内部控制作为公司自我调节和自行制约的内在机制,处于公司中枢神经系统的重要位置。下面是我为大家整理的内部控制与审计研究论文,供大家参考。
《 内部审计控制对降低财务风险的价值 》
摘要:随着现代企业的发展,内部审计职能日益被重视。有效的内部审计控制,对降低现代企业财务风险起着防范作用。 文章 主要研讨内部审计控制对现代企业财务风险降低的价值,期望带给其他人一些启示。
关键词:内部审计控制;财务风险的价值;分析
内部审计是重要的 企业管理 工具及手段,主要对现代企业进行内部监督及控制职能。通过内部审计活动的进行,促使现代企业管理工作的改进,使得管理系统趋于完善,确保高层决策财务信息的准确性,保障企业的资产安全,最终促进现代企业的经营及发展。
一、现代企业财务风险分析
现代企业的财务风险分为两种,分别为系统性及非系统性。系统性的企业财务风险大多指的是不可抗力的因素及影响,比如经济危机、通货膨胀等。本文主要研讨分析的是非系统性企业财务风险,指的是企业本身存在的财务资金运行活动所形成的风险,具体体现为筹资、投资、营运、收益活动。
(一)企业筹资财务风险
企业的筹资活动是企业经营的起点,是对资金资源的配置活动。受市场经济影响,筹资活动具有很多不确定的因素,银行的借款因素、债券因素、股票因素、高层决策因素、管理 措施 因素、租赁兼并因素等等都会构成企业筹资的财务风险。
(二)企业投资财务风险
企业的投资活动是资金运营的第二环节。为了实现资金的保值与增值,需要将资金投入到合理的经营活动中。对外投资,主要针对证券及控制权来获取经济效益。对内投资,主要针对资产购买或技术开发来进行生产经营,以获取资金增值的目的。无论是哪类投资,都与经济市场形势相关。生产经营类的投资需要考虑经营规模、项目报酬率、投资回收期、投资相关度、投资监管力度等风险因素。证券类投资需要考虑利率、通货膨胀、公司运营状况等风险因素。
(三)企业营运财务风险
企业营运涉及到资金的管理。所涉及的风险包含产品能否得以在经济市场销售、能否回收结算成本两方面。企业营运包含采购活动、生产活动、销售活动。在采购活动中,采购的金额、原料的质量、相关付款方式、具体到货时间等因素都会造成企业采购方面的风险。在生产活动中,成本的控制、产品的质量、新产品的开发等因素会间接构成企业生产方面的风险。在销售活动中,销售金额、货款回收、客户的管理、销售人员素质等因素都会构成企业销售方面的风险。
(四)企业收益财务风险
企业的收益活动是最终影响经营活动的因素。收益活动包含收益确认及收益分配。一旦确认不当或分配不当都会造成企业收益方面的财务风险。如若收益确认过少,造成成本结转过多,导致财务当期利润虚减,会直接影响企业信誉造成经营财务风险。反之,收益确认过多,企业需要额外支付纳税费用,导致资金不必要支出财务风险。同样,在企业收益分配活动中,收益形式、收益金额、收益时间都需要把握恰当,避免影响企业信誉及经济运营。
二、内部审计控制对降低财务风险的价值
(一)加强企业筹资活动审计,降低筹资财务风险
内部审计应当结合企业实际筹资方式来进行风险防范。比如银行借款方式筹资,需要对借款企业条件进行分析、借款原因及途径分析、比例结构分析、项目投资借款偿还期分析、借款额度分析等等,确保企业借款活动合理且具备偿还能力。比如债券方式投资,内部审计需要对发行代理机构进行审查、债券利息支付进行审查、保管相关制度进行审查、偿债基金相关制度进行审查等等,确保企业债券筹资风险得以控制。企业要结合内部审计,分析各类筹资活动特点,避免由于不恰当的筹资方式选择所带来的财务风险。
(二)加强企业投资活动审计,降低投资财务风险
内部审计对企业选择投资策略及制定决策起到强化、预防、控制风险的作用,使得投资效益得以提升,预期投资目标得以实现。对于企业投资活动审计分为三个阶段。第一,对前期方案的审计。包含对预算、可行实施性、预估盈利等因素的考量,这就要求内部审计人员具备对数据的敏感性,对投资方案的合理性、投资价值可以正确估量。第二,对投资实施审计。内部审计人员需要检查方案具体实施情况,对于其中出现的因素合理的改进情况进行监督。第三,对投资结果审计。内部审计人员需要对成本、收入、价值进行详细的指标分析,使得投资活动中的财务风险得以控制。对于证券投资活动,内部审计需要针对投资风险、投资期限、变现能力、投资组合、预计投资收益等方面进行审查,确保证券投资风险得到有效控制。
(三)加强企业营运活动审计,降低营运财务风险
内部审计要加强企业商业信用管理、应收账款管理、存货方面管理,才能降低营运活动方面的财务风险。针对商业信用管理,内部审计应当对客户档案进行审查,并进行综合评级打分,确认合理的信用额度。针对应收账款,内部审计应当审查实际真实性,加强对账龄方面的审计,对于坏账要及时采取措施。针对存货管理,内部审计应当加强对存货方面的核算与监控,定期对存货进行监督与盘点,确保会计信息的准确性。
(四)加强企业收益活动审计,降低收益财务风险
内部审计使得企业收益确认及收益分配风险得到有效防范。为确保收入确认方面的收入状况真实,内部审计需要从销售发票、收入确认时间、销售分割、递延收入等方面入手,进行详细的收入确认方面审查与分析,确保财务报表收入的真实与准确性,避免可能出现的操纵风险行为。对于收益分配方面,内部审计需要对股利支付率、股利政策进行确认,保障企业的良好财务状况及稳定经济发展。
三、结束语
企业的四大经营环节分别是筹资环节、投资环节、运营管理、收益活动。内部审计的有效监管使得企业的四大环节的财务风险得以有效防范与控制,使现代企业经营活动得到良好的监督与保障。
作者:叶敏 单位:山东省第一地质矿产勘查院
参考文献:
[1]尹淑平.强化内部审计控制企业税务风险[J].经济视角(下),2013
[2]易俊,李敏.内部审计防范企业财务风险[J].行政事业资产与财务,2014
[3]岳霆.论现代企业财务内部审计的风险及控制[J].时代金融,2013
[4]丁琦.论企业财务内部审计与风险控制[J].经营管理者,2014
《 人民银行内部审计能力发展探讨 》
摘要:中国人民银行自2011年提出内审工作转型以来,确定了以确立风险导向审计模式、探索绩效审计、深化内部控制审计和信息技术审计等重点转型工作,转型工作取得了积极成效,转型成果已经固化为制度、指南,为开展审计项目提供指引,实现组织增值。当前,随着内审转型的深入推进,对人民银行内部审计能力提出了更高的要求,基于此,本文从分析审计能力发展现状入手,研究提高人民银行内部审计能力的对策。
关键词:审计能力;审计环境;审计方式
一、内部审计能力的涵义
关于内部审计能力,《索耶内部审计》、《内部审计基础》等文献中均未统一的、明确的定义,但《索耶内部审计》更多地提到“内部审计胜任能力标准”,为我们理解内部审计能力提供了借鉴。国际内部审计师协会于1996年发起的研究基金项目《建立全球性的内部审计胜任能力框架》,参考了全球200位富有 经验 的业内人士的意见和建议,使用了独特的研究 方法 ,使得内部审计胜任能力标准真正代表了全球“最佳实务”。笔者 总结 内部审计能力的涵义,即在特定的组织环境下,按照一定的审计工作标准,在实施审计活动过程中,审计人员的知识、技能等被利用的方式。内部审计职能是由初级内部审计人员,胜任的内部审计师,内部审计管理层这三个关键角色的互动而完成,审计能力在工作中得以体现。
二、人民银行审计能力发展现状
(一)审计环境不甚理想,监督权和业务管理权在层级上不对应
首先,在目前的管理体制下,内部审计的独立性和客观性内审人员的考核、晋升等各种切身利益都在本行范围之内,在具体实施审计项目时,内审人员往往会顾及人际关系和切身利益,审而不深,查而不全,处而不力。其次,大区行负责对辖内中心支行开展审计项目,无论是关乎人的履职(离任)审计,还是关乎业务的专项审计,都与具体业务工作相关,而各中心支行业务工作是由省会中心支行归口管理,即便分行在审计过程中发现问题,在后期整改上也存在跨层级问题,于是分行又将后期整改转为由省会中支负责。省会中心支行在分行授权下,开展对地市中心支行的审计工作,但由于省会中心支行不具有对地市中心支行的监督权,难以全面掌握同一审计项目全省的审计情况。这种监督权与业务管理权在层级上的不对应,使得内审职能难以有效发挥,影响审计工作成效。大区行管理体制下的监督权与业务管理权的不匹配,不利于更好地发挥内审服务业务管理、提升履职效果的增值作用。
(二)目前的审计队伍整体素质不能完全满足内审转型进一步深化的要求
大多数分支机构审计人员知识结构不尽合理,会计、经济管理专业的人员较多,懂金融、计算机辅助审计的人较少。在目前的审计环境中,内审人员轮岗机会极少,懂人民银行货币信贷、国库等业务的人员较少,影响了深层次发现专业领域的问题,为了完成审计任务,不得不抽调专业处室人员,审计项目质量受抽调专业处室人员能力影响极大,影响了审计工作的效率、效果。人民银行分支机构各项业务系统发展迅速,新制度、新规定不断出台,而现有的审计人员大多对具体的业务了解不深,对各项制度要求也停留在过去,跟不上业务发展的需要。对审计人员的培训只能依靠总行远程培训在线学习,培训效果受时间和人员自主性影响,人员素质难以提高。
(三)与领导层、业务客户的沟通、交流有效性不足,使其对内审工作认识不够全面
与领导层的沟通:分支行机构的内审工作是由行长“一把手”主管,行长的重视是内审工作顺利开展的有力保障,但实际上内审工作通常是由纪委书记(或其他副行长)协管,倘若分管基础业务的领导又同时分管内审工作,会影响内审部门的独立性。与业务客户的交流:人民银行仍有不少管理者和业务部门对内审工作认识有效性不足,对内部审计所能提供的各种确认、咨询服务缺乏正确的理解和认识,依然停留在查问题、找错误的传统认识上,对于内部审计防范风险、加强内部控制、增加组织价值认识不够全面。在接受审计时,心理上存在排斥和抵触心理,尤其认为风险导向审计和绩效审计涉及范围宽、查得过细,担心查到问题上报后会受到处罚,采取消极配合的态度,提供审计资料时有迟报、瞒报现象,加大了审计难度。
(四)计算机辅助审计手段运用不够广泛,内部审计工作机制亟待完善
目前,在开展审计项目时,审计人员利用计算机辅助审计手段还不够广泛,原因在于目前的审计项目还是以合规性审计为主,大多数审计人员习惯性通过翻阅资料的方式查找问题,这种方式也比较直观,容易查找;而对于计算机辅助审计,一旦遇到对方不积极配合数据导出,数据的采集难免颇费周折。随着内审转型的不断深入,总行层面已经确立风险导向审计模式、构建绩效评价指标、信息技术风险评估模式等,为转型实践提供理论支持和实务指导。然而并未根据当前形势的需要,及时修订和完善内审工作制度,无法为转型工作提供制度保障。有些分支行发布有关领域的绩效审计操作指南,为开展审计项目提供指引。由于风险和绩效指标、权重及其评价和控制措施尚无客观公正的标准,行与不行之间可比性不强,不利于实行审计质量控制。
三、提高人民银行内部审计能力的对策
(一)优化审计环境,改进审计组织管理
随着业务部门专业化程度的越来越高,对内审提出了更高的要求,在时间、资源有限的情况下,整合有限的审计资源已是当务之急。审计队伍的跨区域审计,主要是有上级行内审人员的参与或者跨越了区域的限制组成的独立审计组,完成审计项目,如中国人民银行石家庄中心支行独立组成审计组,完成对中国人民银行太原中心支行的审计项目。审计队伍的跨区域审计,较好地规避审计客观性受损的风险,有利于保持内审的独立性,同属于基层人民银行,对业务的理解不会出现大的偏差,很好地解决了人民银行分支机构审计工作中情感因素影响和审计发现问题披露不全面等问题,有利于提升内审工作质量和成效。通过审计队伍的跨区域交流,亦能激发内审人员工作活力,也促进了业务的交流和人才的成长。无论是参与审计组还是组成独立审计组,在合作交流过程中,对于内审人员也是难得的成长,对能力的要求促使内审人员相互学习、借鉴新方式、学习新内容,发现创新点。另外,对于审计人员担心从事内审工作影响考核、个人晋升等问题,建议以审计工作成果作为考评晋升的重要依据。
(二)提升内部审计队伍专业化、职业化
首先,根据实际需要,兼顾分支行的层次、规模,不断优化内审人员的专业结构和知识结构,让业务部门的人来到内审岗位、内审人员轮岗到业务部门,让业务部门的负责人来到内审项目负责人岗位,相互之间适当的岗位轮换和不同的职业体验,更容易加深对职业的理解和改变看问题的视角,寻求审计工作的创新,推动了审计工作的专业技术含量。其次,在人民银行审计人员数量总体变化不大的前提下,为更好地发挥内部审计为组织防范风险、增加价值的作用,人民银行各级内审部门把培养专业化、国际化内部审计人才放在突出的位置,鼓励审计人员积极参加国际注册内部审计师、高级审计师等资格考试,不断提高内审人员的职业化水平。为继续 教育 搭建平台,充分利用远程培训系统分享风险评估和绩效评价实际案例,鼓励内审人员多学习、多参与,同时要积极开展审计理论和实践调查研究,提高自身能力和专业技能。
(三)积极主动与领导层、业务客户有效沟通、多交流
与领导层的沟通:审计项目完工作研究成后,视审计发现问题的严重程度,行长一把手亲自听取主审人汇报相关工作情况及审计 报告 。通过近距离与主管领导的接触,无形中对内审人员提出了更高的能力要求,除了认真开展审计工作,撰写审计报告外,更需要明确哪些业务领域是行长重点关注的,哪些审计发现是需行长重点关心的,据此向行长汇报,这样不仅使行长能从审计项目的汇报中获取关于组织的情况和重点关注的业务风险,而且更深层次认识到内部审计为组织增加价值、防范风险的作用。与业务客户的交流:内审人员要以“组织内部服务提供者”的姿态与业务部门开展有效的沟通,不论是确认服务,还是咨询服务,发现问题都不是最主要的目的,其重点在于通过问题的表象来分析问题发生的根源、进而帮助组织有针对性地解决问题。如办公设备绩效配置审计中发现办公设备老化、软件运行速度慢导致业务处理时间长,工作效率受影响,这样的审计发现显然会使上级领导关注老化办公设备影响工作效率问题,提供资金支持老化设备的更新,为业务部门解决了现实问题,业务部门也更愿意、更积极配合内审工作,内部审计作为改进内部管理的重要手段,也会被更多人所认可。
(四)深入推广计算机辅助审计,健全和完善内部审计工作机制
加快推进内部审计信息化进程,推动审计手段的转变,积极推广计算机辅助审计,扩大审计检查覆盖面,提高审计的针对性和有效性,逐步建立人民银行有关领域的非现场审计体系。逐步构建和完善审计信息平台,在新系统开发和应用前,内审部门积极与科技部门协商为审计留有接口,逐步实现与业务部门审计接口的对接,实现对业务部门的数据采集,进而通过审计信息处理系统对数据处理、分析和反馈。
作者:胡友娇 单位:中国人民银行石家庄中心支行
参考文献:
[2]张庆龙.国际内部审计师协会关于公共部门内部审计能力模型的研究与启示[J].审计研究,2011,(2).
[3]中国人民银行南昌中心支行内审处课题组.人民银行审计能力建设框架构建———基于央行内审转型视角[J].金融与经济,2013,(10).
有关内部控制与审计研究论文推荐:
1. 内部控制审计论文
2. 有关内部控制审计论文
3. 论企业内部审计论文
4. 会计内部控制本科毕业论文
5. 论企业内部控制论文
6. 浅谈审计方面的论文
论文一般由题名、作者、摘要、关键词、正文、参考文献和附录等部分组成,其中部分组成(例如附录)可有可无。论文各组成的排序为:题名、作者、摘要、关键词、英文题名、英文摘要、英文关键词、正文、参考文献和附录和致谢。下面按论文的结构顺序依次叙述。题目(一)论文——题目科学论文都有题目,不能“无题”。论文题目一般20字左右。题目大小应与内容符合,尽量不设副题,不用第1报、第2报之类。论文题目都用直叙口气,不用惊叹号或问号,也不能将科学论文题目写成广告语或新闻报道用语。署名(二)论文——署名科学论文应该署真名和真实的工作单位。主要体现责任、成果归属并便于后人追踪研究。严格意义上的论文作者是指对选题、论证、查阅文献、方案设计、建立方法、实验操作、整理资料、归纳总结、撰写成文等全过程负责的人,应该是能解答论文的有关问题者。往往把参加工作的人全部列上,那就应该以贡献大小依次排列。论文署名应征得本人同意。学术指导人根据实际情况既可以列为论文作者,也可以一般致谢。行政领导人一般不署名。引言(三)论文——引言是论文引人入胜之言,很重要,要写好。一段好的论文引言常能使读者明白你这份工作的发展历程和在这一研究方向中的位置。要写出论文立题依据、基础、背景、研究目的。要复习必要的文献、写明问题的发展。文字要简练。材料方法(四)论文——材料和方法按规定如实写出实验对象、器材、动物和试剂及其规格,写出实验方法、指标、判断标准等,写出实验设计、分组、统计方法等。这些按杂志对论文投稿规定办即可。实验结果(五)论文——实验结果应高度归纳,精心分析,合乎逻辑地铺述。应该去粗取精,去伪存真,但不能因不符合自己的意图而主观取舍,更不能弄虚作假。只有在技术不熟练或仪器不稳定时期所得的数据、在技术故障或操作错误时所得的数据、不符合实验条件时所得的数据才能废弃不用。而且必须在发现问题当时就在原始记录上注明原因,不能在总结处理时因不合常态而任意剔除。废弃这类数据时应将在同样条件下、同一时期的实验数据一并废弃,不能只废弃不合己意者。实验结果的整理应紧扣主题,删繁就简,有些数据不一定适合于这一篇论文,可留作它用,不要硬行拼凑到一篇论文中。论文行文应尽量采用专业术语。能用表的不要用图,可以不用图表的最好不要用图表,以免多占篇幅,增加排版困难。文、表、图互不重复。实验中的偶然现象和意外变故等特殊情况应作必要的交代,不要随意丢弃。讨论(六)论文——讨论是论文中比较重要,也是比较难写的一部分。应统观全局,抓住主要的有争议问题,从感性认识提高到理性认识进行论说。要对实验结果作出分析、推理,而不要重复叙述实验结果。应着重对国内外相关文献中的结果与观点作出讨论,表明自己的观点,尤其不应回避相对立的观点。论文的讨论中可以提出假设,提出本题的发展设想,但分寸应该恰当,不能写成“科幻”或“畅想”。
一、引言
信息系统审计(IS Audit)的概念最早出现于20世纪60年代,会计电算化的发展使得审计人员开始关注电子数据的采集、分析与处理,被人们称为EDP审计,这是信息系统审计的早期萌芽。20世纪90年代,信息系统日益复杂,如何保障信息系统的安全、可靠和有效变得越来越重要,信息系统审计开始在美、日、澳、英等国普及起来。2001年,国家审计署将注册信息系统审计师(CISA)考试引入我国,十余年来各行各业都开展了如火如荼的信息系统审计实践。准则是审计工作的基本规范,信息系统审计准则是信息系统审计师共同遵循的标准,对于促进信息系统审计行业发展具有重要意义。日本通产省 (Ministry of Economy Trade and Industry,简称METI)早在1985年就颁布了信息系统审计准则,还成立了日本系统审计师协会 (JSSA)。
美国也成立了信息系统审计与控制协会(ISACA),制定和颁布了一系列信息系统审计准则指南,并在全球
范围内应用推广。我国审计署以实务公告形式颁布了《信息系统审计指南》,中国内部审计协会也以具体准则形式颁布了信息系统审计准则,为规范我国的信息系统审计实践提供了重要参考。然而,由于信息系统审计的技术复杂性,以及我国信息化发展的阶段特征等客观原因,目前我国的信息系统审计理论与实务研究都尚处于百花争放时期,关于信息系统审计对象、范围和目标等基础概念的理解众口不一,更是缺少系统化的信息系统审计准则体系,严重制约了我国信息系统审计行业的发展。
二、信息系统审计概念内涵
信息系统审计概念,国内外尚没有统一定义。美国著名学者Ron A·Weber认为,IS审计是一个获取证据,对信息系统是否能保证资产的安全,数据的完整,以及是否有效的使用了组织资源并有效地实现了组织目标做出评价和判断的过程。该定义得到较为广泛的流传,印度审计署颁布的IT审计手册也采用了该定义。ISACA协会则认为,信息系统审计是一个搜集和评估证据过程,以确定信息系统和相关资源是否受到充分保护、是否能保障数据和系统的完整性、是否能提供相关和可靠信息、是否有效使用组织资源以实现组织目标,并建立了有效内部控制体系可以合理保障组织运营和控制目标。日本通产省(METI)在1996年修订了信息系统审计准则,指出信息系统审计是为了信息系统的安全、可靠与有效,由独立于审计对象的IT审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合检查与评价,向IT审计对象的最高领导,提出问题与建议的一连串的活动。中国内审协会颁布的《中国内部审计具体准则28号——信息系统审计》中指出,信息系统审计是指由组织内部审计机构及人员对信息系统及其相关的信息技术内部控制和流程开展的一系列综合检查、评价与报告活动。国家审计署颁布的《信息系统审计指南———计算机审计实务公告第34号》认为,信息系统审计是指国家审计机关依法对被审计单位信息系统的真实性、合法性、效益性和安全性进行检查监督的活动。
上述定义有差异,也有共同之处,本文从审计目标、审计对象和审计内容这些概念进行了对比分析。
