下面是小编精心推荐的《it审计论文范文(精选3篇)》,供大家阅读,更多内容可以运用本站顶部的搜索功能。摘要:随着社会经济的不断发展,信息技术越来越完善,企业对财务会计信息相关数据的审计方式更加多元化。在当前科学信息技术不断提升的环境下,保障企业财务会计信息系统的稳定并对相关数据进行高效审计工作十分必要,信息系统审计能够保障财会信息的可靠性。同时随着技术的发展,财务报表审计的工作也有所改进,两者相互作用,能够提供更加准确的数据信息。
第一篇:it审计论文范文
我国IT审计面对的挑战
[摘 要] 随着各组织对信息系统运用的增多,信息系统在为企业带来高收益的同时也带来了巨大风险,因此引入IT审计成为一种趋势。本文从IT审计的概念特点介绍出发,分析当前我国IT审计面临的挑战,并提出了应对措施。
[关键词] IT审计;挑战;策略
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2011 . 11. 010
随着信息技术的兴起,信息系统已经渗透到社会生活的方方面面,它在给人们带来便利与效益的同时,也带来了很多负面影响,如计算机犯罪案件的频频发生等,系统安全问题日益严峻。于是一个不容回避的问题——我国企业如何有效地开展信息技术审计(Information Technology Audit,以下简称IT审计),保证信息系统安全,摆在我们面前。本文拟对此进行探讨。
一、IT审计的定义及其特点
IT审计是指对信息系统从计划、研发、实施到运行维护各个过程进行审查与评价的活动,以审查企业信息系统是否安全、可靠、有效,保证信息系统得出准确可靠的数据。由以上定义可知,IT审计的目标是保证IT系统的可用性、安全性、完整性和有效性,最终达到强化企业内部控制的目的。
该审计过程具有以下特点:
1.IT审计是一个过程。它通过获取的证据判断信息系统是否能保证资产的安全、数据的完整和组织目标的实现,它贯穿于整个信息系统生命周期的全过程。
2.IT审计的对象综合且复杂。IT审计从纵向(生命周期)看,覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务;从横向(各阶段截面)看,它包含对软硬件的获取审计、应用程序审计、安全审计等。IT审计将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。
3.IT审计拓宽了传统审计的目标。传统审计目标仅仅包括“对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见”;但IT审计除了上述目标外,还包括信息资产的安全性、数据的完整性及系统的可靠性、有效性和效率性。
4.IT审计是一种基于风险基础审计的理论和方法。IT审计从基于控制的方法演变为基于风险的方法,其内涵包括企业风险管理的整体框架,如内部环境的控制、目标的设定、风险事项的识别、风险的评估、风险的管理与应对、信息与沟通以及对风险的监控。
二、我国IT审计面对的挑战
IT审计和传统审计相比具有的上述特点是吸引我国众多企业引入IT审计的重要原因,但是这种方法的应用又会给企业提出巨大的挑战。
1.传统审计线索的消失。在手工会计环境下,审计线索主要来自于纸质原始凭证、记账凭证、会计账簿和会计报表,这些书面数据之间的勾稽关系使得数据若被修改可辨识出修改的线索和痕迹,这就是传统审计线索的基本特征。但是现在计算机网络信息系统中这些数据直接记录在磁盘和光盘上,无纸张记录,审计人员用肉眼无法直接看到这些数据如何记录,且非法修改删除原始数据也可以不留篡改的痕迹,从而为舞弊人员作案留有可乘之机。尽管许多审计机构要求已实现会计信息化的企业将所有原始凭证、记账凭证、账簿、报表打印输出,使用绕开计算机系统的审计方法,并以打印出的证、账、表作为基本审计的线索和依据。但是如果原始数据在业务发生时就被有意篡改,则其派生的记账凭证金额和账户余额及报表数据也一定会出错,打印出的数据也不能作为审计证据。因此即使打印出所有电子数据,传统审计线索也会在计算机信息系统下完全消失。
2.计算机信息系统的数据安全面临挑战。手工信息处理的环境下,审计人员无须将数据和会计信息的安全性问题作为审计的重要内容,但是在IT审计的工作中,网络电子交易数据的安全是关系到交易双方切身利益的关键问题,也是企业计算机网络应用中的重大障碍和审计的首要问题。例如计算机病毒的破坏、黑客用 IP地址欺骗攻击网络系统来获取重要商业秘密、内部人员的计算机舞弊、数据丢失等,都是传统审计从未涉及的,但又是IT审计的重点,这对当前我国的审计工作无论是操作系统,还是制度建立等众多方面都是一个很大的挑战。
3.IT审计专业人才匮乏,适应IT审计事业发展的人才培养和管理机制还有待建立和健全。由于IT审计固有的复杂性,这项工作需要具备会计、审计、组织管理和计算机、网络技术等综合知识的人才,而且工作人员需要对内部控制和审计有深刻的理解,对信息和网络技术有敏锐的捕捉能力,在我国获得注册信息系统审计师资格的人数远远不能满足信息系统审计业务的需求。
三、我国IT审计应对策略
面对上述挑战,我们应当多方位、多角度制订措施,使IT审计工作更好地为我国企业发展做出贡献。具体措施如下:
1.审计线索的重建。根据计算机网络系统容易在不同地方同时形成相同“原本”数据的特点,可以重建电子审计线索:在电子化的原始数据形成时,同时在审计机构(包括内审机构)和关系紧密(签字确认)的部门形成原始数据的“原本”,或在不同部门各自形成相关的数据库(特别应当包括数量、金额和单价等主要数据项),这样不仅可以相互监督和牵制,还给计算机审计提供可信的审计线索。这种保留审计线索的方法,一方面成为有力的控制手段,另一方面可从审计线索中发现疑点。这种方法主要是应用专用的审计比较软件,同时将几个部门的同一种数据库进行自动比较形成有差异的数据记录文件,详细审查相关的数据文件和访问有关的当事人,从而取得有力的审计证据。上述比较审计方法是在不同部门同时形成业务数据文件的情况下应用,如果企业业务数据分离存放,如销售合同与销售发票、提货单在不同的部门保存,这种实质性测试也可采用比较审计法,应用专用的审计软件,结合相关的几个业务数据文件进行比较,查出有错误疑点的记录。
2.确保信息系统的信息安全。为了保证信息系统的信息安全,IT审计工作人员要在审计过程中评价企业的防火墙技术、网络系统的防病毒功能、数据加密措施、身份认证和授权的应用实施情况,通过面谈实地审查企业安全管理制度建立和执行的情况,查看企业是否为了预防计算机病毒,对外来的软件和传输的数据经过病毒检查,业务系统是否严禁使用游戏软件,以及是否配置了自动检测关键数据库的软件,使异常及时被发现;检测企业是否为了防范黑客入侵,网络交易的数据库采用离散结构,同时在不同的指定网点(如在交易的双方)形成完整的业务数据备份供特殊使用(如审计和监控);此外IT审计人员还要注意检查企业的信息系统岗位责任实施、安全日志制度,审查有关计算机安全的国家法律和管理条例的执行情况。
3.建立一支完备的IT审计专业人才队伍。IT审计的发展必须有一大批专业化的IT审计人才,这就要求我们要采取短期培训和长期培养、操作层面上的培训与高层次人才的培养、在职人员培训与未来人才培养相结合的方法将这支队伍逐渐发展起来。此外我国可以从现有的审计队伍中选拔人员进行专门的信息系统审计培训,并考虑在注册会计师的资格考试和审计师职称考试中逐步加入计算机、信息系统和网络技术等与信息系统审计有关的内容,以及加强对从事信息化咨询的IT技术人员的会计与审计知识的培训。为了培养未来审计人员,应在高校会计、审计专业教学计划中增加信息技术和电子商务等内容,也可以考虑在高校中开设信息系统审计专业,直接培养信息系统审计专业人才。
当前我国IT审计正处于起步阶段,和传统审计相比,IT审计的显著特点决定了其势在必行,但是一种新的方法的引入和实施必定会给企业和审计人员带来巨大的挑战,面对种种挑战我们应采取积极措施,迎难而上,使IT审计工作不断发展完善。
主要参考文献
[1]张茂燕. 论我国的信息系统审计[D]. 厦门:厦门大学,2005.
