24周年

財稅實務(wù) 高薪就業(yè) 學(xué)歷教育
APP下載
APP下載新用戶掃碼下載
立享專屬優(yōu)惠

安卓版本:8.7.50 蘋果版本:8.7.50

開發(fā)者:北京正保會計科技有限公司

應(yīng)用涉及權(quán)限:查看權(quán)限>

APP隱私政策:查看政策>

HD版本上線:點(diǎn)擊下載>

信息化環(huán)境下審計的重點(diǎn)和難點(diǎn)探討

來源: 中國論文下載中心 編輯: 2008/12/04 13:54:35  字體:

  摘 要:深入分析信息化環(huán)境下審計的重點(diǎn),包括評估信息系統(tǒng)風(fēng)險、內(nèi)部控制有效性、系統(tǒng)安全可靠性。如何確定評價標(biāo)準(zhǔn)、尋找審計線索、降低審計風(fēng)險、如何審計評價、審計人員如何適應(yīng)信息化要求等方面闡述審計重點(diǎn)難點(diǎn)。

  關(guān)鍵詞:信息系統(tǒng);內(nèi)部控制;審計

  1 信息化環(huán)境對內(nèi)部控制及審計的影響?yīng)?

  (1)手工會計系統(tǒng)中嚴(yán)格的控制制度在信息化環(huán)境下逐漸減弱或消失。憑證要客觀反映經(jīng)濟(jì)業(yè)務(wù)的實質(zhì),如發(fā)現(xiàn)錯弊,憑證會成為追查責(zé)任的依據(jù)。在信息化環(huán)境下,終端操作者把業(yè)務(wù)直接輸入計算機(jī)而沒有留下任何憑證。

 ?。?)手工會計系統(tǒng)所具有的分工功能逐漸被歸并。在手工會計系統(tǒng)中,不相容崗位職責(zé)分離,如記錄總帳和記錄明細(xì)帳的職責(zé)要分工。在信息系統(tǒng)中,這些分工逐漸被并入電子數(shù)據(jù)處理系統(tǒng)中。

 ?。?)信息系統(tǒng)可以自動授權(quán)、批準(zhǔn)。在手工會計系統(tǒng)中,一項經(jīng)濟(jì)業(yè)務(wù)都要經(jīng)過相關(guān)的人員簽名(或蓋章),但在先進(jìn)的企業(yè)資源計劃(ERP)系統(tǒng),直接由電子數(shù)據(jù)處理功能取得授權(quán)、批準(zhǔn)。

  (4)信息化環(huán)境下數(shù)據(jù)容易丟失、被盜竊和被篡改。在手工會計系統(tǒng)中,由于各項經(jīng)濟(jì)業(yè)務(wù)以書面記錄,如果控制適當(dāng),不易丟失或被復(fù)制,即使舞弊人員篡改帳表單證也會留下痕跡。但在信息系統(tǒng)中,各項經(jīng)濟(jì)業(yè)務(wù)存儲于磁介質(zhì),是肉眼不可見的,而且這些磁介質(zhì)在受熱、受潮或強(qiáng)電磁場下都會損壞。因此,存儲于磁介質(zhì)的信息有較大的滅失風(fēng)險。

 ?。?)磁介質(zhì)的信息缺乏證明力。在手工會計系統(tǒng)中,信息被記錄于憑證、賬簿,以紙作為載體,如果改動會留下痕跡。在信息系統(tǒng)中,主要以磁盤、磁帶等作為信息載體,如前所述,對磁介質(zhì)的數(shù)據(jù)和程序修改可不留痕跡,被復(fù)制后的數(shù)據(jù)很難區(qū)分正副本,如果僅依靠磁介質(zhì)載體,可能造成責(zé)任不清、真?zhèn)坞y辨,使審計證據(jù)缺乏法律效力。

 ?。?)數(shù)據(jù)與責(zé)任高度集中。在手工會計系統(tǒng)中,許多資料被分散保存,未經(jīng)授權(quán)人員很難瀏覽所有數(shù)據(jù)。但在信息環(huán)境下,大部分經(jīng)營數(shù)據(jù)集中于電子數(shù)據(jù)處理部門,如果缺乏適當(dāng)?shù)目刂?,未?jīng)授權(quán)人員可能通過外部指令、甚至遠(yuǎn)程入侵系統(tǒng),機(jī)密數(shù)據(jù)很可能被非法復(fù)制或篡改。

  數(shù)據(jù)高度集中的主要風(fēng)險是責(zé)任高度集中。在信息環(huán)境下,原始數(shù)據(jù)一經(jīng)輸入計算機(jī),就由計算機(jī)按程序指令自動處理,主要責(zé)任都高度集中于電子數(shù)據(jù)處理系統(tǒng)。

  (7)差錯反復(fù)發(fā)生。在手工會計系統(tǒng)中,數(shù)據(jù)處理由多個人完成,一個部門或人員的差錯大部分可以在下一個環(huán)節(jié)被發(fā)現(xiàn)并改正。在信息系統(tǒng)中,在某個環(huán)節(jié)發(fā)生錯誤很可能在短時間內(nèi)使得相應(yīng)的文件、賬簿乃至整個系統(tǒng)的信息失真。如果是應(yīng)用程序產(chǎn)生錯誤,計算機(jī)會反復(fù)產(chǎn)生錯誤結(jié)果。

 ?。?)信息系統(tǒng)沒有留下充分的審計線索。在信息化環(huán)境下,各類數(shù)據(jù)文件都存儲在磁介質(zhì)中,設(shè)計者如果沒有考慮審計的需要,在系統(tǒng)中設(shè)置跟蹤程序的話,很難留下有價值的審計線索,加大審計難度。

  2 系統(tǒng)內(nèi)部控制審計的重點(diǎn)

  2.1 測評信息系統(tǒng)內(nèi)部控制的風(fēng)險

  內(nèi)部控制與企業(yè)的風(fēng)險策略緊密聯(lián)系,促成公司治理與內(nèi)部控制之間良性的互動關(guān)系。通過內(nèi)部審計視角,對經(jīng)營中不斷變化的風(fēng)險因素進(jìn)行觀察,對管理的缺陷或失敗進(jìn)行快速報告,促使董事會和高級管理層做出快速反應(yīng),及時防范和糾正不正當(dāng)行為,使內(nèi)部審計有機(jī)地融入公司治理和風(fēng)險管理過程中,發(fā)揮內(nèi)部審計在管理中的作用,促進(jìn)企業(yè)提高管理風(fēng)險能力。

  信息系統(tǒng)的風(fēng)險管理主要指信息系統(tǒng)內(nèi)部控制能夠識別影響組織目標(biāo)實現(xiàn)的風(fēng)險并建立風(fēng)險管理預(yù)警機(jī)制。審計任務(wù)是評價風(fēng)險管理機(jī)制的健全性和有效性,發(fā)現(xiàn)可能存在的漏洞,分析這些漏洞風(fēng)險,提出審計建議。重點(diǎn)包括:可能引發(fā)風(fēng)險的因素,風(fēng)險發(fā)生的概率和后果,管理風(fēng)險的能力,管理風(fēng)險的具體方法及效果。

  在審計過程中需要使用風(fēng)險分析工具。風(fēng)險分析為評價內(nèi)部控制提供一個量化的分析工具,計算公式是:

  一定期間的風(fēng)險損失額=平均風(fēng)險損失×風(fēng)險發(fā)生的概率

  風(fēng)險評估不僅重視與內(nèi)部控制系統(tǒng)直接相關(guān)的因素,還重視環(huán)境因素,審計人員不僅依據(jù)實質(zhì)性測試結(jié)果,還應(yīng)該觀察其審計環(huán)境形成審計結(jié)論。因此審計師在執(zhí)行測試時,除了財務(wù)數(shù)據(jù)分析,還要對被審計單位的經(jīng)營與戰(zhàn)略、長期發(fā)展目標(biāo)、服務(wù)與市場、經(jīng)營渠道、主要客戶、使用材料以及競爭環(huán)境等進(jìn)行研究。

