導語:在信息系統(tǒng)審計論文的撰寫旅程中�,學習并吸收他人佳作的精髓是一條寶貴的路徑�,好期刊匯集了九篇優(yōu)秀范文�,愿這些內容能夠啟發(fā)您的創(chuàng)作靈感,引領您探索更多的創(chuàng)作可能�。
第1篇
為了更好的開展信息系統(tǒng)審計�,審計組在編制審計實施方案前�,對支隊的信息系統(tǒng)開展了詳細的審前調查,摸清了交警部門信息系統(tǒng)的基本情況�,掌握了交通違法業(yè)務處理流程及業(yè)務數據的流向�。最終�,審計組決定以業(yè)務處理流程為切入點,抓住業(yè)務數據流向的關鍵點來開展審計�,并確定了全市審計機關上下聯(lián)動的審計組織模式�,明確了審計的方向和重點。
1.開展信息系統(tǒng)審計審前調查審計組在審前調查階段�,專門開展了信息系統(tǒng)審計審前調查�,調查的內容包括:信息系統(tǒng)承載的業(yè)務應用情況�、業(yè)務應用軟件、系統(tǒng)業(yè)務流程圖和數據交互圖�、網絡拓撲結構�、主機/存儲設備/操作系統(tǒng)/數據庫系統(tǒng)�、信息系統(tǒng)相關文檔等�。通過信息系統(tǒng)審計審前調查�,大致了解了被審計單位的信息系統(tǒng)的基本情況及業(yè)務處理流程:市電子警察系統(tǒng)主要包括違法錄入�、違法修改、違法審批�、法律文書管理�、黑名單管理�、違法統(tǒng)計等功能。其通過“郵政送達平臺”和“銀政聯(lián)網平臺”分別與廣州市郵政局(以下簡稱郵局)和銀行交換數據�,以實現(xiàn)違法通知書的郵寄和罰款的繳納�。四區(qū)兩市監(jiān)控設備采集到的數據通過專線或3G網絡傳送到交警大隊服務器中�,通過前端審核系統(tǒng)對數據的有效性進行審核,審核完的有效數據上傳到市交警支隊的“電子警察系統(tǒng)”中�。電子警察系統(tǒng)中通過審核的有效數據上傳到省系統(tǒng)中�,再上傳到公安部的“六合一”平臺�。
2.確定審計組織模式審計組采用了市本級審計組與區(qū)縣審計組上下聯(lián)動、信息共享的審計組織方式�,由市本級審計組負責市公安局交警支隊和兩個區(qū)分局交警大隊的審計調查�,其余的四個分局交警大隊由各區(qū)縣審計組分別負責�。市本級審計組通過分析“電子警察系統(tǒng)”和“省系統(tǒng)”數據庫,將問題數據分割后通過審計署OA系統(tǒng)及時發(fā)送給四區(qū)兩市審計組�。四區(qū)兩市審計組審計分析各自的前端系統(tǒng)數據庫�,發(fā)現(xiàn)的審計線索也通過OA系統(tǒng)上傳到市本級審計小組,以確定是否全市普遍存在問題�。
3.確定審計重點和方法根據信息系統(tǒng)審計審前調查的結果�,審計組決定以交通違法業(yè)務處理流程作為切入點�,跟蹤業(yè)務數據流向來開展信息系統(tǒng)審計。審計調查的重點包括四個方面:一是電子警察系統(tǒng)的合法性審計。因為電子警察系統(tǒng)的合法性決定了公安部門執(zhí)法的合法性�,其作出的行政處罰是否存在行政訴訟的可能�。例如:執(zhí)法點位有無按規(guī)定向社會公布�;執(zhí)法點是否按規(guī)定設置標識牌�;執(zhí)法點的設備是否經過驗收和定期檢測等,執(zhí)法點的設備能否正常運行等�。二是電子警察系統(tǒng)的有效性�、完整性審計�。如:違法數據是否按規(guī)定全部、及時核對錄入�;違法記錄是否全部及時向當事人制發(fā)書面通知�;超過規(guī)定時速的違法行為是否嚴格按規(guī)定進行處罰�;有無擅自撤銷處罰記錄等。三是電子警察信息系統(tǒng)的安全性審計�。如�,數據上傳過程中是否存在上傳失敗的情況�;前后業(yè)務處理流程之間的數據量是否存在差異;操作系統(tǒng)�、數據庫以及應用系統(tǒng)訪問是否存在的安全隱患等�。四是電子警察系統(tǒng)的效益性審計�。對審前調查確定的重點,審計組分別采用了不同的步驟和方法�。①針對系統(tǒng)的合法性采取的審計方法:⑴取得目前交通“電子警察”的種類�、數量及分布情況�,與金盾網上向社會公布的執(zhí)法點對比,檢查執(zhí)法點位有無全部按規(guī)定向社會公布�。⑵在征詢社會公眾的意見的基礎上�,實地抽查執(zhí)法點有無按規(guī)定設置標識牌�;抽查指示燈號、標志線�、限速指示牌等行車標志�、標識是否合理�;抽查交通“電子警察”測速設備,是否存在限速過低�。⑶抽查交通“電子警察”設備的技術檔案資料�,檢查所用的設備是否符合國家標準或者行業(yè)標準�。⑷抽查記錄,檢查是否存在執(zhí)罰程序不合法�、未及時通知違法行為人等問題�。②針對系統(tǒng)的有效性�、完整性采取的審計方法:⑴抽查近三年廣州市交通“電子警察”定期檢測、保養(yǎng)�、維護的日志�、記錄資料�,檢查設備有無定期檢測、保養(yǎng)�、維護�;通過實地闖紅燈和超速檢查信息系統(tǒng)設備運行情況的有效性�。⑵檢查數據校驗功能是否缺失。如核查決定書編號是否唯一編號�、是否存在重號等�。⑶通過不同系統(tǒng)之間數據的對比�,核查系統(tǒng)數據完整性。一是橫向比對�,例如通過交警數據和郵政數據比對,違法記錄是否全部及時向當事人制發(fā)書面通知�,通過交警數據和銀行數據比對�,檢查最終違章記錄表中反映的已繳處罰金額總額是否與財政同一期間的非稅收入金額一致�;二是數據的豎向比對,例如通過四區(qū)兩市的數據和支隊數據比對�,支隊數據和省交警總隊數據比對�,檢查系統(tǒng)數據在升級和遷移過程中是否發(fā)生丟失�。⑷處罰撤銷情況統(tǒng)計。審核撤銷的數量�、原因情況�。審核撤銷是否具有完整的內部控制制度�,系統(tǒng)是否有控制手段。③針對系統(tǒng)的安全性采取的審計方法:⑴檢查管理制度,查看系統(tǒng)后臺記錄的有關用戶操作權限�。⑵實地抽樣查看系統(tǒng)操作人員對系統(tǒng)用戶權限的管理�,并運用數據審計技術和軟件�,對信息系統(tǒng)自動記錄的日志進行篩選分析,檢查有無未經授權的進入、非法修改刪除數據等異常操作,從而判斷信息系統(tǒng)的運行管理是否存在明顯錯誤或者缺陷�。④針對信息系統(tǒng)的效益性采取的審計方法:⑴通過直接發(fā)放調查問卷等方式�,征詢公眾對廣州市公安機關利用交通“電子警察”查處道路交通安全違法行為的意見�,分析交通“電子警察”信息系統(tǒng)運行、交警執(zhí)法的合理性、合法性和效益效果�,提出對交通“電子警察”建設和利用的建議�。⑵現(xiàn)場抽查交通“電子警察”設置到位情況�,通過勘察、試驗、拍照等取證手段�,對市公安局“電子警察”項目的設置規(guī)劃�、分布�、效益進行實地調查,重點檢查有無長期在建、虛設不用�、閑置浪費等低效益現(xiàn)象�,形成績效評價意見�。⑶通過對交警執(zhí)法效率提升、當地車輛保有量增長、交通事故數量及事故死亡人數變化等相關數據分析,采取量化指標反映“電子警察”取得的社會效益情況�。⑷調取業(yè)務數據進行分析�。如抽查監(jiān)控點近三年開出罰單情況�,動態(tài)分析監(jiān)控點的運作情況匯報;分析近三年的事故多發(fā)地點,以及在事故多發(fā)地點設置交通“電子警察”情況�。
4.項目取得的成果審計組通過開展電子警察信息系統(tǒng)審計�,查出了以下主要問題:①部分監(jiān)控設備長期沒有維護�,導致無法采集數據或數據失效。②部分違法數據未及時核對�、錄入�。③區(qū)(縣級市)違法數據與市局存在差異�。④未在規(guī)定時限內向當事人郵寄交通違法處理通知書。⑤電子警察管理系統(tǒng)反映的違法處理通知書數據與郵局反映的寄出數據存在差異�。⑥未及時對區(qū)縣的異常數據信息進行檢查�、分析�,導致滯納金數據失真。⑦交警部門記錄的入庫金額與銀行返回的金額存在差異�。⑧電子警察管理系統(tǒng)數據上傳公安部“六合一”平臺時數據丟失�。⑨信息系統(tǒng)中交通違法信息內容記載不夠完整�。公安交警部門對以上查出的問題高度重視�,邊審計邊整改�。其中對部分監(jiān)控設備長期沒有維護的問題�,市交警支隊已加強設備巡檢、維護工作的監(jiān)督力度,對未能正常使用的設備已及時排除故障�;通過優(yōu)化系統(tǒng)和設備配置�、延長工作時間�、抽調人員支援、將人工拍攝的非現(xiàn)場數據核對錄入工作下放至轄區(qū)交警大隊等措施,有效解決對部分違法數據未及時核對�、錄入的問題�;對未在規(guī)定時限內向當事人郵寄交通違法處理通知書的問題�,支隊按不同的形成原因采取措施予以解決,對確因傳送失敗而未寄出通知書的,支隊與郵政部門重新設計和開發(fā)統(tǒng)計違法數據數量功能模塊�,已正式啟用�,同時�,與郵局采取每日核對數據量、對異常數據加強巡檢等監(jiān)管手段,確保發(fā)送數據量與郵局接收數據量一致;對未及時對區(qū)縣的異常數據信息進行檢查、分析�,導致部分數據失實的問題�,支隊已在系統(tǒng)中對滯納金字段值進行限制�,有效解決了繳款時間滯后造成滯納金不實的問題;對相關業(yè)務處理流程之間的數據存在差異的問題,支隊正在籌建交通管理數據交換平臺�,將郵政�、銀政�、電子警察、交委等數據統(tǒng)一通過該平臺進行管理,進一步規(guī)范數據的共享與交換�,同時對數據共享與交換情況進行全面監(jiān)控�,同時�,將加強對系統(tǒng)操作人員的培訓,提高業(yè)務和技能水平;對數據上傳公安部“六合一”平臺失敗后沒有作補救處理的問題�,支隊通過開發(fā)數據上傳失敗查詢模塊和安排專人跟蹤數據上傳情況�,一旦發(fā)現(xiàn)數據上傳失敗立即進行補傳�,確保不因技術問題導致上傳失敗;對信息系統(tǒng)中交通違法信息內容記載不夠完整的問題,支隊已在新的電子警察管理平臺中增加相關字段內容�,逐步完善系統(tǒng)的設置�。
二�、做好信息系統(tǒng)審計的啟示
1.做好審前調查是做好信息系統(tǒng)審計的必要前提。審計人員需要根據審前調查了解的行業(yè)政策、信息系統(tǒng)的設計�、管理和維護情況�,從而確定審計的范圍和關注點�,準備好信息系統(tǒng)審計的軟、硬件條件。只有做好信息系統(tǒng)審計審前調查�,才能充分評估開展信息系統(tǒng)審計的重要性�、可行性和風險性�。
2.了解信息系統(tǒng)業(yè)務處理流程是做好信息系統(tǒng)審計的主要關鍵。深入了解被審計單位的業(yè)務處理流程,掌握信息系統(tǒng)內部控制環(huán)節(jié)�、數據處理環(huán)節(jié)和數據傳輸轉移環(huán)節(jié)�,以業(yè)務處理流程為切入點�,就可以知道容易產生問題的環(huán)節(jié),從而確定審計的重點,做到有的放矢�。
3.合理配置審計人力資源是做好信息系統(tǒng)審計的有力保證�。當前審計機關普遍面臨信息系統(tǒng)審計復合型人才饋乏的困境�,要在短時間內改變這一狀況是不現(xiàn)實的。本案例中審計組配備了專長財會的審計人員和專長計算機技術的審計人員,由專長財會的審計人員負責研究行業(yè)政策,收集業(yè)務流程各環(huán)節(jié)的關注點,提出審計需求,由專長計算機技術的審計人員按需求設計計算機語言,對海量數據進行篩選�,再交專長財會的審計人員對篩選結果進行分析,共同研究提出審計意見�。復用審計思路的審計組織方式能使信息系統(tǒng)審計事半功倍�。
4.采取靈活多變的審計方法是開展信息系統(tǒng)審計的有效途徑�。本案例中采取了審閱、查詢�、計算�、分析性復核�、社會調查問卷等多種方法。多種審計方法的靈活運用�,可以相互印證審計事項�,拓寬審計視野�,擴大審計成果,加強審計的影響力�。
