一、引言
信息系统审计(IS Audit)的概念最早出现于20世纪60年代,会计电算化的发展使得审计人员开始关注电子数据的采集、分析与处理,被人们称为EDP审计,这是信息系统审计的早期萌芽。20世纪90年代,信息系统日益复杂,如何保障信息系统的安全、可靠和有效变得越来越重要,信息系统审计开始在美、日、澳、英等国普及起来。2001年,国家审计署将注册信息系统审计师(CISA)考试引入我国,十余年来各行各业都开展了如火如荼的信息系统审计实践。准则是审计工作的基本规范,信息系统审计准则是信息系统审计师共同遵循的标准,对于促进信息系统审计行业发展具有重要意义。日本通产省 (Ministry of Economy Trade and Industry,简称METI)早在1985年就颁布了信息系统审计准则,还成立了日本系统审计师协会 (JSSA)。
美国也成立了信息系统审计与控制协会(ISACA),制定和颁布了一系列信息系统审计准则指南,并在全球
范围内应用推广。我国审计署以实务公告形式颁布了《信息系统审计指南》,中国内部审计协会也以具体准则形式颁布了信息系统审计准则,为规范我国的信息系统审计实践提供了重要参考。然而,由于信息系统审计的技术复杂性,以及我国信息化发展的阶段特征等客观原因,目前我国的信息系统审计理论与实务研究都尚处于百花争放时期,关于信息系统审计对象、范围和目标等基础概念的理解众口不一,更是缺少系统化的信息系统审计准则体系,严重制约了我国信息系统审计行业的发展。
二、信息系统审计概念内涵
信息系统审计概念,国内外尚没有统一定义。美国著名学者Ron A·Weber认为,IS审计是一个获取证据,对信息系统是否能保证资产的安全,数据的完整,以及是否有效的使用了组织资源并有效地实现了组织目标做出评价和判断的过程。该定义得到较为广泛的流传,印度审计署颁布的IT审计手册也采用了该定义。ISACA协会则认为,信息系统审计是一个搜集和评估证据过程,以确定信息系统和相关资源是否受到充分保护、是否能保障数据和系统的完整性、是否能提供相关和可靠信息、是否有效使用组织资源以实现组织目标,并建立了有效内部控制体系可以合理保障组织运营和控制目标。日本通产省(METI)在1996年修订了信息系统审计准则,指出信息系统审计是为了信息系统的安全、可靠与有效,由独立于审计对象的IT审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合检查与评价,向IT审计对象的最高领导,提出问题与建议的一连串的活动。中国内审协会颁布的《中国内部审计具体准则28号——信息系统审计》中指出,信息系统审计是指由组织内部审计机构及人员对信息系统及其相关的信息技术内部控制和流程开展的一系列综合检查、评价与报告活动。国家审计署颁布的《信息系统审计指南———计算机审计实务公告第34号》认为,信息系统审计是指国家审计机关依法对被审计单位信息系统的真实性、合法性、效益性和安全性进行检查监督的活动。
上述定义有差异,也有共同之处,本文从审计目标、审计对象和审计内容这些概念进行了对比分析。
目前学术界和业界对于信息系统审计的对象有较为统一认识,但学者们对审计目标、审计内容的理解存在较大分歧。信息系统审计是源于信息系统和审计理论的新兴交叉学科,观点分歧代表了信息系统审计的不同定位。日本的信息系统审计师考试是一种全国信息处理人员水平考试,因此日本信息系统审计强调对信息技术和软件规划开发等内容的审计,并不提及审计师的专业判断;其它观点多出自审计师视角,审计师们通常更多关注控制与风险,所以审计内容通常是一般控制和应用控制审计等;另外,审计又区分为国家审计,社会审计与内部审计,有着不同业务领域性质与要求,导致各领域对信息系统审计目标理解的多样化。
基于上述讨论,本文提出信息系统审计是审计主体遵循一定标准规范搜集与评估证据,判断信息系统及相关资产的安全性、可靠性和有效性,提出审计意见与建议,促进被审计单位信息系统实现组织目标的行为。从该定义可知,信息系统审计的对象是系统及相关资产,主要包括计算机硬件、软件、网络基础设施、数据、人和相关管理制度。信息系统审计有三大目标:安全性、可靠性和有效性。其中,系统安全性是指信息系统资源是否受到妥善保护,不因自然和人为的因素而遭到破坏、更改或者泄露系统中的信息。系统可靠性包括三个方面的内涵:硬件、软件和数据的可靠性。硬件的可靠性是指在一个指定的时间周期内,在给定的'控制条件下,硬件系统执行所需功能的成功概率。软件的可靠性是指在运行环境中,在规定的运行时间内或规定的运行次数下,程序和所有数据元素运行不同测试用例的无差错概率。数据的可靠性是指数据的真实、准确和完整,它取决于系统对数据的处理过程是否准确无误,以及确保数据可靠的控制措施是否有效。系统有效性也有三方而的内涵:一是指信息系统的处理过程是否符介国家法律和有关规章制度的要求(合规性);二是指信息系统是否能够实现既定的业务目标(效益性);三是指系统的效率性即系统利用各种资源输出用户所需要信息的及时程度和运行速度。
三、信息系统审计准则国际经验
目前,国际上影响力较大的信息系统审计准则有四个,分别是国际信息系统审计与控制协会(ISACA)、日本通产省信息系统审计标准,以及国际内部审计师协会(IIA)颁布的全球技术审计指南和美国审计总署(GAO)颁布的联邦信息系统控制审计手册。
(一)ISACA的信息系统审计准则体系1994年,电子数据审计师协会(EDPAA)更名为ISACA协会,该协会是目前最有影响力的信息系统审计专业人员的国际性组织。它在全世界许多国家举办注册信息系统审计师(CISA)考试,还制定和颁布信息系统审计准则体系来规范和指导CISA工作。ISACA的信息系统审计准则体系由ISA标准、指南和程序三部分构成。信息系统审计标准是整体准则体系的总纲,是制定指南和程序的基础。审计标准规定了审计章程、独立性、职业道德和胜任能力,以及审计工作执行的基本行为规范,是CISA执行审计业务必须遵循的标准,具有强制性。目前ISACA共颁布了16条审计标准,42项审计指南,为CISA执行审计业务中如何遵守审计标准提供指引,任何偏离指南的行为必须有充分的理由,属于“强烈推荐遵循”。审计程序是依据审计标准与审计指南制定的,为CISA提供审计业务的程序与步骤,类似一种工作范例,并不强制要求。到目前为止有效的ISA程序共有9 项。
(二)日本的信息系统审计准则日本通产省(METI)于1985年发布了信息系统审计准则,1996年进行了修订。该准则由一般标准、执行标准和报告标准三部分组成。一般标准描述了信息系统审计的目标、对象、人员和流程等。执行标准描述了信息系统审计的具体实施内容,强调系统审计师应关注信息系统规划、开发到运行全生命周期各阶段的风险。报告标准描述了信息系统审计结果的收集整理,以及根据审计结论应采取的措施。
(三)IIA的全球技术审计指南(GTAG) 国际内部审计师协会(IIA)的内部审计国际实务准则框架(IPPF)是内部审计规范体系的标杆。IIA非常重视信息系统审计,IPPF在“实务指南”层次用相当篇幅详细规范了信息系统审计的内容与方法。自从2005年发布第1号全球信息技术审计指南(GTAG)指南起至今,IIA已发布了16项信息系统审计指南,内容涉及信息系统控制、应用控制审计、制订IT审计计划、IT项目审计和信息安全治理等等。
(四 )联邦 信息系统控制审计手册 (FISCAM)2009年美国审计总署(GAO)发布了联邦信息系统控制审计手册(FISCAM),在该手册的指导下,GAO每年还安排若干审计项目对政府部门信息系统控制进行审查评估。FISCAM的IT控制包括一般控制和应用控制。其中一般控制包括:实体安全控制、访问控制、应用软件开发和变更控制、职责分离控制、应急计划;应用控制包括:应用级一般控制、输入控制、处理控制、输出控制、接口控制、数据管理系统控制。FISCAM对以上各类控制的审计程序与步骤进行了详细说明。
ISACA作为专门的信息系统审计与控制协会,建立了较为完整的信息系统审计准则体系,它采用总分式分层体系,16项审计标准是总纲,自2005年发布后基本保持稳定,而42项审计指南一半以上是新增或新修订的,不断更新的审计指南赋予了审计标准新的内涵与外延,审计程序则重在描述审计程序与步骤。日本通产省的审计准则采取一体化形式,整套准则的内容相当于ISACA的审计标准层次。
从准则具体内容上看,日本的信息系统审计师属于计算机行业,其审计标准具有明显信息技术特征,主要规范了信息系统审计目标、审计对象、审计人员资质和审计方法,尤其详细明确了信息系统规划、开发和运行全过程的关键风险点;而ISACA的审计标准更多关注信息系统审计的审计特征,主要规范审计权力责任、审计人员职业道德规范、审计计划、审计证据、审计记录、审计抽样和审计报告等内容。ISACA协会的审计指南与IIA协会的GTAG指南的操作性程度不同,前者类似我国的具体准则,GTAG指南则围绕不同的审计业务详细描述审计工作思路,审计方法、技术与工具等。
从是否强制性要求来看,ISACA协会的准则体系中既包含强制性遵循的审计标准、强烈推荐遵循的审计指南和非强制性要求的审计程序,还包含ISACA制订或编写的出版物以支持实务工作。IIA协会的GTAG指南处于IPPF框架的实务指南层次,属于强烈推荐遵循;美国审计总署GAO颁布的FISACM是非强制性要求的手册,用以指导实务工作。
四、我国信息系统审计准则现状
我国目前颁布的信息系统审计准则规范屈指可数,主要有审计署以实务公告形式颁布的信息系统审计指南,中国内审协会发布的信息系统审计具体准则。
(一)信息系统审计指南为指导和规范国家审计机关组织开展信息系统审计,2012年,审计署发布了《信息系统审计指南———计算机审计实务公告第34号》。该指南在借鉴国外信息系统审计指南的基础上,结合国家审计机关依法审计的法定职能,以及我国目前信息系统审计实践现状,提出了包含应用控制审计、一般控制审计、项目管理审计3大块的信息系统审计内容框架,重点描述了89项审计事项的审计要点。此外,审计署还在2013年出版了与该指南配套的《信息系统审计实务》,针对指南的各审计事项,分别描述了审计目标、审计程序、应取得的资料和常见错弊与定性依据等。
(二)内部审计具体准则第28号———信息系统审计为规范组织内部审计机构及人员开展信息系统审计活动,保证审计质量,中国内审协会颁布了《内部审计具体准则第28号———信息系统审计》,自2009年1月1日起开始实施。该准则对信息系统审计的一般原则、信息技术风险评估、信息系统审计内容、信息系统审计方法,审计报告和后续工作共五个方面的内容进行了规定,明确提出信息系统审计包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审计。
