信息系统审计论文范文

2023-03-06

信息系统审计论文范文第1篇

【摘要】现阶段的经济发展背景下,随着全面改革的逐步深化,对于保险公司的发展也有着很大的影响,将信息系统审计加强完善能够有效促进保险公司的健康长久发展。信息技术当前在各个行业发展中都有着渗透,企业的发展想要得到快速迅捷的目标实现,就要能够将信息技术得到熟练创新的应用。本文主要就信息系统审计的重要性以及主要内容进行详细分析,然后就保险公司的信息系统审计内容和审计流程进行详细分析,最后就完善我国的信息系统审计的优化策略实施进行探究,希望对保险公司的健康发展起到一定促进作用。

【关键词】保险公司 信息系统审计 内容

一、引言

信息系统审计主要是在信息社会环境下从传统的审计进行逐渐发展的新的审计,主要是借助信息技术进行对审计的效果的优化,能够将企业的财务方面的管理效率得到有效提升。对于信息系统审计主要还是来自于电子数据信息处理,通过财务数据电子数据的处理将财务管理高效的进行,在当前的企业竞争下,通过信息系统审计的应用是必不可少的。所以加强这一层面的理论研究就有着实质性意义。

二、保险公司信息系统审计的重要性及主要内容分析

(二)保险公司信息系统审计的重要性分析

信息系统审计在保险公司运营中的应用有着其重要性,信息系统审计作为是法人治理重要手段,将其在保险公司中的有效应用就能够保证保险公司财务方面的科学发展。信息系统审计也是对信息系统质量得以保证的重要工具,信息系统可靠性也需要有信息系统审计进行保证,另外信息系统的安全性以及有效性也需要信息系统审计的保障[1]。信息系统审计的应用是保险公司信息化发展的必然要求,并对保险公司的经营管理方式以及财务管理水平等都有着积极的促进作用,能够将会计处理工作的计算机化得到有效加强。另外,将信息系统审计在保险公司中的应用能够鉴证电子化数据真实可靠性,对数据实时审计需要信息系统审计。

(二)信息系统审计的主要内容分析

对于信息系统审计的主要内容来看主要有管理流程审计以及技术平台审计,信息系统的项目审计以及生产系统审计等几个部分所组成。其中在管理流程审计层面,信息技术管理流程审计最为主要的就是评估和公司发展战略目标相一致的信息技术规划,以及对信息系统取得制度及流程的评价等层面。另外在技术平台的审计内容层面,这是对信息技术基础平台运行和安全管理进行的评估,以及硬件运行和安全管理等各种内容的评估[2]。再者就是信息系统的项目审计层面,信息系统项目审计是对项目管理以及监理的有效性进行评估的。最后就是对生产系统的审计,是信息系统和业务流程吻合审计,以及评估数据的访问权限等等。

三、保险公司的信息系统审计内容和审计流程分析

(一)保险公司的信息系统审计内容分析

从保险公司信息系统审计内容层面来看,审计前的调查阶段审计人员要能够对保险公司综合业务信息系统业务流程能有深入化的了解,并要能够对系统基本架构充分掌握。其中在业务授权以及审批控制审计层面有着具体审计目标和审计测试过程两个层面;而在数据输入控制审计内容以及数据处理逻辑审计和数据输出控制审计内容上也是由审计目标和审计测试两个内容相构成。

(二)保险公司的信息系统审计流程分析

从保险公司的信息系统审计流程层面来说,主要分为准备、实施、审计报告这几个流程。从准备阶段来看主要是基础,是对审计单位的内部环境进行的调查,从实际的内容上主要有对信息信息审计目标的明确以及对审计单位相关情况而定调查和初步风险的评价等。然后就是签订审计业务约定书,以及调查和了解审计单位信息系统的基本情况,然后对固有的风险进一步评价,还要能够评估被审单位内部控制,最后就是进行编制审计的计划然后向管理层递交审计计划书[3]。

再者就是具体的信息系统审计过程中要能够有具体的审计目标没在对系统的输入权限以及数据格式等相关内容检查之后,对数据的安全完整性得到有效明确保证。然后根据投保单确定保险的事故以及进行划分保险的责任,从具体的实施过程中首先要能够通过观察法审计人员可到现场对输入数据操作的情况进行观察,对各个层面的问题要能查看是否是合理的。然后就是通过测试数据的方法可以通过审计人员对真实业务设计虚拟数据然后提交到系统实施处理,对所输入的数据查看是否是重复操作。最后就需要采用数据的验证方法在对数据间的逻辑关系进行查看之后对数据的完整性要能够得到有效保障。

对于信息系统的审计报告的阶段,就要通过整理评价搜集到的审计证据,以及对这些证据进行复核,还要能够对审计结果加强评价并形成审计的意见编制成审计报告形式。另外还可以通过观察的方法通过审计深远对数据操作过程进行查看,并和现场的工作人员进行展开座谈会等。也可以通过文档查阅的方法对输入的数据界面格式的简单清晰等问题进行查看[4]。

四、完善保险公司信息系统审计的优化策略

针对保险公司的信息系统审计当前还处在比较初级的阶段,所以这就需要信息系统的审计人员积极的参与到生产系统的建设中来,要能够让生产系统在这一过程中可以得到专业化的审计指导。这样才能为之后的系统投产之后,在审计的工作上发挥其重要的促进作用。保险公司要能够在外部的审计方面通过将专业审计机构实施引进并和外部的财务审计得到有效结合,对管理层的局部问题得到有效重视[5]。然后在具体的稽核业务过程中,审计范围能够确定为管理层所关注的风险控制点。

另外,对于我国的相关信息系统审计的准则体系要能得到完善的制定,并要能够遵循相应的原则加以完善,将系统性以及结构性的原则得到充分重视。并要能够加强和信息系统审计相配套的立法,在电子商务以及电子政务以及网络经济的相关立法层面要能得到充分重视。建立一套科学完善的信息系统审计评价的指标体系,再者就是要能在信息系统方面提供统一的审计接口,将会计软件进行规范化处理。

五、结语

总而言之,对于我国的保险公司信息系统审计的完善要能从多方面进行完善加强,随着信息化成都的进一步加强,信息系统审计的标准化以及体系化和程序化目标也逐渐得到了实现,在此过程中就要能够进一步促进保险公司的财务方面的发展。本文主要从信息系统审计的内容以及应用的重要性等层面进行了理论分析,希望能对保险公司的发展有所裨益。

参考文献

[1]李国华,邵求明.从企业信息化的进程看信息系统审计的发展[J]. 上海立信会计学院学报. 2014(02) .

[2]邓春梅,李嘉明,马宁.信息系统审计及其相关问题分析[J]. 重庆大学学报(自然科学版). 2013(06) .

[3]杨洋.开展信息系统审计的作用和意义[J]. 辽宁经济. 2014(10).

[4]万建国.信息系统审计——未来审计的重要内容[J]. 中国审计. 2013(11).

[5]余念祖,陈涛.信息系统审计的发展与实务[J]. 湖北审计. 2014(03).

作者简介:林伟璇(1980-),女,海南省海口市人,工作单位:中国人民财产保险股份有限公司海南省分公司,职务:高级主管,研究方向:审计学。

信息系统审计论文范文第2篇

会计信息系统审计与汀环境下财务报表审计的比较

会计信息系统作为企业管理信息化的一个核心组成部分,为提高企业管理水平乃至企业的核心竞争力都起到了不可或缺的作用。然而,会计信息系统在为企业带来效益的同时也带来了许多风险。为保障会计信息系统的安全、可靠、有效和效率,对其进行审计是十分必要的。会计信息系统审计在我国还处于起步阶段,弄清它与IT环境下的财务报表审计的差别,对我们开展今后的审汁工作有较大的现实意义。

作者:孙立辉

信息系统审计论文范文第3篇

随着人民银行业务流程的信息化、业务数据的电子化,加之内审工作的发展和风险导向审计理念的提出,人民银行内部审计单靠现场审计已不能完全适应中央银行各项业务发展的要求,而非现场审计由于其时效性、成本低、高效率等优势,已成为内部审计中不可或缺的重要手段。学习和借鉴国内商业银行非现场审计方法,建立人民银行非现场内部审计模式,使非现场审计与现场审计有效结合,对于促进内部审计监督具有重要意义。

一、国内商业银行非现场审计主要做法及成效

中国建设银行是首家推出“非现场审计系统”的商业银行。以其为例,近年来先后开发了非现场审计系统(OAS系统)、审计管理信息系统(AMIS系统)等专用内部审计软件,同时借助电子档案管理系统、会计稽核系统等其他业务管理系统,使非现场审计技术在审计项目中得以应用。其主要做法及成效如下:

(一)利用“非现场审计系统”进行数据分析,有效发挥审计预警作用,确保审计时效。该行通过OAS系统利用审计数据采集接口、远程审计取证的非现场审计模式,直接从经营管理信息系统与业务信息系统的数据库连续地、实时地获取相关信息和数据。通过对信息和数据的采集、整理、合成、分析和评价,及时发现被审计对象存在的问题、疑点和异常,使审计人员全面掌握所属单位的整体状况,对具有苗头性的、倾向性的或变动较大的风险监测指标及时地分析异动原因,跟踪业务发展情况,观察其变化趋势,尽早地发现风险隐患,及时向相关单位及部门提出风险预警,有效控制和制止风险隐患,有助于减少风险造成的损失,将风险隐患消灭在萌芽状态,实现了由事后审计向事中、事前审计的转变,使得对被审计单位的实时监控、持续监控和全过程监控成为可能。

(二)利用非现场审计手段制定审计计划,确定审计重点,促进审计管理科学化和规范化。该行以风险导向为原则,利用非现场审计系统提供的风险评估模型,通过调集被审计对象的业务数据,运用层次分解、量化计算等策略,对反映业务经营各个方面的基本风险因素进行量化和权重分配,加权平均后形成被评估对象的总体风险,根据风险大小确定审计重点和重点审计领域及审计对象,为科学制定审计工作计划提供技术支持。确保将有限的审计资源集中于风险较高、内部控制相对薄弱的业务领域,使现场检查在事前掌握审计的重点和方向,促进审计工作的科学化和规范化。

(三)非现场审计与现场审计有效结合,有效提高现场审计工作效率。

1.非现场审计应用于现场审计测试阶段。一是非现场分析工具的应用,主要借助OAS非现场审计系统,通过创建审计模型来搜寻有价值的线索,其应用原理主要是依托内部控制制度和业务流程规范,对生产交易数据进行数理逻辑分析,利用计算机函数设置相应的表达式,通过计算机自动运行,从海量的生产数据中搜寻违规问题或异常交易。二是非现场查证工具的应用,主要利用银行的电子档案管理系统及会计稽核系统等,查阅所需的总账及明细账交易记录、会计凭证及附件、授信申请审批文件及贷后管理记录,追踪审计线索并收集证据资料。三是注重利用现场审计对非现场审计结果的验证,现场审计人员在审计现场测试阶段,通过现场审计专题报告的形式向非现场审计人员通报审查结果,专题报告对非现场审计人员提供的审计线索情况逐一作出实际控制风险描述,与非现场审计线索核实验证、校正和弥补检测、分析技术的不足,以便于今后非现场审计的改进和完善。

2.非现场审计在现场审计报告阶段的应用。在审计过程中,审计人员利用AMIS审计信息管理系统记录审计轨迹和工作成果,并按审计分项或业务单元的口径,以一定规则组合、排列审计项目情况记录和问题台账中的信息后自动生成审计报告的草稿。通过系统的报告生成功能,既能够节约汇集和整理审计发现的时间,提高工作效率,还可以确保报告与问题台账、审计附表之间的数据一致性,增强报告的说服力。

二、现阶段基层人民银行实施非现场内部审计存在的问题

(一)实施非现场审计缺乏制度上的强制性约束和必要的操作程序。《中国人民银行内审工作制度》规定内审部门对各职能部门可以进行非现场监督和现场检查,但没有建立具体的非现场审计操作流程和评价指标;另一方面,非现场审计前提是收集被审计对象资料数据,需要被审计部门的配合,但此项工作缺少必要的组织保障和协调机制。

(二)审计人员自身原因制约非现场审计的开展。受传统审计模式和审计理念的影响,多数审计人员缺乏必要的非现场审计意识。同时,基层人民银行内部审计人才结构相对单一,具有较高计算机应用水平的人员较少,制约非现场审计工作的开展。

(三)非现场审计基础工作薄弱。第一,目前基层行实施非现场审计主要是搜集审计依据、设计审计文档、发放审计问卷等,而基于风险管理基础上的非现场风险监测仍然处于空白阶段。第二,人民银行的业务系统没有建立必要的审计数据接口,导致计算机辅助软件难以从应用系统数据库中直接获取数据,阻碍被审计系统数据处理和系统控制与安全证据的采集。

三、借鉴国内商业银行非现场审计方法,有效开展人民银行非现场审计

(一)建立健全非现场审计的制度规定和操作规程,实现非现场审计制度化、规范化。一是明确规定接受非现场监督的对象及内容,明确各类资料和业务数据的提取方式以及审计与被审计部门违反非现场审计制度的处罚规定等;二是制定统一和规范的非现场审计操作程序,将非现场审计的监督事项、要求、程序、报告制度等以规章制度的形式确定下来;三是建立非现场审计协调机制,提出非现场审计工作的规划、目标及具体计划。

(二)建立科学的非现场审计方法和评价体系。借鉴国内商业银行的非现场审计模式,建议由总行统一开发非现场审计信息系统,通过预留的审计接口实现审计证据的实时采集,利用数据库截获审计证据开展适当的审计分析;建立审计基础资料数据库,利用系统对数据档案设定的指标体系进行计算分析;建立科学的审计结果评价体系和数据分析模型,通过风险指标体系的分析有重点地编制年度审计计划。

(三)实现非现场审计与现场审计的有机结合。就整个审计体系而言,非现场审计和现场审计都是审计监督和评价的方式,二者各有优势和局限,将现场审计与非现场审计有机结合起来,使非现场审计广泛的覆盖面与现场审计有针对性的审计点相结合,形成审计监督网,共同促进审计监督和评价职能的有效实现。

(四)打造适应非现场审计条件下开展工作的审计队伍。一是深化审计培训力度,重点加强对计算机知识分类培训以及非现场审计流程的培训;二是积极调整人才结构,针对人民银行内部审计发展状况合理规划审计人员的专业结构,适当引进计算机专业人才,提高审计队伍非现场技术的应用能力。

信息系统审计论文范文第4篇

[关键词]信息系统信息系统监理信息系统审计比较独立性

引言

“信息化带动工业化”是我国长期的重要发展战略,江泽民同志在十六大的报告中指出:“实现工业化仍然是我国现代化进程中艰巨的历史性任务。信息化是我国加快实现工业化和现代化的必然选择。坚持以信息化带动工业化,以工业化促进信息化,走出一条科技含量高、经济效益好、资源消耗低、环境污染少、人力资源优势得到充分发挥的新型工业化路子。”这段论述表现了我们党对信息化建设的高度重视,也指明信息化带出一条新型工业化路子的光明前景。

目前,各地区、各部门都在认真贯彻十六大精神,十分重视推进信息化工作,我国信息化建设已经进入新的阶段,我国信息化事业已发展到一个新的阶段。各级政府正在积极推进“电子政务”,许多城市及企业也已着手整合与升级其信息化应用系统。可以预计,全国将有更多、更大的信息系统建设项目展开。但是,在信息化推进过程中,存在不同程度上的一些问题,主要表现在规划制订不够科学,项目管理不够严格,监理机制不够健全,系统运行效益不够明显。致使相当一部分信息化项目失败或未能实现预期目标,浪费了大量资源。究其根源主要原因之一是信息化建设第三方监管机制的缺失和标准的不健全。

国内外的实践表明:信息化是有风险的,信息系统规模越大,功能越复杂,风险也就越大。英国Kalido于英国时间2001年12月12日公布了有关企业信息管理的调查结果。调查显示,96%的企业对于本公司的信息管理系统感到不满。关于目前正在使用的信息系统,认为"所制作的报告缺乏一贯性"或者是"核对信息花费了太多时间"的企业约占70%。特别引人深思的是该调查是由美国HarteHanks以全球500强企业以及财富1000企业中的171家公司为对象通过问卷方式实施的。调查对象中,40%以上的企业年交易额超过20亿美元。其他主要调查结果如下∶回答目前的信息系统不能灵活因应变化的企业约占60%;对于数据的精度表示担心的企业约占60%;60%以上的企业正在策划有关数据及信息的整合计划。这充分说明,信息系统的建设项目较之传统工业工程项目成功率更低,风险也更加突出。

中央领导同志在国家信息化领导小组第一次会议中特别强调:信息化建设一定要讲求效益,不能搞花架子。因此建立并逐步完善我国信息系统审计制度是健康、有序地推进信息化和落实领导小组会议精神的一项重要措施。

目前,在国内的信息化项目工程建设中,绝大多数用户(业主)无法组织队伍对信息系统建设进行专业化管理,难以胜任从可行性分析、规划设计、招标、方案评审到工程监理和工程验收全过程的管理与组织协调工作,建设方和承建方在信息建设过程中存在严重的信息不对称问题。这表现为借助外援进行工程管理咨询的案例越来越多,一些省市的行业主管部门也开始在信息系统建设中推行由监理进行工程质量管理的做法。但是,监理介 入信息系统在我国还处于一个探索的过程中。

我国加入WTO后,鉴于我国IT服务业未来巨大的增长空间,国际知名咨询顾问公司、专业技术服务提供商等纷纷抢滩我国市场。在信息系统第三方鉴证业务方面,他们提供符合国际标准的信息系统审计服务。因此当前监理事业的发展面临新的形势,监理工作外部环境发生了深刻变化,势将对我国监理企业形成严重冲击,本土监理企业面临前所未有的严峻挑战。监理事业往何处去?这是摆在每一个监理人面前的重大课题。每一个监理企业必须以发展的眼光、动态的观点、创新的思想和创新的理论正确认识和判断当前的监理形势,增强危机感和紧迫感,迎接新的挑战。

信息系统监理

信息系统监理概念

依据信息产业部《信息系统工程监理暂行规定》,信息系统工程监理是指依法设立且具备相应资质的信息系统工程监理单位,受业主单位委托,依据国家有关法律法规、技术标准和信息系统工程监理合同,对信息系统工程项目实施的监督管理。

信息系统监理产生动因及其发展

1、信息系统监理产生动因分析

监理工作、监理企业是我国在计划经济向市场经济转变的过程中在建设领域中应运而生的,并取得了有目共睹的显著成效,直接促进了工程监理业的繁荣发展,这也导致在通信业工程建设、信息系统建设等方面监理的出现。因此,回顾建设工程监理的发展,将有助于对信息系统监理的认识。

1988年7月建设部发布了《关于开展建设监理工作的通知》,随后又于1988年11月印发了《关于开展建设监理试点问题的若干意见》,使得试点工作有章可循。1989年,根据初步试点取得的经验,建设部制定了《建设监理试行规定》,这是我国第一个比较完备的关于工程建设监理的法规文件,勾画出具有我国特色的工程建设监理制度的初步框架。1991年又分别制定颁发了《建设监理单位资质管理试行办法》和《监理工程师资格考试及注册试行办法》,建设监理法规制度进一步配套完善。1993年,上海市开始了工程设备监理制度的试点工作。1998年,国务院机构改革后赋予了国家质量技术监督局“协调建立设备工程监理制度”的职能要求,随后,国家质量技术监督局拟定了《协调建立设备工程监理制度的方案》,在国家发展计划委员会的指导和具体参与下,会同国务院有关部门,在国内有关技术及咨询机构的帮助、支持下,完成了设备监理制度中有关规章的起草工作。此间,世界银行、国家开发银行等亦曾规定,其贷款的有关项目要有监理公司监理,并作为申请贷款的项目单位获得贷款的基本条件。由此开始推行建设工程监理制度,监理事业得到持续快速发展,从而积累了一定经验,取得了积极成效。发展至今建立了一套比较完整的监理法规体系,组成了一支规模较大的监理队伍,监理出一批优良的工程项目,监理工作在工程建设中发挥了重要作用,得到了各级领导的支持,得到了社会的普遍认可,正逐步向规范化、制度化、科学化方向迈进

但同时我国工程监理事业经过十多年的发展,虽然取得了一定成绩,但也存在不少问题。如:监理人员整体素质不高、监理工作缺位、监理取费普遍较低、监理市场竞争机制不健全、监理企业缺乏自我积累和发展能力、监理责任不明确、监理工作缺乏系统的理论研究、宣传工作滞后等问题比较突出。

2、信息系统监理的发展

目前信息系统工程的现状类似于二十世纪八十年代以前建筑工程的状态。自1988年建设部颁布《关于开展建设监理工作的通知》以后,特别是1996年建设监理全面推行后,建筑工程的质量普遍提高,业主和承建商之间的纠纷普遍减少,凡是出问题的工程,监理也有问题。因此,要求参考建筑工程的管理办法对信息工程实施监理的呼声日益高涨,这既是信息工程用户(业主)的愿望,也是系统集成商的愿望,信息工程市场呼唤“第三方”—信息系统工程监理的出现。

早在1995年,原电子工业部就出台了《电子工程建设监理规定(试行)》。1996年,深圳市成立了全国第一家信息工程质量监督机构—信息工程质量监督检验总站。1998年,西安协同软件股份有限公司经西安技术监督局和西安市科委批准,获得“计算机管理信息系统工程监理”资质认证,成为国内第一家获此资格的公司。1999年6月,深圳市政府在国内率先出台了包括实施信息工程监理条款在内的《深圳市信息工程管理办法》,并要求首届我国国际高新技术成果交易会信息网络工程实施监理。2000年7月,深圳市信息化建设委员会办公室制订了《深圳市信息工程建设管理办法实施意见》,要求“市、区、镇人民政府及其所属部门使用财政性资金(包括预算内资金、预算外资金、事业收入等),投资规模在100万元以上的信息工程建设项目必须遵照本实施意见进行立项、招投标、监理、质量监督、验收”。2002年7月,北京市信息化工作办公室制定了《北京市信息系统工程监理管理办法(试行)》,要求“本市推行信息系统工程监理制度,建设单位应当通过协议或者招标的方式优先选择具有相应资质等级的信息系统工程监理单位承担监理业务。各级财政全部补助或者部分补助以及为社会提供公共服务的重大信息化工程项目必须通过招标的方式选择信息系统工程监理单位,实行强制监理。”2002年11月,国家质量监督检验检疫总局公布《设备监理单位资格管理办法》,在该管理办法的21类设备工程专业中,涉及信息工程的共有三类,即信息网络系统、信息资源开发系统和信息应用系统。最近,在国家信息办和国家标准管理委员会直接领导下,信息化系统监理规范化项目正在加紧制定中,并且是作为电子政务标准化项目的一个子项目而提出的。预计在今年年底,监理规范就要完成,经过试用和修改后,将上升为国家标准。2002年12月,信息产业部在广泛征求意见和开展试点工作的基础上,正式颁布《信息系统工程监理暂行规定》,这标志着我国信息工程监理开始迈向科学化、专业化和规范化,也预示着在我国即将出现一个新的中介服务行业,将很快涌现一批监理机构和执业人员,从此信息系统工程监理工程师也将逐步成为国民经济和社会信息化的“警察”。

但我国的信息系统工程监理目前仅仅是处在起步阶段,事实上根据对国内信息化应用程度较高的行业部门(如银行、证券、保险、气象、社保、旅游等)和部分大型企业(如华北制药、哈尔滨轴承集团、哈尔滨飞机制造企业、跃进汽车集团、我国石化等)30个样本作为调查对象的调查结果显示,对于大多数企业来说,项目监理是个新概念。只有30%的被调查者表示在某些信息化项目中使用过监理服务。在70%未使用过项目监理的被调查者中,5%表示听说过,95%表示知道建筑工程有监理,但在IT信息化项目中引入监理还是第一次听说。

图1监理服务内容重要程度(引自胡敏《市场呼唤项目监理》)

目前,我国还没有一套完善的IT项目监理制度,相应的监理法规、监理内容、收费标准等也都没有制定。特别是收费标准问题,大多数用户采用协商解决。以北京城域网项目的监理费为例,其采用了建筑行业的监理服务收费标准(2%10%),支付的服务费占整个项目资金支出的2%。广大用户也反映,项目监理的标准如何才能做到公正、科学,项目监理的工作流程是否也应该规范,如何界定和权衡监理公司、用户、IT厂商三方利益?监理过程中出了问题,该怎么办?,这一系列问题都需要不断探索。原北京市信息中心主任华平澜表示,只有使监理更加规范化,才能更好地推进监理工作,才能使信息系统的建设更加顺利。事实上,与建筑等其他发展很成熟的行业的监理相比,对IT项目的监理要难得多。并且由于信息技术是一个新兴技术,它本身还在不断发展和完善,因此,即使制定出的监理的内容和标准也不能僵化,需要不断地变更和完善。

信息系统监理的基本理论

信息系统监理的中心任务是科学地规划和控制工程项目的投资、进度和质量三大目标;监理的基本方法是目标规划、动态控制、组织协调和合同管理;监理工作贯穿规划、设计、实施和验收的全过程。信息工程监理正是通过投资控制、进度控制、质量控制以及合同管理和信息管理来对工程项目进行监督和管理,保证工程的顺利进行和工程质量。

1、成本控制

成本控制的任务,主要是在建设前期进行可行性研究,协助建设单位正确地进行投资决策;在设计阶段对设计方案、设计标准、总概(预)算进行审查;在建设准备阶段协助确定标底和合同造价;在实施阶段审核设计变更,核实已完成的工程量,进行工程进度款签证和索赔控制;在工程竣工阶段审核工程结算。

2、进度控制

进度控制首先要在建设前期通过周密分析研究确定合理的工期目标,并在实施前将工期要求纳入承包合同;在建设实施期通过运筹学、网络计划技术等科学手段,审查、修改实施组织设计和进度计划,做好协调与监督,排除干扰,使单项工程及其分阶段目标工期逐步实

现,最终保证项目建设总工期的实现。

3、质量控制

质量控制要贯穿在项目建设从可行性研究、设计、建设准备、实施、竣工、启用及用后维护的全过程。主要包括组织设计方案评比,进行设计方案磋商及图纸审核,控制设计变更;在施工前通过审查承建单位资质等;在施工中通过多种控制手段检查监督标准、规范的贯彻;以及通过阶段验收和竣工验收把好质量关等。

3、合同管理

合同管理是进行投资控制、工期控制和质量控制的手段。因为合同是监理单位站在公正立场采取各种控制、协调与监督措施,履行纠纷调解职责的依据,也是实施三大目标控制的出发点和归宿。

4、信息管理

信息管理包括投资控制管理、设备控制管理、实施管理及软件管理。

5、协调

协调贯穿在整个信息系统工程从设计到实施再到验收的全过程。主要采用现场和会议方式进行协调。

总之,三控两管一协调,构成了监理工作的主要内容。为完满地完成监理基本任务,监理单位首先要协助建设单位确定合理、优化的三大目标,同时要充分估计项目实施过程中可能遇到的风险,进行细致的风险分析与评估,研究防止和排除干扰的措施以及风险补救对策。使三大目标及其实现过程建立在合理水平和科学预测基础之上。其次要将既定目标准确、完整、具体地体现在合同条款中,绝不能有含糊、笼统和有漏洞的表述。最后才是在信息工程建设实施中进行主动的、不间断的、动态的跟踪和纠偏管理。

信息系统监理的主要业务和依据

1、信息系统监理的主要业务

信息系统监理的主要业务范围有信息网络系统、信息资源系统、信息应用系统的新建、升级、改造工程。根据国内信息系统监理的实践,其涵盖计算机工程、网络工程、通信工程、结构化布线工程、智能大厦工程、软件工程、系统集成工程以及有关计算机和信息化建设的工程及项目。其业务内容具体如下:

帮助建设单位做好项目需求分析,协助建设单位选择合适的承建单位;

审定承建单位的开工报告、系统实施方案、施工进度计划;

对项目实施的各个阶段进行有效的监督和控制,帮助建设单位控制工程进度、投资和质量;

审查和处理工程变更;

参与工程质量和其他事故调查;

调解建设单位与承包单位的合同争议,处理索赔、审批工程延期;

组织进行竣工验收测试。

组织建设单位和承建单位完成工程移交。

2、信息系统监理的依据

信息系统监理的依据如下:

国务院颁发的《质量振兴纲要》;

现行国家、各省、市、自治区的有关法律、法规、规定;

国际、国内IT行业质量标准规范;

建设单位和承建单位的合同;

将来还有国家标准,例如《信息化工程监理规范》等。

信息系统监理的程序

图3信息系统监理的程序

信息系统工程监理的特点是全过程监理,主要包括四个阶段的监理工作:招投标阶段、设计阶段、实施阶段、验收阶段。监理的目标、方法和程序都体现在这四个阶段的监理工作中。

信息系统审计

信息系统审计概念

信息系统审计是全部审计过程的一个部分,信息系统审计(ISaudit)目前还没有固定通用的定义,美国信息系统审计的权威专家RonWeber将它定义为“收集并评估证据以决定一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济的使用资源”。

信息系统审计的目的是评估并提供反馈、保证及建议。其关注之处可被分为如下三类:

可用性——商业高度依赖的信息系统能否在任何需要的时刻提供服务?信息系统是否被完好保护以应对各种的损失和灾难?

保密性——系统保存的信息是否仅对需要这些信息的人员开放,而不对其他任何人开放?

完整性——信息系统提供的信息是否始终保持正确、可信、及时?能否防止未授权的对系统数据和软件的修改?

信息系统审计产生动因及其发展

1、信息系统审计产生动因分析

关于信息系统审计的产生动因,目前国际上存在两种观点:一种观点认为是从会计审计发展到计算机审计再发展到信息系统审计(计算机审计的范围扩展,最后涵盖整个信息系统)演变过来的;另外一种认为由于信息系统尤其是大型信息系统的建设是一项庞大的系统工程,它投资大、周期长、高技术、高风险,在系统的建设过程中,对工程进行严格、规范的管理和控制至关重要。而正是由于信息系统工程所具有的这些特点,建设单位往往由于技术力量有限,无力对项目的技术、设备、进度、质量和风险进行控制,无法保证项目的实施成功。所以需要有第三方进行独立审计。

2、信息系统审计在国际上的发展

信息系统审计的发展是伴随着信息技术的发展而发展的。在数据处理电算化的初期,由于人们对计算机在数据处理中的应用所产生的影响没有足够的认识,认为计算机处理数据准确可靠,不会出现错弊,因而很少对数据处理系统进行审计,主要是对计算机打印出的一部分资料进行传统的手工审计。随着计算机在数据处理系统中应用的逐步扩大,利用计算机犯罪的案件不断出现,使审计人员认识到要应用计算机辅助审计技术对电子数据处理系统本身进行审计,即EDI审计。同时随着社会经济的发展,审计对象、范围越来越大,审计业务也越来越复杂,利用传统的手工方法已不能及时完成审计任务,必须应用计算机辅助审计技术(CAATs)进行审计。八十年代、九十年代信息技术的进一步发展与普及,使得企业越来越依赖信息及产生信息的信息系统。人们开始更多的关注信息系统的安全性、保密性、完整性及其实现企业目标的效率、效果,真正意义的信息系统审计才出现。随着电子商务的全球普及,信息系统的审计对象、范围及内容将逐渐扩大,采用的技术也将日益复杂。到目前为止,信息系统审计在全球来看,还是一个新的业务,从美国五大会计师事务所的数据看1990年拥有信息系统审计师12名到近百名,1995年已有500名,到2000年时,信息系统审计师正以40%——50%的速度增加,说明信息系统审计正逐渐受到重视。

美国在计算机进入实用阶段时就开始提出系统审计(SYSTEMAUDIT),从成立电子数据处理审计协会(EDPAA后更名为ISACA)以来,从事系统审计活动已有三十多年历史,成为信息系统审计的主要推动者,在全球建有一百多个分会,推出了一系列信息系统审计准则、职业道德准则等规范性文件,并开展了大量的理论研究,IT控制的开放式标准COBIT(ControlObjectivesforInformationandRelatedTechnology)已出版了第三版。

3、信息系统审计在国内的发展

目前国内有学者提出计算机审计,电算化审计,但基本上停留在对会计信息系统的审计上,延伸手工会计信息系统审计,尚未全面探讨信息时代给审计业务带来的深刻变化。以我国在1999年颁布了独立审计准则第20号——计算机信息系统环境下的审计为例,其更多关注的是会计信息系统。在信息时代,面对加入WTO后全球一体化市场,我国IT服务业面临巨大的挑战,开展信息系统审计业务不失为推动我国IT服务业发展的一次绝佳机会。

信息系统审计的理论基础

信息系统审计不仅仅是传统审计业务的简单扩展,信息技术不单影响传统审计人员执行鉴证业务的能力,更重要的是公司和信息系统管理者都认识到信息资产是组织最有价值的资产,和传统资产一样需要控制,组织同时需要审计人员提供对信息资产控制的评价。因此信息系统审计是一门边缘性学科,跨越多学科领域。

如图3所示,信息系统审计是建立在四个理论基础之上的:

传统审计理论。传统审计理论为信息系统审计提供了丰富的内部控制理论与实践经验,以保证所有交易数据都被正确处理。同时收集并评价证据的方法论也在信息系统审计中广泛应用,最为重要的是传统审计给信息系统审计带来的控制哲学,即用谨慎的眼光审视信息系统在保护资产安全、保证信息完整,并能有效地实现企业目标的能力。

信息系统管理理论。信息系统管理理论是一门关于如何更好地管理信息系统的开发与运行过程的理论,它的发展提高了系统保护资产安全、保证信息完整,并能有效地实现企业目标的能力。

行为科学理论。人是信息系统安全最薄弱的环节,信息系统有时会因为人的问题而失败,比如对系统不满的用户故意破坏系统及其控制。因此审计人员必须了解哪些行为因素可能导致系统失败。这方面行为科学特别是组织学理论解释了组织中产生的“人的问题”。

计算机科学。计算机科学本身的发展也在关注如何保护资产安全、保证信息完整,并能有效地实现企业目标。但是技术是一把双刃剑,计算机科学的发展可以使审计人员降低对系统组件可靠性的关注,信息技术的进步也可能启发犯罪,例如一个重要的问题是信息技术在会计制度中的应用是否给罪犯提供了较多缓冲时间?如果是,那么今天网络犯罪产生的社会威胁较以往任何时候都要大。

图4 :IS审计的理论基础

信息系统审计的基本业务和依据

1、信息系统审计的基本业务

信息系统审计业务将随着信息技术的发展而发展,为满足信息使用者不断变化的需要而增加新的服务内容,目前其基本业务如下:

系统开发审计,包括开发过程的审计、开发方法的审计,为IT规划指导委员会及变革控制委员会提供咨询服务;

主要数据中心、网络、通讯设施的结构审计,包括财务系统和非财务系统的应用审计;

支持其他审计人员的工作,为财务审计人员与经营审计人员提供技术支持和培训;

为组织提供增值服务,为管理信息系统人员提供技术、控制与安全指导;推动风险自评估程序的执行;

软件及硬件供应商及外包服务商提供的方案、产品及服务质量是否与合同相符审计;

灾难恢复和业务持续计划审计;

对系统运营效能、投资回报率及应用开发测试审计;

系统的安全审计;

网站的信誉审计;

全面控制审计等。

一个信息系统不等同于一台计算机。今天的信息系统是复杂的,由多个部分组成以做出商业解决方案。只有各个组成部分通过了评估,判定安全,才能保证整个信息系统的正常工作。对一个信息系统审计的主要组成部分分成以下几类:

信息系统的管理、规划与组织——评价信息系统的管理、计划与组织方面的策略、政策、标准、程序和相关实务。

信息系统技术基础设施与操作实务——评价组织在技术与操作基础设施的管理和实施方面的有效性及效率,以确保其充分支持组织的商业目标.

资产的保护——对逻辑、环境与信息技术基础设施的安全性进行评价,确保其能支持组织保护信息资产的需要,防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。

灾难恢复与业务持续计划——这些计划是在发生灾难时,能够使组织持续进行业务,对这种计划的建立和维护流程需要进行评价。

应用系统开发、获得、实施与维护——对应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价,以确保其满足组织的业务目标。

业务流程评价与风险管理——评估业务系统与处理流程,确保根据组织的业务目标对相应风险实施管理。

2、信息系统审计的依据

信息系统审计师须了解规划、执行及完成审计工作的步骤与技术,并尽量遵守国际信息系统审计与控制协会的一般公认信息系统审计准则、控制目标和其他法律与规定。

一般公认信息系统审计准则——包括职业准则、ISACA公告和职业道德规范。职业准则可归类为:审计规章、独立性、职业道德及规范、专业能力、规划、审计工作的执行、报告、期后审计。ISACA公告是信息系统审计与控制协会对信息系统审计一般准则所做的说明。ISACA职业道德及规范提供针对协会会员或信息系统审计认证(CISA)持有者有关职业上及个人的指导规范。

信息系统的控制目标——信息系统审计与控制协会在1996年公布的COBIT(ControlObjectivesforInformationandrelatedTechnology)被国际上公认是最先进、最权威的安全与信息技术管理和控制的标准,目前已经更新至第三版。它在商业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。面向业务是COBIT的主题。它不仅设计用于用户和审计师,而且更重要的是可用于全面指导管理者与业务过程的所有者。商业实践中越来越多的包含了对业务过程所有者的全面授权,因此他们承担着业务过程所有方面的全部责任。特别的是,这其中包含着要提供足够的控制。Cobit框架为业务过程所有者提供了一个工具,以方便他们承担责任。其框架包括四大部分:架构、控制目标、审计指南及执行概要。COBIT架构着重各项处理的高层次控制,控制目标则着重于各项IT处理或对该架构所包括的34项IT处理的特定详细控制目标,每一项IT处理都有5至25个详细控制目标,控制目标使整体架构和详细控制目标密切对应,相互一致。详细控制目标有18种主要来源,涵盖现行的及法定有关IT的国际性准则与规定。这包括对各项IT工作所建置的控制程序拟达到的预期结果或目标的叙述,以提供全球所有的产业有关IT控制的明确方针及实际最佳的应用。

其他法律及规定。每个组织不论规模大小或属于何种产业,都需要遵守政府或外部对与电脑系统运作、控制,及电脑、程序、信息的使用情况等有关的规定或要求,对于一向受严格管制的行业,尤其要注意遵守。以国际性银行为例,若因不良备份及复原程序而无法提供适当的服务水准,其公司及员工将受严重处罚。此外,由于对EDP及信息系统的依赖性加重,许多国家极力建立更多有关信息系统审计的规定。这些规定内容是关于建置、组织、责任与财务及业务操作审计功能的关联性。有关的管理阶层人员必须考虑与组织目标、计划及与信息服务部门/职能/工作的责任及工作等有关的外部规定或要求。

信息系统审计流程

开始审计工作的准备包括收集背景信息,估计完成审计需要的资源和技巧。包括合理进行人员分工。与负责的高级经理举行一次正式的开始审计会议,最后决定范围,理解特别关注之处,如果有的话,制定日程,解释审计方法。这样的会议有高级经理的参与,使人们互相认识,阐明问题强调商业关注点,使得审计工作得以顺利进行。类似的,在审计完成后,也召开一次正式会议,向高级经理交流审计结果,提出改进建议。这将确保进一步的理解,增加审计建议的接纳程度。也给了被审计者一个机会来表达他们对提出问题的观点。会议之后书写报告,可以大大增加审计的效果。

开始审计工作预备工作了解内部控制结构评价控制风险是否信赖内部控制?是否仍可信赖内部控制?内部控制测试评价控制风险是否提高内部控制的信赖程度?扩大实质性测试有限的实质性测试形成审计意见出具审计报告是否是是否结束否

基于风险的审计方法

很多组织意识到技术能带来的潜在好处。然而,成功的组织还能够理解和管理好与采用新技术相关的很多风险。因此,审计从基于控制(ControlBased)演变为基于风险(RiskBased)的方法,其内涵包括企业风险、确定风险、风险评估、风险管理、风险沟通。

每个组织使用许多信息系统。对不同功能和活动有不同的应用软件,在不同的地理区域可能有众多的计算机配置。审计者面临的问题是审计什么,什么时候及审计频率。其答案是接纳基于风险的方法。信息系统有着与生俱来的风险,这些风险用不同方式冲击信息系统。对繁忙的零售超市,信息系统哪怕一个小时的不可用都会对营业系统造成严重影响。未授权的修改可能造成对在线银行系统的欺诈及潜在损失。系统运行的技术环境也可能影响系统的运行风险。

基于风险方法来进行审计的步骤是:

编制组织使用的信息系统清单并对其进行分类。

决定哪些系统影响关键功能和资产。

评估哪些风险影响这些系统及对商业运做的冲击。

在上述评估的基础上对系统分级,决定审计优先值,资源,进度和频率。审计者可以制定审计计划,罗列出一年之中要进行的审计项目。

信息系统监理与信息系统审计之对比分析

从前面两部分的介绍可知,信息系统审计在国际上已经体系化、标准化、程序化,而 我国信息系统监理仅有最基本的轮廓,积累了一些经验,但尚没有形成完整的方法论。因此,目前只能从概念、发展动因等方面做较为宽泛的对比。不过,对比国际通用体系,可为我国发展信息系统监管体系以及制定相应的管理制度或实施细则提供借鉴。

信息系统监理与信息系统审计之对比,可归纳出以下特点:

两者性质相同,都是第三方监督,但对独立性的要求有差别。

两者都是立足在第三方的立场,公平对待委托方与被监督方,并要求确保公正性、公平性,以《北京市信息系统工程监理管理办法》为例,其第十四条是“信息系统工程监理单位应当客观、公平、公正地执行监理任务”,但是对这一行业赖以存在并得以发展的信条和灵魂——独立性没做明确要求。而信息系统审计对第三方的超然独立要求极其严格,也因此在保证客观、公正上更有可操作性。

客观公正应当是每个信息系统审计师和监理工程师职业道德方面追求的最高目标,但是人们很难衡量其在执行业务时是否已经达到了客观公正,如果只作精神上的要求,那么准则和要求将变成牧师的布道,职业人员很难执行,社会公众很难观察,所以信息系统审计准则中有关于审计师独立性的要求。有关独立性问题的系统研究当首推罗伯特.K.莫茨(R.K.Mautz)和侯赛因.A.夏拉夫(H.A.sharaf)1961年出版的《审计哲学》(ThephilosophyofAuditing)。其中对独立性的讨论包含了两个方面:执业者的独立性(Practitionerindependence)和职业的独立性(Professionindependence)。前者包括审计计划的独立性、审计过程的独立性和审计报告的独立性;后者则是指社会公众对注册会计师行业的一种印象。曾任美国注册会计师协会职业道德委员会主席的托马斯.G.希金斯(ThomasGHiggins)在1962年对独立性的概念又进行了进一步的提升与概括,他认为:“注册会计师必须拥有的独立性,实际上有两种,实质上的独立性和形式上的独立性”。所谓形式上的独立性,是指注册会计师必须与被审查企业或个人没有任何特殊的利益关系,如不得拥有被审查企业股权或担任其高级职务,不能是企业的主要贷款人、资产受托人或与管理当局有亲属关系,等等。否则,就会影响注册会计师公正地执行业务。形式上的独立性又可进一步分为组织上的独立性、经济上的独立性与人员上的独立性三种。所谓实质上的独立性,又称为精神独立性,即认为独立性是一种精神状态、一种自信心以及在判断时不依赖和屈从于外界的压力和影响。它要求注册会计师在执业过程中严格保持超然性,不能主观袒护任何一方当事人,尤其不应使自己的结论依附或屈从于持反对意见利益集团或人士的影响和压力。由上可知,实质上的独立性是无形的,通常是难以观察和度量的,而形式上的独立性则是有形的和可以观察的。社会公众通常是透过注册会计师形式上的独立性来推测其实质上的独立性。因此,从这个意义上来说,形式上的独立性是实质上的独立性的载体和重要前提。由此可见,形式上独立很重要,因为它很好界定,便于准则规范,在现实环境中有很好的可执行性。因此我们认为,信息系统监理行业如果不能在独立性的制度建设上取得重大突破,整个行业的社会信任度大打折扣,而诚信和道德水准的提升对制度缺陷的修正也会很难在实质上取得成效。信息系统监理行业发展中所面临的各种问题都很重要,但围绕信息系统监理职业独立性的建设可能是各项工作中的重中之重。(本文对注册会计师的讨论同样适用于信息系统审计师)。

国外信息系统审计已经发展为较完善的行业监督体系。

目前国内信息系统审计刚刚起步,而信息工程监理还不够规范。国家缺乏相应的法律、法规和标准,至今还没有有效的管理手段,在委托方和被委托方之间也没有一种协调的机制来建立两者之间的信任。并且我国行业不规范的责任往往被轻易地归咎于政府监管的不力;同样轻易得到的结论,是因此要“加强监管机构的权力和范围”。美国的会计行业规范不是这么一种逻辑。在规范行业行为中,政府监管是一个重要的辅助措施;而真正起决定性作用的,是市场中的制衡力量,以及为这些制衡力量切实发挥作用而形成的各种正式 或非正式的制度安排。

美国注册会计师行业的管理机制——行业自我管理和外部约束向结合发挥了重要作用。行业自我管理是通过行业组织、准则和规则、监督来实现的,行业外部约束通过政府组织、准则和规则、监督和实施来实现。如美国国会和SEC监管下的行业自律。外部监管以加强管制的可能性来对行业施加约束。而较强的行政管制,将在很大程度上限制会计行业自主发展的权利和业务拓展空间,损害所有从业者的利益,因此行业总体上需要以行业自律来换取行业自我管制。如果行业不能自律,公众要求国会加强行政管制的压力使得这种可能性现实存在。

两者业务范围和目的均有所差别。

信息系统工程监理和信息系统审计都是对质量控制的再控制,但两者业务范围和目的均有所差别。

1、两者业务范围差别

信息系统工程监理是指具有信息系统工程监理资质的单位,接受建设单位的委托,依据国家和本市有关规定、信息系统工程建设标准和工程承建、监理合同,对信息系统工程的质量、进度和投资方面实施监督。目前主要应用在信息化工程建设阶段。

信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。它是立足于组织的战略目标,为有效的实现组织战略目标而采取的一切活动过程都在审计师的业务之内。其业务范围包括与信息系统有关的所有领域,例如信息系统安全审计、网誉审计、PKI/CA审计、电子签名审计业务等。

2、两者目的差别

信息系统工程监理的目的是保证工程建设质量、进度和投资额满足建设要求。监理活动随着工程的完成而结束。信息系统审计的目的是合理保证信息系统能够保护资产的安全、数据的完整、系统有效地实现组织目标并有效率的利用组织资源,其核心是信息系统的效率、效果。不仅包括对建设过程的审计,更重要的是对信息系统的运营审计,向公众出具审计报告,鉴证信息系统能否保护企业资产安全,其产生、传递的信息是否完整,整个系统是否有效地实现组织目标并有效率的利用组织资源。只要信息系统在运行,审计活动一直存在。

另外,信息系统工程监理的过程是可见的,即对项目成本、进度和质量与目标出现的偏差是可见的,及时纠正也方便。但信息系统审计对信息系统的安全性、可靠性与有效性的认定具有不可见性,这也正是信息系统比工程项目复杂的主要原因。信息系统建设完毕,这仅仅是信息化的开始,大量的问题将出现在信息系统运维阶段,因此,从这个角度而言,信息系统审计是保证信息系统质量的行之有效的方法。

信息系统审计与方法研究具有科学化、规范化、智能化和系统化的特点。

所谓科学化,是指现代审计技术与方法的研究,已经超越了传统的经验论,非常强调把科学手段和经验总结相结合。比较典型的例子就是分析性复核技术的发展。所谓分析性复核,其实质就是将审计人员掌握的一些客观规律总结出来,测算出被审计事项的合理预期值,再与被审计事项的实际值相比较,进一步评估差异的合理性之后,确定是否还需要对被审计事项进行详细测试。这一个过程,实际上被许多审计人员不自觉地运用了多年,但通过公式和比率等形式总结出来,主动指导审计人员的实践,却是最近20年来审计技术与方法研究的一大突出特点。科学化的另一个表现就是数学和统计学技术在审计中的运用日益广泛,抽样统计技术的全面推广就是例证。

所谓规范化,是指审计机构将审计程序设计与审计技术方法的运用有机结合,规范和引导审计人员运用适当的审计技术和方法。以往,审计人员在运用审计技术和方法的过程中容易有较大的随意性,用与不用,在什么时候用,如何使用,都没有规范和约束,导致整个审计机构的标准不统一,质量没有保证。随着程序导向式审计软件平台的开发和广泛运用,越来越多的审计机构开始把审计技术与方法融入到规范的审计程序之中,要求并指导审计人员合理运用审计技术。

所谓智能化,强调的就是将历史经验总结、科学规律推导和审计人员的专业判断结合起来,指导审计人员得出合理的审计结论。在审计过程中,数学、统计学的分析结果,都不能完全替代审计人员的专业判断,因为在其利用的数学公式中,仍然有许多变量需要审计人员主观确定。在这种情况下,越来越多的审计机构,倾向于在审计软件中为审计人员的决策提供参考。目前,许多审计机构不惜花巨资,邀请审计领域的专家,分析在各种情况下常见的审计策略或方法以及对不同审计结果的判断标准。当然,对审计而言,智能化永远都是一个相对的概念,电脑和机器永远不能替代审计人员的决策,但提供决策辅助和参考意见,确实非常必要。

所谓系统化,是指审计战略(策略)和审计技术方法的全面协调。审计战略(策略)解决的是要审什么、想达到什么目的,审计技术和方法解决的是怎么审和怎么达到目的,这两者的协调是审计技术与方法的研究成果得以全面运用的关键。回顾最近20多年来审计技术与方法的研究历程,可以清晰地发现,审计技术的研究和运用完全是在风险基础审计理论指导下的开拓和发展,而脱离理论指导的实践经验总结相对越来越少。这一点给我们的启示在于,审计技术与方法的研究,不能超越基本审计理论和审计目标的研究,也不能脱离审计战略和审计目标的总体要求。

信息系统审计具有较完善的职业教育和认证体系。

国际信息

ISACA(InformationSystemAuditandControlAssociation)是唯一有权授予国际信息系统审计师资格的跨国界、跨行业专业机构,该协会成立于1969年,总部在美国的芝加哥。目前在世界上100多个国家设有160多个分会,现有会员两万多人。注册信息系统审计师CISA(CertifiedInformationSystemAuditor)资格由ISACA授予,是信息系统审计领域的唯一职业资格,受到全世界的广泛认可。由于信息技术的国际性,国际信息系统审计师资格在世界任何一个国家的使用都不会受到任何制约。自1978年以来,国际信息系统审计师CISA认证已经成为在信息系统审计、控制与安全专业领域中取得成绩的标准,并得到了全世界的公认。在世界各地,每年都要举行一次认证考试和若干次后续教育,目前在我国香港、台湾、北京、上海、广州、深圳设有考点。经过认证的信息系统审计师最擅长鉴别信息系统的有效性,最安全和最稳定的系统不一定是最有效的系统,而效率不高的系统就会消耗企业大量的资源,信息系统审计师的优势就是对财经管理和信息技术融会贯通,为企业信息系统的改造提供建议。

鉴于信息安全市场的高速增长,最近国际信息系统审计与控制协会又迅速推出了信息安全管理师认证CISM,以配合市场对安全人才的巨大需求。

对信息系统监理的建议

目前,我国的信息系统监理业巨大的发展空间吸引着越来越多的国际咨询公司和专业服务提供商抢滩我国市场。据不完全统计,目前在我国的海外咨询足有百余家。随着摩立特集团(我国)公司日前在北京成立,国际上最著名的咨询公司如麦肯锡、科尔尼、埃森哲、BCG、PWC、罗兰贝格、德勤等皆已在我国登陆,给国内的咨询包括监理机构带来了巨大的压力,其丰富的案例库、数据库、知识库,数十甚至百年创下的品牌,短时期内本土咨询业与其的差距依然较大。

面对机遇和挑战,如何借鉴国际上先进的经验,推动我国信息系统监理的健康发展,避免其他中介服务行业曾走过的弯路,我们在广泛的理论分析和实证研究的基础上提出如下具体建议:

建立健全的管理体制与法律法规体系,尽快形成统

一、规范、竞争、有序的信息系统工程监理服务市场。

各级信息化主管部门,在规范政府管理职能的同时(政府部门要避免管的过多、过细,应过多关注整个监理市场的宏观管理和调控),注重加强行业自律管理,避免其他中介服务行业曾出现过的多种问题。例如,个别人凭借权利强行包揽监理业务,采取高回扣等不正当手段,以及为独揽业务,不惜损害其他方和当事人的权益等。

鉴于信息系统工程监理具有专业性强和风险大的特点,建议把执业队伍的业务素质和职业道德素质的提高作为一项重要工作常抓不懈,使信息系统工程监理工程师真正成为国民经济和社会信息化的“警察”。

尽快建立信息系统工程监理的标准和执业规范。

推动信息系统工程监理工业的分化整合,探索信息系统工程监理公司扩大规模的方式和途径。在我国加入WTO的新形势下,面对国际IT服务咨询业巨头的竞争,我国信息系统工程监理行业刚起步,监理公司如何脱颖而出、迅速成长,参与国内甚至国际信息系统中介服务市场的竞争,将是重中之重的工作。

开展信息系统工程监理公司内部管理机制研究。努力提高信息系统工程监理行业的监理质量。

执业程序要统一。“四大”发展到今天这样的规模,执业程序的统一是其基石。这些程序历经多年的经验积累而形成,并针对新出现的问题随时加以完善。从某种意义上将,客户对“四大”的统一的执业程序的认同,超过了对其名称品牌的认同。

培训统一。为保证执业程序的统一,首先要做到培训统一。信息系统监理工程师在开始执业前要经过严格的培训,定期培训当然更不可少。建议信息系统监理公司设立专门的培训部门,并将每年收入相当大的比重用于培训。另外,严格、规范的培训也是监理公司能够吸引众多高素质从业人员的一个重要因素。

人事管理在一定范围内统一。建议将监理工程师的级别进行细分,并且不要出现一个地方的人员比另外一个地方同一级别的人员水平明显高的情况。这种管理方式,对于监理机构来说非常重要。

信息系统审计论文范文第5篇

一、内部审计信息化的缘起——信息技术的挑战

近几年来, 随着计算机的普及、网络的发展, 信息系统的广泛使用, 大量的经济业务活动通过网络实现了无纸化。如我们教育系统的会计核算已实行了电算化, 这使得审计线索和内容发生了变化。在会计核算手工系统中, 由原始凭证到记账凭证, 由过账到财务报表的编制, 每一步都有文字记录, 都有经手人签字, 审计线索十分清楚。但在会计电算化系统中, 传统的账薄没有了, 绝大部分的文字记录消失了, 取而代之的是存有会计资料的磁盘。此外, 从原始数据进入计算机, 到财务报表的输出, 这中间的全部会计处理集中由计算机按程序指令自动生成, 传统的审计线索在这里中断了、隐藏了、消失了。会计电算化系统的特点及其固有的风险, 决定了审计的内容要增加对计算机系统处理和控制功能的审查, 这必然要求我们也要建立审计电算化系统, 通过程序指令自动审计。

二、内部审计信息化建设的重要意义

国家审计署原审计长李金华曾在不同场合多次强调:“审计信息化建设是审计系统一场深刻的革命, 是未来审计的主要手段, 是现代审计的发展方向。不加强审计信息化建设, 我们将失去审计资格”。精辟地阐述了审计信息化对于审计工作的深远影响, 为审计工作的发展指明了方向。

那么我们实现审计信息化有哪些重要意义呢?笔者认为主要体现在以下几点:1.内部审计信息化是解决当前审计信息种类多样化、数量规模化、信息内容复杂化的有效手段。2.内部审计信息化是改善内审工作环境, 提高工作效率的重要途径。3.内部审计信息化是实现审计事前发现风险疑点, 事前防范风险的重要方式。4.内部审计信息化是规范内部审计行为, 提高审计质量, 控制审计水平的可靠工具。

三、内部审计信息化建设的三个阶段

目前我市教育系统内部审计, 均采用传统的手工审计, 根据实际情况, 笔者认为审计信息化建设应该遵循“先易后难、分步实施、逐步完善”的原则, 分三个层次来逐步推进。首先是实现计算机辅助审计;第二是构建审计信息化系统;第三是实现信息系统的审计。

(一) 实现计算机辅助审计。计算机辅助审计是指审计人员利用计算机设备和软件来辅助审计工作。从这几年内审工作的经验来看, 笔者觉得计算机辅助审计可以使审计人员从冗长乏味的计算工作中解放出来, 将更多的时间精力集中于那些需要专业判断的部分, 进而提高审计工作效率;还可以辅助审计人员完成以下工作:1.数据采集与转换。利用计算机技术可以识别不同会计核算软件的数据格式并将其转化为通用的数据格式。2.数据分析与计算。将计算机技术用于分析性审计程序, 可以非常快捷、方便、准确地得到分析结果。3.审计抽样。在手工条件下需要人工计算的总体容量、抽样容量及标准估计值等工作, 现均由计算机审计软件自动完成, 因而方法更科学, 结果更客观。4.项目管理。计算机软件可以辅助审计人员完成编制审计计划、记录审计日志、生成审计底稿、撰写审计报告、管理审计档案等工作。

(二) 构建审计信息化系统。审计信息系统 (AIS) 是在计算机辅助审计得到广泛应用的基础上, 将多种审计模块集成到单位管理信息系统 (MIS) 中构成的一个子系统。它具有多种功能:既可以对单位的投资决策、生产经营和财务管理等进行全过程动态审计, 也可用于进行经济责任审计, 还可以充当单位经营管理、辅助决策的工具。

随着网络经济的出现, 人们对处理和传递信息的计算机系统的安全、可靠和有效性更加关注。这就要求我们审计内容不能仅仅局限于对会计信息的审计, 而要延伸到系统本身, 即对审计信息系统进行审计。

四、内部审计信息化建设的应对措施

(一) 建立健全审计信息化制度体系。加强信息安全和保密工作, 建立健全规章制度。比如, 我们现在大多数财务软件在设计时没有考虑到审计的需求, 导致审计软件与财务软件难以对接, 这对审计的效率和质量造成很大影响。因此, 需要进一步制定并完善财务软件设计的相关制度规范。还有我们要建立和完善服务质量检查、考评机制, 要形成完备的工程运行维护、系统监管与应急响应、专业人员知识和技能更新等机制, 确保系统的正常运行, 为审计信息化提供制度保障。

(二) 加大基础设施建设, 提升软硬件系统配置。“工欲善其事, 必先利其器”, 在审计信息化建设上加大投入。既要把钱用在刀刃上, 保障审计业务人员人手一台笔记本电脑和一个移动硬盘。硬件设施的不断完善, 为审计信息化建设提供了基础平台。又要杜绝浪费, 搞信息化建设要贴近审计工作实际, 既要适度超前, 又不能盲目追求高标准, 要以合理的信息化投入换取审计能力和效率的提升。还有我们要充分考虑审计机关信息化人才培养状况, 如果不培养一批高素质的人才去运用, 那么我们的设备再先进, 也只能束之高阁。

(三) 树立“人才强审”战略。人才是开展审计信息化的重要条件。审计机构应积极引进既有丰富会计、审计知识又具备较高计算机技能的复合型人才, 同时积极开展有关计算机辅助审计方面的后续教育。使审计人员不断地认识审计信息化系统环境下的审计特点, 掌握审计软件的使用、维护等技能, 从而有效地完成审计任务。在审计人员的培养方面, 我们应该积极培养具有复合性知识结构的审计人员。比如, 可以对会计人员或计算机软件开发人员进行学习培养, 使得他们也能加入到审计队伍当中, 成为审计信息化的专职或兼职人员。

(四) 大力推广计算机审计。首先进一步完善并推广审计信息系统和现场审计实施系统, 积极探索联网审计和信息化审计。这需要我们建成审计信息化数据库, 制定数据库规划, 完善充实审计数据库, 提升数据资源建设的规范化, 为审计业务提供有效支持。其次实现审计方法的信息化, 积极研究探索审计抽样、内控测评、风险评估等审计方法的信息化实现方式。将计算机技术运用于审计实践, 增加审计的技术含量, 提高审计的质量和效率。审计信息化建设应注重实际应用, 可以根据审计的实际需要开发一些具有行业和地方特色的小软件、小模块, 比如我们可以开发教育行业专业的审计软件等。

五、如何防控内部审计信息化风险

计算机审计风险是指审计人员在对被审计单位会计电算化系统进行审计后得出的审计结论与被审计事项实际情况相背离的可能性。也可以理解为审计人员不能正确合理地运用计算机审计技术从而导致审计结果与事实不相符, 发表不恰当的审计意见。影响计算机审计风险的因素主要有如下几方面:

(一) 审计数据是否完整、准确。为保证审计数据的完整和准确, 审计人员在审计时必须认真检查被审计单位所提供的数据是否真实, 是否属于审计时间范围内的财务数据, 是否属于结账后的数据, 财务数据是否有纸质账册、报表相配套。同时, 审计人员获得的财务数据, 应该是被审计单位财务人员对财务数据作现场备份所得的。

(二) 审计方法与技术选择是否恰当。审计人员可以根据被审计单位不同的系统而采取不同的审计方法和技术, 从而有效地降低审计风险。当打印文件充分且与被审计单位输入输出联系比较密切能直接核对时, 则可采用绕过计算机的审计方法, 用核对、复核、分析性程序等审计技术;当被审计单位采用实时处理, 纸质的审计线索较少且输入输出不能直接核对时, 则可采用计算机审计的方法, 当被审计单位采用每时每刻都在运行, 审计过程中不能终止工作时, 则可采用制度基础法。这样, 既可以降低审计风险, 又可以减少对被审计系统正常工作的影响。

(三) 审计方式的选择是否合理。由于要审计的内容大都存储在磁性介质中, 而磁性介质很容易被篡改、删除而不留下任何痕迹。因此对于会计信息系统财务审计一般应采用就地审计或突击审计的方式。在进行审计时, 可以采用事先不通知操作员或程序员的情况下, 把系统中正在运行的数据拷贝出来进行审查, 以防程序员对系统的应用程序进行篡改或更换程序版本, 防止操作员把数据篡改、删除等, 只有这样, 才能保证被审计程序和数据的正确、完整性, 也才能有效地降低审计风险。

(四) 是否积极取得被审计单位的支持和配合。在进行计算机审计时, 如果被审计单位的财务人员、操作人员不予配合, 把存在磁性介质当中以及会计信息系统中财务数据进行加密、修改、删除、隐匿等, 则审计人员很难进行审查, 因此, 审计时应积极取得被审计单位的支持和配合, 以此来降低审计风险。

六、结束语

国家审计署原审计长李金华指出:“审计信息化不光是个技术方法的问题, 它对审计工作的方式、程序、质量和管理, 乃至审计人员的思维方式和自身素质都会带来深刻的影响”。也就是说, 创新审计技术与创新审计模式是互为前提、互相推动的一体两面。加快内部审计信息化建设既是实现内部审计转型的一项重要任务, 更是开展以风险控制为导向管理审计的重要技术支撑。必须要把推进内部审计信息化建设作为利用信息技术改造提升传统审计方式的重要内容, 纳入到推进内部审计实现全面转型与发展的总体部局之中, 统一规划, 整体推进。

摘要:内部审计工作作为教育系统工作中的一项重要内容, 是学校实现良好财务管理的重要手段。随着计算机的普及, 网络的发展, 信息系统的广泛使用, 大量的经济业务活动通过网络实现了无纸化, 也使得审计环境越来越复杂。这些变化对审计的对象范围、线索以及审计程序产生了很大的影响。为了适应环境的变化, 满足自身的需要, 迫使审计也得利用现代信息技术手段, 实现审计信息化。笔者结合了教育会计电算化系统及本人参加内审工作的经验, 来谈谈教育系统内部审计信息化建设的几点浅见。

关键词:教育系统,内部审计,信息化建设

参考文献

上一篇:高校内部审计论文下一篇:会计审计方面论文