it内部审计论文

it内部审计论文（精选8篇）

it内部审计论文 第1篇

IT项目管理审计初探

来源：CIO时代网

一.IT项目的现状

IT项目是指应用计算机软、硬件以及通信网络技术在管理上帮助组织节约成本、提高效率、增强竞争力以适应当今经济环境为目的的项目，它具有高风险高回报的特点。20世纪90年代以来随着网络经济的发展电子商务的普及，组织面临的商业环境日益复杂，新技术特别是信息技术在许多组织已经成为一个获得竞争优势、培养核心能力，甚至继续生存的极为重要的因素。因此，各种对IT项目的重要性日渐重视，对IT项目的投资日益增长。虽然很多组织已经意识到IT技术的重要性，但IT项目投资巨大，且IT项目长期以来成功率一直很低。于是，企业信息化的投资似乎成了无底黑洞。

在IT业的迅速发展中，其项目的出现往往以单一形式出现。对其进行管理的方法和内容非常具有项目管理的特征。项目管理的内部契约式管理形式在整合内外部人力资源，实施全过程监控，为用户提供信任等方面，特别适合IT行业高动态、高风险的特点。在IT业中，有效的项目管理是非常重要的，它和项目开发本身具有同等重要的地位。为了提高IT项目的成功率，项目管理被广泛应用于IT项目的开发中。随着学习型组织的逐渐兴起，企业越来越重视开发过程中知识的积累。因此，IT项目审计在IT项目管理中的地位将会越来越受到重视。

二.IT项目审计的作用

对于IT企业而言，项目审计是完成已有项目并执行好下一个项目的重要环节。项目审计可以分为项目中审计和项目后审计。项目后审计是项目完成并验收后，根据该项目带来的综合收益，对项目的立项、管理、验收等全部环节进行系统的评价过程。项目中审计的内容与项目后审计基本相同，但项目中审计关注项目的进程与绩效，并检查项目的变化情况。一般项目进行项目后审计，但由于IT 项目具有高风险性的特点，因此，此类项目宜尽早进行项目中审计。

项目审计提供了一个独立评估项目所处的状况以及项目管理的有效性和效率的机会。审计过程与形成的审计报告是保证持续发展和组织自我学习的工具。IT项目审计报告的主要目标是为了推进组织未来的项目管理方式，提高IT项目管理的水平，以确保项目的持续成功。以审计报告的建议和经验建立起来的项目管理知识库，对组织今后进行新的项目是极为有用的。项目审计和总结的经验教训，大大缩短了当项目团队开始一个新项目时所要经历的长长的学习曲线。更重要的是，研究表明，由于各项目团队之间缺少沟通，使系统的分界面成为系统开发中难度最大的部分，审计报告经过一段时间的积累与分析，会促使组织在原本缺少沟通的各团队间设立接收团队，使得问题在传到下一组之前就能被及时发现并得到纠正。IT项目审计报告作为知识积累应用于开发其他IT项目中，经过两三年，它将产生巨大的作用，不但对新的IT项目提供了宝贵的经验，而且对组织的有效运行和每个人的专业发展都有着强大的正面影响。

三.IT项目审计的过程及成果

项目审计是对于项目管理有效性的正式的独立的评估。一个典型的审计，要评估所使用的项目管理系统的适当性，项目计划和实施的有效性，以及项目指导方针、政策与程序的适当性。它的目的，是对项目管理的方法和通过使用项目资源可能达到的结果做出客观和公正的评估。要使一项审计有效，必须拥有有效的项目审计过程，并在审计的结果上准备和提交一个最终的审计报告和项目干系人的详情报告。

由于审计在保证IT 项目成功及经验积累上的作用越来越明显，IT 项目经理应该主动安排对项目进行审计，并对审计的结果保持客观接受的态度，配合以下审计过程的完成。

1.审计小组的建立

审计小组的规模主要由组织与项目的规模和项目的重要性决定。在确定要进行项目审计后，就必须花一段时间认真地挑选审计小组成员。项目审计小组的领导者必须是有软件开发经验的，并且参与过项目管理审计的管理者。而审计组的成员也是曾经有过类似的IT项目开发经历的人员。

2.制定审计时间表

审计组组建后，审计组成员开始共同制定项目的审计时间进度表。目的是保证使项目审计成为一个正常的规范的过程，有利于项目组对审计活动的配合。

首先，项目经理要向审计组提交项目资料，包括项目经理与项目的核心成员共同界定的项目范围和项目计划，项目的进度情况及项目组关注的问题等资料。项目经理与审计组领导合作，根据项目的范围及项目计划，共同明确审计的范围和目标，并对项目成功的标准达成一致意见。

其次，根据项目组提供的资料，审计组对项目组关注的问题进行重要程度排序，确定项目优先关注的问题。

最后，根据以上的材料，制定出审计的时间进度表。进度表中明确当审计进行时，审计组与项目组成员的工作。

审计进度表在表面上与CMM评估进度表或是ISO9001审计相似，主要的区别在于，它关注的是特定IT项目本身的管理及其风险因素，而不是关注项目进行的过程。

3.信息与数据的收集与分析

项目审计是一个信息与数据收集与分析的过程。这一过程有赖于审计双方的共同配合实现。

从项目组的角度，应当确保将充分的文件提供给审计组，确保给予审计组以适当的介绍以使审计组可以协作制定补救计划，以及对审计组建议的全面利用。

同时，从审计组的角度，对信息的收集与分析的主要内容包括：严格审查项目有关文件；与项目团队和其他项目干系人会谈以获得他们对项目事务的看法；并参与足够多的项目活动，以判断项目中正在进行的工作内容并发现项目的问题和机遇。

在审计过程中，重点要围绕项目成功的标准进行信息与数据的收集和分析，对项目成功程度进行衡量。经过研究所制定的项目实施大纲（PIP），列出度量项目成功的10个关键因素是：项目任务；高层管理者的支持；项目进度/计划；顾客咨询；人事；技术任务；顾客接受度；监督和反馈；沟通；困难解决。围绕这10个关键因素进行项目审计，可以在项目的执行过程中，定期地评估项目的当前状况，以及与项目有关的重要因素的当前状况。同时能帮助项目团队勾勒出项目当前状况的完整图像。

4.形成审计报告

虽然审计报告是根据具体的项目和组织环境做出的，其情况各异。但是，对于IT项目企业而言，如果为所有的审计设定一类格式，有利于建立审计数据库，为准备报告和阅读报告，并且按报告行事的管理人员提供了一份共同的提纲。

在实际工作中，审计报告通常分为五个部分，即项目分类、对采集到的信息进行分析、提出的建议、经验教训以及附录。有的还包括一本摘要小册子。

四.结束语

在我国，随着信息技术的普及，企业信息化的需求越来越高。作为IT项目的开发组织，为提高其IT项目开发的成功率，项目审计在项目管理中的作用越来越明显，它将成为项目管理的有机组成部分。组织也逐步将建立完善的项目审计体系，对项目进行有计划地过程审计，确保满意的项目进度和必要的改正措施。今后的IT项目管理，将非常依赖以审计获得的信息与建议进行项目管理流程的改进。由不同项目的审计报告为基础形成的知识库，将成为帮助IT企业向学习型组织转变，并不断实现自我提高的重要财富。

it内部审计论文 第2篇

当前，随着各银行数据大集中的完成，IT风险也越来越集中。控制IT风险、保证信息系统稳定运行已成为银行最紧迫的任务。此外，随着金融监管力度的加大，银行信息披露制的实施也是当务之急。这些都要求银行加大对信息系统的审计力度。只有建立IT审计机制，由独立的IT审计师进行信息系统审计，才能形成对信息系统安全的客观评价。由于信息技术在银行经营管理领域各个层面的广泛运用，IT审计也已贯穿在各种审计之中，成为时下银行业最关注的重要课题。

我国银行业的IT审计尚处于摸索阶段，尚缺乏成熟的经验和案例可供参考，尤其是没有针对大型数据处理和大型软件开发的IT审计经验可以借鉴。有鉴于此，本期我们特别邀请工行及人行IT审计方面的专业人士，对国内外银行IT审计的具体案例进行剖析研究，就二者的差别及内在成因作深入分析，以此促进IT审计在我国银行业更健康有序的开展。

随着信息技术在银行普遍、深入的应用，银行信息系统的正常运行已经成为银行业务正常运营的最基本的条件之一，IT运营与公司运营紧密相关，IT治理也与公司治理紧密相连，因此IT审计越来越得到银行管理层的高度重视。目前，IT审计在国际上是一个相当成熟的领域，发达国家的银行均建立了完善的信息系统审计体系，而我国才刚刚开始起步。因此，很有必要研究发达国家银行业的IT审计组织结构和技术架构，解析国内银行IT审计的现状及存在的问题，并根据国际经验与我国实际情况进行差异性分析，最后，找到我国银行业IT审计的准确定位，由此，实现IT审计在国内银行业质的飞跃。