目前学术界和业界对于信息系统审计的对象有较为统一认识,但学者们对审计目标、审计内容的理解存在较大分歧。信息系统审计是源于信息系统和审计理论的新兴交叉学科,观点分歧代表了信息系统审计的不同定位。日本的信息系统审计师考试是一种全国信息处理人员水平考试,因此日本信息系统审计强调对信息技术和软件规划开发等内容的审计,并不提及审计师的专业判断;其它观点多出自审计师视角,审计师们通常更多关注控制与风险,所以审计内容通常是一般控制和应用控制审计等;另外,审计又区分为国家审计,社会审计与内部审计,有着不同业务领域性质与要求,导致各领域对信息系统审计目标理解的多样化。
基于上述讨论,本文提出信息系统审计是审计主体遵循一定标准规范搜集与评估证据,判断信息系统及相关资产的安全性、可靠性和有效性,提出审计意见与建议,促进被审计单位信息系统实现组织目标的行为。从该定义可知,信息系统审计的对象是系统及相关资产,主要包括计算机硬件、软件、网络基础设施、数据、人和相关管理制度。信息系统审计有三大目标:安全性、可靠性和有效性。其中,系统安全性是指信息系统资源是否受到妥善保护,不因自然和人为的因素而遭到破坏、更改或者泄露系统中的信息。系统可靠性包括三个方面的内涵:硬件、软件和数据的可靠性。硬件的可靠性是指在一个指定的时间周期内,在给定的'控制条件下,硬件系统执行所需功能的成功概率。软件的可靠性是指在运行环境中,在规定的运行时间内或规定的运行次数下,程序和所有数据元素运行不同测试用例的无差错概率。数据的可靠性是指数据的真实、准确和完整,它取决于系统对数据的处理过程是否准确无误,以及确保数据可靠的控制措施是否有效。系统有效性也有三方而的内涵:一是指信息系统的处理过程是否符介国家法律和有关规章制度的要求(合规性);二是指信息系统是否能够实现既定的业务目标(效益性);三是指系统的效率性即系统利用各种资源输出用户所需要信息的及时程度和运行速度。
三、信息系统审计准则国际经验
目前,国际上影响力较大的信息系统审计准则有四个,分别是国际信息系统审计与控制协会(ISACA)、日本通产省信息系统审计标准,以及国际内部审计师协会(IIA)颁布的全球技术审计指南和美国审计总署(GAO)颁布的联邦信息系统控制审计手册。
(一)ISACA的信息系统审计准则体系1994年,电子数据审计师协会(EDPAA)更名为ISACA协会,该协会是目前最有影响力的信息系统审计专业人员的国际性组织。它在全世界许多国家举办注册信息系统审计师(CISA)考试,还制定和颁布信息系统审计准则体系来规范和指导CISA工作。ISACA的信息系统审计准则体系由ISA标准、指南和程序三部分构成。信息系统审计标准是整体准则体系的总纲,是制定指南和程序的基础。审计标准规定了审计章程、独立性、职业道德和胜任能力,以及审计工作执行的基本行为规范,是CISA执行审计业务必须遵循的标准,具有强制性。目前ISACA共颁布了16条审计标准,42项审计指南,为CISA执行审计业务中如何遵守审计标准提供指引,任何偏离指南的行为必须有充分的理由,属于“强烈推荐遵循”。审计程序是依据审计标准与审计指南制定的,为CISA提供审计业务的程序与步骤,类似一种工作范例,并不强制要求。到目前为止有效的ISA程序共有9 项。
(二)日本的信息系统审计准则日本通产省(METI)于1985年发布了信息系统审计准则,1996年进行了修订。该准则由一般标准、执行标准和报告标准三部分组成。一般标准描述了信息系统审计的目标、对象、人员和流程等。执行标准描述了信息系统审计的具体实施内容,强调系统审计师应关注信息系统规划、开发到运行全生命周期各阶段的风险。报告标准描述了信息系统审计结果的收集整理,以及根据审计结论应采取的措施。
(三)IIA的全球技术审计指南(GTAG) 国际内部审计师协会(IIA)的内部审计国际实务准则框架(IPPF)是内部审计规范体系的标杆。IIA非常重视信息系统审计,IPPF在“实务指南”层次用相当篇幅详细规范了信息系统审计的内容与方法。自从2005年发布第1号全球信息技术审计指南(GTAG)指南起至今,IIA已发布了16项信息系统审计指南,内容涉及信息系统控制、应用控制审计、制订IT审计计划、IT项目审计和信息安全治理等等。
