远程审计的思考
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇远程审计的思考范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
远程审计的思考范文第1篇
关键词:新建本科院校;基建工程;审计监督
近年来,随着我国高等教育体制改革的不断深入,经教育部批准由专科学校升格的新建本科院校如雨后春笋般涌现。随着学校招生规模和办学层次的提高,许多原有的基础设施已不能满足学校快速发展的需要。新建基建项目急剧增多,基本建设资金投入逐年加大。与升格前相比,许多新建本科院校的校园环境和学校办学条件都得到了极大改善,但伴随带来的基建工程审计问题也日益突出。如何加强新建本科院校基建工程审计监督,如何提高建设资金的投资效益,切实维护学校的利益,促进基建工程领域的廉政建设,已成为新建本科院校审计部门工作的重要内容之一。
一、基建工程审计监督存在的主要问题
(一)机构设置不合理
由于受内设处级机构数量与领导干部职数的限制,不少新建本科院校没有独立设置内审机构,而是把审计与纪检、监察机构合并设置,实行三块牌子、三种职能、一套人马的配置方式。一方面的确在很大程度上精减了机构和人员,有利于纪检监察部门与审计部门的协调与密切配合;但另一方面又弱化了审计工作的专业性和特殊性。尤其是在部门领导干部的选任上,纪检监察和审计领导岗位的专业及业务能力素质要求明显不同,在实际选任工作中很难兼顾纪检监察与审计岗位的不同需求,导致非审计专业类或非财经类领导干部担任审计工作负责人的情况较为普遍。
(二)审计专业人员配备不足
由于编制问题的困扰,许多新建本科院校在工程审计人员配备上往往只有1至2名,甚至有个别还不是专业的工程审计人员。因此,工程审计专业技术人员紧缺、各专业方向配备不齐、业务水平参差不齐的现状在各项审计任务繁重的新建本科院校中尤其突出,造成个别专业素质相对较高的工程审计人员工作压力大、劳动强度高、加班频繁,常常处于超负荷工作状态,一定程度上影响了工程审计质量和效率。
(三)审计工作职责不清
审计是由审计机构和审计人员对被审计单位的经济活动的合法性、真实性及其效益性进行独立的审查、评价和监督活动。有些新建本科院校的工程管理部门由于缺乏专业的工程预结算员,工程预算主要是委托施工单位或社会中介机构进行编制,往往未能全面履行对工程编制的完整性、准确性的审核。导致审计部门在工程预算审核中既是“运动员”又是“裁判员”,既是“执行者”又是“监督者”,由于职责不清,导致工作中“越位”现象时有发生。
(四)审计工作监督不力
1.对大型基建工程项目,新建本科院校基于审计人员不足、专业技术力量薄弱的原因,往往把审计监督的重点放在工程结算审计阶段,对影响工程投资效益的工程立项、设计、招标等前期工作缺乏有效的控制和监督,基建工程审计监督工作相对滞后。
2.零星工程立项的机动性、灵活性较大,施工点、面分散,管理和技术人员不可能一一跟踪到位;一般没有规范的设计与施工图纸,工程预算难以满足准确性和完整性的要求;管理相对松散,实施阶段欠缺细致周全的施工过程记录,致使审计监督工作的开展缺乏足够的依据,如:工程量的计算,定额套用标准等;这无疑增加了审计监督的难度,也增加了审计工作的风险。
二、加强基建工程审计监督的建议
(一)合理设置内审机构,重视专业队伍建设
1.完善机构设置。许多大学都将审计与纪检、监察等部门合署办公。作为新建本科院校的审计部门无论合署还是独立设置,学校都不应以机构设置、人员编制、办公场地及办学经费等诸多问题不由,随意压缩审计部门的机构和人员编制。有条件的高校应该尽早将审计与纪检分开,争取设立独立的内部审计部门,完善机构设置,最大限度地保证审计工作的独立性、客观性和公正性。
2.配备数量充足的审计人员。基建工程审计是一项责任重大、脑力劳动和体力劳动强度高、分工细致且技术性极强的工作,高校要严格按照《中华人民共和国审计法》、《教育系统内部审计工作规定》等法律法规的要求,合理配备一支年龄、学历、知识结构合理,具有财会、经济、审计、工程、土木等多种专业知识的审计队伍。
3.加强职业道德教育。审计人员在很多场合都要面临金钱和利益的诱惑,因此个人良好的道德品质和职业道德是做好审计工作关键。新建本科院校应该将思想素质好、业务能力强、有事业心、作风正派、群众公认的好干部充实到审计领导岗位来。同时通过典型示范教育、警示教育等多种形式加强对审计人员的职业道德教育,明确审计人员违规违纪必须承担的严重后果,增强审计人员的法律意识,严格遵守审计工作纪律,不断提高审计人员的政治思想觉悟和业务能力水平。
4.积极组织学习交流。积极参与教育系统内审经验交流会和理论研究,积极组织审计人员学习兄弟院校先进经验,参加岗位培训和继续教育学习。通过学习交流,拓宽审计工作视野,了解审计工作发展新动态,不断适应新形势下的高校审计工作。
5.领导重视和关心。学校领导及部门领导要从关心爱护和保护审计人员的角度出发,对打击报复审计人员的行为要严肃制止,对坚持原则、廉洁奉公的审计技术人员要给予保护和奖励,为审计人员创造一个宽松的工作环境。对不适合审计工作的人员要及时调离;对违反职业道德、工作失职,违反廉政规定的行为,应视情节轻重和影响大小,由学校按规定给予处分;涉嫌犯罪的,移送司法机关依法追究刑事责任。
