序論:速發(fā)表網(wǎng)結(jié)合其深厚的文秘經(jīng)驗(yàn)����,特別為您篩選了11篇系統(tǒng)審計(jì)論文范文�����。如果您需要更多原創(chuàng)資料����,歡迎隨時(shí)與我們的客服老師聯(lián)系,希望您能從中汲取靈感和知識(shí)��!
篇1
(二)信息系統(tǒng)審計(jì)的目標(biāo)���。信息系統(tǒng)審計(jì)和控制聯(lián)合會(huì)(ISACA)COBIT框架認(rèn)為組織內(nèi)部的信息系統(tǒng)需求三原則是:質(zhì)量�����、成本和安全����,即在保證信息系統(tǒng)滿足組織需求的前提下,盡可能避免組織內(nèi)外部風(fēng)險(xiǎn)��,并減少研發(fā)和維護(hù)成本���。因此信息系統(tǒng)審計(jì)的目標(biāo)就是對(duì)組織信息系統(tǒng)的運(yùn)行的可靠性��,數(shù)據(jù)的真實(shí)性和安全性提供評(píng)價(jià)�����。
(三)信息系統(tǒng)審計(jì)的步驟�����。由于大多數(shù)高校內(nèi)審機(jī)構(gòu)在“數(shù)字化校園”開(kāi)發(fā)階段并沒(méi)有參與其中�����。本文所述的信息系統(tǒng)審計(jì)專指信息系統(tǒng)運(yùn)行維護(hù)階段的審計(jì)����。
1.審計(jì)準(zhǔn)備階段�����。信息系統(tǒng)審計(jì)準(zhǔn)備階段步驟與傳統(tǒng)審計(jì)類似,通過(guò)從被審計(jì)單位獲取相關(guān)信息系統(tǒng)管理的規(guī)章制度���,找負(fù)責(zé)系統(tǒng)維護(hù)管理的工作人員座談���,實(shí)地觀察等方式����,完成審前調(diào)查,進(jìn)行風(fēng)險(xiǎn)評(píng)估���、初步確定審計(jì)重點(diǎn)和制定審計(jì)實(shí)施方案等工作�����。
2.審計(jì)實(shí)施階段��。信息系統(tǒng)審計(jì)在實(shí)施階段分為兩部分���,分別為信息系統(tǒng)一般控制審計(jì)和應(yīng)用控制審計(jì)。一般控制審計(jì)往往比應(yīng)用控制審計(jì)更為重要����,因?yàn)閼?yīng)用控制的有效性常常受到一般控制的影響��。根據(jù)審計(jì)項(xiàng)目不同��,審計(jì)人員可以只實(shí)施一般控制審計(jì)或者兩者結(jié)合進(jìn)行審計(jì)�����。(1)一般控制審計(jì)�����。一般控制審計(jì)又可以分為硬件和軟件兩部分����,兩部分的審計(jì)重點(diǎn)和方法有所不同���,分別為:對(duì)硬件的審計(jì)通過(guò)實(shí)地觀察法實(shí)施�����,主要有審計(jì)網(wǎng)絡(luò)接口是否安全����,是否有硬件防火墻,硬件設(shè)備存放環(huán)境是否安全�,防火、防雷���、防盜措施是否完備�,是否裝備了UPS���,在硬件出現(xiàn)故障時(shí)是否制定了應(yīng)急響應(yīng)計(jì)劃等���。對(duì)軟件的審計(jì)通過(guò)抽樣����、觀察和面談實(shí)施,審計(jì)重點(diǎn)為:一是系統(tǒng)管理控制��,主要有系統(tǒng)設(shè)定的職責(zé)分離是否合理�,授權(quán)管理是否充分,是否做到一個(gè)系統(tǒng)賬戶對(duì)應(yīng)一個(gè)工作人員�����,是否確保了只有被授權(quán)的用戶才能對(duì)特定資源和數(shù)據(jù)進(jìn)行訪問(wèn)等�����;二是軟件安全控制,主要有是否安裝了殺毒軟件�,軟件是否定時(shí)升級(jí),未經(jīng)授權(quán)的軟件能否安裝���,是否有系統(tǒng)操作規(guī)范等�;三是數(shù)據(jù)管理控制�,主要有數(shù)據(jù)傳輸是否加密,系統(tǒng)數(shù)據(jù)是否定期備份�����,有無(wú)冗余備份�����,數(shù)據(jù)修改是否按照規(guī)定程序進(jìn)行審核�����,向外部傳輸系統(tǒng)數(shù)據(jù)是否有身份認(rèn)證�,是否定期對(duì)數(shù)據(jù)質(zhì)量進(jìn)行檢查等。(2)應(yīng)用控制審計(jì)���。信息系統(tǒng)應(yīng)用控制是指為保證應(yīng)用程序處理數(shù)據(jù)時(shí)按照組織流程運(yùn)行�,確保數(shù)據(jù)的完整性和真實(shí)性的控制,包括輸入控制�、處理控制、輸出控制三部分�。輸入控制包括輸入授權(quán)、數(shù)據(jù)轉(zhuǎn)換和編輯校驗(yàn)�����,處理控制包括運(yùn)行總數(shù)控制��、計(jì)算機(jī)匹配和批處理控制�,輸出控制包括復(fù)核系統(tǒng)處理日志、審核輸出文本���、審核程序。對(duì)應(yīng)用控制的審計(jì)����,主要通過(guò)分析性復(fù)核和計(jì)算機(jī)輔助模擬的方法,審計(jì)重點(diǎn)為信息系統(tǒng)業(yè)務(wù)的控制點(diǎn)設(shè)置是否合理����,數(shù)據(jù)處理程序最多運(yùn)行數(shù)���,是否有審核系統(tǒng)日志程序等。
3.報(bào)告階段����。內(nèi)審人員根據(jù)實(shí)施階段編制的工作底稿,出具審計(jì)報(bào)告初稿��,與被審單位充分溝通后���,修改審計(jì)報(bào)告���,報(bào)相關(guān)層級(jí)領(lǐng)導(dǎo)審核后,簽發(fā)正式審計(jì)報(bào)告�����。
二����、高校做好信息系統(tǒng)審計(jì)的措施
1.轉(zhuǎn)變觀念,提高開(kāi)展信息系統(tǒng)審計(jì)必要性的認(rèn)識(shí)��?��!皵?shù)字化校園”建成以后���,高校內(nèi)部控制環(huán)境已經(jīng)悄然發(fā)生改變�,內(nèi)部審計(jì)要想充分發(fā)揮其獨(dú)有的管理評(píng)價(jià)職能��,必須迎頭而上����,及時(shí)開(kāi)展信息系統(tǒng)審計(jì)。不少內(nèi)審機(jī)構(gòu)認(rèn)為信息系統(tǒng)審計(jì)專業(yè)性太強(qiáng)����,無(wú)從著手,實(shí)際上信息系統(tǒng)審計(jì)的核心并沒(méi)有改變����,還是對(duì)信息系統(tǒng)控制的評(píng)價(jià),并沒(méi)有超出審計(jì)人員專業(yè)知識(shí)的范疇���。
2.結(jié)合實(shí)際,建立信息系統(tǒng)審計(jì)的體系����。當(dāng)前����,國(guó)際上已經(jīng)有比較成熟的關(guān)于信息系統(tǒng)審計(jì)的體系���,那就是信息系統(tǒng)審計(jì)和控制聯(lián)合會(huì)(ISACA)COBIT體系���,但完全照搬肯定是不行的,在實(shí)際操作中���,內(nèi)審機(jī)構(gòu)必須結(jié)合國(guó)情���、校情,進(jìn)行修訂更改���,出臺(tái)符合自身工作實(shí)際的�、具備可操作性的信息系統(tǒng)審計(jì)體系�,以規(guī)范審計(jì)工作。
篇2
審計(jì)系統(tǒng)是在一定的經(jīng)濟(jì)社會(huì)環(huán)境下產(chǎn)生����,又在特定的外界環(huán)境中存在和發(fā)展。它是環(huán)境的產(chǎn)物���,必須和環(huán)境相適應(yīng)���。與生態(tài)系統(tǒng)中的生物一樣��,審計(jì)系統(tǒng)的生存����、生長(zhǎng)受制于環(huán)境���,但審計(jì)系統(tǒng)的存在和發(fā)展又反過(guò)來(lái)影響和改變環(huán)境�?��;仡檶徲?jì)系統(tǒng)的發(fā)展歷程��,經(jīng)歷了三個(gè)階段:
第一階段是19世紀(jì)中葉����,在資本主義得到充分發(fā)展���、取得工業(yè)革命成功的英國(guó)出現(xiàn)了現(xiàn)代意義的審計(jì)(稱英國(guó)式審計(jì)或詳細(xì)審計(jì))�。當(dāng)時(shí)的審計(jì)對(duì)象是會(huì)計(jì)賬簿���,審計(jì)的目的是查錯(cuò)防弊�����,所使用的審計(jì)工具是詳細(xì)檢查���,審計(jì)信息的使用人是股東。第二階段是本世紀(jì)初����,在資本主義發(fā)達(dá)的美國(guó)出現(xiàn)了以資產(chǎn)負(fù)債表為對(duì)象的資產(chǎn)負(fù)債表審計(jì),其目的是判斷借款人的信用狀況����,審計(jì)信息使用人從股東擴(kuò)大到債權(quán)人(主要是銀行)。第三階段是本世紀(jì)20—30年代�����,由于資本市場(chǎng)證券化����,在美國(guó)出現(xiàn)了以損益表為中心的財(cái)務(wù)會(huì)計(jì)報(bào)表審計(jì),目的是提出客觀公正的審計(jì)意見(jiàn),審計(jì)信息使用人是所有的企業(yè)利害關(guān)系人���,對(duì)上市公司而言就是社會(huì)公眾�����。到了40年代以后�,由于跨國(guó)公司的出現(xiàn)����,國(guó)際間資本流動(dòng)頻繁,在發(fā)達(dá)的資本主義國(guó)家出現(xiàn)了國(guó)際化的會(huì)計(jì)公司���。
從上述審計(jì)系統(tǒng)從一個(gè)階段向高一階段的進(jìn)化過(guò)程分析�,我們可以得出兩點(diǎn)結(jié)論:一是審計(jì)系統(tǒng)每一次進(jìn)化都是為了適應(yīng)環(huán)境的變化����,和任何系統(tǒng)一樣,只有適應(yīng)環(huán)境的系統(tǒng)才能得以生存和發(fā)展����。19世紀(jì)西方資本主義得到充分發(fā)展,實(shí)行所有權(quán)和經(jīng)營(yíng)權(quán)分離���,就出現(xiàn)了英國(guó)式的詳細(xì)審計(jì)���。到了20世紀(jì)中葉��,隨著企業(yè)大型化和證券化,經(jīng)濟(jì)活動(dòng)劇增���,審計(jì)師不可能對(duì)每筆交易都進(jìn)行檢查�,審計(jì)系統(tǒng)就由詳細(xì)審計(jì)進(jìn)化到抽樣審計(jì)�����。有了跨國(guó)公司�,就有了國(guó)際性的會(huì)計(jì)事務(wù)所。正是審計(jì)系統(tǒng)適應(yīng)了所生存的環(huán)境��,才使得本身得到充分的發(fā)展�。同時(shí),進(jìn)化后的審計(jì)系統(tǒng)又反作用于環(huán)境�����,對(duì)社會(huì)經(jīng)濟(jì)起了積極推動(dòng)作用�����,成為人類經(jīng)濟(jì)系統(tǒng)中不可缺少的一個(gè)子系統(tǒng)。二是審計(jì)系統(tǒng)的每一次進(jìn)化都有賴于相應(yīng)的理論�����、方法和技術(shù)的支持��。從英國(guó)式的詳細(xì)審計(jì)進(jìn)化到資產(chǎn)負(fù)債表審計(jì)����,是因?yàn)橛袃?nèi)部牽制理論和統(tǒng)計(jì)抽樣技術(shù)的支持。同樣��,從資產(chǎn)負(fù)債表審計(jì)進(jìn)化到財(cái)務(wù)會(huì)計(jì)報(bào)表審計(jì)����,是因?yàn)橛袃?nèi)部控制理論和審計(jì)風(fēng)險(xiǎn)測(cè)試評(píng)價(jià)技術(shù)的支持。這是審計(jì)系統(tǒng)一次具有非常意義的“進(jìn)化”���,正是由于審計(jì)系統(tǒng)普遍采用了統(tǒng)計(jì)抽樣技術(shù)和內(nèi)部控制測(cè)試技術(shù)�,從而使審計(jì)系統(tǒng)的功能大大增強(qiáng)�,在大大提高了審計(jì)效率的同時(shí),又有效地控制了審計(jì)風(fēng)險(xiǎn)���。
同理�����,在步入21世紀(jì)的今天�,審計(jì)系統(tǒng)又面臨著新環(huán)境的挑戰(zhàn)。新經(jīng)濟(jì)和數(shù)字時(shí)代的到來(lái)��,以及經(jīng)濟(jì)全球化����、市場(chǎng)一體化等將對(duì)審計(jì)系統(tǒng)產(chǎn)生重大影響�。面對(duì)新經(jīng)濟(jì)環(huán)境的挑戰(zhàn),審計(jì)系統(tǒng)必須適應(yīng)這種環(huán)境的進(jìn)化�����,而要進(jìn)化就必須有相應(yīng)的理論和技術(shù)方法即系統(tǒng)科學(xué)和信息技術(shù)的支持���,筆者將由系統(tǒng)科學(xué)和計(jì)算機(jī)技術(shù)支持下進(jìn)化了的審計(jì)稱為系統(tǒng)審計(jì)���,與之相對(duì)應(yīng)的是傳統(tǒng)的詳細(xì)審計(jì)和內(nèi)控審計(jì)。下圖表達(dá)了審計(jì)系統(tǒng)的進(jìn)化過(guò)程����。
需要說(shuō)明的是��,“系統(tǒng)審計(jì)”與“審計(jì)系統(tǒng)”是二個(gè)既有聯(lián)系又有區(qū)別的概念��。系統(tǒng)審計(jì)是指在系統(tǒng)科學(xué)和信息技術(shù)支持下的審計(jì)理論方法�,表明一種審計(jì)理念����,是相對(duì)于其它審計(jì)方法而言的。審計(jì)系統(tǒng)則是泛指審計(jì)體系�,詳細(xì)審計(jì)、財(cái)務(wù)會(huì)計(jì)報(bào)表審計(jì)����、系統(tǒng)審計(jì)都是審計(jì)系統(tǒng)各個(gè)不同歷史時(shí)期的產(chǎn)物。
二�、系統(tǒng)審計(jì)和傳統(tǒng)審計(jì)的比較
