it内部审计论文范文五篇-欧洲杯买球平台

it内部审计论文篇1

目前，现代企业经营越来越依赖信息系统，信息系统管理信息、处理业务以及存储大量的数据。也迫切需要对信息化管理现状进行全面的审计，以分析评估存在的问题，提出欧洲杯买球平台的解决方案，完善it风险控制，保障各信息系统的规范运作，降低信息化风险，提高业务运营的经济性和有效性。it审计虽然区别于财务审计，运营审计等常规审计，但其审计方法论仍不可能脱离常规审计所用的方法论。也就是必须对审计目标，审计范围，审计计划等等均需进行清晰阐述，并在实施it审计后，出具具有充分、适当的审计证据支持的it审计报告。

一般来说，实现全面的it审计，应当从审计对象的整个生命周期领域、审计对象及组织层次来开展。

一.it审计范围

进行it审计的对象包括但不限于以下领域：1.管理组织与制度；2.项目管理流程规范性 ，包括应用系统的开发、测试与上线管理；3.基础设施及运维管理；4.信息安全管理；

it审计涉及的应用系统包括但不限于以下领域：1.生产系统；2.营销系统；3.办公自动化系统；

it审计涉及的组织层次包括但不限于以下领域：1.高层决策者；2.中层管理者；3.技术部门员工；4.业务部门员工。

二.it审计具体实施

elc（entity level control）控制。关注客户在it治理方面的相关组织架构是否合理，管理制度是不是健全，具体的审计程序就是获取客户的组织结构图，及一些比较虚的总纲类的书面管理制度如《it管理制度》等等。

系统开发和变更。关注系统开发和系统后续变更实施中的控制，具体的审计程序首先就是获取系统开发及变更相关的管理制度，该文原载于中国社会科学院文献信息中心主办的《环球市场信息导报》杂志http：//总第522期2013年第39期-----转载须注名来源如调阅《系统开发制度》《系统变更管理制度》，二是关注系统开发过程的合理性，如是否经过了需求提出、可行性研究、领导层审批，系统上线之前是否经过了充分的测试，获取一些内控痕迹和表单，如《××系统需求报告》、《××系统可行性报告》、《××系统立项审批单》、《××系统单元测试报告》、《××系统集成测试报告》、《××系统上线审批单》，《变更审批单》，采取抽样后穿行测试。

操作系统及数据库控制。关注操作系统和数据库的控制，如登录时密码控制强度、敏感操作的权限分配、日志的保存。

应用系统控制。关注应用系统控制的合理性。如银行使用的综合业务系统（有的叫核心业务系统）、国际结算系统、大小额系统、信贷管理系统等等，关注其安全配置和用户权限。

接口控制与信息安全。关注其数据准确性、完整性、以及组织级的网络管理的相关制度，如防火墙的架构，内外网分离程度等。

三.it审计依据

it审计依据的来源基本上业界都有很充分的理论依据以及最佳实践，以下it控制标准、法律法规、行业最佳实践都可作为it审计的依据。

it标准、规范及最佳实践； 企业内控框架-coso；it治理-cobit、iso 38500；it规划与架构设计-zachman、togaf、fea；it应用系统开发与运维-软件开发规范、cmmi、iso9126；it基础设施生命周期管理-网络、主机、安全等设备管理规范；it服务管理-itil、iso20000；it项目控制-pmp、prince2、项目监理规范；信息安全管理-iso27001、iso27002；业务连续性计划-bs25999、ansi/nfpa 1600；it应用控制-输入控制、处理控制及输出控制；it资源协同-eai、soa、共享中心等……

目前，信息系统的正常运行已经成为银行业务正常运营的最基本条件之一，信息科技在有力提升银行核心竞争力的同时，信息科技风险也愈发突出和集中，信息科技风险控制已成为银行业风险管理的重要内容，而it审计作为银行业风险管理体系的重要组成部分，其重要性和必要性已经日益得到银行业管理层的关注。

it与其他如财务审计等不同之处，主要在于审计框架是否全面。审计过程仍遵循常规审计步骤，包括审计策划、审计准备、审计对象调查、实施审计、审计发现复核及沟通、审计报告六大步骤。

