审计基本要求范文

时间:2023-08-17 18:15:00

导语:如何才能写好一篇审计基本要求,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

审计基本要求

篇1

1、动作选择性:首先由故障设备或线路本身的保护切除故障,当故障设备或线路本身的保护或断路器拒动时,切断系统中的故障部分,而其它非故障部分仍然继续供电;

2、动作速动性:保护装置应尽快切除短路故障,其目的是提高系统稳定性,减轻故障设备和线路的损坏程度,缩小故障波及范围,提高自动重合闸和备用设备自动投入的效果;

3、动作灵敏性:在设备或线路的被保护范围内发生金属性短路时,保护装置应具有必要的灵敏系数,通过继电保护的整定值来实现。整定值的校验一般一年进行一次;

篇2

1、人均国内生产总值超过3000美元。这是建成全面小康社会的根本标志。

2、城镇居民人均可支配收入1.8万元。

3、农村居民家庭人均纯收入8000元。

4、恩格尔系数低于40%。

5、城镇人均住房建筑面积30平方米。

6、是城镇化率达到50%。

7、是居民家庭计算机普及率20%。

8、是大学入学率20%。

9、是每千人医生数2.8人。

篇3

基础类大学本科排名:16

本科托福成绩最低要求:80

本科:申请人托福总成绩不低于80分。

加拿大布兰登大学简介:

布兰登大学是成立于1899年的公立大学,学生2605人。学校社区安全,属于小型大学,全加大学部排名十六,音乐系非常著名。

中文名称:布兰登大学

英文名称:Brandon University

学校原名:布兰登大学

所在国家:加拿大,马尼托巴,布兰登

学校排名:1-20名。

布兰登大学位于加拿大马尼托巴省布兰登市。该市是仅有 40,000 人口的友好小城布,它是加拿大历史最悠久的大学之一,建校于 1899 年,在校生 3,000 余人,设 30 多个系,以音乐和艺术类专业著名。教学传统以人为本,学术氛围浓厚。大学的音乐学院建院历史悠久,教学设备先进。同时视觉艺术、艺术创作、戏剧等专业也是该校的强项。

国内高校排名

全球高校网 国家高校排名 61

全球高校排名

韦伯麦特里克斯网 世界大学排名 1804

语言要求

大学TOEFL550分或IELTS 6.5分以上。

外语语言和预科学习

本科申请条件

开学时间:每年1月、9月

申请截至日:每年4月1日、8月1日

TOEFL分数要求:80.0

高中GPA:3.0

研究生申请条件

开学时间:每年1月、9月

篇4

1.内部审计重要性认识不足。

笔者对广西教育系统部分高校调查了解,结果表明:只有一半的高校设立审计部门,这其中有三分之一是与纪检、监察合署办公;审计人员大部分是从财务岗位劝退转型的,一部分审计人员还兼任学校其他管理岗位。调查显示:某些校领导认为公立高校属于全额拨款预算单位,不象企业存在风险问题,内审工作可有可无,没必要设立独立部门和配备专职专业人员。

2.内部审计信息化水平过低。

由于受到环境、人才、硬件、软件等多种因素的制约,中国的审计信息化发展远远落后于会计信息化。比如广西教育系统的财务部门基本上采用会计电算化软件,业务部门采用信息管理系统,这些信息技术比较成熟,更新升级的速度快,但是相对应的审计部门主要采用手工审计,计算机起到辅助作用,并没有一个成熟的审计软件能赶得上审计对象的变化少数高校也采用审计软件,但事实证明实用性不强,使用效果不理想。原始的简单的审计方法适合于传统的制度导向的财务收支审计,根本无法满足现代风险社会和现代科学技术进步对内部审计的基本要求,无法进行涉及各种环境因素的综合风险分析及防范。

3.内部审计制度建设不到位。

尽管审计署2007年以来了《国家审计数据中心基本准则》和一系列专业审计数据规划,以及2008年通过建立审计方法目录体系和审计方法规范要素而完成了计算机审计方法体系的标准规范工作,但是各施各法的内部审计执法行为可能隐藏着会计信息真实性、完整性和审计作业安全性、科学性、审计证据可靠性及审计报告恰当性等背后的各种审计风险。信息化背景下内部审计工作环境发生了根本变化,工作中出现的新情况新问题,因计算机审计的范围、目标、程序、技术、方式等缺乏法律法规的明确规定而导致在审计实践中遇到了很多的障碍。

4.内部审计风险更趋复杂化。

在信息技术普及化、信息交流全球化和信息传输自动化的背景下催生了会计核算电算化以及内部审计信息化。这种背景下内部审计,审计环境更趋复杂化,审计数据采集难度、审计证据的充分性、信息系统的成熟度与安全性、审计人员掌握计算机专业知识与技能的熟练度等审计因素,均有可能使得审计风险在审计业务发生前就已经产生或存在。

二、内部审计风险防范措施建议

1.与时俱进,更新理念。

对于内部审计的负责部门,应做好内部审计制度建立和完善工作,形成完备的内部审计制度体系,避免出现以领导的意图作为内部审计工作的基本要求的情况。对于被审单位,要树立主动接受内部审计的意识。只有这样,才能不断提升从传统的查错防弊到现在的价值增值管理服务的内部审计内涵。

2.重视技术,坚持创新。

随着信息时代的迅猛发展,内部审计人员的工作理念必须随着内部审计标准、审计方式、审计手段、人员要求、审计目标等变化而与时俱进,必须从传统的手工作业转变为现代内部审计的办公自动化系统、审计项目管理系统的信息化轨道上来,实现由财务控制逐步向业务控制和信息系统控制转变,以计算机及其软件技术、网络通信技术、集成技术、数据管理为依托,重视科技知识与技能在创新内部审计方法上的作用。

3.完善制度,健全体系。

广西教育系统内部审计风险防范工作应尽快研究制订适应本地本系统发展现状的、统一的审计准则和标准,这些准则和标准应当包括内部审计工作标准、风险评估、系统评价、内控评价、人员资质以及审计技术、基础设施、系统流程等方面的规章制度、业务规范和管理体系。不仅仅从战术上对广西教育系统内部制制度进行健全性和符合性测试,继而识别风险并进行有效防控,而且要强调审计战略,应虑广西教育系统内部的各种环境因素,强调财务审计与绩效审计等多种审计模式融合成一个整体体系,以达到审计工作的效率性和效果性。

4.强化培训,打造队伍。

广西教育系统内部审计风险防范工作质量很大程度上取决于所打造的内审队伍的综合素质。培养满足广西教育系统内部审计风险防范工作要求的、财审专业知识与实践经验和计算机技能交融的复合型内部审计人才尤为重要。应通过多种途径培养和培训内审人员的综合素质与能力,诸如加强审计理论研究及其成果转化,以科研促进审计实践,理论研究指导审计实务,并进行考核评价,以适应时代对内审人员的基本要求。

5.注重分工,强调效率。

根据亚当.斯密(AdamSmith,1776)著名的劳动分工论,广西教育系统内部审计风险防范工作可以充分利用社会优质的专业审计资源如审计中介机构,将部分风险程度高以及我们力所不能及的业务项目(如大型基建审计项目或者是巨额融资项目等审计成本高相对较高、专业分工相对专业的审计业务实行内部审计外部化,外包给社会专业机构,不但可以转移和规避审计风险,增强内部审计的权威性和公信力,而且可有效提高审计质量与效率。

三、结语

篇5

关键词:水利建设项目 财务审计 可持续发展

目前我国水利建设项目进行财务审计大多采用事后审计的方式,将预决算审计作为工作的侧重点,这种做法虽对于控制高套定额、严格规定取费等方面具有一定的管控作用,但却不能实现从根本上控制造价的目的。基于水利建设项目的诸多特征,通过国家及地方政府财政拨款、自筹或贷款等资金筹措方式,加上自然环境、交通条件、地质结构复杂等施工难点,使较多水利工程项目预算和造价的真实性和准确性难以核实。因此,必须做好水利建设项目全过程的审计工作,变事后监督为全过程监督和控制,以确保从根本上控制整体工程造价,实现质量、资金、人员的“三安全”。

一、审查项目资金是否到位和投资效益情况

较多水利建设项目工程由于建设资金不能及时到位和有效落实,只能通过降低工程支出以压缩投资成本,使水利建设工程不能依照设计及工期要求保质保量完工,最终为整体工程质量埋下了严重隐患。这样的水利工程不符合设计和水利工程施工规范的要求,近期来看虽然也能投入使用,也可以解决一些短期内的若干问题,但就长远利益分析看,基于工程质量隐患的存在,其使用寿命根本达不到设计标准的规定,加之运行过程中会耗费更大的维修、维护成本,而且这些工程使用不久就会重建和二次投资,继而造成资金的严重浪费,从一定程度上抑制了地方经济的可持续发展。因此,在招投标和拟建一项水利建设项目工程时必须做好充分、严格的科学论证,并且确保建设资金要及时到位和有效落实,这样才能有效避免投入资金的严重浪费和损失。

二、审查施工单位是否合乎项目建设的基本要求

严格审查施工单位的资质证书、建筑等级证书等重要资料,核查施工单位是否依据自身资质和建筑等级规定的要求进行承包范围内的施工,是否有越级承包、违规转包、借用资质和非法分包的行为;审查施工单位的施工能力和管理水平是否完全符合水利建设项目施工的基本要求;审查是否有通过收取回扣、收取中介费和行贿等不当手段承揽工程任务的情况;审查施工单位是否依照相关规定如实缴纳税款。如果发现存在上述一些问题,必须按照法律法规的要求予以严肃处理。

三、审查项目工程预算、决算是否真实与合理

要核实概预算是否有多列支出、错估冒算和搞违计工程的不良情况,确保施工现场建筑与设计施工图纸的严格认真核对,核查概预算、设计是否符合规定标准,避免发生超标准建设和严重耗费现象,必须严格审查因设计、施工变更产生的概预算调整,同时还要核查变更、调整的资料是否齐全,工程预算是否高套定额和虚增造价,预算取费是否完全符合国家相关法律法规及行业的基本要求;进行工程款决算时,审查工程价款结算是否有高估冒算、偷工减料和虚报工程款等问题;应核查建设单位是否依据合同条款规定足额支付工程款,是否有先行支付或拖欠施工单位工程款的情况,建设单位与施工单位是否办妥竣工验收手续,审查建设单位是否依据相关规定留有质保金,是否对于水利建设资金实行财务上的单独核算,是否存在与其他项目资金混用,挪用、挤占水利建设资金的问题。只有做好认真、严格的核查,这样才能确保工程预算、决算的真实性、合理性。

四、审查项目工程的施工要求与监管是否符合国家相关规定

水利建设项目多由地方政府及水利部门、下属职能部门等承担建设与管理的职能,在工程设计、施工、监督和管理等方面存在一定隶属关系。当水利工程在费用支出时大多偏袒于部门内部人员的利益,由于监督管理执行力度不够,继而工程出现入不敷出、资金耗费的现象,在审计这类问题上难度系数较大。同时审计部门尚未达到各环节都面面俱到的程度。因此,解决这些问题主要还要加强水利主管部门内部管理,必须严格贯彻和执行国家相关法律法规的规定,实现工程各环节的公开和透明,对于工程设计、施工和监理等单位要实施公开招标的形式择优选择,这样才能确保项目工程的顺利开展。

五、审计时间应在建设各阶段适当介入

项目开始初期应该将审计时间的介入提前,从整体项目绩效审计的结果分析来看,施工前期投资决策、设计的审计较为关键,因而审计部门应与建设部门协调好各方面关系,将审计时间、关口前置,以确保审计监督功能的实现。施工期间应严格掌控两段关键时间,主要是隐蔽工程封闭前和工程主体为完工的时段,审计时间界定于隐蔽工程封闭前,可有效确保有关验收资料的准确性和真实性。将审计时间界定于主体工程未完工之前进行实施,可完全掌握施工的现状及费用耗费情况,增强对于工程整体的全面认识,并对于设计、施工变更和调整,以及工程量的准确性和真实性进行认真核实。因此,应依据工程实际情况合理掌控审计时间的准确选择和介入。

六、强化对于内部控制制度的严格审计

当前应加强对于水利建设项目工程的整体监督和管理,尤其对财务内控制度要做好严格、全面审计。审计应从三大方面加以严格控制,第一,严格各方面责任制的管控,主要指招投标、项目法人、资本金、合同管理以及建设监理等方面责任制。第二,严格项目建设流程和程序的控制,主要指建设全过程投资控制、进度控制和质量控制等方面内容。第三,严格现场控制,主要是授权控制、计量签证控制、设计变更控制等。通过对以上三大方面的全面审计与评价,能验证内部控制制度的有效性和可行性,突破和强化内部控制中的关键点和薄弱环节,进一步强化建设单位内部控制制度,很大程度提高了项目建筑施工管理水平。

七、建立和完善专家引入机制,进一步提升审计水平

对于绩效审计的专业人员的工作能力和水平是否符合审计的基本要求,西方发达国家则采取审计咨询委员会的形式,主要是构建稳定的审计专家库,其中成员均为审计系统内部具有多年实践经验、知识丰富、洞察力强的专家。在审计工作的实施过程中,他们可以提供给审计组有力的建议和帮助,同时审计人员也主动向专家寻求各方面参考、建议、指导和技术资料,以保证审计工作严格执行。因此,我国水利建设项目应逐步建立和完善行业专家的引入机制,以确保整体审计水平的进一步提升。

八、结束语

总体来说,有效加强水利建设项目的财务审计工作,已经在各种水利建设项目中取得了显著的管理效益和较大的经济效益,只要做好审计工作与施工、建设和监理等方面的有效配合,遵循审计的独立性原则,将内部控制作为审计重点,科学合理设置审计时间和跟踪点,建立符合水利建设项目实际情况的审计管理制度,贯彻和执行规范化、合理化的审计程序,建立一套完善的审计质量保证体系,确保逐步实现水利建设项目财务审计的规范化、科学化、制度化。

参考文献:

[1]周丽君.论水利工程建设项目内部审计[J].云南水力发电,2012

[2]湛新慧.试论水利建设项目全过程造价控制及跟踪审计[J].建筑知识:学术刊, 2012

[3]詹琴容.纳溪区审计局全程跟踪黄桷水利工程部分项目审计[J].现代审计,2011

篇6

关键词:预算执行审计 审计风险 防范

随着国家经济的发展壮大,国家宏观经济形式的变化给国家预算执行审计带来了更大的挑战。民众对国家预算支出的关注也为预算审计的结果公开透明化提供了理由。针对当前中国政府的财政行为和审计行为的现状,加大对财政预算审计风险的控制是避免不科学审计严重后果的必然。国家审计部门的不合理预算审计将影响决策层的基本财政方针,影响到全国的经济发展稳定,甚至影响国家经济在世界经济的地位。

一、加强预算执行审计风险的必要性

我国的经济发展越来越快,财政性的大幅投资频率也在逐年增加。国家4万亿刺激经济的大手笔就是对这种判断的最好诠释。但是公众对财政投资的方向质疑也随之发生。大笔投资投往哪里?投资的过程由谁监督执行?如何防范投资风险?如何实现投资回报最大化?这些问题都是公众给审计部门提出来的。在当前我国经济发展不平衡,国家宏观调控难度增加的今天,控制预算执行风险就显得尤为重要了。由于我国审计的历史原因和当前体制的客观原因,导致国家审计的专业不足、独立性不强、审计深度难以达到、审计范围受到局限。国家审计专业人员的数量不足,审计工作量巨大、时间紧,审计队伍整体综合能力低等问题都制约了当前中国的审计风险控制能力。在世界经济逐渐融为一体的今天,要维护国家经济安全,确保经济平稳发展,加强国家审计队伍的建设,提升升级风险控制能力;建立健全审计风险控制机制,对维护政府权威和公信力至关重要。

二、预算执行审计风险控制的基本要求

(一)坚持预算执行审计主体为先。所有的经济活动的发起点都是人,所以所有预算执行审计的主体——人,必须得到相关行业标准的严格把关,将素质最高、综合思维能力最强、业务水平最好、道德水平最高的审计人才资源纳入国家预算执行审计人才团体中。用最强的责任风险意识、最全面的业务知识和最权威的预算审计执行力保证财政支出的有效控制。所以说,任何一笔国家的财政支出经过最严格的把关后才能投入国家的经济大环境中。

(二)坚持预算审计制度。制度是保障,制度是防范风险的有效载体。预算工作人员在执行预算审计的过程中需要运用到审计相关的各种知识,但是,由于人脑的思维有限性和非全面性,执行的预算审核难免出现偏颇。只有严格按照制度的规范有条不紊地执行,杜绝主观负面因素的影响,才能实现预算执行审计的科学化和合理化。

(三)坚持预算执行审计复核为辅。任何一个预算执行审计方案的公布和实施都必须经过复核,要多方采纳意见,合理把握尺度,以期将最优化的方案向社会和公众公布,在公布预算执行审计方案后,还必须保持采纳意见和修改的预备方案,在财政资金的使用过程中不断优化,在优化中实施,在实施中再优化。

三、预算执行审计风险控制的措施

(一)要不断提高审计人才队伍的素质。这既是当前国家审计的基本要求,也是市场经济发展的必然要求。我国的审计工作人员仍然是定岗制。事实上,长期定岗不仅会造成人才职业疲劳,滋生惰性,还会滋生腐败。任何一笔预算资金的执行审计都要通过审计人员的工作完成,且容易受到审计人员个人因素的影响,可能引发审计单位内部腐败。最常见的就是审计人员和预算资金可能受益方相互沟通,影响预算资金的使用效果。必须加强对审计工作人员的道德素养和业务素养的培养,用高道德水准约束,用高薪约束,保证审计人员心无旁骛。

(二)要提高预算执行审计结果的公开度和透明度。经济体制改革、财政体制改革、预算体制改革,三者虽然范围由大到小,但是影响却是环环相扣。必须增强预算审计结果的公开度和透明度,通过这样的措施提升民众对政府的信任度。一笔预算资金如何使用,用到哪里,用多久,这些问题都是预算审计结果中必须详细体现的。只有这样才能减少投机倒把,减少政府内部腐朽势力的干预。

(三)要健全预算执行审计的质量控制机制和体系。预算审计的执行不同于其他经济行为,它直接涉及到审计对象所面临的风险程度。必须从严查审计源头、控制审计过程、严格考核审计结果来保证审计的整体质量,对预算执行审计的对象要建立数据库,建立研究机构,掌握风险规律。要讲审计对象数据库、审计人才系统、审计经典案例、审计考核等因素构建完成的审计体系,保障预算执行的风险最小化。

(四)要创新预算执行审计方法,提高审计的效率以控制风险。不仅要运用当今世界最先进的、最系统的审计研究成果,也要通过对国家经济的整体把握总结出预算执行审计的实际效率。要讲风险控制最小化作为预算审计创新的起点,追本溯源,发现新方法、积累新经验,综合运用各个领域的先进技术和成果,为预算执行审计风险控制提供有利条件。

(五)要抓住重点做审计。针对当前中国最主要的社会问题—财富分配,预算执行审计必须学会把握重点。其中最需要抓好的就是财政转移支付。对财政转移支付必须要加强预算执行审计。因为在财富的分配过程中,转移支付是受人为因素影响最明显的一环,是最难以确定的一环,是机动性最强的一环,是使用效率最低的一环。抓好转移支付的审计能够最大化地提升国家财政资金的使用透明度。

最后国家还要加大预算执行审计的经费投入,加强对审计部门的重视程度,加深与其他先进国家审计部门的交流与合作,最重要的是赋予审计部门更大的独立审计力,保障审计部门敢于审计、善于审计、乐于审计。

参考文献:

篇7

[关键词]注册会计师 会计师事务所 人才培养

一、注册会计师发展前景

1. 中国市场人才需求总趋势。近几年来,报考注册会计师的人数逐年增多,报名人数近六十万,而每科的平均通过率却只有10%左右,注会考试的高门槛是一方面原因。更深层次的原因是我国的人才市场需求所驱动。

我国加入WTO之后,改革开放进入一个新阶段。在市场经济条件下,会计师的业务范围得到不断拓展,已经从过去单纯的会计报表审计工作,进一步扩展和延伸到盈利预测审核、内部控制审核、会计报表审阅、会计咨询和会计服务等领域,服务对象已从最初的“三资”企业扩展到股份有限公司和国有企业。这些企业希望得到会计师事务所提供的高质量服务。所以,对注册会计师服务不仅在数量上,而且在质量和内容上都有巨大的需求。

