系统审计论文
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇系统审计论文范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
系统审计论文范文第1篇
一、审计系统必须适应环境的发展
审计系统是在一定的经济社会环境下产生,又在特定的外界环境中存在和发展。它是环境的产物,必须和环境相适应。与生态系统中的生物一样,审计系统的生存、生长受制于环境,但审计系统的存在和发展又反过来影响和改变环境。回顾审计系统的发展历程,经历了三个阶段:
第一阶段是19世纪中叶,在资本主义得到充分发展、取得工业革命成功的英国出现了现代意义的审计(称英国式审计或详细审计)。当时的审计对象是会计账簿,审计的目的是查错防弊,所使用的审计工具是详细检查,审计信息的使用人是股东。第二阶段是本世纪初,在资本主义发达的美国出现了以资产负债表为对象的资产负债表审计,其目的是判断借款人的信用状况,审计信息使用人从股东扩大到债权人(主要是银行)。第三阶段是本世纪20—30年代,由于资本市场证券化,在美国出现了以损益表为中心的财务会计报表审计,目的是提出客观公正的审计意见,审计信息使用人是所有的企业利害关系人,对上市公司而言就是社会公众。到了40年代以后,由于跨国公司的出现,国际间资本流动频繁,在发达的资本主义国家出现了国际化的会计公司。
从上述审计系统从一个阶段向高一阶段的进化过程分析,我们可以得出两点结论:一是审计系统每一次进化都是为了适应环境的变化,和任何系统一样,只有适应环境的系统才能得以生存和发展。19世纪西方资本主义得到充分发展,实行所有权和经营权分离,就出现了英国式的详细审计。到了20世纪中叶,随着企业大型化和证券化,经济活动剧增,审计师不可能对每笔交易都进行检查,审计系统就由详细审计进化到抽样审计。有了跨国公司,就有了国际性的会计事务所。正是审计系统适应了所生存的环境,才使得本身得到充分的发展。同时,进化后的审计系统又反作用于环境,对社会经济起了积极推动作用,成为人类经济系统中不可缺少的一个子系统。二是审计系统的每一次进化都有赖于相应的理论、方法和技术的支持。从英国式的详细审计进化到资产负债表审计,是因为有内部牵制理论和统计抽样技术的支持。同样,从资产负债表审计进化到财务会计报表审计,是因为有内部控制理论和审计风险测试评价技术的支持。这是审计系统一次具有非常意义的“进化”,正是由于审计系统普遍采用了统计抽样技术和内部控制测试技术,从而使审计系统的功能大大增强,在大大提高了审计效率的同时,又有效地控制了审计风险。
同理,在步入21世纪的今天,审计系统又面临着新环境的挑战。新经济和数字时代的到来,以及经济全球化、市场一体化等将对审计系统产生重大影响。面对新经济环境的挑战,审计系统必须适应这种环境的进化,而要进化就必须有相应的理论和技术方法即系统科学和信息技术的支持,笔者将由系统科学和计算机技术支持下进化了的审计称为系统审计,与之相对应的是传统的详细审计和内控审计。下图表达了审计系统的进化过程。
需要说明的是,“系统审计”与“审计系统”是二个既有联系又有区别的概念。系统审计是指在系统科学和信息技术支持下的审计理论方法,表明一种审计理念,是相对于其它审计方法而言的。审计系统则是泛指审计体系,详细审计、财务会计报表审计、系统审计都是审计系统各个不同历史时期的产物。
二、系统审计和传统审计的比较
传统审计的思维方式是:部分整体。传统审计总是先分析对象的各个部分,然后再综合为整体。这种思维方法的局限性在于把分析与综合、部分与整体、原因与结果机械地割裂开来,认为部分是原因,整体是结果,部分决定整体。传统审计方法着眼于一个个要素,进而得出整体的性能,其逻辑结论往往是组成整体的要素好,整体的性能也就好。不论是一百五十年前的详细审计,还是目前的财务会计报表审计,注册会计师的思想方法都是从部分去推测整体,而系统审计的思想方法则是从整体到部分。详细审计是从每一笔交易账户再到报表;财务会计报表审计是通过对内部控制和控制风险的研究抽取部分交易为样本账户最终证实报表信息的真实和公允性。详细审计和报表审计在研究审计对象经济活动时,只把各组成部分孤立地、简单地加起来,这并不能说明审计对象经济活动的整体性质和功能。因为各要素的简单相加,并不能构成一个系统。
系统审计思维方法则不同于传统审计,它的思维方式是:整体部分。系统审计从整体出发,先进行系统综合,形成可能的系统方案,再进行系统分析。分析系统各要素及其相互关系,建立模型,然后进行系统选择,实现最优化,重新综合成整体。系统审计方法的程序是:综合分析综合。它不仅着眼于个别要素的优劣,而且利用了要素之间的相互关系,观察和判断系统整体的性能。要素和系统不是一种简单的线性因果关系,系统的整体性能不单是取决于组成系统的要素,而且还有要素之间的相互作用。系统审计方法正是在要素之间相互作用的关系中进行分析和综合,才能正确地认识审计对象的整体性能。系统审计把审计对象的经济活动当作一个整体来研究。这一整体的性质和规律,只存在于组成要素的相互联系、相互作用之中。各个组成部分孤立的特征或者活动的总和,并不能反映整体的特征和活动。系统审计强调系统的整体性,要求注册会计师不能象以前那样,先把审计对象分成几个部分,然后再汇集起来。而是把审计对象作为一个有机的整体来对待,先看整体,再看部分;先看全局,再看局部;先看宏观,再看微观;先看全过程,再看某一个阶段。从整体与环境、整体与部分的相互依赖、相互制约中,去揭示系统的特征和运动规律。对局部的研究必须放在整体中,从整体的各个部分的联系、制约中去加以研究。当然,注册会计师研究审计对象经济活动整体,并不是不深入具体细节去考察分析,一个正确地认识来自于从整体到部分,部分到整体的反复过程。系统审计在研究问题时,把任何对象都看成是系统,然后着眼于系统和环境之间、系统和要素之间的相互关系,确定要素的层次结构,这样就便于用数学方法从定性和定量的结合上研究、描述现实系统。系统审计比传统审计方法更能将分析和综合、归纳和演绎等方法有机地结合起来,因而为运用数理逻辑方法和计算机技术开辟广阔的道路。
