审计局内部审计范文

导语：如何才能写好一篇审计局内部审计，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

一、加强内部审计人员业务培训和审计廉政建设。加强区教育局内审人员的内部审计业务提升，积极参加省、市、区组织的审计业务培训，同时采用“请进来走出去”的培训模式，继续提高内部审计人员的业务素质，进一步提高内部审计的工作质量。内部审计人员严格执行《省教育审计工作廉政规定》的内容，保持严谨细致的工作作风，做到依法审计、规范审计、精细化审计，确保审计工作的客观公正和审计人员的廉洁从审。

二、重点实施公办中小学（幼儿园）固定资产管理的专项审计调查。加强学校固定资产的科学管理，维护学校固定资产的安全和完整，合理配置和有效利用固定资产，提高国有资产使用效益，保证教育教学工作的顺利进行。通过实施中小学（幼儿园）固定资产管理的专项审计调查，进一步规范中小学（幼儿园）固定资产的增加、使用、维护和变动、处置等财务活动，严肃财经纪律，有效预防国有资产的流失等行为发生，促进勤俭节约和廉政建设，充分体现固定资产的使用价值。

三、常态化实施教育系统三年轮审工作。《区教育系统第二轮内部审计三年轮审工作计划》中明确规定轮审对象、范围、方式、内容、重点以及组织实施方法，按照学校单位内部管理情况、预决算管理、收支管理及结余情况、“三公经费”使用情况、专项资金使用情况、往来款情况、单位固定资产管理情况、单位收费情况、学校食堂管理情况、工会账务管理情况等十个方面的审计内容进行审计，在规定时间内完成三年轮查计划中的开始第二年的审计任务，是教育局审计室落实审计监督的具体工作要求，应当充分发挥教育系统内部审计的监督、评价和服务功能。通过审计，深入了解单位内控制度建立及执行情况、财务收支状况和财务管理情况，规范经费收支行为，提高教育资金使用效益；进一步增强单位领导和后勤管理人员的财经意识，提高风险防范能力，预防和遏制违规行为发生，确保教育经费和财产安全。

四、实施下属单位负责人离任经济责任审计工作。根据教育局下属单位负责人的人动情况，及时组织完成校长（园长）和直属事业单位负责人离任经济责任审计的任务。通过审计，核实单位财务收支及账内、外负债情况，以澄清家底。全面掌握财务收支及相关经济活动真实性、合法性及重大经济项目的决策、实施和内控制度的执行情况。并根据审计情况提出合理化建议，促进学校进一步加强财务管理和增强遵纪守法意识；并对校长（园长）和直属事业单位负责人在其任期内经济责任进行客观、公正的鉴证和评价，为干部管理部门考核使用干部提供依据。

篇2

【关键词】　电信；数据仓库；数据审计；内部安全

近年来，随着信息技术的大规模使用，国内电信企业信息安全问题凸显，移动充值卡破解、电信计费数据库清零等各类事件，使我们认识到，电信行业内业务系统的信息安全治理问题已经成为了当前的一道难题。从这个角度来看，本文对电信企业数据库审计以及内部安全问题进行研究具有一定的现实意义。

1电信企业数据库安全现状

电信行业的信息化提高了企业的工作效率，也提升了电信企业的服务质量。但是，由于当前电信企业的数据库普遍采用的是传统的安全防范技术，过分强调单个安全产品的重要性，比如对防火墙的性能以及功能过分的信赖，导致对其数据库信息安全缺乏一个系统、完整的解决方案。同时，由于我国的电信企业业务发展非常快，用户数量快速增长的同时也导致数据剧增， 在这个过程中，电信企业也面临着需要更多的数据访问的威胁、内部人员威胁、软件开发商等外部人员的威胁以及防火墙内部黑客攻击的威胁等等。这些威胁的客观存在在实践中也造成了不少的电信企业数据库安全事故。总之，电信企业数据库安全问题不容乐观。

2电信企业数据库审计与内部安全系统的设计

2.1电信企业数据库审计与内部安全系统所需实现的功能

根据电信行业的特殊性，以及当前我国电信企业在数据库审计以及内部安全方面的现状，我们认为，电信企业数据库审计与内部安全系统所需实现的功能有如下几个方面：（1）能够实时的进行审计，通过对电信企业的各项业务数据的实时收集，审理各业务系统的安全审计日志；（2）对数据库审计策略进行管理，如果电信企业数据库是Oracle数据库，则需要能实现对细粒度审计信息的收集；（3）监控多种数据平台，保证良好的扩展性；（4）支持多业务系统的审计日志统一管理，保障信息化系统数据的安全性与合规性；（5）对审计信息进行良好的展现与分析，并且实时观察电信企业核心业务的安全性。

2.2电信企业数据库审计与内部安全系统的架构设计

本次设计的电信企业数据库审计与内部安全系统的架构包括了四个核心部分，即审计数据源、审计信息的采集、审计信息的汇总以及分主题的展现，详情如下图所示：

图1电信企业数据库审计与内部安全系统的架构设计

2.3系统的实现

数据源部分，主要包括了与客户经营活动相关的各种数据，首先确保系统具有较强的可扩展性，使其能够支持各种数据源的接口，包括CRM数据系统、综合计费账务系统、综合结算系统、客户服务系统以及财务系统等。

数据采集部分，主要是采集如下几个方面的数据：（1）各类业务系统的数据库审计策略；（2）根据审计策略定时从需要监控和审计的业务系统中获取审计结果。

审计信息汇总部分，实际上就是一个数据仓库，通过将各类数据进行分析，建立自动数据处理机制，为数据库的审计以及内部监控信息的分析提供一个完整的、可靠地、统一的数据存储。

分类主体展现方面，实际上就是通过配合不同的数据分析应用，通过客户机或者浏览器的方式，对数据进行可视化的呈现，使得数据能够更好的被用户所接受和理解，实现数据库审计以及内部信息监控的价值，从而有效的提高决策准确性与决策的效率。要实现这些功能，实现要通过前端分析工具对数据仓库进行OLAP分析，由于其具有内置的开发空间，是一种所见即所得的开发方式，能够通过数据表、交叉表、曲线图等各种不同的形式或者组合形式来表现分析结果，对数据进行多维分析、趋势分析、意外分析、排名分析、比较分析、原因和影响分析以及What-If分析，从而实现数据库的审计和内部信息监管。

3结语

当前，电信行业内的业务信息系统的安全治理是电信企业面临的一道难题。这既有来自于电信企业外部的层出不穷的入侵和攻击，也有来自于电信企业内部的违规和泄漏。由于电信业务系统众多(如：OSS、BSS、MSS、销账、EIP、OCS、财务、营销支撑、计费结算等)，数据库用户较多，涉及数据库管理员、内部员工、营业厅及合作方人员等，因此网络管理更加复杂文章对当前我国的电信企业数据库安全现状进行了大致的分析，信息技术的飞速发展和普及，改变了现代企业的经营方式，越来越多的企业在正常的生产经营过程中，已经离不开IT系统的支持。在此基础上针对电信企业的业务开展特点和现状，提出了电信企业数据库审计及内部信息安全系统的基本需求，构建了系统的基本架构，并且对主要功能模块的实现进行了大致的探讨。希望本文的研究对于改善我国的电信企业信息安全现状能够有一定的推动和促进作用。

参考文献

[1] 刘畅. 构建基于数据仓库的劳动力服务决策系统[J]. 现代计算机. 2003(09)

[2] 张摘月,王峰. 数据仓库技术在基层人民银行的应用研究[J]. 中国金融电脑. 2001(08)

[3] 朱义军,王乘. 应用在电力系统中的数据仓库及其设计[J]. 广西电力. 2003(03)

