首页资料文库正文

it审计论文十篇

时间：2023-03-19 06:11:52

it审计论文

it审计论文篇1

目前，现代企业经营越来越依赖信息系统，信息系统管理信息、处理业务以及存储大量的数据。也迫切需要对信息化管理现状进行全面的审计，以分析评估存在的问题，提出解决方案，完善IT风险控制，保障各信息系统的规范运作，降低信息化风险，提高业务运营的经济性和有效性。IT审计虽然区别于财务审计，运营审计等常规审计，但其审计方法论仍不可能脱离常规审计所用的方法论。也就是必须对审计目标，审计范围，审计计划等等均需进行清晰阐述，并在实施IT审计后，出具具有充分、适当的审计证据支持的IT审计报告。

一般来说，实现全面的IT审计，应当从审计对象的整个生命周期领域、审计对象及组织层次来开展。

一.IT审计范围

进行IT审计的对象包括但不限于以下领域：1.管理组织与制度；2.项目管理流程规范性，包括应用系统的开发、测试与上线管理；3.基础设施及运维管理；4.信息安全管理；

IT审计涉及的应用系统包括但不限于以下领域：1.生产系统；2.营销系统；3.办公自动化系统；

IT审计涉及的组织层次包括但不限于以下领域：1.高层决策者；2.中层管理者；3.技术部门员工；4.业务部门员工。

二.IT审计具体实施

ELC（entity level control）控制。关注客户在IT治理方面的相关组织架构是否合理，管理制度是不是健全，具体的审计程序就是获取客户的组织结构图，及一些比较虚的总纲类的书面管理制度如《IT管理制度》等等。

系统开发和变更。关注系统开发和系统后续变更实施中的控制，具体的审计程序首先就是获取系统开发及变更相关的管理制度，该文原载于中国社会科学院文献信息中心主办的《环球市场信息导报》杂志http：//总第522期2013年第39期-----转载须注名来源如调阅《系统开发制度》《系统变更管理制度》，二是关注系统开发过程的合理性，如是否经过了需求提出、可行性研究、领导层审批，系统上线之前是否经过了充分的测试，获取一些内控痕迹和表单，如《××系统需求报告》、《××系统可行性报告》、《××系统立项审批单》、《××系统单元测试报告》、《××系统集成测试报告》、《××系统上线审批单》，《变更审批单》，采取抽样后穿行测试。

操作系统及数据库控制。关注操作系统和数据库的控制，如登录时密码控制强度、敏感操作的权限分配、日志的保存。

应用系统控制。关注应用系统控制的合理性。如银行使用的综合业务系统（有的叫核心业务系统）、国际结算系统、大小额系统、信贷管理系统等等，关注其安全配置和用户权限。

接口控制与信息安全。关注其数据准确性、完整性、以及组织级的网络管理的相关制度，如防火墙的架构，内外网分离程度等。

三.IT审计依据

IT审计依据的来源基本上业界都有很充分的理论依据以及最佳实践，以下IT控制标准、法律法规、行业最佳实践都可作为IT审计的依据。

IT标准、规范及最佳实践；企业内控框架-COSO；IT治理-COBIT、ISO 38500；IT规划与架构设计-Zachman、TOGAF、FEA；IT应用系统开发与运维-软件开发规范、CMMI、ISO9126；IT基础设施生命周期管理-网络、主机、安全等设备管理规范；IT服务管理-ITIL、ISO20000；IT项目控制-PMP、Prince2、项目监理规范；信息安全管理-ISO27001、ISO27002；业务连续性计划-BS25999、ANSI/NFPA 1600；IT应用控制-输入控制、处理控制及输出控制；IT资源协同-EAI、SOA、共享中心等……

目前，信息系统的正常运行已经成为银行业务正常运营的最基本条件之一，信息科技在有力提升银行核心竞争力的同时，信息科技风险也愈发突出和集中，信息科技风险控制已成为银行业风险管理的重要内容，而IT审计作为银行业风险管理体系的重要组成部分，其重要性和必要性已经日益得到银行业管理层的关注。

IT与其他如财务审计等不同之处，主要在于审计框架是否全面。审计过程仍遵循常规审计步骤，包括审计策划、审计准备、审计对象调查、实施审计、审计发现复核及沟通、审计报告六大步骤。

it审计论文篇2

关键词：IT审计师　计算机审计　网络审计

一、引言

信息系统审计师，也称IT审计师或IS审计师，是指一批专家级人士，既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全，又熟悉管理的核心要义，能够利用规范和先进的审计技术，对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。IT审计师是由“国际信息系统审计与控制协会（ISACA）”认证的。ISACA是国际上惟一的信息系统审计师专业组织。会员被称为信息系统审计师，也就是我们通常所说的IT审计师，其主要从事的工作包括：向客户提供与信息系统相关的服务，在财务审计中对被审计单位的信息系统的了解、测试和评价以及计算机辅助审计技术的运用等方面。一般的IT审计师都具备全面的计算机软硬件知识，对网络和系统安全有独特的敏感性，并且对财会和单位内部控制有深刻的理解。

随着计算机技术在管理中的广泛运用，传统的控制、管理、检查和审计技术都受到巨大的挑战，国际公司、专业咨询公司和高级管理顾问都将控制风险，特别是控制计算机环境风险和信息系统运行风险作为管理咨询和服务的重点。几乎所有的大型跨国公司，由于普遍使用大型管理信息系统，都非常重视对信息系统安全性和稳定性的控制。这就常常需要高薪聘请国际信息系统审计师（简称IT审计师）进行内部审计。因此，IT审计师已经成为全球范围最抢手的高级人才之一。

二、IT审计师的出现迎合了计算机审计的发展

计算机审计的发展一般要经过绕过计算机审计，穿过、利用计算机审计，网络审计三个阶段。其中前两个阶段属于计算机桌面审计系统。绕过计算机审计是指将计算机处理系统看作是一个“黑箱”。根据被审对象对计算机数据处理系统输入的原始数据，通过手工操作，将处理结果于计算机处理系统的输出进行对比，检查其是否一致，属于计算机审计的初级阶段。穿过计算机审计是对计算机数据处理系统进行审计，包括系统目的与功能需求是否达到，系统与系统设计是否先进、和实用，程序设计是否正确可靠，内部控制是否健全、可靠，管理制度是否严密、有效，文件资料是否齐全、完整等。利用计算机审计是为实施审计专门开发计算机程序，检验被审单位电子计算机程序的可靠性。网络审计是指综合运用计算机网络及其相关技术手段对网络经济及网络系统进行审查的新型审计，是计算机桌面审计系统发展的高级阶段。

随着目前电子商务等网络经济的发展和完善，网络审计势在必行。网络审计的模式，从审计的客体角度方面，是建立在网络基础上，对被审单位一定时期内全部或部分经济活动，特别是正在发展中的电子商务、电子、网络财务、网络会计等进行审计的计算机系统。它包括两个方面：其一是对被审系统开发过程进行审计；其二是对被审系统运行过程及其结果进行审计。目前计算机审计的发展大多还处在只是对被审系统运行结果进行审计，或进一步对被审系统运行过程进行审计，这样的审计是建立在假定被审系统安全、可靠基础上的。而实际上这种假定是否合理，是应当予以验证的，这种验证也就是要对被审系统的安全性、稳定性、有效性进行审计、检查、评价和提出改造建议。而这也正是IT审计师的主要工作，并且这部分工作也是一直上溯到被审系统开发过程的。因此，IT审计师的出现正好迎合了网络审计模式的需要。IT审计师虽然主要源于信息系统安全而产生，其主要工作也含有较高的计算机技术因素，但就发展来看，IT审计师的出现迎合了计算机审机的发展趋势，昭示着计算机审计不久将随着电子商务、网络财务等的全面展开而逐步发展到网络审计阶段，未来的IT审计师们也将成为网络审计的“主力军”。从这个角度上讲，IT审计师也是计算机审计发展的必然产物。

三、IT审计师在网络审计的重要作用

计算机审计发展到网络审计后，计算机审计的主要将包括网络安全技术与内部控制系统的审计、系统开发审计、程序审计、数据文件审计等四个部分。通过分析可以发现，这四个部分的内容，不同程度地与IT审计师相关联，IT审计师在其中将起重要的作用。

（一）网络安全技术与内部控制系统的审计

从Internet诞生起，信息和网络的安全性就成为关注的一个焦点。在Internet发展的每一个阶段，安全问题也都是基础性的、关键性的因素。对于网络审计，其首先遇到的也是网络的安全性测试问题。与安全性相应的还有网络系统的内部控制的测试问题，网络系统的内部控制包括一般控制和应用控制两个方面。一般控制包括组织控制、软件开发、硬件和系统软件控制、系统安全控制、维护控制和文档控制等方面的审查与测试。应用控制包括输入控制、处理控制、输出控制。IT审计师的主要工作就是利用标准、规范和先进的审计技术，对信息系统的安全性、稳定性和有效性进行测试、检查、评价和改造。IT审计师首先关注信息系统的安全性，没有安全就没有一切，IT审计师会采用各种来测试系统的安全性，并对来自内部和外部的安全隐患提出相应对策；IT审计师还要审查信息系统的稳定性，没有长期稳定性，信息系统就无法承担起激烈竞争的压力，IT审计师会提出一系列对策保证客户信息系统的万无一失；IT审计师还要鉴别信息系统的有效性，最安全和最稳定的系统不一定是最有效的系统，而效率不高的系统就会消耗大量的资源，一般情况下，一说到信息系统建设，大家都觉得是工程师或程序员的事，事实上，这是非常错误的观点。一个好的系统，在安全和稳定的前提下，必须最大程度符合企业经营流程的特点，经济、有效地解决问题和提供信息。要做到这一点，信息系统开发和维护过程中，就必须有大量的经营管理人员参与，设计出最优的信息流转路径。如果不重视信息系统的有效性，其危害同样是巨大的。一方面由于其繁琐和复杂，导致内部业务人员不会用、不想用或使用不当；另一方面使用过程中的差错又会导致稳定性和安全性方面的问题。显然，要对信息系统的安全、稳定和有效进行监控，就不单纯是某类技术人员能够完成的任务，经过专业训练，经验丰富的信息系统审计师将在这一领域发挥重要的作用。信息系统审计师的突出特点就是兼通技术和管理，能够利用规范的审计手段，比较客观和冷静地分析、评价企业现有信息系统的运行，并从专业的角度提出建议。

通过以上分析我们看到，IT审计师的工作中实际上已经包含了网络安全技术与内部控制审计的内容。进一步从IT审计师的服务对象分析，IT审计师主要是为以下几类对象服务：

软件供应商。特别是经济管理类的集成软件供应商，需要信息系统审计师参与产品设计、规划和检测，并对客户现有信息系统进行评价，提出改造设想。全球所有重要的ERP和CRM产品供应商都聘请大量信息系统审计师。

管理咨询机构。20世纪90年代以后，管理咨询的重点已经逐步为提供一揽子解决方案，其中信息系统的配置，就是解决方案成功的基础。国际知名的管理咨询机构中，有50%以上的员工熟悉信息技术，其中20%拥有信息系统审计师资格。

师审计师事务所，是信息系统审计师最早的落脚点，“五大”国际会计公司超过30%的收入来自于风险管理部门。这个部门的最主要工作就是监控客户的信息系统风险和运营风险，同时为客户提供ERP或CRM的安装、维护和培训。会计师审计师事务所中传统财务报表审计也越来越离不开信息系统审计师的贡献。没有他们的工作，评估内部控制风险和固有风险将成为一句空话。人们常常看到，“五大”会计公司里，最年轻的合伙人或经理，往往都是信息系统审计师，因为这是一项年轻人的工作。

跨国公司。作为信息系统最集中的用户，跨国公司急需大量信息系统审计师，一方面参与信息化建设的过程，另一方面时刻保持对分支机构的信息监控。还有一种最新迹象表明，跨国公司内部审计部门也在大量招聘信息系统审计师，以加强内部的监督和牵制。

大型国有企业和上市公司。这些机构往往有雄厚的财力来实现管理的信息化、保证生产经营的稳定性，他们对信息系统审计师的要求和跨国公司类似。

（二）系统开发审计

系统开发过程一般分为：系统初步调查和可行性、系统详细调查和系统、系统总体设计、系统详细设计、程序编制、程序调试、系统调试、系统转换、平行操作试验、系统评审、系统维护和评价等过程。系统开发审计是事前审计，实际上是审计人员参与系统的全过程。主要监督审查下列：（1）系统的功能是否恰当、完备，能否满足用户商务活动的需要；（2）系统的数据流程、处理是否符合有关商贸法规；（3）系统是否建立了恰当的程序控制，以防止或发现无意的差错或有意的舞弊；（4）系统是否保留充分的审计线索，保证了商务系统的可审性；（5）系统的安全保密措施和管理制度是否健全，能否保证系统安全可靠地运行；（6）系统的文档资料是否全面、完整。这部分和IT审计师的工作内容实际也是相适应的。因为IT审计师正是参与一个系统分析、设计和调试运行全过程的“保健医生”，并且IT审计师最关注系统的安全、稳定、有效。

（三）程序审计和数据文件审计

应用程序是信息系统的核心，其是否遵守国家财经法规和政策，对业务的处理是否合规、合法、正确等，均体现于应用程序。可以手工对应用程序直接进行审查，也可以使用机辅助方法，也可以通过数据在程序上的运行间接测试。电算化会计信息系统中，实质性测试的对象是数据文件。对数据库或数据文件的审计主要目的是为确保数据的完整性与正确性等。对数据文件的实质性测试包括：对各账户余额和发生额直接进行检查；对会计数据进行分析性复核，旨在对数据文件进行实质性测试；测试一般控制措施或应用控制的符合性。可以使用不处理数据文件的实质性测试方法、处理实际数据文件的实质性测试方法及处理虚拟数据文件的实质性测试方法。这两部分内容没有IT审计师的技术支持，一般审计人员也难胜其任。

四、结论

由上可知，审计业务发展至今，传统财务审计工作只是审计中一个特别小的组成部分。审计师最重要工作之一，是发现被审计单位最重大的风险隐患，在认定其持续经营的基础上，再对财务报表的真实、公允性发表审计意见。如果审计师认为被审计单位的信息系统是业务运转的平台，是风险高发区，那么对信息系统的安全、稳定和有效的评价就成为审计的基础和重点。当然，对信息系统的审计和对财务事项的审计，手段有所不同，但基本的程序和原理都是一样的。同时计算机审计的主要内容均和IT审计师有重要关联，IT审计师是开展计算机审计工作的重要推动力量。因此，我们在培养高级审计人才时，应注重IT审计师知识结构，在数学体系上增设以下内容：信息系统审计程序；信息系统的管理计划和组织；技术基础和操作实务；信息资产的保护；灾难恢复和业务持续计划；业务应用系统的开发、取得、实施和维护；业务过程的评价和风险管理等。

参考：

1.刘威，强清。关于计算机审计与IT审计师关系问题的探讨。财贸研究，2003（1）

it审计论文篇3

萨班斯法案从根本上改变了企业的经营环境和法律环境，其目的在于通过加强内部控制，来改进公司治理状况，并最终加强公司的责任。

当前it系统越来越多地对业务经营活动进行自动化处理，这就需要it提供必要数量的控制程序。因此，遵循萨班斯法案的程序需要包括基于it系统的控制程序。对大多数企业而言，it在建立与保持有效的财务报告内部控制方面将发挥重要作用。通过运用整合的erp系统，或综合运用各种经营管理、财务管理方面的软件，it系统将为有效的财务报告内部控制系统提供强有力的支持。

pcaob第二号审计标准要求了解it在内部控制环境中的重要性。它特别指出：公司在其信息系统中运用信息技术的状况，影响着公司财务报告的内部控制。

目前我国四大电信运营商全部在美国上市，他们现在正在构建法案要求的内控系统，it内部控制系统构建及评审是无法绕过的工作。完善内控，特别是电信企业信息化水平很高、业务流程依赖于it流程的背景下，重视it内部控制，完善it内部控制十分迫切。本文讨论我国公司如何依据法案的要求在短时间内构建一套it内控系统，并通过有效的it内控评价活动保证其持续健全有效，以支持ceo 和cfo 的承诺进行初步探讨。

一、萨班斯法案的要求

世通公司造假案件和安然、安达信事件震惊了整个世界，美国政府认为这是公司上下串通、内外勾结的严重结果，所以法案对公司治理、内部控制及外部审计同时做出了严格的要求。明确规定要求建立独立称职的审计委员会，管理层要负责内控系统的完善和落实，并对财务报告的真实性负刑事责任 .综观整个法案，最主要的是对公司内控系统的要求，主要体现在302条款和404 条款。法案对公司内控系统不但规定严格，而且实施要求和指南也在相续出台，如sec 于2003年6月5日根据法案的要求颁布了404条的细化条例， pcaob于2004 年3月9日第2号审计准则，对公司管理层提出了更明确的要求。

1、302条款的要求：

该条款要求由首席执行官和财务主管在内的企业管理层，对公司财务报告的内部控制按季度和年度就以下事项发表声明（予以证实）：

对建立和维护与财务报告有关的内部控制负责。

设计了所需的内部控制，以保证这些官员能知道该公司及其并表子公司的所有重大信息，尤其是报告期内的重大信息；

与财务报告有关的内部控制的任何变更都已得到恰当的披露，这里的变更指最近一个会计季度已经产生，或者合理预期将对于财务报告有关的内部控制产生重大影响的变更。

在当前环境下，it系统驱动着财务报告流程。诸如erp之类的it系统紧密地贯穿于企业经济业务的开始、授权、记录、处理和报告一整套过程中。就其本身而言，it系统和整个财务报告流程也是紧密联系的，为了遵循萨班斯法案，也要对it内部控制的有效性予以评估。

为强调这一点，pcaob第2号审计标准讨论了it以及it在测试内部控制设计合理性及运行有效性时的重要意义，并强调指出：[部分]

…内部控制，包括与财务报告中所有重要账户及披露内容相关的控制政策与程序，都应该予以测试。

一般而言，这样的控制包括it一般控制，以及其他控制所依赖的控制。

2、404条款管理要求

萨班斯法案的404条款要求，管理层在其年度文件中提供关于与财务报告有关的内部控制的年度评估报告。管理层的年度报告要求包括以下内容：

管理层有责任为企业建立和维护恰当的财务报告有关的内部控制。

识别管理层所采用的内部控制框架以便按要求评估公司与财务报告有关的内部控制的有效性。

对从一上个会计年度未以来，与财务报告有关的内部控制的有效性予以评估，其内容也包括有关与财务报告有关的内部控制是否有效的公开声明。

年度审计报告中，注册会计师事务所发表的财务审计报告，包括管理层对与财务报告有关的内部控制有效性评估的证明报告。

管理层关于公司针对财务报告内部控制有效性评估的书面结论，应包含在其对财务报告内部控制的报告和其对审计师的信函中。这一书面结论可采取多种形式，但是管理层对公司面向财务报告的内部控制的有效性必须发表直接意见

如果与财务报告有关的内部控制中有一个或多个重要缺陷，管理层将不能对财务报告的内部控制有效性做出评估结论，而且，管理层应该披露自最近一个会计年度未以来财务报告内部控制方面的所有重要缺陷。

面向财务报告的内部控制在这一会计期间可能存在一个或多个重要缺陷，但管理层仍可能会报告“从最近一个会计年度未起（上个会计年度未起），与财务报告有关的内部控制是有效的”。如果要做出这样的结论，管理层必须在评估日前已经改进了内部控制，消除了已有的缺陷，并在运行和测试其有效性后得到了满意的结果，测试的时间足以让管理层认为，从本会计年度起，与财务报告有关的内部控制设计合理、运行有效。

审计师需要合理地确定管理层的认定目标或审计目的（从而依此来收集审计证据），以支持管理层对内部控制有效性的评估结论。通过对审计师在这一过程中所应遵循程序的描述，pcaob第二号审计标准接着指出：

公司在对财务报告做出确认时需要借助于企业的it系统。为了识别管理层对财务报告所作的相关认定，审计师应考虑每个重要账户潜在错报、漏报产生的原因。在决定一个认定是否与某一重要账户余额或其披露相关时，审计师应该评价it系统的性质、复杂程度以及企业it的使用状况。

pcaob第2号审计标准还专门讲述了it在期末财务报告中运用，它指出：…要了解期末财务报告的提供过程，审计师就应在每一会计期末评估it在该过程中的应用范围。………[部分]

因此所有企业构建it内部控制至少都应具备以下三层通用要素：企业管理层，业务流程和共享服务。

二、我国电信运营企业面临的挑战

由于电信企业的信息化水平比较高，业务对it的依赖程度也比较高。因此依照萨班斯法案要求，完善与财务报告有关的内部控制时，电信企业的内部控制几乎离不开it，即使业务控制也是在it支持环境下的控制。因此，电信企业完善内部控制几乎可以说是完善it内部控制，包括it一般控制和it应用控制。但我们的现状不容乐观。

1. it专业人士，尤其是管理层，缺乏内部控制理论与实践来满足萨班斯法案的要求。

法案的要求使很多人认为，it专业人士应该对其负责的it系统所产生的信息质量及完整性负责，但问题在于，大多数it专业人士对复杂的内部控制并不精通或了解，难负其责。尽管这并不说明it人员没有参与风险管理，但至少it管理层没有按照组织管理层或审计师所要求的形式进行正式的、规范化的风险管理。 pcaob指出首席信息官（cio）们现在必须面对以下的挑战：（1）增强他们有关内部控制方面的知识；（2）理解企业所制定的总的sox遵循计划；（3）专门针对it控制拟定一个遵循执行计划；（4）把这个计划与总体的sox遵循计划相整合。

2 缺乏系统的内部控制制度

事实上，每个电信企业都或多或少会都有一些it内部控制制度，正是由于第一点原因，这些制度基本是由技术管理者制定，他们缺乏规范化风险管理的经验，这些it控制制度可能不太规范，控制政策程序不太完善， it控制制度一般存在于系统安全和变更管理等一些一般控制领域，缺乏从公司透明度角度出发的、结合支持业务流程的完整的内部控制制度。所以这也是在国内企业在符合萨班斯法案的道路上，问题最多的领域。

3.现有的it内部控制不具有可审计性

it审计论文篇4

一、引言

IT审计（Information Technology Audit）是信息技术应用于审计实务产生的新概念，人们对IT审计的理解是逐步深入的。我国国家审计中相对于IT审计的提法一般为计算机审计，自上世纪80年代以来的探索和实践过程中，也先后出现过会计电算化审计、计算机辅助审计、计算机数据审计、信息系统审计等诸多与IT审计相关的称谓，国外则有EDPA、CAA、ISA、ICTA等各种提法。笔者认为，结合我国国家审计的职能和特点，IT审计可以定义为利用信息技术组织开展的审计。这一提法可以较为全面、准确地定义信息技术在国家审计实务中的应用，同时也是世界审计组织（INTOSAI）及其IT审计工作组各成员国最高审计机关普遍认可和采用的提法。

由于各国国家审计机关在IT审计的定位和侧重等方面存在差异，其组织形式和实施模式也不尽相同。世界审计组织（INTOSAI）认为IT审计是通过获得和评估证据，确定IT系统是否保护了组织的资产，有效率地使用资源，维持数据的安全性和一致性，以及有效地达到组织的业务目标的过程，这一定位得到了各国最高审计机关的普遍认同；国际信息系统审计与控制协会（ISACA）建立了普遍适用的信息系统审计标准、指南和流程，所的COBIT已经成为国际上公认最先进、最权威的信息技术控制框架；美国审计署（GAO）将信息系统审计作为IT审计的重点，在20__年2月的《联邦政府信息系统控制审计手册》中将信息系统审计的实施分为一般控制审计和应用控制审计两个部分；英国审计署（NAO）侧重于政府IT项目绩效审计，在20__年2月的绩效审计报告中对过去十年来信息技术在政府工作中发挥的作用、面临的挑战和发展的方向进行了系统总结。

二、我国现行国家IT审计架构及缺陷

随着信息技术在社会经济生活各个方面的广泛运用，为适应信息化环境的变化，我国国家IT审计从上世纪80年代末开始起步，从无到有、从单机到网络、从探索研究到逐渐普及，在多年的发展中逐步形成了一套具有本国特色的IT审计架构和工作模式。

（一）现行国家IT审计架构。

在法理基础方面，审计法明确规定了审计机关有权要求被审计单位提供计算机储存和处理的财政、财务收支电子数据以及必要的技术文档，有权检查被审计单位的信息系统；《国家审计准则》也根据信息技术环境下开展审计工作的特殊性作出了一些特别规定，在编制年度审计项目计划和审计实施方案，实施审计检查、获取审计证据，作出审计结论、出具审计报告等环节表现出鲜明的关注信息系统、突出信息技术的特色。

在组织结构方面，以审计署为例，已经形成计算机技术中心负责组织协调和指导管理全国审计系统的信息化建设的格局，各审计业务部门负责结合审计项目开展电子数据审计。计算机技术中心不仅要配合业务部门开展计算机审计业务，同时还要承担建设、开发、推广和维护审计信息系统，以及编制IT审计规范和组织IT培训考试等各项工作。

在工作模式方面，随着现场审计实施系统（AO）和审计管理系统（OA）的全面应用，国家IT审计逐步迈入一个新的发展阶段，初步形成了利用信息技术开展大型项目组织管理，运用审计软件实施现场审计，积极探索联网审计和信息系统审计，逐步推进审计数据资源建设的IT审计模式，审计信息化水平不断提高。

（二）国家IT审计中存在的问题。

由于组织结构和工作模式还不能完全适应工作需求，与充分发挥审计保障国家经济社会健康运行“免疫系统”功能的要求相比，我国国家IT审计还存在以下不足：

1．审计业务与IT技术的结合不够紧密。

虽然计算机审计培训已开展多年，计算机审计技术也已在国家审计的各个行业、领域得到推广应用，但仍然较为普遍地存在审计业务部门过于依赖IT部门技术支持的现象，粉饰和包装计算机审计成果的情况也屡见不鲜。在审计项目中原本应由审计业务部门主导和实施的常规计算机审计工作往往过多地需要借助IT技术人员的参与，不仅不利于各行业、领域中审计业务与计算机技术的紧密结合，而且较易形成审计业务与计算机技术“两张皮”，阻碍了计算机审计技术在审计实务中的进一步深入应用。

2． IT审计部门的职能定位不够清晰。

与部分其他国家审计机关比较，目前我国审计机关还没有纯粹意义上的IT审计部门，IT部门的职能定位较为模糊。一般来说，审计机关设立的计算机技术中心、计算机审计处、信息中心等部门同时承担了电子数据审计、信息系统审计、日常维护和技术支持等多项职能，凡是与信息技术相关的职能均由IT部门负责，因此不仅需要承担大量系统开发、维护和管理工作，还要投入精力开展计算机审计业务，IT业务需求与人力资源矛盾突出。同时，IT部门往往没有真正作为审计业务部门进行管理，在独立开展信息系统审计和IT绩效审计项目方面存在障碍，处于较为尴尬的局面。

3．信息系统审计和IT绩效审计起步较晚。

由于信息化程度的差别，美国、英国等国家广泛开展的信息系统审计和IT绩效审计在我国尚处于探索阶段。一是信息系统审计还没有成熟有效的组织方式和审计标准，同时由于掌握核心技术的IT公司为保持其垄断地位不会轻易公开其核心技术，审计人员对商业银行、大型国企等单位所使用信息系统难以了解透彻；二是对IT项目投资的审计还仅仅停留在资金审计的层面，IT项目绩效尚未开始作为一个单独的审计类别进入国家审计的范围，也没有形成系统、科学的政府IT项目绩效评价指标体系。

三、国家IT审计架构探析

IT审计的职能来源于审计工作的实际需求。国家审计机关的法定职责是监督被审计单位财政、财务收支以及有关经济活动的真实性、合法性、效益性，保障国家经济和社会健康发展的工作目标。为了适应信息化环境下国家审计履行法定职责的需要，应当构建国家IT审计的体系架构。

（一）国家IT审计架构需求分析。

前述定义，IT审计是利用信息技术组织开展的审计。一方面，利用信息技术对以电子数据为载体的财政财务收支和相关经济活动的真实性、合法性、效益性进行审计监督;另一方面，需要对记录、处理和产生电子数据的信息系统内部控制进行检查，以确保电子数据的真实、完整和可靠。于是，总体来说IT审计架构可以划分为两大类，即：利用信息技术对记载财政财务收支和相关经济活动的电子数据的审计和利用信息技术对产生电子数据的信息系统内部控制的审计。

从国家审计履行法定职责的角度看，可先组织信息系统审计，检查信息系统内部控制对产生电子数据的真实、完整和可靠性的影响；再组织电子数据审计，检查财政财务收支和相关经济活动的真实性、合法性、效益性。通常情况下，也可交叉组织实施。

1．信息系统审计。

通常情况下，信息系统审计是实施电子数据审计的必要准备，属于结合电子数据审计的信息系统审计。但对于电子政务工程建设项目、企业ERP建设项目的审计，需要对项目建设的信息系统的规划、设计、研发、实施、运行、维护等全过程，对信息系统的应用系统、信息资源、网络系统、安全系统、运行服务系统等各组成部分，进行全面审查。此时的信息系统审计并不结合电子数据审计，属于独立的信息系统审计。因此，信息系统审计可划分为结合式和独立式两种方式。

结合式的信息系统审计，其目标是检查信息系统内部控制对产生电子数据的数据风险，测评信息系统对数据的真实性、完整性和正确性的影响。由于数据式审计的运用一定是在信息化环境下，如同在纸质环境下一样，系统内部控制的合理性、健全性和有效性直接影响着数据的真实性、完整性和正确性。因此，为了控制数据风险，保障审计目标的实现，审计人员应该首先要对信息系统的内部控制进行调查、测试和评价。

独立式的信息系统审计，其目标是检查项目建设的信息系统的安全性、可靠性和经济性。据有关统计数据，20__年我国政府行业IT应用建设投资总规模达707.5亿元，同比增长14.2%，相当于奥运全部场馆建设的3.6倍，超过三峡工程15年投入的三分之一。历年政府IT项目建设投入巨额资金后，是否存在重复建设、绩效低下的情况，以及电子政务建设在提高政府行政效能和公众服务能力方面的效果如何都亟待评估。因此，除了一般意义上对被审计单位的信息系统的安全、可靠、有效和效率等进行审计之外，对信息系统和IT项目的经济性和投资绩效也应纳入独立式信息系统审计的范畴。

2．电子数据审计。

电子数据审计是以系统内部控制测评为基础，通过对电子数据的收集、转换、整理、分析和验证，对信息系统产生的电子数据及其他相关数据所记载的经济业务的真实、合法和效益进行审计。审计人员利用信息技术对被审计单位的财务数据及其他相关数据进行检查是审计机关的一项重要职责，电子数据审计的审计目标和审计范围与传统手工审计是基本一致的，只是审计的对象、方法和技术发生了变化，主要是审计机关和被审计单位双方都利用计算机作为作业工具，即一方用计算机记录财务会计核算和经营管理数据，另一方用计算机进行审计。

电子数据审计作为传统手工审计在信息化环境下的自然演化，是目前使用最多、应用最广的IT审计形式。近年来，我国各级审计机关总结审计经验，组织开发了以现场审计实施系统（AO）为代表的一批审计软件，并注重在实践中予以修改完善。审计软件的广泛应用，改进了审计手段，提高了审计效率，加强了审计工作在信息化环境下的适应能力。

另外，作为“金审工程”重要建设成果的国家审计信息系统（GAIS）已经初具规模，随着现场审计实施系统（AO）、审计管理系统（OA）、审计数据中心、网络系统和安全系统等应用的不断深化，对审计机关所属机房、网络、网站和信息系统等基础设施的建设、运行与维护，以及为审计业务和审计管理工作提供技术支持提出了更高的要求。

（二）建立适应国家审计需求的IT审计架构。

结合我国国家IT审计的实际需求，审计机关应该具备相应的组织结构，形成有效的IT审计模式开展工作。

1．开展信息系统审计的IT架构。

无论是结合式还是独立式的信息系统审计，其审计对象是信息系统本身。信息系统审计的重点是检查信息系统对其产生数据的影响，或是信息系统自身的安全性、可靠性和经济性。结合式的信息系统审计，需要对信息系统承载的业务流、数据流的技术设计和技术路径，对数据的输入、处理和输出的内部控制和安全防护等进行检查，以测评系统内控对数据影响的风险; 独立式的信息系统审计，需要对信息系统的应用系统、信息资源、网络系统、安全系统、运行服务系统等各组成部分进行检查，以测评信息系统的安全性、可靠性和经济性。由于信息系统审计的特殊要求，需要具有一定IT审计知识和技能的IT审计部门进行检查测评。

由于结合式的信息系统审计需要对信息系统承载的业务流、数据流进行检查，对数据输入、处理和输出的业务流程进行检查，即便独立式的信息系统审计也要检查项目建设的业务目标和项目投资的经济性问题，需要审计业务部门的配合和支持。因此，信息系统审计的IT架构，需要IT审计部门和审计业务部门的共同合作。通常情况下，应该以IT审计部门为主，以审计业务部门为辅。

2．开展电子数据审计的IT架构。

电子数据审计的应用范围较为广泛，核心是通过分析被审计单位财务数据和其他相关数据并取得审计证据的技术。电子数据审计的重点应该是运用计算机技术对电子数据进行分析性复核、比较和抽样，无论是现场审计还是远程审计，无论是单机模式还是联网模式，无论是简单的比较分析还是相对复杂的数据仓库技术，无论是国内的AO还是国际上普遍使用的ACL、IDEA审计软件，共同点都是利用间接测试并从关系模型中得出审计证据。

运用计算机技术进行审计为查错纠弊带来了极大便利，很容易实现对某一类数据的查询和筛选，使手工审计条件下无法做到的详细审查成为可能，同时财务数据和业务数据的结合更便于发现被审计单位管理和经营方面的漏洞和舞弊行为。由于审计对象、环境、方法和技术的变化，一方面需要审计业务部门在掌握和运用各类审计业务的知识、技能的同时，也要掌握和运用计算机审计的知识和技能；另一方面，复杂业务的计算机审计处理依赖于信息技术的审计组织模式和管理模式的运用，需要IT审计部门的配合和支持。因此，电子数据审计的IT架构，需要审计业务部门和IT审计部门的共同合作。通常情况下，应该以审计业务部门为主，以IT审计部门为辅。

四、进一步完善国家IT审计架构的几点建议

我国国家审计信息化建设正处于发展阶段，与先进国家的发展水平相比，IT审计架构还不够完善，审计理念还不够先进，在很多方面都需要借鉴国外的经验。但借鉴并不是原样照搬和全盘接受，而是应该根据自身的特点，对他国的先进经验进行批判地吸收。着眼于国家审计作为保障国家经济社会健康运行“免疫系统”的特殊定位，同时结合国家IT审计的现实情况和发展方向，国家IT审计架构应该根据工作需求进一步加以完善。

（一）逐步实现审计模式的转变。

随着计算机技术在审计实务中的广泛运用，国家审计环境、对象和方法的变化导致原有的审计模式已不再适应发展的要求，国家审计正在原有的基础上不断完善，逐步向高效率、高质量的方向发展。未来信息化审计模式的实现在很大程度上需要依赖信息技术，其与传统审计模式相比有如下特征：其一，它是一种以电子数据作为直接审计对象的数据式审计模式；其二，具有不间断性、循环性和实时性，这意味着审计活动将在一个更连续、更频繁和更及时的基础上实施；其三，可以经济地实现详细测试，在信息化环境下利用技术自动执行控制测试和风险评估的方法使得进行连续性测试成为可能。在这种情况下，计算机技术势必与传统审计的技术和方法高度融合，以计算机技术作为支撑的审计业务处理能力大大提高，信息化环境下审计模式的转变将是IT审计未来发展的必然趋势。

（二）逐步实现IT审计的专业化。

在IT审计部门的机构设置和职能定位方面，以美国审计署为例，不仅有专门的信息技术局开展信息系统审计业务，而且还有专门的信息系统与技术服务部门保障内部信息系统的运转，另外还设有技术工程和信息安全实验中心负责改善信息技术和促进软件工程现代化，评估联邦政府计算机系统的安全性。我国国家审计也应当根据实际需求进一步调整IT部门的职能定位，结合审计机关内设机构细分电子数据审计、信息系统审计、技术支持与服务等不同的机构和职能，进而逐步实现IT审计的专业化。

it审计论文篇5

在PCAOB（美国公众会计监管委员会）审计标准Ⅱ中也特别指出，IT控制设计很重要，不可低估控制设计在整个IT控制环境中的重要性，并强调IT控制能有力地支持整个内部控制环境。该标准又进一步指出：公司整体内部控制系统的有效性依赖于“其他控制是否有效”（指的是控制环境或IT一般控制的有效性）。因此，理解IT控制与IT控制体系设计的相关理念，成为企业必备的重要能力。

首先，我们定义IT控制是由期望达到的(IT控制目标)和达到这些目标的方法(控制程序)构成。IT控制目标是指通过对具体的IT活动实施控制程序，以达到期望结果或目的的总体描述。可见，事实上，有效的IT控制设计与实施指明了一个组织将信息技术条件下的风险降至可接受水平的途径。这里IT风险指的是IT使企业不能实现其经营目标的风险。

然后，我们从人员职责、IT控制的构成和IT控制对象这三个角度来理解IT控制的外延：

1．从人员职责角度看：首先是以下三类人员的职责：

 管理层――主要职责是确保控制存在并有效运行,为运营目标和控制目标的实现提供合理保证；

 低层管理者与员工――主要职责是执行控制；

 审计师――主要职责是对控制的正确性进行评估、提供改进建议及保证声明。

2．从IT控制的构成角度看：IT控制包括IT控制环境、IT一般控制、IT应用控制。

3．从IT控制对象与范围看：IT控制对象包括企业IT生命周期的所有流程。

实现IT控制，中国企业需要应对三大挑战

国内企业信息化建设速度越来越快，信息化水平越来越高，业务与财务报告流程对IT的依赖程度也随之越来越高。对大多数企业而言，运用整合的ERP系统，或综合运用各种经营管理、财务管理方面的软件，已经成为财务报告系统强有力的支持。

随着萨班斯法案的出台，财务报告的内部控制几乎离不开IT控制，即使业务层面的管理控制也是IT支撑环境下的控制。但是，信息技术是一把双刃剑，其潜在风险也越来越大，企业在建立有效的IT控制，以保证财务报告的有效性方面正面临着巨大的挑战。

但是，目前国内企业的内部控制体系多为传统的会计控制及管理控制，对IT控制缺少系统的考虑，企业的IT控制面临三大挑战。

挑战之一：CIO缺乏内部控制理论与实践。

以萨班斯法案的要求来说明，404条款的遵照执行有四个阶段：1.公司应制定内部控制详细目录，确定内部控制是否足够，然后将这些控制与诸如COSO之类的内部控制框架进行对照; 2.公司被要求记录控制措施评估方式，以及未来将用来弥补控制缺陷的政策和流程(如果有的话); 3.公司必须进行测试工作，以确保控制措施和补救手段起到预期作用; 4.管理层必须将前述三个阶段的各项活动情况汇总成一份正式的评估报告。

法案的要求使很多人认为，IT专业人士应该对其负责的IT系统所产生的信息质量及完整性负责，但问题在于，大多数IT专业人士对复杂的内部控制并不精通或了解，因此难负其责。尽管不能说IT人员没有参与风险管理，但至少IT管理层没有按照管理层或审计师所要求的形式进行正式的、规范化的风险管理。CIO（首席信息官）们现在到了不得不补课的时候了，当务之急是补充有关内部控制方面的知识，理解企业所制定的SOX遵循计划，才能专门针对IT控制拟定一个遵循执行计划，并把这个计划与总体的SOX遵循计划相整合。

挑战之二：缺乏系统的IT控制体系

事实上，每个企业或多或少都有一些IT控制制度，很多企业错误地把这些静态的控制制度等同于控制体系。现在越来越多的人认识到，我们需要的是“发现问题，解决问题；发现新问题，解决新问题”的持续改进体系。同时鉴于第一点原因，这些制度基本是由技术管理者制定，他们缺乏规范化风险管理的经验，这些IT控制制度可能不太规范且不成体系，控制程序也不够完善。IT控制制度一般存在于系统安全和变更管理等一般控制领域，缺乏从公司透明度角度出发、结合支持业务战略和业务流程的完整内部控制体系。

挑战之三：现有IT控制体系不具有可审计性

萨班斯法案相关的条款要求上市公司必须有足够的证据证明内部控制的有效性，这就要求企业必须有完善的内部控制流程及审计轨迹，在控制发挥作用的同时生成相应的文档记录，以便在对内部控制设计及运行的有效性进行评价时有足够的证据。

我国企业的IT控制程序设计及运行不具备可审计性。尽管很多企业有庞杂的规章制度，但该体系的完整性、有效性以及遵照执行情况缺少评价，或没有证据进行评价。

因此，我们构建IT控制系统时必须从全局着眼，借鉴国际内部控制框架及国际最佳实践经验，构建一套系统化、标准化、可审计、可持续改进的IT控制体系。

构建有效而持续的IT控制需要正确的理念、适合的内控框架和评估机制

对于企业，我们认为在构建IT控制体系时，需要从三个层面来考虑才能保证IT控制的有效性和持续性。为了更好地说明，笔者将以如何设计符合萨班斯法案要求的内部控制为例，来展示构建IT控制体系的主要思路，以供参考。

1. 要认识到构建IT控制体系是一个循序渐进的过程

SEC管制条款内容复杂，为了满足萨班斯法案的要求，大多数企业需要调整其员工观念和企业文化，通常也需要对IT系统及其处理流程作一些改进。改进的内容包括控制设计、控制文件、控制文件的保留，以及IT控制的评估等方面。这是一个循序渐进的过程，不能将原有的一切推倒重来。鉴于在美上市的中国企业多为国有企业，这些企业的规章制度普遍较为健全，所以对于它们而言，更为重要的是如何根据内部控制的理念和原则，结合企业的实际情况，对不符合萨班斯法案404条款的各项差距进行分析、弥补、测试和改进。这项工作的顺利开展需要企业人员具备相应的理论知识和实践经验，因此，IT控制和风险管理培训就成为贯穿始终、必不可少的一项重要工作。

2. 要选择好内部控制框架

法案并没有规定公司必须选择什么样的内控框架作为管理层评价内部控制有效性的依据, 需要企业自己选择。国际上比较有名的内控框架有英国的Turnbull、美国的COSO 和加拿大的CoCo , 它们从不同的角度剖析公司的经营管理活动, 为营造良好的内控框架提供了一系列政策和建议。PCAOB审计标准Ⅱ在“管理层用于开展其评估的内部控制框架”一节中，明确管理层要依据一个适当且公认的、由专家遵照应有程序制定的控制框架，来评估公司财务报告内部控制的有效性，SEC也从侧面认可COSO框架。COSO 认为，内部控制是由企业董事会、经理层和其他员工，为合理保证实现企业营运的效率及效果、财务报告的可靠性及合法合规等目标而实施的一系列过程。内控框架的构成要素包括控制环境、风险评估、控制活动、信息和沟通、监督五个方面。这套理论得到了包括SEC、公司管理者、投资者、债权人及专家学者的普遍认可, 国外许多公司都依据这个框架建立了内控系统。我国公司也可以按COSO 建立内控框架, 逐步与国际管理模式接轨。通过引入COSO 内控要素, 形成一个相互联系、综合作用的控制整体, 使单纯的控制活动与企业环境、管理目标及控制风险相结合, 形成一套不断改进、自我完善的内控机制。

尽管COSO正在成为理解和评价内部控制的全球性框架。但是，COSO不是唯一的控制框架，在有些情形下甚至可能不是最好的或最易于使用的框架，尤其是在COSO框架中没有考虑到对IT控制目标和相关控制活动的具体要求。目前，COBIT（信息系统和技术控制目标，Control Objectives for Information and related Technology）正在成为更好地理解信息技术环境下内部控制的国际公认框架，该框架由美国IT治理研究所（ITGI），是一个IT风险管理与IT控制的综合性分析框架，由覆盖信息化生命周期的4个域、34个IT控制目标、318个详细控制目标组成。COBIT也涉及企业经营、合法合规等方面的控制。因此，该框架可作为制定IT控制目标、审计、管理和执行方针的依据。COBIT不是COSO框架的替代品，而是COSO框架的有力补充，这是因为在信息技术条件下，管理层、IT人员、审计师都需要理解和记录IT相关流程、流程中资源利用情况，以及支持这些流程的控制。

尤其是那些信息资产密集型或高度依赖于自动化处理的企业，理解和评估信息技术条件下的内部控制是一项巨大的挑战，但也是实现萨班斯合规性的关键之处。COBIT对评估这种环境下的内部控制会特别有效，COBIT的全部控制目标为审计人员寻求实施萨班斯法案404条款内部控制评审提供了强大的支持。不过对于初涉COBIT框架的人来说，其庞杂体系令人望而却步，其指南分散在有很多图表构成的多卷本中。并且，COBIT自1996年问世以来，在很长的一段时间里，许多审计人员单纯地将COBIT看作是专门的信息系统审计工具，认为它对其他审计工作帮助不大。我们认为，虽然COBIT的重点仍然在于IT，但是所有的相关人员包括审计人员都要研究COBIT框架，并将它作为一款优秀的控制框架，用于帮助实现萨班斯法案的合规性要求（COSO、COBIT与SOX的对应关系见图1）。

整合运用COBIT与COSO作为构建IT控制的框架，是将两种国际公认框架进行优势互补。同时在确定控制点、控制程序、留下相应审计轨迹时，也可以参考IT运营、信息安全方面可审计的国际标准管理控制体系ISO20000、ISO17799等。

3. 建立一套自评估机制，确保内部控制系统的持续有效

众所周知, 企业的发展阶段、和管理状况以及外部环境的变化都是决定企业内控体系建立和有效运行的前提。任何内控体系都只是在一个特定的历史阶段有效。法案要求管理层每年都要对内部控制有效性做出声明，这也迫使公司必须建立一套控制自评估机制，评估内部控制体系设计、执行是否有效，以支持管理层的声明。同时，自评估机制也可以帮助公司发现控制薄弱区和控制漏洞，及时审时度势，弥补内控体系的缺陷，确保内控体系持续有效。这也正是萨班斯法案所要求的。

控制自我评估（CSA）是指企业内部为实现目标、控制风险而对内部控制系统的有效性和恰当性实施自我评估的一种方法。国际内部审计师协会（IIA）在1996年研究报告中总结了CSA的三个基本特征：关注业务的过程和控制的成效；由管理部门和职员共同进行；用结构化的方法开展自我评估。CSA最早出现在20世纪80年代末期，但其最主要的发展是在90年代，特别是在1992年COSO报告公布之后。COSO报告首次把内部控制从原来自上而下财务模式的平面结构发展为更全面的企业整体模式的立体框架。传统的内控评价方法只能用来评价诸如财务报告，资产与记录的接触、使用与传递，授权授信，岗位分离，数据处理与信息传递等的“硬控制”。在新的内部控制模式下，迫切需要评价包括公司治理、高层经营理念与管理风格、职业道德、诚实品质、胜任能力、风险评估等的“软控制”。在这种情况下，作为一种既可以用来评价传统的硬控制，又可以用来评价非正式控制即软控制的机制，CSA得到了普遍的信赖。

自评人员首先选择要评审的内控流程, 然后对其设计的健全、合理性进行评价, 如果设计合理, 则测试其运行的有效性, 最后进行综合设计测试和运行测试, 评价内控系统设计的合理性和运行的有效性。如果设计测试结果为不合理, 则直接进行内控系统的评价, 而不再进行运行的有效性测试（见图2）。

内控系统设计测试是指为了确定被审计单位内控政策和程序设计合理、恰当和完善进行的测试。合理的标准即控制设计与目标相关、恰当和完善, 能有效保证信息的机密性、完整性和可用性。运行有效性测试是指为了确定被审计单位的内控政策和程序在实际工作中是否得到贯彻执行, 并发挥应有的作用而进行的测试。执行有效的标准即内控政策和程序在实际工作中得到了贯彻执行并发挥了应有的作用。

为了评估企业内部控制水平，指导企业进行差距分析并确定改进目标，建议企业借鉴成熟度理论，描述企业IT控制有效性的各种等级。

 Level 1 不可靠级不可预知的环境，在这种环境中，控制活动没有设计或不适当；

 Level 2 不正式级控制与披露活动已设计并适当，但没有充分记录。控制更大程度上依赖于人，没有正式的控制活动培训与沟通；

 Level 3 标准级控制活动已被设计并适当，控制活动已被记录并在员工之间进行了沟通。控制活动的偏离可能不被发现；

 Level 4 监控级标准化的控制，有定期的有效性测试并向管理层报告，有限的利用自动化工具支持控制活动；

 Level 5 优化级一个整合的内部控制框架和实时的管理层监控与持续改善 (全面风险管理)，运用自动化工具支持控制活动，也许组织在需要的时候对控制活动进行快速变更。

就某个内部控制目标而言，一些企业可能愿意接受等级不高于3的IT控制。考虑到萨班斯法案 “外部审计师应就控制出具独立的鉴证”这一要求，审计师对一些关键控制活动的有效性水平不能低于3级。

自评估的各种控制测试评价，有助于企业监控完善企业内部控制，也有助于管理者对内部控制有效性做出一个明确的评定，并最终以报告书的形式对外呈现，用以表明IT控制系统总体的可靠性及完整性。控制不是一件简单的事情，而是一个过程，需要对其不断地评估和改进，以符合当前经营的实际需要。这也必将成为IT部门组织文化的一个部分。

it审计论文篇6

【关键词】卷烟生产企业 IT服务管理最佳实践

【中图分类号】TP39 【文献标识码】A 【文章编号】1672-5158（2012）11-0103-03

[正文]

一、卷烟生产企业IT服务管理面临的实际困难

面对具有超大规模、高端品牌的国际卷烟全面进入中国的激烈竞争，中国卷烟生产企业在国家，总局“做大做强”“大市场、大企业、大品”“淘汰小品牌、落后产能”的战略指导下，中国超级卷烟生产企业正在逐步形成，而稳定可靠、高品质的信息化服务管理保障正是快速发展和壮大成为世界一流卷烟生产集团企业的关键。广东中烟工业有限责任公司（以下简称广东中烟工业）的“双喜”品牌是国家烟草总局“532”战略规划中的国家重点烟草品牌，在2011年产量已达300万箱，收X600亿，2012年更是预计发展到500万箱，1000亿收入，达到国际知名烟草集团规模。

正是在此重大历史机遇和挑战的背景下，广东中烟工业在最近几年高速发展中为了满足企业生产经营的实际需要投入过亿的资金先后建设了集团IDC、MES、OA、门户、人力资源、SAP ERP、一号工程等一系列信息化大型项目，但在实际IT系统运行保障中不断暴露出以下实际困难：

1、现有质量管理体系不能适应强信息化支撑的现代化工业生产烟草企业

原有的企业质量管理体系没有过多考虑信息化业务的特性，已不能适应强信息化支撑的现代化工业生产企业，缺乏与现代化工业制造企业发展配套的、有效执行落地的IT服务管理质量体系来指导和管理日常IT服务运营工作，严重滞后了广东中烟工业的发展脚步。

2、不稳定的信息化运营质量和运营风险严重限制了烟草业务规模的扩大

现代化卷烟生产企业越来越严重依赖IT系统的正常运行，特别是核心IT系统的运行故障给企业带来灾难性的影响，原有粗放式的IT管理导致信息化系统服务运营如履薄冰，不稳定的信息化运营质量和运营风险严重限制了业务规模的扩大。

3、日益增长的IT运营服务成本已成为烟草企业沉重的包袱和管理黑洞

随着企业投入到信息化建设规模越来越大，企业IT部门疲于应对烽烟四起的信息化应用需求和故障，只能不断投入更多资源来四处救火补漏，导致后续的IT运营服务成本越来越高，成为卷烟企业沉重的包袱和管理黑洞。

4、现有企业信息化管理规范与实际业务流程和需求脱节导致执行效率低下

现有企业信息化管理规范没有按照业务流程的思想设计，流于文字形式，过于空洞繁琐，不能切合实际业务流程和需求，更无法量化测量和持续改进，导致企业信息化管理规范执行效率不高甚至无法执行。

广东中烟工业企业持续高速发展急需要IT服务运行保障的标准化、规范化，信息化部门要能够为企业提供稳定、可靠和高品质IT服务运营，并能不断持续优化改进，降低IT运营成本和风险。作者作为项目负责人组织实施了以广东中烟生产二部为试点的广东中烟工业IT服务管理体系建设项目，通过本文详细分享广东中烟工业IT服务管理的最佳实践。

二、参考借鉴的国际标准

广东中烟工业各级领导和信息中心领导高度重视企业IT月艮务管理体系建设，提出信息化要为工业化服务，为企业百年大计提出了广东中烟IT服务管理体系要与国际接轨，结合企业实际业务需求借鉴国际标准和最佳实践，向世界一流烟草企业学习借鉴并持续改进超越的目标。本文作者和项目团队一起在广东中烟以生产二部为试点建立自身IT服务管理体系工作中主要借鉴了ITIL和ISO/IEC 20000国际上认可的IT服务管理最佳实践和标准体系。

（一）ITIL（国际IT服务管理最佳实践）

IT服务管理是一种以流程为导向、以客户为中心的方法，它通过整合IT服务与组织的业务，提高IT服务提供和服务支持能力和水平。目前，业界有许多IT服务管理相关的框架、规范、标准和实践参考等，其中ITIL是目前全球运用范围最广的IT月艮务管理方法和最佳实践参考。

ITIL（信息技术基础设施库，Information Technology Infrastmcture Library）是目前全球运用范围最广的IT服务管理方法。ITIL从流程、人员和技术三方面来规划企业的IT管理，强调通过这三方面的密切协同工作，形成IT组织一套专业化的综合能力，并在此基础上将IT服务的提供与企业的运营目标、需求高度协调一致。ITIL V1自20世纪80年代由CCTA（英国中央计算机与通讯局）的实践开发推出以来，已经历了两次的更新。其中，ITIL V2更新于自20世纪90年代末，由OGC（英国政府商务办公室）推出后，获得了很多大企业的一致认可，并在世界范围内得到了广泛推广。IT管理领域的重要标准，如英国国家标准BS 15000以及国际标准ISO/IEC 20000都是以ITIL V2为核心2007年5月30日，OGC正式颁布TITIL V3。

ITIL v3把IT上升到企业战略资产高度。ITIL V3的核心架构基于服务生命周期，它以服务战略作为总纲，通过服务设计、服务交付和服务运营加以实施，并借助持续服务改进不断完善整个过程。

服务战略（Service Strategy）是服务生命周期的核心，明确将服务管理作为战略性财富，并指导如何定义服务和服务战略，明确服务的价值以及服务管理与业务之间的关系。

服务设计（service Design）、服务转换（service Transition）和服务运营（service Operation）是服务的实施阶段。其中，服务设计明确了服务设计的目标和要素、服务设计的模型、成本模型、效益和风险分析，以及如何实施服务设计并对服务设计进行测量和控制；服务转换主要为如何管理组织和文化的变更提供指南，以及如何使用合适的方法、工具建立完整的知识管理体系；服务运营重点为如何实施应用、变更、运营等管理提供指导。

3、推广和试运行阶段

在管理流程和体系建立完成后，通过培训和宣传方式在公司内部推广新的IT服务管理体系，并在运行过程中收集数据和事件；同时，对公司内审人员进行培训，内审人员在咨询顾问的指导下，对试运行阶段的体系流程进行两阶段的内部审计，修正审计中发现的问题。

4、审计阶段

信息部门配合内部审计部门定期开展体系运行质量评审，在评审过程中针对管理体系执行中发现的问题和缺失进行改善。

5、持续改进阶段

定期对项目实施情况开展Qc专项活动，进行再评估和持续改善，进行追踪评审。

（二）IT服务管理体系建设中的有效措施

在广东中烟工业IT服务管理体系建设过程中，为保障项目的成功和质量，我们采取了以下有效措施：

1、前期做好项目规划和论证

前期开展了认真细致的项目规划和认证工作，充分认证了项目的必要性和收益，得到了公司高层领导和信息部门领导的高度重视和支持。

2、专业咨询公司提供有力支持

项目的成功得益于我们选择了专业顾问咨询公司提供IT服务管理体系建设的专业经验和全程支持，减少了项目的弯路和探索时间；

3、根据业务实际需求建立流程体系

流程体系的建设建立在对公司现有业务的充分调研和理解的前提下，确保所设计的流程体系和数据分类定义规划量身定做符合公司的业务发展需求，同时所设计的流程体系全程由各业务部门和信息部门项目成员全员参与设计、论证和编写，确保流程体系得到所有干系人的一致共识。

4、因地制宜采用体系融合实施方法

IT服务管理体系的建立也要符合公司的IS09000整体质量管理体系，我们采用了体系融合的实施方法论，确保IT服务管理体系既兼顾了信息化业务和信息部门的个性化需求，又完全融入到了公司整体质量管理体系中。

（1）精准定义流程及测量指标

定义了详细的流程数据规划和测量指标，确保流程数据收集和测量的可行性、有效性和标准化。

（三）IT服务管理体系执行落地的有效措施

通常管理体系最难的阶段都是落实执行，一方面是员工前期没有很好参与不认同的管理体系；还有就是组织刚开始有点热度，热情一过，一切照旧烟消云散。得益于我们前期在管理体系建设过程让各业务部门代表充分参与需求调研和体系规划讨论，信息部门的全体员工更是全程积极参与体系规划和建设，本项目我们有非常好的共识基础和管理变革的铺垫，同时我们在IT服务管理体系落地执行过程中，还采取了以下有效措施：