系统审计论文范文第2篇
20世纪60年代,随着计算机技术开始运用于企业的信息收集和整理中,会计信息处理逐渐无纸化,促使审计人员在执行传统审计业务时,必须关注以电子数据为载体的电子数据处理审计。20世纪70年代中期至80年代,电子数据处理和管理系统等在企业中逐渐普及,同时,计算机犯罪和计算机系统失效的事件频频发生,使得信息系统审计日益得到重视并迅速发展。美国、日本先后成立了IT审计方面的协会组织,从事对IT审计规则的制定和实施指导。20世纪90年代,信息和信息系统已成为企业的重要资产,企业和社会对信息系统控制和审计的需求愈发强烈。发达国家的信息系统审计进入普及期,许多国家的审计机关、学者和组织对计算机环境下的信息系统审计进行了有益的探索。同时,东南亚各国也逐渐认识到信息系统审计的重要性,开始着手研究信息系统审计理论和实务。
目前,我国信息系统审计仅有十几年的历史,尚处于探索阶段,既缺乏开展信息系统审计业务的人才队伍,也没有形成专业规范体系,所进行的一些计算机审计方面的探索和尝试以及计算机审计软件的开发和应用还大都停留在对被审计单位电子数据进行处理的阶段。存在的主要问题有:信息系统审计观念落后;信息系统审计相关的准则、标准和规范尚不完善;信息系统审计专业人才匮乏;信息系统审计软件开发工作滞后。1997年,广州地铁开始公司“信息化”建设。最初,广州地铁经营审计采用“绕过计算机审计”的方法,即对导出数据进行审计。审计过程中,其逐渐意识到了运用这种“黑箱原理”审计方法的风险。因此,2006年公司组建了专门的IT审计模块,探索“如何利用计算机审计”和“通过计算机审计”。其后,广州地铁信息系统审计发展经历了借力、助力和自立三个阶段。一是借力期:IT审计模块成立初期,公司与外部顾问共同开展IT审计项目,通过外部专业人员向审计人员传输IT审计技能,同时制定《IT审计实施细则》,在人员技能储备和制度上为IT审计模块的发展奠定了基础。二是助力期:审计人员参照审计手册,利用从外部顾问处学习到的审计技能,逐步开展信息系统审计工作,将IT审计工作模式调整为以自身力量为主,外部咨询服务为辅的模式。三是自立期:2009年,广州地铁IT审计已基本实现自主化,且IT审计模块逐步走向成熟,同时其还建立了具有自身特色的信息系统审计框架。目前,IT审计已经发展成为广州地铁内部审计的一根“支柱”,连同“内控审计”,作为基本的审计手段贯穿于各类专业审计工作中,支持审计体系的巩固与发展。
二、信息系统审计内容
1、国内外关于信息系统审计内容的研究
开展信息系统审计首先要明确审计内容。国际信息系统审计协会规定,信息系统审计的主要内容包括信息系统程序审计、信息技术(IT)治理、系统生命周期管理、IT服务的交付与支持、信息资产的保护、灾难恢复和业务连续性计划。近十几年来,国内的学者和组织也对信息系统审计的内容进行了探索和研究。审计署在2012年颁布的《信息系统审计指南———计算机审计实务公告第34号》中明确提出了:信息系统审计包括对应用控制、一般控制和项目管理的审计。其中,应用控制包括信息系统业务流程,数据输入、处理和输出的控制,信息共享和业务协同;一般控制包括信息系统总体控制、信息安全技术控制、信息安全管理控制;项目管理包括信息系统建设的经济性、信息系统建设管理、信息系统绩效。上述具有代表性的规定和研究成果对信息系统审计内容的划分,均是以对信息系统逻辑结构的分析为基础。全面分析信息系统的逻辑结构,可从信息系统的构成要素、信息系统生命周期和信息系统管理三个维度进行描述:从构成要素来看,信息系统由人员、应用(包括软件平台和应用系统)、所采用的技术、硬件设备、数据文件运行规则组成;信息系统生命周期可划分为信息系统的规划阶段、开发阶段、运行维护阶段和更新阶段;从信息系统管理的维度来看,对系统的管理与控制活动贯穿于信息系统生命周期的始终,主要是通过有效执行一系列健全有效的规章制度和管理规程来实现。
2、广州地铁信息系统审计实施框架
结合广州地铁信息化项目多、系统更新快、数据集成度高、系统控制与手工控制并重等特点,围绕信息系统构成要素、信息系统生命周期和信息系统管理三个维度,广州地铁将信息系统审计的内容划分为整体计算机控制审计、应用控制审计和系统建设效能评价三个方面。其中,整体计算机控制审计是对信息系统运行中的控制活动进行审计,目的是合理保证由信息系统支持的业务流程控制是可靠的、生成的数据和报告是可信的。应用系统控制审计是对业务流程中的自动化控制活动进行审计,以合理保证交易的有效性、经适当授权和记录、完成的完整性、准确性和及时性。项目及系统绩效审计是对信息化项目的过程及成果对企业和业务产生的效益进行审计,用来合理保证信息化项目的投资/产出比例符合建设的目标,以及信息系统对企业战略起到的预期的支撑作用。围绕上述三个方面,广州地铁内部审计确立了以下的实施框架。
(1)确立整体计算机控制安全、操作、变更的三个评价维度,围绕“信息系统全生命周期”,明确整体计算机控制十个流程。
