时间:2023-03-02 15:12:09
导言:作为写作爱好者,不可错过为您精心挑选的10篇计算机审计系统,它们将为您的写作提供全新的视角,我们衷心期待您的阅读,并希望这些内容能为您提供灵感和参考。
本文拟通过两者的产生与发展、基本概
念与审计目标、适用准则与审计技术等
方面的比较,厘清两者的主要区别,以求
它们在我国取得并行不悖的发展。
一、两者的产生与发展过程比较
电子数据处理(Electronic Data Processing,EDP)审计早已存在。可以说,EDP 审计是计算机审计与IS 审计的前身与发展的基础。
(一)EDP 审计的产生与发展
EDP 审计不仅是指电子数据处理环
境下的审计,还包括对电子数据处理系统的
审计。F.Kanfuman(1961)、A.Pinkney
(1966)、T..W.Merae (1976)、Joseph
Sardinas (1987)、W.Thomas Poter 和
William E.Perry(1987)等学者都从不
同的角度对EDP 环境中内外部审计规则
和组成方法、EDP 审计的测试方法、特
殊审计技术、审计步骤等方面展开深入
研究。1968 年美国注册会计师协会
(AICPA)出版的《会计审计与计算机》一
书,详细阐述了在EDP 环境下如何开展
IS 审计和传统的外部审计。而作为信息
系统审计与控制协会(IASCA)的前身,
成立于1969 年的EDP 审计协会(EDPAA)
及其属下的EDP 审计师基金会
(EDPAF)25 年间一直使用EDP一词。至
今,EDP 审计与IS 审计仍有并驾齐驱之
势。例如,在Jack.J.Champlain所著的
《审计信息系统》(第2 版,2003) 一书
中,仍然将EDP 审计师与IS 审计师相
提并论。
从诸多文献资料分析,EDP 包含两
种含义,一为环境说;二为系统说。作环
境说,诚如国际审计准则15 指出:“为
了国际审计准则的目的,当一个单位对
与审计有重要意义的财务资料的处理,
包含有任何类型或大小的计算机时,就
存在着电子数据处理的环境”。面对这一
环境进行审计的审计师也就是EDP 审
计师。而作系统说,则更多是指计算机信
息系统,以该系统作为审计对象必然会
改变审计的总体目标和范围,因而也才
有应用而生的信息系统审计与控制协会
及其单独的审计标准、指南和程序,
以及由此产生的IS 审计师。
(二)计算机审计的产生与发展
有关计算机审计的研究,在国外参考
文献中并不少见。例如,Andrew D
Chambers(1984)、Javier F.Kuong(1987)
和S.Rao Vallabhaneni(1989)等学者,
均围绕计算机审计的安全与内部控制、相
关技术、内部控制的实施等加以论述。值
得注意的是,在各职业组织所的有
关标准、指南或程序中,却鲜有使用计算
机审计一词,如美国注册会计师协会
(AICPA) 的《计算机辅助审计》
(1978)和取代SAS No.3 号(1974)的
《审计标准说明书第48 号》(SAS.No.
48,1984),国际内部审计师协会20 世
纪70 年布的《系统控制与审计》,
加拿大执业会计师协会(CICA)两次发
布的《计算机控制和工作指南》
(1970,1986),以及加拿大审计标准委
员会颁布的《EDP环境下的审计———一
般原则》(1984)等等,也都较少采用“计
算机审计”一词。
在我国,有关计算机审计研究经久
不衰。在20 世纪80 年代,我国学者往
往将其与国外的EDP 审计相联系。例
如在对Poter 和Perry(1987)合著的
《EDP:Controlls And Auditing (第5
版)》翻译中,李大庆和乔勇等学者
(1990)就将其直接译为《计算机审计》。
我国学者潘晓江(1983)较早针对我国
会计电算化提出审计应采取的充分发
挥人在控制中的主导地位、注意实行数
据可靠性控制和注意保留必要的审计
线索三大措施。从20 世纪90 年代至
今,我国以“计算机审计”为题的研究
成果颇丰。据笔者不完全统计,这类教
材和专著已逾30 本,较早的作者有肖
泽忠(1990)、陈婉玲(1990)、李长旭
(1990)等。
我国审计机关无论是关于计算机应
用的规定,还是组织系统内有关专家进
行研究,也多以计算机审计为题加以进
行。例如,审计署1993 年的《审计
署关于计算机审计的暂行规定》和1996
年的《审计机关计算机辅助审计办
法》等。邱胜利和张玉(1990,1993)、董
化礼(2002)、刘汝焯(2004)、国家863
计划审计署课题组(2006)等,也都以计算机审计为题展开研究。
(三)IS 审计的产生与发展
对IS 审计贡献最大的莫过于国际
信息系统审计与控制协会(Information
System Audit and Control Association,
ISACA)。1994 年,ISACA 替代了
原有电子数据处理审计协会(EDPAA)
。至2008 年2 月止,该协会已经
了16 个审计标准、39 个审计指南
和11 个审计程序。而其于1996 年发
布的信息和相关技术控制目标(Control
Objective for information and
Related Technology,COBIT)已经成
为全球公认的、权威的信息技术控制目
标体系。同时,该协会每年还举办IS 审
计师资格考试,有力地推动了世界范围
内IS 审计的发展。
日本通产省于1983 年了《系
统审计标准》,并在全国软件水平考试中
增加“系统审计师”一级的考试。1985
年,日本内部审计师协会在其所的
《审计白皮书》中认为,内部审计师的最
新发展是“IS 审计”。另据IIA 对美国和
英国的调查,被调查企业中实施MIS 审
计的企业所占的比例各年分别为:1968
年48%,1975 年60%,1979 年65%。而
1983 年再对这两个国家1 687 个内部
审计部门的调查中显示,已有70.8%的
企业在进行MIS 审计。
由于我国从一开始就将电算化会计
信息系统确定为计算机审计对象,致使
人们将其等同于IS 审计的审计对象。同
时,学者们也往往将IS 审计与IT 审计
等同视之。如胡克瑾(2002)在其《IT 审
计》专著中指出,IT 审计是指对以计算
机为核心的信息系统的审计。李丹
(2003) 也认为,“信息系统审计也称为
IT 审计”。
(四)从国内研究现状看两者的发展
借助有关学术论文的统计数据,也
许可以发现我国学者对计算机审计与
IS 审计的研究偏好与倾向。笔者以“计
算机审计”、“信息系统审计”和“电算化
审计”作为关键词进行检索。采用“篇名
+ 年份+ 全部数据+ 全部期刊+ 精确
匹配”为检索条件,对中国期刊网的期刊
数据库各年进行检索,以下是检索结果
统计表(见表1)。
在表1 对29 年来统计
中,三种研究倾向的论文总数为696
篇,其中,有关计算机审计的研究论文占
了61.93%,而在近五年这一研究倾向
论文也高达219 篇,占近五年全部论文
总数的58.40%,无论处于哪一时间段,
研究计算机审计的论文占三种研究倾向
论文总数的比例均超过50%。而研究信
息系统审计的论文在2003 年及以前的
24 年中仅有44 篇,近五年则有101 篇,
其平均每年有20 篇,尤其是近三年更
呈递增趋势。但其各年所发表的论文数
均明显低于计算机审计研究倾向的论文
数。至于电算化审计研究方向,由于它与
计算机审计、信息系统审计两个研究方
向有重复之嫌,故近年来呈下降趋势,在
未来研究中它可能被计算机审计和信息
系统审计两个研究方向所替代。由表1
也同时看到,我国在继续对计算机审计
进行研究的同时,亟须加快对信息系统
审计的理论与实务研究。
二、两者的基本概念、审计目标与审
计内容比较
计算机审计与IS 审计的本质区别,
首先见之于基本概念、审计目标与审计
内容等三个方面。因此,了解两者在这三
个方面的区别与联系,有利于今后开展
相关理论研究与应用研究。
(一)基本概念的比较
1.计算机审计的基本概念。日本会
计检察院计算机中心认为,计算机审计
有两方面的含义,一是对计算机系统本
身的审计,包括系统安装、使用成本,系
统和数据、硬件和系统环境的审计;二是
计算机辅助审计,包括用计算机手段进
行传统审计用计算机建立一个审计数据
库,帮助专业部门进行审计。
我国学者对计算机审计的理解与上
述基本一致。肖泽忠(1990)认为:“计算
机审计是审计人员用手工的或电算化的
审计方法、技术和程序对电算化或手工
信息系统进行的审计”(以下简称为“二
方观”)。陈婉玲(1990)、刘志涛(1990)、詹航恩和张蒙生(1993)、李学柔和秦荣生(2002)也都表达相同的观点。李长旭(1990)则认为,计算机审计是针对会计核算电算化而言的,即凡是对实现会计核算电算化的企业进行的审计都可称为计算机审计(以下简称为“一方观”)。
综观国内外学者对计算机审计的诸
多论述,多数学者将计算机审计作为一
个广义的概念,认为计算机审计包括两
个方面,一是将计算机系统作为审计的
对象;二是将计算机作为审计的工具。
与计算机审计的基本概念相近的还
有“电算化审计”,它同样具有“二方观”
与“一方观”。朱荣恩和徐建新(1986)根
据英国《审计研究》(1982 年版)的资料
编译并发表题为“发展中的电算化审计”
中指出,电算化审计是“评价、控制会计
电算化信息系统”的审计。王军等
(1995)多数学者赞同这一观点。袁树民
等(1995)则持“二方观”,其基本概念与
计算机审计无异。
2.IS 审计的基本概念。IS 审计至今尚未形成统一的概念。Ron Weber 在《信息系统审计与控制》一书中指出,IS审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。日本通产省情报协会对IS 审计定义如下:“为了信息系统的安全、可靠与有效,由独立于审计对象的IS 审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向IS 审计对象的最高领导,提出问题与建议的一连串的活动”。而我国学者也普遍认为,IS 审计是由专业审计人员根据IS 审计准则及相关规定,对信息系统的计划、研发、实施,以及运行维护等各环节所进行的审计,以保证被审计信息系统安全、稳定和有效,同时,它还将根据审计结果对被审单位提出改进建议。
应当指出的是,在我国审计署和财
政部的诸多准则与通则中,“信息系
统”一词尚未达到统一规范的表述。例
如,审计署的《审计机关计算机辅
助审计办法》(1996),将信息化的信息
系统称为“计算机应用系统”,财政部
的《独立审计准则 20———计算机
信息系统环境下的审计》,则为“计算
机信息系统”,而《审计准则第1211 号
了解被审计单位及其环境并评估重大
错报风险》中则称之为“财务报告信息
系统”、“信息技术系统”、“信息系统”
和“自动化信息系统”等不同的用语。
在新《财务通则》第八章的信息管理
中,则将信息系统定义为:“财务业务
一体化信息处理系统,也称为财务管理
信息系统或者管理型财务软件”。尽管
我国对各类信息系统诸多的不同表述
有待统一,但它们都是指信息化的会计
信息系统则是毫无疑义的。
(二)审计目标与审计内容的比较
1.计算机审计的审计目标与审计内
容。国际审计准则(ISAs)第401 号《计
算机信息系统环境下的审计》(2004)指
出:“在计算机信息系统环境下,并不改
变审计的总体目标和范围”,我国的
《独立审计具体准则第 20 号———计算
机信息系统环境下的审计》(1999)也
指出:“注册会计师在计算机信息系统
环境下执行会计报表审计业务,应当
考虑其对审计的影响,但不改变审计
目的和范围”。鉴于我国对计算机审计
的“二方观”认识,其审计目标也包括
两个方面:一是具有提高执行经济业
务和会计信息处理的计算机系统的合
法性、正确性和安全性;二是加快审查
速度、扩大抽查范围、提高审计效率和
审计质量的双重目标( 陈婉玲,
2002)。与之相适应,计算机审计内容
也就相应包括两个方面:一是包括对
信息化会计信息系统的开发设计、数
据输入、处理和输出进行审计;二是加
快审计信息化的步伐,建立信息化的
审计网络体系。随着市场经济的迅速
发展,在国务院办公厅《关于利用计算
机信息系统开展审计工作有关问题的
通知》([2001]88 号)中也明显
指出,“简单地讲,计算机审计包括:对
计算机管理的数据进行检查;对管理
数据的计算机进行检查”。可见,计算
机审计的审计内容主要是面对数据
(会计数据等)的检查,而对管理数据
的计算机进行检查,则是借助于信息
系统鉴证以获取处理数据是否正确性
的判断。
2.IS 审计的审计目标与审计内容。
IS 审计目标比较明确,它是指对信息系
统的资产保护,信息系统的可用性、安全
性、完整性和有效性发表审计意见。由于
IS 审计的审计对象是被审单位的信息
系统,因此决定其审计内容包括:(1)信
息系统的管理、规划与组织;(2)信息
技术基础设施与操作实务;(3)资产的
保护;(4)灾难恢复与业务持续计划;
(5)应用系统开发、获得、实施与维护;
(6)业务流程评价与风险管理。上述诸
多的审计内容,以及日益纷繁复杂的信
息系统,也迫使我们在IS 审计之际不能
不采用单独的审计准则体系和更多的计
算机辅助审计技术。
三、两者适用准则及采用技术比较
由于计算机审计与IS 审计的审计
目标、审计内容的不同,决定了前者面向
数据审计的特点与后者面向系统审计的
特点,由此也就使各自的审计准则和审
计技术各不相同。
(一)适用准则的比较
如上所述,计算机审计目标与内容
决定其相关准则的多维性。这可以从国
际审计准则15、16 和20 等内容加以了
解。这些相关规定大多提及EDP 环境,
虽然也不免涉及系统审计,但却主要是
针对财务报表等资料加以规定的。同时,
它们也并非专门针对IS 审计。我国的审
计署、中注协、国务院办公厅从1993 年
至2007 年,陆续诸多与计算机技
术应用有关的规定,究其实质,也都侧重
于财务会计数据审计而非单独针对IS
审计的。
与计算机审计的上述规范相比,IS
审计内涵、审计准则、职业组织、执业主
体等则十分明确。以审计标准为例,截至
2008 年2 月,国际信息系统审计与控制
协会已16 个审计标准,包括审计
章程、审计独立性、职业道德和标准、职
业能力、审计计划、审计工作的执行、审
计报告、后续工作、违规和非法行为、信
息技术管理、审计计划中风险评估的应
用、审计实质性、使用其他审计专家的工
作成果、审计证据、信息技术控制、电子
商务等。可喜的是,我国内部审计协会发
布并于2009 年1 月1 日施行的《内部
审计具体准则第 28 号———信息系统审
计》围绕总则、一般原则、审计计划、信息
技术风险评估、信息系统审计的内容、信
息系统审计的方法、审计报告与后续工
作等方面对内部审计中的信息系统审计
加以规定。虽然这一具体准则与国际信
息系统审计与控制协会已的审计标
准尚有一定的距离,但它毕竟首开我国
信息系统审计准则制定之先河。以下是
国内外已的计算机审计与IS 审计
相关准则体系的比较(见表2)。
(二)采用的审计技术与工具比较
从当前相关文献来看,有关计算机
审计技术介绍比较宽泛,而有关IS 审计
技术则有针对性强的特点。笔者认为,从
信息与信息系统的“产品”与“生产工厂”
的关系看,两者在审计过程中是紧密联
系的。只有当产生信息的系统本身具有
可靠性时,审计师才能初步确信该系统
产生信息的可靠性。而为了鉴证系统的
可靠性,IS 审计师往往通过检测被审系
统输入、处理与输出数据与信息来加以鉴证,其有效性不言而喻。鉴于计算机审计与IS 审计两者的审计目标的不同,两者采用审计技术与工具也就有所不同。
以下是笔者根据国内、外有关文献对两
者采用技术与工具的归纳:
1.两者共同采用的技术与工具。主
要有:测试数据法、追踪法、综合测试工
具(ITF)、平行模拟法、嵌入审计模块法、
流程图检查法、审计软件法、程序编码审
查法、程序比较法等。
2.两者各自采用不同的技术与工
具。其中,计算机审计技术主要有:受控
处理法、受控再处理法、漏洞扫描与入侵
检测、利用数据管理系统辅助法、利用操
作系统和实用程序法、利用被审系统辅
助法和利用电子表格辅助法等。IS 审计
技术主要有:基本案例评估法、系统控制
审计复核文件(SCARF)、快照法、审计
钩(hooks)、连续与间歇模拟(CIS)、延
展性记录法等。
四、结论
计算机审计与IS 审计无论是其产
生与发展,还是其基本概念、审计目标、
审计内容,抑或是其适用准则与采用的
审计技术,都有着很大的区别。但两者
在我国审计发展过程中却有其特定的
地位与作用。以信息化会计系统的财
务数据为审计对象的计算机审计,在当
前广泛开展财务报表审计过程中对其
展开研究仍然有着重要意义。同时,它
所强调的审计信息化建设使其“二方
观”能够进一步发扬光大。可以预见,
随着环境的变化与信息技术应用的深
入,计算机审计的内涵与外延也必将
得以深入与拓展。
成功地开展我国的IS 审计,是我国
审计走向世界的必由之路。上市公司根
据COBIT 框架实施内部控制已是大势
所趋,大、中型企业也必然紧随其后,由
此也就决定了IS 审计的势在必行。透过
IS 审计师资格考试的内容使我们看到
了IS 审计对知识与技术要求的高难度,
尤其是近年来对某些企业单位的IS 审
计之实践更使我们感到任重而道远。因
此,起步伊始的我国IS 审计,倘一开始
就能够借鉴国外先进的经验,追踪国际
惯例,并针对国情提出自己的发展对策,
无疑可以健康发展。
计算机审计与IS 审计两者绝非泾
渭分明,而两者究竟应当遵循哪些审计
准则,是近期内我国应当重点研究的问
题。诚然,从技术的角度看,国际IS 审计
标准、指南和程序已经日臻完整和成熟,
我国似无另起炉灶之必要,但由于我国
企业单位种类繁多,许多内外环境与国
外迥然不同,如果没有切合国情的部门
规章和规范性文件对IS 审计加以指
导,则可能欲速不达。因此,应当结合
我国IS 审计的现实状况,根据实践经
验、具体业务流程和技术方法分期发
布相应规章与规范性文件,逐步规范
我国的IS 审计。
【参考文献】
[1] Jack J.Champlain:Auditing InformationSystems,2sted,John Wiley &Sons,Inc.2003.
[2] 张德明,译.国际审计准则[M].大
连:东北财经大学出版社,1990.
[3][美]W.Thomas Poter,等著.计算机
审计[M].李大庆等,译.北京:中国
财政经济出版社,1990.
[4] 潘晓江.电子计算机审计与数据可靠
性控制—会计电算化之后现代审计
的对策[J].会计研究,1983(5)、(6).
[5] 王光远.管理审计理论[M].北京:中
国人民大学出版社,1996.
在计算的使用中,各行各业的应用在不断的扩展,然而对于审计来说:在计算机的应用中,改变了审计工作的范围、审计的环境以及审计的对象。在不同程度降低了审计工作中的风险,并且提升了审计的效率,因此这些要求就需要更进一步的提高审计工作在计算机中的应用。但是在计算机系统中,由于各方面的使用状况比较复杂,这就造成单一的计算机不能够满足审计工作的应用,因此,为了更好的实现计算机在审计中的应用目标,更完善的完成计算机审核的技术,这就需要对计算机信息系统审计进行进一步的探索,发展计算机的应用领域。
一、计算机系统数据的测试
在计算机的工作中,审计人员在对数据进行测试的时候,就会将一些有效的数据以及无效的数据编制在计算机的系统中,而这些数据就会在处理之后被录入到计算机的系统中,最终由计算机确定后在输出结果。当计算机输出结果之后,审计人员就可以根据具体的数据进行详细的对比,若计算机输出的数据与人工计算的结果不一致时,这就需要审计人员要查找原因。
在计算机系统数据的测试中,数据测试是计算机进行审计的最原始步骤,审计人员可以根据计算机输出的数据进行研究,来根据这些判定的数据确定该计算机运行的系统是否可行。在计算机系统中,数据测试技术被审计人员以及计算机的程序开发者广泛的应用,能够在测试计算机数据测试中来确定计算机输入事项中的程序、逻辑以及计算机的具体计算方式。该计算机数据的测试还能够确定计算机的准确性。一般情况下,在计算机的运行中,审计人员将这项数据测试的技术用来测试相关的利息以及折算方面额定问题。在计算机数据测试的系统中,最关键的是在审计的过程中,按照计算机现有的程序能够正常的运行。
二、测试数据进行整合
当计算机数据在测试的过程中,它主要的涉及计算机系统中的主文档,完成数据的测试以及虚拟光驱的创建,然而这些计算机的应用都是在计算机进行整合的过程中进行的,该项程序在审计工作中十分的重要,它能够保证每一个运行的数据和被检查的程序都是完全一致地 。在计算机数据测试的过程中,将计算机内置的编码来确定计算机测试数据,这种计算机的应用是在人工进行具体操作的,在开始就要设置好相应的程序。因此在计算机数据测试整合中,完成审计工作有着重要的作用,它能够将实际的数据以及测试的数据同时进行,这样就能够保证测试工具的整合在顺利的环境中从常规的结果中脱离出来,该项程序需要制定详细的审核计划。但是在进行数据整合的过程中,就需要将计算机工具整合这项技术进行详细的规划,在最小的花费中进行。由于计算机整合系统在逐渐的更新,因此为了更高程度的开发系统,则需要在成本上大大的降低,并且要提高系统整合的质量。
三、计算机并行模拟
在计算机信息系统审计工作中,计算机测试工具整合以及数据测试都是对测试数据进行具体处理的过程。但是在并行模拟系统中,它能够用审计的程序来处理这些真实的数据,并行模拟的正常输出已经达到了控制的目的。因此在计算机审计的系统中,最关心的是测试的数量,它的测试程序以及审计程序都是被用来处理这些数据的。在计算机进行数据并行模拟中,能够允许综合的检验,但是它更适合与交易的审计场合。在并行模拟中,计算机使用的程序都是审计的通用程序,运用并行模拟能够处理计算机系统中的数据,这其中产生的审计程序有着同样的输出结果,这些生产的结果在进行一样的数据处理中,能够将结果进行进一步的比较分析。
四、计算机常用的审计软件
计算机常用的审计软件有:计算机通用审计软件、计算机电脑软件、计算机智能软件,其中,通用的审计软件主要的内容有:它是为了帮助信息技术在审核计算中合理的利用而专门设计的一种软件。通用软件最初是在公共的会计事务所应用的。这种计算机软件时为了那些没有计算机专业知识的人员设计的程序,该软件能够完成选择数据的样本、查找文档、计算结果、检查异常项目等相关的审计工作,在通用软件工作状态中,它能够将设计人员常用的特殊功能与之相结合,能够为计算机提供进一步的应用;而计算机电脑软件在审计工作中额表现是:由于电脑软件的价格比较优惠,并且在应用的过程中,软件在逐渐的增加,它自身的功能就为审计的管理工作提供更广泛的软件平台。;在计算机智能软件中,由于在审计人员的工作中,常常会用到人工智能软件进行审计操作,在工作中,人工智能软件能够配合审计人员评估风险,及时的将数据以及相关的软件反应给审计工作人员,以便做出及时的调查。其中在人工智能软件中主要的包含着两种软件类型:神经网络系统以及专家系统。神经网络系统主要的是对模型进行识别,它能够将那些不规则的账户及时的标注出来,以便审计工作的正常进行;而专家系统是靠决策规则进行的,它能够顺利的在审计人员的控制下进行,并且审计人员可以借助于专家系统来改变它的决策规则,这些工作就方便了审计人员在工作中的程序,提高了审核的准确性。
五、总结
本文结合计算机信息系统的应用,在通过计算机系统数据的测试,计算机进行测试数据的整合以及计算机并行模式的运用中,进行具体的分析,最终结合计算机审计系统中的应用软件具体的介绍,有助于审计人员能够更加准确的应用计算机系统程序,提高审计数据的精确程度,在此基础上还需要不断的更新计算机的应用软件,加大在审计工作中的应用,为我国审计工作提高更有效的信息软件应用。
计算机技术在各行各业广泛运用,信息传输数字化,信息交流全球化,信息技术应用普及化,使得以审查会计帐册和相关经济活动资料的主要审计方式的审计职业遇到了前所未有的挑战,审计人员不掌握计算机技术,将会失去审计的资格。我国审计署制定了《2004——2007年审计信息化发展规划》勾画了今后四年审计信息化建设的蓝图。因此,积极探索信息化环境下新的审计方式将成为我国今后几年审计工作需做好的基础工作之一。目前国内关于信息系统审计的研究主要还是集中在对概念,特点,影响等方面的总体性分析以及对于信息化环境下内部控制、审计风险及具体的技术解决方式上的探讨,而关于信息系统审计准则的研究相对较少,而准则的重要性又是显而易见的,它是信息系统审计长足发展的准绳和依据,有利于规范审计工作,提高审计质量。因此对于信息系统审计准则的研究有其必要性和迫切性,应当被提到议事日程上来。本文想通过对国内外现有的计算机信息系统审计准则的综述,谈一些自己的粗浅看法,以启发相关准则的制订。
IAPC关于计算机信息系统审计准则的分析
国际审计实务委员会(IAPC)对计算机信息系统环境下的审计的研究较早,先后了一系列的相关准则。到目前为止颁布了六个有关计算机信息系统环境下审计内容的国际审计准则。它们分别就单机、联机和数据库系统下的电子数据处理环境对会计制度和有关内部控制的研究和评价产生的影响作出补充规定。下面就其内容做一汇总介绍:
(一)《计算机环境下的审计》。该准则明确了在计算机信息系统环境下审计的目的与范围,技术与能力的要求,审计计划的考虑,内部控制研究、评价及风险评估的影响,制定与实施审计程序应关注的方面等。该准则只是为在计算机信息系统环境下的审计制定一般原则和指导,其他五个准则或实务公告均为该准则的补充或扩展。
计算机信息系统环境下的审计,审计人员应当对约定计划中的计算机硬件、软件和处理系统有充分的了解,并且要了解计算机信息系统对内部控制的研究与评价以及对审计程序的影响,包括计算机辅助审计技术。审计人员还应当对执行审计程序的计算机信息系统处理有足够的知识,这将视所采用的具体的审计方法而定
(二)其他五个准则或实务公告。
