it審計(jì)和普通審計(jì)篇1
【關(guān)鍵詞】信息 信息系統(tǒng)審計(jì) 問題
一、對(duì)信息系統(tǒng)審計(jì)的一般認(rèn)識(shí)
(一)信息系統(tǒng)審計(jì)的發(fā)展歷程
審計(jì)是經(jīng)濟(jì)社會(huì)發(fā)展到一定階段的產(chǎn)物,隨著經(jīng)濟(jì)和社會(huì)不斷變化,計(jì)算機(jī)信息技術(shù)不斷發(fā)展進(jìn)步,信息系統(tǒng)審計(jì)也應(yīng)運(yùn)而生并不斷發(fā)展。信息系統(tǒng)審歷經(jīng)形成、建立到逐漸完善,低級(jí)到高級(jí)歷史進(jìn)程,具體可劃分為萌發(fā)階段、拓展階段、成熟階段、普遍提升階段。
1.萌發(fā)階段。上世紀(jì)中葉,信息系統(tǒng)審計(jì)(以下簡(jiǎn)稱ISA)處于萌芽階段。IBM出版了《電子數(shù)據(jù)處理環(huán)境下的審計(jì)》;美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)(以下簡(jiǎn)稱協(xié)會(huì))出版了《會(huì)計(jì)審計(jì)和計(jì)算機(jī)》,闡述了如何進(jìn)行電子數(shù)據(jù)下信息系統(tǒng)審計(jì)與傳統(tǒng)外部審計(jì),指出新的電子數(shù)據(jù)下內(nèi)部審計(jì)的規(guī)范、組織方式等。此時(shí)ISA又被稱為電子數(shù)據(jù)處理審計(jì)(EDPA),也就是以計(jì)算機(jī)為核心的審計(jì)。1969年,信息系統(tǒng)審計(jì)與控制協(xié)會(huì)(以下簡(jiǎn)稱ISACA)在美國(guó)成立,標(biāo)志著國(guó)際社會(huì)正式開始對(duì)ISA的研究。
2.拓展階段。二十世紀(jì)七十年代,不斷出現(xiàn)的計(jì)算機(jī)犯罪促使ISA的拓展。1974年,協(xié)會(huì)制定了電子數(shù)據(jù)處理審計(jì)的標(biāo)準(zhǔn)并記錄于《內(nèi)部管理的調(diào)查與評(píng)價(jià)對(duì)EDP的影響》一書中。1977年,內(nèi)部審計(jì)師協(xié)會(huì)發(fā)表《系統(tǒng)可審計(jì)性及規(guī)則的研究》(SAC報(bào)告),該書匯總了針對(duì)歐洲、美國(guó)、加拿大與日本等國(guó)家的企業(yè)所展開的調(diào)研情況,同時(shí)指出審計(jì)執(zhí)行工具取得的成就。1975年,日本ISA委員會(huì)成立并且在1976年發(fā)表多部與信息系統(tǒng)審計(jì)相關(guān)的書籍:《使用電子計(jì)算機(jī)的會(huì)計(jì)組織的內(nèi)部規(guī)則質(zhì)問書(修訂案)》、《EDP審計(jì)標(biāo)準(zhǔn)及審計(jì)過程試案》和《EDP審計(jì)方法》等。1978年,信息系統(tǒng)審計(jì)師(CISA)考試與資格認(rèn)證開始實(shí)施,這標(biāo)志著ISA的深入拓展。
3.成熟階段。信息系統(tǒng)審計(jì)發(fā)展的成熟期是八十年代。1982年,日本通產(chǎn)省設(shè)立計(jì)算機(jī)安全研究會(huì),對(duì)健全信息化的必要法規(guī)進(jìn)行研究。1983年,發(fā)表緊要課題——《有關(guān)計(jì)算機(jī)的安全對(duì)策》。1984年,日本ISA協(xié)會(huì)研究美國(guó)的ISA標(biāo)準(zhǔn)并于1985年《IT審計(jì)標(biāo)準(zhǔn)》,同時(shí)將IT審計(jì)師考試加入計(jì)算機(jī)水平考試中。
4.普遍提升階段。ISA在二十世紀(jì)九十年代不斷普及。這一時(shí)期,ISACA不斷拓展擴(kuò)大,一百六十多個(gè)分會(huì)遍布全球,擬定并頒發(fā)ISA法則與實(shí)務(wù)指南,同時(shí)積極推廣CISA資格考試。1992年,EDP審計(jì)委員會(huì)在國(guó)際最高審計(jì)組織(INTOSAI)的推動(dòng)下成立了,因此又被稱為INTOSAI-EDP委員會(huì)。2002年11月將其變更為INTOSAI-IT委員會(huì)。
信息系統(tǒng)審計(jì)的拓展提升,一方面使得傳統(tǒng)審計(jì)技術(shù)不斷擴(kuò)展改變并應(yīng)用廣泛;另一方面整個(gè)社會(huì)依賴計(jì)算機(jī)信息系統(tǒng)越來越緊密促使信息系統(tǒng)審計(jì)越來越重要,信息系統(tǒng)審計(jì)代表了未來審計(jì)發(fā)展的一個(gè)重要方向。
(二)信息系統(tǒng)審計(jì)的涵義
全球信息系統(tǒng)審計(jì)領(lǐng)域內(nèi)的著名專家Ron A. Weber指出,信息系統(tǒng)審計(jì)是審計(jì)人員經(jīng)被審計(jì)單位的授權(quán)或者委托,收集、整合證據(jù),從而評(píng)估一個(gè)計(jì)算機(jī)信息系統(tǒng)能否有效地維護(hù)資產(chǎn)、保護(hù)數(shù)據(jù)完整性,同時(shí)最有效地實(shí)現(xiàn)組織目的的活動(dòng)進(jìn)程。它包含信息系統(tǒng)外部審計(jì)的鑒證目標(biāo)和內(nèi)部審計(jì)的管理目標(biāo),具體來講是鑒證被審單位數(shù)據(jù)的完整性與資產(chǎn)的安全性以及信息系統(tǒng)的有效性。日本通產(chǎn)省情報(bào)協(xié)會(huì)將其概述如下:為了信息系統(tǒng)的有效、安全與可靠,由獨(dú)立審計(jì)對(duì)象之外的IS審計(jì)師,以客觀的立場(chǎng)對(duì)以計(jì)算機(jī)為主的信息系統(tǒng)展開全面的檢查與評(píng)估,同時(shí)對(duì)所審計(jì)單位的最高領(lǐng)導(dǎo)提出意見和建議的一系列的活動(dòng)。鄧少靈學(xué)者指出,IT審計(jì)是從規(guī)劃、研究、實(shí)行到執(zhí)行維護(hù)各個(gè)階段展開對(duì)信息系統(tǒng)的審查與評(píng)估,從而審查信息系統(tǒng)的有效、安全與可靠,以此來保障信息系統(tǒng)得出的數(shù)據(jù)精確可靠。
以上學(xué)者對(duì)信息系統(tǒng)的定義雖然不盡一致,但通過分析可以發(fā)現(xiàn)信息系統(tǒng)審計(jì)的一些要點(diǎn):
1.信息系統(tǒng)審計(jì)的目標(biāo)是判斷信息系統(tǒng)能否有效保護(hù)公司資產(chǎn),提高企業(yè)經(jīng)營(yíng)效率和企業(yè)核心競(jìng)爭(zhēng)力。
2.信息系統(tǒng)審計(jì)是一個(gè)過程,這個(gè)過程需要涵蓋企業(yè)信息系統(tǒng)從規(guī)劃、開發(fā)、實(shí)施到運(yùn)行維護(hù)的每一個(gè)階段。
3.信息系統(tǒng)審計(jì)報(bào)告面對(duì)的對(duì)象是企業(yè)經(jīng)營(yíng)管理負(fù)責(zé)人,因?yàn)樾畔⑾到y(tǒng)關(guān)系到企業(yè)的日常運(yùn)營(yíng)以至生存發(fā)展。
綜合上述幾個(gè)要點(diǎn),筆者總結(jié)出,信息系統(tǒng)審計(jì)是對(duì)企業(yè)信息系統(tǒng)規(guī)劃、研發(fā)、實(shí)行、執(zhí)行維護(hù)與實(shí)現(xiàn)組織目標(biāo)的效率進(jìn)行審計(jì)的過程,在這個(gè)過程中,信息系統(tǒng)審計(jì)人員應(yīng)該對(duì)信息系統(tǒng)能否有效保護(hù)公司資產(chǎn),提高企業(yè)經(jīng)營(yíng)效率以及企業(yè)核心競(jìng)爭(zhēng)力作出判斷,并向企業(yè)經(jīng)營(yíng)管理負(fù)責(zé)人如實(shí)報(bào)告。
二、信息系統(tǒng)審計(jì)的研究現(xiàn)狀
(一)國(guó)外研究現(xiàn)狀
it審計(jì)和普通審計(jì)篇2
隨著計(jì)算機(jī)技術(shù)在管理中的廣泛運(yùn)用,傳統(tǒng)的管理、控制、檢查和審計(jì)技術(shù)都面臨著巨大的挑戰(zhàn)。在信息技術(shù)突飛猛進(jìn)的網(wǎng)絡(luò)時(shí)代,國(guó)際會(huì)計(jì)公司、專業(yè)咨詢公司和高級(jí)管理顧問都將控制風(fēng)險(xiǎn)、特別是控制計(jì)算機(jī)環(huán)境風(fēng)險(xiǎn)和信息系統(tǒng)運(yùn)行風(fēng)險(xiǎn)作為現(xiàn)代審計(jì)、管理咨詢和服務(wù)的重點(diǎn)。由于普遍使用大型管理信息系統(tǒng),幾乎所有的大型跨國(guó)公司,都非常重視對(duì)信息系統(tǒng)安全和穩(wěn)定性的控制,常常高薪聘請(qǐng)IT審計(jì)師進(jìn)行內(nèi)部審計(jì)。在網(wǎng)絡(luò)經(jīng)濟(jì)迅猛發(fā)展的今天,IT審計(jì)師已被公認(rèn)為全世界范圍內(nèi)非常搶手的高級(jí)人才。
IT審計(jì)師是“國(guó)際信息系統(tǒng)審計(jì)師”的簡(jiǎn)稱。IT審計(jì)師必須具備全面的計(jì)算機(jī)軟硬件知識(shí),對(duì)計(jì)算機(jī)網(wǎng)絡(luò)和信息系統(tǒng)的安全性具有高度而特殊的敏感意識(shí),而且對(duì)財(cái)務(wù)會(huì)計(jì)和企業(yè)內(nèi)部控制具有深刻的理解能力,要懂管理、懂經(jīng)濟(jì)、懂審計(jì)、懂計(jì)算機(jī)、懂內(nèi)部控制、懂網(wǎng)絡(luò)技術(shù),既是審計(jì)專家,又是信息系統(tǒng)專家,以對(duì)計(jì)算機(jī)信息系統(tǒng)及軟硬件的技術(shù)性審計(jì)來保證計(jì)算機(jī)審計(jì)質(zhì)量的可靠性。
二、從IT審計(jì)看審計(jì)學(xué)科的發(fā)展與技術(shù)時(shí)代的到來
1、IT審計(jì)是技術(shù)審計(jì)的一個(gè)典型,IT審計(jì)師標(biāo)志著一個(gè)新的審計(jì)時(shí)代——“技術(shù)審計(jì)時(shí)代”的到來。
隨著經(jīng)濟(jì)管理與科學(xué)技術(shù)的不斷結(jié)合與日益滲透,現(xiàn)代審計(jì)已經(jīng)遠(yuǎn)遠(yuǎn)超出了僅對(duì)財(cái)務(wù)會(huì)計(jì)進(jìn)行審查的狹窄范圍,不斷向管理領(lǐng)域和技術(shù)領(lǐng)域滲透。IT審計(jì)是技術(shù)審計(jì)的一個(gè)典型。IT審計(jì)實(shí)質(zhì)上是對(duì)計(jì)算機(jī)軟件和硬件及整個(gè)信息系統(tǒng)的審計(jì),否則,就不能稱為IT審計(jì)。由于計(jì)算機(jī)的廣泛普及,審計(jì)環(huán)境發(fā)生了巨大變化。假如審計(jì)人員只懂傳統(tǒng)審計(jì),不懂對(duì)計(jì)算機(jī)軟硬件的審計(jì),必然面臨可怕的潛在審計(jì)風(fēng)險(xiǎn)。在無紙辦公條件下,會(huì)計(jì)及其他信息資料被存入計(jì)算機(jī)信息系統(tǒng),審計(jì)人員如不考慮被審單位計(jì)算機(jī)軟件和硬件的安全程度,對(duì)被審單位的系統(tǒng)與設(shè)備盲目信任,即使懂得計(jì)算機(jī)的簡(jiǎn)單應(yīng)用,也極有可能誤入計(jì)算機(jī)陷講,后果相當(dāng)危險(xiǎn)。只有對(duì)計(jì)算機(jī)審計(jì)風(fēng)險(xiǎn)進(jìn)行正確估計(jì),根據(jù)實(shí)際情況決定是否采取相應(yīng)的信息系統(tǒng)審計(jì)對(duì)策,并能夠在風(fēng)險(xiǎn)較大的情況下針對(duì)計(jì)算機(jī)信息系統(tǒng)(包括硬件與軟件)實(shí)施必要的技術(shù)性審計(jì),才能最終保證審計(jì)結(jié)果的正確性,防止和降低信息技術(shù)條件下的審計(jì)風(fēng)險(xiǎn)。IT審計(jì)的重要程度由此可以想見。顯然,網(wǎng)絡(luò)時(shí)代的到來已對(duì)審計(jì)人員提出了掌握過硬信息技術(shù)的要求。IT審計(jì)師不僅從事對(duì)財(cái)務(wù)會(huì)計(jì)、經(jīng)濟(jì)管理活動(dòng)的審計(jì),更重要更關(guān)鍵的是對(duì)被審單位信息系統(tǒng)進(jìn)行技術(shù)審計(jì)。IT審計(jì)師的產(chǎn)生是審計(jì)領(lǐng)域進(jìn)一步擴(kuò)大化的重要標(biāo)志,代表著新的審計(jì)時(shí)代——技術(shù)審計(jì)時(shí)代的到來。
