审计局内部审计范文
时间:2023-03-20 16:44:23
导语:如何才能写好一篇审计局内部审计,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
一、加强内部审计人员业务培训和审计廉政建设。加强区教育局内审人员的内部审计业务提升,积极参加省、市、区组织的审计业务培训,同时采用“请进来走出去”的培训模式,继续提高内部审计人员的业务素质,进一步提高内部审计的工作质量。内部审计人员严格执行《省教育审计工作廉政规定》的内容,保持严谨细致的工作作风,做到依法审计、规范审计、精细化审计,确保审计工作的客观公正和审计人员的廉洁从审。
二、重点实施公办中小学(幼儿园)固定资产管理的专项审计调查。加强学校固定资产的科学管理,维护学校固定资产的安全和完整,合理配置和有效利用固定资产,提高国有资产使用效益,保证教育教学工作的顺利进行。通过实施中小学(幼儿园)固定资产管理的专项审计调查,进一步规范中小学(幼儿园)固定资产的增加、使用、维护和变动、处置等财务活动,严肃财经纪律,有效预防国有资产的流失等行为发生,促进勤俭节约和廉政建设,充分体现固定资产的使用价值。
三、常态化实施教育系统三年轮审工作。《区教育系统第二轮内部审计三年轮审工作计划》中明确规定轮审对象、范围、方式、内容、重点以及组织实施方法,按照学校单位内部管理情况、预决算管理、收支管理及结余情况、“三公经费”使用情况、专项资金使用情况、往来款情况、单位固定资产管理情况、单位收费情况、学校食堂管理情况、工会账务管理情况等十个方面的审计内容进行审计,在规定时间内完成三年轮查计划中的开始第二年的审计任务,是教育局审计室落实审计监督的具体工作要求,应当充分发挥教育系统内部审计的监督、评价和服务功能。通过审计,深入了解单位内控制度建立及执行情况、财务收支状况和财务管理情况,规范经费收支行为,提高教育资金使用效益;进一步增强单位领导和后勤管理人员的财经意识,提高风险防范能力,预防和遏制违规行为发生,确保教育经费和财产安全。
四、实施下属单位负责人离任经济责任审计工作。根据教育局下属单位负责人的人动情况,及时组织完成校长(园长)和直属事业单位负责人离任经济责任审计的任务。通过审计,核实单位财务收支及账内、外负债情况,以澄清家底。全面掌握财务收支及相关经济活动真实性、合法性及重大经济项目的决策、实施和内控制度的执行情况。并根据审计情况提出合理化建议,促进学校进一步加强财务管理和增强遵纪守法意识;并对校长(园长)和直属事业单位负责人在其任期内经济责任进行客观、公正的鉴证和评价,为干部管理部门考核使用干部提供依据。
篇2
【关键词】 电信;数据仓库;数据审计;内部安全
近年来,随着信息技术的大规模使用,国内电信企业信息安全问题凸显,移动充值卡破解、电信计费数据库清零等各类事件,使我们认识到,电信行业内业务系统的信息安全治理问题已经成为了当前的一道难题。从这个角度来看,本文对电信企业数据库审计以及内部安全问题进行研究具有一定的现实意义。
1电信企业数据库安全现状
电信行业的信息化提高了企业的工作效率,也提升了电信企业的服务质量。但是,由于当前电信企业的数据库普遍采用的是传统的安全防范技术,过分强调单个安全产品的重要性,比如对防火墙的性能以及功能过分的信赖,导致对其数据库信息安全缺乏一个系统、完整的解决方案。同时,由于我国的电信企业业务发展非常快,用户数量快速增长的同时也导致数据剧增, 在这个过程中,电信企业也面临着需要更多的数据访问的威胁、内部人员威胁、软件开发商等外部人员的威胁以及防火墙内部黑客攻击的威胁等等。这些威胁的客观存在在实践中也造成了不少的电信企业数据库安全事故。总之,电信企业数据库安全问题不容乐观。
2电信企业数据库审计与内部安全系统的设计
2.1电信企业数据库审计与内部安全系统所需实现的功能
根据电信行业的特殊性,以及当前我国电信企业在数据库审计以及内部安全方面的现状,我们认为,电信企业数据库审计与内部安全系统所需实现的功能有如下几个方面:(1)能够实时的进行审计,通过对电信企业的各项业务数据的实时收集,审理各业务系统的安全审计日志;(2)对数据库审计策略进行管理,如果电信企业数据库是Oracle数据库,则需要能实现对细粒度审计信息的收集;(3)监控多种数据平台,保证良好的扩展性;(4)支持多业务系统的审计日志统一管理,保障信息化系统数据的安全性与合规性;(5)对审计信息进行良好的展现与分析,并且实时观察电信企业核心业务的安全性。
2.2电信企业数据库审计与内部安全系统的架构设计
本次设计的电信企业数据库审计与内部安全系统的架构包括了四个核心部分,即审计数据源、审计信息的采集、审计信息的汇总以及分主题的展现,详情如下图所示:
图1电信企业数据库审计与内部安全系统的架构设计
2.3系统的实现
数据源部分,主要包括了与客户经营活动相关的各种数据,首先确保系统具有较强的可扩展性,使其能够支持各种数据源的接口,包括CRM数据系统、综合计费账务系统、综合结算系统、客户服务系统以及财务系统等。
数据采集部分,主要是采集如下几个方面的数据:(1)各类业务系统的数据库审计策略;(2)根据审计策略定时从需要监控和审计的业务系统中获取审计结果。
审计信息汇总部分,实际上就是一个数据仓库,通过将各类数据进行分析,建立自动数据处理机制,为数据库的审计以及内部监控信息的分析提供一个完整的、可靠地、统一的数据存储。
分类主体展现方面,实际上就是通过配合不同的数据分析应用,通过客户机或者浏览器的方式,对数据进行可视化的呈现,使得数据能够更好的被用户所接受和理解,实现数据库审计以及内部信息监控的价值,从而有效的提高决策准确性与决策的效率。要实现这些功能,实现要通过前端分析工具对数据仓库进行OLAP分析,由于其具有内置的开发空间,是一种所见即所得的开发方式,能够通过数据表、交叉表、曲线图等各种不同的形式或者组合形式来表现分析结果,对数据进行多维分析、趋势分析、意外分析、排名分析、比较分析、原因和影响分析以及What-If分析,从而实现数据库的审计和内部信息监管。
3结语
当前,电信行业内的业务信息系统的安全治理是电信企业面临的一道难题。这既有来自于电信企业外部的层出不穷的入侵和攻击,也有来自于电信企业内部的违规和泄漏。由于电信业务系统众多(如:OSS、BSS、MSS、销账、EIP、OCS、财务、营销支撑、计费结算等),数据库用户较多,涉及数据库管理员、内部员工、营业厅及合作方人员等,因此网络管理更加复杂文章对当前我国的电信企业数据库安全现状进行了大致的分析,信息技术的飞速发展和普及,改变了现代企业的经营方式,越来越多的企业在正常的生产经营过程中,已经离不开IT系统的支持。在此基础上针对电信企业的业务开展特点和现状,提出了电信企业数据库审计及内部信息安全系统的基本需求,构建了系统的基本架构,并且对主要功能模块的实现进行了大致的探讨。希望本文的研究对于改善我国的电信企业信息安全现状能够有一定的推动和促进作用。
参考文献
[1] 刘畅. 构建基于数据仓库的劳动力服务决策系统[J]. 现代计算机. 2003(09)
[2] 张摘月,王峰. 数据仓库技术在基层人民银行的应用研究[J]. 中国金融电脑. 2001(08)
[3] 朱义军,王乘. 应用在电力系统中的数据仓库及其设计[J]. 广西电力. 2003(03)
[4] 王姝华,仲华,吕明. 移动通信企业数据仓库系统设计初探[J]. 江苏通信技术. 2004(02)
篇3
关键词:大数据;电力企业;内部审计信息化;信息技术
1大数据时代下电力企业内部审计信息化的重要性
1.1信息时代的必然要求
