安全审计报告范文

时间:2023-06-20 17:19:53

导语:如何才能写好一篇安全审计报告,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

安全审计报告

篇1

2、AA级。综合得分在80分至89分,客户的收入水平高,偿债意愿强,社会地位高,家庭环境非常优越。

3、A级。测评得分在70至79分之间,客户的收入水平高,偿债意愿较强,社会地位较高,家庭环境比较优越。

4、BBB级。得分在60至69分之间,客户的收入水平中等,有偿债意愿,有一定社会地位,家庭环境良好。

5、BB级。得分在50至59之间,客户的收入水平一般,有一定偿债意愿,社会地位一般,家庭环境一般。

篇2

关键词:道路;交通;安全;审计

引言

我国每年的道路交通事故总量及损失非常大,道路交通安全已成为重要的民生问题。随着大规模国家高速公路网和干线公路网的建设,作为公路本质属性之一的道路安全问题日益受到各界关注。

从道路自身入手,努力探寻有效的技术举措,切实提高交通安全水平,具有重要的现实意义。最新《公路工程技术标准》(JTG B01-2014)中明确“二级及二级以上的干线公路应在设计时进行交通安全评价,其他公路在有条件时也可进行交通安全评价。”这无疑会对干线公路安全水平的提高起到重要作用。但笔者认为,一些发达国家率先提出的道路交通安全审计措施因其实际应用效果良好、实施范围灵活方便、投入收益比可观,对我国道路安全、尤其是暂未纳入国家强制性道路安全评价要求的较低等级公路及城市道路的交通安全非常值得借鉴,或可作为我国现行道路安全评价工作的有益补充。

1 概念

道路交通安全审计是由符合相关资质条件的专业团队对道路、交通项目潜在的安全隐患进行独立、客观地调查,给出正式的审计报告,列明安全隐患、提出消除或减轻隐患的措施,力求提升项目的安全水平。

道路安全审计旨在通过专业人士的职业判断,帮助把安全的理念融入具体项目之中,有几点需要明确:

(1)道路安全审计不同于事故多发点段调查,事故多发点段调查是事后行为,而道路安全审计是预防行为。(2)道路安全审计不是对设计标准的检查,其仅限于道路安全范畴。(3)道路安全审计实施范围灵活方便,审计项目可以大到整条公路或城市道路,也可以小至一处平交道口。(4)道路安全审计并不为项目出现的安全事故承担责任,责任仍由项目管理方或设计方承担。审计人员致力于发现问题,而解决问题则是工程师(管理或设计方)的责任。

2 工作程序

道路安全审计由拟建或既有项目的主管机构委托有资质的、专业化的审计队伍按照规定的程序实施,一般步骤如下:

(1)选择审计队伍。择优选择审计单位和人员,审计人员必须经验丰富、严谨认真且与设计无关,确保客观、公正、可靠。(2)提供项目背景资料。包括道路的勘察、设计资料,以及与道路交通安全相关的各种调查统计资料。(3)召开启动会议。与会各方商讨具体目标、阶段安排、沟通渠道等事项。(4)开展审计工作。根据收集资料进行分析评价,以及现场实地观测,发现可能存在的安全问题。内外业应同步、交叉进行。(5)编写审计报告。主要对发现的不安全因素进行逐项阐明,并提出修正建议。(6)召开完工会议。主要工作是各方讨论审计报告,需要注意的是,审计的目的在于帮助提升项目安全,对于审计提出的问题,不应进行删减或弱化。(7)书面回复。委托方对审计报告中提出的问题予以回复,可以有不同意见,但应列明充分的理由。(8)采取行动。根据书面回复的内容,修改设计或动工消除隐患。为提高时效,第3、6步的两次会议,现今常以电子邮件或网络会议方式进行,重在各方充分沟通意见、取得一致。

3 实施阶段

审计工作在各国大都分为可行性研究、初步设计、施工图设计、预通车和运营等五个阶段,文章借鉴有关文献论述,将施工阶段的审计也单独划分开来。

3.1 可行性研究阶段审计

结合路网规划、项目建议书或可行性研究报告,从安全角度查找、提出问题。

3.2 初步设计阶段审计

针对设计指标进行安全评价,同时对工程施工中可能出现的安全问题进行分析预测。

3.3 施工图设计阶段审计

相比初步设计阶段审计,本阶段的审计内容更加细化,主要考虑的是道路设计细节问题的安全性,同时要对施工中的交通管制设计方案进行安全审计。

3.4 施工阶段审计

对施工现场、施工准备与实施方案、临时交通管控、交通疏导方案进行安全审计,充分重视现场施工人员与车辆、施工区域道路使用者的安全保障问题。

3.5 预通车阶段审计

对于一般道路项目,在项目完工后开通前,为确保所有道路使用者的安全需求能等到满足,应采取驾车、骑行及步行等多种方式进行现场检查,而且应分别在白天与夜晚、晴天与雨天进行。

3.6 通车后审计

随着道路的使用,许多安全隐患可能会更直观地暴露出来,所以这一阶段的审计不论对于新建项目或是既有道路均十分重要。在着力从道路自身挖掘问题的同时,还应收集道路交通事故资料进行分析。

并非每个审计项目都包含以上各阶段,根据被审计项目的性质和规模的不同,可以选择其中的一个或几个阶段进行审计。

对于一条道路,安全审计进行得越早越好。及早发现问题,修正起来必然相对容易,在设计图纸上改动几条线要远比凿除成型的混凝土容易得多。及早消除隐患,就能减少更多的事故,减少更多的损失。

4 成本与收益

项目成本是委托方最关心的问题之一。因为目前在我国还没有比较系统、规范地进行道路安全审计工作,所以这方面的资料比较匾乏。国外部分资料显示,道路安全审计费用约为道路设计费用的5-10%,或按道路建设总费用计,不足0.5%。

开展道路安全审计的收益主要体现在有效预防交通事故的发生和减少相关损失上。国外有研究表明,经安全审计后,一条道路的碰撞事故可以减少逾1/3,节约的事故赔偿和道路设施修复费用亦相当可观。

所以相对于项目总费用,开展道路安全审计增加的费用很少而收益可能非常显著。

5 结束语

(1)道路交通安全审计是通过专业人士的职业判断,帮助把安全的理念融入具体的项目之中,有助于消除或减轻道路安全隐患。(2)道路安全审计程序严谨、规范,择优选择审计队伍、提供充足的项目背景资料、全面有效地开展现场考察和提供清晰准确的审计报告,是一个成功的项目审计之关键。(3)道路安全审计实施范围灵活方便,公路、城市道路均可适用,实施范围亦可大可小。(4)道路安全审计成本很低而收益可能非常显著。

参考文献

[1]JTG B01-2014.公路工程技术标准[S].

