基于业务流程内部控制的信息系统审计一般性框架研究
信息系统审计的内容、范围、流程和策略的探讨
从信息系统审计的上述定义和内容,可以看出,信息系统审计除了传统审计所具有的特性外,还具有以下几个专有特点:1、审计的所有领域将全面运用现代信息技术。
这就是在审计的理论研究、实务工作、管理模式、知识构等方面都将运用现代信息技术,使技术与审计高度融通,大大提高审计的工作质量和效率。
在实务工作方面,要使审计工作面向计算机内在审计和使用计算机审计转变;审计人员不再只依赖于纸张记录的会计数据而大部分或全部依赖于磁盘、光盘等介质记录的电子数据,或直接从网络下载的子数据,诸如电子商务之类;审计底稿和审计证据及有关审计档案也全部电子化;审计工作将从定期的现场审转向实时或定时的在线网络审计,即通过网络分散和连续抽取证据进行审计。
在管理模式上,要利用现代信技术来管理责任与风险俱在的审计行业。
知识结构上,审计人员除了掌握传统审计的基本知识外,还应掌握计算知识及其应用技术、数据处理和管理技术,掌握现信息技术的应用等;不仅要会操作审计软件,而且要能根据需要编写出测试审查程序;使所审计人员都应成为完全意义上的IT审计人员。
2、信息数据安全性、可靠性是IT审计的特点。
在会计信息化条件下,企业所提供的最主要的会计信息将是各种明细信息,因此,审计的工作重点是验证信息的真实可靠性,以及审核进入外网络的明细信息的安全性。
企业内部形成的明细信息的真实可靠性如何,取决企业会计信息化系统内部控制的强弱程度,而审计人员主要工作将是证实从数据库存取信息的可靠性。
为此,应当侧重于验证机内原始凭证数据是否真实可靠,会计凭证数据库的存取是否得当,以及这些数据被不留痕迹修改的风险有多大等问题。
对于进入外部网的明细信息,必须通过对整个系统的网络进行安全控制以保证此信息的安全性。
在会计信息化条件下,必须对会计信息进行连续审计,这种审计不仅应延伸到进入企业内部网络的明细信息,而且应延伸到进入外部网络系统的详细信息。
3、计算机专家参与审计工作。
在会计信息化环境下,审计工作所面临的会计系统非常复杂,对审计人员的信息技术掌握程度要求非常高,审计人员必须充分利用计算机专家的专业能力进行审计工作。
内部控制评价报告与审计报告关系研究
内部控制评价报告的披露历史与现状
披露要求
自2002年《萨班斯法案》颁布以来,上市公司被要求披露内 部控制评价报告。
披露现状
目前,大部分上市公司都按照要求披露了内部控制评价报告 ,但披露形式和内容不尽相同。
审计报告相关概念
审计报告的定义
审计报告是审计师根据审计准则和职业道德规范,对被审计单位财务报表和 内部控制发表意见的书面文件。
05
研究结论与政策建议
研究结论回顾
内部控制评价报告和审计报告对于公 司治理和财务报告质量具有重要影响 。
内部控制评价报告和审计报告之间存 在一定的关联和差异,需进一步探讨 其内在联系和相互影响。
公司治理结构、外部监管环境等因素 会对内部控制评价报告与审计报告的 关系产生调节作用。
政策建议
完善内部控制评价报告和审计报告披露制度
主要内容安排
本文分为六大部分,分别是引言、文献综述、理论分析 、实证研究、案例分析和结论与建议
02
内部控制评价报告与审计报告概述
内部控制评价报告相关概念
内部控制评价报告的定义
内部控制评价报告是指企业内部自我评估内部控制系统有效性的过程。
内部控制评价报告的目的
帮助企业发现并纠正内部控制缺陷,提高内部控制有效性,降低企业风险。
内部控制评价主要依据的是企业内部的规章制 度和流程,而审计则主要依据的是法律法规和 审计准则。
内部控制评价报告通常不对外公开披露,而审 计报告则需要对外公开披露。
关系研究现状
目前对于内部控制评价与审计报告之间的关系研究 主要集中在两者之间的相同点和不同点上。
研究还表明,内部控制评价和审计在某些情况下可 能存在相互矛盾的结论,这可能表明企业内部控制
信息系统审计内容
信息系统审计内容一、信息系统审计内容概述信息系统审计对象,包括操作系统、主机、网络、数据库、应用软件、数据、管理制度等。
信息系统审计内容主要包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的检查和评价。
二、对组织层面信息技术控制的审计组织层面信息技术控制审计的内容包括:(一)控制环境内部审计人员应当关注组织的信息技术战略规划与业务布局的契合度、信息技术治理制度体系建设、信息技术部门的组织架构、信息技术治理的相关职权与责任分配、信息技术的人力资源管理、对用户的教育和培训等方面。
(二)风险评估内部审计人员应当关注组织在风险评估总体架构中关于信息技术风险管理流程,信息资产的分类及信息资产所有者的职责,以及对信息系统的风险识别方法、风险评价标准、风险应对措施。
(三)控制活动内部审计人员应当关注信息系统管理的方法和程序,主要包括职责分工控制、授权控制、审核批准控制、系统保护控制、应急处置控制、绩效考评控制等。
(四)信息与沟通内部审计人员应当关注组织决策层的信息沟通模式,信息系统对财务、业务流程的支持度,信息技术政策、信息安全制度传达与沟通等方面。
(五)内部监督内部审计人员应当关注组织的监控管理报告系统、监控反馈、跟踪处理程序以及对信息技术内部控制自我评估机制等方面。
三、对信息系统一般性控制的审计信息系统一般性控制是确保组织信息系统正常运行的制度和工作程序,目标是保护数据与应用程序的安全,并确保异常中断情况下计算机信息系统能持续运行。
信息系统一般性控制包括硬件控制、软件控制、访问控制、职责分离等关键控制。
审计人员应当采用适当的方法、合理的技术手段对信息系统建设的合规合法、信息系统的安全管理、访问控制、基础架构、数据保护以及灾难恢复等方面开展审计。
信息系统一般性控制审计应当重点考虑下列控制活动:(一)系统开发和采购审计内部审计人员应当关注组织的应用系统及相关系统基础架构的开发和采购的授权审批,系统开发所制定的系统目标以及预期功能是否合理,是否能够满足组织目标;系统开发的方法,开发环境、测试环境、生产环境的分离情况,系统的测试、审核、验收、移植到生产环境等环节的具体活动。
信息系统审计的操作流程
2、数据测试与平行模拟数据测试法:
数据测试:审计人员把一批预先设计好的测试数据,利用被审计程序加 以处理,并把处理的结果与预期结果作比较,以确定被审计程序的处理 和控制功能是否恰当有效。
3、识别重要性
为了有效实现审计目标,合理使用审计资源,在制定审计计划时, 信息系统审计人员应对系统重要性进行适当评估。对重要性的评 估一般需要运用专业判断。考虑重要性水平时要根据审计人员的 职业判断或公用标准,系统的服务对象及业务性质,内控的初评 结果。重要性的判断离不开特定环境,审计人员必须根据具体的 信息系统环境确定重要性。重要性具有数量和质量两个方面的特 征。越是重要的子系统,就越需要获取充分的审计证据,以支持 审计结论或意见。
4、编制审计计划
经过以上程序,为编制审计计划提供了良好准备,审计人员就可 以据以编制总体及具体审计计划。
总体计划包括:被审单位基本情况;审计目的、审计范围及策略; 重要问题及重要审计领域;工作进度及时间;审计小组成员分工; 重要性确定及风险评估等。 具体计划包括:具体审计目标;审计程序;执行人员及时间限制等 。
信息系统计划阶段的关键控制点有:计划是否有明确的目的;计 划中是否明确描述了系统的效果;是否明确了系统开发的组织; 对整体计划进程是否正确预计;计划能否随经营环境改变而及时 修正;计划是否制定有可行性报告;关于计划的过程和结果是否 有文档记录等等。
系统开发阶段:包括系统分析、系统设计、代码编写和系统测试三部分。 其中涉及包括功能需求分析、业务数据分析、总体框架设计、结构设计、 代码设计、数据库设计、输入输出设计、处理流程及模块功能的设计。
第2203号内部审计具体准则——信息系统审计
第2203号内部审计具体准则——信息系统审计2013-08-28 08:34:46第一章总则第一条为了规范信息系统审计工作,提高审计质量和效率,根据《内部审计基本准则》,制定本准则。
第二条本准则所称信息系统审计,是指内部审计机构和内部审计人员对组织的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动。
第三条本准则适用于各类组织的内部审计机构、内部审计人员及其从事的信息系统审计活动。
其他组织或者人员接受委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。
第二章一般原则第四条信息系统审计的目的是通过实施信息系统审计工作,对组织是否实现信息技术管理目标进行审查和评价,并基于评价意见提出管理建议,协助组织信息技术管理人员有效地履行职责。
组织的信息技术管理目标主要包括:(一)保证组织的信息技术战略充分反映组织的战略目标;(二)提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性;(三)提高信息系统运行的效果与效率,合理保证信息系统的运行符合法律法规以及相关监管要求。
第五条组织中信息技术管理人员的责任是进行信息系统的开发、运行和维护,以及与信息技术相关的内部控制的设计、执行和监控;信息系统审计人员的责任是实施信息系统审计工作并出具审计报告。
第六条从事信息系统审计的内部审计人员应当具备必要的信息技术及信息系统审计专业知识、技能和经验。
必要时,实施信息系统审计可以利用外部专家服务。
第七条信息系统审计可以作为独立的审计项目组织实施,也可以作为综合性内部审计项目的组成部分实施。
当信息系统审计作为综合性内部审计项目的一部分时,信息系统审计人员应当及时与其他相关内部审计人员沟通信息系统审计中的发现,并考虑依据审计结果调整其他相关审计的范围、时间及性质。
第八条内部审计人员应当采用以风险为基础的审计方法进行信息系统审计,风险评估应当贯穿于信息系统审计的全过程。
第三章信息系统审计计划第九条内部审计人员在实施信息系统审计前,需要确定审计目标并初步评估审计风险,估算完成信息系统审计或者专项审计所需的资源,确定重点审计领域及审计活动的优先次序,明确审计组成员的职责,编制信息系统审计方案。
医院治理、内部控制、内部审计的关系框架构建研究
148审计广角AUDITING SCOPE医院治理、内部控制、内部审计的关系框架构建研究龚薇 钟燕珊 陈伟烽 中山市小榄人民医院摘要:本文以中山市小榄人民医院作为研究对象,通过文献整理与对比国内外各大医院治关于内部审计和内部控制的举措,实地考察小榄医院最实际的业务需要,制定针对性的内部审计计划。
通过一些关键财务指标的反映,进一步完善医院的内部控制体系,改善医院的经营效率。
关键词:医院治理;内部审计;内部控制我国公立医院实行政府管理模式,坚持公益性和为患者服务为宗旨,坚持法人治理。
医院的内部审计往往由院内财务人员转任或者兼任,公立医院的内部审计的范围也仅限财务收支和经济活动,常常是对财务账簿的事后规范性检查。
缺乏行之有效的审计监督评价体系,以及对内部审计情况所反映的问题和建议落实整改修的执行机构。
国外公立医院对内部审计工作的重视程度非常高,把公立医院引入市场,实行企业化管理。
开展内部审计监督和评价制度,根据不同管理模式选择适合自己的工作内容和方法。
国外公立医院根据政府经济情况,可选择市场型、公司型、政府型等不同的审计模式。
在市场化管理的同时,也强调公立医院的公益性和为患者服务的宗旨。
一、资料与方法(一)一般资料本文以中山市小榄人民医院为研究对象,该医院是全国第一家镇区三甲医院,市内四家三甲医院之一,是一家集医疗、教学、科研、预防、康复为一体的综合性三甲医院,是中山市北部的医疗中心,因此获取的研究结论具有代表性。
以小榄医院为例,根据政府部门的文件精神并医院自身的业务需要,制订合理的适合医院发展的审计项目及计划。
并通过文献的对比整理和专家咨询,更加完善内部审计程序。
基于内部审计中出现的情况,探讨如何改进医院内部控制模式,提高管理效率,响应医院改革的新需要。