實(shí)際上IT審計(jì)并不是最早的技術(shù)審計(jì)。早在IT審計(jì)之前,就已經(jīng)出現(xiàn)了各種各樣的技術(shù)性審計(jì),只不過這些技術(shù)審計(jì)的技術(shù)性不如IT審計(jì)那樣與科學(xué)技術(shù)緊密相關(guān)。例如,質(zhì)量管理中的技術(shù)性審計(jì)——質(zhì)量審計(jì)(包括產(chǎn)品質(zhì)量審計(jì)、工序質(zhì)量審計(jì)與體系質(zhì)量審計(jì)等),要求對(duì)產(chǎn)品質(zhì)量進(jìn)行抽查試驗(yàn);清潔生產(chǎn)中的技術(shù)性審計(jì)——清潔生產(chǎn)審計(jì),要求揭示生產(chǎn)技術(shù)的缺陷并提出預(yù)防和消減污染的機(jī)會(huì)與對(duì)策;能源管理中的技術(shù)性審計(jì)——能源審計(jì),要求進(jìn)行能源監(jiān)測(cè),提出能源技術(shù)改造方案;環(huán)境管理中的技術(shù)性審計(jì)——環(huán)境審計(jì),要求實(shí)施環(huán)境質(zhì)量監(jiān)測(cè),提出環(huán)境改進(jìn)建議與降低污染方案;如此等等,都是具有不同技術(shù)程度的審計(jì)類型,從它們的技術(shù)性特點(diǎn)歸類,可以與IT審計(jì)并稱“技術(shù)審計(jì)”。
技術(shù)審計(jì)的產(chǎn)生是科學(xué)技術(shù)日益滲透、審計(jì)范圍進(jìn)一步向技術(shù)領(lǐng)域拓展的必然結(jié)果。隨著科學(xué)技術(shù)如日新月異和現(xiàn)代審計(jì)的不斷發(fā)展,審計(jì)的技術(shù)領(lǐng)域?qū)⒉粩嘌由欤磥淼募夹g(shù)審計(jì)形式將更加豐富多彩。
2、從IT審計(jì)看現(xiàn)代審計(jì)學(xué)科的發(fā)展。
王光遠(yuǎn)教授在其名著《管理審計(jì)理論》中將審計(jì)學(xué)科劃分為“財(cái)務(wù)審計(jì)”與“管理審計(jì)”兩大分支,倡導(dǎo)發(fā)展管理審計(jì),并認(rèn)為管理審計(jì)以財(cái)務(wù)審計(jì)為基礎(chǔ),前者是后者的發(fā)展與延伸。
筆者認(rèn)為,技術(shù)審計(jì)是當(dāng)代科技發(fā)展與審計(jì)發(fā)展相互融合的產(chǎn)物。當(dāng)代社會(huì)是科學(xué)技術(shù)飛躍發(fā)展的社會(huì),科技的迅猛發(fā)展已經(jīng)給整個(gè)社會(huì)的經(jīng)濟(jì)管理活動(dòng)造成了巨大影響。正是在科技迅速發(fā)展的大背景下才產(chǎn)生了形形的技術(shù)性審計(jì)。技術(shù)性審計(jì)是在原來的財(cái)務(wù)審計(jì)和管理審計(jì)基礎(chǔ)上,由于科學(xué)技術(shù)向經(jīng)濟(jì)管理領(lǐng)域的滲透而產(chǎn)生的。然而,到目前為止,技術(shù)審計(jì)在本質(zhì)上并不是獨(dú)立于財(cái)務(wù)審計(jì)和管理審計(jì)的第三大審計(jì)分支,而是融于財(cái)務(wù)審計(jì)、管理審計(jì)之中的一類審計(jì)形態(tài)。即在財(cái)務(wù)審計(jì)與管理審計(jì)兩大分支當(dāng)中都包含某些技術(shù)審計(jì)。比如,進(jìn)行計(jì)算機(jī)財(cái)務(wù)審計(jì),主要的或本質(zhì)上是實(shí)施財(cái)務(wù)審計(jì),但由于計(jì)算機(jī)軟件和硬件對(duì)財(cái)務(wù)信息的巨大影響,也往往不得不對(duì)使用的硬件和軟件進(jìn)行審計(jì),這又是技術(shù)審計(jì);清潔生產(chǎn)審計(jì)實(shí)質(zhì)上屬于環(huán)境(管理)審計(jì)中針對(duì)生產(chǎn)過程所實(shí)施的技術(shù)審計(jì),但這種技術(shù)審計(jì)又是為進(jìn)行管理審計(jì)服務(wù)的,依附于管理審計(jì)。
從受托責(zé)任理論分析,可以提出“受托技術(shù)責(zé)任”的概念。在財(cái)務(wù)審計(jì)分支中的技術(shù)審計(jì),其受托技術(shù)責(zé)任屬于受托財(cái)務(wù)責(zé)任的二級(jí)責(zé)任,比如IT審計(jì)中,保證會(huì)計(jì)報(bào)表真實(shí)可靠,就必須要求信息系統(tǒng)的軟件系統(tǒng)和硬件系統(tǒng)同時(shí)可靠,后者從屬于前者,被審單位承擔(dān)的受托信息技術(shù)責(zé)任就是其所負(fù)受托財(cái)務(wù)責(zé)任的二級(jí)責(zé)任。在管理審計(jì)分支中的技術(shù)審計(jì),其受托技術(shù)責(zé)任屬于受托管理責(zé)任的二級(jí)責(zé)任。例如,環(huán)境審計(jì)實(shí)質(zhì)是對(duì)環(huán)境管理的審計(jì),因此屬于管理審計(jì)。但進(jìn)行企業(yè)環(huán)境審計(jì),需要審查企業(yè)的生產(chǎn)工藝與生產(chǎn)技術(shù),甚至審查產(chǎn)品的環(huán)保技術(shù)性能,此類技術(shù)方面的審計(jì)都是為了證實(shí)企業(yè)環(huán)境保護(hù)方面的受托管理責(zé)任。
總之,對(duì)財(cái)務(wù)會(huì)計(jì)的審計(jì)稱為財(cái)務(wù)審計(jì);對(duì)管理進(jìn)行的審計(jì)稱為管理審計(jì);對(duì)技術(shù)方面的審計(jì)就應(yīng)當(dāng)稱為技術(shù)審計(jì)。從這個(gè)意義上說,技術(shù)審計(jì)應(yīng)是現(xiàn)代審計(jì)的第三大領(lǐng)域。20世紀(jì)30年代以前財(cái)務(wù)審計(jì)一統(tǒng)天下,30年代以后80年代以前管理審計(jì)異軍突起,與財(cái)務(wù)審計(jì)并駕齊驅(qū),80年代以來技術(shù)審計(jì)不斷涌現(xiàn),90年代IT審計(jì)初視端倪,21世紀(jì)將是IT審計(jì)師獨(dú)領(lǐng)的時(shí)代。
三、IT審計(jì)等技術(shù)審計(jì)的產(chǎn)生對(duì)我國(guó)審計(jì)發(fā)展影響重大
勿庸諱言,技術(shù)審計(jì)至今未能脫離財(cái)務(wù)審計(jì)和管理審計(jì)而單獨(dú)存在。然而,盡管技術(shù)審計(jì)尚未獨(dú)立為現(xiàn)代審計(jì)的第三分支,但“技術(shù)審計(jì)”概念的提出仍然極具積極意義。技術(shù)審計(jì)反映了科技與審計(jì)、科技與經(jīng)濟(jì)管理相互融合與滲透的時(shí)代特點(diǎn),要求審計(jì)人員既要掌握經(jīng)濟(jì)管理知識(shí),又要掌握科學(xué)技術(shù)。現(xiàn)代審計(jì)向管理領(lǐng)域和技術(shù)領(lǐng)域滲透,是不以人的意志為轉(zhuǎn)移的必然趨勢(shì)。也許將來技術(shù)審計(jì)會(huì)成為與財(cái)務(wù)審計(jì)和管理審計(jì)相并列的第三大分支。
在不久的將來,無論是國(guó)家審計(jì)、內(nèi)部審計(jì)還是注冊(cè)會(huì)計(jì)師審計(jì),不懂IT技術(shù)必然遭遇災(zāi)難性風(fēng)險(xiǎn),離開IT審計(jì)將寸步難行。國(guó)際著名會(huì)計(jì)公司德勤會(huì)計(jì)師行的高級(jí)合伙人鮑威爾先生指出,全世界即將迎來管理領(lǐng)域信息化的高潮。信息技術(shù)對(duì)傳統(tǒng)管理和控制的挑戰(zhàn)是空前的,主要表現(xiàn)在三個(gè)方面:一是內(nèi)部控制環(huán)節(jié)的變化,許多傳統(tǒng)的控制手段已經(jīng)失去意義,評(píng)價(jià)和改進(jìn)內(nèi)部控制必須以信息系統(tǒng)的運(yùn)轉(zhuǎn)為基礎(chǔ);二是管理的風(fēng)險(xiǎn)增加,由于企業(yè)經(jīng)營(yíng)越來越依賴于信息系統(tǒng),除了傳統(tǒng)意義上的經(jīng)營(yíng)風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)和財(cái)務(wù)風(fēng)險(xiǎn)之外,企業(yè)信息系統(tǒng)安全性導(dǎo)致的信息技術(shù)風(fēng)險(xiǎn)日益增長(zhǎng);三是對(duì)復(fù)合性高級(jí)人才的需求驟增,要求管理者、審計(jì)師和咨詢?nèi)藛T必須在精通管理和專業(yè)的同時(shí)熟悉信息系統(tǒng)和網(wǎng)絡(luò)技術(shù)。
it審計(jì)和普通審計(jì)篇3
今昔對(duì)比的差別固然明顯,橫向?qū)Ρ纫埠苣苷f明問題。各級(jí)政府的行政審批大廳,服務(wù)功能雖大同小異,用戶體驗(yàn)卻可能有天壤之別。因缺乏排隊(duì)設(shè)備造成的亂排隊(duì),公告提示不清楚造成的誤排隊(duì)、誤提交,以及因辦公設(shè)備不穩(wěn)定造成的無謂等待……都直接影響著公眾滿意度。
就運(yùn)營(yíng)來說,問題就更明顯了,如果前期設(shè)計(jì)和調(diào)研不夠完善,往往會(huì)造成因IT設(shè)備采購(gòu)分散而增加成本、增加售后服務(wù)難度,以及設(shè)備本身的功能不全、穩(wěn)定性不夠、耗電量高等一系列問題。這種信息化建設(shè)本身帶來的問題對(duì)于專注行政管理的政府部門來說,無疑是個(gè)大包袱。
“政府需要從采購(gòu)、管理到服務(wù)全面覆蓋的一整套方案。”針對(duì)當(dāng)前行政審批大廳存在的實(shí)際問題,中國(guó)惠普信息產(chǎn)品集團(tuán)臺(tái)式機(jī)方案總監(jiān)王成偉在接受記者采訪時(shí)表示。事實(shí)的確如此,在采購(gòu)環(huán)節(jié),如果能一站式采購(gòu),服務(wù)與采購(gòu)成本問題就都能妥善解決,當(dāng)然這對(duì)供應(yīng)商的能力提出了較高要求;在使用階段,單有定制化設(shè)備還不夠,還要方便政府人員在后臺(tái)統(tǒng)一管理和維護(hù);而在價(jià)值交付階段,公眾更關(guān)注界面的親和程度、信息的豐富程度以及流程的順暢程度,這就要求供應(yīng)商真正理解電子政務(wù)的需求。
結(jié)合超長(zhǎng)產(chǎn)品線帶來的資源和成本優(yōu)勢(shì),惠普順勢(shì)推出了“無憂政務(wù)”解決方案。王成偉介紹說,惠普依照大廳的功能分區(qū),把行政審批大廳劃分為大廳取號(hào)區(qū)、信息查詢區(qū)、公告顯示區(qū)、審批服務(wù)區(qū)、后臺(tái)管理區(qū)、IT管理區(qū)共六個(gè)業(yè)務(wù)環(huán)境,針對(duì)每個(gè)區(qū)域的需要,惠普都有產(chǎn)品與之對(duì)應(yīng),形成涵蓋惠普軟硬件產(chǎn)品在內(nèi)的政府公共服務(wù)IT應(yīng)用環(huán)境。
在大廳取號(hào)區(qū)、信息查詢區(qū)、公告顯示區(qū),公眾尚處于等待審批狀態(tài)。此時(shí),借助惠普Kiosk排隊(duì)終端和Kiosk多功能自助查詢終端,他們就可以取號(hào)等待并且便捷地查詢辦事流程。通過惠普數(shù)字標(biāo)牌的多內(nèi)容顯示,視頻、圖片、文字都可以在大屏幕中顯示,讓人一目了然,并且可以隨時(shí)更新內(nèi)容,其效果遠(yuǎn)勝過紙質(zhì)印刷或傳統(tǒng)LED顯示。審批階段是行政審批大廳運(yùn)營(yíng)的核心環(huán)節(jié),惠普為此設(shè)計(jì)了十分注重安全穩(wěn)定、極低故障率且低能耗的HP Compaq 6000 Pro政府用高端臺(tái)式機(jī)以及HP t5470瘦客戶機(jī);考慮到后臺(tái)管理辦公區(qū)是工作人員具體審批處理之處,除了滿足之前的常規(guī)性高要求之外,惠普還增加了HP ProBook 6550b和HP EliteBook 2540p商用筆記本電腦的選擇,以滿足管理人員的移動(dòng)性辦公需要。這一整套硬件設(shè)備看似繁雜,但管理起來卻相對(duì)簡(jiǎn)單。
it審計(jì)和普通審計(jì)篇4
關(guān)鍵詞:賬號(hào);身份認(rèn)證;訪問授權(quán);審計(jì)
中圖分類號(hào):F259 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2011) 17-0000-01
Unified Identity Control and Audit Management Application in Large Enterprises IT System
Hu Xueyong
(Beijing Capital International Airport Company Limited,Beijing100621,China)
Abstract:In large enterprises IT system run management,through establishing unified identity control and audit management platform,implementation Account Management,Authentication,Authorization and Audit,will strengthen and upgrade information system audit of-in rules sexual and system run of security.