傳統(tǒng)審計(jì)的思維方式是:部分整體。傳統(tǒng)審計(jì)總是先分析對(duì)象的各個(gè)部分��,然后再綜合為整體�。這種思維方法的局限性在于把分析與綜合、部分與整體���、原因與結(jié)果機(jī)械地割裂開(kāi)來(lái)����,認(rèn)為部分是原因,整體是結(jié)果���,部分決定整體���。傳統(tǒng)審計(jì)方法著眼于一個(gè)個(gè)要素,進(jìn)而得出整體的性能�,其邏輯結(jié)論往往是組成整體的要素好,整體的性能也就好���。不論是一百五十年前的詳細(xì)審計(jì),還是目前的財(cái)務(wù)會(huì)計(jì)報(bào)表審計(jì)���,注冊(cè)會(huì)計(jì)師的思想方法都是從部分去推測(cè)整體��,而系統(tǒng)審計(jì)的思想方法則是從整體到部分���。詳細(xì)審計(jì)是從每一筆交易賬戶再到報(bào)表;財(cái)務(wù)會(huì)計(jì)報(bào)表審計(jì)是通過(guò)對(duì)內(nèi)部控制和控制風(fēng)險(xiǎn)的研究抽取部分交易為樣本賬戶最終證實(shí)報(bào)表信息的真實(shí)和公允性��。詳細(xì)審計(jì)和報(bào)表審計(jì)在研究審計(jì)對(duì)象經(jīng)濟(jì)活動(dòng)時(shí)�,只把各組成部分孤立地��、簡(jiǎn)單地加起來(lái)��,這并不能說(shuō)明審計(jì)對(duì)象經(jīng)濟(jì)活動(dòng)的整體性質(zhì)和功能����。因?yàn)楦饕氐暮?jiǎn)單相加��,并不能構(gòu)成一個(gè)系統(tǒng)���。
篇3
2利用網(wǎng)絡(luò)遠(yuǎn)距離竊取企業(yè)的商業(yè)秘密以換取錢財(cái),或利用網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒以破壞企業(yè)的信息系統(tǒng)��。
3建立在計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)上的電子商貿(mào)使貿(mào)易趨向“無(wú)紙化”,越來(lái)越多的經(jīng)濟(jì)業(yè)務(wù)的原始記錄以電子憑證的方式存在和傳遞���。不法之徒通過(guò)改變電子貨幣帳單、銀行結(jié)算單及其它帳單,就有可能將公私財(cái)產(chǎn)的所有權(quán)進(jìn)行轉(zhuǎn)移����。
計(jì)算機(jī)網(wǎng)絡(luò)帶來(lái)會(huì)計(jì)系統(tǒng)的開(kāi)放與數(shù)據(jù)共享,而開(kāi)放與共享的基礎(chǔ)則是安全。企業(yè)一方面通過(guò)網(wǎng)絡(luò)開(kāi)放自己,向全世界推銷自己的形象和產(chǎn)品,實(shí)現(xiàn)電子貿(mào)易�����、電子信息交換,但也需要守住自己的商業(yè)秘密、管理秘密和財(cái)務(wù)秘密,而其中已實(shí)現(xiàn)了電子化且具有貨幣價(jià)值的會(huì)計(jì)秘密����、理財(cái)秘密是最重要的。我們有必要為它創(chuàng)造一個(gè)安全的環(huán)境,抵抗來(lái)自系統(tǒng)內(nèi)外的各種干擾和威協(xié),做到該開(kāi)放的放開(kāi)共享,該封閉的要讓黑客無(wú)奈�。
一、網(wǎng)絡(luò)安全審計(jì)及基本要素
安全審計(jì)是一個(gè)新概念,它指由專業(yè)審計(jì)人員根據(jù)有關(guān)的法律法規(guī)����、財(cái)產(chǎn)所有者的委托和管理當(dāng)局的授權(quán),對(duì)計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下的有關(guān)活動(dòng)或行為進(jìn)行系統(tǒng)的、獨(dú)立的檢查驗(yàn)證,并作出相應(yīng)評(píng)價(jià)�����。
沒(méi)有網(wǎng)絡(luò)安全,就沒(méi)有網(wǎng)絡(luò)世界���。任何一個(gè)建立網(wǎng)絡(luò)環(huán)境計(jì)算機(jī)會(huì)計(jì)系統(tǒng)的機(jī)構(gòu),都會(huì)對(duì)系統(tǒng)的安全提出要求,在運(yùn)行和維護(hù)中也都會(huì)從自己的角度對(duì)安全作出安排����。那么系統(tǒng)是否安全了呢?這是一般人心中無(wú)數(shù)也最不放心的問(wèn)題��。應(yīng)該肯定,一個(gè)系統(tǒng)運(yùn)行的安全與否,不能單從雙方當(dāng)事人的判斷作出結(jié)論,而必須由第三方的專業(yè)審計(jì)人員通過(guò)審計(jì)作出評(píng)價(jià)���。因?yàn)榘踩珜徲?jì)人員不但具有專門的安全知識(shí),而且具有豐富的安全審計(jì)經(jīng)驗(yàn),只有他們才能作出客觀、公正�����、公平和中立的評(píng)價(jià)。
安全審計(jì)涉及四個(gè)基本要素:控制目標(biāo)��、安全漏洞�����、控制措施和控制測(cè)試���。其中,控制目標(biāo)是指企業(yè)根據(jù)具體的計(jì)算機(jī)應(yīng)用,結(jié)合單位實(shí)際制定出的安全控制要求�����。安全漏洞是指系統(tǒng)的安全薄弱環(huán)節(jié),容易擾或破壞的地方����?�?刂拼胧┦侵钙髽I(yè)為實(shí)現(xiàn)其安全控制目標(biāo)所制定的安全控制技術(shù)�、配置方法及各種規(guī)范制度?���?刂茰y(cè)試是將企業(yè)的各種安全控制措施與預(yù)定的安全標(biāo)準(zhǔn)進(jìn)行一致性比較,確定各項(xiàng)控制措施是否存在����、是否得到執(zhí)行��、對(duì)漏洞的防范是否有效,評(píng)價(jià)企業(yè)安全措施的可依賴程度���。顯然,安全審計(jì)作為一個(gè)專門的審計(jì)項(xiàng)目,要求審計(jì)人員必須具有較強(qiáng)的專業(yè)技術(shù)知識(shí)與技能��。
安全審計(jì)是審計(jì)的一個(gè)組成部分�����。由于計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境的安全將不僅涉及國(guó)家安危,更涉及到企業(yè)的經(jīng)濟(jì)利益����。因此,我們認(rèn)為必須迅速建立起國(guó)家���、社會(huì)�、企業(yè)三位一體的安全審計(jì)體系����。其中,國(guó)家安全審計(jì)機(jī)關(guān)應(yīng)依據(jù)國(guó)家法律,特別是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身的各種安全技術(shù)要求,對(duì)廣域網(wǎng)上企業(yè)的信息安全實(shí)施年審制。另外,應(yīng)該發(fā)展社會(huì)中介機(jī)構(gòu),對(duì)計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境的安全提供審計(jì)服務(wù),它與會(huì)計(jì)師事務(wù)所�����、律師事務(wù)所一樣,是社會(huì)對(duì)企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全作出評(píng)價(jià)的機(jī)構(gòu)�。當(dāng)企業(yè)管理當(dāng)局權(quán)衡網(wǎng)絡(luò)系統(tǒng)所帶來(lái)的潛在損失時(shí),他們需要通過(guò)中介機(jī)構(gòu)對(duì)安全性作出檢查和評(píng)價(jià)。此外財(cái)政����、財(cái)務(wù)審計(jì)也離不開(kāi)網(wǎng)絡(luò)安全專家,他們對(duì)網(wǎng)絡(luò)的安全控制作出評(píng)價(jià),幫助注冊(cè)會(huì)計(jì)師對(duì)相應(yīng)的信息處理系統(tǒng)所披露信息的真實(shí)性、可靠性作出正確判斷�����。
二�、網(wǎng)絡(luò)安全審計(jì)的程序
安全審計(jì)程序是安全監(jiān)督活動(dòng)的具體規(guī)程,它規(guī)定安全審計(jì)工作的具體內(nèi)容、時(shí)間安排���、具體的審計(jì)方法和手段�。與其它審計(jì)一樣,安全審計(jì)主要包括三個(gè)階段:審計(jì)準(zhǔn)備階段����、實(shí)施階段以及終結(jié)階段。
安全審計(jì)準(zhǔn)備階段需要了解審計(jì)對(duì)象的具體情況�����、安全目標(biāo)、企業(yè)的制度����、結(jié)構(gòu)、一般控制和應(yīng)用控制情況,并對(duì)安全審計(jì)工作制訂出具體的工作計(jì)劃��。在這一階段,審計(jì)人員應(yīng)重點(diǎn)確定審計(jì)對(duì)象的安全要求�、審計(jì)重點(diǎn)、可能的漏洞及減少漏洞的各種控制措施��。
1了解企業(yè)網(wǎng)絡(luò)的基本情況��。例如,應(yīng)該了解企業(yè)內(nèi)部網(wǎng)的類型���、局域網(wǎng)之間是否設(shè)置了單向存取限制����、企業(yè)網(wǎng)與Internet的聯(lián)接方式���、是否建立了虛擬專用網(wǎng)(VPN)?
2了解企業(yè)的安全控制目標(biāo)�。安全控制目標(biāo)一般包括三個(gè)方面:第一,保證系統(tǒng)的運(yùn)轉(zhuǎn)正常,數(shù)據(jù)的可靠完整;第二,保障數(shù)據(jù)的有效備份與系統(tǒng)的恢復(fù)能力;第三,對(duì)系統(tǒng)資源使用的授權(quán)與限制���。當(dāng)然安全控制目標(biāo)因企業(yè)的經(jīng)營(yíng)性質(zhì)����、規(guī)模的大小以及管理當(dāng)局的要求而有所差異�����。
3了解企業(yè)現(xiàn)行的安全控制情況及潛在的漏洞���。審計(jì)人員應(yīng)充分取得目前企業(yè)對(duì)網(wǎng)絡(luò)環(huán)境的安全保密計(jì)劃,了解所有有關(guān)的控制對(duì)上述的控制目標(biāo)的實(shí)現(xiàn)情況,系統(tǒng)還有哪些潛在的漏洞���。
安全審計(jì)實(shí)施階段的主要任務(wù)是對(duì)企業(yè)現(xiàn)有的安全控制措施進(jìn)行測(cè)試,以明確企業(yè)是否為安全采取了適當(dāng)?shù)目刂拼胧?這些措施是否發(fā)揮著作用。審計(jì)人員在實(shí)施環(huán)節(jié)應(yīng)充分利用各種技術(shù)工具產(chǎn)品,如網(wǎng)絡(luò)安全測(cè)試產(chǎn)品�、網(wǎng)絡(luò)監(jiān)視產(chǎn)品、安全審計(jì)分析器���。
安全審計(jì)終結(jié)階段應(yīng)對(duì)企業(yè)現(xiàn)存的安全控制系統(tǒng)作出評(píng)價(jià),并提出改進(jìn)和完善的方法和其他意見(jiàn)��。安全審計(jì)終結(jié)的評(píng)價(jià),按系統(tǒng)的完善程度�����、漏洞的大小和存在問(wèn)題的性質(zhì)可以分為三個(gè)等級(jí):危險(xiǎn)�、不安全和基本安全。危險(xiǎn)是指系統(tǒng)存在毀滅性數(shù)據(jù)丟失隱患(如缺乏合理的數(shù)據(jù)備份機(jī)制與有效的病毒防范措施)和系統(tǒng)的盲目開(kāi)放性(如有意和無(wú)意用戶經(jīng)常能闖入系統(tǒng),對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行查閱或刪改)�����。不安全是指系統(tǒng)尚存在一些較常見(jiàn)的問(wèn)題和漏洞,如系統(tǒng)缺乏監(jiān)控機(jī)制和數(shù)據(jù)檢測(cè)手段等����。基本安全是指各個(gè)企業(yè)網(wǎng)絡(luò)應(yīng)達(dá)到的目標(biāo),其大漏洞僅限于不可預(yù)見(jiàn)或罕預(yù)見(jiàn)性��、技術(shù)極限性以及窮舉性等,其他小問(wèn)題發(fā)生時(shí)不影響系統(tǒng)運(yùn)行,也不會(huì)造成大的損失,且具有隨時(shí)發(fā)現(xiàn)問(wèn)題并糾正的能力�。
三、網(wǎng)絡(luò)安全審計(jì)的主要測(cè)試
測(cè)試是安全審計(jì)實(shí)施階段的主要任務(wù),一般應(yīng)包括對(duì)數(shù)據(jù)通訊��、硬件系統(tǒng)�����、軟件系統(tǒng)����、數(shù)據(jù)資源以及安全產(chǎn)品的測(cè)試。
下面是對(duì)網(wǎng)絡(luò)環(huán)境會(huì)計(jì)信息系統(tǒng)的主要測(cè)試��。
1數(shù)據(jù)通訊的控制測(cè)試
數(shù)據(jù)通訊控制的總目標(biāo)是數(shù)據(jù)通道的安全與完整�����。具體說(shuō),能發(fā)現(xiàn)和糾正設(shè)備的失靈,避免數(shù)據(jù)丟失或失真,能防止和發(fā)現(xiàn)來(lái)自Internet及內(nèi)部的非法存取操作。為了達(dá)到上述控制目標(biāo),審計(jì)人員應(yīng)執(zhí)行以下控制測(cè)試:(1)抽取一組會(huì)計(jì)數(shù)據(jù)進(jìn)行傳輸,檢查由于線路噪聲所導(dǎo)致數(shù)據(jù)失真的可能性����。(2)檢查有關(guān)的數(shù)據(jù)通訊記錄,證實(shí)所有的數(shù)據(jù)接收是有序及正確的�����。(3)通過(guò)假設(shè)系統(tǒng)外一個(gè)非授權(quán)的進(jìn)入請(qǐng)求,測(cè)試通訊回叫技術(shù)的運(yùn)行情況����。(4)檢查密鑰管理和口令控制程序,確認(rèn)口令文
件是否加密、密鑰存放地點(diǎn)是否安全���。(5)發(fā)送一測(cè)試信息測(cè)試加密過(guò)程,檢查信息通道上在各不同點(diǎn)上信息的內(nèi)容����。(6)檢查防火墻是否控制有效��。防火墻的作用是在Internet與企業(yè)內(nèi)部網(wǎng)之間建立一道屏障,其有效性主要包括靈活性以及過(guò)濾����、分離��、報(bào)警等方面的能力�����。例如,防火墻應(yīng)具有拒絕任何不準(zhǔn)確的申請(qǐng)者的過(guò)濾能力,只有授權(quán)用戶才能通過(guò)防火墻訪問(wèn)會(huì)計(jì)數(shù)據(jù)��。
2硬件系統(tǒng)的控制測(cè)試
硬件控制測(cè)試的總目標(biāo)是評(píng)價(jià)硬件的各項(xiàng)控制的適當(dāng)性與有效性�����。測(cè)試的重點(diǎn)包括:實(shí)體安全��、火災(zāi)報(bào)警防護(hù)系統(tǒng)��、使用記錄��、后備電源�����、操作規(guī)程���、災(zāi)害恢復(fù)計(jì)劃等。審計(jì)人員應(yīng)確定實(shí)物安全控制措施是否適當(dāng)、在處理日常運(yùn)作及部件失靈中操作員是否作出了適當(dāng)?shù)挠涗浥c定期分析���、硬件的災(zāi)難恢復(fù)計(jì)劃是否適當(dāng)���、是否制定了相關(guān)的操作規(guī)程、各硬件的資料歸檔是否完整���。
3軟件系統(tǒng)的控制測(cè)試
軟件系統(tǒng)包括系統(tǒng)軟件和應(yīng)用軟件,其中最主要的是操作系統(tǒng)���、數(shù)據(jù)庫(kù)系統(tǒng)和會(huì)計(jì)軟件系統(tǒng)�。總體控制目標(biāo)應(yīng)達(dá)到防止來(lái)自硬件失靈��、計(jì)算機(jī)黑客����、病毒感染、具有特權(quán)職員的各種破壞行為,保障系統(tǒng)正常運(yùn)行����。對(duì)軟件系統(tǒng)的測(cè)試主要包括:(1)檢查軟件產(chǎn)品是否從正當(dāng)途徑購(gòu)買,審計(jì)人員應(yīng)對(duì)購(gòu)買訂單進(jìn)行抽樣審查。(2)檢查防治病毒措施,是否安裝有防治病毒軟件�、使用外來(lái)軟盤之前是否檢查病毒。(3)證實(shí)只有授權(quán)的軟件才安裝到系統(tǒng)里。
4數(shù)據(jù)資源的控制測(cè)試
數(shù)據(jù)控制目標(biāo)包括兩方面:一是數(shù)據(jù)備份,為恢復(fù)被丟失��、損壞或擾的數(shù)據(jù),系統(tǒng)應(yīng)有足夠備份;二是個(gè)人應(yīng)當(dāng)經(jīng)授權(quán)限制性地存取所需的數(shù)據(jù),未經(jīng)授權(quán)的個(gè)人不能存取數(shù)據(jù)庫(kù)��。審計(jì)測(cè)試應(yīng)檢查是否提供了雙硬盤備份�����、動(dòng)態(tài)備份�、業(yè)務(wù)日志備份等功能,以及在日常工作中是否真正實(shí)施了這些功能。根據(jù)系統(tǒng)的授權(quán)表,檢查存取控制的有效性����。
5系統(tǒng)安全產(chǎn)品的測(cè)試
隨著網(wǎng)絡(luò)系統(tǒng)安全的日益重要,各種用于保障網(wǎng)絡(luò)安全的軟、硬件產(chǎn)品應(yīng)運(yùn)而生,如VPN�����、防火墻����、身份認(rèn)證產(chǎn)品、CA產(chǎn)品等等����。企業(yè)將在不斷發(fā)展的安全產(chǎn)品市場(chǎng)上購(gòu)買各種產(chǎn)品以保障系統(tǒng)的安全,安全審計(jì)機(jī)構(gòu)應(yīng)對(duì)這些產(chǎn)品是否有效地使用并發(fā)揮其應(yīng)有的作用進(jìn)行測(cè)試與作出評(píng)價(jià)。例如,檢查安全產(chǎn)品是否經(jīng)過(guò)認(rèn)證機(jī)構(gòu)或公安部部門的認(rèn)征,產(chǎn)品的銷售商是否具有銷售許可證產(chǎn)品的安全保護(hù)功能是否發(fā)揮作用。
篇4
隨著市場(chǎng)經(jīng)濟(jì)的深入發(fā)展,企業(yè)逐步成為自主經(jīng)營(yíng)�����、自我約束�����、自我發(fā)展����、自我完善的商品生產(chǎn)者和經(jīng)營(yíng)者。在“優(yōu)勝劣汰���、適者生存”的市場(chǎng)經(jīng)濟(jì)中,企業(yè)要想真正的做到“自主經(jīng)營(yíng)、自我約束�����、自我發(fā)展����、自我完善”,必須要加強(qiáng)內(nèi)部控制,建立有效、完善的內(nèi)部控制制度,這樣才能在一個(gè)絕對(duì)的高度上,對(duì)企業(yè)進(jìn)行高瞻遠(yuǎn)矚的控制,才能做出與時(shí)俱進(jìn)的決策���。
(二)內(nèi)部審計(jì)是企業(yè)內(nèi)部監(jiān)督機(jī)制的重要組成部分
內(nèi)部審計(jì)也是企業(yè)內(nèi)部控制的一個(gè)重要的組成部分,是監(jiān)督內(nèi)部控制其他環(huán)節(jié)的主要力量��。內(nèi)部審計(jì)通過(guò)對(duì)控制環(huán)境和控制程序的有效性進(jìn)行監(jiān)督,評(píng)估企業(yè)的內(nèi)部控制是否被執(zhí)行,是否及時(shí)反饋有關(guān)執(zhí)行結(jié)果的信息,是否幫助企業(yè)更有效地實(shí)現(xiàn)預(yù)期控制目標(biāo)����。同時(shí),在監(jiān)控過(guò)程中,內(nèi)部審計(jì)可以促進(jìn)控制環(huán)境的建立和改善,為改進(jìn)控制制度提供建設(shè)性的意見(jiàn),為企業(yè)建立健全所需要的內(nèi)部控制水平服務(wù)。在內(nèi)部控制的監(jiān)督過(guò)程中,內(nèi)部審計(jì)發(fā)揮著越來(lái)越重要的作用�����。
二�、內(nèi)部審計(jì)在防范信息系統(tǒng)風(fēng)險(xiǎn)中面臨的問(wèn)題
(一)信息系統(tǒng)安全管理機(jī)制不健全
企業(yè)信息系統(tǒng)風(fēng)險(xiǎn)的存在,很多是由于管理不善或控制不嚴(yán)造成的。一方面,缺乏一套統(tǒng)一的安全策略體系來(lái)指導(dǎo)安全管理工作,無(wú)法建立系統(tǒng)內(nèi)部明確���、全面的安全規(guī)范要求��。從現(xiàn)有管理制度規(guī)范來(lái)看,主要存在的問(wèn)題是可操作性差,條理不清�����、重疊或遺漏等;另一方面,現(xiàn)有安全管理制度的管理對(duì)象基本是網(wǎng)絡(luò)系統(tǒng)管理員等技術(shù)部人員,管理對(duì)象沒(méi)有全面涵蓋所有信息系統(tǒng)技術(shù)相關(guān)人員,包括所有網(wǎng)絡(luò)系統(tǒng)上的內(nèi)部終端人員和外部人員��。
(二)內(nèi)部審計(jì)在信息系統(tǒng)風(fēng)險(xiǎn)防范中的角色缺乏獨(dú)立性
內(nèi)部審計(jì)的角色發(fā)生了轉(zhuǎn)變��。從傳統(tǒng)的事后審計(jì)而逐漸轉(zhuǎn)向事前和事中審計(jì),主動(dòng)參與內(nèi)部控制系統(tǒng)的建立和完善����。內(nèi)部審計(jì)人員即承擔(dān)著評(píng)價(jià)硬件和應(yīng)用信息系統(tǒng)安全的任務(wù),如果又同時(shí)有參與了系統(tǒng)的開(kāi)發(fā)和實(shí)施過(guò)程,那么內(nèi)部審計(jì)人員就卻乏獨(dú)立性。反之,如果處于對(duì)喪失獨(dú)立性的擔(dān)心,內(nèi)部審計(jì)人員有可能會(huì)拒絕參與系統(tǒng)和軟件的開(kāi)發(fā),那么系統(tǒng)開(kāi)發(fā)過(guò)程中存在的風(fēng)險(xiǎn)又無(wú)法得到控制�����。
(三)內(nèi)審部門技術(shù)力量薄弱造成對(duì)信息系統(tǒng)審計(jì)形成風(fēng)險(xiǎn)
審計(jì)稽核部門的技術(shù)力量薄弱,不熟悉業(yè)務(wù)系統(tǒng)的流程和功能,對(duì)信息系統(tǒng)缺乏必要的認(rèn)證能力和標(biāo)準(zhǔn)���。突出表現(xiàn)為以下幾個(gè)方面:一是實(shí)施審計(jì)稽核的手段和方法沒(méi)有得到及時(shí)更新,不適應(yīng)信息系統(tǒng)管理的要求,大部分仍停留在手工審計(jì)階段;二是審計(jì)稽核部門對(duì)計(jì)算機(jī)賬務(wù)系統(tǒng)實(shí)施審計(jì)的依據(jù)僅依賴于被審計(jì)單位提供的打印資料或事后資料,計(jì)算機(jī)賬務(wù)的真實(shí)性審計(jì)很難得到保證�。
三��、加強(qiáng)風(fēng)險(xiǎn)防范的措施和對(duì)策
(一)構(gòu)建信息系統(tǒng)安全管理組織及規(guī)范體系
加強(qiáng)信息系統(tǒng)的自我風(fēng)險(xiǎn)評(píng)估體系,讓信息系統(tǒng)的管理和技術(shù)人員在自身的職責(zé)范圍之內(nèi)正確識(shí)別和評(píng)估潛在操作風(fēng)險(xiǎn),主要包括內(nèi)控制度的查漏補(bǔ)缺��、工作流程的整理和規(guī)范����、應(yīng)急預(yù)案完善和演練等。同時(shí)加強(qiáng)對(duì)操作人員的管理,規(guī)范操作程序��。一是加強(qiáng)密碼管理,明確規(guī)定操作人員的權(quán)限,操作員必須在規(guī)定的權(quán)限內(nèi)辦理業(yè)務(wù),用戶口令及密碼必須專人專用,嚴(yán)禁公開(kāi)口令及密碼;二是要建立健全操作員崗位目標(biāo)責(zé)任制,對(duì)網(wǎng)絡(luò)操作人員要明確目標(biāo)任務(wù),規(guī)范操作程序,嚴(yán)格落實(shí)獎(jiǎng)懲制度�。三是要嚴(yán)格崗位設(shè)置,不相容職務(wù)進(jìn)行分離��。嚴(yán)禁系統(tǒng)管理人員�、網(wǎng)絡(luò)技術(shù)人員���、程序開(kāi)發(fā)人員和前臺(tái)操作人員混崗、代崗或一人多崗�����。四是要加強(qiáng)系統(tǒng)內(nèi)部的稽核監(jiān)督檢查�����?��;吮O(jiān)督應(yīng)貫穿于網(wǎng)絡(luò)操作的全過(guò)程,重點(diǎn)是加強(qiáng)對(duì)系統(tǒng)設(shè)計(jì)開(kāi)發(fā)���、內(nèi)控管理制度落實(shí)、操作運(yùn)行等方面的
(二)關(guān)注信息系統(tǒng)的穩(wěn)定性����、安全性和有效性審計(jì)
首先,審計(jì)人員應(yīng)運(yùn)用用一定的技術(shù)方法識(shí)別系統(tǒng)的完整性,該過(guò)程包括檢查、測(cè)試��、評(píng)估系統(tǒng)的內(nèi)制,以保證系統(tǒng)的穩(wěn)定性;其次,審計(jì)人員應(yīng)評(píng)價(jià)系統(tǒng)存在的風(fēng)險(xiǎn)和可能產(chǎn)生的后果將成為審計(jì)的核心工作和基本內(nèi)容,保證信息系統(tǒng)的安全性�。應(yīng)根據(jù)審計(jì)的標(biāo)準(zhǔn)和準(zhǔn)則,評(píng)價(jià)控制環(huán)境的和IT基礎(chǔ)設(shè)施的安全,確保系統(tǒng)滿足組織的業(yè)務(wù)需要,保護(hù)信息資產(chǎn)的安全完整,以防非授權(quán)使用、泄露����、修改���、損壞或丟失;最后,還應(yīng)鑒別信息系統(tǒng)的有效性。內(nèi)部審計(jì)必須理解并熟悉操作環(huán)境,了解系統(tǒng)技術(shù)的復(fù)雜性及其對(duì)決策的影響;對(duì)來(lái)自內(nèi)部的安全隱患,采用一定的方法進(jìn)行系統(tǒng)診斷���、檢驗(yàn)����、測(cè)試,評(píng)價(jià)其有效性及效率,以支持組織業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)
(三)改善內(nèi)審機(jī)構(gòu),提高內(nèi)審人員素質(zhì),培養(yǎng)信息系統(tǒng)審計(jì)師
為了信息系統(tǒng)的安全���、可靠與有效,由獨(dú)立于審計(jì)對(duì)象的信息系統(tǒng)審計(jì)師,以第三方的客觀立場(chǎng)對(duì)以計(jì)算機(jī)為核心的信息系統(tǒng)進(jìn)行綜合的檢查與評(píng)價(jià)��。信息系統(tǒng)審計(jì)師也稱lS審計(jì)師或IT審計(jì)師,是指那些既通曉信息系統(tǒng)的軟件和硬件(包括信息系統(tǒng)的開(kāi)發(fā)����、運(yùn)營(yíng)���、維護(hù)��、管理和安全等),又熟悉經(jīng)濟(jì)管理的內(nèi)部審計(jì)人才。
(四)聘請(qǐng)專家進(jìn)行協(xié)助
內(nèi)部審計(jì)人員的知識(shí)����、技能和經(jīng)驗(yàn)雖然有助于信息系統(tǒng)的風(fēng)險(xiǎn)防御,但現(xiàn)實(shí)中必須承認(rèn),在企業(yè)中同時(shí)具備計(jì)算機(jī)技術(shù)和審計(jì)專業(yè)知識(shí)的人才非常短缺���。再出色的內(nèi)部審計(jì)人員可能面臨一些系統(tǒng)內(nèi)的專業(yè)問(wèn)題卻無(wú)法解決,因此有必要聘請(qǐng)外部專家?��?梢酝ㄟ^(guò)專家的協(xié)助測(cè)試運(yùn)用其專業(yè)技能測(cè)試系統(tǒng)安全,進(jìn)一步防范和解決信息系統(tǒng)風(fēng)險(xiǎn)的存在���。
