审计局内部审计范文
时间:2023-03-20 16:44:23
导语:如何才能写好一篇审计局内部审计,这就需要搜集整理更多的资料和文献,欢迎阅读由公文云整理的十篇范文,供你借鉴。
篇1
一、加强内部审计人员业务培训和审计廉政建设。加强区教育局内审人员的内部审计业务提升,积极参加省、市、区组织的审计业务培训,同时采用“请进来走出去”的培训模式,继续提高内部审计人员的业务素质,进一步提高内部审计的工作质量。内部审计人员严格执行《省教育审计工作廉政规定》的内容,保持严谨细致的工作作风,做到依法审计、规范审计、精细化审计,确保审计工作的客观公正和审计人员的廉洁从审。
二、重点实施公办中小学(幼儿园)固定资产管理的专项审计调查。加强学校固定资产的科学管理,维护学校固定资产的安全和完整,合理配置和有效利用固定资产,提高国有资产使用效益,保证教育教学工作的顺利进行。通过实施中小学(幼儿园)固定资产管理的专项审计调查,进一步规范中小学(幼儿园)固定资产的增加、使用、维护和变动、处置等财务活动,严肃财经纪律,有效预防国有资产的流失等行为发生,促进勤俭节约和廉政建设,充分体现固定资产的使用价值。
三、常态化实施教育系统三年轮审工作。《区教育系统第二轮内部审计三年轮审工作计划》中明确规定轮审对象、范围、方式、内容、重点以及组织实施方法,按照学校单位内部管理情况、预决算管理、收支管理及结余情况、“三公经费”使用情况、专项资金使用情况、往来款情况、单位固定资产管理情况、单位收费情况、学校食堂管理情况、工会账务管理情况等十个方面的审计内容进行审计,在规定时间内完成三年轮查计划中的开始第二年的审计任务,是教育局审计室落实审计监督的具体工作要求,应当充分发挥教育系统内部审计的监督、评价和服务功能。通过审计,深入了解单位内控制度建立及执行情况、财务收支状况和财务管理情况,规范经费收支行为,提高教育资金使用效益;进一步增强单位领导和后勤管理人员的财经意识,提高风险防范能力,预防和遏制违规行为发生,确保教育经费和财产安全。
四、实施下属单位负责人离任经济责任审计工作。根据教育局下属单位负责人的人动情况,及时组织完成校长(园长)和直属事业单位负责人离任经济责任审计的任务。通过审计,核实单位财务收支及账内、外负债情况,以澄清家底。全面掌握财务收支及相关经济活动真实性、合法性及重大经济项目的决策、实施和内控制度的执行情况。并根据审计情况提出合理化建议,促进学校进一步加强财务管理和增强遵纪守法意识;并对校长(园长)和直属事业单位负责人在其任期内经济责任进行客观、公正的鉴证和评价,为干部管理部门考核使用干部提供依据。
篇2
【关键词】 电信;数据仓库;数据审计;内部安全
近年来,随着信息技术的大规模使用,国内电信企业信息安全问题凸显,移动充值卡破解、电信计费数据库清零等各类事件,使我们认识到,电信行业内业务系统的信息安全治理问题已经成为了当前的一道难题。从这个角度来看,本文对电信企业数据库审计以及内部安全问题进行研究具有一定的现实意义。
1电信企业数据库安全现状
电信行业的信息化提高了企业的工作效率,也提升了电信企业的服务质量。但是,由于当前电信企业的数据库普遍采用的是传统的安全防范技术,过分强调单个安全产品的重要性,比如对防火墙的性能以及功能过分的信赖,导致对其数据库信息安全缺乏一个系统、完整的解决方案。同时,由于我国的电信企业业务发展非常快,用户数量快速增长的同时也导致数据剧增, 在这个过程中,电信企业也面临着需要更多的数据访问的威胁、内部人员威胁、软件开发商等外部人员的威胁以及防火墙内部黑客攻击的威胁等等。这些威胁的客观存在在实践中也造成了不少的电信企业数据库安全事故。总之,电信企业数据库安全问题不容乐观。
2电信企业数据库审计与内部安全系统的设计
2.1电信企业数据库审计与内部安全系统所需实现的功能
根据电信行业的特殊性,以及当前我国电信企业在数据库审计以及内部安全方面的现状,我们认为,电信企业数据库审计与内部安全系统所需实现的功能有如下几个方面:(1)能够实时的进行审计,通过对电信企业的各项业务数据的实时收集,审理各业务系统的安全审计日志;(2)对数据库审计策略进行管理,如果电信企业数据库是Oracle数据库,则需要能实现对细粒度审计信息的收集;(3)监控多种数据平台,保证良好的扩展性;(4)支持多业务系统的审计日志统一管理,保障信息化系统数据的安全性与合规性;(5)对审计信息进行良好的展现与分析,并且实时观察电信企业核心业务的安全性。
2.2电信企业数据库审计与内部安全系统的架构设计
本次设计的电信企业数据库审计与内部安全系统的架构包括了四个核心部分,即审计数据源、审计信息的采集、审计信息的汇总以及分主题的展现,详情如下图所示:
图1电信企业数据库审计与内部安全系统的架构设计
2.3系统的实现
数据源部分,主要包括了与客户经营活动相关的各种数据,首先确保系统具有较强的可扩展性,使其能够支持各种数据源的接口,包括CRM数据系统、综合计费账务系统、综合结算系统、客户服务系统以及财务系统等。
数据采集部分,主要是采集如下几个方面的数据:(1)各类业务系统的数据库审计策略;(2)根据审计策略定时从需要监控和审计的业务系统中获取审计结果。
审计信息汇总部分,实际上就是一个数据仓库,通过将各类数据进行分析,建立自动数据处理机制,为数据库的审计以及内部监控信息的分析提供一个完整的、可靠地、统一的数据存储。
分类主体展现方面,实际上就是通过配合不同的数据分析应用,通过客户机或者浏览器的方式,对数据进行可视化的呈现,使得数据能够更好的被用户所接受和理解,实现数据库审计以及内部信息监控的价值,从而有效的提高决策准确性与决策的效率。要实现这些功能,实现要通过前端分析工具对数据仓库进行OLAP分析,由于其具有内置的开发空间,是一种所见即所得的开发方式,能够通过数据表、交叉表、曲线图等各种不同的形式或者组合形式来表现分析结果,对数据进行多维分析、趋势分析、意外分析、排名分析、比较分析、原因和影响分析以及What-If分析,从而实现数据库的审计和内部信息监管。
3结语
当前,电信行业内的业务信息系统的安全治理是电信企业面临的一道难题。这既有来自于电信企业外部的层出不穷的入侵和攻击,也有来自于电信企业内部的违规和泄漏。由于电信业务系统众多(如:OSS、BSS、MSS、销账、EIP、OCS、财务、营销支撑、计费结算等),数据库用户较多,涉及数据库管理员、内部员工、营业厅及合作方人员等,因此网络管理更加复杂文章对当前我国的电信企业数据库安全现状进行了大致的分析,信息技术的飞速发展和普及,改变了现代企业的经营方式,越来越多的企业在正常的生产经营过程中,已经离不开IT系统的支持。在此基础上针对电信企业的业务开展特点和现状,提出了电信企业数据库审计及内部信息安全系统的基本需求,构建了系统的基本架构,并且对主要功能模块的实现进行了大致的探讨。希望本文的研究对于改善我国的电信企业信息安全现状能够有一定的推动和促进作用。
参考文献
[1] 刘畅. 构建基于数据仓库的劳动力服务决策系统[J]. 现代计算机. 2003(09)
[2] 张摘月,王峰. 数据仓库技术在基层人民银行的应用研究[J]. 中国金融电脑. 2001(08)
[3] 朱义军,王乘. 应用在电力系统中的数据仓库及其设计[J]. 广西电力. 2003(03)
[4] 王姝华,仲华,吕明. 移动通信企业数据仓库系统设计初探[J]. 江苏通信技术. 2004(02)
篇3
【关键词】IT内部审计;IT治理;商业银行
审计信息化(IT 审计)也可称信息系统审计或计算机辅助审计。IT内部审计作为IT治理的分支,本质是为了促进IT治理目标的实现,实现IT资源的价值增值。本文主要是选用商业银行IT治理的案例来丰富大数据时代IT内部审计概念。
现阶段商业银行IT治理雏形可从以下5个核心要素进行考察:(1)在IT战略部署上,以商业目标、IT风险及IT投资成本为重心;(2)IT价值交付是指在考虑时间价值的基础上,确保IT投资与价值回报效率;(3)在风险管理方面,信息系统风险的控制在COSO协议与Basel协议双重保障下相对其他行业已发展成熟,对操作风险的控制更为专业;(4)信息系统绩效评价可借助IT内部审计与IT平衡积分卡来完成;(5)IT资源包括相关的人力资源及软硬件资源。现阶段完善内部审计信息化工作如下表:
国外先进商业银行的数据化道路分为6个阶段:初始阶段(20世纪60年代)、扩展阶段(20世纪70年代)、控制阶段(20世纪80年代初)、集成阶段(20世纪80年代中后期)以及数据管理阶段(20世纪90年代),我国商业银行数据化起步较晚,发生在80年代中后期。利用大数据的优势,对业务数据风险控制的实时性要求较高的金融行业,可通过持续审计的方式建立实时审计工作底稿,规避审计抽样风险,还可通过数据关联找寻规律实现事前预警的效果,内部审计师也因此提升综合性专业素养。
从上述我国IT治理的开展及国内外银行对比经验了解到加快内部审计信息化的更迭可从以下几个方面入手:
第一,要结合IT治理进行IT审计。大数据背景下,企业应对IT治理与IT审计的关系梳理后再应用才有双管齐下的作用。
第二,对IS审计规范的修正要考虑到选择以目标与控制为原则导向的规范更能适应我国的文化特质。可考虑将COBIT作为整合器与ISA准则、GTAG、GAIT、COSO、ITIL等准则有机结合。
第三,完善IT内部审计组织架构首先需要建立独立的内部审计组织体系,增强相应的权威性与权限,落实巴塞尔委员会制定的内部审计报告原则。
第四,增强审计人员队伍建设,对于IT审计职员的素质进行考察,实行达标上岗,定时培训的制度。
最后,加强IT审计法规建设,这是保障IT审计正常执行的关键点。强化内部审计师对信息系统审计的职责,赋予审计师检查电子数据的权限,以此提高企业自身的IT风险管理水平和实现内部审计价值增值。
参考文献:
[1]杨晓军.面向电子商务的审计问题研究[J].审计研究,2000(5):30-36.
