引言:易發表網憑借豐富的文秘實踐����,為您精心挑選了九篇計算機審計管理范例��。如需獲取更多原創內容��,可隨時聯系我們的客服老師。
第1篇
(一)計算機審計流程管理
計算機審計的流程可分為三個階段,審前準備階段、現場實施階段�、成果報告階段��,其中最重要的是審前準備階段。
具體流程如下圖:
(二)計算機審計中的人員管理
1.學習培訓與審計實踐相結合,培養計算機審計業務骨干�����。我們高度重視對審計人員的計算機培訓���,不斷學習���,不斷更新知識����。在審計工作中,盡量利用計算機開展審計,學以致用���,努力培養計算機審計業務骨干。
2.積極配合���,實現審計業務人員與計算機專業人員的有效結合���。開展計算機審計��,一方面需要審計業務人員的審計思路和經驗�����、技巧,一方面需要計算機專業人員的計算機專業知識和技能����,只有兩者的有效結合才能使計算機審計工作順利開展���。我們在近幾年的計算機審計工作中與計算機專業人員積極配合�,無論是在數據的采集���、轉換還是分析階段�,甚至在計算機的日常維護中都得到了來自計算機專業人員的幫助與指導。大家在審計工作中發揮所長共同努力完成了很多審計項目�,可以說計算機專業人員是我們審計業務人員開展計算機審計工作的強力助推器�����。
3.重視人員交互�����,取長補短,共同進步�����。在計算機審計工作過程中���,利用業務人員之間或不同單位���、部門的審計業務人員及計算機專業人員的交互,實現計算機審計思路與經驗的交流學習,取長補短,共同進步。
(三)計算機審計過程中的計算機軟�����、硬件系統管理
工欲善其事必先利其器,計算機審計中人是核心因素�,而強大的計算機軟���、硬件系統則是取得審計勝利的武器�����。隨著計算機技術的飛速發展��,要順利開展計算機審計���,先進���、高速的處理器��、大容量存儲器�、功能強大��、兼容性強的專業軟件系統等都是必不可少的��。我們利用現有的筆記本電腦�����、臺式機�、以太網交換機����、大容量的存儲器�、專用服務器����、A0軟件�����、SQL軟件等軟�����、硬件系統,保障了我們計算機審計工作的順利開展�����。在審計工作中我們安排專人負責計算機軟�����、硬件系統的管理、維護�,在遇到無法解決的問題時�,則向計算機專業人員尋求幫助���。
二�、對進一步推進計算機審計工作的構想
作為審計監督部門,在計算機技術飛速發展、計算機技術應用水平不斷提高的情況下�����,我們要成為也必須成為計算機技術應用的領跑者����,只有大膽創新�,積極進取不斷地提高計算機審計水平,才能更好的完成審計工作��。對于未來深入推進計算機審計工作�,我們有以下構想:
(一)把計算機審計工作由數據庫審計擴展到對整個計算機信息系統的審計
目前我們的計算機審計工作主要針對財務或業務軟件的數據庫數據分析,對被審計單位計算機信息系統的處理性能�、控制性能及安全性進行的檢測和評估尚未開展�。而計算機信息系統是支撐其財務����、業務軟件運行的基礎����,如果計算機信息系統出現問題,將會嚴重影響被審計單位財務�、業務軟件的運行�,可能會出現數據錯誤�����、資料遺失�、信息失竊等問題�����。
信息系統審計的重點仍然是審前準備階段����。在審前調查過程中�����,應先與有關業務管理及專業技術人員進行溝通�����,熟悉被審計單位信息系統的主要功能�����,要求被審計單位提交技術文檔資料。技術文檔資料,應當包括:一是系統開發文檔,包括系統的需求說明書��、概要設計�����、詳細設計、流程圖表���、功能模塊的程序源代碼、系統測試報告����;二是系統使用文檔����,包括用戶手冊����、系統使用管理制度、系統維護手冊�、維護報告及日志等��。完整的計算機文檔資料是審計人員檢查、確信計算機信息系統功能的重要依據����。同時����,還應收集一些業務法規和內部控制規章制度��,以供設計審計測試項目時使用�����。在此基礎上,擬定審計方案���。
審計實施階段�����,根據前期的數據資料的分析對被審計單位的信息系統進行評估�����,主要是通過調查系統管理方法,分析信息組織方式和信息處理流程,對系統內部控制的健全性���、合理性、安全性進行初步評價,發現容易出問題的環節,找出系統可能存在的缺陷��。接著���,對其信息系統進行測試�����,可以采用兩種方式:一是采取詢問調查與實地考察相結合的方法����,具體檢查軟件文檔��、程序流程圖��、編碼、運行記錄與結果等�����;二是采用手工和計算機相結合的方式,具體運用數據模擬檢測等應用技術工具���,分析處理邏輯,測試應用系統軟件的合規性、正確性�、安全性及有效性�����。
(二)計算機審計工作由靜態審計向動態審計發展
以即將開展的審計對象數據庫的建立工作為基礎,結合審計管轄范圍內的被審計單位定期資料報備制度,即業務處室管轄范圍內的被審計單位將其經營管理、財務狀況(主要指標或審計部門關注的重要指標)���、重大事項決策等相關資料定期(月報、季報、半年報���、年報)向主管審計處室報送。由主管審計處室將其資料導入數據庫存儲并建立被審計單位動態數據鏈,通過對被審計單位關鍵指標的動態分析,評估其經營管理風險或實現��。各業務處室再將各個被審計單位關鍵指標動態分析表按行業分開匯總到廳機關搭建的服務器上�,就實現了對審計范圍內各行業關鍵指標動態分析。
(三)開發專門的審計軟件��,接入被審計單位的計算機系統�����,實現實時監控����,把動態審計推向更高階段
開發專門的審計軟件系統�����,采用旁路方式接入被審計單位計算機信息系統中����,通過實時監測及采集其信息系統中的安全事件���、用戶登錄行為��、用戶操作行為、及所有對數據庫的使用情況等各類信息����,并設計主要指標動態分析程序�,及相關告警程序���。經過規范化���、過濾���、還原�、歸并和告警分析等處理后,以統一格式的日志形式進行集中存儲和管理���,結合豐富的日志匯總、分析�、統計��、排名等關聯分析功能,實現對計算機信息系統的全面審計��。
第2篇
近年來�,襄樊市審計局加大計算機建設與應用步伐�,在計算機輔助審計方面進行了有益探索��,先后在企業�、財政�、金融、農林水�、行政事業等行業38個單位嘗試進行計算機輔助審計,取得了較好成效�。在審計數據采集與分析、軟件開發與應用等方面有了一些初步的經驗和體會����。
一、計算機輔助審計的主要步驟
(1)可行性分析���。主要是調查了解被審單位會計信息的管理現狀,看其計算機使用水平能否滿足審計項目的方案要求(質量����、時限等)����,從而確定是否采用計算機輔助審計。
(2)審前準備�����。主要是配備相應的電腦和熟悉計算機應用的審計人員�����,選擇符合財政部規定���、適用性強的審計軟件���。制定審計方案����、下發審計通知書等�����;
(3)現場審計。主要包括數據采集和數據分析兩個環節。數據采集就是應用一定的方法�����,對被審單位的數據信息進行遷移���,按審計方案的要求以及財務管理的基本原理進行整理�����;數據分析就是應用相關審計軟件對采集到的數據進行分類���、篩選���、歸并����、統計和分析判斷�,從中查找被審單位財務管理中的疑點線索,發現違紀違規問題,匯總相關數據�����,以滿足審計報告的需求�����。
(4)審計報告�����。在傳統手工審計的基礎上�����,結合計算機輔助審計將采集到的數據���,應用計算機進行結論性審計文檔的處理���,形成審計報告���,出具審計決定�����。審計意見書等�����,并由此形成被審單位電子數據庫的部分數據。
二、數據采集的主要方法
在分析被審單位電子記帳數據的完整性的基礎上���,確定采用計算機輔助審計,我們主要采取以下方法來進行數據采集。
第一步:導出被審單位財務管理數據����。在實踐中主要采取三種方法:
(一)直接使用被審單位的財務管理軟件����,將數據導出為通用數據庫格式(如:mdb�、xls���、txt等)���。其優點是:適用范圍寬�����、導出數據隨審計人員的意愿��,因而是審計人員首選也是運用最多的數據導出方法。因為一些著名的財務軟件為證明自己的“開放性”�����、“兼容性”特征�����,都具備“數據可被第三方軟件使用”這一功能�,諸如:用友�、金碟、遠方等�,并且版本越高���,此項功能越明顯���。而且從審計情況看����,如今不少行政企事業單位大都使用上述軟件�。
