時間:2023-03-10 14:46:36
導語:在計算機審計論文的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能。
由于企業每年的審計一般是在會計年度結束后的幾個月才進行的。在這段時間內,審計小組需要檢查所有的會計記錄。故而,需要對計算機數據保留時間做嚴格要求。一般而言,采用的新型計算機會計信息系統至少要將數據保留到每年的審計結束。
二、計算機會計信息工作審計的具體步驟
(一)對企業內部控制的初步審計
計算機會計信息系統比傳統的手工會計信息系統復雜很多,其控制過程從對人的控制擴展到對計算機和人的控制。計算機的處理過程具有集中性、連續性,隨著計算機的數據存儲載體變化以及共享程度的提高,會計中財務賬簿控制系統漸漸失去作用。這種情況下必須要做好對審計內部控制的加強。而企業內部控制的初步審計就是針對這種情況產生的。企業內部控制的初步審計就是審計人員初步熟悉電算化會計系統的業務流程以及企業內部控制的基本結構。從原始的數據憑證到最終的各種報表的輸出,整個過程現在審計前有大致的了解。一般來說,審計人員可以與企業內部的有關人員座談、查閱資料或者實地觀察等來跟蹤業務處理方法,從而了解企業審計單位信息的內部控制方式有哪些,從而有利于今后審計工作的順利開展。
(二)對內部執行情況進行測試
完成了企業內部控制的初步審計之后,接下來就是對內部執行情況進行測試。對于一個健全的計算機會計信息系統而言,即便具有健全的內部控制機制,在實際的業務處理過程中也不一定能夠被有效執行,因而必須對其內部執行情況進行測試。檢查這些必要的控制制度是否在執行或者由哪個工作人員執行以及使用哪種方法執行。通過了解以上執行情況,從而把握其系統的可靠性、完備性以及可依賴程度,最終做出綜合評價。同時,審計人員應該采取相應的審查文檔和有關的企業工作人員進行面對面的交流,從而更好的把握系統的流程,確定實際情況與規章制度的要求差距在哪里,并確定相應的解決方案。
(三)對內部控制情況進行評價
通過對內部控制執行情況進行有效的測試之后,進而需要對內部控制情況做出詳細的評價。評價過程遵循客觀、公平、嚴格的準測。一般而言,主要從以下三個方面進行把握。第一,評價初步的審查結果,評價被審計的計算機會計信息系統中有哪些是比較滿意的工作,哪些工作略顯不足。第二,評價內部控制情況符合測試的案例,其具體的符合程度是多少。是否真正能夠按照其要求發揮出應有的作用。第三,上述的兩種情況,其可靠性有多強,是否能夠真正的為計算機會計信息審計工作服務。
三、計算機會計信息工作審計的現狀及改進措施
(一)當前企業計算機會計信息工作審計的現狀
當前我國多數企業計算機會計信息工作的審計有一定的不足之處。首先,數據的保密性和安全性較差。這主要體現在目前多數企業的計算機會計信息對各種分散的交易數據常常會收集起來,放置于計算機的中央存儲器中進行存儲。這種統一的存儲方式加大了數據丟失和泄露的風險。有時候由于黑客攻擊等計算機遭受病毒入侵,造成了數據的泄露或者損壞,缺乏相應的安全性保護機制。其次,對于計算機會計信息工作的監督和管理力度不大。雖然現在計算機會計信息工作有相應的規章制度,但是很多時候僅僅是一種形式,而不能夠真正的按照規章制度來進行。這歸根結底是因為對其監控和管理的力度不大造成。最后,當前我國會計從業人員的信息化素質普遍不高。我國的許多會計從業人員對于計算機的熟練程度不夠,在進行操作時實際能力更差。有些企業的相關人員對于企業的財務管理系統沒法充分的掌握和理解,一旦發生風險也不知如何控制,因而極大的增加了計算機會計信息工作的難度。
(二)改進措施
針對以上這種情況,首先要做的是充分發揮審計功能,從而有效降低企業的內部控制風險。一般說來,現階段使用的內部審計方式主要有對會計軟件進行審計、對會計數據文件進行設計、對會計信息系統進行事前、事中和事后的設計等。其次,需要企業建立和完善計算機會計信息系統的操作規章制度。當前條件下,開展會計工作不能再如以前那種墨守陳規、沒有變通的會計工作,而應當跟得上時代的步伐,努力適應新的經濟形勢,發展更加適用于企業本身的操作流程。與此同時,還需要從長遠的發展看待會計工作的進行,將操作的規章作為具體的指導方針,從根本上認識和解決計算機會計信息工作審計,為會計工作的順利開展做出一定的貢獻。最后,努力提高會計從業人員的專業素養和綜合素質。從嚴要求會計從業人員,要求其補充自身的會計知識和現代會計信息系統知識,熟練操作和使用計算機。只有真正加強了會計從業人員的專業素養和綜合素質,才能真正提高其信息處理水平,才能夠保證現代會計信息化系統的順利進行。
四、結論
在電算化會計信息系統中,原先審計所必須審查的大量書面資料都存儲在磁性介質中,數據處理的全過程在計算機內運行,所需的審計線索除少數部分打印出來以外,絕大部分是審計人員不能直接看見的。雖然,管理部門從管理的角度出發,仍然保留一部分肉眼可見的審計線索,但這些有限的審計線索,無論在形式上還是在內容上都和手工系統情況下有很大不同。另外,電算化會計信息系統中的審計線索極易被銷毀或修改,但又無明顯痕跡,使審計發現錯誤的機會減少,難度增大。
2、審計內容、范圍的廣泛性
在對電算化會計信息系統的審計中,除了手工審計的內容外,還必須兼顧系統的開發和運行兩個方面,包括系統開發各階段的審查、系統應用程序的審查,如審查系統應用程序的處理功能是否符合會計制度和財經法紀的規定、能否正確完成各項業務的處理、程序控制是否恰當有效等。另外,除對電算化會計信息系統
進行事后審計、監督其合法性和正確性外,還提倡在系統的設計開發階段,審計人員要對系統的開發進行事前和事中審計。審計內容、范圍的廣泛性要求審計人員具備相應的知識和技能,而現有很多審計人員并不具備,計算機審計風險也不可避免。
3、內部控制的巨大局限性
現代審計的一大特征就是以測試被審單位的內容控制為基礎的抽樣審計,內部控制制度的恰當和否直接影響會計信息的真實性和準確性。在手工會計系統中,內部控制主要從兩個方面實施摘要:一是從組織形式上按財務部門經濟業務的性質分為幾個不同的職能組,并且各職能組的人員只負責某一特定的業務領域,也就是對工作人員進行適當的職責分離,各職能組之間互相牽制,不易出現錯誤和舞弊;二是在會計帳務處理組織程序上,除了要保證憑證、帳簿、報表按一定程序分由不同人員記錄、編制外,還要做到帳帳核對,帳證核對、帳實核對、帳表核對,并保證其一致性。從而在很大程度上保證經濟業務處理的合理性、合法性。但在電算化會計信息系統中,由于處理工具、信息載體、會計組織都發生了根本的變化,手工會計系統中原有的很多控制辦法都已失去意義。電算化會計和手工會計相比,內部控制環境更復雜,甚至有些環境因素超過制度的有效控制能力;建立嚴格的內部控制的成本要高得多;對內部控制的評價更為困難。內部控制的更大局限性使計算機舞弊有機可乘,增加了計算機審計風險。4、會計軟件的大理想性
我國會計軟件從無到有、從單一業務處理到集成業務處理、從會計核算走向會計管理,確實取得了巨大成就但也有不足,非凡是針對審計,表現在下面二個方面摘要:一是很多會計軟件不具備雙向查詢功能。在對電算化會計信息系統的審計中,會計軟件應答應審計人員按照憑證一明細帳(日記帳)一總帳一報表的順序進行雙向查詢,同時還應答應分別對日記帳、明細帳、總帳的期初余額、本期發生額和期末余額進行雙向查詢。但是目前我國絕大多數的會計軟件的查詢設計都是單向的,可以實現如由總帳查詢明細帳,由明細帳查詢憑證等過程,但當需要反問查詢時往往很困難。二是會計軟件不預留審計測試通道。在審計過程中,審計人員為證實業務處理的實際過程。方法,往往需要進行測試,既虛擬一筆業務輸入會計軟件,檢查其結果和預期結果是否相符。這種方法可以有效地驗證核算過程是否和設計一致。但是假如審計人員不能及時消除這些測試的影響,就可能導致會計軟件系統數據的混亂。恰當的解決方法是在軟件設計時為以后的審計測試留下通道,既方便審計人員的隨時測試,也不會造成對整個系統數據的影響。但遺憾的是,幾乎所有的會計軟件都沒為審計測試預留通道。會計軟件的欠理想性加大了計算機審計風險。
5、審計取證的動態性
