導語：如何才能寫好一篇審計局內部審計，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

一、加強內部審計人員業務培訓和審計廉政建設。加強區教育局內審人員的內部審計業務提升，積極參加省、市、區組織的審計業務培訓，同時采用“請進來走出去”的培訓模式，繼續提高內部審計人員的業務素質，進一步提高內部審計的工作質量。內部審計人員嚴格執行《省教育審計工作廉政規定》的內容，保持嚴謹細致的工作作風，做到依法審計、規范審計、精細化審計，確保審計工作的客觀公正和審計人員的廉潔從審。

二、重點實施公辦中小學（幼兒園）固定資產管理的專項審計調查。加強學校固定資產的科學管理，維護學校固定資產的安全和完整，合理配置和有效利用固定資產，提高國有資產使用效益，保證教育教學工作的順利進行。通過實施中小學（幼兒園）固定資產管理的專項審計調查，進一步規范中小學（幼兒園）固定資產的增加、使用、維護和變動、處置等財務活動，嚴肅財經紀律，有效預防國有資產的流失等行為發生，促進勤儉節約和廉政建設，充分體現固定資產的使用價值。

三、常態化實施教育系統三年輪審工作。《區教育系統第二輪內部審計三年輪審工作計劃》中明確規定輪審對象、范圍、方式、內容、重點以及組織實施方法，按照學校單位內部管理情況、預決算管理、收支管理及結余情況、“三公經費”使用情況、專項資金使用情況、往來款情況、單位固定資產管理情況、單位收費情況、學校食堂管理情況、工會賬務管理情況等十個方面的審計內容進行審計，在規定時間內完成三年輪查計劃中的開始第二年的審計任務，是教育局審計室落實審計監督的具體工作要求，應當充分發揮教育系統內部審計的監督、評價和服務功能。通過審計，深入了解單位內控制度建立及執行情況、財務收支狀況和財務管理情況，規范經費收支行為，提高教育資金使用效益；進一步增強單位領導和后勤管理人員的財經意識，提高風險防范能力，預防和遏制違規行為發生，確保教育經費和財產安全。

四、實施下屬單位負責人離任經濟責任審計工作。根據教育局下屬單位負責人的人動情況，及時組織完成校長（園長）和直屬事業單位負責人離任經濟責任審計的任務。通過審計，核實單位財務收支及賬內、外負債情況，以澄清家底。全面掌握財務收支及相關經濟活動真實性、合法性及重大經濟項目的決策、實施和內控制度的執行情況。并根據審計情況提出合理化建議，促進學校進一步加強財務管理和增強遵紀守法意識；并對校長（園長）和直屬事業單位負責人在其任期內經濟責任進行客觀、公正的鑒證和評價，為干部管理部門考核使用干部提供依據。

篇2

【關鍵詞】　電信；數據倉庫；數據審計；內部安全

近年來，隨著信息技術的大規模使用，國內電信企業信息安全問題凸顯，移動充值卡破解、電信計費數據庫清零等各類事件，使我們認識到，電信行業內業務系統的信息安全治理問題已經成為了當前的一道難題。從這個角度來看，本文對電信企業數據庫審計以及內部安全問題進行研究具有一定的現實意義。

1電信企業數據庫安全現狀

電信行業的信息化提高了企業的工作效率，也提升了電信企業的服務質量。但是，由于當前電信企業的數據庫普遍采用的是傳統的安全防范技術，過分強調單個安全產品的重要性，比如對防火墻的性能以及功能過分的信賴，導致對其數據庫信息安全缺乏一個系統、完整的解決方案。同時，由于我國的電信企業業務發展非常快，用戶數量快速增長的同時也導致數據劇增， 在這個過程中，電信企業也面臨著需要更多的數據訪問的威脅、內部人員威脅、軟件開發商等外部人員的威脅以及防火墻內部黑客攻擊的威脅等等。這些威脅的客觀存在在實踐中也造成了不少的電信企業數據庫安全事故。總之，電信企業數據庫安全問題不容樂觀。

2電信企業數據庫審計與內部安全系統的設計

2.1電信企業數據庫審計與內部安全系統所需實現的功能

根據電信行業的特殊性，以及當前我國電信企業在數據庫審計以及內部安全方面的現狀，我們認為，電信企業數據庫審計與內部安全系統所需實現的功能有如下幾個方面：（1）能夠實時的進行審計，通過對電信企業的各項業務數據的實時收集，審理各業務系統的安全審計日志；（2）對數據庫審計策略進行管理，如果電信企業數據庫是Oracle數據庫，則需要能實現對細粒度審計信息的收集；（3）監控多種數據平臺，保證良好的擴展性；（4）支持多業務系統的審計日志統一管理，保障信息化系統數據的安全性與合規性；（5）對審計信息進行良好的展現與分析，并且實時觀察電信企業核心業務的安全性。

2.2電信企業數據庫審計與內部安全系統的架構設計

本次設計的電信企業數據庫審計與內部安全系統的架構包括了四個核心部分，即審計數據源、審計信息的采集、審計信息的匯總以及分主題的展現，詳情如下圖所示：

圖1電信企業數據庫審計與內部安全系統的架構設計

2.3系統的實現

數據源部分，主要包括了與客戶經營活動相關的各種數據，首先確保系統具有較強的可擴展性，使其能夠支持各種數據源的接口，包括CRM數據系統、綜合計費賬務系統、綜合結算系統、客戶服務系統以及財務系統等。

數據采集部分，主要是采集如下幾個方面的數據：（1）各類業務系統的數據庫審計策略；（2）根據審計策略定時從需要監控和審計的業務系統中獲取審計結果。

審計信息匯總部分，實際上就是一個數據倉庫，通過將各類數據進行分析，建立自動數據處理機制，為數據庫的審計以及內部監控信息的分析提供一個完整的、可靠地、統一的數據存儲。

分類主體展現方面，實際上就是通過配合不同的數據分析應用，通過客戶機或者瀏覽器的方式，對數據進行可視化的呈現，使得數據能夠更好的被用戶所接受和理解，實現數據庫審計以及內部信息監控的價值，從而有效的提高決策準確性與決策的效率。要實現這些功能，實現要通過前端分析工具對數據倉庫進行OLAP分析，由于其具有內置的開發空間，是一種所見即所得的開發方式，能夠通過數據表、交叉表、曲線圖等各種不同的形式或者組合形式來表現分析結果，對數據進行多維分析、趨勢分析、意外分析、排名分析、比較分析、原因和影響分析以及What-If分析，從而實現數據庫的審計和內部信息監管。

3結語

當前，電信行業內的業務信息系統的安全治理是電信企業面臨的一道難題。這既有來自于電信企業外部的層出不窮的入侵和攻擊，也有來自于電信企業內部的違規和泄漏。由于電信業務系統眾多(如：OSS、BSS、MSS、銷賬、EIP、OCS、財務、營銷支撐、計費結算等)，數據庫用戶較多，涉及數據庫管理員、內部員工、營業廳及合作方人員等，因此網絡管理更加復雜文章對當前我國的電信企業數據庫安全現狀進行了大致的分析，信息技術的飛速發展和普及，改變了現代企業的經營方式，越來越多的企業在正常的生產經營過程中，已經離不開IT系統的支持。在此基礎上針對電信企業的業務開展特點和現狀，提出了電信企業數據庫審計及內部信息安全系統的基本需求，構建了系統的基本架構，并且對主要功能模塊的實現進行了大致的探討。希望本文的研究對于改善我國的電信企業信息安全現狀能夠有一定的推動和促進作用。

參考文獻

[1] 劉暢. 構建基于數據倉庫的勞動力服務決策系統[J]. 現代計算機. 2003(09)

[2] 張摘月,王峰. 數據倉庫技術在基層人民銀行的應用研究[J]. 中國金融電腦. 2001(08)

[3] 朱義軍,王乘. 應用在電力系統中的數據倉庫及其設計[J]. 廣西電力. 2003(03)

[4] 王姝華,仲華,呂明. 移動通信企業數據倉庫系統設計初探[J]. 江蘇通信技術. 2004(02)