參考文獻(xiàn):
篇5
目前,我國(guó)信息系統(tǒng)審計(jì)僅有十幾年的歷史�����,尚處于探索階段�,既缺乏開(kāi)展信息系統(tǒng)審計(jì)業(yè)務(wù)的人才隊(duì)伍,也沒(méi)有形成專業(yè)規(guī)范體系���,所進(jìn)行的一些計(jì)算機(jī)審計(jì)方面的探索和嘗試以及計(jì)算機(jī)審計(jì)軟件的開(kāi)發(fā)和應(yīng)用還大都停留在對(duì)被審計(jì)單位電子數(shù)據(jù)進(jìn)行處理的階段����。存在的主要問(wèn)題有:信息系統(tǒng)審計(jì)觀念落后��;信息系統(tǒng)審計(jì)相關(guān)的準(zhǔn)則�����、標(biāo)準(zhǔn)和規(guī)范尚不完善;信息系統(tǒng)審計(jì)專業(yè)人才匱乏��;信息系統(tǒng)審計(jì)軟件開(kāi)發(fā)工作滯后����。1997年,廣州地鐵開(kāi)始公司“信息化”建設(shè)�����。最初�����,廣州地鐵經(jīng)營(yíng)審計(jì)采用“繞過(guò)計(jì)算機(jī)審計(jì)”的方法��,即對(duì)導(dǎo)出數(shù)據(jù)進(jìn)行審計(jì)����。審計(jì)過(guò)程中,其逐漸意識(shí)到了運(yùn)用這種“黑箱原理”審計(jì)方法的風(fēng)險(xiǎn)�����。因此,2006年公司組建了專門的IT審計(jì)模塊��,探索“如何利用計(jì)算機(jī)審計(jì)”和“通過(guò)計(jì)算機(jī)審計(jì)”���。其后,廣州地鐵信息系統(tǒng)審計(jì)發(fā)展經(jīng)歷了借力���、助力和自立三個(gè)階段���。一是借力期:IT審計(jì)模塊成立初期,公司與外部顧問(wèn)共同開(kāi)展IT審計(jì)項(xiàng)目��,通過(guò)外部專業(yè)人員向?qū)徲?jì)人員傳輸IT審計(jì)技能����,同時(shí)制定《IT審計(jì)實(shí)施細(xì)則》,在人員技能儲(chǔ)備和制度上為IT審計(jì)模塊的發(fā)展奠定了基礎(chǔ)���。二是助力期:審計(jì)人員參照審計(jì)手冊(cè)���,利用從外部顧問(wèn)處學(xué)習(xí)到的審計(jì)技能,逐步開(kāi)展信息系統(tǒng)審計(jì)工作,將IT審計(jì)工作模式調(diào)整為以自身力量為主�,外部咨詢服務(wù)為輔的模式。三是自立期:2009年�����,廣州地鐵IT審計(jì)已基本實(shí)現(xiàn)自主化��,且IT審計(jì)模塊逐步走向成熟�����,同時(shí)其還建立了具有自身特色的信息系統(tǒng)審計(jì)框架�����。目前�����,IT審計(jì)已經(jīng)發(fā)展成為廣州地鐵內(nèi)部審計(jì)的一根“支柱”����,連同“內(nèi)控審計(jì)”,作為基本的審計(jì)手段貫穿于各類專業(yè)審計(jì)工作中����,支持審計(jì)體系的鞏固與發(fā)展�����。
二���、信息系統(tǒng)審計(jì)內(nèi)容
1�、國(guó)內(nèi)外關(guān)于信息系統(tǒng)審計(jì)內(nèi)容的研究
開(kāi)展信息系統(tǒng)審計(jì)首先要明確審計(jì)內(nèi)容。國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)規(guī)定����,信息系統(tǒng)審計(jì)的主要內(nèi)容包括信息系統(tǒng)程序?qū)徲?jì)、信息技術(shù)(IT)治理��、系統(tǒng)生命周期管理��、IT服務(wù)的交付與支持����、信息資產(chǎn)的保護(hù)、災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃��。近十幾年來(lái)�,國(guó)內(nèi)的學(xué)者和組織也對(duì)信息系統(tǒng)審計(jì)的內(nèi)容進(jìn)行了探索和研究。審計(jì)署在2012年頒布的《信息系統(tǒng)審計(jì)指南———計(jì)算機(jī)審計(jì)實(shí)務(wù)公告第34號(hào)》中明確提出了:信息系統(tǒng)審計(jì)包括對(duì)應(yīng)用控制、一般控制和項(xiàng)目管理的審計(jì)���。其中����,應(yīng)用控制包括信息系統(tǒng)業(yè)務(wù)流程��,數(shù)據(jù)輸入�、處理和輸出的控制,信息共享和業(yè)務(wù)協(xié)同����;一般控制包括信息系統(tǒng)總體控制、信息安全技術(shù)控制���、信息安全管理控制��;項(xiàng)目管理包括信息系統(tǒng)建設(shè)的經(jīng)濟(jì)性���、信息系統(tǒng)建設(shè)管理、信息系統(tǒng)績(jī)效�����。上述具有代表性的規(guī)定和研究成果對(duì)信息系統(tǒng)審計(jì)內(nèi)容的劃分,均是以對(duì)信息系統(tǒng)邏輯結(jié)構(gòu)的分析為基礎(chǔ)��。全面分析信息系統(tǒng)的邏輯結(jié)構(gòu)����,可從信息系統(tǒng)的構(gòu)成要素、信息系統(tǒng)生命周期和信息系統(tǒng)管理三個(gè)維度進(jìn)行描述:從構(gòu)成要素來(lái)看�,信息系統(tǒng)由人員、應(yīng)用(包括軟件平臺(tái)和應(yīng)用系統(tǒng))���、所采用的技術(shù)、硬件設(shè)備����、數(shù)據(jù)文件運(yùn)行規(guī)則組成;信息系統(tǒng)生命周期可劃分為信息系統(tǒng)的規(guī)劃階段����、開(kāi)發(fā)階段、運(yùn)行維護(hù)階段和更新階段��;從信息系統(tǒng)管理的維度來(lái)看���,對(duì)系統(tǒng)的管理與控制活動(dòng)貫穿于信息系統(tǒng)生命周期的始終���,主要是通過(guò)有效執(zhí)行一系列健全有效的規(guī)章制度和管理規(guī)程來(lái)實(shí)現(xiàn)��。
2�����、廣州地鐵信息系統(tǒng)審計(jì)實(shí)施框架
結(jié)合廣州地鐵信息化項(xiàng)目多����、系統(tǒng)更新快���、數(shù)據(jù)集成度高����、系統(tǒng)控制與手工控制并重等特點(diǎn)��,圍繞信息系統(tǒng)構(gòu)成要素���、信息系統(tǒng)生命周期和信息系統(tǒng)管理三個(gè)維度�,廣州地鐵將信息系統(tǒng)審計(jì)的內(nèi)容劃分為整體計(jì)算機(jī)控制審計(jì)�����、應(yīng)用控制審計(jì)和系統(tǒng)建設(shè)效能評(píng)價(jià)三個(gè)方面。其中�����,整體計(jì)算機(jī)控制審計(jì)是對(duì)信息系統(tǒng)運(yùn)行中的控制活動(dòng)進(jìn)行審計(jì)����,目的是合理保證由信息系統(tǒng)支持的業(yè)務(wù)流程控制是可靠的、生成的數(shù)據(jù)和報(bào)告是可信的��。應(yīng)用系統(tǒng)控制審計(jì)是對(duì)業(yè)務(wù)流程中的自動(dòng)化控制活動(dòng)進(jìn)行審計(jì)��,以合理保證交易的有效性�、經(jīng)適當(dāng)授權(quán)和記錄、完成的完整性�、準(zhǔn)確性和及時(shí)性���。項(xiàng)目及系統(tǒng)績(jī)效審計(jì)是對(duì)信息化項(xiàng)目的過(guò)程及成果對(duì)企業(yè)和業(yè)務(wù)產(chǎn)生的效益進(jìn)行審計(jì)��,用來(lái)合理保證信息化項(xiàng)目的投資/產(chǎn)出比例符合建設(shè)的目標(biāo)�����,以及信息系統(tǒng)對(duì)企業(yè)戰(zhàn)略起到的預(yù)期的支撐作用����。圍繞上述三個(gè)方面,廣州地鐵內(nèi)部審計(jì)確立了以下的實(shí)施框架��。
(1)確立整體計(jì)算機(jī)控制安全���、操作����、變更的三個(gè)評(píng)價(jià)維度���,圍繞“信息系統(tǒng)全生命周期”�,明確整體計(jì)算機(jī)控制十個(gè)流程�����。
廣州地鐵通過(guò)學(xué)習(xí)和借鑒國(guó)際信息系統(tǒng)技術(shù)管理和控制標(biāo)準(zhǔn)COBIT���,建立起了一套自己的整體計(jì)算機(jī)控制審計(jì)框架���。框架可按流程和控制類型兩種方式進(jìn)行劃分���,兩種劃分方式在本質(zhì)上是一致的���。在按流程劃分出的每個(gè)子流程中�,信息系統(tǒng)審計(jì)人員需要從變更�、安全、操作的角度去確認(rèn)和評(píng)估具體的控制點(diǎn)�����;在按控制職能所作的劃分中�����,審計(jì)人員需要圍繞信息系統(tǒng)的策略與計(jì)劃����、信息系統(tǒng)操作、與外部供應(yīng)商關(guān)系��、業(yè)務(wù)可持續(xù)計(jì)劃����、應(yīng)用系統(tǒng)開(kāi)發(fā)�、數(shù)據(jù)庫(kù)����、軟件支持��、網(wǎng)絡(luò)��、硬件等十個(gè)子流程進(jìn)行審計(jì)��。圍繞安全���、變更��、操作三個(gè)角度及十個(gè)子流程����,廣州地鐵共梳理出有關(guān)整體計(jì)算機(jī)控制的41項(xiàng)審計(jì)內(nèi)容�����,并針對(duì)每一項(xiàng)內(nèi)容明確了控制目標(biāo)和風(fēng)險(xiǎn)�����,建立起了一套完整的整體計(jì)算機(jī)控制矩陣。例如���,信息系統(tǒng)策略和計(jì)劃子流程中����,廣州地鐵明確了整體計(jì)算機(jī)控制的三大目標(biāo)———信息系統(tǒng)戰(zhàn)略���、規(guī)劃和預(yù)算應(yīng)與實(shí)際業(yè)務(wù)和戰(zhàn)略目標(biāo)保持一致�,計(jì)算機(jī)處理環(huán)境應(yīng)得到具有適當(dāng)技能和經(jīng)驗(yàn)的人員的充分支持和保證���,以及計(jì)算機(jī)處理環(huán)境中的人員應(yīng)接受適當(dāng)?shù)呐嘤?xùn)��,審計(jì)人員在此基礎(chǔ)上針對(duì)各控制目標(biāo)��,識(shí)別并歸納出廣州地鐵現(xiàn)行的9個(gè)控制活動(dòng)����。在具體開(kāi)展信息系統(tǒng)整體計(jì)算機(jī)控制審計(jì)時(shí)�����,信息系統(tǒng)審計(jì)人員根據(jù)審計(jì)項(xiàng)目的特點(diǎn)和要求�,選擇需要評(píng)價(jià)的子流程,再對(duì)照子流程的控制活動(dòng)進(jìn)行評(píng)估及測(cè)試即可�。
(2)從內(nèi)部控制目標(biāo)出發(fā),將信息系統(tǒng)應(yīng)用控制劃分為訪問(wèn)控制�����、完整性控制及數(shù)據(jù)質(zhì)量控制三大方面�。
廣州地鐵將信息系統(tǒng)的應(yīng)用控制劃分為應(yīng)用系統(tǒng)訪問(wèn)控制、流程和系統(tǒng)完整性控制以及數(shù)據(jù)質(zhì)量控制三大類�����,并針對(duì)各類控制分別設(shè)計(jì)了不同的審計(jì)內(nèi)容����。一是應(yīng)用系統(tǒng)授權(quán)訪問(wèn)控制審計(jì)包括對(duì)系統(tǒng)的認(rèn)證方式、授權(quán)機(jī)制����、權(quán)限的分配管理以及不相容職責(zé)分離在系統(tǒng)中的實(shí)現(xiàn)情況的審計(jì),目的在于保證經(jīng)過(guò)允許的人才能訪問(wèn)和操作系統(tǒng)��。二是流程和系統(tǒng)完整性控制審計(jì)是對(duì)系統(tǒng)輸入�����、處理、輸出以及接口等各種系統(tǒng)運(yùn)行規(guī)則的審計(jì)����,用以保證所有經(jīng)允許處理的數(shù)據(jù)均轉(zhuǎn)換到介質(zhì)上并被處理,且處理的結(jié)果可通過(guò)適當(dāng)?shù)姆绞郊右暂敵?����,所有輸入����、轉(zhuǎn)換、處理和輸出均在正常的時(shí)間內(nèi)準(zhǔn)確地進(jìn)行��。三是數(shù)據(jù)質(zhì)量控制審計(jì)則是指對(duì)信息系統(tǒng)中的數(shù)據(jù)的完整性�����、規(guī)范性和有效性所進(jìn)行的審計(jì)����,旨在保證所有系統(tǒng)的輸出均反映為經(jīng)批準(zhǔn)的有效的經(jīng)濟(jì)業(yè)務(wù),所有經(jīng)過(guò)系統(tǒng)的數(shù)據(jù)真實(shí)�����、有效,且能滿足企業(yè)各項(xiàng)業(yè)務(wù)的使用要求�。
(3)圍繞“信息化項(xiàng)目”和“信息系統(tǒng)”,綜合評(píng)價(jià)信息化建設(shè)的效益���。
在開(kāi)展整體計(jì)算機(jī)控制審計(jì)和應(yīng)用控制審計(jì)的基礎(chǔ)上,廣州地鐵從企業(yè)經(jīng)營(yíng)和投資效益的視角出發(fā)����,在信息系統(tǒng)審計(jì)中引入了3E審計(jì)的概念,嘗試對(duì)信息系統(tǒng)建設(shè)項(xiàng)目的成效����、建成后系統(tǒng)的應(yīng)用效能以及信息化對(duì)戰(zhàn)略的支撐效果進(jìn)行審計(jì)。為了全面評(píng)價(jià)項(xiàng)目�,廣州地鐵通常將對(duì)單個(gè)信息系統(tǒng)建設(shè)項(xiàng)目的合規(guī)性審計(jì)與項(xiàng)目效能審計(jì)結(jié)合在一起開(kāi)展。一是信息系統(tǒng)建設(shè)成效審計(jì)旨在通過(guò)對(duì)系統(tǒng)建設(shè)全過(guò)程的審計(jì)��,促進(jìn)信息系統(tǒng)的建設(shè)規(guī)范性����,提高信息系統(tǒng)建設(shè)的質(zhì)量。二是信息系統(tǒng)應(yīng)用效能審計(jì)包括對(duì)業(yè)務(wù)需求的實(shí)現(xiàn)情況�、建成功能的使用情況的審計(jì)分析,以及對(duì)系統(tǒng)應(yīng)用對(duì)業(yè)務(wù)管理規(guī)范化����、標(biāo)準(zhǔn)化和精細(xì)化提升作用的綜合評(píng)價(jià)�,目的在于促進(jìn)系統(tǒng)使用價(jià)值的最大化���,減少系統(tǒng)建設(shè)的投資浪費(fèi)��。三是戰(zhàn)略支撐效果審計(jì)是從支持戰(zhàn)略實(shí)現(xiàn)的角度�����,評(píng)價(jià)信息系統(tǒng)的建設(shè)效益���,保證信息化建設(shè)在符合業(yè)務(wù)管理要求的同時(shí),符合公司戰(zhàn)略的需要���,支持公司戰(zhàn)略的實(shí)現(xiàn)���。
三、信息系統(tǒng)審計(jì)實(shí)施步驟
信息系統(tǒng)審計(jì)步驟(或流程)���,是審計(jì)工作從開(kāi)始到結(jié)束的整個(gè)過(guò)程���。信息系統(tǒng)審計(jì)流程一般可劃分為四個(gè)階段:計(jì)劃階段��、實(shí)施階段�、報(bào)告階段和后續(xù)階段����。計(jì)劃階段是信息系統(tǒng)審計(jì)流程的起點(diǎn),此階段的主要工作包括了解被審計(jì)系統(tǒng)的基本情況���,初步評(píng)價(jià)被審計(jì)單位信息系統(tǒng)的內(nèi)部控制和外部控制,識(shí)別重要性和編制審計(jì)計(jì)劃��。實(shí)施階段是根據(jù)計(jì)劃階段確定的審計(jì)范圍����、重點(diǎn)、步驟和方法進(jìn)行有針對(duì)性的取證�����、評(píng)價(jià)��,并形成審計(jì)結(jié)論的過(guò)程����。實(shí)施階段是信息系統(tǒng)審計(jì)工作的核心��,主要由符合性測(cè)試和實(shí)質(zhì)性測(cè)試兩個(gè)部分構(gòu)成�����。在報(bào)告階段���,信息系統(tǒng)審計(jì)人員需運(yùn)用專業(yè)判斷,整理�����、評(píng)價(jià)收集到的審計(jì)證據(jù)�����,以經(jīng)過(guò)核實(shí)的審計(jì)證據(jù)為依據(jù)�����,形成審計(jì)意見(jiàn)��,出具審計(jì)報(bào)告���。審計(jì)報(bào)告的出具并不意味著信息系統(tǒng)審計(jì)工作的終結(jié)�。根據(jù)國(guó)際信息系統(tǒng)審計(jì)標(biāo)準(zhǔn),信息系統(tǒng)審計(jì)人員對(duì)于系統(tǒng)中發(fā)現(xiàn)的重大問(wèn)題和漏洞�,需要對(duì)被審計(jì)單位所采取的糾正措施及其效果進(jìn)行后續(xù)審計(jì)。審計(jì)人員需要將后續(xù)審計(jì)納入計(jì)劃����,并安排必要的人員和時(shí)間進(jìn)行后續(xù)審計(jì)。廣州地鐵IT審計(jì)模塊成立之初�����,即明確了IT審計(jì)“對(duì)公司的系統(tǒng)流程與控制�����、項(xiàng)目進(jìn)行審計(jì)”和“提供有益于增加公司價(jià)值的咨詢服務(wù)”兩項(xiàng)核心職責(zé)��,并圍繞公司戰(zhàn)略��,以“風(fēng)險(xiǎn)導(dǎo)向”���、“服務(wù)戰(zhàn)略”理念為指導(dǎo),從信息系統(tǒng)審計(jì)戰(zhàn)略規(guī)劃和具體項(xiàng)目執(zhí)行兩個(gè)層面分別制定信息系統(tǒng)審計(jì)的流程�����。
1、以公司戰(zhàn)略為導(dǎo)向��,制定信息系統(tǒng)審計(jì)的戰(zhàn)略規(guī)劃
一直以來(lái)�����,廣州地鐵奉行“源于戰(zhàn)略�、服務(wù)于戰(zhàn)略”的現(xiàn)代審計(jì)理念。這一理念主要體現(xiàn)在兩個(gè)方面:一是在制定內(nèi)審工作計(jì)劃時(shí)��,從公司戰(zhàn)略出發(fā)�����,制定各個(gè)內(nèi)審業(yè)務(wù)及各專業(yè)審計(jì)模塊的戰(zhàn)略��,并以業(yè)務(wù)戰(zhàn)略為指導(dǎo)�����,開(kāi)展具體的審計(jì)工作�;二是在開(kāi)展審計(jì)項(xiàng)目的過(guò)程中,始終從保障公司戰(zhàn)略執(zhí)行的角度去發(fā)現(xiàn)問(wèn)題��、評(píng)價(jià)問(wèn)題,提出整改意見(jiàn)和落實(shí)整改�����。信息系統(tǒng)審計(jì)的戰(zhàn)略規(guī)劃來(lái)源于公司的戰(zhàn)略�����,以及以公司戰(zhàn)略指導(dǎo)制定的公司信息系統(tǒng)戰(zhàn)略規(guī)劃和內(nèi)部審計(jì)業(yè)務(wù)戰(zhàn)略規(guī)劃����;同時(shí)還須結(jié)合公司信息化現(xiàn)狀和IT審計(jì)模塊定位,明確廣州地鐵IT審計(jì)發(fā)展戰(zhàn)略目標(biāo)�����。
2�、通過(guò)風(fēng)險(xiǎn)評(píng)估�,確定各信息系統(tǒng)風(fēng)險(xiǎn)等級(jí),制定層次分明��、重點(diǎn)突出的信息系統(tǒng)循環(huán)審計(jì)計(jì)劃
為利用有限的審計(jì)資源掌握公司主要信息系統(tǒng)的建設(shè)�、運(yùn)營(yíng)情況,保障信息資源的有效利用��,降低公司信息系統(tǒng)的整體風(fēng)險(xiǎn),廣州地鐵建立了一套“根據(jù)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)級(jí)制定差異化的審計(jì)策略”�。
(1)梳理信息系統(tǒng)脈絡(luò),全面掌握信息系統(tǒng)現(xiàn)狀��。
廣州地鐵結(jié)合信息系統(tǒng)規(guī)劃�、建設(shè)和運(yùn)營(yíng)的情況及系統(tǒng)分類梳理出被審計(jì)信息系統(tǒng)清單,并從系統(tǒng)構(gòu)成要素的角度收集系統(tǒng)相關(guān)的信息��。這些信息包括系統(tǒng)名稱��、功能模塊���、采用產(chǎn)品等基本信息�,以及項(xiàng)目的建設(shè)信息�、系統(tǒng)的使用狀況和運(yùn)維的基本情況。這些信息是風(fēng)險(xiǎn)評(píng)分的依據(jù)��,也為后續(xù)開(kāi)展具體審計(jì)工作時(shí)確定審計(jì)方案提供了指引����。
(2)開(kāi)展信息系統(tǒng)風(fēng)險(xiǎn)評(píng)級(jí),制定風(fēng)險(xiǎn)導(dǎo)向型審計(jì)計(jì)劃�。
內(nèi)審人員從通用風(fēng)險(xiǎn)、業(yè)務(wù)風(fēng)險(xiǎn)����、項(xiàng)目風(fēng)險(xiǎn)�����、系統(tǒng)風(fēng)險(xiǎn)����、數(shù)據(jù)風(fēng)險(xiǎn)和人員風(fēng)險(xiǎn)六大風(fēng)險(xiǎn)類別出發(fā)�����,全面識(shí)別信息系統(tǒng)各類構(gòu)成要素中存在的風(fēng)險(xiǎn)�����;對(duì)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)價(jià)����,根據(jù)風(fēng)險(xiǎn)得分將信息系統(tǒng)按優(yōu)先級(jí)分別劃分為高、中�、低三類。結(jié)合公司IT審計(jì)資源的情況���,對(duì)優(yōu)先等級(jí)高的系統(tǒng)采用三年一審策略����,中等級(jí)系統(tǒng)5—6年一個(gè)審計(jì)周期��,風(fēng)險(xiǎn)等級(jí)低的系統(tǒng)則根據(jù)需要安排審計(jì)�。在此審計(jì)策略的基礎(chǔ)上,再綜合考慮公司業(yè)務(wù)的十大風(fēng)險(xiǎn)�����、領(lǐng)導(dǎo)關(guān)注事項(xiàng)�����、上一年度內(nèi)控評(píng)價(jià)結(jié)果和審計(jì)項(xiàng)目成果��、公司新一年的工作重點(diǎn)����、公司信息系統(tǒng)的變動(dòng)情況,并制定出本年度的信息系統(tǒng)審計(jì)計(jì)劃���。
3����、以風(fēng)險(xiǎn)為導(dǎo)向,開(kāi)展信息系統(tǒng)審計(jì)
在項(xiàng)目實(shí)施階段���,審計(jì)人員必須從公司整體信息系統(tǒng)控制環(huán)境和被審計(jì)系統(tǒng)的狀況�����、流程與內(nèi)部控制兩個(gè)方面進(jìn)一步收集被審計(jì)系統(tǒng)的相關(guān)資料�,了解和確認(rèn)被審計(jì)單位已建立的內(nèi)部控制措施�,并對(duì)這些控制措施的設(shè)計(jì)是否達(dá)到控制目標(biāo)進(jìn)行評(píng)估。
(1)以“輪流循環(huán)+以點(diǎn)帶面”的方式開(kāi)展整體計(jì)算機(jī)控制審計(jì)�。
公司的信息化業(yè)務(wù)采用統(tǒng)一集中管理的模式,整體計(jì)算機(jī)控制對(duì)各個(gè)系統(tǒng)具有一定的通用性��。因此�,在實(shí)務(wù)操作中,廣州地鐵采用“以點(diǎn)帶面”的策略����,以單個(gè)信息系統(tǒng)整體計(jì)算機(jī)控制為切入點(diǎn)對(duì)整體計(jì)算機(jī)控制進(jìn)行審計(jì),評(píng)價(jià)整體信息系統(tǒng)的安全性�;同時(shí),考慮到信息系統(tǒng)在一定時(shí)間內(nèi)相對(duì)穩(wěn)定�,因此在實(shí)施整體計(jì)算機(jī)控制審計(jì)時(shí)可采取輪流測(cè)試的方式,即每年從十個(gè)子流程中選取幾個(gè)進(jìn)行測(cè)試�����,經(jīng)過(guò)一定周期后��,完成對(duì)整體計(jì)算機(jī)控制的全面審計(jì)����。例如,在2011年開(kāi)展的信息安全審計(jì)項(xiàng)目中����,審計(jì)人員就圍繞信息安全這個(gè)審計(jì)主題,從十個(gè)子流程中選取了與信息安全直接相關(guān)的信息系統(tǒng)操作�、信息系統(tǒng)安全、業(yè)務(wù)可持續(xù)計(jì)劃����、應(yīng)用系統(tǒng)開(kāi)發(fā)與實(shí)施、數(shù)據(jù)庫(kù)開(kāi)發(fā)與實(shí)施和系統(tǒng)軟件支持等六個(gè)流程進(jìn)行審計(jì)�。分步、循環(huán)開(kāi)展整體計(jì)算機(jī)審計(jì)��,在審計(jì)風(fēng)險(xiǎn)可控的情況下��,大大節(jié)省了審計(jì)資源���,也使得審計(jì)人員能夠更加深入地挖掘和分析整體計(jì)算機(jī)控制方面所存在問(wèn)題以及問(wèn)題的成因��,提出更為切實(shí)可行����、同時(shí)又符合公司信息化業(yè)務(wù)發(fā)展現(xiàn)狀和要求的整改措施。
(2)以風(fēng)險(xiǎn)為著眼點(diǎn)���,確定應(yīng)用控制審計(jì)重點(diǎn)�����。
應(yīng)用控制是各個(gè)信息系統(tǒng)內(nèi)部所建立的控制機(jī)制���,應(yīng)用控制審計(jì)必須針對(duì)某個(gè)具體信息系統(tǒng)開(kāi)展。在開(kāi)展應(yīng)用控制審計(jì)的過(guò)程中��,審計(jì)人員應(yīng)緊緊圍繞“風(fēng)險(xiǎn)”這個(gè)著眼點(diǎn)�,通過(guò)對(duì)原有業(yè)務(wù)成熟度和系統(tǒng)建設(shè)過(guò)程中風(fēng)險(xiǎn)的評(píng)估,選擇不同的審計(jì)側(cè)重點(diǎn)開(kāi)展應(yīng)用控制審計(jì)��。例如���,在合同管理系統(tǒng)審計(jì)項(xiàng)目中��,由于合同管理系統(tǒng)是全新開(kāi)發(fā)的系統(tǒng)�����,審計(jì)人員經(jīng)分析����,判定系統(tǒng)在應(yīng)用系統(tǒng)訪問(wèn)控制方面的風(fēng)險(xiǎn)較高�。而在進(jìn)行控制評(píng)估和測(cè)試后,審計(jì)人員發(fā)現(xiàn)業(yè)務(wù)人員在創(chuàng)建系統(tǒng)權(quán)限設(shè)置機(jī)制時(shí)完全套用了公司辦公自動(dòng)化系統(tǒng)的權(quán)限機(jī)制��,而未針對(duì)合同業(yè)務(wù)流程中不同于公司組織架構(gòu)下的角色設(shè)立相應(yīng)的用戶組��,導(dǎo)致系統(tǒng)無(wú)法實(shí)現(xiàn)合同經(jīng)辦人與審批人職責(zé)的分離����,存在重大的內(nèi)控風(fēng)險(xiǎn)。
四�����、信息系統(tǒng)審計(jì)方法