(二)方法1.文献法:借鉴和总结国内外学者对行政事业单位内部控制及公立医院内部控制和内部审计问题的研究,结合调査研究,形成一条适用我国公立医院的内部控制和内部审计设计思路。
会计内部控制框架的构建分析
会计内部控制框架的构建分析【摘要】会计内部控制框架是企业管理中非常重要的一环,它可以帮助企业建立有效的财务管理体系,确保财务信息的及时性、准确性和可靠性。
本文从内部控制框架的概念、重要性、构建原则、要素分析以及实施步骤等方面进行了深入分析。
通过对会计内部控制框架的构建分析,有助于企业更好地管理风险、提高运营效率,同时也可以增强企业的竞争力。
未来,随着信息技术的发展和企业经营环境的变化,会计内部控制框架也将不断适应和发展,以应对新的挑战和需求。
通过本文的研究,可以更好地认识到会计内部控制框架在企业管理中的作用,并为企业提供指导和参考。
【关键词】会计内部控制框架、构建分析、概念、重要性、构建原则、要素分析、实施步骤、总结、未来发展展望1. 引言1.1 会计内部控制框架的构建分析会计内部控制框架是指组织为达到其经营目标而制定的控制措施和程序的整体框架。
构建一个有效的会计内部控制框架对于企业的经营管理至关重要。
在当今复杂多变的商业环境下,良好的内部控制框架可以帮助企业降低风险、提高效率、保障资产安全,进而增强企业的竞争力。
会计内部控制框架的构建需要遵循一定的原则,包括合理性、全面性、有效性、灵活性等。
构建过程中需要考虑组织的规模、性质、业务特点等因素,确保内部控制框架符合实际需求。
内部控制框架的要素分析也是构建过程中不可或缺的一环,包括风险评估、控制目标、控制措施等方面。
在实施内部控制框架时,需要明确的步骤和流程,包括建立控制环境、风险评估、制定控制措施、监督和评估等阶段。
通过逐步实施这些步骤,企业可以逐渐完善其内部控制框架,提升整体管理水平。
构建一个有效的会计内部控制框架是企业管理的基础,对于企业的可持续发展具有重要意义。
未来,随着科技的不断发展和商业模式的变革,会计内部控制框架也将不断更新和完善,以适应新的环境和需求。
2. 正文2.1 内部控制框架的概念内部控制框架指的是一个组织为了达成其目标、保护其资源、确保财务信息的准确性、合法性和完整性而建立的一个综合性框架。
公司层面业务流程及内控管理
效能与效益的提升
内部控制体系的完善
某大型国有企业全面风险管理项目过程中,通常在战略风险-企业文化风险下的廉政风险,被公司提到很高的管控地位。经了解,缘于近期国家在廉政建设方面的管理要求趋严,对企业特别是央企、国企廉政建设/惩防体系建设提出很高的要求。管
廉政风险
全面风险管理
公司层面流程的客户关注
似曾相似?
企业原有体系
开发新的产品
开发新的工具
防止多张皮,就需要将我们建设的体系与企业原有体系进行多维度的整合
管理目标
管理框架
管理职责
管理文档
价值导向型目标设定
顶层设计
按点归责依责授权模式匹配
管理制度化制度流程化流程表单化
效率提升
效益提升
体系整合方法
体系整合方法
整合内容—五体系的融合
归于效益效能提升
分则流程冗杂,权责不清、相互掣肘
基本概念
基本概念-公司层面控制与业务层面控制的关系
公司层面的子流程划分
上市公司专有流程及控制活动。国务院国资委运营专项提升活动涉及流程
公司层面的子流程划分(续)
上市公司专有流程及控制活动。国务院国资委运营专项提升活动涉及流程。
1.组织架构与公司治理
合则互为支持、相互协同,保障企业价值提升
整合手段—管理体系结合方法
五体系管理目标存在自然的共同性。重视公司战略规划的承接,企业文化的适应及现有管理目标的判研。规划与设计风险与内控体系的建设目标和管理目标一脉相承,纲举目张。
融汇整合——保证控制文档通用
顶层设计——确保框架构建科学
殊途同归——达成总体方向一致
内控体系建设与各项管理体系有机结合
母子公司管控.
1
COSO内部控制整体框架内容、理论贡献和借鉴
摘要:美国COSO委员会潜心研究多年提出了内部控制整体框架理论,给理论界、实务界以广泛、深刻的启示,对我国仍处在改革进程之中的大多数企业来说,其理论导向作用是不言而喻的。
企业应强调对业务流程的动态控制,培育先进的环境文化,有效评估风险状况,建立有效的信息传导与沟通机制,加强监督,强调控制活动的效率、效果,这应该是我国企业完善内部控制手段的有效途径。
关键词:内部控制;COSO报告;风险评估中图分类号:C931.6文献标识码:A文章编号:1009-6116(2007)02-71-04美国COSO委员会(Committee of SponsoringOrganizations of the Tread-way Commission)提出的COSO报告极大地促进和丰富了内部控制实践活动。
它强调企业应加强对业务流程的动态控制,培育先进的企业内部控制环境文化,有效评估风险状况,建立科学的信息传导与沟通机制,加强监督,强调控制活动的效率、效果。
它将内部控制的理论和实践都向前推进了一大步,给理论界、实业界以广泛、深刻的启示,对我国企业完善内部控制有广泛而深刻的借鉴价值。
一、COSO报告内部框架综述(一)内部控制的定义和目标COSO是由美国反对虚假财务报告委员会(NCFR)发起的,它是一个旨在通过商业道德、有效的内部控制和公司治理结构以改善财务报告的美国民间组织。
1992年,COSO委员会提出报告《内部控制一整体框架》(Internal Control-Integrat-ed Framework),1994年进行了增补。
该报告对内部控制作出如下定义:内部控制是由企业董事会、经理层和其他员工实施的,旨在为下列目标提供合理保证:(1)营运的效率和效果;(2)财务报告的可靠性;(3)相关法令的遵循性。
这个定义明确了内部控制的三大目标。
1.合法性目标。
设立内部控制的目的就是要企业合法经营,要求企业遵守现行法规是保证市场经济秩序有条不紊进行的前提,也是企业安全生存和健康发展的需要。
审计业务底稿之了解和评价信息系统一般控制
签名
编制索引号P221-10
复核页次 1
