第 1 章 引言
1.1 研究背景及意义
1.1.1 研究背景
信息技术的快速发展和广泛应用,使得当代企业的业务、办公流程大都需借助信息系统完成。现今,许多大型企业构建了相应的信息系统,覆盖了企业从生产到销售,从财务到经营等各个环节。企业的信息系统正朝着规模化、复杂化、集成化、信息化的方向发展,信息系统的有效性、可靠性、机密性和完整性越来越引起用户的高度重视,因此,信息系统审计的重要性不言而喻。我国《内部审计具体准则第 2203 号——信息系统审计》将信息系统审计定义为内部审计机构和内部审计人员对组织的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动,这也是本文所探讨的内容。信息系统审计作为企业内部审计的重要构成,主要评价企业信息系统的稳定性、可靠性、安全性及数据处理的完整性和准确性,发现系统设计和运行方面的缺陷,提出整改建议并进行审计后续追踪,提高企业信息系统的运行有效性,帮助公司降低或规避风险,最终促进公司经营管理水准不断提高。
近年来,随着国内外的审计机构对信息系统审计重要程度的认知不断深入,也在实践中进行推进。B 企业已基本从传统企业转型为高度借助信息化的企业,企业业务能力与管理效率得到大幅提升。企业通过信息系统审计,可以审查与评价信息系统管理水平与运行效率,防范信息系统风险,合理保证信息质量,提高公司经营管理效率。
1.1.2 研究意义
1.1.2.1 理论意义
信息化对企业的经营发展带来了巨大变化,作为企业的重要资产,信息系统在企业的运营中发挥着重大作用。信息系统审计也成为审计的重要构成,得到了国内外学者的广泛关注与研究。随着对信息系统审计研究的进一步扩展,其审计技术与审计内容将逐渐积累、丰富,最终形成成熟的信息系统审计体系,从而完善现有审计体系。
1.1.2.2 现实意义
本文在归纳总结信息系统审计理论的前提下,通过分析总结 B 企业信息系统审计实践中的经验与不足,一方面发现 B 企业信息系统存在问题,并提出相应的整改建议,以实现审计对公司信息系统的监督、保证、评价、建议职能,另一方面发现在审计实践中,B 企业审计准备、实施实践中存在的缺陷,并提出改进意见,以期推动 B企业信息化进程和内部审计的完善,也为其他企业提供相关借鉴。
..........................
第 3 章 B 企业的信息系统审计情况分析 ............................... 121.1 研究背景及意义
1.1.1 研究背景
信息技术的快速发展和广泛应用,使得当代企业的业务、办公流程大都需借助信息系统完成。现今,许多大型企业构建了相应的信息系统,覆盖了企业从生产到销售,从财务到经营等各个环节。企业的信息系统正朝着规模化、复杂化、集成化、信息化的方向发展,信息系统的有效性、可靠性、机密性和完整性越来越引起用户的高度重视,因此,信息系统审计的重要性不言而喻。我国《内部审计具体准则第 2203 号——信息系统审计》将信息系统审计定义为内部审计机构和内部审计人员对组织的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动,这也是本文所探讨的内容。信息系统审计作为企业内部审计的重要构成,主要评价企业信息系统的稳定性、可靠性、安全性及数据处理的完整性和准确性,发现系统设计和运行方面的缺陷,提出整改建议并进行审计后续追踪,提高企业信息系统的运行有效性,帮助公司降低或规避风险,最终促进公司经营管理水准不断提高。
近年来,随着国内外的审计机构对信息系统审计重要程度的认知不断深入,也在实践中进行推进。B 企业已基本从传统企业转型为高度借助信息化的企业,企业业务能力与管理效率得到大幅提升。企业通过信息系统审计,可以审查与评价信息系统管理水平与运行效率,防范信息系统风险,合理保证信息质量,提高公司经营管理效率。
1.1.2 研究意义
1.1.2.1 理论意义
信息化对企业的经营发展带来了巨大变化,作为企业的重要资产,信息系统在企业的运营中发挥着重大作用。信息系统审计也成为审计的重要构成,得到了国内外学者的广泛关注与研究。随着对信息系统审计研究的进一步扩展,其审计技术与审计内容将逐渐积累、丰富,最终形成成熟的信息系统审计体系,从而完善现有审计体系。
1.1.2.2 现实意义
本文在归纳总结信息系统审计理论的前提下,通过分析总结 B 企业信息系统审计实践中的经验与不足,一方面发现 B 企业信息系统存在问题,并提出相应的整改建议,以实现审计对公司信息系统的监督、保证、评价、建议职能,另一方面发现在审计实践中,B 企业审计准备、实施实践中存在的缺陷,并提出改进意见,以期推动 B企业信息化进程和内部审计的完善,也为其他企业提供相关借鉴。
..........................