1、对信息部门全体员工开展多次的IT服务管理体系的理念导入和规范培训，并要求所有信息部门员工必须通过的IT服务管理体系书面测试考试。

2、选择实施了优秀的基于工作流技术的专业IT服务管理软件系统（越维OMS系统）对我们所设计的流程体系进行固化和信息化，使得我们开展IT服务质量管理流程所需要的数据和报表能够高效的被及时统计、展示和得以分析；

3、强调信息化部门定期（试运行期间每周一次，正式运行每月一次）开展管理体系QC优化与持续改进活动，并与内部审计部门合作定期（每季度一次）开展管理体系的执行合规审计工作；

4、对坚决执行IT服务管理体系，取得流程绩效优秀及持续改进成果的信息部门员工和团队提供相应的荣誉和奖励。

（四）IT服务管理体系建设实施成果

信息化工作重心由建设到运营是卷烟生产企业上规模发展的必经之路：按照《广东中烟信息化规划》计划安排以及国家局信息化有关工作要求，建设基于ITIL最佳实践、IS020000准理念的广东中烟工业IT服务管理体系是信息化工作部门今年主要成果之一。广东中烟工业IT服务管理体系作为信息化部门日常业务运作的支撑体系，实现了企业战略与IT战略的互动，并形成持续改进的良性循环机制，它的实施大大提升了信息化日常各项运维和基础工作的效率及管理水平，实现信息化管理的创新，应用系统的可靠性达到了99.7%的高可用性指标，信息系统风险得到了有效的识别和控制，信息化运营成本得到了有效的控制和优化，使广东中烟工业信息化管理水平迈上一个新的台阶。

it审计论文篇7

内容摘要:本文详细介绍了电信行业的信息技术一般性控制的内容。首先介绍了国际上通用的信息技术内部控制的理论框架以及中国内部审计协会的内部审计第28号具体准则――信息系统审计的内容,并结合实践对电信行业信息技术一般性控制的系统范围、实施框架及信息技术一般性控制问题及改进措施进行了研究,以期为电信行业不断完善信息技术一般性控制体系提供理论参考。

关键词:内部控制信息系统审计信息技术一般性控制

美国的《萨班斯法案》404条款对企业的内部控制提出了严格规范,要求在美上市的公司按照404条款推荐的COSO框架建立起完善的公司内部控制体系,并对企业的公司治理、IT治理及IT控制提出了更严格的要求。同时其第二审计准则也提出了对信息技术的要求,如审计准则#40“……需要测试的控制包括其他控制所依赖的信息技术一般性控制……”,审计准则#5“……程序开发、程序变更、计算机运行、运行和数据访问等各方面的控制保证了业务处理的有效运行……”等等。

中国电信在2006年初启动了“与财务报告相关的信息技术内部控制(简称IT内控)”项目,项目涉及电信总部及20个上市子公司,建立起全公司的IT内部控制体系,并对发现的差异及不足开展深入细致的整改;自此历年完善,均顺利通过各年度外部审计。信息技术一般性控制作为电信IT内控的重要组成部分,一方面企业的组织、流程、系统是不断调整转变的,信息技术一般性控制的内容也应随之调整完善,满足SOX的合规性;另一方面为提升企业自身的IT治理水平,信息技术一般性控制也是一种加强IT管控和有效实现IT治理的重要手段。

信息技术一般性控制理论概述

(一)COBIT框架

美国IT治理协会(IT Governance Institute)于1996年颁布的COBIT,是国际上最具权威和最通用的有关IT控制和治理框架规范;2004年该协会颁布了COBIT中与《萨班斯――奥克斯利法案》第404条款的IT内控框架。COBIT框架将内部控制视为一个包括政策、程序、实务和组织结构的支持企业完成目标的程序。因此,通过有效地应用COBIT框架可帮助企业来达到COSO的监控要求。

COBIT框架主要有三个维度IT流程、IT资源、IT信息准则。其中:IT信息准则包括质量、信用、安全;IT资源包括人员、应用系统、设施、技术、数据;IT流程包括领域、流程、活动。

COBIT给出了在不同的IT生命周期流程中(包括信息系统计划、开发、运行维护全生命周期),对不同的IT资源的关键控制点和需要达到的信息准则目标作出规定。

(二)内部审计第28号具体准则――信息系统审计

“内部审计第28号具体准则――信息系统审计2”是2009年1月由中国内部审计协会实施的,该准则明确规定了对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审计。其中,第21条针对信息技术一般性控制做了明确的规定:信息技术一般性控制是指与网络、操作系统、数据库、应用系统及其相关人员有关的信息技术政策和措施,以确保信息系统持续稳定地运行,支持应用控制的有效性。信息技术一般性控制包含了信息安全管理、系统变更管理、系统开发和采购管理和系统运行管理五方面控制内容。

(三)国内企业内部控制体系建设现状

继美国SOX法案颁布之后,财政部、证监会、审计署、银监会、保监会在此前的《企业内部控制基本规范》基础上,于今年联合了《企业内部控制配套指引》。该配套指引包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》,这标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。同时,财政部等五部门制定了实施时间表:自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;之后将进一步扩大到在中小板和创业板的上市公司施行。

国内电信运营商作为在境外上市的国有超大型央企,将成为遵循中国企业内部控制规范体系的首批企业。一方面,当前国内企业还未大规模开展企业内部控制制度的建设,国内电信企业作为先行者,已按美国SOX法案要求于2006年开始初步建立了信息技术内部控制制度,积累了信息技术内部控制建设的宝贵经验,可为国内其他企业内部控制制度的建设提供参考借鉴。一方面,经过2008 年的运营商重组,电信行业进入全业务运营时代,业务、流程、系统的衔接变得更加复杂,对业务流程与系统支撑的要求越来越高;随着电信行业的快速发展和竞争的加剧,国内电信运营商的运营风险在逐步加大,加之行业监管力度的加强及中国企业内部控制规范的要求,电信运营商需要在更高层次上进一步完善内部控制体系。

信息技术一般性控制框架构建

在COBIT框架和内部审计第28号具体准则――信息系统审计的理论基础上,电信行业的信息技术一般性控制实施框架主要包括对程序和数据的访问、程序变更管理、程序开发、系统运行、最终用户计算控制五部分,其所具体包含的内容如下:

程序和数据的访问控制。涉及逻辑安全和物理安全、用户账号的添加、修改及删除控制、用户账号的定期审阅、职责分工控制等。

程序变更管理控制。涉及系统变更授权、系统变更的测试校验和批准、系统变更的移植、系统配置参数变更、紧急程序变更流程等。

程序开发控制。涉及系统开发审批授权、系统开发项目管理及开发方法、系统开发测试、数据移植等。

系统运行控制。涉及系统运行及作业计划、系统备份、系统备份恢复性测试、问题管理流程等。

最终用户计算控制。涉及对影响财务报表的重要电子表格和其它用户自编程序。

根据信息技术一般性控制要求,从电信业务运营流程中梳理出对应的与财务报表相关的信息系统,由此梳理出纳入信息技术一般性控制涉及的信息系统如表1所示。

程序和数据的访问的控制要求如表2所示。

程序变更管理的控制要求如表3所示:

程序开发的控制要求如表4所示。

系统运行的控制要求如表5所示。

最终用户计算的控制要求如表6所示。

信息技术一般性控制问题及改进措施

电信实施信息技术一般性控制以来,发现的主要问题主要有政策和流程缺失、缺乏职责分工、缺少工作留痕、异地备份和恢复性测试这四个方面,本文将对这四方面存在的问题以及对于问题的改进方法进行详细阐述。

政策与流程缺失。问题主要在于信息系统维护管理的组织架构中缺少信息安全管理的岗位及职能,没有制定统一的信息安全政策、变更管理流程、信息系统开发方法与项目管理方法的政策与流程。对此,信息系统维护部门至少设立一个信息安全管理岗位,该岗位可专职或兼职,岗位工作职责应包括维护组织信息安全管理办法、负责对员工安全教育和宣贯、审阅超级用户的操作日志和系统安全日志等;建立或完善信息系统管理政策及流程,如制定统一的信息安全政策,包括网络安全、物理安全、操作系统安全、应用程序安全等方面;通过培训宣贯、监督检查等方式督促员工掌握并执行相关的信息系统管理政策和流程。

缺乏职责分工。主要出现在信息系统的维护管理缺乏有效的职责分离,个别信息系统的权限过于集中。具体存在两种情况:一是信息系统的系统管理人员同时身兼操作系统/数据库和应用系统管理员;二是各类信息系统均缺乏独立于系统管理员的日志审核人员。对此,操作系统管理员(或数据库管理员)和应用系统管理员、系统开发人员与系统维护人员、系统安全日志审核人员与系统管理员之间不能交叉兼任;在实际工作中,受到维护人员较少等客观因素的制约,可以通过交叉管理的方式解决实际的人员短缺等困难。例如有A、B两个系统 ,可以由A系统的管理员担任B系统的日志管理员,而A系统的日志管理员则由B系统的管理员担任,通过交叉审核达到要求。

缺少工作留痕。问题普遍存在日常工作中,对于所执行的操作、系统/日志的检查、定期审阅、授权、审核签字等过程中未能保留完整的书面记录。对此,应充分重视培养工作留痕、记录书面化的习惯,将此项工作纳入日常工作检查范围;公司统一使用信息技术一般性控制的文档模版,按控制要求所规定的执行频率进行填写,并保证主管/领导签字确认和统一归档备查。

异地备份和恢复性测试。由于存放环境等条件制约因素限制,大部分信息系统均未达到异地备份的要求;各类信息系统均未定期执行恢复性测试的工作。对此,介质存放的手段可以是通过DCN网、光纤传输到不同楼宇的存储服务器上,也可以利用DVD、磁带、移动硬盘等介质备份后送到异地;定期执行后保留书面记录;对于不存在测试环境的系统,可利用厂商的资源搭建测试环境,根据已确定的测试方法进行测试,并保留测试记录。

总之,本文详细介绍了电信行业的信息技术一般性控制的内容,结合实践对电信行业信息技术一般性控制的系统范围、实施框架进行了介绍,以期为电信行业不断完善信息技术一般性控制体系提供参考。

参考文献:

it审计论文篇8

一、加强金融IT审计的重要性、紧迫性

随着信息技术的快速发展，我国的金融信息化已经走过了“金融电子化”，正向“金融信息化”深层次迈进。在数据大集中之后，各家金融机构通过数据仓库、数据挖掘（DM）等日渐成熟的技术，加强客户和市场分析，努力构建以金融信息化和信息网络化为基础的先进网络化金融机构。但信息技术在物理上、操作上和管理上存在的漏洞，构成了IT系统安全的脆弱性，给银行带来了一系列新的不安全因素，计算机犯罪和舞弊、会计信息的失真，都将给银行的的资金、信誉造成重大的损失。因此，如何确保IT战略目标与银行总体发展目标的一致性，最大限度地规避战略风险、投资风险和运行风险，保证银行的可持续发展，是银行面临的必须优先解决的难题。

当前，风险管理是银行经营活动的主旋律。在银行界越来越依赖于信息技术的情况下，加强金融IT治理审计将成为银行化解风险、获得可持续发展的重要保证。首先，伴随着我国商业银行信息化建设的不断深入和飞速发展，信息已经成为商业银行可持续发展的重要基础性资源。信息技术已不再是单纯的业务实现手段和支持方式，而逐渐成为商业银行战略规划、投资决策所必须考虑的重要因素之一。其次，信息技术本身具有不可抗拒的风险。主要是由于机器设备的自然损耗、制造缺陷和不可预测的自然环境因素。第三，由于技术发展的局限和人类的能力限制，在设计之时人们的失误在所难免。第四，虽然各金融机构都有自己的信息安全部门，他们是信息安全的建设者、维护者，对信息安全有着丰富的现场经验与专业经验，但在他们身兼运动员和裁判员双重身份的同时，已不足以向最高管理层保证信息安全的有效性。同时，IT作为一种工具并不万能，其必须通过有效的应用才能体现价值。要想让IT得到有效的应用，并让信息系统绩效最优，最根本是管理。所以，加强对金融IT策略、安全、效益的审查与评估，为管理层战略规划、投资决策、化解风险提供重要依据，就显得尤为迫切和重要。

二、依托IT技术平台，加快在金融审计领域的变革

由于信息技术的发展与运用，传统的审计对象账务、管理数据的生成、存储和传递的模式发生了根本性的转变，传统的纸质账簿和文字记录日渐被磁性介质取代，审计人员越来越难以得到传统的有形的审计线索，传统的以查账为主要手段的审计遇到了来自IT技术的挑战，客观上要求金融部门进行一场深刻的审计领域的革新，对审计人员、审计方式、审计内容等方面，及时做出相应的调整，以“四要”建设为核心，突破IT技术审计这一重点和难点。

要在思想认识上突破。要提高认识，转变观念，正确认识计算机审计的重要性。必须充分认识到随着信息技术的应用在银行界的不断推广，传统的审计方式已不适应信息时代的要求，以计算机技术作审计手段是时展的必然选择。审计人员不掌握计算机知识和技能，将面临进不了门、打不开账的危险，将处于“失去审计资格”的尴尬境地。只有利用计算机知识，学习和掌握被审计单位计算机系统的设计思想，梳理其主要的核算流程，经过艰苦而细致的研究与实践，才能准确地、相对完整地剖析各种由IT技术支持的业务系统与核算系统，综合评定应用核算数据和业务数据，然后选定必要的、适宜的审计程序和方法，进行分析与审核。

要在审计方式、方法上创新。依托信息技术平台，积极开展计算机审计。首先，在审计方式上，由于金融领域信息技术的广范应用及数据仓库的建立，为开展计算机辅助审计提供了技术平台和数据源。通过计算机审计软件或在应用系统中的预置、嵌入审计程序，实现数据的直接获取、账簿凭证浏览查询、异常项目筛选、日常会计资料及财务指标趋势分析、变动分析、抽样列表等多种审计事务；实现审计事项的事前、事中、事后的全过程审计，并进而实现审计系统信息资源共享，促进审计项目的规范化，提高审计工作效率和质量，降低审计风险。其次，在审计方法上，对IT系统的审计可通过询问、观察、审阅系统文档、审查系统日志、系统配置文件有关参数、设置电子文档等来评价计算机数据处理系统的基础情况、各种性能和技术指标、潜在的风险和控制措施；及内部控制执行情况，以确定对系统的依赖程度，进而确定详细测试中审计资源分配的策略。

同时，对计算机审计软件的开发实现市场化外包。因为，审计软件的外包符合社会发展的历史潮流，是社会分工和科技水平进一步发展的必然选择；利用市场的整合力，集中一批既懂财务、统计、审计业务，又熟悉计算机应用技术有经验的专业人员，组建开发和营销审计软件的专业公司，专门从事审计软件的开发和营销，不仅会促进审计软件水平的不断提高，进而推动计算机审计工作的迅猛发展。所以，开展计算机辅助审计，实现计算机软件的外包，是推动我国审计信息化的有效途径，同时也是形势发展的客观要求。

要在IT审计的内容上求实、求全。一方面，银行IT审计的范围应该覆盖了银行所有系统的应用领域，以及信息系统整个生命周期中的所有活动和所有资源。其主要内容包括：银行IT战略规划审计、银行信息系统需求获取和开发过程审计、系统交付后技术支持和运行维护审计、对整个系统生命周期中相关管理活动的审计、对相关过程中文档管理的审计、对相关人员的审计、对灾难恢复和业务持续性计划的审计等内容。另一方面，加强IT策略和绩效审查与评估。审查银行管理者的IT投资策略，是否是由业务需求的驱动，而不是由信息技术的推进，是否造成IT投资泡沫；审查IT作为一种工具，在实际工作中是否得到有效的应用，价值是否得到体现，绩效是否优化。从而为确保IT战略目标、有效管理与银行总体发展目标的一致。

要加快复合型审计队伍的建立。随着信息技术的迅猛发展，银行信息化程度越来越高，已经进入“无账本”环境。目前，我国金融界审计队伍中，主要由财经类专业人员构成，严重缺乏既掌握现代审计理论与技术又精通计算机知识与技能的新型复合型人才。由于财经类专业人员缺少计算机审计所要求计算机的知识与技能，已成为制约金融IT审计的“瓶颈”。迅速补充计算机、信息工程等方面的专业人才，并实现与财经类专业人员的资源整合，充分实现资源优势互补，是有效开展金融IT治理审计前提。

从长远目标来看，要锻造出一支披坚执锐、无往不胜的数字化金融审计队伍，离不开以下三个环节：第一，要着力培养一支精通计算机系统审计和电子数据审计的专家队伍；第二，形成一支审计业务娴熟、又掌握信息技术、能独立开展计算机审计工作的复合型审计骨干力量；第三，培养广大审计人员掌握计算机知识，在审计工作中能熟练地运用计算机技术，以提升审计工作质量和水平。

it审计论文篇9

在信息化时代,我们拥有极大的信息系统审计需求市场,信息系统审计已成为审计发展的新动力和新方向。然而我国信息系统审计的发展现状还不能适应时势的需要,尤其是在推行基于国际性的标准cobit 上的研究和实践缺乏。为此,我们应在全面把握我国信息系统存在问题的前提下,采取有效的对策,以适应大规模的信息化建设的需要。

一、问题的提出信息及相关技术控制目标标准(control ob2jectives for information and related technology , co2bit) 是美国信息系统审计与控制协会( informationsystem audit and control association , isaca) 的信息技术治理学会( information technology governanceinstitute ,itgi) 基于其原有的控制目标体系,结合并改进现有的正在发展中的其他国际技术标准和工业标准而制定的控制目标体系,为it 的治理、安全与控制提供了一个一般适用的公认标准。自1996 年问世以来,目前已经更新至第四版,是国际上最先进、最权威的安全与信息技术管理和控制的标准,已在全世界100 多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效管理与信息相关的风险。lw881.com最新版本cobit 4. 0 更注重帮助董事会和员工应对不断增加的职责,包括面向公司董事会和各级管理层适用的指引,由四部分组成,即管理人员概述、框架、核心内容(控制目标、管理方针和成熟模式) 和附录(图表、前后参照和术语表) 。核心内容依据34 项it 流程来划分,全面介绍了如何控制、管理和测量每个流程。另外,cobit 4. 0 分析如何将具体的控制目标划入五项it 管理领域,以识别潜在缺口; 令cobit 标准与其他标准( itil 、cmm、coso、pmbok、isf 和iso17799) 协调一致;阐述关键目标指标(key goal indicator ,kgi)和关键绩效指标(key performance indicator ,kpi) 之间的关系,说明kpi 如何推动实现kgi ;结合业务目标、it 目标和it 流程。cobit 标准不仅为人们提供了信息系统控制目标和it 标准,而且提供了信息系统的审计指南。它为信息系统审计师提供了较为系统的评估指标,从而规范信息系统审计师的审计思路,而且它提供的控制矩阵、管理明确诊断表和风险评估表等科学的手段,让信息系统审计师合理评估审计风险,从而大大降低审计风险,提高审计质量。cobit 标准对我国开展信息系统审计有很好的启示和指导作用,我国应大力推行基于cobit 标准的信息系统审计。

二、我国信息系统审计存在的问题

1. 审计人才缺乏信息系统审计是会计、审计、信息系统、网络技术与计算机应用的交叉学科。开展信息系统审计,要求审计人员具有复合型的知识结构,既要掌握财会、审计知识,又要掌握信息系统、计算机与网络技术。但我国现在大部分审计人员并不熟悉计算机是如何进行经济与会计业务处理的,不知道计算机处理与网络技术的运用有什么风险、怎么样的控制才能有效降低这些风险,也不掌握如何对计算机信息系统进行审计或利用计算机和网络技术进行审计。计算机技术人员虽然对计算机和网络技术比较熟悉,但他们又不熟悉会计、审计知识,不知道要审什么、该怎样审。而开发实用性和通用性较强的审计软件所需要的高层次、高水平的人员也很缺乏。

2. 法律法规不完备在信息化条件下,审计方法、对象、技术都发生了很大的变化,传统的审计准则体系、法律法规体系已不能完全适应、指导和规范信息系统审计的实践,而新的关于信息系统审计的程序标准、准则和法律还没有出台或并不完备,有些甚至还是完全空白。例如,电子凭证、电子合同、数字签名等的法律效力和保存要求;数字认证机构的认定及其法律责任;计算机犯罪适用的法律;在信息系统审计中审计机构的权力、责任和被审计单位的义务等。从近年情况看,我国的信息系统审计制度建设工作才刚起步,尽管国务院办公厅、审计署、注册会计师协会等机关和组织颁布或制定了一些准则和规范,但是,这些准则和规范还不完善,没有形成系统性和结构性。不仅缺乏对信息系统开发和系统功能审计方面的规范,还比较概括、笼统,没有相应的实施细则。对信息系统审计尚处于摸索阶段的我国审计人员来说,显然还缺乏具体的指南。

3. 技术水平落后信息技术的高速发展与广泛应用使企业交易事项的大部分内容由系统自动运作完成,人工轨迹遗留较少,传统审计线索荡然无存。这就要求信息系统审计必须参与和融入信息系统的设计过程,在执行测试时必须穿越信息系统,以确保对连续监督程序和输出结果的控制。在我国信息系统的设计与开发中,尚不具备充分的保留和提供审计线索的功能。审计人员完全处于被动地位,难以获取充足的审计证据支持其审计结论,难以保证信息系统环境下的审计质量。

三、发展我国信息系统审计的对策从上述对我国信息系统审计存在的问题的概要分析中,作者认为,响应国际发展趋势,在信息系统控制和审计领域推行cobit 标准无疑具有美好的发展前景。具体实施时可针对以下几个方面进行改进。

1. 注重专业人才的培养cobit 标准具有系统的和完备的框架体系,它的运用首先定位于信息及其相关技术的控制和管理,因此,它在整体上表现出it 业的大量相关技术。这就意味着运用cobit 标准实施信息系统审计的审计人员应具有复合型的知识结构,既要掌握现代审计理论与实务,又要掌握信息系统、计算机与网络技术。目前,审计署干部培训中心开展的注册信息系统审计师培养及与之相关的在审计人员中进行计算机知识的培训工作,正是为了适应这一现实需要。在人员培训上,要求对低层次人员培训与高层次人才的培养、在职人员的培训与未来人才的培养进行统筹规划。对较高层次的人才培养,重点可放在信息系统的开发审计、系统的功能或应用程序审计、网络安全审计和审计软件的开发等方面;对未来审计人才的培养,应在高校会计专业教学计划中增加it 和电子商务等内容,不仅要把信息系统审计列为必修课,而且应对这门课的要求或大纲达成共识。审计机构的管理人员也应意识到,信息系统审计人才的培养不仅仅是对审计人员的培养。我们可以培训审计师成为掌握必要it 技能的人员,但很难要求他们成为计算机、信息系统和网络技术方面的专家。因此,审计机构要改变以往由会计师独唱主角的情况,计算机与网络专家、信息系统与电子商务专家将在审计组织中担任越来越重要的角色。审计机构应注意吸收这方面的人才,并进行审计知识和技能培训,使他们能与会计师良好合作,更好地执行信息系统审计任务。

