系统审计论文汇总十篇

时间：2023-03-16 15:25:04

系统审计论文

系统审计论文篇（1）

信息化是国家现代化的基本标志，也是一个国家综合国力的集中体现。信息化建设是一项长期的、综合的系统工程，在改善企业运作管理水平、提高工作效率的同时，也产生了巨大的风险。因此，建立信息系统审计制度，发展信息系统审计是信息化过程中必不可少的制度保证和手段。

一、信息系统审计的概述

1.信息系统审计的定义

信息系统审计（InformationSystemAudit信息系统，简称ISA）目前还没有公认的通用定义，国际信息系统审计领域的权威专家RonWeber将它定义为：收集并评估证据，以判断一个计算机系统（信息系统）是否有效做到保护资产、维护数据完整、完成组织目标，同时最经济地使用资源。可通俗的理解为是对信息系统的规划、开发、实施、运行和维护等各个环节进行评价，确保其符合企业经营目标的过程。

2.信息系统审计的业务内容

信息系统审计的业务内容包括计算机资源管理审计、软硬件等获取审计、系统软件审计、程序审计、数据完整性审计、系统生命周期审计、应用系统开发审计、系统维护审计、操作审计和安全审计。

信息系统审计项目按生命周期来划分，一般分为信息系统开发过程的审计、信息系统运行维护过程的审计和信息系统生命周期共同业务的审计。

信息系统开发过程中的审计是伴随着系统规划、系统分析、系统设计、编码、测试和系统试运行这几个阶段同步进行的。信息系统运行过程中的审计包括系统输入审计、通信过程审计、处理过程审计、数据库审计、系统输出审计和运行管理审计；信息系统维护过程中的审计包括维护组织审计、维护顺序审计、维护计划审计、维护实施审计、维护确认审计、改良系统试运行审计和旧信息系统报废审计。

3.信息系统审计的流程

信息系统审计流程包括三个阶段即:审计计划阶段、审计实施阶段和审计完成阶段。

计划阶段是信息系统审计流程的第一步，主要任务是了解被审系统的基本情况；与委托单位签订业务约定书；初步评价被审系统的内部控制及外部控制；确定重要性水平；分析审计风险和编制审计计划。

实施阶段的主要任务是根据重要性水平、风险和计划获取有关资料；进行符合性测试和实质性测试；对测试结果进行分析；找出导致结果的原因。

完成阶段的主要任务是整理、评价审计证据；复核工作底稿，完成二级复核，汇总审计差异，同被审系统管理层交流；对重要性水平和风险进行最终评价，形成审计意见，编制审计报告，完成三级复核。

二、信息系统审计的方法、技术与工具

由于信息系统本身的多样性和复杂性，信息系统审计的难度也随之增加。面对错综复杂的信息系统和审计环境，要求审计师可以根据审计组织及信息系统的实际情况，结合审计目标、成本效益、审计小组的人员与设备配置情况等，采用多种方法、技术和工具来帮助他们进行审计工作。

1.常规的审计方法、技术与工具

常规的审计方法包括面谈法、问卷调查法、系统评审会、流程图检查、程序代码检查、程序代码比较和测试等。但在高度计算机化的信息系统中，只采用常规审计法显然是不够的，无论是审计证据的收集、评价，还是实现审计工作的现代化，都需要借助计算机来高效完成。

2.计算机辅助审计的技术与工具

信息系统被普遍应用与企业生产、管理及经营活动的各个环节，审计师为达到审计目的，必须要收集大量储存于计算机中的数据，并借助于计算机对这些数据进行分析，以得出审计的结论。因此审计师在收集证据并分析证据时，必需利用计算机辅助审计工作，计算机辅助审计技术（ComputerAssistedAuditTechniques，简称CAAT）越来越成为审计师不可或缺的手段。

计算机辅助审计技术可以使信息系统审计师独立收集审计信息，按照预定审计目标访问和分析数据、报告系统产生和维护的记录的可靠性等审计发现。所用信息来源的可靠性为得出审计结论提供了再保证。

常用的计算机辅助审计软件与技术：共用软件、测试数据、应用程序检查、审计专家系统、整体测试、快照、系统控制审计审核文档、其他特殊的审计软件等。三、信息系统审计的应用价值

信息化是有风险的，信息系统规模越大，功能越复杂，风险也就越大。信息系统审计为企业信息系统的有效管理提供了一系列详细的审计方法，从项目计划开始介入信息系统建设的每个环节，从项目的初始阶段一直到运营阶段的全过程，给予项目投资者风险控制的评价和建议，提高信息系统的投资效益。

信息系统审计可以查出各种错误和舞弊，合理地保证企业信息系统及其处理、产生的信息的真实性、完整性与可靠性；可以促进企业更有效地融入到社会生活中；可以促进企业改进内部控制，加强管理，提高信息系统实现组织目标的效率。信息系统审计在信息化过程中，帮助企业建立健全的内部控制制度，进行系统诊断。确定信息化的目标和内容，帮助企业调整现有的管理框架和流程或修改软件产品使其更好地服务于管理的需要。

参考文献:

[1]胡克瑾:IT审计[M].电子工业出版社，2004.

系统审计论文篇（2）

二、结合型政府信息系统审计的目标是什么

（What）信息系统审计目标是信息系统审计行为的出发点，它指明了审计工作方向，并指导着信息系统审计实践活动（王振武等，2011）。我国政府审计以维护国家财政经济秩序，提高财政资金使用效益，促进廉政建设，保障国民经济和社会健康发展为职能，以国家经济活动的真实性、合规性和效益性为总体目标。因此，我国政府审计机关实施的结合型政府信息系统审计，也应遵守真实、合规和效益的根本目标。审计机关审计人员在各项具体政府审计项目中，不能笼统地将一般意义上信息系统审计的安全性、可靠性、合法性和有效性目标作为结合型政府信息系统审计具体目标，这既不符合结合型政府信息系统审计的特点和需求，也不具备实际可操作性、指导性。如果信息系统审计目标因素与具体政府审计项目目标不相关，将起不到应有的作用，是多余的、不必要的，从成本效益角度来说，是对审计资源的浪费。审计人员应避免根据自己的理解来确定目标，造成混淆不清。结合型政府信息系统审计贯穿于各政府审计项目之中，成为审计全过程的一部分，其具体审计目标应根据国家审计机关实施审计项目预期要完成的任务和结果，即具体政府审计目标，以及所涉及的信息系统情况等综合确定。例如，政府财政财务收支审计的目标是财政财务收支情况的真实性、合规性和效益性，其审计的数据来源于相关信息系统产生的财务电子数据，而数据是否真实、完整，直接依赖于相关信息系统是否安全、可靠，由此可以确定政府财政财务收支审计中信息系统审计的目标是安全性、可靠性。又如，在国有企业绩效审计中，绩效审计的目标是效率性、效果性和效益性，虽然信息系统与绩效审计不直接相关，但是信息系统作为企业的一项重要资产，且信息系统建设的投入金额巨大，因此，在国有企业绩效审计中也应包括信息系统资产的绩效审计，这就决定了国有企业绩效审计中信息系统审计的目标应该是效率性、效果性和效益性。上述示例也表明，结合型政府信息系统审计具体目标随政府审计项目的不同而存在一定的差异性，也就是说政府审计具体目标的多元性决定了结合型政府信息系统审计具体目标的多元性，必须根据具体政府审计项目综合确定。

三、结合型政府信息系统审计的重点在哪里

（Where）结合型政府信息系统审计的成效取决于审计机关审计人员对信息系统审计重点内容的把握程度。审计人员应该在分析清楚各政府审计项目中信息系统审计具体目标的基础之上，确定信息系统审计意图和需要解决的问题，并根据“全面审计、突出重点”、“先系统本身后系统环境”的原则确定信息系统审计重点事项（唐剑，2012）。此外，还应考虑成本效益原则，尽力减少与政府审计目标不相关的、多余的、不必要的信息系统审计内容。

（一）结合型政府信息系统重点

审计对象的选择被审计单位一般建立有多个信息系统，依据结合型政府信息系统审计的特点，不需要也不必要将被审计单位的所有信息系统纳入重点关注的审计对象，只需要根据与被审计业务活动相关的程度选择目标信息系统。如何选择信息系统重点审计对象？审计机关审计人员选择的主要原则应是依据被审计单位核心业务对信息系统的依赖性以及被审计单位信息系统的复杂性确定需要重点调查和审计测试的信息系统的范围和深度。一般来说，越高度依赖的信息系统，就应该作为重点审计的对象；越复杂的信息系统，就应该扩大重点审计对象范围。例如，在财务收支审计中，被审计单位ERP系统由财务、采购、销售、库存、质量、人力资源等多个子系统组成，由于财务收支数据直接依赖于财务子系统，所以理应将其作为审计的重点，然而ERP系统又是一个集成化的复杂系统，审计人员还应扩大审计范围和深度，需要将ERP系统中系统管理子系统以及其他子系统的基础设置、凭证处理等模块也作为审计的重点。

（二）结合型政府信息系统内部控制

测试重点

内容的确定现代风险基础政府审计是建立在内部控制的测评基础之上，根据内部控制的符合性测试结果实施业务数据的实质性测试。信息系统内部控制测试是对信息系统内部控制的可靠性、健全性和有效性进行的测试。基于结合型政府信息系统审计的经济监督和重在审计业务数据的特点，以及政府审计人员信息技术能力限制，为避免将对信息系统的审计引入技术陷阱（李春青，2008），审计人员应重点选择信息系统中容易产生数据风险的部分，作为信息系统内部控制测试的重点内容。而信息系统的硬件、软件、应用程序、数据、人员、制度等组成要素中，对业务数据直接产生影响的主要有信息系统数据、应用程序、人员和制度，因此审计人员在结合型政府信息系统审计中应选择信息系统数据、应用程序、人员、制度作为审计测试的重点，只在必要的时候再根据实际情况适当关注信息系统的软硬件环境。

（三）信息系统效率、效果和效益审计重点

内容的选择在结合型政府信息系统审计中，对行政事业单位、企业的效益审计、绩效审计、经济责任审计等政府审计项目中涉及的信息系统效率、效果和效益审计，其审计范畴从属于政府审计项目的范畴，只是审计对象中包括信息系统资产。因此，在这种结合型政府信息系统审计中，审计机关审计人员审计信息系统效率、效果和效益应从被审计单位正在运行使用中的信息系统资源的有效利用、促进产品或服务目标实现、降低产品或服务成本和增加产品或服务收益的角度选择重点审计内容：（1）效率性审计应重点评价使用中的信息系统对提高被审计单位劳动生产率所作的贡献，如节省人力、提高人员工作效率等；（2）效果性审计应重点评价使用中的信息系统使被审计单位业务、管理和决策等方面得到改善和提升，如满足业务处理需求、促进业务流程改进、增强信息交流与共享、提升客户服务能力、提高管理决策水平等；（3）效益性审计应重点评价使用中的信息系统的资金投入以及产生效益之比，资金投入包括信息系统运维资金投入、升级改造资金投入等方面，产生效益则可以从降低产品或服务成本、提高资金周转速度、提高产品或服务收入、增强竞争力等方面考虑。

四、结合型政府信息系统审计如何实施

（How）结合型政府信息系统审计作为信息系统审计的一个特例，两者在审计技术、方法、手段等方面理应具有一定的一致性。但是，审计机关审计人员在借鉴目前常用信息系统审计方法的同时，需要结合具体政府审计项目，立足审计人员的信息技术审计能力相对较弱、业务审计能力较强的审计专长，以审计人员的业务思路和职业判断为工作核心（王亚清，2012），积极探索富有实效的信息系统审计与传统审计相结合的方法。

（一）如何做好信息系统审前调查

在进行结合型政府信息系统审计调查时，审计机关审计人员可以将被审计信息系统调查与被审计项目业务调查结合进行，将信息系统调查作为业务调查的延伸。一方面，可运用询问法、观察法、查阅法、调查表法、流程图法等传统审计调查的方法，将被审计单位业务活动情况与信息系统情况调查融合在一起，一并调查了解被审计单位整体和业务活动情况、信息系统环境（如硬件环境、软件环境、组成、结构、分布等）、内部控制制度（含信息系统内部控制制度）、手工和计算机信息系统处理过程（如业务流程、运行流程、人员操作流程等）及执行情况；另一方面，可运用计算机辅助审计方法获取被审计业务电子数据，调查了解被审计信息系统数据处理情况等。两种方法相互补充，既能全面了解被审计单位业务活动情况，又能够摸清被审计单位信息系统基本运作情况，实现信息系统审计调查与整个审计工作调查的衔接，从而确保审计调查的效率、质量。

（二）如何做好信息系统内部控制测试

在结合型政府信息系统审计中，审计机关审计人员可运用熟悉的传统审计测试方法，辅以计算机辅助审计测试方法对前述确定的信息系统数据、应用程序、人员、制度等重点内容进行审计测试。具体可采用：（1）传统审计方法。通常可采用询问法、观察法、检查法、核对法、比较法、数据分析法等方法。如：询问或观察职责分离制度、人员操作制度、运行维护制度的执行情况；观察有关人员对信息系统访问是否设定口令、系统操作是否违反职责分离原则；查阅系统日志文件、操作记录，查看系统中是否有非法访问记录和报告，有无未经授权的用户操作系统；观察、检查系统功能设置、程序化控制、权限设置、系统参数配置等是否合理、有效，如权限设置是否符合职权要求，人员岗位变动或离职前是否及时进行权限锁定或删除，客户数据是否进行唯一性检验，财务软件是否存在反结账、反记账等功能；核对、比较原始凭证与数据库凭证文件数据的一致性，以测试凭证数据输入控制的有效性；对数据库文件数据采用数据分析法，如分析数据文件中操作员代码、数据异常值、数据间的关联关系、数据间的平衡或合计关系等审查是否存在非法用户或越权操作、参数设置的有效性、数据处理是否存在错误等以测试数据处理控制的有效性，也可通过数据分析反推系统中存在的非法功能和漏洞，等等。（2）计算机辅助测试方法。通常可采用计算机数据审计软件工具、整体测试法、平行模拟法、虚拟实体法、受控处理法等方法。如利用计算机审计软件（OA）、数据库管理系统（Access、Sqlserver）、Excel等获取和分析被审计信息系统数据输入、处理、输出控制；运用整体测试法、平行模拟法、虚拟实体法、受控处理法等方法（张瑜，2012），测试系统的处理和控制功能是否恰当、可靠，接口程序是否存在缺陷等。除此以外，对于信息系统硬件、软件、网络安全等方面内部控制测试，由于其技术性较强，审计人员可重点从系统管理的视角着手。一般采用面谈法、询问法、观察法、测试软件等，重点审查计算机安全和管理制度的执行情况、是否建立安全认证机制、是否建立针对系统故障的应急安全机制、软硬件来源的合法性，观察硬件是否进行有效的保养、隔离，查看系统是否安装防火墙、安装防病毒软件、定期检测和清除计算机病毒，利用漏洞扫描工具和网络检测诊断工具等对网络环境进行测试和评估。

（三）如何做好信息系统效率、效果与效益审计

对于结合型政府信息系统审计中的效率、效果与效益性审计，应遵循可操作、实用性原则，审计机关审计人员可通过询问、观察、查阅资料、发放调查表和比较分析等方法，重点了解信息系统的各项功能在被审计单位日常工作过程中的使用情况，了解信息系统功能设置能否满足系统目标，了解信息系统保障被审计单位信息资源共享、业务有效开展和履行情况，了解信息系统运维成本和效益并进行定量化分析处理，对比被审计单位信息系统规划、运营目标，运用一定的评价方法（如平衡计分卡法、层次分析法、模糊综合法等）（张静等，2011）进行评价，给出审计结论和审计建议。就目前来说，信息系统的效率、效果和效益审计在我国仍然处于理论和实践探索阶段，缺少规范的指导，缺乏完善的评价指标体系，因此，如何科学、准确地评价信息系统的效率、效果和效益，仍然存在不小的难度。

系统审计论文篇（3）

坚持用科学、依法、严谨的态度去把握审计的“免疫系统”作用的实质。

所谓科学，就是坚持用全面、辩证、发展的观点去认识审计发挥“免疫系统”功能作用。全面的观点就是要把审计的作用放到国家整个经济社会发展运行过程、国家这个监督体系中去审视，而不是孤立地从审计机关内部向外看，辩证的观点就是既看到审计机关监督的有利和有为方面，也要看到审计监督的不利和不足方面；发展的观点就是既要看到当前的政治、经济、社会形势，也要看到国家政治经济体制的逐步转变，民主法治的逐步推进，国家职能的逐步调整，从而全面准确理解发挥“免疫系统”功能作用。

所谓依法，审计的民主法治的产物，也是推进民主法治的重要力量，依法审计是审计工作的最高准则。审计法规定，审计机关必须依照法力规定的职责、权限和程序进行审计监督；审计监督的作用是维护国家财政经济秩序，提高财政资金使用效益，促进廉政建设，保障国民经济和社会健康发展。因此，理解发挥“免疫系统”功能作用，必须从法律的规定出发，在法律的框架内进行延伸拓展。

所谓严谨，就是要坚持严密谨慎。法律规定、理论研究、审计实务三者是相辅相成、互动关联的。法律规定最有效力、最统一，但规定一般不够具体；理论研究最超前、最多元，可以指导审计实务，但需要具体实践的检验丰富和发展；审计实务最复杂、最具体，既要遵守法律法规，还需要理论的指引。因此，要发挥“免疫系统”理论指导审计实务的作用，必须对“免疫系统”功能作用的内涵、外延做缜密的理解把握，从而使审计发挥“免疫系统”功能作用的过程和结构经得起法理的推敲和实践的检验。

二、审计“免疫系统”的预防、揭露、抵御三大功能作用相互联系、相互依存

审计的预防功能是“免疫系统”功能作用的关键。审计的职能特点决定审计机关能够而且有责任及时发现苗头性、倾向性问题，及早感受风险，提前发出警报，起到预警作用。审计的预防性作用是指审计针对经济活动整体的防备功能，而不是指具体狭隘的每一项经济活动的事前预防。发挥审计的预防功能应当把握两点：

第一，审计监督制度设计的本身就具有预防性。审计是最高层次的、综合的、专业的监督，是对经济管理活动和一般行政监督管理的再监督。审计监督制度发挥作用不是仅仅依靠查处每个具体问题发挥作用，而是通过这一监督制度的设计，让所有属于监督范围的审计对象，自觉规范经济行为和财政财务收支，从而起到预防作用。同时，通过已经实施的审计，对未来的经济活动、未被审计的对象单位具有一定的预防、震慑作用。

第二，审计监督的介入时间对于发挥预防功能有重要影响。审计是对财政财务收支的监督，是对经济行政管理的再监督，本质上是财政财务收支和经济管理活动发生后的监督，因此，审计机关接入的时间非常重要。审计监督作为国家政治制度的一部分，在正常情况下，审计监督介入的时间既不能滞后，造成监督的缺位，影响监督作用的发挥；也不宜过于超前，至少应在财政财务收支和经济管理活动发生后进行。

审计的揭露功能是“免疫系统”功能的核心。审计机关通过查处违法违规、经济犯罪、损失浪费、奢侈铺张、损坏资源、污染环境、损害人民群众利益、危害国家安全、破坏民主法治等各种行为，并依法对这些行为进行惩戒。

预防功能作用的发挥程度取决于揭露功能作用的发挥。第一，揭露功能是审计的本质。第二，揭露功能决定预防功能。只有揭露重大违法违规问题有成效，前面所讲的审计的预防性作用才能有效发挥。

审计的抵御功能是“免疫系统”功能的重点。审计不仅要揭露问题，更要对产生这些问题的原因进行深入分析、提升审计成果，促进改革体制、健全法治、完善制度、规范机制、强化管理、防范风险，提高经济社会运行质量和绩效。发挥审计的抵御功能，其实质就是发挥审计的建设性作用，通过促进体制机制的建立健全和完善，增强经济社会运行的自身“免疫力”。从更高层次、更大范围上发挥审计的预防性作用。

三、发挥审计“免疫系统”功能必须抓住审计工作的四个环节

第一，及时发现问题。这是发挥审计“免疫系统”功能作用的重要前提。审计机关要按照审计法赋予的职权，紧紧围绕党和政府的中心工作，围绕经济社会和人民群众关注的热点问题，切实加强对重点部门、重点资金、重点项目的监督，及时发现经济运行中存在的最大违法违规、重大决策失误、重大损失浪费、损害群众利益、重大经济犯罪等问题，促进微观经济实体和宏观经济健康运行。

第二，依法处理问题。这是发挥审计“免疫系统”功能作用的重要手段。审计机关对审计发现的能够处理的问题，要依法作出处理，直接发挥审计揭露违法违规问题的作用，维护经济秩序，维护法律权威。在依法处理过程中要坚持实事就是的原则，从动机、后果方面找原因，做到“三看”：一看动机，对事项的决策上，其动机是好的，如果是为个人，那就有问题，就应该追究；二看程序，如果是集体讨论，程序合法，就不应该追究，反之，就应该追究责任；三看后果，如果造成了安全、稳定方面的问题或重大经济损失和浪费，就必须追究责任。

第三，利用审计成果。这是发挥审计“免疫系统”功能作用的重要途径。一是通过审计报告、决定，责令被审计单位整改审计问题，完善内部管理，提高经济效益，促进微观经济实体健康运行；二是通过审计移送，将重大违法违规问题及其有关人员，移送司法等有关部门处理，增强对违法犯罪行为的震慑作用，从而推进廉政建设，促进政权巩固和政府机关廉洁高效运行；三是通过审计信息，将涉及宏观经济管理、体制机制、政策措施等问题，及时向党委政府反映，提出审计建议，完善体制机制存在的缺陷，促进改善宏观调控，促进国民经济健康发展。

第四，依法报告工作。这是发挥审计“免疫系统”功能作用的重要方式。法律规定，审计机关每年要依法向政府报告预算执行审计结果，并代政府向人大常委会报告预算执行审计工作。通过这种较高层次的工作报告制度，将审计机关的年度工作成果进行总结、归纳、提升，服务政府推进依法行政和宏观调控，服务人大履行监督职责，健全完善体制机制，推进社会民主法治进程。

四、发挥审计“免疫系统”功能作用，必须贯彻落实科学发展观的根本要求

首先，坚持着眼根本，做到四个把握。一是把握服务方式。审计的本质是监督，监督的目的是服务，审计机关通过实施监督体现服务，只有履行好监督职责，才能真正服务大局，服务发展。二是把握服务对象。按照宪法和审计法的规定，审计机关对同级行政首长负责，对政府负责就是对人民群众负责。三是把握服务途径。通过依法实施财政审计、投资审计、企业审计和经济责任审计，揭示问题，处理问题，提出建议，实现服务科学发展。四是把握服务要求。通过履行审计监督职责，推进法制，维护民生，推动改革，促进发展。

系统审计论文篇（4）

随着市场经济的深入发展,企业逐步成为自主经营、自我约束、自我发展、自我完善的商品生产者和经营者。在“优胜劣汰、适者生存”的市场经济中,企业要想真正的做到“自主经营、自我约束、自我发展、自我完善”,必须要加强内部控制,建立有效、完善的内部控制制度,这样才能在一个绝对的高度上,对企业进行高瞻远瞩的控制,才能做出与时俱进的决策。

(二)内部审计是企业内部监督机制的重要组成部分

内部审计也是企业内部控制的一个重要的组成部分,是监督内部控制其他环节的主要力量。内部审计通过对控制环境和控制程序的有效性进行监督,评估企业的内部控制是否被执行,是否及时反馈有关执行结果的信息,是否帮助企业更有效地实现预期控制目标。同时,在监控过程中,内部审计可以促进控制环境的建立和改善,为改进控制制度提供建设性的意见,为企业建立健全所需要的内部控制水平服务。在内部控制的监督过程中,内部审计发挥着越来越重要的作用。

二、内部审计在防范信息系统风险中面临的问题

(一)信息系统安全管理机制不健全

企业信息系统风险的存在,很多是由于管理不善或控制不严造成的。一方面,缺乏一套统一的安全策略体系来指导安全管理工作,无法建立系统内部明确、全面的安全规范要求。从现有管理制度规范来看,主要存在的问题是可操作性差,条理不清、重叠或遗漏等;另一方面,现有安全管理制度的管理对象基本是网络系统管理员等技术部人员,管理对象没有全面涵盖所有信息系统技术相关人员,包括所有网络系统上的内部终端人员和外部人员。

(二)内部审计在信息系统风险防范中的角色缺乏独立性

内部审计的角色发生了转变。从传统的事后审计而逐渐转向事前和事中审计,主动参与内部控制系统的建立和完善。内部审计人员即承担着评价硬件和应用信息系统安全的任务,如果又同时有参与了系统的开发和实施过程,那么内部审计人员就却乏独立性。反之,如果处于对丧失独立性的担心,内部审计人员有可能会拒绝参与系统和软件的开发,那么系统开发过程中存在的风险又无法得到控制。

(三)内审部门技术力量薄弱造成对信息系统审计形成风险

审计稽核部门的技术力量薄弱,不熟悉业务系统的流程和功能,对信息系统缺乏必要的认证能力和标准。突出表现为以下几个方面:一是实施审计稽核的手段和方法没有得到及时更新,不适应信息系统管理的要求,大部分仍停留在手工审计阶段;二是审计稽核部门对计算机账务系统实施审计的依据仅依赖于被审计单位提供的打印资料或事后资料,计算机账务的真实性审计很难得到保证。

三、加强风险防范的措施和对策

(一)构建信息系统安全管理组织及规范体系

加强信息系统的自我风险评估体系,让信息系统的管理和技术人员在自身的职责范围之内正确识别和评估潜在操作风险,主要包括内控制度的查漏补缺、工作流程的整理和规范、应急预案完善和演练等。同时加强对操作人员的管理,规范操作程序。一是加强密码管理,明确规定操作人员的权限,操作员必须在规定的权限内办理业务,用户口令及密码必须专人专用,严禁公开口令及密码;二是要建立健全操作员岗位目标责任制,对网络操作人员要明确目标任务,规范操作程序,严格落实奖惩制度。三是要严格岗位设置,不相容职务进行分离。严禁系统管理人员、网络技术人员、程序开发人员和前台操作人员混岗、代岗或一人多岗。四是要加强系统内部的稽核监督检查。稽核监督应贯穿于网络操作的全过程,重点是加强对系统设计开发、内控管理制度落实、操作运行等方面的(二)关注信息系统的稳定性、安全性和有效性审计

首先,审计人员应运用用一定的技术方法识别系统的完整性,该过程包括检查、测试、评估系统的内制,以保证系统的稳定性;其次,审计人员应评价系统存在的风险和可能产生的后果将成为审计的核心工作和基本内容,保证信息系统的安全性。应根据审计的标准和准则,评价控制环境的和IT基础设施的安全,确保系统满足组织的业务需要,保护信息资产的安全完整,以防非授权使用、泄露、修改、损坏或丢失;最后,还应鉴别信息系统的有效性。内部审计必须理解并熟悉操作环境,了解系统技术的复杂性及其对决策的影响;对来自内部的安全隐患,采用一定的方法进行系统诊断、检验、测试,评价其有效性及效率,以支持组织业务目标的实现

(三)改善内审机构,提高内审人员素质,培养信息系统审计师

为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价。信息系统审计师也称lS审计师或IT审计师,是指那些既通晓信息系统的软件和硬件(包括信息系统的开发、运营、维护、管理和安全等),又熟悉经济管理的内部审计人才。

(四)聘请专家进行协助

内部审计人员的知识、技能和经验虽然有助于信息系统的风险防御,但现实中必须承认,在企业中同时具备计算机技术和审计专业知识的人才非常短缺。再出色的内部审计人员可能面临一些系统内的专业问题却无法解决,因此有必要聘请外部专家。可以通过专家的协助测试运用其专业技能测试系统安全,进一步防范和解决信息系统风险的存在。

论文关键词:内部审计信息系统风险防范

论文摘要:内部控制是社会经济发展到一定阶段的产物,其内容在不断的发展与变化,而内部审计是内部监督机制的重要组成部分。目前计算机信息系统已在企业中广泛使用,而在内部审计过程中如何加强计算机信息系统的风险防范,是企业内部控制过程中迫切需要解决的问题。

系统审计论文篇（5）

（一）人员流动渠道不畅通

审计系统由于受编制、人事管理体制及专业性质的制约，人员的录用、提拔、调离等方面都存在一定的困难与障碍，人员流动性小。虽然政府再三强调审计机关工作人员逢进必考，但现实的大环境，人事部门也难于做到严把进人关。近两年我局所进人员，基本上是乡镇领导换届安排，部分关系人员照顾性进来的，实际能胜任审计工作人员难于“走进来”，而非专业人员，相对来说又难于“走出去”。审计人员提拔、输出的极少，由审计岗位走向领导岗位的更少，人员始终处于一种自行消化状态，干部成长渠道窄。由此严重影响了审计干部向健康、向上方发展，从而影响了审计事业的推进。

（二）机制体制不完善、不健全

基层审计机关审计任务繁重，工作压力过大是不可否认的现实，所以在日常工作中，年龄偏大点的审计人员认为自己搞审计多年有经验、有方法，同时存在“船到码头车到站”的思想，当天和尚撞天钟，完成任务就行了。而年轻刚进来的审计人员，大多凭关系进审计局，缺乏刻苦钻研、勤奋好学的精神，得过且过，应付了事，整天讨好领导，在理念和实践上无长进，形成一种“工作干好干坏无区别，干多干少无所谓”的不正确认识，这种状况的出现主要还是基层审计机关机制体制不完善、不健全，以及有关制度未能真正做到有效地贯彻执行，尚未建立健全符合现阶段审计发展的审计管理、审计教育培训等工作机制，缺乏切合实际的考核激励制度，最终导致审计人员工作态度不够认真，积极性不够高，创新意识不强的结果。

（三）学习教育不够重视

基层审计机关普遍存在业务人员少、任务重的矛盾，且大多数都是具有丰富审计经验的40～50人员，加上每年要完成的审计单位（项目）众多（如我局去年审计的单位（项目）73个，其中年度计划51个，县委、县政府临时交办22个，今年又达74个，这还不包含县委、县政府临时交办的审计项目），项目一个接一个，加之审计的程序及其繁琐，案卷整理过于繁杂，审计决定执行难度较大，审计人员长年累月奔波于审计一线，天天忙于查账、写审计报告、执行审计决定、整理审计案卷，任务的日趋繁重，及主观上缺乏足够的重视，基层审计人员在学习上更多的是采取敷衍的态度，静不下心、沉不下心去认真学习，深入思考学习新的审计方法和技巧。由于过份强调“忙”，更谈不上组织审计人员进行系统培训，最终导致审计人员综合分析、解决问题、创新等各方面能力得不到提升，运用绩效理念，计算机技术等现代审计方法无所适从。

二、对策及建议

加强基层审计队伍建设，是推动审计事业不断发展的根本保障，是新时期、新形势下社会各界对审计工作的基本要求，也是充分发挥审计保障国家经济社会健康运行的“免疫系统”功能作用的迫切需要。基层审计干部队伍建设是一项系统的工程，任重道远，需要基层审计机关及广大审计人员坚持科学发展观，树立科学审计理念，从提高认识、完善机制体制及制度、加强学习教育、优化队伍结构，提高审计质量等措施入手，不断强化队伍建设，全力打造一支适应新时代要求的高素质审计干部队伍。

（一）优化人员结构

一是立足当前实际，从现有人力资源上下功夫，努力提升审计人员的素质，从根本上解决审计队伍知识结构失衡、能力发展不均衡等问题。由于受机构编制制约，短时间内难以通过招录人员、引进专业人才的方式充实审计力量，优化审计队伍结构，根据审计队伍实际情况，通过以老带新、以强带弱、强化学习培训、强化沟通交流等方式，积极培育审计人才，促使审计人员具备丰富的业务知识、扎实的专业技能、勇于创新的精神。二是严把审计进人关，用好有限的人员编制，招录急需人才。根据审计机关工作性质及专业特点，通过设定一定的条件及标准、采用科学合理的录用方式将审计队伍中知识结构严重缺位的、审计工作急需的人才引进到审计队伍中，确保队伍整体素质及水平。三是逐步建立审计专家库。作为基层审计机关，普遍存在人才缺口，很难配齐所需的各类人才，因此上级审计机关因结合审计实际，逐步建立完善适应审计需要的审计专家库。基层审计机关可以通过聘请专业人才参与审计等的方式，缓解审计力量不足的矛盾。

（二）争取政府支持，确保审计经费

《国务院办公厅转发审计署关于机构改革中加强市、县级人民政府审计机关建设几点意见的通知》（［2000］86号）精神要求，“各级审计机关的审计经费应根据《审计法》的有关规定，列入同级预算，由本级人民政府予以保证”，据此，审计机关应主动争取政府支持，财政年度预算时充分考虑到审计工作性质、工作量、工作职能和工作成本，确保审计机关的经费，以提高审计工作服务水平和质量，切实维护审计人员廉洁审计，依法审计形象，推动我县审计事业全面科学发展。

（三）健全完善相关机制制度

一是建立完善考核激励机制。坚持以人为本理念，针对审计事业发展方向及基层审计工作特点，建立和完善基层审计机关的工作考核制度和管理办法，激发审计人员的工作积极性，有效提高审计质量。并针对审计发展形势需要及制度操作中存在的不足等，及时科学地调整考核内容，使之能够真正发挥作用，营造良好的竞争氛围。例如我局2005年制定出台的内部管理考核办法，围绕德、能、勤、绩、廉等几方面，将定量考核与定性考核相结合，以审计工作业绩为考核重点，将业绩与审计人员完成项目质量、成果运用、审计创新等相挂钩，量化考核指标。并逐年进行修订完善，不断细化考核项目。通过近年来内部考核办法的实施及修订完善，我局在调动审计人员工作积极性及提高审计质量等方面取得了显著的成效。今年，我局又将继续围绕科学发展及审计转型的要求，对考核内容进行修订完善，工作成效将不再只针对查出多少违规金额，上缴多少财政金额，而是重点关注有否解决实际问题，帮助党委、政府建立健全体制机制，维护人民切身利益等方面。

（四）强化学习教育

针对目前基层审计干部专业结构状况，要使广大审计人员充分认识到学习的重要性。当今社会正处于知识更新的新时期，就审计人员本身而言，学习是防止思想僵化，保持不断创新，持续进步的基础。就审计机关而言，加强培训，促使审计人员有计划、有目的地接受学习和教育，是提高审计干部队伍综合素质，推动审计事业科学发展的有效途径。首先，基层审计机关应营造良好的学习氛围，教育全体审计人员端正学习态度，主动协调好工作、学习、生活之间的关系，鼓励审计人员利用一切可以利用的时间，以自学为主的方式，在学习专业知识的同时，重视其他相关知识的学习，注重学习效果，切忌走过场，使广大审计人员能真正从扩大审计人员知识面和思维视野出发，培养审计人员思考问题、分析问题的能力及创新意识等。同时有针对性地选择有潜力、有钻研的审计人员进行综合培训，积极培养一人多专的“复合型”人才，解决审计应用上的困难及人才缺乏等现实问题。其次，基层审计机关应建立健全教育培训机制。根据审计发展形势及审计人员的岗位、专业、文化程度、知识结构等情况，制定中长远的培训规划和年度计划。培训内容上，应基本涵盖宏观经济、法律、审计业务、计算机、基建等知识，不断拓宽学习覆盖面。培训方式上，应注重有计划地分类、分层次培训，如按照领导、骨干、一般等不同层次对象有针对性地开展培训，也可根据审计实践需求，采取委培、代培、抽调基层人员参加上级审计项目等多种方式开展培训。培训方法上，应考虑基层审计机关的实际，防止只重形势不重效果，走过场的培训，减少“作报告”、“谈体会”等枯燥单一形式的培训，注重采取新颖、互动的培训方法，采取审计实务的操作演示、审计业务的经验交流等培训方法。如我局从今年起，每月第一星期周一各业务组长互相交流审计实施情况，也是一种很好的培训方式。

（五）加强审计质量控制

1.重视审前调查，提高审计方案编制质量。

一是审计人员在编制审计方案之前，必须做好充分的审前调查。在了解被审计单位的内设机构、人员情况、领导及分工、单位主要职能、下属单位情况、纪委等有关单位掌握的情况，以往审计情况，以及计算机环境的基础上，注重掌握重大事项如工程建设、大笔资金征管用、资产处置情况等。二是根据审前调查掌握的实际情况、重点内容等编制审计方案，重点项目应开展审计方案论证，审计组长及时根据审计方案论证会形成的意见，完善审计方案。

2.遵守规范，鼓励创新，提高审计报告撰写质量。

系统审计论文篇（6）

【作者简介】张艳玲，渤海大学副教授，硕士；王娟，渤海大学讲师，硕士，辽宁锦州121000

【中图分类号】F239.0 【文献标识码】A 【文章编号】1004-4434（2013）02-0155-05

免疫系统论是对审计理论的创新和审计本质、职能的重新界定，石化企业作为我国国民经济的重要组成部分，其在维护国家经济安全、促进国有资产保值增值中发挥中重要作用。在国际金融危机影响尚未完全消除、国内外经济发展环境多变、市场竞争日益激烈和企业风险趋于多元的后金融危机时代。石化企业必须以免疫系统论作为新的价值取向深度推进审计文化建设，促进审计事业的创新和发展，保证企业可持续发展的实现。

一、审计文化的内涵、特点及功能

（一）审计文化的内涵

审计文化与文化之间具有密不可分的联系，审计文化是文化的重要组成部分，要了解审计文化的内涵，必须先分析文化的具体内容。关于文化的内涵，在学术界有不同观点。按照《现代俄语标准辞典》的解析：文化是指人类社会在生产中、社会生活和精神生活中所取得的成就的总和，包括物质文化和精神文化两个层面。泰勒（1992）认为，文化是一个复合整体，包括知识、信仰、艺术、道德、法律、习俗以及作为一个社会成员的人所习得的其他一切努力和习惯。还有学者认为，文化是代表一定民族特点的反映其理论思维水平的精神面貌、心理状态、思维方式和价值取向等精神成果的总和。可见，文化是一个多视角、多维度和多层面的概念。包括了物质、精神、理性和感性等多方面的涵义。也正是由于文化的复杂性，审计文化也成为了仁者见仁、智者见智的问题。但整体而言，审计文化具有自然属性和社会属性两种属性已成为普遍共识。审计文化的自然属性是审计工作中具有的属性，是共性，如审计法律法规、审计准则、审计手段和方法以及审计行为等。审计文化的自然属性决定了不同社会、不同国家的审计文化的共性。是不同国家相互交流的基础。审计文化的社会属性是审计工作中所形成的属性，是个性，其决定了不同社会、不同国家审计文化的差异性。虽然审计文化还没有形成统一、具体的概念，但学者普遍认为，审计文化是审计机关及其审计人员在履行职责、发展审计事业过程中培育形成的，被共同认可、遵循的价值观念、道德规范、行为准则、群体意识的总和。不难看出，学者对于审计文化的理解和认同，主要是集中在审计价值观、审计精神、审计心理和审计道德等在内的精神方面。

（二）审计文化的特点

经过近30年的发展，审计文化已经逐步形成了区别于其他文化的特点。（1）时代性。审计文化是时展的产物，无法脱离特定时代、特定政治、经济和社会环境的制约，随着社会经济关系的发展而变化，以适应社会经济发展对审计工作的要求，与审计工作实际现状保持协调一致。（2）系统性。审计文化包括了审计物质文化、审计制度文化和审计精神文化三个层面，三者相互关联、缺一不可。审计文化建设，不仅要注重制度、技术等有形因素，更要重视信念、价值观、道德评价等无形因素。（3）创新性。在社会经济不断发展的背景下，审计手段、审计方法、审计理论以及审计的价值观等必定要不断创新。（4）开放性。审计文化与其他文化虽有本质区别，但又相互兼容，既需要吸收先进文化的基本元素，又可以为其他文化提供借鉴和吸收。（5）科学性。审计文化具有自身的发展规律，其发展以社会经济发展水平和社会环境为基础，不能超越于经济发展水平的需要而独立存在，审计文化应与经济发展和审计工作的实际需要保持协调一致。

（三）审计文化的功能

实践证明，审计文化具有四个方面的功能。其一，凝聚功能。先进的审计文化，可以增进审计及机关人员的相互了解。团结各岗位、各领域的人员，形成共同的认知和价值观，增强企业凝聚力和忠诚度，形成促进企业发展的巨大合力。其二，激励功能。价值观和精神文化是审计文化的重要内容，其具有良好的精神感召力，有利于形成强有力的激励环境和激励机制，调动审计人员的主动性，全身心投身于审计工作，推动审计事业发展。实践证明，在某种程度上，文化的激励作用往往胜过行政命令的执行约束。其三，约束功能。审计文化的约束功能在价值观的指导下，借助道德、信念和风气发挥作用，通过心理的诱导和规范，引导人的思想和行为趋于和谐、一致。其四，教育功能。良好的审计文化有利于企业职工陶冶思想素质和道德情操，遵循正确的思想准则和行为规范。此外，审计文化还可以促使外部人员增加对审计工作的理解和配合，促使社会各界更加关注和支持审计事业。

二、免疫系统论与审计文化建设的内在机理

审计免疫系统是国家审计署审计长刘家义于2007年提出的观点，并在2008年中国审计学会五届三次理事会暨第二次理事论坛对全面深刻地阐述了免疫系统理论。免疫系统论是对审计理论的创新、审计本质和审计职能的新发展。刘家义审计长指出，审计应具有和发挥预防、揭示、抵御功能，现代国家审计就是经济社会运行的一个免疫系统。很显然，免疫系统论下的审计已经超越了传统审计中的会查账就是审计的定位，并对传统审计的监督、评价和鉴证职能进行修正及突破。免疫系统论下的审计，要做到资金管理使用的合规性、合法性、效益与效果性兼顾；既要查处问题，又要完善制度政策；在审计经济问题的同时，加强对社会、生态、环境和民生等问题的关注。对于企业而言，审计部门作为公司“免疫系统”的重要组成部分，要从审计的本质出发，发挥预警、揭示和修补抵御等“免疫”功能，同时当好经济卫士和保健医生，查错纠弊、规范管理、完善制度、堵塞漏洞，促进公司依法经营、规范管理，并不断增强抗风险能力和市场竞争力，保障公司经营管理活动安全运行和健康发展。通过分析免疫系统论和审计文化的功能与目的，两者是趋于一致的。是可以融合的。互为促进的。

（二）创新审计制度，强化审计文化建设的制度保障

系统审计论文篇（7）

二、转型环境下提高基层人民银行信息系统审计水平的对策

（一）创新审计流程，强化信息系统事前和事中审计。信息系统审计是以保证计算机信息系统安全平稳运行，有效控制风险为目标的，如果仅从合规性的角度进行信息系统审计，无法达到上述目标，因此，开展信息系统审计的目的不仅要善于发现问题，有效防范已暴露的风险，更要分析化解潜在的风险，以提高审计效果。这就要求我们要创新审计流程，改变传统审计方法，采用“参与式”的审计方式，加强与科技等部门的沟通交流，重视事前与事中审计。一要完善沟通机制。科技与系统应用部门应及时将制定的有关制度、操作规程、系统运行中的事故情况、解决措施、处理结果发送给内审部门；内审部门应就审计系统时发现的问题，及时向科技和系统应用部门进行通报和反馈，并与他们定期或不定期地磋商、交流，了解各业务系统运行情况，更好地发挥信息系统审计的作用。二要组织审计人员参与新系统的开发、评估，并设计满足审计业务需要的功能，真正做到对信息系统的事前和事中审计。三是在审计过程中采用“参与式”审计方法，参与信息系统审计目标、内容、计划的制订，参与审计中发现问题的分析、讨论，参与信息系统风险的评估及改进措施的制订等。