1.2 国内外文献综述
1.2.1 国外文献综述
国外研究领域对于信息系统审计的具体目标有不同认识。国际信息系统审计协会(ISACA)对信息系统审计的具体目标定义是,确保资产得到恰当的保护,合理保障数据的完整性、可靠性、有效性及效率性。Wulandari(2009)提出信息系统审计具体目标是判断信息系统是否包含有效地内部控制,高效、安全的运行,并为企业带来合理效益等
对于信息系统审计内容,JamesA.Hall(2016)构建了风险评估模型,以发现信息系统重要风险环节,其认为信息系统审计的重要内容涵盖系统操作、信息管理系统、系统开发及运维、电子商务和系统应用。国际信息系统审计协会提出信息系统审计可细分为以下方面,分别为审计步骤、信息系统治理、计算机软件与硬件的生命周期、信息系统服务的交接与运维、信息资产的维护、系统持续性和灾难后恢复;在实际审计工作中可分为:信息系统开发绩效评价、财务审计下的信息系统审计、信息系统专项审计等。
1.2.1 国外文献综述
国外研究领域对于信息系统审计的具体目标有不同认识。国际信息系统审计协会(ISACA)对信息系统审计的具体目标定义是,确保资产得到恰当的保护,合理保障数据的完整性、可靠性、有效性及效率性。Wulandari(2009)提出信息系统审计具体目标是判断信息系统是否包含有效地内部控制,高效、安全的运行,并为企业带来合理效益等
对于信息系统审计内容,JamesA.Hall(2016)构建了风险评估模型,以发现信息系统重要风险环节,其认为信息系统审计的重要内容涵盖系统操作、信息管理系统、系统开发及运维、电子商务和系统应用。国际信息系统审计协会提出信息系统审计可细分为以下方面,分别为审计步骤、信息系统治理、计算机软件与硬件的生命周期、信息系统服务的交接与运维、信息资产的维护、系统持续性和灾难后恢复;在实际审计工作中可分为:信息系统开发绩效评价、财务审计下的信息系统审计、信息系统专项审计等。
国外对信息系统审计技术的探讨起步较早,1956 年 IBM 公司在其组织编著的《电子数据环境下的审计指南》一书中,明确了针对计算机的审计程序与技术,提出了数据测试、并行模拟等新型审计方法。国际信息系统审计协会明确了信息系统辅助审计技术应用范畴、需考虑的要素以及程序等,其指出信息系统辅助审计技术可在细节测试、分析性复核、一般控制测试、应用控制测试以及穿行测试中得以应用。
........................
第 2 章 信息系统审计概述
2.1 信息系统
信息系统是一个由硬件、网络及通信设备、软件、信息资源、用户以及制度规章等组成的,能实现信息的搜集、传输、存储、整合、维护和应用的系统。
根据信息系统的特征和发展,可以分类为处理数据系统(DPS)、管理信息系统(MIS)、辅助决策系统(DSS)、专家系统以及自动化办公系统(OA)五大类;从管理特点来看,可以分类为经理、销售、生产、财务、人力资源、信息资源六大类信息系统。
目前,国外对信息系统审计的涵义有不同看法,较具代表性的有以下两种。其一是美国专家 Ron Weber 认为信息系统审计的涵义为:搜集并评价证据,从而判别信息系统能否合理地保障资产安全,维护数据完整性,最大化地利用组织资源并且高效完成组织目标。其二是日本通产省情报处理开发协会信息系统审计委员会认为信息系统审计涵义为“为了保障信息系统的安全性、可靠性与有效性,由独立于被审计单位的信息系统审计人员,从第三方的客观角度对信息系统进行综合的检测与评估,并向被审计单位信息系统的最高管理层,揭示缺陷并提出整改意见的活动。”
........................
第 2 章 信息系统审计概述
2.1 信息系统
信息系统是一个由硬件、网络及通信设备、软件、信息资源、用户以及制度规章等组成的,能实现信息的搜集、传输、存储、整合、维护和应用的系统。
根据信息系统的特征和发展,可以分类为处理数据系统(DPS)、管理信息系统(MIS)、辅助决策系统(DSS)、专家系统以及自动化办公系统(OA)五大类;从管理特点来看,可以分类为经理、销售、生产、财务、人力资源、信息资源六大类信息系统。
目前,国外对信息系统审计的涵义有不同看法,较具代表性的有以下两种。其一是美国专家 Ron Weber 认为信息系统审计的涵义为:搜集并评价证据,从而判别信息系统能否合理地保障资产安全,维护数据完整性,最大化地利用组织资源并且高效完成组织目标。其二是日本通产省情报处理开发协会信息系统审计委员会认为信息系统审计涵义为“为了保障信息系统的安全性、可靠性与有效性,由独立于被审计单位的信息系统审计人员,从第三方的客观角度对信息系统进行综合的检测与评估,并向被审计单位信息系统的最高管理层,揭示缺陷并提出整改意见的活动。”
2012 年我国审计署发布的《信息系统审计指南》将信息系统定义为国家审计机关依法对审计对象信息系统的真实性、合法性、效益性和安全性进行检查监督的活动。此外,2013 年中国内部审计协会颁布的《内部审计具体准则第 2203 号——信息系统审计》将信息系统审计定义为内部审计机构和人员对企业的信息系统与相关的信息技术内部控制和流程所进行的审查与评估活动,本文所探讨的内容正是基于中国内部审计协会所颁布的《内部审计具体准则第 2203 号——信息系统审计》。
................................
2.2 信息系统审计
2.2.1 内部审计视角下的信息系统审计
内部审计视角下的信息系统审计目标重点是通过搜集、评价证据,判断审计对象信息系统的安全性、可靠性及经济性;并在查看、评估信息系统输出数据的真实性、准确性、完整性的基础上,合理降低审计风险。
信息系统审计内容是审计对象的信息系统,涵盖组成这一系统的各个资源,包括应用系统、技术、设备、数据文件及人员管理。根据《内部审计具体准则第 2203 号——信息系统审计》,信息系统审计主要内容是检查和评价组织层面信息技术控制、信息技术一般性控制及业务流程层面应用控制。
(1)组织层面信息技术控制的审查和评价
组织层面信息技术控制,是指企业管理人员对信息技术的管理职能与内部控制重要性的把握、了解和行动。
内部审计人员应当重点从四大方面关注组织层面信息技术相关控制要素,详见表2-1:
..........................
2.2 信息系统审计
2.2.1 内部审计视角下的信息系统审计
内部审计视角下的信息系统审计目标重点是通过搜集、评价证据,判断审计对象信息系统的安全性、可靠性及经济性;并在查看、评估信息系统输出数据的真实性、准确性、完整性的基础上,合理降低审计风险。
信息系统审计内容是审计对象的信息系统,涵盖组成这一系统的各个资源,包括应用系统、技术、设备、数据文件及人员管理。根据《内部审计具体准则第 2203 号——信息系统审计》,信息系统审计主要内容是检查和评价组织层面信息技术控制、信息技术一般性控制及业务流程层面应用控制。
(1)组织层面信息技术控制的审查和评价
组织层面信息技术控制,是指企业管理人员对信息技术的管理职能与内部控制重要性的把握、了解和行动。
内部审计人员应当重点从四大方面关注组织层面信息技术相关控制要素,详见表2-1:
..........................
3.1 B 企业概况及内部审计情况分析 .............................. 12
3.1.1 B 企业概况 .......................................... 12
3.1.2 B 企业内部审计现状 .................................. 12
3.1.3 B 企业信息系统及管理概况 ............................ 13
第 4 章 B 企业信息系统审计中存在的问题及原因分析 ................... 25
4.1 信息系统审计制度不足...................................... 25
4.2 信息系统审计内容不全面.................................... 25
4.3 信息系统审计技术有待提高.................................. 26
第 5 章 B 企业信息系统审计改进建议 ........................... 27
5.1 梳理、总结并完善信息系统审计制度.......................... 27
5.1.1 梳理和总结信息系统相关规章制度....................... 27
5.1.2 完善现有信息系统审计制度体系........................ 27
第 5 章 B 企业信息系统审计改进建议
5.1 整理、归纳并完善信息系统审计制度
5.1.1 整理并归纳信息系统有关制度指引
整理并归纳信息系统有关制度指引,可使得完善信息系统审计制度事半功倍。因此,一方面信息技术等有关部门应依据自身需求及实现合理控制风险的考虑,并结合相关审计结论,完善相关制度指引。另一方面审计部门也应主动整理信息系统审计相关规章制度,目前我国针对内部审计下的信息系统审计的规章为《内部审计具体准则第 2203 号——信息系统审计》,但这不足以完全支撑企业信息系统审计实践,还需要借鉴参考国外相关规章,如信息系统审计与控制协会(ISACA)出台了信息系统审计标准与实务指南以及 COBIT 标准等,结合 B 企业实际进行归纳和总结。这一基础性工作需要内部审计部门与信息技术部门相互配合,两部门应加强交流,做到分工明确、协作互补,从而高效高质量的完成此项基础性工作。#p#分页标题#e#
5.1 整理、归纳并完善信息系统审计制度
5.1.1 整理并归纳信息系统有关制度指引
整理并归纳信息系统有关制度指引,可使得完善信息系统审计制度事半功倍。因此,一方面信息技术等有关部门应依据自身需求及实现合理控制风险的考虑,并结合相关审计结论,完善相关制度指引。另一方面审计部门也应主动整理信息系统审计相关规章制度,目前我国针对内部审计下的信息系统审计的规章为《内部审计具体准则第 2203 号——信息系统审计》,但这不足以完全支撑企业信息系统审计实践,还需要借鉴参考国外相关规章,如信息系统审计与控制协会(ISACA)出台了信息系统审计标准与实务指南以及 COBIT 标准等,结合 B 企业实际进行归纳和总结。这一基础性工作需要内部审计部门与信息技术部门相互配合,两部门应加强交流,做到分工明确、协作互补,从而高效高质量的完成此项基础性工作。#p#分页标题#e#
5.1.2 构建并完善企业信息系统审计指南
在整理并归纳信息系统有关制度指引的基础上,结合 B 企业实际情况,建立并完善适用于本企业的信息系统审计工作指南。一方面要针对总结出的信息系统有关制度指引,加快应用于企业审计体系中的各领域,加强对此前审计中涉及较少的业务流程层面应用控制这一风险事项展开审查与评价。与此同时,对此前已开展审计但仍有欠缺的风险领域进行补充与完善,从而进一步加强信息系统审计制度体系对风险点的覆盖。另一方面要加强信息系统审计理论与实践工作的联系,结合 B 企业信息系统审计工作中存在的困难,不断修改完善信息系统审计指南,从而加强审计指南对实践工作的指导程度,实现相关审计工作与制度、指南的高度匹配。此外,实现内部信息系统审计制度指引对相关内部控制建设的促进作用,使内部审计的作用不局限于事后发现问题,从而促使内部审计不仅是发挥评价、监督作用,而进一步向管理咨询迈进。
在整理并归纳信息系统有关制度指引的基础上,结合 B 企业实际情况,建立并完善适用于本企业的信息系统审计工作指南。一方面要针对总结出的信息系统有关制度指引,加快应用于企业审计体系中的各领域,加强对此前审计中涉及较少的业务流程层面应用控制这一风险事项展开审查与评价。与此同时,对此前已开展审计但仍有欠缺的风险领域进行补充与完善,从而进一步加强信息系统审计制度体系对风险点的覆盖。另一方面要加强信息系统审计理论与实践工作的联系,结合 B 企业信息系统审计工作中存在的困难,不断修改完善信息系统审计指南,从而加强审计指南对实践工作的指导程度,实现相关审计工作与制度、指南的高度匹配。此外,实现内部信息系统审计制度指引对相关内部控制建设的促进作用,使内部审计的作用不局限于事后发现问题,从而促使内部审计不仅是发挥评价、监督作用,而进一步向管理咨询迈进。
..............................
第 6 章 结论
在信息化浪潮的大背景下,当代企业的业务、办公流程大都需借助信息系统完成,信息系统审计也因此成为内部审计的重要组成部分。本文在界定信息系统与信息系统审计涵义的基础上,从信息系统审计的目标、审计内容、审计方法、审计风险及其与传统审计的比较多方面进行介绍。其中审计内容与审计方法分别从企业层面信息技术控制、信息技术一般控制、业务流程层面应用控制三个角度进行概述。其次,本文选取 B 企业作为案例企业,在介绍 B 企业的背景信息及信息系统管理情况后,对 B 企业信息系统审计目标、审计过程、现场审计重点及审计方法进行总结,并介绍 B 企业信息系统审计结果与审计建议,以期提高信息系统运营效率,从而为企业带来价值,也给其他组织的信息系统建设起到借鉴作用。在此基础上,评述 B 企业信息系统审计,并总结信息系统审计工作中的不足与缺陷,具体来是信息系统审计制度不足、审计内容不全面、信息系统审计技术有待提高、缺乏信息系统风险评估体系四类问题,并根据实际情况提出相应的改善措施,依次是梳理、总结和完善信息系统制度体系,改善信息系统审计人员信息技术水平,扩展信息系统审计的广度,提升信息系统审计的深度及开展信息系统风险评估。
参考文献(略)
在信息化浪潮的大背景下,当代企业的业务、办公流程大都需借助信息系统完成,信息系统审计也因此成为内部审计的重要组成部分。本文在界定信息系统与信息系统审计涵义的基础上,从信息系统审计的目标、审计内容、审计方法、审计风险及其与传统审计的比较多方面进行介绍。其中审计内容与审计方法分别从企业层面信息技术控制、信息技术一般控制、业务流程层面应用控制三个角度进行概述。其次,本文选取 B 企业作为案例企业,在介绍 B 企业的背景信息及信息系统管理情况后,对 B 企业信息系统审计目标、审计过程、现场审计重点及审计方法进行总结,并介绍 B 企业信息系统审计结果与审计建议,以期提高信息系统运营效率,从而为企业带来价值,也给其他组织的信息系统建设起到借鉴作用。在此基础上,评述 B 企业信息系统审计,并总结信息系统审计工作中的不足与缺陷,具体来是信息系统审计制度不足、审计内容不全面、信息系统审计技术有待提高、缺乏信息系统风险评估体系四类问题,并根据实际情况提出相应的改善措施,依次是梳理、总结和完善信息系统制度体系,改善信息系统审计人员信息技术水平,扩展信息系统审计的广度,提升信息系统审计的深度及开展信息系统风险评估。
参考文献(略)