随着企业的规模扩大,业务量增长较快,传统的内部审计方式已经难以满足当前电力企业的实际需求,而信息技术则为内部审计工作带来新的机遇,使用信息技术收集数据和分析数据,可以提高审计效率,保证内部审计质量。因此电力企业实现内部审计信息化是信息时代的必然要求。
1.2实现内部审计全面性
电力企业的内部审计工作必须要保证覆盖企业的所有业务内容,传统模式下的内部审计工作的覆盖面较窄,而且所反映的问题全面性不足,导致内部审计工作难以有效发挥其作用。电力企业通过信息技术实现内部审计,借助信息手段处理大量的数据信息,实现内部审计的全面性。
1.3提升内部审计的准确性和效率
内部审计需要对电力企业经济业务的运行进行监督评估,通过内部审计信息化能够减少人工处理数据中的失误,内部审计信息化能够更加精确的处理数据,而且电力企业利用内部审计信息化管理系统,为内部审计员工提供了信息查询平台和交流平台,提升了内部审计工作效率。
2大数据时代电力企业内部审计信息化存在的问题
2.1内部审计信息化建设意识不足
在大数据时代下,大多数企业都提高了对信息化管理的重视程度,并将信息技术运用在企业经营管理中,全面提升内部管理质量。但是针对目前电力企业的现状来讲,企业对信息化管理的重视程度较高,并且将其运用在内部审计工作中,基本满足信息化管理的相关需求,但是从整体情况来看,电力企业的内部审计信息化建设意识仍然较为薄弱。企业管理层较为重视经济效益的提升,忽视内部审计工作,从而导致在进行内部审计信息化建设过程中,对其投入的精力较少,另外,由于内部审计信息化建设需要企业投入较多的成本,而且在短时间内无法得到收益,反而会影响企业的经济效益,导致企业内部审计意识薄弱。电力企业的内部审计人员缺乏信息化理念,未能正确认识内部审计信息化的重要性,导致其仍然坚持使用传统的内部审计方式进行工作,较少使用大数据技术。
2.2电力企业的内部审计信息系统不完善
完善的内部审计系统是电力企业实现内部审计信息化的基础,内部审计信息系统包括硬件基础设施和软件。建设信息系统的硬件基础设施需要电力企业耗费大量的资金和人力,电力企业在系统建设前期需要投入大量成本,这些成本是否能够在系统建设完成后投入使用过程中得到回报还未可知。而且内部审计系统中需要开发多种功能,必须要满足电力企业的内部审计需求,但是就目前的实际情况而言,电力企业的内部审计系统功能有待完善,信息系统不能完全满足电力企业的需求。
2.3内部审计人员信息技术水平较低
在电力企业未开始内部审计信息化建设之前,内部审计人员只需要拥有较高的审计专业知识即可,但是在内部审计信息化的要求下,内部审计人员的能力素质不足以支持内部审计工作的开展。由于内部审计信息化的推进,传统模式下的内部审计人员面对更为严格的要求,不仅要掌握审计专业知识,还需要掌握信息技术,能够熟练应用信息技术展开工作。但就目前的实际情况而言,只有少部分内部审计人员能够做到同时掌握审计专业知识和信息技术,其他内部审计人员仅仅在审计知识方面占据优势,对信息技术的理解较为匮乏,导致内部审计信息化进程较慢。
3优化电力企业内部审计信息化的有效措施
3.1提升内部审计信息化建设意识
电力企业在提升对内部审计信息化重视的同时,需要树立正确的信息化审计意识,明确在大数据时代下,电力企业落实内部审计信息化建设的必要性,端正内部审计人员以及其他员工对内部审计信息化的态度,使其积极配合内部审计信息化建设工作,打破传统审计模式的局限性,接受并尝试内部审计信息化,从而为内部审计信息化建设提供优质的基础环境。电力企业的管理者必须要改变以往“轻审计,重效益”的管理观念,提高对内部审计的重视,将内部审计作为企业管理工作的重点,在内部加大对内部审计信息化的宣传,使员工更加深刻的理解内部审计信息化对企业发展的作用,从而促使相关人员在工作过程中积极使用信息技术和平台开展内部审计工作。
3.2完善内部审计信息系统
内部审计信息系统是电力企业实现内部审计信息化的基础,首先,电力企业需要在系统建设前期进行科学规划,明确内部审计信息系统所需的硬件设施和软件,并配合成本管理对购买软硬件设施耗费的成本进行控制,保证企业能够以最低的成本购置高质量的软硬件设置,满足内部审计信息系统的需求。其次,电力企业需要明确内部审计工作的相关内容,并且与软件公司的开发人员进行沟通,确保内部审计系统能够全面覆盖企业的审计工作,实现内部审计的全面性。最后,内部审计信息系统开发完成之后,需要进行多次测试,确保系统能够稳定运行,同时电力企业可以与软件公司保持良好合作关系,以便于后期对系统进行更新维护以及升级。
3.3提升内部审计人员的信息技术水平
电力企业针对现阶段内部审计人员的实际情况,应当制定科学人才培养计划,对内部审计人员进行差异化培训,对审计专业能力较强,信息技术水平较低的员工加强信息技术培训,对信息技术水平较高,审计能力较低的员工加强内部审计专业培训,通过差异化培训缩短员工之间的差距,从而更好的服务于内部审计工作。电力企业还可针对内部审计人员的培训工作建立奖惩机制和考核机制,对内部审计人员的培训进行考核,对表现较好的内部审计人员进行一定的物质奖励,反之则进行惩罚,以此来提升内部审计人员对培训学习的积极性。另外,电力企业也可根据内部对人才的需求,招聘内部审计人员,并且要适当提高招聘条件,确保为企业引进高素质的复合型人才,从而优化企业的内部审计人员结构,加快推进内部审计信息化。
篇4
一、W国有林管局概述
W国有林管局迄今已有60年的历史,全局林地总面积189万亩,其中有林地76万亩、疏林地4万亩、灌木林地18万亩、未成林造林地18万亩、苗圃地0.3万亩、无立木地0.7万亩、宜林地23万亩、其他林地6万亩、未领证面积43万亩。全局活立木总蓄积326万立方米,其中乔木林76万亩318万立方米、疏林4万亩8万立方米,从起源结构上看,人工林与天然林面积各占一半。
全局现有建制单位22个,分别是11个国有林场、2个副处级单位和9个其他单位。局机关内设14个科室,分别为人事教育科、办公室、党委办公室、营林科、资源管理科、纪检监察科、综合计划财务科、多种经营科、行政科、工会与离退休人员管理科、科技科、社会保险科、内部审计科;W国有林管理局将在“生态立局、营林强局、产业富局、人才兴局、文化靓局”理念指导下,为实施生态兴省战略、推进国有林区率先发展做出更大的贡献。
二、W国有林管局内部审计存在的问题
(一)内部审计制度不完善
当前,我国制定的是行政部门内部控制的规范,但是没有内部审计的规章制度,导致内部审计工作的实施无法可依。没有规章制度的束缚,执行部门的进行力度和效率就会大打折扣,达不到林管局的目标。再者,林管局尽管设置内部审计科,保持内部审计的独立性,但内部审计科内部职工的职责不明确,重复工作导致整个科的办事效率低下。同时,没有建立监督和激励制度,未对内部审计工作进行及时的指导和监督,激励审计人员认真工作,内部审计专业人员缺乏,有时会让财务人员,如此内部审计的工作缺乏专业性、独立性减弱。因此,内部审计部门就形同虚设,起不到应有的作用。
(二)内部审计重视度不够
内部审计科对内部审计工作认识不清,尽管设置内部审计部门,但对审计工作的必要性和重要性不明确。个别领导认为内部审计工作只是面向日常基本的收支,账面上的资金流动没有问题就可以,对内部审计相关的法律法规等不熟悉、不透彻,认为这是形式化,没有落实到实际工作中。同时认为政府实施收支两条线管理、资金实施了国库集中支付、行政事业单位编制了部门预算、物资的购买实行政府采购,就更加不需要单位自身再进行内部审计,还有的一些单位领导者、负责人,把内部审计与纪检监察画上等号,对内部审计的作用与职能存在严重的错误认识,这种错误的观念极大地限制了内部审计工作的有效开展。
(三)内部审计人员财务素质欠缺
