是这却让他们拥有运动员和裁判员的双重身份，使得内部审计的独立性遭到质疑，内部审计的质量得不到保证。而高质量的内部审计能使信息系统安全、可靠以及有效的运行，同时也使信息系统容易通过外部审计。因此，需要在商业银行内部设立独立于IT部门的IT审计部门，实施有效的内部审计。

4.培养IT审计专业人员

我国商业银行IT审计起步较晚，IT审计专业人员在数量上严重不足，同时在专业技能方面与国外相比也存在一定的差距，而这些因素也在一定程度上影响了商业银行IT审计质量的提高，因此需要大力培养IT审计专业人员。对此，我们可采取专家讲课、委托培训、公派交流学习等措施来培养IT审计人员，提高IT内审人员的素质。

5.借鉴国外的一些先进经验

我国IT审计起步较晚，虽然在近年来取得了较快的进步，但相对于一些起步较早的国家而言，总体水平并不是很高。我们可以根据自身的实际情况，借鉴一些适合我国国情的先进经验，比如：挪威的数据获取自动化（TOMAS）系统，它能在提高效率保证质量的同时，使审计人员可以采集存储在财务管理会计系统中的基本数据而不增加被审计单位的安全风险；美国利用互联网实施联网审计，审计人员可以通过网络获取被审计单位的有关资料开展审计工作等。

参考文献：

it审计论文篇12

COBIT(Control Objectives for Information and related Technology)是美国信息系统审计和控制协会ISACA(Information Systems Audit and Control Association)基于其原有的控制目标体系(Control Objectives)，结合并改进现有的正在发展中的其他国际技术标准和工业标准而制定的控制目标体系,是国际上最先进、最权威的安全与信息技术管理和控制的标准。COBIT控制目标体系是一个较完整的信息系统管理和控制的参考模型,它将政府和企业的信息化归纳为34个IT处理过程，并逐个提出指导意见。通过将COBIT应用到信息系统的开发和实施环境，可以为管理人员、开发人员和审计人员来强化和评估信息技术外包风险的管理和控制提供依据。

二、IT外包的风险分析

企业IT外包处于IT战略中的资源管理层面，是帮助企业将注意力更多地投入到商业管理而非信息技术管理，进而更专注地追求核心竞争力的一条途径。尽管IT外包愈来愈普及，但外包失败的案例并未因此而减少。IT外包风险的表现就是外包失控。由于把部分或全部IT资源外包给企业外部的服务商，企业对服务商的管理就要比管理自己的IT部门复杂得多，时刻会面临失控，主要表现在以下三个方面:

风险一:IT外包可能会在服务的及时提供和服务的质量方面达不到预期效果。

风险二:企业对承包商的依赖度高反而降低了企业的灵活性，企业成本不降反升。

风险三:企业的商业机密可能会被泄露，知识产权可能会被盗用。

三、基于COBIT的IT外包风险管控体系

COBIT的控制目标主要是针对信息系统的管理控制和运行控制，COBIT提出的控制目标可以应用到所有的信息系统。因此，它的控制目标对IT外包系统来说大部分是适用的，但因其业务特殊性，必须结合发包企业的具体环境和承包商的实际情况，加以修改、补充和完善。

1.组织与规划

系统规划是IT外包项目建设的第一步，包括发包企业的战略目标、政策和约束、计划和指标分析;发包企业原有的建设目标、建设模式;企业信息的功能结构、组织、人员管理；IT外包的效益分析和实施计划。规划的好坏对IT外包项目的建设的成败有至关重要的影响。

整个信息系统的建设要以优化企业的核心业务流程，提高工作效率，更好地发挥企业综合协调与服务的职能为总体目标。规划必须满足:规划本身应当明确无误而且易于理解，应当是一个可以为大多数人所理解和认同的概念。规划必须得到领导小组的认可;规划目标应当是可衡量的；规划必须建立在对内外信息调查的基础上制定。

2.获取与实施

系统分析是在充分的调查的基础上对企业内部的整体管理状况和信息处理过程进行分析。系统分析的工作量非常大,所涉及的业务、人、数据和信息非常多。而且在实际情况中,企业信息化的需求难以一次确定,并且会不断发生变化;另一方面，承包商对政府的具体业务业并不熟悉,常常会发生理解上的偏差,从而导致建模的错误。因此,完成的系统分析必须满足以下一致性、完整性、现实性和有效性这四方面的要求。然后在系统分析的基础上,研究承包商外包方案的可行性,制定相关技术标准、实施规范。