系统审计论文篇（8）

1.开展信息系统审计审前调查审计组在审前调查阶段，专门开展了信息系统审计审前调查，调查的内容包括：信息系统承载的业务应用情况、业务应用软件、系统业务流程图和数据交互图、网络拓扑结构、主机/存储设备/操作系统/数据库系统、信息系统相关文档等。通过信息系统审计审前调查，大致了解了被审计单位的信息系统的基本情况及业务处理流程：市电子警察系统主要包括违法录入、违法修改、违法审批、法律文书管理、黑名单管理、违法统计等功能。其通过“邮政送达平台”和“银政联网平台”分别与广州市邮政局（以下简称邮局）和银行交换数据，以实现违法通知书的邮寄和罚款的缴纳。四区两市监控设备采集到的数据通过专线或3G网络传送到交警大队服务器中，通过前端审核系统对数据的有效性进行审核，审核完的有效数据上传到市交警支队的“电子警察系统”中。电子警察系统中通过审核的有效数据上传到省系统中，再上传到公安部的“六合一”平台。

2.确定审计组织模式审计组采用了市本级审计组与区县审计组上下联动、信息共享的审计组织方式，由市本级审计组负责市公安局交警支队和两个区分局交警大队的审计调查，其余的四个分局交警大队由各区县审计组分别负责。市本级审计组通过分析“电子警察系统”和“省系统”数据库，将问题数据分割后通过审计署OA系统及时发送给四区两市审计组。四区两市审计组审计分析各自的前端系统数据库，发现的审计线索也通过OA系统上传到市本级审计小组，以确定是否全市普遍存在问题。

3.确定审计重点和方法根据信息系统审计审前调查的结果，审计组决定以交通违法业务处理流程作为切入点，跟踪业务数据流向来开展信息系统审计。审计调查的重点包括四个方面：一是电子警察系统的合法性审计。因为电子警察系统的合法性决定了公安部门执法的合法性，其作出的行政处罚是否存在行政诉讼的可能。例如：执法点位有无按规定向社会公布；执法点是否按规定设置标识牌；执法点的设备是否经过验收和定期检测等，执法点的设备能否正常运行等。二是电子警察系统的有效性、完整性审计。如：违法数据是否按规定全部、及时核对录入；违法记录是否全部及时向当事人制发书面通知；超过规定时速的违法行为是否严格按规定进行处罚；有无擅自撤销处罚记录等。三是电子警察信息系统的安全性审计。如，数据上传过程中是否存在上传失败的情况；前后业务处理流程之间的数据量是否存在差异；操作系统、数据库以及应用系统访问是否存在的安全隐患等。四是电子警察系统的效益性审计。对审前调查确定的重点，审计组分别采用了不同的步骤和方法。①针对系统的合法性采取的审计方法：⑴取得目前交通“电子警察”的种类、数量及分布情况，与金盾网上向社会公布的执法点对比，检查执法点位有无全部按规定向社会公布。⑵在征询社会公众的意见的基础上，实地抽查执法点有无按规定设置标识牌；抽查指示灯号、标志线、限速指示牌等行车标志、标识是否合理；抽查交通“电子警察”测速设备，是否存在限速过低。⑶抽查交通“电子警察”设备的技术档案资料，检查所用的设备是否符合国家标准或者行业标准。⑷抽查记录，检查是否存在执罚程序不合法、未及时通知违法行为人等问题。②针对系统的有效性、完整性采取的审计方法：⑴抽查近三年广州市交通“电子警察”定期检测、保养、维护的日志、记录资料，检查设备有无定期检测、保养、维护；通过实地闯红灯和超速检查信息系统设备运行情况的有效性。⑵检查数据校验功能是否缺失。如核查决定书编号是否唯一编号、是否存在重号等。⑶通过不同系统之间数据的对比，核查系统数据完整性。一是横向比对，例如通过交警数据和邮政数据比对，违法记录是否全部及时向当事人制发书面通知，通过交警数据和银行数据比对，检查最终违章记录表中反映的已缴处罚金额总额是否与财政同一期间的非税收入金额一致；二是数据的竖向比对，例如通过四区两市的数据和支队数据比对，支队数据和省交警总队数据比对，检查系统数据在升级和迁移过程中是否发生丢失。⑷处罚撤销情况统计。审核撤销的数量、原因情况。审核撤销是否具有完整的内部控制制度，系统是否有控制手段。③针对系统的安全性采取的审计方法：⑴检查管理制度，查看系统后台记录的有关用户操作权限。⑵实地抽样查看系统操作人员对系统用户权限的管理，并运用数据审计技术和软件，对信息系统自动记录的日志进行筛选分析，检查有无未经授权的进入、非法修改删除数据等异常操作，从而判断信息系统的运行管理是否存在明显错误或者缺陷。④针对信息系统的效益性采取的审计方法：⑴通过直接发放调查问卷等方式，征询公众对广州市公安机关利用交通“电子警察”查处道路交通安全违法行为的意见，分析交通“电子警察”信息系统运行、交警执法的合理性、合法性和效益效果，提出对交通“电子警察”建设和利用的建议。⑵现场抽查交通“电子警察”设置到位情况，通过勘察、试验、拍照等取证手段，对市公安局“电子警察”项目的设置规划、分布、效益进行实地调查，重点检查有无长期在建、虚设不用、闲置浪费等低效益现象，形成绩效评价意见。⑶通过对交警执法效率提升、当地车辆保有量增长、交通事故数量及事故死亡人数变化等相关数据分析，采取量化指标反映“电子警察”取得的社会效益情况。⑷调取业务数据进行分析。如抽查监控点近三年开出罚单情况，动态分析监控点的运作情况汇报；分析近三年的事故多发地点，以及在事故多发地点设置交通“电子警察”情况。

4.项目取得的成果审计组通过开展电子警察信息系统审计，查出了以下主要问题：①部分监控设备长期没有维护，导致无法采集数据或数据失效。②部分违法数据未及时核对、录入。③区（县级市）违法数据与市局存在差异。④未在规定时限内向当事人邮寄交通违法处理通知书。⑤电子警察管理系统反映的违法处理通知书数据与邮局反映的寄出数据存在差异。⑥未及时对区县的异常数据信息进行检查、分析，导致滞纳金数据失真。⑦交警部门记录的入库金额与银行返回的金额存在差异。⑧电子警察管理系统数据上传公安部“六合一”平台时数据丢失。⑨信息系统中交通违法信息内容记载不够完整。公安交警部门对以上查出的问题高度重视，边审计边整改。其中对部分监控设备长期没有维护的问题，市交警支队已加强设备巡检、维护工作的监督力度，对未能正常使用的设备已及时排除故障；通过优化系统和设备配置、延长工作时间、抽调人员支援、将人工拍摄的非现场数据核对录入工作下放至辖区交警大队等措施，有效解决对部分违法数据未及时核对、录入的问题；对未在规定时限内向当事人邮寄交通违法处理通知书的问题，支队按不同的形成原因采取措施予以解决，对确因传送失败而未寄出通知书的，支队与邮政部门重新设计和开发统计违法数据数量功能模块，已正式启用，同时，与邮局采取每日核对数据量、对异常数据加强巡检等监管手段，确保发送数据量与邮局接收数据量一致；对未及时对区县的异常数据信息进行检查、分析，导致部分数据失实的问题，支队已在系统中对滞纳金字段值进行限制，有效解决了缴款时间滞后造成滞纳金不实的问题；对相关业务处理流程之间的数据存在差异的问题，支队正在筹建交通管理数据交换平台，将邮政、银政、电子警察、交委等数据统一通过该平台进行管理，进一步规范数据的共享与交换，同时对数据共享与交换情况进行全面监控，同时，将加强对系统操作人员的培训，提高业务和技能水平；对数据上传公安部“六合一”平台失败后没有作补救处理的问题，支队通过开发数据上传失败查询模块和安排专人跟踪数据上传情况，一旦发现数据上传失败立即进行补传，确保不因技术问题导致上传失败；对信息系统中交通违法信息内容记载不够完整的问题，支队已在新的电子警察管理平台中增加相关字段内容，逐步完善系统的设置。

二、做好信息系统审计的启示

1.做好审前调查是做好信息系统审计的必要前提。审计人员需要根据审前调查了解的行业政策、信息系统的设计、管理和维护情况，从而确定审计的范围和关注点，准备好信息系统审计的软、硬件条件。只有做好信息系统审计审前调查，才能充分评估开展信息系统审计的重要性、可行性和风险性。