Keywords:Account;Authentication;Authorization;Audit
大型企業(yè)的內(nèi)部運(yùn)營(yíng)管理以及與外部的交互合作已經(jīng)高度依賴IT系統(tǒng),因此IT系統(tǒng)的運(yùn)維風(fēng)險(xiǎn)已經(jīng)成為大型企業(yè)風(fēng)險(xiǎn)管理體系中重要的一部分。業(yè)內(nèi)統(tǒng)計(jì)結(jié)果表明企業(yè)信息安全風(fēng)險(xiǎn)主要來自于內(nèi)部,70%是由于內(nèi)部員工的疏忽或故意行為造成的,因此如何將IT系統(tǒng)運(yùn)行控制和審計(jì)的主體落實(shí)到實(shí)名用戶,便于準(zhǔn)確和高效的監(jiān)管?如何對(duì)危險(xiǎn)操作行為進(jìn)行警示,對(duì)高危操作行為進(jìn)行攔截?如何對(duì)運(yùn)維過程中的所有操作進(jìn)行記錄,在事后進(jìn)行回放?已經(jīng)成為IT系統(tǒng)主管部門不得不面對(duì)的重要課題。
一、系統(tǒng)概述
建立統(tǒng)一身份控制和審計(jì)管理平臺(tái),通過對(duì)用戶進(jìn)行統(tǒng)一的實(shí)名管理以及統(tǒng)一的認(rèn)證來控制用戶訪問主機(jī)的權(quán)限并記錄用戶對(duì)主機(jī)的操作行為,通過回放操作日志來實(shí)現(xiàn)事后的審計(jì),監(jiān)控用戶會(huì)話來實(shí)現(xiàn)事中的監(jiān)督與控制。平臺(tái)架構(gòu)如下圖所示:
二、系統(tǒng)實(shí)現(xiàn)
如上圖所示,建立統(tǒng)一身份控制和審計(jì)管理系統(tǒng),對(duì)用戶在系統(tǒng)上的訪問行為進(jìn)行嚴(yán)格的控制,無論本地用戶還是遠(yuǎn)程用戶,都需要通過該系統(tǒng)實(shí)現(xiàn)對(duì)系統(tǒng)的登錄,以進(jìn)行相應(yīng)的控制和審計(jì),該系統(tǒng)可以對(duì)動(dòng)態(tài)令牌卡,智能卡,數(shù)字證書,生物識(shí)別技術(shù)等登錄方式進(jìn)行認(rèn)證和訪問控制,同時(shí)對(duì)訪問系統(tǒng)的行為進(jìn)行審計(jì)。
(一)賬戶管理。集中維護(hù)的賬號(hào)包括自然人(主賬號(hào))和資源(從賬號(hào))在內(nèi)的全部賬號(hào)以及和賬號(hào)相關(guān)的可在4A賬號(hào)管理模塊中集中管理的賬號(hào)屬性。其中主賬號(hào)應(yīng)包括在該平臺(tái)中創(chuàng)建用于標(biāo)識(shí)唯一自然人ID;從賬號(hào)為該平臺(tái)所管理的系統(tǒng)資源的信息,資源的范圍包括系統(tǒng)資源(服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、安全設(shè)備、其他)。
(二)用戶身份認(rèn)證:賬號(hào)認(rèn)證方式支持本地靜態(tài)密碼認(rèn)證和第三方的AD域、LDAP、radius認(rèn)證;支持結(jié)合多因素認(rèn)證方式;可以根據(jù)工作的需要,將用戶多角色劃分,可以劃分成超級(jí)管理員、審計(jì)管理員、密碼保管員、普通用戶四種角色;可以針對(duì)不同用戶設(shè)置不同的登錄認(rèn)證方式。
(三)用戶訪問控制。可以基于登陸賬戶、源IP地址、目的IP地址、訪問次數(shù)、時(shí)間段進(jìn)行訪問控制;可以基于用戶/用戶組、目標(biāo)設(shè)備/設(shè)備組、系統(tǒng)賬號(hào)、訪問協(xié)議類型設(shè)定訪問控制策略;支持對(duì)任一活動(dòng)的圖形會(huì)話(rdp、http、https、xwin、vnc、客戶端)或字符會(huì)話操作(telnet、ssh)的實(shí)時(shí)監(jiān)控;支持用戶組對(duì)資源服務(wù)器組的組對(duì)組的權(quán)限分配。
(四)審計(jì)管理。審計(jì)分權(quán),可以設(shè)定不同的審計(jì)管理員是只能審計(jì)指定的設(shè)備還是審計(jì)所有設(shè)備;審計(jì)內(nèi)容,系統(tǒng)的審計(jì)除了可以記錄用戶的會(huì)話操作外,還可以記錄管理員在堡壘機(jī)上進(jìn)行的所有操作,如:配置操作、改密操作、審計(jì)操作等;針對(duì)核心設(shè)備,可設(shè)置登錄告警,告警方式可以支持短信、郵件、syslog;數(shù)據(jù)庫審計(jì),記錄精確到用戶賬號(hào)(自然人);完整記錄通過瀏覽器方式登錄到數(shù)據(jù)庫和通過后臺(tái)服務(wù)器登錄到數(shù)據(jù)庫上進(jìn)行的各種操作;完整記錄sqlplus、PL/SQL Developer、Quest Toad等客戶端工具的數(shù)據(jù)庫訪問過程;完整記錄圖形化操作過程,并可以對(duì)操作過程中的鍵盤、鼠標(biāo)操作和剪貼板操作進(jìn)行文本記錄。
三、結(jié)論
it審計(jì)和普通審計(jì)篇5
[關(guān)鍵詞]信息安全審計(jì);審計(jì)應(yīng)用;審計(jì)實(shí)現(xiàn) ;APP
doi:10.3969/j.issn.1673 - 0194.2015.08.012
[中圖分類號(hào)]TP393.08 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1673-0194(2015)08-0019-01
近年來,隨著辦公業(yè)務(wù)對(duì)手機(jī)軟件相關(guān)信息系統(tǒng)的依賴越來越高,APP應(yīng)用軟件信息系統(tǒng)存在的風(fēng)險(xiǎn)對(duì)業(yè)務(wù)的潛在影響也越來越大。解決針對(duì)業(yè)務(wù)信息內(nèi)容的篡改操作行為的監(jiān)控管理的問題,必須要有一種有效的安全技術(shù)手段對(duì)內(nèi)部員工、運(yùn)行維護(hù)人員以及第三方人員的上網(wǎng)行為、內(nèi)網(wǎng)行為、操作行為等進(jìn)行有效的監(jiān)控和管理,并對(duì)其行為趨勢(shì)進(jìn)行分析和總結(jié)。
1 APP應(yīng)用信息安全審計(jì)定義
為了APP應(yīng)用信息系統(tǒng)的安全、可靠與有效,由獨(dú)立于審計(jì)對(duì)象的IT審計(jì)師,以第三方的客觀立場(chǎng)對(duì)以計(jì)算機(jī)為核心的信息系統(tǒng)進(jìn)行綜合的檢查與評(píng)價(jià),向IT審計(jì)對(duì)象的最高領(lǐng)導(dǎo),提出問題與建議的一連串的活動(dòng)稱為IT審計(jì)。IT審計(jì)就是信息系統(tǒng)審計(jì),也稱IT監(jiān)查。
2 APP應(yīng)用信息安全審計(jì)的實(shí)現(xiàn)
要實(shí)現(xiàn)APP應(yīng)用信息安全審計(jì),保障計(jì)算機(jī)信息系統(tǒng)中信息的機(jī)密性、完整性、可控性、可用性和不可否認(rèn)性(抗抵賴),需要對(duì)計(jì)算機(jī)信息系統(tǒng)中的所有網(wǎng)絡(luò)資源(包括數(shù)據(jù)庫、主機(jī)、操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等)進(jìn)行安全審計(jì),記錄所有發(fā)生的事件,提供給系統(tǒng)管理員作為系統(tǒng)維護(hù)以及安全防范的依據(jù)。
2.1 合規(guī)性審計(jì)
做到有效控制IT風(fēng)險(xiǎn),尤其是操作風(fēng)險(xiǎn),對(duì)業(yè)務(wù)的安全運(yùn)營(yíng)至關(guān)重要。因此,合規(guī)性審計(jì)成為被行業(yè)推崇的有效方法。安全合規(guī)性審計(jì)指在建設(shè)與運(yùn)行IT系統(tǒng)中的過程是否符合相關(guān)的法律、標(biāo)準(zhǔn)、規(guī)范、文件精神的要求一種檢測(cè)方法。這作為風(fēng)險(xiǎn)控制的主要內(nèi)容之一,是檢查安全策略落實(shí)情況的一種手段。
2.2 日志審計(jì)
基于日志的安全審計(jì)技術(shù)是通過SNMP、SYSLOG或者其他的日志接口從網(wǎng)絡(luò)設(shè)備、主機(jī)服務(wù)器、用戶終端、數(shù)據(jù)庫、應(yīng)用系統(tǒng)和網(wǎng)絡(luò)安全設(shè)備中收集日志,對(duì)收集的日志進(jìn)行格式標(biāo)準(zhǔn)化、統(tǒng)一分析和報(bào)警,并形成多種格式和類型的審計(jì)報(bào)表。
2.3 網(wǎng)絡(luò)行為審計(jì)
基于網(wǎng)絡(luò)技術(shù)的安全審計(jì)是通過旁路和串接的方式實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的捕獲,進(jìn)行協(xié)議分析和還原,可達(dá)到審計(jì)服務(wù)器、用戶終端、數(shù)據(jù)庫、應(yīng)用系統(tǒng)的安全漏洞,審計(jì)合法、非法或入侵操作,監(jiān)控上網(wǎng)行為和內(nèi)容,監(jiān)控用戶非工作行為等目的。網(wǎng)絡(luò)行為審計(jì)更偏重于網(wǎng)絡(luò)行為,具備部署簡(jiǎn)單等優(yōu)點(diǎn)。
2.4 主機(jī)審計(jì)
主機(jī)安全審計(jì)是通過在主機(jī)服務(wù)器、用戶終端、數(shù)據(jù)庫或其他審計(jì)對(duì)象中安裝客戶端的方式來進(jìn)行審計(jì),可達(dá)到審計(jì)安全漏洞、審計(jì)合法和非法或入侵操作、監(jiān)控上網(wǎng)行為和內(nèi)容以及向外拷貝文件行為、監(jiān)控用戶非法行為等目的。主機(jī)審計(jì)包括主機(jī)的漏洞掃描產(chǎn)品、主機(jī)防火墻和主機(jī)IDS/IPS的安全審計(jì)功能、主機(jī)上網(wǎng)和上機(jī)行為監(jiān)控、終端管理等類型的產(chǎn)品。
2.5 應(yīng)用系統(tǒng)審計(jì)
應(yīng)用系統(tǒng)安全審計(jì)是對(duì)用戶在業(yè)務(wù)應(yīng)用過程中的登錄、操作、退出的一切行為通過內(nèi)部截取和跟蹤等相關(guān)方式進(jìn)行監(jiān)控和詳細(xì)記錄,并對(duì)這些記錄按時(shí)間段、地址段、用戶、操作命令、操作內(nèi)容等分別進(jìn)行審計(jì)。
2.6 集中操作運(yùn)維審計(jì)
集中操作運(yùn)維審計(jì)側(cè)重于對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全設(shè)備、數(shù)據(jù)庫的運(yùn)行維護(hù)過程中的風(fēng)險(xiǎn)審計(jì)。
運(yùn)維審計(jì)的方式不同于其他審計(jì),尤其是維護(hù)人員為了安全的要求,開始大量采用加密方式,如遠(yuǎn)程桌面協(xié)議(Remote Desktop Protocol,RDP)、SSL等,加密口令在連接建立的時(shí)候動(dòng)態(tài)生成,一般的針對(duì)網(wǎng)絡(luò)行為進(jìn)行審計(jì)的技術(shù)是無法實(shí)現(xiàn)的。
3 審計(jì)系統(tǒng)的實(shí)現(xiàn)
通過對(duì)6類審計(jì)產(chǎn)品的綜合應(yīng)用,可以形成較完備的APP應(yīng)用信息系統(tǒng)安全審計(jì)應(yīng)用系統(tǒng),對(duì)整個(gè)網(wǎng)絡(luò)與信息系統(tǒng)中的網(wǎng)絡(luò)、主機(jī)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫及安全設(shè)備等進(jìn)行安全審計(jì),且可以支持分布式跨網(wǎng)審計(jì),并進(jìn)行集中統(tǒng)一管理,達(dá)到對(duì)審計(jì)數(shù)據(jù)綜合的統(tǒng)計(jì)與分析,更有效地防御外部的入侵和內(nèi)部的非法違規(guī)操作,最終起到保護(hù)信息和資源的作用。
參考網(wǎng)絡(luò)與信息系統(tǒng)安全審計(jì)應(yīng)用模型,企業(yè)既可以采取單項(xiàng)逐一建設(shè)方式,也可以采用多項(xiàng)綜合建設(shè)方式建立內(nèi)部審計(jì)應(yīng)用系統(tǒng)。對(duì)于擁有分(子)公司且不在同一地區(qū)的企業(yè),也可以通過城域網(wǎng)絡(luò)把多個(gè)分(子)公司統(tǒng)一起來,進(jìn)行集中建設(shè),統(tǒng)一管理。
4 結(jié) 論
通過整合市面上多種不同類型的審計(jì)產(chǎn)品,按照網(wǎng)絡(luò)與信息系統(tǒng)安全審計(jì)應(yīng)用模型,采用“統(tǒng)一規(guī)劃、分步實(shí)施”的方式,可以在企業(yè)內(nèi)部建立起嚴(yán)格監(jiān)控的網(wǎng)絡(luò)與信息系統(tǒng)安全審計(jì)應(yīng)用平臺(tái),提升企業(yè)信息化日常運(yùn)維及操作的安全性。
主要參考文獻(xiàn)
[1]胡克瑾.IT審計(jì)[M].北京:電子工業(yè)出版社,2002.
[2]徐正旦.審計(jì)研究前沿[M].上海:上海財(cái)經(jīng)大學(xué)出版社,2011.
it審計(jì)和普通審計(jì)篇6
內(nèi)容摘要:本文詳細(xì)介紹了電信行業(yè)的信息技術(shù)一般性控制的內(nèi)容。首先介紹了國(guó)際上通用的信息技術(shù)內(nèi)部控制的理論框架以及中國(guó)內(nèi)部審計(jì)協(xié)會(huì)的內(nèi)部審計(jì)第28號(hào)具體準(zhǔn)則――信息系統(tǒng)審計(jì)的內(nèi)容,并結(jié)合實(shí)踐對(duì)電信行業(yè)信息技術(shù)一般性控制的系統(tǒng)范圍、實(shí)施框架及信息技術(shù)一般性控制問題及改進(jìn)措施進(jìn)行了研究,以期為電信行業(yè)不斷完善信息技術(shù)一般性控制體系提供理論參考。
關(guān)鍵詞:內(nèi)部控制 信息系統(tǒng)審計(jì) 信息技術(shù)一般性控制
美國(guó)的《薩班斯法案》404條款對(duì)企業(yè)的內(nèi)部控制提出了嚴(yán)格規(guī)范,要求在美上市的公司按照404條款推薦的COSO框架建立起完善的公司內(nèi)部控制體系,并對(duì)企業(yè)的公司治理、IT治理及IT控制提出了更嚴(yán)格的要求。同時(shí)其第二審計(jì)準(zhǔn)則也提出了對(duì)信息技術(shù)的要求,如審計(jì)準(zhǔn)則#40“……需要測(cè)試的控制包括其他控制所依賴的信息技術(shù)一般性控制……”,審計(jì)準(zhǔn)則#5“……程序開發(fā)、程序變更、計(jì)算機(jī)運(yùn)行、運(yùn)行和數(shù)據(jù)訪問等各方面的控制保證了業(yè)務(wù)處理的有效運(yùn)行……”等等。
