美章网 资料文库 信息系统审计论文范文

信息系统审计论文范文

信息系统审计论文

信息系统审计论文范文第1篇

当前会计信息系统审计主要围绕以下内容开展:其一是会计信息系统内部控制审计。由于会计信息系统大幅提高了会计舞弊和会计信息差错识别的难度,因而从内部控制审计入手实施会计信息系统审计就显得尤为必要。也就是说,企业内部控制体系影响甚至决定着企业会计信息系统的安全性和有效性,越是健全的内部控制体系就越能避免和降低企业会计信息差错和舞弊风险,因而对企业内部控制体系的完整性、有效性和安全性进行审计就成了目前会计信息系统审计的重要内容和前提保障。其二是会计信息系统应用程序审计。其审计内容主要围绕软件的应用程序设计功能是否完善、标准是否可靠,是否具备必要的会计信息处理功能,是否符合相关法律法规要求,是否符合企业管理制度和企业会计政策,是否存在程序漏洞和程序错误,是否人为故意地留有后门程序等。应用程序的安全、可靠、高效同样影响着企业会计信息系统的安全性和效能,因而也是会计信息系统审计的重要内容之一。其三是会计信息系统数据、信息、资料的审计。同传统审计内容类似,其途径是通过计算机对相关原始凭证、财务报表、会计账簿等进行审计,对信息资料进行符合性测试和实质性测试,对数据采用动态分析和比率分析等方法,确保电子数据的真实、可靠、完整和有效。另外,还应对会计信息系统进行事前审计,即在信息系统开发之初就要求审计人员介入,跟踪前期的系统程序和硬件的设计、编写、建构、实施,跟踪系统实施过程中的运营、调试、维护、修正,以确保整个会计信息系统符合相关法律法规要求、符合财务和会计行业标准、符合公司会计政策和系统职能需求。

二、会计信息系统审计发展现状简析

自20世纪末开始我国企业普遍实施会计信息化以来,我国会计信息系统审计也应运而生,并在政府、企业及审计机构的组织实施下有效开展起来并取得了长足进步。具体表现在:其一,初步建立了会计信息化审计的相关准则和规范,使会计信息系统审计人员能够依据这些技术标准和准则更好地开展会计信息审计工作。如中国注册会计师协会1999年颁布的第一个信息系统审计准则《独立审计具体准则第20号——计算机信息系统环境下的审计》,以及国务院办公厅2001年的《关于利用计算机信息系统开展审计工作有关问题的通知》,都对会计信息系统审计的对象、方法、程序、内容和范围等进行了初步界定和规范,明确了会计信息系统审计中审计人和被审计人的权责范围。2008年中国内部审计协会颁布了具有里程碑意义的会计信息系统审计准则《内部审计具体准则第28号——信息系统审计》,更是将会计信息系统审计纳入到风险导向审计的现代审计范畴,使之更为完善、全面和高效。其二,会计信息系统审计发挥了一定成效,推进了企业会计信息化发展和企业信息化管理进程。信息化发展是企业战略发展的重要组成部分,也是企业现代化管理体系构建的重要内容,企业信息化即包括会计信息化,鉴于此,我国审计体系也同样顺应时展潮流,针对会计信息化系统制订和实施了相适应的审计模式,有效履行了审计职能,推进了会计信息化的发展进程;与此同时,审计体系自身也开始了信息化变革之路,构建审计网络和审计信息平台,审计信息化软件也随之兴起并展现出高效能,极大地提升了审计效率。

三、会计信息系统审计存在的问题

尽管我国会计信息系统审计取得了一定成效,不仅促进了企业会计信息化发展和企业信息化战略发展的步伐,也直接促进了审计体系自身的信息化发展。然而研究过程中也同样发现,我国会计信息系统审计还存在一定的问题亟待改进,具体如下。

(一)会计信息系统审计法规制度不健全

先进水平的会计信息系统审计需要建立在健全的审计制度体系之上,使审计工作在制度保障之下规范、高效运行。然而我国在这一方面则存在较大差距,目前我国有关会计信息系统审计的相关制度法规十分零散,大多只针对某一方面做出具体规范,还没有统一的、完整的、具有体系性的会计信息系统审计制度可以指导和保障实践的有序、有效进行。例如,目前还有没统一的会计信息系统审计准则,会计信息系统审计的内容、方法、技术、程序等都未能界定统一的实施规范。

(二)缺乏专业的会计信息系统审计人才

会计信息系统对审计人员的审计能力提出了更高要求。审计人员能力不足、审计工作准备不充分都容易导致审计失败。会计信息系统审计要求审计人员不仅需要具备审计方面的专业知识,了解企业生产经营状况,还需要具备较高的信息技术能力。然而目前,我国大部分审计人员并不缺乏专业的审计知识,也有着丰富的审计经验,但对于会计信息化系统审计的信息技术能力要求普遍显得力有不足,信息技术水平和计算机技术水平不能满足信息系统审计的需要。

(三)信息化审计软件效能不足

应对会计信息系统审计的有效途径是加快审计自身的信息化发展,目前开发了众多功能强大的审计软件应用于审计工作,提升了审计效率,确保了审计的准确性和可靠性。然而目前的审计软件其实用性、针对性和有效性还不能满足会计信息系统审计的需求。其中存在的问题主要包括:一是软件自身功能不足,无法满足会计信息系统审计的实际需求,软件只能实现一些简单的数据查询和计算功能,无法对复杂的企业会计数据信息进行更为专业的处理和分析。二是有的软件设计过于复杂,易用性较差。审计人员不易操作或者操作过程极为繁琐,影响审计效率。

(四)会计信息系统本身存在缺陷影响审计效能

在对会计信息系统进行审计时,通行的做法是需要会计信息系统预留审计接口,审计人员通过接口对会计信息系统中的数据信息进行查阅、调取、审核。我国颁布的会计信息系统审核相关规范也明确了会计信息系统中“应具备标准的数据接口”。然而在具体实践中,许多企业的会计信息系统本身并未留置接口,使得一些审计软件无法和被审计对象的会计信息系统对接,也有一些会计信息系统自身设置了复杂的权限验证、加密程序等,使审计软件无法获取需求数据,或加大数据获取难度,影响了审计时效,甚至使审计无法操作。另外,会计信息系统本身的设计缺陷还包括一些软件漏洞容易招致黑客攻击篡改、增删数据信息,或者软件故障频发导致数据损毁、灭失等,这在目前的会计信息系统审计工作中也较为常见,极大地影响了会计信息系统审计的实施。

四、会计信息系统审计的治理策略

针对以上问题,需要审计机关、审计行业组织和企业共同努力,多管齐下,对症下药,在顺应社会经济信息化发展的前提下确保会计信息系统审计职能高效履行。

(一)进一步健全会计信息系统审计规范

尽管我国已经初步确立了会计信息系统审计相关规范体系,但同西方发达国家相比,或者同我国社会经济发展的审计需求相比,仍显不足,需要进一步完善。健全我国会计信息系统审计规范应基于以下原则:其一,与国际接轨。在全球经济一体化发展背景下,审计准则与国际接轨是必然要求,以确保审计结果能够在更广泛的范围和空间发挥效用。其二,与国情相适。会计信息系统审计的相关规则和标准的设定要基于国情,立足实践,与会计信息系统审计发展需求相适应。其三,关注细节。我国现有的会计信息系统审计相关规范仅仅就基本原则和审计内容、对象、范围等做了阐释,而缺乏审计具体流程和操作指南,还缺乏系统性和层次性,需进一步完善。其四,前瞻性原则。会计信息系统审计规范的制定需立足当前,着眼未来,对会计信息系统审计工作未来的发展趋向和工作重点、难点做出预测和判断,在政策导向上予以规范和指引。

