前言:我们精心挑选了数篇优质计算机辅助审计论文文章,供您阅读参考。期待这些文章能为您带来启发,助您在写作的道路上更上一层楼。
(一)计算机审计规章标准尚待完善。我国审计法规比较完善但涉及到计算机审计还有空白,计算机辅助审计仍在试验阶段。各行各业人员组织安排、管理模式、工作思路重点均不相同,计算机辅助审计的开展情况也不尽相同。
(二)限制计算机辅助审计运用的核心问题数据的搜集和使用还没解决。海量数据及其复杂关系给计算机审计带来数据存储和处理双重挑战。海量数据的增、删、修、查、存、统计、导入、导出、格式转换等要求极高数据处理速度。日益庞大的数据库系统对现有数据整合处理方法提出挑战,计算机硬软件的快速更新要求也使审计的深度和广度难以拓展。
(三)缺少审计分析模型。审计工作中最有价值财产是经验,而审计模型则是审计技巧与审计经验的完美组合。虽不断被优化与深化,但审计模型仍受初始数据真实性、数据可靠性以及建模人员审计经验的影响。现有软件多是采用查询审计模型库外加审计经验判断方法进行审计。
(四)审计方式有待转变。审计在方式、方法、思维、机制和手段等方面与外部经营环境的变化和业务的进步仍有代沟,无法适应监督控制职能的需要。尤其是在如何运用非现场审计方式,包括采用信息技术系统对风险与效益状况进行实时预警,纵向、真实、即时、实用的阶段评价分析和监测方面还有较大提升空间。
二、开展计算机辅助审计中的问题对策
(一)丰富计算机辅助审计理论基础,加速法规出台。没有强大的理论后盾,计算机辅助审计难以为继,也不可能发挥应有的作用。及时总结经验,拓展理论研究,尤其要研究技术、对象、线索、方法,加强和规范计算机辅助审计的独立性、客观性和公正性。加快计算机审计立法进程,使其有法可依。
(二)与会计信息系统相匹配的审计准则和制度的讨论制订应加快步伐。信息化条件下,审计线索、审计对象和审计方式等已发生质变,现有审计准则已不能推进计算机审计发展。上到行业从战略层面应建立、完善并统一计算机辅助审计制度;下至审计部门可结合自身特点,制定具有可操作性的标准、规范。重点梳理计算机审计过程,审计技术,相关人员资质,信息系统后评价及数据收集等方面应遵循的准则,保障当前计算机审计顺利进行。
(三)加强计算机辅助审计软件的多样化、信息化性和通用化。研制跨平台和多环境使用的辅助审计软件,研制行业通用版本的辅助审计软件,研制符合行业实际的辅助审计软件,并尽可能延长软件生命周期。同时还要针对规范审计手段和审计行为,提升审计水平、提高审计效率、扩大审计领域,推进网络化进程。在网络互联实现审与被审双方信息的共享交流的前提下,通过辅助审计软件,加快审计工作速度,节约人力物力,更好地发挥监督职能。
(四)完善审计机构计算机的运行条件,提高计算机软配置。审计机构负责人应具备发展审计事业的长远眼光,对设备硬件建设予以倾斜,切实调整计算机硬件升级,整合调试审计资料与审计内网,紧跟会计电算化发展的步伐,促进审计事业的现代化。
(五)实行周期动态监测,建立监督长效机制。验证目前审计方法在周期监控中的实用性,筛选合适的审计方法,探讨便于周期监控的审计方法思路;构建监控模块体系,定期不定期进行关键件领域的监控,实施危机动态预警。全盘评估被审计对象的财务风险,实时预警风险,变落伍的事后评价为事前预警、事中补救和事后总结“三位一体”;还要对各项监测数据进行统计分析,掌握信息系统的运行情况,便于及时的维护预防。
(一)实时预警计算机辅助审计可贯穿业务操作的前台和后台,针对不定期非现场审计发现的问题或业务人员操作环节可能存在的风险,审计人员可及时向业务岗位发出风险预警,对于潜在风险适时发出提示,防止风险形成和扩大。同时,掌握被审计单位风险点集中区域,并针对重点风险点开展内部审计,做到“风险引导审计,审计关注风险”,更好地发挥内部审计部门防风险、促履职的作用,实现对外汇管理工作实时预警的目标。
(二)定期评价根据不定期的非现场审计情况,了解和掌握被审计单位外汇管理业务阶段性发展情况,定期对被审计部门执行内控制度情况进行合规性评价,对被审计单位外汇业务管理的经济性、效率性和效果性等进行绩效评估,对外汇业务内控管理工作中的风险开展评估,对审计结果及时有效利用,实现对外汇管理工作定期评价的目标。
(三)提高效率探索外汇局档案管理电子化,开发“电子档案管理系统”,将各类业务凭证影像电子资料存入系统,便于审计部门非现场调阅业务系统查询不到的资料,利用计算机和信息网络技术进行非现场审计,可将审计工作贯穿全年工作始终,降低审计成本,节约人力资源,实现提高外汇局内部审计工作效率的目标。
二、外汇局开展计算机辅助审计的现实意义
(一)计算机辅助审计开展可提高外汇局日常内控监督效率计算机和网络科技的迅速发展为非现场审计工作在技术上的突破提供了可能,各级外汇局能够定时、甚至实时对本级局内及辖区分支局各类业务操作进行内部审计,增加内部审计检查频度,提高检查的准确性,提升工作效率。
(二)计算机辅助审计的开展可提升外汇局内控监督效果与外汇管理业务处理系统实时对接,适应当前各项外汇业务操作电子化的形势,可及时发现各项外汇业务操作潜藏的风险和错误,内部审计手段的改进必将提升监督的效果。
(三)计算机辅助审计的开展可推进外汇局无纸化办公实现对外汇管理业务系统的实时查询后,外汇业务管理各类报表、分析等档案均可通过业务系统调阅,外汇业务系统无法查阅到的资料通过建立“电子档案管理系统”实现,减少各类纸质业务档案的留存,推进无纸化办公。
三、利用现有资源开展计算机辅助审计的基本方法和步骤
(一)做好外汇管理业务调查,采集审计电子数据和信息针对目前外汇局绝大部分业务信息在系统中记录的现状,计算机辅助审计实施前,应对外汇局目前在用的业务系统进行全面摸底调查,充分了解可从业务系统中采集的电子数据范围和采集审计信息的途径。审计人员从业务系统采集电子数据和审计信息的方式,可探索实现业务系统与内控风险测评系统的关联,保证审计人员不可修改系统数据,但可查询和监控到所有业务系统业务数据及操作人员的操作痕迹,实现对每项业务的全过程监督,全面掌握业务审批、操作流程及法规执行情况。
(二)调阅业务系统开展非现场审计,记录风险预警线索以目前外汇局使用的“内控风险测评系统”中测评表为基础,将测评项目按“非现场测评指标”和“现场测评指标”分为两个部分。可从业务系统中直接采集或间接获得信息开展检查的项目作为“非现场测评指标”,其他需要进行数据分析或现场调研资料进行检查的项目作为“现场测评指标”。分别制作“非现场测评表”和“现场测评表”。调阅外汇管理业务系统,将通过业务系统中获得的信息筛选、过滤,并对重要数据进行合规性分析,按照测评指标开展非现场审计。同时,记录通过非现场审计发现的问题、和需要现场审计进一步确认的风险预警线索,填写“非现场测评表”。
(三)依据非现场审计线索调阅业务档案,确定审计问题可考虑建立“外汇局电子档案系统”,管理外汇局在业务系统中无法查询的档案和按规定必须留存纸质资料的档案,实现非现场实时调阅业务档案。依据非现场审计获得的风险预警线索,有针对性地调阅相关业务资料,排除问题或者进一步确定问题,将可以确定的问题填写到“现场测评表”中相应项目。
(四)总结归纳审计问题,提出整改和完善建议归纳审计中发现的问题,分析被审计单位执行制度情况,总结被审计单位客观存在的问题提出整改建议,并根据非现场调阅业务系统时掌握的情况,对被审计单位可提升和完善的工作提出相关建议。
四、外汇局推行计算机辅助审计面临的难题及建议
(一)内控风险测评指标,建立内控风险测评系统随着外汇管理改革不断推进,各业务部门的风险点、法规依据及风险系数等相关要素均发生变化,特别是货物贸易、服务贸易以及资本项目外汇管理制度改革后,由于内控风险测评系统未及时维护相关风险指标等要素,将影响了计算机辅助审计的效果,也无法保障审计工作的及时性。建议建立相关规范性文件,要求各业务部门按季度根据业务变化向内审部门提出系统修改意见,备案本专业修改后内控风险测评表信息,包括风险点、法规出处、指标含义、风险系数等,作为内审部门进行系统更新和维护的依据。实现内审与政策调整同部署、同调整,及时修订内控风险测评系统相关信息,保证内控风险测评系统的有效性,使内控监督测评系统作为内部审计电子化手段得到及时、有效发挥。
(二)探索实现审计系统与业务系统信息共享外汇局要实现计算机辅助审计,就要依靠计算机和网络技术实现从业务系统中采集信息,将对目前的业务系统进行改动,设置数据接口,实现系统对接。建议通过增加内控风险测评系统“审计数据采集模块”,或者采用设立“超级查询用户”的方式,建立查询和采集数据功能,实现审计系统与业务系统信息共享。
论文摘要:计算机的辅助审计在税收征管审计中的应用和创新建立了更为方便快捷的审计方式,从而带来了税收征管审计的创新和改革。通过对计算机技术在税收审计中应用的必要性和优势进行了有效的分析。在对计算机辅助在审计工作中的现状分析基础上建立具体而有针对性的计算机辅助的应用措施,为最终建立税收审计制度的持续发展和该机模式提供条件。
随着经济的发展和科学技术的不断进步,计算机的技术应用正逐渐向各个管理领域扩展,由于会计电算法的逐渐成熟和发展,会计工作也在相应技术的发展之下改变了传统的手工记账以及算法,通过计算机的应用实现了对会计算法记录进行收集社整理。审计工作的计算机辅助审计能有效实现会计电算法的推广和应用,从而实现电算法与计算机审计技术的同步发展。随着计算机技术的发展和信息时代的到来,计算机技术的普遍应用能有效提高工作和信息处理的效率,从而提高了工程项目的经营管理效率。计算机辅助审计技术的应用和推广能促进审计工作向规范化和现代化方向发展。
1 计算机辅助审计应用对税收征管审计的影响
1.1 计算机辅助审计实现了审计工作的现代化发展
随着计算机技术的不断发展和进步,计算机应用扩展到了信息管理和交流的各个领域,电算法的普及和发展致使传统的审计方法难以满足现实的需要,应实现审计方式的创新,实现审计工作的现代化发展,实现审计效率的有效提高。可通过计算机进行各种审计工作中的抽样检测、经济指标、经济定量的分析以及相应货币值的计算,而这些繁琐的计算过程在计算机辅助系统中得到了简化,通过计算机实现实现了现代化的发展模式。
1.2 促进了审计工作的规范化
计算机辅助技术的发展能促进审计工作的规范化发展,通过对审计工作的规范化发展实现了审计工作效率的有效提高。审计人员的素质以及审计部门的管理水平和质量在很大程度上影响了审计工作的规范化发展。审计具有较广的工作范围,其所遵循的法律法规以及政策性文件较广,内容复杂,在具体的审计工作中将耗费较多的时间在资料的查找上。计算机辅助技术在审计工作中的应用能建立规范的审计资料的组织,提高资料查找的效率,并且能通过各种考核和审计相关软件实现对整个工程项目的计算,从而有效提高审计效率,也能建立有效的资料收集和整理的模式。
1.3 优化审计步骤和审计方式
传统审计内容基础之上,审计工作包括会计电算系统流程的优化和发展。审计工作中,计算机技术的辅助作用能优化审计工作的流程步骤,以及对审计方式进行一定程度的创新和发展。审计工作应在计算机技术的发展和实践过程中建立不断发展和优化的审计工作的发展模式,在建立了规范化的审计工作基础之上实现了审计工作的持续发展和进步。计算机辅助技术的应用也能有效拓宽审计工作的范围,信息技术以及计算机技术的应用扩大了审计工作的范围,充实了审计工作的内容。实现了审计工作信息资料管理向信息系统安全性、整体系统性以及内部控制等管理方向的转变。
2 计算机辅助审计工作内容
2.1 基本审计业务处理
计算机辅助审计能实现基本的审计业务的处理,包括Excel、Foxpro、Word等表格、数据库、文字等的处理和规范化实现了基本的信息处理的基本审计功能。同时审计人员也可根据具体审计工作的实际需要,编写简单的程序,实现对审计数据的处理,如计算、复核以及分析处理数据,从而建立高效的审计运行模式。计算机中的电子表格能实现简单的数据收集和处理核对,如工资表的审核以及固定资产折旧处理、材料成本差异等数据的分析和对比;通过办公文字处理软件建立了电子资料,建立了共享的信息和数据处理模式。从而能建立优化的
2.2 计算机辅助审计软件的应用
计算机审计业务的处理只能实现基本的数据和信息的处理,然而相应软件的应用能实现深层的审计工作处理。计算机审计软件的应用一方面为审计情况的汇总统计,也是指根据审计工作的方案,对审计工作单位的整体审计状况以及审计工作资料按照一定的顺序进行汇总分析,最大限度防止错误和疏漏以及人为的更改,保证审计工作的规范性和系统性。当前审计软件根据审计工作的需要得到了一定程度的发展,并投入了具体的使用过程中。如计算机预算执行软件、预算执行审计软件、投资审计软件、银行审计软件、行政事业审计软件等,但仍未形成完善和成熟的统计软件,计算机辅助审计的作用发挥有限。
3 计算机辅助审计的障碍和现状
3.1 计算机审计技术的功能未得到充分发挥
我国的设计辅助仍出现初级发展阶段,计算机审计技术的优势和功能未得到有效发挥。现阶段,计算机辅助审计仍集中于数据的汇总、文字的处理以及表格的处理等方面,还仅仅处于审计工作的基本数据处理阶段,仍未实现审计资料统计分析、审计工作流程优化的深层次工作的开展,计算机辅助审计技术仍处于探索和试点的发展阶段。
3.2 计算机辅助审计软件发展不足
计算机辅助审计技术的发展和拓展较为迅速,然而计算机审计技术的相关软件发展不足,并不能满足计算机审计技术的深层次的发展需求,从而在一定程度上制约了计算机审计事业的发展。当前存在的计算机审计软件功能并不完善、种类较少,并且也未与单位的数据库进行连接、运行过程中错误较多等缺陷。当前相关单位的审计软件多针对某一特定的审计项目或是某种特定类型的审计需要,并未建立完善的计算机辅助审计项目,从而计算机技术在审计工作中难以得到深入的发展。
3.3 计算机硬件条件以及审计人员的素质障碍
计算机辅助审计在审计工作中的应用和发展对计算机环境提出了较高的要求,计算机技术条件的落后致使审计工作的计算机审计工作难以建立高效的发展模式。计算机的硬件设备较为落后,从而计算机辅助审计技术功能和作用难以得到充分的发挥。相应单位经费的缺乏紧张,从而造成了计算机设备难以满足审计工作的发展需求。审计人员的专业素质和计算机技术的应用和实践能力也为计算机辅助审计工作的发展和持续进步带来了障碍。相应人员综合素质不高也造成了相应数据库的管理较为混乱,难以满足现代化审计工作的发展需求。
4 计算机辅助技术在审计工作中的应用
4.1 建立不断发展的计算机辅助审计技术
计算机辅助技术应建立不断发展和持续改进的审计工作发展体制,通过不断实践探索计算机辅助审计技术的优化发展。计算机辅助税收审计制度应建立持续改进和发展的体系。在不断的试点和发展过程中,通过由基本的业务管理发展到深层次的审计工作的发展,最终充分发挥出计算机审计辅助的作用。
4.2 建立人才的培养和创新机制
计算机辅助审计工作的关键在于人的管理和能力的持续改进,通过对人才的培养,提升了相应审计人员的创新和发展的能力,从而也在一的那个程度上推动了计算机审计辅助技术的创新发展。相关单位的审计人员培训和技能的提高培养应建立在本单位的发展实际基础之上,从而才能使培训真正由理论到实践,最终促进审计工作的发展和持续进步。测试水平较低的培训以介绍审计软件为主,使之建立高效的应用模式,提高审计效率,而水平较高的审计人员可通过对数据库的介绍,提高数据库的信息查询能力。人员的培养和技能的持续进步是计算机审计效率发挥的重要因素。
4.3 建立会计信息系统的内在风险评价
计算机辅助在税收征管的审计过程中的统计应先对软件的内在风险进行评判,同时对相应资料进行完整性评判,减少因检验系统执行而进行的数据实质性测试的范围。在对具体的税务进行核算审计时,首先应对整体的系统进行了解额分析,由于前期的录入和自动汇总缓解的错弊性的概率较小,从而可重点抽取税种,并按照国家法律规定税率的计算凡是,对对多个选择分支构建数学模型,对审计的业务结果进行复核,并且采用比较的方式进行审核,充分保证数据的真实有效,在审查过程中还应建立严格的监管机制,繁殖认为修改审查数据,剔除核算过程中的系统风险,从而提高审计工作的质量和真实性。
4.4 建立信息数据的有效采集
计算机辅助审计技术应能建立优化的信息数据的采集,信息数据的优化采集也就是对数控内容的选择性采集。在审计人员对相应信息的内在风险的了解基础之上,对预测的弱点进行信息的收集和整理。,但由于各行业的审计软件以及经营的模式都不同,从而也难以对计算机审计的软件的统一,从而造成了软件系统差异较大,数据的格式各有不同的状况,从而对审计人员的信息收集和整理带来了难度。当前主流的财务软件系统,如用友财务系统、金碟财务系统等,其的数据格式都不尽相同。目前信息的优化收集可从单机系统和联机系统的信息收集两个层面的方式来实现:
无论运用哪种信息采集方式,都应对具体的审计单位的工作平台即相应单位的计算机系统进行初步确定。当前一般DOS环境、WINDOWS系列、UNIX系统三种系统环境,其中,WINDOWS系列应用最为广泛。并且应根据具体的系统类型选择适合的应对方式。
5 结束语
对于单机的系统,审计人员应对单位相应的财务软件系统程序运行方式以及程序模式之间的功能关联以及数据格式类型的存储、数据文件的存取位置以及数据格式之间的转换接口等事项进行了解,而后才能在相应的审计人员的配合之下实现对数据文件进行信息的优化采集,在具体采集过程中,若系统包含数据转换接口,在采集时则可直接转化为审计人员能系统分析处理的文件格式,如.DBF、.MDB等。单机系统的数据采集还可通过对审计软件以及相应工具提供的数据转换的接口,如通审软件系统中提供的用友和金碟财务系统的数据转换接口、MS-SQL Server的数据导入导出功能进行数据格式的转换,或是在不具备数据转换接口时,使用VB、VC等描述数据结构的编程语言,编写出相应的数据转换模块来完成数据的优化采集。
而网络型数据的收集和获取,不仅能通过单机数据库中的数据进行数据的收集和优化整理,还能应用ODBC(Open Database Connectivity,开放数据库连接)连接互联网上的数据源进行数据的转换。通过互联网上的开放数据库的连接,使用数据库中所提供的终端驱动程序实现了对互联网服务器数据库的直接连接和读取数据。互联网上的大型数据库一般拥有较为丰富的数据库驱动程序资源,能将所需类型的数据表转换为其它数据库格式文件。例如MS-SQL Server、Oracle、Sybase等,当前较为流行且功能较强大的大型数据库系统软件,通常拥有数量众多的数据库的驱动程度类型库。在具体的计算机辅助审计应用过程中,有经验的审计人员常常是在进行了合理的选择性查询之后,再进行相应的数据格式转换,即先撰写SQL语句制作审计专用视图,核查无误后,再进行实质上的存储并转换成所需要格式的数据表,从而能够大大地减少数据的采集量,以及避免了对原始数据的修改和产生不必要的冗余。
参考文献:
[1] 何媛.浅谈计算机辅助审计在税收征管审计中的应用[J].现代审计与经济,2010(6):91-92.
[2] 孙俪.论地税计算机辅助审计[J].理财,2011(1):169-171.
[3] 申南林,王瑞云.如何运用计算机辅助审计[J].审计与理财,2010(1):221-223.
【关键词】计算机审计; 信息系统审计; 比较计算机审计(Computer Auditing)与信息系统审计(Information SystemAudit,简称IS 审计),前者约定俗成,后者势在必行,但两者在我国的学术研究与实践应用中长期模糊不清、难舍难分,这不仅不利于我国审计工作的开展,同时也可能影响我国审计信息化的发展。
本文拟通过两者的产生与发展、基本概
念与审计目标、适用准则与审计技术等
方面的比较,厘清两者的主要区别,以求
它们在我国取得并行不悖的发展。
一、两者的产生与发展过程比较
在计算机审计与IS 审计产生之前,
电子数据处理(Electronic Data Processing,EDP)审计早已存在。可以说,EDP 审计是计算机审计与IS 审计的前身与发展的基础。
(一)EDP 审计的产生与发展
EDP 审计不仅是指电子数据处理环
境下的审计,还包括对电子数据处理系统的
审计。F.Kanfuman(1961)、A.Pinkney
(1966)、T..W.Merae (1976)、Joseph
Sardinas (1987)、W.Thomas Poter 和
William E.Perry(1987)等学者都从不
同的角度对EDP 环境中内外部审计规则
和组成方法、EDP 审计的测试方法、特
殊审计技术、审计步骤等方面展开深入
研究。1968 年美国注册会计师协会
(AICPA)出版的《会计审计与计算机》一
书,详细阐述了在EDP 环境下如何开展
IS 审计和传统的外部审计。而作为信息
系统审计与控制协会(IASCA)的前身,
成立于1969 年的EDP 审计协会(EDPAA)
及其属下的EDP 审计师基金会
(EDPAF)25 年间一直使用EDP一词。至
今,EDP 审计与IS 审计仍有并驾齐驱之
势。例如,在Jack.J.Champlain所著的
《审计信息系统》(第2 版,2003) 一书
中,仍然将EDP 审计师与IS 审计师相
提并论。
从诸多文献资料分析,EDP 包含两
种含义,一为环境说;二为系统说。作环
境说,诚如国际审计准则15 指出:“为
了国际审计准则的目的,当一个单位对
与审计有重要意义的财务资料的处理,
包含有任何类型或大小的计算机时,就
存在着电子数据处理的环境”。面对这一
环境进行审计的审计师也就是EDP 审
计师。而作系统说,则更多是指计算机信
息系统,以该系统作为审计对象必然会
改变审计的总体目标和范围,因而也才
有应用而生的信息系统审计与控制协会
及其单独的审计标准、指南和程序,
以及由此产生的IS 审计师。
(二)计算机审计的产生与发展
有关计算机审计的研究,在国外参考
文献中并不少见。例如,Andrew D
Chambers(1984)、Javier F.Kuong(1987)
和S.Rao Vallabhaneni(1989)等学者,
均围绕计算机审计的安全与内部控制、相
关技术、内部控制的实施等加以论述。值
得注意的是,在各职业组织所的有
关标准、指南或程序中,却鲜有使用计算
机审计一词,如美国注册会计师协会
(AICPA) 的《计算机辅助审计》
(1978)和取代SAS No.3 号(1974)的
《审计标准说明书第48 号》(SAS.No.
48,1984),国际内部审计师协会20 世
纪70 年布的《系统控制与审计》,
加拿大执业会计师协会(CICA)两次发
布的《计算机控制和工作指南》
(1970,1986),以及加拿大审计标准委
员会颁布的《EDP环境下的审计———一
般原则》(1984)等等,也都较少采用“计
算机审计”一词。
在我国,有关计算机审计研究经久
不衰。在20 世纪80 年代,我国学者往
往将其与国外的EDP 审计相联系。例
如在对Poter 和Perry(1987)合著的
《EDP:Controlls And Auditing (第5
版)》翻译中,李大庆和乔勇等学者
(1990)就将其直接译为《计算机审计》。
我国学者潘晓江(1983)较早针对我国
会计电算化提出审计应采取的充分发
挥人在控制中的主导地位、注意实行数
据可靠性控制和注意保留必要的审计
线索三大措施。从20 世纪90 年代至
今,我国以“计算机审计”为题的研究
成果颇丰。据笔者不完全统计,这类教
材和专著已逾30 本,较早的作者有肖
泽忠(1990)、陈婉玲(1990)、李长旭
(1990)等。
我国审计机关无论是关于计算机应
用的规定,还是组织系统内有关专家进
行研究,也多以计算机审计为题加以进
行。例如,审计署1993 年的《审计
署关于计算机审计的暂行规定》和1996
年的《审计机关计算机辅助审计办
法》等。邱胜利和张玉(1990,1993)、董
化礼(2002)、刘汝焯(2004)、国家863
计划审计署课题组(2006)等,也都以计算机审计为题展开研究。
(三)IS 审计的产生与发展
对IS 审计贡献最大的莫过于国际
信息系统审计与控制协会(Information
System Audit and Control Association,
ISACA)。1994 年,ISACA 替代了
原有电子数据处理审计协会(EDPAA)
。至2008 年2 月止,该协会已经
了16 个审计标准、39 个审计指南
和11 个审计程序。而其于1996 年发
布的信息和相关技术控制目标(Control
Objective for information and
Related Technology,COBIT)已经成
为全球公认的、权威的信息技术控制目
标体系。同时,该协会每年还举办IS 审
计师资格考试,有力地推动了世界范围
内IS 审计的发展。
日本通产省于1983 年了《系
统审计标准》,并在全国软件水平考试中
增加“系统审计师”一级的考试。1985
年,日本内部审计师协会在其所的
《审计白皮书》中认为,内部审计师的最
新发展是“IS 审计”。另据IIA 对美国和
英国的调查,被调查企业中实施MIS 审
计的企业所占的比例各年分别为:1968
年48%,1975 年60%,1979 年65%。而
1983 年再对这两个国家1 687 个内部
审计部门的调查中显示,已有70.8%的
企业在进行MIS 审计。
由于我国从一开始就将电算化会计
信息系统确定为计算机审计对象,致使
人们将其等同于IS 审计的审计对象。同
时,学者们也往往将IS 审计与IT 审计
等同视之。如胡克瑾(2002)在其《IT 审
计》专著中指出,IT 审计是指对以计算
机为核心的信息系统的审计。李丹
(2003) 也认为,“信息系统审计也称为
IT 审计”。
(四)从国内研究现状看两者的发展
借助有关学术论文的统计数据,也
许可以发现我国学者对计算机审计与
IS 审计的研究偏好与倾向。笔者以“计
算机审计”、“信息系统审计”和“电算化
审计”作为关键词进行检索。采用“篇名
+ 年份+ 全部数据+ 全部期刊+ 精确
匹配”为检索条件,对中国期刊网的期刊
数据库各年进行检索,以下是检索结果
统计表(见表1)。
在表1 对29 年来统计
中,三种研究倾向的论文总数为696
篇,其中,有关计算机审计的研究论文占
了61.93%,而在近五年这一研究倾向
论文也高达219 篇,占近五年全部论文
总数的58.40%,无论处于哪一时间段,
研究计算机审计的论文占三种研究倾向
论文总数的比例均超过50%。而研究信
息系统审计的论文在2003 年及以前的
24 年中仅有44 篇,近五年则有101 篇,
其平均每年有20 篇,尤其是近三年更
呈递增趋势。但其各年所发表的论文数
均明显低于计算机审计研究倾向的论文
数。至于电算化审计研究方向,由于它与
计算机审计、信息系统审计两个研究方
向有重复之嫌,故近年来呈下降趋势,在
未来研究中它可能被计算机审计和信息
系统审计两个研究方向所替代。由表1
也同时看到,我国在继续对计算机审计
进行研究的同时,亟须加快对信息系统
审计的理论与实务研究。
二、两者的基本概念、审计目标与审
计内容比较
计算机审计与IS 审计的本质区别,
首先见之于基本概念、审计目标与审计
内容等三个方面。因此,了解两者在这三
个方面的区别与联系,有利于今后开展
相关理论研究与应用研究。
(一)基本概念的比较
1.计算机审计的基本概念。日本会
计检察院计算机中心认为,计算机审计
有两方面的含义,一是对计算机系统本
身的审计,包括系统安装、使用成本,系
统和数据、硬件和系统环境的审计;二是
计算机辅助审计,包括用计算机手段进
行传统审计用计算机建立一个审计数据
库,帮助专业部门进行审计。
我国学者对计算机审计的理解与上
述基本一致。肖泽忠(1990)认为:“计算
机审计是审计人员用手工的或电算化的
审计方法、技术和程序对电算化或手工
信息系统进行的审计”(以下简称为“二
方观”)。陈婉玲(1990)、刘志涛(1990)、詹航恩和张蒙生(1993)、李学柔和秦荣生(2002)也都表达相同的观点。李长旭(1990)则认为,计算机审计是针对会计核算电算化而言的,即凡是对实现会计核算电算化的企业进行的审计都可称为计算机审计(以下简称为“一方观”)。
综观国内外学者对计算机审计的诸
多论述,多数学者将计算机审计作为一
个广义的概念,认为计算机审计包括两
个方面,一是将计算机系统作为审计的
对象;二是将计算机作为审计的工具。
与计算机审计的基本概念相近的还
有“电算化审计”,它同样具有“二方观”
与“一方观”。朱荣恩和徐建新(1986)根
据英国《审计研究》(1982 年版)的资料
编译并发表题为“发展中的电算化审计”
中指出,电算化审计是“评价、控制会计
电算化信息系统”的审计。王军等
(1995)多数学者赞同这一观点。袁树民
等(1995)则持“二方观”,其基本概念与
计算机审计无异。
2.IS 审计的基本概念。IS 审计至今尚未形成统一的概念。Ron Weber 在《信息系统审计与控制》一书中指出,IS审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。日本通产省情报协会对IS 审计定义如下:“为了信息系统的安全、可靠与有效,由独立于审计对象的IS 审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向IS 审计对象的最高领导,提出问题与建议的一连串的活动”。而我国学者也普遍认为,IS 审计是由专业审计人员根据IS 审计准则及相关规定,对信息系统的计划、研发、实施,以及运行维护等各环节所进行的审计,以保证被审计信息系统安全、稳定和有效,同时,它还将根据审计结果对被审单位提出改进建议。
应当指出的是,在我国审计署和财
政部的诸多准则与通则中,“信息系
统”一词尚未达到统一规范的表述。例
如,审计署的《审计机关计算机辅
助审计办法》(1996),将信息化的信息
系统称为“计算机应用系统”,财政部
的《独立审计准则 20———计算机
信息系统环境下的审计》,则为“计算
机信息系统”,而《审计准则第1211 号
了解被审计单位及其环境并评估重大
错报风险》中则称之为“财务报告信息
系统”、“信息技术系统”、“信息系统”
和“自动化信息系统”等不同的用语。
在新《财务通则》第八章的信息管理
中,则将信息系统定义为:“财务业务
一体化信息处理系统,也称为财务管理
信息系统或者管理型财务软件”。尽管
我国对各类信息系统诸多的不同表述
有待统一,但它们都是指信息化的会计
信息系统则是毫无疑义的。
(二)审计目标与审计内容的比较
1.计算机审计的审计目标与审计内
容。国际审计准则(ISAs)第401 号《计
算机信息系统环境下的审计》(2004)指
出:“在计算机信息系统环境下,并不改
变审计的总体目标和范围”,我国的
《独立审计具体准则第 20 号———计算
机信息系统环境下的审计》(1999)也
指出:“注册会计师在计算机信息系统
环境下执行会计报表审计业务,应当
考虑其对审计的影响,但不改变审计
目的和范围”。鉴于我国对计算机审计
的“二方观”认识,其审计目标也包括
两个方面:一是具有提高执行经济业
务和会计信息处理的计算机系统的合
法性、正确性和安全性;二是加快审查
速度、扩大抽查范围、提高审计效率和
审计质量的双重目标( 陈婉玲,
2002)。与之相适应,计算机审计内容
也就相应包括两个方面:一是包括对
信息化会计信息系统的开发设计、数
据输入、处理和输出进行审计;二是加
快审计信息化的步伐,建立信息化的
审计网络体系。随着市场经济的迅速
发展,在国务院办公厅《关于利用计算
机信息系统开展审计工作有关问题的
通知》([2001]88 号)中也明显
指出,“简单地讲,计算机审计包括:对
计算机管理的数据进行检查;对管理
数据的计算机进行检查”。可见,计算
机审计的审计内容主要是面对数据
(会计数据等)的检查,而对管理数据
的计算机进行检查,则是借助于信息
系统鉴证以获取处理数据是否正确性
的判断。
2.IS 审计的审计目标与审计内容。
IS 审计目标比较明确,它是指对信息系
统的资产保护,信息系统的可用性、安全
性、完整性和有效性发表审计意见。由于
IS 审计的审计对象是被审单位的信息
系统,因此决定其审计内容包括:(1)信
息系统的管理、规划与组织;(2)信息
技术基础设施与操作实务;(3)资产的
保护;(4)灾难恢复与业务持续计划;
(5)应用系统开发、获得、实施与维护;
(6)业务流程评价与风险管理。上述诸
多的审计内容,以及日益纷繁复杂的信
息系统,也迫使我们在IS 审计之际不能
不采用单独的审计准则体系和更多的计
算机辅助审计技术。
三、两者适用准则及采用技术比较
由于计算机审计与IS 审计的审计
目标、审计内容的不同,决定了前者面向
数据审计的特点与后者面向系统审计的
特点,由此也就使各自的审计准则和审
计技术各不相同。
(一)适用准则的比较
如上所述,计算机审计目标与内容
决定其相关准则的多维性。这可以从国
际审计准则15、16 和20 等内容加以了
解。这些相关规定大多提及EDP 环境,
虽然也不免涉及系统审计,但却主要是
针对财务报表等资料加以规定的。同时,
它们也并非专门针对IS 审计。我国的审
计署、中注协、国务院办公厅从1993 年
至2007 年,陆续诸多与计算机技
术应用有关的规定,究其实质,也都侧重
于财务会计数据审计而非单独针对IS
审计的。
与计算机审计的上述规范相比,IS
审计内涵、审计准则、职业组织、执业主
体等则十分明确。以审计标准为例,截至
2008 年2 月,国际信息系统审计与控制
协会已16 个审计标准,包括审计
章程、审计独立性、职业道德和标准、职
业能力、审计计划、审计工作的执行、审
计报告、后续工作、违规和非法行为、信
息技术管理、审计计划中风险评估的应
用、审计实质性、使用其他审计专家的工
作成果、审计证据、信息技术控制、电子
商务等。可喜的是,我国内部审计协会发
布并于2009 年1 月1 日施行的《内部
审计具体准则第 28 号———信息系统审
计》围绕总则、一般原则、审计计划、信息
技术风险评估、信息系统审计的内容、信
息系统审计的方法、审计报告与后续工
作等方面对内部审计中的信息系统审计
加以规定。虽然这一具体准则与国际信
息系统审计与控制协会已的审计标
准尚有一定的距离,但它毕竟首开我国
信息系统审计准则制定之先河。以下是
国内外已的计算机审计与IS 审计
相关准则体系的比较(见表2)。
(二)采用的审计技术与工具比较
从当前相关文献来看,有关计算机
审计技术介绍比较宽泛,而有关IS 审计
技术则有针对性强的特点。笔者认为,从
信息与信息系统的“产品”与“生产工厂”
的关系看,两者在审计过程中是紧密联
系的。只有当产生信息的系统本身具有
可靠性时,审计师才能初步确信该系统
产生信息的可靠性。而为了鉴证系统的
可靠性,IS 审计师往往通过检测被审系
统输入、处理与输出数据与信息来加以鉴证,其有效性不言而喻。鉴于计算机审计与IS 审计两者的审计目标的不同,两者采用审计技术与工具也就有所不同。
以下是笔者根据国内、外有关文献对两
者采用技术与工具的归纳:
1.两者共同采用的技术与工具。主
要有:测试数据法、追踪法、综合测试工
具(ITF)、平行模拟法、嵌入审计模块法、
流程图检查法、审计软件法、程序编码审
查法、程序比较法等。
2.两者各自采用不同的技术与工
具。其中,计算机审计技术主要有:受控
处理法、受控再处理法、漏洞扫描与入侵
检测、利用数据管理系统辅助法、利用操
作系统和实用程序法、利用被审系统辅
助法和利用电子表格辅助法等。IS 审计
技术主要有:基本案例评估法、系统控制
审计复核文件(SCARF)、快照法、审计
钩(hooks)、连续与间歇模拟(CIS)、延
展性记录法等。
四、结论
计算机审计与IS 审计无论是其产
生与发展,还是其基本概念、审计目标、
审计内容,抑或是其适用准则与采用的
审计技术,都有着很大的区别。但两者
在我国审计发展过程中却有其特定的
地位与作用。以信息化会计系统的财
务数据为审计对象的计算机审计,在当
前广泛开展财务报表审计过程中对其
展开研究仍然有着重要意义。同时,它
所强调的审计信息化建设使其“二方
观”能够进一步发扬光大。可以预见,
随着环境的变化与信息技术应用的深
入,计算机审计的内涵与外延也必将
得以深入与拓展。
成功地开展我国的IS 审计,是我国
审计走向世界的必由之路。上市公司根
据COBIT 框架实施内部控制已是大势
所趋,大、中型企业也必然紧随其后,由
此也就决定了IS 审计的势在必行。透过
IS 审计师资格考试的内容使我们看到
了IS 审计对知识与技术要求的高难度,
尤其是近年来对某些企业单位的IS 审
计之实践更使我们感到任重而道远。因
此,起步伊始的我国IS 审计,倘一开始
就能够借鉴国外先进的经验,追踪国际
惯例,并针对国情提出自己的发展对策,
无疑可以健康发展。
计算机审计与IS 审计两者绝非泾
渭分明,而两者究竟应当遵循哪些审计
准则,是近期内我国应当重点研究的问
题。诚然,从技术的角度看,国际IS 审计
标准、指南和程序已经日臻完整和成熟,
我国似无另起炉灶之必要,但由于我国
企业单位种类繁多,许多内外环境与国
外迥然不同,如果没有切合国情的部门
规章和规范性文件对IS 审计加以指
导,则可能欲速不达。因此,应当结合
我国IS 审计的现实状况,根据实践经
验、具体业务流程和技术方法分期发
布相应规章与规范性文件,逐步规范
我国的IS 审计。
【参考文献】
[1] Jack J.Champlain:Auditing InformationSystems,2sted,John Wiley &Sons,Inc.2003.
