信息化环境对审计风险的影响

1. 信息化环境对审计风险的影响

信息化环境对内部审计的影响主要表现在两个方面，即对内部审计对象的影响和对内部审计工作自身的影响。

1.信息化环境对内部审计对象的影响

被审计单位的经济活动及其内部控制是内部审计的主要对象。在信息化环境下，一方面企事业单位的经济活动日趋复杂，另一方面网络技术、计算机技术被广泛应用到单位的经济管理活动和内部控制中，这都使审计对象变得越来越复杂。在信息化环境下，审计对象的信息载体已不再是传统的纸质凭证、账簿和报表，取而代之的是被存储在数据库、磁盘等介质中的电子数据。相比较于纸质资料而言，电子数据具有隐蔽性强、容易被篡改且难以留下审计线索等特点，这给内部审计工作带来了新的挑战。信息化环境下，内部审计的目标不再局限于传统审计模式下对经济活动本身的合法性和效益性的评价，对信息系统本身的安全性和可靠性的评价也理应成为内部审计的重要目标。审计目标的多元化必将带来审计范围的扩大化和复杂化。

2.信息化环境对内部审计工作自身的影响

在信息化背景下，大数据审概念、审计信息系统被广泛地应用到内部审计工作中来，给审计技术、审计方法和审计程序带来深远的影响。首先，在审计技术和审计方法方面，在检查、分析、函证、监盘等传统审计方法的基础上，大数据审计将得到广泛的应用和推广，以往繁杂的会计凭证、账簿、财务报表等资料的手工审核将被计算机审核和分析所替代，进而大大提高审计工作的效率。其次，在审计程序方面，增加了电子数据采集这一环节，而且这一环节直接影响着审计后续工作的开展。

2. 信息科技风险审计需要强化哪些方面

　　我在北京时代新威信息技术有限公司工作有3年了，就是给企业提供信息科技风险审计服务，关于信息科技风险审计工作中常见的一些问题，自己做了一些总结。
　　第一，通过平时的工作我们总结到，在信息科技风险审计方面，专业的技术人员参与是必须的，但是信息科技风险审计并不是专业的技术人员就做得了的，信息科技风险审计离不开审计理念，只有呆着特有的审计理念对信息科技流程进行梳理，才能发现风险点。
　　第二是外包方面，外包不仅仅是一个成本决策，也是有效管理的战略决策，要充分考虑本金融机构的技术能力和需求、外包商的服务质量、服务可持续性、控制步骤、竞争优势、技术知识等。这样才能有效地控制信息科技风险审计的的大致结果。
　　第三是项目建设方面，按照IT建设的生命周期合理确定需求、测试、上线各阶段的工作重心，以及业务部门与科技部门的职责。为确保信息科技风险审计的质量，要在正确面对本机构技术，业务市里的前提下，评估并确认需求的优先顺序和组织能力，确定需求的优先级，明确哪些需求时必须做的，那些事可以暂缓做的，从而合理制定计划确立目标。
　　第四是运行管理方面，信息科技风险管理贯穿于项目的整个生命周期中，因而风险管理十个持续的过程，不能单纯的将系统的生命周期出一分割管理，必须建立良好的风险管理机制，、以及基于风险的决策机制。业务持续性不仅是运行部门，也是开发部门必须共同关注的事。
　　

3. 商业银行信息科技风险审计主要都包括哪些方面

　　包括信息科技治理、信息科技风险管理、信息安全管理、信息系统开发测试管理、信息科技运行维护和业务连续性等方面。
　　商业银行信息科技风险审计是评判一个信息系统是否真正安全的重要标准之一。通过安全审计收集、分析、评估安全信息、掌握安全状态，制定安全策略，确保整个安全体系的完备性、合理性和适用性，才能将系统调整到“最安全”和“最低风险”的状态。安全审计已成为企业内控、信息系统安全风险控制等不可或缺的关键手段，也是威慑、打击内部计算机犯罪的重要手段。
　　依据银监会颁发的《商业银行信息科技风险管理指引》对商业银行的信息科技及其风险管理工作进行全面的审计，内容包括信息科技治理、信息科技风险管理、信息安全管理、信息系统开发测试管理、信息科技运行维护和业务连续性等方面。

4. 商业银行中信息科技风险审计包括哪些方面？

　　一般来讲，商业银行信息科技风险审计为了统计银行信息系统这样的一个信息系统架构，需要运作一个同样庞大而复杂的组织机构，据了解，北京时代新威信息技术有限公司在商业银行信息科技风险审计方面占有较大的优势，系统完善，规模较大。
　　因为如果人员分配、管理制度、作业流程等方面发生差错，同样会给整个信息系统带来很大的危险，
　　因此，如果对风险进行有效的管理和防范，就技术而言，要对系统、网络、存储等系统提出并实施灾难备份方案；
　　就整个商业银行信息科技风险审计而言，要对所涉及的人力资源、规章制度、后勤保障等方面进行全方位、多层次的妥善考虑，缺一不可。
　　正如有名的木桶效应所形容的，各个方面的风险正如木桶里的每一个木条，及时大部分风险防范都做得很完美，一个极小的不足（即最短木条），也会导致商业银行信息科技风险审计架构的整体安全性能下降。
　　所以综合来讲，根据一般生产流程分析方法、风险专家列举法得到的银行信息科技领域的具体风险表现为：技术风险、管理风险、法律风险、信誉风险、战略风险等。

5. 商业银行中信息科技风险审计包括哪些方面？

包括信息科技治理、信息科技风险管理、信息安全管理、信息系统开发测试管理、信息科技运行维护和业务连续性等方面。
商业银行信息科技风险审计是评判一个信息系统是否真正安全的重要标准之一。通过安全审计收集、分析、评估安全信息、掌握安全状态，制定安全策略，确保整个安全体系的完备性、合理性和适用性，才能将系统调整到“最安全”和“最低风险”的状态。安全审计已成为企业内控、信息系统安全风险控制等不可或缺的关键手段，也是威慑、打击内部计算机犯罪的重要手段。
依据银监会颁发的《商业银行信息科技风险管理指引》对商业银行的信息科技及其风险管理工作进行全面的审计，内容包括信息科技治理、信息科技风险管理、信息安全管理、信息系统开发测试管理、信息科技运行维护和业务连续性等方面。

6. 什么是审计信息化

　　http://baike.baidu.com/view/3487264.htm
　　--------------------------------------------
　　审计信息化历程
　　自上世纪90年代,随着信息技术的发展和会计电算化的普及,使审计工作由手工审计转向计算机审计,由此而诞生的计算机审计软件,在早期作为一种辅助审计工具,仅限于以检查会计中有无差错及财务上有无弊端为目的,提供了财务收支审计作业的基本功能,对审计现场作业给予了一定的计算机支持。此阶段属于审计软件的初级阶段——“财务收支作业软件包时代”。
　　随着经济的发展和社会的进步,审计的职能早已超越了查账的范畴,涉及到对各项工作的经济性、效率性和效果性的查核。这就需要与之相配套的审计信息化产品不再局限于财务收支审计,而应拓展到对各类业务数据的审核。在美国安然公司(Enron)和世通(WorldCom)财务欺诈案爆发后,2002年美国出台了萨班斯法案(SOX),“审计”得到了政府、企业和行政机关单位的高度重视,成为企业内控、信息系统治理、安全风险控制等的不可或缺的关键手段。我国的国资委、银监会及各行业主管机关也于近期纷纷出台内部审计管理要求,极大地加速了审计信息化建设进程。
　　随着2008年用友审计推出系列审计软件产品,可针对审计对象“重点资金、重要领域、重要部门”的大规模“待审计业务数据”进行海量数据分析工作,实现对整个企业资源的全面检测与自动预警,使传统的财务收支审计向全面数据式审计发展,由审计作业向审计作业、审计管理一体化方向发展,由事后审计向事中结合事后的联网审计方向发展,使监督职能的实现得到革命性的提升,把审计信息化推进到了一个新的时代。

　　审计信息化的必然性
　　1．审计信息化是审计技术创新的最重要方面。从免疫过程看，发挥免疫作用的前提条件是免疫识别。审计要发挥“免疫系统”功能，首先要进行审计“免疫识别”。而审计“免疫识别”离不开先进的审计技术方法。就如同传统“望、闻、问、切”诊疗方法发展到现在的各种高科技诊疗方法一样。随着信息技术的快速发展，传统手工条件下的审计技术遇到了来自计算机技术的严竣挑战。审计对象的信息化要求审计手段必须信息化，否则审计人员面临进不了门、打不开账的无奈局面。因此，当前对审计技术创新而言，最重要的就是如何实现审计手段的信息化，如何走好科技强审之路。否则，面对“病毒”，免疫系统无法识别、确认，其功能也就无法发挥。
　　2．信息化审计手段的固有优势与“免疫系统”功能的特点相吻合。审计真正发挥“免疫系统”功能，其产生的作用与常规监督性审计的作用是有区别的，集中体现在“三性”上，一是宏观性，传统审计关注的都是某个具体的受托责任关系，而审计免疫系统论关注的则是整个社会经济系统中的受托责任关系。通过解剖麻雀，对审计发现的问题产生直接原因和深层次原因全面进行分析，提出针对性强、操作性强的建议，为领导宏观决策提供依据。信息化审计则突破了原有手工条件的束缚，对单位大量业务和财务数据，包括信息化系统本身进行分析、审查，显然更有利于从宏观层面进行分析；二是预见性，免疫系统的最大功能就是在病毒入侵时，就能及时识别、确认，并将其清除，而不是等病毒扩散之后处理，体现了预见性，信息化审计则很好的契合了这一点，一方面工作效率极大提高，另一方面一些新的技术，如联网审计，可以使审计关口前移、事先介入，随时跟踪，及时发现存在的问题，并予以解决；三是建设性，审计工作建设性的作用是审计作为经济社会运行一个“免疫系统”的基本要求，要在全面认识的基础上科学分析，努力揭示体制、机制上原因，从根本上提出建设性意见，促进国家经济平稳、健康运转。而建设性与宏观性是相辅相成的，信息化审计做到了微观与宏观的有机结合，特别是实现了数据的宏观分析，有利于提出建设性意见。

　　审计信息化的基本原则
　　1．客观性原则。各地有各地的情况，每个审计机关也都有各自的情况，搞审计信息化要从客观实际和现实需求出发，当前最重要的是要防止贪大求全和“一窝蜂”。要做人力、物力和财力范围内的事，做到立足现实和长远打算相结合。
　　2．重在应用原则。走审计信息化之路、目的是适应信息化社会的发展，更好的发挥审计免疫系统的功能，只有充分将其应用到审计实践中才能达到这一目的，否则搞再多的软硬件设施、装备都是摆设。
　　3．开放性原则。金审工程的成果目前正在全面推广，这是审计信息化工作的统一要求，但各地审计机关在审计信息化工作中形成的有特色的工作方法、经验和成果应当予以继承和发展，不应轻易放弃，要鼓励“八仙过海、各显神通”。信息化工作不只是高层审计机关的事，应当是开放性的，各地工作中形成的好的成果，如专家经验、实用性强的小软件等，都应大力推广。
　　4．全员参与原则。审计信息化涉及全部审计人员，在这场审计技术变革中，没有人可以作壁上观，否则就将失去审计的资格。