篇3

【關鍵詞】IT內部審計；IT治理；商業銀行

審計信息化（IT 審計）也可稱信息系統審計或計算機輔助審計。IT內部審計作為IT治理的分支，本質是為了促進IT治理目標的實現，實現IT資源的價值增值。本文主要是選用商業銀行IT治理的案例來豐富大數據時代IT內部審計概念。

現階段商業銀行IT治理雛形可從以下5個核心要素進行考察：（1）在IT戰略部署上，以商業目標、IT風險及IT投資成本為重心；（2）IT價值交付是指在考慮時間價值的基礎上，確保IT投資與價值回報效率；（3）在風險管理方面，信息系統風險的控制在COSO協議與Basel協議雙重保障下相對其他行業已發展成熟，對操作風險的控制更為專業；（4）信息系統績效評價可借助IT內部審計與IT平衡積分卡來完成；（5）IT資源包括相關的人力資源及軟硬件資源。現階段完善內部審計信息化工作如下表：

國外先進商業銀行的數據化道路分為6個階段：初始階段（20世紀60年代）、擴展階段（20世紀70年代）、控制階段（20世紀80年代初）、集成階段（20世紀80年代中后期）以及數據管理階段（20世紀90年代），我國商業銀行數據化起步較晚，發生在80年代中后期。利用大數據的優勢，對業務數據風險控制的實時性要求較高的金融行業，可通過持續審計的方式建立實時審計工作底稿，規避審計抽樣風險，還可通過數據關聯找尋規律實現事前預警的效果，內部審計師也因此提升綜合性專業素養。

從上述我國IT治理的開展及國內外銀行對比經驗了解到加快內部審計信息化的更迭可從以下幾個方面入手：

第一，要結合IT治理進行IT審計。大數據背景下，企業應對IT治理與IT審計的關系梳理后再應用才有雙管齊下的作用。

第二，對IS審計規范的修正要考慮到選擇以目標與控制為原則導向的規范更能適應我國的文化特質。可考慮將COBIT作為整合器與ISA準則、GTAG、GAIT、COSO、ITIL等準則有機結合。

第三，完善IT內部審計組織架構首先需要建立獨立的內部審計組織體系，增強相應的權威性與權限，落實巴塞爾委員會制定的內部審計報告原則。

第四，增強審計人員隊伍建設，對于IT審計職員的素質進行考察，實行達標上崗，定時培訓的制度。

最后，加強IT審計法規建設，這是保障IT審計正常執行的關鍵點。強化內部審計師對信息系統審計的職責，賦予審計師檢查電子數據的權限，以此提高企業自身的IT風險管理水平和實現內部審計價值增值。

參考文獻：

[1]楊曉軍.面向電子商務的審計問題研究[J].審計研究，2000（5）：30-36.

[2]王智玉.計算機審計國際研討會綜述[J].審計研究，2001（5）：10-30.

[3]王穩，王旭陽.國有商業銀行內部審計的現狀與對策[J].審計研究，2004（3）：39-43.

[4]劉汝焯.關于當前計算機審計發展的幾個問題[J].審計研究，2006（S1）.3-6.

[5]劉汝焯.信息環境下的計算機審計方式[J].審計與經濟研究，2008（23）：14-19.

[6]秦榮生.大數據、云計算技術對審計的影響研究[J].審計研究，2014（6）：23-28.

篇4

為了貫徹執行教育部《教育系統內部審計工作規定》，落實服務基層、依法審計、規范管理的工作要求，充分發揮內部審計工作在教育發展中的重要作用，促進教育事業健康發展，現對2010年全區教育系統內部審計工作提出如下意見：

一、指導思想

2014年要堅持“把握全局、突出重點、提高成效”的工作方法，充分發揮內審工作的監督職能，提高依法審計能力，為教育發展大局服務。

二、職責權限

1、組織實施對所屬單位各項經濟活動、管理、效益進行審計；

2、及時向本單位負責人報告審計情況，并提出審計建議；

3、要求有關單位按時報送財務收支計劃、預算執行情況、決算、會計報表和其他有關文件等資料；

4、對審計涉及的有關問題向有關單位和個人進行調查，并取得有關文件、資料和證明材料；

5、審計會計憑證、帳簿等，檢查資金和財產，勘察現場實物；

6、對違法違規和造成浪費的單位和個人，向本部門負責人提出給予通報批評或者追究責任的建議；

7、對被審計單位不配合審計機構工作，拒絕審計或提供虛假資料、拒不執行審計結論，及時向本單位負責人匯報，由本單位負責人予以處理。

三、項目安排

1、財務收支審計，對各學校2013年財務收支和預算執行情況進行審計，審計主要內容：預算編制和執行情況；各項收入和支出的真實性、合法性；內控制度是否健全、有效；附屬單位以及其他收入管理和核算情況；財政專戶上繳執行情況；物品集中采購執行情況；負債還債控制和實施情況；有無隱瞞、截留、挪用、拖欠或設置帳外帳、“小金庫”等問題；

2、專項審計調查，對近年來部分學校教育現代化創建經費進行審計調研，審計主要內容：創建項目的立項內容；創建經費的來源及使用情況；現代化創建中出現的問題；

四、審計方式

1、由區教育系統內部審計工作領導小組組織人員，擬定實施方案，制定有關表格，安排審計時間。根據審計規范，事前送達審計通知書并告知應準備的相關材料。

2、財務收支審計和專項審計調查以送達審計或就地審計方式進行。

3、對于審計中需要調查的問題，可以進行延伸審計。

五、工作要求

篇5

風險管理的思想理論從20世紀30年代開始萌芽，到50年展成一門獨立的學科，70年代逐漸在全球范圍內掀起了風險管理運動，80年代后市場環境的復雜化引致各種財務風險，促使企業開始關注并尋求規避風險。世紀之交，所有企業面臨的經營環境和風險更加復雜和多變。在實踐領域，一些知名的大公司由于風險管理不當引發破產事件頻發。近20年來，美國、英國、日本等先后建立全國性或地區性的風險管理協會，有組織、系統地研究風險管理。理論界和實務界沖破了傳統風險管理理論對風險的狹隘理解，開始對企業的所有風險進行整體的研究和管理，形成一個新概念———“整體化風險管理”，即全面風險管理。美國COSO委員會于2004年了《企業風險管理———整體框架》，以替代沿用很久的《內部控制———整體構架》，運用全面風險管理框架涵蓋內部控制，構建了更強有力的概念和管理工具，提出企業風險管理的八個相互聯系的要素，每個要素均與風險管理密切相關，成為企業進行風險管理和衡量風險管理有效性的標準。20世紀80年代，我國的一些學者將風險管理和安全系統工程理論引入國內并應用到企業管理中，取得了較好的效果，從而開始了對風險管理的關注和研究。國務院國有資產監督管理委員會于2006年印發了《中央企業全面風險管理指引》，該指引借鑒了COSO《企業風險管理框架》的主要精神，同時還參照發達國家有關企業風險管理的法律法規、國外先進的大公司在風險管理方面的通行做法，以及財政部《企業內部控制規范》的相關規定，明確要求中央企業逐步建立健全風險管理長效機制，促進企業在復雜多變的市場環境中穩步健康發展。

二、內部審計的演變:由財務、經營審計到風險管理審計

20世紀初期，尤其是第一次世界大戰后，西方發達國家的企業組織規模明顯擴大，企業內部管理層次不斷增加，管理層主要依賴內部審計機構查錯防弊，保護企業資產安全。20世紀40年代至60年代，企業集團和跨國公司大量涌現，生產經營業務日趨復雜，內部控制跨度加大，內部審計由查錯防弊轉向檢查并評價內部控制的有效性。20世紀60年代后，企業最高管理層更加關注合理利用各種資源，提高經營效率，要求內部審計直接對各類經營業務和管理活動進行審查和評價，內部審計向管理審計方向發展。近20年來，世界范圍內產品技術變革速度加快，企業兼并、重組浪潮對企業的治理結構、管理模式等產生了重大影響和沖擊，各種潛在風險層出不窮。2002年4月，國際內部審計師協會在對美國國會關于《薩班斯－奧克斯利法案》的意見陳述書中指出，內部審計、外部審計、董事會以及高層管理人員應成為公司有效治理的四大基石，這是國際權威機構首次將內部審計提高到公司治理的高度。就世界范圍來看，美、英等西方發達國家適應全面風險管理的要求，以先進的內部審計理念為指導，并頒布和實施配套的內部審計實務標準，從而使內部審計的范圍幾乎涉及企業的所有領域，定期提出具有建設性的風險評估意見。可以預見，現階段乃至今后相當長的時期，管理審計是內部審計發展的大方向，而且由于風險管理是企業所有管理工作的核心，將新型的風險管理審計作為管理審計的重點，勢在必行。