[2]陈朝.我国信息化建设中信息系统审计问题研究[D].长春:东北师范大学, 2006.
[3]邓少灵. 企业IT审计的框架[J].中国审计,2002(1).
[4]李健,朱锦淼,王晓兵. IT审计——人民银行内审面临的新挑战[J].金融理论与实践,2003(6).
[5]李朝阳,胡昌振. 计算机审计系统的防护方法[J].航空计算技术,2002(1).
[6]李辉,杨青峰. 商业银行IT审计的策略与方法 [J].信息空间,2004(7).
[7]周新玲. 我国IT审计的发展对策[J].科技进步与对策,2004(3).
作者:于海霞
第二篇:会计信息系统审计与IT环境下财务报表审计的比较
摘 要:随着社会经济的不断发展,信息技术越来越完善,企业对财务会计信息相关数据的审计方式更加多元化。在当前科学信息技术不断提升的环境下,保障企业财务会计信息系统的稳定并对相关数据进行高效审计工作十分必要,信息系统审计能够保障财会信息的可靠性。同时随着技术的发展,财务报表审计的工作也有所改进,两者相互作用,能够提供更加准确的数据信息。会计信息系统审计以及财务报表审计都服务于企业管理人员,对企业内部的财务信息及相关经济利益进行审核,有效保障企业经济的稳定运行。
关键词:会计信息系统;IT环境;财务报表;审计
在当前科学技术日益发达的环境下,多数企业在内部信息管理方面都会采取更加便捷且高效的方式,会计信息系统的出现为企业财务信息管理提供了新的途径,同时逐渐成为多数公司在管理过程中的重要组成部分。会计信息系统的发展为企业对财务信息整合以及相关经济利益的记录做出了重要贡献,也逐渐成为企业核心管理部分。但会计信息系统的发展同时伴随着一定的风险,其对于企业审计等相关工作也具有一定风险性。财务报表审计的发展逐渐随着IT技术的进步有所改革,其相较于会计信息系统审计的涉及范围更广,产生的影响也更加深远,但同时也需要会计信息系统的相关信息辅助。
1 会计信息系统审计分析
1.1 会计信息系统审计内容
会计信息系统作为企业信息管理系统的一部分,具有重要的信息管理作用,其主要是经过完整的系统将不同种类的经济信息和相关业务转化为会计信息,为企业会计信息使用人员提供相关的会计信息。会计信息系统的运行大幅度降低了企业对会计信息的处理流程,能够更好地辅助相关管理人员做出相应的决策。会计信息系统审计具有多方面定义,主要集中在以下几方面:首先是对会计信息的收集,同时对会计信息提供相关依据进行考核和审查,判断该系统是否能够保护会计相关信息的完整性,对资产进行合理保护以及为使用者提供合理的资源。其次是独立于审计单位的审计形象,以确保信息系统的安全可靠性对信息系统进行审核。最后,会计信息系统审计主要是以相关科学技术为主要途径,确立相关审计项目,对会计信息系统进行审计的过程。
1.2 会计信息系统审计程序
会计信息系统的审计程序包括以下四个阶段:内部控制审计、应用程序审计、数据文件审计、系统开发审计。不同阶段的审计具有不同的作用,其相互作用,相互辅助,最终构成了一个完整的会计信息系统审计过程。
会计信息系统内部控制审计是审计过程的核心,相较于传统行业的电算化系统,当前的信息系统对内部数据的安全性掌握更加稳定,能夠通过多种途径有效降低审计中的错误及舞弊的风险系数,也可以提前预防和控制。因此,在对内部控制审计的过程中更应当重视内部体系的完善性,有效评估内部控制风险,建立科学的内部控制考核体系。在当前的会计信息系统审计中,应用程序审计具有不可忽视的地位,该程序具有多种审计方式,主要包括手工审计、实际数据测试和虚拟数据处理等。会计相关软件系统作为会计信息系统的重要组成部分,其在设计方面的多项问题都需要重视,对数据处理的能力以及容错风险等都需要经过密切的审核。企业的会计信息都需要该软件进行处理和解决,因此,对于应用程序的审计过程是十分必要的。在会计信息系统中的多种会计数据都需要以数据资料进行保存归档。例如,企业会计业务处理中所需要的原始凭证、会计账簿等,对企业会计信息的可靠性和完整性具有较高的影响,因此对数据文件的审计也是必不可少的环节[1]。在数据审核过程中,主要通过动态分析、比例分析和趋势分析的方式对数据资料进行审计,以及时更正会计信息系统中数据的差异,减少经济利益的损失。
同时,还需要对相关数据进行测试,保障数据的准确性和完整性,对数据目标和相关事项及风险进行审计,考察会计信息系统的数据处理能力。对会计系统的开发审计主要是在系统的研发过程中,保障该系统的稳定性以及适应能力等,以规定的会计相关准则为标准对该系统进行有效的审核,寻找系统中可能存在的审计漏洞等,降低系统风险,保障会计信息系统的安全运行。
1.3 会计信息系统审计模式
会计信息系统审计模式主要包括间接审计、直接审计、联合审计及在线审计四种。间接审计主要是通过信息系统中的相关数据进行审计,并不包括对相关会计处理过程的审计。直接审计则是在此基础上对会计信息的计算过程进行审计,对会计电算化程序、相关软件、数据等进行审计,同时还对信息系统的可靠性进行实质性测试[2]。联合审计主要是将计算机技术与审计系统相结合,能够帮助审计工作人员对数据进行快速分析,能够有效提升审计工作效率。在线审计主要伴随着当前科技的高速发展而生,其有望逐步代替传统审计中的事后审计,通过互联网对被审计单位的信息系统进行筛查,远程获取审计信息和相关数据,有效强化审计职能。
2 IT环境对财务报表审计影响分析
IT环境的不断壮大对财务报表审计也产生了明显的影响,财务报表的审计过程由人工手工查账审计逐渐转向人力和系统共同协作。企业进行内部审计的过程包括判定资产存在性、资产价值公允性、成本费用的合理性以及相关会计处理是否符合会计准则等,在对资产公允性进行审计时,通常需要将涉及的相关审查数据进行核对,通过计算机系统能够快速高效地完成该工作,有效降低审计的时间成本[3]。在对企业进行外部网络审计的过程中,能够通过互联网将被审查单位的信息提取到系统中,对相关企业财务报表的合理性、真实性等进行审计。在不同的行业领域中,企业的财务报告审计过程都依靠互联网变得更加便捷,IT环境为财务报告审计创造了良好的发展空间,有效降低了由于时间、空间等方面问题的审计风险。
3 会计信息系统审计与IT环境下财务报表审计的差异
3.1 审计对象及目标
在会计信息系统审计和IT环境下财务报表的审计对象及审计目标之间还具有一定的差异,想要完善审计工作并且维持未来审计工作的继续发展则需要明确以上两种审计方式存在的差异[4]。财务审计针对的主要对象是被审计单位的财务收支以及相关经营管理过程,会计信息系统审计主要以被审计单位的会计信息系统为主,审计工作从系统的研发到运行,其主要目的是对会计信息系统进行有效性、可靠性的计量。财务报告审计则是为了考核被审计单位会计报表的合法性和公允性,对会计业务处理等过程发表意见。
3.2 审计内容及依据
