前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的安全管理審計報告主題范文,僅供參考,歡迎閱讀并收藏。
常規(guī)審計項目往往局限于某個單位,審計結(jié)果反映的很多是個性問題,而不是普遍性、傾向性問題。而審計調(diào)查要高度重視外部關(guān)注的敏感領(lǐng)域、影響公司管理和效益的重點環(huán)節(jié)及高風(fēng)險點,將可能形成“發(fā)熱點”、“出血點”的領(lǐng)域和環(huán)節(jié)納入審計重點,優(yōu)先立項,及時安排,化解風(fēng)險。某大型國企按照“突出重點、監(jiān)督到位”原則,增強(qiáng)大局意識,科學(xué)安排審計項目,主動作為,加強(qiáng)對核心業(yè)務(wù)領(lǐng)域的監(jiān)督檢查。該公司多家子公司均在省會城市設(shè)立辦事處,但這些辦事處的管理游離于企業(yè)管理之外,屬于管理盲點,亟需摸清現(xiàn)狀,為領(lǐng)導(dǎo)決策提供服務(wù),因此公司總部審計部予以立項,按照“摸清情況、分清責(zé)任、揭示風(fēng)險、提出建議”的總體要求,總部審計部成立審計組,組織開展各單位駐省會辦事處管理審計調(diào)查,摸清各單位駐省會辦事處經(jīng)營管理現(xiàn)狀,分析存在問題,評價經(jīng)營風(fēng)險,提出加強(qiáng)駐省會辦事處管理建議,促進(jìn)規(guī)范管理。
2多管齊下管控審計過程,提升審計調(diào)查質(zhì)量
2.1統(tǒng)籌運(yùn)用審計資源
按照統(tǒng)一部署、分級實施、層層負(fù)責(zé)原則開展專項審計調(diào)查,推行實現(xiàn)項目統(tǒng)一立項、方案統(tǒng)一編制、調(diào)查統(tǒng)一實施,成果統(tǒng)一應(yīng)用、問題統(tǒng)一整改,從組織形式上實現(xiàn)上下步調(diào)一致工作格局。
2.2周密部署審計調(diào)查
充分了解與調(diào)查事項相關(guān)的法規(guī)政策制度,調(diào)查對象的財務(wù)隸屬關(guān)系、主要業(yè)務(wù)流程、資金管理使用的基本情況。制定內(nèi)容細(xì)致操作性強(qiáng)的審計調(diào)查方案,明確調(diào)查事項的范圍、內(nèi)容、工作步驟、人員分工、時間安排等,特別要明確關(guān)注重點和調(diào)查方式。
2.3靈活運(yùn)用調(diào)查方法
要運(yùn)用靈活多樣的審計調(diào)查方法,跨地域、跨單位、跨部門開展調(diào)查,做到自查和互查相結(jié)合,全面調(diào)查和抽樣調(diào)查相結(jié)合,遠(yuǎn)程審計和實地走訪相結(jié)合。采取聽匯報、現(xiàn)場抽樣、查資料、問疑點、關(guān)聯(lián)數(shù)據(jù)比對、信息系統(tǒng)檔案查詢等多種方式,開展內(nèi)控測試、風(fēng)險評估、分析性復(fù)核,充分利用各類信息系統(tǒng),利用網(wǎng)絡(luò)開展在線審計,進(jìn)行數(shù)據(jù)查詢和挖掘,根據(jù)調(diào)查情況繪制各業(yè)務(wù)管理的流程圖,大量收集審計調(diào)查證據(jù),揭示經(jīng)營管理薄弱環(huán)節(jié),節(jié)約審計時間和審計成本,提升審計工作質(zhì)量。
2.4總結(jié)提煉審計調(diào)查報告
通過橫向縱向?qū)Ρ确治稣{(diào)查結(jié)果,發(fā)現(xiàn)存在的普遍性、傾向性問題,分析問題要切中要害,要從大量的財務(wù)數(shù)據(jù)和非財務(wù)資料中歸納出規(guī)律性,分析問題產(chǎn)生的主觀原因和客觀原因、歷史原因和現(xiàn)實原因,挖掘問題根源所在,形成審計結(jié)論和審計建議,既要提出堵塞工作漏洞及薄弱環(huán)節(jié),解決實際問題的具體措施,又要注意標(biāo)本兼治,健全內(nèi)部控制措施,優(yōu)化業(yè)務(wù)管理流程。
3某大型國企駐省會辦事處審計調(diào)查的做法實例:
3.1自查與全面審計相結(jié)合,調(diào)查結(jié)果準(zhǔn)確、完整
審計調(diào)查按照統(tǒng)一部署、分級實施、層層負(fù)責(zé)原則,由公司統(tǒng)一立項,各單位自查,公司審計部在各單位自查的基礎(chǔ)上對各駐省會辦事處開展全面現(xiàn)場審計調(diào)查,并形成調(diào)查報告。在審計調(diào)查中采取了聽匯報、現(xiàn)場抽樣、查資料、問疑點、數(shù)據(jù)比對等多種方式,進(jìn)行了深入細(xì)致的調(diào)查分析,報告詳盡反映駐省會辦事處總體管理情況,內(nèi)控制度建設(shè)與執(zhí)行,資金安全管理,資產(chǎn)和產(chǎn)權(quán)管理,勞動用工及薪酬福利管理,費用報銷管理,債權(quán)債務(wù)管理,損益情況。
3.2制定標(biāo)準(zhǔn)化調(diào)查流程,加強(qiáng)橫向?qū)Ρ确治?/p>
審計組統(tǒng)一編制調(diào)查資料清單和調(diào)查表格,全面覆蓋駐省會辦事處涉及的資金、資產(chǎn)、人員等關(guān)鍵信息。通過各單位自查摸清各單位駐省會辦的管理模式和管理現(xiàn)狀,為開展現(xiàn)場審計工作打好基礎(chǔ)。由于本次審計調(diào)查涉及所有地市單位,對同類業(yè)務(wù)或事項采取橫向?qū)Ρ确治觯瑫r綜合考慮各單位特殊因素,使審計組快速找尋審計突破口,有效提高審計效率。
3.3現(xiàn)場審計與遠(yuǎn)程審計相結(jié)合,有效節(jié)約審計成本
針對審計資源不足問題,創(chuàng)新建立遠(yuǎn)程審計與現(xiàn)場審計結(jié)合工作機(jī)制,將審計項目分為在線遠(yuǎn)程核查和現(xiàn)場審計兩個階段。在線遠(yuǎn)程核查階段,審計人員通過業(yè)務(wù)、財務(wù)等信息系統(tǒng),遠(yuǎn)程對被審計單位財務(wù)收支、人力資源管理等進(jìn)行全面核查,記錄風(fēng)險點和疑點?,F(xiàn)場審計階段,由審計組將有風(fēng)險點和疑點的業(yè)務(wù)記錄表發(fā)送至被審計單位,要求被審計單位準(zhǔn)備資料,并開展現(xiàn)場審計。在實踐應(yīng)用中,審計時間較以往節(jié)省15天,審計人員減少3人,差旅費、住宿費及交通費等節(jié)約近3.99萬元。
3.4促進(jìn)項目信息資源共享
在督促檢查審計進(jìn)程的同時,通過電話詢問、定期報告、疑難解答等方式掌握各小組在調(diào)查中的方式方法,發(fā)現(xiàn)的典型問題,借助QQ群會話、收集審計典型案例等活動載體,為信息共享構(gòu)筑交流平臺,不僅提高了審計人員業(yè)務(wù)水平,也為審計結(jié)果的真實、全面、準(zhǔn)確性奠定了基礎(chǔ)。
3.5建立審計質(zhì)量控制責(zé)任制
(一)審計隊伍建設(shè)有待加強(qiáng)。開展信息技術(shù)審計需要一批既懂計算機(jī),又懂審計的復(fù)合型內(nèi)審人員。目前,基層行開展信息技術(shù)審計項目最大的瓶頸就是缺少信息技術(shù)審計人員。絕大多數(shù)審計人員尚未具備實施信息技術(shù)審計必需的知識和技能,只能沿用傳統(tǒng)審計方式,檢查登記簿或口令等較為粗淺的內(nèi)容,無法準(zhǔn)確、深入評價信息系統(tǒng)的風(fēng)險控制狀況。
(二)審計輔助手段有待開發(fā)。目前人民銀行開展信息技術(shù)審計大多沿用手工方法,通過實地觀察,查閱登記簿、運(yùn)行日志等文檔資料,并結(jié)合上機(jī)檢查系統(tǒng)設(shè)置、程序配置情況等來評價科技管理情況。這樣的工作方法不僅效率不高,甚至還由于電子線索的易篡改性,伴隨著巨大的審計風(fēng)險。而目前能熟練掌握計算機(jī)專業(yè)知識的內(nèi)審人員偏少,計算機(jī)輔助審計僅停留在文字處理和電子表格處理層面,更深層次的數(shù)據(jù)收集、篩選、分析應(yīng)用不多或甚至沒用。且各應(yīng)用系統(tǒng)的開發(fā)各自為政,缺少統(tǒng)一、標(biāo)準(zhǔn)的數(shù)據(jù)接口,加之內(nèi)審部門也未配備專用的審計軟件,使得要開展對計算機(jī)輔助審計更是難上加難。
(三)審計標(biāo)準(zhǔn)建設(shè)有待加快。目前人民銀行還未建立完善的信息技術(shù)審計評價標(biāo)準(zhǔn)體系,原有的針對傳統(tǒng)審計的規(guī)章制度已不能滿足信息技術(shù)審計的需要?,F(xiàn)在審計人員開展信息技術(shù)審計時,通常是通過查閱操作手冊和管理制度來了解信息系統(tǒng),以這種方式來了解系統(tǒng),作用十分有限,很大程度上還是依賴審計人員的個人能力,無法做到統(tǒng)一和公平,從而影響內(nèi)審的公正性和權(quán)威性。而且信息系統(tǒng)更新?lián)Q代迅速,制度建設(shè)卻相對滯后,就存在部分系統(tǒng)已廣泛應(yīng)用卻沒有規(guī)章制度加以規(guī)范的情況。對這種情況,審計人員更是“霧里看花”,無從下手。
(四)審計開展程度有待加深。目前,人民銀行開展的信息技術(shù)審計仍多集中在孤立的審計、合規(guī)性審計。一是未真正應(yīng)用風(fēng)險導(dǎo)向?qū)徲嫹椒?。審計項目、審計重點不是通過對各套業(yè)務(wù)系統(tǒng)、各控制環(huán)節(jié)的風(fēng)險排序來確定,而更多地根據(jù)經(jīng)驗判斷、領(lǐng)導(dǎo)關(guān)注重點來安排,缺乏科學(xué)性和系統(tǒng)性。且審計多局限于技術(shù)細(xì)節(jié),未能對系統(tǒng)的整體風(fēng)險做全面、深入的評判。表現(xiàn)在最終的審計報告中就是,對信息系統(tǒng)的技術(shù)細(xì)節(jié)提了很多問題,通篇充斥晦澀的專業(yè)術(shù)語,卻少有對系統(tǒng)整體風(fēng)險和數(shù)據(jù)安全性全局、清晰的描述。被審計單位的領(lǐng)導(dǎo)對信息技術(shù)細(xì)節(jié)的了解一般不深,單從這些專業(yè)的術(shù)語無法充分明了審計發(fā)現(xiàn)問題的嚴(yán)重性和風(fēng)險程度。這樣的審計結(jié)論下達(dá)到被審計單位無疑是隔靴搔癢,審計效果大打折扣。二是集成審計開展較少。集成審計即業(yè)務(wù)審計和信息技術(shù)審計的結(jié)合。目前人民銀行的業(yè)務(wù)審計和信息技術(shù)審計是相互獨立的。在開展業(yè)務(wù)審計時,一般只關(guān)注業(yè)務(wù)自身,而對支撐業(yè)務(wù)開展的系統(tǒng)很少涉及;開展信息技術(shù)審計時,僅對某系統(tǒng)做檢查,對系統(tǒng)上運(yùn)行的業(yè)務(wù)很少關(guān)注。信息系統(tǒng)是為業(yè)務(wù)服務(wù)的,對人民銀行業(yè)務(wù)的影響才是審計的最終關(guān)注點,如果不能結(jié)合業(yè)務(wù)進(jìn)行總體評價,那么大家對審計結(jié)果的興趣度和認(rèn)可度將受到影響。
(五)審計介入時機(jī)有待提前。目前的信息技術(shù)審計大多是對已運(yùn)行系統(tǒng)的審計,也就是事后審計,對系統(tǒng)開發(fā)過程的審計即事前審計還未能真正開展。就信息系統(tǒng)而言,對已完成系統(tǒng)進(jìn)行修改所要花費的時間和費用比在設(shè)計階段修改的花費要大得多,因此,對開發(fā)過程的審計意義猶為重大。但目前人民銀行的信息系統(tǒng)的設(shè)計開發(fā)、安裝調(diào)試、推廣建設(shè)等工作基本都是由科技和業(yè)務(wù)部門實施,缺乏內(nèi)審部門的介入。
原因分析
(一)信息技術(shù)審計起步較晚,發(fā)展還需要一定過程。發(fā)達(dá)國家信息技術(shù)審計工作啟動較早,如美國著名的信息系統(tǒng)審計與控制協(xié)會(ISACA)1969年就已成立。而人民銀行信息技術(shù)審計到現(xiàn)在只有十年多的時間,與發(fā)達(dá)國家相比較,在審計標(biāo)準(zhǔn)的科學(xué)性、審計范圍的廣度和深度、審計手段的現(xiàn)代化程度等方面都存在差距,還處于初級階段。信息技術(shù)審計的發(fā)展不能一蹴而就,需要一步一個腳印扎實積累,許多矛盾和問題也需要時間慢慢消釋,要達(dá)到高水平的信息技術(shù)審計還有很長的路要走。
(二)對信息技術(shù)審計的重視不夠,支持和投入不足。目前部分基層對于信息技術(shù)審計的重要性認(rèn)識不足,對計算機(jī)系統(tǒng)盲目信任,認(rèn)為由上級行組織開發(fā)的系統(tǒng)肯定是安全可靠的,無需再審計。事實上,系統(tǒng)是由人來操作和維護(hù)的,再好的系統(tǒng)也無法完全避免惡意分子的破壞。有些內(nèi)審人員對信息技術(shù)審計的認(rèn)識也有限,即便應(yīng)用計算機(jī)對審計數(shù)據(jù)進(jìn)行處理,也多是手工審計方式的簡單延伸,而未能有意識的利用計算機(jī)對審計數(shù)據(jù)開展深層次的分析。
(三)受人力資源機(jī)制的限制,建設(shè)一支良好的信息技術(shù)審計隊伍有一定難度。從現(xiàn)在的情況看,在短時間內(nèi)改變?nèi)嗣胥y行信息技術(shù)審計人員缺乏的局面有不少困難。一是人員配備存在先天不足。人民銀行內(nèi)審部門脫胎于稽核部門,因此配備的人員多以會計專業(yè)為主。加之人民銀行的業(yè)務(wù)多與會計和金融相關(guān),從其他部門調(diào)入的人員也是會計和金融專業(yè)居多。而人民銀行近年來信息化建設(shè)蓬勃開展,需要大量科技人才,受限于人員編制,每年招收的計算機(jī)專業(yè)人員本來就不多,能夠分配或調(diào)入內(nèi)審部門的計算機(jī)專業(yè)人員更是少之又少。二是對于信息技術(shù)審計的培訓(xùn)力度不夠??傂袃?nèi)審司每年均舉辦一次專門的信息技術(shù)審計培訓(xùn),為培養(yǎng)信息技術(shù)審計人才起了很好的作用,但是能參加總行培訓(xùn)的人員比例還是太少,而基層行又由于培訓(xùn)計劃、經(jīng)費和師資條件等限制,難以開展專門的信息技術(shù)培訓(xùn)。
(四)信息技術(shù)審計的權(quán)威性尚未樹立,業(yè)務(wù)部門的配合程度不高。人民銀行的信息技術(shù)審計開展時間不長,還未像傳統(tǒng)業(yè)務(wù)審計那樣深入人心,受到普遍認(rèn)可。由于計算機(jī)專業(yè)門檻高,科技部門對內(nèi)審開展信息技術(shù)審計的專業(yè)程度持懷疑態(tài)度,認(rèn)為只有“外行看熱鬧”,不可能像內(nèi)行那樣看出什么門道,只會是吹毛求疵、白費力氣。確實,目前基層行開展的信息技術(shù)審計查出的問題還較為淺顯,未能切中要害,也不能提出富有建設(shè)性的意見。因此,科技部門對信息技術(shù)審計還處于被動接受的狀態(tài),未形成在系統(tǒng)開發(fā)時主動邀請內(nèi)審部門介入、運(yùn)維過程中主動向?qū)徲嫴块T通報監(jiān)控情況、審計過程中主動與內(nèi)審人員討論完善風(fēng)險措施等良性互動的局面。
改進(jìn)央行信息技術(shù)審計工作的建議
(一)加強(qiáng)對信息技術(shù)審計的重視,提高支持和投入力度。隨著計算機(jī)的普及和網(wǎng)絡(luò)的盛行,信息安全風(fēng)險已逐漸為人所知,對信息系統(tǒng)開展審計的必要性已逐漸獲得認(rèn)可。內(nèi)審部門要借助這有利局面,在各種場合加大信息技術(shù)審計重要性的宣傳,擴(kuò)大影響力;精心實施審計,以更有價值、更有深度的審計成果獲得各方的肯定和重視,優(yōu)化內(nèi)審工作環(huán)境。要進(jìn)一步明確信息技術(shù)審計的工作目標(biāo)和范圍,不斷加大資金、人員和設(shè)備等的投入,加快建設(shè)輔助審計軟件和網(wǎng)站,創(chuàng)造有利條件,為開展信息技術(shù)審計做好后盾。
(二)加強(qiáng)信息技術(shù)審計隊伍建設(shè),更新審計人員信息技術(shù)知識。增強(qiáng)內(nèi)審隊伍的信息技術(shù)知識和審計能力已經(jīng)迫在眉睫,需要貼近實際加強(qiáng)信息技術(shù)人才隊伍的建設(shè)。一是擴(kuò)大信息技術(shù)審計人員隊伍,支持、鼓勵內(nèi)審部門招收計算機(jī)專業(yè)人員,從科技部門引進(jìn)經(jīng)驗豐富的科技人員。二是加強(qiáng)信息技術(shù)審計培訓(xùn)力度,擴(kuò)大培訓(xùn)覆蓋范圍,增強(qiáng)培訓(xùn)實用度,利用真實上機(jī)環(huán)境開展培訓(xùn),提高審計人員的實戰(zhàn)操作能力;積極爭取內(nèi)審人員參加業(yè)務(wù)系統(tǒng)培訓(xùn)的機(jī)會,第一時間了解業(yè)務(wù)應(yīng)用軟件控制流程、操作要求。三是加強(qiáng)與先進(jìn)IT企業(yè)的溝通與交流,汲取信息安全管理方面的先進(jìn)知識;探索開展信息技術(shù)外包審計,吸取外部審計的經(jīng)驗和技巧,提高自身的信息技術(shù)審計水平。四是鼓勵審計人員通過自身努力更新計算機(jī)知識。鼓舞審計人員信心,消除他們的畏難情緒,使其踴躍投入到信息技術(shù)審計工作中。鼓勵內(nèi)審人員參加計算機(jī)培訓(xùn)或認(rèn)證,給予一定的獎勵,使更多的內(nèi)審人員能夠掌握基本的信息技術(shù)審計知識。
(三)加強(qiáng)輔助審計軟件開發(fā),提高審計工作效率和質(zhì)量。依托計算機(jī)技術(shù)來加大審計的力度和深度。一是建立完備的人民銀行內(nèi)審綜合管理系統(tǒng),實現(xiàn)審計全過程信息化管理,包含豐富的人員管理、風(fēng)險評估和成果利用等功能,真正起到提高效率、完善管理的作用。二是開發(fā)計算機(jī)輔助審計軟件,建立業(yè)務(wù)系統(tǒng)與審計系統(tǒng)之間的數(shù)據(jù)采集接口,動態(tài)監(jiān)測業(yè)務(wù)系統(tǒng)運(yùn)行情況,加強(qiáng)系統(tǒng)運(yùn)行報警和預(yù)測的能力,及時發(fā)現(xiàn)異常事件。三是依托網(wǎng)絡(luò)建立專門的審計網(wǎng)站,最新的信息技術(shù)審計信息、經(jīng)驗交流和疑難解答等,并為下一步實現(xiàn)全面的非現(xiàn)場網(wǎng)絡(luò)審計做好鋪墊,最終構(gòu)建一個全方位、立體化的綜合審計平臺。
(四)加強(qiáng)審計標(biāo)準(zhǔn)體系建設(shè),規(guī)范和指導(dǎo)信息技術(shù)審計操作。應(yīng)積極與國內(nèi)外著名信息技術(shù)審計協(xié)會、組織的交流合作,借鑒先進(jìn)的信息安全風(fēng)險控制經(jīng)驗,建立起符合人民銀行實際的信息技術(shù)審計標(biāo)準(zhǔn)體系??茖W(xué)立項,完善審計方案設(shè)計,設(shè)計并運(yùn)用審計檢查表規(guī)范檢查操作方法,客觀分析信息系統(tǒng)的安全性及潛在風(fēng)險,提出科學(xué)的改進(jìn)建議。以標(biāo)準(zhǔn)化的審計,指導(dǎo)基層行信息技術(shù)審計工作實踐,使審計規(guī)范運(yùn)作,并最終形成系統(tǒng)全面、客觀公正的審計結(jié)論。
(五)加強(qiáng)審計轉(zhuǎn)型工作,提高審計質(zhì)量與深度。要拓展風(fēng)險導(dǎo)向?qū)徲嫛⒐芾韺徲?、集成審計和績效審計的新領(lǐng)域。建立信息技術(shù)審計風(fēng)險評估體系,在對信息系統(tǒng)風(fēng)險評估的基礎(chǔ)上,以風(fēng)險為導(dǎo)向安排審計項目和頻率,有所側(cè)重地實施檢查,分配審計資源,提高信息技術(shù)審計的效率和質(zhì)量。加深信息技術(shù)審計與業(yè)務(wù)審計的相互滲透,由信息技術(shù)審計人員與業(yè)務(wù)審計人員相互配合,跟蹤業(yè)務(wù)處理的整個流程,綜合評價業(yè)務(wù)和應(yīng)用系統(tǒng)的處理和控制情況,使審計結(jié)果更貼近央行業(yè)務(wù)實際,提升審計成效。