工作指引:
1. 完成信息系统主要负责人员调查表。
2. 完成重大业务流程和信息系统匹配表,根据信息系统调查问卷,具体评估各项信息系统
复杂程度的调查问卷。
3. 确定信息系统控制审计的范围。
4. 针对信息系统一般控制在控制环境、程序开发、程序变更、程序和数据访问以及计算机
运行等方面进行了解。
(二) 重大业务流程和信息系统匹配表
编制说明:
1.“系统名称”填写系统的名称,如费用支付系统。
系统可以是商业软件系统,或是企
业自己开发、定制的系统,也可以包括其他终端用户所使用的重要工具,如利用 Excel 等
电子表格编制的模型、填报工具等。
2. “系统平台”填写系统的操作平台,如Microsoft、Unix等。
3. “设备所在地点”填写系统的所在地点,如分布各省公司
4. “上线年份”填写初始上线年份。
5.“所支持的业务流程/科目”填写流程名称,如采购、费用支付流程等。
6. “复杂程度”根据各项信息系统调查的结果评价系统的复杂程度,填写高或低。
对信息系统的评估不是一个纯粹客观的过程,也需要依靠注册会计师的职业判断。
7. “是否纳入测试范围”根据系统的复杂程度明确系统是否纳入测试范围,填写是或否。
(三) ××信息系统调查
编制说明:
重大业务流程和信息系统匹配表中列示的各项信息系统均应填制本表,作为评价其复杂程度的依据。
内部控制框架的设计与实施
内部控制框架的设计与实施内部控制是组织内部的一套制度、流程和方法,通过合理的内部控制框架的设计与实施,可以提高组织的管理效能、防范风险和保障资产安全。
本文将对内部控制框架的设计与实施进行探讨。
一、内部控制框架的概念与特点内部控制框架是指为实现组织的目标,管理层基于风险评估,通过内控政策、流程和制度等要素相互关联和配合,提供合理保证和有效监督的框架。
其特点包括:1. 目标导向性:内部控制框架的设计和实施应以组织目标为导向,确保组织的目标能够得以实现。
2. 综合性:内部控制框架需要综合考虑组织的各个方面,包括战略、运营、财务、合规等,进行全面的风险管理。
3. 系统性:内部控制框架需要建立一个内部控制体系,包含各种政策、制度、程序和控制措施等。
二、内部控制框架的设计内部控制框架的设计需要考虑组织的特点、目标和风险,可采用以下步骤:1. 风险评估:确定组织内部存在的各种风险,并进行评估,确定风险的重要程度和可能性。
2. 控制目标的设定:根据组织的目标和风险评估结果,设定适应性强、可衡量和可管理的内部控制目标。
3. 控制措施的设计:根据控制目标,设计具体的控制措施,包括预防性控制、检查性控制和纠正性控制。
4. 控制活动的实施:组织内部实施各种控制活动,包括制定政策和程序、建立责任和权限机制、进行监督和检查等。
5. 信息与沟通:确保内部控制框架中的信息流畅和有效沟通,包括信息的收集、处理、传递和反馈等。
三、内部控制框架的实施内部控制框架的实施需要遵循以下原则:1. 高层管理支持:组织的高层管理应给予内部控制框架的设计与实施充分的支持和重视。
2. 分工与合作:内部控制工作需要不同部门之间的分工与合作,确保整个组织内的内部控制协同进行。
3. 内控流程的完善:内部控制流程需要与组织的业务流程相结合,确保在业务操作中能够有效实施。
4. 内部控制的持续改进:内部控制框架应进行持续的评估和改进,以适应组织的变化和风险的发展。
内部审计具体准则第28号―信息系统审计
内部审计具体准则第28号―信息系统审计第一章总则第一条为了规范组织内部审计机构及人员开展信息系统审计活动,保证审计质量,根据《内部审计基本准则》制定本准则。
第二条本准则所称信息系统审计,是指由组织内部审计机构及人员对信息系统及其相关的信息技术内部控制和流程开展的一系列综合检查、评价与报告活动。
第三条本准则适用于各类组织的内部审计机构、内部审计人员及其从事的信息系统审计活动。
第二章一般原则第四条信息系统审计的目的是通过实施信息系统审计工作,对组织是否达成信息技术管理目标进行综合评价,并基于评价意见提出管理建议,协助组织信息技术管理人员有效地履行其受托责任以达成组织的信息技术管理目标。
组织的信息技术管理目的是保证组织的信息技术战略充分反映该组织的业务战略目标,提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性,提高信息系统运行的效果与效率,合理保证信息系统的运行符合法律法规及监管的相关要求。
第五条组织中信息技术管理人员的责任是信息系统的开发、运行和维护以及信息技术相关的内部控制的设计、执行和监控;信息系统审计人员的责任是实施信息系统审计工作并出具审计报告。
第六条从事信息系统审计人员的专业胜任能力是指在信息系统审计领域,胜任管理层与其他利益方的委托、履行其信息系统审计职能所应拥有的相关知识、技能和素质。
信息系统审计人员应当熟悉内部审计业务并具备必要的信息技术及信息系统审计的专业知识。
此外,审计项目负责人员应具有三年以上信息系统审计相关工作经验,或六年以上相关业务的从业经验。
由于组织特殊性而产生的例外情况,应当获得组织管理层的特别授权。
组织应当建立信息系统审计人员培训制度,鼓励审计人员取得注册信息系统审计师等执业资格,以保证审计人员的专业胜任能力。
必要时,信息系统审计可利用外部专家的服务。
第七条信息系统审计可作为独立的审计项目组织实施、或作为综合性内部审计项目的组成部分实施。
第八条信息系统审计划分为以下阶段:审计计划阶段、审计实施阶段、审计报告与后续工作阶段。
信息系统一般控制审计154页PPT
五、内部审计与监测
信息系统审计
41
第三节 数据输出控制
一、数据输出报告制度
二、输出报告的生成与分发
三、在安全的地方登记和存储重要表单
四、计算机生成可流通的通知、表单和签名
42
信息系统审计
第四节 数据接口控制 一、接口规划与设计 二、接口处理程序
(一)完善数据转换机制
(3)审查是否设置了对应关系参照文件。 (4)审查信息系统中是否存在数据合理性校验。