[2]JTG/T B05-2004.公路项目安全性评价指南[S].

[3]Asian Development Bank. Road Safety Audit Guidelines for the Asian and Pacific Region[S].

[4]Philip Jordan. The Key Steps in a Road Safety Audit. Road Safety Audit Workshop in Ningxia China, World Bank[Z].

[5]郭应时,袁伟,付锐.道路安全审计及其应用[J].长安大学学报,2005,7.

篇3

哈德利认为,防务规划者必须考虑实施战略和应对所面临挑战的能力类型。这些能力不应只限于军事资源,还应包括美国盟友、其他美国部门和机构、大学、慈善基金会以及私营企业的能力。

谈及当前财政挑战问题,哈德利表示,《四年一度防务评审》报告应基于财政不受约束的环境。报告是权衡能力需求和资源之间的有益工具,它能描述在设想的威胁环境中,如果不受财政约束的影响,如何提供安全,然后明确说明为应对财政现实需要削减的内容以及相关削减所带来的风险。

哈德利简述了制定2014年版《四年一度防务评审》报告所面临的三大挑战。

一是必须重新思考美国的反恐战略,现有反恐战略具有战术性,而非战略性。哈德利建议,报告应考虑重建反恐合作伙伴关系以及战略沟通挑战,因为随着美国撤出中东地区,美国将需要更多地依靠合作伙伴来维持地区稳定。

二是必须重新思考中东地区安全避难所的政策。人们普遍认为,10年战争即将结束,但哈德利对此提出质疑。他以利比亚、叙利亚和马里为例证,认为只有美国直接军事介入才能最终结束冲突。鉴于美国公民需要在不安全的环境中执行任务,哈德利建议加强中东地区的情报合作伙伴关系,并找到更好保证美国公民安全的途径。哈德利解释说,上述两个挑战具有一个共性,即国防部需要利用国防部以外的机构和部门的资源,以便有效实施战略。因此,《四年一度防务评审》报告将涵盖这些机构。国防部还应利用《四年一度防务评审》报告代表这些合作机构要求相应资金并支持其训练。

篇4

他们急需一种可靠的方式对企业范围内分布于Linux、UNIX和Windows系统服务器之上的数据和应用软件提供大规模的跨平台安全访问,提供所发生事件的确切证据以及安全审计,还必须确保数据的真实性。

A公司选择了CA公司的eTrust Access Control解决方案,来实现更精确的访问控制管理和无干扰的审计。通过将eTrust Access Control应用于多个服务器上,限制超级用户访问的权限,A公司能够完整地了解“谁进行了访问”和“它对相应的资源做了什么”。这种基于角色的访问从根本上降低了企业风险,减轻了IT员工的相关责任。

不同于很多系统平台只是保存不安全记录,eTrust Access Control还对访问提供了能自我保护的账户管理功能。这些记录不容易被篡改,保证了审计数据的真实性。安全审计信息被直接保存到eTrust Audit的中央收集器,用于数据整合、事件统计和审计报告。这样,A公司就能清楚地估计外部审计量的增长,及时知道是否需要为重要活动准备可信报道。

为了降低成本,A公司正将系统从UNIX逐步转移到Linux平台,随着新服务器和基础架构的引进,A公司选用了CA的Netegrity作为他们的外网访问管理解决方案,并考虑选用CA其它解决方案,如用于漏洞和补丁管理的eTrust Vulnerability Manager和合并事件日志的eTrust Security Command Center等。

B公司曾是美国保险业首要的数据来源,之后成为领先的为商业和政府决策提供信息的提供商。修订后的联邦条例对安全管理提出了更严格的要求,它要求B公司能在分布式的环境下管理和审计安全;而萨班斯法案等一些新的法规,也要求他们延长审计追踪,增强对诸如盗窃欺骗等企图的识别能力。这就要求B公司在安全管理上采取更有效的手段,来保障企业经营的法规遵从性。

B公司拥有一个多样化的环境:主机、UNIX、VMS和Windows系统一应俱存,这就需要一个能跨平台操作的安全工具。面对众多安全解决方案,B公司的首要要求就是选择一套解决方案,能在多平台的环境中进行集中管理。其次该公司要求能在不同的环境中进行安全管理时,积极应对安全事件而不是消极反应。在比较了多家安全厂商之后,B公司选择了CA公司的产品。其中,eTrust Policy Compliance能帮助B公司运行和报告、识别潜在的安全漏洞并帮助安全管理员修补漏洞;eTrust Admin则解决了美国联邦政府要求的集中管理模式,配置完成后,它能自动创建和管理所有B公司系统里的用户账户; eTrust Audit则能帮助IT人员追踪之前难以寻找到的系统内的可疑活动。

篇5

一、信息系统审计的内涵

信息系统审计的内涵与财务报表审计有较大的不同。以下通过对信息系统审计的定义、目标和类型来阐述信息系统审计的内涵。

1.信息系统审计的定义。

由于信息系统审计的发展很快,因此对其始终没有一个通用的定义。下面分别介绍三种比较有代表性的定义。(1)日本通产省情报处理开发协会信息系统审计委员会1996年对信息系统审计定义为“为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向信息系统审计对象的最高领导层,提出问题与建议的一系列活动”。该定义中强调独立性的问题。(2)信息系统审计领域的著名专家威伯教授的定义(1999)是:“信息系统审计是收集并评估证据,以判断一个计算机系统是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济的使用资源”。(3)信息系统审计影响最大的国际组织——国际信息系统审计和控制协会(ISACA)的定义是:信息系统审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率的利用组织的资源并有效果的实现组织目标的过程。该定义比威伯的更详细一些。

通过对相关信息系统审计定义的分析,本文认为,所谓的信息系统审计,是指通过对被审单位的信息系统组成部分的审查来获取和评价审计证据,由此对信息系统的安全性、可靠性、数据的完整性以及信息系统能否经济的使用组织资源并有效地实现组织目标发表审计意见。我们必须清楚的识别信息系统审计、IT审计、审计工程之间的区别。一般而言,1T审计(计算机审计)包括信息系统审计和审计工程。信息系统审计的研究对象是企业的信息系统或信息资产,采用的研究方法是传统的审计方法和计算机技术等;而审计工程的研究对象是企业的电子财务和业务数据,研究方法采用计算机技术、系统工程方法和数学理论等。

2.信息系统审计的目标审计本质上是根据审计目标对收集的证据进行分析评价并得出结论的过程。一切的审计活动都是为了实现一定的审计目标,并围绕审计目标来进行。可以说,审计目标是审计工作的“纲”。它贯穿审计活动的各个方面和审计过程的始终。(1)真实性。信息系统中的数据要真实的反映企业的生产经营活动。要通过数字签名等一系列技术手段和保留不可更改记录、定期审计等管理手段确保数据的真实性。(2)完整性。完整性信息不被偶然或蓄意的删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。完整性是一种面向信息的安全性,它要求保持信息的原样,即信息的正确生成、存储和传输。(3)合法性。系统在购买、使用、开发、更新、维护、转移等过程中必须符合相关法律、法规、准则、行规以及企业内部的规定等。(4)安全性。安全性是指信息系统在遭受各种因素破坏的情况下,仍然能够正常运行的概率。威胁信息系统安全的因素有外部和内部两种。外部主要是黑客的入侵、病毒的攻击、线路的侦听等;内部主要是被授权的用户访问和修改、删除等操作。安全性是真实性的基础之一。(5)可靠性。可靠性是指信息系统在遭受非人因素破坏或人为差错影响的情况下仍然能够正常运行的概率。威胁信息系统可靠性的因素包括自然灾害对硬件和坏境的破坏以及误操作对软件和硬件的破坏等。可靠性也是真实性的基础之一闭。(6)效果和效率。效果是指应用信息系统以后,企业在生产控制、管理质量、提品和服务等方面产生的变化。效率是指信息系统的应用在企业劳动生产率的提高方面所起的作用。

3.信息系统审计的类型根据信息系统审计的定义和审计目标,我们可以将信息系统审计分为三个基本类型:(l)信息系统的真实性审计是对传统审计的补充,防止“错”账真审。(2)信息系统的安全性审计是对企业信息资产安全性的审核,防止由信息系统造成的经营风险。(3)信息系统的绩效审计是对信息系统投入产出比的审核。

二、信息系统审计的特点

信息系统审计具有其独特的特点,具体特点如下:

1.信息系统审计是一个过程。它是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程,它贯穿于信息系统生命周期的全过程。

2.信息系统审计的对象具有综合性和复杂性。信息系统审计的对象是以计算机为核心的信息系统,它包含了除财务信息以外的其他与生产经营流程有关的所有信息系统,其实质是审计对象及内容的拓展。从纵向(生命周期)看,覆盖了信息系统从规划、分析、设计到维护的全生命周期的各种业务;从横向(信息系统构成)看,它包含对软硬件审计、应用程序审计、安全审计等。从这个意义看,信息系统审计拓展了传统审计的内涵,将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。

3.信息系统审计拓展了传统审计的目标。传统审计目标仅仅包括了“对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见”,《中国独立审计具体准则第20号——计算机信息系统环境下的审计》第四条也明确规定“注册会计师在计算机信息系统环境下执行会计报表审计业务,应当考虑其对审计的影响,但不应改变审计目的和范围”,由此可见EDP审计、电算化审计和计算机审计都没有改变审计的目标,但信息系统审计除了上述目标外,还包括信息资产的安全性、数据的完整性以及系统的可靠性、有效性和效率性。

4.信息系统审计是事后、事前、事中审计的结合体。注册会计师所执行的财务报表审计往往是年度审计,属于事后审计。而信息系统审计是事后、事前、事中审计兼而有之。如信息系统在开发过程中,由审计人员介入所进行的审计属于事中审计,此项审计相对于系统运行后而对其所进行的审计而言又可以看作是事前审计;信息系统运行后,对其在一定期间的运作情况所进行的审计则为事后审计。

5.信息系统审计的内容更加宽泛。信息系统审计包含了一切与信息系统有关的审计,除了整个生命周期过程及相关业务的审计外,随着信息技术的发展,还必将包括联网审计、电子商务审计、网站审计、ASP审计和XBRL审计等。

6.信息系统审计是一种基于风险基础审计的理论和方法。很多组织都能意识到技术带来的潜在好处,然而成功的组织还能够理解和管理好与采用新技术相关的很多风险。信息系统有着与生俱来的风险,这些风险用不同方式冲击着信息系统,审计者面临着审计什么、何时审计以及如何帮助信息系统的管理者管理和控制风险从而实现企业的战略目标的问题。

三、信息系统审计的过程

审计过程是审计工作从开始到结束的整个过程。信息系统审计一般可以分为计划阶段、实施阶段和报告阶段。由于信息系统审计的对象和具体业务不同,每个阶段所包括的具体内容与财务审计也不同。

1.计划阶段计划阶段是信息系统审计过程的起点。科学合理的审计计划有利于帮助审计人员有的放矢的去调查、取证,形成正确的审计结论,实现审计目标。计划阶段的主要任务包括:调查被审单位的基本情况和内部控制;初步评价审计风险;确定重要性水平;制定审计计划。(1)调查被审单位的基本情况,初步评价固有风险为了做好审计工作,审计人员首先应了解被审单位的基本情况。需要了解的基本情况包括:第一,被审单位的业务性质和生产经营情况。第二,被审单位的组织结构和管理水平。第三,被审单位信息系统一般情况,即信息系统的结构,所使用的软硬件和网络设施以及运行环境。第四,被审单位应用系统及其所处理的交易和事项的类型。(2)调查被审单位信息系统内部控制,评价控制风险在计划阶段,审计人员应了解被审单位的内部控制特别是信息系统内部控制,对内部控制的健全和有效性进行评估,初步确定控制风险的大小。(3)评估审计风险,确定重要性水平。为了合理使用审计资源,有效的实现审计目标,在制定审计计划时审计人员应评估审计风险,确定重要性水平。重要性水平是指在审计事项中,能够容忍出现差错的程度和大小。(4)编制审计计划。在对被审单位的风险进行初步评估,确定重要性水平后,审计人员应当编制审计计划。审计计划的内容应当包括:被审单位的基本情况、审计的范围和重点、审计的步骤和时间安排、审计人员分工、运用的信息系统审计方法、审计中应当注意的事项和其他内容等。

篇6

电子数据安全是建立在计算机网络安全基础上的一个子项安全系统,它既是计算机网络安全概念的一部分,但又和计算机网络安全紧密相连,从一定意义上讲,计算机网络安全其实质即是电子数据安全。国际标准化组织(ISO)对计算机网络安全的定义为:“计算机系统有保护计算机系统的硬件、软件、数据不被偶然或故意地泄露、更改和破坏。”欧洲几个国家共同提出的“信息技术安全评级准则”,从保密性、完整性和可用性来衡量计算机安全。对电子数据安全的衡量也可借鉴这三个方面的内容,保密性是指计算机系统能防止非法泄露电子数据;完整性是指计算机系统能防止非法修改和删除电子数据;可用性是指计算机系统能防止非法独占电子数据资源,当用户需要使用计算机资源时能有资源可用。

二、电子数据安全的性质

电子数据安全包括了广义安全和狭义安全。狭义安全仅仅是计算机系统对外部威胁的防范,而广义的安全是计算机系统在保证电子数据不受破坏并在给定的时间和资源内提供保证质量和确定的服务。在电子数据运行在电子商务等以计算机系统作为一个组织业务目标实现的核心部分时,狭义安全固然重要,但需更多地考虑广义的安全。在广义安全中,安全问题涉及到更多的方面,安全问题的性质更为复杂。

(一)电子数据安全的多元性

在计算机网络系统环境中,风险点和威胁点不是单一的,而存在多元性。这些威胁点包括物理安全、逻辑安全和安全管理三个主要方面。物理安全涉及到关键设施、设备的安全和硬件资产存放地点的安全等内容;逻辑安全涉及到访问控制和电子数据完整性等方面;安全管理包括人员安全管理政策、组织安全管理政策等内容。电子数据安全出现问题可能是其中一个方面出现了漏洞,也可能是其中两个或是全部出现互相联系的安全事故。

(二)电子数据安全的动态性

由于信息技术在不断地更新,电子数据安全问题就具有动态性。因为在今天无关紧要的地方,在明天就可能成为安全系统的隐患;相反,在今天出现问题的地方,在将来就可能已经解决。例如,线路劫持和窃听的可能性会随着加密层协议和密钥技术的广泛应用大大降低,而客户机端由于B0这样的黑客程序存在,同样出现了安全需要。安全问题的动态性导致不可能存在一劳永逸的解决方案。

(三)电子数据安全的复杂性

安全的多元性使仅仅采用安全产品来防范难以奏效。例如不可能用一个防火墙将所有的安全问题挡在门外,因为黑客常常利用防火墙的隔离性,持续几个月在防火墙外试探系统漏洞而未被发觉,并最终攻入系统。另外,攻击者通常会从不同的方面和角度,例如对物理设施或协议、服务等逻辑方式对系统进行试探,可能绕过系统设置的某些安全措施,寻找到系统漏洞而攻入系统。它涉及到计算机和网络的硬件、软件知识,从最底层的计算机物理技术到程序设计内核,可以说无其不包,无所不在,因为攻击行为可能并不是单个人的,而是掌握不同技术的不同人群在各个方向上展开的行动。同样道理,在防范这些问题时,也只有掌握了各种入侵技术和手段,才能有效的将各种侵犯拒之门外,这样就决定了电子数据安全的复杂性。

(四)电子数据安全的安全悖论

目前,在电子数据安全的实施中,通常主要采用的是安全产品。例如防火墙、加密狗、密钥等,一个很自然的问题会被提出:安全产品本身的安全性是如何保证的?这个问题可以递归地问下去,这便是安全的悖论。安全产品放置点往往是系统结构的关键点,如果安全产品自身的安全性差,将会后患无穷。当然在实际中不可能无限层次地进行产品的安全保证,但一般至少需要两层保证,即产品开发的安全保证和产品认证的安全保证。

(五)电子数据安全的适度性

由以上可以看出,电子数据不存在l00%的安全。首先由于安全的多元性和动态性,难以找到一个方法对安全问题实现百分之百的覆盖;其次由于安全的复杂性,不可能在所有方面应付来自各个方面的威胁;再次,即使找到这样的方法,一般从资源和成本考虑也不可能接受。目前,业界普遍遵循的概念是所谓的“适度安全准则”,即根据具体情况提出适度的安全目标并加以实现。

三、电子数据安全审计

电子数据安全审计是对每个用户在计算机系统上的操作做一个完整的记录,以备用户违反安全规则的事件发生后,有效地追查责任。电子数据安全审计过程的实现可分成三步:第一步,收集审计事件,产生审记记录;第二步,根据记录进行安全违反分析;第三步,采取处理措施。

电子数据安全审计工作是保障计算机信息安全的重要手段。凡是用户在计算机系统上的活动、上机下机时间,与计算机信息系统内敏感的数据、资源、文本等安全有关的事件,可随时记录在日志文件中,便于发现、调查、分析及事后追查责任,还可以为加强管理措施提供依据。

(一)审计技术

电子数据安全审计技术可分三种:了解系统,验证处理和处理结果的验证。

1.了解系统技术

审计人员通过查阅各种文件如程序表、控制流程等来审计。

2.验证处理技术

这是保证事务能正确执行,控制能在该系统中起作用。该技术一般分为实际测试和性能测试,实现方法主要有:

(1)事务选择

审计人员根据制订的审计标准,可以选择事务的样板来仔细分析。样板可以是随机的,选择软件可以扫描一批输入事务,也可以由操作系统的事务管理部件引用。

(2)测试数据

这种技术是程序测试的扩展,审计人员通过系统动作准备处理的事务。通过某些独立的方法,可以预见正确的结果,并与实际结果相比较。用此方法,审计人员必须通过程序检验被处理的测试数据。另外,还有综合测试、事务标志、跟踪和映射等方法。

(3)并行仿真。审计人员要通过一应用程序来仿真操作系统的主要功能。当给出实际的和仿真的系统相同数据后,来比较它们的结果。仿真代价较高,借助特定的高级语音可使仿真类似于实际的应用。

(4)验证处理结果技术

这种技术,审计人员把重点放在数据上,而不是对数据的处理上。这里主要考虑两个问题:

一是如何选择和选取数据。将审计数据收集技术插入应用程序审计模块(此模块根据指定的标准收集数据,监视意外事件);扩展记录技术为事务(包括面向应用的工具)建立全部的审计跟踪;借用于日志恢复的备份库(如当审计跟踪时,用两个可比较的备份去检验账目是否相同);通过审计库的记录抽取设施(它允许结合属性值随机选择文件记录并放在工作文件中,以备以后分析),利用数据库管理系统的查询设施抽取用户数据。

二是从数据中寻找什么?一旦抽取数据后,审计人员可以检查控制信息(含检验控制总数、故障总数和其他控制信息);检查语义完整性约束;检查与无关源点的数据。

(二)审计范围

在系统中,审计通常作为一个相对独立的子系统来实现。审计范围包括操作系统和各种应用程序。

操作系统审计子系统的主要目标是检测和判定对系统的渗透及识别误操作。其基本功能为:审计对象(如用户、文件操作、操作命令等)的选择;审计文件的定义与自动转换;文件系统完整性的定时检测;审计信息的格式和输出媒体;逐出系统、报警阀值的设置与选择;审计日态记录及其数据的安全保护等。

应用程序审计子系统的重点是针对应用程序的某些操作作为审计对象进行监视和实时记录并据记录结果判断此应用程序是否被修改和安全控制,是否在发挥正确作用;判断程序和数据是否完整;依靠使用者身份、口令验证终端保护等办法控制应用程序的运行。

(三)审计跟踪

通常审计跟踪与日志恢复可结合起来使用,但在概念上它们之间是有区别的。主要区别是日志恢复通常不记录读操作;但根据需要,日记恢复处理可以很容易地为审计跟踪提供审计信息。如果将审计功能与告警功能结合起来,就可以在违反安全规则的事件发生时,或在威胁安全的重要操作进行时,及时向安检员发出告警信息,以便迅速采取相应对策,避免损失扩大。审计记录应包括以下信息:事件发生的时间和地点;引发事件的用户;事件的类型;事件成功与否。

审计跟踪的特点是:对被审计的系统是透明的;支持所有的应用;允许构造事件实际顺序;可以有选择地、动态地开始或停止记录;记录的事件一般应包括以下内容:被审讯的进程、时间、日期、数据库的操作、事务类型、用户名、终端号等;可以对单个事件的记录进行指定。

按照访问控制类型,审计跟踪描述一个特定的执行请求,然而,数据库不限制审计跟踪的请求。独立的审计跟踪更保密,因为审计人员可以限制时间,但代价比较昂贵。

(四)审计的流程

电子数据安全审计工作的流程是:收集来自内核和核外的事件,根据相应的审计条件,判断是否是审计事件。对审计事件的内容按日志的模式记录到审计日志中。当审计事件满足报警阀的报警值时,则向审计人员发送报警信息并记录其内容。当事件在一定时间内连续发生,满足逐出系统阀值,则将引起该事件的用户逐出系统并记录其内容。

常用的报警类型有:用于实时报告用户试探进入系统的登录失败报警以及用于实时报告系统中病毒活动情况的病毒报警等。

篇7

关键词:风险导向审计;通信运营企业

中图分类号:F239文献标识码:A 文章编号:1001-828X(2011)12-0116-01

一、风险导向审计在工作中的实践运用

1.持续开展年度内部审计风险评估工作

风险评估与控制是风险导向审计的核心,公司自2007年在总部统一部署下,以风险基础战略系统审计方法(SSA)为理论指导,从战略和流程两方面进行经营风险分析和控制分析,从剩余风险对审计的影响角度着手,尝试探索开展内部审计风险评估工作。公司根据运营环境、业务特点以及识别的可审计对象,搭建并在实施基础上不断完善审计风险评估框架。2011年风险评估框架由企业文化管理、收入保障、市场推广及销售、采购及物流管理等17个机制流程共计255个风险评估点构成,涵盖公司策略管理机制、资源管理机制、核心管理流程等。

在风险评估过程中注重定性分析与定量分析相结合,把控评估质量。从战略、财务、市场、运营、合规的影响性和可能性角度客观评价固有风险;通过访谈、查阅、穿行测试、遵从性测试等方法对风险点的关键控制要素逐一落实,采用风险点责任单位自评与评估小组复评相结合方式,逐项评价公司风险控制水平。在固有风险、风险控制水平评估基础上计算剩余风险,并根据分值划分高、中、低风险。同时公司充分考虑近三年审计项目覆盖及审计结果等情况,进一步区分“重点关注”、“适当关注”“暂不关注”审计领域,实现内部审计风险评估目标,推进评估结果的应用。

2.以风险评估结果为导向,制定年度审计计划和项目审计计划

公司在审计计划编制过程中,融合企业风险与审计战略,确保审计方向和范围符合企业风险管理目标。在年度审计计划编制过程中,以企业年度风险评估结果为导向,根据量化的分析水平排定审计项目优先次序,并综合考虑监管机构、董事会、管理层和业务部门的意见和审计需求,提高审计工作效率和效果。如近两年来开展的重要营销资源审计、客户信息安全审计、IT风险审计项目等,既符合行业运营高风险领域特点,又满足了内外部的监管及审计需求;在具体项目审计计划中,使审计目的、范围、内容充分反映风险评价的结果,并考虑舞弊、严重错失、不合规、违规及其他风险存在的可能性,使项目计划内容完整、重点突出。

3.围绕关键风险点和控制点实施审计,提高审计效率

在审计调查基础上,根据对被审计单位内外部运营环境、内部控制的设计及运行情况、以及以往审计结论、审计跟进执行等情况的了解,以审计范围和审计内容为基础,关键风险点为导向进一步完善审计实施方案,其中审计程序要求科学、合理并具有可操作性,审计重点能充分体现确定的重要性水平和风险评估结果。同时,根据审计项目的性质和复杂程度确定审计人员数量和知识结构,并进行合理分工,确保审计项目顺利实施。

在审计实施过程中始终坚持目标-风险-控制的风险导向审计思路,贯穿内部控制管理理念,以分析性复核为基础,综合分析财务与非财务数据,并根据审计内容合理选用其他审计方法和审计抽样技术,确保审计质量,降低审计风险。

4.审计报告以风险评价为基础,客观反映公司运营管理状况

风险导向审计强调以了解被审计单位及其环境为起点进行审计,包括被审计单位的性质、行业状况、监管环境、目标战略、经营风险、内部控制等方面,审计业务的切入点是全局层面的重点审计领域,因此,审计报告首先对审计领域的整体风险情况进行客观评价,准确反映运营管理状况;其次,审计报告对具体审计发现问题从风险发生可能性、影响程度角度衡量风险大小,并从风险控制角度提出改进建议;再次,以风险再评估和风险控制为目标,实施后续跟进审计,协助公司管理风险,实现内部审计增值服务职能。

5.集合审计成果,搭建风险知识库

为充分利用审计成果,内审部将风险控制点、审计程序、历年审计情况及审计结果等内容集合贯通,着手搭建内部审计风险知识库,以实现风险点与审计测试、审计案例等相对应,形成结构化、系统化知识库,更好地提示审计风险,指导审计人员开展审计实务。

二、实施风险导向审计应注意的问题

风险导向审计的运用,有助于将有限的审计资源集中在高风险领域,引导企业合理配置审计资源,提高审计效率和效果。但其实施应注重适应的内外部环境,采取相应措施,防范审计风险。

首先,企业应加强内部控制执行力度,建立健全全面风险管理体系,培育全面风险管理文化和风险管理意识,营造风险导向审计实施的内部环境。

其次,内审部门要关注公司内外部环境变化、运营管理动态和经营风险变化等,不断优化调整年度风险评估范围和方法,保证评估范围的全面性以及评估结果的客观性,从而保证风险导向的准确性。

篇8

一、信息系统安全性审计基本概述

20世纪60年代,由于计算机被应用于财务会计领域,从而产生了电子数据处理审计(EDP Auditing)。信息系统审计是在电子数据处理审计基础上逐渐发展起来的。目前,信息系统审计的定义还在争论当中,罗恩·韦伯(Ron Weber)在《信息系统控制与审计》一书中对信息系统审计概念做出了如下描述:“信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效实现、使组织的资源得到高效使用等方面做出判断的过程。”这一概念包括了信息系统审计的目标、内容、过程、方法和结果,是对信息系统审计比较全面的概括。审计署印发的《信息系统审计指南》(以下简称《指南》)则定义为“国家审计机关依法对被审计单位信息系统的真实性、合法性、效益性和安全性进行检查监督的活动”。

信息系统审计从具体内容讲,包括信息系统的可信性目标审计、系统效益性目标审计和安全性目标审计。笔者认为,信息系统的不真实、不可信也是系统存在安全风险的体现,所以信息系统可信性目标审计和安全性目标审计可归为维护信息系统安全而进行的信息系统审计,本文主要对该部分审计内容展开探讨。

同志说过:信息安全是个大问题,必须把信息安全问题放到至关重要的位置上,认真加以考虑和解决。信息已成为社会发展的重要战略资源,信息的获取、处理和信息保障能力成为综合国力的重要组成部分,信息安全事关国家安全,事关社会稳定。目前,我国的信息系统安全不容乐观。全社会的信息安全意识不强,高端和基础信息技术受控于国外,感染计算机病毒的比例逐年上升,网络和信息系统的防护水平不高,信息安全管理和技术人才缺乏且流动性大,信息安全管理薄弱,数据不准确、不完整等情况突出。审计工作要发挥维护经济社会健康发展的“免疫系统”功能,推动国家治理的完善,就应高度关注信息系统安全性问题,从数据、信息系统和系统内控等角度,揭示影响信息系统存在的安全隐患。

二、信息系统存在安全风险的主要体现

(一)信息系统的控制风险。

COSO(全国虚假财务报告委员会下属的发起人委员会,“The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting”的缩写)内部控制框架中提出信息系统控制分为一般控制和应用控制。一般控制,指信息系统总体控制,信息安全技术控制,信息安全管理控制;应用控制,指信息系统业务流程,数据输入、处理和输出的控制,信息共享和业务协同。简单理解,信息系统控制包括对信息系统的控制和信息系统对业务的控制。《指南》中所称的项目管理审计,不属于信息系统安全性审计范畴,本文不做探讨。目前,通过了解、描述和测试三个审计阶段,采取资料审查、系统检查、数据测试、数据验证等审计方法,信息系统控制主要揭示的有以下方面风险:

一是物理环境控制风险。这类风险主要体现为未经授权的人或设备直接接触到信息系统相关硬件设备,属于传统的安全领域。包括信息系统的相关硬件设备、设备所在机房等硬件环境是否为符合规范标准的物理场所,是否做到容灾异地数据备份,是否在机房等所有必要区域内安装监控和防盗设施,以及其它硬件相关要求。如对某大型国企信息所机房及办公场所实地查看审计发现,该企业机房环境不符合国有企业计算机设备安全管理相关制度,机房入口安装了防盗门,但未配备门禁系统,内部也未按机房相关规范标准设置有效的物理隔离装置。

二是软件环境控制风险。这类风险主要存在于软件层面访问控制、权限控制、操作控制等。体现在信息系统程序的无权限运行,数据输入、输出的不准确、不完整,未经允许或授权的访问、泄漏、修改、删除数据,系统完整性受到的破坏。如某大学使用的财务软件权限设置,会计科科长、网络管理员、数据库管理员、系统管理员、记账员等岗位由同一人担任。同时,系统管理员在实施数据库数据修改、会计人员岗位分工、权限设置等具体操作时,缺乏必要的审批和监督程序。权限高度集中,监控制约不力,财务信息系统存在安全隐患。此外,当业务流程涉及多个信息系统时,还体现为信息系统数据流不衔接、各系统整合不科学、不完善,业务数据在不同信息系统之间传递没能做到真实、完整和准确等。如某省财政厅自行开发的预算编审系统、指标管理系统、国库集中支付系统等财政核心业务系统都是单独运行,各业务系统未实现有效整合,未能实现“形成以预算编制为源头,以收支管理为过程、以预算及执行分析为回路接点的财政业务管理流程通畅、操作规范的信息化处理闭环”的“金财工程”系统设计要求。

三是制度控制风险。这类风险主要存在于制度层面,体现在保证信息系统软件、硬件良好运行相关制度规范不健全。如某大型国企未制定信息安全教育及技能培训和考核管理办法;某省财政厅委托软件公司开发的信息系统“数据字典”不完整,并且软件开发公司技术人员大量流失,未建立信息系统软件开发文档等基础资料,信息系统中部分功能已经无法进行升级、维护。这些都是制度层面不完善给信息系统带来的安全隐患。

(二)系统设计完整性风险。

这种风险主要体现在信息系统功能设计缺陷,信息系统不能保证真实、完整、准确地反映业务情况。如对某市新型农村合作医疗(以下简称“新农合”)信息系统的软件设计审计发现,虽然该信息系统软件基本具备国家规范要求的八个基本功能模块,但参合管理模块对不规范、错误、重复录入参合人员信息的情况缺乏差错、重复数据提醒功能,导致系统内大量不准确、不真实参合人员数据存在,影响各级财政以此数据拨付至县级新农合的补贴款的准确性。

(三)系统外包服务安全风险。

这种风险主要体现在信息系统开发维护等相关服务外包过程中,由于相应的控制机制不健全,导致信息系统数据存在安全风险。如对某市新农合信息系统审计,发现该市新农合应用软件主要由某软件工程有限公司以软件免费、服务有偿的方式提供。延伸该软件公司发现,该公司人员在系统维护中可不受权限限制,远程登录并操作由其提供技术服务的新农合信息系统服务器,系统数据存在未经授权就被修改或删除风险。

(四)网络和信息传输风险。

这种风险主要体现在传输信息数据的介质环境不符合相应规范标准,数据传输中存在出错、被窃取、被篡改等隐患。如对某市新农合信息系统审计发现,管理单位从运营费用角度考虑,降低数据传输介质安全要求,选择网络运营商提供的普通线路,而不是价格较高的专线。普通线路是新农合数据与互联网信息数据共同的传输介质,在虚拟专用网络(VPN)、数字证书认证、电子签名、电子印章等信息安全措施方面几乎没有投入,安全性差,在此环境下传输的新农合数据,在传输过程中存在较大安全隐患。

三、信息系统安全性审计存在的突出问题及应对策略

一是审计内容凌乱。目前所出具的信息系统审计报告内容有的以保证系统数据输入、输出的准确性为主,有些以信息系统物理环境控制的审计内容为主,有些以信息系统设计完整性的相关内容为主,有些则涉及了信息系统数据文档健全、系统开发公司的技术力量、系统维护稳定性等多方面内容,等等,总之,如何保证信息系统安全,关注什么,重点揭示什么,建议什么,报告规范的写法怎么还没规范。

出现上述情况,这与我国信息系统审计的发展阶段有关。信息系统审计还处于探索发展的阶段,相应的信息系统审计法律依据还不充分,审计署出台的《指南》内容庞杂,针对性不强,还没有真正起到指导审计人员实务工作的效果。此外,信息系统审计人才队伍还不能完全满足审计需要,审计规范性要求还未成型,等等。

这就要求我们在信息系统数据安全审计的探索中,以一种科学的态度,不断总结经验,不断积累,按照计划、实施、报告三个阶段实施信息系统审计,逐步形成信息系统数据安全审计操作规范。按照《指南》总的流程规范,有针对性地对不同的信息系统的特点,如按行政事业单位、企业等分类,明确不同系统必要的审计内容和常规的审计流程是什么,以什么标准进行。逐步将成熟、有效的信息系统审计方法,固化到现场审计实施系统当中或开发成标准的审计模块,来规范信息系统审计。

二是审计数据分割。基于被审计单位信息系统数据安全考虑,审计人员一般不会在被审计单位原始信息系统中直接进行审计分析,而是将被审计单位信息系统部分数据提取后,导入SQL等其它数据库分析软件进行审计。有目的地提取数据库并进行分析,可以提高工作效率,但脱离了被审计单位的网络环境和系统平台,部分数据则无法实现模拟流转,一些在数据流转中才能发现的舞弊行为则较难发现。如基于ERP(Enterprise Resource Planning企业资源计划)管理理念所开发出的大型企业管理软件,是按照有关规定、财务准则开发的,具有严谨的流程,购、产、销、存相关程度很高。一些企业为了做假,会在ERP软件中录入虚假数据,导致账实不符。企业为了让虚假数据通过软件验证功能,会人为打断ERP软件一些业务流程设计。如果审计人员对个别数据库进行分析,舞弊行为一般较难发现。但如果在模拟业务平台中按流程测试,执行到某一环节,软件某一模块缺乏或参数设置异常,则应作为审计重点。

这就要求面对较为复杂的信息系统,审计人员应当尽可能恢复被审计的信息系统环境,通过符合性测试和实质性测试审计方法,顺着数据流检验信息系统的完整性,查找可能存在的舞弊行为。

三是对信息系统前瞻评价困难。审计实务中常常遇到某部门或单位投巨资开发的信息系统因不能满足业务需要或者不符行业设计规范而停止使用,新旧信息系统间数据进行大量迁移,甚至原信息系统数据则无法再进行查询、利用,这对信息数据安全也产生很大影响。而与之相对照,审计人员对信息系统功能和数据关注较多,对该信息系统发展前瞻性评价较少。

这就要求审计人员在充分熟悉被审计单位信息系统的基础上,结合被审计单位业务特点、行业的信息系统开发设计规范要求,对被审计单位信息系统建设提出战略性的发展建议。

四是整改困难。信息系统审计中发现的一些安全隐患,有些是可以让被审计单位加强管理或以技术手段弥补漏洞的,但有些问题可能会影响到整个信息系统的架构,整改成本高,被审计单位接受难度大。加上审计目前还没有对信息系统定性的规范,也没有强制手段让其对信息系统进行完善,这就使整改难度大。这就要求审计人员更加深入了解被审计的信息系统,提出针对性强、科学的整改建议,推动被审计单位以最小的成本进行审计整改。

篇9

1防微杜渐,定期备份会计资料

会计信息之所以不完整、有残缺很大程度上是由于企业安于现状,怠于发现一些自然因素导致的线路老旧、设备退化等问题。一旦不可预见的灾难发生,不仅安全无法保障,会计资料更是无从考证,覆水难收。因此,企业应防微杜渐,定期检查硬件设施,更换设备、整修电路和老旧设施。纸质保存的会计资料要保管妥当,注意防火、防霉变。对电算化的会计资料更要及时定期备份,以防止突发状况,如灾害、设备故障等都容易对会计信息造成毁灭性的打击。

2软件技术及时更新升级

科技飞速发展的今天,随着电子计算机的产生,各类会计电算化软件也已本着“简化会计工作”的宗旨得到了广泛认可和使用。作为会计人员喜闻乐见的工具软件,面对更新换代如此之快的电子领域,如何保障自身技术不会被淘汰,唯有不断创新改造,以软件用户感受为改进方向,查漏补缺,使软件漏洞逐步减少,真正做到全面化、智能化、快捷化。企业也要注意定期更新会计软件版本,并请专人负责会计系统维护,降低会计信息系统崩溃风险,减少由软件落后带来的不利影响。

3提高会计人员素质和道德自律

电子商务融入企业经营活动,为企业会计人员提出了更高的要求。一方面,电子化的会计资料在提供便捷的前提下也无形增加了技术性,要求会计人员不单要有扎实的会计理论知识和实务操作能力,更要掌握相关的计算机技术,毕竟会计电算化在各行各业普及是大势所趋。另一方面,在电子商务的大背景下,会计信息风险增加,财会人员在保证数据合法、完整、可靠的前提下,更要有良好的自律意识,用法律道德规范约束自己的行为。

4完善信息加密技术

将会计原始凭证和记账凭证等明细信息送上网络进行各利益相关者的信息交换是未来发展的方向。然而电子商务存在的不安全性最致命的就是保密性不强。对于会计信息的网络传播如果没有安全可靠的网络环境和系统扶持,是不可行的。因此,应当在信息传递过程中运用密码技术使信息得以保护,非法用户无法获取真实信息。一方面要对会计人员登录会计处理终端进行数字签名,并比常规签名要更加有效有保障。另一方面对传输的数据进行加密,将每次传输的信息“上锁”。也许未来可以发展至将每项数据都运用不同的密钥保护,不过对繁琐的过程进行简化的方式仍需不断探索。

5开发适用于电子商务环境的审计软件

电子商务环境下的会计信息时刻处于动态的复杂环境中,会计风险明显加大,因此相关审计工作的要求也提高了。需要设计一个适用于电子商务环境的审计软件来时刻监控会计处理进程中存在的隐患和不安全因素。根据实时监控的记录与报警相应的结果,随时评估网络使用情况、可疑的迹象等,提供适应电子商务环境的网络安全审计报告。