[2]王智玉.计算机审计国际研讨会综述[J].审计研究,2001(5):10-30.
[3]王稳,王旭阳.国有商业银行内部审计的现状与对策[J].审计研究,2004(3):39-43.
[4]刘汝焯.关于当前计算机审计发展的几个问题[J].审计研究,2006(S1).3-6.
[5]刘汝焯.信息环境下的计算机审计方式[J].审计与经济研究,2008(23):14-19.
[6]秦荣生.大数据、云计算技术对审计的影响研究[J].审计研究,2014(6):23-28.
篇4
一、W国有林管局概述
W国有林管局迄今已有60年的历史,全局林地总面积189万亩,其中有林地76万亩、疏林地4万亩、灌木林地18万亩、未成林造林地18万亩、苗圃地0.3万亩、无立木地0.7万亩、宜林地23万亩、其他林地6万亩、未领证面积43万亩。全局活立木总蓄积326万立方米,其中乔木林76万亩318万立方米、疏林4万亩8万立方米,从起源结构上看,人工林与天然林面积各占一半。
全局现有建制单位22个,分别是11个国有林场、2个副处级单位和9个其他单位。局机关内设14个科室,分别为人事教育科、办公室、党委办公室、营林科、资源管理科、纪检监察科、综合计划财务科、多种经营科、行政科、工会与离退休人员管理科、科技科、社会保险科、内部审计科;W国有林管理局将在“生态立局、营林强局、产业富局、人才兴局、文化靓局”理念指导下,为实施生态兴省战略、推进国有林区率先发展做出更大的贡献。
二、W国有林管局内部审计存在的问题
(一)内部审计制度不完善
当前,我国制定的是行政部门内部控制的规范,但是没有内部审计的规章制度,导致内部审计工作的实施无法可依。没有规章制度的束缚,执行部门的进行力度和效率就会大打折扣,达不到林管局的目标。再者,林管局尽管设置内部审计科,保持内部审计的独立性,但内部审计科内部职工的职责不明确,重复工作导致整个科的办事效率低下。同时,没有建立监督和激励制度,未对内部审计工作进行及时的指导和监督,激励审计人员认真工作,内部审计专业人员缺乏,有时会让财务人员,如此内部审计的工作缺乏专业性、独立性减弱。因此,内部审计部门就形同虚设,起不到应有的作用。
(二)内部审计重视度不够
内部审计科对内部审计工作认识不清,尽管设置内部审计部门,但对审计工作的必要性和重要性不明确。个别领导认为内部审计工作只是面向日常基本的收支,账面上的资金流动没有问题就可以,对内部审计相关的法律法规等不熟悉、不透彻,认为这是形式化,没有落实到实际工作中。同时认为政府实施收支两条线管理、资金实施了国库集中支付、行政事业单位编制了部门预算、物资的购买实行政府采购,就更加不需要单位自身再进行内部审计,还有的一些单位领导者、负责人,把内部审计与纪检监察画上等号,对内部审计的作用与职能存在严重的错误认识,这种错误的观念极大地限制了内部审计工作的有效开展。
(三)内部审计人员财务素质欠缺
内部审计人员对内审的法律法规、知识、审计知识、职业操守等素质的高低直接决定审计工作财务风险。审计工作要求审计人员专业知识和工作经验双具备才可以顺利展开。审计涉及内容广泛,涉及对象复杂,如果审计人员没有相关的工作经验,在工作中就会无处下手,审计工作无法起到应有的作用。审计人员往往按照以往惯例,先账本、再报表、后凭证,主要精力集中于会计数据的整理,缺少静态分析、结构分析等分析方法全面剖析审计事项,揭示不出问题的实质,审计结果很泛泛,不具有实际使用价值。审计人员在工作中未保持客观的态度和职业操守,徇私舞弊、故意漏账、审计结果与实际情况不符等,均会影响审计质量,审计风险进一步增加。
三、加强国有林管局内部审计的措施
(一)完善林管局内部审计的制度
俗话说“无规矩不成方圆”,审计制度不健全导致审计人员在办公过程中无据可依。健全和完善内部审计制度,要求审计人员按照规章制度开展工作,更好地实现行政事业单位内部审计工作的制度化、法制化与规范化;要建立健全单位内部审计的控制制度、奖惩机制及必要的责任追究制度,从而有效地规范参与内部审计工作人员的行为,切实保护好内部审计工作的严肃性。责任追究制度的建立,把责任明确到每个人的头上,审计人员会认真谨慎对待,时刻按规章制度要求的方法办公,减少工作中的差池,时刻保持清醒的头脑。还有社会的监督力度,注册会计师审计是社会监督的重要部分,督促林管局从自身利益和社会形象出发,自觉实施完善内部审计;最后是政府的监督力度,严格执法机制,利用政府监督的权威性,依法追求管理者的职责。在林管局、政府和社会三方的努力下,营造内部审计的良好氛围,为内部审计制度的完善提供基?A。
(二)强化内部审计意识
意识决定行为,因此林管局的全部职工要加强内部审计意识,特别是林管局局长和内部审计科的负责人。作为我国三大监督主体之一的内部审计,相较于社会审计和政府审计更具有主动性。所以从认识层面上应该把强化内部经济监督与审计联系起来,通过各种手段努力提高行政事业单位领导、员工、财务人员、内部审计人员等对于内部审计工作重要性的认识,只有提高了认识,内部审计工作才能不断得到加强,更好地发挥职能作用。领导应起带头示范作用,明确内部审计的必要性,时刻给职工灌输内部审计的知识,激发职工审计的热情。内部审计科的工作目标应该与林管局的总体目标相一致,将工作目标进行细分,细分到每个审计人员的头上,明确每个人的职责,要在条件允许的范围,设置奖励和问责机制。通俗来讲,内部审计工作是查找财务缺漏的,内部审计工作本着公平公正的原则,按照内部审计的规章制度,帮助相关人员认识自身的错误,对存在的问题给予正确合理的解决方法,做好内部审计的本职工作,借鉴对方的可取之处,提高自身服务的能力。同时,审计员工要适应时代的发展要求,不断更新审计方法,充分认识到审计工作的重要性和必要性。因此,林管局的宣传部门应该加大力度宣传内部审计重要性,360度提高林管局全部职工对内部审计的认识。
(三)提升内部审计人员财务素质
行政事业单位内部审计人员的财务素质是决定审计工作能否顺利开展的关键,因此提高内部审计工作人员的业务素质成为国有林管局亟待解决的问题。首先,内部审计科室每半年安排工作人员去国内高等院校进修,学习相关的专业知识,提高他们的整体业务水平,使他们结合实践总结工作经验,提高运用理论知识解决实际问题的水平;完善审计队伍的进出渠道和科学的激励机制,采取有效措施不断调动内部审计人员的工作积极性;此外,还应加强政治理论教育和职业道德培养,树立务实高效的工作作风。再者,林管局的相关部门定期请内部审计的专家到林管局进行讲座,强化内部审计的意识,增强内部审计人员的财务素质,同时还要组织内部审查考察小组,对内部审计人员的专业知识进行考核,理论知识欠缺的要加强其财务知识的学习,教导其灵活运用理论知识解决实际工作问题。同时不断研究应用新方法、新技术,改进信息技术在内部审计实施中的应用。整合审计力量,发挥监督合力,更好地实现审计监督全覆盖。
篇5
风险管理的思想理论从20世纪30年代开始萌芽,到50年展成一门独立的学科,70年代逐渐在全球范围内掀起了风险管理运动,80年代后市场环境的复杂化引致各种财务风险,促使企业开始关注并寻求规避风险。世纪之交,所有企业面临的经营环境和风险更加复杂和多变。在实践领域,一些知名的大公司由于风险管理不当引发破产事件频发。近20年来,美国、英国、日本等先后建立全国性或地区性的风险管理协会,有组织、系统地研究风险管理。理论界和实务界冲破了传统风险管理理论对风险的狭隘理解,开始对企业的所有风险进行整体的研究和管理,形成一个新概念———“整体化风险管理”,即全面风险管理。美国COSO委员会于2004年了《企业风险管理———整体框架》,以替代沿用很久的《内部控制———整体构架》,运用全面风险管理框架涵盖内部控制,构建了更强有力的概念和管理工具,提出企业风险管理的八个相互联系的要素,每个要素均与风险管理密切相关,成为企业进行风险管理和衡量风险管理有效性的标准。20世纪80年代,我国的一些学者将风险管理和安全系统工程理论引入国内并应用到企业管理中,取得了较好的效果,从而开始了对风险管理的关注和研究。国务院国有资产监督管理委员会于2006年印发了《中央企业全面风险管理指引》,该指引借鉴了COSO《企业风险管理框架》的主要精神,同时还参照发达国家有关企业风险管理的法律法规、国外先进的大公司在风险管理方面的通行做法,以及财政部《企业内部控制规范》的相关规定,明确要求中央企业逐步建立健全风险管理长效机制,促进企业在复杂多变的市场环境中稳步健康发展。
二、内部审计的演变:由财务、经营审计到风险管理审计