(5)审查信息系统是否设定了平衡校验。 (6)审查信息系统日志,察看信息系统用户是否制定并遵守输入管理的规则,数据输入是否按照输 入管理规则进行。
十、处理控制审计
信息系统审计
49
(1)查阅企业业务及系统文档选取企业主要的业务处理过程和处理控制。
能。
(2)错误报告的维护和操作:应当有控制程序来保证所有的错误报告被正确地核对与纠正,并适时
地提交。
(3)源文件保存期:源文件应当保存一个足够的时间期间,以确保对数据检索、重组和验证的需要 。
(4)标签:必须为可移动存储介质设定内外部标签,以保证适当的数据被调用和处理。
40
信息系统审计
(5)版本:使用正确和适当的文件版本对于正确的处理是非常关键的。 (6)一对一检查:确保每一个文件都与经计算机处理的详细文件清单相符合,这对于保证所有的文
(2)测试这些处理过程是否符合业务逻辑以及控制是否起到了应有的作用:在系统中进行一些违反 业务逻辑的操作,如果操作结果与预期不一致可以检查程序代码。
(3)检查系统运行错误日志和交易日志。 (4)得出处理控制是否适当的结论。
十一、输出控制审计
(1)识别主要的输出项目。 (2)确定输出审核程序的恰当性:①审查输出信息分发前对输出信息进行审核确认的程序;②审查
信息系统审计准则
第一章总则第一条为了规范信息系统审计工作,提高审计质量和效率,根据《内部审计基本准则》,制定本准则。
第二条本准则所称信息系统审计,是指内部审计机构和内部审计人员对组织的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动。
第三条本准则适用于各类组织的内部审计机构、内部审计人员及其从事的信息系统审计活动。
其他组织或者人员接受委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。
第二章一般原则第四条信息系统审计的目的是通过实施信息系统审计工作,对组织是否实现信息技术管理目标进行审查和评价,并基于评价意见提出管理建议,协助组织信息技术管理人员有效地履行职责。
组织的信息技术管理目标主要包括:(一)保证组织的信息技术战略充分反映组织的战略目标;(二)提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性;(三)提高信息系统运行的效果与效率,合理保证信息系统的运行符合法律法规以及相关监管要求。
第五条组织中信息技术管理人员的责任是进行信息系统的开发、运行和维护,以及与信息技术相关的内部控制的设计、执行和监控;信息系统审计人员的责任是实施信息系统审计工作并出具审计报告。
第六条从事信息系统审计的内部审计人员应当具备必要的信息技术及信息系统审计专业知识、技能和经验。
必要时,实施信息系统审计可以利用外部专家服务。
第七条信息系统审计可以作为独立的审计项目组织实施,也可以作为综合性内部审计项目的组成部分实施。
当信息系统审计作为综合性内部审计项目的一部分时,信息系统审计人员应当及时与其他相关内部审计人员沟通信息系统审计中的发现,并考虑依据审计结果调整其他相关审计的范围、时间及性质。
第八条内部审计人员应当采用以风险为基础的审计方法进行信息系统审计,风险评估应当贯穿于信息系统审计的全过程。
第三章信息系统审计计划第九条内部审计人员在实施信息系统审计前,需要确定审计目标并初步评估审计风险,估算完成信息系统审计或者专项审计所需的资源,确定重点审计领域及审计活动的优先次序,明确审计组成员的职责,编制信息系统审计方案。
中国内部审计准则第2203号内部审计具体准则——信息系统审计
中国内部审计准则第2203号内部审计具体准则——信息系统审计发文机关:中国内部审计协会发布日期:2013.08.20生效日期:2014.01.01时效性:现行有效中国内部审计准则第2203号内部审计具体准则——信息系统审计第一章 总则第一条为了规范信息系统审计工作,提高审计质量和效率,根据《内部审计基本准则》,制定本准则。
第二条本准则所称信息系统审计,是指内部审计机构和内部审计人员对组织的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动。
第三条本准则适用于各类组织的内部审计机构、内部审计人员及其从事的信息系统审计活动。
其他组织或者人员接受委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。
第二章 一般原则第四条信息系统审计的目的是通过实施信息系统审计工作,对组织是否实现信息技术管理目标进行审查和评价,并基于评价意见提出管理建议,协助组织信息技术管理人员有效地履行职责。
组织的信息技术管理目标主要包括:(一)保证组织的信息技术战略充分反映组织的战略目标;(二)提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性;(三)提高信息系统运行的效果与效率,合理保证信息系统的运行符合法律法规以及相关监管要求。
第五条组织中信息技术管理人员的责任是进行信息系统的开发、运行和维护,以及与信息技术相关的内部控制的设计、执行和监控;信息系统审计人员的责任是实施信息系统审计工作并出具审计报告。
第六条从事信息系统审计的内部审计人员应当具备必要的信息技术及信息系统审计专业知识、技能和经验。
必要时,实施信息系统审计可以利用外部专家服务。
第七条信息系统审计可以作为独立的审计项目组织实施,也可以作为综合性内部审计项目的组成部分实施。
当信息系统审计作为综合性内部审计项目的一部分时,信息系统审计人员应当及时与其他相关内部审计人员沟通信息系统审计中的发现,并考虑依据审计结果调整其他相关审计的范围、时间及性质。
基于信息系统审计建立和完善信息化企业的内部控制
项 目管理 、 信息系统工程 监理 以及平 衡记 分卡 等工具 模
型的精髓 。因此 , 其评估模型的周衍性 、 威性 和合理性 权 都得 到了保证。其 中, O I C BT模 型 目前 已成 为 国际 上公 认的I T管理与控制标准 , 且 已升级 到 C BT . 。C . 并 O I50 O BT覆盖整个 信 息 系统 的 全部 生 命 周 期 , 范 围最 大 。 I 其
系统审计师 , 以第 三方 的客观 立场 对 以计算 机为 核心 的 信息系统进行综 合 的检 查 与评 价 , 向信 息系统 审计 对象 的最高领导层 , 出问题 与建议的一连 串的活动 ” 国际 提 。
致 , 终借助 I 最 T推进企业总体 战略 目标 的实现 。从这 个
层面上看 , 息系统 审计 与企业 内部 控制 可谓 是殊途 同 信 归 , 是为了更 好地 实现组织 的 战略 目标 。通过 实施 信 都 息系统审计发现 内部控 制是 否有效 , 否 真正服 务于 企 是 业总体 目标的实现。
对 企业 整体战略的支持程 度、T战略 和企业 总体 战略 的 I
方法—— 信息系统 审计 。它可 以通过专业 的第 三方咨询 机构 帮助企业发现 内部 控制 体系 的不 足 , 提供 相应 的支持程度 、 企业 内部 组织 流 对 程和业务 流程所产生 的影 响以及能否促进 其业务 系统效 率 的提 高等 。因此 , 以通过信 息 系统 审计发 现并 纠正 可 企业信息化过程 中存 在 的问题 , 以确 保组 织信 息系 统 的
同时最经济地使用 资源” 。具体 而言 , 信息系统 审计 就是
当前 国际上关于信息系统审计的模型虽然 还没有一
个 比较通用的标准 , 各种不 同 的信息 化评估 模 型都 采 但
内部审计准则知识竞赛试题(试题+答案)
审计法和内部审计准则知识竞赛试题2014-61。
根据《中华人民共和国审计法》的规定,依法属于审计机关审计监督对象的单位的内部审计工作,(B)审计机关的业务指导和监督。
A.可以接受B.应当接受C.不接受D.需要接受2。
根据《中华人民共和国审计法实施条例》的规定,审计机关可以通过内部审计(B),加强对内部审计工作的业务指导和监督。
A.执业组织B。
自律组织C。
职业组织D。
行业组织3。
2013 年修订的中国内部审计准则开始施行的时间是:(C)A.2013 年9 月1 日B。
2013 年12 月1 日C.2014 年1 月1 日D。
2014 年5 月1 日4.制定《内部审计基本准则》的依据是:(D)A.《审计法》B.《审计署关于内部审计工作的规定》C.《审计法实施条例》D.《审计法》及其实施条例,以及其他有关法律、法规和规章。
5。
《内部审计基本准则》将内部审计界定为一种:(C)A。
审查和评价活动B。
监督和评价活动C。
确认和咨询活动D。
保证和评价活动6。
《内部审计基本准则》适用于各类组织的内部审计机构、内部审计人员及其从事的内部审计活动。
其他组织或者人员也应当遵守该准则的情形是:(C)A。
接受授权、聘用承办或参与内部审计业务B.接受委托、指派承办或参与内部审计业务C.接受委托、聘用承办或参与内部审计业务D。
接受委托、聘任承办或参与内部审计业务7。
随着组织面临风险的日益复杂和多元,为有效配置审计资源,降低审计风险,实现审计目标,在实施审计业务时,内部审计机构和内部审计人员应当全面关注:(A)A。
组织风险B。
内部控制C.组织业务D.组织目标8.内部审计机构应当对内部审计质量实施有效控制,建立指导、监督、分级复核和内部审计质量评估制度,并接受(B)。
A。
内部审计质量检查B。
内部审计质量外部评估C.内部审计质量考核D。
外部审计9。
内部审计机构应当编制中长期审计规划、年度审计计划、本机构人力资源计划和(C)。
A.奖惩制度B。
内部控制五要素构建内部审计质量控制体系
内部控制五要素构建内部审计质量控制体系摘要:内部审计作为内部控制的管理重点,对于内容控制的质量控制和风险降低有着重要作用。
因此内部控制内容的实质也就是内部审计的风险管控。
本文就以内部审计的内部控制内容的关系分析,明确内部控制和风险管理体系对于内部审计的质量控制内容,通过对内部审计中五个要素的控制分析,从而为内部审计的控制内容进行推进提升。
关键词:内部审计;环境;风险管理;信息沟通一、内部控制、内部审计和风险的关系国际内部审计在2001年建立起内部审计师协会。
并将其定义为一种客观自助的咨询保证活动。
其作用就是为相关企业和组织提供了一定的管理咨询内容,有效提升了企业的运行的效率和稳定,他通过系统化的管理方案,结合相应的风险评估改进机制,有效为企业组织的风险控制和治理提供了规范化的控制。
有助于企业组织目标的实现与提升。
同时,内部审计的控制和风险管理有很多的相同内容,其参与成员都是组织内董事会、管理层和全体员工共同参与实施的。
对于内部审计的高效管理发展,一方面要做好管理内容的风险评价要素,也是内部审计的五大要素之一。
另一方面实现高效率的风险评估管理就是要不断重视组织的控制流程建设。
所以,内部审计是组织进行内部管理控制的重要手段,内部审计与内部控制都是为组织运行风险管理的重要内容,共同组成构成企业风险管控防线二、基于COSO框架构建内部审计质量控制体系(一)内部审计环境1.从全球化内部审计的发展内容看,内部审计的管理环境主要分为3个方面:董事会组织的领导、经理层的管控、审计总负责人的控制,不管属于哪种控制类型,都要求内部审计管理部门需要一定的自主性,能够进行管理审计工作的独立运行,并且不受其他管理职能部门的干扰。
只有这样内部审计的管理内容才有一定的公正客观性,审计管理内容才有被有效使用。
目前,我国大多数的审计控制机构都是采取总经理的直接领导下展开工作,同时结合相关审计机构和政府管理的指导内容,相关审计控制部门的设置上与组织内部的设计工作相互对应。
中国内部控制框架介绍
控制活动
职责分工控制 授权控制 审核批准控制 预算控制 财产保护控制
治理结构、内部机构设置与权责分配 内部风险因素 企业文化 人力资源政策 内部审计机制 内部监督 持续性监督检查和专项监督检查等 发现的内部控制缺陷所形成的报告 信息与沟通 信息的收集 信息的传递、沟通和应用 内部信息 外部信息 反舞弊机制
