信息系统审计论文精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的信息系统审计论文主题范文，仅供参考，欢迎阅读并收藏。

第1篇：信息系统审计论文范文

(一)企业应加强内部控制

随着市场经济的深入发展,企业逐步成为自主经营、自我约束、自我发展、自我完善的商品生产者和经营者。在“优胜劣汰、适者生存”的市场经济中,企业要想真正的做到“自主经营、自我约束、自我发展、自我完善”,必须要加强内部控制,建立有效、完善的内部控制制度,这样才能在一个绝对的高度上,对企业进行高瞻远瞩的控制,才能做出与时俱进的决策。

(二)内部审计是企业内部监督机制的重要组成部分

内部审计也是企业内部控制的一个重要的组成部分,是监督内部控制其他环节的主要力量。内部审计通过对控制环境和控制程序的有效性进行监督,评估企业的内部控制是否被执行,是否及时反馈有关执行结果的信息,是否帮助企业更有效地实现预期控制目标。同时,在监控过程中,内部审计可以促进控制环境的建立和改善,为改进控制制度提供建设性的意见,为企业建立健全所需要的内部控制水平服务。在内部控制的监督过程中,内部审计发挥着越来越重要的作用。

二、内部审计在防范信息系统风险中面临的问题

(一)信息系统安全管理机制不健全

企业信息系统风险的存在,很多是由于管理不善或控制不严造成的。一方面,缺乏一套统一的安全策略体系来指导安全管理工作,无法建立系统内部明确、全面的安全规范要求。从现有管理制度规范来看,主要存在的问题是可操作性差,条理不清、重叠或遗漏等;另一方面,现有安全管理制度的管理对象基本是网络系统管理员等技术部人员,管理对象没有全面涵盖所有信息系统技术相关人员,包括所有网络系统上的内部终端人员和外部人员。

(二)内部审计在信息系统风险防范中的角色缺乏独立性

内部审计的角色发生了转变。从传统的事后审计而逐渐转向事前和事中审计,主动参与内部控制系统的建立和完善。内部审计人员即承担着评价硬件和应用信息系统安全的任务,如果又同时有参与了系统的开发和实施过程,那么内部审计人员就却乏独立性。反之,如果处于对丧失独立性的担心,内部审计人员有可能会拒绝参与系统和软件的开发,那么系统开发过程中存在的风险又无法得到控制。

(三)内审部门技术力量薄弱造成对信息系统审计形成风险

审计稽核部门的技术力量薄弱,不熟悉业务系统的流程和功能,对信息系统缺乏必要的认证能力和标准。突出表现为以下几个方面:一是实施审计稽核的手段和方法没有得到及时更新,不适应信息系统管理的要求,大部分仍停留在手工审计阶段;二是审计稽核部门对计算机账务系统实施审计的依据仅依赖于被审计单位提供的打印资料或事后资料,计算机账务的真实性审计很难得到保证。

三、加强风险防范的措施和对策

(一)构建信息系统安全管理组织及规范体系

加强信息系统的自我风险评估体系,让信息系统的管理和技术人员在自身的职责范围之内正确识别和评估潜在操作风险,主要包括内控制度的查漏补缺、工作流程的整理和规范、应急预案完善和演练等。同时加强对操作人员的管理,规范操作程序。一是加强密码管理,明确规定操作人员的权限,操作员必须在规定的权限内办理业务,用户口令及密码必须专人专用,严禁公开口令及密码;二是要建立健全操作员岗位目标责任制,对网络操作人员要明确目标任务,规范操作程序,严格落实奖惩制度。三是要严格岗位设置,不相容职务进行分离。严禁系统管理人员、网络技术人员、程序开发人员和前台操作人员混岗、代岗或一人多岗。四是要加强系统内部的稽核监督检查。稽核监督应贯穿于网络操作的全过程,重点是加强对系统设计开发、内控管理制度落实、操作运行等方面的

(二)关注信息系统的稳定性、安全性和有效性审计

首先,审计人员应运用用一定的技术方法识别系统的完整性,该过程包括检查、测试、评估系统的内制,以保证系统的稳定性;其次,审计人员应评价系统存在的风险和可能产生的后果将成为审计的核心工作和基本内容,保证信息系统的安全性。应根据审计的标准和准则,评价控制环境的和IT基础设施的安全,确保系统满足组织的业务需要,保护信息资产的安全完整,以防非授权使用、泄露、修改、损坏或丢失;最后,还应鉴别信息系统的有效性。内部审计必须理解并熟悉操作环境,了解系统技术的复杂性及其对决策的影响;对来自内部的安全隐患,采用一定的方法进行系统诊断、检验、测试,评价其有效性及效率,以支持组织业务目标的实现

(三)改善内审机构,提高内审人员素质,培养信息系统审计师

为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价。信息系统审计师也称lS审计师或IT审计师,是指那些既通晓信息系统的软件和硬件(包括信息系统的开发、运营、维护、管理和安全等),又熟悉经济管理的内部审计人才。

(四)聘请专家进行协助

内部审计人员的知识、技能和经验虽然有助于信息系统的风险防御,但现实中必须承认,在企业中同时具备计算机技术和审计专业知识的人才非常短缺。再出色的内部审计人员可能面临一些系统内的专业问题却无法解决,因此有必要聘请外部专家。可以通过专家的协助测试运用其专业技能测试系统安全,进一步防范和解决信息系统风险的存在。

参考文献:

[1]胡晓明.信息时代的IS审计理论结构构建[J].武汉中南财经政法大学学报,2006,(3).

第2篇：信息系统审计论文范文

1建立系统设计前期研发机制

以公司科技项目、管理咨询项目研究为依托，建立系统设计前期研发机制。通过将ERP业务审计研究、智能分析审计体系研究、公司信息化环境下内部控制特性及其审计研究等项目列入公司科技项目、管理咨询项目计划，联合国际知名的审计软件开发商、公司系统信息化建设单位，深入研究审计信息系统开发、建设各方面问题，根据审计信息系统建设的最新发展，借鉴国内外优秀企业的领先实践，研究提出了ERP业务审计系统、智能连续审计系统（审计监控预警系统）开发建设的技术路线、系统架构与功能，为系统开发奠定基础。

2建立系统建设过程管控机制

得到各业务部门的大力支持，获取多部门业务数据，是推进审计系统建设的管理难点。为此，审计部门紧抓机遇，以公司开展的“数据共享与业务融合”专项治理活动为契机，将审计系统建设所需数据集成需求，纳入公司重点工作平台，大力推进与相关业务部门的沟通协调工作，获得各部门的充分理解和对数据提供的大力支持。在系统建设过程中，通过与公司信息化主管部门建立周、月例会机制，及时研究讨论系统开发建设中出现的问题，加强系统建设过程管控，提高系统建设质量；根据各单位的反馈意见和建设中出现的问题，组织业务骨干开展技术攻关，持续优化完善系统功能及其实现方式，提高系统易用性水平，为建成好用、实用、高效的审计信息系统提供有效的机制保障。

3建立系统应用情况考核机制

通过制度指导、强化考核、典型示范、知识普及，推动各单位积极应用信息系统开展审计工作，创新信息化环境下的审计工作方式。一是制定下发《关于加强审计信息系统深化应用工作的实施意见》，对各单位做好系统应用工作、健全系统运维体系、加强应用环境保障等方面提出具体要求；制定系统应用定期考核、量化评分机制，发文通报考核情况，不断缩短考核周期，持续加大考核力度。二是将信息化纳入审计工作管理对标的四项重点之一，引导所属各单位着力推进审计信息化，深入思考，及时提炼工作经验，通过典型经验的机制，共享先进经验，发挥示范引领作用。三是建立审计信息系统深化应用培训的常态机制，培训工作纳入每年年度工作计划，公司总部、分部、省公司（直属单位）各司其职，开展分层、分类培训，加强系统应用知识、管理制度的推广、宣贯力度。