综合来说,我国目前尚未建立信息系统审计行业协会,审计署发布了信息系统审计指南,属于非强制性要求,更高级别的强制性要求准则尚未发布;内审协会的信息系统审计具体准则虽属于强烈推荐遵循层次,但与IIA协会相比,其信息系统审计准则和相关指南还有极大的丰富与细化空间。总体来看,我国的信息系统审计准则体系缺少系统性与结构性,尚没有建立完整的信息系统审计准则体系。目前,国家审计、社会审计和独立审计都在各自业务领域内开展了一些信息系统审计实践探索,但各界人士对信息系统审计的基本原则与规范还缺少共识,长此以往将给我国信息系统审计行业发展带来混乱。
五、结论
信息系统审计准则是信息系统审计师共同遵循的标准,对促进我国信息系统审计行业发展具有重要意义。首先,从准则制定的社会背景来看,我国的社会信息化水平与美国、日本等国家存在客观的差距,ISACA,IIA和FISCAM等准则指南均基于相对完善的内部控制(IT控制)环境,而我国政府部门、企事业单位的信息化建设正处于飞速发展时期,大部分被审单位的IT控制体系尚在建立之中,如果按照国外规范开展我国信息系统审计,过于理想化的审计意见建议很难得到认同。
第二,从准则的框架结构来说,ISACA,IIA和日本通产省的框架结构,不太符合中国人的理解习惯。ISACA采用的审计标准、指南和程序的三层框架结构,跟我国的内部审计准则体系,注册会计师鉴证业务准则和国家审计准则采用的常用结构也不一样,不太符合我国审计师的认知习惯。
第三,从准则的具体内容来看,由于我国信息系统审计方面的法律法规还非常不完善。目前只有信息系统安全方面颁布了安全保护条例和强制性标准,IT运维服务、外包、信息资源开发利用,信息公开与政务服务等方面尚缺乏充分的审计依据。审计环境决定了我国信息系统审计准则在明确信息系统审计目标、规范信息系统审计内容等方面都需要充分考虑本土国情。但是,国外ISACA,IIA,FISACM等信息系统审计准则指南历经20多年的发展,已形成相对成熟的体系,相关观点已为我国审计师熟识。而且,国家的信息系统审计准则需要在国际舞台上相互交流与合作。
因此,制定我国信息系统审计准则需要遵循的重要原则是:坚持国际化与本土化相结合,既立足本土国情又实现国际接轨。本文借鉴ISACA,IIA和FISCAM等准则指南的优秀经验,参照我国国家审计准则的体系框架,考虑信息系统审计新业务的不同特征,尝试提出如下图1所示的中国信息系统审计准则体系框架。
该框架采用了审计准则、审计指南和实务手册三层结构。审计准则是强制性要求,审计指南是强烈推荐遵循,实务手册是非强制性要求。审计准则分成基本准则和具体准则两层,基本准则可包括五块内容,分别是总则、信息系统审计道德规范、信息系统审计作业准则、信息系统审计质量控制准则和附则。审计指南包括通用指南和专业指南两类,如面向一般信息系统的通用指南,针对电子政务、电子商务和ERP系统的专业指南,或者体现行业信息系统特征(如金融、通信行业)的专业指南等等。指南的内容框架可以采用一般控制和应用控制的基本框架,但在设计具体事项,或者明确审计内容重点时,应充分考虑我国企业或政府部门的信息化发展阶段及当前法律环境。实务手册是审计指南的具体化,详细规范审计内容、审计程序、审计依据、审计技术方法和典型错弊等相关知识点。实务手册可根据审计指南来加以制定,也可以针对某类突出问题(如电子银行、IT外包等)进行特别规范。
为逐步完善我国信息系统审计准则体系,我们建议采取如下策略:首先,以审计署为主导,协调整合中国注册会计师协会、内审协会以及高校的相关专家资源,组建信息系统审计准则研究课题组和专家咨询小组,激发信息系统审计职业界的积极讨论与参与。其次,成立类似ISACA的中国信息系统审计行业协会专门机构,以信息系统审计职业化建设为主线,组织修订与持续完善信息系统审计准则体系;组织信息系统审计师职业教育,提升信息系统审计师职业素质;总结我国信息系统审计优秀经验,积极开展与国外相关协会和政府机关之间的合作与交流。最后,人才是行业持续发展的源泉,也是准则规范有效实施的载体。建议增设我国信息系统审计师职业资格考试,明确我国信息系统审计师应具备的素质、知识与技能以及任职资格,既能保障准则规范的有效实施,也为促进我国信息系统审计行业发展提供人才支撑。
参考文献:
[1]张文秀:《国外信息系统审计规范、国家文化差异与制度移植》,《审计研究》2012年第5期。
[2]石爱中、周德铭、王智玉、杨蕴毅:《信息系统审计实务———中国计算机审计实务报告》,时代经济出版社2012年版。
审计学是在审计实践的基础上产生的,经过实践检验和证明了的,是客观事物本质及其规律的正确反映。下文是我为大家搜集整理的关于审计学论文题目的内容,希望能帮到大家!审计学论文题目(一) 1. 注册会计师审计质量管理体系研究 2. 注册会计师审计风险控制研究 3. 现代企业内部审计发展趋势研究 4. 审计质量控制 5. 论关联方关系及其交易审计 6. 我国内部审计存在的问题及对策 7. 论审计重要性与审计风险 8. 论审计风险防范 9. 论我国的绩效审计 10. 萨宾纳斯――奥克斯莱法案对中国审计的影响 11. 审计质量与审计责任之间的关系 12. 经济效益审计问题 13. 内部审计与风险管理 14. 我国电算化审计及对策分析 15. 浅议我国的民间审计责任 16. 试论审计抽样 17. 论内部审计的独立性 18. 论国有资产保值增值审计 19. 论企业集团内部审计制度的构建 20. 论电子计算机在审计中的应用 21. 电算化系统审计 22. 关于会计电算化审计中的若干问题的探讨 23. 计算机审计与舞弊 24. 审计的风险与防范 25. 新会计法实施后企业内部审计制度建设 审计学论文题目(二) 1、关于经济责任审计若干问题的探讨 2、关于企业集团内部审计若干问题的探讨 3、会计报表审计风险分析及防范研究 4、会计电算化系统的现状与审计对策浅析 5、论电子商务时代的网络审计 6、论任期经济责任审计 7、民间审计法律责任问题研究 8、内部审计在企业的作用 9、企业费用成本审计 10、浅淡经济责任审计 11、浅谈经济责任审计 12、浅谈审计风险的综合控制 13、浅谈审计判断绩效及其影响因素 14、如何提高审计效率 15、审计风险的研究 16、审计风险及其控制研究 17、审计职业判断业绩评价 18、审计专业判断研究 19、我国民间审计的现状与对策的分析 20、我国上市公司会计信息低透明度的独立审计研究 审计学论文题目(三) 1. 注册会计师审计质量控制系统研究 2. 企业会计电算化审计中的问题及对策 3. 中国注册会计师审计独立性分析 4. 社会保障基金的绩效审计研究 5. 会计信息系统审计中数据的提取和转换问题研究-基于XX公司审计案例的分析 6. 我国上市公司会计信息低透明度的独立审计研究 7. 公司财务报表粉饰手段与审计策略 8. 试论加强注册会计师审计风险管理和控制的措施 9. 民间审计风险及防范 10. 审计风险成因及其防范控制的探讨 11. 烟草商业企业内部审计探析) 12. 论经济责任审计存在的问题及对策 13. 审计风险及其防范 14. 离任经济责任审计存在的问题及采取的对策 15. 探索ERP环境下内部审计工作 16. 试论电子商务环境下的审计实务 17. 审计风险的综合控制 18. 政府审计机关如何应对挑战的探讨 19. 当前财政审计制度的缺陷及策略分析 20. 我国审计体制的改革及其对策 21. 审计人员辨别财务报表的不实 22. 审计判断绩效及其影响因素 猜你喜欢: 1. 内部审计毕业论文题目 2. 会计审计论文题目 3. 会计与审计论文题目 4. 关于会计论文题目 5. 关于会计毕业论文选题 6. 财务论文题目
随着计算机技术和信息技术的发展,审计管理的信息化成为审计工作发展的趋势和目标我们知道,由此,我们便将管理信息系统深入到审计这个领域上来,借此发挥管理信息系统在审计方面的作用。比如已经成功的案例——金审工程。 金审工程的主要目标是建成对财政、银行、税务、海关等部门和重点国有企业事业单位的财务信息系统及相关电子数据进行密切跟踪,对财政收支或者财务收支的真实、合法和效益实施有效监督的信息化系统,建立起一个适应信息化的崭新审计模式——“预算跟踪 + 联网核查”。它的核心业务包括审计实施系统:审计导向系统、信息采集系统、数据分析系统、抽样统计系统、专业审计系统、审计处理系统联网审计系统:财政联网审计系统、金融联网审计系统、企业联网审计系统、其他联网审计系统(社保、国家重点建设项目单位等)业务办公系统:业务管理系统、日常办公系统、审计决策系统 信息资源系统。
中大网校回答:一、信息系统审计的定义随着全球信息化和审计理论的发展,信息系统审计逐渐引起人们的关注。但是到目前为止,国际上对信息系统审计还没有固定、统一的定义。国际信息系统审计委员会(ISACA)定义为“信息系统审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率利用组织的资源并有效果地实现组织目标地过程”,该协会的专家 Ron Weber 定义为“搜集并评价证据,以判断一个计算机系统(信息系统)是否有效的做到保护资产、维护数据完整、完成组织目标,同时最经济的使用资源”;1985年日本通产省情报处理开发协会信息系统审计委员会定义为“所谓信息系统审计是指由独立于审计对象的信息系统审计师站在客观的立场,对以计算机为核心的信息系统进行综合的检查、评价,向有关人员提出问题与劝告,追求系统的有效利用和故障排除,使系统更加健全”,11年后的1996年,该委员会对信息系统审计重新定义为“为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向信息系统审计对象的最高领导层,提出问题与建议的一连串的活动”。所以信息系统审计所关注的内容不单纯是对电子数据的处理,更不仅仅是财务信息,而是对企业整个信息系统的可靠性、安全性进行了解和评价,是一项通过审查与评价信息系统的规划、开发、实施、运行和维护等一系列活动,以确定信息系统运行是否安全、可靠、有效,信息系统得出的数据是否可靠准确以及数据是否能有效的存储的过程。实施信息系统审计(ISA)的人员称为信息系统审计师(IS Auditor),我国国内称为IT审计师。国际信息系统审计与控制协会(ISACA)是国际上唯一可授权信息系统审计师的权威机构,通过考试可获得注册信息系统审计师(CISA)证书,该证书被世界各国广泛认可。二、信息系统审计的内容和特点国际信息系统审计协会(ISACA)规定了信息系统审计主要内容:1.信息系统审计程序。依据信息系统审计标准、准则和最佳实务等提供信息系统审计服务,以帮助组织确保其信息技术和运营系统得到保护并受控;2. IT治理(信息技术治理)。确保组织拥有适当的结构、政策、工作职责、运营管理机制和监督实务,以达到公司治理中对IT 方面的要求;3.系统和基础建设生命周期管理。