如何在企业内建立it审计体系，首先，内部审计机构的建立是必要的，并需要给予该机构充分的权利来制定it控制内部审计相关的管理制度、审计方法流程及操作手册，用以指导企业开展it控制内部审计。另外，企业必须培养it审计人才。因国内的信息系统管理相对国外起步较晚，只有近十几年的发展，所以，对于it审计人才的培养仍处于比较初级的阶段，也是今后企业在实施全面it审计后，所面临的一个需要重点解决的it风险问题。

it内部审计论文篇2

萨班斯法案从根本上改变了企业的经营环境和法律环境，其目的在于通过加强内部控制，来改进公司治理状况，并最终加强公司的责任。

当前it系统越来越多地对业务经营活动进行自动化处理，这就需要it提供必要数量的控制程序。因此，遵循萨班斯法案的程序需要包括基于it系统的控制程序。对大多数企业而言，it在建立与保持有效的财务报告内部控制方面将发挥重要作用。通过运用整合的erp系统，或综合运用各种经营管理、财务管理方面的软件，it系统将为有效的财务报告内部控制系统提供强有力的支持。

pcaob第二号审计标准要求了解it在内部控制环境中的重要性。它特别指出：公司在其信息系统中运用信息技术的状况，影响着公司财务报告的内部控制。

目前我国四大电信运营商全部在美国上市，他们现在正在构建法案要求的内控系统，it内部控制系统构建及评审是无法绕过的工作。完善内控，特别是电信企业信息化水平很高、业务流程依赖于it流程的背景下，重视it内部控制，完善it内部控制十分迫切。本文讨论我国公司如何依据法案的要求在短时间内构建一套it内控系统， 并通过有效的it内控评价活动保证其持续健全有效， 以支持ceo 和cfo 的承诺进行初步探讨。

一、萨班斯法案的要求

世通公司造假案件和安然、安达信事件震惊了整个世界， 美国政府认为这是公司上下串通、内外勾结的严重结果， 所以法案对公司治理、内部控制及外部审计同时做出了严格的要求。明确规定要求建立独立称职的审计委员会，管理层要负责内控系统的完善和落实，并对财务报告的真实性负刑事责任 .综观整个法案， 最主要的是对公司内控系统的要求， 主要体现在302条款和404 条款。法案对公司内控系统不但规定严格， 而且实施要求和指南也在相续出台， 如sec 于2003年6月5日根据法案的要求颁布了404条的细化条例， pcaob于2004 年3月9日第2号审计准则， 对公司管理层提出了更明确的要求。

1、302条款的要求：

该条款要求由首席执行官和财务主管在内的企业管理层，对公司财务报告的内部控制按季度和年度就以下事项发表声明（予以证实）：

对建立和维护与财务报告有关的内部控制负责。

设计了所需的内部控制，以保证这些官员能知道该公司及其并表子公司的所有重大信息，尤其是报告期内的重大信息；

与财务报告有关的内部控制的任何变更都已得到恰当的披露，这里的变更指最近一个会计季度已经产生，或者合理预期将对于财务报告有关的内部控制产生重大影响的变更。

在当前环境下，it系统驱动着财务报告流程。诸如erp之类的it系统紧密地贯穿于企业经济业务的开始、授权、记录、处理和报告一整套过程中。就其本身而言，it系统和整个财务报告流程也是紧密联系的，为了遵循萨班斯法案，也要对it内部控制的有效性予以评估。

为强调这一点，pcaob第2号审计标准讨论了it以及it在测试内部控制设计合理性及运行有效性时的重要意义，并强调指出：[部分]

…内部控制，包括与财务报告中所有重要账户及披露内容相关的控制政策与程序，都应该予以测试。

一般而言，这样的控制包括it一般控制，以及其他控制所依赖的控制。

2、404条款管理要求

萨班斯法案的404条款要求，管理层在其年度文件中提供关于与财务报告有关的内部控制的年度评估报告。管理层的年度报告要求包括以下内容：

管理层有责任为企业建立和维护恰当的财务报告有关的内部控制。

识别管理层所采用的内部控制框架以便按要求评估公司与财务报告有关的内部控制的有效性。

对从一上个会计年度未以来，与财务报告有关的内部控制的有效性予以评估，其内容也包括有关与财务报告有关的内部控制是否有效的公开声明。

年度审计报告中，注册会计师事务所发表的财务审计报告，包括管理层对与财务报告有关的内部控制有效性评估的证明报告。

管理层关于欧洲杯投注官网针对财务报告内部控制有效性评估的书面结论，应包含在其对财务报告内部控制的报告和其对审计师的信函中。这一书面结论可采取多种形式，但是管理层对公司面向财务报告的内部控制的有效性必须发表直接意见

如果与财务报告有关的内部控制中有一个或多个重要缺陷，管理层将不能对财务报告的内部控制有效性做出评估结论，而且，管理层应该披露自最近一个会计年度未以来财务报告内部控制方面的所有重要缺陷。