20世纪初期,尤其是第一次世界大战后,西方发达国家的企业组织规模明显扩大,企业内部管理层次不断增加,管理层主要依赖内部审计机构查错防弊,保护企业资产安全。20世纪40年代至60年代,企业集团和跨国公司大量涌现,生产经营业务日趋复杂,内部控制跨度加大,内部审计由查错防弊转向检查并评价内部控制的有效性。20世纪60年代后,企业最高管理层更加关注合理利用各种资源,提高经营效率,要求内部审计直接对各类经营业务和管理活动进行审查和评价,内部审计向管理审计方向发展。近20年来,世界范围内产品技术变革速度加快,企业兼并、重组浪潮对企业的治理结构、管理模式等产生了重大影响和冲击,各种潜在风险层出不穷。2002年4月,国际内部审计师协会在对美国国会关于《萨班斯-奥克斯利法案》的意见陈述书中指出,内部审计、外部审计、董事会以及高层管理人员应成为公司有效治理的四大基石,这是国际权威机构首次将内部审计提高到公司治理的高度。就世界范围来看,美、英等西方发达国家适应全面风险管理的要求,以先进的内部审计理念为指导,并颁布和实施配套的内部审计实务标准,从而使内部审计的范围几乎涉及企业的所有领域,定期提出具有建设性的风险评估意见。可以预见,现阶段乃至今后相当长的时期,管理审计是内部审计发展的大方向,而且由于风险管理是企业所有管理工作的核心,将新型的风险管理审计作为管理审计的重点,势在必行。
三、现实思考:我国内部审计的差距
(一)顶层设计与引导不够有力
国际内部审计师协会于2009年修订颁布的《内部审计国际实务准则框架》,重点突出风险管理的地位,认为:内部审计在风险管理中的角色和作用主要是对本企业的风险管理程序进行评估,并对风险管理的恰当程度做出合理保证;由于风险往往与组织战略的规划与实施密切相关,内部审计应当在审计项目的选择上考虑组织战略;内部审计应成为企业整合风险管理的组成部分,帮助组织实现战略目标。《中国内部审计准则》中的《基本准则》没有完全秉承以风险为导向的基本原则;具体准则第1号《审计计划》要求在制订年度审计计划时应当考虑组织风险与管理需要,但没有明确规定将审计计划与组织战略相联系;具体准则第16号《风险管理审计》主要涉及“确认”服务,而体现“咨询”服务的风险管理审计建议方面的要求则很少。此外,从各级内审协会网站内容来看,反映内审机构积极参与风险管理的做法和成功经验方面的报道甚少,专家、学者的相关论述与评析也不多见,尚不能给广大内审人员提供更多、更好的启发与引导。
(二)实务理论研究不够深入和系统
我国在风险管理审计方面的实务研究明显不够深入和系统。一是实证研究较少,多数研究成果限于介绍国外的一些成功做法,理论联系实际不够,对现实的指导意义不强;二是研究的深度有限,一些学术研讨和专项调查流于形式,多数成果只是对本企业有限的审计实践进行介绍和总结,很难推广应用;三是研究成果分散,尚未形成完整的理论体系,无法上升为具有准则性质、对企业内审工作具有一定约束力的操作规程。
(三)企业风险管理基础薄弱
一些企业的风险管理活动时有时无,尚未形成规范化的长效机制,另有一些企业未设置专门的风险管理机构,人员配备非常有限。总体上看,多数企业的风险管理基础比较薄弱,不少内审人员认为所在企业风险管理根本不存在,或者说风险管理审计没有客观基础,内部审计参与风险管理无从下手。
(四)审计介入程度有限
一些内审人员并没有完全认识到风险管理审计的重要性,有的还保留着传统的内部审计观念,也有的在等待观望。有些内审机构已涉足风险管理审计领域,但由于受到企业内部审计政策、人事安排及接触核心资料受限等诸多方面因素的影响,审计的范围仍局限于财务与经营数据。有些企业的风险管理尚处于起步阶段,在相关职能部门、岗位以及职责并没有得到合理配置的情况下,将风险管理系列工作集中交由内审机构处理:一方面模糊了内审人员与风险管理人员的界限,使内审完全失去独立性;另一方面内审什么都管,风险管理审计的质量和效果大打折扣。
四、推进风险管理审计:优化内外环境
(一)优化公司治理结构
开展全面、高层次的风险管理审计必须增强内审机构的独立性、权威性。据调查,我国50%以上企业的内部审计工作由财务总监、副总经理或总经理主管,内审开展工作受到体制牵制和约束。对此,政府的财政、审计等相关部门应制订和颁布政策,要求企业由董事会或者其下属审计委员会主管内部审计工作,并定期披露对内部审计工作的指导与监督情况。相关调查表明,尚有相当数量的企业规定内部审计的主要职责是监督财务收支的真实性、合法性,对管理审计很少提及,更看不到“风险管理审计”的字眼。对此,建议国家相关权力机构通过增强内部审计准则的约束力,督促企业治理层和最高管理层从内审机制构建上予以调整和改进。只有这样,风险管理审计的作用才能充分发挥,内部审计基石的价值才能得以体现。
(二)建立健全并实施企业内部风险管理制度
首先,通过宣传、教育,加深企业治理层、管理层的思想认识,明确管理层在风险管理中应承担的职责。其次,要设立专门的风险管理机构,企业内部各部门和单位也要设立专职风险管理员,明确相关机构和人员的职责权限,使企业内部的各级风险管理工作制度化、规范化。最后,要将企业治理层的重大决策程序和各级管理层的日常工作纳入风险管理的范围,形成严密的风险监控体系。健全的制度有待于有效执行,企业董事会、监事会对此负有引导和监督的责任。内审人员的主要职责,是对风险管理制度设计的合理性和执行的有效性进行全过程、全方位的监督与评估。
(三)调整审计人力资源政策
审计人员要有强烈的风险意识和积极的服务理念,要具备广博的知识和多元化的技能,要具备良好的人际沟通能力和协调能力,努力调动企业内部有关人员共同分析和解决问题的积极性,充分挖掘“参与式”审计的潜力。企业治理层和最高管理层必须调整内部审计人力资源政策,制订优惠的薪酬与激励政策,吸引既精通财务又熟悉管理的复合型人才,激励那些在风险管理中做出突出贡献的内审机构和人员;要选拔素质较好的审计人员到企业内部相关岗位上实践锻炼,提高管理能力;要加强职业培训和后续教育,不断提高审计人员的专业能力。
(四)充分发挥内审协会的监督和引导作用
篇6
一、建立健全内部审计工作机制
全市行政区域内的国家机关、金融机构、企业事业组织、社会团体以及其他单位都应当按照有关规定建立健全内部审计制度,创造必要的工作条件,支持内部审计机构和人员独立开展内部审计监督。所属单位较多、资金规模较大的部门和单位,应按有关规定设立内部审计机构,配备足够的内部审计力量,独立开展内部审计工作。暂不具备条件的部门和单位,可将内部审计职能交由其监察机构承担,调整配备必要的专(兼)职内部审计人员,履行相应的内部审计职责。各类经济组织也应建立健全内部审计机构和制度,完善法人治理结构,促进企业健康成长。选配的专(兼)职内部审计人员应具备相应的专业知识、职业能力和工作经验,能够胜任内部审计工作。
对内部审计职能缺失、内部控制薄弱的部门和单位,审计机关要有计划地纳入重点审计范围。对内部审计工作不重视,内部管理混乱,审计查出违规违纪问题较为突出的部门和单位,要加大问责的力度。
二、明确内部审计机构的职责和权限
各部门、各单位和各类经济组织内部审计机构应当按照本单位主要负责人或者管理机构的要求,履行下列职责:对本部门及所属单位的财政收支、财务收支和有关经济活动进行审计;对其管理的资产、负债、损益和基金进行审计;按规定对其管理或投资的基本建设项目进行审计,配合审计机关对本部门政府投资项目进行审计;对其管理的领导干部或受干部管理部门和审计机关委托对所属单位负责人进行经济责任审计;对本单位及所属单位经济管理和效益情况进行审计;对其及所属单位内部控制制度的健全性、有效性以及风险管理情况进行评审;结合单位实际,开展各类专项审计调查;法律、法规规定及本部门本单位主要负责人或管理机构要求办理的其他审计事项。对在内部审计中发现的重大违规违纪问题,要向审计、监察部门报告,及时移送案件线索,并配合相关部门进行查处。
各部门、各单位和各类经济组织应当按照有关规定,赋予内部审计机构下列权限:要求被审计对象按时报送生产、经营、财务收支计划、预算及执行情况、决算、会计报表和其他有关资料;检查有关生产、经营和财务活动的资料、文件和现场勘察实物;检查有关的计算机信息系统及其电子数据和资料;对与审计事项有关的问题向有关单位和个人进行调查,并取得证明材料;对正在进行的严重违规违纪、严重损失浪费行为,作出临时制止决定;对可能转移、隐匿、篡改、毁弃会计凭证、会计账簿、会计报表以及与经济活动有关的资料,经本部门、本单位主要负责人或者管理机构批准,有权予以暂时封存;提出纠正、处理违规违纪行为的意见和改进管理、提高经济效益的建议;对违规违纪和造成损失浪费的部门和人员,给予通报批评或者提出追究责任的建议;参加或列席本部门、本单位及所属单位涉及重大投资、资产处置等重要事项决策会议,组织召开与审计事项有关的会议等。
篇7
关键词:数据中心 内部审计 信息化建设
进入二十一世纪以来,信息化已经成为我国经济和社会发展的重要推动力,信息技术应用与各个领域的融合日益紧密,越来越多的企业借助ERP、HR、OA等信息系统加强对企业的管理,以信息化推动现代化的战略已经取得丰硕的成果。伴随着企业信息化的发展,内部审计工作的环境发生了变化,非计算机证据的数据和比例相对减少,传统的审计方法越来越不适用。由于会计信息系统进行业务处理在数据处理工具、方法、流程等方面都发生了很大的变化,审计方法和技术也相应发生了改变,计算机审计已经日渐成为审计的一个新的发展方向。
一、研究现状
(一)内部审计工作的现状
李金华审计长曾高瞻远瞩的指出:“审计信息化建设是审计系统一场深刻的革命,是未来审计的主要手段,是现代审计的发展方向。不加强审计信息化建设,我们将失去审计资格。”早在1998年,我国审计署就开始筹备“金审工程”,开发针对政府部门、金融、财政和国有企业不同审计业务需要的审计监督应用系统,制定了审计业务信息接口标准。《审计署2008至2012年信息化发展规划》中指出要探索和完善信息化环境下的审计方式,推进审计信息化建设,努力提高审计工作效率、质量和水平,为审计事业发展提供信息技术支持和保障。
全国烟草行业近几年发展十分迅速,各个业务领域利用信息化促进管理上水平,各类信息系统如同雨后春笋,相继开发实施了工商交易平台、营销CRM、专卖管理、财务核算、电子结算、OA等应用系统,逐步形成了省级集中的数据交换中心。环境的变化对行业内审工作提出了新的要求,内部审计不仅是国有资产的守护者、财务账实的审核者,更是强化管理的促进者、提高效能的推动者、价值增值的促导者,传统而单一的财务收支审计已不能满足日益发展烟草企业管理的需要,内部审计工作的范围应需拓展。内部审计必须以“强管理、防风险、促发展”为己任,积极探索以“风险为导向、控制为主线、治理为核心、发展为目标”的管理审计和绩效审计,积极探索以“事前审计为基础、事中审计为重点、事后审计为保障”的审计模式。要实现这个目标,必须借助先进的审计信息化系统才能实现。
(二)内部审计信息化的必要性和可行性
“十二五”期间,国家烟草专卖局将“规范”视为“生命线工程”的核心位置。内部审计作为企业管理的重要组成部分,是内控体系保障规范的一个关键环节,在企业管理信息化的得到广泛应用的同时,往往存在审计对象的数据真伪难辨,且具有很强的隐蔽性,这对内部审计工作而言是一个新的考验,而审计对象的信息化也为内部审计信息化的发展提供了可行的契机。
1.内部审计信息化是促进自我规范的需要。行业内部审计是保障企业规范运营的防火墙,但由于内部审计的准则不完善,审计过程的规范仍然没有很好的解决,而内部审计信息化能实现流程固化,改进审计方法,进而促进审计工作自身规范。
2.内部审计信息化是提高工作效率的有效途径。传统审计的特征是动作滞后、过程缓慢,往往浪费大量的时间手工获取账册、凭证数据,通过计算机辅助审计,运用统计学、信息论等方法,可以将审计人员从繁重的简单劳动中解脱出来,有效提升审计效率。
3.内部审计信息化是融入企业信息化管理大环境的必然要求。尤其是行业全面实行财务管理和会计核算的电算化后,包括管理类审计,如经营管理、物流成本等内部审计对象都融入到集中的数据中心,内部审计必须实现信息化才能有效地开展。
二、内部审计信息化总体架构设计
(一)建设目标和原则
目前,烟草行业实现了省级集中的数据中心和财务管理,通过编码映射和数据转换,构建行业内部审计工作需要的一体化平台,以便于获取被审单位的数据信息,实现对审计项目的过程、资源、成果的有效管理;在审计模式上实现四个转变:由单一的事后审计转变为事后与事中审计相结合,由单一的静态审计转变为静态与动态审计相结合,由单一的现场审计转变为现场与远程审计相结合,由单一账套审计转变为多账套综合分析审计相结合的审计模式;通过提供丰富的分析工具、审计方法和经验共享,帮助快速发现疑点线索,提升业务能力,从而整体提高内部审计的效率和质量。
系统设计遵循以下的原则:
1.统一性与适用性相结合。坚持顶层设计,保障内部审计信息化与审计对象系统的无缝对接;坚持上下结合,灵活定制,促进内部审计工作针对性和适用性。
2.先进性与易用性相结合。与数据中心相匹配,采用大型数据库技术和相应的数据仓库、数据挖掘技术;在操作层面,将分析模板定制于后台,展现友好的人机界面。
3.安全性与稳定性相结合。根据审计工作的要求,采用身份认证、数据加密、入侵检测等安全方案;通过网络隔离与连通、权限分配、备份管理等技术,保障系统稳定运行。
(二)总体架构设计
按照“总体规划,分步实施”的原则,构建内部审计信息系统总体框架,系统采用B/S结构部署,总体逻辑框架由审计对象层、数据采集层、审计应用层及门户展现层四部分组成。审计对象层包括被审计单位(部门)的所有应用信息系统,各类数据信息集成到数据中心统一管理;数据采集层通过抽取、清洗、转换、处理等数据挖掘技术,从数据中心中抽取审计项目所需信息,并传递给联网审计系统(数据分析预警平台)和审计作业系统,为数据源采集提供支撑;审计应用层提供分析预警、现场作业和日常管理的信息化支撑平台;门户展现层负责与用户交互,实现系统对外一体化。系统总体架构设计如下图所示:
(三)系统功能模块设计
在数据中心集中管理的基础上,内部审计信息系统主要实现联网监控、审计管理和审计作业三大系统模块。通过数据传输通道进行设置和定义,抽取审计对象数据,并传递给联网审计系统(数据分析预警平台)、审计作业系统中,作为联网审计、审计作业的数据源开展工作。通过联网审计预警模型,发现疑点线索,通过管理系统指出审计方向,通过作业软件进行详细审计,同时将底稿等电子文档上报至管理系统进行保存。
1.联网监控
联网监控系统核心是数据分析预警功能,一方面从数据采集转换系统获取数据源开展审计;另一方面接受审计管理系统的工作计划安排,进行工作内容部署。
监控系统通过设置风险点预警方案,关联预警对象的数据中心,根据预警的触发条件、条件检测等,抽取预警对象的账套信息、经营信息等数据,经过清洗、转换、处理,形成可能的审计疑点或重点数据,存储在疑点库中,并将系统预警或者分析的疑点线索分配给现场审计作业工具系统,作为具体现场审计的工作重点或者方向,结合审计人员经验判断,从而准确迅速地确定怀疑目标,提高效率。
2.审计管理
审计管理系统,实现对审计过程的有效控制、对审计资源的有效利用、对审计成果深度挖掘,实现和审计作业系统交互。审计过程控制涵盖审计准备、审计实施、审计报告和后续审计全过程;审计资源管理整合了审计工作所需的各种资源,能够对审计工作提供完整、有效的信息支持,包括审计人才库、部门信息库、审计对象库、法律法规库、公司制度库、审计经验库、审计方案库、审计案例库八个资源库;审计成果体现在按照管理要求快速生成审计报表,能够以多种格式输出,为领导决策提供有力支持,另外,审计成果还体现在以审计项目为单元的档案管理,支持审计项目信息和过程的回溯,并根据权限提供项目信息共享。
通过审计管理系统还支撑年度审计计划的申报与审批、审计文书档案的管理、业务台账的统计汇总和基础报表的自动生成,并完成人力资源综合管理、审计任务的资源调配、审计人员履行职责的考评等。
3.审计作业
审计作业系统是由一系列的作业工具构成,包括审计数据采集与转换、审计查账、数据分析、审计底稿等外勤审计作业工作的处理;并将联网监控系统(数据分析预警平台)中分配的审计线索作为审计重点,进行有针对性的开展审计,同时将审计过程中产生的审计底稿传递到审计管理系统中。
通过审计作业系统辅助一线审计人员完成审计项目,实施电子财务数据、业务数据的采集转换,运用查询、分析、报表、计算等丰富的审计工具完成审计抽样和数据分析,提高审计工作效率。标准化的审计作业程序引导与控制规范了审计工作过程,降低审计风险。层层归集的基础信息及统计台账通过系统接口与审计综合管理信息系统无缝集成并实现现场审计作业数据与远程公司审计部之间的数据交互和共享。
三、结束语
当前,各个领域开展内部审计信息化建设的研究实践很多,成果也很丰硕。如何实现内部审计信息化的顺利转型,一方面,要结合烟草行业实际,统一规划,整体推进,在进一步完善数据中心建设的基础上,探索新技术、新思路,积极开展信息化支撑的风险导向性管理审计,拓宽审计领域;另一方面,要逐步突破审计人员的思维方式转变和自身能力提升,从审计技术和审计模式两个层面力求创新,努力促进行业内部审计工作上水平。
参考文献:
[1]审计署关于进一步加强审计理论研究工作的意见(审科发[2011]40号),2011(4).
