IT审计架构研究.docx
- 文档编号:9312172
- 上传时间:2023-02-04
- 格式:DOCX
- 页数:7
- 大小:19.97KB
IT审计架构研究.docx
《IT审计架构研究.docx》由会员分享,可在线阅读,更多相关《IT审计架构研究.docx(7页珍藏版)》请在冰豆网上搜索。
IT审计架构研究
IT审计架构研究
IT审计架构研究
基于国家审计需求IT审计架构研究
一、引言
IT审计(InformationTechnologyAudit)是信息技术应用于审计实务产生新概念,人们对IT审计理解是逐步深入。
我国国家审计中相对于IT审计提法一般为计算机审计,自上世纪80年代以来探索和实践过程中,也先后出现过会计电算化审计、计算机辅助审计、计算机数据审计、信息系统审计等诸多与IT审计相关称谓,国外则有EDPA、CAA、ISA、ICTA等各种提法。
笔者认为,结合我国国家审计职能和特点,IT审计可以定义为利用信息技术组织开展审计。
这一提法可以较为全面、准确地定义信息技术在国家审计实务中应用,同时也是世界审计组织(INTOSAI)及其IT审计工作组各成员国最高审计机关普遍认可和采用提法。
由于各国国家审计机关在IT审计定位和侧重等方面存在差异,其组织形式和实施模式也不尽相同。
世界审计组织(INTOSAI)认为IT审计是通过获得和评估证据,确定IT系统是否保护了组织资产,有效率地使用资源,维持数据安全性和一致性,以及有效地达到组织业务目标过程,这一定位得到了各国最高审计机关普遍认同;国际信息系统审计与控制协会(ISACA)建立了普遍适用信息系统审计标准、指南和流程,所发布COBIT已经成为国际上公认最先进、最权威信息技术控制框架;美国审计署(GAO)将信息系统审计作为IT审计重点,在20xx年2月发布《联邦政府信息系统控制审计手册》中将信息系统审计实施分为一般控制审计和应用控制审计两个部分;英国审计署(NAO)侧重于政府IT项目绩效审计,在20xx年2月发布绩效审计报告中对过去十年来信息技术在政府工作中发挥作用、面临挑战和发展方向进行了系统总结。
二、我国现行国家IT审计架构及缺陷
随着信息技术在社会经济生活各个方面广泛运用,为适应信息化环境变化,我国国家IT审计从上世纪80年代末开始起步,从无到有、从单机到网络、从探索研究到逐渐普及,在多年发展中逐步形成了一套具有本国特色IT审计架构和工作模式。
(一)现行国家IT审计架构。
在法理基础方面,审计法明确规定了审计机关有权要求被审计单位提供计算机储存和处理财政、财务收支电子数据以及必要技术文档,有权检查被审计单位信息系统;《国家审计准则》也根据信息技术环境下开展审计工作特殊性作出了一些特别规定,在编制年度审计项目计划和审计实施方案,实施审计检查、获取审计证据,作出审计结论、出具审计报告等环节表现出鲜明关注信息系统、突出信息技术特色。
在组织结构方面,以审计署为例,已经形成计算机技术中心负责组织协调和指导管理全国审计系统信息化建设格局,各审计业务部门负责结合审计项目开展电子数据审计。
计算机技术中心不仅要配合业务部门开展计算机审计业务,同时还要承担建设、开发、推广和维护审计信息系统,以及编制IT审计规范和组织IT培训考试等各项工作。
在工作模式方面,随着现场审计实施系统(AO)和审计管理系统(OA)全面应用,国家IT审计逐步迈入一个新发展阶段,初步形成了利用信息技术开展大型项目组织管理,运用审计软件实施现场审计,积极探索联网审计和信息系统审计,逐步推进审计数据资源建设IT审计模式,审计信息化水平不断提高。
(二)国家IT审计中存在问题。