(二)注重制度建设,加强内部管理
1.不断完善各项审计监督制度,制定审计人员行为规范。例如学校内部审计工作规定、基建修缮工程审计制度、大型基建工程全过程跟踪审计制度、委托社会中介审计制度、业务会议制度等等,规范相关工作职责、工程程序。做到以制度管权、以制度管人、以制度管事,使审计监督工作有法可依、有章可循。实践证明:人员落实、制度健全是做好规范内部管理行为、做好工作的重要保证,通过加强制度建设,明确工作职责、工程程序,才能确保管理部门工作到位而不越位,才能确保基建工程审计监督工作有序进行、有章可循。
2.重视抓好基建工程项目招投标审计监督工作。学校应建立健全工程招投标、设备采购、工程变更签证等有关制度。对大型基建项目,要实行承建单位资质考察制,以保证建设资质优秀、合同信誉良好的施工单位参加投标。尤其要重视工程招标文件的审计监督,招标文件要注重表述的准确性、内容的规范性、条规的合法性及可操作性;组织实施招标前,应在招标文件中合理确定工程总价的有效投标价范围、工程主要材料综合单价的有效报价范围、评标办法等,避免在招标过程中的暗箱操作,减少人为因素的干扰,降低招投标成本和风险,保证项目招标的公正、公平、合理、合法。
(三)强化审计职责,实施全程跟踪审计
全程跟踪审计是由事后审计向事前、事中审计的跨越,是现代审计的发展方向,它有利于保证工程质量、有效控制工程造价,有利于对基建工程项目经济活动进行客观、公正的评价。
1.把好事前审计关。主要是对立项决策到工程施工前工作的审计,审计部门要把握好立项决策、设计、招投标、合同制定等四个环节的工作。重点审核:
(1)项目立项的决策程序是否合规;可行性研究报告编制的依据是否真实;项目投资估算的是否可行。
(2)设计方案和设计单位是否通过招标优化选择;设计任务书和初步设计的主要指标(如建设规模和建设标准)是否符合决策目标;是否进行优化设计,如限额设计等;是否组织设计单位、监理、业主和有关专家进行设计图纸会审;全面审核设计概算。
(3)招标文件是否真实、全面、准确地反映学校意图;招标程序是否合法合规;评标、定标工作是否公平公正;工程量清单中主要工程量的计算是否准确、清单项目描述是否准确、是否存在明显漏项,是否存在定额计价时的漏项风险和工程量清单计价时的不平衡报价风险;拦标价是否合理。
(4)合同条款是否与招标文件、投标文件有实质性背离。
2.把好事中审计关。主要是对工程施工阶段的审计,是全程跟踪审计的核心。审计部门要重点抓好合同、设备及材料价格、工程变更、签证、工程进度款、索赔等五个关键点。主要审核:
(1)施工合同主体是否合法;合同内容是否完整性;与结算及价款调整条款的内容表述是否准确、完整,合同是否依法履行。
(2)检查大宗材料、设备的招标采购工作,做好工程材料的价格咨询。
(3)对隐蔽工程采取抽查的形式进行监督与鉴证,重点跟踪对结算时容易产生分歧的隐蔽工程,如土方工程、路基工程、拆除工程等;审核是否符合设计变更的批准程序,变更内容是否与实际发生相符,设计变更引起造价变化的是否能作为结算依据;审核是否符合工程签证的管理程序和批准权限,签证内容是否与实际发生相符,计量计价方式是否与合同有关条款约定相符(或另做合理约定),能否作为结算依据。
(4)审核是否符合申报程序,所报进度是否与实际工程进度及实际工程量相符,计量计价方式及支付办法是否与合同约定相符,是否存在重复申报或将业主直接采购的材料设备虚报的现象,工程预付款是否按合同约定扣回等。
(5)在工程实施过程中,对可能引起索赔的因素重点跟踪,并及时提供相关咨询建议,以力求避免索赔事件的发生。
3.把好事后审计关。主要是对竣工结算和投资评价的审计,是全程跟踪审计的落脚点。
(1)做好工程量审查。
(2)检查材料价差合理性,确保材料价格信息源的准确可靠,适时进行市场调查。
(3)审查隐蔽验收记录,严格审查验收记录手续的合法性和完整性。
(4)审查设计变更签证,审查变更手续是否真实完备。
(5)审查工程定额的套用,主要以建设单位现场签证记录及建设方签字认可的竣工图为依据。
(6)审查各项费率、价格指数或换算系数是否正确。
(7)对结算书中的每一项进行认真核算、防止各种计算误差。
(8)审查工程价款结算与实际投资的合法性、真实性及工程造价控制的有效性。
参考文献:
[1]包石玉.基建工程跟踪审计关键点探讨[J].财会通讯,2012(19).
[2]古志文.高校基建工程项目实施跟踪审计的探讨[J].商业会计,2012(12).
[3]王朋才.风险导向模式在高校基建审计中的应用[J].财会通讯,2012(07).
[4]姜猛.试论以内部审计为核心的高校内部控制体系建设[J].财会通讯,2011(08).
[5]彭红涛,李培景,姚新宇等.普通高校基建工程造价内部审计机制探析[J].教育与经济,2010(04).
[6]李海容,范亮春.高校基建工程结算高估冒算审计分析与对策[J].商业会计,2010(21).
[7]郭智辉.高校建设工程委托审计管理探讨[J].财会通讯,2010(28).
远程审计的思考范文第2篇
关键词:远程 审计 应用
科学技术的发展与进步,推动着内部审计的改革与创新。随着信息化时代的到来,ERP、HR、OA等系统在企业经营管理中广泛应用,内部审计的方式也随之发生了革命性变化。现代审计业务中,传统手工作业方式已逐步退出了历史的舞台,网络审计成为了主流的发展方向,而基于这一基础之上的远程审计也应运而生、成为现实。远程审计的出现,凸显了现代网络审计“即时、高效、便捷、低成本”等特点,突破了传统审计模式下“时间与空间”的限制,使审计的效率性、效益性和效果性得到了优化和提升,从而倍受审计人员的青睐和推崇。那么,远程审计是什么?其存在的优势、风险以及应对的措施有哪些?基于这些问题的思考,本文结合烟草行业远程审计的实际应用,对上述问题作以研究和探讨。
一、远程审计的内涵及外延
(一)远程审计是网络审计的发展与延伸
远程审计是一种汇集了计算机技术、网络技术、审计技术于一体的现代审计作业方式,属于一个前沿的、新兴的领域,因此目前还没有一个严格的定义。远程审计的产生,源自于网络审计系统的开发与应用。对于集团公司而言,基于内部广域网的支撑环境,营销、财务、内部管理等系统设置了标准接口,集团内部信息高度集成,于是一些集团公司利用内部信息化资源开发了网络化的审计管理系统,以此提高内部审计工作水平。而远程审计又是网络审计的发展与延伸。基于网络审计平台的支撑作用,审计人员能够在远离被审计单位的情况下即时获取财务、经营及管理数据,并运用数据处理、统计分析等系统功能,对其经营管理活动进行审计、监督和检查,从而达到优化审计资源、提高审计效率的目标。由此可见,远程审计对企业的信息化建设水平及审计人员综合素质提出了更高要求,“因此在我国并没有实现”。而近年来,烟草行业不断加强内部网络审计系统建设,对于远程审计进行了大胆地研究与尝试并在实践中得到较好地应用。
(二)远程审计的技术原理
远程审计技术主要是通过集成化的网络审计系统完成对业务数据的采集与转换,再利用审计辅助程序进行统计、抽样、分析等审计作业处理,最终形成审计报告的过程(图1:远程审计作业的技术原理)。完整的远程审计系统应包括“审计管理信息系统、审计作业工具系统、数据采集转换系统、联网审计系统(数据分析预警平台)”四个部分。审计管理系统用于下达审计计划、分配权限等项目组织工作;审计作业软件用于提供各种辅助工具,帮助审计人员进行详细审查;联网审计系统用于审计人员远程登录,并通过预警系统等发现审计疑点;数据采集转换系统用于业务平台数据和审计平台的数据采集转换处理。
(三)远程审计要与现场审计相结合
远程审计的基础是网络数据,而网络数据的虚拟性则决定了远程审计的局限性。因此,应用远程审计不能脱离了“人机结合”的基本思路,正确认识网络数据对审计结果产生的积极作用和不利因素。实际应用过程中,则将“远程审计与现场审计、虚拟数据与实际数据”紧密结合、综合运用,以确保审计结果的真实性、可靠性和完整性。比较好的做法是:现场审计前,审计人员通过远程审计完成数据的收集、统计、分析等基础性工作;现场审计时,重点关注已发现的审计疑点及深入挖掘审计线索,从而达到缩短现场审计时间、降低审计成本、提高审计质量的目标。
二、远程审计案例及其特点
(一)背景
烟草行业信息化建设水平在国内处于领先位置,ERP管理已步入成熟阶段。其信息化建设布局已覆盖了包括卷烟营销、专卖管理、客户关系管理、财务管理、投资项目管理等经营管理的方方面面。数据平台由总公司或省级公司统一开发、管理和维护,各系统之间形成了标准接口。在此基础上,烟草行业于2008启动了审计信息化建设,构建了具有烟草特色的网络审计系统,实现了省、市、县三级数据共享和功能集成的一体化应用。网络审计系统采用了J2EE平台和B/S架构,与财务、营销等业务系统之间设置了标准接口,分别由“审计管理、在线审计、现场作业”等十多个功能模块组成。系统由省级公司集中进行部署,分级授权应用、维护和管理。2012年初,安徽省烟草公司在总结网络审计经验的基础上,开始进行远程审计的探索与研究,现已在内部经济责任审计、财务收支审计等业务中得到有效运用。
(二)案例
2013年,安徽省烟草公司将对某市级公司法人代表进行任期经济责任审计。该项目年度计划已在“网络审计系统”中设定,项目组成员从各市级公司审计人员中抽调。该项目于4月1日启动,项目组长已在“系统”中完成了计划分解、任务分配等组织工作;被审计单位基本情况、内控制度等已通过电子档下发给审计组成员;审计方法采用远程审计和现场审计相结合的方式。根据《审计方案》安排,远程审计时间段为4月3日至23日,现场审计时间段为4月25日至4月30日。远程审计阶段的任务是:利用网络审计系统,统计分析任期内主要经济指标、财务收支等目标完成情况、对被审计单位内控体系建设情况进行初步评价、利用网络审计系统功能模块完成审计抽样并在系统中标注审计疑点、观察被审计单位现阶段业务流、资金流、信息流的运作情况等,并在此基础上形成初步审计底稿。现场审计阶段的任务是:核查网络数据的真实性、调查审计疑点、排查是否存在审计漏洞并确定是否开展延伸审计、其他应关注的事项。在此基础上,结合远程审计初步底稿,完成正式审计底稿的编制等工作。
(三)效果评价
1、提高了审计效率
原任期经济责任审计现场工作时间一般为10—15天,本案中现场审计时间为5天,审计效率提高,审计成本下降,审计目标更具针对性。远程审计的最大优点就是能够自由地掌握基础阶段的工作时间,尽量减少现场审计时的冗余工作。通过网络审计系统授权,审计人员能够在远距离接触到被审计单位的业务数据,完成大部分审计现场时要做的基础性工作,不仅为审计人员和被审计单位提供了方便,也使审计资源得到了合理地优化和有效地运用。
2、提高了审计质量
传统审计模式下,审计人员往往因工作时间的限制而出现一些审计疏漏或被迫放弃对一些疑点的延伸调查。远程审计为审计人员提供了充分的时间保障,使其能够对被审计单位的整体情况进行综合、全面、细致地检查,降低了因时间受限所带的审计风险。此外,网络审计系统中的“数据中心”,融汇大量的财务信息、经济活动信息等,使审计人员能够更好的拓展审计内容的深度,提高项目审计的数据资料覆盖面,较好的保证了项目审计质量。
