時間:2023-04-11 17:28:58
序論:速發表網結合其深厚的文秘經驗,特別為您篩選了11篇系統審計論文范文。如果您需要更多原創資料,歡迎隨時與我們的客服老師聯系,希望您能從中汲取靈感和知識!
(二)信息系統審計的目標。信息系統審計和控制聯合會(ISACA)COBIT框架認為組織內部的信息系統需求三原則是:質量、成本和安全,即在保證信息系統滿足組織需求的前提下,盡可能避免組織內外部風險,并減少研發和維護成本。因此信息系統審計的目標就是對組織信息系統的運行的可靠性,數據的真實性和安全性提供評價。
(三)信息系統審計的步驟。由于大多數高校內審機構在“數字化校園”開發階段并沒有參與其中。本文所述的信息系統審計專指信息系統運行維護階段的審計。
1.審計準備階段。信息系統審計準備階段步驟與傳統審計類似,通過從被審計單位獲取相關信息系統管理的規章制度,找負責系統維護管理的工作人員座談,實地觀察等方式,完成審前調查,進行風險評估、初步確定審計重點和制定審計實施方案等工作。
2.審計實施階段。信息系統審計在實施階段分為兩部分,分別為信息系統一般控制審計和應用控制審計。一般控制審計往往比應用控制審計更為重要,因為應用控制的有效性常常受到一般控制的影響。根據審計項目不同,審計人員可以只實施一般控制審計或者兩者結合進行審計。(1)一般控制審計。一般控制審計又可以分為硬件和軟件兩部分,兩部分的審計重點和方法有所不同,分別為:對硬件的審計通過實地觀察法實施,主要有審計網絡接口是否安全,是否有硬件防火墻,硬件設備存放環境是否安全,防火、防雷、防盜措施是否完備,是否裝備了UPS,在硬件出現故障時是否制定了應急響應計劃等。對軟件的審計通過抽樣、觀察和面談實施,審計重點為:一是系統管理控制,主要有系統設定的職責分離是否合理,授權管理是否充分,是否做到一個系統賬戶對應一個工作人員,是否確保了只有被授權的用戶才能對特定資源和數據進行訪問等;二是軟件安全控制,主要有是否安裝了殺毒軟件,軟件是否定時升級,未經授權的軟件能否安裝,是否有系統操作規范等;三是數據管理控制,主要有數據傳輸是否加密,系統數據是否定期備份,有無冗余備份,數據修改是否按照規定程序進行審核,向外部傳輸系統數據是否有身份認證,是否定期對數據質量進行檢查等。(2)應用控制審計。信息系統應用控制是指為保證應用程序處理數據時按照組織流程運行,確保數據的完整性和真實性的控制,包括輸入控制、處理控制、輸出控制三部分。輸入控制包括輸入授權、數據轉換和編輯校驗,處理控制包括運行總數控制、計算機匹配和批處理控制,輸出控制包括復核系統處理日志、審核輸出文本、審核程序。對應用控制的審計,主要通過分析性復核和計算機輔助模擬的方法,審計重點為信息系統業務的控制點設置是否合理,數據處理程序最多運行數,是否有審核系統日志程序等。
3.報告階段。內審人員根據實施階段編制的工作底稿,出具審計報告初稿,與被審單位充分溝通后,修改審計報告,報相關層級領導審核后,簽發正式審計報告。
二、高校做好信息系統審計的措施
1.轉變觀念,提高開展信息系統審計必要性的認識。“數字化校園”建成以后,高校內部控制環境已經悄然發生改變,內部審計要想充分發揮其獨有的管理評價職能,必須迎頭而上,及時開展信息系統審計。不少內審機構認為信息系統審計專業性太強,無從著手,實際上信息系統審計的核心并沒有改變,還是對信息系統控制的評價,并沒有超出審計人員專業知識的范疇。
2.結合實際,建立信息系統審計的體系。當前,國際上已經有比較成熟的關于信息系統審計的體系,那就是信息系統審計和控制聯合會(ISACA)COBIT體系,但完全照搬肯定是不行的,在實際操作中,內審機構必須結合國情、校情,進行修訂更改,出臺符合自身工作實際的、具備可操作性的信息系統審計體系,以規范審計工作。
審計系統是在一定的經濟社會環境下產生,又在特定的外界環境中存在和發展。它是環境的產物,必須和環境相適應。與生態系統中的生物一樣,審計系統的生存、生長受制于環境,但審計系統的存在和發展又反過來影響和改變環境。回顧審計系統的發展歷程,經歷了三個階段:
第一階段是19世紀中葉,在資本主義得到充分發展、取得工業革命成功的英國出現了現代意義的審計(稱英國式審計或詳細審計)。當時的審計對象是會計賬簿,審計的目的是查錯防弊,所使用的審計工具是詳細檢查,審計信息的使用人是股東。第二階段是本世紀初,在資本主義發達的美國出現了以資產負債表為對象的資產負債表審計,其目的是判斷借款人的信用狀況,審計信息使用人從股東擴大到債權人(主要是銀行)。第三階段是本世紀20—30年代,由于資本市場證券化,在美國出現了以損益表為中心的財務會計報表審計,目的是提出客觀公正的審計意見,審計信息使用人是所有的企業利害關系人,對上市公司而言就是社會公眾。到了40年代以后,由于跨國公司的出現,國際間資本流動頻繁,在發達的資本主義國家出現了國際化的會計公司。
從上述審計系統從一個階段向高一階段的進化過程分析,我們可以得出兩點結論:一是審計系統每一次進化都是為了適應環境的變化,和任何系統一樣,只有適應環境的系統才能得以生存和發展。19世紀西方資本主義得到充分發展,實行所有權和經營權分離,就出現了英國式的詳細審計。到了20世紀中葉,隨著企業大型化和證券化,經濟活動劇增,審計師不可能對每筆交易都進行檢查,審計系統就由詳細審計進化到抽樣審計。有了跨國公司,就有了國際性的會計事務所。正是審計系統適應了所生存的環境,才使得本身得到充分的發展。同時,進化后的審計系統又反作用于環境,對社會經濟起了積極推動作用,成為人類經濟系統中不可缺少的一個子系統。二是審計系統的每一次進化都有賴于相應的理論、方法和技術的支持。從英國式的詳細審計進化到資產負債表審計,是因為有內部牽制理論和統計抽樣技術的支持。同樣,從資產負債表審計進化到財務會計報表審計,是因為有內部控制理論和審計風險測試評價技術的支持。這是審計系統一次具有非常意義的“進化”,正是由于審計系統普遍采用了統計抽樣技術和內部控制測試技術,從而使審計系統的功能大大增強,在大大提高了審計效率的同時,又有效地控制了審計風險。
同理,在步入21世紀的今天,審計系統又面臨著新環境的挑戰。新經濟和數字時代的到來,以及經濟全球化、市場一體化等將對審計系統產生重大影響。面對新經濟環境的挑戰,審計系統必須適應這種環境的進化,而要進化就必須有相應的理論和技術方法即系統科學和信息技術的支持,筆者將由系統科學和計算機技術支持下進化了的審計稱為系統審計,與之相對應的是傳統的詳細審計和內控審計。下圖表達了審計系統的進化過程。
需要說明的是,“系統審計”與“審計系統”是二個既有聯系又有區別的概念。系統審計是指在系統科學和信息技術支持下的審計理論方法,表明一種審計理念,是相對于其它審計方法而言的。審計系統則是泛指審計體系,詳細審計、財務會計報表審計、系統審計都是審計系統各個不同歷史時期的產物。
二、系統審計和傳統審計的比較