由于组织结构和工作模式还不能完全适应工作需求,与充分发挥审计保障国家经济社会健康运行“免疫系统”功能要求相比,我国国家IT审计还存在以下不足:
1.审计业务与IT技术结合不够紧密。
虽然计算机审计培训已开展多年,计算机审计技术也已在国家审计各个行业、领域得到推广应用,但仍然较为普遍地存在审计业务部门过于依赖IT部门技术支持现象,粉饰和包装计算机审计成果情况也屡见不鲜。
在审计项目中原本应由审计业务部门主导和实施常规计算机审计工作往往过多地需要借助IT技术人员参与,不仅不利于各行业、领域中审计业务与计算机技术紧密结合,而且较易形成审计业务与计算机技术“两张皮”,阻碍了计算机审计技术在审计实务中进一步深入应用。
2.IT审计部门职能定位不够清晰。
与部分其他国家审计机关比较,目前我国审计机关还没有纯粹意义上IT审计部门,IT部门职能定位较为模糊。
一般来说,审计机关设立计算机技术中心、计算机审计处、信息中心等部门同时承担了电子数据审计、信息系统审计、日常维护和技术支持等多项职能,凡是与信息技术相关职能均由IT部门负责,因此不仅需要承担大量系统开发、维护和管理工作,还要投入精力开展计算机审计业务,
IT业务需求与人力资源矛盾突出。
同时,IT部门往往没有真正作为审计业务部门进行管理,在独立开展信息系统审计和IT绩效审计项目方面存在障碍,处于较为尴尬局面。
3.信息系统审计和IT绩效审计起步较晚。
由于信息化程度差别,美国、英国等国家广泛开展信息系统审计和IT绩效审计在我国尚处于探索阶段。
一是信息系统审计还没有成熟有效组织方式和审计标准,同时由于掌握核心技术IT公司为保持其垄断地位不会轻易公开其核心技术,审计人员对商业银行、大型国企等单位所使用信息系统难以了解透彻;二是对IT项目投资审计还仅仅停留在资金审计层面,IT项目绩效尚未开始作为一个单独审计类别进入国家审计范围,也没有形成系统、科学政府IT项目绩效评价指标体系。
三、国家IT审计架构探析 IT审计职能来源于审计工作实际需求。
国家审计机关法定职责是监督被审计单位财政、财务收支以及有关经济活动真实性、合法性、效益性,保障国家经济和社会健康发展工作目标。
为了适应信息化环境下国家审计履行法定职责需要,应当构建国家IT审计体系架构。
(一)国家IT审计架构需求分析。
前述定义,IT审计是利用信息技术组织开展审计。
一方面,利用信息技术对以电子数据为载体财政财务收支和相关经济活动真实性、合法性、效益性进行审计监督;另一方面,需要对记录、处理和产生电子数据信息系统内部控制进行检查,以确保电子数据真实、完整和可靠。
于是,总体来说IT审计架构可以划分为两大类,即:
利用信息技术对记载财政财务收支和相关经济活动电子数据审计和利用信息技术对产生电子数据信息系统内部控制审计。
从国家审计履行法定职责角度看,可先组织信息系统审计,检查信息系统内部控制对产生电子数据真实、完整和可靠性影响;再组织电子数据审计,检查财政财务收支和相关经济活动真实性、合法性、效益性。
通常情况下,也可交叉组织实施。
1.信息系统审计。
通常情况下,信息系统审计是实施电子数据审计必要准备,属于结合电子数据审计信息系统审计。
但对于电子政务工程建设项目、企业ERP建设项目审计,需要对项目建设信息系统规划、设计、研发、实施、运行、维护等全过程,对信息系统应用系统、信息资源、网络系统、安全系统、运行服务系统等各组成部分,进行全面审查。
此时信息系统审计并不结合电子数据审计,属于独立信息系统审计。
因此,信息系统审计可划分为结合式和独立式两种方式。
结合式信息系统审计,其目标是检查信息系统内部控制对产生电子数据数据风险,测评信息系统对数据真实性、完整性和正确性影响。