三、現實思考:我國內部審計的差距

(一)頂層設計與引導不夠有力

國際內部審計師協會于2009年修訂頒布的《內部審計國際實務準則框架》，重點突出風險管理的地位，認為:內部審計在風險管理中的角色和作用主要是對本企業的風險管理程序進行評估，并對風險管理的恰當程度做出合理保證;由于風險往往與組織戰略的規劃與實施密切相關，內部審計應當在審計項目的選擇上考慮組織戰略;內部審計應成為企業整合風險管理的組成部分，幫助組織實現戰略目標。《中國內部審計準則》中的《基本準則》沒有完全秉承以風險為導向的基本原則;具體準則第1號《審計計劃》要求在制訂年度審計計劃時應當考慮組織風險與管理需要，但沒有明確規定將審計計劃與組織戰略相聯系;具體準則第16號《風險管理審計》主要涉及“確認”服務，而體現“咨詢”服務的風險管理審計建議方面的要求則很少。此外，從各級內審協會網站內容來看，反映內審機構積極參與風險管理的做法和成功經驗方面的報道甚少，專家、學者的相關論述與評析也不多見，尚不能給廣大內審人員提供更多、更好的啟發與引導。

(二)實務理論研究不夠深入和系統

我國在風險管理審計方面的實務研究明顯不夠深入和系統。一是實證研究較少，多數研究成果限于介紹國外的一些成功做法，理論聯系實際不夠，對現實的指導意義不強;二是研究的深度有限，一些學術研討和專項調查流于形式，多數成果只是對本企業有限的審計實踐進行介紹和總結，很難推廣應用;三是研究成果分散，尚未形成完整的理論體系，無法上升為具有準則性質、對企業內審工作具有一定約束力的操作規程。

(三)企業風險管理基礎薄弱

一些企業的風險管理活動時有時無，尚未形成規范化的長效機制，另有一些企業未設置專門的風險管理機構，人員配備非常有限。總體上看，多數企業的風險管理基礎比較薄弱，不少內審人員認為所在企業風險管理根本不存在，或者說風險管理審計沒有客觀基礎，內部審計參與風險管理無從下手。

(四)審計介入程度有限

一些內審人員并沒有完全認識到風險管理審計的重要性，有的還保留著傳統的內部審計觀念，也有的在等待觀望。有些內審機構已涉足風險管理審計領域，但由于受到企業內部審計政策、人事安排及接觸核心資料受限等諸多方面因素的影響，審計的范圍仍局限于財務與經營數據。有些企業的風險管理尚處于起步階段，在相關職能部門、崗位以及職責并沒有得到合理配置的情況下，將風險管理系列工作集中交由內審機構處理:一方面模糊了內審人員與風險管理人員的界限，使內審完全失去獨立性;另一方面內審什么都管，風險管理審計的質量和效果大打折扣。

四、推進風險管理審計:優化內外環境

(一)優化公司治理結構

開展全面、高層次的風險管理審計必須增強內審機構的獨立性、權威性。據調查，我國50%以上企業的內部審計工作由財務總監、副總經理或總經理主管，內審開展工作受到體制牽制和約束。對此，政府的財政、審計等相關部門應制訂和頒布政策，要求企業由董事會或者其下屬審計委員會主管內部審計工作，并定期披露對內部審計工作的指導與監督情況。相關調查表明，尚有相當數量的企業規定內部審計的主要職責是監督財務收支的真實性、合法性，對管理審計很少提及，更看不到“風險管理審計”的字眼。對此，建議國家相關權力機構通過增強內部審計準則的約束力，督促企業治理層和最高管理層從內審機制構建上予以調整和改進。只有這樣，風險管理審計的作用才能充分發揮，內部審計基石的價值才能得以體現。

(二)建立健全并實施企業內部風險管理制度

首先，通過宣傳、教育，加深企業治理層、管理層的思想認識，明確管理層在風險管理中應承擔的職責。其次，要設立專門的風險管理機構，企業內部各部門和單位也要設立專職風險管理員，明確相關機構和人員的職責權限，使企業內部的各級風險管理工作制度化、規范化。最后，要將企業治理層的重大決策程序和各級管理層的日常工作納入風險管理的范圍，形成嚴密的風險監控體系。健全的制度有待于有效執行，企業董事會、監事會對此負有引導和監督的責任。內審人員的主要職責，是對風險管理制度設計的合理性和執行的有效性進行全過程、全方位的監督與評估。

(三)調整審計人力資源政策

審計人員要有強烈的風險意識和積極的服務理念，要具備廣博的知識和多元化的技能，要具備良好的人際溝通能力和協調能力，努力調動企業內部有關人員共同分析和解決問題的積極性，充分挖掘“參與式”審計的潛力。企業治理層和最高管理層必須調整內部審計人力資源政策，制訂優惠的薪酬與激勵政策，吸引既精通財務又熟悉管理的復合型人才，激勵那些在風險管理中做出突出貢獻的內審機構和人員;要選拔素質較好的審計人員到企業內部相關崗位上實踐鍛煉，提高管理能力;要加強職業培訓和后續教育，不斷提高審計人員的專業能力。

(四)充分發揮內審協會的監督和引導作用

篇6

（一）缺乏系統性的風險管理機制由于目前國內供電系統各部門，各崗位人員雖然有明確的崗位說明書但他們對風險管理程序和責任并不明確，這便導致了各部門或崗位之間互相推卸責任。由于風險管理和監督制度不健全，所以供電局無法進行有效的風險管理職責。而供電局系統沒有儲備必要的風險評估和風險管理的數據和信息，以及風險管理的戰略層面并沒有做成的連續監測和改進情況下下進行定期檢查和評價。這些都不是容易從供電局內部審計的戰略目標出發，通過各部門的整體經濟活動和供給分析與評價局，在風險管理中充分有效發揮內部審計的作用和影響。

（二）審計人員缺乏風險管理意識由于供電局的內部審計起步較晚，所以導致參與供應管理審計機關人員深度不夠，雖然有一定的審計業務技能，但對組織密切相關的戰略目標風險認識不夠。然而只有少數審計員敢于嘗試，大部分審計員不敢嘗試一種新的審計模式———風險導向內部審計。

二、改善供電局進行兩次風險導向內部審計的做法提出建議

（一）以“四聯一大”為核心，全方位識別風險內部審計人員應該花費大量的時間和精力與各級管理人員進行溝通，這樣有利于對重要的商業決定，顯著的經營風險，重要的管理問題進行判斷和實施方案。重點在要充分了解然后控制環節和以大量金錢為核心的經營是執行審計單位的目標，在這個過程中會出現的困難包括審計域和相關聯的審核風險因素。這時就需要具有審計功能的審計域，主要功能是可以對部門或機構進行檢查，以確定項目的評估。一般包括：（1）供電局的文化;（2）政策，程序和做法，內部監控系統;（3）成本，利潤以及投資中心;（4）合同，工程，生產，服務部門或管道（上游和下游的合作伙伴）；（5）供應鏈;（6）管理功能，業務交易系統，財務報表和信息系統。