在信息系統(tǒng)審計(jì)中��,可因地制宜,綜合運(yùn)用多種學(xué)科的技術(shù)方法�����,包括:傳統(tǒng)審計(jì)中內(nèi)部控制測(cè)評(píng)的基本方法和審計(jì)取證的基本方法(包括審閱�����、核對(duì)�、監(jiān)盤、觀察�、查詢、函證���、計(jì)算�����、分析性復(fù)核)�;計(jì)算機(jī)科學(xué)的技術(shù)方法���,如數(shù)據(jù)測(cè)試法�、程序編碼審查法�����、受控處理法、受控再處理法���、整體測(cè)試法��、平行模擬法��、程序比較法����、漏洞掃描���、入侵檢測(cè)、嵌入審計(jì)程序法等等�;行為科學(xué)的技術(shù)方法,如運(yùn)用組織發(fā)展的理論與方法��、個(gè)體行為一般規(guī)律的理論和方法����。這些方法與技術(shù)并不是孤立的,而是互相聯(lián)系的����。目前���,廣州地鐵在信息系統(tǒng)審計(jì)中所運(yùn)用的方法仍主要集中在傳統(tǒng)的內(nèi)控審計(jì)方法和信息系統(tǒng)管理的技術(shù)方法兩個(gè)領(lǐng)域,具體包括詢問(wèn)���、觀察�����、文件復(fù)核�����、抽樣�、重新執(zhí)行�、使用計(jì)算機(jī)輔助軟件等。在部分項(xiàng)目中�,也采用了一些計(jì)算機(jī)科學(xué)的技術(shù)方法。受限于審計(jì)資源不足���,廣州地鐵較少采用程序比較法��、平行模擬法�、程序編碼審查法等高成本的審計(jì)方法,而傾向于選用一些較為高效的測(cè)試方法����。但這些高效方法的運(yùn)用不能完全消除審計(jì)風(fēng)險(xiǎn),這就需要審計(jì)人員根據(jù)自身的經(jīng)驗(yàn)盡量避免����。
1、傳統(tǒng)審計(jì)方法的運(yùn)用
廣州地鐵在開(kāi)展信息系統(tǒng)審計(jì)過(guò)程中較多運(yùn)用傳統(tǒng)審計(jì)的方法���。例如���,在對(duì)信息系統(tǒng)整體計(jì)算機(jī)控制進(jìn)行審計(jì)時(shí),通過(guò)對(duì)系統(tǒng)使用人員的訪談�、調(diào)研和對(duì)系統(tǒng)各項(xiàng)操作的觀察�,梳理出整體計(jì)算機(jī)控制相關(guān)的各種控制活動(dòng)。在沒(méi)有測(cè)試環(huán)境的情況下對(duì)生產(chǎn)在用信息系統(tǒng)的人機(jī)交互界面和功能進(jìn)行調(diào)查和確認(rèn)時(shí)��,審計(jì)人員大量運(yùn)用了觀察的方法�����。在對(duì)固定資產(chǎn)信息系統(tǒng)模塊進(jìn)行審計(jì)中����,審計(jì)人員通過(guò)觀察物資采購(gòu)人員���、資產(chǎn)管理人員、會(huì)計(jì)核算人員在系統(tǒng)中的操作界面����、系統(tǒng)實(shí)現(xiàn)效果以及業(yè)務(wù)操作流程來(lái)了解系統(tǒng)功能的構(gòu)造。發(fā)現(xiàn)采購(gòu)中的供應(yīng)商信息在跨系統(tǒng)流程過(guò)程中丟失�����,導(dǎo)致財(cái)務(wù)系統(tǒng)和實(shí)物管理的MAXIMO系統(tǒng)的資產(chǎn)臺(tái)賬中均缺少供應(yīng)商信息�,致使日后采購(gòu)?fù)愇镔Y時(shí),采購(gòu)人員無(wú)法獲取歷史采購(gòu)信息作為參考�����,增加了市場(chǎng)調(diào)研成本�����。除內(nèi)控矩陣和訪談���、觀察等方法之外��,編制流程圖�、數(shù)據(jù)流圖和報(bào)表流圖也是信息系統(tǒng)審計(jì)經(jīng)常使用的方法。
2��、計(jì)算機(jī)科學(xué)技術(shù)方法的運(yùn)用
計(jì)算機(jī)科學(xué)技術(shù)方法是信息系統(tǒng)審計(jì)特有的方法�,來(lái)源于IT行業(yè)的信息技術(shù)的轉(zhuǎn)換應(yīng)用,主要包括基于數(shù)據(jù)分析的方法和基于程序分析的方法���,這些方法的綜合使用使得對(duì)信息系統(tǒng)的審計(jì)更加有效�����。具體方法的選用需視被審計(jì)系統(tǒng)的實(shí)際情況而定��。在一個(gè)審計(jì)項(xiàng)目中�,廣州地鐵審計(jì)人員經(jīng)常將多種方法結(jié)合使用����。例如����,在票務(wù)收入系統(tǒng)審計(jì)項(xiàng)目中,審計(jì)人員首先采用數(shù)據(jù)測(cè)試法����,使用正常及非正常的測(cè)試地鐵票搭乘地鐵��,在系統(tǒng)中跟蹤測(cè)試票的處理情況�����,以驗(yàn)證系統(tǒng)處理與控制功能是否均有效��;在對(duì)系統(tǒng)中后期內(nèi)部開(kāi)發(fā)的車站單程票售賣功能進(jìn)行審計(jì)時(shí)��,審計(jì)人員采用了程序編碼審查法�,對(duì)系統(tǒng)的源程序編碼進(jìn)行審查�����,審查后發(fā)現(xiàn)單程票售賣金額統(tǒng)計(jì)報(bào)表在進(jìn)行數(shù)據(jù)處理時(shí)省略了小數(shù)點(diǎn)后的尾數(shù)��,導(dǎo)致報(bào)表金額存在偏差�;在對(duì)票務(wù)系統(tǒng)的清分報(bào)表進(jìn)行驗(yàn)證時(shí),審計(jì)人員又采用了平行模擬法����,抽取系統(tǒng)中一段時(shí)間內(nèi)的正式交易記錄,在系統(tǒng)外模擬系統(tǒng)的處理規(guī)則對(duì)交易記錄進(jìn)行處理�����,并將處理結(jié)果與系統(tǒng)的報(bào)表數(shù)據(jù)進(jìn)行核對(duì),結(jié)果發(fā)現(xiàn)系統(tǒng)在數(shù)據(jù)傳遞和處理過(guò)程中��,由于系統(tǒng)對(duì)于異常數(shù)據(jù)的審核過(guò)于嚴(yán)格���,導(dǎo)致部分正常數(shù)據(jù)被當(dāng)作垃圾數(shù)據(jù)丟進(jìn)異常庫(kù)�,給公司造成票務(wù)損失����。
3、計(jì)算機(jī)輔助審計(jì)軟件的應(yīng)用
計(jì)算機(jī)輔助審計(jì)軟件的應(yīng)用是信息系統(tǒng)審計(jì)的一個(gè)顯著特點(diǎn)���,也是審計(jì)人員準(zhǔn)備階段需要重點(diǎn)關(guān)注的問(wèn)題之一�����。目前���,廣州地鐵對(duì)計(jì)算機(jī)輔助審計(jì)軟件的應(yīng)用主要體現(xiàn)在以下兩個(gè)方面。
(1)對(duì)系統(tǒng)中數(shù)據(jù)的準(zhǔn)確性����、完整性和一致性的檢查。
例如���,在合同管理系統(tǒng)審計(jì)項(xiàng)目中�����,為核對(duì)系統(tǒng)接口程序的可靠性��,審計(jì)人員利用審計(jì)輔助軟件快速完成了對(duì)合同系統(tǒng)和財(cái)務(wù)系統(tǒng)數(shù)據(jù)一致性的核對(duì)����,迅速查找出兩個(gè)系統(tǒng)中不一致的數(shù)據(jù)��。經(jīng)過(guò)深入分析��,審計(jì)人員發(fā)現(xiàn)由于財(cái)務(wù)核算人員在財(cái)務(wù)系統(tǒng)中復(fù)核合同支付數(shù)據(jù)時(shí)發(fā)現(xiàn)錯(cuò)誤�����,將支付申請(qǐng)退回給合同系統(tǒng)再由合同經(jīng)辦人重新填報(bào)時(shí)���,合同系統(tǒng)未對(duì)已生成的支付信息進(jìn)行更新��,導(dǎo)致上述問(wèn)題的出現(xiàn)���。針對(duì)海量數(shù)據(jù)處理系統(tǒng)���,數(shù)據(jù)驗(yàn)證是審計(jì)的重點(diǎn),計(jì)算機(jī)輔助軟件是“不可或缺”的審計(jì)工具��。在地鐵票務(wù)收入保障審計(jì)項(xiàng)目中�,審計(jì)人需要通過(guò)數(shù)據(jù)驗(yàn)證的方式對(duì)業(yè)務(wù)處理的核心系統(tǒng)———自動(dòng)售檢票(AFC)系統(tǒng)中的系統(tǒng)傳輸和處理機(jī)制進(jìn)行驗(yàn)證。為此���,審計(jì)人員共設(shè)計(jì)了8大類29子類47個(gè)數(shù)據(jù)驗(yàn)證主題��。審計(jì)時(shí)��,審計(jì)人員運(yùn)用計(jì)算機(jī)輔助審計(jì)技術(shù)����,在兩個(gè)月內(nèi)完成了對(duì)AFC系統(tǒng)中10天總計(jì)超過(guò)3億條運(yùn)營(yíng)數(shù)據(jù)的驗(yàn)證工作����。
(2)利用計(jì)算機(jī)輔助軟件進(jìn)行對(duì)比測(cè)試。
即審計(jì)人員從信息系統(tǒng)中抽取某部門樣本數(shù)據(jù)��,將樣本數(shù)據(jù)輸入到與計(jì)算機(jī)輔助軟件中進(jìn)行處理,把審計(jì)軟件輸出的結(jié)果與業(yè)務(wù)系統(tǒng)產(chǎn)生的結(jié)果進(jìn)行對(duì)比分析����,以判定業(yè)務(wù)系統(tǒng)的可靠性與準(zhǔn)確性�。廣州地鐵在已開(kāi)展的運(yùn)營(yíng)票務(wù)收入保障審計(jì)項(xiàng)目中大量地使用了此種方式。審計(jì)人員將各車站站務(wù)人員在票務(wù)系統(tǒng)中錄入的售票數(shù)據(jù)導(dǎo)入到計(jì)算機(jī)輔助軟件中����,按照業(yè)務(wù)規(guī)則對(duì)數(shù)據(jù)進(jìn)行處理,將處理結(jié)果和系統(tǒng)輸出的結(jié)果進(jìn)行對(duì)比����。經(jīng)對(duì)比,審計(jì)人員發(fā)現(xiàn)票務(wù)系統(tǒng)在處理異常數(shù)據(jù)時(shí)過(guò)于嚴(yán)格��,導(dǎo)致部分非異常數(shù)據(jù)被系統(tǒng)當(dāng)作異常數(shù)據(jù)丟入異常庫(kù)中���,給公司造成票務(wù)損失��。
篇6
2.信息系統(tǒng)審計(jì)專業(yè)人才比較缺乏我國(guó)國(guó)內(nèi)的審計(jì)人員不僅在數(shù)量上存在欠缺����,質(zhì)量上更是有待提高�。當(dāng)前我國(guó)金融界審計(jì)隊(duì)伍中��,主要由財(cái)經(jīng)類專業(yè)人員構(gòu)成�,嚴(yán)重缺乏既掌握現(xiàn)代審計(jì)理論與技術(shù)又精通計(jì)算機(jī)知識(shí)與技能的新型復(fù)合型人才���。傳統(tǒng)的審計(jì)人員雖在財(cái)會(huì)審計(jì)領(lǐng)域經(jīng)驗(yàn)豐富�,但對(duì)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)了解不多���,這使得他們難以對(duì)復(fù)雜的網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)進(jìn)行有效的評(píng)審��,難以應(yīng)付電子商務(wù)環(huán)境下的審計(jì)風(fēng)險(xiǎn)���。
3.缺乏有效的通用信息系統(tǒng)審計(jì)軟件通用的審計(jì)軟件具有計(jì)算機(jī)輔助審計(jì)軟件的各種功能,并且在計(jì)算機(jī)環(huán)境中����,通過(guò)數(shù)據(jù)接口與被審計(jì)信息系統(tǒng)連接,同時(shí)將審計(jì)工作程序化����,從而在很大程度上代替了手工審計(jì)。目前我國(guó)信息系統(tǒng)審計(jì)剛起步不久����,在信息系統(tǒng)審計(jì)軟件這方面還存在很大空缺���,通用的信息系統(tǒng)審計(jì)軟件幾乎不存在。此外��,我國(guó)現(xiàn)有的財(cái)務(wù)軟件大多沒(méi)有審計(jì)接口����,審計(jì)軟件無(wú)法獲取所需系統(tǒng)的電子資料�����。
二�����、我國(guó)商業(yè)銀行信息系統(tǒng)審計(jì)的發(fā)展策略
1.信息系統(tǒng)審計(jì)制度與準(zhǔn)則制定方面根據(jù)國(guó)際趨同的要求�����,我國(guó)應(yīng)建立國(guó)際標(biāo)準(zhǔn)框架下具有各行特色的標(biāo)準(zhǔn)和規(guī)范體系�。因而,我國(guó)商業(yè)銀行也可應(yīng)把目前國(guó)際上公認(rèn)的最先進(jìn)、最權(quán)威的信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)——COB信息系統(tǒng)作為核心標(biāo)準(zhǔn)��,建立符合中國(guó)實(shí)際��、順應(yīng)國(guó)際準(zhǔn)則趨同化要求的內(nèi)控、風(fēng)險(xiǎn)管理體系�、信息系統(tǒng)監(jiān)審機(jī)制和制度。同時(shí)借鑒巴塞爾協(xié)議���、BS7799���、COSO等其他國(guó)際標(biāo)準(zhǔn)和原則,進(jìn)而確立適合各行的信息系統(tǒng)審計(jì)目標(biāo)����、對(duì)象、范圍����、方法、流程等��,具體指導(dǎo)信息系統(tǒng)審計(jì)工作�����。
2.信息系統(tǒng)審計(jì)管理方面第一����,建立全方位信息系統(tǒng)審計(jì)管理體系�。一方面���,商業(yè)銀行要切實(shí)落實(shí)《金融機(jī)構(gòu)計(jì)算機(jī)安全保護(hù)工作暫行規(guī)定》要求����,合理安排基礎(chǔ)設(shè)施和安全防范措施���。另一方面�,監(jiān)管部門應(yīng)加強(qiáng)對(duì)我國(guó)商業(yè)銀行的信息系統(tǒng)審計(jì)的監(jiān)管���,將信息系統(tǒng)安全作為監(jiān)管的重要內(nèi)容,將信息系統(tǒng)審計(jì)作為評(píng)價(jià)其安全性的重要因素����。第二,進(jìn)行信息系統(tǒng)審計(jì)人員的技術(shù)角色劃分,突出信息系統(tǒng)審計(jì)的技術(shù)特色��。根據(jù)各商業(yè)銀行自己的信息系統(tǒng)技術(shù)體系及信息系統(tǒng)審計(jì)資源,劃分不同的信息系統(tǒng)審計(jì)技術(shù)角色,突出信息系統(tǒng)審計(jì)的技術(shù)特色,提升信息系統(tǒng)審計(jì)層次�����。
