第一篇:信息安全审计报告
涉密计算机安全保密审计报告
审计对象:xx计算机 审计日期:xxxx年xx月xx日 审计小组人员组成: 姓名:xx 部门:xxx 姓名:xxx 部门:xxx 审计主要内容清单: 1.安全策略检查 2.外部环境检查 3.管理人员检查 审计记录 篇二:审计报告格式
审计报告格式
一、引言
随着网络的发展,网络信息的安全越来越引起世界各国的重视,防病毒产品、防火墙、入侵检测、漏洞扫描等安全产品都得到了广泛的应用,但是这些信息安全产品都是为了防御外部的入侵和窃取。随着对网络安全的认识和技术的发展,发现由于内部人员造成的泄密或入侵事件占了很大的比例,所以防止内部的非法违规行为应该与抵御外部的入侵同样地受到重视,要做到这点就需要在网络中实现对网络资源的使用进行审计。
在当今的网络中各种审计系统已经有了初步的应用,例如:数据库审计、应用程序审计以及网络信息审计等,但是,随着网络规模的不断扩大,功能相对单一的审计产品有一定的局限性,并且对审计信息的综合分析和综合管理能力远远不够。功能完整、管理统一,跨地区、跨网段、集中管理才是综合审计系统最终的发展目标。
本文对涉密信息系统中安全审计系统的概念、内容、实现原理、存在的问题、以及今后的发展方向做出了讨论。
二、什么是安全审计
国内通常对计算机信息安全的认识是要保证计算机信息系统中信息的机密性、完整性、可控性、可用性和不可否认性(抗抵赖),简称“五性”。安全审计是这“五性”的重要保障之一,它对计算机信息系统中的所有网络资源(包括数据库、主机、操作系统、安全设备等)进行安全审计,记录所有发生的事件,提供给系统管理员作为系统维护以及安全防范的依据。安全审计如同银行的监控系统,不论是什么人进出银行,都进行如实登记,并且每个人在银行中的行动,乃至一个茶杯的挪动都被如实的记录,一旦有突发事件可以快速的查阅进出记录和行为记录,确定问题所在,以便采取相应的处理措施。
近几年,涉密系统规模不断扩大,系统中使用的设备也逐渐增多,每种设备都带有自己的审计模块,另外还有专门针对某一种网络应用设计的审计系统,如:操作系统的审计、数据库审计系统、网络安全审计系统、应用程序审计系统等,但是都无法做到对计算机信息系统全面的安全审计,另外审计数据格式不统一、审计分析规则无法统一定制也给系统的全面综合审计造成了一定的困难。如果在当前的系统条件下希望全面掌握信息系统的运行情况,就需要对每种设备的审计模块熟练操作,并且结合多种专用审计产品才能够做到。
为了能够方便地对整个计算机信息系统进行审计,就需要设计综合的安全审计系统。它的目标是通过数据挖掘和数据仓库等技术,实现在不同网络环境中对网络设备、终端、数据资源等进行监控和管理,在必要时通过多种途径向管理员发
出警告或自动采取排错措施,并且能够对历史审计数据进行分析、处理和追踪。主要作用有以下几个方面: 1.对潜在的攻击者起到震慑和警告的作用;2.对于已经发生的系统破坏行为提供有效的追究证据;3.为系统管理员提供有价值的系统使用日志,从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞;4.为系统管理员提供系统的统计日志,使系统管理员能够发现系统性能上的不足或需要改进和加强的地方。
三、涉密信息系统安全审计包括的内容
《中华人民共和国计算机信息系统安全保护条例》中定义的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。涉密计算机信息系统(以下简称“涉密信息系统”)在《计算机信息系统保密管理暂行规定》中定义为:采集、存储、处理、传递、输出国家秘密信息的计算机信息系统。所以针对涉密信息系统的安全审计的内容就应该针对涉密信息系统的每一个方面,应该对计算机及其相关的和配套的设备、设施(含网络),以及对信息的采集、加工、存储、传输和检索等方面进行审计。
具体来说,应该对一个涉密信息系统中的以下内容进行安全审计:
被审计资源安全审计内容
重要服务器主机操作系统系统启动、运行情况,管理员登录、操作情况,系统配置更改(如注册表、配置文件、用户系统等)以及病毒或蠕虫感染、资源消耗情况的审计,硬盘、cpu、内存、网络负载、进程、操作系统安全日志、系统内部事件、对重要文件的访问等。
重要服务器主机应用平台软件重要应用平台进程的运行、web server、mail server、lotus、exchange server、中间件系统、健康状况(响应时间等)等。
重要数据库操作数据库进程运转情况、绕过应用软件直接操作数据库的违规访问行为、对数据库配置的更改、数据备份操作和其他维护管理操作、对重要数据的访问和更改、数据完整性等的审计。
重要应用系统办公自动化系统、公文流转和操作、网页完整性、相关业务系统(包括业务系统正常运转情况、用户开设/中止等重要操作、授权更改操作、数据提交/处理/访问/发布操作、业务流程等内容)等。
重要网络区域的客户机病毒感染情况、通过网络进行的文件共享操作、文件拷贝/打印操作、通过modem擅自连接外网的情况、非业务异常软件的安装和运行等的审计
四、安全审计系统使用的关键技术
根据在涉密信息系统中要进行安全审计的内容,我们可以从技术上分为以下几个模块: 1.网络审计模块:主要负责网络通信系统的审计;2.操作系统审计模块:主要负责对重要服务器主机操作系统的审计;3.数据库审计模块:主要负责对重要数据库操作的审计;4.主机审计模块:主要负责对网络重要区域的客户机进行审计;5.应用审计模块:主要负责重要服务器主机的应用平台软件,以及重要应用系统进行审计。
还需要配备一个数据库系统,负责以上审计模块生成的审计数据的存储、检索、数据分析等操作,另外,还需要设计一个统一管理平台模块,负责接收各审计模块发送的审计数据,存入数据库,以及向审计模块发布审计规则。如下图所示:
安全审计系统中应解决如下的关键技术: 1.网络监听: 2.内核驱动技术:
是主机审计模块、操作系统审计模块的核心技术,它可以做到和操作系统的无缝连接,可以方便的对硬盘、cpu、内存、网络负载、进程、文件拷贝/打印操作、通过modem擅自连接外网的情况、非业务异常软件的安装和运行等进行审计。3.应用系统审计数据读取技术:
大多数的多用户操作系统(windows、unix等)、正规的大型软件(数据库系统等)、多数安全设备(防火墙、防病毒软件等)都有自己的审计功能,日志通常用于检查用户的登录、分析故障、进行收费管理、统计流量、检查软件运行情况和调试软件,系统或设备的审计日志通常可以用作二次开发的基础,所以如何读取多种系统和设备的审计日志将是解决操作系统审计模块、数据库审计模块、应用审计模块的关键所在。4.完善的审计数据分析技术:
审计数据的分析是一个安全审计系统成败的关键,分析技术应该能够根据安全策略对审计数据具备评判异常和违规的能力,分为实时分析和事后分析: 实时分析:提供或获取审计数据的设备和软件应该具备预分析能力,并能够进行第一道筛选;事后分析:统一管理平台模块对记录在数据库中的审计记录进行事后分析,包括统计分析和数据挖掘。
五、安全审计系统应该注意的问题
安全审计系统的设计应该注意以下几个问题: 1.审计数据的安全:
在审计数据的获取、传输、存储过程中都应该注意安全问题,同样要保证审计信息的“五性”。在审计数据获取过程中应该防止审计数据的丢失,应该在获取后尽快传输到统一管理平台模块,经过滤后存入数据库,如果没有连接到管理平台模块,则应该在本地进行存储,待连接后再发送至管理平台模块,并且应该采取措施防止审计功能被绕过;在传输过程中应该防止审计数据被截获、篡改、丢失等,可以采用加密算法以及数字签名方式进行控制;在审计数据存储时应注意数据库的加密,防止数据库溢出,当数据库发生异常时,有相应的应急措施,而且应该在进行审计数据读取时加入身份鉴别机制,防止非授权的访问。2.审计数据的获取
首先要把握和控制好数据的来源,比如来自网络的数据截取;来自系统、网络、防火墙、中间件等系统的日志;通过嵌入模块主动收集的系统内部信息;通过网络主动访问获取的信息;来自应用系统或安全系统的审计数据等。有数据源的要积极获取;没有数据源的要设法生成数据。对收集的审计数据性质也要分清哪些是已经经过分析和判断的数据,哪些是没有分析的原始数据,要做出不同的处理。
另外,应该设计公开统一的日志读取api,使应用系统或安全设备开发时,就可以将审计日志按照日志读取api的模式进行设计,方便日后的审计数据获取。3.管理平台分级控制
由于涉密信息系统的迅速发展,系统规模也在不断扩大,所以在安全审计设计的初期就应该考虑分布式、跨网段,能够进行分级控制的问题。也就是说一个涉密信息系统中可能存在多个统一管理平台,各自管理一部分审计模块,管理平台之间是平行关系或上下级关系,平级之间不能互相管理,上级可以向下级发布审计规则,下级根据审计规则向上级汇报审计数据。这样能够根据网络规模及安全域的划分灵活的进行扩充和改变,也有利于整个安全审计系统的管理,减轻网络的通信负担。4.易于升级维护
安全审计系统应该采用模块设计,这样有利于审计系统的升级和维护。
专家预测,安全审计系统在2003年是最热门的信息安全技术之一。国内很多信息安全厂家都在进行相关技术的研究,有的已经推出了成型的产品,另一方面,相关的安全审计标准也在紧锣密鼓的制定当中,看来一个安全审计的春天已经离我们越来越近了。但是信息系统的安全从来都是一个相对的概念,只有相对的安全,而没有绝对的安全。安全也是一个动态发展的过程,随着网络技术的发展,安全审计还有很多值得关注的问题,如: 1.网络带宽由现在的100兆会增加到1g,安全审计如何对千兆网络进行审计就是值得关注的问题;2.当前还没有一套为各信息安全厂商承认的安全审计接口标准,标准的制定与应用将会使安全审计跨上一个新的台阶;篇三:计算机信息安全检查与审计报告
计算机信息安全检查与审计
一、取硬盘序列号及涉密计算机安全检查 1.双击打开“取硬盘序列号.exe”文件,之后点“显示”,可获得硬盘序列号。2.双击打开“涉密计算机安全检查系统.exe”文件,填入计算机型号与使用人。点击“确定”会出现如下对话框进入涉密计算机安全检查系统主界面。会发现该检查系统分为常规检查和强力检查,其中①常规检查分为:“上网行为检查”、“文件检查”、“系统消息检查”、“开放资源检查”、“系统运行消息检查”。②强力检查分为:“上网行为检查”、“近期处理过的文件检查”。
对计算机进行检查的时候会在该文件夹下创建一个“用户名_机器型号”的文件夹。如:“weiman2_wd-wmav2ad63642”。对机器的检查记录会以txt形式保存在该目录下。其中强力检查用时最长且文件最大。
可以分别打开文档对该计算机的信息进行查看。例如开放端口信息、近期处理过的文件强力检查列表、运行进程列表、上网记录强力检查列表。
二、viewurl和wsyscheck
三、usb检查
打开“usbdeview.exe”可对该机器usb借口进行检查。篇四:××单位信息安全评估报告
××单位 信息安全评估报告(管理信息系统)××单位 二零一一年九月 1 目标
××单位信息安全检查工作的主要目标是通过自评估工作,发现本局信息系统当前面临的主要安全问题,边检查边整改,确保信息网络和重要信息系统的安全。2 评估依据、范围和方法 2.1 评估依据
根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》(信安通[2006]15号)、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》(办信息[2006]48号)以及集团公司和省公司公司的文件、检查方案要求, 开展××单位的信息安全评估。2.2 评估范围
本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等,管理信息系统中业务种类相对较多、网络和业务结构较为复杂,在检查工作中强调对基础信息系统和重点业务系统进行安全性评估,具体包括:基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。2.3 评估方法
采用自评估方法。3 重要资产识别
对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别,将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总,形成重要资产清单。资产清单见附表1。4 安全事件
对本局半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录,形成本单位的安全事件列表。安全事件列表见附表2。5 安全检查项目评估
5.1 规章制度与组织管理评估 5.1.1 组织机构 5.1.1.1 评估标准
信息安全组织机构包括领导机构、工作机构。5.1.1.2 现状描述
本局已成立了信息安全领导机构,但尚未成立信息安全工作机构。5.1.1.3 评估结论
完善信息安全组织机构,成立信息安全工作机构。5.1.2 岗位职责 5.1.2.1 评估标准
岗位要求应包括:专职网络管理人员、专职应用系统管理人员和专职系统管理人员;专责的工作职责与工作范围应有制度明确进行界定;岗位实行主、副岗备用制度。5.1.2.2 现状描述 5.1.2.3 评估结论
本局已有兼职网络管理员、应用系统管理员和系统管理员,在条件许可下,配置专职管理人员;专责的工作职责与工作范围没有明确制度进行界定,根据实际情况制定管理制度;岗位没有实行主、副岗备用制度,在条件许可下,落实主、副岗备用制度。5.1.3 病毒管理 5.1.3.1 评估标准
病毒管理包括计算机病毒防治管理制度、定期升级的安全策略、病毒预警和报告机制、病毒扫描策略(1周内至少进行一次扫描)。5.1.3.2 现状描述
本局使用symantec防病毒软件进行病毒防护,定期从省公司病毒库服务器下载、升级安全策略;病毒预警是通过第三方和网上提供信息来源,每月统计、汇总病毒感染情况并提交局生技部和省公司生技部;每周进行二次自动病毒扫描;没有制定计算机病毒防治管理制度。5.1.3.3 评估结论
完善病毒预警和报告机制,制定计算机病毒防治管理制度。5.1.4 运行管理 5.1.4.1 评估标准
运行管理应制定信息系统运行管理规程、缺陷管理制度、统计汇报制度、运
维流程、值班制度并实行工作票制度;制定机房出入管理制度并上墙,对进出机房情况记录。
5.1.4.2 现状描述
没有建立相应信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度,没有实行工作票制度;机房出入管理制度上墙,但没有机房进出情况记录。5.1.4.3 评估结论
结合本局具体情况,制订信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度,实行工作票制度;机房出入管理制度上墙,记录机房进出情况。5.1.5 账号与口令管理 5.1.5.1 评估标准