广州地铁通过学习和借鉴国际信息系统技术管理和控制标准COBIT,建立起了一套自己的整体计算机控制审计框架。框架可按流程和控制类型两种方式进行划分,两种划分方式在本质上是一致的。在按流程划分出的每个子流程中,信息系统审计人员需要从变更、安全、操作的角度去确认和评估具体的控制点;在按控制职能所作的划分中,审计人员需要围绕信息系统的策略与计划、信息系统操作、与外部供应商关系、业务可持续计划、应用系统开发、数据库、软件支持、网络、硬件等十个子流程进行审计。围绕安全、变更、操作三个角度及十个子流程,广州地铁共梳理出有关整体计算机控制的41项审计内容,并针对每一项内容明确了控制目标和风险,建立起了一套完整的整体计算机控制矩阵。例如,信息系统策略和计划子流程中,广州地铁明确了整体计算机控制的三大目标———信息系统战略、规划和预算应与实际业务和战略目标保持一致,计算机处理环境应得到具有适当技能和经验的人员的充分支持和保证,以及计算机处理环境中的人员应接受适当的培训,审计人员在此基础上针对各控制目标,识别并归纳出广州地铁现行的9个控制活动。在具体开展信息系统整体计算机控制审计时,信息系统审计人员根据审计项目的特点和要求,选择需要评价的子流程,再对照子流程的控制活动进行评估及测试即可。
(2)从内部控制目标出发,将信息系统应用控制划分为访问控制、完整性控制及数据质量控制三大方面。
广州地铁将信息系统的应用控制划分为应用系统访问控制、流程和系统完整性控制以及数据质量控制三大类,并针对各类控制分别设计了不同的审计内容。一是应用系统授权访问控制审计包括对系统的认证方式、授权机制、权限的分配管理以及不相容职责分离在系统中的实现情况的审计,目的在于保证经过允许的人才能访问和操作系统。二是流程和系统完整性控制审计是对系统输入、处理、输出以及接口等各种系统运行规则的审计,用以保证所有经允许处理的数据均转换到介质上并被处理,且处理的结果可通过适当的方式加以输出,所有输入、转换、处理和输出均在正常的时间内准确地进行。三是数据质量控制审计则是指对信息系统中的数据的完整性、规范性和有效性所进行的审计,旨在保证所有系统的输出均反映为经批准的有效的经济业务,所有经过系统的数据真实、有效,且能满足企业各项业务的使用要求。
(3)围绕“信息化项目”和“信息系统”,综合评价信息化建设的效益。
在开展整体计算机控制审计和应用控制审计的基础上,广州地铁从企业经营和投资效益的视角出发,在信息系统审计中引入了3E审计的概念,尝试对信息系统建设项目的成效、建成后系统的应用效能以及信息化对战略的支撑效果进行审计。为了全面评价项目,广州地铁通常将对单个信息系统建设项目的合规性审计与项目效能审计结合在一起开展。一是信息系统建设成效审计旨在通过对系统建设全过程的审计,促进信息系统的建设规范性,提高信息系统建设的质量。二是信息系统应用效能审计包括对业务需求的实现情况、建成功能的使用情况的审计分析,以及对系统应用对业务管理规范化、标准化和精细化提升作用的综合评价,目的在于促进系统使用价值的最大化,减少系统建设的投资浪费。三是战略支撑效果审计是从支持战略实现的角度,评价信息系统的建设效益,保证信息化建设在符合业务管理要求的同时,符合公司战略的需要,支持公司战略的实现。
三、信息系统审计实施步骤
信息系统审计步骤(或流程),是审计工作从开始到结束的整个过程。信息系统审计流程一般可划分为四个阶段:计划阶段、实施阶段、报告阶段和后续阶段。计划阶段是信息系统审计流程的起点,此阶段的主要工作包括了解被审计系统的基本情况,初步评价被审计单位信息系统的内部控制和外部控制,识别重要性和编制审计计划。实施阶段是根据计划阶段确定的审计范围、重点、步骤和方法进行有针对性的取证、评价,并形成审计结论的过程。实施阶段是信息系统审计工作的核心,主要由符合性测试和实质性测试两个部分构成。在报告阶段,信息系统审计人员需运用专业判断,整理、评价收集到的审计证据,以经过核实的审计证据为依据,形成审计意见,出具审计报告。审计报告的出具并不意味着信息系统审计工作的终结。根据国际信息系统审计标准,信息系统审计人员对于系统中发现的重大问题和漏洞,需要对被审计单位所采取的纠正措施及其效果进行后续审计。审计人员需要将后续审计纳入计划,并安排必要的人员和时间进行后续审计。广州地铁IT审计模块成立之初,即明确了IT审计“对公司的系统流程与控制、项目进行审计”和“提供有益于增加公司价值的咨询服务”两项核心职责,并围绕公司战略,以“风险导向”、“服务战略”理念为指导,从信息系统审计战略规划和具体项目执行两个层面分别制定信息系统审计的流程。
1、以公司战略为导向,制定信息系统审计的战略规划
一直以来,广州地铁奉行“源于战略、服务于战略”的现代审计理念。这一理念主要体现在两个方面:一是在制定内审工作计划时,从公司战略出发,制定各个内审业务及各专业审计模块的战略,并以业务战略为指导,开展具体的审计工作;二是在开展审计项目的过程中,始终从保障公司战略执行的角度去发现问题、评价问题,提出整改意见和落实整改。信息系统审计的战略规划来源于公司的战略,以及以公司战略指导制定的公司信息系统战略规划和内部审计业务战略规划;同时还须结合公司信息化现状和IT审计模块定位,明确广州地铁IT审计发展战略目标。
2、通过风险评估,确定各信息系统风险等级,制定层次分明、重点突出的信息系统循环审计计划
为利用有限的审计资源掌握公司主要信息系统的建设、运营情况,保障信息资源的有效利用,降低公司信息系统的整体风险,广州地铁建立了一套“根据信息系统风险评级制定差异化的审计策略”。
(1)梳理信息系统脉络,全面掌握信息系统现状。
广州地铁结合信息系统规划、建设和运营的情况及系统分类梳理出被审计信息系统清单,并从系统构成要素的角度收集系统相关的信息。这些信息包括系统名称、功能模块、采用产品等基本信息,以及项目的建设信息、系统的使用状况和运维的基本情况。这些信息是风险评分的依据,也为后续开展具体审计工作时确定审计方案提供了指引。