中國(guó)電信在2006年初啟動(dòng)了“與財(cái)務(wù)報(bào)告相關(guān)的信息技術(shù)內(nèi)部控制(簡(jiǎn)稱IT內(nèi)控)”項(xiàng)目,項(xiàng)目涉及電信總部及20個(gè)上市子公司,建立起全公司的IT內(nèi)部控制體系,并對(duì)發(fā)現(xiàn)的差異及不足開展深入細(xì)致的整改;自此歷年完善,均順利通過各年度外部審計(jì)。信息技術(shù)一般性控制作為電信IT內(nèi)控的重要組成部分,一方面企業(yè)的組織、流程、系統(tǒng)是不斷調(diào)整轉(zhuǎn)變的,信息技術(shù)一般性控制的內(nèi)容也應(yīng)隨之調(diào)整完善,滿足SOX的合規(guī)性;另一方面為提升企業(yè)自身的IT治理水平,信息技術(shù)一般性控制也是一種加強(qiáng)IT管控和有效實(shí)現(xiàn)IT治理的重要手段。
信息技術(shù)一般性控制理論概述
(一)COBIT框架
美國(guó)IT治理協(xié)會(huì)(IT Governance Institute)于1996年頒布的COBIT,是國(guó)際上最具權(quán)威和最通用的有關(guān)IT控制和治理框架規(guī)范;2004年該協(xié)會(huì)頒布了COBIT中與《薩班斯――奧克斯利法案》第404條款的IT內(nèi)控框架。COBIT框架將內(nèi)部控制視為一個(gè)包括政策、程序、實(shí)務(wù)和組織結(jié)構(gòu)的支持企業(yè)完成目標(biāo)的程序。因此,通過有效地應(yīng)用COBIT框架可幫助企業(yè)來達(dá)到COSO的監(jiān)控要求。
COBIT框架主要有三個(gè)維度IT流程、IT資源、IT信息準(zhǔn)則。其中:IT信息準(zhǔn)則包括質(zhì)量、信用、安全;IT資源包括人員、應(yīng)用系統(tǒng)、設(shè)施、技術(shù)、數(shù)據(jù);IT流程包括領(lǐng)域、流程、活動(dòng)。
COBIT給出了在不同的IT生命周期流程中(包括信息系統(tǒng)計(jì)劃、開發(fā)、運(yùn)行維護(hù)全生命周期),對(duì)不同的IT資源的關(guān)鍵控制點(diǎn)和需要達(dá)到的信息準(zhǔn)則目標(biāo)作出規(guī)定。
(二)內(nèi)部審計(jì)第28號(hào)具體準(zhǔn)則――信息系統(tǒng)審計(jì)
“內(nèi)部審計(jì)第28號(hào)具體準(zhǔn)則――信息系統(tǒng)審計(jì)2”是2009年1月由中國(guó)內(nèi)部審計(jì)協(xié)會(huì)實(shí)施的,該準(zhǔn)則明確規(guī)定了對(duì)組織層面信息技術(shù)控制、信息技術(shù)一般性控制及業(yè)務(wù)流程層面相關(guān)應(yīng)用控制的審計(jì)。其中,第21條針對(duì)信息技術(shù)一般性控制做了明確的規(guī)定:信息技術(shù)一般性控制是指與網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)及其相關(guān)人員有關(guān)的信息技術(shù)政策和措施,以確保信息系統(tǒng)持續(xù)穩(wěn)定地運(yùn)行,支持應(yīng)用控制的有效性。信息技術(shù)一般性控制包含了信息安全管理、系統(tǒng)變更管理、系統(tǒng)開發(fā)和采購(gòu)管理和系統(tǒng)運(yùn)行管理五方面控制內(nèi)容。
(三)國(guó)內(nèi)企業(yè)內(nèi)部控制體系建設(shè)現(xiàn)狀
繼美國(guó)SOX法案頒布之后,財(cái)政部、證監(jiān)會(huì)、審計(jì)署、銀監(jiān)會(huì)、保監(jiān)會(huì)在此前的《企業(yè)內(nèi)部控制基本規(guī)范》基礎(chǔ)上,于今年聯(lián)合了《企業(yè)內(nèi)部控制配套指引》。該配套指引包括18項(xiàng)《企業(yè)內(nèi)部控制應(yīng)用指引》、《企業(yè)內(nèi)部控制評(píng)價(jià)指引》和《企業(yè)內(nèi)部控制審計(jì)指引》,這標(biāo)志著適應(yīng)我國(guó)企業(yè)實(shí)際情況、融合國(guó)際先進(jìn)經(jīng)驗(yàn)的中國(guó)企業(yè)內(nèi)部控制規(guī)范體系基本建成。同時(shí),財(cái)政部等五部門制定了實(shí)施時(shí)間表:自2011年1月1日起首先在境內(nèi)外同時(shí)上市的公司施行,自2012年1月1日起擴(kuò)大到在上海證券交易所、深圳證券交易所主板上市的公司施行;之后將進(jìn)一步擴(kuò)大到在中小板和創(chuàng)業(yè)板的上市公司施行。
國(guó)內(nèi)電信運(yùn)營(yíng)商作為在境外上市的國(guó)有超大型央企,將成為遵循中國(guó)企業(yè)內(nèi)部控制規(guī)范體系的首批企業(yè)。一方面,當(dāng)前國(guó)內(nèi)企業(yè)還未大規(guī)模開展企業(yè)內(nèi)部控制制度的建設(shè),國(guó)內(nèi)電信企業(yè)作為先行者,已按美國(guó)SOX法案要求于2006年開始初步建立了信息技術(shù)內(nèi)部控制制度,積累了信息技術(shù)內(nèi)部控制建設(shè)的寶貴經(jīng)驗(yàn),可為國(guó)內(nèi)其他企業(yè)內(nèi)部控制制度的建設(shè)提供參考借鑒。一方面,經(jīng)過2008 年的運(yùn)營(yíng)商重組,電信行業(yè)進(jìn)入全業(yè)務(wù)運(yùn)營(yíng)時(shí)代,業(yè)務(wù)、流程、系統(tǒng)的銜接變得更加復(fù)雜,對(duì)業(yè)務(wù)流程與系統(tǒng)支撐的要求越來越高;隨著電信行業(yè)的快速發(fā)展和競(jìng)爭(zhēng)的加劇,國(guó)內(nèi)電信運(yùn)營(yíng)商的運(yùn)營(yíng)風(fēng)險(xiǎn)在逐步加大,加之行業(yè)監(jiān)管力度的加強(qiáng)及中國(guó)企業(yè)內(nèi)部控制規(guī)范的要求,電信運(yùn)營(yíng)商需要在更高層次上進(jìn)一步完善內(nèi)部控制體系。
信息技術(shù)一般性控制框架構(gòu)建
在COBIT框架和內(nèi)部審計(jì)第28號(hào)具體準(zhǔn)則――信息系統(tǒng)審計(jì)的理論基礎(chǔ)上,電信行業(yè)的信息技術(shù)一般性控制實(shí)施框架主要包括對(duì)程序和數(shù)據(jù)的訪問、程序變更管理、程序開發(fā)、系統(tǒng)運(yùn)行、最終用戶計(jì)算控制五部分,其所具體包含的內(nèi)容如下:
程序和數(shù)據(jù)的訪問控制。涉及邏輯安全和物理安全、用戶賬號(hào)的添加、修改及刪除控制、用戶賬號(hào)的定期審閱、職責(zé)分工控制等。
程序變更管理控制。涉及系統(tǒng)變更授權(quán)、系統(tǒng)變更的測(cè)試校驗(yàn)和批準(zhǔn)、系統(tǒng)變更的移植、系統(tǒng)配置參數(shù)變更、緊急程序變更流程等。
程序開發(fā)控制。涉及系統(tǒng)開發(fā)審批授權(quán)、系統(tǒng)開發(fā)項(xiàng)目管理及開發(fā)方法、系統(tǒng)開發(fā)測(cè)試、數(shù)據(jù)移植等。
系統(tǒng)運(yùn)行控制。涉及系統(tǒng)運(yùn)行及作業(yè)計(jì)劃、系統(tǒng)備份、系統(tǒng)備份恢復(fù)性測(cè)試、問題管理流程等。
最終用戶計(jì)算控制。涉及對(duì)影響財(cái)務(wù)報(bào)表的重要電子表格和其它用戶自編程序。
根據(jù)信息技術(shù)一般性控制要求,從電信業(yè)務(wù)運(yùn)營(yíng)流程中梳理出對(duì)應(yīng)的與財(cái)務(wù)報(bào)表相關(guān)的信息系統(tǒng),由此梳理出納入信息技術(shù)一般性控制涉及的信息系統(tǒng)如表1所示。
程序和數(shù)據(jù)的訪問的控制要求如表2所示。
程序變更管理的控制要求如表3所示:
程序開發(fā)的控制要求如表4所示。
系統(tǒng)運(yùn)行的控制要求如表5所示。
最終用戶計(jì)算的控制要求如表6所示。
信息技術(shù)一般性控制問題及改進(jìn)措施
電信實(shí)施信息技術(shù)一般性控制以來,發(fā)現(xiàn)的主要問題主要有政策和流程缺失、缺乏職責(zé)分工、缺少工作留痕、異地備份和恢復(fù)性測(cè)試這四個(gè)方面,本文將對(duì)這四方面存在的問題以及對(duì)于問題的改進(jìn)方法進(jìn)行詳細(xì)闡述。
政策與流程缺失。問題主要在于信息系統(tǒng)維護(hù)管理的組織架構(gòu)中缺少信息安全管理的崗位及職能,沒有制定統(tǒng)一的信息安全政策、變更管理流程、信息系統(tǒng)開發(fā)方法與項(xiàng)目管理方法的政策與流程。對(duì)此,信息系統(tǒng)維護(hù)部門至少設(shè)立一個(gè)信息安全管理崗位,該崗位可專職或兼職,崗位工作職責(zé)應(yīng)包括維護(hù)組織信息安全管理辦法、負(fù)責(zé)對(duì)員工安全教育和宣貫、審閱超級(jí)用戶的操作日志和系統(tǒng)安全日志等;建立或完善信息系統(tǒng)管理政策及流程,如制定統(tǒng)一的信息安全政策,包括網(wǎng)絡(luò)安全、物理安全、操作系統(tǒng)安全、應(yīng)用程序安全等方面;通過培訓(xùn)宣貫、監(jiān)督檢查等方式督促員工掌握并執(zhí)行相關(guān)的信息系統(tǒng)管理政策和流程。
缺乏職責(zé)分工。主要出現(xiàn)在信息系統(tǒng)的維護(hù)管理缺乏有效的職責(zé)分離,個(gè)別信息系統(tǒng)的權(quán)限過于集中。具體存在兩種情況:一是信息系統(tǒng)的系統(tǒng)管理人員同時(shí)身兼操作系統(tǒng)/數(shù)據(jù)庫和應(yīng)用系統(tǒng)管理員;二是各類信息系統(tǒng)均缺乏獨(dú)立于系統(tǒng)管理員的日志審核人員。對(duì)此,操作系統(tǒng)管理員(或數(shù)據(jù)庫管理員)和應(yīng)用系統(tǒng)管理員、系統(tǒng)開發(fā)人員與系統(tǒng)維護(hù)人員、系統(tǒng)安全日志審核人員與系統(tǒng)管理員之間不能交叉兼任;在實(shí)際工作中,受到維護(hù)人員較少等客觀因素的制約,可以通過交叉管理的方式解決實(shí)際的人員短缺等困難。例如有A、B兩個(gè)系統(tǒng) ,可以由A系統(tǒng)的管理員擔(dān)任B系統(tǒng)的日志管理員,而A系統(tǒng)的日志管理員則由B系統(tǒng)的管理員擔(dān)任,通過交叉審核達(dá)到要求。
缺少工作留痕。問題普遍存在日常工作中,對(duì)于所執(zhí)行的操作、系統(tǒng)/日志的檢查、定期審閱、授權(quán)、審核簽字等過程中未能保留完整的書面記錄。對(duì)此,應(yīng)充分重視培養(yǎng)工作留痕、記錄書面化的習(xí)慣,將此項(xiàng)工作納入日常工作檢查范圍;公司統(tǒng)一使用信息技術(shù)一般性控制的文檔模版,按控制要求所規(guī)定的執(zhí)行頻率進(jìn)行填寫,并保證主管/領(lǐng)導(dǎo)簽字確認(rèn)和統(tǒng)一歸檔備查。
異地備份和恢復(fù)性測(cè)試。由于存放環(huán)境等條件制約因素限制,大部分信息系統(tǒng)均未達(dá)到異地備份的要求;各類信息系統(tǒng)均未定期執(zhí)行恢復(fù)性測(cè)試的工作。對(duì)此,介質(zhì)存放的手段可以是通過DCN網(wǎng)、光纖傳輸?shù)讲煌瑯怯畹拇鎯?chǔ)服務(wù)器上,也可以利用DVD、磁帶、移動(dòng)硬盤等介質(zhì)備份后送到異地;定期執(zhí)行后保留書面記錄;對(duì)于不存在測(cè)試環(huán)境的系統(tǒng),可利用廠商的資源搭建測(cè)試環(huán)境,根據(jù)已確定的測(cè)試方法進(jìn)行測(cè)試,并保留測(cè)試記錄。
總之,本文詳細(xì)介紹了電信行業(yè)的信息技術(shù)一般性控制的內(nèi)容,結(jié)合實(shí)踐對(duì)電信行業(yè)信息技術(shù)一般性控制的系統(tǒng)范圍、實(shí)施框架進(jìn)行了介紹,以期為電信行業(yè)不斷完善信息技術(shù)一般性控制體系提供參考。
參考文獻(xiàn):
1.COBIT 4th Edition,the COBIT Steering Committee and the IT Governance Institute July[M],2005
it審計(jì)和普通審計(jì)篇7
一、it環(huán)境下傳統(tǒng)企業(yè)內(nèi)部會(huì)計(jì)控制的缺陷
隨著it技術(shù),特別是以internet為代表的網(wǎng)絡(luò)技術(shù)的發(fā)展和應(yīng)用,以提供財(cái)務(wù)信息為主的會(huì)計(jì),正由傳統(tǒng)的手工會(huì)計(jì)系統(tǒng)向電算化會(huì)計(jì)系統(tǒng)、網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)方向發(fā)展,這無疑是企業(yè)管理手段的巨大進(jìn)步,極大地促進(jìn)了會(huì)計(jì)工作效率的提高,但同時(shí)也給企業(yè)內(nèi)部會(huì)計(jì)控制帶來了新的問題和挑戰(zhàn),具體表現(xiàn)在:
(一)授權(quán)方式的改變,潛伏著巨大的控制風(fēng)險(xiǎn)授權(quán)、批準(zhǔn),乃是一種常見的內(nèi)部控制手段。在手工會(huì)計(jì)系統(tǒng)中,一項(xiàng)經(jīng)濟(jì)業(yè)務(wù)由發(fā)生到形成相應(yīng)的會(huì)計(jì)信息,其經(jīng)歷的每一個(gè)環(huán)節(jié)都應(yīng)由具有相應(yīng)管理權(quán)限的有關(guān)人員簽章;方可辦理。這種傳統(tǒng)管理方式的效率雖不高,但可有效地防止作弊。然而,在電算化會(huì)計(jì)信息系統(tǒng)中,權(quán)限分工的主要形式是口令授權(quán)。口令存放于計(jì)算機(jī)系統(tǒng)內(nèi)而不像印章那樣由專人保管,一旦口令被人偷看或竊取,便會(huì)帶來巨大隱患,此種案例已發(fā)生多起。如c會(huì)計(jì)人員被客戶收買,竊取口令,非法核銷客戶的應(yīng)收款及相關(guān)資料;銷貨人員竊得顧客訂單密碼,開出假訂單,騙走公司產(chǎn)品等等。
(二)內(nèi)部控制的程序化,有可能使同一種差錯(cuò)反復(fù)發(fā)生電算化會(huì)計(jì)、網(wǎng)絡(luò)會(huì)計(jì)的內(nèi)部控制,在很大程度上取決于這些會(huì)計(jì)信息系統(tǒng)中運(yùn)行的應(yīng)用程序的質(zhì)量。一旦這些應(yīng)用程序中存在嚴(yán)重的bug或惡意的“后門”,便會(huì)嚴(yán)重危害系統(tǒng)安全。畢竟,會(huì)計(jì)人員對(duì)計(jì)算機(jī)專業(yè)知識(shí)所知有限,很難及時(shí)發(fā)現(xiàn)這些漏洞。這樣在專業(yè)人員找到或墻上這些程序漏洞之前,系統(tǒng)便會(huì)多次重復(fù)同一錯(cuò)誤。擴(kuò)大損失,這也是手工會(huì)計(jì)系統(tǒng)不會(huì)遇到的問題。
(三)原始憑證數(shù)字化,使得會(huì)計(jì)信息易于被篡改或偽造
在手工會(huì)計(jì)系統(tǒng)中,原始憑證是以紙張為載體,很難不露痕跡地加以修改或偽造。但隨著電子商務(wù)的發(fā)展,一些單位的原始憑證也如同記賬憑證、會(huì)計(jì)賬簿或報(bào)表一樣,已實(shí)現(xiàn)數(shù)字化、電子化,即以數(shù)字形式存儲(chǔ)在磁(光)性介質(zhì)上,這種無紙憑證極易被篡改或偽造而不留任何痕跡,它弱化了紙質(zhì)原始憑證所具有的較強(qiáng)的控制功能,給內(nèi)部會(huì)計(jì)控制帶來了新的難題。另外,磁(光)性介質(zhì)容易損壞,一旦受損,又很難修復(fù),這更使數(shù)字化的會(huì)計(jì)信息丟失或毀壞的風(fēng)險(xiǎn)加大。
(四)網(wǎng)絡(luò)環(huán)境的開放性加劇了會(huì)計(jì)信息失真的風(fēng)險(xiǎn)
網(wǎng)絡(luò)技術(shù)無疑是目前it發(fā)展的方向,特別是internet在財(cái)務(wù)軟件中的應(yīng)用對(duì)電算化會(huì)計(jì)信息系統(tǒng)的影響將是革命性的。但網(wǎng)絡(luò)環(huán)境具有開放性的特點(diǎn),這就給會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制帶來了許多新問題。如在網(wǎng)絡(luò)環(huán)境下,信息來源的多樣性,有可能導(dǎo)致審計(jì)線索紊亂;大量會(huì)計(jì)信息通過網(wǎng)絡(luò)通訊線路傳輸,有可能被非法攔截、竊取甚至篡改;網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)遭受“病毒”入侵或“黑客”攻擊的可能性更大,等等。總之,網(wǎng)絡(luò)環(huán)境的開放性和動(dòng)態(tài)性,加劇了網(wǎng)絡(luò)會(huì)計(jì)信息失真的風(fēng)險(xiǎn),加大了網(wǎng)絡(luò)會(huì)計(jì)內(nèi)部控制的難度。
二、it環(huán)境下企業(yè)會(huì)計(jì)信息系統(tǒng)內(nèi)部控制的完善
it技術(shù)在會(huì)計(jì)信息系統(tǒng)中的運(yùn)用加大了企業(yè)內(nèi)部會(huì)計(jì)控制潛在的風(fēng)險(xiǎn),但同時(shí),it技術(shù)與業(yè)務(wù)流程的結(jié)合,也給企業(yè)帶來了控制風(fēng)險(xiǎn)的機(jī)會(huì)與工具。
(-)網(wǎng)上公證的形成可有效地預(yù)防數(shù)字化的原始憑證被修改或偽造
所謂網(wǎng)上公證,就是利用網(wǎng)絡(luò)的實(shí)時(shí)傳輸功能和日益豐富的互聯(lián)網(wǎng)服務(wù)項(xiàng)目,實(shí)現(xiàn)原始交易憑證的第三方監(jiān)控。比如,每一家企業(yè)都在互聯(lián)網(wǎng)認(rèn)證機(jī)構(gòu)申領(lǐng)數(shù)字簽名和私有密鑰,當(dāng)交易發(fā)生時(shí),交易雙方將單據(jù)或有關(guān)證明均傳到認(rèn)證機(jī)構(gòu),由認(rèn)證機(jī)構(gòu)核對(duì)確認(rèn),進(jìn)行數(shù)字簽名并予以加密,然后將已加密憑證和未加密憑證同時(shí)轉(zhuǎn)發(fā)給雙方,這樣就完成了一筆交易雙方認(rèn)可并經(jīng)互聯(lián)網(wǎng)認(rèn)證機(jī)構(gòu)公證的交易。在這種交易中,交易一方因無法獲得另一方的數(shù)字簽名和私有密鑰,很難偽造或篡改交易憑證。主管人員或?qū)徲?jì)人員一旦對(duì)某筆業(yè)務(wù)產(chǎn)生懷疑,只需將加密憑證提交客戶和認(rèn)證機(jī)構(gòu)解密,將其結(jié)果與未加密憑證相對(duì)照,問題便迎刃而解。
(二)在線測(cè)試的實(shí)現(xiàn)可及時(shí)地解決應(yīng)用軟件自身存在的問題
it環(huán)境下,會(huì)計(jì)信息系統(tǒng)使用的應(yīng)用軟件存在這樣或那樣的問題有時(shí)是難免的,解決問題的辦法無非這樣兩個(gè):一是在軟件開發(fā)過程中加強(qiáng)交流,充分測(cè)試;二是在軟件運(yùn)用過程中注意監(jiān)控,及時(shí)發(fā)現(xiàn)問題并予以解決。但在單機(jī)系統(tǒng)下,用戶與軟件供應(yīng)商之間因空間的阻隔往往很難充分交流,發(fā)現(xiàn)并解決問題費(fèi)時(shí)費(fèi)力。到了網(wǎng)絡(luò)時(shí)代,情況就大不一樣了,互聯(lián)網(wǎng)提供的實(shí)時(shí)高質(zhì)的通訊傳輸手段,可使用戶和軟件商之間在幾秒鐘內(nèi)建立連接,這就給解決上述問題帶來了方便。比如,在軟件開發(fā)過程中,用戶可通過網(wǎng)絡(luò)隨時(shí)向開發(fā)商提出要求或建議,開發(fā)商也可以把已開發(fā)完成的軟件及時(shí)傳送給用戶進(jìn)行測(cè)試;在軟件使用過程中,開發(fā)商可通過網(wǎng)絡(luò)對(duì)用戶的系統(tǒng)進(jìn)行定期的在線測(cè)試,一旦發(fā)現(xiàn)問題可及時(shí)通知用戶并進(jìn)行在線升級(jí),把bug的存在時(shí)間控制在最短,提高系統(tǒng)的安全性。
(三)監(jiān)控與操作的職責(zé)分離可進(jìn)一步強(qiáng)化系統(tǒng)內(nèi)部的相互牽制
職責(zé)分離是內(nèi)部控制的一個(gè)重要組成部分。在手工會(huì)計(jì)系統(tǒng)中,企業(yè)通過把不相容的工作分派給不同的人員擔(dān)當(dāng)以達(dá)到相互牽制。但在電算化會(huì)計(jì)系統(tǒng)中,由于計(jì)算機(jī)的自動(dòng)高效的特點(diǎn),許多不相容的工作(如制單與審核)都已合并到一起由計(jì)算機(jī)統(tǒng)一執(zhí)行,這就形成內(nèi)控隱患。為了強(qiáng)化系統(tǒng)的內(nèi)部控制,一個(gè)比較有效的辦法是在電算化系統(tǒng)內(nèi)分設(shè)操作與監(jiān)控兩個(gè)崗位,對(duì)每一筆業(yè)務(wù)同時(shí)進(jìn)行多方備份。當(dāng)會(huì)計(jì)人員利用電算化系統(tǒng)進(jìn)行賬務(wù)處理時(shí),其操作和數(shù)據(jù)也被同步記錄在監(jiān)控人員的機(jī)器上,并由監(jiān)控人員進(jìn)行及時(shí)備份、定期審查。一旦主管部門或?qū)徲?jì)人員對(duì)某些數(shù)據(jù)產(chǎn)生懷疑時(shí),可利用監(jiān)控人員備份的原始記錄進(jìn)行分析調(diào)查、辨明真?zhèn)危@樣就強(qiáng)化了電算化系統(tǒng)內(nèi)部的相互牽制,有效地預(yù)防作弊。
(四)采用加密碼的電子簽名,可增強(qiáng)電子化原始數(shù)據(jù)的防偽功能
在無紙化的會(huì)計(jì)信息系統(tǒng)環(huán)境中,如果應(yīng)用軟件正確無誤,系統(tǒng)傳輸安全可靠,則會(huì)計(jì)信息系統(tǒng)中派生數(shù)據(jù)(包括電子化的記賬憑證、賬簿數(shù)據(jù)和會(huì)計(jì)報(bào)表)的正確性、真實(shí)性和完整性完全取決于電子原始數(shù)據(jù)。反之,如果不精確、不完整、不合法的原始數(shù)據(jù)被記錄和維護(hù),將會(huì)影響以后所有的會(huì)計(jì)處理,導(dǎo)致一系列派生數(shù)據(jù)的失真。因此,電子化的原始數(shù)據(jù)的審核和確認(rèn)顯得尤為重要、在手工會(huì)計(jì)系統(tǒng)中,原始憑證的審核是通過對(duì)紙質(zhì)原始憑證上有關(guān)責(zé)任人簽名的辨別和相關(guān)憑證內(nèi)容的相互核對(duì)來完成的。電子化原始數(shù)據(jù)的審核可采取類似的方法:一要注意相關(guān)業(yè)務(wù)不同數(shù)據(jù)記錄之間的相互核對(duì);二要關(guān)注經(jīng)辦人、批準(zhǔn)人等相關(guān)人員的電子簽名。電子簽名不同于手工簽章,會(huì)計(jì)如何確認(rèn)這種電子簽名的有效性是一個(gè)不容忽視的問題。目前的多數(shù)會(huì)計(jì)核算軟件中,電子簽名廣泛采用普通漢字或字母代碼填寫,很容易被摹仿或偽造,為了克服這一缺點(diǎn),增強(qiáng)電子原始數(shù)據(jù)的防偽功能,宜采用加密碼進(jìn)行電子簽名,使其不容易被篡改或偽造。
(五)充分利用現(xiàn)代it技術(shù),增強(qiáng)網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)的安全控制
網(wǎng)絡(luò)技術(shù)在會(huì)計(jì)信息系統(tǒng)中的應(yīng)用,極大地豐富了會(huì)計(jì)信息系統(tǒng)的功能,促進(jìn)了會(huì)計(jì)工作效率的提高。但網(wǎng)絡(luò)安全問題若不能有效地得到解決,必將限制網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)的發(fā)展與應(yīng)用。網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)安全控制的途徑主要包括:
1.系統(tǒng)軟件安全控制
要按操作權(quán)限嚴(yán)格控制系統(tǒng)軟件的安裝與修改,接操作規(guī)程定期對(duì)系統(tǒng)軟件進(jìn)行安全性檢查。當(dāng)系統(tǒng)被破壞時(shí),要求系統(tǒng)軟件具備緊急響應(yīng)、強(qiáng)制備份、快速重構(gòu)和快速恢復(fù)等功能。
2.數(shù)據(jù)資源安全控制
數(shù)據(jù)庫系統(tǒng)是整個(gè)網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)安全控制的核心,數(shù)據(jù)庫的安全威脅主要來自兩個(gè)方面:一是系統(tǒng)內(nèi)外人員對(duì)數(shù)據(jù)庫的非法訪問;二是系統(tǒng)故障。誤操作或人為破壞造成數(shù)據(jù)庫的物理損毀。為此,可采取以下措施:(1)合理定義、應(yīng)用數(shù)據(jù)子模式。即根據(jù)不同類別的用戶或應(yīng)用項(xiàng)目分別定義不同的數(shù)據(jù)于集,針對(duì)特定類型的用戶開放,以限制合法用戶或非法訪問者輕易獲取全部會(huì)計(jì)數(shù)據(jù)資源;(2)建立數(shù)據(jù)備份和恢復(fù)制度。數(shù)據(jù)備份是數(shù)據(jù)恢復(fù)與重建的基礎(chǔ),是一種常見的數(shù)據(jù)控制手段,網(wǎng)絡(luò)中利用兩個(gè)服務(wù)器進(jìn)行雙機(jī)鏡像映射備份是數(shù)據(jù)備份的先進(jìn)形式。
3.系統(tǒng)入侵防范控制
為了防止非法用戶對(duì)網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)的入侵,可采取以下措施:(1)設(shè)置外部訪問區(qū)域。訪問區(qū)域是系統(tǒng)接待外界(關(guān)聯(lián)方、社會(huì)公眾)網(wǎng)上訪問。與外界進(jìn)行會(huì)計(jì)數(shù)據(jù)交換的邏輯區(qū)域。企業(yè)在建立內(nèi)聯(lián)網(wǎng)時(shí),要對(duì)網(wǎng)絡(luò)的服務(wù)功能和結(jié)構(gòu)布局進(jìn)行詳細(xì)分析,通過專用軟件、硬件和管理措施,實(shí)現(xiàn)會(huì)計(jì)應(yīng)用系統(tǒng)與外部訪問區(qū)域之間的嚴(yán)密的數(shù)據(jù)隔離。(2)建立防火墻。防火墻是建立在被保護(hù)網(wǎng)絡(luò)周邊的、分隔被保護(hù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的一種技術(shù)系統(tǒng)。為了有效地防范非法用戶對(duì)網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)的入侵,可設(shè)置內(nèi)外兩層防火墻,外層防火墻主要用來限制外界對(duì)主機(jī)操作系統(tǒng)的訪問,內(nèi)層防火墻主要用來邏輯隔離會(huì)計(jì)應(yīng)用系統(tǒng)與外部訪問區(qū)域之間的聯(lián)系,限制外界穿過訪問區(qū)域?qū)?nèi)聯(lián)網(wǎng),尤其是對(duì)會(huì)計(jì)數(shù)據(jù)庫系統(tǒng)的非法訪問。
三、it環(huán)境下會(huì)計(jì)信息系統(tǒng)內(nèi)部控制面臨的新問題
高速發(fā)展的it技術(shù),在給企業(yè)會(huì)計(jì)信息系統(tǒng)增強(qiáng)內(nèi)部控制提供手段的同時(shí),也給其安全帶來了許多新問題,應(yīng)當(dāng)引起重視。
(-)網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)的開放性,使之很難避免非法侵?jǐn)_
網(wǎng)絡(luò)是一個(gè)開放的環(huán)境,置于該環(huán)境中的各種服務(wù)器上的信息在理論上都是可以被訪問到的,除非它們?cè)谖锢砩蠑嚅_連接、脫離網(wǎng)絡(luò)環(huán)境。因此,網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)很難完全避免非法訪問者的侵?jǐn)_。尤其是當(dāng)系統(tǒng)程序存在嚴(yán)重的bug、系統(tǒng)安全控制能力較差而系統(tǒng)管理人員尚不自知時(shí),很難保證系統(tǒng)的信息資源不會(huì)被竊取或篡改。這種情況一旦發(fā)生,將會(huì)給單位造成巨大的損失。為此,企業(yè)需根據(jù)it技術(shù)的最新發(fā)展,定期評(píng)估系統(tǒng)的安全性和內(nèi)部控制能力,努力把新技術(shù)給老系統(tǒng)帶來的風(fēng)險(xiǎn)降到最低。
(二)網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)的復(fù)雜性,使得稽核與審計(jì)的難度加大
網(wǎng)絡(luò)是一個(gè)由計(jì)算機(jī)硬件、軟件、操作人員和各種規(guī)程構(gòu)成的復(fù)雜的系統(tǒng),該系統(tǒng)將許多不相容職責(zé)相對(duì)集中,加大了舞弊的風(fēng)險(xiǎn);系統(tǒng)信息以電子數(shù)據(jù)的形式存儲(chǔ),易被修改、刪除、隱匿或偽造且不留痕跡;系統(tǒng)對(duì)錯(cuò)誤的處理具有重復(fù)性和連續(xù)性;系統(tǒng)設(shè)計(jì)主要強(qiáng)調(diào)會(huì)計(jì)核算的要求,很少考慮審計(jì)工作的需要,這些往往導(dǎo)致系統(tǒng)留下的審計(jì)線索很少,稽核與審計(jì)必須運(yùn)用更復(fù)雜的查核技術(shù),且要花費(fèi)更多的時(shí)間和更高的代價(jià)。會(huì)計(jì)師必須經(jīng)過專業(yè)培訓(xùn)、具備復(fù)雜電腦資料的處理能力,方能勝任此項(xiàng)工作,這無疑將加大稽核與審計(jì)的難度和成本。
(三)電子商務(wù)的普及,將給內(nèi)部會(huì)計(jì)控制帶來前所未有的挑戰(zhàn)
隨著it技術(shù)的迅猛發(fā)展,網(wǎng)上交易愈加普遍,電子商務(wù)將逐步普及。電子商務(wù)一方面極大地提高了商務(wù)活動(dòng)的效率,給企業(yè)帶來了無限的生機(jī),另一方面給網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)的內(nèi)部控制也帶來了新的挑戰(zhàn)。基于電子商務(wù)的單據(jù)電子化、貨幣電子化、網(wǎng)上銀行和網(wǎng)上結(jié)算等,雖然可加快資金周轉(zhuǎn)速度,但給會(huì)計(jì)信息系統(tǒng)帶來的風(fēng)險(xiǎn)將是空前的。可以想象,在不久的將來,一旦企業(yè)全部原始憑證都采用數(shù)字格式,實(shí)現(xiàn)了電子化,勢(shì)必要加強(qiáng)企業(yè)對(duì)網(wǎng)上公證機(jī)構(gòu)的依賴,電子單據(jù)的信息保真將顯得特別重要。但直到目前為止,相關(guān)的技術(shù)并不成熟、相應(yīng)的法規(guī)也不完善,這將給網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)的內(nèi)部控制帶來極大的困難和前所未有的挑戰(zhàn)。
it審計(jì)和普通審計(jì)篇8
【關(guān)鍵詞】 信息系統(tǒng)審計(jì) 審計(jì)內(nèi)容 審計(jì)方法
一、引言
相比于傳統(tǒng)審計(jì),信息系統(tǒng)審計(jì)(Information System Auditing)是審計(jì)領(lǐng)域中的一個(gè)新概念。目前,關(guān)于信息系統(tǒng)審計(jì),學(xué)術(shù)界和業(yè)界均無通用的定義。美國(guó)信息系統(tǒng)審計(jì)權(quán)威專家Ron.A.Weber提出:信息系統(tǒng)審計(jì)可定義為通過一定的技術(shù)手段收集、分析證據(jù),以對(duì)計(jì)算機(jī)系統(tǒng)是否能夠保證資產(chǎn)安全、維護(hù)數(shù)據(jù)完整、實(shí)現(xiàn)組織目標(biāo)以及高效利用資源進(jìn)行評(píng)價(jià)的過程。日本通產(chǎn)情報(bào)協(xié)會(huì)作了如下定義:信息系統(tǒng)審計(jì)是指,為了信息系統(tǒng)的安全、可靠與有效,由獨(dú)立于審計(jì)對(duì)象的信息系統(tǒng)審計(jì)師以第三方的立場(chǎng)對(duì)以計(jì)算機(jī)為核心的信息系統(tǒng)進(jìn)行綜合檢查和評(píng)價(jià),并向信息系統(tǒng)審計(jì)對(duì)象的最高領(lǐng)導(dǎo)者提出問題與建議的一連串活動(dòng)。國(guó)際信息系統(tǒng)審計(jì)和控制協(xié)會(huì)(ISACA)將其定義為:信息系統(tǒng)審計(jì)是一個(gè)獲取并評(píng)價(jià)證據(jù),以判斷計(jì)算機(jī)系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效果地實(shí)現(xiàn)組織目標(biāo)的過程。
針對(duì)以上觀點(diǎn),我們將其要點(diǎn)歸納如下:信息系統(tǒng)審計(jì)是審計(jì)師對(duì)以計(jì)算機(jī)為核心的信息系統(tǒng),通過專業(yè)判斷和評(píng)價(jià),合理保證信息系統(tǒng)安全、穩(wěn)定、有效,并向信息系統(tǒng)的高層管理者及使用者提供問題解決方案,以達(dá)到改善經(jīng)營(yíng)和為組織增加價(jià)值目的的一個(gè)過程。
二、信息系統(tǒng)審計(jì)的發(fā)展與現(xiàn)狀
20世紀(jì)60年代,隨著計(jì)算機(jī)技術(shù)開始運(yùn)用于企業(yè)的信息收集和整理中,會(huì)計(jì)信息處理逐漸無紙化,促使審計(jì)人員在執(zhí)行傳統(tǒng)審計(jì)業(yè)務(wù)時(shí),必須關(guān)注以電子數(shù)據(jù)為載體的電子數(shù)據(jù)處理審計(jì)(EDP Electronic Data Processing)。20世紀(jì)70年代中期至80年代,電子數(shù)據(jù)處理和管理系統(tǒng)等在企業(yè)中逐漸普及,同時(shí),計(jì)算機(jī)犯罪和計(jì)算機(jī)系統(tǒng)失效的事件頻頻發(fā)生,使得信息系統(tǒng)審計(jì)日益得到重視并迅速發(fā)展。美國(guó)、日本先后成立了IT審計(jì)方面的協(xié)會(huì)組織,從事對(duì)IT審計(jì)規(guī)則的制定和實(shí)施指導(dǎo)。20世紀(jì)90年代,信息和信息系統(tǒng)已成為企業(yè)的重要資產(chǎn),企業(yè)和社會(huì)對(duì)信息系統(tǒng)控制和審計(jì)的需求愈發(fā)強(qiáng)烈。發(fā)達(dá)國(guó)家的信息系統(tǒng)審計(jì)進(jìn)入普及期,許多國(guó)家的審計(jì)機(jī)關(guān)、學(xué)者和組織對(duì)計(jì)算機(jī)環(huán)境下的信息系統(tǒng)審計(jì)進(jìn)行了有益的探索。同時(shí),東南亞各國(guó)也逐漸認(rèn)識(shí)到信息系統(tǒng)審計(jì)的重要性,開始著手研究信息系統(tǒng)審計(jì)理論和實(shí)務(wù)。
目前,我國(guó)信息系統(tǒng)審計(jì)僅有十幾年的歷史,尚處于探索階段,既缺乏開展信息系統(tǒng)審計(jì)業(yè)務(wù)的人才隊(duì)伍,也沒有形成專業(yè)規(guī)范體系,所進(jìn)行的一些計(jì)算機(jī)審計(jì)方面的探索和嘗試以及計(jì)算機(jī)審計(jì)軟件的開發(fā)和應(yīng)用還大都停留在對(duì)被審計(jì)單位電子數(shù)據(jù)進(jìn)行處理的階段。存在的主要問題有:信息系統(tǒng)審計(jì)觀念落后;信息系統(tǒng)審計(jì)相關(guān)的準(zhǔn)則、標(biāo)準(zhǔn)和規(guī)范尚不完善;信息系統(tǒng)審計(jì)專業(yè)人才匱乏;信息系統(tǒng)審計(jì)軟件開發(fā)工作滯后。
1997年,廣州地鐵開始公司“信息化”建設(shè)。最初,廣州地鐵經(jīng)營(yíng)審計(jì)采用“繞過計(jì)算機(jī)審計(jì)”的方法,即對(duì)導(dǎo)出數(shù)據(jù)進(jìn)行審計(jì)。審計(jì)過程中,其逐漸意識(shí)到了運(yùn)用這種“黑箱原理”審計(jì)方法的風(fēng)險(xiǎn)。因此,2006年公司組建了專門的IT審計(jì)模塊,探索“如何利用計(jì)算機(jī)審計(jì)”和“通過計(jì)算機(jī)審計(jì)”。其后,廣州地鐵信息系統(tǒng)審計(jì)發(fā)展經(jīng)歷了借力、助力和自立三個(gè)階段。
一是借力期:IT審計(jì)模塊成立初期,公司與外部顧問共同開展IT審計(jì)項(xiàng)目,通過外部專業(yè)人員向?qū)徲?jì)人員傳輸IT審計(jì)技能,同時(shí)制定《IT審計(jì)實(shí)施細(xì)則》,在人員技能儲(chǔ)備和制度上為IT審計(jì)模塊的發(fā)展奠定了基礎(chǔ)。二是助力期:審計(jì)人員參照審計(jì)手冊(cè),利用從外部顧問處學(xué)習(xí)到的審計(jì)技能,逐步開展信息系統(tǒng)審計(jì)工作,將IT審計(jì)工作模式調(diào)整為以自身力量為主,外部咨詢服務(wù)為輔的模式。三是自立期:2009年,廣州地鐵IT審計(jì)已基本實(shí)現(xiàn)自主化,且IT審計(jì)模塊逐步走向成熟,同時(shí)其還建立了具有自身特色的信息系統(tǒng)審計(jì)框架。
目前,IT審計(jì)已經(jīng)發(fā)展成為廣州地鐵內(nèi)部審計(jì)的一根“支柱”,連同“內(nèi)控審計(jì)”,作為基本的審計(jì)手段貫穿于各類專業(yè)審計(jì)工作中,支持審計(jì)體系的鞏固與發(fā)展。
三、信息系統(tǒng)審計(jì)內(nèi)容
1、國(guó)內(nèi)外關(guān)于信息系統(tǒng)審計(jì)內(nèi)容的研究
開展信息系統(tǒng)審計(jì)首先要明確審計(jì)內(nèi)容。國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)規(guī)定,信息系統(tǒng)審計(jì)的主要內(nèi)容包括信息系統(tǒng)程序?qū)徲?jì)、信息技術(shù)(IT)治理、系統(tǒng)生命周期管理、IT服務(wù)的交付與支持、信息資產(chǎn)的保護(hù)、災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃。
近十幾年來,國(guó)內(nèi)的學(xué)者和組織也對(duì)信息系統(tǒng)審計(jì)的內(nèi)容進(jìn)行了探索和研究。審計(jì)署在2012年頒布的《信息系統(tǒng)審計(jì)指南――計(jì)算機(jī)審計(jì)實(shí)務(wù)公告第34號(hào)》中明確提出了:信息系統(tǒng)審計(jì)包括對(duì)應(yīng)用控制、一般控制和項(xiàng)目管理的審計(jì)。其中,應(yīng)用控制包括信息系統(tǒng)業(yè)務(wù)流程,數(shù)據(jù)輸入、處理和輸出的控制,信息共享和業(yè)務(wù)協(xié)同;一般控制包括信息系統(tǒng)總體控制、信息安全技術(shù)控制、信息安全管理控制;項(xiàng)目管理包括信息系統(tǒng)建設(shè)的經(jīng)濟(jì)性、信息系統(tǒng)建設(shè)管理、信息系統(tǒng)績(jī)效。
上述具有代表性的規(guī)定和研究成果對(duì)信息系統(tǒng)審計(jì)內(nèi)容的劃分,均是以對(duì)信息系統(tǒng)邏輯結(jié)構(gòu)的分析為基礎(chǔ)。全面分析信息系統(tǒng)的邏輯結(jié)構(gòu),可從信息系統(tǒng)的構(gòu)成要素、信息系統(tǒng)生命周期和信息系統(tǒng)管理三個(gè)維度進(jìn)行描述:從構(gòu)成要素來看,信息系統(tǒng)由人員、應(yīng)用(包括軟件平臺(tái)和應(yīng)用系統(tǒng))、所采用的技術(shù)、硬件設(shè)備、數(shù)據(jù)文件運(yùn)行規(guī)則組成;信息系統(tǒng)生命周期可劃分為信息系統(tǒng)的規(guī)劃階段、開發(fā)階段、運(yùn)行維護(hù)階段和更新階段;從信息系統(tǒng)管理的維度來看,對(duì)系統(tǒng)的管理與控制活動(dòng)貫穿于信息系統(tǒng)生命周期的始終,主要是通過有效執(zhí)行一系列健全有效的規(guī)章制度和管理規(guī)程來實(shí)現(xiàn)。
2、廣州地鐵信息系統(tǒng)審計(jì)實(shí)施框架
結(jié)合廣州地鐵信息化項(xiàng)目多、系統(tǒng)更新快、數(shù)據(jù)集成度高、系統(tǒng)控制與手工控制并重等特點(diǎn),圍繞信息系統(tǒng)構(gòu)成要素、信息系統(tǒng)生命周期和信息系統(tǒng)管理三個(gè)維度,廣州地鐵將信息系統(tǒng)審計(jì)的內(nèi)容劃分為整體計(jì)算機(jī)控制審計(jì)、應(yīng)用控制審計(jì)和系統(tǒng)建設(shè)效能評(píng)價(jià)三個(gè)方面。其中,整體計(jì)算機(jī)控制審計(jì)是對(duì)信息系統(tǒng)運(yùn)行中的控制活動(dòng)進(jìn)行審計(jì),目的是合理保證由信息系統(tǒng)支持的業(yè)務(wù)流程控制是可靠的、生成的數(shù)據(jù)和報(bào)告是可信的。應(yīng)用系統(tǒng)控制審計(jì)是對(duì)業(yè)務(wù)流程中的自動(dòng)化控制活動(dòng)進(jìn)行審計(jì),以合理保證交易的有效性、經(jīng)適當(dāng)授權(quán)和記錄、完成的完整性、準(zhǔn)確性和及時(shí)性。項(xiàng)目及系統(tǒng)績(jī)效審計(jì)是對(duì)信息化項(xiàng)目的過程及成果對(duì)企業(yè)和業(yè)務(wù)產(chǎn)生的效益進(jìn)行審計(jì),用來合理保證信息化項(xiàng)目的投資/產(chǎn)出比例符合建設(shè)的目標(biāo),以及信息系統(tǒng)對(duì)企業(yè)戰(zhàn)略起到的預(yù)期的支撐作用。圍繞上述三個(gè)方面,廣州地鐵內(nèi)部審計(jì)確立了以下的實(shí)施框架。
(1)確立整體計(jì)算機(jī)控制安全、操作、變更的三個(gè)評(píng)價(jià)維度,圍繞“信息系統(tǒng)全生命周期”,明確整體計(jì)算機(jī)控制十個(gè)流程。廣州地鐵通過學(xué)習(xí)和借鑒國(guó)際信息系統(tǒng)技術(shù)管理和控制標(biāo)準(zhǔn)COBIT,建立起了一套自己的整體計(jì)算機(jī)控制審計(jì)框架。框架可按流程和控制類型兩種方式進(jìn)行劃分,兩種劃分方式在本質(zhì)上是一致的。在按流程劃分出的每個(gè)子流程中,信息系統(tǒng)審計(jì)人員需要從變更、安全、操作的角度去確認(rèn)和評(píng)估具體的控制點(diǎn);在按控制職能所作的劃分中,審計(jì)人員需要圍繞信息系統(tǒng)的策略與計(jì)劃、信息系統(tǒng)操作、與外部供應(yīng)商關(guān)系、業(yè)務(wù)可持續(xù)計(jì)劃、應(yīng)用系統(tǒng)開發(fā)、數(shù)據(jù)庫、軟件支持、網(wǎng)絡(luò)、硬件等十個(gè)子流程進(jìn)行審計(jì)。
圍繞安全、變更、操作三個(gè)角度及十個(gè)子流程,廣州地鐵共梳理出有關(guān)整體計(jì)算機(jī)控制的41項(xiàng)審計(jì)內(nèi)容,并針對(duì)每一項(xiàng)內(nèi)容明確了控制目標(biāo)和風(fēng)險(xiǎn),建立起了一套完整的整體計(jì)算機(jī)控制矩陣。例如,信息系統(tǒng)策略和計(jì)劃子流程中,廣州地鐵明確了整體計(jì)算機(jī)控制的三大目標(biāo)――信息系統(tǒng)戰(zhàn)略、規(guī)劃和預(yù)算應(yīng)與實(shí)際業(yè)務(wù)和戰(zhàn)略目標(biāo)保持一致,計(jì)算機(jī)處理環(huán)境應(yīng)得到具有適當(dāng)技能和經(jīng)驗(yàn)的人員的充分支持和保證,以及計(jì)算機(jī)處理環(huán)境中的人員應(yīng)接受適當(dāng)?shù)呐嘤?xùn),審計(jì)人員在此基礎(chǔ)上針對(duì)各控制目標(biāo),識(shí)別并歸納出廣州地鐵現(xiàn)行的9個(gè)控制活動(dòng)。在具體開展信息系統(tǒng)整體計(jì)算機(jī)控制審計(jì)時(shí),信息系統(tǒng)審計(jì)人員根據(jù)審計(jì)項(xiàng)目的特點(diǎn)和要求,選擇需要評(píng)價(jià)的子流程,再對(duì)照子流程的控制活動(dòng)進(jìn)行評(píng)估及測(cè)試即可。
(2)從內(nèi)部控制目標(biāo)出發(fā),將信息系統(tǒng)應(yīng)用控制劃分為訪問控制、完整性控制及數(shù)據(jù)質(zhì)量控制三大方面。廣州地鐵將信息系統(tǒng)的應(yīng)用控制劃分為應(yīng)用系統(tǒng)訪問控制、流程和系統(tǒng)完整性控制以及數(shù)據(jù)質(zhì)量控制三大類,并針對(duì)各類控制分別設(shè)計(jì)了不同的審計(jì)內(nèi)容。
一是應(yīng)用系統(tǒng)授權(quán)訪問控制審計(jì)包括對(duì)系統(tǒng)的認(rèn)證方式、授權(quán)機(jī)制、權(quán)限的分配管理以及不相容職責(zé)分離在系統(tǒng)中的實(shí)現(xiàn)情況的審計(jì),目的在于保證經(jīng)過允許的人才能訪問和操作系統(tǒng)。二是流程和系統(tǒng)完整性控制審計(jì)是對(duì)系統(tǒng)輸入、處理、輸出以及接口等各種系統(tǒng)運(yùn)行規(guī)則的審計(jì),用以保證所有經(jīng)允許處理的數(shù)據(jù)均轉(zhuǎn)換到介質(zhì)上并被處理,且處理的結(jié)果可通過適當(dāng)?shù)姆绞郊右暂敵觯休斎搿⑥D(zhuǎn)換、處理和輸出均在正常的時(shí)間內(nèi)準(zhǔn)確地進(jìn)行。三是數(shù)據(jù)質(zhì)量控制審計(jì)則是指對(duì)信息系統(tǒng)中的數(shù)據(jù)的完整性、規(guī)范性和有效性所進(jìn)行的審計(jì),旨在保證所有系統(tǒng)的輸出均反映為經(jīng)批準(zhǔn)的有效的經(jīng)濟(jì)業(yè)務(wù),所有經(jīng)過系統(tǒng)的數(shù)據(jù)真實(shí)、有效,且能滿足企業(yè)各項(xiàng)業(yè)務(wù)的使用要求。
(3)圍繞“信息化項(xiàng)目”和“信息系統(tǒng)”,綜合評(píng)價(jià)信息化建設(shè)的效益。在開展整體計(jì)算機(jī)控制審計(jì)和應(yīng)用控制審計(jì)的基礎(chǔ)上,廣州地鐵從企業(yè)經(jīng)營(yíng)和投資效益的視角出發(fā),在信息系統(tǒng)審計(jì)中引入了3E審計(jì)的概念,嘗試對(duì)信息系統(tǒng)建設(shè)項(xiàng)目的成效、建成后系統(tǒng)的應(yīng)用效能以及信息化對(duì)戰(zhàn)略的支撐效果進(jìn)行審計(jì)。為了全面評(píng)價(jià)項(xiàng)目,廣州地鐵通常將對(duì)單個(gè)信息系統(tǒng)建設(shè)項(xiàng)目的合規(guī)性審計(jì)與項(xiàng)目效能審計(jì)結(jié)合在一起開展。
一是信息系統(tǒng)建設(shè)成效審計(jì)旨在通過對(duì)系統(tǒng)建設(shè)全過程的審計(jì),促進(jìn)信息系統(tǒng)的建設(shè)規(guī)范性,提高信息系統(tǒng)建設(shè)的質(zhì)量。二是信息系統(tǒng)應(yīng)用效能審計(jì)包括對(duì)業(yè)務(wù)需求的實(shí)現(xiàn)情況、建成功能的使用情況的審計(jì)分析,以及對(duì)系統(tǒng)應(yīng)用對(duì)業(yè)務(wù)管理規(guī)范化、標(biāo)準(zhǔn)化和精細(xì)化提升作用的綜合評(píng)價(jià),目的在于促進(jìn)系統(tǒng)使用價(jià)值的最大化,減少系統(tǒng)建設(shè)的投資浪費(fèi)。三是戰(zhàn)略支撐效果審計(jì)是從支持戰(zhàn)略實(shí)現(xiàn)的角度,評(píng)價(jià)信息系統(tǒng)的建設(shè)效益,保證信息化建設(shè)在符合業(yè)務(wù)管理要求的同時(shí),符合公司戰(zhàn)略的需要,支持公司戰(zhàn)略的實(shí)現(xiàn)。
四、信息系統(tǒng)審計(jì)實(shí)施步驟
信息系統(tǒng)審計(jì)步驟(或流程),是審計(jì)工作從開始到結(jié)束的整個(gè)過程。信息系統(tǒng)審計(jì)流程一般可劃分為四個(gè)階段:計(jì)劃階段、實(shí)施階段、報(bào)告階段和后續(xù)階段。計(jì)劃階段是信息系統(tǒng)審計(jì)流程的起點(diǎn),此階段的主要工作包括了解被審計(jì)系統(tǒng)的基本情況,初步評(píng)價(jià)被審計(jì)單位信息系統(tǒng)的內(nèi)部控制和外部控制,識(shí)別重要性和編制審計(jì)計(jì)劃。實(shí)施階段是根據(jù)計(jì)劃階段確定的審計(jì)范圍、重點(diǎn)、步驟和方法進(jìn)行有針對(duì)性的取證、評(píng)價(jià),并形成審計(jì)結(jié)論的過程。實(shí)施階段是信息系統(tǒng)審計(jì)工作的核心,主要由符合性測(cè)試和實(shí)質(zhì)性測(cè)試兩個(gè)部分構(gòu)成。在報(bào)告階段,信息系統(tǒng)審計(jì)人員需運(yùn)用專業(yè)判斷,整理、評(píng)價(jià)收集到的審計(jì)證據(jù),以經(jīng)過核實(shí)的審計(jì)證據(jù)為依據(jù),形成審計(jì)意見,出具審計(jì)報(bào)告。審計(jì)報(bào)告的出具并不意味著信息系統(tǒng)審計(jì)工作的終結(jié)。根據(jù)國(guó)際信息系統(tǒng)審計(jì)標(biāo)準(zhǔn),信息系統(tǒng)審計(jì)人員對(duì)于系統(tǒng)中發(fā)現(xiàn)的重大問題和漏洞,需要對(duì)被審計(jì)單位所采取的糾正措施及其效果進(jìn)行后續(xù)審計(jì)。審計(jì)人員需要將后續(xù)審計(jì)納入計(jì)劃,并安排必要的人員和時(shí)間進(jìn)行后續(xù)審計(jì)。
廣州地鐵IT審計(jì)模塊成立之初,即明確了IT審計(jì)“對(duì)公司的系統(tǒng)流程與控制、項(xiàng)目進(jìn)行審計(jì)”和“提供有益于增加公司價(jià)值的咨詢服務(wù)”兩項(xiàng)核心職責(zé),并圍繞公司戰(zhàn)略,以“風(fēng)險(xiǎn)導(dǎo)向”、“服務(wù)戰(zhàn)略”理念為指導(dǎo),從信息系統(tǒng)審計(jì)戰(zhàn)略規(guī)劃和具體項(xiàng)目執(zhí)行兩個(gè)層面分別制定信息系統(tǒng)審計(jì)的流程。
1、以公司戰(zhàn)略為導(dǎo)向,制定信息系統(tǒng)審計(jì)的戰(zhàn)略規(guī)劃
一直以來,廣州地鐵奉行“源于戰(zhàn)略、服務(wù)于戰(zhàn)略”的現(xiàn)代審計(jì)理念。這一理念主要體現(xiàn)在兩個(gè)方面:一是在制定內(nèi)審工作計(jì)劃時(shí),從公司戰(zhàn)略出發(fā),制定各個(gè)內(nèi)審業(yè)務(wù)及各專業(yè)審計(jì)模塊的戰(zhàn)略,并以業(yè)務(wù)戰(zhàn)略為指導(dǎo),開展具體的審計(jì)工作;二是在開展審計(jì)項(xiàng)目的過程中,始終從保障公司戰(zhàn)略執(zhí)行的角度去發(fā)現(xiàn)問題、評(píng)價(jià)問題,提出整改意見和落實(shí)整改。信息系統(tǒng)審計(jì)的戰(zhàn)略規(guī)劃來源于公司的戰(zhàn)略,以及以公司戰(zhàn)略指導(dǎo)制定的公司信息系統(tǒng)戰(zhàn)略規(guī)劃和內(nèi)部審計(jì)業(yè)務(wù)戰(zhàn)略規(guī)劃;同時(shí)還須結(jié)合公司信息化現(xiàn)狀和IT審計(jì)模塊定位,明確廣州地鐵IT審計(jì)發(fā)展戰(zhàn)略目標(biāo)。
2、通過風(fēng)險(xiǎn)評(píng)估,確定各信息系統(tǒng)風(fēng)險(xiǎn)等級(jí),制定層次分明、重點(diǎn)突出的信息系統(tǒng)循環(huán)審計(jì)計(jì)劃
為利用有限的審計(jì)資源掌握公司主要信息系統(tǒng)的建設(shè)、運(yùn)營(yíng)情況,保障信息資源的有效利用,降低公司信息系統(tǒng)的整體風(fēng)險(xiǎn),廣州地鐵建立了一套“根據(jù)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)級(jí)制定差異化的審計(jì)策略”。
(1)梳理信息系統(tǒng)脈絡(luò),全面掌握信息系統(tǒng)現(xiàn)狀。廣州地鐵結(jié)合信息系統(tǒng)規(guī)劃、建設(shè)和運(yùn)營(yíng)的情況及系統(tǒng)分類梳理出被審計(jì)信息系統(tǒng)清單,并從系統(tǒng)構(gòu)成要素的角度收集系統(tǒng)相關(guān)的信息。這些信息包括系統(tǒng)名稱、功能模塊、采用產(chǎn)品等基本信息,以及項(xiàng)目的建設(shè)信息、系統(tǒng)的使用狀況和運(yùn)維的基本情況。這些信息是風(fēng)險(xiǎn)評(píng)分的依據(jù),也為后續(xù)開展具體審計(jì)工作時(shí)確定審計(jì)方案提供了指引。
(2)開展信息系統(tǒng)風(fēng)險(xiǎn)評(píng)級(jí),制定風(fēng)險(xiǎn)導(dǎo)向型審計(jì)計(jì)劃。內(nèi)審人員從通用風(fēng)險(xiǎn)、業(yè)務(wù)風(fēng)險(xiǎn)、項(xiàng)目風(fēng)險(xiǎn)、系統(tǒng)風(fēng)險(xiǎn)、數(shù)據(jù)風(fēng)險(xiǎn)和人員風(fēng)險(xiǎn)六大風(fēng)險(xiǎn)類別出發(fā),全面識(shí)別信息系統(tǒng)各類構(gòu)成要素中存在的風(fēng)險(xiǎn);對(duì)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)價(jià),根據(jù)風(fēng)險(xiǎn)得分將信息系統(tǒng)按優(yōu)先級(jí)分別劃分為高、中、低三類。結(jié)合公司IT審計(jì)資源的情況,對(duì)優(yōu)先等級(jí)高的系統(tǒng)采用三年一審策略,中等級(jí)系統(tǒng)5―6年一個(gè)審計(jì)周期,風(fēng)險(xiǎn)等級(jí)低的系統(tǒng)則根據(jù)需要安排審計(jì)。在此審計(jì)策略的基礎(chǔ)上,再綜合考慮公司業(yè)務(wù)的十大風(fēng)險(xiǎn)、領(lǐng)導(dǎo)關(guān)注事項(xiàng)、上一年度內(nèi)控評(píng)價(jià)結(jié)果和審計(jì)項(xiàng)目成果、公司新一年的工作重點(diǎn)、公司信息系統(tǒng)的變動(dòng)情況,并制定出本年度的信息系統(tǒng)審計(jì)計(jì)劃。
3、以風(fēng)險(xiǎn)為導(dǎo)向,開展信息系統(tǒng)審計(jì)
在項(xiàng)目實(shí)施階段,審計(jì)人員必須從公司整體信息系統(tǒng)控制環(huán)境和被審計(jì)系統(tǒng)的狀況、流程與內(nèi)部控制兩個(gè)方面進(jìn)一步收集被審計(jì)系統(tǒng)的相關(guān)資料,了解和確認(rèn)被審計(jì)單位已建立的內(nèi)部控制措施,并對(duì)這些控制措施的設(shè)計(jì)是否達(dá)到控制目標(biāo)進(jìn)行評(píng)估。
(1)以“輪流循環(huán)+以點(diǎn)帶面”的方式開展整體計(jì)算機(jī)控制審計(jì)。公司的信息化業(yè)務(wù)采用統(tǒng)一集中管理的模式,整體計(jì)算機(jī)控制對(duì)各個(gè)系統(tǒng)具有一定的通用性。因此,在實(shí)務(wù)操作中,廣州地鐵采用“以點(diǎn)帶面”的策略,以單個(gè)信息系統(tǒng)整體計(jì)算機(jī)控制為切入點(diǎn)對(duì)整體計(jì)算機(jī)控制進(jìn)行審計(jì),評(píng)價(jià)整體信息系統(tǒng)的安全性;同時(shí),考慮到信息系統(tǒng)在一定時(shí)間內(nèi)相對(duì)穩(wěn)定,因此在實(shí)施整體計(jì)算機(jī)控制審計(jì)時(shí)可采取輪流測(cè)試的方式,即每年從十個(gè)子流程中選取幾個(gè)進(jìn)行測(cè)試,經(jīng)過一定周期后,完成對(duì)整體計(jì)算機(jī)控制的全面審計(jì)。例如,在2011年開展的信息安全審計(jì)項(xiàng)目中,審計(jì)人員就圍繞信息安全這個(gè)審計(jì)主題,從十個(gè)子流程中選取了與信息安全直接相關(guān)的信息系統(tǒng)操作、信息系統(tǒng)安全、業(yè)務(wù)可持續(xù)計(jì)劃、應(yīng)用系統(tǒng)開發(fā)與實(shí)施、數(shù)據(jù)庫開發(fā)與實(shí)施和系統(tǒng)軟件支持等六個(gè)流程進(jìn)行審計(jì)。分步、循環(huán)開展整體計(jì)算機(jī)審計(jì),在審計(jì)風(fēng)險(xiǎn)可控的情況下,大大節(jié)省了審計(jì)資源,也使得審計(jì)人員能夠更加深入地挖掘和分析整體計(jì)算機(jī)控制方面所存在問題以及問題的成因,提出更為切實(shí)可行、同時(shí)又符合公司信息化業(yè)務(wù)發(fā)展現(xiàn)狀和要求的整改措施。
(2)以風(fēng)險(xiǎn)為著眼點(diǎn),確定應(yīng)用控制審計(jì)重點(diǎn)。應(yīng)用控制是各個(gè)信息系統(tǒng)內(nèi)部所建立的控制機(jī)制,應(yīng)用控制審計(jì)必須針對(duì)某個(gè)具體信息系統(tǒng)開展。在開展應(yīng)用控制審計(jì)的過程中,審計(jì)人員應(yīng)緊緊圍繞“風(fēng)險(xiǎn)”這個(gè)著眼點(diǎn),通過對(duì)原有業(yè)務(wù)成熟度和系統(tǒng)建設(shè)過程中風(fēng)險(xiǎn)的評(píng)估,選擇不同的審計(jì)側(cè)重點(diǎn)開展應(yīng)用控制審計(jì)。例如,在合同管理系統(tǒng)審計(jì)項(xiàng)目中,由于合同管理系統(tǒng)是全新開發(fā)的系統(tǒng),審計(jì)人員經(jīng)分析,判定系統(tǒng)在應(yīng)用系統(tǒng)訪問控制方面的風(fēng)險(xiǎn)較高。而在進(jìn)行控制評(píng)估和測(cè)試后,審計(jì)人員發(fā)現(xiàn)業(yè)務(wù)人員在創(chuàng)建系統(tǒng)權(quán)限設(shè)置機(jī)制時(shí)完全套用了公司辦公自動(dòng)化系統(tǒng)的權(quán)限機(jī)制,而未針對(duì)合同業(yè)務(wù)流程中不同于公司組織架構(gòu)下的角色設(shè)立相應(yīng)的用戶組,導(dǎo)致系統(tǒng)無法實(shí)現(xiàn)合同經(jīng)辦人與審批人職責(zé)的分離,存在重大的內(nèi)控風(fēng)險(xiǎn)。
五、信息系統(tǒng)審計(jì)方法
在信息系統(tǒng)審計(jì)中,可因地制宜,綜合運(yùn)用多種學(xué)科的技術(shù)方法,包括:傳統(tǒng)審計(jì)中內(nèi)部控制測(cè)評(píng)的基本方法和審計(jì)取證的基本方法(包括審閱、核對(duì)、監(jiān)盤、觀察、查詢、函證、計(jì)算、分析性復(fù)核);計(jì)算機(jī)科學(xué)的技術(shù)方法,如數(shù)據(jù)測(cè)試法、程序編碼審查法、受控處理法、受控再處理法、整體測(cè)試法、平行模擬法、程序比較法、漏洞掃描、入侵檢測(cè)、嵌入審計(jì)程序法等等;行為科學(xué)的技術(shù)方法,如運(yùn)用組織發(fā)展的理論與方法、個(gè)體行為一般規(guī)律的理論和方法。這些方法與技術(shù)并不是孤立的,而是互相聯(lián)系的。
