序論:速發(fā)表網(wǎng)結(jié)合其深厚的文秘經(jīng)驗�����,特別為您篩選了11篇系統(tǒng)審計論文范文�。如果您需要更多原創(chuàng)資料����,歡迎隨時與我們的客服老師聯(lián)系,希望您能從中汲取靈感和知識!
篇1
(二)信息系統(tǒng)審計的目標����。信息系統(tǒng)審計和控制聯(lián)合會(ISACA)COBIT框架認為組織內(nèi)部的信息系統(tǒng)需求三原則是:質(zhì)量、成本和安全��,即在保證信息系統(tǒng)滿足組織需求的前提下���,盡可能避免組織內(nèi)外部風險���,并減少研發(fā)和維護成本。因此信息系統(tǒng)審計的目標就是對組織信息系統(tǒng)的運行的可靠性���,數(shù)據(jù)的真實性和安全性提供評價�����。
(三)信息系統(tǒng)審計的步驟�。由于大多數(shù)高校內(nèi)審機構(gòu)在“數(shù)字化校園”開發(fā)階段并沒有參與其中����。本文所述的信息系統(tǒng)審計專指信息系統(tǒng)運行維護階段的審計。
1.審計準備階段���。信息系統(tǒng)審計準備階段步驟與傳統(tǒng)審計類似���,通過從被審計單位獲取相關(guān)信息系統(tǒng)管理的規(guī)章制度���,找負責系統(tǒng)維護管理的工作人員座談,實地觀察等方式�,完成審前調(diào)查,進行風險評估�����、初步確定審計重點和制定審計實施方案等工作��。
2.審計實施階段�����。信息系統(tǒng)審計在實施階段分為兩部分�,分別為信息系統(tǒng)一般控制審計和應用控制審計。一般控制審計往往比應用控制審計更為重要�����,因為應用控制的有效性常常受到一般控制的影響�����。根據(jù)審計項目不同����,審計人員可以只實施一般控制審計或者兩者結(jié)合進行審計。(1)一般控制審計�����。一般控制審計又可以分為硬件和軟件兩部分�,兩部分的審計重點和方法有所不同,分別為:對硬件的審計通過實地觀察法實施�����,主要有審計網(wǎng)絡接口是否安全����,是否有硬件防火墻,硬件設(shè)備存放環(huán)境是否安全��,防火����、防雷�、防盜措施是否完備�����,是否裝備了UPS��,在硬件出現(xiàn)故障時是否制定了應急響應計劃等�。對軟件的審計通過抽樣、觀察和面談實施�,審計重點為:一是系統(tǒng)管理控制,主要有系統(tǒng)設(shè)定的職責分離是否合理�����,授權(quán)管理是否充分�����,是否做到一個系統(tǒng)賬戶對應一個工作人員���,是否確保了只有被授權(quán)的用戶才能對特定資源和數(shù)據(jù)進行訪問等���;二是軟件安全控制,主要有是否安裝了殺毒軟件�,軟件是否定時升級����,未經(jīng)授權(quán)的軟件能否安裝�����,是否有系統(tǒng)操作規(guī)范等��;三是數(shù)據(jù)管理控制����,主要有數(shù)據(jù)傳輸是否加密�,系統(tǒng)數(shù)據(jù)是否定期備份,有無冗余備份����,數(shù)據(jù)修改是否按照規(guī)定程序進行審核,向外部傳輸系統(tǒng)數(shù)據(jù)是否有身份認證���,是否定期對數(shù)據(jù)質(zhì)量進行檢查等���。(2)應用控制審計。信息系統(tǒng)應用控制是指為保證應用程序處理數(shù)據(jù)時按照組織流程運行���,確保數(shù)據(jù)的完整性和真實性的控制��,包括輸入控制�����、處理控制�、輸出控制三部分。輸入控制包括輸入授權(quán)����、數(shù)據(jù)轉(zhuǎn)換和編輯校驗,處理控制包括運行總數(shù)控制����、計算機匹配和批處理控制,輸出控制包括復核系統(tǒng)處理日志��、審核輸出文本�、審核程序。對應用控制的審計��,主要通過分析性復核和計算機輔助模擬的方法����,審計重點為信息系統(tǒng)業(yè)務的控制點設(shè)置是否合理���,數(shù)據(jù)處理程序最多運行數(shù),是否有審核系統(tǒng)日志程序等�����。
3.報告階段�����。內(nèi)審人員根據(jù)實施階段編制的工作底稿����,出具審計報告初稿��,與被審單位充分溝通后�����,修改審計報告�����,報相關(guān)層級領(lǐng)導審核后�����,簽發(fā)正式審計報告。
二��、高校做好信息系統(tǒng)審計的措施
1.轉(zhuǎn)變觀念���,提高開展信息系統(tǒng)審計必要性的認識�?!皵?shù)字化校園”建成以后,高校內(nèi)部控制環(huán)境已經(jīng)悄然發(fā)生改變����,內(nèi)部審計要想充分發(fā)揮其獨有的管理評價職能,必須迎頭而上����,及時開展信息系統(tǒng)審計。不少內(nèi)審機構(gòu)認為信息系統(tǒng)審計專業(yè)性太強��,無從著手�,實際上信息系統(tǒng)審計的核心并沒有改變,還是對信息系統(tǒng)控制的評價����,并沒有超出審計人員專業(yè)知識的范疇��。
2.結(jié)合實際��,建立信息系統(tǒng)審計的體系�����。當前����,國際上已經(jīng)有比較成熟的關(guān)于信息系統(tǒng)審計的體系����,那就是信息系統(tǒng)審計和控制聯(lián)合會(ISACA)COBIT體系���,但完全照搬肯定是不行的�,在實際操作中��,內(nèi)審機構(gòu)必須結(jié)合國情����、校情,進行修訂更改,出臺符合自身工作實際的�、具備可操作性的信息系統(tǒng)審計體系,以規(guī)范審計工作�。
篇2
審計系統(tǒng)是在一定的經(jīng)濟社會環(huán)境下產(chǎn)生,又在特定的外界環(huán)境中存在和發(fā)展��。它是環(huán)境的產(chǎn)物�,必須和環(huán)境相適應。與生態(tài)系統(tǒng)中的生物一樣���,審計系統(tǒng)的生存��、生長受制于環(huán)境���,但審計系統(tǒng)的存在和發(fā)展又反過來影響和改變環(huán)境?��;仡檶徲嬒到y(tǒng)的發(fā)展歷程�,經(jīng)歷了三個階段:
第一階段是19世紀中葉����,在資本主義得到充分發(fā)展、取得工業(yè)革命成功的英國出現(xiàn)了現(xiàn)代意義的審計(稱英國式審計或詳細審計)�。當時的審計對象是會計賬簿�,審計的目的是查錯防弊��,所使用的審計工具是詳細檢查���,審計信息的使用人是股東���。第二階段是本世紀初,在資本主義發(fā)達的美國出現(xiàn)了以資產(chǎn)負債表為對象的資產(chǎn)負債表審計���,其目的是判斷借款人的信用狀況��,審計信息使用人從股東擴大到債權(quán)人(主要是銀行)���。第三階段是本世紀20—30年代,由于資本市場證券化�,在美國出現(xiàn)了以損益表為中心的財務會計報表審計,目的是提出客觀公正的審計意見����,審計信息使用人是所有的企業(yè)利害關(guān)系人��,對上市公司而言就是社會公眾�。到了40年代以后�,由于跨國公司的出現(xiàn)�,國際間資本流動頻繁,在發(fā)達的資本主義國家出現(xiàn)了國際化的會計公司��。
從上述審計系統(tǒng)從一個階段向高一階段的進化過程分析���,我們可以得出兩點結(jié)論:一是審計系統(tǒng)每一次進化都是為了適應環(huán)境的變化���,和任何系統(tǒng)一樣,只有適應環(huán)境的系統(tǒng)才能得以生存和發(fā)展����。19世紀西方資本主義得到充分發(fā)展,實行所有權(quán)和經(jīng)營權(quán)分離��,就出現(xiàn)了英國式的詳細審計���。到了20世紀中葉����,隨著企業(yè)大型化和證券化��,經(jīng)濟活動劇增����,審計師不可能對每筆交易都進行檢查���,審計系統(tǒng)就由詳細審計進化到抽樣審計。有了跨國公司���,就有了國際性的會計事務所��。正是審計系統(tǒng)適應了所生存的環(huán)境���,才使得本身得到充分的發(fā)展。同時���,進化后的審計系統(tǒng)又反作用于環(huán)境�,對社會經(jīng)濟起了積極推動作用�,成為人類經(jīng)濟系統(tǒng)中不可缺少的一個子系統(tǒng)。二是審計系統(tǒng)的每一次進化都有賴于相應的理論����、方法和技術(shù)的支持。從英國式的詳細審計進化到資產(chǎn)負債表審計�,是因為有內(nèi)部牽制理論和統(tǒng)計抽樣技術(shù)的支持��。同樣,從資產(chǎn)負債表審計進化到財務會計報表審計��,是因為有內(nèi)部控制理論和審計風險測試評價技術(shù)的支持��。這是審計系統(tǒng)一次具有非常意義的“進化”�,正是由于審計系統(tǒng)普遍采用了統(tǒng)計抽樣技術(shù)和內(nèi)部控制測試技術(shù),從而使審計系統(tǒng)的功能大大增強�,在大大提高了審計效率的同時,又有效地控制了審計風險�。
同理,在步入21世紀的今天��,審計系統(tǒng)又面臨著新環(huán)境的挑戰(zhàn)����。新經(jīng)濟和數(shù)字時代的到來,以及經(jīng)濟全球化���、市場一體化等將對審計系統(tǒng)產(chǎn)生重大影響�����。面對新經(jīng)濟環(huán)境的挑戰(zhàn)��,審計系統(tǒng)必須適應這種環(huán)境的進化�,而要進化就必須有相應的理論和技術(shù)方法即系統(tǒng)科學和信息技術(shù)的支持,筆者將由系統(tǒng)科學和計算機技術(shù)支持下進化了的審計稱為系統(tǒng)審計��,與之相對應的是傳統(tǒng)的詳細審計和內(nèi)控審計��。下圖表達了審計系統(tǒng)的進化過程����。
需要說明的是,“系統(tǒng)審計”與“審計系統(tǒng)”是二個既有聯(lián)系又有區(qū)別的概念�����。系統(tǒng)審計是指在系統(tǒng)科學和信息技術(shù)支持下的審計理論方法���,表明一種審計理念���,是相對于其它審計方法而言的。審計系統(tǒng)則是泛指審計體系����,詳細審計、財務會計報表審計����、系統(tǒng)審計都是審計系統(tǒng)各個不同歷史時期的產(chǎn)物��。
二、系統(tǒng)審計和傳統(tǒng)審計的比較
傳統(tǒng)審計的思維方式是:部分整體�。傳統(tǒng)審計總是先分析對象的各個部分,然后再綜合為整體�����。這種思維方法的局限性在于把分析與綜合����、部分與整體、原因與結(jié)果機械地割裂開來����,認為部分是原因,整體是結(jié)果��,部分決定整體���。傳統(tǒng)審計方法著眼于一個個要素����,進而得出整體的性能,其邏輯結(jié)論往往是組成整體的要素好����,整體的性能也就好。不論是一百五十年前的詳細審計��,還是目前的財務會計報表審計�����,注冊會計師的思想方法都是從部分去推測整體��,而系統(tǒng)審計的思想方法則是從整體到部分��。詳細審計是從每一筆交易賬戶再到報表�;財務會計報表審計是通過對內(nèi)部控制和控制風險的研究抽取部分交易為樣本賬戶最終證實報表信息的真實和公允性。詳細審計和報表審計在研究審計對象經(jīng)濟活動時��,只把各組成部分孤立地���、簡單地加起來�����,這并不能說明審計對象經(jīng)濟活動的整體性質(zhì)和功能�����。因為各要素的簡單相加�,并不能構(gòu)成一個系統(tǒng)。
篇3
2利用網(wǎng)絡遠距離竊取企業(yè)的商業(yè)秘密以換取錢財,或利用網(wǎng)絡傳播計算機病毒以破壞企業(yè)的信息系統(tǒng)����。
3建立在計算機網(wǎng)絡基礎(chǔ)上的電子商貿(mào)使貿(mào)易趨向“無紙化”,越來越多的經(jīng)濟業(yè)務的原始記錄以電子憑證的方式存在和傳遞����。不法之徒通過改變電子貨幣帳單、銀行結(jié)算單及其它帳單,就有可能將公私財產(chǎn)的所有權(quán)進行轉(zhuǎn)移�����。
計算機網(wǎng)絡帶來會計系統(tǒng)的開放與數(shù)據(jù)共享,而開放與共享的基礎(chǔ)則是安全����。企業(yè)一方面通過網(wǎng)絡開放自己,向全世界推銷自己的形象和產(chǎn)品,實現(xiàn)電子貿(mào)易、電子信息交換,但也需要守住自己的商業(yè)秘密�����、管理秘密和財務秘密,而其中已實現(xiàn)了電子化且具有貨幣價值的會計秘密�����、理財秘密是最重要的。我們有必要為它創(chuàng)造一個安全的環(huán)境,抵抗來自系統(tǒng)內(nèi)外的各種干擾和威協(xié),做到該開放的放開共享,該封閉的要讓黑客無奈����。
一、網(wǎng)絡安全審計及基本要素
安全審計是一個新概念,它指由專業(yè)審計人員根據(jù)有關(guān)的法律法規(guī)����、財產(chǎn)所有者的委托和管理當局的授權(quán),對計算機網(wǎng)絡環(huán)境下的有關(guān)活動或行為進行系統(tǒng)的、獨立的檢查驗證,并作出相應評價�。
沒有網(wǎng)絡安全,就沒有網(wǎng)絡世界。任何一個建立網(wǎng)絡環(huán)境計算機會計系統(tǒng)的機構(gòu),都會對系統(tǒng)的安全提出要求,在運行和維護中也都會從自己的角度對安全作出安排����。那么系統(tǒng)是否安全了呢?這是一般人心中無數(shù)也最不放心的問題。應該肯定,一個系統(tǒng)運行的安全與否,不能單從雙方當事人的判斷作出結(jié)論,而必須由第三方的專業(yè)審計人員通過審計作出評價���。因為安全審計人員不但具有專門的安全知識,而且具有豐富的安全審計經(jīng)驗,只有他們才能作出客觀���、公正、公平和中立的評價���。
安全審計涉及四個基本要素:控制目標���、安全漏洞���、控制措施和控制測試。其中,控制目標是指企業(yè)根據(jù)具體的計算機應用,結(jié)合單位實際制定出的安全控制要求���。安全漏洞是指系統(tǒng)的安全薄弱環(huán)節(jié),容易擾或破壞的地方��?���?刂拼胧┦侵钙髽I(yè)為實現(xiàn)其安全控制目標所制定的安全控制技術(shù)�����、配置方法及各種規(guī)范制度�����?����?刂茰y試是將企業(yè)的各種安全控制措施與預定的安全標準進行一致性比較,確定各項控制措施是否存在�����、是否得到執(zhí)行���、對漏洞的防范是否有效,評價企業(yè)安全措施的可依賴程度�。顯然,安全審計作為一個專門的審計項目,要求審計人員必須具有較強的專業(yè)技術(shù)知識與技能�����。
安全審計是審計的一個組成部分�����。由于計算機網(wǎng)絡環(huán)境的安全將不僅涉及國家安危,更涉及到企業(yè)的經(jīng)濟利益���。因此,我們認為必須迅速建立起國家��、社會�����、企業(yè)三位一體的安全審計體系��。其中,國家安全審計機關(guān)應依據(jù)國家法律,特別是針對計算機網(wǎng)絡本身的各種安全技術(shù)要求,對廣域網(wǎng)上企業(yè)的信息安全實施年審制�����。另外,應該發(fā)展社會中介機構(gòu),對計算機網(wǎng)絡環(huán)境的安全提供審計服務,它與會計師事務所�、律師事務所一樣,是社會對企業(yè)的計算機網(wǎng)絡系統(tǒng)的安全作出評價的機構(gòu)。當企業(yè)管理當局權(quán)衡網(wǎng)絡系統(tǒng)所帶來的潛在損失時,他們需要通過中介機構(gòu)對安全性作出檢查和評價�����。此外財政���、財務審計也離不開網(wǎng)絡安全專家,他們對網(wǎng)絡的安全控制作出評價,幫助注冊會計師對相應的信息處理系統(tǒng)所披露信息的真實性�、可靠性作出正確判斷�。
二、網(wǎng)絡安全審計的程序
安全審計程序是安全監(jiān)督活動的具體規(guī)程,它規(guī)定安全審計工作的具體內(nèi)容��、時間安排�、具體的審計方法和手段����。與其它審計一樣,安全審計主要包括三個階段:審計準備階段、實施階段以及終結(jié)階段�。
安全審計準備階段需要了解審計對象的具體情況、安全目標��、企業(yè)的制度、結(jié)構(gòu)�����、一般控制和應用控制情況,并對安全審計工作制訂出具體的工作計劃�����。在這一階段,審計人員應重點確定審計對象的安全要求�、審計重點、可能的漏洞及減少漏洞的各種控制措施��。
1了解企業(yè)網(wǎng)絡的基本情況�����。例如,應該了解企業(yè)內(nèi)部網(wǎng)的類型��、局域網(wǎng)之間是否設(shè)置了單向存取限制���、企業(yè)網(wǎng)與Internet的聯(lián)接方式���、是否建立了虛擬專用網(wǎng)(VPN)?
2了解企業(yè)的安全控制目標。安全控制目標一般包括三個方面:第一,保證系統(tǒng)的運轉(zhuǎn)正常,數(shù)據(jù)的可靠完整;第二,保障數(shù)據(jù)的有效備份與系統(tǒng)的恢復能力;第三,對系統(tǒng)資源使用的授權(quán)與限制���。當然安全控制目標因企業(yè)的經(jīng)營性質(zhì)���、規(guī)模的大小以及管理當局的要求而有所差異��。
3了解企業(yè)現(xiàn)行的安全控制情況及潛在的漏洞�����。審計人員應充分取得目前企業(yè)對網(wǎng)絡環(huán)境的安全保密計劃,了解所有有關(guān)的控制對上述的控制目標的實現(xiàn)情況,系統(tǒng)還有哪些潛在的漏洞����。
安全審計實施階段的主要任務是對企業(yè)現(xiàn)有的安全控制措施進行測試,以明確企業(yè)是否為安全采取了適當?shù)目刂拼胧?這些措施是否發(fā)揮著作用���。審計人員在實施環(huán)節(jié)應充分利用各種技術(shù)工具產(chǎn)品,如網(wǎng)絡安全測試產(chǎn)品�、網(wǎng)絡監(jiān)視產(chǎn)品�����、安全審計分析器�����。
安全審計終結(jié)階段應對企業(yè)現(xiàn)存的安全控制系統(tǒng)作出評價,并提出改進和完善的方法和其他意見�。安全審計終結(jié)的評價,按系統(tǒng)的完善程度、漏洞的大小和存在問題的性質(zhì)可以分為三個等級:危險����、不安全和基本安全。危險是指系統(tǒng)存在毀滅性數(shù)據(jù)丟失隱患(如缺乏合理的數(shù)據(jù)備份機制與有效的病毒防范措施)和系統(tǒng)的盲目開放性(如有意和無意用戶經(jīng)常能闖入系統(tǒng),對系統(tǒng)數(shù)據(jù)進行查閱或刪改)�。不安全是指系統(tǒng)尚存在一些較常見的問題和漏洞,如系統(tǒng)缺乏監(jiān)控機制和數(shù)據(jù)檢測手段等?;景踩侵父鱾€企業(yè)網(wǎng)絡應達到的目標,其大漏洞僅限于不可預見或罕預見性、技術(shù)極限性以及窮舉性等,其他小問題發(fā)生時不影響系統(tǒng)運行,也不會造成大的損失,且具有隨時發(fā)現(xiàn)問題并糾正的能力�。
三、網(wǎng)絡安全審計的主要測試
測試是安全審計實施階段的主要任務,一般應包括對數(shù)據(jù)通訊����、硬件系統(tǒng)、軟件系統(tǒng)��、數(shù)據(jù)資源以及安全產(chǎn)品的測試�。
下面是對網(wǎng)絡環(huán)境會計信息系統(tǒng)的主要測試。
1數(shù)據(jù)通訊的控制測試
數(shù)據(jù)通訊控制的總目標是數(shù)據(jù)通道的安全與完整�。具體說,能發(fā)現(xiàn)和糾正設(shè)備的失靈,避免數(shù)據(jù)丟失或失真,能防止和發(fā)現(xiàn)來自Internet及內(nèi)部的非法存取操作。為了達到上述控制目標,審計人員應執(zhí)行以下控制測試:(1)抽取一組會計數(shù)據(jù)進行傳輸,檢查由于線路噪聲所導致數(shù)據(jù)失真的可能性���。(2)檢查有關(guān)的數(shù)據(jù)通訊記錄,證實所有的數(shù)據(jù)接收是有序及正確的�����。(3)通過假設(shè)系統(tǒng)外一個非授權(quán)的進入請求,測試通訊回叫技術(shù)的運行情況��。(4)檢查密鑰管理和口令控制程序,確認口令文
件是否加密�����、密鑰存放地點是否安全���。(5)發(fā)送一測試信息測試加密過程,檢查信息通道上在各不同點上信息的內(nèi)容�。(6)檢查防火墻是否控制有效�����。防火墻的作用是在Internet與企業(yè)內(nèi)部網(wǎng)之間建立一道屏障,其有效性主要包括靈活性以及過濾��、分離�、報警等方面的能力。例如,防火墻應具有拒絕任何不準確的申請者的過濾能力,只有授權(quán)用戶才能通過防火墻訪問會計數(shù)據(jù)�����。
2硬件系統(tǒng)的控制測試
硬件控制測試的總目標是評價硬件的各項控制的適當性與有效性����。測試的重點包括:實體安全、火災報警防護系統(tǒng)�、使用記錄、后備電源����、操作規(guī)程、災害恢復計劃等��。審計人員應確定實物安全控制措施是否適當��、在處理日常運作及部件失靈中操作員是否作出了適當?shù)挠涗浥c定期分析����、硬件的災難恢復計劃是否適當、是否制定了相關(guān)的操作規(guī)程�����、各硬件的資料歸檔是否完整����。
3軟件系統(tǒng)的控制測試
軟件系統(tǒng)包括系統(tǒng)軟件和應用軟件,其中最主要的是操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和會計軟件系統(tǒng)�。總體控制目標應達到防止來自硬件失靈、計算機黑客�、病毒感染、具有特權(quán)職員的各種破壞行為,保障系統(tǒng)正常運行�����。對軟件系統(tǒng)的測試主要包括:(1)檢查軟件產(chǎn)品是否從正當途徑購買,審計人員應對購買訂單進行抽樣審查��。(2)檢查防治病毒措施,是否安裝有防治病毒軟件�、使用外來軟盤之前是否檢查病毒。(3)證實只有授權(quán)的軟件才安裝到系統(tǒng)里�。
4數(shù)據(jù)資源的控制測試
數(shù)據(jù)控制目標包括兩方面:一是數(shù)據(jù)備份,為恢復被丟失、損壞或擾的數(shù)據(jù),系統(tǒng)應有足夠備份;二是個人應當經(jīng)授權(quán)限制性地存取所需的數(shù)據(jù),未經(jīng)授權(quán)的個人不能存取數(shù)據(jù)庫�����。審計測試應檢查是否提供了雙硬盤備份��、動態(tài)備份���、業(yè)務日志備份等功能,以及在日常工作中是否真正實施了這些功能���。根據(jù)系統(tǒng)的授權(quán)表,檢查存取控制的有效性。
5系統(tǒng)安全產(chǎn)品的測試
隨著網(wǎng)絡系統(tǒng)安全的日益重要,各種用于保障網(wǎng)絡安全的軟�����、硬件產(chǎn)品應運而生,如VPN、防火墻�、身份認證產(chǎn)品��、CA產(chǎn)品等等�。企業(yè)將在不斷發(fā)展的安全產(chǎn)品市場上購買各種產(chǎn)品以保障系統(tǒng)的安全,安全審計機構(gòu)應對這些產(chǎn)品是否有效地使用并發(fā)揮其應有的作用進行測試與作出評價。例如,檢查安全產(chǎn)品是否經(jīng)過認證機構(gòu)或公安部部門的認征,產(chǎn)品的銷售商是否具有銷售許可證產(chǎn)品的安全保護功能是否發(fā)揮作用�。
篇4
隨著市場經(jīng)濟的深入發(fā)展,企業(yè)逐步成為自主經(jīng)營、自我約束���、自我發(fā)展�、自我完善的商品生產(chǎn)者和經(jīng)營者��。在“優(yōu)勝劣汰�����、適者生存”的市場經(jīng)濟中,企業(yè)要想真正的做到“自主經(jīng)營�����、自我約束�、自我發(fā)展�����、自我完善”,必須要加強內(nèi)部控制,建立有效�、完善的內(nèi)部控制制度,這樣才能在一個絕對的高度上,對企業(yè)進行高瞻遠矚的控制,才能做出與時俱進的決策����。
(二)內(nèi)部審計是企業(yè)內(nèi)部監(jiān)督機制的重要組成部分
內(nèi)部審計也是企業(yè)內(nèi)部控制的一個重要的組成部分,是監(jiān)督內(nèi)部控制其他環(huán)節(jié)的主要力量。內(nèi)部審計通過對控制環(huán)境和控制程序的有效性進行監(jiān)督,評估企業(yè)的內(nèi)部控制是否被執(zhí)行,是否及時反饋有關(guān)執(zhí)行結(jié)果的信息,是否幫助企業(yè)更有效地實現(xiàn)預期控制目標�����。同時,在監(jiān)控過程中,內(nèi)部審計可以促進控制環(huán)境的建立和改善,為改進控制制度提供建設(shè)性的意見,為企業(yè)建立健全所需要的內(nèi)部控制水平服務�。在內(nèi)部控制的監(jiān)督過程中,內(nèi)部審計發(fā)揮著越來越重要的作用。
二��、內(nèi)部審計在防范信息系統(tǒng)風險中面臨的問題
(一)信息系統(tǒng)安全管理機制不健全
企業(yè)信息系統(tǒng)風險的存在,很多是由于管理不善或控制不嚴造成的����。一方面,缺乏一套統(tǒng)一的安全策略體系來指導安全管理工作,無法建立系統(tǒng)內(nèi)部明確、全面的安全規(guī)范要求��。從現(xiàn)有管理制度規(guī)范來看,主要存在的問題是可操作性差,條理不清�����、重疊或遺漏等;另一方面,現(xiàn)有安全管理制度的管理對象基本是網(wǎng)絡系統(tǒng)管理員等技術(shù)部人員,管理對象沒有全面涵蓋所有信息系統(tǒng)技術(shù)相關(guān)人員,包括所有網(wǎng)絡系統(tǒng)上的內(nèi)部終端人員和外部人員。
(二)內(nèi)部審計在信息系統(tǒng)風險防范中的角色缺乏獨立性
內(nèi)部審計的角色發(fā)生了轉(zhuǎn)變����。從傳統(tǒng)的事后審計而逐漸轉(zhuǎn)向事前和事中審計,主動參與內(nèi)部控制系統(tǒng)的建立和完善。內(nèi)部審計人員即承擔著評價硬件和應用信息系統(tǒng)安全的任務,如果又同時有參與了系統(tǒng)的開發(fā)和實施過程,那么內(nèi)部審計人員就卻乏獨立性�����。反之,如果處于對喪失獨立性的擔心,內(nèi)部審計人員有可能會拒絕參與系統(tǒng)和軟件的開發(fā),那么系統(tǒng)開發(fā)過程中存在的風險又無法得到控制����。
(三)內(nèi)審部門技術(shù)力量薄弱造成對信息系統(tǒng)審計形成風險
審計稽核部門的技術(shù)力量薄弱,不熟悉業(yè)務系統(tǒng)的流程和功能,對信息系統(tǒng)缺乏必要的認證能力和標準�。突出表現(xiàn)為以下幾個方面:一是實施審計稽核的手段和方法沒有得到及時更新,不適應信息系統(tǒng)管理的要求,大部分仍停留在手工審計階段;二是審計稽核部門對計算機賬務系統(tǒng)實施審計的依據(jù)僅依賴于被審計單位提供的打印資料或事后資料,計算機賬務的真實性審計很難得到保證。
三���、加強風險防范的措施和對策
(一)構(gòu)建信息系統(tǒng)安全管理組織及規(guī)范體系
加強信息系統(tǒng)的自我風險評估體系,讓信息系統(tǒng)的管理和技術(shù)人員在自身的職責范圍之內(nèi)正確識別和評估潛在操作風險,主要包括內(nèi)控制度的查漏補缺����、工作流程的整理和規(guī)范����、應急預案完善和演練等。同時加強對操作人員的管理,規(guī)范操作程序�����。一是加強密碼管理,明確規(guī)定操作人員的權(quán)限,操作員必須在規(guī)定的權(quán)限內(nèi)辦理業(yè)務,用戶口令及密碼必須專人專用,嚴禁公開口令及密碼;二是要建立健全操作員崗位目標責任制,對網(wǎng)絡操作人員要明確目標任務,規(guī)范操作程序,嚴格落實獎懲制度。三是要嚴格崗位設(shè)置,不相容職務進行分離�。嚴禁系統(tǒng)管理人員、網(wǎng)絡技術(shù)人員��、程序開發(fā)人員和前臺操作人員混崗���、代崗或一人多崗�����。四是要加強系統(tǒng)內(nèi)部的稽核監(jiān)督檢查�����?��;吮O(jiān)督應貫穿于網(wǎng)絡操作的全過程,重點是加強對系統(tǒng)設(shè)計開發(fā)、內(nèi)控管理制度落實�、操作運行等方面的
(二)關(guān)注信息系統(tǒng)的穩(wěn)定性、安全性和有效性審計
首先,審計人員應運用用一定的技術(shù)方法識別系統(tǒng)的完整性,該過程包括檢查�����、測試、評估系統(tǒng)的內(nèi)制,以保證系統(tǒng)的穩(wěn)定性;其次,審計人員應評價系統(tǒng)存在的風險和可能產(chǎn)生的后果將成為審計的核心工作和基本內(nèi)容,保證信息系統(tǒng)的安全性����。應根據(jù)審計的標準和準則,評價控制環(huán)境的和IT基礎(chǔ)設(shè)施的安全,確保系統(tǒng)滿足組織的業(yè)務需要,保護信息資產(chǎn)的安全完整,以防非授權(quán)使用、泄露����、修改、損壞或丟失;最后,還應鑒別信息系統(tǒng)的有效性����。內(nèi)部審計必須理解并熟悉操作環(huán)境,了解系統(tǒng)技術(shù)的復雜性及其對決策的影響;對來自內(nèi)部的安全隱患,采用一定的方法進行系統(tǒng)診斷�����、檢驗�����、測試,評價其有效性及效率,以支持組織業(yè)務目標的實現(xiàn)
(三)改善內(nèi)審機構(gòu),提高內(nèi)審人員素質(zhì),培養(yǎng)信息系統(tǒng)審計師
為了信息系統(tǒng)的安全�����、可靠與有效,由獨立于審計對象的信息系統(tǒng)審計師,以第三方的客觀立場對以計算機為核心的信息系統(tǒng)進行綜合的檢查與評價���。信息系統(tǒng)審計師也稱lS審計師或IT審計師,是指那些既通曉信息系統(tǒng)的軟件和硬件(包括信息系統(tǒng)的開發(fā)�����、運營����、維護、管理和安全等),又熟悉經(jīng)濟管理的內(nèi)部審計人才�����。
(四)聘請專家進行協(xié)助
內(nèi)部審計人員的知識��、技能和經(jīng)驗雖然有助于信息系統(tǒng)的風險防御,但現(xiàn)實中必須承認,在企業(yè)中同時具備計算機技術(shù)和審計專業(yè)知識的人才非常短缺�。再出色的內(nèi)部審計人員可能面臨一些系統(tǒng)內(nèi)的專業(yè)問題卻無法解決,因此有必要聘請外部專家?��?梢酝ㄟ^專家的協(xié)助測試運用其專業(yè)技能測試系統(tǒng)安全,進一步防范和解決信息系統(tǒng)風險的存在�����。
參考文獻:
篇5
