网络安全审计报告范文

时间:2024-04-18 17:59:41

导语:如何才能写好一篇网络安全审计报告,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络安全审计报告

篇1

一、统一组织、加强领导。

局党组高度重视网络安全工作,在局党组例会上专题讨论此项工作,明确由局信息中心牵头负责,并要求以此次自查工作为契机,查漏补缺,全面提升单位审计网络的安全管理水平。

二、强化学习、部署落实。

局信息中心召集各股室股长进行研判,讨论网络安全检查工作方案和相关要求,并结合我局实际,安排制定检查方案;同时加强沟通联系,确保自查方案和标准不走样、不变形。

篇2

【关键词】信息系统 网络安全 评价指标

根据国家网络和信息系统的安全性要求,结合多年的网络管理经验,从以下五个指标对信息系统网络安全进行评价:

1.实体与环境安全

实体与环境指计算机设备及计算机网管人员工作的场所,这个场所内外的环境条件必须满足计算机设备和网管人员的要求。对于各种灾害、故障要采取充分的预防措施,万一发生灾害或故障,应能采取应急措施,将损失降到最低限度。可以从以下几个方面来检查:

(1)机房周围环境

机房是否建在电力、水源充足、自然环境清洁、通讯、交通运输方便的地方。

(2)机房周围100m内有无危险建筑

危险建筑:指易燃、易爆、有害气体等存在的场所,如加油站、煤气站、煤气管道等。

(3)有无监控系统

监控系统:指对系统运行的外围环境、操作环境实施监控(视)的设施,及时发现异常,可根据使用目的不同配备以下监视设备,如红外线传感器、监视摄像机等设备。

(4)有无防火、防水措施

防火:指机房内安装有火灾自动报警系统,或有适用于计算机机房的灭火器材,如卤代烷1211和1301自动消防系统或灭火器。

防水:指机房内无渗水、漏水现象,如机房上层有用水设施需加防水层,有暖气装置的机房沿机房地面周围应设排水沟,应注意对暖气管道定期检查和维修。是否装有漏水传感器。

(5)机房有无环境测控设施(温度、湿度和洁净度),如温湿度传感器

温度控制:指机房有空调设备,机房温度保持在18—24摄氏度。

湿度控制:指相对湿度保持在40%—60%。

洁净度控制:机房和设备应保持清洁、卫生,进出机房换鞋,机房门窗具有封闭性能。

(6)有无防雷措施(具有防雷装置,接地良好)

计算机机房是否符合GB 157《建筑防雷设计规范》中的防雷措施。

在雷电频繁区域,是否装设有浪涌电压吸收装置。

(7)有无备用电源和自备发电机

(8)是否使用UPS

UPS:(Uninterruptible Power System),即不间断电源,是一种含有储能装置,以逆变器为主要组成部分的恒压频的不间断电源。主要用于给单台计算机、计算机网络系统或其它电力电子设备提供不间断的电力供应。

(9)是否有防静电措施(采用防静电地板,设备接地良好)

当采用地板下布线方式时,可铺设防静电活动地板。

当采用架空布线方式时,应采用静电耗散材料作为铺垫材料。

通信设备的静电地板、终端操作台地线应分别接到总地线母体汇流排上定期(如一周)对防静电设施进行维护和检验。

(10)是否保证持续供电

设备是否采用双路市电供电,提供冗余备份,并配有实时告警监控设备。是否与空调、照明用电分开,专线供电。

(11)是否有防盗措施

中心有人值班,出入口安装防盗安全门,窗户安装金属防护装置,机房装有无线电遥控防盗联网设施。

2.组织管理与安全制度

(1)有无专门的信息安全组织机构和专职的信息安全人员

信息安全组织机构的成立与信息安全人员的任命必须有有关单位的正式文件。

(2)有无健全的信息安全管理的规章制度

是否有健全的规章制度,而且规章制度上墙;是否严格执行各项规章制度和操作规程,有无违章操作的情况。

(3)是否有信息安全人员的配备,调离有严格的管理制度

(4)设备与数据管理制度是否完备

设备实行包干管理负责制,每台设备都应有专人负责保管(包括说明书及有关附件);在使用设备前,应掌握操作规程,阅读有关手册,经培训合格后方可进行相关操作;禁止在计算上运行与业务无关的程序,未经批准,不得变更操作系统和网络设置,不得任意加装设备。

(5)是否有登记建档制度

登记建档是做好网络安全工作的前提,一些技术资料对网络安全工作很重要,要注意收集和保存。可从以下几个方面检查相关文档:

策略文档(如,法规文件、指示)、系统文档(如,系统用指南、系统管理员手册、系统设计和需求文档、采购文档)、及安全相关的文档(如以前的审计报告、风险评估报告、系统测试结果、系统安全计划、安全策略)都可提供系统使用的或计划的安全控制方面的信息。任务影响分析或资产重要性评估可提供有关系统和数据重要性及敏感性的信息。

设计资料,如网络拓扑结构图,综合布线结构图等。

安装资料,包括安装竣工及验收的技术文件和资料。

设备升级维修记录等。

(6)是否有紧急事故处理预案

为减少计算机系统故障的影响,尽快恢复系统,应制定故障的应急措施和恢复规程以及自然灾害时的措施,制成手册,以备参考。

(7)是否有完整的信息安全培训计划和培训制度

开展网络安全教育是为了使所有人员了解网络安全的基本常识及网络安全的重要性,要坚持经常的、多样化的安全教育工作,广播、图片、标语、报告培训班都是可以采用的宣传教育方式。

(8)各类人员的安全职责是否明确,能否胜任网络安全管理工作

应对网络管理人员严格分工,使其职责分明,要对网络管理人员定期进行安全培训及考核,对关键岗位人员,应该持有相应的认证。

3.安全技术措施

(1)是否有灾难恢复的技术对策

是否为网络中断和灾难做好准备,以及如何快速反应将中断和损失降至最小。灾难恢复措施包括灾难预防制度、灾难演习制度及灾难恢复制度。

(2)是否有系统安全审计功能

安全审计功能主要是监控来自网络内部和外部的用户活动,侦察系统中存在现有和潜在的威胁,对与安全有关的活动的相关信息进行识别,记录,存储和分析,安全审计系统往往对突发事件进行报警和响应。

(3)是否有系统操作日志

系统操作日志:指每天开、关机,设备运行状况等文字记录。

(4)是否有服务器备份措施

服务器数据备份是预防灾难的必要手段。随着对网络应用的依赖性越来越强和网络数据量的日益增加,企业对数据备份的要求也在不断提高。许多数据密集型的网络,重要数据往往存储在多个网络节点上,除了对中心服务器备份之外,还需要对其他服务器或工作站进行备份,有的甚至要对整个网络进行数据备份,即全网备份。网络备份需要专业备份软件,Backup Exec就是其中的一种,是为中小企业提供的基于Windows平台的网络备份与恢复解决方案。

(5)是否有防黑客入侵设施

防黑客入侵设施主要是设置防火墙和入侵检测等设施。

防火墙是为了监测并过滤所有内部网与外部网之间的信息交换,保护着内部网络敏感的数据不被偷窃和破坏,并记录内外通讯的有关状态信息日志。防火墙有三种类型,包括过滤防火墙、型防火墙和状态监测型防火墙。

入侵监测系统处于防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵监测系统是防火墙的延续。它们可以和防火墙和路由器配合工作。它通过对计算机网络或计算机系统中若干关键点收集信息并对其分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

(6)是否有计算机病毒防范措施

计算机病毒防范措施:备有病毒预防及消除的软、硬件产品,并能定期的升级。设置客户端级防护、邮件服务器级防护和应用服务器级防护。

4.网络与通信安全

(1)放置通信设施的场所是否设有醒目标志

从安全防范的角度考虑,安装有关通信设备的地方不应加标志。配线架或MODEM柜应加锁,禁止无关人员入内。

(2)重要通信线路及通信控制装置是否均有备份

重要的通信线双重化以及线路故障时采用DDN通信线或电话线ISDN等后备功能;从计算中心连出的重要通信线路应采用不同路径备份方式。

(3)是否采取加密措施

数据加密技术是保护传输数据免受外部窃听的最好办法,其可以将数据变只有授权接收者才能还原并阅读的编码。其过程就是取得原始信息并用发送者和接收者都知道的一种特殊信息来制作编码信息形成密文。

(4)系统运行状态有无安全审计跟踪措施

安全审计是模拟社会检察机构在计算机系统中监视、记录和控制用户活动的一种机制。它是影响系统安全的访问和访问企图留下线索,以便事后分析和追查,其目标是检测和判定对系统的恶意攻击和误操作,对用户的非法活动起到威慑作用,为系统提供进一步的安全可靠性。

(5)网络与信息系统是否加有访问控制措施

访问控制措施:指能根据工作性质和级别高低,划分系统用户的访问权限。对用户进行分组管理,并且应该是针对安全性问题而考虑的分组。

5.软件与信息安全

(1)操作系统及数据库是否有访问控制措施

把整个系统的用户根据需要分为不同级别;不同级别的用户享有对系统的文件、数据、网络、进程等资源的权限,并进行记费管理;还可根据不同的用户设置不同的安全策略,将超级用户的权限细化(可分为系统管理员、安全管理员、数据库管理员、用户管理员等)。

(2)应用软件是否有防破坏措施

对应用程序安全的考虑可以遵循如下的方向:对通用应用,如消息传递、文件保护、软硬件交付等,制定通用技术要求;对于特定的复杂应用,可分解为通用应用,同时考虑互操作性问题。一般来讲,应用程序的安全机制应该包括以下内容:身份标识与鉴别、数据保密性、数据完整性、数据可用性、配置管理等。

(3)对数据库及系统状态有无监控设施

可以使用系统安全检测工具来定期扫描系统,查看系统是否存在各种各样的漏洞。

(4)是否有用户身份识别措施

身份认证与数字签名策略,身份认证是证明某人或某物身份的过程,当用户之间建立连接时,为了防止非法连接或被欺骗,就可实施身份确认,以确保只有合法身份的用户才能与之建立连接。

(5)系统用户信息是否采用备份

篇3

1.1评价企业内部控制是内部审计最重要的职责

内部审计是组织内部为检查和评价其经济活动和为本组织服务而建立的一种独立评价活动,其在内部控制中的作用在联合国公共行政和财务处编制的《发展中国家政府审计手册》中做了精辟论述。它认为在20世纪,政府审计的重要发展之一是对内部控制观念的确认以及创建内部审计单位,并把它作为内部控制系统的关键部分。内部审计通过对一个单位的内部控制加以系统的检查和评价,提交审计报告,其中包括对各种经营活动无偏见的、公正的、实事求是的分析和经过证实以后而应采取改进行动的合理建议,以协助各级管理部门有效地履行其职责。显而易见,内部审计不仅是企业内部控制的重要组成部分,是企业内部控制的特殊方式,而且评价与改善企业内部控制是其与生俱来的重要职责,也是内部审计对内部控制最重要的贡献。市场经济需要内部控制。特别是加入WTO以后,世界经济一体化使我国企业生存与发展面临更多的机会和更大的风险,而我国企业内部控制仍然十分薄弱,上市公司经营失败和各种舞弊案件的接连出现,凸显我国企业内部控制建设的必要和迫切。在这样的现实环境下,内部审计通过内部控制评价参与企业管理,改善企业内控品质更显得意义重大和迫在眉睫。

1.2内部审计开展内部控制评价具备得天独厚的条件

内部控制涵盖范围很广,涉及企业管理活动各个方面。对企业内部控制进行系统地检查和评价,不仅需要执业人员有相应的专业知识和较高的执业胜任能力,还需要执业人员对企业情况有详尽地了解和掌握。有目共睹,近年来,代表我国审计水平前沿的注册会计师审计,尽管在形式上出现了内部控制专项鉴证业务,执业规范中对此也提出了要求,但在审计实践中,直到目前仍很少开展这方面的工作,即使是作为报表审计步骤之一的内控制度基础审计方法,在实际工作中,也往往流于形式,其原因固然有企业内部控制不规范、不完善、无法依赖等客观因素,但注册会计师对企业不熟悉、不了解、缺乏相应的专业判断能力等主观因素难辞其咎。不能掌握企业控制全貌,只能依赖以凭证、账薄和财务报告为载体的会计系统以及可以找到管理痕迹的书面上的控制程序,无法实施对内部控制的公允评价,更谈不上合理建议及促进企业内部控制的健全和完善。相比而言,内部审计处在企业内部,置身于企业内部控制环境中,对企业内部控制最熟悉,因而也最有能力对其进行评估和建议。外部审计开展内部控制评价的诸多限制,尤显内部审计开展内部控制评价得天独厚的条件。因此,在独立审计日益关注内部控制单独评价的同时,内部审计更有责任和条件重视开展内部控制评价,营造组织内外共同关注内部控制建设的氛围,共同促进我国企业内部控制快速发展。总而言之,开展内部控制审计是企业内部审计工作的重要内容,同时也是与国际先进内部审计接轨的必然要求。目的是要使企业的生产经营活动能够按照预定的目标和方式,在有效的控制下规范运作。通过内部控制审计,监督、检查、纠正和处理执行过程中出现的偏差和错误,使内部控制更趋于完善。会计电算化下企业内部控制审计策略会计电算化的实施,就好比危险的飞行一般,让人胆战心惊而又无法抗拒。计算机信息处理环境影响会计内部控制及其审计已是不争的事实,但目前对计算机信息处理环境下内部控制的内容、分类以及如何审计内部控制问题,概念仍然不十分清晰,不少控制措施以及审计方法严重脱离实际,许多问题还有待研究。

2.1加强对会计电算化内控的审计

信息数据处理相对传统纸币处理,容易篡改而不容易留下痕迹。内部审计人员应给予处理数据的系统和数据本身更多的关注。着重做到:(1)明确审计人员职责。审计人员要检查组织结构、职权和责任的分配与分工情况、以确定职责分能够提供有力的内部控制,如程序与系统开发、计算机操作、输入数据的控制等应尽量分离。(2)安全控制。审计人员应该确定是否制订了有关计算机硬件、计算机程序、数据文件、数据传送、输入和输出资料以及人员的安全规定。该项检查应该不仅涉及中央处理站的计算机设备,还应包括其他地点的小型机、计算机终端、通讯设施及其他设备。

2.2提高内部审计人员的素质

建立以提高内部审计人员素质为目的控制措施。组织网络安全方面及高级程序语言的培训。大力开展计算机辅助审计技术的培训。如:数据模拟检测法、整体检测法、程序编码控制法、平行模拟法、程序追踪法。培养一批既懂财会、审计业务、又精通计算机应用技术的有经验的复合型专业内部审计人员。

2.3加强外部电算化审计

建议相关部门尽快研究我国的信息系统审计制度,制定相关的法律、法规。对任何直接或间接影响财务报表或其他至关重要资料的数据或处理系统都要求审计,并可在重大信息化工程项目中试点,在总结经验教训的基础上,再逐步推广施行信息系统审计制度。在新的经济和技术环境下,注册会计师审计应考虑增加以下内容:

(1)审计除了对现行企业财务报表所提供的信息进行审计外,审计还要对如分部信息、非财务信息、前瞻性信息、知识产权、创新金融工具等方面的内容进行审计。

(2)更加注重对内部控制制度的研究。为了使得注册会计师能够真正地发挥其应有的作用,注册会计师就不得不想方设法将审计风险降低到最小的程度。因此,内部控制制度对保证会计信息的质量具有非常重要的意义。这一点同样也被我国新修订的《会计法》所重视。

(3)对不确定信息的审计。由于现代财务报告中包括了如或有事项、衍生金融工具的确认、计量和信息披露和无形资产等有关内容,因此,审计就不能不对这些内容进行审计。

(4)在审计报告中应增加分析性评价的意见。在审计报告中应增加分析性评价的意见,尤其是有助于评价企业收益质量的信息,根据美国注册会计师协会的调查,绝大多数会计信息使用者认为,注册会计师在审计过程中掌握了丰富的资料和有关企业的情况,因此,他们要求注册会计师在其审计报告中增加有关分析意见。这些信息一般包括:审计范围和发现的问题;在备选的会计原则中,企业所选择的会计原则,特别是一个行业的其他企业采用的会计原则;企业管理当局在编制财务报表时所作出的重大假设及估计的合理性;与现有资产进行变现的有关风险。

(5)开展安全审计。安全审计是指审计人员对计算机网络环境及其有关活动所进行的系统审计,并进行评价的活动。计算机及网络技术使得会计信息可以通过网络迅速地在世界各地传输,甚至直接传输原始会计资料,从而使得企业的信息能够最大范围地被信息使用者共同享用。但这种共同享用的基础是安全。由于计算机技术及人文方面的影响,网络信息的风险将会增加,如利用网络及安全管理的漏洞获取用户口令或电子账号,冒充合法用户作案;或通过网络远距离盗取企业的商业秘密等。因此,现代审计必须积极开展安全审计,并将其作为审计的中心内容之一。

(6)开展预测信息审计。因为现代财务报告中将大量增加有关企业未来的信息,其中包括大量的财务预测信息,而对这些预测信息必须要有相应的质量保证机制。在这方面,完全可以充分发挥注册会计师的作用。

(7)开展对报表附注的审计。现在及未来,财务报表附注内容将会大大增加,因此,对这部分内容的审计也是不可避免的.然而,目前审计工作中针对有关会计报表附注的编制与审计的规范是相当欠缺的,也正由于对会计报表附往没有相应的会计准则和审计准则的制约,所以实务上对会计报表附注部分的审计,不仅没有得到应有的重视,更存在许多不合理的做法。为此,应制定会计报表附注的会计和审计准则,完善法规制度,加强对会计报表附注的审计,只有这样才能使得审计的责任得以更好地完成。

篇4

1防微杜渐,定期备份会计资料

会计信息之所以不完整、有残缺很大程度上是由于企业安于现状,怠于发现一些自然因素导致的线路老旧、设备退化等问题。一旦不可预见的灾难发生,不仅安全无法保障,会计资料更是无从考证,覆水难收。因此,企业应防微杜渐,定期检查硬件设施,更换设备、整修电路和老旧设施。纸质保存的会计资料要保管妥当,注意防火、防霉变。对电算化的会计资料更要及时定期备份,以防止突发状况,如灾害、设备故障等都容易对会计信息造成毁灭性的打击。

2软件技术及时更新升级

科技飞速发展的今天,随着电子计算机的产生,各类会计电算化软件也已本着“简化会计工作”的宗旨得到了广泛认可和使用。作为会计人员喜闻乐见的工具软件,面对更新换代如此之快的电子领域,如何保障自身技术不会被淘汰,唯有不断创新改造,以软件用户感受为改进方向,查漏补缺,使软件漏洞逐步减少,真正做到全面化、智能化、快捷化。企业也要注意定期更新会计软件版本,并请专人负责会计系统维护,降低会计信息系统崩溃风险,减少由软件落后带来的不利影响。

3提高会计人员素质和道德自律

电子商务融入企业经营活动,为企业会计人员提出了更高的要求。一方面,电子化的会计资料在提供便捷的前提下也无形增加了技术性,要求会计人员不单要有扎实的会计理论知识和实务操作能力,更要掌握相关的计算机技术,毕竟会计电算化在各行各业普及是大势所趋。另一方面,在电子商务的大背景下,会计信息风险增加,财会人员在保证数据合法、完整、可靠的前提下,更要有良好的自律意识,用法律道德规范约束自己的行为。

4完善信息加密技术

将会计原始凭证和记账凭证等明细信息送上网络进行各利益相关者的信息交换是未来发展的方向。然而电子商务存在的不安全性最致命的就是保密性不强。对于会计信息的网络传播如果没有安全可靠的网络环境和系统扶持,是不可行的。因此,应当在信息传递过程中运用密码技术使信息得以保护,非法用户无法获取真实信息。一方面要对会计人员登录会计处理终端进行数字签名,并比常规签名要更加有效有保障。另一方面对传输的数据进行加密,将每次传输的信息“上锁”。也许未来可以发展至将每项数据都运用不同的密钥保护,不过对繁琐的过程进行简化的方式仍需不断探索。

5开发适用于电子商务环境的审计软件

电子商务环境下的会计信息时刻处于动态的复杂环境中,会计风险明显加大,因此相关审计工作的要求也提高了。需要设计一个适用于电子商务环境的审计软件来时刻监控会计处理进程中存在的隐患和不安全因素。根据实时监控的记录与报警相应的结果,随时评估网络使用情况、可疑的迹象等,提供适应电子商务环境的网络安全审计报告。

篇5

一、信息系统审计概要

1)信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整,以及有效率地利用组织的资源并有效果地实现组织目标的过程(国际信息系统审计与控制协会ISACA的定义。

2)目前审计机关信息系统审计主要有两种方式,一种是将信息系统审计作为常规审计的一部分,为实现审计项目的总体目标服务,即数据审计、信息系统审计和系统内部控制审计"三位一体"的结合方式.信息系统审计和系统内部控制审计为数据审计服务,通过审计数据得出结论.另一种是独立立项的,直接审计信息系统本身的安全性、可靠性和有效性。

二、为什么要开展信息系统审计

信息系统审计作为国家审计机关的一项重要工作,是信息化发展到一定程度的必然产物。

(一)开展信息系统审计是控制审计风险的要求.近几年,审计纸质账目时,内部控制也要审计,不能假账真审.同样的道理也不能假电子数据真审,如果被审计单位运载电子数据的信息系统的安全性、可靠性和有效性出现了问题,计算机数据审计就会存在风险,系统的可信与可靠程度是数据审计得以进行的前提和最终实现的基本条件。

(二)开展信息系统审计是全面履行审计职责的要求.信息化环境下的审计,电子数据、信息系统、系统内部控制审计必须"三位一体",在审计过程中,这三项内容不能少.只有这样,我们才能完成审计署党组强调的"全面审计,突出重点"的要求,全面履行审计职责。

三、信息系统审计与常规审计之间的区别与联系

1)信息系统审计是常规审计的一部分,是以常规审计理论为理论基础的,两者之间有紧密的联系,也存在一定的区别。

2)两者的联系是:信息系统审计继承了常规审计的基本理论与方法,与常规的审计一样。在立场上,要求信息系统审计师站在独立的立场上,通过选择特定的审计对象,采用询问、检查、分析、模拟、测试等方法获得客观的审计证据,来判断其与既定标准的符合程度。在程序上,信息系统审计一般也要经过审计计划、符合性测试与实质性测试、审计报告等主要阶段来进行审计工作,实现审计目标。

3)两者的区别也比较明显,主要表现在:首先,信息系统的审计对象不同于常规审计的财务领域,而是信息系统,包括基础设施,软硬件管理,信息安全,网络管理合通信等;其次,信息系统审计提出了更多的审计法与审计程序,这都是常规审计所不具备的,比如对某软件进行审计时,要采用技术含量相当高的测试,对网络安全审计时要采用穿透性测试(模拟成黑客进行各种攻击以验证其安全性);第三,信息系统审计不光是事后审计,主要关注系统的运行现状,在某种情况下,直接参与项目的开发或变更过程,以保证足够的控制得以顺利实施;最后,信息系统审计的咨询价值显得更高,信息化的风险很高,信息系统审计师可凭借其专门知识和实践经验,受托或主动服务于被审计单位的管理者或其业务人员,在企业信息化过程中,帮助企业建立健全内部控制制度,进行系统诊断,根据企业需求,确定信息化的目标和内容,选择合适的信息系统。

四.如何使信息系统审计与常规审计有机结合

1)在项目计划上的相结合

信息系统通过选择特定的审计对象,采用询问、检查、分析、模拟、测试等方法获得客观的审计证据,来判断其与既定标准的符合程度。在程序上,经过信息系统审计,审计项目计划、符合性测试与实质性测试、审计报告等主要阶段来进行审计工作,实现审计目标。

2)在项目实施过程中相结合

(1)全面开展对项目实施过程中电子数据的审计,包括会计电子数据和业务管理电子数据。采取的具体方法是:1.精确复核。运用计算机,对各种项目数据进行精确复核,既可以对全辖并表机构的会计报表与汇总报表进行全面复核,又可以从会计流水账逐级核对至总账,还可以将业务管理数据与会计报表数据进行复核;2.编制计算机程序进行辅助计算。可以编制计算机程序对有比例关系的项目进行计算,然后与实际记录进行比较,找出产生差异的记录;3.对一些异常会计记录和交易进行筛选和查询,为审计人员提供审计线索,主要是根据某一特征进行筛选分析,从不同角度分析可疑问题线索。