（二）確認現有控件來確定剩余風險充分識別風險，以審計人員的健全性和有效性為基礎，審計單位以測試現有的內部控制（或風險管理政策和程序）來確定哪些風險不能被現有的預防和控制框架控制，即確定剩余風險。因為風險是絕對的，審計資源是有限的，為供電局的風險創造了新的可能，因此確定剩余風險是必不可少的。當無法避免要承擔一定的暴利風險的風險，審計部門可以選擇建議審計單位風險自留，并進一步確定有關剩余風險程序。根據危險程度應采取謹慎定性和定量的角度判斷：值得關注的指標應包括風險最少的可能性，損害的程度，損失頻率。要定性分析是因為其中的一些因素并不能直接測量（如審計對象的職業道德和行為和遵守程度），但它是對衡量風險很重要。對于風險因素的定性分析應盡量采用量化和規范化的模糊矩陣評價方法，這樣在相同口徑降序排序剩余風險時做到主次分明。

篇7

關鍵詞：數據中心 內部審計 信息化建設

進入二十一世紀以來，信息化已經成為我國經濟和社會發展的重要推動力，信息技術應用與各個領域的融合日益緊密，越來越多的企業借助ERP、HR、OA等信息系統加強對企業的管理，以信息化推動現代化的戰略已經取得豐碩的成果。伴隨著企業信息化的發展，內部審計工作的環境發生了變化，非計算機證據的數據和比例相對減少，傳統的審計方法越來越不適用。由于會計信息系統進行業務處理在數據處理工具、方法、流程等方面都發生了很大的變化，審計方法和技術也相應發生了改變，計算機審計已經日漸成為審計的一個新的發展方向。

一、研究現狀

（一）內部審計工作的現狀

李金華審計長曾高瞻遠矚的指出：“審計信息化建設是審計系統一場深刻的革命，是未來審計的主要手段，是現代審計的發展方向。不加強審計信息化建設，我們將失去審計資格。”早在1998年，我國審計署就開始籌備“金審工程”，開發針對政府部門、金融、財政和國有企業不同審計業務需要的審計監督應用系統，制定了審計業務信息接口標準。《審計署2008至2012年信息化發展規劃》中指出要探索和完善信息化環境下的審計方式，推進審計信息化建設，努力提高審計工作效率、質量和水平，為審計事業發展提供信息技術支持和保障。

全國煙草行業近幾年發展十分迅速，各個業務領域利用信息化促進管理上水平，各類信息系統如同雨后春筍，相繼開發實施了工商交易平臺、營銷CRM、專賣管理、財務核算、電子結算、OA等應用系統，逐步形成了省級集中的數據交換中心。環境的變化對行業內審工作提出了新的要求，內部審計不僅是國有資產的守護者、財務賬實的審核者，更是強化管理的促進者、提高效能的推動者、價值增值的促導者，傳統而單一的財務收支審計已不能滿足日益發展煙草企業管理的需要，內部審計工作的范圍應需拓展。內部審計必須以“強管理、防風險、促發展”為己任，積極探索以“風險為導向、控制為主線、治理為核心、發展為目標”的管理審計和績效審計，積極探索以“事前審計為基礎、事中審計為重點、事后審計為保障”的審計模式。要實現這個目標，必須借助先進的審計信息化系統才能實現。

（二）內部審計信息化的必要性和可行性

“十二五”期間，國家煙草專賣局將“規范”視為“生命線工程”的核心位置。內部審計作為企業管理的重要組成部分，是內控體系保障規范的一個關鍵環節，在企業管理信息化的得到廣泛應用的同時，往往存在審計對象的數據真偽難辨，且具有很強的隱蔽性，這對內部審計工作而言是一個新的考驗，而審計對象的信息化也為內部審計信息化的發展提供了可行的契機。

1.內部審計信息化是促進自我規范的需要。行業內部審計是保障企業規范運營的防火墻，但由于內部審計的準則不完善，審計過程的規范仍然沒有很好的解決，而內部審計信息化能實現流程固化，改進審計方法，進而促進審計工作自身規范。

2.內部審計信息化是提高工作效率的有效途徑。傳統審計的特征是動作滯后、過程緩慢，往往浪費大量的時間手工獲取賬冊、憑證數據，通過計算機輔助審計，運用統計學、信息論等方法，可以將審計人員從繁重的簡單勞動中解脫出來，有效提升審計效率。

3.內部審計信息化是融入企業信息化管理大環境的必然要求。尤其是行業全面實行財務管理和會計核算的電算化后，包括管理類審計，如經營管理、物流成本等內部審計對象都融入到集中的數據中心，內部審計必須實現信息化才能有效地開展。

二、內部審計信息化總體架構設計

（一）建設目標和原則

目前，煙草行業實現了省級集中的數據中心和財務管理，通過編碼映射和數據轉換，構建行業內部審計工作需要的一體化平臺，以便于獲取被審單位的數據信息，實現對審計項目的過程、資源、成果的有效管理；在審計模式上實現四個轉變：由單一的事后審計轉變為事后與事中審計相結合，由單一的靜態審計轉變為靜態與動態審計相結合，由單一的現場審計轉變為現場與遠程審計相結合，由單一賬套審計轉變為多賬套綜合分析審計相結合的審計模式；通過提供豐富的分析工具、審計方法和經驗共享，幫助快速發現疑點線索，提升業務能力，從而整體提高內部審計的效率和質量。

系統設計遵循以下的原則：

1.統一性與適用性相結合。堅持頂層設計，保障內部審計信息化與審計對象系統的無縫對接；堅持上下結合，靈活定制，促進內部審計工作針對性和適用性。

2.先進性與易用性相結合。與數據中心相匹配，采用大型數據庫技術和相應的數據倉庫、數據挖掘技術；在操作層面，將分析模板定制于后臺，展現友好的人機界面。

3.安全性與穩定性相結合。根據審計工作的要求，采用身份認證、數據加密、入侵檢測等安全方案；通過網絡隔離與連通、權限分配、備份管理等技術，保障系統穩定運行。

（二）總體架構設計

按照“總體規劃，分步實施”的原則，構建內部審計信息系統總體框架，系統采用B/S結構部署，總體邏輯框架由審計對象層、數據采集層、審計應用層及門戶展現層四部分組成。審計對象層包括被審計單位（部門）的所有應用信息系統，各類數據信息集成到數據中心統一管理；數據采集層通過抽取、清洗、轉換、處理等數據挖掘技術，從數據中心中抽取審計項目所需信息，并傳遞給聯網審計系統（數據分析預警平臺）和審計作業系統，為數據源采集提供支撐；審計應用層提供分析預警、現場作業和日常管理的信息化支撐平臺；門戶展現層負責與用戶交互，實現系統對外一體化。系統總體架構設計如下圖所示：

（三）系統功能模塊設計

在數據中心集中管理的基礎上，內部審計信息系統主要實現聯網監控、審計管理和審計作業三大系統模塊。通過數據傳輸通道進行設置和定義，抽取審計對象數據，并傳遞給聯網審計系統（數據分析預警平臺）、審計作業系統中，作為聯網審計、審計作業的數據源開展工作。通過聯網審計預警模型，發現疑點線索，通過管理系統指出審計方向，通過作業軟件進行詳細審計，同時將底稿等電子文檔上報至管理系統進行保存。

1.聯網監控

聯網監控系統核心是數據分析預警功能，一方面從數據采集轉換系統獲取數據源開展審計；另一方面接受審計管理系統的工作計劃安排，進行工作內容部署。

監控系統通過設置風險點預警方案，關聯預警對象的數據中心，根據預警的觸發條件、條件檢測等，抽取預警對象的賬套信息、經營信息等數據，經過清洗、轉換、處理，形成可能的審計疑點或重點數據，存儲在疑點庫中，并將系統預警或者分析的疑點線索分配給現場審計作業工具系統，作為具體現場審計的工作重點或者方向，結合審計人員經驗判斷，從而準確迅速地確定懷疑目標，提高效率。