1、《风险评估和内部控制——计算机信息系统环境特征和考虑因素》。该实务公告是第一项准则的补充。该公告明确了计算机信息系统环境的特征,计算机信息系统环境下内部控制的内容及评价方法。审计人员应当收集与审计计划有关的计算机信息系统环境的资料,包括计算机信息系统的功能情况以及计算机处理的集中或分布程度、使用的计算机硬件和软件、数据重置情况等。审计人员在编制全面计划时,应当考虑下列事项:在对内部控制的全面评价中确定对计算机信息系统控制的可信赖程度;制定关于怎样、何处与何时检查计算机信息系统功能的计划;制定关于利用计算机辅助审计技术进行的审计程序计划。
2、《计算机信息系统环境——独立微型计算机》。该实务公告为第一项准则的补充,其明确了微型计算机系统及其特征、在微型计算机环境下的内部控制、微型计算机环境对审计程序的影响等。该准则指出微机对会计制度的影响和有关的风险一般将由下列情况而定:微机使用于会计应用处理的范围;被处理的财务业务的类型和重要性;应用中运用的文件和程序性质。微机环境下的内部控制应当包括:管理部门对操作微型计算机的规定和控制;程序和数据安全;软件和数据的完整性控制;硬件、软件和数据备份控制。
3、《计算机信息系统环境——联机计算机系统》。该实务公告为第一项准则的补充,其明确了联机计算机系统及其特征、在联机计算机环境下的内部控制、联机计算机环境对审计程序的影响等。并强调某些一般控制程序对联机处理特别重要,包括存取控制、控制方面的口令、系统开发和维护控制、程序编制以及业务记录控制。同时,对联机处理特别重要的应用控制包括:处理前的适当授权,终端设备编辑。合理性和其他确认测试、截止测试、文件控制、余额控制。联机环境对会计制度的影响及其相关联的风险,一般是联机系统用于会计应用处理的范围、财务业务类型和重要性、使用应用文件和程序性质。
4、《计算机信息系统环境——数据库系统》。该实务公告为第一项准则的补充。其明确了数据库系统及其特征,在数据库系统下的内部控制,数据库环境对审计程序的影响等。具体分两部分,一部分是控制标准,另一部分则是实现控制标准的具体审计程序。明确了只有内部的员工可以接触数据库,数据库使用人员有权进行修改,删除,索引,插入,参考,选择和更新的操作,为了不影响基础表格中的数据,删除、插入和更新的操作应受到限制。不同的使用者只能执行跟他们工作职能相关的某些操作,基础表格不应被改动,数据库操作须密码控制。数据库殊帐户的存取应该受到限制,数据库系统表格的操作许可指令不应被修改,应用表格不应该在系统表格空间创建等。
5、《计算机辅助审计技术》。该准则为第一项准则的扩展,其明确了审计软件和测试数据两种辅助审计技术、利用计算机辅助审计技术的范围及需要考虑的因素、注册会计师在计算机辅助审计技术应用中的主要工作和控制手段等。如在运用制度遵守性和数据真实性程序中缺少输入文件和缺乏可见的审计踪迹时;通过利用计算机辅助审计技术可以改进审计程序的效果和效率。计算机辅助审计技术有多种,国际审计准则说明其中的两种:用于审计目的的审计软件和数据测试技术,审计软件可以作为审计程序的一部分,以处理来源于单位会计制度的重要审计数据。数据测试技术是用在执行审计程序时将数据进入单位的计算机系统,并将获得的结果同预定的结果相比较。在编制审计计划时,审计人员应当考虑手工和计算机辅助审计技术适当结合,在确定是否利用计算机辅助审计技术时,需要考虑:审计人员的计算机知识、专门技术和经验;计算机辅助审计技术的可用性和合适的计算机设备;无法实行手工测试;效果与效率;时间因素等。
我国关于计算机信息系统审计准则相关内容分析
(一)审计署于1996年12月颁布的《审计机关计算机辅助审计办法》是我国最早的关于计算机辅助审计的准则文件。该办法首先明确了计算机辅助审计的含义及所包括的内容。其可用于审计业务所需法律、法规的辅助检索;对被审计单位财务报表的辅助分析;对被审计单位的计算机应用系统进行符合性检验;分析审计风险和确定审计范围;对被审计单位的财政、财务收支进行检查;形成审计工作底稿;形成审计报告、审计意见书和审计决定;对审计资料的管理;对审计项目计划的管理;对审计档案的管理;对审计业务的综合、统计和分析等;同时对承担该类审计业务的人员资格及业务素质、利用专家工作做了规定。明确了被审计单位及审计机关、审计人员在信息系统审计中应承担的义务。
(二)中国注册会计师协会于1999年2月颁布的《独立审计具体准则第20号—计算机信息系统环境下的审计》。它指出了在计算机信息系统环境下审计的一般原则、计划、内部控制研究、评价与风险评估和审计程序。在一般原则中明确了计算机信息系统环境下不应改变审计的目的和范围,注册会计师应考虑计算机信息系统对被审计单位会计信息和内部控制的影响,并有效地计划、指导、监督和复核审计工作,同时提及了合理利用专家工作。在制定审计计划时,注册会计师应充分了解被审计的单位的计算机信息系统环境以及该环境下的内部控制,并考虑其对固有风险和控制风险评估的影响。在对内部控制研究、评价与风险评估中,应充分考虑计算机信息系统的特征。该准则将审计程序分为:手工审计方式、计算机辅助审计方式以及两者结合审计方式三大类,并在实施审计程序时,应充分考虑计算机信息系统环境对审计测试的性质、时间和范围可能产生的影响,以将审计风险降低至可接受的水平。
(三)国务院办公厅于2001年11月16日颁布的《关于利用计算机信息系统开展审计工作有关问题的通知》(88号文),明确审计机关有权检查被审计单位运用计算机管理财政收支、财务收支的信息系统;并规定被审计单位的计算机信息系统应当具备符合国家标准或者行业标准的数据接口,已投入使用的计算机信息系统没有设置符合标准的数据接口的,被审计单位应将审计机关要求的数据转换成能够读取的格式输出;被审计单位应当视同纸质会计凭证、会计账簿、会计报表和其他会计资料以及有关经济活动资料保存期限的规定,保存计算机信息系统处理的电子数据,在规定期限内不得覆盖、删除或者销毁;审计机关对被审计单位电子数据真实性产生疑问时,可以对计算机信息系统进行测试,测试计算机信息系统时,审计人员应当提出测试方案,监督被审计单位操作人员按照方案的要求进行测试;审计机关应积极稳妥地探索网络远程审计;审计人员应当严格执行审计准则,在审计过程中,不得对被审计单位计算机信息系统造成损害,并对知悉的国家秘密和商业秘密负有保密的义务。
三、我国计算机信息系统审计准则的差距
(一)观念障碍导致对准则的需求和供给的明显不足。就目前我国的情况来看,计算机审计呈现出“上热下冷中间无力”的无奈局面。在民众中存在着思想误区。一是无所谓的思想,他们对计算机审计的意义和作用认识不足,认为是一些没有实际意义的形象工程。二是畏难情绪,认为计算机审计深不可测,高不可攀,一下子难以到位,而且被审计单位信息化程度参差不齐,认为手工的传统审计还是占主导地位。三是认为计算机“万能”,认为被审计单位的电子数据只要转换到审计软件中来,就能发现问题,从而导致急功近利,贪大求全。
(二)准则制定缺乏系统性和结构性。我国的计算机信息系统审计准则既有审计署和国务院办公厅的,又有中国注册会计师协会颁布的。而且只有一般性原则和指导,缺乏具体的实务公告和实施指南。仅有的《计算机辅助审计办法》只是涵盖了审计工作的极小一部分,针对我国目前审计实务界的现状,广泛采用的仍旧是依靠系统打印出来的数据进行手工审计,即绕过计算机审计,如何对其进行规范,如何进行审计则还没有相应的准则。而国际审计实务委员会颁布的有关计算机信息系统环境下的审计准则,既有一般性的原则和指导,又有具体的准则和实务公告。从独立微机,到联机系统,再到数据库系统的审计,还有计算机辅助审计技术。内容比较全面系统,结构性较强。
(三)准则未考虑对计算机审计人员的素质要求以及合适的审计人员:IAPC规定了审计人员应当对约定计划中的计算机硬件、软件和处理系统有充分的了解,并且要了解计算机信息系统对内部控制的研究与评价以及对审计程序有怎样的影响,包括计算机辅助审计技术。审计人员还应当对执行审计程序的计算机信息系统处理有足够的知识。同时在《计算机辅助审计技术》中明确了注册会计师应做的工作及控制手段等。国外的注册会计师队伍发展相当成熟,人员素质相对较高,无论是独立性,还是科学性和客观性都是计算机信息系统审计的不二人选。而我国的计算机审计工作具体是由注册会计师来承担,还是由政府审计部门承担尚无统一的说法。翻阅近十年的注册会计师考试试卷,均没有涉及计算机审计的相关内容,足见还没有将计算机水平提高到评价注册会计师执业能力的高度。而且对于信息系统环境下审计师虚具备哪些基本素质以及如何提高完善都还没有以准则的形式加以明确。
