it内部审计论文十篇

时间:2023-03-18 08:05:46

it内部审计论文

it内部审计论文篇1

目前,现代企业经营越来越依赖信息系统,信息系统管理信息、处理业务以及存储大量的数据。也迫切需要对信息化管理现状进行全面的审计,以分析评估存在的问题,提出解决方案,完善IT风险控制,保障各信息系统的规范运作,降低信息化风险,提高业务运营的经济性和有效性。IT审计虽然区别于财务审计,运营审计等常规审计,但其审计方法论仍不可能脱离常规审计所用的方法论。也就是必须对审计目标,审计范围,审计计划等等均需进行清晰阐述,并在实施IT审计后,出具具有充分、适当的审计证据支持的IT审计报告。

一般来说,实现全面的IT审计,应当从审计对象的整个生命周期领域、审计对象及组织层次来开展。

一.IT审计范围

进行IT审计的对象包括但不限于以下领域:1.管理组织与制度;2.项目管理流程规范性 ,包括应用系统的开发、测试与上线管理;3.基础设施及运维管理;4.信息安全管理;

IT审计涉及的应用系统包括但不限于以下领域:1.生产系统;2.营销系统;3.办公自动化系统;

IT审计涉及的组织层次包括但不限于以下领域:1.高层决策者;2.中层管理者;3.技术部门员工;4.业务部门员工。

二.IT审计具体实施

ELC(entity level control)控制。关注客户在IT治理方面的相关组织架构是否合理,管理制度是不是健全,具体的审计程序就是获取客户的组织结构图,及一些比较虚的总纲类的书面管理制度如《IT管理制度》等等。

系统开发和变更。关注系统开发和系统后续变更实施中的控制,具体的审计程序首先就是获取系统开发及变更相关的管理制度,该文原载于中国社会科学院文献信息中心主办的《环球市场信息导报》杂志http://总第522期2013年第39期-----转载须注名来源如调阅《系统开发制度》《系统变更管理制度》,二是关注系统开发过程的合理性,如是否经过了需求提出、可行性研究、领导层审批,系统上线之前是否经过了充分的测试,获取一些内控痕迹和表单,如《××系统需求报告》、《××系统可行性报告》、《××系统立项审批单》、《××系统单元测试报告》、《××系统集成测试报告》、《××系统上线审批单》,《变更审批单》,采取抽样后穿行测试。

操作系统及数据库控制。关注操作系统和数据库的控制,如登录时密码控制强度、敏感操作的权限分配、日志的保存。

应用系统控制。关注应用系统控制的合理性。如银行使用的综合业务系统(有的叫核心业务系统)、国际结算系统、大小额系统、信贷管理系统等等,关注其安全配置和用户权限。

接口控制与信息安全。关注其数据准确性、完整性、以及组织级的网络管理的相关制度,如防火墙的架构,内外网分离程度等。

三.IT审计依据

IT审计依据的来源基本上业界都有很充分的理论依据以及最佳实践,以下IT控制标准、法律法规、行业最佳实践都可作为IT审计的依据。

IT标准、规范及最佳实践; 企业内控框架-COSO;IT治理-COBIT、ISO 38500;IT规划与架构设计-Zachman、TOGAF、FEA;IT应用系统开发与运维-软件开发规范、CMMI、ISO9126;IT基础设施生命周期管理-网络、主机、安全等设备管理规范;IT服务管理-ITIL、ISO20000;IT项目控制-PMP、Prince2、项目监理规范;信息安全管理-ISO27001、ISO27002;业务连续性计划-BS25999、ANSI/NFPA 1600;IT应用控制-输入控制、处理控制及输出控制;IT资源协同-EAI、SOA、共享中心等……

目前,信息系统的正常运行已经成为银行业务正常运营的最基本条件之一,信息科技在有力提升银行核心竞争力的同时,信息科技风险也愈发突出和集中,信息科技风险控制已成为银行业风险管理的重要内容,而IT审计作为银行业风险管理体系的重要组成部分,其重要性和必要性已经日益得到银行业管理层的关注。

IT与其他如财务审计等不同之处,主要在于审计框架是否全面。审计过程仍遵循常规审计步骤,包括审计策划、审计准备、审计对象调查、实施审计、审计发现复核及沟通、审计报告六大步骤。

it内部审计论文篇2

关键词:电网企业 IT审计 IT 风险 信息技术

近年来,计算机与网络技术使当今世界进入信息经济时代。Internet与电子商务的迅速发展正使企业的经营环境、经营方式和管理模式发生重大变化。这种环境下,电网企业除了继续加强传统生产管理技术投入,对信息技术投入也越来越大,各种生产、经营管理信息系统的运用极大的满足了企业生产经营的需求,提高了电网企业优质供电服务的能力,也促进了企业经营管理水平的提高。随着企业对信息化运用和依赖程度越来越高,如何保证各种信息系统正确、高效的运行,使得审计面临着新的挑战和任务,引入IT审计技术可加强对信息系统的风险控制。

IT审计与信息技术的发展密不可分。现代化的IT技术已经应用于内部审计之中, 大幅度地提高了内部审计工作的效率, 而且在多个方面对审计的发展产生了广泛的影响[1]。

IT审计在国内外学术界有多种叫法,例如 EDP审计、电算化审计、信息系统审计等。尽管叫法不同,但其涵义基本相同。IT审计与一般审计一样,同样是执行经济监督、鉴证与评价职能。其特殊性主要在两方面:(1)对执行经济业务和会计信息处理的IT系统进行审计,即IT系统作为审计的对象;(2)利用计算机辅助审计,即计算机作为审计的工具。概括起来说,无论是对IT系统进行审计还是利用计算机进行审计,都统称IT审计[2]。

1.电网企业IT审计的目标

为能有效地、恰当地和高效率地开展IT审计,应该明确IT审计的目标。IT审计并不改变审计的目的和职能,只是审计的环境、对象、方法和工具发生变化。电网企业IT审计的目标可概括为通过对企业IT规划、建设、应用、服务以及安全等全方位的审计,评价信息化投入效益,充分识别与评估IT风险,促进完善IT控制措施,提升IT系统的可用性、安全性、完整性、效益性,以达到强化IT内部控制的目的。

2.IT审计的内容[3]

2.1研究、审查与评价IT系统的内部控制

由于应用了电子数据处理技术、网络技术、电子商务技术等等,电算化和网络化带来了许多新的风险。系统的安全、可靠性很大程度决定于系统的内部控制。没有健全的控制,系统的程序和数据可能随时被人篡改,机密的经济信息可能被人窃取,系统可能遭受计算机病毒和黑客的攻击和破坏,等等。为了提高计算机信息系统的合法性、正确性和安全性,研究计算机信息系统的特点和风险,研究应有怎样的控制才能有效地降低这些风险,对系统的内部控制进行审查和评价,审查系统的内部控制是否完善,监督内部控制的有效执行,对控制的弱点和缺陷提出改进的建议,确保计算机信息系统能合法、正确、安全、可靠地处理有关的经济业务,是IT审计的一项重要任务。在电算化和网络化条件下,系统的内部控制包括程序化的控制和要求员工执行的管理制度。程序化的控制编写在系统应用程序中,其审查可在系统功能审计中进行。对管理制度的完善性和有效性进行审计,则类似于传统的内部控制审查。

2.2 IT信息系统开发审计

在网络化条件下,为企业能正常经营、有效管理,必须建立合法、有效、安全的计算机信息系统与企业内部网。一个计算机信息系统,尤其是大型的网络系统,如果问题到正式投入运行后才发现并进行修改,要比在开发阶段发现、改进耗费更长的时间和更高的成本。因此,有必要对计算机信息系统 (如 ERP系统)的开发进行事前、事中的审计。这项审计工作一般由内部审计人员执行。系统开发审计的主要内容包括:①审查系统开发的可行性;②审查系统业务和信息处理功能的合法性和正确性;③审查系统程序控制与管理功能的恰当性与有效性;④审查系统的可审性(即是否留下了充分的审计线索);⑤审查系统测试的全面性和恰当性;⑥审查系统文档资料的完整性;⑦审查系统的可扩展性。

通过系统开发的事前与事中审计,尽早发现系统的问题,及时提出改进的建议,可以把好系统质量第一关,同时也为审计人员今后对系统的审计打下基础。此外,审计人员在系统分析阶段应根据网络化审计的特点对系统提出审计方面的需求:①在系统中建立监控程序 (又叫嵌入审计程序),以便计算机能对一些敏感和重要环节实行实时监控,发现异常的情况或例外事件自动向审计部门报警或自动记入审计文件,以便审计人员审查。②在信息系统中建立审计子系统或模块,提供审计程序、审计工具和审计档案库,以便审计人员进行网上审计。

2.3 IT信息系统功能审计

在电算化和网络化条件下,经济业务处理或会计核算由计算机系统执行,为了能对计算机信息系统的合法性、正确性和安全性实行有效的监督,IT审计的另一项重要任务就是要对计算机信息系统的功能进行审计。对信息系统功能审计的主要内容包括:①审查验证系统对业务与信息处理的合法性、正确性和可追索性。查明它们能否按现行的会计制度以及有关的财经法规和政策规定进行各项经济业务处理和会计核算,提供合法、正确的经济信息。②审查系统程序控制功能的恰当性和有效性。查明系统能否有效地防止或及时地发现在输入、处理、输出等过程中可能出现的各种差错和舞弊,达到预定的控制要求。计算机系统由硬件设备、系统软件和应用程序组成。只有三者的功能都正确可靠,系统的处理和控制功能才可能正确可靠。因为硬件设备和系统软件是由计算机厂商提供的,其中建立了不少控制,其功能一般来说比较可靠,一旦出现故障也较容易发现。会计核算或经济业务处理是根据系统的应用程序进行的,计算机系统的处理和控制功能是否合法、正确、可靠,很大程度决定于系统应用程序的正确性和安全性。因此,对计算机信息系统功能的审查,常着重于对系统应用程序的审查。对复杂的IT信息系统功能的审计,审计人员应聘请IT专家共同参加审查。

2.4 IT信息系统电子资料审计

审计都要对被审单位的证、账、表及其他反映经济活动的有关资料进行审查。在会计电算化条件下,证、账、表以数据文件的形式存储在电磁介质中,对它们的审计可以利用计算机辅助审计。计算机可以快速准确地完成各种繁复的计算,可以对大量的数据按指定要求进行各种审计处理,利用计算机辅助审计可以加快审查速度、提高审计效率和审计质量。

如果说仅在会计电算化条件下,审计人员还可以绕过计算机,只对打印输出的证、账、表和有关资料进行审计的话,那么,在网络经营与电子商务的条件下,因为没有纸性的审计线索,只有电磁化的电子资料,审计人员不可能绕过IT审计。对经济活动和会计信息的审查,必须利用计算机对有关的电子资料 (包括各种原始单据、合同、记账凭证、账簿、报表等)进行审查取证、汇总分析。对电子资料的审查,是IT审计的重要任务之一。

3.IT信息系统审计的程序

IT信息系统审计的程序与手工会计信息系统审计的程序基本相同,是指审计工作从开始到结束的整个过程,一般包括三个主要阶段,即计划准备阶段、实施阶段和审计完成阶段[4]。

3.1计划准备阶段

计划准备阶段的任务是:根据审计的目标对被审计单位的计算机会计信息系统进行初步调查、组织IT审计小组、发出审计通知书、编制审计计划等。初步调查,了解被审计单位的基本情况。包括:计算机会计信息系统的硬件、软件配置状况;系统总体结构、功能模块划分及各模块之间的关系;系统人员的配备、职责分工、相关规章制度及业务流程;初步评价内部控制制度的执行情况。

组织IT审计小组,根据被审计单位计算机会计信息系统的复杂程度、审计任务的难度及审计人员的素质选择适当的审计人员组成IT审计小组。小组成员可以由经过IT知识培训的审计人员和具有会计、审计知识的IT技术人员共同组成,各自发挥专长。相互配合完成审计工作。

发出审计通知书,执行内部审计时,要对被审计单位发出审计通知书,审计通知书是告知对被审单位进行审计的书面文件,包括:审计机关的名称,审计的目的、范围、重点,审计的时间和要求等。编制审计计划,审计计划由审计项目负责人于现场审计工作开始前起草,基本内容包括:被审计单位的基本情况、审计目的、审计范围及重点、工作进度、审计组人员组成及分工、审计程序、提出审计报告的时间等。