(2)以信息系统审计对项目实施时,对项目管理系统的内部控制情况进行初步的调查和评价,重点是权限管理、参数表的设置和修改控制等是否有效,被审计单位对交易录入的原始数据是否实施相应的控制,信息系统的数据流和业务流程是否吻合;3.通过系统日志等文件分析一些重大事件的原因,避免在项目实施过程中发生不可预测影响。

3)在资源配制上相结合

常规审计在我国的审计实践中,对项目资源存在的漏端很难察觉,原因主要是以下三大困难:一是审计人员难以在短时间内透彻了解被审计单位的项目存在弊病。一般来说,小型的数据管理,由专业的软件公司开发后打包在市场销售,被审计单位人员仅仅是使用者,审计人员无法获得开发设计的细节;而定制的系统多用于大型的数据管理,由软件公司或内部的开发部门根据企业的应用量身定做,这类系统技术文档和技术支持比较完善,但是由于系统过于庞大,细节设计过于复杂,审计人员在有限的审计时间内难以对系统进行评估。二是难以发现系统内的瑕疵。从表面看,常规审计的各项令人眼花缭乱审计方法无论是从开发文档还是操作手册都不会直接察觉系统的瑕疵,而且在现场审计中,审计人员一般不允许对正在运行的系统进行测试,较难识别系统的问题。三是难以评估系统瑕疵所导致的后果。在审计实践中,即使审计人员发现了常规审计存在的某些瑕疵,但是未发现该瑕疵导致的已经存在的后果,常常使得审计结论缺乏直接证据。

信息系统审计作为一种全新的审计手段和审计理念,首先,审计人员可以通过整体评价被审计单位的项目管理系统重要性的基础上,确定审计重点。其次,审计人员应用内控测试和数据审计两种方式对选定的项目管理系统进行分析,一般能迅速找出项目管理信息系统存在的瑕疵,尤其是人为舞弊的线索。第三,根据已经发现的问题,对系统进行延伸,进一步追查系统存在问题所引致财务收支失真等方面的问题。可以较好地从信息系统的角度发现舞弊问题和内控漏洞,使得审计内容不断丰富完整,较好降低审计风险。

五、在常规审计后,开展信息系统审计的意义

1)信息系统审计是未来审计发展的必然,未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展。

2)维护信息时代的市场经济秩序

市场经济是建立在信用基础上的,信息系统审计应当充当信息时代经济生活中公正的鉴证人起着维护市场经济稳定的作用。信息时代竞争的加剧,信息流的电子传播方式等,使市场对及时和相关信息的需求越来越多,现有财务报告模式的局限性性日渐突出。现有财务报告是以历史成本为计量基础的、周期性的向利益相关者报告。在新经济环境中,信息系统审计师应能够以在线、实时的信息为基础提供鉴证,通过多种方式来保护公众利益、提供鉴证服务并满足投资公众对决策有用信息的访问需要。提供实时报告鉴证对保护公众利益和保护资本市场的有序发展是非常有意义的。

篇6

关键词:会计信息系统决定因素特征

随着信息技术、电子商务、网络经济的发展及市场竞争激烈化程度日益加深,传统会计信息系统的局限性日益凸现,其满足用户需求的能力越来越受到人们的质疑。因此,探讨现代会计环境下和满足现代信息需求的现代会计信息系统的建立问题,对于改善网络技术与新经济环境下企业会计信息系统具有重要的意义。本文所要研究的是应该建立具有什么特征的现代会计信息系统,而不涉及具体的系统设计与实施等问题。

一、会计环境、会计目标、会计职能与会计信息系统的关系

(一)会计环境是建立会计信息系统的基础与依据

会计环境是指“与会计产生、发展密切相关,并决定着会计思想、会计理论、会计组织、会计法制,以及会计工作发展水平的客观历史条件及特殊情况”(郭道扬,1992)。“倘若缺乏正确的环境观念,缺乏对客观环境的正确认识与深入分析,那么,对会计理论问题的研究及对会计事务的改进便无法建立在科学的基础之上,会计失控或因会计失控带来的损失也将无法避免”(郭道扬,1992)。

“会计环境是会计内环境与会计外环境有机的总合。显而易见,会计内环境决定了会计的本质,从而决定了会计的职能,进一步决定着会计程序与方法,会计外环境决定了会计目标,从而决定了会计信息质量特征,进一步影响着会计程序与方法。因此,会计本质、职能与会计目标,最终统一在人类社会生产实践活动中,统一在特定时空条件下的会计环境中。”(谢德仁,1995)。“环境决定一切,存在决定一切。……无论会计本质、对象,还是会计目标,它们都是在一定的社会、政治、经济、文化、教育等环境下人们对会计现象的一种认识,有什么样的会计环境,就必然有什么样的会计理论。”(牛秀敏,1995)。这些观点的共同点:认为会计环境决定会计本质、会计目标、会计对象及会计职能等,它具有高度的概括性。会计信息系统是通过行使会计职能,对会计对象进行加工,以实现会计目标的一个经济信息系统。因此,这些观点同样适用于会计信息系统,会计信息系统的发展始终受环境的影响与支配,会计环境是决定构建什么样的会计信息系统的基础与依据。

(二)会计目标是建立会计信息系统的出发点和归宿点

会计目标是关于会计信息系统应达到什么境地的抽象范畴。会计目标“是会计环境对会计系统的要求的反应,也是会计系统满足会计环境的要求的标准,如不同的会计信息使用者对会计信息的要求不同,会计系统则提供不同的会计信息。”(吴联生,1998)。会计目标在理论上决定了会计系统实现会计目标所必需的保证系统,在实务上,会计目标引导着会计系统的运行。会计目标“是会计实践活动的出发点和归宿点,会计系统内部的一切机制如会计运行机制、会计协调机制、会计信息反馈机制等等,都围绕着会计目标而发挥作用,通过优化会计行为来实现会计目标。”(赵德武,1990)。可见,在构建会计信息系统时,必须以服务于会计目标为出发点,会计目标为会计活动指明了方向,当会计目标发生变化时,会计信息系统也必须做出结构上的调整,以体现这种变化。由于不同的客观环境决定了不同的会计目标,会计目标也反映了会计环境的要求,也进一步证明了会计环境是构建会计信息系统的基础与依据。

