內(nèi)部審計分析論文范文

前言：我們精心挑選了數(shù)篇優(yōu)質(zhì)內(nèi)部審計分析論文文章，供您閱讀參考。期待這些文章能為您帶來啟發(fā)，助您在寫作的道路上更上一層樓。

第1篇

【關(guān)鍵詞】電力企業(yè)；內(nèi)部審計；開展

1電力企業(yè)內(nèi)部審計工作的重要性

內(nèi)部審計主要是指企業(yè)相關(guān)人員使用科學(xué)的方法對企業(yè)的風(fēng)險管理進行評價，同時開展的治理過程，其具有很多優(yōu)勢，不僅能夠提高管理效率，同時也能夠確保企業(yè)在發(fā)展過程中嚴格的按照相關(guān)標準進行，更好的促進企業(yè)的發(fā)展，因此也是越來越受到重視。目前我國的電力需求總量不斷增加，在風(fēng)力、光伏等發(fā)電的影響下進一步推動了電源結(jié)構(gòu)的調(diào)整，進一步促進電力市場的多元化發(fā)展，同時也進一步增加了電力市場的競爭，為了更好的促進電力企業(yè)的發(fā)展，加強電力企業(yè)的內(nèi)部審計工作非常重要，需要引起我們的重視。

2電力企業(yè)內(nèi)部審計工作的有效開展

2.1強化審計部門的獨立性

為了保證內(nèi)部審計的獨立性，電力企業(yè)首先要避免安排其他部門人員兼職審計，應(yīng)設(shè)立專門的內(nèi)部審計部門，合理配置內(nèi)部審計人員，嚴格考評內(nèi)審人員的職業(yè)道德和專業(yè)能力。領(lǐng)導(dǎo)層要主動支持和配合審計部門的工作，提高審計部門的地位，確保其獨立于各部門。

2.2重視內(nèi)部審計工作，樹立正確的內(nèi)部審計服務(wù)意識

為了更好的發(fā)揮內(nèi)部審計的作用，電力企業(yè)應(yīng)不斷強化員工的內(nèi)部審計觀念，樹立正確的審計意識。內(nèi)部審計不僅僅是對施工企業(yè)經(jīng)營管理的監(jiān)督和評價，更是為企業(yè)決策的制定、有效內(nèi)部控制和提升經(jīng)濟效益服務(wù)的。施工企業(yè)應(yīng)對內(nèi)部審計準確定位，強化內(nèi)審服務(wù)意識，積極開展內(nèi)部審計工作。

2.3建立健全的內(nèi)部審計管理制度

在電力企業(yè)內(nèi)部審計工作開展中建立健全相關(guān)管理制度非常關(guān)鍵，其能夠更好的確保電力工作的有效開展，同時也能夠促進電力企業(yè)的發(fā)展。對此需要從以下方面進行：（1）電力企業(yè)需要結(jié)合實際情況建立管理制度，包括對審計機構(gòu)、人員方面，從而能夠確保工作的有效開展。（2）需要進一步完善內(nèi)部審計工作的規(guī)范性，有效的保障整體質(zhì)量。（3）電力企業(yè)內(nèi)部審計部門需要定期的將將審計結(jié)果向上級管理部門匯報，從而使得管理人員能夠清楚的掌握企業(yè)的相關(guān)情況，對于電力企業(yè)的發(fā)展具有非常重要的意義，需要引起重視。

2.4提高內(nèi)部審計隊伍的質(zhì)量及水平

2.4.1提高內(nèi)部審計人員的綜合素質(zhì)審計隊伍要保持相對穩(wěn)定性，審計專業(yè)知識不斷更新，就會促使審計人員要不斷的學(xué)習(xí)。審計人員不僅是審計方面的專家，更應(yīng)是會計工作的行家，所以在全面提高審計人員必備的專業(yè)知識外，還要強化審計人員會計知識的學(xué)習(xí)和培訓(xùn)。