(2)开展信息系统风险评级,制定风险导向型审计计划。
内审人员从通用风险、业务风险、项目风险、系统风险、数据风险和人员风险六大风险类别出发,全面识别信息系统各类构成要素中存在的风险;对信息系统进行风险评价,根据风险得分将信息系统按优先级分别划分为高、中、低三类。结合公司IT审计资源的情况,对优先等级高的系统采用三年一审策略,中等级系统5—6年一个审计周期,风险等级低的系统则根据需要安排审计。在此审计策略的基础上,再综合考虑公司业务的十大风险、领导关注事项、上一年度内控评价结果和审计项目成果、公司新一年的工作重点、公司信息系统的变动情况,并制定出本年度的信息系统审计计划。
3、以风险为导向,开展信息系统审计
在项目实施阶段,审计人员必须从公司整体信息系统控制环境和被审计系统的状况、流程与内部控制两个方面进一步收集被审计系统的相关资料,了解和确认被审计单位已建立的内部控制措施,并对这些控制措施的设计是否达到控制目标进行评估。
(1)以“轮流循环+以点带面”的方式开展整体计算机控制审计。
公司的信息化业务采用统一集中管理的模式,整体计算机控制对各个系统具有一定的通用性。因此,在实务操作中,广州地铁采用“以点带面”的策略,以单个信息系统整体计算机控制为切入点对整体计算机控制进行审计,评价整体信息系统的安全性;同时,考虑到信息系统在一定时间内相对稳定,因此在实施整体计算机控制审计时可采取轮流测试的方式,即每年从十个子流程中选取几个进行测试,经过一定周期后,完成对整体计算机控制的全面审计。例如,在2011年开展的信息安全审计项目中,审计人员就围绕信息安全这个审计主题,从十个子流程中选取了与信息安全直接相关的信息系统操作、信息系统安全、业务可持续计划、应用系统开发与实施、数据库开发与实施和系统软件支持等六个流程进行审计。分步、循环开展整体计算机审计,在审计风险可控的情况下,大大节省了审计资源,也使得审计人员能够更加深入地挖掘和分析整体计算机控制方面所存在问题以及问题的成因,提出更为切实可行、同时又符合公司信息化业务发展现状和要求的整改措施。
(2)以风险为着眼点,确定应用控制审计重点。
应用控制是各个信息系统内部所建立的控制机制,应用控制审计必须针对某个具体信息系统开展。在开展应用控制审计的过程中,审计人员应紧紧围绕“风险”这个着眼点,通过对原有业务成熟度和系统建设过程中风险的评估,选择不同的审计侧重点开展应用控制审计。例如,在合同管理系统审计项目中,由于合同管理系统是全新开发的系统,审计人员经分析,判定系统在应用系统访问控制方面的风险较高。而在进行控制评估和测试后,审计人员发现业务人员在创建系统权限设置机制时完全套用了公司办公自动化系统的权限机制,而未针对合同业务流程中不同于公司组织架构下的角色设立相应的用户组,导致系统无法实现合同经办人与审批人职责的分离,存在重大的内控风险。
四、信息系统审计方法
在信息系统审计中,可因地制宜,综合运用多种学科的技术方法,包括:传统审计中内部控制测评的基本方法和审计取证的基本方法(包括审阅、核对、监盘、观察、查询、函证、计算、分析性复核);计算机科学的技术方法,如数据测试法、程序编码审查法、受控处理法、受控再处理法、整体测试法、平行模拟法、程序比较法、漏洞扫描、入侵检测、嵌入审计程序法等等;行为科学的技术方法,如运用组织发展的理论与方法、个体行为一般规律的理论和方法。这些方法与技术并不是孤立的,而是互相联系的。目前,广州地铁在信息系统审计中所运用的方法仍主要集中在传统的内控审计方法和信息系统管理的技术方法两个领域,具体包括询问、观察、文件复核、抽样、重新执行、使用计算机辅助软件等。在部分项目中,也采用了一些计算机科学的技术方法。受限于审计资源不足,广州地铁较少采用程序比较法、平行模拟法、程序编码审查法等高成本的审计方法,而倾向于选用一些较为高效的测试方法。但这些高效方法的运用不能完全消除审计风险,这就需要审计人员根据自身的经验尽量避免。
1、传统审计方法的运用
广州地铁在开展信息系统审计过程中较多运用传统审计的方法。例如,在对信息系统整体计算机控制进行审计时,通过对系统使用人员的访谈、调研和对系统各项操作的观察,梳理出整体计算机控制相关的各种控制活动。在没有测试环境的情况下对生产在用信息系统的人机交互界面和功能进行调查和确认时,审计人员大量运用了观察的方法。在对固定资产信息系统模块进行审计中,审计人员通过观察物资采购人员、资产管理人员、会计核算人员在系统中的操作界面、系统实现效果以及业务操作流程来了解系统功能的构造。发现采购中的供应商信息在跨系统流程过程中丢失,导致财务系统和实物管理的MAXIMO系统的资产台账中均缺少供应商信息,致使日后采购同类物资时,采购人员无法获取历史采购信息作为参考,增加了市场调研成本。除内控矩阵和访谈、观察等方法之外,编制流程图、数据流图和报表流图也是信息系统审计经常使用的方法。
2、计算机科学技术方法的运用
计算机科学技术方法是信息系统审计特有的方法,来源于IT行业的信息技术的转换应用,主要包括基于数据分析的方法和基于程序分析的方法,这些方法的综合使用使得对信息系统的审计更加有效。具体方法的选用需视被审计系统的实际情况而定。在一个审计项目中,广州地铁审计人员经常将多种方法结合使用。例如,在票务收入系统审计项目中,审计人员首先采用数据测试法,使用正常及非正常的测试地铁票搭乘地铁,在系统中跟踪测试票的处理情况,以验证系统处理与控制功能是否均有效;在对系统中后期内部开发的车站单程票售卖功能进行审计时,审计人员采用了程序编码审查法,对系统的源程序编码进行审查,审查后发现单程票售卖金额统计报表在进行数据处理时省略了小数点后的尾数,导致报表金额存在偏差;在对票务系统的清分报表进行验证时,审计人员又采用了平行模拟法,抽取系统中一段时间内的正式交易记录,在系统外模拟系统的处理规则对交易记录进行处理,并将处理结果与系统的报表数据进行核对,结果发现系统在数据传递和处理过程中,由于系统对于异常数据的审核过于严格,导致部分正常数据被当作垃圾数据丢进异常库,给公司造成票务损失。