国外银行IT审计的特点 IT审计部门的独立性

在国际上IT审计部门分为内审与第三方独立审计两种。内审由企业内部专设的IT审计机构实施审计，第三方审计则提供独立的外部审计。国外发达银行大都设有内部的IT审计部门，IT审计部门独立于IT部门，由公司控股层直接管理。例如荷兰银行和瑞士银行都在控股公司层面设立了一个审计委员会，审计委员会下设企业中心，集团审计是在控股公司层面的企业中心内，直接由审计委员会管理，IT审计则隶属于集团审计，独立于IT部门。

国外银行IT审计的技术和组织框架

国外银行界在IT审计部门基本都根据银行自身的特点，确定了相应的技术框架。各银行的IT审计普遍有以下特点：

各银行均根据自己的IT形势，明确了不同的IT审计的技术领域、范围。IT审计的范围基本覆盖了信息系统建设生命周期中的所有IT活动，包含了各种技术平台和软件开发，项目投产，系统迁移、切换、运行维护等全过程。IT审计重点审计IT活动过程中的各个方面，力图将风险控制在过程中。由于IT已经渗透到银行业务的各个领域，因此IT审计与业务审计紧密结合，利用IT技术辅助进行业务审计以及将IT与业务紧密结合在一起进行综合审计，都是IT审计的重要内容。

新加坡发展银行设有专门的IT审计机构，其IT审计包括综合、技术框架和软件系统生命周期三个方面。美国大通银行同样设有专职的IT审计机构，其IT审计包括系统开发审计、系统切换审计和技术框架审计。花期银行对新系统的起用、迁移、转换、合并均由内审部门进行风险审计。花旗集团还根据特殊事件或法规要求的需要，开展专项审计，对项目风险进行评估，如采用新的计算机技术、IT系统转换及系统发生停运等问题，都要进行审计评价。

IT审计人员的比例

目前美国商业银行内部审计人员当中约有30%-50%是IT审计人员。汇丰银行仅香港分行就配备了30多名IT审计人员。在花旗银行，由于信息科技已渗透于银行的各个领域，信息技术已与业务紧密结合在一起，无论作为内部审计的对象，还是内部审计的手段，内部审计人员的工作已难以离开计算机技术支持。即使在这种情况下，花旗银行专职从事信息科技和计算机辅助审计的人员占全部审计人员的比例也超过20%。

IT治理中审计人员的角色

IT审计员在IT治理的过程中，他们的活动贯穿在计划和组织、获得和实施、交付和支持、监控这几个领域中，在此过程中始终承担着评估与评价的职责。计划和组织域中，内部审计师的关键处理是质量管理。它包括对战略性IT计划和信息架构的评估，技术方向、IT组织和关系、项目管理和IT投资管理的评价、通知、支持，保证服从外部要求，风险和管理质量的评估等。

在获得和实施域中，内部审计师的角色仍然是评估过程。如对自动化解决办法的鉴定和评价，获得和维护应用软件的评价和支持，获得和维护技术架构，开发和维护过程、安装和认证系统的评价，管理变化的评价和支持等。

在交付和支持领域，审计要对以下方面进行评估和支持。如定义和管理服务级别、管理第三方服务、管理性能和能力、保证连续性服务、鉴定和分配费用，教育、培训和支持用户，管理配置、管理问题和事件、管理数据、管理设备、管理行动等的检查和评估，保证系统安全的检查、评估和支持。

在监控领域，审计师的角色是监控过程，评价内部控制，获得独立保证，提供独立审计的检查、评估和支持。

国内外银行IT审计的差异

面对我国银行数据大集中的形势，银行已将IT风险作为内部的重要风险之一进行控制。但由于IT审计在我国还刚刚起步，与国外发达银行比较还存在很大的差异性，主要体现在以下几个方面：

审计覆盖面上的差异

目前我国各大商业银行在总行内审部门基本上都设立了信息技术审计处，股改后直接向董事会负责，这与国际惯例基本是一致的，体现了银行最高领导层充分重视IT在银行中的地位，并将IT风险防范和控制纳入到银行风险控制的战略高度。目前国际上比较先进的商业银行无一例外全部开展了GCR（一般控制）和ACR（应用控制）的全方位IT审计。但我国由于信息技术审计工作开展不长，并且人员有限，还未能全面开展一般控制和应用控制的IT审计工作，基本处于一般控制的摸索阶段，距国际先进水平还有较大的差距。

组织结构和人员上的差异

从新加坡发展银行和美国大通银行的IT审计组织框架和人员配备上看，IT审计由于涵盖了软件开发和项目投产、运行维护的全过程，包含了各种技术平台、系统生命周期的所有阶段，因此IT审计机构设置基本采用在总审计师领导下，与业务审计两条线并列的模式，人员专业化分工明确，技术水平要求也较高，懂IT技术人员的比例一般占内部审计人员的30%-50%左右。而我国银行从事信息技术审计工作的员工较少，在人员数量和质量上无论与国际先进水平还是银行的IT架构相比，均有不小的差距。同时，由于目前内审部门的信息技术审计组织结构不尽完善且人员不足，无法进一步细分审计职能、明确专业审计方向。另外，在审计手段、辅助工具以及系统接口、技术支持等方面的差距更大，需要加强力量研究解决。

国外IT审计先进经验的启示

重视信息科技审计是国际普遍趋势。随着商业银行经营管理活动对信息技术的高度依存，信息科技风险控制已成为商业银行风险管理的重要内容，并从战略的角度将IT审计与实现公司治理的总体目标紧密联系在一起。

加强IT审计是国内银行建设国际一流商业银行的内在需要。近年，工商银行信息科技优势在提升银行核心竞争力的同时，其系统风险也更加集中，更加突出，任何一点管理上的疏漏或控制上的缺陷，都可能引发巨大的系统灾难，给全行带来无法估量的经济损失和声誉损失。因此，进一步加强IT审计就更具有重大的现实意义。

加强IT审计是监管当局的外部要求。随着国内经济的快速发展和对外开放的逐步扩大，国家相关部门对信息系统的安全问题越来越重视，银监会、人民银行、审计署、公安部等国家行政管理部门和外部监管部门对企业内部的信息系统风险控制都提出了一系列要求。因此，工行必须通过加强IT审计来保证全行的信息技术应用对各级监管政策、法规的遵从性。

我国银行要尽快建立健全IT审计架构和规范，从IT治理与公司治理相结合的角度，对银行的信息系统建设的重大决策，提供评估与评价并进行相关的风险分析，力图将IT风险控制在过程中，并推进和促进科技管理，预防IT风险。要达到这一目标，可按照国际通用的IT审计标准CO鄄BIT，结合我国银行的具体实际情况，建立适合我国银行的IT审计标准和框架。

对我国银行的IT审计应紧紧围绕银行的IT技术架构进行，使银行的IT审计能涵盖主要的IT活动范围，因此应建立审计的技术领域框架。该领域至少应包含以下内容：系统运行、操作管理及风险防范，软件开发生命周期的过程管理和风险评估，新系统投产、切换、迁移、合并的过程管理和风险评估，各种技术平台的审计，电子银行等与IT紧密结合的新业务的审计，为业务审计提供IT技术手段和辅助功能，业务与IT紧密结合的综合审计，各种专项审计及事故评估。

我国银行IT审计的关注点

鉴于目前我国银行信息技术审计组织结构不尽完善和人员数量、质量严重不足，远不能达到对IT进行全面审计的要求，因此，当前我国银行IT审计工作的重点可定位在以下几个方面：防范对操作运行风险，具体应针对数据中心整合工程后的生产运行和操作情况，进行专项审计；尽快按照国际标准开展我国银行IT审计工作标准的制定；加强组织机构建设，充实技术人员并加强培训；加强IT审计的队伍建设，IT审计人员的技术背景应覆盖系统、硬件、网络、应用等多个方面，同时又具备审计知识和经验，能将IT技术与审计手段结合运用，这样才能审计出IT风险。（作者为中国工商银行内部审计局课题组成员）

相关链接 国内外银行业IT审计的相关依据 人民银行IT审计的相关规章制度

《中国人民银行计算机信息系统内审监督检查工作暂行规定》奠定了人行内审部门开展信息系统审计工作的基础，对信息系统审计工作的目的、范围、内容、方式、方法、要求进行了明确规定。

《中国人民银行关于加强计算机信息系统内部审计工作的指导意见》为人行各分支机构重视、加强和保障信息系统审计的开展提出了要求，同时对如何开展信息系统审计和开展信息系统审计需要关注的问题作了重点说明。