傳統審計的思維方式是:部分整體。傳統審計總是先分析對象的各個部分,然后再綜合為整體。這種思維方法的局限性在于把分析與綜合、部分與整體、原因與結果機械地割裂開來,認為部分是原因,整體是結果,部分決定整體。傳統審計方法著眼于一個個要素,進而得出整體的性能,其邏輯結論往往是組成整體的要素好,整體的性能也就好。不論是一百五十年前的詳細審計,還是目前的財務會計報表審計,注冊會計師的思想方法都是從部分去推測整體,而系統審計的思想方法則是從整體到部分。詳細審計是從每一筆交易賬戶再到報表;財務會計報表審計是通過對內部控制和控制風險的研究抽取部分交易為樣本賬戶最終證實報表信息的真實和公允性。詳細審計和報表審計在研究審計對象經濟活動時,只把各組成部分孤立地、簡單地加起來,這并不能說明審計對象經濟活動的整體性質和功能。因為各要素的簡單相加,并不能構成一個系統。
2利用網絡遠距離竊取企業的商業秘密以換取錢財,或利用網絡傳播計算機病毒以破壞企業的信息系統。
3建立在計算機網絡基礎上的電子商貿使貿易趨向“無紙化”,越來越多的經濟業務的原始記錄以電子憑證的方式存在和傳遞。不法之徒通過改變電子貨幣帳單、銀行結算單及其它帳單,就有可能將公私財產的所有權進行轉移。
計算機網絡帶來會計系統的開放與數據共享,而開放與共享的基礎則是安全。企業一方面通過網絡開放自己,向全世界推銷自己的形象和產品,實現電子貿易、電子信息交換,但也需要守住自己的商業秘密、管理秘密和財務秘密,而其中已實現了電子化且具有貨幣價值的會計秘密、理財秘密是最重要的。我們有必要為它創造一個安全的環境,抵抗來自系統內外的各種干擾和威協,做到該開放的放開共享,該封閉的要讓黑客無奈。
一、網絡安全審計及基本要素
安全審計是一個新概念,它指由專業審計人員根據有關的法律法規、財產所有者的委托和管理當局的授權,對計算機網絡環境下的有關活動或行為進行系統的、獨立的檢查驗證,并作出相應評價。
沒有網絡安全,就沒有網絡世界。任何一個建立網絡環境計算機會計系統的機構,都會對系統的安全提出要求,在運行和維護中也都會從自己的角度對安全作出安排。那么系統是否安全了呢?這是一般人心中無數也最不放心的問題。應該肯定,一個系統運行的安全與否,不能單從雙方當事人的判斷作出結論,而必須由第三方的專業審計人員通過審計作出評價。因為安全審計人員不但具有專門的安全知識,而且具有豐富的安全審計經驗,只有他們才能作出客觀、公正、公平和中立的評價。
安全審計涉及四個基本要素:控制目標、安全漏洞、控制措施和控制測試。其中,控制目標是指企業根據具體的計算機應用,結合單位實際制定出的安全控制要求。安全漏洞是指系統的安全薄弱環節,容易擾或破壞的地方。控制措施是指企業為實現其安全控制目標所制定的安全控制技術、配置方法及各種規范制度。控制測試是將企業的各種安全控制措施與預定的安全標準進行一致性比較,確定各項控制措施是否存在、是否得到執行、對漏洞的防范是否有效,評價企業安全措施的可依賴程度。顯然,安全審計作為一個專門的審計項目,要求審計人員必須具有較強的專業技術知識與技能。
安全審計是審計的一個組成部分。由于計算機網絡環境的安全將不僅涉及國家安危,更涉及到企業的經濟利益。因此,我們認為必須迅速建立起國家、社會、企業三位一體的安全審計體系。其中,國家安全審計機關應依據國家法律,特別是針對計算機網絡本身的各種安全技術要求,對廣域網上企業的信息安全實施年審制。另外,應該發展社會中介機構,對計算機網絡環境的安全提供審計服務,它與會計師事務所、律師事務所一樣,是社會對企業的計算機網絡系統的安全作出評價的機構。當企業管理當局權衡網絡系統所帶來的潛在損失時,他們需要通過中介機構對安全性作出檢查和評價。此外財政、財務審計也離不開網絡安全專家,他們對網絡的安全控制作出評價,幫助注冊會計師對相應的信息處理系統所披露信息的真實性、可靠性作出正確判斷。
二、網絡安全審計的程序
安全審計程序是安全監督活動的具體規程,它規定安全審計工作的具體內容、時間安排、具體的審計方法和手段。與其它審計一樣,安全審計主要包括三個階段:審計準備階段、實施階段以及終結階段。
安全審計準備階段需要了解審計對象的具體情況、安全目標、企業的制度、結構、一般控制和應用控制情況,并對安全審計工作制訂出具體的工作計劃。在這一階段,審計人員應重點確定審計對象的安全要求、審計重點、可能的漏洞及減少漏洞的各種控制措施。
1了解企業網絡的基本情況。例如,應該了解企業內部網的類型、局域網之間是否設置了單向存取限制、企業網與Internet的聯接方式、是否建立了虛擬專用網(VPN)?
2了解企業的安全控制目標。安全控制目標一般包括三個方面:第一,保證系統的運轉正常,數據的可靠完整;第二,保障數據的有效備份與系統的恢復能力;第三,對系統資源使用的授權與限制。當然安全控制目標因企業的經營性質、規模的大小以及管理當局的要求而有所差異。
3了解企業現行的安全控制情況及潛在的漏洞。審計人員應充分取得目前企業對網絡環境的安全保密計劃,了解所有有關的控制對上述的控制目標的實現情況,系統還有哪些潛在的漏洞。
安全審計實施階段的主要任務是對企業現有的安全控制措施進行測試,以明確企業是否為安全采取了適當的控制措施,這些措施是否發揮著作用。審計人員在實施環節應充分利用各種技術工具產品,如網絡安全測試產品、網絡監視產品、安全審計分析器。
安全審計終結階段應對企業現存的安全控制系統作出評價,并提出改進和完善的方法和其他意見。安全審計終結的評價,按系統的完善程度、漏洞的大小和存在問題的性質可以分為三個等級:危險、不安全和基本安全。危險是指系統存在毀滅性數據丟失隱患(如缺乏合理的數據備份機制與有效的病毒防范措施)和系統的盲目開放性(如有意和無意用戶經常能闖入系統,對系統數據進行查閱或刪改)。不安全是指系統尚存在一些較常見的問題和漏洞,如系統缺乏監控機制和數據檢測手段等。基本安全是指各個企業網絡應達到的目標,其大漏洞僅限于不可預見或罕預見性、技術極限性以及窮舉性等,其他小問題發生時不影響系統運行,也不會造成大的損失,且具有隨時發現問題并糾正的能力。
三、網絡安全審計的主要測試
測試是安全審計實施階段的主要任務,一般應包括對數據通訊、硬件系統、軟件系統、數據資源以及安全產品的測試。
下面是對網絡環境會計信息系統的主要測試。
1數據通訊的控制測試
數據通訊控制的總目標是數據通道的安全與完整。具體說,能發現和糾正設備的失靈,避免數據丟失或失真,能防止和發現來自Internet及內部的非法存取操作。為了達到上述控制目標,審計人員應執行以下控制測試:(1)抽取一組會計數據進行傳輸,檢查由于線路噪聲所導致數據失真的可能性。(2)檢查有關的數據通訊記錄,證實所有的數據接收是有序及正確的。(3)通過假設系統外一個非授權的進入請求,測試通訊回叫技術的運行情況。(4)檢查密鑰管理和口令控制程序,確認口令文
件是否加密、密鑰存放地點是否安全。(5)發送一測試信息測試加密過程,檢查信息通道上在各不同點上信息的內容。(6)檢查防火墻是否控制有效。防火墻的作用是在Internet與企業內部網之間建立一道屏障,其有效性主要包括靈活性以及過濾、分離、報警等方面的能力。例如,防火墻應具有拒絕任何不準確的申請者的過濾能力,只有授權用戶才能通過防火墻訪問會計數據。
2硬件系統的控制測試
硬件控制測試的總目標是評價硬件的各項控制的適當性與有效性。測試的重點包括:實體安全、火災報警防護系統、使用記錄、后備電源、操作規程、災害恢復計劃等。審計人員應確定實物安全控制措施是否適當、在處理日常運作及部件失靈中操作員是否作出了適當的記錄與定期分析、硬件的災難恢復計劃是否適當、是否制定了相關的操作規程、各硬件的資料歸檔是否完整。
3軟件系統的控制測試
軟件系統包括系統軟件和應用軟件,其中最主要的是操作系統、數據庫系統和會計軟件系統。總體控制目標應達到防止來自硬件失靈、計算機黑客、病毒感染、具有特權職員的各種破壞行為,保障系統正常運行。對軟件系統的測試主要包括:(1)檢查軟件產品是否從正當途徑購買,審計人員應對購買訂單進行抽樣審查。(2)檢查防治病毒措施,是否安裝有防治病毒軟件、使用外來軟盤之前是否檢查病毒。(3)證實只有授權的軟件才安裝到系統里。
4數據資源的控制測試
數據控制目標包括兩方面:一是數據備份,為恢復被丟失、損壞或擾的數據,系統應有足夠備份;二是個人應當經授權限制性地存取所需的數據,未經授權的個人不能存取數據庫。審計測試應檢查是否提供了雙硬盤備份、動態備份、業務日志備份等功能,以及在日常工作中是否真正實施了這些功能。根據系統的授權表,檢查存取控制的有效性。
5系統安全產品的測試
隨著網絡系統安全的日益重要,各種用于保障網絡安全的軟、硬件產品應運而生,如VPN、防火墻、身份認證產品、CA產品等等。企業將在不斷發展的安全產品市場上購買各種產品以保障系統的安全,安全審計機構應對這些產品是否有效地使用并發揮其應有的作用進行測試與作出評價。例如,檢查安全產品是否經過認證機構或公安部部門的認征,產品的銷售商是否具有銷售許可證產品的安全保護功能是否發揮作用。
隨著市場經濟的深入發展,企業逐步成為自主經營、自我約束、自我發展、自我完善的商品生產者和經營者。在“優勝劣汰、適者生存”的市場經濟中,企業要想真正的做到“自主經營、自我約束、自我發展、自我完善”,必須要加強內部控制,建立有效、完善的內部控制制度,這樣才能在一個絕對的高度上,對企業進行高瞻遠矚的控制,才能做出與時俱進的決策。
(二)內部審計是企業內部監督機制的重要組成部分
內部審計也是企業內部控制的一個重要的組成部分,是監督內部控制其他環節的主要力量。內部審計通過對控制環境和控制程序的有效性進行監督,評估企業的內部控制是否被執行,是否及時反饋有關執行結果的信息,是否幫助企業更有效地實現預期控制目標。同時,在監控過程中,內部審計可以促進控制環境的建立和改善,為改進控制制度提供建設性的意見,為企業建立健全所需要的內部控制水平服務。在內部控制的監督過程中,內部審計發揮著越來越重要的作用。
二、內部審計在防范信息系統風險中面臨的問題
(一)信息系統安全管理機制不健全
企業信息系統風險的存在,很多是由于管理不善或控制不嚴造成的。一方面,缺乏一套統一的安全策略體系來指導安全管理工作,無法建立系統內部明確、全面的安全規范要求。從現有管理制度規范來看,主要存在的問題是可操作性差,條理不清、重疊或遺漏等;另一方面,現有安全管理制度的管理對象基本是網絡系統管理員等技術部人員,管理對象沒有全面涵蓋所有信息系統技術相關人員,包括所有網絡系統上的內部終端人員和外部人員。
(二)內部審計在信息系統風險防范中的角色缺乏獨立性
內部審計的角色發生了轉變。從傳統的事后審計而逐漸轉向事前和事中審計,主動參與內部控制系統的建立和完善。內部審計人員即承擔著評價硬件和應用信息系統安全的任務,如果又同時有參與了系統的開發和實施過程,那么內部審計人員就卻乏獨立性。反之,如果處于對喪失獨立性的擔心,內部審計人員有可能會拒絕參與系統和軟件的開發,那么系統開發過程中存在的風險又無法得到控制。
(三)內審部門技術力量薄弱造成對信息系統審計形成風險
審計稽核部門的技術力量薄弱,不熟悉業務系統的流程和功能,對信息系統缺乏必要的認證能力和標準。突出表現為以下幾個方面:一是實施審計稽核的手段和方法沒有得到及時更新,不適應信息系統管理的要求,大部分仍停留在手工審計階段;二是審計稽核部門對計算機賬務系統實施審計的依據僅依賴于被審計單位提供的打印資料或事后資料,計算機賬務的真實性審計很難得到保證。
三、加強風險防范的措施和對策
(一)構建信息系統安全管理組織及規范體系
加強信息系統的自我風險評估體系,讓信息系統的管理和技術人員在自身的職責范圍之內正確識別和評估潛在操作風險,主要包括內控制度的查漏補缺、工作流程的整理和規范、應急預案完善和演練等。同時加強對操作人員的管理,規范操作程序。一是加強密碼管理,明確規定操作人員的權限,操作員必須在規定的權限內辦理業務,用戶口令及密碼必須專人專用,嚴禁公開口令及密碼;二是要建立健全操作員崗位目標責任制,對網絡操作人員要明確目標任務,規范操作程序,嚴格落實獎懲制度。三是要嚴格崗位設置,不相容職務進行分離。嚴禁系統管理人員、網絡技術人員、程序開發人員和前臺操作人員混崗、代崗或一人多崗。四是要加強系統內部的稽核監督檢查。稽核監督應貫穿于網絡操作的全過程,重點是加強對系統設計開發、內控管理制度落實、操作運行等方面的
(二)關注信息系統的穩定性、安全性和有效性審計
首先,審計人員應運用用一定的技術方法識別系統的完整性,該過程包括檢查、測試、評估系統的內制,以保證系統的穩定性;其次,審計人員應評價系統存在的風險和可能產生的后果將成為審計的核心工作和基本內容,保證信息系統的安全性。應根據審計的標準和準則,評價控制環境的和IT基礎設施的安全,確保系統滿足組織的業務需要,保護信息資產的安全完整,以防非授權使用、泄露、修改、損壞或丟失;最后,還應鑒別信息系統的有效性。內部審計必須理解并熟悉操作環境,了解系統技術的復雜性及其對決策的影響;對來自內部的安全隱患,采用一定的方法進行系統診斷、檢驗、測試,評價其有效性及效率,以支持組織業務目標的實現
(三)改善內審機構,提高內審人員素質,培養信息系統審計師
為了信息系統的安全、可靠與有效,由獨立于審計對象的信息系統審計師,以第三方的客觀立場對以計算機為核心的信息系統進行綜合的檢查與評價。信息系統審計師也稱lS審計師或IT審計師,是指那些既通曉信息系統的軟件和硬件(包括信息系統的開發、運營、維護、管理和安全等),又熟悉經濟管理的內部審計人才。
(四)聘請專家進行協助
內部審計人員的知識、技能和經驗雖然有助于信息系統的風險防御,但現實中必須承認,在企業中同時具備計算機技術和審計專業知識的人才非常短缺。再出色的內部審計人員可能面臨一些系統內的專業問題卻無法解決,因此有必要聘請外部專家。可以通過專家的協助測試運用其專業技能測試系統安全,進一步防范和解決信息系統風險的存在。
參考文獻:
目前,我國信息系統審計僅有十幾年的歷史,尚處于探索階段,既缺乏開展信息系統審計業務的人才隊伍,也沒有形成專業規范體系,所進行的一些計算機審計方面的探索和嘗試以及計算機審計軟件的開發和應用還大都停留在對被審計單位電子數據進行處理的階段。存在的主要問題有:信息系統審計觀念落后;信息系統審計相關的準則、標準和規范尚不完善;信息系統審計專業人才匱乏;信息系統審計軟件開發工作滯后。1997年,廣州地鐵開始公司“信息化”建設。最初,廣州地鐵經營審計采用“繞過計算機審計”的方法,即對導出數據進行審計。審計過程中,其逐漸意識到了運用這種“黑箱原理”審計方法的風險。因此,2006年公司組建了專門的IT審計模塊,探索“如何利用計算機審計”和“通過計算機審計”。其后,廣州地鐵信息系統審計發展經歷了借力、助力和自立三個階段。一是借力期:IT審計模塊成立初期,公司與外部顧問共同開展IT審計項目,通過外部專業人員向審計人員傳輸IT審計技能,同時制定《IT審計實施細則》,在人員技能儲備和制度上為IT審計模塊的發展奠定了基礎。二是助力期:審計人員參照審計手冊,利用從外部顧問處學習到的審計技能,逐步開展信息系統審計工作,將IT審計工作模式調整為以自身力量為主,外部咨詢服務為輔的模式。三是自立期:2009年,廣州地鐵IT審計已基本實現自主化,且IT審計模塊逐步走向成熟,同時其還建立了具有自身特色的信息系統審計框架。目前,IT審計已經發展成為廣州地鐵內部審計的一根“支柱”,連同“內控審計”,作為基本的審計手段貫穿于各類專業審計工作中,支持審計體系的鞏固與發展。
二、信息系統審計內容
1、國內外關于信息系統審計內容的研究
開展信息系統審計首先要明確審計內容。國際信息系統審計協會規定,信息系統審計的主要內容包括信息系統程序審計、信息技術(IT)治理、系統生命周期管理、IT服務的交付與支持、信息資產的保護、災難恢復和業務連續性計劃。近十幾年來,國內的學者和組織也對信息系統審計的內容進行了探索和研究。審計署在2012年頒布的《信息系統審計指南———計算機審計實務公告第34號》中明確提出了:信息系統審計包括對應用控制、一般控制和項目管理的審計。其中,應用控制包括信息系統業務流程,數據輸入、處理和輸出的控制,信息共享和業務協同;一般控制包括信息系統總體控制、信息安全技術控制、信息安全管理控制;項目管理包括信息系統建設的經濟性、信息系統建設管理、信息系統績效。上述具有代表性的規定和研究成果對信息系統審計內容的劃分,均是以對信息系統邏輯結構的分析為基礎。全面分析信息系統的邏輯結構,可從信息系統的構成要素、信息系統生命周期和信息系統管理三個維度進行描述:從構成要素來看,信息系統由人員、應用(包括軟件平臺和應用系統)、所采用的技術、硬件設備、數據文件運行規則組成;信息系統生命周期可劃分為信息系統的規劃階段、開發階段、運行維護階段和更新階段;從信息系統管理的維度來看,對系統的管理與控制活動貫穿于信息系統生命周期的始終,主要是通過有效執行一系列健全有效的規章制度和管理規程來實現。
2、廣州地鐵信息系統審計實施框架
結合廣州地鐵信息化項目多、系統更新快、數據集成度高、系統控制與手工控制并重等特點,圍繞信息系統構成要素、信息系統生命周期和信息系統管理三個維度,廣州地鐵將信息系統審計的內容劃分為整體計算機控制審計、應用控制審計和系統建設效能評價三個方面。其中,整體計算機控制審計是對信息系統運行中的控制活動進行審計,目的是合理保證由信息系統支持的業務流程控制是可靠的、生成的數據和報告是可信的。應用系統控制審計是對業務流程中的自動化控制活動進行審計,以合理保證交易的有效性、經適當授權和記錄、完成的完整性、準確性和及時性。項目及系統績效審計是對信息化項目的過程及成果對企業和業務產生的效益進行審計,用來合理保證信息化項目的投資/產出比例符合建設的目標,以及信息系統對企業戰略起到的預期的支撐作用。圍繞上述三個方面,廣州地鐵內部審計確立了以下的實施框架。
(1)確立整體計算機控制安全、操作、變更的三個評價維度,圍繞“信息系統全生命周期”,明確整體計算機控制十個流程。
廣州地鐵通過學習和借鑒國際信息系統技術管理和控制標準COBIT,建立起了一套自己的整體計算機控制審計框架。框架可按流程和控制類型兩種方式進行劃分,兩種劃分方式在本質上是一致的。在按流程劃分出的每個子流程中,信息系統審計人員需要從變更、安全、操作的角度去確認和評估具體的控制點;在按控制職能所作的劃分中,審計人員需要圍繞信息系統的策略與計劃、信息系統操作、與外部供應商關系、業務可持續計劃、應用系統開發、數據庫、軟件支持、網絡、硬件等十個子流程進行審計。圍繞安全、變更、操作三個角度及十個子流程,廣州地鐵共梳理出有關整體計算機控制的41項審計內容,并針對每一項內容明確了控制目標和風險,建立起了一套完整的整體計算機控制矩陣。例如,信息系統策略和計劃子流程中,廣州地鐵明確了整體計算機控制的三大目標———信息系統戰略、規劃和預算應與實際業務和戰略目標保持一致,計算機處理環境應得到具有適當技能和經驗的人員的充分支持和保證,以及計算機處理環境中的人員應接受適當的培訓,審計人員在此基礎上針對各控制目標,識別并歸納出廣州地鐵現行的9個控制活動。在具體開展信息系統整體計算機控制審計時,信息系統審計人員根據審計項目的特點和要求,選擇需要評價的子流程,再對照子流程的控制活動進行評估及測試即可。
(2)從內部控制目標出發,將信息系統應用控制劃分為訪問控制、完整性控制及數據質量控制三大方面。
廣州地鐵將信息系統的應用控制劃分為應用系統訪問控制、流程和系統完整性控制以及數據質量控制三大類,并針對各類控制分別設計了不同的審計內容。一是應用系統授權訪問控制審計包括對系統的認證方式、授權機制、權限的分配管理以及不相容職責分離在系統中的實現情況的審計,目的在于保證經過允許的人才能訪問和操作系統。二是流程和系統完整性控制審計是對系統輸入、處理、輸出以及接口等各種系統運行規則的審計,用以保證所有經允許處理的數據均轉換到介質上并被處理,且處理的結果可通過適當的方式加以輸出,所有輸入、轉換、處理和輸出均在正常的時間內準確地進行。三是數據質量控制審計則是指對信息系統中的數據的完整性、規范性和有效性所進行的審計,旨在保證所有系統的輸出均反映為經批準的有效的經濟業務,所有經過系統的數據真實、有效,且能滿足企業各項業務的使用要求。
(3)圍繞“信息化項目”和“信息系統”,綜合評價信息化建設的效益。
在開展整體計算機控制審計和應用控制審計的基礎上,廣州地鐵從企業經營和投資效益的視角出發,在信息系統審計中引入了3E審計的概念,嘗試對信息系統建設項目的成效、建成后系統的應用效能以及信息化對戰略的支撐效果進行審計。為了全面評價項目,廣州地鐵通常將對單個信息系統建設項目的合規性審計與項目效能審計結合在一起開展。一是信息系統建設成效審計旨在通過對系統建設全過程的審計,促進信息系統的建設規范性,提高信息系統建設的質量。二是信息系統應用效能審計包括對業務需求的實現情況、建成功能的使用情況的審計分析,以及對系統應用對業務管理規范化、標準化和精細化提升作用的綜合評價,目的在于促進系統使用價值的最大化,減少系統建設的投資浪費。三是戰略支撐效果審計是從支持戰略實現的角度,評價信息系統的建設效益,保證信息化建設在符合業務管理要求的同時,符合公司戰略的需要,支持公司戰略的實現。
三、信息系統審計實施步驟
信息系統審計步驟(或流程),是審計工作從開始到結束的整個過程。信息系統審計流程一般可劃分為四個階段:計劃階段、實施階段、報告階段和后續階段。計劃階段是信息系統審計流程的起點,此階段的主要工作包括了解被審計系統的基本情況,初步評價被審計單位信息系統的內部控制和外部控制,識別重要性和編制審計計劃。實施階段是根據計劃階段確定的審計范圍、重點、步驟和方法進行有針對性的取證、評價,并形成審計結論的過程。實施階段是信息系統審計工作的核心,主要由符合性測試和實質性測試兩個部分構成。在報告階段,信息系統審計人員需運用專業判斷,整理、評價收集到的審計證據,以經過核實的審計證據為依據,形成審計意見,出具審計報告。審計報告的出具并不意味著信息系統審計工作的終結。根據國際信息系統審計標準,信息系統審計人員對于系統中發現的重大問題和漏洞,需要對被審計單位所采取的糾正措施及其效果進行后續審計。審計人員需要將后續審計納入計劃,并安排必要的人員和時間進行后續審計。廣州地鐵IT審計模塊成立之初,即明確了IT審計“對公司的系統流程與控制、項目進行審計”和“提供有益于增加公司價值的咨詢服務”兩項核心職責,并圍繞公司戰略,以“風險導向”、“服務戰略”理念為指導,從信息系統審計戰略規劃和具體項目執行兩個層面分別制定信息系統審計的流程。
1、以公司戰略為導向,制定信息系統審計的戰略規劃
一直以來,廣州地鐵奉行“源于戰略、服務于戰略”的現代審計理念。這一理念主要體現在兩個方面:一是在制定內審工作計劃時,從公司戰略出發,制定各個內審業務及各專業審計模塊的戰略,并以業務戰略為指導,開展具體的審計工作;二是在開展審計項目的過程中,始終從保障公司戰略執行的角度去發現問題、評價問題,提出整改意見和落實整改。信息系統審計的戰略規劃來源于公司的戰略,以及以公司戰略指導制定的公司信息系統戰略規劃和內部審計業務戰略規劃;同時還須結合公司信息化現狀和IT審計模塊定位,明確廣州地鐵IT審計發展戰略目標。
2、通過風險評估,確定各信息系統風險等級,制定層次分明、重點突出的信息系統循環審計計劃
為利用有限的審計資源掌握公司主要信息系統的建設、運營情況,保障信息資源的有效利用,降低公司信息系統的整體風險,廣州地鐵建立了一套“根據信息系統風險評級制定差異化的審計策略”。
(1)梳理信息系統脈絡,全面掌握信息系統現狀。
廣州地鐵結合信息系統規劃、建設和運營的情況及系統分類梳理出被審計信息系統清單,并從系統構成要素的角度收集系統相關的信息。這些信息包括系統名稱、功能模塊、采用產品等基本信息,以及項目的建設信息、系統的使用狀況和運維的基本情況。這些信息是風險評分的依據,也為后續開展具體審計工作時確定審計方案提供了指引。
(2)開展信息系統風險評級,制定風險導向型審計計劃。
內審人員從通用風險、業務風險、項目風險、系統風險、數據風險和人員風險六大風險類別出發,全面識別信息系統各類構成要素中存在的風險;對信息系統進行風險評價,根據風險得分將信息系統按優先級分別劃分為高、中、低三類。結合公司IT審計資源的情況,對優先等級高的系統采用三年一審策略,中等級系統5—6年一個審計周期,風險等級低的系統則根據需要安排審計。在此審計策略的基礎上,再綜合考慮公司業務的十大風險、領導關注事項、上一年度內控評價結果和審計項目成果、公司新一年的工作重點、公司信息系統的變動情況,并制定出本年度的信息系統審計計劃。
3、以風險為導向,開展信息系統審計
在項目實施階段,審計人員必須從公司整體信息系統控制環境和被審計系統的狀況、流程與內部控制兩個方面進一步收集被審計系統的相關資料,了解和確認被審計單位已建立的內部控制措施,并對這些控制措施的設計是否達到控制目標進行評估。
(1)以“輪流循環+以點帶面”的方式開展整體計算機控制審計。
公司的信息化業務采用統一集中管理的模式,整體計算機控制對各個系統具有一定的通用性。因此,在實務操作中,廣州地鐵采用“以點帶面”的策略,以單個信息系統整體計算機控制為切入點對整體計算機控制進行審計,評價整體信息系統的安全性;同時,考慮到信息系統在一定時間內相對穩定,因此在實施整體計算機控制審計時可采取輪流測試的方式,即每年從十個子流程中選取幾個進行測試,經過一定周期后,完成對整體計算機控制的全面審計。例如,在2011年開展的信息安全審計項目中,審計人員就圍繞信息安全這個審計主題,從十個子流程中選取了與信息安全直接相關的信息系統操作、信息系統安全、業務可持續計劃、應用系統開發與實施、數據庫開發與實施和系統軟件支持等六個流程進行審計。分步、循環開展整體計算機審計,在審計風險可控的情況下,大大節省了審計資源,也使得審計人員能夠更加深入地挖掘和分析整體計算機控制方面所存在問題以及問題的成因,提出更為切實可行、同時又符合公司信息化業務發展現狀和要求的整改措施。
(2)以風險為著眼點,確定應用控制審計重點。
應用控制是各個信息系統內部所建立的控制機制,應用控制審計必須針對某個具體信息系統開展。在開展應用控制審計的過程中,審計人員應緊緊圍繞“風險”這個著眼點,通過對原有業務成熟度和系統建設過程中風險的評估,選擇不同的審計側重點開展應用控制審計。例如,在合同管理系統審計項目中,由于合同管理系統是全新開發的系統,審計人員經分析,判定系統在應用系統訪問控制方面的風險較高。而在進行控制評估和測試后,審計人員發現業務人員在創建系統權限設置機制時完全套用了公司辦公自動化系統的權限機制,而未針對合同業務流程中不同于公司組織架構下的角色設立相應的用戶組,導致系統無法實現合同經辦人與審批人職責的分離,存在重大的內控風險。
四、信息系統審計方法
在信息系統審計中,可因地制宜,綜合運用多種學科的技術方法,包括:傳統審計中內部控制測評的基本方法和審計取證的基本方法(包括審閱、核對、監盤、觀察、查詢、函證、計算、分析性復核);計算機科學的技術方法,如數據測試法、程序編碼審查法、受控處理法、受控再處理法、整體測試法、平行模擬法、程序比較法、漏洞掃描、入侵檢測、嵌入審計程序法等等;行為科學的技術方法,如運用組織發展的理論與方法、個體行為一般規律的理論和方法。這些方法與技術并不是孤立的,而是互相聯系的。目前,廣州地鐵在信息系統審計中所運用的方法仍主要集中在傳統的內控審計方法和信息系統管理的技術方法兩個領域,具體包括詢問、觀察、文件復核、抽樣、重新執行、使用計算機輔助軟件等。在部分項目中,也采用了一些計算機科學的技術方法。受限于審計資源不足,廣州地鐵較少采用程序比較法、平行模擬法、程序編碼審查法等高成本的審計方法,而傾向于選用一些較為高效的測試方法。但這些高效方法的運用不能完全消除審計風險,這就需要審計人員根據自身的經驗盡量避免。
1、傳統審計方法的運用
廣州地鐵在開展信息系統審計過程中較多運用傳統審計的方法。例如,在對信息系統整體計算機控制進行審計時,通過對系統使用人員的訪談、調研和對系統各項操作的觀察,梳理出整體計算機控制相關的各種控制活動。在沒有測試環境的情況下對生產在用信息系統的人機交互界面和功能進行調查和確認時,審計人員大量運用了觀察的方法。在對固定資產信息系統模塊進行審計中,審計人員通過觀察物資采購人員、資產管理人員、會計核算人員在系統中的操作界面、系統實現效果以及業務操作流程來了解系統功能的構造。發現采購中的供應商信息在跨系統流程過程中丟失,導致財務系統和實物管理的MAXIMO系統的資產臺賬中均缺少供應商信息,致使日后采購同類物資時,采購人員無法獲取歷史采購信息作為參考,增加了市場調研成本。除內控矩陣和訪談、觀察等方法之外,編制流程圖、數據流圖和報表流圖也是信息系統審計經常使用的方法。
2、計算機科學技術方法的運用
計算機科學技術方法是信息系統審計特有的方法,來源于IT行業的信息技術的轉換應用,主要包括基于數據分析的方法和基于程序分析的方法,這些方法的綜合使用使得對信息系統的審計更加有效。具體方法的選用需視被審計系統的實際情況而定。在一個審計項目中,廣州地鐵審計人員經常將多種方法結合使用。例如,在票務收入系統審計項目中,審計人員首先采用數據測試法,使用正常及非正常的測試地鐵票搭乘地鐵,在系統中跟蹤測試票的處理情況,以驗證系統處理與控制功能是否均有效;在對系統中后期內部開發的車站單程票售賣功能進行審計時,審計人員采用了程序編碼審查法,對系統的源程序編碼進行審查,審查后發現單程票售賣金額統計報表在進行數據處理時省略了小數點后的尾數,導致報表金額存在偏差;在對票務系統的清分報表進行驗證時,審計人員又采用了平行模擬法,抽取系統中一段時間內的正式交易記錄,在系統外模擬系統的處理規則對交易記錄進行處理,并將處理結果與系統的報表數據進行核對,結果發現系統在數據傳遞和處理過程中,由于系統對于異常數據的審核過于嚴格,導致部分正常數據被當作垃圾數據丟進異常庫,給公司造成票務損失。
3、計算機輔助審計軟件的應用
計算機輔助審計軟件的應用是信息系統審計的一個顯著特點,也是審計人員準備階段需要重點關注的問題之一。目前,廣州地鐵對計算機輔助審計軟件的應用主要體現在以下兩個方面。
(1)對系統中數據的準確性、完整性和一致性的檢查。
例如,在合同管理系統審計項目中,為核對系統接口程序的可靠性,審計人員利用審計輔助軟件快速完成了對合同系統和財務系統數據一致性的核對,迅速查找出兩個系統中不一致的數據。經過深入分析,審計人員發現由于財務核算人員在財務系統中復核合同支付數據時發現錯誤,將支付申請退回給合同系統再由合同經辦人重新填報時,合同系統未對已生成的支付信息進行更新,導致上述問題的出現。針對海量數據處理系統,數據驗證是審計的重點,計算機輔助軟件是“不可或缺”的審計工具。在地鐵票務收入保障審計項目中,審計人需要通過數據驗證的方式對業務處理的核心系統———自動售檢票(AFC)系統中的系統傳輸和處理機制進行驗證。為此,審計人員共設計了8大類29子類47個數據驗證主題。審計時,審計人員運用計算機輔助審計技術,在兩個月內完成了對AFC系統中10天總計超過3億條運營數據的驗證工作。
(2)利用計算機輔助軟件進行對比測試。
即審計人員從信息系統中抽取某部門樣本數據,將樣本數據輸入到與計算機輔助軟件中進行處理,把審計軟件輸出的結果與業務系統產生的結果進行對比分析,以判定業務系統的可靠性與準確性。廣州地鐵在已開展的運營票務收入保障審計項目中大量地使用了此種方式。審計人員將各車站站務人員在票務系統中錄入的售票數據導入到計算機輔助軟件中,按照業務規則對數據進行處理,將處理結果和系統輸出的結果進行對比。經對比,審計人員發現票務系統在處理異常數據時過于嚴格,導致部分非異常數據被系統當作異常數據丟入異常庫中,給公司造成票務損失。
2.信息系統審計專業人才比較缺乏我國國內的審計人員不僅在數量上存在欠缺,質量上更是有待提高。當前我國金融界審計隊伍中,主要由財經類專業人員構成,嚴重缺乏既掌握現代審計理論與技術又精通計算機知識與技能的新型復合型人才。傳統的審計人員雖在財會審計領域經驗豐富,但對計算機網絡技術了解不多,這使得他們難以對復雜的網絡會計系統進行有效的評審,難以應付電子商務環境下的審計風險。
3.缺乏有效的通用信息系統審計軟件通用的審計軟件具有計算機輔助審計軟件的各種功能,并且在計算機環境中,通過數據接口與被審計信息系統連接,同時將審計工作程序化,從而在很大程度上代替了手工審計。目前我國信息系統審計剛起步不久,在信息系統審計軟件這方面還存在很大空缺,通用的信息系統審計軟件幾乎不存在。此外,我國現有的財務軟件大多沒有審計接口,審計軟件無法獲取所需系統的電子資料。
二、我國商業銀行信息系統審計的發展策略
1.信息系統審計制度與準則制定方面根據國際趨同的要求,我國應建立國際標準框架下具有各行特色的標準和規范體系。因而,我國商業銀行也可應把目前國際上公認的最先進、最權威的信息系統審計標準——COB信息系統作為核心標準,建立符合中國實際、順應國際準則趨同化要求的內控、風險管理體系、信息系統監審機制和制度。同時借鑒巴塞爾協議、BS7799、COSO等其他國際標準和原則,進而確立適合各行的信息系統審計目標、對象、范圍、方法、流程等,具體指導信息系統審計工作。
2.信息系統審計管理方面第一,建立全方位信息系統審計管理體系。一方面,商業銀行要切實落實《金融機構計算機安全保護工作暫行規定》要求,合理安排基礎設施和安全防范措施。另一方面,監管部門應加強對我國商業銀行的信息系統審計的監管,將信息系統安全作為監管的重要內容,將信息系統審計作為評價其安全性的重要因素。第二,進行信息系統審計人員的技術角色劃分,突出信息系統審計的技術特色。根據各商業銀行自己的信息系統技術體系及信息系統審計資源,劃分不同的信息系統審計技術角色,突出信息系統審計的技術特色,提升信息系統審計層次。
二、完善內部控制審計,提高審計質量
1.擴大重點審計范圍由于我國內部控制系統審計開展的時間較晚,目前還處于實施的初步階段,特別是在當前內部控制環境對內部控制系統審計實施不利的情況下,更應該加大對重點審計范圍。我國企業內部控制實施的目的是為了起到對管理者監督的作用,從而確保企業能夠健康的發展,所以內部控制系統審計的審計重點需要找出內部控制制度的漏洞和不足之處,同時還要根據行業和企業規模的不同,制定不同的審計計劃,同時可以將與財務報表審計相關的內部控制作為內部控制系統審計的重點范圍,同時還要對其他內部控制信息加強審計。
2.吸取別國經驗與創新審計方法內部控制系統審計最早由美國開始實施,所以目前各國內部控制審計準則都是以美國為范本而制定的,這就需要我們在內部控制審計實施過程中要做好吸收和借鑒工作,趨利避害,做好提前預防工作。目前經濟全球化的發展步伐不斷加大,但這并不意味著全球內部控制控制或是內部控制系統審計準則都要具有一致性,其實在具體實務中,企業內部控制制度都是針對企業自身的特點制定的,所以差異性較大,這就決定了企業內部控制系統審計也不可能都如出一轍。所以在目前這種情況下,我國企業內部控制系統審計需要根據我國的實際國情,制定與我國社會主義市場經濟相符合的內部控制系統審計準則,這親不僅有利于我國企業內部控制制度的健康刀菜,而且對于降低社會成本也具有積極的意義。
二、轉型環境下提高基層人民銀行信息系統審計水平的對策
(一)創新審計流程,強化信息系統事前和事中審計。信息系統審計是以保證計算機信息系統安全平穩運行,有效控制風險為目標的,如果僅從合規性的角度進行信息系統審計,無法達到上述目標,因此,開展信息系統審計的目的不僅要善于發現問題,有效防范已暴露的風險,更要分析化解潛在的風險,以提高審計效果。這就要求我們要創新審計流程,改變傳統審計方法,采用“參與式”的審計方式,加強與科技等部門的溝通交流,重視事前與事中審計。一要完善溝通機制。科技與系統應用部門應及時將制定的有關制度、操作規程、系統運行中的事故情況、解決措施、處理結果發送給內審部門;內審部門應就審計系統時發現的問題,及時向科技和系統應用部門進行通報和反饋,并與他們定期或不定期地磋商、交流,了解各業務系統運行情況,更好地發揮信息系統審計的作用。二要組織審計人員參與新系統的開發、評估,并設計滿足審計業務需要的功能,真正做到對信息系統的事前和事中審計。三是在審計過程中采用“參與式”審計方法,參與信息系統審計目標、內容、計劃的制訂,參與審計中發現問題的分析、討論,參與信息系統風險的評估及改進措施的制訂等。
社保網上申報系統共設計了SINS包和NSSRC包,前者存放Struts控制XML文件,根據系統各功能模塊的劃分,在Jsp業務文件中創建計劃包、人員包和單位包;后者存放hibernat及其相關業務邏輯,根據系統各功能模塊的劃分,在此文件中創建計劃包、人員包和單位包。Globa1NameS.java是NSSRC包中的定義全局靜態變量,可供整個系統使用,系統的運行模式以及相關操作均可借助該變量定義完成設置,在引用該變量時,只需修改文件別名對應的字符串即可,無需再對該變量的代碼進行改動。通過Hibernate來完成數據庫的連接設置,并在相應文件中存放其配置信息,并獲得連接部分的相應代碼,接下來完成的事數據庫表持久化的設計,通過數據庫中各表對應的文件,對各屬性變量及其對應的函數進行定義,然后明確存放指向路徑。基于MVC的Struts框架包括View層、Control層和Model層,View層即為系統靜態頁面和業務層返回結果生成的jsp頁面,均采用javascriPt語言編寫,存放在SINS包中,按照其對應的功能模塊,該控制文件會被劃分為若干Struts控制文件;Control層可指明客戶端表單應執行的類、方法和路徑,并對客戶端發送的表單數據進行處理,最后調用到具體業務層;Model層為整個框架提供了一個接口,通過此接口可與JAVA文件相連接。
1.2系統業務功能的實現
對于社保信息系統而言,不同單位和社保中心數據的存儲格式并不相同,往往會形成多對一的格局,借助XML模式與其他關系模式的數據轉換,可最大限度地抽取數據轉換的共性,而且極大地提高了定制轉換的便易性。數據交換的精髓在于集中和標準,將分散的數據進行匯集,為社保系統業務功能的實現提供必要的數據集合。采用UML工具對網上申報系統進行建模,并根據建模結果而通過編碼實現。以在職增員申報功能為例,通過互聯網登錄社保網上申報系統辦理相關業務,首先要提交數據處理請求,由信息中心輪詢程序對接收到的請求進行處理,并將處理結果反饋到系統,從而便能夠查看到業務辦理的結果,具體操作流程在界面上均有提示。系統業務功能的實現實際上就是Struts框架中View層、Control層和Model層的實現。
【作者簡介】張艷玲,渤海大學副教授,碩士;王娟,渤海大學講師,碩士,遼寧錦州121000
【中圖分類號】F239.0 【文獻標識碼】A 【文章編號】1004-4434(2013)02-0155-05
免疫系統論是對審計理論的創新和審計本質、職能的重新界定,石化企業作為我國國民經濟的重要組成部分,其在維護國家經濟安全、促進國有資產保值增值中發揮中重要作用。在國際金融危機影響尚未完全消除、國內外經濟發展環境多變、市場競爭日益激烈和企業風險趨于多元的后金融危機時代。石化企業必須以免疫系統論作為新的價值取向深度推進審計文化建設,促進審計事業的創新和發展,保證企業可持續發展的實現。
一、審計文化的內涵、特點及功能
(一)審計文化的內涵
審計文化與文化之間具有密不可分的聯系,審計文化是文化的重要組成部分,要了解審計文化的內涵,必須先分析文化的具體內容。關于文化的內涵,在學術界有不同觀點。按照《現代俄語標準辭典》的解析:文化是指人類社會在生產中、社會生活和精神生活中所取得的成就的總和,包括物質文化和精神文化兩個層面。泰勒(1992)認為,文化是一個復合整體,包括知識、信仰、藝術、道德、法律、習俗以及作為一個社會成員的人所習得的其他一切努力和習慣。還有學者認為,文化是代表一定民族特點的反映其理論思維水平的精神面貌、心理狀態、思維方式和價值取向等精神成果的總和。可見,文化是一個多視角、多維度和多層面的概念。包括了物質、精神、理性和感性等多方面的涵義。也正是由于文化的復雜性,審計文化也成為了仁者見仁、智者見智的問題。但整體而言,審計文化具有自然屬性和社會屬性兩種屬性已成為普遍共識。審計文化的自然屬性是審計工作中具有的屬性,是共性,如審計法律法規、審計準則、審計手段和方法以及審計行為等。審計文化的自然屬性決定了不同社會、不同國家的審計文化的共性。是不同國家相互交流的基礎。審計文化的社會屬性是審計工作中所形成的屬性,是個性,其決定了不同社會、不同國家審計文化的差異性。雖然審計文化還沒有形成統一、具體的概念,但學者普遍認為,審計文化是審計機關及其審計人員在履行職責、發展審計事業過程中培育形成的,被共同認可、遵循的價值觀念、道德規范、行為準則、群體意識的總和。不難看出,學者對于審計文化的理解和認同,主要是集中在審計價值觀、審計精神、審計心理和審計道德等在內的精神方面。
(二)審計文化的特點
經過近30年的發展,審計文化已經逐步形成了區別于其他文化的特點。(1)時代性。審計文化是時展的產物,無法脫離特定時代、特定政治、經濟和社會環境的制約,隨著社會經濟關系的發展而變化,以適應社會經濟發展對審計工作的要求,與審計工作實際現狀保持協調一致。(2)系統性。審計文化包括了審計物質文化、審計制度文化和審計精神文化三個層面,三者相互關聯、缺一不可。審計文化建設,不僅要注重制度、技術等有形因素,更要重視信念、價值觀、道德評價等無形因素。(3)創新性。在社會經濟不斷發展的背景下,審計手段、審計方法、審計理論以及審計的價值觀等必定要不斷創新。(4)開放性。審計文化與其他文化雖有本質區別,但又相互兼容,既需要吸收先進文化的基本元素,又可以為其他文化提供借鑒和吸收。(5)科學性。審計文化具有自身的發展規律,其發展以社會經濟發展水平和社會環境為基礎,不能超越于經濟發展水平的需要而獨立存在,審計文化應與經濟發展和審計工作的實際需要保持協調一致。
(三)審計文化的功能
實踐證明,審計文化具有四個方面的功能。其一,凝聚功能。先進的審計文化,可以增進審計及機關人員的相互了解。團結各崗位、各領域的人員,形成共同的認知和價值觀,增強企業凝聚力和忠誠度,形成促進企業發展的巨大合力。其二,激勵功能。價值觀和精神文化是審計文化的重要內容,其具有良好的精神感召力,有利于形成強有力的激勵環境和激勵機制,調動審計人員的主動性,全身心投身于審計工作,推動審計事業發展。實踐證明,在某種程度上,文化的激勵作用往往勝過行政命令的執行約束。其三,約束功能。審計文化的約束功能在價值觀的指導下,借助道德、信念和風氣發揮作用,通過心理的誘導和規范,引導人的思想和行為趨于和諧、一致。其四,教育功能。良好的審計文化有利于企業職工陶冶思想素質和道德情操,遵循正確的思想準則和行為規范。此外,審計文化還可以促使外部人員增加對審計工作的理解和配合,促使社會各界更加關注和支持審計事業。
二、免疫系統論與審計文化建設的內在機理
審計免疫系統是國家審計署審計長劉家義于2007年提出的觀點,并在2008年中國審計學會五屆三次理事會暨第二次理事論壇對全面深刻地闡述了免疫系統理論。免疫系統論是對審計理論的創新、審計本質和審計職能的新發展。劉家義審計長指出,審計應具有和發揮預防、揭示、抵御功能,現代國家審計就是經濟社會運行的一個免疫系統。很顯然,免疫系統論下的審計已經超越了傳統審計中的會查賬就是審計的定位,并對傳統審計的監督、評價和鑒證職能進行修正及突破。免疫系統論下的審計,要做到資金管理使用的合規性、合法性、效益與效果性兼顧;既要查處問題,又要完善制度政策;在審計經濟問題的同時,加強對社會、生態、環境和民生等問題的關注。對于企業而言,審計部門作為公司“免疫系統”的重要組成部分,要從審計的本質出發,發揮預警、揭示和修補抵御等“免疫”功能,同時當好經濟衛士和保健醫生,查錯糾弊、規范管理、完善制度、堵塞漏洞,促進公司依法經營、規范管理,并不斷增強抗風險能力和市場競爭力,保障公司經營管理活動安全運行和健康發展。通過分析免疫系統論和審計文化的功能與目的,兩者是趨于一致的。是可以融合的。互為促進的。
(二)創新審計制度,強化審計文化建設的制度保障
中圖分類號G31 文獻標識碼A 文章編號 1674-6708(2011)48-0198-02
0 引言
科研項目申報與科研成果的統計、管理師高校科研管理工作的重要內容之一,也是高校科研處日常工作的重要組成部分。做好科研項目申報、科研成果統計,使之達到準確、高效的水平,是高校科研管理部門始終關注和追求的目標。
隨著信息技術的發展,由于各高校科研項目、科研成果、科研經費的不斷增多,科研管理的信息量也日益增大。各高校紛紛摒棄了傳統的手工管理模式,進而建立了基于WEB的科研管理系統,以提高工作效率。筆者在本單位的科研管理系統的開發過程中,根據本單位的實際情況,引入了論文提交審核、項目預申報2個子系統的開發,使用的實踐證明,效果良好,解決了實際工作中長期存在的問題,具有一定現實意義。
1 系統需求分析
1.1論文提交審核需求
論文是科學研究的重要成果之一,其數量和質量也是衡量高校科研水平的重要指標之一,因此論文的統計和審核是高校科研處的重要工作之一,為此,一般的科研管理系統均包含此功能。
論文的提交和審核,過去一般由作者提交論文紙質復印件,科研處匯總后,逐一審核(包括是否屬SCI、EI收錄、是否屬中文核心期刊發表、數否屬非法期刊發表等),再由科研處人員逐一錄入。許多高校由于實行高級別論文的獎勵政策,使得科研處在該項工作中尤其不敢掉以輕心,稍有疏忽,即容易引發投訴和矛盾。在論文數量大、科研處人員少的院校尤其如此。因此,科研管理系統若只承擔錄入、存儲且輔之以統計查詢的作用是不夠的。
高校圖書館在論文的甄別工作上具有得天獨厚的條件,應充分發揮圖書館功能之所長,在系統中專門開辟一個審核模塊歸之使用,從而避免科研處在論文甄別上的尷尬與被動。
論文的提交可由作者紙質提交改為自行登入系統錄入。圖書館審核后,其數據不允許再修改。此舉有2個優點:其一,減少紙張使用,低碳環保從日常的工作中開始;其二,審核結果權威性增強,減少爭議。
1.2 項目預申報需求
筆者從事科研項目申報工作多年,學校規定的項目申報截止日到后,個別教師仍提交申報書的情況時有發生。其原因有多方面,申報期內教學工作繁忙、外出公干等。在科研管理系統中加入預申報模塊,可以有效地減少逾期申報的情況發生。
其做法為,科研處每次項目申報通知發出后,即在通知后面鏈接項目預申報模塊,教師瀏覽完申報通知后,有意申報者即可進入項目預申報子系統,進行申報登記。科研處在受理申報材料截止日的前三天,可以根據目前所收材料的情況與項目預申報子系統內的登記情況進行對比,對尚未交材料者進行提醒和督促。該系統投入使用后,逾期申報的情況大幅減少。保證了申報工作的順利進行。
2 系統結構設計
2.1系統體系結構設計
通過以上需求分析,針對本校科研管理業務流程的實際需求,本系統采用了多層B/S(Browser/Server)模式體系結構。B/S模式是Web興起后的一種網絡結構模式,WEB瀏覽器是客戶端最主要的應用軟件。這種模式統一了客戶端,將系統功能實現的核心部分集中到服務器上,簡化了系統的開發、維護和使用。本系統采用.NET框架支持下的n層分布式體系結構,使系統具有良好的可操作性和可維護性。
2.2 系統業務流程設計
論文提交審核流程設計
3 系統安全性設計
系統的安全性問題是本系統設計需要考慮的重要方面,除了它關系到整個系統的實用性和可靠性,更重要的是圖書館對數據庫中論文審核的結論具有權威性和不可更改性,因此,本系統除了使用通信協議提供的功能完成連接和驗證省份外,在應用程序和數據庫中還對用戶訪問權限進行了分配和限制,從而確保數據庫中的數據信息部不被非法泄露和修改。
用戶的權限主要按用戶使用性質進行分配,其中包括:教師角色用戶(即有科研信息的用戶)、人事處用戶(專門負責教師基本信息的錄入、修改、刪除)、科技處用戶、圖書館用戶(負責論文審核)、財務處用戶(負責科研經費的錄入、修改、刪除)、部門領導查詢用戶(只限于對本部門的科研信息、匯總信息進行查詢)、院領導查詢用戶(可對全院科研信息、匯總信息進行查詢)。
4 結論及應用效果
本系統于2009年10月正式投入使用,運行效果良好,它的多級用戶權限管理、分布式實時查詢等特點進一步增強了系統的通用性、可操作性和安全性,達到原設計目標。通過該系統的使用,實現了論文審核過程的無紙化提交,同時引入圖書館作為一個用戶,解決了論文甄別問題上的難題,加強了論文審核環節的可靠性與準確性。在項目申報方面,該系統能提前讓科研處掌握參加申報的人員數量及其姓名,便以及時做好提交申報材料的提醒和督促工作,保證申報工作的順利完成。