2. 完善审计准则从国际同业的实践看,cobit 标准已经逐步成为通行准则。我国应遵循国际标准或规范,把cobit 标准作为核心标准, 同时, 借鉴isopiec17799、itil 、prince2、coso、sox 法案等其他国际标准和原则,进而确立适合自己的信息系统审计目标、对象、范围、方法、流程等。进一步完善与信息系统审计有关的法规和准则,要在法律法规上,确定审计机构和审计人员有权审查被审计算机的信息系统的功能与安全措施,有权利用网络和审计软件进行审计,被审单位应对审计人员的信息系统审计给予积极的协助。在建设信息系统审计准则体系时,可以借鉴isaca 的做法,也采用三个层次体系结构,以基本准则为核心,统领具体准则和执业指南,从而使整个准则体系不断扩展、完善。内容划分方式可分为审计的权利、义务与责任,审计人员和审计工作三大类,并按这些类别来制定准则。信息系统审计准则作为一个完整的准则体系,各项具体准则要相互依存、相互配合。在准则的制定、上,应当遵循务实原则、接轨原则、配套原则和科学原则。isaca 的做法是,先规划出基本准则的内容,在此基础上,有计划、有步骤、按照现实需要出台各项具体准则、指南和程序。准则采用分项制定,完成一项,一项,实施一项。这有利于信息系统审计准则的全面顺利的实施,也有利于信息系统审计人员循序渐进地正确掌握这一系列准则,从而促进信息系统审计准则在实务中迅速发挥作用。我们在信息系统审计准则的制定、上,可参照isaca 做法。同时,对国际上已有的成文准则、习惯做法、专业术语,应当尽可能与国际惯例保持一致,尽量做到与国际惯例接轨。

3. 加强审计方面的it 技术对于审计领域来说,cobit 只是一套成文的信息技术控制标准,它只是向信息系统审计人员指明了前进的道路,但究竟如何才能成功通向胜利的彼岸,却有待审计人员自身去开发高效快捷的通向目标的方式,尤其是在信息系统审计这样一个高专业化、高技术性的审计业务领域。首先,应注重软件的开发,如开发数据采集软件,建立一种能够容易访问被审计单位不同介质、不同编码、不同类型的数据库,以便打通采集信息系统所需原始数据的瓶颈;在软件的研制方面,还要考虑审计作业发展趋势,如在现有审计软件基础上开发、研制新的适用信息系统审计的分析工具。其次,联网审计的加强,它是方便快捷地运用cobit 标准的有力举措。这种审计方式成功实现的关键是被审计单位的信息系统提供标准化的审计接口,因此,信息化的管理部门和审计部门应加强宣传,提倡甚至是严令监督企业提供数据接口,以便联网审计的展开。最后,就是专家系统的构建,它能将基于cobit 标准的成功案例进行积累和专业化,更好地为我们的信息系统审计工作服务。放眼未来之路,如何借鉴cobit 标准开展适应国际趋势的而又探索有中国特色的信息系统审计道路,需要新时代的审计人员的不懈努力。我们只有充分认识存在的问题的基础上,才能有针对性地改进。中国审计人员将以倍增的热情,迎接新技术革命的挑战,充满豪情地投入到审计技术创新的洪流中。

[参考文献]

[1 ]李　丹. 信息系统审计———传统审计的一场革命[j ] .中国审计,2002 (1) :57 - 58.

[2 ] 钱　艳. 信息系统审计———网络架构、测试与评价[d] . 重庆大学硕士学位论文,2003.

[3 ]管亚梅. 信息系统审计———一种全新的审计模式的构建思路[j ] . 科技进步与对策,2005 (12) :78 - 80.

[4 ]陈婉玲,杨文杰. isaca 信息系统管理准则及其启示[j ] . 审计研究,2006 (增刊) .

[5 ]董　霞. 会计信息系统审计研究[d] . 天津财经大学硕士学位论文,2006.

it审计论文篇10

二、小组工作

为使杜邦IT审计达到领先水平，杜邦从全球的内审人员和审计本公司的外部审计人员中抽调一部分组成了一个代表组，这个小组由一个总审计经理监督，对指挥部负责，这个指挥部包括副总裁、总审计师、副财务经理、信息主任和事务所的业务合伙人。

该小组在很紧凑的时间安排下建立了一套科学的工作方法。并对杜邦IT审计的发展和更新提出长期性的意见。

该小组给IT的定义是：IT审计与杜邦公司的其它所有审计活动是密切联系的。我们将在职能审计小组的支持下，对应用系统和整个信息系统的各个部门进行具体的审计，进而确保在系统的支持下的经营活动能有充分的应用控？quot；。

小组的目标之一就是：保持一个完整的相应统一的内部审计职能部门时，决定如何提高杜邦的IT审计能力。

三、两种审计模型

杜邦常用IT审计总体模型（Audit Integration Model，简称AIM）和变量实施模型（Variable Sourcing Model，简称VSM）来决定是否应当从外部获得技术或保持他们，特别是认为计划需要改变的时候，这两个模型有重要的指导意义。这两个模型如下所示：

1.AIM

AIM根据IT审计的组成要素大略揭示了IT的审计过程，复杂的知识水平和工作人员的工作量随着以下所示的四个阶段而逐步下降阶段1经营过程控制准备活动实施选择培训要求所有归属于一个过程审计的非系统的不相关审计活动：如过程、计划、流程图、检阅程序、访问和测试执行所有正常情况下的准备活动，不包括具体的与IT有关的活动。不需要具体的IT审计技术不需要高水平的IT培钻15

阶段2输出

所有与符合性审计有关的活动，包括数据进入、错误书写、输出和进入控制决定应该用什么政策，若与具体的经营有关时，应在工作底稿上从头到尾写清楚；若与多种经营有关时，应把它单独拿出来进行符合性测试，然后，在工作底稿上注明由有经验的审计人员来执行任务。IT审计人员的任何行动都应得到支持，因为这个阶段代表整个审计过程的重要环节。在向新结构进行完全转变之前，IT审计人员对所执行的符合性测试都认为是适当的。确保每一个审计人员都有执行符合性测试所需技能，复核IT的组成要素，决定是否需要改变，以确保达到目标。确保这些技能对审计小组来说是容易达到的，且它是必要的，直至达到审计的长期目标。

阶段3附台性和分界面

在符合性审计和技术审计之间的灰色领域，在这个阶段需要有高技能的高水平的审计人员，因为这些活动要进入到系统的内部工作且与其他符合性相联系。决定执行的符合性复核的细节应达到的水平，确保灰色领域被完全充分校测，尤其注意系统的共同范围，因为这些可能没被包括在先前的比较窄的审计范围中确定符合条件的审计人员的比例和从外部寻找人员的可行性，确保此阶段审计人员的技能对审计小组来说是容易达到的，直至实现长期目标为止。决定如何提供培训，以使他们达到更高的技术水平，期望达到所需技能的审计人员的比例将被作为实施阶段工作的一部分，在转换期，应确保这些技能对审计小组来说容易达到直至实现长期目标。

阶段4基础性的结构

技术审计覆盖了计算机环境的内部工作.在此阶段需要高技能和特殊才能的人才，如：在运行系统或安全软件方面通过符合性调试复核平台的最近技术审计，根据峁页鲋葱猩蠹频氖奔洌际跎蠹票匦胩峁泄仄教ǖ恼逡？见，这一步应包括桌面系统环境和完整的桌面系统审计，必要时应事先规划检查目前正被杜邦使用的平台系统，且必须做这项工作，确定在社邦所要求的技能范围内的保留工作量，决定核心工作员、浮动工作量和特殊工作量的未来余额，评价保留和维持这些技能的内部审计人员的职业道路前途等，确保改变计划时允许小组充分协调好内部活动与6F部专家的耸嚣- 对那些保留在杜邦内部的技能应确定培训的关键来源且确保这些人员是通用的，在这个阶段，工作能力的大小受社邦的联营者的规模而定p 所以培训只要及时就行。

在以下三个领域中，模型提供了从一般了解到决策的各个部分的解决办法。具体如下：

（一）准备阶段

当进行更多的经营过程审计时，准备阶段的工作在确保清楚地界定审计范围和审计小组应有的技能和工具去从事工作这两方面起关键性的作用。经营过程审计将会在范围上更广、时间上更长，且很可能由大量不同计算机应用系统组成。如图所示，AIM可作为一种有效的准备工具，如果某种技能需由外部人员来实施时，及时地在此阶段补充审计人员会变得更重要。

（二）实施阶段

这是工作范围的重要部分，社邦审计小组一直在发展和采用VSM作为一个工具来决定成员水平和技术能力，模型显示出杜邦计划的技术能力保留在一个核心范围内，核心范围的大小由任何一年的估计工作量和杜邦是否维持这种技术能力由自己开发而决定，模型也表示出，可从外部获取资源，若保留技术能力的工作量比估计工作量要高，这一部分差额称为浮动工作，反之，称之为特殊工作。

AIM与VSM结合起来，可用来确定保留在杜邦内审中的技术能力和将来的核心工作、浮动工作及特殊工作的平衡。与杜邦的支持者及供应商们讨论，即实施IT审计的联营公司，可能也是这个阶段的一部分工作。另外，杜邦还计划转变战略，确保内审依赖外部专家时有力量控制局势。

（三）培训

除发展AIM和VSM外，工作小组还针对现在的IT审计组织进行技术分析描绘未来IT审计组织的前景。由信息武装起来，杜邦利用AIM来决定所期望的能达到多种目的的审计人员的IT技能是什么水平，及什么样的特殊行为是杜邦将保留和维持的，提供的培训课程应确保有一个完整的途径。AIM可用来确定所需和所计划的培训。

四、更新

剩余的IT审计人员保持他们现存的管理报告流程，但增加了一份职能报告与以上所述三组之一相联系，将会执行许多审计活动，以便对杜邦审计计划的准备阶段进行控制，对全部审计工作进行监督。

五、启迪与借鉴

实践证明，IT审计开辟：内审的新领域，它取得了一些成功经验。

由于各种原因，我国的内审质量不高，更不用说IT审计了，因为对我国众多企业来说，：企业内部治理结构还没理顺，信息化程度还不普及，只是在某些特殊行业中（如金融行业）比较普遍，、可以说，IT审计在我国还处于起步阶段，而国外已发展得比较成熟。所以笔者认为，除了进一步改变国有企业的内审管理双重体制之外，我国可在以下方面借鉴西方先进经验，努力提高我国的IT审计水平：

1.重视与外部审计师的合作，尤其是注册会计师。我国的注册会计师行业虽然起步较晚，但目前已取得令人瞩目的成绩，特别是知名会计师事务所积累了大量的企业管理信息，相信与某公司长期合作的会计事务所定会为该公司提供良好的内审控制建议。

2.强调对内审人员的培训。在我国，由于内审管理体制还没理顺，没有统一的准则。各企业应根据IT审计要求的高低进行不同程度的培训。

3.规范I丁审计的同时，注意改进审计方法技巧。可参考杜邦的作法，把整个审计过程划分为几个阶段，并固定下来。但在各个阶段的审计工作中，应注意审计方法的灵活运用。另外，尽量使用量化标准，如建立变量模型等。

4.重视内审人员的知识更新，这是IT审计的性质所决定的。现代企业的信息系统普遍应用网络技术，且与电子商务系统紧密结合，使产业信息系统无纸化。在此环境下，审计人员不仅要掌握传统审计的基本知识，还必须掌握计算机应用基本技能，这样才能满足审计需求，特别是对于内审的IT审计来说，不只是对企业的会计信息系统进行审计。所以，内审的管理机构及企业都应重视内审人员的知识更新，如，加快有关计算机审计的教材建设，计算机审计人员资格考试及制作计算机审计的具体准则等，方便企业选拔IT审计人员。

[参考文献 ]

[1]Wayne More and David Hen-drey. It Audit Renewal（J）。 Internal Auditorl999（4）。

[2] Pete Rosenwald. To Be or Not To Be LJ]. Accountancy. 1999. （8）

[3]傅元明。计算机信息系统环境下的几个审计问题LJ].审计研究，1999. （5） .

[4]王学龙。内部审计风险初探U].审计研究资料，1999.（10）。