3、计算机辅助审计软件的应用
计算机辅助审计软件的应用是信息系统审计的一个显著特点,也是审计人员准备阶段需要重点关注的问题之一。目前,广州地铁对计算机辅助审计软件的应用主要体现在以下两个方面。
(1)对系统中数据的准确性、完整性和一致性的检查。
例如,在合同管理系统审计项目中,为核对系统接口程序的可靠性,审计人员利用审计辅助软件快速完成了对合同系统和财务系统数据一致性的核对,迅速查找出两个系统中不一致的数据。经过深入分析,审计人员发现由于财务核算人员在财务系统中复核合同支付数据时发现错误,将支付申请退回给合同系统再由合同经办人重新填报时,合同系统未对已生成的支付信息进行更新,导致上述问题的出现。针对海量数据处理系统,数据验证是审计的重点,计算机辅助软件是“不可或缺”的审计工具。在地铁票务收入保障审计项目中,审计人需要通过数据验证的方式对业务处理的核心系统———自动售检票(AFC)系统中的系统传输和处理机制进行验证。为此,审计人员共设计了8大类29子类47个数据验证主题。审计时,审计人员运用计算机辅助审计技术,在两个月内完成了对AFC系统中10天总计超过3亿条运营数据的验证工作。
(2)利用计算机辅助软件进行对比测试。
即审计人员从信息系统中抽取某部门样本数据,将样本数据输入到与计算机辅助软件中进行处理,把审计软件输出的结果与业务系统产生的结果进行对比分析,以判定业务系统的可靠性与准确性。广州地铁在已开展的运营票务收入保障审计项目中大量地使用了此种方式。审计人员将各车站站务人员在票务系统中录入的售票数据导入到计算机辅助软件中,按照业务规则对数据进行处理,将处理结果和系统输出的结果进行对比。经对比,审计人员发现票务系统在处理异常数据时过于严格,导致部分非异常数据被系统当作异常数据丢入异常库中,给公司造成票务损失。
4、信息系统审计与业务内控审计相结合
系统审计论文范文第3篇
信息系统审计对审计人员的素质要求较高,既需要熟悉计算机技术,同时又要精通人民银行各项业务。目前,从现有的人民银行内审人员构成来看,具有计算机专业背景人员较少,从而制约了信息系统审计开展的深度和广度。尤其是中心支行这一级,大部分单位缺少信息技术审计人员,即使有在数量上也很少,难以独立开展高质量的信息技术审计项目。
二、转型环境下提高基层人民银行信息系统审计水平的对策
(一)创新审计流程,强化信息系统事前和事中审计。信息系统审计是以保证计算机信息系统安全平稳运行,有效控制风险为目标的,如果仅从合规性的角度进行信息系统审计,无法达到上述目标,因此,开展信息系统审计的目的不仅要善于发现问题,有效防范已暴露的风险,更要分析化解潜在的风险,以提高审计效果。这就要求我们要创新审计流程,改变传统审计方法,采用“参与式”的审计方式,加强与科技等部门的沟通交流,重视事前与事中审计。一要完善沟通机制。科技与系统应用部门应及时将制定的有关制度、操作规程、系统运行中的事故情况、解决措施、处理结果发送给内审部门;内审部门应就审计系统时发现的问题,及时向科技和系统应用部门进行通报和反馈,并与他们定期或不定期地磋商、交流,了解各业务系统运行情况,更好地发挥信息系统审计的作用。二要组织审计人员参与新系统的开发、评估,并设计满足审计业务需要的功能,真正做到对信息系统的事前和事中审计。三是在审计过程中采用“参与式”审计方法,参与信息系统审计目标、内容、计划的制订,参与审计中发现问题的分析、讨论,参与信息系统风险的评估及改进措施的制订等。
(二)确立风险导向审计,从风险管理的视角推动信息系统审计。对信息系统的审计,往往需要对信息系统的潜在风险进行分析评估,这就需要引入风险导向审计。风险导向审计的重点是分析评估系统固有、控制和检查三类风险。即:评估分析计算机系统本身存在的脆弱性,如容易感染病毒、易受到侵害、攻击以及软件、硬件、网络方面出现的故障等;分析评估系统操作人员没有按照内控制度的要求进行操作,而又没有被内控防止或者纠正的可能性;分析评估审计人员没有进行实质性测试而不能发生被审计单位差错的可能性。通过风险分析评估,量化各类风险的大小,从而把审计资源集中到高风险的审计领域,以最大限度降低信息系统审计风险,提高信息系统审计的质量。
系统审计论文范文第4篇
关键词 Web;科研信息;管理平台
中图分类号G31 文献标识码A 文章编号 1674-6708(2011)48-0198-02
0 引言
科研项目申报与科研成果的统计、管理师高校科研管理工作的重要内容之一,也是高校科研处日常工作的重要组成部分。做好科研项目申报、科研成果统计,使之达到准确、高效的水平,是高校科研管理部门始终关注和追求的目标。
随着信息技术的发展,由于各高校科研项目、科研成果、科研经费的不断增多,科研管理的信息量也日益增大。各高校纷纷摒弃了传统的手工管理模式,进而建立了基于WEB的科研管理系统,以提高工作效率。笔者在本单位的科研管理系统的开发过程中,根据本单位的实际情况,引入了论文提交审核、项目预申报2个子系统的开发,使用的实践证明,效果良好,解决了实际工作中长期存在的问题,具有一定现实意义。
1 系统需求分析
1.1论文提交审核需求
论文是科学研究的重要成果之一,其数量和质量也是衡量高校科研水平的重要指标之一,因此论文的统计和审核是高校科研处的重要工作之一,为此,一般的科研管理系统均包含此功能。