如在對樊城公安分局的審計中,該單位使用的是用友M8.0財軟���,我們就直接將其總帳����、明細帳分別導成一個通用數據庫如mdb的兩張數據表;在對全市民政系統審計中���,因該系統使用了用友M7.0,一次只能將總帳��、明細帳的一個科目導成一個通用數據庫��,因此我們就根據需要�����,生成了多個科目的多個相關數據庫。另外有些軟件開發商專門設計了特定格式的導出,如:電力系統使用的遠方財軟4.XX版本,高度自動化設計,財務人員只需輸人原始資料�����,數據匯總、帳表生成等全部由系統自動完成��,其操作程序符合財政部最新頒布的會計制度���,審計人員可將其中所有匯總表格和明細帳的查詢結果導出為EXCEL格式��,利用帳頁查詢功能�����,完成電子數據的采集工作。當然一些高端數據庫軟件���,如:使用SQLServer、DB2等作為數據倉庫開發的財軟��,由于這些服務器端的專業數據庫軟件本身具有強大的分析�、備份和安全恢復等功能��,因而客戶端的應用軟件也就沒有必要開發數據導出功能了�����。
(二)直接使用被審單位企業(財務)管理軟件而產生的備份數據。
因為幾乎所有的企業(財務)管理軟件都具有數據的備份和恢復功能。我們完全可以將數據的備份帶回�,在自己的電腦中進行恢復����。這種方法最大的優點是導出的數據最完整(甚至包括軟件的
使用日志��、用戶權限及密碼等)���,分析起來最方便����。由于用戶軟件本身具有強大的分析和查詢功能���,因而不需要借助任何第三方的輔助分析軟件或數據庫軟件�。但其缺點是必須有一套與被審單位軟件一致的能使用的軟件,且有多少個審計對象,你就需要準備多少個軟件�。這類商業軟件由于審計人員只用于輔助審計���,不作為生產使用���,因而購買起來極不經濟��,其來源主要是通過以下方式獲得:一是使用演示版軟件,由于相當多的演示版軟件與標準版軟件僅在表證的打印上有區別,因而使用演示版軟件沒有問題�����。二是使用軟加密方式的軟件����。相當多的軟件是通過合法用戶名和系列號來限制使用的�,我們可以用被審單位軟件的用戶名和序列號在自己的電腦在進行安裝軟件,再將備份的數據恢復進來就可使用了(如:遠方財軟)�����。三是使用“光盤市場”版軟件�,目前光盤市場提供的版本相近的經過解密的軟件,如:用友��、金碟���、交易等大腕軟件���,基本上都可以使用�。四是與軟件公司協商,支付少量費用�,借用軟件公司同版本號的正版軟件和限次軟件��。
(三)直接將用戶軟件的原始數據庫表導出。
就是使用專業數據庫���,如:SQLServer等����,直接使用專業庫的管理工具將數據導出�����。這種方法的特點是對審計人員的計算機技能提出了較高要求���。主要表現在:l、軟件的開發者為減少數據的冗余而采用了關系表���,用戶采用了這些表在自己的電腦中分析時需自行定義關系。2.這些表一般都為原始數據��,審計人員要得到自己的記錄集需自建查詢集(視圖)����。3、這些表多為英文或拼音組成的字段(為了適應更多的開發工具)且有許多認證字段����,完全搞清楚還費點周折�。但是如果將上面問題都搞清楚了�,使用通用數據庫軟件和專門的輔助審計軟件分析起來還是比較方便的。
第二步�����、導出數據遷移
一般情況下����,將數據導出后必須存入審計人員的電腦中,置于審計人員自己定義的某一目錄下����。這一點�����,要視實際情況的不同,分別采取不同的對策�,從審計實踐看��,不外乎有以下王種情況:
(一)若數據文件總量在SM以下,通常采用壓縮軟件如:winzip等將數據壓縮成幾張盤���,將數據帶走�。
(二)若數據文件總量在SM以上,如采用壓盤方法由于盤片較多,恢復成功的風險較高���,因而一般采用外置硬盤的方法,將數據在不壓縮狀態下直接導入自己的硬盤。
外置硬盤有打印機接口的外置硬盤和USB接口的外置硬盤����。USB接口的硬盤支持熱插拔�����,打印機接口的硬盤支持老一些的電腦,外置硬盤通常由外置硬盤盒加普通硬盤組成,這是一種最經濟最方便的數據遷移的方法�����。
(三)若審計人員隨身攜帶有筆記本電腦(帶以太網卡)且被審單位也組建了局域網��,可直接采用電腦與電腦對拷的方法實現�����。這里也有兩種方法:
1、筆記本電腦與數據源電腦直接對持�。審計人員需自己制作一條網絡線(將普通的網絡跳線12.36對調)��,將兩臺電腦配成對等網,在數據源電腦中將自己需要的數據目錄設置“共享”后�,拷入筆記本電腦�����。
2.網絡下載��。審計人員將自己的筆記本電腦接入被審單位的網絡,找一個被審單位空閑的PJ45信息接口��,配置好網絡獲取一個合法網絡帳戶����,進入網絡后���,將數據源電腦中的數據持出�。
三、如何進行數據分析
在審計工作中,我們大都要使用通用的或專門的軟件分析數據��。因為通用的數據庫軟件具有極其強大的分析功能�,使用起來也特別方便靈活。若審計人員很熟悉諸如:Foxpro、access、SQLServer或SQL語句之一種,基本上就可以不依賴任何輔審軟件獨立開展計算機輔助審計了�����。以我局對湖北化纖集團審計為例�,我們直接將被審單位的數據采集回來后,導入access2000�����,利用access2000中的可視化的查詢分析器對數據進行篩選���,得出所需要的數據���。但是現階段不少審計人員并不熟悉專業數據庫軟件的使用�,盡管諸如access、foxpro、SQLserver等使用起來都很方便容易�,但對相當多的審計人員來說仍有一定困難��,這樣就可結合使用相對而言更易使用的一些軟件,諸如:南京特派辦的《審計數據采集分析軟件》等。
從實際情況看����,我們主要是采取以下幾種方法進行數據分析的:
一是利用被審單位軟件的自身查詢功能����,發現不正常的會計分錄���。主要通過查看明細帳�����、記帳憑證,審查會計科目的對應關系����,發現不正常的會計分錄�����。如:“實收資本”科目一般對應“現金”、“銀行存款”或者是“存貨”等資產類科目����,如在查詢中發現���,有的對應科目卻是“應付款‘�����、”其他應付款“等科目,就可將這種不正常的會計事項作為審計重點�,經調閱有關的原始憑證和調查相關往來單位����,發現該單位虛列股本�、轉移國有資本、化公為私等問題�����;
二是利用被審單位軟件數據轉換功能�����,結合《審計數據采集分析軟件》的查詢�、篩選等功能��,發現違規支出�����。以“費用”審計為例,首先將把被審單位數據庫中“管理費用”�、“經營費用”和“財務費用”明細帳打開�����,將數據轉換成EXCEL格式,通過《審計數據采集軟件》進行查詢摘要��、篩選數據�����,經調閱有關的原始憑證和審計相關單位��,發現費用中違規支出問題。
三是利用分類匯總���、規劃求解和拖動復制柄等功能,發現收入不合規等問題���。比如審查債權債務,湖北化纖集團涉及的往來單位共有1938個����,往來款總額數億元����,若一個審計人員用人工查賬法����,按帳齡分析其發生的現狀����,摸清其真實合法情況,需要一個星期��。但運用計算機輔助審計�,在EXCEL電子表格中,按照“單位”�����、“帳齡”等檢索條件����,一個小時之內查出三年以上不良資產1000多萬元,往來單位1360個;二年至三年往來單位269個���,金額3000多萬元;又如在今年的電力行業審計中,在審查電價標準方面,我們首先將被審計單位用電量數據庫采集過來����,存為EXCEL電子表�,用電總量中分居民生活電量����、農民排灌電量、優惠
第3篇
一、關于計算機審計機構職能定位問題
為了適應審計信息化發展的客觀形勢��,目前����,絕大多數審計特派辦都成立了計算機審計處(室)�����,具體負責審計信息化的規劃和建設工作�。但由于機構成立時間不同,職責任務也各有側重,各單位計算機審計處的職能定位存在一定的差異:有的全面負責與計算機有關的各項工作任務,包括計算機設備管理����、硬件維護����、本單位局域網管理��、信息管理�����、機關輔助辦公、計算機培訓及計算機輔助審計等,而有的只負責配合審計業務處開展計算機審計工作���,其他工作則劃歸辦公室或人教處負責,屬于純粹的審計業務部門。而與此不對稱的是,有的單位計算機審計處擔負的職責和任務很多�,配備的人員卻很少(3-4人)�,有的單位計算機審計處擔負的職責任務很單一�,配備的人員和技術力量卻非常強(6-7人),這是導致目前審計信息化工作發展不平衡的一個重要原因。對此����,審計署應該制定一個統一的標準和指導性意見�,明確規范各單位計算機審計處的職能定位�����,并在此基礎上以崗定編,確定人員數量���,調整人員結構。這是其一��。
