信息技术审计概述

1、信息技术审计概述 大庆油田公司 张杰 二OO九年十一月九日,-2-,目录,一、信息技术审计的产生及发展 二、信息技术审计的主要形态 三、国内审计信息化的动向 四、中油计算机辅助审计系统概况,-3-,一、信息技术审计的产生及发展,知识经济和信息技术（IT）的高速发展，推动全球进入信息时代。 这个时代的显著特征之一就是：IT技术被广泛应用于社会的各个领域，成为社会发展的重要支柱。 信息技术审计是适应审计环境、审计对象发展变化的必然结果，是内部审计工作转型的内在要求。学习和应用信息技术，就是要以其为手段，构建审计信息化平台，拓展审计空间，提升审计效果，为内部审计工作注入现代的气息和活力，促进审计思维

2、、审计方式、审计内容的转变。,-4-,（一）信息技术审计产生的必然性,1.直观可见的审计线索减少 2.部分人工业务处理由计算机自动处理代替 3.内部控制更依赖于信息技术 4.差错因素发生重大变化 5.企业信息系统的集成化,-5-,（二）信息技术审计发展,1.国外信息技术审计的发展 20世纪60年代信息技术审计萌芽期 IBM公司出版的有关文献，首先给出了电子数据处理环境下的内部审计规则和组织方法，介绍了许多新的概念、术语及审计技术等。 美国注册会计师协会出版了电子数据处理系统与审计一书，探讨了审计与电子数据处理系统的关系，提出了若干计算机辅助审计的方法。 20世纪70-80年代信息技术审计发展期

3、 国际内部审计师协会出版系统控制与审计，进一步总结了电子数据处理系统（Electronic Data Processing System，EDP）的控制与审计，提出了不少行之有效的计算机辅助审计的方法和技术。 美国注册会计师协会出版了计算机辅助审计技术，详细介绍了利用计算机辅助审计。,-6-,（二）信息技术审计发展,20世纪90年代至今信息技术审计普及期 基于信息技术的连续审计（continuous auditing）及其内涵下的“技术驱动型审计方法”（technologyenabled auditing）得到应用。连续审计实现审计人员和被审计单位电子数据的及时连接和交互,克服当前审计的滞后性

4、，有效缩短审计周期，能为相关方提供更及时的风险和控制鉴证服务。连续审计不但是审计技术的变化，还涉及到审计方法的更新和审计流程的变革，审计对象更加宽泛，审计期限、审计实施时间及审计报告更为及时迅速，审计报告更具决策相关性。根据普华永道2006年内部审计行业调查报告的调查结果，被调查的美国公司中有半数的公司目前正在开展连续审计。 国际信息系统审计与控制协会ISACA在世界100多个国家与地区设立了160多个分会，制定和颁布了信息及其相关技术控制目标（Control Objectives for Information and related Technology，COBIT）、信息系统审计准则，信

5、息系统审计作为一种制度保证和IT治理的重要方式受到了广泛关注。,-7-,（二）信息技术审计发展,2.国内信息技术审计的发展 在信息技术审计方面，政府审计成为主导者和先行者。国家审计署从上世纪80年代末开始，就把信息技术审计列入发展规划中。2001年审计署制定了信息化建设总体目标和构想，2002年开始实施了“金审工程”，其目标是建成国家审计信息系统，包括审计管理系统、审计作业系统、审计信息资源、网络互联系统、安全保障系统、运行服务系统。 2002年，金审工程一期建设全面启动。 2003年，金审工程一期开发的审计管理系统（OA）上线运行。 2004年，金审工程一期开发的现场审计系统（AO）部署运行

6、。 2007年，金审工程二期建设全面启动。,-8-,（二）信息技术审计发展,内部审计的信息化研究和建设起步于本世纪初，在国家审计署的大力倡导和影响下，内部审计信息化取得了一定的进展。当前，大多数内部审计机构主要以计算机技术辅助审计的方式开展IT审计，审计人员利用审计软件、数据库和电子表格进行数据的采集转化和分析核查，在审查舞弊中取得了一定效果。中国石化自2004年以来，启动了在ERP环境下的辅助审计信息系统（英文缩写AIS）开发、推广应用工作，尝试开展在线和远程审计。宝钢集团开发了具有针对性的审计软件，基本实现审计自动化。四川航天技术研究院从2006年开始启动并实施了计算机辅助审计工程，推行网

7、络审计方法。信息系统审计，包括风险、控制在信息系统审计中的运用，目前尚处在探索和研究阶段。,-9-,二、信息技术审计的主要形态,目前，信息技术审计主要表现为两种形态：一是计算机数据审计；二是信息系统审计。信息系统审计是对计算机数据审计的继承与发展，信息系统审计和计算机数据审计构成了现阶段IT审计的两大主题，二者交汇融合、互为支撑，既有一定区别，又存在着紧密的联系。,信息系统审计,途径,途径,途径,推进,-10-,二、信息技术审计的主要形态,计算机数据审计是以被审计单位信息系统和底层数据库原始数据为切入点，在对信息系统进行检查测评的基础上，通过对底层数据的采集、转换、整理、验证，形成审计中间表，

8、并运用查询分析、多维分析、数据挖掘等技术方法进行数据分析，发现趋势、异常和错误，把握总体、突出重点，从而收集审计证据，实现审计目标。 信息系统审计是通过对信息系统的安全性、可靠性、完整性、效率性和效果性等进行检查、评价和报告活动，协助企业建立完善、可行的信息技术管理机制，平衡企业信息化过程中的风险，促进信息技术目标与企业业务目标的协调发展。,-11-,二、信息技术审计的主要形态,（一）区别 审计范围及重点不同。信息系统审计的范围涵盖了信息系统的整个生命周期和所有信息技术资源，它更加关注于企业信息系统的战略发展、管理控制、保护利用和绩效评价，具有鲜明的管理性特征。计算机数据审计通常是以现行信息系

9、统输入、处理、输出和存储的信息数据为对象，侧重于信息数据的查询、分析和挖掘，以确定审计重点和发现审计线索，揭示潜在的逻辑关系和规律。 审计项目形态不同。由于信息系统审计目标与职能的确定性，信息系统审计可作为独立的审计项目组织实施，又可作为内部控制、管理效益等审计项目的组成部分进行实施。计算机数据审计是一种信息技术审计手段和方法，或者是基于此种技术的辅助审计软件，它不具备审计项目的形态，主要服从、服务于各类审计项目，起到强大的支撑和保障作用。,-12-,二、信息技术审计的主要形态,审计时效及频率不同。信息系统审计的复杂性、综合性和高技术性特征，决定了其实施过程要经历一定的时间周期，因此对于已经审

10、计过的信息系统，在其未发生变更的情况下，通常需要适当降低审计频率。计算机数据审计则不然，它强调审计的动态性和时效性，通过联网、嵌入审计模块等方式缩短审计周期和提高监控频率，以实现连续审计为根本目标。,-13-,二、信息技术审计的主要形态,（二）联系 信息系统审计是计算机数据审计的必要条件。发展证明，仅对信息系统管理的数据进行审计，极有可能是信息化环境下的“假账真查”，极易产生审计风险。因此，计算机数据审计必须以信息系统审计为切入点和必要条件，至少要对信息系统的管理控制和技术控制情况进行测试检查，发现控制缺陷、非法功能和漏洞，评估数据的完整性、可用性、可审性，为计算机数据审计奠定坚实的基础，提升

11、计算机数据审计的质量和实施效果。 计算机数据审计是信息系统审计的有效手段。信息系统审计除采用受控处理法、综合测试法、平行模拟法等技术方法外，可以充分利用计算机数据审计，对采集的信息系统底层数据进行深入分析，推理与揭示信息系统存在的设计不足、控制缺陷和非法功能等问题。,-14-,三、国内审计信息化的动向,（一）金审工程应用平台及国家审计信息化的动向,-15-,三、国内审计信息化的动向,1.现场审计技术将更加灵活易用 具有较高信息技术含量的现场审计实施系统（AO）是金审工程一期建设、部署在审计人员计算机上、用于移动办公审计、满足各类专业审计功能需求的审计软件。二期建设将进一步完善： 审计数据采集功

12、能; 审计程序导向功能; 通用专业审计功能; 证据底稿编制功能; 报告统计汇总功能; 项目质量控制功能; 单机网络方式功能; 信息安全交互功能。,-16-,三、国内审计信息化的动向,2.联网审计将成为重要审计模式 联网审计目标：通过及时采集数据、及时分析评价、及时督促整改，促进我国财政资金和国有资产使用管理的有效性。 联网审计对象：需要经常性审计且关系国计民生的重要部门和行业。 联网审计模式：“预算跟踪+联网核查”。 联网审计意义：促进审计工作“三个转变”，建设现代审计模式。即：从单一事后审计转变为事后审计与事中审计相结合、从单一静态审计转变为静态审计与动态审计相结合、从单一现场审计转变为现场

13、审计与远程审计相结合。,-17-,三、国内审计信息化的动向,3.数据式系统基础审计将成为新的技术方法 数据式系统基础审计的内容框架。包括3个部分: 内部控制审计。在信息化条件下，被审计单位的财务内部控制环节分布在管理控制和系统控制两方面，需要通过符合性测试发现影响真实、合法和效益的薄弱环节。 信息系统审计。在信息化条件下，被审计单位的业务流、信息流、资金流等大部嵌入信息系统。信息系统审计，其目标是从系统的完整性、可靠性、安全性测评入手，评价系统产生的数据的真实、完整和可靠。 电子数据审计。在内部控制测评确定风险环节和部位、信息系统审计确定数据的可信任度基础上，对审计获取的数据进行数据规范和审计

14、分析处理，客观准确地评价被审计单位的财政财务经营活动，揭示挤占挪用、损失浪费等违纪违规问题，促进整改、规范行为。,-18-,三、国内审计信息化的动向,4.标准规范和制度建设将成为重要基础 随着信息技术的推广普及，规范化、标准化、制度化越来越成为信息系统建设、应用和维护的基础保障。 国家信息化标准制度。关于政务信息资源目录体系和交换体系标准、数据接口标准、系统安全等级化标准等。 审计专业规范。国家审计基本准则，各类专业审计准则、审计指南等。 审计数据标准。国家审计数据中心基本规划，中央部门预算执行审计数据规划、社会保险审计数据规划等13类专业审计数据规划。 计算机审计规范。计算机审计准则、信息系

15、统审计准则、审前调查指南、审计数据分析报告规范等。,-19-,三、国内审计信息化的动向,5.审计人员综合素质将成为最重要的资源 经济学关于生产力双因素理论表明：生产工具是人类社会进步的标志，而人是最活跃的决定因素。在信息社会条件下，人的综合素质将成为最重要的资源。 审计署关于20062010年五年发展规划总目标中的一个重要内容就是“人、法、技”建设，并且把“人”的建设放在第一位，以及李金华审计长关于审计人员、领导干部、管理人员“三个资格”的论断，都足以表明：必须要建设一支适应审计信息化需要、具有综合素质的审计队伍。 2000年以来，审计署组织了计算机审计初级培训、中级培训，已有5万多人通过了初

16、级培训考试，2000多人通过了中级培训考试。,-20-,三、国内审计信息化的动向,6.现代审计方式正在逐步形成 现代审计方式理论尚在探讨中，其要素包括多个方面，但如下要素的建设和发展表明，现代审计方式正在逐步形成。 有效管理和科学决策。利用系统论、控制论、信息论，提高审计管理和审计决策的科学性、准确性和效率性，通过审计监督决策，促进政府行为的公开、透明和廉洁，正在逐步形成。 信息技术审计方式和方法。利用信息技术及其系统思维方式，逐步改变传统的审计作业手段，建立符合信息化要求的审计方式和方法正在逐步形成。 建设适应信息化的审计队伍。通过各类培训和实务训练，一支政治素质好、业务能力强、技术技能高、

17、工作作风实的审计队伍正在逐步形成。 法制建设和文明审计。适应信息化需要的法律制度建设，适应科学、和谐发展的文明审计，正在逐步形成。,-21-,三、国内审计信息化的动向,（二）内部审计信息化的动向,整体规划,以系统论为指导，规划并实施审计信息化建设滚动路径，实现与企业信息化战略规划相同步。,系统建设,建设审计管理平台、审计数据中心，实现企业核心运营数据和财务数据的动态监控，提升审计对企业关键风险的预警、分析和把握能力,效率提升,通过实施非现场审计和在线风险监控，从总体把握问题，寻找审计疑点，重点予以核查，提升审计效率和效果，规避审计风险 。,-22-,三、国内审计信息化的动向,1.中国电信审计信

18、息平台总体架构,系统通过接口程序在审计系统触发生成审计立项；审计完成时，审计系统需把审计结果返回到计划建设系统,审计综合管理模块将独立评估的数据传递给内控评估系统；内控评估系统将自我评估信息传递给审计综合管理模块,-23-,三、国内审计信息化的动向,中国电信审计信息平台应用模式,-24-,三、国内审计信息化的动向,2.中国石油审计信息化的演进路径,-25-,三、国内审计信息化的动向,2.中国石油审计信息平台建设图,-26-,四、中油计算机辅助审计系统概况,（一）系统发展历程 第一阶段：2005年5月启动中油计算机辅助审计系统V1.0研发项目，10月完成单机版的开发工作。,-27-,四、中油计算机辅助审计系统概况,-28-,四、中油计算机辅助审计系统概况,第二阶段：2005年11月至2006年5月完成网络版的开发工作。,-29-,四、中油计算机辅助审计系统概况,第三阶段： 2007年7-9月，为适应新会计准则的要求，系统进行了小版本升级。,-30-,四、中油计算机辅助审计系统概况,第四阶段： 2008年2-11月，为适应对Fmis7.0进行审计的需求，中油计算机辅助审计系统升级为2.0版。,-31-,四、中油计算机辅助审计系统概况,-32-,四、中油计算机辅助审计系统概况,（二）系统基本架构,-33-,四、