(四)准则对计算机审计技术标准关注不足。在IAPC颁布的相关准则中,不论是独立微机,还是联机系统,或者是数据库系统,还是计算机辅助审计技术,都对技术解决问题做出了具体规定。如存取控制、口令密码,数据备份,数据测试技术和审计软件等。而我国在有关准则中并没有考虑有关的技术标准,只是在《计算机辅助审计办法》中浅层次地提到了对商业审计软件的测评及明确应用范围。同时也稍微强调了一些数据接口及数据转换问题。远远无法满足审计实务界的需求。
构建我国计算机审计准则的建议
(一)统一计算机审计工作的管理体制。中国注册会计师经过近20年的发展,从总体上看,在审计理念和实践方面都有了长足的进步,但由于注册会计师在其发展过程中,因资格取得方式、参加后续教育、审计实践的多少以及部分注册会计师的观念仍受计划经济模式的影响等方面的原因,形成了注册会计师水平参差不齐。而审计署作为国家直属机关,是国务院的组成部分,在国务院总理的领导下,主管全国的审计工作。在政策、资金、人员上都显示了明显的优势。因此建议考虑由国家审计署来根据国情制定一系列的计算机审计准则,并在具体执行计算机审计工作中不断完善准则。
(二)制定计算机审计人员的技能准则。这里包括计算机审计人员应有的资格和能力、技能以及他们的后续教育等等,均可以在该准则中明确。一个胜任的计算机审计人员不仅要具备传统的审计技能,还要具备丰富的计算机软、硬件知识,还要能制定相应的审计程序,运用计算机进行审计。对于计算机审计人员的后续教育问题,可以通过以下途径加以解决:①加大培训力度,将普及性培训与专业应用培训和专家培训相结合。②可以在注册会计师考试中增加《计算机与网络审计》这一门课程,将计算机水平作为评价注册会计师执业能力之一。③可以考虑在高校的审计专业中开设有关计算机审计的课程或另开计算机审计专业,直接培养信息系统审计相关人才。对于该问题可另设专题研究,本文就不再详细展开。
(三)应包含计算机审计的技术标准。如就软件层次,建议在准则中明确以下内容:①计算机处理中要留下审计底稿的轨迹。由于审计人员在操作中希望计算机产生的结果与他们手工编制的底稿相差不大,能与手工审计底稿共存,这样便于审计人员分析。同时也便于审计内部复核和外部检查人员的认可。②计算机操作模式。要具有多面性,根据实际条件,在审计作业现场,计算机操作模式应做到既单机操作,又能进行网络操作。③软件要具有兼容性,虽然计算机辅助审计软件本身自成系统,但是应考虑与办公自动化兼容,吸收办公软件中简易、灵活、方便、排版性强等特点,加大软件适用范围。④软件电子数据导入接口。由于目前我国计算机辅助审计有两种操作方法,一种是单机审计式操作,数据为手工输入法;一种是网络审计式操作,即电子数据直接导入,在开发中应考虑同时满足两种需要。⑤软件处理内容的通用性,软件在设计过程中,应尽量考虑处理审计工作底稿的共性部分,不宜面面俱到,避免产生负面影响。参照IAPC做法,我们可以颁布类似于《计算机信息系统环境——数据库系统》,《计算机辅助审计技术》等的系列准则,以丰富和完善我国的计算机审计准则体系。从而解决审计实务与审计准则的矛盾差距,使得准则能真正起到指导实践的作用。
参考文献:
[1]陈婉玲 《我国计算机审计的现状与发展对策分析》《广东审计》 2003/3
[2]柳岸青、管亚梅 《试析中外计算机信息系统环境下审计准则差异》《商业会计》2003/4
[3]刘中华、孔 龙《国际审计准则对计算机审计及内部控制技术的揭示》《兰州大学学报》 1998/2
[4]王景东 《财政审计的深化:信息系统审计》 《中国审计》 2003/5
[5]杨传君 《谈辅助审计软件的通用性和实用性》 《中国内部审计》 2001/4
[6]陈婉玲、韦沛文 《网络经营与网络财会条件下的审计初探》《会计研究》 2003
一、计算机会计系统内部审计的特点
计算机会计系统内部审计的特点,首先是审计的系统性,要对数据、硬件、软件等各种要素进行系统的分析和检查,才能确定输出结果的正确性,作出可靠的审计结论。第二是审计的复杂性,这是由被审系统数据处理方式、数据贮存方式、系统控制方式、应用系统和电子计算机辅助审计技术的多样性和复杂性所决定的。第三是审计资料的隐蔽性、敏感性和易逝性,这是由于审计线索主要以两种形式存在:一种是肉眼可以看见的审计线索,如输入的原始凭证、记账凭证等原始文件、打印出来的会计账簿、会计报表等;另一种是肉眼看不见的,如存储在软盘或硬盘上的会计数据库资料等。第四是审计的运行性,即在不断运行的系统中进行审计和监督。
二、计算机会计系统内部审计的内容
内部审计可以从硬件和软件的系统控制和实质性审查两个方面来进行审计。
l、内控制度的审计。对内部控制制度的审查与评价,既是审计的基础,又是审计的前提。从实施的角度来看,内部控制有些是通过程序来实施的,有些则是通过制度约束来实现的。通过程序的设计和运行来实施控制的“程序化”控制,和通过建立管理工作制度来完成控制的“制度化”控制,必须通过内部审计来确保其实施,才能使计算机会计系统的安全、可靠和稳定得到双重保险。在电算化条件下,虽然仍要审查传统审计的一些内容,但重点主要在于系统软硬件及数据的内部控制。
内部审计人员应在本单位以上各方面制度的制定过程中,积极发挥参谋作用,并在以上制度的实施过程中,定期审计或突击检查,查找内部控制的弱点,提出改进措施,使制定的内部控制制度得以执行,以保证会计数据的安全性、有效性、完整性和准确性。
2、实质性审计。在手工条件下,审计主要是对书面资料进行审查。在电算化条件下,会计核算由计算机在程序的控制下完成,除了审查输入和输出数据,还要审查电子计算机程序和贮存在机内的数据文件。因此审计工作重点转移至对会计软件合法性、正确性的审查和对机内数据文件的审计方面。
三、计算机会计系统内部审计的方法
针对电算化会计系统审计的特点,结合本系统的工作实际,我们已由以前的“绕过计算机”的审计方法,转向在计算机辅助审计的基础上进行“通过计算机”的审计方法:计算机技术和经济管理的结合,极大地提高了管理工作的现代化水平。其中发展最快、应用效果最显著的,是计算机在会计工作中的应用。
随着会计电器化的广泛应用,传统内部审计面临着新的挑战,从而出现了电算化会计系统的内部审计。
一、计算机会计系统内部审计的特点
计算机会计系统内部审计的特点,首先是审计的系统性,要对数据、硬件、软件等各种要素进行系统的分析和检查,才能确定输出结果的正确性,作出可靠的审计结论。第二是审计的复杂性,这是由被审系统数据处理方式、数据贮存方式、系统控制方式、应用系统和电子计算机辅助审计技术的多样性和复杂性所决定的。第三是审计资料的隐蔽性、敏感性和易逝性,这是由于审计线索主要以两种形式存在:一种是肉眼可以看见的审计线索,如输入的原始凭证、记账凭证等原始文件、打印出来的会计账簿、会计报表等;另一种是肉眼看不见的,如存储在软盘或硬盘上的会计数据库资料等。第四是审计的运行性,即在不断运行的系统中进行审计和监督。
二、计算机会计系统内部审计的内容
内部审计可以从硬件和软件的系统控制和实质性审查两个方面来进行审计。
l、内控制度的审计。对内部控制制度的审查与评价,既是审计的基础,又是审计的前提。从实施的角度来看,内部控制有些是通过程序来实施的,有些则是通过制度约束来实现的。通过程序的设计和运行来实施控制的“程序化”控制,和通过建立管理工作制度来完成控制的“制度化”控制,必须通过内部审计来确保其实施,才能使计算机会计系统的安全、可靠和稳定得到双重保险。在电算化条件下,虽然仍要审查传统审计的一些内容,但重点主要在于系统软硬件及数据的内部控制。