篇7
二��、完善內(nèi)部控制審計(jì),提高審計(jì)質(zhì)量
1.擴(kuò)大重點(diǎn)審計(jì)范圍由于我國(guó)內(nèi)部控制系統(tǒng)審計(jì)開(kāi)展的時(shí)間較晚���,目前還處于實(shí)施的初步階段���,特別是在當(dāng)前內(nèi)部控制環(huán)境對(duì)內(nèi)部控制系統(tǒng)審計(jì)實(shí)施不利的情況下,更應(yīng)該加大對(duì)重點(diǎn)審計(jì)范圍����。我國(guó)企業(yè)內(nèi)部控制實(shí)施的目的是為了起到對(duì)管理者監(jiān)督的作用,從而確保企業(yè)能夠健康的發(fā)展�����,所以內(nèi)部控制系統(tǒng)審計(jì)的審計(jì)重點(diǎn)需要找出內(nèi)部控制制度的漏洞和不足之處�,同時(shí)還要根據(jù)行業(yè)和企業(yè)規(guī)模的不同,制定不同的審計(jì)計(jì)劃����,同時(shí)可以將與財(cái)務(wù)報(bào)表審計(jì)相關(guān)的內(nèi)部控制作為內(nèi)部控制系統(tǒng)審計(jì)的重點(diǎn)范圍,同時(shí)還要對(duì)其他內(nèi)部控制信息加強(qiáng)審計(jì)����。
2.吸取別國(guó)經(jīng)驗(yàn)與創(chuàng)新審計(jì)方法內(nèi)部控制系統(tǒng)審計(jì)最早由美國(guó)開(kāi)始實(shí)施,所以目前各國(guó)內(nèi)部控制審計(jì)準(zhǔn)則都是以美國(guó)為范本而制定的,這就需要我們?cè)趦?nèi)部控制審計(jì)實(shí)施過(guò)程中要做好吸收和借鑒工作��,趨利避害�����,做好提前預(yù)防工作����。目前經(jīng)濟(jì)全球化的發(fā)展步伐不斷加大,但這并不意味著全球內(nèi)部控制控制或是內(nèi)部控制系統(tǒng)審計(jì)準(zhǔn)則都要具有一致性���,其實(shí)在具體實(shí)務(wù)中���,企業(yè)內(nèi)部控制制度都是針對(duì)企業(yè)自身的特點(diǎn)制定的,所以差異性較大�,這就決定了企業(yè)內(nèi)部控制系統(tǒng)審計(jì)也不可能都如出一轍���。所以在目前這種情況下����,我國(guó)企業(yè)內(nèi)部控制系統(tǒng)審計(jì)需要根據(jù)我國(guó)的實(shí)際國(guó)情���,制定與我國(guó)社會(huì)主義市場(chǎng)經(jīng)濟(jì)相符合的內(nèi)部控制系統(tǒng)審計(jì)準(zhǔn)則���,這親不僅有利于我國(guó)企業(yè)內(nèi)部控制制度的健康刀菜��,而且對(duì)于降低社會(huì)成本也具有積極的意義����。
篇8
二����、轉(zhuǎn)型環(huán)境下提高基層人民銀行信息系統(tǒng)審計(jì)水平的對(duì)策
(一)創(chuàng)新審計(jì)流程,強(qiáng)化信息系統(tǒng)事前和事中審計(jì)����。信息系統(tǒng)審計(jì)是以保證計(jì)算機(jī)信息系統(tǒng)安全平穩(wěn)運(yùn)行,有效控制風(fēng)險(xiǎn)為目標(biāo)的�,如果僅從合規(guī)性的角度進(jìn)行信息系統(tǒng)審計(jì),無(wú)法達(dá)到上述目標(biāo)����,因此,開(kāi)展信息系統(tǒng)審計(jì)的目的不僅要善于發(fā)現(xiàn)問(wèn)題��,有效防范已暴露的風(fēng)險(xiǎn)�����,更要分析化解潛在的風(fēng)險(xiǎn),以提高審計(jì)效果�����。這就要求我們要?jiǎng)?chuàng)新審計(jì)流程�����,改變傳統(tǒng)審計(jì)方法����,采用“參與式”的審計(jì)方式,加強(qiáng)與科技等部門的溝通交流�����,重視事前與事中審計(jì)��。一要完善溝通機(jī)制�?�?萍寂c系統(tǒng)應(yīng)用部門應(yīng)及時(shí)將制定的有關(guān)制度����、操作規(guī)程�����、系統(tǒng)運(yùn)行中的事故情況���、解決措施、處理結(jié)果發(fā)送給內(nèi)審部門�;內(nèi)審部門應(yīng)就審計(jì)系統(tǒng)時(shí)發(fā)現(xiàn)的問(wèn)題,及時(shí)向科技和系統(tǒng)應(yīng)用部門進(jìn)行通報(bào)和反饋�����,并與他們定期或不定期地磋商����、交流,了解各業(yè)務(wù)系統(tǒng)運(yùn)行情況�����,更好地發(fā)揮信息系統(tǒng)審計(jì)的作用���。二要組織審計(jì)人員參與新系統(tǒng)的開(kāi)發(fā)����、評(píng)估,并設(shè)計(jì)滿足審計(jì)業(yè)務(wù)需要的功能�����,真正做到對(duì)信息系統(tǒng)的事前和事中審計(jì)�����。三是在審計(jì)過(guò)程中采用“參與式”審計(jì)方法���,參與信息系統(tǒng)審計(jì)目標(biāo)�、內(nèi)容�、計(jì)劃的制訂,參與審計(jì)中發(fā)現(xiàn)問(wèn)題的分析����、討論,參與信息系統(tǒng)風(fēng)險(xiǎn)的評(píng)估及改進(jìn)措施的制訂等�。
篇9
社保網(wǎng)上申報(bào)系統(tǒng)共設(shè)計(jì)了SINS包和NSSRC包,前者存放Struts控制XML文件,根據(jù)系統(tǒng)各功能模塊的劃分,在Jsp業(yè)務(wù)文件中創(chuàng)建計(jì)劃包、人員包和單位包;后者存放hibernat及其相關(guān)業(yè)務(wù)邏輯,根據(jù)系統(tǒng)各功能模塊的劃分,在此文件中創(chuàng)建計(jì)劃包��、人員包和單位包�����。Globa1NameS.java是NSSRC包中的定義全局靜態(tài)變量,可供整個(gè)系統(tǒng)使用,系統(tǒng)的運(yùn)行模式以及相關(guān)操作均可借助該變量定義完成設(shè)置,在引用該變量時(shí),只需修改文件別名對(duì)應(yīng)的字符串即可,無(wú)需再對(duì)該變量的代碼進(jìn)行改動(dòng)���。通過(guò)Hibernate來(lái)完成數(shù)據(jù)庫(kù)的連接設(shè)置,并在相應(yīng)文件中存放其配置信息,并獲得連接部分的相應(yīng)代碼,接下來(lái)完成的事數(shù)據(jù)庫(kù)表持久化的設(shè)計(jì),通過(guò)數(shù)據(jù)庫(kù)中各表對(duì)應(yīng)的文件,對(duì)各屬性變量及其對(duì)應(yīng)的函數(shù)進(jìn)行定義,然后明確存放指向路徑�?�;贛VC的Struts框架包括View層���、Control層和Model層,View層即為系統(tǒng)靜態(tài)頁(yè)面和業(yè)務(wù)層返回結(jié)果生成的jsp頁(yè)面,均采用javascriPt語(yǔ)言編寫(xiě),存放在SINS包中,按照其對(duì)應(yīng)的功能模塊,該控制文件會(huì)被劃分為若干Struts控制文件;Control層可指明客戶端表單應(yīng)執(zhí)行的類�、方法和路徑,并對(duì)客戶端發(fā)送的表單數(shù)據(jù)進(jìn)行處理,最后調(diào)用到具體業(yè)務(wù)層;Model層為整個(gè)框架提供了一個(gè)接口,通過(guò)此接口可與JAVA文件相連接�����。
1.2系統(tǒng)業(yè)務(wù)功能的實(shí)現(xiàn)
對(duì)于社保信息系統(tǒng)而言,不同單位和社保中心數(shù)據(jù)的存儲(chǔ)格式并不相同,往往會(huì)形成多對(duì)一的格局,借助XML模式與其他關(guān)系模式的數(shù)據(jù)轉(zhuǎn)換,可最大限度地抽取數(shù)據(jù)轉(zhuǎn)換的共性,而且極大地提高了定制轉(zhuǎn)換的便易性���。數(shù)據(jù)交換的精髓在于集中和標(biāo)準(zhǔn),將分散的數(shù)據(jù)進(jìn)行匯集,為社保系統(tǒng)業(yè)務(wù)功能的實(shí)現(xiàn)提供必要的數(shù)據(jù)集合��。采用UML工具對(duì)網(wǎng)上申報(bào)系統(tǒng)進(jìn)行建模,并根據(jù)建模結(jié)果而通過(guò)編碼實(shí)現(xiàn)�����。以在職增員申報(bào)功能為例,通過(guò)互聯(lián)網(wǎng)登錄社保網(wǎng)上申報(bào)系統(tǒng)辦理相關(guān)業(yè)務(wù),首先要提交數(shù)據(jù)處理請(qǐng)求,由信息中心輪詢程序?qū)邮盏降恼?qǐng)求進(jìn)行處理,并將處理結(jié)果反饋到系統(tǒng),從而便能夠查看到業(yè)務(wù)辦理的結(jié)果,具體操作流程在界面上均有提示��。系統(tǒng)業(yè)務(wù)功能的實(shí)現(xiàn)實(shí)際上就是Struts框架中View層����、Control層和Model層的實(shí)現(xiàn)。
篇10
【作者簡(jiǎn)介】張艷玲�����,渤海大學(xué)副教授����,碩士;王娟��,渤海大學(xué)講師�,碩士,遼寧錦州121000
【中圖分類號(hào)】F239.0 【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號(hào)】1004-4434(2013)02-0155-05
免疫系統(tǒng)論是對(duì)審計(jì)理論的創(chuàng)新和審計(jì)本質(zhì)���、職能的重新界定����,石化企業(yè)作為我國(guó)國(guó)民經(jīng)濟(jì)的重要組成部分���,其在維護(hù)國(guó)家經(jīng)濟(jì)安全��、促進(jìn)國(guó)有資產(chǎn)保值增值中發(fā)揮中重要作用���。在國(guó)際金融危機(jī)影響尚未完全消除、國(guó)內(nèi)外經(jīng)濟(jì)發(fā)展環(huán)境多變�����、市場(chǎng)競(jìng)爭(zhēng)日益激烈和企業(yè)風(fēng)險(xiǎn)趨于多元的后金融危機(jī)時(shí)代����。石化企業(yè)必須以免疫系統(tǒng)論作為新的價(jià)值取向深度推進(jìn)審計(jì)文化建設(shè),促進(jìn)審計(jì)事業(yè)的創(chuàng)新和發(fā)展�����,保證企業(yè)可持續(xù)發(fā)展的實(shí)現(xiàn)�。
一、審計(jì)文化的內(nèi)涵�����、特點(diǎn)及功能
(一)審計(jì)文化的內(nèi)涵
審計(jì)文化與文化之間具有密不可分的聯(lián)系����,審計(jì)文化是文化的重要組成部分��,要了解審計(jì)文化的內(nèi)涵���,必須先分析文化的具體內(nèi)容。關(guān)于文化的內(nèi)涵����,在學(xué)術(shù)界有不同觀點(diǎn)。按照《現(xiàn)代俄語(yǔ)標(biāo)準(zhǔn)辭典》的解析:文化是指人類社會(huì)在生產(chǎn)中�����、社會(huì)生活和精神生活中所取得的成就的總和�,包括物質(zhì)文化和精神文化兩個(gè)層面。泰勒(1992)認(rèn)為�����,文化是一個(gè)復(fù)合整體���,包括知識(shí)�、信仰���、藝術(shù)�����、道德��、法律����、習(xí)俗以及作為一個(gè)社會(huì)成員的人所習(xí)得的其他一切努力和習(xí)慣�����。還有學(xué)者認(rèn)為���,文化是代表一定民族特點(diǎn)的反映其理論思維水平的精神面貌���、心理狀態(tài)、思維方式和價(jià)值取向等精神成果的總和���??梢?jiàn)��,文化是一個(gè)多視角、多維度和多層面的概念���。包括了物質(zhì)��、精神�、理性和感性等多方面的涵義����。也正是由于文化的復(fù)雜性,審計(jì)文化也成為了仁者見(jiàn)仁�、智者見(jiàn)智的問(wèn)題。但整體而言����,審計(jì)文化具有自然屬性和社會(huì)屬性兩種屬性已成為普遍共識(shí)。審計(jì)文化的自然屬性是審計(jì)工作中具有的屬性���,是共性�,如審計(jì)法律法規(guī)���、審計(jì)準(zhǔn)則�、審計(jì)手段和方法以及審計(jì)行為等����。審計(jì)文化的自然屬性決定了不同社會(huì)�、不同國(guó)家的審計(jì)文化的共性�。是不同國(guó)家相互交流的基礎(chǔ)。審計(jì)文化的社會(huì)屬性是審計(jì)工作中所形成的屬性�,是個(gè)性,其決定了不同社會(huì)�、不同國(guó)家審計(jì)文化的差異性。雖然審計(jì)文化還沒(méi)有形成統(tǒng)一�、具體的概念,但學(xué)者普遍認(rèn)為����,審計(jì)文化是審計(jì)機(jī)關(guān)及其審計(jì)人員在履行職責(zé)�����、發(fā)展審計(jì)事業(yè)過(guò)程中培育形成的����,被共同認(rèn)可、遵循的價(jià)值觀念�、道德規(guī)范、行為準(zhǔn)則��、群體意識(shí)的總和。不難看出��,學(xué)者對(duì)于審計(jì)文化的理解和認(rèn)同���,主要是集中在審計(jì)價(jià)值觀�、審計(jì)精神����、審計(jì)心理和審計(jì)道德等在內(nèi)的精神方面。
(二)審計(jì)文化的特點(diǎn)