在很多大中型企業中,電算化會計信息系統天天都要結算成本和利潤,進行生產動態分析,以供管理人員進行決策參考。系統假如停止運行,會給企業帶來巨大的損失。因此,對電算化會計信息系統的審計,往往是在系統運行過程中動態取證。審計人員一方面要及時完成審計任務,另一方面又要不防礙和干擾被審系統的正常運行,這給審計工作帶來了一定的難度,也增加了計算機審計風險。
6、審計技術的復雜性
關鍵詞:前提;審計內容;審計程序
一、會計電算化條件下,審計工作開展的前提(一)提高電腦應用水平和審計業務素質在會計電算化條件下,審計工作能否順利進行取決于審計人員的計算機技能、網絡知識和較系統的審計理論等多方面的綜合運用水平。在會計電算化條件下,不懂得電腦的審計人員因審計數據的異化就無法有效地進行審計;不懂得電算化會計系統的特點和風險就不能識別和審查其內部控制;不懂得使用計算機,就無法對計算機內存儲的會計資料進行審查或利用計算機進行審計。這就要求審計人員不僅要具備會計、審計理論和會計實務知識,而且要掌握計算機和電算化會計方面的知識和技能。由于會計電算化在不斷向前發展,審計人員必須經常更新知識結構,以適應新形式下新技論文術應用的企業審計工作的需要。(二)引進審計電腦輔助軟件在會計電算化條件下,會計資料的歸集和反映與手工處理系統時發生了巨大變化,使得傳統的內部安全控制方式有所減弱,這就要求引進電腦輔助軟件的應用,完善企業內部控制職能。審計電腦輔助系統較之于會計電算化系統,二者既有聯系又相互獨立。會計電算化系統主要是為企業內部的管理人員提供財務信息,審計電腦輔助系統主要是輔助審計人員完管理會計軟件商品化通用化比較困難,只能有針對性地開發研究。但是,管理會計電算化是以財務會計電算化為基礎的,因為它們的數據同源,財務會計電算化能為管理會計電算化提供所需的財會信息。因此,企業應在實現財務會計電算化的基礎上不失時機地推進管理會計電算化,解決管理會計手工操作難的問題,這樣才能促進管理會計在企業中的推廣應用,真正實現會計的核算職能、管理職能和控制職能。同時,也為企業管理信息系統的開發奠定扎實的基礎。(五)在發展電算化會計的同時更要重視對電算化審計的研究,使二者相互配合相互促進,共同發展特別在網絡時代,網絡技術的應用給電算化審計的發展帶來了契機與挑戰,網絡時代審計的創新遠遠不應局限于審計對象、審計技術、審計業務上,應是整個審計理論框架與實務的全方位的創新。網絡時代號召審計理論和實務工作者,在互聯網連接起來的全球化經濟中,掌握現代化信息技術(包括計算機技術、通信技術、信息處理技術),對網絡時代的審計創新進行全方位的開拓,以保證與電算化會計的發展同步。(六)隨著管理會計電算化的發展,財務軟件智能化必將提到議事日程上來利用決策支持系統,在系統中除了設計有數據庫外,還有方法庫,其中預先放置了各種決策方法,可以快速運用這些決策方法處理數據庫中的數據,得出在不同決策方法下的系統運行結果,從而為用戶得出決策提供參考信息。從理論上未說,如果方法庫中放置了足夠多的方法,那么,系統便能提供足夠多的決策幫助。(七)加強網絡環境下電算系統的管理設立防火墻、電子密鑰,采用網上公證,分高監控與操作等辦法來實現系統內部的有效牽制。
三、會計電算化的發展要順應信息時代潮流(一)會計電算化向網絡化的進一步發展會計軟件的網絡化目前大多限于局域網,信息傳輸的范圍小,制約電算化會計效能的發揮,未來的電算化會計將向著廣域網的方向發展,信息傳輸范圍大大增加,使會計數據的異地共享成為可能。會計電算網絡化將從原來企業內部的會計信息共享,上、下級單位之間的財務信息的傳遞轉變到與外部相關機構的信息共享、與全世界進行信息交流。網絡會計環境是一個集供應商、生產商、經銷商、用戶和銀行等機構為一體的網絡體系。(二)會計電算的發展要適應電于商務發展的要求電子商務指利用計算機網絡和各類電子工具進行的一切商業貿易活動。電于商務是21世紀貿易方式發展的方向:企業經濟活動中的業務數據能夠自主地進行雙向交流,企業建設自己的電子賬簿和電于銀行賬戶劃撥資金,企業采購、發貨可以通過網絡直接進行確認。它正以其低成本、高效率等特征吸引著大多數企業。電算化會計就是要充分利用計算機及網絡技術,從不同的來源和渠道收集企業經營活動中的會計數據、會計資料,按照經濟法規和會計制度的要求予以存儲、加工,并生成會計信息,向企業內外部各方面傳遞,以幫助信息使用者改進經營管理,加強財務決策和有效控制經濟活動。在網絡時代,電算化會計在實現其基本目標的基礎上將順應電子商務的發展。(三)會計電算化新領域———在線財務報告在線報告是指企業在國際互聯網上設置站點,向信息使用者提供定期更新的財務報告。其特點是利用國際互聯網作為傳播媒體,將網絡頁面數據采用“超文本”的形式,增強了會計信息的時效性、交互性。在線報告的出現改變了傳統的財務報告順序結構,它的各個組成部分之間建立了超鏈接,人們可以借助相關鏈接主動而迅速地搜尋所需信息,企業還可根據不同用戶的要求提供更加個性化的財務報告。在線報告改變了信息披露方式。由于信息鏈的建立并不局限于財務信息本身,其范圍可以覆蓋所有與企業經營有關的方面,提高了不同信息處理部門之間信息資源共享的程度。在線報告在美國應用較為廣泛,從其現有的在線報告來看,它們往往不是作為一個獨立的部分出現在互聯網上,而是融合于整個企業的經營情況介紹之中,與各種營銷統計數據及其他非數量化信息一起向關心企業的公眾展示企業的綜合經營情況,有利于準確地把握企業的財務脈搏以及業務活動。總之,在線報告實現了會計信息的實時追蹤,便于財務報告的需求者及時掌握相關企業的第一手資料,為本企業的理性決策提供了方便,實現了企業的在線管理,并利于會計信息系統的社會監督和政府監督。二、會計電算化條件下的審計內容電算化會計系統與手工會計系統不同,它是由會計數據體系、計算機硬件和軟件以及系統工作和維護人員組成,所以電算化會計的審計內容與手工會計系統也存在著較大的差別,電算化會計審計的內容主要包括以下內容:(一)對會計電算化系統的內部控制的審計一方面是企業的內部控制能在多大程度上確保會計電算化系統中會計記錄的正確性和可靠性,如輸入、輸出的授權控制,業務處理的審核等;另一方面是內部控制的有效執行能在多大程度上保護資產的完整性。通過以上兩方面的評價,可以判斷企業內部控制系統能在何種程度上防止或發現會計報表中的錯誤及經營過程的舞弊。(二)對會計電算化系統程序的審計會計電算化系統的核心就是會計軟件,程序質量的高低直接決定了會計電算化系統整體水平的高低,在這部分里主要審計會計軟件程序對數據進行處理和控制的及時性、正確性和可靠性,以及程序的糾錯能力和容錯能力。會計軟件程序的審計可采用通過計算機審計的方法及利用計算機輔助審計中的數據轉換功能的方法來完成。(三)對會計電算化系統的處理對象即會計數據的審計會計數據處理的真實性、正確性、可靠性,直接影響到會計信息的真實性、正確性和可靠性,所以這一部分的審計是至關重要的,審計人員可采用抽查原始憑證與機內憑證相對比,抽查打印日記賬和機內日記賬相核對等方法,同時也可采用利用計算機輔助審計軟件的功能來完成審計,從而降低審計風險。三、會計電算化條件下的審計程序按照《審計法》的規定,一般審計程序可分為四個階段,即準備階段、實施階段、審計結論和執行階段、異議和復審階段。電算化會計審計結合自身的特殊要求,運用本身特有的方法也可以分為這四個階段。(一)準備階段在此階段主要是初步調查被審計單位會計電算化系統的基本狀況并擬定科學合理的計劃,一般包括以下主要工作。1.調查了解被審計單位電算化系統的基本情況,如電算化系統的硬件配置、系統軟件的選用、應用軟件的范圍、網絡結構、系統的管理結構和職能分工、文檔資料等。2.與被審計單位簽訂審計業務約定書,明確彼此的責任、權利和義務。3.初步評價被審計單位的內部控制制度,以便確定符合性測試的范圍和重點。4.確定審計重要性,確定審計范圍。5.分析審計風險。6.制定審計計劃。在審計計劃中除了對時間、人員、工作步驟及任務分配等方面作出安排以外,還要合理確定符合性測試、實質性測試的時間和范圍,以及測試時的審計方法和測試數據。(二)實施階段實施階段是審計工作的核心,也是電算化審計的核心。主要工作是根據準備階段確定的范圍、要點、步驟、方法,進行取證、評價,綜合審計證據,借以形成審計結論,發表審計意見。實施階段的主要工作應包括以下兩個方面的內容。1.符合性測試。進行符合性測試應以系統安全可靠性的檢查結果為前提。如果系統安全可靠性非常差,不值得審計人員信賴,則應當根據實際情況決定是否取消內控制度的符合性測試,而直接進行實質性測試并加大實質性測試的樣本量。在會計電算化系統的符合性測試項目中,主要內容應該是確認輸入資料是否正確完整,計算機處理過程是否符合要求。如果系統安全可靠性比較高,則應對該系統給予較高的信賴;在實質性測試時,就可以相應地減少實質性測試的樣本量。2.實質性測試。實質性測試應該是對被審計單位會計電算化系統的程序、數據、文件進行測試,并根據測試結果進行評價和鑒定。進行實質性測試須依賴于符合性測試的結果,如果符合性測試結果得出的審計風險偏高,而且委托人有利用會計電算化系統進行舞弊的動機與可能,并且委托人又不能提供完整的會計文字資料,此時審計人員應考慮對會計報表發表保留意見或拒絕表示意見的審計報告。進行實質性測試時,可考慮采用通過計算機和利用計算機進行審計的方法,具體包括:(1)“測試數據法”,就是將測試數據或模擬數據分別由審計人員進行手工核算和被審計單位電算化系統進行處理,比較處理結果,作出評價;(2)“受控處理法”,就是選擇被審計單位一定時期(最好是12月份)實際業務的數據分別由審計師和會計電算化系統同時處理,比較結果,作出評價。3.利用輔助審計軟件直接審查會計電算化系統的數據文件。審計人員可利用通用或專用審計軟件直接在會計電算化系統下進行數據轉換,數據查詢,抽樣審計,查賬,賬務分析等測試,得出結論,作出評價。(三)審計結論和執行階段審計人員對會計電算化系統進行符合性測試和實質性測試后,整理審計工作底稿,編制審計報告時,除對被審單位會計報表的合理性、公允性、一貫性發表意見,作出審計結論外,還要對被審單位的會計電算化系統的處理功能和內部控制進行評價,并提出改進意見。審計報告完成后,先要征求被審單位的意見,并報送審計機關和有關部門。審計報告一經審定,所作的審計結論和決定需通知并監督被審單位執行。(四)異議和復審階段被審單位對審計結論和決定若有異議,可提出復審要求,審計部門可組織復審并作出復審結論和決定。特別是被審單位會計電算化系統有了新的改進時,還需組織后續審計。總的來看,隨著會計電算化的快速發展,同樣要加快審計電腦輔助軟件的引用和應用,努力提高審計人員的會計電算化及審計電腦輔助軟件的應用水平。及時地、準確地、全面地對企業的財務信息和業務信息作出審核和評價,監督企業管理和經營活動,使其得以良性運行和發展。
【參考文獻】
[1]張朝暉.電算化環境下會計人員的困惑和思考[J].工業會計,2003,(5).
關鍵詞:工程結算;審計
1審前準備工作
竣工結算審計,是在承包商上報竣工結算基礎上進行的。在進行審計前,應考慮各項影響因素,做好充分準備工作。
(1)審查工程建筑各級批文,如可行性研究報告和批復,申請立項書和批復,設計、規劃、土地、計劃等部門審批,工程招投標過程和工程施工中文件往來。
(2)查看施工合同和協議。了解計算取費標準和調整取費標準的依據。
(3)查看竣工圖紙和竣工結算書和施工組織設計或施工方案。
2審計內容
2.1審核竣工結算編制依據
編制依據主要包括:工程竣工報告、竣工圖及竣工驗收單;工程施工合同或施工協議書;施工圖預算或招標投標工程的合同標價;設計交底及圖紙會審記錄資料;設計變更通知單及現場施工變更記錄;經建設單位簽證認可的施工技術組織措施;預算外各種施工簽證或施工記錄;合同中規定的定額,材料預算價格,構件、成品價格;國家或地區新頒發的有關規定。審計時要審核編制依據是否符合國家有關規定,資料是否齊全,手續是否完備,對遺留問題處理是否合規。
2.2審核工程量
(1)工程量是決定工程造價的主要因素,核定施工工程量是工程竣工結算審計的關鍵。審計的方法可以根據施工單位編制的竣工結算中的工程量計算表,對照圖紙尺寸進行計算來審核,也可以依據圖紙重新編制工程量計算表進行審計。一是要重點審核投資比例較大的分項工程,如基礎工程、混凝土鋼筋混凝土工程、鋼結構等。二是要重點審核容易混淆或出漏洞的項目。如土石方分部中的基礎土方,清單計價中按基礎詳圖的界面面積乘以對應長度計算,不考慮放坡、工作面。三是要重點審核容易重復列項的項目。四是重點審核容易重復計算的項目。對于無圖紙的項目要深入現場核實,必要時可采用現場丈量實測的方法。
(2)審核材料用量及價差。材料用量審核,主要是審核鋼材、水泥等主要材料的消耗數量是否準確,列入直接費的材料是否符合預算價格。材料代用和變更是否有簽證,材料總價是否符合價差的規定,數量、實際價格、差價計算是否準確,并應在審核工程項目材料用量的基礎上,依據預算定額統一基價的取費價格,對照材料耗用時的實際市場價格,審核退補價差金額的真實性。
(3)審查隱蔽驗收記錄。驗收的主要內容是否符合設計及質量要求,其中設計要求中包含了工程造價的成份達到或符合設計要求,也就達到或符合設計要求的造價。因此,作好隱蔽工程驗收記錄是進行工程結算的前提。目前,在很多建設項目中隱蔽工程沒有驗收記錄,到竣工結算時,施工企業才找有關人員后補記錄,然后列入結算。有的甚至沒有發生也列入結算,這種事后補辦的隱蔽工程驗收記錄,不僅存在嚴重質量隱患,而且使工程造價提高,并且存在嚴重腐敗現象,因此,在審宣隱蔽工程的價款時,一定要嚴格審查驗收記錄手續的完整性、合法性。驗收記錄上除了監理工程師及有關人員確認外,還要加蓋建設單位公章并注明記錄日期,防止事后補辦記錄或虛假記錄的發生,為竣工結算減少糾紛掃平道路,有效地控制工程造價。審查設計變更簽證。設計變更應由原設計單位出具設計變更通知單和修改圖紙,設計、校審人員簽字并加蓋公章,并經建設單位、監理工程師審查同意。重大的設計變更應經原審批部門審批,否則不應列入結算。在審查設計變更時,除了有完整的變更手續外,還要注意工程量的計算,對計算有誤的工程量進行調整,對不符合變更手續要求的不能列入結算。
(4)審查工程定額的套用。主要審查工程所套用定額是否與工程應執行的定額標準相符,工程預算所列各分項工程預算定額與設計文件是否相符,工程名稱、規格。計算單位是否一致。正確把握預算定額套用,避免高套、錯套和提高工程項目定額直接費等問題。
(5)審核工程類別。對施工單位的資質和工程類別進行審核,是保證工程取費合理的前提,確定工程類別,應按照國家規定的規范認真核對。
(7)審查各項費用的計取。建筑安裝工程取費標準,應按合同要求或項目建設期間與計價定額配套使用的建安工程費用定額及有關規定。在審查時,應審查各項費率、價格指數或換算系數是否正確,價差調整計算是否符合要求,并在核實費用計算程序時要注意以下幾點:①各項費用計取基數,如安裝工程間接費等是以人工費為基數,這個人工費是定額人工費與人工合調整部分之和。②取費標準的確定與地區分類工程類別是否相符。③取費定額是否與采用的預算定額相配套。④按規定有些簽證應放在獨立費用中,是否放在定額直接出中取的費計算。⑤有無不該計取的費用。⑥結算中是否按照國家和地方有關調整結算文件規定計取費用。⑦費用計列是否有漏項。⑧材料正負差調整是否全面、準確。⑨施工企業資質等級取費項目有無掛靠高套現象。⑩有無隨意調整人工費單價。
(8)審查附屬工程。在審核竣工結算時,對列入建安主體的水、電、暖與室外配套的附屬工程,應分別審核,防止施工費用的混淆、重復計算。
(9)防止各種計算誤差。工程竣工結等是一項非常細致的工作,由于結算的子項目多,工作量大,內容繁雜,不可避免地存在著這樣或那樣的計算誤差,但很多誤差都是多算。因此,必須對結算中的每一項進行認真核算,做到計等橫平豎直。防止因計算誤差導致工程價款多計或少計。搞好竣工結算審查工作,控制工程造價,不僅需要審查人員具有較高的業務素質和豐富的審查經驗,還需要具有良好的職業道德和較高思想覺悟,同時也需要建設單位、監理工程師及施工單位等方面人員的積極配合。出據的資料要真實可靠,只有這樣,才能使工程竣工結算工作得以順利進行,減少雙方糾紛;才能全面真實地反映建設項目合理的工程造價,維護建設單位和施工單位各自的經濟利益,使目前我國的建筑市場更加規范有序地運行。2.3審核施工企業資質
嚴格審核施工企業的資質,對掛靠、無資質等級及無取費證書的施工企業,應降低綜合單價或審計確定綜合單價及造價。
2.4審核工程合同
工程合同審計是投資審計的一項重要內容,必須仔細查閱相關文件資料是否齊全、合法合規。
當雙方對合同文件有異議時,國內合同按國內合同文件順序解釋,國際工程,按照FIDIC合同文件順序解釋,特別是按FIDIC條款訂合同,索賠費用應重點審計。
3審計方法
審查結算方法有多種,在審計前,通過收集資料,經過論證,采取合理審查方法,可達到事半功倍的效果。
(1)逐項審查法,也稱全面審查法。優點是全面、細致,審計質量高,效果好。缺點是工作量大,時間長,國內單價合同和國際合同條件下工程可采用此法。
(2)標準預算審查法。目前,因我國各地區采用標準不相同,這種方法使用范圍較少,現在,在發達地區,利用這種方法,又快又準,是一項有效的方法。
(3)重點審查法。這種方法,主要適應于國內總價合同,審計重點放在變更和索賠上,特別是重點突出,審計時間短,效果好。同時,還可以利用對比審查法,“篩選”審查法,手冊審查法等手段做為補充,以保證審計的準確性。
4審計步驟
(1)做好審計前準備工作。①熟悉竣工圖、施工圖和各種合同文件;②了解審計范圍和采用標準;③明確采用單價和調整原則。
(2)選擇合適審計方法,按相應內容計算。
由于工程規模不一,合同訂立時間不一,施工企業不同,應對不同情況,采用不同審計方法進行審計。
[關鍵詞]高校;基建工程;決算審計
一、高校基建工程決算審計的審計環境
(一)高校基建工程管理模式陳舊。我國多數高校基本建設采用的是原蘇聯模式,自行成立基建部門對項目進行管理。由基建部門委托設計單位設計、委托施工單位施工,自己進行項目有關各方面的協調、監督和管理。但是,由于每個工程建設時間、地點、條件等的不同,高校基建工程具有一定的獨特性。例如,高校的基建處由于工程項目數量或種類等因素,往往經驗不足,容易造成基建資金的浪費和損失。
(二)制度建設不完善,容易給學校造成損失。高校基建工程項目多為非經營性項目,主要靠國家投入資金,資金相對來說有保障,導致高校對基建工程管理制度建設重視不夠。例如部分高校基建工程的內部控制制度不健全,缺乏強有力的監督和獎懲措施。在這些高校里,由于各種原因造成的工作失誤,有關責任人員不承擔任何責任;節約投資也沒有獎勵,造成有關人員對成本控制積極性不高。因而,制度上的不完善,容易造成工作人員責任心不強或積極性不高。
(三)高校審計部門權利受限。從目前的實際情況看,我國內部審計獨立性并未得到充分發揮,“內部人控制”嚴重。我國的內審制度規定在進行內部審計時,若發現有重大問題,可向被審計單位的上級機構反映。顯然,這種過分強調內部審計接受兩個利益格局不同的階層領導或稱“雙向領導”,是為利益格局不一致的經濟主體服務,實際上超越了內部審計固有的職域,其結果是把內部審計推向了兩難的境地。同樣的情況也出現在高校審計部門,許多高校審計部門由于受到主管領導的控制,權利受到限制,失去或難以保持其應有的獨立性和客觀性。
二、高校基建工程決算審計中存在的問題
(一)基建工程中存在的問題。1.多計、重計已完工程量。有些基建工程由于工期長或由兩個施工單位共同承建,就存在混淆工程界限、交點工程重復計算的現象。有的已完工程實物量與施工圖計算工程量不相符;有的由于設計變更應該調整減少的工程量而在編制決算時不做調整,使工程量多計算等。2.高套定額標準,提高工程造價。有的工程高套其他地區定額、其他年度工程定額等。3.提高取費及資質級別。有的工程該取四類的自行取三類,該取三類的自行取二類,自行提高取類標準而提高工程造價;有的不按自身企業資質級別取費,個體的套集體,集體的套國營,隨意提高取費標準,使工程造價提高。4.虛報材料價格或費用。有的工程用料以次充好,抬高價格;有的工程在建造過程中沒有使用大型機械和特殊機械而計提費用;有的工程實際沒有發生材料二次搬運而自設自取;有的工程不需要搶時間、搶進度,而故意夜間施工增加費用等。5.隱蔽工程偷工減料。有的工程在決算中通過故意虛增基礎土方的開挖量、石方混凝土的充填量、墊層的厚度等方式來增加費用。
(二)重視事后控制,忽視事前和事中控制。長期以來高校基建工程審計已形成事后控制的傳統習慣,通過對基建工程完工后提供的各種資料來進行工程決算,但往往是“木已成舟”,已經造成的工程超預算或者工程差錯的現象無法挽救,這是忽視事前和事中控制的結果。對于這種問題,一方面可能是承包方在招投標環節弄虛作假,虛高要價;另一方面可能是少數部門和個人為謀私利,故意在工程進行中變更增加項目。如果有了對高校基建工程的事前和事中控制,則可減少這種現象的發生[1]。
(三)項目變更存在漏洞。由于高校基建工程有許多的自身特點,工程價值量大,特殊要求多,工程變更也就很多,施工合同普遍存在著內容不完善、施工單位算計建設單位的問題。有的高校利用工程變更,通過不正當手段,使工程造價大幅度提高;有的建設單位與施工單位關系密切,不應發給的簽證也給簽;有的施工單位利用建設單位基建人員不懂基建管理和工程管理,提出一些不合理的變更簽證;有的監理單位的監理工程師不是站在公正的立場上,而是按施工單位要求隨意簽發簽證。這些不合理的工程變更會給不法分子造成可乘之機。
(四)工程監理不完善。目前工程監理存在的主要問題有:一是有些監理機構和人員素質不高,對施工質量不負責任,而是按照施工單位的要求隨意簽發變更簽證,增加投資;二是對監理機構和人員的資質評審和監督不嚴格,賦予監理單位的權力也不夠;三是有些高校沒有實行工程監理制度。工程監理的不完善影響了高校基建工程決算審計,增大了審計難度。
三、加強高校基建工程決算審計工作的對策措施
(一)加強高校基建工程內審工作建設。一方面加強基建審計制度建設,各高校應按照《審計機關國家建設項目審計準則》和本地建設工程造價管理辦法的要求,結合本單位實際,建立健全規章制度,例如:審計風險約束機制、審計項目質量責任制、審計工作質量考評體系和獎懲制度。使審計可以做到有章可循,嚴格按照規章制度辦事,減少和避免各種錯誤的發生[2]。另一方面加強基建審計隊伍建設,各高校應按照《審計法》、《審計署關于內部審計工作的規定》等法規的要求,建立健全內審機構,配備專業技術人員。基建工程預決算是一項專業性很強的工作,承擔基建審計的人員不僅應具備會計、審計和基建預決算的知識,還要掌握經濟、法律等多種專業知識,為此要不斷加強基建審計人員的培訓,積極參與基建審計的經驗交流和理論研究,為審計人員整體水平的提高提供平臺。同時,要注重提高審計人員的計算機的運用能力,實現計算機輔助審計,從而提高審計效率。
(二)找準參與工程造價監督的切入點和掌握好參與度。審計部門應把握住自身在基建活動中的角色,界定自己的活動范圍,保持獨立性。為發揮內審的管理功能,審計人員必須找準參與工程造價監督的切入點和掌握好參與的度,這個問題處理好了能使審計工作順利高效地進行,處理不好會失去審計工作的獨立性。因而應做到:與管理部門合作,主要對單位年度基本建設計劃、建筑工程項目的可行性研究進行審查,可行性研究工作對整個基建項目的效益、質量有長遠的影響,是內審部門把關的重點;與單位財會部門合作,主要對工程各項前期費用、工程建設中的工程預付款撥付情況及工程竣工后的工程款結算情況、資產入賬情況進行審查;與單位基建部門合作,主要對大中型基建工程的設計變更、工程變更的合理性、真實性及有關手續的完備性進行審查,必要時會同基建部門進行現場勘查核實;與工程驗收部門的合作,主要監督項目的驗收是否合規,驗收工作是否認真、嚴格,以杜絕驗收工作流于形式、弄虛作假。
(三)重點加強對工程變更簽證的控制。對工程變更簽證的控制直接影響建筑工程成本的高低。對變更簽證把關緊一些,工程成本可能低一些,反之,建筑工程成本就可能偏高。在施工過程中,由于設計不是盡善盡美,或是甲方原因,局部工程內容要求進行變更。按常規,大的變更內容要經過設計部門出具變更通知書,小的變更內容要經過甲方代表和項目監理簽字認可。每一個工程都存在著變更問題,三邊工程(邊設計、邊施工、邊修改)的變更就更多了。因此必須注意審查變更簽證是否符合有關規定、手續是否齊全及內容是否清楚。
(四)實行全過程跟蹤審計。全過程跟蹤審計是由事后審計向事前、事中審計的跨越,是現代審計的發展方向,它有利于基建工程的造價控制,也為基建工程的決算審計打好基礎。跟蹤審計包括從工程招投標到工程完工的各個環節。在施工過程中進行跟蹤審計,對影響工程造價的每個環節,進行實地勘察,為審計結算工作提供確鑿資料,而且工程決算審計的質量與了解現場的施工條件、施工方法、施工機械有關的變更簽證項目等有密切的聯系。而要如實地知道這些情況,不僅要依靠提供的工程資料,而且要深入施工現場。目前,甲乙雙方之所以在工程結算時,經常發生爭議,很多方面就是因為沒有進行跟蹤審計,收集不到準確情況,而提供的資料又常被認為不實。只有實行跟蹤審計,充分掌握了第一手資料,才能準確掌握工程過程中的各種信息,減少與施工單位的矛盾和糾紛,加快決算審計速度,提高經濟效益;才能從源頭上堵塞漏洞,減少工程的高估、冒算,防患于未然;才能完善基建項目體制,構建全過程立體式項目控制機制;才能使原來現場亂簽證問題和資料收集不及時、不齊備問題得到徹底根治[3]。
(五)加強對監理單位控制。高校可以委托監理單位從可行性研究、設計、施工準備到施工、中間驗收和竣工驗收的全過程監理,也可以只將其中部分階段和步驟委托給監理單位。高校必須做好充分調查研究,了解擬參加招標競爭的監理單位的基本情況,選擇合理的監理單位和監理工程師。在簽訂監理合同時,必須明確監理單位的權利和義務,把決算審減與監理公司的經濟利益掛鉤,并適當增加獎懲條款,促使監理單位通過科學管理,保證對工程建設投資、進度、安全、質量四大系統實行全過程的控制,正確處理投資、進度、安全、質量之間關系。
(六)確保提高高校基建工程的審計質量。對于高校基建工程的審計質量問題,應由上級主管部門負責安排審計的,應安排質量好、信譽高的社會審計機構,并與之簽訂協議,要求該社會審計機構做到審計質量高、審計費用低;對學校自行管理的審計項目的審計質量,上級主管部門應進行定期或不定期檢查。[
參考文獻
[1]李忠渝.高校基本建設內部控制存在的問題及對策研究[J].西南農業大學學報(社會科學版),2007(5):154-157.
(一)審計存儲云業務流程
審計存儲云是審計私有云的第一大內容。現在,大部分被審計單位都在實施信息化改造。因此,以數據為具體表現形式的審計信息無論從規模上還是質量上都在不斷增強,數據總量呈現出翻倍增長的趨勢。因此,審計技術及方法如何適應信息化及數據化的需要,使得大量審計數據得以有效規劃、采集、存儲就變得尤其重要。審計存儲云就是一種能夠有效解決國家審計署以及省、市、縣審計局數據存儲問題的云計算平臺。具體而言,各基層審計單位可將自有的多項審計數據統一交由省級云計算平臺管理,并由省級云計算存儲平臺運營商負責管理,各省級云計算存儲平臺再統一將統計數據交由國家審計數據中心。為此,國家審計數據中心和省級審計數據中心就形成了審計存儲云。各基層審計單位無需投資或者以低成本的投資就能通過審計存儲云獲取更多的云計算存儲服務。
(二)審計存儲云模式的優勢
和以往的審計數據存儲方式相比,審計存儲云的成本更低,效率更高,具體表現在以下幾大方面:
1.審計存儲云使得大量數據得以安全有效存儲。傳統模式下的審計數據存儲往往采用單一一臺PC機或數據服務器的形式。服務器容量大小、數據操作人員的管理等都對存儲規模構成了制約。然而,審計存儲云的出現改變了以往的不利態勢。現在,基層審計局和相關工作人員無需為服務器的容量、安全性和成本擔憂,這些問題都被省級審計數據中心和國家審計數據中心等云端解決。云端將與審計工作相關的數據、法規政策文件、圖片、影像等統一管理,并適時更新,通過審計存儲云中的數據分析工具,將數據根據時間、地域和行業等多維度進行切片分析、整理,形成審計業務數據目錄,向審計人員提供審計數據服務,實現海量數據的安全、有效存儲和利用。
2.審計存儲云促使審計數據資源共享。傳統的數據存儲方式下,基層單位數據存儲各自為政,審計數據集中在單一的服務器里,無論是規模還是質量都受限較大,嚴重制約了審計數據的資源整合,使得審計工作效率大為降低,不利于審計工作的長期可持續發展。審計存儲云建立后,省級區域或全國性的審計數據全部集中到云端,數據存儲無論是在規模上還是質量上都得到大力優化,此外數據基礎設施性能也較以往大為提升。審計數據統一存儲、管理,審計數據資源可根據需要動態擴展和分配,避免了以往一些單位資源嚴重不足而一些單位資源大量閑置浪費的問題。
二、審計分析云在國家審計中的應用
(一)審計分析云業務流程
審計存儲云建立之后,海量的數據必須要求極強的數據分析能力,如果還是通過以往較為單一的模式進行數據分析,顯然已經不能滿足審計存儲云的要求。這就要求建立審計分析云。審計分析云的主要任務是為相關工作人員提供數據分析方面的服務。這些服務包括諸如常規性審計項目分析、臨時性審計分析等方面的服務。審計分析云的建立為審計工作人員帶來了極大的便利,具體而言,審計工作人員并不需要知曉相關技術方面的情況,只需提出審計分析要求,審計分析云就能及時有效地為工作人員提供數據模型、分析結果等等。審計分析云主要包括以下業務流程:首先,相關工作人員依據自身業務需求,向審計分析云提出數據分析申請。其次,審計分析云根據相關目錄指引向審計數據云提出數據分析要求。第三,審計數據云接收申請后,將數據云中已有的業務數據和基礎系統分發到審計分析云的一體機中。(見圖2)
(二)審計分析云的優勢
1.審計分析云可以開展大批量的數據分析業務,極大的提升審計效率。審計分析云建成以后,由以往的單機數據分析轉化為云計算下的海量數據分析,其效果無論在數量上還是在質量方面都比以往大大提升。與此同時,審計工作人員更加便捷,審計工作人員并不需要知曉相關技術方面的情況,只需提出審計分析要求,審計分析云就能及時有效地為工作人員提供數據模型、分析結果等等。
摘要:從系統的、整體的、動態的角度,參照國家對主機審計產品的技術要求和對部分主機審計軟件的了解,結合實際的終端信息安全管理需求,從體系架構、安全策略管理、審計主機范圍、主機行為監控、綜合審計及處理措施等方面提出主機審計系統的設計思想,達到對終端用戶的有效管理和控制。
關鍵詞:網絡;安全審計;主機審計;系統設計
1引言
隨著網絡與信息系統的廣泛使用,網絡與信息系統安全問題逐漸成為人們關注的焦點。
網與因特網之間一般采取了物理隔離的安全措施,在一定程度上保證了內部網絡的安全性。然而,網絡安全管理人員仍然會對所管理網絡的安全狀況感到擔憂,因為整個網絡安全的薄弱環節往往出現在終端用戶。網絡安全存在著“木桶”效應,單個用戶計算機的安全性不足時刻威脅著整個網絡的安全[1]。如何加強對終端用戶計算機的安全管理成為一個急待解決的問題。
本文從系統的、整體的、動態的角度,參照國家對安全審計產品的技術要求和對部分主機審計軟件的了解,結合實際的信息安全管理需求,討論主機審計系統的設計,達到對終端用戶的有效管理和控制。
2安全審計概念。
計算機網絡信息系統中信息的機密性、完整性、可控性、可用性和不可否認性,簡稱“五性”,安全審計是這“五性”的重要保障之一[2]。
凡是對于網絡信息系統的薄弱環節進行測試、評估和分析,以找到極佳途徑在最大限度保障安全的基礎上使得業務正常運行的一切行為和手段,都可以叫做安全審計[3]。
傳統的安全審計多為“日志記錄”,注重事后的審計,強調審計的威懾作用和安全事件的可核查性。隨著國家信息安全政策的改變,美國首先在信息保障技術框架(IATF)中提出在信息基礎設置中進行所謂“深層防御策略(Defense2in2DepthStrategy)”,對安全審計系統提出了參與主動保護和主動響應的要求[4]。這就是現代網絡安全審計的雛形,突破了以往“日志記錄”
等淺層次的安全審計概念,是全方位、分布式、多層次的強審計概念,符合信息保障技術框架提出的保護、檢測、反應和恢復(PDRR)動態過程的要求,在提高審計廣度和深度的基礎上,做到對信息的主動保護和主動響應。
3主機審計系統設計。
安全審計從技術上分為網絡審計、數據庫審計、主機審計、應用審計和綜合審計。主機審計就是獲取、記錄被審計主機的狀態信息和敏感操作,并從已有的主機系統審計記錄中提取信息,依據審計規則分析判斷是否有違規行為。
一般網絡系統的主機審計多采用傳統的審計,系統的主機審計應采用現代綜合審計,做到對信息的主動保護和主動響應。因此,網絡的主機審計在設計時就應該全方位進行考慮。
3.1體系架構。
主機審計系統由控制中心、受控端、管理端等三部分組成。管理端和控制中心間為B/S架構,管理端通過瀏覽器訪問控制中心。對于管理端,其操作系統應不限于Windows,瀏覽器也不是只有IE。管理端地位重要,應有一定保護措施,同時管理端和控制中心的通訊應有安全保障,可考慮隔離措施和SHTTP協議。
主機審計能夠分不同的角色來使用,至少劃分安全策略管理員、審計管理員、系統管理員。
安全策略管理員按照制定的監控審計策略進行實施;審計管理員負責定期審計收集的信息,根據策略判斷用戶行為(包括三個管理員的行為)是否違規,出審計報告;系統管理員負責分配安全策略管理員和審計管理員的權限。三員的任何操作系統有相應記錄,對系統的操作互相配合,同時互相監督,既方便管理,又保證整個監控體系和系統本身的安全。控制中心是審計系統的核心,所有信息都保存在控制中心。因此,控制中心的操作系統和數據庫最好是國內自己研發的。控制中心的存儲空間到一定限額時報警,提醒管理員及時備份并刪除信息,保證審計系統能夠采集新的信息。
3.2安全策略管理。
不同的安全策略得到的審計信息不同。安全策略與管理策略緊密掛鉤,體現安全管理意志。在審計系統上實施安全策略前,應根據安全管理思想,結合審計系統能夠實現的技術途徑,制定詳細的安全策略,由安全員按照安全策略具體實施。如安全策略可以分部門、分小組制定并執行。安全策略越完善,審計越徹底,越能反映主機的安全狀態。
主機審計的安全策略由控制中心統一管理,策略發放采取推拉結合的方式,即由控制中心向受控端推送策略和受控端向控制中心拉策略的方式。當安全策略發生更改時,控制中心可以及時將策略發給受控端。但是,當受控端安裝了防火墻時,推送方式將受阻,安全策略發送不到受控端。由受控端向控制中心定期拉策略,可以保證受控端和控制中心的通訊不會因為安裝個人防火墻或其他認證保護措施而中斷。聯網主機(服務器、聯網PC機)通過網絡接收控制中心的管理策略向控制中心傳遞審計信息。單機(桌面PC或筆記本)通過外置磁介質(如U盤、移動硬盤)接收控制中心管理策略。審計信息存放在主機內,由管理員定期通過外置磁介質將審計信息傳遞給控制中心。所有通訊采用SSL加密方式傳輸,確保數據在傳輸過程中不會被篡改或欺騙。
為了防止受控端脫離控制中心管理,受控端程序應由安全員統一安裝在受控主機,并與受控主機的網卡地址、IP地址綁定。該程序做到不可隨意卸載,不能隨意關閉審計服務,且不影響受控端的運行性能。受控端一旦安裝受控程序,只有重裝操作系統或由安全員卸載,才能脫離控制中心的管理。聯網時自動將信息傳到控制中心,以保證審計服務不會被繞過。
3.3審計主機范圍。
信息系統中的主機有聯網主機、單機等。常用操作系統包括Windows98,Windows2000,WindowsXP,Linux,Unix等。主機審計系統的受控端支持裝有不同操作系統的聯網主機、單機等,實現使用同一軟件解決聯網機、單機、筆記本的審計問題。
根據國家有關規定,信息系統劃分為不同安全域。安全域可通過劃分虛擬網實現,也可通過設置安全隔離設備(如防火墻)實現。主機審計系統應考慮不同安全域中主機的管理和控制,即能夠對不同網段的受控端和安裝了防火墻的受控端進行控制并將信息收集到控制中心,以便統一進行審計。同時能給出簡單網絡拓撲,為管理人員提供方便。
3.4主機行為監控。
一般計算機使用人員對計算機軟硬件尤其是信息安全知識了解不多,不清楚計算機的安全狀態。主機審計系統的受控端軟件應具有主機安全狀態自檢功能,主要用于檢查終端的安全策略執行情況,包括補丁安裝、弱口令、軟件安裝、殺毒軟件安裝等,形成檢查報告,讓使用人員對本機的安全狀況有一個清楚的認識,從而有針對性地采取措施。自檢功能可由使用人員自行開啟或關閉。檢查報告上傳給控制中心。
主機審計系統對使用受控端主機人員的行為進行限制、監控和記錄,包括對文檔的修改、拷貝、打印的監控和記錄,撥號上網行為的監控和記錄,各種外置接口的禁止或啟用(并口、串口、USB接口等),對USB設備進行分類管理,如USB存儲設備(U盤,活動硬盤)、USB輸入設備(USB鍵盤、鼠標)、USB2KEY以及自定義設備。通過分類和靈活設置,增強實用性,對受控主機添加和刪除設備進行監控和記錄,對未安裝受控端的主機接入網絡拒絕并報警,防止非法主機的接入。
主機審計系統對接入計算機的存儲介質進行認證、控制和報警。做到經過認證的合法介質可以從主機拷貝信息;未通過認證的非法介質只能將信息拷入主機內,不能從主機拷出信息到介質內,否則產生報警信息,防止信息被有意或者無意從存儲設備(尤其是移動存儲設備)泄漏出去。在認證時,把介質分類標識為非密、秘密、機密。當合法介質從主機拷貝信息時,判斷信息密級(國家有關部門規定,信息必須有密級標識),拒絕低密級介質拷貝高密級信息。
在認證時,把移動介質編號,編號與使用人員對應。移動介質接入主機操作時記錄下移動介質編號,以便審計時介質與人對應。信息被拷貝時會自動加密存儲在移動介質上,加密存儲在移動介質上的信息也只能在裝有受控端的主機上讀寫,讀寫時自動解密。認證信息只有在移動介質被格式化時才能清除,否則無法刪除。有防止系統自動讀取介質內文檔的功能,避免移動介質接在計算機上(無論是合法還是非法計算機)被系統自動將所有文檔讀到計算機上。
3.5綜合審計及處理措施。
要達到綜合審計,主機審計系統需要通過標準接口對多種類型、多個品牌的安全產品進行管理,如主機IDS、主機防火墻、防病毒軟件等,將這些安全產品的日志、安全事件集中收集管理,實現日志的集中分析、審計與報告。同時,通過對安全事件的關聯分析,發現潛在的攻擊征兆和安全趨勢,確保任何安全事件、事故得到及時的響應和處理。把主機上一個個原本分離的網絡安全產品聯結成一個有機協作的整體,實現主機安全管理過程實時狀態監測、動態策略調整、綜合安全審計、數據關聯處理以及恰當及時的威脅響應,從而有效提升用戶主機的可管理性和安全水平,為整體安全策略制定和實施提供可靠依據。
系統的安全隱患可以從審計報告反映出來,因此審計系統的審計報告是很重要的。審計報告應將收集到的所有信息綜合審計,按要求顯示并打印出來,能用圖形說明問題,能按標準格式(WORD、HTML、文本文件等)輸出。但是,審計信息數據多,直接將收集的信息分類整理形成的報告不能很好的說明問題,還應配合審計員的人工分析。這些信息可以由審計員定期從控制中心數據庫備份恢復。備份的數據自動加密,恢復時自動解密。審計信息也可以刪除,但是刪除操作只能由審計員發起,經安全員確認后才執行,以保證審計信息的安全性、完整性。
審計系統發現問題的修復措施一般有打補丁、停止服務、升級或更換程序、去除特洛伊等后門程序、修改配置和權限、專門的解決方案等。為了保證所有主機都能得到有效地處理,通過控制中心統一向受控端發送軟件升級包、軟件補丁。發送時針對不同版本操作系統,由受控端自行選擇是否自動執行。因為有些軟件升級包、軟件補丁與應用程序有沖突,會影響終端用戶的工作。針對這種情況,只能采取專門的解決方案。
在復雜的網絡環境中,一個網往往由不同的操作系統、服務器,防火墻和入侵檢測等眾多的安全產品組成。網絡一旦遭受攻擊后,專業人員會把不同日志系統里的日志提取出來進行分析。不同系統的時間沒有經過任何校準,會不必要地增加日志分析人員的工作量。系統應提供全網統一的時鐘服務,將控制中心設置為標準時間,受控端在接收管理的同時,與控制中心保持時間同步,實現審計系統的時間一致性,從而提供有效的入侵檢測和事后追查機制。
4結束語
系統的終端安全管理是一個非常重要的問題,也是一個復雜的問題,涉及到多方面的因素。本文從體系架構、安全策略管理、審計主機范圍、主機行為監控、綜合審計及處理措施等方面提出主機審計系統的設計思想,旨在與廣大同行交流,共同推進主機審計系統的開發和研究,最終開發出一個全方位的符合系統終端安全管理需求的系統。
參考文獻:
[1]網絡安全監控平臺技術白皮書。北京理工大學信息安全與對抗技術研究中心,2005.
預算編制是一項綜合性較強的工作,其包括最資源的優化分配,還包括預算管理、財務管理以及財政平衡等,做好預算編制工作,可以使電力企業更快的實現財政工作目標,使財政正能得到充分的發揮。我國電力行業中,財政預算與預算執行的結果有很大差異,這也使得財政部門與企業其他部門出現了較大矛盾,而且財政預算編制也存在不規范問題,企業的審計監督也存在執行力不足的問題。開展預算編制審計,可以有效的解決這一問題,還能使財政部門編制出現的預算草案更加規范、合理,使預算的結果更加權威性。為了使預算編制審計更好的發揮效用,電力部門的相關人員必須提高對編制審計工作的重視度,這也才能為細化編制打好基礎,還能增加預算的約束力。有的單位對預算編制的制定比較粗略,而編制預算收支時,預算的科目并沒有細化,編制人員一般會將部門的各項收入以及預算進行統一上報,而審批人員一般只按經費、公用經費以及專項經費進行批復,對預算支出的科目沒有進行細化,而且也沒有按照相關要求對預算編制報告進行審批,使的預算缺乏約束力,也無法對預算執行情況進行科學合理的審核。對電力工程進行預算編制審計,可以體現編制的嚴謹性,還能有效的控制經費支出。預算編制中經常采用的方法是基數加增長,這種方法是對于項目編制增量的預算,而且各部門經費的數量,主要是取決于原來的基數,是一種對比的概念,而且會使剛性支出大大增加,對資金使用的效益并不關注,這種方法具有一定的弊端,通過預算編制審計,可以更好的促進零基預算的推廣,降低基數對編制效果的影響,還能有效提高預算支出的收益回報率。
2.電力工程預算編制審計中存在問題
2.1預算編制程序過于陳舊我國一些電力工程中,采用的預算編制程序比較陳舊,而且制度的細化程度以及約束力不強。很多預算編制工作程序都是從中央財政下發的,電力工程的種類比較多,傳統的預算編制文件靈活性不強,如果按照相關文件直接進行預算編制,則會出現集中編制的現象,而且并未將預算編制列為財政工作中的項目。電力工程中的很多部門,還采用基數加增長的方式進行預算編制,這種方法對資金的分配并不合理,而且缺乏統一的標準,不同部門對經費的需求,并不與經濟收益成正比,而且取決與原來的基數,對于部門的實際工作聯系不大。長期采用這種編制方法,會使預算支出與實際出現較大誤差,還會降低經費的利用率,造成預算編制不完整等問題,不利于電力工程的長期發展。
2.2預算編制數據的偏離度過大在有的電力工程中,預算編制審計的方法存在一定問題,使得預算編制數據出現了加大的偏差,這會使預算出現較大的變動,在追加稅收預算金額時,會降低預算的嚴謹性,使預算編制缺乏實際的意義,這也不利于對政府部門對經濟發展計劃的規劃。出現這類問題,與稅收預算變動有一定關系,還與政府部門預留過多的資金有關。有的地區,政府追加稅收的頻率過于頻繁,使得預算編制缺乏約束力,這一現象不利于審計工作,而且增加了預算編制的隨意性,容易滋生腐敗問題。2.3缺乏有效的監督制約機制我國電力建設的預算體系與資金管理缺乏有效的聯系,使得電力工程的預算編制審計缺乏自我約束的能力以及監督約束的機制。電力市場以前處于計劃經濟環境下,上報主管部門審定批準后工作即告結束,在這種情況下,往往是主管部門或所謂的項目法人叫怎么編就怎么編,預算結果無人考核和監督。
3.完善電力工程預算編制審計的建議
3.1制定和完善預算和預算編制審計的法律和規定在現有的審計法規中,沒有直接和具體涉及預算和預算編制審計的內容,也就是說這項審計缺乏充分的法規依據。而審計實踐的發展和需要是審計法規制定和調整的基礎因此,目前一項重要的工作是建立健全預算和預算編制審計法規在這方面,應循序漸進,待時機成熟再將有關內容充實到審計法律、規定中去。
3.2確定預算和預算編制審計的基礎目標和主要內容預算和預算編制審計的基本目標是合法性、科學性(合理性)和完整性。所謂合法性是指預算編制是否符合國家法律、法規、政策的規定和有關原則。科學性(合理性)即是否對預算收入的增長進行了科學的預測,支出的安排是否符合經濟和社會發展的實際,能否在現有財力的基礎上滿足公共需要,資金分配的標準是否合理,預算支出結構是否優化,預算編制方法是否科學完整性是指預算收入和預算支出的內容是否完整。預算和預算編制審計的主要內容有,預算編制是否符合《預算法》等法律法規,是否堅持了量人為出、收支平衡的原則等。
3.3建設預算管理系統建設預算管理系統應從資金的使用和控制2個方面確定完善的管理層次和監督程序,建立企業內部完整一致的造價控制及監督約束機制,明確各方責任。在技術上,運用計算機網絡技術,建立建設預算管理系統,同建設預算編制方法系統相結合,設置同計劃、財務、物資、施工等部門的網絡接口,同時完善部門管理職能,利用資金使用的反饋累計和限額預警系統,對投資使用進行有效的帳戶式分類管理,并按照社會主義市場經濟規律建設預算管理系統。
4.結語
關鍵詞:電算化;會計信息系統;內部控制;控制活動
一、會計電算化環境下對控制活動的影響
1、內部控制的定義及要素
所謂的內部控制,是指企業為了保證業務活動的有效進行,保護資產的安全和完整,防止、發現、糾正錯誤與舞弊,保證會計資料的真實、合法,完整而制定和實施的政策與程序。它包含控制環境、風險評估、控制活動、信息溝通和監督五個要素。
2、電算化環境對控制活動的影響
實現會計電算化后,許多傳統的管理控制方式消失了,而代之以新的方式,給企業內部控制的控制活動帶來了許多前所未有的新問題,造成了極大的沖擊,電算化環境對控制活動的影響有:
(1)控制范圍擴大。在傳統的手工會計工作環境下,內部控制的原則是:職務相分離,職權不相容,不同的工作人員在各自確定的工作領域內工作,各司其職,各級主管依照相應的制度進行嚴格的監督。在電算化會計環境下,授權控制是最主要的組織原則。內部控制的形式已經由原來的制度控制轉變為制度控制和程序軟件控制。
(2)處理方式發生了變化。在電算化會計環境下,只需錄入原始數據或通過外部系統轉入記賬憑證并在計算機財務軟件的指導下進行會計分錄,通過憑證的審核、修改、確認由計算機自動完成打印輸出,科目匯總、借貸平衡等工作均由計算機自動完成,同時可以根據需要生成會計報表。大大降低了財務人員的工作量,也避免了計算加總等工作出現的錯誤。
(3)記錄方式和保存介質的變化帶動控制活動的變化。在電算化會計工作環境下,數據保存介質是磁盤,磁性介質。磁性介質的保存除了需要紙介質保存所需的部分工作外,還要進行防病毒、防磁化等工作。由于磁盤存在著物理易損性,需要對磁盤進行備份工作。
二、當前電算化環境下控制活動存在的問題
會計電算化系統取代傳統的手工會計系統將是一種趨勢。但與傳統的手工會計系統相比還存在著許多問題,具體表現在以下幾個方面:
1、職務相分離,職權不相容原則的重要性下降
電算化后,職務相分離,職權不相容這一原則的重要性下降甚至得不到遵循。由于系統操作的高度集中,許多崗位可以合并,許多手續合并到計算機統一執行,會計工作人員大大減少,從而使一些不相容的職務得不到分離,降低了工作人員相互牽制的效力。
2、會計電算化系統授權存在安全隱患
會計電算化系統授權方式是口令授權,口令授權存在于計算機系統內部。口令對于稍懂計算機操作知識的人來說根本算不上什么秘密,因為可以繞過財務軟件的相關控制措施,通過打開計算機財務數據庫進入財務報表等系統,則所有的財務秘密均可見。同時,業務人員可以利用特殊的文件或口令,獲得某種權利或運行特定程序進行業務處理,從而給企業造成經濟損失。
3、會計電算化系統數據執行主體和保存介質存在安全隱患
會計電算化系統數據執行主體是計算機。一旦硬件系統出現故障或因停電等其它非人為原因,將導致數據不能被處理,會計工作不能進行。一旦軟件質量出現問題將會影響到數據處理的準確和速度。一旦程序中出現嚴重的病毒,將會嚴重危害系統的安全,若不能及時排除病毒很有可能擴大損失。會計數據主要保存在計算機的磁盤或者外在軟盤、光盤中,一旦磁介質由于受熱、受潮、折損等原因出現損壞,保存的會計數據將會丟失,如果沒有相關備份的話,將給會計電算化系統造成嚴重的損失,嚴重的影響到企業的會計工作。磁性介質以磁信號存儲信息,如果數據被人為惡意修改不會留下任何痕跡。
4、網絡環境帶來的新問題
網絡環境是一個開放的環境,在這個環境下,任何信息在理論上都有可能被訪問到。會計電算化系統下,會計信息通過物理通信線路傳輸存在著很大的安全隱患。網絡信息很有可能在傳輸過程中被非法攔截或者被人為篡改;網絡中存在的病毒和網絡“黑客”的侵襲都可能給網絡環境下的會計電算化系統帶來危害。
電子商務給內部控制出難題。隨著電子商務的迅猛發展,網上交易愈加普遍,可以想象在不久后企業的全部原始憑證都將成為數字格式,這加強了企業對網上公證機構的依賴。
內部稽核難度加大。若要信息系統進行審核,則必須克服下列幾項問題:企業可能會擔心相關內部資料暴露于外,影響其競爭能力;稽核必須運用更復雜的查核技術,會計師必須培訓具備復雜電腦資料處理能力,定能勝任此項工作;稽核將大幅增加查核所需的時間與成本。
網絡環境下無形資產轉移難以控制。知識經濟形成后:會計控制的客體發生了變化,由部分有形資產轉移到了無形資產。實務經濟形態中的各種有形資產是一種靜態資產,只有借助外界的力量才能轉移。但無形資產是一種動態資產,如人力資產的轉移無須借助外界的力量即可發生,在利益機制的驅使下在網上很容易轉移。
5、會計電算化系統下差錯的重復性和蔓延性
傳統手工會計系統下,由于數據處理環節相對分散,一個環節數據出現錯誤,下一個環節還可以發現并更正。但是,會計電算化系統數據處理集中化、自動化,數據可以轉入、拷貝,因此一個業務的數據錯誤往往會重復出現幾次,從一個環節蔓延至其它環節,導致整個系統數據失真,使得錯誤的嚴重性加大。
三、加強和完善會計電算化系統內部控制的若干對策
會計電算化系統的內部控制是內部審計工作的一部分,也是企業經營管理的重要環節,內部控制的好壞成敗將決定著企業經營管理的得失成敗。
1、加強和完善會計電算化系統的內部控制制度
(1)加強會計電算化系統業務人員組織控制。在會計電算化系統環境下,對各類會計崗位進行重新的劃分,在授權過程中運用內部審計,按照責、權、利相結合原則明確系統內各類人員的職責、權限,建立健全崗位責任制。(2)加強會計電算化系統操作和維護控制。會計電算化系統操作和維護控制主要是通過制定一套完整而嚴格的操作和維護規程來實現的。規程應包括操作的具體流程,各環節的主要分工和職責,注意事項,維護的時間和方面,維護的程序等內容。
(3)加強會計電算化系統檔案管理。會計電算化系統在處理業務時所產生的各種賬簿、報表、憑證均應由專人管理,并制定相應的管理制度。磁性介質必須及時進行備份,并做好防止計算機病毒侵襲的工作。所有財務檔案均應做好放火、防潮、防塵、防盜等工作,并定期盤點整理。磁性介質還要進行防磁工作。
2、加強會計電算化系統業務操作的控制
會計電算化系統業務操作主要包括數據的輸入、數據的處理和數據的輸出。對數據的輸入、處理、輸出過程的控制是保證會計核算系統有效的關鍵。只有經過核準的會計業務經過正確的輸入,進恰當的處理和運行,并及時的輸出,會計核算系統才能實現自身的目標。
此外,憑證格式標準化控制、憑證順序號控制、憑證審核控制、重復輸入控制、對應科目合法性控制、保留審計線索控制,修改痕跡控制、數據備份控制等都是會計電算化系統的輸入控制、處理控制、輸出控制的有效方法。
四、電算化環境下內部控制的變化對審計的影響
會計電算化的實施,大大提高了會計信息處理的速度和準確性,能為用戶提供及時、準確的會計信息,是會計事業發展史無前例的飛躍。但在這個飛躍也給審計工作帶來很大的影響。
1、審計線索的變化
在電算化會計系統中,傳統的賬簿沒有了,絕大部分的文字記錄消失了,代之的是存有會計資料的磁盤等,這些磁性介質上的信息是以機器可讀的形式存在的,肉眼不能識別。此外,從原始數據進入計算機,到財務報表的輸出,這中間的全部會計處理集中由計算機按程序指令自動生成,傳統的審計線索在這里中斷了、消失了。
2、審計內容的變化
在會計電算化條件下,審讓的監督職能雖然沒有改變,但審計內容卻發生了變化。在電算化會計信息系統中,會計事項由計算機按程序自動進行處理,如果系統的應用程序出錯或被非法篡改,則計算機只會按給定的程序以同樣錯誤的方法處理所有的有關會計事項,系統就可能被地嵌入非法的舞弊程序,不法分子可以利用這些舞弊程序大量侵吞企業的財物。在會計電算化條件下,審計人員要花費較多的時間和精力來了解和審查計算機系統的功能,以證實其處理的合法性、正確性和完整性,保證系統的安全可靠。
3、審計技術的變化
在手工會計處理的條件上審計可根據具體情況進行順查、逆查或抽查。審查一般采用審閱、核對、分析、比較、調查和證實等方法。所有審查工作都是由人工完成的。在會計電算化條,件下,會計的特點決定了審計的內容和技術的改變。雖然人工的各種審查技術仍是很重要的,但計算機輔助審計是必不可少的審計技術。
信息處理的電算化和信息存貯的電磁化,如果沒有全部打印輸出紙質的賬表文件,磁性介質上的會計資料是肉眼所不能識別的,審計人員只能利用計算機對它進行審查。即使系統的全部賬表都要硬拷貝,利用計算機比手工可以更迅速、更有效地完成審閱、核對、分析、比較等各項審查工作。例如,計算機可以幫助審計人員審查賬務文件,找出滿足指定條件的會計記錄;可以對眾多的會計事項進行統計抽樣,以便審計員對缺抽出樣本進一步審查;還可以根據系統所記錄的會計資料計算出各種財務比率、變化率和進行各種分析比較等等。
在會計電算化條件下,既要對計算機系統的處理和控制功能進行審查,又要采用計算機輔助審計技術。對計算機系統功能的審查,必須運行計算機,讓計算機執行各種操作和處理,也就是利用計算機開展審計。此項審查是不能離開計算機僅由人工來完成的。
4、對審計人員的要求更高
在會計電算化條件下,由于審計線索內容控制、內容和審計技術的改變,決對審計人員的要求高了。不懂得計算機的審計人員,因審計線索的改變而無法踴躍審計;不懂得電算化會計系統的特點和風險而不能識別和審其內部控制;不懂得使有計算機而無法對計算機進行審查或利用計算機進行審計。因此,要求審計人員不僅要有會計、審計理論和實務知識,而且要掌握計算機和電算化會計方面的知識和技能。