it审计论文范文精选

it审计论文范文第1篇

关键词：IT投资；审计决策；审计意见；审计收费

一、引言

随着信息化浪潮推动市场经济主体快速步入大数据时代，企业日益注重信息技术（informationtechnology，IT）的投资与运用，其中企业资源管理计划（enterprise　resource　planning，ERP）是企业重要的IT投资之一。ERP技术融合了先进的IT技术与管理思想，针对企业管理中存在的问题对企业业务流程进行再造，运用IT技术整合协调贯穿于企业经营过程中的信息流以提高管理水平。企业ERP类IT投资不但改变了企业经营管理方式，还使得审计环境发生了显著变化。IT审计环境可能对审计人员面临的审计风险产生影响，其采取的审计方法、审计范围也随之发生变化，从而对其审计决策产生影响。对于事务所而言，最重要的外部审计决策表现在审计收费与审计意见两个方面。IT投资对外部审计决策产生了什么影响？究竟会通过何种路径影响审计收费与审计意见？本文对此展开研究。已有审计理论主要从企业和审计师特征这两个层面来构建审计费用和审计意见模型，而在企业特征层面很少有研究将企业信息技术因素纳入其中。本文把企业IT投资作为企业层面的信息技术特征，将其纳入审计费用和审计意见的模型中，能够丰富IT审计环境下的审计理论研究，拓展对审计师决策影响因素的研究。此外，在风险导向审计模式下，审计师的风险识别能力以及决策行为会对审计质量产生重要影响，通过研究我国企业IT投资对审计师决策的影响，有助于了解我国审计师在面对IT审计环境时的风险识别能力与风险管理战略。本文的后续内容安排如下：第二部分是文献回顾与研究假设，第三部分是研究设计与数据来源，第四部分是实证检验与分析，最后是研究结论与启示。

二、文献综述和研究假设

（一）文献综述现有关于IT投资对企业运营管理影响的研究文献较多，一方面主要考察IT投资达到预期效果的重要影响因素，另一方面则主要考察IT投资对公司业绩的影响。较多证据表明企业IT投资不仅能够改善经营业绩与加强成本管理，而且能够改善管理层经营决策所需要依赖的信息环境，提高企业信息透明度和精确性，增强高级经理人投资决策行为的科学性［1］。Morris和Laksmana（2011）发现IT投资企业报告了更少的内控缺陷［2］。IT投资会提高企业日常管理业务活动所需信息的及时性、完整性和透明度［3］，改善管理层对未来的盈余预测质量［1］。然而，关于IT投资对上市公司会计审计活动影响的研究仍然较少。Brazel和Dang（2008）发现实施ERP类IT投资企业的会计盈余信息质量下降［4］，但Morris和Laksmana（2010）在研究设计中控制了内生性问题后，发现IT投资企业盈余信息质量有所提高［5］。张子余等（2016）在控制内生性问题后，发现没有任何证据反映我国企业IT投资会降低会计盈余信息质量，有微弱证据表明盈余信息质量有所提高［6］。关于ERP系统对审计费用与审计意见的影响，Han等（2015）认为IT投资增加了审计风险，提高了风险溢价；以CI（computer　intelligence）数据库2000～2009年的美国公司为样本，他们发现企业IT投资与审计费用正相关，在IT审计环境下持续经营审计意见的概率降低［7］。综上，我国企业IT投资对外部审计决策影响的实证研究较为匮乏，不利于理解IT投资对我国企业外部审计决策的影响路径与机理，不利于理解我国会计师事务所在面临IT审计环境时所采取的风险管理策略。为此本文展开相应研究，本文与以往研究的显著不同之处在于：国外相关研究认为IT投资会增加审计风险，从而提高风险溢价与审计收费；而本文则揭示了我国企业IT投资对审计决策行为的影响路径与影响机理在于：IT审计环境下外部审计收费的提高不是由于重大错报风险变化引起的，而是由于追加审计程序以及学习成本增加，造成审计效率降低引起的。

（二）研究假设如果外部审计的重大错报风险加大，出于法律与自身信誉风险的考虑，审计师在出具审计意见时会更加谨慎，出具非标准审计意见的概率会提高［8］；反之，审计人员出具清洁审计意见的概率不会降低。因此，在风险导向型审计模式下，审计师要审慎评估企业的重大错报风险，需要对审计的固有风险与控制风险分别进行识别与评估。首先，需要对控制风险进行识别和评估。如果在业务流程再造过程中，IT系统中恰当植入关键控制点，会降低外部审计的控制风险；反之，如果ERP系统没有较好整合系统与植入关键控制点，IT投资企业存在较多内控缺陷，外部审计控制风险将可能提高。Morris（2011）发现ERP类IT投资企业报告更少的内控缺陷［2］；曾建光（2012）发现IT投资能降低两种内部控制实施成本———企业管理层与员工之间以及股东与管理层之间的监督成本［9］；张子余等（2016）认为我国企业IT投资能提高财务报告内控有效性［6］。据此我们倾向于认为IT投资并没有提高我国上市公司的控制风险。其次，评估重大错报风险还需要对固有风险进行识别和评估。企业IT投资能通过对被审计单位的经营环境以及舞弊动机产生影响，从而影响审计固有风险。第一，当被审计单位的经营成果和财务状况较差时，其固有风险水平较高；反之，当IT投资改善了企业经营业绩时，其固有风险会随之降低。而有较多经验证据表明企业IT投资会对其经营业绩改善产生积极影响［10］［11］。第二，当被审计单位存在有提供虚假会计报表动机时，固有风险相对较大。企业IT系统投资不仅为财务报告编制提供基础，还为各部门业绩考核与评价提供重要业绩数字，数字篡改会引发企业内部业绩评价部门相关人员的激烈争议。此外黄志忠和张娟（2012）还认为IT系统中数据更改需要高层授权，不精心设计容易导致系统崩溃［12］，对系统崩溃的担忧以及业绩考核相关部门对业绩数字的高度关注，这两种力量有利于制约被审计单位提供虚假报表的动机。因此，我们倾向于认为企业IT投资不会提高审计的固有风险。最后，如果IT系统本身存在明显系统缺陷，在ERP系统设计与运行过程中，操作者有意或无意造成的缺陷所产生的安全漏洞会增加外部审计的固有风险，某一环节问题可能波及其他相关联的诸多环节，此时被审计单位的固有风险可能增加。但我们不倾向于认为现在较为成熟的ERP类IT投资会存在明显安全漏洞与系统缺陷。尽管如此，基于上述诸多方面的分析，我们谨慎提出下列竞争性假设：假设1：在其他条件不变情况下，对于实施ERP类IT投资企业，审计师出具清洁审计意见的概率会降低（不会降低）。外部审计的审计收费首先会受到审计人员可接受的检查风险变化的影响。当其他条件不变时，如果IT投资使得企业的重大错报风险增加，此时审计人员可接受的检查风险程度降低，需要增加审计程序，审计费用增加。反之，如果IT投资使得企业的重大错报风险减少，此时审计人员可接受的检查风险程度提高，不需要增加审计程序与审计费用。外部审计的审计收费还会受到审计效率的影响。当IT系统提高了数据输入的及时性，降低了数据输入错误率时，审计工作效率提高，审计费用降低。然而，当企业进行IT投资时，审计师需要扩大审计范围，增加新的审计程序，这将降低审计效率，增加审计费用；审计师在面对IT审计环境时需要学习新的IT审计知识，学习在IT审计环境下专业审计判断的能力，增加的学习成本降低了审计效率，提高了审计费用。基于以上分析，我们提出下列竞争性假设：假设2：在其他条件不变情况下，我国企业IT投资会提高（不会提高）审计收费。

三、研究设计、数据来源与模型设定

（一）研究设计与数据来源为控制其他不可观测因素对被解释变量的影响，我们采用对照组方法进行研究，给IT投资企业寻找配对样本，将没有进行IT投资的配对样本与进行IT投资的上市公司样本混合在一起进行检验，对照组研究方法能够解决遗漏重要变量带来的内生性问题以及估计偏误问题。譬如，近十几年来审计监管逐渐加强，对事务所审计决策产生了影响，如果只运用IT投资样本进行检验，很容易将审计监管变化因素与企业IT投资带来的变化混为一谈。运用对照组方法进行研究，首先选取2003年1月1日至2010年12月31日在年报中首次公开披露实施ERP类IT投资的非金融类上市公司，然后给每家当年实施IT投资的企业寻找没有进行IT投资的配对样本。本文按照不放回抽样方法抽取配对样本，给IT投资企业按照行业相同、年度相同、总资产规模最接近原则寻找配对样本，每个配对样本的总资产在IT投资企业资产规模的正负20％以内。表1列示了成功配对的361组IT投资公司与配对样本的描述统计量，IT投资公司与配对公司资产规模的描述统计量非常接近。我们保留IT投资企业与配对样本在IT投资企业投资前三年与后三年的数据，研究样本时间的跨度是2000～2013年。其中，年报来源于巨潮资讯网以及新浪财经公告，内部控制指数来源于迪博内部控制与风险管理数据库，其他变量数据均来自CSMAR数据库。本文使用的统计软件是sta－ta12．0。为了避免极端值的影响，对连续型变量在上下1％水平上进行了Winsorize处理。

（二）模型设定我们采用如下logit回归模型对研究假设1进行检验。模型（1）中被解释变量是表示清洁审计意见的哑变量CleanOpin，变量定义见表2。CleanOpin＝k1IT＿post×ERP＋k2IT＿post＋k3control＋εit（1）为了检验假设2，本文在Simunic（1980）、Ke等（2014）的研究基础上构建了如下固定效应模型［13］［14］。模型（2）中被解释变量是审计费用Ln（AF）。Ln（AF）＝β1IT＿post×ERP＋β2IT＿post＋β3control＋εit（2）另外，本文参考Simunic（1980）与Ke等（2014）的相关研究［13］［14］，控制了影响审计收费与审计意见的其他因素，最终将上市公司规模（SIZE）、业务复杂程度（ARINV、FOROPS）、财务风险（LIQ、LEV）、盈利能力（ROE、LOSS、CFO）、审计师特征（BIG4）等作为控制变量，各变量定义见表2。四、实证检验与分析（一）描述性统计表3列示了主要变量的描述统计量。与已有研究一致，将审计费用取对数，取对数后的均值为13．213，标准差是0．646。审计意见的平均值为0．953，说明绝大多数公司被出具了清洁审计意见（不附加任何说明段的无保留审计意见）。内部控制指数得分的最小值是0，最大值是999．75，均值是679．66，符合得分分布特征。应收账款存货与总资产的比值（ARINV）的最小值为1．4％，最大值为73％，样本间差异较大。流动比率（LIQ）的平均值为1．743，表明样本公司短期偿债能力较好。资产负债率（LEV）的平均值为0．485，表明样本公司资本结构整体合理。聘请国际“四大”事务所的样本企业仅占6．7％。净资产收益率（ROE）的均值为6．2％，表明样本公司净资产收益水平一般。

（二）回归分析表4列示了我国企业IT投资对清洁审计意见影响的logit模型的回归结果，（Ⅰ）为不考虑控制变量的logit模型估计结果，交叉项IT＿post×ERP的系数为0．387，在10％显著性水平上大于0，意味着我国企业在IT投资后被出具清洁审计意见的概率提高。（Ⅱ）为考虑控制变量的logit模型混合回归结果，（Ⅲ）为考虑控制变量的面板logit随机效应模型估计结果，这两种情况下交叉项IT＿post×ERP的系数虽然都大于0但并不显著，表明我国企业在IT投资前后被出具清洁审计意见的概率无显著变化。控制变量LEV与LOSS的系数在1％水平上显著小于0，与现有研究结果一致，资产负债率越高的企业以及亏损企业获取清洁审计意见的概率显著降低。总之，表4表明在其他因素保持不变时，我国上市公司在IT投资前后被出具清洁审计意见的概率并没有显著变化。接下来利用模型（2）来检验我国企业IT投资对外部审计收费的影响。Hausman检验发现固定效应模型优于随机效应模型，因此采用固定效应模型来控制与被解释变量相关的不可观测的公司层面因素。表5列出了相应的检验结果。（Ⅳ）为不考虑控制变量时的估计结果，交叉项IT＿post×ERP的系数为0．072，在1％显著性水平上大于0，意味着我国企业在IT投资后审计费用显著提高。（Ⅴ）为考虑控制变量时固定效应模型的估计结果，交叉项IT＿post×ERP的系数为0．052，仍然在1％显著性水平上大于0。另外，表5两种回归中IT＿post的估计系数都在1％水平上显著大于0，意味着对应的非IT投资企业审计费用也随时间显著提高。原因可能在于，对于没有进行IT投资的配对企业，逐年的通货膨胀物价因素也使得事务所审计收费显著提高。在控制变量中，SIZE、BIG4的系数在1％水平上都显著大于0，这表明被审计单位规模越大以及由四大会计师事务所进行审计时，审计费用显著提高。

（三）稳健性检验在稳健性检验中，我们将来源于迪博内部控制与风险管理数据库的内部控制指数作为被解释变量，考察企业IT投资对内控有效性的影响，检验结果见表6。表6采用随机效应模型进行检验，是因为Hausman检验发现随机效应模型优于固定效应模型。（Ⅵ）列示了不考虑控制变量时的回归结果，交叉项IT＿post×ERP的系数为11．951，在5％显著性水平上大于0，我国企业IT投资后内控有效性显著提高。（Ⅶ）列示了考虑控制变量的回归结果，交叉项IT＿post×ERP的系数不显著，这表明当其他因素保持不变时，我国上市公司在IT投资前后内控有效性水平无显著变化。除此之外，我们重新定义审计意见，设置变量OPINION：当审计意见为标准无保留意见时O－PINION取值为4，审计意见为无保留意见加事项段时OPINION取值为3，审计意见为保留意见或保留意见加事项段时OPINION取值为2，审计意见为无法发表意见时OPINION取值为1，审计意见为否定意见时OPINION取值为0。然后运用ordinal　logit模型进行检验，结论与表4保持一致，这说明我国企业IT投资后被出具更好审计意见的概率无显著变化。另外，在前面本文是按照年度相同、行业相同、资产接近的原则进行配对，其中行业是根据字母行业编码选择相同行业，现在我们根据更加细分的字母加两位数字行业编码进行行业配对，为227个IT投资公司成功配对了227个没有进行IT投资的上市公司。运用新的样本，我们按照表4～6的分析顺序再次进行相关检验，研究结论保持不变。

（四）对重大错报风险的分析根据上述检验结论我们对重大错报风险展开进一步分析，重大错报风险分为财务报告层次的重大错报风险与认定层次的重大错报风险。首先，考察我国企业IT投资是否会影响财务报告整体层次的重大错报风险。通常，如果企业财务报告整体层次的重大错报风险显著增加，此时出具清洁审计意见的概率会降低。该命题的逆否命题为“如果企业出具清洁审计意见的概率没有显著降低，则企业财务报告整体层次的重大错报风险没有显著增加”。由于原命题和逆否命题是等价命题，逆否命题也应当为真命题。根据本文发现的“企业IT投资后被出具清洁审计意见的概率没有显著降低”，可推断我国企业IT投资后财务报告整体层次的重大错报风险无显著增加，这与张子余等（2016）发现的盈余信息质量无显著变化的证据保持一致［6］。其次，还需要考察我国企业IT投资是否会影响认定层次的重大错报风险。认定层次的重大错报风险细分为控制风险与固有风险。控制风险取决于内部控制设计与运行的有效性，根据本文的分析结果———我国企业IT投资后的内控有效性水平无显著变化，可知我国上市公司IT投资后的控制风险无显著变化。王立彦等（2007）、张露等（2013）均发现企业ERP投资对经营业绩改善有积极作用［10］［11］。当ERP类IT投资改善了企业经营业绩时，其固有风险会随之降低。因此，我们认为IT投资没有提高控制风险与固有风险，没有提高我国上市公司认定层次的重大错报风险。综上，本文认为我国上市公司的IT投资不会提高财务报告层次的重大错报风险，也不会提高认定层次的重大错报风险。我国企业IT投资没有影响重大错报风险，意味着我国企业IT投资后外部审计费用显著提高的原因不在于重大错报风险增加。外部审计面对企业新的IT审计环境时需要重新设计或追加审计程序以及增加IT审计学习成本，这会降低审计效率、提高审计费用。

四、研究结论与启示

本文实证检验了我国企业IT投资与外部审计决策之间的关系，研究发现：（1）我国企业在IT投资后被出具清洁审计意见的概率无显著变化，与张子余等（2016）发现的我国企业IT投资后盈余信息质量没有显著变化的证据相吻合［6］。（2）我国企业IT投资后外部审计的内部控制有效性水平没有降低，与曾建光（2012）发现的内部成本降低的逻辑保持一致［9］。（3）我国上市企业在IT投资后的外部审计费用有显著提高。根据上述研究结论可理解会计师事务所在面对新的IT审计环境时的风险管理策略包括：提高审计收费，调整审计程序，客观出具审计意见。从对影响路径的深入分析中可知，我国企业IT投资对外部审计的影响机理在于：首先，我国上市公司的IT投资没有降低内控有效性水平，没有提高外部审计的控制风险，重大错报风险无显著变化，企业在IT投资后被出具清洁审计意见的概率没有显著变化；其次，外部审计费用显著提高的原因不在于重大错报风险所带来的审计风险提高，而在于追加审计程序以及IT审计学习成本的增加，两者降低了审计效率，提高了审计费用。关于进一步的研究，我们认为可以运用调查问卷等形式，深入考察事务所对IT审计环境下重大错报风险的分析检查判断过程。基于本文分析可得出以下启示：第一，企业IT投资后在流程再造过程中需要合理设置内控关键控制点，将内部控制关键控制点合理嵌入ERP系统运行中，以进一步提高内控有效性，降低外部审计的控制风险。第二，与系统供应商保持紧密联系，加强对IT系统缺陷的后期维护。系统供应商作为系统的生产者，对该系统的缺陷以及运作流程了解较多，系统使用者应该与供应商加强沟通，以降低IT系统的固有风险。第三，会计事务所需要不断加强对IT审计人员的培训学习，学习与研究如何运用大数据背景下的IT审计技术，提高审计效率，降低审计收费，以提高事务所的核心竞争力。

参考文献：

［1］Dorantes，C．A．，Li，C．，Peters，G．F．，Richardson，V．J．The　Effect　of　Enterprise　Systems　Implementation　on　theFirm　Information　Environment［J］．Contemporary　Accounting　Research，2013，30（4）：1427—1461．

［2］Morris，J．J．The　Impact　of　Enterprise　Resource　Planning（ERP）Systems　on　the　Effectiveness　of　Internal　Con－trols　over　Financial　Reporting［J］．Journal　of　Information　Systems，2011，25（1）：129—157．

［3］Klaus，H．，Rosemann，M．，Gable，G．G．What　Is　ERP？［J］．Information　Systems　Frontiers，2000，2（2）：141—162．

［4］Brazel，J．F．，Dang，L．The　Effect　of　ERP　System　Implementations　on　the　Management　of　Earnings　andEarnings　Release　Dates［J］．Journal　of　Information　Systems，2008，22（2）：1—21．

［5］Morris，J．J．，Laksmana，I．Measuring　the　Impact　of　Enterprise　Resource　Planning（ERP）Systems　on　EarningsManagement［J］．Journal　of　Emerging　Technologies　in　Accounting，2010，7（1）：47—71．

［6］张子余，杨慧，李常安．我国企业IT投资对财务报告内控实施成本与盈余信息质量的影响研究［J］．审计研究，2016，（5）：98—103．

［7］Han，S．，Rezaee，Z．，Xue，L．，et　al．The　Association　between　Information　Technology　Investments　and　AuditRisk［J］．Journal　of　Information　Systems，2015，30（1）：93—116．

［8］Lennox，C．S．Audit　Quality　and　Auditor　Size：An　Evaluation　of　Reputation　and　Deep　Pockets　Hypotheses［J］．Journal　of　Business　Finance　＆Accounting，1999，26（7—8）：779—805．

［9］曾建光，王立彦，徐海乐．ERP系统的实施与成本———基于中国ERP导入期的证据［J］．南开管理评论，2012，（3）：131—138．

［10］王立彦，张继东．ERP系统实施与公司业绩增长之关系———基于中国上市公司数据的实证分析［J］．管理世界，2007，（3）：116—121．

［11］张露，黄京华，黎波．ERP实施对企业绩效影响的实证研究———基于倾向得分匹配法［J］．清华大学学报（自然科学版），2013，（1）：117—121．

［12］黄志忠，张娟．ERP实施、信息质量与公司绩效———基于中国上市公司的经验证据［J］．当代会计评论，2012，3（2）：1—13．

［13］Simunic，D．A．The　Pricing　of　Audit　Services：Theory　and　Evidence［J］．Journal　of　Accounting　Research，1980，18（1）：161—190．

it审计论文范文第2篇

目前，现代企业经营越来越依赖信息系统，信息系统管理信息、处理业务以及存储大量的数据。也迫切需要对信息化管理现状进行全面的审计，以分析评估存在的问题，提出解决方案，完善IT风险控制，保障各信息系统的规范运作，降低信息化风险，提高业务运营的经济性和有效性。IT审计虽然区别于财务审计，运营审计等常规审计，但其审计方法论仍不可能脱离常规审计所用的方法论。也就是必须对审计目标，审计范围，审计计划等等均需进行清晰阐述，并在实施IT审计后，出具具有充分、适当的审计证据支持的IT审计报告。

一般来说，实现全面的IT审计，应当从审计对象的整个生命周期领域、审计对象及组织层次来开展。

一.IT审计范围

进行IT审计的对象包括但不限于以下领域：1.管理组织与制度；2.项目管理流程规范性 ，包括应用系统的开发、测试与上线管理；3.基础设施及运维管理；4.信息安全管理；

IT审计涉及的应用系统包括但不限于以下领域：1.生产系统；2.营销系统；3.办公自动化系统；

IT审计涉及的组织层次包括但不限于以下领域：1.高层决策者；2.中层管理者；3.技术部门员工；4.业务部门员工。

二.IT审计具体实施

ELC（entity level control）控制。关注客户在IT治理方面的相关组织架构是否合理，管理制度是不是健全，具体的审计程序就是获取客户的组织结构图，及一些比较虚的总纲类的书面管理制度如《IT管理制度》等等。

系统开发和变更。关注系统开发和系统后续变更实施中的控制，具体的审计程序首先就是获取系统开发及变更相关的管理制度，该文原载于中国社会科学院文献信息中心主办的《环球市场信息导报》杂志http：//总第522期2013年第39期-----转载须注名来源如调阅《系统开发制度》《系统变更管理制度》，二是关注系统开发过程的合理性，如是否经过了需求提出、可行性研究、领导层审批，系统上线之前是否经过了充分的测试，获取一些内控痕迹和表单，如《××系统需求报告》、《××系统可行性报告》、《××系统立项审批单》、《××系统单元测试报告》、《××系统集成测试报告》、《××系统上线审批单》，《变更审批单》，采取抽样后穿行测试。

操作系统及数据库控制。关注操作系统和数据库的控制，如登录时密码控制强度、敏感操作的权限分配、日志的保存。

应用系统控制。关注应用系统控制的合理性。如银行使用的综合业务系统（有的叫核心业务系统）、国际结算系统、大小额系统、信贷管理系统等等，关注其安全配置和用户权限。

接口控制与信息安全。关注其数据准确性、完整性、以及组织级的网络管理的相关制度，如防火墙的架构，内外网分离程度等。

三.IT审计依据

IT审计依据的来源基本上业界都有很充分的理论依据以及最佳实践，以下IT控制标准、法律法规、行业最佳实践都可作为IT审计的依据。

IT标准、规范及最佳实践； 企业内控框架-COSO；IT治理-COBIT、ISO 38500；IT规划与架构设计-Zachman、TOGAF、FEA；IT应用系统开发与运维-软件开发规范、CMMI、ISO9126；IT基础设施生命周期管理-网络、主机、安全等设备管理规范；IT服务管理-ITIL、ISO20000；IT项目控制-PMP、Prince2、项目监理规范；信息安全管理-ISO27001、ISO27002；业务连续性计划-BS25999、ANSI/NFPA 1600；IT应用控制-输入控制、处理控制及输出控制；IT资源协同-EAI、SOA、共享中心等……

目前，信息系统的正常运行已经成为银行业务正常运营的最基本条件之一，信息科技在有力提升银行核心竞争力的同时，信息科技风险也愈发突出和集中，信息科技风险控制已成为银行业风险管理的重要内容，而IT审计作为银行业风险管理体系的重要组成部分，其重要性和必要性已经日益得到银行业管理层的关注。

IT与其他如财务审计等不同之处，主要在于审计框架是否全面。审计过程仍遵循常规审计步骤，包括审计策划、审计准备、审计对象调查、实施审计、审计发现复核及沟通、审计报告六大步骤。

it审计论文范文第3篇

【关键词】信息科技 内部审计 信息化

2000年以来，继四大行成功完成数据大集中后，各股份制商业银行纷纷加入数据大集中的行列，“科技兴行”、“科技引领”等理念不断冲击人们对商业银行信息系统的固有认识，电子银行渠道持续拓展，商业银行的业务流转也越来越依赖于信息系统的支撑。这些变化一方面使得信息科技在商业银行中的作用不断凸显，另一方面也使得商业银行的信息科技风险进一步放大。

继2006年中国银监会《银行业金融机构信息系统风险管理指引》将信息科技风险纳入商业银行风险管理范畴后，2009年银监会又正式《商业银行信息科技风险管理指引》（下文简称《指引》），进一步加强商业银行信息科技风险管理。2012年银监会宣布设立信息科技监管部，负责银行业信息科技监管督导和风险防范，信息科技风险监管工作不断细化、深入。监管部门对信息科技风险管理的日趋重视，客观上提高了商业银行信息科技风险管理工作的重视程度。