三�、結語
第2篇
在信息化時代�,我們擁有極大的信息系統(tǒng)審計需求市場,信息系統(tǒng)審計已成為審計發(fā)展的新動力和新方向�。然而我國信息系統(tǒng)審計的發(fā)展現(xiàn)狀還不能適應時勢的需要�,尤其是在推行基于國際性的標準COBIT 上的研究和實踐缺乏�。為此,我們應在全面把握我國信息系統(tǒng)存在問題的前提下�,采取有效的對策�,以適應大規(guī)模的信息化建設的需要�。
一、問題的提出信息及相關技術控制目標標準(Control Ob2jectives for Information and related Technology �, CO2BIT) 是美國信息系統(tǒng)審計與控制協(xié)會( InformationSystem Audit and Control Association �, ISACA) 的信息技術治理學會( Information Technology GovernanceInstitute �,ITGI) 基于其原有的控制目標體系,結合并改進現(xiàn)有的正在發(fā)展中的其他國際技術標準和工業(yè)標準而制定的控制目標體系�,為IT 的治理�、安全與控制提供了一個一般適用的公認標準�。自1996 年問世以來,目前已經更新至第四版�,是國際上最先進�、最權威的安全與信息技術管理和控制的標準�,已在全世界100 多個國家的重要組織與企業(yè)中運用,指導這些組織有效利用信息資源�,有效管理與信息相關的風險�。最新版本COBIT 4. 0 更注重幫助董事會和員工應對不斷增加的職責�,包括面向公司董事會和各級管理層適用的指引,由四部分組成�,即管理人員概述�、框架�、核心內容(控制目標、管理方針和成熟模式) 和附錄(圖表�、前后參照和術語表) �。核心內容依據34 項IT 流程來劃分�,全面介紹了如何控制、管理和測量每個流程�。另外�,COBIT 4. 0 分析如何將具體的控制目標劃入五項IT 管理領域�,以識別潛在缺口; 令COBIT 標準與其他標準( ITIL �、CMM、COSO�、PMBOK�、ISF 和ISO17799) 協(xié)調一致;闡述關鍵目標指標(key Goal Indicator �,KGI)和關鍵績效指標(key performance indicator ,KPI) 之間的關系�,說明KPI 如何推動實現(xiàn)KGI ;結合業(yè)務目標�、IT 目標和IT 流程�。COBIT 標準不僅為人們提供了信息系統(tǒng)控制目標和IT 標準,而且提供了信息系統(tǒng)的審計指南。它為信息系統(tǒng)審計師提供了較為系統(tǒng)的評估指標�,從而規(guī)范信息系統(tǒng)審計師的審計思路�,而且它提供的控制矩陣、管理明確診斷表和風險評估表等科學的手段�,讓信息系統(tǒng)審計師合理評估審計風險�,從而大大降低審計風險�,提高審計質量。COBIT 標準對我國開展信息系統(tǒng)審計有很好的啟示和指導作用�,我國應大力推行基于COBIT 標準的信息系統(tǒng)審計�。
二�、我國信息系統(tǒng)審計存在的問題
1. 審計人才缺乏信息系統(tǒng)審計是會計、審計�、信息系統(tǒng)�、網絡技術與計算機應用的交叉學科�。開展信息系統(tǒng)審計,要求審計人員具有復合型的知識結構�,既要掌握財會�、審計知識�,又要掌握信息系統(tǒng)、計算機與網絡技術�。但我國現(xiàn)在大部分審計人員并不熟悉計算機是如何進行經濟與會計業(yè)務處理的�,不知道計算機處理與網絡技術的運用有什么風險�、怎么樣的控制才能有效降低這些風險,也不掌握如何對計算機信息系統(tǒng)進行審計或利用計算機和網絡技術進行審計�。計算機技術人員雖然對計算機和網絡技術比較熟悉�,但他們又不熟悉會計�、審計知識,不知道要審什么�、該怎樣審�。而開發(fā)實用性和通用性較強的審計軟件所需要的高層次�、高水平的人員也很缺乏。
2. 法律法規(guī)不完備在信息化條件下�,審計方法�、對象�、技術都發(fā)生了很大的變化,傳統(tǒng)的審計準則體系�、法律法規(guī)體系已不能完全適應�、指導和規(guī)范信息系統(tǒng)審計的實踐�,而新的關于信息系統(tǒng)審計的程序標準、準則和法律還沒有出臺或并不完備,有些甚至還是完全空白�。例如�,電子憑證�、電子合同、數字簽名等的法律效力和保存要求;數字認證機構的認定及其法律責任;計算機犯罪適用的法律;在信息系統(tǒng)審計中審計機構的權力�、責任和被審計單位的義務等�。從近年情況看,我國的信息系統(tǒng)審計制度建設工作才剛起步,盡管國務院辦公廳�、審計署�、注冊會計師協(xié)會等機關和組織頒布或制定了一些準則和規(guī)范�,但是�,這些準則和規(guī)范還不完善,沒有形成系統(tǒng)性和結構性�。不僅缺乏對信息系統(tǒng)開發(fā)和系統(tǒng)功能審計方面的規(guī)范�,還比較概括�、籠統(tǒng),沒有相應的實施細則。對信息系統(tǒng)審計尚處于摸索階段的我國審計人員來說,顯然還缺乏具體的指南�。
3. 技術水平落后信息技術的高速發(fā)展與廣泛應用使企業(yè)交易事項的大部分內容由系統(tǒng)自動運作完成�,人工軌跡遺留較少,傳統(tǒng)審計線索蕩然無存�。這就要求信息系統(tǒng)審計必須參與和融入信息系統(tǒng)的設計過程�,在執(zhí)行測試時必須穿越信息系統(tǒng)�,以確保對連續(xù)監(jiān)督程序和輸出結果的控制。在我國信息系統(tǒng)的設計與開發(fā)中,尚不具備充分的保留和提供審計線索的功能�。審計人員完全處于被動地位�,難以獲取充足的審計證據支持其審計結論,難以保證信息系統(tǒng)環(huán)境下的審計質量。
三�、發(fā)展我國信息系統(tǒng)審計的對策從上述對我國信息系統(tǒng)審計存在的問題的概要分析中,作者認為�,響應國際發(fā)展趨勢�,在信息系統(tǒng)控制和審計領域推行COBIT 標準無疑具有美好的發(fā)展前景�。具體實施時可針對以下幾個方面進行改進�。 1. 注重專業(yè)人才的培養(yǎng)COBIT 標準具有系統(tǒng)的和完備的框架體系,它的運用首先定位于信息及其相關技術的控制和管理�,因此�,它在整體上表現(xiàn)出IT 業(yè)的大量相關技術�。這就意味著運用COBIT 標準實施信息系統(tǒng)審計的審計人員應具有復合型的知識結構�,既要掌握現(xiàn)代審計理論與實務,又要掌握信息系統(tǒng)�、計算機與網絡技術�。目前�,審計署干部培訓中心開展的注冊信息系統(tǒng)審計師培養(yǎng)及與之相關的在審計人員中進行計算機知識的培訓工作�,正是為了適應這一現(xiàn)實需要�。在人員培訓上,要求對低層次人員培訓與高層次人才的培養(yǎng)�、在職人員的培訓與未來人才的培養(yǎng)進行統(tǒng)籌規(guī)劃。對較高層次的人才培養(yǎng)�,重點可放在信息系統(tǒng)的開發(fā)審計、系統(tǒng)的功能或應用程序審計�、網絡安全審計和審計軟件的開發(fā)等方面;對未來審計人才的培養(yǎng),應在高校會計專業(yè)教學計劃中增加IT 和電子商務等內容�,不僅要把信息系統(tǒng)審計列為必修課�,而且應對這門課的要求或大綱達成共識。審計機構的管理人員也應意識到,信息系統(tǒng)審計人才的培養(yǎng)不僅僅是對審計人員的培養(yǎng)。我們可以培訓審計師成為掌握必要IT 技能的人員,但很難要求他們成為計算機�、信息系統(tǒng)和網絡技術方面的專家。因此�,審計機構要改變以往由會計師獨唱主角的情況,計算機與網絡專家�、信息系統(tǒng)與電子商務專家將在審計組織中擔任越來越重要的角色。審計機構應注意吸收這方面的人才�,并進行審計知識和技能培訓,使他們能與會計師良好合作�,更好地執(zhí)行信息系統(tǒng)審計任務。
2. 完善審計準則從國際同業(yè)的實踐看�,COBIT 標準已經逐步成為通行準則�。我國應遵循國際標準或規(guī)范�,把COBIT 標準作為核心標準, 同時�, 借鑒ISOPIEC17799�、ITIL 、PRINCE2、COSO�、SOX 法案等其他國際標準和原則,進而確立適合自己的信息系統(tǒng)審計目標、對象、范圍�、方法�、流程等�。進一步完善與信息系統(tǒng)審計有關的法規(guī)和準則�,要在法律法規(guī)上�,確定審計機構和審計人員有權審查被審計算機的信息系統(tǒng)的功能與安全措施�,有權利用網絡和審計軟件進行審計�,被審單位應對審計人員的信息系統(tǒng)審計給予積極的協(xié)助。在建設信息系統(tǒng)審計準則體系時�,可以借鑒ISACA 的做法,也采用三個層次體系結構,以基本準則為核心�,統(tǒng)領具體準則和執(zhí)業(yè)指南,從而使整個準則體系不斷擴展�、完善。內容劃分方式可分為審計的權利�、義務與責任�,審計人員和審計工作三大類,并按這些類別來制定準則�。信息系統(tǒng)審計準則作為一個完整的準則體系�,各項具體準則要相互依存、相互配合�。在準則的制定、上�,應當遵循務實原則、接軌原則�、配套原則和科學原則�。ISACA 的做法是�,先規(guī)劃出基本準則的內容�,在此基礎上,有計劃、有步驟、按照現(xiàn)實需要出臺各項具體準則�、指南和程序�。準則采用分項制定,完成一項�,一項�,實施一項。這有利于信息系統(tǒng)審計準則的全面順利的實施�,也有利于信息系統(tǒng)審計人員循序漸進地正確掌握這一系列準則�,從而促進信息系統(tǒng)審計準則在實務中迅速發(fā)揮作用。我們在信息系統(tǒng)審計準則的制定�、上�,可參照ISACA 做法�。同時,對國際上已有的成文準則�、習慣做法�、專業(yè)術語�,應當盡可能與國際慣例保持一致�,盡量做到與國際慣例接軌�。
3. 加強審計方面的IT 技術對于審計領域來說�,COBIT 只是一套成文的信息技術控制標準,它只是向信息系統(tǒng)審計人員指明了前進的道路�,但究竟如何才能成功通向勝利的彼岸�,卻有待審計人員自身去開發(fā)高效快捷的通向目標的方式�,尤其是在信息系統(tǒng)審計這樣一個高專業(yè)化、高技術性的審計業(yè)務領域。首先�,應注重軟件的開發(fā)�,如開發(fā)數據采集軟件�,建立一種能夠容易訪問被審計單位不同介質、不同編碼、不同類型的數據庫�,以便打通采集信息系統(tǒng)所需原始數據的瓶頸;在軟件的研制方面�,還要考慮審計作業(yè)發(fā)展趨勢�,如在現(xiàn)有審計軟件基礎上開發(fā)、研制新的適用信息系統(tǒng)審計的分析工具。其次,聯(lián)網審計的加強�,它是方便快捷地運用COBIT 標準的有力舉措。這種審計方式成功實現(xiàn)的關鍵是被審計單位的信息系統(tǒng)提供標準化的審計接口�,因此,信息化的管理部門和審計部門應加強宣傳,提倡甚至是嚴令監(jiān)督企業(yè)提供數據接口,以便聯(lián)網審計的展開�。最后,就是專家系統(tǒng)的構建,它能將基于COBIT 標準的成功案例進行積累和專業(yè)化,更好地為我們的信息系統(tǒng)審計工作服務。放眼未來之路�,如何借鑒COBIT 標準開展適應國際趨勢的而又探索有中國特色的信息系統(tǒng)審計道路,需要新時代的審計人員的不懈努力�。我們只有充分認識存在的問題的基礎上�,才能有針對性地改進。中國審計人員將以倍增的熱情�,迎接新技術革命的挑戰(zhàn),充滿豪情地投入到審計技術創(chuàng)新的洪流中�。
[參考文獻]
[1 ]李 丹. 信息系統(tǒng)審計———傳統(tǒng)審計的一場革命[J ] .中國審計�,2002 (1) :57 - 58.