内部审计人员应在本单位以上各方面制度的制定过程中,积极发挥参谋作用,并在以上制度的实施过程中,定期审计或突击检查,查找内部控制的弱点,提出改进措施,使制定的内部控制制度得以执行,以保证会计数据的安全性、有效性、完整性和准确性。
随着时代的发展,计算机技术也在不断地进步,并且被广泛地应用到各行各业当中,使得审计的工作也在不断地发生改变,被审计的企业也在不断地进行变化,并且变得更加的隐性和数字化,传统的审计系统已经不能满足现代的审计工作要求,因此,需要不断地开发审计系统,使得审计系统能够为审计工作提供更大的便利,提高审计工作的质量和效率。
1石油企业计算机辅助审计系统的功能
1.1将财务数据转换成审计数据格式
在石油的审计系统中,可以将所有的财务数据进行相应的转换,进而成为审计系统中的使用格式,将财务中的数据能够灵活地运用到审计工作中,并且还可以实现全部的转换,进而使得财务的数据能够将全部的信息进行完整的转换,保证了财务数据转换过程的准确性,并且通过计算机辅助审计系统,还可以形成流动的读取单项显示,在读取的过程当中,不会被编入数据库中,进而使得审计工作中的数据库更加的安全。
1.2方便财务数据的获取和恢复操作
采用计算机辅助审计系统,在读取数据和获取数据的过程中,可以进行不同机制的工作形式,比如,可以采取批量任务的管理或者是单一任务的管理。其中在单任务的获取和恢复数据中,需要人工进行相应的操作,在操作的过程当中,每次只能将一个数据进行恢复或者处理;采取批量任务的处理方式,可以将多个财务数据自动地进行获取或者恢复,进而有效地解决了人工来进行获取恢复数据的操作,使得工作效率提高很多,也有效地保证了数据的获取和恢复的质量。
1.3分等级开展规范管理
石油计算机辅助审计系统中,可以设置相应的权限,而采用的权限管理主要分为一级或二级的管理员模式。其中,如果可以获取一级管理员的权限,可以对单位中的人员以及每个小组的信息等进行相应的分配,分配出二级管理员。二级管理员可以在一级管理员的操作基础上详细地分配工作人员以及工作的内容,为人员安排相应的角色。
1.4提高资料管理的水平
通过计算机辅助审计系统,可以结合上传电子资料,将电子资料按照相应的类别进行自动的归类和整理,并且通过计算机系统当中的自定义结构来实现资料的智能化管理,进而使得全部的电子资料变得清晰、工整,有利于资料的获取和共享,并且在获取和查看资料的过程当中,也会受到权限的控制,每个审计人员只可以依照自己的权限来查看相应的资料,进而使得整体的电子资料数据安全性更高。
1.5有效的辅助审计操作
通过计算机辅助审计系统可以有效开展账薄上的核算功能,如果责任中心在进行跳跃式查询的过程当中,也可以进行双向的查询服务,并且还可以采取多种查询方式来查询相应的账目,进而使得审计人员能够快速地获取相应的信息,提高了审计工作的水平和质量。在查询的过程当中,还可以采用多种抽样查询方式使审计的风险降低,提高了审计结果的准确性。
1.6可以随时的记录审计的结果
在石油的计算机辅助审计系统过程中,还可以采用随审随计的模式,使得审计人员在分析或工作的过程中,详细地记录整个工作过程,并且还可以在工作过程中,将有问题的地方进行相应的标注,进而使得整个审计轨迹能够有效的体现出来,同时,还可以按照相应的情况来查询审计的过程以及结果,并进行针对性的核实。而这种随审随计的模式,可以形成一定的审计轨迹,也会成为一种审计的日记,使得审计人员在工作中不用一直输入,减少了审计工作人员的工作量,提高了审计工作的效率。
2石油企业计算机辅助审计系统的开发
2.1规范化
在开发计算机辅助审计系统的过程中,需要将审计的程序和技术方法进行有机的结合,进而使得在开发审计系统的过程中能够更加的规范科学,因为在之前的审计系统开发过程中,审计人员工作时可以随意地运用一些审计技术和方法,并且用什么样的方法,或者在哪个时候用,怎样正确地去操作,都没有相应的规范和标准,进而使得审计机构审计工作效果得不到有效的保证,因此,在开发计算机审计辅助系统的过程中,能够在审计程序的使用过程中有效的规定审计的技术以及使用的方法,进而使得审计人员在工作的过程中能够正确地使用审计技术。
2.2万能化
在石油企业的计算机辅助审计系统过程中,所有的数据格式都是统一的,但是在其他的经营管理当中有的软件所使用到的数据库和财务管理信息系统的数据库不一样。并且还有的软件会有加密功能。进而在设计和开发审计软件的过程当中,需要能够转换不同数据库的数据格式,并且还要对于一些加密的软件进行自动的解密操作。在开发审计系统的过程当中,需要将采集数据的部分进行相应的提升和扩展,进而能够采集不同的数据,并且将不同的数据能够进行自动的转化,更加符合财务管理系统的数据格式。
2.3智能化
在实际的发展过程中,不管什么行业,都要朝着智能化的方向发展,而在审计系统的开发过程中,也要遵循智能化的发展方向,并且结合实际操作中出现的问题来进行不断的改进和优化。在实际的审计过程中使用系统软件来分析相应的结果,并不能真正地做出最终的判断,因为在系统中进行计算的时候会有固定的计算公式,但是其中有很多变量还需要人工进行核算和分析,因此在开发审计系统的过程中,还有的石油公司会邀请行业的专业人员进行分析和判断,进而给出最终的审计结果。因此,应该在此方面进行不断的优化和改进,实现审计结果的智能化分析,为审计工作提出更准确的意见。
2.4程序化
程序化指的是在审计系统软件开发的过程中,需要对监督系统进行程序化的设计,因为在使用计算机技术的过程中,可以为所有的工作人员设置相应的控制点,进而有效地控制审计工作的实际质量,做好审计工作的监督管理,比如对于审计工作中的工作底稿可以设置不同的控制点,比如,可以由审计人员进行制定,再由主要审计人员进行复核,最后,由部门管理人员来进行最终的审定,通过计算机技术可以使更多人参与到审计的过程当中,加大对审计工工作的监督和管理工作力度。如果相应的审计工作人员没有让上级领导进行授权就无法进入下一步的操作,而审计人员在计算机上的操作也会有一定的轨迹,在审计监督的过程中,可以通过查看工作人员的轨迹提高相应的监督管理质量。
3石油企业计算机辅助审计系统的应用
3.1不断的创新审计工作方式
在石油企业中,可以通过审计系统对被审计单位的实际经营状态进行及时的监督和管理,而在实际的应用过程中,已经推广使用这种审计系统,并且还可以对平时所记录的数据进行监控和管理,还可以有效地分析数据,并对于现场进行核查,这样的工作机制使得整体的审计工作可以高效地开展,相关的部门可以对石油企业的日常行为和管理活动进行实时的调查和监控。通过调查监控还可以降低企业经营和管理的风险性。通过在监控过程中获取到企业的财务数据以及生产的统计等各种重要的经营信息,可以做出更为全面的分析,并且及时的发现审计过程当中存在的风险和问题,进而针对性的进行核实操作。
3.2开展远程重点审计操作
在我国的石油企业过程中,有的石油企业很可能会在其他的地区建立一些分支机构,在海外的发展市场中,可以利用计算机辅助审计系统对一些海外的企业或单位进行远程的管理,相应的审计部门可以通过审计系统运用专业的审计技术和方法进行远程的链接,对于海外的一些数据系统进行相应的管理,并且有效地实行远程的监控操作,进而不仅减少了人力资源的消耗,同时,还可以有效地降低整体的企业经营成本,有效的改善传统审计过程当中的很多不足之处。一旦发现问题,可以及时地做出相应的指示,为海外的机构经营管理出谋划策。此外,还可以实行联网审计,这样的审计方式可以有效地提高审计质量,同时,还可以防止出现重大审计线索的遗失情况。
4结语
在石油企业的管理中,审计工作是重要的组成部分,现代的审计工作都是使用审计系统,因此,应该注重开发审计系统,注重审计系统的规范化、万能化、智能化和程序化,并且还要创新应用方式,实现远程的审计工作,提高审计的质量和效率。
参考文献:
[1]陆涛.计算机辅助审计风险及应对策略[J].石化技术,2019,26(03):188-189.
