万方期刊网,快速职称论文发表权威机构

  • 热门搜索:
  • 体育论文 音乐论文 教育论文
您的位置:首页 > 万方期刊网 > 论文分类> 石化企业开展IT审计的难点及对策

石化企业开展IT审计的难点及对策

来源:万方期刊网  时间:2014-08-15 15:13:10  点击:

作者:刘彦军


【摘要】随着信息技术的推广使用,信息系统对企业业务运作发挥着越来越重要的作用,但同时也带来了很多负面影响,使企业面临巨大风险。本文结合中石化内部审计开展IT审计实务工作情况,围绕当前IT审计中存在难点,提出应采取的应对措施,以不断适应审计工作的创新发展思路。
【关键词】 IT审计;难点;对策
 

近年来,随着信息化浪潮的汹涌而至,以软件、硬件、网络、通讯等为核心的IT技术已广泛应用于中石化企业各个部门,中石化全系统已普遍应用ERP管理系统,同时总部与各企业还开发资金集中管理系统、物流管理系统、客户管理系统、IC卡系统等许多信息管理系统,基本上涵盖了企业生产经营的各个方面。内部审计理论在IT环境下也发生了深刻的变化,其内涵及外延在深度和广度上处于变革时期,传统的内部审计技术与方法不能与时俱进,濒临落伍的状态。本文通过对石化企业IT审计的难点分析,提出开展IT审计需要采取的有效措施,以不断适应审计工作的创新发展需要。(万方期刊网)
一、石化企业开展IT审计的难点
中石化提出建立世界一流跨国能源化工公司的发展愿景,其内部审计部门倡导实现“国内领先,国际一流”的审计目标,结合工作实际,目前开展IT审计存在如下的难点:
(一)企业对IT审计的重要性认知不足
中石化实施ERP管理后,企业主营业务的核心流程全部通过集成的信息数据进行贯穿和衔接,有效堵塞了以前“人治为主”所存在的经营管理漏洞,增强了企业管理的科学性。在提升公司核心竞争力的同时,风险也越发突出。但集团总部及各企业普遍对信息系统管理存在的风险还缺乏足够的认识,更对实施IT审计防范信息系统管理风险还普遍认知不足。许多企业还存在对信息系统“重开发、轻管理”。
(二)IT审计还处在摸索和探索阶段
中石化全系统应用的信息多达几十种,目前除了内部控制检查中开展对企业信息系统管理、ERP系统、应用系统以及基础设施IT控制进行检查评价外,实施的专项IT审计还非常少,对IT审计的内容、要求、程序和方法还缺少系统的意见。中石化各企业在实施审计项目过程中,大多应用审计信息管理、审计预警和SAP系统中AIS辅助审计查证系统。这些IT审计软件拓展了IT审计的应用范围,促进了IT审计的发展。但有些企业的审计部门未及时在线上传审计项目、或上传的信息内容不完整,甚至失真,影响IT审计工作的正常进行。(万方期刊网)
(三)IT审计人才还较为缺少。
复杂的ERP系统使得系统控制和审计人员必须具有相应的专业知识。但是,对于大型的ERP系统,几乎没有人能够对整个系统的功能和每个模块的特点有个全面的认识和理解。审计局审计体制改革后,增加一部分熟悉IT技术的专业人员,但还远远不能满足中石化目前IT审计业务开展的需要,也没有建立IT复合型人才培养机制,使现有审计人员IT技术得不到应有的提高。
二、IT审计工作的对策
针对石化企业开展IT审计面临的困难,结合已有的审计成果和经验,在以下几个方面采取有效措施:
(一)因地制宜抓落实,加强信息系统审计功效。
 1.加强IT系统内部控制审计。一是内部审计人员要熟悉被审单位计算机信息系统、业务软件及其相关运行情况。二是加强一般性控制审计。包括规章制度、网络安全软件和程序控制。三是加强应用性控制审计。
2.加强IT各项业务审计。一是关注系统数据转换环节。在企业的各类集成化系统中,业务管理系统与SAP系统之间的数据传递可以实时进行,也可以分批完成,极易出现数据不一致。如果业务系统与财务系统数据接口存在瑕疵,数据衔接不一致,会导致所有报表数据不真实。二是动态监控重要业务环节。在IT环境下,企业内部审计账务处理是实时进行的,同一时间可能有多个用户执行同一功能,甚至调用同一账户,但信息系统只记录最终的结果。因此,需要特别重点动态跟踪审计。三是监督管理信息部门人员。他们具有娴熟的信息系统操作能力,不但掌握企业管理业务而且精通计算机知识,对这些管理人员的职业道德、安全意识教育与监管显得尤为重要,为促进企业经营管理提供了保障。(万方期刊网)
(二)完善机制出人才,提升信息审计人才水平。
1.提升审计人员业务素质。一是要加强人才引进力度,逐步调整人员知识结构。要做到既“引人”又“引智”,既“引人”又“引技”。二是强化业务培训,提高人员素质。要全方位、多渠道、分层次有针对性地开展各种业务培训和理论研讨,有效解决内部审计人员“内在能力”不足的问题。三是加强人员交流,创新审计方式。尤其是要加强与信息专业人才的交流,把他们配置到适合的管理或主管岗位上,积极探索“多视角分析、多专业融合”的审计方式,加强审计人员的实践锻炼,不断提升计算机审计开发与运用水平。
2.创新应用IT审计技术。一是发挥IT审计决策作用。企业内部审计部门将审计通知书、实施方案、工作底稿、报告等文档全部电子化,审计工作从现场审计为主转变为以实时在线审计为主;通过网络实时抽取审计证据,编测试审查程序嵌入信息系统,预测审计结果,显现审计线索,由计算机辅助审计转变为IT审计的决策作用。二是引入审计数据的追溯功能。IT审计工作在于验证其结果的真实性与可靠性,以及相关业务与财务数据的安全性。三是综合运用多种审计方法。通常IT审计中的技术方法主要包括审计日志法、审计软件测试法、随机抽检法。审计日志法可以提高计算机系统的安全性,为以后的电算化审计留下线索。审计软件测试法可以将各种财务软件的电子账数据转换成该系统使用的电子数据库数据,从而解决计算机审计的通用性问题。随机抽检法可以应用审计预警系统不定期地从网络中下载数据进行审计,克服定期检查及数据更改的弊端,确保数据的真实可靠。(万方期刊网)
(三)提高认识防风险,提升信息审计管理水平。
1.运用联网机制。一是建立互动审计信息库。企业主要领导及审计人员可以通过网络实时查阅审计信息库,对企业生产经营的关键指标进行比较与分析,从而找寻本企业管理的薄弱环节。二是制定规范标准。石化企业管理部门应制定统一的标准,规范信息系统业务模型、基础数据和文档的标准化的应用要求,建立良好的IT审计环境。
2.防范IT审计风险。一是加强被审计单位的内部控制制度建设。信息系统运行的重要保障前提是相关内部控制制度的有效执行,只有这样审计风险水平才会可控。二是加强与数据库管理员的沟通交流。对信息系统审计某种程度上是对数据库管理员工作的检查,特别是对系统用户授权管理的审计,从系统中取得分析数据时,要通过数据库管理员获取有用的审计分析数据,避免因审计人员操作不当引起被审计单位信息系统瘫痪的重大风险。三是逐步建立IT审计规范。在不断探索IT审计的基础上,对IT审计的程序、内容和方法作出较为详细统一规定,便于审计人员在开展IT审计时遵照与执行,有利于形成依法依规的IT审计环境。(万方期刊网)
 

【参考文献】
[1] 清华大学出版社《计算机审计数据采集与分析技术》,2010
[2] 中国水利水电出版社《审计项目信息化管理研究》,2006
[3] 首都贸易大学《计算机辅助审计软件开发初探》,2003


体育论文由万方期刊网首发 

石化企业开展IT审计的难点及对策相关期刊: