时间:2022-11-04 17:20:36
序论:写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感,挖掘那些隐藏在内心深处的真相,好投稿为您带来了七篇计算机审计论文范文,愿它们成为您写作过程中的灵感催化剂,助力您的创作。
甫瀚咨询连续多年持续对内部审计能力与需求开展调查。根据近几年的调查结果显示,无论企业规模的大小,计算机辅助审计技术(CAAT)及数据分析的重要性都得到持续的关注,成为内部审计职能亟待提升的五个主要领域之一。内部审计师有意加强其在计算机辅助审计工具以及持续审计和监控技术方面的知识水平。同时,内部审计职能部门也打算充分利用一些更高级的数据分析工具来支持风险管理及企业整体业务目标的实现(见图4)。
二、如何实现内部审计信息化
与传统内部审计相比,内部审计信息化的目标是逐步实现以下几方面的转变:一是逐步实现审计管理工作从手工转变为系统化;二是逐步实现从手工查账的审计转变为运用计算机对电子信息数据的审计;三是逐步实现从财务数据的审计到对包括财务和业务数据同步审计,以及信息系统的审计;四是逐步实现从事后审计转变为以在线监控为主,事前、事中和事后相结合的审计。内部审计信息化建设将重点关注内部审计信息化的两个热点:内部审计信息系统建设和计算机辅助审计工具的使用。
(一)内部审计信息系统建设
1.系统选型和设计原则。内部审计信息系统的建设,是为了更好地履行内部审计职能,提高内部审计工作效率和管理水平,实现内审工作从手工化向信息化、自动化、智能化过渡,更好地服务于企业业务运营、风险管理与防范反舞弊等方面的工作。因此,在进行系统选型和设计时,应充分考虑企业的信息系统建设现状、内部审计工作的需要并结合国内外成熟的IT技术及项目经验。建议考虑的两个基本原则如下:一是业务系统尚不完善时暂不考虑通过系统支持审计持续化。对于信息化程度相对不成熟的企业,如果业务系统的建设尚处于初级阶段,对业务流程和运营的支持力度有较多的提升空间,或者对信息系统的建设将发生较多和较大的变化,建议在审计信息系统选型和设计时优先考虑实施审计流程管理系统,而暂缓考虑系统对审计持续化的支持。否则,一方面业务系统可能无法提供审计工作持续化所需要的信息和数据,另一方面,业务系统未来不断地变化和发展将导致审计信息系统需要不断变化并与之适应,带来巨大的成本。二是业务系统完善并且审计职能有需要时可考虑通过系统实施审计持续化。如现有业务系统环境允许,可根据实际情况考虑实施成熟的GRC系统或开发设计完整的内审系统。一些ERP厂商提供了风险管理、内控和内审相关的产品,例如SAPGRC,它能够与SAPERP系统整合在一起,方便地实现对业务流程控制的及时监控和风险防范。对于已经实施和使用SAPERP系统的企业来说,实施SAPGRC可以实现与ERP系统的无缝集成,并极大地减少系统开发和定制的工作量。而对于其他一些企业,如果使用的业务系统种类繁多,可能会需要开发和设计与自身业务系统接口的内审系统以支持持续性审计。2.审计流程管理系统。在建设审计流程管理系统时,应与现有内部审计业务工作进行无缝对接,满足内部审计工作各环节需求。根据审计业务工作流程,通常审计信息系统至少具备以下基本功能(见图5)。3.与业务系统集成的持续审计系统。在设计与业务系统集成的持续审计系统时,应充分考虑前瞻性、战略性、可拓展性、具有商业智能,使其向满足实际工作需求、便捷高效、具有强大分析及决策支持功能的、覆盖内审工作各环节的内部审计信息系统。对于其功能可考虑如下方面:一是实现与现有各业务信息系统数据自动抽取和实时交互,利用先进数据仓库、数据挖掘技术,实现内部审计数据来源自动化、实时化、可视化;二是建立拓展性强、部署灵活、配置便捷的内部审计信息系统,更好地适应企业内审实践的逐步优化、变更和完善,打造面向未来的、具有前瞻性、创新性的内部审计信息化解决方案;三是采用先进的信息技术和商业智能工具,打造具有高度智能的、多维度分析与报表展示及决策支持功能的内部审计信息系统(见图6)。
(二)计算机辅助审计技术
(CAAT)的运用在建设与业务系统集成的内审信息系统尚不成熟的情况下,内审部门也可借助CAAT的运用,对业务系统中的数据进行统计分析,提高内审工作的效率。使用CAAT的好处包括:一是在审计的样本测试时可选择全部样本而非抽样进行测试,使审计范围覆盖面更完整,测试结果可靠性更高且提升效率;二是可以用来进行趋势分析、异常分析和对比分析,有助于发现舞弊的危险信号;三是可以从不同角度为管理层提供更有价值的改进建议。常用的CAAT工具有ACL、IDEA、MicrosoftAccess和MicrosoftExcel等。
三、内部审计信息化建设的难点与解决方案
l、审计线索的缺乏性
在电算化会计信息系统中,原先审计所必须审查的大量书面资料都存储在磁性介质中,数据处理的全过程在计算机内运行,所需的审计线索除少数部分打印出来以外,绝大部分是审计人员不能直接看见的。虽然,管理部门从管理的角度出发,仍然保留一部分肉眼可见的审计线索,但这些有限的审计线索,无论在形式上还是在内容上都和手工系统情况下有很大不同。另外,电算化会计信息系统中的审计线索极易被销毁或修改,但又无明显痕迹,使审计发现错误的机会减少,难度增大。
2、审计内容、范围的广泛性
在对电算化会计信息系统的审计中,除了手工审计的内容外,还必须兼顾系统的开发和运行两个方面,包括系统开发各阶段的审查、系统应用程序的审查,如审查系统应用程序的处理功能是否符合会计制度和财经法纪的规定、能否正确完成各项业务的处理、程序控制是否恰当有效等。另外,除对电算化会计信息系统
进行事后审计、监督其合法性和正确性外,还提倡在系统的设计开发阶段,审计人员要对系统的开发进行事前和事中审计。审计内容、范围的广泛性要求审计人员具备相应的知识和技能,而现有很多审计人员并不具备,计算机审计风险也不可避免。