2.審計管理

審計管理系統，實現對審計過程的有效控制、對審計資源的有效利用、對審計成果深度挖掘，實現和審計作業系統交互。審計過程控制涵蓋審計準備、審計實施、審計報告和后續審計全過程；審計資源管理整合了審計工作所需的各種資源，能夠對審計工作提供完整、有效的信息支持，包括審計人才庫、部門信息庫、審計對象庫、法律法規庫、公司制度庫、審計經驗庫、審計方案庫、審計案例庫八個資源庫；審計成果體現在按照管理要求快速生成審計報表，能夠以多種格式輸出，為領導決策提供有力支持，另外，審計成果還體現在以審計項目為單元的檔案管理，支持審計項目信息和過程的回溯，并根據權限提供項目信息共享。

通過審計管理系統還支撐年度審計計劃的申報與審批、審計文書檔案的管理、業務臺賬的統計匯總和基礎報表的自動生成，并完成人力資源綜合管理、審計任務的資源調配、審計人員履行職責的考評等。

3.審計作業

審計作業系統是由一系列的作業工具構成，包括審計數據采集與轉換、審計查賬、數據分析、審計底稿等外勤審計作業工作的處理；并將聯網監控系統（數據分析預警平臺）中分配的審計線索作為審計重點，進行有針對性的開展審計，同時將審計過程中產生的審計底稿傳遞到審計管理系統中。

通過審計作業系統輔助一線審計人員完成審計項目，實施電子財務數據、業務數據的采集轉換，運用查詢、分析、報表、計算等豐富的審計工具完成審計抽樣和數據分析，提高審計工作效率。標準化的審計作業程序引導與控制規范了審計工作過程，降低審計風險。層層歸集的基礎信息及統計臺賬通過系統接口與審計綜合管理信息系統無縫集成并實現現場審計作業數據與遠程公司審計部之間的數據交互和共享。

三、結束語

當前，各個領域開展內部審計信息化建設的研究實踐很多，成果也很豐碩。如何實現內部審計信息化的順利轉型，一方面，要結合煙草行業實際，統一規劃，整體推進，在進一步完善數據中心建設的基礎上，探索新技術、新思路，積極開展信息化支撐的風險導向性管理審計，拓寬審計領域；另一方面，要逐步突破審計人員的思維方式轉變和自身能力提升，從審計技術和審計模式兩個層面力求創新，努力促進行業內部審計工作上水平。

參考文獻：

[1]審計署關于進一步加強審計理論研究工作的意見（審科發[2011]40號），2011（4）.

[2]內部審計具體準則第26號――信息系統審計.

[3]金冬成，臧日.持續審計在內部審計中的實現方案探討[J].中國內部審計，2011（2）.

[4]曹燕，常京萍.企業內部審計信息化戰略研究[J].會計之友，2010（10）.

[5]吳埠.審計信息化及其架構探析[J].中國管理信息化，2007（12）.

[6]彭勝華.計算機審計的內涵和目標[J].審計與理財，2007（5）.

篇8

【關鍵詞】內部控制；審計

一、對于企業內部控制審計工作的現狀進行分析

隨著人們越來越關注企業的內部治理，對公司內部的調控籌劃與運營也提高到整體的工作領域，逐漸反應出公司的經營狀況，很好的進行成本的管制。對于公司內部調控審查計劃的相關規定與審查規矩和法規不匹配；對于這一工作的思想觀念沒有確立；工作人員的技能和能力難以滿足更高的業務需求；在相關單位進行審計的過程中，如果企業不配合，有意隱瞞或隨意延長最后的時間，那么就會給整個審計工作帶來嚴重的后果；這一活動的費用嚴重影響到對于企業在這方面的要求。

二、對于內部控制審計現存問題進行分析

1.內部控制對自我評價十分依賴

根據有關規則，對于公司的內在調控問題，公司在此方面要使用多樣的點評方式。但現實中，工作人員只關注于現在及公司利潤的思考，如果不能進行全面、整體的點評與監控前，有關的內容出現回復之后，出于各種原因，不能很精確的把握相關的動態，很多企業都依賴內在的評價后果，在這種背景下，就忽略了內在審計過程中出現的各種問題。

2.注冊會計師勝任能力相對欠缺

這類工作只屬于這類相關專業的其中一項有關業務，這就對相關工作有更好的要求，根據現實的需要，工作人員要不斷的強化自身內在調控方面理論的掌握，從而更好的提高自己在專業領域勝任的能力。目前，隨著整體的發展，公司面對很大的危機，對于內在的調控和審查的要求也在逐漸的提高，所以對于這類職業工作人員的要求也在隨之上漲。對于公司自身來說，工作人員需要了解公司結構系統的內在調控，同時，也要根據這些內容做好相應的點評，由于這些內在的調控波及的范圍廣闊，再加上復雜的調控氛圍，所以相關的點評工作相會有些困難，這對于這一職業來說，肯定是一項強大的精神以及鞏固技能能提高的挑戰。

3.內部控制審計質量控制系統的匱乏

隨著相關行業市場的進步，越來越多的公司開始轉變為于其內部的調節業務，這些工作與之前的相關涉及法律的工作有所不同，因此說系統還不健全，還沒有建立獨立完整的系統，其結果是，工作的質量讓人不相信、質量也不達標，這在某種程度上，無形中會加大了相關工作的y度。

三、對于做好內部控制審計的幾點建議

1.建立日常性的內部控制評價系統

這個工作要跟著公司的進步而變化，需要建立平常性的點評系統，依據自上而下的形成部門自身、公司整體、審查部門三個角度進行的不同性質的的點評體系，這些評價，在一定程度上，可以讓工作人員得到相應的經驗，同時準確的采取維護行動，加強公司內部對于危險的處理能力。為了強化這種點評體系，還要配合上其他的制度來加快體系的健全及實行。

2.加強培養注冊會計師的綜合素質，尤其是在非財務審計方面

就會計師這一角度來說，它所要做的工作要比以往的工作更多，需要持續的提升自己在某些審計工作的相關知識。例如在金融領域，需要掌握與之有關的各個方面的相關知識。所以說這一行業的工作者要積極參加到公司的管理中來，從而掌握更多的現實能力，提高自己對于本職業的綜合能力。

3.有效運用相關測試

確定好點評方式后，要對其系統進行全方位的測試，主要目標是公司相關系統是否科學，工作人員要大量的采集資料，并根據相關部門來進行研究，很好的把握主要工作的相關情況及調控手段是否合理。此外，這一工作的有效性會干預到公司的運營及有關的管理行為，進一步也會影響既定目的的實現。通過對其測試可以在某種程度上減少一些壞因素的生成，進而推動效益的生成，因此這一行為發揮其本身的功效，不但在整體，還要在具體的方案上，充分發揮其自身的控制作用。在進行之前，要解決掉所有的問題，然后對相應的程序進行監督控制，以保證它能夠更好的的調控危險。

4.構建健全的內控審計質量系統

為減小工作的危險，提升工作水準，建立一個很好的內在調控審查系統是我們必須要做的事。要做好這一工作，我們需要從兩個角度來解決。首先要控制好注冊的會計師的能力和質量，其重點在于提高工作人員的能力；而對于會計事務所，關鍵在于立足系統健全其組織方面的構成、還有對于工作人員的質量調控、相關制度上的水平調控等；在業務的角度，要規劃好相關問題的運行的過程、方法等，以加快其工作質量的調控。

四、結束語

綜上所述，企業內部的審查計劃工作不但對公司當前的進步起到作用，對于公司將來的進步也有相對重大的作用。但是，在我國目前的公司背景下，這一工作還沒有得到同等的關注，這對于公司的進步構成了很大地妨礙作用。我們應讓公司的工作人員了解到這一工作的強大效用，為將來的進步打下更好地基石。