4建立审计信息化理论研讨机制

组织各单位结合自身实际，认真总结、提炼审计信息化建设、应用方面的成功经验，分析存在的问题，并提出建设性的意见和建议，开展理论研讨，撰写工作论文；抽调部分单位的审计信息化骨干组成评审专家组，对各单位提交的论文进行评选，提出修改完善意见，遴选优秀论文报送中国内部审计协会参评内部审计理论研讨优秀论文，并在审计门户系统开辟专栏共享研究成果，在公司系统培育学、用信息系统的良好氛围。

二、实施效果

1构建了体系完整的审计信息化体系

审计门户系统、审计综合管理系统、ERP业务审计系统、管控业务审计系统的相继建设应用，初步搭建起审计信息化平台，基本实现审计管理和审计作业的信息化。审计门户已成为审计人员应用系统，以及公司各单位交流审计工作信息、共享审计工作经验的重要平台；审计综合管理系统以项目管理为核心，实现了审计项目从计划到项目终结的全生命周期闭环管理，促进了审计管理的信息化；ERP业务审计系统、管控业务审计系统实现了审计业务对财务、工程、物资、设备、人力资源、营销管理等电网企业主要业务的全面覆盖，彻底改变了传统计算机辅助审计仅限于财务领域的状况，标志着审计信息系统与各主要业务应用系统的紧密融合，通过信息共享和互联，改变“信息孤岛”状况，初步实现了“信息共享，全程控制，在线监督，辅助分析”的审计信息化建设目标。

2促进了审计部门履职能力的提高

审计系统功能设计体现的是经过凝练的专家经验，能够为审计人员提供高效率的辅助分析工具。通过对最直接、最有效、最核心的审计专家经验知识进行归纳、提炼，所建立的一系列审计分析模型，为审计人员提供了标准化、高效率的审计方法和工具，全面提升了内部审计在提供专业咨询、鉴证意见和增值服务方面的职能。审计人员应用系统探索开展非现场审计，在充分发挥信息系统应有效能的同时，利用审计监督视野广的优势，通过对跨业务数据进行整合分析，及时为公司相关决策提供信息支持，高效提升了审计工作价值。

3保障了依法治企工作水平的提升

第3篇：信息系统审计论文范文

论文摘 要 计算机网络技术的广泛运用实现了会计工作的信息化趋势，新会计信息系统的运用给会计人员的工作带来了较大的挑战，审计风险则是会计信息系统运行中需要重点考虑的问题。基于此，本文对审计风险在会计信息系统下的特征及对策进行了探讨。

会计电算化是单位会计信息系统的标志，对于单位财务信息的处理有很大的促进作用。但新会计模式的推广给会计人员的工作造成了一定的难度，使得了会计信息系统的审计风险增大。由于会计信息系统的审计风险不容易察觉，一旦风险发生后则会造成巨大的经济损失，这是单位管理中必须要注重的问题。而广大审计人员在对会计信息系统审计过程中，必须从思想上认识到审计风险的危害性，然后选择科学的审计方法获得审计结论。

一、会计信息系统审计的风险

1.误报风险

（1）会计信息系统里采用了计算机自动化处理技术，对原始信息数据编排处理后自行生成财务表格。尽管整个过程无需会计人员参与完成，但纸面信息变成了只有计算机才能识别的磁性介质上的代码，而会计人员在磁质代码的识别上还存在不足，这些往往会导致会计信息系统出现误报、错报等问题。（2）计算机是会计信息化控制的主要设备，单位的内部控制则调整为对人和机器的双重控制。在这种会计环境下，当被审计单位内部缺乏科学的控制制度时，对计算机数据和程序的修改后完全察觉不出来，这些都会给管理者私自修改信息创造条件。并且系统会遭到“黑客”的入侵和“病毒”的侵袭，这些都使得审计重大错报风险增大。

2.检查风险

（1）检查工作的开展是为了避免虚假信息、错误信息的存在，其可以通过检查工作来实现各项数据的科学审计。面对计算机系统运行模式，内部控制融汇于财务软件之中，这就要求审计人员掌握足够的业务数据，对软件的控制能力综合检测处理。考虑到大部分审计人员在计算机操作技能、理论知识上还存在不足，若要想通过计算机对相应的数据信息审计检查，则常常会增加审计检查风险。（2）信息技术的发展促进了会计软件的更新，使得历史文件提取的难度降低。而很多重要的账户检测必须要依赖于单位的历史数据，若软件版本不断更新升级则会阻碍原始数据的处理。既降低了审计效率，也使得审计检查风险不断增大。

二、减小审计风险的有效策略

1.制定标准，执行准则

对于会计信息系统制定科学的管理标准，对潜在的风险状况及时防范处理，这是降低审计风险的前提条件。计算机审计能够对单位信息进行有效地审查，对内部财务信息系统及会计工作进行科学的监测评估，对单位资金、各种资产实施密切跟踪，这对于审计风险的评估是有帮助的，可以从事前、事中、事后多方审计。单位制定审计准则过程中，需要将重点放在计算机系统内部控制上，要求会计人员按照标准对原始数据进行处理。此外，还需要构建与新情况相适应的审计准则，如：系统设计、开发、运行、维护等标准，这不仅满足了会计信息化的要求，也能给审计风险的评估创造条件。 转贴于 　 2.定期检查，了解情况

作为审计部门，应定期对单位开展审计检查，掌握单位经过管理的实际状况。在检查过程中需要把握的内容包括：（1）熟悉被审单位采用的会计软件情况、业务操作处理流程等，这样可以及时发现会计操作面临的风险隐患。（2）考核会计人员的职业素养，特别是会计信息系统的工作者，如：管理人员、操作人员、维护人员等，防止人为因素造成的审计风险。（3）创建审计信息库，对被审单位的信息系统创建庞大的信息库，这样可以方便单位调用资源。信息库中应涉及到单位各方面的信息，如：采购、销售、财务等等，从而了解被审单位的背景状况以及最新动态。利用信息库查阅资料，可降低审计部门的工作难度，将潜在的审计风险控制在最小。

3.内部控制，优化审计

从目前单位会计信息系统运行的状况看，内部控制主要涉及到了：制度控制、程序控制等两大块，这些主要可采取加强内外部安全机制、权限密码、完善软件功能、改进数据录入、优化信息传输等措施粗合理，保证审计风险得到有效控制。审计人员在调查被审计单位会计信息系统内部控制情况时，需注意检查被审计单位会计信息系统存在的缺陷，避免“假账真查”的问题的发生。通常可选择抽查原始凭证与机内凭证，通过两者之间的对比后发现问题。或者抽查打印日记账和机内日记账，对被审单位的报表取数公式严格检查，通过这样的方式来分析单位提供的财务信息是否属实。在检查时若发现各种问题，审计人员有权要求单位负责人配合处理，只有每一笔账务都检查到位才能降低审计风险。

4.选择软件，统一接口

会计软件是信息系统的主要工具，单位在选择会计软件之后要保证数据结构的统一性。当前，单位要坚持采用会计管理及核算系统的标准数据接口规范，确保会计人员在使用时不会出现信息丢失等问题。标准数据接口规范是对所有正在使用的会计软件规定统一的数据输入输出格式，这样可以为审计人员的查询、审计工作提供方便，及时收集到单位相关的信息后进一步审计。制定标准数据接口规范能加快规范信息领域的各种数据信息，给税务部门的数据统计工作带来方便，为单位的日常经营工作提供指导。审计人员在操作中只需把会计软件中的输入文件调入审计软件即可，简单的操作流程可显著减少审计风险。作为财政部则应及时调整会计软件基本的功能规范，重视数据接口的标准的规定，这样可以增强各会计软件开发商对数据接口的革新优化。

三、结语

总而言之，会计信息系统是未来单位财务工作的新模式，在会计电算模式里，会计人员应不断调整自己的工作模式，保证各项会计工作都能顺利进行。而审计部门在审计过程中，要注重单位各方面数据信息的收集，对审计风险严格控制，避免风险发生后给单位造成经济损失。

参考文献

[1]冯纯纯，胡彦斌.浅谈会计信息系统审计.商业会计.2009(06).

第4篇：信息系统审计论文范文

1.1审计性质不十分明确内部审计是市场经济条件下,企业基于加强经营管理的内在需要,也是内部审计赖以存在的客观基础。然而,我国现代内部审计的产生却是一个行政命令的产物,片面强调外向及作为国家审计基础(政府审计的延伸)而存在的内部审计模式。这种审计模式实际上导致了人们对内部审计在性质认定上的模糊,从而不利于甚至阻碍着内部审计理论与实务的发展。

1.2审计的范围有限内部审计是一种独立、客观的保证和咨询活动,其目的在于为组织增加价值并提高组织的运作效率。从内部审计的定义不难看出内部审计的两种职能,即“监督职能”和“服务职能”。然而,由于我国内部审计设立的特殊背景,一开始就被错误地视为国家审计职能的延伸,内部审计工作的重心便局限于财务收支的真实性和合规性审计。长期以来内部审计是以“警察”的身份出现,突出了“监督”职能,忽视了“服务”职能,内部审计不关注企业的经济效益和长远发展。

1.3内部审计的作用没有受到足够重视虽然审计工作在财务收支审计的基础上逐步向更广的范围和深层次发展,但认识水平、思想观念的束缚以及管理体制等诸多因素,影响和阻碍着内审作用的有效发挥。

1.3.1内部审计成立多年来,投入大量精力搞的财务收支审计未能解决会计信息失真的问题,而且花样翻新。究其原因,有会计人员知识水平、业务素质的因素,有企业因小团体利益漠视法律、法规、规章、制度的因素,也有监督不力、查处不严的因素。从监督的角度看,一是由于内审人员独立性、权威性不够,碍于情面,特别是一些审计人员还处于被领导的地位,因此,查处问题不深不透,只看表象,点到为止,不去深究。二是一些单位存在家丑不可外扬的观念,总觉得出现问题不是光彩的事,审计信息不公开,碍于情面不愿处罚,起不到查一儆百的作用,相反一定程度上还助长了违纪违规行为,审计的威慑作用没有有效发挥。

1.3.2中国企业特别是国有企业的管理体制在兼顾中国目前特定的社会环境的同时,逐步向国际先进的管理体制靠拢。纵向看,我国企业的管理体制有了质的飞跃;但横向看,我国与国际先进的管理特别是真正意义上的现代企业制度的要求还有一定差距。这些差距的原因之一是与现代企业制度相配套的领导干部任期经济责任审计的作用未落到实处。

1.3.3随着全球经济一体化的进程不断加快,企业来自国内外的竞争也越来越激烈,企业经营风险不断加大。面对日趋激烈的竞争,各国内部审计领域有了新的拓展,内部审计由控制导向审计向风险导向转变;从微观的查错防弊向宏观的管理审计、效益审计转变;从经营审计向战略审计转变;由防护性的监督、保证职能向预测、咨询的价值增值和服务职能转变。这些先进的理念在我国理论界讨论较多,但在实务界有些企业,特别是基层企业未曾涉及或涉及甚浅,内部审计还处在查处错误阶段,对错误事项停留在调账、纠正错误上,尚不能多角度、深层次分析问题,更谈不上站在企业长远发展的高度分析问题,提出建设性的建议,相比国际先进的审计理念和实务,我国内部审计的作用还有待开发。

1.3.4审计人员对计算机知识缺乏,不适应电算化、信息化的快速发展。计算机的普及和应用给审计提出了新的课题,即对信息系统审计和利用计算机实施辅助审计。信息系统审计包括信息系统内部控制评估、信息系统建设效益评估、信息系统合规性检查等多种形式,需要审计人员既熟悉掌握硬件知识,又要对软件有足够的了解,就目前为止,多数审计人员不具备这样的知识,无法有效地评估信息系统的安全性和效益性。计算机审计软件由于开发标准不一,功能不完整,全面推广计算机辅助审计还有一定难度,审计人员的知识和审计手段滞后于信息化的发展。

2如何促进审计工作的发展

2.1明确审计的性质内部审计在企业经营管理中处于极其重要而又特殊的地位。企业所设定的目标是一个企业的各个组成部分努力的方向,而内部审计及内部控制组成要素则是为实现或达成该目标所必须的条件。要确保内部控制制度被切实地执行并收到良好的效果,并能够随时适应外部环境的变化,就必须加强对内部控制的有效监督和客观评价。内部审计既是企业内部控制的重要组成部分,也是监督与评价内部控制其他部分的主要力量,因而其在强化内部控制方面应当发挥不可替代的积极作用。

2.2改进审计方法

2.2.1企业内部审计应围绕企业经营目标开展工作,且理当成为企业运行的“监控器”。企业借助内部审计来完善经营管理的“预警系统”,建立健全内部监督“保证体系”。为此,内部审计应突破单纯的事后审计,转移到事前、事中审计上来,从而对企业内部控制进行全过程、全方位的监督和评价。

2.2.2内部审计的目的是保证组织目标的实现,因此,赋予了审计的监督保证职能。从监督职能看,笔者认为审计目的不是查处人,而是教育人、服务人,是保护干部的有效手段。借鉴国家审计通报的做法,在企业内部实行年度审计通报制度,作为职代会的一项内容,同时实行内部审计结果与各单位考核挂钩的办法。透明是最好的反腐剂,公开是最有力的监督武器。这种警示作用对发挥内审作用,保证企业会计信息的真实性以及领导干部的政治安全性应是一种有效的做法。

2.2.3经济责任审计是选拔任用干部的有效监督形式,因此,应改变目前“先任后审”的局面。在用人制度上实行经济责任审计与人事制度的衔接,按照中央“两办”和“五部委”文件精神,实行“先审后任、先审后升”的经济责任审计和人事任免制度,使经济责任审计真正成为考核干部履行责任的手段,增强干部在岗在职的责任性和约束性。

2.2.4实行审计通报制度是一把双刃剑,既是对被审计单位的有效约束,同时也对审计人员提出了更高的要求,审计不能停留在肤浅的现象上,而应从管理的角度深层次、多角度地分析问题。审计不在数量多,关键是要出精品,最大限度地为组织提供有效的价值服务。

2.3加强审计人员的培训信息系统审计,是信息化发展到一定程度的必然结果。信息化环境下的审计,电子数据、信息系统、系统内部控制必须做到“三位一体”。在审计过程中,这三项不能少,否则就不能全面履行审计职责,这就给审计提出了更高的要求。因此,在专业人才上应尽快引进或培养具有计算机专业背景,且对信息系统审计经过深入的专业学习和钻研的人才。同时要加强现有审计人员信息系统知识的普及和培训,使审计不断适应信息化发展的需要。

第5篇：信息系统审计论文范文

关键词:计算机 信息系统 安全

一、面临的主要威胁

1、内部窃密和破坏。内部人员可能对网络系统形成下列威胁:内部人员有意或无意泄密、更改记录信息;内部非授权人员有意无意偷窃机密信息、更改网络配置和记录信息;内部人员破坏网络系统。

2、截收。攻击者可能通过搭线或在电磁波辐射的范围内安装截收装置等方式,截获机密信息,或通过对信息流和流向、通信频度和长度等参数的分析,推出有用信息。它不破坏传输信息的内容,不易被查觉。

3、非法访问。非法访问指的是未经授权使用网络资源或以未授权的方式使用网络资源,它包括非法用户如黑客进入网络或系统进行违法操作,合法用户以未授权的方式进行操作。

4、破坏信息的完整性。攻击可能从三个方面破坏信息的完整性:改变信息流的次序、时序,更改信息的内容、形式;删除某个消息或消息的某些部分;在消息中插入一些信息,让收方读不懂或接收错误的信息。

5、冒充。攻击者可能进行下列冒充:冒充领导命令、调阅文件;冒充主机欺骗合法主机及合法用户;冒充网络控制程序套取或修改使用权限、口令、密钥等信息,越权使用网络设备和资源;接管合法用户、欺骗系统、占用合法用户的资源。

6、破坏系统的可用性。攻击者可能从下列几个方面破坏网络系统的可用性:使合法用户不能正常访问网络资源;使有严格时间要求的服务不能及时得到响应;摧毁系统。

7、重演。重演指的是攻击者截获并录制信息,然后在必要的时候重发或反复发送这些信息。

8、抵赖。可能出现下列抵赖行为:发信者事后否认曾经发送过某条消息;发信者事后否认曾经发送过某条消息的内容;发信者事后否认曾经接收过某条消息;发信者事后否认曾经接收过某条消息的内容。

9、其它威胁。对网络系统的威胁还包括计算机病毒、电磁泄漏、各种灾害、操作失误等。

二、防火墙技术

防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为甚。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。防火墙是网络安全的屏障:一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。防火墙可以强化网络安全策略:通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。对网络存取和访问进行监控审计:如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。

三、入侵检测技术

IETF将一个入侵检测系统分为四个组件:事件产生器(Event Generators);事件分析器(Event An-alyzers);响应单元(Response Units)和事件数据库(Event Data Bases)。事件产生器的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。事件分析器分析得到的数据,并产生分析结果。响应单元则是对分析结果做出反应的功能单元,它可以做出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。

四、数据加密技术

数据加密技术是网络中最基本的安全技术,主要是通过对网络中传输的信息进行数据加密来保障其安全性。加密是一种限制对网络上传输数据的访问权的技术。原始数据(也称为明文,plaintext)被加密设备(硬件或软件)和密钥加密而产生的经过编码的数据称为密文(ciphertext)。将密文还原为原始明文的过程称为解密,它是加密的反向处理,但解密者必须利用相同类型的加密设备和密钥,才能对密文进行解密。数据加密类型可以简单地分为三种:一是根本不考虑解密问题;二是私用密钥加密技术;三是公开密钥加密技术。

五、安全协议

安全协议的建立和完善,是计算机网络信息安全保密走上规范化、标准化道路的基本因素.目前已开发应用的安全协议有以下5种:(1)加密协议.一能用于把保密数据转换成公开数据,在公用网中自由发送:二能用于授权控制,无关人员无法解读。(2)密钥管理协议。包括密钥的生成、分类、存储、保护、公证等协议.(3)数据验证协议。包括数据解压、数据验证、数字签名。(4)安全审计协议。包括与安全有关的事件,如数据事件的探测、收集、控制。(5)防护协议。除防病毒卡、千扰仪、防泄露等物理性防护措施外,还用于对信息系统自身保护的数据(审计表等)和各种秘密参数(用户口令、密钥等)进行保护,以增强反网络入侵功能。

参考文献:

[1]丁霞军.基于ASP的管理信息系统开发及其安全性研究(学位论文).安徽:安徽理工大学,2005

第6篇：信息系统审计论文范文

论文摘要：回顾IS审计的发展历程，进而披露IS审计在我国的发展现状，并对产生问题的原因进行剖析，最后对如何构建完善的Is审计模型提出解决策略。

Is审计，是指Informationsystemauditing，即信息系统审计，它是指审计组织以信息技术为手段，组织计划审计项目，实施审计的全过程，以判断该信息系统是否安全、可靠和有效，并对信息系统对财务报告的影响做出判断或单独提出信息系统审计报告的全过程。以确认审计风险或评价企业信息战略、优化组织运营为目标，对组织营运所依赖的信息系统进行独立、客观确认和咨询活动。信息系统审计的内容包括两个方面：一是以信息技术为手段所开展审计工作的全过程，即计算机辅助审计技术(CAAT)；二是指审计部门以组织的信息系统为对象，以风险评估或内部控制检查为手段，对该系统所产生的会计信息系统的真实性、合法性做出确认或通过优化企业信息管理，增加企业核心竞争能力即信息系统的审计或EDP审计。信息系统审计与控制协会——ISACA成立于1969年，最初称为EDP审计师联合会，总部在美国的芝加哥。目前该组织在世界上100多个国家设有160多个分会，现有会员两万多人。是信息系统审计的专业人员唯一的国际性组织，CISA(CertiifedInformationSystemAuditor)也是这一领域的唯一职业资格。该组织通过制定和颁布信息系统审计准则、实务指南等专业标准来规范和指导信息系统审计师的工作；它还设立了信息系统审计与控制基金会，从事相关领域的研究工作，以使该组织的成员能够享用其最新研究成果；通过在世界各地举办各种形式的研讨会、培训班等活动，增进国际间同业人员的交流。ISACA每年还举办CISA资格考试，通过考试的人员可以申请CISA资格，符合ISACA规定的工作经验及其他相关要求的申请人会被授予CISA资格。

1IS审计发展历程回顾

在信息系统审计的萌芽阶段，人们称之为电子数据处理审计(electronicdataprocessingauditing)或计算机审计，它是作为传统审计业务的扩展发展起来的。早期的计算机应用比较简单，相应地，计算机审计业务主要关注对被审计单位电子数据的取得、分析、计算等数据处理业务，还称不上信息系统审计。从财务报表审计的角度来看，这一阶段的主要业务内容是对交易金额和账户、报表余额进行检查，属于审计程序中的实质性测试环节。此时，它只是传统财务审计业务的一种辅助工具，对客户的电子化会计数据进行处理和分析，为财务报表审计人员提供服务。

随着计算机技术应用范围的不断扩展，计算机对被审计单位各个业务环节的影响越来越大，计算机审计所关注的内容也从单纯的对电子的处理延伸到对计算机系统的可靠性、安全性进行了解和评价。在制度基础审计的模式下，计算机审计的业务内容已经扩展到了符合性测试领域。风险基础的审计模式的采用以及信息技术在被审计单位的各个领域的广泛应用，信息系统的安全性、可靠性与其所服务的组织所面临的各种风险的联系越来越紧密，并且直接或间接地影响到财务报表的真实、公允。在这种情况下，对被审计单位风险的评估必须将计算机信息系统纳入考虑范围。发展到这一阶段，计算机审计的业务范围已经覆盖了一项审计业务的全过程，计算机审计这一概念已经不能反映这一业务的全部内涵，信息系统审计的概念随之出现。

1．1在建立信息系统审计制度，开展信息系统审计研究方面，美国走在前面

早在计算机进入实用阶段时，美国就开始提出系统审计(SYSTEMAUDIT)。1969年在洛杉矶成立了电子数据处理审计师协会(EDPAA)，1994年该协会更名为信息系统审计与控制协会(INFORMATIONSYSTEMAUDITANDCONTROLASSOCIATION)即ISACA。美国是首先对网上财务信息的审计直接颁布指导性文件的国家。注册会计师协会(AICPA)为指导其会计师事务所成员，于1997年1月颁布了名为《互联网上的财务报告》(FinnacialStatementsontheIntemet)的指导性文件。该文件于1999年8月15日更新，是现阶段的最新版本。该指导性文件详细表明了美国注册会计师协会审计和鉴证组成员的立场。他们指出网上财务报告的使用者不同于传统印刷版财务报告的使用者，网上披露财务信息只是一种营销手段，网络为企业提供了时常更新其信息的可能性。

1．22001年1月，英国审计职业委员会(APB)颁布了

《网上审计报告公告》(ElectmnicPublicationofAuditorsReports)该公告主要解决了以下几个问题：(1)．检查电子版财务信息的生成。(2)．审计报告的用词。在对应印刷版财务报表的审计报告中，审计报告往往通过页码范围来确认已审计的财务报表。然而在网站上所的财务报表和审计报告中，使用页码范围已不合时宜，因此APB建议直接使用财务报表名称来取代页码范围；同时需要在审计报告中指出所使用的通用会计准则和审计准则的国籍。(3)．信息间的链接。APB非常关注已审计信息和未审计信息之间使用超链接的问题。APB建议审计师应要求“在信息使用者通过超链接从已审计信息跳到非审计信息时，网站应能向使用者发出警告信息”。