会计信息系统的审计内容主要以系统内部资源及系统运行环境等为主,对系统的硬件及软件设备进行审计,以保障系统的数据完整性和系统周期完整性,同时对系统的维护、操作及安全性能进行审计。财务报表审计内容则以被审计单位的报表为主,同时还包括相关注册会计师的审计意见及其相关资料和数据[5]。两者的审计依据也由于其内容的不同具有较大差异性,会计信息系统审计依据主要是参照信息系统管理相关制度、法规,结合信息系统的运行情况进行审计。财务报表的审计,则是以相关审计人员在对内容进行具体分析和考核后提出的相关审计意见进行决策,主要参照会计法、财务制度等法规。
3.3 审计准则及时间
审计准则在会计信息系统审计与财务报表审计中具有较大差异,财务报表审计中常以独立审计准则为主。在会计信息系统审计过程中则需要依据相关信息系统准则开展审计工作。财务报表审计是事后审计,需要相关审计人员对企业年度财务报表进行审计。而在会计信息系统审计过程中,通常包括事前、事中、事后三个阶段,主要通过对会计信息系统的具体审计过程进行区分。例如在对系统开发过程中的审计通常称之为事中审计,运行前审计属于事前审计,对系统运行后的实时状态进行审计则是事后审计。
3.4 审计技术及测试
审计技术主要与审计内容和对象有一定联系,对于财务报表审计而言,审计技术从原来的手工审计逐步转变为计算机审计,IT环境下的财务报表审计与会计信息系统的审计还有一定的差别[6]。信息系统的审计主要还是针对系统及硬件设施等进行审计,计算机审计是信息系统审计过程中不可缺少的一部分。
审计测试主要包括符合性测试和实质性测试两种。对于财务报表审计而言,符合性测试主要是对于具有有效内部控制的情况,如果缺乏有效的内部控制同时符合性测试工作量远远高于实质性测试时则采用实质性测试。在会计信息系统审计过程中则必须进行符合性测试,对系统内部控制合理性进行审计,同时对财务交易过程进行完整、准确性的测试。
3.5 审计人员
财务报表审计的相关人员需要具有专业的会计以及审计相关理论知识和实务经验,掌握审计中需要考量的其他法律法规。会计信息系统审计的相关工作人员则需要兼备相关信息技术知识和计算机审计辅助能力,还需要掌握会计信息系统开发和管理的相关知识,对审计理论及实务具有完善的储备。
4 结语
综上所述,会计信息系统审计与IT环境下财务报表的审计之间具有较明显的差异性,但随着科学技术的不断发展,财务报表的审计也逐渐走向电算化,能够通过互联网及相关技术开展相关审计工作,有效提升了审计工作的效率。对于会计信息系统的审计工作而言,其与企业的会计信息质量和相关业务处理具有密切的联系。两者之间存在差异但也相辅相成,在审计工作中相互协作能够帮助审计工作更好开展。
参考文献
刘婧.会计信息系统审计问题探讨[J].财会学习,2018(01).
张惠,云南水利水电建设工程技术开发有限公司.内部控制审计与财务报表审计整合[J].中国科技投资,2018.
吕莉.中小会计师事务所的财务报表审计质量及其影响因素研究[J].智富时代,2019(03).
李甜.大数据环境下推动经济责任审计全覆盖的路径研究——以南京市为例[C].江苏省审計机关第七届青年审计论坛,2018-01-25.
屠黎炯.电子商务环境下审计风险防范探析[J].财会学习,2018(01).
刘苗.计算机会计信息系统的风险分析及预防措施研究[J].自动化与仪器仪表,2018(09).
作者:李娟 赵士俊
第三篇:风险导向视角下IT绩效审计模式研究
摘要:中国人民银行肩负着国家宏观经济调控、保障金融安全与稳定、提供金融服务等职责。近年来,随着央行新业务的拓展、新系统的使用,人民银行信息科技面临的风险呈现出多样性和复杂性的特点。如何防范并有效化解各类风险,提升信息安全管理水平,已经成为亟待解决的重要课题。本文通过阐述基层央行信息技术审计现状,风险导向审计模式,分析基层央行开展信息技术审计工作存在的现实问题,研究对策措施,探索构建风险导向视角下的IT绩效审计模式。
关键词:信息技术审计;风险导向;绩效审计
一、信息技术审计研究现状
1.信息技术审计
在人民银行,信息技术审计的目的是通过实施信息技术审计工作,对组织是否达到信息技术管理目标进行综合评价,并基于评价意见提出管理建议,协助组织信息技术管理人员有效地履行其受托责任以达成组织的信息技术管理目标,从而提高信息系统运行的效果与效率。2000年8月在贵阳召开首届央行信息技术审计工作座谈会,标志着央行的信息技术审计工作在摸索中逐步推进。2011年总行制定了《人民银行内审工作转型2011-2013年规划》,明确提出:“在审计方法上,逐步由手工审计手段向更多运用计算机辅助审计手段转变”。近年来,在内审转型与发展的大环境下,信息技术审计有了长足的发展。
2. 风险导向审计
在人民银行,总行于2005年出台《中国人民银行内审工作制度》,将风险管理的理念纳入内部审计准则体系。2011年,内审司成立了风险评估攻关小组,初步构建了风险量化评估方法体系。在2013年内审工作会议上,人民银行行长助理郭庆平在讲话中明确指出:风险导向是内审的逻辑起点,风险引导审计、审计关注风险是审计工作性质和规律的要求。
3. 绩效审计
在人民银行,1998 年内审部门设立之初,人民银行总行党委就明确提出了“由易到难,逐步提高,先抓财务资金内审,逐步加强行政执法内审,在此基础上审查运行效率”的内审工作总体思路。2013年内审工作会上,总行内审司杨立杰司长在讲话中指出:“绩效审计既是一种审计类型,也是一种审计理念,在离任履职审计和各类专项审计中,都要增强关注绩效的意识,围绕投入与产出、成本与效益、措施与效果,深入开展审计和评估分析,更好地发挥内审的建设性作用”。
二、基层央行信息技术审计工作中存在的现实问题
1.内控环境并不理想。尽管近些年央行在加强内部控制方面做了积极探索和实践,取得了一些成绩,但受其传统审计的思路和模式的影响,部分内审人员对于风险导向审计、绩效审计等先进理念理解深度不够。风险识别、评估、应对工作尚处探索阶段,系统化、标准化水平并不高。
2.审计力量不足。信息技术风险导向审计对审计人员的素质要求较高,不但需要精通审计知识,而且要熟悉信息化环境下各个层面的风险评估和分析方法。但目前审计人员缺乏足够的风险管理与控制的实践经验,对风险导向审计的运用不够,难以很好的实现各类风险的科学评估。
3.审计方法需更新。风险导向模式下信息技术审计的理论研究和实践还处在摸索阶段,可参考的标准数据库尚未建立,风险导向的信息技术审计标准框架还未建立。计算机辅助审计手段不足,对各业务系统在业务操作过程中隐形的风险关注不多,很难在海量数据中分析出潜在的风险。
三、探索构建风险导向视角下IT绩效审计模式
风险导向视角下IT绩效审计是基于审计风险模型的绩效审计模式,对被审计单位在信息化管理过程中可能发生的各种风险进行系统分析,从而确定审计范围和审计重点。期间,风险的防范贯穿于整个审计过程。同时,关注信息化管理的效果。因此,将风险导向审计与绩效审计引入基层央行信息技术审计体系,不仅具有一定的理论研究意义,对于基层央行提升风险防范能力、风险管理和信息化管理水平也具有十分重要的现实意义。