(二)加强会计信息系统审计人才队伍建设

人才问题是会计信息系统审计的突出问题。近年来全球信息化发展迅猛,企业信息化发展战略如火如荼,日新月异,凸显了信息化人才不足带来的制约,需要相关审计机构、教育机构共同努力,加大人才培养力度,壮大会计信息系统审计师人才队伍。首先,要细化会计信息系统审计资格认证体系,打造阶梯式人才队伍,满足不同审计需求。其次,要挖掘现有资源潜力,加强现有审计人员信息技术技能培训,提升会计信息系统审计能力。教育机构应将会计信息系统审计人才培养纳入教育体系,开设相关课程,培养专业人才。最后,成立专门的会计信息系统审计行业组织。会计信息系统审计同传统审计有着极大不同,需要成立专门的会计信息系统审计行业协会,对会计信息系统审计活动及审计人才队伍进行有效指导和管理,设立从业资格认证及审核机制,组织资格考试,提高会计信息系统审计队伍专业水平。

(三)提升专门审计软件的有效性

目前市场存在的审计软件还存在一定问题,还应持续创新、升级、强化软件功能,在保障能以技术手段确保审计数据信息高效、顺畅获取的同时,还应内置数据分析、识别和处理功能模块,降低审计工作量和难度,提高审计效率。就专业化发展而言,应由信息技术人员和审计人员共同合作开发专门的会计信息系统审计软件,代替目前市场上常见的功能单一、稳定性差、操作复杂、标准不一的审计软件,使审计人员更加容易操作,使审计流程得以高效实施,同时降低工作难度和风险,以更好地履行审计职能。开发设计应本着“实用性”、“易用性”、“安全性”和“高效性”原则,由审计人员负责确保软件的实用性和易用性,由信息技术人员负责确保软件的安全性和高效性,以提升专门审计软件的有效性。

(四)统一会计信息系统审计软件技术规范

信息系统审计论文范文第2篇

(一)信息系统审计的定义。中国内部审计协会(2014)认为信息系统审计是指“内部审计机构和内部审计人员对组织的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动”。按照上述定义,信息系统审计的重点跟传统审计一样,还是专注于内部控制与流程,但关注点不同,信息系统审计的关注点是信息系统的控制和流程,而不仅仅只关注相关的制度和规范。

(二)信息系统审计的目标。信息系统审计和控制联合会(ISACA)COBIT框架认为组织内部的信息系统需求三原则是:质量、成本和安全,即在保证信息系统满足组织需求的前提下,尽可能避免组织内外部风险,并减少研发和维护成本。因此信息系统审计的目标就是对组织信息系统的运行的可靠性,数据的真实性和安全性提供评价。

(三)信息系统审计的步骤。由于大多数高校内审机构在“数字化校园”开发阶段并没有参与其中。本文所述的信息系统审计专指信息系统运行维护阶段的审计。

1.审计准备阶段。信息系统审计准备阶段步骤与传统审计类似,通过从被审计单位获取相关信息系统管理的规章制度,找负责系统维护管理的工作人员座谈,实地观察等方式,完成审前调查,进行风险评估、初步确定审计重点和制定审计实施方案等工作。

2.审计实施阶段。信息系统审计在实施阶段分为两部分,分别为信息系统一般控制审计和应用控制审计。一般控制审计往往比应用控制审计更为重要,因为应用控制的有效性常常受到一般控制的影响。根据审计项目不同,审计人员可以只实施一般控制审计或者两者结合进行审计。(1)一般控制审计。一般控制审计又可以分为硬件和软件两部分,两部分的审计重点和方法有所不同,分别为:对硬件的审计通过实地观察法实施,主要有审计网络接口是否安全,是否有硬件防火墙,硬件设备存放环境是否安全,防火、防雷、防盗措施是否完备,是否装备了UPS,在硬件出现故障时是否制定了应急响应计划等。对软件的审计通过抽样、观察和面谈实施,审计重点为:一是系统管理控制,主要有系统设定的职责分离是否合理,授权管理是否充分,是否做到一个系统账户对应一个工作人员,是否确保了只有被授权的用户才能对特定资源和数据进行访问等;二是软件安全控制,主要有是否安装了杀毒软件,软件是否定时升级,未经授权的软件能否安装,是否有系统操作规范等;三是数据管理控制,主要有数据传输是否加密,系统数据是否定期备份,有无冗余备份,数据修改是否按照规定程序进行审核,向外部传输系统数据是否有身份认证,是否定期对数据质量进行检查等。(2)应用控制审计。信息系统应用控制是指为保证应用程序处理数据时按照组织流程运行,确保数据的完整性和真实性的控制,包括输入控制、处理控制、输出控制三部分。输入控制包括输入授权、数据转换和编辑校验,处理控制包括运行总数控制、计算机匹配和批处理控制,输出控制包括复核系统处理日志、审核输出文本、审核程序。对应用控制的审计,主要通过分析性复核和计算机辅助模拟的方法,审计重点为信息系统业务的控制点设置是否合理,数据处理程序最多运行数,是否有审核系统日志程序等。

3.报告阶段。内审人员根据实施阶段编制的工作底稿,出具审计报告初稿,与被审单位充分沟通后,修改审计报告,报相关层级领导审核后,签发正式审计报告。

二、高校做好信息系统审计的措施

1.转变观念,提高开展信息系统审计必要性的认识。“数字化校园”建成以后,高校内部控制环境已经悄然发生改变,内部审计要想充分发挥其独有的管理评价职能,必须迎头而上,及时开展信息系统审计。不少内审机构认为信息系统审计专业性太强,无从着手,实际上信息系统审计的核心并没有改变,还是对信息系统控制的评价,并没有超出审计人员专业知识的范畴。

2.结合实际,建立信息系统审计的体系。当前,国际上已经有比较成熟的关于信息系统审计的体系,那就是信息系统审计和控制联合会(ISACA)COBIT体系,但完全照搬肯定是不行的,在实际操作中,内审机构必须结合国情、校情,进行修订更改,出台符合自身工作实际的、具备可操作性的信息系统审计体系,以规范审计工作。

3.加强对内审人员的培养。内审机构可以通过以下方式提高内审人员业务素质:一是鼓励内审人员取得CISA资格。由ISACA颁发国际信息系统审计师(CISA)执业证书是唯一在国际上获得认可的证书,具有很强的权威性。二是在聘请外部审计机构进行信息系统审计的同时,让内审人员参与其中,做到边实践边总结,起到“以审带练”的作用。

信息系统审计论文范文第3篇

20世纪60年代,随着计算机技术开始运用于企业的信息收集和整理中,会计信息处理逐渐无纸化,促使审计人员在执行传统审计业务时,必须关注以电子数据为载体的电子数据处理审计。20世纪70年代中期至80年代,电子数据处理和管理系统等在企业中逐渐普及,同时,计算机犯罪和计算机系统失效的事件频频发生,使得信息系统审计日益得到重视并迅速发展。美国、日本先后成立了IT审计方面的协会组织,从事对IT审计规则的制定和实施指导。20世纪90年代,信息和信息系统已成为企业的重要资产,企业和社会对信息系统控制和审计的需求愈发强烈。发达国家的信息系统审计进入普及期,许多国家的审计机关、学者和组织对计算机环境下的信息系统审计进行了有益的探索。同时,东南亚各国也逐渐认识到信息系统审计的重要性,开始着手研究信息系统审计理论和实务。

目前,我国信息系统审计仅有十几年的历史,尚处于探索阶段,既缺乏开展信息系统审计业务的人才队伍,也没有形成专业规范体系,所进行的一些计算机审计方面的探索和尝试以及计算机审计软件的开发和应用还大都停留在对被审计单位电子数据进行处理的阶段。存在的主要问题有:信息系统审计观念落后;信息系统审计相关的准则、标准和规范尚不完善;信息系统审计专业人才匮乏;信息系统审计软件开发工作滞后。1997年,广州地铁开始公司“信息化”建设。最初,广州地铁经营审计采用“绕过计算机审计”的方法,即对导出数据进行审计。审计过程中,其逐渐意识到了运用这种“黑箱原理”审计方法的风险。因此,2006年公司组建了专门的IT审计模块,探索“如何利用计算机审计”和“通过计算机审计”。其后,广州地铁信息系统审计发展经历了借力、助力和自立三个阶段。一是借力期:IT审计模块成立初期,公司与外部顾问共同开展IT审计项目,通过外部专业人员向审计人员传输IT审计技能,同时制定《IT审计实施细则》,在人员技能储备和制度上为IT审计模块的发展奠定了基础。二是助力期:审计人员参照审计手册,利用从外部顾问处学习到的审计技能,逐步开展信息系统审计工作,将IT审计工作模式调整为以自身力量为主,外部咨询服务为辅的模式。三是自立期:2009年,广州地铁IT审计已基本实现自主化,且IT审计模块逐步走向成熟,同时其还建立了具有自身特色的信息系统审计框架。目前,IT审计已经发展成为广州地铁内部审计的一根“支柱”,连同“内控审计”,作为基本的审计手段贯穿于各类专业审计工作中,支持审计体系的巩固与发展。

二、信息系统审计内容

1、国内外关于信息系统审计内容的研究

开展信息系统审计首先要明确审计内容。国际信息系统审计协会规定,信息系统审计的主要内容包括信息系统程序审计、信息技术(IT)治理、系统生命周期管理、IT服务的交付与支持、信息资产的保护、灾难恢复和业务连续性计划。近十几年来,国内的学者和组织也对信息系统审计的内容进行了探索和研究。审计署在2012年颁布的《信息系统审计指南———计算机审计实务公告第34号》中明确提出了:信息系统审计包括对应用控制、一般控制和项目管理的审计。其中,应用控制包括信息系统业务流程,数据输入、处理和输出的控制,信息共享和业务协同;一般控制包括信息系统总体控制、信息安全技术控制、信息安全管理控制;项目管理包括信息系统建设的经济性、信息系统建设管理、信息系统绩效。上述具有代表性的规定和研究成果对信息系统审计内容的划分,均是以对信息系统逻辑结构的分析为基础。全面分析信息系统的逻辑结构,可从信息系统的构成要素、信息系统生命周期和信息系统管理三个维度进行描述:从构成要素来看,信息系统由人员、应用(包括软件平台和应用系统)、所采用的技术、硬件设备、数据文件运行规则组成;信息系统生命周期可划分为信息系统的规划阶段、开发阶段、运行维护阶段和更新阶段;从信息系统管理的维度来看,对系统的管理与控制活动贯穿于信息系统生命周期的始终,主要是通过有效执行一系列健全有效的规章制度和管理规程来实现。

2、广州地铁信息系统审计实施框架

结合广州地铁信息化项目多、系统更新快、数据集成度高、系统控制与手工控制并重等特点,围绕信息系统构成要素、信息系统生命周期和信息系统管理三个维度,广州地铁将信息系统审计的内容划分为整体计算机控制审计、应用控制审计和系统建设效能评价三个方面。其中,整体计算机控制审计是对信息系统运行中的控制活动进行审计,目的是合理保证由信息系统支持的业务流程控制是可靠的、生成的数据和报告是可信的。应用系统控制审计是对业务流程中的自动化控制活动进行审计,以合理保证交易的有效性、经适当授权和记录、完成的完整性、准确性和及时性。项目及系统绩效审计是对信息化项目的过程及成果对企业和业务产生的效益进行审计,用来合理保证信息化项目的投资/产出比例符合建设的目标,以及信息系统对企业战略起到的预期的支撑作用。围绕上述三个方面,广州地铁内部审计确立了以下的实施框架。

(1)确立整体计算机控制安全、操作、变更的三个评价维度,围绕“信息系统全生命周期”,明确整体计算机控制十个流程。

广州地铁通过学习和借鉴国际信息系统技术管理和控制标准COBIT,建立起了一套自己的整体计算机控制审计框架。框架可按流程和控制类型两种方式进行划分,两种划分方式在本质上是一致的。在按流程划分出的每个子流程中,信息系统审计人员需要从变更、安全、操作的角度去确认和评估具体的控制点;在按控制职能所作的划分中,审计人员需要围绕信息系统的策略与计划、信息系统操作、与外部供应商关系、业务可持续计划、应用系统开发、数据库、软件支持、网络、硬件等十个子流程进行审计。围绕安全、变更、操作三个角度及十个子流程,广州地铁共梳理出有关整体计算机控制的41项审计内容,并针对每一项内容明确了控制目标和风险,建立起了一套完整的整体计算机控制矩阵。例如,信息系统策略和计划子流程中,广州地铁明确了整体计算机控制的三大目标———信息系统战略、规划和预算应与实际业务和战略目标保持一致,计算机处理环境应得到具有适当技能和经验的人员的充分支持和保证,以及计算机处理环境中的人员应接受适当的培训,审计人员在此基础上针对各控制目标,识别并归纳出广州地铁现行的9个控制活动。在具体开展信息系统整体计算机控制审计时,信息系统审计人员根据审计项目的特点和要求,选择需要评价的子流程,再对照子流程的控制活动进行评估及测试即可。

(2)从内部控制目标出发,将信息系统应用控制划分为访问控制、完整性控制及数据质量控制三大方面。

广州地铁将信息系统的应用控制划分为应用系统访问控制、流程和系统完整性控制以及数据质量控制三大类,并针对各类控制分别设计了不同的审计内容。一是应用系统授权访问控制审计包括对系统的认证方式、授权机制、权限的分配管理以及不相容职责分离在系统中的实现情况的审计,目的在于保证经过允许的人才能访问和操作系统。二是流程和系统完整性控制审计是对系统输入、处理、输出以及接口等各种系统运行规则的审计,用以保证所有经允许处理的数据均转换到介质上并被处理,且处理的结果可通过适当的方式加以输出,所有输入、转换、处理和输出均在正常的时间内准确地进行。三是数据质量控制审计则是指对信息系统中的数据的完整性、规范性和有效性所进行的审计,旨在保证所有系统的输出均反映为经批准的有效的经济业务,所有经过系统的数据真实、有效,且能满足企业各项业务的使用要求。

