IT审计内容方面的创新与体系完善,审计论文

IT审计内容方面的创新与体系完善,审计论文原标题：IT审计与传统审计的比拟与借鉴内容摘要：随着管理信息化和审计理论的发展，IT审计不断引起人们的关注。IT风险已逐步成为组织的重要风险，面临不断增加的系统薄弱性和威胁，在全球加强行业监管和内部控制的趋势中，IT审计的地位尤为凸显。IT审计是现代科技发展与审计发展互相融合的产物。我们国家的IT审计系统尚未完善，审计功能仍不健全，而传统审计已较为成熟。对二者进行系统的比拟研究是考察IT审计发展程度及特点的直接方式方法，也是借鉴传统审计严密之处的有效途径。本文关键词语：IT审计；传统审计；比拟科技的迅猛发展已经给整个社会的经济管理活动造成了宏大影响。IT审计是在原来传统审计的财务审计和管理审计基础上，由于科学技术向经济管理领域的浸透而产生的。然而，到当前为止，IT审计在本质上并不是独立于财务审计和管理审计的第三大审计分支，而是华而不实的一类审计形态，其原因在于网络环境的复杂性、实际操作的复杂性、与传统审计的融合程度等因素都制约着IT审计的发展，本文旨通过比拟，将两者有机结合，进而提高IT审计质量，拓展IT审计技术方式方法在企业审计中应用的深度和广度，促进企业在审计上的变革。一、IT审计与传统审计在重大方面上是一致的〔一〕IT审计与传统审计在基本概念及程序上大体一致独立性与客观性、权威性与公正性等传统审计的基本概念在IT审计中得到了很好的具体表现出。另外，IT审计独立于信息系统本身、信息系统相关开发、使用人员，由IT审计师根据法律规定，采用客观标准独立行使审计监督权，这与审计的独立性与客观性完全一样。同时，国际信息系统审计和控制协会〔ISACA〕对实行审计制度、建立审计机关以及审计机构的地位和权利都做了明确规定，这样使审计组织具有法律的权威性，其与公正性相辅相成。〔二〕IT审计体系与传统审计体系构造基本一致传统审计体系在逻辑构造上具有较强的严密性，基本准则-详细准则-实务指南是由抽象到详细的逻辑规则，这是会计准则、注册会计师鉴证业务准则等专业标准规范的常用构造，这使审计后续的详细工作便于寻找相应的准则条款，为审计工作提供便捷之处。IT审计所表述的标准-指南-程序准则框架在字面上与传统审计体系没有太大差异不同。其标准反响了信息系统领域的纲领性问题，指南是标准的详细化，程序则是一些工作规范，这与传统审计体系的三个层次是逐一对应的。从审计体系涵盖的内容上来看，传统审计内容的绝大多部分都包含在了IT审计体系的范畴之内。但是，相对于ISACA系会下的准则部制定的IT系统审计准则而言，我们国家的IT系统审计准则体系还不够完好，尚有若干项准则没有牵涉，这应该在我们国家IT审计将来项目计划中予以考虑。二、IT审计详细内容方面存在两点点创新〔一〕安全性审计在传统审计中，对于被审计对象的安全问题鲜有牵涉，而信息的安全性问题关系到企业的生存与发展，是保持企业健康可持续发展的重要保障。IT审计中对于安全性审计做了具体的规范。安全性审计的主要目的就是审查企业信息系统和电子数据的安全隐患。一个存在安全隐患的信息系统很难为审计人员提供真实可靠的信息，因而安全性审计也是真实性审计的前提。〔二〕IT审计的软件测试方式方法与电子取证方式方法审计方式方法贯穿于整个审计经过当中，而不只是存在于某一审计阶段或某个环节。随着IT审计系统实践的丰富与IT审计理论的发展，IT审计处理运用传统审计的方式方法外，还大量借鉴了计算机学科的一些方式方法为我所用。华而不实软件测试方式方法是IT系统审计的重要方式方法之一，较为经典的测试方式方法是黑盒测试与白盒测试。另外，某些会计数据和其他信息只能以电子形式存在，或只能在某一时点或期间得到①，在IT审计时对于这些电子数据的获取极为重要，需要确保IT审计人员开掘和收集充足可靠的电子证据，最终生成审计报告。三、完善IT审计体系还应借鉴传统审计〔一〕借鉴传统审计中的绩效审计，加强其实践可行性传统审计将审计的真实性、合法性和效益性作为审计的目的。为适应建立市场经济的需要，审计机关从2001年以前主要从事的真实、合法性审计到90年代初期，审计机关对国有企业的审计开场向检查内部控制和经济效益两方面的延伸，绩效审计的重要性逐步凸显。②由于IT项目的功能复杂性、构造庞大性、周期延长性，使得IT绩效审计很难准确地评价如此综合性的IT项目效果，怎样完善IT绩效审计在实践上的可行性是摆在我们面前的一项重要任务。IT绩效审计应充分借鉴传统绩效审计中的经济性、效果性、效率性特征，围绕这三性进行展开。在经济性上，为了以最低的资源消耗损费获得一定数量和质量的产出，能够通太多方面的改进提高其节约程度。如美国GartnerGroupInc公司研发的ERP系统，其自动化程度很好，进而提高了IT绩效审计的科学性与可行性，避免不必要的开支。在效果性上，力图在IT项目上实现绩效监控动态化，为企业提供丰富的管理信息，并在企业管理和决策经过中发挥作用，动态监控管理绩效变化，及时反应和纠正出现的问题。在效率性上，提高企业物流、资金流、信息流一体化管理的效率并且要擅长管理信息系统，对信息系统应用价值的实现是IT绩效审计的最重要方面。〔二〕借鉴传统审计的风险管理，发挥其制约性作用(企业内部控制基本规范〕把应当关注研究开发、技术投入、信息技术运用等自主创新因素列为企业辨别内部风险时应当关注的六个因素之一。③伴随IT而来的风险、利益和时机使得IT风险管理成为企业管理的重要内容，也是IT审计中应该完善的部分。借鉴传统审计对于企业风险管理中风险评估、控制与防备的流程，结合IT风险管理的环境特殊性，程序复杂性和数据多样性等特点，对IT审计中的风险管理应根据辨别信息资产-威胁的量化和定性-评估漏洞-改良控制差距-管理剩余风险的流程进行。首先，辨别组织业务职能并确定每个流程的信息敏感度。然后辨别流程的每一个组成部分的现有控制措施，按严重程度将控制差距分类。最后，通过风险等级、成本和有效性的选择，开创建立风险基准线，以便日后定期重新评估风险所用。四、总结通过对IT审计与传统审计的比拟研究，我们发现：在基本内容、程序和体系构造等方面，传统审计与IT审计是协调的。在IT审计的软件测试方式方法与电子取证方式方法上，较传统审计来讲有其先进性。但是IT审计的不完善性也是显而易见的，能够在绩效审计、风险管理等方面借鉴传统审计的优点，逐步使IT审计广泛应用于我们国家的审计行业之中。通过传统审计带动IT审计的方式，使IT审计取其精华要髓，去其糟粕，逐步发展成为审计行业的新锐气力，是我们国家亟待努力的方向。注解：①审计准则第1301号：审计证据②蔡春，刘学华。绩效审计论[M],北京：中国时代经济出版社，2006③陈耿，韩志耕，卢孙中。信息系统审计、控制与管理[M],2020以下为参考文献：[1]肖杰浩着。Oracle10g数据库安全策略研究[M],计算机科学技术，2004.[2]陈耿，韩志耕，卢孙中着。信息系统审计、控制与管理[M],清华大学出版社，2020.[3]于海霞，我们国家IT审计面对的挑战[J],中