其二���,李金華審計長一再強調“計算機審計是一場革命”����,石愛中副審計長在最近的一次講話中也曾斷言:“金審”二、三期工程完成以后�����,審計工作將“面目全非”����。但縱觀近幾年計算機審計技術的應用,大都仍然停留在數據轉換�、計算分析����、查詢匯總等低水平上����,與署領導提出的“革命性”目標之間存在著很大的差距,計算機審計仍處于十分尷尬的境地��。要想在短期內改變這種狀況�����,必須首先改變目前以業務部門為主��、技術部門為輔的計算機審計組織形式����,讓計算機審計處獨立承擔部分項目的審計任務,以便在審計過程中逐步探索新的審計組織方式�����,拓展計算機審計領域�,摸索新的人力資源配置,實現審計思維方式����、組織方式和資源配置方式的“革命性”轉變�。而要實現這種轉變,計算機審計處的人員配置必須進行適當的調整����,除了配備一定數量的計算機技術人員外���,還要配備一定數量的審計業務人員��,并逐步向審計業務部門靠攏,每年有自己的審計項目計劃����,有相對固定的審計對象和審計范圍���。
二����、關于計算機審計處人員結構問題
計算機審計處的人員結構與其職能定位是密不可分的��,前面講了��,目前各單位計算機審計處的職能分為綜合性和單一性兩種情況。由于審計信息化建設是一項系統工程��,它包含的內容非常廣泛���,如硬件建設����、網絡運維����、人才培養、信息管理、輔助辦公、計算機審計等等等等,各個內容之間又有著緊密的聯系,如果分散于多個部門之間����,不利于其建設內容的整體規劃和統一實施��。所以,從長遠來看,綜合性的職能定位和全方位的人力資源配置顯然更有利于審計信息化工作的全面��、協調和可持續發展���。計算機審計處應該成為擔負審計信息化建設任務的綜合性的協調管理機構和技術強力支撐部門��?�;谶@種設想,計算機審計處應該包括以下五類人才��,配備6-8人:
1����、 負責硬件維護和網絡管理的專業技術人才1-2人。
2、負責各類人員培訓的專職人員1人�����。
3�����、負責信息資源規劃管理的專職人員1人。
4�、負責計算機審計技術支撐的高精尖IT人才1-2人���。
5��、既精通審計業務有掌握計算機技術的復合性人才1-2人。
三�、關于引進IT人才和培養復合性人才的關系問題
近幾年來����,由于各級領導的高度重視�����,各特派辦通過引進專業技術人才和加強培訓工作����,計算機審計人才隊伍已顯雛形。但人才問題始終是制約審計信息化快速發展的核心問題:一方面由于待遇偏低,一部分高水平的專業技術人才或是引不進來,或是遠走高飛�����;另一方面����,中級骨干人員學而不用,專而不精,整體作用發揮不夠����;再一方面�,受現有人員的知識結構和年齡結構限制�����,審計人員的計算機應用水平參差不齊,影響了審計信息化工作的整體推進�。要解決好上述問題��,必須把人才引進和自主培養兩方面的工作結合起來,逐步形成審計信息化人才隊伍的“Δ”結構��。首先���,要立足于對審計人員進行自主培養��,即選拔一批審計業務精湛的年輕同志�����,通過強化計算機技術培訓,使之迅速掌握審計現場必備的計算機操作技能���,形成“Δ”的中間層。因為從實際情況來看���,“計算機審計”的關鍵要素是“審計”,如果審計業務不精或經驗不足����,就算計算機水平再高�����,也查不出問題;而且從培訓成本來講�����,把審計業務人員培養成為復合性人才所需要的成本(包括時間���、費用及經驗積累)要遠低于把計算機人員培養成為復合性人才所需要的成本��。其次,要在重點培養復合性人才的同時,提高審計人員計算機應用的整體水平�,形成“Δ”結構的底層實力���。對這個層次的審計人員也要提出一個最低應用水平的要求�,否則�,審計信息化工作就會失去廣泛的群眾基礎,有些工作也難以推進。比如最近審計署推出的“AO”和“OA”兩個系統��,都需要所有審計人員的廣泛參與�,不然就會出現信息不完整,從而影響軟件系統的整體效果����。其三�����,要抓住目前高校計算機專業畢業生供過于求的有利時機,通過層層選拔���,引進一批高層次(碩士或博士)技術人才,形成“Δ”結構的頂尖層。這個層次的技術力量是必須的��,因為我們面對的是越來越復雜的被審單位信息系統,靠審計人員去解決所有技術問題是不現實的����。但這個層次的技術人才也不需要太多�����,1-2人即可。社會分工越來越細�,公務員隊伍不可能也沒有必要包打天下����,必要時�����,我們完全可以借助社會IT力量,通過臨時聘用計算機專家解決復雜問題?����?偟膩砜?��,計算機審計人才隊伍應該是多層次����、立體化的三角性結構,這是審計干部隊伍建設的大勢所趨,更是推動審計信息化向前發展的客觀要求���。
第4篇
摘要:從系統的、整體的、動態的角度,參照國家對主機審計產品的技術要求和對部分主機審計軟件的了解,結合實際的終端信息安全管理需求�����,從體系架構�、安全策略管理、審計主機范圍、主機行為監控、綜合審計及處理措施等方面提出主機審計系統的設計思想����,達到對終端用戶的有效管理和控制��。
關鍵詞:網絡;安全審計;主機審計��;系統設計
1引言
隨著網絡與信息系統的廣泛使用�����,網絡與信息系統安全問題逐漸成為人們關注的焦點。
網與因特網之間一般采取了物理隔離的安全措施�,在一定程度上保證了內部網絡的安全性�。然而�����,網絡安全管理人員仍然會對所管理網絡的安全狀況感到擔憂�����,因為整個網絡安全的薄弱環節往往出現在終端用戶。網絡安全存在著“木桶”效應����,單個用戶計算機的安全性不足時刻威脅著整個網絡的安全[1]��。如何加強對終端用戶計算機的安全管理成為一個急待解決的問題。
本文從系統的��、整體的�、動態的角度,參照國家對安全審計產品的技術要求和對部分主機審計軟件的了解�,結合實際的信息安全管理需求��,討論主機審計系統的設計,達到對終端用戶的有效管理和控制��。
2安全審計概念�。
計算機網絡信息系統中信息的機密性、完整性��、可控性���、可用性和不可否認性����,簡稱“五性”��,安全審計是這“五性”的重要保障之一[2]��。
凡是對于網絡信息系統的薄弱環節進行測試����、評估和分析����,以找到極佳途徑在最大限度保障安全的基礎上使得業務正常運行的一切行為和手段,都可以叫做安全審計[3]��。
傳統的安全審計多為“日志記錄”���,注重事后的審計����,強調審計的威懾作用和安全事件的可核查性。隨著國家信息安全政策的改變����,美國首先在信息保障技術框架(IATF)中提出在信息基礎設置中進行所謂“深層防御策略(Defense2in2DepthStrategy)”��,對安全審計系統提出了參與主動保護和主動響應的要求[4]。這就是現代網絡安全審計的雛形���,突破了以往“日志記錄”
等淺層次的安全審計概念,是全方位��、分布式�、多層次的強審計概念,符合信息保障技術框架提出的保護����、檢測���、反應和恢復(PDRR)動態過程的要求,在提高審計廣度和深度的基礎上���,做到對信息的主動保護和主動響應。
3主機審計系統設計��。
安全審計從技術上分為網絡審計�����、數據庫審計�、主機審計��、應用審計和綜合審計����。主機審計就是獲取�、記錄被審計主機的狀態信息和敏感操作,并從已有的主機系統審計記錄中提取信息,依據審計規則分析判斷是否有違規行為�。
一般網絡系統的主機審計多采用傳統的審計�,系統的主機審計應采用現代綜合審計�,做到對信息的主動保護和主動響應。因此,網絡的主機審計在設計時就應該全方位進行考慮。
3.1體系架構���。
主機審計系統由控制中心、受控端、管理端等三部分組成��。管理端和控制中心間為B/S架構��,管理端通過瀏覽器訪問控制中心���。對于管理端�����,其操作系統應不限于Windows,瀏覽器也不是只有IE。管理端地位重要���,應有一定保護措施����,同時管理端和控制中心的通訊應有安全保障�,可考慮隔離措施和SHTTP協議�。
主機審計能夠分不同的角色來使用,至少劃分安全策略管理員、審計管理員�����、系統管理員��。
安全策略管理員按照制定的監控審計策略進行實施���;審計管理員負責定期審計收集的信息�,根據策略判斷用戶行為(包括三個管理員的行為)是否違規��,出審計報告�;系統管理員負責分配安全策略管理員和審計管理員的權限��。三員的任何操作系統有相應記錄�,對系統的操作互相配合��,同時互相監督���,既方便管理�����,又保證整個監控體系和系統本身的安全。控制中心是審計系統的核心,所有信息都保存在控制中心�。因此�����,控制中心的操作系統和數據庫最好是國內自己研發的����。控制中心的存儲空間到一定限額時報警��,提醒管理員及時備份并刪除信息�,保證審計系統能夠采集新的信息。
3.2安全策略管理��。
不同的安全策略得到的審計信息不同��。安全策略與管理策略緊密掛鉤����,體現安全管理意志�。在審計系統上實施安全策略前,應根據安全管理思想�����,結合審計系統能夠實現的技術途徑���,制定詳細的安全策略�����,由安全員按照安全策略具體實施�。如安全策略可以分部門��、分小組制定并執行��。安全策略越完善,審計越徹底����,越能反映主機的安全狀態���。
主機審計的安全策略由控制中心統一管理,策略發放采取推拉結合的方式���,即由控制中心向受控端推送策略和受控端向控制中心拉策略的方式。當安全策略發生更改時�,控制中心可以及時將策略發給受控端���。但是��,當受控端安裝了防火墻時���,推送方式將受阻��,安全策略發送不到受控端。由受控端向控制中心定期拉策略�,可以保證受控端和控制中心的通訊不會因為安裝個人防火墻或其他認證保護措施而中斷���。聯網主機(服務器��、聯網PC機)通過網絡接收控制中心的管理策略向控制中心傳遞審計信息。單機(桌面PC或筆記本)通過外置磁介質(如U盤�����、移動硬盤)接收控制中心管理策略�����。審計信息存放在主機內���,由管理員定期通過外置磁介質將審計信息傳遞給控制中心�����。所有通訊采用SSL加密方式傳輸����,確保數據在傳輸過程中不會被篡改或欺騙。
為了防止受控端脫離控制中心管理,受控端程序應由安全員統一安裝在受控主機,并與受控主機的網卡地址、IP地址綁定����。該程序做到不可隨意卸載���,不能隨意關閉審計服務�����,且不影響受控端的運行性能。受控端一旦安裝受控程序,只有重裝操作系統或由安全員卸載�,才能脫離控制中心的管理�����。聯網時自動將信息傳到控制中心,以保證審計服務不會被繞過�����。
3.3審計主機范圍�����。
信息系統中的主機有聯網主機�、單機等��。常用操作系統包括Windows98,Windows2000,WindowsXP,Linux,Unix等��。主機審計系統的受控端支持裝有不同操作系統的聯網主機、單機等,實現使用同一軟件解決聯網機�、單機���、筆記本的審計問題。
根據國家有關規定��,信息系統劃分為不同安全域����。安全域可通過劃分虛擬網實現,也可通過設置安全隔離設備(如防火墻)實現���。主機審計系統應考慮不同安全域中主機的管理和控制,即能夠對不同網段的受控端和安裝了防火墻的受控端進行控制并將信息收集到控制中心��,以便統一進行審計��。同時能給出簡單網絡拓撲���,為管理人員提供方便����。
3.4主機行為監控。
一般計算機使用人員對計算機軟硬件尤其是信息安全知識了解不多,不清楚計算機的安全狀態����。主機審計系統的受控端軟件應具有主機安全狀態自檢功能�,主要用于檢查終端的安全策略執行情況���,包括補丁安裝��、弱口令��、軟件安裝、殺毒軟件安裝等,形成檢查報告�,讓使用人員對本機的安全狀況有一個清楚的認識��,從而有針對性地采取措施。自檢功能可由使用人員自行開啟或關閉。檢查報告上傳給控制中心�����。
主機審計系統對使用受控端主機人員的行為進行限制�、監控和記錄�,包括對文檔的修改、拷貝����、打印的監控和記錄����,撥號上網行為的監控和記錄��,各種外置接口的禁止或啟用(并口�����、串口��、USB接口等),對USB設備進行分類管理,如USB存儲設備(U盤�����,活動硬盤)、USB輸入設備(USB鍵盤�、鼠標)�����、USB2KEY以及自定義設備。通過分類和靈活設置���,增強實用性,對受控主機添加和刪除設備進行監控和記錄��,對未安裝受控端的主機接入網絡拒絕并報警���,防止非法主機的接入�����。
主機審計系統對接入計算機的存儲介質進行認證、控制和報警。做到經過認證的合法介質可以從主機拷貝信息�����;未通過認證的非法介質只能將信息拷入主機內�����,不能從主機拷出信息到介質內���,否則產生報警信息�,防止信息被有意或者無意從存儲設備(尤其是移動存儲設備)泄漏出去����。在認證時��,把介質分類標識為非密、秘密���、機密。當合法介質從主機拷貝信息時�,判斷信息密級(國家有關部門規定����,信息必須有密級標識),拒絕低密級介質拷貝高密級信息���。
在認證時��,把移動介質編號,編號與使用人員對應。移動介質接入主機操作時記錄下移動介質編號�����,以便審計時介質與人對應��。信息被拷貝時會自動加密存儲在移動介質上�����,加密存儲在移動介質上的信息也只能在裝有受控端的主機上讀寫,讀寫時自動解密。認證信息只有在移動介質被格式化時才能清除�����,否則無法刪除���。有防止系統自動讀取介質內文檔的功能��,避免移動介質接在計算機上(無論是合法還是非法計算機)被系統自動將所有文檔讀到計算機上����。
3.5綜合審計及處理措施���。
要達到綜合審計�,主機審計系統需要通過標準接口對多種類型、多個品牌的安全產品進行管理,如主機IDS���、主機防火墻、防病毒軟件等,將這些安全產品的日志、安全事件集中收集管理,實現日志的集中分析��、審計與報告�����。同時,通過對安全事件的關聯分析�,發現潛在的攻擊征兆和安全趨勢���,確保任何安全事件�、事故得到及時的響應和處理�。把主機上一個個原本分離的網絡安全產品聯結成一個有機協作的整體,實現主機安全管理過程實時狀態監測���、動態策略調整、綜合安全審計����、數據關聯處理以及恰當及時的威脅響應���,從而有效提升用戶主機的可管理性和安全水平����,為整體安全策略制定和實施提供可靠依據���。
系統的安全隱患可以從審計報告反映出來����,因此審計系統的審計報告是很重要的�����。審計報告應將收集到的所有信息綜合審計,按要求顯示并打印出來��,能用圖形說明問題��,能按標準格式(WORD、HTML���、文本文件等)輸出。但是�,審計信息數據多���,直接將收集的信息分類整理形成的報告不能很好的說明問題�����,還應配合審計員的人工分析。這些信息可以由審計員定期從控制中心數據庫備份恢復���。備份的數據自動加密,恢復時自動解密����。審計信息也可以刪除�,但是刪除操作只能由審計員發起�����,經安全員確認后才執行�,以保證審計信息的安全性����、完整性。
審計系統發現問題的修復措施一般有打補丁��、停止服務�、升級或更換程序、去除特洛伊等后門程序�、修改配置和權限�����、專門的解決方案等����。為了保證所有主機都能得到有效地處理,通過控制中心統一向受控端發送軟件升級包�����、軟件補丁�����。發送時針對不同版本操作系統�,由受控端自行選擇是否自動執行����。因為有些軟件升級包、軟件補丁與應用程序有沖突,會影響終端用戶的工作���。針對這種情況,只能采取專門的解決方案。
在復雜的網絡環境中,一個網往往由不同的操作系統�����、服務器�,防火墻和入侵檢測等眾多的安全產品組成。網絡一旦遭受攻擊后,專業人員會把不同日志系統里的日志提取出來進行分析。不同系統的時間沒有經過任何校準,會不必要地增加日志分析人員的工作量��。系統應提供全網統一的時鐘服務��,將控制中心設置為標準時間��,受控端在接收管理的同時,與控制中心保持時間同步����,實現審計系統的時間一致性��,從而提供有效的入侵檢測和事后追查機制。
4結束語
系統的終端安全管理是一個非常重要的問題,也是一個復雜的問題�,涉及到多方面的因素��。本文從體系架構、安全策略管理、審計主機范圍�����、主機行為監控���、綜合審計及處理措施等方面提出主機審計系統的設計思想�,旨在與廣大同行交流,共同推進主機審計系統的開發和研究,最終開發出一個全方位的符合系統終端安全管理需求的系統���。
參考文獻:
[1]網絡安全監控平臺技術白皮書。北京理工大學信息安全與對抗技術研究中心,2005.