内部审计人员对内审的法律法规、知识、审计知识、职业操守等素质的高低直接决定审计工作财务风险。审计工作要求审计人员专业知识和工作经验双具备才可以顺利展开。审计涉及内容广泛,涉及对象复杂,如果审计人员没有相关的工作经验,在工作中就会无处下手,审计工作无法起到应有的作用。审计人员往往按照以往惯例,先账本、再报表、后凭证,主要精力集中于会计数据的整理,缺少静态分析、结构分析等分析方法全面剖析审计事项,揭示不出问题的实质,审计结果很泛泛,不具有实际使用价值。审计人员在工作中未保持客观的态度和职业操守,徇私舞弊、故意漏账、审计结果与实际情况不符等,均会影响审计质量,审计风险进一步增加。
三、加强国有林管局内部审计的措施
(一)完善林管局内部审计的制度
俗话说“无规矩不成方圆”,审计制度不健全导致审计人员在办公过程中无据可依。健全和完善内部审计制度,要求审计人员按照规章制度开展工作,更好地实现行政事业单位内部审计工作的制度化、法制化与规范化;要建立健全单位内部审计的控制制度、奖惩机制及必要的责任追究制度,从而有效地规范参与内部审计工作人员的行为,切实保护好内部审计工作的严肃性。责任追究制度的建立,把责任明确到每个人的头上,审计人员会认真谨慎对待,时刻按规章制度要求的方法办公,减少工作中的差池,时刻保持清醒的头脑。还有社会的监督力度,注册会计师审计是社会监督的重要部分,督促林管局从自身利益和社会形象出发,自觉实施完善内部审计;最后是政府的监督力度,严格执法机制,利用政府监督的权威性,依法追求管理者的职责。在林管局、政府和社会三方的努力下,营造内部审计的良好氛围,为内部审计制度的完善提供基?A。
(二)强化内部审计意识
意识决定行为,因此林管局的全部职工要加强内部审计意识,特别是林管局局长和内部审计科的负责人。作为我国三大监督主体之一的内部审计,相较于社会审计和政府审计更具有主动性。所以从认识层面上应该把强化内部经济监督与审计联系起来,通过各种手段努力提高行政事业单位领导、员工、财务人员、内部审计人员等对于内部审计工作重要性的认识,只有提高了认识,内部审计工作才能不断得到加强,更好地发挥职能作用。领导应起带头示范作用,明确内部审计的必要性,时刻给职工灌输内部审计的知识,激发职工审计的热情。内部审计科的工作目标应该与林管局的总体目标相一致,将工作目标进行细分,细分到每个审计人员的头上,明确每个人的职责,要在条件允许的范围,设置奖励和问责机制。通俗来讲,内部审计工作是查找财务缺漏的,内部审计工作本着公平公正的原则,按照内部审计的规章制度,帮助相关人员认识自身的错误,对存在的问题给予正确合理的解决方法,做好内部审计的本职工作,借鉴对方的可取之处,提高自身服务的能力。同时,审计员工要适应时代的发展要求,不断更新审计方法,充分认识到审计工作的重要性和必要性。因此,林管局的宣传部门应该加大力度宣传内部审计重要性,360度提高林管局全部职工对内部审计的认识。
(三)提升内部审计人员财务素质
行政事业单位内部审计人员的财务素质是决定审计工作能否顺利开展的关键,因此提高内部审计工作人员的业务素质成为国有林管局亟待解决的问题。首先,内部审计科室每半年安排工作人员去国内高等院校进修,学习相关的专业知识,提高他们的整体业务水平,使他们结合实践总结工作经验,提高运用理论知识解决实际问题的水平;完善审计队伍的进出渠道和科学的激励机制,采取有效措施不断调动内部审计人员的工作积极性;此外,还应加强政治理论教育和职业道德培养,树立务实高效的工作作风。再者,林管局的相关部门定期请内部审计的专家到林管局进行讲座,强化内部审计的意识,增强内部审计人员的财务素质,同时还要组织内部审查考察小组,对内部审计人员的专业知识进行考核,理论知识欠缺的要加强其财务知识的学习,教导其灵活运用理论知识解决实际工作问题。同时不断研究应用新方法、新技术,改进信息技术在内部审计实施中的应用。整合审计力量,发挥监督合力,更好地实现审计监督全覆盖。
篇5
风险管理的思想理论从20世纪30年代开始萌芽,到50年展成一门独立的学科,70年代逐渐在全球范围内掀起了风险管理运动,80年代后市场环境的复杂化引致各种财务风险,促使企业开始关注并寻求规避风险。世纪之交,所有企业面临的经营环境和风险更加复杂和多变。在实践领域,一些知名的大公司由于风险管理不当引发破产事件频发。近20年来,美国、英国、日本等先后建立全国性或地区性的风险管理协会,有组织、系统地研究风险管理。理论界和实务界冲破了传统风险管理理论对风险的狭隘理解,开始对企业的所有风险进行整体的研究和管理,形成一个新概念———“整体化风险管理”,即全面风险管理。美国COSO委员会于2004年了《企业风险管理———整体框架》,以替代沿用很久的《内部控制———整体构架》,运用全面风险管理框架涵盖内部控制,构建了更强有力的概念和管理工具,提出企业风险管理的八个相互联系的要素,每个要素均与风险管理密切相关,成为企业进行风险管理和衡量风险管理有效性的标准。20世纪80年代,我国的一些学者将风险管理和安全系统工程理论引入国内并应用到企业管理中,取得了较好的效果,从而开始了对风险管理的关注和研究。国务院国有资产监督管理委员会于2006年印发了《中央企业全面风险管理指引》,该指引借鉴了COSO《企业风险管理框架》的主要精神,同时还参照发达国家有关企业风险管理的法律法规、国外先进的大公司在风险管理方面的通行做法,以及财政部《企业内部控制规范》的相关规定,明确要求中央企业逐步建立健全风险管理长效机制,促进企业在复杂多变的市场环境中稳步健康发展。
二、内部审计的演变:由财务、经营审计到风险管理审计
20世纪初期,尤其是第一次世界大战后,西方发达国家的企业组织规模明显扩大,企业内部管理层次不断增加,管理层主要依赖内部审计机构查错防弊,保护企业资产安全。20世纪40年代至60年代,企业集团和跨国公司大量涌现,生产经营业务日趋复杂,内部控制跨度加大,内部审计由查错防弊转向检查并评价内部控制的有效性。20世纪60年代后,企业最高管理层更加关注合理利用各种资源,提高经营效率,要求内部审计直接对各类经营业务和管理活动进行审查和评价,内部审计向管理审计方向发展。近20年来,世界范围内产品技术变革速度加快,企业兼并、重组浪潮对企业的治理结构、管理模式等产生了重大影响和冲击,各种潜在风险层出不穷。2002年4月,国际内部审计师协会在对美国国会关于《萨班斯-奥克斯利法案》的意见陈述书中指出,内部审计、外部审计、董事会以及高层管理人员应成为公司有效治理的四大基石,这是国际权威机构首次将内部审计提高到公司治理的高度。就世界范围来看,美、英等西方发达国家适应全面风险管理的要求,以先进的内部审计理念为指导,并颁布和实施配套的内部审计实务标准,从而使内部审计的范围几乎涉及企业的所有领域,定期提出具有建设性的风险评估意见。可以预见,现阶段乃至今后相当长的时期,管理审计是内部审计发展的大方向,而且由于风险管理是企业所有管理工作的核心,将新型的风险管理审计作为管理审计的重点,势在必行。
三、现实思考:我国内部审计的差距
(一)顶层设计与引导不够有力
国际内部审计师协会于2009年修订颁布的《内部审计国际实务准则框架》,重点突出风险管理的地位,认为:内部审计在风险管理中的角色和作用主要是对本企业的风险管理程序进行评估,并对风险管理的恰当程度做出合理保证;由于风险往往与组织战略的规划与实施密切相关,内部审计应当在审计项目的选择上考虑组织战略;内部审计应成为企业整合风险管理的组成部分,帮助组织实现战略目标。《中国内部审计准则》中的《基本准则》没有完全秉承以风险为导向的基本原则;具体准则第1号《审计计划》要求在制订年度审计计划时应当考虑组织风险与管理需要,但没有明确规定将审计计划与组织战略相联系;具体准则第16号《风险管理审计》主要涉及“确认”服务,而体现“咨询”服务的风险管理审计建议方面的要求则很少。此外,从各级内审协会网站内容来看,反映内审机构积极参与风险管理的做法和成功经验方面的报道甚少,专家、学者的相关论述与评析也不多见,尚不能给广大内审人员提供更多、更好的启发与引导。