一、信息科技内部审计范围

《指引》提出了商业银行IT风险管理的“三道防线”，即IT管理、IT风险管理和IT风险审计。IT风险审计作为第三道防线分为内部审计、外部审计两方面。按照《指引》要求，银行内部审计部门应当设立足够资源与具有专业能力的IT内部审计人员，并独立于银行的日常活动。商业银行IT内部审计应该包括以下三方面：

（一）专项审计

专项审计是指对IT安全事件进行的调查、分析和评估。涉及重要业务系统、信息安全或审计部门认为必要的特殊事件都有必要展开IT专项审计。

（二）全面审计

应定期实施全行范围内的IT内部审计，应充分考虑业务性质、规模及复杂度，区分总行信息部门（数据中心）、分行、支行等各个层级，制定全覆盖的IT内部审计计划。

（三）重要项目审计

在进行大规模系统开发时，内部审计部应对系统开发的整个生命周期进行控制。包括项目前期的可行性研究、需求分析，项目开发，项目正式上线后的业务及运维。实际操作中，可以根据项目情况，对各项目里程碑展开相应的审计工作。

可以看出，IT内部审计既有全面审计，也有专项审计，还包括重大项目审计，涵盖了银行IT的方方面面。

二、信息科技内部审计面临的困难

内部审计部门应当从上述三个方面入手，检查评估商业银行信息科技系统和内控机制的充分性和有效性，提出整改意见并检查整改意见的落实情况。近年来，商业银行根据《指引》做了大量工作，但是在信息科技内部审计方面仍然存在诸多困难。

（一）缺乏IT审计人才

银行普遍存在着IT审计岗位编制不足、IT审计人员招聘培养困难、IT审计人员专业技术能力不强等情况。IT审计力量的薄弱，极大地影响了IT内部审计的成效，甚至会出现IT内部审计过分依赖信息科技部门的尴尬局面。

（二）缺乏IT审计方法及规范

缺少规范的IT审计方法论，缺乏对整个银行信息系统的全局认识，在IT内部审计中会存在不知道审什么、不知道怎么审，不容易把握IT内部审计的重点，无法触及部分风险隐患。

（三）缺乏IT审计方向

现阶段银行的IT内部审计都是为了满足监管要求，没有站在业务驱动的角度，缺少为“科技引领”提供保驾护航的力度。

三、商业银行如何加强IT内部审计

面对上述困难与挑战，银行应当充分认识IT内部审计对银行的重要作用，内部审计部门主动加强与信息科技部门的共同协作，加强IT审计专业队伍的建设。

1.管理层及信息科技部应当认识到，IT内部审计作为IT风险审计的重要一环，是IT风险管理的重要组成部分，应当重视内部IT审计部门及岗位的建立，充分发挥其积极作用。对IT内部审计的有效管理，可及时评价IT整体风险管理的水平，可对开发项目进行事中控制，分析IT事件原因、提出整改意见并监督落实。信息科技部应该认识到，IT内部审计不是故意“挑错找茬”，它可以积极发现IT潜在的管理疏漏，有效降低IT风险发生概率，提高IT全员的风险意识和认知。

2.内部审计部门应当加强与信息科技部的沟通与协助，可以进行各种形式的、有益的探索与尝试。比如，在IT风险源的制定与风险库的建立方面充分发挥信息科技的能动性，甚至以信息科技部的意见为主。在此基础上，内部审计部通过各类IT事件的分析、IT专项审计等手段不断来丰富完善风险源。比如，加强与信息科技部的沟通，由其讲解IT最新技术发展、整体架构、变更管理与运行维护等，提高自身的专业技术水平及对本行IT工作的了解。比如，加强与信息科技部的沟通，从审计及监管的角度向管理层反映IT发展中亟待解决的难题，解决信息科技的实际困难。

3.银行应当加强IT审计队伍的建设。在内部审计部内设专门的IT审计岗，有条件的银行可以设立独立的IT审计部门。不仅要学习审计的方法论、沟通技巧，还要积极学习相关的信息技术，专业的IT审计人才应当掌握较为全面的信息技术，对银行IT的各方面都要有所涉猎。加强IT审计人才的培养和储备。

展望未来，银行信息科技内部审计不能局限于应对监管需求，而应立足于银行战略与业务需求，立足于解决信息科技的各种困难。银行应当将信息科技内部审计当成信息科技风险审计最重要的一环，建立完善的信息科技内部审计管理体系，并将之纳入银行整体风险管理体系中。银行应当充分认识信息科技内部审计的重要作用，有意识地引导与加强信息科技部门与内部审计部门的合作共赢，加强信息科技审计专业队伍建设，确保信息科技内部审计真正实现价值，为信息科技的发展提供保障，为银行的发展保驾护航。

it审计论文范文第4篇

【关键词】 IT审计； 财务共享服务模式； 大数据； 云会计

【中图分类号】 F232 【文献标识码】 A 【文章编号】 1004-5937（2016）24-0128-04

一、引言

财务共享服务模式是依托大数据、云计算等信息新技术以财务业务流程再造为基础的分布式管理模式，目的是优化组织结构、提升核算流程效率、降低财务核算成本以及为企业创造价值，其站在市场视角为内外部客户提供专业化财务服务。在财务共享服务模式下，集团企业将日常的、共同的、分散的、大量的、重复的、可标准化的财务会计流程从下属分公司剥离出来，统一交给财务共享中心进行处理[1]，实现了业务处理、数据存储的集中，同时也增加了IT风险。IT风险[2]已经成为企业的“经营风险”，包含IT环境风险、IT管理风险、IT技术风险和IT平台风险等。大数据时代基于财务共享服务模式的IT审计目的是为了找出并解决财务共享的IT风险，依托大数据、云计算等信息新技术，通过对大数据进行采集、处理、分析以发现问题。

IT审计一直受到诸多学者的重视，曹立明[3]分析了IT审计本质、目标与方法，认为IT审计是会计信息化的内在要求，并对会计信息化IT审计的目标、内容和实施条件进行分析，最后对会计信息化IT审计面临的问题进行了阐述。覃宪姬等[4]以广州地铁IT审计为例，在分析了广州地铁信息系统审计现状的基础上，构建了广州地铁IT审计框架并对其具体内容、实施步骤、审计策略以及审计方法进行了阐述。柳芳[5]从ERP系统安全性风险、业务流程风险和ERP系统管理风险入手，对ERP固有风险进行了分析并提出了相应的IT审计对策。李有华[6]将企业IT风险分为IT战略风险、IT项目风险、IT安全风险、IT服务风险、IT合规风险，并在此基础上对IT审计的内容、标准、范围、方法和制度进行了分析。

综观上述文献，大多数文献都基于传统信息系统，并从传统审计手段的角度出发对IT审计的框架、发展与实施进行研究。在大数据时代，财务共享服务模式成为大型集团企业的首要选择，其IT架构更多地运用到云计算技术，并需要大数据进行技术支撑。审计人员在财务共享服务模式下进行IT审计时将更多地运用大数据审计[7]手段进行IT审计，从数据的角度发现疑点，以减轻审计工作量，提高审计工作效率。有鉴于此，本文从大数据的角度对财务共享服务模式下IT审计的特点进行分析，梳理其数据流程，在此基础上构建IT审计框架模型，并对其实施流程进行阐述。

二、大数据时代基于财务共享服务模式的IT审计框架

（一）财务共享服务模式下IT审计的特征分析

一般认为IT内部控制包含组织层面的IT控制、一般控制和应用控制三个层面[6]，审计人员通常以此为基础展开IT审计工作。财务共享服务模式下的IT审计需要充分结合财务共享IT架构特征，其IT审计范围如图1所示。同时，三个层面的IT审计在财务共享服务模式下也出现了有别于传统企业IT审计的特点。

1.组织层面的IT审计

组织层面的IT审计主要检查财务共享IT架构的设计是否合理，以及是否得到有效实施，其核心内容是管理层控制。集团企业建立财务共享服务模式的战略目标清晰，即降低财务核算成本，其IT战略规划应当以实现该目标为前提，并以此为基础进行IT部门与职能的设置。财务共享服务模式下组织层面IT审计应当对财务共享IT战略规划、IT部门与职能的设置是否符合财务共享战略目标进行检查，并对其实施的有效性进行审计。

2.一般控制层面的IT审计

一般控制层面的IT审计是为了确保IT系统运行的可持续性，能够为应用控制提供支撑，审计对象包含软硬件平台、网络等。财务共享服务模式下集团企业将财务核算业务集中，借助移动互联网、云计算等信息新技术实现了财务核算流程再造和数据的集中存储，其IT技术风险应当得到审计人员的重视。财务共享服务模式下一般控制层面的IT审计应当对数据安全、基础设施更新、访问安全和网络安全等主要风险点进行审计。

3.应用控制层面的IT审计

应用控制层面的IT审计主要检查业务系统层面所设计、执行的IT控制是否能够确保整个系统具有可信性，以及是否能够完成相关数据的产生、记录、传递、处理、分析和报告等功能。财务共享服务模式下集团公司、各分子公司的ERP、HR、OA等其他业务系统需要和财务共享中心实现数据对接与共享，为财务核算系统提供数据支撑，其间数据的产生、记录、传递、处理、分析和报告都是IT审计的关键风险点。财务共享服务模式下应用控制层面的IT审计应当对财务核算流程的设计与实施、业务系统与财务共享中心的数据对接、登录权限等内容进行重点关注。

（二）IT审计程序流程框架

COBIT（Control Objectives for Information and related Technology）即信息系统和技术控制目标，是一种用于“IT审计”的知识体系，由美国信息系统审计与控制协会（ISACA）于1996年首次提出并于2005年更新到COBIT 5.0。目前COBIT已经成为众多国家的政府部门、企业对IT的计划与组织、采购与实施、服务提供与服务支持、监督与控制等进行全面考核与认可的业界标准。由于COBIT 5.0具有普适性，因此财务共享服务模式下的IT审计可以此为基础构建IT审计流程框架。在大数据技术背景下基于财务共享服务模式的IT架构与传统IT架构有所区别，在构建IT审计流程框架时应当充分考虑到这一点。

财务共享服务模式下的IT审计流程框架包含IT审计指南和IT审计流程两部分。其中IT指南是参考COBIT 5.0得出的IT审计标准，在IT审计过程中起着指导作用，包含关键审计因素、流程能力模型、风险控制模型、IT技术可信评估和IT审计知识库等内容。IT审计流程则包含制定审计目标、风险评估、制定审计计划、设计审计程序、执行审计程序和出具审计报告六个流程，如图2所示。

（三）IT审计数据流程框架

在财务共享服务模式的IT审计中，审计大数据的产生、传递、处理和分析贯穿整个审计过程。为了充分利用大数据技术提高审计效率，审计机构可以历史数据、互联网数据等组成的大数据为基础构建审计数据中心，并建立IT审计知识库，帮助审计人员进行高效的IT审计。在审计过程中，审计人员可以通过IT审计知识库中的IT审计知识对审计对象的关键风险点进行重点关注，通过大数据审计方式对审计对象提供的相关大数据进行审计。待审计人员出具审计报告后，可将该审计项目的主要风险点、测试方式以及实质性程序等相关审计数据反馈到审计数据中心以完善IT审计知识库，形成IT审计的数据闭环，如图3所示。

三、大数据时代基于财务共享服务模式的IT审计流程

大数据时代基于财务共享服务模式的IT审计应当是一个包含审计大数据产生、传递、归集和使用的闭环系统，在审计过程中应当由IT审计指南对IT审计的计划、实施进行指导。

（一）制定审计目标

审计人员在进行财务共享服务模式下的IT审计时，应当充分考虑该模式下的特点，结合财务共享的IT战略规划，明确审计的时间、目标和范围。集团企业建立财务共享服务模式的战略目标为降低财务核算成本，为了实现该目标，其IT架构应当满足技术可信、内部控制有效、数据平台安全等基本要求，也是财务共享服务模式下IT审计的主要目标。在不同性质的IT审计中，审计人员可以按照实际的审计需求选择不同的侧重点来制定满足实际需要的审计目标。例如内部审计中，审计人员进行IT审计时更多地关心财务共享服务模式下的应用控制制度建设是否合理、是否得到有效实施；社会审计中，审计人员进行IT审计时则更加在意通过财务共享服务模式是否能够提供真实可靠的财务信息。

（二）风险评估

财务共享服务模式的IT架构相较于传统IT更多地使用了大数据、云计算等技术，因此财务共享服务模式下IT审计的审计风险与以往所有差别，例如审计人员在IT技术层面可能无法对IT技术风险有足够的了解，可以通过权威的第三方IT咨询机构获取该审计项目中财务共享下IT技术的评估报告，即IT审计指南中的IT技术可信评估。除了IT技术风险外，审计人员还应当充分考虑财务共享服务模式下独特的审计环境，结合财务共享服务模式下的业务流程再造，对财务共享中心内部控制制度建设情况进行评估，得出可能的其他审计风险以及风险发生的可能性，通过建立二维风险矩阵的方式对风险进行定性和定量的评估。

（三）制定审计计划

根据风险评估的结果，在考虑企业IT管理框架、人力资源配置等因素的基础上，审计人员应当充分结合财务共享服务模式下财务处理流程标准化程度高、业务量饱和以及财务核算成本低等特点，分别制定总体审计计划和具体审计计划，包括确定审计目的、审计范围、人力调配以及审计策略等内容。需要注意的是，财务共享服务模式下运用了大数据技术，传统审计手段很难进行有效的IT审计，应当在审计计划中明确使用大数据审计等审计手段。

（四）设计审计程序

财务共享服务模式下的IT审计程序包含IT管理层控制、IT一般控制和IT应用控制三部分。大数据技术在该步骤得到广泛运用，审计人员可以通过大数据爬虫获取互联网数据，从财务共享数据中心获取集团大数据，然后使用数据驱动测试、数据挖掘、数据多维分析等方法对大数据进行分析，实施审计程序。同时，审计人员也可以使用IT审计知识库比对其他财务共享IT审计项目，辅助确定IT审计中的主要风险点。

1.IT管理层控制

审计人员在进行IT管理层控制时可以结合COSO内部控制框架与财务共享实施情况设计调查问卷，向分子公司总经理、集团财务部员工、财务共享中心负责人等发放。然后可以根据问卷结果与财务共享负责人或IT管理层进行访谈，以评价集团企业在财务共享服务模式下IT管理层控制的有效性。

2.IT一般控制

审计人员在进行IT一般控制时可以采取问卷调查、访谈、穿行测试等方式，也可以直接通过第三方IT咨询机构获取企业IT技术评估报告，以确认该审计项目中财务共享服务模式数据安全、基础设施更新、访问安全和网络安全等主要风险处于可接受范围内，不需要整改。

3.IT应用控制

审计人员在进行IT应用控制时可能更多地会运用大数据审计的方法获取审计证据，例如对采集到的大数据进行清洗后通过SQL查询、大数据挖掘和多维分析等方法寻找审计疑点，或通过黑盒测试法进行数据驱动测试以发现IT系统运行中存在的问题。除了大数据审计的方法外，穿行测试与控制测试也能帮助审计人员找出应用控制设计与执行中存在的问题。

（五）执行审计程序

按照设计好的审计程序进行下一步工作，审计人员需要结合风险评估结果对财务共享服务模式三个层面进行控制测试，根据实际需求实施实质性程序，通过大数据审计、穿行测试等审计手段得出审计证据，并将从中得出的主要控制风险告之相关人员，记录测试和交流沟通的结果。

（六）形成审计意见，出具管理层建议

按照得到的审计证据，结合最初制定的审计目标得出最后的审计结果，并根据审计结果当中的所发现的问题向管理层出具审计意见和提供建议，在与管理层进行沟通后取得其对管理建议的相关回复。

出具审计结果后审计人员应当将相关数据反馈到IT审计知识库以形成新的IT审计知识，完成审计大数据闭环。

四、结语

财务共享服务模式的建设需要大数据、云计算等技术支撑，但同时也改变了其IT审计的审计环境。本文基于财务共享服务模式的特点构建了该模式下IT审计的审计流程框架并对其具体流程进行了分析，以期对财务共享服务模式下的IT审计提供理论指导，帮助集团企业降低或规避其财务共享服务模式下的IT风险。

【参考文献】

[1] 王德宇.财务共享服务与企业管理研究[J].山东社会科学，2015（5）：160-163.

[2] 周常兰.IT风险控制整合框架的构建――风险控制四维整合框架的引入与扩展[J].经济体制改革，2014（2）：102-106.

[3] 曹立明.论IT审计与会计信息化[J].中国注册会计师，2012（12）：108-113.

[4] 覃宪姬，陈瑜，佟柱.信息系统审计的透视与思考――基于广州地铁审计案例的分析[J].中国内部审计，2014（8）：62-69.

[5] 柳芳.基于ERP系统固有风险的IT审计对策[J].中国内部审计，2013（12）：67-69.

[6] 李有华.企业IT审计方法研究及应用[J].中国内部审计，2013（10）：63-65.

it审计论文范文第5篇

［作者简介］王会金（1962― ），男，浙江东阳人，南京审计学院副校长，教授，博士，从事信息系统审计研究。

［摘 要］当前，我国急需一套完善的中观信息系统审计风险控制体系。这是因为我国的中观经济主体在控制信息系统审计风险时需要一套成熟的管理流程，且国家有关部门在制定信息系统审计风险防范标准方面也需要完善的控制体系作为支撑。在阐述COBIT与数据挖掘基本理论的基础上，借鉴COBIT框架，构建中观信息系统审计风险的明细控制框架，利用数据挖掘技术有针对性地探索每一个明细标准的数据挖掘路径，创建挖掘流程，建立适用于我国中观经济特色的信息系统审计风险控制体系。

［关键词］中观信息系统审计；COBIT框架；数据挖掘；风险控制；中观审计

［中图分类号］F239.4 ［文献标识码］A ［文章编号］10044833(2012)01001608

中观信息系统审计是中观审计的重要组成部分，它从属于中观审计与信息系统审计的交叉领域。中观信息系统审计是指IT审计师依据特定的规范，运用科学系统的程序方法，对中观经济主体信息系统的运行规程与应用政策所实施的一种监督活动，旨在增强中观经济主体特定信息网络的有效性、安全性、机密性与一致性[1]。与微观信息系统相比，中观信息系统功能更为复杂，且区域内纷乱的个体间存在契约关系。中观信息系统的复杂性主要体现在跨越单个信息系统边界，参与者之间在信息技术基础设施水平、信息化程度和能力上存在差异，参与者遵循一定的契约规则，依赖通信网络支持，对安全性的要求程度很高等方面。中观信息系统审计风险是指IT审计师在对中观信息系统进行审计的过程中,由于受到某些不确定性因素的影响,而使审计结论与经济事实不符，从而受到相关关系人指控或媒体披露并遭受经济损失以及声誉损失的可能性。中观信息系统审计风险控制的研究成果能为我国大型企业集团、特殊的经济联合体等中观经济主体保持信息系统安全提供强有力的理论支持与实践指导。

一、 相关理论概述与回顾

（一） COBIT

信息及相关技术的控制目标（简称COBIT）由美国信息系统审计与控制协会（简称ISACA）颁布，是最先进、最权威的安全与信息技术管理和控制的规范体系。COBIT将IT过程、IT资源及信息与企业的策略及目标联系于一体，形成一个三维的体系框架。COBIT框架主要由执行工具集、管理指南、控制目标和审计指南四个部分组成，它主要是为管理层提供信息技术的应用构架。COBIT对信息及相关资源进行规划与处理，从信息技术的规划与组织、采集与实施、交付与支持以及监控等四个方面确定了34个信息技术处理过程。

ISACA自1976年COBIT1.0版以来，陆续颁布了很多版本，最近ISACA即将COBIT5.0版。ISACA对COBIT理论的研究已趋于成熟，其思路逐步由IT审计师的审计工具转向IT内部控制框架，再转向从高管层角度来思考IT治理。大多数国际组织在采纳COSO框架时，都同时使用COBIT控制标准。升阳电脑公司等大型国际组织成功应用COBIT优化IT投资。2005年，欧盟也选择将COBIT作为其审计准则。国内学者对COBIT理论的研究则以借鉴为主，如阳杰、张文秀等学者解读了COBIT基本理论及其评价与应用方法[23]；谢羽霄、黄溶冰等学者尝试将COBIT理论应用于银行、会计、电信等不同的信息系统领域[45]。我国信息系统审计的研究目前正处于起步阶段，因而将COBIT理论应用于信息系统的研究也不够深入。王会金、刘国城研究了COBIT理论在中观信息系统重大错报风险评估中的运用，金文、张金城研究了信息系统控制与审计的模型[1，6]。

（二） 数据挖掘

数据挖掘技术出现于20世纪80年代，该技术引出了数据库的知识发现理论，因此，数据挖掘又被称为“基于数据库的知识发现(KDD)”。1995年，在加拿大蒙特利尔召开的首届KDD & Date Mining 国际学术会议上，学者们首次正式提出数据挖掘理论[7]。当前，数据挖掘的定义有很多，但较为公认的一种表述是：“从大型数据库中的数据中提取人们感兴趣的知识。这些知识是隐含的、事先未知的潜在有用信息，提取的知识表现为概念、规则、规律、模式等形式。数据挖掘所要处理的问题就是在庞大的数据库中寻找有价值的隐藏事件，加以分析，并将有意义的信息归纳成结构模式，供有关部门在进行决策时参考。”[7]1995年至2010年，KDD国际会议已经举办16次；1997年至2010年，亚太PAKDD会议已经举办14次，众多会议对数据挖掘的探讨主要围绕理论、技术与应用三个方面展开。

目前国内外学者对数据挖掘的理论研究已趋于成熟。亚太PAKDD会议主办方出版的论文集显示，2001年至2007年仅7年时间共有32个国家与地区的593篇会议论文被论文集收录。我国学者在数据挖掘理论的研究中取得了丰硕的成果，具体表现在两个方面：一是挖掘算法的纵深研究。李也白、唐辉探索了频繁模式挖掘进展，邓勇、王汝传研究了基于网络服务的分布式数据挖掘，肖伟平、何宏研究了基于遗传算法的数据挖掘方法[810]。二是数据挖掘的应用研究。我国学者对于数据挖掘的应用研究也积累了丰富的成果，并尝试将数据挖掘技术应用于医学、通讯、电力、图书馆、电子商务等诸多领域。2008年以来，仅在中国知网查到的关于数据挖掘应用研究的核心期刊论文就多达476篇。近年来，国际软件公司也纷纷开发数据挖掘工具，如SPSS Clementine等。同时，我国也开发出数据挖掘软件，如上海复旦德门公司开发的Dminer,东北大学软件中心开发的Open Miner等。2000年以来，我国学者将数据挖掘应用于审计的研究成果很多，但将数据挖掘应用于信息系统审计的研究成果不多，且主要集中于安全审计领域具体数据挖掘技术的应用研究。

二、 中观信息系统审计风险控制体系的构想

本文将中观信息系统审计风险控制体系（图1）划分为以下三个层次。

（一） 第一层次：设计中观信息系统审计风险的控制框架与明细控制标准

中观信息系统审计的对象包括信息安全、数据中心运营、技术支持服务、灾难恢复与业务持续、绩效与容量、基础设施、硬件管理、软件管理、数据库管理、系统开发、变革管理、问题管理、网络管理、中观系统通信协议与契约规则等共计14个主要方面[11]。中观信息系统审计风险控制体系的第一层次是根据COBIT三维控制框架设计的。这一层次需要构架两项内容：（1）中观信息系统审计风险的控制框架。该控制框架需要完全融合COBIT理论的精髓，并需要考虑COBIT理论的每一原则、标准、解释及说明。该控制框架由14项风险防范因子组成，这14个因子必须与中观信息系统审计的14个具体对象相对应。框架中的每一个因子也应该形成与自身相配套的风险控制子系统，且子系统应该包含控制的要素、结构、种类、目标、遵循的原则、执行概要等内容。（2）中观信息系统审计风险的明细控制标准。控制框架中的14项风险防范因子需要具备与自身相对应的审计风险明细控制规则，IT审计师只有具备相应的明细规范，才能在中观信息系统审计实施过程中拥有可供参考的审计标准。每个因子的风险控制标准的设计需要以COBIT三维控制框架为平台，以4个域、34个高层控制目标、318个明细控制目标为准绳。

（二） 第二层次：确定风险控制框架下的具体挖掘流程以及风险控制的原型系统

第一层次构建出了中观信息系统审计风险控制的明细标准Xi（i∈1n）。在第一层次的基础上，第二层次需要借助于数据挖掘技术，完成两个方面的工作。一是针对Xi，设计适用于Xi自身特性的数据挖掘流程。这一过程的完成需要数据资料库的支持，因而，中观经济主体在研讨Xi明细控制标准下的数据挖掘流程时，必须以多年积累的信息系统控制与审计的经历为平台，建立适用于Xi的主题数据库。针对明细标准Xi的内在要求以及主题数据库的特点，我们就可以选择数据概化、统计分析、聚类分析等众多数据挖掘方法中的一种或若干种，合理选取特征字段，分层次、多角度地进行明细标准Xi下的数据挖掘实验，总结挖掘规律，梳理挖掘流程。二是将适用于Xi的n个数据挖掘流程体系完善与融合，开发针对本行业的中观信息系统审计风险控制的原型系统。原型系统是指系统生命期开始阶段建立的，可运行的最小化系统模型。此过程通过对n个有关Xi的数据挖掘流程的融合，形成体系模型，并配以详细的说明与解释。对该模型要反复验证，多方面关注IT审计师对该原型系统的实际需求，尽可能与IT审计师一道对该原型系统达成一致理解。

（三） 第三层次：整合前两个步骤，构建中观信息系统风险控制体系

第三层次是对第一层次与第二层次的整合。第三层次所形成的中观信息系统风险控制体系包括四部分内容：（1）中观信息系统审计风险控制框架；（2）中观信息系统审计风险控制参照标准；（3）中观信息系统审计风险控制明细标准所对应的数据挖掘流程集；（4）目标行业的中观信息系统审计风险控制的原型系统。在此过程中，对前三部分内容，需要归纳、验证、总结，并形成具有普遍性的中观审计风险控制的书面成果；对第四部分内容，需要在对原型系统进行反复调试的基础上将其开发成软件，以形成适用于目标行业不同组织单位的“软性”成果。在设计中观信息系统风险控制体系的最后阶段，需要遵循控制体系的前三部分内容与第四部分内容相互一致、相互补充的原则。相互一致表现在控制体系中的框架、明细控制标准、相关控制流程与原型系统中的设计规划、属项特征、挖掘原则相协调；相互补充表现在控制体系中的框架、明细控制标准及相关控制流程是IT审计师在中观信息系统审计中所参照的一般理念，而原型系统可为IT审计师提供审计结论测试、理念指导测试以及验证结论。 三、 COBIT框架对中观信息系统审计风险控制的贡献

（一） COBIT框架与中观信息系统审计风险控制的契合分析

现代审计风险由重大错报风险与检查风险两个方面组成，与传统审计风险相比，现代审计风险拓展了风险评估的范围，要求考虑审计客体所处的行业风险。但从微观层面看，传统审计风险与现代审计风险的主要内容都包括固有风险、控制风险与检查风险。COBIT框架与中观信息系统审计风险控制的契合面就是中观信息系统的固有风险与控制风险。中观信息系统的固有风险是指“假定不存在内部控制情况下，中观信息系统存在严重错误或不法行为的可能性”；中观信息系统的控制风险是指“内部控制体系未能及时预防某些错误或不法行为，以致使中观信息系统依然存在严重错误或不法行为的可能性”；中观信息系统的检查风险是指“因IT审计师使用不恰当的审计程序，未能发现已经存在重大错误的可能性”。IT审计师若想控制中观信息系统的审计风险，必须从三个方面着手：（1）对不存在内部控制的方面，能够辨别和合理评价被审系统的固有风险；（2）对存在内部控制的方面，能够确认内部控制制度的科学性、有效性、健全性，合理评价控制风险；（3）IT审计师在中观信息系统审计过程中，能够更大程度地挖掘出被审系统“已经存在”的重大错误。我国信息系统审计的理论研究起步较晚，IT审计师在分辨被审系统固有风险，确认控制风险，将检查风险降低至可接受水平三个方面缺乏成熟的标准加以规范，因此我国的中观信息系统审计还急需一套完备的流程与指南 当前我国有四项信息系统审计标准，具体为《审计机关计算机辅助审计办法》、《独立审计具体准则第20号――计算机信息系统环境下的审计》、《关于利用计算机信息系统开展审计工作有关问题的通知》（88号文件）以及《内部审计具体准则第28号――信息系统审计》。。

图2 中观信息系统审计风险的控制框架与控制标准的设计思路

COBIT框架能够满足IT审计师的中观信息系统审计需求，其三维控制体系，4个控制域、34个高层控制目标、318个明细控制目标为IT审计师辨别固有风险，分析控制风险，降低检查风险提供了绝佳的参照样板与实施指南。COBIT控制框架的管理理念、一般原则完全可以与中观信息系统审计风险的控制实现完美契合。通过对COBIT框架与中观信息系统审计的分析，笔者认为COBIT框架对中观信息系统审计风险控制的贡献表现在三个方面（见图2）：（1）由COBIT的管理指南，虚拟中观信息系统的管理指南，进而评价中观主体对自身信息系统的管理程度。COBIT的管理指南由四部分组成，其中成熟度模型用来确定每一控制阶段是否符合行业与国际标准，关键成功因素用来确定IT程序中最需要控制的活动，关键目标指标用来定义IT控制的目标绩效水准，关键绩效指标用来测量IT控制程序是否达到目标。依据COBIT的管理指南，IT审计师可以探寻被审特定系统的行业与国际标准、IT控制活动的重要性层次、IT控制活动的目标绩效水平以及评价IT控制活动成效的指标，科学地拟定被审系统的管理指南。（2）由COBIT的控制目标，构建中观信息系统的控制目标体系，进而评价中观信息系统的固有风险与检查风险。COBIT的控制目标包括高层域控制、中层过程控制、下层任务活动控制三个方面，其中，高层域控制由规划与组织、获取与实施、交付与支持以及监控四部分组成，中层控制过程由“定义IT战略规划”在内的34个高层控制目标组成，下层任务活动控制由318个明细控制目标组成。COBIT的控制目标融合了“IT标准”、“IT资源”以及被审系统的“商业目标”，为IT审计师实施中观信息系统审计风险控制提供了层级控制体系与明细控制目标。IT审计师可以直接套用COBIT的控制层级与目标拟定中观信息系统管理与控制的层级控制体系以及明细控制目标，然后再进一步以所拟定的明细控制目标作为参照样板，合理评判中观信息系统的固有风险与控制风险。中观信息系统中“域”、“高层”、“明细”控制目标的三层结构加强了IT审计师审计风险控制的可操作性。（3）由COBIT的审计指南，设计IT审计师操作指南，进而降低中观信息系统审计的检查风险。COBIT的审计指南由基本准则、具体准则、执业指南三个部分组成。基本准则规定了信息系统审计行为和审计报告必须达到的基本要求，为IT审计师制定一般审计规范、具体审计计划提供基本依据。具体准则对如何遵循IT审计的基本标准，提供详细的规定、具体说明和解释，为IT审计师如何把握、评价中观经济主体对自身系统的控制情况提供指导。执业指南是根据基本标准与具体准则制定的，是系统审计的操作规程和方法，为IT审计师提供了审计流程与操作指南。

（二） 中观信息系统审计风险控制体系建设举例――构建“设备管理”控制目标体系

前文所述，中观信息系统审计的对象包括“信息安全”等14项内容，本文以“硬件管理”为例，运用COBIT的控制目标，构建“硬件管理”的控制目标体系，以利于IT审计师科学评价“硬件管理”存在的固有风险与控制风险。“设备管理”控制目标体系的构建思路参见表1。

注：IT标准对IT过程的影响中P表示直接且主要的，S表示间接且次要的；IT过程所涉及的IT资源中C表示涉及；空白表示关联微小。

表1以“设备管理”为研究对象，结合COBIT控制框架，并将COBIT框架中与“设备管理”不相关的中层控制过程剔除，最终构建出“设备管理”控制的目标体系。该体系由4个域控制目标、21个中层过程控制目标、149个明细控制目标三个层级构成，各个层级的关系见表1。（1）第一层级是域控制，由“P.设备管理的组织规划目标”、“A.设备管理的获取与实施目标”、“DS.设备管理的交付与支持目标”以及“M.设备管理的监控目标”构成；（2）第二层级是中层过程控制，由21个目标构成，其中归属于P的目标5个，归属于A的目标3个，归属于D的目标9个，归属于M的目标4个；（3）第三层级是下层任务活动控制，由149个明细目标构成，该明细目标体系是中层过程控制目标（P、A、DS、M）针对“IT标准”与“IT资源”的进一步细分。IT标准是指信息系统在运营过程中所应尽可能实现的规则，具体包括有效性、效率性、机密性等7项；IT资源是指信息系统在运营过程中所要求的基本要素，具体有人员、应用等5项。根据表1中“有效性”、“人员”等“IT标准”与“IT资源”合计的12个属项，每个具体中层控制目标都会衍生出多个明细控制目标。例如，中层控制目标“DS13.运营管理”基于“IT标准”与“IT资源”的特点具体能够演绎出6项明细控制目标，此7项可表述为“DS13-01.利用各项设备，充分保证硬件设备业务处理与数据存取的及时、正确与有效”，“DS13-02.充分保证硬件设备运营的经济性与效率性，在硬件设备投入成本一定的情况下，相对加大硬件设备运营所产生的潜在收益”，“DS13-03.硬件设备保持正常的运营状态，未经授权，不可以改变硬件的状态、使用范围与运营特性，保证设备运营的完整性”，“DS13-04.设备应该在规定条件下和规定时间内完成规定的功能与任务，保证设备的可用性”，“DS13-05.硬件设备运营的参与人员必须具备较高的专业素质，工作中遵循相应的行为规范”以及“DS13-06.工作人员在使用各项硬件设备时，严格遵循科学的操作规程，工作中注意对硬件设备的保护，禁止恶意损坏设备”。上述三个层级组成了完整的“硬件设备”控制目标体系，若将中观信息系统审计的14个对象都建立相应的控制目标体系，并将其融合为一体，则将会形成完备的中观信息系统审计风险控制的整体目标体系。

四、 数据挖掘技术对中观信息系统审计风险控制的贡献

（一） 数据挖掘技术与中观信息系统审计风险控制的融合分析

中观信息系统是由两个或两个以上微观个体所构成的中观经济主体所属个体的信息资源，在整体核心控制台的统一控制下，以Internet为依托，按照一定的契约规则实施共享的网状结构式的有机系统。与微观信息系统比较，中观信息系统运行复杂，日志数据、用户操作数据、监控数据的数量相对庞杂。因而，面对系统海量的数据信息，IT审计师针对前文所构建的明细控制目标Xi下的审计证据获取工作将面临很多问题，如数据信息的消化与吸收、数据信息的真假难辨等。而数据挖掘可以帮助决策者寻找数据间潜在的知识与规律，并通过关联规则实现对异常、敏感数据的查询、提取、统计与分析，支持决策者在现有的数据信息基础上进行决策[12]。数据挖掘满足了中观信息系统审计的需求，当IT审计师对繁杂的系统数据一筹莫展时，数据挖掘理论中的聚类分析、关联规则等技术却能为中观信息系统审计的方法提供创新之路。笔者认为，将数据挖掘技术应用于前文所述的明细控制目标Xi下审计证据筛选流程的构建是完全可行的。恰当的数据挖掘具体技术，科学的特征字段选取，对敏感与异常数据的精准调取，将会提高中观信息系统审计的效率与效果，进而降低审计风险。

（二） 中观信息系统审计风险控制目标Xi下数据挖掘流程的规划

数据挖掘技术在中观信息系统审计风险控制中的应用思路见图3。

注：数据仓库具体为目标行业特定中观经济主体的信息系统数据库

中观信息系统审计明细控制目标Xi下数据挖掘流程设计具体可分为六个过程：（1）阐明问题与假设。本部分的研究是在一个特定的应用领域中完成的，以“中观信息系统审计风险明细控制目标Xi”为主旨，阐明相关问题、评估“控制目标Xi”所处的挖掘环境、详尽的描述条件假设、合理确定挖掘的目标与成功标准，这些将是实现“控制目标Xi下”挖掘任务的关键。（2）数据收集。图3显示，本过程需要从原始数据、Web记录与日志文件等处作为数据源采集数据信息，采集后，还需要进一步描述数据特征与检验数据质量。所采集数据的特征描述主要包括数据格式、关键字段、数据属性、一致性，所采集数据的质量检验主要考虑是否满足“控制目标Xi”下数据挖掘的需求，数据是否完整，是否存有错误，错误是否普遍等。（3）数据预处理。该过程是在图3的“N.异构数据汇聚数据库”与“U.全局/局部数据仓库”两个模块下完成的。N模块执行了整合异构数据的任务，这是因为N中的异构数据库由不同性质的异构数据组合而成，数据属性、数据一致性彼此间可能存在矛盾，故N模块需要通过数据转换与数据透明访问实现异构数据的共享。U模块承载着实现数据清理、数据集成与数据格式化的功能。“控制目标Xi”下的数据挖掘技术实施前，IT审计师需要事先完成清理与挖掘目标相关程度低的数据，将特征字段中的错误值剔除以及将缺省值补齐，将不同记录的数据合并为新的记录值以及对数据进行语法修改形成适用于挖掘技术的统一格式数据等系列工作。（4）模型建立。在“V.数据挖掘与知识发现”过程中，选择与应用多种不同的挖掘技术，校准挖掘参数，实现最优化挖掘。“控制目标Xi”下的数据挖掘技术可以将分类与聚类分析、关联规则、统计推断、决策树分析、离散点分析、孤立点检测等技术相结合，用多种挖掘技术检查同一个“控制目标Xi”的完成程度[12]。选择挖掘技术后，选取少部分数据对目标挖掘技术的实用性与有效性进行验证，并以此为基础，以参数设计、模型设定、模型描述等方式对U模块数据仓库中的数据开展数据挖掘与进行知识发现。（5）解释模型。此过程在模块“W.模式解释与评价”中完成，中观信息系统审计风险领域专家与数据挖掘工程师需要依据各自的领域知识、数据挖掘成功标准共同解释模块V，审计领域专家从业务角度讨论模型结果，数据挖掘工程师从技术角度验证模型结果。（6）归纳结论。在“Z.挖掘规律与挖掘路径归纳”中，以W模块为基础，整理上述挖掘实施过程，归纳“控制目标Xi”下的挖掘规律，探究“控制目标Xi”下的挖掘流程，整合“控制目标Xi”（i∈1n）的数据挖掘流程体系，并开发原型系统。

（三） 数据挖掘流程应用举例――“访问控制”下挖掘思路的设计

如前所述，中观信息系统审计包括14个对象，其中“网络管理”对象包含“访问管理”等多个方面。结合COBIT框架下“M1.过程监控”与“IT标准-机密性”，“访问管理”可以将“M1-i.用户访问网络必须通过授权，拒绝非授权用户的访问”作为其控制目标之一。“M1-i”数据挖掘的数据来源主要有日志等，本部分截取网络日志对“M1-i”下数据挖掘流程的设计进行举例分析。

假设某中观信息系统在2011年4月20日18时至22时有如下一段日志记录。

（1） “Sep 20 19:23:06 UNIX login［1015］：FAILED LOGIN 3 FROM(null) FOR wanghua”

（2） “Sep 20 19:51:57 UNIX―zhangli［1016］：LOGIN ON Pts/1 BY zhangli FROM 172.161.11.49”

（3） “Sep 20 20:01:19 UNIX login［1017］：FAILED LOGIN 1 FROM(null) FOR wanghua”

（4） “Sep 20 20:17:23 UNIX―wanyu ［1018］：LOGIN ON Pts/2 BY wanyu FROM 172.161.11.342”

（5） “Sep 20 21:33:20 UNIX―wanghua ［1019］：LOGIN ON Pts/5 BY wanghua FROM 191.34.25.17”

（6） “Sep 20 21:34:39 UNIX su(pam――unix)［1020］:session opened for user root by wanghua (uid=5856)”

… … …

选取上述日志作为数据库，以前文“控制目标Xi”下数据挖掘的6个过程为范本，可以设计“M1-i.用户访问网络必须通过授权，拒绝非授权用户的访问”下的审计证据挖掘流程。该挖掘流程的设计至少包括如下思路：a.选取“授权用户”作为挖掘的“特征字段”，筛选出“非授权用户”的日志数据；b.以a为基础，以“LOGIN ON Pts BY 非授权用户”作为 “特征字段”进行挖掘；c.以a为基础，选取“opened … by …”作为“特征字段”实施挖掘。假如日志库中只有wanghua为非授权用户，则a将会挖出（1）（3）（5）（6），b会挖出（5），c将会挖掘出（6）。通过对（5）与（6）嫌疑日志的分析以及“M1-i”挖掘流程的建立，IT审计师就能够得出被审系统的“访问控制”存在固有风险，且wanghua已经享有了授权用户权限的结论。

参考文献：

［1］王会金，刘国城.COBIT及在中观经济主体信息系统审计的应用［J］.审计研究，2009(1):5862.

［2］阳杰，庄明来,陶黎娟.基于COBIT的会计业务流程控制［J］.审计与经济研究，2009（2）：7886.

［3］张文秀，齐兴利.基于COBIT的信息系统审计框架研究［J］.南京审计学院学报，2010(5):2934.

［4］谢羽霄,邱晨旭.基于COBIT的电信企业信息技术内部控制研究［J］.电信科学,2009(7):3035.

［5］黄溶冰,王跃堂.商业银行信息化进程中审计风险与控制［J］.经济问题探索,2008(2):134137.

［6］金文,张金城.基于COBIT的信息系统控制管理与审计［J］.审计研究，2005(4):7579.

［7］陈安,陈宁.数据挖掘技术与应用［M］.北京：科学工业出版社，2006.

［8］李也白,唐辉.基于改进的PE-tree的频繁模式挖掘算法［J］.计算机应用，2011(1):101104.

［9］邓勇,王汝传.基于网格服务的分布式数据挖掘［J］.计算机工程与应用,2010(8):610.

［10］肖伟平,何宏.基于遗传算法的数据挖掘方法及应用［J］.湖南科技大学学报，2009(9):8286.

［11］孙强.信息系统审计［M］.北京：机械工业出版社，2003.

［12］苏新宁,杨建林.数据挖掘理论与技术［M］. 北京：科学技术出版社,2003.

Risk Control System of MesoInformation System Audit:From the Perspective of COBIT Framework of Date Mining Technology

WANG Huijin

（Nanjing Audit University, Nanjing 211815, China）

it审计论文范文第6篇

关键词：IT审计；传统审计；比较

科技的迅猛发展已经给整个社会的经济管理活动造成了巨大影响。IT审计是在原来传统审计的财务审计和管理审计基础上，由于科学技术向经济管理领域的渗透而产生的。然而，到目前为止，IT审计在本质上并不是独立于财务审计和管理审计的第三大审计分支，而是其中的一类审计形态，其原因在于网络环境的复杂性、实际操作的复杂性、与传统审计的融合程度等因素都制约着IT审计的发展，本文旨通过比较，将两者有机结合，从而提高IT审计质量，拓展IT审计技术方法在企业审计中应用的深度和广度，促进企业在审计上的变革。

一、 IT审计与传统审计在重大方面上是一致的

（一）IT审计与传统审计在基本概念及程序上大体一致

“独立性与客观性”、“权威性与公正性”等传统审计的基本概念在IT审计中得到了很好的体现。另外，IT审计独立于信息系统本身、信息系统相关开发、使用人员，由IT审计师依据法律规定，采用客观标准独立行使审计监督权，这与审计的“独立性与客观性”完全相同。同时，国际信息系统审计和控制协会（ISACA）对实行审计制度、建立审计机关以及审计机构的地位和权力都做了明确规定，这样使审计组织具有法律的权威性，其与公正性相辅相成。

（二） IT审计体系与传统审计体系结构基本一致

传统审计体系在逻辑结构上具有较强的严密性，“基本准则―具体准则―实务指南”是由抽象到具体的逻辑规则，这是会计准则、注册会计师鉴证业务准则等专业标准规范的常用结构，这使审计后续的具体工作便于寻找相应的准则条款，为审计工作提供便捷之处。IT审计所表述的“标准―指南―程序”准则框架在字面上与传统审计体系没有太大差别。其标准反应了信息系统领域的纲领性问题，指南是标准的具体化，程序则是一些工作规范，这与传统审计体系的三个层次是一一对应的。

从审计体系涵盖的内容上来看，传统审计内容的绝大多部分都包含在了IT审计体系的范畴之内。但是，相对于ISACA系会下的准则部制定的IT系统审计准则而言，我国的IT系统审计准则体系还不够完整，尚有若干项准则没有涉及，这应该在我国IT审计未来项目计划中予以考虑。

二、 IT审计具体内容方面存在两点点创新

（一） 安全性审计

在传统审计中，对于被审计对象的安全问题鲜有涉及，而信息的安全性问题关系到企业的生存与发展，是保持企业健康可持续发展的重要保障。IT审计中对于安全性审计做了详细的规范。安全性审计的主要目的就是审查企业信息系统和电子数据的安全隐患。一个存在安全隐患的信息系统很难为审计人员提供真实可靠的信息，因此安全性审计也是真实性审计的前提。

（二） IT审计的软件测试方法与电子取证方法

审计方法贯穿于整个审计过程当中，而不只是存在于某一审计阶段或某个环节。随着IT审计系统实践的丰富与IT审计理论的发展，IT审计处理运用传统审计的方法外，还大量借鉴了计算机学科的一些方法为我所用。其中“软件测试方法”是IT系统审计的重要方法之一，较为经典的测试方法是黑盒测试与白盒测试。另外，某些会计数据和其他信息只能以电子形式存在，或只能在某一时点或期间得到①，在IT审计时对于这些电子数据的获取极为重要，需要确保IT审计人员发掘和收集充足可靠的电子证据，最终生成审计报告。

三、完善IT审计体系还应借鉴传统审计

（一）借鉴传统审计中的绩效审计，加强其实践可行性

传统审计将审计的真实性、合法性和效益性作为审计的目标。为适应建立市场经济的需要，审计机关从2001年以前主要从事的真实、合法性审计到90年代初期，审计机关对国有企业的审计开始向检查内部控制和经济效益两方面的延伸，绩效审计的重要性逐步凸显。②由于IT项目的功能复杂性、结构庞大性、周期延长性，使得IT绩效审计很难准确地评价如此综合性的IT项目效果，如何完善IT绩效审计在实践上的可行性是摆在我们面前的一项重要任务。

IT绩效审计应充分借鉴传统绩效审计中的经济性、效果性、效率性特征，围绕这“三性”进行展开。在“经济性”上，为了以最低的资源耗费获得一定数量和质量的产出，可以通过多方面的改良提高其节约程度。如美国Gartner Group Inc公司研发的ERP系统，其自动化程度很好，从而提高了IT绩效审计的科学性与可行性，避免不必要的开支。在“效果性”上，力图在IT项目上实现绩效监控动态化，为企业提供丰富的管理信息，并在企业管理和决策过程中发挥作用，动态监控管理绩效变化，及时反馈和纠正出现的问题。在“效率性”上，提高企业物流、资金流、信息流一体化管理的效率并且要善于管理信息系统，对信息系统应用价值的实现是IT绩效审计的最重要方面。

（二）借鉴传统审计的风险管理，发挥其制约性作用

《企业内部控制基本规范》把“应当关注研究开发、技术投入、信息技术运用等自主创新因素”列为企业识别内部风险时应当关注的六个因素之一。③伴随IT而来的风险、利益和机会使得IT风险管理成为企业管理的重要内容，也是IT审计中应该完善的部分。

借鉴传统审计对于企业风险管理中风险评估、控制与防范的流程，结合IT风险管理的环境特殊性，程序复杂性和数据多样性等特点，对IT审计中的风险管理应按照“识别信息资产―威胁的量化和定性―评估漏洞―改进控制差距―管理剩余风险”的流程进行。首先，识别组织业务职能并确定每个流程的信息敏感度。然后识别流程的每一个组成部分的现有控制措施，按严重程度将控制差距分类。最后，通过风险等级、成本和有效性的选择，创建风险基准线，以便日后定期重新评估风险所用。

四、 总结

通过对IT审计与传统审计的比较研究，我们发现：在基本内容、程序和体系结构等方面，传统审计与IT审计是协调的。在IT审计的软件测试方法与电子取证方法上，较传统审计来说有其先进性。但是IT审计的不完善性也是显而易见的，可以在绩效审计、风险管理等方面借鉴传统审计的优点，逐渐使IT审计广泛应用于我国的审计行业之中。通过传统审计带动IT审计的方式，使IT审计取其精华，去其糟粕，逐渐发展成为审计行业的新锐力量，是我国亟待努力的方向。

注解：

① 审计准则第1301号：审计证据

② 蔡春，刘学华.绩效审计论[M]，北京：中国时代经济出版社，2006

③ 陈耿，韩志耕，卢孙中.信息系统审计、控制与管理[M]，2014

参考文献：

[1] 肖杰浩著.Oracle 10g 数据库安全策略研究[M]，计算机科学技术，2004.

[2] 陈耿，韩志耕，卢孙中著.信息系统审计、控制与管理[M]，清华大学出版社，2014.

[3] 于海霞，我国IT审计面对的挑战[J]，中国管理信息化，2011.

[4] 陈耿，网络环境下的信息系统审计职能与类型[J]，南京审计学院学报，2012（1）.

it审计论文范文第7篇

课题组组长：史可山，人行南平市中心支行行长;

课题组成员：陈崇跃，徐克勋，朱燕涛，张杏英;

执笔：陈崇跃，朱燕涛。

摘要：随着信息科技的发展，人民银行系统对IT的依存度日增，信息系统风险也接踵而至，内部审计面临新的挑战，IT治理势在必行。为此，本课题组在分析了人行传统的内审已不能适应IT时代审计使命要求的基础上，提出了改革人行内部审计并以此深化央行IT治理的若干建议。

关键词：中央银行;内部审计;IT治理

中图分类号：F830文献标识码：A文章编号：1006-1428(2007)12-0088-02

随着人民银行各项业务与管理活动对IT依存度的日益提高，IT风险渐露端倪，人民银行内审从体制､手段和方式等均面临与IT发展程度相对应的新挑战，央行内审呼唤与IT治理相适应的改革。

一､加强人民银行IT审计促进央行IT治理的必要性。

IT治理大意指合理利用IT资源与适当管理IT相关风险的一种管理模式与机制。IT治理最重要的任务就是保证信息技术与各项业务的有效结合，促进组织收益最大化与风险的最有效控制。如同企业(公司)治理包括了内控管理及其内部审计等制度安排，“IT治理”也涵盖IT审计､信息安全审计､IT服务管理等内容。“IT审计”既是IT治理的组成部分，也是IT治理的促进因素。“IT审计”不仅对信息系统(IS)及其管理制度，还包括对内审自身的IT化建设行使“监督､评价与咨询”职责。

人民银行具有类似商业银行等现代企业的组织架构与业务体系，在管理上同样适用和更需引入“企业治理”与“IT治理”机制。人民银行在组织架构上设立了分支行机构，在业务上也有“存贷款”､“中间业务”､“黄金外汇储备与买卖”等经营性品种。因此人民银行的“业务”系统及其“应用系统”也更为庞大与复杂，日常运营越来越依赖于信息技术的支撑。在这种背景下，人民银行信息系统运行的有效性与潜藏的风险更加不容忽视，建立健全人民银行系统的IT治理及其IT内审机制十分迫切。

二､人民银行系统IT治理与IT审计的现状

在IT治理方面，人民银行表现明显滞后：一是尚未编制出一套适应我国国情的央行IT治理蓝图或规划;二是尚未建立与人民银行组织结构和业务体系及IT应用水平相适应的IT治理组织框架和制度体系;三是尚未建设和培育一支既掌握IT知识又谙熟央行业务的IT治理复合型或“两栖”的人才队伍;四是作为IT治理重要组成部分的IT审计､IT风险控制等监督与保障机制尚不成熟和健全，影响了人民银行IT治理的深化。

在IT审计方面，人民银行信息系统仍没有突破传统内审的窠臼。具体问题与原因：

一是IT审计的理论缺失。IT审计是审计理论的新兴领域，当前有关它的研究尚不够深入，阐述与定义尚不统一，也给IT审计制度的建设和IT审计的实践带来一定程度的混乱。

二是IT审计的制度缺失。人民银行内审司虽制定了《计算机信息系统监督检查工作暂行规定》､《计算机信息系统内部审计规程》等制度，但不是真正意义上的“IT审计”，仅处于信息系统(IS)审计层次，属于一般内控操作制度范畴。

三是IT审计的标准缺失。目前却仍未规划与制定出一套能与国际接轨的抑或有中国特色的IT审计标准与具体行业准则，使目前的IT审计没有明确的方向与标准的轨道。

四是IT审计的队伍缺失。首先，在组织体系上IT审计人员配置不足与结构不合理。其次，人员综合素质不高，既掌握IT知识又熟悉央行业务､懂得金融法律的人力资源十分匮乏。第三，未建立IT审计复合型人才培育机制，使现有人员IT审计素质不能得到应有的提高。

五是IT审计的手段缺失。即IT审计本身缺少信息技术硬件与软件的武装与支持。首先是内审部门计算机及其网络工具与设施配备不足，使目前所开展的IT审计仍停留于现场的､被动的､事后的传统审计形式。其次是业务审计的IT辅助审计应用软件缺乏，内审人员面对全面“数字化”的审计对象，只能望洋兴叹。第三是当前的业务应用系统在设计､开发之初就未考虑接受审计因素，内审人员实施IT审计时没有“合法”接口与取证手段。这些均极大地困扰与制约着IT审计的开展与发展。

三､改革央行内审深化IT治理的政策建议

1､加强IT审计及IT治理的理论研究，为新形势下的央行内审改革提供理论基础。2004年，人行内审司同ITGov(中国IT治理研究中心)合作开展了“IT治理与IS审计模型研究”，对国际通用的IT治理框架和信息系统审计标准“信息与相关技术控制目标”(COBIT)进行了研究，取得初步成果。但是，近年来类似的内审科研仍然偏少，成果不多。当前，国外在这方面的研究与探索均较深入，硕果累累，可以很好借鉴。

2､改革传统的人行内审体制，架构与IT治理相适应的新型内审模式。IT审计的目标是通过实施审计，维护､促进或增强人民银行计算机信息系统合规性､安全性､可靠性､有效性。人民银行已构建了强大的信息传输网络，作为内部审计主要对象的央行业务系统实现了数据大集中，人民银行分支机构业务运营与管理的内涵与外延也发生重大变化，不同层次的央行机构IS更存在鲜明的差异。这就要求央行对传统的内部审计架构进行新的设计，如构建“重心上移､机构下派”的内审新体系。借鉴西方中央银行组织治理模式并与央行IT治理机制相适应，在强调内部审计独立性的同时，注意与IS开发､应用部门的协调一致。采用更灵活的内审方式，如引入市场经济国家“内审社会化”或“内审外包”做法，对人民银行的部分IT审计项目可委托有资质的社会组织开展;提升手段，改革传统的现场审计与人力审计模式，利用计算机网络系统和审计辅助系统实施以“信息技术对抗信息技术”的“非现场审计”和“机器审计”，等等。

3､树立现代内部审计理念，实现内审由合规性监督向评价与咨询服务转变。审计的目的是确保整个组织活动的有效性､效率性､合规性､安全性，使组织“价值增值”。内审由于IT手段的利用及对IS的审计，使内审目标的实现更加可能。因此，人民银行的IT审计不应停滞在查错纠弊的监督阶段，而应要求审计人员树立服务意识，为被审对象提供咨询服务，当好参谋。

4､加快编制我国央行IT治理规划，建立适应人民银行体制的IT审计标准体系和框架。“信息系统审计和控制联合会”(ISACA)已制定了“面向过程的信息系统审计和评价的标准”(COBIT)，国际内部审计师协会(IIA)将其作为国际通用的IT审计标准。作为我国央行的人民银行内审也应积极借鉴标准，制定一套适合我国央行特色的IT审计标准与规范，为IT审计开展评价､咨询等活动提供尺度与准绳。

5､开展对新系统开发的审计，实现IS事后审计向全过程审计转变。即在新系统的立项､开发､测试和验收阶段，内审人员就参与其中，对程序开发到应用的全过程从审计的角度进行审慎监督;对系统的审计由事后转变为全过程监督。同时各业务部门在正式培训､推广使用新系统时，应邀请同级审计部门参加培训学习。对新系统开发审计时，应对新系统的今后可审计操作性提出要求，防止系统出现“拒审”等情况的发生。

6､加强IT审计队伍建设，提高央行内审从业人员综合素质。一是吸收计算机专业人员，把他们培养成审计人员;二是对现有审计人员开展IT知识培训和继续教育，培养成IT审计师;三是建立激励机制，推行IT审计师持证上岗制度，鼓励内审人员学习和钻研计算机知识，考取国家计算机资格等级证书，有条件的通过国际IT审计师资格认证。

(七)加强计算机辅助审计软件开发与应用，推进IT审计信息化建设。

参考文献：

[1]《内部审计思想》 (美)Andrew D．Bailey， (美)Audrey A．Gramling， (美)Sridnar Ramamoorti著;王光远等译，中国时代经济出版社，2006;1

[2]仲安妮．IT审计直面差距找准定位促跨跃．金融时报，2006-8-22

it审计论文范文第8篇

关键词：风险 IT审计 研究

随着科技信息的不断发展，各种信息技术的应用，在全国范围内以及各行各业都非常广泛，那么，在这种趋势下，IT的审计风险也就在日益增大。尤其是以企业为主的有关审计，对于如何认识IT的审计风险，又应该如何有效地化解IT风险，这已经成为目前整个行业越来越关注的话题。现在，这一问题的解决，在国际上所通行的作法，就是对IT进行审计，本文就来详细地谈一谈关于IT审计的一些问题。

一、企业IT审计的主要概念

提起审计，每个人可能都很了解，就是对企业里经济活动的一种独立的监督和审查。那IT审计又是什么呢？这可能就会使很多人费解，其实理解IT审计并不难，与上面所提到的审计差不多，就是针对具体的IT活动进行独立的监督和审查。在这里我们要明确几个关于IT的基本概念：首先，我们要掌握IT活动的含义。IT其实是信息技术英文单词的缩写，信息技术和经济属于不同的概念，经济是社会上的一种具体现象，它主要是利用社会规范对其进行调整；而本文前面提到的信息技术，它是一种技术，是用具体的技术规范对此进行调整的。其实IT审计不仅仅是依据技术规范的信息对IT活动来进行审计，如果只有技术规范对其进行审计的话，就完全缩小了关于IT审计的主要范围。IT活动其实就是人的活动，其具体目的也是为人服务的，IT审计的主要范围不只包括IT的具体活动，还包括一些与IT活动有关的其他活动，只有这样，才能够保证关于IT的审计符合IT相关活动的具体要求。

其次，IT审计具有独立性。这也是审计活动中的基本原则。独立性要求的是审计主体与审计对象的相互独立，由此才能够保证IT审计结果的一种客观性。

再次就是IT审计的监督和审查。监督是能够使审计活动达到一个预期目标而对活动进行督促和监督，审计就是对IT审计中的某项活动进行核实。那么，IT的监督和审查程序就是为了预防IT可能发生的风险，督促、监视各种与IT相关的活动，并核实其符合规范性的具体活动。

二、对IT审计风险的具体理解和IT的制度规范

首先，风险就是某一个事件产生了我们不希望发生的后果的一种可能性。IT风险不能将风险局限在只有IT的考虑范围，IT作为技术，它必须是为组织目标服务，其实IT风险并不是IT本身所具有的风险，它是一种在组织引入IT技术后产生的风险，也就是说，它是组织风险。

IT与组织资产有紧密的联系，这种资产对IT组织来说是具有一定价值的，引入IT后，在这种资产的保护上就出现了一种新的薄弱点，外部对组织造成一定的威胁时，那么，组织的资产所具有的价值就可能会受到损害，由此，IT风险就产生了。

其次，关于IT的制度规范。要有效地防范IT风险，就必须要有一套严格的相关制度规范要求。拥有一个合理完善的IT制度规范体系，是有效防范IT风险的主要依据。IT的制度规范是有所区分的，第一种应该是法律规范，也是IT制度规范中强制性的规范，不管任何人在任何情况下都必须严格遵守，同时，法律法规也是审计的依据。第二种就是各大企业内部自主制定的相关制度规范。这种IT制度规范所体现的是一种强制性的制度规范，还具有两方面的特点：一方面它是为各大企业的发展战略目标而服务的；另一方面它要与IT活动存在的客观规律相符合。所以，企业所制定的制度规范的完善程度要能够促进企业自身发展目标的实现，切实贯彻强制性的规范要求，还要反映企业IT活动的各种客观规律。

三、IT审计的具体思路

首先，要认真学习并深入理解规范制度的强制性要求。其次，要结合企业的IT制度是如何对强制性规范进行规定的。再次，要了解企业内部资产价值的评估，以及企业的发展战略目标是怎样将这一规范制度体现出来的。最后，根据其资产的不同重要程度，要从最重要的开始，检查一个企业内部对所制定的IT制度规范具体的执行情况。另外，为了能够有效实现IT审计的目标，并且合理地使用IT审计资源，在进行审计的过程中，要对重要的评估，运用专业判断知识。要根据审计工作人员的公用标准或者职业判断，内控审计的结果，一些重要性的判断是离不开一定的环境的，审计工作人员，要根据具体的系统环境来确定其信息的重要性。

四、结语

总之，IT风险的防范，是目前各大企业所面临的一个最严峻的新挑战，同时，这也是一个企业在激烈的市场竞争中能够占据良好地位的新机遇。企业要及时做好有关IT风险的防范措施，其关键因素就是要进一步深入地理解一个企业内部的发展战略，及时摸清企业发展的现状，并在此基础上，逐步加强IT的审计工作，规范企业中IT的相关活动，为企业在市场竞争中能够取得良好的地位创造前提条件。

参考文献：

[1]陈阳.试论基于风险的IT审计[J].现代经济信息，2013（3）

[2]康洪艳.IT审计的更新[J].审计与经济研究，2008（2）

[3]安广实，陶芸辉.IT审计风险成因极其防范对策思考[J].中国乡镇企业会计，2012（8）

[4]吴越，俞文萍.通过IT审计加强金融企业风险管控[J].上海国资，2008（8）

it审计论文范文第9篇

摘 要 本文在分析商业银行实施信息技术审计的必要性的基础上，给出了信息技术审计的内涵，并结合笔者多年的银行信息技术审计工作的经验，提出了当前中国商业银行信息技术审计体系的框架，并对信息技术的一般控制审计及应用控制审计做了详尽阐述。

关键词 信息技术审计（ITA） 商业银行 审计体系

在现代金融系统中，商业银行扮演着极其重要的角色，而中国的商业银行在中国的金融体系乃至国民建设中都发挥着举足轻重的作用。在信息技术高速发展的今天，几乎每一个银行业务的处理都离不开信息系统，因此对信息系统的高可用性、高安全性有着非常高的要求。同时信息技术的发展与应用已经决定着商业银行的业务发展方向、模式以及创新能力，直接形成银行的核心竞争力。银行IT建设已经成为银行在市场竞争中的一项关键资源，因此对银行IT的风险控制与管理已经非常的重要，对商业银行的信息技术审计（ITA）提出新的要求。