13澳大利亚审计与鉴证准则委员会(AustralianAuditnadAssurnaceStnadardBoard，AASB)AASB是最先对网上财务信息审计作出指导的审计准则制定者。AASB于1999年颁布了审计指导声明(AGS)1050《与电子方式呈报财务报告相关的审计问题》。AGS1050的目的在于“当公司利用信息技术在公共网络如互联网上已审计财务信息时，就一些问题为审计师提供一定的指导”。AASB在AGS1050中重述了审计的基本准则，并强调“电子方式财务报告并没有改变管理当局和审计师的责任”，即财务报告的主要责任仍在管理当局。

1．4日本的系统审计是从八十年代开始，1983年通产省公开发表了《系统审计标准》，并在全国软件水平考试中增加了“系统审计师”一级的考试，着手培养从事信息系统审计的骨干队伍

2IS审计在我国发展现状及存在问题剖析

近年来，我国审计信息化建设在纳入国家信息化建设(即：金审工程)范围后，有了较快发展。在信息技术和网络技术方面逐渐形成体系，审计业务软件开发应用中也有了较快发展。但审计信息化建设在实际工作中，还存在一些不容忽视的问题，这些问题如不妥善解决将影响审计信息化建设和发展进程。

2．1审计人员对信息系统审计理解偏差，信息系统审计水平匮乏

在注册会计师的行业，由于我国CPA的市场化建设及推行较晚，现行的CPA的素质较低。同时在CPA的考试中也没有计算机方面的要求，因此绝大多数的CPA运用计算机的水平很低。CPA的审计工作仍然是传统的手工审计。计算机仅仅用作文字处理或者基本不用。有些单位计算机专业技术人员只占在职人员总数的5％左右，与审计信息化建设和发展的需要还有较大差距；同时由于计算机技术的飞速发展与知识更新培训的不足，许多审计人员的计算机应用水平及相关技能无法得到同步提高，计算机应用仍停留在较低水平上，计算机功能也没有得到充分发挥。主要体现在应用意识不强，操作技能还不熟练。因而审计系统计算机人材缺乏的问题，也是制约审计信息化建设和发展的因素之一。

2．2信息系统审计理论研究几乎是空白

信息系统审计工作目前还处于探索阶段，还没有形成一套成型的专业规范理论结构。会计、审计界所进行的一些信息系统审计的探索和尝试以及开发的一些信息系统审计软件，还大都停留在对被审计单位的电子数据进行处理的阶段。

2．3信息系统审计硬件条件严重不足

2．4信息系统审计软件条件严重欠缺

虽然我国的网络财务软件较国际先进水平的差距不大，但是由于推出较晚，目前使用面还不广。同时网络财务软件的设计没有考虑审计软件设计的需要，使得审计软件的数据收集以及其功能的发挥受到很大的制约。

2．5IS审计信息化建设效益低

2．6IS审计成本不断攀升

2．7IS审计业务水平不满足信息化发展的的要求

2．8IS审计准则及专业规范不到位

我国的信息系统审计工作目前还处于探索阶段，还没有形成一套成形的专业规范。目前我国会计审计界所进行的一些计算机审计的探索和尝试以及开发的一些计算机审计软件还大都停留在对被审计单位的电子数据进行处理的阶段。运用传统的会计审计知识已经不能对这样的客户进行风险评估、内控测试与评价，从而无法进行真正意义上的“风险基础模式”的审计业务，影响我国会计师行业审计业务质量。这一现状使得我国的注册会计师行业在与国外大型会计公司的竞争中处于不利地位。

3基于新经济时代的完善的IS审计模型的构建策略

新经济是建立在网络经济和技术创新基础上的一种经济形态，以信息网络为代表的高新技术产业，正在世界范围内，尤其是发达国家飞速发展。因此，审计信息化建设和发展关系到我国审计事业的兴衰，体现着我国审计事业发展水平。为此，构建完善的Is审计模式成为当务之急：

31构建完善的Is审计准则体系

目前，我国的Is审计准则比较分散，不统一，执行起来具有很大难度。现有审计准则既有审计署和国务院办公厅的，又有中国注册会计师协会颁布的，而且只有一般性原则和指导意见，缺乏具体的实务公告和行业指南。并且《计算机辅助审计技术方法》只是涵盖了审计工作的一部分，针对我国目前审计实务界的现状，广泛采用的仍是系统打印出来的数据进行手工审计，即绕过计算机审计，如何对其进行规范，目前还没有相应的准则。因此，我国可以借鉴国际审计实务委员会颁布的有关计算机信息系统环境下的审计准则。因为这套准则既有一般性的原则和指导，又有具体的准则和实务公告，从独立微机到联机系统，再到数据库系统的审计和计算机辅助审计技术，内容比较全面并且结构性强。

3．2构建完善的Is审计实施体系

信息系统审计实施体系是指由IT和审计相关的学科为理论基础，以传统审计为实践基础，以审计指南为指导，以审计工具为辅助，以审计业务为核心的有机整体。构建信息系统审计实施体系的目的在于全面了解信息系统审计的内涵和外延，从而有助于该领域的进一步深入研究，也可更加有效地指导实际的审计工作。完善的Is审计实施体系如图所示：

3．3构建全面的联网审计系统

联网审计是指审计机关与被审计单位进行网络互连后，在对被审计单位财政财务管理相关信息系统进行测评和高效率的数据采集与分析的基础上，对被审计单位财政财务收支的真实、合法、效益进行实时、远程检查监督的行为。随着近年来一些地方联网审计试点的开展，有数据显示，在2003年，审计署对中国工商银行进行了联网审计，和1999年相比，全部参审人员仅为1999年人工现场审计的1．1％，人均发现的违纪违规问题却是1999年的38倍。

联网审计正悄悄改变着延续了100多年的传统审计模式。联网审计是顺应信息化发展的产物，不论在亚洲还是在欧洲、美洲，联网审计都处在试点阶段。据悉，2005年《中央部门预算执行联网审计工作方案》(以下简称《工作方案》)正式完成。《工作方案》规定，审计重点是国家工商总局等四大中央部门，将首批执行联网审计。该方案根据《审计署2005年度统一组织审计项目计划》、(2004至2007年审计信息化发展规划》、《审计机关审计项目质量控制办法(试行)》和(2005年财政审计应用计算机技术工作意见》制定。审计人员坐在办公室内就能动态甚至实时跟踪、查看被审计单位预算资金动态，从资产负债变动、预算经费收支、大额支出、预算指标执行、行政性收费等多个角度进行数据分析，发现疑点或异常后及时通知被审计单位，努力把腐败消灭在萌芽状态；在对具体项目审计中，大量的审前调查在自己的办公室内完成，进驻被审计单位前已经确定了审计重点和审计实施方案等，审计员在被审计单位的主要工作不再是查账找问题，而调查取证联网审计发现的疑点。

但联网审计，包括其试点活动都在近三年内才开始启动，联网审计无论在理论和实践中都存在很多问题，尤其是一些法律、技术、规范等多方面的难题。

(1)法律盲区是联网审计的主要障碍之一。比如，按照现有审计法规，审计机关能否具有与被审计单位联网取得数据的权力，有没有随时获取被审计单位数据并进行审计的权力，在发现问题后有没有及时通知被审计单位的权力，被审计单位有没有相对应的义务等。

(2)信息系统审计技术急需跟进。在开展联网审计前，应首先对被审计单位的信息系统进行审计；要探索适用范围更广的公网传输机制；要研究数据库技术、联机分析技术、数据挖掘技术等在联网审计中的应用；要通过与重点行业、重点领域的联网，建立审计数据中心，为审计业务提供支持。

3．4运用信息技术支撑审计管理的科学化

通过审计项目管理系统，审计人员可获得自己所需要的项目信息或上报自己的审计情况；审计组长可对审计人员的审计工作进行指导、监督和协调，并掌握审计进度情况；专职复核人员和业务部门负责人可对审计项目进行监督复核；本级审计机关领导对审计项目进行查询、指导和监督。新晨：

3．5尽快弥补我国注册会计师的知识结构缺陷

第7篇：信息系统审计论文范文

论文关键词：信息化；审计；风险；内部控制

1引言

在宁夏电力公司系统全面学习和贯彻落实科学发展观的大背景下，审计工作如何结合本专业特点，坚持以人为本，树立全面、协调、可持续的发展观，以科学的精神，建立科学的审计管理体系，是实现电网企业审计工作再上新台阶的迫切需要，而审计信息化建设，无疑为实现电网企业审计质量的提高提供了有效的途径。

前国家审计署审计长李金华曾高瞻远瞩的指出，“审计信息化是一场革命，能不能在这场革命中掌握主动权，直接关系今后审计事业的发展”。国网公司的审计工作“十一五”规划中也将审计信息化工作作为今后—个时期审计工作的重点之一。可见公司系统审计信息系统的建设迫在眉睫，也至关重要。笔者就宁夏电力公司审计信息化建设的现状谈谈对审计信息化建设的—点浅见。

2宁夏电力公司系统审计信息化建设现状

目前公司系统审计信息化建设依托于国网SG186工程项目，由中电普华公司开发的一体化审计综合管理系统及用于现场审计工作的审计作业工具两大平台。一体化审计综合管理系统是国网公司总部审计管理横向集成、纵向贯通到网省公司、到地市公司的信息高速公路，主要管理国网公司系统审计决策、重点、计划、统计、日常事务等事项。在制度的约束下，大量审计工作在平台上运行，起到信息共享，规范审计流程，提高审计质量和效率，提高审计现代化水平的作用。审计作业工具通过对多种财务数据的采集，实现对财务数据多角度、全方位的分析，达到快速锁定审计方向、把握审计重点并形成完整审计项目资料(记录底稿、审计报告)的作用。通过系统的应用，审计部门领导可以通过软件，科学地进行审计计划的编制，评估审计项目；审计人员可以在统一的计算机系统内，利用软件的各项特定功能，建立一个关联的整体，满足了公司审计业务管理要求。软件通过不同审计项目搜集、分析、加工、筛选后得到的企业信息，按企业名称分类存放到审计软件的中心数据库中，审计人员可以方便地查询并获得被审单位各方面的详细资料，以提高工作效率。内部审计是企业控制制度的再控制，内部审计部门内控制度的完善与否，工作质量的好坏，直接影响到整个企业的管理成效。使用软件进行内部审计作业和管理，加强了企业对内审部门的工作规范化控制。审计管理者可以充分利用软件系统提供的功能权限的控制，对不同职能岗位上的人员的操作功能加以限制。结合目前的实际运行情况来看，系统运行情况良好，基本满足宁夏电力公司审计业务的信息化应用要求。审计作业工具基本达到100％的使用频次，但审计综合管理系统的登录频次偏低，对相关数据的分析和处理能力偏弱。这些都暴露出审计综合管理系统还有进一步改进和完善的地方。在督促厂家完善的同时，相关配套制度的建设和考核的实施，也是审计信息系统使用效果的有效保障。

3ERP实施对审计信息化建设的影响

宁夏电力公司ERP系统的全面上线，对审计信息化工作提出了更高的要求。ERP系统可以让审计人员快捷、深入地了解业务流程与控制体系，并在业务抽样、正确性复核等方面提高效率。如何有效的利用ERP数据、信息的高度集成，实现多样化的分析，审计穿透快速方便以及信息实时，在线监控能够实现等特点，与审计工作实现有效地对接，无疑是现阶段公司审计信息化建设的方向。笔者有幸对上海电力公司和浙江省电力公司的审计信息化建设情况进行了调研。浙江公司和上海公司的审计信息化建设成效显著。浙江公司审计部2002年起，分阶段、分模块地开发了审计信息系统，经过近4年的不断改进，在2006年就已经建立起了较完备的审计综合管理系统和集财务、工程、用电营销各种数据源接口软件为一体的审计信息系统。2008年浙江省电力公司用于审计信息系统建设的资金达到200万元。上海电力公司结合SAP系统实时在线业务审批和监控功能以及权限的设置和记录，为强化上海电力的内部控制提供了有效的手段，帮助上海电力规避内部营运风险，并且为内部审计提供了详实的数据和依据。这些好的经验无疑为公司审计信息系统的建设提供了学习和借鉴的榜样。

4信息化对企业内部控制的影响及其对策

在国网公司系统全面倡导内部审计转型的大背景下，积极开展以监督和评价内部控制体系运行的有效性为导向的管理审计成为内部审计工作的趋势。通过评价和改进财务会计控制、经营管理控制和信息系统控制的有效性，促进提高内部控制能力和水平，帮助组织实现目标。良好的内部控制体系是以完善的公司治理结构和先进的内部控制为基础，以准确的风险识别和完备监测评估体系为前提，以健全的内部控制制度和严密的控制措施为核心，以严格的审计监督和客观的评价体系为保障，以强大的信息系统和畅通的沟通渠道为支撑的诸多要素构成的一个有机整体。这就要求我们对内部控制实施审计的时候，不能仅仅局限于对各个个功能要素进行孤立的审计，而要站在全局和系统的高度，对各个要素之间的关联活动和相互作用的效果进行审计，要从总体上对内控能力进行动态、系统的审计评价。这样，只有依托信息化条件，审计人员才可以利用计算机决速、准确的特点，积极开展事前审计、事中审计和效益审计，扩大审计面，提高审计质量和效率，使得内控审计成为可能。因此，实现内部审计全面转型与发展，审计手段必须从手工操作向信息化、自动化转变。这是内部审计工作发展的内在需要，也是内部审计实现现代化的重要标志。

5内部审计技术发展与审计项目管理

5．1审计信息技术的发展阶段

信息化环境下，内部审计技术有了新的突破。笔者认为审计技术的发展分为三个阶段，从原来的手工对帐审计到现在的计算机辅助审计，最后应该发展到以审计项目管理信息化为核心的系统解决方案。

5．2审计项目管理的信息化建设

审计的信息化，也对审计管理提出了新的要求。信息化条件下的审计管理主要是利用审计项目管理软件，完成对审计项目的管理、对审计成果的管理、对审计人员绩效考核的管理等功能。从审计项目的立项到审计项目的实施再到审计项目的终结和归档，审计管理系统都可以进行全程跟踪，实时监控。对于审计成果，审计管理系统能够方便的进行存储、检索和维护。审计管理系统还可以对审计人员的工作量、审计项目完成的情况等进行考核。

5．3内部审计信息系统的作用

内部审计管理系统应当包括综合管理系统、作业辅助系统、决策分析系统、力公门户系统，各系统的怍用如下：

5．3．1综合管理系统

通过审计综合管理系统实现整个企业年度审计计划的申报与审批、审计文书档案的管理、业务台帐的统计汇总和基础报表的自动生成，并完成人力资源综合管理、审计任务的资源调配、审计人员履行职责的考评等。通过资源管理(法律法规库、审计专家库、审计案例库、审计对象库)基础数据资料支撑，为整个审计应用系统提供完整、有效的审计-基础佶息支持。在公司目前审计信息系统的建设中，现有的审计综合管理系统基本能满足以E需求。

5．3．2作业辅助系统

通过审计作业系统辅助一线审计人员完成审计项目，实施电子财务数据、业务数据的采集转换，运用丰富的各类审计工具完成审计抽样和数据分析，提高审计工作效率。标准化的审计程序引导与控制规范了审计作业过程，降低审计风险。层层归集的基础信息及统计台帐通过系统接口与审计综合管理信息系统无缝集成并实现现场审计作业数据与远程公司审计部之间的数据交互和共享。目前，在实际应用中，公司系统的审计现场作业仅限于对财务数据的转换和查询，与浙江、上海公司拥有的财务、工程、用电营销等较为完备的审计作业工具系统相比还有较大的差距。这也是公司系统审计信息化建设亟需解决的问题和发展的方向。