“四位一体”风险导向视角下IT绩效审计模式框架,是本文的重点创新内容。通过将信息技术审计、风险导向审计、绩效审计三种审计模式有机融为一体,探索出“风险导向、关注绩效、服务治理”信息技术审计新思路,为促进健全风险防范机制,提升信息化管理水平提供有力支撑。“四位一体”审计模式框架由四个主要环节组成,第一步:以风险为导向,做好审前调查工作。首先,根据被审计单位填报的“风险评估赋值表”(风险描述、影响程度、损失的影响结果等)、“内部控制有效性赋值表”(评价对象、控制因素、控制有效性描述等),利用德尔菲法,运用风险矩阵,通过权重加总法得出审计对象的风险评估值,确定风险等级,判断重要风险可能发生的领域,制定审计对象清单;其次,以“审计对象清单”为基础,将信息科技管理中需要关注的风险进行细化,建立“风险指标知识库”;最后,通过询问、发放调查问卷等方式,进一步明确审计重点,并动态调整各领域风险权重及风险级别,完成审前评估报告。第二步:根据审前评估报告,确定审计重点、制定审计方案、优化配置审计资源。第三步:集中优势力量,重点关注重要风险及绩效情况,实施现场审计。第四步:综合分析审计发现的问题,按照风险大小和影响程度将问题进行归纳总结,分析问题形成的原因和可能存在的风险隐患。综合分析报告上报行领导,为领导决策、强化管理提供参谋。“四位一体”的审计框架,既能从宏观层面较准确地引领审计方向,又能从微观角度确定审计的重点,并能随时根据实际情况做出调整,真正体现了“风险引导审计,审计关注风险”的理念。
1. 风险导向视角下IT绩效审计模式的重要意义
一是通过开展风险导向审计,审计重点从检查和监督向分析和评价方面转变,可以增强对关键风险点的判断力,尽早发现风险易发区域和环节,对其实施针对性的控制,提升管理水平,增强组织治理。二是引入绩效评价,有助于提升信息化管理效能。使用统一的评价指标和标准,运用科学、规范的绩效评价方法,对信息化系统绩效目标及其实现程度进行综合性评价。三是构建“两个知识库”,即风险指标知识库及绩效指标知识库,为深化信息技术审计奠定基础。通过重点对知识信息进行科学准确的描述,归纳整理出方法详尽、操作简单的评价检查方法。可以解决目前信息技术专业人员缺乏、审计经验不足、范围不宽、深度不够的现实困境,并为将来借助信息技术开展高效的非现场审计提供重要支撑。
2. “四位一体”IT绩效审计新模式基本框架
(1)审前调查评估。
构建“三步走”的审前风险量化评估体系,实现风险引导审计、突出审计重点的目标。审前风险量化评估体系:首先,通过综合评估判断重要风险发生的领域,其次,通过细化重要风险指标,建立相应的风险指标知识库。最后,通过询问、发放调查问卷等多种方式,进一步明确审计重点,并动态调整权重及风险级别。
第一步,首先对被审计单位信息科技管理方面的情况进行风险量化评估。即从“信息技术基础设施管理”、“信息科技管理”、“应用系统管理”三个方面评估,经综合分析,制定《可审计对象清单》以确定审计重点和审计频率。
首先,填制“风险评估赋值表”。“风险评估赋值表”分“信息技术基础设施管理、信息科技管理、应用系统管理”三张分表,分别对上述三个方面风险的基础数据进行了赋值(根据实际情况评价资金损失、声誉损失、连续性损失影响结果)。利用风险矩阵(如图1所示),通过分析风险影响程度及风险发生可能性,确定风险等级,风险等级由低到高分为1-4级。
其次,填制“内部控制有效性赋值表”,从审计和整改的角度(最近一次审计结果、上次审计以来内部控制变化情况)对控制的有效性进行评估,确定风险级别。
第三,将“风险评估赋值表”和“内部控制有效性赋值表”中的相关数据通过风险量化评估的公式(风险级别=[(∑固有风险权重×风险级别+∑内部控制有效性权重×风险级别)÷∑A、B两部分权重])进行计算,并填制“风险评估表”,以下图为例。
最后,对分项的“风险评估表”进行综合分析,填制“可审计对象清单”。通过分析固有风险和剩余风险的大小,发现风险较大的领域,确定审计重点和审计频率。以下以“信息技术基础设施管理可审计对象清单”为例。
第二步,以“审计对象清单”为基础,从“信息技术基础设施管理、信息科技管理、应用系统管理”三大类风险的角度,将需要特别关注的风险进行细化,建立“风险指标知识库”。主要包括:风险点的描述,统一的评价标准等,从而引导审计人员进入现场时知道查什么、怎么查、如何评价等。