系统的开发、采购、测试、实施(交付)、维护和(配置)使用,与基础框架,确保实现组织的目标;4. IT 服务的交付与支持。IT 服务管理实务可确保提供所要求的等级、类别的服务,来满足组织的目标;5. 信息资产的保护。通过适当的安全体系(如,安全政策、标准和控制),保证信息资产的机密性、完整性和有效性;6. 灾难恢复和业务连续性计划。一旦连续的业务被(意外)中断(或破环),灾难恢复计划确保(灾难)对业务影响最小化的同时,及时恢复(中断的)IT 服务。从信息系统审计的上述定义和内容,大致归纳出信息系统审计的几个特征:一是独立性,为了确保信息系统审计的公正性与有效性,信息系统审计师必须以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价;二是综合性,信息系统审计不仅包括审计信息系统运行的有形设施,还包括运行环境以及内部控制;三是管理特征,信息系统审计通过对信息系统安全、可靠与有效性的评价,促使企业有效率的利用组织的资源并有效果地实现组织的目标。三、信息系统审计与传统审计之间的区别与联系信息系统审计是传统审计的一部分,是以传统审计理论为理论基础的,两者之间有紧密的联系,也存在一定的区别。两者的联系是:信息系统审计继承了传统审计的基本理论与方法,与传统的审计一样。在立场上,要求信息系统审计师站在独立的立场上,通过选择特定的审计对象,采用询问、检查、分析、模拟、测试等方法获得客观的审计证据,来判断其与既定标准的符合程度。在程序上,信息系统审计一般也要经过审计计划、符合性测试与实质性测试、审计报告等主要阶段来进行审计工作,实现审计目标;两者的区别也比较明显,主要表现在:首先,信息系统的审计对象不同于传统审计的财务领域,而是信息系统,包括基础设施,软硬件管理,信息安全,网络管理合通信等;其次,信息系统审计提出了更多的审计法与审计程序,这都是传统审计所不具备的,比如对某软件进行审计时,要采用技术含量相当高的测试,对网络安全审计时要采用穿透性测试(模拟成黑客进行各种攻击以验证其安全性);第三,信息系统审计不光是事后审计,主要关注系统的运行现状,在某种情况下,直接参与项目的开发或变更过程,以保证足够的控制得以顺利实施;最后,信息系统审计的咨询价值显得更高,信息化的风险很高,信息系统审计师可凭借其专门知识和实践经验,受托或主动服务于被审计单位的管理者或其业务人员,在企业信息化过程中,帮助企业建立健全内部控制制度,进行系统诊断,根据企业需求,确定信息化的目标和内容,选择合适的信息系统。四、尽快建立起符合我国实际的信息系统审计体系我国在信息系统审计方面还没有形成一整套体系。但是近年来,在借鉴国外有关信息系统审计经验的基础上,审计署在利用计算机信息系统开展审计工作中已经取得了一定的成果:(一)全面开展对电子数据的审计,包括会计电子数据和业务管理电子数据。采取的具体方法是:1.精确复核。运用计算机,对各种数据进行精确复核,既可以对全辖并表机构的会计报表与汇总报表进行全面复核,又可以从会计流水账逐级核对至总账,还可以将业务管理数据与会计报表数据进行复核;2.编制计算机程序进行辅助计算。可以编制计算机程序对有比例关系的项目进行计算,然后与实际记录进行比较,找出产生差异的记录;3.对一些异常会计记录和交易进行筛选和查询,为审计人员提供审计线索,主要是根据某一特征进行筛选分析,从不同角度分析可疑问题线索。(二)对被审计单位的信息系统的可靠性和内部控制进行初步的评价。主要是:1. 主要调查信息系统的使用范围,网络安全和数据的备份等情况,以保证信息系统财务数据的安全、完整;2.对信息系统的内部控制情况进行初步的调查和评价,重点是权限管理、参数表的设置和修改控制等是否有效,信息系统的使用者和系统的开发者是否分离,被审计单位对交易录入的原始数据是否实施相应的控制,信息系统的数据流和业务流程是否吻合;3.通过系统日志等文件分析一些重大事件的原因,分析对整体信息系统的影响。但是我国在全面开展信息系统审计方面还处在探索阶段,为了能够为被审计单位提出更有价值的审计建议,更好地服务欲被审计单位,保证信息系统能有效地实现企业(单位)的目标,在我国也要尽快建立起符合我国实际的信息系统审计体系。
有题目,然后把提纲列出来,到学校的图书馆或者网上查阅相关资料,还要找几本有关的书读,这个要用到的,然后就可以写了。如果提纲不好写,就先写论文,再列提纲,呵呵。我也正在写论文,给你参考参考。
一、引言
信息系统审计(IS Audit)的概念最早出现于20世纪60年代,会计电算化的发展使得审计人员开始关注电子数据的采集、分析与处理,被人们称为EDP审计,这是信息系统审计的早期萌芽。20世纪90年代,信息系统日益复杂,如何保障信息系统的安全、可靠和有效变得越来越重要,信息系统审计开始在美、日、澳、英等国普及起来。2001年,国家审计署将注册信息系统审计师(CISA)考试引入我国,十余年来各行各业都开展了如火如荼的信息系统审计实践。准则是审计工作的基本规范,信息系统审计准则是信息系统审计师共同遵循的标准,对于促进信息系统审计行业发展具有重要意义。日本通产省 (Ministry of Economy Trade and Industry,简称METI)早在1985年就颁布了信息系统审计准则,还成立了日本系统审计师协会 (JSSA)。
美国也成立了信息系统审计与控制协会(ISACA),制定和颁布了一系列信息系统审计准则指南,并在全球
范围内应用推广。我国审计署以实务公告形式颁布了《信息系统审计指南》,中国内部审计协会也以具体准则形式颁布了信息系统审计准则,为规范我国的信息系统审计实践提供了重要参考。然而,由于信息系统审计的技术复杂性,以及我国信息化发展的阶段特征等客观原因,目前我国的信息系统审计理论与实务研究都尚处于百花争放时期,关于信息系统审计对象、范围和目标等基础概念的理解众口不一,更是缺少系统化的信息系统审计准则体系,严重制约了我国信息系统审计行业的发展。
二、信息系统审计概念内涵
信息系统审计概念,国内外尚没有统一定义。美国著名学者Ron A·Weber认为,IS审计是一个获取证据,对信息系统是否能保证资产的安全,数据的完整,以及是否有效的使用了组织资源并有效地实现了组织目标做出评价和判断的过程。该定义得到较为广泛的流传,印度审计署颁布的IT审计手册也采用了该定义。ISACA协会则认为,信息系统审计是一个搜集和评估证据过程,以确定信息系统和相关资源是否受到充分保护、是否能保障数据和系统的完整性、是否能提供相关和可靠信息、是否有效使用组织资源以实现组织目标,并建立了有效内部控制体系可以合理保障组织运营和控制目标。日本通产省(METI)在1996年修订了信息系统审计准则,指出信息系统审计是为了信息系统的安全、可靠与有效,由独立于审计对象的IT审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合检查与评价,向IT审计对象的最高领导,提出问题与建议的一连串的活动。中国内审协会颁布的《中国内部审计具体准则28号——信息系统审计》中指出,信息系统审计是指由组织内部审计机构及人员对信息系统及其相关的信息技术内部控制和流程开展的一系列综合检查、评价与报告活动。国家审计署颁布的《信息系统审计指南———计算机审计实务公告第34号》认为,信息系统审计是指国家审计机关依法对被审计单位信息系统的真实性、合法性、效益性和安全性进行检查监督的活动。
上述定义有差异,也有共同之处,本文从审计目标、审计对象和审计内容这些概念进行了对比分析。
目前学术界和业界对于信息系统审计的对象有较为统一认识,但学者们对审计目标、审计内容的理解存在较大分歧。信息系统审计是源于信息系统和审计理论的新兴交叉学科,观点分歧代表了信息系统审计的不同定位。日本的信息系统审计师考试是一种全国信息处理人员水平考试,因此日本信息系统审计强调对信息技术和软件规划开发等内容的审计,并不提及审计师的专业判断;其它观点多出自审计师视角,审计师们通常更多关注控制与风险,所以审计内容通常是一般控制和应用控制审计等;另外,审计又区分为国家审计,社会审计与内部审计,有着不同业务领域性质与要求,导致各领域对信息系统审计目标理解的多样化。
基于上述讨论,本文提出信息系统审计是审计主体遵循一定标准规范搜集与评估证据,判断信息系统及相关资产的安全性、可靠性和有效性,提出审计意见与建议,促进被审计单位信息系统实现组织目标的行为。从该定义可知,信息系统审计的对象是系统及相关资产,主要包括计算机硬件、软件、网络基础设施、数据、人和相关管理制度。信息系统审计有三大目标:安全性、可靠性和有效性。其中,系统安全性是指信息系统资源是否受到妥善保护,不因自然和人为的因素而遭到破坏、更改或者泄露系统中的信息。系统可靠性包括三个方面的内涵:硬件、软件和数据的可靠性。硬件的可靠性是指在一个指定的时间周期内,在给定的'控制条件下,硬件系统执行所需功能的成功概率。软件的可靠性是指在运行环境中,在规定的运行时间内或规定的运行次数下,程序和所有数据元素运行不同测试用例的无差错概率。数据的可靠性是指数据的真实、准确和完整,它取决于系统对数据的处理过程是否准确无误,以及确保数据可靠的控制措施是否有效。系统有效性也有三方而的内涵:一是指信息系统的处理过程是否符介国家法律和有关规章制度的要求(合规性);二是指信息系统是否能够实现既定的业务目标(效益性);三是指系统的效率性即系统利用各种资源输出用户所需要信息的及时程度和运行速度。
三、信息系统审计准则国际经验
目前,国际上影响力较大的信息系统审计准则有四个,分别是国际信息系统审计与控制协会(ISACA)、日本通产省信息系统审计标准,以及国际内部审计师协会(IIA)颁布的全球技术审计指南和美国审计总署(GAO)颁布的联邦信息系统控制审计手册。
(一)ISACA的信息系统审计准则体系1994年,电子数据审计师协会(EDPAA)更名为ISACA协会,该协会是目前最有影响力的信息系统审计专业人员的国际性组织。它在全世界许多国家举办注册信息系统审计师(CISA)考试,还制定和颁布信息系统审计准则体系来规范和指导CISA工作。ISACA的信息系统审计准则体系由ISA标准、指南和程序三部分构成。信息系统审计标准是整体准则体系的总纲,是制定指南和程序的基础。审计标准规定了审计章程、独立性、职业道德和胜任能力,以及审计工作执行的基本行为规范,是CISA执行审计业务必须遵循的标准,具有强制性。目前ISACA共颁布了16条审计标准,42项审计指南,为CISA执行审计业务中如何遵守审计标准提供指引,任何偏离指南的行为必须有充分的理由,属于“强烈推荐遵循”。审计程序是依据审计标准与审计指南制定的,为CISA提供审计业务的程序与步骤,类似一种工作范例,并不强制要求。到目前为止有效的ISA程序共有9 项。
(二)日本的信息系统审计准则日本通产省(METI)于1985年发布了信息系统审计准则,1996年进行了修订。该准则由一般标准、执行标准和报告标准三部分组成。一般标准描述了信息系统审计的目标、对象、人员和流程等。执行标准描述了信息系统审计的具体实施内容,强调系统审计师应关注信息系统规划、开发到运行全生命周期各阶段的风险。报告标准描述了信息系统审计结果的收集整理,以及根据审计结论应采取的措施。
(三)IIA的全球技术审计指南(GTAG) 国际内部审计师协会(IIA)的内部审计国际实务准则框架(IPPF)是内部审计规范体系的标杆。IIA非常重视信息系统审计,IPPF在“实务指南”层次用相当篇幅详细规范了信息系统审计的内容与方法。自从2005年发布第1号全球信息技术审计指南(GTAG)指南起至今,IIA已发布了16项信息系统审计指南,内容涉及信息系统控制、应用控制审计、制订IT审计计划、IT项目审计和信息安全治理等等。
(四 )联邦 信息系统控制审计手册 (FISCAM)2009年美国审计总署(GAO)发布了联邦信息系统控制审计手册(FISCAM),在该手册的指导下,GAO每年还安排若干审计项目对政府部门信息系统控制进行审查评估。FISCAM的IT控制包括一般控制和应用控制。其中一般控制包括:实体安全控制、访问控制、应用软件开发和变更控制、职责分离控制、应急计划;应用控制包括:应用级一般控制、输入控制、处理控制、输出控制、接口控制、数据管理系统控制。FISCAM对以上各类控制的审计程序与步骤进行了详细说明。
ISACA作为专门的信息系统审计与控制协会,建立了较为完整的信息系统审计准则体系,它采用总分式分层体系,16项审计标准是总纲,自2005年发布后基本保持稳定,而42项审计指南一半以上是新增或新修订的,不断更新的审计指南赋予了审计标准新的内涵与外延,审计程序则重在描述审计程序与步骤。日本通产省的审计准则采取一体化形式,整套准则的内容相当于ISACA的审计标准层次。
从准则具体内容上看,日本的信息系统审计师属于计算机行业,其审计标准具有明显信息技术特征,主要规范了信息系统审计目标、审计对象、审计人员资质和审计方法,尤其详细明确了信息系统规划、开发和运行全过程的关键风险点;而ISACA的审计标准更多关注信息系统审计的审计特征,主要规范审计权力责任、审计人员职业道德规范、审计计划、审计证据、审计记录、审计抽样和审计报告等内容。ISACA协会的审计指南与IIA协会的GTAG指南的操作性程度不同,前者类似我国的具体准则,GTAG指南则围绕不同的审计业务详细描述审计工作思路,审计方法、技术与工具等。
从是否强制性要求来看,ISACA协会的准则体系中既包含强制性遵循的审计标准、强烈推荐遵循的审计指南和非强制性要求的审计程序,还包含ISACA制订或编写的出版物以支持实务工作。IIA协会的GTAG指南处于IPPF框架的实务指南层次,属于强烈推荐遵循;美国审计总署GAO颁布的FISACM是非强制性要求的手册,用以指导实务工作。
四、我国信息系统审计准则现状
我国目前颁布的信息系统审计准则规范屈指可数,主要有审计署以实务公告形式颁布的信息系统审计指南,中国内审协会发布的信息系统审计具体准则。
(一)信息系统审计指南为指导和规范国家审计机关组织开展信息系统审计,2012年,审计署发布了《信息系统审计指南———计算机审计实务公告第34号》。该指南在借鉴国外信息系统审计指南的基础上,结合国家审计机关依法审计的法定职能,以及我国目前信息系统审计实践现状,提出了包含应用控制审计、一般控制审计、项目管理审计3大块的信息系统审计内容框架,重点描述了89项审计事项的审计要点。此外,审计署还在2013年出版了与该指南配套的《信息系统审计实务》,针对指南的各审计事项,分别描述了审计目标、审计程序、应取得的资料和常见错弊与定性依据等。
(二)内部审计具体准则第28号———信息系统审计为规范组织内部审计机构及人员开展信息系统审计活动,保证审计质量,中国内审协会颁布了《内部审计具体准则第28号———信息系统审计》,自2009年1月1日起开始实施。该准则对信息系统审计的一般原则、信息技术风险评估、信息系统审计内容、信息系统审计方法,审计报告和后续工作共五个方面的内容进行了规定,明确提出信息系统审计包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审计。
综合来说,我国目前尚未建立信息系统审计行业协会,审计署发布了信息系统审计指南,属于非强制性要求,更高级别的强制性要求准则尚未发布;内审协会的信息系统审计具体准则虽属于强烈推荐遵循层次,但与IIA协会相比,其信息系统审计准则和相关指南还有极大的丰富与细化空间。总体来看,我国的信息系统审计准则体系缺少系统性与结构性,尚没有建立完整的信息系统审计准则体系。目前,国家审计、社会审计和独立审计都在各自业务领域内开展了一些信息系统审计实践探索,但各界人士对信息系统审计的基本原则与规范还缺少共识,长此以往将给我国信息系统审计行业发展带来混乱。
五、结论
信息系统审计准则是信息系统审计师共同遵循的标准,对促进我国信息系统审计行业发展具有重要意义。首先,从准则制定的社会背景来看,我国的社会信息化水平与美国、日本等国家存在客观的差距,ISACA,IIA和FISCAM等准则指南均基于相对完善的内部控制(IT控制)环境,而我国政府部门、企事业单位的信息化建设正处于飞速发展时期,大部分被审单位的IT控制体系尚在建立之中,如果按照国外规范开展我国信息系统审计,过于理想化的审计意见建议很难得到认同。
第二,从准则的框架结构来说,ISACA,IIA和日本通产省的框架结构,不太符合中国人的理解习惯。ISACA采用的审计标准、指南和程序的三层框架结构,跟我国的内部审计准则体系,注册会计师鉴证业务准则和国家审计准则采用的常用结构也不一样,不太符合我国审计师的认知习惯。
第三,从准则的具体内容来看,由于我国信息系统审计方面的法律法规还非常不完善。目前只有信息系统安全方面颁布了安全保护条例和强制性标准,IT运维服务、外包、信息资源开发利用,信息公开与政务服务等方面尚缺乏充分的审计依据。审计环境决定了我国信息系统审计准则在明确信息系统审计目标、规范信息系统审计内容等方面都需要充分考虑本土国情。但是,国外ISACA,IIA,FISACM等信息系统审计准则指南历经20多年的发展,已形成相对成熟的体系,相关观点已为我国审计师熟识。而且,国家的信息系统审计准则需要在国际舞台上相互交流与合作。
因此,制定我国信息系统审计准则需要遵循的重要原则是:坚持国际化与本土化相结合,既立足本土国情又实现国际接轨。本文借鉴ISACA,IIA和FISCAM等准则指南的优秀经验,参照我国国家审计准则的体系框架,考虑信息系统审计新业务的不同特征,尝试提出如下图1所示的中国信息系统审计准则体系框架。
该框架采用了审计准则、审计指南和实务手册三层结构。审计准则是强制性要求,审计指南是强烈推荐遵循,实务手册是非强制性要求。审计准则分成基本准则和具体准则两层,基本准则可包括五块内容,分别是总则、信息系统审计道德规范、信息系统审计作业准则、信息系统审计质量控制准则和附则。审计指南包括通用指南和专业指南两类,如面向一般信息系统的通用指南,针对电子政务、电子商务和ERP系统的专业指南,或者体现行业信息系统特征(如金融、通信行业)的专业指南等等。指南的内容框架可以采用一般控制和应用控制的基本框架,但在设计具体事项,或者明确审计内容重点时,应充分考虑我国企业或政府部门的信息化发展阶段及当前法律环境。实务手册是审计指南的具体化,详细规范审计内容、审计程序、审计依据、审计技术方法和典型错弊等相关知识点。实务手册可根据审计指南来加以制定,也可以针对某类突出问题(如电子银行、IT外包等)进行特别规范。
为逐步完善我国信息系统审计准则体系,我们建议采取如下策略:首先,以审计署为主导,协调整合中国注册会计师协会、内审协会以及高校的相关专家资源,组建信息系统审计准则研究课题组和专家咨询小组,激发信息系统审计职业界的积极讨论与参与。其次,成立类似ISACA的中国信息系统审计行业协会专门机构,以信息系统审计职业化建设为主线,组织修订与持续完善信息系统审计准则体系;组织信息系统审计师职业教育,提升信息系统审计师职业素质;总结我国信息系统审计优秀经验,积极开展与国外相关协会和政府机关之间的合作与交流。最后,人才是行业持续发展的源泉,也是准则规范有效实施的载体。建议增设我国信息系统审计师职业资格考试,明确我国信息系统审计师应具备的素质、知识与技能以及任职资格,既能保障准则规范的有效实施,也为促进我国信息系统审计行业发展提供人才支撑。
参考文献:
[1]张文秀:《国外信息系统审计规范、国家文化差异与制度移植》,《审计研究》2012年第5期。
[2]石爱中、周德铭、王智玉、杨蕴毅:《信息系统审计实务———中国计算机审计实务报告》,时代经济出版社2012年版。
审计学是在审计实践的基础上产生的,经过实践检验和证明了的,是客观事物本质及其规律的正确反映。下文是我为大家搜集整理的关于审计学论文题目的内容,希望能帮到大家!审计学论文题目(一) 1. 注册会计师审计质量管理体系研究 2. 注册会计师审计风险控制研究 3. 现代企业内部审计发展趋势研究 4. 审计质量控制 5. 论关联方关系及其交易审计 6. 我国内部审计存在的问题及对策 7. 论审计重要性与审计风险 8. 论审计风险防范 9. 论我国的绩效审计 10. 萨宾纳斯――奥克斯莱法案对中国审计的影响 11. 审计质量与审计责任之间的关系 12. 经济效益审计问题 13. 内部审计与风险管理 14. 我国电算化审计及对策分析 15. 浅议我国的民间审计责任 16. 试论审计抽样 17. 论内部审计的独立性 18. 论国有资产保值增值审计 19. 论企业集团内部审计制度的构建 20. 论电子计算机在审计中的应用 21. 电算化系统审计 22. 关于会计电算化审计中的若干问题的探讨 23. 计算机审计与舞弊 24. 审计的风险与防范 25. 新会计法实施后企业内部审计制度建设 审计学论文题目(二) 1、关于经济责任审计若干问题的探讨 2、关于企业集团内部审计若干问题的探讨 3、会计报表审计风险分析及防范研究 4、会计电算化系统的现状与审计对策浅析 5、论电子商务时代的网络审计 6、论任期经济责任审计 7、民间审计法律责任问题研究 8、内部审计在企业的作用 9、企业费用成本审计 10、浅淡经济责任审计 11、浅谈经济责任审计 12、浅谈审计风险的综合控制 13、浅谈审计判断绩效及其影响因素 14、如何提高审计效率 15、审计风险的研究 16、审计风险及其控制研究 17、审计职业判断业绩评价 18、审计专业判断研究 19、我国民间审计的现状与对策的分析 20、我国上市公司会计信息低透明度的独立审计研究 审计学论文题目(三) 1. 注册会计师审计质量控制系统研究 2. 企业会计电算化审计中的问题及对策 3. 中国注册会计师审计独立性分析 4. 社会保障基金的绩效审计研究 5. 会计信息系统审计中数据的提取和转换问题研究-基于XX公司审计案例的分析 6. 我国上市公司会计信息低透明度的独立审计研究 7. 公司财务报表粉饰手段与审计策略 8. 试论加强注册会计师审计风险管理和控制的措施 9. 民间审计风险及防范 10. 审计风险成因及其防范控制的探讨 11. 烟草商业企业内部审计探析) 12. 论经济责任审计存在的问题及对策 13. 审计风险及其防范 14. 离任经济责任审计存在的问题及采取的对策 15. 探索ERP环境下内部审计工作 16. 试论电子商务环境下的审计实务 17. 审计风险的综合控制 18. 政府审计机关如何应对挑战的探讨 19. 当前财政审计制度的缺陷及策略分析 20. 我国审计体制的改革及其对策 21. 审计人员辨别财务报表的不实 22. 审计判断绩效及其影响因素 猜你喜欢: 1. 内部审计毕业论文题目 2. 会计审计论文题目 3. 会计与审计论文题目 4. 关于会计论文题目 5. 关于会计毕业论文选题 6. 财务论文题目
【摘要】本文在公司治理和公司管理整合的框架中,全面论述了会计的地位和作用:会计信息系统一方面是联系公司治理系统和公司管理系统的纽带,是治理系统和管理系统得以正常运转的基础;另一方面,会计信息系统的完善及其作用的发挥亦离不开企业内部科学、严密的组织管理和公司治理结构对其的引导和控制。三者之间形戚一互相影响,互相制约的关系。因此,会计改革不能局限于就会讨论会计,而是应站在管理的高度,通过健全公司治理结构和加强企业内部管理来使会计改革取得事半功倍的效果,以最终形成公司治理系统、公司管理系统和会计信息系统良性循环的局面。 【关键词】公司治理系统 公司管理系统 会计信息系统 一、引言: 纵观会计发展历史,会计已经从简单地记录事项并向所有者报告管理者经营业绩的阶段演变到向组织内部和外部的利益相关者提供决策有用信息。会计的目标相应地也从报告解除受托责任拓展到优化配置资源。但是,从我国会计信息质量现状来看,会计在很大程度上不仅没有起到优化资源配置的作用,甚至有时还误导了资源的流向,使投资者的利益受到了损害。会计信息质量不高,与会计人员素质。会计法规和准则等方面均有关系,这方面的研究已有诸多成果。本文试图另辟蹊径,立足公司治理、企业管理、会计信息系统的共生关系,从理论层面揭示会计信息质量是怎样受制于环境并积极地影响这些环境。作者的观点是,会计作为企业管理系统的一部分,它同公司的管理结构和治理结构是密不可分的。在一个管理有序、治理完善的企业中,会计必然运作良好,它为企业内部、外部决策者提供可靠、相关的会计信息。从经验来看,那些提供虚假会计信息的企业一般都在企业管理上比较薄弱,缺乏有效的公司治理结构。笔者进而认为会计信息失真的深层次原因是在于我国许多企业缺乏完善、健全的公司管理系统和有效的公司治理系统。会计职责的履行和作用的发挥离不开企业管理和治理结构,只有将会计置于公司管理和治理系统中加以考虑,才能理解会计在经济生活中的角色和地位,才能找出现实中所存在问题的症结,寻求对症之药。 二、公司治理和公司管理的整合分析摸型 目前,有关公司治理和公司管理的研究存在着两种倾向,即公司治理研究只考虑狭义的公司治理范围,其中主要研究内部监控机制和激励约束机制,而公司管理研究中,又只注意企业外部环境、公司文化、管理风格的影响,而很少把公司管理系统与公司治理系统结合起来综合研究。 其实,公司治理与管理是存在紧密关系的两个方面,按柯克兰和瓦提克(Cochran and Wartick)的研究结论:公司治理与公司管理之间潜在冲突是构成公司治理问题的内容之一,因此公司治理的目标就包括协调公司的治理和公司的管理。[1]治理与管理的区别依赖于经济学上定义股东与管理者关系的企业理论模型:股东拥有企业仅不参与经营管理,股东通过选举董事会作为他们在公司决策中的代理人来监督经营者的行为。据此,公司治理被看成与公司的内在性质、目的和整体形象有关,与该实体的重要性、持久性和诚信责任等内容有关,而公司管理则更多地与具体经营活动有关。可以认为,治理与管理的差别在于:(1)治理的中心是外部的,而管理的中心是内部的;(2)治理是一个计放系统;管理是一个封闭系统;(3)治理是战略导向的,管理是任务导向的。简言之,公司治理关心的是“公司向何处去”的问题,而公司管理关心的是“怎样使公司达到上述目标”的问题。同时,企业治理和管理又是密不可分的。公司治理和管理都可能直接对公司管理运作过程产生影响,但在通常情况下,公司治理系统主要是通过影响公司管理系统来达到间接影响公司管理运作的目的和提高公司的管理效率与管理效益的。在实践中,通常认为专司公司治理的董事会在很大程度上参与了企业管理。特别是在英美等国家的治理结构中,董事长往往又是公司的首席执行官(CEO),许多高层经理又是董事会成员。鉴于公司治理与公司管理这种交叉关系,国外有学者指出应该将公司治理与公司管理综合起来加以研究,并提出了一个描述性模型。我国有学者借鉴其思路,构造了一个公司治理与公司管理的整合分析模型[2]。 公司治理系统由内部监控机制和外部监控机制组成。我国公司法确定阶“三会四权”制衡机制就是典型的内部监督机制。外部监控机制是指一股股东、资本市场、经理市场、产品市场、社会舆论和国家法律法规等外部力量对企业管理行为的监督。 公司管理系统在这里被描述成由三个部分组成:一是企业战略目标与决策系统;二是企业组织结构与组织管理系统;三是企业文化与价值系统。按照著名的麦肯齐企业管理系统的7—S框架(因素包括结构、战略、体制与程序、人员与班子、技能、作风。共同价值)来分析,上述第一和第二部分主要是硬件要素,第三部分主要是软件要素。从控制角度看,在公司管理系统中,决策体制、管理组织体制、管理规程与制度以及会计、审计系统等构成了公司管理的自我调控机制,对企业管理行为形成了内在的和制度化的约束。 模型中还有两个相关的系统。一是企业外部环境系统,这包括政治、经济、社会文化、顾客、供应商。竞争对手、资本市场等因素,它们既影响公司治理系统,又影响公司管理系统,还构成公司治理系统的一部分。二是公司信息网络。它应是公司治理系统和管理系统的共同组成部分和赖以有效运作的基础。强调这一点,对于我国企业现阶段在企业建立有效的治理机制是至关重要的,因为我国很多股份企业治理结构发挥不了作用,除了制度上的缺陷,本身能力差之外,再就是缺少支持有效决策和有效行动的信息。而这些信息常常是企业管理的自我调控系统,特别是会计和审计系统提供的。 三.会计信息系统与公司治理和管理系统 当现代经济已客观地表现为实体经济、货币经济和数字经济的三重世界时,现代企业中的管理信息网络很大程度上就是以数字形式表现出来的会计信息系统[3]。会计是企业管理活动的一部分,它产生于企业管理系统中,以管理当局的名义向外披露会计信息,并对其可靠性、真实性负责。会计亦是公司治理结构中不可或缺的组成部分,公司内、外部利益相关者只有根据会计信息了解并监督企业管理活动,进而作出相关决策。会计信息系统和公司治理和管理系统的关系具体分析如下: (一) 会计信息系统与公司治理系统 公司治理系统由内部监控机制和外部监控机制组成。内部监控机制是主要股东①、董事会、监事会对企业经营者进行监控的机制。在一定情况下内部监控机制是公司治理的主体。它一方面利用企业管理当局披露的会计信息对企业管理者进行约束和激励。另一方面因为内部监控机制的特殊地位,它有义务保证企业的会计系统和审计系统向股东会、董事会、监事会及外界披露提供系统、及时、准确的会计信息。美国公司董事协会在描述董事会职责范围时就认为董事会在检查和监督企业内部管理控制工作方面的作用包括:“辨别董事会对信息的需求,并安排这些信息的及时提供;每年对流向董事的信息进行评价,以确保这些信息的准确性。完整性和合理性。”[4] 外部监控机制包括资本市场、产品市场和经理市场等外部力量对企业管理行为的监督。资本市场起着为通资金提供者和企业间的信息,在企业间配置资源的作用。资本市场上的决策者主要是中小股东和债权人,由于他们不直接监督经营者,因此要求公司向他们提供详细、可靠的财务数据,要求证券市场管理者制定公平交易规则,来规范会计信息的供给。而资本市场发挥作用的前提是企业积极地披露保留的信息,市场又能将企业披露的信息及时地反映出来实现对企业的正确评价。产品市场对企业的监控是通过企业与供应商和顾客之间的“纵向竞争”来实现的。现代企业间既存在竞争又有相互协调。竞争性是产品市场发挥作用的前提。而社会化大生产又要求企业间相互协调合作,保持一种长期稳定的交易关系。在交易过程中,合作双方提出的条件常常会直接影响另一方企业的经营方针和管理方式的具体内容,因此双方都需要全面收集对方的经营状况信息,以决定合作的内容和方式。而这种所需要的经营状况信息很大一部分是来自于企业向外披露的会计信息。在有效的经理市场上,企业经理是一种特殊的人力资本,其价值取决于市场评价,市场评价的标准除了知识、经验以及城信度之外,还有一个关键因素就是经理任期内的经营绩效。经营绩效又主要是通过企业反映财务状况、经营成果、现金流动状况的财务会计信息表现出来的。如果经营绩效良好,经理人员不仅可以获得优厚的回报,其在经理市场的价值也会大大上升,如果经理出现经营劣迹,其价值会一落千丈,最终会影响其职业生涯。综上所述,现代财务会计制度的建立与完善,完全可以看作是会计对现代企业冶钢结构的逐步健全完善而作出的一种积极响应。而有效的审计监督制度,又确保了这种相辅相成关系的正常秩序并发挥积极作用。 (二)会计信息系统与公司管理系统 从以上分析中可以看出,公司治理系统中内外监控机制的有效运作和作用发挥,主要取决于公司的会计信息系统。如果没有可靠、相关的会计信息支撑,董事会、监事会及外部监控机制的任何决策都可能盲目无效。为此,有必要在企业管理层面上,将产生并保证真实可靠的会计信息的系统称之为公司管理系统的自我调控机制。它从企业有效管理的角度在财务上对内部管理进行控制,主要强调管理行为与法规制度的一致性以及可靠财务信息的畅通。公司治理系统的重要功能之一就是确保公司内部存在一个有效运作的自我调控机制,这是达到公司目标的必要保障。 什么是公司管理的自我调控机制呢?美国管理会计协会(CIMA)的定义是:它是这样一个整体系统,由管理者建立的,旨在以一种有序的和有效的方式进行公司的业务,确保其与管理政策和规章的一致,保护资产、尽量确保记录的完整性和正确性[5]。因此公司管理的自我调控机制主要是指企业的会计系统和内部审计系统。完全可以认为,现代管理会计内部审计制度的确立并发挥日益显著的作用,是现代会计适应现代企业管理发展而作出的应对措施。实际上,公司管理系统中的一些硬件要素也构成了一定的约束控制作用。这些硬件包括(1)决策控制机制;(2)管理组织体制;(3)管理制度。它们与内部会计、审计系统一起构成了公司管理的自我调控机制。
信息系统审计与传统审计的区别
科技的迅猛开展曾经给整个社会的经济管理活动形成了宏大影响。信息系统审计是在原来传统审计的财务审计和管理审计根底上,由于科学技术向经济管理范畴的浸透而产生的。但是,到目前为止,信息系统审计在实质上并不是独立于财务审计和管理审计的第三大审计分支,而是其中的一类审计形态,其缘由在于网络环境的复杂性、实践操作的复杂性、与传统审计的交融水平等要素都限制着信息系统审计的开展,本文旨经过比拟,将两者有机分离,从而进步信息系统审计质量,拓展信息系统审计技术办法在企业审计中应用的深度和广度,促进企业在审计上的革新。
一、 信息系统审计与传统审计在重大方面上是一致的
(一) 信息系统审计体系与传统审计体系构造根本一致
传统审计体系在逻辑构造上具有较强的紧密性,“根本原则―详细原则―实务指南”是由笼统到详细的逻辑规则,这是会计原则、注册会计师鉴证业务原则等专业规范标准的常用构造,这使审计后续的详细工作便于寻觅相应的原则条款,为审计工作提供便利之处。信息系统审计所表述的“规范―指南―程序”原则框架在字面上与传统审计体系没有太大差异。其规范反响了信息系统范畴的纲要性问题,指南是规范的详细化,程序则是一些工作标准,这与传统审计体系的三个层次是逐个对应的。
(二)信息系统审计与传统审计在根本概念及程序上大致一致
“独立性与客观性”、“权威性与公正性”等传统审计的根本概念在信息系统审计中得到了很好的表现。另外,信息系统审计独立于信息系统自身、信息系统相关开发、运用人员,由信息系统审计师根据法律规则,采用客观规范独立行使审计监视权,这与审计的“独立性与客观性”完整相同。同时,国际信息系统审计和控制协会(ISACA)对实行审计制度、树立审计机关以及审计机构的位置和权利都做了明白规则,这样使审计组织具有法律的权威性,其与公正性相辅相成。
二、 信息系统审计详细内容方面存在两点点创新
(一) 信息系统审计的软件测试办法与电子取证办法
审计办法贯串于整个审计过程当中,而不只是存在于某一审计阶段或某个环节。随着信息系统审计系统理论的丰厚与信息系统审计理论的开展,信息系统审计处置运用传统审计的办法外,还大量自创了计算机学科的一些办法为我所用。其中“软件测试办法”是信息系统审计的重要办法之一,较为经典的测试办法是黑盒测试与白盒测试。另外,某些会计数据和其他信息只能以电子方式存在,或只能在某一时点或期间得到①,在信息系统审计时关于这些电子数据的获取极为重要,需求确保信息系统审计人员开掘和搜集充足牢靠的电子证据,最终生成审计报告。
(二) 安全性审计
在传统审计中,关于被审计对象的安全问题鲜有触及,而信息的安全性问题关系到企业的生存与开展,是坚持企业安康可持续开展的重要保证。信息系统审计中关于安全性审计做了细致的标准。安全性审计的主要目的就是检查企业信息系统和电子数据的安全隐患。一个存在安全隐患的信息系统很难为审计人员提供真实牢靠的信息,因而安全性审计也是真实性审计的前提。
三、完善IT审计体系还应自创传统审计
(一)自创传统审计中的绩效审计,增强其理论可行性
传统审计将审计的真实性、合法性和效益性作为审计的目的。为顺应树立市场经济的需求,审计机关从2001年以前主要从事的真实、合法性审计到90年代初期,审计机关对国有企业的审计开端向检查内部控制和经济效益两方面的延伸,绩效审计的重要性逐渐凸显。②由于IT项目的功用复杂性、构造庞大性、周期延长性,使得IT绩效审计很难精确地评价如此综合性的信息系统项目效果,如何完善信息系统绩效审计在理论上的可行性是摆在我们面前的一项重要任务。
信息系统绩效审计应充沛自创传统绩效审计中的经济性、效果性、效率性特征,盘绕这“三性”停止展开。在“经济性”上,为了以最低的资源消耗取得一定数量和质量的产出,能够经过多方面的改进进步其节约水平。如美国Gartner Group Inc公司研发的ERP系统,其自动化水平很好,从而进步了信息系统绩效审计的科学性与可行性,防止不用要的开支。在“效果性”上,力图在信息系统项目上完成绩效监控动态化,为企业提供丰厚的管理信息,并在企业管理和决策过程中发挥作用,动态监控管理绩效变化,及时反应和纠正呈现的问题。在“效率性”上,进步企业物流、资金流、信息流一体化管理的效率并且要擅长管理信息系统,对信息系统应用价值的完成是IT绩效审计的最重要方面。
(二)自创传统审计的风险管理,发挥其限制性作用
《企业内部控制根本标准》把“应当关注研讨开发、技术投入、信息技术运用等自主创新要素”列为企业辨认内部风险时应当关注的六个要素之一。③随同信息系统而来的风险、利益和时机使得信息系统风险管理成为企业管理的重要内容,也是信息系统审计中应该完善的局部。
自创传统审计关于企业风险管理中风险评价、控制与防备的流程,分离IT风险管理的环境特殊性,程序复杂性和数据多样性等特性,对信息系统审计中的风险管理应依照“辨认信息资产―要挟的量化和定性―评价破绽―改良控制差距―管理剩余风险”的流程停止。首先,辨认组织业务职能并肯定每个流程的信息敏感度。然后辨认流程的每一个组成局部的现有控制措施,按重大水平将控制差距分类。最后,经过风险等级、本钱和有效性的选择,创立风险基准线,以便日后定期重新评价风险所用。
四、总结
经过对信息系统审计与传统审计的比拟研讨,我们发现:在根本内容、程序和体系构造等方面,传统审计与信息系统审计是谐和的。信息系统审计的软件测试办法与电子取证办法上,较传统审计来说更方便且具有先进性。
一、引言
信息系统审计(IS Audit)的概念最早出现于20世纪60年代,会计电算化的发展使得审计人员开始关注电子数据的采集、分析与处理,被人们称为EDP审计,这是信息系统审计的早期萌芽。20世纪90年代,信息系统日益复杂,如何保障信息系统的安全、可靠和有效变得越来越重要,信息系统审计开始在美、日、澳、英等国普及起来。2001年,国家审计署将注册信息系统审计师(CISA)考试引入我国,十余年来各行各业都开展了如火如荼的信息系统审计实践。准则是审计工作的基本规范,信息系统审计准则是信息系统审计师共同遵循的标准,对于促进信息系统审计行业发展具有重要意义。日本通产省 (Ministry of Economy Trade and Industry,简称METI)早在1985年就颁布了信息系统审计准则,还成立了日本系统审计师协会 (JSSA)。
美国也成立了信息系统审计与控制协会(ISACA),制定和颁布了一系列信息系统审计准则指南,并在全球
范围内应用推广。我国审计署以实务公告形式颁布了《信息系统审计指南》,中国内部审计协会也以具体准则形式颁布了信息系统审计准则,为规范我国的信息系统审计实践提供了重要参考。然而,由于信息系统审计的技术复杂性,以及我国信息化发展的阶段特征等客观原因,目前我国的信息系统审计理论与实务研究都尚处于百花争放时期,关于信息系统审计对象、范围和目标等基础概念的理解众口不一,更是缺少系统化的信息系统审计准则体系,严重制约了我国信息系统审计行业的发展。
二、信息系统审计概念内涵
信息系统审计概念,国内外尚没有统一定义。美国著名学者Ron A·Weber认为,IS审计是一个获取证据,对信息系统是否能保证资产的安全,数据的完整,以及是否有效的使用了组织资源并有效地实现了组织目标做出评价和判断的过程。该定义得到较为广泛的流传,印度审计署颁布的IT审计手册也采用了该定义。ISACA协会则认为,信息系统审计是一个搜集和评估证据过程,以确定信息系统和相关资源是否受到充分保护、是否能保障数据和系统的完整性、是否能提供相关和可靠信息、是否有效使用组织资源以实现组织目标,并建立了有效内部控制体系可以合理保障组织运营和控制目标。日本通产省(METI)在1996年修订了信息系统审计准则,指出信息系统审计是为了信息系统的安全、可靠与有效,由独立于审计对象的IT审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合检查与评价,向IT审计对象的最高领导,提出问题与建议的一连串的活动。中国内审协会颁布的《中国内部审计具体准则28号——信息系统审计》中指出,信息系统审计是指由组织内部审计机构及人员对信息系统及其相关的信息技术内部控制和流程开展的一系列综合检查、评价与报告活动。国家审计署颁布的《信息系统审计指南———计算机审计实务公告第34号》认为,信息系统审计是指国家审计机关依法对被审计单位信息系统的真实性、合法性、效益性和安全性进行检查监督的活动。
上述定义有差异,也有共同之处,本文从审计目标、审计对象和审计内容这些概念进行了对比分析。
目前学术界和业界对于信息系统审计的对象有较为统一认识,但学者们对审计目标、审计内容的理解存在较大分歧。信息系统审计是源于信息系统和审计理论的新兴交叉学科,观点分歧代表了信息系统审计的不同定位。日本的信息系统审计师考试是一种全国信息处理人员水平考试,因此日本信息系统审计强调对信息技术和软件规划开发等内容的审计,并不提及审计师的专业判断;其它观点多出自审计师视角,审计师们通常更多关注控制与风险,所以审计内容通常是一般控制和应用控制审计等;另外,审计又区分为国家审计,社会审计与内部审计,有着不同业务领域性质与要求,导致各领域对信息系统审计目标理解的多样化。
基于上述讨论,本文提出信息系统审计是审计主体遵循一定标准规范搜集与评估证据,判断信息系统及相关资产的安全性、可靠性和有效性,提出审计意见与建议,促进被审计单位信息系统实现组织目标的行为。从该定义可知,信息系统审计的对象是系统及相关资产,主要包括计算机硬件、软件、网络基础设施、数据、人和相关管理制度。信息系统审计有三大目标:安全性、可靠性和有效性。其中,系统安全性是指信息系统资源是否受到妥善保护,不因自然和人为的因素而遭到破坏、更改或者泄露系统中的信息。系统可靠性包括三个方面的内涵:硬件、软件和数据的可靠性。硬件的可靠性是指在一个指定的时间周期内,在给定的'控制条件下,硬件系统执行所需功能的成功概率。软件的可靠性是指在运行环境中,在规定的运行时间内或规定的运行次数下,程序和所有数据元素运行不同测试用例的无差错概率。数据的可靠性是指数据的真实、准确和完整,它取决于系统对数据的处理过程是否准确无误,以及确保数据可靠的控制措施是否有效。系统有效性也有三方而的内涵:一是指信息系统的处理过程是否符介国家法律和有关规章制度的要求(合规性);二是指信息系统是否能够实现既定的业务目标(效益性);三是指系统的效率性即系统利用各种资源输出用户所需要信息的及时程度和运行速度。
三、信息系统审计准则国际经验
目前,国际上影响力较大的信息系统审计准则有四个,分别是国际信息系统审计与控制协会(ISACA)、日本通产省信息系统审计标准,以及国际内部审计师协会(IIA)颁布的全球技术审计指南和美国审计总署(GAO)颁布的联邦信息系统控制审计手册。
