澳大利亚的内部审计、计算机辅助审计及IT审计,本文主要内容关键词为:澳大利亚论文,内部审计论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
澳大利亚的内部审计
(一)概述
内部审计的概念很早就在澳大利亚得到普及,从20世纪20年代起,澳大利亚的一些企业中建立了内部审计机构,进行专职的内部审计工作。1941年国际内部审计师协会成立,对澳大利亚内部审计的发展起到了很大的作用。在澳大利亚,内部审计在企业中一般都居于比较高的地位,内部审计一般都向最高领导人报告,企业的主要负责人都给予强有力的支持。这成为内部审计发挥其独立性的和正常作用的一个前提条件。
(二)审计的工作范围
1.财务审计
财务审计是指获取和评估一个实体财务报告的证据,目的是为了对财务报告是否按照确定的财务报告架构进行编制发表意见。
2.遵循性审计
遵循性审计是指获取和评估财务报告的证据,以确定一个实体的某些财务和经营活动是否符合具体的条件、规定或规章制度。
3.绩效审计
绩效审计是指获取和评估一个实体经营活动的效率、经济性和有效性方面的证据,这些经济活动与具体目标相关。
4.IT审计
是指对企业的信息系统进行检查和验证,以确定该系统在安全、功能、风险等方面是否符合技术、制度和业务的要求。
(三)审计人员
参与经济活动审计的个人可以分为三类:独立审计师、内部审计人员、政府审计人员
1.独立审计师
进行财务报告审计、遵循性审计,为客户提供审计服务。独立审计师的特别之处在于:他们一般都在澳洲证券事务监察委员会(ASC)的公司审计师和清算人纪律惩戒委员会(CALDB)进行了注册。
2、内部审计人员
内部审计人员是指审计对象实体的雇员。他们将进行独立的评估活动,也就是通常所说的内部审计。内部审计帮助组织机构改进有效分配责任方面的管理。
3.政府审计人员
政府审计人员是各个地方,州和联邦政府机构的公务人员。他们负责进行综合的审计,审计的内容包括:财务报表审计、遵循性审计和绩效审计。
(四)审计规章及职业操守
1.制度法规
(1)准则制定:私营部门制定会计、审计、职业道德和质量控制方面的准则,管理会计师和执业实体的行为。
(2)企业的规章制度:每一个执业实体应当制定法规和程序,确保专业会计师能够遵守职业准则。
(3)自我约束:会计职业已经推行了一个综合的自我约束计划,其中包括强制的职业进修教育以及质量控制计划和专业审核项目。
(4)政府监管:只有注册会计师才能获得从事会计工作的许可,审计工作由澳大利亚证券委员会和法院监督和管理。
为了帮助执业实体提高服务质量,澳大利亚特许会计师协会和澳大利亚注册会计师协会发布了一系列与质量和准则相关的声明。
2.职业行为准则
(1)职业道德:职业道德是该行业对自愿接受职业行为准则的成员的要求,它比法律对职业行为准则的要求还要严格。当公共会计业务发生变化时,职业道德也会随着时间的变化而发展。
(2)基本原则:诚信、客观、独立、保密、技术标准、职业技能、遵守职业道德规范。
道德的成文法规:除了上面的七条原则,澳大利亚注册会计师协会在《职业行为准则》(Code of Professional Conduct)中还详细阐明了公共利益原则。
不成文法规定的审计责任:没有履行对原告的注意义务,审计中的玩忽职守或草率地发表审计意见,由于审计师的疏忽导致原告蒙受损失(损失可以量化)等都是审计人员的责任
(五)审计的一般步骤
1.制订审计方案
审计方案的步骤:
(1)了解企业/部门
(2)执行分析程序
(3)对重要性水平做出初步的判断
(4)考虑审计风险
(5)制定初步的审计策略
(6)了解部门内部控制结构
2.实施审计工作
(1)检查—实物资产和资料
(2)观察—查看某些活动
(3)确认—继续跟踪
(4)质询—口头或书面
(5)追踪—记帐过程中的原始资料
(6)核对—记录的分类帐目是否与要查询的资料一致
(六)风险导向审计
澳大利亚以风险为导向的审计是立足于对风险进行系统的分析和评价,并以此作为出发点,制定审计战略和与企业相适应的多样化的审计计划。
风险基础审计不仅要求审计人员要对控制风险进行评价,而且要对产生风险的各个环节进行评价,用以确定审计人员实质性测试的重点和测试水平,确定如何收集、收集多少,收集何种性质的证据。
内部审计人员的审计过程就是将风险因素进行评估。从而确定审计样本和规模数量,降低审计风险,控制审计质量。澳大利亚内部审计人员将以上风险因素按照事先设计的风险计算模型计算风险。
影响风险的主要因素包括:
1.企业所在行业因素:竞争程度、技术成长性、行业成长性、法律限制等;
2.企业所在地区因素:政治稳定性、贸易限制或外汇限制交通设施等;
3.员工、组织机构和经营方式因素:管理人员状况、复杂的组织机构、销售客户状况、秘密账户等;
4.营利和经营预测因素:销售和经营状况、产品状况、设备状况等;
5.资产因素:资产价值和适用性、安全措施等;
6.流动性因素:融资能力等;
7.未预备损失因素:担保、外汇风险、合同履行风险等。
(七)与审计有关的机构
专业会计协会的成立和财务审核的立法要求对审计工作在澳大利亚的发展起到了重要的推动作用。目前在澳洲负责公共会计职业的组织非常健全,这些机构也都与审计相关。主要有:
澳大利亚注册会计师协会(CPA Australia)、澳大利亚特许会计师协会(ICAA)、澳大利亚证券交易所(ASX)、澳大利亚会计研究基金会(AARF)、立法评审委员会(LRB)、审计准则委员会(AuSB)、紧急情况小组、澳大利亚会计准则委员会(AASB)、澳大利亚证券委员会(ASC)、澳大利亚公司审计师和清算师纪律委员会。
澳大利亚的计算机辅助审计及IT审计
(一)计算机辅助审计工具(CAAT)
审计软件系统——计算机辅助审计工具(CATT)的功能变得日益强大和先进,其在澳大利亚的应用也越来越普遍,所以这些工具的掌握和使用也变得更为容易。当然这些审计工具还必须适应一个复杂和不断变化的环境。目前CAAT在澳大利亚的主要应用是在报表审计、历史数据库审计和通过CAAT完成线索的查找和问题的验证等方面。
1.计算机辅助审计工具(CATT)的主要功能
(1)完成电子作业报告
CAAT提供了标准化的审计报表和审计格式,提高了审计的质量和一致性,另外集中化的审计文件和数据库内的存档作业报告功能可以使审计管理的协调工作变得更容易、管理效率更高。
(2)进行信息检索和分析搜索信息
以前,审计师通过交易抽样调查进行审计测试。而CAAT提供的自动信息检索和分析工具可以轻松访问所有记录。审计人员可以设置软件内与识别记录有关的参数
(3)进行金融和财务欺诈的侦测
软件提供的审计的工具还能够识别意外不明的欺诈信息。如在许多财务科目上软件能较容易地审计出许多问题。如应付帐款中的重复付款问题、费用报告有无虚拟供应商的问题、存货管理中的损失问题等。
(4)进行网络安全的检测
(5)进行电子商务和内部安全的控制
(6)满足持续监测的要求。
(7)在审计工作管理上
CAAT可以使已完成工作、采集的信息和审计评估之间自动实现连接。另外CAAT设有时间追踪器,可以记录审计师使用计算机的时间,并追踪完成单个项目所用的时间及记录。
2.与软件工具和技术相关的风险
(1)使用CAAT可能会非有意地弱化信息。
(2)软件存在局限性。一般情况下软件产品的供应商要不断负责解决此问题或提供补丁,直到下一版本的正式发行。
(二)IT安全审计的重点
虽然各个组织在最新的防火墙、入侵检测系统和其它先进的安全技术方面进行了大量投资,但是由于安全事件所带来的损失每年都在不断上升。而这些结果的出现不能完全归结为安全技术问题,用户缺乏安全意识也是其中的一个原因。对于一般企业来说,进行IT安全的审计是IT审计的重点。
以下是进行IT安全审计时应重点加以考虑的问题:
1.企业是否有确定的一位执行主管
确定执行主管(通常是指一位高级管理人员或副总裁)有助于支持公司的战略性安全计划。执行主管通常由首席信息官(CIO)、首席信息安全官(CISO)或具有类似职位的人员挑选产生,将对公司开展的整体安全管理活动进行指导。
2.是否成立有评审会
安全评估和批准计划是由分别授权的两个评审会来完成的。由执行主管建立的第一个评审会应该包含一个负责为企业安全问题提供方向、目标和政策的执行层小组,其成员应代表公司内所有IT和指定业务部门负责的主要领域。第二个评审会由IT分析师和专家组成,他们应具备对安全政策技术可行性以及执行层评审会所提出的计划进行评估的资格,同时还可以设定可实施的安全标准和程序。IT部门主管或IT安全负责人应帮助建立此评审会。对于只能建立一个评审会的组织而言,上述所有主要人员都应包括在内。
3.是否建立有安全机制
拥有充分资源的组织应根据执行层小组和IT安全评审会的要求建立一个IT安全部门,该部门由安全经理负责领导,并要向CIO或CISO进行汇报。如果建立一个IT安全部门不可行,组织应在IT部门内设立一个安全经理职位。安全经理具体的职责应由两个安全评审会和其他相应的管理部门共同确定。安全经理应指导和支持整个公司信息安全服务的日常维护,例如IT安全政策管理和监督、验证和访问控制,以及电子边界安全措施。此外,安全经理应具备完善的计划能力,以确保整个IT安全基础设施架构能够正常运行。
4.是否有一个安全过程负责人
执行主管也应该指定一个负责管理所有日常IT安全活动的安全过程负责人。在小型公司内,安全过程负责人可以与安全经理是同一个人。安全过程负责人应根据公司的内部组织结构向IT主管、IT安全负责人、CIO或CISO进行汇报。更需要明确的是,安全过程负责人将负责管理执行层评审会和IT安全评审会提出的所有要求和指导方针。下表1列出了安全过程负责人应具有的特点和其相应的能力水平。
5.是否有战略性安全目标
执行层评审会应确定特定战略安全目标并根据数据可用性、完整性和机密性对目标的优先顺序进行排序。战略性IT安全目标的范围应明确规定计划中可以包括哪些业务部门和远程站点,以及计划与整个企业结合的程度。可能的目标包括:
(1)与企业战略计划相一致的保护目标。
(2)与企业IT架构的安全性相关的目标,如应用程序环境、数据库,网络、服务器配置和存储服务器等。
(3)访问控制系统、防火墙、虚拟专用网络、访问控制列表和入侵检测系统等安全控制目标。
(4)涵盖变更管理、生产接受、入侵检测和响应、用户访问管理、备份和恢复、业务连续性和灾难恢复等安全过程目标。
6.评审当前的安全状况
安全经理应对所有与安全相关的项目进行内部回审,以确定组织内部拥有什么,以及需要开发和购买什么。
需要回审的项目包括:
(1)已批准、执行和加强的安全政策。
(2)已批准,但未被执行或加强的安全政策。
(3)已起草但尚未批准的安全政策。
(4)用于加强政策执行力度的现有软件和硬件安全工具。
(5)可用于分析病毒攻击、密码重置、多次登陆、故障报告、安全事故响应小组活动、升级计划的有效性、内外部安全通讯活动的当前安全标准。
7.对审计事项进行列表和排序
两个评审会的代表和其他相应主题专家应根据主要安全领域(请参阅下面的“主要安全领域”表)确定和建立分类的安全需求列表。
表1:主要安全领域
主要领域
安全问题
客户端服务器
反病毒软件
桌面软件
电子邮件exchange服务器及程序
网络/互联网
防火墙
入侵/检测软件
远程访问
加密过程
数据中心 物理访问
应用程序软件
操作系统
数据库
数据仓库
安全政策 执行层建议
技术评估
批准和执行
沟通与加强
标签:内部审计论文; 审计软件论文; 审计计划论文; 审计质量论文; 安全审计论文; 会计与审计论文; 审计准则论文; 审计职业论文; 审计目标论文; 财会论文; it审计论文;