簡述內部控制的概念和要素精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的簡述內部控制的概念和要素主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:簡述內部控制的概念和要素范文
管理控制、會計控制和業務控制是內部控制中三個不可分割的重要方面。與內部控制一樣,會計控制理論與實務也是隨著的變革、環境的變化、競爭的加劇、內部管理的需要而不斷豐富、和完善的。
但是,與起源于20世紀80年代并迅速發展的經營管理革命相比,在財務和會計領域所發生的革新落后了一代(Thomas和Walther,1997),表現在“實時控制觀沒有得到會計理論和實務界的普遍重視,使得會計流程遠離業務流程,導致為管理者提供的信息仍然是滯后的,無法滿足實時控制的需求。IT環境下實時控制的研究非常匱乏,使得會計只注重核算職能,控制職能弱化,特別是利用信息對經營活動全過程進行實時控制無法真正得以體現”(閻達五,2003)。筆者以泛系理論及觀控技術為指導,構建了以泛系理論為基礎的會計控制觀。
一、泛系理論簡述
泛系理論,又稱泛系方法論,是我國多棲學者、武漢數字工程研究所吳學謀教授于1976年開始籌創的一門前沿,其前身是數學逼近轉化論與電磁介質動力學等價論,背景是辨證綜合、跨域一體、百科整合的大科學時代。作為對、數學、科學技術、系統科學、美學、詩學等領域跨學科新的探索,泛系理論是一種似哲非哲的形而泛學的開拓。它追求數、理、工、醫、文、哲等多種專題的自創一家之言而強化百科理法之間的聯系與中介互轉,在經歷了對百科理法的八次概括、與顯生后,處于不斷發展和完善之中。
泛系理論的研究對象為一般事物機理,主要涉及廣義的系統、關系與對稱的一般事物機理。它一方面用逐個典型數學建模的方法,另一方面用機語言或形式語言學遞歸定義的方法,同時用橫斷科學對實踐已證原型或學科概括的方法來研究泛系范疇并使之充分可觀控建模化(吳學謀《從泛系觀看世界》)。
泛系理論的重要技術支撐是觀控技術。觀控技術認為,物質、能量、信息、空間、時間是科學技術的五個基本要素,這五個科學基元中的任何一個都不能單獨存在,只有包含了物質、能量、信息、空間、時間的五維物理泛系才能客觀、獨立地存在。因為在這五個科學基元之間存在著互聯、互轉、互導、互生、互克關系,并在一定的條件下相互轉化。觀控技術以泛系為觀控對象,以認清現實、把握未來為基本使命,是一種追求完善的系統技術。
二、泛系會計控制系統的架構
一個企業的內部會計控制主要是指企業內部會計方法和其他有關方法,對財務、會計工作和有關經濟業務所進行的控制(李鳳鳴《內部控制學》)。從總體上看,會計控制可分為:宏觀控制,即發展比例控制;微觀控制,即單位內部控制。宏觀方面可以通過財務計劃、工資計劃和成本計劃等進行控制;微觀方面可以通過經濟責任制、目標成本、技術經濟定額和內部結算制度等進行控制。會計控制是連接管理控制和業務控制的必要環節,是內部控制的核心。
從泛系理論看,會計控制系統就是一個極其復雜的廣義系統,其硬部由控制者和控制對象的集合構成;軟部由控制關系結構集構成。硬部是指發生控制關系的落腳點,在一個企業內,它可以是人、貨幣資金和實物資產等,也可以是子公司、內部責任中心等子系統;軟部是指各控制要素之間或各子系統之間形成的關系結構集,它可以是規章制度、內部管理文件等。相同的硬部可以組成不同的關系結構集。控制的實質就是實現控制者、控制對象和控制關系三者的相對優化匹配,即通過一定的方法、措施、技術使管理系統達到一定的優化目標。
筆者認為,泛系會計控制系統的構建應當包括以下幾個方面:
1.建立開放式的會計信息系統(AIS)環境。包括、數據庫和管理軟件,這是進行會計實時控制的基礎。“開放式”指AIS不僅僅是企業會計部門對經營活動信息進行采集、加工和報告的手段,也是企業內部其他管理部門和業務部門以及企業外部利益相關者了解企業會計信息的窗口。當然,AIS必須進行權利限制:經濟業務數據的收集和記錄只能由系統管理員操作,一旦錄入,未按正常程序批準不得隨意修改;其他人員,包括企業最高管理層,也只能以“游客”的身份瀏覽會計信息,而無法修改它們。
此外,AIS必須與企業內部其他管理系統進行有效對接。會計信息來自于企業生產經營活動和管理活動的方方面面,開放式的AIS要求會計人員不能只關注與資金收付、資產變動有關的會計核算業務,還要密切關注其他業務活動對會計業務的,并采取相應的對策。AIS與其他管理系統的鏈接、整個管理系統的網絡化為會計人員方便地掌握企業經營活動的發展態勢提供了平臺。再者,AIS也應該面向企業外部的利益相關者,如政府、債權人、供應商以及客戶等,為他們提供準確的會計信息,作為他們評價和監督企業的客觀依據。
泛系理論是研究開放式系統的理論,因為只有開放式系統才能不停地與外界進行物質、能量和信息的交換,才能調整內部結構以適應外部環境的變化,才能在時空中生存和發展。觀控技術就是通過對開放式系統物質流和信息流的實時觀察,把握其運動變化的,并采取一定的控制措施促使其優化發展。這就要求進行AIS的程序重組,建立一種新的AIS環境,以支持會計實時觀控。
2.建立泛系會計觀控程序。控制程序是控制過程的具體化,一個好的控制程序應能囊括會計控制的主要,完整、準確地反映企業的控制目標,并有利于控制評價。傳統的、常規的會計控制的主要內容,在資產管理方面包括資產收付、資產維護手續和資產維護手段。隨著企業經濟業務的不斷發展和日趨復雜,控制內容和范圍也不斷擴大,這就要求會計人員研究新的控制方法和程序,并將其付諸實施。
另外,經營活動的國際化以及競爭環境的日益激烈使企業的經營風險陡然加大,由此也產生了許多新的非常規事項,其中某些事項會嚴重企業經營活動的正常進行,如訴訟、出口產品反傾銷等等。對此,可以按照對企業影響的大小建立控制原則和反映機制,并納入控制程序之中。控制的目標,在宏觀上,應確保國家有關法律法規和企業內部控制制度的貫徹執行,確保企業戰略經營目標的實現;在微觀上,應規范企業會計行為,保證會計資料真實、完整,堵塞漏洞、消除隱患,防止并及時發現、糾正錯誤及舞弊行為,保證企業資產的安全、完整。
古典學把企業看作是一個生產函數,土地、資本和勞動力是三個基本生產要素,由于對土地的資金投入在一定時期內固定,通過對資本和勞動力的不同組合,企業可以生產相同數量的產品。在等產量曲線上,最優的生產要素組合就是對資本和勞動力的綜合資金投入最少的那一點,這可以用產量分別對資本和勞動力的偏導方程聯立求得。
筆者認為,從泛系理論來看,企業是一個受內外環境各種因素制約,既包含上述三個硬約束要素,也包括諸如市場環境、人員素質、管理風格等軟約束要素的綜合生產函數,用公式表示為:
f(Y;X1,X2,…Xn)=0
Y表示企業的綜合狀態,Xi(i=1,2,…n)表示各種約束要素。
該函數是一個隱函數,表達的是多對一的對應關系。運用泛系理論的單值化原理,可以對各要素求泛導(泛系概念下的偏微分)來顯化它們對企業的有利影響(顯生)和不利影響(顯克),尋求企業資源的最佳配置,促進企業的趨優化。而建立合理、可行的觀控程序則是顯化生產函數的必要途徑,一般的會計觀控流程圖如下:
3.建立實時會計控制方法。控制方法是反映控制、實現控制目標、發揮控制效能的技術手段,在控制體系中占據著重要地位。經濟環境的發展變化使很多傳統的會計控制方法的控制時效滯后、控制力度減弱,會計信息流與業務流成為“兩張皮”。一些新的會計控制方法,如預算控制、責任會計控制、標準成本控制、作業成本控制等,其中有些方法已經具有實時控制所要求的事中屬性、動態屬性和時空屬性,但在我國企業中的運用程度還非常低。實時會計控制方法就是在信息技術和觀控技術的支持下,對經營活動全過程形成的物流和資金流進行實時控制,建立各類基于結構化控制規則的流程審批控制法、業務處理規則控制法、權限控制法以及既具有結構化控制規則又具有明確控制標準的預算控制法、責任控制法、標準成本控制法等。