3、实现了动态监督
远程审计使审计信息的收集实现了实时化、动态化。在ERP环境下,审计人员可以观察到经济活动发生的全过程,并在交易发生时或发生后不久开始编辑交易数据,寻找不符合项的细节;也可以运用系统提供的标记和追踪功能,在某些数据或交易上加上标签,并建立一个审计证据文件,嵌入到审计业务的计算机系统中,从而掌握到最新的经营管理情况,达到对被审计单位实施动态监督。
4、提高了队伍素质
从手工审计到远程审计的转变令人耳目一新,进一步激发了审计人员学习审计业务知识、计算机技术及网络技术的活力;此外,审计人员有更充足的时间学习掌握被审单位的业务流程、规章制度等,对提高审计人员的综合素质及工作质量也起到了一定的促进作用。
5、有利于审计派驻制管理
烟草行业推行审计派驻制以来,按照“监督驻地、参审异地”的工作要求,审计人员一方面要负责驻地企业的审计项目;另一方面,要受上级的领导和委派参与异地审计项目。当两方面的审计项目发生冲突时,审计人员往往难以兼顾。而远程审计的应用,有效地缓解了这一矛盾。审计人员足不出户便可完成异地项目的大部分工作,从而减少了外出时间,提高了工作效率,实现了驻地项目与异地项目的协调统一。
三、远程审计存在的风险及应对措施
(一)风险因素
1、审计线索的局限性
每一名称职的审计人员都有着尽可能发现审计线索的主观意愿,以提高审计的质量和风险的防范能力。而大部分审计线索往往隐藏于大量的数据、材料和信息之中,需要审计人员广泛地搜集和取证并据此做出精心地甄别和判断。在传统审计环境中,经营业务过程大多在纸制材料上反映,审计线索十分清楚,审计人员只要在各种资料中找到切入点,就能顺藤摸瓜找到所有的审计线索。由于远程审计是基于信息化基础之上,经济活动中的单据、票证和账簿等都是以虚拟形式反映,审计人员无法获取信息系统之外的原始记录,发现审计线索的途径主要依赖于网络上的经济活动,审计人员的职业判断力受到了一定的影响。
2、审计人员的适应性
传统的审计模式下,审计组在实施审计业务时具有整体性。内部沟通的方式简单明了,业务能力上可以形成互补,审计组长能够随时监督组员的工作情况,而诸多审计疑点也是在审计人员相互沟通中发现的。远程审计与传统审计有着明显的区别,审计人员基本上是在孤立的环境下从事审计业务,其沟通习惯、查阅习惯、思考习惯等均发生了深刻变化。比如:远程审计期间,沟通方式只能采用电话和网络;查阅的方式完只能通过计算机进行审查;审计组长不能完全掌握审计人员工作状况等。如果审计人员不能够适应这种环境变化,及时调整工作思路和作业方式,势必会对审计质量产生一定的影响。
3、修改数据的可能性
传统审计中的一个重要环节就是要对计算机记录与原始记录的符合性进行测试,以确保数据真实性和可靠性。而远程审计的工作基础是被审单位信息系统中的数据和资料,其数据的真实性得不到有效验证。如果被审计单位修改了信息系统中的历史数据,那么远程审计将失去应有的作用和意义,所从事的大量工作将前功尽弃,所带来的审计风险也随之加大。
4、信息技术的安全性
远程审计是一种全新的审计模式,审计软件开发还处于初级阶段。由于软件公司对网络审计的研究还不够透彻,所开发的软件也不是很成熟,其功能性和稳定性尚需提高和完善。此外,由于计算机硬件资源和网络通讯技术存在固有的不稳定性,审计过程中随时有可能出现一些意想不到的情况。如:软硬件故障使数据发生错误或丢失,软件故障或遭遇黑客、病毒入侵破坏软件等。
(二)应对措施
1、完善审计信息系统功能
审计信息系统的功能越强大、考虑得越周全,就越能为审计线索的发现提供帮助。如果系统设计时考虑不全面,那么在实施审计业务时,就只能发现业务处理的结果而不能追索其来源。比如:有的企业为了掩盖隐藏大额现金交易的行为,在录入凭证摘要和使用科目时,会将“现金”改为“银行存款”。而大部分的财务管理系统中都设有票据管理模块,如果审计系统能够对票据系统进行联查和分析,就能根据“票据号码的连续性”这一线索发现所存在问题。
2、提高审计人员的综合素质
远程审计要求审计人员既要懂网络知识,又要精通审计理论,同时还要熟悉网络审计软件的开发、设计、维护等。由于我国对于网络审计的研究尚处于初步探索阶段,对于远程审计更是缺乏理论的支撑。这就要求审计人员能够自立根深,认真研究远程审计模式下的审计方法,改变传统审计模式下的思考习惯、查阅习惯等,在实践中不断地摸索、积累和升华,努力适应远程审计所带来的作业方式变化。此外,远程审计过程中,由于审计人员是在孤立的环境下开展工作,失去了现场监督的环境,对其职业道德水平也提出了更高要求。
3、建立远程审计风险防范机制
建立严格的远程审计责任追究机制,明确审计方、被审计方、系统开发维护方等相关方的职责权限及处罚措施等,防止系统数据被修改的风险。审计组在进驻现场时,应在第一时间获取原始记录,并与已采集的系统数据进行查验比对,以排除修改历史信息数据的风险因素。一旦发现数据被修改情况,应立即调整审计计划并采取相应的纠正措施。同时,要建立适应远程审计的内部沟通机制。除审计信息系统提供的查询、抽样、统计、分析等基础外,在系统中设置审计日志记录功能,自动记录审计人员在远程审计期间所从事的工作,以便及时掌握审计人员的工作状态,监督审计工作质量。有条件的情况下,可以在审计系统中添加网络视频功能,采用网络会议形式增加内部沟通渠道。
4、加强对信息系统的风险控制
审计信息系统与营销、财务及其他管理软件均有接口,因此系统管理人员不仅要加强对审计信息系统的日常维护,还要时刻关注相关软件系统的稳定情况,及时发现和排除软硬件故障。针对审计信息中存在的漏洞,要及时沟通软件公司进行改进和完善。对于审计人员,要严格遵守企业内部信息安全规章制度,避免人力因素造成了系统损坏、数据丢失等。
四、结束语
综上所述,远程审计作为新兴的审计形式,无论是理论还是实践都使传统审计发生重大变革,迫使审计人员做出更多的努力以适应形势发展的需要。同时,由于我国对远程审计的理论研究和实践探索尚处于初步阶段,推进远程审计过程中必然会面临诸多疑问和难题,需要审计人员在实践中进行不断地探索、研究和解决。
参考文献:
[1]刘昂.2012:在信息技术条件下对公司远程内部审计的展望,商品与质量(8),P214
[2]林欢,张孝友.2010:完善网络审计的几点看法[J],财务与会计(2),P132
[3]刘雷.2010:我国网络审计的现状及问题应对策略[J],经营管理者(5),P298
[4]谷春增.2010:审计发展的主要方向—网络审计[J],大众商务(8),P144
远程审计的思考范文第3篇
关键词:非现场审计;商业银行;内部审计
随着我国商业银行业务处理逐步走向网络化、集中化,凭证、数据以及各项资料都实现了电子化、无纸化,面对海量数据,为满足董事会、高管层对审计工作的期望,开发功能强大的计算机辅助审计工具,全面开放并拓展非现场审计业务的发展,是商业银行内部审计部门的现实选择。
一、非现场审计的概念
非现场审计又称为计算机审计,它是审计人员通过计算机收集被审计对象经营管理信息及数据,通过通用审计分析子系统进行远程分析的审计程序。非现场审计作为内部审计的一种方式,具备以下职能:
1.监督职能。依靠强大的计算机数据库,利用通用审计软件,通过关联、筛选、排序、汇总等方法,比较、分析信息数据等因素,从独立超脱的角度,揭示经营绩效、管理体制、经营决策等方面存在的问题,而不仅仅停留在纠错防弊的合法合规性审计上,为组织提供增值服务。
2.服务职能。非现场审计具有为现场审计服务,为管理层决策服务的服务职能。非现场审计技术实现了审计信息的及时共享,能在第一时间为管理层提供全面综合的内部审计及经营管理信息,使内部审计更好的融入除决策之外的经营管理全过程,充分发挥咨询服务职能。
二、非现场审计与现场审计相比具备的优点:
(一)监测及时、预警有效。商业银行定期从会计、信贷管理等系统导入数据,或与生产系统数据库直接建立数据链接,实现了对信息系统全流程时时风险监测,能够对商业银行日常经营操作中的违规危及行为做出迅速反应,防范资金风险、信用风险等。
(二)全面防范审计风险。审计人员通过通用审计软件,结合审计人员对内控风险的全面分析,及时审计分现场审计模型,按期(年、月、日)、按机构、按风险等级揭示经营管理的系统风险、操作风险等,对商业银行内部控制实现全流程监控。并且通过内部审计及时向管理层提示风险,保障了经营管理的主要风险。
(三)逐步提升审计的准确性。非现场审计通过计算机系统,直接调阅被审计对象的经营管理信息及数据,通过非现场审计系统进行梳理分析,目标用户是所有审计人员,而不局限于非现场审计人员,从数据的采集上,规避了被审计行人为调整、修改等风险,信息全面、真实、有效。
(四)逐步提高了审计的独立性。非现场审计通过计算机系统,远程调阅被审计对象的经营管理信息及数据,与被审计行没有物理接触,并且对数据信息的采集具有主动性、灵活性,规避了信息收集及传递过程中的道德风险,规避了以往依靠对被审计行提供资料的信息的独立性风险,降低了审计风险。
三、非现场审计与传统审计相比具备的特点:
1.审计方式的特殊性。随着商业银行规模化和信息化发展,现场审计的传统审计方式显得浪费且低效。信息技术的发展使远程审计程序即非现场审计的实施成为可能。非现场审计的实施地点不是在被审单位现场,而通常是在远离被审机构的其他审计工作场所,即所谓的非现场。这种不在被审单位现场办公的特殊方式是将非现场审计与传统审计区分开来的首要特征。
2.审计手段的先进性。以往的审计通常是在被审现场通过调阅大量报表、账目、文字记录等相关资料来手工查找风险点,在庞大的数据网络面前已显得力不从心。非现场审计借助计算机、网络、远程等现代化信息处理和传递方式,实现了计算机海量存储、高速处理与审计分析模型的有机融合,使大部分审计工作从纷繁复杂的账表资料中解脱出来,实现审计的非手工操作,节约了审计时间,提高了审计效率和审计结果的准确程度。
3.审计角度更具独立性。非现场审计通过远程方式实现了人机直接对话,数据的采集、筛选、整理、分析和疑点确定过程基本上都可以通过计算机程序完成,一方面改变了以往对被审行提供数据资料的依赖性,使审计主动性和灵活性大大增强,另一方面,减少了审计人员舞弊的可能,将人为因素降到最低。非现场审计与现场审计相比更具独立性,这是实现审计真实有效性目标的重要保障。
4.审计范围的广阔性。在现场审计手段和环境下,由于审计资源有限,很容易产生“只见树木不见森林”的情况,非现场审计技术的应用,拓展了审计的深度和广度,使审计的覆盖面更广。审计范围的广阔性是实现审计充分性目标的有力支撑。
5.审计对象的精准性。非现场审计应用审计监测等手段,通过编制模型和对数据的分析,从后台识别出商业银行经营活动中迫切需要解决的突出问题和薄弱环节,将审计资源向风险高的业务和区域倾斜,使扩大审计覆盖面与突出重点相协调,实现了风险导向审计,提高了审计对象的精准性。
四、非现场审计的开发背景
商业银行内部控制涉及银行信贷、会计、人事等所有部门及岗位,涉及生系统、分析系统等所有信息管理系统,随着商业银行内部控制的提升,要求内部审计同步提升,为防范审计风险,非现场审计逐步产生、发展、壮大。
(一)业务操作复杂水平不断增长,数据急剧膨胀。近年来,商业银行为适应市场变化,在信贷、会计、人事等部门操作系统基础上,不断新增或升级各类管理信息系统,不断提升营运效力及服务水平,同时也使得业务流程的复杂程度不断提高,加之频繁的系统升级、转换和操作的不规范等带来的数据质量问题,导致内部审计工作面临极大的挑战。并且系统的增长,导致交易数据急剧增长,纯手工人工分析,无法实现对历史数据风险的分析,必然陷入审计风险的漩涡中,无法实现审计的作用。
(二)业务操作的管理功能上移。信贷、会计等系统中,基层行只涉及日常操作,授信、授权、甚至日结全部上移至上级主管部门,数据的生产、存储全部在总行,因此,在集约化的管理模式下,要实现基层行数据全面分析,必须涉及上级主管部门。
(三)传统的风险线索介质发生变化。随着信息管理系统的完善,通过传统的有形的介质存在的信息逐步减少,审计仅通过有形介质分析数据,势必导致网上银行、手机银行等系统中的信贷、会计电子交易信息大量流失,大多数信息无法分析,审计结论不具备代表性,审计效力急剧降低。
(四)国内、外通用审计软件数理处理水平迅速提升。随着科技的进步,为满足计算机数据急剧膨胀的分析需求,国内、外数理分析软件的分析量逐步增大,尤其为适应数据大而服务器较小的问题,通用数据分析软件数理分析量也同步增长,计算机系统水平的提升,网路基础建设的扩大为全面审计提供分析平台。
另外,内外部监管要求的不断提高。商业银行的内部控制要求审计部门防范审计风险,加强风险导向审计、制度和流程缺陷审计、经营管理审计和经济效益审计。与此同时,外部监管愈加严格、公众关注度日益提升。银监会2006年底的《银行业金融机构内部审计指引》更是明确要求商业银行“内部审计部门应建立完善非现场内部审计监测体系”,开发功能强大的非现场审计系统是商业银行内部审计部门满足外部监管要求,也是保证审计工作质量的必要因素。
在这种内部审计环境下,更加需要开发一种完善、高效的信息管理系统,通过审计通用软件,全面解释内部控制全流程的风险,提供审计的效率、效力。(作者单位:中国建设银行股份有限公司山东总审计室)
参考文献
[1]王会金、王素梅;非现场审计背景机遇和挑战;中国内部审计[J];2006第4期;
[2]龚寅;非现场审计在商业银行内部审计中的效能研究[J];当代经济;2010年05期;
远程审计的思考范文第4篇
西方对计算机会计内部控制的研究大概始于70年代,美国执业会计师协会(AICPA)和EDP审计人员协会从1974年开始先后发表了一系列研究报告或相关的审计准则,国际会计师联合会(IFAC)也在80年代制订了几个有关计算机审计的准则。这些文告或准则一方面肯定了计算机处理对内部控制的影响,强调加强内部控制及其审计的必要性;另一方面则比较一致地将内部控制分为一般控制和应用控制两大类,并据此制定了一套EDP控制标准。
我国财政部1994年的《会计核算软件基本功能规范》,集中在输入、处理、输出和安全四个方面对会计软件提出规范性要求,实质上涉及的都是内部控制的问题,即会计软件系统所应该实现的控制。而首次涉及计算机会计系统内部控制的审计法规则是1999年7月1日生效的《独立审计具体准则第20号-计算机信息系统环境下的审计》。
显然世界各国审计机关对计算机处理环境的内部控制问题都有相当的重视,进行了非常深入的研究。既肯定了计算机处理环境对内部控制的影响,又研究了加强控制的措施,还探讨了审计内部控制的方法。但是,事物总是发展的,随着计算机技术的日新月异,尤其是电子商务和网络财务的出现,前述的这些研究已经显得苍白。我们认为,当前对内部控制的研究存在三个问题:一是对广域网络环境下会计系统的内部控制缺乏研究,二是对内部控制的分类欠科学,三是不少控制措施以及对内部控制的符合性测试方法脱离实际。下面将就这些问题展开讨论。
二、网络会计给内部控制提出了新课题
网络财务战略一经提出就获得社会的普遍认同,成为业界关注的焦点,引发人们对网络环境下财务与企业管理的思考。网络财务的最闪光之处是通过Internet实现多种远程处理和支持电子商务,而这恰恰给会计内部控制出了难题。
我们知道,电子商务和远程处理必然要求会计系统的进一步开放与数据共享,而开放与共享将增加安全控制的难度,信息安全、资金安全都将成为内部控制的焦点。安全威胁既来自企业内部工作漫不经心的员工,也来自心怀不满的职员、外部黑客以及竞争对手。因为网上交易公开化程度较高,操作人员和信息使用者干预系统的机会增大,再加上使用的是公用通讯线路,系统面临的安全隐患也必然增多,从而增大企业经营的风险。例如,不法之徒可能利用网络及安全管理的漏洞窥探用户口令或电子账号,冒充合法用户作案,篡改数据库内容以窃取资产;利用网络远距离窃取企业的商业秘密以换取钱财,或利用网络传播计算机病毒以破坏会计信息系统,甚至摧毁网络节点;此外,由于电子商务处理经济业务的原始记录以电子凭证的方式存在和传递,不法之徒通过改变电子货币账单、银行结算单等,就有可能转移财产的所有权。
有鉴于此,网络财务必须实现以下控制目标:
1、对远程操作的控制,即实现对远程记账、报账、查账、制表、审计以及网上报税等操作的安全控制。
2、对网上支付的控制,即保证支付信息的机密、支付过程的完整、交易双方的合法身份以及互操作性,实现安全支付。3、对电子凭证的控制,即控制电子凭证的正确收发、真伪确认、安全传递和格式转换等问题。
以上控制既涉及技术层面,也涉及政府立法和企业内部的制度建设。在技术上要采用公开密匙加密、电子数字签名、电子信封、电子证书等技术,加强对网上输入、输出和传输信息的合法性、正确性控制,在企业内部网与外部公共网之间建立防火墙,对外部访问实行多层认证。在法律上建立电子商务法律法规,规范网上交易、支付、核算行为,并制定网络财务准则和相应的内部控制制度。没有网络安全,就没有网络财务。
三、关于内部控制的分类
美国执业会计师协会第3号《审计准则公告》、《国际审计准则》第20号以及我国《独立审计具体准则第20号》,都把计算机会计内部控制分为一般控制(Generalcontrols)和应用控制(Applicationcontrols)两大类,并将前者定义为:(1)电子数据处理的组织和操作的计划;(2)对系统或程序的设计、开发和变动的记录、审核、测试和批准;(3)由制造商在设备内部所设置的控制;(4)对接触设备和数据文件的控制;(5)对系统的运行有影响的其他数据和指令程序的控制。公告把应用控制定义为输入控制、数据处理控制和输出控制。
但是,我们认为这种分类方法从其名称和内涵来看,都有值得商榷的地方。
1、定义缺乏逻辑性
分类是一种手段,目的是便于人们对事物的理解或认识,但这种分类方法并未达到这个目的。首先从其名称来看,分类标准不明确,甚至可以说用的不是同一个标准。因为人们往往习惯于将“一般”来区别“特殊”,而将“应用”与“基础”、“理论”或“系统”等概念相对应。所以将问题分为“一般”和“应用”在逻辑上是不清晰的,实际上不少问题既是“一般”问题,又属“应用”范畴。