论文的提交和审核,过去一般由作者提交论文纸质复印件,科研处汇总后,逐一审核(包括是否属SCI、EI收录、是否属中文核心期刊发表、数否属非法期刊发表等),再由科研处人员逐一录入。许多高校由于实行高级别论文的奖励政策,使得科研处在该项工作中尤其不敢掉以轻心,稍有疏忽,即容易引发投诉和矛盾。在论文数量大、科研处人员少的院校尤其如此。因此,科研管理系统若只承担录入、存储且辅之以统计查询的作用是不够的。
高校图书馆在论文的甄别工作上具有得天独厚的条件,应充分发挥图书馆功能之所长,在系统中专门开辟一个审核模块归之使用,从而避免科研处在论文甄别上的尴尬与被动。
论文的提交可由作者纸质提交改为自行登入系统录入。图书馆审核后,其数据不允许再修改。此举有2个优点:其一,减少纸张使用,低碳环保从日常的工作中开始;其二,审核结果权威性增强,减少争议。
1.2 项目预申报需求
笔者从事科研项目申报工作多年,学校规定的项目申报截止日到后,个别教师仍提交申报书的情况时有发生。其原因有多方面,申报期内教学工作繁忙、外出公干等。在科研管理系统中加入预申报模块,可以有效地减少逾期申报的情况发生。
其做法为,科研处每次项目申报通知发出后,即在通知后面链接项目预申报模块,教师浏览完申报通知后,有意申报者即可进入项目预申报子系统,进行申报登记。科研处在受理申报材料截止日的前三天,可以根据目前所收材料的情况与项目预申报子系统内的登记情况进行对比,对尚未交材料者进行提醒和督促。该系统投入使用后,逾期申报的情况大幅减少。保证了申报工作的顺利进行。
2 系统结构设计
2.1系统体系结构设计
通过以上需求分析,针对本校科研管理业务流程的实际需求,本系统采用了多层B/S(Browser/Server)模式体系结构。B/S模式是Web兴起后的一种网络结构模式,WEB浏览器是客户端最主要的应用软件。这种模式统一了客户端,将系统功能实现的核心部分集中到服务器上,简化了系统的开发、维护和使用。本系统采用.NET框架支持下的n层分布式体系结构,使系统具有良好的可操作性和可维护性。
2.2 系统业务流程设计
论文提交审核流程设计
3 系统安全性设计
系统的安全性问题是本系统设计需要考虑的重要方面,除了它关系到整个系统的实用性和可靠性,更重要的是图书馆对数据库中论文审核的结论具有权威性和不可更改性,因此,本系统除了使用通信协议提供的功能完成连接和验证省份外,在应用程序和数据库中还对用户访问权限进行了分配和限制,从而确保数据库中的数据信息部不被非法泄露和修改。
用户的权限主要按用户使用性质进行分配,其中包括:教师角色用户(即有科研信息的用户)、人事处用户(专门负责教师基本信息的录入、修改、删除)、科技处用户、图书馆用户(负责论文审核)、财务处用户(负责科研经费的录入、修改、删除)、部门领导查询用户(只限于对本部门的科研信息、汇总信息进行查询)、院领导查询用户(可对全院科研信息、汇总信息进行查询)。
4 结论及应用效果
本系统于2009年10月正式投入使用,运行效果良好,它的多级用户权限管理、分布式实时查询等特点进一步增强了系统的通用性、可操作性和安全性,达到原设计目标。通过该系统的使用,实现了论文审核过程的无纸化提交,同时引入图书馆作为一个用户,解决了论文甄别问题上的难题,加强了论文审核环节的可靠性与准确性。在项目申报方面,该系统能提前让科研处掌握参加申报的人员数量及其姓名,便以及时做好提交申报材料的提醒和督促工作,保证申报工作的顺利完成。
参考文献
系统审计论文范文第5篇
[关键词] 知情同意;伦理审查;问题和对策
[中图分类号] R197.32 [文献标识码] A [文章编号] 1674-4721(2016)03(b)-0176-04
Ethics Committee,Teaching Hospital of Chengdu University of TCM,Chengdu 610072,Chinarights consciousness,informed consent has become the major premise of clinical trial and is getting more and more attention from clinical research management department,researcher and the public.Ethical review and informed consent are main measure to guarantee the rights and interests of the subjects,and informed consent form is an important content to be reviewed by the ethics committee.At present,although national regulatory documents have requirements on informed consent and its acquisition process,there are many problems in the conveyed information,acquisition process,and ethical review of informed consent in clinical research. This study aimed at the problems found in the work to carry on the thorough analysis and put forward the improvement suggestion.
