IT審計內容方面的創新與體系完善論文
IT審計是獨立于信息系統本身、信息系統相關開發、使用人員的第三方-IT審計師采用客觀的標準對信息系統的策劃、開發、使用維護等相關活動和產物進行完整地、有效地檢查和評估。大家在有關IT審計內容方面的創新與體系完善論文寫作時,可以參考這篇文章。
摘要:隨著管理信息化和審計理論的發展,IT審計不斷引起人們的關注。IT風險已逐漸成為組織的重要風險,面臨不斷增多的系統薄弱性和威脅,在全球加強行業監管和內部控制的趨勢中,IT審計的地位尤為凸顯。IT審計是當代科技發展與審計發展相互融合的產物。我國的IT審計系統尚未完善,審計功能仍不健全,而傳統審計已較為成熟。對二者進行系統的比較研究是考察IT審計發展程度及特點的直接方法,也是借鑒傳統審計嚴密之處的有效途徑。
關鍵詞:IT審計;傳統審計;比較
科技的迅猛發展已經給整個社會的經濟管理活動造成了巨大影響。IT審計是在原來傳統審計的財務審計和管理審計基礎上,由于科學技術向經濟管理領域的滲透而產生的。然而,到目前為止,IT審計在本質上并不是獨立于財務審計和管理審計的第三大審計分支,而是其中的一類審計形態,其原因在于網絡環境的復雜性、實際操作的復雜性、與傳統審計的融合程度等因素都制約著IT審計的發展,本文旨通過比較,將兩者有機結合,從而提高IT審計質量,拓展IT審計技術方法在企業審計中應用的深度和廣度,促進企業在審計上的變革。
一、IT審計與傳統審計在重大方面上是一致的
(一)IT審計與傳統審計在基本概念及程序上大體一致
“獨立性與客觀性”、“權威性與公正性”等傳統審計的基本概念在IT審計中得到了很好的體現。另外,IT審計獨立于信息系統本身、信息系統相關開發、使用人員,由IT審計師依據法律規定,采用客觀標準獨立行使審計監督權,這與審計的“獨立性與客觀性”完全相同。同時,國際信息系統審計和控制協會 (ISACA) 對實行審計制度、建立審計機關以及審計機構的地位和權力都做了明確規定,這樣使審計組織具有法律的權威性,其與公正性相輔相成。
(二)IT審計體系與傳統審計體系結構基本一致
傳統審計體系在邏輯結構上具有較強的嚴密性,“基本準則-具體準則-實務指南”是由抽象到具體的邏輯規則,這是會計準則、注冊會計師鑒證業務準則等專業標準規范的常用結構,這使審計后續的具體工作便于尋找相應的準則條款,為審計工作提供便捷之處。IT審計所表述的“標準-指南-程序”準則框架在字面上與傳統審計體系沒有太大差別。其標準反應了信息系統領域的綱領性問題,指南是標準的具體化,程序則是一些工作規范,這與傳統審計體系的三個層次是一一對應的。
從審計體系涵蓋的內容上來看,傳統審計內容的絕大多部分都包含在了IT審計體系的范疇之內。但是,相對于ISACA系會下的`準則部制定的IT系統審計準則而言,我國的IT系統審計準則體系還不夠完整,尚有若干項準則沒有涉及,這應該在我國IT審計未來項目計劃中予以考慮。
二、IT審計具體內容方面存在兩點點創新
(一) 安全性審計
在傳統審計中,對于被審計對象的安全問題鮮有涉及,而信息的安全性問題關系到企業的生存與發展,是保持企業健康可持續發展的重要保障。IT審計中對于安全性審計做了詳細的規范。安全性審計的主要目的就是審查企業信息系統和電子數據的安全隱患。一個存在安全隱患的信息系統很難為審計人員提供真實可靠的信息,因此安全性審計也是真實性審計的前提。
(二)IT審計的軟件測試方法與電子取證方法
審計方法貫穿于整個審計過程當中,而不只是存在于某一審計階段或某個環節。隨著IT審計系統實踐的豐富與IT審計理論的發展,IT審計處理運用傳統審計的方法外,還大量借鑒了計算機學科的一些方法為我所用。其中“軟件測試方法”是IT系統審計的重要方法之一,較為經典的測試方法是黑盒測試與白盒測試。另外,某些會計數據和其他信息只能以電子形式存在,或只能在某一時點或期間得到①,在IT審計時對于這些電子數據的獲取極為重要,需要確保IT審計人員發掘和收集充足可靠的電子證據,最終生成審計報告。