[4] 王姝华,仲华,吕明. 移动通信企业数据仓库系统设计初探[J]. 江苏通信技术. 2004(02)

篇3

【关键词】IT内部审计；IT治理；商业银行

审计信息化（IT 审计）也可称信息系统审计或计算机辅助审计。IT内部审计作为IT治理的分支，本质是为了促进IT治理目标的实现，实现IT资源的价值增值。本文主要是选用商业银行IT治理的案例来丰富大数据时代IT内部审计概念。

现阶段商业银行IT治理雏形可从以下5个核心要素进行考察：（1）在IT战略部署上，以商业目标、IT风险及IT投资成本为重心；（2）IT价值交付是指在考虑时间价值的基础上，确保IT投资与价值回报效率；（3）在风险管理方面，信息系统风险的控制在COSO协议与Basel协议双重保障下相对其他行业已发展成熟，对操作风险的控制更为专业；（4）信息系统绩效评价可借助IT内部审计与IT平衡积分卡来完成；（5）IT资源包括相关的人力资源及软硬件资源。现阶段完善内部审计信息化工作如下表：

国外先进商业银行的数据化道路分为6个阶段：初始阶段（20世纪60年代）、扩展阶段（20世纪70年代）、控制阶段（20世纪80年代初）、集成阶段（20世纪80年代中后期）以及数据管理阶段（20世纪90年代），我国商业银行数据化起步较晚，发生在80年代中后期。利用大数据的优势，对业务数据风险控制的实时性要求较高的金融行业，可通过持续审计的方式建立实时审计工作底稿，规避审计抽样风险，还可通过数据关联找寻规律实现事前预警的效果，内部审计师也因此提升综合性专业素养。

从上述我国IT治理的开展及国内外银行对比经验了解到加快内部审计信息化的更迭可从以下几个方面入手：

第一，要结合IT治理进行IT审计。大数据背景下，企业应对IT治理与IT审计的关系梳理后再应用才有双管齐下的作用。

第二，对IS审计规范的修正要考虑到选择以目标与控制为原则导向的规范更能适应我国的文化特质。可考虑将COBIT作为整合器与ISA准则、GTAG、GAIT、COSO、ITIL等准则有机结合。

第三，完善IT内部审计组织架构首先需要建立独立的内部审计组织体系，增强相应的权威性与权限，落实巴塞尔委员会制定的内部审计报告原则。

第四，增强审计人员队伍建设，对于IT审计职员的素质进行考察，实行达标上岗，定时培训的制度。

最后，加强IT审计法规建设，这是保障IT审计正常执行的关键点。强化内部审计师对信息系统审计的职责，赋予审计师检查电子数据的权限，以此提高企业自身的IT风险管理水平和实现内部审计价值增值。

参考文献：

[1]杨晓军.面向电子商务的审计问题研究[J].审计研究，2000（5）：30-36.

[2]王智玉.计算机审计国际研讨会综述[J].审计研究，2001（5）：10-30.

[3]王稳，王旭阳.国有商业银行内部审计的现状与对策[J].审计研究，2004（3）：39-43.

[4]刘汝焯.关于当前计算机审计发展的几个问题[J].审计研究，2006（S1）.3-6.

[5]刘汝焯.信息环境下的计算机审计方式[J].审计与经济研究，2008（23）：14-19.

[6]秦荣生.大数据、云计算技术对审计的影响研究[J].审计研究，2014（6）：23-28.

篇4

为了贯彻执行教育部《教育系统内部审计工作规定》，落实服务基层、依法审计、规范管理的工作要求，充分发挥内部审计工作在教育发展中的重要作用，促进教育事业健康发展，现对2010年全区教育系统内部审计工作提出如下意见：

一、指导思想

2014年要坚持“把握全局、突出重点、提高成效”的工作方法，充分发挥内审工作的监督职能，提高依法审计能力，为教育发展大局服务。

二、职责权限

1、组织实施对所属单位各项经济活动、管理、效益进行审计；

2、及时向本单位负责人报告审计情况，并提出审计建议；

3、要求有关单位按时报送财务收支计划、预算执行情况、决算、会计报表和其他有关文件等资料；

4、对审计涉及的有关问题向有关单位和个人进行调查，并取得有关文件、资料和证明材料；

5、审计会计凭证、帐簿等，检查资金和财产，勘察现场实物；

6、对违法违规和造成浪费的单位和个人，向本部门负责人提出给予通报批评或者追究责任的建议；

7、对被审计单位不配合审计机构工作，拒绝审计或提供虚假资料、拒不执行审计结论，及时向本单位负责人汇报，由本单位负责人予以处理。

三、项目安排

1、财务收支审计，对各学校2013年财务收支和预算执行情况进行审计，审计主要内容：预算编制和执行情况；各项收入和支出的真实性、合法性；内控制度是否健全、有效；附属单位以及其他收入管理和核算情况；财政专户上缴执行情况；物品集中采购执行情况；负债还债控制和实施情况；有无隐瞒、截留、挪用、拖欠或设置帐外帐、“小金库”等问题；

2、专项审计调查，对近年来部分学校教育现代化创建经费进行审计调研，审计主要内容：创建项目的立项内容；创建经费的来源及使用情况；现代化创建中出现的问题；

四、审计方式

1、由区教育系统内部审计工作领导小组组织人员，拟定实施方案，制定有关表格，安排审计时间。根据审计规范，事前送达审计通知书并告知应准备的相关材料。

2、财务收支审计和专项审计调查以送达审计或就地审计方式进行。

3、对于审计中需要调查的问题，可以进行延伸审计。

五、工作要求

篇5

关键词：大数据；管理控制；内部审计信息化；IT审计

一、引言

时代变迁，社会组织不断变革，内部审计的职能也在不断变化。当今社会IT技术迅猛发展，互联网、大数据给传统职业带来发展机遇，内部审计的真正价值也要通过准确的定位和科学的发展路径才能真正发挥。

二、内部审计的发展历程

内部审计从产生至今经历了漫长的历程，每个国家都有自己各具特色的内部审计发展史，我国的内部审计起源于春秋战国时期的“司会”，负责稽查考核收入支出。由于外部审计即民间审计的独立性优势，使得内部审计逐渐被外部化，以往检查账目的功能被外部审计全盘接手，但是内部审计又能继续存在,据劳伦斯•B•索耶分析是基于内部控制，外部审计不能完全满足管理层和治理层关于内部控制是否有效方面的需求，使得内部审计从财务审计转向管理审计，并在管理审计领域找到了一个更好的发展基点。在IIA的《内部审计实务标准》中，内部审计被认为是一种独立的评价活动。同时，也是在IIA的倡导下，风险导向内部审计正在普及，国际上许多企业的内部审计职责已不太涉及财务审计。从内部审计功能的变迁历史，我们可以看出，正是由于内部审计是基于委托理论产生的，因此其职能必须要满足委托人不断变化的需求，那么内被审计的发展是应该随波逐流还是有所重点呢？事实证明，内部审计可以促进公司治理的有效性，确保财务信息的真实性，但却在实际中没有得到应有的重视，因此《萨班斯——奥克斯利法案》404条款有明确要求，企业应当健全内部控制制度,并且应当健全内部审计制度以强化内部控制。内部审计应当回归财务审计，同时又有所创新。内部审计的这种发展不是简单的还原，而是一种螺旋上升式的发展，在从“鉴证”向“评价”转化的过程中，突出审计的实时性、深入性，使公司的管理层和治理层能够了解到内部控制的有效性，把内部审计提高到战略高度，从具体的审计事项中，挖掘出制度方面的问题，充分发挥内部审计的控制作用。