5．3．3决策分析系统

通过决策分析系统辅助领导全面掌握审计项目进展情况，监控审计项目的工作进度。提取审计管言息系统、审计作业系统的相关数据，提供有价值的汇总缬：计信息，为领导宏观决策分晚基础。以公司目前审计信息化建设现状必须要结合公司系统ERP上线，财务管控系统的实施，充分利用这些系统中的数据库资源，与审计信息系统有效地对接实现业务流程追踪、数据采集分析、系统配置审核等诸多功能，才能使公司目前的审计信息化进程得到质的飞跃。新晨：

5．3．4办公门户系统

通过审计办公门户平台系统，将公司内部管理的内容，向下属各分公司及直属机构有选择的进行公开实现信息实时共享。

第8篇：信息系统审计论文范文

一、会计信息系统中会计人员素质的重要性以计算机技术为代表的信息技术逐渐演变为促进经济发展和社会进步的主导力量。在市场瞬息万变的形势下, 会计信息系统的应用, 能为企业提供及时、会计毕业论文准确、有效和完整的财务信息, 从而增强决策有效性, 提高企业管理效率和经济效益, 进而不断提升企业在市场中的核心竞争力。与此同时, 会计信息系统也是一柄双刃剑, 其不当使用的负面作用不可小觑。企业到底要不要设立会计信息系统,使用何种会计信息系统, 如何使用会计信息系统, 如何控制会计信息系统实施过程中的风险等等, 这一系列问题都涉及“人”的作用,“人”是影响会计信息系统实施能否成功的关键因素。

二、会计信息系统中对会计人才的能力要求目前在我国, 既掌握扎实全面的会计专业知识, 又具备相关的计算机知识、财务软件的使用技术、保养和维护、管理等多方面的专业素质以及与其他技术人员有效沟通和合作的能力的复合型人才还非常缺乏。信息时代对新型会计人才的需求已不仅仅是会计专业知识本身,更是对会计人才信息技术的驾驭能力、创新意识、管理才能等方面都提出了较高的要求。

1、综合能力。会计专业人员不但要具备过硬的会计知识和全新的财务理念、开放性思维和宏观把握的相关领域观念, 领悟先进的管理思想, 还必须具备熟练的网络技术和对信息的迅速反应能力和控制能力。

2、合作能力。在时代高速发展的今天, 更加重视人际合作与信息交流。有效借助组织的团结和他人的帮助, 能更好地发挥自己的力量, 从而实现共赢。

3、创新能力。创新能力是信息社会所需新型会计人才必需具备的重要的能力素质, 创新型会计人才要具有强烈的创新意识和实践探索勇气, 能够敏锐地发现问题和解决问题。

三、本科会计信息系统教与学的启示会计学本科专业培养目标基本定位是: 具备管理、经济、法律和会计学等方面的知识和能力, 熟知国内外会计财务、审计、金融、证券、税务等业务惯例, 完成会计师基本训练, 能在中外企业、事业单位及政府部门从事会计实务以及相关教学、科研工作, 具有创新精神和较强的用计算机分析和解决会计、财务管理和审计监督中具体业务能力的工商管理学科高级专门人才。具体地说就是一种掌握经济、管理、法律、会计、财务管理等相关专业知识,能应用计算机技术熟练解决财务、会计和审计问题的应用型人才。这种人才培养目标要求本科学生除了掌握专业知识外, 还必须掌握计算机硬件软件和计算机系统分析、设计方面的知识。与此相适应, 提出几点启示:

1、建设校内模拟实验室进行模拟操作。会计模拟实验, 就是将模拟对象模型化, 通过模拟其生产经营过程让学生在其中进行会计活动。实验的范围一般是从建账、填制和审核原始凭证开始, 然后编制会计凭证、登记账簿、编制会计报表, 这样能使学生独立完成整个会计循环, 从而掌握会计理论和熟悉会计操作技能。会计模拟实验主要是培养财会学生综合应用会计理论知识去分析、处理、解决会计实践问题的能力。

2、建立校外会计实训基地。实验室毕竟代替不了真正的会计信息统的工作环境, 要深入切实地了解体会会计信息系统, 实践是检验功夫的唯一标准。学生直接深入企事业单位进行实地操作, 不仅可以加深对理论知识的了解, 实践实验室的模拟, 而且能够在具体的业务与环境中触类旁通, 发现问题,锻炼解决问题的能力。

3、建立手工模拟与计算机模拟相结合的综合比较。学生在熟习会计学原理、成本会计、管理会计等相关会计知识的基础上, 先根据资料进行手工模拟, 建账、审核原始凭证、编制记账凭证, 每月编制科目汇总表、登记账表、编制年末资产负债表、利润表、现金流量表。然后再根据同样的经济业务, 以及手工编制的记账凭证进行上机操作, 将凭证输入计算机, 并自动生成报表, 可将自动生成的报表与手工报表相核对。既可检验手工操作的正确性,又可以形象地认识计会计信息系统的实质, 比较手工环境下与计算机环境下处理的异同。

4、正确处理会计信息系统课程与其他课程的关系。目前会计信息系统技能训练只通过一门课程来完成, 在有限的教学时间内,学生只能学到一些基本原理和简单操作, 根本谈不上系统掌握和熟练操作。而会计信息系统涉及到的经济、管理、法律、会计、财务管理等相关专业知识又绝非一门课程所能够容纳。所以, 如何树立正确的意识, 合理安排会计信息系统课程与其他课程的关系, 在学习中融会贯通, 在实践中举一反三, 是留给学生的最大的思考。

5、具有较强表达沟通协作能力。实际工作中往往需要互相合作, 这就要求我们不仅仅停留在书本, 而且要平衡自己多方面的发挥, 锻炼语言文字表达、人际沟通、知识再生、团结协作和社会活动的能力。从而成为一个学习性、适应性强的人才, 在以后的工作中不断学习不断进步。总之, 会计信息系统光有精湛的计算机技术人员或者光有经验丰富的会计业务人员或者管理人员都是远远不够的, 而应该是这三者的完美结合。因此,企业要真正做到充分有效利用会计信息系统, 就要造就一大批既精通计算机信息技术, 又专于财务管理知识, 能够熟练地进行财务信息的加工和分析, 满足各方对财务信息需求的“会计—计算机—管理”型的复合型人才, 促进会计信息系统的顺利发展。

参考文献

1、会计专业毕业论文《信息社会会计人才的培养模式》, 徐跃华,《中国农业会计》, 2007 年11 月。

第9篇：信息系统审计论文范文

关键词：ERP：会计信息系统：内部控制

中图分类号：F275.2 文献标志码：A 文章编号：1673-291X（2012）33-0097-02

引言

会计信息系统的内部控制是伴随着企业会计信息系统的建立而产生的。在企业在建立了会计信息系统后，企业会计核算和会计管理的环境有了很大的转变。通过计算机的使用，会计数据处理的速度加快了，会计核算的准确性和可靠性得到提高，因疏忽大意及计算失误造成的差错大量减少。然而，ERP的运用也加大了会计信息系统内部控制的难度，使得人们对由会计信息系统产生的一系列信息的质量问题感到担忧。因此，企业如何构建ERP环境下会计信息系统内部控制体系，应对面临的风险，对中国企业的会计信息系统内部控制进行改进就是该论文的研究出发点。

一、ERP环境下会计信息系统内部控制要素分析

1.内部环境。内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。ERP系统使企业所处的内部环境发生了变化并要求对原有的业务流程进行优化和重新设计，这样也就改变了企业原有的组织结构。