3.服务与支持

发包企业的需求是不断变化的，商业目标也是随着企业的发展而逐步更新的，承包商要做好完善的数据跟踪，在可行范围内满足发包企业的需求，不断改进和修正开发计划中遇到的问题和缺憾。

4.审计

IT外包项目在发包企业实施以后，系统的可靠性、安全性和有效性是非常重要的，系统中的信息成为政府最宝贵的资源。内部审计是在政府内部建立信息系统审计组织，由内部信息系统审计人员对电子政务系统的可靠性、安全性、有效性进行检查与评价，将结果报告给政府管理层。内部信息系统审计部门，从组织地位上来讲必须独立于政府的IT职能部门和最终用户部门。

构建基于COBIT的信息系统管理、控制与审计模型，将便于人们对信息系统建设与应用过程的理解与分析,指导人们建立相应的机制,将信息系统建设与应用的全部过程置于有效的管理与控制之下。对信息系统的投资者和管理者,将帮助他们在通常不可预测的IT环境下平衡风险与投资。对信息系统的使用者,将通过管理、控制和审计为他们提供安全保障和一定的服务水平。对审计师而言,将帮助他们明确审计轨迹,使他们做出的鉴定和劝告更具说服力。

四、总结

it审计论文篇13

然后，我们从人员职责、IT控制的构成和IT控制对象这三个角度来理解IT控制的外延：

1．从人员职责角度看：首先是以下三类人员的职责：

 管理层――主要职责是确保控制存在并有效运行,为运营目标和控制目标的实现提供合理保证；

 低层管理者与员工――主要职责是执行控制；

 审计师――主要职责是对控制的正确性进行评估、提供改进建议及保证声明。

2．从IT控制的构成角度看：IT控制包括IT控制环境、IT一般控制、IT应用控制。

3．从IT控制对象与范围看：IT控制对象包括企业IT生命周期的所有流程。

实现IT控制，中国企业需要应对三大挑战

国内企业信息化建设速度越来越快，信息化水平越来越高，业务与财务报告流程对IT的依赖程度也随之越来越高。对大多数企业而言，运用整合的ERP系统，或综合运用各种经营管理、财务管理方面的软件，已经成为财务报告系统强有力的支持。

随着萨班斯法案的出台，财务报告的内部控制几乎离不开IT控制，即使业务层面的管理控制也是IT支撑环境下的控制。但是，信息技术是一把双刃剑，其潜在风险也越来越大，企业在建立有效的IT控制，以保证财务报告的有效性方面正面临着巨大的挑战。

但是，目前国内企业的内部控制体系多为传统的会计控制及管理控制，对IT控制缺少系统的考虑，企业的IT控制面临三大挑战。

挑战之一：CIO缺乏内部控制理论与实践。

以萨班斯法案的要求来说明，404条款的遵照执行有四个阶段：1.公司应制定内部控制详细目录，确定内部控制是否足够，然后将这些控制与诸如COSO之类的内部控制框架进行对照; 2.公司被要求记录控制措施评估方式，以及未来将用来弥补控制缺陷的政策和流程(如果有的话); 3.公司必须进行测试工作，以确保控制措施和补救手段起到预期作用; 4.管理层必须将前述三个阶段的各项活动情况汇总成一份正式的评估报告。

法案的要求使很多人认为，IT专业人士应该对其负责的IT系统所产生的信息质量及完整性负责，但问题在于，大多数IT专业人士对复杂的内部控制并不精通或了解，因此难负其责。尽管不能说IT人员没有参与风险管理，但至少IT管理层没有按照管理层或审计师所要求的形式进行正式的、规范化的风险管理。CIO（首席信息官）们现在到了不得不补课的时候了，当务之急是补充有关内部控制方面的知识，理解企业所制定的SOX遵循计划，才能专门针对IT控制拟定一个遵循执行计划，并把这个计划与总体的SOX遵循计划相整合。

挑战之二：缺乏系统的IT控制体系

事实上，每个企业或多或少都有一些IT控制制度，很多企业错误地把这些静态的控制制度等同于控制体系。现在越来越多的人认识到，我们需要的是“发现问题，解决问题；发现新问题，解决新问题”的持续改进体系。同时鉴于第一点原因，这些制度基本是由技术管理者制定，他们缺乏规范化风险管理的经验，这些IT控制制度可能不太规范且不成体系，控制程序也不够完善。IT控制制度一般存在于系统安全和变更管理等一般控制领域，缺乏从公司透明度角度出发、结合支持业务战略和业务流程的完整内部控制体系。