篇10

    从现代企业制度的构成来看,会计内部控制不仅是建立现代企业制度的需要,同时也是现代企业制度的重要组成部分。内部控制的主要目标是控制企业风险,有些单位监督评审主要依靠内部审计部门来实现,而内部审计部门隶属于财务部门,企业与财务部门同属一人领导,内部审计在形式上就缺乏应有的独立性,使得企业内部控制不能全方位防范和控制企业经营风险。控制范围涉及时间和空间,内部控制延伸的空间存在较大的随意性,而受时间、人力和控制成本所限,开展全面内部详查显然是不可能的,内部控制只能采取重点抽查,这样无疑影响到对权力制约和监督的广度与深度。为了获得利润,一些部门掌权者操纵和调节单位收入、成本的时间和金额,出具失真的会计信息。另外,有些部门虽然建立了内部控制制度,但重经营,轻管理,对外部环境和经济业务等变化缺乏预见性,导致其管理滞后,内部控制制度缺乏科学性和连贯性,难以发挥应有的功效。为此,必须加强对经营者的管理,建立完善一系列的管理制度和措施。

    一、部门财务审计松懈的成因

    1.知识经济对财务审计假设的冲击。部门财务审计假设需要以会计假设作为重要参照依据,然而,在知识经济条件下,会计理论中的四大假设正面临着严重冲击。第一,会计主体假设面临的冲击。当前,以信息网络为依托的虚拟企业大量兴起,不仅突破了地域空间对企业经济交往的限制,而且也使得企业的外延界定更为困难,导致会计主体假定不清晰。第二,持续经营假设面临的冲击,会计主体在知识经济环境下,处于竞争日趋激烈、风险日益加大的境地,使得企业受外部环境影响较大,随时可能出现中止、清算、破产的状况。第三,会计分期假设面临的冲击。会计分期假设难以满足现阶段信息使用者对会计信息随时、及时使用的需求,无法充分发挥会计信息为决策及时提供依据的重要作用。第四,会计货币计量假设面临的冲击。因货币种类不同而发展的物价变动会计和外币业务会计,对会计货币计量假设带来了威胁,同时预测非货币性信息对于衡量企业发展潜力越来越显其重要性,这也在一定程度上动摇了货币计量假设。根据以上分析可知,知识经济对会计假设造成了严重冲击,同时也间接地影响了财务审计假设的建立。

    2.财务审计内容滞后于财务会计的发展。知识经济时代下,企业在生产经营中的无形资产比例不断提高,如商誉、知识产权、人力资源等均成为了企业重要的无形资产,对于提高企业核心竞争力和经济效益起着不可忽视的作用。同时,由于金融工具的不断创新以及社会责任会计的产生与发展,致使知识经济不仅增加了审计工作内容,而且对审计工作提出了更高的要求。然而,当前财务审计明显滞后于财务会计的发展,没有针对财务会计的变化及时作出审计内容的调整和拓展,从而导致财务审计工作不完善,出现审计松懈。

    3.计算机的运用模糊了财务审计线索。财务审计线索是审计工作顺利开展的基础,审计人员通过跟踪审计线索,遵循审计程序,审核相关经济业务,收集审计证据。知识经济时代转变了传统的手工会计核算方式,会计人员只需将财务原始数据及其相关信息输入财务软件,便可以利用计算机完成从记账凭证生成到财务报表输出的全过程,其中产生的全部数据均可以由计算机进行自动处理。这种方式模糊了财务审计线索,不仅增加了审计调查取证的难度,而且也容易造成部门财务审计的松懈。

    4.财务审计制度的局限。在信息化条件下,财务审计的方式方法和审计内容均发生了变化,致使整个审计工作流程也必须重新调整。然而,当前审计制度没有针对这些新情况、新变化及时进行完善和修订,从而导致部分审计工作出现无章可循的状况,没有给予审计工作充足的制度保障和约束,造成了财务审计松懈。审计制度作为整个权力制约和监督体系中的重要一环,受其职能所限,对权力的制约和监督不可能面面俱到,在对权力的审计监督中遇到的问题形形,目前仍无完善的法律条文来评判,对行使权力应负的经济责任也无法作出规范的审计评价。

    二、治理部门财务审计松懈的对策

    1.转变部门财务审计观念。知识经济时代,部门财务审计应当转变传统的审计观念,以应对财务会计的发展,满足财务审计信息使用者的新需求。第一,树立部门财务审计服务观念。现阶段,我国大部分企业的内部管理日趋规范,内部审计工作也在不断完善。为此,部门财务审计工作不能仅局限在核查账目这一范围内,而是要立足于企业内部管理的实际需要,积极为企业管理和效益服务,并将监督与评价工作的开展建立在服务的基础之上。这就要求财务审计人员不断强化自身的服务意识,更新观念并拓宽审计领域,以此来帮助企业实现价值的再增值。第二,增强部门财务审计的导向作用。部门财务审计工作还应开展多项管理审计,如成本控制审计、投资项目效益审计、全面预算管理审计等等,借助对部门财务管理的分析和评价,为部门提出实现经济效益最大化的建议,这有助于部门财务审计向服务型、增值型和导向型审计的跨越。第三,发挥部门财务审计信息预测功能。随着财务审计信息使用者日趋多元化,如投资者、债权人、企业员工、工商税务部门、金融证券机构、银行等,他们对信息的需求复杂多变,既要求审计报告信息具备公允性和真实性,又要求审计信息具备评价性,满足公众对信息的需要。

    2.转移部门财务审计重点。知识经济时代,信息网络和全球经济一体化的进程不断加快,在这样的背景下,为了进一步适应会计信息化和网络实体化,有必要转移部门财务审计重点,具体可从以下两个方面着手:第一,部门财务审计应当从原本的仅重视财务审计向财务审计与管理审计并重方向转变。大部分审计团体本身都拥有审计、会计、税务等方面的专家,他们对客户的内控制度和财务管理系统也都比较了解。为此,审计工作除了应当做好对财务报表的审计之外,还应渗透到相关的管理活动中去,这将会成为未来时期部门财务审计工作的主要发展趋势。第二,应将审计工作的重点从有形资产审计向无形资产审计转变。目前,人力资源、信息和知识已经逐步成为经济发展的关键要素,同时总资产中无形资产的比例也越来越大,其地位和作用也越来越明显,这使得信息使用者对这部分资产的关注程度越来越高,其已经成为会计核算的重点,财务审计工作也必须将此作为重点,确保信息使用者的利益。