(二)实务理论研究不够深入和系统
我国在风险管理审计方面的实务研究明显不够深入和系统。一是实证研究较少,多数研究成果限于介绍国外的一些成功做法,理论联系实际不够,对现实的指导意义不强;二是研究的深度有限,一些学术研讨和专项调查流于形式,多数成果只是对本企业有限的审计实践进行介绍和总结,很难推广应用;三是研究成果分散,尚未形成完整的理论体系,无法上升为具有准则性质、对企业内审工作具有一定约束力的操作规程。
(三)企业风险管理基础薄弱
一些企业的风险管理活动时有时无,尚未形成规范化的长效机制,另有一些企业未设置专门的风险管理机构,人员配备非常有限。总体上看,多数企业的风险管理基础比较薄弱,不少内审人员认为所在企业风险管理根本不存在,或者说风险管理审计没有客观基础,内部审计参与风险管理无从下手。
(四)审计介入程度有限
一些内审人员并没有完全认识到风险管理审计的重要性,有的还保留着传统的内部审计观念,也有的在等待观望。有些内审机构已涉足风险管理审计领域,但由于受到企业内部审计政策、人事安排及接触核心资料受限等诸多方面因素的影响,审计的范围仍局限于财务与经营数据。有些企业的风险管理尚处于起步阶段,在相关职能部门、岗位以及职责并没有得到合理配置的情况下,将风险管理系列工作集中交由内审机构处理:一方面模糊了内审人员与风险管理人员的界限,使内审完全失去独立性;另一方面内审什么都管,风险管理审计的质量和效果大打折扣。
四、推进风险管理审计:优化内外环境
(一)优化公司治理结构
开展全面、高层次的风险管理审计必须增强内审机构的独立性、权威性。据调查,我国50%以上企业的内部审计工作由财务总监、副总经理或总经理主管,内审开展工作受到体制牵制和约束。对此,政府的财政、审计等相关部门应制订和颁布政策,要求企业由董事会或者其下属审计委员会主管内部审计工作,并定期披露对内部审计工作的指导与监督情况。相关调查表明,尚有相当数量的企业规定内部审计的主要职责是监督财务收支的真实性、合法性,对管理审计很少提及,更看不到“风险管理审计”的字眼。对此,建议国家相关权力机构通过增强内部审计准则的约束力,督促企业治理层和最高管理层从内审机制构建上予以调整和改进。只有这样,风险管理审计的作用才能充分发挥,内部审计基石的价值才能得以体现。
(二)建立健全并实施企业内部风险管理制度
首先,通过宣传、教育,加深企业治理层、管理层的思想认识,明确管理层在风险管理中应承担的职责。其次,要设立专门的风险管理机构,企业内部各部门和单位也要设立专职风险管理员,明确相关机构和人员的职责权限,使企业内部的各级风险管理工作制度化、规范化。最后,要将企业治理层的重大决策程序和各级管理层的日常工作纳入风险管理的范围,形成严密的风险监控体系。健全的制度有待于有效执行,企业董事会、监事会对此负有引导和监督的责任。内审人员的主要职责,是对风险管理制度设计的合理性和执行的有效性进行全过程、全方位的监督与评估。
(三)调整审计人力资源政策
审计人员要有强烈的风险意识和积极的服务理念,要具备广博的知识和多元化的技能,要具备良好的人际沟通能力和协调能力,努力调动企业内部有关人员共同分析和解决问题的积极性,充分挖掘“参与式”审计的潜力。企业治理层和最高管理层必须调整内部审计人力资源政策,制订优惠的薪酬与激励政策,吸引既精通财务又熟悉管理的复合型人才,激励那些在风险管理中做出突出贡献的内审机构和人员;要选拔素质较好的审计人员到企业内部相关岗位上实践锻炼,提高管理能力;要加强职业培训和后续教育,不断提高审计人员的专业能力。
(四)充分发挥内审协会的监督和引导作用
篇6
(一)缺乏系统性的风险管理机制由于目前国内供电系统各部门,各岗位人员虽然有明确的岗位说明书但他们对风险管理程序和责任并不明确,这便导致了各部门或岗位之间互相推卸责任。由于风险管理和监督制度不健全,所以供电局无法进行有效的风险管理职责。而供电局系统没有储备必要的风险评估和风险管理的数据和信息,以及风险管理的战略层面并没有做成的连续监测和改进情况下下进行定期检查和评价。这些都不是容易从供电局内部审计的战略目标出发,通过各部门的整体经济活动和供给分析与评价局,在风险管理中充分有效发挥内部审计的作用和影响。
(二)审计人员缺乏风险管理意识由于供电局的内部审计起步较晚,所以导致参与供应管理审计机关人员深度不够,虽然有一定的审计业务技能,但对组织密切相关的战略目标风险认识不够。然而只有少数审计员敢于尝试,大部分审计员不敢尝试一种新的审计模式———风险导向内部审计。
二、改善供电局进行两次风险导向内部审计的做法提出建议
(一)以“四联一大”为核心,全方位识别风险内部审计人员应该花费大量的时间和精力与各级管理人员进行沟通,这样有利于对重要的商业决定,显著的经营风险,重要的管理问题进行判断和实施方案。重点在要充分了解然后控制环节和以大量金钱为核心的经营是执行审计单位的目标,在这个过程中会出现的困难包括审计域和相关联的审核风险因素。这时就需要具有审计功能的审计域,主要功能是可以对部门或机构进行检查,以确定项目的评估。一般包括:(1)供电局的文化;(2)政策,程序和做法,内部监控系统;(3)成本,利润以及投资中心;(4)合同,工程,生产,服务部门或管道(上游和下游的合作伙伴);(5)供应链;(6)管理功能,业务交易系统,财务报表和信息系统。
(二)确认现有控件来确定剩余风险充分识别风险,以审计人员的健全性和有效性为基础,审计单位以测试现有的内部控制(或风险管理政策和程序)来确定哪些风险不能被现有的预防和控制框架控制,即确定剩余风险。因为风险是绝对的,审计资源是有限的,为供电局的风险创造了新的可能,因此确定剩余风险是必不可少的。当无法避免要承担一定的暴利风险的风险,审计部门可以选择建议审计单位风险自留,并进一步确定有关剩余风险程序。根据危险程度应采取谨慎定性和定量的角度判断:值得关注的指标应包括风险最少的可能性,损害的程度,损失频率。要定性分析是因为其中的一些因素并不能直接测量(如审计对象的职业道德和行为和遵守程度),但它是对衡量风险很重要。对于风险因素的定性分析应尽量采用量化和规范化的模糊矩阵评价方法,这样在相同口径降序排序剩余风险时做到主次分明。
篇7
关键词:数据中心 内部审计 信息化建设
进入二十一世纪以来,信息化已经成为我国经济和社会发展的重要推动力,信息技术应用与各个领域的融合日益紧密,越来越多的企业借助ERP、HR、OA等信息系统加强对企业的管理,以信息化推动现代化的战略已经取得丰硕的成果。伴随着企业信息化的发展,内部审计工作的环境发生了变化,非计算机证据的数据和比例相对减少,传统的审计方法越来越不适用。由于会计信息系统进行业务处理在数据处理工具、方法、流程等方面都发生了很大的变化,审计方法和技术也相应发生了改变,计算机审计已经日渐成为审计的一个新的发展方向。
一、研究现状
(一)内部审计工作的现状
李金华审计长曾高瞻远瞩的指出:“审计信息化建设是审计系统一场深刻的革命,是未来审计的主要手段,是现代审计的发展方向。不加强审计信息化建设,我们将失去审计资格。”早在1998年,我国审计署就开始筹备“金审工程”,开发针对政府部门、金融、财政和国有企业不同审计业务需要的审计监督应用系统,制定了审计业务信息接口标准。《审计署2008至2012年信息化发展规划》中指出要探索和完善信息化环境下的审计方式,推进审计信息化建设,努力提高审计工作效率、质量和水平,为审计事业发展提供信息技术支持和保障。
全国烟草行业近几年发展十分迅速,各个业务领域利用信息化促进管理上水平,各类信息系统如同雨后春笋,相继开发实施了工商交易平台、营销CRM、专卖管理、财务核算、电子结算、OA等应用系统,逐步形成了省级集中的数据交换中心。环境的变化对行业内审工作提出了新的要求,内部审计不仅是国有资产的守护者、财务账实的审核者,更是强化管理的促进者、提高效能的推动者、价值增值的促导者,传统而单一的财务收支审计已不能满足日益发展烟草企业管理的需要,内部审计工作的范围应需拓展。内部审计必须以“强管理、防风险、促发展”为己任,积极探索以“风险为导向、控制为主线、治理为核心、发展为目标”的管理审计和绩效审计,积极探索以“事前审计为基础、事中审计为重点、事后审计为保障”的审计模式。要实现这个目标,必须借助先进的审计信息化系统才能实现。
(二)内部审计信息化的必要性和可行性
“十二五”期间,国家烟草专卖局将“规范”视为“生命线工程”的核心位置。内部审计作为企业管理的重要组成部分,是内控体系保障规范的一个关键环节,在企业管理信息化的得到广泛应用的同时,往往存在审计对象的数据真伪难辨,且具有很强的隐蔽性,这对内部审计工作而言是一个新的考验,而审计对象的信息化也为内部审计信息化的发展提供了可行的契机。
1.内部审计信息化是促进自我规范的需要。行业内部审计是保障企业规范运营的防火墙,但由于内部审计的准则不完善,审计过程的规范仍然没有很好的解决,而内部审计信息化能实现流程固化,改进审计方法,进而促进审计工作自身规范。
2.内部审计信息化是提高工作效率的有效途径。传统审计的特征是动作滞后、过程缓慢,往往浪费大量的时间手工获取账册、凭证数据,通过计算机辅助审计,运用统计学、信息论等方法,可以将审计人员从繁重的简单劳动中解脱出来,有效提升审计效率。
3.内部审计信息化是融入企业信息化管理大环境的必然要求。尤其是行业全面实行财务管理和会计核算的电算化后,包括管理类审计,如经营管理、物流成本等内部审计对象都融入到集中的数据中心,内部审计必须实现信息化才能有效地开展。
二、内部审计信息化总体架构设计
(一)建设目标和原则
目前,烟草行业实现了省级集中的数据中心和财务管理,通过编码映射和数据转换,构建行业内部审计工作需要的一体化平台,以便于获取被审单位的数据信息,实现对审计项目的过程、资源、成果的有效管理;在审计模式上实现四个转变:由单一的事后审计转变为事后与事中审计相结合,由单一的静态审计转变为静态与动态审计相结合,由单一的现场审计转变为现场与远程审计相结合,由单一账套审计转变为多账套综合分析审计相结合的审计模式;通过提供丰富的分析工具、审计方法和经验共享,帮助快速发现疑点线索,提升业务能力,从而整体提高内部审计的效率和质量。
系统设计遵循以下的原则:
1.统一性与适用性相结合。坚持顶层设计,保障内部审计信息化与审计对象系统的无缝对接;坚持上下结合,灵活定制,促进内部审计工作针对性和适用性。
2.先进性与易用性相结合。与数据中心相匹配,采用大型数据库技术和相应的数据仓库、数据挖掘技术;在操作层面,将分析模板定制于后台,展现友好的人机界面。
3.安全性与稳定性相结合。根据审计工作的要求,采用身份认证、数据加密、入侵检测等安全方案;通过网络隔离与连通、权限分配、备份管理等技术,保障系统稳定运行。
(二)总体架构设计
按照“总体规划,分步实施”的原则,构建内部审计信息系统总体框架,系统采用B/S结构部署,总体逻辑框架由审计对象层、数据采集层、审计应用层及门户展现层四部分组成。审计对象层包括被审计单位(部门)的所有应用信息系统,各类数据信息集成到数据中心统一管理;数据采集层通过抽取、清洗、转换、处理等数据挖掘技术,从数据中心中抽取审计项目所需信息,并传递给联网审计系统(数据分析预警平台)和审计作业系统,为数据源采集提供支撑;审计应用层提供分析预警、现场作业和日常管理的信息化支撑平台;门户展现层负责与用户交互,实现系统对外一体化。系统总体架构设计如下图所示:
(三)系统功能模块设计
在数据中心集中管理的基础上,内部审计信息系统主要实现联网监控、审计管理和审计作业三大系统模块。通过数据传输通道进行设置和定义,抽取审计对象数据,并传递给联网审计系统(数据分析预警平台)、审计作业系统中,作为联网审计、审计作业的数据源开展工作。通过联网审计预警模型,发现疑点线索,通过管理系统指出审计方向,通过作业软件进行详细审计,同时将底稿等电子文档上报至管理系统进行保存。
1.联网监控
联网监控系统核心是数据分析预警功能,一方面从数据采集转换系统获取数据源开展审计;另一方面接受审计管理系统的工作计划安排,进行工作内容部署。
监控系统通过设置风险点预警方案,关联预警对象的数据中心,根据预警的触发条件、条件检测等,抽取预警对象的账套信息、经营信息等数据,经过清洗、转换、处理,形成可能的审计疑点或重点数据,存储在疑点库中,并将系统预警或者分析的疑点线索分配给现场审计作业工具系统,作为具体现场审计的工作重点或者方向,结合审计人员经验判断,从而准确迅速地确定怀疑目标,提高效率。
2.审计管理
审计管理系统,实现对审计过程的有效控制、对审计资源的有效利用、对审计成果深度挖掘,实现和审计作业系统交互。审计过程控制涵盖审计准备、审计实施、审计报告和后续审计全过程;审计资源管理整合了审计工作所需的各种资源,能够对审计工作提供完整、有效的信息支持,包括审计人才库、部门信息库、审计对象库、法律法规库、公司制度库、审计经验库、审计方案库、审计案例库八个资源库;审计成果体现在按照管理要求快速生成审计报表,能够以多种格式输出,为领导决策提供有力支持,另外,审计成果还体现在以审计项目为单元的档案管理,支持审计项目信息和过程的回溯,并根据权限提供项目信息共享。
通过审计管理系统还支撑年度审计计划的申报与审批、审计文书档案的管理、业务台账的统计汇总和基础报表的自动生成,并完成人力资源综合管理、审计任务的资源调配、审计人员履行职责的考评等。
3.审计作业
审计作业系统是由一系列的作业工具构成,包括审计数据采集与转换、审计查账、数据分析、审计底稿等外勤审计作业工作的处理;并将联网监控系统(数据分析预警平台)中分配的审计线索作为审计重点,进行有针对性的开展审计,同时将审计过程中产生的审计底稿传递到审计管理系统中。
通过审计作业系统辅助一线审计人员完成审计项目,实施电子财务数据、业务数据的采集转换,运用查询、分析、报表、计算等丰富的审计工具完成审计抽样和数据分析,提高审计工作效率。标准化的审计作业程序引导与控制规范了审计工作过程,降低审计风险。层层归集的基础信息及统计台账通过系统接口与审计综合管理信息系统无缝集成并实现现场审计作业数据与远程公司审计部之间的数据交互和共享。
三、结束语
当前,各个领域开展内部审计信息化建设的研究实践很多,成果也很丰硕。如何实现内部审计信息化的顺利转型,一方面,要结合烟草行业实际,统一规划,整体推进,在进一步完善数据中心建设的基础上,探索新技术、新思路,积极开展信息化支撑的风险导向性管理审计,拓宽审计领域;另一方面,要逐步突破审计人员的思维方式转变和自身能力提升,从审计技术和审计模式两个层面力求创新,努力促进行业内部审计工作上水平。
参考文献:
[1]审计署关于进一步加强审计理论研究工作的意见(审科发[2011]40号),2011(4).
[2]内部审计具体准则第26号――信息系统审计.
[3]金冬成,臧日.持续审计在内部审计中的实现方案探讨[J].中国内部审计,2011(2).
[4]曹燕,常京萍.企业内部审计信息化战略研究[J].会计之友,2010(10).
[5]吴埠.审计信息化及其架构探析[J].中国管理信息化,2007(12).
[6]彭胜华.计算机审计的内涵和目标[J].审计与理财,2007(5).