2计算机审计系统的薄弱环节和发展方向
薄弱环节:一是并发处理数据能力有待加强,如在2012-2013全国风险审计中,全行千名审计人员,同时最大上线人数超200人,审计系统查询和表关联动作出现性能明显下降,IQ集群数据库吞吐能力尚不能强力支撑生产环境。二是现有基础数据,目前通过数据交换平台将十余个业务系统的业务数据导入基础数据库,目前存在少量数据不完整,缺失现象。根本原因由于审计系统设计的缺陷(缺开放性),使得农业银行经营、管理过程中产生的数据未能全部导入审计系统,如小额支付系统。还有随着ABIS、CMS、FMIS、BOEING等系统的升级带来数据结构的变化,都带来审计系统数据迁移的滞后。发展方向:随着农行信息化建设的不断发展,近几年陆续完成了全国数据大集中并适时开展了新一代核心银行系统建设工程,标志着物理集中和部分程度逻辑集中的实现,并开始向全面的逻辑集中迈进。审计信息化平台的发展也将顺应这一趋势,抓住逻辑集中的契机,加快平台内部众多辅助平台的逻辑融合步伐。一是打破信息系统间的数据隔断,通过系统集成的预处理提高多个系统数据间的关联性和一致性程度,保证审计线索不会因系统隔断而丧失。二是通过对审计流程再造工程,进一步理清审计查证步骤,简化审计步骤,创新审计方法,提高审计信息化平台的易用性,降低平台核心系统的使用难度,进一步提高审计信息化水平。三是发挥农行信息系统逻辑集中的优势,提高审计信息化平台对新业务、新渠道、新技术的适应能力,建立开放式平台架构,为审计事业发展提供足够的扩展性。四是由于我国金融企业在经济发展的大环境下,市场潜力大,各项业务发展迅猛,风险防控压力加剧,这对审计监管提出了新的要求,这种审计需求的动态变化也使得审计信息化平台的建设成为一个长期的动态过程。只有准确把握审计业务发展路径和信息化建设趋势,把审计业务的变化融入到审计信息化平台的不断完善之中,通过科学的规划,开放的平台架构,渐进式的实施,卓有成效的建好企业审计信息化平台,以应对未来更多的挑战。
0 引言
自人类发明第一台计算机以来,计算机技术以飞快的速度发展,并在短时间内在各行各业中得到普及。计算机技术的普及,在很大程度上推动了人类文明前进的步伐。计算机网络已经成为我们生活不可或缺的工具之一,正因为计算机网络的存在,使得我们生活更加方便快捷。但是计算机网络是一把双刃剑,它在给我们生活带来巨大便利的同时,也给我们的信息安全构成了巨大威胁。正因为这些威胁的存在,使得人们对网络安全审计系统的正常功能产生了质疑。针对这种情况,本文在阐述网络安全审计系统特点及功能的基础上,对网络安全审计系统的设计进行了研究。希望本文的提出,能为提高网络安全管理提供强有力的参考依据。
1 安全审计系统的功能应用研究
1.1 系统的实际应用情况
一般来讲,只要安全审计系统投入使用,该系统便能非常准确的、全面的将用户在网上的各项操作以及数据库服务器的运行状况记录下来。如果出现以下类型事件如企业员工利用电子邮箱或网络共享的方式进行文件传递时,遇到文件信息泄露情况;企业员工借助论坛平台,发表一些对社会可能造成不良影响的言论时;网络维护人员在对计算机网络进行维护的过程中,使用违规炒作对系统数据库进行操作,致使业务系统的安全性得不到有效维护。只要出现上述类型的事件,安全审计系统都能实行快速定位功能,找出事件的主要负责人,从而为网络违规事件的处理善后工作提供便利条件。除此之外,网络安全审计系统还能实时掌控网络的运行状况,防止那些重要的机密性信息的泄漏,通过对内部网络数据信息进行实时的监控,以智能化的手段对信息进行分析、预估及检测,准确定位那些可能影响系统安全运行的因素,为营造一个更加健康、更加和谐、更加稳定的网络信息环境提供保障。
1.2 安全审计系统的运行方式及部署
不可否认,安全审计系统主要致力于审计网络安全行为,因此,旁路无疑是一种非常可行的部署策略。通常来讲,安全审计系统都必须具备一定数量的以太网接口,而且网络传输速度应保证大于200Mbps,其中一个以太网接口用作设备控管,其它的以太网接口用作数据收集、分析、处理、回收接口。就目前来讲,应用最普遍的以太网接口主要有两个,它们分别用于接入局域网服务器的交换机及关键部位的交换机中。通过局域网服务器的操作行为以及审计数据库的运行状况,对互联网用户的上网信息进行实时审计。通常来讲,安全审计系统的指挥中心都设置在同一台服务器上,它的主要功能是对安全审计系统的日志进行接收及存放。
2 网络安全审计系统的设计
本文在CC标准体系的指导下,设计了一套较为完整的网络安全审计系统,该系统具有多层次的结构特点,现将系统结构及设计方案分析如下。
2.1 系统结构
在某种程度上可以将网络安全审计系统看作是一种多层次上的审计,它既能满足低层次网络通信的审计要求,又能满足高层次网络应用服务的审计要求。因此,网络安全审计系统的目标是实现多层次的审计,其结构图如图1所示。
不同层次的审计结构完成不同层次的审计要求,对于那些数量较多且比较分散的大规模网络,整个网络系统都应覆盖安全审计系统,即实现安全审计系统的全方位审计,只有这样,才能保证网络的整体安全性。从这方面来讲,网络安全审计系统是一种全面审计的系统。
通过在网络上建立一支有效的“巡警队伍”,该“巡警队伍”能够对整个网络系统进行审计。网络安全审计系统主要由网络审计设备、网络审计软件以及网络审计中心三部分构成。网络审计设备的主要作用是将网络上传送的信息进行还原,并分析其入侵性,即所谓的低层次审计环节,网络审计设备能以旁路的方式接入系统中;网络审计软件则以嵌入的方式计入主机操作系统中,它的主要功能是收集异常事件,完成中层审计环节,此外网络审计软件还配备高层应用接口,因此具备一定的高层审计功能;网络审计设备及软件通常安置在所需监视网络的关键节点上,起到数据信息接收及发送的作用。网络审计中心则能够分析处理数据,起到控制管理网络审计设备、软件的作用。
2.2 功能的设计
网络安全设计系统主要由探测器及审计主机构成,首先,它既不用作网络串联设备;其次,它也不影响网络结构构成;最后,它不会妨碍业务的正常运行。本文以下内容就对网络安全审计系统的设计问题进行分析。
2.2.1 数据库管理及审计模块
在该模块中,通过对数据库的关键性操作行为进行审计,现对信息系统中每一位用户的访问状况进行跟踪、分析,对这些用户的登陆及退出操作进行审计,从而实现准确回顾SQL语句的作用,从根本上保证数据库运行状况的安全可靠性。
2.2.2 主机审计模块
主机审计模块主要用户对关键区域内的客户机进行审计访问,它的主要工作内容是设定必要的计算机终端访问权限,提高终端访问门槛。此外,该模块还会对那些安全系数较低的软件进行审计,为配置审计对策以及网络的安全运行提供保障。
2.2.3 网络审计模板
该模板能够起到加强系统的控制及审计能力,在强化系统信息控制管理方面发挥着重要作用。网络审计模板的正常运行,能够有效地防止非法内外连接现象,实现对网络信息的实时监控,通过采取雄厚的技术力量防止信息泄露事故的出现。
2.2.4 运行维护审计模板
运行维护审计模板的主要作用是对第三方的运行维护员工进行监控,它的工作重点在于对系统各项操作行为进行科学细腻的审计。另外,针对于所有远程访问设备的会话连接,从而实现同步过程监控的目标,在系统监控画面上,系统运行维护员工执行的每一项操作都会清楚的显示出来。系统管理员能够根据系统实际情况,及时阻断那些违反操作规定的操作会话,并把访问者以及被访问人员的访问时间段以及与之相对应的 IP/MAC 地址记录下来。
3 结束语
安全问题随着计算机的问世而随着产生,尤其是在网络盛行的今天,许多部门及企业更是将网络安全问题提到了议事日程。因此,构建一个科学合理的计算机网络安全审计系统,对于银行、大型企业、证券公司以及科研院校等对网络安全有较高要求的地方显得尤为重要。本文在阐述网络安全审计系统功能应用的基础上,设计出了一套较为完整的网络安全审计系统。实践证明,该系统能够对网络运行状态进行实时监视,极大地提高了计算机网络的安全防范能力。但是需要指出的是,由于笔者水平有限,希望本文能够起到抛砖引玉的作用,相关研究人员继续深化这方面的研究,为设计出更加高效的网络安全审计系统而不懈努力[4]。
参考文献
[1] 吴承荣,谬健,张世永. 网络安全审计系统的设计和实现[J].计算机工程,1999, (25):171-174.