3.2实施阶段

实施阶段是审计全过程的中心环节,其任务是:对被审单位的内部控制的建立及遵守情况进行控制测试,对系统处理功能及处理结果的正确性进行实质性测试。

①控制测试。对内部控制措施的可靠性进行的测试,可分为一般控制测试和应用控制测试。一般控制测试的主要内容是:组织与管理控制、开发与维护控制、硬件和系统软件控制、系统安全控制、系统文档控制等方面的审查与测试。应用控制测试的主要内容是:输入控制、处理控制和输出控制的审查与测试。

②实质性测试。对被审计单位账户余额和发生额进行直接审核,以确认系统信息的正确、真实与可靠。在对会计资料所进行的实质性测试过程中,因为大量的信息都是以机器可读形式存放于一定的介质上,对这些数据文件的测试方法与手工截然不同。具体的测试方法包括以下三种:第一,不处理数据文件的实质性测试方法;第二,处理实际数据文件的实质性测试方法;第三,处理模拟数据文件的实质性测试方法。

上述三种方法与应用程序测试所叙述的方法基本一致。实际上,数据文件的测试可以与应用程序控制测试同时进行,也可以认为是计算机信息系统环境下的“双重测试”。

3.3审计完成阶段

审计完成阶段是实质性审计工作的结束,其任务是:整理、评价收集到的审计证据,复核审计工作底稿,编写审计报告。

①整理、评价收集到的审计证据。审计人员通过分类、计算、比较、综合等方法整理、分析审计证据。

②复核审计工作底稿。通过对审计工作底稿的复核,检验所引用的有关资料是否详实可靠,所获取的审计证据是否充分适当,审计判断是否合理,审计结论是否恰当。

③编写审计报告。审计人员必须正确运用职业判断、综合收集到的审计证据,根据审计准则,形成正确的审计意见,出具审计报告。审计报告除被审单位财务活动及文件编制的合法性、公允性,会计处理方法一贯性发表审计意见外,还应对被审单位计算机会计信息系统的内部控制和处理功能进行评价,并应提出改进建议。

4.IT审计技术及审计软件综述[5] [6]

4.1 IT嵌入式审计技术(一种在线审计技术)

嵌入式审计模块是集成于应用系统的各个环节的代码段, 或者说它是嵌入被审查的系统中的一个程序块, 应用它的主要目的是实现对交易处理等被审计事项的持续监控。嵌入式审计模块根据预先设定的规则对系统中每一项交易进行实时检查, 因此它尤其适用于需要处理大量数据的计算机系统中。嵌入式审计模块对满足预先设定规则的交易, 在该交易被进一步处理前作如下工作: 记录该交易的细节, 实现定期浏览和报告审计日志文件, 为后续审计作准备; 或者只是对交易作标记( tagging) 以便区分其他交易。

利用嵌入式审计采集审计证据有其独特的优点。其一, 它并不需要内部审计师连续地监控审计模块, 而是只要零星和偶然的监控即可获得有效的结果, 这就大大减少了内部审计师的工作量。实时审

计可以弥补事后审计线索不充分的缺陷。例如: 我们使用客户服务系统(CSS,Customer Service System )来管理客服功能。基于在线实时环境运行的CSS系统能保证客户服务数据直接由客户端传入系统数据库中, 对这种运行能够进行有效的实时监督的就是嵌入式审计过程。其二, 它可以采集审计所关心的关键数据。如对计算机非正常运行时间处理各项业务的记录, 或对非法调用数据文件处理的记录。嵌入的审计程序本身具有隐蔽性、安全性和稳定性。非审计人员不能看到这些审计程序和自动形成的审计数据。所以, 审计人员应用这些审计程序就能自动记载所要收集的审计证据, 同时还可随时调阅这些证据文件, 并利用这些审计证据适时判断系统运行情况和提出审计建议。

4.2通用IT审计软件(Generalized Audit Software,GAS)

GAS 是专门为审计人员设计的, 是能够直接访问各种数据库平台及平面文件(具有行和列的一维或二维数组的数据表)系统的标准软件。它可帮助审计人员完成基本的审计任务,尤其擅于测试计算机中存在的数据和信息。通用审计软件比较容易使用, 只需要审计人员具有有限的计算机知识, 并不要求有编程方面的专业知识,因此具有适用性强等优点, 是目前计算机审计中最广泛使用的审计工具。其基本结构图如图1所示。

国外著名的通用审计软件有审计命令语句ACL(Audit Command

Language)和IDEA(Interactive Data Extraction and Analysis)。国内的通用审计软件有: 中望软件公司的审易软件、中普软件公司的中岳软件、通审软件公司的通审2000、审计之星、金剑软件等。

在众多审计软件中,由ACL Services Ltd.()开发的审计命令语句ACL 是使用最广泛的通用审计软件。它允许审计师将个人笔记本电脑与客户机系统相联, 从而下载客户端数据到笔记本电脑中以供后期的处理。它可以针对覆盖所有交易事项的大数据集合进行符合性测试。值得一提的是, 它有审计追踪的功能, 从而审计师可以在任何时候观看他们的文档, 步骤和结论。ACL使用便利、适用范围广和可靠的优点使其在审计公司中非常流行。

4.3EXCEL中的审计工具

Excel是审计人员最常用的一种简单却非常易用的工具。可利用Excel辅助执行的审计工作有:利用Excel辅助审计程序表的编制,编制某些项目的审计表格,编制试算工作底稿与调整后会计报表, 编制集团公司的合并报表, 进行分析性复核。利用Excel辅助审计, 是一种成本低、效率高、灵活方便、实用有效的计算机审计技术。

5.结论

未来计算机审计工具与技术的发展更加要求内部控制制度的加强。传统记账方式下, 可以从字迹上辨认出登记人, 从而明确责任, 但是计算机环境下只能提供统一模式的输出资料。没有记录人的笔迹, 无法从记录上辨认登记人, 审计线索的痕迹不容易追踪,这就需要审计人员对会计部门的内部控制制度、职责的划分情况进行审查和评价。

随着电力行业快速发展,加强IT审计是建设国际一流电力企业的必然需要,也是国资委、工信部、国内外证监会等监管机构外部要求,更是践行“万家灯火、南网情深”企业理念的内生需求,必须通过加强IT审计来保证公司的信息技术应用对各级监管政策、法规的遵从性。因此,开展全面系统的IT审计是企业生存与发展的客观需要,具有重大的现实意义。需要我们以发展的眼光,与时俱进,坚持科学发展观,自主创新,深化研究,消化吸收国外IT审计先进方法、理论和技术,建立完整的、自主可控的信息系统事前、事中、事后多密级、多业务、多系统、多网络综合安全保障体系,为电网企业在各个领域的发展提供坚强后盾和有力保障。

参考文献:

[1]刘炳焕.我国计算机审计的现状与发展对策分析[J].审计文摘,2004(6)

[2]Larry E.Rittenberg,adley J.,Schwieger. Auditing:Concepts for a Changing Envioroment[M],Jointly published by Peking University Press,2003.

[3]薛鹏.如何在会计电算化环境下实施有效的审计[J].工业会计,2002 (11).

[4]中国内部审计协会.中国内部审计规定与中国内部审计准则[M]. 北京:中国石化出版社,2004.

[5]王宝庆.现代内部审计[M].上海:立信会计出版社,2007.

[6]理查得·L·莱特里夫等.内部审计原理与技术[M].北京:中国审计出版社,2008.

it内部审计论文篇3

关键词:风险 IT审计 研究

随着科技信息的不断发展,各种信息技术的应用,在全国范围内以及各行各业都非常广泛,那么,在这种趋势下,IT的审计风险也就在日益增大。尤其是以企业为主的有关审计,对于如何认识IT的审计风险,又应该如何有效地化解IT风险,这已经成为目前整个行业越来越关注的话题。现在,这一问题的解决,在国际上所通行的作法,就是对IT进行审计,本文就来详细地谈一谈关于IT审计的一些问题。

一、企业IT审计的主要概念

提起审计,每个人可能都很了解,就是对企业里经济活动的一种独立的监督和审查。那IT审计又是什么呢?这可能就会使很多人费解,其实理解IT审计并不难,与上面所提到的审计差不多,就是针对具体的IT活动进行独立的监督和审查。在这里我们要明确几个关于IT的基本概念:首先,我们要掌握IT活动的含义。IT其实是信息技术英文单词的缩写,信息技术和经济属于不同的概念,经济是社会上的一种具体现象,它主要是利用社会规范对其进行调整;而本文前面提到的信息技术,它是一种技术,是用具体的技术规范对此进行调整的。其实IT审计不仅仅是依据技术规范的信息对IT活动来进行审计,如果只有技术规范对其进行审计的话,就完全缩小了关于IT审计的主要范围。IT活动其实就是人的活动,其具体目的也是为人服务的,IT审计的主要范围不只包括IT的具体活动,还包括一些与IT活动有关的其他活动,只有这样,才能够保证关于IT的审计符合IT相关活动的具体要求。

其次,IT审计具有独立性。这也是审计活动中的基本原则。独立性要求的是审计主体与审计对象的相互独立,由此才能够保证IT审计结果的一种客观性。

再次就是IT审计的监督和审查。监督是能够使审计活动达到一个预期目标而对活动进行督促和监督,审计就是对IT审计中的某项活动进行核实。那么,IT的监督和审查程序就是为了预防IT可能发生的风险,督促、监视各种与IT相关的活动,并核实其符合规范性的具体活动。

二、对IT审计风险的具体理解和IT的制度规范

首先,风险就是某一个事件产生了我们不希望发生的后果的一种可能性。IT风险不能将风险局限在只有IT的考虑范围,IT作为技术,它必须是为组织目标服务,其实IT风险并不是IT本身所具有的风险,它是一种在组织引入IT技术后产生的风险,也就是说,它是组织风险。

IT与组织资产有紧密的联系,这种资产对IT组织来说是具有一定价值的,引入IT后,在这种资产的保护上就出现了一种新的薄弱点,外部对组织造成一定的威胁时,那么,组织的资产所具有的价值就可能会受到损害,由此,IT风险就产生了。

其次,关于IT的制度规范。要有效地防范IT风险,就必须要有一套严格的相关制度规范要求。拥有一个合理完善的IT制度规范体系,是有效防范IT风险的主要依据。IT的制度规范是有所区分的,第一种应该是法律规范,也是IT制度规范中强制性的规范,不管任何人在任何情况下都必须严格遵守,同时,法律法规也是审计的依据。第二种就是各大企业内部自主制定的相关制度规范。这种IT制度规范所体现的是一种强制性的制度规范,还具有两方面的特点:一方面它是为各大企业的发展战略目标而服务的;另一方面它要与IT活动存在的客观规律相符合。所以,企业所制定的制度规范的完善程度要能够促进企业自身发展目标的实现,切实贯彻强制性的规范要求,还要反映企业IT活动的各种客观规律。

三、IT审计的具体思路

首先,要认真学习并深入理解规范制度的强制性要求。其次,要结合企业的IT制度是如何对强制性规范进行规定的。再次,要了解企业内部资产价值的评估,以及企业的发展战略目标是怎样将这一规范制度体现出来的。最后,根据其资产的不同重要程度,要从最重要的开始,检查一个企业内部对所制定的IT制度规范具体的执行情况。另外,为了能够有效实现IT审计的目标,并且合理地使用IT审计资源,在进行审计的过程中,要对重要的评估,运用专业判断知识。要根据审计工作人员的公用标准或者职业判断,内控审计的结果,一些重要性的判断是离不开一定的环境的,审计工作人员,要根据具体的系统环境来确定其信息的重要性。

四、结语

总之,IT风险的防范,是目前各大企业所面临的一个最严峻的新挑战,同时,这也是一个企业在激烈的市场竞争中能够占据良好地位的新机遇。企业要及时做好有关IT风险的防范措施,其关键因素就是要进一步深入地理解一个企业内部的发展战略,及时摸清企业发展的现状,并在此基础上,逐步加强IT的审计工作,规范企业中IT的相关活动,为企业在市场竞争中能够取得良好的地位创造前提条件。

参考文献:

[1]陈阳.试论基于风险的IT审计[J].现代经济信息,2013(3)

[2]康洪艳.IT审计的更新[J].审计与经济研究,2008(2)

[3]安广实,陶芸辉.IT审计风险成因极其防范对策思考[J].中国乡镇企业会计,2012(8)

[4]吴越,俞文萍.通过IT审计加强金融企业风险管控[J].上海国资,2008(8)

it内部审计论文篇4

(一)日本ICOFR评价依据:两个层次。日本ICOFR评价依据包括两个层次:法律法规层次———2006年6月日本议会通过的《金融商品交易法》;技术规范层次———2007年2月日本企业会计审计会正式的《关于财务报告内部控制评价与审计准则以及财务报告内部控制评价与审计实施准则的制定(意见书)》和同时颁布的《财务报告内部控制评价与审计准则》(简称为评价与审计准则),以及《财务报告内部控制评价与审计实施准则》(简称为实施准则),要求上市公司自2008年4月1日以后开始进行会计年度ICOFR的评价与审计。以上法规共同为企业管理层以及公认会计师对ICOFR评价提供指导。日本内部控制评价与审计准则主要由三部分组成:内部控制基本框架、财务报告内部控制评价及报告和财务报告内部控制的审计。“财务报告内部控制评价及报告”和“财务报告内部控制的审计”分别阐述了管理层对财务报告内部控制的有效性评价和注册会计师进行审计的思路。

(二)日本ICOFR的基本框架———超越COSO框架。在借鉴美国SOX法案主要内容的基础上,日本在意见书中规定了全新的内部控制框架,提出了建立内部控制的四个目标和六个基本要素。四目标:除了COSO报告中包括的提高业务活动的效率性、财务报告的可靠性与经营活动的合法性三个目标外,还增加了“资产保全”目标。内部控制的基本要素,除了吸收美国COSO报告中的关于控制环境、风险评估、控制活动、信息与沟通和监控被多数国家认可的五要素以外,考虑到随着IT环境变化发展,IT渗透企业以及信息系统反馈与ICOFR制度密切相关,日本增加了“对IT的应付”这一新的基本要素。IT的应对在内部控制框架中体现了日本信息技术的飞跃发展对组织产生的深刻影响。IT内部控制是日本内部控制框架的重要特征。在管理层评估内部控制有效性时,日本与美国都是采用自上而下基于风险导向的方法。但与美国不同的是,日本意见书实施准则规定:由管理层评估使用IT的控制是评估业务水平控制的重要内容。实施准则包括:使用IT内部控制的评价、评价范围的决定、评价单位的认定及使用IT的内部控制的构建状况和运行状况有效性的评价四方面。

(三)日本ICOFR评价———与财务报告审计相关联。具体体现在:(1)ICOFR评价与财务报表审计协同进行。两个审计过程可由同一个注册会计师执行,并且可互相利用对方的审计证据。这样可以缩小测试范围,减少审计工作量和降低执行成本。(2)主要评价与财务报告相关的内部控制。内部控制是一个非常广泛的概念,日本审计准则的内部控制评价范围只与财务报告相关,这与美国相同。日本准则同时对公认会计师进行ICOFR的评价范围做了要求,其内容主要包括管理层对内部控制评价范围的适当性、评价范围所选择方法的合理性、内部控制有效性评价适当性以及内部控制重大缺陷的报告适当性等几部分。(3)内部控制评价报告原则上可与财务报表审计合并编制。所以日本财务报告内部控制评价执行标准是与财务报告审计相关联的。日本以上的做法也是基于成本效益原则的考虑。

二、美日经验对我国的借鉴

美国的财务报告内部控制体系较为成熟,而日本的经济和人文环境与我国较为相似,美、日两国ICOFR评价经验对于我国上市公司如何实施ICOFR评价具有重要的借鉴意义。

(一)关注IT的应对。2008年6月我国五部委联合了《企业内部控制基本规范》,表明我国在内部控制评价和审计中取得了重大成就。但基本规范中提出的我国内部控制五要素中不包括内部控制IT的应对,这不得不说是一个缺憾。目前IT环境迅速发展,IT已渗透到企业经济业务的各方面,组织的业务内容在很大程度上依赖信息技术,组织信息系统与IT高度结合,如果离开了IT信息技术上市公司将无法进行业务活动。上市公司各项业务活动对IT的应对已成为公司实现内部控制目标必不可少的内容,因此我国应借鉴日本的做法,将IT的应对作为内部控制的基本要素之一,及时制订与IT内部控制相关的I-COFR评价和审计的具体措施。

(二)通过法律形式对我国I-COFR的有效性评价进行强制性规定并严加监管。我国开展内部控制评价和审计工作时间不长,取得了一定的成就,企业内控重视程度、经营管理水平、风险防范与应对能力都有显著提高,但也存在不少问题。截至2012年12月1日,沪、深交易所共有2492家上市公司,其中2244家披露了内部控制评价报告,占比90.64%,还有9.36%没披露;有2236家上市公司未披露内控缺陷,占比99.64%,8家上市公司内控存在重大缺陷。内部控制审计情况:2012年共有1532家上市公司披露了内部控制审计报告,占比仅为61.48%,其中内控审计结论为标准无保留意见的为1506家,占98.%,非标准意见的是26家,占1.7%。从中可以看出,目前还有不少上市公司未披露ICOFR评价和审计的情况,公司财务报告的可靠性无法得到保证。所以我国有必要借鉴美国的做法,通过法律形式对ICOFR的有效性评价进行强制性规定。为了更好地推动内控规范体系的落地,应针对不同行业以及企业现实需求,研究特殊行业运作特点、共性风险和行之有效的控制措施,及时制定和行业实务指南。针对目前有些公司内控缺陷认定的随意性,监管部门应研究制定内控缺陷认定指南。在修改《会计法》、《证券法》等相关法律法规时增加内部控制相关条款,提升内控要求的法律层次,进一步明确企业及相关中介机构对内控的责任。要建立健全考试和培训制度,将内控的规范知识纳入到会计从业和专业技术职称考试以及继续教育的内容中,培育壮大内控专业技术队伍人才。财政部、证监会及派出机构要加大监管资源的投入,形成合力,加大对有关企业、会计师事务所和咨询机构实施规范体系的监督检查力度,坚决查处内控评价工作走过场、缺陷认定不客观、评价结论不适当和内控信息披露不充分的违规违法行为。

it内部审计论文篇5

地点:赛迪大厦18层会议室

形式:中计在线嘉宾现场对话

对话嘉宾:

王卫乡

中国中信集团公司管理信息部副主任

周梓滔

德勤华永会计师事务所有限公司企业风险管理服务高级经理

钱晨

科索路咨询公司副理

田海波

北京锐思盈泰科技有限公司董事副总经理

无内控等于慢性自杀

主持人:企业内部控制的目的是什么?有什么需求?

钱晨:企业内部控制的目的是在保证实现公司战略目标前提下,对存在的风险进行控制。无论董事会还是全体员工都要对企业披露的信息的可靠性负责,但最终责任会落在董事会上。

IT内审的引入是因为在给上市公司内控评估时,IT是其中的一个重要的组成部分和方法。

主持人:请德勤公司的周经理谈谈中国企业的内控跟国外企业的有什么差异?

周梓滔:主要是在理解法案、标准时可能会不一样,因为中国的国情和中国企业的管理方法跟国外企业不尽相同。比如说,国外企业可能会成立专门的审计委员会,但国内企业可能会把审计委员会放在某一个组织里面,如在财务部,这就造成了独立性的不同。

主持人:作为用户的代表,请王主任讲讲中信集团在内控方面是怎么考虑的?

王卫乡:目前中信集团有好几家上市公司,如刚上市的中信银行,中信证券、中信国安等。我们一直非常关注企业内控,其中包括IT内审和萨班斯法案。我们的审计部是唯一一个由集团公司董事长直接分管的部门。

实际上,从我们公司上一任董事长王军开始就一直特别强调内控。他曾指出:“没有发展的内控等于慢性自杀,没有内控的发展,发展越快损失越大”。中信集团自1979年成立到现在快30年了,一直都保持快速发展。在高速发展的20世纪90年代中期,我们深感管理手段和发展的速度不匹配,导致有些项目最后失去控制,并造成很大的损失。

现在我们已经采取了一些技术手段,并引进了一些软件来加强审计,如加拿大的ACL审计软件。我们的内部审计目前主要强调的内容包括:离任审计――像下属的子公司领导任期换届,中长期项目在项目实施过程中是否存在重大失误的专项审计,其他的,如下属的公司层面,因资产的分布不是很均衡,金融业务领域是由金融控股公司的风险管理部来主抓。

主持人:各位嘉宾能否总结一下信息技术对企业内部控制的价值是什么?

钱晨:IT是企业内控的一个重要内容和手段。现在多数企业都会用到IT系统,很多流程都嵌入到IT系统中,企业内部控制也应该对IT系统进行控制。同时,我们在进行内部控制的时候,也应该通过IT手段来辅助实现。

周梓滔:我们看到一个很重大的改变:以前内部控制都是通过手工来实现的,非常复杂;现在借助IT系统来实现内控,效率大大提高了。另外,对IT系统进行控制,可以优化系统,提高系统性能。

王卫乡:任何事情都有两面性,IT技术可以帮助我们进行内部审计、获取更加及时、有效的信息,但是如果不加强对IT本身的审计,可能会被人利用,拿这个工具去做不正当的事情。所以要从观念上重视IT内审。

田海波:从客户的反应上也可以看到IT内审的价值。我们之前是做电信行业的BOSS系统的,在跟客户接触过程中发现客户对IT内审的需求很大。因为客户觉得内控工作非常烦琐,希望能够借助有效的工具来帮助他们轻松实现。

主持人:那么,企业应该怎样进行IT内审呢?

周梓滔:如钱经理所言,IT审计有两个方面,一个是对IT进行审计,另外一个是利用IT技术来进行审计。首先要看IT有什么东西要做审计:现在很多ERP系统中已经就内部控制做了设置;另外可以利用DQI方法(利用数据库、程序去运行大量数据可以帮助企业分析发现业务上的问题,以供企业进行调整)。这是一个非常有效的审计方法。

对IT进行审计是指对整个IT环境各方面的审核工作,如信息安全、软件开发、系统维护等。

钱晨:也有说法认为IT控制有两个方面:一个是应用控制,即IT必须对业务流程进行某些控制;另一个是通常性控制,对于支撑公司运作的IT基础技术架构平台进行有效管理控制。

主持人:我听一个在香港上市的企业的CIO说,IT内审对他们来说就是会计师事务所给他们提供一个与IT相关的表格,他们只需按照这个表格的要求来执行就可以了。是这样的吗?

王卫乡:没有这么简单。这可能要牵扯到两个部门:一个是IT部门,一个是审计部门,实际上这是跨两个领域的事情。

周梓滔:我们给企业做IT内审的时候,要先了解被审企业的情况,了解他们的业务范围是什么,管理层对IT管控持什么样的看法,然后再按我们的方法论对风险较高的地方进行审计。

业务不同,IT审计的策略也就不同。比如一个企业拥有大型的数据中心,并依赖该数据中心为客户提供服务,那么该数据中心的物理环境安全就是非常重要的环节。但如果是一个销售企业,他们的IT系统会相对简单,数据中心的物理安全也会影响他们的财务数据,但要求就不那么高了。

IT内审谁在喝彩

主持人:去年大家都对IT内审比较关注,但是最近好像没什么大动静了。实际情况是这样吗?出现这种情况的原因又是什么呢?

周梓滔:我看到的情况有点不同。刚才王总说得很对,现在做IT审计的人并不多。企业如果成立专门的IT内审部门成本太高,所以往往会外包给一些第三方公司来做。

上交所、深交所要求他们的上市公司也要进行内控,其中IT内审是很重要的环节。有些母公司在国外的跨国企业在IT内审方面做得比较多,因为他们的网络、系统是全球化的,要符合母公司所在地相关法规的规定。

国内的一些大型企业在这方面也有很大的改善。但我们发现需求增加的速度比IT内审提高的速度要快很多。其中很重要的原因就是专业IT审计人才的缺乏。比如说有个全国性的银行,他们的IT审计部门只是一个小组,很难进行大的推动。

王卫乡:银行、电信企业强调IT审计取决于他们的业务特点。银行的服务器坏了可能会影响一大片。

此外,企业本身环境的要求或者政府的管制要求也很重要。美国政府已经以法案的形式来进行约束。其实国内前几年也发生过不少因为内控失效造成重大损失的案例,那在目前牛市的情况下,如果还不加强控制的话,影响就会更大。

没人喝彩好像是没有动静,但不能说就没有行动。我相信政府一直在推动,我们企业也在考虑怎么加强这方面的工作。当然,如果将政府和企业两者结合起来,推动的效果会更好。

田海波:我们涉及这块业务是因为我们有一个电信客户希望能从数据模型角度来评估系统设计是否满足其业务需求,要对软件实施过程中阶段性成果进行验证。这是IT内审的一部分。

主持人:在国内上市的公司也同样那么重视IT内审吗?

周梓滔:深交所、上交所的《指引》中提出的内控要求主要是针对上市企业。但是随着相关法案的出台,越来越多的国内上市企业意识到了IT 审计的重要作用和影响,很多公司已经开始了相关的工作。

王卫乡:我觉得企业进行内控往往从自发和自觉两个角度出发。从自觉的角度来做内控的企业,很明白内控对企业发展的好处。如果企业要发展,是不可能不去做这方面工作的,应该是一个自发的行为。有些上市公司大张旗鼓地宣扬自己的内控做得怎么好,这实际上是他们自己应该做的。

主持人: IT内审的推广还有哪些比较现实的问题呢?

王卫乡:我觉得最难的还是观念问题。如果在观念上没有重视这个事情,其他的技术再高超、完善,但如果不去用,那就一点用都没有。

还有一个问题就是现在很多企业的信息化建设还不尽如人意,在这种情况下强调太多的IT审计还没有必要。

主持人:IT内审是一个中长期的工作,上市公司该怎么看IT内审的运作成本和收益?

王卫乡:我个人认为这个投入非常值得,既能够维持公司良好的运转,又能够比较好地监控公司运转的状况。IT审计是一个提供保障的机制,不会直接创造效益,但是它至少不会让已经创造的效益流失。

钱晨:对。也许企业什么都不做也能成功运转很长时间,但风险永远是存在的,像“9•11”那样的小概率事件也是会发生。

王卫乡:为此,我们公司建立了金融的灾备中心,是和运营中心分开的。这应该是IT审计或者企业内控的一个重要组成部分,而且尤其对大型企业来说特别重要。

周梓滔:当企业很大程度上依赖IT的时候,IT内控不但能够帮助企业理顺业务流程、培养人才和提高技术能力,能够降低风险、提升能力,还能推动业务模式的转变。我们有个客户,他们的IT部门原来是个成本中心,后来通过IT内审优化业务模式,使他们公司的服务达到了世界一流水平,很多国外公司都来找他们咨询。后来这个公司的IT部门因此慢慢成长为一个咨询公司。

中国路线怎么走

主持人:各位认为适合中国国情的IT内审规范应该是什么样的?

王卫乡:这个问题很难回答。但是全球化以后,很多中国企业都在海外上市,要求我们去适应海外交易所的法规,同时也会带来一些好的做法,我们可以借鉴一下。

主持人:那中国的IT内审规范应该怎么来做?

周梓滔:IT内审并不是因为萨班斯法案才有的,这在上个世纪80年代就开始有了。当时行内人已经为通过打孔机从电脑上提取数据的计算机进行IT审计。现在随着IT技术的发展,IT审计的内容、方法、技术等各方面都已经发生了变化。

钱晨:我们可以先西学中用,把国外做得好的拿过来借鉴,再对用得不好的加以改进。

田海波:我觉得中国IT内审如果能够形成一个大的产业链会更好,像当初推项目管理时那样,对相关的咨询、培训起了很大的推动作用。

主持人:很多企业不知道自己的IT内审该如何开始,请各位给他们提点建议。

周梓滔:首先可以找我们这样的专业机构来做。如果企业一定要内部自己做,自己培养人才,可以让IT部门负责信息安全的同事去学习一些审计知识――信息安全是IT审计的一部分。但这样有很多东西需要学习和推动,可能历时比较长。

主持人:内部控制标准委员会公布了《企业内部控制规范――基本规范》和17项具体规范(征求意见稿)。不知道各位对这个征求意见稿有什么期望?

周梓滔:征求意见稿不仅参考了萨班斯法案,还参考了很多其他地方的法规,对信息安全、系统运作、应用系统开发等各个方面都有所提及。但是有一点值得我们注意,很多法规都已经推行好几年了,我们应该充分吸取这些法规推行后的经验和教训,并加以消化吸收。比如说,要充分考虑企业内控的成本。

钱晨:我国对上市公司的内控监管还不够,远远达不到萨班斯法案那样的力度。

王卫乡:说到监管力度,我们可以分别来看看欧洲、美国和中国三块市场。对市场的监管力度最强的是美国,欧洲比较温和。从历史上看,欧洲的贵族文化本身对自律性要求比较高,在欧洲上市的公司如果运作不好,自动就退市了。美国虽然只有200多年的历史,但相关制度为他们的发展提供了有力的保障。如果运作不好就有强硬的措施逼着它退市。我觉得中国应该兼顾这两个市场的特点。我们有5000年的文化,好的地方要继承下来,不好的地方要通过制度来完善。希望现在的征求意见稿能起到这个作用,真正实现对上市企业的违规行为的约束。

详情请见中计在线“阡陌三人行”访谈实录(.cn/Special/InternalAuditing/)

链接:有关IT内审的外包

周梓滔:企业如果成立专门IT内审部门成本太高,可以外包给专业的第三方公司来做。

王卫乡:我赞成这个观点,IT内审业务的外包是比较可取的,因为这对技术要求很高,而且需要经验。

钱晨:IT审计外包更能够体现审计结果的独立性。如果IT部门本身既做系统管理又做系统的审计,这本身就是一个矛盾的问题,看问题就不会很客观,也会造成利益的冲突。

中国中信集团公司管理信息部副主任 王卫乡

IT审计包括对IT系统的审计、通过IT辅助审计工作和审计管理的信息化。

德勤华永会计师事务所有限公司企业风险管理服务高级经理 周梓滔

我们应充分吸取其他地方相关法规推行后的经验和教训,并加以消化吸收。

科索路咨询公司副理

钱晨

内部控制的目标是在保证实现公司战略目标的前提下,对存在的风险进行控制。

it内部审计论文篇6

公司治理的效率、效果直接依赖于许多的制度要素。这既包括审计和信息披露的质量,也包括系统对契约的监督以及对外部投资者的保护能力等。例如,在逆向选择的框架下,我们可以看到:一个更好的标准和更及时的信息披露要求将大大减轻经理人与外部投资者之间的信息不对称,从而便利了融资,降低了风险。因此,公司治理的核心问题是信息不对称性或不完全性,解决公司治理问题,最核心的是公司信息的真实、准确以及处理与传递的效率问题,而IT技术在实时披露、实现透明度原则和体现监控力度上正日益成为有效的工具。2002年美国颁布的《萨班斯法案》对公众公司提出了更高的要求,法案的409条款要求上市公司必须向投资者实时披露必要的信息,包括图片、表格等信息,302、404条款要求公司应定期评价其信息系统及其内部控制的充分性来保证提供给投资者信息的准确和完整,强调公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任。因此,IT治理,加强IT控制,降低风险,有效地实现公司治理,成为全球关注的问题。

公司治理是建立组织各利益相关者之间的相互制衡机制,管理风险,有效实现组织目标的一系列过程及制度。内部控制制度是实现善治的制度安排之一。IT治理是实现公司治理的工具。IT治理不等于治理IT技术,它是一个信息背景下的制度安排,包括内部控制、审计以及公司信息的披露等。IT内控是内控的一个组成部分,信息时代,企业管理信息化水平日益提高,信息资产成为企业的核心价值资产,IT在给企业带来竞争力的同时,也带来了极大的风险。因此利用IT技术加强内部控制,并对信息系统自身加强管理控制,成为公司治理及IT治理必不可少的组成部分。IT内控是强化风险管理,完善信息时代公司治理的必要手段。IT治理、内部控制、审计、风险管理体系等都是促进公司治理的有效工具。

SOX法案的出台,对企业的公司治理、IT治理及IT内控提出了更严格的要求。

一、SOX法案的要求:

1.对公司治理的要求:

(1)要求上市公司必须建立审计委员会,并对审计委员会的人员组成做出了规定,保证审计委员会的独立性,同时赋予审计委员会更多的责任:《萨班斯-奥克斯莱法》,及其紧接着全美证券交易商协会和纽约证券交易所于2003年11月又的新的公司治理最终规则详细地界定了审计委员会的职责, 具体来说应包括:1)每年获取并审查独立董事提交的报告。2)与管理当局、独立审计师一起讨论经审计的公司年度财务报表和季度财务报表,包括公司在“管理当局对财务状况和经营结果的讨论和”项目中进行公告的财务事项。3)讨论公司收入公告及向分析师和评估机构的财务信息、收益指南。4)讨论风险评价、风险管理政策。5)分别与管理当局、内部审计师(或其他负责内部审计机构的人员)和独立审计师定期会面。6)与独立审计师讨论所有的审计难题以及管理当局的反应。7)制定清晰的关于聘用现任或前任独立审计师的政策。8)定期向董事会报告

(2)增加高管人员及董事会的责任:CEOs and CFOs必须保证财务报告真实,要求发行人的CEO和CFO保证定期报告没有对重大事件的不真实表述,也没有遗漏必须披露的重大事件,并保证财务报告在所有重大方面都公允反映了发行人的财务状况和经营成果。在此基础上,法案单独规定了对管理人员证明财务报告时失职的刑事处罚。CEO和CFO如果知道定期报告不符合上述要求但仍然做出保证的,将判处不超过100万美元的罚款,或是不超过10年的监禁,或是二者同罚;如果是蓄意做出书面保证的,将判处不超过500万的罚款,或是不超过20年的监禁,或是二者同罚。

2.萨班斯法案对内控的要求:

(1)法案302要求:公司管理层设计所需的内部控制,并保证首席官员能知道该公司及其合并报表子公司的所有重大信息,尤其是报告期内的重大信息;评价公司的内部控制在签署报告前90天内的有效性;在该定期报告中他们上述评价的结论。

(2)法案404节要求:编制的年度报告中包括内部控制报告,包括:强调公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任;发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价

3.萨班斯对审计师的要求:增加了审计师对信息系统的审计,要求审计师必须了解业务如何穿过系统,而不是绕过系统。审计师必须了解业务流程,评价IT 控制与一般控制的设计及效果。评价 IT 控制设计效果,确定这些控制设计是否适当地实现相关目标。实施IT控制执行效果测试。

二、对上市电信运营商的挑战

萨班斯法案对高管严格的法律处罚令其中许多公司的最高管理层都如坐针毡、夜不能寐。美国有多达5000家大中型公众公司在2004年11月15日后结束的财政年度中紧张异常,这而对于公司治理尚不完善的电信企业领导来说,更是意味着要承担重大国际法律责任的风险。公司治理决定企业的兴衰,企业的兴衰决定国家的兴衰,因此公司治理建设不能出现任何重大失误。

我国电信企业在公司治理制度在股份制改造过程逐步,中国网通借美国上市契机建立了新型的公司治理结构,董事长与CEO分离,在董事会下设4个委员会:审计委员会、战略规划委员会、公司治理委员会和薪酬委员会。2005年3月7日,在京召开的中国电信集团实业工作会议明确:经过3年左右的时间,逐步规范法人治理结构。由于我们的企业处于转型的特定时期,公司治理水平与日、美等发达国家有一定的差距。信息产业部电信研究院公布的《中国电信业国际竞争力发展报告(2004年)》显示,我国电信业国际竞争力在全世界主要国家和地区中(共33个国家和地区)排名第14位,然而细细看来,却发现了很多隐忧。报告将国际竞争力解析为3大竞争力:环境竞争力、市场竞争力和企业竞争力,其中企业竞争力排名27,企业竞争力指数包括“技术创新”、“生产率”和“公司治理结构”,排名分别为18、28和21.不难看出,目前我国电信企业的公司治理水平。要成为电信强国,环境竞争力、市场竞争力和企业竞争力三者缺一不可,因此,我国目前距离电信强国还有较大差距。从分析要素来看,法律和制度框架、政府效率,以及企业技术创新、公司治理结构等 “软件”能力偏弱,单条腿走路。我国几大运营商中虽然已经有中国移动和中国电信进入了财富500强,虽然几大运营商均已上市实现了公司化治理,但由于脱胎于老的国有企业,因此公司管理能力和治理结构仍有待提高。因此,提高企业竞争力,就应该从改善公司治理结构做起。

三、运用信息化手段,完善公司治理

1.完善公司治理机制。我国电信运营商需要健全公司内部治理的规则和程序、建立公司的合法守规管理、完善约束与激励机制、加强公司的内部控制体系以及建立公司的风险管理与控制机制。虽然在现有的公司治理结构中,有些公司也有审计委员会、独立董事等监督机制,但这些人员的任职资格、发挥作用的程度、以及职责定位等都需要进一步改进。

2、利用信息技术,完善公司治理的监控体系。公司治理是一种对公司管理和运营进行监督和控制的体系。其核心是在所有权和经营权分离的条件下,解决好所有者和经营者的利益不一致而产生的委托-关系。由于委托人(所有者)和人(经营者)是不同的利益主体,委托人(所有者)与人(经营者)相比处于信息劣势的情况下,必然有成本或激励问题的产生。为完善公司治理,必须重视委托与之间的信息不对称问题,通过对公司重要信息有效的传递、鉴别和处理,使成本最小化,提高企业的经营绩效。萨班斯法案强化公司治理要求的目的也是提高上市公司透明度,提高公布信息的质量,加强信息披露,从而保护投资者的利益。

在市场中,信息交换是否充分,是否对称,直接关系到市场经济是否公平、是否有效。为了保证信息公平、公开,人们设立了一系列内外部机制。独立董事担任的审计委员会,公司聘请的会计师事务所都层层对公司财务信息的真实性、准确性、及时性进行审核、这些约束与激励机制的有效性取决于公司信息真实与准确性和处理与传递效率的问题。在这点上,IT技术正成为日益有效的工具。

萨班斯302、404、以及409等条款对公司的要求,使得IT在公司治理机制中的作用日益凸现。由于信息技术不以人们的意志为转移地在各类组织中的普遍,IT在各类组织中的多层次、横纵向嵌入,正在改变着组织的业务流程,进而改变组织的结构、组织的管理及公司治理;特别是电信对IT的依赖性非常大,没有相应IT治理机制的公司治理,使无法满足萨班斯的严格要求的。由于IT治理已成为完善公司治理的重要手段,成为实现 IT与业务的匹配管理、IT价值贡献管理、IT风险管理、IT绩效管理等的重要保证,花旗银行等美国大企业已经引进或正在引进IT治理机制。

国资委连续举办的旨在推动企业建立全面风险管理系统,进一步完善公司治理机制的企业全面风险管理培训上,也提到在公司董事会层面建立IT治理委员会,建立IT治理机制,完善信息的公司治理,促进现有公司治理制度安排的有效执行。但由于信息技术在治理方面所具有的复杂性,完善IT治理机制,构建符合萨班斯要求、适应时代的公司治理机制任重道远。

构建IT内控系统的思路

(1)不能因耗时且成本高昂就摒弃原有的IT控制而另搞一套。SEC管制条款复杂,为了满足萨班斯法案的要求,大多数企业需要调整其员工观念和企业文化,通常也需要对IT系统和其处理流程作一些改进,改进的内容包括其控制设计、控制文件、控制文件的保留,以及IT控制的评估等方面。这是一个循序渐进的过程,不能将原有的一切推倒重来。

(2)要选择好内控框架。法案并没有规定公司必须选择什么样的内控框架, 需要企业自己抉择。国际上比较有名的内控模式有英国的Cadbury、美国的COSO 和加拿大的COCO , 它们从不同的角度剖析公司的经营管理活动, 为营造良好的内控框架提供了一系列的趋于一致的政策和建议。第2号审计标准依据COSO制定的内部控制框架制订,在“管理层用于开展其评估的框架”一节中,明确管理层要依据一个适宜且公认的由专家群体遵照应有的程序制定的控制框架,来评估公司财务报告内部控制的有效性。SEC对该标准的认同等于从另外一个侧面承认COSO框架。COSO 认为内控是由企业董事会、经理层和其他员工实施的, 为营运的效率效果、财务报告的可靠性及相关法令的遵循性等目标的达成提供合理保证的过程。内控框架的构成要素包括控制环境、风险评估、控制活动、信息和沟通、监督五个方面。这套得到了包括SEC、公司管理者、投资者、债权人及专家学者的普遍认可, 国外许多公司都依据这个框架建立了内控系统, 我国公司也可以按COSO 建立内控框架, 逐步与国际管理模式接轨。通过引入COSO 内控要素, 形成一个相互联系、综合作用的控制整体, 使单纯的控制活动与企业环境、管理目标及控制风险相结合, 形成一套不断改进、自我完善的内控机制。

但是很明显,SEC所推荐的COSO控制框架有助于遵循萨班斯法案,虽然它针对的是内部控制,但没有对IT控制目标和相关控制活动提出具体的要求与限制。由于COSO框架缺少对IT内部控制的内容,所以单独以COSO为构建IT内部控制的框架显然是不合适的。COBIT为管理IT风险与IT控制提供了一个综合性的框架,是另外一个被国际认可的业内标准,由4大部分、34个IT处理流程、318个详细控制目标组成。COBIT也涉及企业经营、萨班斯法案遵循等方面的控制。但在萨班斯法案要求下,我们只考虑应用COBIT中与财务报告相关的控制。

因此Cobit与COSO结合作为构建IT内部控制框架,将是两种国际标准优势互补。同时在确定控制点、控制程序、留下相应审计轨迹时,也可以BS15000以及ISO17799等一些国际标准,这些标准都是IT运营、安全方面可审计的一套标准管理控制体系。

(3)要建立一套自评估机制,确保内部控制系统的持续有效

从来看, 企业的发展阶段和管理状况,以及外部环境的变化都是决定企业内控系统建立和运行有效的前提。任何内部控制系统都只是在一个特定的历史阶段有效,管理层对内部控制有效性的声明,要求公司必须建立一套自我评价机制,评价内部控制系统设计、执行是否有效,以支持管理层的声明。同时自我评估机制也可以帮助公司发现控制弱的区域,以及控制漏洞,及时审势度势,弥补内控系统的缺陷,确保内部控制系统持续有效。这也是萨班斯法案所要求的。

控制自我评估(CSA)是指企业内部为实现目标、控制风险而对内部控制系统的有效性和恰当性实施自我评估的。国际内部审计师协会(IIA)在1996年的报告中了CSA的三个基本特征:关注业务的过程和控制的成效;由管理部门和职员共同进行;用结构化的方法开展自我评估。CSA最早出现在20世纪80年代末期,但其最主要的发展是在90年代,特别是在1992年COSO报告公布之后。COSO报告首次把内部控制从原来自上而下财务模式的平面结构发展为更具弹性的企业整体模式的立体框架。传统的内控评价方法只能用来评价诸如财务报告,资产与记录的接触、使用与传递,授权授信,岗位分离,数据处理与信息传递等的“硬控制”。在新的内部控制模式下,迫切需要评价包括公司治理,高层经营理念与管理风格,职业道德,诚实品质,胜任能力,风险评估等的“软控制”。在这种情况下,作为一种既可以用来评价传统的硬控制,又可以用来评价非正式控制即软控制的机制,CSA得到了普遍的信赖。

图1 自评估流程(略)

如图1所示,自评人员首先选择要评审的内控流程, 然后对其设计的健全性进行评价, 如果健全, 则测试其运行的有效性, 最后综合设计测试和运行测试, 评价内控系统的健全性和有效性。如果设计测试结果为不健全, 则直接进行内控系统的评价, 而不再进行运行的有效性测试。

内控系统设计测试是指为了确定被审计单位内控政策和程序设计是否合理、恰当和完善进行的测试。健全的标准即设计合理、恰当和完善, 能有效保证信息的机密性、完整性和可用性。运行有效性测试是指, 为了确定被审计单位的内控政策和程序在实际工作中是否得到贯彻执行, 并发挥应有的作用而进行的测试。有效的标准即内控政策和程序在实际工作中得到了贯彻执行并发挥了应有的作用。

为了帮助评估控制设计,图2(略)提供了一个IT控制设计与运行有效性模型,它将依赖于企业所达到的状态、阶段,我们认为有必要花时间来改进控制程序的设计和有效性。

图2显示了企业中存在的控制可靠性的各种等级。就建立内部控制目标而言,一些企业可能愿意接受等级不高于3的IT内部控制。然而,考虑到萨班斯法案要求的“外部审计师应就控制出具独立的证据”这一要求,对一些关键性的控制活动,控制的可靠性则不能低于3等级。

控制运行的有效性评估。一旦控制设计的评估结果认为内部控制设计适当,就需要对其和以后的运行是否有效予以测试,而该测试由控制负责人及内部控制程序管理团队来进行。

一般而言,有些控制(如一般控制)程序是其他控制程序(如应用控制)的基础,企业组织对这些控制的测试范围应更广、频率更高。判断测试范围是否恰当时,组织应该考虑IT控制是如何财务信息披露与报告过程的。

一些企业利用外部服务机构所提供的外包服务,这也应该视为企业整个经营职责的一部分,在整个IT内部控制程序中应予以考虑。

it内部审计论文篇7

[论文摘要]现代风险导向审计是以被审单位的经营风险为出发点,将“发现的风险因素同认定层次可能发生的错误相联系”是审计风险判断的关键。但传统的审计方法并未明确指明如何将两者相联系,也并未考虑it带来的影响。在it环境下,审计风险判断应以流程(包括业务流程和it流程)为中间环节,建立基于流程的审计风险判断方法。

现代风险导向审计以被审单位的经营风险为出发点,相关的风险评估结果是评估财务报表层次和认定层次重大错报风险的基础。审计风险虽源于重大错报风险,但审计人员最终都要通过对报表各项目的审计发表财务报表审计意见,因此风险评估必须与各类交易、账户余额、列报的认定相联系。将“发现的风险因素同认定层次可能发生的错误相联系”是审计风险判断的关键。但传统的审计方法并未明确指明如何将两者相联系,而且也未关注it环境下如何将风险因素与认定层次可能发生的错误相联系。在it环境下,业务流程及其支持流程——it流程,都是链接风险因素和认定层次可能发生错报的中间环节。在高度自动化的企业环境下,审计证据的证明力依赖于it相关风险的控制情况。因此,有必要改进it环境下的审计风险判断方法。在it环境下,审计风险判断应以流程(包括业务流程和it流程)为中间环节,建立基于流程的审计风险判断方法。

一、流程对审计风险判断具有重要意义

流程的概念很多,iso/iec9000将之定义为一组将输入转化为输出的相互关联或相互作用的活动。WwW.133229.Com企业由流程构成,kaplan(2001)将企业定义为是一系列相互关联的活动或流程的集合,或是一个价值链。在it环境下,流程可理解为“角色加活动”,即将流程描述为一个为实现特殊目的而合作且互相影响的角色的集合。早期人们对企业流程的理解大多局限于传统的业务领域;当it逐渐与业务融合,并成为企业所有经营活动的驱动引擎时,流程的范围开始拓展,此时的it流程与业务流程需要实现动态整合,即it活动被看作是业务,并执行与业务相同的管理方式。因此,it环境下的企业业务流程应该是广义的,同时包含it流程和业务流程。美国公众公司会计监督委员会的第5号审计准则就指出,作为理解重大流程的一部份,审计师应理解it如何影响公司的交易流程。

有些大的会计公司为了强调经营风险的审计方法,修改它们的审计辅助软件,以围绕业务流程组织审计证据,而不是按照传统的交易循环组织证据。关注业务流程的审计软件系统(business-process-focused,bpf)通过价值链组织被审单位的信息;而传统的关注交易循环的审计软件系统(transaction-circle-focused,tcf)是按照交易分类组织被审单位的信息。o’donnelle和jrjosephjschultz(2003)的研究结果表明使用bpf软件的审计人员能识别出更多的风险情形,并将风险估计在恰当的水平;而使用tcf软件的审计人员对风险的识别和估计都较差。因此他们认为不同的信息组织形式会影响审计人员的决策判断。造成这种结果的原因在于业务流程关注事件之间的关联性,它通过情景引导记忆;而传统的交易循环关注的是交易分类,它通过语义引导记忆。因此,关注业务流程可降低任务的复杂性和认知难度。随后其他的研究人员也发现围绕业务流程开展内部控制的评估任务更为有效。

二、it环境下基于流程的审计风险判断方法

为了协助审计人员运用自上而下的风险导向审计方法,国际审计和鉴证准则委员会于2005年制定了“在整个审计

过程中运用职业判断对重大错报风险进行更准确评估的框架和模型”。具体步骤如下:(1)了解企业及其环境(包括内部控制),识别风险,并在报表层次考虑交易性质、账户余额、披露;(2)将发现的风险与认定层次可能发生的错误与舞弊相联系;(3)考虑风险的重要性;(4)考虑风险的发生概率。这个风险判断思路也同样适用于it环境。因此借鉴自上而下的审计方法,将流程作为it风险判断的中间环节,改进了的it环境下的审计风险判断方法具体实施步骤如下:

1.了解企业及其环境(包括内部控制)。我国2006出台的《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》列举了影响重大错报风险的因素:行业状况、监管环境以及其他外部因素,企业性质,目标和性质以及相关的经营风险,财务业绩的衡量和评级,内部控制。在it环境下,识别和评价企业层面的风险和风险控制的有效性时,需特别考虑:(1)it利益群体的风险及对it利益群体控制的有效性,如it治理;(2)企业层面的it控制,如与it相关的控制环境、风险评估、信息与沟通、监控、教育和培训等方面。

2.确定财务报告流程的核心要素。根据企业层面的风险评估结果识别重大账户、重要披露及与之相关联的认定。

3.识别关键业务流程。审计人员首先要识别与上述重大账户、重要披露、认定相关联的关键流程及流程所包括的主要交易,同时识别流程中易发生错误和舞弊的关键点(控制点)。为了判断业务流程能否实时预防或检测错误和舞弊,审计人员要识别出需要被测试的控制点,由于业务流程大多基于it,因此要确定这些控制点哪些是依赖it的,然后识别并证实关键的it功能。

4.确定与it功能相对应的应用系统的范围。详细列出与这些it功能相关的应用系统和与之关联的子系统,包括交易应用系统和支持性应用系统。交易应用系统在处理组织内的数据时通常提供以下功能:(1)通过借贷关系记录交易的价值数据;(2)作为财务、经营和法规数据存放的仓库;(3)能够生成各种财务和管理报告,包括销售订单、客户发票、供应商发票以及日记账的处理。支持性应用系统并不参与交易的处理,但方便了业务活动的进行,如email程序、传真软件、设计软件等。

然后it审计人员与财务审计人员合作,从列示的子系统中识别出支持授权、复杂计算、维护重要账户(如存货、固定资产、贷款等)的完整性的重要应用系统。应用系统是否重要,需要考虑:交易量(交易量越多,应用系统越关键)、交易金额(金额越大,应用系统越关键)、运算的复杂性(运算越复杂,应用系统越关键)、数据和交易的敏感度(敏感度越大,应用系统越关键)。为应用系统提供it服务,或者支持应用系统关键环节的it一般流程即为需要进行it一般控制测试的范围。

5.识别管理和驱动这些重大应用系统的it流程。识别所有支持这些应用系统的基础设施,包括数据库、服务器、操作系统、网络,以及与之相关联的it流程。判断这些it流程的风险和相关的控制目标。识别出需要被测试的it一般控制,进而判断其是否符合控制目标。控制测试结果将影响与之相关的it应用控制的评价、业务流程的风险评价。对这些流程和系统进行风险和控制评估后,就可以制定风险控制矩阵。

6.评价it控制、分析业务流程风险。结合对it一般控制的评估结果和对业务流程中it应用控制的评估结果,就可以分析关键业务流程的it风险控制情况。此时的it控制测试和人工控制测试要结合起来予以考虑,即将二者作为一个整体的测试对象。业务流程的风险是与业务流程所关联的一系列交易活动、账户群的余额、列报(包括披露)认定层次重大错报风险相联系的,因此,业务流程风险的评价结果构成了认定层次重大错报风险评估的直接基础。

7.评估电子证据证明力、设计实质性测试程序。审计人员可根据上述步骤的风险评估结果判断某一业务流程的电子审计证据的证明力并设计与业务流程有关的账户群的实质性测试程序。

通过上述7个步骤,审计人员可以将it环境下的企业风险因素与报表层次和认定层次的重大错报风险相链接,同时也为电子审计证据证明力(即检查风险的判断)提供了依据。

参考文献:

it内部审计论文篇8

随着主义市场体制 改革的深入发展,内部审计在现 代中的重要性也日益凸现出来,特别是对一些规模大、管理严格的大型企业及跨国公司而言,信息技术审计(Information Techn010gy,简称IT审计)作为内部审计的一种形式,在发达国家的跨国公司中发展迅猛,且在不断更新,它对于我国的公司有很重要的借鉴意义。下面,作者重介绍美国杜邦公司在信息技术审计方面的最新进展及。

杜邦是一个拥有总资产44亿美元的大型跨国公司,一直在化学和化学器械、生物技术、地质学上处于技术上的领先地位。作为杜邦的审计人员,他们的使命是拿出世界一流的审计水平去支持公司的业务运作,他们定期制定标准且与其它公司相比较,然后评价结果,找出应改进的地方,为了与信息技术的飞速发展保持同步,杜邦公司把IT审计作为重点领域,要求内审人员拿出相应的方案,因为随着信息技术的迅速发展,相应的审计技术变得复杂起来。所以,杜邦公司决的支持、在职培训及监控。3.在一种业务范围内强调IT在总体审计意见里发现难于评估系统的相关性时,必须能将系统里的发现转化为业务项目。4.发展一种聚焦池,确保能不断关注到所有存在和新出现的技术。5.能从外部雇佣职员或刚离校的毕业生,来作为IT职能部门的新鲜血液。6.强调要通过初步的培训每个职员都应是全职的被培训者,如:规定每个人每年要参加培训10天。7.关心所有的重要技术开发,包括已存在和正在出现的技术。8.与研究部门紧密联系。这对IT审计来说是很重要的,因为这样会允许IT职能部门获得一些控制文件,在计划和设计阶段就会考虑这些因素。9,为协调管理而服务。杜邦认为在这个领域应处理得比其它公司的IT活动更有效率,同时,杜邦也希望自己的内审是通过适当的程序和技术来管理一些经营活动将来也可以于外审。10.适当地依靠外部服务所提供的信息。11.认识到它没必要达到高质量的最好限度。12.将自我评价作为未来世界一流审计组织的批评性产品,不仅对IT审计,而且对整个组织而言,都是很重要的。将以上发现作为评价标准,从而形成了许多固定的概念框架,根据以上内容,杜邦的研究小组设计了适应杜邦的IT审计方案。

二、小组工作

为使杜邦IT审计达到领先水平,杜邦从全球的内审人员和审计本公司的外部审计人员中抽调一部分组成了一个代表组,这个小组由一个总审计经理监督,对指挥部负责,这个指挥部包括副总裁、总审计师、副财务经理、信息主任和事务所的业务合伙人。

该小组在很紧凑的时间安排下建立了一套的工作方法。并对杜邦IT审计的发展和更新提出长期性的意见。

该小组给IT的定义是:IT审计与杜邦公司的其它所有审计活动是密切联系的。我们将在职能审计小组的支持下,对应用系统和整个信息系统的各个部门进行具体的审计,进而确保在系统的支持下的经营活动能有充分的应用控?quot;。

小组的目标之一就是:保持一个完整的相应统一的内部审计职能部门时,决定如何提高杜邦的IT审计能力。

在商讨和计划时,提到了几个固有风险因素,如:1.IT外部组织仍处于转换时期,且更大的组织变化将会发生。2.杜邦信息系统的可靠性已经惊人地提高。3.化的机,包括因特网和主要的系统化,如SAPR/3,正在成长期。4.成增长趋势的公司内部连网,导致公司向全体化和其它非传统商业联营方向扩张。

三、两种审计模型

杜邦常用IT审计总体模型(Audit Integration Model,简称AIM)和变量实施模型(Variable Sourcing Model,简称VSM)来决定是否应当从外部获得技术或保持他们,特别是认为计划需要改变的时候,这两个模型有重要的指导意义。这两个模型如下所示:

1.AIM

AIM根据IT审计的组成要素大略揭示了IT的审计过程,复杂的知识水平和工作人员的工作量随着以下所示的四个阶段而逐步下降

阶段1经营过程控制 准 备 活 动 实 施 选 择 培 训 要 求所有归属于一个过程审 计的非系统的不相关审 计活动:如过程、计划、流程图、检阅程序、访问和测试 执行所有正常情况下的 准备活动,不包括具体 的与IT有关的活动。 不需要具体的IT审计 技术 不需要高水平的IT培 钻15

阶段2输出

所有与符合性审计有关 的活动,包括数据进入、错误书写、输出和进入 控制 决定应该用什么政策, 若与具体的经营有关 时,应在工作底稿上从 头到尾写清楚;若与多 种经营有关时,应把它 单独拿出来进行符合性 测试,然后,在工作底稿 上注明 由有经验的审计人员来执行任务。IT审计人员的任何行动都应得到支持,因为这个阶段代表整个审计过程的重要环节。在向新结构进行完全转变之前,IT审计人员对所执行的符合性测 试都认为是适当的。 确保每一个审计人员都 有执行符合性测试所需 技能,复核IT的组成要 素,决定是否需要改变,以确保达到目标。确保 这些技能对审计小组来 说是容易达到的,且它 是必要的,直至达到审 计的长期目标。

阶段3附台性和分界面

在符合性审计和技术审 计之间的灰色领域,在这个阶段需要有高技 能的高水平的审计人 员,因为这些活动要进 入到系统的内部工作且 与其他符合性相联系。 决定执行的符合性复核 的细节应达到的水平, 确保灰色领域被完全充分校测,尤其注意系 统的共同范围,因为这 些可能没被包括在先前 的比较窄的审计范围中 确定符合条件的审计人员的比例和从外部寻找人员的可行性,确保此阶段审计人员的技能对审计小组来说是容易达到的,直至实现长期目标为止。 决定如何提供培训,以 使他们达到更高的技术 水平,期望达到所需技 能的审计人员的比例将 被作为实施阶段工作的 一部分,在转换期,应确保这些技能对审计小组 来说容易达到直至实现 长期目标。

阶段4基础性的结构

技术审计覆盖了计算机 环境的内部工作.在此阶段需要高技能和特 殊才能的人才,如:在运 行系统或安全软件方面 通过符合性调试复核平台的最近技术审计,根据峁页鲋葱猩蠹频氖奔洌际跎蠹票匦胩峁泄仄教ǖ恼逡?见,这一步应包括桌面系统环境和完整的桌面系统审计,必要时应事 先规划 检查正被杜邦使用的平台系统,且必须做这项工作,确定在社邦所要求的技能范围内的保留工作量,决定核心工作员、浮动工作量和特殊工作量的未来余 额,评价保留和维持这些技能的内部审计人员的职业道路前途等,确保改变计划时允许小组充分协调好内部活动与6F部专家的耸嚣- 对那些保留在杜邦内部 的技能应确定培训的关 键来源且确保这些人员 是通用的,在这个阶段,工作能力的大小受社邦 的联营者的规模而定p 所以培训只要及时就行。

IT AIM的建立可加强IT审计人员对IT审计的一般理解及他们应如何与其它审计活动相联系。杜邦运用这个模型解释了谁审计什么及在各个阶段所期望达到的审计人员的工作能力和工作量之间的转换,由于杜邦对全体审计人员进行了技能培训,所以,杜邦尤其关注这样的一些,如:实际培训人员能力与各阶段上审计人员应代表的水平之间的距离有多远,应在哪儿挑选有技能的IT审计人员等。AIM反映了社邦在这方面的决策,且AIM至少能被用于以下三个重要方面:1.通过提供一个评估与IT相关工作范围的框架,来帮助计划阶段的审计。2.为将来建立IT审计评价表作准备,这张表用来作VSM的参照物。3.作为一种鉴别不同IT审计培训的。

在以下三个领域中,模型提供了从一般了解到决策的各个部分的解决办法。具体如下:

(一)准备阶段

当进行更多的经营过程审计时,准备阶段的工作在确保清楚地界定审计范围和审计小组应有的技能和工具去从事工作这两方面起关键性的作用。经营过程审计将会在范围上更广、时间上更长,且很可能由大量不同机系统组成。如图所示,AIM可作为一种有效的准备工具,如果某种技能需由外部人员来实施时,及时地在此阶段补充审计人员会变得更重要。

(二)实施阶段

这是工作范围的重要部分,社邦审计小组一直在和采用VSM作为一个工具来决定成员水平和技术能力,模型显示出杜邦计划的技术能力保留在一个核心范围内,核心范围的大小由任何一年的估计工作量和杜邦是否维持这种技术能力由自己开发而决定,模型也表示出,可从外部获取资源,若保留技术能力的工作量比估计工作量要高,这一部分差额称为浮动工作,反之,称之为特殊工作。

AIM与VSM结合起来,可用来确定保留在杜邦内审中的技术能力和将来的核心工作、浮动工作及特殊工作的平衡。与杜邦的支持者及供应商们讨论,即实施IT审计的联营公司,可能也是这个阶段的一部分工作。另外,杜邦还计划转变战略,确保内审依赖外部专家时有力量控制局势。

(三)培训

除发展AIM和VSM外,工作小组还针对现在的IT审计组织进行技术描绘未来IT审计组织的前景。由信息武装起来,杜邦利用AIM来决定所期望的能达到多种目的的审计人员的IT技能是什么水平,及什么样的特殊行为是杜邦将保留和维持的,提供的培训课程应确保有一个完整的途径。AIM可用来确定所需和所计划的培训。

四、更新

除以上外,该方案还包括不断变化的组织评估表和技术分析表,针对现在至未来的组织,通过预想的变化,这些需要-个全球IT审计经理的命令,他将在下列领域内得到三个工作领导者的支持。1.信息统一:负责计划、实施和提高技术审计。对诸如数据中心、远程通讯等基础设施方面负责咨询。2.技术支持:负责发展和完成每年的计划,这些计划重点在于关注新出现的技术,评价和支持内审的技术要求,包括硬件、软件、审计工作、计算机辅助审计技术和一个内审网站。3.应用支持:负责发展和完成每年的应用审计计划,支持审计过程中的符合性测试,应用支持负责人也有责任确保所有的审计人员应符合控制目标且充分地受到培训。

剩余的IT审计人员保持他们现存的管理报告流程,但增加了一份职能报告与以上所述三组之一相联系,将会执行许多审计活动,以便对杜邦审计计划的准备阶段进行控制,对全部审计工作进行监督。

五、启迪与借鉴

实践证明,IT审计开辟:内审的新领域,它取得了一些成功经验。

由于各种原因,我国的内审质量不高,更不用说IT审计了,因为对我国众多来说,:企业内部治理结构还没理顺,信息化程度还不普及,只是在某些特殊行业中(如行业)比较普遍,、可以说,IT审计在我国还处于起步阶段,而国外已发展得比较成熟。所以笔者认为,除了进一步改变国有企业的内审管理双重体制之外,我国可在以下方面借鉴西方先进经验,努力提高我国的IT审计水平:

1.重视与外部审计师的合作,尤其是注册师。我国的注册会计师行业虽然起步较晚,但已取得令人瞩目的成绩,特别是知名会计师事务所积累了大量的企业管理信息,相信与某公司长期合作的会计事务所定会为该公司提供良好的内审控制建议。

2.强调对内审人员的培训。在我国,由于内审管理体制还没理顺,没有统一的准则。各企业应根据IT审计要求的高低进行不同程度的培训。

3.规范I丁审计的同时,注意改进审计方法技巧。可杜邦的作法,把整个审计过程划分为几个阶段,并固定下来。但在各个阶段的审计工作中,应注意审计方法的灵活运用。另外,尽量使用量化标准,如建立变量模型等。

4.重视内审人员的知识更新,这是IT审计的性质所决定的。企业的信息系统普遍应用网络技术,且与商务系统紧密结合,使产业信息系统无纸化。在此环境下,审计人员不仅要掌握传统审计的基本知识,还必须掌握计算机应用基本技能,这样才能满足审计需求,特别是对于内审的IT审计来说,不只是对企业的会计信息系统进行审计。所以,内审的管理机构及企业都应重视内审人员的知识更新,如,加快有关计算机审计的教材建设,计算机审计人员资格及制作计算机审计的具体准则等,方便企业选拔IT审计人员。

[参考]

[1]Wayne More and David Hen-drey. It Audit Renewal(J)。 Internal Auditorl999(4)。

[2] Pete Rosenwald. To Be or Not To Be LJ]. Accountancy. 1999. (8)

[3]傅元明。计算机信息系统环境下的几个审计问题LJ].审计研究,1999. (5) .

[4]王学龙。内部审计风险初探U].审计研究资料,1999.(10)。

it内部审计论文篇9

关键词:财务报告内部控制 美日经验 借鉴

一、美国财务报告内部控制(ICOFR)评价

(一)ICOFR评价披露方式:由自愿转为强制。美国早在1934年就强制要求企业建立和保持内部控制体系,为企业财务报告准确性和资产的安全性提供合理保障。1934年《证券交易法》是美国第一次对内部控制进行的立法。1977年美国国会通过的《反国外贿赂法》中有关会计条款就要求在美国上市的公司保持适当的内部控制系统,它极大提高了公司内部控制的地位。1979年和1988年SEC也曾两次提议上市公司应对外披露内部会计控制信息,但因大、小公司质疑其执行成本过高遭到有关各方强烈反对而被搁置。之后,COSO在1992年了《内部控制――总体框架》,提出公司管理层应定期对企业内部控制的合理性及执行的有效性进行评价并对外出具报告,但当时内部控制信息始终是自愿披露的。因此,美国ICOFR由直接披露向强制披露的过程一直受到各方的争议。

安然事件以及之后一系列财务丑闻的爆发,使企业监管层认识到有效的内部控制对于保证财务报告可靠性的重要作用。在这一背景下,2002年美国国会最终通过了《萨克斯―奥克斯利法案》(简称SOX法案),该法案的302节和404节要求公司管理当局评价和报告公司的财务报告内部控制,独立审计师对公司ICOFR的评价进行鉴证。2003年6月5日SEC了最终规则,规定了上市公司执行SOX法案内部控制信息要求的具体内容。随后,美国成立了公众公司会计监督委员会(简称PCAOB),该委员会先后制定了审计准则第2号和第5号来规范和指导审计师的审计行为。至此,美国上市公司内部控制信息披露由自愿披露正式转变为强制披露方式。

(二)ICOFR评价内容:由公司全部经营效率转为与财务报告相关。根据SOX法案的302节“公司财务报告的责任”和404节“管理层对内部控制的评价”以及SEC的相关规定,美国上市公司ICOFR评价与报告应该包括两部分内容:一是公司管理层对ICOFR有效性进行评价,并向公司审计委员会和对外发报告;二是注册会计师对管理层ICOFR有效性评价发表鉴证意见。美国的做法是基于监管成本以及监管效力等因素的考虑,故监管层目前只选择了对ICOFR的披露进行管制,对内部控制的其他方面则更多地采用自愿的形式,这突出了ICOFR的重要性,避免了内部控制披露要求的面面俱到,而实际执行时却流于形式,所以ICOFR评价内容具有明显的针对性和可操作性。

(三)ICOFR评价的执行成本:中小企业难以承受。SOX法案以及相关的根本性立法给美国公众公司和投资者带来了很大的利益,它对于投资者起到了重要的保护作用,是最为有效的威慑舞弊的防范措施。但它曾遭到美国包括大、小公司的利益集团的空前反对。他们认为执行404节和302节造成大量的执行成本。按照2003年6月SEC最终规则的估计,上市公司执行404节的平均成本在91 000美元左右。国际财务执行官协会(FEI)研究发现,第一年404节执行成本支出在310-810万美元之间,第二年上市公司执行成本仍然高达380万美元。设计和维护流程文件、测试关键控制和注册会计师鉴证被认为是执行成本中最高的前三位(美国Parveen P.Gupta,2006),与第一年实施SOX的成本相比,第二年执行SOX的各种成本大幅下降。此外还有以下潜在因素对注册会计师评价ICOFR的成本有较大影响:(1)缺少SEC或其他专业组织制定的实务指南。(2)详细评价法导致成本高、效率低。(3)注册会计师和公司管理层执行团队合作不佳以及受成本效益原则的困扰。为了进一步落实SOX法案,美国SEC和PCAOB采取了多项措施,以设法降低内部控制评价制度的成本和增进其执行效果。比如,推迟小企业及外国大企业404节的实施时间,针对小企业开发了《小企业内部控制框架》,制定第5号审计准则以取代第2号审计准则,精简审计程序,使用整合审计的工作成果等。

二、日本财务报告内部控制评价

(一)日本ICOFR评价依据:两个层次。日本ICOFR评价依据包括两个层次:法律法规层次――2006年6月日本议会通过的《金融商品交易法》;技术规范层次――2007年2月日本企业会计审计会正式的《关于财务报告内部控制评价与审计准则以及财务报告内部控制评价与审计实施准则的制定(意见书)》和同时颁布的《财务报告内部控制评价与审计准则》(简称为评价与审计准则),以及《财务报告内部控制评价与审计实施准则》(简称为实施准则),要求上市公司自2008年4月1日以后开始进行会计年度ICOFR的评价与审计。以上法规共同为企业管理层以及公认会计师对ICOFR评价提供指导。日本内部控制评价与审计准则主要由三部分组成:内部控制基本框架、财务报告内部控制评价及报告和财务报告内部控制的审计。“财务报告内部控制评价及报告”和“财务报告内部控制的审计”分别阐述了管理层对财务报告内部控制的有效性评价和注册会计师进行审计的思路。

(二)日本ICOFR的基本框架――超越COSO框架。在借鉴美国SOX法案主要内容的基础上,日本在意见书中规定了全新的内部控制框架,提出了建立内部控制的四个目标和六个基本要素。四目标:除了COSO报告中包括的提高业务活动的效率性、财务报告的可靠性与经营活动的合法性三个目标外,还增加了“资产保全”目标。内部控制的基本要素,除了吸收美国COSO报告中的关于控制环境、风险评估、控制活动、信息与沟通和监控被多数国家认可的五要素以外,考虑到随着IT环境变化发展,IT渗透企业以及信息系统反馈与ICOFR制度密切相关,日本增加了“对IT的应付”这一新的基本要素。IT的应对在内部控制框架中体现了日本信息技术的飞跃发展对组织产生的深刻影响。IT内部控制是日本内部控制框架的重要特征。在管理层评估内部控制有效性时,日本与美国都是采用自上而下基于风险导向的方法。但与美国不同的是,日本意见书实施准则规定:由管理层评估使用IT的控制是评估业务水平控制的重要内容。实施准则包括:使用IT内部控制的评价、评价范围的决定、评价单位的认定及使用IT的内部控制的构建状况和运行状况有效性的评价四方面。

(三)日本ICOFR评价――与财务报告审计相关联。具体体现在:(1)ICOFR评价与财务报表审计协同进行。两个审计过程可由同一个注册会计师执行,并且可互相利用对方的审计证据。这样可以缩小测试范围,减少审计工作量和降低执行成本。(2)主要评价与财务报告相关的内部控制。内部控制是一个非常广泛的概念,日本审计准则的内部控制评价范围只与财务报告相关,这与美国相同。日本准则同时对公认会计师进行ICOFR的评价范围做了要求,其内容主要包括管理层对内部控制评价范围的适当性、评价范围所选择方法的合理性、内部控制有效性评价适当性以及内部控制重大缺陷的报告适当性等几部分。(3)内部控制评价报告原则上可与财务报表审计合并编制。所以日本财务报告内部控制评价执行标准是与财务报告审计相关联的。日本以上的做法也是基于成本效益原则的考虑。

三、美日经验对我国的借鉴

美国的财务报告内部控制体系较为成熟,而日本的经济和人文环境与我国较为相似,美、日两国ICOFR评价经验对于我国上市公司如何实施ICOFR评价具有重要的借鉴意义。

(一)关注IT的应对。2008年6月我国五部委联合了《企业内部控制基本规范》,表明我国在内部控制评价和审计中取得了重大成就。但基本规范中提出的我国内部控制五要素中不包括内部控制IT的应对,这不得不说是一个缺憾。目前IT环境迅速发展,IT已渗透到企业经济业务的各方面,组织的业务内容在很大程度上依赖信息技术,组织信息系统与IT高度结合,如果离开了IT信息技术上市公司将无法进行业务活动。上市公司各项业务活动对IT的应对已成为公司实现内部控制目标必不可少的内容,因此我国应借鉴日本的做法,将IT的应对作为内部控制的基本要素之一,及时制订与IT内部控制相关的ICOFR评价和审计的具体措施。

(二)通过法律形式对我国ICOFR的有效性评价进行强制性规定并严加监管。我国开展内部控制评价和审计工作时间不长,取得了一定的成就,企业内控重视程度、经营管理水平、风险防范与应对能力都有显著提高,但也存在不少问题。截至2012年12月1日,沪、深交易所共有2 492家上市公司,其中2 244家披露了内部控制评价报告,占比90.64%,还有9.36%没披露;有2 236家上市公司未披露内控缺陷,占比99.64%,8家上市公司内控存在重大缺陷。内部控制审计情况:2012年共有1 532家上市公司披露了内部控制审计报告,占比仅为61.48%,其中内控审计结论为标准无保留意见的为1 506家,占98.%,非标准意见的是26家,占1.7%。从中可以看出,目前还有不少上市公司未披露ICOFR评价和审计的情况,公司财务报告的可靠性无法得到保证。所以我国有必要借鉴美国的做法,通过法律形式对ICOFR的有效性评价进行强制性规定。为了更好地推动内控规范体系的落地,应针对不同行业以及企业现实需求,研究特殊行业运作特点、共性风险和行之有效的控制措施,及时制定和行业实务指南。针对目前有些公司内控缺陷认定的随意性,监管部门应研究制定内控缺陷认定指南。在修改《会计法》、《证券法》等相关法律法规时增加内部控制相关条款,提升内控要求的法律层次,进一步明确企业及相关中介机构对内控的责任。要建立健全考试和培训制度,将内控的规范知识纳入到会计从业和专业技术职称考试以及继续教育的内容中,培育壮大内控专业技术队伍人才。财政部、证监会及派出机构要加大监管资源的投入,形成合力,加大对有关企业、会计师事务所和咨询机构实施规范体系的监督检查力度,坚决查处内控评价工作走过场、缺陷认定不客观、评价结论不适当和内控信息披露不充分的违规违法行为。

(三)明确内部控制评价范围和审计方法与财务报告相关且协同整合。根据前面的论述可知,第一,目前美国和日本的内部控制评价与财务报告相关,这样可突出重点和降低高昂的评价费用以降低内控评价的工作阻力,使公司内控评价工作得以顺利开展。第二,美国第5号审计准则明确指出,审计人员在进行财务报告审计的同时进行ICOFR的审计,并提出了整合审计理念,日本在相关准则中也明确要求内部控制审计和财务报告审计两个过程协同进行,并且可以由同一家会计师事务所的同一注册会计师进行,因为它们程序关联,目标一致,相互补充。而我国《企业内部控制应用指引》和《企业内部控制评价指引》规定企业内部控制评价范围是全面的评价,与其相适应的鉴证必然是全面的。由于企业内部控制具有复杂性和多样性,注册会计师对被审计单位内部控制进行全面了解和评价是非常困难的。另外,我国《企业内部控制审计指引》规定注册会计师可以进行内部控制审计,也可将内部控制审计与财务报告审计整合进行。这与美国和日本的相关规定不同。所以建议我国应借鉴日、美两国的做法,将我国企业内部控制的评价范围和方法明确为与财务报告相关且协同整合进行。这样不仅可以充分利用审计资源,而且还可以大大降低ICOFR评价成本,提高ICOFR的评价质量和效率。S

参考文献:

1.朱荣恩,应唯,袁敏.美国财务报告内部控制评价的发展及对我国的启示[J].会计研究,2003,(08).

2.财务部会计司,证监会会计部.我国上市公司2012年实施企业内部控制规范体系情况分析报告[J].财务与会计,2013,(11).

3.孙国光,莫冬燕.《萨班斯―奥克斯利法案》内部控制对财务报告可靠性起到保证作用了吗?[J].财经问题研究,2012,(03).

it内部审计论文篇10

【关键词】信息技术 内部控制 嵌入 风险导向

随着信息技术的推广普及,企业日益依托各类信息系统来及时收集、甄别、传递、处理和披露大量信息数据。信息技术逐步嵌入成为控制企业运营活动的重要手段和实施企业经营自动化的关键支撑,直接或间接地对企业内部控制产生深远的影响。企业内部控制是否有效,信息系统(IT)内部控制是否健全发挥着至关重要的作用。

一、信息技术嵌入促进了企业内部控制的强化

(一)信息技术嵌入直接推动了企业控制环境的完善

信息技术的嵌入促进了企业内部职责分工和角色分配的调整,推动了员工知识和技能结构的适应性改变;信息技术的嵌入推动了企业管理层参与各项制度的管控,使得企业在组织机构及职责优化的同时,流程重组及标准化建设得以大力推进;信息技术对组织机构提供信息流能力的改变,使得非IT环境下的顺序式集中信息传递逐步转化为平行式发散信息传递,大大增强了组织信息对称性并推动了组织机构扁平化。

(二)信息技术嵌入为复杂的风险分析预测提供了有效的手段

在建立信息系统之前,企业的内部控制制度往往是一堆文件和手册,只能通过定期检查和评估进行自我修正,企业控制主要通过事后控制的方式,基于风险的动态预防和调整性较差;信息系统建立以后,大量数据收集、分析工作可以由系统自动完成,组织可以更加集中于流程的优化调整和专注于风险的分析管理,即使面对急剧增长的业务规模、灵活转型的组织结构以及纷繁复杂的信息来源,组织依然可以进行有效处理,使得动态和实时控制成为可能,更好地发挥风险评价机制的预测、预防作用。

(三)信息技术嵌入增强了控制活动的透明度和执行刚性,提高了执行效率

在设计有效的信息系统中,内部控制的环节清晰明了,控制信息的收集、处理、生成和传递过程由系统自动生成,减少了人工处理环节,对数据变更均有系统记录,使得篡改或违背内控的行为将会留下操作线索,大大降低了数据传递过程中的舞弊机会;通过信息系统分配任务,建立明确的控制文档执行标准,并准确记录执行过程,有效地提升了组织控制活动的执行力,大大增强了执行刚性。

(四)信息技术嵌入使得沟通更加高效便捷,监控更加动态全面

具有良好结构、严密控制的信息系统,可以合理、及时、有效、全面反映企业的业务活动,改善企业与内外部环境相互联系的紧密程度,从而建立起有效的信息反映及传递机制;信息系统嵌入企业的制度安排和控制程序,使得系统本身具备了内在的控制机制,也使得企业对审批、异常、权限等的动态监控成为可能,可以说,信息技术将充分发挥内部控制的“预防性职能”,大大促进企业价值提升。

二、信息技术嵌入也给企业内部控制带来了新的风险

在关注信息技术促进企业内部控制的同时,也必须充分认识到由于信息系统自身的特点给企业内部控制体系带来的风险。

(一)信息技术嵌入为企业内部控制添加了新的风险元素

信息系统在实现跨部门业务集成和处理的同时,对交易数据的输入、处理、输出等系统应用风险,以及对信息系统开发维护、程序变更、系统安全、授权等特有的系统管理风险应运而生;由于企业信息系统建设通常由各个需求部门陆续发起,然后逐步根据整合需要在关联系统之间建立数据连接平台,以最大限度地实现各系统的数据共享,当涉及多个系统接口时,就会产生新的控制问题和风险;信息系统的权限分配通常采用设置用户组分配,一旦访问权限开放给不应该拥有访问权限的个人或团体,就会大大提高数据被泄露或破坏的风险。

(二)信息技术嵌入改变了控制流程以及授权的审批流转方式,增加了控制风险

传统控制主要采用书面方式审批,授权也多采用印章、签名等书面形式,且在呈递程序上采取层层通过相应级别人员的人为控制的方法,加强了各传递环节的内部牵制,从而有效地防止作弊;信息系统使得大量的审核、批准、授权以电子化的模式运作,审批意见均为电子信息输入,授权签名以电子签名为主,信息系统只会识别电子口令和密码(如授权支付资金的网上银行密码、合同审批的领导口令),一旦被窃取或冒用,就可能造成巨大损失。

(三)信息技术嵌入对信息的共享模式放大了信息数据的安全风险

信息系统多数都处于各种内部或外部网络状态,数据在存储与传递过程中很容易被篡改或受到病毒的侵扰而遭到破坏,同时黑客、商业间谍等也可以通过各种渠道侵入系统,获取所需信息,提高了企业数据信息保密的危险指数,信息流动的安全性风险被放大,企业固有风险和财务风险也被放大。

(四)信息技术嵌入改变了部分控制的关键点,直接导致审计风险的放大

信息系统嵌入后,企业风险结构发生变化,使得原来基于文件审批的内部控制的许多审计线索在引入信息系统后消失了,取而代之的是信息系统自身的应用管理关键点带来的风险。在IT环境下,审计人员对本身具有不安全性的信息资料和数据进行审计,加大了做出错误判断的可能性,使重大错报风险和检查风险放大,审计风险相应也被放大。

三、信息系统嵌入推动企业构建风险导向型的IT内部控制

信息技术嵌入环境下,企业更加重视基于IT信息系统的内部控制建设和管理,推动加速构建风险导向型的IT内部控制。

(一)风险导向型IT内部控制主要体现为3个方面:企业层面的信息技术整体控制;信息系统层面的IT一般性控制;业务流程层面的IT应用程序控制。

企业层面的信息技术整体控制是对企业信息技术进行战略规划、指导运作的前提,主要包括公司的IT环境、IT风险评估、IT信息沟通以及IT系统监控等,它既包括了企业信息技术战略规划、信息技术组织架构及关系,也涵盖了企业信息技术安全制度和标准,以及信息技术主要领域,还覆盖了企业信息技术组织的人力资源管理、员工培训计划等。

信息系统层面的IT一般性控制是其他基于信息系统的应用控制措施的基础,主要包括系统程序开发、程序变更、计算机运行、程序和数据访问、终端用户计算机应用等,控制点主要集中在新建系统、系统账号、权限和密码管理、程序变更和系统运行维护等方面。信息技术一般性控制并不针对某一特定应用系统,它强调的是对信息系统所处的整体信息技术环境的控制规范。

业务层面的IT应用程序控制是保证信息技术控制到位的最小数据单元,主要分为IT自动控制点以及与系统相关的手工控制点,具体包括这些控制的完整性、准确性、真实性、授权、职责分离等。其中,IT自动控制点包括系统访问权限/授权及批准、系统/功能配置、配置账项映射控制系统、异常情况报告和预警报告、系统接口、职责分工等;与系统相关的手工控制主要包括流程变更、关键绩效指标、管理层审阅核对、最终计算控制等。

(二)构建信息系统嵌入环境下的风险导向型IT内部控制,关键在于能否建立包括企业内外网安全、权限、签名、传递、备份以及交易等在内的风险导向型网络管理机制,具体包括:

设计严格的网络系统管理制度:通过明确的操作规范和制度体系,加强对系统管理人员的技能培训和职业教育,严格控制对系统数据的接触访问,定期对系统进行安全检查,实施系统日常备份,提高系统应急响应能力和快速重构恢复能力。

建立严密的网络安全控制:通过设置加密技术、实行网上公证、登陆用户密码认证、对敏感交易的访问实行限制级用户访问等多种方式加强IT环境下的网络安全管理,有效防范和避免信息被修改或伪造,降低网络信息被盗、被侵以及被破坏的风险。

建立完善的网络监控机制:通过对关键流程权限密码的定期审阅、使用过程记录及登录变动登记,对网络信息与异常情况实时动态监控,对系统规则的定期检查审视等一系列严密的信息系统审查监控,确保存在足够的有效控制来降低由于信息系统的使用而带来的业务风险。

(三)风险导向型IT内部控制体系还必须建立完善的沟通评价机制。

随着信息技术的嵌入,企业ERP信息系统应用的推广,IT内部控制逐步渗透到企业的各个业务过程和经营环节,覆盖到企业绝大多数部门和岗位,对于通过信息系统实现的控制环节不应留有任何“盲区”,以确保所有信息系统相关人员能够及时进行横向和纵向的全面信息沟通和交流。

在信息技术嵌入环境下,为满足股东、投资者等对企业风险评估信息的关注,对IT内控的评价在企业对外披露内部控制评价信息中的地位的重视程度的不断加强。企业在披露IT内控风险信息时,通常以外部评估机构的评价结果为主,以内部评价信息为补充信息,并针对存在的IT风险事项、风险级别以及企业为防范和控制风险而采取的有效措施等进行重点披露。