　　审计信息化的主要内容
　　走科技强审之路，打造信息化审计系统的总体目标是：为有效履行国家审计在信息化条件下的审计监督职责，充分发挥审计免疫系统功能，建设国家审计信息系统，培养适应信息化的审计队伍，全面提升审计监督能力，最终实现审计信息化。目前主要包括以下一些内容：
　　一.是精良的装备系统。各级审计机关应当高度重视硬件设施的建设，这是走审计信息化之路的基础性工作。随着政府财力的充足，在各级领导的关心、重视下以及审计机关的努力之下，目前审计机关的信息化装备基本可以满足工作的需要，这为推进这项工作打下了较好的基础。下一步要探索将一些“高、精、尖”设备运用于审计领域，如对环境资源审计，部分项目中就需使用GPS等专用设备，不使用这些设备，审计就不能达到目的。因此，在财力允许的情况下，科技装备不能满足于日常使用，要有长远的打算。
　　二.是强大的现场审计实施系统。审计要发挥免疫系统的作用，及时发现问题，将“病毒”消灭，现场审计是关键。因此，必须打造功能强大的现场审计实施系统，实现审计实施过程信息化，这也是审计技术创新的关键所在。审计署实施的“金审工程”开发了三类应用系统，其中之一“现场审计实施系统”，即AO系统，基本实现了审计过程信息化。这一系统使审计人员摆脱了传统的纸、笔和算盘，极大提高了审计效率和质量，强大的功能使被审计单位经济业务数据尽在审计人员掌握之中。全面推广应用该系统和实现该系统与其他系统的对接将是下一步审计信息化工作的重点。
　　三.是全覆盖的数据联网系统。审计免疫系统论把维护国家经济社会系统运行的安全作为审计工作的“第一要务”。当前，无论是财政、税务、金融，保险还是社保等，都建立了完整的信息化运转体系，审计要及早发现问题，就必须有效地对上述信息化系统中的数据以及系统本身进行事前和随时核查。因此，审计有必要与有关系统实现联网，这样可以提前介入或者加大监督频率，有效监督国有资金的运行情况和国有资产的管理情况。从国家层面讲，最终应实现“金审”系统与“金财”、“金税”、“金保”等系统的联网；从基层来讲，在国家层面未实现联网前，可以探索本地化的联网方式、方法，尽快实现地方性的联网审计。
　　四.是完善的办公系统。办公自动化是审计信息化的基本要求，审计机关办公自动化要有两大功能，一要与当地政府和其他部门实现公文资料的自动传输，二要与上下级审计机关（包括机关内部）实现公文资料的自动传输。同时这一办公系统要与审计现场实施系统有效结合，这样一是可以很好的提高工作效率，二是可以节约行政成本和资源。当前，各级审计机关依托各地政府政务网络，基本建立起了适合自身的办公系统。
　　五.是科学的审计管理系统。审计管理主要包括内勤管理和外勤管理，从项目计划、经费安排、人员调整到项目资料库、法律法规库的建立、人员培训等，除审计现场实施外，都可以归入审计管理系统。建立科学的审计管理系统，实现审计机关管理信息化可以有效促进审计管理上规范、上层次。目前用友审计开发的"审计管理系统"就是一个功能强大的审计管理系统，它是审计信息化的重要组成部分。
　　六.是合理配置的人才队伍。人才是各项事业发展的根本，审计也不例外，免疫功能能否发挥作用，最根本的还要依赖于审计人员的事业心、责任感、能力和水平。目前国家审计系统中的审计人员数量和质量还不能满足实际需要，特别是不适应审计信息化工作的需要，复合型人才偏少。因此，一要把好人员进入关，要挑选真正适合审计需要的人才进入审计机关；二要把好人员培训关，要重视审计人员后续教育，将计算机应用培训放到重要位置上；三要把好审计人员组合关，在实施每个项目前，要科学合理配置审计组人员，要考虑审计人员的经验程度、计算机应用能力高低甚至年龄的大小等，尽量组成结构合理的审计小组，这对审计实施有重要意义。四是把好优秀人才选拔关，要培养和树立一批典型，将他们培训成审计信息化的骨干和中坚力量。

　　推进审计信息化的主要做法
　　当前，各级审计机关在信息化道路上形成了各自的做法和经验，要学会取人之长，补己之短。带有规律性的做法主要有一下几点：   一.是思想上高度重视。面对目前的形势，各级审计机关要理清思路，要凭着对事业发展的敏锐性和审计职业的判断，清醒地认识到审计信息化建设事关审计事业的生存发展，事关审计质量和审计效率的提高，事关审计人员的职业资格和技能，事关审计机关能力建设，只有走科技强审之路才能更好的发挥审计的职能，发挥“审计免疫系统”的功能，审计也才能有立足之地。
　　二.是制度上提供保证。制度能够为经济社会系统中的人或组织提供一个稳定、有序、可预测的环境，减少了不确定性，降低了获取和加工信息的成本，有利于做出正确的决策、提高工作效率、实现个人或组织目标。单纯思想上重视不能保证审计信息化工作的进一步发展，要在制度上落实，各级审计机关都应将信息化建设纳入“一把手工程”，制定信息化发展规划，建章立制，将信息化工作纳入日常工作考评之中。
　　三.是学习培训上下功夫 。复合型人才的缺乏不可能在短时期内解决，因此，现有人员的学习培训工作显得尤为重要。首先要领导带头，作出表率。榜样的力量是无穷的，领导干部迎难而上，极易带动其他审计人员；其次是要全员参与，形成氛围。要进一步增强审计人员学习应用计算机审计的主动性和自觉性，营造学习和应用计算机审计软件的浓厚氛围。第三是后续教育提供保障，要保证每年有一定的时间进行后续教育，并加大计算机审计培训的内容和力度。
　　四.是运用上求突破。实践证明审计信息化效果如何，关键在于审计人员如何做到将计算机技术与现场审计有机结合。审计信息化的目的就是要提高审计效率和质量，特别是审计质量，能够发现手工条件下无法发现的问题，这也是审计信息化能更大程度发挥免疫系统功能的根本所在。计算机审计取得的效果如何是检验审计信息化工作好坏的唯一标准。唯有运用上取得突破，我们才能认定信息化工作产生了好的效果。

7. 什么是审计信息化的优势？

新的形势和任务促使审计工作要向更科学、更合理、更贴近实际的方向迈进。审计信息化可以有效地节约现场审计工作时间，极大地提高了现场工作效率和审计工作质量。

审计信息化基本原则：
1、客观性原则。各地有各地的情况，每个审计机关也都有各自的情况，搞审计信息化要从客观实际和现实需求出发，当前最重要的是要防止贪大求全和“一窝蜂”。要做人力、物力和财力范围内的事，做到立足现实和长远打算相结合。
2、重在应用原则。走审计信息化之路、目的是适应信息化社会的发展，更好的发挥审计免疫系统的功能，只有充分将其应用到审计实践中才能达到这一目的，否则搞再多的软硬件设施、装备都是摆设。
3、开放性原则。金审工程的成果目前正在全面推广，这是审计信息化工作的统一要求，但各地审计机关在审计信息化工作中形成的有特色的工作方法、经验和成果应当予以继承和发展，不应轻易放弃，要鼓励“八仙过海、各显神通”。
信息化工作不只是高层审计机关的事，应当是开放性的，各地工作中形成的好的成果，如专家经验、实用性强的小软件等，都应大力推广。
4、全员参与原则。审计信息化涉及全部审计人员，在这场审计技术变革中，没有人可以作壁上观，否则就将失去审计的资格。

8. 什么叫审计信息化

自上世纪90年代,随着信息技术的发展和会计电算化的普及,使审计工作由手工审计转向计算机审计,由此而诞生的计算机审计软件,在早期作为一种辅助审计工具,仅限于以检查会计中有无差错及财务上有无弊端为目的,提供了财务收支审计作业的基本功能,对审计现场作业给予了一定的计算机支持。此阶段属于审计软件的初级阶段——“财务收支作业软件包时代”。 　　随着经济的发展和社会的进步,审计的职能早已超越了查账的范畴,涉及到对各项工作的经济性、效率性和效果性的查核。这就需要与之相配套的审计信息化产品不再局限于财务收支审计,而应拓展到对各类业务数据的审核。在美国安然公司(Enron)和世通(WorldCom)财务欺诈案爆发后,2002年美国出台了萨班斯法案(SOX),“审计”得到了政府、企业和行政机关单位的高度重视,成为企业内控、信息系统治理、安全风险控制等的不可或缺的关键手段。我国的国资委、银监会及各行业主管机关也于近期纷纷出台内部审计管理要求,极大地加速了审计信息化建设进程。 　　随着2008年用友审计推出系列审计软件产品,可针对审计对象“重点资金、重要领域、重要部门”的大规模“待审计业务数据”进行海量数据分析工作,实现对整个企业资源的全面检测与自动预警,使传统的财务收支审计向全面数据式审计发展,由审计作业向审计作业、审计管理一体化方向发展,由事后审计向事中结合事后的联网审计方向发展,使监督职能的实现得到革命性的提升,把审计信息化推进到了一个新的时代。