[2]内部审计具体准则第26号――信息系统审计.
[3]金冬成,臧日.持续审计在内部审计中的实现方案探讨[J].中国内部审计,2011(2).
[4]曹燕,常京萍.企业内部审计信息化战略研究[J].会计之友,2010(10).
[5]吴埠.审计信息化及其架构探析[J].中国管理信息化,2007(12).
[6]彭胜华.计算机审计的内涵和目标[J].审计与理财,2007(5).
篇8
关键词:上市公司;内部审计;审计报告
上交所2010年年报工作通知中的要求是:“在本所上市的“上证公司治理板块”样本公司、发行境外上市外资股的公司及金融类公司,应在2010年年报披露的同时披露董事会对公司内部控制的自我评价报告(以下简称“内控报告”)。本所鼓励其他有条件的上市公司(特别是拟申请加入“上证公司治理板块”的公司)在2010年年报披露的同时披露内控报告。鼓励上市公司聘请审计机构对公司内部控制进行核实评价,公司聘请审计机构对公司内部控制进行核实评价的,应披露审计机构对公司内部控制的核实评价意见。”
深交所2010年年报工作通知中的要求是:“上市公司应按照《企业内部控制基本规范》(财会〔2008〕7号)和本所有关规定出具年度内部控制自我评价报告。内部控制自我评价报告应经董事会审议通过,公司监事会、独立董事、保荐机构(如适用)应对公司内部控制自我评价报告发表意见。中小企业板和创业板公司应当至少每两年要求会计师事务所对公司与财务报告相关的内部控制有效性出具一次内部控制审计报告。”
2008年颁布的《内部控制基本规范》提出上市公司可聘请会计师事务所对内部控制的有效性进行审计。2010年4月《企业内部控制配套指引》指出企业“应当聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告”,同时给出内部控制审计报告的参考格式。
上市公司是我国的一个特殊群体,由于其资源的独特性和稀有性,以及在资本市场上具有的融资便利性,凭借其特殊的市场地位,得到了地方政府和银行信贷的各种政策的支持和扶持。但是,由于种种原因,集万千宠爱于一身的我国上市公司的整体业绩,国际上从“安然”到“世界通信”,这一系列的财务欺诈案件的曝光,让广大投资者对上市公司财务报告的信心崩溃。如何确保财务报告的真实、可信性,是内部审计人员要重点加以研究和解决的事情。由于内部审计是上市公司财务报告的最初检验者,审计的质量如何,关系到上市公司的声誉和形象,因此,上市公司的内部审计可以说是任重道远。
一、上市公司出具内部审计报告的必要性分析
1.上市公司内部审计报告现状
内部审计报告是公司开展内部控制审计的理论方向,其对上市公司顺利开展内部控制审计起着至关重要的积极作用。内部审计报告是指内部审计人员,依据审计计划对被审计但是实施必要的审计程序后,就被审计单位经营活动和内部控制的适当性、合法性和有效性出具的书面文件;其内容包括审计概况(审计立项依据、审计目的和范围、审计重点和审计标准)、审计依据(开展审计时所要遵循的国家相关法律、法规和制度机制)、审计结论(依据已查明的事实,对被审计单位经营活动和内部控制所作的评价)、审计决定及审计建议;其具有七大显著特征:正确性、客观性、完整性、清晰性、及时性、建设性以及重要性;其制定分五大步骤:整理分析工作底稿、拟定审计报告提纲、撰写审计报告初稿、征求被审计单位意见以及审计并签发审计报告。
2.上市公司内部审计报告特征
基于内部审计报告隶属于自愿披露性质,因此,内部审计报告披露的过程实质上为健全与本公司财务报表相关的内部控制制度,确保公司内部控制信息的准确性、高效性、完整性。同时,也一定程度上揭示了内部审计报告滞后是引起财务报告质量不足或者公司未能够实现预期的财务管理目标的主要原因,从而,严重制约了上市公司的健康、稳定发展。为解决这一不良弊端,我国上市公司聘请注册会计师提供内部审计报告,通过加强内部审计报告披露进一步强化内部控制信息披露的质量,进而,将真实、准确的内部控制信息传递给上市公司领导者,增强上市公司领导决策的高效性、正确性。
3.随着上市公司资产规模增加的需求主动披露内审报告
随着公司总资产规模的增加,管理层会越来越倾向于披露自愿性质的内控审计报告。公司总资产的增大,使得公司有更多的资产投资于内部控制的设计、维护和实施当中,而这种做法很明显的会提供公司内部控制的质量。随着内部控制质量的增加,管理层会倾向于向市场传递公司内部控制优秀的信号,以换取市场对管理层努力的肯定。同样,随着公司规模的增大,对于内部控制的需求也在不断的增大,很难想象一个跨国公司没有完善的内部控制,投资者会用脚投票,只有完善的内部控制,才会吸引投资。所以出于内外两方面的压力和动力,总资产规模大的公司会倾向于披露内部控制审计报告。
二、上市公司内部审计报告存在着问题
1.上市公司内部审计报告缺乏必要的审计指引
基于上市公司缺乏具体的审计指引,以至于注册会计师在审计时鉴证对象不明确以及审计报告格式未确定。研究调查上市公司内部审计报告发现:现行相当一部分内部审计报告以“我们接受委托,对后附的XX股份有限公司管理层在20XX年12月31日作出的内部控制有效性的评估进行了签证”开头;明确了上市公司管理层的责任:以财政部颁发的《企业内部控制基本规范》及相关规范和有关法律法规的规定为依据,设计、实施和维护有效的内部控制,并对其有效性进行合理评估;明确了上市公司注册会计师责任:立足于鉴证工作的基础之上对XX公司上述内部控制的有效性提出可行性鉴证意见;出具鉴证结论:XX公司依据财政部颁发的《企业内部控制基本规范》及相关规范建立的内部控制制度于20XX年12月31日在所有重大方面保持了有效的内部控制。
2.内部审计报告中缺乏非财务报告内部控制。内部审计报告由财务报告内部控制和非财务报告内部控制共同构成。研究调查显示,我国大多数上市公司在制定内部审计报告时,过于重视财务报告内部控制,忽略了非财务报告内部控制的重要性,以此,一定程度上削弱了内部审计报告的高效性。
3.内部审计报告中披露的大都为标准审计意见。现阶段,我国上市公司内部审计报告中主要具有四种参考格式:标准格式、否定意见格式、带强调事项段的无保留意见格式以及无法表示意见格式。在样本数据中,我国上市公司均采取无保留审计意见格式,究其原因在于上市公司大都不愿意自主披露非标准审计意见的报告,同时,会计师事务所未能够保持独立性,多为附和被审计公司的要求而出具无保留意见,以至于我国上市公司内部审计流于形式,无法充分发挥其职能。
4.内审报告中极少涉及非财务报告内部控制
企业内部控制审计指引指出.在内审报告中应增加“非财务报告内部控制重大缺陷描述段”.意味着企业内部控制审计的范围应包括非财务报告内部控制。然而上市公司中内审报告简单提及非财务报告内部控制.其余报告均只是认为企业在重大方面保持了与财务报表或财务报告有关的内部控制的有效性.对非财务报告的内部控制并无涉及。这与内部控制配套指引尚未正式在上市公司实施有关.更是因为长久以来人们将内部控制片面理解为与财务报告有关.忽视了非财务报告的内部控制。
5.其他问题
上市公司盈利能力、财务报告质量是我国上市公司内部审计信息披露的重要影响因素,其表现在于:第一,对于盈利能力和财务报告质量较高的上市公司而言,其内部审计信息披露力度越大,此时,一旦出现财务状况异常势必造成其股票交易受到证监会特别处理的上市公司和第一大股东持股比例偏的上市公司披露内部审计信息可能性降低;第二,上市公司缺乏足够的证据表明公司规模是上市公司内部审计信息披露的影响因素;第三,上市公司未能够将内部审计信息披露落实到位,其高效性难以充分发挥。
三、完善我国上市公司内部审计报告的相关建议
1.增强会计师事务所独立性。由上述可知,我国会计师事务所未能够保持独立性,多为附和被审计公司的要求而出具无保留意见,针对于其现象,一方面,我国上市公司会计师事务所需进一步加强注册会计师的职业道德和相关专业技能知识教育、再培训,切实实现注册会计师思想和能力的独立性;另一方面,会计师事务所需定期接受注册会计师协会的监督和管理。
2.转变上市公司对内部控制审计的认识。无论是上市公司还是会计师事务所均需树立其正确的内部控制审计观,充分认识到非财务报告内部控制的重要性,确保上市公司能够立足于非财务报告内部控制和财务报告内部控制的基础之上开展内部审计报告制定,从而,全面调动上市公司内部审计报告的高效性。
3.完善上市公司内部控制审计准则。现阶段,我国上市公司内部审计报告仍存在一定的瑕疵,大大的削弱了内部审计报告职能。该形势下,完善上市公司内部控制审计准则已是不容忽视,即内部控制审计准则的完善需结合上市公司的实际情况,通过不断加大内部审计报告披露力度,推进上市公司内部审计报告名称和格式的统一性。
4.加强上市公司内审报告披露其他措施
针对上述上市公司内审报告存在的其他问题,本文采取有效的措施予以解决:一是强制性加大上市公司内部审计信息披露力度,切实规避上市公司披露流于形式的不良现象;二是充分发挥证监会职能,确保统一对上市公司内部信息披露的内容和格式,持续规范上市公司的披露行为;三是证监会进一步加强监督刮泥,一经发现上市公司和注册会计师内部审计信息披露过程中的不法行为,依照国家相关法律法规予以严惩。
参考文献:
[1]王艳华:浅析内部审计报告的基本模式[J].现代商业, 2010,(15).
[2]张亚琴:论如何提高内部审计报告质量[J].经济师, 2009,(06).
[3]吴华萍:浅析内部审计报告的编制[J].无锡职业技术学院学报,2008,(05).
篇9
【关键词】COBIT;会计信息系统;内部控制
一 、COBIT简介与浅析
COBIT(Control Objectives for Information and related Technology,信息及相关技术控制目标)是目前国际公认的最先进、最权威的安全和信息技术管理和控制的标准。普华永道的《2006年全球信息安全状况报告》中统计,全世界63%的公司采用了COBIT控制框架标准,这一比率是IT控制框架采用率最高的。COBIT是由信息系统审计和控制协会(Information System Audit and Control Association,ISACA)( isaca. org)下属的IT治理研究院(ITGI,Information Technology Governance Institute)(itgi.org)开发和的,旨在为IT 的治理、安全和控制提供一个普遍适用的公认的标准,以辅助企业管理层进行IT治理。自COBIT 问世以来,先后经历了1998年、2000年和2006年的修改补充,2007年5月,ITGI了COBIT 4.1,它从IT治理的角度,从更高的层面上来指导管理层进行IT控制和信息系统管理。由于一方面全球信息化的加剧和我国信息化的发展,另一方面COBIT对信息系统控制与审计又有着很好的指导作用,所以当前介绍和引进COBIT对于推动我国信息化的健康发展有重要的意义。
COBIT 4.1主要是由4部分组成:框架、控制目标、管理指南和成熟度模型。其相互关系如图1所示。
COBIT是由相互关联的各组成部分有机结合在一起的,能够为不同的顾客群提供有关治理、管理、控制和保证方面的需要。下面对其组成部分逐一介绍分析。
1. 框架(Framework)
COBIT将IT过程、IT资源、与业务要求相适应的IT目标结合起来,形成一个三维的体系结构,如图2所示。与业务要求相适应的COBIT的IT总体控制目标具体是有效性(Effectiveness)、高效性(Efficiency)、机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、符合性(Compliance)、可靠性(Reliability);IT资源主要包括应用系统(Applications)、信息(Information)、基础设施(Infrastructure)和人(People);IT过程则是在与业务要求相适应的COBIT的IT总体控制目标的导向下,对信息及相关资源进行规划和处理,从信息技术的计划与组织、获取与实施、交付与支持、监控与评价等4个方面确定了34个信息技术处理过程。实际上, COBIT的IT控制目标的实现就是在IT过程中管理IT资源来完成的。图3详细地描述了完整的COBIT框架,显示了COBIT的处理模式是如何根据业务和治理要求来管理IT资源并使之给业务传递信息的,该模式由4个领域构成,包括34个一般过程。
2. 控制目标(Control Objectives)
从领域、过程和活动3个层面对总体目标进行分解,通过对特定的活动实施控制,以实现预定的系统目标。为有效地进行IT治理,在COBIT框架内部通常将需要进行管理的活动和风险分为4个领域,即计划与组织(Planning and Arrangement)、获取与实施(Acquisition and Implementation)、交付与支持(Delivery and Support)和监测与评价(Monitoring and Evaluation),领域目标按34个过程进行细分,根据每一个信息技术过程所涉及的系统资源,确定出相应的控制目标;针对每一个信息技术处理过程进一步细分为若干任务,确定出210个具体的控制目标。针对这些具体的控制目标,COBIT提供了详细的系统管理策略,包括具体要采取的措施以及要考虑的问题等。这3个层次的控制目标体系使系统管理目标更清楚、更明确,更有操作性。COBIT覆盖了整个信息系统的全部生命周期,涵盖了战略、战术与操作的所有层次,处于各个阶段的信息系统都可以参照使用,它所带来的益处是十分明显的,它使IT战略与组织战略紧密联系,在业务目标、信息系统、业务绩效目标之间维持平衡。
3. 管理指南(Management Guidelines)
管理指南是控制目标在企业的具体应用准则,以进行自我评价与选择,进而实施并完善对信息及相关技术的控制,其目的是对IT业务活动进行有效控制,使IT与业务活动保持高度一致,并通过传递组织所需要的信息使业务活动得以进行。管理指南给出了度量信息系统生命周期各个IT控制过程的安全、可靠与有效的指标体系。
4. 成熟度模型(Maturity Models)
对IT过程进行管理和控制的成熟度模型是评价组织的一种方法。它划定6个成熟等级,如图4所示。每一个成熟度等级都规定相应特征,企业可以结合自身的特点,界定出本企业的当前状态。该方法来自于软件工程研究所(Software Engineering Institute,SEI)为软件开发能力所定义的成熟度模型,但COBIT只是借助于能力成熟度模型(CMM)的形式来为其IT管理过程的性质界定出成熟度等级。在COBIT 4.1中,34个IT治理过程都规定了自己的具体模型。
二、IT环境下,加强会计信息系统内部控制的必要性
1. 会计信息系统的演进