第2篇:簡述內部控制的概念和要素范文
【關鍵詞】 信息系統審計 審計內容 審計方法
一、引言
相比于傳統審計,信息系統審計(Information System Auditing)是審計領域中的一個新概念。目前,關于信息系統審計,學術界和業界均無通用的定義。美國信息系統審計權威專家Ron.A.Weber提出:信息系統審計可定義為通過一定的技術手段收集、分析證據,以對計算機系統是否能夠保證資產安全、維護數據完整、實現組織目標以及高效利用資源進行評價的過程。日本通產情報協會作了如下定義:信息系統審計是指,為了信息系統的安全、可靠與有效,由獨立于審計對象的信息系統審計師以第三方的立場對以計算機為核心的信息系統進行綜合檢查和評價,并向信息系統審計對象的最高領導者提出問題與建議的一連串活動。國際信息系統審計和控制協會(ISACA)將其定義為:信息系統審計是一個獲取并評價證據,以判斷計算機系統是否能夠保證資產的安全、數據的完整以及有效率地利用組織的資源并有效果地實現組織目標的過程。
針對以上觀點,我們將其要點歸納如下:信息系統審計是審計師對以計算機為核心的信息系統,通過專業判斷和評價,合理保證信息系統安全、穩定、有效,并向信息系統的高層管理者及使用者提供問題解決方案,以達到改善經營和為組織增加價值目的的一個過程。
二、信息系統審計的發展與現狀
20世紀60年代,隨著計算機技術開始運用于企業的信息收集和整理中,會計信息處理逐漸無紙化,促使審計人員在執行傳統審計業務時,必須關注以電子數據為載體的電子數據處理審計(EDP Electronic Data Processing)。20世紀70年代中期至80年代,電子數據處理和管理系統等在企業中逐漸普及,同時,計算機犯罪和計算機系統失效的事件頻頻發生,使得信息系統審計日益得到重視并迅速發展。美國、日本先后成立了IT審計方面的協會組織,從事對IT審計規則的制定和實施指導。20世紀90年代,信息和信息系統已成為企業的重要資產,企業和社會對信息系統控制和審計的需求愈發強烈。發達國家的信息系統審計進入普及期,許多國家的審計機關、學者和組織對計算機環境下的信息系統審計進行了有益的探索。同時,東南亞各國也逐漸認識到信息系統審計的重要性,開始著手研究信息系統審計理論和實務。
目前,我國信息系統審計僅有十幾年的歷史,尚處于探索階段,既缺乏開展信息系統審計業務的人才隊伍,也沒有形成專業規范體系,所進行的一些計算機審計方面的探索和嘗試以及計算機審計軟件的開發和應用還大都停留在對被審計單位電子數據進行處理的階段。存在的主要問題有:信息系統審計觀念落后;信息系統審計相關的準則、標準和規范尚不完善;信息系統審計專業人才匱乏;信息系統審計軟件開發工作滯后。
1997年,廣州地鐵開始公司“信息化”建設。最初,廣州地鐵經營審計采用“繞過計算機審計”的方法,即對導出數據進行審計。審計過程中,其逐漸意識到了運用這種“黑箱原理”審計方法的風險。因此,2006年公司組建了專門的IT審計模塊,探索“如何利用計算機審計”和“通過計算機審計”。其后,廣州地鐵信息系統審計發展經歷了借力、助力和自立三個階段。
一是借力期:IT審計模塊成立初期,公司與外部顧問共同開展IT審計項目,通過外部專業人員向審計人員傳輸IT審計技能,同時制定《IT審計實施細則》,在人員技能儲備和制度上為IT審計模塊的發展奠定了基礎。二是助力期:審計人員參照審計手冊,利用從外部顧問處學習到的審計技能,逐步開展信息系統審計工作,將IT審計工作模式調整為以自身力量為主,外部咨詢服務為輔的模式。三是自立期:2009年,廣州地鐵IT審計已基本實現自主化,且IT審計模塊逐步走向成熟,同時其還建立了具有自身特色的信息系統審計框架。
目前,IT審計已經發展成為廣州地鐵內部審計的一根“支柱”,連同“內控審計”,作為基本的審計手段貫穿于各類專業審計工作中,支持審計體系的鞏固與發展。
三、信息系統審計內容
1、國內外關于信息系統審計內容的研究