Байду номын сангаас
•
•
配套指引是依据《基本规范》制定的。
配套指引将为企业实施内部控制、对内部控制进行自我评估及注册会计师对 内部控制进行审计提供技术标准和依据。 配套指引的具体内容包括:
⁻《企业内部控制应用指引》 ⁻《企业内部控制评价指引》 ⁻《企业内部控制审计指引》
中国《企业内部控制基本规范》及配套指引(续)
售 后 服 务 部
销 售 部
法 务 部
客 户 服 务 部
财 务 部
配 件 部
人 力 资 源 部
•销售流程
•存货管理 流程
•人力资源 流程
2012 版内部控制手册展示(续) 内部控制手册示例
风险控制 矩阵表
不兼容职 责表
内部控制手册示例
控制矩阵举例
业务流程 销售流程 业务子流程 定价
风险编号
REV001-R01
新车整车销售:销售顾问以在 CRM系统中的厂方指导价格为 基础,并根据当月公司的指导 价格进行销售工作,每份销售 订单的价格都需要经过销售部 经理的审核,审核痕迹体现在 《整车销售结算单》上。
二手车置换:二手车交易一般是客 户用旧车置换新车,客户有换车需 求时,将二手车交由二手车专员进 行评估,由具有二手车鉴定评估师 资格的二手车部经理进行核定,审 批体现在《整车销售结算单》,置 换价格作为新车销售的扣减项。, 并且公司与客户签订二手车收购协 议。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
基于业务流程内部控制的信息系统审计一般性框架研究摘要:本文对基于业务流程内部控制开展信息系统审计的必然性分析的基础上,提出了五个方面的审计内容和重点,并拟定了确定信息系统审计对象等六个方面的一般性审计步骤。
关键词:业务流程内部控制信息系统审计框架一、基于业务流程内部控制开展信息系统审计的提出刘家义审计长2011年7月8日在中国审计学会第三次理事论坛上阐述国家审计与国家治理关系时指出,现阶段转变经济发展方式、促进经济又好又快发展这一国家治理的着力点,要求审计机关关注中央宏观调控政策的落实情况和实施效果,关注经济发展的质量和效益,关注经济结构的战略性调整情况和效果,关注国家经济安全问题,为党和政府科学决策提供及时、可靠的信息。
这就要求我们必须全面关注企业生产经营状况,必须对信息化环境下的业务流程的内部控制情况开展审计,因为只有信息系统业务流程内部控制是有效的,其存储的生产经营业务数据才可能是真实、完整的,数据审计、分析才有意义,从而才能对包括生产结构、核心竞争力、自主创新能力、落实国家产业政策等内容在内的生产经营状况发表科学、客观的评价意见,提出有价值、具备可操作性的改进建议,推动企业审计更好地发挥推动国家治理的作用。
但由于信息系统功能发挥通过后台进程实现,隐蔽性强,导致传统的内部控制测试手段诸如观察、复核和穿行测试等手段在信息化条件下作用大打折扣。
如何通过业务流程的内部控制情况开展审计,确保信息系实现企业相关信息、数据准确、完整地传递和体现国家、企业相关政策法规的要求,是现阶段审计必须考虑的问题。
二、基于业务流程内部控制开展信息系统审计的必然性(一)企业信息系统发展特点决定。
从国内外企业信息化的发展趋势看,信息系统以业务为中心的特征日趋明显,就是信息系统以业务流程为主要的管理对象,实现业务流程可视、可调整、可管理,以便区分重要的和不重要的业务,把资源投入到更能产生价值的业务中。
其它的对象如组织结构、用户、角色、权限等,围绕怎样更好地实现业务流程而设置,是辅助对象。
从我国现阶段信息系统发展趋势看,大型企业的采购、生产、销售等主要业务流程已经实现信息化管理,但现阶段企业业务流程建设“重信息化、轻内部控制”的情况较为突出,业务流程信息化在有力提升企业经营管理效率的同时,也使得舞弊损失成十倍甚至百倍的放大。
(二)企业内部控制发展要求决定。
财政部2009年7月正式实行《企业内部控制基本规范》提出,企业应当运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。
这意味着加强推动信息系统业务流程内部控制制度建设仍是企业现阶段重要课题,具体说,就是要审查信息系统业务流程内部控制的有效性,是否能保证企业相关信息、数据准确、完整地传递;是否能够体现国家、企业相关政策法规的要求。
(三)企业信息系统现实状况及审计资源决定。
大型企业普遍采用商业开发或购买国外成熟软件的方式完成业务流程相关信息系统集成、部署,审计人员很难在短时间内采取审查原代码等方式直接开展信息系统审计,如目前大型企业普遍采用德国SAP公司开发的SAP ERP系统,作为生产经营管理平台,从审计实践情况看,该ERP系统结构异常复杂,使用单位也不掌握其核心内容,审计难以直接对其开展审计。
但任何系统,都需要通过业务流程内部控制,确保数据传递的准确完整性以及体现国家、企业政策法规的要求,而业务流程内部控制要求由被审计单位提出,相对具体、明确,这就为从业务流程内部控制角度入手开展信息系统审计提供了现实可能。
三、基于业务流程内部控制的信息系统审计主要内容及重点根据《企业内部控制基本规范》定义,内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。
内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
内部控制主要包括五大要素:内部环境、风险评估、控制活动、信息与沟通、内部监督。
信息与沟通、内部监督主要通过企业内部各部门协作、沟通实现,审计的重点是对信息系统内部控制环境、控制活动的有效性进行审查,并对信息系统业务流程内部控制环境、活动缺失或有效性较弱而带来的风险进行评估。
(一)审计内部控制环境。
根据《企业内部控制规范》的定义,内部控制环境是企业实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。
COSO则指出,内部控制环境包含了一个组织的基调,影响人们对风险的意识,并且为其他所有风险管理提供约束和结构。