(四 )联邦 信息系统控制审计手册 (FISCAM)2009年美国审计总署(GAO)发布了联邦信息系统控制审计手册(FISCAM),在该手册的指导下,GAO每年还安排若干审计项目对政府部门信息系统控制进行审查评估。FISCAM的IT控制包括一般控制和应用控制。其中一般控制包括:实体安全控制、访问控制、应用软件开发和变更控制、职责分离控制、应急计划;应用控制包括:应用级一般控制、输入控制、处理控制、输出控制、接口控制、数据管理系统控制。FISCAM对以上各类控制的审计程序与步骤进行了详细说明。
ISACA作为专门的信息系统审计与控制协会,建立了较为完整的信息系统审计准则体系,它采用总分式分层体系,16项审计标准是总纲,自2005年发布后基本保持稳定,而42项审计指南一半以上是新增或新修订的,不断更新的审计指南赋予了审计标准新的内涵与外延,审计程序则重在描述审计程序与步骤。日本通产省的审计准则采取一体化形式,整套准则的内容相当于ISACA的审计标准层次。
从准则具体内容上看,日本的信息系统审计师属于计算机行业,其审计标准具有明显信息技术特征,主要规范了信息系统审计目标、审计对象、审计人员资质和审计方法,尤其详细明确了信息系统规划、开发和运行全过程的关键风险点;而ISACA的审计标准更多关注信息系统审计的审计特征,主要规范审计权力责任、审计人员职业道德规范、审计计划、审计证据、审计记录、审计抽样和审计报告等内容。ISACA协会的审计指南与IIA协会的GTAG指南的操作性程度不同,前者类似我国的具体准则,GTAG指南则围绕不同的审计业务详细描述审计工作思路,审计方法、技术与工具等。
从是否强制性要求来看,ISACA协会的准则体系中既包含强制性遵循的审计标准、强烈推荐遵循的审计指南和非强制性要求的审计程序,还包含ISACA制订或编写的出版物以支持实务工作。IIA协会的GTAG指南处于IPPF框架的实务指南层次,属于强烈推荐遵循;美国审计总署GAO颁布的FISACM是非强制性要求的手册,用以指导实务工作。
四、我国信息系统审计准则现状
我国目前颁布的信息系统审计准则规范屈指可数,主要有审计署以实务公告形式颁布的信息系统审计指南,中国内审协会发布的信息系统审计具体准则。
(一)信息系统审计指南为指导和规范国家审计机关组织开展信息系统审计,2012年,审计署发布了《信息系统审计指南———计算机审计实务公告第34号》。该指南在借鉴国外信息系统审计指南的基础上,结合国家审计机关依法审计的法定职能,以及我国目前信息系统审计实践现状,提出了包含应用控制审计、一般控制审计、项目管理审计3大块的信息系统审计内容框架,重点描述了89项审计事项的审计要点。此外,审计署还在2013年出版了与该指南配套的《信息系统审计实务》,针对指南的各审计事项,分别描述了审计目标、审计程序、应取得的资料和常见错弊与定性依据等。
(二)内部审计具体准则第28号———信息系统审计为规范组织内部审计机构及人员开展信息系统审计活动,保证审计质量,中国内审协会颁布了《内部审计具体准则第28号———信息系统审计》,自2009年1月1日起开始实施。该准则对信息系统审计的一般原则、信息技术风险评估、信息系统审计内容、信息系统审计方法,审计报告和后续工作共五个方面的内容进行了规定,明确提出信息系统审计包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审计。
综合来说,我国目前尚未建立信息系统审计行业协会,审计署发布了信息系统审计指南,属于非强制性要求,更高级别的强制性要求准则尚未发布;内审协会的信息系统审计具体准则虽属于强烈推荐遵循层次,但与IIA协会相比,其信息系统审计准则和相关指南还有极大的丰富与细化空间。总体来看,我国的信息系统审计准则体系缺少系统性与结构性,尚没有建立完整的信息系统审计准则体系。目前,国家审计、社会审计和独立审计都在各自业务领域内开展了一些信息系统审计实践探索,但各界人士对信息系统审计的基本原则与规范还缺少共识,长此以往将给我国信息系统审计行业发展带来混乱。
五、结论
信息系统审计准则是信息系统审计师共同遵循的标准,对促进我国信息系统审计行业发展具有重要意义。首先,从准则制定的社会背景来看,我国的社会信息化水平与美国、日本等国家存在客观的差距,ISACA,IIA和FISCAM等准则指南均基于相对完善的内部控制(IT控制)环境,而我国政府部门、企事业单位的信息化建设正处于飞速发展时期,大部分被审单位的IT控制体系尚在建立之中,如果按照国外规范开展我国信息系统审计,过于理想化的审计意见建议很难得到认同。
第二,从准则的框架结构来说,ISACA,IIA和日本通产省的框架结构,不太符合中国人的理解习惯。ISACA采用的审计标准、指南和程序的三层框架结构,跟我国的内部审计准则体系,注册会计师鉴证业务准则和国家审计准则采用的常用结构也不一样,不太符合我国审计师的认知习惯。
第三,从准则的具体内容来看,由于我国信息系统审计方面的法律法规还非常不完善。目前只有信息系统安全方面颁布了安全保护条例和强制性标准,IT运维服务、外包、信息资源开发利用,信息公开与政务服务等方面尚缺乏充分的审计依据。审计环境决定了我国信息系统审计准则在明确信息系统审计目标、规范信息系统审计内容等方面都需要充分考虑本土国情。但是,国外ISACA,IIA,FISACM等信息系统审计准则指南历经20多年的发展,已形成相对成熟的体系,相关观点已为我国审计师熟识。而且,国家的信息系统审计准则需要在国际舞台上相互交流与合作。
因此,制定我国信息系统审计准则需要遵循的重要原则是:坚持国际化与本土化相结合,既立足本土国情又实现国际接轨。本文借鉴ISACA,IIA和FISCAM等准则指南的优秀经验,参照我国国家审计准则的体系框架,考虑信息系统审计新业务的不同特征,尝试提出如下图1所示的中国信息系统审计准则体系框架。
该框架采用了审计准则、审计指南和实务手册三层结构。审计准则是强制性要求,审计指南是强烈推荐遵循,实务手册是非强制性要求。审计准则分成基本准则和具体准则两层,基本准则可包括五块内容,分别是总则、信息系统审计道德规范、信息系统审计作业准则、信息系统审计质量控制准则和附则。审计指南包括通用指南和专业指南两类,如面向一般信息系统的通用指南,针对电子政务、电子商务和ERP系统的专业指南,或者体现行业信息系统特征(如金融、通信行业)的专业指南等等。指南的内容框架可以采用一般控制和应用控制的基本框架,但在设计具体事项,或者明确审计内容重点时,应充分考虑我国企业或政府部门的信息化发展阶段及当前法律环境。实务手册是审计指南的具体化,详细规范审计内容、审计程序、审计依据、审计技术方法和典型错弊等相关知识点。实务手册可根据审计指南来加以制定,也可以针对某类突出问题(如电子银行、IT外包等)进行特别规范。
为逐步完善我国信息系统审计准则体系,我们建议采取如下策略:首先,以审计署为主导,协调整合中国注册会计师协会、内审协会以及高校的相关专家资源,组建信息系统审计准则研究课题组和专家咨询小组,激发信息系统审计职业界的积极讨论与参与。其次,成立类似ISACA的中国信息系统审计行业协会专门机构,以信息系统审计职业化建设为主线,组织修订与持续完善信息系统审计准则体系;组织信息系统审计师职业教育,提升信息系统审计师职业素质;总结我国信息系统审计优秀经验,积极开展与国外相关协会和政府机关之间的合作与交流。最后,人才是行业持续发展的源泉,也是准则规范有效实施的载体。建议增设我国信息系统审计师职业资格考试,明确我国信息系统审计师应具备的素质、知识与技能以及任职资格,既能保障准则规范的有效实施,也为促进我国信息系统审计行业发展提供人才支撑。
参考文献:
[1]张文秀:《国外信息系统审计规范、国家文化差异与制度移植》,《审计研究》2012年第5期。
[2]石爱中、周德铭、王智玉、杨蕴毅:《信息系统审计实务———中国计算机审计实务报告》,时代经济出版社2012年版。
169 浏览 3 回答
194 浏览 3 回答
225 浏览 2 回答
279 浏览 5 回答
332 浏览 3 回答
234 浏览 4 回答
179 浏览 5 回答
108 浏览 2 回答
184 浏览 3 回答
356 浏览 3 回答
348 浏览 3 回答
321 浏览 3 回答
91 浏览 4 回答
157 浏览 4 回答
109 浏览 4 回答