由于数据式审计运用一定是在信息化环境下,如同在纸质环境下一样,系统内部控制合理性、健全性和有效性直接影响着数据真实性、完整性和正确性。
因此,为了控制数据风险,保障审计目标实现,审计人员应该首先要对信息系统内部控制进行调查、测试和评价。
独立式信息系统审计,其目标是检查项目建设信息系统安全性、可靠性和经济性。
据有关统计数据,20xx年我国政府行业IT应用建设投资总规模达707.5亿元,同比增长14.2%,相当于奥运全部场馆建设3.6倍,超过三峡工程15年投入三分之一。
历年政府IT项目建设投入巨额资金后,是否存在重复建设、绩效低下情况,以及电子政务建设在提高政府行政效能和公众服务能力方面效果如何都亟待评估。
因此,除了一般意义上对被审计单位信息系统安全、可靠、有效和效率等进行审计之外,对信息系统和IT项目经济性和投资绩效也应纳入独立式信息系统审计范畴。
2.电子数据审计。
电子数据审计是以系统内部控制测评为基础,通过对电子数据收集、转换、整理、分析和验证,对信息系统产生电子数据及其他相关数据所记载经济业务真实、合法和效益进行审计。
审计人员利用信息技术对被审计单位财务数据及其他相关数据进行检查是审计机关一项重要职责,电子数据审计审计目标和审计范围与传统手工审计是基本一致,只是审计对象、方法和技术发生了变化,主要是审计机关和被审计单位双方都利用计算机作为作业工具,即一方用计算机记录财务会计核算和经营管理数据,另一方用计算机进行审计。
电子数据审计作为传统手工审计在信息化环境下自然演化,是目前使用最多、应用最广IT审计形式。
近年来,我国各级审计机关总结审计经验,组织开发了以现场审计实施系统(AO)为代表一批审计软件,并注重在实践中予以修改完善。
审计软件广泛应用,改进了审计手段,提高了审计效率,加强了审计工作在信息化环境下适应能力。
另外,作为“金审工程”重要建设成果国家审计信息系统(GAIS)已经初具规模,随着现场审计实施系统(AO)、审计管理系统(OA)、审计数据中心、网络系统和安全系统等应用不断深化,对审计机关所属机房、网络、网站和信息系统等基础设施建设、运行与维护,以及为审计业务和审计管理工作提供技术支持提出了更高要求。
(二)建立适应国家审计需求IT审计架构。
结合我国国家IT审计实际需求,审计机关应该具备相应组织结构,形成有效IT审计模式开展工作。
1.开展信息系统审计IT架构。
无论是结合式还是独立式信息系统审计,其审计对象是信息系统本身。
信息系统审计重点是检查信息系统对其产生数据影响,或是信息系统自身安全性、可靠性和经济性。
结合式信息系统审计,需要对信息系统承载业务流、数据流技术设计和技术路径,对数据输入、处理和输出内部控制和安全防护等进行检查,以测评系统内控对数据影响风险;独立式信息系统审计,需要对信息系统应用系统、信息资源、网络系统、安全系统、运行服务系统等各组成部分进行检查,以测评信息系统安全性、可靠性和经济性。
由于信息系统审计特殊要求,需要具有一定IT审计知识和技能IT审计部门进行检查测评。
由于结合式信息系统审计需要对信息系统承载业务流、数据流进行检查,对数据输入、处理和输出业务流程进行检查,即便独立式信息系统审计也要检查项目建设业务目标和项目投资经济性问题,需要审计业务部门配合和支持。
因此,信息系统审计IT架构,需要IT审计部门和审计业务部门共同合作。
通常情况下,应该以IT审计部门为主,以审计业务部门为辅。
2.开展电子数据审计IT架构。
电子数据审计应用范围较为广泛,核心是通过分析被审计单位财务数据和其他相关数据并取得审计证据技术。