(一)ISACA的信息系统审计准则体系1994年,电子数据审计师协会(EDPAA)更名为ISACA协会,该协会是目前最有影响力的信息系统审计专业人员的国际性组织。它在全世界许多国家举办注册信息系统审计师(CISA)考试,还制定和颁布信息系统审计准则体系来规范和指导CISA工作。ISACA的信息系统审计准则体系由ISA标准、指南和程序三部分构成。信息系统审计标准是整体准则体系的总纲,是制定指南和程序的基础。审计标准规定了审计章程、独立性、职业道德和胜任能力,以及审计工作执行的基本行为规范,是CISA执行审计业务必须遵循的标准,具有强制性。目前ISACA共颁布了16条审计标准,42项审计指南,为CISA执行审计业务中如何遵守审计标准提供指引,任何偏离指南的行为必须有充分的理由,属于“强烈推荐遵循”。审计程序是依据审计标准与审计指南制定的,为CISA提供审计业务的程序与步骤,类似一种工作范例,并不强制要求。到目前为止有效的ISA程序共有9 项。
(二)日本的信息系统审计准则日本通产省(METI)于1985年发布了信息系统审计准则,1996年进行了修订。该准则由一般标准、执行标准和报告标准三部分组成。一般标准描述了信息系统审计的目标、对象、人员和流程等。执行标准描述了信息系统审计的具体实施内容,强调系统审计师应关注信息系统规划、开发到运行全生命周期各阶段的风险。报告标准描述了信息系统审计结果的收集整理,以及根据审计结论应采取的措施。
(三)IIA的全球技术审计指南(GTAG) 国际内部审计师协会(IIA)的内部审计国际实务准则框架(IPPF)是内部审计规范体系的标杆。IIA非常重视信息系统审计,IPPF在“实务指南”层次用相当篇幅详细规范了信息系统审计的内容与方法。自从2005年发布第1号全球信息技术审计指南(GTAG)指南起至今,IIA已发布了16项信息系统审计指南,内容涉及信息系统控制、应用控制审计、制订IT审计计划、IT项目审计和信息安全治理等等。
(四 )联邦 信息系统控制审计手册 (FISCAM)2009年美国审计总署(GAO)发布了联邦信息系统控制审计手册(FISCAM),在该手册的指导下,GAO每年还安排若干审计项目对政府部门信息系统控制进行审查评估。FISCAM的IT控制包括一般控制和应用控制。其中一般控制包括:实体安全控制、访问控制、应用软件开发和变更控制、职责分离控制、应急计划;应用控制包括:应用级一般控制、输入控制、处理控制、输出控制、接口控制、数据管理系统控制。FISCAM对以上各类控制的审计程序与步骤进行了详细说明。
ISACA作为专门的信息系统审计与控制协会,建立了较为完整的信息系统审计准则体系,它采用总分式分层体系,16项审计标准是总纲,自2005年发布后基本保持稳定,而42项审计指南一半以上是新增或新修订的,不断更新的审计指南赋予了审计标准新的内涵与外延,审计程序则重在描述审计程序与步骤。日本通产省的审计准则采取一体化形式,整套准则的内容相当于ISACA的审计标准层次。
从准则具体内容上看,日本的信息系统审计师属于计算机行业,其审计标准具有明显信息技术特征,主要规范了信息系统审计目标、审计对象、审计人员资质和审计方法,尤其详细明确了信息系统规划、开发和运行全过程的关键风险点;而ISACA的审计标准更多关注信息系统审计的审计特征,主要规范审计权力责任、审计人员职业道德规范、审计计划、审计证据、审计记录、审计抽样和审计报告等内容。ISACA协会的审计指南与IIA协会的GTAG指南的操作性程度不同,前者类似我国的具体准则,GTAG指南则围绕不同的审计业务详细描述审计工作思路,审计方法、技术与工具等。
从是否强制性要求来看,ISACA协会的准则体系中既包含强制性遵循的审计标准、强烈推荐遵循的审计指南和非强制性要求的审计程序,还包含ISACA制订或编写的出版物以支持实务工作。IIA协会的GTAG指南处于IPPF框架的实务指南层次,属于强烈推荐遵循;美国审计总署GAO颁布的FISACM是非强制性要求的手册,用以指导实务工作。
四、我国信息系统审计准则现状
我国目前颁布的信息系统审计准则规范屈指可数,主要有审计署以实务公告形式颁布的信息系统审计指南,中国内审协会发布的信息系统审计具体准则。
(一)信息系统审计指南为指导和规范国家审计机关组织开展信息系统审计,2012年,审计署发布了《信息系统审计指南———计算机审计实务公告第34号》。该指南在借鉴国外信息系统审计指南的基础上,结合国家审计机关依法审计的法定职能,以及我国目前信息系统审计实践现状,提出了包含应用控制审计、一般控制审计、项目管理审计3大块的信息系统审计内容框架,重点描述了89项审计事项的审计要点。此外,审计署还在2013年出版了与该指南配套的《信息系统审计实务》,针对指南的各审计事项,分别描述了审计目标、审计程序、应取得的资料和常见错弊与定性依据等。
(二)内部审计具体准则第28号———信息系统审计为规范组织内部审计机构及人员开展信息系统审计活动,保证审计质量,中国内审协会颁布了《内部审计具体准则第28号———信息系统审计》,自2009年1月1日起开始实施。该准则对信息系统审计的一般原则、信息技术风险评估、信息系统审计内容、信息系统审计方法,审计报告和后续工作共五个方面的内容进行了规定,明确提出信息系统审计包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审计。
综合来说,我国目前尚未建立信息系统审计行业协会,审计署发布了信息系统审计指南,属于非强制性要求,更高级别的强制性要求准则尚未发布;内审协会的信息系统审计具体准则虽属于强烈推荐遵循层次,但与IIA协会相比,其信息系统审计准则和相关指南还有极大的丰富与细化空间。总体来看,我国的信息系统审计准则体系缺少系统性与结构性,尚没有建立完整的信息系统审计准则体系。目前,国家审计、社会审计和独立审计都在各自业务领域内开展了一些信息系统审计实践探索,但各界人士对信息系统审计的基本原则与规范还缺少共识,长此以往将给我国信息系统审计行业发展带来混乱。
五、结论
信息系统审计准则是信息系统审计师共同遵循的标准,对促进我国信息系统审计行业发展具有重要意义。首先,从准则制定的社会背景来看,我国的社会信息化水平与美国、日本等国家存在客观的差距,ISACA,IIA和FISCAM等准则指南均基于相对完善的内部控制(IT控制)环境,而我国政府部门、企事业单位的信息化建设正处于飞速发展时期,大部分被审单位的IT控制体系尚在建立之中,如果按照国外规范开展我国信息系统审计,过于理想化的审计意见建议很难得到认同。
第二,从准则的框架结构来说,ISACA,IIA和日本通产省的框架结构,不太符合中国人的理解习惯。ISACA采用的审计标准、指南和程序的三层框架结构,跟我国的内部审计准则体系,注册会计师鉴证业务准则和国家审计准则采用的常用结构也不一样,不太符合我国审计师的认知习惯。
第三,从准则的具体内容来看,由于我国信息系统审计方面的法律法规还非常不完善。目前只有信息系统安全方面颁布了安全保护条例和强制性标准,IT运维服务、外包、信息资源开发利用,信息公开与政务服务等方面尚缺乏充分的审计依据。审计环境决定了我国信息系统审计准则在明确信息系统审计目标、规范信息系统审计内容等方面都需要充分考虑本土国情。但是,国外ISACA,IIA,FISACM等信息系统审计准则指南历经20多年的发展,已形成相对成熟的体系,相关观点已为我国审计师熟识。而且,国家的信息系统审计准则需要在国际舞台上相互交流与合作。
因此,制定我国信息系统审计准则需要遵循的重要原则是:坚持国际化与本土化相结合,既立足本土国情又实现国际接轨。本文借鉴ISACA,IIA和FISCAM等准则指南的优秀经验,参照我国国家审计准则的体系框架,考虑信息系统审计新业务的不同特征,尝试提出如下图1所示的中国信息系统审计准则体系框架。
该框架采用了审计准则、审计指南和实务手册三层结构。审计准则是强制性要求,审计指南是强烈推荐遵循,实务手册是非强制性要求。审计准则分成基本准则和具体准则两层,基本准则可包括五块内容,分别是总则、信息系统审计道德规范、信息系统审计作业准则、信息系统审计质量控制准则和附则。审计指南包括通用指南和专业指南两类,如面向一般信息系统的通用指南,针对电子政务、电子商务和ERP系统的专业指南,或者体现行业信息系统特征(如金融、通信行业)的专业指南等等。指南的内容框架可以采用一般控制和应用控制的基本框架,但在设计具体事项,或者明确审计内容重点时,应充分考虑我国企业或政府部门的信息化发展阶段及当前法律环境。实务手册是审计指南的具体化,详细规范审计内容、审计程序、审计依据、审计技术方法和典型错弊等相关知识点。实务手册可根据审计指南来加以制定,也可以针对某类突出问题(如电子银行、IT外包等)进行特别规范。
为逐步完善我国信息系统审计准则体系,我们建议采取如下策略:首先,以审计署为主导,协调整合中国注册会计师协会、内审协会以及高校的相关专家资源,组建信息系统审计准则研究课题组和专家咨询小组,激发信息系统审计职业界的积极讨论与参与。其次,成立类似ISACA的中国信息系统审计行业协会专门机构,以信息系统审计职业化建设为主线,组织修订与持续完善信息系统审计准则体系;组织信息系统审计师职业教育,提升信息系统审计师职业素质;总结我国信息系统审计优秀经验,积极开展与国外相关协会和政府机关之间的合作与交流。最后,人才是行业持续发展的源泉,也是准则规范有效实施的载体。建议增设我国信息系统审计师职业资格考试,明确我国信息系统审计师应具备的素质、知识与技能以及任职资格,既能保障准则规范的有效实施,也为促进我国信息系统审计行业发展提供人才支撑。
参考文献:
[1]张文秀:《国外信息系统审计规范、国家文化差异与制度移植》,《审计研究》2012年第5期。
[2]石爱中、周德铭、王智玉、杨蕴毅:《信息系统审计实务———中国计算机审计实务报告》,时代经济出版社2012年版。
你好,楼主,还是由 友情来为你回答这个问题。 1、论文题目:要求准确、简练、醒目、新颖。 2、目录:目录是论文中主要段落的简表。(短篇论文不必列目录) 3、提要:是文章主要内容的摘录,要求短、精、完整。字数少可几十字,多不超过三百字为宜。 4、关键词或主题词:关键词是从论文的题名、提要和正文中选取出来的,是对表述论文的中心内容有实质意义的词汇。关键词是用作机系统标引论文内容特征的词语,便于信息系统汇集,以供读者检索。每篇论文一般选取3-8个词汇作为关键词,另起一行,排在“提要”的左下方。 主题词是经过规范化的词,在确定主题词时,要对论文进行主题,依照标引和组配规则转换成主题词表中的规范词语。 5、论文正文: (1)引言:引言又称前言、序言和导言,用在论文的开头。引言一般要概括地写出作者意图,说明选题的目的和意义,并指出论文写作的范围。引言要短小精悍、紧扣主题。 〈2)论文正文:正文是论文的主体,正文应包括论点、论据、论证过程和结论。主体部分包括以下内容: a.提出-论点; b.分析问题-论据和论证; c.解决问题-论证与步骤; d.结论。 6、一篇论文的参考文献是将论文在和写作中可参考或引证的主要文献资料,列于论文的末尾。参考文献应另起一页,标注方式按《GB7714-87文后参考文献著录规则》进行。 中文:标题--作者--出版物信息(版地、版者、版期):作者--标题--出版物信息 所列参考文献的要求是: (1)所列参考文献应是正式出版物,以便读者考证。 (2)所列举的参考文献要标明序号、著作或文章的标题、作者、出版物信息。
