序論:速發(fā)表網(wǎng)結(jié)合其深厚的文秘經(jīng)驗(yàn)�,特別為您篩選了11篇系統(tǒng)審計(jì)論文范文。如果您需要更多原創(chuàng)資料�����,歡迎隨時(shí)與我們的客服老師聯(lián)系���,希望您能從中汲取靈感和知識����!
篇1
(二)信息系統(tǒng)審計(jì)的目標(biāo)����。信息系統(tǒng)審計(jì)和控制聯(lián)合會(huì)(ISACA)COBIT框架認(rèn)為組織內(nèi)部的信息系統(tǒng)需求三原則是:質(zhì)量、成本和安全�����,即在保證信息系統(tǒng)滿足組織需求的前提下�����,盡可能避免組織內(nèi)外部風(fēng)險(xiǎn)�,并減少研發(fā)和維護(hù)成本。因此信息系統(tǒng)審計(jì)的目標(biāo)就是對組織信息系統(tǒng)的運(yùn)行的可靠性�����,數(shù)據(jù)的真實(shí)性和安全性提供評價(jià)��。
(三)信息系統(tǒng)審計(jì)的步驟���。由于大多數(shù)高校內(nèi)審機(jī)構(gòu)在“數(shù)字化校園”開發(fā)階段并沒有參與其中�����。本文所述的信息系統(tǒng)審計(jì)專指信息系統(tǒng)運(yùn)行維護(hù)階段的審計(jì)�����。
1.審計(jì)準(zhǔn)備階段�。信息系統(tǒng)審計(jì)準(zhǔn)備階段步驟與傳統(tǒng)審計(jì)類似,通過從被審計(jì)單位獲取相關(guān)信息系統(tǒng)管理的規(guī)章制度����,找負(fù)責(zé)系統(tǒng)維護(hù)管理的工作人員座談,實(shí)地觀察等方式���,完成審前調(diào)查�����,進(jìn)行風(fēng)險(xiǎn)評估�、初步確定審計(jì)重點(diǎn)和制定審計(jì)實(shí)施方案等工作��。
2.審計(jì)實(shí)施階段����。信息系統(tǒng)審計(jì)在實(shí)施階段分為兩部分�,分別為信息系統(tǒng)一般控制審計(jì)和應(yīng)用控制審計(jì)�����。一般控制審計(jì)往往比應(yīng)用控制審計(jì)更為重要���,因?yàn)閼?yīng)用控制的有效性常常受到一般控制的影響。根據(jù)審計(jì)項(xiàng)目不同��,審計(jì)人員可以只實(shí)施一般控制審計(jì)或者兩者結(jié)合進(jìn)行審計(jì)����。(1)一般控制審計(jì)。一般控制審計(jì)又可以分為硬件和軟件兩部分�,兩部分的審計(jì)重點(diǎn)和方法有所不同,分別為:對硬件的審計(jì)通過實(shí)地觀察法實(shí)施���,主要有審計(jì)網(wǎng)絡(luò)接口是否安全���,是否有硬件防火墻,硬件設(shè)備存放環(huán)境是否安全��,防火���、防雷����、防盜措施是否完備,是否裝備了UPS��,在硬件出現(xiàn)故障時(shí)是否制定了應(yīng)急響應(yīng)計(jì)劃等����。對軟件的審計(jì)通過抽樣、觀察和面談實(shí)施��,審計(jì)重點(diǎn)為:一是系統(tǒng)管理控制�����,主要有系統(tǒng)設(shè)定的職責(zé)分離是否合理�,授權(quán)管理是否充分,是否做到一個(gè)系統(tǒng)賬戶對應(yīng)一個(gè)工作人員�,是否確保了只有被授權(quán)的用戶才能對特定資源和數(shù)據(jù)進(jìn)行訪問等;二是軟件安全控制���,主要有是否安裝了殺毒軟件�,軟件是否定時(shí)升級�����,未經(jīng)授權(quán)的軟件能否安裝,是否有系統(tǒng)操作規(guī)范等���;三是數(shù)據(jù)管理控制���,主要有數(shù)據(jù)傳輸是否加密,系統(tǒng)數(shù)據(jù)是否定期備份�����,有無冗余備份����,數(shù)據(jù)修改是否按照規(guī)定程序進(jìn)行審核���,向外部傳輸系統(tǒng)數(shù)據(jù)是否有身份認(rèn)證����,是否定期對數(shù)據(jù)質(zhì)量進(jìn)行檢查等���。(2)應(yīng)用控制審計(jì)����。信息系統(tǒng)應(yīng)用控制是指為保證應(yīng)用程序處理數(shù)據(jù)時(shí)按照組織流程運(yùn)行,確保數(shù)據(jù)的完整性和真實(shí)性的控制�,包括輸入控制、處理控制�、輸出控制三部分。輸入控制包括輸入授權(quán)�����、數(shù)據(jù)轉(zhuǎn)換和編輯校驗(yàn)��,處理控制包括運(yùn)行總數(shù)控制����、計(jì)算機(jī)匹配和批處理控制,輸出控制包括復(fù)核系統(tǒng)處理日志����、審核輸出文本、審核程序��。對應(yīng)用控制的審計(jì)���,主要通過分析性復(fù)核和計(jì)算機(jī)輔助模擬的方法�����,審計(jì)重點(diǎn)為信息系統(tǒng)業(yè)務(wù)的控制點(diǎn)設(shè)置是否合理����,數(shù)據(jù)處理程序最多運(yùn)行數(shù),是否有審核系統(tǒng)日志程序等��。
3.報(bào)告階段����。內(nèi)審人員根據(jù)實(shí)施階段編制的工作底稿,出具審計(jì)報(bào)告初稿�,與被審單位充分溝通后,修改審計(jì)報(bào)告��,報(bào)相關(guān)層級領(lǐng)導(dǎo)審核后����,簽發(fā)正式審計(jì)報(bào)告�����。
二、高校做好信息系統(tǒng)審計(jì)的措施
1.轉(zhuǎn)變觀念�����,提高開展信息系統(tǒng)審計(jì)必要性的認(rèn)識���?�!皵?shù)字化校園”建成以后��,高校內(nèi)部控制環(huán)境已經(jīng)悄然發(fā)生改變��,內(nèi)部審計(jì)要想充分發(fā)揮其獨(dú)有的管理評價(jià)職能���,必須迎頭而上,及時(shí)開展信息系統(tǒng)審計(jì)�。不少內(nèi)審機(jī)構(gòu)認(rèn)為信息系統(tǒng)審計(jì)專業(yè)性太強(qiáng),無從著手��,實(shí)際上信息系統(tǒng)審計(jì)的核心并沒有改變��,還是對信息系統(tǒng)控制的評價(jià)�,并沒有超出審計(jì)人員專業(yè)知識的范疇。
2.結(jié)合實(shí)際�,建立信息系統(tǒng)審計(jì)的體系����。當(dāng)前�����,國際上已經(jīng)有比較成熟的關(guān)于信息系統(tǒng)審計(jì)的體系�����,那就是信息系統(tǒng)審計(jì)和控制聯(lián)合會(huì)(ISACA)COBIT體系�����,但完全照搬肯定是不行的�����,在實(shí)際操作中����,內(nèi)審機(jī)構(gòu)必須結(jié)合國情�、校情,進(jìn)行修訂更改���,出臺符合自身工作實(shí)際的��、具備可操作性的信息系統(tǒng)審計(jì)體系���,以規(guī)范審計(jì)工作�����。
篇2
審計(jì)系統(tǒng)是在一定的經(jīng)濟(jì)社會(huì)環(huán)境下產(chǎn)生���,又在特定的外界環(huán)境中存在和發(fā)展。它是環(huán)境的產(chǎn)物��,必須和環(huán)境相適應(yīng)���。與生態(tài)系統(tǒng)中的生物一樣��,審計(jì)系統(tǒng)的生存�、生長受制于環(huán)境��,但審計(jì)系統(tǒng)的存在和發(fā)展又反過來影響和改變環(huán)境�。回顧審計(jì)系統(tǒng)的發(fā)展歷程�,經(jīng)歷了三個(gè)階段:
第一階段是19世紀(jì)中葉���,在資本主義得到充分發(fā)展、取得工業(yè)革命成功的英國出現(xiàn)了現(xiàn)代意義的審計(jì)(稱英國式審計(jì)或詳細(xì)審計(jì))��。當(dāng)時(shí)的審計(jì)對象是會(huì)計(jì)賬簿����,審計(jì)的目的是查錯(cuò)防弊,所使用的審計(jì)工具是詳細(xì)檢查�,審計(jì)信息的使用人是股東。第二階段是本世紀(jì)初�����,在資本主義發(fā)達(dá)的美國出現(xiàn)了以資產(chǎn)負(fù)債表為對象的資產(chǎn)負(fù)債表審計(jì)���,其目的是判斷借款人的信用狀況�,審計(jì)信息使用人從股東擴(kuò)大到債權(quán)人(主要是銀行)���。第三階段是本世紀(jì)20—30年代���,由于資本市場證券化,在美國出現(xiàn)了以損益表為中心的財(cái)務(wù)會(huì)計(jì)報(bào)表審計(jì)��,目的是提出客觀公正的審計(jì)意見�����,審計(jì)信息使用人是所有的企業(yè)利害關(guān)系人�����,對上市公司而言就是社會(huì)公眾���。到了40年代以后�����,由于跨國公司的出現(xiàn)��,國際間資本流動(dòng)頻繁����,在發(fā)達(dá)的資本主義國家出現(xiàn)了國際化的會(huì)計(jì)公司�����。
從上述審計(jì)系統(tǒng)從一個(gè)階段向高一階段的進(jìn)化過程分析���,我們可以得出兩點(diǎn)結(jié)論:一是審計(jì)系統(tǒng)每一次進(jìn)化都是為了適應(yīng)環(huán)境的變化���,和任何系統(tǒng)一樣���,只有適應(yīng)環(huán)境的系統(tǒng)才能得以生存和發(fā)展。19世紀(jì)西方資本主義得到充分發(fā)展�����,實(shí)行所有權(quán)和經(jīng)營權(quán)分離����,就出現(xiàn)了英國式的詳細(xì)審計(jì)。到了20世紀(jì)中葉�,隨著企業(yè)大型化和證券化,經(jīng)濟(jì)活動(dòng)劇增�����,審計(jì)師不可能對每筆交易都進(jìn)行檢查�,審計(jì)系統(tǒng)就由詳細(xì)審計(jì)進(jìn)化到抽樣審計(jì)。有了跨國公司���,就有了國際性的會(huì)計(jì)事務(wù)所�����。正是審計(jì)系統(tǒng)適應(yīng)了所生存的環(huán)境�����,才使得本身得到充分的發(fā)展�����。同時(shí)�,進(jìn)化后的審計(jì)系統(tǒng)又反作用于環(huán)境�����,對社會(huì)經(jīng)濟(jì)起了積極推動(dòng)作用��,成為人類經(jīng)濟(jì)系統(tǒng)中不可缺少的一個(gè)子系統(tǒng)�����。二是審計(jì)系統(tǒng)的每一次進(jìn)化都有賴于相應(yīng)的理論��、方法和技術(shù)的支持�。從英國式的詳細(xì)審計(jì)進(jìn)化到資產(chǎn)負(fù)債表審計(jì)��,是因?yàn)橛袃?nèi)部牽制理論和統(tǒng)計(jì)抽樣技術(shù)的支持�。同樣����,從資產(chǎn)負(fù)債表審計(jì)進(jìn)化到財(cái)務(wù)會(huì)計(jì)報(bào)表審計(jì),是因?yàn)橛袃?nèi)部控制理論和審計(jì)風(fēng)險(xiǎn)測試評價(jià)技術(shù)的支持����。這是審計(jì)系統(tǒng)一次具有非常意義的“進(jìn)化”,正是由于審計(jì)系統(tǒng)普遍采用了統(tǒng)計(jì)抽樣技術(shù)和內(nèi)部控制測試技術(shù)���,從而使審計(jì)系統(tǒng)的功能大大增強(qiáng)����,在大大提高了審計(jì)效率的同時(shí)��,又有效地控制了審計(jì)風(fēng)險(xiǎn)�����。
同理��,在步入21世紀(jì)的今天,審計(jì)系統(tǒng)又面臨著新環(huán)境的挑戰(zhàn)����。新經(jīng)濟(jì)和數(shù)字時(shí)代的到來,以及經(jīng)濟(jì)全球化���、市場一體化等將對審計(jì)系統(tǒng)產(chǎn)生重大影響�����。面對新經(jīng)濟(jì)環(huán)境的挑戰(zhàn),審計(jì)系統(tǒng)必須適應(yīng)這種環(huán)境的進(jìn)化����,而要進(jìn)化就必須有相應(yīng)的理論和技術(shù)方法即系統(tǒng)科學(xué)和信息技術(shù)的支持,筆者將由系統(tǒng)科學(xué)和計(jì)算機(jī)技術(shù)支持下進(jìn)化了的審計(jì)稱為系統(tǒng)審計(jì)����,與之相對應(yīng)的是傳統(tǒng)的詳細(xì)審計(jì)和內(nèi)控審計(jì)。下圖表達(dá)了審計(jì)系統(tǒng)的進(jìn)化過程�����。
需要說明的是����,“系統(tǒng)審計(jì)”與“審計(jì)系統(tǒng)”是二個(gè)既有聯(lián)系又有區(qū)別的概念�。系統(tǒng)審計(jì)是指在系統(tǒng)科學(xué)和信息技術(shù)支持下的審計(jì)理論方法�,表明一種審計(jì)理念,是相對于其它審計(jì)方法而言的�。審計(jì)系統(tǒng)則是泛指審計(jì)體系,詳細(xì)審計(jì)���、財(cái)務(wù)會(huì)計(jì)報(bào)表審計(jì)���、系統(tǒng)審計(jì)都是審計(jì)系統(tǒng)各個(gè)不同歷史時(shí)期的產(chǎn)物。
二���、系統(tǒng)審計(jì)和傳統(tǒng)審計(jì)的比較
傳統(tǒng)審計(jì)的思維方式是:部分整體����。傳統(tǒng)審計(jì)總是先分析對象的各個(gè)部分���,然后再綜合為整體��。這種思維方法的局限性在于把分析與綜合�����、部分與整體���、原因與結(jié)果機(jī)械地割裂開來��,認(rèn)為部分是原因��,整體是結(jié)果�,部分決定整體���。傳統(tǒng)審計(jì)方法著眼于一個(gè)個(gè)要素�,進(jìn)而得出整體的性能���,其邏輯結(jié)論往往是組成整體的要素好,整體的性能也就好��。不論是一百五十年前的詳細(xì)審計(jì)���,還是目前的財(cái)務(wù)會(huì)計(jì)報(bào)表審計(jì)��,注冊會(huì)計(jì)師的思想方法都是從部分去推測整體���,而系統(tǒng)審計(jì)的思想方法則是從整體到部分��。詳細(xì)審計(jì)是從每一筆交易賬戶再到報(bào)表�;財(cái)務(wù)會(huì)計(jì)報(bào)表審計(jì)是通過對內(nèi)部控制和控制風(fēng)險(xiǎn)的研究抽取部分交易為樣本賬戶最終證實(shí)報(bào)表信息的真實(shí)和公允性����。詳細(xì)審計(jì)和報(bào)表審計(jì)在研究審計(jì)對象經(jīng)濟(jì)活動(dòng)時(shí),只把各組成部分孤立地����、簡單地加起來,這并不能說明審計(jì)對象經(jīng)濟(jì)活動(dòng)的整體性質(zhì)和功能���。因?yàn)楦饕氐暮唵蜗嗉?����,并不能?gòu)成一個(gè)系統(tǒng)����。
篇3
2利用網(wǎng)絡(luò)遠(yuǎn)距離竊取企業(yè)的商業(yè)秘密以換取錢財(cái),或利用網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒以破壞企業(yè)的信息系統(tǒng)����。
3建立在計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)上的電子商貿(mào)使貿(mào)易趨向“無紙化”,越來越多的經(jīng)濟(jì)業(yè)務(wù)的原始記錄以電子憑證的方式存在和傳遞。不法之徒通過改變電子貨幣帳單��、銀行結(jié)算單及其它帳單,就有可能將公私財(cái)產(chǎn)的所有權(quán)進(jìn)行轉(zhuǎn)移。
計(jì)算機(jī)網(wǎng)絡(luò)帶來會(huì)計(jì)系統(tǒng)的開放與數(shù)據(jù)共享,而開放與共享的基礎(chǔ)則是安全���。企業(yè)一方面通過網(wǎng)絡(luò)開放自己,向全世界推銷自己的形象和產(chǎn)品,實(shí)現(xiàn)電子貿(mào)易���、電子信息交換,但也需要守住自己的商業(yè)秘密、管理秘密和財(cái)務(wù)秘密,而其中已實(shí)現(xiàn)了電子化且具有貨幣價(jià)值的會(huì)計(jì)秘密�、理財(cái)秘密是最重要的。我們有必要為它創(chuàng)造一個(gè)安全的環(huán)境,抵抗來自系統(tǒng)內(nèi)外的各種干擾和威協(xié),做到該開放的放開共享,該封閉的要讓黑客無奈�����。
一�����、網(wǎng)絡(luò)安全審計(jì)及基本要素
安全審計(jì)是一個(gè)新概念,它指由專業(yè)審計(jì)人員根據(jù)有關(guān)的法律法規(guī)�����、財(cái)產(chǎn)所有者的委托和管理當(dāng)局的授權(quán),對計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下的有關(guān)活動(dòng)或行為進(jìn)行系統(tǒng)的��、獨(dú)立的檢查驗(yàn)證,并作出相應(yīng)評價(jià)�。
沒有網(wǎng)絡(luò)安全,就沒有網(wǎng)絡(luò)世界����。任何一個(gè)建立網(wǎng)絡(luò)環(huán)境計(jì)算機(jī)會(huì)計(jì)系統(tǒng)的機(jī)構(gòu),都會(huì)對系統(tǒng)的安全提出要求,在運(yùn)行和維護(hù)中也都會(huì)從自己的角度對安全作出安排�。那么系統(tǒng)是否安全了呢?這是一般人心中無數(shù)也最不放心的問題���。應(yīng)該肯定,一個(gè)系統(tǒng)運(yùn)行的安全與否,不能單從雙方當(dāng)事人的判斷作出結(jié)論,而必須由第三方的專業(yè)審計(jì)人員通過審計(jì)作出評價(jià)��。因?yàn)榘踩珜徲?jì)人員不但具有專門的安全知識,而且具有豐富的安全審計(jì)經(jīng)驗(yàn),只有他們才能作出客觀�、公正�、公平和中立的評價(jià)。
安全審計(jì)涉及四個(gè)基本要素:控制目標(biāo)���、安全漏洞���、控制措施和控制測試。其中,控制目標(biāo)是指企業(yè)根據(jù)具體的計(jì)算機(jī)應(yīng)用,結(jié)合單位實(shí)際制定出的安全控制要求����。安全漏洞是指系統(tǒng)的安全薄弱環(huán)節(jié),容易擾或破壞的地方?����?刂拼胧┦侵钙髽I(yè)為實(shí)現(xiàn)其安全控制目標(biāo)所制定的安全控制技術(shù)���、配置方法及各種規(guī)范制度�����?��?刂茰y試是將企業(yè)的各種安全控制措施與預(yù)定的安全標(biāo)準(zhǔn)進(jìn)行一致性比較,確定各項(xiàng)控制措施是否存在����、是否得到執(zhí)行�、對漏洞的防范是否有效,評價(jià)企業(yè)安全措施的可依賴程度。顯然,安全審計(jì)作為一個(gè)專門的審計(jì)項(xiàng)目,要求審計(jì)人員必須具有較強(qiáng)的專業(yè)技術(shù)知識與技能���。
安全審計(jì)是審計(jì)的一個(gè)組成部分����。由于計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境的安全將不僅涉及國家安危,更涉及到企業(yè)的經(jīng)濟(jì)利益�。因此,我們認(rèn)為必須迅速建立起國家、社會(huì)�、企業(yè)三位一體的安全審計(jì)體系�����。其中,國家安全審計(jì)機(jī)關(guān)應(yīng)依據(jù)國家法律,特別是針對計(jì)算機(jī)網(wǎng)絡(luò)本身的各種安全技術(shù)要求,對廣域網(wǎng)上企業(yè)的信息安全實(shí)施年審制。另外,應(yīng)該發(fā)展社會(huì)中介機(jī)構(gòu),對計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境的安全提供審計(jì)服務(wù),它與會(huì)計(jì)師事務(wù)所���、律師事務(wù)所一樣,是社會(huì)對企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全作出評價(jià)的機(jī)構(gòu)�����。當(dāng)企業(yè)管理當(dāng)局權(quán)衡網(wǎng)絡(luò)系統(tǒng)所帶來的潛在損失時(shí),他們需要通過中介機(jī)構(gòu)對安全性作出檢查和評價(jià)����。此外財(cái)政��、財(cái)務(wù)審計(jì)也離不開網(wǎng)絡(luò)安全專家,他們對網(wǎng)絡(luò)的安全控制作出評價(jià),幫助注冊會(huì)計(jì)師對相應(yīng)的信息處理系統(tǒng)所披露信息的真實(shí)性����、可靠性作出正確判斷。
二�、網(wǎng)絡(luò)安全審計(jì)的程序
安全審計(jì)程序是安全監(jiān)督活動(dòng)的具體規(guī)程,它規(guī)定安全審計(jì)工作的具體內(nèi)容、時(shí)間安排���、具體的審計(jì)方法和手段���。與其它審計(jì)一樣,安全審計(jì)主要包括三個(gè)階段:審計(jì)準(zhǔn)備階段、實(shí)施階段以及終結(jié)階段。
安全審計(jì)準(zhǔn)備階段需要了解審計(jì)對象的具體情況�、安全目標(biāo)、企業(yè)的制度�、結(jié)構(gòu)、一般控制和應(yīng)用控制情況,并對安全審計(jì)工作制訂出具體的工作計(jì)劃��。在這一階段,審計(jì)人員應(yīng)重點(diǎn)確定審計(jì)對象的安全要求�、審計(jì)重點(diǎn)、可能的漏洞及減少漏洞的各種控制措施�����。
1了解企業(yè)網(wǎng)絡(luò)的基本情況���。例如,應(yīng)該了解企業(yè)內(nèi)部網(wǎng)的類型��、局域網(wǎng)之間是否設(shè)置了單向存取限制�、企業(yè)網(wǎng)與Internet的聯(lián)接方式�����、是否建立了虛擬專用網(wǎng)(VPN)?
2了解企業(yè)的安全控制目標(biāo)���。安全控制目標(biāo)一般包括三個(gè)方面:第一,保證系統(tǒng)的運(yùn)轉(zhuǎn)正常,數(shù)據(jù)的可靠完整;第二,保障數(shù)據(jù)的有效備份與系統(tǒng)的恢復(fù)能力;第三,對系統(tǒng)資源使用的授權(quán)與限制����。當(dāng)然安全控制目標(biāo)因企業(yè)的經(jīng)營性質(zhì)����、規(guī)模的大小以及管理當(dāng)局的要求而有所差異。
3了解企業(yè)現(xiàn)行的安全控制情況及潛在的漏洞����。審計(jì)人員應(yīng)充分取得目前企業(yè)對網(wǎng)絡(luò)環(huán)境的安全保密計(jì)劃,了解所有有關(guān)的控制對上述的控制目標(biāo)的實(shí)現(xiàn)情況,系統(tǒng)還有哪些潛在的漏洞。
安全審計(jì)實(shí)施階段的主要任務(wù)是對企業(yè)現(xiàn)有的安全控制措施進(jìn)行測試,以明確企業(yè)是否為安全采取了適當(dāng)?shù)目刂拼胧?這些措施是否發(fā)揮著作用�。審計(jì)人員在實(shí)施環(huán)節(jié)應(yīng)充分利用各種技術(shù)工具產(chǎn)品,如網(wǎng)絡(luò)安全測試產(chǎn)品、網(wǎng)絡(luò)監(jiān)視產(chǎn)品���、安全審計(jì)分析器�。
安全審計(jì)終結(jié)階段應(yīng)對企業(yè)現(xiàn)存的安全控制系統(tǒng)作出評價(jià),并提出改進(jìn)和完善的方法和其他意見��。安全審計(jì)終結(jié)的評價(jià),按系統(tǒng)的完善程度����、漏洞的大小和存在問題的性質(zhì)可以分為三個(gè)等級:危險(xiǎn)、不安全和基本安全���。危險(xiǎn)是指系統(tǒng)存在毀滅性數(shù)據(jù)丟失隱患(如缺乏合理的數(shù)據(jù)備份機(jī)制與有效的病毒防范措施)和系統(tǒng)的盲目開放性(如有意和無意用戶經(jīng)常能闖入系統(tǒng),對系統(tǒng)數(shù)據(jù)進(jìn)行查閱或刪改)����。不安全是指系統(tǒng)尚存在一些較常見的問題和漏洞,如系統(tǒng)缺乏監(jiān)控機(jī)制和數(shù)據(jù)檢測手段等?�;景踩侵父鱾€(gè)企業(yè)網(wǎng)絡(luò)應(yīng)達(dá)到的目標(biāo),其大漏洞僅限于不可預(yù)見或罕預(yù)見性�、技術(shù)極限性以及窮舉性等,其他小問題發(fā)生時(shí)不影響系統(tǒng)運(yùn)行,也不會(huì)造成大的損失,且具有隨時(shí)發(fā)現(xiàn)問題并糾正的能力。
三�、網(wǎng)絡(luò)安全審計(jì)的主要測試
測試是安全審計(jì)實(shí)施階段的主要任務(wù),一般應(yīng)包括對數(shù)據(jù)通訊、硬件系統(tǒng)��、軟件系統(tǒng)�����、數(shù)據(jù)資源以及安全產(chǎn)品的測試��。
下面是對網(wǎng)絡(luò)環(huán)境會(huì)計(jì)信息系統(tǒng)的主要測試��。
1數(shù)據(jù)通訊的控制測試
數(shù)據(jù)通訊控制的總目標(biāo)是數(shù)據(jù)通道的安全與完整�。具體說,能發(fā)現(xiàn)和糾正設(shè)備的失靈,避免數(shù)據(jù)丟失或失真,能防止和發(fā)現(xiàn)來自Internet及內(nèi)部的非法存取操作。為了達(dá)到上述控制目標(biāo),審計(jì)人員應(yīng)執(zhí)行以下控制測試:(1)抽取一組會(huì)計(jì)數(shù)據(jù)進(jìn)行傳輸,檢查由于線路噪聲所導(dǎo)致數(shù)據(jù)失真的可能性����。(2)檢查有關(guān)的數(shù)據(jù)通訊記錄,證實(shí)所有的數(shù)據(jù)接收是有序及正確的。(3)通過假設(shè)系統(tǒng)外一個(gè)非授權(quán)的進(jìn)入請求,測試通訊回叫技術(shù)的運(yùn)行情況���。(4)檢查密鑰管理和口令控制程序,確認(rèn)口令文
件是否加密��、密鑰存放地點(diǎn)是否安全�。(5)發(fā)送一測試信息測試加密過程,檢查信息通道上在各不同點(diǎn)上信息的內(nèi)容。(6)檢查防火墻是否控制有效�����。防火墻的作用是在Internet與企業(yè)內(nèi)部網(wǎng)之間建立一道屏障,其有效性主要包括靈活性以及過濾��、分離��、報(bào)警等方面的能力�����。例如,防火墻應(yīng)具有拒絕任何不準(zhǔn)確的申請者的過濾能力,只有授權(quán)用戶才能通過防火墻訪問會(huì)計(jì)數(shù)據(jù)����。
2硬件系統(tǒng)的控制測試
硬件控制測試的總目標(biāo)是評價(jià)硬件的各項(xiàng)控制的適當(dāng)性與有效性����。測試的重點(diǎn)包括:實(shí)體安全、火災(zāi)報(bào)警防護(hù)系統(tǒng)����、使用記錄���、后備電源、操作規(guī)程���、災(zāi)害恢復(fù)計(jì)劃等�。審計(jì)人員應(yīng)確定實(shí)物安全控制措施是否適當(dāng)�、在處理日常運(yùn)作及部件失靈中操作員是否作出了適當(dāng)?shù)挠涗浥c定期分析、硬件的災(zāi)難恢復(fù)計(jì)劃是否適當(dāng)���、是否制定了相關(guān)的操作規(guī)程�����、各硬件的資料歸檔是否完整�����。
3軟件系統(tǒng)的控制測試
軟件系統(tǒng)包括系統(tǒng)軟件和應(yīng)用軟件,其中最主要的是操作系統(tǒng)�����、數(shù)據(jù)庫系統(tǒng)和會(huì)計(jì)軟件系統(tǒng)�。總體控制目標(biāo)應(yīng)達(dá)到防止來自硬件失靈��、計(jì)算機(jī)黑客���、病毒感染���、具有特權(quán)職員的各種破壞行為,保障系統(tǒng)正常運(yùn)行。對軟件系統(tǒng)的測試主要包括:(1)檢查軟件產(chǎn)品是否從正當(dāng)途徑購買,審計(jì)人員應(yīng)對購買訂單進(jìn)行抽樣審查����。(2)檢查防治病毒措施,是否安裝有防治病毒軟件�����、使用外來軟盤之前是否檢查病毒���。(3)證實(shí)只有授權(quán)的軟件才安裝到系統(tǒng)里�。
4數(shù)據(jù)資源的控制測試
數(shù)據(jù)控制目標(biāo)包括兩方面:一是數(shù)據(jù)備份,為恢復(fù)被丟失�����、損壞或擾的數(shù)據(jù),系統(tǒng)應(yīng)有足夠備份;二是個(gè)人應(yīng)當(dāng)經(jīng)授權(quán)限制性地存取所需的數(shù)據(jù),未經(jīng)授權(quán)的個(gè)人不能存取數(shù)據(jù)庫����。審計(jì)測試應(yīng)檢查是否提供了雙硬盤備份���、動(dòng)態(tài)備份、業(yè)務(wù)日志備份等功能,以及在日常工作中是否真正實(shí)施了這些功能��。根據(jù)系統(tǒng)的授權(quán)表,檢查存取控制的有效性�����。
5系統(tǒng)安全產(chǎn)品的測試
隨著網(wǎng)絡(luò)系統(tǒng)安全的日益重要,各種用于保障網(wǎng)絡(luò)安全的軟����、硬件產(chǎn)品應(yīng)運(yùn)而生,如VPN、防火墻����、身份認(rèn)證產(chǎn)品、CA產(chǎn)品等等����。企業(yè)將在不斷發(fā)展的安全產(chǎn)品市場上購買各種產(chǎn)品以保障系統(tǒng)的安全,安全審計(jì)機(jī)構(gòu)應(yīng)對這些產(chǎn)品是否有效地使用并發(fā)揮其應(yīng)有的作用進(jìn)行測試與作出評價(jià)。例如,檢查安全產(chǎn)品是否經(jīng)過認(rèn)證機(jī)構(gòu)或公安部部門的認(rèn)征,產(chǎn)品的銷售商是否具有銷售許可證產(chǎn)品的安全保護(hù)功能是否發(fā)揮作用����。
篇4
隨著市場經(jīng)濟(jì)的深入發(fā)展,企業(yè)逐步成為自主經(jīng)營��、自我約束�、自我發(fā)展��、自我完善的商品生產(chǎn)者和經(jīng)營者�����。在“優(yōu)勝劣汰���、適者生存”的市場經(jīng)濟(jì)中,企業(yè)要想真正的做到“自主經(jīng)營���、自我約束��、自我發(fā)展�、自我完善”,必須要加強(qiáng)內(nèi)部控制,建立有效、完善的內(nèi)部控制制度,這樣才能在一個(gè)絕對的高度上,對企業(yè)進(jìn)行高瞻遠(yuǎn)矚的控制,才能做出與時(shí)俱進(jìn)的決策��。
(二)內(nèi)部審計(jì)是企業(yè)內(nèi)部監(jiān)督機(jī)制的重要組成部分
內(nèi)部審計(jì)也是企業(yè)內(nèi)部控制的一個(gè)重要的組成部分,是監(jiān)督內(nèi)部控制其他環(huán)節(jié)的主要力量�����。內(nèi)部審計(jì)通過對控制環(huán)境和控制程序的有效性進(jìn)行監(jiān)督,評估企業(yè)的內(nèi)部控制是否被執(zhí)行,是否及時(shí)反饋有關(guān)執(zhí)行結(jié)果的信息,是否幫助企業(yè)更有效地實(shí)現(xiàn)預(yù)期控制目標(biāo)�。同時(shí),在監(jiān)控過程中,內(nèi)部審計(jì)可以促進(jìn)控制環(huán)境的建立和改善,為改進(jìn)控制制度提供建設(shè)性的意見,為企業(yè)建立健全所需要的內(nèi)部控制水平服務(wù)��。在內(nèi)部控制的監(jiān)督過程中,內(nèi)部審計(jì)發(fā)揮著越來越重要的作用���。
二、內(nèi)部審計(jì)在防范信息系統(tǒng)風(fēng)險(xiǎn)中面臨的問題
(一)信息系統(tǒng)安全管理機(jī)制不健全
企業(yè)信息系統(tǒng)風(fēng)險(xiǎn)的存在,很多是由于管理不善或控制不嚴(yán)造成的��。一方面,缺乏一套統(tǒng)一的安全策略體系來指導(dǎo)安全管理工作,無法建立系統(tǒng)內(nèi)部明確���、全面的安全規(guī)范要求���。從現(xiàn)有管理制度規(guī)范來看,主要存在的問題是可操作性差,條理不清、重疊或遺漏等;另一方面,現(xiàn)有安全管理制度的管理對象基本是網(wǎng)絡(luò)系統(tǒng)管理員等技術(shù)部人員,管理對象沒有全面涵蓋所有信息系統(tǒng)技術(shù)相關(guān)人員,包括所有網(wǎng)絡(luò)系統(tǒng)上的內(nèi)部終端人員和外部人員�����。
(二)內(nèi)部審計(jì)在信息系統(tǒng)風(fēng)險(xiǎn)防范中的角色缺乏獨(dú)立性
內(nèi)部審計(jì)的角色發(fā)生了轉(zhuǎn)變����。從傳統(tǒng)的事后審計(jì)而逐漸轉(zhuǎn)向事前和事中審計(jì),主動(dòng)參與內(nèi)部控制系統(tǒng)的建立和完善。內(nèi)部審計(jì)人員即承擔(dān)著評價(jià)硬件和應(yīng)用信息系統(tǒng)安全的任務(wù),如果又同時(shí)有參與了系統(tǒng)的開發(fā)和實(shí)施過程,那么內(nèi)部審計(jì)人員就卻乏獨(dú)立性�����。反之,如果處于對喪失獨(dú)立性的擔(dān)心,內(nèi)部審計(jì)人員有可能會(huì)拒絕參與系統(tǒng)和軟件的開發(fā),那么系統(tǒng)開發(fā)過程中存在的風(fēng)險(xiǎn)又無法得到控制。
(三)內(nèi)審部門技術(shù)力量薄弱造成對信息系統(tǒng)審計(jì)形成風(fēng)險(xiǎn)
審計(jì)稽核部門的技術(shù)力量薄弱,不熟悉業(yè)務(wù)系統(tǒng)的流程和功能,對信息系統(tǒng)缺乏必要的認(rèn)證能力和標(biāo)準(zhǔn)���。突出表現(xiàn)為以下幾個(gè)方面:一是實(shí)施審計(jì)稽核的手段和方法沒有得到及時(shí)更新,不適應(yīng)信息系統(tǒng)管理的要求,大部分仍停留在手工審計(jì)階段;二是審計(jì)稽核部門對計(jì)算機(jī)賬務(wù)系統(tǒng)實(shí)施審計(jì)的依據(jù)僅依賴于被審計(jì)單位提供的打印資料或事后資料,計(jì)算機(jī)賬務(wù)的真實(shí)性審計(jì)很難得到保證����。
三����、加強(qiáng)風(fēng)險(xiǎn)防范的措施和對策
(一)構(gòu)建信息系統(tǒng)安全管理組織及規(guī)范體系
加強(qiáng)信息系統(tǒng)的自我風(fēng)險(xiǎn)評估體系,讓信息系統(tǒng)的管理和技術(shù)人員在自身的職責(zé)范圍之內(nèi)正確識別和評估潛在操作風(fēng)險(xiǎn),主要包括內(nèi)控制度的查漏補(bǔ)缺、工作流程的整理和規(guī)范�����、應(yīng)急預(yù)案完善和演練等���。同時(shí)加強(qiáng)對操作人員的管理,規(guī)范操作程序���。一是加強(qiáng)密碼管理,明確規(guī)定操作人員的權(quán)限,操作員必須在規(guī)定的權(quán)限內(nèi)辦理業(yè)務(wù),用戶口令及密碼必須專人專用,嚴(yán)禁公開口令及密碼;二是要建立健全操作員崗位目標(biāo)責(zé)任制,對網(wǎng)絡(luò)操作人員要明確目標(biāo)任務(wù),規(guī)范操作程序,嚴(yán)格落實(shí)獎(jiǎng)懲制度�����。三是要嚴(yán)格崗位設(shè)置,不相容職務(wù)進(jìn)行分離���。嚴(yán)禁系統(tǒng)管理人員���、網(wǎng)絡(luò)技術(shù)人員��、程序開發(fā)人員和前臺操作人員混崗�、代崗或一人多崗��。四是要加強(qiáng)系統(tǒng)內(nèi)部的稽核監(jiān)督檢查�。稽核監(jiān)督應(yīng)貫穿于網(wǎng)絡(luò)操作的全過程,重點(diǎn)是加強(qiáng)對系統(tǒng)設(shè)計(jì)開發(fā)�����、內(nèi)控管理制度落實(shí)�、操作運(yùn)行等方面的
(二)關(guān)注信息系統(tǒng)的穩(wěn)定性、安全性和有效性審計(jì)
首先,審計(jì)人員應(yīng)運(yùn)用用一定的技術(shù)方法識別系統(tǒng)的完整性,該過程包括檢查��、測試�、評估系統(tǒng)的內(nèi)制,以保證系統(tǒng)的穩(wěn)定性;其次,審計(jì)人員應(yīng)評價(jià)系統(tǒng)存在的風(fēng)險(xiǎn)和可能產(chǎn)生的后果將成為審計(jì)的核心工作和基本內(nèi)容,保證信息系統(tǒng)的安全性。應(yīng)根據(jù)審計(jì)的標(biāo)準(zhǔn)和準(zhǔn)則,評價(jià)控制環(huán)境的和IT基礎(chǔ)設(shè)施的安全,確保系統(tǒng)滿足組織的業(yè)務(wù)需要,保護(hù)信息資產(chǎn)的安全完整,以防非授權(quán)使用�����、泄露��、修改、損壞或丟失;最后,還應(yīng)鑒別信息系統(tǒng)的有效性���。內(nèi)部審計(jì)必須理解并熟悉操作環(huán)境,了解系統(tǒng)技術(shù)的復(fù)雜性及其對決策的影響;對來自內(nèi)部的安全隱患,采用一定的方法進(jìn)行系統(tǒng)診斷�、檢驗(yàn)�����、測試,評價(jià)其有效性及效率,以支持組織業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)
(三)改善內(nèi)審機(jī)構(gòu),提高內(nèi)審人員素質(zhì),培養(yǎng)信息系統(tǒng)審計(jì)師
為了信息系統(tǒng)的安全���、可靠與有效,由獨(dú)立于審計(jì)對象的信息系統(tǒng)審計(jì)師,以第三方的客觀立場對以計(jì)算機(jī)為核心的信息系統(tǒng)進(jìn)行綜合的檢查與評價(jià)�。信息系統(tǒng)審計(jì)師也稱lS審計(jì)師或IT審計(jì)師,是指那些既通曉信息系統(tǒng)的軟件和硬件(包括信息系統(tǒng)的開發(fā)����、運(yùn)營、維護(hù)��、管理和安全等),又熟悉經(jīng)濟(jì)管理的內(nèi)部審計(jì)人才���。
(四)聘請專家進(jìn)行協(xié)助
內(nèi)部審計(jì)人員的知識��、技能和經(jīng)驗(yàn)雖然有助于信息系統(tǒng)的風(fēng)險(xiǎn)防御,但現(xiàn)實(shí)中必須承認(rèn),在企業(yè)中同時(shí)具備計(jì)算機(jī)技術(shù)和審計(jì)專業(yè)知識的人才非常短缺���。再出色的內(nèi)部審計(jì)人員可能面臨一些系統(tǒng)內(nèi)的專業(yè)問題卻無法解決,因此有必要聘請外部專家?��?梢酝ㄟ^專家的協(xié)助測試運(yùn)用其專業(yè)技能測試系統(tǒng)安全,進(jìn)一步防范和解決信息系統(tǒng)風(fēng)險(xiǎn)的存在���。
參考文獻(xiàn):
篇5
目前,我國信息系統(tǒng)審計(jì)僅有十幾年的歷史����,尚處于探索階段,既缺乏開展信息系統(tǒng)審計(jì)業(yè)務(wù)的人才隊(duì)伍�����,也沒有形成專業(yè)規(guī)范體系�,所進(jìn)行的一些計(jì)算機(jī)審計(jì)方面的探索和嘗試以及計(jì)算機(jī)審計(jì)軟件的開發(fā)和應(yīng)用還大都停留在對被審計(jì)單位電子數(shù)據(jù)進(jìn)行處理的階段。存在的主要問題有:信息系統(tǒng)審計(jì)觀念落后�;信息系統(tǒng)審計(jì)相關(guān)的準(zhǔn)則、標(biāo)準(zhǔn)和規(guī)范尚不完善�;信息系統(tǒng)審計(jì)專業(yè)人才匱乏;信息系統(tǒng)審計(jì)軟件開發(fā)工作滯后���。1997年�,廣州地鐵開始公司“信息化”建設(shè)�。最初�,廣州地鐵經(jīng)營審計(jì)采用“繞過計(jì)算機(jī)審計(jì)”的方法��,即對導(dǎo)出數(shù)據(jù)進(jìn)行審計(jì)����。審計(jì)過程中,其逐漸意識到了運(yùn)用這種“黑箱原理”審計(jì)方法的風(fēng)險(xiǎn)��。因此��,2006年公司組建了專門的IT審計(jì)模塊�,探索“如何利用計(jì)算機(jī)審計(jì)”和“通過計(jì)算機(jī)審計(jì)”。其后����,廣州地鐵信息系統(tǒng)審計(jì)發(fā)展經(jīng)歷了借力、助力和自立三個(gè)階段�。一是借力期:IT審計(jì)模塊成立初期,公司與外部顧問共同開展IT審計(jì)項(xiàng)目�����,通過外部專業(yè)人員向?qū)徲?jì)人員傳輸IT審計(jì)技能�,同時(shí)制定《IT審計(jì)實(shí)施細(xì)則》,在人員技能儲備和制度上為IT審計(jì)模塊的發(fā)展奠定了基礎(chǔ)����。二是助力期:審計(jì)人員參照審計(jì)手冊����,利用從外部顧問處學(xué)習(xí)到的審計(jì)技能����,逐步開展信息系統(tǒng)審計(jì)工作�����,將IT審計(jì)工作模式調(diào)整為以自身力量為主���,外部咨詢服務(wù)為輔的模式���。三是自立期:2009年,廣州地鐵IT審計(jì)已基本實(shí)現(xiàn)自主化��,且IT審計(jì)模塊逐步走向成熟�,同時(shí)其還建立了具有自身特色的信息系統(tǒng)審計(jì)框架。目前�����,IT審計(jì)已經(jīng)發(fā)展成為廣州地鐵內(nèi)部審計(jì)的一根“支柱”,連同“內(nèi)控審計(jì)”���,作為基本的審計(jì)手段貫穿于各類專業(yè)審計(jì)工作中�,支持審計(jì)體系的鞏固與發(fā)展�。
二、信息系統(tǒng)審計(jì)內(nèi)容
1��、國內(nèi)外關(guān)于信息系統(tǒng)審計(jì)內(nèi)容的研究
開展信息系統(tǒng)審計(jì)首先要明確審計(jì)內(nèi)容�����。國際信息系統(tǒng)審計(jì)協(xié)會(huì)規(guī)定�����,信息系統(tǒng)審計(jì)的主要內(nèi)容包括信息系統(tǒng)程序?qū)徲?jì)����、信息技術(shù)(IT)治理、系統(tǒng)生命周期管理���、IT服務(wù)的交付與支持����、信息資產(chǎn)的保護(hù)、災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃��。近十幾年來�����,國內(nèi)的學(xué)者和組織也對信息系統(tǒng)審計(jì)的內(nèi)容進(jìn)行了探索和研究��。審計(jì)署在2012年頒布的《信息系統(tǒng)審計(jì)指南———計(jì)算機(jī)審計(jì)實(shí)務(wù)公告第34號》中明確提出了:信息系統(tǒng)審計(jì)包括對應(yīng)用控制���、一般控制和項(xiàng)目管理的審計(jì)。其中����,應(yīng)用控制包括信息系統(tǒng)業(yè)務(wù)流程,數(shù)據(jù)輸入��、處理和輸出的控制�����,信息共享和業(yè)務(wù)協(xié)同��;一般控制包括信息系統(tǒng)總體控制�����、信息安全技術(shù)控制、信息安全管理控制���;項(xiàng)目管理包括信息系統(tǒng)建設(shè)的經(jīng)濟(jì)性�����、信息系統(tǒng)建設(shè)管理�、信息系統(tǒng)績效�。上述具有代表性的規(guī)定和研究成果對信息系統(tǒng)審計(jì)內(nèi)容的劃分,均是以對信息系統(tǒng)邏輯結(jié)構(gòu)的分析為基礎(chǔ)����。全面分析信息系統(tǒng)的邏輯結(jié)構(gòu),可從信息系統(tǒng)的構(gòu)成要素�����、信息系統(tǒng)生命周期和信息系統(tǒng)管理三個(gè)維度進(jìn)行描述:從構(gòu)成要素來看�����,信息系統(tǒng)由人員、應(yīng)用(包括軟件平臺和應(yīng)用系統(tǒng))�����、所采用的技術(shù)�����、硬件設(shè)備���、數(shù)據(jù)文件運(yùn)行規(guī)則組成����;信息系統(tǒng)生命周期可劃分為信息系統(tǒng)的規(guī)劃階段����、開發(fā)階段���、運(yùn)行維護(hù)階段和更新階段�;從信息系統(tǒng)管理的維度來看���,對系統(tǒng)的管理與控制活動(dòng)貫穿于信息系統(tǒng)生命周期的始終����,主要是通過有效執(zhí)行一系列健全有效的規(guī)章制度和管理規(guī)程來實(shí)現(xiàn)。
2�����、廣州地鐵信息系統(tǒng)審計(jì)實(shí)施框架
結(jié)合廣州地鐵信息化項(xiàng)目多�����、系統(tǒng)更新快�、數(shù)據(jù)集成度高、系統(tǒng)控制與手工控制并重等特點(diǎn)�����,圍繞信息系統(tǒng)構(gòu)成要素����、信息系統(tǒng)生命周期和信息系統(tǒng)管理三個(gè)維度,廣州地鐵將信息系統(tǒng)審計(jì)的內(nèi)容劃分為整體計(jì)算機(jī)控制審計(jì)����、應(yīng)用控制審計(jì)和系統(tǒng)建設(shè)效能評價(jià)三個(gè)方面。其中����,整體計(jì)算機(jī)控制審計(jì)是對信息系統(tǒng)運(yùn)行中的控制活動(dòng)進(jìn)行審計(jì)��,目的是合理保證由信息系統(tǒng)支持的業(yè)務(wù)流程控制是可靠的�����、生成的數(shù)據(jù)和報(bào)告是可信的���。應(yīng)用系統(tǒng)控制審計(jì)是對業(yè)務(wù)流程中的自動(dòng)化控制活動(dòng)進(jìn)行審計(jì),以合理保證交易的有效性���、經(jīng)適當(dāng)授權(quán)和記錄�����、完成的完整性、準(zhǔn)確性和及時(shí)性�。項(xiàng)目及系統(tǒng)績效審計(jì)是對信息化項(xiàng)目的過程及成果對企業(yè)和業(yè)務(wù)產(chǎn)生的效益進(jìn)行審計(jì),用來合理保證信息化項(xiàng)目的投資/產(chǎn)出比例符合建設(shè)的目標(biāo)�,以及信息系統(tǒng)對企業(yè)戰(zhàn)略起到的預(yù)期的支撐作用。圍繞上述三個(gè)方面���,廣州地鐵內(nèi)部審計(jì)確立了以下的實(shí)施框架�����。
(1)確立整體計(jì)算機(jī)控制安全����、操作、變更的三個(gè)評價(jià)維度���,圍繞“信息系統(tǒng)全生命周期”����,明確整體計(jì)算機(jī)控制十個(gè)流程����。
廣州地鐵通過學(xué)習(xí)和借鑒國際信息系統(tǒng)技術(shù)管理和控制標(biāo)準(zhǔn)COBIT,建立起了一套自己的整體計(jì)算機(jī)控制審計(jì)框架�����?����?蚣芸砂戳鞒毯涂刂祁愋蛢煞N方式進(jìn)行劃分���,兩種劃分方式在本質(zhì)上是一致的��。在按流程劃分出的每個(gè)子流程中����,信息系統(tǒng)審計(jì)人員需要從變更、安全�、操作的角度去確認(rèn)和評估具體的控制點(diǎn);在按控制職能所作的劃分中���,審計(jì)人員需要圍繞信息系統(tǒng)的策略與計(jì)劃�、信息系統(tǒng)操作��、與外部供應(yīng)商關(guān)系��、業(yè)務(wù)可持續(xù)計(jì)劃����、應(yīng)用系統(tǒng)開發(fā)、數(shù)據(jù)庫�、軟件支持���、網(wǎng)絡(luò)�、硬件等十個(gè)子流程進(jìn)行審計(jì)。圍繞安全��、變更�����、操作三個(gè)角度及十個(gè)子流程���,廣州地鐵共梳理出有關(guān)整體計(jì)算機(jī)控制的41項(xiàng)審計(jì)內(nèi)容���,并針對每一項(xiàng)內(nèi)容明確了控制目標(biāo)和風(fēng)險(xiǎn),建立起了一套完整的整體計(jì)算機(jī)控制矩陣��。例如�,信息系統(tǒng)策略和計(jì)劃子流程中,廣州地鐵明確了整體計(jì)算機(jī)控制的三大目標(biāo)———信息系統(tǒng)戰(zhàn)略���、規(guī)劃和預(yù)算應(yīng)與實(shí)際業(yè)務(wù)和戰(zhàn)略目標(biāo)保持一致�����,計(jì)算機(jī)處理環(huán)境應(yīng)得到具有適當(dāng)技能和經(jīng)驗(yàn)的人員的充分支持和保證����,以及計(jì)算機(jī)處理環(huán)境中的人員應(yīng)接受適當(dāng)?shù)呐嘤?xùn),審計(jì)人員在此基礎(chǔ)上針對各控制目標(biāo)����,識別并歸納出廣州地鐵現(xiàn)行的9個(gè)控制活動(dòng)。在具體開展信息系統(tǒng)整體計(jì)算機(jī)控制審計(jì)時(shí)�����,信息系統(tǒng)審計(jì)人員根據(jù)審計(jì)項(xiàng)目的特點(diǎn)和要求�����,選擇需要評價(jià)的子流程���,再對照子流程的控制活動(dòng)進(jìn)行評估及測試即可���。
(2)從內(nèi)部控制目標(biāo)出發(fā),將信息系統(tǒng)應(yīng)用控制劃分為訪問控制���、完整性控制及數(shù)據(jù)質(zhì)量控制三大方面���。
廣州地鐵將信息系統(tǒng)的應(yīng)用控制劃分為應(yīng)用系統(tǒng)訪問控制、流程和系統(tǒng)完整性控制以及數(shù)據(jù)質(zhì)量控制三大類����,并針對各類控制分別設(shè)計(jì)了不同的審計(jì)內(nèi)容。一是應(yīng)用系統(tǒng)授權(quán)訪問控制審計(jì)包括對系統(tǒng)的認(rèn)證方式���、授權(quán)機(jī)制���、權(quán)限的分配管理以及不相容職責(zé)分離在系統(tǒng)中的實(shí)現(xiàn)情況的審計(jì),目的在于保證經(jīng)過允許的人才能訪問和操作系統(tǒng)��。二是流程和系統(tǒng)完整性控制審計(jì)是對系統(tǒng)輸入�、處理、輸出以及接口等各種系統(tǒng)運(yùn)行規(guī)則的審計(jì)���,用以保證所有經(jīng)允許處理的數(shù)據(jù)均轉(zhuǎn)換到介質(zhì)上并被處理��,且處理的結(jié)果可通過適當(dāng)?shù)姆绞郊右暂敵?��,所有輸入、轉(zhuǎn)換���、處理和輸出均在正常的時(shí)間內(nèi)準(zhǔn)確地進(jìn)行�����。三是數(shù)據(jù)質(zhì)量控制審計(jì)則是指對信息系統(tǒng)中的數(shù)據(jù)的完整性�、規(guī)范性和有效性所進(jìn)行的審計(jì),旨在保證所有系統(tǒng)的輸出均反映為經(jīng)批準(zhǔn)的有效的經(jīng)濟(jì)業(yè)務(wù)����,所有經(jīng)過系統(tǒng)的數(shù)據(jù)真實(shí)、有效�,且能滿足企業(yè)各項(xiàng)業(yè)務(wù)的使用要求。
(3)圍繞“信息化項(xiàng)目”和“信息系統(tǒng)”�����,綜合評價(jià)信息化建設(shè)的效益����。
在開展整體計(jì)算機(jī)控制審計(jì)和應(yīng)用控制審計(jì)的基礎(chǔ)上,廣州地鐵從企業(yè)經(jīng)營和投資效益的視角出發(fā)��,在信息系統(tǒng)審計(jì)中引入了3E審計(jì)的概念�����,嘗試對信息系統(tǒng)建設(shè)項(xiàng)目的成效����、建成后系統(tǒng)的應(yīng)用效能以及信息化對戰(zhàn)略的支撐效果進(jìn)行審計(jì)��。為了全面評價(jià)項(xiàng)目��,廣州地鐵通常將對單個(gè)信息系統(tǒng)建設(shè)項(xiàng)目的合規(guī)性審計(jì)與項(xiàng)目效能審計(jì)結(jié)合在一起開展。一是信息系統(tǒng)建設(shè)成效審計(jì)旨在通過對系統(tǒng)建設(shè)全過程的審計(jì)�,促進(jìn)信息系統(tǒng)的建設(shè)規(guī)范性,提高信息系統(tǒng)建設(shè)的質(zhì)量����。二是信息系統(tǒng)應(yīng)用效能審計(jì)包括對業(yè)務(wù)需求的實(shí)現(xiàn)情況、建成功能的使用情況的審計(jì)分析��,以及對系統(tǒng)應(yīng)用對業(yè)務(wù)管理規(guī)范化�����、標(biāo)準(zhǔn)化和精細(xì)化提升作用的綜合評價(jià)�����,目的在于促進(jìn)系統(tǒng)使用價(jià)值的最大化�����,減少系統(tǒng)建設(shè)的投資浪費(fèi)。三是戰(zhàn)略支撐效果審計(jì)是從支持戰(zhàn)略實(shí)現(xiàn)的角度��,評價(jià)信息系統(tǒng)的建設(shè)效益���,保證信息化建設(shè)在符合業(yè)務(wù)管理要求的同時(shí)��,符合公司戰(zhàn)略的需要��,支持公司戰(zhàn)略的實(shí)現(xiàn)�����。
三�����、信息系統(tǒng)審計(jì)實(shí)施步驟
信息系統(tǒng)審計(jì)步驟(或流程)�����,是審計(jì)工作從開始到結(jié)束的整個(gè)過程���。信息系統(tǒng)審計(jì)流程一般可劃分為四個(gè)階段:計(jì)劃階段、實(shí)施階段����、報(bào)告階段和后續(xù)階段�。計(jì)劃階段是信息系統(tǒng)審計(jì)流程的起點(diǎn)�,此階段的主要工作包括了解被審計(jì)系統(tǒng)的基本情況,初步評價(jià)被審計(jì)單位信息系統(tǒng)的內(nèi)部控制和外部控制����,識別重要性和編制審計(jì)計(jì)劃。實(shí)施階段是根據(jù)計(jì)劃階段確定的審計(jì)范圍�����、重點(diǎn)���、步驟和方法進(jìn)行有針對性的取證、評價(jià)����,并形成審計(jì)結(jié)論的過程。實(shí)施階段是信息系統(tǒng)審計(jì)工作的核心�����,主要由符合性測試和實(shí)質(zhì)性測試兩個(gè)部分構(gòu)成�����。在報(bào)告階段,信息系統(tǒng)審計(jì)人員需運(yùn)用專業(yè)判斷���,整理��、評價(jià)收集到的審計(jì)證據(jù)�,以經(jīng)過核實(shí)的審計(jì)證據(jù)為依據(jù)�,形成審計(jì)意見,出具審計(jì)報(bào)告�����。審計(jì)報(bào)告的出具并不意味著信息系統(tǒng)審計(jì)工作的終結(jié)��。根據(jù)國際信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)���,信息系統(tǒng)審計(jì)人員對于系統(tǒng)中發(fā)現(xiàn)的重大問題和漏洞�����,需要對被審計(jì)單位所采取的糾正措施及其效果進(jìn)行后續(xù)審計(jì)�����。審計(jì)人員需要將后續(xù)審計(jì)納入計(jì)劃��,并安排必要的人員和時(shí)間進(jìn)行后續(xù)審計(jì)���。廣州地鐵IT審計(jì)模塊成立之初����,即明確了IT審計(jì)“對公司的系統(tǒng)流程與控制��、項(xiàng)目進(jìn)行審計(jì)”和“提供有益于增加公司價(jià)值的咨詢服務(wù)”兩項(xiàng)核心職責(zé)�����,并圍繞公司戰(zhàn)略��,以“風(fēng)險(xiǎn)導(dǎo)向”����、“服務(wù)戰(zhàn)略”理念為指導(dǎo)���,從信息系統(tǒng)審計(jì)戰(zhàn)略規(guī)劃和具體項(xiàng)目執(zhí)行兩個(gè)層面分別制定信息系統(tǒng)審計(jì)的流程�。
1���、以公司戰(zhàn)略為導(dǎo)向��,制定信息系統(tǒng)審計(jì)的戰(zhàn)略規(guī)劃
一直以來���,廣州地鐵奉行“源于戰(zhàn)略���、服務(wù)于戰(zhàn)略”的現(xiàn)代審計(jì)理念。這一理念主要體現(xiàn)在兩個(gè)方面:一是在制定內(nèi)審工作計(jì)劃時(shí)���,從公司戰(zhàn)略出發(fā)����,制定各個(gè)內(nèi)審業(yè)務(wù)及各專業(yè)審計(jì)模塊的戰(zhàn)略��,并以業(yè)務(wù)戰(zhàn)略為指導(dǎo)��,開展具體的審計(jì)工作����;二是在開展審計(jì)項(xiàng)目的過程中,始終從保障公司戰(zhàn)略執(zhí)行的角度去發(fā)現(xiàn)問題���、評價(jià)問題�����,提出整改意見和落實(shí)整改��。信息系統(tǒng)審計(jì)的戰(zhàn)略規(guī)劃來源于公司的戰(zhàn)略�,以及以公司戰(zhàn)略指導(dǎo)制定的公司信息系統(tǒng)戰(zhàn)略規(guī)劃和內(nèi)部審計(jì)業(yè)務(wù)戰(zhàn)略規(guī)劃;同時(shí)還須結(jié)合公司信息化現(xiàn)狀和IT審計(jì)模塊定位���,明確廣州地鐵IT審計(jì)發(fā)展戰(zhàn)略目標(biāo)���。
2、通過風(fēng)險(xiǎn)評估��,確定各信息系統(tǒng)風(fēng)險(xiǎn)等級�����,制定層次分明�����、重點(diǎn)突出的信息系統(tǒng)循環(huán)審計(jì)計(jì)劃
為利用有限的審計(jì)資源掌握公司主要信息系統(tǒng)的建設(shè)��、運(yùn)營情況�����,保障信息資源的有效利用��,降低公司信息系統(tǒng)的整體風(fēng)險(xiǎn)���,廣州地鐵建立了一套“根據(jù)信息系統(tǒng)風(fēng)險(xiǎn)評級制定差異化的審計(jì)策略”�。
(1)梳理信息系統(tǒng)脈絡(luò)��,全面掌握信息系統(tǒng)現(xiàn)狀�。
廣州地鐵結(jié)合信息系統(tǒng)規(guī)劃、建設(shè)和運(yùn)營的情況及系統(tǒng)分類梳理出被審計(jì)信息系統(tǒng)清單�����,并從系統(tǒng)構(gòu)成要素的角度收集系統(tǒng)相關(guān)的信息�。這些信息包括系統(tǒng)名稱、功能模塊����、采用產(chǎn)品等基本信息,以及項(xiàng)目的建設(shè)信息�����、系統(tǒng)的使用狀況和運(yùn)維的基本情況。這些信息是風(fēng)險(xiǎn)評分的依據(jù)���,也為后續(xù)開展具體審計(jì)工作時(shí)確定審計(jì)方案提供了指引����。
(2)開展信息系統(tǒng)風(fēng)險(xiǎn)評級����,制定風(fēng)險(xiǎn)導(dǎo)向型審計(jì)計(jì)劃。
內(nèi)審人員從通用風(fēng)險(xiǎn)��、業(yè)務(wù)風(fēng)險(xiǎn)��、項(xiàng)目風(fēng)險(xiǎn)���、系統(tǒng)風(fēng)險(xiǎn)�、數(shù)據(jù)風(fēng)險(xiǎn)和人員風(fēng)險(xiǎn)六大風(fēng)險(xiǎn)類別出發(fā)�,全面識別信息系統(tǒng)各類構(gòu)成要素中存在的風(fēng)險(xiǎn);對信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評價(jià)����,根據(jù)風(fēng)險(xiǎn)得分將信息系統(tǒng)按優(yōu)先級分別劃分為高、中���、低三類���。結(jié)合公司IT審計(jì)資源的情況,對優(yōu)先等級高的系統(tǒng)采用三年一審策略����,中等級系統(tǒng)5—6年一個(gè)審計(jì)周期,風(fēng)險(xiǎn)等級低的系統(tǒng)則根據(jù)需要安排審計(jì)�。在此審計(jì)策略的基礎(chǔ)上,再綜合考慮公司業(yè)務(wù)的十大風(fēng)險(xiǎn)���、領(lǐng)導(dǎo)關(guān)注事項(xiàng)�、上一年度內(nèi)控評價(jià)結(jié)果和審計(jì)項(xiàng)目成果���、公司新一年的工作重點(diǎn)���、公司信息系統(tǒng)的變動(dòng)情況,并制定出本年度的信息系統(tǒng)審計(jì)計(jì)劃�。
3、以風(fēng)險(xiǎn)為導(dǎo)向���,開展信息系統(tǒng)審計(jì)
在項(xiàng)目實(shí)施階段�,審計(jì)人員必須從公司整體信息系統(tǒng)控制環(huán)境和被審計(jì)系統(tǒng)的狀況、流程與內(nèi)部控制兩個(gè)方面進(jìn)一步收集被審計(jì)系統(tǒng)的相關(guān)資料���,了解和確認(rèn)被審計(jì)單位已建立的內(nèi)部控制措施�����,并對這些控制措施的設(shè)計(jì)是否達(dá)到控制目標(biāo)進(jìn)行評估����。
(1)以“輪流循環(huán)+以點(diǎn)帶面”的方式開展整體計(jì)算機(jī)控制審計(jì)�。
公司的信息化業(yè)務(wù)采用統(tǒng)一集中管理的模式,整體計(jì)算機(jī)控制對各個(gè)系統(tǒng)具有一定的通用性����。因此,在實(shí)務(wù)操作中����,廣州地鐵采用“以點(diǎn)帶面”的策略,以單個(gè)信息系統(tǒng)整體計(jì)算機(jī)控制為切入點(diǎn)對整體計(jì)算機(jī)控制進(jìn)行審計(jì)���,評價(jià)整體信息系統(tǒng)的安全性��;同時(shí)�����,考慮到信息系統(tǒng)在一定時(shí)間內(nèi)相對穩(wěn)定�,因此在實(shí)施整體計(jì)算機(jī)控制審計(jì)時(shí)可采取輪流測試的方式��,即每年從十個(gè)子流程中選取幾個(gè)進(jìn)行測試�,經(jīng)過一定周期后,完成對整體計(jì)算機(jī)控制的全面審計(jì)���。例如��,在2011年開展的信息安全審計(jì)項(xiàng)目中��,審計(jì)人員就圍繞信息安全這個(gè)審計(jì)主題���,從十個(gè)子流程中選取了與信息安全直接相關(guān)的信息系統(tǒng)操作、信息系統(tǒng)安全���、業(yè)務(wù)可持續(xù)計(jì)劃�、應(yīng)用系統(tǒng)開發(fā)與實(shí)施���、數(shù)據(jù)庫開發(fā)與實(shí)施和系統(tǒng)軟件支持等六個(gè)流程進(jìn)行審計(jì)��。分步�、循環(huán)開展整體計(jì)算機(jī)審計(jì),在審計(jì)風(fēng)險(xiǎn)可控的情況下�,大大節(jié)省了審計(jì)資源,也使得審計(jì)人員能夠更加深入地挖掘和分析整體計(jì)算機(jī)控制方面所存在問題以及問題的成因�����,提出更為切實(shí)可行���、同時(shí)又符合公司信息化業(yè)務(wù)發(fā)展現(xiàn)狀和要求的整改措施����。
(2)以風(fēng)險(xiǎn)為著眼點(diǎn)�����,確定應(yīng)用控制審計(jì)重點(diǎn)����。
應(yīng)用控制是各個(gè)信息系統(tǒng)內(nèi)部所建立的控制機(jī)制,應(yīng)用控制審計(jì)必須針對某個(gè)具體信息系統(tǒng)開展�。在開展應(yīng)用控制審計(jì)的過程中����,審計(jì)人員應(yīng)緊緊圍繞“風(fēng)險(xiǎn)”這個(gè)著眼點(diǎn)�����,通過對原有業(yè)務(wù)成熟度和系統(tǒng)建設(shè)過程中風(fēng)險(xiǎn)的評估�����,選擇不同的審計(jì)側(cè)重點(diǎn)開展應(yīng)用控制審計(jì)�����。例如����,在合同管理系統(tǒng)審計(jì)項(xiàng)目中��,由于合同管理系統(tǒng)是全新開發(fā)的系統(tǒng)���,審計(jì)人員經(jīng)分析�����,判定系統(tǒng)在應(yīng)用系統(tǒng)訪問控制方面的風(fēng)險(xiǎn)較高�����。而在進(jìn)行控制評估和測試后����,審計(jì)人員發(fā)現(xiàn)業(yè)務(wù)人員在創(chuàng)建系統(tǒng)權(quán)限設(shè)置機(jī)制時(shí)完全套用了公司辦公自動(dòng)化系統(tǒng)的權(quán)限機(jī)制,而未針對合同業(yè)務(wù)流程中不同于公司組織架構(gòu)下的角色設(shè)立相應(yīng)的用戶組����,導(dǎo)致系統(tǒng)無法實(shí)現(xiàn)合同經(jīng)辦人與審批人職責(zé)的分離,存在重大的內(nèi)控風(fēng)險(xiǎn)����。
四、信息系統(tǒng)審計(jì)方法
在信息系統(tǒng)審計(jì)中����,可因地制宜,綜合運(yùn)用多種學(xué)科的技術(shù)方法�����,包括:傳統(tǒng)審計(jì)中內(nèi)部控制測評的基本方法和審計(jì)取證的基本方法(包括審閱�����、核對、監(jiān)盤����、觀察、查詢�、函證、計(jì)算��、分析性復(fù)核)����;計(jì)算機(jī)科學(xué)的技術(shù)方法����,如數(shù)據(jù)測試法、程序編碼審查法����、受控處理法、受控再處理法�����、整體測試法、平行模擬法�、程序比較法、漏洞掃描����、入侵檢測、嵌入審計(jì)程序法等等����;行為科學(xué)的技術(shù)方法,如運(yùn)用組織發(fā)展的理論與方法�、個(gè)體行為一般規(guī)律的理論和方法。這些方法與技術(shù)并不是孤立的���,而是互相聯(lián)系的�����。目前����,廣州地鐵在信息系統(tǒng)審計(jì)中所運(yùn)用的方法仍主要集中在傳統(tǒng)的內(nèi)控審計(jì)方法和信息系統(tǒng)管理的技術(shù)方法兩個(gè)領(lǐng)域�����,具體包括詢問、觀察��、文件復(fù)核���、抽樣���、重新執(zhí)行、使用計(jì)算機(jī)輔助軟件等��。在部分項(xiàng)目中���,也采用了一些計(jì)算機(jī)科學(xué)的技術(shù)方法。受限于審計(jì)資源不足�����,廣州地鐵較少采用程序比較法����、平行模擬法、程序編碼審查法等高成本的審計(jì)方法�,而傾向于選用一些較為高效的測試方法。但這些高效方法的運(yùn)用不能完全消除審計(jì)風(fēng)險(xiǎn),這就需要審計(jì)人員根據(jù)自身的經(jīng)驗(yàn)盡量避免����。
1、傳統(tǒng)審計(jì)方法的運(yùn)用
廣州地鐵在開展信息系統(tǒng)審計(jì)過程中較多運(yùn)用傳統(tǒng)審計(jì)的方法�����。例如�,在對信息系統(tǒng)整體計(jì)算機(jī)控制進(jìn)行審計(jì)時(shí),通過對系統(tǒng)使用人員的訪談��、調(diào)研和對系統(tǒng)各項(xiàng)操作的觀察����,梳理出整體計(jì)算機(jī)控制相關(guān)的各種控制活動(dòng)。在沒有測試環(huán)境的情況下對生產(chǎn)在用信息系統(tǒng)的人機(jī)交互界面和功能進(jìn)行調(diào)查和確認(rèn)時(shí)����,審計(jì)人員大量運(yùn)用了觀察的方法。在對固定資產(chǎn)信息系統(tǒng)模塊進(jìn)行審計(jì)中���,審計(jì)人員通過觀察物資采購人員��、資產(chǎn)管理人員�、會(huì)計(jì)核算人員在系統(tǒng)中的操作界面、系統(tǒng)實(shí)現(xiàn)效果以及業(yè)務(wù)操作流程來了解系統(tǒng)功能的構(gòu)造�。發(fā)現(xiàn)采購中的供應(yīng)商信息在跨系統(tǒng)流程過程中丟失,導(dǎo)致財(cái)務(wù)系統(tǒng)和實(shí)物管理的MAXIMO系統(tǒng)的資產(chǎn)臺賬中均缺少供應(yīng)商信息��,致使日后采購?fù)愇镔Y時(shí)�����,采購人員無法獲取歷史采購信息作為參考�,增加了市場調(diào)研成本。除內(nèi)控矩陣和訪談�、觀察等方法之外,編制流程圖�����、數(shù)據(jù)流圖和報(bào)表流圖也是信息系統(tǒng)審計(jì)經(jīng)常使用的方法�。
2、計(jì)算機(jī)科學(xué)技術(shù)方法的運(yùn)用
計(jì)算機(jī)科學(xué)技術(shù)方法是信息系統(tǒng)審計(jì)特有的方法�,來源于IT行業(yè)的信息技術(shù)的轉(zhuǎn)換應(yīng)用���,主要包括基于數(shù)據(jù)分析的方法和基于程序分析的方法����,這些方法的綜合使用使得對信息系統(tǒng)的審計(jì)更加有效。具體方法的選用需視被審計(jì)系統(tǒng)的實(shí)際情況而定����。在一個(gè)審計(jì)項(xiàng)目中,廣州地鐵審計(jì)人員經(jīng)常將多種方法結(jié)合使用�����。例如�,在票務(wù)收入系統(tǒng)審計(jì)項(xiàng)目中,審計(jì)人員首先采用數(shù)據(jù)測試法����,使用正常及非正常的測試地鐵票搭乘地鐵,在系統(tǒng)中跟蹤測試票的處理情況���,以驗(yàn)證系統(tǒng)處理與控制功能是否均有效�����;在對系統(tǒng)中后期內(nèi)部開發(fā)的車站單程票售賣功能進(jìn)行審計(jì)時(shí)���,審計(jì)人員采用了程序編碼審查法,對系統(tǒng)的源程序編碼進(jìn)行審查����,審查后發(fā)現(xiàn)單程票售賣金額統(tǒng)計(jì)報(bào)表在進(jìn)行數(shù)據(jù)處理時(shí)省略了小數(shù)點(diǎn)后的尾數(shù)��,導(dǎo)致報(bào)表金額存在偏差�����;在對票務(wù)系統(tǒng)的清分報(bào)表進(jìn)行驗(yàn)證時(shí)�����,審計(jì)人員又采用了平行模擬法���,抽取系統(tǒng)中一段時(shí)間內(nèi)的正式交易記錄,在系統(tǒng)外模擬系統(tǒng)的處理規(guī)則對交易記錄進(jìn)行處理��,并將處理結(jié)果與系統(tǒng)的報(bào)表數(shù)據(jù)進(jìn)行核對���,結(jié)果發(fā)現(xiàn)系統(tǒng)在數(shù)據(jù)傳遞和處理過程中��,由于系統(tǒng)對于異常數(shù)據(jù)的審核過于嚴(yán)格����,導(dǎo)致部分正常數(shù)據(jù)被當(dāng)作垃圾數(shù)據(jù)丟進(jìn)異常庫��,給公司造成票務(wù)損失��。
3��、計(jì)算機(jī)輔助審計(jì)軟件的應(yīng)用
計(jì)算機(jī)輔助審計(jì)軟件的應(yīng)用是信息系統(tǒng)審計(jì)的一個(gè)顯著特點(diǎn)���,也是審計(jì)人員準(zhǔn)備階段需要重點(diǎn)關(guān)注的問題之一��。目前�����,廣州地鐵對計(jì)算機(jī)輔助審計(jì)軟件的應(yīng)用主要體現(xiàn)在以下兩個(gè)方面����。
(1)對系統(tǒng)中數(shù)據(jù)的準(zhǔn)確性�����、完整性和一致性的檢查����。
例如,在合同管理系統(tǒng)審計(jì)項(xiàng)目中�����,為核對系統(tǒng)接口程序的可靠性,審計(jì)人員利用審計(jì)輔助軟件快速完成了對合同系統(tǒng)和財(cái)務(wù)系統(tǒng)數(shù)據(jù)一致性的核對�����,迅速查找出兩個(gè)系統(tǒng)中不一致的數(shù)據(jù)���。經(jīng)過深入分析�����,審計(jì)人員發(fā)現(xiàn)由于財(cái)務(wù)核算人員在財(cái)務(wù)系統(tǒng)中復(fù)核合同支付數(shù)據(jù)時(shí)發(fā)現(xiàn)錯(cuò)誤�,將支付申請退回給合同系統(tǒng)再由合同經(jīng)辦人重新填報(bào)時(shí)����,合同系統(tǒng)未對已生成的支付信息進(jìn)行更新,導(dǎo)致上述問題的出現(xiàn)�。針對海量數(shù)據(jù)處理系統(tǒng),數(shù)據(jù)驗(yàn)證是審計(jì)的重點(diǎn)��,計(jì)算機(jī)輔助軟件是“不可或缺”的審計(jì)工具�。在地鐵票務(wù)收入保障審計(jì)項(xiàng)目中,審計(jì)人需要通過數(shù)據(jù)驗(yàn)證的方式對業(yè)務(wù)處理的核心系統(tǒng)———自動(dòng)售檢票(AFC)系統(tǒng)中的系統(tǒng)傳輸和處理機(jī)制進(jìn)行驗(yàn)證。為此�����,審計(jì)人員共設(shè)計(jì)了8大類29子類47個(gè)數(shù)據(jù)驗(yàn)證主題���。審計(jì)時(shí),審計(jì)人員運(yùn)用計(jì)算機(jī)輔助審計(jì)技術(shù)���,在兩個(gè)月內(nèi)完成了對AFC系統(tǒng)中10天總計(jì)超過3億條運(yùn)營數(shù)據(jù)的驗(yàn)證工作���。
(2)利用計(jì)算機(jī)輔助軟件進(jìn)行對比測試。
即審計(jì)人員從信息系統(tǒng)中抽取某部門樣本數(shù)據(jù)��,將樣本數(shù)據(jù)輸入到與計(jì)算機(jī)輔助軟件中進(jìn)行處理�����,把審計(jì)軟件輸出的結(jié)果與業(yè)務(wù)系統(tǒng)產(chǎn)生的結(jié)果進(jìn)行對比分析�����,以判定業(yè)務(wù)系統(tǒng)的可靠性與準(zhǔn)確性����。廣州地鐵在已開展的運(yùn)營票務(wù)收入保障審計(jì)項(xiàng)目中大量地使用了此種方式�。審計(jì)人員將各車站站務(wù)人員在票務(wù)系統(tǒng)中錄入的售票數(shù)據(jù)導(dǎo)入到計(jì)算機(jī)輔助軟件中���,按照業(yè)務(wù)規(guī)則對數(shù)據(jù)進(jìn)行處理���,將處理結(jié)果和系統(tǒng)輸出的結(jié)果進(jìn)行對比。經(jīng)對比�,審計(jì)人員發(fā)現(xiàn)票務(wù)系統(tǒng)在處理異常數(shù)據(jù)時(shí)過于嚴(yán)格,導(dǎo)致部分非異常數(shù)據(jù)被系統(tǒng)當(dāng)作異常數(shù)據(jù)丟入異常庫中���,給公司造成票務(wù)損失�����。
篇6
2.信息系統(tǒng)審計(jì)專業(yè)人才比較缺乏我國國內(nèi)的審計(jì)人員不僅在數(shù)量上存在欠缺���,質(zhì)量上更是有待提高。當(dāng)前我國金融界審計(jì)隊(duì)伍中��,主要由財(cái)經(jīng)類專業(yè)人員構(gòu)成���,嚴(yán)重缺乏既掌握現(xiàn)代審計(jì)理論與技術(shù)又精通計(jì)算機(jī)知識與技能的新型復(fù)合型人才��。傳統(tǒng)的審計(jì)人員雖在財(cái)會(huì)審計(jì)領(lǐng)域經(jīng)驗(yàn)豐富���,但對計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)了解不多����,這使得他們難以對復(fù)雜的網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)進(jìn)行有效的評審��,難以應(yīng)付電子商務(wù)環(huán)境下的審計(jì)風(fēng)險(xiǎn)�����。
3.缺乏有效的通用信息系統(tǒng)審計(jì)軟件通用的審計(jì)軟件具有計(jì)算機(jī)輔助審計(jì)軟件的各種功能��,并且在計(jì)算機(jī)環(huán)境中���,通過數(shù)據(jù)接口與被審計(jì)信息系統(tǒng)連接,同時(shí)將審計(jì)工作程序化�,從而在很大程度上代替了手工審計(jì)。目前我國信息系統(tǒng)審計(jì)剛起步不久���,在信息系統(tǒng)審計(jì)軟件這方面還存在很大空缺�����,通用的信息系統(tǒng)審計(jì)軟件幾乎不存在�����。此外���,我國現(xiàn)有的財(cái)務(wù)軟件大多沒有審計(jì)接口���,審計(jì)軟件無法獲取所需系統(tǒng)的電子資料。
二����、我國商業(yè)銀行信息系統(tǒng)審計(jì)的發(fā)展策略
1.信息系統(tǒng)審計(jì)制度與準(zhǔn)則制定方面根據(jù)國際趨同的要求,我國應(yīng)建立國際標(biāo)準(zhǔn)框架下具有各行特色的標(biāo)準(zhǔn)和規(guī)范體系�。因而,我國商業(yè)銀行也可應(yīng)把目前國際上公認(rèn)的最先進(jìn)、最權(quán)威的信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)——COB信息系統(tǒng)作為核心標(biāo)準(zhǔn)��,建立符合中國實(shí)際���、順應(yīng)國際準(zhǔn)則趨同化要求的內(nèi)控�����、風(fēng)險(xiǎn)管理體系�����、信息系統(tǒng)監(jiān)審機(jī)制和制度�。同時(shí)借鑒巴塞爾協(xié)議、BS7799���、COSO等其他國際標(biāo)準(zhǔn)和原則����,進(jìn)而確立適合各行的信息系統(tǒng)審計(jì)目標(biāo)��、對象�����、范圍��、方法���、流程等,具體指導(dǎo)信息系統(tǒng)審計(jì)工作����。
2.信息系統(tǒng)審計(jì)管理方面第一�����,建立全方位信息系統(tǒng)審計(jì)管理體系��。一方面���,商業(yè)銀行要切實(shí)落實(shí)《金融機(jī)構(gòu)計(jì)算機(jī)安全保護(hù)工作暫行規(guī)定》要求,合理安排基礎(chǔ)設(shè)施和安全防范措施���。另一方面�����,監(jiān)管部門應(yīng)加強(qiáng)對我國商業(yè)銀行的信息系統(tǒng)審計(jì)的監(jiān)管�,將信息系統(tǒng)安全作為監(jiān)管的重要內(nèi)容��,將信息系統(tǒng)審計(jì)作為評價(jià)其安全性的重要因素���。第二�����,進(jìn)行信息系統(tǒng)審計(jì)人員的技術(shù)角色劃分,突出信息系統(tǒng)審計(jì)的技術(shù)特色���。根據(jù)各商業(yè)銀行自己的信息系統(tǒng)技術(shù)體系及信息系統(tǒng)審計(jì)資源,劃分不同的信息系統(tǒng)審計(jì)技術(shù)角色,突出信息系統(tǒng)審計(jì)的技術(shù)特色,提升信息系統(tǒng)審計(jì)層次���。
篇7
二、完善內(nèi)部控制審計(jì)�����,提高審計(jì)質(zhì)量
1.擴(kuò)大重點(diǎn)審計(jì)范圍由于我國內(nèi)部控制系統(tǒng)審計(jì)開展的時(shí)間較晚�����,目前還處于實(shí)施的初步階段��,特別是在當(dāng)前內(nèi)部控制環(huán)境對內(nèi)部控制系統(tǒng)審計(jì)實(shí)施不利的情況下����,更應(yīng)該加大對重點(diǎn)審計(jì)范圍�。我國企業(yè)內(nèi)部控制實(shí)施的目的是為了起到對管理者監(jiān)督的作用,從而確保企業(yè)能夠健康的發(fā)展����,所以內(nèi)部控制系統(tǒng)審計(jì)的審計(jì)重點(diǎn)需要找出內(nèi)部控制制度的漏洞和不足之處,同時(shí)還要根據(jù)行業(yè)和企業(yè)規(guī)模的不同�����,制定不同的審計(jì)計(jì)劃,同時(shí)可以將與財(cái)務(wù)報(bào)表審計(jì)相關(guān)的內(nèi)部控制作為內(nèi)部控制系統(tǒng)審計(jì)的重點(diǎn)范圍����,同時(shí)還要對其他內(nèi)部控制信息加強(qiáng)審計(jì)。
2.吸取別國經(jīng)驗(yàn)與創(chuàng)新審計(jì)方法內(nèi)部控制系統(tǒng)審計(jì)最早由美國開始實(shí)施���,所以目前各國內(nèi)部控制審計(jì)準(zhǔn)則都是以美國為范本而制定的����,這就需要我們在內(nèi)部控制審計(jì)實(shí)施過程中要做好吸收和借鑒工作�����,趨利避害��,做好提前預(yù)防工作�。目前經(jīng)濟(jì)全球化的發(fā)展步伐不斷加大,但這并不意味著全球內(nèi)部控制控制或是內(nèi)部控制系統(tǒng)審計(jì)準(zhǔn)則都要具有一致性���,其實(shí)在具體實(shí)務(wù)中�����,企業(yè)內(nèi)部控制制度都是針對企業(yè)自身的特點(diǎn)制定的���,所以差異性較大����,這就決定了企業(yè)內(nèi)部控制系統(tǒng)審計(jì)也不可能都如出一轍��。所以在目前這種情況下����,我國企業(yè)內(nèi)部控制系統(tǒng)審計(jì)需要根據(jù)我國的實(shí)際國情,制定與我國社會(huì)主義市場經(jīng)濟(jì)相符合的內(nèi)部控制系統(tǒng)審計(jì)準(zhǔn)則���,這親不僅有利于我國企業(yè)內(nèi)部控制制度的健康刀菜��,而且對于降低社會(huì)成本也具有積極的意義����。
篇8
二���、轉(zhuǎn)型環(huán)境下提高基層人民銀行信息系統(tǒng)審計(jì)水平的對策
(一)創(chuàng)新審計(jì)流程,強(qiáng)化信息系統(tǒng)事前和事中審計(jì)����。信息系統(tǒng)審計(jì)是以保證計(jì)算機(jī)信息系統(tǒng)安全平穩(wěn)運(yùn)行����,有效控制風(fēng)險(xiǎn)為目標(biāo)的���,如果僅從合規(guī)性的角度進(jìn)行信息系統(tǒng)審計(jì)����,無法達(dá)到上述目標(biāo)���,因此�,開展信息系統(tǒng)審計(jì)的目的不僅要善于發(fā)現(xiàn)問題��,有效防范已暴露的風(fēng)險(xiǎn)�����,更要分析化解潛在的風(fēng)險(xiǎn)����,以提高審計(jì)效果。這就要求我們要?jiǎng)?chuàng)新審計(jì)流程,改變傳統(tǒng)審計(jì)方法��,采用“參與式”的審計(jì)方式���,加強(qiáng)與科技等部門的溝通交流�,重視事前與事中審計(jì)��。一要完善溝通機(jī)制����。科技與系統(tǒng)應(yīng)用部門應(yīng)及時(shí)將制定的有關(guān)制度��、操作規(guī)程��、系統(tǒng)運(yùn)行中的事故情況�����、解決措施��、處理結(jié)果發(fā)送給內(nèi)審部門��;內(nèi)審部門應(yīng)就審計(jì)系統(tǒng)時(shí)發(fā)現(xiàn)的問題����,及時(shí)向科技和系統(tǒng)應(yīng)用部門進(jìn)行通報(bào)和反饋,并與他們定期或不定期地磋商����、交流,了解各業(yè)務(wù)系統(tǒng)運(yùn)行情況��,更好地發(fā)揮信息系統(tǒng)審計(jì)的作用���。二要組織審計(jì)人員參與新系統(tǒng)的開發(fā)�����、評估�����,并設(shè)計(jì)滿足審計(jì)業(yè)務(wù)需要的功能���,真正做到對信息系統(tǒng)的事前和事中審計(jì)。三是在審計(jì)過程中采用“參與式”審計(jì)方法��,參與信息系統(tǒng)審計(jì)目標(biāo)��、內(nèi)容、計(jì)劃的制訂��,參與審計(jì)中發(fā)現(xiàn)問題的分析����、討論,參與信息系統(tǒng)風(fēng)險(xiǎn)的評估及改進(jìn)措施的制訂等����。
篇9
社保網(wǎng)上申報(bào)系統(tǒng)共設(shè)計(jì)了SINS包和NSSRC包,前者存放Struts控制XML文件,根據(jù)系統(tǒng)各功能模塊的劃分,在Jsp業(yè)務(wù)文件中創(chuàng)建計(jì)劃包、人員包和單位包;后者存放hibernat及其相關(guān)業(yè)務(wù)邏輯,根據(jù)系統(tǒng)各功能模塊的劃分,在此文件中創(chuàng)建計(jì)劃包�����、人員包和單位包���。Globa1NameS.java是NSSRC包中的定義全局靜態(tài)變量,可供整個(gè)系統(tǒng)使用,系統(tǒng)的運(yùn)行模式以及相關(guān)操作均可借助該變量定義完成設(shè)置,在引用該變量時(shí),只需修改文件別名對應(yīng)的字符串即可,無需再對該變量的代碼進(jìn)行改動(dòng)�。通過Hibernate來完成數(shù)據(jù)庫的連接設(shè)置,并在相應(yīng)文件中存放其配置信息,并獲得連接部分的相應(yīng)代碼,接下來完成的事數(shù)據(jù)庫表持久化的設(shè)計(jì),通過數(shù)據(jù)庫中各表對應(yīng)的文件,對各屬性變量及其對應(yīng)的函數(shù)進(jìn)行定義,然后明確存放指向路徑���?;贛VC的Struts框架包括View層�����、Control層和Model層,View層即為系統(tǒng)靜態(tài)頁面和業(yè)務(wù)層返回結(jié)果生成的jsp頁面,均采用javascriPt語言編寫,存放在SINS包中,按照其對應(yīng)的功能模塊,該控制文件會(huì)被劃分為若干Struts控制文件;Control層可指明客戶端表單應(yīng)執(zhí)行的類、方法和路徑,并對客戶端發(fā)送的表單數(shù)據(jù)進(jìn)行處理,最后調(diào)用到具體業(yè)務(wù)層;Model層為整個(gè)框架提供了一個(gè)接口,通過此接口可與JAVA文件相連接�。
1.2系統(tǒng)業(yè)務(wù)功能的實(shí)現(xiàn)
對于社保信息系統(tǒng)而言,不同單位和社保中心數(shù)據(jù)的存儲格式并不相同,往往會(huì)形成多對一的格局,借助XML模式與其他關(guān)系模式的數(shù)據(jù)轉(zhuǎn)換,可最大限度地抽取數(shù)據(jù)轉(zhuǎn)換的共性,而且極大地提高了定制轉(zhuǎn)換的便易性。數(shù)據(jù)交換的精髓在于集中和標(biāo)準(zhǔn),將分散的數(shù)據(jù)進(jìn)行匯集,為社保系統(tǒng)業(yè)務(wù)功能的實(shí)現(xiàn)提供必要的數(shù)據(jù)集合��。采用UML工具對網(wǎng)上申報(bào)系統(tǒng)進(jìn)行建模,并根據(jù)建模結(jié)果而通過編碼實(shí)現(xiàn)��。以在職增員申報(bào)功能為例,通過互聯(lián)網(wǎng)登錄社保網(wǎng)上申報(bào)系統(tǒng)辦理相關(guān)業(yè)務(wù),首先要提交數(shù)據(jù)處理請求,由信息中心輪詢程序?qū)邮盏降恼埱筮M(jìn)行處理,并將處理結(jié)果反饋到系統(tǒng),從而便能夠查看到業(yè)務(wù)辦理的結(jié)果,具體操作流程在界面上均有提示�����。系統(tǒng)業(yè)務(wù)功能的實(shí)現(xiàn)實(shí)際上就是Struts框架中View層��、Control層和Model層的實(shí)現(xiàn)���。
篇10
【作者簡介】張艷玲,渤海大學(xué)副教授����,碩士;王娟�,渤海大學(xué)講師,碩士��,遼寧錦州121000
【中圖分類號】F239.0 【文獻(xiàn)標(biāo)識碼】A 【文章編號】1004-4434(2013)02-0155-05
免疫系統(tǒng)論是對審計(jì)理論的創(chuàng)新和審計(jì)本質(zhì)�、職能的重新界定���,石化企業(yè)作為我國國民經(jīng)濟(jì)的重要組成部分,其在維護(hù)國家經(jīng)濟(jì)安全���、促進(jìn)國有資產(chǎn)保值增值中發(fā)揮中重要作用��。在國際金融危機(jī)影響尚未完全消除���、國內(nèi)外經(jīng)濟(jì)發(fā)展環(huán)境多變、市場競爭日益激烈和企業(yè)風(fēng)險(xiǎn)趨于多元的后金融危機(jī)時(shí)代���。石化企業(yè)必須以免疫系統(tǒng)論作為新的價(jià)值取向深度推進(jìn)審計(jì)文化建設(shè)���,促進(jìn)審計(jì)事業(yè)的創(chuàng)新和發(fā)展,保證企業(yè)可持續(xù)發(fā)展的實(shí)現(xiàn)��。
一��、審計(jì)文化的內(nèi)涵����、特點(diǎn)及功能
(一)審計(jì)文化的內(nèi)涵
審計(jì)文化與文化之間具有密不可分的聯(lián)系,審計(jì)文化是文化的重要組成部分���,要了解審計(jì)文化的內(nèi)涵�����,必須先分析文化的具體內(nèi)容����。關(guān)于文化的內(nèi)涵,在學(xué)術(shù)界有不同觀點(diǎn)��。按照《現(xiàn)代俄語標(biāo)準(zhǔn)辭典》的解析:文化是指人類社會(huì)在生產(chǎn)中�、社會(huì)生活和精神生活中所取得的成就的總和�����,包括物質(zhì)文化和精神文化兩個(gè)層面�。泰勒(1992)認(rèn)為,文化是一個(gè)復(fù)合整體��,包括知識�����、信仰��、藝術(shù)、道德���、法律��、習(xí)俗以及作為一個(gè)社會(huì)成員的人所習(xí)得的其他一切努力和習(xí)慣�。還有學(xué)者認(rèn)為���,文化是代表一定民族特點(diǎn)的反映其理論思維水平的精神面貌�����、心理狀態(tài)���、思維方式和價(jià)值取向等精神成果的總和?�?梢?,文化是一個(gè)多視角、多維度和多層面的概念�����。包括了物質(zhì)���、精神���、理性和感性等多方面的涵義�����。也正是由于文化的復(fù)雜性�,審計(jì)文化也成為了仁者見仁�、智者見智的問題。但整體而言���,審計(jì)文化具有自然屬性和社會(huì)屬性兩種屬性已成為普遍共識。審計(jì)文化的自然屬性是審計(jì)工作中具有的屬性��,是共性�����,如審計(jì)法律法規(guī)�����、審計(jì)準(zhǔn)則����、審計(jì)手段和方法以及審計(jì)行為等�����。審計(jì)文化的自然屬性決定了不同社會(huì)��、不同國家的審計(jì)文化的共性��。是不同國家相互交流的基礎(chǔ)���。審計(jì)文化的社會(huì)屬性是審計(jì)工作中所形成的屬性,是個(gè)性��,其決定了不同社會(huì)���、不同國家審計(jì)文化的差異性���。雖然審計(jì)文化還沒有形成統(tǒng)一、具體的概念�,但學(xué)者普遍認(rèn)為,審計(jì)文化是審計(jì)機(jī)關(guān)及其審計(jì)人員在履行職責(zé)����、發(fā)展審計(jì)事業(yè)過程中培育形成的�����,被共同認(rèn)可��、遵循的價(jià)值觀念����、道德規(guī)范��、行為準(zhǔn)則����、群體意識的總和。不難看出�����,學(xué)者對于審計(jì)文化的理解和認(rèn)同����,主要是集中在審計(jì)價(jià)值觀�����、審計(jì)精神、審計(jì)心理和審計(jì)道德等在內(nèi)的精神方面���。
(二)審計(jì)文化的特點(diǎn)
經(jīng)過近30年的發(fā)展���,審計(jì)文化已經(jīng)逐步形成了區(qū)別于其他文化的特點(diǎn)。(1)時(shí)代性�����。審計(jì)文化是時(shí)展的產(chǎn)物��,無法脫離特定時(shí)代���、特定政治����、經(jīng)濟(jì)和社會(huì)環(huán)境的制約���,隨著社會(huì)經(jīng)濟(jì)關(guān)系的發(fā)展而變化�����,以適應(yīng)社會(huì)經(jīng)濟(jì)發(fā)展對審計(jì)工作的要求����,與審計(jì)工作實(shí)際現(xiàn)狀保持協(xié)調(diào)一致。(2)系統(tǒng)性����。審計(jì)文化包括了審計(jì)物質(zhì)文化、審計(jì)制度文化和審計(jì)精神文化三個(gè)層面�,三者相互關(guān)聯(lián)、缺一不可�����。審計(jì)文化建設(shè)���,不僅要注重制度���、技術(shù)等有形因素,更要重視信念��、價(jià)值觀�����、道德評價(jià)等無形因素��。(3)創(chuàng)新性�。在社會(huì)經(jīng)濟(jì)不斷發(fā)展的背景下,審計(jì)手段���、審計(jì)方法���、審計(jì)理論以及審計(jì)的價(jià)值觀等必定要不斷創(chuàng)新。(4)開放性����。審計(jì)文化與其他文化雖有本質(zhì)區(qū)別,但又相互兼容����,既需要吸收先進(jìn)文化的基本元素,又可以為其他文化提供借鑒和吸收���。(5)科學(xué)性���。審計(jì)文化具有自身的發(fā)展規(guī)律,其發(fā)展以社會(huì)經(jīng)濟(jì)發(fā)展水平和社會(huì)環(huán)境為基礎(chǔ)�����,不能超越于經(jīng)濟(jì)發(fā)展水平的需要而獨(dú)立存在,審計(jì)文化應(yīng)與經(jīng)濟(jì)發(fā)展和審計(jì)工作的實(shí)際需要保持協(xié)調(diào)一致�����。
(三)審計(jì)文化的功能
實(shí)踐證明��,審計(jì)文化具有四個(gè)方面的功能����。其一,凝聚功能����。先進(jìn)的審計(jì)文化,可以增進(jìn)審計(jì)及機(jī)關(guān)人員的相互了解���。團(tuán)結(jié)各崗位�����、各領(lǐng)域的人員�����,形成共同的認(rèn)知和價(jià)值觀���,增強(qiáng)企業(yè)凝聚力和忠誠度,形成促進(jìn)企業(yè)發(fā)展的巨大合力�。其二,激勵(lì)功能����。價(jià)值觀和精神文化是審計(jì)文化的重要內(nèi)容,其具有良好的精神感召力�����,有利于形成強(qiáng)有力的激勵(lì)環(huán)境和激勵(lì)機(jī)制��,調(diào)動(dòng)審計(jì)人員的主動(dòng)性��,全身心投身于審計(jì)工作�����,推動(dòng)審計(jì)事業(yè)發(fā)展����。實(shí)踐證明�,在某種程度上����,文化的激勵(lì)作用往往勝過行政命令的執(zhí)行約束。其三�����,約束功能��。審計(jì)文化的約束功能在價(jià)值觀的指導(dǎo)下��,借助道德����、信念和風(fēng)氣發(fā)揮作用,通過心理的誘導(dǎo)和規(guī)范���,引導(dǎo)人的思想和行為趨于和諧�、一致�。其四,教育功能����。良好的審計(jì)文化有利于企業(yè)職工陶冶思想素質(zhì)和道德情操��,遵循正確的思想準(zhǔn)則和行為規(guī)范��。此外��,審計(jì)文化還可以促使外部人員增加對審計(jì)工作的理解和配合,促使社會(huì)各界更加關(guān)注和支持審計(jì)事業(yè)����。
二、免疫系統(tǒng)論與審計(jì)文化建設(shè)的內(nèi)在機(jī)理
審計(jì)免疫系統(tǒng)是國家審計(jì)署審計(jì)長劉家義于2007年提出的觀點(diǎn)�,并在2008年中國審計(jì)學(xué)會(huì)五屆三次理事會(huì)暨第二次理事論壇對全面深刻地闡述了免疫系統(tǒng)理論。免疫系統(tǒng)論是對審計(jì)理論的創(chuàng)新���、審計(jì)本質(zhì)和審計(jì)職能的新發(fā)展��。劉家義審計(jì)長指出�����,審計(jì)應(yīng)具有和發(fā)揮預(yù)防��、揭示�����、抵御功能�,現(xiàn)代國家審計(jì)就是經(jīng)濟(jì)社會(huì)運(yùn)行的一個(gè)免疫系統(tǒng)。很顯然��,免疫系統(tǒng)論下的審計(jì)已經(jīng)超越了傳統(tǒng)審計(jì)中的會(huì)查賬就是審計(jì)的定位�,并對傳統(tǒng)審計(jì)的監(jiān)督、評價(jià)和鑒證職能進(jìn)行修正及突破����。免疫系統(tǒng)論下的審計(jì),要做到資金管理使用的合規(guī)性��、合法性��、效益與效果性兼顧��;既要查處問題�,又要完善制度政策;在審計(jì)經(jīng)濟(jì)問題的同時(shí)�,加強(qiáng)對社會(huì)、生態(tài)�����、環(huán)境和民生等問題的關(guān)注。對于企業(yè)而言���,審計(jì)部門作為公司“免疫系統(tǒng)”的重要組成部分�,要從審計(jì)的本質(zhì)出發(fā)����,發(fā)揮預(yù)警、揭示和修補(bǔ)抵御等“免疫”功能����,同時(shí)當(dāng)好經(jīng)濟(jì)衛(wèi)士和保健醫(yī)生����,查錯(cuò)糾弊、規(guī)范管理���、完善制度�、堵塞漏洞���,促進(jìn)公司依法經(jīng)營�、規(guī)范管理���,并不斷增強(qiáng)抗風(fēng)險(xiǎn)能力和市場競爭力����,保障公司經(jīng)營管理活動(dòng)安全運(yùn)行和健康發(fā)展。通過分析免疫系統(tǒng)論和審計(jì)文化的功能與目的���,兩者是趨于一致的��。是可以融合的�����?;榇龠M(jìn)的�。
(二)創(chuàng)新審計(jì)制度,強(qiáng)化審計(jì)文化建設(shè)的制度保障
篇11
中圖分類號G31 文獻(xiàn)標(biāo)識碼A 文章編號 1674-6708(2011)48-0198-02
0 引言
科研項(xiàng)目申報(bào)與科研成果的統(tǒng)計(jì)����、管理師高校科研管理工作的重要內(nèi)容之一����,也是高校科研處日常工作的重要組成部分�����。做好科研項(xiàng)目申報(bào)、科研成果統(tǒng)計(jì)����,使之達(dá)到準(zhǔn)確、高效的水平���,是高?��?蒲泄芾聿块T始終關(guān)注和追求的目標(biāo)。
隨著信息技術(shù)的發(fā)展���,由于各高校科研項(xiàng)目�����、科研成果����、科研經(jīng)費(fèi)的不斷增多,科研管理的信息量也日益增大���。各高校紛紛摒棄了傳統(tǒng)的手工管理模式���,進(jìn)而建立了基于WEB的科研管理系統(tǒng)����,以提高工作效率�。筆者在本單位的科研管理系統(tǒng)的開發(fā)過程中,根據(jù)本單位的實(shí)際情況�����,引入了論文提交審核�����、項(xiàng)目預(yù)申報(bào)2個(gè)子系統(tǒng)的開發(fā)��,使用的實(shí)踐證明����,效果良好,解決了實(shí)際工作中長期存在的問題�,具有一定現(xiàn)實(shí)意義。
1 系統(tǒng)需求分析
1.1論文提交審核需求
論文是科學(xué)研究的重要成果之一�����,其數(shù)量和質(zhì)量也是衡量高校科研水平的重要指標(biāo)之一�,因此論文的統(tǒng)計(jì)和審核是高校科研處的重要工作之一���,為此�����,一般的科研管理系統(tǒng)均包含此功能�����。
論文的提交和審核�����,過去一般由作者提交論文紙質(zhì)復(fù)印件,科研處匯總后���,逐一審核(包括是否屬SCI�、EI收錄��、是否屬中文核心期刊發(fā)表、數(shù)否屬非法期刊發(fā)表等)���,再由科研處人員逐一錄入����。許多高校由于實(shí)行高級別論文的獎(jiǎng)勵(lì)政策�,使得科研處在該項(xiàng)工作中尤其不敢掉以輕心,稍有疏忽��,即容易引發(fā)投訴和矛盾��。在論文數(shù)量大�����、科研處人員少的院校尤其如此����。因此,科研管理系統(tǒng)若只承擔(dān)錄入����、存儲且輔之以統(tǒng)計(jì)查詢的作用是不夠的。
高校圖書館在論文的甄別工作上具有得天獨(dú)厚的條件�,應(yīng)充分發(fā)揮圖書館功能之所長�����,在系統(tǒng)中專門開辟一個(gè)審核模塊歸之使用���,從而避免科研處在論文甄別上的尷尬與被動(dòng)。
論文的提交可由作者紙質(zhì)提交改為自行登入系統(tǒng)錄入����。圖書館審核后,其數(shù)據(jù)不允許再修改��。此舉有2個(gè)優(yōu)點(diǎn):其一����,減少紙張使用,低碳環(huán)保從日常的工作中開始��;其二���,審核結(jié)果權(quán)威性增強(qiáng)��,減少爭議���。
1.2 項(xiàng)目預(yù)申報(bào)需求
筆者從事科研項(xiàng)目申報(bào)工作多年,學(xué)校規(guī)定的項(xiàng)目申報(bào)截止日到后���,個(gè)別教師仍提交申報(bào)書的情況時(shí)有發(fā)生�����。其原因有多方面�����,申報(bào)期內(nèi)教學(xué)工作繁忙�、外出公干等���。在科研管理系統(tǒng)中加入預(yù)申報(bào)模塊���,可以有效地減少逾期申報(bào)的情況發(fā)生。
其做法為�,科研處每次項(xiàng)目申報(bào)通知發(fā)出后,即在通知后面鏈接項(xiàng)目預(yù)申報(bào)模塊�,教師瀏覽完申報(bào)通知后,有意申報(bào)者即可進(jìn)入項(xiàng)目預(yù)申報(bào)子系統(tǒng)���,進(jìn)行申報(bào)登記�����?���?蒲刑幵谑芾砩陥?bào)材料截止日的前三天,可以根據(jù)目前所收材料的情況與項(xiàng)目預(yù)申報(bào)子系統(tǒng)內(nèi)的登記情況進(jìn)行對比�����,對尚未交材料者進(jìn)行提醒和督促�����。該系統(tǒng)投入使用后����,逾期申報(bào)的情況大幅減少。保證了申報(bào)工作的順利進(jìn)行�。
2 系統(tǒng)結(jié)構(gòu)設(shè)計(jì)
2.1系統(tǒng)體系結(jié)構(gòu)設(shè)計(jì)
通過以上需求分析,針對本?�?蒲泄芾順I(yè)務(wù)流程的實(shí)際需求�����,本系統(tǒng)采用了多層B/S(Browser/Server)模式體系結(jié)構(gòu)。B/S模式是Web興起后的一種網(wǎng)絡(luò)結(jié)構(gòu)模式���,WEB瀏覽器是客戶端最主要的應(yīng)用軟件。這種模式統(tǒng)一了客戶端�,將系統(tǒng)功能實(shí)現(xiàn)的核心部分集中到服務(wù)器上,簡化了系統(tǒng)的開發(fā)���、維護(hù)和使用���。本系統(tǒng)采用.NET框架支持下的n層分布式體系結(jié)構(gòu),使系統(tǒng)具有良好的可操作性和可維護(hù)性�����。
2.2 系統(tǒng)業(yè)務(wù)流程設(shè)計(jì)
論文提交審核流程設(shè)計(jì)
3 系統(tǒng)安全性設(shè)計(jì)
系統(tǒng)的安全性問題是本系統(tǒng)設(shè)計(jì)需要考慮的重要方面����,除了它關(guān)系到整個(gè)系統(tǒng)的實(shí)用性和可靠性,更重要的是圖書館對數(shù)據(jù)庫中論文審核的結(jié)論具有權(quán)威性和不可更改性�,因此,本系統(tǒng)除了使用通信協(xié)議提供的功能完成連接和驗(yàn)證省份外�����,在應(yīng)用程序和數(shù)據(jù)庫中還對用戶訪問權(quán)限進(jìn)行了分配和限制,從而確保數(shù)據(jù)庫中的數(shù)據(jù)信息部不被非法泄露和修改��。
用戶的權(quán)限主要按用戶使用性質(zhì)進(jìn)行分配��,其中包括:教師角色用戶(即有科研信息的用戶)���、人事處用戶(專門負(fù)責(zé)教師基本信息的錄入�、修改���、刪除)���、科技處用戶、圖書館用戶(負(fù)責(zé)論文審核)�、財(cái)務(wù)處用戶(負(fù)責(zé)科研經(jīng)費(fèi)的錄入、修改����、刪除)、部門領(lǐng)導(dǎo)查詢用戶(只限于對本部門的科研信息�、匯總信息進(jìn)行查詢)、院領(lǐng)導(dǎo)查詢用戶(可對全院科研信息�����、匯總信息進(jìn)行查詢)。
4 結(jié)論及應(yīng)用效果
本系統(tǒng)于2009年10月正式投入使用����,運(yùn)行效果良好,它的多級用戶權(quán)限管理��、分布式實(shí)時(shí)查詢等特點(diǎn)進(jìn)一步增強(qiáng)了系統(tǒng)的通用性��、可操作性和安全性����,達(dá)到原設(shè)計(jì)目標(biāo)����。通過該系統(tǒng)的使用,實(shí)現(xiàn)了論文審核過程的無紙化提交����,同時(shí)引入圖書館作為一個(gè)用戶,解決了論文甄別問題上的難題���,加強(qiáng)了論文審核環(huán)節(jié)的可靠性與準(zhǔn)確性���。在項(xiàng)目申報(bào)方面�,該系統(tǒng)能提前讓科研處掌握參加申報(bào)的人員數(shù)量及其姓名��,便以及時(shí)做好提交申報(bào)材料的提醒和督促工作��,保證申報(bào)工作的順利完成�����。