(三)会计职能是建立会计信息系统的根本

会计职能即指会计的功能,是指会计能够干什么事。“会计职能是具体客观环境下,因处理会计对象以达到会计目标而赋予会计系统的。”(吴联生,1998)。“我们研究会计的职能,就是要根据会计的本质和对象,来确定会计这一实践活动在社会分工中的最基本的责任和应起的作用。”(吴水澎,1996)。因此,可以说会计的职能是指会计所起到的作用。企业建立会计信息系统的主要目的是为了用现代信息技术替代手工更好地发挥会计职能作用。离开会计职能,对突如其来的管理变革和全新的工作方式没有足够的心理准备和技能准备,走盲目开发的路子,耗用巨资建立的会计信息系统,通常都会事与愿违。可以说,更好的行使会计职能是建立会计信息系统的根本。

综上,我们在建立现代会计信息系统时,不能脱离会计环境,会计环境是建立会计信息系统的基础,工业社会环境下的会计信息系统和信息社会环境下的是不一样的。建立什么样会计信息系统应以服务于会计目标为出发点,提供有助于决策的信息和反映受托责任这两个会计目标下的会计信息系统是不一样的。会计目标的实现有赖于会计职能的发挥,建立的会计信息系统必须能够行使会计的职能,否则,它就失去使用价值,就没有建立的必要。

二、建立现代会计信息系统的决定因素

通过对会计环境、会计目标、会计职能与会计信息系统之间关系分析可知,会计环境、会计目标、会计职能三者结合在一起,构成了建立现代会计信息系统的决定因素。这些因素体现在如下几个方面:

(一)信息技术条件

从20世纪40年代第一台计算机问世以来,随着计算机技术的发展和应用,信息技术经过个人电脑时代,飞速地发展到今天的网络时代。计算机网络也从LAN开始、经过MAN,发展到WAN。与此同时,计算机网络软硬件技术都取得迅速的发展。从硬件角度看,一个局域网(LAN)通常由服务器、工作站、网卡、集线器、电缆及其他网络配件组成,为了扩展局域网还要引入路由器、网桥、网关和通信服务器等网络部件。从软件角度看,由管理局域网的操作系统如NetWare和WindowsNT等,发展到支持广域网的软件应用系统,如网络导航仪、浏览器、TCP/IP网络协议等。就数据库技术而言,由早期的桌面数据库系统如Dbase、FoxPro、VisualFoxPro、Access等,发展到大型数据库系统如SQLServer、Sybase、Oracle等,再到数据仓库与数据挖掘技术。计算机应用体系结构也得到迅速的发展,先后经过主机系统(MS)、文件/服务器体系结构(F/S)、客户/服务器体系结构(C/S)、多层C/S体系结构以及浏览器/服务器体系结构(B/S)。

网络技术最成功的应用是Internet(国际互联网)和电子商务。Internet通过普通电话线、高速率专用线路、卫星、微波和光缆等通讯线路把不同国家的大学、公司、科研机构以及军事和政府等组织的网络联系起来。Internet应用系统可为用户提供Telnet远程登录、Email电子邮件、匿名FTP、Usenet新闻组和BBS公共布告栏等服务。电子商务是指利用电子信息网络设施来实现商品和服务交易活动的总称。它可以提供网上订购发送产品、咨询洽谈、网上政府、电子银行、广告宣传、意见征询、业务协作等功能。这些应用正如Alvin.Toffler在TheThirdWave(NewYork:BantamBooks,1990)所说“IT引起的变革浪潮正在冲击着会计的海岸线。……它改变了商业运营的方式,也改变了经理们面临的问题。现在的经理们需要新的信息模式进行决策,因此内部会计和对外报告会计都必须改革。”

(二)新经济环境

1996年12月30日,美国《商业周刊》发表了一组文章,首次提出“新经济”概念,揭示了现代经济环境是一个新经济环境。所谓新经济,就是以信息革命和全球化大市场为基础的经济。它体现为经济信息化、网络经济、知识经济和经济全球化四个方面。(1)经济信息化是指信息技术(IT)产业的迅猛发展和信息技术在各个产业和各种社会经济活动领域的广泛使用。(2)网络经济是指以高新技术为基础,以数字化为技术支撑,以信息化进行要素配置,以互联网络Internet为载体,整合各种经济资源,促进“虚拟与现实、传统与现代、技术与商业”相结合,实现经济高速增长的一种经济形态和经济运行模式。(3)知识经济是建立在知识和信息的生产、分配和使用之上的经济,是以创新知识作为经济发展的源泉。(4)经济全球化是指世界各国、各地区在贸易、金融、生产、投资和政策协调等方面,超越国界和地区界限,相互依存、相互融合,进而形成一个不可分割的有机整体的趋势和过程。具体包括贸易自由化、金融全球化、生产经营的国际化等。会计信息系统的发展必然要受这种新经济环境的影响和支配。新经济时代的上述特征必然体现在现代会计信息系统体系结构中。

(三)企业经营与管理思想的创新

在IT时代,企业经营与管理思想不断的创新,这些创新包括如下几个方面:

1.管理思想创新。传统企业管理以资源的稀缺性原理和投资收益递减规律为理论基础,现代企业管理将以知识的无限性和投资收益的递增规律为指导思想。

2.管理原则的创新。管理突破斯密/泰罗/发约尔瓶颈,建立在对等的知识网络、集成的过程、对话式工作、人类的时间与计时、组建虚拟企业与动态团队等新的原则上。

3.经营目标的创新。经营以可持续发展代替利润最大化、公司市场价值代替市场份额为目标。

4.经营战略创新。传统的竞争战略是你死我活的零和博弈。信息时代的战略则是竞争与合作并存的双赢战略。

5.生产系统的创新。进入1980年代后,出现了计算机集成制造系统(CIMS)。1990年代后,生产系统由MRP和MRPⅡ发展到ERP(企业资源计划)。ERP的核心管理思想就是实现对供应链的有效管理,其主要体现在以下三个方面:体现对整个供应链资源进行管理的思想;体现精益生产、同步工程和敏捷制造的思想;体现事先计划与事中控制的思想。

6.企业组织创新。企业内部组织结构正趋向扁平化方向发展。虚拟企业正在代替传统的实体企业。

现代会计信息系统是为现代企业经营与管理服务的,一个先进会计信息系统不仅仅体现在对先进的信息技术的应用上,还必将集成先进的企业经营和管理思想。

(四)人们不断变化的信息需求

美国注册会计师协会财务报告特别委员会完成的《改进企业报告━━着眼于用户》(ImprovingBusinessReporting━━ACustomerFocus),提出企业报告综合模型的5类数据与信息,也就是财务与非财务数据,管理部门对财务和非财务数据的分析,前瞻性信息,有关股东、管理人员的信息,背景信息等。并提出与上述分类相一致的3个概念,一是企业报告应当有一定的灵活性,二是有效地提供信息,三是考虑企业报告的成本和收益。薛云奎教授对未来财务报告的十大发展趋势加以预测,包括从单一报表体系向多元报表体系转变、从重可靠性到可靠性与相关性并重、从重历史成本到历史成本与公允价值并重、从重主体信息到主体与关联方信息并重、从重有形资源到有形资源与技术资源并重、从重表式信息到表式与图像化信息并重、从重货币计量到货币与非货币计量并重、从重绝对值揭示到绝对值与相对值揭示并重、从重事后信息揭示到事后与事前信息揭示并重、从重年度信息揭示到年度与日常信息揭示并重。这十大发展趋势有的已经大势所趋,有的初见端倪。

从上可知,人们对会计信息的需求正在发生变化,会计时空观正在发生改变,这些变化必然对会计信息系统提供信息的方式、时间及所提供的信息内容、格式等,提出新的要求,必然引起会计信息系统体系结构的调整。

(五)会计职能的扩展

会计职能随着生产力水平的提高、科学技术的进步、管理水平的改进及人们对会计认识的深化,会不断发展变化。会计最基本的职能就是反映和控制职能,除此之外,还有派生职能,如预测、评价经营业绩、参与经济决策等。在新经济时代,会计不再是仅仅完成这些传统职能,而是要通过辅助解决业务问题,不断增加企业的价值。业务问题的解决需要集成组织战略、组织结构、业务过程、信息技术及业务度量标准。会计的职能就是要通过IT集成企业的业务、信息及管理过程帮助企业创造价值。简单地说,会计可以通过行使下列职能不断地提高其为企业增加价值的能力:(1)为负责计划、执行或评价企业的决策者提供各种有用信息。(2)促使信息过程融合到业务过程中,确保信息过程在执行控制业务过程的规章的同时,获取和存储有关业务过程的详细数据。(3)帮助管理当局制定企业规章或政策,塑造并控制业务过程。这三种职能是现代信息技术与新经济环境对会计信息系统提出的新要求。

三、现代会计信息系统的特征

由上文分析可知,现代会计信息系统就是以现代信息技术和管理思想为基础,通过行使会计职能,以满足现代用户不断变化的信息需求的会计信息系统。它必然被打上现代经济信息技术环境特征的许多烙印。企业应该考虑上述因素,建立一个具有以下特征的会计信息系统,才能确保其会计信息系统的高度有效性,提高会计为企业增加价值的能力,确保会计目标的实现。

(一)以现代信息技术为支持平台

由上文分析,技术基础决定了企业能够建立怎样的信息系统。我们现在处在网络技术/电子商务大发展的时代,电子商务等活动产生的大量经济业务数据,包括财务与非财务数据、货币与非货币的数据、定量与非定量数据,都以电子的形式保存于网络之中,会计信息系统应可以随时到网络上取数生成财务报告所需要的信息。同时,随着经济全球化加剧和网络经济的大发展,对远程传输数据,自动捕获电子商务交易数据,原始数据分散收集、集中处理提出更高的要求。建立现代会计信息系统必须采用网络技术/电子商务应用系统的主流开发和运行平台,应用可靠的大型数据库如MSSQLServer、Oracle、Sybase等和数据仓库技术、联机分析处理技术和数据挖掘技术为基础,以C/S或B/S层结构设计、相关的组件开发和先进的Web技术等为手段,利用网络技术使系统拥有图形窗体界面(GUI)和浏览器界面(Browser),将局域网应用和Internet应用结合在一起,从而实现系统的分布式网络计算,以确保其大数据量、多用户数下的网络性能。

(二)以最大可能增加企业价值为根本

现代会计信息系统必须能够以计算机和信息处理技术为手段,来行使会计的职能。随着经济环境的变迁,会计的职能也在向最大可能的增加企业价值方向演变。建立现代会计信息系统的根本就是在实现会计传统职能的基础上,集成企业的业务、信息及管理过程,持续不断地提高其为企业增加价值的能力。因而,一个现代化的会计信息系统首先应该具有会计核算功能,会计核算是会计信息系统的基础;应该充分发挥会计的管理功能,积极参与决策、实施适时控制和开展经济分析,做到事前预测与决策、事中监督和事后分析、考评;应该延伸到企业的各个职能部门,促使信息过程融合到业务过程,实现数据信息的整合与共享,建立良好的信息沟通渠道,实现全员参与式的管理。

(三)以先进的管理思想为核心

在新经济时代,企业经营与管理思想不断创新,这种创新不断对信息系统提出新的要求。在建立会计信息系统时,必须基于现代管理科学理论、经营和管理理念和管理活动。纵观管理信息系统的发展,每一代管理信息系统的出现,都和管理思想的创新分不开,都是实现管理思想的载体。例如,MRP(物料需求计划)是为解决制造企业原材料库存管理问题而诞生,MRPⅡ(制造资源计划)为了实现物流和资金流的实时同步更新而诞生。MRPⅡ又发展成为ERP(企业资源计划)。ERP不仅是一种计算机软件,更是一种管理思想的综合。它的核心就是实现对整个供应链的有效管理,它把企业和供应商、客户等市场要素结合起来,并将企业内部的采购、开发设计、生产、销售进行整合,使企业能够对人、财、物、信息等资源进行有效的管理与调控,提高资源运作效率。在这个系统中体现了系统化计划管理、供需链管理、信息集成、精益生产、敏捷制造和同步工程的现代管理思想。会计信息系统的经过多年的发展,已经由核算型向管理型过渡,由单用户向网络化发展,由部门级发展到企业级,并紧密地融入到基于供应链思想的ERP中,所以现代会计信息系统必须以先进的管理思想为核心,满足现代化管理的需要。