  2.2 測評信息系統(tǒng)內(nèi)部控制的健全有效性

  在風(fēng)險評估的基礎(chǔ)上,從一般控制和應(yīng)用控制兩方面評價信息系統(tǒng)有關(guān)控制的健全和有效性。一般控制是對系統(tǒng)構(gòu)成要素及數(shù)據(jù)處理環(huán)境的控制,包括組織控制、硬件和軟件控制、系統(tǒng)安全控制、系統(tǒng)開發(fā)與維護(hù)控制等,是信息系統(tǒng)安全可靠運(yùn)行和處理的前提。應(yīng)用控制對具體功能模塊及業(yè)務(wù)數(shù)據(jù)處理過程各環(huán)節(jié)的控制,包括輸入控制、處理控制和輸出控制。

  評價一般控制,主要關(guān)注被審計單位的控制環(huán)境,包括經(jīng)濟(jì)性質(zhì)和經(jīng)營類型、經(jīng)營理念、組織文化、組織結(jié)構(gòu)、職責(zé)分工及員工勝任能力、人力資源政策及其執(zhí)行等要素。審計重點(diǎn)關(guān)注:信息系統(tǒng)的內(nèi)容及管理權(quán)限的集中程度、管理行為守則的健全性和有效性、管理層對逾越既定控制程序的態(tài)度、組織文化、員工操作熟練程度、系統(tǒng)重要崗位人員的權(quán)責(zé)及其勝任能力等等。

  評價應(yīng)用控制,主要評價既有控制的適當(dāng)性、合法性、有效性,控制活動主要包括所有經(jīng)營活動應(yīng)有適當(dāng)?shù)氖跈?quán)、不相容職務(wù)應(yīng)當(dāng)分離、有效控制憑證和記錄的真實性、資產(chǎn)和記錄的接近限制、獨(dú)立業(yè)務(wù)審核等。內(nèi)部審計審查重點(diǎn)為:控制活動建立的適當(dāng)性、對風(fēng)險的識別和處理、對管理目標(biāo)實現(xiàn)的作用、執(zhí)行的有效性。

  2.3 測評信息系統(tǒng)的安全可靠性

  (1)數(shù)據(jù)通訊的控制測試。數(shù)據(jù)通訊控制的總目標(biāo)是數(shù)據(jù)通道的安全與完整,是防止和糾正設(shè)備的失靈、數(shù)據(jù)丟失或失真、來自Internet及內(nèi)部的非法存取。為了達(dá)到上述目標(biāo),審計人員可執(zhí)行的測試有:抽取一組數(shù)據(jù)進(jìn)行傳輸,傳輸結(jié)果與原文件進(jìn)行比較,檢查數(shù)據(jù)失真的可能性;檢查有關(guān)的數(shù)據(jù)通訊記錄,證實數(shù)據(jù)接收是否正確有序;用非授權(quán)的請求測試通訊回叫技術(shù)的運(yùn)行情況;檢查密鑰管理和口令控制程序,確認(rèn)口令文件是否加密、密鑰是否安全;發(fā)送測試信息測試加密過程,檢查信息通道上不同點(diǎn)上的信息;檢查防火墻是否控制有效。

 ?。?)硬件系統(tǒng)的控制測試。審計目標(biāo)是評價硬件控制的適當(dāng)性與有效性。測試的重點(diǎn)包括:實體安全、火災(zāi)報警防護(hù)系統(tǒng)、使用記錄、后備系統(tǒng)、操作規(guī)程、容災(zāi)計劃等。審計人員應(yīng)檢查實物安全控制措施是否適當(dāng)、是否適當(dāng)記錄與定期分析故障,容災(zāi)計劃是否適當(dāng),硬件接觸是否授權(quán),硬件資料歸檔是否完整等。

 ?。?)軟件系統(tǒng)的控制測試。軟件系統(tǒng)包括系統(tǒng)軟件和應(yīng)用軟件,最主要的是操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和會計應(yīng)用軟件。硬件測試目標(biāo)是防止硬件失靈、黑客、病毒、超級用戶的破壞等,保障系統(tǒng)正常運(yùn)行。軟件測試主要有檢查軟件產(chǎn)品是否正版,防治病毒措施是否適當(dāng),系統(tǒng)接觸控制是否嚴(yán)格,軟件和數(shù)據(jù)的備份是否恰當(dāng),系統(tǒng)操作權(quán)限劃分是否合適等等。

  (4)數(shù)據(jù)資源的控制測試。數(shù)據(jù)控制目標(biāo)包括兩方面:一是數(shù)據(jù)備份,為恢復(fù)被丟失、損壞或被干擾的數(shù)據(jù),系統(tǒng)應(yīng)有足夠備份;二是未經(jīng)授權(quán)的個人不能存取數(shù)據(jù)庫。審計測試應(yīng)檢查系統(tǒng)的備份和安全措施是否得當(dāng)有效。根據(jù)系統(tǒng)的授權(quán)表,檢查存取控制的有效性。

  (5)系統(tǒng)安全產(chǎn)品的測試。隨著網(wǎng)絡(luò)系統(tǒng)安全的日益重要,各種網(wǎng)絡(luò)安全的軟硬件產(chǎn)品應(yīng)運(yùn)而生,如VPN、防火墻、身份認(rèn)證產(chǎn)品、CA產(chǎn)品等等。審計人員應(yīng)對這些產(chǎn)品是否有效進(jìn)行測試與評價。例如,檢查安全產(chǎn)品是否經(jīng)過認(rèn)證機(jī)構(gòu)或公安部部門的認(rèn)證,產(chǎn)品的銷售商是否具有銷售許可證,產(chǎn)品的安全保護(hù)功能是否發(fā)揮作用等。

  3 信息系統(tǒng)內(nèi)部控制審計的難點(diǎn)

  難點(diǎn)之一:如何確定評價標(biāo)準(zhǔn)。國際內(nèi)部審計師協(xié)會的《內(nèi)部審計實務(wù)標(biāo)準(zhǔn)》指出,評價控制需要遵循適當(dāng)?shù)臉?biāo)準(zhǔn)。審計師首先應(yīng)查明管理層制定的、用于衡量績效的標(biāo)準(zhǔn)是否適當(dāng)。如果認(rèn)為已有標(biāo)準(zhǔn)不合適,內(nèi)部審計師應(yīng)向管理層報告,并與管理層合作制訂適當(dāng)?shù)脑u價標(biāo)準(zhǔn)或者可以基于組織利益最大化的原則選擇適當(dāng)?shù)脑u價標(biāo)準(zhǔn)。

  難點(diǎn)之二:如何尋找審計線索。手工系統(tǒng)的審計線索主要是紙質(zhì)憑證、賬簿和報表等,肉眼可見。但在信息化環(huán)境下,由于引入計算工具、磁存儲和網(wǎng)絡(luò)技術(shù),導(dǎo)致審計線索逐漸減少甚至消失,機(jī)內(nèi)的日志文件又可刪除,保存在磁盤的會計數(shù)據(jù)加以修改或刪除都可以不留痕跡,這些都削弱了審計線索,減少審計過程中發(fā)現(xiàn)錯誤的機(jī)會。

  為適應(yīng)信息化的要求,審計必須改進(jìn)和創(chuàng)新審計程序。首先,改進(jìn)審計信息的收集方法,如在設(shè)計信息系統(tǒng)時,應(yīng)嵌入審計信息收集程序和審計模塊,審計人員可以通過專業(yè)審計軟件,從信息系統(tǒng)中獲取審計任務(wù)所要求的信息。其次,改進(jìn)和創(chuàng)新審計程序。應(yīng)用并行模擬審計技術(shù)和分析性復(fù)核程序查找審計線索和證據(jù)。