挑战之三：现有IT控制体系不具有可审计性

萨班斯法案相关的条款要求上市公司必须有足够的证据证明内部控制的有效性，这就要求企业必须有完善的内部控制流程及审计轨迹，在控制发挥作用的同时生成相应的文档记录，以便在对内部控制设计及运行的有效性进行评价时有足够的证据。

我国企业的IT控制程序设计及运行不具备可审计性。尽管很多企业有庞杂的规章制度，但该体系的完整性、有效性以及遵照执行情况缺少评价，或没有证据进行评价。

因此，我们构建IT控制系统时必须从全局着眼，借鉴国际内部控制框架及国际最佳实践经验，构建一套系统化、标准化、可审计、可持续改进的IT控制体系。

构建有效而持续的IT控制需要正确的理念、适合的内控框架和评估机制

对于企业，我们认为在构建IT控制体系时，需要从三个层面来考虑才能保证IT控制的有效性和持续性。为了更好地说明，笔者将以如何设计符合萨班斯法案要求的内部控制为例，来展示构建IT控制体系的主要思路，以供参考。

1. 要认识到构建IT控制体系是一个循序渐进的过程

SEC管制条款内容复杂，为了满足萨班斯法案的要求，大多数企业需要调整其员工观念和企业文化，通常也需要对IT系统及其处理流程作一些改进。改进的内容包括控制设计、控制文件、控制文件的保留，以及IT控制的评估等方面。这是一个循序渐进的过程，不能将原有的一切推倒重来。鉴于在美上市的中国企业多为国有企业，这些企业的规章制度普遍较为健全，所以对于它们而言，更为重要的是如何根据内部控制的理念和原则，结合企业的实际情况，对不符合萨班斯法案404条款的各项差距进行分析、弥补、测试和改进。这项工作的顺利开展需要企业人员具备相应的理论知识和实践经验，因此，IT控制和风险管理培训就成为贯穿始终、必不可少的一项重要工作。

2. 要选择好内部控制框架

法案并没有规定公司必须选择什么样的内控框架作为管理层评价内部控制有效性的依据, 需要企业自己选择。国际上比较有名的内控框架有英国的Turnbull、美国的COSO 和加拿大的CoCo , 它们从不同的角度剖析公司的经营管理活动, 为营造良好的内控框架提供了一系列政策和建议。PCAOB审计标准Ⅱ在“管理层用于开展其评估的内部控制框架”一节中，明确管理层要依据一个适当且公认的、由专家遵照应有程序制定的控制框架，来评估公司财务报告内部控制的有效性，SEC也从侧面认可COSO框架。COSO 认为，内部控制是由企业董事会、经理层和其他员工，为合理保证实现企业营运的效率及效果、财务报告的可靠性及合法合规等目标而实施的一系列过程。内控框架的构成要素包括控制环境、风险评估、控制活动、信息和沟通、监督五个方面。这套理论得到了包括SEC、公司管理者、投资者、债权人及专家学者的普遍认可, 国外许多公司都依据这个框架建立了内控系统。我国公司也可以按COSO 建立内控框架, 逐步与国际管理模式接轨。通过引入COSO 内控要素, 形成一个相互联系、综合作用的控制整体, 使单纯的控制活动与企业环境、管理目标及控制风险相结合, 形成一套不断改进、自我完善的内控机制。

尽管COSO正在成为理解和评价内部控制的全球性框架。但是，COSO不是唯一的控制框架，在有些情形下甚至可能不是最好的或最易于使用的框架，尤其是在COSO框架中没有考虑到对IT控制目标和相关控制活动的具体要求。目前，COBIT（信息系统和技术控制目标，Control Objectives for Information and related Technology）正在成为更好地理解信息技术环境下内部控制的国际公认框架，该框架由美国IT治理研究所（ITGI），是一个IT风险管理与IT控制的综合性分析框架，由覆盖信息化生命周期的4个域、34个IT控制目标、318个详细控制目标组成。COBIT也涉及企业经营、合法合规等方面的控制。因此，该框架可作为制定IT控制目标、审计、管理和执行方针的依据。COBIT不是COSO框架的替代品，而是COSO框架的有力补充，这是因为在信息技术条件下，管理层、IT人员、审计师都需要理解和记录IT相关流程、流程中资源利用情况，以及支持这些流程的控制。

尤其是那些信息资产密集型或高度依赖于自动化处理的企业，理解和评估信息技术条件下的内部控制是一项巨大的挑战，但也是实现萨班斯合规性的关键之处。COBIT对评估这种环境下的内部控制会特别有效，COBIT的全部控制目标为审计人员寻求实施萨班斯法案404条款内部控制评审提供了强大的支持。不过对于初涉COBIT框架的人来说，其庞杂体系令人望而却步，其指南分散在有很多图表构成的多卷本中。并且，COBIT自1996年问世以来，在很长的一段时间里，许多审计人员单纯地将COBIT看作是专门的信息系统审计工具，认为它对其他审计工作帮助不大。我们认为，虽然COBIT的重点仍然在于IT，但是所有的相关人员包括审计人员都要研究COBIT框架，并将它作为一款优秀的控制框架，用于帮助实现萨班斯法案的合规性要求（COSO、COBIT与SOX的对应关系见图1）。

整合运用COBIT与COSO作为构建IT控制的框架，是将两种国际公认框架进行优势互补。同时在确定控制点、控制程序、留下相应审计轨迹时，也可以参考IT运营、信息安全方面可审计的国际标准管理控制体系ISO20000、ISO17799等。

3. 建立一套自评估机制，确保内部控制系统的持续有效

众所周知, 企业的发展阶段、和管理状况以及外部环境的变化都是决定企业内控体系建立和有效运行的前提。任何内控体系都只是在一个特定的历史阶段有效。法案要求管理层每年都要对内部控制有效性做出声明，这也迫使公司必须建立一套控制自评估机制，评估内部控制体系设计、执行是否有效，以支持管理层的声明。同时，自评估机制也可以帮助公司发现控制薄弱区和控制漏洞，及时审时度势，弥补内控体系的缺陷，确保内控体系持续有效。这也正是萨班斯法案所要求的。

控制自我评估（CSA）是指企业内部为实现目标、控制风险而对内部控制系统的有效性和恰当性实施自我评估的一种方法。国际内部审计师协会（IIA）在1996年研究报告中总结了CSA的三个基本特征：关注业务的过程和控制的成效；由管理部门和职员共同进行；用结构化的方法开展自我评估。CSA最早出现在20世纪80年代末期，但其最主要的发展是在90年代，特别是在1992年COSO报告公布之后。COSO报告首次把内部控制从原来自上而下财务模式的平面结构发展为更全面的企业整体模式的立体框架。传统的内控评价方法只能用来评价诸如财务报告，资产与记录的接触、使用与传递，授权授信，岗位分离，数据处理与信息传递等的“硬控制”。在新的内部控制模式下，迫切需要评价包括公司治理、高层经营理念与管理风格、职业道德、诚实品质、胜任能力、风险评估等的“软控制”。在这种情况下，作为一种既可以用来评价传统的硬控制，又可以用来评价非正式控制即软控制的机制，CSA得到了普遍的信赖。

自评人员首先选择要评审的内控流程, 然后对其设计的健全、合理性进行评价, 如果设计合理, 则测试其运行的有效性, 最后进行综合设计测试和运行测试, 评价内控系统设计的合理性和运行的有效性。如果设计测试结果为不合理, 则直接进行内控系统的评价, 而不再进行运行的有效性测试（见图2）。

内控系统设计测试是指为了确定被审计单位内控政策和程序设计合理、恰当和完善进行的测试。合理的标准即控制设计与目标相关、恰当和完善, 能有效保证信息的机密性、完整性和可用性。运行有效性测试是指为了确定被审计单位的内控政策和程序在实际工作中是否得到贯彻执行, 并发挥应有的作用而进行的测试。执行有效的标准即内控政策和程序在实际工作中得到了贯彻执行并发挥了应有的作用。

为了评估企业内部控制水平，指导企业进行差距分析并确定改进目标，建议企业借鉴成熟度理论，描述企业IT控制有效性的各种等级。

 Level 1 不可靠级不可预知的环境，在这种环境中，控制活动没有设计或不适当；

 Level 2 不正式级控制与披露活动已设计并适当，但没有充分记录。控制更大程度上依赖于人，没有正式的控制活动培训与沟通；

 Level 3 标准级控制活动已被设计并适当，控制活动已被记录并在员工之间进行了沟通。控制活动的偏离可能不被发现；

 Level 4 监控级标准化的控制，有定期的有效性测试并向管理层报告，有限的利用自动化工具支持控制活动；

 Level 5 优化级一个整合的内部控制框架和实时的管理层监控与持续改善 (全面风险管理)，运用自动化工具支持控制活动，也许组织在需要的时候对控制活动进行快速变更。

就某个内部控制目标而言，一些企业可能愿意接受等级不高于3的IT控制。考虑到萨班斯法案 “外部审计师应就控制出具独立的鉴证”这一要求，审计师对一些关键控制活动的有效性水平不能低于3级。