《中国人民银行计算机信息系统内部审计规程》明确了人行信息系统审计的具体内容和方法。国外银行信息系统审计的依据

COBIT：这是信息系统审计与控制协会于1996年公布的，是国际上通用的信息系统审计的标准，目前已经更新至第三版。COBIT将IT过程、IT资源及信息与企业的策略与目标联系起来，形成一个三维的体系结构。其中，IT准则反映了企业的战略目标，从质量、成本、时间、资源利用率、系统效率、保密性、可用性等方面来保证信息的安全性、有效性；IT资源包括以人、应用系统、技术、设施及数据在内的信息相关的资源；IT过程从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面，确定了34个信息技术处理过程。

it内部审计论文 第3篇

(一) 内部审计信息化的发展机会。

目前, 国内外针对信息化环境下的内部审计发展、内部审计的方法与工具的研究较少。在信息化背景下, 内部审计亟需提升到战略高度, 一方面加强计算机辅助审计技术的开发与应用, 另一方面大力加强IT风险管理。对此, IIA已经采取行动, 在2009年更新的《国际内部审计专业实务框架》中新增了六项内部审计专业实务标准, 内容涉及信息系统合规治理、信息系统审计风险评估等。另外, 企业主要领导和利益相关者提高了对内部审计的重视程度, 内部审计应抓住这一机会, 充分利用多种计算机辅助审计技术和工具, 提高内部审计覆盖率和效率, 并有效控制IT风险, 更好地帮助企业管理层以及治理层识别、了解、应对风险。

(二) 现代内部审计技术与工具的发展。

信息化环境下, 内部审计技术主要涉及:利用数据挖掘技术从海量的被查信息中发现问题, 利用现代风险管理技术发现风险点, 利用科学管理技术评价决策和业绩管理等。这些技术以各种内部审计工具为载体来实现。从全球范围来看, 数据分析软件仍是使用最广泛的工具, 此外, 审计工具涉及的领域还包括自动工作底稿、舞弊侦测/持续监控、风险评估等。然而, 目前我国内部审计工具的规范性、通用性较差, 没有形成系统的、可操作性强的内部审计工具;内部审计工具只关注具体的技术与业务, 缺乏对治理与决策的关注, 没有将内部审计与IT治理紧密结合。

二、IT治理下的内部审计

(一) IT治理的目标。

IT治理是公司治理的重要组成部分, 其基本目标可以概括为战略一致、绩效提升、资源合理、风险降低、价值交付。也就是说, IT治理是通过IT与组织战略目标的融合互动来保持IT与组织业务目标一致, 通过平衡信息技术与过程的风险来合理管控信息化过程的风险, 通过合理调配和有效利用信息资源、提升组织绩效、推动业务发展、增加价值来确保实现企业的目标, 促使收益最大化。

(二) IT治理与内部审计的关系。

IT治理与内部审计在增加价值、降低风险、改善运营和实现组织目标方面高度一致。内部审计能够促进IT治理目标的实现, IT治理对内部审计信息化也具有指导和推动作用。

1. 内部审计促进IT治理目标的实现。

首先, 内部审计的定位是为组织“增加价值”, 这正是IT治理实现组织目标的一个重要途径。内部审计为了增加价值需将审计内容向决策层面延伸, 通过一系列审计活动和报告推动董事会、管理层重视和了解IT治理的责任与效果。董事会、管理层根据组织战略目标确定IT治理目标, 部署信息化方针和策略, 制定IT管理措施, 提高安全意识。内部审计监督、评价和分析组织IT管理政策、程序和措施的执行及IT资源的部署, 从而促进IT治理目标的实现。其次, 现代内部审计是基于风险的, 在信息化环境下通过评估风险、识别重点, 确定工作重心, 将有限的IT资源应用到最重要、最需要的地方, 将显著提高信息资源利用效率和效果。针对识别出来的风险制定一系列风险防范与应急措施, 降低组织风险。因此, 内部审计可以有效促进IT治理的风险降低这一目标的实现。最后, 现代内部审计上升到治理层面, 帮助管理层完善治理职能, 为审计委员会成员提供相关培训, 使他们加深对公司治理、IT治理和风险管理等方面的理解;提高信息沟通的各层级的透明度, 加强企业战略实施和战略业绩的评价与反馈。

2. IT治理指引内部审计信息化。

首先, IT治理为内部审计提供方向和保障。企业实施IT治理必须定义一个较为清晰的IT治理框架。企业诊断和评价当前自身所处的IT治理级别之后, 需确定总的IT治理目标和每个IT过程目标, 以及一系列的关键成功因素、关键目标指标和关键绩效指标等。内部审计在IT治理框架和各指标的指引下, 一方面根据企业的需求, 获得资源并合理利用, 有效提升内部审计信息化建设的质量和水平;另一方面, 对信息系统构建前后和构建过程中所涉及到的IT过程、所利用的IT资源进行管理, 充分考虑与IT过程相关的风险, 衡量IT服务的效果, 从而有效地指引和保障内部审计信息化的健康发展。其次, IT治理为内部审计信息化提供参照标准。在信息化环境下开展内部审计活动可以借鉴IT治理的一系列标准。其中, 最具代表性的IT治理标准是由ITGI发布的信息及相关技术控制模型 (COBIT) 。COBIT是一个基于控制的IT治理框架, 为企业规划、实施和更新IT资产、进行全生命周期管理提供了良好的控制目标体系。它还包含管理指南、审计指南和应用工具集, 提供了管理与审计的工具与方法, 定义了度量模型, 并围绕控制目标建立了相应的审计流程和改进建议。这些都为内部审计信息化的开展提供了具体而有效的工具和方法。

三、内部审计信息化发展框架

基于我国当前信息化水平和内部审计工具的现状, 内部审计信息化建设应该在IT治理所确定的目标和框架指引下, 参照IT治理的标准和指南, 以审计数据提取与分析工具为核心, 将信息系统 (IS) 审计、联网审计、风险管理、审计预警、审计专家分析系统、法律法规查询系统、审计管理工具等新审计理念与方法引入与集成到内部审计信息化平台。

(一) 以IT治理为指引, 加大IT审计、风险审计等。

首先, 应将内部审计目标提高至组织战略层面, 即以组织的IT治理目标为指引, 以IT治理的框架如COBIT为指南和工具, 一方面进一步充分发展和利用计算机辅助审计技术开展审计工作, 另一方面对IT/IS进行规划、实施、交付和监控的全过程审计。其次, 应积极开展风险审计和战略审计, 促进组织风险管理, 使IT资源更合理地利用, 为组织增加价值, 实现IT治理目标, 监督和评价组织战略目标的实现。第三, 内部审计应充分利用审计软件, 通过网络进行实时的数据采集、原始资料分析处理、风险评估等工作, 实现持续在线审计, 提高审计效率。

(二) 集成新的审计技术方法。

内部审计信息化平台建设中需积极引入多种先进的审计技术方法, 合理部署和利用, 使内部审计信息化平台更加专业化、系统化。

1. 审计预警等工具的开发与集成。审计预警将审计业

务涉及到的业务线的风险点列示, 通过系统的设定在规定的时间范围内运行风险模型, 审计预警工具还能实现同类问题的自动发现。此外, 还应内置审计专家分析系统, 对各种财务指标实现智能化分析;集成法律法规查询系统、内部审计管理工具等, 使内部审计人员便捷地使用集成化的工具开展日常工作。

2. IS审计。

当前我国正在实现由财务控制逐步向业务控制和信息系统控制转变。IT治理将合理的制度安排、控制程序嵌入到信息系统中, 内部审计应开展IS审计。IS审计时应充分了解业务流程, 加强一般控制审计和应用控制审计, 并在IS审计中积极开展技术创新与流程优化, 促进内部审计方式的转变, 提升内部审计的效果和效率。

3. 联网审计。

随着网络技术的快速发展, 组织内外部信息沟通与数据传输都在网络范围内实现, 审计工作必须考虑联网审计。联网审计需要研究数据库技术、联机分析技术、数据挖掘技术等应用技术, 建立好审计数据中心, 以现场网络模式为基础, 进一步开展远程联网审计, 实现动态、远程审计以及资源的充分共享。

4. 科学管理方法及内部控制自我评价估方法。

内部审计从最初的查错防弊发展到现在价值增值的管理服务, 功能不断拓展, 审计内容也在不断更新, 许多科学的审计方法越来越多地被应用于内部审计实践中, 但这些方法还需要进一步凝练、归纳和总结, 使之与现代内部审计业务的发展需求相一致, 满足未来内部审计业务发展的需要。

(三) 完善内部审计工具与标准。

1. 统一审计数据接口, 规范财务/内部审计工具的开发, 强化内部审计工具的通用性。

参照由中国电子技术标准化研究所承办的《信息技术会计核算软件数据接口》 (GB/T19581-2004) 国家标准, 结合实际需要出台相关的财务软件与内部审计工具的数据接口标准。建立和完善内部审计软件的开发规范, 加强内部审计工具的通用性。