  難點(diǎn)之三:如何降低審計風(fēng)險。審計風(fēng)險由固有風(fēng)險、控制風(fēng)險和檢查風(fēng)險組成。在信息環(huán)境下,首先是由于機(jī)器故障、操作失誤、程序處理和網(wǎng)絡(luò)傳輸故障、計算機(jī)病毒和黑客攻擊等存在的可能性,使得內(nèi)部審計固有風(fēng)險的變數(shù)增加。其次是控制風(fēng)險復(fù)雜化。再次,檢查風(fēng)險復(fù)雜化。

  降低審計風(fēng)險必須從以下三個方面著手:

 ?。?)降低固有風(fēng)險。首先,加強(qiáng)信息環(huán)境下的網(wǎng)絡(luò)安全,確保信息的真實完整。通過配置可靠的硬件設(shè)備,采用先進(jìn)的加密算法,建立安全性高的局域網(wǎng),確保信息安全,降低會計和業(yè)務(wù)數(shù)據(jù)被盜用、篡改和丟失的可能性。其次,完善系統(tǒng)設(shè)計,留下清晰的審計線索。

 ?。?)降低控制風(fēng)險。首先,完善內(nèi)部控制,通過操作員職責(zé)分離、授權(quán),要求用戶定期修改自己的密碼,通過軟件設(shè)計分若干功能模塊設(shè)置不同責(zé)任中心(崗位)。其次,依靠先進(jìn)的網(wǎng)絡(luò)和軟硬件平臺減少數(shù)據(jù)異常。再次,加強(qiáng)企業(yè)與銀行之間的合作,保障電子支付安全。

 ?。?)降低檢查風(fēng)險。面對新的審計環(huán)境,審計人員應(yīng)掌握相關(guān)信息技術(shù),學(xué)會利用計算機(jī)和優(yōu)良的審計軟件,采用更有效審計程序和審計方法,降低檢查風(fēng)險。

  難點(diǎn)之四:如何評價系統(tǒng)內(nèi)部控制。審計評價是審計對事實的客觀反映,主要從控制環(huán)境、風(fēng)險管理、控制活動、信息與溝通、監(jiān)督等方面著手,評價被審單位內(nèi)控的有效性,需遵循以下原則:

 ?。?)不拘泥格式,承前啟后。評價結(jié)果要與前期的審計評價和外部審計評價相結(jié)合,不能出現(xiàn)相互抵觸和矛盾的結(jié)論。

 ?。?)要避輕就重,客觀反映。內(nèi)控制度沒有標(biāo)準(zhǔn),在評價內(nèi)控制度時,實是事求,多提有建設(shè)性建議,披露審計發(fā)現(xiàn)的問題要重點(diǎn)突出、層次分明、邏輯嚴(yán)密、理據(jù)充分。

  難點(diǎn)之五:審計人員如何適應(yīng)信息化環(huán)境的需求。由于審計環(huán)境、審計線索、安全控制、審計內(nèi)容和審計技術(shù)的改變,給審計人員帶來新的挑戰(zhàn)。內(nèi)部控制審計從宏觀角度對整個控制流程進(jìn)行檢查和評價,揭示問題所在,這對審計人員提出更高的要求,由于大部分審計人員受計算機(jī)業(yè)務(wù)水平的限制,經(jīng)常繞過計算機(jī)程序,較少利用計算機(jī)輔助審計技術(shù),很可能對審計結(jié)果產(chǎn)生不利的影響。

責(zé)任編輯:鬼谷子

實務(wù)學(xué)習(xí)指南

回到頂部
折疊
網(wǎng)站地圖

Copyright © 2000 - 8riaszlp.cn All Rights Reserved. 北京正保會計科技有限公司 版權(quán)所有

京B2-20200959 京ICP備20012371號-7 出版物經(jīng)營許可證 京公網(wǎng)安備 11010802044457號