[2 ] 錢 艷. 信息系統(tǒng)審計———網絡架構�、測試與評價[D] . 重慶大學碩士學位論文�,2003.
[3 ]管亞梅. 信息系統(tǒng)審計———一種全新的審計模式的構建思路[J ] . 科技進步與對策,2005 (12) :78 - 80.
[4 ]陳婉玲�,楊文杰. ISACA 信息系統(tǒng)管理準則及其啟示[J ] . 審計研究,2006 (增刊) .
[5 ]董 霞. 會計信息系統(tǒng)審計研究[D] . 天津財經大學碩士學位論文�,2006.
第3篇
關鍵詞:內部控制�;網絡�;問題;對策
一�、引言
網絡時代的到來使企業(yè)、事業(yè)單位的會計業(yè)務運作越來越依賴于信息系統(tǒng),會計信息系統(tǒng)內部控制也發(fā)生革命性的變革�,在計算機網絡環(huán)境下的會計信息系統(tǒng)內部控制也遇到了很多與傳統(tǒng)環(huán)境不一樣的問題�。
二�、會計信息系統(tǒng)內部控制在網絡環(huán)境下的主要問題
隨著計算機網絡迅猛發(fā)展�,電子商務�、網上交易�、無紙化交易等的推行,所有的交易數據都由業(yè)務人員直接輸入計算機并上傳到網絡中�,原來的核算、審核工作也基本由計算機自動完成,同時企業(yè)也將利用信息系統(tǒng)控制企業(yè)的經濟活動,并將信息系統(tǒng)的控制作為企業(yè)內部控制的重要組成部分。但是在使用網絡環(huán)境下的會計信息系統(tǒng)的快捷方便同時也將企業(yè)的信息系統(tǒng)置于一個開放復雜的環(huán)境中�,其安全問題又不得不考慮�。本文針對網絡環(huán)境下的會計信息系統(tǒng)內部控制的主要問題分析如下�。
(一)網絡環(huán)境下數據存在易失性和安全性差
網絡環(huán)境下的會計信息系統(tǒng)的范圍擴大,數據介質發(fā)生變化�,各種信息轉化為數字形式存儲在磁介質上�,如果發(fā)生火災、被盜�、感染病毒等�,數據就丟失了�,另外計算機網絡上硬件的老化及自然損壞也是數據容易丟失的原因�。在網絡環(huán)境下會計信息系統(tǒng)內部控制系統(tǒng)程序本身的漏洞較普通單機版更多�,系統(tǒng)的安全性更差,而且會計信息系統(tǒng)下的權限分工主要依靠口令授權�,每個相關人員都有與自己權限相對應的口令�,操作口令管理不嚴�,容易在網絡上泄密或被人竊取�,修改�、擦除和拷貝均不會留下任何痕跡�,由此帶來安全隱患�。另外,網上銀行的開通�,電子商務的普及�,通過網上劃、轉資金�,電子單據�、電子貨幣�、網上結算等電子化的出現(xiàn),都需要采取新的有效的內部控制方法�,避免數據安全問題�。
(二)數據的集成化和程序化加大了控制風險
計算機網絡技術的迅猛發(fā)展使會計信息系統(tǒng)中的數據日趨集成化和程序化�,數據的訪問和交換均通過數據服務器進行,傳統(tǒng)的人工輸入數據環(huán)節(jié)功能弱化�,而網絡高速公路使數據處理迅速�,并且聯(lián)網四通八達�,某個環(huán)節(jié)發(fā)生的錯誤極有可能在短時間內迅速蔓延,造成會計信息系統(tǒng)的癱瘓�。會計信息系統(tǒng)使用的系統(tǒng)軟件和應用程序的質量決定著整個系統(tǒng)的安全性和使用價值�,如果這些系統(tǒng)軟件和應用程序中存在著嚴重的問題�,將會加大了會計信息系統(tǒng)的控制風險,會導致整個系統(tǒng)的崩潰�。
(三)對系統(tǒng)使用人員綜合素質能力要求更高
網絡信息時代帶來了大量的新技術�、新知識,使企�、事業(yè)單位的會計信息系統(tǒng)的環(huán)境發(fā)生了很大的變化�,會計信息系統(tǒng)的安全保護�,會計信息系統(tǒng)的操作人員、網絡系統(tǒng)管理員的崗位責任等問題�,對會計信息系統(tǒng)使用人員素質要求更高�,會計部門不僅利用計算機完成基本的會計業(yè)務�,還能利用計算機完成各種原先沒有的或由其他部門完成的更為復雜的業(yè)務活動。
(四)網絡犯罪的隱蔽性使得控制難度加大
會計信息系統(tǒng)的數據儲存在計算機磁性媒介上,容易被篡改�。在計算機網絡環(huán)境下系統(tǒng)數據高度集中�,網絡黑客或部分人員可以通過一些黑客軟件瀏覽部分乃至全部數據文件�,甚至能做到不留痕跡地復制、偽造、銷毀企業(yè)重要的數據�,而且網絡環(huán)境下這種犯罪具有很大的隱蔽性�。計算機病毒的猖獗也為威脅著網絡環(huán)境下會計信息系統(tǒng)�,病毒制造者的技術日益高超,破壞力越來越大。另外會計信息系統(tǒng)軟件自身的BUG 和后門等因素也為系統(tǒng)的安全帶來諸多隱患�。
三�、會計信息系統(tǒng)網絡內部控制問題的解決對策
要實現(xiàn)網絡環(huán)境下的會計信息系統(tǒng)安全可靠地運行�,必須針對上面分析的系統(tǒng)內部控制問題提出解決問題的辦法�,筆者認為可以通過以下四個方面。
(一)建立數據管理制度�,加強數據安全保密
建立嚴格的數據管理制度�,如保證會計信息系統(tǒng)硬件的防火�、防水、防磁�、防塵等安全�;建立數據的備份制度�,防止信息數據丟失;預防計算機病毒�,防止病毒對信息系統(tǒng)數據的安全造成極大的危害�;禁止非操作和維護人員使用會計信息系統(tǒng)聯(lián)網計算機�,或者通過網絡隨意進入會計信息系統(tǒng)。在網絡環(huán)境下�,要時刻防范網絡黑客和病毒的攻擊�、竊取�、破壞,需要采用操作授權�、口令控制�、數據加密�、職能權限管理、操作日志管理等新的控制方法�,這一切必須嚴格通過口令的控制來實現(xiàn)�,另外還要安裝防火墻�,禁止安裝網絡下載程序,嚴格執(zhí)行移動存儲介質管理制度�,確保數據的安全�。
(二)加強軟硬控制�,規(guī)范操作流程
數據的集成化和程序化更要加強網絡環(huán)境下的硬件和軟件的控制??梢酝ㄟ^奇偶校驗�、冗余校驗�、重復處理校驗、回聲校驗�、設備校驗和有效性校驗等來保證硬件系統(tǒng)正確可靠的控制�,可以通過設計的軟件內部中的各種處理故障�、糾正錯誤、保證系統(tǒng)安全的控制軟件來保證軟件系統(tǒng)正常運行�。操作上要保證輸入數據的準確性�,另外計算機軟硬件的安裝要保證可靠性�,操作上的一些具體的措施有:部門內部的職責分離、憑證審核�、手續(xù)控制�、建立科目名稱與代碼對照文件�、設計科目代碼自動校驗功能、試算平衡校驗等�。
(三)加強人員管理�,提高綜合素質
會計信息系統(tǒng)內部控制系統(tǒng)需要加大對現(xiàn)有相關人員的繼續(xù)教育�,確保系統(tǒng)內每一個人員都能知道其所擁有的權力和承擔的責任,注重培養(yǎng)人員的綜合業(yè)務素質�,提高會計信息系統(tǒng)使用人員的風險防范意識�,使其能適應現(xiàn)代會計信息系統(tǒng)賴以生存的瞬息萬變的網絡環(huán)境�。為了實現(xiàn)這一點�,企、事業(yè)單位需要制定相應的制度來規(guī)范加強會計信息系統(tǒng)使用人員的管理,需要制定操作管理制度�、網絡軟硬件管理制度�、會計檔案管理制度等網絡環(huán)境下的內部控制制度�,將制度落實到決策、執(zhí)行、監(jiān)督�、反饋等各個環(huán)節(jié)�,樹立每一個人員都應對系統(tǒng)的內部控制負有責任的觀念�。同時相關人員必須掌握一定的網絡信息系統(tǒng)方面的知識和技能,全面熟悉網絡會計信息系統(tǒng)的特點和風險,參與分析單位的各項業(yè)務活動�,了解與業(yè)務過程相應的信息處理過程�,使會計核算工作在健全�、有效的內部控制之下進行。
(四)健全相關法律、法規(guī)
我國財政部雖然已經頒布了一系列內部控制規(guī)范�,但有關會計信息系統(tǒng)內部控制方面的法律法規(guī)還不多�,所以我們要與時俱進�,加快防止會計信息系統(tǒng)犯罪的法制化進程,要健全相關法律法規(guī),企、事業(yè)單位要制定在網絡環(huán)境下相應的會計信息系統(tǒng)內部控制法規(guī)�,要明確會計信息系統(tǒng)中哪些方面受法律保護,對未經許可接觸會計信息系統(tǒng)有關數據文件的行為要有明文確定屬于犯罪行為,并且明確懲處方法�,為網絡環(huán)境下的會計信息系統(tǒng)提供一個良好的社會環(huán)境。
四�、實際應用——企業(yè)ERP系統(tǒng)信息與網絡安全性分析
企業(yè)的ERP系統(tǒng)幾乎覆蓋了企業(yè)運作的所有部分�,包括生產�、營銷�、管理、客服�、售后服務等等。因此,在某種程度上可以將ERP系統(tǒng)作為企業(yè)中樞系統(tǒng)�,統(tǒng)領一切其他子系統(tǒng),子系統(tǒng)在總系統(tǒng)的分配調度下協(xié)調工作�,共同為企業(yè)整體的運轉提供保證�。如果中樞系統(tǒng)出現(xiàn)問題,將導致整個企業(yè)運轉出現(xiàn)問題�,甚至導致整個企業(yè)的癱瘓�,可以說�,REP系統(tǒng)的安全穩(wěn)定對于企業(yè)整體的安全有著重要作用。
(一)網絡組建模式
目前來看�,我國使用REP系統(tǒng)的企業(yè)大多為計算機方面的企業(yè)�,多數采用的都是構建主干網后通過主干網將各個子系統(tǒng)互相聯(lián)系�,子系統(tǒng)彼此之間相互聯(lián)系,共同構成整個完善系統(tǒng)的網絡。這類系統(tǒng)的網絡中心一般都在企業(yè)總部�,以總部為出發(fā)點�,將分支與子企業(yè)相聯(lián)系�,實現(xiàn)網絡的互聯(lián)�。作為整體網絡重要的環(huán)節(jié)�,總部不僅僅是作為網絡的中心,還是整體系統(tǒng)的管理樞紐�。盡管不同行業(yè)的網絡系統(tǒng)在結構功能上會有所不同�,但整體上基本結構相同�,大致可以分為商務部、信息部和辦公部三部分�,這些部分在不同企業(yè)會承擔著不同的責任和義務�。
(二)安全需要
企業(yè)ERP系統(tǒng)的安全與穩(wěn)定關系到整個企業(yè)能否正常運行�,是企業(yè)需要特別注重的方面�。為了保證系統(tǒng)的安全,不僅僅要保證主系統(tǒng)不受外部干擾,還應確保各個部門之間的聯(lián)系和資源共享得到安全保證,做到不越權進行彼此互訪�,防止內部安全系統(tǒng)出現(xiàn)問題�。值得注意的是�,目前很多企業(yè)在進行內部溝通時都會采用電子郵件或者網絡系統(tǒng)等方式,這就給一些外來人員提供了一些可乘之機,因此在進行此類的溝通時�,企業(yè)應該注意保證內部的安全可靠�,必要時可以對所交流信息進行加密處理�,保證內部資料不被外泄。
(三)系統(tǒng)的安全目標
(1)保證企業(yè)內部信息在傳遞獲取過程中保持完整性和獨立性,嚴格控制內部人員對于信息的處理和使用,防止信息外泄�。(2)信息在進行交流和溝通時�,對于一些重要文件內容的處理應該在得到相關部門允許后才開始分享�。保證企業(yè)重要信息安全性。(3)控制外來人士對于企業(yè)網絡的使用和訪問,可以通過監(jiān)察訪問人士IP地址的方法對來訪人員進行監(jiān)督�,一旦發(fā)現(xiàn)可疑人士�,馬上報告相關部門�,針對來訪人員特征,采取相應措施進行處理。
(四)信息安全目標
在經濟快速發(fā)展的現(xiàn)代,信息資源在某種程度上已經成為一種資本,擁有最新消息,最廣泛信息來源的企業(yè)往往能未雨綢繆�,及時規(guī)避一些即將到來的風險�,最大限度保全企業(yè)�。因此,企業(yè)的信息安全也就顯得格外重要,可以說�,誰掌握了最新最可靠的信息�,誰就擁有了在市場競爭的主動權�。一般來說,按照信息的重要程度可以分為以下四類:公共級信息、內部級信息、機密級信息和限制級信息共四類�。
(1)公共信息指那些對于企業(yè)來說沒有重要意義的信息�,這種信息可以透露給觀眾�,由于它本身不具有太大價值,它的泄漏也不會對企業(yè)產生影響。(2)內部信息比公共信息機密性要高一些�,有一些信息對于企業(yè)有著一定的利用價值�,不是以直接公布給公眾�。但有些信息可以通過其他方式傳遞給取到信息獲取資格的公眾人士。(3)機密信息一般指對于企業(yè)有著重要作用的信息,這部分信息需要嚴格保密,一旦泄露很可能對合作的客戶服務商等造成極為不利的影響�,因此在企業(yè)內部需要進行加密處理�,防止外來人士對機密信息隨意利用�。(4)限制級信息的安全等級最高,需要進行特殊處理,這部分信息在企業(yè)內部也應該做周密的保密處理�,只能對企業(yè)內部特殊人員開放�。信息一旦泄露將可能給企業(yè)帶來毀滅性打擊�,因此在使用和處理限制級信息的時候,一定做到多重保密手段綜合使用,最大化的保證信息的安全穩(wěn)定�。
(五)企業(yè)ERP系統(tǒng)的安全體系結構
首先需要滿足安全策略�,構建一套整體安全穩(wěn)定的系統(tǒng)�,并進行身份識別設置,對于外來人員的訪問資格進行限制,這是目前最流行的保護方式�,也是最常用的方式之一�。其次應該對系統(tǒng)進行授權管理和對訪問進行控制�。一方面控制物理方面的訪問,如采用警報器、安全鑰匙等�。另一方面保證邏輯訪問控制�,包括防火墻系統(tǒng)和交換機系統(tǒng)等�。最后應該確保信息的保密性和完整性�。對信息進行分級設置,保證不同保密等級的信息得到相應保護�。參考文獻:
[1] 張鐵峰�,賈麗娜.中小企業(yè)內部審計在企業(yè)內部控制制度建設中的作用[A].中國內部審計協(xié)會2009年度全國“內部審計與內部控制體系建設”理論研討暨經驗交流會三等獎論文匯編[C].2009.
[2] 中國移動浙江公司課題組.內部審計與內部控制體系建設——內部審計在企業(yè)開展內部控制評價的實踐[A].中國內部審計協(xié)會2009年度全國“內部審計與內部控制體系建設”理論研討暨經驗交流會三等獎論文匯編[C].2009.
[3] 陳瑩�,劉新俠,方鴻.以風險為導向的內部審計在健全內部控制構建全面風險管理體系中的作用[A].全國內部審計理論研討優(yōu)秀論文集三等獎論文匯編[C].2011.
[4] 宋偉�,曲首晟.商業(yè)銀行內部審計在內部控制中的作用[A].中國內部審計協(xié)會2009年度全國“內部審計與內部控制體系建設”理論研討暨經驗交流會三等獎論文匯編[C].2009.
第4篇
論文摘要:信息技術在為人類帶來益處的同時�,也會帶來一定的風險�。實施會計信息化審計,加強對會計信息化信息系統(tǒng)運作的有效監(jiān)督�,對防范信息系統(tǒng)的風險將起到一定的作用�。目前�,多數企業(yè),沒有充分認識到會計信息化審計的積極意義和效益�,對會計信息化審計的必要性認識不足�,從而使會計信息化審計工作沒有引起足夠的重視�。本文從會計信息化審計的“目標、特點�、策略�、前景”四個方面進行分析探討�。
一、會計信息化審計的目標
1.會計信息系統(tǒng)的安全性
會計信息系統(tǒng)的安全性是指組成會計信息系統(tǒng)的硬件�、軟件�、數據資源是否受到妥善保護�,不因自然和人為的因素而遭到破壞、更改或者泄漏系統(tǒng)中的信息�。會計信息系統(tǒng)的資源通常包括硬件�、軟件�、數據文件、系統(tǒng)文檔�、消耗性材料和其他設施�。這些資源經常放在一處或幾處�,硬件可能被惡意破壞,軟件和數據文件的內容可能丟失或毀損�,消耗性材料和數據資源可能未經批準而被使用�。會計信息系統(tǒng)的安全是通過建立相應的安全控制措施而加以保護的�,評價會計信息系統(tǒng)的安全性,主要是審查會計信息系統(tǒng)的安全控制措施是否健全有效�,對于不足之處應提出需要進行改進與完善的建議�。
2.會計信息系統(tǒng)的可靠性
會計信息系統(tǒng)的可靠性是由其中的硬件系統(tǒng)的可靠性�、軟件系統(tǒng)的可靠性及數據的可靠性等因素共同決定的。軟件系統(tǒng)的可靠性是指在運行環(huán)境中�,在規(guī)定的運行時間內或規(guī)定的運行次數下�,程序和所有數據元素運行不同測試用例的無差錯概率�。硬件系統(tǒng)的可靠性是指在一個指定的時間周期內,在給定的控制條件下�,硬件系統(tǒng)執(zhí)行所需功能的成功概率�。數據可靠性是指數據的真實�、準確和及時�,它取決于系統(tǒng)絕對數據的處理過程是否準確無誤�,以及確保數據可靠的控制措施是否有效�。系統(tǒng)的可靠性還體現(xiàn)在它的容錯能力上。對會計信息系統(tǒng)可靠性的評價要檢查系統(tǒng)的運行是否穩(wěn)定可靠�、是否容易出現(xiàn)偏差和錯誤�,是否能抵御外界干擾而正常工作�。評價會計信息系統(tǒng)的可靠性時,審計人員應對決定會計信息系統(tǒng)可靠性的各項因素進行綜合審查和評價�。
3.會訓信息系統(tǒng)的有效性
會計信息系統(tǒng)的有效性是指該系統(tǒng)能否實現(xiàn)既定的目標�、系統(tǒng)的各項處理過程是否符合國家法律和有關規(guī)章制度的要求�。評價會計信息系統(tǒng)的有效性,必須了解用戶的需求�。會計信息系統(tǒng)有效性的審計一般在系統(tǒng)運行一段時間之后進行�,通過事后審計可確定會計信息系統(tǒng)是否能實現(xiàn)既定的目標�,根據審計的結果,管理者可做出相應的決策�。
二�、會計信息化審計的特點
1.審計的所有領域全面運用現(xiàn)代信息技術
目前�,審計在每一領域都還做得不夠,如:尚未構筑起適應現(xiàn)代技術發(fā)展的一種或多種可能的�、可用于解釋和預測多種審計現(xiàn)象的多維審計理論—�,這種理論將使對審計環(huán)境�、目標、本質�、假設�、概念�、標準、技術�、方法�、過程等的論述更新穎�、更豐富、更具邏輯性和環(huán)境適應力�;急需加速我國的審計工作從落后的“繞過計算機審計”向先進的“通過計算機審計”和“使用計算機審計”轉化�。如何利用現(xiàn)代信息技術管理責任與風險巨大的審計(尤其是獨立審計)行業(yè)是一個值得探討的問題�,新時期,所有的審計人員都應成為完全意義上的電腦審計人員�,而這是審計(后續(xù))教育的重要任務�。
2.會計信息化審計系統(tǒng)具有極強的適應性
信息化會計信息系統(tǒng)的多元�、實時、開放性使會計信息化審計也具有多元�、實時�、開放性特征�,實時審計、會計責任審計�、環(huán)境審計�、境外審計等都將因此而變得更加容易�。
3.會計信息化審計將對傳統(tǒng)審計進行重整
盡管“兩權分離的程度決定了審計主體的種類和被審計單位的形式”,“審計效率和審計風險的矛盾決定了審計程序和方法的歷史變遷”�,但如果所有的計算機只囿于會計電算化信息系統(tǒng)的水平�,提供的信息單一�、過時、封閉�,國外的會計師事務所的非審計業(yè)務(其必須依賴于多元、實時、開放的信息)收入又怎能達到其總收入的70%(我國僅30%左右)�?事實上�,正是信息量極大豐富的信息化會計信息系統(tǒng)和全新的會計信息化審計理論�,支持了卓有成效的“四大”國際會計公司及其或集權或分權的管理模式,支持了審計效率和審計風險矛盾的最有效的解決,從而支持了現(xiàn)在和將有的多種繁雜的具體業(yè)務。
三�、會計信息化審計的策略
1.建立會計信息化審計組織機構
會計信息化審計組織機構不健全將會阻礙我國會計信息化審計的發(fā)展�。為適應未來我國會計信息化審計發(fā)展的客觀要求�,我國應盡快建立自己的會計信息化審計組織機構,按照會計信息化審計的要求組織、協(xié)調會計信息化審計工作,規(guī)劃會計信息化審計的發(fā)展策略和職業(yè)培訓計劃,研究會計信息化審計理論�、方法�、技術和規(guī)范�,指導會計信息化審計工作。在這項工作的起步階段�,政府應加強領導力度�,從宏觀上搞好規(guī)劃安排�,從資金和技術上扶持會計信息化審計,有效規(guī)劃�、部署和指導我國的會計信息化審計工作�。2.加強會計信息化審計理論研究
審計理論來源于審計實踐�,又反過來指導、促進審計實踐,二者不可偏廢�。沒有審計實踐�,審計理論無法產生�,沒有審計理論指導的實踐會走彎路。因此,要在審計實踐中善于及時發(fā)現(xiàn)、總結規(guī)律性的問題,將其上升到理論的高度。國內學術界、政府研究機構應當加強會計信息化審計的理論研究�,積極開展學術交流�,密切關注國際會計信息化審計的最新發(fā)展動態(tài)�,不斷發(fā)展與完善會計信息化審計理論,從而更好地為會計信息化審計實踐活動提供指導,促進我國會計信息化審計事業(yè)的發(fā)展與繁榮�。
3.制定會計信息化審計準則
會計信息化審計同傳統(tǒng)財務審計相比�,在審計對象�、審計目標、審計內容等方面均有所不同。為了規(guī)范會計信息化審計業(yè)務�,明確工作要求�,保證執(zhí)業(yè)質量�,應研究和制定我國的會計信息化審計準則和實務指南。會計信息化審計發(fā)展到一定階段,必須由行業(yè)組織出面將實踐經驗加以總結�,并把有關概念�、工作流程和技術方法固定和統(tǒng)一起來�,形成行業(yè)標準和規(guī)范。
4.強化企業(yè)領導加強管理與控制的觀念
樹立企業(yè)領導的信息化會計信息系統(tǒng)管理意識是開展會計信息化審計工作的關鍵。因此,企業(yè)主管部門在充分領會國務院有關“國民經濟信息化”指示精神�,認真抓好企業(yè)信息化建設的同時�,還必須注重對企業(yè)領導進行會計信息化系統(tǒng)管理與控制的思想教育�,促使企業(yè)領導從企業(yè)生存與發(fā)展的高度來認識會計信息化審計的重要意義,重視會計信息化審計工作,將會計信息化審計作為一項重要工作來抓�。
5.大力培養(yǎng)會計信息化審計人才
從內部講�,一是強化培訓�。各級審計機關要擁有完備的培訓基地,從自己的需要加強不同崗位的適應性培訓;二是重點選拔�。即有重點地選派一些“尖子”人才進高校深造�,進行知識更新�,或參與國際技術交流和技術合作,在實踐中不斷增長才干;三是完善機制�。要逐步形成能有效鼓勵各類人才脫穎而出,能最大限度地挖掘�,激發(fā)各類人才智力潛能的運行機制�,使知識最終能作為最重要的生產要求參與分配�。
6.加大會計信息化審計的宣傳力度
開展會計信息化審計的主要障礙之一是對會計信息化審計的必要性認識不足,必須加大會計信息化審計的宣傳力度�,如實宣傳網絡環(huán)境下重構后的會計信息系統(tǒng)所帶來的風險�,大力宣傳會計信息系統(tǒng)控制的重要性,讓更多的經營管理者,真正認識到開展會計信息化審計的必要性,增強會計信息化審計的迫切性,促進社會輿論對會計信息化審計的理解與支持�,進而推動會計信息化審計工作的開展�。
作者單位:河南工程學院
參考文獻:
[1]謝詩芬.高級財務會計問題研究[M].四川:西南財經大學出版社�,2004.45-52.
[2]胡仁顯.自助式會計信息系統(tǒng)[M].上海:立信會計出版社,2003.78-82.
第5篇
關鍵詞:信息系統(tǒng)開發(fā);安全策略�;網絡技術
中圖分類號:TP399文獻標識碼:A文章編號:1007-9599 (2012) 02-0000-02
Analysis of Security Policy of Information Systems Development
Ling Bin1,Wang Donghong1,Chi Yan2
(1.Northeast Forestry University,Harbin150040,China;2. Heilongjiang University of Chinese Medicine,Harbin150040,China)
Abstract:Along with our country to the application of computer network technology and the deepening of information system.has gradually become the planning construction and management process is the most important one of systems.And the system to have strict security requirements. security goal is very clear.Based on the information system to conduct a comprehensive safety management and construction safety plan.can satisfy the management and technology of double security needs.Therefore.how the information system development process of application security strategy.in order to improve the information system for the overall safety performance also gradually become information system developers and builders focus.In this paper,the information system development process of the safety planning and building construction safety management are analyzed.Presents practical information system security strategy.
Keywords:Information system development;Security strategy;Network technology
現(xiàn)階段�,計算機網絡技術已經在設計�、科研、生產和辦公能方面得到了較為廣泛的應用,且發(fā)揮出了越來越重要的作用�。計算機網絡技術中�,信息系統(tǒng)的廣泛應用給人們的工作和生活帶來了極大的便利�,但與此同時,也對其保密性和安全性提出了較大的挑戰(zhàn),如何提高信息系統(tǒng)的安全性也成為了信息系統(tǒng)開發(fā)者工作的重點�。在信息系統(tǒng)的規(guī)劃建設過程中�,建設前的安全規(guī)劃與實施后持續(xù)�、完善的安全管理都是提高信息系統(tǒng)安全性較為有效的措施。
一、信息系統(tǒng)的建設安全規(guī)劃
信息系統(tǒng)中的建設安全規(guī)劃應主要體現(xiàn)在數據安全、運行安全�、系統(tǒng)安全和物理安全這四個方面�。
第一�,數據安全,即在信息系統(tǒng)使用過程中,尤其是傳輸數據時�,要通過適當的密碼措施來對數據的安全性進行保護�,防止數據泄露問題發(fā)生�。在數據加密后,即使數據在傳輸過程中被截獲或是入侵,由于截獲的是密文�,所獲信息也是無效的�。
第二�,運行安全。要恰當處理信息系統(tǒng)應用所面對的安全問題,在系統(tǒng)開發(fā)時應采取病毒防護�、身份鑒別�、安全審計�、漏洞掃描、入侵檢測、防火墻等保護措施。防火墻能夠在網絡的出口部位對網絡通訊的安全性進行檢查�,按照安全規(guī)則的要求�,信息系統(tǒng)不僅要確保內部的安全性�,還要保證系統(tǒng)外部的安全性,將網絡的外部與內部相隔離�,從而提高整個系統(tǒng)的安全性�。通過設置與防火墻相關聯(lián)的病毒入侵檢測系統(tǒng)�,能夠對信息數據進行實時保護,對進出系統(tǒng)的數據都要進行實時分析�,及時發(fā)現(xiàn)并阻斷外界的攻擊�,從而降低網絡隱患�。漏洞掃描系統(tǒng)能夠對口令/賬號、服務器主機、網絡系統(tǒng)等存在的威脅�、漏洞和安全隱患進行掃描和報告,并及時地采取主動的安全措施和補救行動�,從而提高系統(tǒng)安全性�。安全審計系統(tǒng)能夠對使用信息系統(tǒng)的所有用戶的活動進行監(jiān)控和數據收集�,供系統(tǒng)管理者審查用,從而提高系統(tǒng)的管理效率�。身份鑒別系統(tǒng)是安全系統(tǒng)的關鍵部分�,能夠對用戶是否合法進行主動的判斷�,且口令與智能卡相結合的鑒別方法能夠大大提高系統(tǒng)安全性,也便于應用�。為應對計算機病毒問題�,信息系統(tǒng)還應設計病毒防護措施�,實時監(jiān)控病毒的攻擊和入侵情況,對整個系統(tǒng)進行全面的監(jiān)控�,但要注意在使用時要及時更新病毒信息�,定時對計算機運行環(huán)境進行檢測�。
第三,系統(tǒng)安全�,主要包括應用系統(tǒng)與操作系統(tǒng)的安全性�。在選擇應用系統(tǒng)時�,要對定制軟件和通用軟件都進行風險檢測,及時發(fā)現(xiàn)和處理系統(tǒng)中存在的問題和安全隱患�。而對于操作系統(tǒng)�,則要選用具有較高安全性的系統(tǒng)�,同時進行必要的安全設置。
第四�,物理安全�,這一部分是保證整個系統(tǒng)安全性的基礎�,因而要符合國家的相關規(guī)定。首先該系統(tǒng)要滿足防靜電�、防雷�、溫濕度�、配電、布線�、電力�、防震�、防水、防火�、場地等的要求�。其次�,要保證整個系統(tǒng)能夠安全使用,且符合國家相關標準�。最后�,還要保證該系統(tǒng)所使用的安全設施�,必須是符合國家標準的設備,并具有國家保密部門的審批合格證明�。
二�、系統(tǒng)的安全管理
安全的系統(tǒng)管理能夠為信息系統(tǒng)的安全有效運行提供保障�,也是系統(tǒng)安全運行的基礎,要提高信息系統(tǒng)的安全性�,保障其順利穩(wěn)健的運行�,在管理和設計方面應做到以下幾點:
(一)人員管理
人員管理主要涉及外部人員的管理和內部人員的管理兩個部分�,系統(tǒng)內部的操作使用者和管理者是造成信息系統(tǒng)安全隱患的關鍵因素�,因此,在選擇內部管理人員時�,必須要對其職業(yè)道德�、政治思想狀況�、社會關系、個人經歷等進行核查�,保證系統(tǒng)人員的可靠性和安全性�。同時�,還要使其明確工作職責,在進行系統(tǒng)操作時按照職責要求進行�。除此之外�,還要對系統(tǒng)操作者和使用者的安全知識和安全意識進行培訓�,如退出和登錄等基本操作的規(guī)范化和保密意識的培養(yǎng)等。對于系統(tǒng)管理者來說,其所掌握的安全知識和相應的安全管理水平要更加完善,包括對于違法入侵的防范和鑒別能力、系統(tǒng)的管理和維護能力等�。外部人員指能夠進入該系統(tǒng)進行服務和維修的人員�,對于這部分人員的管理包括旁站陪同控制�、攜帶物品限制�、安全控制區(qū)域隔離�、保密要求知會等幾方面。
(二)安全管理制度的制定
系統(tǒng)安全策略和安全管理制度的制定能夠提高系統(tǒng)運行的可靠性和安全性�。安全管理制度主要包括:人員安全管理�、應急響應措施�、安全審計管理、開發(fā)與運行管理�、恢復與備份管理�、惡意代碼防護措施�、病毒防護措施、移動設備管理措施和運行環(huán)境管理措施等�。系統(tǒng)安全策略主要包括:應急響應策略�、保護信息完整性策略�、系統(tǒng)安全管理策略、系統(tǒng)安全檢測策略�、運行管理策略�、身份鑒別策略�、惡意代碼防護策略、病毒防護策略�、恢復與備份策略和安全審計策略等�。
(三)設置安全管理機構
安全管理機構的設置目的主要在于:第一�,對信息系統(tǒng)的保密性和安全性進行定期的檢測和提升。第二�,安全保密措施的制定和實施管理�。第三�,制定和實施信息系統(tǒng)的安全策略和保密管理制度,主要包括管理策略和技術策略兩部分�。
三�、總結
綜上所述�,信息系統(tǒng)通常主要由網絡通信、共享服務和應用操作三個基本部分組成�,全過程的網絡通信保護系統(tǒng)�、資源共享的邊界保護和可靠的操作應用平臺�,三方面共同組成了具有固定工作和使用流程的生產和信息管理系統(tǒng)�,能為信息的安全性提供充分的保障。在今后的信息系統(tǒng)開發(fā)中,還可在檢測引擎中適當加入檢測隱通道�,從而避免信息生產系統(tǒng)存在隱蔽通道的問題�,這也是今后信息系統(tǒng)開發(fā)工作的重點內容�。
參考文獻:
[1]閆樹.信息系統(tǒng)的安全策略及若干技術研究[D].武漢理工大學碩士學位論文,2009
[2]薛麗.綜合信息管理系統(tǒng)中的安全策略及其應用研究[D].大連理工大學碩士學位論文,2008
第6篇
【關鍵詞】 信息系統(tǒng)審計;審計規(guī)范;案例分析
信息技術正在擴展審計的內涵與外延。與早期的審計相比,現(xiàn)代審計的“對象”、“目標”以及“目的”已經發(fā)生了很大的變化,以行為�、過程和系統(tǒng)等為審計主體的“非信息審計”變得越來越重要�。我國在相關審計法規(guī)的指引下,信息系統(tǒng)審計實踐也正在如火如荼的開展,但通過對相關案例的分析可以發(fā)現(xiàn),信息系統(tǒng)審計實踐存在不少的問題�。本文就某航空公司的收入結算系統(tǒng)審計項目進行案例分析,透視信息系統(tǒng)審計實踐存在的問題,并對政策制定提供相關的建議。
一、某航空公司的信息系統(tǒng)審計項目
某航空公司的審計項目是2005年的重點審計項目之一,其目的是要為實現(xiàn)“真實�、合法�、效益”的審計目標奠定基礎�。開展信息系統(tǒng)審計是抓住該集團特點,培育項目亮點,把這個項目做成精品的重要舉措之一。信息系統(tǒng)到底怎么審,怎么評價,審計人員想到找一條別人走過的路子,照貓畫虎。但查閱信息系統(tǒng)審計的相關資料,看到的基本上是國外對信息系統(tǒng)審計的理解與做法,與我們的審計有較大的差別,如果直接硬套過來,只能是東施效顰;詢問相關的專業(yè)人員,大家都沒有類似的經驗。經過幾次討論,審計組決定首先找對某航空公司信息系統(tǒng)實施管理的規(guī)則發(fā)展部�、信息技術中心兩個部門的領導進行一次深談,聽聽他們對A航空公司信息系統(tǒng)的評價,希望從中理出一些思路,再進一步確定具體工作方案�。與被審計單位部門領導談話進行得比較順利,審計人員也漸漸理出了自己的工作思路:企業(yè)的信息系統(tǒng)體現(xiàn)的是企業(yè)的管理理念�。這次信息系統(tǒng)審計應該主要抓住以下方面:首先是該航空集團信息系統(tǒng)的規(guī)劃、建設、管理與整個公司的發(fā)展是否相適應,信息系統(tǒng)資源的整合是否能夠跟上公司其他資源高速整合的步伐;其次是公司信息系統(tǒng)的功能是否能夠滿足業(yè)務特點的要求;再次是結合在數據審計中發(fā)現(xiàn)的大量數據問題,特別是數據整理中再現(xiàn)的問題,來考察信息系統(tǒng)中存在的問題�。但在實際問題的處理過程中也存在著諸多困難,無現(xiàn)成的案例和信息系統(tǒng)審計規(guī)范可借鑒�。為了確保審計目標的實現(xiàn),審計組開展了信息系統(tǒng)審計�。在系統(tǒng)審計的探索中,審計人員根據調查了解的情況,在數據分析的基礎上,通過跟蹤被審計單位的業(yè)務過程和數據處理流程,發(fā)現(xiàn)了被審計單位收入結算系統(tǒng)中存在的非法銷售暗扣處理模塊,具體信息系統(tǒng)審計過程包括:一是數據分析,發(fā)現(xiàn)問題線索;二是通過數據對比,求證問題線索;三是跟蹤業(yè)務過程,發(fā)現(xiàn)暗扣代碼文件;四是跟蹤數據處理流程,發(fā)現(xiàn)暗扣模塊。最終通過對某航空公司收入結算系統(tǒng)的審計發(fā)現(xiàn),進入系統(tǒng)的原始數據由面額逐步轉變?yōu)槊~和凈額,系統(tǒng)以最后的凈額與人結算,并生成運輸報告?zhèn)鬟f到財務系統(tǒng)確認收入,從而實現(xiàn)了航空公司暗扣銷售和凈額結算。至此,該信息系統(tǒng)審計項目也宣告結束。
二�、案例分析
由上述案例過程可知,我國對企業(yè)信息系統(tǒng)審計還處于探索階段,在審計實務中到底如何開展信息系統(tǒng)審計還缺乏有說服力的案例和行之有效的辦法,更不要說具有可操作性的完整的信息系統(tǒng)審計規(guī)范體系�??傮w來講,筆者認為從上述案例可以反映出當前我國信息系統(tǒng)審計規(guī)范體系還存在著如下幾個方面的缺陷。
(一)沒有完整可借鑒的由權威機構制定的信息系統(tǒng)審計規(guī)范
信息系統(tǒng)審計規(guī)范是信息系統(tǒng)審計經驗的總結,是對審計活動內在規(guī)范的反映,審計人員按照信息系統(tǒng)審計規(guī)范所確定的程序、步驟�、技術和方法開展工作,能夠少走彎路,提高信息系統(tǒng)審計效率,保障信息系統(tǒng)審計工作科學�、有序�、高效地運行,全面實現(xiàn)信息系統(tǒng)審計目標,降低信息系統(tǒng)風險,同時也可降低財務審計、績效審計以及環(huán)境審計等風險。而上述案例也說明我國信息系統(tǒng)審計尚處于探索階段,在信息系統(tǒng)審計實踐中缺乏有說服力的案例,根本談不上完善的信息系統(tǒng)審計規(guī)范體系,而在國外卻存在如ISACA這樣的機構去提供完整的信息系統(tǒng)審計準則、指南和審計程序,至2010年4月其已經了16項基本準則,41項審計指南和11項作業(yè)程序�。因此,國家相關部門應整合信息系統(tǒng)審計規(guī)范制定的實踐與理論資源,在借鑒國外信息系統(tǒng)審計規(guī)范的基礎上,推進我國信息系統(tǒng)審計規(guī)范體系制定的進程�。
(二)信息系統(tǒng)審計的開展缺乏計劃,不存在后續(xù)審計階段
對信息系統(tǒng)的審計是一個過程,包括信息系統(tǒng)審計計劃�、實施、審計報告以及后續(xù)審計階段,而在上述案例中,對信息系統(tǒng)的審計是一個摸索的過程,根本談不上信息系統(tǒng)審計計劃。凡事預則立,不預則廢�。無論是國家審計,還是注冊會計師審計,同樣需要制定信息系統(tǒng)審計計劃�?!秲炔繉徲嬀唧w準則第28號――信息系統(tǒng)審計》中指出,內部審計人員在執(zhí)行信息系統(tǒng)審計之前,需要確定審計目標并初步評估審計風險,估算完成信息系統(tǒng)審計或專項審計所需的資源,確定重點審計領域及審計活動的優(yōu)先次序,明確審計組成員的職責,并以此制定信息系統(tǒng)審計計劃,除此之外第28號具體準則沒有作詳細深入的闡述。在ISACA的審計準則體系中,關于審計計劃的基本準則有審計計劃(S5)、審計計劃中風險評估的運用(S11)和審計重要性(S12);審計指南有信息系統(tǒng)審計中的重要性概念(G6)�、審計計劃中風險評估的運用(G13)以及信息系統(tǒng)審計的計劃(G15);審計程序中有信息系統(tǒng)風險評估(P1)等可供借鑒與參考,并且ISACA對審計計劃的相關準則�、指南和程序進行了詳細深入的闡述,以利于引導和約束審計人員的審計行為�。
審計報告的簽署并不意味著信息系統(tǒng)審計的終結。上述案例不存在后續(xù)審計階段,這與缺乏信息系統(tǒng)審計規(guī)范的指導是分不開的。在ISACA的審計準則體系中,后續(xù)審計方面的準則包括基本準則后續(xù)工作(S8)以及審計指南后續(xù)工作(G35)等�。根據ISACA審計標準,審計人員對于在信息系統(tǒng)審計中發(fā)現(xiàn)信息系統(tǒng)的重大問題和漏洞,并提出改進意見后,可對被審單位所采取的糾正措施及效果進行后續(xù)審計�。如果審計建議如期落實,則實現(xiàn)了信息系統(tǒng)審計的目標,也意味著信息系統(tǒng)審計意見得到了被審計單位的認可;如果審計建議沒有落實,應耐心聽取被審計人員的反饋意見,對于落實的難點問題,審計部門應反映給高級管理層,請其協(xié)助落實�。此外,對于不切實際的審計建議,審計組成員應該分析原因,以利于下一次審計項目的改進。因此,后續(xù)審計階段對于信息系統(tǒng)審計同樣重要,而在上述審計案例中,對A航空公司收入結算系統(tǒng)的審計根據不存在后續(xù)審計階段。
(三)信息系統(tǒng)審計出于“真實、合法�、效益”的審計目標
我國開展的信息系統(tǒng)審計與西方的信息系統(tǒng)審計在目標上存在著差異,我國審計部門開展信息系統(tǒng)審計主要是為“真實�、合法�、效益”的審計目標服務的,主要關注信息系統(tǒng)影響被審計單位的合法經營、財務核算、經營效益等方面的問題,還沒有達到審查信息系統(tǒng)安全、可靠、有效和效率以及能否有效地使用組織資源�、實現(xiàn)組織目標的層次�。因此,對于信息系統(tǒng)審計,在很大程度上主要是根據數據審計的需要開展�。隨著企業(yè)信息化�、政務信息化等的發(fā)展,信息系統(tǒng)的安全審計、生命周期審計以及軟硬件審計等變得越來越重要,其重要程度在很多時候已經超過了出于“真實�、合法�、效益”審計目標的信息系統(tǒng)審計�。我國信息系統(tǒng)審計及規(guī)范的發(fā)展不能只是停留在“真實、合法�、效益”審計目標的基礎上,這樣只能限制信息系統(tǒng)審計的范圍,我國的信息系統(tǒng)審計實踐也沒有辦法拓展到對信息安全保護�、軟件系統(tǒng)開發(fā)以及商業(yè)流程評估及風險管理等的審計實踐上來�。
(四)缺乏信息系統(tǒng)審計項目的質量控制準則
我國在信息系統(tǒng)審計項目方面的質量控制準則尚處于空白狀態(tài)。雖然國家審計署�、中注協(xié)和內部審計協(xié)會都頒布了一些關于審計質量控制的準則或規(guī)范,但這些規(guī)范不是針對財務審計的,就是針對會計師事務所質量控制的,而專門針對信息系統(tǒng)審計項目的質量控制基本上還處于空白狀態(tài)�。因此,上述案例在信息系統(tǒng)審計過程中,基本上不存在任何質量控制措施,這也對我國提出了盡早制定與頒布信息系統(tǒng)審計質量控制方面相關的規(guī)范�。否則,在信息系統(tǒng)審計市場上將出現(xiàn)一個一般化的“格雷欣法則”,即劣等品驅逐優(yōu)等品,其結果是出現(xiàn)賣方與買方勾結,按照買方的要求設計信息系統(tǒng)內部控制規(guī)范(劉杰,2010)。一般化的“格雷欣法則”也不利于我國信息系統(tǒng)產品市場和信息系統(tǒng)審計市場的規(guī)范�。
三�、啟示及政策建議
通過上述對某航空公司收入結算系統(tǒng)審計案例的分析可知,我國信息系統(tǒng)審計實踐尚處于起步階段,還存在著諸多問題�。為規(guī)范信息系統(tǒng)審計行為,加強對信息系統(tǒng)審計實踐的指導,信息系統(tǒng)審計規(guī)范的制定與是關鍵。信息系統(tǒng)審計規(guī)范是一種公共品,政府機構或相關職業(yè)團體在信息系統(tǒng)審計規(guī)范制定過程中扮演著重要的角色�。因此,筆者認為我國政府應從如下幾個方面作出努力�。
一是以《2004至2007年審計信息化發(fā)展規(guī)劃》與《審計署2008至2012年信息化發(fā)展規(guī)劃》中提出的整合審計資源思想為契機,抽調中國注冊會計師協(xié)會�、國家審計署以及中國內部審計協(xié)會相關信息系統(tǒng)審計制定的人力、物力和財力,成立專門的信息系統(tǒng)審計規(guī)范制定機構�。
二是在借鑒國外諸如ISACA以及IIA等信息系統(tǒng)審計資源的基礎上,吸引我國信息系統(tǒng)審計實踐中已經并實踐的信息系統(tǒng)審計操作規(guī)則,結合我國信息系統(tǒng)審計實踐,出整�、系統(tǒng)的信息系統(tǒng)審計規(guī)范體系�。完善�、系統(tǒng)的信息系統(tǒng)審計規(guī)范有利于指導信息系統(tǒng)審計人員在審計計劃�、審計實施、審計報告以及后續(xù)審計階段的審計行為�。同時,信息系統(tǒng)審計目前屬于非強制性審計的范疇,審計質量控制準則往往容易被忽視,而忽視審計質量控制準則的制定與在某種程度上會導致信息系統(tǒng)審計市場上“格雷欣法則”的出現(xiàn)�。因此,在信息系統(tǒng)審計規(guī)范體系中,不應忽視信息系統(tǒng)審計質量控制準則的制定與�。
三是在信息系統(tǒng)審計規(guī)范體系制定的過程中,應將信息系統(tǒng)審計規(guī)范應用的范圍擴展,不能僅僅服務于財務審計。如果僅僅服務于財務審計,則制定與的信息系統(tǒng)審計規(guī)范不能很好地服務于信息系統(tǒng)生命周期審計、軟硬件審計�、信息系統(tǒng)安全審計等其他信息系統(tǒng)審計活動�。
四是加強信息系統(tǒng)審計實踐案例的調查研究,從信息系統(tǒng)審計實踐中總結出一些典型信息系統(tǒng)審計案例,用以指導和規(guī)范信息系統(tǒng)審計人員的審計行為,防止信息系統(tǒng)審計實踐人員在從事信息系統(tǒng)審計活動時,陷入不知所措的境地�。
【參考文獻】
[1] 劉汝焯,任有泉.計算機審計情景案例選[M].清華大學出版社,2006.