2、两类控制的内涵不明分类标准的模糊性带来控制内涵不明,到底哪些方面的控制属于一般控制,哪些属于应用控制,人们只能根据强加于人的“定义”来理解。两类控制常常交叉,例如数据输入既因涉及输入而属于应用控制,又因涉及组织和操作而属于一般控制的范畴。又如,对输出资料的保管、操作权限的识别这样一些控制措施,到底属于一般控制还是属于应用控制,人们从字面上就很难区别。此外有些文献还把对经济业务的完整性、有效性、合理性的审查和控制,作为数据处理控制的内容,使控制措施的归属变得更为含混不清。
3、企业控制的任务不明确
这种分类方法混淆了执行控制的主体,即两类控制中人们难以明确哪些是企业应该做的,哪些是软件开发商的责任。我们知道在手工会计中内部控制都是通过人来执行的,但在计算机会计中除了人这个执行控制的主体之外,许多内部控制方法却要通过计算机系统尤其是会计软件才能实现。例如,应用控制中的输入控制,既包括了用规章制度约束操作人员以保证输入数据的正确,又要靠系统自身的容错功能来识别和纠正输入数据的错误,前者是制度问题而后者则是计算机程序问题。在输出控制中也存在类似的问题,对输出的权限和完整控制应该是软件系统的责任,而输出资料的确认和保管则是会计人员的责任。
我们认为内部控制的分类既要概念清晰,又要区分控制的主体,以便明确责任,为此,建议将内部控制分为管理制度控制和程序系统控制两大类。其中程序系统指计算机软硬件系统,主要是网络系统和会计软件。程序系统控制主要是靠软件本身功能来实现的内部控制机制,以实现系统的自我保护,主要包括数据输入、内部处理、信息输出、数据传输和系统安全保护控制。程序系统控制的责任者是软件开发部门,用户不应负有责任。而管理制度控制一般是以管理制度的形式实行的,主要包括组织、操作、维护和资料保管等方面。我们也可以进一步将管理制度控制分为环境控制(或基础控制)和操作控制(或应用控制)两类,组织、维护和资料保管都属于环境控制的范畴。显然制度的制订和执行与计算机程序系统无关,而是会计软件使用单位的责任。这种分类法的优点是分类标准明确,容易理解,而且实现控制的措施和控制的主体是一致的,责任分明,企业方面容易清楚自己应该怎么办。
四、关于内部控制措施及审计
我们接触到的几乎所有教科书或文献,不仅将内部控制分为一般控制和应用控制,而且演绎和解释具体控制措施以及内部控制的审计方法时往往脱离实际,形式繁琐,又不突出控制重点,主要存在以下问题:
1、无法实现或不合理的控制措施
在对内部控制措施的罗列中,有许多是无法实现或者是不合理的要求。例如,要求在会计软件中“安装一个联机审机控制器,用来收集审计人员感兴趣的资料”,要求在程序中设置断点以控制“主文件金额数、记录计数、前一程序指令序号”,“每一个操作运行结束后应有一份打印输出”,通过使用“双重运算、逆运算法”检查错误等等,都是不合理的甚至根本就无法实现的措施。又如对会计软件系统的开发控制和审计是否合理,也是值得商榷的。
2、无需过问的控制措施
有许多控制措施是计算机系统的最基本的功能,并非为会计所设置,审计人员是无需过问的。例如,硬件的冗余检验、奇偶校验、回声检验,操作系统的错误处置、程序保护、文件保护,这些控制都是计算机系统所必备的功能,不应该将它们纳入会计内部控制的范畴,也不应该成为审计的内容。其实对许多系统保护措施审计人员也无从了解,更谈不上审计。
3、对内部控制的审计内容繁琐
许多文献对内部控制审计方法的介绍不仅内容空洞繁琐,而且空谈许多无法实现的审计方法,严重脱离实际,使审计人员不得要领,抓不住审计的重点。例如,对系统软件的测试是完全没有必要的,因为系统软件一般都比较可靠,而且不会对会计软件系统的安全造成威胁。此外,对会计软件的测试方法中许多方法从技术上看是不可行的,从成本效益原则上看也是不合算的。例如,程序流程图检验法、程序代码检查法都要求审计人员去阅读程序代码以确定会计软件的控制措施是否满足,这确实是一种天方夜谭的设想。又如所谓图示法要求“利用监督程序来测定被测试程序中哪些指令执行过,哪些指令未曾动用”,也是很不现实的方法。
鉴于以上原因,我们认为当前应该全面检讨内部控制的措施一方面通过制订《会计软件基本功能规范》进一步明确会计软件公司的责任,规范会计软件产品的程序系统在数据输入、处理、输出、传输和安全保护的控制功能;另一方面则应通过制订会计基础工作规范,明确推行会计电算化的单位的控制责任,规范必要和切实可行的控制措施。
五、应该重视对内部控制的审计
远程审计的思考范文第5篇
一、对计算机会计内部控制的再认识
西方对计算机会计内部控制的研究大概始于70年代,美国执业会计师协会(AICPA)和EDP审计人员协会从1974年开始先后发表了一系列研究报告或相关的审计准则,国际会计师联合会(IFAC)也在80年代制订了几个有关计算机审计的准则。这些文告或准则一方面肯定了计算机处理对内部控制的影响,强调加强内部控制及其审计的必要性;另一方面则比较一致地将内部控制分为一般控制和应用控制两大类,并据此制定了一套EDP控制标准。
我国财政部1994年的《会计核算软件基本功能规范》,集中在输入、处理、输出和安全四个方面对会计软件提出规范性要求,实质上涉及的都是内部控制的问题,即会计软件系统所应该实现的控制。而首次涉及计算机会计系统内部控制的审计法规则是1999年7月1日生效的《独立审计具体准则第20号-计算机信息系统环境下的审计》。
显然世界各国审计机关对计算机处理环境的内部控制问题都有相当的重视,进行了非常深入的研究。既肯定了计算机处理环境对内部控制的影响,又研究了加强控制的措施,还探讨了审计内部控制的方法。但是,事物总是发展的,随着计算机技术的日新月异,尤其是电子商务和网络财务的出现,前述的这些研究已经显得苍白。我们认为,当前对内部控制的研究存在三个问题:一是对广域网络环境下会计系统的内部控制缺乏研究,二是对内部控制的分类欠科学,三是不少控制措施以及对内部控制的符合性测试方法脱离实际。下面将就这些问题展开讨论。
二、网络会计给内部控制提出了新课题
网络财务战略一经提出就获得社会的普遍认同,成为业界关注的焦点,引发人们对网络环境下财务与企业管理的思考。网络财务的最闪光之处是通过Internet实现多种远程处理和支持电子商务,而这恰恰给会计内部控制出了难题。