面向财务报告的内部控制在这一会计期间可能存在一个或多个重要缺陷，但管理层仍可能会报告“从最近一个会计年度未起（上个会计年度未起），与财务报告有关的内部控制是有效的”。如果要做出这样的结论，管理层必须在评估日前已经改进了内部控制，消除了已有的缺陷，并在运行和测试其有效性后得到了满意的结果，测试的时间足以让管理层认为，从本会计年度起，与财务报告有关的内部控制设计合理、运行有效。

审计师需要合理地确定管理层的认定目标或审计目的（从而依此来收集审计证据），以支持管理层对内部控制有效性的评估结论。通过对审计师在这一过程中所应遵循程序的描述，pcaob第二号审计标准接着指出：

公司在对财务报告做出确认时需要借助于企业的it系统。为了识别管理层对财务报告所作的相关认定，审计师应考虑每个重要账户潜在错报、漏报产生的原因。在决定一个认定是否与某一重要账户余额或其披露相关时，审计师应该评价it系统的性质、复杂程度以及企业it的使用状况。

pcaob第2号审计标准还专门讲述了it在期末财务报告中运用，它指出：…要了解期末财务报告的提供过程，审计师就应在每一会计期末评估it在该过程中的应用范围。………[部分]

因此所有企业构建it内部控制至少都应具备以下三层通用要素：企业管理层，业务流程和共享服务。

二、我国电信运营企业面临的挑战

由于电信企业的信息化水平比较高，业务对it的依赖程度也比较高。因此依照萨班斯法案要求，完善与财务报告有关的内部控制时，电信企业的内部控制几乎离不开it，即使业务控制也是在it支持环境下的控制。因此，电信企业完善内部控制几乎可以说是完善it内部控制，包括it一般控制和it应用控制。但我们的现状不容乐观。

1. it专业人士，尤其是管理层，缺乏内部控制理论与实践来满足萨班斯法案的要求。

法案的要求使很多人认为，it专业人士应该对其负责的it系统所产生的信息质量及完整性负责，但问题在于，大多数it专业人士对复杂的内部控制并不精通或了解，难负其责。尽管这并不说明it人员没有参与风险管理，但至少it管理层没有按照组织管理层或审计师所要求的形式进行正式的、规范化的风险管理。 pcaob指出首席信息官（cio）们现在必须面对以下的挑战：（1）增强他们有关内部控制方面的知识；（2）理解企业所制定的总的sox遵循计划；（3）专门针对it控制拟定一个遵循执行计划；（4）把这个计划与总体的sox遵循计划相整合。

2 缺乏系统的内部控制制度

事实上，每个电信企业都或多或少会都有一些it内部控制制度，正是由于第一点原因，这些制度基本是由技术管理者制定，他们缺乏规范化风险管理的经验，这些it控制制度可能不太规范，控制政策程序不太完善， it控制制度一般存在于系统安全和变更管理等一些一般控制领域，缺乏从公司透明度角度出发的、结合支持业务流程的完整的内部控制制度。所以这也是在国内企业在符合萨班斯法案的道路上，问题最多的领域。

3.现有的it内部控制不具有可审计性

萨班斯法案相关的条款要求上市公司必须有足够的证据证明内部控制的有效性，这就要求企业必须有完善的内部控制流程及审计轨迹，在控制发挥作用的同时生成相应的文档记录，以便在对内部控制设计及运行的有效性进行评价时有足够的证据。我国的电信运营商的it控制程序相对其他行业企业而言还是比较完善的，但距离萨班斯法案的要求还很远。很大的一个差距是我们内部控制流程设计及运行的可审计性不具备。很多企业有厚厚的规章制度，但是否执行、执行是否有效却没有关注、或没有证据进行评价。

it内部审计论文篇3

关键词：风险 it审计 研究

随着科技信息的不断发展，各种信息技术的应用，在全国范围内以及各行各业都非常广泛，那么，在这种趋势下，it的审计风险也就在日益增大。尤其是以企业为主的有关审计，对于如何认识it的审计风险，又应该如何有效地化解it风险，这已经成为目前整个行业越来越关注的话题。现在，这一问题的解决，在国际上所通行的作法，就是对it进行审计，本文就来详细地谈一谈关于it审计的一些问题。