[Key words] Informed consent;Ethical review;Problem and countermeasure
随着医学研究的发展和人权意识的提高,知情同意(informed consent)成为临床试验的重要前提,并越来越受到临床研究的管理部门、研究者及社会公众的重视[1]。伦理审查与知情同意是保障受试者权益的主要措施。我国很多医疗机构也相继成立了伦理委员会[2-4],其主要是针对临床试验项目中的伦理问题进行审查和履行保护受试者安全和权益的职责。知情同意书(informed consent form)是伦理委员会审查的重点内容之一,是指每一位受试者表示自愿参加某一试验的文件证明。知情同意是指向受试者告知一项试验的各方面情况后,受试者自愿确认其同意参加该项临床试验的过程,须以签名和注明日期的知情同意书作为文件证明[5]。知情同意是人体生物医学研究的主要伦理要求之一,国外已开展了相关的深入研究[6-8],然而国内还处于起步和发展阶段[9]。临床研究工作的现状与获取受试者知情同意在一定程度上存在矛盾,这将会给临床研究工作增添更多困难,但有效推进却能给研究者和受试者降低风险,同时可以避免一些医疗纠纷,因此,如何在临床试验中平衡双方的风险和受益,将是临床试验伦理委员会审查工作中所面临的一个重要挑战。在知情同意书中,研究者需向受试者详细说明试验性质、试验目的、可能的受益和风险、可供选用的其他治疗方法以及符合《赫尔辛基宣言》规定的受试者的权利和义务等,同时受试者充分了解后表达其同意。知情同意书是用签字的书面形式获得同意的法律文件,通过知情同意这个过程可以让受试者全面了解研究者所采取的医疗干预措施以及其所参与的整个临床试验过程,受试者自愿地表达同意参加并签字确认[10],这个过程充分体现了对受试者的尊重。本文将从研究者、受试者、伦理委员会和国家法规政策4个方面来分析临床研究知情同意存在的问题,并提出一些建议供同道参考。
1 问题分析
1.1 研究者方面
1.1.1 目前很多临床试验使用的知情同意书存在撰写内容不完整、不规范的情况 一些知情同意书缺少阳性药物、器械的风险信息,发生与试验相关的损害时可获得的治疗或赔偿没有实质性的内容[11]。很多临床试验机构或者伦理委员会都向研究者提供知情同意书模板,此类知情同意书一般要素比较齐全,但是不乏有研究者以为模版是万能的,疏于仔细阅读,导致张冠李戴。知情同意书的撰写是知情同意的第一环,应该被重视。
1.1.2 研究者在实施研究的过程中告知的信息过少 多数研究者认为告知的信息越完整受试者的纳入越困难,误认为遵循知情同意原则是开展试验的阻碍,为了推进临床试验工作进度,主观上不积极履行充分告知的义务,例如:未告知受试者可选择的其他治疗方法以及临床研究与临床诊疗的区别;未告知受试者可能被分配到不同的组别;夸大药物临床研究对受试者的益处,有的研究者只告知受试者可以免费检查免费吃药,并没有说明是研究性质,以为如实告知受试者,多数人不能接受,研究将无法进行;告知语言中包含专业术语却未作解释,不便于受试者理解;未充分告知可能出现的不良反应及其处理方式;未告知有关试验的新进展和新发现,影响受试者作出继续参加或退出试验的决策等。
1.1.3 获取知情同意的过程也存在诸多问题 研究者多以取得受试者的签字为目的,并没有详细向受试者解释知情同意书的内容;也没有给予受试者充足的时间考虑和商量;有的甚至没有将知情同意书的副本交给受试者;知情同意书签署不规范,只签名不注明日期、不留联系电话等。
1.2 受试者方面
对参加临床试验没有客观和全面的认识,对知情同意权存在理解上的误区,造成两极分化严重。一方面,有的受试者在得知药物临床研究相关信息后,因为药物疗效和安全性尚未确定,以为研究者拿自己当试验品,生命健康得不到保障,自身疾病也可能因参与临床研究而错过最佳的治疗机会,拒绝签署知情同意书[12]。另一方面,有的受试者为了得到免费检查/治疗/补偿等眼前利益而盲目参加试验;有的受试者完全信任和依赖研究者,片面地认为研究者为其选择的器械/药物是最好的,导致知情同意过程形式化[13]。
1.3 伦理委员会方面
伦理委员会在临床研究过程中常常处于两难的境地,不仅肩负着维护受试者权益的重大责任,而且不能阻碍医学研究的发展。
伦理委员会按照审查要点进行审查[14-15],知情同意书审查要点多数是借鉴国外的各种指南,但有的条款不切合我国的实际情况而难以严格执行:①审查要素要求知情同意书说明发生与试验相关的伤害事件,受试者可获得的补偿和(或)治疗,而实际中知情同意书中往往只笼统地写了“如发生与试验相关的严重不良事件,申办方将给予相应的补偿”,到底怎么补偿、补偿标准怎么计算、补偿的程序是怎样都不清楚,使其成为套话。对受试者损害进行相应的补偿是伦理原则的必然要求,目前我国这方面的工作存在很大缺口,受试者在临床试验中受到损害,不知向谁追究赔偿责任,受试者赔偿权往往难以落实到位。②审查要素要求知情同意书说明对受试者参加研究所预定的、按比例支付的补偿,实际中大部分知情同意书描述为“如果您完成整个试验,可获得一定的交通补偿”,并没有明确写出补偿的具体金额,也没有按比例支付给受试者,而是受试者做完整个试验,在最后一次访视的时候发给受试者,此种做法的出发点是希望受试者完成整个试验,降低失访率,但是显然不符合伦理审查的要求。③是否将补偿金额写进知情同意书中存在争议,大部分研究者认为写进去有诱导嫌疑,而很多参加伦理审查工作的委员则认为金额应该明确,而且应该是按比例支付。遇到这种情况的时候,伦理委员会无法严格按照审查要素执行,因为每项试验的具体情况不同,新药临床试验一般有申办方给予资金支持,而临床科研课题级别不同,课题经费相差可能很大,很多时候存在经费不足的情况。
知情同意过程是比较难以审查和控制的,比如审查要素包括招募受试者过程没有胁迫和不正当的影响、获得知情同意签字前,受试者有足够的时间和机会询问有关研究的细节、受试者提出的所有与试验相关的问题均应得到令其满意的答复等。在研究实施之前,伦理委员会很难预测和评估一项研究能否达到这个标准,即使在研究过程中派人进行实地访查,现场确认获取知情同意的过程是否符合要求,也是难以实现的,伦理委员会没有行政执行力,且委员均是兼职人员,实地访查目前在很多机构没有形成常规访查制度,这也是一项耗时耗力且容易导致伦理委员会与研究者关系紧张的工作。
1.4 国家法规政策方面
2010年7月1日起实施的《侵权责任法》规定在诊疗活动中侵犯知情同意权,医疗机构应承担民事责任,保障了患者的权益,而《执业医师法》《侵权责任法》等主要是针对临床诊疗的规范,少有涉及临床研究的知情同意问题,且其告知对象不统一。
临床研究遵循的部门规章包括国家食品药品监督管理局颁布的《药物临床试验质量管理规范(GCP)》(2003年)、《药物临床试验伦理审查工作指导原则》(2010年)、原卫生部颁布的《涉及人的生物医学研究伦理审查办法(试行)》(2007年)、国家中医药管理局颁布的《中医药临床研究伦理审查管理规范》(2010年),这些文件中对知情同意书和知情同意书的获取均有要求。GCP中要求研究者或其指定的代表必须向受试者说明有关临床试验的详细情况,经充分和详细解释试验的情况后征得受试者的同意并签字确认(对无行为能力或者儿童作为受试者,须其法定人签字同意),同时执行知情同意过程的研究者也需在知情同意书上签字,然而告知对象概念模糊,在实践中容易导致界定不清;告知的方式、告知的时间和地点、告知的环境等对于切实保护受试者的知情权和隐私权也很重要,各项法规文件都缺乏告知方式的具体规定;受试者、研究者、申办者、医疗机构之间的责任划分尚不明确和详尽;对于一些特殊情况还缺乏相关解决的措施,比如当发生受试者人身损害事实而研究各方均无过错时,如何界定责任[16]。
2 建议与对策
2.1 研究者方面
①研究者应从思想上重视研究工作中的伦理问题,切实承担起研究者的职责,严格按照方案和伦理学要求开展研究;②开展研究前,申办者和主要研究者应就研究实施中可能遇到的问题和需要注意的事项对研究者进行系统全面的培训。
在一些条件具备的大型研究型医院中,可以配备专门研究人员从事临床研究工作,或者为研究者配备研究助手,这些人员应掌握临床研究方法、伦理学等方面的知识,熟悉国家相关政策法规,并严格遵照执行,这是因为我国的临床研究基本都是临床一线医生担任研究者,本身医疗工作繁忙,医生精力有限。医生和专业研究人员相互配合的团队将更有利。
2.2 受试者方面
有待整体受试者群体素质的提升,研究机构和研究人员可以对受试者及潜在受试者进行培训和交流,提升受试者参与研究的意识,使受试者对临床研究有一个科学和客观的认识,既不武断地抵制也不盲从地参加临床研究;受试者可以向伦理委员会查阅以往资料和数据;受试者也应向研究者和伦理委员会反馈相关的情况。
2.3伦理委员会方面
伦理委员会在临床研究过程中需肩负着维护受试者权益的重大责任,同时应采取一些相关措施促进医学研究的发展,因此提高伦理审查质量尤其重要,伦理委员会委员应该具备临床研究伦理相关的知识,并不断接受新的培训,对研究者和受试者各方情况需有所了解,同时对知情同意进行实质审查而不是形式审查;伦理委员会也应在研究过程中对研究者和受试者进行跟踪和调查,总结分析,并信息化和数字化处理研究过程中的伦理问题[17]。
2.4 国家政策法规层面
不少国家已经颁布了专门的法律规范研究行为,法国颁布了《生命伦理法》,美国《联邦法典》也有关于受试者保护方面的法律[18]。我们应在学习和借鉴国外成熟经验的基础上,将临床研究知情同意上升到法律层面,制定切实可行的法律,对于违反规定的情形制定明确的责任主体和处罚措施,必然能显著提高贯彻和落实的依从性;明确损害归责问题,建立政府强制补偿机制和自愿补偿机制[19];还应制定统一的知情告知信息要素标准,这是整体提高知情同意书撰写质量的有效途径,避免各单位采用自己的模板,出现良莠不齐的情况。
3 小结
本文从研究者、受试者、伦理委员会和国家法规政策4个方面来分析临床研究知情同意存在的问题,并提出了相应对策。在各方都存在不足的情况,就需要各方同步改进。临床研究各个环节的相关人员应相互理解相互配合,共同努力。研究者撰写知情同意书时必须包含先行法规文件中知情同意的全部要素,既要全面又要具体明确,不能含糊其辞,获取知情同意的过程应规范;受试者需与研究者密切配合,并及时向研究者和伦理委员会等机构反映情况;国家亟需制定适应中国的法律和制度。
[参考文献]
[1] 李武.对患者知情同意权的再思考[J].医学与法学,2013, 5(6):24-27.
[2] 范让.浙江省医疗机构伦理委员会运行现状研究[D].杭州:浙江大学,2008.
[3] 张晶晶,杨文燕,甄天民,等.山东省医疗机构医学伦理委员会运行现状调查[J].医学与哲学,2014,35(10A):36-40.
[4] 伍龙.广西南宁市三甲医院伦理委员会运行现状及对策研究[D].南宁:广西医科大学,2014.
[5] 国家食品药品监督管理局.药物临床试验质量管理规范[Z].2003.
[6] Flory J,Emanuel E.Interventions to improve research participants′ understanding in informed consent for research:a systematic review[J].JAMA,2004,292(13):1593-1601.
[7] Faden RR,Beauchamp TL.A history and theory of informed consent[M].New York:Oxford University Press,1986:chap 5-9.
[8] O′Neill O.Some limits of informed consent[J].J Med Ethics,2003,29(1):4-7.
[9] 张淼.我国医院伦理委员会的作用研究[D].石家庄:河北经贸大学,2015.
[10] 杜彦萍,杨忠奇,汪朝晖.对药物临床试验知情同意的解析[J].中医药管理杂志,2011,19(7):623-624.
[11] 孙丽丽,李军,王燕.知情同意书在临床应用中存在的问题及对策建议[J].医学与法学,2014,6(2): 41-43.
[12] 杜治政.医学伦理学探析[M].郑州:河南医科大学出版社,2000:138-142.
[13] 杨春梅,袁丹江.医疗器械临床试验中知情同意常见的问题与对策[J].中国医疗设备,2015,30(6):148-150.
[14] 熊宁宁,李昱,王思成,等.伦理委员会制度与操作规程[M].北京:科学出版社,2014:184-195.
[15] 熊宁宁,刘海涛,李昱,等.涉及人的生物医学研究伦理审查指南[M].北京:科学出版社,2015:26-30.
[16] 邵蓉,张h,魏巍.药物临床研究受试者知情同意权法律保护之探析[J].上海医药,2011,32(8):409-412.
[17] 田冬霞.刍议伦理审查委员会网络的建构-教育、研究交流、自评、信息公开与公众参与的整合[J].卫生软科学,2011,25(6):403-405.