会计信息系统的产生和发展是社会经济、技术发展的必然产物。从会计数据处理工具与处理模式来看,会计信息系统的发展可分为3个阶段:一是手工会计信息系统阶段,二是机械会计信息系统阶段,三是计算机会计信息系统阶段。杨周南教授认为计算机会计信息系统阶段又可分为3个阶段:一是电子数据处理阶段,二是综合数据处理阶段,三是决策支持与专家系统阶段。
2. 会计信息系统的定义和特征
会计信息系统(Accounting Information System,AIS)是一种面向价值信息和基于会计管理活动的系统,是在计算机软件和网络环境下,采用现代信息处理技术的一个人机交互的管理信息系统。其基本特征如下:
(1)AIS以符合会计管理工作和会计变更的需求为主要目标。
(2)AIS以解决企业会计核算和管理所面临的问题为主要功能。
(3)AIS以现代计算机硬软件和网络平台为处理环境,由人(含会计人员)、信息技术设备(含数据文件)和运行规程三要素组成,其核心部分是功能完备的会计软件。
(4)AIS能充分利用现代信息处理技术,自动(或半自动)采集、存贮、处理、分析、传递和反馈会计信息。
3. 会计信息系统所面临的风险
在IT环境下,由于与传统的手工操作环境有了很大的差别,会计信息系统面临着前所未有的风险。主要有以下几类:
(1)疏忽差错(Unintended Errors)。系统操作员或交易执行员在经济业务资料的输入与处理过程中,由于缺乏必要的上岗作业培训或身体状况欠佳等原因造成的非故意差错。
(2)蓄意差错(Deliberated Errors)。蓄意差错也就是故意性差错,实质就是舞弊,是不正当的或违法的。在信息的输入—处理—输出的流程中,甚至在软件的开发与研制过程中,都可能产生这种差错。它不仅对有关数据或输出信息的正确性与可信性造成影响,而且还可能导致企业资源的短缺损失和掩饰有关盗窃行为。
(3)疏忽性资产毁损(Unintended Asset Damages)。企业数据资料记录可能承受非故意的毁损,比如存储于硬盘中的应收账款记录未作备份,可能因偶然的断电故障这类偶发事件而消失。
(4)安全措施破坏(Breaches of Securities)。未经授权许可的人员可能非法接近企业的交易资料与其他记录。电脑“黑客”通过互联网擅自进入企业的计算机系统窃取、篡改或恶意破坏交易资料或记录,以及未经授权员工私自偷阅未设定密码或口令保护的企业员工薪金报告等。这种风险可能在被竞争对手窃取本单位的重要资料时造成极为严重的后果。
(5)暴力(Forces)。暴力的存在来源于外界人士(如恐怖分子)和怀有怨气的现有员工或已遭解雇员工的报复行为。如损坏会计信息系统或销毁企业的客户往来档案记录等。其后果可能是毁损企业的资产和资料,甚至导致经营过程中断以及企业的破产倒闭。
基于以上风险,IT环境下的会计信息系统加强内部控制具有前所未有的必要性,具体如下:
(1)IT环境下电脑操作隐形化和无纸化存储介质的缺陷。
(2)IT环境下内部稽核削弱。
(3)IT环境下会计工作质量有赖于计算机硬软件系统自身的可靠性及会计人员本身的操作水平。
(4)管理型会计软件的发展对内部控制提出了新要求。
(5)网络财务是IT环境下的新型管理模式,其安全性和保密性有赖于建立健全有效的内部控制。
三、借鉴跨国公司经验,运用COBIT,加强我国企业会计信息系统的内部控制
1. 保诚公司的经验分析简介
保诚公司于1848年在英国成立,它是目前全球领先的金融服务大鳄和在亚洲领先的欧洲寿险公司。随着其资产管理业务的快速增长,保诚公司(亚洲)在亚太地区的12个国家里拥有了9 000多位员工,除了在新加坡有一个区域分中心之外,它还有两个关键的区域IT中心,其中一个在马来西亚,另一个在中国大陆。
保诚公司亚洲地区的资讯科技部长罗德里格斯在2005年首次引进COBIT。他在香港领导着一个区域IT小组,该小组拥有6名成员。由于得到这个区域IT小组的支持, 保诚的CEO及其委员会成员同意采用COBIT的倡议,他们强烈地支持采用更好的IT框架、系统和程序以在整个地区给公司提供更好的竞争优势。“COBIT是一个非常简单而强有力的管理工具,它让我们实现我们的目标”,罗德里格斯说。
罗德里格斯还认为,“一个好医生是一位能够清楚地向她或他的病人解释如何保持健康的人,同样,一个好的IT专业人员是能够使该项目对一个公司观众来说容易得到理解的人。毫无疑问,我认为COBIT是允许我获得这种能力的工具,利用COBIT,我相信我们能为保诚建立一个更好的IT和公司责任的文化。”
虽然保诚实施COBIT仍在进行之中,但是,很显然,罗德里格斯已经获得了一些经验,具体如下:
(1)IT治理:泛区域战略构成、一致性;
(2)削减成本:减少重复;
(3)安全:区域客户资料管理;
(4)外包:为外包业务伙伴提供适当债务;
(5)沟通:让广大的公司员工易于理解各种术语;
(6)业务增长:为领导者提供了一个更安全、更一致的全面IT环境,以使其把精力集中在可增加企业价值的解决方案上。
上述这些经验显然是对整个保诚公司(亚洲)的IT治理而言的,但是可以看到其中一些经验对会计信息系统的内部控制和审计具有指导意义。
2. 勇于开拓,争取早日构建基于我国实际情况并与国际接轨的COBIT框架
随着我国经济的迅速发展和经济全球化的突飞猛进,近年来我国已逐渐重视企业内部控制,特别是2006年,被业界称为中国的“内部控制年”。财政部牵头联合发起成立了企业内部控制标准委员会,并邀请行政机关、高校、社会团体以及大中型企业的专家兼职咨询。该委员会了《企业内部控制规范》(征求意见稿),包括基本规范和一系列具体规范,并专门针对信息系统内部控制制定了《企业内部控制规范第××号——计算机信息系统》(征求意见稿),包括总则、岗位分工和授权批准、信息系统开发、变更与维护控制、信息系统访问安全和会计电算化及其控制等6部分。另外,财政部还于2006年颁布了新审计准则《中国注册会计师审计准则第1633号——电子商务对财务报表审计的影响》,针对电子商务环境下的信息系统审计进行了规范,其中第5章“对内部控制的考虑”里,提到了“注册会计师应当按照《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》和《中国注册会计师审计准则第1231号——针对评估的重大错报风险实施的程序》的规定,考虑被审计单位在电子商务中运用的与审计相关的内部控制”。这些标准或规范只是为本专业的内部控制提供了一个应用指导,在一定程度上为进行IT治理环境下的内部控制发挥了一定的作用。但是,从综合的 IT治理或IT内部控制来看,还没有形成一个能够满足各方面要求,适应各种需要的综合的、完整的、系统的框架。目前虽然有些在国际上有显著影响力的IT服务公司使用自己制定的标准或框架,如IBM公司使用IBM IT Process Model( IBM流程模型);HP公司使用HO ITSM Reference Model(HP服务管理参考模型);微软使用Microsoft Operational Framework(MOF,微软运营框架),但是国际上绝大多数公司都使用主流的像COBIT这样的IT治理标准。因此,有必要建立我国自己的COBIT框架,一方面是提升我国公司的管理能力,提高其经济效益,使其不断发展的需要;另一方面,也是我国企业走出国门融入经济全球化大潮中去的需要 。
主要参考文献
[1] 杨周南等. 会计信息系统[M]. 北京: 经济科学出版社,2004.
[2] 杨宝刚. 会计信息系统[M]. 北京:高等教育出版社,2001.
[3] 蔡传勋. 会计信息系统[M]. 大连:东北财经大学出版社,2004.
篇10
【摘要】本文主要讲述了美国《萨班斯――奥克利法》中创立的公共公司监督委员会PCAOB对财务报告内部控制审计准则实施中应注意的问题。
一、PCAOB财务报告内部控制审计准则的颁布
2001年安然事件及其随后的一系列公司经营失败事件严重地损害了事发公司相关利益者的利益,极大程度地撼动了世人对美国资本市场稳定性和公允性的信念。为了应对这一严重后果,美国国会于2002年7月30日颁布了由其总统签字的《萨班斯――奥克利法案》(下称“法案”)。内部控制的失败,特别是财务报告内部控制的失败是法案中国会最关注的、予以处理的问题,因此法案404(a)条款要求公司管理当局评估和报告公司的财务报告内部控制;法案404(b)条款要求公司的独立审计师对公司管理当局的财务报告内部控制的评估进行鉴证,并报告其鉴证结果。法案还为监督公司独立审计师创立了一个新的委员会――公共公司会计监督委员会(PCAOB),并责成其制定法规将公司执行主管、公司董事、律师和会计师的责任法规化。
法案103(a)(2)(A)和404(b)条款指令PCAOB建立职业准则指导独立审计师的鉴证。因此,自PCAOB成立起,就对上市公司管理当局的财务报告内部控制评估事宜倾注了极大的关注和努力。在2003年4月,PCAOB采用原有的职业准则作为该委员会的临时准则,包括一个指导审计师鉴证内部控制的准则。为了更好地关注法案要求和评估现有的临时准则,PCAOB在2003年7月29日召开了公开讨论会,讨论和听取与财务报告内部控制报告和鉴证有关事宜的问题与观点,与会人员有上市公司、会计师事务所、投资机构和监管组织的代表。根据会议结果,综合各方代表的意见与建议,PCAOB认为PCAOB所确立的原有内部控制鉴证准则并不能充分完成有效履行法案404(b)条款之要求,PCAOB自身也不能适当解除法案103条款下的准则制定义务。因此,PCAOB在2003年10月7日制定了一个题为“连同财务报表审计的财务报告内部控制审计”的准则征求意见稿,在准则征求意见期间,PCAOB一共收到来自审计师、投资者、内部审计师、发起人、监管者和其他人等的193份评论。在综合分析与考虑所收到的评论和履行法案的规定要求后,PCAOB于2004年4月9日正式了审计准则No.2准则“连同财务报表审计的财务报告内部控制审计”。要求被证券交易法12b-2所认定为加速递交的公司会计年度结束于2004年12月31日或之后的就要遵循萨班斯法案404条款规定的内部控制报告和披露。(其他公司直至会计年度结束于2005年12月31日或之后才遵循内部控制报告和披露的规定。)因此,受聘于审计加速递交人会计年度结束于2004年12月31日或之后财务报表的独立审计师也要求审计和报告公司同期会计年度的财务报告内部控制。
二、PCAOB财务报告内部控制审计准则实施中要注意的问题
自PCAOB审计准则No.2准则“连同财务报表审计的财务报告内部控制审计”颁布实施以来,历时虽不久,但是所反映出来的问题却很多,以下只是从审计师遵守该准则执行具体业务的视角,简单讨论了审计师为了更好地遵守准则完成所聘业务应该注意的问题。
(一)努力整合财务报告内部控制审计与财务报表审计
法案404(b)要求公司外部审计师对其管理当局的财务报告内部控制评估予以鉴证并报告, PCAOB的审计准则No.2要求审计师对管理当局财务报告内部控制的评估进行审计并报告审计结果。根据PCAOB的观点,审计师对管理当局财务报告内部控制有效性评估报告的鉴证业务与财务报告内部控制审计是一样的,检查管理当局财务报告内部控制评估的鉴证业务所要求的工作与财务报告内部控制审计所要求的工作也是一样的。财务报告内部控制审计的目标是审计师就管理当局对财务报告内部控制有效性的评估报告是否在所有重大方面公允表达表示意见,财务报表审计的目标是审计师就被审单位的财务报表是否在所有重大方面公允表达表示其专业意见。为了取得公允、可靠的财务报表,内部控制必须设计良好的以监督记录准确、公允反映交易和公司资产的处置;内部控制必须能够为交易记录足以遵守GAAP编制财务报表、现金收支只有在管理当局或董事会授权才能处理提供合理保证;内部控制必须确保设计好控制能够预防或侦查盗窃、未授权使用或处置对财务报表有重大影响的资产等等。换而言之,如果公司管理当局能够证明他们运用充分的内部控制簿记,为编制准确的财务报表准备了充分的簿记和记录,坚持了关于使用公司资产的规则等,则投资者对公司的财务报表将会有更大的信心。正因为这样,法案404条款才要求公司管理当局评估和报告其财务报告内部控制,并要求公司独立审计师对管理当局的评估表示鉴证意见,也就是说,为利益相关者和社会公众依赖管理当局对公司财务报告内部控制的表达提供一个独立理由。可见,无论是财务报表审计,还是财务报告内部控制审计,其终极目标是一样的。为此,404(b)条款要求不能将审计师对管理当局财务报告内部控制的鉴证视为一个孤立的业务。
更重要的是,这二者所涉工作之间的关系是你中有我、我中有你、互为影响、紧密联系的。整合财务报表审计和财务报告内部控制审计,就是通过同一过程同时实现两种审计的目标。财务报表审计中,准则要求审计师必须获得对被审单位内部控制的了解,并对之进行风险评估,以确定随后需要进一步执行的审计程序。而遵守404条款的公司审计师就不仅仅是获得内部控制的了解,而且要检查内部控制设计和运行的有效性,并就其有效性表示意见。可见,这两种审计不仅终极目标是一致的,而且其间过程也是血肉相容的,努力整合它们可以降低审计成本,提升整个审计过程的有效性。如财务报告内部控制审计中审计师对内部控制的检查,可以通过财务报表审计的结果得以证实;另外,在财务报告内部控制审计过程中得到的审计结果和结论又可以帮助审计师更好地计划和执行那些设计来确定财务报表是否公允表达的审计程序。二者相互补充、互为强化,更好地改善了公司财务报告内部控制以及财务报表的审计质量。
在现有的审计实务中,由于种种原因,一些审计师未能充分整合这两种审计,事实证明这不仅浪费审计资源,还将危及整体审计质量,甚至有很大可能错过那些能够识别和根除处于萌芽状态的会计或报告问题。
(二)重视并努力提高职业判断能力
本质上说, PCAOB的审计准则No.2与其他审计准则并无多大差异,也在准则中规定了相对具体的审计方案。遵循这一准则,审计师也能够量体裁衣地编制足以应对审计客户性质和复杂性的审计计划,其前提就是审计师要充分运用自己的职业判断能力。但是,现有的审计相关实务所反映出来的是:有很大一部分审计师所使用的是一种“以一应万”的、与具体问题和具体客户财务报表过程风险无多大关联的标准化式的“清单驱动”审计计划。这种计划编制模式,最终的结果是导致审计费用增加,审计资源配置不科学。如安排项目小组中的助理人员花很多的时间去测试细节处理层次的控制;这种计划很少调查可能识别财务报告问题的重大控制薄弱点等等。这种计划最终将使得审计质量未能取得预期效果。
财务报告内部控制审计的目标是针对被审单位管理当局的财务报告内部控制评估报告是否在所有重大方面公允表达表示意见。审计师为了完成这一目标应该获得公司内部控制系统合理保证财务报表不含有重大错报的证据,在这一过程中充斥着对审计师职业判断的要求。例如审计师不仅需要运用职业判断确定如何将审计准则No.2应用于不同行业、不同规模的审计客户,还要运用其职业判断将其审计工作集中于由于错误或舞弊可能存在的更高错报风险的领域;又如,要确定财务报告内部控制设计和运行的有效性,审计师应该运用其职业判断确定内部控制缺失、重大缺失、重大薄弱点,审计师在评价财务报告内部控制缺失时,必须以合理的方式运用其职业判断,这种评价可能要适当考虑质量和数量因素。特别是,质量分析应该分解为缺失的性质、原因、所设计的控制支持的相关财务报表认定、对主要控制环境的影响以及其他弥补控制是否有效。
一个新的工作领域,审计师不仅面临着一个学习的过程,而且要面对前所未有的困难与挑战。尽管财务报告内部控制审计与财务报表审计血肉交融,但是财务报告内部控制审计对审计师职业判断的要求要高得多,且目前还有点让人无所适从之感。为了更好地履行财务报告内部控制审计这一职责,审计师应该充分重视并尽可能地提升自己的专业判断能力。
(三)强调方法的适用性和风险评估的作用
审计向来不是一种机械核对活动,财务报告内部控制审计也一样。一个好的、富有成效的财务报告内部控制审计方式应该是重视不同被审单位的具体风险,将审计资源科学地配置于最高风险领域,避免对重大账户和相关控制一视同仁而无视相对应的风险。因此,在财务报告内部控制审计中,要强调方法的适用性和风险评估的作用。为此,审计准则No.2设计了一种自上而下的风险导向测试策略方法。也就是说,准则要求审计师首先将注意力集中于公司层面的控制;然后是重大账户,这将引导审计师关注重大处理过程;最后,关注过程中、交易或应用层次的具体控制。每一步获得的了解都将指导审计师关注下一控制层次内的高风险领域。
审计师应用自上而下、风险导向的方法确定重大账户和相关的重大过程以及有关的认定。这种方法的自然结果是审计师能够对高风险领域予以更大的关注和资源。应用这种自上而下的方法,要求审计师以合理的方式运用其积累的知识、经验和判断去确认存在财务报表可能存在重大错报的重大风险领域,然后,进一步确认与此相关的控制、设计适当的程序测试这些控制。在确认重大账户和有关重大过程以确定其审计程序时,审计师一般既要考虑数量因素也要考虑质量因素。质量因素包括与不同账户及其相关过程有关的风险,除了考虑质量因素以外,审计师还要建立用于确认内部控制测试范围内的重大账户的数量限阈。审计师应该考虑与已识别的每一重大账户有关的整体风险以确定他们是否应该改变具体控制之控制测试的性质、时间和范围。这样审计师就可以排除那些不需进一步考虑的含有重大错报之概率只有极小概率的账户,使得其对低风险领域予以更少的关注,进而能够进一步降低成本,同时增加审计效果。审计师要是选择另一种无用的方法就有可能要承担审计成本增加、质量降低的风险。如从最低层开始就增加了使自己陷入最终结果对实现预防或侦查财务报表重大错报的基本目标无任何意义的测试之中,进而导致增加一些不必要的成本。
作为其风险评估的一部分,审计师还应该考虑公司层面控制的强度,以确定对这些控制所作的测试结果是否改变测试的性质、时间和范围。虽然审计师不仅仅依赖公司层面控制的测试,但公司层面控制强可以使得审计师做更少的工作,否则,他们将要执行更多的测试或要更大范围地依赖别人的工作。
(四)充分利用他人的工作
审计师自上而下地应用审计准则No.2,并适当地评估风险将能自然地识别那些需要利用他人工作既遵守准则要求又是最有效的审计方式的领域。在这些领域重复执行测试或其他审计工作可能使得审计成本不必要地增加,审计质量也没有得到相应的提高。
