公务员期刊网 精选范文 简述内部控制的概念和要素范文

简述内部控制的概念和要素精选(九篇)

前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的简述内部控制的概念和要素主题范文,仅供参考,欢迎阅读并收藏。

简述内部控制的概念和要素

第1篇:简述内部控制的概念和要素范文

管理控制、会计控制和业务控制是内部控制中三个不可分割的重要方面。与内部控制一样,会计控制理论与实务也是随着的变革、环境的变化、竞争的加剧、内部管理的需要而不断丰富、和完善的。

但是,与起源于20世纪80年代并迅速发展的经营管理革命相比,在财务和会计领域所发生的革新落后了一代(Thomas和Walther,1997),表现在“实时控制观没有得到会计理论和实务界的普遍重视,使得会计流程远离业务流程,导致为管理者提供的信息仍然是滞后的,无法满足实时控制的需求。IT环境下实时控制的研究非常匮乏,使得会计只注重核算职能,控制职能弱化,特别是利用信息对经营活动全过程进行实时控制无法真正得以体现”(阎达五,2003)。笔者以泛系理论及观控技术为指导,构建了以泛系理论为基础的会计控制观。

一、泛系理论简述

泛系理论,又称泛系方法论,是我国多栖学者、武汉数字工程研究所吴学谋教授于1976年开始筹创的一门前沿,其前身是数学逼近转化论与电磁介质动力学等价论,背景是辨证综合、跨域一体、百科整合的大科学时代。作为对、数学、科学技术、系统科学、美学、诗学等领域跨学科新的探索,泛系理论是一种似哲非哲的形而泛学的开拓。它追求数、理、工、医、文、哲等多种专题的自创一家之言而强化百科理法之间的联系与中介互转,在经历了对百科理法的八次概括、与显生后,处于不断发展和完善之中。

泛系理论的研究对象为一般事物机理,主要涉及广义的系统、关系与对称的一般事物机理。它一方面用逐个典型数学建模的方法,另一方面用机语言或形式语言学递归定义的方法,同时用横断科学对实践已证原型或学科概括的方法来研究泛系范畴并使之充分可观控建模化(吴学谋《从泛系观看世界》)。

泛系理论的重要技术支撑是观控技术。观控技术认为,物质、能量、信息、空间、时间是科学技术的五个基本要素,这五个科学基元中的任何一个都不能单独存在,只有包含了物质、能量、信息、空间、时间的五维物理泛系才能客观、独立地存在。因为在这五个科学基元之间存在着互联、互转、互导、互生、互克关系,并在一定的条件下相互转化。观控技术以泛系为观控对象,以认清现实、把握未来为基本使命,是一种追求完善的系统技术。

二、泛系会计控制系统的架构

一个企业的内部会计控制主要是指企业内部会计方法和其他有关方法,对财务、会计工作和有关经济业务所进行的控制(李凤鸣《内部控制学》)。从总体上看,会计控制可分为:宏观控制,即发展比例控制;微观控制,即单位内部控制。宏观方面可以通过财务计划、工资计划和成本计划等进行控制;微观方面可以通过经济责任制、目标成本、技术经济定额和内部结算制度等进行控制。会计控制是连接管理控制和业务控制的必要环节,是内部控制的核心。

从泛系理论看,会计控制系统就是一个极其复杂的广义系统,其硬部由控制者和控制对象的集合构成;软部由控制关系结构集构成。硬部是指发生控制关系的落脚点,在一个企业内,它可以是人、货币资金和实物资产等,也可以是子公司、内部责任中心等子系统;软部是指各控制要素之间或各子系统之间形成的关系结构集,它可以是规章制度、内部管理文件等。相同的硬部可以组成不同的关系结构集。控制的实质就是实现控制者、控制对象和控制关系三者的相对优化匹配,即通过一定的方法、措施、技术使管理系统达到一定的优化目标。

笔者认为,泛系会计控制系统的构建应当包括以下几个方面:

1.建立开放式的会计信息系统(AIS)环境。包括、数据库和管理软件,这是进行会计实时控制的基础。“开放式”指AIS不仅仅是企业会计部门对经营活动信息进行采集、加工和报告的手段,也是企业内部其他管理部门和业务部门以及企业外部利益相关者了解企业会计信息的窗口。当然,AIS必须进行权利限制:经济业务数据的收集和记录只能由系统管理员操作,一旦录入,未按正常程序批准不得随意修改;其他人员,包括企业最高管理层,也只能以“游客”的身份浏览会计信息,而无法修改它们。

此外,AIS必须与企业内部其他管理系统进行有效对接。会计信息来自于企业生产经营活动和管理活动的方方面面,开放式的AIS要求会计人员不能只关注与资金收付、资产变动有关的会计核算业务,还要密切关注其他业务活动对会计业务的,并采取相应的对策。AIS与其他管理系统的链接、整个管理系统的网络化为会计人员方便地掌握企业经营活动的发展态势提供了平台。再者,AIS也应该面向企业外部的利益相关者,如政府、债权人、供应商以及客户等,为他们提供准确的会计信息,作为他们评价和监督企业的客观依据。

泛系理论是研究开放式系统的理论,因为只有开放式系统才能不停地与外界进行物质、能量和信息的交换,才能调整内部结构以适应外部环境的变化,才能在时空中生存和发展。观控技术就是通过对开放式系统物质流和信息流的实时观察,把握其运动变化的,并采取一定的控制措施促使其优化发展。这就要求进行AIS的程序重组,建立一种新的AIS环境,以支持会计实时观控。

2.建立泛系会计观控程序。控制程序是控制过程的具体化,一个好的控制程序应能囊括会计控制的主要,完整、准确地反映企业的控制目标,并有利于控制评价。传统的、常规的会计控制的主要内容,在资产管理方面包括资产收付、资产维护手续和资产维护手段。随着企业经济业务的不断发展和日趋复杂,控制内容和范围也不断扩大,这就要求会计人员研究新的控制方法和程序,并将其付诸实施。

另外,经营活动的国际化以及竞争环境的日益激烈使企业的经营风险陡然加大,由此也产生了许多新的非常规事项,其中某些事项会严重企业经营活动的正常进行,如诉讼、出口产品反倾销等等。对此,可以按照对企业影响的大小建立控制原则和反映机制,并纳入控制程序之中。控制的目标,在宏观上,应确保国家有关法律法规和企业内部控制制度的贯彻执行,确保企业战略经营目标的实现;在微观上,应规范企业会计行为,保证会计资料真实、完整,堵塞漏洞、消除隐患,防止并及时发现、纠正错误及舞弊行为,保证企业资产的安全、完整。

古典学把企业看作是一个生产函数,土地、资本和劳动力是三个基本生产要素,由于对土地的资金投入在一定时期内固定,通过对资本和劳动力的不同组合,企业可以生产相同数量的产品。在等产量曲线上,最优的生产要素组合就是对资本和劳动力的综合资金投入最少的那一点,这可以用产量分别对资本和劳动力的偏导方程联立求得。

笔者认为,从泛系理论来看,企业是一个受内外环境各种因素制约,既包含上述三个硬约束要素,也包括诸如市场环境、人员素质、管理风格等软约束要素的综合生产函数,用公式表示为:

f(Y;X1,X2,…Xn)=0

Y表示企业的综合状态,Xi(i=1,2,…n)表示各种约束要素。

该函数是一个隐函数,表达的是多对一的对应关系。运用泛系理论的单值化原理,可以对各要素求泛导(泛系概念下的偏微分)来显化它们对企业的有利影响(显生)和不利影响(显克),寻求企业资源的最佳配置,促进企业的趋优化。而建立合理、可行的观控程序则是显化生产函数的必要途径,一般的会计观控流程图如下:

3.建立实时会计控制方法。控制方法是反映控制、实现控制目标、发挥控制效能的技术手段,在控制体系中占据着重要地位。经济环境的发展变化使很多传统的会计控制方法的控制时效滞后、控制力度减弱,会计信息流与业务流成为“两张皮”。一些新的会计控制方法,如预算控制、责任会计控制、标准成本控制、作业成本控制等,其中有些方法已经具有实时控制所要求的事中属性、动态属性和时空属性,但在我国企业中的运用程度还非常低。实时会计控制方法就是在信息技术和观控技术的支持下,对经营活动全过程形成的物流和资金流进行实时控制,建立各类基于结构化控制规则的流程审批控制法、业务处理规则控制法、权限控制法以及既具有结构化控制规则又具有明确控制标准的预算控制法、责任控制法、标准成本控制法等。

第2篇:简述内部控制的概念和要素范文

【关键词】 信息系统审计 审计内容 审计方法

一、引言

相比于传统审计,信息系统审计(Information System Auditing)是审计领域中的一个新概念。目前,关于信息系统审计,学术界和业界均无通用的定义。美国信息系统审计权威专家Ron.A.Weber提出:信息系统审计可定义为通过一定的技术手段收集、分析证据,以对计算机系统是否能够保证资产安全、维护数据完整、实现组织目标以及高效利用资源进行评价的过程。日本通产情报协会作了如下定义:信息系统审计是指,为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师以第三方的立场对以计算机为核心的信息系统进行综合检查和评价,并向信息系统审计对象的最高领导者提出问题与建议的一连串活动。国际信息系统审计和控制协会(ISACA)将其定义为:信息系统审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。

针对以上观点,我们将其要点归纳如下:信息系统审计是审计师对以计算机为核心的信息系统,通过专业判断和评价,合理保证信息系统安全、稳定、有效,并向信息系统的高层管理者及使用者提供问题解决方案,以达到改善经营和为组织增加价值目的的一个过程。

二、信息系统审计的发展与现状

20世纪60年代,随着计算机技术开始运用于企业的信息收集和整理中,会计信息处理逐渐无纸化,促使审计人员在执行传统审计业务时,必须关注以电子数据为载体的电子数据处理审计(EDP Electronic Data Processing)。20世纪70年代中期至80年代,电子数据处理和管理系统等在企业中逐渐普及,同时,计算机犯罪和计算机系统失效的事件频频发生,使得信息系统审计日益得到重视并迅速发展。美国、日本先后成立了IT审计方面的协会组织,从事对IT审计规则的制定和实施指导。20世纪90年代,信息和信息系统已成为企业的重要资产,企业和社会对信息系统控制和审计的需求愈发强烈。发达国家的信息系统审计进入普及期,许多国家的审计机关、学者和组织对计算机环境下的信息系统审计进行了有益的探索。同时,东南亚各国也逐渐认识到信息系统审计的重要性,开始着手研究信息系统审计理论和实务。

目前,我国信息系统审计仅有十几年的历史,尚处于探索阶段,既缺乏开展信息系统审计业务的人才队伍,也没有形成专业规范体系,所进行的一些计算机审计方面的探索和尝试以及计算机审计软件的开发和应用还大都停留在对被审计单位电子数据进行处理的阶段。存在的主要问题有:信息系统审计观念落后;信息系统审计相关的准则、标准和规范尚不完善;信息系统审计专业人才匮乏;信息系统审计软件开发工作滞后。

1997年,广州地铁开始公司“信息化”建设。最初,广州地铁经营审计采用“绕过计算机审计”的方法,即对导出数据进行审计。审计过程中,其逐渐意识到了运用这种“黑箱原理”审计方法的风险。因此,2006年公司组建了专门的IT审计模块,探索“如何利用计算机审计”和“通过计算机审计”。其后,广州地铁信息系统审计发展经历了借力、助力和自立三个阶段。

一是借力期:IT审计模块成立初期,公司与外部顾问共同开展IT审计项目,通过外部专业人员向审计人员传输IT审计技能,同时制定《IT审计实施细则》,在人员技能储备和制度上为IT审计模块的发展奠定了基础。二是助力期:审计人员参照审计手册,利用从外部顾问处学习到的审计技能,逐步开展信息系统审计工作,将IT审计工作模式调整为以自身力量为主,外部咨询服务为辅的模式。三是自立期:2009年,广州地铁IT审计已基本实现自主化,且IT审计模块逐步走向成熟,同时其还建立了具有自身特色的信息系统审计框架。

目前,IT审计已经发展成为广州地铁内部审计的一根“支柱”,连同“内控审计”,作为基本的审计手段贯穿于各类专业审计工作中,支持审计体系的巩固与发展。

三、信息系统审计内容

1、国内外关于信息系统审计内容的研究

开展信息系统审计首先要明确审计内容。国际信息系统审计协会规定,信息系统审计的主要内容包括信息系统程序审计、信息技术(IT)治理、系统生命周期管理、IT服务的交付与支持、信息资产的保护、灾难恢复和业务连续性计划。

近十几年来,国内的学者和组织也对信息系统审计的内容进行了探索和研究。审计署在2012年颁布的《信息系统审计指南――计算机审计实务公告第34号》中明确提出了:信息系统审计包括对应用控制、一般控制和项目管理的审计。其中,应用控制包括信息系统业务流程,数据输入、处理和输出的控制,信息共享和业务协同;一般控制包括信息系统总体控制、信息安全技术控制、信息安全管理控制;项目管理包括信息系统建设的经济性、信息系统建设管理、信息系统绩效。

上述具有代表性的规定和研究成果对信息系统审计内容的划分,均是以对信息系统逻辑结构的分析为基础。全面分析信息系统的逻辑结构,可从信息系统的构成要素、信息系统生命周期和信息系统管理三个维度进行描述:从构成要素来看,信息系统由人员、应用(包括软件平台和应用系统)、所采用的技术、硬件设备、数据文件运行规则组成;信息系统生命周期可划分为信息系统的规划阶段、开发阶段、运行维护阶段和更新阶段;从信息系统管理的维度来看,对系统的管理与控制活动贯穿于信息系统生命周期的始终,主要是通过有效执行一系列健全有效的规章制度和管理规程来实现。

2、广州地铁信息系统审计实施框架

结合广州地铁信息化项目多、系统更新快、数据集成度高、系统控制与手工控制并重等特点,围绕信息系统构成要素、信息系统生命周期和信息系统管理三个维度,广州地铁将信息系统审计的内容划分为整体计算机控制审计、应用控制审计和系统建设效能评价三个方面。其中,整体计算机控制审计是对信息系统运行中的控制活动进行审计,目的是合理保证由信息系统支持的业务流程控制是可靠的、生成的数据和报告是可信的。应用系统控制审计是对业务流程中的自动化控制活动进行审计,以合理保证交易的有效性、经适当授权和记录、完成的完整性、准确性和及时性。项目及系统绩效审计是对信息化项目的过程及成果对企业和业务产生的效益进行审计,用来合理保证信息化项目的投资/产出比例符合建设的目标,以及信息系统对企业战略起到的预期的支撑作用。围绕上述三个方面,广州地铁内部审计确立了以下的实施框架。

(1)确立整体计算机控制安全、操作、变更的三个评价维度,围绕“信息系统全生命周期”,明确整体计算机控制十个流程。广州地铁通过学习和借鉴国际信息系统技术管理和控制标准COBIT,建立起了一套自己的整体计算机控制审计框架。框架可按流程和控制类型两种方式进行划分,两种划分方式在本质上是一致的。在按流程划分出的每个子流程中,信息系统审计人员需要从变更、安全、操作的角度去确认和评估具体的控制点;在按控制职能所作的划分中,审计人员需要围绕信息系统的策略与计划、信息系统操作、与外部供应商关系、业务可持续计划、应用系统开发、数据库、软件支持、网络、硬件等十个子流程进行审计。

围绕安全、变更、操作三个角度及十个子流程,广州地铁共梳理出有关整体计算机控制的41项审计内容,并针对每一项内容明确了控制目标和风险,建立起了一套完整的整体计算机控制矩阵。例如,信息系统策略和计划子流程中,广州地铁明确了整体计算机控制的三大目标――信息系统战略、规划和预算应与实际业务和战略目标保持一致,计算机处理环境应得到具有适当技能和经验的人员的充分支持和保证,以及计算机处理环境中的人员应接受适当的培训,审计人员在此基础上针对各控制目标,识别并归纳出广州地铁现行的9个控制活动。在具体开展信息系统整体计算机控制审计时,信息系统审计人员根据审计项目的特点和要求,选择需要评价的子流程,再对照子流程的控制活动进行评估及测试即可。

