• <input id="zdukh"></input>
  • <b id="zdukh"><bdo id="zdukh"></bdo></b>
      <b id="zdukh"><bdo id="zdukh"></bdo></b>
    1. <i id="zdukh"><bdo id="zdukh"></bdo></i>

      <wbr id="zdukh"><table id="zdukh"></table></wbr>

      1. <input id="zdukh"></input>
        <wbr id="zdukh"><ins id="zdukh"></ins></wbr>
        <sub id="zdukh"></sub>
        公務(wù)員期刊網(wǎng) 精選范文 安全審計報告范文

        安全審計報告精選(九篇)

        前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的安全審計報告主題范文,僅供參考,歡迎閱讀并收藏。

        安全審計報告

        第1篇:安全審計報告范文

        論文摘要:本文強調(diào)審計工作的安全、高效和信息化,從審計工作的現(xiàn)狀、發(fā)展瓶頸到信息化審計的制度健全、引入主機系統(tǒng)安全審計、業(yè)務(wù)系統(tǒng)安全審計等相關(guān)管理辦法、新技術(shù)或新理念和待解決的問題等方面,論述構(gòu)建安全高效的審計信息化安全保障體系的措施。

        審計是客觀評價個人,組織、制度、程序、項目或產(chǎn)品。審計執(zhí)行是以確定有效性和可靠性的信息,還提供了一個可內(nèi)控的評估系統(tǒng)。審計的目標(biāo)是表達人、組織、系統(tǒng)等的評估意見,審計人員在測試環(huán)境中進行評估工作。審計必須出示合理并基本無誤的報表,通常是利用統(tǒng)計抽樣來完成。審計也是用來考察和防止虛假數(shù)據(jù)及欺騙行為,檢查、考證目標(biāo)的完整性、準(zhǔn)確性,以及檢查目標(biāo)是否符合既定的標(biāo)準(zhǔn)、尺度和其它審計準(zhǔn)則。實現(xiàn)審計的信息化,有利于管理層迅速準(zhǔn)確的做出決定,對于政企業(yè)發(fā)展、社會經(jīng)濟的進步都具有重要作用。目前,我國的審計工作尚存在性質(zhì)認(rèn)定模糊、工作范圍過于狹窄等問題,有待進一步加強和改進。

        審計的基礎(chǔ)工作是內(nèi)部審計,內(nèi)審是審計監(jiān)督體系中不可或缺的重要組成部分,是全面經(jīng)濟管理必不可少的手段,是加強任何機構(gòu)內(nèi)部管理的必要,推動經(jīng)濟管理向科學(xué)化方向發(fā)展的重要環(huán)節(jié)也是審計。因此說審計部門是其他監(jiān)督部門不能代替的,促進黨風(fēng)廉政建設(shè)、加強對黨政領(lǐng)導(dǎo)干部及管理人員的監(jiān)督都可以通過審計來完成。審計應(yīng)用與高新技術(shù)機構(gòu)中,在防范風(fēng)險中發(fā)揮著重要作用,也有助于領(lǐng)導(dǎo)層做出正確決策。

        一、審計工作的現(xiàn)狀及存在的問題

        隨著我國經(jīng)濟迅猛發(fā)展,審計監(jiān)督力度不斷增強,審計范圍也不斷擴大。當(dāng)前,審計方式已由財政財務(wù)審計向效益審計發(fā)展,由賬項基礎(chǔ)審計向制度基礎(chǔ)審計、風(fēng)險基礎(chǔ)審計發(fā)展,由事后審計向事中、事前審計發(fā)展。審計管理上建立審計質(zhì)量控制體系,要求審計機關(guān)把審計管理工作前移,把質(zhì)量控制體系貫穿與審計工作中。在此趨勢下,傳統(tǒng)的審計方法暴露出其效率低、審計范圍小等劣勢,使得完成審計任務(wù),達到審計目標(biāo)越發(fā)缺乏及時性。

        (一)內(nèi)部審計性質(zhì)認(rèn)定較為模糊。內(nèi)部審計是市場經(jīng)濟條件下,基于加強經(jīng)營管理的內(nèi)在需要,也是內(nèi)部審計賴以存在的客觀基礎(chǔ)。但是,現(xiàn)代內(nèi)部審計的產(chǎn)生卻是一個行政命令產(chǎn)物,強調(diào)外向。這種審計模式使人們對內(nèi)部審計在性質(zhì)認(rèn)定上產(chǎn)生模糊,阻礙了內(nèi)部審計的發(fā)展。內(nèi)部審計很難融入經(jīng)營管理中,審計工作很難正常開展,很難履行監(jiān)督評價職能和開展保證咨詢活動,因此就不能充分發(fā)揮其應(yīng)有的內(nèi)向的作用。

        (二)內(nèi)部審計工作范圍過于狹窄。內(nèi)部審計的目的在于為組織增加價值并提高組織的運作效率,其職能是監(jiān)督和服務(wù)。但是,我國內(nèi)部審計工作的重心局限在財務(wù)收支的真實性及合規(guī)性審計。長久以來內(nèi)部審計突出了監(jiān)督職能,而忽視了服務(wù)職能。內(nèi)部審計認(rèn)識水平、思想觀念的束縛以及管理體制等諸多因素,影響和阻礙著內(nèi)審作用的有效發(fā)揮。原因有會計人員知識水平、業(yè)務(wù)素質(zhì)不高,也有不重視法律、法規(guī)的因素,還有監(jiān)管不力、查處不嚴(yán)的原因。目前內(nèi)部審計尚處在查錯階段,停留在調(diào)賬、糾正錯誤上,還不能多角度、深層次分析問題,沒有較國際先進的審計理念,我國內(nèi)部審計的作用尚待開發(fā)。審計人員的計算機知識匱乏,不適應(yīng)電算化、信息化的迅速發(fā)展。目前多數(shù)審計人員硬件知識掌握不熟練,軟件知識了解也不足,因此不能有效地評估信息系統(tǒng)的安全性、效益性。由于計算機審計軟件開發(fā)標(biāo)準(zhǔn)不同,功能也不完整,因此全面推廣計算機輔助審計就有一定難度,導(dǎo)致審計人員的知識和審計手段滯后于信息化的發(fā)展。

        二、信息化審計體系的健全

        當(dāng)前國家審計信息化發(fā)展的趨勢是建立審計信息資源的標(biāo)準(zhǔn)化、共享化、公開化,逐步達到向現(xiàn)代審計方式的轉(zhuǎn)變。這一趨勢是隨著當(dāng)前科學(xué)發(fā)展、和諧社會的推進,國家確立的公共財政建設(shè)、公共服務(wù)的實施、公共產(chǎn)品的提供應(yīng)運而生的,三個“公共”的主旨是:國家財政資金的使用更注重民生;使用重點更注重服務(wù);使用效益更注重民意。

        信息安全審計是任何機構(gòu)內(nèi)控、信息系統(tǒng)治理、安全風(fēng)險控制等不可或缺的關(guān)鍵手段。收集并評估證據(jù)以決定一個計算機系統(tǒng)是否有效地做到保護資產(chǎn)、維護數(shù)據(jù)完整、完成目標(biāo),同時能更經(jīng)濟的使用資源。信息安全審計與信息安全管理密切相關(guān),信息安全審計的主要依據(jù)是出于不同的角度提出的控制體系的信息安全管理相關(guān)的標(biāo)準(zhǔn)。這些控制體系下的信息化審計可以有效地控制信息安全,從而達到安全審計的目的,提高信息系統(tǒng)的安全性。由此,國際組織也制定了相關(guān)文件規(guī)范填補信息系統(tǒng)審計方面的某些空白。例如《信息安全管理業(yè)務(wù)規(guī)范》通過了國際標(biāo)準(zhǔn)化組織ISO的認(rèn)可,正式成為國際標(biāo)準(zhǔn)。我國法律也針對信息安全審計制定出了《中華人民共和國審計法》、《國務(wù)院辦公廳關(guān)利用計算機信息系統(tǒng)開展審計工作有關(guān)的通知》等文件,基本規(guī)范了內(nèi)部審計機制,健全了內(nèi)部審計機構(gòu);強調(diào)機構(gòu)應(yīng)加強內(nèi)審工作,機構(gòu)內(nèi)部要形成有權(quán)就有責(zé)、用權(quán)受監(jiān)督的最佳氛圍;審計委員會直接對領(lǐng)導(dǎo)班子負(fù)責(zé),其成員需具有相應(yīng)的獨立性,委員會成員具良好的職業(yè)操守和能力,內(nèi)審人員應(yīng)當(dāng)具備內(nèi)審人員從業(yè)資格,其工作范圍不應(yīng)受到人為限制。內(nèi)部審計機構(gòu)對審計過程中發(fā)現(xiàn)的重大問題,視具體情況,可以直接向?qū)徲嬑瘑T會或者領(lǐng)導(dǎo)層報告。 轉(zhuǎn)貼于  三、主機系統(tǒng)安全審計

        信息技術(shù)審計,或信息系統(tǒng)審計,是一個信息技術(shù)基礎(chǔ)設(shè)施控制范圍內(nèi)的檢查。信息系統(tǒng)審計是一個通過收集和評價審計證據(jù),對信息系統(tǒng)是否能夠保護資產(chǎn)的安全、維護數(shù)據(jù)的完整、使被審計單位的目標(biāo)得以有效地實現(xiàn)、使組織的資源得到高效地使用等方面做出判斷的過程。

        以技術(shù)劃分,信息化安全審計主要分為主機審計、網(wǎng)絡(luò)審計、應(yīng)用審計、數(shù)據(jù)庫審計,綜合審計。簡單的說獲取、記錄被審計主機的狀態(tài)信息和敏感操作就是主機審計,主機審計可以從已有的系統(tǒng)審計記錄中提取相關(guān)信息,并以審計規(guī)則為標(biāo)準(zhǔn)來分析判斷被審計主機是否存在違規(guī)行為??傊瑸榱嗽谧畲笙薅缺U习踩幕A(chǔ)上找到最佳途徑使得業(yè)務(wù)正常工作的一切行為及手段,而對計算機信息系統(tǒng)的薄弱環(huán)節(jié)進行檢測、評估及分析,都可稱作安全審計。

        主機安全審計系統(tǒng)中事件產(chǎn)生器、分析器和響應(yīng)單元已經(jīng)分別以智能審計主機、系統(tǒng)中心、管理與報警處置控制臺來替代。實現(xiàn)主機安全系統(tǒng)的審計包括系統(tǒng)安全審計、主機應(yīng)用安全審計及用戶行為審計。智能審計替代主機安裝在網(wǎng)絡(luò)計算機用戶上,并按照設(shè)計思路監(jiān)視用戶操作行為,同時智能分析事件安全。從面向防護的對象可將主機安全審計系統(tǒng)分為系統(tǒng)安全審計、主機應(yīng)用安全審計、用戶行為審計、移動數(shù)據(jù)防護審計等方面。

        四、待解決的若干問題

        計算機與信息系統(tǒng)廣泛使用,如何加強對終端用戶計算機的安全管理成為一個急需解決的問題。這就需要建立一個信息安全體系,也就是建立安全策略體系、安全管理體系和安全技術(shù)體系。

        保護網(wǎng)絡(luò)設(shè)備、設(shè)施、介質(zhì),對操作系統(tǒng)、數(shù)據(jù)庫及服務(wù)系統(tǒng)進行漏洞修補和安全加固,對服務(wù)器建立嚴(yán)格審核。在安全管理上完善人員管理、資產(chǎn)管理、站點維護管理、災(zāi)難管理、應(yīng)急響應(yīng)、安全服務(wù)、人才管理,形成一套比較完備的信息系統(tǒng)安全管理保障體系。

        防火墻是保證網(wǎng)絡(luò)安全的重要屏障,也是降低網(wǎng)絡(luò)安全風(fēng)險的重要因素。VPN可以通過一個公用網(wǎng)絡(luò)建立一個臨時的、安壘的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。借助專業(yè)的防DDos系統(tǒng),可以有效的阻止惡意攻擊。信息系統(tǒng)的安全需求是全方位的、系統(tǒng)的、整體的,需要從技術(shù)、管理等方面進行全面的安全設(shè)計和建設(shè),有效提高信息系統(tǒng)的防護、檢側(cè)、響應(yīng)、恢復(fù)能力,以抵御不斷出現(xiàn)的安全威脅與風(fēng)險,保證系統(tǒng)長期穩(wěn)定可靠的運行。嚴(yán)格的安全管理制度,明確的安全職責(zé)劃分,合理的人員角色定義,都可以在很大程度上減少網(wǎng)絡(luò)的安全隱患。

        從戰(zhàn)略高度充分認(rèn)識信息安全的重要性和緊迫性。健全安全管理組織體系,明確安全管理的相關(guān)組織、機構(gòu)和職責(zé),建立集中統(tǒng)一、分工協(xié)作、各司其職的安全管理責(zé)任機制。為了確保突發(fā)重大安全事件時,能得到及時的響應(yīng)和支援,信息系統(tǒng)必須建立和逐步完善應(yīng)急響應(yīng)支援體系,確保整個信息系統(tǒng)的安全穩(wěn)定運行。

        參考文獻:

        [1]宋新月,內(nèi)部審計在經(jīng)濟管理中的重要作用淺析[J],知識經(jīng)濟,2009

        第2篇:安全審計報告范文

        論文摘要:隨著世界航空運輸?shù)目焖侔l(fā)展,空中交通日趨繁忙,空管安全管理體系中安全評估與審計越來越受到民航界的關(guān)注。本文首先對空管安全管理體系進行了概述,描述了當(dāng)今空管安全管理的現(xiàn)狀及中國民航安全管理的目標(biāo)和空管安全管理體系的構(gòu)成,然后對空管安全審計進行了概述,最后研究了空管安全管理體系中安全審計的方法與應(yīng)用。

        1.空管安全管理體系概述

        空管安全管理體系包括空域管理、空中交通流量管理和空中交通服務(wù)(包括空中交通管制服務(wù))在內(nèi)的系統(tǒng)性的安全管理問題。

        空管安全管理體系研究現(xiàn)狀

        安全始終是民航界的首要問題,在民航界具有重要影響的組織或國家都幾乎一致地將空中交通管理系統(tǒng)的安全管理問題升級為一個具有現(xiàn)代管理學(xué)科意味的系統(tǒng)性安全管理問題來對待,在繼承傳統(tǒng)安全管理經(jīng)驗(尤其是其中所包含的安全管理文化精髓)的同時,人們已經(jīng)更加重視依托現(xiàn)代安全管理理念、策略和科學(xué)方法(包括基于電子計算機技術(shù)的安全管理決策支持工具)去全面解決空管系統(tǒng)的安全管理問題。目前,還沒有一個標(biāo)準(zhǔn)統(tǒng)一的體系來對空管單位進行安全評估和審計,各單位的標(biāo)準(zhǔn)不一,審計手段也各不相同。隨著民航業(yè)的飛速發(fā)展,空中交通流量的劇增,工作壓力越來越大,造成空管單位的安全隱患與日俱增。

        2.空管安全審計

        2.1 空管安全審計概述

        空管安全審計可以讓管理層有效掌握空中交通服務(wù)系統(tǒng)的安全狀況和需要改進的缺陷,它是一種識別潛在問題的有效手段,是一項未雨綢繆的預(yù)防性安全管理活動。

        作為安全管理體系的一部分,內(nèi)部安全審計所體現(xiàn)的內(nèi)部安全管理作用在于:確保運行安全風(fēng)險得以識別,導(dǎo)致安全問題的誘因得以辨識;通過強化安全指令和程序的遵守、人力資源配置、提高人員素質(zhì)和培訓(xùn)等,確保具有良好的安全管理體系架構(gòu);確保應(yīng)對突發(fā)緊急情況的安全措施得當(dāng);確保設(shè)備性能能夠滿足保證安全所需;在促進安全、監(jiān)測安全性能和處理安全問題方面,保證各項管理措施切實有效。

        2.2空管安全審計原則

        (1)安全審計的目的在于了解實際情況,不得有任何指責(zé)和懲罰方面的暗示。

        (2)被審計者應(yīng)當(dāng)給審計者提供一切相關(guān)安全管理實證或文件,安排必要人員供審計者了解情況。

        (3)安全審計應(yīng)當(dāng)客觀地調(diào)查取證。

        (4)應(yīng)當(dāng)在規(guī)定的時間內(nèi)給被審計單位提供書面報告,闡述發(fā)現(xiàn)的問題并提出建議。

        (5)應(yīng)當(dāng)向被審計單位提供有關(guān)審計結(jié)果的反饋意見。反饋意見應(yīng)當(dāng)突出審計中所觀察到的問題,必須找出不足之處,但也要盡可能回避消極的批評。

        2.3空管安全審計計劃

        簡介:說明這是哪一項安全審計的正式文件,介紹報告的各章。

        參考文件列表:列出審計中使用的所有文件依據(jù)背景:描述審計原因,說明這是正常審計還是由于特殊原因(例如:發(fā)現(xiàn)安全風(fēng)險,觀察到不安全事件等)而進行的審計。

        目的:按照審計計劃描述審計的目標(biāo)和范圍。如果在審計過程中發(fā)生了影響審計目標(biāo)完成的事件,應(yīng)當(dāng)在此描述,并且闡述事件造成的后果。

        人員:列出參加審計的人員

        受審計的單位:列出受審計的單位名稱

        計劃日期:注上當(dāng)日日期

        2.4在空中交通服務(wù)系統(tǒng)的安全審計應(yīng)當(dāng)遵循以下原則:

        (1) 觀察結(jié)果和建議的內(nèi)容應(yīng)與最后討論會、審計報告草案及最終審計報告中的談?wù)摶蚍Q述保持一致。

        (2) 審計結(jié)論應(yīng)當(dāng)有充分的證據(jù)支撐;對觀察結(jié)果和建議的闡述應(yīng)當(dāng)清晰簡要。

        (3) 觀察結(jié)果應(yīng)當(dāng)具體明確,并客觀地陳述觀察結(jié)果。

        (4)要應(yīng)用廣泛接受的航空術(shù)語而不要用縮略語和俗語。

        (5)避免直接批評某個人或某個職位。

        2.5審計員應(yīng)當(dāng)在訪談時應(yīng)當(dāng)遵照以下原則:

        (1)聆聽——讓講話的人知道你在聽他講;

        (2)保持中立——不要當(dāng)面表達不一致的意見,不要隨意打斷對方的陳述或甚至給予批評;

        (3)理解不透徹時——可向?qū)Ψ胶藢?,以獲得對方對訪談記要的認(rèn)可;

        (4)使用“什么,為什么,在哪里,什么時候,誰,如何”等特殊疑問句,以引出事實情況;

        (5)詢問一些深入的問題,比如“假設(shè)…”,“如果…,會怎樣”“請給我演示一下…”,讓對方給出解釋和例證。

        2.6 安全審計情況的后續(xù)跟蹤

        (1) 后續(xù)跟蹤的主要目的在于核實受審計單位是否落實了改進計劃。后續(xù)跟蹤可以通過對改進計劃實施情況的監(jiān)督來進行,也可通過隨訪跟蹤來進行。

        (2)如果進行了跟蹤隨訪,還應(yīng)當(dāng)編制一份隨訪報告,說明改進計劃的落實情況。

        如果不符合規(guī)章的情況和隱患尚未消除,審計組長應(yīng)當(dāng)在跟蹤報告中著重說明,并直接給相關(guān)空中交通服務(wù)單位的高層管理者發(fā)送一本報告副本。

        (3) 審計組長應(yīng)主動向所屬空中交通管理機構(gòu)報告階段性的審計情況和提交審計報告、跟蹤隨訪報告。

        3.結(jié)論

        本文首先對空管安全管理體系進行了概述,描述了當(dāng)今空管安全管理的現(xiàn)狀及中國民航安全管理的目標(biāo)和空管安全管理體系的構(gòu)成。

        綜上所述,本文的研究目的是如何通過有效、科學(xué)的手段對空中交通管制單位運行安全審計,找出安全隱患,通過一系列的運行管理手段,消除安全隱患,使“人─機─環(huán)境”系統(tǒng)中的運行關(guān)鍵因素有機地結(jié)合,共同作用于空管運行的各個階段,切實提高航空安全運行質(zhì)量,從而進一步完善我國民航安全運行管理,切實提高民航安全運行質(zhì)量,最大限度地降低航空事故,提高空中交通管制單位的自身系統(tǒng)控制能力和安全管理水平。

        參考文獻

        [1]空管在線收集整理

        [2]駱慈孟.以人為本,確保飛行安全,空中交通管理, 2000.5

        [13]施和平.空中交通系統(tǒng)安全管理.廈門大學(xué)出版社.

        第3篇:安全審計報告范文

        關(guān)鍵詞:區(qū)塊鏈技術(shù);食品安全審計;信息化;框架構(gòu)建

        現(xiàn)階段我國的食品安全依舊存在比較突出的隱患,食品安全風(fēng)險的識別與防控具有復(fù)雜性、差異性等特點,食品安全治理仍存在比較大的難度。作為風(fēng)險防控的重要手段,食品安全審計近幾年得到快速發(fā)展,但在信息化技術(shù)水平、流程體系以及數(shù)據(jù)完備性等方面還存在較多問題,尤其是在數(shù)據(jù)獲取的真實性和完整性上存在較大的難度。區(qū)塊鏈具有去中心化、獨立性、安全性與匿名性等特點,利用其智能合約、共識機制、非對稱加密、分布式賬本等技術(shù),可有效保障審計數(shù)據(jù)的質(zhì)量與可追溯[1],同時還有助于風(fēng)險的及時捕捉、人力資源的節(jié)省以及審計效果的提升等。因此,分析探討區(qū)塊鏈技術(shù)在食品安全審計中的應(yīng)用具有重要的現(xiàn)實意義。對于食品工業(yè)來說,審計與食品質(zhì)量標(biāo)準(zhǔn)在食品安全的保障中起到的作用都是不可或缺的,例如:評估管理系統(tǒng),獲得某些食品安全和質(zhì)量標(biāo)準(zhǔn)的認(rèn)證,評估場所和產(chǎn)品的條件,確認(rèn)法律合規(guī)性等等[2]。審計應(yīng)用于食品安全治理,最早是在西方國家產(chǎn)生的,由此也逐漸衍生出一項新領(lǐng)域的審計———食品安全審計。國內(nèi)學(xué)者將食品安全審計界定為:“一套集成本審核分析、質(zhì)量管理機制考察和企業(yè)產(chǎn)品質(zhì)量狀況核算評價為一體的科學(xué)方法”[3]。該領(lǐng)域的研究在國內(nèi)起步較晚,大致開始于在三鹿奶粉事件發(fā)生以后,并且集中在乳品行業(yè),食品安全審計的具體實施也基本是由政府有關(guān)部門主持進行,且審計對象主要聚焦在大型企業(yè)[4]。目前,就我國已有的食品安全審計案例來看,還存在中小型企業(yè)審計不夠到位、審計依據(jù)標(biāo)準(zhǔn)不夠明確、審計數(shù)據(jù)不夠安全可靠以及在專業(yè)審計人才與方法上存在欠缺等問題。因此,亟需新技術(shù)、新方法的引入和應(yīng)用。近幾年,隨著區(qū)塊鏈技術(shù)的發(fā)展,學(xué)者們開展了其在許多領(lǐng)域和場景應(yīng)用的研究。區(qū)塊鏈在審計領(lǐng)域的應(yīng)用也得到了越來越多的重視,相關(guān)的研究如:基于區(qū)塊鏈技術(shù)構(gòu)建實施審計框架[5-6]、區(qū)塊鏈技術(shù)在企業(yè)聯(lián)網(wǎng)審計中的應(yīng)用[7-8]、區(qū)塊鏈技術(shù)在金融審計中的應(yīng)用[9-11]以及區(qū)塊鏈審計在政府治理中的應(yīng)用等等[12-13]。在具體的審計模式探索中,畢秀玲等[14]提出要大力推進“審計智能+”的建設(shè),在5G、區(qū)塊鏈、大數(shù)據(jù)與人工智能等技術(shù)的支持下,提高審計信息化的水平。傳統(tǒng)審計過程中所面臨成本、效率、質(zhì)量、安全性等問題恰恰可以通過區(qū)塊鏈技術(shù)進行有效解決[15]。房巧玲等[16]便提出了基于雙鏈架構(gòu)的混合審計模式,即智能審計程序與人工審計程序相結(jié)合的模式。從目前已有的研究來看,還尚未見有關(guān)區(qū)塊鏈技術(shù)在食品安全審計中應(yīng)用的研究?;诖?,文章首先根據(jù)區(qū)塊鏈技術(shù)的工作原理與優(yōu)勢點,分三個層次構(gòu)建起區(qū)塊鏈技術(shù)在食品安全審計中應(yīng)用的邏輯框架。其次結(jié)合傳統(tǒng)審計工作,通過技術(shù)代入,進一步闡述區(qū)塊鏈技術(shù)下的食品安全審計工作的大致流程。最后,充分考慮當(dāng)前區(qū)塊鏈技術(shù)在運用中所面臨的各種問題,提出相關(guān)的建議以及未來發(fā)展的展望。

        1區(qū)塊鏈技術(shù)在食品安全審計中的應(yīng)用邏輯

        1.1區(qū)塊鏈的工作原理

        區(qū)塊鏈?zhǔn)窃谝环N基于分布式系統(tǒng)思想形成的網(wǎng)狀結(jié)構(gòu),在這個網(wǎng)狀結(jié)構(gòu)中,信息存儲上鏈主要有以下流程:當(dāng)某個節(jié)點有新的數(shù)據(jù)信息錄入,該節(jié)點將會把信息網(wǎng)絡(luò)中的其他節(jié)點進行廣播,其他節(jié)點在接收信息以后會對其內(nèi)容的真實性、完整性以及可靠性進行檢驗,檢驗無誤后該信息將被儲存在一個區(qū)塊中,經(jīng)過隨機Hash算法得出Hash值,該過程可以視為一種單向的加密手段,不僅可以將復(fù)雜無章的數(shù)據(jù)信息轉(zhuǎn)換為固定長度的字符代碼,而且其破解的困難程度也保證了數(shù)據(jù)的不可篡改性。此時,全網(wǎng)將基于共識機制對該區(qū)塊內(nèi)數(shù)據(jù)進行審查,審查通過以后該區(qū)塊將被正式存入?yún)^(qū)塊鏈的主鏈中,相應(yīng)的數(shù)據(jù)也將被打上時間戳標(biāo)記,更新復(fù)制保存到每個節(jié)點里[17],如圖1所示。

        1.2區(qū)塊鏈技術(shù)在食品安全審計中應(yīng)用的邏輯

        區(qū)塊鏈作為一項顛覆性技術(shù),在各個領(lǐng)域加速應(yīng)用。將區(qū)塊鏈技術(shù)應(yīng)用到審計領(lǐng)域,這種模式被稱為區(qū)塊鏈審計。而在區(qū)塊鏈審計的定義上,徐超等[18]提出廣義和狹義之分,廣義上指在審計領(lǐng)域應(yīng)用區(qū)塊鏈技術(shù),而狹義上則包含了區(qū)塊鏈審計和審計區(qū)塊鏈這兩種方式,二者的審計對象不同,具有本質(zhì)上的區(qū)別。在區(qū)塊鏈審計過程中,審計人員基于信息系統(tǒng)對一般控制和應(yīng)用控制進行測試,通過借助發(fā)揮區(qū)塊鏈技術(shù)的優(yōu)勢性,對各類業(yè)務(wù)執(zhí)行自動化審計和持續(xù)審計等行為[19],具體包括:對數(shù)據(jù)的真實性、時效性以及可靠性進行審計;對系統(tǒng)設(shè)置、共識機制以及智能合約等進行審計;對區(qū)塊鏈技術(shù)所涉及的系統(tǒng)節(jié)點等安全性進行審計[20]。事實上,區(qū)塊鏈可以分為三個層次:協(xié)議層、應(yīng)用層和訪問層,它們相互獨立又不可分割,構(gòu)成了區(qū)塊鏈技術(shù)在食品安全審計領(lǐng)域的運用邏輯,如圖2所示。協(xié)議層(又稱基礎(chǔ)層)是基于共識機制展開運行的,通過共識機制來保障每個節(jié)點的數(shù)據(jù)是真實一致可靠的。在利用分布式數(shù)據(jù)存儲、加密算法、網(wǎng)絡(luò)編程以及時間戳等技術(shù)的基礎(chǔ)上,對食品供應(yīng)鏈上所涉及到的各個環(huán)節(jié)、各個企業(yè)的各類信息進行收集與記錄,如食品生產(chǎn)過程中的原料配比情況、添加劑的使用量情況,食品物流環(huán)節(jié)的負(fù)責(zé)方信息、車次時間以及冷鏈條件情況,食品交易過程中經(jīng)銷商情況以及流入消費者的時間地點等信息[21]。企業(yè)彼此間的信息驗證以及共識算法記賬使得審計需要的眾多數(shù)據(jù)信息能夠公開透明、不易篡改,也有助于擴大審計工作的覆蓋面。對于應(yīng)用層而言,智能合約的存在使得區(qū)塊鏈在沒有人工控制以及第三方干預(yù)的情況下,能夠按照網(wǎng)絡(luò)編程出的代碼進行自主運行,有助于明確執(zhí)行標(biāo)準(zhǔn),大大提高了審計的效率以及數(shù)據(jù)的收集分類等重復(fù)性工作,在預(yù)先設(shè)置的程序代碼中,一旦觸發(fā)相應(yīng)的條件和標(biāo)準(zhǔn),將會作出各類分析行為,這樣一來,審計人員通過區(qū)塊鏈技術(shù)就可以對食品質(zhì)量安全實現(xiàn)實時監(jiān)控、及時預(yù)測和靈活預(yù)警[22]。就訪問層來看,無論是通過個人計算機(personalcom-puter,PC)端還是移動終端,借助區(qū)塊鏈技術(shù)的可編程性采用公鑰與私鑰授權(quán)的機制,能夠?qū)崿F(xiàn)數(shù)據(jù)的安全獨立便捷獲取。同時,時間戳技術(shù)有助于保障數(shù)據(jù)的安全性,使審計工作的的可靠性和便利性能夠得到進一步優(yōu)化。

        1.3區(qū)塊鏈技術(shù)在食品安全審計中應(yīng)用的優(yōu)勢

        對于食品行業(yè)來說,信任機制的構(gòu)建對于品牌形象的樹立是十分關(guān)鍵的,而品牌形象的優(yōu)劣將直接影響企業(yè)的生存甚至是行業(yè)的興衰。在這種情況下,通過審計去發(fā)現(xiàn)問題、解決問題,并實現(xiàn)信息的公開、透明、可追溯將有助于信任的構(gòu)建。而區(qū)塊鏈技術(shù)在審計中運用的優(yōu)勢,將有效推動信任機制的形成。首先,去中心化的優(yōu)勢使得在整個食品供應(yīng)鏈上所有企業(yè)都可以分別作為一個節(jié)點,分布式數(shù)據(jù)儲存技術(shù)的應(yīng)用,使得眾多企業(yè)在信息的記錄和儲存上互相監(jiān)督、互相利用,具有更加安全、更加便捷、更加透明的優(yōu)點。同時,每個審計項目由指定的審計組執(zhí)行審計,每個審計組也相當(dāng)于區(qū)塊鏈的一個節(jié)點,若干個審計組節(jié)點組成分布式節(jié)點組織結(jié)構(gòu),相當(dāng)于一個分布式賬本。于是審計的范圍變得更加廣泛,所涉及的審計對象也更加的全面而具體,不需要非得圍繞核心企業(yè)實施審計,解決了審計范圍的局限性問題,有助于提高食品安全審計結(jié)果的質(zhì)量。其次,交易可追溯性、數(shù)據(jù)透明性的優(yōu)勢使得信息在供應(yīng)鏈上變得更加可靠、真實。在供應(yīng)商的選擇、企業(yè)內(nèi)部控制執(zhí)行的有效性等等方面具有督促作用。例如,就已有的食品安全審計案例呈現(xiàn)的結(jié)果來看,存在如下問題:企業(yè)不能持續(xù)保持生產(chǎn)條件、食品安全管理制度等落實不到位、企業(yè)自身的檢驗?zāi)芰Σ蛔?、生產(chǎn)信息記錄的不完整甚至偽造記錄以及不合格品和變質(zhì)食品的及時處置問題等。在區(qū)塊鏈技術(shù)的幫助下追溯系統(tǒng)將會不斷完善[23],對于存在的這些問題也會更加具有約束和威懾作用。在現(xiàn)實中,已有具體的應(yīng)用案例,如2017年7月沃爾瑪、京東、國際商業(yè)機器(internationalbusinessmachines,IBM)公司和清華大學(xué)共同組成了區(qū)塊鏈聯(lián)盟,在產(chǎn)品的地產(chǎn)、批號、生產(chǎn)廠家、到期日期以及運輸細(xì)節(jié)等各種詳細(xì)信息的獲取上,可以實現(xiàn)從天數(shù)到秒數(shù)的速度提升,這將極大地提升審計實施的效率。最后,可編程性則發(fā)揮了信息技術(shù)的優(yōu)勢,相比于傳統(tǒng)審計中的人工操作,信息技術(shù)的應(yīng)用將會使得審計的流程更加嚴(yán)謹(jǐn)、更加快捷。食品安全審計過程中,涉及到的質(zhì)量標(biāo)準(zhǔn)、規(guī)范等十分復(fù)雜,對于不同品類食品的特殊性質(zhì)、不同添加劑的使用規(guī)定等所涉及的知識更加多樣和復(fù)雜[24],利用計算機編程技術(shù),則可通過代碼的編寫,將有關(guān)審計標(biāo)準(zhǔn)、審計法規(guī)等進行定義,在區(qū)塊鏈中實現(xiàn)數(shù)據(jù)信息的智能運行。在既定的規(guī)則和協(xié)議下,區(qū)塊鏈可以實現(xiàn)數(shù)據(jù)的自動采集、傳遞與存儲,高安全性、高透明性使得審計效率大大提升。德勤會計師事務(wù)所的Rubix平臺就是通過將自動化技術(shù)和區(qū)塊鏈技術(shù)相結(jié)合,在提升工作效率的同時,又能達到降低成本等作用[25]。同樣,沃爾瑪也將區(qū)塊鏈技術(shù)應(yīng)用于食品供應(yīng)鏈管理之中,并取得了一定的理想成效[26]。

        2區(qū)塊鏈技術(shù)下食品安全審計的流程

        區(qū)塊鏈技術(shù)下的食品安全審計流程是在傳統(tǒng)審計流程的基礎(chǔ)上,通過融入?yún)^(qū)塊鏈技術(shù),對審計流程進行重塑,保證審計大環(huán)節(jié)不變,即審計準(zhǔn)備階段、審計實施階段以及審計報告階段,但細(xì)節(jié)更加優(yōu)化、效率更高,如圖3所示。

        2.1審計準(zhǔn)備

        在審計準(zhǔn)備階段需要先對審計信息和數(shù)據(jù)等進行預(yù)處理,通過數(shù)據(jù)的采集、傳輸與存儲,利用區(qū)塊鏈中各個節(jié)點所達成的共識機制,實現(xiàn)數(shù)據(jù)的真實性、完整性與一致性。在這個過程中,通過對被審計食品行業(yè)的相關(guān)標(biāo)準(zhǔn)、企業(yè)會計準(zhǔn)則的選取情況、企業(yè)的性質(zhì)以及監(jiān)管環(huán)境等的了解,對相關(guān)獲取信息進行更新記錄,并利用時間戳技術(shù),相當(dāng)于會計記賬中的連續(xù)編號機制,對新產(chǎn)生的區(qū)塊做上時間標(biāo)記,充分保證了數(shù)據(jù)在一定時間內(nèi)是可追溯的、可驗證的以及完整的。

        2.2審計實施

        在審計實施階段,面對食品供應(yīng)鏈本身的環(huán)節(jié)的多樣性與復(fù)雜性,區(qū)塊鏈應(yīng)用平臺會及時向各個節(jié)點的企業(yè)、賬項往來銀行以及其他關(guān)聯(lián)方進行信息的檢查與考證,并將結(jié)果進行實時反饋。在對某一生產(chǎn)、加工業(yè)務(wù)或者交易進行審查以后,將問題點進行匯總與分析。在審計過程中,同時需要伴隨著數(shù)據(jù)清洗、數(shù)據(jù)挖掘、可視化操作、實時處理、風(fēng)險識別與評估以及重要性水平的確定等技術(shù)支撐,也需要借助傳感器、物聯(lián)網(wǎng)、射頻識別以及CPS/GPS等審計工具[21],因此,這將對專業(yè)人才的技術(shù)水平有著較高的要求。

        2.3審計報告

        在傳統(tǒng)審計流程的收尾階段,需要對整個審計流程所記錄的工作底稿以及證據(jù)信息進行整理與匯總,并出具最終的審計報告、發(fā)表審計意見。而在區(qū)塊鏈技術(shù)的應(yīng)用下,審計人員通過對數(shù)據(jù)信息的系統(tǒng)建模進行智能化自主分析,并且能夠做到對審計結(jié)果的實時記錄、對被審計企業(yè)進行隨時隨地的監(jiān)控,還可以根據(jù)審計主體的不同以及審計要求的變化,隨時出具定制化的審計報告,大大提高了審計結(jié)果的質(zhì)量以及需求度的滿足程度。

        3區(qū)塊鏈技術(shù)在食品安全審計應(yīng)用中面臨的問題

        3.1技術(shù)問題

        現(xiàn)階段,無論是國家、社會還是具體的個人,對于審計的水平和質(zhì)量要求越來越高。監(jiān)督再到上市公司的財報結(jié)果公開,處處離不開審計的參與,審計也逐漸在越來越多的領(lǐng)域發(fā)揮作用,例如:領(lǐng)導(dǎo)干部經(jīng)濟責(zé)任審計、自然資源資產(chǎn)審計、信息科技審計以及本文所探討的食品安全審計等領(lǐng)域。在食品安全上,任何小的風(fēng)險都不容忽視,這對于審計的執(zhí)行是一項不小的挑戰(zhàn),盡管區(qū)塊鏈技術(shù)在效率和質(zhì)量等方面對食品安全審計有著很大的幫助,但在海量的信息面前,區(qū)塊鏈的復(fù)雜度也急速增加,無論是從硬件上還是軟件上,對計算機的算法處理能力、存儲能力以及硬件配置有著越來越嚴(yán)苛的要求。因此,進一步提高硬件的可靠性以及軟件的適配性是技術(shù)層面需要持續(xù)努力的方向。

        3.2安全問題

        區(qū)塊鏈技術(shù)盡管有著Hash值非對稱加密算法、時間戳等技術(shù)的支持,但安全性問題依舊是區(qū)塊鏈技術(shù)在發(fā)展中不容小視的關(guān)鍵問題。隨著黑客技術(shù)的不斷進化,以往的51%攻擊成本已經(jīng)不再具有很強的約束性,這對于審計工作是一項不小的潛在威脅。在區(qū)塊鏈共識機制的基礎(chǔ)上,很多企業(yè)將自己的關(guān)鍵性信息乃至核心機密都進行了上鏈操作,而黑客的行為將會對企業(yè)們造成重大損失甚至致命沖擊。這就說明不存在一勞永逸的保障,各項技術(shù)需要在不斷的挑戰(zhàn)和威脅中,始終保持高度的預(yù)警態(tài)勢,在面對不法分子的各種花樣攻擊時,能夠做出迅速、有效的反應(yīng),這就需要相關(guān)信息技術(shù)人員不斷提升其專業(yè)水平和素質(zhì)。

        3.3監(jiān)管問題

        事實上,盡管區(qū)塊鏈技術(shù)中的分布式數(shù)據(jù)儲存技術(shù)使得數(shù)據(jù)的記錄、存儲與讀取更加便捷、安全,但其卻弱化了國家對于交易情況的監(jiān)督,對于現(xiàn)有的監(jiān)管體系具有一定的沖擊。區(qū)塊鏈技術(shù)還在逐漸發(fā)展走向成熟,在食品安全審計領(lǐng)域的應(yīng)用也將處于不斷探索的階段,有關(guān)監(jiān)管的法律法規(guī)仍需進一步的完善與明確,如果真的出現(xiàn)監(jiān)管漏洞,那必然影響該技術(shù)的健康、穩(wěn)定與向好發(fā)展。因此,在技術(shù)不斷進步的同時,國家相關(guān)部門的法律與監(jiān)管體系也要完善跟進,二者相輔相成,為技術(shù)作用的充分發(fā)揮保駕護航。

        4結(jié)語

        第4篇:安全審計報告范文

        作為我國電子政務(wù)重要基礎(chǔ)設(shè)施的電子政務(wù)外網(wǎng),為了實現(xiàn)服務(wù)各級黨政部門,滿足各級政務(wù)部門社會管理、公共服務(wù)等方面需要的重要功能,要求具有互聯(lián)網(wǎng)出口,并且與互聯(lián)網(wǎng)邏輯隔離。因此,電子政務(wù)外網(wǎng)面臨來自互聯(lián)網(wǎng)和內(nèi)部網(wǎng)用戶兩大急需解決的安全難題。

        二、設(shè)計思路

        本方案按照《國家電子政務(wù)外網(wǎng)安全保障體系總體規(guī)劃建議》進行設(shè)計,規(guī)劃范圍以市級電子政務(wù)外網(wǎng)為主,以市級電子政務(wù)外網(wǎng)運維中心為重點,覆蓋市委、市政府、市人大、市政協(xié)和多個委辦局單位以及市屬各個縣區(qū),根據(jù)國家電子政務(wù)外網(wǎng)安全保障體系的規(guī)劃,市級電子政務(wù)外網(wǎng)安全體系包括如下三個方面的內(nèi)容:

        (一)安全管理體系。主要包括:按照國家安全保障體系建設(shè)標(biāo)準(zhǔn),建設(shè)市級安全管理中心(SOC);以《國家電子政務(wù)外網(wǎng)安全標(biāo)準(zhǔn)指南》為標(biāo)準(zhǔn)貫徹執(zhí)行國家已有安全法規(guī)標(biāo)準(zhǔn),同時制訂符合本市電子政務(wù)外網(wǎng)自身特點和要求的有關(guān)規(guī)定和技術(shù)規(guī)范。

        (二)網(wǎng)絡(luò)安全基礎(chǔ)防護體系。主要包括:網(wǎng)絡(luò)防護與隔離系統(tǒng)、入侵防御系統(tǒng)、接入認(rèn)證系統(tǒng)、業(yè)務(wù)隔離和加密傳輸系統(tǒng)、防病毒、漏洞掃描系統(tǒng)等。

        (三)網(wǎng)絡(luò)信任體系。主要包括:PKI/CA系統(tǒng)、權(quán)限管理系統(tǒng)和認(rèn)證授權(quán)審計系統(tǒng)。

        三、方案設(shè)計

        (一)安全管理中心。市級安全管理中心是市級電子政務(wù)外網(wǎng)安全的規(guī)劃、實施、協(xié)調(diào)和管理機構(gòu),上聯(lián)省級電子政務(wù)外網(wǎng)安全管理中心,把各類安全事件以標(biāo)準(zhǔn)格式上報到省中心,同時對縣區(qū)管理中心下發(fā)安全策略,并接收縣區(qū)的日志、事件??h級安全管理中心在市中心的授權(quán)下,具有一定的管理權(quán)限,并對縣級安全策略及日志、事件進行采集和上報。市級安全管理中心也是市級網(wǎng)絡(luò)安全設(shè)施的管理維護機構(gòu),為使安全設(shè)施能夠最大限度地發(fā)揮其安全保障功能,需要建立一個良好的安全綜合管理平臺,以實現(xiàn)業(yè)務(wù)流程分析,并對業(yè)務(wù)系統(tǒng)在安全監(jiān)控、安全審計、健康性評估等方面的運行進行有效的管控,從全局角度進行安全策略的管理,對各類安全事件作出實時的監(jiān)控及響應(yīng),為管理者提供及時的運行情況報告、問題報告、事件報告、安全審計報告、健康性報告和風(fēng)險分析報告,從而使決策者能及時調(diào)整安全防護策略,恰當(dāng)?shù)剡M行網(wǎng)絡(luò)優(yōu)化,及時地部署安全措施,消除各類安全隱患。

        (二)基礎(chǔ)防護平臺建設(shè)?;A(chǔ)防護平臺主要是以確定的安全防護模型框架為依據(jù),結(jié)合政府業(yè)務(wù)的實際安全需求,在原有互聯(lián)網(wǎng)安全設(shè)施基礎(chǔ)上進行安全基礎(chǔ)防護體系的新建或擴充、延伸與擴展。包括邊界隔離與控制、身份鑒別、認(rèn)證與授權(quán)、入侵檢測與防御、安全審計與記錄、流量監(jiān)測與清洗、數(shù)據(jù)加密傳輸、病毒監(jiān)測與防護、安全掃描與評估、安全策略集中管理、安全監(jiān)控管理和安全審計管理等基礎(chǔ)安全防護措施。最終達到提升系統(tǒng)的整體抗攻擊能力,確保電子政務(wù)外網(wǎng)能夠更好地支撐各類政務(wù)應(yīng)用系統(tǒng)的運轉(zhuǎn)。

        (三)邊界隔離與控制。防火墻是實現(xiàn)網(wǎng)絡(luò)邊界隔離的首選設(shè)備,防火墻是運行于軟件和硬件上的,安裝在特定網(wǎng)絡(luò)邊界的,實施網(wǎng)間訪問控制的一組組件的集合。它在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成一道安全保護屏障,防止非法用戶訪問內(nèi)部網(wǎng)絡(luò)上的資源和非法向外傳遞內(nèi)部信息,同時也防止這類非法和惡意的網(wǎng)絡(luò)行為破壞內(nèi)部網(wǎng)絡(luò)。它可以讓用戶在一個安全屏障后接入互聯(lián)網(wǎng),還可以把單位的公共網(wǎng)絡(luò)服務(wù)器和企業(yè)內(nèi)部網(wǎng)絡(luò)隔開,同時也可以通過防火墻將網(wǎng)絡(luò)中的服務(wù)器與網(wǎng)絡(luò)邏輯分離,進行重點防護。部署防火墻能夠保護一個網(wǎng)絡(luò)不受來自另外網(wǎng)絡(luò)的攻擊。

        (四)入侵檢測與防御。在整體的網(wǎng)絡(luò)安全中,依靠安全策略的指導(dǎo),對信息系統(tǒng)防護有積極的意義。但是,無論網(wǎng)絡(luò)防護得多么牢固,依舊不能說“網(wǎng)絡(luò)是安全的”。因為隨著技術(shù)的發(fā)展,任何防護措施都不能保證網(wǎng)絡(luò)不出現(xiàn)新的安全事件,不被手段高超的人員成功入侵。在攻擊與防御的較量中,實時監(jiān)測處在一個核心的地位。

        (五)安全審計與記錄。安全審計系統(tǒng)記錄了網(wǎng)絡(luò)使用者的全部上網(wǎng)行為,是支撐網(wǎng)絡(luò)安全事件調(diào)查的基礎(chǔ),是審計信息的重要來源,在電子政務(wù)外網(wǎng)的建設(shè)中,應(yīng)當(dāng)盡量延伸安全審計系統(tǒng)部署的范圍,并采用多種的安全審計系統(tǒng)類型(如網(wǎng)絡(luò)審計、主機審計、數(shù)據(jù)庫審計等)擴展安全審計的層面。

        (六)流量檢測與清洗。流量檢測與清洗服務(wù)是針對網(wǎng)絡(luò)傳輸信息流類型、大小以及諸如DOS/DDOS等安全攻擊行為的監(jiān)控、告警和防護的一種網(wǎng)絡(luò)安全服務(wù)。該服務(wù)對進出內(nèi)部網(wǎng)絡(luò)的業(yè)務(wù)數(shù)據(jù)流量進行實時監(jiān)控,及時發(fā)現(xiàn)包括DOS攻擊在內(nèi)的異常流量。在不影響正常業(yè)務(wù)的前提下,清洗掉異常流量。有效滿足各業(yè)務(wù)系統(tǒng)運作連續(xù)性的要求。同時該服務(wù)通過時間通告、分析報表等服務(wù)內(nèi)容提升客戶網(wǎng)絡(luò)流量的可見性和安全狀況的清晰性。

        (七)統(tǒng)一病毒防護平臺。根據(jù)電子政務(wù)外網(wǎng)省、市、縣三級分布的特點,可采用多級、多種的方式進行病毒防護系統(tǒng)的綜合部署,包括在網(wǎng)絡(luò)邊界安裝硬件防病毒網(wǎng)關(guān)、針對特定應(yīng)用布署網(wǎng)絡(luò)防病毒系統(tǒng)、針對多數(shù)工作終端布署單機版病毒查殺軟件等方式。

        (八)終端管理。利用桌面終端管理系統(tǒng),對于終端電腦從以下四方面進行進行標(biāo)準(zhǔn)化管理:

        1.網(wǎng)絡(luò)準(zhǔn)入。通過網(wǎng)絡(luò)邊界部署的防火墻設(shè)備、網(wǎng)絡(luò)交換機設(shè)備與終端管理服務(wù)器配合,實現(xiàn)終端用戶的802.1x準(zhǔn)入認(rèn)證,使得所有終端用戶接入電子政務(wù)外網(wǎng)網(wǎng)絡(luò)必須提出申請,并對接入機器做防病毒等安全審核,在安裝了準(zhǔn)入客戶端軟件(Agent)并分配了用戶名/密碼后,才能合法接入網(wǎng)絡(luò)并使用信息資源,開展業(yè)務(wù)工作,實現(xiàn)了對終端用戶的有效管理。

        2.網(wǎng)絡(luò)切換。通過實現(xiàn)終端用戶訪問互聯(lián)網(wǎng)和電子政務(wù)外網(wǎng)兩網(wǎng)切換使用功能,實現(xiàn)對兩網(wǎng)資源使用的嚴(yán)格管理,避免安全隱患的發(fā)生。

        3.文件保險箱。利用“文件保險箱”功能,在終端用戶處于“政務(wù)外網(wǎng)”訪問狀態(tài)時可以使用“文件保險箱”功能,并創(chuàng)建、修改、使用加密文件或文件夾,在終端用戶處于“互聯(lián)網(wǎng)”狀態(tài)時無法使用此功能,不能創(chuàng)建、修改、使用加密文件或文件夾,從而保證工作文件的安全。

        4.補丁管理。利用桌面系統(tǒng)補丁管理的功能,幫助管理員對網(wǎng)內(nèi)基于Windows平臺的系統(tǒng)快速部署最新的安全更新和重要功能更新。系統(tǒng)能檢測用戶已安裝的補丁和需要安裝的補丁,管理員能通過管理平臺對桌面系統(tǒng)下發(fā)安裝補丁的命令。補丁服務(wù)器可自動從微軟網(wǎng)站更新補丁庫,管理員負(fù)責(zé)審核是否允許補丁在終端系統(tǒng)安裝。通過策略定制,終端系統(tǒng)可以自動檢測、下載和安裝已審核的補丁。

        (九)采用2+N的業(yè)務(wù)模式。對于利用互聯(lián)網(wǎng)接入的業(yè)務(wù)系統(tǒng),必須采用VPN接入,建設(shè)互聯(lián)網(wǎng)接入?yún)^(qū),隔離互聯(lián)網(wǎng)與政務(wù)外網(wǎng)的數(shù)據(jù)包,將互聯(lián)網(wǎng)業(yè)務(wù)進行封裝,確?;ヂ?lián)網(wǎng)業(yè)務(wù)在專網(wǎng)的VPN通道內(nèi)進行傳輸,對于需要與互聯(lián)網(wǎng)聯(lián)接的為公眾服務(wù)的業(yè)務(wù),通過邏輯隔離的安全防范措施,采用防火墻系統(tǒng)、入侵防御系統(tǒng)和網(wǎng)絡(luò)防病毒系統(tǒng),對互聯(lián)網(wǎng)接入業(yè)務(wù)提供必要安全防護,保障電子政務(wù)外網(wǎng)的信息安全。

        (十)信任體系設(shè)計。建立了基于PKI/CA公鑰基礎(chǔ)設(shè)施的數(shù)字證書認(rèn)證體系。完善、推廣、促進數(shù)字證書體系的發(fā)展和根據(jù)業(yè)務(wù)需要建立相應(yīng)CA機構(gòu),并實現(xiàn)某些應(yīng)用和管理需要的單點登錄要求。

        第5篇:安全審計報告范文

        一、信息系統(tǒng)審計的內(nèi)涵

        信息系統(tǒng)審計的內(nèi)涵與財務(wù)報表審計有較大的不同。以下通過對信息系統(tǒng)審計的定義、目標(biāo)和類型來闡述信息系統(tǒng)審計的內(nèi)涵。

        1.信息系統(tǒng)審計的定義。

        由于信息系統(tǒng)審計的發(fā)展很快,因此對其始終沒有一個通用的定義。下面分別介紹三種比較有代表性的定義。

        (1)日本通產(chǎn)省情報處理開發(fā)協(xié)會信息系統(tǒng)審計委員會1996年對信息系統(tǒng)審計定義為“為了信息系統(tǒng)的安全、可靠與有效,由獨立于審計對象的信息系統(tǒng)審計師,以第三方的客觀立場對以計算機為核心的信息系統(tǒng)進行綜合的檢查與評價,向信息系統(tǒng)審計對象的最高領(lǐng)導(dǎo)層,提出問題與建議的一系列活動”。該定義中強調(diào)獨立性的問題。

        (2)信息系統(tǒng)審計領(lǐng)域的著名專家威伯教授的定義(1999)是:“信息系統(tǒng)審計是收集并評估證據(jù),以判斷一個計算機系統(tǒng)是否有效做到保護資產(chǎn)、維護數(shù)據(jù)完整、完成組織目標(biāo),同時最經(jīng)濟的使用資源”。

        (3)信息系統(tǒng)審計影響最大的國際組織——國際信息系統(tǒng)審計和控制協(xié)會(ISACA)的定義是:信息系統(tǒng)審計是一個獲取并評價證據(jù),以判斷計算機系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率的利用組織的資源并有效果的實現(xiàn)組織目標(biāo)的過程”。該定義比威伯的更詳細(xì)一些。

        通過對相關(guān)信息系統(tǒng)審計定義的分析,本文認(rèn)為,所謂的信息系統(tǒng)審計,是指通過對被審單位的信息系統(tǒng)組成部分的審查來獲取和評價審計證據(jù),由此對信息系統(tǒng)的安全性、可靠性、數(shù)據(jù)的完整性以及信息系統(tǒng)能否經(jīng)濟的使用組織資源并有效地實現(xiàn)組織目標(biāo)發(fā)表審計意見。我們必須清楚的識別信息系統(tǒng)審計、IT審計、審計工程之間的區(qū)別。一般而言,1T審計(計算機審計)包括信息系統(tǒng)審計和審計工程。信息系統(tǒng)審計的研究對象是企業(yè)的信息系統(tǒng)或信息資產(chǎn),采用的研究方法是傳統(tǒng)的審計方法和計算機技術(shù)等;而審計工程的研究對象是企業(yè)的電子財務(wù)和業(yè)務(wù)數(shù)據(jù),研究方法采用計算機技術(shù)、系統(tǒng)工程方法和數(shù)學(xué)理論等。

        2.信息系統(tǒng)審計的目標(biāo)

        審計本質(zhì)上是根據(jù)審計目標(biāo)對收集的證據(jù)進行分析評價并得出結(jié)論的過程。一切的審計活動都是為了實現(xiàn)一定的審計目標(biāo),并圍繞審計目標(biāo)來進行??梢哉f,審計目標(biāo)是審計工作的“綱”。它貫穿審計活動的各個方面和審計過程的始終。

        (1)真實性。信息系統(tǒng)中的數(shù)據(jù)要真實的反映企業(yè)的生產(chǎn)經(jīng)營活動。要通過數(shù)字簽名等一系列技術(shù)手段和保留不可更改記錄、定期審計等管理手段確保數(shù)據(jù)的真實性。

        (2)完整性。完整性信息不被偶然或蓄意的刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。完整性是一種面向信息的安全性,它要求保持信息的原樣,即信息的正確生成、存儲和傳輸。

        (3)合法性。系統(tǒng)在購買、使用、開發(fā)、更新、維護、轉(zhuǎn)移等過程中必須符合相關(guān)法律、法規(guī)、準(zhǔn)則、行規(guī)以及企業(yè)內(nèi)部的規(guī)定等。

        (4)安全性。安全性是指信息系統(tǒng)在遭受各種因素破壞的情況下,仍然能夠正常運行的概率。威脅信息系統(tǒng)安全的因素有外部和內(nèi)部兩種。外部主要是黑客的入侵、病毒的攻擊、線路的偵聽等;內(nèi)部主要是被授權(quán)的用戶訪問和修改、刪除等操作。安全性是真實性的基礎(chǔ)之一。

        (5)可靠性??煽啃允侵感畔⑾到y(tǒng)在遭受非人因素破壞或人為差錯影響的情況下仍然能夠正常運行的概率。威脅信息系統(tǒng)可靠性的因素包括自然災(zāi)害對硬件和壞境的破壞以及誤操作對軟件和硬件的破壞等??煽啃砸彩钦鎸嵭缘幕A(chǔ)之一閉。

        (6)效果和效率。效果是指應(yīng)用信息系統(tǒng)以后,企業(yè)在生產(chǎn)控制、管理質(zhì)量、提品和服務(wù)等方面產(chǎn)生的變化。效率是指信息系統(tǒng)的應(yīng)用在企業(yè)勞動生產(chǎn)率的提高方面所起的作用。

        3.信息系統(tǒng)審計的類型

        根據(jù)信息系統(tǒng)審計的定義和審計目標(biāo),我們可以將信息系統(tǒng)審計分為三個基本類型:

        (l)信息系統(tǒng)的真實性審計是對傳統(tǒng)審計的補充,防止“錯”賬真審。

        (2)信息系統(tǒng)的安全性審計是對企業(yè)信息資產(chǎn)安全性的審核,防止由信息系統(tǒng)造成的經(jīng)營風(fēng)險。

        (3)信息系統(tǒng)的績效審計是對信息系統(tǒng)投入產(chǎn)出比的審核。

        二、信息系統(tǒng)審計的特點

        信息系統(tǒng)審計具有其獨特的特點,具體特點如下:

        1.信息系統(tǒng)審計是一個過程。它是一個獲取并評價證據(jù),以判斷信息系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效果地實現(xiàn)組織目標(biāo)的過程,它貫穿于信息系統(tǒng)生命周期的全過程。

        2.信息系統(tǒng)審計的對象具有綜合性和復(fù)雜性。信息系統(tǒng)審計的對象是以計算機為核心的信息系統(tǒng),它包含了除財務(wù)信息以外的其他與生產(chǎn)經(jīng)營流程有關(guān)的所有信息系統(tǒng),其實質(zhì)是審計對象及內(nèi)容的拓展。從縱向(生命周期)看,覆蓋了信息系統(tǒng)從規(guī)劃、分析、設(shè)計到維護的全生命周期的各種業(yè)務(wù);從橫向(信息系統(tǒng)構(gòu)成)看,它包含對軟硬件審計、應(yīng)用程序?qū)徲嫛踩珜徲嫷?。從這個意義看,信息系統(tǒng)審計拓展了傳統(tǒng)審計的內(nèi)涵,將審計對象從財務(wù)范疇擴展到了同經(jīng)營活動有關(guān)的一切信息系統(tǒng)。

        3.信息系統(tǒng)審計拓展了傳統(tǒng)審計的目標(biāo)。傳統(tǒng)審計目標(biāo)僅僅包括了“對被審計單位會計報表的合法性、公允性及會計處理方法的一貫性發(fā)表審計意見”,《中國獨立審計具體準(zhǔn)則第20號--計算機信息系統(tǒng)環(huán)境下的審計》第四條也明確規(guī)定“注冊會計師在計算機信息系統(tǒng)環(huán)境下執(zhí)行會計報表審計業(yè)務(wù),應(yīng)當(dāng)考慮其對審計的影響,但不應(yīng)改變審計目的和范圍”,由此可見EDP審計、電算化審計和計算機審計都沒有改變審計的目標(biāo),但信息系統(tǒng)審計除了上述目標(biāo)外,還包括信息資產(chǎn)的安全性、數(shù)據(jù)的完整性以及系統(tǒng)的可靠性、有效性和效率性。

        4.信息系統(tǒng)審計是事后、事前、事中審計的結(jié)合體。注冊會計師所執(zhí)行的財務(wù)報表審計往往是年度審計,屬于事后審計。而信息系統(tǒng)審計是事后、事前、事中審計兼而有之。如信息系統(tǒng)在開發(fā)過程中,由審計人員介入所進行的審計屬于事中審計,此項審計相對于系統(tǒng)運行后而對其所進行的審計而言又可以看作是事前審計;信息系統(tǒng)運行后,對其在一定期間的運作情況所進行的審計則為事后審計。

        5.信息系統(tǒng)審計的內(nèi)容更加寬泛。信息系統(tǒng)審計包含了一切與信息系統(tǒng)有關(guān)的審計,除了整個生命周期過程及相關(guān)業(yè)務(wù)的審計外,隨著信息技術(shù)的發(fā)展,還必將包括聯(lián)網(wǎng)審計、電子商務(wù)審計、網(wǎng)站審計、ASP審計和XBRL審計等。

        6.信息系統(tǒng)審計是一種基于風(fēng)險基礎(chǔ)審計的理論和方法。很多組織都能意識到技術(shù)帶來的潛在好處,然而成功的組織還能夠理解和管理好與采用新技術(shù)相關(guān)的很多風(fēng)險。信息系統(tǒng)有著與生俱來的風(fēng)險,這些風(fēng)險用不同方式?jīng)_擊著信息系統(tǒng),審計者面臨著審計什么、何時審計以及如何幫助信息系統(tǒng)的管理者管理和控制風(fēng)險從而實現(xiàn)企業(yè)的戰(zhàn)略目標(biāo)的問題。

        三、信息系統(tǒng)審計的過程

        審計過程是審計工作從開始到結(jié)束的整個過程。信息系統(tǒng)審計一般可以分為計劃階段、實施階段和報告階段。由于信息系統(tǒng)審計的對象和具體業(yè)務(wù)不同,每個階段所包括的具體內(nèi)容與財務(wù)審計也不同。

        1.計劃階段

        計劃階段是信息系統(tǒng)審計過程的起點。科學(xué)合理的審計計劃有利于幫助審計人員有的放矢的去調(diào)查、取證,形成正確的審計結(jié)論,實現(xiàn)審計目標(biāo)。計劃階段的主要任務(wù)包括:調(diào)查被審單位的基本情況和內(nèi)部控制;初步評價審計風(fēng)險;確定重要性水平;制定審計計劃。

        (1)調(diào)查被審單位的基本情況,初步評價固有風(fēng)險為了做好審計工作,審計人員首先應(yīng)了解被審單位的基本情況。需要了解的基本情況包括:第一,被審單位的業(yè)務(wù)性質(zhì)和生產(chǎn)經(jīng)營情況。第二,被審單位的組織結(jié)構(gòu)和管理水平。第三,被審單位信息系統(tǒng)一般情況,即信息系統(tǒng)的結(jié)構(gòu),所使用的軟硬件和網(wǎng)絡(luò)設(shè)施以及運行環(huán)境。第四,被審單位應(yīng)用系統(tǒng)及其所處理的交易和事項的類型。

        (2)調(diào)查被審單位信息系統(tǒng)內(nèi)部控制,評價控制風(fēng)險在計劃階段,審計人員應(yīng)了解被審單位的內(nèi)部控制特別是信息系統(tǒng)內(nèi)部控制,對內(nèi)部控制的健全和有效性進行評估,初步確定控制風(fēng)險的大小。

        (3)評估審計風(fēng)險,確定重要性水平。為了合理使用審計資源,有效的實現(xiàn)審計目標(biāo),在制定審計計劃時審計人員應(yīng)評估審計風(fēng)險,確定重要性水平。重要性水平是指在審計事項中,能夠容忍出現(xiàn)差錯的程度和大小。

        (4)編制審計計劃。在對被審單位的風(fēng)險進行初步評估,確定重要性水平后,審計人員應(yīng)當(dāng)編制審計計劃。審計計劃的內(nèi)容應(yīng)當(dāng)包括:被審單位的基本情況、審計的范圍和重點、審計的步驟和時間安排、審計人員分工、運用的信息系統(tǒng)審計方法、審計中應(yīng)當(dāng)注意的事項和其他內(nèi)容等。

        2.實施階段

        實施階段是根據(jù)計劃階段確定的范圍、重點、步驟和方法,進行有針對性的取評價,并形成審計結(jié)論的過程。主要由符合性測試和實質(zhì)性測試兩個階段構(gòu)成。

        (1)實施符合性測試。符合性測試的目的是檢查內(nèi)部控制措施是否健全有效。計人員需要對被審單位的控制系統(tǒng)進行識別、測試和評價。測試的性質(zhì)、范圍和程度。為了達到這個目的,審從而確定后續(xù)的實質(zhì)性控制系統(tǒng)識別。審計人員通過與相關(guān)人員面談、調(diào)查問卷以及查閱信息系統(tǒng)和控制系統(tǒng)說明文件等方,識別被審單位的控制系統(tǒng)以及控制環(huán)境,并將調(diào)查情況記錄在審計工作底稿中。

        (2)實施實質(zhì)性測試。實質(zhì)性測試是對信息系統(tǒng)控制進行的詳細(xì)測試,以獲得這些控制在審計期間是否真實存在并合法有效的審計證據(jù)。實質(zhì)性測試主要通過測試必要的數(shù)據(jù),對信息系統(tǒng)達到特定的控制目標(biāo)的程度進行評價。

        第6篇:安全審計報告范文

        關(guān)鍵詞:會計內(nèi)部審核;專業(yè)技術(shù);外審;電算化安全

        行業(yè)間的競爭日趨激烈,企業(yè)也需要積極地采取應(yīng)對策略對競爭對手加以有效的防范并勇于參與市場競爭,加大會計成本核算和審核力度是企業(yè)減少經(jīng)營成本,監(jiān)督企業(yè)行為的重要途徑。會計行業(yè)的審核有外部和內(nèi)部兩種途徑,但是由于我國外部審核機制還有待完善,大多數(shù)企業(yè)更加傾向于采用企業(yè)內(nèi)部審核的方法對企業(yè)會計財務(wù)情況加以控制,內(nèi)部會計審核需要依靠現(xiàn)代化技術(shù)手段的輔助才能夠得以順利實施,為此,有必要對現(xiàn)階段我國的企業(yè)內(nèi)部電算化會計審核進行深入探討。

        1 加強會計內(nèi)部審核的重要意義

        1.1 內(nèi)部會計審核結(jié)果為企業(yè)發(fā)展提供了科學(xué)參考依據(jù)

        內(nèi)部會計審核是企業(yè)在內(nèi)部設(shè)立財務(wù)部門,聘請專業(yè)的會計人員對企業(yè)賬目進行監(jiān)管,控制企業(yè)內(nèi)部財務(wù)狀況的一種審核方式。會計內(nèi)審可以通過對于財務(wù)數(shù)據(jù)的整理分析,對企業(yè)總體財務(wù)狀況進行有效控制,并且對企業(yè)的經(jīng)營狀況做出客觀的分析和反映,反映的結(jié)果可以通過審核報告的形式體現(xiàn)出來,這在一定程度上有利于企業(yè)及時發(fā)現(xiàn)賬目上的問題,從而降低了企業(yè)的經(jīng)營風(fēng)險。

        1.2 較外部審核而言,企業(yè)內(nèi)部審核更具有優(yōu)勢

        企業(yè)外部會計審核的實施主體包括政府部門和社會專業(yè)機構(gòu)兩部分,目前,我國的外部監(jiān)督體系還存在著一些問題,首先,就政府部門監(jiān)督而言,相關(guān)的法律法規(guī)不夠完善,起不到對企業(yè)行為的規(guī)范作用,政府審計人員的操作還不具有專業(yè)性,職責(zé)不明確往往導(dǎo)致審計結(jié)果存在較大出入;其次,由于我國現(xiàn)行會計從業(yè)考核機制的不健全,社會上專業(yè)審計企業(yè)的資質(zhì)還有待考證,審計從業(yè)人員的水平也參差不齊;再次,外部審計較內(nèi)部審計的明顯劣勢還在于外部聘請的專業(yè)機構(gòu)對于企業(yè)的經(jīng)營現(xiàn)狀無法實現(xiàn)充分的了解,對于企業(yè)的基本情況只能通過企業(yè)內(nèi)部人員描述或者通過會計賬目來獲得,這就使得其審核的結(jié)果可能失去真實性和客觀性,產(chǎn)生會計審核的偏差。

        內(nèi)部會計審核無論從實施主體還是實施效果來看,都具有相當(dāng)大的優(yōu)勢,比如,由于是在企業(yè)內(nèi)部設(shè)立專業(yè)審核的部門,其操作經(jīng)費會大幅度降低,而且還能實現(xiàn)會計監(jiān)管的實時性;最重要的是人員對于整個企業(yè)的生產(chǎn)經(jīng)營狀況了如指掌,大大提高了對會計賬目審核的精確度和有效性。但在我國,內(nèi)部審核機制也存在一些問題,例如,會計人員存在串通造假的現(xiàn)象,會計部門缺乏有力的監(jiān)督管理;內(nèi)部會計制度不夠完善等等,嚴(yán)重影響了企業(yè)內(nèi)部會計審核的質(zhì)量,失去了應(yīng)該有的效果。

        2 如何在電算化方法的協(xié)助下有效開展企業(yè)內(nèi)部會計審核工作

        科技手段的引進是會計內(nèi)部審核工作發(fā)展的一大飛躍,計算機的普遍使用,多樣化的財務(wù)軟件在為會計審核方面起到促進作用的同時,也會引發(fā)一系列的負(fù)面問題,譬如從業(yè)人員的技術(shù)水平達不到要求,會計數(shù)據(jù)存在泄漏和分工職責(zé)不明的問題等等,針對這幾方面采取措施可以有效改進會計電算化所帶來的問題。

        2.1 注重會計審核電算化的歸責(zé)性和安全性

        會計電算化從很大程度上提高了數(shù)據(jù)控制的科學(xué)性和核算效率,這一點毋庸置疑,但在操作時,數(shù)據(jù)承擔(dān)的泄漏風(fēng)險也在同步增加,解決這一問題要從設(shè)備的安全性和工作人員的安全防范意識入手,在使用計算機和相關(guān)軟件進行數(shù)據(jù)操作時,要加大設(shè)備保密性的檢查力度,并對其設(shè)定保密程序,防止資料外泄;相關(guān)操作人員也要簽訂崗位安全性協(xié)議,遵守崗位規(guī)范。在數(shù)據(jù)分工操作時,明晰人員職責(zé)很重要,以防數(shù)據(jù)方式篡改和泄漏時無法追究責(zé)任;另外,要盡量將工作分成相互獨立的若干部分,分配給不同人員完成,加強數(shù)據(jù)的安全性。

        2.2 加強會計電算化人員的專業(yè)技術(shù)培訓(xùn)

        現(xiàn)代會計操作設(shè)備要求工作人員具有較高的專業(yè)性和對于新知識的學(xué)習(xí)和接受能力,企業(yè)要加強對于新型的會計審核軟件和程序的操作培訓(xùn),相關(guān)從業(yè)人員也要積極配合,以保持企業(yè)內(nèi)部會計審核隊伍的先進性。

        2.3 完善外部會計審核制度

        建議相關(guān)部門盡快研究我國的信息系統(tǒng)審計制度,制定相關(guān)的法律、法規(guī)。對任何直接或間接影響財務(wù)報表或其他至關(guān)重要資料的數(shù)據(jù)或處理系統(tǒng)都要求審計,并可在重大信息化工程項目中試點,在總結(jié)經(jīng)驗教訓(xùn)的基礎(chǔ)上,再逐步推廣施行信息系統(tǒng)審計制度。在新的經(jīng)濟和技術(shù)環(huán)境下,注冊會計師審計應(yīng)考慮增加以下內(nèi)容。

        2.3.1 審計除了對現(xiàn)行企業(yè)財務(wù)報表所提供的信息進行審計外,審計還要對如分部信息、非財務(wù)信息、前瞻性信息、知識產(chǎn)權(quán)、創(chuàng)新金融工具等方面的內(nèi)容進行審計。

        2.3.2 更加注重對內(nèi)部控制制度的研究。內(nèi)部控制制度對保證會計信息的質(zhì)量具有非常重要的意義。這一點同樣也被我國新修訂的《會計法》所重視。

        2.3.3 對不確定信息的審計。由于現(xiàn)代財務(wù)報告中包括了如或有事項、衍生金融工具的確認(rèn)、計量和信息披露和無形資產(chǎn)等有關(guān)內(nèi)容,因此,審計就不能不對這些內(nèi)容進行審計。

        2.3.4 在審計報告中應(yīng)增加分析性評價的意見。在審計報告中應(yīng)增加分析性評價的意見,尤其是有助于評價企業(yè)收益質(zhì)量的信息。

        2.3.5 開展安全審計。安全審計是指審計人員對計算機網(wǎng)絡(luò)環(huán)境及其有關(guān)活動所進行的系統(tǒng)審計,并進行評價的活動?,F(xiàn)代審計必須積極開展安全審計,并將其作為審計的中心內(nèi)容之一。

        2.3.6 開展預(yù)測信息審計。因為現(xiàn)代財務(wù)報告中將大量增加有關(guān)企業(yè)未來的信息,其中包括大量的財務(wù)預(yù)測信息,而對這些預(yù)測信息必須要有相應(yīng)的質(zhì)量保證機制。在這方面,完全可以充分發(fā)揮注冊會計師的作用。

        2.3.7 開展對報表附注的審計。現(xiàn)在及未來,財務(wù)報表附注內(nèi)容將會大大增加,因此,對這部分內(nèi)容的審計也是不可避免的。應(yīng)制定會計報表附注的會計和審計準(zhǔn)則,完善法規(guī)制度,加強對會計報表附注的審計,只有這樣才能使得審計的責(zé)任得以更好地完成。

        2.3.8 從重視有形資產(chǎn)審計到重視無形資產(chǎn)的審計。因為在知識經(jīng)濟社會中,以知識、信息及人力資源為主的無形資產(chǎn)的信息在財務(wù)報告所披露的信息中的比重必將大大提高,這也就導(dǎo)致了審計的重點由重視存貨等有形資產(chǎn)的審計向重視知識、人力資源等無形資產(chǎn)審計的轉(zhuǎn)變。

        3 結(jié)束語

        科技的發(fā)展給企業(yè)的生產(chǎn)經(jīng)營帶來了極大的便利,同時也相伴有一定的風(fēng)險,企業(yè)可以通過建立有效的防控機制來加以預(yù)防,更好的使之為企業(yè)服務(wù),企業(yè)內(nèi)部會計審核從目前來看是一種不錯的財務(wù)監(jiān)管機制,將科技手段與之相結(jié)合會帶來意想不到的效果。所以,只有科學(xué)的開展企業(yè)內(nèi)部會計電算化的應(yīng)用,才能使企業(yè)具有更強的市場競爭力。

        參考文獻

        [1]劉力云.審計風(fēng)險與控制[M].北京:中國審計出版社,1999.

        [2]朱榮恩.內(nèi)部控制評價[M].北京:中國時代經(jīng)濟出版社,2002.

        第7篇:安全審計報告范文

        【關(guān)鍵詞】電子政務(wù);平臺安全;建設(shè)中圖分類號:TP39

        文獻標(biāo)識碼:A

        文章編號:1006-0278(2015)02-112-02

        一、基于安全的平臺物理構(gòu)架

        數(shù)據(jù)安全的定義存在對立的兩個層而:一是針對數(shù)據(jù)本身的安全,數(shù)據(jù)本身的安全可以通過使用獨特的不為外人所知的密碼算法對數(shù)據(jù)信息進行加密;二是數(shù)據(jù)防護層而的安全,它的主要方法是利用先進的儲存方式對數(shù)據(jù)進行防護,目前常用的儲存方式有磁盤陣列、數(shù)據(jù)備份、異地容災(zāi)等。通過對信息進行加密算法傳輸,并且采取先進的儲存方式,一般來講可以保證數(shù)據(jù)的安全。

        在數(shù)據(jù)的處理過程中可能會出現(xiàn)因為電路故障引起的硬件障礙,服務(wù)中斷、程序的錯誤進行,以及人為的錯誤操作,或者外部網(wǎng)絡(luò)的黑客入侵、病毒感染等問題而導(dǎo)致數(shù)據(jù)丟失或者數(shù)據(jù)庫受到破壞。同時不同的數(shù)據(jù)只有擁有權(quán)限的人員才能瀏覽,而有些不具備權(quán)限的人員進行瀏覽之后,可能會出現(xiàn)數(shù)據(jù)外泄的情況。

        數(shù)據(jù)儲存也應(yīng)該具備安全性。一些數(shù)據(jù)庫的運行是公開的,這方而的編程人員通過一些常規(guī)手段,都能夠?qū)?shù)據(jù)庫中的信息進行瀏覽或閱讀,如果這些人中有人對數(shù)據(jù)進行了修改也是很正常的。而一旦這些信息落入了非法訪問者手中,那么就會使內(nèi)部信息外泄,給整個系統(tǒng)帶來重大的威脅。

        數(shù)據(jù)安全具備以下特點:

        1.機密性(Confidentiality)。機密性,又稱保密性,是指信息的獲取需要一點的權(quán)限,不能被隨意獲得。在電腦程序中,網(wǎng)絡(luò)瀏覽器和一些網(wǎng)站都有加密設(shè)置,這樣的目的是為了保證用戶信息的安全;2完整性(Integrity)。完整性是指數(shù)據(jù)在傳送和儲存的過程中,數(shù)據(jù)信息不被非法用戶篡改或獲取,它是信息安全的二個基本要點之一。完整性和保密性往往容易被混淆。以普通RSA對數(shù)值信息加密為例,非法用戶如果沒有獲得授權(quán),也能夠通過保密文件的線性計算來對數(shù)值的信息進行更改。為保證信息的安全,通過散列函數(shù)和數(shù)字簽名可以對文件進行保護;3可用性(Availability)。數(shù)據(jù)可用性是指數(shù)據(jù)的可讀性,它的設(shè)計理念是以使用者為中心,它的重點是根據(jù)使用者的要求對產(chǎn)品進行相應(yīng)的設(shè)計。

        對信息安全的認(rèn)識經(jīng)歷了的數(shù)據(jù)安全階段(強調(diào)保密通信)、網(wǎng)絡(luò)信息安全時代(強調(diào)網(wǎng)絡(luò)環(huán)境)和信息保障時代(強調(diào)不能被動地保護,需要有保護

        檢測

        反應(yīng)

        恢復(fù)四個環(huán)節(jié))。

        二、平臺網(wǎng)絡(luò)安全威脅

        能夠?qū)?shù)據(jù)的安全帶來威脅的因素是五花八門的,而以下幾而方而的威脅是最為普遍的:

        (一)硬盤驅(qū)動器損壞

        硬盤驅(qū)動器一旦損壞,通過這一驅(qū)動器運行的數(shù)據(jù)就會丟失。而設(shè)備運行過程中的損耗、運行環(huán)境的破壞和存儲媒介的失效甚至是人為損害都會引起硬盤驅(qū)動器損壞。

        (二)人為錯誤

        人為操作錯誤的因素有可能造成系統(tǒng)運行參數(shù)的改變,誤刪除一些重要文件。

        (三)黑客

        黑客通過遠(yuǎn)程操作計算機可能對電腦進行一些不安全的更改,從而威脅計算機數(shù)據(jù)的安全。

        (四)病毒

        病毒是大家目前熟悉的一種安全威脅,病毒能夠?qū)τ嬎銠C系統(tǒng)造成很大的破壞。這幾年各種病毒的產(chǎn)生,是大家對于病毒的危害的理解越來越深刻,病毒的強感染性和強的傳播性是其成為了威脅系統(tǒng)安全的主要元兇。

        (五)信息竊取

        信息的竊取是導(dǎo)致數(shù)據(jù)安全的又一大原因,因為復(fù)制、盜取等手段會對計算機的數(shù)據(jù)造成威脅。

        (六)自然災(zāi)害

        地震、火災(zāi)等無法預(yù)料的自然災(zāi)害會造成整個系統(tǒng)的覆滅,從而帶來無法挽回的損失。

        (七)電源故障

        電力的不穩(wěn),例如突然的斷電等故障會使硬盤設(shè)施中的數(shù)據(jù)丟失。

        (八)磁干擾

        磁性較強的東西會對計算機數(shù)據(jù)造成毀滅性的的傷害。

        三、平臺數(shù)據(jù)安全防護措施

        電子數(shù)據(jù)安全審計是一個操作記錄,主要記錄的是用戶在系統(tǒng)中進行的操作,這種做法的目的是為了在發(fā)現(xiàn)違規(guī)操作后,能夠追查到責(zé)任人。

        電子數(shù)據(jù)安全審計過程可分成二步來實現(xiàn):第一步,整理用戶對系統(tǒng)進行的操作,對操作過程進行記錄;第二步,根據(jù)操作的記錄分析是否存在違規(guī)行為;第三步,發(fā)現(xiàn)問題,采取處理措施。

        電子數(shù)據(jù)安全審計工作同防火墻等手段的意義是一樣的。用戶在系統(tǒng)內(nèi)的計算機上進行的所有行為包括上下機的時間,與系統(tǒng)內(nèi)的敏感的信息。數(shù)據(jù)的接觸都能夠在日志文件中查找到,這一措施是為了對操作行為進行分析同時一旦發(fā)現(xiàn)了不安全因素便于查找并確定事故責(zé)任,這也為增強系統(tǒng)安全提供了預(yù)防作用。

        (一)審計技術(shù)

        電子數(shù)據(jù)安全審計技術(shù)可分二種:系統(tǒng)技術(shù)的了解,驗證處理技術(shù)和處理結(jié)果的驗證。

        1了解系統(tǒng)技術(shù)。審計人員可以借助閱讀相關(guān)的技術(shù)介紹和查閱程序表和控制流程來了解系統(tǒng)技術(shù)。

        2.驗證處理技術(shù)。系統(tǒng)指令能夠正確的執(zhí)行主要取決于這一技術(shù)。該技術(shù)由實際測試和性能測試兩部分組成,實現(xiàn)方法主要有:

        (1)事務(wù)選擇。根據(jù)制定的審計標(biāo)準(zhǔn)的不同,審計人員可以選擇不同的事務(wù)樣板來進行認(rèn)真的了解。樣板的選擇可以是隨機的,也可以通過操作系統(tǒng)的事務(wù)管理部件自動引用。

        (2)測試數(shù)據(jù)。測試數(shù)據(jù)是程序測試的擴展,系統(tǒng)自動生成了準(zhǔn)備處理的事務(wù)。審計人員可以通過一些方法來預(yù)測結(jié)果的正確性,并將得出的結(jié)果與實際的結(jié)果相對比。使用這種方法的時候,審計人員必須通過系統(tǒng)來檢驗處理過的檢測的數(shù)據(jù)。除了上述的方法,還可以使用事務(wù)標(biāo)志、跟蹤、綜合測試等方法。

        (3)并行仿真。審計人員主要借助某一應(yīng)用程序來模擬操作系統(tǒng)的主要功能。將模擬出的數(shù)據(jù)和給出的實際的數(shù)據(jù)相比較。仿真的成本較高,可以通過高級語言使仿真模擬與實際的應(yīng)用相接近。

        (4)驗證處理結(jié)果技術(shù)。在這一過程中,審計人員的工作重點不是對于數(shù)據(jù)的處理而是數(shù)據(jù)本身,這里有兩個方而需要重點考慮:一是數(shù)據(jù)的選取。將審計數(shù)據(jù)收集技術(shù)結(jié)合到應(yīng)用程序?qū)徲嬆K中,應(yīng)用程序?qū)徲嬆K的功能是依據(jù)給定的標(biāo)準(zhǔn)來收集數(shù)據(jù);建立全部的審計跟蹤;借用于日志恢復(fù)的備份庫;借助審計庫的記錄來抽取設(shè)施,它能夠隨機的選擇屬性值相似的文件進行記錄,并將其放在工作文件中,為以后的分析提供便利;利用數(shù)據(jù)庫管理系統(tǒng)的查詢設(shè)施抽取用戶數(shù)據(jù)。二是數(shù)據(jù)內(nèi)容的尋找目標(biāo)。一旦選定了數(shù)據(jù),審計人員可以對控制信息進行檢查;檢查語義完整性約束;檢查與無關(guān)源點的數(shù)據(jù)。

        (二)審計范圍

        在整個應(yīng)用系統(tǒng)中,審計是與其他系統(tǒng)獨立的。審計主要涉及的范圍是對操作系統(tǒng)和其他應(yīng)用系統(tǒng)的審計。

        對操作系統(tǒng)進行審計是為了檢測和判定操作對系統(tǒng)的滲透程度并且對誤操作進行識別。這一過程的基本功能為:選擇審計對象;對審計的文件進行分類并且完成自動轉(zhuǎn)換;對文件的系統(tǒng)完整性進行定時檢測;對信息儲存的格式和輸出的媒介進行審計;報警閥值的設(shè)置與選擇;對每日操作行為進行審計并對數(shù)據(jù)的安全性進行保護等。

        應(yīng)用程序?qū)徲嬜酉到y(tǒng)的主要功能是:針對被作為審計對象的應(yīng)用程序的某些操作進行監(jiān)控并且進行記錄,對記錄的記過進行分析,用以判斷是否應(yīng)用程序是否受到攻擊并別修改,同時能夠判斷程序和數(shù)據(jù)的完整性;采用身份驗證和口令驗證等方法來保證應(yīng)用程序的正常運行。

        (三)審計跟蹤

        審計跟蹤與日志恢復(fù)從本質(zhì)上來講是有區(qū)別的,但是經(jīng)??梢越Y(jié)合在一起使用。它們的主要區(qū)別是審計跟蹤能夠進行記錄,而日志恢復(fù)通常不對操作進行記錄;但根據(jù)實際的需要,審計跟蹤可以從日記恢復(fù)中得到所需要的審計信息。如果將告警功能與審計功能結(jié)合起來,那么就可以在違規(guī)的或者不合法的操作進行的當(dāng)時向程序人員發(fā)出警告,以使他們能夠以最快的速度做出反應(yīng),及時的采取解決的對策,使損失降到最低。審計記錄所包含的內(nèi)容主要有:操作進行的地點和時間;進行操作的用戶;事件的類型;事件結(jié)果。

        根據(jù)訪問控制的類型,數(shù)據(jù)庫對于審計跟蹤的請求不加以限定。獨立的審計跟蹤保密性更強,審計人員可以對時間進行限定,但是成本比較高。

        (四)審計的流程

        第8篇:安全審計報告范文

        20世紀(jì)60年代隨著第二代晶體管機的出現(xiàn)和計算機的普及,特別是電算化之后,開始設(shè)立數(shù)據(jù)處理審計及安全辦公室,出現(xiàn)了信息技術(shù)審計(IT審計)-EDP審計,當(dāng)時稱之為計算機審計,到70年代,利用計算機犯罪的案件開始出現(xiàn),在上引起了強烈反響,人們開始認(rèn)識到信息技術(shù)審計的必要性。進入80年代后,發(fā)達國家大力發(fā)展信息產(chǎn)業(yè),加上計算機與通信相結(jié)合,使計算機的應(yīng)用更加普及,同時也導(dǎo)致了利用計算機犯罪的比率升高,犯罪率的急劇上升引起了有關(guān)政府的極大重視,1984年日本政府公開發(fā)表了《IT審計標(biāo)準(zhǔn)》,在全日本的軟件水平中增添了“IT審計師”一級的考試(在系統(tǒng)員考試之上的最高一級),培養(yǎng)從事信息技術(shù)審計的骨干隊伍,信息技術(shù)審計逐步走向成熟。至20世紀(jì)90年代,信息系統(tǒng)向大型化、多樣化及化發(fā)展,信息技術(shù)審計作為信息社會的安全對策進入普及時期。

        二、信息系統(tǒng)審計(ISA)與信息技術(shù)審計(ITA)

        信息系統(tǒng)審計(Information Systems Audit簡稱ISA)是指以某個業(yè)務(wù)應(yīng)用系統(tǒng)為中心的審計,即對計算機信息系統(tǒng)的開發(fā)建設(shè)、運行環(huán)境、使用和維護、內(nèi)部控制等情況進行監(jiān)督、檢查,并作出評價,提出意見和建議,它包括對新系統(tǒng)的開發(fā)審計和對現(xiàn)有系統(tǒng)的審計。而信息技術(shù)審計(Information Technology Audit簡稱ITA)則是側(cè)重于對信息技術(shù)基礎(chǔ)設(shè)施的審計,主要是對技術(shù)的安全性進行審計,重點在于網(wǎng)絡(luò)安全和通訊安全。包括對防火墻的安全和公共密鑰系統(tǒng)(PKI)的安全性的評價,以及對非法入侵進行檢測等。在部分西方國家央行內(nèi)部審計中,信息系統(tǒng)審計和信息技術(shù)審計有嚴(yán)格的區(qū)分,分別設(shè)置信息系統(tǒng)和信息技術(shù)審計機構(gòu),我國人民銀行信息技術(shù)審計處于起步階段,一般認(rèn)為信息技術(shù)審計既包括對應(yīng)用系統(tǒng)的審計,也包括對計算機基礎(chǔ)設(shè)施的審計,二者是一個包含與被包含的關(guān)系,是可以通用的概念。

        三、人民銀行信息技術(shù)審計的發(fā)展方向

        人民銀行2000年開始提出信息技術(shù)審計的概念,在充分了美國、德國、英國、加拿大、荷蘭、日本等國中央銀行信息技術(shù)審計的基礎(chǔ)上,2000年8月在貴陽首次召開了人民銀行信息技術(shù)審計工作座談會,以此次會議為標(biāo)志,人民銀行正式將信息系統(tǒng)安全納入內(nèi)部審計范疇,并相繼開展了一系列信息系統(tǒng)專項審計。經(jīng)過幾年的探索,人民銀行對信息技術(shù)審計有了明確的定位,信息技術(shù)審計逐步走向正規(guī)化、日?;倪@幾年的實踐來看,人民銀行信息技術(shù)審計雖然引起了各級領(lǐng)導(dǎo)的高度重視,但受人員素質(zhì)等各種因素的制約,信息技術(shù)審計層次較低,基本上側(cè)重于規(guī)章制度的執(zhí)行和基礎(chǔ)設(shè)施的安全,離信息技術(shù)審計的定義相差較遠(yuǎn),筆者認(rèn)為人民銀行信息技術(shù)審計應(yīng)向以下幾個方向發(fā)展:

        1、在審計策略上向參與式審計發(fā)展。西方內(nèi)部審計理念的核心是,內(nèi)審人員不僅要善于發(fā)現(xiàn),而且更要善于解決問題,并要將所提建議當(dāng)作本部門的服務(wù)產(chǎn)品向管理當(dāng)局積極推銷,以大大提高審計的效果。而現(xiàn)代內(nèi)部審計方式的精髓則是參與式審計,即在整個審計過程中與被審人員維持良好的關(guān)系,共同分析問題的實際情況及潛在,一起探討改進的可行性和應(yīng)采取的措施,從而加強內(nèi)部控制、改善經(jīng)營管理,防范和化解潛在的風(fēng)險。

        信息技術(shù)審計不僅僅是傳統(tǒng)審計業(yè)務(wù)的簡單擴展,它是在傳統(tǒng)審計、信息系統(tǒng)管理理論、行為理論和計算機科學(xué)四個理論基礎(chǔ)上形成的一門邊緣性學(xué)科,完全依靠自身的力量完成所有審計工作是不現(xiàn)實的,也是不符合成本效益原則的。西方國家信息技術(shù)審計普遍采用的做法是從外部咨詢機構(gòu)聘請信息技術(shù)專家、安全專家以及各種具體應(yīng)用系統(tǒng)的專家參與審計。

        參與式審計主要體現(xiàn)在以下幾個方面:(1)在審計開始時,就對被審部門抱著信任態(tài)度,與他們討論審計目標(biāo)、審計、計劃采取某些審計程序和的理由,以取得他們的理解和支持;(2)征求被審部門的意見,尋求他們的合作;(3)及時與當(dāng)事人討論審計中發(fā)現(xiàn)的問題,共同分析改進的必要性,并探討改進的可行措施;(4)向被審部門報告期中審計結(jié)果,其中審計報告可以是口頭的,非正式的,以便及時就地解決和改正存在的問題,避免發(fā)生更大的損失;(5)提出最終審計報告時,采用建設(shè)性的語調(diào),重點放在問題產(chǎn)生的原因和可能造成的影響、改進的可能性和改進措施上,被審部門已經(jīng)采取的改進行動也可以包括在審計報告中,以反映他們對審計工作的積極態(tài)度。

        參與式審計的基礎(chǔ)是信任被審部門,而我國人民銀行內(nèi)審脫胎于原稽核部門,沿襲了傳統(tǒng)審計的思路和模式,在審計中持著懷疑一切的態(tài)度,將自己放在了被審單位的對立面,這樣既不便于內(nèi)審工作的開展,也了審計的質(zhì)量和效果。

        2、在審計對象上向安全審計。隨著機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,在人總行司的統(tǒng)一部署下,人民銀行系統(tǒng)計算機網(wǎng)絡(luò)經(jīng)過近10年的建設(shè)已初具規(guī)模,形成了以內(nèi)聯(lián)網(wǎng)為核心,縱向覆蓋至縣支行,橫向與各機構(gòu)、財政、稅務(wù)及海關(guān)、外匯交易中心等單位相聯(lián)的大型網(wǎng)絡(luò)。在人民銀行系統(tǒng)內(nèi)同時存在內(nèi)聯(lián)網(wǎng)、外聯(lián)網(wǎng)和國際互聯(lián)網(wǎng)三套網(wǎng)絡(luò)系統(tǒng),計算機網(wǎng)絡(luò)成為人民銀行業(yè)務(wù)系統(tǒng)運行、信息傳輸?shù)闹匾脚_和紐帶,其運行狀況直接關(guān)系到資金安全和政務(wù)信息的安全。網(wǎng)絡(luò)在加快信息傳播、加大資源共享、提高辦公效率的同時也成為了人民銀行系統(tǒng)內(nèi)最大的潛在風(fēng)險點。

        目前人民銀行系統(tǒng)正在運行的計算機系統(tǒng)共有二十多個,涉及支付結(jié)算,金融服務(wù)以及辦公自動化等各個方面,在這種情況下,處于起步階段的信息技術(shù)審計以各個業(yè)務(wù)應(yīng)用系統(tǒng)為中心有其合理性:一是審計人員對各業(yè)務(wù)系統(tǒng)缺乏了解,對各系統(tǒng)還需要一個熟悉的過程,以系統(tǒng)為中心的審計有助于審計人員全面系統(tǒng)地了解業(yè)務(wù)系統(tǒng)的情況;二是計算機專業(yè)人員的缺乏,使以安全性為中心目標(biāo)的信息技術(shù)審計難以有效開展;三是目前對計算機業(yè)務(wù)應(yīng)用系統(tǒng)的監(jiān)督檢查環(huán)節(jié)還很薄弱,對于保證控制的各項制度措施不能很好地貫徹執(zhí)行,合規(guī)性審計在一定時期內(nèi)將是信息技術(shù)審計的主要。但是隨著信息技術(shù)審計工作的不斷開展,審計人員經(jīng)驗的豐富和技術(shù)的提高,信息技術(shù)審計應(yīng)該走出以系統(tǒng)為中心的審計,向以保證組織網(wǎng)絡(luò)與信息的安全方向發(fā)展,充分發(fā)揮信息技術(shù)審計技術(shù)性、專業(yè)性特點。

        3、在審計內(nèi)容上向系統(tǒng)開發(fā)審計發(fā)展。信息系統(tǒng)之所以風(fēng)險較高,是因為它不僅涉及數(shù)據(jù)的安全和保護,而且涉及計算機網(wǎng)絡(luò)的一致性和適用性,涉及系統(tǒng)建立和開發(fā)過程中的巨額資金流出。應(yīng)用系統(tǒng)的開發(fā)不僅在開發(fā)階段要花費大量的人力、物力和財力,而且對已經(jīng)完成了的應(yīng)用系統(tǒng)進行修改也將花費大量的時間和資金,相對傳統(tǒng)業(yè)務(wù)審計而言,對信息系統(tǒng)僅僅進行事后審計意義不大,所以,內(nèi)審部門對系統(tǒng)開發(fā)應(yīng)在項目計劃階段就要介入,對其開況進行全過程審計監(jiān)督。

        對系統(tǒng)開況進行審計關(guān)鍵是要求內(nèi)審人員“一開始就介入”。通過提前介入,內(nèi)審部門對項目的概算、項目的必要性、招投標(biāo)情況、建設(shè)工期執(zhí)行情況、系統(tǒng)的“可審計性”等進行監(jiān)督,保證系統(tǒng)的合理投資、合理設(shè)計開發(fā)和有效運行,及早發(fā)現(xiàn)系統(tǒng)在風(fēng)險控制、質(zhì)量保證和成本效益等方面存在的問題,避免走彎路,防止出現(xiàn)浪費和損失。同時,通過提前介入,也將信息系統(tǒng)的開發(fā)、購買、重大修改、委托運營、轉(zhuǎn)讓和退出使用等管理工作置于內(nèi)審的有效監(jiān)督之下。

        在西方各國,一般要求信息系統(tǒng)管理部門在進行系統(tǒng)開發(fā)、購買、轉(zhuǎn)讓、重大修改和退出使用時要通知內(nèi)審部門,內(nèi)審部門根據(jù)系統(tǒng)的重要性決定審計的方式,可以要求提供相關(guān)資料,也可以派人參與開發(fā)過程,對于大型系統(tǒng)一般成立由財務(wù)審計人員和信息技術(shù)審計人員共同組成的聯(lián)合工作組進行新系統(tǒng)開發(fā)審計。目前人民銀行正準(zhǔn)備進行應(yīng)用系統(tǒng)開發(fā)審計的嘗試。

        4、在審計重點上向風(fēng)險導(dǎo)向型審計發(fā)展。信息技術(shù)審計不同于我們以往的業(yè)務(wù)審計,以往的業(yè)務(wù)審計往往以發(fā)現(xiàn)已經(jīng)發(fā)生的損失,已經(jīng)實施的舞弊和違規(guī)為目的,屬于以損失為基礎(chǔ)的審計;而信息技術(shù)審計則具有一定的事前性,其目的在于發(fā)現(xiàn)潛在的風(fēng)險和可能發(fā)生的損失。這種目的上的變化要求信息技術(shù)審計不可能以損失為基礎(chǔ),而應(yīng)該以風(fēng)險為基礎(chǔ),因此,信息技術(shù)審計部門必須借鑒風(fēng)險評估的,由對系統(tǒng)運行的合規(guī)性審計逐漸轉(zhuǎn)變?yōu)轱L(fēng)險導(dǎo)向型審計:根據(jù)系統(tǒng)風(fēng)險評估結(jié)果,確定審計計劃,根據(jù)對固有風(fēng)險和控制風(fēng)險的測算,確定審計重點、制定審計方案。這種以風(fēng)險為基礎(chǔ)的審計也是當(dāng)前國際審計界通行的觀念和做法,也是今后我國審計的發(fā)展方向。

        第9篇:安全審計報告范文

        關(guān)鍵字:信息技術(shù) 內(nèi)部審計 風(fēng)險評估

        信息化拉近了人與人的距離,提高了工作效率,造就了方便的生活方式。計算機信息技術(shù)代在很多方面替代人進行工作,節(jié)約了生產(chǎn)成本,提高了工作效率,因而加快建設(shè)企業(yè)信息化的發(fā)展,引進信息化技術(shù)到企業(yè)內(nèi)部審計工作中,可以有效的節(jié)約資源和縮減成本,提高辦事效率。另一方面,計算機行業(yè)是高科技行業(yè),具有較高的風(fēng)險性,所以如何引進信息技術(shù)任然需要謹(jǐn)慎。

        一、信息技術(shù)的安全性和公正性

        (一)信息技術(shù)的安全性

        要為企業(yè)設(shè)計一款軟件為內(nèi)部審計服務(wù),必須要進行深思熟慮,首先要從其需求方面入手。企業(yè)需要怎樣的功能,企業(yè)的規(guī)模需要哪種性能的軟件(根據(jù)企業(yè)人數(shù)要求軟件可以承受的用戶并發(fā)數(shù)),這兩項是最基本的硬性要求。然后就是軟件的安全性,這里主要是指軟件對企業(yè)信息的保密性,軟件采用何種形式的編碼方法,以何種協(xié)議傳輸信息,防火墻設(shè)計是否能夠有效的抵御黑客進攻都關(guān)系到整個企業(yè)的信息資料安全。確定了可行的、可信的、可靠的軟件才能進行投放。

        (二)信息技術(shù)的公正性

        較之人而言,計算機是沒有“感情”的,從而也規(guī)避了“腐敗”現(xiàn)象的發(fā)生。將審查后的數(shù)據(jù)輸入電腦,計算機服務(wù)器終端會根據(jù)軟件系統(tǒng)設(shè)計好的程序運行計算實際的數(shù)據(jù),在軟件質(zhì)量良好的情況下可以保證所得到的報表、審計報告的真實性。這對公司企業(yè)的人員管理和評審也是非常公正的。

        二、會計信息化及其對企業(yè)內(nèi)部審計的意義

        (一)信息化環(huán)境下企業(yè)內(nèi)部審計對象的特點

        (1)隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展,企業(yè)之間的電子商務(wù)平臺將會得到很大的發(fā)展空間。為企業(yè)的發(fā)展和創(chuàng)新開拓廣泛的新局面,其中最明顯的變化就是企業(yè)的經(jīng)營管理模式和信息披露的模式。經(jīng)過發(fā)展和改變后,不少的企業(yè)可以將自己的產(chǎn)品以及交易信息和銷售的合同公布在互聯(lián)網(wǎng)上進行交易。這樣的改變不僅不會讓消費者的受到時間和空間的限制,同時還能夠查閱資料對產(chǎn)品有進一步的了解,再決定是否購買。企業(yè)通過互聯(lián)網(wǎng)的交易形式不僅能夠達到提高效率的目的,同時還能夠降低成本,擴大企業(yè)的利潤空間。

        (2)建立在網(wǎng)絡(luò)環(huán)境基礎(chǔ)下的會計信息系統(tǒng)被稱之為網(wǎng)絡(luò)會計。網(wǎng)絡(luò)會計與傳統(tǒng)會計的區(qū)別很大,主要是體現(xiàn)在以下兩個的特點:一是網(wǎng)絡(luò)會計的會計信息是無紙化和自動化,采用網(wǎng)絡(luò)溝通的方式去實現(xiàn)交易,相比傳統(tǒng)的會計信息系統(tǒng)更加的節(jié)約資源。二是會計信息披露更充分、更及時。

        (二)會計信息化對會計內(nèi)部審計的意義

        隨著互聯(lián)網(wǎng)的快速發(fā)展,傳統(tǒng)的審計方式將逐漸被網(wǎng)絡(luò)在線實施的網(wǎng)絡(luò)審計模式所取代。而這樣的審計模式就能滿足審計人員不用出門就可以完成審計工作的要求。

        (1)網(wǎng)絡(luò)審計技術(shù)更先進:審計人員不僅可以通過網(wǎng)絡(luò)系統(tǒng)和審計的對象進行溝通、交換信息,并且可以直接在網(wǎng)上進行會計信息的查閱。由于網(wǎng)絡(luò)技術(shù)的發(fā)展與應(yīng)用,空間已經(jīng)不會造成執(zhí)行審計的制約因素,這樣更方便審計人員開展工作。

        (2)網(wǎng)絡(luò)系統(tǒng)能夠充分的發(fā)揮計算機的高速運轉(zhuǎn)與審計軟件的優(yōu)勢,同時間還能對網(wǎng)絡(luò)的財務(wù)數(shù)據(jù)以及業(yè)務(wù)數(shù)據(jù)進行統(tǒng)計、處理,最后完成審計工作的報告。與傳統(tǒng)的審計相比,網(wǎng)絡(luò)審計在高效率完成工作的同時還能達到節(jié)約能源以及提高準(zhǔn)確率的目的。

        三、信息化環(huán)境下完善企業(yè)內(nèi)部審計的對策及建議

        (一)提高審計風(fēng)險的防范能力

        因為網(wǎng)絡(luò)系統(tǒng)的運作,導(dǎo)致信息的載體由低介質(zhì)轉(zhuǎn)變成磁性介質(zhì)。但由于磁性介質(zhì)在受到高溫和磁性物質(zhì)的因素下容易受到影響,造成磁性介質(zhì)的磁性消失。因此,檔案的保存還有很大的風(fēng)險。通過信息技術(shù)導(dǎo)致這種儲存媒體的方式經(jīng)常受到訪問和濫用,造成了審計風(fēng)險的增加。因此,必須建立一個有監(jiān)管部門嚴(yán)格監(jiān)控的網(wǎng)絡(luò)財務(wù)信息進行強制性的存檔制度,這樣不僅可以避免網(wǎng)上的財務(wù)信息遭到披露,同時還能提高工作的效率、減低審計的風(fēng)險。制定的風(fēng)險防范制度其中主要包括了網(wǎng)絡(luò)管理的規(guī)定、會計核算的軟件運行管理等。

        (二)加強對會計信息系統(tǒng)內(nèi)部控制制度的審計

        在會計信息系統(tǒng)中,內(nèi)部的控制制度要求應(yīng)該更為嚴(yán)格,否則制度一旦失控,將會給企業(yè)帶來無法挽回的后果。因此,必須對內(nèi)部控制的制度加強,內(nèi)部的控制制度在加強后,能夠促進企業(yè)建立一個完善的內(nèi)部控制的制度體系,已達到保證會計資料真實性的目的。通過內(nèi)部控制的制度審計,能夠避免錯誤和重大違紀(jì)事項的發(fā)生,同時還能提高工作的質(zhì)量以及效率。

        四、結(jié)束語

        隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,導(dǎo)致信息化環(huán)境給企業(yè)內(nèi)部的審計工作的內(nèi)容和環(huán)境帶來翻天覆地的變化,造成對內(nèi)部審計的極大影響。通過加內(nèi)部審計的風(fēng)險防范制度,將會計信息化的內(nèi)部審計與內(nèi)部的控制制度以及安全審計向結(jié)合,將其作為中心內(nèi)容,達到更加有效的、安全的性的在會計信息化的環(huán)境下開展審計工作的目的。

        參考文獻:

        [1]馬睿.信息化環(huán)境下企業(yè)內(nèi)部審計思考[J].商場現(xiàn)代化,2007,(33):347-348

        [2]單石奇.企業(yè)信息化環(huán)境下內(nèi)部審計工作的思考[J].江漢石油職工大學(xué)學(xué)報,2008,21(1):47-49

        无码人妻一二三区久久免费_亚洲一区二区国产?变态?另类_国产精品一区免视频播放_日韩乱码人妻无码中文视频
      2. <input id="zdukh"></input>
      3. <b id="zdukh"><bdo id="zdukh"></bdo></b>
          <b id="zdukh"><bdo id="zdukh"></bdo></b>
        1. <i id="zdukh"><bdo id="zdukh"></bdo></i>

          <wbr id="zdukh"><table id="zdukh"></table></wbr>

          1. <input id="zdukh"></input>
            <wbr id="zdukh"><ins id="zdukh"></ins></wbr>
            <sub id="zdukh"></sub>
            长春市| 曲沃县| 家居| 通城县| 台东县| 保德县| 乾安县| 右玉县| 札达县| 大埔县| 临夏县| 措勤县| 团风县| 方正县| 盐城市| 辰溪县| 灵川县| 马龙县| 博兴县| 怀柔区| 南江县| 九寨沟县| 长汀县| 赞皇县| 华安县| 永兴县| 泸定县| 新疆| 青神县| 昭苏县| 台南县| 遂昌县| 平顶山市| 顺义区| 安塞县| 崇左市| 灯塔市| 大渡口区| 静安区| 郧西县| 竹北市| http://444 http://444 http://444