2.了解信息系统业务处理流程是做好信息系统审计的主要关键。深入了解被审计单位的业务处理流程，掌握信息系统内部控制环节、数据处理环节和数据传输转移环节，以业务处理流程为切入点，就可以知道容易产生问题的环节，从而确定审计的重点，做到有的放矢。

3.合理配置审计人力资源是做好信息系统审计的有力保证。当前审计机关普遍面临信息系统审计复合型人才馈乏的困境，要在短时间内改变这一状况是不现实的。本案例中审计组配备了专长财会的审计人员和专长计算机技术的审计人员，由专长财会的审计人员负责研究行业政策，收集业务流程各环节的关注点，提出审计需求，由专长计算机技术的审计人员按需求设计计算机语言，对海量数据进行筛选，再交专长财会的审计人员对筛选结果进行分析，共同研究提出审计意见。复用审计思路的审计组织方式能使信息系统审计事半功倍。

4.采取灵活多变的审计方法是开展信息系统审计的有效途径。本案例中采取了审阅、查询、计算、分析性复核、社会调查问卷等多种方法。多种审计方法的灵活运用，可以相互印证审计事项，拓宽审计视野，扩大审计成果，加强审计的影响力。

系统审计论文篇（9）

国家审计署审计长刘家义在2008年“推进内部审计转型与发展研讨会”上指出，现代内部审计是部门、单位企事业组织的“免疫系统”，是内部控制体系的重要组成部分，渗透到内部管理的各个方面，必须以“强管理、防风险、促发展”为己任财务论文，积极探索以“事前审计为基础、事中审计为重点、事后审计为保障”的审计方式，要责无旁贷地承担起推动内部控制建设、强化风险管理的重要职责。这给内部审计的发展趋势定下了基调。高校审计部门作为现代内部审计的重要组成部分，担负着高校依法行政、依法监督的重要职责。目前，各高校审计部门所从事的业务工作大都是“事后审计”、“秋后算账”，没有体现出审计监督所应有的作用论文参考文献格式。高校内审工作需要切实转变传统的审计观念，改变以往“要我审”的模式，将审计工作“关口前移”，树立“防范胜于纠正”的理念，提升高校内审工作的前瞻性，提出多角度全方位的建设性意见，为决策层提供更有力的支持财务论文，为学校发展提供更优质的监督和服务。

一、高校内部审计工作“关口前移”的内涵体系

内部审计工作“关口前移”是新时期党风廉政建设“更加注重预防”要求在审计工作的具体运用，是把事后审计变为事前、事中审计，发挥审计“免疫系统”功能的必然要求。那么如何理解高校内部审计“关口前移”内涵，本文认为可以结合科学有效的方法加以剖析。

（一）从系统论角度丰富高校内部审计工作“关口前移”内涵。

一个系统是由各个相互作用相互影响的个体集合形成的整体。高校内部审计工作“关口前移”是一项具有复杂性、前瞻性的系统工程。其一、从系统所处的环境出发，一个动态的系统必定与它所处的系统环境有着结构性的联系。刘家义审计长2008年3月提出发挥审计“免疫系统”功能的观点之后，全面审计系统积极响应，许多审计创新理念雨后春笋般出现，在这种审计转型大趋势环境下，高校内部审计工作“关口前移”是践行审计“免疫系统”理念，推动审计工作转型必要途径论文参考文献格式。其二、从系统的整体性出发，审计人员必须从审计项目的各个侧面对高校内部审计工作“关口前移”进行系统化动态化研究分析财务论文，包括：审计的战略目标、影响审计项目的内外部关系、被审计部门内控制度的相互作用等。

（二）从控制论角度强化高校内部审计工作“关口前移”监督。

控制论是信息交换过程中原因与结果不断相互作用以完成共同目标的过程控制，一个完整的控制系统必须包括三个要素：导向器、检测器以及矫正器。高校内部审计工作“关口前移”相当于导向器和检测器，侧重于事前、事中控制，发挥着审计“免疫系统”的预防功能和揭示功能。在高校内部审计过程中，当控制主体（审计人员）将获取的控制信息（审计证据）传达给被控制对象（被审计项目或被审计部门）时，其实也就是起到了一个行为修正的作用，即相当于控制系统中的矫正器，同时也发挥着审计“免疫系统”的抵御功能。

（三）从信息论角度畅通高校内部审计工作“关口前移”渠道。

为了全面清晰认识高校教育系统经济收支、专项资金管理、教育资产安全完整等情况，必须加大高校内部审计信息化建设，在改进审计手段和提升审计效能的基础上，畅通高校内部审计“关口前移”所必需的信息渠道财务论文，充分运用0A审计办公系统和AO审计现场实施系统对财务数据和业务数据联动审查，建立一套可操作性强的信息传输、信息获取、信息筛选、信息处理、信息储存的动态高校内审路径。

二、当前高校内部审计“关口前移”的主要制约因素

审计“关口前移”是审计方式创新的结果和审计工作科学发展的延伸论文参考文献格式。从工作实践上看，高校内部审计“关口前移”取得了卓著的工作成效和良好的社会评价。但是，近年来，很多高校投入大量资金，建设速度明显加快，新建项目、维修改造项目明显增多，物资设备采购规模不断扩大等等，现有的审计理念、审计独立性、审计方法、审计手段以及审计范围已经无法完全适应高校快速发展对内部审计工作的要求，具体表现以下几个方面：

（一）审计“关口前移”的认识不足

高校内审人员树立“关口前移”审计意识淡薄，仅仅着眼于问题的解决办法财务论文，没有立足于促进机制建设，通过与其他部门协作共同管理学校。并且高校内审工作侧重于行政监督，“事后纠弊”或“事后问责”，没有真正担负起为高校健康稳定发展“保驾护航”的职责。目前，高校内部控制机制的不完善和高校治理权力过分集中，客观上阻碍了高校内审工作“关口前移”的运用。在实际工作中，主要表现是：审计立项主观性较强，审计风险管理及质量控制不力，业务工作流程存在一定随意性，缺乏各个环节规范的文本等等。

（二）内部审计范围比较狭窄

由于我国内部审计工作起步较晚，发展较慢财务论文，高校内部审计工作内容大都停留在财务收支审计、基建（修缮）工程审计和领导干部经济责任审计等方面，内部控制审计、管理审计、专项资金审计、效益审计基本上没有开展，影响了我国高校内部审计职能的有效发展。

（三）内部审计工作手段落后

随着知识经济的来临，经济活动记录已面向电子化、数字化和无纸化的方向发展，会计技术为了跟随市场经济的知识化、信息化的步伐，很多企事业单位已经实现了会计电算化。然而，在会计电算化信息开发时代，我国的审计电算化却相对滞后，许多审计人员还停留在纸质账本审计阶段，对计算机审计技术掌握不够论文参考文献格式。我国高校内部审计技术手段相对落后尤为突出。

（四）内部审计人员质量不足

随着高校信息化快速发展，信息资源快速建设和不断引进财务论文，许多高校已经实现了校园网络一体化和，那么这就需要相配套的先进科学管理技术方法和高素质信息化管理人才。但从目前看，有很多高校内部审计人员不能从传统的审计手段中解放出来，信息技术知识缺乏、跟不上高校信息化建设对人才的需求。

三、高校内部审计工作“关口前移”的基本思路和具体做法

高校实行内部审计“关口前移”，就是要实现四个转变：在指导思想和工作定位上，实现由注重结果到注重过程、由注重监督到注重监督与服务并重的转变；在审计内容上，实现由单纯财务领域的差错防弊到注重改善经营管理的转变；在审计方式上，由单纯基建（修缮）工程结算审计到全过程跟踪审计、由领导干部离任审计到任前或任中审计的转变；在审计手段上，实现由手工操作向计算机审计、网络实时审计的转变。

（一）加快审计理念转变速度

在审计中，既注意对结果的审计，更注重对过程的审计财务论文，实现由注重治标向重在治本的转变、由查错纠弊向风险型审计转变；以加强控制、防范风险为目标，重点关注内部控制能力及其有效性的审计和评价，查找内部控制、风险管理的薄弱环节，更好地发挥内部审计在促进高校内部管理中的建设性作用。

（二）拓宽内部审计覆盖领域

除了开展基建（修缮）工程审计、财务收支和预决算审计，以及领导干部经济责任审计外，每年可以按照计划有针对性地开展内部控制审计、专项资金审计和效益审计。同时，要按照“全面审计，突出重点”的原则，将高校经济活动全部纳入审计范围，特别要注意从未审计或长期未审计的单位，做到不留死角。

（三）实施审计方式创新工作

由事后审计为主向事前、事中、事后审计并重转变财务论文，建立以“事前审计为基础、事中审计为重点、事后审计为保障”的审计方式，实现对审计项目的动态管理和监督，有利于进一步发挥审计监督在防范和控制风险中的积极作用论文参考文献格式。比如，基建（修缮）工程领域推行全过程跟踪审计，实现工程项目全程审计与建设工程同步，对工程建设的立项、决策、设计、招投标、施工监理、竣工结算等全过程经济活动和财务收支的真实性、合法性和效益性进行全过程跟踪审计服务和监督；针对领导干部任期经济责任审计，建立起“以任前、任中审计为主，兼顾离任审计”的审计模式，坚持有离必有审，先审后离，先审后任财务论文，把审计评价作为任免干部的重要参考依据。

（四）加强审计手段创新能力

在审计手段上，广泛运用现代审计技术，多形式、全方位地发挥监督和服务作用。第一，实现由传统手工操作向信息化、科学化的审计手段转变，构建起集联网审计、实时审计、在线审计为一体的现代化审计平台，实现对重点项目资金实时的、动态的监控，全面提高审计工作质量和效率。第二，探索建立“两书、两报告”制度（“两书”即《管理建议书》和《审计建议书》，“两报告”即《审计专项调查报告》和《审计工作报告（年度或半年度）》），充分发挥其在促进管理、服务领导决策方面的作用。第三，充分发挥审计专项调查作用财务论文，针对热点、重点问题积极开展审计调查，如开展教育收费专项审计调查、“小金库”清理、工程领域专项治理等工作，摸清家底，化解矛盾。

系统审计论文篇（10）

本文拟通过两者的产生与发展、基本概

念与审计目标、适用准则与审计技术等

方面的比较，厘清两者的主要区别，以求

它们在我国取得并行不悖的发展。

一、两者的产生与发展过程比较

在计算机审计与IS 审计产生之前，

电子数据处理（Electronic Data Processing，EDP）审计早已存在。可以说，EDP 审计是计算机审计与IS 审计的前身与发展的基础。

（一）EDP 审计的产生与发展

EDP 审计不仅是指电子数据处理环

境下的审计，还包括对电子数据处理系统的

审计。F．Kanfuman（1961）、A.Pinkney

（1966）、T.．W．Merae （1976）、Joseph

Sardinas （1987）、W.Thomas Poter 和

William E．Perry（1987）等学者都从不

同的角度对EDP 环境中内外部审计规则

和组成方法、EDP 审计的测试方法、特

殊审计技术、审计步骤等方面展开深入

研究。1968 年美国注册会计师协会

（AICPA）出版的《会计审计与计算机》一

书，详细阐述了在EDP 环境下如何开展

IS 审计和传统的外部审计。而作为信息

系统审计与控制协会（IASCA）的前身，

成立于1969 年的EDP 审计协会（EDPAA）

及其属下的EDP 审计师基金会

（EDPAF）25 年间一直使用EDP一词。至

今，EDP 审计与IS 审计仍有并驾齐驱之

势。例如，在Jack.J.Champlain所著的

《审计信息系统》（第2 版，2003）一书

中，仍然将EDP 审计师与IS 审计师相

提并论。

从诸多文献资料分析，EDP 包含两

种含义，一为环境说；二为系统说。作环

境说，诚如国际审计准则15 指出：“为

了国际审计准则的目的，当一个单位对

与审计有重要意义的财务资料的处理，

包含有任何类型或大小的计算机时，就

存在着电子数据处理的环境”。面对这一

环境进行审计的审计师也就是EDP 审

计师。而作系统说，则更多是指计算机信

息系统，以该系统作为审计对象必然会

改变审计的总体目标和范围，因而也才

有应用而生的信息系统审计与控制协会

及其单独的审计标准、指南和程序，

以及由此产生的IS 审计师。

（二）计算机审计的产生与发展

有关计算机审计的研究，在国外参考

文献中并不少见。例如，Andrew D

Chambers（1984）、Javier F.Kuong（1987）

和S.Rao Vallabhaneni（1989）等学者，

均围绕计算机审计的安全与内部控制、相

关技术、内部控制的实施等加以论述。值

得注意的是，在各职业组织所的有

关标准、指南或程序中，却鲜有使用计算

机审计一词，如美国注册会计师协会

（AICPA）的《计算机辅助审计》

（1978）和取代SAS No.3 号（1974）的

《审计标准说明书第48 号》（SAS．No.

48，1984），国际内部审计师协会20 世

纪70 年布的《系统控制与审计》，

加拿大执业会计师协会（CICA）两次发

布的《计算机控制和工作指南》

（1970，1986），以及加拿大审计标准委

员会颁布的《EDP环境下的审计———一

般原则》（1984）等等，也都较少采用“计

算机审计”一词。

在我国，有关计算机审计研究经久

不衰。在20 世纪80 年代，我国学者往

往将其与国外的EDP 审计相联系。例

如在对Poter 和Perry（1987）合著的

《EDP：Controlls And Auditing （第5

版）》翻译中，李大庆和乔勇等学者

（1990）就将其直接译为《计算机审计》。

我国学者潘晓江（1983）较早针对我国

会计电算化提出审计应采取的充分发

挥人在控制中的主导地位、注意实行数

据可靠性控制和注意保留必要的审计

线索三大措施。从20 世纪90 年代至

今，我国以“计算机审计”为题的研究

成果颇丰。据笔者不完全统计，这类教

材和专著已逾30 本，较早的作者有肖

泽忠（1990）、陈婉玲（1990）、李长旭

（1990）等。

我国审计机关无论是关于计算机应

用的规定，还是组织系统内有关专家进

行研究，也多以计算机审计为题加以进

行。例如，审计署1993 年的《审计

署关于计算机审计的暂行规定》和1996

年的《审计机关计算机辅助审计办

法》等。邱胜利和张玉（1990，1993）、董

化礼（2002）、刘汝焯（2004）、国家863

计划审计署课题组（2006）等，也都以计算机审计为题展开研究。

（三）IS 审计的产生与发展

对IS 审计贡献最大的莫过于国际

信息系统审计与控制协会（Information

System Audit and Control Association，

ISACA）。1994 年，ISACA 替代了

原有电子数据处理审计协会（EDPAA）

。至2008 年2 月止，该协会已经

了16 个审计标准、39 个审计指南

和11 个审计程序。而其于1996 年发

布的信息和相关技术控制目标（Control

Objective for information and

Related Technology，COBIT）已经成

为全球公认的、权威的信息技术控制目

标体系。同时，该协会每年还举办IS 审

计师资格考试，有力地推动了世界范围

内IS 审计的发展。

日本通产省于1983 年了《系

统审计标准》，并在全国软件水平考试中

增加“系统审计师”一级的考试。1985

年，日本内部审计师协会在其所的

《审计白皮书》中认为，内部审计师的最

新发展是“IS 审计”。另据IIA 对美国和

英国的调查，被调查企业中实施MIS 审

计的企业所占的比例各年分别为：1968

年48%，1975 年60%，1979 年65%。而

1983 年再对这两个国家1 687 个内部

审计部门的调查中显示，已有70.8%的

企业在进行MIS 审计。

由于我国从一开始就将电算化会计

信息系统确定为计算机审计对象，致使

人们将其等同于IS 审计的审计对象。同

时，学者们也往往将IS 审计与IT 审计

等同视之。如胡克瑾（2002）在其《IT 审

计》专著中指出，IT 审计是指对以计算

机为核心的信息系统的审计。李丹

（2003）也认为，“信息系统审计也称为

IT 审计”。

（四）从国内研究现状看两者的发展

借助有关学术论文的统计数据，也

许可以发现我国学者对计算机审计与

IS 审计的研究偏好与倾向。笔者以“计

算机审计”、“信息系统审计”和“电算化

审计”作为关键词进行检索。采用“篇名

+ 年份+ 全部数据+ 全部期刊+ 精确

匹配”为检索条件，对中国期刊网的期刊

数据库各年进行检索，以下是检索结果

统计表（见表1）。

在表1 对29 年来统计

中，三种研究倾向的论文总数为696

篇，其中，有关计算机审计的研究论文占

了61.93%，而在近五年这一研究倾向

论文也高达219 篇，占近五年全部论文

总数的58.40%，无论处于哪一时间段，

研究计算机审计的论文占三种研究倾向

论文总数的比例均超过50%。而研究信

息系统审计的论文在2003 年及以前的

24 年中仅有44 篇，近五年则有101 篇，

其平均每年有20 篇，尤其是近三年更

呈递增趋势。但其各年所发表的论文数

均明显低于计算机审计研究倾向的论文

数。至于电算化审计研究方向，由于它与

计算机审计、信息系统审计两个研究方

向有重复之嫌，故近年来呈下降趋势，在

未来研究中它可能被计算机审计和信息

系统审计两个研究方向所替代。由表1

也同时看到，我国在继续对计算机审计

进行研究的同时，亟须加快对信息系统

审计的理论与实务研究。

二、两者的基本概念、审计目标与审

计内容比较

计算机审计与IS 审计的本质区别，

首先见之于基本概念、审计目标与审计

内容等三个方面。因此，了解两者在这三

个方面的区别与联系，有利于今后开展