国际会计师联合会(IFAC)下设的国际审计实务委员会(IAPC)对计算机信息系统环境下的审计的研究较早,先后了一系列的相关准则。到目前为止颁布了六个有关计算机信息系统环境下审计内容的国际审计准则。它们分别就单机、联机和数据库系统下的电子数据处理环境对会计制度和有关内部控制的研究和评价产生的影响作出补充规定。现将这几个准则规范的内容作一汇总介绍。
第一,《环境下的审计》。该准则明确了在计算机信息系统环境下审计的目的与范围,技术与能力的要求,审计计划的考虑,内部控制研究、评价及风险评估的影响,制定与实施审计程序应关注的方面等。该准则只是为在计算机信息系统环境下的审计制定一般原则和指导,其他五个准则或实务公告均为该准则的补充或扩展。
当在一个计算机信息系统环境下进行审计时,审计人员应当对约定计划中的计算机硬件、软件和处理系统有充分的了解,并且要了解计算机信息系统对内部控制的研究与评价以及对审计程序有怎样的影响,包括计算机辅助审计技术。审计人员还应当对执行审计程序的计算机信息系统处理有足够的知识,这将视所采用的具体的审计方法而定。
第二,《风险评估和内部控制——计算机信息系统环境特征和考虑因素》。该实务公告为第一项准则的补充,该公告明确了计算机信息系统环境的特征,计算机信息系统环境下内部控制的内容及评价方法。
审计人员应当收集与审计计划有关的计算机信息系统环境的资料,包括计算机信息系统的功能情况以及计算机处理的集中或分布程度、使用的计算机硬件和软件、数据重置情况等。
审计人员在编制全面计划时,应当考虑下列事项:在对内部控制的全面评价中确定对计算机信息系统控制的可信赖程度;制定关于怎样、何处与何时检查计算机信息系统功能的计划;制定关于利用计算机辅助审计技术进行的审计程序计划。
第三,《计算机信息系统环境——独立微型计算机》。该实务公告为第一项准则的补充,该公告明确了微型计算机系统及其特征、在微型计算机环境下的内部控制、微型计算机环境对审计程序的影响等。
准则指出微机对会计制度的影响和有关的风险一般将由下列情况而定:微机使用于会计应用处理的范围;被处理的财务业务的类型和重要性;应用中运用的文件和程序性质。微机环境下的内部控制应当包括:管理部门对操作微型计算机的规定和控制;程序和数据安全;软件和数据的完整性控制;硬件、软件和数据备份控制。
第四,《计算机信息系统环境——联机计算机系统》。该实务公告为第一项准则的补充,该公告明确了联机计算机系统及其特征、在联机计算机环境下的内部控制、联机计算机环境对审计程序的影响等。
准则强调某些一般控制程序对联机处理特别重要,包括存取控制、控制方面的口令、系统开发和维护控制、程序编制以及业务记录控制。同时,对联机处理特别重要的应用控制包括:处理前的适当授权,终端设备编辑。合理性和其他确认测试、截止测试、文件控制、余额控制。
联机环境对会计制度的影响及其相关联的风险,一般将依下述而定:联机系统用干会计应用处理的范围;处理的财务业务的类型和重要性;使用的应用文件和程序性质。
第五,《计算机信息系统环境——数据库系统》。该实务公告为第一项准则的补充,该公告明确了数据库系统及其特征,在数据库系统下的内部控制,数据库环境对审计程序的影响等。
第六,《计算机辅助审计技术》。该准则为第一项准则的扩展,该准则明确了审计软件和测试数据两种辅助审计技术、利用计算机辅助审计技术的范围及需要考虑的因素、注册会计师在计算机辅助审计技术应用中的主要工作和控制手段等。
中图分类号:G623 文献标识码: A
1、前言
随着Internet的发展,开发分布式,跨平台,易扩展的软件系统成为大型企业级应用的趋势。J2EE(Java 2企业版)作为一种成熟的分布式企业级开发平台,由一整套服务(Services)、应用程序接口(APIs)和协议构成,它对开发基于Web的多层、分布式应用提供了功能支持。受到越来越多人的关注,成为开发火型企业级应用的首选。中国农业银行计算机辅助审计系统(以F简称CAS系统)就是基于J2EE平台开发的大型系统。本文以下内容将对J2EE技术在中国农业银行计算机审计系统中的应用进行研究和探讨,以供参考。
2、J2EE概述
在Java发展的过程中,它首先取得了Applet的胜利,使得以Web为中心的开发广泛地采用了Java语言。开发人员使用Applet技术,把开发的Applet很容易添加到到HTML页面。但是随着Web技术的发展,传统的静态页面已经不能满足开展、世务的需要,出现了服务器页面技术,这时Applet不能雅任此需求。SUN看到Web应用的潜力,推出了Java Servlet技术,满足服务器编释的需求。Servlet广泛应用于企业级应用程序的开发中。后来其他厂商为了简化Servlet的开发,逐渐共同推出了JSP技术,JSP更容易开发表示层,最后SUN也把JSP作为J2EE标准的一部分。又由于Servlet处理业务逻辑的局限,SUN后来推出了EJB技术。
J2EE平台规范是一个由SUN公司定义的用于简化分布式企业级应用开发与部署的基于组件的模式。它提供了一个多层次的分布式应用模型利一系列开发技术规范。多层次分布式应用模型是根据功能把应用逻辑分成多个层次,每个层次支持相应的服务器和组件,组件在分布式服务器的组件容器中运行(如Servlet组件在Servlet容器上运行,EJB组件在EJB容器上运行),容器间通过相关的协议进行通讯, 实现组件间的相互调用。
J2EE使用多层的分布式应用模型,应用逻辑按功能划分为组件,各个应用组件根据他们所在的层分布在不同的机器上。事实上,sun设计J2EE的初衷正是为了解决两层模式(client/server)的弊端,在传统模式中, 客户端担当了过多的角色而显得臃肿,在这种模式中,第一次部署的时候比较容易,但难丁升级或改进,可伸展性也不理想, 而且经常基丁某种专有的协议一一通常是某种数据库协议。它使得重用业务逻辑和界面逻辑非常困难。现在J2EE的多层企业级应用模型将两层化模型中的不同层面切分成许多层。
3、系统总体设计
3.1,系统架构
CAS系统使川J2EE技术架构,采用B/S(Browse/Server)结构,系统为三层结构:数据库服务器、应削服务器、客户端。
3.2,CAS系统的数据库
CAS系统的数据库分为4部分:原始数据库,从新一代业务系统、信贷管理系统、国际业务系统迁移过米的原始业务数据及外部数据;基础数据库,日志、机构、人员、设备、字典、文件存储索引等;档案数据序,审计、作记录、审计工作底稿、审计依据等;临时数据库,审计查证过程中产生的数据。
JDBC中最重要的对象是Conection,Connection对象代表与数据库的连接。连接过程包括所执行的SQL语句和在该连接上所返回的结果。一个应用程序可与单个数据库有一个或多个连接,或者可与许多数据库有连接。获得连接之后才能向数据库发送SQL指令。
3.3,系统模块划分
系统管理主要是实现对系统运行的控制信息的管理,内容主要包括系统参数的定义、字典信息的维护和日志管理。
注册管理主要是实现对审计机构、审计人员和审计设备的管理。
环境定义主要是维护原始数据的使用环境,内容主要包括原始数据表信息的维护和业务机构在不同系统中的对照信息的维护。
项目管理主要是实现对整个审计流程及其过程和环节的控制和全面管理。其功能主要包括:项目立项、万案制定、项口授权、审计开工和收工。
审计查证提供一个功能丰富的查帐平台,审计人员可以利用多种查询、统计、计算工具和图形化分析工具,方便准确地实现审计思想向计算机能够执行并可记录的运算过程的转换,从而使计算机模仿手工查帐的步骤进行自动查帐,以达到帮助审计人员准确、高效地完成审计任务的目的。
审计方法管理主要是实现对审计过程中产生的方法进行管理,内容包括审计方法的优化、审计方法的变更和审计方法的查询。
审计文档生成主要是实现审计工作记录、审计工作底稿、存在问题清单、审计工作报告、审计意见书、处罚决定书、牿改报告、后续审计情况、后续审计报告等审计文档的生成功能,并提供文档归档功能将审计文档归入审计档案。
档案管理是指对审计过程生成的审计文档进行统一规范档案化管理。审计档案管理的目的是建立审计档案库,从而实现审计文档的积累和信息共享,以及根据审计档案对审计进行多角度分析的功能。
依据管理是指对审计上作中需要经常使用的相关依据的管理,其目的主要是实现审计依据(如法律法规)信息的统一电子化管理,为审计人员提供最及时、最准确的审计依据,从而有效的提高审计的权威性,保证审计成果的可靠性。
4、结尾
本文以上内容对J2EE技术进行了介绍,并随后分析了其总体设计,对其在中国农业银行计算机审计系统中的应用进行了初步的探讨,表达了观点和见解,但由于此技术是一个系统,仍需要对其详细设计进行进一步的研究,才能真正的将技术与审计系统相结合,这是本人将要研究的方向。
【参考文献】
例》的有关规定,结合我市实际,现就利用计算机信息系统开展审计工作有关问题通知如下:
一、统一思想,充分认识利用计算机信息系统开展审计工作的重要性
利用计算机信息系统开展审计工作是适应我国国民经济信息化发展的必然要求,是新形势下加强审计监督的重要措施。各级人民政
府、各有关部门要高度重视利用计算机信息系统开展审计工作的重要性,对审计机关的工作给予支持和配合。
二、切实配合审计机关开展检查工作
我市各级审计机关有权检查被审计单位运用计算机管理的财政收支、财务收支信息系统及相关的业务管理信息系统(以下简称计算
机信息系统)。被审计单位应当按照审计机关的要求,如实提供与审计事项有关的计算机信息系统的电子数据和必要的技术文档等资料
,不得拒绝或拖延提供。
三、加强审计监督,严肃处理违法违规行为
被审计单位的计算机信息系统应当具备符合国家标准或者行业标准的数据接口。已投入使用的计算机信息系统没有设置符合标准数
据接口的,应按照审计机关要求将数据转换成能够读取的格式输出。被审计单位不得开发和故意使用有舞弊功能的计算机信息系统,在
规定期限内不得覆盖、删除或者销毁信息系统处理的电子数据及其技术资料,一经发现,要依法追究有关单位和人员的责任。
审计机关对被审计单位电子数据真实性产生疑问时,可以对计算机信息系统进行测试。测试计算机信息系统时,审计人员应当提出
测试方案,监督被审计单位操作人员按照方案要求进行测试。
四、积极稳妥探索网络远程审计,加快审计信息化建设
各级人民政府、各有关部门要配合审计机关开展网络远程审计,支持“金审”工程建设。审计机关要按照有关要求,加快与“金税
”、“金财”等工程及其相关部门的信息网络连接,提高审计工作的效率和质量。
五、严格遵守审计纪律