一、企业it审计的主要概念

提起审计，每个人可能都很了解，就是对企业里经济活动的一种独立的监督和审查。那it审计又是什么呢？这可能就会使很多人费解，其实理解it审计并不难，与上面所提到的审计差不多，就是针对具体的it活动进行独立的监督和审查。在这里我们要明确几个关于it的基本概念：首先，我们要掌握it活动的含义。it其实是信息技术英文单词的缩写，信息技术和经济属于不同的概念，经济是社会上的一种具体现象，它主要是利用社会规范对其进行调整；而本文前面提到的信息技术，它是一种技术，是用具体的技术规范对此进行调整的。其实it审计不仅仅是依据技术规范的信息对it活动来进行审计，如果只有技术规范对其进行审计的话，就完全缩小了关于it审计的主要范围。it活动其实就是人的活动，其具体目的也是为人服务的，it审计的主要范围不只包括it的具体活动，还包括一些与it活动有关的其他活动，只有这样，才能够保证关于it的审计符合it相关活动的具体要求。

其次，it审计具有独立性。这也是审计活动中的基本原则。独立性要求的是审计主体与审计对象的相互独立，由此才能够保证it审计结果的一种客观性。

再次就是it审计的监督和审查。监督是能够使审计活动达到一个预期目标而对活动进行督促和监督，审计就是对it审计中的某项活动进行核实。那么，it的监督和审查程序就是为了预防it可能发生的风险，督促、监视各种与it相关的活动，并核实其符合规范性的具体活动。

二、对it审计风险的具体理解和it的制度规范

首先，风险就是某一个事件产生了我们不希望发生的后果的一种可能性。it风险不能将风险局限在只有it的考虑范围，it作为技术，它必须是为组织目标服务，其实it风险并不是it本身所具有的风险，它是一种在组织引入it技术后产生的风险，也就是说，它是组织风险。

it与组织资产有紧密的联系，这种资产对it组织来说是具有一定价值的，引入it后，在这种资产的保护上就出现了一种新的薄弱点，外部对组织造成一定的威胁时，那么，组织的资产所具有的价值就可能会受到损害，由此，it风险就产生了。

其次，关于it的制度规范。要有效地防范it风险，就必须要有一套严格的相关制度规范要求。拥有一个合理完善的it制度规范体系，是有效防范it风险的主要依据。it的制度规范是有所区分的，第一种应该是法律规范，也是it制度规范中强制性的规范，不管任何人在任何情况下都必须严格遵守，同时，法律法规也是审计的依据。第二种就是各大企业内部自主制定的相关制度规范。这种it制度规范所体现的是一种强制性的制度规范，还具有两方面的特点：一方面它是为各大企业的发展战略目标而服务的；另一方面它要与it活动存在的客观规律相符合。所以，企业所制定的制度规范的完善程度要能够促进企业自身发展目标的实现，切实贯彻强制性的规范要求，还要反映企业it活动的各种客观规律。

三、it审计的具体思路

首先，要认真学习并深入理解规范制度的强制性要求。其次，要结合企业的it制度是如何对强制性规范进行规定的。再次，要了解企业内部资产价值的评估，以及企业的发展战略目标是怎样将这一规范制度体现出来的。最后，根据其资产的不同重要程度，要从最重要的开始，检查一个企业内部对所制定的it制度规范具体的执行情况。另外，为了能够有效实现it审计的目标，并且合理地使用it审计资源，在进行审计的过程中，要对重要的评估，运用专业判断知识。要根据审计工作人员的公用标准或者职业判断，内控审计的结果，一些重要性的判断是离不开一定的环境的，审计工作人员，要根据具体的系统环境来确定其信息的重要性。

四、结语

总之，it风险的防范，是目前各大企业所面临的一个最严峻的新挑战，同时，这也是一个企业在激烈的市场竞争中能够占据良好地位的新机遇。企业要及时做好有关it风险的防范措施，其关键因素就是要进一步深入地理解一个企业内部的发展战略，及时摸清企业发展的现状，并在此基础上，逐步加强it的审计工作，规范企业中it的相关活动，为企业在市场竞争中能够取得良好的地位创造前提条件。

参考文献：

[1]陈阳.试论基于风险的it审计[j].现代经济信息，2013（3）

[2]康洪艳.it审计的更新[j].审计与经济研究，2008（2）

[3]安广实，陶芸辉.it审计风险成因极其防范对策思考[j].中国乡镇企业会计，2012（8）

[4]吴越，俞文萍.通过it审计加强金融企业风险管控[j].上海国资，2008（8）

[5]王娜.it审计对传统审计的撞击——2001年计算机审计国际探讨会综述[j].中国审计，2008（10）

it内部审计论文篇4

此次年会围绕“公司治理与it治理、‘萨班斯法案’、it控制”三个核心议题，广泛、深入地探讨和推广中国企业在风险管理时代“三个结合”，即公司治理与it治理相结合，全面风险管理与it治理相结合以及六方（ceo、cfo、cio、coo、cko、cmo）协作的理念。

公司治理与it治理相结合

1997年的亚洲金融危机、2002年美国股市丑闻，蓝田股份和银广夏的利润神话破灭事件，以及2005年年初相继出现的创维、伊利股份、三九集团等上市公司高管涉案，完善公司治理机制、有效管理企业风险正在成为企业议事日程中和企业财务高管们最重要和最迫切的任务。

我国政府将建立有效的公司治理机制视为“现代企业制度”建设的核心内容，而加入wto的承诺使得全面系统地处理这一问题显得更加紧迫。国务院国资委主任李荣融曾表示，目前上市公司所出现的问题都与公司治理结构不完善有关。国资委要与证监会正联合推动国有企业完善公司治理结构。

公司治理的效率、效果直接依赖于许多的制度要素。这既包括审计和信息披露的质量，也包括法律系统对契约的监督以及对外部投资者的保护能力等。例如在逆向选择的框架下，我们可以看到：一个更好的会计标准和更及时的信息披露要求将大大减轻经理人与外部投资者之间的信息不对称，从而便利了融资，降低了风险。因此，公司治理的核心问题是信息不对称性或不完全性，解决公司治理问题，最核心的是公司信息的真实、准确以及处理与传递的效率问题，而it技术在实现透明度原则和体现监控力度上正日益成为有效的工具。由于许多在美上市企业的核心业务都依赖it系统，因此，2002年美国颁布的“萨班斯法案”对公众公司提出了更高的要求，公司应定期评价其信息系统及其内部控制的充分性，来保证提供给投资者信息的准确和完整，强调公司管理层建立和维护内部控制（尤其是it控制）及相应控制程序充分有效的责任。因此，研究it治理，加强it控制，降低风险，有效地实现公司治理，成为全球关注的话题。

十六届五中全会通过了《中共中央在关于“十一五”规划的建议》中明确提出了今后五年时间内公司治理与内部控制、全面风险管理时企业改革的重点，“加快国有大型企业股份制改革，完善公司治理结构。加快建立国有资本经营预算制度，建立健全金融资产、非经营性资产、自然资源资产等监管体制，防止国有资产流失；”“完善金融机构的公司治理结构，加强内控机制建设；”“完善对境外投资的协调机制和风险管理，加强对海外国有资产的监管”；“健全金融市场的登记、托管、交易、清算系统。完善金融监管体制，强化资本充足率约束，防范和化解金融风险。”

itgov（中国）it治理研究中心主任孙强在发言中指出：未来公司治理和it治理对企业的影响一定是革命性的，并且这种影响直接关系到中国企业的国际竞争力，可以说国际竞争很大程度上就是公司治理和it治理的竞争。孙强认为没有完善的公司治理和it治理，我国企业首先在利用国际市场筹资方面就输给了竞争对手，产品市场的竞争必将更加困难。因此，不进行治理实践改革的公司在想获得资本，加速发展时，将发现自己处于竞争劣势。

尽管现实距离最终理想的公司治理和it治理看上去有些遥远，但实际上今天的公司治理与it治理已经不仅仅停留在概念炒作的层面。目前很多研究机构、it厂商、咨询企业都已就it如何在公司治理、全面风险管理中发挥新的使命，纷纷提出了整合的理念、框架和欧洲杯买球平台的解决方案。

全面风险管理与it治理相结合

在2004年底，国资委组织召开的中央企业负责人会议上，国务院黄菊副总理强调指出，要完善企业内部管理制度，高度重视风险的防范和管理，要建立健全企业法律顾问制度，增强依法经营的能力和水平。国资委李荣融主任也提出企业要善于识别风险、规避风险、控制和化解风险。随后，由国资委企业改革局牵头，起草了国内首部企业风险管理指导性文件―《全面风险管理指导纲要》，目前已经进入征求企业意见和论证修改的最后阶段，即将出台。《全面风险管理指导纲要》适用于所有中央企业，要求企业在经营管理的各个环节和业务过程中执行风险管理的基本流程，建立健全风险管理的组织体系、信息系统和内部控制系统。

孙强先生在题为“公司治理、it治理与中国企业的国际竞争力”的主题演讲中认为：在全球风险的时代，所有的企业，不论其规模、结构、性质或产业是什么，风险管理都将是必不可少的。有效的风险管理和机会管理将成为竞争优势的源泉。同时，随着it重要性的增加和普遍应用，it将被整合到所有的生产过程与经营管理体系中去。所以，it的风险亦将显著影响到组织的战略执行及目标的实现。在这种情况下，将全面风险管理与it治理整合起来推动，就成为必然的选择。孙强还认为一旦中国企业形成了与欧洲杯投注官网的文化相适应的良好治理结构，这就是我们企业的国际核心竞争力。

内部控制责任：“六方”相结合

国资委全面风险管理专家组成员孟秀转女士认为:不仅仅是管理人员、内部审计师或董事会，组织中的每一个人都对内部控制负有责任。确立这种指导思想有利于将组织中的所有员工团结一致，使其主动地维护和改善企业的内部控制，而不是与管理层对立，被动地执行内部控制。这样才能实现我们企业所期望的“发现问题，解决问题，发现新问题，解决新问题”。她特别倡导六方（ceo、cfo、cio、coo、cko、cro）打破原有职责范围局限，携手参与到公司治理、合法合规等实践中来，共同肩负起内部控制的责任，最终形成“内部控制人人有责”的欧洲杯投注官网的文化。

符合“萨班斯”的it控制与信息系统审计

“萨班斯法案”最主要的特征之一表现在：法案要求组织机构使用文档化的财务政策和流程来改善可审计性，并更快地拿出财务报告。要求企业针对产生财务交易的所有作业流程，都做到高透明度、可控制、实时风险管理并防治诈欺，并且这些流程必须有可追查到的交易源头的详细记录。

如何构建满足“萨班斯”要求的内部控制，管理层如何评价这些控制设计与执行的有效性，外部审计师如何鉴证管理层对其内部控制的评价并出具审计报告？在会上国资委全面风险管理专家孟秀转女士就这些问题从三个方面作了详细介绍：

第一，“萨班斯法案”对it 部门、对管理部门提出了哪些内部控制要求，特别是对 it 的控制目标要求。第二，“萨班斯”内部控制的审计标准。控制目标做的怎么样，控制措施设计的是否恰当，执行的是否有效，需要有审计师进行评价，在这个评价的基础上找到内控的弱项，以便于我们企业弥补。这是因为符合“萨班斯”的过程是一个持续的过程，并且内部控制受控制成本的固有限制，不可能完美，需要根据环境的改变不断的完善。 第三，符合“萨班斯”的信息系统审计工具与审计流程。按照pcaob的内控审计标准，如何对内部控制给予恰当的评价，这可能是企业的高端人员非常关注的问题。“萨班斯法案”要求企业的高管人员对内控的有效性做一个评价。所以管理者、内部审计师、外部审计师都非常需要有一套审计的工作流程，以帮助他们对内部控制，包括it控制做一个相对客观的评价。

孟女士指出，在信息时代企业的整个交易和业务以及财务报告的产生，都是基于企业it基础架构的服务。管理层要保证财务报告的有效，就不可能忽略it的控制。 在pcaob建议的内部控制构建与评价工具coso 框架中缺少对it 内部控制的关注。所以国际上关于it的内控基本上是采用cobit 标准。在it部门中采用 cobit 框架的话是一定要符合 coso 要求的。除此之外，cobit控制框架也可以帮助企业建立和完善与 it有关的内部控制目标和控制活动的设计。cobit 是流程化的内控，它将it的生命周期划分为四个构成领域。除此以外，it控制也要参考 iso20000，这是it服务管理领域的国际标准，长期支持企业的运营，保证财务报告的数据真实合法，并且是完整、安全的it的运维过程。iso20000 是关于it支持业务和财务报告产生过程中的管理控制框架。这个框架的特点就是一系列标准化的可审计的it服务流程和程序。财务报告审计无保留意见的前提是财务信息的安全。关于信息安全的一个国际标准iso27001，也是被广泛采用的it内控构建与审计的工具，其中总结了39 个内控目标和 133个详细的控制措施。

cobit 、iso 20000 和iso27001不仅是构建it控制体系的指导，它们本身就是一个可审计的控制流程。pcaob在“萨班斯 404”内部控制审计标准ⅱ中关于it部分的审计就是参考了cobit：应用控制与一般控制的审计。

最后，孟女士总结说，“萨班斯”it控制和审计一定要在高管层内达成统一的认识。不要认为it控制与审计 是it的事，财务只管财务控制，人为地把两者割裂起来。我们的业务是建立在 it基础上运营的，所以必须将它作为一盘棋考虑。 还有一个就是我们建议在构建内部控制框架时，要借鉴国际标准，这是国际上多年实践的总结，我们可以少走弯路。

pcaob针对“萨班斯404”条款提出审计要求：审计师在评价内部控制时，不得绕过计算机系统，必须了解从业务产生、业务处理到产生财务报告的完整计算机处理过程，确保整个过程都有充分、适当的控制，并评价这些控制的有效性。