經(jīng)過(guò)近30年的發(fā)展�����,審計(jì)文化已經(jīng)逐步形成了區(qū)別于其他文化的特點(diǎn)����。(1)時(shí)代性。審計(jì)文化是時(shí)展的產(chǎn)物�����,無(wú)法脫離特定時(shí)代�、特定政治、經(jīng)濟(jì)和社會(huì)環(huán)境的制約��,隨著社會(huì)經(jīng)濟(jì)關(guān)系的發(fā)展而變化,以適應(yīng)社會(huì)經(jīng)濟(jì)發(fā)展對(duì)審計(jì)工作的要求�����,與審計(jì)工作實(shí)際現(xiàn)狀保持協(xié)調(diào)一致��。(2)系統(tǒng)性�。審計(jì)文化包括了審計(jì)物質(zhì)文化、審計(jì)制度文化和審計(jì)精神文化三個(gè)層面����,三者相互關(guān)聯(lián)、缺一不可��。審計(jì)文化建設(shè)�,不僅要注重制度、技術(shù)等有形因素����,更要重視信念����、價(jià)值觀、道德評(píng)價(jià)等無(wú)形因素�。(3)創(chuàng)新性�。在社會(huì)經(jīng)濟(jì)不斷發(fā)展的背景下��,審計(jì)手段����、審計(jì)方法、審計(jì)理論以及審計(jì)的價(jià)值觀等必定要不斷創(chuàng)新�����。(4)開(kāi)放性����。審計(jì)文化與其他文化雖有本質(zhì)區(qū)別,但又相互兼容�,既需要吸收先進(jìn)文化的基本元素,又可以為其他文化提供借鑒和吸收��。(5)科學(xué)性�����。審計(jì)文化具有自身的發(fā)展規(guī)律����,其發(fā)展以社會(huì)經(jīng)濟(jì)發(fā)展水平和社會(huì)環(huán)境為基礎(chǔ)�����,不能超越于經(jīng)濟(jì)發(fā)展水平的需要而獨(dú)立存在�����,審計(jì)文化應(yīng)與經(jīng)濟(jì)發(fā)展和審計(jì)工作的實(shí)際需要保持協(xié)調(diào)一致���。
(三)審計(jì)文化的功能
實(shí)踐證明,審計(jì)文化具有四個(gè)方面的功能�。其一,凝聚功能����。先進(jìn)的審計(jì)文化,可以增進(jìn)審計(jì)及機(jī)關(guān)人員的相互了解���。團(tuán)結(jié)各崗位���、各領(lǐng)域的人員�,形成共同的認(rèn)知和價(jià)值觀,增強(qiáng)企業(yè)凝聚力和忠誠(chéng)度�,形成促進(jìn)企業(yè)發(fā)展的巨大合力���。其二,激勵(lì)功能��。價(jià)值觀和精神文化是審計(jì)文化的重要內(nèi)容�����,其具有良好的精神感召力�,有利于形成強(qiáng)有力的激勵(lì)環(huán)境和激勵(lì)機(jī)制,調(diào)動(dòng)審計(jì)人員的主動(dòng)性����,全身心投身于審計(jì)工作,推動(dòng)審計(jì)事業(yè)發(fā)展�。實(shí)踐證明,在某種程度上�����,文化的激勵(lì)作用往往勝過(guò)行政命令的執(zhí)行約束����。其三,約束功能���。審計(jì)文化的約束功能在價(jià)值觀的指導(dǎo)下�,借助道德、信念和風(fēng)氣發(fā)揮作用�,通過(guò)心理的誘導(dǎo)和規(guī)范,引導(dǎo)人的思想和行為趨于和諧���、一致����。其四���,教育功能�。良好的審計(jì)文化有利于企業(yè)職工陶冶思想素質(zhì)和道德情操���,遵循正確的思想準(zhǔn)則和行為規(guī)范���。此外,審計(jì)文化還可以促使外部人員增加對(duì)審計(jì)工作的理解和配合�,促使社會(huì)各界更加關(guān)注和支持審計(jì)事業(yè)。
二�、免疫系統(tǒng)論與審計(jì)文化建設(shè)的內(nèi)在機(jī)理
審計(jì)免疫系統(tǒng)是國(guó)家審計(jì)署審計(jì)長(zhǎng)劉家義于2007年提出的觀點(diǎn),并在2008年中國(guó)審計(jì)學(xué)會(huì)五屆三次理事會(huì)暨第二次理事論壇對(duì)全面深刻地闡述了免疫系統(tǒng)理論。免疫系統(tǒng)論是對(duì)審計(jì)理論的創(chuàng)新����、審計(jì)本質(zhì)和審計(jì)職能的新發(fā)展��。劉家義審計(jì)長(zhǎng)指出����,審計(jì)應(yīng)具有和發(fā)揮預(yù)防、揭示���、抵御功能����,現(xiàn)代國(guó)家審計(jì)就是經(jīng)濟(jì)社會(huì)運(yùn)行的一個(gè)免疫系統(tǒng)�。很顯然,免疫系統(tǒng)論下的審計(jì)已經(jīng)超越了傳統(tǒng)審計(jì)中的會(huì)查賬就是審計(jì)的定位��,并對(duì)傳統(tǒng)審計(jì)的監(jiān)督�、評(píng)價(jià)和鑒證職能進(jìn)行修正及突破。免疫系統(tǒng)論下的審計(jì)����,要做到資金管理使用的合規(guī)性、合法性、效益與效果性兼顧��;既要查處問(wèn)題�����,又要完善制度政策����;在審計(jì)經(jīng)濟(jì)問(wèn)題的同時(shí),加強(qiáng)對(duì)社會(huì)�、生態(tài)、環(huán)境和民生等問(wèn)題的關(guān)注����。對(duì)于企業(yè)而言,審計(jì)部門作為公司“免疫系統(tǒng)”的重要組成部分�����,要從審計(jì)的本質(zhì)出發(fā)�����,發(fā)揮預(yù)警��、揭示和修補(bǔ)抵御等“免疫”功能,同時(shí)當(dāng)好經(jīng)濟(jì)衛(wèi)士和保健醫(yī)生�,查錯(cuò)糾弊、規(guī)范管理���、完善制度�、堵塞漏洞�,促進(jìn)公司依法經(jīng)營(yíng)���、規(guī)范管理�,并不斷增強(qiáng)抗風(fēng)險(xiǎn)能力和市場(chǎng)競(jìng)爭(zhēng)力�,保障公司經(jīng)營(yíng)管理活動(dòng)安全運(yùn)行和健康發(fā)展。通過(guò)分析免疫系統(tǒng)論和審計(jì)文化的功能與目的�,兩者是趨于一致的。是可以融合的�����?;榇龠M(jìn)的。
(二)創(chuàng)新審計(jì)制度��,強(qiáng)化審計(jì)文化建設(shè)的制度保障
篇11
中圖分類號(hào)G31 文獻(xiàn)標(biāo)識(shí)碼A 文章編號(hào) 1674-6708(2011)48-0198-02
0 引言
科研項(xiàng)目申報(bào)與科研成果的統(tǒng)計(jì)��、管理師高校科研管理工作的重要內(nèi)容之一����,也是高校科研處日常工作的重要組成部分��。做好科研項(xiàng)目申報(bào)����、科研成果統(tǒng)計(jì),使之達(dá)到準(zhǔn)確���、高效的水平��,是高?��?蒲泄芾聿块T始終關(guān)注和追求的目標(biāo)。
隨著信息技術(shù)的發(fā)展�,由于各高校科研項(xiàng)目��、科研成果��、科研經(jīng)費(fèi)的不斷增多�,科研管理的信息量也日益增大�����。各高校紛紛摒棄了傳統(tǒng)的手工管理模式����,進(jìn)而建立了基于WEB的科研管理系統(tǒng)�����,以提高工作效率�。筆者在本單位的科研管理系統(tǒng)的開(kāi)發(fā)過(guò)程中�,根據(jù)本單位的實(shí)際情況,引入了論文提交審核����、項(xiàng)目預(yù)申報(bào)2個(gè)子系統(tǒng)的開(kāi)發(fā),使用的實(shí)踐證明���,效果良好��,解決了實(shí)際工作中長(zhǎng)期存在的問(wèn)題���,具有一定現(xiàn)實(shí)意義�����。
1 系統(tǒng)需求分析
1.1論文提交審核需求
論文是科學(xué)研究的重要成果之一�,其數(shù)量和質(zhì)量也是衡量高?���?蒲兴降闹匾笜?biāo)之一,因此論文的統(tǒng)計(jì)和審核是高??蒲刑幍闹匾ぷ髦唬瑸榇?���,一般的科研管理系統(tǒng)均包含此功能。
論文的提交和審核���,過(guò)去一般由作者提交論文紙質(zhì)復(fù)印件�����,科研處匯總后����,逐一審核(包括是否屬SCI����、EI收錄��、是否屬中文核心期刊發(fā)表����、數(shù)否屬非法期刊發(fā)表等)�,再由科研處人員逐一錄入。許多高校由于實(shí)行高級(jí)別論文的獎(jiǎng)勵(lì)政策�,使得科研處在該項(xiàng)工作中尤其不敢掉以輕心,稍有疏忽���,即容易引發(fā)投訴和矛盾�����。在論文數(shù)量大、科研處人員少的院校尤其如此��。因此����,科研管理系統(tǒng)若只承擔(dān)錄入、存儲(chǔ)且輔之以統(tǒng)計(jì)查詢的作用是不夠的����。
高校圖書(shū)館在論文的甄別工作上具有得天獨(dú)厚的條件����,應(yīng)充分發(fā)揮圖書(shū)館功能之所長(zhǎng)����,在系統(tǒng)中專門開(kāi)辟一個(gè)審核模塊歸之使用,從而避免科研處在論文甄別上的尷尬與被動(dòng)����。
論文的提交可由作者紙質(zhì)提交改為自行登入系統(tǒng)錄入。圖書(shū)館審核后�����,其數(shù)據(jù)不允許再修改����。此舉有2個(gè)優(yōu)點(diǎn):其一,減少紙張使用�,低碳環(huán)保從日常的工作中開(kāi)始;其二����,審核結(jié)果權(quán)威性增強(qiáng)���,減少爭(zhēng)議。
1.2 項(xiàng)目預(yù)申報(bào)需求
筆者從事科研項(xiàng)目申報(bào)工作多年�����,學(xué)校規(guī)定的項(xiàng)目申報(bào)截止日到后�����,個(gè)別教師仍提交申報(bào)書(shū)的情況時(shí)有發(fā)生�。其原因有多方面,申報(bào)期內(nèi)教學(xué)工作繁忙�、外出公干等。在科研管理系統(tǒng)中加入預(yù)申報(bào)模塊���,可以有效地減少逾期申報(bào)的情況發(fā)生�。
其做法為��,科研處每次項(xiàng)目申報(bào)通知發(fā)出后��,即在通知后面鏈接項(xiàng)目預(yù)申報(bào)模塊�,教師瀏覽完申報(bào)通知后��,有意申報(bào)者即可進(jìn)入項(xiàng)目預(yù)申報(bào)子系統(tǒng),進(jìn)行申報(bào)登記���?��?蒲刑幵谑芾砩陥?bào)材料截止日的前三天,可以根據(jù)目前所收材料的情況與項(xiàng)目預(yù)申報(bào)子系統(tǒng)內(nèi)的登記情況進(jìn)行對(duì)比��,對(duì)尚未交材料者進(jìn)行提醒和督促�����。該系統(tǒng)投入使用后���,逾期申報(bào)的情況大幅減少�。保證了申報(bào)工作的順利進(jìn)行��。
2 系統(tǒng)結(jié)構(gòu)設(shè)計(jì)
2.1系統(tǒng)體系結(jié)構(gòu)設(shè)計(jì)
通過(guò)以上需求分析���,針對(duì)本?���?蒲泄芾順I(yè)務(wù)流程的實(shí)際需求,本系統(tǒng)采用了多層B/S(Browser/Server)模式體系結(jié)構(gòu)�����。B/S模式是Web興起后的一種網(wǎng)絡(luò)結(jié)構(gòu)模式�,WEB瀏覽器是客戶端最主要的應(yīng)用軟件。這種模式統(tǒng)一了客戶端���,將系統(tǒng)功能實(shí)現(xiàn)的核心部分集中到服務(wù)器上���,簡(jiǎn)化了系統(tǒng)的開(kāi)發(fā)、維護(hù)和使用�����。本系統(tǒng)采用.NET框架支持下的n層分布式體系結(jié)構(gòu)��,使系統(tǒng)具有良好的可操作性和可維護(hù)性���。
2.2 系統(tǒng)業(yè)務(wù)流程設(shè)計(jì)
論文提交審核流程設(shè)計(jì)
3 系統(tǒng)安全性設(shè)計(jì)
系統(tǒng)的安全性問(wèn)題是本系統(tǒng)設(shè)計(jì)需要考慮的重要方面����,除了它關(guān)系到整個(gè)系統(tǒng)的實(shí)用性和可靠性�����,更重要的是圖書(shū)館對(duì)數(shù)據(jù)庫(kù)中論文審核的結(jié)論具有權(quán)威性和不可更改性����,因此,本系統(tǒng)除了使用通信協(xié)議提供的功能完成連接和驗(yàn)證省份外�,在應(yīng)用程序和數(shù)據(jù)庫(kù)中還對(duì)用戶訪問(wèn)權(quán)限進(jìn)行了分配和限制,從而確保數(shù)據(jù)庫(kù)中的數(shù)據(jù)信息部不被非法泄露和修改�。
用戶的權(quán)限主要按用戶使用性質(zhì)進(jìn)行分配,其中包括:教師角色用戶(即有科研信息的用戶)���、人事處用戶(專門負(fù)責(zé)教師基本信息的錄入���、修改、刪除)����、科技處用戶、圖書(shū)館用戶(負(fù)責(zé)論文審核)��、財(cái)務(wù)處用戶(負(fù)責(zé)科研經(jīng)費(fèi)的錄入�、修改、刪除)���、部門領(lǐng)導(dǎo)查詢用戶(只限于對(duì)本部門的科研信息����、匯總信息進(jìn)行查詢)、院領(lǐng)導(dǎo)查詢用戶(可對(duì)全院科研信息��、匯總信息進(jìn)行查詢)�。
4 結(jié)論及應(yīng)用效果
本系統(tǒng)于2009年10月正式投入使用,運(yùn)行效果良好����,它的多級(jí)用戶權(quán)限管理、分布式實(shí)時(shí)查詢等特點(diǎn)進(jìn)一步增強(qiáng)了系統(tǒng)的通用性�、可操作性和安全性,達(dá)到原設(shè)計(jì)目標(biāo)�。通過(guò)該系統(tǒng)的使用,實(shí)現(xiàn)了論文審核過(guò)程的無(wú)紙化提交���,同時(shí)引入圖書(shū)館作為一個(gè)用戶���,解決了論文甄別問(wèn)題上的難題,加強(qiáng)了論文審核環(huán)節(jié)的可靠性與準(zhǔn)確性�。在項(xiàng)目申報(bào)方面,該系統(tǒng)能提前讓科研處掌握參加申報(bào)的人員數(shù)量及其姓名�,便以及時(shí)做好提交申報(bào)材料的提醒和督促工作���,保證申報(bào)工作的順利完成。