我们知道,电子商务和远程处理必然要求会计系统的进一步开放与数据共享,而开放与共享将增加安全控制的难度,信息安全、资金安全都将成为内部控制的焦点。安全威胁既来自企业内部工作漫不经心的员工,也来自心怀不满的职员、外部黑客以及竞争对手。因为网上交易公开化程度较高,操作人员和信息使用者干预系统的机会增大,再加上使用的是公用通讯线路,系统面临的安全隐患也必然增多,从而增大企业经营的风险。例如,不法之徒可能利用网络及安全管理的漏洞窥探用户口令或电子账号,冒充合法用户作案,篡改数据库内容以窃取资产;利用网络远距离窃取企业的商业秘密以换取钱财,或利用网络传播计算机病毒以破坏会计信息系统,甚至摧毁网络节点;此外,由于电子商务处理经济业务的原始记录以电子凭证的方式存在和传递,不法之徒通过改变电子货币账单、银行结算单等,就有可能转移财产的所有权。
有鉴于此,网络财务必须实现以下控制目标:
1、对远程操作的控制,即实现对远程记账、报账、查账、制表、审计以及网上报税等操作的安全控制。
2、对网上支付的控制,即保证支付信息的机密、支付过程的完整、交易双方的合法身份以及互操作性,实现安全支付。
3、对电子凭证的控制,即控制电子凭证的正确收发、真伪确认、安全传递和格式转换等问题。
以上控制既涉及技术层面,也涉及政府立法和企业内部的制度建设。在技术上要采用公开密匙加密、电子数字签名、电子信封、电子证书等技术,加强对网上输入、输出和传输信息的合法性、正确性控制,在企业内部网与外部公共网之间建立防火墙,对外部访问实行多层认证。在法律上建立电子商务法律法规,规范网上交易、支付、核算行为,并制定网络财务准则和相应的内部控制制度。没有网络安全,就没有网络财务。
三、关于内部控制的分类
美国执业会计师协会第3号《审计准则公告》、《国际审计准则》第20号以及我国《独立审计具体准则第20号》,都把计算机会计内部控制分为一般控制(General controls)和应用控制(Application controls)两大类,并将前者定义为:(1)电子数据处理的组织和操作的计划;(2)对系统或程序的设计、开发和变动的记录、审核、测试和批准;(3)由制造商在设备内部所设置的控制;(4)对接触设备和数据文件的控制;(5)对系统的运行有影响的其他数据和指令程序的控制。公告把应用控制定义为输入控制、数据处理控制和输出控制。
但是,我们认为这种分类方法从其名称和内涵来看,都有值得商榷的地方。
1、定义缺乏逻辑性
分类是一种手段,目的是便于人们对事物的理解或认识,但这种分类方法并未达到这个目的。首先从其名称来看,分类标准不明确,甚至可以说用的不是同一个标准。因为人们往往习惯于将“一般”来区别“特殊”,而将“应用”与“基础”、“理论”或“系统”等概念相对应。所以将问题分为“一般”和“应用”在逻辑上是不清晰的,实际上不少问题既是“一般”问题,又属“应用”范畴。
2、两类控制的内涵不明
分类标准的模糊性带来控制内涵不明,到底哪些方面的控制属于一般控制,哪些属于应用控制,人们只能根据强加于人的“定义”来理解。两类控制常常交叉,例如数据输入既因涉及输入而属于应用控制,又因涉及组织和操作而属于一般控制的范畴。又如,对输出资料的保管、操作权限的识别这样一些控制措施,到底属于一般控制还是属于应用控制,人们从字面上就很难区别。此外有些文献还把对经济业务的完整性、有效性、合理性的审查和控制,作为数据处理控制的内容,使控制措施的归属变得更为含混不清。
3、企业控制的任务不明确
这种分类方法混淆了执行控制的主体,即两类控制中人们难以明确哪些是企业应该做的,哪些是软件开发商的责任。我们知道在手工会计中内部控制都是通过人来执行的,但在计算机会计中除了人这个执行控制的主体之外,许多内部控制方法却要通过计算机系统尤其是会计软件才能实现。例如,应用控制中的输入控制,既包括了用规章制度约束操作人员以保证输入数据的正确,又要靠系统自身的容错功能来识别和纠正输入数据的错误,前者是制度问题而后者则是计算机程序问题。在输出控制中也存在类似的问题,对输出的权限和完整控制应该是软件系统的责任,而输出资料的确认和保管则是会计人员的责任。
我们认为内部控制的分类既要概念清晰,又要区分控制的主体,以便明确责任,为此,建议将内部控制分为管理制度控制和程序系统控制两大类。其中程序系统指计算机软硬件系统,主要是网络系统和会计软件。程序系统控制主要是靠软件本身功能来实现的内部控制机制,以实现系统的自我保护,主要包括数据输入、内部处理、信息输出、数据传输和系统安全保护控制。程序系统控制的责任者是软件开发部门,用户不应负有责任。而管理制度控制一般是以管理制度的形式实行的,主要包括组织、操作、维护和资料保管等方面。我们也可以进一步将管理制度控制分为环境控制(或基础控制)和操作控制(或应用控制)两类,组织、维护和资料保管都属于环境控制的范畴。显然制度的制订和执行与计算机程序系统无关,而是会计软件使用单位的责任。这种分类法的优点是分类标准明确,容易理解,而且实现控制的措施和控制的主体是一致的,责任分明,企业方面容易清楚自己应该怎么办。
四、关于内部控制措施及审计
我们接触到的几乎所有教科书或文献,不仅将内部控制分为一般控制和应用控制,而且演绎和解释具体控制措施以及内部控制的审计方法时往往脱离实际,形式繁琐,又不突出控制重点,主要存在以下问题:
1、无法实现或不合理的控制措施
在对内部控制措施的罗列中,有许多是无法实现或者是不合理的要求。例如,要求在会计软件中“安装一个联机审机控制器,用来收集审计人员感兴趣的资料”,要求在程序中设置断点以控制“主文件金额数、记录计数、前一程序指令序号”,“每一个操作运行结束后应有一份打印输出”,通过使用“双重运算、逆运算法”检查错误等等,都是不合理的甚至根本就无法实现的措施。又如对会计软件系统的开发控制和审计是否合理,也是值得商榷的。
2、无需过问的控制措施
有许多控制措施是计算机系统的最基本的功能,并非为会计所设置,审计人员是无需过问的。例如,硬件的冗余检验、奇偶校验、回声检验,操作系统的错误处置、程序保护、文件保护,这些控制都是计算机系统所必备的功能,不应该将它们纳入会计内部控制的范畴,也不应该成为审计的内容。其实对许多系统保护措施审计人员也无从了解,更谈不上审计。