2.4.2堅持多元化培訓(xùn)，提高后續(xù)教育力度多元化培訓(xùn)主要包括多種方式和多面知識的培訓(xùn)，內(nèi)部審計機構(gòu)應(yīng)有計劃有步驟的安排審計人員參加一些較高層次的短期培訓(xùn)，系統(tǒng)的更新知識，鼓勵審計人員利用業(yè)余時間接受相關(guān)學(xué)歷或?qū)I(yè)進修教育。

2.5強化對內(nèi)部審計過程的監(jiān)督

2.5.1充分認識內(nèi)部審計監(jiān)督的重要性，要對內(nèi)部審計進行系統(tǒng)化管理，必須要有企業(yè)制定的生產(chǎn)、供應(yīng)、銷售、財務(wù)等方面的管理制度來約束和指導(dǎo)，否則審計人員將無章可循，內(nèi)部審計工作停滯不前，內(nèi)部審計督導(dǎo)就無實質(zhì)性的進展。2.5.2規(guī)范審計執(zhí)業(yè)人員的審計行為。根據(jù)內(nèi)部審計準則要求，審計執(zhí)業(yè)人員應(yīng)合理編排審計計劃，審計方案，明確審計目標，正確判斷和處理審計事項，設(shè)置審計質(zhì)量標準，及時對自己的審計結(jié)果進行合理評定，從而提升內(nèi)部審計質(zhì)量控制標準。2.5.3加強內(nèi)部審計復(fù)核工作。在對被審計單位進行審計時，對審計工作的復(fù)核要從多方面入手，如對審計工作底稿的復(fù)核，搜集的審計證據(jù)是否真實有效，審計事項評定結(jié)果的復(fù)核等。這些都需要審計人員進行論證及審核，才能及時發(fā)現(xiàn)問題，及時糾錯，降低審計質(zhì)量控制風(fēng)險。

2.6做好審計溝通工作

電力企業(yè)涉及的部門比較多，因此做好各個部門的溝通工作非常重要。但是就目前的情況來看，因為內(nèi)部審計所牽扯的利益比較多，因此在工作的開展中有很多部門會不配合，從而不能有效開展該項工作。對此在實際應(yīng)用中必須要加強審計溝通工作，同時做好書面?zhèn)浒福p方進行簽字，并感謝雙方的參與。需要注意的是這個過程中需要審計人員合理的控制談話氣氛，使其達到最好效果。

2.7加強企業(yè)風(fēng)險管理建設(shè)

風(fēng)險導(dǎo)向內(nèi)部審計工作有極其重要的用途，這對于企業(yè)的發(fā)展而言有重要意義。對企業(yè)目標進行綜合分析，從而全面評估風(fēng)險。在這項工作中，工作人員需要綜合考慮企業(yè)的目標，并且要對這些目標進行科學(xué)合理的分析，首先需要做好充足的調(diào)查工作，完全掌握相關(guān)的審計領(lǐng)域，并且要把握好相關(guān)的風(fēng)險因素，這里面包含了很多方面，例如企業(yè)文化、內(nèi)部控制體系、業(yè)務(wù)交易系統(tǒng)等等。工作人員必須進行討論，把相互之間所掌握的信息進行交流，從而對風(fēng)險進行科學(xué)合理的評價工作，并且針對相關(guān)的風(fēng)險進行討論和分析，找到相關(guān)的解決思路，最終做到加強控制。然后，需要對管理層的自我評估進行實地觀察，檢查這些自我評估是否具有準確性，自我評估的條目是否合理。最后，工作人員需要評估與風(fēng)險管理相關(guān)的工作薄弱環(huán)節(jié)，并與管理層進行討論，商量解決問題的具體措施。

總之，近年來，我國經(jīng)濟的發(fā)展對電力能源的依賴性非常大，電力內(nèi)部審計工作的重要性也逐年提升，研究電力企業(yè)內(nèi)部審計工作中存在的不足，然后分析應(yīng)對的策略，具有積極的意義，需要引起我們的重視。

作者:楊見華 單位:國網(wǎng)四川明珠集團有限責(zé)任公司

【參考文獻】

[1]唐瑞坤.對電力企業(yè)內(nèi)部審計工作的思考[J].現(xiàn)代經(jīng)濟信息，2009，06：108.