篇8
【关键词】内部控制;审计
一、对于企业内部控制审计工作的现状进行分析
随着人们越来越关注企业的内部治理,对公司内部的调控筹划与运营也提高到整体的工作领域,逐渐反应出公司的经营状况,很好的进行成本的管制。对于公司内部调控审查计划的相关规定与审查规矩和法规不匹配;对于这一工作的思想观念没有确立;工作人员的技能和能力难以满足更高的业务需求;在相关单位进行审计的过程中,如果企业不配合,有意隐瞒或随意延长最后的时间,那么就会给整个审计工作带来严重的后果;这一活动的费用严重影响到对于企业在这方面的要求。
二、对于内部控制审计现存问题进行分析
1.内部控制对自我评价十分依赖
根据有关规则,对于公司的内在调控问题,公司在此方面要使用多样的点评方式。但现实中,工作人员只关注于现在及公司利润的思考,如果不能进行全面、整体的点评与监控前,有关的内容出现回复之后,出于各种原因,不能很精确的把握相关的动态,很多企业都依赖内在的评价后果,在这种背景下,就忽略了内在审计过程中出现的各种问题。
2.注册会计师胜任能力相对欠缺
这类工作只属于这类相关专业的其中一项有关业务,这就对相关工作有更好的要求,根据现实的需要,工作人员要不断的强化自身内在调控方面理论的掌握,从而更好的提高自己在专业领域胜任的能力。目前,随着整体的发展,公司面对很大的危机,对于内在的调控和审查的要求也在逐渐的提高,所以对于这类职业工作人员的要求也在随之上涨。对于公司自身来说,工作人员需要了解公司结构系统的内在调控,同时,也要根据这些内容做好相应的点评,由于这些内在的调控波及的范围广阔,再加上复杂的调控氛围,所以相关的点评工作相会有些困难,这对于这一职业来说,肯定是一项强大的精神以及巩固技能能提高的挑战。
3.内部控制审计质量控制系统的匮乏
随着相关行业市场的进步,越来越多的公司开始转变为于其内部的调节业务,这些工作与之前的相关涉及法律的工作有所不同,因此说系统还不健全,还没有建立独立完整的系统,其结果是,工作的质量让人不相信、质量也不达标,这在某种程度上,无形中会加大了相关工作的y度。
三、对于做好内部控制审计的几点建议
1.建立日常性的内部控制评价系统
这个工作要跟着公司的进步而变化,需要建立平常性的点评系统,依据自上而下的形成部门自身、公司整体、审查部门三个角度进行的不同性质的的点评体系,这些评价,在一定程度上,可以让工作人员得到相应的经验,同时准确的采取维护行动,加强公司内部对于危险的处理能力。为了强化这种点评体系,还要配合上其他的制度来加快体系的健全及实行。
2.加强培养注册会计师的综合素质,尤其是在非财务审计方面
就会计师这一角度来说,它所要做的工作要比以往的工作更多,需要持续的提升自己在某些审计工作的相关知识。例如在金融领域,需要掌握与之有关的各个方面的相关知识。所以说这一行业的工作者要积极参加到公司的管理中来,从而掌握更多的现实能力,提高自己对于本职业的综合能力。
3.有效运用相关测试
确定好点评方式后,要对其系统进行全方位的测试,主要目标是公司相关系统是否科学,工作人员要大量的采集资料,并根据相关部门来进行研究,很好的把握主要工作的相关情况及调控手段是否合理。此外,这一工作的有效性会干预到公司的运营及有关的管理行为,进一步也会影响既定目的的实现。通过对其测试可以在某种程度上减少一些坏因素的生成,进而推动效益的生成,因此这一行为发挥其本身的功效,不但在整体,还要在具体的方案上,充分发挥其自身的控制作用。在进行之前,要解决掉所有的问题,然后对相应的程序进行监督控制,以保证它能够更好的的调控危险。
4.构建健全的内控审计质量系统
为减小工作的危险,提升工作水准,建立一个很好的内在调控审查系统是我们必须要做的事。要做好这一工作,我们需要从两个角度来解决。首先要控制好注册的会计师的能力和质量,其重点在于提高工作人员的能力;而对于会计事务所,关键在于立足系统健全其组织方面的构成、还有对于工作人员的质量调控、相关制度上的水平调控等;在业务的角度,要规划好相关问题的运行的过程、方法等,以加快其工作质量的调控。
四、结束语
综上所述,企业内部的审查计划工作不但对公司当前的进步起到作用,对于公司将来的进步也有相对重大的作用。但是,在我国目前的公司背景下,这一工作还没有得到同等的关注,这对于公司的进步构成了很大地妨碍作用。我们应让公司的工作人员了解到这一工作的强大效用,为将来的进步打下更好地基石。
参考文献:
篇9
【关键词】COBIT;会计信息系统;内部控制
一 、COBIT简介与浅析
COBIT(Control Objectives for Information and related Technology,信息及相关技术控制目标)是目前国际公认的最先进、最权威的安全和信息技术管理和控制的标准。普华永道的《2006年全球信息安全状况报告》中统计,全世界63%的公司采用了COBIT控制框架标准,这一比率是IT控制框架采用率最高的。COBIT是由信息系统审计和控制协会(Information System Audit and Control Association,ISACA)( isaca. org)下属的IT治理研究院(ITGI,Information Technology Governance Institute)(itgi.org)开发和的,旨在为IT 的治理、安全和控制提供一个普遍适用的公认的标准,以辅助企业管理层进行IT治理。自COBIT 问世以来,先后经历了1998年、2000年和2006年的修改补充,2007年5月,ITGI了COBIT 4.1,它从IT治理的角度,从更高的层面上来指导管理层进行IT控制和信息系统管理。由于一方面全球信息化的加剧和我国信息化的发展,另一方面COBIT对信息系统控制与审计又有着很好的指导作用,所以当前介绍和引进COBIT对于推动我国信息化的健康发展有重要的意义。
COBIT 4.1主要是由4部分组成:框架、控制目标、管理指南和成熟度模型。其相互关系如图1所示。
COBIT是由相互关联的各组成部分有机结合在一起的,能够为不同的顾客群提供有关治理、管理、控制和保证方面的需要。下面对其组成部分逐一介绍分析。
1. 框架(Framework)
COBIT将IT过程、IT资源、与业务要求相适应的IT目标结合起来,形成一个三维的体系结构,如图2所示。与业务要求相适应的COBIT的IT总体控制目标具体是有效性(Effectiveness)、高效性(Efficiency)、机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、符合性(Compliance)、可靠性(Reliability);IT资源主要包括应用系统(Applications)、信息(Information)、基础设施(Infrastructure)和人(People);IT过程则是在与业务要求相适应的COBIT的IT总体控制目标的导向下,对信息及相关资源进行规划和处理,从信息技术的计划与组织、获取与实施、交付与支持、监控与评价等4个方面确定了34个信息技术处理过程。实际上, COBIT的IT控制目标的实现就是在IT过程中管理IT资源来完成的。图3详细地描述了完整的COBIT框架,显示了COBIT的处理模式是如何根据业务和治理要求来管理IT资源并使之给业务传递信息的,该模式由4个领域构成,包括34个一般过程。
2. 控制目标(Control Objectives)
从领域、过程和活动3个层面对总体目标进行分解,通过对特定的活动实施控制,以实现预定的系统目标。为有效地进行IT治理,在COBIT框架内部通常将需要进行管理的活动和风险分为4个领域,即计划与组织(Planning and Arrangement)、获取与实施(Acquisition and Implementation)、交付与支持(Delivery and Support)和监测与评价(Monitoring and Evaluation),领域目标按34个过程进行细分,根据每一个信息技术过程所涉及的系统资源,确定出相应的控制目标;针对每一个信息技术处理过程进一步细分为若干任务,确定出210个具体的控制目标。针对这些具体的控制目标,COBIT提供了详细的系统管理策略,包括具体要采取的措施以及要考虑的问题等。这3个层次的控制目标体系使系统管理目标更清楚、更明确,更有操作性。COBIT覆盖了整个信息系统的全部生命周期,涵盖了战略、战术与操作的所有层次,处于各个阶段的信息系统都可以参照使用,它所带来的益处是十分明显的,它使IT战略与组织战略紧密联系,在业务目标、信息系统、业务绩效目标之间维持平衡。
3. 管理指南(Management Guidelines)