第5篇
【關鍵詞】會計電算化;舞弊與對策;資產管理�;電算化審計�;網絡會計
一���、Internet模式下�,會計電算化的發展趨勢及亟需解決的問題
SaaS是Software-as-a-service軟件在線服務的簡稱,它有以下特點:1.降低企業成本獲得滿意的會計服務;2.為企業提供便捷的會計服務;3.易學易用傳統財務軟件要正式購買�,需要不斷進行升級�����,不斷學習、培訓;4.注重保護用戶數據的安全傳統的財務軟件,如果出現帳套損壞、數據丟失等問題,會給企業帶來很大的麻煩;5.服務對象非常廣泛。
會計電算化也會出現一些舞弊問題��,給企事業單位帶來損失�,通常會計電算化所引起的損失主要有三種:(1)由于災害事故或電源中斷故障等原因所引起的會計信息處理中斷和數據丟失;(2)因電算化會計信息系統本身的錯誤和疏漏所引起的損失;(3)因會計電算化舞弊而引起的損失����。對前兩種損失�,通過借助于開發控制技術就能較好地加以解決���,而對因會計電算化舞弊所引起的損失卻很難解決����。因此如何防范會計電算化舞弊成了企業普遍關心的問題。
會計電算化舞弊的方法主要有以下幾點����,即篡改輸入����、篡改文件���、篡改程序�����、作法操作����、篡改輸出和其它方法�。我們可以通過一些方法進行預防和防范,在制度上:1.嚴格執行內部控制制度�����,內部控制措施的執行應該一視同仁,嚴密防范���;2.加強電算化犯罪法制建設;3.完善內部控制系統運用計算機處理會計信息和其他管理信息的單位,均應建立和健全電算化內部控制系統���。在系統的安全問題上:1.建立多層備份機制。做好財務SaaS系統的安全防護,一個重點就是要分層次地采用服務器雙機熱備份RAID鏡像技術�,財務及管理軟件系統自動備份等多種保護方式。2.建立多級權限機制。在財務SaaS系統應用中,要努力實行用戶級控制數據庫,級控制和網絡系統級控制相結合的多級權限控制機制。3.重點實施全方位的網絡系統安全防御措施���。這些措施包括:部署防火墻防止外部非法用戶訪問����,為數據傳輸轉換設置一道電子屏障�����;采用組合加密技術(密鑰技術),專用密鑰組合加密效果更佳;運用數字簽名驗證對方身份保證數據完整性����,數字簽名還可以建立不可否認機制�����,便于查找造成網絡事故的原因�;使用安全協議��;應積極采用反病毒技術�����,同時財務軟件可掛接或捆綁第三方反病毒軟件����,加強軟件自身的防病毒能力����。
二�、會計電算化對事業單位內部控制的影響
(1)事業單位內部控制形式
傳統的手工記賬規則對總賬、日記賬所要進行訂本賬冊的使用進行了規定����,并且要求那些明細賬必須要采用活頁式的賬冊��,通過很多套帳來實現賬目之間的互相核對和互相牽制����。會計電算化的條件下將手工會計賬冊核對的功能進行了代替���,在很大程度上將不相同職務監督的能力降低。
(2)事業單位內部控制的內容
傳統的手工會計系統中,會計要將那些數據可以用到的符號�����、數字等直接在紙張上面進行記錄��,事業單位的每筆交易都必須要有相關的經辦人員進行簽字確定����,甚至可以將不同筆跡作為控制的重要手段���。但是�,在事業單位會計電算化以后�����,傳統會計工作的單據��、憑證部分會消失不見�,對其進行取代的就是那些將數據處理資料進行存儲的光盤����、磁帶以及磁盤等等��。而這些在磁性介質上進行存儲的信息往往是我們人類肉眼不能夠看到的���,這樣也就導致這些數據很容易被篡改或者刪除���,在這里消失���、中斷的傳統控制程序以及傳統的控制方法有些已經不能再適用了��。
三、會計電算化對事業單位內部控制制度的新要求
會計電算化要求我們職責分離,也就是事業單位的資產保管���、記錄��、執行以及業務授權等工作和職責要很好的分開�����。根據相關的會計電算化工作規范中所規定的內容����,我們可以將事業單位會計電算化職責和崗位進行一定的劃分��,可以將其分為:數據分析�、電算審查、審核記賬��、軟件操作�����、電算主管等�。
四�、會計電算化必然導致電算化審計
(1)會計電算化下審計線索不能滿足傳統審計的需要
在手工會計中,審計線索包括會計憑證�����、會計賬薄���,會計報表等會計資料���,這些資料都是紙質的�����,每筆交易都有一個完整的審計線索,審計人員根據這些資料來檢查會計信息是否公允、會計處理方法和會計政策是否一貫���、財務收支是否合法���。但是會計電算化中���,會計人員只需錄入原始數據�����,就能自動生成財務報表、總分類賬�、明細賬�����,中間會計處理由計算機按程序自動完成,傳統的審計線索中斷消失���,審計中即使發現可疑之處,對其進行追查也是比較困難���。
(2)會計電算化下審計內容更復雜,技術性更強
會計電算化下數據處理環節減少��,并且由計算機接程序自動集中處理���,尤其是許多會計軟件有取消出納簽字����、取消審核、反記賬和反結賬的功能����,這些功能可以對會計資料進行無痕修改。會計電算化應用程序被人非法篡改,嵌入非法程序���,使得計算機只會按照給定的程序處理會計事項,造成資產的不明流失。這些都加大了審計的難度���。
(3)會計電算化下審計標準和準則有待完善
傳統的審計在實際工作中已經建立了一系列審計標準和準則。實施會計電算化后,審計對象和審計線索發生了變化���,審計的技術和手段也相應的發生了變化,故在原有的審計標準和準則基礎上,還應建立與會計電算化相適應的新的審計標準和準則����。
(4)會計電算化下內部控制系統更加復雜
手工會計中�����,內部控制的測試是看得見、摸得著的。會計電算化系統中��,大部分控制措施都是以程序的形式建立在會計電算化中��,而會計電算化系統的內控功能是否恰當有效����,會直接影響系統輸出數據的真實和準確�。
(5)在動態的會計電算化中進行審計取證較難
會計電算化的優點是對數據的處理能及時反饋給管理人員,某些企業每天都要進行成本和利潤的結算,進行生產動態分析,因此系統必須一直處于運作狀態�,一旦停止工作����,將會給被審計單位造成經濟損失�����。而審計人員一方面要完成審計任務����,另一方面又不能終止被審計單位會計信息系統的運行���,存在一定的審計風險���。
那么��,如何實施電算化審計呢�����?
(1)提高審計人員的素質、培養復合型審計人員
電算化審計是綜合了會計、審計和計算機的一門邊緣學科,它對從業人員的素質要求更加全面���。因而審計機構和會計師事務所應重視電算化審計的應用,積極引進既有審計經驗又具備高層次計算機知識技能的復合型人才,同時對現有會計人員要有計劃����、有步驟地進行計算機的后續教育�����,提高他們對會計電算化系統的控制能力;另一方面要讓計算機技術人員學習會計和審計的基礎知識,使他們開發的電算化審計軟件更科學,更有效�����。此外高校對審計專業的課程設置中應加大計算機程序�,數據庫相關方面的課程,拓寬學生的素質和能力,培養復合型審計人員�����。
(2)建立���、完善電算化審計的軟件環境
第6篇
一���、財務預算管理審計思路創新的構想
財務預算管理體制對預算執行審計的工作目標����、方式方法等方面提出了新的要求���,預算執行審計必須圍繞新的財務預算管理體制�����,加大預算執行審計的監督力度���,從而才能不斷規范財政管理���,提高財政資金使用效益�,促進財政體制改革不斷深化����。
1、轉變審計思路����。以往的財務預算執行審計存在著諸多不足��,如對預算的編制環節關注不夠、對預算支出的結構分析不夠���、對支出的效益性重視不夠等等。要克服這些不足�����,首先要轉變觀念���,改變傳統的審計思維方式�,根據財務預算管理的要求���,把審計監督貫穿于預算的全過程���,既要抓好預算編制審計�,又要抓好預算執行審計,從預算收入入手,著力于預算支出審計;從預算執行結果出發��,著力于預算執行全過程審計。通過審計��,逐步健全和完善財務預算管理�,促進財務管理的法制化和規范化。其次�����,要有明確的目標�����,促進財務預算的合理����、準確��、規范和有效�。監督財務收支����,保證財務預算管理的到位��,促進財務預算的執行和經營目標的實現��。特別是加大支出結構調整的審計,增強預算的透明度和約束力;通過對材料采購過程的審計����,有效抑制財務資金使用中的腐敗現象�����,防范和化解資金管理中違法亂紀現象的發生,維護整體利益。
2、明確工作職責�。應當看到�,財務預算管理不只是企業集團總部的事�,下屬各單位應當同時實施財務預算管理。審計部門在集團的財務管理預算審計中具有舉足輕重的地位,發揮著不可替代的作用�,扮演著財務預算管理審計的“牽頭單位”����。同時財務預算部門作為“操盤手”����,在財務預算的編制、執行與控制、調整、分析與考核中不可或缺��。明確他們的工作職責尤為重要���,必須得到充分重視�����。
3�、創新審計手段��。隨著內部審計由財務領域向經營管理領域的擴展���,原有的審計手段已經不能適應現實的需要,審計人員應力求在審計手段上有所創新��。企業集團應實行預算管理審計信息化�。一是實現財務預算系統與銷售、供應����、生產等系統的信息集成和數據共享��,使集團生產經營能沿著預算管理軌道科學合理地進行。二是財務預算審計軟件與財務應用系統銜接�,使財務預算審計可隨時匯集財務會計信息���,查詢子公司資金流向��、避免傳統手工做法的弊端,保障預算管理審計的質量和速度�����,有效地促進集團財務預算管理的規范進行。三是通過財務預算審計��,推動財務信息與業務流程一體化��,努力規避財務風險���,提高預算審計的水平��。同時,我們還要逐步學習和引進國外先進的預算審計思想,積極探索集團財務預算管理審計模式����,加強監督和控制�����,努力發揮集團財務預算管理審計效益�。
4、強化監督力度����。企業財務管理實行預算管理體制以后��,要求我們不僅在開展預算執行審計的內容上有所突破,而且要強化過程審計監督的力度�����。一是要加強對部門預算編制和執行的審計���。即對預算編制的真實性����、合理性實施審計,關注那些資金支出數額較大的部門����,檢查其支出項目是否合理����、真實���,有無虛列�����、空掛等現象���。通過“同級審’檢查財務部門是否按預算支出,是否存在隨意性;二是要加強對各項費用的審計��,重點是檢查財務支出的結構�����,看其是否按要求列支及支出的合理性����,檢查福利�、業務招待費等重點子科目。三是加大對部門的延伸審計力度,檢查其支出是否按預算執行及合規性���,防范部門支出違規行為的發生,從而從源頭上遏制腐敗現象的滋生;四是加強物資采購的審計�����,主要審查預算編制程序合規合法性�,招標的公開程度和公正性,以及采購價格和質量等。五是健全內部審計監督制度��,將更多的精力放到預算管理審計中去�,強化事前預防和事中控制,保證集團各項經營活動都在預算嚴格的程序下進行��。實現經營管理處處有章可循���,事事受程序制度制約。
5��、提高隊伍素質�����。審計署在《審計署2003至2007年審計工作發展規劃》中�,著力強調“以審計創新為動力��,以提升審計成果質量為核心�����,以加強審計業務管理為基礎�,以“人、法、技”建設為保障,全面提高審計工作水平�����,基本實現審計工作法制化��、規范化���、科學化”�。預算執行審計工作要提高審計質量���,需要審計人員具有較豐富的宏觀經濟知識���、較高的政策水平���、較強的綜合分析能力及處理問題的能力?,F代財務審計也需要審計人員必須掌握現代審計知識、計算機應用技能。因此�����,實施財務預算管理體制的當務之急是提高審計隊伍的整體素質��。應認清形勢���,理清思路��,采取積極措施,加強審計人員的思想業務培訓,培養和造就一批復合型審計人才���,建立起一支思想好����、作風硬、業務高的高素質審計隊伍��,這樣才能適應新時期的需要���,進而不斷提升審計的質量和水平�,為領導科學決策提供依據。
二�����、企業預算管理審計應把握的原則
預算管理是一套系統�、精細的管理機制,是一種全方位����、全過程和全員的綜合性管理系統���,具有全面控制和約束力���。審計人員要樹立現代審計具有管理職能的意識����,要深入到經營中去����,發揮審計的優勢�,緊緊圍繞企業生產經營目標�,積極行使審計職權。
1����、全面性。企業預算管理是一項復雜的系統工程�,審計部門必須從自身實際出發����,不斷完善預算標準和提高基礎管理水平�����,力求做到全面�����、系統、科學���、先進,同時體現可控制����、可考核���,實現審計工作高效率和低成本的要求��。在推行過程中應分步驟實施,注重實際����,不能急于求全與求成�����。
2��、先進性��。實施預算管理審計,必須有信息化管理系統支撐。審計部門應依托科技平臺����,積極開發全面預算管理的軟件�����,不斷完善審計業務、財務信息系統,完善全方位的監控體系�,這樣才能保證預算編制�����、控制、分析、調整��、考核���、評價的實時性和有效性�。
第7篇
【關鍵詞】高校;財務預算管理;問題���;對策
財務預算管理是現代高校財務管理的重要內容,隨著高校教育事業的快速發展,高校辦學經費日趨緊張,高校面臨的各種經濟活動也日益復雜���,高校財務預算管理的重要性顯得愈來愈突出。切實解決高校財務預算管理存在的問題,不斷提高高校財務預算管理水平���,對于高校的持續穩定發展具有重要意義。本文從高校財務預算管理的內涵及作用、高校財務預算管理存在的問題及對策方面進行簡要探討。
一、高校財務預算管理的內涵及作用
(一)高校財務預算管理的內涵
預算是未來一個時期的計劃����,預算管理是指運用預算對單位各部門�、各種資源進行配置�����、控制����、反映與考評等一系列的管理活動�,并以此來提高單位的管理水平與經濟效益。高校預算管理就是要根據高校年度內所完成的事業計劃和工作任務合理確定年度財務收支計劃,為高校日常組織收入和控制支出提供依據,以確保高校的正常有序運行��。高校的預算管理包括預算編制���、預算執行���、預算調整��、預算評價等方面��。
(二)高校財務預算管理的作用
預算管理是高校財務管理的一個重要組成部分,其作用主要體現在四個方面:1.促進高校的收支管理,確保各項資金的合理有效使用,對高校的持續穩定發展提供有力的資金保障。2.促進高校辦學計劃的開展與完善�����,減少辦學過程中存在的風險����。通過預算管理,使高校能夠制定合理的發展計劃�,避免盲目發展導致不必要的損失�。3.預算管理能夠明確各部門的責任�����,有利于各部門之間的協調�,減少相互間的沖突與矛盾���。4.有利于績效考核和強化內部控制���。預算管理能夠提供績效的評價標準�,便于對各部門實施量化的業績考核和獎懲制度�,規范員工的日常活動�����,減少高校辦學活動的隨意性�����。
二�����、高校財務預算管理現狀審視
(一)預算編制不合理
主要表現在:1.預算編制方法不科學。由于受過去財政預算管理的影響���,目前高校大多還是采用基數加增長的預算編制方法。雖然財政預算改革要求實行零基預算�����,但由于財力不足��,各種矛盾難以平衡��,零基預算在實際操作中很難執行到位,導致一些不合理的支出繼續存在��,同時也會引發各部門盲目擴張預算規模����,造成資金使用效益低下�,供給緊張的不良局面,削弱了預算管理在財務管理中的重要作用��。2.預算的準確性較差�。主要原因有三個方面:一是由于改革的不斷縱深發展,資金來源逐漸多元化�����,宏觀經濟環境變化等不確定性因素大大增加,預算編制難度也隨之增加��,難以準確預測�����。二是高校在編制預算時準備工作不充分�,缺乏量化分析和科學論證��。一些單位即使想做好預算編制�����,但由于基礎工作薄弱,基礎數據搜集難度大�,也是有心無力��。三是預算編制程序不規范,隨意性較大�,造成預算與實際脫節���。3.預算編制的內容不完整�。由于受利益驅動��,一些高校往往沒有將全部收支納入綜合預算���,搞資金的體外循環��,脫離高校財務預算的監督和控制�����。同時��,在收支預算編制時也不具體、不完整,在預算執行時隨意性較強��,預算管理的作用得不到有效發揮�����。
(二)預算執行控制機制薄弱
主要表現在:1.預算執行不全面����。預算執行不僅包括支出預算�,還包括收入預算,但在實際執行過程中,許多高校往往對支出預算比較重視,對收入預算執行的管理比較松懈��,其結果是全年支出預算安排基本全滿��,而收入預算不一定全部實現��,從而導致預算赤字。2.預算執行缺乏有效監督�。很多高校在財務預算下達之后����,未能對預算的執行過程實行及時有效的跟蹤管理和監控�,使預算編制形同虛設。同時,各部門之間也存在各自為政、缺乏管理�、監督和相互約束的現象�����,使預算執行的控制約束力大打折扣。3.預算執行制度不規范。在預算執行���、調整等方面由于沒有相應規范的制度�,在實際執行過程中,一些高校片面強調客觀因素的影響���,隨意開口子、批條子���,預算項目直接或變相改變用途、追加預算等現象時有發生�����,預算經費得不到有效控制�。
(三)預算考核評價機制不健全
主要表現在:1.預算考核評價制度不完善。目前�,大多數高校尚未建立一套完善的預算執行分析考核制度和相應的獎懲措施����,有的高校雖然制定了嚴格的規章制度,但落實卻不夠到位�����,缺乏預算責任追究機制�����,使預算考評流于形式��。2.預算考核評價標準和方法簡單。大多數高校的年終考核一般由財務部門根據預算的執行數與定額數進行對比,看是否超預算,缺乏深度剖析和科學評價,沒有實際指導意義��。
三���、加強高校財務預算管理的對策
(一)提高預算編制的科學性與合理性
1.建立合理的預算編制系統�����,充分調動各部門的理財積極性。高校預算管理作為一個系統����,沒有相關部門在預算管理中的基礎作用���,預算編制很難做到科學合理�。因此����,高校在編制預算時,一是要建立組織機構制度���,從制度上明確各部門的職權范圍,同時要建立較為通暢的信息溝通渠道���,促進各職能部門之間的密切合作,使預算更加科學合理��,為預算的順利實施打下良好的基礎�。二是要建立健全原始數據信息網絡,確保預算編制依據的準確性���。三是要建立預算評審制度,保證在審核預算時有嚴格的標準���,避免人為因素,力求公平�����。2.采取科學的預算編制辦法��。預算編制要從實際出發���,堅持“量入為出,收支平衡”的原則,不能簡單地沿用基數加增長的預算編制方法���。收入預算要能體現資金來源多樣化,支出預算也要能體現高校事業發展的規模和方向。3.規范預算編制程序����。學校內部的預算編制和控制程序可以參照《預算法》和《高等學校財務制度》關于對學校和上級主管部門之間對預算編制和審批的程序要求�����,以規范預算編制程序,減少隨意性。4.提高預算編制內容的完整性。要科學劃分預算控制科目�����,各部門要將所有收入和支出要全部細化到具體項目�,以便監督預算的執行。
(二)強化預算執行管理
1.加強預算執行流程規范化管理。要建立和完善預算執行中的各項制度���,規范各類人員的行為,明確預算方案中各個預算經費項目的管理權限、審批程序和監督方法等�����,尤其是要強化審批約束力,嚴格審批制度�����。學校領導要帶頭維護預算的權威性��,自覺執行有關規定�,不得隨意改變資金性質和支出規模��,抵制一切無預算����、超預算開支現象�。特殊情況下的超計劃經費應嚴格按照相關制度進行預算調整�����,經批準后按規定執行�。2.加強審計監督���。學校審計機構要定期對全校的預算目標完成情況進行全方位審計�����,及時發現預算與預算執行的偏差��,并分析其原因,有特殊情況的,要按照相關規定及時調整預算�����,以保證預算的正常實施����。3、加強預算執行管理網絡化建設。一方面����,可以通過計算機管理軟件系統對整個學校及下屬各部門的預算計劃及執行情況進行實時監控���,嚴格控制資金流向�����,通過設置權限劃分���,一旦發現超預算或無預算用款現象�,系統立刻自動提出預警信息或禁止動作。另一方面�,還可利用學校內部局域網�,將學校和各部門的預算執行進度和情況傳遞給學校決策者���,使他們能及時了解相關信息����、合理作出相應決策,以保證預算計劃的順利完成�。
(三)建立科學的預算考核評價體系
1.建立預算執行考核制度����。要把預算管理納入各職能部門的工作考核����,制定科學合理、行之有效的績效考核辦法��,對學校各部門預算執行的真實性���、合法性和效益性等進行科學評價��。2.建立獎懲制度����。要強化節約有獎超支要罰的觀念,把預算執行情況與個人獎懲掛鉤��,鼓勵學校各部門積極增收節支�����,不斷優化預算支出結構,提高預算支出效益�����。3.實行預算項目追蹤問責制�。高校應建立預算項目具體責任人追蹤問責制度,特別是對大的預算項目和重點開支�,要對其經濟活動是否合理合法及收支標準執行情況進行嚴格考核�����。對不履行監督和管理職能的部門和個人進行責任追究,對發生經濟損失的責任人要追究行政���、經濟和法律責任。
參考文獻:
[1]陳紫瑩.加強高校財務預算管理的全過程控制[J].經濟師,2012,(3).