三、完善IT審計體系還應借鑒傳統審計
(一) 借鑒傳統審計中的績效審計,加強其實踐可行性
傳統審計將審計的真實性、合法性和效益性作為審計的目標。為適應建立市場經濟的需要,審計機關從2001年以前主要從事的真實、合法性審計到90年代初期,審計機關對國有企業的審計開始向檢查內部控制和經濟效益兩方面的延伸,績效審計的重要性逐步凸顯。②由于IT項目的功能復雜性、結構龐大性、周期延長性,使得IT績效審計很難準確地評價如此綜合性的IT項目效果,如何完善IT績效審計在實踐上的可行性是擺在我們面前的一項重要任務。
IT績效審計應充分借鑒傳統績效審計中的經濟性、效果性、效率性特征,圍繞這“三性”進行展開。在“經濟性”上,為了以最低的資源耗費獲得一定數量和質量的產出,可以通過多方面的改良提高其節約程度。如美國Gartner Group Inc公司研發的ERP系統,其自動化程度很好,從而提高了IT績效審計的科學性與可行性,避免不必要的開支。在“效果性”上,力圖在IT項目上實現績效監控動態化,為企業提供豐富的管理信息,并在企業管理和決策過程中發揮作用,動態監控管理績效變化,及時反饋和糾正出現的問題。在“效率性”上,提高企業物流、資金流、信息流一體化管理的效率并且要善于管理信息系統,對信息系統應用價值的實現是IT績效審計的最重要方面。
(二) 借鑒傳統審計的風險管理,發揮其制約性作用
《企業內部控制基本規范》把“應當關注研究開發、技術投入、信息技術運用等自主創新因素”列為企業識別內部風險時應當關注的六個因素之一。③伴隨IT而來的風險、利益和機會使得IT風險管理成為企業管理的重要內容,也是IT審計中應該完善的部分。
借鑒傳統審計對于企業風險管理中風險評估、控制與防范的流程,結合IT風險管理的環境特殊性,程序復雜性和數據多樣性等特點,對IT審計中的風險管理應按照“識別信息資產-威脅的量化和定性-評估漏洞-改進控制差距-管理剩余風險”的流程進行。首先,識別組織業務職能并確定每個流程的信息敏感度。然后識別流程的每一個組成部分的現有控制措施,按嚴重程度將控制差距分類。最后,通過風險等級、成本和有效性的選擇,創建風險基準線,以便日后定期重新評估風險所用。
四、總結
通過對IT審計與傳統審計的比較研究,我們發現: 在基本內容、程序和體系結構等方面,傳統審計與IT審計是協調的。在IT審計的軟件測試方法與電子取證方法上,較傳統審計來說有其先進性。但是IT審計的不完善性也是顯而易見的,可以在績效審計、風險管理等方面借鑒傳統審計的優點,逐漸使IT審計廣泛應用于我國的審計行業之中。通過傳統審計帶動IT審計的方式,使IT審計取其精華,去其糟粕,逐漸發展成為審計行業的新銳力量,是我國亟待努力的方向。
注解:
、賹徲嫓蕜t第1301號: 審計證據
、诓檀海瑒W華?冃徲嬚揫M],北京:中國時代經濟出版社,2006
、坳惞ⅲn志耕,盧孫中。信息系統審計、控制與管理 [M],2014
參考文獻:
[1] 肖杰浩著。 Oracle 10g數據庫安全策略研究 [M],計算機科學技術,2004.
[2] 陳耿,韓志耕,盧孫中著。信息系統審計、控制與管理 [M],清華大學出版社,2014.
[3] 于海霞,我國IT審計面對的挑戰 [J],中國管理信息化,2011.
[4] 陳耿,網絡環境下的信息系統審計職能與類型 [J],南京審計學院學報,2012(1)。
[5] 蔡春,劉學華,績效審計論 [M],北京: 中國時代經濟出版社,2006.
[6] 陶蕓輝,IT審計風險評價與控制研究 [D],安徽: 安徽財經大學碩士學位論文,2012. 10.
【IT審計內容方面的創新與體系完善論文】相關文章: