公務(wù)員期刊網(wǎng) 精選范文 安全審計(jì)報(bào)告范文

安全審計(jì)報(bào)告精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的安全審計(jì)報(bào)告主題范文,僅供參考,歡迎閱讀并收藏。

安全審計(jì)報(bào)告

第1篇:安全審計(jì)報(bào)告范文

論文摘要:本文強(qiáng)調(diào)審計(jì)工作的安全、高效和信息化,從審計(jì)工作的現(xiàn)狀、發(fā)展瓶頸到信息化審計(jì)的制度健全、引入主機(jī)系統(tǒng)安全審計(jì)、業(yè)務(wù)系統(tǒng)安全審計(jì)等相關(guān)管理辦法、新技術(shù)或新理念和待解決的問題等方面,論述構(gòu)建安全高效的審計(jì)信息化安全保障體系的措施。

審計(jì)是客觀評(píng)價(jià)個(gè)人,組織、制度、程序、項(xiàng)目或產(chǎn)品。審計(jì)執(zhí)行是以確定有效性和可靠性的信息,還提供了一個(gè)可內(nèi)控的評(píng)估系統(tǒng)。審計(jì)的目標(biāo)是表達(dá)人、組織、系統(tǒng)等的評(píng)估意見,審計(jì)人員在測(cè)試環(huán)境中進(jìn)行評(píng)估工作。審計(jì)必須出示合理并基本無誤的報(bào)表,通常是利用統(tǒng)計(jì)抽樣來完成。審計(jì)也是用來考察和防止虛假數(shù)據(jù)及欺騙行為,檢查、考證目標(biāo)的完整性、準(zhǔn)確性,以及檢查目標(biāo)是否符合既定的標(biāo)準(zhǔn)、尺度和其它審計(jì)準(zhǔn)則。實(shí)現(xiàn)審計(jì)的信息化,有利于管理層迅速準(zhǔn)確的做出決定,對(duì)于政企業(yè)發(fā)展、社會(huì)經(jīng)濟(jì)的進(jìn)步都具有重要作用。目前,我國的審計(jì)工作尚存在性質(zhì)認(rèn)定模糊、工作范圍過于狹窄等問題,有待進(jìn)一步加強(qiáng)和改進(jìn)。

審計(jì)的基礎(chǔ)工作是內(nèi)部審計(jì),內(nèi)審是審計(jì)監(jiān)督體系中不可或缺的重要組成部分,是全面經(jīng)濟(jì)管理必不可少的手段,是加強(qiáng)任何機(jī)構(gòu)內(nèi)部管理的必要,推動(dòng)經(jīng)濟(jì)管理向科學(xué)化方向發(fā)展的重要環(huán)節(jié)也是審計(jì)。因此說審計(jì)部門是其他監(jiān)督部門不能代替的,促進(jìn)黨風(fēng)廉政建設(shè)、加強(qiáng)對(duì)黨政領(lǐng)導(dǎo)干部及管理人員的監(jiān)督都可以通過審計(jì)來完成。審計(jì)應(yīng)用與高新技術(shù)機(jī)構(gòu)中,在防范風(fēng)險(xiǎn)中發(fā)揮著重要作用,也有助于領(lǐng)導(dǎo)層做出正確決策。

一、審計(jì)工作的現(xiàn)狀及存在的問題

隨著我國經(jīng)濟(jì)迅猛發(fā)展,審計(jì)監(jiān)督力度不斷增強(qiáng),審計(jì)范圍也不斷擴(kuò)大。當(dāng)前,審計(jì)方式已由財(cái)政財(cái)務(wù)審計(jì)向效益審計(jì)發(fā)展,由賬項(xiàng)基礎(chǔ)審計(jì)向制度基礎(chǔ)審計(jì)、風(fēng)險(xiǎn)基礎(chǔ)審計(jì)發(fā)展,由事后審計(jì)向事中、事前審計(jì)發(fā)展。審計(jì)管理上建立審計(jì)質(zhì)量控制體系,要求審計(jì)機(jī)關(guān)把審計(jì)管理工作前移,把質(zhì)量控制體系貫穿與審計(jì)工作中。在此趨勢(shì)下,傳統(tǒng)的審計(jì)方法暴露出其效率低、審計(jì)范圍小等劣勢(shì),使得完成審計(jì)任務(wù),達(dá)到審計(jì)目標(biāo)越發(fā)缺乏及時(shí)性。

(一)內(nèi)部審計(jì)性質(zhì)認(rèn)定較為模糊。內(nèi)部審計(jì)是市場(chǎng)經(jīng)濟(jì)條件下,基于加強(qiáng)經(jīng)營管理的內(nèi)在需要,也是內(nèi)部審計(jì)賴以存在的客觀基礎(chǔ)。但是,現(xiàn)代內(nèi)部審計(jì)的產(chǎn)生卻是一個(gè)行政命令產(chǎn)物,強(qiáng)調(diào)外向。這種審計(jì)模式使人們對(duì)內(nèi)部審計(jì)在性質(zhì)認(rèn)定上產(chǎn)生模糊,阻礙了內(nèi)部審計(jì)的發(fā)展。內(nèi)部審計(jì)很難融入經(jīng)營管理中,審計(jì)工作很難正常開展,很難履行監(jiān)督評(píng)價(jià)職能和開展保證咨詢活動(dòng),因此就不能充分發(fā)揮其應(yīng)有的內(nèi)向的作用。

(二)內(nèi)部審計(jì)工作范圍過于狹窄。內(nèi)部審計(jì)的目的在于為組織增加價(jià)值并提高組織的運(yùn)作效率,其職能是監(jiān)督和服務(wù)。但是,我國內(nèi)部審計(jì)工作的重心局限在財(cái)務(wù)收支的真實(shí)性及合規(guī)性審計(jì)。長久以來內(nèi)部審計(jì)突出了監(jiān)督職能,而忽視了服務(wù)職能。內(nèi)部審計(jì)認(rèn)識(shí)水平、思想觀念的束縛以及管理體制等諸多因素,影響和阻礙著內(nèi)審作用的有效發(fā)揮。原因有會(huì)計(jì)人員知識(shí)水平、業(yè)務(wù)素質(zhì)不高,也有不重視法律、法規(guī)的因素,還有監(jiān)管不力、查處不嚴(yán)的原因。目前內(nèi)部審計(jì)尚處在查錯(cuò)階段,停留在調(diào)賬、糾正錯(cuò)誤上,還不能多角度、深層次分析問題,沒有較國際先進(jìn)的審計(jì)理念,我國內(nèi)部審計(jì)的作用尚待開發(fā)。審計(jì)人員的計(jì)算機(jī)知識(shí)匱乏,不適應(yīng)電算化、信息化的迅速發(fā)展。目前多數(shù)審計(jì)人員硬件知識(shí)掌握不熟練,軟件知識(shí)了解也不足,因此不能有效地評(píng)估信息系統(tǒng)的安全性、效益性。由于計(jì)算機(jī)審計(jì)軟件開發(fā)標(biāo)準(zhǔn)不同,功能也不完整,因此全面推廣計(jì)算機(jī)輔助審計(jì)就有一定難度,導(dǎo)致審計(jì)人員的知識(shí)和審計(jì)手段滯后于信息化的發(fā)展。

二、信息化審計(jì)體系的健全

當(dāng)前國家審計(jì)信息化發(fā)展的趨勢(shì)是建立審計(jì)信息資源的標(biāo)準(zhǔn)化、共享化、公開化,逐步達(dá)到向現(xiàn)代審計(jì)方式的轉(zhuǎn)變。這一趨勢(shì)是隨著當(dāng)前科學(xué)發(fā)展、和諧社會(huì)的推進(jìn),國家確立的公共財(cái)政建設(shè)、公共服務(wù)的實(shí)施、公共產(chǎn)品的提供應(yīng)運(yùn)而生的,三個(gè)“公共”的主旨是:國家財(cái)政資金的使用更注重民生;使用重點(diǎn)更注重服務(wù);使用效益更注重民意。

信息安全審計(jì)是任何機(jī)構(gòu)內(nèi)控、信息系統(tǒng)治理、安全風(fēng)險(xiǎn)控制等不可或缺的關(guān)鍵手段。收集并評(píng)估證據(jù)以決定一個(gè)計(jì)算機(jī)系統(tǒng)是否有效地做到保護(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整、完成目標(biāo),同時(shí)能更經(jīng)濟(jì)的使用資源。信息安全審計(jì)與信息安全管理密切相關(guān),信息安全審計(jì)的主要依據(jù)是出于不同的角度提出的控制體系的信息安全管理相關(guān)的標(biāo)準(zhǔn)。這些控制體系下的信息化審計(jì)可以有效地控制信息安全,從而達(dá)到安全審計(jì)的目的,提高信息系統(tǒng)的安全性。由此,國際組織也制定了相關(guān)文件規(guī)范填補(bǔ)信息系統(tǒng)審計(jì)方面的某些空白。例如《信息安全管理業(yè)務(wù)規(guī)范》通過了國際標(biāo)準(zhǔn)化組織ISO的認(rèn)可,正式成為國際標(biāo)準(zhǔn)。我國法律也針對(duì)信息安全審計(jì)制定出了《中華人民共和國審計(jì)法》、《國務(wù)院辦公廳關(guān)利用計(jì)算機(jī)信息系統(tǒng)開展審計(jì)工作有關(guān)的通知》等文件,基本規(guī)范了內(nèi)部審計(jì)機(jī)制,健全了內(nèi)部審計(jì)機(jī)構(gòu);強(qiáng)調(diào)機(jī)構(gòu)應(yīng)加強(qiáng)內(nèi)審工作,機(jī)構(gòu)內(nèi)部要形成有權(quán)就有責(zé)、用權(quán)受監(jiān)督的最佳氛圍;審計(jì)委員會(huì)直接對(duì)領(lǐng)導(dǎo)班子負(fù)責(zé),其成員需具有相應(yīng)的獨(dú)立性,委員會(huì)成員具良好的職業(yè)操守和能力,內(nèi)審人員應(yīng)當(dāng)具備內(nèi)審人員從業(yè)資格,其工作范圍不應(yīng)受到人為限制。內(nèi)部審計(jì)機(jī)構(gòu)對(duì)審計(jì)過程中發(fā)現(xiàn)的重大問題,視具體情況,可以直接向?qū)徲?jì)委員會(huì)或者領(lǐng)導(dǎo)層報(bào)告。 轉(zhuǎn)貼于  三、主機(jī)系統(tǒng)安全審計(jì)

信息技術(shù)審計(jì),或信息系統(tǒng)審計(jì),是一個(gè)信息技術(shù)基礎(chǔ)設(shè)施控制范圍內(nèi)的檢查。信息系統(tǒng)審計(jì)是一個(gè)通過收集和評(píng)價(jià)審計(jì)證據(jù),對(duì)信息系統(tǒng)是否能夠保護(hù)資產(chǎn)的安全、維護(hù)數(shù)據(jù)的完整、使被審計(jì)單位的目標(biāo)得以有效地實(shí)現(xiàn)、使組織的資源得到高效地使用等方面做出判斷的過程。

以技術(shù)劃分,信息化安全審計(jì)主要分為主機(jī)審計(jì)、網(wǎng)絡(luò)審計(jì)、應(yīng)用審計(jì)、數(shù)據(jù)庫審計(jì),綜合審計(jì)。簡單的說獲取、記錄被審計(jì)主機(jī)的狀態(tài)信息和敏感操作就是主機(jī)審計(jì),主機(jī)審計(jì)可以從已有的系統(tǒng)審計(jì)記錄中提取相關(guān)信息,并以審計(jì)規(guī)則為標(biāo)準(zhǔn)來分析判斷被審計(jì)主機(jī)是否存在違規(guī)行為??傊?,為了在最大限度保障安全的基礎(chǔ)上找到最佳途徑使得業(yè)務(wù)正常工作的一切行為及手段,而對(duì)計(jì)算機(jī)信息系統(tǒng)的薄弱環(huán)節(jié)進(jìn)行檢測(cè)、評(píng)估及分析,都可稱作安全審計(jì)。

主機(jī)安全審計(jì)系統(tǒng)中事件產(chǎn)生器、分析器和響應(yīng)單元已經(jīng)分別以智能審計(jì)主機(jī)、系統(tǒng)中心、管理與報(bào)警處置控制臺(tái)來替代。實(shí)現(xiàn)主機(jī)安全系統(tǒng)的審計(jì)包括系統(tǒng)安全審計(jì)、主機(jī)應(yīng)用安全審計(jì)及用戶行為審計(jì)。智能審計(jì)替代主機(jī)安裝在網(wǎng)絡(luò)計(jì)算機(jī)用戶上,并按照設(shè)計(jì)思路監(jiān)視用戶操作行為,同時(shí)智能分析事件安全。從面向防護(hù)的對(duì)象可將主機(jī)安全審計(jì)系統(tǒng)分為系統(tǒng)安全審計(jì)、主機(jī)應(yīng)用安全審計(jì)、用戶行為審計(jì)、移動(dòng)數(shù)據(jù)防護(hù)審計(jì)等方面。

四、待解決的若干問題

計(jì)算機(jī)與信息系統(tǒng)廣泛使用,如何加強(qiáng)對(duì)終端用戶計(jì)算機(jī)的安全管理成為一個(gè)急需解決的問題。這就需要建立一個(gè)信息安全體系,也就是建立安全策略體系、安全管理體系和安全技術(shù)體系。

保護(hù)網(wǎng)絡(luò)設(shè)備、設(shè)施、介質(zhì),對(duì)操作系統(tǒng)、數(shù)據(jù)庫及服務(wù)系統(tǒng)進(jìn)行漏洞修補(bǔ)和安全加固,對(duì)服務(wù)器建立嚴(yán)格審核。在安全管理上完善人員管理、資產(chǎn)管理、站點(diǎn)維護(hù)管理、災(zāi)難管理、應(yīng)急響應(yīng)、安全服務(wù)、人才管理,形成一套比較完備的信息系統(tǒng)安全管理保障體系。

防火墻是保證網(wǎng)絡(luò)安全的重要屏障,也是降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的重要因素。VPN可以通過一個(gè)公用網(wǎng)絡(luò)建立一個(gè)臨時(shí)的、安壘的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。借助專業(yè)的防DDos系統(tǒng),可以有效的阻止惡意攻擊。信息系統(tǒng)的安全需求是全方位的、系統(tǒng)的、整體的,需要從技術(shù)、管理等方面進(jìn)行全面的安全設(shè)計(jì)和建設(shè),有效提高信息系統(tǒng)的防護(hù)、檢側(cè)、響應(yīng)、恢復(fù)能力,以抵御不斷出現(xiàn)的安全威脅與風(fēng)險(xiǎn),保證系統(tǒng)長期穩(wěn)定可靠的運(yùn)行。嚴(yán)格的安全管理制度,明確的安全職責(zé)劃分,合理的人員角色定義,都可以在很大程度上減少網(wǎng)絡(luò)的安全隱患。

從戰(zhàn)略高度充分認(rèn)識(shí)信息安全的重要性和緊迫性。健全安全管理組織體系,明確安全管理的相關(guān)組織、機(jī)構(gòu)和職責(zé),建立集中統(tǒng)一、分工協(xié)作、各司其職的安全管理責(zé)任機(jī)制。為了確保突發(fā)重大安全事件時(shí),能得到及時(shí)的響應(yīng)和支援,信息系統(tǒng)必須建立和逐步完善應(yīng)急響應(yīng)支援體系,確保整個(gè)信息系統(tǒng)的安全穩(wěn)定運(yùn)行。

參考文獻(xiàn):

[1]宋新月,內(nèi)部審計(jì)在經(jīng)濟(jì)管理中的重要作用淺析[J],知識(shí)經(jīng)濟(jì),2009

第2篇:安全審計(jì)報(bào)告范文

論文摘要:隨著世界航空運(yùn)輸?shù)目焖侔l(fā)展,空中交通日趨繁忙,空管安全管理體系中安全評(píng)估與審計(jì)越來越受到民航界的關(guān)注。本文首先對(duì)空管安全管理體系進(jìn)行了概述,描述了當(dāng)今空管安全管理的現(xiàn)狀及中國民航安全管理的目標(biāo)和空管安全管理體系的構(gòu)成,然后對(duì)空管安全審計(jì)進(jìn)行了概述,最后研究了空管安全管理體系中安全審計(jì)的方法與應(yīng)用。

1.空管安全管理體系概述

空管安全管理體系包括空域管理、空中交通流量管理和空中交通服務(wù)(包括空中交通管制服務(wù))在內(nèi)的系統(tǒng)性的安全管理問題。

空管安全管理體系研究現(xiàn)狀

安全始終是民航界的首要問題,在民航界具有重要影響的組織或國家都幾乎一致地將空中交通管理系統(tǒng)的安全管理問題升級(jí)為一個(gè)具有現(xiàn)代管理學(xué)科意味的系統(tǒng)性安全管理問題來對(duì)待,在繼承傳統(tǒng)安全管理經(jīng)驗(yàn)(尤其是其中所包含的安全管理文化精髓)的同時(shí),人們已經(jīng)更加重視依托現(xiàn)代安全管理理念、策略和科學(xué)方法(包括基于電子計(jì)算機(jī)技術(shù)的安全管理決策支持工具)去全面解決空管系統(tǒng)的安全管理問題。目前,還沒有一個(gè)標(biāo)準(zhǔn)統(tǒng)一的體系來對(duì)空管單位進(jìn)行安全評(píng)估和審計(jì),各單位的標(biāo)準(zhǔn)不一,審計(jì)手段也各不相同。隨著民航業(yè)的飛速發(fā)展,空中交通流量的劇增,工作壓力越來越大,造成空管單位的安全隱患與日俱增。

2.空管安全審計(jì)

2.1 空管安全審計(jì)概述

空管安全審計(jì)可以讓管理層有效掌握空中交通服務(wù)系統(tǒng)的安全狀況和需要改進(jìn)的缺陷,它是一種識(shí)別潛在問題的有效手段,是一項(xiàng)未雨綢繆的預(yù)防性安全管理活動(dòng)。

作為安全管理體系的一部分,內(nèi)部安全審計(jì)所體現(xiàn)的內(nèi)部安全管理作用在于:確保運(yùn)行安全風(fēng)險(xiǎn)得以識(shí)別,導(dǎo)致安全問題的誘因得以辨識(shí);通過強(qiáng)化安全指令和程序的遵守、人力資源配置、提高人員素質(zhì)和培訓(xùn)等,確保具有良好的安全管理體系架構(gòu);確保應(yīng)對(duì)突發(fā)緊急情況的安全措施得當(dāng);確保設(shè)備性能能夠滿足保證安全所需;在促進(jìn)安全、監(jiān)測(cè)安全性能和處理安全問題方面,保證各項(xiàng)管理措施切實(shí)有效。

2.2空管安全審計(jì)原則

(1)安全審計(jì)的目的在于了解實(shí)際情況,不得有任何指責(zé)和懲罰方面的暗示。

(2)被審計(jì)者應(yīng)當(dāng)給審計(jì)者提供一切相關(guān)安全管理實(shí)證或文件,安排必要人員供審計(jì)者了解情況。

(3)安全審計(jì)應(yīng)當(dāng)客觀地調(diào)查取證。

(4)應(yīng)當(dāng)在規(guī)定的時(shí)間內(nèi)給被審計(jì)單位提供書面報(bào)告,闡述發(fā)現(xiàn)的問題并提出建議。

(5)應(yīng)當(dāng)向被審計(jì)單位提供有關(guān)審計(jì)結(jié)果的反饋意見。反饋意見應(yīng)當(dāng)突出審計(jì)中所觀察到的問題,必須找出不足之處,但也要盡可能回避消極的批評(píng)。

2.3空管安全審計(jì)計(jì)劃

簡介:說明這是哪一項(xiàng)安全審計(jì)的正式文件,介紹報(bào)告的各章。

參考文件列表:列出審計(jì)中使用的所有文件依據(jù)背景:描述審計(jì)原因,說明這是正常審計(jì)還是由于特殊原因(例如:發(fā)現(xiàn)安全風(fēng)險(xiǎn),觀察到不安全事件等)而進(jìn)行的審計(jì)。

目的:按照審計(jì)計(jì)劃描述審計(jì)的目標(biāo)和范圍。如果在審計(jì)過程中發(fā)生了影響審計(jì)目標(biāo)完成的事件,應(yīng)當(dāng)在此描述,并且闡述事件造成的后果。

人員:列出參加審計(jì)的人員

受審計(jì)的單位:列出受審計(jì)的單位名稱

計(jì)劃日期:注上當(dāng)日日期

2.4在空中交通服務(wù)系統(tǒng)的安全審計(jì)應(yīng)當(dāng)遵循以下原則:

(1) 觀察結(jié)果和建議的內(nèi)容應(yīng)與最后討論會(huì)、審計(jì)報(bào)告草案及最終審計(jì)報(bào)告中的談?wù)摶蚍Q述保持一致。

(2) 審計(jì)結(jié)論應(yīng)當(dāng)有充分的證據(jù)支撐;對(duì)觀察結(jié)果和建議的闡述應(yīng)當(dāng)清晰簡要。

(3) 觀察結(jié)果應(yīng)當(dāng)具體明確,并客觀地陳述觀察結(jié)果。

(4)要應(yīng)用廣泛接受的航空術(shù)語而不要用縮略語和俗語。

(5)避免直接批評(píng)某個(gè)人或某個(gè)職位。

2.5審計(jì)員應(yīng)當(dāng)在訪談時(shí)應(yīng)當(dāng)遵照以下原則:

(1)聆聽——讓講話的人知道你在聽他講;

(2)保持中立——不要當(dāng)面表達(dá)不一致的意見,不要隨意打斷對(duì)方的陳述或甚至給予批評(píng);

(3)理解不透徹時(shí)——可向?qū)Ψ胶藢?shí),以獲得對(duì)方對(duì)訪談?dòng)浺恼J(rèn)可;

(4)使用“什么,為什么,在哪里,什么時(shí)候,誰,如何”等特殊疑問句,以引出事實(shí)情況;

(5)詢問一些深入的問題,比如“假設(shè)…”,“如果…,會(huì)怎樣”“請(qǐng)給我演示一下…”,讓對(duì)方給出解釋和例證。

2.6 安全審計(jì)情況的后續(xù)跟蹤

(1) 后續(xù)跟蹤的主要目的在于核實(shí)受審計(jì)單位是否落實(shí)了改進(jìn)計(jì)劃。后續(xù)跟蹤可以通過對(duì)改進(jìn)計(jì)劃實(shí)施情況的監(jiān)督來進(jìn)行,也可通過隨訪跟蹤來進(jìn)行。

(2)如果進(jìn)行了跟蹤隨訪,還應(yīng)當(dāng)編制一份隨訪報(bào)告,說明改進(jìn)計(jì)劃的落實(shí)情況。

如果不符合規(guī)章的情況和隱患尚未消除,審計(jì)組長應(yīng)當(dāng)在跟蹤報(bào)告中著重說明,并直接給相關(guān)空中交通服務(wù)單位的高層管理者發(fā)送一本報(bào)告副本。

(3) 審計(jì)組長應(yīng)主動(dòng)向所屬空中交通管理機(jī)構(gòu)報(bào)告階段性的審計(jì)情況和提交審計(jì)報(bào)告、跟蹤隨訪報(bào)告。

3.結(jié)論

本文首先對(duì)空管安全管理體系進(jìn)行了概述,描述了當(dāng)今空管安全管理的現(xiàn)狀及中國民航安全管理的目標(biāo)和空管安全管理體系的構(gòu)成。

綜上所述,本文的研究目的是如何通過有效、科學(xué)的手段對(duì)空中交通管制單位運(yùn)行安全審計(jì),找出安全隱患,通過一系列的運(yùn)行管理手段,消除安全隱患,使“人─機(jī)─環(huán)境”系統(tǒng)中的運(yùn)行關(guān)鍵因素有機(jī)地結(jié)合,共同作用于空管運(yùn)行的各個(gè)階段,切實(shí)提高航空安全運(yùn)行質(zhì)量,從而進(jìn)一步完善我國民航安全運(yùn)行管理,切實(shí)提高民航安全運(yùn)行質(zhì)量,最大限度地降低航空事故,提高空中交通管制單位的自身系統(tǒng)控制能力和安全管理水平。

參考文獻(xiàn)

[1]空管在線收集整理

[2]駱慈孟.以人為本,確保飛行安全,空中交通管理, 2000.5

[13]施和平.空中交通系統(tǒng)安全管理.廈門大學(xué)出版社.

第3篇:安全審計(jì)報(bào)告范文

關(guān)鍵詞:區(qū)塊鏈技術(shù);食品安全審計(jì);信息化;框架構(gòu)建

現(xiàn)階段我國的食品安全依舊存在比較突出的隱患,食品安全風(fēng)險(xiǎn)的識(shí)別與防控具有復(fù)雜性、差異性等特點(diǎn),食品安全治理仍存在比較大的難度。作為風(fēng)險(xiǎn)防控的重要手段,食品安全審計(jì)近幾年得到快速發(fā)展,但在信息化技術(shù)水平、流程體系以及數(shù)據(jù)完備性等方面還存在較多問題,尤其是在數(shù)據(jù)獲取的真實(shí)性和完整性上存在較大的難度。區(qū)塊鏈具有去中心化、獨(dú)立性、安全性與匿名性等特點(diǎn),利用其智能合約、共識(shí)機(jī)制、非對(duì)稱加密、分布式賬本等技術(shù),可有效保障審計(jì)數(shù)據(jù)的質(zhì)量與可追溯[1],同時(shí)還有助于風(fēng)險(xiǎn)的及時(shí)捕捉、人力資源的節(jié)省以及審計(jì)效果的提升等。因此,分析探討區(qū)塊鏈技術(shù)在食品安全審計(jì)中的應(yīng)用具有重要的現(xiàn)實(shí)意義。對(duì)于食品工業(yè)來說,審計(jì)與食品質(zhì)量標(biāo)準(zhǔn)在食品安全的保障中起到的作用都是不可或缺的,例如:評(píng)估管理系統(tǒng),獲得某些食品安全和質(zhì)量標(biāo)準(zhǔn)的認(rèn)證,評(píng)估場(chǎng)所和產(chǎn)品的條件,確認(rèn)法律合規(guī)性等等[2]。審計(jì)應(yīng)用于食品安全治理,最早是在西方國家產(chǎn)生的,由此也逐漸衍生出一項(xiàng)新領(lǐng)域的審計(jì)———食品安全審計(jì)。國內(nèi)學(xué)者將食品安全審計(jì)界定為:“一套集成本審核分析、質(zhì)量管理機(jī)制考察和企業(yè)產(chǎn)品質(zhì)量狀況核算評(píng)價(jià)為一體的科學(xué)方法”[3]。該領(lǐng)域的研究在國內(nèi)起步較晚,大致開始于在三鹿奶粉事件發(fā)生以后,并且集中在乳品行業(yè),食品安全審計(jì)的具體實(shí)施也基本是由政府有關(guān)部門主持進(jìn)行,且審計(jì)對(duì)象主要聚焦在大型企業(yè)[4]。目前,就我國已有的食品安全審計(jì)案例來看,還存在中小型企業(yè)審計(jì)不夠到位、審計(jì)依據(jù)標(biāo)準(zhǔn)不夠明確、審計(jì)數(shù)據(jù)不夠安全可靠以及在專業(yè)審計(jì)人才與方法上存在欠缺等問題。因此,亟需新技術(shù)、新方法的引入和應(yīng)用。近幾年,隨著區(qū)塊鏈技術(shù)的發(fā)展,學(xué)者們開展了其在許多領(lǐng)域和場(chǎng)景應(yīng)用的研究。區(qū)塊鏈在審計(jì)領(lǐng)域的應(yīng)用也得到了越來越多的重視,相關(guān)的研究如:基于區(qū)塊鏈技術(shù)構(gòu)建實(shí)施審計(jì)框架[5-6]、區(qū)塊鏈技術(shù)在企業(yè)聯(lián)網(wǎng)審計(jì)中的應(yīng)用[7-8]、區(qū)塊鏈技術(shù)在金融審計(jì)中的應(yīng)用[9-11]以及區(qū)塊鏈審計(jì)在政府治理中的應(yīng)用等等[12-13]。在具體的審計(jì)模式探索中,畢秀玲等[14]提出要大力推進(jìn)“審計(jì)智能+”的建設(shè),在5G、區(qū)塊鏈、大數(shù)據(jù)與人工智能等技術(shù)的支持下,提高審計(jì)信息化的水平。傳統(tǒng)審計(jì)過程中所面臨成本、效率、質(zhì)量、安全性等問題恰恰可以通過區(qū)塊鏈技術(shù)進(jìn)行有效解決[15]。房巧玲等[16]便提出了基于雙鏈架構(gòu)的混合審計(jì)模式,即智能審計(jì)程序與人工審計(jì)程序相結(jié)合的模式。從目前已有的研究來看,還尚未見有關(guān)區(qū)塊鏈技術(shù)在食品安全審計(jì)中應(yīng)用的研究。基于此,文章首先根據(jù)區(qū)塊鏈技術(shù)的工作原理與優(yōu)勢(shì)點(diǎn),分三個(gè)層次構(gòu)建起區(qū)塊鏈技術(shù)在食品安全審計(jì)中應(yīng)用的邏輯框架。其次結(jié)合傳統(tǒng)審計(jì)工作,通過技術(shù)代入,進(jìn)一步闡述區(qū)塊鏈技術(shù)下的食品安全審計(jì)工作的大致流程。最后,充分考慮當(dāng)前區(qū)塊鏈技術(shù)在運(yùn)用中所面臨的各種問題,提出相關(guān)的建議以及未來發(fā)展的展望。

1區(qū)塊鏈技術(shù)在食品安全審計(jì)中的應(yīng)用邏輯

1.1區(qū)塊鏈的工作原理

區(qū)塊鏈?zhǔn)窃谝环N基于分布式系統(tǒng)思想形成的網(wǎng)狀結(jié)構(gòu),在這個(gè)網(wǎng)狀結(jié)構(gòu)中,信息存儲(chǔ)上鏈主要有以下流程:當(dāng)某個(gè)節(jié)點(diǎn)有新的數(shù)據(jù)信息錄入,該節(jié)點(diǎn)將會(huì)把信息網(wǎng)絡(luò)中的其他節(jié)點(diǎn)進(jìn)行廣播,其他節(jié)點(diǎn)在接收信息以后會(huì)對(duì)其內(nèi)容的真實(shí)性、完整性以及可靠性進(jìn)行檢驗(yàn),檢驗(yàn)無誤后該信息將被儲(chǔ)存在一個(gè)區(qū)塊中,經(jīng)過隨機(jī)Hash算法得出Hash值,該過程可以視為一種單向的加密手段,不僅可以將復(fù)雜無章的數(shù)據(jù)信息轉(zhuǎn)換為固定長度的字符代碼,而且其破解的困難程度也保證了數(shù)據(jù)的不可篡改性。此時(shí),全網(wǎng)將基于共識(shí)機(jī)制對(duì)該區(qū)塊內(nèi)數(shù)據(jù)進(jìn)行審查,審查通過以后該區(qū)塊將被正式存入?yún)^(qū)塊鏈的主鏈中,相應(yīng)的數(shù)據(jù)也將被打上時(shí)間戳標(biāo)記,更新復(fù)制保存到每個(gè)節(jié)點(diǎn)里[17],如圖1所示。

1.2區(qū)塊鏈技術(shù)在食品安全審計(jì)中應(yīng)用的邏輯

區(qū)塊鏈作為一項(xiàng)顛覆性技術(shù),在各個(gè)領(lǐng)域加速應(yīng)用。將區(qū)塊鏈技術(shù)應(yīng)用到審計(jì)領(lǐng)域,這種模式被稱為區(qū)塊鏈審計(jì)。而在區(qū)塊鏈審計(jì)的定義上,徐超等[18]提出廣義和狹義之分,廣義上指在審計(jì)領(lǐng)域應(yīng)用區(qū)塊鏈技術(shù),而狹義上則包含了區(qū)塊鏈審計(jì)和審計(jì)區(qū)塊鏈這兩種方式,二者的審計(jì)對(duì)象不同,具有本質(zhì)上的區(qū)別。在區(qū)塊鏈審計(jì)過程中,審計(jì)人員基于信息系統(tǒng)對(duì)一般控制和應(yīng)用控制進(jìn)行測(cè)試,通過借助發(fā)揮區(qū)塊鏈技術(shù)的優(yōu)勢(shì)性,對(duì)各類業(yè)務(wù)執(zhí)行自動(dòng)化審計(jì)和持續(xù)審計(jì)等行為[19],具體包括:對(duì)數(shù)據(jù)的真實(shí)性、時(shí)效性以及可靠性進(jìn)行審計(jì);對(duì)系統(tǒng)設(shè)置、共識(shí)機(jī)制以及智能合約等進(jìn)行審計(jì);對(duì)區(qū)塊鏈技術(shù)所涉及的系統(tǒng)節(jié)點(diǎn)等安全性進(jìn)行審計(jì)[20]。事實(shí)上,區(qū)塊鏈可以分為三個(gè)層次:協(xié)議層、應(yīng)用層和訪問層,它們相互獨(dú)立又不可分割,構(gòu)成了區(qū)塊鏈技術(shù)在食品安全審計(jì)領(lǐng)域的運(yùn)用邏輯,如圖2所示。協(xié)議層(又稱基礎(chǔ)層)是基于共識(shí)機(jī)制展開運(yùn)行的,通過共識(shí)機(jī)制來保障每個(gè)節(jié)點(diǎn)的數(shù)據(jù)是真實(shí)一致可靠的。在利用分布式數(shù)據(jù)存儲(chǔ)、加密算法、網(wǎng)絡(luò)編程以及時(shí)間戳等技術(shù)的基礎(chǔ)上,對(duì)食品供應(yīng)鏈上所涉及到的各個(gè)環(huán)節(jié)、各個(gè)企業(yè)的各類信息進(jìn)行收集與記錄,如食品生產(chǎn)過程中的原料配比情況、添加劑的使用量情況,食品物流環(huán)節(jié)的負(fù)責(zé)方信息、車次時(shí)間以及冷鏈條件情況,食品交易過程中經(jīng)銷商情況以及流入消費(fèi)者的時(shí)間地點(diǎn)等信息[21]。企業(yè)彼此間的信息驗(yàn)證以及共識(shí)算法記賬使得審計(jì)需要的眾多數(shù)據(jù)信息能夠公開透明、不易篡改,也有助于擴(kuò)大審計(jì)工作的覆蓋面。對(duì)于應(yīng)用層而言,智能合約的存在使得區(qū)塊鏈在沒有人工控制以及第三方干預(yù)的情況下,能夠按照網(wǎng)絡(luò)編程出的代碼進(jìn)行自主運(yùn)行,有助于明確執(zhí)行標(biāo)準(zhǔn),大大提高了審計(jì)的效率以及數(shù)據(jù)的收集分類等重復(fù)性工作,在預(yù)先設(shè)置的程序代碼中,一旦觸發(fā)相應(yīng)的條件和標(biāo)準(zhǔn),將會(huì)作出各類分析行為,這樣一來,審計(jì)人員通過區(qū)塊鏈技術(shù)就可以對(duì)食品質(zhì)量安全實(shí)現(xiàn)實(shí)時(shí)監(jiān)控、及時(shí)預(yù)測(cè)和靈活預(yù)警[22]。就訪問層來看,無論是通過個(gè)人計(jì)算機(jī)(personalcom-puter,PC)端還是移動(dòng)終端,借助區(qū)塊鏈技術(shù)的可編程性采用公鑰與私鑰授權(quán)的機(jī)制,能夠?qū)崿F(xiàn)數(shù)據(jù)的安全獨(dú)立便捷獲取。同時(shí),時(shí)間戳技術(shù)有助于保障數(shù)據(jù)的安全性,使審計(jì)工作的的可靠性和便利性能夠得到進(jìn)一步優(yōu)化。

1.3區(qū)塊鏈技術(shù)在食品安全審計(jì)中應(yīng)用的優(yōu)勢(shì)

對(duì)于食品行業(yè)來說,信任機(jī)制的構(gòu)建對(duì)于品牌形象的樹立是十分關(guān)鍵的,而品牌形象的優(yōu)劣將直接影響企業(yè)的生存甚至是行業(yè)的興衰。在這種情況下,通過審計(jì)去發(fā)現(xiàn)問題、解決問題,并實(shí)現(xiàn)信息的公開、透明、可追溯將有助于信任的構(gòu)建。而區(qū)塊鏈技術(shù)在審計(jì)中運(yùn)用的優(yōu)勢(shì),將有效推動(dòng)信任機(jī)制的形成。首先,去中心化的優(yōu)勢(shì)使得在整個(gè)食品供應(yīng)鏈上所有企業(yè)都可以分別作為一個(gè)節(jié)點(diǎn),分布式數(shù)據(jù)儲(chǔ)存技術(shù)的應(yīng)用,使得眾多企業(yè)在信息的記錄和儲(chǔ)存上互相監(jiān)督、互相利用,具有更加安全、更加便捷、更加透明的優(yōu)點(diǎn)。同時(shí),每個(gè)審計(jì)項(xiàng)目由指定的審計(jì)組執(zhí)行審計(jì),每個(gè)審計(jì)組也相當(dāng)于區(qū)塊鏈的一個(gè)節(jié)點(diǎn),若干個(gè)審計(jì)組節(jié)點(diǎn)組成分布式節(jié)點(diǎn)組織結(jié)構(gòu),相當(dāng)于一個(gè)分布式賬本。于是審計(jì)的范圍變得更加廣泛,所涉及的審計(jì)對(duì)象也更加的全面而具體,不需要非得圍繞核心企業(yè)實(shí)施審計(jì),解決了審計(jì)范圍的局限性問題,有助于提高食品安全審計(jì)結(jié)果的質(zhì)量。其次,交易可追溯性、數(shù)據(jù)透明性的優(yōu)勢(shì)使得信息在供應(yīng)鏈上變得更加可靠、真實(shí)。在供應(yīng)商的選擇、企業(yè)內(nèi)部控制執(zhí)行的有效性等等方面具有督促作用。例如,就已有的食品安全審計(jì)案例呈現(xiàn)的結(jié)果來看,存在如下問題:企業(yè)不能持續(xù)保持生產(chǎn)條件、食品安全管理制度等落實(shí)不到位、企業(yè)自身的檢驗(yàn)?zāi)芰Σ蛔?、生產(chǎn)信息記錄的不完整甚至偽造記錄以及不合格品和變質(zhì)食品的及時(shí)處置問題等。在區(qū)塊鏈技術(shù)的幫助下追溯系統(tǒng)將會(huì)不斷完善[23],對(duì)于存在的這些問題也會(huì)更加具有約束和威懾作用。在現(xiàn)實(shí)中,已有具體的應(yīng)用案例,如2017年7月沃爾瑪、京東、國際商業(yè)機(jī)器(internationalbusinessmachines,IBM)公司和清華大學(xué)共同組成了區(qū)塊鏈聯(lián)盟,在產(chǎn)品的地產(chǎn)、批號(hào)、生產(chǎn)廠家、到期日期以及運(yùn)輸細(xì)節(jié)等各種詳細(xì)信息的獲取上,可以實(shí)現(xiàn)從天數(shù)到秒數(shù)的速度提升,這將極大地提升審計(jì)實(shí)施的效率。最后,可編程性則發(fā)揮了信息技術(shù)的優(yōu)勢(shì),相比于傳統(tǒng)審計(jì)中的人工操作,信息技術(shù)的應(yīng)用將會(huì)使得審計(jì)的流程更加嚴(yán)謹(jǐn)、更加快捷。食品安全審計(jì)過程中,涉及到的質(zhì)量標(biāo)準(zhǔn)、規(guī)范等十分復(fù)雜,對(duì)于不同品類食品的特殊性質(zhì)、不同添加劑的使用規(guī)定等所涉及的知識(shí)更加多樣和復(fù)雜[24],利用計(jì)算機(jī)編程技術(shù),則可通過代碼的編寫,將有關(guān)審計(jì)標(biāo)準(zhǔn)、審計(jì)法規(guī)等進(jìn)行定義,在區(qū)塊鏈中實(shí)現(xiàn)數(shù)據(jù)信息的智能運(yùn)行。在既定的規(guī)則和協(xié)議下,區(qū)塊鏈可以實(shí)現(xiàn)數(shù)據(jù)的自動(dòng)采集、傳遞與存儲(chǔ),高安全性、高透明性使得審計(jì)效率大大提升。德勤會(huì)計(jì)師事務(wù)所的Rubix平臺(tái)就是通過將自動(dòng)化技術(shù)和區(qū)塊鏈技術(shù)相結(jié)合,在提升工作效率的同時(shí),又能達(dá)到降低成本等作用[25]。同樣,沃爾瑪也將區(qū)塊鏈技術(shù)應(yīng)用于食品供應(yīng)鏈管理之中,并取得了一定的理想成效[26]。

2區(qū)塊鏈技術(shù)下食品安全審計(jì)的流程

區(qū)塊鏈技術(shù)下的食品安全審計(jì)流程是在傳統(tǒng)審計(jì)流程的基礎(chǔ)上,通過融入?yún)^(qū)塊鏈技術(shù),對(duì)審計(jì)流程進(jìn)行重塑,保證審計(jì)大環(huán)節(jié)不變,即審計(jì)準(zhǔn)備階段、審計(jì)實(shí)施階段以及審計(jì)報(bào)告階段,但細(xì)節(jié)更加優(yōu)化、效率更高,如圖3所示。

2.1審計(jì)準(zhǔn)備

在審計(jì)準(zhǔn)備階段需要先對(duì)審計(jì)信息和數(shù)據(jù)等進(jìn)行預(yù)處理,通過數(shù)據(jù)的采集、傳輸與存儲(chǔ),利用區(qū)塊鏈中各個(gè)節(jié)點(diǎn)所達(dá)成的共識(shí)機(jī)制,實(shí)現(xiàn)數(shù)據(jù)的真實(shí)性、完整性與一致性。在這個(gè)過程中,通過對(duì)被審計(jì)食品行業(yè)的相關(guān)標(biāo)準(zhǔn)、企業(yè)會(huì)計(jì)準(zhǔn)則的選取情況、企業(yè)的性質(zhì)以及監(jiān)管環(huán)境等的了解,對(duì)相關(guān)獲取信息進(jìn)行更新記錄,并利用時(shí)間戳技術(shù),相當(dāng)于會(huì)計(jì)記賬中的連續(xù)編號(hào)機(jī)制,對(duì)新產(chǎn)生的區(qū)塊做上時(shí)間標(biāo)記,充分保證了數(shù)據(jù)在一定時(shí)間內(nèi)是可追溯的、可驗(yàn)證的以及完整的。

2.2審計(jì)實(shí)施

在審計(jì)實(shí)施階段,面對(duì)食品供應(yīng)鏈本身的環(huán)節(jié)的多樣性與復(fù)雜性,區(qū)塊鏈應(yīng)用平臺(tái)會(huì)及時(shí)向各個(gè)節(jié)點(diǎn)的企業(yè)、賬項(xiàng)往來銀行以及其他關(guān)聯(lián)方進(jìn)行信息的檢查與考證,并將結(jié)果進(jìn)行實(shí)時(shí)反饋。在對(duì)某一生產(chǎn)、加工業(yè)務(wù)或者交易進(jìn)行審查以后,將問題點(diǎn)進(jìn)行匯總與分析。在審計(jì)過程中,同時(shí)需要伴隨著數(shù)據(jù)清洗、數(shù)據(jù)挖掘、可視化操作、實(shí)時(shí)處理、風(fēng)險(xiǎn)識(shí)別與評(píng)估以及重要性水平的確定等技術(shù)支撐,也需要借助傳感器、物聯(lián)網(wǎng)、射頻識(shí)別以及CPS/GPS等審計(jì)工具[21],因此,這將對(duì)專業(yè)人才的技術(shù)水平有著較高的要求。

2.3審計(jì)報(bào)告

在傳統(tǒng)審計(jì)流程的收尾階段,需要對(duì)整個(gè)審計(jì)流程所記錄的工作底稿以及證據(jù)信息進(jìn)行整理與匯總,并出具最終的審計(jì)報(bào)告、發(fā)表審計(jì)意見。而在區(qū)塊鏈技術(shù)的應(yīng)用下,審計(jì)人員通過對(duì)數(shù)據(jù)信息的系統(tǒng)建模進(jìn)行智能化自主分析,并且能夠做到對(duì)審計(jì)結(jié)果的實(shí)時(shí)記錄、對(duì)被審計(jì)企業(yè)進(jìn)行隨時(shí)隨地的監(jiān)控,還可以根據(jù)審計(jì)主體的不同以及審計(jì)要求的變化,隨時(shí)出具定制化的審計(jì)報(bào)告,大大提高了審計(jì)結(jié)果的質(zhì)量以及需求度的滿足程度。

3區(qū)塊鏈技術(shù)在食品安全審計(jì)應(yīng)用中面臨的問題

3.1技術(shù)問題

現(xiàn)階段,無論是國家、社會(huì)還是具體的個(gè)人,對(duì)于審計(jì)的水平和質(zhì)量要求越來越高。監(jiān)督再到上市公司的財(cái)報(bào)結(jié)果公開,處處離不開審計(jì)的參與,審計(jì)也逐漸在越來越多的領(lǐng)域發(fā)揮作用,例如:領(lǐng)導(dǎo)干部經(jīng)濟(jì)責(zé)任審計(jì)、自然資源資產(chǎn)審計(jì)、信息科技審計(jì)以及本文所探討的食品安全審計(jì)等領(lǐng)域。在食品安全上,任何小的風(fēng)險(xiǎn)都不容忽視,這對(duì)于審計(jì)的執(zhí)行是一項(xiàng)不小的挑戰(zhàn),盡管區(qū)塊鏈技術(shù)在效率和質(zhì)量等方面對(duì)食品安全審計(jì)有著很大的幫助,但在海量的信息面前,區(qū)塊鏈的復(fù)雜度也急速增加,無論是從硬件上還是軟件上,對(duì)計(jì)算機(jī)的算法處理能力、存儲(chǔ)能力以及硬件配置有著越來越嚴(yán)苛的要求。因此,進(jìn)一步提高硬件的可靠性以及軟件的適配性是技術(shù)層面需要持續(xù)努力的方向。

3.2安全問題

區(qū)塊鏈技術(shù)盡管有著Hash值非對(duì)稱加密算法、時(shí)間戳等技術(shù)的支持,但安全性問題依舊是區(qū)塊鏈技術(shù)在發(fā)展中不容小視的關(guān)鍵問題。隨著黑客技術(shù)的不斷進(jìn)化,以往的51%攻擊成本已經(jīng)不再具有很強(qiáng)的約束性,這對(duì)于審計(jì)工作是一項(xiàng)不小的潛在威脅。在區(qū)塊鏈共識(shí)機(jī)制的基礎(chǔ)上,很多企業(yè)將自己的關(guān)鍵性信息乃至核心機(jī)密都進(jìn)行了上鏈操作,而黑客的行為將會(huì)對(duì)企業(yè)們?cè)斐芍卮髶p失甚至致命沖擊。這就說明不存在一勞永逸的保障,各項(xiàng)技術(shù)需要在不斷的挑戰(zhàn)和威脅中,始終保持高度的預(yù)警態(tài)勢(shì),在面對(duì)不法分子的各種花樣攻擊時(shí),能夠做出迅速、有效的反應(yīng),這就需要相關(guān)信息技術(shù)人員不斷提升其專業(yè)水平和素質(zhì)。

3.3監(jiān)管問題

事實(shí)上,盡管區(qū)塊鏈技術(shù)中的分布式數(shù)據(jù)儲(chǔ)存技術(shù)使得數(shù)據(jù)的記錄、存儲(chǔ)與讀取更加便捷、安全,但其卻弱化了國家對(duì)于交易情況的監(jiān)督,對(duì)于現(xiàn)有的監(jiān)管體系具有一定的沖擊。區(qū)塊鏈技術(shù)還在逐漸發(fā)展走向成熟,在食品安全審計(jì)領(lǐng)域的應(yīng)用也將處于不斷探索的階段,有關(guān)監(jiān)管的法律法規(guī)仍需進(jìn)一步的完善與明確,如果真的出現(xiàn)監(jiān)管漏洞,那必然影響該技術(shù)的健康、穩(wěn)定與向好發(fā)展。因此,在技術(shù)不斷進(jìn)步的同時(shí),國家相關(guān)部門的法律與監(jiān)管體系也要完善跟進(jìn),二者相輔相成,為技術(shù)作用的充分發(fā)揮保駕護(hù)航。

4結(jié)語

第4篇:安全審計(jì)報(bào)告范文

作為我國電子政務(wù)重要基礎(chǔ)設(shè)施的電子政務(wù)外網(wǎng),為了實(shí)現(xiàn)服務(wù)各級(jí)黨政部門,滿足各級(jí)政務(wù)部門社會(huì)管理、公共服務(wù)等方面需要的重要功能,要求具有互聯(lián)網(wǎng)出口,并且與互聯(lián)網(wǎng)邏輯隔離。因此,電子政務(wù)外網(wǎng)面臨來自互聯(lián)網(wǎng)和內(nèi)部網(wǎng)用戶兩大急需解決的安全難題。

二、設(shè)計(jì)思路

本方案按照《國家電子政務(wù)外網(wǎng)安全保障體系總體規(guī)劃建議》進(jìn)行設(shè)計(jì),規(guī)劃范圍以市級(jí)電子政務(wù)外網(wǎng)為主,以市級(jí)電子政務(wù)外網(wǎng)運(yùn)維中心為重點(diǎn),覆蓋市委、市政府、市人大、市政協(xié)和多個(gè)委辦局單位以及市屬各個(gè)縣區(qū),根據(jù)國家電子政務(wù)外網(wǎng)安全保障體系的規(guī)劃,市級(jí)電子政務(wù)外網(wǎng)安全體系包括如下三個(gè)方面的內(nèi)容:

(一)安全管理體系。主要包括:按照國家安全保障體系建設(shè)標(biāo)準(zhǔn),建設(shè)市級(jí)安全管理中心(SOC);以《國家電子政務(wù)外網(wǎng)安全標(biāo)準(zhǔn)指南》為標(biāo)準(zhǔn)貫徹執(zhí)行國家已有安全法規(guī)標(biāo)準(zhǔn),同時(shí)制訂符合本市電子政務(wù)外網(wǎng)自身特點(diǎn)和要求的有關(guān)規(guī)定和技術(shù)規(guī)范。

(二)網(wǎng)絡(luò)安全基礎(chǔ)防護(hù)體系。主要包括:網(wǎng)絡(luò)防護(hù)與隔離系統(tǒng)、入侵防御系統(tǒng)、接入認(rèn)證系統(tǒng)、業(yè)務(wù)隔離和加密傳輸系統(tǒng)、防病毒、漏洞掃描系統(tǒng)等。

(三)網(wǎng)絡(luò)信任體系。主要包括:PKI/CA系統(tǒng)、權(quán)限管理系統(tǒng)和認(rèn)證授權(quán)審計(jì)系統(tǒng)。

三、方案設(shè)計(jì)

(一)安全管理中心。市級(jí)安全管理中心是市級(jí)電子政務(wù)外網(wǎng)安全的規(guī)劃、實(shí)施、協(xié)調(diào)和管理機(jī)構(gòu),上聯(lián)省級(jí)電子政務(wù)外網(wǎng)安全管理中心,把各類安全事件以標(biāo)準(zhǔn)格式上報(bào)到省中心,同時(shí)對(duì)縣區(qū)管理中心下發(fā)安全策略,并接收縣區(qū)的日志、事件??h級(jí)安全管理中心在市中心的授權(quán)下,具有一定的管理權(quán)限,并對(duì)縣級(jí)安全策略及日志、事件進(jìn)行采集和上報(bào)。市級(jí)安全管理中心也是市級(jí)網(wǎng)絡(luò)安全設(shè)施的管理維護(hù)機(jī)構(gòu),為使安全設(shè)施能夠最大限度地發(fā)揮其安全保障功能,需要建立一個(gè)良好的安全綜合管理平臺(tái),以實(shí)現(xiàn)業(yè)務(wù)流程分析,并對(duì)業(yè)務(wù)系統(tǒng)在安全監(jiān)控、安全審計(jì)、健康性評(píng)估等方面的運(yùn)行進(jìn)行有效的管控,從全局角度進(jìn)行安全策略的管理,對(duì)各類安全事件作出實(shí)時(shí)的監(jiān)控及響應(yīng),為管理者提供及時(shí)的運(yùn)行情況報(bào)告、問題報(bào)告、事件報(bào)告、安全審計(jì)報(bào)告、健康性報(bào)告和風(fēng)險(xiǎn)分析報(bào)告,從而使決策者能及時(shí)調(diào)整安全防護(hù)策略,恰當(dāng)?shù)剡M(jìn)行網(wǎng)絡(luò)優(yōu)化,及時(shí)地部署安全措施,消除各類安全隱患。

(二)基礎(chǔ)防護(hù)平臺(tái)建設(shè)?;A(chǔ)防護(hù)平臺(tái)主要是以確定的安全防護(hù)模型框架為依據(jù),結(jié)合政府業(yè)務(wù)的實(shí)際安全需求,在原有互聯(lián)網(wǎng)安全設(shè)施基礎(chǔ)上進(jìn)行安全基礎(chǔ)防護(hù)體系的新建或擴(kuò)充、延伸與擴(kuò)展。包括邊界隔離與控制、身份鑒別、認(rèn)證與授權(quán)、入侵檢測(cè)與防御、安全審計(jì)與記錄、流量監(jiān)測(cè)與清洗、數(shù)據(jù)加密傳輸、病毒監(jiān)測(cè)與防護(hù)、安全掃描與評(píng)估、安全策略集中管理、安全監(jiān)控管理和安全審計(jì)管理等基礎(chǔ)安全防護(hù)措施。最終達(dá)到提升系統(tǒng)的整體抗攻擊能力,確保電子政務(wù)外網(wǎng)能夠更好地支撐各類政務(wù)應(yīng)用系統(tǒng)的運(yùn)轉(zhuǎn)。

(三)邊界隔離與控制。防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)邊界隔離的首選設(shè)備,防火墻是運(yùn)行于軟件和硬件上的,安裝在特定網(wǎng)絡(luò)邊界的,實(shí)施網(wǎng)間訪問控制的一組組件的集合。它在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成一道安全保護(hù)屏障,防止非法用戶訪問內(nèi)部網(wǎng)絡(luò)上的資源和非法向外傳遞內(nèi)部信息,同時(shí)也防止這類非法和惡意的網(wǎng)絡(luò)行為破壞內(nèi)部網(wǎng)絡(luò)。它可以讓用戶在一個(gè)安全屏障后接入互聯(lián)網(wǎng),還可以把單位的公共網(wǎng)絡(luò)服務(wù)器和企業(yè)內(nèi)部網(wǎng)絡(luò)隔開,同時(shí)也可以通過防火墻將網(wǎng)絡(luò)中的服務(wù)器與網(wǎng)絡(luò)邏輯分離,進(jìn)行重點(diǎn)防護(hù)。部署防火墻能夠保護(hù)一個(gè)網(wǎng)絡(luò)不受來自另外網(wǎng)絡(luò)的攻擊。

(四)入侵檢測(cè)與防御。在整體的網(wǎng)絡(luò)安全中,依靠安全策略的指導(dǎo),對(duì)信息系統(tǒng)防護(hù)有積極的意義。但是,無論網(wǎng)絡(luò)防護(hù)得多么牢固,依舊不能說“網(wǎng)絡(luò)是安全的”。因?yàn)殡S著技術(shù)的發(fā)展,任何防護(hù)措施都不能保證網(wǎng)絡(luò)不出現(xiàn)新的安全事件,不被手段高超的人員成功入侵。在攻擊與防御的較量中,實(shí)時(shí)監(jiān)測(cè)處在一個(gè)核心的地位。

(五)安全審計(jì)與記錄。安全審計(jì)系統(tǒng)記錄了網(wǎng)絡(luò)使用者的全部上網(wǎng)行為,是支撐網(wǎng)絡(luò)安全事件調(diào)查的基礎(chǔ),是審計(jì)信息的重要來源,在電子政務(wù)外網(wǎng)的建設(shè)中,應(yīng)當(dāng)盡量延伸安全審計(jì)系統(tǒng)部署的范圍,并采用多種的安全審計(jì)系統(tǒng)類型(如網(wǎng)絡(luò)審計(jì)、主機(jī)審計(jì)、數(shù)據(jù)庫審計(jì)等)擴(kuò)展安全審計(jì)的層面。

(六)流量檢測(cè)與清洗。流量檢測(cè)與清洗服務(wù)是針對(duì)網(wǎng)絡(luò)傳輸信息流類型、大小以及諸如DOS/DDOS等安全攻擊行為的監(jiān)控、告警和防護(hù)的一種網(wǎng)絡(luò)安全服務(wù)。該服務(wù)對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的業(yè)務(wù)數(shù)據(jù)流量進(jìn)行實(shí)時(shí)監(jiān)控,及時(shí)發(fā)現(xiàn)包括DOS攻擊在內(nèi)的異常流量。在不影響正常業(yè)務(wù)的前提下,清洗掉異常流量。有效滿足各業(yè)務(wù)系統(tǒng)運(yùn)作連續(xù)性的要求。同時(shí)該服務(wù)通過時(shí)間通告、分析報(bào)表等服務(wù)內(nèi)容提升客戶網(wǎng)絡(luò)流量的可見性和安全狀況的清晰性。

(七)統(tǒng)一病毒防護(hù)平臺(tái)。根據(jù)電子政務(wù)外網(wǎng)省、市、縣三級(jí)分布的特點(diǎn),可采用多級(jí)、多種的方式進(jìn)行病毒防護(hù)系統(tǒng)的綜合部署,包括在網(wǎng)絡(luò)邊界安裝硬件防病毒網(wǎng)關(guān)、針對(duì)特定應(yīng)用布署網(wǎng)絡(luò)防病毒系統(tǒng)、針對(duì)多數(shù)工作終端布署單機(jī)版病毒查殺軟件等方式。

(八)終端管理。利用桌面終端管理系統(tǒng),對(duì)于終端電腦從以下四方面進(jìn)行進(jìn)行標(biāo)準(zhǔn)化管理:

1.網(wǎng)絡(luò)準(zhǔn)入。通過網(wǎng)絡(luò)邊界部署的防火墻設(shè)備、網(wǎng)絡(luò)交換機(jī)設(shè)備與終端管理服務(wù)器配合,實(shí)現(xiàn)終端用戶的802.1x準(zhǔn)入認(rèn)證,使得所有終端用戶接入電子政務(wù)外網(wǎng)網(wǎng)絡(luò)必須提出申請(qǐng),并對(duì)接入機(jī)器做防病毒等安全審核,在安裝了準(zhǔn)入客戶端軟件(Agent)并分配了用戶名/密碼后,才能合法接入網(wǎng)絡(luò)并使用信息資源,開展業(yè)務(wù)工作,實(shí)現(xiàn)了對(duì)終端用戶的有效管理。

2.網(wǎng)絡(luò)切換。通過實(shí)現(xiàn)終端用戶訪問互聯(lián)網(wǎng)和電子政務(wù)外網(wǎng)兩網(wǎng)切換使用功能,實(shí)現(xiàn)對(duì)兩網(wǎng)資源使用的嚴(yán)格管理,避免安全隱患的發(fā)生。

3.文件保險(xiǎn)箱。利用“文件保險(xiǎn)箱”功能,在終端用戶處于“政務(wù)外網(wǎng)”訪問狀態(tài)時(shí)可以使用“文件保險(xiǎn)箱”功能,并創(chuàng)建、修改、使用加密文件或文件夾,在終端用戶處于“互聯(lián)網(wǎng)”狀態(tài)時(shí)無法使用此功能,不能創(chuàng)建、修改、使用加密文件或文件夾,從而保證工作文件的安全。

4.補(bǔ)丁管理。利用桌面系統(tǒng)補(bǔ)丁管理的功能,幫助管理員對(duì)網(wǎng)內(nèi)基于Windows平臺(tái)的系統(tǒng)快速部署最新的安全更新和重要功能更新。系統(tǒng)能檢測(cè)用戶已安裝的補(bǔ)丁和需要安裝的補(bǔ)丁,管理員能通過管理平臺(tái)對(duì)桌面系統(tǒng)下發(fā)安裝補(bǔ)丁的命令。補(bǔ)丁服務(wù)器可自動(dòng)從微軟網(wǎng)站更新補(bǔ)丁庫,管理員負(fù)責(zé)審核是否允許補(bǔ)丁在終端系統(tǒng)安裝。通過策略定制,終端系統(tǒng)可以自動(dòng)檢測(cè)、下載和安裝已審核的補(bǔ)丁。

(九)采用2+N的業(yè)務(wù)模式。對(duì)于利用互聯(lián)網(wǎng)接入的業(yè)務(wù)系統(tǒng),必須采用VPN接入,建設(shè)互聯(lián)網(wǎng)接入?yún)^(qū),隔離互聯(lián)網(wǎng)與政務(wù)外網(wǎng)的數(shù)據(jù)包,將互聯(lián)網(wǎng)業(yè)務(wù)進(jìn)行封裝,確?;ヂ?lián)網(wǎng)業(yè)務(wù)在專網(wǎng)的VPN通道內(nèi)進(jìn)行傳輸,對(duì)于需要與互聯(lián)網(wǎng)聯(lián)接的為公眾服務(wù)的業(yè)務(wù),通過邏輯隔離的安全防范措施,采用防火墻系統(tǒng)、入侵防御系統(tǒng)和網(wǎng)絡(luò)防病毒系統(tǒng),對(duì)互聯(lián)網(wǎng)接入業(yè)務(wù)提供必要安全防護(hù),保障電子政務(wù)外網(wǎng)的信息安全。

(十)信任體系設(shè)計(jì)。建立了基于PKI/CA公鑰基礎(chǔ)設(shè)施的數(shù)字證書認(rèn)證體系。完善、推廣、促進(jìn)數(shù)字證書體系的發(fā)展和根據(jù)業(yè)務(wù)需要建立相應(yīng)CA機(jī)構(gòu),并實(shí)現(xiàn)某些應(yīng)用和管理需要的單點(diǎn)登錄要求。

第5篇:安全審計(jì)報(bào)告范文

一、信息系統(tǒng)審計(jì)的內(nèi)涵

信息系統(tǒng)審計(jì)的內(nèi)涵與財(cái)務(wù)報(bào)表審計(jì)有較大的不同。以下通過對(duì)信息系統(tǒng)審計(jì)的定義、目標(biāo)和類型來闡述信息系統(tǒng)審計(jì)的內(nèi)涵。

1.信息系統(tǒng)審計(jì)的定義。

由于信息系統(tǒng)審計(jì)的發(fā)展很快,因此對(duì)其始終沒有一個(gè)通用的定義。下面分別介紹三種比較有代表性的定義。

(1)日本通產(chǎn)省情報(bào)處理開發(fā)協(xié)會(huì)信息系統(tǒng)審計(jì)委員會(huì)1996年對(duì)信息系統(tǒng)審計(jì)定義為“為了信息系統(tǒng)的安全、可靠與有效,由獨(dú)立于審計(jì)對(duì)象的信息系統(tǒng)審計(jì)師,以第三方的客觀立場(chǎng)對(duì)以計(jì)算機(jī)為核心的信息系統(tǒng)進(jìn)行綜合的檢查與評(píng)價(jià),向信息系統(tǒng)審計(jì)對(duì)象的最高領(lǐng)導(dǎo)層,提出問題與建議的一系列活動(dòng)”。該定義中強(qiáng)調(diào)獨(dú)立性的問題。

(2)信息系統(tǒng)審計(jì)領(lǐng)域的著名專家威伯教授的定義(1999)是:“信息系統(tǒng)審計(jì)是收集并評(píng)估證據(jù),以判斷一個(gè)計(jì)算機(jī)系統(tǒng)是否有效做到保護(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整、完成組織目標(biāo),同時(shí)最經(jīng)濟(jì)的使用資源”。

(3)信息系統(tǒng)審計(jì)影響最大的國際組織——國際信息系統(tǒng)審計(jì)和控制協(xié)會(huì)(ISACA)的定義是:信息系統(tǒng)審計(jì)是一個(gè)獲取并評(píng)價(jià)證據(jù),以判斷計(jì)算機(jī)系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率的利用組織的資源并有效果的實(shí)現(xiàn)組織目標(biāo)的過程”。該定義比威伯的更詳細(xì)一些。

通過對(duì)相關(guān)信息系統(tǒng)審計(jì)定義的分析,本文認(rèn)為,所謂的信息系統(tǒng)審計(jì),是指通過對(duì)被審單位的信息系統(tǒng)組成部分的審查來獲取和評(píng)價(jià)審計(jì)證據(jù),由此對(duì)信息系統(tǒng)的安全性、可靠性、數(shù)據(jù)的完整性以及信息系統(tǒng)能否經(jīng)濟(jì)的使用組織資源并有效地實(shí)現(xiàn)組織目標(biāo)發(fā)表審計(jì)意見。我們必須清楚的識(shí)別信息系統(tǒng)審計(jì)、IT審計(jì)、審計(jì)工程之間的區(qū)別。一般而言,1T審計(jì)(計(jì)算機(jī)審計(jì))包括信息系統(tǒng)審計(jì)和審計(jì)工程。信息系統(tǒng)審計(jì)的研究對(duì)象是企業(yè)的信息系統(tǒng)或信息資產(chǎn),采用的研究方法是傳統(tǒng)的審計(jì)方法和計(jì)算機(jī)技術(shù)等;而審計(jì)工程的研究對(duì)象是企業(yè)的電子財(cái)務(wù)和業(yè)務(wù)數(shù)據(jù),研究方法采用計(jì)算機(jī)技術(shù)、系統(tǒng)工程方法和數(shù)學(xué)理論等。

2.信息系統(tǒng)審計(jì)的目標(biāo)

審計(jì)本質(zhì)上是根據(jù)審計(jì)目標(biāo)對(duì)收集的證據(jù)進(jìn)行分析評(píng)價(jià)并得出結(jié)論的過程。一切的審計(jì)活動(dòng)都是為了實(shí)現(xiàn)一定的審計(jì)目標(biāo),并圍繞審計(jì)目標(biāo)來進(jìn)行??梢哉f,審計(jì)目標(biāo)是審計(jì)工作的“綱”。它貫穿審計(jì)活動(dòng)的各個(gè)方面和審計(jì)過程的始終。

(1)真實(shí)性。信息系統(tǒng)中的數(shù)據(jù)要真實(shí)的反映企業(yè)的生產(chǎn)經(jīng)營活動(dòng)。要通過數(shù)字簽名等一系列技術(shù)手段和保留不可更改記錄、定期審計(jì)等管理手段確保數(shù)據(jù)的真實(shí)性。

(2)完整性。完整性信息不被偶然或蓄意的刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。完整性是一種面向信息的安全性,它要求保持信息的原樣,即信息的正確生成、存儲(chǔ)和傳輸。

(3)合法性。系統(tǒng)在購買、使用、開發(fā)、更新、維護(hù)、轉(zhuǎn)移等過程中必須符合相關(guān)法律、法規(guī)、準(zhǔn)則、行規(guī)以及企業(yè)內(nèi)部的規(guī)定等。

(4)安全性。安全性是指信息系統(tǒng)在遭受各種因素破壞的情況下,仍然能夠正常運(yùn)行的概率。威脅信息系統(tǒng)安全的因素有外部和內(nèi)部兩種。外部主要是黑客的入侵、病毒的攻擊、線路的偵聽等;內(nèi)部主要是被授權(quán)的用戶訪問和修改、刪除等操作。安全性是真實(shí)性的基礎(chǔ)之一。

(5)可靠性??煽啃允侵感畔⑾到y(tǒng)在遭受非人因素破壞或人為差錯(cuò)影響的情況下仍然能夠正常運(yùn)行的概率。威脅信息系統(tǒng)可靠性的因素包括自然災(zāi)害對(duì)硬件和壞境的破壞以及誤操作對(duì)軟件和硬件的破壞等。可靠性也是真實(shí)性的基礎(chǔ)之一閉。

(6)效果和效率。效果是指應(yīng)用信息系統(tǒng)以后,企業(yè)在生產(chǎn)控制、管理質(zhì)量、提品和服務(wù)等方面產(chǎn)生的變化。效率是指信息系統(tǒng)的應(yīng)用在企業(yè)勞動(dòng)生產(chǎn)率的提高方面所起的作用。

3.信息系統(tǒng)審計(jì)的類型

根據(jù)信息系統(tǒng)審計(jì)的定義和審計(jì)目標(biāo),我們可以將信息系統(tǒng)審計(jì)分為三個(gè)基本類型:

(l)信息系統(tǒng)的真實(shí)性審計(jì)是對(duì)傳統(tǒng)審計(jì)的補(bǔ)充,防止“錯(cuò)”賬真審。

(2)信息系統(tǒng)的安全性審計(jì)是對(duì)企業(yè)信息資產(chǎn)安全性的審核,防止由信息系統(tǒng)造成的經(jīng)營風(fēng)險(xiǎn)。

(3)信息系統(tǒng)的績效審計(jì)是對(duì)信息系統(tǒng)投入產(chǎn)出比的審核。

二、信息系統(tǒng)審計(jì)的特點(diǎn)

信息系統(tǒng)審計(jì)具有其獨(dú)特的特點(diǎn),具體特點(diǎn)如下:

1.信息系統(tǒng)審計(jì)是一個(gè)過程。它是一個(gè)獲取并評(píng)價(jià)證據(jù),以判斷信息系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效果地實(shí)現(xiàn)組織目標(biāo)的過程,它貫穿于信息系統(tǒng)生命周期的全過程。

2.信息系統(tǒng)審計(jì)的對(duì)象具有綜合性和復(fù)雜性。信息系統(tǒng)審計(jì)的對(duì)象是以計(jì)算機(jī)為核心的信息系統(tǒng),它包含了除財(cái)務(wù)信息以外的其他與生產(chǎn)經(jīng)營流程有關(guān)的所有信息系統(tǒng),其實(shí)質(zhì)是審計(jì)對(duì)象及內(nèi)容的拓展。從縱向(生命周期)看,覆蓋了信息系統(tǒng)從規(guī)劃、分析、設(shè)計(jì)到維護(hù)的全生命周期的各種業(yè)務(wù);從橫向(信息系統(tǒng)構(gòu)成)看,它包含對(duì)軟硬件審計(jì)、應(yīng)用程序?qū)徲?jì)、安全審計(jì)等。從這個(gè)意義看,信息系統(tǒng)審計(jì)拓展了傳統(tǒng)審計(jì)的內(nèi)涵,將審計(jì)對(duì)象從財(cái)務(wù)范疇擴(kuò)展到了同經(jīng)營活動(dòng)有關(guān)的一切信息系統(tǒng)。

3.信息系統(tǒng)審計(jì)拓展了傳統(tǒng)審計(jì)的目標(biāo)。傳統(tǒng)審計(jì)目標(biāo)僅僅包括了“對(duì)被審計(jì)單位會(huì)計(jì)報(bào)表的合法性、公允性及會(huì)計(jì)處理方法的一貫性發(fā)表審計(jì)意見”,《中國獨(dú)立審計(jì)具體準(zhǔn)則第20號(hào)--計(jì)算機(jī)信息系統(tǒng)環(huán)境下的審計(jì)》第四條也明確規(guī)定“注冊(cè)會(huì)計(jì)師在計(jì)算機(jī)信息系統(tǒng)環(huán)境下執(zhí)行會(huì)計(jì)報(bào)表審計(jì)業(yè)務(wù),應(yīng)當(dāng)考慮其對(duì)審計(jì)的影響,但不應(yīng)改變審計(jì)目的和范圍”,由此可見EDP審計(jì)、電算化審計(jì)和計(jì)算機(jī)審計(jì)都沒有改變審計(jì)的目標(biāo),但信息系統(tǒng)審計(jì)除了上述目標(biāo)外,還包括信息資產(chǎn)的安全性、數(shù)據(jù)的完整性以及系統(tǒng)的可靠性、有效性和效率性。

4.信息系統(tǒng)審計(jì)是事后、事前、事中審計(jì)的結(jié)合體。注冊(cè)會(huì)計(jì)師所執(zhí)行的財(cái)務(wù)報(bào)表審計(jì)往往是年度審計(jì),屬于事后審計(jì)。而信息系統(tǒng)審計(jì)是事后、事前、事中審計(jì)兼而有之。如信息系統(tǒng)在開發(fā)過程中,由審計(jì)人員介入所進(jìn)行的審計(jì)屬于事中審計(jì),此項(xiàng)審計(jì)相對(duì)于系統(tǒng)運(yùn)行后而對(duì)其所進(jìn)行的審計(jì)而言又可以看作是事前審計(jì);信息系統(tǒng)運(yùn)行后,對(duì)其在一定期間的運(yùn)作情況所進(jìn)行的審計(jì)則為事后審計(jì)。

5.信息系統(tǒng)審計(jì)的內(nèi)容更加寬泛。信息系統(tǒng)審計(jì)包含了一切與信息系統(tǒng)有關(guān)的審計(jì),除了整個(gè)生命周期過程及相關(guān)業(yè)務(wù)的審計(jì)外,隨著信息技術(shù)的發(fā)展,還必將包括聯(lián)網(wǎng)審計(jì)、電子商務(wù)審計(jì)、網(wǎng)站審計(jì)、ASP審計(jì)和XBRL審計(jì)等。

6.信息系統(tǒng)審計(jì)是一種基于風(fēng)險(xiǎn)基礎(chǔ)審計(jì)的理論和方法。很多組織都能意識(shí)到技術(shù)帶來的潛在好處,然而成功的組織還能夠理解和管理好與采用新技術(shù)相關(guān)的很多風(fēng)險(xiǎn)。信息系統(tǒng)有著與生俱來的風(fēng)險(xiǎn),這些風(fēng)險(xiǎn)用不同方式?jīng)_擊著信息系統(tǒng),審計(jì)者面臨著審計(jì)什么、何時(shí)審計(jì)以及如何幫助信息系統(tǒng)的管理者管理和控制風(fēng)險(xiǎn)從而實(shí)現(xiàn)企業(yè)的戰(zhàn)略目標(biāo)的問題。

三、信息系統(tǒng)審計(jì)的過程

審計(jì)過程是審計(jì)工作從開始到結(jié)束的整個(gè)過程。信息系統(tǒng)審計(jì)一般可以分為計(jì)劃階段、實(shí)施階段和報(bào)告階段。由于信息系統(tǒng)審計(jì)的對(duì)象和具體業(yè)務(wù)不同,每個(gè)階段所包括的具體內(nèi)容與財(cái)務(wù)審計(jì)也不同。

1.計(jì)劃階段

計(jì)劃階段是信息系統(tǒng)審計(jì)過程的起點(diǎn)。科學(xué)合理的審計(jì)計(jì)劃有利于幫助審計(jì)人員有的放矢的去調(diào)查、取證,形成正確的審計(jì)結(jié)論,實(shí)現(xiàn)審計(jì)目標(biāo)。計(jì)劃階段的主要任務(wù)包括:調(diào)查被審單位的基本情況和內(nèi)部控制;初步評(píng)價(jià)審計(jì)風(fēng)險(xiǎn);確定重要性水平;制定審計(jì)計(jì)劃。

(1)調(diào)查被審單位的基本情況,初步評(píng)價(jià)固有風(fēng)險(xiǎn)為了做好審計(jì)工作,審計(jì)人員首先應(yīng)了解被審單位的基本情況。需要了解的基本情況包括:第一,被審單位的業(yè)務(wù)性質(zhì)和生產(chǎn)經(jīng)營情況。第二,被審單位的組織結(jié)構(gòu)和管理水平。第三,被審單位信息系統(tǒng)一般情況,即信息系統(tǒng)的結(jié)構(gòu),所使用的軟硬件和網(wǎng)絡(luò)設(shè)施以及運(yùn)行環(huán)境。第四,被審單位應(yīng)用系統(tǒng)及其所處理的交易和事項(xiàng)的類型。

(2)調(diào)查被審單位信息系統(tǒng)內(nèi)部控制,評(píng)價(jià)控制風(fēng)險(xiǎn)在計(jì)劃階段,審計(jì)人員應(yīng)了解被審單位的內(nèi)部控制特別是信息系統(tǒng)內(nèi)部控制,對(duì)內(nèi)部控制的健全和有效性進(jìn)行評(píng)估,初步確定控制風(fēng)險(xiǎn)的大小。

(3)評(píng)估審計(jì)風(fēng)險(xiǎn),確定重要性水平。為了合理使用審計(jì)資源,有效的實(shí)現(xiàn)審計(jì)目標(biāo),在制定審計(jì)計(jì)劃時(shí)審計(jì)人員應(yīng)評(píng)估審計(jì)風(fēng)險(xiǎn),確定重要性水平。重要性水平是指在審計(jì)事項(xiàng)中,能夠容忍出現(xiàn)差錯(cuò)的程度和大小。

(4)編制審計(jì)計(jì)劃。在對(duì)被審單位的風(fēng)險(xiǎn)進(jìn)行初步評(píng)估,確定重要性水平后,審計(jì)人員應(yīng)當(dāng)編制審計(jì)計(jì)劃。審計(jì)計(jì)劃的內(nèi)容應(yīng)當(dāng)包括:被審單位的基本情況、審計(jì)的范圍和重點(diǎn)、審計(jì)的步驟和時(shí)間安排、審計(jì)人員分工、運(yùn)用的信息系統(tǒng)審計(jì)方法、審計(jì)中應(yīng)當(dāng)注意的事項(xiàng)和其他內(nèi)容等。

2.實(shí)施階段

實(shí)施階段是根據(jù)計(jì)劃階段確定的范圍、重點(diǎn)、步驟和方法,進(jìn)行有針對(duì)性的取評(píng)價(jià),并形成審計(jì)結(jié)論的過程。主要由符合性測(cè)試和實(shí)質(zhì)性測(cè)試兩個(gè)階段構(gòu)成。

(1)實(shí)施符合性測(cè)試。符合性測(cè)試的目的是檢查內(nèi)部控制措施是否健全有效。計(jì)人員需要對(duì)被審單位的控制系統(tǒng)進(jìn)行識(shí)別、測(cè)試和評(píng)價(jià)。測(cè)試的性質(zhì)、范圍和程度。為了達(dá)到這個(gè)目的,審從而確定后續(xù)的實(shí)質(zhì)性控制系統(tǒng)識(shí)別。審計(jì)人員通過與相關(guān)人員面談、調(diào)查問卷以及查閱信息系統(tǒng)和控制系統(tǒng)說明文件等方,識(shí)別被審單位的控制系統(tǒng)以及控制環(huán)境,并將調(diào)查情況記錄在審計(jì)工作底稿中。

(2)實(shí)施實(shí)質(zhì)性測(cè)試。實(shí)質(zhì)性測(cè)試是對(duì)信息系統(tǒng)控制進(jìn)行的詳細(xì)測(cè)試,以獲得這些控制在審計(jì)期間是否真實(shí)存在并合法有效的審計(jì)證據(jù)。實(shí)質(zhì)性測(cè)試主要通過測(cè)試必要的數(shù)據(jù),對(duì)信息系統(tǒng)達(dá)到特定的控制目標(biāo)的程度進(jìn)行評(píng)價(jià)。

第6篇:安全審計(jì)報(bào)告范文

關(guān)鍵詞:會(huì)計(jì)內(nèi)部審核;專業(yè)技術(shù);外審;電算化安全

行業(yè)間的競(jìng)爭(zhēng)日趨激烈,企業(yè)也需要積極地采取應(yīng)對(duì)策略對(duì)競(jìng)爭(zhēng)對(duì)手加以有效的防范并勇于參與市場(chǎng)競(jìng)爭(zhēng),加大會(huì)計(jì)成本核算和審核力度是企業(yè)減少經(jīng)營成本,監(jiān)督企業(yè)行為的重要途徑。會(huì)計(jì)行業(yè)的審核有外部和內(nèi)部兩種途徑,但是由于我國外部審核機(jī)制還有待完善,大多數(shù)企業(yè)更加傾向于采用企業(yè)內(nèi)部審核的方法對(duì)企業(yè)會(huì)計(jì)財(cái)務(wù)情況加以控制,內(nèi)部會(huì)計(jì)審核需要依靠現(xiàn)代化技術(shù)手段的輔助才能夠得以順利實(shí)施,為此,有必要對(duì)現(xiàn)階段我國的企業(yè)內(nèi)部電算化會(huì)計(jì)審核進(jìn)行深入探討。

1 加強(qiáng)會(huì)計(jì)內(nèi)部審核的重要意義

1.1 內(nèi)部會(huì)計(jì)審核結(jié)果為企業(yè)發(fā)展提供了科學(xué)參考依據(jù)

內(nèi)部會(huì)計(jì)審核是企業(yè)在內(nèi)部設(shè)立財(cái)務(wù)部門,聘請(qǐng)專業(yè)的會(huì)計(jì)人員對(duì)企業(yè)賬目進(jìn)行監(jiān)管,控制企業(yè)內(nèi)部財(cái)務(wù)狀況的一種審核方式。會(huì)計(jì)內(nèi)審可以通過對(duì)于財(cái)務(wù)數(shù)據(jù)的整理分析,對(duì)企業(yè)總體財(cái)務(wù)狀況進(jìn)行有效控制,并且對(duì)企業(yè)的經(jīng)營狀況做出客觀的分析和反映,反映的結(jié)果可以通過審核報(bào)告的形式體現(xiàn)出來,這在一定程度上有利于企業(yè)及時(shí)發(fā)現(xiàn)賬目上的問題,從而降低了企業(yè)的經(jīng)營風(fēng)險(xiǎn)。

1.2 較外部審核而言,企業(yè)內(nèi)部審核更具有優(yōu)勢(shì)

企業(yè)外部會(huì)計(jì)審核的實(shí)施主體包括政府部門和社會(huì)專業(yè)機(jī)構(gòu)兩部分,目前,我國的外部監(jiān)督體系還存在著一些問題,首先,就政府部門監(jiān)督而言,相關(guān)的法律法規(guī)不夠完善,起不到對(duì)企業(yè)行為的規(guī)范作用,政府審計(jì)人員的操作還不具有專業(yè)性,職責(zé)不明確往往導(dǎo)致審計(jì)結(jié)果存在較大出入;其次,由于我國現(xiàn)行會(huì)計(jì)從業(yè)考核機(jī)制的不健全,社會(huì)上專業(yè)審計(jì)企業(yè)的資質(zhì)還有待考證,審計(jì)從業(yè)人員的水平也參差不齊;再次,外部審計(jì)較內(nèi)部審計(jì)的明顯劣勢(shì)還在于外部聘請(qǐng)的專業(yè)機(jī)構(gòu)對(duì)于企業(yè)的經(jīng)營現(xiàn)狀無法實(shí)現(xiàn)充分的了解,對(duì)于企業(yè)的基本情況只能通過企業(yè)內(nèi)部人員描述或者通過會(huì)計(jì)賬目來獲得,這就使得其審核的結(jié)果可能失去真實(shí)性和客觀性,產(chǎn)生會(huì)計(jì)審核的偏差。

內(nèi)部會(huì)計(jì)審核無論從實(shí)施主體還是實(shí)施效果來看,都具有相當(dāng)大的優(yōu)勢(shì),比如,由于是在企業(yè)內(nèi)部設(shè)立專業(yè)審核的部門,其操作經(jīng)費(fèi)會(huì)大幅度降低,而且還能實(shí)現(xiàn)會(huì)計(jì)監(jiān)管的實(shí)時(shí)性;最重要的是人員對(duì)于整個(gè)企業(yè)的生產(chǎn)經(jīng)營狀況了如指掌,大大提高了對(duì)會(huì)計(jì)賬目審核的精確度和有效性。但在我國,內(nèi)部審核機(jī)制也存在一些問題,例如,會(huì)計(jì)人員存在串通造假的現(xiàn)象,會(huì)計(jì)部門缺乏有力的監(jiān)督管理;內(nèi)部會(huì)計(jì)制度不夠完善等等,嚴(yán)重影響了企業(yè)內(nèi)部會(huì)計(jì)審核的質(zhì)量,失去了應(yīng)該有的效果。

2 如何在電算化方法的協(xié)助下有效開展企業(yè)內(nèi)部會(huì)計(jì)審核工作

科技手段的引進(jìn)是會(huì)計(jì)內(nèi)部審核工作發(fā)展的一大飛躍,計(jì)算機(jī)的普遍使用,多樣化的財(cái)務(wù)軟件在為會(huì)計(jì)審核方面起到促進(jìn)作用的同時(shí),也會(huì)引發(fā)一系列的負(fù)面問題,譬如從業(yè)人員的技術(shù)水平達(dá)不到要求,會(huì)計(jì)數(shù)據(jù)存在泄漏和分工職責(zé)不明的問題等等,針對(duì)這幾方面采取措施可以有效改進(jìn)會(huì)計(jì)電算化所帶來的問題。

2.1 注重會(huì)計(jì)審核電算化的歸責(zé)性和安全性

會(huì)計(jì)電算化從很大程度上提高了數(shù)據(jù)控制的科學(xué)性和核算效率,這一點(diǎn)毋庸置疑,但在操作時(shí),數(shù)據(jù)承擔(dān)的泄漏風(fēng)險(xiǎn)也在同步增加,解決這一問題要從設(shè)備的安全性和工作人員的安全防范意識(shí)入手,在使用計(jì)算機(jī)和相關(guān)軟件進(jìn)行數(shù)據(jù)操作時(shí),要加大設(shè)備保密性的檢查力度,并對(duì)其設(shè)定保密程序,防止資料外泄;相關(guān)操作人員也要簽訂崗位安全性協(xié)議,遵守崗位規(guī)范。在數(shù)據(jù)分工操作時(shí),明晰人員職責(zé)很重要,以防數(shù)據(jù)方式篡改和泄漏時(shí)無法追究責(zé)任;另外,要盡量將工作分成相互獨(dú)立的若干部分,分配給不同人員完成,加強(qiáng)數(shù)據(jù)的安全性。

2.2 加強(qiáng)會(huì)計(jì)電算化人員的專業(yè)技術(shù)培訓(xùn)

現(xiàn)代會(huì)計(jì)操作設(shè)備要求工作人員具有較高的專業(yè)性和對(duì)于新知識(shí)的學(xué)習(xí)和接受能力,企業(yè)要加強(qiáng)對(duì)于新型的會(huì)計(jì)審核軟件和程序的操作培訓(xùn),相關(guān)從業(yè)人員也要積極配合,以保持企業(yè)內(nèi)部會(huì)計(jì)審核隊(duì)伍的先進(jìn)性。

2.3 完善外部會(huì)計(jì)審核制度

建議相關(guān)部門盡快研究我國的信息系統(tǒng)審計(jì)制度,制定相關(guān)的法律、法規(guī)。對(duì)任何直接或間接影響財(cái)務(wù)報(bào)表或其他至關(guān)重要資料的數(shù)據(jù)或處理系統(tǒng)都要求審計(jì),并可在重大信息化工程項(xiàng)目中試點(diǎn),在總結(jié)經(jīng)驗(yàn)教訓(xùn)的基礎(chǔ)上,再逐步推廣施行信息系統(tǒng)審計(jì)制度。在新的經(jīng)濟(jì)和技術(shù)環(huán)境下,注冊(cè)會(huì)計(jì)師審計(jì)應(yīng)考慮增加以下內(nèi)容。

2.3.1 審計(jì)除了對(duì)現(xiàn)行企業(yè)財(cái)務(wù)報(bào)表所提供的信息進(jìn)行審計(jì)外,審計(jì)還要對(duì)如分部信息、非財(cái)務(wù)信息、前瞻性信息、知識(shí)產(chǎn)權(quán)、創(chuàng)新金融工具等方面的內(nèi)容進(jìn)行審計(jì)。

2.3.2 更加注重對(duì)內(nèi)部控制制度的研究。內(nèi)部控制制度對(duì)保證會(huì)計(jì)信息的質(zhì)量具有非常重要的意義。這一點(diǎn)同樣也被我國新修訂的《會(huì)計(jì)法》所重視。

2.3.3 對(duì)不確定信息的審計(jì)。由于現(xiàn)代財(cái)務(wù)報(bào)告中包括了如或有事項(xiàng)、衍生金融工具的確認(rèn)、計(jì)量和信息披露和無形資產(chǎn)等有關(guān)內(nèi)容,因此,審計(jì)就不能不對(duì)這些內(nèi)容進(jìn)行審計(jì)。

2.3.4 在審計(jì)報(bào)告中應(yīng)增加分析性評(píng)價(jià)的意見。在審計(jì)報(bào)告中應(yīng)增加分析性評(píng)價(jià)的意見,尤其是有助于評(píng)價(jià)企業(yè)收益質(zhì)量的信息。

2.3.5 開展安全審計(jì)。安全審計(jì)是指審計(jì)人員對(duì)計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境及其有關(guān)活動(dòng)所進(jìn)行的系統(tǒng)審計(jì),并進(jìn)行評(píng)價(jià)的活動(dòng)?,F(xiàn)代審計(jì)必須積極開展安全審計(jì),并將其作為審計(jì)的中心內(nèi)容之一。

2.3.6 開展預(yù)測(cè)信息審計(jì)。因?yàn)楝F(xiàn)代財(cái)務(wù)報(bào)告中將大量增加有關(guān)企業(yè)未來的信息,其中包括大量的財(cái)務(wù)預(yù)測(cè)信息,而對(duì)這些預(yù)測(cè)信息必須要有相應(yīng)的質(zhì)量保證機(jī)制。在這方面,完全可以充分發(fā)揮注冊(cè)會(huì)計(jì)師的作用。

2.3.7 開展對(duì)報(bào)表附注的審計(jì)。現(xiàn)在及未來,財(cái)務(wù)報(bào)表附注內(nèi)容將會(huì)大大增加,因此,對(duì)這部分內(nèi)容的審計(jì)也是不可避免的。應(yīng)制定會(huì)計(jì)報(bào)表附注的會(huì)計(jì)和審計(jì)準(zhǔn)則,完善法規(guī)制度,加強(qiáng)對(duì)會(huì)計(jì)報(bào)表附注的審計(jì),只有這樣才能使得審計(jì)的責(zé)任得以更好地完成。

2.3.8 從重視有形資產(chǎn)審計(jì)到重視無形資產(chǎn)的審計(jì)。因?yàn)樵谥R(shí)經(jīng)濟(jì)社會(huì)中,以知識(shí)、信息及人力資源為主的無形資產(chǎn)的信息在財(cái)務(wù)報(bào)告所披露的信息中的比重必將大大提高,這也就導(dǎo)致了審計(jì)的重點(diǎn)由重視存貨等有形資產(chǎn)的審計(jì)向重視知識(shí)、人力資源等無形資產(chǎn)審計(jì)的轉(zhuǎn)變。

3 結(jié)束語

科技的發(fā)展給企業(yè)的生產(chǎn)經(jīng)營帶來了極大的便利,同時(shí)也相伴有一定的風(fēng)險(xiǎn),企業(yè)可以通過建立有效的防控機(jī)制來加以預(yù)防,更好的使之為企業(yè)服務(wù),企業(yè)內(nèi)部會(huì)計(jì)審核從目前來看是一種不錯(cuò)的財(cái)務(wù)監(jiān)管機(jī)制,將科技手段與之相結(jié)合會(huì)帶來意想不到的效果。所以,只有科學(xué)的開展企業(yè)內(nèi)部會(huì)計(jì)電算化的應(yīng)用,才能使企業(yè)具有更強(qiáng)的市場(chǎng)競(jìng)爭(zhēng)力。

參考文獻(xiàn)

[1]劉力云.審計(jì)風(fēng)險(xiǎn)與控制[M].北京:中國審計(jì)出版社,1999.

[2]朱榮恩.內(nèi)部控制評(píng)價(jià)[M].北京:中國時(shí)代經(jīng)濟(jì)出版社,2002.

第7篇:安全審計(jì)報(bào)告范文

【關(guān)鍵詞】電子政務(wù);平臺(tái)安全;建設(shè)中圖分類號(hào):TP39

文獻(xiàn)標(biāo)識(shí)碼:A

文章編號(hào):1006-0278(2015)02-112-02

一、基于安全的平臺(tái)物理構(gòu)架

數(shù)據(jù)安全的定義存在對(duì)立的兩個(gè)層而:一是針對(duì)數(shù)據(jù)本身的安全,數(shù)據(jù)本身的安全可以通過使用獨(dú)特的不為外人所知的密碼算法對(duì)數(shù)據(jù)信息進(jìn)行加密;二是數(shù)據(jù)防護(hù)層而的安全,它的主要方法是利用先進(jìn)的儲(chǔ)存方式對(duì)數(shù)據(jù)進(jìn)行防護(hù),目前常用的儲(chǔ)存方式有磁盤陣列、數(shù)據(jù)備份、異地容災(zāi)等。通過對(duì)信息進(jìn)行加密算法傳輸,并且采取先進(jìn)的儲(chǔ)存方式,一般來講可以保證數(shù)據(jù)的安全。

在數(shù)據(jù)的處理過程中可能會(huì)出現(xiàn)因?yàn)殡娐饭收弦鸬挠布系K,服務(wù)中斷、程序的錯(cuò)誤進(jìn)行,以及人為的錯(cuò)誤操作,或者外部網(wǎng)絡(luò)的黑客入侵、病毒感染等問題而導(dǎo)致數(shù)據(jù)丟失或者數(shù)據(jù)庫受到破壞。同時(shí)不同的數(shù)據(jù)只有擁有權(quán)限的人員才能瀏覽,而有些不具備權(quán)限的人員進(jìn)行瀏覽之后,可能會(huì)出現(xiàn)數(shù)據(jù)外泄的情況。

數(shù)據(jù)儲(chǔ)存也應(yīng)該具備安全性。一些數(shù)據(jù)庫的運(yùn)行是公開的,這方而的編程人員通過一些常規(guī)手段,都能夠?qū)?shù)據(jù)庫中的信息進(jìn)行瀏覽或閱讀,如果這些人中有人對(duì)數(shù)據(jù)進(jìn)行了修改也是很正常的。而一旦這些信息落入了非法訪問者手中,那么就會(huì)使內(nèi)部信息外泄,給整個(gè)系統(tǒng)帶來重大的威脅。

數(shù)據(jù)安全具備以下特點(diǎn):

1.機(jī)密性(Confidentiality)。機(jī)密性,又稱保密性,是指信息的獲取需要一點(diǎn)的權(quán)限,不能被隨意獲得。在電腦程序中,網(wǎng)絡(luò)瀏覽器和一些網(wǎng)站都有加密設(shè)置,這樣的目的是為了保證用戶信息的安全;2完整性(Integrity)。完整性是指數(shù)據(jù)在傳送和儲(chǔ)存的過程中,數(shù)據(jù)信息不被非法用戶篡改或獲取,它是信息安全的二個(gè)基本要點(diǎn)之一。完整性和保密性往往容易被混淆。以普通RSA對(duì)數(shù)值信息加密為例,非法用戶如果沒有獲得授權(quán),也能夠通過保密文件的線性計(jì)算來對(duì)數(shù)值的信息進(jìn)行更改。為保證信息的安全,通過散列函數(shù)和數(shù)字簽名可以對(duì)文件進(jìn)行保護(hù);3可用性(Availability)。數(shù)據(jù)可用性是指數(shù)據(jù)的可讀性,它的設(shè)計(jì)理念是以使用者為中心,它的重點(diǎn)是根據(jù)使用者的要求對(duì)產(chǎn)品進(jìn)行相應(yīng)的設(shè)計(jì)。

對(duì)信息安全的認(rèn)識(shí)經(jīng)歷了的數(shù)據(jù)安全階段(強(qiáng)調(diào)保密通信)、網(wǎng)絡(luò)信息安全時(shí)代(強(qiáng)調(diào)網(wǎng)絡(luò)環(huán)境)和信息保障時(shí)代(強(qiáng)調(diào)不能被動(dòng)地保護(hù),需要有保護(hù)

檢測(cè)

反應(yīng)

恢復(fù)四個(gè)環(huán)節(jié))。

二、平臺(tái)網(wǎng)絡(luò)安全威脅

能夠?qū)?shù)據(jù)的安全帶來威脅的因素是五花八門的,而以下幾而方而的威脅是最為普遍的:

(一)硬盤驅(qū)動(dòng)器損壞

硬盤驅(qū)動(dòng)器一旦損壞,通過這一驅(qū)動(dòng)器運(yùn)行的數(shù)據(jù)就會(huì)丟失。而設(shè)備運(yùn)行過程中的損耗、運(yùn)行環(huán)境的破壞和存儲(chǔ)媒介的失效甚至是人為損害都會(huì)引起硬盤驅(qū)動(dòng)器損壞。

(二)人為錯(cuò)誤

人為操作錯(cuò)誤的因素有可能造成系統(tǒng)運(yùn)行參數(shù)的改變,誤刪除一些重要文件。

(三)黑客

黑客通過遠(yuǎn)程操作計(jì)算機(jī)可能對(duì)電腦進(jìn)行一些不安全的更改,從而威脅計(jì)算機(jī)數(shù)據(jù)的安全。

(四)病毒

病毒是大家目前熟悉的一種安全威脅,病毒能夠?qū)τ?jì)算機(jī)系統(tǒng)造成很大的破壞。這幾年各種病毒的產(chǎn)生,是大家對(duì)于病毒的危害的理解越來越深刻,病毒的強(qiáng)感染性和強(qiáng)的傳播性是其成為了威脅系統(tǒng)安全的主要元兇。

(五)信息竊取

信息的竊取是導(dǎo)致數(shù)據(jù)安全的又一大原因,因?yàn)閺?fù)制、盜取等手段會(huì)對(duì)計(jì)算機(jī)的數(shù)據(jù)造成威脅。

(六)自然災(zāi)害

地震、火災(zāi)等無法預(yù)料的自然災(zāi)害會(huì)造成整個(gè)系統(tǒng)的覆滅,從而帶來無法挽回的損失。

(七)電源故障

電力的不穩(wěn),例如突然的斷電等故障會(huì)使硬盤設(shè)施中的數(shù)據(jù)丟失。

(八)磁干擾

磁性較強(qiáng)的東西會(huì)對(duì)計(jì)算機(jī)數(shù)據(jù)造成毀滅性的的傷害。

三、平臺(tái)數(shù)據(jù)安全防護(hù)措施

電子數(shù)據(jù)安全審計(jì)是一個(gè)操作記錄,主要記錄的是用戶在系統(tǒng)中進(jìn)行的操作,這種做法的目的是為了在發(fā)現(xiàn)違規(guī)操作后,能夠追查到責(zé)任人。

電子數(shù)據(jù)安全審計(jì)過程可分成二步來實(shí)現(xiàn):第一步,整理用戶對(duì)系統(tǒng)進(jìn)行的操作,對(duì)操作過程進(jìn)行記錄;第二步,根據(jù)操作的記錄分析是否存在違規(guī)行為;第三步,發(fā)現(xiàn)問題,采取處理措施。

電子數(shù)據(jù)安全審計(jì)工作同防火墻等手段的意義是一樣的。用戶在系統(tǒng)內(nèi)的計(jì)算機(jī)上進(jìn)行的所有行為包括上下機(jī)的時(shí)間,與系統(tǒng)內(nèi)的敏感的信息。數(shù)據(jù)的接觸都能夠在日志文件中查找到,這一措施是為了對(duì)操作行為進(jìn)行分析同時(shí)一旦發(fā)現(xiàn)了不安全因素便于查找并確定事故責(zé)任,這也為增強(qiáng)系統(tǒng)安全提供了預(yù)防作用。

(一)審計(jì)技術(shù)

電子數(shù)據(jù)安全審計(jì)技術(shù)可分二種:系統(tǒng)技術(shù)的了解,驗(yàn)證處理技術(shù)和處理結(jié)果的驗(yàn)證。

1了解系統(tǒng)技術(shù)。審計(jì)人員可以借助閱讀相關(guān)的技術(shù)介紹和查閱程序表和控制流程來了解系統(tǒng)技術(shù)。

2.驗(yàn)證處理技術(shù)。系統(tǒng)指令能夠正確的執(zhí)行主要取決于這一技術(shù)。該技術(shù)由實(shí)際測(cè)試和性能測(cè)試兩部分組成,實(shí)現(xiàn)方法主要有:

(1)事務(wù)選擇。根據(jù)制定的審計(jì)標(biāo)準(zhǔn)的不同,審計(jì)人員可以選擇不同的事務(wù)樣板來進(jìn)行認(rèn)真的了解。樣板的選擇可以是隨機(jī)的,也可以通過操作系統(tǒng)的事務(wù)管理部件自動(dòng)引用。

(2)測(cè)試數(shù)據(jù)。測(cè)試數(shù)據(jù)是程序測(cè)試的擴(kuò)展,系統(tǒng)自動(dòng)生成了準(zhǔn)備處理的事務(wù)。審計(jì)人員可以通過一些方法來預(yù)測(cè)結(jié)果的正確性,并將得出的結(jié)果與實(shí)際的結(jié)果相對(duì)比。使用這種方法的時(shí)候,審計(jì)人員必須通過系統(tǒng)來檢驗(yàn)處理過的檢測(cè)的數(shù)據(jù)。除了上述的方法,還可以使用事務(wù)標(biāo)志、跟蹤、綜合測(cè)試等方法。

(3)并行仿真。審計(jì)人員主要借助某一應(yīng)用程序來模擬操作系統(tǒng)的主要功能。將模擬出的數(shù)據(jù)和給出的實(shí)際的數(shù)據(jù)相比較。仿真的成本較高,可以通過高級(jí)語言使仿真模擬與實(shí)際的應(yīng)用相接近。

(4)驗(yàn)證處理結(jié)果技術(shù)。在這一過程中,審計(jì)人員的工作重點(diǎn)不是對(duì)于數(shù)據(jù)的處理而是數(shù)據(jù)本身,這里有兩個(gè)方而需要重點(diǎn)考慮:一是數(shù)據(jù)的選取。將審計(jì)數(shù)據(jù)收集技術(shù)結(jié)合到應(yīng)用程序?qū)徲?jì)模塊中,應(yīng)用程序?qū)徲?jì)模塊的功能是依據(jù)給定的標(biāo)準(zhǔn)來收集數(shù)據(jù);建立全部的審計(jì)跟蹤;借用于日志恢復(fù)的備份庫;借助審計(jì)庫的記錄來抽取設(shè)施,它能夠隨機(jī)的選擇屬性值相似的文件進(jìn)行記錄,并將其放在工作文件中,為以后的分析提供便利;利用數(shù)據(jù)庫管理系統(tǒng)的查詢?cè)O(shè)施抽取用戶數(shù)據(jù)。二是數(shù)據(jù)內(nèi)容的尋找目標(biāo)。一旦選定了數(shù)據(jù),審計(jì)人員可以對(duì)控制信息進(jìn)行檢查;檢查語義完整性約束;檢查與無關(guān)源點(diǎn)的數(shù)據(jù)。

(二)審計(jì)范圍

在整個(gè)應(yīng)用系統(tǒng)中,審計(jì)是與其他系統(tǒng)獨(dú)立的。審計(jì)主要涉及的范圍是對(duì)操作系統(tǒng)和其他應(yīng)用系統(tǒng)的審計(jì)。

對(duì)操作系統(tǒng)進(jìn)行審計(jì)是為了檢測(cè)和判定操作對(duì)系統(tǒng)的滲透程度并且對(duì)誤操作進(jìn)行識(shí)別。這一過程的基本功能為:選擇審計(jì)對(duì)象;對(duì)審計(jì)的文件進(jìn)行分類并且完成自動(dòng)轉(zhuǎn)換;對(duì)文件的系統(tǒng)完整性進(jìn)行定時(shí)檢測(cè);對(duì)信息儲(chǔ)存的格式和輸出的媒介進(jìn)行審計(jì);報(bào)警閥值的設(shè)置與選擇;對(duì)每日操作行為進(jìn)行審計(jì)并對(duì)數(shù)據(jù)的安全性進(jìn)行保護(hù)等。

應(yīng)用程序?qū)徲?jì)子系統(tǒng)的主要功能是:針對(duì)被作為審計(jì)對(duì)象的應(yīng)用程序的某些操作進(jìn)行監(jiān)控并且進(jìn)行記錄,對(duì)記錄的記過進(jìn)行分析,用以判斷是否應(yīng)用程序是否受到攻擊并別修改,同時(shí)能夠判斷程序和數(shù)據(jù)的完整性;采用身份驗(yàn)證和口令驗(yàn)證等方法來保證應(yīng)用程序的正常運(yùn)行。

(三)審計(jì)跟蹤

審計(jì)跟蹤與日志恢復(fù)從本質(zhì)上來講是有區(qū)別的,但是經(jīng)??梢越Y(jié)合在一起使用。它們的主要區(qū)別是審計(jì)跟蹤能夠進(jìn)行記錄,而日志恢復(fù)通常不對(duì)操作進(jìn)行記錄;但根據(jù)實(shí)際的需要,審計(jì)跟蹤可以從日記恢復(fù)中得到所需要的審計(jì)信息。如果將告警功能與審計(jì)功能結(jié)合起來,那么就可以在違規(guī)的或者不合法的操作進(jìn)行的當(dāng)時(shí)向程序人員發(fā)出警告,以使他們能夠以最快的速度做出反應(yīng),及時(shí)的采取解決的對(duì)策,使損失降到最低。審計(jì)記錄所包含的內(nèi)容主要有:操作進(jìn)行的地點(diǎn)和時(shí)間;進(jìn)行操作的用戶;事件的類型;事件結(jié)果。

根據(jù)訪問控制的類型,數(shù)據(jù)庫對(duì)于審計(jì)跟蹤的請(qǐng)求不加以限定。獨(dú)立的審計(jì)跟蹤保密性更強(qiáng),審計(jì)人員可以對(duì)時(shí)間進(jìn)行限定,但是成本比較高。

(四)審計(jì)的流程

第8篇:安全審計(jì)報(bào)告范文

20世紀(jì)60年代隨著第二代晶體管機(jī)的出現(xiàn)和計(jì)算機(jī)的普及,特別是電算化之后,開始設(shè)立數(shù)據(jù)處理審計(jì)及安全辦公室,出現(xiàn)了信息技術(shù)審計(jì)(IT審計(jì))-EDP審計(jì),當(dāng)時(shí)稱之為計(jì)算機(jī)審計(jì),到70年代,利用計(jì)算機(jī)犯罪的案件開始出現(xiàn),在上引起了強(qiáng)烈反響,人們開始認(rèn)識(shí)到信息技術(shù)審計(jì)的必要性。進(jìn)入80年代后,發(fā)達(dá)國家大力發(fā)展信息產(chǎn)業(yè),加上計(jì)算機(jī)與通信相結(jié)合,使計(jì)算機(jī)的應(yīng)用更加普及,同時(shí)也導(dǎo)致了利用計(jì)算機(jī)犯罪的比率升高,犯罪率的急劇上升引起了有關(guān)政府的極大重視,1984年日本政府公開發(fā)表了《IT審計(jì)標(biāo)準(zhǔn)》,在全日本的軟件水平中增添了“IT審計(jì)師”一級(jí)的考試(在系統(tǒng)員考試之上的最高一級(jí)),培養(yǎng)從事信息技術(shù)審計(jì)的骨干隊(duì)伍,信息技術(shù)審計(jì)逐步走向成熟。至20世紀(jì)90年代,信息系統(tǒng)向大型化、多樣化及化發(fā)展,信息技術(shù)審計(jì)作為信息社會(huì)的安全對(duì)策進(jìn)入普及時(shí)期。

二、信息系統(tǒng)審計(jì)(ISA)與信息技術(shù)審計(jì)(ITA)

信息系統(tǒng)審計(jì)(Information Systems Audit簡稱ISA)是指以某個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)為中心的審計(jì),即對(duì)計(jì)算機(jī)信息系統(tǒng)的開發(fā)建設(shè)、運(yùn)行環(huán)境、使用和維護(hù)、內(nèi)部控制等情況進(jìn)行監(jiān)督、檢查,并作出評(píng)價(jià),提出意見和建議,它包括對(duì)新系統(tǒng)的開發(fā)審計(jì)和對(duì)現(xiàn)有系統(tǒng)的審計(jì)。而信息技術(shù)審計(jì)(Information Technology Audit簡稱ITA)則是側(cè)重于對(duì)信息技術(shù)基礎(chǔ)設(shè)施的審計(jì),主要是對(duì)技術(shù)的安全性進(jìn)行審計(jì),重點(diǎn)在于網(wǎng)絡(luò)安全和通訊安全。包括對(duì)防火墻的安全和公共密鑰系統(tǒng)(PKI)的安全性的評(píng)價(jià),以及對(duì)非法入侵進(jìn)行檢測(cè)等。在部分西方國家央行內(nèi)部審計(jì)中,信息系統(tǒng)審計(jì)和信息技術(shù)審計(jì)有嚴(yán)格的區(qū)分,分別設(shè)置信息系統(tǒng)和信息技術(shù)審計(jì)機(jī)構(gòu),我國人民銀行信息技術(shù)審計(jì)處于起步階段,一般認(rèn)為信息技術(shù)審計(jì)既包括對(duì)應(yīng)用系統(tǒng)的審計(jì),也包括對(duì)計(jì)算機(jī)基礎(chǔ)設(shè)施的審計(jì),二者是一個(gè)包含與被包含的關(guān)系,是可以通用的概念。

三、人民銀行信息技術(shù)審計(jì)的發(fā)展方向

人民銀行2000年開始提出信息技術(shù)審計(jì)的概念,在充分了美國、德國、英國、加拿大、荷蘭、日本等國中央銀行信息技術(shù)審計(jì)的基礎(chǔ)上,2000年8月在貴陽首次召開了人民銀行信息技術(shù)審計(jì)工作座談會(huì),以此次會(huì)議為標(biāo)志,人民銀行正式將信息系統(tǒng)安全納入內(nèi)部審計(jì)范疇,并相繼開展了一系列信息系統(tǒng)專項(xiàng)審計(jì)。經(jīng)過幾年的探索,人民銀行對(duì)信息技術(shù)審計(jì)有了明確的定位,信息技術(shù)審計(jì)逐步走向正規(guī)化、日?;倪@幾年的實(shí)踐來看,人民銀行信息技術(shù)審計(jì)雖然引起了各級(jí)領(lǐng)導(dǎo)的高度重視,但受人員素質(zhì)等各種因素的制約,信息技術(shù)審計(jì)層次較低,基本上側(cè)重于規(guī)章制度的執(zhí)行和基礎(chǔ)設(shè)施的安全,離信息技術(shù)審計(jì)的定義相差較遠(yuǎn),筆者認(rèn)為人民銀行信息技術(shù)審計(jì)應(yīng)向以下幾個(gè)方向發(fā)展:

1、在審計(jì)策略上向參與式審計(jì)發(fā)展。西方內(nèi)部審計(jì)理念的核心是,內(nèi)審人員不僅要善于發(fā)現(xiàn),而且更要善于解決問題,并要將所提建議當(dāng)作本部門的服務(wù)產(chǎn)品向管理當(dāng)局積極推銷,以大大提高審計(jì)的效果。而現(xiàn)代內(nèi)部審計(jì)方式的精髓則是參與式審計(jì),即在整個(gè)審計(jì)過程中與被審人員維持良好的關(guān)系,共同分析問題的實(shí)際情況及潛在,一起探討改進(jìn)的可行性和應(yīng)采取的措施,從而加強(qiáng)內(nèi)部控制、改善經(jīng)營管理,防范和化解潛在的風(fēng)險(xiǎn)。

信息技術(shù)審計(jì)不僅僅是傳統(tǒng)審計(jì)業(yè)務(wù)的簡單擴(kuò)展,它是在傳統(tǒng)審計(jì)、信息系統(tǒng)管理理論、行為理論和計(jì)算機(jī)科學(xué)四個(gè)理論基礎(chǔ)上形成的一門邊緣性學(xué)科,完全依靠自身的力量完成所有審計(jì)工作是不現(xiàn)實(shí)的,也是不符合成本效益原則的。西方國家信息技術(shù)審計(jì)普遍采用的做法是從外部咨詢機(jī)構(gòu)聘請(qǐng)信息技術(shù)專家、安全專家以及各種具體應(yīng)用系統(tǒng)的專家參與審計(jì)。

參與式審計(jì)主要體現(xiàn)在以下幾個(gè)方面:(1)在審計(jì)開始時(shí),就對(duì)被審部門抱著信任態(tài)度,與他們討論審計(jì)目標(biāo)、審計(jì)、計(jì)劃采取某些審計(jì)程序和的理由,以取得他們的理解和支持;(2)征求被審部門的意見,尋求他們的合作;(3)及時(shí)與當(dāng)事人討論審計(jì)中發(fā)現(xiàn)的問題,共同分析改進(jìn)的必要性,并探討改進(jìn)的可行措施;(4)向被審部門報(bào)告期中審計(jì)結(jié)果,其中審計(jì)報(bào)告可以是口頭的,非正式的,以便及時(shí)就地解決和改正存在的問題,避免發(fā)生更大的損失;(5)提出最終審計(jì)報(bào)告時(shí),采用建設(shè)性的語調(diào),重點(diǎn)放在問題產(chǎn)生的原因和可能造成的影響、改進(jìn)的可能性和改進(jìn)措施上,被審部門已經(jīng)采取的改進(jìn)行動(dòng)也可以包括在審計(jì)報(bào)告中,以反映他們對(duì)審計(jì)工作的積極態(tài)度。

參與式審計(jì)的基礎(chǔ)是信任被審部門,而我國人民銀行內(nèi)審脫胎于原稽核部門,沿襲了傳統(tǒng)審計(jì)的思路和模式,在審計(jì)中持著懷疑一切的態(tài)度,將自己放在了被審單位的對(duì)立面,這樣既不便于內(nèi)審工作的開展,也了審計(jì)的質(zhì)量和效果。

2、在審計(jì)對(duì)象上向安全審計(jì)。隨著機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,在人總行司的統(tǒng)一部署下,人民銀行系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)經(jīng)過近10年的建設(shè)已初具規(guī)模,形成了以內(nèi)聯(lián)網(wǎng)為核心,縱向覆蓋至縣支行,橫向與各機(jī)構(gòu)、財(cái)政、稅務(wù)及海關(guān)、外匯交易中心等單位相聯(lián)的大型網(wǎng)絡(luò)。在人民銀行系統(tǒng)內(nèi)同時(shí)存在內(nèi)聯(lián)網(wǎng)、外聯(lián)網(wǎng)和國際互聯(lián)網(wǎng)三套網(wǎng)絡(luò)系統(tǒng),計(jì)算機(jī)網(wǎng)絡(luò)成為人民銀行業(yè)務(wù)系統(tǒng)運(yùn)行、信息傳輸?shù)闹匾脚_(tái)和紐帶,其運(yùn)行狀況直接關(guān)系到資金安全和政務(wù)信息的安全。網(wǎng)絡(luò)在加快信息傳播、加大資源共享、提高辦公效率的同時(shí)也成為了人民銀行系統(tǒng)內(nèi)最大的潛在風(fēng)險(xiǎn)點(diǎn)。

目前人民銀行系統(tǒng)正在運(yùn)行的計(jì)算機(jī)系統(tǒng)共有二十多個(gè),涉及支付結(jié)算,金融服務(wù)以及辦公自動(dòng)化等各個(gè)方面,在這種情況下,處于起步階段的信息技術(shù)審計(jì)以各個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)為中心有其合理性:一是審計(jì)人員對(duì)各業(yè)務(wù)系統(tǒng)缺乏了解,對(duì)各系統(tǒng)還需要一個(gè)熟悉的過程,以系統(tǒng)為中心的審計(jì)有助于審計(jì)人員全面系統(tǒng)地了解業(yè)務(wù)系統(tǒng)的情況;二是計(jì)算機(jī)專業(yè)人員的缺乏,使以安全性為中心目標(biāo)的信息技術(shù)審計(jì)難以有效開展;三是目前對(duì)計(jì)算機(jī)業(yè)務(wù)應(yīng)用系統(tǒng)的監(jiān)督檢查環(huán)節(jié)還很薄弱,對(duì)于保證控制的各項(xiàng)制度措施不能很好地貫徹執(zhí)行,合規(guī)性審計(jì)在一定時(shí)期內(nèi)將是信息技術(shù)審計(jì)的主要。但是隨著信息技術(shù)審計(jì)工作的不斷開展,審計(jì)人員經(jīng)驗(yàn)的豐富和技術(shù)的提高,信息技術(shù)審計(jì)應(yīng)該走出以系統(tǒng)為中心的審計(jì),向以保證組織網(wǎng)絡(luò)與信息的安全方向發(fā)展,充分發(fā)揮信息技術(shù)審計(jì)技術(shù)性、專業(yè)性特點(diǎn)。

3、在審計(jì)內(nèi)容上向系統(tǒng)開發(fā)審計(jì)發(fā)展。信息系統(tǒng)之所以風(fēng)險(xiǎn)較高,是因?yàn)樗粌H涉及數(shù)據(jù)的安全和保護(hù),而且涉及計(jì)算機(jī)網(wǎng)絡(luò)的一致性和適用性,涉及系統(tǒng)建立和開發(fā)過程中的巨額資金流出。應(yīng)用系統(tǒng)的開發(fā)不僅在開發(fā)階段要花費(fèi)大量的人力、物力和財(cái)力,而且對(duì)已經(jīng)完成了的應(yīng)用系統(tǒng)進(jìn)行修改也將花費(fèi)大量的時(shí)間和資金,相對(duì)傳統(tǒng)業(yè)務(wù)審計(jì)而言,對(duì)信息系統(tǒng)僅僅進(jìn)行事后審計(jì)意義不大,所以,內(nèi)審部門對(duì)系統(tǒng)開發(fā)應(yīng)在項(xiàng)目計(jì)劃階段就要介入,對(duì)其開況進(jìn)行全過程審計(jì)監(jiān)督。

對(duì)系統(tǒng)開況進(jìn)行審計(jì)關(guān)鍵是要求內(nèi)審人員“一開始就介入”。通過提前介入,內(nèi)審部門對(duì)項(xiàng)目的概算、項(xiàng)目的必要性、招投標(biāo)情況、建設(shè)工期執(zhí)行情況、系統(tǒng)的“可審計(jì)性”等進(jìn)行監(jiān)督,保證系統(tǒng)的合理投資、合理設(shè)計(jì)開發(fā)和有效運(yùn)行,及早發(fā)現(xiàn)系統(tǒng)在風(fēng)險(xiǎn)控制、質(zhì)量保證和成本效益等方面存在的問題,避免走彎路,防止出現(xiàn)浪費(fèi)和損失。同時(shí),通過提前介入,也將信息系統(tǒng)的開發(fā)、購買、重大修改、委托運(yùn)營、轉(zhuǎn)讓和退出使用等管理工作置于內(nèi)審的有效監(jiān)督之下。

在西方各國,一般要求信息系統(tǒng)管理部門在進(jìn)行系統(tǒng)開發(fā)、購買、轉(zhuǎn)讓、重大修改和退出使用時(shí)要通知內(nèi)審部門,內(nèi)審部門根據(jù)系統(tǒng)的重要性決定審計(jì)的方式,可以要求提供相關(guān)資料,也可以派人參與開發(fā)過程,對(duì)于大型系統(tǒng)一般成立由財(cái)務(wù)審計(jì)人員和信息技術(shù)審計(jì)人員共同組成的聯(lián)合工作組進(jìn)行新系統(tǒng)開發(fā)審計(jì)。目前人民銀行正準(zhǔn)備進(jìn)行應(yīng)用系統(tǒng)開發(fā)審計(jì)的嘗試。

4、在審計(jì)重點(diǎn)上向風(fēng)險(xiǎn)導(dǎo)向型審計(jì)發(fā)展。信息技術(shù)審計(jì)不同于我們以往的業(yè)務(wù)審計(jì),以往的業(yè)務(wù)審計(jì)往往以發(fā)現(xiàn)已經(jīng)發(fā)生的損失,已經(jīng)實(shí)施的舞弊和違規(guī)為目的,屬于以損失為基礎(chǔ)的審計(jì);而信息技術(shù)審計(jì)則具有一定的事前性,其目的在于發(fā)現(xiàn)潛在的風(fēng)險(xiǎn)和可能發(fā)生的損失。這種目的上的變化要求信息技術(shù)審計(jì)不可能以損失為基礎(chǔ),而應(yīng)該以風(fēng)險(xiǎn)為基礎(chǔ),因此,信息技術(shù)審計(jì)部門必須借鑒風(fēng)險(xiǎn)評(píng)估的,由對(duì)系統(tǒng)運(yùn)行的合規(guī)性審計(jì)逐漸轉(zhuǎn)變?yōu)轱L(fēng)險(xiǎn)導(dǎo)向型審計(jì):根據(jù)系統(tǒng)風(fēng)險(xiǎn)評(píng)估結(jié)果,確定審計(jì)計(jì)劃,根據(jù)對(duì)固有風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)的測(cè)算,確定審計(jì)重點(diǎn)、制定審計(jì)方案。這種以風(fēng)險(xiǎn)為基礎(chǔ)的審計(jì)也是當(dāng)前國際審計(jì)界通行的觀念和做法,也是今后我國審計(jì)的發(fā)展方向。

第9篇:安全審計(jì)報(bào)告范文

關(guān)鍵字:信息技術(shù) 內(nèi)部審計(jì) 風(fēng)險(xiǎn)評(píng)估

信息化拉近了人與人的距離,提高了工作效率,造就了方便的生活方式。計(jì)算機(jī)信息技術(shù)代在很多方面替代人進(jìn)行工作,節(jié)約了生產(chǎn)成本,提高了工作效率,因而加快建設(shè)企業(yè)信息化的發(fā)展,引進(jìn)信息化技術(shù)到企業(yè)內(nèi)部審計(jì)工作中,可以有效的節(jié)約資源和縮減成本,提高辦事效率。另一方面,計(jì)算機(jī)行業(yè)是高科技行業(yè),具有較高的風(fēng)險(xiǎn)性,所以如何引進(jìn)信息技術(shù)任然需要謹(jǐn)慎。

一、信息技術(shù)的安全性和公正性

(一)信息技術(shù)的安全性

要為企業(yè)設(shè)計(jì)一款軟件為內(nèi)部審計(jì)服務(wù),必須要進(jìn)行深思熟慮,首先要從其需求方面入手。企業(yè)需要怎樣的功能,企業(yè)的規(guī)模需要哪種性能的軟件(根據(jù)企業(yè)人數(shù)要求軟件可以承受的用戶并發(fā)數(shù)),這兩項(xiàng)是最基本的硬性要求。然后就是軟件的安全性,這里主要是指軟件對(duì)企業(yè)信息的保密性,軟件采用何種形式的編碼方法,以何種協(xié)議傳輸信息,防火墻設(shè)計(jì)是否能夠有效的抵御黑客進(jìn)攻都關(guān)系到整個(gè)企業(yè)的信息資料安全。確定了可行的、可信的、可靠的軟件才能進(jìn)行投放。

(二)信息技術(shù)的公正性

較之人而言,計(jì)算機(jī)是沒有“感情”的,從而也規(guī)避了“腐敗”現(xiàn)象的發(fā)生。將審查后的數(shù)據(jù)輸入電腦,計(jì)算機(jī)服務(wù)器終端會(huì)根據(jù)軟件系統(tǒng)設(shè)計(jì)好的程序運(yùn)行計(jì)算實(shí)際的數(shù)據(jù),在軟件質(zhì)量良好的情況下可以保證所得到的報(bào)表、審計(jì)報(bào)告的真實(shí)性。這對(duì)公司企業(yè)的人員管理和評(píng)審也是非常公正的。

二、會(huì)計(jì)信息化及其對(duì)企業(yè)內(nèi)部審計(jì)的意義

(一)信息化環(huán)境下企業(yè)內(nèi)部審計(jì)對(duì)象的特點(diǎn)

(1)隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展,企業(yè)之間的電子商務(wù)平臺(tái)將會(huì)得到很大的發(fā)展空間。為企業(yè)的發(fā)展和創(chuàng)新開拓廣泛的新局面,其中最明顯的變化就是企業(yè)的經(jīng)營管理模式和信息披露的模式。經(jīng)過發(fā)展和改變后,不少的企業(yè)可以將自己的產(chǎn)品以及交易信息和銷售的合同公布在互聯(lián)網(wǎng)上進(jìn)行交易。這樣的改變不僅不會(huì)讓消費(fèi)者的受到時(shí)間和空間的限制,同時(shí)還能夠查閱資料對(duì)產(chǎn)品有進(jìn)一步的了解,再?zèng)Q定是否購買。企業(yè)通過互聯(lián)網(wǎng)的交易形式不僅能夠達(dá)到提高效率的目的,同時(shí)還能夠降低成本,擴(kuò)大企業(yè)的利潤空間。

(2)建立在網(wǎng)絡(luò)環(huán)境基礎(chǔ)下的會(huì)計(jì)信息系統(tǒng)被稱之為網(wǎng)絡(luò)會(huì)計(jì)。網(wǎng)絡(luò)會(huì)計(jì)與傳統(tǒng)會(huì)計(jì)的區(qū)別很大,主要是體現(xiàn)在以下兩個(gè)的特點(diǎn):一是網(wǎng)絡(luò)會(huì)計(jì)的會(huì)計(jì)信息是無紙化和自動(dòng)化,采用網(wǎng)絡(luò)溝通的方式去實(shí)現(xiàn)交易,相比傳統(tǒng)的會(huì)計(jì)信息系統(tǒng)更加的節(jié)約資源。二是會(huì)計(jì)信息披露更充分、更及時(shí)。

(二)會(huì)計(jì)信息化對(duì)會(huì)計(jì)內(nèi)部審計(jì)的意義

隨著互聯(lián)網(wǎng)的快速發(fā)展,傳統(tǒng)的審計(jì)方式將逐漸被網(wǎng)絡(luò)在線實(shí)施的網(wǎng)絡(luò)審計(jì)模式所取代。而這樣的審計(jì)模式就能滿足審計(jì)人員不用出門就可以完成審計(jì)工作的要求。

(1)網(wǎng)絡(luò)審計(jì)技術(shù)更先進(jìn):審計(jì)人員不僅可以通過網(wǎng)絡(luò)系統(tǒng)和審計(jì)的對(duì)象進(jìn)行溝通、交換信息,并且可以直接在網(wǎng)上進(jìn)行會(huì)計(jì)信息的查閱。由于網(wǎng)絡(luò)技術(shù)的發(fā)展與應(yīng)用,空間已經(jīng)不會(huì)造成執(zhí)行審計(jì)的制約因素,這樣更方便審計(jì)人員開展工作。

(2)網(wǎng)絡(luò)系統(tǒng)能夠充分的發(fā)揮計(jì)算機(jī)的高速運(yùn)轉(zhuǎn)與審計(jì)軟件的優(yōu)勢(shì),同時(shí)間還能對(duì)網(wǎng)絡(luò)的財(cái)務(wù)數(shù)據(jù)以及業(yè)務(wù)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、處理,最后完成審計(jì)工作的報(bào)告。與傳統(tǒng)的審計(jì)相比,網(wǎng)絡(luò)審計(jì)在高效率完成工作的同時(shí)還能達(dá)到節(jié)約能源以及提高準(zhǔn)確率的目的。

三、信息化環(huán)境下完善企業(yè)內(nèi)部審計(jì)的對(duì)策及建議

(一)提高審計(jì)風(fēng)險(xiǎn)的防范能力

因?yàn)榫W(wǎng)絡(luò)系統(tǒng)的運(yùn)作,導(dǎo)致信息的載體由低介質(zhì)轉(zhuǎn)變成磁性介質(zhì)。但由于磁性介質(zhì)在受到高溫和磁性物質(zhì)的因素下容易受到影響,造成磁性介質(zhì)的磁性消失。因此,檔案的保存還有很大的風(fēng)險(xiǎn)。通過信息技術(shù)導(dǎo)致這種儲(chǔ)存媒體的方式經(jīng)常受到訪問和濫用,造成了審計(jì)風(fēng)險(xiǎn)的增加。因此,必須建立一個(gè)有監(jiān)管部門嚴(yán)格監(jiān)控的網(wǎng)絡(luò)財(cái)務(wù)信息進(jìn)行強(qiáng)制性的存檔制度,這樣不僅可以避免網(wǎng)上的財(cái)務(wù)信息遭到披露,同時(shí)還能提高工作的效率、減低審計(jì)的風(fēng)險(xiǎn)。制定的風(fēng)險(xiǎn)防范制度其中主要包括了網(wǎng)絡(luò)管理的規(guī)定、會(huì)計(jì)核算的軟件運(yùn)行管理等。

(二)加強(qiáng)對(duì)會(huì)計(jì)信息系統(tǒng)內(nèi)部控制制度的審計(jì)

在會(huì)計(jì)信息系統(tǒng)中,內(nèi)部的控制制度要求應(yīng)該更為嚴(yán)格,否則制度一旦失控,將會(huì)給企業(yè)帶來無法挽回的后果。因此,必須對(duì)內(nèi)部控制的制度加強(qiáng),內(nèi)部的控制制度在加強(qiáng)后,能夠促進(jìn)企業(yè)建立一個(gè)完善的內(nèi)部控制的制度體系,已達(dá)到保證會(huì)計(jì)資料真實(shí)性的目的。通過內(nèi)部控制的制度審計(jì),能夠避免錯(cuò)誤和重大違紀(jì)事項(xiàng)的發(fā)生,同時(shí)還能提高工作的質(zhì)量以及效率。

四、結(jié)束語

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,導(dǎo)致信息化環(huán)境給企業(yè)內(nèi)部的審計(jì)工作的內(nèi)容和環(huán)境帶來翻天覆地的變化,造成對(duì)內(nèi)部審計(jì)的極大影響。通過加內(nèi)部審計(jì)的風(fēng)險(xiǎn)防范制度,將會(huì)計(jì)信息化的內(nèi)部審計(jì)與內(nèi)部的控制制度以及安全審計(jì)向結(jié)合,將其作為中心內(nèi)容,達(dá)到更加有效的、安全的性的在會(huì)計(jì)信息化的環(huán)境下開展審計(jì)工作的目的。

參考文獻(xiàn):

[1]馬睿.信息化環(huán)境下企業(yè)內(nèi)部審計(jì)思考[J].商場(chǎng)現(xiàn)代化,2007,(33):347-348

[2]單石奇.企業(yè)信息化環(huán)境下內(nèi)部審計(jì)工作的思考[J].江漢石油職工大學(xué)學(xué)報(bào),2008,21(1):47-49