第三步,收集风险信息,动态调整审计重点,确保审计质量与效率。主要关注的风险信息包括:上级及同级审计和监管部门报告、内部审计报告、内部控制评价报告、突发事件处理报告、重大事故报告、人员变动及业务变化情况报告等。通过电话咨询、邮件等方式,了解被审计单位其关注的重点风险内容。一是通过与管理层交谈,了解管理层对风险管理工作的实施情况,如突发事件应急管理、重要岗位风险点排查情况。二是了解管理层及科室负责人关注哪些重要风险,如人员交接、重要网络设备的更换、系统的升级维护等情况。审计组收到被审计单位答复后,再根据实际情况对审计的关键环节进行微调,把握审计重点。
(2)根据审前综合分析评估结果,制定审计方案、分配审计资源
充分利用综合分析结果,制定配套的审计方案,指导新建软硬件、业务系统、网络设备、计算机机房环境及设施的升级改造等重点风险控制及管理的现场审计。并按照风险等级的大小,合理分配审计力量,提升审计效率。
(3)现场审计以风险控制为主、注重绩效评价
一是突出审计重点、量化风险大小、动态调整风险等级及权重。围绕审前分析出的重要风险,制定重要风险控制指标。依据风险损失程度建立了风险影响程度等级表,按照较小、中等、较大、重大影响程度,划分为1-4级。依据风险出现的频率建立风险发生可能性等级表,按照较小可能、可能、较大可能、基本确定,划分为1-4级。运用风险矩阵,结合风险的发生可能性及影响程度确定风险等级,风险等级由低到高分为1-4级。风险量化评价总分赋值为100分。风险等级1:比重为25%;风险等级2:比重为50%;风险等级3:比重为75%;风险等级4:比重为100%;风险分值=审前确定的权重 风险等级所占相应的比重。风险值越高,表明风险越大,关注度越高。最后,按照综合考评得分结果评价风险管理情况。风险管理情况从高到低依次为优秀(60分及以下)、良好(60-75分)、一般(75-90分)、较差(90~100分)。审后,依据审计结果,重新调整权重及风险等级,为下一次审前分析提供重要的参考数据,有效提升审计效率。
二是关注绩效评价,提升信息化管理效能。绩效审计是内审工作转型与发展中需要重点攻克的课题。本文通过深入分析信息化系统建设、升级改造及运用过程中的“3E”,初步构建信息化系统的绩效评价体系。确定了以“统一指导、分类管理、客观公正、科学规范、社会、经济效益相结合”为原则,运用科学、规范的绩效评价方法,依据统一的评价指标和标准,对信息化系统绩效目标及其实现程度进行综合性评价。首先,通过借鉴COBIT等国内外先进的绩效指标体系,结合基层央行实际,构建了人力资源管理、信息化系统立项情况、采购管理、信息化系统建设升级改造质量、经济效益、社会效益九大类绩效指标。其次,绩效评价采取定性与定量相结合的方式。采用比较法、公众评价法等绩效评价方法,对指标进行“分级判断”及定量评价,重点评价项目实施全过程管理效能、使用效果。评价值总分100分,每项绩效指标细分为四级,分为A、B、C、D四项,得分依次为1分、0.7分、0.35分、0分。最后,按照综合考评得分结果确定绩效级别。绩效级别从高到低依次为优秀(90~100分)、良好(75~90分)、一般(60~75分)、较差(60分以下)。被评价单位可以利用绩效考评结果,进一步总结经验,关注信息化建设的资金成本控制,强化成果的充分运用。
参考文献:
[1] 周欢.风险导向审计与央行风险管理.中国集体经济[J].2010,(1l).
[2] 于丹.浅谈风险导向审计在基层人民银行内审工作中的运用.理论界.2010,(12).
[3] 张金隆,于本海.面向项目绩效评价的软件过程改进模型与决策支持研究[J].计算机应用研究,2008,(6).
[4] 时现,李庭燎等.全球信息系统审计指南[M].中国时代经济出版社,2010.
[5] 陈耿.信息系统审计.清华大学出版社,2009.06.
作者:高博