内部控制环境是信息系统的业务流程内部控制的重要组成部分,很大程度上决定了信息系统业务流程内部控制的质量与水平,审计要进行深入调查了解,为下一步对业务流程内部控制活动有效性审计奠定基础。
(二)审计内部控制活动的有效性。
控制活动是指企业信息系统中体现的将风险控制在可承受度之内的控制措施;控制活动是内部控制的核心环节。
基于业务流程内部控制信息系统审计的核心,就是要关注内部控制活动是否缺失或有效性较弱,导致信息系统系统难以充分实现信息、数据准确完整传递,体现国家、企业相关政策法规要求的目标。
内部控制活动有效性分析,可以从内部控制活动有效性缺失、偏弱和不相关的层面进行。
(三)审计核心控制点。
任何系统都有核心控制点,基于业务流程内部控制角度开展信息系统审计,就是要通过内部控制环境评估,关注业务流程在信息系统体现的核心点,从而在审计资源、时间有限的情况,最大限度把握系统、把握系统业务流程内部控制风险。
(四)评估业务流程内部控制风险。
所谓评估内部控制风险,就是针对内部控制环境、控制活动进行深入调查分析之后,审计采用定性与数据分析等定量相结合的方法,按照风险状况及其影响程度等,对审计发现的信息系统业务流程内部控制风险进行评估,尤其是核心控制点内部控制活动、环境缺失、有效性偏弱或不相关带来的风险进行评估。
(五)提出审计建议。
根据前述内部控制风险的定性与定量评估结果,审计建议企业对信息系统业务流程内部控制进行改造和梳理,推动企业结合不同发展阶段和业务拓展情况,持续收集与风险变化相关的信息,进行风险识别和风险分析,及时调整风险应对策略。
四、基于业务流程内部控制信息系统审计的一般性步骤(一)确定信息系统审计对象。
审计对象的确定是审计的首要因素。
选择合适信息系统开展审计,是信息系统审计能否取得成效、针对企业业务发展提出具有价值的审计建议、进一步提升审计的层次与质量的关键。
从审计实践看,具体应从涉及业务的重要性、信息系统建设的成熟度、数据的完整性、审计成果的及时性等方面进行综合考虑。
1.所涉及审计业务在组织中的地位。
审计要突出重点,信息系统审计也不例外。
大型企业组织的信息系统众多,信息系统审计要选择所涉及业务在企业组织占据主要地位的信息系统开展审计。
如在中石油集团领导人经济责任审计中,我们选择涉及油气当量35%的天然气与管道ERP系统开展审计。
只有这样,才能把握企业的主要经营状况、存在的主要突出问题,审计也才能更好地发挥出免疫系统功能。
2.信息系统建设的成熟度。
按照COBIT的观点,审计需要对风险及控制情况进行评估,信息系统审计也存在此项问题。
一个信息系统成熟度不高,处于初步应用、不断改进阶段,审计就难以对其的风险及控制情况发表准确、适当和有价值的意见。
因此,信息系统建设的成熟度也是信息审计对象确定时必须考虑的重要因素。
3.系统数据情况。
数据是业务流程处理结果的准确记录,要反映业务流程内部控制情况,就必须对系统数据进行分析把握,而数据分析必须考虑数据的完整性及数据质量,只有数据完整、数据质量好,数据分析结果才是完整而有价值的。
4.所涉及业务的社会影响度。
国家审计要充分发挥国家治理功能,就必须加大对社会、民生等具有社会影响力问题的介入。
因此,审计所选择的信息系统所涉及的业务是否社会、民生所关注的,也是我们确定审计对象的重要考虑因素。
根据上述分析,我们形成审计对象选定表:审计对象选定表评价内容评价等级权重得分所涉及审计业务在组织中的地位信息系统建设的成熟度系统数据情况所涉及业务的社会影响度表1备注:评价等级我们给予A、B、C、D、E,相应给予95分、80分、70分、60分、50分;所涉及审计业务在组织中的地位、信息系统建设的成熟度、系统数据情况、所涉及业务的社会影响度,根据审计实践情况,我们分别给予0.4、0.2、0.2、0.2的权重。
(二)审计业务流程内部控制环境。
根据国家审计准则的定义,信息系统内部控制可以分为一般控制和应用控制。
相应,信息系统业务流程内部控制环境也存在一般控制环境与应用控制环境。
1.审计一般控制环境。
信息技术一般控制是指与多个应用系统有关的政策和程序,有助于保证信息系统持续恰当地运行(包括信息的完整性和数据的安全性),支持应用控制作用的有效发挥,通常包括数据中心和网络运行控制,系统软件的购置、修改及维护控制,接触或访问权限控制,应用系统的购置、开发及维护控制。
一般控制是信息系统业务流程内部控制的重要环节。
要根据上述要求,对一般控制环境保证信息系统业务流程一般控制贯彻落实情况进行审计:(1)审计控制环境总体情况。
控制环境总体情况审计表审计事项审计方式工作底稿1.了解企业的IT 战略和规划的制定、实施情况访谈信息科技部门负责人及相关技术人员2.评价岗位分工和职责划分是否合理,是否有明确规定的流程,是否在实际作业活动中认真执行通过检查IT部门组织机构和管理流程,可以通过调阅岗位分析与描述文件,检查角色的授权、职责情况进行3.相关职位需要的技能和经验满足程度可以抽查部分人员,检查其岗位和职责、本人经验和技能与岗位的要求是否一致4.环境安全情况实地检查机房环境,关注是否通过相关部门的验收,选址是否足够安全,是否制定了火灾应急计划等,相关安全管理制度是否得到落实等表2(2)审计一般控制环境。
一般控制环境总体情况审计表审计事项审计方式工作底稿1.系统的用户满意度、对核心业务流程的覆盖程度、设备利用合理性、性能价格比了解选择开展审计的信息系统在企业总体信息化建设和ERP系统建设中的地位,建设背景,推广、上线使用情况2.关注软件系统安全性关注操作系统安全性、数据库安全性、应急计划的制订和落实情况、灾难备份恢复有效性。
可以通过发放系统环境安全性控制调查表、检查故障处理手册等予以完成。
表32.审计应用控制环境。
信息技术应用控制,是指在业务流程层次运行的人工或自动化程序,与用于生成、记录、处理、报告交易或其他财务数据的程序相关,通常包括检查数据计算准确性,审核账户和试算平衡表,设置对输入数据和数字序号的自动检查,以及对例外报告进行人工干预。