(四)以价值链和事项驱动体系结构为架构

价值链概念最先由美国学者迈克尔·波特在1985年出版的《竞争优势》中提出。他认为,“每一个企业都是用来进行设计、生产、营销、交货以及对产品起辅助作用的各种活动的集合。所有这些活动都可以用价值链表示出来。”按照迈克尔·波特的观点,价值链一般包括内部后勤、生产经营、外部后勤、市场销售、与服务等五项基本活动和采购、技术开发、人力资源管理和企业基础设施等四项辅助活动。迈克尔·波特的价值链是实体价值链。随着电子商务和虚拟企业的发展,虚拟价值链也成为为企业创造价值的一个重要链条,虚拟价值链包含收集、组织、选择、处理和分配信息五项活动。这两条价值链成为现代企业能够运转的两个车轮。

企业在建立会计信息系统时,应该按照实体价值链条,为每项活动开发一个数据处理功能模块,通过现代计算机网络技术再把各模块连接起来,形成一个基于实体价值链的数据处理链。基于实体价值链的数据处理链再链接到基于网络的管理虚拟价值链的数据库管理系统中,形成一个虚、实价值链管理集成系统,来完成对价值链的实时追踪、核算、控制、预测与评价。这样的信息集成系统将具备动态企业建模能力,能够适应、引导业务流程不断改进。随着面向对象的软件开发技术的成熟、工作流协同技术的发展,这种系统能够灵活地定义和维护业务流程、业务对象和软件组件之间的映射关系,从而支持业务流程的持续改进。

为每项活动开发数据处理功能模块时,采用事件驱动的体系结构。这种体系结构以业务过程和事件来构造系统,它认为业务过程和事件的本质决定了如何采集、存储和使用数据。这种体系结构以各类经济活动事项为中心组织数据,并独立于应用程序之外,业务数据输入一次,便可用于生成各种视图驱动应用所能提供的全部视图。基于事件驱动的体系结构的会计信息系统在业务发生时收集、存储业务事件的所有数据(如事件本身、时间、地点、责任人和参与者、涉及到的资源与风险等),执行控制规则,同时完成会计处理,实现业务和会计的协同化处理与实时控制。相对于传统会计信息系统来说增加了许多非财务、非货币的内容,可以支持不同角度、不同层次、不同时间的信息要求。

以价值链和事项驱动体系结构为架构建立的会计信息系统既和企业价值链会计的管理思想相一致,又能够以灵活多样的信息报告模式,如事项法报告模式、数据库报告模式、REA报告模式、多重计价模式、多层界面报告模式等,为信息用户提供多种形式的信息,如财务与非财务、货币与非货币、历史与现时、年度与日常等的信息。

(五)以用户需求为导向

在新经济时代,市场竞争更加激烈,管理者、投资者等信息用户为了做出正确的经营投资决策,需要更多的信息。正如美国注册会计师协会财务报告特别委员会在《改进企业报告━━着眼于用户》中所说及薛云奎教授所预测的那样,用户对会计信息的需求正在发生巨大的变化。他们不仅关注企业财务报表信息,而且更关注企业经济事项原始数据,并希望企业提供开放的数据库,根据自己设定的决策模型获取原始数据进行分析决策。现代会计信息系统应该以用户需求为导向,提供一种理想的基础数据状态,而对数据的加工和组合则由报告的使用者自己去完成。企业在建立现代会计信息系统时,要充分利用现代数据仓库与数据挖掘技术、联机处理分析技术、网络通讯技术、可扩展的财务报告标记语言(XML)等现代计算机技术,提供满足上述要求的数据信息电子报告模式,如事项法报告模式、数据库报告模式、REA报告模式、多层界面报告模式等。这些电子报告模式提供一种基于经济业务的“信息材料”,由用户自己根据需要将“材料”组建成“半成品”、“产成品”,满足信息使用者需求的多样性、多层次性。另外,在今天的新经济时代,人们计划期间短,投资机会多,决策随机性大。传统的定期报告模式无法满足人们不断变化地对实时性财务信息的需求。现代会计信息系统必须采用频道点播技术,实现实时报告,以解决电子报告的及时性问题。还要根据用户需求的多样性和多层次性来设计实时报告的内容和格式。

(六)以强有力的安全控制为保障

由于网络技术和电子商务的迅速发展与普及应用,进行网上自动捕获电子交易数据,网上数据处理与传输,必然成为企业建立现代会计信息系统的普遍做法。现代信息技术是一把“双刃剑”,不仅为企业进行会计核算提供了最便捷最高效的处理工具,也为企业的会计信息安全带来了最大的最难以预防的威胁。企业不仅要防范内部的计算机舞弊,而且还要抵御来自Internet的攻击和威胁。因而,企业在建立现代会计信息系统时,必须以毒攻毒,建立基于现代信息技术的强有力的安全保障系统。

在企业内部,必须设置防火墙,建立虚拟专用网(VPN设备)、提供系统日志审计工具和安全分析工具、安装信息网关和安全路由器、设计授权和身份认证系统、实施信息加密、加强安全检测预警系统的实时检测等安全措施。建立一个企业动态自适应安全模型,进行实时检测和报警响应,不断查找网络脆弱点,提供准确的网络安全审计报告。在企业外部,借助电子商务的权威认证中心(CertificateAuthority),确保交易的正确进行。通过密码技术隐藏信息内容,实现信息的可靠传递。也可以设立网站安全评估系统保证交易完整、防止信息不受侵害、防止未知实体进入交易所进行交易。这些安全保障系统构成了现代会计信息系统的一个重要组成部分,企业只有建立一个切实可行的可靠的安全保障系统,才能确保其现代会计信息系统功能的实现。

参考文献:

[1]霍兰德著.杨周南、赵纳辉等译.现代会计信息系统.北京:经济科学出版社.1999

[2]李捷、杨周南.如何建立现代会计信息系统.会计研究.2004,4

[3]吴联生.会计研究起点理论述评.会计研究.1998,10

[4]肖泽忠.大规模按需报告的公司财务报告模式.会计研究.2000,1

[5]薛祖云主编.会计信息系统.厦门:厦门大学出版社.2003

[6]杨周南.IT环境下传统会计面临的十二大变革.财务与会计.1999,7

[7]张广、陈翔、朱朝华.会计信息体系结构的发展.会计研究.2002,10