3、内部控制的巨大局限性
现代审计的一大特征就是以测试被审单位的内容控制为基础的抽样审计,内部控制制度的恰当和否直接影响会计信息的真实性和准确性。在手工会计系统中,内部控制主要从两个方面实施摘要:一是从组织形式上按财务部门经济业务的性质分为几个不同的职能组,并且各职能组的人员只负责某一特定的业务领域,也就是对工作人员进行适当的职责分离,各职能组之间互相牵制,不易出现错误和舞弊;二是在会计帐务处理组织程序上,除了要保证凭证、帐簿、报表按一定程序分由不同人员记录、编制外,还要做到帐帐核对,帐证核对、帐实核对、帐表核对,并保证其一致性。从而在很大程度上保证经济业务处理的合理性、合法性。但在电算化会计信息系统中,由于处理工具、信息载体、会计组织都发生了根本的变化,手工会计系统中原有的很多控制办法都已失去意义。电算化会计和手工会计相比,内部控制环境更复杂,甚至有些环境因素超过制度的有效控制能力;建立严格的内部控制的成本要高得多;对内部控制的评价更为困难。内部控制的更大局限性使计算机舞弊有机可乘,增加了计算机审计风险。4、会计软件的大理想性
我国会计软件从无到有、从单一业务处理到集成业务处理、从会计核算走向会计管理,确实取得了巨大成就但也有不足,非凡是针对审计,表现在下面二个方面摘要:一是很多会计软件不具备双向查询功能。在对电算化会计信息系统的审计中,会计软件应答应审计人员按照凭证一明细帐(日记帐)一总帐一报表的顺序进行双向查询,同时还应答应分别对日记帐、明细帐、总帐的期初余额、本期发生额和期末余额进行双向查询。但是目前我国绝大多数的会计软件的查询设计都是单向的,可以实现如由总帐查询明细帐,由明细帐查询凭证等过程,但当需要反问查询时往往很困难。二是会计软件不预留审计测试通道。在审计过程中,审计人员为证实业务处理的实际过程。方法,往往需要进行测试,既虚拟一笔业务输入会计软件,检查其结果和预期结果是否相符。这种方法可以有效地验证核算过程是否和设计一致。但是假如审计人员不能及时消除这些测试的影响,就可能导致会计软件系统数据的混乱。恰当的解决方法是在软件设计时为以后的审计测试留下通道,既方便审计人员的随时测试,也不会造成对整个系统数据的影响。但遗憾的是,几乎所有的会计软件都没为审计测试预留通道。会计软件的欠理想性加大了计算机审计风险。
5、审计取证的动态性
在很多大中型企业中,电算化会计信息系统天天都要结算成本和利润,进行生产动态分析,以供管理人员进行决策参考。系统假如停止运行,会给企业带来巨大的损失。因此,对电算化会计信息系统的审计,往往是在系统运行过程中动态取证。审计人员一方面要及时完成审计任务,另一方面又要不防碍和干扰被审系统的正常运行,这给审计工作带来了一定的难度,也增加了计算机审计风险。
6、审计技术的复杂性
一、对客户局域网和INTRANET的审计
计算机网络审计是电子数据处理环境下的审计(EDP审计)的进一步发展。EDP环境与手工处理相比具有以下几个方面的特征:(1)在组织结构方面,功能与知识、程序和数据的集中化;(2)输入的书面文件减少,缺乏可见形式的业务踪迹,缺乏可见形式的输出;(3)数据处理过程具有运行的连惯性、内控的程序化、业务处理的系统性等特点。在网络环境下,数据传输更加迅速,业务文档更加缺乏可见性;而且由于资源的共享性,数据信息的存储和处理更加脆弱。以上都决定了数据处理的内部控制及系统的可靠性、安全性、效率性处于突出的重要位置。在这里,数据处理的内部控制主要指企业针对网络环境下的会计信息系统而设置的以保护资产安全性与信息真实性为目的的控制措施,诸如职责分离、授权控制、职务轮换等,它属于组织方面的内容。而系统可靠性、安全性、效率性等(简称系统性能)则是针对网络系统正常运行进行评价、检测及管理工作,它属于计算机技术方面的内容。实际上,这两方面是密切联系、相辅相成的。一个再好的计算机系统,如果内部控制薄弱,则信息处理很容易遭到内部人员篡改、破坏;一个好的内部控制环境,离开性能良好的计算机系统同样漏洞百出、易受病毒感染,难以有效运行。事实上一个性能良好的系统就等于会计信息系统有了良好的“机内控制”,二者不可相互替代。因此,在网络环境下,收集与评价计算机网络内部控制及系统性能方面的审计证据对正确发表审计意见,降低审计风险起着重要作用。
局域网就是某一个组织在有限的范围内使用的网络,这个网络使用户能够共享信息和技术。lntranet实际上就是模拟Internet技术建立在公司内部的因特网,就是由公司内部局域网连接起来组成的广域网。Intranet可以使那些规模巨大、拥有众多分支机构的大公司方便地实现在内部分布信息、充分利用现有的数据库、作为销售工具及促进统一的研究与开发等功能。对Intranet来说,建好内部的局域网仍是其核心。
对于作为公司会计信息系统组成部分的局域网和Intranet的审计无外乎两个方面,即符合性测试和实质性测试。对于前者来说,上述系统性能评价与内部控制评价是审计测试的重点。局域网系统性能评价包括可靠性、安全性、效率性等方面的研究和评价。可靠性涉及查找网络问题、报告网络错误即存档方面的控制;安全性包括防止网络被未经授权的用户访问、防止计算机病毒入侵等;效率性要求维护网络软硬件、保证网络高效率性能,且使其服务不致恶化。内部控制评价则要求在网络环境下着重关注以下几个方面:①不相容职责的重新定义和岗位的重新划分;②职务定期轮换和密码口令的定期更换;③重要信息接触的授权、重要文件的备份和操作权限的明确等;④加强内部审计监督。审计人员应充分考虑到在分布式处理环境下会计处理分散化、成本效益考虑给内部控制带来的困难,并分析内部控制的缺陷及其可能带来的对会计报表项目金额的影响。