第8篇
關鍵詞:內部審計 全面預算 作用 完善 措施
中圖分類號:F239.45 文獻標識碼:A
文章編號:1004-4914(2012)11-165-02
內部審計是企業內部獨立�、客觀的監督���、評價與服務活動��,它通過系統的、規范的審計程序和方法���,審查和評價企業經營活動和內部控制的適當性、合法性和有效性��,促進企業加強內部控制�,改善風險管理,提高經營效益和效率���,以利于企業實現目標。
一�、內部審計在全面預算管理中的作用
1.有利于健全企業內部管理制度�,提高預算管理水平�����。內部審計根據企業預算執行的實際經營情況進行審查分析�,對企業相關市場營銷政策���、財務管理制度�、人事管理制度�����、薪酬管理制度���、工程項目管理和固定資產管理制度等進行遵循性����、有效性審查��,是否按照集團公司下發的相關政策制度執行�����,企業制定的相關政策、制度,是否違背了集團公司的相關規定。在經營管理過程中是否存在薄弱環節���,是否存在制度上的漏洞,并提出合理化建議,形成審計報告�,報告給集團公司并進行通報�,企業負責人為第一責任人��,必然會采取多種整改措施�����, 確保企業組織運行過程的合法性和合規性,完善相關內部控制制度,提高預算管理水平�。
2.有利于準確評價預算完成情況及其差異的形成原因����,便于進行業績考核�。內部審計圍繞信息資料生成全過程進行規范管控,通過查證賬簿資料及其他資料的真實、準確、及時��,加大對業務收入�����、成本費用支出����、資本性支出等重點環節的審計力度�����,檢查信息渠道是否健全��、暢通,防范和控制財務信息失真的風險,為企業正確決策打下基礎��,為準確評價預算完成情況提供依據�。
3.有利于保護公司財產的安全完整,為預算的編制提供真實、可靠的財務信息。內部審計圍繞資金使用和資產管理的全過程管控�����,加大對各類資金的盈缺�、繳付、審核和各項資產的增減����、處置等關鍵點的審計力度����,防范和控制資金資產流失的風險�,保證資金資產的安全完整。(1)從各類資金的使用到各項資產的處置,關注大額資金支付和重大資產處置的審批程序及資金資產的安全完整����。關注大額資金使用是否嚴格履行審批及支付流程,嚴禁違規支付資金���,關注重大資產處置是否嚴格履行審核程序、技術鑒定和財務處理規定�����,嚴禁隨意處置或核銷資產���。(2)關注營業款是否及時全額上繳��,特別是關注縣鄉或偏遠地區營業款的安全����,關注資金收支兩條線執行情況�����,嚴禁坐支或擅自從收入賬戶劃轉資金�����。(3)關注應收應付往來款項定期核對情況,嚴禁對公司內部及外部應收款項長期掛賬不清或無依據隨意核銷���。(4)關注工程物資、有價卡和終端等重要資產是否嚴格履行出入庫手續��,資產是否定期盤點�、清查和對賬,規避短缺���、丟失和跌價風險,保證賬賬���、賬實相符�����,確保公司資金資產安全完整���,為預算的編制提供真實���、可靠的財務信息�。
4.有利于優化配置資源,促進企業經營效益的提升�����。合理配置資源是企業獲取價值最大化的最直接�、最有效的措施。全面預算作為一種管理控制工具�����,在資源的合理配置方面發揮著越來越大的作用�����。通過內部審計對企業資源使用的經濟和有效性評價����,可以發現資源配置中存在的問題�。內部審計的建議、參謀和控制作用可以促進企業在經營過程中及時防范和控制風險���,提高企業管理水平,為企業創造效益����。(1)隨著企業建設網絡規模的擴大,工程項目增多,資本性支出不斷加大�,內部審計人員的檢查分析就變得尤為重要����。內部審計人員可以圍繞資本性支出重點環節的規范管控���,及時做好工程審計工作�,一方面保證工程造價的真實、準確;另一方面加大對審計項目的現場核實力度���,指出企業在工程管理上的薄弱環節,提出合理化建議,加強工程物資和工程進度管理,督促解決工程結算滯后的問題��,促進投資成本盡快形成生產能力和投資項目的及時轉固�。這樣既節約了資源又確保了建設資金的有效使用。(2)隨著企業資產總額的增加,內部審計關注企業資產是否定期盤點����、清查和對賬��,是否隨意處置或核銷資產,是否有閑置資產��,分析和查找各種閑置原因���,提出合理化建議��,幫助企業充分利用閑置資產�,挖掘生產經營能力���,促使生產力的合理配置�����,合理利用資源,規避資產閑置風險��,為企業創造更多的經濟效益��。(3)隨著企業客戶發展量的增多�����,渠道規模的擴大,內部審計關注市場經營過程的有效管控���,重點檢查和分析營銷費用的使用是否真實有效�,渠道服務費是否遵循成本效益原則���,提出合理化建議�����,防止企業因客戶發展規模擴大帶來的營銷費用無效增加��,及時杜絕營銷成本的無序使用和無效性,促進公司合理配置資源,確保公司經營效益的提升����。
二�����、新形勢下進一步發揮內部審計作用的措施
1.轉變審計觀念,保證內審的前瞻性。先進的管理理念、管理思想的出現必然要求內部審計人員建立新的審計理念����,要有創新精神���。隨著全面預算管理的加強,內外制約機制都會有所加強�,內部管理水平相應提高�,內部審計人員應積極發揮主觀能動性�����,變被動為主動�,從“差錯防弊”轉向為內部管理服務�����,從內部檢查和監督向分析與評價方面轉變���,審計工作方式向管理和效益審計轉變���,加強事前事中的過程控制和風險防范以及事后的分析考核�,充分發揮審計監督與服務職能�����。
2.完善內審組織體系�,保證內審的客觀獨立性����。獨立性是內部審計的基礎,是內部審計客觀�����、公正地履行職責的保障�。按照國際內部審計師協會的屬性標準,內部審計活動應該獨立���,內部審計師在開展工作時應做到客觀�����。它包括兩方面的含義:一是機構的獨立性��。即審計執行主管在機構內應向能使內部審計活動實現職責的階層報告,也就是內部審計活動在確定內部審計范圍、實施審計及報告審計結果時應不受干擾。二是個人的客觀性�����,也就是內部審計師應有公正的態度�,避免利益沖突。為保證內部審計的客觀性,內部審計必須對企業的決策和經營過程保持獨立�,內審機構必須獨立于被監督者����,內審業務的開展�����、經費的核算等不受其他部門牽制�。因此,企業尤其是大型企業應當按照現代企業治理結構要求建立獨立的內部審計機構���。內審機構直接接受單位最高管理層的領導,對其負責并報告工作��,不受其他部門和個人干預����。設立董事會的企業,董事會可下設審計委員會��,以加強對內部審計工作的指導和監督�����;尚未設立董事會的企業,審計機構應由企業主要負責人直接領導,確保內審工作的獨立性和權威性�����。沒有條件設立內審機構的企業���,可配備專職內審人員�����,并接受企業主要負責人直接領導����;也可以雇傭外部審計組織來代替內部審計��,即所謂的“內審外包”�����。內審業務所發生的費用預算、內審機構及其主要負責人的業績考核、職務升遷和薪酬變化由企業最高管理層直接決定,不與所監督部門發生任何利益關系����。
3.加強內審制度建設����,提高內審質量和作用����。首先,要建立健全企業內部審計工作制度����,推動內部審計工作制度化、程序化和規范化��。要明確內部審計機構工作職責��,完善內部審計工作制度和工作標準��,明確審計內容和工作流程,規范操作程序����。要重視審計規劃�����、計劃的制定和實施。運用風險評估與分析方法�����,確定企業各項管理和業務工作的風險程度���,制定好年度審計計劃���。同時要認真抓好計劃的實施。其次�����,要建立健全內審質量保證體系����。包括形成規范的審計項目質量考評制度、審計人員績效考核制度以及責任追究制度等激勵制約機制�,重視對內審項目的年度綜合分析報告��,當好管理決策層的顧問和助手�。第三,要建立健全內審結果的落實制度�����。企業要做到審必嚴�����,責必究���,及時對審計中發現的問題進行研究處理���,落實整改�����,充分發揮審計結果的效力。要建立后續審計制度�,對審計意見的落實情況進行跟蹤���;建立企業資產損失責任追究制度�,落實經營管理責任�����;建立審計公告制度��,提高審計的透明度和影響力。