開展信息系統審計首先要明確審計內容。國際信息系統審計協會規定,信息系統審計的主要內容包括信息系統程序審計、信息技術(IT)治理、系統生命周期管理、IT服務的交付與支持、信息資產的保護、災難恢復和業務連續性計劃。
近十幾年來,國內的學者和組織也對信息系統審計的內容進行了探索和研究。審計署在2012年頒布的《信息系統審計指南――計算機審計實務公告第34號》中明確提出了:信息系統審計包括對應用控制、一般控制和項目管理的審計。其中,應用控制包括信息系統業務流程,數據輸入、處理和輸出的控制,信息共享和業務協同;一般控制包括信息系統總體控制、信息安全技術控制、信息安全管理控制;項目管理包括信息系統建設的經濟性、信息系統建設管理、信息系統績效。
上述具有代表性的規定和研究成果對信息系統審計內容的劃分,均是以對信息系統邏輯結構的分析為基礎。全面分析信息系統的邏輯結構,可從信息系統的構成要素、信息系統生命周期和信息系統管理三個維度進行描述:從構成要素來看,信息系統由人員、應用(包括軟件平臺和應用系統)、所采用的技術、硬件設備、數據文件運行規則組成;信息系統生命周期可劃分為信息系統的規劃階段、開發階段、運行維護階段和更新階段;從信息系統管理的維度來看,對系統的管理與控制活動貫穿于信息系統生命周期的始終,主要是通過有效執行一系列健全有效的規章制度和管理規程來實現。
2、廣州地鐵信息系統審計實施框架
結合廣州地鐵信息化項目多、系統更新快、數據集成度高、系統控制與手工控制并重等特點,圍繞信息系統構成要素、信息系統生命周期和信息系統管理三個維度,廣州地鐵將信息系統審計的內容劃分為整體計算機控制審計、應用控制審計和系統建設效能評價三個方面。其中,整體計算機控制審計是對信息系統運行中的控制活動進行審計,目的是合理保證由信息系統支持的業務流程控制是可靠的、生成的數據和報告是可信的。應用系統控制審計是對業務流程中的自動化控制活動進行審計,以合理保證交易的有效性、經適當授權和記錄、完成的完整性、準確性和及時性。項目及系統績效審計是對信息化項目的過程及成果對企業和業務產生的效益進行審計,用來合理保證信息化項目的投資/產出比例符合建設的目標,以及信息系統對企業戰略起到的預期的支撐作用。圍繞上述三個方面,廣州地鐵內部審計確立了以下的實施框架。
(1)確立整體計算機控制安全、操作、變更的三個評價維度,圍繞“信息系統全生命周期”,明確整體計算機控制十個流程。廣州地鐵通過學習和借鑒國際信息系統技術管理和控制標準COBIT,建立起了一套自己的整體計算機控制審計框架。框架可按流程和控制類型兩種方式進行劃分,兩種劃分方式在本質上是一致的。在按流程劃分出的每個子流程中,信息系統審計人員需要從變更、安全、操作的角度去確認和評估具體的控制點;在按控制職能所作的劃分中,審計人員需要圍繞信息系統的策略與計劃、信息系統操作、與外部供應商關系、業務可持續計劃、應用系統開發、數據庫、軟件支持、網絡、硬件等十個子流程進行審計。
圍繞安全、變更、操作三個角度及十個子流程,廣州地鐵共梳理出有關整體計算機控制的41項審計內容,并針對每一項內容明確了控制目標和風險,建立起了一套完整的整體計算機控制矩陣。例如,信息系統策略和計劃子流程中,廣州地鐵明確了整體計算機控制的三大目標――信息系統戰略、規劃和預算應與實際業務和戰略目標保持一致,計算機處理環境應得到具有適當技能和經驗的人員的充分支持和保證,以及計算機處理環境中的人員應接受適當的培訓,審計人員在此基礎上針對各控制目標,識別并歸納出廣州地鐵現行的9個控制活動。在具體開展信息系統整體計算機控制審計時,信息系統審計人員根據審計項目的特點和要求,選擇需要評價的子流程,再對照子流程的控制活動進行評估及測試即可。
(2)從內部控制目標出發,將信息系統應用控制劃分為訪問控制、完整性控制及數據質量控制三大方面。廣州地鐵將信息系統的應用控制劃分為應用系統訪問控制、流程和系統完整性控制以及數據質量控制三大類,并針對各類控制分別設計了不同的審計內容。
一是應用系統授權訪問控制審計包括對系統的認證方式、授權機制、權限的分配管理以及不相容職責分離在系統中的實現情況的審計,目的在于保證經過允許的人才能訪問和操作系統。二是流程和系統完整性控制審計是對系統輸入、處理、輸出以及接口等各種系統運行規則的審計,用以保證所有經允許處理的數據均轉換到介質上并被處理,且處理的結果可通過適當的方式加以輸出,所有輸入、轉換、處理和輸出均在正常的時間內準確地進行。三是數據質量控制審計則是指對信息系統中的數據的完整性、規范性和有效性所進行的審計,旨在保證所有系統的輸出均反映為經批準的有效的經濟業務,所有經過系統的數據真實、有效,且能滿足企業各項業務的使用要求。
(3)圍繞“信息化項目”和“信息系統”,綜合評價信息化建設的效益。在開展整體計算機控制審計和應用控制審計的基礎上,廣州地鐵從企業經營和投資效益的視角出發,在信息系統審計中引入了3E審計的概念,嘗試對信息系統建設項目的成效、建成后系統的應用效能以及信息化對戰略的支撐效果進行審計。為了全面評價項目,廣州地鐵通常將對單個信息系統建設項目的合規性審計與項目效能審計結合在一起開展。
一是信息系統建設成效審計旨在通過對系統建設全過程的審計,促進信息系統的建設規范性,提高信息系統建設的質量。二是信息系統應用效能審計包括對業務需求的實現情況、建成功能的使用情況的審計分析,以及對系統應用對業務管理規范化、標準化和精細化提升作用的綜合評價,目的在于促進系統使用價值的最大化,減少系統建設的投資浪費。三是戰略支撐效果審計是從支持戰略實現的角度,評價信息系統的建設效益,保證信息化建設在符合業務管理要求的同時,符合公司戰略的需要,支持公司戰略的實現。
四、信息系統審計實施步驟
信息系統審計步驟(或流程),是審計工作從開始到結束的整個過程。信息系統審計流程一般可劃分為四個階段:計劃階段、實施階段、報告階段和后續階段。計劃階段是信息系統審計流程的起點,此階段的主要工作包括了解被審計系統的基本情況,初步評價被審計單位信息系統的內部控制和外部控制,識別重要性和編制審計計劃。實施階段是根據計劃階段確定的審計范圍、重點、步驟和方法進行有針對性的取證、評價,并形成審計結論的過程。實施階段是信息系統審計工作的核心,主要由符合性測試和實質性測試兩個部分構成。在報告階段,信息系統審計人員需運用專業判斷,整理、評價收集到的審計證據,以經過核實的審計證據為依據,形成審計意見,出具審計報告。審計報告的出具并不意味著信息系統審計工作的終結。根據國際信息系統審計標準,信息系統審計人員對于系統中發現的重大問題和漏洞,需要對被審計單位所采取的糾正措施及其效果進行后續審計。審計人員需要將后續審計納入計劃,并安排必要的人員和時間進行后續審計。
廣州地鐵IT審計模塊成立之初,即明確了IT審計“對公司的系統流程與控制、項目進行審計”和“提供有益于增加公司價值的咨詢服務”兩項核心職責,并圍繞公司戰略,以“風險導向”、“服務戰略”理念為指導,從信息系統審計戰略規劃和具體項目執行兩個層面分別制定信息系統審計的流程。
1、以公司戰略為導向,制定信息系統審計的戰略規劃
一直以來,廣州地鐵奉行“源于戰略、服務于戰略”的現代審計理念。這一理念主要體現在兩個方面:一是在制定內審工作計劃時,從公司戰略出發,制定各個內審業務及各專業審計模塊的戰略,并以業務戰略為指導,開展具體的審計工作;二是在開展審計項目的過程中,始終從保障公司戰略執行的角度去發現問題、評價問題,提出整改意見和落實整改。信息系統審計的戰略規劃來源于公司的戰略,以及以公司戰略指導制定的公司信息系統戰略規劃和內部審計業務戰略規劃;同時還須結合公司信息化現狀和IT審計模塊定位,明確廣州地鐵IT審計發展戰略目標。
2、通過風險評估,確定各信息系統風險等級,制定層次分明、重點突出的信息系統循環審計計劃
為利用有限的審計資源掌握公司主要信息系統的建設、運營情況,保障信息資源的有效利用,降低公司信息系統的整體風險,廣州地鐵建立了一套“根據信息系統風險評級制定差異化的審計策略”。
(1)梳理信息系統脈絡,全面掌握信息系統現狀。廣州地鐵結合信息系統規劃、建設和運營的情況及系統分類梳理出被審計信息系統清單,并從系統構成要素的角度收集系統相關的信息。這些信息包括系統名稱、功能模塊、采用產品等基本信息,以及項目的建設信息、系統的使用狀況和運維的基本情況。這些信息是風險評分的依據,也為后續開展具體審計工作時確定審計方案提供了指引。
(2)開展信息系統風險評級,制定風險導向型審計計劃。內審人員從通用風險、業務風險、項目風險、系統風險、數據風險和人員風險六大風險類別出發,全面識別信息系統各類構成要素中存在的風險;對信息系統進行風險評價,根據風險得分將信息系統按優先級分別劃分為高、中、低三類。結合公司IT審計資源的情況,對優先等級高的系統采用三年一審策略,中等級系統5―6年一個審計周期,風險等級低的系統則根據需要安排審計。在此審計策略的基礎上,再綜合考慮公司業務的十大風險、領導關注事項、上一年度內控評價結果和審計項目成果、公司新一年的工作重點、公司信息系統的變動情況,并制定出本年度的信息系統審計計劃。
3、以風險為導向,開展信息系統審計
在項目實施階段,審計人員必須從公司整體信息系統控制環境和被審計系統的狀況、流程與內部控制兩個方面進一步收集被審計系統的相關資料,了解和確認被審計單位已建立的內部控制措施,并對這些控制措施的設計是否達到控制目標進行評估。
(1)以“輪流循環+以點帶面”的方式開展整體計算機控制審計。公司的信息化業務采用統一集中管理的模式,整體計算機控制對各個系統具有一定的通用性。因此,在實務操作中,廣州地鐵采用“以點帶面”的策略,以單個信息系統整體計算機控制為切入點對整體計算機控制進行審計,評價整體信息系統的安全性;同時,考慮到信息系統在一定時間內相對穩定,因此在實施整體計算機控制審計時可采取輪流測試的方式,即每年從十個子流程中選取幾個進行測試,經過一定周期后,完成對整體計算機控制的全面審計。例如,在2011年開展的信息安全審計項目中,審計人員就圍繞信息安全這個審計主題,從十個子流程中選取了與信息安全直接相關的信息系統操作、信息系統安全、業務可持續計劃、應用系統開發與實施、數據庫開發與實施和系統軟件支持等六個流程進行審計。分步、循環開展整體計算機審計,在審計風險可控的情況下,大大節省了審計資源,也使得審計人員能夠更加深入地挖掘和分析整體計算機控制方面所存在問題以及問題的成因,提出更為切實可行、同時又符合公司信息化業務發展現狀和要求的整改措施。
(2)以風險為著眼點,確定應用控制審計重點。應用控制是各個信息系統內部所建立的控制機制,應用控制審計必須針對某個具體信息系統開展。在開展應用控制審計的過程中,審計人員應緊緊圍繞“風險”這個著眼點,通過對原有業務成熟度和系統建設過程中風險的評估,選擇不同的審計側重點開展應用控制審計。例如,在合同管理系統審計項目中,由于合同管理系統是全新開發的系統,審計人員經分析,判定系統在應用系統訪問控制方面的風險較高。而在進行控制評估和測試后,審計人員發現業務人員在創建系統權限設置機制時完全套用了公司辦公自動化系統的權限機制,而未針對合同業務流程中不同于公司組織架構下的角色設立相應的用戶組,導致系統無法實現合同經辦人與審批人職責的分離,存在重大的內控風險。
五、信息系統審計方法
在信息系統審計中,可因地制宜,綜合運用多種學科的技術方法,包括:傳統審計中內部控制測評的基本方法和審計取證的基本方法(包括審閱、核對、監盤、觀察、查詢、函證、計算、分析性復核);計算機科學的技術方法,如數據測試法、程序編碼審查法、受控處理法、受控再處理法、整體測試法、平行模擬法、程序比較法、漏洞掃描、入侵檢測、嵌入審計程序法等等;行為科學的技術方法,如運用組織發展的理論與方法、個體行為一般規律的理論和方法。這些方法與技術并不是孤立的,而是互相聯系的。
目前,廣州地鐵在信息系統審計中所運用的方法仍主要集中在傳統的內控審計方法和信息系統管理的技術方法兩個領域,具體包括詢問、觀察、文件復核、抽樣、重新執行、使用計算機輔助軟件等。在部分項目中,也采用了一些計算機科學的技術方法。受限于審計資源不足,廣州地鐵較少采用程序比較法、平行模擬法、程序編碼審查法等高成本的審計方法,而傾向于選用一些較為高效的測試方法。但這些高效方法的運用不能完全消除審計風險,這就需要審計人員根據自身的經驗盡量避免。
1、傳統審計方法的運用
廣州地鐵在開展信息系統審計過程中較多運用傳統審計的方法。例如,在對信息系統整體計算機控制進行審計時,通過對系統使用人員的訪談、調研和對系統各項操作的觀察,梳理出整體計算機控制相關的各種控制活動。在沒有測試環境的情況下對生產在用信息系統的人機交互界面和功能進行調查和確認時,審計人員大量運用了觀察的方法。在對固定資產信息系統模塊進行審計中,審計人員通過觀察物資采購人員、資產管理人員、會計核算人員在系統中的操作界面、系統實現效果以及業務操作流程來了解系統功能的構造。發現采購中的供應商信息在跨系統流程過程中丟失,導致財務系統和實物管理的MAXIMO系統的資產臺賬中均缺少供應商信息,致使日后采購同類物資時,采購人員無法獲取歷史采購信息作為參考,增加了市場調研成本。除內控矩陣和訪談、觀察等方法之外,編制流程圖、數據流圖和報表流圖也是信息系統審計經常使用的方法。
2、計算機科學技術方法的運用
計算機科學技術方法是信息系統審計特有的方法,來源于IT行業的信息技術的轉換應用,主要包括基于數據分析的方法和基于程序分析的方法,這些方法的綜合使用使得對信息系統的審計更加有效。具體方法的選用需視被審計系統的實際情況而定。在一個審計項目中,廣州地鐵審計人員經常將多種方法結合使用。例如,在票務收入系統審計項目中,審計人員首先采用數據測試法,使用正常及非正常的測試地鐵票搭乘地鐵,在系統中跟蹤測試票的處理情況,以驗證系統處理與控制功能是否均有效;在對系統中后期內部開發的車站單程票售賣功能進行審計時,審計人員采用了程序編碼審查法,對系統的源程序編碼進行審查,審查后發現單程票售賣金額統計報表在進行數據處理時省略了小數點后的尾數,導致報表金額存在偏差;在對票務系統的清分報表進行驗證時,審計人員又采用了平行模擬法,抽取系統中一段時間內的正式交易記錄,在系統外模擬系統的處理規則對交易記錄進行處理,并將處理結果與系統的報表數據進行核對,結果發現系統在數據傳遞和處理過程中,由于系統對于異常數據的審核過于嚴格,導致部分正常數據被當作垃圾數據丟進異常庫,給公司造成票務損失。
3、計算機輔助審計軟件的應用
計算機輔助審計軟件的應用是信息系統審計的一個顯著特點,也是審計人員準備階段需要重點關注的問題之一。目前,廣州地鐵對計算機輔助審計軟件的應用主要體現在以下兩個方面。
(1)對系統中數據的準確性、完整性和一致性的檢查。例如,在合同管理系統審計項目中,為核對系統接口程序的可靠性,審計人員利用審計輔助軟件快速完成了對合同系統和財務系統數據一致性的核對,迅速查找出兩個系統中不一致的數據。經過深入分析,審計人員發現由于財務核算人員在財務系統中復核合同支付數據時發現錯誤,將支付申請退回給合同系統再由合同經辦人重新填報時,合同系統未對已生成的支付信息進行更新,導致上述問題的出現。針對海量數據處理系統,數據驗證是審計的重點,計算機輔助軟件是“不可或缺”的審計工具。在地鐵票務收入保障審計項目中,審計人需要通過數據驗證的方式對業務處理的核心系統――自動售檢票(AFC)系統中的系統傳輸和處理機制進行驗證。為此,審計人員共設計了8大類29子類47個數據驗證主題。審計時,審計人員運用計算機輔助審計技術,在兩個月內完成了對AFC系統中10天總計超過3億條運營數據的驗證工作。
(2)利用計算機輔助軟件進行對比測試。即審計人員從信息系統中抽取某部門樣本數據,將樣本數據輸入到與計算機輔助軟件中進行處理,把審計軟件輸出的結果與業務系統產生的結果進行對比分析,以判定業務系統的可靠性與準確性。廣州地鐵在已開展的運營票務收入保障審計項目中大量地使用了此種方式。審計人員將各車站站務人員在票務系統中錄入的售票數據導入到計算機輔助軟件中,按照業務規則對數據進行處理,將處理結果和系統輸出的結果進行對比。經對比,審計人員發現票務系統在處理異常數據時過于嚴格,導致部分非異常數據被系統當作異常數據丟入異常庫中,給公司造成票務損失。
4、信息系統審計與業務內控審計相結合
企業管理流程信息化的過程中,會對原有的業務流程進行優化甚至重構。對原有手工流程的內控評價在信息化環境中可能不再適用。因此,廣州地鐵在信息系統審計中添加了對業務流程的內控評價――先對業務的內部控制情況進行評估,梳理并確定業務流程風險和關鍵控制點,再對照業務流程對系統的處理流程進行評價,確保信息系統審計評價的準確性。信息系統審計與業務內控審計相結合的方法還體現在對一個流程中未在信息系統實現的控制環節可以通過內控審計進行補充。實踐表明,信息系統審計與業務內控審計相結合的方法在很大程度上提高了審計的全面性。
由于信息技術自身的特點,例如電子數據的不可視性,加之被審計單位信息系統內部控制方面可能存在缺陷以及信息系統審計人員在專業技術和職業道德方面亦不完美,信息系統審計風險客觀存在。面對信息系統審計風險,需要審計人員通過深入調研,全面了解被審計系統的情況;需要培養專業人才,“以點帶面”提升團隊能力;結合企業發展情況,制定內部信息系統審計標準;利用審計軟件,降低抽樣風險,提高審計效率等多種措施,不斷降低審計過程中的檢查風險,提高審計質量。
【參考文獻】
[1] Ron A.Weber,Information Systems Control and Audit,1st ed,NJ:Prentice Hall,1998.
[2] S. Anantha Sayana:The IS Audit Process[J].The ISACA Journal,2002(1).
[3] Craig S. Wright:The IT Regulatory and Standards Compliance Handbook:How to Survive Information Systems Audit and Assessments,1st ed,MA:Syngress, 2008.
[4] Robert E. Davis:Information Systems Auditing:The IS Audit Planning Process,3rd ed,2010.
[5] Jack J. Champlain:Auditing Information Systems[J].2nd ed,NJ:John Wiley&Sons,2003.
[6] 盧紅柱:計算機信息系統審計的探索之路[J].審計研究,2006(增刊).
[7] 王進波、常衛:信息系統審計的發展與現狀[J].財政監督,2008(4).
[8] 陳繼初:信息系統審計在我國的現狀及存在的問題[J].消費導刊,2008(12).
[9] 吳沁紅:信息系統審計內容分析[J].財會研究,2008(10).
[10] 胡曉明:信息系統審計理論體系的構建[J].中國注冊會計師,2006(6).
[11] 王艷、周劍:信息系統審計辨析[J].圖書情報工作,2004(48).
[12] 田佳林:信息系統審計簡述[J].財政監督,2008(4).
[13] 陳婉玲、楊文杰:COBIT及其在信息系統控制與審計中的應用[J].審計研究,2006(增刊).
[14] 趙靜:COBIT框架在IT審計中的應用[J].中國內部審計,2009(12).
[15] 張妍:信息系統審計方法研究[J].審計月刊,2010(11).
[16] 劉杰、羅繼榮:信息系統審計質量控制準則研究[J].財會通訊,2011(5).
[17] 王振武、張子瑾:信息系統審計理論結構框架研究[J].會計之友,2011(7).