三、内部审计的变革之路

IT技术的迅猛发展带来了信息大爆炸，这不仅是技术的革新，更重要的是对人类思维模式的改变，使人们在面对大量的数据时，增加了容错能力，改变以往求因果的直线思维，取而代之的是整合庞杂数据的相关性思维。同时，大数据颠覆了人们以往用样本推断总体的思维模式，通过先进的数据采集、分析，对事物全貌进行模拟式还原，更加真实、全面、系统、立体。对于内部审计来说，这个时代是最坏的时代，因为它加剧了工作量的倍增，也可以说这个时代是最好的时代，因为它让内部审计有了一个朝着管理本质发展的时机，不再局限于微观层面的看账、查账，而是真正的挖掘和评价组织内部深层次的问题。

1.转变观念。内部审计长期的微观性、就事论事的工作观念，扮以“找茬者”的尴尬身份，使得它在组织内部的地位不高，事实上，内部审计作为组织内的一个部门，与其他业务部门在本质上应是和谐统一的，内部审计部门需从全局出发，以唇亡齿寒之态看待内部审计的意义，不仅是发现问题，或事后评价问题，而是采取积极防御的态度和增强免疫力的思路开展工作，发现被审计部门存在的问题后，能与问题部门一起分析产生原因、解决对策，收集他们对问题判断的依据，思维逻辑，以便为分析是否存在制度设计的问题，收集数据，最大限度的挖掘相关性。以平等共建的态度，以人为本的意识，充分发挥内部审计的“专业性”、“前瞻性”，成为审计对象值得信赖的、不可或缺的战斗伙伴，这些都需要从观念上革新，不是技术手段能够替代的。这就是大数据时代给内部审计带来的宏观启示。

2.转变方式。信息化时代下，组织都在不同程度的利用信息技术改造业务流程，以提高工作效率，信息的高度数字化，使传统的审计方法已经很难实现管理层和治理层对及时性的需求，为此，内部审计信息化成为必然。当然，内部审计信息化建设要结合实际环境，有序进行。可以采用三步走战略：

2.1业务流程化：收集审计部门的数据，分类汇总，常规性问题固化处理，特殊性问题，灵活处理，以此提高效率。比如小额业务的审计，形成流程，关注异动；大额业务的相关问题，对业务数据库信息进行分析，从数据的输入、处理、输出环节进行测试分析。

2.2数据标准化：业务系统各自为战，导致数据之间差异性较大，提高了信息化程度，却降低了可共享性，因此应建立审计数据库，设立统一标准，提高数据分析效率。审计数据库与业务系统形成共享，既可以用来作为内部审计发现和分析问题的途径，也可以作为业务部门作决策的参考。例如通过对供应商的审查，建立优质供应商数据库，不仅可以预防关联方交易，而且可以在供应商中形成良性竞争，降低采购成本。

2.3审计信息系统与业务系统形成集成，如果能在信息化建设初期，从全局角度出发，为内部审计预留接口，这是最理想的设计。但在实务中，信息化建设都意识不到审计信息系统对于整个系统的防御功能，这种缺乏项层设计的信息化建设，往往都是由于业务部门只顾自已业务的信息化，在信息化基础建设不到位的情况下，盲目利用IT产品，虽然在短期内确实提高了工作效率，但是却留下了兼容性差的隐患，容易形成“信息孤岛”，这种情况是占多数的，所以只能采取退而求其次的办法，即以IT部门和内部审计部门为主导，从全局出发，兼顾局部，建立可对接各个业务部门信息系统的大数据平台，使得业务系统的数据在这个统一的平台上进行交互，审计功能在大数据平台上筑起一道防线，最终实现实时监控的目的。

3.明确重心。内部审计信息化的核心就是要实现对于整个系统有效的管控，从微观的事项审计到信息系统有效性的审计，以风险评估、风险识别为重心，对信息系统从计算机硬件、软件、人员、信息流、运行规程等方面进行评估。即对IT内部控制进行审计。按照COSO框架，针对于IT内控的几个要素，进行风险识别，比如：控制环境中的IT治理架构是否科学合理，安全性问题，IT组织与职责的设置是否完整，有没有高效的IT决策机制，是否在顶层设计中考虑合规性问题。

在控制环节，是否有高效的控制措施，包括技术类的、管理类的，技术类的不仅要考虑防火墙、防病毒，还有很重要的身份管理、权限管理，乃至操作人员的职业道德问题，这种人为的因素往往是容易忽视，但却是事故率高发的环节。内部审计的变革给内部审计人员提出了更高的要求，充分发挥“专家”特长，不断学习新的技术，吸收新理念，尽管COSO有非常详细具体的标准，但是任何标准都存在一个契合度的问题，适合的才是最好的。这就是大数据时代，内部审计的变革，既不是边缘化的包治百病，也不是无关痛痒的摆设式存在，内部审计的发展路径是螺旋上升式的，从管理的本质上发挥内部审计的积极作用。

参考文献：

[1]文硕.1996.世界审计史.[M].北京：企业管理出版社.

[2]赵学良.2011.论企业内部审计的独立性.[J]现代商贸工业（15）：163—164.

[3]冯均科.2013.内部审计发展：边缘化还是回归？[J].审计研究（2）：52-57.

[4]劳伦斯•B•索耶.现代内部审计实务(上)[M].汤云为等译.北京：中国商业出版社.

[5]张玉.2014.大数据驱动内部审计转型[J].审计月刊（11）.

篇6

（一）缺乏系统性的风险管理机制由于目前国内供电系统各部门，各岗位人员虽然有明确的岗位说明书但他们对风险管理程序和责任并不明确，这便导致了各部门或岗位之间互相推卸责任。由于风险管理和监督制度不健全，所以供电局无法进行有效的风险管理职责。而供电局系统没有储备必要的风险评估和风险管理的数据和信息，以及风险管理的战略层面并没有做成的连续监测和改进情况下下进行定期检查和评价。这些都不是容易从供电局内部审计的战略目标出发，通过各部门的整体经济活动和供给分析与评价局，在风险管理中充分有效发挥内部审计的作用和影响。

（二）审计人员缺乏风险管理意识由于供电局的内部审计起步较晚，所以导致参与供应管理审计机关人员深度不够，虽然有一定的审计业务技能，但对组织密切相关的战略目标风险认识不够。然而只有少数审计员敢于尝试，大部分审计员不敢尝试一种新的审计模式———风险导向内部审计。

二、改善供电局进行两次风险导向内部审计的做法提出建议

（一）以“四联一大”为核心，全方位识别风险内部审计人员应该花费大量的时间和精力与各级管理人员进行沟通，这样有利于对重要的商业决定，显著的经营风险，重要的管理问题进行判断和实施方案。重点在要充分了解然后控制环节和以大量金钱为核心的经营是执行审计单位的目标，在这个过程中会出现的困难包括审计域和相关联的审核风险因素。这时就需要具有审计功能的审计域，主要功能是可以对部门或机构进行检查，以确定项目的评估。一般包括：（1）供电局的文化;（2）政策，程序和做法，内部监控系统;（3）成本，利润以及投资中心;（4）合同，工程，生产，服务部门或管道（上游和下游的合作伙伴）；（5）供应链;（6）管理功能，业务交易系统，财务报表和信息系统。

（二）确认现有控件来确定剩余风险充分识别风险，以审计人员的健全性和有效性为基础，审计单位以测试现有的内部控制（或风险管理政策和程序）来确定哪些风险不能被现有的预防和控制框架控制，即确定剩余风险。因为风险是绝对的，审计资源是有限的，为供电局的风险创造了新的可能，因此确定剩余风险是必不可少的。当无法避免要承担一定的暴利风险的风险，审计部门可以选择建议审计单位风险自留，并进一步确定有关剩余风险程序。根据危险程度应采取谨慎定性和定量的角度判断：值得关注的指标应包括风险最少的可能性，损害的程度，损失频率。要定性分析是因为其中的一些因素并不能直接测量（如审计对象的职业道德和行为和遵守程度），但它是对衡量风险很重要。对于风险因素的定性分析应尽量采用量化和规范化的模糊矩阵评价方法，这样在相同口径降序排序剩余风险时做到主次分明。

篇7

关键词：数据中心 内部审计 信息化建设

进入二十一世纪以来，信息化已经成为我国经济和社会发展的重要推动力，信息技术应用与各个领域的融合日益紧密，越来越多的企业借助ERP、HR、OA等信息系统加强对企业的管理，以信息化推动现代化的战略已经取得丰硕的成果。伴随着企业信息化的发展，内部审计工作的环境发生了变化，非计算机证据的数据和比例相对减少，传统的审计方法越来越不适用。由于会计信息系统进行业务处理在数据处理工具、方法、流程等方面都发生了很大的变化，审计方法和技术也相应发生了改变，计算机审计已经日渐成为审计的一个新的发展方向。

一、研究现状

（一）内部审计工作的现状

李金华审计长曾高瞻远瞩的指出：“审计信息化建设是审计系统一场深刻的革命，是未来审计的主要手段，是现代审计的发展方向。不加强审计信息化建设，我们将失去审计资格。”早在1998年，我国审计署就开始筹备“金审工程”，开发针对政府部门、金融、财政和国有企业不同审计业务需要的审计监督应用系统，制定了审计业务信息接口标准。《审计署2008至2012年信息化发展规划》中指出要探索和完善信息化环境下的审计方式，推进审计信息化建设，努力提高审计工作效率、质量和水平，为审计事业发展提供信息技术支持和保障。

全国烟草行业近几年发展十分迅速，各个业务领域利用信息化促进管理上水平，各类信息系统如同雨后春笋，相继开发实施了工商交易平台、营销CRM、专卖管理、财务核算、电子结算、OA等应用系统，逐步形成了省级集中的数据交换中心。环境的变化对行业内审工作提出了新的要求，内部审计不仅是国有资产的守护者、财务账实的审核者，更是强化管理的促进者、提高效能的推动者、价值增值的促导者，传统而单一的财务收支审计已不能满足日益发展烟草企业管理的需要，内部审计工作的范围应需拓展。内部审计必须以“强管理、防风险、促发展”为己任，积极探索以“风险为导向、控制为主线、治理为核心、发展为目标”的管理审计和绩效审计，积极探索以“事前审计为基础、事中审计为重点、事后审计为保障”的审计模式。要实现这个目标，必须借助先进的审计信息化系统才能实现。

（二）内部审计信息化的必要性和可行性

“十二五”期间，国家烟草专卖局将“规范”视为“生命线工程”的核心位置。内部审计作为企业管理的重要组成部分，是内控体系保障规范的一个关键环节，在企业管理信息化的得到广泛应用的同时，往往存在审计对象的数据真伪难辨，且具有很强的隐蔽性，这对内部审计工作而言是一个新的考验，而审计对象的信息化也为内部审计信息化的发展提供了可行的契机。

1.内部审计信息化是促进自我规范的需要。行业内部审计是保障企业规范运营的防火墙，但由于内部审计的准则不完善，审计过程的规范仍然没有很好的解决，而内部审计信息化能实现流程固化，改进审计方法，进而促进审计工作自身规范。

2.内部审计信息化是提高工作效率的有效途径。传统审计的特征是动作滞后、过程缓慢，往往浪费大量的时间手工获取账册、凭证数据，通过计算机辅助审计，运用统计学、信息论等方法，可以将审计人员从繁重的简单劳动中解脱出来，有效提升审计效率。

3.内部审计信息化是融入企业信息化管理大环境的必然要求。尤其是行业全面实行财务管理和会计核算的电算化后，包括管理类审计，如经营管理、物流成本等内部审计对象都融入到集中的数据中心，内部审计必须实现信息化才能有效地开展。

二、内部审计信息化总体架构设计

（一）建设目标和原则

目前，烟草行业实现了省级集中的数据中心和财务管理，通过编码映射和数据转换，构建行业内部审计工作需要的一体化平台，以便于获取被审单位的数据信息，实现对审计项目的过程、资源、成果的有效管理；在审计模式上实现四个转变：由单一的事后审计转变为事后与事中审计相结合，由单一的静态审计转变为静态与动态审计相结合，由单一的现场审计转变为现场与远程审计相结合，由单一账套审计转变为多账套综合分析审计相结合的审计模式；通过提供丰富的分析工具、审计方法和经验共享，帮助快速发现疑点线索，提升业务能力，从而整体提高内部审计的效率和质量。

系统设计遵循以下的原则：

1.统一性与适用性相结合。坚持顶层设计，保障内部审计信息化与审计对象系统的无缝对接；坚持上下结合，灵活定制，促进内部审计工作针对性和适用性。

2.先进性与易用性相结合。与数据中心相匹配，采用大型数据库技术和相应的数据仓库、数据挖掘技术；在操作层面，将分析模板定制于后台，展现友好的人机界面。

3.安全性与稳定性相结合。根据审计工作的要求，采用身份认证、数据加密、入侵检测等安全方案；通过网络隔离与连通、权限分配、备份管理等技术，保障系统稳定运行。

（二）总体架构设计

按照“总体规划，分步实施”的原则，构建内部审计信息系统总体框架，系统采用B/S结构部署，总体逻辑框架由审计对象层、数据采集层、审计应用层及门户展现层四部分组成。审计对象层包括被审计单位（部门）的所有应用信息系统，各类数据信息集成到数据中心统一管理；数据采集层通过抽取、清洗、转换、处理等数据挖掘技术，从数据中心中抽取审计项目所需信息，并传递给联网审计系统（数据分析预警平台）和审计作业系统，为数据源采集提供支撑；审计应用层提供分析预警、现场作业和日常管理的信息化支撑平台；门户展现层负责与用户交互，实现系统对外一体化。系统总体架构设计如下图所示：

（三）系统功能模块设计

在数据中心集中管理的基础上，内部审计信息系统主要实现联网监控、审计管理和审计作业三大系统模块。通过数据传输通道进行设置和定义，抽取审计对象数据，并传递给联网审计系统（数据分析预警平台）、审计作业系统中，作为联网审计、审计作业的数据源开展工作。通过联网审计预警模型，发现疑点线索，通过管理系统指出审计方向，通过作业软件进行详细审计，同时将底稿等电子文档上报至管理系统进行保存。

1.联网监控

联网监控系统核心是数据分析预警功能，一方面从数据采集转换系统获取数据源开展审计；另一方面接受审计管理系统的工作计划安排，进行工作内容部署。

监控系统通过设置风险点预警方案，关联预警对象的数据中心，根据预警的触发条件、条件检测等，抽取预警对象的账套信息、经营信息等数据，经过清洗、转换、处理，形成可能的审计疑点或重点数据，存储在疑点库中，并将系统预警或者分析的疑点线索分配给现场审计作业工具系统，作为具体现场审计的工作重点或者方向，结合审计人员经验判断，从而准确迅速地确定怀疑目标，提高效率。

2.审计管理

审计管理系统，实现对审计过程的有效控制、对审计资源的有效利用、对审计成果深度挖掘，实现和审计作业系统交互。审计过程控制涵盖审计准备、审计实施、审计报告和后续审计全过程；审计资源管理整合了审计工作所需的各种资源，能够对审计工作提供完整、有效的信息支持，包括审计人才库、部门信息库、审计对象库、法律法规库、公司制度库、审计经验库、审计方案库、审计案例库八个资源库；审计成果体现在按照管理要求快速生成审计报表，能够以多种格式输出，为领导决策提供有力支持，另外，审计成果还体现在以审计项目为单元的档案管理，支持审计项目信息和过程的回溯，并根据权限提供项目信息共享。

通过审计管理系统还支撑年度审计计划的申报与审批、审计文书档案的管理、业务台账的统计汇总和基础报表的自动生成，并完成人力资源综合管理、审计任务的资源调配、审计人员履行职责的考评等。

3.审计作业

审计作业系统是由一系列的作业工具构成，包括审计数据采集与转换、审计查账、数据分析、审计底稿等外勤审计作业工作的处理；并将联网监控系统（数据分析预警平台）中分配的审计线索作为审计重点，进行有针对性的开展审计，同时将审计过程中产生的审计底稿传递到审计管理系统中。

通过审计作业系统辅助一线审计人员完成审计项目，实施电子财务数据、业务数据的采集转换，运用查询、分析、报表、计算等丰富的审计工具完成审计抽样和数据分析，提高审计工作效率。标准化的审计作业程序引导与控制规范了审计工作过程，降低审计风险。层层归集的基础信息及统计台账通过系统接口与审计综合管理信息系统无缝集成并实现现场审计作业数据与远程公司审计部之间的数据交互和共享。

三、结束语

当前，各个领域开展内部审计信息化建设的研究实践很多，成果也很丰硕。如何实现内部审计信息化的顺利转型，一方面，要结合烟草行业实际，统一规划，整体推进，在进一步完善数据中心建设的基础上，探索新技术、新思路，积极开展信息化支撑的风险导向性管理审计，拓宽审计领域；另一方面，要逐步突破审计人员的思维方式转变和自身能力提升，从审计技术和审计模式两个层面力求创新，努力促进行业内部审计工作上水平。

参考文献：

[1]审计署关于进一步加强审计理论研究工作的意见（审科发[2011]40号），2011（4）.

[2]内部审计具体准则第26号――信息系统审计.

[3]金冬成，臧日.持续审计在内部审计中的实现方案探讨[J].中国内部审计，2011（2）.

[4]曹燕，常京萍.企业内部审计信息化战略研究[J].会计之友，2010（10）.

[5]吴埠.审计信息化及其架构探析[J].中国管理信息化，2007（12）.

[6]彭胜华.计算机审计的内涵和目标[J].审计与理财，2007（5）.

篇8

【关键词】内部控制；审计

一、对于企业内部控制审计工作的现状进行分析

随着人们越来越关注企业的内部治理，对公司内部的调控筹划与运营也提高到整体的工作领域，逐渐反应出公司的经营状况，很好的进行成本的管制。对于公司内部调控审查计划的相关规定与审查规矩和法规不匹配；对于这一工作的思想观念没有确立；工作人员的技能和能力难以满足更高的业务需求；在相关单位进行审计的过程中，如果企业不配合，有意隐瞒或随意延长最后的时间，那么就会给整个审计工作带来严重的后果；这一活动的费用严重影响到对于企业在这方面的要求。

二、对于内部控制审计现存问题进行分析

1.内部控制对自我评价十分依赖

根据有关规则，对于公司的内在调控问题，公司在此方面要使用多样的点评方式。但现实中，工作人员只关注于现在及公司利润的思考，如果不能进行全面、整体的点评与监控前，有关的内容出现回复之后，出于各种原因，不能很精确的把握相关的动态，很多企业都依赖内在的评价后果，在这种背景下，就忽略了内在审计过程中出现的各种问题。

2.注册会计师胜任能力相对欠缺

这类工作只属于这类相关专业的其中一项有关业务，这就对相关工作有更好的要求，根据现实的需要，工作人员要不断的强化自身内在调控方面理论的掌握，从而更好的提高自己在专业领域胜任的能力。目前，随着整体的发展，公司面对很大的危机，对于内在的调控和审查的要求也在逐渐的提高，所以对于这类职业工作人员的要求也在随之上涨。对于公司自身来说，工作人员需要了解公司结构系统的内在调控，同时，也要根据这些内容做好相应的点评，由于这些内在的调控波及的范围广阔，再加上复杂的调控氛围，所以相关的点评工作相会有些困难，这对于这一职业来说，肯定是一项强大的精神以及巩固技能能提高的挑战。

3.内部控制审计质量控制系统的匮乏

随着相关行业市场的进步，越来越多的公司开始转变为于其内部的调节业务，这些工作与之前的相关涉及法律的工作有所不同，因此说系统还不健全，还没有建立独立完整的系统，其结果是，工作的质量让人不相信、质量也不达标，这在某种程度上，无形中会加大了相关工作的y度。

三、对于做好内部控制审计的几点建议

1.建立日常性的内部控制评价系统

这个工作要跟着公司的进步而变化，需要建立平常性的点评系统，依据自上而下的形成部门自身、公司整体、审查部门三个角度进行的不同性质的的点评体系，这些评价，在一定程度上，可以让工作人员得到相应的经验，同时准确的采取维护行动，加强公司内部对于危险的处理能力。为了强化这种点评体系，还要配合上其他的制度来加快体系的健全及实行。

2.加强培养注册会计师的综合素质，尤其是在非财务审计方面

就会计师这一角度来说，它所要做的工作要比以往的工作更多，需要持续的提升自己在某些审计工作的相关知识。例如在金融领域，需要掌握与之有关的各个方面的相关知识。所以说这一行业的工作者要积极参加到公司的管理中来，从而掌握更多的现实能力，提高自己对于本职业的综合能力。

3.有效运用相关测试

确定好点评方式后，要对其系统进行全方位的测试，主要目标是公司相关系统是否科学，工作人员要大量的采集资料，并根据相关部门来进行研究，很好的把握主要工作的相关情况及调控手段是否合理。此外，这一工作的有效性会干预到公司的运营及有关的管理行为，进一步也会影响既定目的的实现。通过对其测试可以在某种程度上减少一些坏因素的生成，进而推动效益的生成，因此这一行为发挥其本身的功效，不但在整体，还要在具体的方案上，充分发挥其自身的控制作用。在进行之前，要解决掉所有的问题，然后对相应的程序进行监督控制，以保证它能够更好的的调控危险。

4.构建健全的内控审计质量系统

为减小工作的危险，提升工作水准，建立一个很好的内在调控审查系统是我们必须要做的事。要做好这一工作，我们需要从两个角度来解决。首先要控制好注册的会计师的能力和质量，其重点在于提高工作人员的能力；而对于会计事务所，关键在于立足系统健全其组织方面的构成、还有对于工作人员的质量调控、相关制度上的水平调控等；在业务的角度，要规划好相关问题的运行的过程、方法等，以加快其工作质量的调控。

四、结束语

综上所述，企业内部的审查计划工作不但对公司当前的进步起到作用，对于公司将来的进步也有相对重大的作用。但是，在我国目前的公司背景下，这一工作还没有得到同等的关注，这对于公司的进步构成了很大地妨碍作用。我们应让公司的工作人员了解到这一工作的强大效用，为将来的进步打下更好地基石。

参考文献：

篇9

【关键词】COBIT；会计信息系统；内部控制

一 、COBIT简介与浅析

COBIT（Control Objectives for Information and related Technology，信息及相关技术控制目标）是目前国际公认的最先进、最权威的安全和信息技术管理和控制的标准。普华永道的《2006年全球信息安全状况报告》中统计，全世界63%的公司采用了COBIT控制框架标准，这一比率是IT控制框架采用率最高的。COBIT是由信息系统审计和控制协会（Information System Audit and Control Association，ISACA）（ isaca. org）下属的IT治理研究院（ITGI，Information Technology Governance Institute）（itgi.org）开发和的，旨在为IT 的治理、安全和控制提供一个普遍适用的公认的标准，以辅助企业管理层进行IT治理。自COBIT 问世以来，先后经历了1998年、2000年和2006年的修改补充，2007年5月，ITGI了COBIT 4.1，它从IT治理的角度，从更高的层面上来指导管理层进行IT控制和信息系统管理。由于一方面全球信息化的加剧和我国信息化的发展，另一方面COBIT对信息系统控制与审计又有着很好的指导作用，所以当前介绍和引进COBIT对于推动我国信息化的健康发展有重要的意义。