“萨班斯404”给审计师提出了挑战：必须对影响财务报表的信息系统进行审计。不仅如此，“萨班斯”也给企业内部控制人员、内部审计人员及风险管理人员提出了挑战。目前国内外都缺乏既懂技术又擅长风险评估、内部控制以及审计的人才。it风险评估、it控制以及信息系统审计的人才缺乏是我们通过“萨班斯”大考的关键问题。

“合力”应对“萨班斯”

毕博管理咨询公司大中华区董事rolan spahr博士认为，对员工的培训必不可少，要使员工认识到现在企业存在的风险。应该让每个员工都对风险有一种责任感，这样才能提升我们整体的业务。这是体现在个人生活当中遵循的原则，这也适用于在激烈的竞争中的公司需要。

甲骨文公司高级董事lane leskela先生在介绍波音公司财务变革与“萨班斯”合规项目时说，讨论内控问题，就是要看企业在不同阶段的变化。“萨班斯法案”要求我们提供企业不同时期变化的数据，所以企业必须使得数据尽量的简化、及时。同时，还要在这个流程中加入能够提高运营效率的东西。

在财务变革的过程当中，企业必须了解能从这场变革中获得什么。有很多公司在过去几年都为符合“萨班斯法案”的要求做出了努力，他们甚至需要改变企业的流程来适应“萨班斯法案”的规定。因此，风险管理非常重要，如果处理不好，这种改变会对企业内部的业务带来风险。我们的经验就是，企业要学习这些好的经验，借鉴其他公司的做法，给本企业的财务管理过程带来一些新的想法。此外，得到管理层的支持也很关键。管理层的支持可以确保整个过程是有效的。最后，就是要使财务改革和合规项目之间实现互动。

在本次会议中，来自美国翰宇国际律师事务所的律师amy sommers女士也从律师的视角从美国上市公司的历史谈起，从背景上帮助大家理解 “萨班斯法案”出台的历史背景和带来的影响，并详细介绍了法案主要涉及的关于欧洲杯投注官网治理、信息披露、公司检举人保护等问题。

最后本届会议针对目前 “萨班斯”合规项目给中国企业带来的挑战，了“中国it治理人才培养计划与内部控制计划”，目的旨在培养it管理与控制领域的专才，帮助组织确保it战略的一致性，有效管控it相关风险，高效利用信息资源，从而实现组织的业务战略目标。”

it内部审计论文篇5

［关键词］it审计；挑战；策略

随着信息技术的兴起，信息系统已经渗透到社会生活的方方面面，它在给人们带来便利与效益的同时，也带来了很多负面影响，如计算机犯罪案件的频频发生等，系统安全问题日益严峻。于是一个不容回避的问题——我国企业如何有效地开展信息技术审计（informationtechnologyaudit，以下简称it审计），保证信息系统安全，摆在我们面前。本文拟对此进行探讨。

一、it审计的定义及其特点

it审计是指对信息系统从计划、研发、实施到运行维护各个过程进行审查与评价的活动，以审查企业信息系统是否安全、可靠、有效，保证信息系统得出准确可靠的数据。由以上定义可知，it审计的目标是保证it系统的可用性、安全性、完整性和有效性，最终达到强化企业内部控制的目的。

该审计过程具有以下特点：

1.it审计是一个过程。它通过获取的证据判断信息系统是否能保证资产的安全、数据的完整和组织目标的实现，它贯穿于整个信息系统生命周期的全过程。

2.it审计的对象综合且复杂。it审计从纵向（生命周期）看，覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务；从横向（各阶段截面）看，它包含对软硬件的获取审计、应用程序审计、安全审计等。it审计将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。

3.it审计拓宽了传统审计的目标。传统审计目标仅仅包括“对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见”；但it审计除了上述目标外，还包括信息资产的安全性、数据的完整性及系统的可靠性、有效性和效率性。

4.it审计是一种基于风险基础审计的理论和方法。it审计从基于控制的方法演变为基于风险的方法，其内涵包括企业风险管理的整体框架，如内部环境的控制、目标的设定、风险事项的识别、风险的评估、风险的管理与应对、信息与沟通以及对风险的监控。

二、我国it审计面对的挑战

it审计和传统审计相比具有的上述特点是吸引我国众多企业引入it审计的重要原因，但是这种方法的应用又会给企业提出巨大的挑战。

1.传统审计线索的消失。在手工会计环境下，审计线索主要来自于纸质原始凭证、记账凭证、会计账簿和会计报表，这些书面数据之间的勾稽关系使得数据若被修改可辨识出修改的线索和痕迹，这就是传统审计线索的基本特征。但是现在计算机网络信息系统中这些数据直接记录在磁盘和光盘上，无纸张记录，审计人员用肉眼无法直接看到这些数据如何记录，且非法修改删除原始数据也可以不留篡改的痕迹，从而为舞弊人员作案留有可乘之机。尽管许多审计机构要求已实现会计信息化的企业将所有原始凭证、记账凭证、账簿、报表打印输出，使用绕开计算机系统的审计方法，并以打印出的证、账、表作为基本审计的线索和依据。但是如果原始数据在业务发生时就被有意篡改，则其派生的记账凭证金额和账户余额及报表数据也一定会出错，打印出的数据也不能作为审计证据。因此即使打印出所有电子数据，传统审计线索也会在计算机信息系统下完全消失。

2.计算机信息系统的数据安全面临挑战。手工信息处理的环境下，审计人员无须将数据和会计信息的安全性问题作为审计的重要内容，但是在it审计的工作中，网络电子交易数据的安全是关系到交易双方切身利益的关键问题，也是企业计算机网络应用中的重大障碍和审计的首要问题。例如计算机病毒的破坏、黑客用ip地址欺骗攻击网络系统来获取重要商业秘密、内部人员的计算机舞弊、数据丢失等，都是传统审计从未涉及的，但又是it审计的重点，这对当前我国的审计工作无论是操作系统，还是制度建立等众多方面都是一个很大的挑战。

3.it审计专业人才匮乏，适应it审计事业发展的人才培养和管理机制还有待建立和健全。由于it审计固有的复杂性，这项工作需要具备会计、审计、组织管理和计算机、网络技术等综合知识的人才，而且工作人员需要对内部控制和审计有深刻的理解，对信息和网络技术有敏锐的捕捉能力，在我国获得注册信息系统审计师资格的人数远远不能满足信息系统审计业务的需求。

三、我国it审计应对策略

面对上述挑战，我们应当多方位、多角度制订措施，使it审计工作更好地为我国企业发展做出贡献。具体措施如下：

1.审计线索的重建。根据计算机网络系统容易在不同地方同时形成相同“原本”数据的特点，可以重建电子审计线索：在电子化的原始数据形成时，同时在审计机构（包括内审机构）和关系紧密（签字确认）的部门形成原始数据的“原本”，或在不同部门各自形成相关的数据库（特别应当包括数量、金额和单价等主要数据项），这样不仅可以相互监督和牵制，还给计算机审计提供可信的审计线索。这种保留审计线索的方法，一方面成为有力的控制手段，另一方面可从审计线索中发现疑点。这种方法主要是应用专用的审计比较软件，同时将几个部门的同一种数据库进行自动比较形成有差异的数据记录文件，详细审查相关的数据文件和访问有关的当事人，从而取得有力的审计证据。上述比较审计方法是在不同部门同时形成业务数据文件的情况下应用，如果企业业务数据分离存放，如销售合同与销售发票、提货单在不同的部门保存，这种实质性测试也可采用比较审计法，应用专用的审计软件，结合相关的几个业务数据文件进行比较，查出有错误疑点的记录。

2.确保信息系统的信息安全。为了保证信息系统的信息安全，it审计工作人员要在审计过程中评价企业的防火墙技术、网络系统的防病毒功能、数据加密措施、身份认证和授权的应用实施情况，通过面谈实地审查企业安全管理制度建立和执行的情况，查看企业是否为了预防计算机病毒，对外来的软件和传输的数据经过病毒检查，业务系统是否严禁使用游戏软件，以及是否配置了自动检测关键数据库的软件，使异常及时被发现；检测企业是否为了防范黑客入侵，网络交易的数据库采用离散结构，同时在不同的指定网点（如在交易的双方）形成完整的业务数据备份供特殊使用（如审计和监控）；此外it审计人员还要注意检查企业的信息系统岗位责任实施、安全日志制度，审查有关计算机安全的国家法律和管理条例的执行情况。

3.建立一支完备的it审计专业人才队伍。it审计的发展必须有一大批专业化的it审计人才，这就要求我们要采取短期培训和长期培养、操作层面上的培训与高层次人才的培养、在职人员培训与未来人才培养相结合的方法将这支队伍逐渐发展起来。此外我国可以从现有的审计队伍中选拔人员进行专门的信息系统审计培训，并考虑在注册会计师的资格考试和审计师职称考试中逐步加入计算机、信息系统和网络技术等与信息系统审计有关的内容，以及加强对从事信息化咨询的it技术人员的会计与审计知识的培训。为了培养未来审计人员，应在高校会计、审计专业教学计划中增加信息技术和电子商务等内容，也可以考虑在高校中开设信息系统审计专业，直接培养信息系统审计专业人才。