目前�,我國信息系統(tǒng)審計僅有十幾年的歷史,尚處于探索階段�,既缺乏開展信息系統(tǒng)審計業(yè)務的人才隊伍,也沒有形成專業(yè)規(guī)范體系���,所進行的一些計算機審計方面的探索和嘗試以及計算機審計軟件的開發(fā)和應用還大都停留在對被審計單位電子數(shù)據(jù)進行處理的階段��。存在的主要問題有:信息系統(tǒng)審計觀念落后�;信息系統(tǒng)審計相關(guān)的準則�、標準和規(guī)范尚不完善;信息系統(tǒng)審計專業(yè)人才匱乏���;信息系統(tǒng)審計軟件開發(fā)工作滯后�。1997年�,廣州地鐵開始公司“信息化”建設(shè)。最初���,廣州地鐵經(jīng)營審計采用“繞過計算機審計”的方法,即對導出數(shù)據(jù)進行審計��。審計過程中�,其逐漸意識到了運用這種“黑箱原理”審計方法的風險。因此����,2006年公司組建了專門的IT審計模塊��,探索“如何利用計算機審計”和“通過計算機審計”����。其后�����,廣州地鐵信息系統(tǒng)審計發(fā)展經(jīng)歷了借力����、助力和自立三個階段。一是借力期:IT審計模塊成立初期�,公司與外部顧問共同開展IT審計項目,通過外部專業(yè)人員向?qū)徲嬋藛T傳輸IT審計技能�,同時制定《IT審計實施細則》,在人員技能儲備和制度上為IT審計模塊的發(fā)展奠定了基礎(chǔ)��。二是助力期:審計人員參照審計手冊���,利用從外部顧問處學習到的審計技能�,逐步開展信息系統(tǒng)審計工作����,將IT審計工作模式調(diào)整為以自身力量為主��,外部咨詢服務為輔的模式����。三是自立期:2009年���,廣州地鐵IT審計已基本實現(xiàn)自主化�����,且IT審計模塊逐步走向成熟�,同時其還建立了具有自身特色的信息系統(tǒng)審計框架����。目前,IT審計已經(jīng)發(fā)展成為廣州地鐵內(nèi)部審計的一根“支柱”�����,連同“內(nèi)控審計”�����,作為基本的審計手段貫穿于各類專業(yè)審計工作中��,支持審計體系的鞏固與發(fā)展����。
二、信息系統(tǒng)審計內(nèi)容
1��、國內(nèi)外關(guān)于信息系統(tǒng)審計內(nèi)容的研究
開展信息系統(tǒng)審計首先要明確審計內(nèi)容���。國際信息系統(tǒng)審計協(xié)會規(guī)定�����,信息系統(tǒng)審計的主要內(nèi)容包括信息系統(tǒng)程序?qū)徲?����、信息技術(shù)(IT)治理��、系統(tǒng)生命周期管理���、IT服務的交付與支持、信息資產(chǎn)的保護�、災難恢復和業(yè)務連續(xù)性計劃���。近十幾年來,國內(nèi)的學者和組織也對信息系統(tǒng)審計的內(nèi)容進行了探索和研究���。審計署在2012年頒布的《信息系統(tǒng)審計指南———計算機審計實務公告第34號》中明確提出了:信息系統(tǒng)審計包括對應用控制��、一般控制和項目管理的審計�����。其中�����,應用控制包括信息系統(tǒng)業(yè)務流程�,數(shù)據(jù)輸入�、處理和輸出的控制,信息共享和業(yè)務協(xié)同�;一般控制包括信息系統(tǒng)總體控制、信息安全技術(shù)控制�����、信息安全管理控制���;項目管理包括信息系統(tǒng)建設(shè)的經(jīng)濟性�、信息系統(tǒng)建設(shè)管理�����、信息系統(tǒng)績效�。上述具有代表性的規(guī)定和研究成果對信息系統(tǒng)審計內(nèi)容的劃分,均是以對信息系統(tǒng)邏輯結(jié)構(gòu)的分析為基礎(chǔ)���。全面分析信息系統(tǒng)的邏輯結(jié)構(gòu)����,可從信息系統(tǒng)的構(gòu)成要素�、信息系統(tǒng)生命周期和信息系統(tǒng)管理三個維度進行描述:從構(gòu)成要素來看,信息系統(tǒng)由人員����、應用(包括軟件平臺和應用系統(tǒng))、所采用的技術(shù)��、硬件設(shè)備�、數(shù)據(jù)文件運行規(guī)則組成;信息系統(tǒng)生命周期可劃分為信息系統(tǒng)的規(guī)劃階段����、開發(fā)階段��、運行維護階段和更新階段����;從信息系統(tǒng)管理的維度來看���,對系統(tǒng)的管理與控制活動貫穿于信息系統(tǒng)生命周期的始終�,主要是通過有效執(zhí)行一系列健全有效的規(guī)章制度和管理規(guī)程來實現(xiàn)���。
2��、廣州地鐵信息系統(tǒng)審計實施框架
結(jié)合廣州地鐵信息化項目多��、系統(tǒng)更新快����、數(shù)據(jù)集成度高�、系統(tǒng)控制與手工控制并重等特點,圍繞信息系統(tǒng)構(gòu)成要素���、信息系統(tǒng)生命周期和信息系統(tǒng)管理三個維度�,廣州地鐵將信息系統(tǒng)審計的內(nèi)容劃分為整體計算機控制審計、應用控制審計和系統(tǒng)建設(shè)效能評價三個方面�����。其中���,整體計算機控制審計是對信息系統(tǒng)運行中的控制活動進行審計,目的是合理保證由信息系統(tǒng)支持的業(yè)務流程控制是可靠的�����、生成的數(shù)據(jù)和報告是可信的��。應用系統(tǒng)控制審計是對業(yè)務流程中的自動化控制活動進行審計���,以合理保證交易的有效性����、經(jīng)適當授權(quán)和記錄��、完成的完整性�、準確性和及時性。項目及系統(tǒng)績效審計是對信息化項目的過程及成果對企業(yè)和業(yè)務產(chǎn)生的效益進行審計,用來合理保證信息化項目的投資/產(chǎn)出比例符合建設(shè)的目標����,以及信息系統(tǒng)對企業(yè)戰(zhàn)略起到的預期的支撐作用。圍繞上述三個方面�����,廣州地鐵內(nèi)部審計確立了以下的實施框架�����。
(1)確立整體計算機控制安全�����、操作�、變更的三個評價維度,圍繞“信息系統(tǒng)全生命周期”���,明確整體計算機控制十個流程�。
廣州地鐵通過學習和借鑒國際信息系統(tǒng)技術(shù)管理和控制標準COBIT�,建立起了一套自己的整體計算機控制審計框架??蚣芸砂戳鞒毯涂刂祁愋蛢煞N方式進行劃分,兩種劃分方式在本質(zhì)上是一致的。在按流程劃分出的每個子流程中�,信息系統(tǒng)審計人員需要從變更、安全����、操作的角度去確認和評估具體的控制點;在按控制職能所作的劃分中���,審計人員需要圍繞信息系統(tǒng)的策略與計劃�����、信息系統(tǒng)操作、與外部供應商關(guān)系��、業(yè)務可持續(xù)計劃�、應用系統(tǒng)開發(fā)、數(shù)據(jù)庫����、軟件支持、網(wǎng)絡�、硬件等十個子流程進行審計。圍繞安全����、變更��、操作三個角度及十個子流程����,廣州地鐵共梳理出有關(guān)整體計算機控制的41項審計內(nèi)容���,并針對每一項內(nèi)容明確了控制目標和風險����,建立起了一套完整的整體計算機控制矩陣��。例如���,信息系統(tǒng)策略和計劃子流程中�,廣州地鐵明確了整體計算機控制的三大目標———信息系統(tǒng)戰(zhàn)略���、規(guī)劃和預算應與實際業(yè)務和戰(zhàn)略目標保持一致��,計算機處理環(huán)境應得到具有適當技能和經(jīng)驗的人員的充分支持和保證����,以及計算機處理環(huán)境中的人員應接受適當?shù)呐嘤枺瑢徲嬋藛T在此基礎(chǔ)上針對各控制目標�,識別并歸納出廣州地鐵現(xiàn)行的9個控制活動。在具體開展信息系統(tǒng)整體計算機控制審計時�,信息系統(tǒng)審計人員根據(jù)審計項目的特點和要求,選擇需要評價的子流程��,再對照子流程的控制活動進行評估及測試即可�。
(2)從內(nèi)部控制目標出發(fā),將信息系統(tǒng)應用控制劃分為訪問控制���、完整性控制及數(shù)據(jù)質(zhì)量控制三大方面�。
廣州地鐵將信息系統(tǒng)的應用控制劃分為應用系統(tǒng)訪問控制����、流程和系統(tǒng)完整性控制以及數(shù)據(jù)質(zhì)量控制三大類��,并針對各類控制分別設(shè)計了不同的審計內(nèi)容�����。一是應用系統(tǒng)授權(quán)訪問控制審計包括對系統(tǒng)的認證方式���、授權(quán)機制���、權(quán)限的分配管理以及不相容職責分離在系統(tǒng)中的實現(xiàn)情況的審計����,目的在于保證經(jīng)過允許的人才能訪問和操作系統(tǒng)���。二是流程和系統(tǒng)完整性控制審計是對系統(tǒng)輸入��、處理����、輸出以及接口等各種系統(tǒng)運行規(guī)則的審計�,用以保證所有經(jīng)允許處理的數(shù)據(jù)均轉(zhuǎn)換到介質(zhì)上并被處理,且處理的結(jié)果可通過適當?shù)姆绞郊右暂敵?��,所有輸入����、轉(zhuǎn)換���、處理和輸出均在正常的時間內(nèi)準確地進行�。三是數(shù)據(jù)質(zhì)量控制審計則是指對信息系統(tǒng)中的數(shù)據(jù)的完整性�����、規(guī)范性和有效性所進行的審計,旨在保證所有系統(tǒng)的輸出均反映為經(jīng)批準的有效的經(jīng)濟業(yè)務����,所有經(jīng)過系統(tǒng)的數(shù)據(jù)真實、有效���,且能滿足企業(yè)各項業(yè)務的使用要求�。
(3)圍繞“信息化項目”和“信息系統(tǒng)”��,綜合評價信息化建設(shè)的效益����。
在開展整體計算機控制審計和應用控制審計的基礎(chǔ)上,廣州地鐵從企業(yè)經(jīng)營和投資效益的視角出發(fā)���,在信息系統(tǒng)審計中引入了3E審計的概念,嘗試對信息系統(tǒng)建設(shè)項目的成效����、建成后系統(tǒng)的應用效能以及信息化對戰(zhàn)略的支撐效果進行審計。為了全面評價項目�����,廣州地鐵通常將對單個信息系統(tǒng)建設(shè)項目的合規(guī)性審計與項目效能審計結(jié)合在一起開展。一是信息系統(tǒng)建設(shè)成效審計旨在通過對系統(tǒng)建設(shè)全過程的審計�,促進信息系統(tǒng)的建設(shè)規(guī)范性,提高信息系統(tǒng)建設(shè)的質(zhì)量����。二是信息系統(tǒng)應用效能審計包括對業(yè)務需求的實現(xiàn)情況、建成功能的使用情況的審計分析����,以及對系統(tǒng)應用對業(yè)務管理規(guī)范化、標準化和精細化提升作用的綜合評價�,目的在于促進系統(tǒng)使用價值的最大化,減少系統(tǒng)建設(shè)的投資浪費��。三是戰(zhàn)略支撐效果審計是從支持戰(zhàn)略實現(xiàn)的角度�,評價信息系統(tǒng)的建設(shè)效益,保證信息化建設(shè)在符合業(yè)務管理要求的同時���,符合公司戰(zhàn)略的需要�,支持公司戰(zhàn)略的實現(xiàn)���。
三��、信息系統(tǒng)審計實施步驟
信息系統(tǒng)審計步驟(或流程)��,是審計工作從開始到結(jié)束的整個過程�����。信息系統(tǒng)審計流程一般可劃分為四個階段:計劃階段�、實施階段、報告階段和后續(xù)階段����。計劃階段是信息系統(tǒng)審計流程的起點,此階段的主要工作包括了解被審計系統(tǒng)的基本情況��,初步評價被審計單位信息系統(tǒng)的內(nèi)部控制和外部控制�,識別重要性和編制審計計劃。實施階段是根據(jù)計劃階段確定的審計范圍���、重點�����、步驟和方法進行有針對性的取證、評價��,并形成審計結(jié)論的過程。實施階段是信息系統(tǒng)審計工作的核心��,主要由符合性測試和實質(zhì)性測試兩個部分構(gòu)成�。在報告階段,信息系統(tǒng)審計人員需運用專業(yè)判斷��,整理����、評價收集到的審計證據(jù),以經(jīng)過核實的審計證據(jù)為依據(jù)�����,形成審計意見��,出具審計報告��。審計報告的出具并不意味著信息系統(tǒng)審計工作的終結(jié)���。根據(jù)國際信息系統(tǒng)審計標準����,信息系統(tǒng)審計人員對于系統(tǒng)中發(fā)現(xiàn)的重大問題和漏洞,需要對被審計單位所采取的糾正措施及其效果進行后續(xù)審計�。審計人員需要將后續(xù)審計納入計劃,并安排必要的人員和時間進行后續(xù)審計�。廣州地鐵IT審計模塊成立之初,即明確了IT審計“對公司的系統(tǒng)流程與控制�、項目進行審計”和“提供有益于增加公司價值的咨詢服務”兩項核心職責,并圍繞公司戰(zhàn)略��,以“風險導向”����、“服務戰(zhàn)略”理念為指導,從信息系統(tǒng)審計戰(zhàn)略規(guī)劃和具體項目執(zhí)行兩個層面分別制定信息系統(tǒng)審計的流程�����。
1���、以公司戰(zhàn)略為導向�,制定信息系統(tǒng)審計的戰(zhàn)略規(guī)劃
一直以來�,廣州地鐵奉行“源于戰(zhàn)略、服務于戰(zhàn)略”的現(xiàn)代審計理念�����。這一理念主要體現(xiàn)在兩個方面:一是在制定內(nèi)審工作計劃時,從公司戰(zhàn)略出發(fā)�,制定各個內(nèi)審業(yè)務及各專業(yè)審計模塊的戰(zhàn)略��,并以業(yè)務戰(zhàn)略為指導��,開展具體的審計工作�����;二是在開展審計項目的過程中���,始終從保障公司戰(zhàn)略執(zhí)行的角度去發(fā)現(xiàn)問題�����、評價問題�����,提出整改意見和落實整改��。信息系統(tǒng)審計的戰(zhàn)略規(guī)劃來源于公司的戰(zhàn)略�,以及以公司戰(zhàn)略指導制定的公司信息系統(tǒng)戰(zhàn)略規(guī)劃和內(nèi)部審計業(yè)務戰(zhàn)略規(guī)劃�����;同時還須結(jié)合公司信息化現(xiàn)狀和IT審計模塊定位,明確廣州地鐵IT審計發(fā)展戰(zhàn)略目標����。
2、通過風險評估��,確定各信息系統(tǒng)風險等級�,制定層次分明、重點突出的信息系統(tǒng)循環(huán)審計計劃
為利用有限的審計資源掌握公司主要信息系統(tǒng)的建設(shè)���、運營情況�,保障信息資源的有效利用�,降低公司信息系統(tǒng)的整體風險,廣州地鐵建立了一套“根據(jù)信息系統(tǒng)風險評級制定差異化的審計策略”�。
(1)梳理信息系統(tǒng)脈絡,全面掌握信息系統(tǒng)現(xiàn)狀�。
廣州地鐵結(jié)合信息系統(tǒng)規(guī)劃、建設(shè)和運營的情況及系統(tǒng)分類梳理出被審計信息系統(tǒng)清單�,并從系統(tǒng)構(gòu)成要素的角度收集系統(tǒng)相關(guān)的信息。這些信息包括系統(tǒng)名稱�����、功能模塊、采用產(chǎn)品等基本信息��,以及項目的建設(shè)信息����、系統(tǒng)的使用狀況和運維的基本情況���。這些信息是風險評分的依據(jù)�����,也為后續(xù)開展具體審計工作時確定審計方案提供了指引�����。
(2)開展信息系統(tǒng)風險評級�����,制定風險導向型審計計劃�。
內(nèi)審人員從通用風險����、業(yè)務風險�����、項目風險����、系統(tǒng)風險�、數(shù)據(jù)風險和人員風險六大風險類別出發(fā),全面識別信息系統(tǒng)各類構(gòu)成要素中存在的風險����;對信息系統(tǒng)進行風險評價,根據(jù)風險得分將信息系統(tǒng)按優(yōu)先級分別劃分為高���、中���、低三類。結(jié)合公司IT審計資源的情況���,對優(yōu)先等級高的系統(tǒng)采用三年一審策略���,中等級系統(tǒng)5—6年一個審計周期,風險等級低的系統(tǒng)則根據(jù)需要安排審計���。在此審計策略的基礎(chǔ)上���,再綜合考慮公司業(yè)務的十大風險��、領(lǐng)導關(guān)注事項���、上一年度內(nèi)控評價結(jié)果和審計項目成果、公司新一年的工作重點���、公司信息系統(tǒng)的變動情況,并制定出本年度的信息系統(tǒng)審計計劃����。
3、以風險為導向�����,開展信息系統(tǒng)審計
在項目實施階段����,審計人員必須從公司整體信息系統(tǒng)控制環(huán)境和被審計系統(tǒng)的狀況、流程與內(nèi)部控制兩個方面進一步收集被審計系統(tǒng)的相關(guān)資料���,了解和確認被審計單位已建立的內(nèi)部控制措施��,并對這些控制措施的設(shè)計是否達到控制目標進行評估��。
(1)以“輪流循環(huán)+以點帶面”的方式開展整體計算機控制審計�。
公司的信息化業(yè)務采用統(tǒng)一集中管理的模式,整體計算機控制對各個系統(tǒng)具有一定的通用性�。因此,在實務操作中���,廣州地鐵采用“以點帶面”的策略��,以單個信息系統(tǒng)整體計算機控制為切入點對整體計算機控制進行審計�,評價整體信息系統(tǒng)的安全性���;同時��,考慮到信息系統(tǒng)在一定時間內(nèi)相對穩(wěn)定�����,因此在實施整體計算機控制審計時可采取輪流測試的方式����,即每年從十個子流程中選取幾個進行測試,經(jīng)過一定周期后��,完成對整體計算機控制的全面審計���。例如��,在2011年開展的信息安全審計項目中�����,審計人員就圍繞信息安全這個審計主題��,從十個子流程中選取了與信息安全直接相關(guān)的信息系統(tǒng)操作�、信息系統(tǒng)安全����、業(yè)務可持續(xù)計劃����、應用系統(tǒng)開發(fā)與實施、數(shù)據(jù)庫開發(fā)與實施和系統(tǒng)軟件支持等六個流程進行審計����。分步����、循環(huán)開展整體計算機審計����,在審計風險可控的情況下,大大節(jié)省了審計資源�,也使得審計人員能夠更加深入地挖掘和分析整體計算機控制方面所存在問題以及問題的成因,提出更為切實可行�、同時又符合公司信息化業(yè)務發(fā)展現(xiàn)狀和要求的整改措施。
(2)以風險為著眼點��,確定應用控制審計重點�����。
應用控制是各個信息系統(tǒng)內(nèi)部所建立的控制機制���,應用控制審計必須針對某個具體信息系統(tǒng)開展���。在開展應用控制審計的過程中,審計人員應緊緊圍繞“風險”這個著眼點����,通過對原有業(yè)務成熟度和系統(tǒng)建設(shè)過程中風險的評估�����,選擇不同的審計側(cè)重點開展應用控制審計��。例如����,在合同管理系統(tǒng)審計項目中�����,由于合同管理系統(tǒng)是全新開發(fā)的系統(tǒng)�,審計人員經(jīng)分析,判定系統(tǒng)在應用系統(tǒng)訪問控制方面的風險較高�。而在進行控制評估和測試后�����,審計人員發(fā)現(xiàn)業(yè)務人員在創(chuàng)建系統(tǒng)權(quán)限設(shè)置機制時完全套用了公司辦公自動化系統(tǒng)的權(quán)限機制,而未針對合同業(yè)務流程中不同于公司組織架構(gòu)下的角色設(shè)立相應的用戶組��,導致系統(tǒng)無法實現(xiàn)合同經(jīng)辦人與審批人職責的分離,存在重大的內(nèi)控風險��。
四��、信息系統(tǒng)審計方法
在信息系統(tǒng)審計中,可因地制宜,綜合運用多種學科的技術(shù)方法�,包括:傳統(tǒng)審計中內(nèi)部控制測評的基本方法和審計取證的基本方法(包括審閱、核對����、監(jiān)盤、觀察�����、查詢�、函證、計算�����、分析性復核)�;計算機科學的技術(shù)方法,如數(shù)據(jù)測試法���、程序編碼審查法����、受控處理法��、受控再處理法����、整體測試法�����、平行模擬法���、程序比較法、漏洞掃描��、入侵檢測���、嵌入審計程序法等等;行為科學的技術(shù)方法�,如運用組織發(fā)展的理論與方法�����、個體行為一般規(guī)律的理論和方法��。這些方法與技術(shù)并不是孤立的�,而是互相聯(lián)系的�。目前�����,廣州地鐵在信息系統(tǒng)審計中所運用的方法仍主要集中在傳統(tǒng)的內(nèi)控審計方法和信息系統(tǒng)管理的技術(shù)方法兩個領(lǐng)域����,具體包括詢問���、觀察����、文件復核�、抽樣、重新執(zhí)行����、使用計算機輔助軟件等����。在部分項目中��,也采用了一些計算機科學的技術(shù)方法�����。受限于審計資源不足��,廣州地鐵較少采用程序比較法�、平行模擬法����、程序編碼審查法等高成本的審計方法�,而傾向于選用一些較為高效的測試方法。但這些高效方法的運用不能完全消除審計風險�,這就需要審計人員根據(jù)自身的經(jīng)驗盡量避免����。
1、傳統(tǒng)審計方法的運用
廣州地鐵在開展信息系統(tǒng)審計過程中較多運用傳統(tǒng)審計的方法�。例如,在對信息系統(tǒng)整體計算機控制進行審計時��,通過對系統(tǒng)使用人員的訪談����、調(diào)研和對系統(tǒng)各項操作的觀察�����,梳理出整體計算機控制相關(guān)的各種控制活動�。在沒有測試環(huán)境的情況下對生產(chǎn)在用信息系統(tǒng)的人機交互界面和功能進行調(diào)查和確認時,審計人員大量運用了觀察的方法��。在對固定資產(chǎn)信息系統(tǒng)模塊進行審計中���,審計人員通過觀察物資采購人員、資產(chǎn)管理人員���、會計核算人員在系統(tǒng)中的操作界面����、系統(tǒng)實現(xiàn)效果以及業(yè)務操作流程來了解系統(tǒng)功能的構(gòu)造����。發(fā)現(xiàn)采購中的供應商信息在跨系統(tǒng)流程過程中丟失����,導致財務系統(tǒng)和實物管理的MAXIMO系統(tǒng)的資產(chǎn)臺賬中均缺少供應商信息����,致使日后采購同類物資時,采購人員無法獲取歷史采購信息作為參考����,增加了市場調(diào)研成本�����。除內(nèi)控矩陣和訪談、觀察等方法之外���,編制流程圖�、數(shù)據(jù)流圖和報表流圖也是信息系統(tǒng)審計經(jīng)常使用的方法���。
2���、計算機科學技術(shù)方法的運用
計算機科學技術(shù)方法是信息系統(tǒng)審計特有的方法�����,來源于IT行業(yè)的信息技術(shù)的轉(zhuǎn)換應用��,主要包括基于數(shù)據(jù)分析的方法和基于程序分析的方法����,這些方法的綜合使用使得對信息系統(tǒng)的審計更加有效。具體方法的選用需視被審計系統(tǒng)的實際情況而定����。在一個審計項目中,廣州地鐵審計人員經(jīng)常將多種方法結(jié)合使用��。例如�,在票務收入系統(tǒng)審計項目中�,審計人員首先采用數(shù)據(jù)測試法��,使用正常及非正常的測試地鐵票搭乘地鐵���,在系統(tǒng)中跟蹤測試票的處理情況�,以驗證系統(tǒng)處理與控制功能是否均有效�;在對系統(tǒng)中后期內(nèi)部開發(fā)的車站單程票售賣功能進行審計時,審計人員采用了程序編碼審查法���,對系統(tǒng)的源程序編碼進行審查���,審查后發(fā)現(xiàn)單程票售賣金額統(tǒng)計報表在進行數(shù)據(jù)處理時省略了小數(shù)點后的尾數(shù),導致報表金額存在偏差��;在對票務系統(tǒng)的清分報表進行驗證時�,審計人員又采用了平行模擬法�,抽取系統(tǒng)中一段時間內(nèi)的正式交易記錄���,在系統(tǒng)外模擬系統(tǒng)的處理規(guī)則對交易記錄進行處理,并將處理結(jié)果與系統(tǒng)的報表數(shù)據(jù)進行核對,結(jié)果發(fā)現(xiàn)系統(tǒng)在數(shù)據(jù)傳遞和處理過程中�����,由于系統(tǒng)對于異常數(shù)據(jù)的審核過于嚴格����,導致部分正常數(shù)據(jù)被當作垃圾數(shù)據(jù)丟進異常庫�����,給公司造成票務損失�����。
3��、計算機輔助審計軟件的應用
計算機輔助審計軟件的應用是信息系統(tǒng)審計的一個顯著特點,也是審計人員準備階段需要重點關(guān)注的問題之一���。目前,廣州地鐵對計算機輔助審計軟件的應用主要體現(xiàn)在以下兩個方面。
(1)對系統(tǒng)中數(shù)據(jù)的準確性�����、完整性和一致性的檢查��。
例如�,在合同管理系統(tǒng)審計項目中��,為核對系統(tǒng)接口程序的可靠性��,審計人員利用審計輔助軟件快速完成了對合同系統(tǒng)和財務系統(tǒng)數(shù)據(jù)一致性的核對,迅速查找出兩個系統(tǒng)中不一致的數(shù)據(jù)���。經(jīng)過深入分析,審計人員發(fā)現(xiàn)由于財務核算人員在財務系統(tǒng)中復核合同支付數(shù)據(jù)時發(fā)現(xiàn)錯誤���,將支付申請退回給合同系統(tǒng)再由合同經(jīng)辦人重新填報時�����,合同系統(tǒng)未對已生成的支付信息進行更新��,導致上述問題的出現(xiàn)�����。針對海量數(shù)據(jù)處理系統(tǒng),數(shù)據(jù)驗證是審計的重點��,計算機輔助軟件是“不可或缺”的審計工具。在地鐵票務收入保障審計項目中�,審計人需要通過數(shù)據(jù)驗證的方式對業(yè)務處理的核心系統(tǒng)———自動售檢票(AFC)系統(tǒng)中的系統(tǒng)傳輸和處理機制進行驗證。為此���,審計人員共設(shè)計了8大類29子類47個數(shù)據(jù)驗證主題。審計時�����,審計人員運用計算機輔助審計技術(shù)���,在兩個月內(nèi)完成了對AFC系統(tǒng)中10天總計超過3億條運營數(shù)據(jù)的驗證工作。
(2)利用計算機輔助軟件進行對比測試�����。
即審計人員從信息系統(tǒng)中抽取某部門樣本數(shù)據(jù),將樣本數(shù)據(jù)輸入到與計算機輔助軟件中進行處理����,把審計軟件輸出的結(jié)果與業(yè)務系統(tǒng)產(chǎn)生的結(jié)果進行對比分析,以判定業(yè)務系統(tǒng)的可靠性與準確性����。廣州地鐵在已開展的運營票務收入保障審計項目中大量地使用了此種方式�。審計人員將各車站站務人員在票務系統(tǒng)中錄入的售票數(shù)據(jù)導入到計算機輔助軟件中�,按照業(yè)務規(guī)則對數(shù)據(jù)進行處理���,將處理結(jié)果和系統(tǒng)輸出的結(jié)果進行對比����。經(jīng)對比,審計人員發(fā)現(xiàn)票務系統(tǒng)在處理異常數(shù)據(jù)時過于嚴格�,導致部分非異常數(shù)據(jù)被系統(tǒng)當作異常數(shù)據(jù)丟入異常庫中�����,給公司造成票務損失。
篇6
2.信息系統(tǒng)審計專業(yè)人才比較缺乏我國國內(nèi)的審計人員不僅在數(shù)量上存在欠缺���,質(zhì)量上更是有待提高。當前我國金融界審計隊伍中�,主要由財經(jīng)類專業(yè)人員構(gòu)成��,嚴重缺乏既掌握現(xiàn)代審計理論與技術(shù)又精通計算機知識與技能的新型復合型人才。傳統(tǒng)的審計人員雖在財會審計領(lǐng)域經(jīng)驗豐富�����,但對計算機網(wǎng)絡技術(shù)了解不多���,這使得他們難以對復雜的網(wǎng)絡會計系統(tǒng)進行有效的評審���,難以應付電子商務環(huán)境下的審計風險��。
3.缺乏有效的通用信息系統(tǒng)審計軟件通用的審計軟件具有計算機輔助審計軟件的各種功能,并且在計算機環(huán)境中�����,通過數(shù)據(jù)接口與被審計信息系統(tǒng)連接,同時將審計工作程序化���,從而在很大程度上代替了手工審計��。目前我國信息系統(tǒng)審計剛起步不久����,在信息系統(tǒng)審計軟件這方面還存在很大空缺�,通用的信息系統(tǒng)審計軟件幾乎不存在。此外���,我國現(xiàn)有的財務軟件大多沒有審計接口��,審計軟件無法獲取所需系統(tǒng)的電子資料��。
二����、我國商業(yè)銀行信息系統(tǒng)審計的發(fā)展策略
1.信息系統(tǒng)審計制度與準則制定方面根據(jù)國際趨同的要求,我國應建立國際標準框架下具有各行特色的標準和規(guī)范體系���。因而,我國商業(yè)銀行也可應把目前國際上公認的最先進�����、最權(quán)威的信息系統(tǒng)審計標準——COB信息系統(tǒng)作為核心標準�,建立符合中國實際��、順應國際準則趨同化要求的內(nèi)控�、風險管理體系、信息系統(tǒng)監(jiān)審機制和制度����。同時借鑒巴塞爾協(xié)議、BS7799����、COSO等其他國際標準和原則,進而確立適合各行的信息系統(tǒng)審計目標�����、對象�����、范圍���、方法、流程等,具體指導信息系統(tǒng)審計工作�����。
2.信息系統(tǒng)審計管理方面第一����,建立全方位信息系統(tǒng)審計管理體系���。一方面��,商業(yè)銀行要切實落實《金融機構(gòu)計算機安全保護工作暫行規(guī)定》要求,合理安排基礎(chǔ)設(shè)施和安全防范措施。另一方面,監(jiān)管部門應加強對我國商業(yè)銀行的信息系統(tǒng)審計的監(jiān)管,將信息系統(tǒng)安全作為監(jiān)管的重要內(nèi)容,將信息系統(tǒng)審計作為評價其安全性的重要因素�����。第二�,進行信息系統(tǒng)審計人員的技術(shù)角色劃分,突出信息系統(tǒng)審計的技術(shù)特色����。根據(jù)各商業(yè)銀行自己的信息系統(tǒng)技術(shù)體系及信息系統(tǒng)審計資源,劃分不同的信息系統(tǒng)審計技術(shù)角色,突出信息系統(tǒng)審計的技術(shù)特色,提升信息系統(tǒng)審計層次�。
篇7
二�、完善內(nèi)部控制審計�����,提高審計質(zhì)量
1.擴大重點審計范圍由于我國內(nèi)部控制系統(tǒng)審計開展的時間較晚����,目前還處于實施的初步階段����,特別是在當前內(nèi)部控制環(huán)境對內(nèi)部控制系統(tǒng)審計實施不利的情況下,更應該加大對重點審計范圍。我國企業(yè)內(nèi)部控制實施的目的是為了起到對管理者監(jiān)督的作用���,從而確保企業(yè)能夠健康的發(fā)展,所以內(nèi)部控制系統(tǒng)審計的審計重點需要找出內(nèi)部控制制度的漏洞和不足之處�,同時還要根據(jù)行業(yè)和企業(yè)規(guī)模的不同,制定不同的審計計劃��,同時可以將與財務報表審計相關(guān)的內(nèi)部控制作為內(nèi)部控制系統(tǒng)審計的重點范圍�����,同時還要對其他內(nèi)部控制信息加強審計�。
2.吸取別國經(jīng)驗與創(chuàng)新審計方法內(nèi)部控制系統(tǒng)審計最早由美國開始實施���,所以目前各國內(nèi)部控制審計準則都是以美國為范本而制定的,這就需要我們在內(nèi)部控制審計實施過程中要做好吸收和借鑒工作��,趨利避害�,做好提前預防工作��。目前經(jīng)濟全球化的發(fā)展步伐不斷加大����,但這并不意味著全球內(nèi)部控制控制或是內(nèi)部控制系統(tǒng)審計準則都要具有一致性��,其實在具體實務中����,企業(yè)內(nèi)部控制制度都是針對企業(yè)自身的特點制定的,所以差異性較大���,這就決定了企業(yè)內(nèi)部控制系統(tǒng)審計也不可能都如出一轍�。所以在目前這種情況下,我國企業(yè)內(nèi)部控制系統(tǒng)審計需要根據(jù)我國的實際國情���,制定與我國社會主義市場經(jīng)濟相符合的內(nèi)部控制系統(tǒng)審計準則,這親不僅有利于我國企業(yè)內(nèi)部控制制度的健康刀菜���,而且對于降低社會成本也具有積極的意義�����。
篇8
二��、轉(zhuǎn)型環(huán)境下提高基層人民銀行信息系統(tǒng)審計水平的對策
(一)創(chuàng)新審計流程���,強化信息系統(tǒng)事前和事中審計�����。信息系統(tǒng)審計是以保證計算機信息系統(tǒng)安全平穩(wěn)運行����,有效控制風險為目標的�,如果僅從合規(guī)性的角度進行信息系統(tǒng)審計��,無法達到上述目標�����,因此��,開展信息系統(tǒng)審計的目的不僅要善于發(fā)現(xiàn)問題����,有效防范已暴露的風險�����,更要分析化解潛在的風險,以提高審計效果���。這就要求我們要創(chuàng)新審計流程���,改變傳統(tǒng)審計方法,采用“參與式”的審計方式,加強與科技等部門的溝通交流����,重視事前與事中審計�。一要完善溝通機制�?����?萍寂c系統(tǒng)應用部門應及時將制定的有關(guān)制度�、操作規(guī)程、系統(tǒng)運行中的事故情況��、解決措施���、處理結(jié)果發(fā)送給內(nèi)審部門�;內(nèi)審部門應就審計系統(tǒng)時發(fā)現(xiàn)的問題,及時向科技和系統(tǒng)應用部門進行通報和反饋�����,并與他們定期或不定期地磋商���、交流���,了解各業(yè)務系統(tǒng)運行情況,更好地發(fā)揮信息系統(tǒng)審計的作用����。二要組織審計人員參與新系統(tǒng)的開發(fā)、評估�����,并設(shè)計滿足審計業(yè)務需要的功能�,真正做到對信息系統(tǒng)的事前和事中審計。三是在審計過程中采用“參與式”審計方法�����,參與信息系統(tǒng)審計目標、內(nèi)容�����、計劃的制訂�,參與審計中發(fā)現(xiàn)問題的分析�����、討論��,參與信息系統(tǒng)風險的評估及改進措施的制訂等��。
篇9
社保網(wǎng)上申報系統(tǒng)共設(shè)計了SINS包和NSSRC包,前者存放Struts控制XML文件,根據(jù)系統(tǒng)各功能模塊的劃分,在Jsp業(yè)務文件中創(chuàng)建計劃包�、人員包和單位包;后者存放hibernat及其相關(guān)業(yè)務邏輯,根據(jù)系統(tǒng)各功能模塊的劃分,在此文件中創(chuàng)建計劃包、人員包和單位包����。Globa1NameS.java是NSSRC包中的定義全局靜態(tài)變量,可供整個系統(tǒng)使用,系統(tǒng)的運行模式以及相關(guān)操作均可借助該變量定義完成設(shè)置,在引用該變量時,只需修改文件別名對應的字符串即可,無需再對該變量的代碼進行改動。通過Hibernate來完成數(shù)據(jù)庫的連接設(shè)置,并在相應文件中存放其配置信息,并獲得連接部分的相應代碼,接下來完成的事數(shù)據(jù)庫表持久化的設(shè)計,通過數(shù)據(jù)庫中各表對應的文件,對各屬性變量及其對應的函數(shù)進行定義,然后明確存放指向路徑���?�;贛VC的Struts框架包括View層����、Control層和Model層,View層即為系統(tǒng)靜態(tài)頁面和業(yè)務層返回結(jié)果生成的jsp頁面,均采用javascriPt語言編寫,存放在SINS包中,按照其對應的功能模塊,該控制文件會被劃分為若干Struts控制文件;Control層可指明客戶端表單應執(zhí)行的類、方法和路徑,并對客戶端發(fā)送的表單數(shù)據(jù)進行處理,最后調(diào)用到具體業(yè)務層;Model層為整個框架提供了一個接口,通過此接口可與JAVA文件相連接����。
1.2系統(tǒng)業(yè)務功能的實現(xiàn)
對于社保信息系統(tǒng)而言,不同單位和社保中心數(shù)據(jù)的存儲格式并不相同,往往會形成多對一的格局,借助XML模式與其他關(guān)系模式的數(shù)據(jù)轉(zhuǎn)換,可最大限度地抽取數(shù)據(jù)轉(zhuǎn)換的共性,而且極大地提高了定制轉(zhuǎn)換的便易性。數(shù)據(jù)交換的精髓在于集中和標準,將分散的數(shù)據(jù)進行匯集,為社保系統(tǒng)業(yè)務功能的實現(xiàn)提供必要的數(shù)據(jù)集合����。采用UML工具對網(wǎng)上申報系統(tǒng)進行建模,并根據(jù)建模結(jié)果而通過編碼實現(xiàn)。以在職增員申報功能為例,通過互聯(lián)網(wǎng)登錄社保網(wǎng)上申報系統(tǒng)辦理相關(guān)業(yè)務,首先要提交數(shù)據(jù)處理請求,由信息中心輪詢程序?qū)邮盏降恼埱筮M行處理,并將處理結(jié)果反饋到系統(tǒng),從而便能夠查看到業(yè)務辦理的結(jié)果,具體操作流程在界面上均有提示���。系統(tǒng)業(yè)務功能的實現(xiàn)實際上就是Struts框架中View層�����、Control層和Model層的實現(xiàn)��。
篇10
【作者簡介】張艷玲�,渤海大學副教授���,碩士����;王娟,渤海大學講師�����,碩士�,遼寧錦州121000
【中圖分類號】F239.0 【文獻標識碼】A 【文章編號】1004-4434(2013)02-0155-05
免疫系統(tǒng)論是對審計理論的創(chuàng)新和審計本質(zhì)��、職能的重新界定��,石化企業(yè)作為我國國民經(jīng)濟的重要組成部分���,其在維護國家經(jīng)濟安全��、促進國有資產(chǎn)保值增值中發(fā)揮中重要作用��。在國際金融危機影響尚未完全消除����、國內(nèi)外經(jīng)濟發(fā)展環(huán)境多變�����、市場競爭日益激烈和企業(yè)風險趨于多元的后金融危機時代��。石化企業(yè)必須以免疫系統(tǒng)論作為新的價值取向深度推進審計文化建設(shè),促進審計事業(yè)的創(chuàng)新和發(fā)展����,保證企業(yè)可持續(xù)發(fā)展的實現(xiàn)。
一�、審計文化的內(nèi)涵、特點及功能
(一)審計文化的內(nèi)涵
審計文化與文化之間具有密不可分的聯(lián)系�����,審計文化是文化的重要組成部分��,要了解審計文化的內(nèi)涵��,必須先分析文化的具體內(nèi)容�����。關(guān)于文化的內(nèi)涵�����,在學術(shù)界有不同觀點���。按照《現(xiàn)代俄語標準辭典》的解析:文化是指人類社會在生產(chǎn)中�、社會生活和精神生活中所取得的成就的總和,包括物質(zhì)文化和精神文化兩個層面��。泰勒(1992)認為���,文化是一個復合整體�,包括知識����、信仰�����、藝術(shù)���、道德�、法律����、習俗以及作為一個社會成員的人所習得的其他一切努力和習慣。還有學者認為�����,文化是代表一定民族特點的反映其理論思維水平的精神面貌、心理狀態(tài)�、思維方式和價值取向等精神成果的總和??梢姡幕且粋€多視角����、多維度和多層面的概念。包括了物質(zhì)�、精神、理性和感性等多方面的涵義��。也正是由于文化的復雜性���,審計文化也成為了仁者見仁�����、智者見智的問題��。但整體而言��,審計文化具有自然屬性和社會屬性兩種屬性已成為普遍共識�。審計文化的自然屬性是審計工作中具有的屬性,是共性��,如審計法律法規(guī)��、審計準則�����、審計手段和方法以及審計行為等�����。審計文化的自然屬性決定了不同社會����、不同國家的審計文化的共性。是不同國家相互交流的基礎(chǔ)�����。審計文化的社會屬性是審計工作中所形成的屬性��,是個性�����,其決定了不同社會���、不同國家審計文化的差異性���。雖然審計文化還沒有形成統(tǒng)一、具體的概念����,但學者普遍認為,審計文化是審計機關(guān)及其審計人員在履行職責�����、發(fā)展審計事業(yè)過程中培育形成的���,被共同認可�、遵循的價值觀念��、道德規(guī)范�����、行為準則��、群體意識的總和。不難看出�,學者對于審計文化的理解和認同,主要是集中在審計價值觀�、審計精神、審計心理和審計道德等在內(nèi)的精神方面��。
(二)審計文化的特點
經(jīng)過近30年的發(fā)展����,審計文化已經(jīng)逐步形成了區(qū)別于其他文化的特點。(1)時代性���。審計文化是時展的產(chǎn)物����,無法脫離特定時代��、特定政治�����、經(jīng)濟和社會環(huán)境的制約��,隨著社會經(jīng)濟關(guān)系的發(fā)展而變化��,以適應社會經(jīng)濟發(fā)展對審計工作的要求���,與審計工作實際現(xiàn)狀保持協(xié)調(diào)一致�����。(2)系統(tǒng)性�。審計文化包括了審計物質(zhì)文化���、審計制度文化和審計精神文化三個層面�,三者相互關(guān)聯(lián)���、缺一不可��。審計文化建設(shè)��,不僅要注重制度�、技術(shù)等有形因素���,更要重視信念�、價值觀��、道德評價等無形因素。(3)創(chuàng)新性���。在社會經(jīng)濟不斷發(fā)展的背景下��,審計手段�、審計方法�����、審計理論以及審計的價值觀等必定要不斷創(chuàng)新��。(4)開放性���。審計文化與其他文化雖有本質(zhì)區(qū)別���,但又相互兼容,既需要吸收先進文化的基本元素����,又可以為其他文化提供借鑒和吸收。(5)科學性���。審計文化具有自身的發(fā)展規(guī)律�,其發(fā)展以社會經(jīng)濟發(fā)展水平和社會環(huán)境為基礎(chǔ)���,不能超越于經(jīng)濟發(fā)展水平的需要而獨立存在���,審計文化應與經(jīng)濟發(fā)展和審計工作的實際需要保持協(xié)調(diào)一致。
(三)審計文化的功能
實踐證明���,審計文化具有四個方面的功能�。其一�����,凝聚功能����。先進的審計文化,可以增進審計及機關(guān)人員的相互了解���。團結(jié)各崗位�����、各領(lǐng)域的人員��,形成共同的認知和價值觀���,增強企業(yè)凝聚力和忠誠度����,形成促進企業(yè)發(fā)展的巨大合力�。其二,激勵功能�����。價值觀和精神文化是審計文化的重要內(nèi)容���,其具有良好的精神感召力����,有利于形成強有力的激勵環(huán)境和激勵機制���,調(diào)動審計人員的主動性�����,全身心投身于審計工作�����,推動審計事業(yè)發(fā)展�����。實踐證明�,在某種程度上�����,文化的激勵作用往往勝過行政命令的執(zhí)行約束��。其三�,約束功能。審計文化的約束功能在價值觀的指導下�����,借助道德����、信念和風氣發(fā)揮作用,通過心理的誘導和規(guī)范,引導人的思想和行為趨于和諧�����、一致����。其四,教育功能����。良好的審計文化有利于企業(yè)職工陶冶思想素質(zhì)和道德情操,遵循正確的思想準則和行為規(guī)范�����。此外���,審計文化還可以促使外部人員增加對審計工作的理解和配合�,促使社會各界更加關(guān)注和支持審計事業(yè)�����。
二�、免疫系統(tǒng)論與審計文化建設(shè)的內(nèi)在機理
審計免疫系統(tǒng)是國家審計署審計長劉家義于2007年提出的觀點,并在2008年中國審計學會五屆三次理事會暨第二次理事論壇對全面深刻地闡述了免疫系統(tǒng)理論。免疫系統(tǒng)論是對審計理論的創(chuàng)新����、審計本質(zhì)和審計職能的新發(fā)展。劉家義審計長指出�����,審計應具有和發(fā)揮預防���、揭示、抵御功能����,現(xiàn)代國家審計就是經(jīng)濟社會運行的一個免疫系統(tǒng)。很顯然���,免疫系統(tǒng)論下的審計已經(jīng)超越了傳統(tǒng)審計中的會查賬就是審計的定位�,并對傳統(tǒng)審計的監(jiān)督�����、評價和鑒證職能進行修正及突破�����。免疫系統(tǒng)論下的審計,要做到資金管理使用的合規(guī)性�、合法性、效益與效果性兼顧���;既要查處問題�,又要完善制度政策�;在審計經(jīng)濟問題的同時,加強對社會�、生態(tài)、環(huán)境和民生等問題的關(guān)注��。對于企業(yè)而言���,審計部門作為公司“免疫系統(tǒng)”的重要組成部分��,要從審計的本質(zhì)出發(fā)��,發(fā)揮預警��、揭示和修補抵御等“免疫”功能�,同時當好經(jīng)濟衛(wèi)士和保健醫(yī)生��,查錯糾弊、規(guī)范管理���、完善制度�����、堵塞漏洞����,促進公司依法經(jīng)營�、規(guī)范管理,并不斷增強抗風險能力和市場競爭力��,保障公司經(jīng)營管理活動安全運行和健康發(fā)展��。通過分析免疫系統(tǒng)論和審計文化的功能與目的�,兩者是趨于一致的����。是可以融合的?�;榇龠M的����。
(二)創(chuàng)新審計制度��,強化審計文化建設(shè)的制度保障
篇11
中圖分類號G31 文獻標識碼A 文章編號 1674-6708(2011)48-0198-02
0 引言
科研項目申報與科研成果的統(tǒng)計���、管理師高校科研管理工作的重要內(nèi)容之一�,也是高校科研處日常工作的重要組成部分��。做好科研項目申報�����、科研成果統(tǒng)計���,使之達到準確���、高效的水平,是高?��?蒲泄芾聿块T始終關(guān)注和追求的目標��。
隨著信息技術(shù)的發(fā)展��,由于各高??蒲许椖俊⒖蒲谐晒?����、科研經(jīng)費的不斷增多�,科研管理的信息量也日益增大。各高校紛紛摒棄了傳統(tǒng)的手工管理模式��,進而建立了基于WEB的科研管理系統(tǒng)��,以提高工作效率�����。筆者在本單位的科研管理系統(tǒng)的開發(fā)過程中�����,根據(jù)本單位的實際情況�����,引入了論文提交審核�����、項目預申報2個子系統(tǒng)的開發(fā)��,使用的實踐證明���,效果良好���,解決了實際工作中長期存在的問題,具有一定現(xiàn)實意義�。
1 系統(tǒng)需求分析
1.1論文提交審核需求
論文是科學研究的重要成果之一,其數(shù)量和質(zhì)量也是衡量高?�?蒲兴降闹匾笜酥?�,因此論文的統(tǒng)計和審核是高?����?蒲刑幍闹匾ぷ髦?���,為此,一般的科研管理系統(tǒng)均包含此功能����。
論文的提交和審核�����,過去一般由作者提交論文紙質(zhì)復印件���,科研處匯總后,逐一審核(包括是否屬SCI���、EI收錄����、是否屬中文核心期刊發(fā)表��、數(shù)否屬非法期刊發(fā)表等)���,再由科研處人員逐一錄入���。許多高校由于實行高級別論文的獎勵政策��,使得科研處在該項工作中尤其不敢掉以輕心����,稍有疏忽��,即容易引發(fā)投訴和矛盾���。在論文數(shù)量大、科研處人員少的院校尤其如此�����。因此�,科研管理系統(tǒng)若只承擔錄入、存儲且輔之以統(tǒng)計查詢的作用是不夠的�����。
高校圖書館在論文的甄別工作上具有得天獨厚的條件���,應充分發(fā)揮圖書館功能之所長���,在系統(tǒng)中專門開辟一個審核模塊歸之使用,從而避免科研處在論文甄別上的尷尬與被動���。
論文的提交可由作者紙質(zhì)提交改為自行登入系統(tǒng)錄入�����。圖書館審核后����,其數(shù)據(jù)不允許再修改。此舉有2個優(yōu)點:其一��,減少紙張使用�����,低碳環(huán)保從日常的工作中開始����;其二,審核結(jié)果權(quán)威性增強�����,減少爭議�����。
1.2 項目預申報需求
筆者從事科研項目申報工作多年,學校規(guī)定的項目申報截止日到后�,個別教師仍提交申報書的情況時有發(fā)生���。其原因有多方面����,申報期內(nèi)教學工作繁忙��、外出公干等�����。在科研管理系統(tǒng)中加入預申報模塊���,可以有效地減少逾期申報的情況發(fā)生�����。
其做法為�����,科研處每次項目申報通知發(fā)出后�����,即在通知后面鏈接項目預申報模塊����,教師瀏覽完申報通知后,有意申報者即可進入項目預申報子系統(tǒng)�����,進行申報登記�。科研處在受理申報材料截止日的前三天�����,可以根據(jù)目前所收材料的情況與項目預申報子系統(tǒng)內(nèi)的登記情況進行對比���,對尚未交材料者進行提醒和督促�����。該系統(tǒng)投入使用后���,逾期申報的情況大幅減少�。保證了申報工作的順利進行��。
2 系統(tǒng)結(jié)構(gòu)設(shè)計
2.1系統(tǒng)體系結(jié)構(gòu)設(shè)計
通過以上需求分析���,針對本校科研管理業(yè)務流程的實際需求����,本系統(tǒng)采用了多層B/S(Browser/Server)模式體系結(jié)構(gòu)。B/S模式是Web興起后的一種網(wǎng)絡結(jié)構(gòu)模式��,WEB瀏覽器是客戶端最主要的應用軟件����。這種模式統(tǒng)一了客戶端,將系統(tǒng)功能實現(xiàn)的核心部分集中到服務器上����,簡化了系統(tǒng)的開發(fā)、維護和使用����。本系統(tǒng)采用.NET框架支持下的n層分布式體系結(jié)構(gòu),使系統(tǒng)具有良好的可操作性和可維護性�����。
2.2 系統(tǒng)業(yè)務流程設(shè)計
論文提交審核流程設(shè)計
3 系統(tǒng)安全性設(shè)計
系統(tǒng)的安全性問題是本系統(tǒng)設(shè)計需要考慮的重要方面,除了它關(guān)系到整個系統(tǒng)的實用性和可靠性��,更重要的是圖書館對數(shù)據(jù)庫中論文審核的結(jié)論具有權(quán)威性和不可更改性����,因此,本系統(tǒng)除了使用通信協(xié)議提供的功能完成連接和驗證省份外��,在應用程序和數(shù)據(jù)庫中還對用戶訪問權(quán)限進行了分配和限制����,從而確保數(shù)據(jù)庫中的數(shù)據(jù)信息部不被非法泄露和修改。
用戶的權(quán)限主要按用戶使用性質(zhì)進行分配���,其中包括:教師角色用戶(即有科研信息的用戶)�、人事處用戶(專門負責教師基本信息的錄入�、修改、刪除)����、科技處用戶、圖書館用戶(負責論文審核)�、財務處用戶(負責科研經(jīng)費的錄入����、修改�����、刪除)�、部門領(lǐng)導查詢用戶(只限于對本部門的科研信息、匯總信息進行查詢)���、院領(lǐng)導查詢用戶(可對全院科研信息、匯總信息進行查詢)�����。
4 結(jié)論及應用效果
本系統(tǒng)于2009年10月正式投入使用��,運行效果良好����,它的多級用戶權(quán)限管理、分布式實時查詢等特點進一步增強了系統(tǒng)的通用性�、可操作性和安全性,達到原設(shè)計目標��。通過該系統(tǒng)的使用,實現(xiàn)了論文審核過程的無紙化提交�����,同時引入圖書館作為一個用戶�,解決了論文甄別問題上的難題,加強了論文審核環(huán)節(jié)的可靠性與準確性����。在項目申報方面,該系統(tǒng)能提前讓科研處掌握參加申報的人員數(shù)量及其姓名�����,便以及時做好提交申報材料的提醒和督促工作�,保證申報工作的順利完成。