审计学是在审计实践的基础上产生的,经过实践检验和证明了的,是客观事物本质及其规律的正确反映。下文是我为大家搜集整理的关于审计学论文题目的内容,希望能帮到大家!审计学论文题目(一) 1. 注册会计师审计质量管理体系研究 2. 注册会计师审计风险控制研究 3. 现代企业内部审计发展趋势研究 4. 审计质量控制 5. 论关联方关系及其交易审计 6. 我国内部审计存在的问题及对策 7. 论审计重要性与审计风险 8. 论审计风险防范 9. 论我国的绩效审计 10. 萨宾纳斯――奥克斯莱法案对中国审计的影响 11. 审计质量与审计责任之间的关系 12. 经济效益审计问题 13. 内部审计与风险管理 14. 我国电算化审计及对策分析 15. 浅议我国的民间审计责任 16. 试论审计抽样 17. 论内部审计的独立性 18. 论国有资产保值增值审计 19. 论企业集团内部审计制度的构建 20. 论电子计算机在审计中的应用 21. 电算化系统审计 22. 关于会计电算化审计中的若干问题的探讨 23. 计算机审计与舞弊 24. 审计的风险与防范 25. 新会计法实施后企业内部审计制度建设 审计学论文题目(二) 1、关于经济责任审计若干问题的探讨 2、关于企业集团内部审计若干问题的探讨 3、会计报表审计风险分析及防范研究 4、会计电算化系统的现状与审计对策浅析 5、论电子商务时代的网络审计 6、论任期经济责任审计 7、民间审计法律责任问题研究 8、内部审计在企业的作用 9、企业费用成本审计 10、浅淡经济责任审计 11、浅谈经济责任审计 12、浅谈审计风险的综合控制 13、浅谈审计判断绩效及其影响因素 14、如何提高审计效率 15、审计风险的研究 16、审计风险及其控制研究 17、审计职业判断业绩评价 18、审计专业判断研究 19、我国民间审计的现状与对策的分析 20、我国上市公司会计信息低透明度的独立审计研究 审计学论文题目(三) 1. 注册会计师审计质量控制系统研究 2. 企业会计电算化审计中的问题及对策 3. 中国注册会计师审计独立性分析 4. 社会保障基金的绩效审计研究 5. 会计信息系统审计中数据的提取和转换问题研究-基于XX公司审计案例的分析 6. 我国上市公司会计信息低透明度的独立审计研究 7. 公司财务报表粉饰手段与审计策略 8. 试论加强注册会计师审计风险管理和控制的措施 9. 民间审计风险及防范 10. 审计风险成因及其防范控制的探讨 11. 烟草商业企业内部审计探析) 12. 论经济责任审计存在的问题及对策 13. 审计风险及其防范 14. 离任经济责任审计存在的问题及采取的对策 15. 探索ERP环境下内部审计工作 16. 试论电子商务环境下的审计实务 17. 审计风险的综合控制 18. 政府审计机关如何应对挑战的探讨 19. 当前财政审计制度的缺陷及策略分析 20. 我国审计体制的改革及其对策 21. 审计人员辨别财务报表的不实 22. 审计判断绩效及其影响因素 猜你喜欢: 1. 内部审计毕业论文题目 2. 会计审计论文题目 3. 会计与审计论文题目 4. 关于会计论文题目 5. 关于会计毕业论文选题 6. 财务论文题目
浅析会计信息质量的论文
【摘 要】会计信息是公司运营办理和决议计划的首要根据,也是调控国民经济的首要信息来源。这篇文章首要剖析会计信息的含义及其质量特征,引出会计信息质量存在的疑问,并加以剖析,在此根底上提出几方面进步会计信息质量的对策。
一、会计信息的含义与质量特征
会计信息指会计单位经过财政报表或附注等方式向出资者、债权人或其他信息使用者提醒单位财政状况和运营效果的信息。它对操控和决议计划有用,首要反映的内容有必要实在;其次具有及时性,过期的信息是没有任何效果的。第三,会计信息不是纯粹的数字符号,体现必定的经济联系。第四,对外发布的信息要口径一起。
会计信息质量特征与会计方针存在着内涵的逻辑联系。一方面,会计信息是完成会计方针的根底,而会计方针是判别会计信息质量的根底,有了方针,对会计信息质量特征的规定就有了根据;另一方面,会计信息质量服务于会计方针,对财政陈述所供给的会计信息起着束缚效果。
会计信息最基本的质量特征即是决议计划有用性。会计信息的实在性和可靠性是确保信息使用者作为准确决议计划的前提条件。若会计信息失真,其所带来的经济成果是十分严峻的,将致使出资决议计划失误和社会经济资本的无效装备。
二、中国会计信息质量存在的疑问
(一)会计信息不对称,资本装备功率下降
会计信息不对称的体现:不一样的会计信息使用者之间的会计信息不对称,指公司选择了特定的会计办法而构成会计报表的信息发表倾向于某个特定的信息使用者,由此构成一有些人得到更多的所需信息,另一有些人却与此相反;信息供给者与使用者之间的会计信息不对称,公司办理当局是会计信息的供给者,一起又是信息的内部使用者,相对于外部使用者更具有信息优势。办理人员也许使用这种优势,对会计报表点缀和美化,不断地进行收益和盈利调节。
(二)会计信息陈述失真,致使数据不实
会计信息失真指会计信息未能实在的反映客观的经济活动,给有关决议计划者带来晦气影响的一种景象。从发作进程看,可将会计信息失真分为会计事项失真和会计处理失真致使的会计信息失真。其原因有以下几方面:一是会计信息的有意造假,会计活动中当事人为了个人利益,事前经过周密安排,以、作弊等手段,使会计信息曲解反映经济活动;二是会计信息的无意失实,会计人员在遵循会计规范供给会计信息的进程中,因为片面判别失误、经验不足和会计系统自身的局限性等,致使会计信息未能照实反映;三是会计操作致使的会计信息失真,如会计人员素质不高,会计处理办法选用不适当,对会计事项的判别欠准确性等。
(三)会计信息发表不充分,有关信息不能得到准确反映
首要体现为公司对应发表的信息不作全部的发表,而是采取避重就轻的办法,成心夸张有些现实、隐秘有些现实,误导出资者。有的公司乃至对一些重大事件不予发表。
传统财政陈述是以前史本钱为根底反映曩昔的财政状况和运营效果。但是决议计划活动的最明显特征是对将来出资活动的计划,是一种带有预期的经济行为。现行的会计信息发表未能对将来的有关财政信息进行发表,现在的报表无法发表与公司有关的各种不断定信息。一起,现行的会计信息发表首要受传统会计束缚,要点发表只能用钱银计量的财物,对知识产权和人力资本等非钱银性财物却不进行发表,这么会影响报表使用者的准确判别。
(四)会计信息数据反映单一化,缺少指导性
现有的.公司陈述反映的首要是公司财政信息,其提醒的规模也局限于对财政会计承认与计量的买卖和事项,而疏忽非财政信息的首要性。因为公司环境以及公司自身还在发作改变,要对公司的将来开展作出猜测,仅依托曩昔的财政数据是不行的,而某些非财政信息更能提示公司将来的开展趋势。人们对公司的评估规范不仅仅局限于公司经济效益方面,信息使用者使用现有的会计陈述,难以对公司作出全部的评估。
(五)会计信息传递时效过慢,影响信息需要
在会计信息质量特征中,及时性是与有关性密切有关的。仅就上市公司的发表情况看,公司年度陈述要在财政年度数月后才干发布,公司办理机构往往因为了解信息的不及时而难以断定一些重大事件是何时发作,致使监管有效性不足。 会计信息时效与实践构成严峻的滞后,大大影响信息使用者对信息的需要,也影响很多出资者的决议计划和切身利益。
(六)会计信息传递不能满意不一样信息使用者的需要
有关性是具有相对性的,同一种信息对不一样的使用者以及在不一样时刻上其有关程度不一样,而现有会计系统供给的只能是对于全部者一起需要的通用会计陈述。这实践上是对会计信息进行再加工的信息处理进程的成果,只能向信息使用者传递归纳的信息,但这种通用的会计陈述不能满意全部信息使用者的全部不一样决议计划的需要,其有关性只能是相对的。
三、进步会计信息质量的对策
(一)完善法律监督系统,使会计信息办理工作有法可依
要树立以审计监督、税务监督、行政监督为主的外部监督系统和内部审计为主的内部监督系统,完善内部操控机制。外部监督,充分发挥社会中介机构的效果,其非必须防止会计师事务所与被审计单位合谋。内部监督,首要树立以强化内部办理为中心的会计办理系统,完善公司内部会计制度;其次,由审计部分根据有关法规对公司的财政预、决算及与财政收支有关的全部经济活动的实在性、合法性进行检查,监督公司履行内部财政制度,以确保会计信息的实在性和合法性。
(二)完善会计制度和会计准则,使会计信息办理工作有章可循
在完善会计制度、制定会计准则时,应尽量克服或减少其自身的不断定性,最终断定的会计准则应对将来会计环境的改变有科学的的剖析和猜测,使会计的开展具有较好的稳定性和持续性,防止将来环境的不断定性对会计发作过多的影响。
(三)清楚产权联系,树立符合国情的公司产权制度及其监督系统
清楚公司的产权构造要强调以下两方面:一是国家作为社会的利益的代表,使公司方针与社会方针协调一起,国家作为国有公司全部者对公司拥有产权,并且作为社会办理者,也有监督公司会计信息的权利,一起也对会计信息的质量担任;二是公司职工所具有的专业化技术是一种人力资本,脱离这种人力资本,股东所拥有的实物资本就无法完成增值,所以公司职工也应构成公司产权制度的一有些。
(四)进步会计人员的社会经济位置,注重后续教学
一方面,要充分确保会计人员的合法权益,大力支持其依法履行职责,清晰法律责任,才干确保和调集广阔财会人员的积极性,充分发挥其职能效果。另一方面,要注重财会人员的后续教学,努力进步财会队伍的政治、事务和工作道德素质。财会人员要有强烈的敬业精神和责任感,认真学习,不断更新会计专业及有关知识,切实做到学有所用,变成有用、可用的高素质会计办理工作者,从根本上防备会计信息质量疑问的发作。
四、定论
会计信息质量想要从根本上得到进步,首要要准承认识会计信息质量特征系统存在哪些疑问,如对会计信息不对称、陈述失真、信息发表不充分、数据反映单一化、传递时效慢,没有充分考虑会计信息使用者的需要等。然后对于这些缺点,寻找改善办法。随着经济的不断开展和社会构造的不断改变,中国会计制度和政策也在不断改变,相应的会计信息质量也会越来越进步及完善。
参考文献:
[1]乐敏.会计信息失真成因与管理分析[J].财会通讯(归纳版),2008.(12).
[2]马鑫.新会计准则下的会计信息质量请求[J].商场现代化,2008(2).
[3]公司会计准则[M].中华人民共和国财政部,2006年2月15日.