2. 中小型会计师事务所的崛起。一般而言,会计师事务所对地方高校注册会计师专业的人才需求体现出较强的战术型特征,为了寻求自身的发展,往往采用差异化营销战略,其业务定位主要考虑事务所的人力资源、公共关系资源、专业技能优势。首先以主业为根基,由内而外顺势而为,逐步实现捆绑式经营。中小型事务所吸收的后备人才也主要是充实助理审计工作岗位,协助注册会计师开展一般业务的审计、审阅鉴证服务或执行较低层次的商定程序与管理咨询服务。

3. 复合化人才培养需求。随着全球经济一体化,国际经济活动的重心从国际贸易向国际投资和国际筹资方向转移,公司业务跨国化。大量出现的跨国公司审计、管理咨询和国际税务筹划等业务必然会对注册会计师的国际商法、国际金融、国际税收、国际投资和外语等知识提出新的要求。注册会计师还需要采用先进的技术和方法为客户提供方便的服务和及时准确的信息。

注册会计师又是知识密集型行业,人才是知识的载体,作为注册会计师的后备人才应该具有良好的知识背景,能不断地接受和补充新的知识内容。因此,高素质,具有较强的适应能力和决策力的应用型专业人才是学校培养的重点。

二、注册会计师专业方向人才培养的基本要求

在2007年4月,中国注册会计师协会在《中国注册会计师胜任能力指南》(征求意见稿)中明确提出了注册会计师应当具有的专业素质和实务经历,作为注册会计师培养和选拔的衡量标准。注册会计师专业方向人才培养的基本要求可概括为以下几个方面:

1. 思想道德素质。诚信是市场经济的基石,是注册会计师的立业之本。注册会计师专业人才必须恪守独立、客观、公正的原则,不屈从任何压力,不谋取个人私利,做到“诚实守信”。

2. 专业素质。注册会计师执业具有很强的专业性和技术性,这就要求注册会计师专业人才不仅要系统地学习会计、审计及相关专业知识,还要学习工程技术知识,并能理论联系实际,学以致用,提高实际操作水平。

3.政策水平。市场经济是法制经济。注册会计师专业人才必须熟悉国家财经法律、法规、规章制度,掌握会计、审计理论及本行业业务的管理知识。

4.组织能力。注册会计师必须具备一定的领导才干和组织能力,才能组织好会计师事务所的业务,不断开拓新市场、新业务,处理与协调好事务所内外关系。

5.创新能力。加入WTO后,会计师事务所积极扩展海外审计业务,随着先进审计测试手段的应用,注册会计师服务的范围越来越广。因此,注册会计师专业人才要具有创新能力,要不断开拓、锐意进取、积极参与国际市场竞争。

6.身体和心理素质。注册会计师在执业活动中劳动强度大、技术难度高,并承担着处理各种利益关系的重要任务,在依法行使职权时往往会受到各方面的阻挠和干扰。因此,注册会计师专业人才必须具有良好的身体和心理素质。

三、本科院校注册会计师专业方向人才培养现状及存在的问题

1.培养模式与社会需求的错位。目前22所高校大都对注册会计师专业方向培养直接采用注册会计师考试用书持反对意见,认为学历教育不同于资格教育。各高校之间思想不统一、认识较模糊,甚至出现了同一学校不同教师采用不同的教材、讲授不同的教学内容的现象。有的高校认为注册会计师专门化教育培养就应该鼓励学生参加注册会计师考试,并为学生参加资格考试创造积极的条件,因此在教材选用上坚持选用注册会计师资格考试教材。但由于现行的注册会计师考试侧重对国内相关准则制度的熟悉程度,包括对细节内容掌握的准确性的考核,使得教师在授课过程中偏重于解题技巧的讲解,而忽视了对学生综合能力的培养。强调就业去向的多元化而弱化该专业人才培养的本来目标,急功近利的培养模式只会导致人才后劲不足。

2.师资配置不合理、经验欠缺。注册会计师专业人才培养的基础是教师素质的提高。由于该专业方向学生人数增长较快,无论数量还是质量,师资力量的增长远跟不上需求。教师水平参差不齐,具有注册会计师资格的教师较少,大多数教师缺乏实践经验;基础学科知识较差,主要体现在会计、审计教师的外语和计算机水平偏低;专业基础知识不扎实,主要体现在经济学、管理学、金融和税收知识欠缺。较少采用案例教学,或者案例教学流于形式,通常侧重于传授知识,而忽视知识的运用,更不能锻炼和开发学生的综合素质和职业能力。

总之,首先应该明确定位各个院校注册会计师专业方向人才培养目标,提高教师素质以适应注册会计师专业方向人才培养的需要,提高案例教学比重,改革考试方法,增加实践的机会,才能全面提高学生的实践技能,培养出高素质、高质量注册会计师人才。

参考文献:

篇8

对系统自我定级

长城资产管理公司是国有独资的金融企业,在业务高速发展的同时,一直非常重视信息安全体系的建设,早期已经部署了 “老三样”信息安全产品,即网络防病毒、防火墙和网络入侵检测产品,对保障业务系统的安全正常运转起到了重要作用。

公司综合经营管理系统经过四期建设,实现了数据集中和管理集中,为公司收购、管理与处置政策性不良资产以及商业化经营等业务的顺利开展提供了完整的业务操作平台。

根据《信息系统安全等级保护定级指南》中对信息系统的要求,长城资产管理公司考虑到综合经营管理系统是公司的核心业务系统,一旦受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害,因此,公司确定首要的工作是设定系统的保护级别。经过综合审核,最终将系统保护级别定为3级,并形成了等级保护定级报告,这在资产管理公司里属于首家。

对定级进行测评

系统定级之后,公司做了备案,同时申请等级保护的主管单位进行现场测评。北京等级保护办公室作为这次测评的主管和实施单位,根据等级保护3级基本要求对综合经营管理系统进行测评。现场测评工作主要包括跟综合经营管理系统相关的各个层面,在网络层面进行网络设备安全配置检查和安全系统部署;在主机层面进行主机系统的安全配置检查和数据库系统安全检查;在数据安全方面进行了数据完整性、机密性和可用性的检查;在管理方面进行安全策略、安全组织以及人员的检查,同时对信息部门领导和相关人员以及公司的人力资源部门相关人员做了详细的访谈。涉及方面之广,检查粒度之细都是其他专门的安全项目所无法比拟的,对公司整个信息安全建设指明了方向,细化了要求,加强了安全体系建设,提升了人员的信息安全意识,规范了信息安全工作流程。

但是,在现场的测评工作当中也出现了一些问题,主要来自两方面:一是发现了公司在信息安全建设中的“短板”,明确了工作重点和方向;二是发现基本要求中的个别条款的要求过于“苛刻”――单纯从技术上来看是可行的,但是如果结合公司的业务,就不是特别合理,因为需要对现有运行的业务进行很大的改造,甚至涉及到对底层操作系统的改造。

最后,在北京等级保护办公室的监督、指导下,公司加强了安全管理,调整个别不符合项目,最终通过了等级保护3级测评。

建设等级保护平台

篇9

关键词:堡垒主机;内控管理;运维审计;实践案例

中图分类号: TP393.08 文献标识码:A 文章编号:1672-3791(2015)05(c)-0000-00

近年来,笔者所在民航系统内的信息化水平正在逐步从初级应用阶段发展至高级应用阶段,而伴随着这个过程产生的信息化应用与信息安全管理的矛盾也愈发突出[1]。笔者所在单位近年来在局域网内先后部署了多项网络安全和网络分析产品,已经形成了较为完善的信息安全防护体系,主要技术人员也积累了运维经验。但信息系统故障等网络安全问题仍然时有发生。通过分析故障产生的原因,发现大部分违规行为竟然来源于一些合法用户的例行操作。传统意义的安全防护系统可以从技术角度解决一些潜在的安全问题,但对于内部人员操作的管理手段不完善带来的数据破坏和泄露可能比技术原因造成的损害更为严重。

国家公安部《信息系统安全等级保护基本要求》中明确规定了二级(含)以上的重要信息系统网络安全、主机安全、应用安全都需要具备安全审计功能[2],所以,根据等级保护要求以及本单位的实际情况,我们迫切需要一种有效的手段来对内部人员的设备维护行为进行控制和审计,解决信息安全管理中遇到的难题。难题具体体现在:运维权限分配复杂、系统密码管理不足、操作风险难以控制、共享账号安全隐患、系统资源授权不清晰、访问控制策略不严格、重要操作无法有效审计等。而以上这些信息安全问题,通过引入内控堡垒主机并结合管理措施之后基本得到了有效解决。

1 内控堡垒主机介绍

1.1 什么是内控堡垒主机?

最早的堡垒主机主要定位于防御外部进攻[3]。通过将其部署在防火墙或路由器之外,可以使那些需要面向外部的服务集中于堡垒主机上进行集中保护,以此来换取内部网络的安全。

而随着信息化应用的日趋复杂,由被动防御型的堡垒主机发展出来了更加偏重于对内部网络、应用和数据进行综合安全保护的管理控制平台,也就是我们所说的内控堡垒主机。它从网络内部出发,通过多种信息安全技术(访问控制、身份认证、虚拟化、协议、操作审计等)实现用户对内部网络资源的安全访问,同时对用户的操作过程形成完整的审计记录。这样的内控平台正可以有效地解决我们在日常运维和内控管理中遇到的难题。

1.2 功能特点

1.2.1 设备的集中管控

内控堡垒主机可以将服务器和网络设备的信息,以及用户信息和访问权限提前配置在堡垒主机中,这样便从传统的分布式管理模式转变成可控的集中式管理模式,以此为基础带来了设备管理效率和安全稳定性的提升。

1.2.2 操作的集中审计

内控堡垒主机通过协议的方式,将原来从某台内网终端直接通过远程连接对网络设备和服务器进行操作的不可控的分散管理方式,转变成为了用户必须集中至堡垒主机的统一入口再对有授权的设备进行操作。而全部操作都通过协议录制得到记录,实现了精细化的集中操作审计。

总之,内控堡垒主机结合了传统的4A 理念,即账号管理、认证管理、授权管理、安全审计,与应用技术,形成了一个完善且可控的远程接入解决方案。一方面,统一身份认证和统一访问授权使得远程接入用户需要通过多种身份认证手段以及基于角色的授权管理才可以接入设备,满足了信息安全等级保护的要求;另一方面,全面的审计功能让管理员不但可以完整录制会话过程,还可以实时监视远程访问会话并及时终止非法操作。

2 制定解决方案

2.1 信息安全等级保护要求

根据信息安全等级保护第三级[4]的相关要求制定内控堡垒主机的解决方案,可以满足在要求中涉及到的网络安全、主机安全、应用安全、数据安全及备份恢复五项技术方面的要求,以及安全管理机构、人员安全管理、系统运维管理三项管理方面的要求。根据要求中的内容以及内控堡垒主机针对每一项提供的解决方案,整理如下表1。

2.2 设计原则

2.2.1 整体安全和全网统一的原则

资源访问的安全设计需要综合考虑信息网络的各个环节和全部实体,然后在不同层次上综合使用多种安全手段,为内部信息网络和安全业务提供管理和服务。

2.2.2 标准化原则

项目的安全体系设计严格遵循了国家标准,如《信息系统安全等级保护基本要求》。在达到标准要求的同时能够使企业内部的信息系统在可控范围内实现安全的互联互通。

2.2.3 需求、风险、成本平衡原则

任何信息系统都无法做到绝对安全,所以设计时就需要明确性能要求以及侧重点,然后从需求出发,在功能、风险和成本之间进行平衡和折中[5]。

2.2.4 实用、高效、可扩展原则

无论现状如何,随着技术发展信息系统仍将不断变化,哪怕在系统实施过程中,系统的结构、配置也会发生变化。所以系统需要有一定的灵活性来适应这些变化,使其符合“有层次、成体系”的标准,既有利于系统安全,又有利于扩展。

2.2.5 技术、管理相结合原则

为了使内控堡垒主机可以发挥其应有的效果,管理者必须首先根据系统的功能特点来重新梳理和完善现有的运行管理机制和安全规章制度,同时对技术人员进行思想教育和技术培训。通过合理的规定和具体培训,才能完成系统的应用。

2.3 设计思路

2.3.1 集中管理模式

管理模式决定了管理的高度,所以明确管理模式应当是我们要确定首要因素。根据多年的运维实践发现,我们对维护人员及其操作的管理手段并未伴随着信息化进程的推进而得到加强,这样导致了人为因素造成的运行故障比例居高不下,缺少有效的审计手段。因此迫使我们必须由分散的管理模式转变为集中的管理模式。集中管理是运维管理思想的必然发展趋势和唯一选择[6]。通常,集中管理包括:集中的资源访问入口、集中的账号管理、集中的授权管理、集中的认证管理、集中的审计管理等等。

2.3.2 访问协议

内控堡垒主机通过对各平台所使用的协议进行来实现对操作行为的审计和监控[7]。比如SSH、TELNET、FTP、RDP、VNC等等Windows或Linux平台上的访问协议。

2.3.3 身份授权分离

为避免传统方式的共享账号、弱口令账号等问题导致的安全漏洞,我们的解决思路是将身份和授权分离。首先建立用于身份认证的独立账号体系,然后保留各系统账号但使其由堡垒主机接管并定期更新密码,使得被管理设备本身的系统账号仅用于系统授权而剥离其身份认证功能,有效增强了身份认证和系统授权的可靠性。

2.4 系统构架

我们部署的内控堡垒主机由展现层、核心服务层、接口管理层三层结构组成。

展现层面向用户,集成了多种包括匙扣令牌在内的强身份认证方式,分别对系统管理员和运维用户提供不同的访问操作页面。

核心服务层面向授权和协议,部署在服务器上。在核心服务层上完成账号管理、授权管理及策略设置等操作。其中的协议包含用户输入模块、命令捕获引擎、策略控制和日志服务,所以具备对用户行为进行监视、控制和记录的功能。

接口管理层面向个信息系统,用于实现审计结合、账号同步、认证结合等方面的数据接口工作。另外它还包含应用服务,以此来实现对B/S、C/S、半B/S半C/S系统的单点登录及审计工作。

3 内控堡垒主机的实施

系统的实施过程中,我们将堡垒主机及其应用服务器的部署位置单独剥离开划分为管理区,把内部网络的其他设备如服务器、网络设备、数据库等等划分为业务区。在内控堡垒主机部署上架后,运维人员将集中通过内控堡垒主机对业务区的目标设备进行日常运维操作。

设备上架后,我们需要通过防火墙策略配置解除客户端到堡垒主机及堡垒主机到目标服务器的端口限制。这样当用户访问设备时,堡垒主机才可以完成对TELNET(端口23)、SSH(端口22)、RDP(端口3389)等协议的访问具体设备,并在堡垒主机上完成对设备的单点登录及会话的完整审计。

4 结语

在信息化水平快速发展的今天,技术发展与管理模式相辅相成。信息安全不仅需要先进的设备和娴熟的技术,更需要完善的制度和审计手段。内控堡垒主机的实施切实有效地规范了内外部维护人员对IT基础设施的维护行为,弥补了操作审计空白。它通过集中管理的模式,借助于协议、身份授权分离等技术,极大地减少了维护人员误操作或恶意操作的概率,缩短了故障定位时间。这次内控堡垒主机的实施完善了笔者所在单位的信息安全保护体系,将有助于提高信息系统运行的安全性和稳定性。

参考文献:

[1]潘玉. 新一代堡垒主机[J]. 信息安全与通信保密,2011,05:45.

[2]韩荣杰,于晓谊. 基于堡垒主机概念的运维审计系统[J]. 信息化建设,2012,01:56-59.

[3]赵瑞霞,王会平. 构建堡垒主机抵御网络攻击[J]. 网络安全技术与应用,2010,08:26-27.

[4] 公安部信息安全等级保护评估中心. GB/T 22239-2008, 信息安全技术信息系统安全等级保护基本要求[S]. 北京:中国标准出版社,2008.

[5]韩海航,王久辉. 大型交通网络系统安全保障体系研究[J]. 计算机安全,2007,10:77-80.

[6]吴国良. 面向NGB的网络与信息管控建设[J]. 广播与电视技术,2013,10:28+30-33.

[7]陈旭. IT运维操作管理有效降低企业风险[J]. 高科技与产业化,2010,05:116-119.

篇10

一、农业上市公司内部控制现状分析

按照上交所和深交所的行业分类标准,本文选取了农林牧渔行业作为研究对象,在“金融界”网站中显示深市主板、中小板、沪市该行业共有40家上市公司,其中有3家经过重组后主营业务已经更改,因此,在阅读了剩余37家企业2009年度的年度报告和与内控相关的公告后,对内部控制的状况进行了分析。所有数据来源于“金融界”和“巨潮资讯”,经过笔者手工整理而得。现状分析主要针对《基本规范》和相关内控披露要求公布后的新信息,如审计委员会、内部审计机构、内部控制评价报告、内部控制鉴证报告等,而一些基本的公司治理信息,如股东、董事会、员工基本情况等,尽管也是《基本规范》框架中控制环境的重要组成部分,但是,由于是过去的信息披露要求,几乎所有的上市公司都会披露,所以没有包含在现状分析中。

第一,审计委员会。按照《基本规范》的要求,企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等。

审计委员会规范文件有以下几种形式:审计委员会报告:审计委员会实施细则;审计委员会年报工作规程;审计委员会议事规则。严格意义上说,只有审计委员会年度工作报告才是真正反映了其工作状况的文件,考虑到本文是从公司披露的信息来考察审计委员会工作情况,所以将几种情况都看作是工作状况的反映。

从上市公司的年度报告和相关信息公告可以看出(详见表1),绝大多数的公司都在董事会之下建立了包括审计委员会在内的四大委员会,接近95%,仅有2家ST公司因为营业基本处于停滞状态未建立相关内控机构。但是,从审计委员会的实际工作状态来看,只有近60%的公司有发挥作用的迹象,其余的没有披露审计委员会的相关工作文件。

第二,内审部门。内部审计部门设立状况如表2、3所示。从内部审计部门的设立情况来看,有一半以上的企业设立了内审部门,并且在披露隶属关系的10家企业中,有7家直接向董事会负责,2家向审计委员会负责,只有1家是对总经理负责,应该说,这样的隶属关系能够比较好的体现内部审计部门的独立性。但是,不能不指出的是,仅有5家企业单独披露了内部审计制度,且其余企业的年度报告、内控报告以及其他与内部控制相关的文件中都看不到内审部门的工作痕迹,这从一个方面说明内部审计部门的实际工作状况是不如人意的。

第三,内控信息披露方式。有关企业内部控制的信息主要是以三种形式披露(如表4所示):一是公司年报中的治理结构部分,除了深市中小板由于制度要求,单独有一项“公司内部审计制度建立健全的情况”,以表格简单回答形式单列外,其余的主要是审计委员会的信息及对公司内部控制的简单说明。即便沪市在年报中有一项“公司披露董事会对公司内部控制的自我评估报告和审计机构的核实评价意见”,但是很多公司的披露很简单,“有内控,无自我评估报告和审计机构的核实评价意见”;二是单独的内部控制评价报告,这一点沪市和深市存在较大差异,沪市大多数公司没有提供单独的自我评估报告,但是大多单独提供了审计委员会年报工作规程;而深市公司基本上都有内控评价报告,少数公司提供的与审计委员会相关的规章制度一般是议事规则,而大多数没有提供审计委员会的单独信息;三是作为附录放在年报的最后。这种现象仅在沪市出现。有3家在年报最后附加了内控报告。

二、农业上市公司内部控制总体评价

综上所述,公司信息公告中披露的与内部控制有关的信息,主要包括以下几类:

企业内部控制评价报告;

审计委员会工作报告;

内部审计制度等文件;

审计委员会工作规程等制度文件;

外部独立机构对企业内部控制的鉴证报告;

内部独立董事、监事会等对企业内部控制的鉴证报告。

本文认为,按照上交所和深交所的要求,企业应该提供内部控制报告,因此,相关披露不作为自愿披露,不披露的企业应该可以被视为内部控制较差的一类。而审计委员会工作报告、内部审计制度等文件、审计委员会工作规程等制度文件、外部独立机构对企业内部控制的鉴证报告、内部独立董事、监事会等对企业内部控制的鉴证报告等属于自愿披露的内容,由于自愿性信息披露能够在一定程度上传递内部控制质量水平的信号,结合公司信息公告中披露的与内部控制有关的信息,借鉴庄莹(2009)的分类方法,本文按内部控制质量由高到低把公司分为五类:

一是提供内部控制建立健全情况,有审计委员会或内部审计至少一种工作规章文件,并获得外部审计师的无保留核实意见。因为外部审计师是独立的第三方,是一种质量较高的外部治理机制,因此本文认为这类公司的内部控制最有效,记为“优秀组”;

二是提供内部控制建立健全情况,无审计委员会或内部审计至少一种工作规章文件,但获得外部审计师的无保留核实意见。本文认为这类公司的内部控制次有效,记为“良好组”;