(2)从内部控制目标出发,将信息系统应用控制划分为访问控制、完整性控制及数据质量控制三大方面。广州地铁将信息系统的应用控制划分为应用系统访问控制、流程和系统完整性控制以及数据质量控制三大类,并针对各类控制分别设计了不同的审计内容。

一是应用系统授权访问控制审计包括对系统的认证方式、授权机制、权限的分配管理以及不相容职责分离在系统中的实现情况的审计,目的在于保证经过允许的人才能访问和操作系统。二是流程和系统完整性控制审计是对系统输入、处理、输出以及接口等各种系统运行规则的审计,用以保证所有经允许处理的数据均转换到介质上并被处理,且处理的结果可通过适当的方式加以输出,所有输入、转换、处理和输出均在正常的时间内准确地进行。三是数据质量控制审计则是指对信息系统中的数据的完整性、规范性和有效性所进行的审计,旨在保证所有系统的输出均反映为经批准的有效的经济业务,所有经过系统的数据真实、有效,且能满足企业各项业务的使用要求。

(3)围绕“信息化项目”和“信息系统”,综合评价信息化建设的效益。在开展整体计算机控制审计和应用控制审计的基础上,广州地铁从企业经营和投资效益的视角出发,在信息系统审计中引入了3E审计的概念,尝试对信息系统建设项目的成效、建成后系统的应用效能以及信息化对战略的支撑效果进行审计。为了全面评价项目,广州地铁通常将对单个信息系统建设项目的合规性审计与项目效能审计结合在一起开展。

一是信息系统建设成效审计旨在通过对系统建设全过程的审计,促进信息系统的建设规范性,提高信息系统建设的质量。二是信息系统应用效能审计包括对业务需求的实现情况、建成功能的使用情况的审计分析,以及对系统应用对业务管理规范化、标准化和精细化提升作用的综合评价,目的在于促进系统使用价值的最大化,减少系统建设的投资浪费。三是战略支撑效果审计是从支持战略实现的角度,评价信息系统的建设效益,保证信息化建设在符合业务管理要求的同时,符合公司战略的需要,支持公司战略的实现。

四、信息系统审计实施步骤

信息系统审计步骤(或流程),是审计工作从开始到结束的整个过程。信息系统审计流程一般可划分为四个阶段:计划阶段、实施阶段、报告阶段和后续阶段。计划阶段是信息系统审计流程的起点,此阶段的主要工作包括了解被审计系统的基本情况,初步评价被审计单位信息系统的内部控制和外部控制,识别重要性和编制审计计划。实施阶段是根据计划阶段确定的审计范围、重点、步骤和方法进行有针对性的取证、评价,并形成审计结论的过程。实施阶段是信息系统审计工作的核心,主要由符合性测试和实质性测试两个部分构成。在报告阶段,信息系统审计人员需运用专业判断,整理、评价收集到的审计证据,以经过核实的审计证据为依据,形成审计意见,出具审计报告。审计报告的出具并不意味着信息系统审计工作的终结。根据国际信息系统审计标准,信息系统审计人员对于系统中发现的重大问题和漏洞,需要对被审计单位所采取的纠正措施及其效果进行后续审计。审计人员需要将后续审计纳入计划,并安排必要的人员和时间进行后续审计。

广州地铁IT审计模块成立之初,即明确了IT审计“对公司的系统流程与控制、项目进行审计”和“提供有益于增加公司价值的咨询服务”两项核心职责,并围绕公司战略,以“风险导向”、“服务战略”理念为指导,从信息系统审计战略规划和具体项目执行两个层面分别制定信息系统审计的流程。

1、以公司战略为导向,制定信息系统审计的战略规划

一直以来,广州地铁奉行“源于战略、服务于战略”的现代审计理念。这一理念主要体现在两个方面:一是在制定内审工作计划时,从公司战略出发,制定各个内审业务及各专业审计模块的战略,并以业务战略为指导,开展具体的审计工作;二是在开展审计项目的过程中,始终从保障公司战略执行的角度去发现问题、评价问题,提出整改意见和落实整改。信息系统审计的战略规划来源于公司的战略,以及以公司战略指导制定的公司信息系统战略规划和内部审计业务战略规划;同时还须结合公司信息化现状和IT审计模块定位,明确广州地铁IT审计发展战略目标。

2、通过风险评估,确定各信息系统风险等级,制定层次分明、重点突出的信息系统循环审计计划

为利用有限的审计资源掌握公司主要信息系统的建设、运营情况,保障信息资源的有效利用,降低公司信息系统的整体风险,广州地铁建立了一套“根据信息系统风险评级制定差异化的审计策略”。

(1)梳理信息系统脉络,全面掌握信息系统现状。广州地铁结合信息系统规划、建设和运营的情况及系统分类梳理出被审计信息系统清单,并从系统构成要素的角度收集系统相关的信息。这些信息包括系统名称、功能模块、采用产品等基本信息,以及项目的建设信息、系统的使用状况和运维的基本情况。这些信息是风险评分的依据,也为后续开展具体审计工作时确定审计方案提供了指引。

(2)开展信息系统风险评级,制定风险导向型审计计划。内审人员从通用风险、业务风险、项目风险、系统风险、数据风险和人员风险六大风险类别出发,全面识别信息系统各类构成要素中存在的风险;对信息系统进行风险评价,根据风险得分将信息系统按优先级分别划分为高、中、低三类。结合公司IT审计资源的情况,对优先等级高的系统采用三年一审策略,中等级系统5―6年一个审计周期,风险等级低的系统则根据需要安排审计。在此审计策略的基础上,再综合考虑公司业务的十大风险、领导关注事项、上一年度内控评价结果和审计项目成果、公司新一年的工作重点、公司信息系统的变动情况,并制定出本年度的信息系统审计计划。

3、以风险为导向,开展信息系统审计

在项目实施阶段,审计人员必须从公司整体信息系统控制环境和被审计系统的状况、流程与内部控制两个方面进一步收集被审计系统的相关资料,了解和确认被审计单位已建立的内部控制措施,并对这些控制措施的设计是否达到控制目标进行评估。

(1)以“轮流循环+以点带面”的方式开展整体计算机控制审计。公司的信息化业务采用统一集中管理的模式,整体计算机控制对各个系统具有一定的通用性。因此,在实务操作中,广州地铁采用“以点带面”的策略,以单个信息系统整体计算机控制为切入点对整体计算机控制进行审计,评价整体信息系统的安全性;同时,考虑到信息系统在一定时间内相对稳定,因此在实施整体计算机控制审计时可采取轮流测试的方式,即每年从十个子流程中选取几个进行测试,经过一定周期后,完成对整体计算机控制的全面审计。例如,在2011年开展的信息安全审计项目中,审计人员就围绕信息安全这个审计主题,从十个子流程中选取了与信息安全直接相关的信息系统操作、信息系统安全、业务可持续计划、应用系统开发与实施、数据库开发与实施和系统软件支持等六个流程进行审计。分步、循环开展整体计算机审计,在审计风险可控的情况下,大大节省了审计资源,也使得审计人员能够更加深入地挖掘和分析整体计算机控制方面所存在问题以及问题的成因,提出更为切实可行、同时又符合公司信息化业务发展现状和要求的整改措施。

(2)以风险为着眼点,确定应用控制审计重点。应用控制是各个信息系统内部所建立的控制机制,应用控制审计必须针对某个具体信息系统开展。在开展应用控制审计的过程中,审计人员应紧紧围绕“风险”这个着眼点,通过对原有业务成熟度和系统建设过程中风险的评估,选择不同的审计侧重点开展应用控制审计。例如,在合同管理系统审计项目中,由于合同管理系统是全新开发的系统,审计人员经分析,判定系统在应用系统访问控制方面的风险较高。而在进行控制评估和测试后,审计人员发现业务人员在创建系统权限设置机制时完全套用了公司办公自动化系统的权限机制,而未针对合同业务流程中不同于公司组织架构下的角色设立相应的用户组,导致系统无法实现合同经办人与审批人职责的分离,存在重大的内控风险。

五、信息系统审计方法

在信息系统审计中,可因地制宜,综合运用多种学科的技术方法,包括:传统审计中内部控制测评的基本方法和审计取证的基本方法(包括审阅、核对、监盘、观察、查询、函证、计算、分析性复核);计算机科学的技术方法,如数据测试法、程序编码审查法、受控处理法、受控再处理法、整体测试法、平行模拟法、程序比较法、漏洞扫描、入侵检测、嵌入审计程序法等等;行为科学的技术方法,如运用组织发展的理论与方法、个体行为一般规律的理论和方法。这些方法与技术并不是孤立的,而是互相联系的。

目前,广州地铁在信息系统审计中所运用的方法仍主要集中在传统的内控审计方法和信息系统管理的技术方法两个领域,具体包括询问、观察、文件复核、抽样、重新执行、使用计算机辅助软件等。在部分项目中,也采用了一些计算机科学的技术方法。受限于审计资源不足,广州地铁较少采用程序比较法、平行模拟法、程序编码审查法等高成本的审计方法,而倾向于选用一些较为高效的测试方法。但这些高效方法的运用不能完全消除审计风险,这就需要审计人员根据自身的经验尽量避免。

1、传统审计方法的运用

广州地铁在开展信息系统审计过程中较多运用传统审计的方法。例如,在对信息系统整体计算机控制进行审计时,通过对系统使用人员的访谈、调研和对系统各项操作的观察,梳理出整体计算机控制相关的各种控制活动。在没有测试环境的情况下对生产在用信息系统的人机交互界面和功能进行调查和确认时,审计人员大量运用了观察的方法。在对固定资产信息系统模块进行审计中,审计人员通过观察物资采购人员、资产管理人员、会计核算人员在系统中的操作界面、系统实现效果以及业务操作流程来了解系统功能的构造。发现采购中的供应商信息在跨系统流程过程中丢失,导致财务系统和实物管理的MAXIMO系统的资产台账中均缺少供应商信息,致使日后采购同类物资时,采购人员无法获取历史采购信息作为参考,增加了市场调研成本。除内控矩阵和访谈、观察等方法之外,编制流程图、数据流图和报表流图也是信息系统审计经常使用的方法。

2、计算机科学技术方法的运用

计算机科学技术方法是信息系统审计特有的方法,来源于IT行业的信息技术的转换应用,主要包括基于数据分析的方法和基于程序分析的方法,这些方法的综合使用使得对信息系统的审计更加有效。具体方法的选用需视被审计系统的实际情况而定。在一个审计项目中,广州地铁审计人员经常将多种方法结合使用。例如,在票务收入系统审计项目中,审计人员首先采用数据测试法,使用正常及非正常的测试地铁票搭乘地铁,在系统中跟踪测试票的处理情况,以验证系统处理与控制功能是否均有效;在对系统中后期内部开发的车站单程票售卖功能进行审计时,审计人员采用了程序编码审查法,对系统的源程序编码进行审查,审查后发现单程票售卖金额统计报表在进行数据处理时省略了小数点后的尾数,导致报表金额存在偏差;在对票务系统的清分报表进行验证时,审计人员又采用了平行模拟法,抽取系统中一段时间内的正式交易记录,在系统外模拟系统的处理规则对交易记录进行处理,并将处理结果与系统的报表数据进行核对,结果发现系统在数据传递和处理过程中,由于系统对于异常数据的审核过于严格,导致部分正常数据被当作垃圾数据丢进异常库,给公司造成票务损失。

3、计算机辅助审计软件的应用

计算机辅助审计软件的应用是信息系统审计的一个显著特点,也是审计人员准备阶段需要重点关注的问题之一。目前,广州地铁对计算机辅助审计软件的应用主要体现在以下两个方面。

(1)对系统中数据的准确性、完整性和一致性的检查。例如,在合同管理系统审计项目中,为核对系统接口程序的可靠性,审计人员利用审计辅助软件快速完成了对合同系统和财务系统数据一致性的核对,迅速查找出两个系统中不一致的数据。经过深入分析,审计人员发现由于财务核算人员在财务系统中复核合同支付数据时发现错误,将支付申请退回给合同系统再由合同经办人重新填报时,合同系统未对已生成的支付信息进行更新,导致上述问题的出现。针对海量数据处理系统,数据验证是审计的重点,计算机辅助软件是“不可或缺”的审计工具。在地铁票务收入保障审计项目中,审计人需要通过数据验证的方式对业务处理的核心系统――自动售检票(AFC)系统中的系统传输和处理机制进行验证。为此,审计人员共设计了8大类29子类47个数据验证主题。审计时,审计人员运用计算机辅助审计技术,在两个月内完成了对AFC系统中10天总计超过3亿条运营数据的验证工作。