(3)围绕“信息化项目”和“信息系统”,综合评价信息化建设的效益。

在开展整体计算机控制审计和应用控制审计的基础上,广州地铁从企业经营和投资效益的视角出发,在信息系统审计中引入了3E审计的概念,尝试对信息系统建设项目的成效、建成后系统的应用效能以及信息化对战略的支撑效果进行审计。为了全面评价项目,广州地铁通常将对单个信息系统建设项目的合规性审计与项目效能审计结合在一起开展。一是信息系统建设成效审计旨在通过对系统建设全过程的审计,促进信息系统的建设规范性,提高信息系统建设的质量。二是信息系统应用效能审计包括对业务需求的实现情况、建成功能的使用情况的审计分析,以及对系统应用对业务管理规范化、标准化和精细化提升作用的综合评价,目的在于促进系统使用价值的最大化,减少系统建设的投资浪费。三是战略支撑效果审计是从支持战略实现的角度,评价信息系统的建设效益,保证信息化建设在符合业务管理要求的同时,符合公司战略的需要,支持公司战略的实现。

三、信息系统审计实施步骤

信息系统审计步骤(或流程),是审计工作从开始到结束的整个过程。信息系统审计流程一般可划分为四个阶段:计划阶段、实施阶段、报告阶段和后续阶段。计划阶段是信息系统审计流程的起点,此阶段的主要工作包括了解被审计系统的基本情况,初步评价被审计单位信息系统的内部控制和外部控制,识别重要性和编制审计计划。实施阶段是根据计划阶段确定的审计范围、重点、步骤和方法进行有针对性的取证、评价,并形成审计结论的过程。实施阶段是信息系统审计工作的核心,主要由符合性测试和实质性测试两个部分构成。在报告阶段,信息系统审计人员需运用专业判断,整理、评价收集到的审计证据,以经过核实的审计证据为依据,形成审计意见,出具审计报告。审计报告的出具并不意味着信息系统审计工作的终结。根据国际信息系统审计标准,信息系统审计人员对于系统中发现的重大问题和漏洞,需要对被审计单位所采取的纠正措施及其效果进行后续审计。审计人员需要将后续审计纳入计划,并安排必要的人员和时间进行后续审计。广州地铁IT审计模块成立之初,即明确了IT审计“对公司的系统流程与控制、项目进行审计”和“提供有益于增加公司价值的咨询服务”两项核心职责,并围绕公司战略,以“风险导向”、“服务战略”理念为指导,从信息系统审计战略规划和具体项目执行两个层面分别制定信息系统审计的流程。

1、以公司战略为导向,制定信息系统审计的战略规划

一直以来,广州地铁奉行“源于战略、服务于战略”的现代审计理念。这一理念主要体现在两个方面:一是在制定内审工作计划时,从公司战略出发,制定各个内审业务及各专业审计模块的战略,并以业务战略为指导,开展具体的审计工作;二是在开展审计项目的过程中,始终从保障公司战略执行的角度去发现问题、评价问题,提出整改意见和落实整改。信息系统审计的战略规划来源于公司的战略,以及以公司战略指导制定的公司信息系统战略规划和内部审计业务战略规划;同时还须结合公司信息化现状和IT审计模块定位,明确广州地铁IT审计发展战略目标。

2、通过风险评估,确定各信息系统风险等级,制定层次分明、重点突出的信息系统循环审计计划

为利用有限的审计资源掌握公司主要信息系统的建设、运营情况,保障信息资源的有效利用,降低公司信息系统的整体风险,广州地铁建立了一套“根据信息系统风险评级制定差异化的审计策略”。

(1)梳理信息系统脉络,全面掌握信息系统现状。

广州地铁结合信息系统规划、建设和运营的情况及系统分类梳理出被审计信息系统清单,并从系统构成要素的角度收集系统相关的信息。这些信息包括系统名称、功能模块、采用产品等基本信息,以及项目的建设信息、系统的使用状况和运维的基本情况。这些信息是风险评分的依据,也为后续开展具体审计工作时确定审计方案提供了指引。

(2)开展信息系统风险评级,制定风险导向型审计计划。

内审人员从通用风险、业务风险、项目风险、系统风险、数据风险和人员风险六大风险类别出发,全面识别信息系统各类构成要素中存在的风险;对信息系统进行风险评价,根据风险得分将信息系统按优先级分别划分为高、中、低三类。结合公司IT审计资源的情况,对优先等级高的系统采用三年一审策略,中等级系统5—6年一个审计周期,风险等级低的系统则根据需要安排审计。在此审计策略的基础上,再综合考虑公司业务的十大风险、领导关注事项、上一年度内控评价结果和审计项目成果、公司新一年的工作重点、公司信息系统的变动情况,并制定出本年度的信息系统审计计划。

3、以风险为导向,开展信息系统审计

在项目实施阶段,审计人员必须从公司整体信息系统控制环境和被审计系统的状况、流程与内部控制两个方面进一步收集被审计系统的相关资料,了解和确认被审计单位已建立的内部控制措施,并对这些控制措施的设计是否达到控制目标进行评估。

(1)以“轮流循环+以点带面”的方式开展整体计算机控制审计。

公司的信息化业务采用统一集中管理的模式,整体计算机控制对各个系统具有一定的通用性。因此,在实务操作中,广州地铁采用“以点带面”的策略,以单个信息系统整体计算机控制为切入点对整体计算机控制进行审计,评价整体信息系统的安全性;同时,考虑到信息系统在一定时间内相对稳定,因此在实施整体计算机控制审计时可采取轮流测试的方式,即每年从十个子流程中选取几个进行测试,经过一定周期后,完成对整体计算机控制的全面审计。例如,在2011年开展的信息安全审计项目中,审计人员就围绕信息安全这个审计主题,从十个子流程中选取了与信息安全直接相关的信息系统操作、信息系统安全、业务可持续计划、应用系统开发与实施、数据库开发与实施和系统软件支持等六个流程进行审计。分步、循环开展整体计算机审计,在审计风险可控的情况下,大大节省了审计资源,也使得审计人员能够更加深入地挖掘和分析整体计算机控制方面所存在问题以及问题的成因,提出更为切实可行、同时又符合公司信息化业务发展现状和要求的整改措施。

(2)以风险为着眼点,确定应用控制审计重点。

应用控制是各个信息系统内部所建立的控制机制,应用控制审计必须针对某个具体信息系统开展。在开展应用控制审计的过程中,审计人员应紧紧围绕“风险”这个着眼点,通过对原有业务成熟度和系统建设过程中风险的评估,选择不同的审计侧重点开展应用控制审计。例如,在合同管理系统审计项目中,由于合同管理系统是全新开发的系统,审计人员经分析,判定系统在应用系统访问控制方面的风险较高。而在进行控制评估和测试后,审计人员发现业务人员在创建系统权限设置机制时完全套用了公司办公自动化系统的权限机制,而未针对合同业务流程中不同于公司组织架构下的角色设立相应的用户组,导致系统无法实现合同经办人与审批人职责的分离,存在重大的内控风险。

四、信息系统审计方法

在信息系统审计中,可因地制宜,综合运用多种学科的技术方法,包括:传统审计中内部控制测评的基本方法和审计取证的基本方法(包括审阅、核对、监盘、观察、查询、函证、计算、分析性复核);计算机科学的技术方法,如数据测试法、程序编码审查法、受控处理法、受控再处理法、整体测试法、平行模拟法、程序比较法、漏洞扫描、入侵检测、嵌入审计程序法等等;行为科学的技术方法,如运用组织发展的理论与方法、个体行为一般规律的理论和方法。这些方法与技术并不是孤立的,而是互相联系的。目前,广州地铁在信息系统审计中所运用的方法仍主要集中在传统的内控审计方法和信息系统管理的技术方法两个领域,具体包括询问、观察、文件复核、抽样、重新执行、使用计算机辅助软件等。在部分项目中,也采用了一些计算机科学的技术方法。受限于审计资源不足,广州地铁较少采用程序比较法、平行模拟法、程序编码审查法等高成本的审计方法,而倾向于选用一些较为高效的测试方法。但这些高效方法的运用不能完全消除审计风险,这就需要审计人员根据自身的经验尽量避免。

1、传统审计方法的运用

广州地铁在开展信息系统审计过程中较多运用传统审计的方法。例如,在对信息系统整体计算机控制进行审计时,通过对系统使用人员的访谈、调研和对系统各项操作的观察,梳理出整体计算机控制相关的各种控制活动。在没有测试环境的情况下对生产在用信息系统的人机交互界面和功能进行调查和确认时,审计人员大量运用了观察的方法。在对固定资产信息系统模块进行审计中,审计人员通过观察物资采购人员、资产管理人员、会计核算人员在系统中的操作界面、系统实现效果以及业务操作流程来了解系统功能的构造。发现采购中的供应商信息在跨系统流程过程中丢失,导致财务系统和实物管理的MAXIMO系统的资产台账中均缺少供应商信息,致使日后采购同类物资时,采购人员无法获取历史采购信息作为参考,增加了市场调研成本。除内控矩阵和访谈、观察等方法之外,编制流程图、数据流图和报表流图也是信息系统审计经常使用的方法。

2、计算机科学技术方法的运用

计算机科学技术方法是信息系统审计特有的方法,来源于IT行业的信息技术的转换应用,主要包括基于数据分析的方法和基于程序分析的方法,这些方法的综合使用使得对信息系统的审计更加有效。具体方法的选用需视被审计系统的实际情况而定。在一个审计项目中,广州地铁审计人员经常将多种方法结合使用。例如,在票务收入系统审计项目中,审计人员首先采用数据测试法,使用正常及非正常的测试地铁票搭乘地铁,在系统中跟踪测试票的处理情况,以验证系统处理与控制功能是否均有效;在对系统中后期内部开发的车站单程票售卖功能进行审计时,审计人员采用了程序编码审查法,对系统的源程序编码进行审查,审查后发现单程票售卖金额统计报表在进行数据处理时省略了小数点后的尾数,导致报表金额存在偏差;在对票务系统的清分报表进行验证时,审计人员又采用了平行模拟法,抽取系统中一段时间内的正式交易记录,在系统外模拟系统的处理规则对交易记录进行处理,并将处理结果与系统的报表数据进行核对,结果发现系统在数据传递和处理过程中,由于系统对于异常数据的审核过于严格,导致部分正常数据被当作垃圾数据丢进异常库,给公司造成票务损失。

3、计算机辅助审计软件的应用

计算机辅助审计软件的应用是信息系统审计的一个显著特点,也是审计人员准备阶段需要重点关注的问题之一。目前,广州地铁对计算机辅助审计软件的应用主要体现在以下两个方面。

(1)对系统中数据的准确性、完整性和一致性的检查。

例如,在合同管理系统审计项目中,为核对系统接口程序的可靠性,审计人员利用审计辅助软件快速完成了对合同系统和财务系统数据一致性的核对,迅速查找出两个系统中不一致的数据。经过深入分析,审计人员发现由于财务核算人员在财务系统中复核合同支付数据时发现错误,将支付申请退回给合同系统再由合同经办人重新填报时,合同系统未对已生成的支付信息进行更新,导致上述问题的出现。针对海量数据处理系统,数据验证是审计的重点,计算机辅助软件是“不可或缺”的审计工具。在地铁票务收入保障审计项目中,审计人需要通过数据验证的方式对业务处理的核心系统———自动售检票(AFC)系统中的系统传输和处理机制进行验证。为此,审计人员共设计了8大类29子类47个数据验证主题。审计时,审计人员运用计算机辅助审计技术,在两个月内完成了对AFC系统中10天总计超过3亿条运营数据的验证工作。

(2)利用计算机辅助软件进行对比测试。

即审计人员从信息系统中抽取某部门样本数据,将样本数据输入到与计算机辅助软件中进行处理,把审计软件输出的结果与业务系统产生的结果进行对比分析,以判定业务系统的可靠性与准确性。广州地铁在已开展的运营票务收入保障审计项目中大量地使用了此种方式。审计人员将各车站站务人员在票务系统中录入的售票数据导入到计算机辅助软件中,按照业务规则对数据进行处理,将处理结果和系统输出的结果进行对比。经对比,审计人员发现票务系统在处理异常数据时过于严格,导致部分非异常数据被系统当作异常数据丢入异常库中,给公司造成票务损失。

4、信息系统审计与业务内控审计相结合

信息系统审计论文范文第4篇

为了更好的开展信息系统审计,审计组在编制审计实施方案前,对支队的信息系统开展了详细的审前调查,摸清了交警部门信息系统的基本情况,掌握了交通违法业务处理流程及业务数据的流向。最终,审计组决定以业务处理流程为切入点,抓住业务数据流向的关键点来开展审计,并确定了全市审计机关上下联动的审计组织模式,明确了审计的方向和重点。

1.开展信息系统审计审前调查审计组在审前调查阶段,专门开展了信息系统审计审前调查,调查的内容包括:信息系统承载的业务应用情况、业务应用软件、系统业务流程图和数据交互图、网络拓扑结构、主机/存储设备/操作系统/数据库系统、信息系统相关文档等。通过信息系统审计审前调查,大致了解了被审计单位的信息系统的基本情况及业务处理流程:市电子警察系统主要包括违法录入、违法修改、违法审批、法律文书管理、黑名单管理、违法统计等功能。其通过“邮政送达平台”和“银政联网平台”分别与广州市邮政局(以下简称邮局)和银行交换数据,以实现违法通知书的邮寄和罚款的缴纳。四区两市监控设备采集到的数据通过专线或3G网络传送到交警大队服务器中,通过前端审核系统对数据的有效性进行审核,审核完的有效数据上传到市交警支队的“电子警察系统”中。电子警察系统中通过审核的有效数据上传到省系统中,再上传到公安部的“六合一”平台。

2.确定审计组织模式审计组采用了市本级审计组与区县审计组上下联动、信息共享的审计组织方式,由市本级审计组负责市公安局交警支队和两个区分局交警大队的审计调查,其余的四个分局交警大队由各区县审计组分别负责。市本级审计组通过分析“电子警察系统”和“省系统”数据库,将问题数据分割后通过审计署OA系统及时发送给四区两市审计组。四区两市审计组审计分析各自的前端系统数据库,发现的审计线索也通过OA系统上传到市本级审计小组,以确定是否全市普遍存在问题。

3.确定审计重点和方法根据信息系统审计审前调查的结果,审计组决定以交通违法业务处理流程作为切入点,跟踪业务数据流向来开展信息系统审计。审计调查的重点包括四个方面:一是电子警察系统的合法性审计。因为电子警察系统的合法性决定了公安部门执法的合法性,其作出的行政处罚是否存在行政诉讼的可能。例如:执法点位有无按规定向社会公布;执法点是否按规定设置标识牌;执法点的设备是否经过验收和定期检测等,执法点的设备能否正常运行等。二是电子警察系统的有效性、完整性审计。如:违法数据是否按规定全部、及时核对录入;违法记录是否全部及时向当事人制发书面通知;超过规定时速的违法行为是否严格按规定进行处罚;有无擅自撤销处罚记录等。三是电子警察信息系统的安全性审计。如,数据上传过程中是否存在上传失败的情况;前后业务处理流程之间的数据量是否存在差异;操作系统、数据库以及应用系统访问是否存在的安全隐患等。四是电子警察系统的效益性审计。对审前调查确定的重点,审计组分别采用了不同的步骤和方法。①针对系统的合法性采取的审计方法:⑴取得目前交通“电子警察”的种类、数量及分布情况,与金盾网上向社会公布的执法点对比,检查执法点位有无全部按规定向社会公布。⑵在征询社会公众的意见的基础上,实地抽查执法点有无按规定设置标识牌;抽查指示灯号、标志线、限速指示牌等行车标志、标识是否合理;抽查交通“电子警察”测速设备,是否存在限速过低。⑶抽查交通“电子警察”设备的技术档案资料,检查所用的设备是否符合国家标准或者行业标准。⑷抽查信访记录,检查是否存在执罚程序不合法、未及时通知违法行为人等问题。②针对系统的有效性、完整性采取的审计方法:⑴抽查近三年广州市交通“电子警察”定期检测、保养、维护的日志、记录资料,检查设备有无定期检测、保养、维护;通过实地闯红灯和超速检查信息系统设备运行情况的有效性。⑵检查数据校验功能是否缺失。如核查决定书编号是否唯一编号、是否存在重号等。⑶通过不同系统之间数据的对比,核查系统数据完整性。一是横向比对,例如通过交警数据和邮政数据比对,违法记录是否全部及时向当事人制发书面通知,通过交警数据和银行数据比对,检查最终违章记录表中反映的已缴处罚金额总额是否与财政同一期间的非税收入金额一致;二是数据的竖向比对,例如通过四区两市的数据和支队数据比对,支队数据和省交警总队数据比对,检查系统数据在升级和迁移过程中是否发生丢失。⑷处罚撤销情况统计。审核撤销的数量、原因情况。审核撤销是否具有完整的内部控制制度,系统是否有控制手段。③针对系统的安全性采取的审计方法:⑴检查管理制度,查看系统后台记录的有关用户操作权限。⑵实地抽样查看系统操作人员对系统用户权限的管理,并运用数据审计技术和软件,对信息系统自动记录的日志进行筛选分析,检查有无未经授权的进入、非法修改删除数据等异常操作,从而判断信息系统的运行管理是否存在明显错误或者缺陷。④针对信息系统的效益性采取的审计方法:⑴通过直接发放调查问卷等方式,征询公众对广州市公安机关利用交通“电子警察”查处道路交通安全违法行为的意见,分析交通“电子警察”信息系统运行、交警执法的合理性、合法性和效益效果,提出对交通“电子警察”建设和利用的建议。⑵现场抽查交通“电子警察”设置到位情况,通过勘察、试验、拍照等取证手段,对市公安局“电子警察”项目的设置规划、分布、效益进行实地调查,重点检查有无长期在建、虚设不用、闲置浪费等低效益现象,形成绩效评价意见。⑶通过对交警执法效率提升、当地车辆保有量增长、交通事故数量及事故死亡人数变化等相关数据分析,采取量化指标反映“电子警察”取得的社会效益情况。⑷调取业务数据进行分析。如抽查监控点近三年开出罚单情况,动态分析监控点的运作情况汇报;分析近三年的事故多发地点,以及在事故多发地点设置交通“电子警察”情况。

4.项目取得的成果审计组通过开展电子警察信息系统审计,查出了以下主要问题:①部分监控设备长期没有维护,导致无法采集数据或数据失效。②部分违法数据未及时核对、录入。③区(县级市)违法数据与市局存在差异。④未在规定时限内向当事人邮寄交通违法处理通知书。⑤电子警察管理系统反映的违法处理通知书数据与邮局反映的寄出数据存在差异。⑥未及时对区县的异常数据信息进行检查、分析,导致滞纳金数据失真。⑦交警部门记录的入库金额与银行返回的金额存在差异。⑧电子警察管理系统数据上传公安部“六合一”平台时数据丢失。⑨信息系统中交通违法信息内容记载不够完整。公安交警部门对以上查出的问题高度重视,边审计边整改。其中对部分监控设备长期没有维护的问题,市交警支队已加强设备巡检、维护工作的监督力度,对未能正常使用的设备已及时排除故障;通过优化系统和设备配置、延长工作时间、抽调人员支援、将人工拍摄的非现场数据核对录入工作下放至辖区交警大队等措施,有效解决对部分违法数据未及时核对、录入的问题;对未在规定时限内向当事人邮寄交通违法处理通知书的问题,支队按不同的形成原因采取措施予以解决,对确因传送失败而未寄出通知书的,支队与邮政部门重新设计和开发统计违法数据数量功能模块,已正式启用,同时,与邮局采取每日核对数据量、对异常数据加强巡检等监管手段,确保发送数据量与邮局接收数据量一致;对未及时对区县的异常数据信息进行检查、分析,导致部分数据失实的问题,支队已在系统中对滞纳金字段值进行限制,有效解决了缴款时间滞后造成滞纳金不实的问题;对相关业务处理流程之间的数据存在差异的问题,支队正在筹建交通管理数据交换平台,将邮政、银政、电子警察、交委等数据统一通过该平台进行管理,进一步规范数据的共享与交换,同时对数据共享与交换情况进行全面监控,同时,将加强对系统操作人员的培训,提高业务和技能水平;对数据上传公安部“六合一”平台失败后没有作补救处理的问题,支队通过开发数据上传失败查询模块和安排专人跟踪数据上传情况,一旦发现数据上传失败立即进行补传,确保不因技术问题导致上传失败;对信息系统中交通违法信息内容记载不够完整的问题,支队已在新的电子警察管理平台中增加相关字段内容,逐步完善系统的设置。

二、做好信息系统审计的启示

1.做好审前调查是做好信息系统审计的必要前提。审计人员需要根据审前调查了解的行业政策、信息系统的设计、管理和维护情况,从而确定审计的范围和关注点,准备好信息系统审计的软、硬件条件。只有做好信息系统审计审前调查,才能充分评估开展信息系统审计的重要性、可行性和风险性。

2.了解信息系统业务处理流程是做好信息系统审计的主要关键。深入了解被审计单位的业务处理流程,掌握信息系统内部控制环节、数据处理环节和数据传输转移环节,以业务处理流程为切入点,就可以知道容易产生问题的环节,从而确定审计的重点,做到有的放矢。

3.合理配置审计人力资源是做好信息系统审计的有力保证。当前审计机关普遍面临信息系统审计复合型人才馈乏的困境,要在短时间内改变这一状况是不现实的。本案例中审计组配备了专长财会的审计人员和专长计算机技术的审计人员,由专长财会的审计人员负责研究行业政策,收集业务流程各环节的关注点,提出审计需求,由专长计算机技术的审计人员按需求设计计算机语言,对海量数据进行筛选,再交专长财会的审计人员对筛选结果进行分析,共同研究提出审计意见。复用审计思路的审计组织方式能使信息系统审计事半功倍。

4.采取灵活多变的审计方法是开展信息系统审计的有效途径。本案例中采取了审阅、查询、计算、分析性复核、社会调查问卷等多种方法。多种审计方法的灵活运用,可以相互印证审计事项,拓宽审计视野,扩大审计成果,加强审计的影响力。

三、结语

信息系统审计论文范文第5篇

1.资源限制,信息系统审计覆盖面尚不全面目前国际上比较先进的商业银行无一例外地全部开展了GCR(一般控制)和ACR(应用控制)的全方位信息系统审计。但我国还未能全面开展一般控制和应用控制的信息系统审计工作,基本处于一般控制的摸索阶段。

2.信息系统审计专业人才比较缺乏我国国内的审计人员不仅在数量上存在欠缺,质量上更是有待提高。当前我国金融界审计队伍中,主要由财经类专业人员构成,严重缺乏既掌握现代审计理论与技术又精通计算机知识与技能的新型复合型人才。传统的审计人员虽在财会审计领域经验丰富,但对计算机网络技术了解不多,这使得他们难以对复杂的网络会计系统进行有效的评审,难以应付电子商务环境下的审计风险。

3.缺乏有效的通用信息系统审计软件通用的审计软件具有计算机辅助审计软件的各种功能,并且在计算机环境中,通过数据接口与被审计信息系统连接,同时将审计工作程序化,从而在很大程度上代替了手工审计。目前我国信息系统审计刚起步不久,在信息系统审计软件这方面还存在很大空缺,通用的信息系统审计软件几乎不存在。此外,我国现有的财务软件大多没有审计接口,审计软件无法获取所需系统的电子资料。

二、我国商业银行信息系统审计的发展策略

1.信息系统审计制度与准则制定方面根据国际趋同的要求,我国应建立国际标准框架下具有各行特色的标准和规范体系。因而,我国商业银行也可应把目前国际上公认的最先进、最权威的信息系统审计标准——COB信息系统作为核心标准,建立符合中国实际、顺应国际准则趋同化要求的内控、风险管理体系、信息系统监审机制和制度。同时借鉴巴塞尔协议、BS7799、COSO等其他国际标准和原则,进而确立适合各行的信息系统审计目标、对象、范围、方法、流程等,具体指导信息系统审计工作。

2.信息系统审计管理方面第一,建立全方位信息系统审计管理体系。一方面,商业银行要切实落实《金融机构计算机安全保护工作暂行规定》要求,合理安排基础设施和安全防范措施。另一方面,监管部门应加强对我国商业银行的信息系统审计的监管,将信息系统安全作为监管的重要内容,将信息系统审计作为评价其安全性的重要因素。第二,进行信息系统审计人员的技术角色划分,突出信息系统审计的技术特色。根据各商业银行自己的信息系统技术体系及信息系统审计资源,划分不同的信息系统审计技术角色,突出信息系统审计的技术特色,提升信息系统审计层次。

3.信息系统审计专业人才培养方面商业银行的信息系统审计工作需要一支既精通审计业务又掌握信息技术的队伍。由于财经类专业人员缺少计算机审计所要求计算机的知识与技能,已成为制约金融信息系统审计的“瓶颈”。建议可以通过以下的途径加强商业银行信息系统审计人员的专业素质:一是吸收计算机专业人员,把他们培养成审计人员;二是对现有审计人员开展信息系统知识培训和继续教育,培养成信息系统审计师;三是建立激励机制,推行信息系统审计师持证上岗制度,鼓励内审人员学习和钻研计算机知识,考取国家计算机资格等级证书。

信息系统审计论文范文第6篇

信息系统审计对审计人员的素质要求较高,既需要熟悉计算机技术,同时又要精通人民银行各项业务。目前,从现有的人民银行内审人员构成来看,具有计算机专业背景人员较少,从而制约了信息系统审计开展的深度和广度。尤其是中心支行这一级,大部分单位缺少信息技术审计人员,即使有在数量上也很少,难以独立开展高质量的信息技术审计项目。

二、转型环境下提高基层人民银行信息系统审计水平的对策

(一)创新审计流程,强化信息系统事前和事中审计。信息系统审计是以保证计算机信息系统安全平稳运行,有效控制风险为目标的,如果仅从合规性的角度进行信息系统审计,无法达到上述目标,因此,开展信息系统审计的目的不仅要善于发现问题,有效防范已暴露的风险,更要分析化解潜在的风险,以提高审计效果。这就要求我们要创新审计流程,改变传统审计方法,采用“参与式”的审计方式,加强与科技等部门的沟通交流,重视事前与事中审计。一要完善沟通机制。科技与系统应用部门应及时将制定的有关制度、操作规程、系统运行中的事故情况、解决措施、处理结果发送给内审部门;内审部门应就审计系统时发现的问题,及时向科技和系统应用部门进行通报和反馈,并与他们定期或不定期地磋商、交流,了解各业务系统运行情况,更好地发挥信息系统审计的作用。二要组织审计人员参与新系统的开发、评估,并设计满足审计业务需要的功能,真正做到对信息系统的事前和事中审计。三是在审计过程中采用“参与式”审计方法,参与信息系统审计目标、内容、计划的制订,参与审计中发现问题的分析、讨论,参与信息系统风险的评估及改进措施的制订等。

(二)确立风险导向审计,从风险管理的视角推动信息系统审计。对信息系统的审计,往往需要对信息系统的潜在风险进行分析评估,这就需要引入风险导向审计。风险导向审计的重点是分析评估系统固有、控制和检查三类风险。即:评估分析计算机系统本身存在的脆弱性,如容易感染病毒、易受到侵害、攻击以及软件、硬件、网络方面出现的故障等;分析评估系统操作人员没有按照内控制度的要求进行操作,而又没有被内控防止或者纠正的可能性;分析评估审计人员没有进行实质性测试而不能发生被审计单位差错的可能性。通过风险分析评估,量化各类风险的大小,从而把审计资源集中到高风险的审计领域,以最大限度降低信息系统审计风险,提高信息系统审计的质量。

信息系统审计论文范文第7篇

1建立系统设计前期研发机制

以公司科技项目、管理咨询项目研究为依托,建立系统设计前期研发机制。通过将ERP业务审计研究、智能分析审计体系研究、公司信息化环境下内部控制特性及其审计研究等项目列入公司科技项目、管理咨询项目计划,联合国际知名的审计软件开发商、公司系统信息化建设单位,深入研究审计信息系统开发、建设各方面问题,根据审计信息系统建设的最新发展,借鉴国内外优秀企业的领先实践,研究提出了ERP业务审计系统、智能连续审计系统(审计监控预警系统)开发建设的技术路线、系统架构与功能,为系统开发奠定基础。

2建立系统建设过程管控机制

得到各业务部门的大力支持,获取多部门业务数据,是推进审计系统建设的管理难点。为此,审计部门紧抓机遇,以公司开展的“数据共享与业务融合”专项治理活动为契机,将审计系统建设所需数据集成需求,纳入公司重点工作平台,大力推进与相关业务部门的沟通协调工作,获得各部门的充分理解和对数据提供的大力支持。在系统建设过程中,通过与公司信息化主管部门建立周、月例会机制,及时研究讨论系统开发建设中出现的问题,加强系统建设过程管控,提高系统建设质量;根据各单位的反馈意见和建设中出现的问题,组织业务骨干开展技术攻关,持续优化完善系统功能及其实现方式,提高系统易用性水平,为建成好用、实用、高效的审计信息系统提供有效的机制保障。

3建立系统应用情况考核机制

通过制度指导、强化考核、典型示范、知识普及,推动各单位积极应用信息系统开展审计工作,创新信息化环境下的审计工作方式。一是制定下发《关于加强审计信息系统深化应用工作的实施意见》,对各单位做好系统应用工作、健全系统运维体系、加强应用环境保障等方面提出具体要求;制定系统应用定期考核、量化评分机制,发文通报考核情况,不断缩短考核周期,持续加大考核力度。二是将信息化纳入审计工作管理对标的四项重点之一,引导所属各单位着力推进审计信息化,深入思考,及时提炼工作经验,通过典型经验的机制,共享先进经验,发挥示范引领作用。三是建立审计信息系统深化应用培训的常态机制,培训工作纳入每年年度工作计划,公司总部、分部、省公司(直属单位)各司其职,开展分层、分类培训,加强系统应用知识、管理制度的推广、宣贯力度。

4建立审计信息化理论研讨机制

组织各单位结合自身实际,认真总结、提炼审计信息化建设、应用方面的成功经验,分析存在的问题,并提出建设性的意见和建议,开展理论研讨,撰写工作论文;抽调部分单位的审计信息化骨干组成评审专家组,对各单位提交的论文进行评选,提出修改完善意见,遴选优秀论文报送中国内部审计协会参评内部审计理论研讨优秀论文,并在审计门户系统开辟专栏共享研究成果,在公司系统培育学、用信息系统的良好氛围。

二、实施效果

1构建了体系完整的审计信息化体系

审计门户系统、审计综合管理系统、ERP业务审计系统、管控业务审计系统的相继建设应用,初步搭建起审计信息化平台,基本实现审计管理和审计作业的信息化。审计门户已成为审计人员应用系统,以及公司各单位交流审计工作信息、共享审计工作经验的重要平台;审计综合管理系统以项目管理为核心,实现了审计项目从计划到项目终结的全生命周期闭环管理,促进了审计管理的信息化;ERP业务审计系统、管控业务审计系统实现了审计业务对财务、工程、物资、设备、人力资源、营销管理等电网企业主要业务的全面覆盖,彻底改变了传统计算机辅助审计仅限于财务领域的状况,标志着审计信息系统与各主要业务应用系统的紧密融合,通过信息共享和互联,改变“信息孤岛”状况,初步实现了“信息共享,全程控制,在线监督,辅助分析”的审计信息化建设目标。

2促进了审计部门履职能力的提高

审计系统功能设计体现的是经过凝练的专家经验,能够为审计人员提供高效率的辅助分析工具。通过对最直接、最有效、最核心的审计专家经验知识进行归纳、提炼,所建立的一系列审计分析模型,为审计人员提供了标准化、高效率的审计方法和工具,全面提升了内部审计在提供专业咨询、鉴证意见和增值服务方面的职能。审计人员应用系统探索开展非现场审计,在充分发挥信息系统应有效能的同时,利用审计监督视野广的优势,通过对跨业务数据进行整合分析,及时为公司相关决策提供信息支持,高效提升了审计工作价值。

3保障了依法治企工作水平的提升

信息系统审计论文范文第8篇

一、以社会需求为导向,开展课程体系改革

传统的工程审计课程主要是讲授工程类的基础知识,而信息化审计和工程结合的课程往往在毕业前期开设,而此阶段正好是学生踏入社会,准备着手就业的时期,因此没有足够的精力进行学习。另外工程审计应该是理论教学和实践教学同步进行的,而现实中往往是理论部分在先,实践部分在后,导致了学生重理论部分,轻实践部分的现象。为了提高学生动手操作能力,只有理论和实践部分有机结合才能提高学生应用能力。目前急需解决的是信息化审计在教学中的应用问题,随着计算机信息化的加速,审计部门也开发了相关的审计转换软件,但是对于高校还缺乏审计软件和如何利用互联网进行审计的实践课程。未来社会需求的毕业生必定是依托信息系统审计的工程管理专业人才,所以设计与岗位职业技能对接的模块化课程结构,实现课程设置的针对性、实用性是当前亟待解决的问题。

二、提高教师的信息化教学水平

随着社会的发展,靠课件上课已经不适应当前的审计课堂的要求,特别是针对工程审计方向的学生,在工程专业知识扎实的基础上,教师还要不时地跟随社会发展的脚步,充实自己的信息化教学水平,培养一支理论知识与实践经验紧密结合的高质量的审计课程师资队伍,可从下面几方面着手:

(1)组织工程管理类教师参加信息化教学培训。除了安排教师参加多媒体课件制作技术等相关培训外,还要加强教师的信息化操作水平,关键是工程审计要点的视频展示,让学生产生形象生动的印象。另外也要使每位教师可以熟练运用审计教学软件,贯彻现代化教学的要求。

(2)组织教师到审计部门挂职锻炼。到审计部门进行实际锻炼,积累实际工作经历,提高教师的信息化审计操作水平,进一步为教学服务。

(3)加强校内教师与校外专家有效结合。每周聘请校外信息系统审计专家到学校授课,不仅校内教师的知识拓展了,而且学生的视野也开阔了。

三、改革信息化教学方法和评定标准

目前工程审计教学仍然以教师为主体来开展,多数课程缺乏现代化教学手段,考试方式仍然是以应试方式为主,改变当前普遍存在填鸭式的教学方法,采用多种教学方法相结合的方式教学。

(1)开展网上工程类课程视频演示。由于工程知识点众多,课程讲解往往是先讲理论知识,然后通过看视频的方式巩固记忆。这种授课方式并不能增强学生的主观能动性,教师应该将工程视频放在互联网上或者毕博平台上,让学生先看视频,有了主观认识之后,课堂上通过视频加讲授的方式提问学生,提高学生课后的学习积极性。

(2)加强案例分析。工程审计课程中财务审计,效益审计,管理审计和环境审计等内容,课堂通过案例教学、情景教学、讨论教学等,引导学生利用所学知识对实际案例进行剖析,将专业基础知识和案例内容有效融会贯通,从而为下一步审计实践课程打下基础。

(3)采用互动式教学,譬如让学生亲自制作课件,然后上讲台讲课,使学生充分参与,增强学习效果。

(4)改革对学生综合评定的标准。目前多数教师对学生的综合评定主要是以期末考试为主,平时成绩为辅的形式。这样许多学生会产生了一种思维:平时成绩不重要,导致学生在平时课堂的教学中不积极,因此应该将课程成绩的考核以平时成绩为主,期末考试为辅,甚至没有期末考试的形式对学生进行考核,充分调动学生的积极性。

四、建立审计实验室促进信息化教学

当前在校学生进入审计相关部门实习得不到社会的支持,少量的学生通过暑假社会实践的形式进入审计部门实习也只是做一些简单重复的基础工作,涉及的面较窄,甚至相关部门为了完成学生的社会实践工作,给予学生的实践内容往往是与审计不大相关的内容。相比之下,最可行的就是建立审计实验室,基于此我院成立了审计重点固定资产投资实验室,采取模拟审计、信息化审计的方式,模拟审计部门的实际情况,将大型工程的实际信息资料输入系统,通过审计实验室的模拟效果,通过一系列操作,使学生形象地理解所学的工程基本知识,工程审计基本理论、基本方法和程序,以便达到满意的教学效果。在课堂学习的基础上,通过开展网络财务审计,真实模拟工程单位的工作环境,把各种工程知识和审计知识知识综合交叉在一起,不仅巩固了学生所学的基础知识,而且可以使学生的动手能力大幅度提高,满足审计单位对复合型人才的需求。

友情链接