2.风险评估。风险，是指对实现内部控制目标可能产生负面影响的不确定性因素。风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程，是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。目标设定是风险识别、风险分析和风险应对的前提。首先根据企业战略目标，设定相关的经营目标、财务报告目标、合规性目标与资产安全完整目标，将内部控制目标逐级分解，并根据设定的目标合理确定企业整体风险承受能力和具体业务层次上的可接受的风险水平。

ERP环境下的会计信息系统，虽然企业的整体目标没有改变，但是伴随着业务流程的改变，系统的开放性、信息的分散性、数据的共享性，都极大的改变了以往企业封闭、集中的运行环境，从而改变了传统的风险控制内容和方法。

3.控制组织。（1）组织控制。ERP系统使企业对原有的业务流程进行优化和重新设计，这样也就改变了企业原有的组织结构。组织结构层次扁平化，部门职能按照ERP系统功能重新分配，加强部门之间信息传递的无缝化管理，各部门不在是“信息孤岛”。在ERP系统环境下，要对会计信息系统组织结构做出调整，按照不相容岗位相分离原则，对各类岗位进行重新的划分，在授权过程中运用内部审计，建立权、责、利相结合的岗位责任制，坚持岗位轮换制度，达到岗位之间相互制约、预防风险作用。（2）系统开发与维护控制。系统开发控制是为保证ERP环境下的会计信息系统开发过程中各项活动的合法性和有效性而设计的控制措施，它应贯穿于系统规划、系统分析、系统设计、系统实施和系统运行测试与维护的各个阶段。其主要内容包括如下：明确开发目标，制定项目管理计划；利用网络在线测试的功能，检验整个系统的完整性；一旦发现系统软件可能存在安全漏洞，应立即进行在线修补与升级；会计信息系统维护分为正确性维护，保证系统各模块数据正确、安全、连续运行。（3）数据安全控制。数据安全是指防止信息系统中的数据被故意地或偶然地泄露、破坏、更改，保证信息使用完整、有效、合法。加强数据安全控制措施主要有：数据库自动备份与恢复功能，建立数据信息定期备份制度和数据批处理或实时处理的处理前自动备份制度；采用先进的身份验证技术。操作人员身份的验证包括数据的录入、数据的修改等各种环节，每个过程都要有严格的身份识别；数据加密技术；并发控制。

4.监督检查。监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估，形成书面报告并做出相应处理的过程，是实施内部控制的重要保证。ERP环境下的会计信息系统业务传统控制活动嵌入到计算机程序，业务控制的有效性依赖于系统的安全性、可靠性和有效性。内部控制评估体系主要包括以下几个方面：（1）在董事会下设立风险管理委员会。委员会下设审计委员会和信息管理委员会直接对董事会负责。（2）监督检查方法主要有：信息系统审计，包括注册会计师审计和内部审计；防范舞弊行为检查；财务部门对信息系统内部审核监督。

二、ERP会计信息系统内部控制流程优化及控制点分析

供应链环节控制是以企业物流业务为主干线，包括库存管理控制、销售管理控制、采购管理控制及分销资源计划管理控制等。处理企业从原材料供应和产品的存储到产品销售的整个流程，其物流管理的核心是库存管理，并要综合考虑整个物流供应链的管理。该过程的主要信息和数据有物品代码资料、物品库存资料、供需方的资料等，其中销售计划、合同和定单是主生产计划的入口数据。

生产管理是制造业的主体业务，包含MPS的制订、资源的利用、下达生产计划和生产作业的控制等业务。包括制造标准控制、主生产计划、物料需求计划、能力需求计划、车间作业计划、质量管理控制及设备管理控制等。这个过程的运作涉及很多企业的重要基础数据，如物料清单、工艺路线、工作中心资源与能力等。

生产环节控制点主要有：生产过程中有关职务的必要分离；对产品的计划实施控制；产品进度进行控制；对机器设备要定期维护，及时检修，确保生产的顺利进行；产品质量控制；产品成本控制；生产机器设备安全控制等。

由于ERP方式下，业务部门在处理业务的同时也完成相应业务的会计—记账处理，如仓储部门除了记录各种入库材料，商品的种类、数量以及实物的收支保管外，还同时负责有关账户的会计记录，因此会计部门的实时监控成为必要的控制手段。

会计信息系统业务控制，包括总账管理、应收账款管理、应付账款管理、预算会计、现金管理、账簿报表管理、固定资产管理、工资管理及成本会计等。财务集成控制是最终完成ERP会计信息系统控制的关键，是企业各项业务活动最终结果的体现，也是一个中心的最终体现。

企业往来收、付款业务主要是指企业之间的主营业务往来款项的收付核算。也就是销售业务和采购业务发生的货款支付。销售收款业务主要进行从客户处取得货款并进行会计核算和进行企业与客户之间应收及预付往来款项的核算与管理。采购付款业务主要支付供应商的材料款并进行会计核算和进行企业与供应商之间应付及预收往来款项的核算与管理。

成本系统主要是核算企业生产经营过程中产生的材料费、人工费、设备损耗费等，将这些费用进行归集、计算、分配到产品成本当中去。成本业务环节控制主要有：成本管理人员随时监控工单的生产情况，对异常工单，如工单上缺少必要的签章和其他重要信息的，应拒绝进一步处理，并通知相关环节；成本核算人员填制的会计凭证须由会计主管核准签章；制造费用分摊的方法应由企业统一制定，各成本核算人员无权修改和选择；成本监控中发现的异常情况，如物料数量的异常等应及时通知相关环节和部门主管；采用标准成本核算的，物料标准价应由企业统一制定，各成本核算人员无权修改和选择。

总账业务是会计核算数据的主要入口，也是对外会计报告的唯一出口，企业所有经济业务的汇总会计核算都在此进行。其业务控制主要从数据输入、数据处理、数据输出三个环节进行控制。

数据输入环节的控制：（1）所有由原始凭证人工填制的记账凭证都要经过严格的审核，并具会计主管审核签章，同时履行一定的交接手续，然后才能输入到计算机系统中。（2）机内其他业务处理转入的凭证在转入时都要自动标注出处；某个部门的某个业务员编制，由谁审核。（3）凭证输入时对重要的数据项进行检验。（4）为防止多人同时操作输入凭证造成重号、断号、串号，对正在操作的数据—记录进行加锁，避免同时多人操作同一条记录。（5）所有进入总账作业的凭证都要进行审核，未经审核的凭证不能记账。凭证一经审核就不能被直接修改和删除。审核时会计人员要按照会计制度的要求对凭证的合规性、完整性、正确性进行审查核对；技术性审核是检查凭证摘要是否简明、扼要、科目借贷对应关系是否正确。审核后，审核人员要签章。

结论

内部控制的发展已经有相当长的历史，但仍旧是当今理论界和实务界研究论的热点话题。目前，中国国内内部控制规范才刚刚开始，中国内部控制问题研究十分活跃。在此过程中，适当地借鉴国外内部控制规范比较成熟发达国家的有益经验和实际做法，对提高中国会计领域内部控制工作进程有很大帮助。随着ERP系统在企业中广泛应用，会计信息系统已经嵌入融合到ERP当中。本文通过对ERP与会计信息系统内部控制进行整合，研究了ERP环境下会计信息系统内部控制的组建，并结合COBIT框架，研究了会计信息系统内部控制的实施，旨在帮助企业在构建会计信息系统时提高风险意识，根据自身发展情况认真细致地制定内部控制制度，不折不扣地实施相应的控制措施，从而最大限度地保证会计信息的真实性和准确性。

参考文献：

[1] Stephen　Hag，Mauve　Cumming，Donald　J.Me　Aubrey信息时代的管理信息系统：第4版[M].严建援，等，译.北京：机械工业出版社，2004.

[2] 张瑞君，蒋砚章.会计信息系统[M].北京：中国人民大学出版社，2006.

[3] 刘翔.ERP与协同决策[M].上海：上海交通大学出版社，2006.