电子数据审计重点应该是运用计算机技术对电子数据进行分析性复核、比较和抽样,无论是现场审计还是远程审计,无论是单机模式还是联网模式,无论是简单比较分析还是相对复杂数据仓库技术,无论是国内AO还是国际上普遍使用ACL、IDEA审计软件,共同点都是利用间接测试并从关系模型中得出审计证据。
运用计算机技术进行审计为查错纠弊带来了极大便利,很容易实现对某一类数据查询和筛选,使手工审计条件下无法做到详细审查成为可能,同时财务数据和业务数据结合更便于发现被审计单位管理和经营方面漏洞和舞弊行为。
由于审计对象、环境、方法和技术变化,一方面需要审计业务部门在掌握和运用各类审计业务知识、技能同时,也要掌握和运用计算机审计知识和技能;另一方面,复杂业务计算机审计处理依赖于信息技术审计组织模式和管理模式运用,需要IT审计部门配合和支持。
因此,电子数据审计IT架构,需要审计业务部门和IT审计部门共同合作。
通常情况下,应该以审计业务部门为主,以IT审计部门为辅。
四、进一步完善国家IT审计架构几点建议 我国国家审计信息化建设正处于发展阶段,与先进国家发展水平相比,IT审计架构还不够完善,审计理念还不够先进,在很多方面都需要借鉴国外经验。
但借鉴并不是原样照搬和全盘接受,而是应该根据自身特点,对他国先进经验进行批判地吸收。
着眼于国家审计作为保障国家经济社会健康运行“免疫系统”特殊定位,同时结合国家IT审计现实情况和发展方向,国家IT审计架构应该根据工作需求进一步加以完善。
(一)逐步实现审计模式转变。
随着计算机技术在审计实务中广泛运用,国家审计环境、对象和方法变化导致原有审计模式已不再适应发展要求,国家审计正在原有基础上不断完善,逐步向高效率、高质量方向发展。
未来信息化审计模式实现在很大程度上需要依赖信息技术,其与传统审计模式相比有如下特征:
其一,它是一种以电子数据作为直接审计对象数据式审计模式;其二,具有不间断性、循环性和实时性,这意味着审计活动将在一个更连续、更频繁和更及时基础上实施;其三,可以经济地实现详细测试,在信息化环境下利用技术自动执行控制测试和风险评估方法使得进行连续性测试成为可能。
在这种情况下,计算机技术势必与传统审计技术和方法高度融合,以计算机技术作为支撑审计业务处理能力大大提高,信息化环境下审计模式转变将是IT审计未来发展必然趋势。
(二)逐步实现IT审计专业化。
在IT审计部门机构设置和职能定位方面,以美国审计署为例,不仅有专门信息技术局开展信息系统审计业务,而且还有专门信息系统与技术服务部门保障内部信息系统运转,另外还设有技术工程和信息安全实验中心负责改善信息技术和促进软件工程现代化,评估联邦政府计算机系统安全性。
我国国家审计也应当根据实际需求进一步调整IT部门职能定位,结合审计机关内设机构细分电子数据审计、信息系统审计、技术支持与服务等不同机构和职能,进而逐步实现IT审计专业化。
(三)逐步实现信息系统审计常态化。
一是成立专门IT审计部门开展信息系统审计,由有经验和资质IT审计师就被审计单位信息系统进行审计和评价,并单独出具审计报告、审计决定和审计建议,使信息系统审计逐渐成为常态。
二是根据国家审计定位和信息系统审计特点,全面总结各级审计机关近年来信息系统审计经验,围绕被审计单位信息系统安全性、可靠性和经济性,制订具有中国特色信息系统审计标准和指南,系统阐述信息系统审计审计目标、组织方式、审计步骤和技术方法,加快信息系统审计人才培养。
三是克服IT绩效审计起步较晚、基础薄弱等种种障碍,及早制订适合我国实际情况IT项目评价指标体系,将IT绩效审计列为审计工作长期规划中一项重要任务。
)
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- IT 审计 架构 研究