[2] 张德明,译.国际审计准则[M].大
连:东北财经大学出版社,1990.
[3][美]W.Thomas Poter,等著.计算机
审计[M].李大庆等,译.北京:中国
财政经济出版社,1990.
[4] 潘晓江.电子计算机审计与数据可靠
性控制—会计电算化之后现代审计
的对策[J].会计研究,1983(5)、(6).
[5] 王光远.管理审计理论[M].北京:中
国人民大学出版社,1996.
[6] 胡克瑾.IT 审计[M].北京:电子工
[论文关键词]审计 信息化 计算机审计
一、我国审计信息化建设的必要性
1信息化是审计适应环境变化的需要
随着我国企业信息化建设的迅猛发展审计环境发生了很大变化。如:企业管理正由”实物流”价值流向信息流转变,很多企业实现了管理自动化和网络化.企业的财务管理和会计核算电算化正在普及。另外.电子商务的兴起,使得大量的经济业务通过网络进行实现了贸易无纸化。这些变化对审计的对象范围.线索以及审计程序造成很大影响.迫使审计利用现代信息技术手段,实现信息化。
2信息化是加入WTO后审计参与国际竞争的需要
加入WTO后,我国的审计行业,尤其是社会审计机构面临着激烈的竞争。审计市场竞争的关键主要在于两个方面:一是业务范围二是执业成本。目前,发达国家的会计师事务所在信息化方面已经发展到较高的水平.如AICPA和CtCA在1997年就将业务范围拓展到电子交易网站的审计.香港会计师公会也推出了“网誉认证”服务。与之相比.我国还有一定差距.如对信息系统的审计还鲜有触及。因此.要想在激烈的竞争中立于不败之地.就必须尽快实现审计信息化。
3信息化是审计自身发展变革的需要
从审计自身的发展来看,也涌动着变革的动力,主要表现在审计效率和审计风险的矛盾;中突上。传统手工审计条件下.审计人员为了提高工作效率常采用抽样审计方法.而抽样审计本身就具有一定的风险。审计信息化正是解决这一矛盾的有效途径.因为利用计算机不仅使抽样技术更科学.还能对某些重要项目进行详细审计,这就在大大提高审计效率的同时.也降低了审计风险。
二、我国审计信息化建设的现状
1审计信息化建设已经起步但仍处于较低层次
审计不实现信息化就无法适应经济发展的需要.这一观点已经引起我国政府和审计界的高度重视。2002年审计署启动了审计信息化项目金审工程的建设。两年多来.工程建设进展顺利.审计工作急需的被审计单位资料库、审计专家经验库、审计文献资料库三大数据库业已建成。可以预计,”金审工程”的建设必将使我国的审计工作发生历史性变革.必将极大地推进我国审计信息化的建设。但从目前来看.我国审计信息化的总体水平还比较低。在审计实践中.许多审计人员还是绕过计算机系统.采用手工方法进行审计.因而难以获取充分、适当的审计证据,审计质量难以保证。
2审计软件开发取得显著成果但还不够完善
我国的审计软件开发近年来取得了显著进步.特别是在审计法规检索系统.审计信息管理系统等方面取得了较大成功。基建工程预决算审计、财政预算执行审计.银行审计、海关审计等多个行业审计软件得到成功开发和推广应用。但是由于我国审计软件市场不够完善,审计软件的开发模型不像财务软件那样清晰,使得审计软件的开发难度远远大于财务软件众多的软件开发商热衷于通用性高、维护成本低的财务软件.而不轻易涉足审计软件。
3培养了一批审计人才,但整体上利用计算机审计的能力不足
随着审计信息化的多年准备和逐步发展,我国审计行业已经培养了一大批计算机审计人员.但总体上还达不到审计信息化的要求。虽然掌握了一定的计算机基础知识和审计软件的操作技能.但在根据实际工作需要编写相应的审计程序模块等较高层次的应用方面还很欠缺还离不开计算机专业人员的协助。
三、我国审计信息化建设的构想
我国的审计信息化建设应该遵循“先易后难、分步实施、逐步完善的原则.分三个层次来逐步推进。首先是要实现计算机辅助审计.其次是构建审计信息系统.第三层次是达到信息系统审计。
1计算机辅助审计
计算机辅助审计是指审计人员利用计算机设备和软件来辅助审计工作。计算机辅助审计可以使审计人员从冗长乏味的计算工作中解放出来更多地将注意力集中于那些需要专业判断的部分.从而提高审计工作效率。具体来说.计算机技术可以辅助审计人员完成以下工作:(1)数据采集与转换。利用计算机技术可以识别不同会计软件的数据格式并将其转化为通用的数据格式。(2)审计抽样。在手工条件下需要人工计算的总体容量.抽样容量及标准估计值等工作均由审计软件自动完成.因而方法更科学.结果更客观。(3)数据分析与计算。将计算机技术用于分析性审计程序.可以非常快捷、方便地得到分析结果。(4)项目管理。计算机软件可以辅助审计人员完成编制审计计划.记录审计日志、生成审计底稿、撰写审计报告、管理审计档案等工作。
2审计信息系统
审计信息系统(AIS)是在计算机辅助审计得到广泛应用的基础上.将多种审计模块集成到企业管理信息系统(MIS)中构成的一个子系统.它具有多种功能.既可以对企业的投资决策、生产经营和财务管理等进行全过程动态审计.也可用于进行经济责任审计,还可以充当企业经营管理.辅助决策的工具。
审计信息系统的构建是审计适应企业信息化的重要体现.其主要作用是:(1)将审计模块集成到企业MIS中.对经济活动进行实时监控.变事后审计为事中或事前审计。(2)对审计对象全过程监控.及时发现问题并及时纠正.变静态审计为动态审计。(3)变监督为服务.审计不再局限于监督.而是可以为企业管理提供更多的信息服务。(4)AIS与MIS的紧密结合,使审计突破了对单个对象审计的局限,实现由战术审计向战略审计转变。
3.信息系统审计
随着网络经济的出现,人们对处理和传递信息的计算机系统的安全、可靠和有效性更加关注。这就要求审计内容不能仅仅局限于系统处理的结果,而要延伸到系统本身,即对信息系统进行审计。我国目前在这方面还处于探索阶段,但是建立信息系统审计制度,开展信息系统审计已是大势所趋。
信息系统审计是运用一定的技术手段对计算机信息系统的安全性、可靠性和有效性进行审查与评价的活动,一般包括系统开发审计.系统运行审计和系统控制审计。主要作用是(1)评价系统处理流程的可靠性,提高系统的安全性。(2)验证系统信息的正确性、适当性和数据的完整性。(3)促进企业充分利用系统的各项资源提高系统运行效率。(4)提高系统的合法性,确保系统符合国家法律法规的规定。
四、我国审计信息化建设的几项措施
1提高对审计信息化的认识
要加强对审计信息化的宣传力度,提高对审计信息化重要性和必要性的认识,同时也应认识到我国开展计算机审计的时间还不长,无论是审计人员还是被审单位都有一个逐步适应的过程,不能盲从或过分依赖计算机,要有针对性、有重点地将计算机技术融入到审计中来。
2完善计算机审计规范
我国审计信息化的制度规范还不完善,尤其是多数财务软件在设计时不考虑审计的需求,导致审计软件与财务软件难以对接这对审计的效率和质量造成很大影响。因此,加强计算机审计的立法,进一步制定并完善计算机审计的制度规范显得尤为迫切。
3注重应用,在实践中提高
将计算机技术运用于审计实践,增加审计的技术含量,提高审计的质量和效率是审计信息化的根本任务,但是审计信息化不是一蹴而就的,需要不断实践,逐步提高。因此审计信息化建设要注重应用,讲求实效。在组织力量对审计软件进行攻关的同时,也要根据审计的实际需要开发一些具有行业和地方特色的小软件、小模块,从一个个小闪光点做起.积少成多。
论文关键词:计算机辅助审计,账套式审计模式,数据式审计模式
账套式审计模式作为一种计算机辅助审计正在被广泛应用,被审计单位的财务数据和业务数据大多数都能在审计软件中实现数据采集和转换,便于审计人员用自己熟悉的方式对财务数据和相关业务数据进行分析和审核。然而,审计软件的发展总是落后于财务软件的发展和变化,财务软件多种多样,数据结构和后台数据库形式不一,有时无法实现财务软件数据和业务系统数据与审计应用软件的对接,有时使用审计应用软件采集分析业务数据要比直接在数据库系统中分析数据更加繁琐。
数据式审计模式与账套式审计模式不同,数据式审计模式不是将被审计单位的电子数据转换成规定的电子账套,而是直接把被审计单位的财务与业务电子数据作为审计对象。数据式审计模式更加科学地考虑到计算机系统内部控制的因素,考虑到电子数据预处理过程中的数据质量定义,它将“适合使用”作为衡量数据质量的标准。数据式审计模式是计算机审计的未来发展趋势。
一、账套式审计模式与数据式审计模式结合应用的必要性
计算机辅助审计是循序渐进的过程,一步到位采用数据式审计模式,对审计人员的专业素质要求显然太高了。
在现阶段,账套式审计是不可或缺的,也是审计现状的要求。例如AO(2008)在设计上充分体现了审计质量控制原则和流程,从编制审计计划、开展审前调查、制定审计实施方案、收集审计证据、编写审计日记和审计工作底稿、撰写审计报告、审计复核、审计归档等全过程进行控制,能实现建立项目、财务数据采集、账簿凭证浏览查询、审计抽样、项目数据筛选、日常会计资料的分析计算、财务指标分析、审计底稿和审计报告编制、辅助工具、系统管理等多项功能,以计算机管理方式实现了规范审计行为、健全审计程序、明确审计责任、提高审计质量的目的。
然而,当前审计软件的发展并不能满足这种变化的需要,如,审计软件的开发仍没有摆脱传统的手工审计模式,仅适用于一些固定的查帐的程序,跟不上信息化的发展要求,等等。而且,通过账套式审计模式采集的财务数据和业务数据,一般是经过数据清理或整理的“有用”数据,只是被审计单位数据库系统中的部分数据,其它大量可利用数据沉淀于采集的数据之外,同时也将一些审计线索隐藏起来。从隐藏的数据中“淘取”有用数据要通过数据式审计来实现。只有将账套式审计模式采集的数据与数据式审计模式淘取的有用数据进行重新分析,才能解决审计软件采集数据缺失的问题,实现审计数据获取的完整性。
账套式审计模式与数据式审计模式各自在审计中发挥着应有的作用。相比之下,数据式审计比审计软件占据优势,效率更高,但审计软件的项目管理和工作底稿功能、人员管理功能、信息交互功能,是数据式审计不能直接实现的。因此,在审计工作中将账套式审计与数据式审计结合应用。
二、账套式审计模式与数据式审计模式结合应用的路径
1.提高审计队伍信息化素质。
一方面,以普及应用现场审计实施系统为目标,开展学习培训,使审计业务人员通过认证考试,使现场审计实施系统成为审计人员普遍掌握的审计工具;另一方面,积极探索,按照审计信息化发展的要求,培养和造就计算机审计高级人才,从而为账套式审计模式与数据式审计模式在审计工作中结合应用做人本准备。
2.不断优化审计软件。
以应用为导向,按照审计业务和管理工作的实际需要,开发完善审计应用系统,推进计算机技术在审计业务中的应用。并不断地总结审计人员和相关计算机专业人员的实践经验,将审计思路和计算机语言紧密相联,优化审计软件,使其更加实用。如AO(2008 )就设计了界面操作按钮,可以让审计人员简单、方便地完成基本审计查询操作,还提供了图形化SQL功能,并不需要太多数据库专业技术知识。从而为账套式审计模式与数据式审计模式在审计工作中结合应用做物质准备。
3.规范管理软件与财务软件的开发设计,使其与审计软件相匹配。
由财政部牵头,会同工信部等有关部门,规范财务软件和管理软件的开发设计。管理软件及财务软件应建立标准的审计数据接口,使审计时顺利实现数据导入与转换,从而节省审计人员的时间和精力,提高审计效率。此外,在财务软件与管理软件中设置相应的模块,让系统能提供完整的数据修改日志,使审计线索更加清晰有效,这就要求在软件开发过程中设计相应的内部控制子系统。从而为账套式审计模式与数据式审计模式在审计工作中结合应用做技术准备。
4.建立健全审计信息化标准规范。
依托全国审计信息化标准化技术委员会,积极组织国家标准的制定和修订,完善审计信息化建设与管理规范。构建以审计信息化方面的国家标准、审计准则、审计指南为主要框架的规范体系,推进审计信息系统有序建设、有效运行。总结和推广计算机审计专家经验,建立各专业审计领域的计算机审计方法体系,积极研究探索审计抽样、控制测试、风险评估等方面的信息化实现技术和方式。从而为账套式审计模式与数据式审计模式在审计工作中结合应用做制度准备与方法准备。
5.突破账套式审计模式与数据式审计模式结合应用的难点。
将数据式审计获取与发现的底层有用数据与账套式审计中获取的财务及相关信息综合起来,进行关联分析、统计分析,从多维角度发现审计疑点,获取审计证据,实现审计目标。然而,一笔完整的业务在后台数据库的存储形式很复杂,一般会分散在多个数据表中,数据库系统中每张表代表不同的数据信息,财务软件系统和相关业务系统使用的后台数据库不同,数据表结构也不相同,如何找到数据的特点和规律,有效使用关联、排序、分组、筛选等技术工具对其进行分析是账套式审计模式与数据式审计模式结合应用的难点,需要在结合应用中给予突破,为账套式审计模式与数据式审计模式结合应用打破瓶颈。
6.合理配备审计项目组成员。
在审计工作中,审计项目组人员配备要考虑审计项目组成员的业务能力、工作经验和专业水平,审计经验丰富的老审计人员一般对于计算机技术都不很精通,而年轻审计人员计算机知识丰富,但审计经验略显不足。若审计采取账套式审计方式,则在审计组有一人能够将被审计单位的账务数据和业务数据导出,就能够为整个审计团队所分享,实现信息共享,顺利完成审计工作,实现审计目标。从而为账套式审计模式与数据式审计模式在审计工作中结合应用做组织准备。
参考文献:
【1】徐瑾.基于信息化环境下数据式审计的特征与实施路径【J】.《审计与经济研究》,2009(1)
近年来,襄樊市审计局加大计算机建设与应用步伐,在计算机辅助审计方面进行了有益探索,先后在企业、财政、金融、农林水、行政事业等行业38个单位尝试进行计算机辅助审计,取得了较好成效。在审计数据采集与分析、软件开发与应用等方面有了一些初步的经验和体会。
一、计算机辅助审计的主要步骤
(1)可行性分析。主要是调查了解被审单位会计信息的管理现状,看其计算机使用水平能否满足审计项目的方案要求(质量、时限等),从而确定是否采用计算机辅助审计。
(2)审前准备。主要是配备相应的电脑和熟悉计算机应用的审计人员,选择符合财政部规定、适用性强的审计软件。制定审计方案、下发审计通知书等;
(3)现场审计。主要包括数据采集和数据分析两个环节。数据采集就是应用一定的方法,对被审单位的数据信息进行迁移,按审计方案的要求以及财务管理的基本原理进行整理;数据分析就是应用相关审计软件对采集到的数据进行分类、筛选、归并、统计和分析判断,从中查找被审单位财务管理中的疑点线索,发现违纪违规问题,汇总相关数据,以满足审计报告的需求。
(4)审计报告。在传统手工审计的基础上,结合计算机辅助审计将采集到的数据,应用计算机进行结论性审计文档的处理,形成审计报告,出具审计决定。审计意见书等,并由此形成被审单位电子数据库的部分数据。
二、数据采集的主要方法
在分析被审单位电子记帐数据的完整性的基础上,确定采用计算机辅助审计,我们主要采取以下方法来进行数据采集。
第一步:导出被审单位财务管理数据。在实践中主要采取三种方法:
(一)直接使用被审单位的财务管理软件,将数据导出为通用数据库格式(如:mdb、xls、txt等)。其优点是:适用范围宽、导出数据随审计人员的意愿,因而是审计人员首选也是运用最多的数据导出方法。因为一些著名的财务软件为证明自己的“开放性”、“兼容性”特征,都具备“数据可被第三方软件使用”这一功能,诸如:用友、金碟、远方等,并且版本越高,此项功能越明显。而且从审计情况看,如今不少行政企事业单位大都使用上述软件。
如在对樊城公安分局的审计中,该单位使用的是用友M8.0财软,我们就直接将其总帐、明细帐分别导成一个通用数据库如mdb的两张数据表;在对全市民政系统审计中,因该系统使用了用友M7.0,一次只能将总帐、明细帐的一个科目导成一个通用数据库,因此我们就根据需要,生成了多个科目的多个相关数据库。另外有些软件开发商专门设计了特定格式的导出,如:电力系统使用的远方财软4.XX版本,高度自动化设计,财务人员只需输人原始资料,数据汇总、帐表生成等全部由系统自动完成,其操作程序符合财政部最新颁布的会计制度,审计人员可将其中所有汇总表格和明细帐的查询结果导出为EXCEL格式,利用帐页查询功能,完成电子数据的采集工作。当然一些高端数据库软件,如:使用SQLServer、DB2等作为数据仓库开发的财软,由于这些服务器端的专业数据库软件本身具有强大的分析、备份和安全恢复等功能,因而客户端的应用软件也就没有必要开发数据导出功能了。
(二)直接使用被审单位企业(财务)管理软件而产生的备份数据。
因为几乎所有的企业(财务)管理软件都具有数据的备份和恢复功能。我们完全可以将数据的备份带回,在自己的电脑中进行恢复。这种方法最大的优点是导出的数据最完整(甚至包括软件的
使用日志、用户权限及密码等),分析起来最方便。由于用户软件本身具有强大的分析和查询功能,因而不需要借助任何第三方的辅助分析软件或数据库软件。但其缺点是必须有一套与被审单位软件一致的能使用的软件,且有多少个审计对象,你就需要准备多少个软件。这类商业软件由于审计人员只用于辅助审计,不作为生产使用,因而购买起来极不经济,其来源主要是通过以下方式获得:一是使用演示版软件,由于相当多的演示版软件与标准版软件仅在表证的打印上有区别,因而使用演示版软件没有问题。二是使用软加密方式的软件。相当多的软件是通过合法用户名和系列号来限制使用的,我们可以用被审单位软件的用户名和序列号在自己的电脑在进行安装软件,再将备份的数据恢复进来就可使用了(如:远方财软)。三是使用“光盘市场”版软件,目前光盘市场提供的版本相近的经过解密的软件,如:用友、金碟、交易等大腕软件,基本上都可以使用。四是与软件公司协商,支付少量费用,借用软件公司同版本号的正版软件和限次软件。
(三)直接将用户软件的原始数据库表导出。
就是使用专业数据库,如:SQLServer等,直接使用专业库的管理工具将数据导出。这种方法的特点是对审计人员的计算机技能提出了较高要求。主要表现在:l、软件的开发者为减少数据的冗余而采用了关系表,用户采用了这些表在自己的电脑中分析时需自行定义关系。2.这些表一般都为原始数据,审计人员要得到自己的记录集需自建查询集(视图)。3、这些表多为英文或拼音组成的字段(为了适应更多的开发工具)且有许多认证字段,完全搞清楚还费点周折。但是如果将上面问题都搞清楚了,使用通用数据库软件和专门的辅助审计软件分析起来还是比较方便的。
第二步、导出数据迁移
一般情况下,将数据导出后必须存入审计人员的电脑中,置于审计人员自己定义的某一目录下。这一点,要视实际情况的不同,分别采取不同的对策,从审计实践看,不外乎有以下王种情况:
(一)若数据文件总量在SM以下,通常采用压缩软件如:winzip等将数据压缩成几张盘,将数据带走。
(二)若数据文件总量在SM以上,如采用压盘方法由于盘片较多,恢复成功的风险较高,因而一般采用外置硬盘的方法,将数据在不压缩状态下直接导入自己的硬盘。
外置硬盘有打印机接口的外置硬盘和USB接口的外置硬盘。USB接口的硬盘支持热插拔,打印机接口的硬盘支持老一些的电脑,外置硬盘通常由外置硬盘盒加普通硬盘组成,这是一种最经济最方便的数据迁移的方法。
(三)若审计人员随身携带有笔记本电脑(带以太网卡)且被审单位也组建了局域网,可直接采用电脑与电脑对拷的方法实现。这里也有两种方法:
1、笔记本电脑与数据源电脑直接对持。审计人员需自己制作一条网络线(将普通的网络跳线12.36对调),将两台电脑配成对等网,在数据源电脑中将自己需要的数据目录设置“共享”后,拷入笔记本电脑。
2.网络下载。审计人员将自己的笔记本电脑接入被审单位的网络,找一个被审单位空闲的PJ45信息接口,配置好网络获取一个合法网络帐户,进入网络后,将数据源电脑中的数据持出。
三、如何进行数据分析
在审计工作中,我们大都要使用通用的或专门的软件分析数据。因为通用的数据库软件具有极其强大的分析功能,使用起来也特别方便灵活。若审计人员很熟悉诸如:Foxpro、access、SQLServer或SQL语句之一种,基本上就可以不依赖任何辅审软件独立开展计算机辅助审计了。以我局对湖北化纤集团审计为例,我们直接将被审单位的数据采集回来后,导入access2000,利用access2000中的可视化的查询分析器对数据进行筛选,得出所需要的数据。但是现阶段不少审计人员并不熟悉专业数据库软件的使用,尽管诸如access、foxpro、SQLserver等使用起来都很方便容易,但对相当多的审计人员来说仍有一定困难,这样就可结合使用相对而言更易使用的一些软件,诸如:南京特派办的《审计数据采集分析软件》等。
从实际情况看,我们主要是采取以下几种方法进行数据分析的:
一是利用被审单位软件的自身查询功能,发现不正常的会计分录。主要通过查看明细帐、记帐凭证,审查会计科目的对应关系,发现不正常的会计分录。如:“实收资本”科目一般对应“现金”、“银行存款”或者是“存货”等资产类科目,如在查询中发现,有的对应科目却是“应付款‘、”其他应付款“等科目,就可将这种不正常的会计事项作为审计重点,经调阅有关的原始凭证和调查相关往来单位,发现该单位虚列股本、转移国有资本、化公为私等问题;
二是利用被审单位软件数据转换功能,结合《审计数据采集分析软件》的查询、筛选等功能,发现违规支出。以“费用”审计为例,首先将把被审单位数据库中“管理费用”、“经营费用”和“财务费用”明细帐打开,将数据转换成EXCEL格式,通过《审计数据采集软件》进行查询摘要、筛选数据,经调阅有关的原始凭证和审计相关单位,发现费用中违规支出问题。
三是利用分类汇总、规划求解和拖动复制柄等功能,发现收入不合规等问题。比如审查债权债务,湖北化纤集团涉及的往来单位共有1938个,往来款总额数亿元,若一个审计人员用人工查账法,按帐龄分析其发生的现状,摸清其真实合法情况,需要一个星期。但运用计算机辅助审计,在EXCEL电子表格中,按照“单位”、“帐龄”等检索条件,一个小时之内查出三年以上不良资产1000多万元,往来单位1360个;二年至三年往来单位269个,金额3000多万元;又如在今年的电力行业审计中,在审查电价标准方面,我们首先将被审计单位用电量数据库采集过来,存为EXCEL电子表,用电总量中分居民生活电量、农民排灌电量、优惠
一、文献分类及统计结果
迄今为止,只有少数几位学者对我国计算机审计研究加以回顾。陈伟等(2007)结合国内外的研究,对计算机辅助审计技术(GAATs)进行了总结性回顾,探讨了GAATs的概念和分类,详细分析了GAATs的两类技术,即面向系统的七种GAATs,和面向数据的五种GAATs,并对GAATs研究发展进行了展望。李青春(2011)对计算机审计进行了文献综述,从计算机审计研究变迁的视角出发,探索了其五个发展阶段,并对计算机审计理论体系、核心动力与制约因素,研究者的敏感度、心态变化与用词倾向进行了回顾,认为目前计算机审计研究正处于一种平台期,需要进行理论和实务的突破。刘国瑶(2011)从国外信息系统审计理论的发展,基础理论研究,基本概念研究,应用研究四个方面进行了梳理和简短评述。现有的文献综述主要问题是研究所选取的文献范围比较狭窄,选取标准“有代表性文献”比较模糊,没有对研究内容进行综述,这些不足为本文的研究提供了契机。
本文基于中国期刊全文数据库(CNKI),对1983年~2011年有关计算机审计研究的文献进行了回顾分析,所选取的时间范围设定为“1980~2011”,期刊设定为“核心期刊”,以“计算机审计”、“电算化审计”、“计算机辅助审计”、“信息系统审计”、“IT审计”对“题名”进行“模糊”搜素,然后对搜索结果进行了分类合并,最终根据182篇文献的内容加以分类统计。把对计算机审计的研究分为基本理论问题研究,计算机审计技术应用研究,计算机审计风险问题,计算机审计发展与其他方面的研究四个方面,然后对每一方面再按不同的主题进行细分,进一步分为计算机审计基础理论研究,制度准则问题,计算机技术应用,内容与方法,案例应用研究,风险问题探讨,发展问题研究,人才培养问题,研究综述,其他等十个方面。接着采用归纳法对取得的文献样本进行分类统计,最终得到的统计结果如图1所示。
二、基本理论问题研究
(一)基础理论 基础理论研究集中在计算机审计基础理论和信息系统审计基础理论两个方面,由于信息系统审计发展较快,重要性也快速提高,所以必须从计算机审计中分离出来单独加以研究,统计显示,近10年来对信息系统审计理论的研究比较丰富。关于计算机审计的基本理论,张金城(1995)认为计算机审计的理论体系应由理论基础(哲学,审计学,系统论、信息论、控制论和行为科学,计算机科学,数学等五大学科理论),基本理论(涵义,内容,意义等),实务理论(电算化信息系统审计实务理论,计算机辅助审计实务理论)组成。唐飞兵(2007)借鉴传统审计理论的基本原理,构建了计算机审计理论结构框架,即以审计环境和审计本质作为研究的逻辑起点,利用审计理论基础知识体系,通过审计的本质和特定的审计环境相互作用和互动形成审计目标,并以审计假设为前提,演绎出审计概念和审计原则。关于信息系统审计理论,周剑(2001)从“审计学”的概念出发,探讨了信息系统审计独特的审计职能、对象、方法、标准和证据等问题,建立了企业信息系统审计的基本理论框架。唐志豪(2007)借鉴蔡春教授提出的审计理论结构,从审计的本质出发构建审计理论结构体系,提出了信息系统审计理论结构六要素模型(本质、假设、目标、规范、信息和控制)。谢岳山(2009)提出了信息系统审计的审计目标及审计内容,在此基础上从审计理论基础、审计标准、实践环境、审计方法以及审计工具等多方面提出了联网环境下信息系统审计模型。根据该模型,着重分析信息系统审计的具体内容,提出了相应信息系统的审计内容框架,将审计内容划分为内控审计和系统本身审计两个方面。并从物理层次的审计以及逻辑层次的审计详细描述了系统本身审计的内容。王振武、张子瑾(2011)探讨了信息系统审计理论的结构框架,认为该框架应由信息系统审计基本理论和应用理论构成,并特别指出,信息系统审计环境和信息系统审计本质应是理论结构的最高层次,理论研究的逻辑起点,并起着统驭整个信息系统审计理论结构的导向作用。
(二)准则、规范研究 理论是实践的基础,而准则为实践提供了基本的指导。对准则的研究也分为计算机审计和信息系统审计两个方面的内容。关于计算机审计准则,张德山等(1991)初步探讨了计算机审计工作的规范问题。张金城(1997)首先探讨了加强计算机辅助审计制度建设的意义,然后提出了计算机辅助审计制度建设应遵循的原则,主要包括合法性,针对性,可行性,监控性和借鉴国外相关制度,并从微观和宏观两个方面系统讨论了计算机辅助审计制度应包括的基本内容。刘中华(1998)根据国际审计准则15《电子数据处理环境下的审计》第3条和第9条详细阐述了电子数据处理环境下内部控制的内容,并对此进行了研究与评价。我国的信息系统审计研究起步较晚,讨论一般也是借鉴ISACA的信息系统审计准则展开讨论。陈婉玲等(2006)对ISACA的信息系统审计准则及发展进行了简要介绍,在此基础上,主要借鉴了ISACA信息系统审计准则的体系,内容和制定方式等,提出了制定出适合我国国情的信息系统审计准则的一些建议。马良渝等(2007)辨析了ISA准则体系中标准、指南和程序三个层次的结构关系及标准与指南之间的交叉关系。李汉文等(2010)借鉴了制度经济学的有关原理,在介绍国内外信息系统审计相关规范的基础上,对我国信息系统审计规范供给的非均衡状态进行了分析,认为我国应整合信息系统审计准则制定资源,以便推进我国信息系统审计规范制定进程。刘杰等(2011)探讨了我国信息系统审计规范制定路径依赖的基础,分析了当前我国信息系统审计规范制定的困境,并提出打破现有路径依赖的途径。
三、计算机审计技术应用研究
(一)计算机审计技术研究 对全部182篇文献进行翻阅,手工收集整理论文所涉及的课题研究,发现共有20个课题,其中与计算机审计技术相关的课题13项(4项是国家级),可见国家对计算机审计技术研究的重视,也说明计算机审计技术研究的难度非同一般。对计算机审计技术的研究大致分为计算机技术在审计中的运用和模型构建两个方面,前者对计算机知识的要求相对要高。关于计算机技术在审计中的运用,杨小虎等(2000)探讨了数据仓库技术在计算机审计中的应用。万建国等(2000)分析了计算机审计软件需求分析常用的方法、技术和工具。孙兴国等(2000)讨论了开放数据库互联技术 (Open Database Connectivity)在计算机审计中的应用。张进等(2004)分析了数据清理在电子数据采集中的重要性,在阐述数据清理原理的基础上,研究了解决电子数据采集中常见问题的数据清理方法,并指出了电子数据采集中数据清理的研究方向。文巨峰等(2005)提出了一种基于计算机审计的多Agent系统体系架构,分析了该结构中各子系统的组成及各Agent的功能特点。并介绍了该系统中移动审计Agent和移动Agent服务器设计实现。汪加才等(2006)给出了一个基于移动数据挖掘服务的计算机审计框架模型。何玉洁等(2006)讨论了SQL 查询和OLAP 分析这两种技术在实际审计中的应用成果,展示了它们在计算机审计实践中的特性和前景。米天胜等(2006)分析了计算机审计的一般流程,指出审计数据的采集和采集后数据的清洗、集成、转换是与审计数据质量息息相关的关键环节。在对多种数据质量问题进行了详细分析和分类的基础上,提出了提高审计数据质量的一般处理方法和可实现的技术。黄永平(2006)探讨了孤立点分析方法在计算机审计中的应用。叶焕倬等(2010)为解决计算机审计数据采集中存在的大量字段匹配问题,提出了基于智能匹配的数据采集技术。关于模型构建方面,黄作明等(2000)对审计模式进行了一些归纳和探讨,并提出了几点发展方向。来明敏等(2004)探讨了四种计算机审计模式,即绕过,穿过,利用,在线实时(网络)计算机审计模式。文巨峰等(2004)在综合分析现有计算机审计软件系统基础上,指出网络环境下的计算机审计系统模型应该具有的特点要求,并依此提出了基于移动Agent的分布式审计系统模型。廖志芳等(2006)在深入调研众多被审计单位信息化环境及数据分布特征的基础上,提出了三种符合我国联网审计实际的新型联网审计组网模式,即集中式、分布式和点到点式组网模式,同时利用集中式海关联网审计组网模式对各组网模式的基本组成要素、需解决的关键问题及技术实现进行了较深入阐述。陈大峰等(2009)根据P2P技术下的计算机协同审计的特点,构建了P2P技术下的计算机协同审计模型。唐志豪等(2010)从目标、内容和流程三个维度建立起信息系统审计的业务模型。
(二)计算机审计内容与方法 对于计算机审计内容,学者从不同的角度进行了讨论,杜越强(2004)探讨了计算机审计中的四大内容,即对信息系统输入的审计,对数据库的审计,对网络系统的审计,对信息系统输出的审计。张福蕊(2004)探讨计算机网络环境下会计信息系统审计的内容(硬件,控制事项,处理事项,数据,安全事项)。吴沁红(2008)从信息系统构成要素、信息系统生命周期和信息系统管理三个维度入手,综合分析了信息系统的逻辑结构,构造了信息系统审计内容的基本框架,并对信息系统审计的内容与审计目标进行了阐述。对于计算机审计的方法,李光凤(2001)讨论了对会计电算化系统应用程序的七种审计方法,包括检测数据法,整体检测法,程序编码比较法,受控处理法,平行模拟法,嵌入审计程序法,追踪法。杨莉(2002)探讨了实施信息系统审计的主要方法(加强联网建设,改变审计方式,采用矩阵审计模式等)。罗莉、张亚连(2005)分析了在不同的计算机信息系统建立方法下(应用软件外包法,资源外包法,最终用户开发法),如何进行内部审计和外部审计的分工协作,从而保证信息系统的效率性,安全性,合法性。
(三)案例应用研究 对案例应用研究探讨的多数文献主要是审计署各特派办的人员所发。大量的文献集中在《中国审计》刊物上,这与我国1998年筹划,2002年10月底正式展开的金审工程有关,作为金审工程的主力推动者,审计署特派办人员根据长期的实际工作经验,对相关案例进行整理分析并撰文总结,得出了相应的研究成果。案例应用主要集中在公司和业务两个方面。对具体公司进行计算机审计探讨的有,刘世新等(2002)探讨了商业银行信息化与计算机审计的相关问题。邝作等(2002)对银行业,刘欢(2002)对行政事业单位,蔡峰(2003)对海关等审计中计算机审计案例进行了分析。欧洁等(2004)探讨了证券公司信息系统审计的关键技术。张德勇(2006)利用业务跟踪法对某航空公司进行了信息系统审计,并成功发现了该航空公司使用的收入结算系统中存在非法的销售暗扣处理模块。石勇等(2010)探讨了网络环境下的政府信息系统审计。关于业务方面,张蓉(2002)对金融,郭海鹏(2003)对再贴现业务,李向前等(2003)对税收,全宝(2003)对中央预算执行情况,李娟(2004)对水利建设资金,谭继舜(2004)对商业银行电子系统,史达等(2005)对电子政务,袁章军(2005)对失业保险金发放 ,周廉东等(2011)对城市供水等进行了计算机审计案例分析。张鹏等(2006)论述了信息系统审计在电子政务中应用的必要性和紧迫性,提出了一种电子政务中信息系统审计框架,以控制电子政务信息系统建设和改造项目的建设风险,并为改善和健全对电子政务信息系统的控制提出详细建议。吕成戍等(2007)探讨了电子政务信息系统审计的发起形式、审计责任书的内容与签订、审计工作的实施过程等基本问题。
四、计算机审计风险问题分析
(一)计算机审计的成因、防范与控制 马万民(1999)针对计算机会计信息系统的特点,分析了审计工作中可能会遇到的五种风险(系统风险,错误的连续性风险,人员操作风险,管理风险,环境风险),并对如何有效防范会计信息系统的审计风险进行了探讨。蒋家斌(2001)、曾俊等(2002)、王奇杰(2004)探讨了计算机审计的几种风险(审计软件、人员操作、财务数据、管理、固有风险、控制风险、检查风险)与防范措施(加强人员培训、内部控制审计等)。黄作明(2003)分析了远程计算机审计的风险,并提出了远程计算机审计的风险防范与控制措施。冯淑霞(2006)对计算机审计风险的形成原因做了具体分析,并从审计数据,审计方法与技术,审计方式、被审单位、评述机制等方面提出了控制计算机审计风险的对策。史振生(2008)基于外部监管及信息系统审计视角,探讨了会计信息系统建设中的风险控制与防范措施。
(二)风险量化问题 黄冰等(2007)在科学地分析影响计算机审计风险的主要因素的基础上,建立了计算机审计风险综合评价指标体系,并且将定性指标定量化,进而利用层次分析法确定评价指标的权重。然后,利用模糊数学的方法,建立计算机审计风险的多层次模糊综合评价模型。王万军(2008)提出了一种基于信息系统安全定量评分体系的审计决策模型,这为信息系统审计师在审计时采取何种审计策略提供了参考。丁建平(2009)提出了信息系统审计的CIA风险评估方法和评估模型,并探讨了CIA风险评估商业银行中的应用。
(三)风险理论 胡晓明(2007)探讨了风险导向的信息系统审计,并提出了强化信息系统审计理论,建立完善信息系统审计各项规则,充分利用先进,有效的信息系统审计技术,积极培养信息系统审计领军人才等四点关于风险导向信息系统审计的发展思路。刘国城、王会金(2011)在研究中观审计、信息系统审计、审计风险、风险管理四要素的基础上,对中观信息系统审计风险管理理论进行了梳理,并以信息安全管理为视角,借鉴国外BS7799标准、COBIT模型、通用准则CC、ITIL标准,初步构建了中观信息系统审计风险管理框架,该框架以重大错报风险为切入点,深入探索了中观信息系统审计风险管理的施行思路。
五、计算机审计发展研究
(一)发展问题 张金城(2000)提出了理论研究与实践并重、事前审计与事后审计相结合,由绕过计算机审计发展为以通过计算机审计为主,由查账型软件向分析型和专家系统方向发展,通用审计软件与专用审计软件并存等21世纪中国计算机审计的十大发展方向。于向辉等(2004)分析了我国计算机审计发展落后的法规建设滞后,软件市场不够完善等原因,提出了加快法规建设,发展审计专业软件公司,培养电算化审计人才的发展策略。胡晓明(2005)针对信息系统审计理论研究空白,审计技术落后,制度不完备,审计人才奇缺等现状,探讨了加强信息系统审计理论研究,开发实用高效的信息系统审计软件,改进信息系统审计软件评审机制,完善信息系统审计标准于准则,加大信息系统审计人才的培养力度等五大发展战略。
(二)人才培养探讨 傅元略(1998)探讨了审计人员如何提高计算机审计技能的策略,需要掌握的几种基本技能。李丹(2001)建议了如何利用国际资源建立信息系统审计人才队伍。史振生(2002)介绍了注册信息系统审计师的需求情况,考试内容和应试对策。彭建平(2005)比较深入地分析了如何进行计算机审计人才资源管理的问题。包括计算机审计机构职能定位,计算机审计处人员结构,如何引进IT人才和培养复合型人才,如何为计算机审计人才创建发展平台等。赵辉(2006)探讨了审计部门的计算机人才状况,提出了如何加强管理和培训、提升审计人员能力的若干建议。王海洪(2009)提出了高校应推进实践教学,建设以计算机审计为主要手段的审计实验室,为社会输送高水平的计算机审计人才的建议。
(三)其他方面 高浩玮(2002)针对审计过程各阶段质量质量控制的要点,指出了计算机审计下项目质量控制的难点并提出了解决对策。张倩(2005)论述了信息系统审计在IT治理中的作用、信息系统审计师和审计构架等问题。陈峰(2006)对计算机审计方式下数据分析报告的作用和必要性,基本框架,文档结构,要素内容等进行了详细探讨。
本文基于中国期刊全文数据库,对1983年~2011年发表在核心期刊上的有关计算机审计研究的文献进行回顾分析。我国有关计算机审计研究涉及面比较广泛,包括基础理论与制度问题研究、计算机审计技术与实务应用研究、计算机审计风险问题研究、计算机审计发展问题、人才培养研究等诸多方面,但也存在着对计算机审计基础理论研究不足之缺陷。伴随着计算机审计在我国的逐步应用,关于计算机审计的基础理论必须进一步加强。比如与哲学,行为科学理论、数学等相关的计算机审计基础理论研究还是一片空白,这些基础理论研究的缺失将会掣肘计算机审计理论与实务的研究。理论与实践需要紧密结合,双方形成良性互动才会有力促进学科发展。目前,在案例应用研究的文献尽管比较多,但研究内容不深入,一般都是审计署特派办人员发表的经验总结,而理论工作者又缺少深入实地研究的条件,导致案例应用研究力量非常薄弱,今后在这方面仍需要大力加强。随着信息系统的复杂化,其功能也越来越强大,但其脆弱的一面也越来越明显,计算机审计风险逐步加大,如何防范和规避风险也是以后研究的重点之一。计算机审计人才的培养是审计信息化事业的成败关键,加强这方面的探索将会对计算机审计发展有重大的战略意义。
论文摘要:回顾IS审计的发展历程,进而披露IS审计在我国的发展现状,并对产生问题的原因进行剖析,最后对如何构建完善的Is审计模型提出解决策略。
Is审计,是指Informationsystemauditing,即信息系统审计,它是指审计组织以信息技术为手段,组织计划审计项目,实施审计的全过程,以判断该信息系统是否安全、可靠和有效,并对信息系统对财务报告的影响做出判断或单独提出信息系统审计报告的全过程。以确认审计风险或评价企业信息战略、优化组织运营为目标,对组织营运所依赖的信息系统进行独立、客观确认和咨询活动。信息系统审计的内容包括两个方面:一是以信息技术为手段所开展审计工作的全过程,即计算机辅助审计技术(CAAT);二是指审计部门以组织的信息系统为对象,以风险评估或内部控制检查为手段,对该系统所产生的会计信息系统的真实性、合法性做出确认或通过优化企业信息管理,增加企业核心竞争能力即信息系统的审计或EDP审计。信息系统审计与控制协会——ISACA成立于1969年,最初称为EDP审计师联合会,总部在美国的芝加哥。目前该组织在世界上100多个国家设有160多个分会,现有会员两万多人。是信息系统审计的专业人员唯一的国际性组织,CISA(CertiifedInformationSystemAuditor)也是这一领域的唯一职业资格。该组织通过制定和颁布信息系统审计准则、实务指南等专业标准来规范和指导信息系统审计师的工作;它还设立了信息系统审计与控制基金会,从事相关领域的研究工作,以使该组织的成员能够享用其最新研究成果;通过在世界各地举办各种形式的研讨会、培训班等活动,增进国际间同业人员的交流。ISACA每年还举办CISA资格考试,通过考试的人员可以申请CISA资格,符合ISACA规定的工作经验及其他相关要求的申请人会被授予CISA资格。
1IS审计发展历程回顾
在信息系统审计的萌芽阶段,人们称之为电子数据处理审计(electronicdataprocessingauditing)或计算机审计,它是作为传统审计业务的扩展发展起来的。早期的计算机应用比较简单,相应地,计算机审计业务主要关注对被审计单位电子数据的取得、分析、计算等数据处理业务,还称不上信息系统审计。从财务报表审计的角度来看,这一阶段的主要业务内容是对交易金额和账户、报表余额进行检查,属于审计程序中的实质性测试环节。此时,它只是传统财务审计业务的一种辅助工具,对客户的电子化会计数据进行处理和分析,为财务报表审计人员提供服务。
随着计算机技术应用范围的不断扩展,计算机对被审计单位各个业务环节的影响越来越大,计算机审计所关注的内容也从单纯的对电子的处理延伸到对计算机系统的可靠性、安全性进行了解和评价。在制度基础审计的模式下,计算机审计的业务内容已经扩展到了符合性测试领域。风险基础的审计模式的采用以及信息技术在被审计单位的各个领域的广泛应用,信息系统的安全性、可靠性与其所服务的组织所面临的各种风险的联系越来越紧密,并且直接或间接地影响到财务报表的真实、公允。在这种情况下,对被审计单位风险的评估必须将计算机信息系统纳入考虑范围。发展到这一阶段,计算机审计的业务范围已经覆盖了一项审计业务的全过程,计算机审计这一概念已经不能反映这一业务的全部内涵,信息系统审计的概念随之出现。
1.1在建立信息系统审计制度,开展信息系统审计研究方面,美国走在前面
早在计算机进入实用阶段时,美国就开始提出系统审计(SYSTEMAUDIT)。1969年在洛杉矶成立了电子数据处理审计师协会(EDPAA),1994年该协会更名为信息系统审计与控制协会(INFORMATIONSYSTEMAUDITANDCONTROLASSOCIATION)即ISACA。美国是首先对网上财务信息的审计直接颁布指导性文件的国家。注册会计师协会(AICPA)为指导其会计师事务所成员,于1997年1月颁布了名为《互联网上的财务报告》(FinnacialStatementsontheIntemet)的指导性文件。该文件于1999年8月15日更新,是现阶段的最新版本。该指导性文件详细表明了美国注册会计师协会审计和鉴证组成员的立场。他们指出网上财务报告的使用者不同于传统印刷版财务报告的使用者,网上披露财务信息只是一种营销手段,网络为企业提供了时常更新其信息的可能性。
1.22001年1月,英国审计职业委员会(APB)颁布了
《网上审计报告公告》(ElectmnicPublicationofAuditorsReports)该公告主要解决了以下几个问题:(1).检查电子版财务信息的生成。(2).审计报告的用词。在对应印刷版财务报表的审计报告中,审计报告往往通过页码范围来确认已审计的财务报表。然而在网站上所的财务报表和审计报告中,使用页码范围已不合时宜,因此APB建议直接使用财务报表名称来取代页码范围;同时需要在审计报告中指出所使用的通用会计准则和审计准则的国籍。(3).信息间的链接。APB非常关注已审计信息和未审计信息之间使用超链接的问题。APB建议审计师应要求“在信息使用者通过超链接从已审计信息跳到非审计信息时,网站应能向使用者发出警告信息”。
13澳大利亚审计与鉴证准则委员会(AustralianAuditnadAssurnaceStnadardBoard,AASB)AASB是最先对网上财务信息审计作出指导的审计准则制定者。AASB于1999年颁布了审计指导声明(AGS)1050《与电子方式呈报财务报告相关的审计问题》。AGS1050的目的在于“当公司利用信息技术在公共网络如互联网上已审计财务信息时,就一些问题为审计师提供一定的指导”。AASB在AGS1050中重述了审计的基本准则,并强调“电子方式财务报告并没有改变管理当局和审计师的责任”,即财务报告的主要责任仍在管理当局。
1.4日本的系统审计是从八十年代开始,1983年通产省公开发表了《系统审计标准》,并在全国软件水平考试中增加了“系统审计师”一级的考试,着手培养从事信息系统审计的骨干队伍
2IS审计在我国发展现状及存在问题剖析
近年来,我国审计信息化建设在纳入国家信息化建设(即:金审工程)范围后,有了较快发展。在信息技术和网络技术方面逐渐形成体系,审计业务软件开发应用中也有了较快发展。但审计信息化建设在实际工作中,还存在一些不容忽视的问题,这些问题如不妥善解决将影响审计信息化建设和发展进程。
2.1审计人员对信息系统审计理解偏差,信息系统审计水平匮乏论文下载
在注册会计师的行业,由于我国CPA的市场化建设及推行较晚,现行的CPA的素质较低。同时在CPA的考试中也没有计算机方面的要求,因此绝大多数的CPA运用计算机的水平很低。CPA的审计工作仍然是传统的手工审计。计算机仅仅用作文字处理或者基本不用。有些单位计算机专业技术人员只占在职人员总数的5%左右,与审计信息化建设和发展的需要还有较大差距;同时由于计算机技术的飞速发展与知识更新培训的不足,许多审计人员的计算机应用水平及相关技能无法得到同步提高,计算机应用仍停留在较低水平上,计算机功能也没有得到充分发挥。主要体现在应用意识不强,操作技能还不熟练。因而审计系统计算机人材缺乏的问题,也是制约审计信息化建设和发展的因素之一。
2.2信息系统审计理论研究几乎是空白
信息系统审计工作目前还处于探索阶段,还没有形成一套成型的专业规范理论结构。会计、审计界所进行的一些信息系统审计的探索和尝试以及开发的一些信息系统审计软件,还大都停留在对被审计单位的电子数据进行处理的阶段。
2.3信息系统审计硬件条件严重不足
2.4信息系统审计软件条件严重欠缺
虽然我国的网络财务软件较国际先进水平的差距不大,但是由于推出较晚,目前使用面还不广。同时网络财务软件的设计没有考虑审计软件设计的需要,使得审计软件的数据收集以及其功能的发挥受到很大的制约。
2.5IS审计信息化建设效益低
2.6IS审计成本不断攀升
2.7IS审计业务水平不满足信息化发展的的要求
2.8IS审计准则及专业规范不到位
我国的信息系统审计工作目前还处于探索阶段,还没有形成一套成形的专业规范。目前我国会计审计界所进行的一些计算机审计的探索和尝试以及开发的一些计算机审计软件还大都停留在对被审计单位的电子数据进行处理的阶段。
运用传统的会计审计知识已经不能对这样的客户进行风险评估、内控测试与评价,从而无法进行真正意义上的“风险基础模式”的审计业务,影响我国会计师行业审计业务质量。这一现状使得我国的注册会计师行业在与国外大型会计公司的竞争中处于不利地位。
3基于新经济时代的完善的IS审计模型的构建策略
新经济是建立在网络经济和技术创新基础上的一种经济形态,以信息网络为代表的高新技术产业,正在世界范围内,尤其是发达国家飞速发展。因此,审计信息化建设和发展关系到我国审计事业的兴衰,体现着我国审计事业发展水平。为此,构建完善的Is审计模式成为当务之急:
31构建完善的Is审计准则体系
目前,我国的Is审计准则比较分散,不统一,执行起来具有很大难度。现有审计准则既有审计署和国务院办公厅的,又有中国注册会计师协会颁布的,而且只有一般性原则和指导意见,缺乏具体的实务公告和行业指南。并且《计算机辅助审计技术方法》只是涵盖了审计工作的一部分,针对我国目前审计实务界的现状,广泛采用的仍是系统打印出来的数据进行手工审计,即绕过计算机审计,如何对其进行规范,目前还没有相应的准则。因此,我国可以借鉴国际审计实务委员会颁布的有关计算机信息系统环境下的审计准则。因为这套准则既有一般性的原则和指导,又有具体的准则和实务公告,从独立微机到联机系统,再到数据库系统的审计和计算机辅助审计技术,内容比较全面并且结构性强。
3.2构建完善的Is审计实施体系
信息系统审计实施体系是指由IT和审计相关的学科为理论基础,以传统审计为实践基础,以审计指南为指导,以审计工具为辅助,以审计业务为核心的有机整体。构建信息系统审计实施体系的目的在于全面了解信息系统审计的内涵和外延,从而有助于该领域的进一步深入研究,也可更加有效地指导实际的审计工作。完善的Is审计实施体系如图所示:
3.3构建全面的联网审计系统
联网审计是指审计机关与被审计单位进行网络互连后,在对被审计单位财政财务管理相关信息系统进行测评和高效率的数据采集与分析的基础上,对被审计单位财政财务收支的真实、合法、效益进行实时、远程检查监督的行为。随着近年来一些地方联网审计试点的开展,有数据显示,在2003年,审计署对中国工商银行进行了联网审计,和1999年相比,全部参审人员仅为1999年人工现场审计的1.1%,人均发现的违纪违规问题却是1999年的38倍。
联网审计正悄悄改变着延续了100多年的传统审计模式。联网审计是顺应信息化发展的产物,不论在亚洲还是在欧洲、美洲,联网审计都处在试点阶段。据悉,2005年《中央部门预算执行联网审计工作方案》(以下简称《工作方案》)正式完成。《工作方案》规定,审计重点是国家工商总局等四大中央部门,将首批执行联网审计。该方案根据《审计署2005年度统一组织审计项目计划》、(2004至2007年审计信息化发展规划》、《审计机关审计项目质量控制办法(试行)》和(2005年财政审计应用计算机技术工作意见》制定。审计人员坐在办公室内就能动态甚至实时跟踪、查看被审计单位预算资金动态,从资产负债变动、预算经费收支、大额支出、预算指标执行、行政性收费等多个角度进行数据分析,发现疑点或异常后及时通知被审计单位,努力把腐败消灭在萌芽状态;在对具体项目审计中,大量的审前调查在自己的办公室内完成,进驻被审计单位前已经确定了审计重点和审计实施方案等,审计员在被审计单位的主要工作不再是查账找问题,而调查取证联网审计发现的疑点。
但联网审计,包括其试点活动都在近三年内才开始启动,联网审计无论在理论和实践中都存在很多问题,尤其是一些法律、技术、规范等多方面的难题。
(1)法律盲区是联网审计的主要障碍之一。比如,按照现有审计法规,审计机关能否具有与被审计单位联网取得数据的权力,有没有随时获取被审计单位数据并进行审计的权力,在发现问题后有没有及时通知被审计单位的权力,被审计单位有没有相对应的义务等。
(2)信息系统审计技术急需跟进。在开展联网审计前,应首先对被审计单位的信息系统进行审计;要探索适用范围更广的公网传输机制;要研究数据库技术、联机分析技术、数据挖掘技术等在联网审计中的应用;要通过与重点行业、重点领域的联网,建立审计数据中心,为审计业务提供支持。
3.4运用信息技术支撑审计管理的科学化
通过审计项目管理系统,审计人员可获得自己所需要的项目信息或上报自己的审计情况;审计组长可对审计人员的审计工作进行指导、监督和协调,并掌握审计进度情况;专职复核人员和业务部门负责人可对审计项目进行监督复核;本级审计机关领导对审计项目进行查询、指导和监督。
3.5尽快弥补我国注册会计师的知识结构缺陷
论文摘要:回顾IS审计的发展历程,进而披露IS审计在我国的发展现状,并对产生问题的原因进行剖析,最后对如何构建完善的Is审计模型提出解决策略。
Is审计,是指Informationsystemauditing,即信息系统审计,它是指审计组织以信息技术为手段,组织计划审计项目,实施审计的全过程,以判断该信息系统是否安全、可靠和有效,并对信息系统对财务报告的影响做出判断或单独提出信息系统审计报告的全过程。以确认审计风险或评价企业信息战略、优化组织运营为目标,对组织营运所依赖的信息系统进行独立、客观确认和咨询活动。信息系统审计的内容包括两个方面:一是以信息技术为手段所开展审计工作的全过程,即计算机辅助审计技术(CAAT);二是指审计部门以组织的信息系统为对象,以风险评估或内部控制检查为手段,对该系统所产生的会计信息系统的真实性、合法性做出确认或通过优化企业信息管理,增加企业核心竞争能力即信息系统的审计或EDP审计。信息系统审计与控制协会——ISACA成立于1969年,最初称为EDP审计师联合会,总部在美国的芝加哥。目前该组织在世界上100多个国家设有160多个分会,现有会员两万多人。是信息系统审计的专业人员唯一的国际性组织,CISA(CertiifedInformationSystemAuditor)也是这一领域的唯一职业资格。该组织通过制定和颁布信息系统审计准则、实务指南等专业标准来规范和指导信息系统审计师的工作;它还设立了信息系统审计与控制基金会,从事相关领域的研究工作,以使该组织的成员能够享用其最新研究成果;通过在世界各地举办各种形式的研讨会、培训班等活动,增进国际间同业人员的交流。ISACA每年还举办CISA资格考试,通过考试的人员可以申请CISA资格,符合ISACA规定的工作经验及其他相关要求的申请人会被授予CISA资格。
一、IS审计发展历程回顾
在信息系统审计的萌芽阶段,人们称之为电子数据处理审计(electronicdataprocessingauditing)或计算机审计,它是作为传统审计业务的扩展发展起来的。早期的计算机应用比较简单,相应地,计算机审计业务主要关注对被审计单位电子数据的取得、分析、计算等数据处理业务,还称不上信息系统审计。从财务报表审计的角度来看,这一阶段的主要业务内容是对交易金额和账户、报表余额进行检查,属于审计程序中的实质性测试环节。此时,它只是传统财务审计业务的一种辅助工具,对客户的电子化会计数据进行处理和分析,为财务报表审计人员提供服务。
随着计算机技术应用范围的不断扩展,计算机对被审计单位各个业务环节的影响越来越大,计算机审计所关注的内容也从单纯的对电子的处理延伸到对计算机系统的可靠性、安全性进行了解和评价。在制度基础审计的模式下,计算机审计的业务内容已经扩展到了符合性测试领域。风险基础的审计模式的采用以及信息技术在被审计单位的各个领域的广泛应用,信息系统的安全性、可靠性与其所服务的组织所面临的各种风险的联系越来越紧密,并且直接或间接地影响到财务报表的真实、公允。在这种情况下,对被审计单位风险的评估必须将计算机信息系统纳入考虑范围。发展到这一阶段,计算机审计的业务范围已经覆盖了一项审计业务的全过程,计算机审计这一概念已经不能反映这一业务的全部内涵,信息系统审计的概念随之出现。
1.1在建立信息系统审计制度,开展信息系统审计研究方面,美国走在前面。早在计算机进入实用阶段时,美国就开始提出系统审计(SYSTEMAUDIT)。1969年在洛杉矶成立了电子数据处理审计师协会(EDPAA),1994年该协会更名为信息系统审计与控制协会(INFORMATIONSYSTEMAUDITANDCONTROLASSOCIATION)即ISACA。美国是首先对网上财务信息的审计直接颁布指导性文件的国家。注册会计师协会(AICPA)为指导其会计师事务所成员,于1997年1月颁布了名为《互联网上的财务报告》(FinnacialStatementsontheIntemet)的指导性文件。该文件于1999年8月15日更新,是现阶段的最新版本。该指导性文件详细表明了美国注册会计师协会审计和鉴证组成员的立场。他们指出网上财务报告的使用者不同于传统印刷版财务报告的使用者,网上披露财务信息只是一种营销手段,网络为企业提供了时常更新其信息的可能性。
1.22001年1月,英国审计职业委员会(APB)颁布了《网上审计报告公告》
(ElectmnicPublicationofAuditorsReports)该公告主要解决了以下几个问题:(1).检查电子版财务信息的生成。(2).审计报告的用词。在对应印刷版财务报表的审计报告中,审计报告往往通过页码范围来确认已审计的财务报表。然而在网站上所的财务报表和审计报告中,使用页码范围已不合时宜,因此APB建议直接使用财务报表名称来取代页码范围;同时需要在审计报告中指出所使用的通用会计准则和审计准则的国籍。(3).信息间的链接。APB非常关注已审计信息和未审计信息之间使用超链接的问题。APB建议审计师应要求“在信息使用者通过超链接从已审计信息跳到非审计信息时,网站应能向使用者发出警告信息”。
1.3澳大利亚审计与鉴证准则委员会(AustralianAuditnadAssurnaceStnadardBoard,AASB)AASB是最先对网上财务信息审计作出指导的审计准则制定者。AASB于1999年颁布了审计指导声明(AGS)1050《与电子方式呈报财务报告相关的审计问题》。AGS1050的目的在于“当公司利用信息技术在公共网络如互联网上已审计财务信息时,就一些问题为审计师提供一定的指导”。AASB在AGS1050中重述了审计的基本准则,并强调“电子方式财务报告并没有改变管理当局和审计师的责任”,即财务报告的主要责任仍在管理当局。
1.4日本的系统审计是从八十年代开始,1983年通产省公开发表了《系统审计标准》,并在全国软件水平考试中增加了“系统审计师”一级的考试,着手培养从事信息系统审计的骨干队伍。
二、IS审计在我国发展现状及存在问题剖析
近年来,我国审计信息化建设在纳入国家信息化建设(即:金审工程)范围后,有了较快发展。在信息技术和网络技术方面逐渐形成体系,审计业务软件开发应用中也有了较快发展。但审计信息化建设在实际工作中,还存在一些不容忽视的问题,这些问题如不妥善解决将影响审计信息化建设和发展进程。
2.1审计人员对信息系统审计理解偏差,信息系统审计水平匮乏。在注册会计师的行业,由于我国CPA的市场化建设及推行较晚,现行的CPA的素质较低。同时在CPA的考试中也没有计算机方面的要求,因此绝大多数的CPA运用计算机的水平很低。CPA的审计工作仍然是传统的手工审计。计算机仅仅用作文字处理或者基本不用。有些单位计算机专业技术人员只占在职人员总数的5%左右,与审计信息化建设和发展的需要还有较大差距;同时由于计算机技术的飞速发展与知识更新培训的不足,许多审计人员的计算机应用水平及相关技能无法得到同步提高,计算机应用仍停留在较低水平上,计算机功能也没有得到充分发挥。主要体现在应用意识不强,操作技能还不熟练。因而审计系统计算机人材缺乏的问题,也是制约审计信息化建设和发展的因素之一。
2.2信息系统审计理论研究几乎是空白。信息系统审计工作目前还处于探索阶段,还没有形成一套成型的专业规范理论结构。会计、审计界所进行的一些信息系统审计的探索和尝试以及开发的一些信息系统审计软件,还大都停留在对被审计单位的电子数据进行处理的阶段。
2.3信息系统审计硬件条件严重不足
2.4信息系统审计软件条件严重欠缺。虽然我国的网络财务软件较国际先进水平的差距不大,但是由于推出较晚,目前使用面还不广。同时网络财务软件的设计没有考虑审计软件设计的需要,使得审计软件的数据收集以及其功能的发挥受到很大的制约。
2.5IS审计信息化建设效益低
2.6IS审计成本不断攀升
2.7IS审计业务水平不满足信息化发展的的要求
2.8IS审计准则及专业规范不到位。我国的信息系统审计工作目前还处于探索阶段,还没有形成一套成形的专业规范。目前我国会计审计界所进行的一些计算机审计的探索和尝试以及开发的一些计算机审计软件还大都停留在对被审计单位的电子数据进行处理的阶段。运用传统的会计审计知识已经不能对这样的客户进行风险评估、内控测试与评价,从而无法进行真正意义上的“风险基础模式”的审计业务,影响我国会计师行业审计业务质量。这一现状使得我国的注册会计师行业在与国外大型会计公司的竞争中处于不利地位。
三、基于新经济时代的完善的IS审计模型的构建策略
新经济是建立在网络经济和技术创新基础上的一种经济形态,以信息网络为代表的高新技术产业,正在世界范围内,尤其是发达国家飞速发展。因此,审计信息化建设和发展关系到我国审计事业的兴衰,体现着我国审计事业发展水平。为此,构建完善的Is审计模式成为当务之急:
3.1构建完善的Is审计准则体系。目前,我国的Is审计准则比较分散,不统一,执行起来具有很大难度。现有审计准则既有审计署和国务院办公厅的,又有中国注册会计师协会颁布的,而且只有一般性原则和指导意见,缺乏具体的实务公告和行业指南。并且《计算机辅助审计技术方法》只是涵盖了审计工作的一部分,针对我国目前审计实务界的现状,广泛采用的仍是系统打印出来的数据进行手工审计,即绕过计算机审计,如何对其进行规范,目前还没有相应的准则。因此,我国可以借鉴国际审计实务委员会颁布的有关计算机信息系统环境下的审计准则。因为这套准则既有一般性的原则和指导,又有具体的准则和实务公告,从独立微机到联机系统,再到数据库系统的审计和计算机辅助审计技术,内容比较全面并且结构性强。
3.2构建完善的Is审计实施体系。信息系统审计实施体系是指由IT和审计相关的学科为理论基础,以传统审计为实践基础,以审计指南为指导,以审计工具为辅助,以审计业务为核心的有机整体。构建信息系统审计实施体系的目的在于全面了解信息系统审计的内涵和外延,从而有助于该领域的进一步深入研究,也可更加有效地指导实际的审计工作。
3.3构建全面的联网审计系统。联网审计是指审计机关与被审计单位进行网络互连后,在对被审计单位财政财务管理相关信息系统进行测评和高效率的数据采集与分析的基础上,对被审计单位财政财务收支的真实、合法、效益进行实时、远程检查监督的行为。随着近年来一些地方联网审计试点的开展,有数据显示,在2003年,审计署对中国工商银行进行了联网审计,和1999年相比,全部参审人员仅为1999年人工现场审计的1.1%,人均发现的违纪违规问题却是1999年的38倍。
联网审计正悄悄改变着延续了100多年的传统审计模式。联网审计是顺应信息化发展的产物,不论在亚洲还是在欧洲、美洲,联网审计都处在试点阶段。据悉,2005年《中央部门预算执行联网审计工作方案》(以下简称《工作方案》)正式完成。《工作方案》规定,审计重点是国家工商总局等四大中央部门,将首批执行联网审计。该方案根据《审计署2005年度统一组织审计项目计划》、(2004至2007年审计信息化发展规划》、《审计机关审计项目质量控制办法(试行)》和(2005年财政审计应用计算机技术工作意见》制定。审计人员坐在办公室内就能动态甚至实时跟踪、查看被审计单位预算资金动态,从资产负债变动、预算经费收支、大额支出、预算指标执行、行政性收费等多个角度进行数据分析,发现疑点或异常后及时通知被审计单位,努力把腐败消灭在萌芽状态;在对具体项目审计中,大量的审前调查在自己的办公室内完成,进驻被审计单位前已经确定了审计重点和审计实施方案等,审计员在被审计单位的主要工作不再是查账找问题,而调查取证联网审计发现的疑点。
但联网审计,包括其试点活动都在近三年内才开始启动,联网审计无论在理论和实践中都存在很多问题,尤其是一些法律、技术、规范等多方面的难题。
(1)法律盲区是联网审计的主要障碍之一。比如,按照现有审计法规,审计机关能否具有与被审计单位联网取得数据的权力,有没有随时获取被审计单位数据并进行审计的权力,在发现问题后有没有及时通知被审计单位的权力,被审计单位有没有相对应的义务等。
(2)信息系统审计技术急需跟进。在开展联网审计前,应首先对被审计单位的信息系统进行审计;要探索适用范围更广的公网传输机制;要研究数据库技术、联机分析技术、数据挖掘技术等在联网审计中的应用;要通过与重点行业、重点领域的联网,建立审计数据中心,为审计业务提供支持。:
3.4运用信息技术支撑审计管理的科学化。通过审计项目管理系统,审计人员可获得自己所需要的项目信息或上报自己的审计情况;审计组长可对审计人员的审计工作进行指导、监督和协调,并掌握审计进度情况;专职复核人员和业务部门负责人可对审计项目进行监督复核;本级审计机关领导对审计项目进行查询、指导和监督。
计专业本科毕业论文要求总体上见《学生毕业设计(论文)周志》中的"哈尔滨工业
大学成人高等教育毕业设计(论文)要求",但在写作目的,选题等方面,应符合以下要求
:
〖BT1〗一,毕业设计(论文)的目的
1.提高学生综合运用所学专业理论知识的能力,探讨会计,财务管理前沿理论问题;
2.运用所学基础知识,专业知识,提高学生综合分析问题,解决问题的能力,提出并
解决财务,会计实务中存在的问题;
4.培养学生的创新精神,进一步提高学生的思想和业务素质.
〖BT1〗二,毕业设计(论文)的选题
1.论文选题应尽量理论结合实际,达到能运用所学专业知识,解决会计实践中的问题;
2.应注意选题的创新性,题目应尽量避免与往届重复;
3.选题的难易程度,工作量应适当,避免过于简单,达不到本科毕业论文要求的工作量;
也尽量避免难度过大,影响完成质量;更应避免选题面过宽,过大,无法纵深探讨.
以下论文写作方向和题目,可供大家在选题时参考:
1.标准成本法在企业中的应用研究
2.目标成本法在企业中的应用研究
3.责任会计在企业中的应用研究
4.作业成本法在企业中的应用
5.企业成本控制体系的建立
6.企业责任成本管理问题研究
7.企业成本管理中存在的问题及对策
8.上市公司信息披露问题研究
9.上市公司关联方交易问题的实证研究
10.激励股票期权理论及应用研究
11.上市公司利润操纵的行为与动机
12.资产减值对上市公司的影响
13.企业重组的会计问题研究
14.上市公司会计报表信息质量管理
15.企业兼并中的财务分析与财务决策
16.企业财务控制机制研究
17.企业激励机制的建立
18.企业并购的会计处理方法研究
19.企业存货管理中存在的问题及对策
20.资本结构理论与应用研究
21.优化企业资本结构的实证研究
22.激励和约束机制在企业成本控制中的应用
23.集权式财务管理体制在企业中的应用
24.分权式财务管理体制在企业中的应用
25.会计准则的国际比较
26.企业财务网络化管理研究
27.企业成本核算系统设计
28.计算机辅助教学系统设计
29.会计会计报表系统设计
30.计算机会计学中总账的设计分析
31.企业内部控制制度的完善
32.独立审计质量控制
33.会计师事务所的质量管理
34.企业内部审计中存在的问题及对策
35.独立审计风险的实证分析
36.审计风险及防范的实证研究
37.网络经济条件下的审计模式研究
38.电子商务下的审计风险及控制
39.人力资源会计研究
40.环境会计理论研究
41.债转股问题及对策研究
42.风险投资问题研究
43.商业银行贷款资产管理
44.会计师事务所审计项目质量控制研究
45.企业质量成本管理研究
46.集团公司内部审计问题探讨
47.企业对外投资财务控制研究
48.企业生产环节财务控制研究
计专业本科毕业论文要求总体上见《学生毕业设计(论文)周志》中的"哈尔滨工业
大学成人高等教育毕业设计(论文)要求",但在写作目的,选题等方面,应符合以下要求
:
〖BT1〗一,毕业设计(论文)的目的
1.提高学生综合运用所学专业理论知识的能力,探讨会计,财务管理前沿理论问题;
2.运用所学基础知识,专业知识,提高学生综合分析问题,解决问题的能力,提出并
解决财务,会计实务中存在的问题;
4.培养学生的创新精神,进一步提高学生的思想和业务素质.
〖BT1〗二,毕业设计(论文)的选题
1.论文选题应尽量理论结合实际,达到能运用所学专业知识,解决会计实践中的问题;
2.应注意选题的创新性,题目应尽量避免与往届重复;
3.选题的难易程度,工作量应适当,避免过于简单,达不到本科毕业论文要求的工作量;
也尽量避免难度过大,影响完成质量;更应避免选题面过宽,过大,无法纵深探讨.
以下论文写作方向和题目,可供大家在选题时参考:
1.标准成本法在企业中的应用研究
2.目标成本法在企业中的应用研究
3.责任会计在企业中的应用研究
4.作业成本法在企业中的应用
5.企业成本控制体系的建立
6.企业责任成本管理问题研究
7.企业成本管理中存在的问题及对策
8.上市公司信息披露问题研究
9.上市公司关联方交易问题的实证研究
10.激励股票期权理论及应用研究
11.上市公司利润操纵的行为与动机
12.资产减值对上市公司的影响
13.企业重组的会计问题研究
14.上市公司会计报表信息质量管理
15.企业兼并中的财务分析与财务决策
16.企业财务控制机制研究
17.企业激励机制的建立
18.企业并购的会计处理方法研究
19.企业存货管理中存在的问题及对策
20.资本结构理论与应用研究
21.优化企业资本结构的实证研究
22.激励和约束机制在企业成本控制中的应用
23.集权式财务管理体制在企业中的应用
24.分权式财务管理体制在企业中的应用
25.会计准则的国际比较
26.企业财务网络化管理研究
27.企业成本核算系统设计
28.计算机辅助教学系统设计
29.会计会计报表系统设计
30.计算机会计学中总账的设计分析
31.企业内部控制制度的完善
32.独立审计质量控制
33.会计师事务所的质量管理
34.企业内部审计中存在的问题及对策
35.独立审计风险的实证分析
36.审计风险及防范的实证研究
37.网络经济条件下的审计模式研究
38.电子商务下的审计风险及控制
39.人力资源会计研究
40.环境会计理论研究
41.债转股问题及对策研究
42.风险投资问题研究
43.商业银行贷款资产管理
44.会计师事务所审计项目质量控制研究
45.企业质量成本管理研究
46.集团公司内部审计问题探讨
47.企业对外投资财务控制研究
48.企业生产环节财务控制研究
【关键词】 信息系统审计;信息系统审计理论结构逻辑起点;信息系统审计理论结构框架
任何一个成熟的学科,都应在总结实践成果的基础上,构建一个完整的、相互关联的、合乎逻辑的理论框架。信息系统审计也是如此,它需要建立一个由各审计概念构建而成的、足以支撑并指导审计实践的理论框架。在研究信息系统审计的理论框架时,首先明确信息系统审计的相关概念是非常重要的。
一、信息系统审计的概念
(一)与信息系统审计有关的几个概念
信息系统审计是一种新兴的审计类型。尤其近年来,国外对信息系统审计的研究增长颇多,国内的研究和应用也呈上升趋势。在我国广泛开展对信息系统审计研究过程中,不可避免地采用和借鉴国外关于信息系统审计的研究成果。因此,不同的翻译和认知所导致的一个现象是,有关信息系统审计的名词大量出现,在学术方面有着不同的涵义和理解。
本文在研究和分析的基础上,试图借鉴前人的学术成果,并加之自己的理解,对现有名词进行甄别,对有关信息系统审计的相关概念的理解提出新的看法。涉及到的概念包括:EDP审计,信息技术环境下的财务审计,信息系统审计,IT审计,计算机审计,计算机辅助审计。在明确这些概念的同时,也可以看出信息系统审计从萌芽、发展、成熟到普及的发展历程。
1.EDP(Electronic Data Processing)审计,即电子数据处理审计。EDP审计可以看作是信息系统审计的雏形。美国学者F・坎夫曼在1961出版了第一本有关EDP审计的著作――《电子数据处理和审计》,此书被看做是信息系统审计的萌芽,但此时还未出现“信息系统审计”这个名词。而当时的EDP审计,也就是指针对电子数据及其处理过程的审计,审计的对象不是进行电子数据处理的计算机信息系统,而是被审计机构的电子数据处理过程和结果及相关的控制。1987年美国EDP审计师协会了《信息系统审计的基本准则》(General Standards for Information Systems Auditing),正式提出了信息系统审计这个名词;1994年,EDP审计师协会正式更名为信息系统审计与控制协会(Information System Audit and Control Association, ISACA),标志着EDP审计这个名词正式退出了历史舞台,由信息系统审计全面取代。
2.信息技术环境下的财务审计,是指运用计算机技术对被审单位的财务收支及其他活动进行的审计,对被审单位的财务收支活动的真实、合法和效益发表审计意见。从这个定义可以看出,信息技术环境下的财务审计,“依然是对被审计单位财务收支活动和会计资料是否真实、正确、合法和有效所进行的审计。这不仅表现在审计的具体内容上,而且还表现在审计的对象、目标、依据、时间、执行者等方面” 。由此可以看出,信息技术环境下的财务审计,即为我们日常工作中,口头上一般所指的“计算机审计”,但是显然,“计算机审计”这个名词的涵义要大于信息技术环境下的财务审计,这不能不承认是使用者对于计算机审计理解的误区。另外,与传统审计相比较,信息技术环境下的财务审计的区别在于,后者是随着信息技术的发展而产生的,是为了适应信息技术在企业财务会计活动中的广泛应用而产生的,并且是现在以及未来审计的发展方向。
3.信息系统审计,也称为IS审计(Information Systems Audit,ISA),简单来说,是对被审计单位信息系统的安全性、可靠性、有效性和效率所进行的审计。有关信息系统审计的定义,下文将进行具体阐述,在此只讨论信息系统审计这个名词的产生原因及与其他相关概念的区别与联系。信息系统审计的产生,与审计人员对内部控制和风险的重视有着十分重要的关系。随着信息技术的发展,传统的内部控制发生了变化,信息系统的安全性、可靠性与有效性已经直接影响被审单位的财务信息质量。因此,信息系统审计的产生是顺应时展需要的。
4. IT审计,也叫信息技术审计(Information Technology Audit ,ITA)。有观点认为,“IT 审计与信息系统审计是不完全相同的,信息技术审计虽然也是针对系统的审计但更加强调对信息技术的审计以及审计过程中信息技术手段的运用,” 本文的观点认为,信息技术审计与信息系统审计从审计方法到审计对象、目的、内容和准则都没有区别,不需要将二者作为不同的概念加以区分。此外,到2009年3月为止,由国际内部审计师协会(IIA)出台的全球信息系统审计指南(GTAG)中,对于信息技术审计和信息系统审计也未加以区分,并且明确指出,“本书中IIA所使用的信息技术审计,其实质就是信息系统审计。 ”
5.计算机审计(Computer Audit ,CA),在我国这个名词最早见于肖泽忠教授的《计算机审计》一书(1990),是与传统手工审计相对应的概念。经过多年的研究和发展,虽然对于计算机审计尚无一个统一的定义,但一般认为,计算机审计基本包括两方面的内容:一是指运用计算机审计技术对被审计单位的会计报表和其他资料及所反映的经济活动进行审查,对被审单位会计报表的合法性、公允性、一贯性发表审计意见;二是指对被审单位计算机信息系统保护资产的安全性、数据完整性及系统的有效性和效率进行审查、评价并发表审计意见 。
由这个定义可以看出来,计算机审计是一个高度概括性的定义,涵义范围较广,其中第一部分的内容,可以概括为信息技术环境下的财务审计;第二部分的内容,可以概括为信息系统审计。因此,本文认为,计算机审计实质包括两个方面,即信息技术环境下的财务审计与信息系统审计。
6.计算机辅助审计(Computer Assisted Audit,CAA),有关其定义,国家审计署认为,“计算机辅助审计,是指审计机关、审计人员将计算机作为辅助审计的工具,对被审计单位财政、财务收支及其计算机应用系统实施的审计。”由这个定义不难看出,计算机辅助审计与计算机审计并无实质区别,既包括信息技术环境下的财务审计,又包括信息系统审计。在过去的一些理解中,有观点将计算机辅助审计和计算机审计加以区分,认为计算机审计包括计算机辅助审计和信息系统审计。本文认为,这种区分混淆了计算机辅助审计与信息技术环境下的财务审计两个概念。而之所以选择后者,是因为信息技术环境下的财务审计,这个名词更能清晰的传达审计的目的和内容。因此,本文的观点是,计算机辅助审计与计算机审计实际上是同一概念。
综上所述,本文认为,虽然有关概念数量繁杂,难以理解,但有实际意义的概念只有以下三个,其他均为概念混淆或者重复命名:计算机审计,信息技术环境下的财务审计和信息系统审计。三者的关系为,计算机审计是这门学科的总称,后两者为计算机审计之下的两项具体内容和研究方向。
(二)信息系统审计的基本概念
有关信息系统审计的定义,至今还没有一个统一的说法。
目前,比较有代表性的定义有以下几种:
1.“信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及高效地利用组织的资源并有效果地实现组织目标的过程。”
2.“为了信息系统的安全、可靠与有效,由独立于审计对象的 IT 审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向IT审计对象的最高领导,提出问题与建议的一连串的活动。”
3.“信息技术(IT)审计侧重于企业信息系统的计算机应用方面,它包括对适当的实施、操作过程和计算机资源控制的评估。”
以上所说的IT审计或信息技术审计,严格意义上与信息系统审计有所不同,但从其定义来说有可借鉴的地方。Ron Weber、日本通产省对信息系统审计定义有共同之处,都认为信息系统审计是一个获取和评价审计证据的过程,并且都明确了信息系统审计的目的,不同的是Ron Weber认为信息系统审计的目的是保证资产的安全、数据的完整以及有效率的利用组织资源实现组织目标。日本通产省则把信息系统审计的目标定位在审查信息系统是否安全、可靠、有效等方面。詹姆斯・A・霍尔则侧重于对信息系统审计的对象进行分析,认为信息系统审计是对适当的实施、操作过程和计算机资源控制的评估。
通过对相关方面信息系统审计概念的分析,本文认为,所谓信息系统审计,是指通过对被审单位信息系统的组成部分及其规划、研发、实施、运行、维护等过程进行审查,就被审计单位的信息系统的安全性、可靠性、有效性和效率性,以及信息系统能否有效的使用组织资源并帮助实现组织目标发表意见和建议。
二、信息系统审计理论结构的逻辑起点
研究信息系统审计理论结构框架,一个首要的问题便是从何入手,即以什么作为逻辑的出发点。选择一个正确的逻辑起点有利于建立一个逻辑体系严密、完整、前后一致的理论体系,并对该学科其他理论要素的建立、发展和完善起着决定性作用。因此,构建信息系统审计理论的结构框架,首先需要合理确立它的逻辑起点。
(一) 审计理论结构逻辑起点的几种观点
目前,因为对信息系统审计理论结构框架的研究在我国基本还没有开展过,所以缺乏可以对比的理论依据,但是,我国学术界对审计理论结构框架的研究已有多年历史,本文借鉴了目前理论界对于审计理论结构逻辑起点的一些看法,从中引申和提炼出对于信息系统审计理论结构逻辑起点的观点。
对于审计理论结构的逻辑起点,目前我国理论界主要有以下几种代表性的观点:
1.审计本质起点论
本质是事物本身所固有的、决定事物性质、面貌和发展的根本属性,是决定一物区别于他物的根本属性。1984年,英国审计学家汤姆・李在《公司审计学》中,以审计的本质为逻辑起点,提出了审计理论结构;我国的蔡春教授在他所著的《审计理论结构研究》中指出,“只有准确地揭示并把握了审计的本质,才能把握住审计理论发展的方向”,并结合我国的国情,以审计本质作为逻辑起点,构建了审计理论结构。
审计本质,是在社会实践的基础上,为确保受托责任有效履行而形成的特定的人与人之间的关系。审计本质是一个高度抽象的理论范畴,具有作为审计理论框架逻辑起点的一般特征。我国过去的审计理论研究,大多选择“审计本质”作为逻辑起点,进而阐述审计属性、审计对象、审计职能、审计作用等一系列理论问题。但是,审计本质作为审计固有的属性,无法随着时代的发展反映审计环境的变化,以及由环境变化所引起的审计目标和职能的变化,易造成审计理论研究与实践相脱节。
2.审计目标起点论
这种观点认为审计目标是整个审计监督系统的定向机制,从审计目标出发,根据审计目标规定审计信息的质量特征,然后研究作为信息传递手段的审计报告的构成要素等问题。“目标是一切工作的出发点。”1977年,安德森在《外部审计》(The External Auditing)一书中提出了审计理论结构框架的六个要素,构建了以审计目标为逻辑起点的审计理论结构。国际审计准则委员会在 1986 年构建的审计理论结构中,也是将审计目标作为逻辑起点,将其它审计要素串联起来,建立审计理论结构。
实现审计目标,是从事审计活动的出发点和落脚点。在审计理论结构框架中,审计目标的确是一个非常重要的构成要素,它引导着审计系统的运行,还制约着审计准则、审计假设等要素。但是,审计目标同时也是由审计本质,以及信息使用者的需求所决定的。即审计目标的提出,是顺应审计环境的要求,同时受限于审计本质,因此,在理论结构框架中应列在第二个层次。因此,将审计目标作为审计理论结构的逻辑起点,在逻辑上不够严密,倾向于实用主义,使由此建立的审计理论结构框架难以揭示更深层次的审计理论。
3.审计环境起点论
按照系统论观点,审计是社会经济系统中的一个子系统,它的发展在很大程度上受到包括统计和数学等相关知识以及政治、哲学、经济、文化、法律、会计、计算机技术等的影响。审计环境包括社会需求和职业的自身条件两个方面,审计理论中的各要素均受审计环境的影响。近些年,各门学科的研究都对环境尤为重视。会计理论界也掀起了一阵以会计环境为逻辑起点构建会计理论的热潮,同样,审计环境也受到了许多专家、学者的关注。以审计环境作为逻辑起点的人认为,审计理论结构作为一个理论体系与所依存的社会经济环境存在相互作用关系,审计环境要求审计理论结构的构建必须适应环境的需要,并随环境的变革而变革。
的确,审计环境是审计理论结构框架中不可缺少的基本要素,脱离审计环境的审计理论结构是没有实际意义的。但是,以审计环境作为审计理论结构的逻辑起点,也存在一定的局限性:把审计放在社会政治、经济、文化、法律环境中来研究,并不表明审计环境就是研究审计理论结构框架的逻辑起点。因为从环境的涵义来看,环境是存在于系统之外的,对研究系统有影响作用的一切外部系统的总和。研究审计理论离不开审计环境,然而,审计与审计环境的关系,是本体与客体的关系,以审计环境作为逻辑起点是忽略了审计理论结构的内在要求的。
4.审计假设起点论
持这种观点的人认为,审计假设是审计人员对那些未确切认识或无法正面论证的现象,根据客观的正常情况或趋势做出的合乎情理的推断,是演绎的先决条件,是建立审计理论结构的基石,是理论研究的基本要素。1978 年,C・W・尚德尔教授发表《审计理论――评价、调查和判断》一书,提出了以审计假设为逻辑起点的,包括审计假设、定理、结构、原则和标准的审计理论结构。
审计假设是构造审计理论结构的基础,也是审计科学发展的前提。但是,审计假设是被决定的,是审计系统运行的前提条件,前提条件不能等同于逻辑起点,逻辑起点应该是不以该体系中任何其他范畴为中介和前提的范畴。此外,因为审计环境存在不确定性,才导致了审计假设的出现,但审计环境却是处于变化之中的,审计假设一旦确定,就无法反映不断发展变化着的审计环境对审计的要求,因此,审计假设不能成为构建审计理论结构的起点和基石。
(二)确定信息系统审计理论结构逻辑起点的标准
从哲学的角度看,逻辑起点是指研究对象(任何一种思想、理论、学说、流派)中最简单、最一般的本质规定,即构成研究对象最直接和最基本的单位。逻辑起点是构造一门学科的理论结构框架的出发点,是该学科理论体系中最简单、最抽象、最基本的一个理论范畴,对该学科中其他理论要素的建立和发展,以及整个理论结构框架的构建都起着决定性的作用。
因此作为信息系统审计理论结构的逻辑起点,应该符合以下几个要求:
第一,逻辑起点应该是信息系统审计理论结构中最简单、最抽象、最基本的本质规定。
第二,逻辑起点应该是信息系统审计理论结构的重要组成部分,能够紧密联系信息系统审计理论和实务,是信息系统审计理论和实务形成和发展的动力,贯穿于信息系统审计理论发展全过程。
第三,逻辑起点应该能够揭示信息系统审计理论诸要素之间的内在矛盾,以及信息系统审计理论结构中的一切矛盾,有助于形成完整的科学理论体系。
第四,逻辑起点作为信息系统审计理论结构中的一个基本要素,同整个系统发生着多方面的联系,应该能够推导论证其他抽象的信息系统审计理论范畴。
(三)信息系统审计理论结构逻辑起点观
纵观以上几种关于审计理论逻辑起点的代表性观点,以及确定逻辑起点的标准,单纯以某一信息系统审计理论要素作为信息系统审计理论结构的逻辑起点是不完善的。本文的观点是,应以信息系统审计环境和信息系统审计本质共同作为逻辑起点,构造二元的信息系统审计理论结构逻辑起点。理由如下:
信息系统审计本质是审计理论结构中最一般、最简单的规定,其自身的特点决定了它具备作为信息系统审计理论逻辑起点的先天条件;然而,信息系统审计本质作为信息系统审计固有的属性,无法反映信息系统审计目标和职能的变化,不能推导论证其他信息系统审计理论,不符合逻辑起点的内在要求。针对信息系统审计本质的这一缺陷,只有信息系统审计环境能够弥补:信息系统审计理论须适应环境的需要,并且必须随环境的变革而变革。
从信息系统审计环境的角度来看,世界经济一体化带来信息系统审计国际化,信息系统审计国际化的前提是充分认识不同审计环境下的国家审计差异,只有包含了信息系统审计环境的各国信息系统审计理论体系才有利于对上述差异的理解。此外,信息技术日新月异,审计环境的变化对于信息系统审计的影响,较之对于传统审计的影响要深刻的多,使得信息系统审计环境对信息系统审计理论和实务具有前所未有的影响力。任何一种未包括信息系统审计环境的、仅以一个要素为起点的信息系统审计理论结构框架都是不完善的。然而,信息系统审计环境不是唯一的起点,因为人们从信息系统审计环境并不能直接推导出其他的信息系统审计理论范畴。那么在这种情况下,就需要有不变的、内在的信息系统审计本质来与信息系统审计环境相互作用,即信息系统审计环境是通过信息系统审计本质来影响信息系统审计理论结构的,使信息系统审计本质克服了先天上的缺陷,能够紧密联系信息系统审计理论与实务,贯穿于理论发展全过程。
综上所述,以信息系统审计本质和信息系统审计环境共同作为信息系统审计理论框架的逻辑起点,充分体现了逻辑起点的内在要求,符合辩证法中动静结合的观点,不变当中体现着变化,变化中又蕴含着不变,完全符合信息系统审计工作本身的要求。
三、信息系统审计理论结构框架及其逻辑关系
(一)构建信息系统审计理论结构的原则
构建信息系统审计理论结构,揭示的是信息系统审计理论体系要素的内在有机联系形式。一个完善的理论结构框架,必须是在遵循一定原则的基础上构建起来的。因此,在构建信息系统审计理论结构框架时,应该遵循以下原则:
1.理论与实践相结合的原则