COBIT 4.1主要是由4部分组成：框架、控制目标、管理指南和成熟度模型。其相互关系如图1所示。

COBIT是由相互关联的各组成部分有机结合在一起的，能够为不同的顾客群提供有关治理、管理、控制和保证方面的需要。下面对其组成部分逐一介绍分析。

1. 框架（Framework）

COBIT将IT过程、IT资源、与业务要求相适应的IT目标结合起来，形成一个三维的体系结构，如图2所示。与业务要求相适应的COBIT的IT总体控制目标具体是有效性（Effectiveness）、高效性（Efficiency）、机密性（Confidentiality）、完整性（Integrity）、可用性（Availability）、符合性（Compliance）、可靠性（Reliability）;IT资源主要包括应用系统（Applications）、信息（Information）、基础设施（Infrastructure）和人(People);IT过程则是在与业务要求相适应的COBIT的IT总体控制目标的导向下，对信息及相关资源进行规划和处理，从信息技术的计划与组织、获取与实施、交付与支持、监控与评价等4个方面确定了34个信息技术处理过程。实际上， COBIT的IT控制目标的实现就是在IT过程中管理IT资源来完成的。图3详细地描述了完整的COBIT框架，显示了COBIT的处理模式是如何根据业务和治理要求来管理IT资源并使之给业务传递信息的，该模式由4个领域构成，包括34个一般过程。

2. 控制目标（Control Objectives）

从领域、过程和活动3个层面对总体目标进行分解，通过对特定的活动实施控制，以实现预定的系统目标。为有效地进行IT治理，在COBIT框架内部通常将需要进行管理的活动和风险分为4个领域，即计划与组织(Planning and Arrangement)、获取与实施（Acquisition and Implementation）、交付与支持（Delivery and Support）和监测与评价（Monitoring and Evaluation），领域目标按34个过程进行细分，根据每一个信息技术过程所涉及的系统资源，确定出相应的控制目标；针对每一个信息技术处理过程进一步细分为若干任务，确定出210个具体的控制目标。针对这些具体的控制目标，COBIT提供了详细的系统管理策略，包括具体要采取的措施以及要考虑的问题等。这3个层次的控制目标体系使系统管理目标更清楚、更明确，更有操作性。COBIT覆盖了整个信息系统的全部生命周期，涵盖了战略、战术与操作的所有层次，处于各个阶段的信息系统都可以参照使用，它所带来的益处是十分明显的，它使IT战略与组织战略紧密联系，在业务目标、信息系统、业务绩效目标之间维持平衡。

3. 管理指南（Management Guidelines）

管理指南是控制目标在企业的具体应用准则，以进行自我评价与选择，进而实施并完善对信息及相关技术的控制，其目的是对IT业务活动进行有效控制，使IT与业务活动保持高度一致，并通过传递组织所需要的信息使业务活动得以进行。管理指南给出了度量信息系统生命周期各个IT控制过程的安全、可靠与有效的指标体系。

4. 成熟度模型（Maturity Models）

对IT过程进行管理和控制的成熟度模型是评价组织的一种方法。它划定6个成熟等级，如图4所示。每一个成熟度等级都规定相应特征，企业可以结合自身的特点，界定出本企业的当前状态。该方法来自于软件工程研究所（Software Engineering Institute，SEI）为软件开发能力所定义的成熟度模型，但COBIT只是借助于能力成熟度模型（CMM）的形式来为其IT管理过程的性质界定出成熟度等级。在COBIT 4.1中，34个IT治理过程都规定了自己的具体模型。

二、IT环境下，加强会计信息系统内部控制的必要性

1. 会计信息系统的演进

会计信息系统的产生和发展是社会经济、技术发展的必然产物。从会计数据处理工具与处理模式来看，会计信息系统的发展可分为3个阶段：一是手工会计信息系统阶段，二是机械会计信息系统阶段，三是计算机会计信息系统阶段。杨周南教授认为计算机会计信息系统阶段又可分为3个阶段：一是电子数据处理阶段，二是综合数据处理阶段，三是决策支持与专家系统阶段。

2. 会计信息系统的定义和特征

会计信息系统（Accounting Information System，AIS）是一种面向价值信息和基于会计管理活动的系统，是在计算机软件和网络环境下，采用现代信息处理技术的一个人机交互的管理信息系统。其基本特征如下：

（1）AIS以符合会计管理工作和会计变更的需求为主要目标。

（2）AIS以解决企业会计核算和管理所面临的问题为主要功能。

（3）AIS以现代计算机硬软件和网络平台为处理环境，由人（含会计人员）、信息技术设备（含数据文件）和运行规程三要素组成，其核心部分是功能完备的会计软件。

（4）AIS能充分利用现代信息处理技术，自动（或半自动）采集、存贮、处理、分析、传递和反馈会计信息。

3. 会计信息系统所面临的风险

在IT环境下，由于与传统的手工操作环境有了很大的差别，会计信息系统面临着前所未有的风险。主要有以下几类：

（1）疏忽差错（Unintended Errors）。系统操作员或交易执行员在经济业务资料的输入与处理过程中，由于缺乏必要的上岗作业培训或身体状况欠佳等原因造成的非故意差错。

（2）蓄意差错(Deliberated Errors)。蓄意差错也就是故意性差错，实质就是舞弊，是不正当的或违法的。在信息的输入—处理—输出的流程中，甚至在软件的开发与研制过程中，都可能产生这种差错。它不仅对有关数据或输出信息的正确性与可信性造成影响，而且还可能导致企业资源的短缺损失和掩饰有关盗窃行为。

（3）疏忽性资产毁损（Unintended Asset Damages）。企业数据资料记录可能承受非故意的毁损，比如存储于硬盘中的应收账款记录未作备份，可能因偶然的断电故障这类偶发事件而消失。

（4）安全措施破坏（Breaches of Securities）。未经授权许可的人员可能非法接近企业的交易资料与其他记录。电脑“黑客”通过互联网擅自进入企业的计算机系统窃取、篡改或恶意破坏交易资料或记录，以及未经授权员工私自偷阅未设定密码或口令保护的企业员工薪金报告等。这种风险可能在被竞争对手窃取本单位的重要资料时造成极为严重的后果。

（5）暴力（Forces）。暴力的存在来源于外界人士（如恐怖分子）和怀有怨气的现有员工或已遭解雇员工的报复行为。如损坏会计信息系统或销毁企业的客户往来档案记录等。其后果可能是毁损企业的资产和资料，甚至导致经营过程中断以及企业的破产倒闭。

基于以上风险，IT环境下的会计信息系统加强内部控制具有前所未有的必要性，具体如下：

（1）IT环境下电脑操作隐形化和无纸化存储介质的缺陷。

（2）IT环境下内部稽核削弱。

（3）IT环境下会计工作质量有赖于计算机硬软件系统自身的可靠性及会计人员本身的操作水平。

（4）管理型会计软件的发展对内部控制提出了新要求。

（5）网络财务是IT环境下的新型管理模式，其安全性和保密性有赖于建立健全有效的内部控制。

三、借鉴跨国公司经验，运用COBIT，加强我国企业会计信息系统的内部控制

1． 保诚公司的经验分析简介

保诚公司于1848年在英国成立，它是目前全球领先的金融服务大鳄和在亚洲领先的欧洲寿险公司。随着其资产管理业务的快速增长，保诚公司（亚洲）在亚太地区的12个国家里拥有了9 000多位员工，除了在新加坡有一个区域分中心之外，它还有两个关键的区域IT中心，其中一个在马来西亚，另一个在中国大陆。

保诚公司亚洲地区的资讯科技部长罗德里格斯在2005年首次引进COBIT。他在香港领导着一个区域IT小组，该小组拥有6名成员。由于得到这个区域IT小组的支持， 保诚的CEO及其委员会成员同意采用COBIT的倡议，他们强烈地支持采用更好的IT框架、系统和程序以在整个地区给公司提供更好的竞争优势。“COBIT是一个非常简单而强有力的管理工具，它让我们实现我们的目标”，罗德里格斯说。

罗德里格斯还认为，“一个好医生是一位能够清楚地向她或他的病人解释如何保持健康的人，同样，一个好的IT专业人员是能够使该项目对一个公司观众来说容易得到理解的人。毫无疑问，我认为COBIT是允许我获得这种能力的工具，利用COBIT，我相信我们能为保诚建立一个更好的IT和公司责任的文化。”

虽然保诚实施COBIT仍在进行之中，但是，很显然，罗德里格斯已经获得了一些经验，具体如下:

（1）IT治理:泛区域战略构成、一致性；

（2）削减成本:减少重复；

（3）安全:区域客户资料管理；

（4）外包:为外包业务伙伴提供适当债务；

（5）沟通:让广大的公司员工易于理解各种术语；

（6）业务增长:为领导者提供了一个更安全、更一致的全面IT环境，以使其把精力集中在可增加企业价值的解决方案上。

上述这些经验显然是对整个保诚公司（亚洲）的IT治理而言的，但是可以看到其中一些经验对会计信息系统的内部控制和审计具有指导意义。

2. 勇于开拓，争取早日构建基于我国实际情况并与国际接轨的COBIT框架

随着我国经济的迅速发展和经济全球化的突飞猛进，近年来我国已逐渐重视企业内部控制，特别是2006年，被业界称为中国的“内部控制年”。财政部牵头联合发起成立了企业内部控制标准委员会，并邀请行政机关、高校、社会团体以及大中型企业的专家兼职咨询。该委员会了《企业内部控制规范》（征求意见稿），包括基本规范和一系列具体规范，并专门针对信息系统内部控制制定了《企业内部控制规范第××号——计算机信息系统》（征求意见稿），包括总则、岗位分工和授权批准、信息系统开发、变更与维护控制、信息系统访问安全和会计电算化及其控制等6部分。另外，财政部还于2006年颁布了新审计准则《中国注册会计师审计准则第1633号——电子商务对财务报表审计的影响》，针对电子商务环境下的信息系统审计进行了规范，其中第5章“对内部控制的考虑”里，提到了“注册会计师应当按照《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》和《中国注册会计师审计准则第1231号——针对评估的重大错报风险实施的程序》的规定，考虑被审计单位在电子商务中运用的与审计相关的内部控制”。这些标准或规范只是为本专业的内部控制提供了一个应用指导，在一定程度上为进行IT治理环境下的内部控制发挥了一定的作用。但是，从综合的 IT治理或IT内部控制来看，还没有形成一个能够满足各方面要求，适应各种需要的综合的、完整的、系统的框架。目前虽然有些在国际上有显著影响力的IT服务公司使用自己制定的标准或框架，如IBM公司使用IBM IT Process Model（ IBM流程模型）；HP公司使用HO ITSM Reference Model（HP服务管理参考模型）；微软使用Microsoft Operational Framework（MOF，微软运营框架），但是国际上绝大多数公司都使用主流的像COBIT这样的IT治理标准。因此，有必要建立我国自己的COBIT框架，一方面是提升我国公司的管理能力，提高其经济效益，使其不断发展的需要；另一方面，也是我国企业走出国门融入经济全球化大潮中去的需要 。

主要参考文献

［1］ 杨周南等. 会计信息系统［M］. 北京： 经济科学出版社，2004.

［2］ 杨宝刚. 会计信息系统［M］. 北京：高等教育出版社，2001.

［3］ 蔡传勋. 会计信息系统［M］. 大连：东北财经大学出版社，2004.

篇10

【摘要】本文主要讲述了美国《萨班斯――奥克利法》中创立的公共公司监督委员会PCAOB对财务报告内部控制审计准则实施中应注意的问题。

一、PCAOB财务报告内部控制审计准则的颁布

2001年安然事件及其随后的一系列公司经营失败事件严重地损害了事发公司相关利益者的利益，极大程度地撼动了世人对美国资本市场稳定性和公允性的信念。为了应对这一严重后果，美国国会于2002年7月30日颁布了由其总统签字的《萨班斯――奥克利法案》（下称“法案”）。内部控制的失败，特别是财务报告内部控制的失败是法案中国会最关注的、予以处理的问题，因此法案404（a）条款要求公司管理当局评估和报告公司的财务报告内部控制；法案404（b）条款要求公司的独立审计师对公司管理当局的财务报告内部控制的评估进行鉴证，并报告其鉴证结果。法案还为监督公司独立审计师创立了一个新的委员会――公共公司会计监督委员会（PCAOB），并责成其制定法规将公司执行主管、公司董事、律师和会计师的责任法规化。

法案103(a)(2)(A)和404(b)条款指令PCAOB建立职业准则指导独立审计师的鉴证。因此，自PCAOB成立起，就对上市公司管理当局的财务报告内部控制评估事宜倾注了极大的关注和努力。在2003年4月，PCAOB采用原有的职业准则作为该委员会的临时准则，包括一个指导审计师鉴证内部控制的准则。为了更好地关注法案要求和评估现有的临时准则，PCAOB在2003年7月29日召开了公开讨论会，讨论和听取与财务报告内部控制报告和鉴证有关事宜的问题与观点，与会人员有上市公司、会计师事务所、投资机构和监管组织的代表。根据会议结果，综合各方代表的意见与建议，PCAOB认为PCAOB所确立的原有内部控制鉴证准则并不能充分完成有效履行法案404(b)条款之要求，PCAOB自身也不能适当解除法案103条款下的准则制定义务。因此，PCAOB在2003年10月7日制定了一个题为“连同财务报表审计的财务报告内部控制审计”的准则征求意见稿，在准则征求意见期间，PCAOB一共收到来自审计师、投资者、内部审计师、发起人、监管者和其他人等的193份评论。在综合分析与考虑所收到的评论和履行法案的规定要求后，PCAOB于2004年4月9日正式了审计准则No.2准则“连同财务报表审计的财务报告内部控制审计”。要求被证券交易法12b-2所认定为加速递交的公司会计年度结束于2004年12月31日或之后的就要遵循萨班斯法案404条款规定的内部控制报告和披露。（其他公司直至会计年度结束于2005年12月31日或之后才遵循内部控制报告和披露的规定。）因此，受聘于审计加速递交人会计年度结束于2004年12月31日或之后财务报表的独立审计师也要求审计和报告公司同期会计年度的财务报告内部控制。

二、PCAOB财务报告内部控制审计准则实施中要注意的问题

自PCAOB审计准则No.2准则“连同财务报表审计的财务报告内部控制审计”颁布实施以来，历时虽不久，但是所反映出来的问题却很多，以下只是从审计师遵守该准则执行具体业务的视角，简单讨论了审计师为了更好地遵守准则完成所聘业务应该注意的问题。

（一）努力整合财务报告内部控制审计与财务报表审计

法案404(b)要求公司外部审计师对其管理当局的财务报告内部控制评估予以鉴证并报告， PCAOB的审计准则No.2要求审计师对管理当局财务报告内部控制的评估进行审计并报告审计结果。根据PCAOB的观点，审计师对管理当局财务报告内部控制有效性评估报告的鉴证业务与财务报告内部控制审计是一样的，检查管理当局财务报告内部控制评估的鉴证业务所要求的工作与财务报告内部控制审计所要求的工作也是一样的。财务报告内部控制审计的目标是审计师就管理当局对财务报告内部控制有效性的评估报告是否在所有重大方面公允表达表示意见，财务报表审计的目标是审计师就被审单位的财务报表是否在所有重大方面公允表达表示其专业意见。为了取得公允、可靠的财务报表，内部控制必须设计良好的以监督记录准确、公允反映交易和公司资产的处置；内部控制必须能够为交易记录足以遵守GAAP编制财务报表、现金收支只有在管理当局或董事会授权才能处理提供合理保证；内部控制必须确保设计好控制能够预防或侦查盗窃、未授权使用或处置对财务报表有重大影响的资产等等。换而言之，如果公司管理当局能够证明他们运用充分的内部控制簿记，为编制准确的财务报表准备了充分的簿记和记录，坚持了关于使用公司资产的规则等，则投资者对公司的财务报表将会有更大的信心。正因为这样，法案404条款才要求公司管理当局评估和报告其财务报告内部控制，并要求公司独立审计师对管理当局的评估表示鉴证意见，也就是说，为利益相关者和社会公众依赖管理当局对公司财务报告内部控制的表达提供一个独立理由。可见，无论是财务报表审计，还是财务报告内部控制审计，其终极目标是一样的。为此，404(b)条款要求不能将审计师对管理当局财务报告内部控制的鉴证视为一个孤立的业务。

更重要的是，这二者所涉工作之间的关系是你中有我、我中有你、互为影响、紧密联系的。整合财务报表审计和财务报告内部控制审计，就是通过同一过程同时实现两种审计的目标。财务报表审计中，准则要求审计师必须获得对被审单位内部控制的了解，并对之进行风险评估，以确定随后需要进一步执行的审计程序。而遵守404条款的公司审计师就不仅仅是获得内部控制的了解，而且要检查内部控制设计和运行的有效性，并就其有效性表示意见。可见，这两种审计不仅终极目标是一致的，而且其间过程也是血肉相容的，努力整合它们可以降低审计成本，提升整个审计过程的有效性。如财务报告内部控制审计中审计师对内部控制的检查，可以通过财务报表审计的结果得以证实；另外，在财务报告内部控制审计过程中得到的审计结果和结论又可以帮助审计师更好地计划和执行那些设计来确定财务报表是否公允表达的审计程序。二者相互补充、互为强化，更好地改善了公司财务报告内部控制以及财务报表的审计质量。

在现有的审计实务中，由于种种原因，一些审计师未能充分整合这两种审计，事实证明这不仅浪费审计资源，还将危及整体审计质量，甚至有很大可能错过那些能够识别和根除处于萌芽状态的会计或报告问题。

（二）重视并努力提高职业判断能力

本质上说， PCAOB的审计准则No.2与其他审计准则并无多大差异，也在准则中规定了相对具体的审计方案。遵循这一准则，审计师也能够量体裁衣地编制足以应对审计客户性质和复杂性的审计计划，其前提就是审计师要充分运用自己的职业判断能力。但是，现有的审计相关实务所反映出来的是：有很大一部分审计师所使用的是一种“以一应万”的、与具体问题和具体客户财务报表过程风险无多大关联的标准化式的“清单驱动”审计计划。这种计划编制模式，最终的结果是导致审计费用增加，审计资源配置不科学。如安排项目小组中的助理人员花很多的时间去测试细节处理层次的控制；这种计划很少调查可能识别财务报告问题的重大控制薄弱点等等。这种计划最终将使得审计质量未能取得预期效果。

财务报告内部控制审计的目标是针对被审单位管理当局的财务报告内部控制评估报告是否在所有重大方面公允表达表示意见。审计师为了完成这一目标应该获得公司内部控制系统合理保证财务报表不含有重大错报的证据，在这一过程中充斥着对审计师职业判断的要求。例如审计师不仅需要运用职业判断确定如何将审计准则No.2应用于不同行业、不同规模的审计客户，还要运用其职业判断将其审计工作集中于由于错误或舞弊可能存在的更高错报风险的领域；又如，要确定财务报告内部控制设计和运行的有效性，审计师应该运用其职业判断确定内部控制缺失、重大缺失、重大薄弱点，审计师在评价财务报告内部控制缺失时，必须以合理的方式运用其职业判断，这种评价可能要适当考虑质量和数量因素。特别是，质量分析应该分解为缺失的性质、原因、所设计的控制支持的相关财务报表认定、对主要控制环境的影响以及其他弥补控制是否有效。

一个新的工作领域，审计师不仅面临着一个学习的过程，而且要面对前所未有的困难与挑战。尽管财务报告内部控制审计与财务报表审计血肉交融，但是财务报告内部控制审计对审计师职业判断的要求要高得多，且目前还有点让人无所适从之感。为了更好地履行财务报告内部控制审计这一职责，审计师应该充分重视并尽可能地提升自己的专业判断能力。

（三）强调方法的适用性和风险评估的作用

审计向来不是一种机械核对活动，财务报告内部控制审计也一样。一个好的、富有成效的财务报告内部控制审计方式应该是重视不同被审单位的具体风险，将审计资源科学地配置于最高风险领域，避免对重大账户和相关控制一视同仁而无视相对应的风险。因此，在财务报告内部控制审计中，要强调方法的适用性和风险评估的作用。为此，审计准则No.2设计了一种自上而下的风险导向测试策略方法。也就是说，准则要求审计师首先将注意力集中于公司层面的控制；然后是重大账户，这将引导审计师关注重大处理过程；最后，关注过程中、交易或应用层次的具体控制。每一步获得的了解都将指导审计师关注下一控制层次内的高风险领域。

审计师应用自上而下、风险导向的方法确定重大账户和相关的重大过程以及有关的认定。这种方法的自然结果是审计师能够对高风险领域予以更大的关注和资源。应用这种自上而下的方法，要求审计师以合理的方式运用其积累的知识、经验和判断去确认存在财务报表可能存在重大错报的重大风险领域，然后，进一步确认与此相关的控制、设计适当的程序测试这些控制。在确认重大账户和有关重大过程以确定其审计程序时，审计师一般既要考虑数量因素也要考虑质量因素。质量因素包括与不同账户及其相关过程有关的风险，除了考虑质量因素以外，审计师还要建立用于确认内部控制测试范围内的重大账户的数量限阈。审计师应该考虑与已识别的每一重大账户有关的整体风险以确定他们是否应该改变具体控制之控制测试的性质、时间和范围。这样审计师就可以排除那些不需进一步考虑的含有重大错报之概率只有极小概率的账户，使得其对低风险领域予以更少的关注，进而能够进一步降低成本，同时增加审计效果。审计师要是选择另一种无用的方法就有可能要承担审计成本增加、质量降低的风险。如从最低层开始就增加了使自己陷入最终结果对实现预防或侦查财务报表重大错报的基本目标无任何意义的测试之中，进而导致增加一些不必要的成本。

作为其风险评估的一部分，审计师还应该考虑公司层面控制的强度，以确定对这些控制所作的测试结果是否改变测试的性质、时间和范围。虽然审计师不仅仅依赖公司层面控制的测试，但公司层面控制强可以使得审计师做更少的工作，否则，他们将要执行更多的测试或要更大范围地依赖别人的工作。

（四）充分利用他人的工作

审计师自上而下地应用审计准则No.2，并适当地评估风险将能自然地识别那些需要利用他人工作既遵守准则要求又是最有效的审计方式的领域。在这些领域重复执行测试或其他审计工作可能使得审计成本不必要地增加，审计质量也没有得到相应的提高。