目前,廣州地鐵在信息系統(tǒng)審計(jì)中所運(yùn)用的方法仍主要集中在傳統(tǒng)的內(nèi)控審計(jì)方法和信息系統(tǒng)管理的技術(shù)方法兩個(gè)領(lǐng)域,具體包括詢問、觀察、文件復(fù)核、抽樣、重新執(zhí)行、使用計(jì)算機(jī)輔助軟件等。在部分項(xiàng)目中,也采用了一些計(jì)算機(jī)科學(xué)的技術(shù)方法。受限于審計(jì)資源不足,廣州地鐵較少采用程序比較法、平行模擬法、程序編碼審查法等高成本的審計(jì)方法,而傾向于選用一些較為高效的測(cè)試方法。但這些高效方法的運(yùn)用不能完全消除審計(jì)風(fēng)險(xiǎn),這就需要審計(jì)人員根據(jù)自身的經(jīng)驗(yàn)盡量避免。
1、傳統(tǒng)審計(jì)方法的運(yùn)用
廣州地鐵在開展信息系統(tǒng)審計(jì)過程中較多運(yùn)用傳統(tǒng)審計(jì)的方法。例如,在對(duì)信息系統(tǒng)整體計(jì)算機(jī)控制進(jìn)行審計(jì)時(shí),通過對(duì)系統(tǒng)使用人員的訪談、調(diào)研和對(duì)系統(tǒng)各項(xiàng)操作的觀察,梳理出整體計(jì)算機(jī)控制相關(guān)的各種控制活動(dòng)。在沒有測(cè)試環(huán)境的情況下對(duì)生產(chǎn)在用信息系統(tǒng)的人機(jī)交互界面和功能進(jìn)行調(diào)查和確認(rèn)時(shí),審計(jì)人員大量運(yùn)用了觀察的方法。在對(duì)固定資產(chǎn)信息系統(tǒng)模塊進(jìn)行審計(jì)中,審計(jì)人員通過觀察物資采購(gòu)人員、資產(chǎn)管理人員、會(huì)計(jì)核算人員在系統(tǒng)中的操作界面、系統(tǒng)實(shí)現(xiàn)效果以及業(yè)務(wù)操作流程來了解系統(tǒng)功能的構(gòu)造。發(fā)現(xiàn)采購(gòu)中的供應(yīng)商信息在跨系統(tǒng)流程過程中丟失,導(dǎo)致財(cái)務(wù)系統(tǒng)和實(shí)物管理的MAXIMO系統(tǒng)的資產(chǎn)臺(tái)賬中均缺少供應(yīng)商信息,致使日后采購(gòu)?fù)愇镔Y時(shí),采購(gòu)人員無法獲取歷史采購(gòu)信息作為參考,增加了市場(chǎng)調(diào)研成本。除內(nèi)控矩陣和訪談、觀察等方法之外,編制流程圖、數(shù)據(jù)流圖和報(bào)表流圖也是信息系統(tǒng)審計(jì)經(jīng)常使用的方法。
2、計(jì)算機(jī)科學(xué)技術(shù)方法的運(yùn)用
計(jì)算機(jī)科學(xué)技術(shù)方法是信息系統(tǒng)審計(jì)特有的方法,來源于IT行業(yè)的信息技術(shù)的轉(zhuǎn)換應(yīng)用,主要包括基于數(shù)據(jù)分析的方法和基于程序分析的方法,這些方法的綜合使用使得對(duì)信息系統(tǒng)的審計(jì)更加有效。具體方法的選用需視被審計(jì)系統(tǒng)的實(shí)際情況而定。在一個(gè)審計(jì)項(xiàng)目中,廣州地鐵審計(jì)人員經(jīng)常將多種方法結(jié)合使用。例如,在票務(wù)收入系統(tǒng)審計(jì)項(xiàng)目中,審計(jì)人員首先采用數(shù)據(jù)測(cè)試法,使用正常及非正常的測(cè)試地鐵票搭乘地鐵,在系統(tǒng)中跟蹤測(cè)試票的處理情況,以驗(yàn)證系統(tǒng)處理與控制功能是否均有效;在對(duì)系統(tǒng)中后期內(nèi)部開發(fā)的車站單程票售賣功能進(jìn)行審計(jì)時(shí),審計(jì)人員采用了程序編碼審查法,對(duì)系統(tǒng)的源程序編碼進(jìn)行審查,審查后發(fā)現(xiàn)單程票售賣金額統(tǒng)計(jì)報(bào)表在進(jìn)行數(shù)據(jù)處理時(shí)省略了小數(shù)點(diǎn)后的尾數(shù),導(dǎo)致報(bào)表金額存在偏差;在對(duì)票務(wù)系統(tǒng)的清分報(bào)表進(jìn)行驗(yàn)證時(shí),審計(jì)人員又采用了平行模擬法,抽取系統(tǒng)中一段時(shí)間內(nèi)的正式交易記錄,在系統(tǒng)外模擬系統(tǒng)的處理規(guī)則對(duì)交易記錄進(jìn)行處理,并將處理結(jié)果與系統(tǒng)的報(bào)表數(shù)據(jù)進(jìn)行核對(duì),結(jié)果發(fā)現(xiàn)系統(tǒng)在數(shù)據(jù)傳遞和處理過程中,由于系統(tǒng)對(duì)于異常數(shù)據(jù)的審核過于嚴(yán)格,導(dǎo)致部分正常數(shù)據(jù)被當(dāng)作垃圾數(shù)據(jù)丟進(jìn)異常庫,給公司造成票務(wù)損失。
3、計(jì)算機(jī)輔助審計(jì)軟件的應(yīng)用
計(jì)算機(jī)輔助審計(jì)軟件的應(yīng)用是信息系統(tǒng)審計(jì)的一個(gè)顯著特點(diǎn),也是審計(jì)人員準(zhǔn)備階段需要重點(diǎn)關(guān)注的問題之一。目前,廣州地鐵對(duì)計(jì)算機(jī)輔助審計(jì)軟件的應(yīng)用主要體現(xiàn)在以下兩個(gè)方面。
(1)對(duì)系統(tǒng)中數(shù)據(jù)的準(zhǔn)確性、完整性和一致性的檢查。例如,在合同管理系統(tǒng)審計(jì)項(xiàng)目中,為核對(duì)系統(tǒng)接口程序的可靠性,審計(jì)人員利用審計(jì)輔助軟件快速完成了對(duì)合同系統(tǒng)和財(cái)務(wù)系統(tǒng)數(shù)據(jù)一致性的核對(duì),迅速查找出兩個(gè)系統(tǒng)中不一致的數(shù)據(jù)。經(jīng)過深入分析,審計(jì)人員發(fā)現(xiàn)由于財(cái)務(wù)核算人員在財(cái)務(wù)系統(tǒng)中復(fù)核合同支付數(shù)據(jù)時(shí)發(fā)現(xiàn)錯(cuò)誤,將支付申請(qǐng)退回給合同系統(tǒng)再由合同經(jīng)辦人重新填報(bào)時(shí),合同系統(tǒng)未對(duì)已生成的支付信息進(jìn)行更新,導(dǎo)致上述問題的出現(xiàn)。針對(duì)海量數(shù)據(jù)處理系統(tǒng),數(shù)據(jù)驗(yàn)證是審計(jì)的重點(diǎn),計(jì)算機(jī)輔助軟件是“不可或缺”的審計(jì)工具。在地鐵票務(wù)收入保障審計(jì)項(xiàng)目中,審計(jì)人需要通過數(shù)據(jù)驗(yàn)證的方式對(duì)業(yè)務(wù)處理的核心系統(tǒng)――自動(dòng)售檢票(AFC)系統(tǒng)中的系統(tǒng)傳輸和處理機(jī)制進(jìn)行驗(yàn)證。為此,審計(jì)人員共設(shè)計(jì)了8大類29子類47個(gè)數(shù)據(jù)驗(yàn)證主題。審計(jì)時(shí),審計(jì)人員運(yùn)用計(jì)算機(jī)輔助審計(jì)技術(shù),在兩個(gè)月內(nèi)完成了對(duì)AFC系統(tǒng)中10天總計(jì)超過3億條運(yùn)營(yíng)數(shù)據(jù)的驗(yàn)證工作。
(2)利用計(jì)算機(jī)輔助軟件進(jìn)行對(duì)比測(cè)試。即審計(jì)人員從信息系統(tǒng)中抽取某部門樣本數(shù)據(jù),將樣本數(shù)據(jù)輸入到與計(jì)算機(jī)輔助軟件中進(jìn)行處理,把審計(jì)軟件輸出的結(jié)果與業(yè)務(wù)系統(tǒng)產(chǎn)生的結(jié)果進(jìn)行對(duì)比分析,以判定業(yè)務(wù)系統(tǒng)的可靠性與準(zhǔn)確性。廣州地鐵在已開展的運(yùn)營(yíng)票務(wù)收入保障審計(jì)項(xiàng)目中大量地使用了此種方式。審計(jì)人員將各車站站務(wù)人員在票務(wù)系統(tǒng)中錄入的售票數(shù)據(jù)導(dǎo)入到計(jì)算機(jī)輔助軟件中,按照業(yè)務(wù)規(guī)則對(duì)數(shù)據(jù)進(jìn)行處理,將處理結(jié)果和系統(tǒng)輸出的結(jié)果進(jìn)行對(duì)比。經(jīng)對(duì)比,審計(jì)人員發(fā)現(xiàn)票務(wù)系統(tǒng)在處理異常數(shù)據(jù)時(shí)過于嚴(yán)格,導(dǎo)致部分非異常數(shù)據(jù)被系統(tǒng)當(dāng)作異常數(shù)據(jù)丟入異常庫中,給公司造成票務(wù)損失。
4、信息系統(tǒng)審計(jì)與業(yè)務(wù)內(nèi)控審計(jì)相結(jié)合
企業(yè)管理流程信息化的過程中,會(huì)對(duì)原有的業(yè)務(wù)流程進(jìn)行優(yōu)化甚至重構(gòu)。對(duì)原有手工流程的內(nèi)控評(píng)價(jià)在信息化環(huán)境中可能不再適用。因此,廣州地鐵在信息系統(tǒng)審計(jì)中添加了對(duì)業(yè)務(wù)流程的內(nèi)控評(píng)價(jià)――先對(duì)業(yè)務(wù)的內(nèi)部控制情況進(jìn)行評(píng)估,梳理并確定業(yè)務(wù)流程風(fēng)險(xiǎn)和關(guān)鍵控制點(diǎn),再對(duì)照業(yè)務(wù)流程對(duì)系統(tǒng)的處理流程進(jìn)行評(píng)價(jià),確保信息系統(tǒng)審計(jì)評(píng)價(jià)的準(zhǔn)確性。信息系統(tǒng)審計(jì)與業(yè)務(wù)內(nèi)控審計(jì)相結(jié)合的方法還體現(xiàn)在對(duì)一個(gè)流程中未在信息系統(tǒng)實(shí)現(xiàn)的控制環(huán)節(jié)可以通過內(nèi)控審計(jì)進(jìn)行補(bǔ)充。實(shí)踐表明,信息系統(tǒng)審計(jì)與業(yè)務(wù)內(nèi)控審計(jì)相結(jié)合的方法在很大程度上提高了審計(jì)的全面性。
由于信息技術(shù)自身的特點(diǎn),例如電子數(shù)據(jù)的不可視性,加之被審計(jì)單位信息系統(tǒng)內(nèi)部控制方面可能存在缺陷以及信息系統(tǒng)審計(jì)人員在專業(yè)技術(shù)和職業(yè)道德方面亦不完美,信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)客觀存在。面對(duì)信息系統(tǒng)審計(jì)風(fēng)險(xiǎn),需要審計(jì)人員通過深入調(diào)研,全面了解被審計(jì)系統(tǒng)的情況;需要培養(yǎng)專業(yè)人才,“以點(diǎn)帶面”提升團(tuán)隊(duì)能力;結(jié)合企業(yè)發(fā)展情況,制定內(nèi)部信息系統(tǒng)審計(jì)標(biāo)準(zhǔn);利用審計(jì)軟件,降低抽樣風(fēng)險(xiǎn),提高審計(jì)效率等多種措施,不斷降低審計(jì)過程中的檢查風(fēng)險(xiǎn),提高審計(jì)質(zhì)量。
【參考文獻(xiàn)】
[1] Ron A.Weber,Information Systems Control and Audit,1st ed,NJ:Prentice Hall,1998.
[2] S. Anantha Sayana:The IS Audit Process[J].The ISACA Journal,2002(1).
[3] Craig S. Wright:The IT Regulatory and Standards Compliance Handbook:How to Survive Information Systems Audit and Assessments,1st ed,MA:Syngress, 2008.
[4] Robert E. Davis:Information Systems Auditing:The IS Audit Planning Process,3rd ed,2010.
[5] Jack J. Champlain:Auditing Information Systems[J].2nd ed,NJ:John Wiley&Sons,2003.
[6] 盧紅柱:計(jì)算機(jī)信息系統(tǒng)審計(jì)的探索之路[J].審計(jì)研究,2006(增刊).
[7] 王進(jìn)波、常衛(wèi):信息系統(tǒng)審計(jì)的發(fā)展與現(xiàn)狀[J].財(cái)政監(jiān)督,2008(4).
[8] 陳繼初:信息系統(tǒng)審計(jì)在我國(guó)的現(xiàn)狀及存在的問題[J].消費(fèi)導(dǎo)刊,2008(12).
[9] 吳沁紅:信息系統(tǒng)審計(jì)內(nèi)容分析[J].財(cái)會(huì)研究,2008(10).
[10] 胡曉明:信息系統(tǒng)審計(jì)理論體系的構(gòu)建[J].中國(guó)注冊(cè)會(huì)計(jì)師,2006(6).
[11] 王艷、周劍:信息系統(tǒng)審計(jì)辨析[J].圖書情報(bào)工作,2004(48).
[12] 田佳林:信息系統(tǒng)審計(jì)簡(jiǎn)述[J].財(cái)政監(jiān)督,2008(4).
[13] 陳婉玲、楊文杰:COBIT及其在信息系統(tǒng)控制與審計(jì)中的應(yīng)用[J].審計(jì)研究,2006(增刊).
[14] 趙靜:COBIT框架在IT審計(jì)中的應(yīng)用[J].中國(guó)內(nèi)部審計(jì),2009(12).
[15] 張妍:信息系統(tǒng)審計(jì)方法研究[J].審計(jì)月刊,2010(11).
[16] 劉杰、羅繼榮:信息系統(tǒng)審計(jì)質(zhì)量控制準(zhǔn)則研究[J].財(cái)會(huì)通訊,2011(5).
[17] 王振武、張子瑾:信息系統(tǒng)審計(jì)理論結(jié)構(gòu)框架研究[J].會(huì)計(jì)之友,2011(7).
[18] 薛富平:信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)[J].財(cái)會(huì)研究,2007(3).
本文鏈接:http://www.svtrjb.com/v-141-3048.htmlit審計(jì)和普通審計(jì)范文8篇
相關(guān)文章:
商務(wù)禮儀知識(shí)09-27
初一學(xué)生學(xué)習(xí)計(jì)劃09-13
全國(guó)生態(tài)日宣傳標(biāo)語08-17
客戶滿意度調(diào)查報(bào)告范文10篇08-15
2024年供電局值班工作計(jì)劃 供電值班員工作總結(jié)(6篇)10-21
鎮(zhèn)路域環(huán)境整治工作開展情況匯報(bào)09-19
一、買賣合同08-15
電氣工程及其自動(dòng)化大學(xué)生簡(jiǎn)歷09-13
生態(tài)文明建設(shè)心得體會(huì)08-16
愉快的元旦節(jié)作文02-12
英語寫作指導(dǎo):英語作文常用句型01-31
中國(guó)古典舞800字作文08-17
貴州2024年初中級(jí)經(jīng)濟(jì)師報(bào)名條件08-23
2024年山東經(jīng)濟(jì)師繳費(fèi)時(shí)間及費(fèi)用安排08-08