參考文獻：

篇9

【關鍵詞】COBIT；會計信息系統；內部控制

一 、COBIT簡介與淺析

COBIT（Control Objectives for Information and related Technology，信息及相關技術控制目標）是目前國際公認的最先進、最權威的安全和信息技術管理和控制的標準。普華永道的《2006年全球信息安全狀況報告》中統計，全世界63%的公司采用了COBIT控制框架標準，這一比率是IT控制框架采用率最高的。COBIT是由信息系統審計和控制協會（Information System Audit and Control Association，ISACA）（ isaca. org）下屬的IT治理研究院（ITGI，Information Technology Governance Institute）（itgi.org）開發和的，旨在為IT 的治理、安全和控制提供一個普遍適用的公認的標準，以輔助企業管理層進行IT治理。自COBIT 問世以來，先后經歷了1998年、2000年和2006年的修改補充，2007年5月，ITGI了COBIT 4.1，它從IT治理的角度，從更高的層面上來指導管理層進行IT控制和信息系統管理。由于一方面全球信息化的加劇和我國信息化的發展，另一方面COBIT對信息系統控制與審計又有著很好的指導作用，所以當前介紹和引進COBIT對于推動我國信息化的健康發展有重要的意義。

COBIT 4.1主要是由4部分組成：框架、控制目標、管理指南和成熟度模型。其相互關系如圖1所示。

COBIT是由相互關聯的各組成部分有機結合在一起的，能夠為不同的顧客群提供有關治理、管理、控制和保證方面的需要。下面對其組成部分逐一介紹分析。

1. 框架（Framework）

COBIT將IT過程、IT資源、與業務要求相適應的IT目標結合起來，形成一個三維的體系結構，如圖2所示。與業務要求相適應的COBIT的IT總體控制目標具體是有效性（Effectiveness）、高效性（Efficiency）、機密性（Confidentiality）、完整性（Integrity）、可用性（Availability）、符合性（Compliance）、可靠性（Reliability）;IT資源主要包括應用系統（Applications）、信息（Information）、基礎設施（Infrastructure）和人(People);IT過程則是在與業務要求相適應的COBIT的IT總體控制目標的導向下，對信息及相關資源進行規劃和處理，從信息技術的計劃與組織、獲取與實施、交付與支持、監控與評價等4個方面確定了34個信息技術處理過程。實際上， COBIT的IT控制目標的實現就是在IT過程中管理IT資源來完成的。圖3詳細地描述了完整的COBIT框架，顯示了COBIT的處理模式是如何根據業務和治理要求來管理IT資源并使之給業務傳遞信息的，該模式由4個領域構成，包括34個一般過程。

2. 控制目標（Control Objectives）

從領域、過程和活動3個層面對總體目標進行分解，通過對特定的活動實施控制，以實現預定的系統目標。為有效地進行IT治理，在COBIT框架內部通常將需要進行管理的活動和風險分為4個領域，即計劃與組織(Planning and Arrangement)、獲取與實施（Acquisition and Implementation）、交付與支持（Delivery and Support）和監測與評價（Monitoring and Evaluation），領域目標按34個過程進行細分，根據每一個信息技術過程所涉及的系統資源，確定出相應的控制目標；針對每一個信息技術處理過程進一步細分為若干任務，確定出210個具體的控制目標。針對這些具體的控制目標，COBIT提供了詳細的系統管理策略，包括具體要采取的措施以及要考慮的問題等。這3個層次的控制目標體系使系統管理目標更清楚、更明確，更有操作性。COBIT覆蓋了整個信息系統的全部生命周期，涵蓋了戰略、戰術與操作的所有層次，處于各個階段的信息系統都可以參照使用，它所帶來的益處是十分明顯的，它使IT戰略與組織戰略緊密聯系，在業務目標、信息系統、業務績效目標之間維持平衡。

3. 管理指南（Management Guidelines）

管理指南是控制目標在企業的具體應用準則，以進行自我評價與選擇，進而實施并完善對信息及相關技術的控制，其目的是對IT業務活動進行有效控制，使IT與業務活動保持高度一致，并通過傳遞組織所需要的信息使業務活動得以進行。管理指南給出了度量信息系統生命周期各個IT控制過程的安全、可靠與有效的指標體系。

4. 成熟度模型（Maturity Models）

對IT過程進行管理和控制的成熟度模型是評價組織的一種方法。它劃定6個成熟等級，如圖4所示。每一個成熟度等級都規定相應特征，企業可以結合自身的特點，界定出本企業的當前狀態。該方法來自于軟件工程研究所（Software Engineering Institute，SEI）為軟件開發能力所定義的成熟度模型，但COBIT只是借助于能力成熟度模型（CMM）的形式來為其IT管理過程的性質界定出成熟度等級。在COBIT 4.1中，34個IT治理過程都規定了自己的具體模型。

二、IT環境下，加強會計信息系統內部控制的必要性

1. 會計信息系統的演進

會計信息系統的產生和發展是社會經濟、技術發展的必然產物。從會計數據處理工具與處理模式來看，會計信息系統的發展可分為3個階段：一是手工會計信息系統階段，二是機械會計信息系統階段，三是計算機會計信息系統階段。楊周南教授認為計算機會計信息系統階段又可分為3個階段：一是電子數據處理階段，二是綜合數據處理階段，三是決策支持與專家系統階段。

2. 會計信息系統的定義和特征

會計信息系統（Accounting Information System，AIS）是一種面向價值信息和基于會計管理活動的系統，是在計算機軟件和網絡環境下，采用現代信息處理技術的一個人機交互的管理信息系統。其基本特征如下：

（1）AIS以符合會計管理工作和會計變更的需求為主要目標。

（2）AIS以解決企業會計核算和管理所面臨的問題為主要功能。

（3）AIS以現代計算機硬軟件和網絡平臺為處理環境，由人（含會計人員）、信息技術設備（含數據文件）和運行規程三要素組成，其核心部分是功能完備的會計軟件。

（4）AIS能充分利用現代信息處理技術，自動（或半自動）采集、存貯、處理、分析、傳遞和反饋會計信息。

3. 會計信息系統所面臨的風險

在IT環境下，由于與傳統的手工操作環境有了很大的差別，會計信息系統面臨著前所未有的風險。主要有以下幾類：

（1）疏忽差錯（Unintended Errors）。系統操作員或交易執行員在經濟業務資料的輸入與處理過程中，由于缺乏必要的上崗作業培訓或身體狀況欠佳等原因造成的非故意差錯。

（2）蓄意差錯(Deliberated Errors)。蓄意差錯也就是故意性差錯，實質就是舞弊，是不正當的或違法的。在信息的輸入—處理—輸出的流程中，甚至在軟件的開發與研制過程中，都可能產生這種差錯。它不僅對有關數據或輸出信息的正確性與可信性造成影響，而且還可能導致企業資源的短缺損失和掩飾有關盜竊行為。

（3）疏忽性資產毀損（Unintended Asset Damages）。企業數據資料記錄可能承受非故意的毀損，比如存儲于硬盤中的應收賬款記錄未作備份，可能因偶然的斷電故障這類偶發事件而消失。

（4）安全措施破壞（Breaches of Securities）。未經授權許可的人員可能非法接近企業的交易資料與其他記錄。電腦“黑客”通過互聯網擅自進入企業的計算機系統竊取、篡改或惡意破壞交易資料或記錄，以及未經授權員工私自偷閱未設定密碼或口令保護的企業員工薪金報告等。這種風險可能在被競爭對手竊取本單位的重要資料時造成極為嚴重的后果。

（5）暴力（Forces）。暴力的存在來源于外界人士（如恐怖分子）和懷有怨氣的現有員工或已遭解雇員工的報復行為。如損壞會計信息系統或銷毀企業的客戶往來檔案記錄等。其后果可能是毀損企業的資產和資料，甚至導致經營過程中斷以及企業的破產倒閉。

基于以上風險，IT環境下的會計信息系統加強內部控制具有前所未有的必要性，具體如下：

（1）IT環境下電腦操作隱形化和無紙化存儲介質的缺陷。

（2）IT環境下內部稽核削弱。

（3）IT環境下會計工作質量有賴于計算機硬軟件系統自身的可靠性及會計人員本身的操作水平。

（4）管理型會計軟件的發展對內部控制提出了新要求。

（5）網絡財務是IT環境下的新型管理模式，其安全性和保密性有賴于建立健全有效的內部控制。

三、借鑒跨國公司經驗，運用COBIT，加強我國企業會計信息系統的內部控制

1． 保誠公司的經驗分析簡介

保誠公司于1848年在英國成立，它是目前全球領先的金融服務大鱷和在亞洲領先的歐洲壽險公司。隨著其資產管理業務的快速增長，保誠公司（亞洲）在亞太地區的12個國家里擁有了9 000多位員工，除了在新加坡有一個區域分中心之外，它還有兩個關鍵的區域IT中心，其中一個在馬來西亞，另一個在中國大陸。