在实质性测试方面,审计人员可以利用审计软件和测试资料来验证局域网系统是否有效运行。单机环境下的审计软件已难适应网络环境需要,审计师应开发出专用的网络版审计软件在客户网上运行,以查询、核对、摘取会计数据以供进一步调查之用。在传统的单机环境下,审计人员可以采用模拟数据法和虚构单位法(即设计虚拟数据和虚拟单位运行于计算机系统之上,然后将其结果与处理结果对比,以观察计算机程序是否有效)。但在网络环境下,由于(1)网络系统持续运行使其难以停下来接受测试;(2)虚拟数据的运行会改变客户数据记录并给系统带来差错且可能遭到被审单位拒绝——两方面原因,这两种方法用之于审计测试将受到很大阻碍。另外检查程序代码法、并行模拟法都将会遇到困难。如何在网络环境下开发出合适的系统测试方法需要进一步深入研究。另一方面,黑箱式的、绕过计算机网络系统的审计技术可能会重新得到应用和发展。
二、建设专业网络服务于注册会计师审计
计算机网络作为审计的技术手段有着广阔的应用前景。由于客户广泛的经济联系,诸如与顾客和供货商的债权债务关系、与股东和债权人的投融资关系、与政府的征纳税关系、与分支机构的管理与被管理关系等,要验证经济业务的真实性、合法性就必须超越客户范围,与客户的各方关系人联系以获取可靠的审计证据。在传统的审计环境下,为获取这些证据要么花费较长的时间,要么导致较高的审计成本。如果客户与其关联各方及注册会计师之间存在完善的计算机网络,则取证工作及与客户的交流将更易实现,笔者认为,可通过利用Internet及建设专业网络的方式,在以下几个方面提高效率:
1.事务所——客户的网络联系在执业过程中,外勤是注册会计师工作最重要的内容。由于获取实物证据的需要,即使存在完备的网络系统,CPA也不可能实现足不出户的审计,但是大量的与客户之间的交流工作及对审计过程的质量督导都可以通过网络来完成。初步了解审计客户的工作及外勤工作结束后对一些事项处理的意见交换都可在网上进行。这就需要CPA之间传递数据信息的计算机网络。
2.在Internet函证注册会计师在审计过程中,需要向客户的债权债务方发函证实往来账户的余额。实际上,银行存款余额、异地在途存货及分期收款销货、对外投资等都需要向第三方函询证实,函证是审计证据中重要的一部分。然而在手工条件下的函证,不仅费时费力而且回函率极低,以至于在我国函证几乎成为一种无效的审计方法。如果绝大多数企业都有网址,则通过Internet在网上发送E-mai1,即可实现传统的函证工作,而且注册会计师可以迅速及时地得到回函。数字签名技术的出现,使计算机网络中传递文件的真实性得到了验证,也使通过网络取得的证据具备了合法性。电子形式的回函能否成为有效的审计证据,还需进一步研究与规范,通过E-mail函证还需要网络技术发展的支持和法律法规及准则的规范。
计算机信息管理是一门综合计算机科学和管理科学的边缘学科,其目的在于培养管理活动中的信息处理复合型人才。在系统学习了计算机信息管理学的各门课程后,设计一个信息管理系统对于培养综合能力是非常必要的。PowerBuilder是一种被广泛使用的可视化的、面向对象的重要应用开发工具,本论文的内容,就是对采用PowerBuilder开发本单位自用的内部审计管理信息系统的介绍。
论文全篇共分四部分:第一章为系统分析部分,从系统初步调查到系统逻辑模型的提出,详细阐述了“内部审计成果管理信息系统”系统分析的全过程;第二章为系统设计部分,包括系统总体结构设计和系统详细设计二部分;第三章为系统实施部分,阐述了“内部审计成果管理信息系统”的主要功能模块实现方法及部分重要程序脚本;第四章为系统开发中的几个难点、解决思路与具体实现。
:21000多字
有目录、参考文献
300元
备注:此文版权归本站所有;。
一、大数据审计思路
(一)树立大数据审计的理念。将大数据审计的贯穿到每个审计项目中,不断研究新思路、新经验和新做法,以数据为核心,将数据分析与现场延伸调查相结合的方式,更精准的定位审计疑点,缩小核实范围,提高工作效率。
(二)充实大数据审计资源。定期采集包括财政、民生等使用较为频繁的数据资源;积极推动数据采集规范化建设;推动大数据审计方法库的构建,使计算机审计方法的应用更为便利、快捷。
(三)强化大数据审计队伍建设。运用计算机和大数据进行审计应动员全局力量,而不仅仅局限在计算机人员。加强复合型人才的培养,审计人员不仅要懂得数据库的知识,还要懂得审计实务;加强数据分析能力和业务知识的学习培训,提升综合素质。
二、提高大数据审计的措施
(一)前期数据调查
对全市各部门(单位)所运用的业务系统和业务数据进行调查了解,摸清各部门的业务数据内容及其存储情况,为采集业务数据和审计项目中可能涉及到跨部门数据关联做准备。接入用友财务统一核算软件审计端口,审计端口的接入更灵活、方便地为各审计组财务数据采集提供服务。
(二)积极配合项目组
在项目实施前积极与组长、主审进行沟通,如何开展计算机审计、项目组需要什么、项目所需要的数据、主审想得到的目的和结果。以确定审计方向和重点,并将相关的审计内容纳入到审计工作实施方案。在审计项目实施过程中,对审计方法、发现的疑点、采集到的数据方面存在的问题、以及审计思路的变化,及时与主审反馈,以调整审计方法和思路,并配合项目组核实疑点。
(三)参与重点项目
年初审计计划项目制定后,确定重点审计项目,加入到项目组中。除数据分析外,通过参与其他审计内容,熟悉财务知识、财经法规以及其他业务方面知识,尽快地提升自身业务能力,积累经验。今后审计工作中,运用自己的思路和方法开展审计。
(四)编写计算机审计方法
在审计项目完成后,总结项目实施过程中所采用的计算机审计方法,并编写计算机审计方法或案例,为以后的审计项目开展打好基础。
论文摘要:回顾IS审计的发展历程,进而披露IS审计在我国的发展现状,并对产生问题的原因进行剖析,最后对如何构建完善的Is审计模型提出解决策略。