第2篇

[論文摘要]內(nèi)部審計形成于20世紀20至30年代，其產(chǎn)生的真正動因是企業(yè)管理的需要。隨著社會的發(fā)展，企業(yè)管理內(nèi)外部環(huán)境處于不斷的變化之中，內(nèi)部審計其職能也隨之從最初的監(jiān)督延伸至咨詢領(lǐng)域，它對公司治理中內(nèi)部控制和風(fēng)險管理起到再監(jiān)督與再管理的作用。

內(nèi)部審計形成于20世紀20至30年代，其產(chǎn)生的真正動因是企業(yè)管理的需要。隨著社會的發(fā)展，企業(yè)管理內(nèi)外部環(huán)境處于不斷的變化之中。在當(dāng)前公司價值最大化的目標下，內(nèi)部審計扮演怎樣的角色，其在公司治理中的功能如何，本文愿做一嘗試性探討。

一、內(nèi)部審計的涵義及職能拓展

（一）內(nèi)部審計的涵義

2001年內(nèi)部審計師協(xié)會（IIA）對內(nèi)部審計的定義為“內(nèi)部審計是一種獨立、客觀的保證工作與咨詢活動，目的是為機構(gòu)增加價值并提高機構(gòu)的運作效率。它采取系統(tǒng)化、規(guī)范化的方法對風(fēng)險管理、控制及治理程序進行評估和改善，從而幫助機構(gòu)實現(xiàn)它的目標。”對于這個定義，我們可以從幾個方面來理解：首先，我們不難發(fā)現(xiàn)內(nèi)部審計最終的目標是幫助企業(yè)實現(xiàn)其目標，而企業(yè)的目標就是增加價值，結(jié)合兩者，內(nèi)部審計的最終目標就是為增加企業(yè)的價值而服務(wù)；其次，它所采用的手段主要是保證和咨詢，這里的保證服務(wù)是一種為了機構(gòu)的風(fēng)險管理、控制或治理過程進行獨立評價而客觀地審查證據(jù)的行為，而咨詢則是提供建議以及相關(guān)的客戶服務(wù)活動；再次，內(nèi)部審計應(yīng)以風(fēng)險管理、內(nèi)部控制系統(tǒng)、企業(yè)治理結(jié)構(gòu)為工作范圍，用系統(tǒng)化、規(guī)范化的方法來評價和改進它們；最后，內(nèi)部審計人員應(yīng)該以獨立、客觀的工作態(tài)度完成其職責(zé)，其中獨立性要求內(nèi)部審計在確定活動范圍、實施審計及報告審計時不應(yīng)受到任何因素的干擾，客觀性要求內(nèi)部審計師在執(zhí)行審計工作時，對他們的工作結(jié)果秉持誠信的原則，不與任何方面達成重大質(zhì)量妥協(xié)。

中國內(nèi)部審計協(xié)會在參考了IIA定義后，結(jié)合我國的現(xiàn)實情況，于2003年在公布的《內(nèi)部審計基本準則》中，將內(nèi)部審計定義為“內(nèi)部審計師在組織內(nèi)部的一種獨立客觀的監(jiān)督和評價活動，它通過審查和評價經(jīng)營活動及內(nèi)部控制的真實性、合法性和有效性來促進組織目標的實現(xiàn)。”這個定義明確了內(nèi)部審計是由組織內(nèi)設(shè)的機構(gòu)所實施的一種獨立、客觀的活動，其目的是通過對組織的經(jīng)營活動及內(nèi)部控制的真實性、合法性和有效性進行審查和評價，使組織經(jīng)營活動及內(nèi)部控制中存在的問題得到認識和解決，從而促進組織目標的實現(xiàn)。中國內(nèi)部審計協(xié)會的定義在結(jié)合我國實際情況基礎(chǔ)上提出，尤其進步意義，但是與IIA的發(fā)展相比，還是有局限性。尤其是面對全球化的影響，將內(nèi)部審計主體封閉在一個組織內(nèi)將難以滿足企業(yè)決策的信息需求。因此，筆者將按照IIA所提出的理念進行后續(xù)論述。