管理指南是控制目标在企业的具体应用准则,以进行自我评价与选择,进而实施并完善对信息及相关技术的控制,其目的是对IT业务活动进行有效控制,使IT与业务活动保持高度一致,并通过传递组织所需要的信息使业务活动得以进行。管理指南给出了度量信息系统生命周期各个IT控制过程的安全、可靠与有效的指标体系。
4. 成熟度模型(Maturity Models)
对IT过程进行管理和控制的成熟度模型是评价组织的一种方法。它划定6个成熟等级,如图4所示。每一个成熟度等级都规定相应特征,企业可以结合自身的特点,界定出本企业的当前状态。该方法来自于软件工程研究所(Software Engineering Institute,SEI)为软件开发能力所定义的成熟度模型,但COBIT只是借助于能力成熟度模型(CMM)的形式来为其IT管理过程的性质界定出成熟度等级。在COBIT 4.1中,34个IT治理过程都规定了自己的具体模型。
二、IT环境下,加强会计信息系统内部控制的必要性
1. 会计信息系统的演进
会计信息系统的产生和发展是社会经济、技术发展的必然产物。从会计数据处理工具与处理模式来看,会计信息系统的发展可分为3个阶段:一是手工会计信息系统阶段,二是机械会计信息系统阶段,三是计算机会计信息系统阶段。杨周南教授认为计算机会计信息系统阶段又可分为3个阶段:一是电子数据处理阶段,二是综合数据处理阶段,三是决策支持与专家系统阶段。
2. 会计信息系统的定义和特征
会计信息系统(Accounting Information System,AIS)是一种面向价值信息和基于会计管理活动的系统,是在计算机软件和网络环境下,采用现代信息处理技术的一个人机交互的管理信息系统。其基本特征如下:
(1)AIS以符合会计管理工作和会计变更的需求为主要目标。
(2)AIS以解决企业会计核算和管理所面临的问题为主要功能。
(3)AIS以现代计算机硬软件和网络平台为处理环境,由人(含会计人员)、信息技术设备(含数据文件)和运行规程三要素组成,其核心部分是功能完备的会计软件。
(4)AIS能充分利用现代信息处理技术,自动(或半自动)采集、存贮、处理、分析、传递和反馈会计信息。
3. 会计信息系统所面临的风险
在IT环境下,由于与传统的手工操作环境有了很大的差别,会计信息系统面临着前所未有的风险。主要有以下几类:
(1)疏忽差错(Unintended Errors)。系统操作员或交易执行员在经济业务资料的输入与处理过程中,由于缺乏必要的上岗作业培训或身体状况欠佳等原因造成的非故意差错。
(2)蓄意差错(Deliberated Errors)。蓄意差错也就是故意性差错,实质就是舞弊,是不正当的或违法的。在信息的输入—处理—输出的流程中,甚至在软件的开发与研制过程中,都可能产生这种差错。它不仅对有关数据或输出信息的正确性与可信性造成影响,而且还可能导致企业资源的短缺损失和掩饰有关盗窃行为。
(3)疏忽性资产毁损(Unintended Asset Damages)。企业数据资料记录可能承受非故意的毁损,比如存储于硬盘中的应收账款记录未作备份,可能因偶然的断电故障这类偶发事件而消失。
(4)安全措施破坏(Breaches of Securities)。未经授权许可的人员可能非法接近企业的交易资料与其他记录。电脑“黑客”通过互联网擅自进入企业的计算机系统窃取、篡改或恶意破坏交易资料或记录,以及未经授权员工私自偷阅未设定密码或口令保护的企业员工薪金报告等。这种风险可能在被竞争对手窃取本单位的重要资料时造成极为严重的后果。
(5)暴力(Forces)。暴力的存在来源于外界人士(如恐怖分子)和怀有怨气的现有员工或已遭解雇员工的报复行为。如损坏会计信息系统或销毁企业的客户往来档案记录等。其后果可能是毁损企业的资产和资料,甚至导致经营过程中断以及企业的破产倒闭。
基于以上风险,IT环境下的会计信息系统加强内部控制具有前所未有的必要性,具体如下:
(1)IT环境下电脑操作隐形化和无纸化存储介质的缺陷。
(2)IT环境下内部稽核削弱。
(3)IT环境下会计工作质量有赖于计算机硬软件系统自身的可靠性及会计人员本身的操作水平。
(4)管理型会计软件的发展对内部控制提出了新要求。
(5)网络财务是IT环境下的新型管理模式,其安全性和保密性有赖于建立健全有效的内部控制。
三、借鉴跨国公司经验,运用COBIT,加强我国企业会计信息系统的内部控制
1. 保诚公司的经验分析简介
保诚公司于1848年在英国成立,它是目前全球领先的金融服务大鳄和在亚洲领先的欧洲寿险公司。随着其资产管理业务的快速增长,保诚公司(亚洲)在亚太地区的12个国家里拥有了9 000多位员工,除了在新加坡有一个区域分中心之外,它还有两个关键的区域IT中心,其中一个在马来西亚,另一个在中国大陆。
保诚公司亚洲地区的资讯科技部长罗德里格斯在2005年首次引进COBIT。他在香港领导着一个区域IT小组,该小组拥有6名成员。由于得到这个区域IT小组的支持, 保诚的CEO及其委员会成员同意采用COBIT的倡议,他们强烈地支持采用更好的IT框架、系统和程序以在整个地区给公司提供更好的竞争优势。“COBIT是一个非常简单而强有力的管理工具,它让我们实现我们的目标”,罗德里格斯说。
罗德里格斯还认为,“一个好医生是一位能够清楚地向她或他的病人解释如何保持健康的人,同样,一个好的IT专业人员是能够使该项目对一个公司观众来说容易得到理解的人。毫无疑问,我认为COBIT是允许我获得这种能力的工具,利用COBIT,我相信我们能为保诚建立一个更好的IT和公司责任的文化。”
虽然保诚实施COBIT仍在进行之中,但是,很显然,罗德里格斯已经获得了一些经验,具体如下:
(1)IT治理:泛区域战略构成、一致性;
(2)削减成本:减少重复;
(3)安全:区域客户资料管理;
(4)外包:为外包业务伙伴提供适当债务;
(5)沟通:让广大的公司员工易于理解各种术语;
(6)业务增长:为领导者提供了一个更安全、更一致的全面IT环境,以使其把精力集中在可增加企业价值的解决方案上。
上述这些经验显然是对整个保诚公司(亚洲)的IT治理而言的,但是可以看到其中一些经验对会计信息系统的内部控制和审计具有指导意义。
2. 勇于开拓,争取早日构建基于我国实际情况并与国际接轨的COBIT框架
随着我国经济的迅速发展和经济全球化的突飞猛进,近年来我国已逐渐重视企业内部控制,特别是2006年,被业界称为中国的“内部控制年”。财政部牵头联合发起成立了企业内部控制标准委员会,并邀请行政机关、高校、社会团体以及大中型企业的专家兼职咨询。该委员会了《企业内部控制规范》(征求意见稿),包括基本规范和一系列具体规范,并专门针对信息系统内部控制制定了《企业内部控制规范第××号——计算机信息系统》(征求意见稿),包括总则、岗位分工和授权批准、信息系统开发、变更与维护控制、信息系统访问安全和会计电算化及其控制等6部分。另外,财政部还于2006年颁布了新审计准则《中国注册会计师审计准则第1633号——电子商务对财务报表审计的影响》,针对电子商务环境下的信息系统审计进行了规范,其中第5章“对内部控制的考虑”里,提到了“注册会计师应当按照《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》和《中国注册会计师审计准则第1231号——针对评估的重大错报风险实施的程序》的规定,考虑被审计单位在电子商务中运用的与审计相关的内部控制”。这些标准或规范只是为本专业的内部控制提供了一个应用指导,在一定程度上为进行IT治理环境下的内部控制发挥了一定的作用。但是,从综合的 IT治理或IT内部控制来看,还没有形成一个能够满足各方面要求,适应各种需要的综合的、完整的、系统的框架。目前虽然有些在国际上有显著影响力的IT服务公司使用自己制定的标准或框架,如IBM公司使用IBM IT Process Model( IBM流程模型);HP公司使用HO ITSM Reference Model(HP服务管理参考模型);微软使用Microsoft Operational Framework(MOF,微软运营框架),但是国际上绝大多数公司都使用主流的像COBIT这样的IT治理标准。因此,有必要建立我国自己的COBIT框架,一方面是提升我国公司的管理能力,提高其经济效益,使其不断发展的需要;另一方面,也是我国企业走出国门融入经济全球化大潮中去的需要 。
主要参考文献
[1] 杨周南等. 会计信息系统[M]. 北京: 经济科学出版社,2004.
[2] 杨宝刚. 会计信息系统[M]. 北京:高等教育出版社,2001.
[3] 蔡传勋. 会计信息系统[M]. 大连:东北财经大学出版社,2004.
篇10
【摘要】本文主要讲述了美国《萨班斯――奥克利法》中创立的公共公司监督委员会PCAOB对财务报告内部控制审计准则实施中应注意的问题。
一、PCAOB财务报告内部控制审计准则的颁布
2001年安然事件及其随后的一系列公司经营失败事件严重地损害了事发公司相关利益者的利益,极大程度地撼动了世人对美国资本市场稳定性和公允性的信念。为了应对这一严重后果,美国国会于2002年7月30日颁布了由其总统签字的《萨班斯――奥克利法案》(下称“法案”)。内部控制的失败,特别是财务报告内部控制的失败是法案中国会最关注的、予以处理的问题,因此法案404(a)条款要求公司管理当局评估和报告公司的财务报告内部控制;法案404(b)条款要求公司的独立审计师对公司管理当局的财务报告内部控制的评估进行鉴证,并报告其鉴证结果。法案还为监督公司独立审计师创立了一个新的委员会――公共公司会计监督委员会(PCAOB),并责成其制定法规将公司执行主管、公司董事、律师和会计师的责任法规化。
法案103(a)(2)(A)和404(b)条款指令PCAOB建立职业准则指导独立审计师的鉴证。因此,自PCAOB成立起,就对上市公司管理当局的财务报告内部控制评估事宜倾注了极大的关注和努力。在2003年4月,PCAOB采用原有的职业准则作为该委员会的临时准则,包括一个指导审计师鉴证内部控制的准则。为了更好地关注法案要求和评估现有的临时准则,PCAOB在2003年7月29日召开了公开讨论会,讨论和听取与财务报告内部控制报告和鉴证有关事宜的问题与观点,与会人员有上市公司、会计师事务所、投资机构和监管组织的代表。根据会议结果,综合各方代表的意见与建议,PCAOB认为PCAOB所确立的原有内部控制鉴证准则并不能充分完成有效履行法案404(b)条款之要求,PCAOB自身也不能适当解除法案103条款下的准则制定义务。因此,PCAOB在2003年10月7日制定了一个题为“连同财务报表审计的财务报告内部控制审计”的准则征求意见稿,在准则征求意见期间,PCAOB一共收到来自审计师、投资者、内部审计师、发起人、监管者和其他人等的193份评论。在综合分析与考虑所收到的评论和履行法案的规定要求后,PCAOB于2004年4月9日正式了审计准则No.2准则“连同财务报表审计的财务报告内部控制审计”。要求被证券交易法12b-2所认定为加速递交的公司会计年度结束于2004年12月31日或之后的就要遵循萨班斯法案404条款规定的内部控制报告和披露。(其他公司直至会计年度结束于2005年12月31日或之后才遵循内部控制报告和披露的规定。)因此,受聘于审计加速递交人会计年度结束于2004年12月31日或之后财务报表的独立审计师也要求审计和报告公司同期会计年度的财务报告内部控制。
二、PCAOB财务报告内部控制审计准则实施中要注意的问题
自PCAOB审计准则No.2准则“连同财务报表审计的财务报告内部控制审计”颁布实施以来,历时虽不久,但是所反映出来的问题却很多,以下只是从审计师遵守该准则执行具体业务的视角,简单讨论了审计师为了更好地遵守准则完成所聘业务应该注意的问题。
(一)努力整合财务报告内部控制审计与财务报表审计
法案404(b)要求公司外部审计师对其管理当局的财务报告内部控制评估予以鉴证并报告, PCAOB的审计准则No.2要求审计师对管理当局财务报告内部控制的评估进行审计并报告审计结果。根据PCAOB的观点,审计师对管理当局财务报告内部控制有效性评估报告的鉴证业务与财务报告内部控制审计是一样的,检查管理当局财务报告内部控制评估的鉴证业务所要求的工作与财务报告内部控制审计所要求的工作也是一样的。财务报告内部控制审计的目标是审计师就管理当局对财务报告内部控制有效性的评估报告是否在所有重大方面公允表达表示意见,财务报表审计的目标是审计师就被审单位的财务报表是否在所有重大方面公允表达表示其专业意见。为了取得公允、可靠的财务报表,内部控制必须设计良好的以监督记录准确、公允反映交易和公司资产的处置;内部控制必须能够为交易记录足以遵守GAAP编制财务报表、现金收支只有在管理当局或董事会授权才能处理提供合理保证;内部控制必须确保设计好控制能够预防或侦查盗窃、未授权使用或处置对财务报表有重大影响的资产等等。换而言之,如果公司管理当局能够证明他们运用充分的内部控制簿记,为编制准确的财务报表准备了充分的簿记和记录,坚持了关于使用公司资产的规则等,则投资者对公司的财务报表将会有更大的信心。正因为这样,法案404条款才要求公司管理当局评估和报告其财务报告内部控制,并要求公司独立审计师对管理当局的评估表示鉴证意见,也就是说,为利益相关者和社会公众依赖管理当局对公司财务报告内部控制的表达提供一个独立理由。可见,无论是财务报表审计,还是财务报告内部控制审计,其终极目标是一样的。为此,404(b)条款要求不能将审计师对管理当局财务报告内部控制的鉴证视为一个孤立的业务。
更重要的是,这二者所涉工作之间的关系是你中有我、我中有你、互为影响、紧密联系的。整合财务报表审计和财务报告内部控制审计,就是通过同一过程同时实现两种审计的目标。财务报表审计中,准则要求审计师必须获得对被审单位内部控制的了解,并对之进行风险评估,以确定随后需要进一步执行的审计程序。而遵守404条款的公司审计师就不仅仅是获得内部控制的了解,而且要检查内部控制设计和运行的有效性,并就其有效性表示意见。可见,这两种审计不仅终极目标是一致的,而且其间过程也是血肉相容的,努力整合它们可以降低审计成本,提升整个审计过程的有效性。如财务报告内部控制审计中审计师对内部控制的检查,可以通过财务报表审计的结果得以证实;另外,在财务报告内部控制审计过程中得到的审计结果和结论又可以帮助审计师更好地计划和执行那些设计来确定财务报表是否公允表达的审计程序。二者相互补充、互为强化,更好地改善了公司财务报告内部控制以及财务报表的审计质量。
在现有的审计实务中,由于种种原因,一些审计师未能充分整合这两种审计,事实证明这不仅浪费审计资源,还将危及整体审计质量,甚至有很大可能错过那些能够识别和根除处于萌芽状态的会计或报告问题。
(二)重视并努力提高职业判断能力
本质上说, PCAOB的审计准则No.2与其他审计准则并无多大差异,也在准则中规定了相对具体的审计方案。遵循这一准则,审计师也能够量体裁衣地编制足以应对审计客户性质和复杂性的审计计划,其前提就是审计师要充分运用自己的职业判断能力。但是,现有的审计相关实务所反映出来的是:有很大一部分审计师所使用的是一种“以一应万”的、与具体问题和具体客户财务报表过程风险无多大关联的标准化式的“清单驱动”审计计划。这种计划编制模式,最终的结果是导致审计费用增加,审计资源配置不科学。如安排项目小组中的助理人员花很多的时间去测试细节处理层次的控制;这种计划很少调查可能识别财务报告问题的重大控制薄弱点等等。这种计划最终将使得审计质量未能取得预期效果。
财务报告内部控制审计的目标是针对被审单位管理当局的财务报告内部控制评估报告是否在所有重大方面公允表达表示意见。审计师为了完成这一目标应该获得公司内部控制系统合理保证财务报表不含有重大错报的证据,在这一过程中充斥着对审计师职业判断的要求。例如审计师不仅需要运用职业判断确定如何将审计准则No.2应用于不同行业、不同规模的审计客户,还要运用其职业判断将其审计工作集中于由于错误或舞弊可能存在的更高错报风险的领域;又如,要确定财务报告内部控制设计和运行的有效性,审计师应该运用其职业判断确定内部控制缺失、重大缺失、重大薄弱点,审计师在评价财务报告内部控制缺失时,必须以合理的方式运用其职业判断,这种评价可能要适当考虑质量和数量因素。特别是,质量分析应该分解为缺失的性质、原因、所设计的控制支持的相关财务报表认定、对主要控制环境的影响以及其他弥补控制是否有效。
一个新的工作领域,审计师不仅面临着一个学习的过程,而且要面对前所未有的困难与挑战。尽管财务报告内部控制审计与财务报表审计血肉交融,但是财务报告内部控制审计对审计师职业判断的要求要高得多,且目前还有点让人无所适从之感。为了更好地履行财务报告内部控制审计这一职责,审计师应该充分重视并尽可能地提升自己的专业判断能力。
(三)强调方法的适用性和风险评估的作用
审计向来不是一种机械核对活动,财务报告内部控制审计也一样。一个好的、富有成效的财务报告内部控制审计方式应该是重视不同被审单位的具体风险,将审计资源科学地配置于最高风险领域,避免对重大账户和相关控制一视同仁而无视相对应的风险。因此,在财务报告内部控制审计中,要强调方法的适用性和风险评估的作用。为此,审计准则No.2设计了一种自上而下的风险导向测试策略方法。也就是说,准则要求审计师首先将注意力集中于公司层面的控制;然后是重大账户,这将引导审计师关注重大处理过程;最后,关注过程中、交易或应用层次的具体控制。每一步获得的了解都将指导审计师关注下一控制层次内的高风险领域。
审计师应用自上而下、风险导向的方法确定重大账户和相关的重大过程以及有关的认定。这种方法的自然结果是审计师能够对高风险领域予以更大的关注和资源。应用这种自上而下的方法,要求审计师以合理的方式运用其积累的知识、经验和判断去确认存在财务报表可能存在重大错报的重大风险领域,然后,进一步确认与此相关的控制、设计适当的程序测试这些控制。在确认重大账户和有关重大过程以确定其审计程序时,审计师一般既要考虑数量因素也要考虑质量因素。质量因素包括与不同账户及其相关过程有关的风险,除了考虑质量因素以外,审计师还要建立用于确认内部控制测试范围内的重大账户的数量限阈。审计师应该考虑与已识别的每一重大账户有关的整体风险以确定他们是否应该改变具体控制之控制测试的性质、时间和范围。这样审计师就可以排除那些不需进一步考虑的含有重大错报之概率只有极小概率的账户,使得其对低风险领域予以更少的关注,进而能够进一步降低成本,同时增加审计效果。审计师要是选择另一种无用的方法就有可能要承担审计成本增加、质量降低的风险。如从最低层开始就增加了使自己陷入最终结果对实现预防或侦查财务报表重大错报的基本目标无任何意义的测试之中,进而导致增加一些不必要的成本。
作为其风险评估的一部分,审计师还应该考虑公司层面控制的强度,以确定对这些控制所作的测试结果是否改变测试的性质、时间和范围。虽然审计师不仅仅依赖公司层面控制的测试,但公司层面控制强可以使得审计师做更少的工作,否则,他们将要执行更多的测试或要更大范围地依赖别人的工作。
(四)充分利用他人的工作
审计师自上而下地应用审计准则No.2,并适当地评估风险将能自然地识别那些需要利用他人工作既遵守准则要求又是最有效的审计方式的领域。在这些领域重复执行测试或其他审计工作可能使得审计成本不必要地增加,审计质量也没有得到相应的提高。