Is审计,是指Informationsystemauditing,即信息系统审计,它是指审计组织以信息技术为手段,组织计划审计项目,实施审计的全过程,以判断该信息系统是否安全、可靠和有效,并对信息系统对财务报告的影响做出判断或单独提出信息系统审计报告的全过程。以确认审计风险或评价企业信息战略、优化组织运营为目标,对组织营运所依赖的信息系统进行独立、客观确认和咨询活动。信息系统审计的内容包括两个方面:一是以信息技术为手段所开展审计工作的全过程,即计算机辅助审计技术(CAAT);二是指审计部门以组织的信息系统为对象,以风险评估或内部控制检查为手段,对该系统所产生的会计信息系统的真实性、合法性做出确认或通过优化企业信息管理,增加企业核心竞争能力即信息系统的审计或EDP审计。信息系统审计与控制协会——ISACA成立于1969年,最初称为EDP审计师联合会,总部在美国的芝加哥。目前该组织在世界上100多个国家设有160多个分会,现有会员两万多人。是信息系统审计的专业人员唯一的国际性组织,CISA(CertiifedInformationSystemAuditor)也是这一领域的唯一职业资格。该组织通过制定和颁布信息系统审计准则、实务指南等专业标准来规范和指导信息系统审计师的工作;它还设立了信息系统审计与控制基金会,从事相关领域的研究工作,以使该组织的成员能够享用其最新研究成果;通过在世界各地举办各种形式的研讨会、培训班等活动,增进国际间同业人员的交流。ISACA每年还举办CISA资格考试,通过考试的人员可以申请CISA资格,符合ISACA规定的工作经验及其他相关要求的申请人会被授予CISA资格。
1IS审计发展历程回顾
在信息系统审计的萌芽阶段,人们称之为电子数据处理审计(electronicdataprocessingauditing)或计算机审计,它是作为传统审计业务的扩展发展起来的。早期的计算机应用比较简单,相应地,计算机审计业务主要关注对被审计单位电子数据的取得、分析、计算等数据处理业务,还称不上信息系统审计。从财务报表审计的角度来看,这一阶段的主要业务内容是对交易金额和账户、报表余额进行检查,属于审计程序中的实质性测试环节。此时,它只是传统财务审计业务的一种辅助工具,对客户的电子化会计数据进行处理和分析,为财务报表审计人员提供服务。
随着计算机技术应用范围的不断扩展,计算机对被审计单位各个业务环节的影响越来越大,计算机审计所关注的内容也从单纯的对电子的处理延伸到对计算机系统的可靠性、安全性进行了解和评价。在制度基础审计的模式下,计算机审计的业务内容已经扩展到了符合性测试领域。风险基础的审计模式的采用以及信息技术在被审计单位的各个领域的广泛应用,信息系统的安全性、可靠性与其所服务的组织所面临的各种风险的联系越来越紧密,并且直接或间接地影响到财务报表的真实、公允。在这种情况下,对被审计单位风险的评估必须将计算机信息系统纳入考虑范围。发展到这一阶段,计算机审计的业务范围已经覆盖了一项审计业务的全过程,计算机审计这一概念已经不能反映这一业务的全部内涵,信息系统审计的概念随之出现。
1.1在建立信息系统审计制度,开展信息系统审计研究方面,美国走在前面
早在计算机进入实用阶段时,美国就开始提出系统审计(SYSTEMAUDIT)。1969年在洛杉矶成立了电子数据处理审计师协会(EDPAA),1994年该协会更名为信息系统审计与控制协会(INFORMATIONSYSTEMAUDITANDCONTROLASSOCIATION)即ISACA。美国是首先对网上财务信息的审计直接颁布指导性文件的国家。注册会计师协会(AICPA)为指导其会计师事务所成员,于1997年1月颁布了名为《互联网上的财务报告》(FinnacialStatementsontheIntemet)的指导性文件。该文件于1999年8月15日更新,是现阶段的最新版本。该指导性文件详细表明了美国注册会计师协会审计和鉴证组成员的立场。他们指出网上财务报告的使用者不同于传统印刷版财务报告的使用者,网上披露财务信息只是一种营销手段,网络为企业提供了时常更新其信息的可能性。
1.22001年1月,英国审计职业委员会(APB)颁布了
《网上审计报告公告》(ElectmnicPublicationofAuditorsReports)该公告主要解决了以下几个问题:(1).检查电子版财务信息的生成。(2).审计报告的用词。在对应印刷版财务报表的审计报告中,审计报告往往通过页码范围来确认已审计的财务报表。然而在网站上所的财务报表和审计报告中,使用页码范围已不合时宜,因此APB建议直接使用财务报表名称来取代页码范围;同时需要在审计报告中指出所使用的通用会计准则和审计准则的国籍。(3).信息间的链接。APB非常关注已审计信息和未审计信息之间使用超链接的问题。APB建议审计师应要求“在信息使用者通过超链接从已审计信息跳到非审计信息时,网站应能向使用者发出警告信息”。
13澳大利亚审计与鉴证准则委员会(AustralianAuditnadAssurnaceStnadardBoard,AASB)AASB是最先对网上财务信息审计作出指导的审计准则制定者。AASB于1999年颁布了审计指导声明(AGS)1050《与电子方式呈报财务报告相关的审计问题》。AGS1050的目的在于“当公司利用信息技术在公共网络如互联网上已审计财务信息时,就一些问题为审计师提供一定的指导”。AASB在AGS1050中重述了审计的基本准则,并强调“电子方式财务报告并没有改变管理当局和审计师的责任”,即财务报告的主要责任仍在管理当局。
1.4日本的系统审计是从八十年代开始,1983年通产省公开发表了《系统审计标准》,并在全国软件水平考试中增加了“系统审计师”一级的考试,着手培养从事信息系统审计的骨干队伍
2IS审计在我国发展现状及存在问题剖析
近年来,我国审计信息化建设在纳入国家信息化建设(即:金审工程)范围后,有了较快发展。在信息技术和网络技术方面逐渐形成体系,审计业务软件开发应用中也有了较快发展。但审计信息化建设在实际工作中,还存在一些不容忽视的问题,这些问题如不妥善解决将影响审计信息化建设和发展进程。
2.1审计人员对信息系统审计理解偏差,信息系统审计水平匮乏论文下载
在注册会计师的行业,由于我国CPA的市场化建设及推行较晚,现行的CPA的素质较低。同时在CPA的考试中也没有计算机方面的要求,因此绝大多数的CPA运用计算机的水平很低。CPA的审计工作仍然是传统的手工审计。计算机仅仅用作文字处理或者基本不用。有些单位计算机专业技术人员只占在职人员总数的5%左右,与审计信息化建设和发展的需要还有较大差距;同时由于计算机技术的飞速发展与知识更新培训的不足,许多审计人员的计算机应用水平及相关技能无法得到同步提高,计算机应用仍停留在较低水平上,计算机功能也没有得到充分发挥。主要体现在应用意识不强,操作技能还不熟练。因而审计系统计算机人材缺乏的问题,也是制约审计信息化建设和发展的因素之一。
2.2信息系统审计理论研究几乎是空白
信息系统审计工作目前还处于探索阶段,还没有形成一套成型的专业规范理论结构。会计、审计界所进行的一些信息系统审计的探索和尝试以及开发的一些信息系统审计软件,还大都停留在对被审计单位的电子数据进行处理的阶段。
2.3信息系统审计硬件条件严重不足
2.4信息系统审计软件条件严重欠缺
虽然我国的网络财务软件较国际先进水平的差距不大,但是由于推出较晚,目前使用面还不广。同时网络财务软件的设计没有考虑审计软件设计的需要,使得审计软件的数据收集以及其功能的发挥受到很大的制约。
2.5IS审计信息化建设效益低
2.6IS审计成本不断攀升
2.7IS审计业务水平不满足信息化发展的的要求
2.8IS审计准则及专业规范不到位
我国的信息系统审计工作目前还处于探索阶段,还没有形成一套成形的专业规范。目前我国会计审计界所进行的一些计算机审计的探索和尝试以及开发的一些计算机审计软件还大都停留在对被审计单位的电子数据进行处理的阶段。
运用传统的会计审计知识已经不能对这样的客户进行风险评估、内控测试与评价,从而无法进行真正意义上的“风险基础模式”的审计业务,影响我国会计师行业审计业务质量。这一现状使得我国的注册会计师行业在与国外大型会计公司的竞争中处于不利地位。
3基于新经济时代的完善的IS审计模型的构建策略
新经济是建立在网络经济和技术创新基础上的一种经济形态,以信息网络为代表的高新技术产业,正在世界范围内,尤其是发达国家飞速发展。因此,审计信息化建设和发展关系到我国审计事业的兴衰,体现着我国审计事业发展水平。为此,构建完善的Is审计模式成为当务之急:
31构建完善的Is审计准则体系
目前,我国的Is审计准则比较分散,不统一,执行起来具有很大难度。现有审计准则既有审计署和国务院办公厅的,又有中国注册会计师协会颁布的,而且只有一般性原则和指导意见,缺乏具体的实务公告和行业指南。并且《计算机辅助审计技术方法》只是涵盖了审计工作的一部分,针对我国目前审计实务界的现状,广泛采用的仍是系统打印出来的数据进行手工审计,即绕过计算机审计,如何对其进行规范,目前还没有相应的准则。因此,我国可以借鉴国际审计实务委员会颁布的有关计算机信息系统环境下的审计准则。因为这套准则既有一般性的原则和指导,又有具体的准则和实务公告,从独立微机到联机系统,再到数据库系统的审计和计算机辅助审计技术,内容比较全面并且结构性强。
3.2构建完善的Is审计实施体系
信息系统审计实施体系是指由IT和审计相关的学科为理论基础,以传统审计为实践基础,以审计指南为指导,以审计工具为辅助,以审计业务为核心的有机整体。构建信息系统审计实施体系的目的在于全面了解信息系统审计的内涵和外延,从而有助于该领域的进一步深入研究,也可更加有效地指导实际的审计工作。完善的Is审计实施体系如图所示:
3.3构建全面的联网审计系统
联网审计是指审计机关与被审计单位进行网络互连后,在对被审计单位财政财务管理相关信息系统进行测评和高效率的数据采集与分析的基础上,对被审计单位财政财务收支的真实、合法、效益进行实时、远程检查监督的行为。随着近年来一些地方联网审计试点的开展,有数据显示,在2003年,审计署对中国工商银行进行了联网审计,和1999年相比,全部参审人员仅为1999年人工现场审计的1.1%,人均发现的违纪违规问题却是1999年的38倍。
联网审计正悄悄改变着延续了100多年的传统审计模式。联网审计是顺应信息化发展的产物,不论在亚洲还是在欧洲、美洲,联网审计都处在试点阶段。据悉,2005年《中央部门预算执行联网审计工作方案》(以下简称《工作方案》)正式完成。《工作方案》规定,审计重点是国家工商总局等四大中央部门,将首批执行联网审计。该方案根据《审计署2005年度统一组织审计项目计划》、(2004至2007年审计信息化发展规划》、《审计机关审计项目质量控制办法(试行)》和(2005年财政审计应用计算机技术工作意见》制定。审计人员坐在办公室内就能动态甚至实时跟踪、查看被审计单位预算资金动态,从资产负债变动、预算经费收支、大额支出、预算指标执行、行政性收费等多个角度进行数据分析,发现疑点或异常后及时通知被审计单位,努力把腐败消灭在萌芽状态;在对具体项目审计中,大量的审前调查在自己的办公室内完成,进驻被审计单位前已经确定了审计重点和审计实施方案等,审计员在被审计单位的主要工作不再是查账找问题,而调查取证联网审计发现的疑点。
但联网审计,包括其试点活动都在近三年内才开始启动,联网审计无论在理论和实践中都存在很多问题,尤其是一些法律、技术、规范等多方面的难题。
(1)法律盲区是联网审计的主要障碍之一。比如,按照现有审计法规,审计机关能否具有与被审计单位联网取得数据的权力,有没有随时获取被审计单位数据并进行审计的权力,在发现问题后有没有及时通知被审计单位的权力,被审计单位有没有相对应的义务等。
(2)信息系统审计技术急需跟进。在开展联网审计前,应首先对被审计单位的信息系统进行审计;要探索适用范围更广的公网传输机制;要研究数据库技术、联机分析技术、数据挖掘技术等在联网审计中的应用;要通过与重点行业、重点领域的联网,建立审计数据中心,为审计业务提供支持。
3.4运用信息技术支撑审计管理的科学化
通过审计项目管理系统,审计人员可获得自己所需要的项目信息或上报自己的审计情况;审计组长可对审计人员的审计工作进行指导、监督和协调,并掌握审计进度情况;专职复核人员和业务部门负责人可对审计项目进行监督复核;本级审计机关领导对审计项目进行查询、指导和监督。
3.5尽快弥补我国注册会计师的知识结构缺陷
一、文献分类及统计结果
迄今为止,只有少数几位学者对我国计算机审计研究加以回顾。陈伟等(2007)结合国内外的研究,对计算机辅助审计技术(GAATs)进行了总结性回顾,探讨了GAATs的概念和分类,详细分析了GAATs的两类技术,即面向系统的七种GAATs,和面向数据的五种GAATs,并对GAATs研究发展进行了展望。李青春(2011)对计算机审计进行了文献综述,从计算机审计研究变迁的视角出发,探索了其五个发展阶段,并对计算机审计理论体系、核心动力与制约因素,研究者的敏感度、心态变化与用词倾向进行了回顾,认为目前计算机审计研究正处于一种平台期,需要进行理论和实务的突破。刘国瑶(2011)从国外信息系统审计理论的发展,基础理论研究,基本概念研究,应用研究四个方面进行了梳理和简短评述。现有的文献综述主要问题是研究所选取的文献范围比较狭窄,选取标准“有代表性文献”比较模糊,没有对研究内容进行综述,这些不足为本文的研究提供了契机。
本文基于中国期刊全文数据库(CNKI),对1983年~2011年有关计算机审计研究的文献进行了回顾分析,所选取的时间范围设定为“1980~2011”,期刊设定为“核心期刊”,以“计算机审计”、“电算化审计”、“计算机辅助审计”、“信息系统审计”、“IT审计”对“题名”进行“模糊”搜素,然后对搜索结果进行了分类合并,最终根据182篇文献的内容加以分类统计。把对计算机审计的研究分为基本理论问题研究,计算机审计技术应用研究,计算机审计风险问题,计算机审计发展与其他方面的研究四个方面,然后对每一方面再按不同的主题进行细分,进一步分为计算机审计基础理论研究,制度准则问题,计算机技术应用,内容与方法,案例应用研究,风险问题探讨,发展问题研究,人才培养问题,研究综述,其他等十个方面。接着采用归纳法对取得的文献样本进行分类统计,最终得到的统计结果如图1所示。
二、基本理论问题研究
(一)基础理论 基础理论研究集中在计算机审计基础理论和信息系统审计基础理论两个方面,由于信息系统审计发展较快,重要性也快速提高,所以必须从计算机审计中分离出来单独加以研究,统计显示,近10年来对信息系统审计理论的研究比较丰富。关于计算机审计的基本理论,张金城(1995)认为计算机审计的理论体系应由理论基础(哲学,审计学,系统论、信息论、控制论和行为科学,计算机科学,数学等五大学科理论),基本理论(涵义,内容,意义等),实务理论(电算化信息系统审计实务理论,计算机辅助审计实务理论)组成。唐飞兵(2007)借鉴传统审计理论的基本原理,构建了计算机审计理论结构框架,即以审计环境和审计本质作为研究的逻辑起点,利用审计理论基础知识体系,通过审计的本质和特定的审计环境相互作用和互动形成审计目标,并以审计假设为前提,演绎出审计概念和审计原则。关于信息系统审计理论,周剑(2001)从“审计学”的概念出发,探讨了信息系统审计独特的审计职能、对象、方法、标准和证据等问题,建立了企业信息系统审计的基本理论框架。唐志豪(2007)借鉴蔡春教授提出的审计理论结构,从审计的本质出发构建审计理论结构体系,提出了信息系统审计理论结构六要素模型(本质、假设、目标、规范、信息和控制)。谢岳山(2009)提出了信息系统审计的审计目标及审计内容,在此基础上从审计理论基础、审计标准、实践环境、审计方法以及审计工具等多方面提出了联网环境下信息系统审计模型。根据该模型,着重分析信息系统审计的具体内容,提出了相应信息系统的审计内容框架,将审计内容划分为内控审计和系统本身审计两个方面。并从物理层次的审计以及逻辑层次的审计详细描述了系统本身审计的内容。王振武、张子瑾(2011)探讨了信息系统审计理论的结构框架,认为该框架应由信息系统审计基本理论和应用理论构成,并特别指出,信息系统审计环境和信息系统审计本质应是理论结构的最高层次,理论研究的逻辑起点,并起着统驭整个信息系统审计理论结构的导向作用。
(二)准则、规范研究 理论是实践的基础,而准则为实践提供了基本的指导。对准则的研究也分为计算机审计和信息系统审计两个方面的内容。关于计算机审计准则,张德山等(1991)初步探讨了计算机审计工作的规范问题。张金城(1997)首先探讨了加强计算机辅助审计制度建设的意义,然后提出了计算机辅助审计制度建设应遵循的原则,主要包括合法性,针对性,可行性,监控性和借鉴国外相关制度,并从微观和宏观两个方面系统讨论了计算机辅助审计制度应包括的基本内容。刘中华(1998)根据国际审计准则15《电子数据处理环境下的审计》第3条和第9条详细阐述了电子数据处理环境下内部控制的内容,并对此进行了研究与评价。我国的信息系统审计研究起步较晚,讨论一般也是借鉴ISACA的信息系统审计准则展开讨论。陈婉玲等(2006)对ISACA的信息系统审计准则及发展进行了简要介绍,在此基础上,主要借鉴了ISACA信息系统审计准则的体系,内容和制定方式等,提出了制定出适合我国国情的信息系统审计准则的一些建议。马良渝等(2007)辨析了ISA准则体系中标准、指南和程序三个层次的结构关系及标准与指南之间的交叉关系。李汉文等(2010)借鉴了制度经济学的有关原理,在介绍国内外信息系统审计相关规范的基础上,对我国信息系统审计规范供给的非均衡状态进行了分析,认为我国应整合信息系统审计准则制定资源,以便推进我国信息系统审计规范制定进程。刘杰等(2011)探讨了我国信息系统审计规范制定路径依赖的基础,分析了当前我国信息系统审计规范制定的困境,并提出打破现有路径依赖的途径。