（二）內(nèi)部審計的職能

在內(nèi)部審計產(chǎn)生和發(fā)展早期，以查錯防弊為主的監(jiān)督職能是其主要職能，但隨著社會經(jīng)濟的發(fā)展和進步，以及內(nèi)部審計所承擔(dān)的角色的增加，筆者認為，企業(yè)內(nèi)部審計包括四個遞進的職能：監(jiān)督、評價、控制和咨詢。

1．監(jiān)督職能。內(nèi)部審計首先是單位內(nèi)部的一種經(jīng)濟監(jiān)督活動，那么監(jiān)督職能也應(yīng)是內(nèi)部審計最基本的一項職能。監(jiān)督職能是指對被審計對象的財務(wù)狀況等經(jīng)濟活動進行檢查和評價，確定其會計資料是否正確、真實，反映的財務(wù)收支和經(jīng)濟活動是否合法、合規(guī)，有無違法違紀和浪費行為，從而督促被審計對象遵守財經(jīng)紀律，改進經(jīng)營管理水平，提高經(jīng)濟效益。

2．評價職能。評價職能是由經(jīng)濟監(jiān)督職能派生出來的另一種職能，包括評定和建議兩部分，也是內(nèi)部審計的一項基本職能。通過內(nèi)部審計可以全面了解部門、單位的真實的經(jīng)營管理狀況，并以此來來評價經(jīng)營決策、計劃、方案的合理性和可行性，評價其規(guī)章制度設(shè)置是否健全完善，是否正常運行，評價其經(jīng)營管理水平及效益的優(yōu)劣。

3．控制職能。現(xiàn)代企業(yè)已越來越多元化，層級化，跨國公司業(yè)務(wù)遍布全球，企業(yè)經(jīng)營管理中的風(fēng)險隨之而增加，企業(yè)的高層管理人員不可能事無巨細地對每一項業(yè)務(wù)進行監(jiān)督，必須委托一個獨立于被審計部門的單位進行控制，以保證企業(yè)目標的實現(xiàn)。內(nèi)部審計因其受企業(yè)高層的直接領(lǐng)導(dǎo)，對公司的決策層負責(zé)，能夠站在企業(yè)發(fā)展的全局來分析和考慮問題，對企業(yè)經(jīng)營活動的控制活動可以提供直接的技術(shù)支持，并檢查控制程度和效果，提出控制中存在的不足和問題。

4．咨詢職能。隨著現(xiàn)代企業(yè)制度的建立，企業(yè)ERP系統(tǒng)及會計電算化的普及，賬面資料的錯誤會越來越少，內(nèi)部審計的工作重點必須從傳統(tǒng)的“查錯防弊”轉(zhuǎn)為內(nèi)部的管理、決策服務(wù)，內(nèi)部審計的職能作用也已從監(jiān)督評價向咨詢方面延伸。另外，現(xiàn)代企業(yè)所面臨的環(huán)境復(fù)雜且多變，經(jīng)營風(fēng)險增加，市場競爭激烈，這些導(dǎo)致包括各管理者層尤其是高級管理層迫切地需要有人以“顧問”的身份，對其制定的目標、決策、計劃以及在經(jīng)營過程中出現(xiàn)的錯誤和薄弱環(huán)節(jié)提出改進建議。內(nèi)部審計人員熟悉企業(yè)整體情況，且獨立于公司的其他部門，使內(nèi)部審計人員較其他部門更易于提出較全面、客觀、可行的建議。因此，內(nèi)部審計人員承擔(dān)了專業(yè)的咨詢服務(wù)。咨詢職能更能適應(yīng)內(nèi)部審計在現(xiàn)代公司治理中的發(fā)展，促進內(nèi)部審計價值增值。

二、內(nèi)部審計在公司治理中的作用

（一）內(nèi)部審計與內(nèi)部控制

關(guān)于內(nèi)部審計與內(nèi)部控制的關(guān)系，審計學(xué)家錢伯斯認為，內(nèi)部審計所擁有的一套管理理論需要以內(nèi)部控制概念為中心。1977年美國的《國外反貪污行賄法》確立了內(nèi)部審計在內(nèi)部控制方面的法定職責(zé)。內(nèi)部控制已成為現(xiàn)代內(nèi)部審計的主要產(chǎn)物。審計學(xué)家布林克在回首IIA50年時指出，內(nèi)部審計最應(yīng)該關(guān)注的是“內(nèi)部控制”。根據(jù)《薩班斯-奧克斯利法案》框架中“監(jiān)督”要素的要求，企業(yè)的監(jiān)督可以分為持續(xù)性監(jiān)督活動和內(nèi)部審計定期的、相對獨立的評估兩部分。那么，可以將整個內(nèi)部控制體系劃分為三個相對獨立的控制層次：第一個層次是經(jīng)濟業(yè)務(wù)發(fā)生部門嚴格按照企業(yè)內(nèi)部設(shè)計的要求，相互牽制開展業(yè)務(wù)活動，建立起第一道監(jiān)控防線；第二個層次，經(jīng)濟業(yè)務(wù)最終的流向都必將反映到財務(wù)報表中去，因此財務(wù)部門就要在事后建立起第二道監(jiān)控防線；第三個層次，內(nèi)部審計部門要建立起以查為主的監(jiān)督防線，獨立地按照法人要求，有選擇地對內(nèi)控的各方面行使檢查功能，發(fā)現(xiàn)管理流程中的不足和風(fēng)險，提出改進措施，并能夠?qū)⑦@些評價結(jié)果反映到高層，高層同時也要賦權(quán)給內(nèi)審部門督促改進措施的落實，促進內(nèi)部控制體系建設(shè)趨于完善。對于風(fēng)險較高的組織如金融機構(gòu)來說，第三道防線更是必不可少。從監(jiān)督職能來說，盡管內(nèi)審監(jiān)督檢查的頻率要比其他部門的自我監(jiān)督檢查和財會部門的管理監(jiān)督要低得多，但是內(nèi)部審計部門的獨立性和在組織內(nèi)應(yīng)有的權(quán)威性，再加上直接由最高層領(lǐng)導(dǎo)，賦予該部門對內(nèi)控具有再監(jiān)督和再評價的特殊而又重要的職能。內(nèi)部審計是企業(yè)內(nèi)部控制的有效監(jiān)督者，為了強化內(nèi)部審計監(jiān)察部門的監(jiān)督職能，許多西方金融機構(gòu)都成立了獨立于經(jīng)營管理之外的內(nèi)審稽核部門。

當(dāng)然，從組織結(jié)構(gòu)上看，內(nèi)審檢查部門并非獨立于內(nèi)部控制整體框架之外的，它也屬于控制的一部分，本身也需要對自身的各種內(nèi)外部風(fēng)險進行管理，和經(jīng)營管理部門一樣，也要采取自我控制措施，須注意自我檢查和批評。

（二）內(nèi)部審計與風(fēng)險管理

關(guān)于風(fēng)險管理，比較有代表性的說法是威廉與漢斯在1964年出版的《風(fēng)險管理與保險》中所提出的，他們認為風(fēng)險管理是通過對風(fēng)險的識別、衡量和控制，以最低的成本使風(fēng)險導(dǎo)致的各種損失減到最小程度的管理方法。從這個定義中我們可以得出，實現(xiàn)風(fēng)險管理目標的主要手段是控制。

在充滿不確定性的市場環(huán)境下，企業(yè)要實現(xiàn)目標，其管理者應(yīng)該確保其擁有健全的風(fēng)險管理過程，且這些過程發(fā)揮了應(yīng)有的效用。高層決策者和審計部門應(yīng)該在確定企業(yè)是否擁有健全的風(fēng)險管理過程及這些程序是否有效運作等方面起監(jiān)督作用，在此，內(nèi)部審計人員作為高層機構(gòu)下設(shè)的獨立機構(gòu)責(zé)無旁貸地承擔(dān)起這一工作。正如本文開篇介紹的IIA對內(nèi)部審計的定義中指出：內(nèi)部審計需提高風(fēng)險管理、控制與監(jiān)管工作的有效性，使企業(yè)達到預(yù)定的目標。《IIA實物標準》（2001）實務(wù)公告2100-3中描述到：內(nèi)部審計部門應(yīng)該評價并幫助改進機構(gòu)的風(fēng)險管理、控制和治理體系。我國著名內(nèi)部審計專家王光遠認為：“內(nèi)部審計人員是風(fēng)險管理潛在的重要利益相關(guān)人和參與者。”“風(fēng)險管理是內(nèi)部控制的延伸，內(nèi)部審計是風(fēng)險管理的確認者，是對風(fēng)險管理的再管理。”國內(nèi)外許多審計實踐表明，對風(fēng)險管理審計的報告更容易被管理當(dāng)局所接受，管理部門也容易理解內(nèi)部審計存在的意義，風(fēng)險管理可以幫助內(nèi)部審計度過正在影響企業(yè)的價值危機。

那么，內(nèi)部審計在風(fēng)險管理中的作用有幾何呢？

1．站在全局的角度上審視風(fēng)險。企業(yè)是一個由各個單位有機結(jié)合起來的整體，每一個部門之間要么直接相關(guān)，要么間接相關(guān)，只要有一個單位發(fā)生風(fēng)險就會或多或少傳遞至其他部門，并經(jīng)常危及企業(yè)整體。而各部門都站在本部門的立場上處理風(fēng)險，難免會一葉障目，考慮不周，內(nèi)部審計則與之不同，它獨立于企業(yè)經(jīng)營管理部門，使得它可以從全局出發(fā)、客觀地管理風(fēng)險。

2．調(diào)控、指導(dǎo)企業(yè)的風(fēng)險策略。內(nèi)部審計部門處于董事會、總經(jīng)理和職能部門之間，可在企業(yè)風(fēng)險策略和各部門決策之間進行協(xié)調(diào)，通過這種協(xié)調(diào)，內(nèi)審人員可以調(diào)控、指導(dǎo)企業(yè)的風(fēng)險策略。

需要注意的是，內(nèi)部審計雖然可以促進風(fēng)險管理過程的建立或提高風(fēng)險管理的有效性，但是它并不參與風(fēng)險管理的設(shè)計和實施，而是管理層負責(zé)ERM的設(shè)計，所有員工協(xié)助貫徹實施，董事會監(jiān)督管理層對企業(yè)風(fēng)險管理的設(shè)計與實施，內(nèi)部審計部門通過檢查、評價、報告企業(yè)風(fēng)險管理過程的適當(dāng)性和有效性，并提出改進建議來協(xié)助管理層、董事會或?qū)徲嬑瘑T會，而不是履行風(fēng)險管理的受托責(zé)任(Bailey等，2006)，否則將影響內(nèi)部審計的獨立性（作者單位：深圳紡織集團股份有限公司）。

參考文獻

[1]Bailey，AndrewD，AudreyA.Gramling，SridharRamamoorti：內(nèi)部審計思想，王光遠等譯[M]，中國時代經(jīng)濟出版社，2006（5）

[2]RobertMoeller，SOA與內(nèi)部審計新規(guī)則，劉霄侖譯，[M]，中國時代經(jīng)濟出版社，2007（1）

[3]張慶龍，內(nèi)部審計價值[M]，中國時代經(jīng)濟出版社，2006（10）

第3篇

(一)企業(yè)應(yīng)加強內(nèi)部控制

隨著市場經(jīng)濟的深入發(fā)展,企業(yè)逐步成為自主經(jīng)營、自我約束、自我發(fā)展、自我完善的商品生產(chǎn)者和經(jīng)營者。在“優(yōu)勝劣汰、適者生存”的市場經(jīng)濟中,企業(yè)要想真正的做到“自主經(jīng)營、自我約束、自我發(fā)展、自我完善”,必須要加強內(nèi)部控制,建立有效、完善的內(nèi)部控制制度,這樣才能在一個絕對的高度上,對企業(yè)進行高瞻遠矚的控制,才能做出與時俱進的決策。

(二)內(nèi)部審計是企業(yè)內(nèi)部監(jiān)督機制的重要組成部分

內(nèi)部審計也是企業(yè)內(nèi)部控制的一個重要的組成部分,是監(jiān)督內(nèi)部控制其他環(huán)節(jié)的主要力量。內(nèi)部審計通過對控制環(huán)境和控制程序的有效性進行監(jiān)督,評估企業(yè)的內(nèi)部控制是否被執(zhí)行,是否及時反饋有關(guān)執(zhí)行結(jié)果的信息,是否幫助企業(yè)更有效地實現(xiàn)預(yù)期控制目標。同時,在監(jiān)控過程中,內(nèi)部審計可以促進控制環(huán)境的建立和改善,為改進控制制度提供建設(shè)性的意見,為企業(yè)建立健全所需要的內(nèi)部控制水平服務(wù)。在內(nèi)部控制的監(jiān)督過程中,內(nèi)部審計發(fā)揮著越來越重要的作用。

二、內(nèi)部審計在防范信息系統(tǒng)風(fēng)險中面臨的問題

(一)信息系統(tǒng)安全管理機制不健全

企業(yè)信息系統(tǒng)風(fēng)險的存在,很多是由于管理不善或控制不嚴造成的。一方面,缺乏一套統(tǒng)一的安全策略體系來指導(dǎo)安全管理工作,無法建立系統(tǒng)內(nèi)部明確、全面的安全規(guī)范要求。從現(xiàn)有管理制度規(guī)范來看,主要存在的問題是可操作性差,條理不清、重疊或遺漏等;另一方面,現(xiàn)有安全管理制度的管理對象基本是網(wǎng)絡(luò)系統(tǒng)管理員等技術(shù)部人員,管理對象沒有全面涵蓋所有信息系統(tǒng)技術(shù)相關(guān)人員,包括所有網(wǎng)絡(luò)系統(tǒng)上的內(nèi)部終端人員和外部人員。

(二)內(nèi)部審計在信息系統(tǒng)風(fēng)險防范中的角色缺乏獨立性

內(nèi)部審計的角色發(fā)生了轉(zhuǎn)變。從傳統(tǒng)的事后審計而逐漸轉(zhuǎn)向事前和事中審計,主動參與內(nèi)部控制系統(tǒng)的建立和完善。內(nèi)部審計人員即承擔(dān)著評價硬件和應(yīng)用信息系統(tǒng)安全的任務(wù),如果又同時有參與了系統(tǒng)的開發(fā)和實施過程,那么內(nèi)部審計人員就卻乏獨立性。反之,如果處于對喪失獨立性的擔(dān)心,內(nèi)部審計人員有可能會拒絕參與系統(tǒng)和軟件的開發(fā),那么系統(tǒng)開發(fā)過程中存在的風(fēng)險又無法得到控制。

(三)內(nèi)審部門技術(shù)力量薄弱造成對信息系統(tǒng)審計形成風(fēng)險

審計稽核部門的技術(shù)力量薄弱,不熟悉業(yè)務(wù)系統(tǒng)的流程和功能,對信息系統(tǒng)缺乏必要的認證能力和標準。突出表現(xiàn)為以下幾個方面:一是實施審計稽核的手段和方法沒有得到及時更新,不適應(yīng)信息系統(tǒng)管理的要求,大部分仍停留在手工審計階段;二是審計稽核部門對計算機賬務(wù)系統(tǒng)實施審計的依據(jù)僅依賴于被審計單位提供的打印資料或事后資料,計算機賬務(wù)的真實性審計很難得到保證。

三、加強風(fēng)險防范的措施和對策

(一)構(gòu)建信息系統(tǒng)安全管理組織及規(guī)范體系

加強信息系統(tǒng)的自我風(fēng)險評估體系,讓信息系統(tǒng)的管理和技術(shù)人員在自身的職責(zé)范圍之內(nèi)正確識別和評估潛在操作風(fēng)險,主要包括內(nèi)控制度的查漏補缺、工作流程的整理和規(guī)范、應(yīng)急預(yù)案完善和演練等。同時加強對操作人員的管理,規(guī)范操作程序。一是加強密碼管理,明確規(guī)定操作人員的權(quán)限,操作員必須在規(guī)定的權(quán)限內(nèi)辦理業(yè)務(wù),用戶口令及密碼必須專人專用,嚴禁公開口令及密碼;二是要建立健全操作員崗位目標責(zé)任制,對網(wǎng)絡(luò)操作人員要明確目標任務(wù),規(guī)范操作程序,嚴格落實獎懲制度。三是要嚴格崗位設(shè)置,不相容職務(wù)進行分離。嚴禁系統(tǒng)管理人員、網(wǎng)絡(luò)技術(shù)人員、程序開發(fā)人員和前臺操作人員混崗、代崗或一人多崗。四是要加強系統(tǒng)內(nèi)部的稽核監(jiān)督檢查。稽核監(jiān)督應(yīng)貫穿于網(wǎng)絡(luò)操作的全過程,重點是加強對系統(tǒng)設(shè)計開發(fā)、內(nèi)控管理制度落實、操作運行等方面的

(二)關(guān)注信息系統(tǒng)的穩(wěn)定性、安全性和有效性審計

首先,審計人員應(yīng)運用用一定的技術(shù)方法識別系統(tǒng)的完整性,該過程包括檢查、測試、評估系統(tǒng)的內(nèi)制,以保證系統(tǒng)的穩(wěn)定性;其次,審計人員應(yīng)評價系統(tǒng)存在的風(fēng)險和可能產(chǎn)生的后果將成為審計的核心工作和基本內(nèi)容,保證信息系統(tǒng)的安全性。應(yīng)根據(jù)審計的標準和準則,評價控制環(huán)境的和IT基礎(chǔ)設(shè)施的安全,確保系統(tǒng)滿足組織的業(yè)務(wù)需要,保護信息資產(chǎn)的安全完整,以防非授權(quán)使用、泄露、修改、損壞或丟失;最后,還應(yīng)鑒別信息系統(tǒng)的有效性。內(nèi)部審計必須理解并熟悉操作環(huán)境,了解系統(tǒng)技術(shù)的復(fù)雜性及其對決策的影響;對來自內(nèi)部的安全隱患,采用一定的方法進行系統(tǒng)診斷、檢驗、測試,評價其有效性及效率,以支持組織業(yè)務(wù)目標的實現(xiàn)

(三)改善內(nèi)審機構(gòu),提高內(nèi)審人員素質(zhì),培養(yǎng)信息系統(tǒng)審計師

為了信息系統(tǒng)的安全、可靠與有效,由獨立于審計對象的信息系統(tǒng)審計師,以第三方的客觀立場對以計算機為核心的信息系統(tǒng)進行綜合的檢查與評價。信息系統(tǒng)審計師也稱lS審計師或IT審計師,是指那些既通曉信息系統(tǒng)的軟件和硬件(包括信息系統(tǒng)的開發(fā)、運營、維護、管理和安全等),又熟悉經(jīng)濟管理的內(nèi)部審計人才。

(四)聘請專家進行協(xié)助

內(nèi)部審計人員的知識、技能和經(jīng)驗雖然有助于信息系統(tǒng)的風(fēng)險防御,但現(xiàn)實中必須承認,在企業(yè)中同時具備計算機技術(shù)和審計專業(yè)知識的人才非常短缺。再出色的內(nèi)部審計人員可能面臨一些系統(tǒng)內(nèi)的專業(yè)問題卻無法解決,因此有必要聘請外部專家。可以通過專家的協(xié)助測試運用其專業(yè)技能測試系統(tǒng)安全,進一步防范和解決信息系統(tǒng)風(fēng)險的存在。

參考文獻:

[1]胡曉明.信息時代的IS審計理論結(jié)構(gòu)構(gòu)建[J].武漢中南財經(jīng)政法大學(xué)學(xué)報,2006,(3).