一、商业银行IT审计的必要性

（一）IT审计是商业银行信息技术应用的必然结果

商业银行从最开始手工账务处理，到今天的信息技术覆盖到银行的方方面面。针对国内商业银行，据相关的数据统计，硬件网络平台已经实现了100%的应用，软件应用已经覆盖了80%以上的商业银行业务。从传统的手工处理，到今天的网上银行、手机银行等，商业银行对信息系统依赖性的日益增强，犯罪分子利用网络对银行信息系统攻击和破坏是益增多，必须要求对商业银行的信息基础建设及信息系统进行审计。

（二）IT审计是商业银行IT风险控制的必然要求

当前银行信息系统所采用IT技术与信息系统软硬件本身存在着大量的脆弱性，如硬件故障、系统漏洞、意外灾祸都会造成银行系统不能正常工作。国外相关统计数据表明，一些银行系统失效的风险损失占到总风险损失的10%-20%。如2009年1月下旬，某银行综合业务系统发生故障，造成综合业务系统故障时间约11个小时，导致整个银行不能对外营业，客户服务中断达4个小时，这种系统带来风险不仅给银行带来经济上的损失，而且直接关系到银行的声誉风险。

（三）IT审计既是银行信息化建设的必然保障，也有利于商业银行业务运营风险的防范

由于我国商业银行IT建设的起步较晚基础薄弱，同时在IT建设之初又缺乏系统、统一的规划，致使我国商业银行信息系统的建设缺乏标准性、前瞻性、规划性，重复建设严重，数据不完整或难以统一，甚至系统建好后发现不能满足要求而闲置等垢病。IT审计可以从IT建设规划，IT组织架构等方面加以评价或监督，推动银行信息化建设环境的治理。另一方面，由于银行业务经营风险很大程度上已经转移到信息系统的风险控制上，因此需要对信息系统的有效性进行评价，包括信息资产的保密性、完整性和可用性。

（四）IT审计也是商业银行审计发展的必然要求

随着信息技术在银行的应用，银行不实行IT审计，审计的内容不全面，审计风险也无法控制。而我国绝大多数银行现在IT审计都处于摸索试验的阶段，IT审计的基础相当薄弱，有些银行对IT风险监管缺乏独立性、系统性、全面性，这些都要求银行加快IT审计的步伐。

二、商业银行IT审计的内涵

到目前为止，国际上对IT审计定义也未形成统一标准的概念。一般来说国外的IT审计始于20世纪60年代的美国，从其发展历程来看，大概经历了三个阶段。最初是电子数据处理（EDP）审计，满足对财务电算化系统进行审计的需要，然后经历了以信息系统审计（ISA）为中心审计阶段，到今天逐渐形成独立的信息技术审计（ITA）。

而国内IT审计起步比较晚，还处于探索阶段，大家的认识也不统一，观念上仍存在若干模糊概念。纵观我国商业银行IT审计发展历程及做的IT审计项目，有以下几个方面特点：其一，认为IT审计就是对信息系统的审计（ISA），即对“计算机化的系统进行审计”，其审计对象、审计范围都有其局限性。其二，认为IT审计是审计人员利用计算机对财务数据进行审计，或者是等同于审计信息化，即运用IT手段或审计工具辅助传统审计或对传统审计进行深化。其三，将IT审计定义为IT运营环境的风险控制，包括IT基础环境安全、网络安全、信息安全等内容。在当前形势下，必须对IT审计形成一个统一、规范的认识，这才有利于IT审计工作的开展和IT风险的防范，也将为 IT审计形成行业规范和建立准则奠定基础。

综合众多观点以及IT审计在我国的实施情况，笔者结合多年在商业银行IT审计经验，认为IT审计（Information Technology Audit，简称ITA）是根据公认的标准和指导规范，对企业的信息技术应用和全体信息资产的安全、效率、潜在风险进行评价，从而保证整体IT资源能促进企业战略目标的实现，推动企业的可持续发展。商业银行的IT审计不仅是评价银行IT基础设施、系统稳定安全的运行，同时涵盖系统的建设、系统对业务的支持、以及IT环境建设及IT治理等方面。

三、商业银行中IT审计体系框架及主要内容

当银行业务的处理已经高度依赖于信息系统的稳定运行的今天，信息科技风险的防范，需要从一个更宏观的角度，对商业银行信息技术建立一个整体有效的监控体系。笔者结合多年商业银行IT审计的工作内容，以及对银行所面临的IT风险思考，提出商业银行IT审计体系框架应当是覆盖了银行IT的基础建设、保障、安全，信息系统整个生命周期中的全部活动和资源，以及信息系统的应用领域。与商业银行信息技术的建设不同，银行IT 审计更关注潜在可能风险、风险的规避、管理和控制等。其主要内容一般可以分为两个大的方面，即IT一般控制审计与IT应用控制审计。

（一）IT一般控制审计

IT一般控制审计主要包括以下几个方面的内容：IT环境治理的审计、IT基础建设的审计、IT系统开发建设过程的审计等。其具体的审计内容见表1：

（二）IT应用控制审计

IT应用控制审计可以分为两方面的内容：

1．信息系统审阅：审计人员参与到信息系统的整个开发过程，在系统的需求论证、系统的基本架构、系统与系统之间关系与影响、开发过程中对主要业务流程控制点、测试与交付等重大控制点发表自己独立专业的意见，为保证系统能满足业务要求和符合企业战略发展提供独立意见。

2．信息系统应用控制审计：审计人员应当对已开发的系统以第三方身份进行独立审计，尤其是对开发过程中无独立的风险部门参与实施的系统。信息系统应用控制审计的内容包括输入输出控制、计算的准确性、系统接口及数据转换的安全性与一致性、访问权限的控制与设计、系统流程对业务流程的表达与控制等，用来评价信息系统是否能准确的对业务提供支持，有效的防范操作风险，同时不产生额外的风险，并且随着业务的发展提出系统持续改进的意见。

四、结语

商业银行IT审计既是银行信息技术应用与审计发展到一定阶段的共同产物，同时也是银行控制自身风险的必然要求。中国商业银行实施IT审计任重而道远，这既有赖于中国商业银行IT治理环境与文化的建立，更有赖于中国IT审计人才的储备及成长，它不仅要求IT审计人员懂得IT技术本身，更应当懂得银行业务，同时还得有现代企业风险控制的意识。

参考文献：

[1]Ron Weber. Information Systems Control and Audit. Prentice Hall Inc. 1999.

[2]ISACA. Information System and Control Association. Review Technical Information Manual.

[3]胡晓明.基于IT治理的我国信息系统控制与审计体系构建思考.科学管理研究.2008(9).

[4]王倩.浅谈商业银行IT审计发展对策.财经论坛.2008(3).

it审计论文范文第10篇

流程的概念很多,ISO/IEC9000将之定义为一组将输入转化为输出的相互关联或相互作用的活动。企业由流程构成,Kaplan(2001)将企业定义为是一系列相互关联的活动或流程的集合,或是一个价值链。在IT环境下,流程可理解为“角色加活动”,即将流程描述为一个为实现特殊目的而合作且互相影响的角色的集合。早期人们对企业流程的理解大多局限于传统的业务领域;当IT逐渐与业务融合,并成为企业所有经营活动的驱动引擎时,流程的范围开始拓展,此时的IT流程与业务流程需要实现动态整合,即IT活动被看作是业务,并执行与业务相同的管理方式。因此,IT环境下的企业业务流程应该是广义的,同时包含IT流程和业务流程。美国公众公司会计监督委员会的第5号审计准则就指出,作为理解重大流程的一部份,审计师应理解IT如何影响公司的交易流程。

有些大的会计公司为了强调经营风险的审计方法,修改它们的审计辅助软件,以围绕业务流程组织审计证据,而不是按照传统的交易循环组织证据。关注业务流程的审计软件系统(Business-Process-Focused,BPF)通过价值链组织被审单位的信息;而传统的关注交易循环的审计软件系统(Transaction-Circle-Focused,TCF)是按照交易分类组织被审单位的信息。O''''DonnellE和JrJosephJSchultz(2003)的研究结果表明使用BPF软件的审计人员能识别出更多的风险情形,并将风险估计在恰当的水平;而使用TCF软件的审计人员对风险的识别和估计都较差。因此他们认为不同的信息组织形式会影响审计人员的决策判断。造成这种结果的原因在于业务流程关注事件之间的关联性,它通过情景引导记忆;而传统的交易循环关注的是交易分类,它通过语义引导记忆。因此,关注业务流程可降低任务的复杂性和认知难度。随后其他的研究人员也发现围绕业务流程开展内部控制的评估任务更为有效。

二、IT环境下基于流程的审计风险判断方法

为了协助审计人员运用自上而下的风险导向审计方法,国际审计和鉴证准则委员会于2005年制定了“在整个审计

过程中运用职业判断对重大错报风险进行更准确评估的框架和模型”。具体步骤如下:(1)了解企业及其环境(包括内部控制),识别风险,并在报表层次考虑交易性质、账户余额、披露;(2)将发现的风险与认定层次可能发生的错误与舞弊相联系;(3)考虑风险的重要性;(4)考虑风险的发生概率。这个风险判断思路也同样适用于IT环境。因此借鉴自上而下的审计方法,将流程作为IT风险判断的中间环节,改进了的IT环境下的审计风险判断方法具体实施步骤如下:

1.了解企业及其环境(包括内部控制)。我国2006出台的《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》列举了影响重大错报风险的因素:行业状况、监管环境以及其他外部因素,企业性质,目标和性质以及相关的经营风险,财务业绩的衡量和评级,内部控制。在IT环境下,识别和评价企业层面的风险和风险控制的有效性时,需特别考虑:(1)IT利益群体的风险及对IT利益群体控制的有效性,如IT治理;(2)企业层面的IT控制,如与IT相关的控制环境、风险评估、信息与沟通、监控、教育和培训等方面。

2.确定财务报告流程的核心要素。根据企业层面的风险评估结果识别重大账户、重要披露及与之相关联的认定。

3.识别关键业务流程。审计人员首先要识别与上述重大账户、重要披露、认定相关联的关键流程及流程所包括的主要交易,同时识别流程中易发生错误和舞弊的关键点(控制点)。为了判断业务流程能否实时预防或检测错误和舞弊,审计人员要识别出需要被测试的控制点,由于业务流程大多基于IT,因此要确定这些控制点哪些是依赖IT的,然后识别并证实关键的IT功能。

4.确定与IT功能相对应的应用系统的范围。详细列出与这些IT功能相关的应用系统和与之关联的子系统,包括交易应用系统和支持性应用系统。交易应用系统在处理组织内的数据时通常提供以下功能:(1)通过借贷关系记录交易的价值数据;(2)作为财务、经营和法规数据存放的仓库;(3)能够生成各种财务和管理报告,包括销售订单、客户发票、供应商发票以及日记账的处理。支持性应用系统并不参与交易的处理,但方便了业务活动的进行,如Email程序、传真软件、设计软件等。

然后IT审计人员与财务审计人员合作,从列示的子系统中识别出支持授权、复杂计算、维护重要账户(如存货、固定资产、贷款等)的完整性的重要应用系统。应用系统是否重要,需要考虑:交易量(交易量越多,应用系统越关键)、交易金额(金额越大,应用系统越关键)、运算的复杂性(运算越复杂,应用系统越关键)、数据和交易的敏感度(敏感度越大,应用系统越关键)。为应用系统提供IT服务,或者支持应用系统关键环节的IT一般流程即为需要进行IT一般控制测试的范围。

5.识别管理和驱动这些重大应用系统的IT流程。识别所有支持这些应用系统的基础设施,包括数据库、服务器、操作系统、网络,以及与之相关联的IT流程。判断这些IT流程的风险和相关的控制目标。识别出需要被测试的IT一般控制,进而判断其是否符合控制目标。控制测试结果将影响与之相关的IT应用控制的评价、业务流程的风险评价。对这些流程和系统进行风险和控制评估后,就可以制定风险控制矩阵。

6.评价IT控制、分析业务流程风险。结合对IT一般控制的评估结果和对业务流程中IT应用控制的评估结果,就可以分析关键业务流程的IT风险控制情况。此时的IT控制测试和人工控制测试要结合起来予以考虑,即将二者作为一个整体的测试对象。业务流程的风险是与业务流程所关联的一系列交易活动、账户群的余额、列报(包括披露)认定层次重大错报风险相联系的,因此,业务流程风险的评价结果构成了认定层次重大错报风险评估的直接基础。

7.评估电子证据证明力、设计实质性测试程序。审计人员可根据上述步骤的风险评估结果判断某一业务流程的电子审计证据的证明力并设计与业务流程有关的账户群的实质性测试程序。

通过上述7个步骤,审计人员可以将IT环境下的企业风险因素与报表层次和认定层次的重大错报风险相链接,同时也为电子审计证据证明力(即检查风险的判断)提供了依据。

参考文献:

[1]顾晓安,基于业务循环的审计风险评估专家系统研究[J].会计研究,2006(4):23-29.

[2]O''''DonnellE,JrJosephJSchultz.TheInflueceofBusiness-Process-FocusedAuditSupportSoftwareonAnalyticalProceduresJudgements[J].Auditing:AJournalofPractice&Theory.2003,22(2):265-279.