保誠公司亞洲地區的資訊科技部長羅德里格斯在2005年首次引進COBIT。他在香港領導著一個區域IT小組，該小組擁有6名成員。由于得到這個區域IT小組的支持， 保誠的CEO及其委員會成員同意采用COBIT的倡議，他們強烈地支持采用更好的IT框架、系統和程序以在整個地區給公司提供更好的競爭優勢。“COBIT是一個非常簡單而強有力的管理工具，它讓我們實現我們的目標”，羅德里格斯說。

羅德里格斯還認為，“一個好醫生是一位能夠清楚地向她或他的病人解釋如何保持健康的人，同樣，一個好的IT專業人員是能夠使該項目對一個公司觀眾來說容易得到理解的人。毫無疑問，我認為COBIT是允許我獲得這種能力的工具，利用COBIT，我相信我們能為保誠建立一個更好的IT和公司責任的文化。”

雖然保誠實施COBIT仍在進行之中，但是，很顯然，羅德里格斯已經獲得了一些經驗，具體如下:

（1）IT治理:泛區域戰略構成、一致性；

（2）削減成本:減少重復；

（3）安全:區域客戶資料管理；

（4）外包:為外包業務伙伴提供適當債務；

（5）溝通:讓廣大的公司員工易于理解各種術語；

（6）業務增長:為領導者提供了一個更安全、更一致的全面IT環境，以使其把精力集中在可增加企業價值的解決方案上。

上述這些經驗顯然是對整個保誠公司（亞洲）的IT治理而言的，但是可以看到其中一些經驗對會計信息系統的內部控制和審計具有指導意義。

2. 勇于開拓，爭取早日構建基于我國實際情況并與國際接軌的COBIT框架

隨著我國經濟的迅速發展和經濟全球化的突飛猛進，近年來我國已逐漸重視企業內部控制，特別是2006年，被業界稱為中國的“內部控制年”。財政部牽頭聯合發起成立了企業內部控制標準委員會，并邀請行政機關、高校、社會團體以及大中型企業的專家兼職咨詢。該委員會了《企業內部控制規范》（征求意見稿），包括基本規范和一系列具體規范，并專門針對信息系統內部控制制定了《企業內部控制規范第××號——計算機信息系統》（征求意見稿），包括總則、崗位分工和授權批準、信息系統開發、變更與維護控制、信息系統訪問安全和會計電算化及其控制等6部分。另外，財政部還于2006年頒布了新審計準則《中國注冊會計師審計準則第1633號——電子商務對財務報表審計的影響》，針對電子商務環境下的信息系統審計進行了規范，其中第5章“對內部控制的考慮”里，提到了“注冊會計師應當按照《中國注冊會計師審計準則第1211號——了解被審計單位及其環境并評估重大錯報風險》和《中國注冊會計師審計準則第1231號——針對評估的重大錯報風險實施的程序》的規定，考慮被審計單位在電子商務中運用的與審計相關的內部控制”。這些標準或規范只是為本專業的內部控制提供了一個應用指導，在一定程度上為進行IT治理環境下的內部控制發揮了一定的作用。但是，從綜合的 IT治理或IT內部控制來看，還沒有形成一個能夠滿足各方面要求，適應各種需要的綜合的、完整的、系統的框架。目前雖然有些在國際上有顯著影響力的IT服務公司使用自己制定的標準或框架，如IBM公司使用IBM IT Process Model（ IBM流程模型）；HP公司使用HO ITSM Reference Model（HP服務管理參考模型）；微軟使用Microsoft Operational Framework（MOF，微軟運營框架），但是國際上絕大多數公司都使用主流的像COBIT這樣的IT治理標準。因此，有必要建立我國自己的COBIT框架，一方面是提升我國公司的管理能力，提高其經濟效益，使其不斷發展的需要；另一方面，也是我國企業走出國門融入經濟全球化大潮中去的需要 。

主要參考文獻

［1］ 楊周南等. 會計信息系統［M］. 北京： 經濟科學出版社，2004.

［2］ 楊寶剛. 會計信息系統［M］. 北京：高等教育出版社，2001.

［3］ 蔡傳勛. 會計信息系統［M］. 大連：東北財經大學出版社，2004.

篇10

【摘要】本文主要講述了美國《薩班斯――奧克利法》中創立的公共公司監督委員會PCAOB對財務報告內部控制審計準則實施中應注意的問題。

一、PCAOB財務報告內部控制審計準則的頒布

2001年安然事件及其隨后的一系列公司經營失敗事件嚴重地損害了事發公司相關利益者的利益，極大程度地撼動了世人對美國資本市場穩定性和公允性的信念。為了應對這一嚴重后果，美國國會于2002年7月30日頒布了由其總統簽字的《薩班斯――奧克利法案》（下稱“法案”）。內部控制的失敗，特別是財務報告內部控制的失敗是法案中國會最關注的、予以處理的問題，因此法案404（a）條款要求公司管理當局評估和報告公司的財務報告內部控制；法案404（b）條款要求公司的獨立審計師對公司管理當局的財務報告內部控制的評估進行鑒證，并報告其鑒證結果。法案還為監督公司獨立審計師創立了一個新的委員會――公共公司會計監督委員會（PCAOB），并責成其制定法規將公司執行主管、公司董事、律師和會計師的責任法規化。

法案103(a)(2)(A)和404(b)條款指令PCAOB建立職業準則指導獨立審計師的鑒證。因此，自PCAOB成立起，就對上市公司管理當局的財務報告內部控制評估事宜傾注了極大的關注和努力。在2003年4月，PCAOB采用原有的職業準則作為該委員會的臨時準則，包括一個指導審計師鑒證內部控制的準則。為了更好地關注法案要求和評估現有的臨時準則，PCAOB在2003年7月29日召開了公開討論會，討論和聽取與財務報告內部控制報告和鑒證有關事宜的問題與觀點，與會人員有上市公司、會計師事務所、投資機構和監管組織的代表。根據會議結果，綜合各方代表的意見與建議，PCAOB認為PCAOB所確立的原有內部控制鑒證準則并不能充分完成有效履行法案404(b)條款之要求，PCAOB自身也不能適當解除法案103條款下的準則制定義務。因此，PCAOB在2003年10月7日制定了一個題為“連同財務報表審計的財務報告內部控制審計”的準則征求意見稿，在準則征求意見期間，PCAOB一共收到來自審計師、投資者、內部審計師、發起人、監管者和其他人等的193份評論。在綜合分析與考慮所收到的評論和履行法案的規定要求后，PCAOB于2004年4月9日正式了審計準則No.2準則“連同財務報表審計的財務報告內部控制審計”。要求被證券交易法12b-2所認定為加速遞交的公司會計年度結束于2004年12月31日或之后的就要遵循薩班斯法案404條款規定的內部控制報告和披露。（其他公司直至會計年度結束于2005年12月31日或之后才遵循內部控制報告和披露的規定。）因此，受聘于審計加速遞交人會計年度結束于2004年12月31日或之后財務報表的獨立審計師也要求審計和報告公司同期會計年度的財務報告內部控制。

二、PCAOB財務報告內部控制審計準則實施中要注意的問題

自PCAOB審計準則No.2準則“連同財務報表審計的財務報告內部控制審計”頒布實施以來，歷時雖不久，但是所反映出來的問題卻很多，以下只是從審計師遵守該準則執行具體業務的視角，簡單討論了審計師為了更好地遵守準則完成所聘業務應該注意的問題。