4.加強內審隊伍建設����,提高內審人員整體素質���。要優化內審隊伍結構。隨著內部審計由財務領域向經營、管理領域的拓展���,內審人員的構成也應是多元化的。要在嚴格內審人員的從業資格的前提下,按照建立現代企業制度要求配備既懂財務又懂經營管理的高素質人才����。內部機構不僅要有會計��、審計專業的人才,而且還應配備精通企業各相關業務的專門人才,尤其是經驗豐富的經營管理人才。要注重內審人員的素質提高。由于內審技術、相關法規及經營環境��、條件等具有可變性的特點��,內審人員有必要通過接受培訓和教育來持續他們的專業發展�����。因此企業應加強對內審人員的后續教育,提供業務培訓機會; 內審人員應采取業余自學和專業培訓相結合方式�����,加快知識更新���,熟練掌握審計技能����,精通與審計相關的各種知識,提高自身業務素質���,積極適應企業發展的內審需求�����。要高度重視現代科技在內審領域的運用�����。打破以往傳統的“看聽查”的手工操作模式����,充分運用以微機應用和審計軟件為主的計算機輔助審計技術����,不斷提高審計質量和效率。
5.改進內部審計的方法,提高內部審計的質量�。內部審計的方法選擇是否恰當關系到內部審計的質量�����,為此要特別重視。具體方法有兩個方面:(1)明確工作目標�。全面預算管理的實施必然影響到整個管理體系的改變��。這就要求審計人員確定新的工作方向和目標。審計人員應將審計方向放在對單位全面預算管理的分析和評價上�����,對整個運作過程進行參與和監督���,這種監督不應僅限于事后監督��,更多的是事前預防和事中控制�����,對單位全面預算進行全過程、全方位的監督和評價,及時發現各個環節存在的問題。內部審計的工作重點應放在經濟資源的利用、開放的有效性和管理的效率效果上�,也就是指保證全面預算管理工作的科學性、合理性和有效性���。(2)開展預警分析。預警分析是輔助審計部門有針對性����、時效性地開展審計工作的重要工具�����。內部審計人員通過對各種經營和財務數據的預算完成情況分析、比對�,關注數據變化的趨勢�,對數據異常變動進行分析和預警���,建立審計預警信息平臺����,關注預算執行過程中的動態監控,一是關注重要的指標和數據變化情況�,關注企業績效考核重點指標的完成情況��,以及主要業務、財務指標的變化情況和發展趨勢���。二是充分利用經營預警分析結果,跟蹤分析經營發展情況����,及時捕捉企業經營管理中的潛在風險問題�,推進預算體系的完善和預算水平的提高���。
參考文獻:
1.韋文娟.新時期企業內部審計的作用和發展策略.事業財會�����,2007(2)
2.朱正戶�,占再清�����,楊子英.我國中央銀行內部審計的現狀及發展取向.武漢金融����,2004(1)
3.邢夏澤����,田力剛,姜士煜.人民銀行“服務導向型”內部審計的發展取向.內蒙古金融研究�����,2009(7)
第9篇
在基本建設的過程中����,由于工程管理不到位,甚至出現具體建設行為違反了建設相關法律規定���、法律監控不力等原因,使得基本建設結算審計管理出現問題����,出現廉政風險�����,影響投資效益。
2基建結算中存在的主要問題
首先����,在我國基本建設中,許多項目還停留在事后竣工結算審計的方式上,審計人員對項目不能深入了解,結算審核難以深入。其次,工程招標文件編制不嚴謹,承包合同簽訂不規范����,造成工程量高估冒算�����、簽證隨意和計價不準確等,存在諸多結算審計方面的法律風險。再次�,業主�����、監理單位過程管理不嚴,缺乏施工管理經驗��,甚至和承建單位串通�����,出現廉政風險����。最后����,工程竣工驗收不嚴格,竣工結算資料提供不完整,建設單位無經濟管理方面人才且相關知識缺乏���,不能對工程投資進行有效監管。
3加強基建結算審計管理,確保項目資金使用安全、高效
3.1重視內部審計�����,節約建設資金���。加強建筑工程經濟知識的學習����、積累�����,重視內審工作����,防止施工方工程高估冒算、質量低劣�����、弄虛作假����,達到加強業主內部管理的目的,防止商業賄賂現象的發生。(1)實行設計監理���,進行投資、設計進度與質量控制。設計質量是建設項目總體質量的決定因素,設計階段可能節約投資達35%以上����,對工程建設投資產生關鍵作用�����。一是要重點審查設計招標文件的合規性和完整性,包括可行性報告是否已批復����、土地、規劃相關的各項報建手續是否齊全等;二是多方案比選�,對設計進行技術經濟分析��、論證,統籌兼顧各專業分工與協調�����,在保證質量前提下開展限額設計��,做到用投資估算控制初步設計��,施工圖預算不超概算。(2)提前介入�,參與項目準備階段的工作�,特別關注投標資格預審���、招標文件編制����、標的的編制、評標方法����、合同主要條款的合理性�����、規范性。(3)重視項目建設過程管理�。首先���,深入施工現場�,熟悉施工圖紙�����,了解施工工藝流程,掌握施工具體做法。其次�,參與隱蔽工程驗收����、材料選用��、三單簽證���、竣工驗收����,主動收集、完善工程資料�����,進行施工過程控制管理�。
3.2加強組織管理,實施項目全過程跟蹤審計�����。全程同步審計能有效監督建設資金籌集�����、管理�����、使用等,促進建設過程與建設程序規范��,保證項目陽光運行���,提高資金使用效益���。(1)主管領導重視�。規范結算審計程序����,優化施工管理環境,有條件地建立相關部門,配備相應的基建投資內審人員;制定基建工程項目責任追究制度����,責����、權����、利分明;同時,建立基于互聯網技術的項目參與方信息反饋交流、共同工作和互動的信息門戶��,加強信息管理��,節約建設總投資��。(2)嚴格合同管理,明確業主、設計�����、監理��、施工�、專業審計機構等各主體的權利和責任���,協調好各方的關系�����。發揮審計職能,正確定位項目跟蹤審計職責��,處理好基建審計和工程管理的關系���。要熟悉工程合同內容�����,弄清合同條款內容及各條款之間的相互關系����。按照《合同法》和有關規章���,判定該合同是否有效,重點關注合同內容有無違背國家政策法規和其他規定�、有無自相矛盾內容�����、有無明顯不平等內容、合同內容有無明顯漏洞或缺口(3)適時評價��、持續監督和及時反饋��,實現跟蹤審計理念�。首先���,定期與不定期察看工地現場�,注意原始資料積累,做好跟蹤審計施工記錄��。對現場實際與資料不符的應以實際為準;查看施工日志的記錄是否真實��,項目的實施是否與氣象日志矛盾、計算總量是否與監理簽證一致等等;其次����,對照施工圖和竣工圖進行變更資料審查���,有效控制工程變更�����、洽商的發生。在施工過程中建立詳盡的變更資料臺賬�����,檢查三單是否制度要求操作管理����,是否做到必要、及時���、準確、規范����,對未辦理手續的變更屬于結構����、工藝流程等補辦設計變更通知;查看簽證手續特別是隱蔽部分的簽證是否符合客觀實際�,避免審計漏項和計算差錯。再次�,參與材料���、設備設施的采購與交驗,加強協調與溝通,通過掌握的同期價格行情和本地物價統計部門公布的價格信息��,對照已協商認定的主材價格�,確認其合理性和真實性,必要時可抽查施工單位購貨發票,對違反規定和合同條款的要進行糾正。最后,重視項目竣工后使用管理,加強項目檔案資料整理�、歸檔�����,監督審計決定執行情況,做好質量缺陷期和保修期的相關工作,發揮維修資金作用���,保證資金使用安全。
4結語