2. 深入并拓展数据式审计。

深入研究先进的数据分析技术, 如数据挖掘技术、孤立点分析技术等。并且, 分别针对数值型数据的线性结构化的特点、非数值型数据的离散非结构化的特点研究不同的数据采集与分析方法, 相辅相成, 使数据式审计更加系统科学。

3. 与企业ERP平台紧密结合。

企业ERP系统的应用和全面信息化的实现, 要求内部审计工具与企业ERP信息化平台紧密结合。因此, 需要深入研究二者结合的策略、模式、实现技术等。 (注:本文系南京审计学院校级课题, 课题编号:NSK2009/B18;江苏省政府留学奖学金资助项目)

it内部审计论文 第4篇

课题组组长：史可山，人行南平市中心支行行长;

课题组成员：陈崇跃，徐克勋，朱燕涛，张杏英;

执笔：陈崇跃，朱燕涛。

摘要：随着信息科技的发展，人民银行系统对IT的依存度日增，信息系统风险也接踵而至，内部审计面临新的挑战，IT治理势在必行。为此，本课题组在分析了人行传统的内审已不能适应IT时代审计使命要求的基础上，提出了改革人行内部审计并以此深化央行IT治理的若干建议。

关键词：中央银行;内部审计;IT治理

中图分类号：F830文献标识码：A文章编号：1006-1428(2007)12-0088-02

随着人民银行各项业务与管理活动对IT依存度的日益提高，IT风险渐露端倪，人民银行内审从体制､手段和方式等均面临与IT发展程度相对应的新挑战，央行内审呼唤与IT治理相适应的改革。

一､加强人民银行IT审计促进央行IT治理的必要性。

IT治理大意指合理利用IT资源与适当管理IT相关风险的一种管理模式与机制。IT治理最重要的任务就是保证信息技术与各项业务的有效结合，促进组织收益最大化与风险的最有效控制。如同企业(公司)治理包括了内控管理及其内部审计等制度安排，“IT治理”也涵盖IT审计､信息安全审计､IT服务管理等内容。“IT审计”既是IT治理的组成部分，也是IT治理的促进因素。“IT审计”不仅对信息系统(IS)及其管理制度，还包括对内审自身的IT化建设行使“监督､评价与咨询”职责。

人民银行具有类似商业银行等现代企业的组织架构与业务体系，在管理上同样适用和更需引入“企业治理”与“IT治理”机制。人民银行在组织架构上设立了分支行机构，在业务上也有“存贷款”､“中间业务”､“黄金外汇储备与买卖”等经营性品种。因此人民银行的“业务”系统及其“应用系统”也更为庞大与复杂，日常运营越来越依赖于信息技术的支撑。在这种背景下，人民银行信息系统运行的有效性与潜藏的风险更加不容忽视，建立健全人民银行系统的IT治理及其IT内审机制十分迫切。

二､人民银行系统IT治理与IT审计的现状

在IT治理方面，人民银行表现明显滞后：一是尚未编制出一套适应我国国情的央行IT治理蓝图或规划;二是尚未建立与人民银行组织结构和业务体系及IT应用水平相适应的IT治理组织框架和制度体系;三是尚未建设和培育一支既掌握IT知识又谙熟央行业务的IT治理复合型或“两栖”的人才队伍;四是作为IT治理重要组成部分的IT审计､IT风险控制等监督与保障机制尚不成熟和健全，影响了人民银行IT治理的深化。

在IT审计方面，人民银行信息系统仍没有突破传统内审的窠臼。具体问题与原因：

一是IT审计的理论缺失。IT审计是审计理论的新兴领域，当前有关它的研究尚不够深入，阐述与定义尚不统一，也给IT审计制度的建设和IT审计的实践带来一定程度的混乱。

二是IT审计的制度缺失。人民银行内审司虽制定了《计算机信息系统监督检查工作暂行规定》､《计算机信息系统内部审计规程》等制度，但不是真正意义上的“IT审计”，仅处于信息系统(IS)审计层次，属于一般内控操作制度范畴。

三是IT审计的标准缺失。目前却仍未规划与制定出一套能与国际接轨的抑或有中国特色的IT审计标准与具体行业准则，使目前的IT审计没有明确的方向与标准的轨道。

四是IT审计的队伍缺失。首先，在组织体系上IT审计人员配置不足与结构不合理。其次，人员综合素质不高，既掌握IT知识又熟悉央行业务､懂得金融法律的人力资源十分匮乏。第三，未建立IT审计复合型人才培育机制，使现有人员IT审计素质不能得到应有的提高。

五是IT审计的手段缺失。即IT审计本身缺少信息技术硬件与软件的武装与支持。首先是内审部门计算机及其网络工具与设施配备不足，使目前所开展的IT审计仍停留于现场的､被动的､事后的传统审计形式。其次是业务审计的IT辅助审计应用软件缺乏，内审人员面对全面“数字化”的审计对象，只能望洋兴叹。第三是当前的业务应用系统在设计､开发之初就未考虑接受审计因素，内审人员实施IT审计时没有“合法”接口与取证手段。这些均极大地困扰与制约着IT审计的开展与发展。

三､改革央行内审深化IT治理的政策建议

1､加强IT审计及IT治理的理论研究，为新形势下的央行内审改革提供理论基础。2004年，人行内审司同ITGov(中国IT治理研究中心)合作开展了“IT治理与IS审计模型研究”，对国际通用的IT治理框架和信息系统审计标准“信息与相关技术控制目标”(COBIT)进行了研究，取得初步成果。但是，近年来类似的内审科研仍然偏少，成果不多。当前，国外在这方面的研究与探索均较深入，硕果累累，可以很好借鉴。

2､改革传统的人行内审体制，架构与IT治理相适应的新型内审模式。IT审计的目标是通过实施审计，维护､促进或增强人民银行计算机信息系统合规性､安全性､可靠性､有效性。人民银行已构建了强大的信息传输网络，作为内部审计主要对象的央行业务系统实现了数据大集中，人民银行分支机构业务运营与管理的内涵与外延也发生重大变化，不同层次的央行机构IS更存在鲜明的差异。这就要求央行对传统的内部审计架构进行新的设计，如构建“重心上移､机构下派”的内审新体系。借鉴西方中央银行组织治理模式并与央行IT治理机制相适应，在强调内部审计独立性的同时，注意与IS开发､应用部门的协调一致。采用更灵活的内审方式，如引入市场经济国家“内审社会化”或“内审外包”做法，对人民银行的部分IT审计项目可委托有资质的社会组织开展;提升手段，改革传统的现场审计与人力审计模式，利用计算机网络系统和审计辅助系统实施以“信息技术对抗信息技术”的“非现场审计”和“机器审计”，等等。

3､树立现代内部审计理念，实现内审由合规性监督向评价与咨询服务转变。审计的目的是确保整个组织活动的有效性､效率性､合规性､安全性，使组织“价值增值”。内审由于IT手段的利用及对IS的审计，使内审目标的实现更加可能。因此，人民银行的IT审计不应停滞在查错纠弊的监督阶段，而应要求审计人员树立服务意识，为被审对象提供咨询服务，当好参谋。

4､加快编制我国央行IT治理规划，建立适应人民银行体制的IT审计标准体系和框架。“信息系统审计和控制联合会”(ISACA)已制定了“面向过程的信息系统审计和评价的标准”(COBIT)，国际内部审计师协会(IIA)将其作为国际通用的IT审计标准。作为我国央行的人民银行内审也应积极借鉴标准，制定一套适合我国央行特色的IT审计标准与规范，为IT审计开展评价､咨询等活动提供尺度与准绳。

5､开展对新系统开发的审计，实现IS事后审计向全过程审计转变。即在新系统的立项､开发､测试和验收阶段，内审人员就参与其中，对程序开发到应用的全过程从审计的角度进行审慎监督;对系统的审计由事后转变为全过程监督。同时各业务部门在正式培训､推广使用新系统时，应邀请同级审计部门参加培训学习。对新系统开发审计时，应对新系统的今后可审计操作性提出要求，防止系统出现“拒审”等情况的发生。

6､加强IT审计队伍建设，提高央行内审从业人员综合素质。一是吸收计算机专业人员，把他们培养成审计人员;二是对现有审计人员开展IT知识培训和继续教育，培养成IT审计师;三是建立激励机制，推行IT审计师持证上岗制度，鼓励内审人员学习和钻研计算机知识，考取国家计算机资格等级证书，有条件的通过国际IT审计师资格认证。

(七)加强计算机辅助审计软件开发与应用，推进IT审计信息化建设。

参考文献：

[1]《内部审计思想》 (美)Andrew D．Bailey， (美)Audrey A．Gramling， (美)Sridnar Ramamoorti著;王光远等译，中国时代经济出版社，2006;1

[2]仲安妮．IT审计直面差距找准定位促跨跃．金融时报，2006-8-22

[3]人民银行南京分行内审课题组．我国央行内部审计风险管理策略，江苏内部审计

[4]韩国强．中国人民银行信息系统审计探索．金融时报，2006-03-14

学习心得体会(IT审计培训) 第5篇

，感谢组织给予这次的机会，在这个芬芳的浅夏，前往美丽的，参加 举办的 培训。

此次培训内容围绕“ ”，主要讲述了基于大数据的风险导向IT审计。老师的授课极具系统性、理论性，给我留下了深刻的印象，引发了深深的思索，获益匪浅，体会良多。以下是我对此次学习的一些心得体会：

一是开阔了眼界。首先是提升了对这个数字化经济时代的认识。数字化是互联网的数字化，也是“第四次工业革命”。数字化经济时代的信息不对称被打破，人们消费行为转变。在零售业和金融行业尤为凸显。例如：零售业的线上商店的突飞猛进，线下商店不得不被迫进行收缩型关店、调整型关店或整合型关店。又如：金融行业的银行卡支付主导地位开始动摇，传统金融理财产品受到网络借贷平台、智能投顾等的侵蚀。数字化带了机遇，也带来了挑战。其次是信息化背景下的审计沿革。在人工智能、数据挖掘、商务智能等大数据时代数字化变革下，审计人员需培养自己对数据的敏感性。由于现在企业的财务流程都依赖于电子系统，财务数据自动化水平越来越高，因此对于企业财务体系和其他内控流程而言，其电子系统的安全稳定和准确可靠变得越来越重要。审计人员需要基于电子数据，利用专业软件（SQL、SPSS...）高效处理海量数据，保证覆盖全样本，进行聚类、离群分析，对未来趋势进行预测和预警。

政府部门IT审计相关法律法规 第6篇

序号

法规规范类型

法规规范

—

国家审计法律 规范

《中华人民共和国审计法》、《国家审计准则》、《审计署关于 印发检査信息系统相关审计事项指导意见的通知》、《信息系 统审计指南》

二

行业信息系统 审计规范

中国内部审计协会内部审计规范、中国注册会计师协会规范

三

国家信息化

《国家信息化领导小组关于我国电子政务建设指导意见》、《国家信息化领导小组关于推进国家电子政务网络建设的意见》、《2006—2020 年国家信息化发展战略》、《中华人民共和国国民 经济和社会发展第十二个五年规划纲要》、《国家电子政务 “十二五”规划》、《“十二五”国家政务信息化工程建设规划》

四

国家和部门信 息化法规

《国务院办公厅关于利用计算机信息系统开展审计工作有关 问题的通知》、《中华人民共和国电子签名法》、《财政扶贫资 金管理监测信息系统管理暂行办法》、《财税库银税收收人电 子缴库横向联网实施方案》、《金融资产管理公司内部控制办法》、《企业内部控制基本规范》、《财政部关于全面推进我国 会计信息化工作指导意见》、《财政部关于加快金财工程建设的实施意见》、《“政府财政管理息系统”网络建设管理暂行 办法》、《财政部关于正式实施行政事业单位资产管理信息系统的通知》、《财政部会计荀关于推进省级会计人员管理系统 建设的指导意见》、《对外贸易经济合作部、信息产业部、国 家税务总局、海关总署、国家外汇管理局、国家统计局关于 软件出口有关问题的通知》，《关于对与国际联网的计算机信息系统进行备案工作的通知》、《网上基金销售信息系统技术指引》、《证券公司反洗钱客户风险等级划分标准指引（试 行)》、《证券公司内部控制指引》、《证券公司网上证券信息系统技术指引》、《证券经营机构营业部信息系统技术管理规 范（试行)》、《证券投资基金销售业务信息管理平台管理规 定》、《中国证券期货经营机构 Y2K 应急计划指引》、《关于 加强银行卡安全管理预防和打击银行卡犯罪的通知》、《网上银行业务管理暂行办法》、《银行卡联网联合业务规范》、《商 业银行操作风险管理指引》、《商业银行银行账户利率风险管理指引》

五 国家电子政务 项目管理 《国务院关于投资体制改革的决定》、《国家电子政务工程建 设项目管理暂行办法》、《国家发展改革委财政部关于做好 “十五”国家电子政务重点工程项目检查工作的通知》、《关 于进一步加强国家电子政务工程建设项目管理工作的通知》、《国家发展改革委关于进一步加强国家电子政务工程建设项 目管理工作的通知》（重复内容）、《国家发展改革委和财政部关于加快推 进国家电子政务外网建设工作的通知》、《财政投资评审管理 暂行规定》、《财政投资项目评审操作规程》、《国家电子政务 工程建设项目档案管理暂行办法》 六 信息系统安全 保护 《中华人民共和国秘密法》，《中华人民共和国计算机信息系 统安全保护条例》，《关于加强国家电子政务工程建设项目信 息安全风险评估工作的通知》、《关于开展信息安全等级保护 安全建设整改工作的指导意见》、《信息安全等级保护管理办 法》、《信息系统安全等级保护实施指南》、《信息系统安全等 级保护定级指南》、《计算机信息系统安全保护等级划分准 则》、《信息技术安全技术信息技术安全性评估准则第 1 部 分：简介和一般模型》、《信息技术安全技术信息技术安全 性评估准则第 2 部分：安全功能要求》、《信息技术安全技术 信息技术安全性评估准则第 3 部分：安全保障要求》、《信息 安全技术信息系统安全管理要求》、《信息安全技术网络基 础安全技术要求》、《信息安全技术信息系统通用安全技术要 求》、《信息安全技术操作系统安全技术要求》、《信息安全 技术数据库管理系统安全技术要求》、《信息安全技术信息系 统安全工程管理要求》、《信息安全技术终端计算机系统安全 等级技术要求》、《信息安全技术路由器安全技术要求》、《信息安全技术服务器安全技术要求》、《信息系统安全等级 保护体系框架》、《信息安全技术信息系统安全等级保护基本 要求》，《涉及国家秘密的计算机信息系统分级保护技术要 求》、《涉及国家秘密的信息系统分级保护管理规范》、《涉及 国家秘密的计算机信息系统分级保护测评指南》、《涉及国家 秘密的信息系统审批管理规定》、《信息安全等级保护密码管 理办法》、《信息安全等级保护商用密码技术要求》、《计算机 信息系统安全保护等级划分准则》、《信息技术信息安全管理 实用规则》

IT职业素养论文 第7篇

——学习《IT职业素养的》收获

姓名：王岩

学号：201042209107

2011年12月16日

专业的技能能够从专业学习中获取，工作经验能够从实践中得到，然而并不是具有好的专业技能和丰富的宫锁经验就能够处理好工作，好的工作习惯和职业素养非常重要。

时光荏苒，转眼间即将毕业，面临从业的压力，职业素养成了我们去正面思考的问题。择业、就业、从业，伴随着这些问题，个人的素养，职业的道德，人生的观念，成了一个必不可少的部分。那么，我们应当如何的提升自己的个人素养，规范自己的职业道德，成为了一个迫在眉睫的问题。但是通过一个学期的“IT职业素养”课程，使得我对个人素养的提高，职业道德的规范，有了较为深刻地认识。

熟话说，态度决定事态发展的方向。处理任何的事情，都应当把握好自己的态度，有了一个好的态度，难事也会变得容易起来。而我觉得，在单位中最重要的就是对待上下级的态度，把握好这样的态度，在单位中，就可以说是如鱼得水。对待上级的态度，我们一定要学会恭谦。人非圣贤，孰能无过。领导同样是人，往往也会犯一些错误，然而，如果不分场合，不分地点的提出领导的错误，或许会是的领导很没面子，接下来，领导当然也不会给你好果子。因此，纠正领导的错误意见、见解，应当把握好分寸。对待下级，同样要把握好态度，应当显得平易近人，消除等级观念，虚心接受下级提出的合理建议意见，这样，下级才会更有工作的动力。对于员工来说，遇到一个态度平易近人，虚心接受意见建议的领导，那是一件很快乐，舒心的事。其次就是对待工作的态度，中国有句熟话，叫做“三百六十行，行行出状元”，这句话说的就是对待工作的态度。当一个人拥有了积极的工作态度的时候，这个人的工作效率同样会得到显著地提高。因此，拥有一腔的热血，积极的投入工作之中，使我们IT行业的工作潜规则。

在上文中，提到了积极的工作态度能够有效地提高工作效率，那么还有什么方式可以提高工作效率呢？通过这个学期对IT职业素养的学习，让我认识到积极的工作态度只是提高中作效率的其中一个环节，最重要的是明确自己在做什么。在很多软件开发过程中，无限制的增加一些要求或者是功能使得编程人员百般无奈，工作计划和时间表常常被打乱，使得在开发过程中，费用一再追加，工期一再拖延。因此，一个有效的工作计划，合理的安排开发进程成为了编程人员最重要的工作。合理的计划表可以使得工作效率成倍的提升，同客户达成了有关软件的开发合同，成为了约束双方的有力保障，开发商不用为无限制的修改已经成型的软件而痛苦，客户也不用为无休止的追加经费而痛疼。因此，对于IT从业者来说，工作的效率是至关重要的。

言必行，行必果。这是我们的祖先留下来的训示，然而在今天，诚信渐渐被人们淡忘。对于IT职业者来说，诚信尤为重要。诚信最为基础的，应当是守时。守时，是对他人，对自己的尊重。更高一个层次的就是敢于承诺，承诺，现在已经成为考察个人工作实力，考核人才的执行力的一个重要的标准。每个领导，都想要自己的员工有着超强的工作能力，执行力。这样才能有利于企业的发展。一个人能够主动地承担这份责任，跟好的贯彻企业的中心思想，才会得到上司的赏识。因此，在IT行业中，诚信也是很重要的。

IT行业是一个灵活多变的行业，所涉及的知识面尤为广泛，在这其中，创新显得尤为重要。在技术方面，不墨守成规，不被经验所束缚。才能够激发出新的灵感，创造出新的东西。然而，当新的事物出现时，又出现了另外的一个问题——知识产权。如今，IT行业成为世界主流行业之一，对于自己的创新，知识产权显得尤为重要。一项新的创造发明，一个新的算法，框架，可能是一个公司的支柱。如果没有及时的申请知识产权，或许这个创新将付诸东流，对一个公司来说，损失是无可挽回的。所以在IT行业中，知识产权显得十分突出。同样的，在我们维护自己的知识产权的同时，应当做到不侵犯他人的知识产权。这样才不会出现不必要的纠纷。另外，IT行业有些时候会接触一些较为机密的信息和事物，保密，同样是很重要的，特别是涉及到隐私的情况。所以，IT从业人员应做到对客户的隐私，重要数据的保密。

众人拾材火焰高。在IT行业中，往往是以团队协作来工作的，因此，团队精神对IT从业者来说至最重要的一种精神。然而团队协作中，往往会以意见不统一而发生矛盾和纠纷，因此，处理好团队中的矛盾是维持团队协作的重中之重。倾听，说服，谦让，在团队中演的是那么的重要。倾听，是一个人进步的关键，学会倾听，使得自己知道自己的不足，更有效地改变自己的不足。听取不同的意见，从中吸收精华的部分，加以中和利用，得到最好的发挥。同时要对工作积极主动，这样，才会得到同事的认可，才会更好的融入工作的团队。

IT内部控制体系研究 第8篇

一、IT内部控制发展现状

(一) 我国企业内部控制发展水平

深圳市迪博企业风险管理技术有限公司撰写的《中国上市公司2012年内部控制白皮书》显示, 我国上市公司内部控制整体水平偏低。该研究涵盖沪深证券交易所在2012年4月30日前A股上市公司中已披露2011年年报的2340家公司, 其中主板上市公司1395家, 中小板上市公司653家, 创业板上市公司292家。报告指出, 在2340家样本中, 内部控制整体水平较高的仅占样本总数的24.96%, 为584家;内部控制整体水平中等的占44.40%, 为1039家;内部控制整体水平偏低的占30.64%, 为717家, 总体来看, 目前中国上市公司内部控制建设的整体水平尚处于中下游水平。《中国上市公司2011年内部控制白皮书》指出“内部控制水平与上市时间显著负相关, 即上市时间越短, 内部控制水平越好”, 该结论来源于对选取的样本公司中的1578家进行内部控制影响因素的多元回归分析, YEAR表明公司到2008年的上市时间长度, 分析结果如表1:

这一方面得益于近年来证监会对首次公开发行股票的公司的内部控制审查的加强, 促使大部分新上市公司的内部控制更加规范化;另一方面, 新上市的公司其内部控制体系在不同程度上融进了IT技术和系统, 体现了企业内部控制趋于信息化的发展趋势, 因而提升我国企业对于将IT技术嵌入到企业内部控制中的认知, 对提升我国企业整体内部控制水平有着积极的推动作用。

2012年财政部、证监会、审计署、银监会和保监会发布了《我国境内外同时上市公司2011年执行企业内部控制规范体系情况分析报告》。报告显示在67家境内外同时上市公司中, 有49家公司存内部控制缺陷, 信息系统控制方面的控制缺陷是披露的内部控制五大缺陷之一。IT内部控制体系的设计与实施成为我国企业内部控制的发展重点。

(二) 我国企业IT内部控制应用现状

在信息化技术高度发达的今天, 中国企业将IT技术应用到内部控制等企业管理流程已经成为公认的趋势, 但如何将IT技术与内部控制有效融合仍然是大多数管理层难以解决的问题。用友集团和工信部电子一所发布的《2010年中国企业信息化指数调研报告》显示, “2010年中国企业信息化综合指数为48.06, 中国企业信息化的整体信息化成熟度基本达到中等水平”。在IT技术高度与时代发展耦合的今天, 中国企业信息化的水平还有很大的待完善空间。数字背后体现出来的是中国企业现今普遍的冲劲有余、后劲不足的亚健康状态。该份报告还将企业信息化程度分为基础应用、关键应用、扩展整合及优化升级、战略应用四个阶段。报告还表明, 我国企业约有34.3%处在基础应用阶段, 24.5%处在关键应用阶段, 扩展整合及优化升级阶段占39.2%。但战略应用阶段的企业只有20%。一半以上企业仍处在信息化建设的第一和第二阶段, 大多数中国企业信息技术应用还未达成与企业战略融合发展的目标, 这也表明目前中国企业信息化水平的提升仍需关注信息技术应用范围的扩大。本次调研数据还显示, 我国企业信息化建设目前存在诸多不足, 如不同规模、不同行业企业不均衡的信息化发展, IT治理结构缺陷的存在, 对信息技术认知度偏低等, 而信息化技术应用的发展制约了IT内部控制的发展和应用。

二、IT内部控制存在的问题

(一) 缺乏可执行的IT内部控制体系

实施IT内部控制不是盲目堆砌先进软硬件的过程, 运用信息技术加强内部控制, 实现企业信息的集成和共享才是企业内部控制应关注的主要问题。目前, 我国关于内部控制的规范依然是基于权责分离和权力制约的理论, 关于IT对内部控制的影响基本停留在COSO报告层面, 尚未形成完整的、可执行的IT内部控制体系。企业即使提出有关IT控制规范基本上也是在信息孤岛状态下提出的, 企业内部控制规范并没有对IT控制的目标和相关控制活动做出明确规定。现行信息系统缺乏或规划不合理, 导致企业经营管理效率低下;系统开发不符合内部控制要求, 导致无法利用信息技术实施有效控制。企业不重视信息资源的开发应用, 尽管各业务流程节点的IT集成让企业感受到了集成化的优势, 但各业务流程采用的信息系统还未得到足够的统一, 信息共享程度未开发到应有的水平, 缺乏体系化运作和管理方法, 严重制约了IT内部控制的有效执行。

(二) IT治理与企业IT内部控制难以有效融合

IT治理、信息系统与内部控制的有效融合能够固化企业管理机制, 实现对业务和事项的自动控制, 防止人为要素变化导致内部控制方式的变化, 确保内部控制制度固化、优化、“e”化并长期执行下去, 加速信息的传递与沟通, 降低运营成本。目前我国多数企业只是将IT部门作为IT管理活动的主要职能部门, 为业务部门提供技术基础设施, 制定管理制度, IT部门缺少规范化风险管理意识;且IT控制制度多存在于系统变更和安全管理等领域, 缺乏从公司透明度角度出发且结合支持完整业务流程的内部控制制度, 技术部门和业务部门相互独立, 不对IT资源和业务流程脱节负责, IT内部控制孤立存在。利益相关者未能完全有效的参与到整个IT管理活动中去, 使得IT资源难以真正融合为企业运行的内在组件, IT和业务两张皮致使企业IT资源失去其应有的效用。各标准体系间交叉或冲突导致IT标准体系的兼容性和互补性大打折扣, 难以有效支撑业务流程高效运转, 导致无法利用信息技术实施有效控制。

(三) IT内部控制流于形式

目前, 每个企业或多或少按照信息系统的要求设立了IT内部控制制度, 大多数企业误以为这些制度与IT内部控制体系是对等的。随着经济技术进步和企业运行模式的发展变化, 一方面企业设立的IT控制制度日渐无法满足实际业务需求, 另一方面我国企业内部控制“重设计轻执行”的思想导致IT内部控制是否执行、执行是否有效等问题往往被忽略, 甚至流于形式, IT内部控制同企业发展战略脱节, IT内部控制设计和执行一劳永逸。企业高层领导缺乏对于IT的充分重视, IT内部控制往往无法实现其预期的效果, 渐渐流于形式。该情况可能导致内部控制执行者不执行规范, 违反流程;实物处理与信息处理顺序颠倒;信息录入完整性及准确性的缺失;人为建立垃圾数据等。长此而往, 企业会慢慢发现自己处在一个下降的螺旋中, 内部控制执行偏离设计目标, 效率低下。在内部控制发展史上, 理论往往跟不上实践发展的需要和步伐, 目前我国企业整体缺乏对于IT内部控制影响的关注度。企业现行的IT内部控制体系和相关软件公司开发建立的IT内部控制系统往往可操作性较差, 相应解决问题的建议和措施成为空中楼阁, 制约了IT内部控制的建立和发展。

三、IT内部控制体系构建

(一) 我国企业IT内部控制体系的整体框架

基于我国企业IT内部控制发展水平和存在的主要问题, 本文构建的IT内部控制体系整体结构图如图1:

如图1所示, 企业IT内部控制体系分为五个层级。第一层为内部控制指引层, 包括企业内部控制基本规范和内部控制18项应用指引, 这是所有企业遵循的共性原则和最低标准;第二层为内部控制管理咨询成果, 企业依赖外部审计师、咨询师的力量, 梳理现有内部控制流程, 实施业务流程重组, 以内部控制指引层为标准建立符合自身实际的IT内部控制体系和制度;第三层为咨询成果的落地, 要求企业根据自身的资源状况, 明确具体的IT内部控制实现方案, 包括各类信息系统和人工系统实施方案;第四层为内部控制信息平台, 通过内部控制信息化平台的搭建, 实现企业内部控制和信息化的有效整合;第五层为内部控制实施层, 依托内部控制信息平台, 确定具体的IT内部控制实施活动和范围。

(二) 我国企业IT内部控制体系的搭建流程

无论是自主研发还是外购, 必须明确的重要问题是IT内部控制的构建思路, IT内部控制流程搭建一般分为横向整合和纵向整合两种方式。实施横向整合即为分业务流程逐个上线, 一般制造型企业的四大业务流程主要为采购到付款、生产、销售到收款、财务核算四个流程, 企业可按照重要程度或业务需求紧迫程度对各个业务流程实施分步骤、分模块上线。实施纵向整合相当于进行一次彻底的流程再造, 通过完整的项目实施生命周期, 完成全业务流程的同步整合, 从而实现企业内部控制全面信息化。我国企业IT内部控制体系整体框架的搭建流程如图2所示:

(1) 公司层。企业在实施IT内部控制全面固化和优化的过程中, 需要针对IT内部控制体系的构建召开IT内部控制整改大会, 对公司IT内部控制体系的构建提出解决方案, 最后得出符合企业自身发展需要的IT治理架构以及相关结论。该阶段的成果即为内部控制管理咨询成果, 具体包括如下四部分内容:

IT治理架构构建。企业需要整合管理思想、公司战略, 综合考虑和分析企业内外部环境、行业特色、企业市场地位、内部管理缺陷和应该提高的问题等。IT治理架构构建是将企业的战略重新审视和调整的过程。需要用战略分析模型对外部环境和内部环境进行全面分析, 提出企业内部控制的提升需求, 以此构建合理的IT治理架构, 同时明确企业的决策机制以及IT基本实施策略。

信息与沟通。在公司层面, 企业需要首先明确IT制度发布的方式, 具体的IT管理制度和沟通机制, 建立服务台与事件管理程序, 及时传达企业内部层级之间和与企业外部相关的信息。关注过程跟踪, 进行IT制度的全生命周期管理。

风险评估与应对。企业需要具备很强的风险识别和防范意识, 针对自身特点建立一套合理有效且能迅速反应的风险评估流程及其应对机制;建立风险管理知识库, 将所有可识别的风险及已提出的解决方案归入库中, 以期为风险评估和管理提供依据;建立风险评估流程和IT风险矩阵, 包括信息资产评估程序, 流程风险评估程序。

持续性监控与检查。在公司层面, 首先需建立自上而下的IT技术监控措施;其次从企业管理制度健全的角度考虑, 内部审计工作是必不可少的;最后公司高层应制定定期的管理评审制度和专项检查措施。

(2) 流程与应用层。流程和应用层在公司组织架构中处于执行层地位, 本文对于IT内部控制框架的构建为自上而下式。流程和应用层作为公司IT内部控制框架搭建的一个中间衔接点, 向上衔接公司层所制定的内部控制管理框架, 按照公司层制定的指导思想和实施方向对流程进行IT化实现, 向下提出对于资源层的控制要求。在IT内部控制框架体系中, 在流程和应用层需要实现的是咨询成果落地, 内部控制信息化平台的搭建、企业日常经营管理活动的畅通等目标。本文从项目管理思想出发, 将企业IT内部控制在流程和应用层的工作通过项目的实施方法展开, 具体如图3:

IT内部控制建设需求分析阶段。需求分析阶段的工作主要是贯彻公司层对于IT内部控制框架构建的整体指导思想和管理理念, 将公司战略层制定和构建的IT内部控制框架细化为各业务流程和应用层面的具体目标。该阶段实质上就是知识管理和知识转移的过程, 该阶段顺利进行的前提是公司层已搭建好脉络清晰、目标明确、且符合公司发展现状的IT内部控制框架体系。

IT内部控制方案设计阶段。在企业进行IT内部控制框架的构建过程中, 方案设计阶段是整个项目最为重要的阶段, 决定项目的最终效果, 该阶段分为两个子阶段。一是调研阶段。该阶段主要任务是对照COBIT框架和企业内部控制应用指引18号信息系统的要求, 结合组织架构、业务范围、地域分布、技术能力等因素, 梳理企业现有业务流程, 找出企业现有流程信息化和标准化的主要模块, 了解企业信息系统内部控制的现状, 制定信息系统建设总体规划, 确定实施IT内部的关键点, 确定信息系统规划、开发、维护等方面存在的主要问题, 发布企业IT内部控制实施指南。根据公司的业务现状, 未来的发展方向以及需求阶段得出具体IT内部控制实现目标。二是方案设计阶段。结合调研的情况, 考虑成本效益原则、适用性原则、可用经费等多个因素, 制定出企业IT内部控制框架构建的具体方案。明确企业实施IT内部控制过程中IT化的范围、时间和投入成本。在该阶段, 企业首先需要明确的是自主研发内部控制系统, 还是外购。若选择外购软件, 还需按照企业业务需求明确对软件的标准化程度的要求、实施周期、成本、后续维护服务的提供以及系统可升级性等问题。

IT内部控制实现阶段。系统实现阶段的主要目的是将内部控制解决方案在IT环境中得以实现, 最终能够提供一套完整的业务系统原型, 供关键用户、业务人员进行测试, 以确保内部控制解决方案的可操作性并检验IT控制环境对于预期目标的实现程度。该阶段是不断调试和修改方案的过程, 在进行测试环境的搭建和数据测试过程中, 应对所涉及的流程进行全面测试, 保证所有的方案设计在流程和应用层是可实施的。在IT内部控制实现过程中, 很多东西都是未知的, 要把握这种不确定性, 唯有把这种不确定性深深嵌入到IT内部控制风险评估中才可能得到有效的控制。风险评估可使上市公司更加清晰地认识到, 意外事件的发生将如何限制业务目标的达成。风险评估的目的是要辨别IT合规性的潜藏内在风险与残存风险, 从风险判断标准、风险发生的可能性、风险发生的危险度、风险预防措施、风险消除措施等几个方面进行评估。在此过程中, 对于不能实现的业务功能, 应及时找出解决方案, 若为购买的套装软件, 对于标准功能无法实现的业务需求应及时客户化开发, 以保证IT控制目标的顺利实现。

IT内部控制系统上线阶段。通过系统实现阶段的测试和数据收集, 确保IT内部控制系统能够良好运转之后, 项目进入到上线阶段。在该阶段企业需要关注的工作重点分为两部分:第一部分是动态数据的搜集和录入, 在该阶段, 数据的准确性和完整性校验非常重要, 若关键业务数据缺失或录入错误, 会给企业IT内部控制的后续实施带来很大阻碍, 严重的会导致上线失败。第二部分是人员培训, 对于所有IT化牵涉到的业务流程岗位上的员工都需要进行系统性的操作培训, 以保证在系统正式运行后能够良性运转, 如果员工缺乏培训, 不仅不能保证企业正常的业务流程顺利进行, 甚至可能对系统造成毁灭性的破坏。

日常运营维护阶段。该阶段为企业构建IT内部控制体系的末期阶段。该阶段的主要目的是保证企业IT内部控制环境的正常运转。对于新上线的IT系统, 第一个月的月结为系统上线成功与否的第一个标志, 通过新系统运行结果与实际手工系统的核对, 找出问题以及存在的风险, 对系统进行进一步的优化。运行维护阶段主要是资源管理的阶段, 在企业的IT内部控制系统上线之后, 其后续运行维护实际是将构建的IT内部控制框架与企业的人、财、物、信息等多方资源相互整合的过程。

IT内部控制框架构建支撑流程。构建健全的IT内部控制体系需要如下基础支撑方法:项目管理 (PM) 、质量管理 (QM) 、技术管理 (SM) 以及项目管理工作平台 (PWB) 。以上四个管理方法贯穿于IT内部控制体系构建的全流程, 在每一个阶段都应该实时监控项目进度、进行项目执行质量检验以及技术支撑。以上四个方法在IT内部控制框架构建中的作用相当于价值链中的职能部门, 他们为主流任务的完成提供后台支撑, 虽然不是流程中的一部分, 但在整个IT内部控制体系的搭建过程中不可缺失。

(3) 资源层。公司层对IT内部控制框架搭建的贡献在于确立目标, 流程和业务层的贡献在于将目标付诸实践, 而资源层的控制体现在分析企业业务运作过程中所依赖的各类资源在IT内部控制中的作用以及风险, 建立风险控制措施。对于企业经营过程中涉及的资源, 主要分为以下四个大类:

人力资源。企业内部控制管理的核心问题是企业中的人及其活动。在企业IT内部控制框架的构建过程中, 人力资源的管理应注重知识管理。知识管理分为经验型知识管理和技能型知识管理。经验型知识管理偏重于战略制定、风险预防层面, 可通过构建知识库来保证企业的优秀管理理念和经验不因高层管理者的人事变动而流失。技能型知识管理偏重于IT系统的操作知识管理, 企业应在新构建的IT管理系统上线前后按需求定期组织员工培训, 以保证系统上线后业务流程能够顺利运转。除此之外, 还应制定相应的考核机制和员工激励机制, 以鼓励员工积极适应新的管理环境并投入足够热情到工作中。

技术资源。企业需要有高素质的IT技术人才协同业务人员实施信息系统的开发到上线及日常维护的全流程。在企业日常经营过程中, 技术资源提供系统后台技术支撑和维护。除此之外, 企业应高度关注信息安全, 构建信息防火墙, 实时进行漏洞扫描、入侵检测等技术安全策略, 防止来自网络的攻击和非法入侵。

信息资源。对于信息资源的管理应关注内部信息资源和外部信息资源两部分。企业应建立信息沟通与协调机制, 加强企业信息资源的组织协调和统筹规划、增加企业对信息资源开发利用的投入、进行信息资源的开发和服务, 制定信息资源开发利用标准体系、营造利用信息资源的良好环境、建立和加强信息安全保障体系, 注重信息资源的共享等。

物力资源。物力资源在IT内部控制框架体系的构建过程中体现在企业的相关资金和物力环境, 良好的资金和实物运营机制是企业构建IT内部控制的基础, 企业应该建立对物力资源的占有、使用、管理与配置效果的评价机制, 发挥物力资源的激励和支撑作用, 整合不同物力资源, 实现企业管理的协同效应。

四、IT内部控制实施的关键点

(一) 固化IT内部控制:实施业务流程重组

企业必须注重流程管理对信息系统内部控制的促进作用, 以IT控制目标为中心实施业务流程重组, 建立广泛、高效的信息沟通与交流系统。从根本上重新考虑逐步或彻底重建企业的业务流程, 以达到在成本、质量、速度和服务等方面取得显著改善的目的, 让企业能适应以顾客需求为导向、竞争为驱动、变化为特征的现代企业经营环境。具体包括观念筹建、组织重建、流程重建。企业通过重构组织文化、调整组织结构为业务流程重组提供制度保证, 对原有的企业业务流程进行合理的诊断和设计, 选择适当的重组方式和重组环节, 建立可靠合理的标杆和绩效评价指标体系, 运用IT技术进行持续的业务流程改进, 实现IT治理和企业业务流程的有效融合, 合理固化IT内部控制。

(二) 优化IT内部控制:实施IT审计

有效的IT内部控制体系是制度、管理、业务与技术相结合的体系, 高层管理者需要高度关注并监控其顺利有效的实施。因而必须利用内部审计机构, 建立自评估机制, 确定企业IT控制有效性的各种等级, 进行基于全生命周期的IT审计。

IT审计主要包括以下几个方面:评价IT战略和公司总体战略的匹配程度;评价IT制度与流程手册的完整性;评价企业在信息系统技术基础设施与操作实务的管理和实施方面的有效性及效率;评价逻辑、物理环境与信息技术基础设施的安全性;评价灾难恢复与业务持续计划的可靠性;评价应用系统的开发、获得、实施与维护方面所采用的方法和流程的合理性;评估业务系统、处理流程与企业业务目标的一致性, 完善IT控制体系的设计与提高IT运行维护的质量, 以确保其有效性;在IT内部控制审计完成后, 应该立即形成正式的书面审计结论, 并向管理层报告情况, 以方便管理层及时调整和调配IT内部控制的资源和策略, 保持IT与业务目标一致, 确保企业总体战略目标的实现, 促使企业IT内部控制体系更加完善和健全。

(三) “e”化IT内部控制:实施IT治理

如何通过IT内部控制体系与合规管理来防范和降低上市公司的财务违规风险, 是企业高层领导和CIO目前最迫切需要解决的难题。目前国内大部分上市公司对合规的IT内部控制体系的重视程度严重不足, IT内部管控措施经常执行不到位, 使得许多上市公司很容易陷入违规的财务操作风险危机之中。IT治理从公司治理的角度帮助企业构建相应的IT治理组织, 规范企业IT治理流程和治理机制, 使IT治理流程透明化。将IT治理融入到企业战略制定中, 实行IT治理与业务的匹配融合。帮助管理层制定切实可行的企业战略和发展规划, 深刻理解信息系统的重要性和风险, 建立重大风险预警机制和突发事件应急处理机制。促进管理创新, 合理管控信息化过程的风险, 建立信息化可持续发展的长效监督和激励机制。加快企业IT内部控制的实施进程, “e”化企业IT内部控制, 提升企业核心IT能力水平。

(四) 标准化IT内部控制:实施内部控制标准化

内部控制标准化建设是IT内部控制的重要基础, 标准化建设能够推动企业IT内部控制的进程。XBRL作为一种标准化商业语言能够较好地实现财务系统与单位内部管理系统数据交换, 财务报告与内部控制的融合, 及时快速准确地分析判断运营状况以及内部管理中的薄弱环节, 并不断加以改进, 有助于管理者大幅度提升现代化管理效能, 从而在微观层面实现现代化管理。促使内部控制信息化建设相互融合, 呈现螺旋上升状态。

我国需制定发布基于企业内部控制规范的通用分类标准, 基于XBRL的会计信息系统内部控制准则, 以指导企业的XBRL内部控制及风险管理实务。企事业单位与政府监管部门、中介机构、软件开发商、投资者、债权人等信息使用者共同作用完成做好XBRL实例文档的生成、报送和利用。各企事业单位在贯彻实施内部控制规范制度并与全面信息化相结合的过程中, 重点做好信息沟通的基础工作, 建立健全会计及相关信息的报告负责制度, 使企业内部员工及时取得和交换在执行、管理和控制企业经营过程中所需的信息, 以此为基础生成标准化内部控制评价报告, 满足不同信息使用者的需要。

参考文献

[1]财政部等:《企业内部控制基本规范及配套指引》, 2008-05-22。[1]财政部等:《企业内部控制基本规范及配套指引》, 2008-05-22。

[2]深圳市迪博企业风险管理技术有限公司:《中国上市公司2012年内部控制白皮书》, 《上海证券报》2010-09-02。[2]深圳市迪博企业风险管理技术有限公司:《中国上市公司2012年内部控制白皮书》, 《上海证券报》2010-09-02。

[3]深圳市迪博企业风险管理技术有限公司:《中国上市公司2011年内部控制白皮书》, 《上海证券报》2010-09-02。[3]深圳市迪博企业风险管理技术有限公司:《中国上市公司2011年内部控制白皮书》, 《上海证券报》2010-09-02。

[4]工信部电子一所、用友软件股份有限公司:《2010年中国企业信息化指数调研报告》, 《中国制造业信息化》2011年第2期。[4]工信部电子一所、用友软件股份有限公司:《2010年中国企业信息化指数调研报告》, 《中国制造业信息化》2011年第2期。