（一）努力整合財務報告內部控制審計與財務報表審計

法案404(b)要求公司外部審計師對其管理當局的財務報告內部控制評估予以鑒證并報告， PCAOB的審計準則No.2要求審計師對管理當局財務報告內部控制的評估進行審計并報告審計結果。根據PCAOB的觀點，審計師對管理當局財務報告內部控制有效性評估報告的鑒證業務與財務報告內部控制審計是一樣的，檢查管理當局財務報告內部控制評估的鑒證業務所要求的工作與財務報告內部控制審計所要求的工作也是一樣的。財務報告內部控制審計的目標是審計師就管理當局對財務報告內部控制有效性的評估報告是否在所有重大方面公允表達表示意見，財務報表審計的目標是審計師就被審單位的財務報表是否在所有重大方面公允表達表示其專業意見。為了取得公允、可靠的財務報表，內部控制必須設計良好的以監督記錄準確、公允反映交易和公司資產的處置；內部控制必須能夠為交易記錄足以遵守GAAP編制財務報表、現金收支只有在管理當局或董事會授權才能處理提供合理保證；內部控制必須確保設計好控制能夠預防或偵查盜竊、未授權使用或處置對財務報表有重大影響的資產等等。換而言之，如果公司管理當局能夠證明他們運用充分的內部控制簿記，為編制準確的財務報表準備了充分的簿記和記錄，堅持了關于使用公司資產的規則等，則投資者對公司的財務報表將會有更大的信心。正因為這樣，法案404條款才要求公司管理當局評估和報告其財務報告內部控制，并要求公司獨立審計師對管理當局的評估表示鑒證意見，也就是說，為利益相關者和社會公眾依賴管理當局對公司財務報告內部控制的表達提供一個獨立理由。可見，無論是財務報表審計，還是財務報告內部控制審計，其終極目標是一樣的。為此，404(b)條款要求不能將審計師對管理當局財務報告內部控制的鑒證視為一個孤立的業務。

更重要的是，這二者所涉工作之間的關系是你中有我、我中有你、互為影響、緊密聯系的。整合財務報表審計和財務報告內部控制審計，就是通過同一過程同時實現兩種審計的目標。財務報表審計中，準則要求審計師必須獲得對被審單位內部控制的了解，并對之進行風險評估，以確定隨后需要進一步執行的審計程序。而遵守404條款的公司審計師就不僅僅是獲得內部控制的了解，而且要檢查內部控制設計和運行的有效性，并就其有效性表示意見。可見，這兩種審計不僅終極目標是一致的，而且其間過程也是血肉相容的，努力整合它們可以降低審計成本，提升整個審計過程的有效性。如財務報告內部控制審計中審計師對內部控制的檢查，可以通過財務報表審計的結果得以證實；另外，在財務報告內部控制審計過程中得到的審計結果和結論又可以幫助審計師更好地計劃和執行那些設計來確定財務報表是否公允表達的審計程序。二者相互補充、互為強化，更好地改善了公司財務報告內部控制以及財務報表的審計質量。

在現有的審計實務中，由于種種原因，一些審計師未能充分整合這兩種審計，事實證明這不僅浪費審計資源，還將危及整體審計質量，甚至有很大可能錯過那些能夠識別和根除處于萌芽狀態的會計或報告問題。

（二）重視并努力提高職業判斷能力

本質上說， PCAOB的審計準則No.2與其他審計準則并無多大差異，也在準則中規定了相對具體的審計方案。遵循這一準則，審計師也能夠量體裁衣地編制足以應對審計客戶性質和復雜性的審計計劃，其前提就是審計師要充分運用自己的職業判斷能力。但是，現有的審計相關實務所反映出來的是：有很大一部分審計師所使用的是一種“以一應萬”的、與具體問題和具體客戶財務報表過程風險無多大關聯的標準化式的“清單驅動”審計計劃。這種計劃編制模式，最終的結果是導致審計費用增加，審計資源配置不科學。如安排項目小組中的助理人員花很多的時間去測試細節處理層次的控制；這種計劃很少調查可能識別財務報告問題的重大控制薄弱點等等。這種計劃最終將使得審計質量未能取得預期效果。

財務報告內部控制審計的目標是針對被審單位管理當局的財務報告內部控制評估報告是否在所有重大方面公允表達表示意見。審計師為了完成這一目標應該獲得公司內部控制系統合理保證財務報表不含有重大錯報的證據，在這一過程中充斥著對審計師職業判斷的要求。例如審計師不僅需要運用職業判斷確定如何將審計準則No.2應用于不同行業、不同規模的審計客戶，還要運用其職業判斷將其審計工作集中于由于錯誤或舞弊可能存在的更高錯報風險的領域；又如，要確定財務報告內部控制設計和運行的有效性，審計師應該運用其職業判斷確定內部控制缺失、重大缺失、重大薄弱點，審計師在評價財務報告內部控制缺失時，必須以合理的方式運用其職業判斷，這種評價可能要適當考慮質量和數量因素。特別是，質量分析應該分解為缺失的性質、原因、所設計的控制支持的相關財務報表認定、對主要控制環境的影響以及其他彌補控制是否有效。

一個新的工作領域，審計師不僅面臨著一個學習的過程，而且要面對前所未有的困難與挑戰。盡管財務報告內部控制審計與財務報表審計血肉交融，但是財務報告內部控制審計對審計師職業判斷的要求要高得多，且目前還有點讓人無所適從之感。為了更好地履行財務報告內部控制審計這一職責，審計師應該充分重視并盡可能地提升自己的專業判斷能力。

（三）強調方法的適用性和風險評估的作用

審計向來不是一種機械核對活動，財務報告內部控制審計也一樣。一個好的、富有成效的財務報告內部控制審計方式應該是重視不同被審單位的具體風險，將審計資源科學地配置于最高風險領域，避免對重大賬戶和相關控制一視同仁而無視相對應的風險。因此，在財務報告內部控制審計中，要強調方法的適用性和風險評估的作用。為此，審計準則No.2設計了一種自上而下的風險導向測試策略方法。也就是說，準則要求審計師首先將注意力集中于公司層面的控制；然后是重大賬戶，這將引導審計師關注重大處理過程；最后，關注過程中、交易或應用層次的具體控制。每一步獲得的了解都將指導審計師關注下一控制層次內的高風險領域。

審計師應用自上而下、風險導向的方法確定重大賬戶和相關的重大過程以及有關的認定。這種方法的自然結果是審計師能夠對高風險領域予以更大的關注和資源。應用這種自上而下的方法，要求審計師以合理的方式運用其積累的知識、經驗和判斷去確認存在財務報表可能存在重大錯報的重大風險領域，然后，進一步確認與此相關的控制、設計適當的程序測試這些控制。在確認重大賬戶和有關重大過程以確定其審計程序時，審計師一般既要考慮數量因素也要考慮質量因素。質量因素包括與不同賬戶及其相關過程有關的風險，除了考慮質量因素以外，審計師還要建立用于確認內部控制測試范圍內的重大賬戶的數量限閾。審計師應該考慮與已識別的每一重大賬戶有關的整體風險以確定他們是否應該改變具體控制之控制測試的性質、時間和范圍。這樣審計師就可以排除那些不需進一步考慮的含有重大錯報之概率只有極小概率的賬戶，使得其對低風險領域予以更少的關注，進而能夠進一步降低成本，同時增加審計效果。審計師要是選擇另一種無用的方法就有可能要承擔審計成本增加、質量降低的風險。如從最低層開始就增加了使自己陷入最終結果對實現預防或偵查財務報表重大錯報的基本目標無任何意義的測試之中，進而導致增加一些不必要的成本。

作為其風險評估的一部分，審計師還應該考慮公司層面控制的強度，以確定對這些控制所作的測試結果是否改變測試的性質、時間和范圍。雖然審計師不僅僅依賴公司層面控制的測試，但公司層面控制強可以使得審計師做更少的工作，否則，他們將要執行更多的測試或要更大范圍地依賴別人的工作。

（四）充分利用他人的工作

審計師自上而下地應用審計準則No.2，并適當地評估風險將能自然地識別那些需要利用他人工作既遵守準則要求又是最有效的審計方式的領域。在這些領域重復執行測試或其他審計工作可能使得審計成本不必要地增加，審計質量也沒有得到相應的提高。