三、计算机审计技术应用研究
(一)计算机审计技术研究 对全部182篇文献进行翻阅,手工收集整理论文所涉及的课题研究,发现共有20个课题,其中与计算机审计技术相关的课题13项(4项是国家级),可见国家对计算机审计技术研究的重视,也说明计算机审计技术研究的难度非同一般。对计算机审计技术的研究大致分为计算机技术在审计中的运用和模型构建两个方面,前者对计算机知识的要求相对要高。关于计算机技术在审计中的运用,杨小虎等(2000)探讨了数据仓库技术在计算机审计中的应用。万建国等(2000)分析了计算机审计软件需求分析常用的方法、技术和工具。孙兴国等(2000)讨论了开放数据库互联技术 (Open Database Connectivity)在计算机审计中的应用。张进等(2004)分析了数据清理在电子数据采集中的重要性,在阐述数据清理原理的基础上,研究了解决电子数据采集中常见问题的数据清理方法,并指出了电子数据采集中数据清理的研究方向。文巨峰等(2005)提出了一种基于计算机审计的多Agent系统体系架构,分析了该结构中各子系统的组成及各Agent的功能特点。并介绍了该系统中移动审计Agent和移动Agent服务器设计实现。汪加才等(2006)给出了一个基于移动数据挖掘服务的计算机审计框架模型。何玉洁等(2006)讨论了SQL 查询和OLAP 分析这两种技术在实际审计中的应用成果,展示了它们在计算机审计实践中的特性和前景。米天胜等(2006)分析了计算机审计的一般流程,指出审计数据的采集和采集后数据的清洗、集成、转换是与审计数据质量息息相关的关键环节。在对多种数据质量问题进行了详细分析和分类的基础上,提出了提高审计数据质量的一般处理方法和可实现的技术。黄永平(2006)探讨了孤立点分析方法在计算机审计中的应用。叶焕倬等(2010)为解决计算机审计数据采集中存在的大量字段匹配问题,提出了基于智能匹配的数据采集技术。关于模型构建方面,黄作明等(2000)对审计模式进行了一些归纳和探讨,并提出了几点发展方向。来明敏等(2004)探讨了四种计算机审计模式,即绕过,穿过,利用,在线实时(网络)计算机审计模式。文巨峰等(2004)在综合分析现有计算机审计软件系统基础上,指出网络环境下的计算机审计系统模型应该具有的特点要求,并依此提出了基于移动Agent的分布式审计系统模型。廖志芳等(2006)在深入调研众多被审计单位信息化环境及数据分布特征的基础上,提出了三种符合我国联网审计实际的新型联网审计组网模式,即集中式、分布式和点到点式组网模式,同时利用集中式海关联网审计组网模式对各组网模式的基本组成要素、需解决的关键问题及技术实现进行了较深入阐述。陈大峰等(2009)根据P2P技术下的计算机协同审计的特点,构建了P2P技术下的计算机协同审计模型。唐志豪等(2010)从目标、内容和流程三个维度建立起信息系统审计的业务模型。
(二)计算机审计内容与方法 对于计算机审计内容,学者从不同的角度进行了讨论,杜越强(2004)探讨了计算机审计中的四大内容,即对信息系统输入的审计,对数据库的审计,对网络系统的审计,对信息系统输出的审计。张福蕊(2004)探讨计算机网络环境下会计信息系统审计的内容(硬件,控制事项,处理事项,数据,安全事项)。吴沁红(2008)从信息系统构成要素、信息系统生命周期和信息系统管理三个维度入手,综合分析了信息系统的逻辑结构,构造了信息系统审计内容的基本框架,并对信息系统审计的内容与审计目标进行了阐述。对于计算机审计的方法,李光凤(2001)讨论了对会计电算化系统应用程序的七种审计方法,包括检测数据法,整体检测法,程序编码比较法,受控处理法,平行模拟法,嵌入审计程序法,追踪法。杨莉(2002)探讨了实施信息系统审计的主要方法(加强联网建设,改变审计方式,采用矩阵审计模式等)。罗莉、张亚连(2005)分析了在不同的计算机信息系统建立方法下(应用软件外包法,资源外包法,最终用户开发法),如何进行内部审计和外部审计的分工协作,从而保证信息系统的效率性,安全性,合法性。
(三)案例应用研究 对案例应用研究探讨的多数文献主要是审计署各特派办的人员所发。大量的文献集中在《中国审计》刊物上,这与我国1998年筹划,2002年10月底正式展开的金审工程有关,作为金审工程的主力推动者,审计署特派办人员根据长期的实际工作经验,对相关案例进行整理分析并撰文总结,得出了相应的研究成果。案例应用主要集中在公司和业务两个方面。对具体公司进行计算机审计探讨的有,刘世新等(2002)探讨了商业银行信息化与计算机审计的相关问题。邝作等(2002)对银行业,刘欢(2002)对行政事业单位,蔡峰(2003)对海关等审计中计算机审计案例进行了分析。欧洁等(2004)探讨了证券公司信息系统审计的关键技术。张德勇(2006)利用业务跟踪法对某航空公司进行了信息系统审计,并成功发现了该航空公司使用的收入结算系统中存在非法的销售暗扣处理模块。石勇等(2010)探讨了网络环境下的政府信息系统审计。关于业务方面,张蓉(2002)对金融,郭海鹏(2003)对再贴现业务,李向前等(2003)对税收,全宝(2003)对中央预算执行情况,李娟(2004)对水利建设资金,谭继舜(2004)对商业银行电子系统,史达等(2005)对电子政务,袁章军(2005)对失业保险金发放 ,周廉东等(2011)对城市供水等进行了计算机审计案例分析。张鹏等(2006)论述了信息系统审计在电子政务中应用的必要性和紧迫性,提出了一种电子政务中信息系统审计框架,以控制电子政务信息系统建设和改造项目的建设风险,并为改善和健全对电子政务信息系统的控制提出详细建议。吕成戍等(2007)探讨了电子政务信息系统审计的发起形式、审计责任书的内容与签订、审计工作的实施过程等基本问题。
四、计算机审计风险问题分析
(一)计算机审计的成因、防范与控制 马万民(1999)针对计算机会计信息系统的特点,分析了审计工作中可能会遇到的五种风险(系统风险,错误的连续性风险,人员操作风险,管理风险,环境风险),并对如何有效防范会计信息系统的审计风险进行了探讨。蒋家斌(2001)、曾俊等(2002)、王奇杰(2004)探讨了计算机审计的几种风险(审计软件、人员操作、财务数据、管理、固有风险、控制风险、检查风险)与防范措施(加强人员培训、内部控制审计等)。黄作明(2003)分析了远程计算机审计的风险,并提出了远程计算机审计的风险防范与控制措施。冯淑霞(2006)对计算机审计风险的形成原因做了具体分析,并从审计数据,审计方法与技术,审计方式、被审单位、评述机制等方面提出了控制计算机审计风险的对策。史振生(2008)基于外部监管及信息系统审计视角,探讨了会计信息系统建设中的风险控制与防范措施。
(二)风险量化问题 黄冰等(2007)在科学地分析影响计算机审计风险的主要因素的基础上,建立了计算机审计风险综合评价指标体系,并且将定性指标定量化,进而利用层次分析法确定评价指标的权重。然后,利用模糊数学的方法,建立计算机审计风险的多层次模糊综合评价模型。王万军(2008)提出了一种基于信息系统安全定量评分体系的审计决策模型,这为信息系统审计师在审计时采取何种审计策略提供了参考。丁建平(2009)提出了信息系统审计的CIA风险评估方法和评估模型,并探讨了CIA风险评估商业银行中的应用。
(三)风险理论 胡晓明(2007)探讨了风险导向的信息系统审计,并提出了强化信息系统审计理论,建立完善信息系统审计各项规则,充分利用先进,有效的信息系统审计技术,积极培养信息系统审计领军人才等四点关于风险导向信息系统审计的发展思路。刘国城、王会金(2011)在研究中观审计、信息系统审计、审计风险、风险管理四要素的基础上,对中观信息系统审计风险管理理论进行了梳理,并以信息安全管理为视角,借鉴国外BS7799标准、COBIT模型、通用准则CC、ITIL标准,初步构建了中观信息系统审计风险管理框架,该框架以重大错报风险为切入点,深入探索了中观信息系统审计风险管理的施行思路。
五、计算机审计发展研究
(一)发展问题 张金城(2000)提出了理论研究与实践并重、事前审计与事后审计相结合,由绕过计算机审计发展为以通过计算机审计为主,由查账型软件向分析型和专家系统方向发展,通用审计软件与专用审计软件并存等21世纪中国计算机审计的十大发展方向。于向辉等(2004)分析了我国计算机审计发展落后的法规建设滞后,软件市场不够完善等原因,提出了加快法规建设,发展审计专业软件公司,培养电算化审计人才的发展策略。胡晓明(2005)针对信息系统审计理论研究空白,审计技术落后,制度不完备,审计人才奇缺等现状,探讨了加强信息系统审计理论研究,开发实用高效的信息系统审计软件,改进信息系统审计软件评审机制,完善信息系统审计标准于准则,加大信息系统审计人才的培养力度等五大发展战略。
(二)人才培养探讨 傅元略(1998)探讨了审计人员如何提高计算机审计技能的策略,需要掌握的几种基本技能。李丹(2001)建议了如何利用国际资源建立信息系统审计人才队伍。史振生(2002)介绍了注册信息系统审计师的需求情况,考试内容和应试对策。彭建平(2005)比较深入地分析了如何进行计算机审计人才资源管理的问题。包括计算机审计机构职能定位,计算机审计处人员结构,如何引进IT人才和培养复合型人才,如何为计算机审计人才创建发展平台等。赵辉(2006)探讨了审计部门的计算机人才状况,提出了如何加强管理和培训、提升审计人员能力的若干建议。王海洪(2009)提出了高校应推进实践教学,建设以计算机审计为主要手段的审计实验室,为社会输送高水平的计算机审计人才的建议。
(三)其他方面 高浩玮(2002)针对审计过程各阶段质量质量控制的要点,指出了计算机审计下项目质量控制的难点并提出了解决对策。张倩(2005)论述了信息系统审计在IT治理中的作用、信息系统审计师和审计构架等问题。陈峰(2006)对计算机审计方式下数据分析报告的作用和必要性,基本框架,文档结构,要素内容等进行了详细探讨。
本文基于中国期刊全文数据库,对1983年~2011年发表在核心期刊上的有关计算机审计研究的文献进行回顾分析。我国有关计算机审计研究涉及面比较广泛,包括基础理论与制度问题研究、计算机审计技术与实务应用研究、计算机审计风险问题研究、计算机审计发展问题、人才培养研究等诸多方面,但也存在着对计算机审计基础理论研究不足之缺陷。伴随着计算机审计在我国的逐步应用,关于计算机审计的基础理论必须进一步加强。比如与哲学,行为科学理论、数学等相关的计算机审计基础理论研究还是一片空白,这些基础理论研究的缺失将会掣肘计算机审计理论与实务的研究。理论与实践需要紧密结合,双方形成良性互动才会有力促进学科发展。目前,在案例应用研究的文献尽管比较多,但研究内容不深入,一般都是审计署特派办人员发表的经验总结,而理论工作者又缺少深入实地研究的条件,导致案例应用研究力量非常薄弱,今后在这方面仍需要大力加强。随着信息系统的复杂化,其功能也越来越强大,但其脆弱的一面也越来越明显,计算机审计风险逐步加大,如何防范和规避风险也是以后研究的重点之一。计算机审计人才的培养是审计信息化事业的成败关键,加强这方面的探索将会对计算机审计发展有重大的战略意义。