科学的信息系统审计理论结构,应具备与实践紧密相连且不断发展的特点。对实践的经验总结便形成了信息系统审计理论,而形成信息系统审计理论的目的是指导信息系统审计实践,二者是相互作用的关系,不可分离开来。只有这样,才能使信息系统审计理论结构起到正确指导审计实践的作用。
2.理论结构的整体性和层次性原则
信息系统审计理论结构框架中各要素虽然有主次之分,但它们是相互联系、相互作用的,具有内在的严密性和整体功能,是一个有机的体系结构。只有先从整体上把握信息系统审计理论结构的基本框架,在确定了逻辑起点的基础上,再确定应包括哪些理论要素,以及如何划分层次,才能对各信息系统审计理论要素按一定的逻辑关系进行系统的归类,透过各要素之间的相关性、有机性,从整体上构建信息系统审计理论结构。
3.理论结构内在逻辑一致性原则
在构建信息系统审计理论结构框架时,要按照各信息系统审计要素之间的逻辑关系来进行,而首要因素当然就是逻辑起点。此外,还应该充分使用系统论观点去考察各个信息系统审计要素之间内在的逻辑关系,构建前后一致、逻辑合理的信息系统审计理论结构,以免因逻辑不清、杂乱无序而导致信息系统审计理论结构前后矛盾,更造成实践的混乱。
(二)信息系统审计理论结构框架
根据以上构建信息系统审计理论结构的原则,本文认为,信息系统审计理论结构框架应如图1所示:
(三)信息系统审计理论结构逻辑关系
从整体上看,信息系统审计理论结构框架大致可以划分为两个层次,即信息系统审计基本理论与信息系统审计应用理论。信息系统审计基本理论是研究信息系统审计的一般规律,探索能揭示信息系统审计实践的普遍本质和发展规律的知识体系,在信息系统审计理论结构中处于基础地位。信息系统审计应用理论是信息系统审计基本理论在实践应用中的具体反映,是与信息系统审计实践工作直接相关的,可以直接用来指导信息系统审计工作的理论。
信息系统审计基本理论包括六个信息系统审计要素,分为五个层次:
1. 信息系统审计环境和信息系统审计本质共同作为逻辑起点,处于理论结构的最高层次,起着统驭整个信息系统审计理论结构的导向作用。有关逻辑起点的选择的内容,前文已做过详细阐述,此处不再重复,但要进一步说明的是,之所以将信息系统审计环境放在信息系统审计本质前面,是因为从选择逻辑起点的标准来看,信息系统审计本质无疑构成了逻辑起点的核心,但是不同的信息系统审计环境是一切信息系统审计要素的前提,它通过信息系统审计本质影响着信息系统审计目标、信息系统审计假设和信息系统审计职能,进而影响了信息系统审计应用理论。离开了信息系统审计环境,信息系统审计目标、假设等都成为空中楼阁。但不可否认的是,信息系统审计目标、信息系统审计假设研究的目的也是为了指导实践,从而进一步改造信息系统审计环境。
2.信息系统审计目标是对被审单位信息系统的安全、可靠、有效和效率以及能否有效地使用组织资源、实现组织目标等发表审计意见并提出改进建议。由以上定义可以看出,信息系统审计的目标是信息系统审计本质与特定的信息系统审计环境相互作用、相互影响的结果。即,信息系统审计目标的提出是应信息系统审计环境的要求而产生的,同时受制于信息系统审计本质。信息系统审计目标的确立必须紧扣信息系统审计本质,同时又要反映信息系统审计环境的变化。当信息系统审计环境发生变化时,信息系统审计目标应适应环境的要求作相应的改变,但无论这些目标如何变化均未偏离信息系统审计本质这一本源。
信息系统审计目标又是一切审计实践活动的中心,是制定信息系统审计程序、解释信息系统审计技术方法的依据,目标的实现结果也是评估信息系统审计风险的最有力的依据,所以,将信息系统审计目标置于信息系统审计理论结构的第二层,有助于排列其他组成要素。
3. 信息系统审计假设是信息系统审计人员在面对复杂的审计环境时,对某些无法正面论证的事项和现象所作出的合理推断。本文认为,信息系统假设应该包括以下几个方面:
(1) 信息系统审计标准假设。该假设是指存在用来衡量、评价信息系统审计对象的公认的信息系统审计标准。
(2)信息系统审计可验证假设。该假设是指,与信息系统审计目标有关的所有信息,都可以通过获取相关的信息系统审计证据,利用信息系统审计技术加以确认。
(3)信息系统审计风险可控性假设。该假设是指信息系统审计风险能够被识别和评价,而且在此基础上,信息系统审计风险能够被合理的控制。
信息系统审计假设是信息系统审计理论结构中的一个基本问题,是联系信息系统审计目标和其他审计要素的桥梁。信息系统审计假设为信息系统审计运行的前提条件做出限定,而这种限定取决于信息系统审计目标,因而信息系统审计目标制约着信息系统审计假设。
4.信息系统审计职能,即信息系统审计在客观上所固有的功能。为了确保信息系统审计目标的实现,信息系统审计的两大基本职能应为保证和咨询。保证,即通过对信息系统运行过程、维护状况等进行评价,合理保证信息系统的安全、稳定和有效。它是信息系统审计最基本的职能。咨询,就是指信息系统审计人员能够为信息系统的服务对象提供解决问题的方案,达到实现信息系统的安全有效和改善经营的目的。因此,信息系统审计职能是以信息系统审计目标和假设为前提而产生的,作为信息系统审计理论结构中基本理论的重要组成部分,从理论结构框架的逻辑关系上来说,应该位于信息系统审计目标和假设之后。
5.信息系统审计准则,是信息系统审计人员开展信息系统审计时所必须遵循的标准,一般由行业内专业的职业团体所制定和,是职业团体的全体会员共同遵循的行为准则。信息系统审计准则是在特定的信息系统审计环境下信息系统审计本质的拓展,又是信息系统审计假设的具体化和制度化。信息系统审计准则作为联系信息系统审计基本理论和应用理论的纽带,是根据信息系统审计目标和职能而制定具体的规范准则,同时又对信息系统审计流程、信息系统审计技术、信息系统审计风险等方面的内容作了相应的规定,对审计人员执业行为进行规范。因此,它既是审计基本理论的终点又是审计应用理论的起点。先有准则而后施行,符合人们认识世界、改造世界的一般规律与程序。
信息系统审计应用理论是建立在信息系统基础理论之上的,包含四个信息系统审计要素,分为两个层次:
1. 信息系统审计流程、信息系统审计技术和信息系统审计风险,是信息系统审计应用理论的主体部分,是信息系统审计基本理论在应用理论中的具体反映,也是由具体的信息系统审计准则所规范和影响的。
信息系统审计流程,是审计工作从开始到结束的整个过程。信息系统审计流程,实质上是一个获取并评价证据,以研判信息系统是否能够保证资产的安全、有效以及提供真实、完整的系统信息的动态循环流程。科学的信息系统审计流程是建立在信息系统审计基础理论和信息系统审计准则之上的,是保证信息系统审计工作顺利开展的必要条件。
信息系统审计技术,是信息系统审计的核心内容,是信息系统审计得以实现的必要手段。信息系统审计技术与方法的运用必须符合具体的规范准则,因为这将影响信息系统审计风险。先进的、与审计环境相适应的有效的信息系统审计技术,是信息系统审计工作顺利开展的重要前提。
信息系统审计风险,是信息系统的安全性、稳定性和有效性存在重大隐患,而信息系统审计师验证后发表不恰当审计意见的可能性。信息系统审计风险很显然在信息系统审计准则的规定之上,受信息系统审计流程和技术的影响,科学的审计流程和先进的技术方法可以降低风险,反之,则会使审计风险加大。
2.信息系统审计报告,是在审计工作完成之后由信息系统审计人员对于审计事项有关的审计证据进行整理、归纳和评价,形成的对信息系统的书面审计意见。报告的内容与格式,受到信息系统审计准则的规范,但实务工作中也可以根据环境变化的客观条件调整审计报告的具体内容。信息系统审计报告是信息系统审计行为的最终成果,是信息系统审计基础理论和应用理论最终体现的结果,也是信息系统理论结构框架的终点。
研究和构建信息系统审计理论结构框架,笔者认为还应明确的一点是,随着社会经济的发展和科学技术的进步,理论框架中各要素的内容及层次关系可能会发生相应的变化。因此,信息系统审计理论结构也会有发展和变化,需要学术界进行不懈地研究、思考,使之更能适应时代的发展、适应信息系统审计实务的需要。
【参考文献】
[1] 卢红柱.计算机信息系统审计的探索之路[J].审计研究,2006(12).
[2] 胡克瑾.IT 审计[M].电子工业出版社,2004.
[3] 时现,李庭燎等.全球信息系统审计指南[M].中国时代经济出版社,2010.
[4] 吴沁红.信息系统审计内容分析[J].财会月刊,2008(10).
[5] 吴沁红.信息技术环境下财务审计与信息系统审计的比较[J].中国注册会计师,2008(10).
[6] 唐飞兵.关于构建我国计算机审计理论体系的探讨[J].中国管理信息化,2007(10).
[7] 姚靠华,周岳亭.构建计算机审计理论体系的逻辑起点:审计环境[J].中国管理信息化,2005(4).
[8] 王振武.信息系统审计技术研究[J].东北财经大学学报,2009(4).
[9] 王振武.会计信息系统[M].东北财经大学出版社,2006.
[10] 杨周南,赵纳晖.信息技术在会计和审计实务中的应用[M]. 清华大学出版社,2003.
[11] 张茂燕.论我国的信息系统审计[D].厦门大学硕士学位论文,2005.
[12] 庄明来,吴沁红,李俊.信息系统审计内容与方法[M].中国时代经济出版社,2008.
[13] 庄明来.计算机审计与信息系统审计之比较[J].会计之友(下旬刊),2010,(5).
[14] Marshall.B.Romney.Accounting Information Systems[M].10th Ed.Prentice Hall,2008.
论文摘要:随着计算机技术特别是网络技术在会计领域的应用和发展日益深入,传统的手工会计核算手段正逐步被以计算机及网络技术的应用为特点的会计电算化核算取代,传统的审计方法和手段已明显滞后,会计的电算化必将导致会计信息化审计。文章首先阐述会计信息化审计的必然性,然后通过分析会计信息化审计的面临的问题,简要地概述会计信息化审计应采取的对策。
一、会计信息化审计产生的必然性
网络经济时代以“网络财务”为代表的财务管理信息系统、电子商务,以erp为方向的广义管理信息系统等技术和以bpr为代表的现代管理思想的高速发展及广泛应用彻底改变了传统商务的构架和流程,从本质和表象两方面更加深刻地改变着审计的对象和环境,使审计的对象隐性化、数字化、网络化并呈现出不断变化和发展的趋势,促使传统审计向计算机网络审计方向发展。
(一)业务与财务信息的高度集成使会计信息化审计更显必要和可行
internet和电子商务的发展,给财务管理带来了重大变革,财务管理从“桌面”走向“网络”,这是企业财务管理从思想观念到方式手段的一次重大发展,代表了网络经济时代财务管理的方式,是历史上计算机技术对会计模式与会计理论影响最大的一次变革,并使审计面临着网络的挑战。加快发展计算机网络审计技术已是审计领域当前亟待解决的重大课题。
(二)网上理财和自助式会计软件的兴起拓展了计算机审计的客体
网络经济时代使网上理财和自助式会计软件得以发展,咨询服务机构可以利用互联网强大功能根据用户的要求代为记账、算账、报账,甚至可以设想将来企业可不必设置专门从事记账、算账、报账的会计人员。这样,会计信息化审计就不能再局限于被审单位的经济活动,还应扩展到对提供下载财务会计软件的网站以及网上为广大用户进行记账、算账、报账及理财活动的那些网络服务公司的业务进行审计,使审计的客体进一步拓展。
二、会计信息化审计所面临的问题
(一)审计线索隐蔽性
1.计算机审计是随着会计电算化的发展而产生的,利用计算机技术进行的审计。在过去的手工会计核算系统中,从原始凭证到记账凭证,从登账到报表编制,每一步都有文字记载和经办人员签名,审计线索比较清晰。而在会计电算化信息系统中,由于数据存储介质的磁性化和数据处理过程的自动化,业务数据进入计算机系统之后,由计算机按程序自动生成会计报表,即使有篡改也不会留有痕迹,比起手工系统来,电算化系统中的审计线索更隐蔽、更容易引发经济犯罪。
2.在电算化系统中,会计账簿是由系统自动登记的,用户能修改的数据主要在凭证和报表中。所谓数据文件的修改,是指对未登账的凭证以及报表数据的修改,已登账的凭证是不能修改的。目前电算化系统中使用的会计软件对操作人员的每次操作都有记录,但这样的记录显得过于宽泛,使得有价值的线索隐蔽其中,难以发现。
(二)会计软件缺乏权威的可审计认证
随着计算机技术的发展,会计软件层出不穷,摆在审计人员面前的是该软件是否具有可审计性的问题。审计人员对内部控制制度和数据文件审计的同时,很难对应用系统及软件的开发进行审计。曾有人尝试让审计人员参与会计软件的系统开发,但事实证明这一做法是流于表面的形式,不仅不能达到目的,还增加了审计人员的劳动量。
(三)审计人员的素质还不能完全达到要求
众所周知,在手工系统中,审计人员凭借自己的经验、专业知识,结合运用各种审查的方法,就可以达到目的。然而在计算机信息系统下,除了需要运用一般的传统方法以外,最重要的是要借助计算机辅助技术来达到审计目的,审计人员除需具备一般审计所需的知识外,还应具备一定的计算机知识,对会计电算化系统有一定的了解,对会计电算化系统有可能出现的错误及舞弊情况要有比较深刻的认识,但最重要的一点是审计人员应能熟练地运用计算机进行审计。
然而在实践中,我国大部分审计人员没有达到以上的要求,业务能力不能令人满意,这也是导致计算机审计滞后的又一重要原因。
三、会计信息化审计应采取的措施
(一)制定一套严谨的计算机审计程序标准
除了对凭证、账簿、报表等数据文件的实质性审查加以规定外,更要对被审计系统的健全性、符合性,系统控制功能的有效性、各项初始化工作的准确性与合理性加以规定。尤其要突出对操作员及系统管理员或财务主管工作权限的规定,以便审计人员在审计前对被审计单位的情况有一个初步的认识,从而在进行审计时,依据相应的规定进行审查。这样不仅减少审计人员的工作量,也降低了计算机审计的风险。
(二)加强会计软件的完善和标准化
1.目前会计软件带有的操作日志,对所有的操作人员的每一次操作内容都进行记录,这样记录内容显得过于宽泛,不利于突出重要审计线索的要求。针对这种情况,应该在审计日志的基础上,在会计软件开发过程中,对其进行改进,以便能提供一个记录所有修改数据的操作记录,而不是记录对数据进行正常的输入输出工作。这样可使审计人员通过对数据改动的操作记录,找到相应的审计线索,达到审计监督的目的。
2.对于会计软件的可审计性问题,不能仅仅让审计人员参与会计软件的系统开发,还要将审计人员参与会计软件的系统开发和软件的审评紧密结合,严格控制。一方面,审计人员在会计软件的系统开发过程中,要发挥监督作用,对软件开发的可行性、可用性进行分析和调试;另一方面,在评审阶段,应由财政部门与同级的审计机关联合组织专家进行评审,对软件的各项指标提出意见,从而保证会计软件的可审计性。
(三)全面提高审计人员的素质
1.审计人员要充分意识到掌握计算机审计知识的重要性,认识到计算机审计是审计发展的未来趋势。进入信息时代,审计人员若还想凭借传统的审计方法工作,将难以适应审计发展的要求。
一、指导思想
以全市交通运输工作重点为中心,解放思想,开拓创新,探索财务管理从单一的资金管理向筹资融资与资金管理并重的模式转型,深化财务监管体制改革,探索当前预算管理模式下的审计监督方式和政府采购模式下的部门集中采购方法,加强财务管理信息化和财务人员作风建设,推进依法理财和制度理财,提高财务管理水平和资金使用效益。
二、主要工作
(一)优化服务措施,全面完成费收任务
严格执行税费征收政策,认真落实“绿色通道”惠民政策,优化服务措施,健全服务体系,提升服务水平,大力挖掘费收潜力,堵漏增收,确保规费征收任务全面完成。
(二)强化财务管理,提升服务保障能力
1.制定预算管理制度,加强预算资金监督
强化预算约束力,规范预算编制方法和程序,促进预算资金管理规范化,做到制度理财。一是建立部门预算审核机制,强化预算管理手段,构建交通预算“一盘棋”的管理模式;二是建立预算执行情况报表和财务数据上报制度,实现对交通专项资金收支情况的实时监控;三是实行季度预算执行分析例会制度,加强各单位预算执行和财务管理方面的经验交流,针对在预算执行中存在的问题提出改进意见及措施;四是积极推行财政科学化、精细化管理,提高财政管理绩效。
2.加大协调力度,改善理财环境
积极协调财税部门,争取财政部门对交通部门的资金支持,政策支持和服务支持,落实交通建设地方配套资金。努力争取事业单位实行绩效工资后基本支出增支部分的资金来源。加强上级业务主管部门联系,积极向上争取政策,了解专项资金动态,为本部门争取资金提供有效信息。
按照《市政府公路债务化解方案》要求,积极协调财政部门落实化债资金,做好债务化解工作,确保全市公路债务化解工作按计划正常进行。
公开、公平、公正地分配和发放成品油价格改革财政补贴,确保惠民惠农政策落到实处。
3.加强制度建设,夯实财务工作基础
以规范财务管理为主体,结合本单位的实际情况,建立健全覆盖资金筹集、预算执行、资产管理、财务监督的财务制度体系。建立制度落实的责任机制,推动各项工作有效开展,用制度管钱、管事、管人。各单位要做好会计基础工作,巩固会计基础工作规范化工作成果,及时准确完成各项会计、费收报表。票证管理符合上级要求。市局将结合治庸问责活动,抓好任务工作目标考核,完善考核制度,推进精细化管理,提升财务管理水平。
4.加强资产管理,健全资产管理制度
落实《省行政事业单位固定资产监督管理条例》,各单位要在资产清查的基础上,对资产实行精细化管理,结合我市财政资产管理规定,建立和完善资产管理制度,优化资产配置,严格政府采购,加强资产收益管理使用,规范资产使用及处置行为,确保国有资产安全有效使用。
根据《财政部关于开展2016年全国行政事业单位国有资产清查工作的通知》和我市关于行政事业单位国有资产清查政策,报表及软件操作的要求,全面完成工作任务。
5.加强财务基础工作建设,全面提高核算质量
在全市交通运输系统开展以财务核算为重点的会计基础工作检查活动,促进全市交通运输系统财务基础工作。
加快财务管理综合信息平台建设。升级国库集中支付管理系统,结合局机关会计制度转换升级更换会计核算软件,完善计算机辅助审计数据系统,探索财务集中监管信息平台建设。
(三)贯彻执行“八项规定”,大力压缩“三公”经费
认真执行中央八项规定配套出台的《厉行节约反对浪费条例》以及公务接待费、差旅费、会议费和培训费等一系列管理办法和《违规发放津贴补贴处分规定》,加强“公款”支出管理,确保“公款”支出合法、合规、合理,压缩“三公”经费支出,做好经费支出信息公开支出准备工作。
(四)充分发挥学会职能,服务交通财务管理工作
以学会为平台加强业务学习和培训工作,举办一期财务管理讲座或业务培训。
组织财务人员参加中国交通会计学会和省交通会计学会组织的ppp项目培训。
继续组织学会会员结合本单位实际工作,开展调查研究,撰写调研报告和财会论文,参加学术交流,每个单位完成1—2篇论文任务,并积极做好学术成果的转化运用工作。
(五)坚持财务收支年审制度,充分发挥审计监督职能