(2)利用计算机辅助软件进行对比测试。即审计人员从信息系统中抽取某部门样本数据,将样本数据输入到与计算机辅助软件中进行处理,把审计软件输出的结果与业务系统产生的结果进行对比分析,以判定业务系统的可靠性与准确性。广州地铁在已开展的运营票务收入保障审计项目中大量地使用了此种方式。审计人员将各车站站务人员在票务系统中录入的售票数据导入到计算机辅助软件中,按照业务规则对数据进行处理,将处理结果和系统输出的结果进行对比。经对比,审计人员发现票务系统在处理异常数据时过于严格,导致部分非异常数据被系统当作异常数据丢入异常库中,给公司造成票务损失。

4、信息系统审计与业务内控审计相结合

企业管理流程信息化的过程中,会对原有的业务流程进行优化甚至重构。对原有手工流程的内控评价在信息化环境中可能不再适用。因此,广州地铁在信息系统审计中添加了对业务流程的内控评价――先对业务的内部控制情况进行评估,梳理并确定业务流程风险和关键控制点,再对照业务流程对系统的处理流程进行评价,确保信息系统审计评价的准确性。信息系统审计与业务内控审计相结合的方法还体现在对一个流程中未在信息系统实现的控制环节可以通过内控审计进行补充。实践表明,信息系统审计与业务内控审计相结合的方法在很大程度上提高了审计的全面性。

由于信息技术自身的特点,例如电子数据的不可视性,加之被审计单位信息系统内部控制方面可能存在缺陷以及信息系统审计人员在专业技术和职业道德方面亦不完美,信息系统审计风险客观存在。面对信息系统审计风险,需要审计人员通过深入调研,全面了解被审计系统的情况;需要培养专业人才,“以点带面”提升团队能力;结合企业发展情况,制定内部信息系统审计标准;利用审计软件,降低抽样风险,提高审计效率等多种措施,不断降低审计过程中的检查风险,提高审计质量。

【参考文献】

[1] Ron A.Weber,Information Systems Control and Audit,1st ed,NJ:Prentice Hall,1998.

[2] S. Anantha Sayana:The IS Audit Process[J].The ISACA Journal,2002(1).

[3] Craig S. Wright:The IT Regulatory and Standards Compliance Handbook:How to Survive Information Systems Audit and Assessments,1st ed,MA:Syngress, 2008.

[4] Robert E. Davis:Information Systems Auditing:The IS Audit Planning Process,3rd ed,2010.

[5] Jack J. Champlain:Auditing Information Systems[J].2nd ed,NJ:John Wiley&Sons,2003.

[6] 卢红柱:计算机信息系统审计的探索之路[J].审计研究,2006(增刊).

[7] 王进波、常卫:信息系统审计的发展与现状[J].财政监督,2008(4).

[8] 陈继初:信息系统审计在我国的现状及存在的问题[J].消费导刊,2008(12).

[9] 吴沁红:信息系统审计内容分析[J].财会研究,2008(10).

[10] 胡晓明:信息系统审计理论体系的构建[J].中国注册会计师,2006(6).

[11] 王艳、周剑:信息系统审计辨析[J].图书情报工作,2004(48).

[12] 田佳林:信息系统审计简述[J].财政监督,2008(4).

[13] 陈婉玲、杨文杰:COBIT及其在信息系统控制与审计中的应用[J].审计研究,2006(增刊).

[14] 赵静:COBIT框架在IT审计中的应用[J].中国内部审计,2009(12).

[15] 张妍:信息系统审计方法研究[J].审计月刊,2010(11).

[16] 刘杰、罗继荣:信息系统审计质量控制准则研究[J].财会通讯,2011(5).

[17] 王振武、张子瑾:信息系统审计理论结构框架研究[J].会计之友,2011(7).