第7篇
一.注冊會計師審計風險日趨增加的必然性
1.審計報告的公開化,使關注注冊會計師審計的群體增加;而公眾對審計的期望過大,依賴程度過高�,無形中增加了注冊會計師審計的審計風險�。
到目前為此�,我國的上市公司達1000多家,按照證監(jiān)會的有關規(guī)定,上市公司每年均應由注冊會計師進行年審�,并將審計報告在報刊上公布�。審計報告的公開化�,使越來越多的利益群體開始關注注冊會計師行業(yè),監(jiān)督他們的工作。同時,由于公眾對注冊會計師審計行為的性質�、審計報告的意義存在著誤解�,混淆了被審單位的會計責任和注冊會計師的審計責任;或者公眾對審計的期望值與審計實際所起的作用之間存在著差距�。因此,在現(xiàn)實生活中人們自然而然地、不或避免地將所有的過錯者推到注冊會計師身上,進而又使更多的群體不能滿意注冊會計師的審計工作或對他們的審計工作更為挑剔,這些無形中增加了注冊會計師審計的風險�。
2.法律界和會計界對審計責任的界定標準未能達成共識�、法庭多次出于保護弱小群體的目的而運用深口袋理論造成對注冊會計師的不利判決�,進一步加大了注冊會計師的審計風險�。
會計界認為,在一般情況下�,只要審計人員嚴格遵守專業(yè)標準的要求�,保持職業(yè)上應有的認真和謹慎�,通過實施適當的審計程序和審計方法,是能夠將會計重大的錯報事項揭示出來的�。但是�,由于審計的固有限制�,并不能保證將所有的錯報事項都提示出來,所以并不能苛求審計人員發(fā)現(xiàn)和揭示會計報表中的所有錯報事項�,因而也不能要求他們對于所有未查出的錯報事項都負責任�,關鍵在于未能查出的原因是否源于審計人員本身的過失�。如果由于審計人員的過失未能發(fā)現(xiàn)和揭示會計報表中的重大錯報,從而給委托單位和第三者造成了經濟損失�,注冊會計師則要承擔相應的法律責任�。而法律界與公眾則認為只要審計報告意見與被審單位的實際情況不符�,則應承擔法律責任。而且�,實際上法庭在受理對注冊會計師的訴訟時�,較傾向于保護所謂的弱小群體�,強調均衡損失,運用了深口袋理論(注:認為受傷害的一方可向有能力提供補償的另一方提出訴訟而不問過錯為誰)�。認為會計師事務所和注冊會計師盈利豐厚�,完全有理由從其豐厚的收入中拿出一小部分來穩(wěn)定受損方的情緒�,以安定團結,穩(wěn)定經濟�。法庭的這種判決�,使會計師事務所和注冊會計師無法擺脫不合理的風險困擾�。
3.知識經濟時代將對注冊會計師的審計工作提出不同于工業(yè)經濟時代的要求,這也必然會加大其審計風險�。
當前�,高新技術企業(yè)不斷地涌現(xiàn)出來�,高新技術企業(yè)一方面由于知識技術的創(chuàng)新而增加了企業(yè)的收益,但與此同時也加大了企業(yè)的經營風險�。另外�,知識經濟時代的審計目標將不再象工業(yè)經濟時代那樣僅僅局限于對企業(yè)會計報表發(fā)表審計意見�,而是在很大程度上借助于各種信息來預測企業(yè)盈利能力、償債能力�、持續(xù)經營能力等�,對審計人員提出了更高的要求�。因此,對高風險企業(yè)的審計必然為注冊會計師帶來更大風險�。
4.會計電算化的應用和網絡技術的發(fā)展�,與電算化審計的研究開發(fā)的相對滯后之間的矛盾�,為審計人員在計算機信息系統(tǒng)環(huán)境下的審計工作帶來了不同于傳統(tǒng)手工環(huán)境下的審計風險。
利用計算機信息系統(tǒng)處理企業(yè)的經濟業(yè)務具有數據處理過程自動化�、數據存儲磁性化�、內部控制程序化等特點�,會計信息的生成方式發(fā)生了改變。因此�,利用傳統(tǒng)的審計程序和方法對在計算機系統(tǒng)環(huán)境下生成的會計報表進行審計已經遠遠不夠�。審計人員除了對傳統(tǒng)的諸如會計報表�、賬冊憑證等審計對象進行審計外�,還應對計算機會計信息系統(tǒng)本身進行審計,即審查計算機內的程序和文件。只有開展計算機輔助審計�,才能對被審計的會計電算化系統(tǒng)作出客觀的�、公正的評價�。但是,目前審計電算化的研究才剛剛起步,相對滯后于會計電算化�。另外�,由于審計工作本身的不規(guī)范�,或者規(guī)范性的要求因未能得到重視而沒有很好地執(zhí)行,這也為開發(fā)研究計算機輔助審計軟件和應用計算機進行輔助審計帶來了難處。會計師事務所的審計人員對利用計算機信息系統(tǒng)處理經濟業(yè)務的企業(yè)進行審計時缺少計算機輔助審計環(huán)節(jié),將為他們的審計結論意見帶來難以預測的風險。二.降低注冊會計師審計風險的對策
1.分清被審單位的會計責任和注冊會計師的審計責任�。
對于注冊會計師審計日趨增大的風險�,筆者認為注冊會計師除了嚴格遵守專業(yè)標準和職業(yè)道德守則的要求�,保持職業(yè)上應有的認真和謹慎之外,還應注意通過分清企業(yè)會計責任和注冊會計師的審計責任來轉移本不屬于注冊會計師應承擔的會計責任。一方面�,注冊會計師在與客戶簽訂約定書時�,須寫明委托方對提供資料的完整性和真實性負責等內容�,并對全部審計業(yè)務均要求管理當局提交一份聲明書,以防止委托方提供虛假證據;或者在委托方提供虛假證據,而由于其舞弊技術的高明并加以精心的掩飾,審計人員即便采取了標準的審計程序和也沒能查出的情況下�,作為委托方應承擔會計責任的依據?,F(xiàn)在�,已經有越來越多的會計師事務所及注冊師對此給予了足夠的重視,關鍵在于怎樣才能使其內容嚴密�,不致于形同虛設�。另一方面�,會計師事務所、注冊會計師協(xié)會應從保護注冊會計師利益出發(fā)�,不斷地完善有關權利義務的法規(guī)�,不斷地與法律界溝通�,使法律界能夠認同審計責任的界定標準,幫助注冊會計師反擊那些毫無根據地擴大注冊會計師責任的訴訟�,進而影響公眾對區(qū)分會計責任和審計責任的理解和認同�。
2.建立保障制度�,增強會計師事務所和注冊會計師的風險承受能力�。
第8篇
論文摘要:企業(yè)內部會計控制是企業(yè)為了保護資產的完整�、安全,提高會計信息質量�,確保有關規(guī)章制度和法律法規(guī)及提高管理效率�,降低或避免風險�。本文通過對信息化背景下企業(yè)內部會計的現(xiàn)狀進行分析,針對存在的問題提出相應的解決措施�,對規(guī)范財務管理�,規(guī)避經營風險�,提高企業(yè)市場競爭力具有重要的意義。
隨著網絡通訊技術和計算機技術的快速發(fā)展�,企業(yè)的信息化對傳統(tǒng)財務監(jiān)控理論產生越來越大的影響�,對企業(yè)的經濟活動產生的影響也越來越大�,信息技術在企業(yè)財務會計工作中的廣泛應用,對企業(yè)信息化背景下的企業(yè)內部會計控制提出了新的要求�。
一�、 企業(yè)內部會計控制的現(xiàn)狀及概念
(一) 企業(yè)內部會計控制的含義
企業(yè)內部會計控制是指為了保護資產的完整�、安全�,提高會計信息質量,確保有關規(guī)章制度和法律法規(guī),提高經營管理效率�,降低或避免風險�,實現(xiàn)企業(yè)經營管理目標而制定和實施的一系列控制的措施�、程序和方法。企業(yè)內部會計控制內容主要包括實物資產、貨幣資金�、工程項目�、對外投資�、籌資、成本費用、付款與采購、銷售與收款、擔保等經濟業(yè)務的會計控制�。
(二) 企業(yè)內部會計控制的現(xiàn)狀
1.企業(yè)內部會計控制意識薄弱�,使得企業(yè)內部會計控制制度沒有得到很好地執(zhí)行
目前�,我國多數企業(yè)對健全企業(yè)內部會計控制沒有引起足夠的重視,認為企業(yè)內部會計控制是內部資產安全性控制制度、內部成本控制制度�,認為企業(yè)內部會計控制制度制約了企業(yè)的快速發(fā)展等�,認為企業(yè)內部會計控制制度就是制度�、文件和手冊;有的企業(yè)建立有企業(yè)內部會計控制制度,內容很不全面,往往流于形式�;有些企業(yè)在進行經濟業(yè)務處理的過程中�,往往以強調靈活性為由執(zhí)法不嚴�、有章不循,不按規(guī)定程序辦理使企業(yè)內部會計控制制度失去了嚴肅性和應有的剛性;建立企業(yè)內部會計控制制度就要耗費物力�、人力�,但是這種物力�、人力的耗費能否給企業(yè)帶來經濟效益很難確定,因此對建立企業(yè)內部會計控制制度缺乏主動性、積極性,在一定的程度上影響著企業(yè)內部會計控制制度。
2.企業(yè)會計信息系統(tǒng)影響著企業(yè)內部會計控制制度
隨著計算機信息技術的發(fā)展�,會計信息系統(tǒng)在企業(yè)在的發(fā)展和運用也越來越廣泛�。會計信息系統(tǒng)是財務信息和企業(yè)經營業(yè)務在計算機系統(tǒng)下的有機結合�。要使會計信息系統(tǒng)很好地運作,要求對信息系統(tǒng)的流程進行嚴格的控制,也要保證數據完整精確�,真實可靠�,它對現(xiàn)代企業(yè)內部會計控制制度具有重要的作用�。
信息系統(tǒng)在現(xiàn)代企業(yè)中的地位是不容忽視的,企業(yè)所有的經營與財務數據都會集中在信息系統(tǒng)中,有部分企業(yè)信息系統(tǒng)比較落后,有的沒有及時更新或升級�。企業(yè)的信息系統(tǒng)不夠全面�、安全�、先進,這樣就會給想進行財務舞弊的人員篡改或盜取數據提供了機會。
3.企業(yè)信息化對企業(yè)內部會計控制提出了新的要求
信息系統(tǒng)的實施能準確及時地反映出企業(yè)的經營成果和財務狀況�,也能反映出市場的變化等因素對企業(yè)的影響�。財務決策時所需要的信息要求是內容豐富�、及時高效,這樣依靠傳統(tǒng)的財務信息提供方式是很難滿足要求的。
財務人員是企業(yè)內部控制的主要執(zhí)行者�,企業(yè)內部控制的核心是人�。企業(yè)信息化對財務人員提出了新的要求�,對企業(yè)會計控制提出了新的挑戰(zhàn)。實施信息化的企業(yè)要突破傳統(tǒng)觀念,及時取得各種控制信息�,實現(xiàn)從事后監(jiān)控向實時連續(xù)監(jiān)控轉變�,對發(fā)生的變化及時做出反應�,并快速進行處理和糾正。
二、企業(yè)信息化背景下做好企業(yè)內部會計控制的應對措施
(一)增強企業(yè)管理層對企業(yè)內部會計控制重要性的認識
要加強對企業(yè)管理層和員工的宣傳和培訓工作�,使企業(yè)的所有人員了解企業(yè)內部會計控制的積極作用和基本原理,為實施企業(yè)內部會計控制營造好的社會環(huán)境和輿論氛圍�。需要培訓的人員不僅包括財會人員�,還應該包括單位負責人�,要使企業(yè)的負責人真正認識到建立內部會計控制制度是實現(xiàn)科學管理,建立現(xiàn)代企業(yè)制度的需要�,也是會計法的要求�,它對保護企業(yè)資產的完整�、安全,確保有關法規(guī)的執(zhí)行�,提高會計信息質量有著非常重要的意義�。
(二) 完善內部審計措施�,加強內部審計力度
隨著信息系統(tǒng)在企業(yè)中的應用,內部審計已經顯得非常重要�,內部審計在為改進內部控制制度提供建議�、對內部控制的狀況做出全面評價�、監(jiān)測公司內部控制制度的運轉、對這些內部控制的評價等方面有著非常重要的作用�。
企業(yè)要組織人員對信息化下的內部審計進行研究�,圍繞稅法�,結合實際,不斷改進內部會計控制工作�,進一步完善會計工作流程�,不斷完善和規(guī)范信息化下的內部會計控制制度�。
(三)減少工作環(huán)節(jié),簡化工作流程�,提高工作效率
信息化背景下�,公司應對數據處理的過程和方法�,信息系統(tǒng)的安全性的控制都必須加強規(guī)范,保持一定的相對穩(wěn)定性和準確性�。為了保證信息系統(tǒng)的安全性和及時性�,應當減少工作環(huán)節(jié)�,簡化業(yè)務工作流程,有利于內部會計控制�。通過減少業(yè)務工作流程�,能夠有效保證會計信息質量的及時性�,還可以使公司合理避稅。
(四)努力提高會計人員的技能
會計人員是計算機專業(yè)人員不可替代的�,是企業(yè)信息化系統(tǒng)的主人�,這就需要會計人員努力提高各種基本技能�。企業(yè)為了能更好地適應外部環(huán)境要不斷地進行流程升級,相應地企業(yè)內部會計控制也要進行相應地完善�。這就要求財務人員要積極地應用信息化系統(tǒng)知識�,為企業(yè)提供有遠見的�、可靠的信息參考。在信息化背景下�,財務人員要對業(yè)務流程進行實時財務監(jiān)控�,為企業(yè)領導層提供實時財務信息。
參考文獻
[1]樊榮.企業(yè)內部控制存在的問題及對策[J].經濟導刊�,2009(7)
第9篇
由于會計電算化是一項系統(tǒng)工程�,在發(fā)展過程中有許多工作要做�,有許多問題要及時解決,否則將嚴重阻礙我國會計電算化向更深層次的發(fā)展�。下面就當前我國會計電算化進程中必須重視和需要解決的幾個問題進行探討。
1目前我國會計電算化工作中存在的問題
1.1會計信息的完整性和可用性還不夠完善
1.1.1會計電算化未能站在企業(yè)管理信息化的高度進行研究�。因過分注意軟件的會計核算功能�,而輕視了財務管理和控制�、決策功能。會計軟件相對于傳統(tǒng)的思維方式�,模擬手工核算方法�,缺少管理功能�。財務系統(tǒng)大多以記賬憑證輸入開始,經過計算機處理�,完成記賬�、算賬�、報賬等工作,并局限在財務部門內部�。目前流通的會計核算軟件大多功能在提高財務信息系統(tǒng)的范疇�,只能完成事后記賬�、算賬、報賬以及提供初級管理功能�,不具有事前預測�、事中控制�、事后分析決策等管理會計功能。近年來雖然倡導發(fā)展管理型會計軟件�,但由于各種原因�,一般只從財務管理的要求出發(fā)�,未能達到較為理想的效果。
1.1.2會計信息系統(tǒng)與企業(yè)管理信息系統(tǒng)未能有機結合�。會計信息系統(tǒng)不僅與生產�、設備�、采購、銷售�、庫存�、運輸�、人事等子系統(tǒng)脫節(jié),而且會計軟件內部各子系統(tǒng)也只以轉賬憑證的方式聯(lián)系�。從而造成數據在內外子系統(tǒng)之間不能共享�,信息不能通暢�,既影響財務管理功能的發(fā)揮,又不能滿足企業(yè)對現(xiàn)代化管理的需要�。在綜合的企業(yè)管理信息系統(tǒng)中會計子系統(tǒng)應該從其他業(yè)務子系統(tǒng)獲取諸如成本�、折舊�、銷售、工資等原始數據�,提高數據采集效率和管理能力各業(yè)務子系統(tǒng)也應從財務子系統(tǒng)取得支持�,但由于各自獨立發(fā)展�,互相之間不能實現(xiàn)數據共享,往往一個子系統(tǒng)的打本論文由整理提供印輸出成了另一個子系統(tǒng)的鍵盤輸入�。許多商品化會計軟件在開發(fā)時�,沒有統(tǒng)一規(guī)劃�,而是采用單項開發(fā),再通過“轉賬憑證”的方式傳遞各種數據�,未能形成一個有機的整體�,各個核算模塊是彼此孤立的“孤島”�。
1.1.3會計信息系統(tǒng)仍然是個封閉式的系統(tǒng)。會計系統(tǒng)的開放性除了體現(xiàn)在企業(yè)內部各子系統(tǒng)之間的信息共享之外�,更體現(xiàn)在會計向外界披露信息的內容和方式上。但目前會計信息系統(tǒng)既不能通過Internet網絡向股東財務報表等綜合信息和明細信息,也不能通過網絡直接向稅務、財政、審計�、銀行等綜合管理部門提供信息�,更不能有選擇地披露相關的人事�、技術、設備以及股東所關心的其他信息�。此外�,普遍存在支持跨網集團的多方業(yè)務�,使財務信息資源的價值得不到充分利用。
1.2會計信息的保密性和安全性較差
會計電算化是建立在計算機網絡技術和安全技術等信息技術基礎之上的�,會計信息是以足夠的安全技術為保障�,以一定的計算機硬件支撐�。在相應的軟件管理下在網絡中流通、存儲和處理,并最終以人們需要的形式變現(xiàn)出來�。隨著計算機應用的擴大�,利用計算機進行貪污�、舞弊、詐騙等犯罪現(xiàn)象屢見不鮮。在會計電算化環(huán)境下,會計信息以各種數據文件的形式記錄在磁性存儲介質上�,這些存儲介質上的信息機器可讀形式存在的�,因此很容易被復制�、刪除、篡改,而不留下任何痕跡�。數據庫技術的高度集中�,未經授權的人員可以通過計算機和網絡瀏覽全部數據文件�,復制、偽造、銷毀企業(yè)重要的財務數據。可見會計電算化犯罪是一種高科技�、新技術下的新型犯罪�,具有很大的隱蔽性和危害性�,使會計信息安全風險大大增加。
1.3會計人員計算機操作業(yè)務素質較低
目前,不少單位的電算化人員是由過去的會計�、出納等經過短期培訓而來�,他們在使用微機處理業(yè)務的過程中往往很多是除了開機使用財務軟件之外�,對微機的軟硬件知識了解甚少,一旦微機出現(xiàn)故障或與平常見到的界面不同時,就束手無策,即使廠家在安裝會計軟件時都作了系統(tǒng)的培訓�,但一些從未接觸過計算機的會計人員入門還是很慢�,而且在上機時經常出現(xiàn)誤操作�,一旦出錯,可能就會使自己很長時間的工作成果付諸東流,使系統(tǒng)數據丟失�,嚴重的導致系統(tǒng)崩潰�,這種低素質的會計人員是不能勝任會計電算化工作的�。
2改進會計電算化工作的對策
2.1要解決人們對會計電算化的思想認識問題
我國電算化事業(yè)起步較晚,人們的思維觀念還未充分認識到電算化的意義及重要性。多數單位電算化都是應用于代替手工核算�,僅僅是從減輕會計人員負擔�、提高核算效率方面入手�,根本未認識到建立完整的會計信息系統(tǒng)對企業(yè)的重要性,使現(xiàn)有會計提供的信息不能及時、有效地為企業(yè)決策及管理服務�。
2.2要做好管理基礎工作�,尤其是會計基礎工作
管理基礎主要指有一套比較全面�、規(guī)范的管理制度和方法,以及較完整的規(guī)范化的數據;會計基礎工作主要指會計制度是否健全,核算規(guī)程是否規(guī)范,基礎數據是否準確、完整等,這是搞好電算化工作的重要保證�。因為計算機處理會計業(yè)務�,必須是事先設置好的處理方法�,因而要求會計數據輸入�、業(yè)務處理及有關制度都必須規(guī)范化�、標準化�,才能使電算化會計信息系統(tǒng)本論文由整理提供順利進行。沒有很好的基礎工作,電算化會計信息系統(tǒng)無法處理無規(guī)律�、不規(guī)范的會計數據�,電算化工作的開展將遇到重重困難�。管理人員的現(xiàn)代化管理意識,在整個企業(yè)管理現(xiàn)代化總體規(guī)劃的指導下做好會計電算化的長期、近期發(fā)展規(guī)劃和計劃并認真組織實施�,重新調整會計及整個企業(yè)的機構設置�、崗位分工�,建立一系列現(xiàn)代企業(yè)管理制度,提高企業(yè)管理要求。還要修改擴建機房�,選購�、安裝�、調試設備,自行開發(fā)或購買會計軟件,培訓會計電算化人員,進行系統(tǒng)的試運行等等工作�。以上所列的各項工作必須做好�,否則電算化會計系統(tǒng)將不能正常工作�,有損于會計電算化的整體效益并使其不能深入持久地開展下去,會計和企業(yè)管理現(xiàn)代化將無法實現(xiàn)。新晨
2.3要加強會計信息系統(tǒng)的安全性�、保密性
財務上的數據往往是企業(yè)的絕對秘密�,在很大程度上關系著企業(yè)的生存與發(fā)展�。但當前幾乎所有的軟件系統(tǒng)都在為完善會計功能和適應財務制度大傷腦筋,卻沒有幾家軟件公司認真研究過數據的保密問題。數據保密性、安全性差。為了對付日益猖獗的計算機犯罪�,國家應制定并實施計算機安全法律�,在全社會加強對計算機安全的宏觀控制�,政府主管部門還應進一步完善會計制度,對危害計算機安全的行為進行制裁,為計算機信息系統(tǒng)提供一個良好的社會環(huán)境�。對于重要的計算機系統(tǒng)應加電磁屏蔽�,以防止電磁輻射和干擾�。制定計算機機房管理規(guī)定,制定機房防火、防水、防盜�、防鼠的措施�,以及突發(fā)事件的應急對策等�。
必要的內部控制:在電腦網絡環(huán)境下,某些內部人員的惡意行為及工作人員的無意行為都可能造成會計信息的不安全性�,因此建立內部控制制度是必要的�。第一�,實行用戶權限分級授權管理,建立網絡環(huán)境下的會計信息崗位責任�。第二�,建立健全對病毒�、電腦黑客的安全防范措施。第三�,從電算化網絡軟件的設計入手�,增加軟件本身的限制功能�。第四,建立會計信息資料的備份制度,對重要的會計信息資料要實行多級備份�。第五�,強化審計線索制�。第六�,建立進入網絡環(huán)境的權限制。
增強網絡安全防范能力:網絡會計實現(xiàn)了會計信息資源的共享�,但同時也將自身暴露于風險之中�,這些風險主要來自泄密和網上黑客的攻擊等�。為了提高網絡會計信息系統(tǒng)的安全防范能力應采用一些措施,例如采用防火墻技術�、網絡防毒�、信息加密存儲通訊�、身份認證、授權等�。
加強數據的保密與保護:在進入系統(tǒng)時加一些諸如用戶口令�、聲音監(jiān)測�、指紋辨認等檢測手段和用戶權限設置等限制手段,另外還可以考慮硬件加密�、軟件加密或把系統(tǒng)作在芯片上加密等機器保密措施和專門的管理制度�,如專機專用�、專室專用等。加強磁介質載體本論文由整理提供檔案的管理:為確保檔案的真實性和可靠性�,實行紙質檔案和新型載體檔案雙套保管�,并逐漸向完全保管新型磁介質載體過渡�。
總之,我國會計改革已邁出了穩(wěn)健�、有序的步伐�,并取得了輝煌成就�。但是,由于會計屬于上層建筑范疇�,其在觀念�、理論�、方法等方面均應隨著客觀經濟環(huán)境的變化而不斷改革、發(fā)展和完善�。在網絡時代�,要使我國的會計電算化工作能夠健康的發(fā)展�,我們必須從理論上和實踐上進行認真的探討。21世紀的會計應該是一個以信息技術為中心的嶄新會計�,而不是一個修修補補的會計�。
參考文獻
[1]常劍峰.電算化會計信息系統(tǒng)的數據庫控制方本論文由整理提供法[J].中國會計電算化�,2003(11).
[2]張衛(wèi).網絡會計的信息安全與防范[J].市場周刊.商務,2004(12).