制订了账号与口令管理制度;普通用户账户密码、口令长度要求符合大于6字符,管理员账户密码、口令长度大于8字符;半年内账户密码、口令应变更并保存变更相关记录、通知、文件,半年内系统用户身份发生变化后应及时对其账户进行变更或注销。5.1.5.2 现状描述
没有制订账号与口令管理制度,普通用户账户密码、口令长度要求大部分都不符合大于6字符;管理员账户密码、口令长度大于8字符,半年内账户密码、口令有过变更,但没有变更相关记录、通知、文件;半年内系统用户身份发生变化后能及时对其账户进行变更或注销。
5.1.5.3 评估结论
制订账号与口令管理制度,完善普通用户账户与管理员账户密码、口令长度要求;对账户密码、口令变更作相关记录;及时对系统用户身份发生变化后对其账户进行变更或注销。篇五:计算机和信息系统安全保密审计报告
计算机和信息系统安全保密审计报告
根据市国家保密局要求,公司领导非常重视计算机信息系统安全保密工作,在公司内部系统内开展自查,认真对待,不走过场,确保检查不漏一机一人。虽然在检查中没有发现违反安全保密规定的情况,但是,仍然要求计算机使用管理人员不能放松警惕,要时刻注意自己所使用和管理的计算机符合计算机信息系统安全保密工作的规定,做到专机专用,专人负责,专人管理,确保涉密计算机不上网,网上信息发布严格审查,涉密资料专门存储,不交叉使用涉密存储设备,严格落实计算机信息系统安全保密制度。通过检查,进一步提高了全公司各部门员工对计算机信息系统安全保密工作的认识,增强了责任感和使命感。现将自查情况汇报如下:
一、加大保密宣传教育,增强保密观念。始终把安全保密宣传教育作为一件大事来抓,经常性地组织全体职工认真学习各级有关加强安全保密的规定和保密常识,如看计算机泄密录像等,通过学习全公司各部门员工安全忧患意识明显增强,执行安全保密规定的自觉性和能力明显提高。
二、明确界定涉密计算机和非涉密计算机。涉密计算机应有相应标识,设置开机、屏保口令,定期更换口令,存放环境要安全可靠。涉密移动硬盘、软盘、光盘、u盘等移动存储介质加强管理,涉密移动存储介质也应有标识,不得在非涉密计算机中使用,严防泄密。非涉密计算
机、非涉密存储介质不得以任何理由处理涉密信息,非涉密存储介质不得在涉密计算机中使用涉密信息。涉密信息和数据必须按照保密规定进行采集、存储、处理、传递、使用和销毁。计算机信息系统存储、处理、传递、输出的涉密信息要有相应的密级标识,密级标识不能与正文分离。涉密信息不得在与国际网络联接的计算机信息系统中存储、处理、传递。
三、加强笔记本电脑的使用管理。笔记本电脑主要在公司内部用于学习计算机新软件、软件调试,不处理涉密数据或文件。
四、计算机的使用人员要定期对电脑进行安全检查,及时升级杀毒软件,定时查杀病毒。对外来计算机介质必须坚持先交计算机管理人员查杀病毒再上中转机使用的原则。
五、对需要维修的涉密计算机,各部门必须事先将计算机内的涉密信息进行清除;如需调换计算机硬盘,清除涉密信息后方可允许维修人员将硬盘带走。对报废的涉密计算机必须彻底清除计算机内的信息,方可处理。
六、小结 安全审计作为一门新的信息安全技术,能够对整个计算机信息系统进行监控,如实记录系统内发生的任何事件,一个完善的安全审计系统可以根据一定的安全策略记录和分析历史操作事件及数据,有效的记录 攻击事件的发生,提供有效改进系统性能和的安全性能的依据。本文从安全审计的概念、在涉密信息系统中需要审计的内容、安全审计的关键技术及安全审计系统应该注意的问题等几个方面讨论了安全审计在涉密信息系统中的应用。安全审计系统应该全面地对整个涉密信息系统中的网络、主机、应用程序、数据库及安全设备等进行审计,同时支持分布式跨网段审计,集中统一管理,可对审计数据进行综合的统计与分析,从而可以更有效的防御外部的入侵和内部的非法违规操作,最终起到保护机密信息和资源的作用。
第二篇:计算机信息安全保密审计报告
计算机和信息系统安全保密审计报告
根据省保密局要求,公司领导非常重视计算机信息系统安全保密工作,在公司内部系统内开展自查,认真对待,不走过场,确保检查不漏一机一人。虽然在检查中没有发现违反安全保密规定的情况,但是,仍然要求计算机使用管理人员不能放松警惕,要时刻注意自己所使用和管理的计算机符合计算机信息系统安全保密工作规定,做到专机专用,专人负责,专人管理,确保涉密计算机不上网,网上发布信息严格审查,涉密资料专门存储,不交换使用涉密存储设备,严格落实计算机信息系统安全保密制度。通过检查,进一步提高了全公司各个部门员工对计算机信息系统安全保密工作的认识,增强了责任感和使命感。现将自查情况汇报如下:
一、加大保密宣传教育,增强保密观念。始终把安全保密宣传教育作为一件大事来抓,经常性地组织全体职工认真学习各级有关加强安全保密的规定和保密常识,如看计算机泄密录像等,通过学习全公司各部门员工安全忧患意识明显增强,执行安全保密规定的自觉性和能力明显提高。
二、明显界定涉密计算机和非涉密计算机。涉密计算机应有相应的标识,设置开机、屏保口令,定期更换口令,存放环境要安全可靠。涉密移动硬盘、软盘、光盘、U盘等移动存储介质加强管理,涉密移动存储介质也应有标识,不得在非涉密计算机中使用,严防泄密。非涉密计算机、非涉密存储介质不得以任何理由处理涉密信息,非涉密存储介质不得在涉密计算机中使用涉密信息。涉密信息和数据必须按照保密规定进行采集、存储、处理、传递、使用和销毁。计算机信息系统存储、处理、传递、输出的涉密信息要有相应的密级标识,密级标识不能与正文分离。涉密信息不得在与国际网络连接的计算机信息系统中存储、处理、传递。
三、加强笔记本电脑的使用管理。笔记本电脑主要在公司内部用于学习计算机新软件、软件调试,不得处理涉密数据或文件。
四、计算机的使用人员要定期对电脑进行安全检查,及时升级病毒软件,定时查杀病毒。对外来计算机介质必须坚持先交计算机管理人员查杀病毒再上中转机使用的原则。
五、对需要维修的涉密计算机,各部门必须事先将计算机内的涉密信息进行清除;如需调换计算机硬盘,清楚涉密信息后方可允许维修人员将硬盘带走。对报废的涉密计算机必须彻底清除计算机内的信息,方可处理。
六、小结
安全审计作为一门新的信息安全技术,能够对整个计算机信息系统进行监控,如实记录系统内发生的任何事件,一个完善的安全审计系统可以根据一定的安全策略记录和分析历史操作事件及数据,有效的记录攻击事件的发生,提供有效改进系统性能和安全性能的依据。本文从安全审计的概念、在涉密信息系统中需要审计的内容、安全审计的关键技术及安全审计系统应该注意的问题等几个方面讨论了安全审计在涉密信息系统中的应用。安全审计系统应该全面地对整个涉密信息系统中的网络、主机、应用程序、数据库及安全设备等进行审计,同时支持分布式跨网段审计,集中统一管理,可对审计数据进行综合的统计与分析,从而可以更有效的防御外部的入侵和内部的非法违规操作,最终起到保护机密信息和资源的作用。
计算机管理小组 2012.4.25
计算机信息安全保密审计报告
有限公司
第三篇:审计报告
审计报告书
月份会计凭证进行了审计,以及对合同审核监督工作中需要规避的风险和现阶段的工程项目出现的问题做出了相关的报告,并对本次审计、审核、监督工作中出现的问题做出相应的审计建议。
一、审计工作内容
(一)审计目标
经济业务发生的会计信息的真实性、合法性以及完整性进行审计监督 合同审核监督工作中规避的风险 工程项目监督管理工作中出现的问题
(二)审计程序
查阅会计凭证,询问经济业务事项
合同审核登记监督
工程项目审查监督
(三)审计检查范围
根据财务科2016年1-3月会计凭证
根据2016.01-03月合同台帐
特戊酸工程
(四)审计发现问题:
本次对财务科会计凭证的逐项查阅、询问等审计工作,发现以下问题: 1.2016年02月会计凭证中,51#凭证——外购鑫源金属铝板1649元,57#凭证——外购张店鹏儒加工不锈钢材料2415元,249#凭证——外购张店浩哲物资试剂1700元,以上经济业务均为付现业务,都盖有“现金付讫”,但都缺少财务负责人签章手续。/ 5
2.2016.03月会计凭证中,125#凭证——外购红旗仪表温度计2960元,312#凭证——外购天虹农业化肥884元、外购张店菅魄网络交换机70元,314#凭证——外购张店津南化工磷酸二氢钠1700元,363#凭证——路鹏报销上海差旅费1317元,以上经济业务均为付现业务,都盖有“现金付讫”,但都缺少财务负责人签章手续。
3.2016.03月193#凭证——付山东铝业醋酸货款1037500元,348#凭证——付大成国际材料款1016118元,以上两项经济业务的资金审批单都缺财务负责人签批手续。
三.企业合同审核监督 1.合同审核监督情况
对于本企业合同的监督管理,风控部门现实行合同全过程参与监督,包括合同签订前的风险评估,到合同执行中的实际发货数量及应收账款的回款情况,再到次月初对每项合同执行情况的数据整理、汇总、分析。
自2016年01月建立合同台帐,详细记录了每一客户的合同签订、应收及销售情况,并且每月对财务科记录的应收账款状况与经营公司实际发货及收款情况一一进行核对。
2.合同审核监督中出现的问题 在合同的审核监督中,发现如下问题:(1)预开票金额较大
XXXXXXX有限公司在2016年02月未签订合同也未发货,但给予对方多开具了920吨*3260=2999200元的增值税票。(2)合同变更无记录
XXXX客户在2015.06.18日与我方签订了1200吨的氯代特戊酰氯合同,至2015年10月23日止,实际发货220吨,单价由原来的20500元/吨变为20300/ 5
元/吨,在2016年03月单价又降为20000元/吨。但未执行任何价格变动手续。
XXXX客户2015.11.26日签订合同1000*2800=2800000元,2015.11月发货单价执行2900元/吨,2015.12月发货单价调整为2750元/吨,亦未执行价格变更手续。
3.工程项目监督中出现的问题(1)工程项目现场管理
特戊酸项目中喷砂除锈的工程量的确认,现场没有具体人员负责监督,无法区分实际喷砂除锈的工程量是多少、机械除锈的工程量又是多少,未除锈直接刷油漆有多少,直到现在我方人员也无人清楚实际完成的工程量到底是多少。而我方负责人员在未调查核实的情况下,对承建方上报的“对全厂外管廊钢结构所有钢材喷砂、除锈施工完毕”的施工项目进行了签字确认。(2)工程材料采购价格
特戊酸项目中的管廊刷漆、地埋管道以及土建部分的工程上报的材料采购审批单中,出现施工单位的申报价格和我方出具的审批价格两项数据,而在工程审计决算时应以哪个数据为准?而且我方的审批价格比承建方的申报价格最多的高出400余元/吨。虽然已和项目负责人多次沟通过,但项目负责人答复:他现在为赶工程进度,不好再谈论采购价格的事宜。(3)所报工程预算土建部分与安装部分区分不清
土建合同中工作内容明确规定:只包含管廊基础及地沟属土建部分,现在出现承建方把管廊也放到基建工程里边,因为,基建项目下浮9%,安装项目下浮30%。
四、审计建议 1.财务审计建议
对于公司资金审批及费用报销的手续,财务科还要继续加大审批、监督/ 5
力度,严格执行公司《财务报销单据签批管理规定》及《资金借支与报销管理规定》的相关规定。
财务科的工作不仅仅只是对经济业务的核算和监督,从收费到出纳各项原始收支的操作;从地磅到统计各项基础数据的录入、统计报表的编制;从审核原始凭证、会计记账凭证的录入,到编制财务会计报表;从各项税费的计提到纳税申报、上缴;从资金计划的安排,到各项资金的统一调拨、支付等等,特别是随着目前原材料市场的价格不稳定,销售市场也变化不定,在产品生产、销售方面需要占用大量的资金,财务科肩负着沉重的融资工作,而且随着公司新项目的不断增加,财务科的工作任重而道远。2.合同监督管理审计建议
对于XXXXX多开票的审计建议,这样做的后果不仅会让企业提前预支税金8万多元,还承担着纳税风险。虽然为了能与客户更好的处理好关系,但有时原则性的东西也要坚持,不得有损公司整体利益。
对于合同变更无记录的问题,虽然目前市场价格波动不定,销售部门也可根据实际情况灵活掌握,但至少要留有变更记录,这样做得目的至少对以后客户管理起到了很好的维护作用。风控部门在2016年也制定并下发了合同的《变更审批表》,请相关部门严格执行。
对于应收账款回款情况,要加强销售人员其责任心和风险意识,不仅把销售业绩和薪金挂钩,还要把应收账款的回款情况与之搭配。每月销售提成中提取的奖金分为两部分,除了按销售收入的比例提取外,还应按销售收入的实现来兑现。即使销售收入实现了,如果货款不能如期收回,这部分风险抵押金仍不兑现。企业只有加强对应收账款的科学管理,才能价低因企业赊销而产生的经营风险,最大程度的保证利益的实现。3.工程项目监督审计建议 / 5
(1)对于工程项目现场管理的建议
目前企业正面临着工期紧、资金紧的处境,全员要提高责任心,项目负责人员在加紧工程进度的同时,提高对施工现场的管理,对不合乎工程实体基本测量要求,坚决否决,并及时指令施工单位处理;对在施工现场中工程的变更过程,及时处理有质量隐患的事故,指出施工单位存在的问题,明确施工单位的责任。现场管理是工程项目管理的关键部分,只有加强施工现场管理,才能保证工程质量、降低成本、缩短工期。(2)工程材料采购价格
对于工程材料采购价格的建议:出现这样的后果不但将会导致由于承建方为追求利润而降低工程质量,而且还会导致以后在对此工程的审计结算时,跨期高套,虚增项目成本,甚至还会引起由于材料审批单价格确定不清而产生我方与施工方在工程审计决算时引起不必要的争议。
工程所用的材料费用约占工程造价的65%左右,因此在工程的项目管理中,材料管理的成效直接影响到工程造价。作为施工单位,在施工前,项目负责人对工程所需材料要进行货源的调查研究,广泛收集供货信息,尽量寻找货和价的最佳结合点,保证货比三家,质优价廉的购买材料,减少工程成本,提高企业利润。
2016年化工行业面临着效益下滑、产能过剩、成本上升、资源环境约束以及创新能力不足等诸多挑战,需要大家共同努力,客服困难,积极进取。/ 5
第四篇:审计报告(范文模版)
标准审计报告的参考格式
审 计 报 告
ABC股份有限公司全体股东:
我们审计了后附的ABC股份有限公司(以下简称ABC公司)财务报表,包括20××年12月31日的资产负债表,20××的利润表、股东权益变动表和现金流量表以及财务报表附注。
一、管理层对财务报表的责任
编制和公允列报财务报表是ABC公司管理层的责任,这种责任包括:(1)按照企业会计准则的要求编制财务报表,并使其实现公允反映;(2)设计、执行和维护必要的内部控制制度,以使财务报表不存在由于舞弊或错误而导致的重大错报。
二、注册会计师的责任
我们的责任是在实施审计工作的基础上对财务报表发表审计意见。我们按照中国注册会计师审计准则的规定执行了审计工作。中国注册会计师审计准则要求我们遵守职业道德规范,计划和实施审计工作以对财务报表是否不存在重大错报获取合理保证。
审计工作涉及实施审计程序,以获取有关财务报表金额和披露的审计证据。选择的审计程序取决于注册会计师的判断,包括对由于舞弊或错误导致的财务报表重大错报风险的评估。在进行风险评估时,我们考虑与财务报表编制相关的内部控制,以设计恰当的审计程序,但目的并非对内部控制的有效性发表意见。审计工作还包括评价管理层选用会计政策的恰当性和作出会计估计的合理性,以及评价财务报表的总体列报。
我们相信,我们获取的审计证据是充分、适当的,为发表审计意见提供了基础。
三、审计意见
我们认为,ABC公司财务报表在所有重大方面按照企业会计准则的规定编制,公允反映了ABC公司20××年12月31日的财务状况以及20××的经营成果和现金流量。
××会计师事务所
中国注册会计师:×××(盖章)
(签名并盖章)
中国注册会计师:×××
(签名并盖章)中国××市
二○××年×月×日
带强调事项段的无保留意见的审计报告
审 计 报 告
ABC股份有限公司全体股东:
我们审计了后附的ABC股份有限公司(以下简称ABC公司)财务报表,包括20×1年12月31日的资产负债表,20×1的利润表、股东权益变动表和现金流量表以及财务报表附注。
一、管理层对财务报表的责任(略)
二、注册会计师的责任(略)
三、意见段(略)
四、强调事项
我们提醒财务报表使用者关注,如财务报表附注×所述,ABC公司对Y公司提出的诉讼尚在审理当中,其结果具有不确定性。本段内容不影响已发表的审计意见。
××会计师事务所
中国注册会计师:×××(盖章)
(签名并盖章)
中国注册会计师:×××
(签名并盖章)
中国××市
二○×二年×月×日
否定意见的审计报告
审 计 报 告
ABC股份有限公司全体股东:
我们审计了后附的ABC股份有限公司(以下简称ABC公司)财务报表,包括20×1年12月31日的资产负债表,20×1的利润表、股东权益变动表和现金流量表以及财务报表附注。
一、管理层对财务报表的责任(略)
二、注册会计师的责任(略)
三、导致否定意见的事项
如财务报表附注×所述,ABC公司的长期股权投资未按企业会计准则的规定采用权益法核算。如果按权益法核算,ABC公司的长期投资账面价值将减少×万元,净利润将减少×万元,从而导致ABC公司由盈利×万元变为亏损×万元。
四、审计意见
我们认为,由于“
(三)导致否定意见的事项”段所述事项的重要性,ABC公司财务报表没有在所有重大方面按照企业会计准则的规定编制,未能公允反映ABC公司20×1年12月31日的财务状况以及20×1的经营成果和现金流量。
××会计师事务所
中国注册会计师:×××(盖章)
(签名并盖章)
中国注册会计师:×××
(签名并盖章)中国××市
二○×二年×月×日
保留意见的审计报告
审 计 报 告
ABC股份有限公司全体股东: 引言段(略)
一、管理层对财务报表的责任(略)
二、注册会计师的责任
我们的责任是在实施审计工作的基础上对财务报表发表审计意见。除本报告“
三、导致保留意见的事项”所述事项外,我们按照中国注册会计师审计准则的规定执行了审计工作。中国注册会计师审计准则要求我们遵守职业道德规范,计划和实施审计工作以对财务报表是否不存在重大错报获取合理保证。
(其他略)
三、导致保留意见的事项
ABC公司20×1年12月31日的应收账款余额×万元,占资产总额的×%。由于ABC公司未能提供债务人地址,我们无法实施函证以及其他审计程序,以获取充分、适当的审计证据。
四、审计意见
我们认为,除“
(三)导致保留意见的事项”段所术事项可能产生的影响外,ABC公司财务报表在所有重大方面按照企业会计准则的规定编制,公允反映了ABC公司20×1年12月31日的财务状况以及20×1的经营成果和现金流量。
××会计师事务所
中国注册会计师:×××(盖章)
(签名并盖章)
中国注册会计师:×××
(签名并盖章)
中国××市
二○×二年×月×日
无法表示意见的审计报告
审 计 报 告
ABC股份有限公司全体股东: 引言段(略)
一、管理层对财务报表的责任(略)
二、注册会计师的责任
我们的责任是在按照中国注册会计师审计准则的规定执行审计工作的基础上对财务报表发表审计意见。但由于“
(三)导致无法表示意见的事项”段中所述的事项,我们无法获取充分、适当的审计证据以为发表审计意见提供基础
三、导致无法表示意见的事项
ABC公司未对20×1年12月31日的存货进行盘点,金额为×万元,占期末资产总额的40%。我们无法实施存货监盘,也无法实施替代审计程序,以对期末存货的数量和状况获取充分、适当的审计证据。
四、审计意见
由于“
(三)导致无法表示意见的事项”优所述事项的重要性,我们无法获取充分、适当的审计证据以为发表审计意见提供基础,因此,我们不对ABC公司财务报表发表意见。
××会计师事务所
中国注册会计师:×××(盖章)
(签名并盖章)
中国注册会计师:×××
(签名并盖章)
中国××市
二○×二年×月×日
第五篇:审计报告
案例:
1.对下列各种情况,审计人员应签发何种类型的审计报告?
(1)审计人员为观察客户的存货盘点,又无其他程序可供替代。(2)委托人对审计人员的审计范围加以严格广泛的限制。
(3)审计人员必须依赖其他审计人员的工作结果形成本身的审计意见,且无法对其他审计人员的工作予以复核。
2.ABC会计事务所所接受的委托,由审计人员A和C于2006年3月1日对甲股份有限公司2005会计报表进行审计。此前甲股份有限公司的会计报表一直由XYZ会计师事务所进行审计。XYZ会计师事务所对甲股份有限公司2004进行审计时,认为甲股份有限公司2004年末库存商品中有100万元的商品已无使用价值和转让价值,提请甲股份有限公司将库存商品予以转销,但甲股份有限公司拒绝调整。故XYZ会计师事务所于2005年3月20日出具了保留意见的审计报告。要求:
1.请说明ABC会计师事务所审计人员A和C对甲股份有限公司2005会计报表的期初余额进行审计时,如果向XYZ会计师事务所调阅审计工作底稿,应如何处理;如果未向XYZ会计师事务所调阅审计工作底稿,审计人员应执行的审计程序。
2.若审计人员A和C经审计后认为,除2004年的库存商品确实应予以转销外,无其他重大问题。而甲股份有限公司仍拒绝调整,请指出审计人员应发表的审计意见类型,并说明原因。
3.审计人员王豪和李民对ABC股份有限公司(以下简称ABC公司)审计时,对该公司是否能持续经营产生怀疑,并实施了必要的审计程序,假定经过必要的审计程序后出现如下四种情况:
1.ABC公司存在对其持续经验能力产生重大影响的情况,管理当局采取相应的改善措施,并在会计报表中进行了适当披露。
2.ABC公司存在对其持续经营能力产生重大影响的情况,但管理当局采取相应的改善措施,但未在会计报表中进行适当披露。
3.ABC公司在可预见的将来无法持续经营,继续运用持续经营假设编制会计报表,或已按其他基础重新编制会计报表。4.审计人员王豪和李民在实施了必要的审计程序后,无法获取必要的审计证据以证明ABC公司是否能持续经营。要求:请根据以上情况分别说明对审计报告的影响。
4.ABC股份有限公司为进行配股,根据证监会的有关要求,委托MM会计师事务所对其2005年6月公开发行股票募集资金2.18亿元截止2006年12月31日的投入使用情况进行审计,并于2006年3月10日在证券报上公布了《ABC股份有限公司报告摘要》,其中MM会计师事务所出具的募集资金使用情况审计报告作为附件之一,内容如下: 审计报告
MM所会字[2006]54号 ABC股份有限公司董事会:
我们接受贵公司委托,审计了贵公司2006年12月31日的资产负债表及该的利润表和现金流量表。这些会计报表由贵公司负责,我们的责任时对这些会计报表及其所反映的资金使用情况发表审计意见。我们的审计时根据《中国注册会计师独立审计准则》进行的。在审计过程中,我们结合贵公司的实际情况,实施了包括抽查会计所以记录等我们认为必要的审计程序。
我们认为,上述会计报表对资金使用情况的反映符合《企业会计准则》和《股份有限公司会计制度》的规定,在所有重大方面公允地反映了贵公司2006年12月31日的财务状况和该的经营成果及现金流量,会计处理方法的选用遵循了一贯性原则。
MM会计师事务所:(公章)
中国注册会计师A(签章)
(地址)
中国注册会计师B(签章)
(时间)2007年3月5日
请问:该审计报告是否正确,请说明理由。
5.下列事项,分析审计人员应发表何种类型审计报告。
(1)XYZ公司2006净利润为16万元,审计人员对其2006年会计报表出具了保留意见审计报告,说明段表述如下:“贵公司账面反映的在建工程为2号流水线工程,该项目2001处于停建状态,贵公司2006对上述项目利息资本化金额为895万元。”(2)审计人员审计XYZ公司2006年会计报表时,确定其会计报表的重要性水平为500万元,主要时关注到以下两种情况:一是XYZ公司2006年停止使用且准备处置的固定资产在2001年没有计提折旧670万元;二是XYZ公司对合同约定采用到岸价格的一笔2006年12月24日发出的销售给美国A公司的业务且人主营业务收入650万元。审计人员在判断出具审计意见的类型时,认为XYZ公司不予调整的固定资产少计提折旧情况会导致出具保留意见,但XYZ公司不予调整的多计提收入情况会导致出具否定意见。最终,审计人员对XYZ公司2006年会计报表发表了否定意见的审计报告。(3)XYZ公司2006年会计报表的资产总额为7 065万元,利润总额为982万元。审计人员对XYZ公司2006年会计报表出具了保留意见审计报告,说明表述如下:“如附注五所述,贵公司累计投资收益1 940万元,其中2006年累计1 185万元。但贵公司未提供A公司2000年和2006年的会计报表,受客观条件限制,我们未能对A公司实施审计,因而无法确认该项投资收益。”
(4)XYZ公司2006净利润-10 967万元,总资产111 696万元。审计人员对XYZ公司2006年会计报表出具了无法表示意见的审计报告。说明段表述如下:“根据我们的审查,a.2006年,贵公司在连续两年亏损的情况下继续亏损,账面亏损人民币10 967万元,实际亏损金额31 729万元,贵公司净资产出现负数,账面资产总额为人民币111 696万元,实际资产总额为95 816万元,账面净资产为人民币-10 188万元,实际为-12 836万元。b.贵公司目前涉及诉讼案件66起,涉及金额人民币21 646万元,其中,贵公司作为被告的53起。一审均已败诉,涉及金额人民币20 267万元;贵公司作为原告的13起,涉及金额人民币1 379万元。上述诉讼案均未在账表中反映。c.函证其他应收款出现差异6 291万元,贵公司拒绝进行调整。”(5)审计人员对XYZ公司2006的会计报表发表了无保留意见审计报告(标准报告),但XYZ公司的会计报表附注
(二)中披露:“截至2006年12月27日,由于A公司状告XYZ公司侵犯其专利权,要求赔偿322万元,截至2006年12月31日,该诉讼案正在审理中,无法预计其最有可能的赔偿金额。” 6.北京东方会计师事务所注册会计师王X、张X于1999年3月10日完成了对大华股份有限公司1998的会计报表的实地审计工作,现正草拟审计报告。假定存在以下几种情况:
(1)大华公司1997会计报表的审计工作由光信会计师事务所完成,且于1998年2月25日出具了保留意见的审计报告,保留的原因系大华公司的一项未决诉讼对报表的影响无法判定,也未得到律师的任何信息。该诉讼至1999年3月10日仍未判决,而且律师拒绝提供有关信息。(2)该公司当年6月购入手机两部,共25 000元,该公司全部列入6月份的管理费用(假定折旧年限为5年,净残值率为10%)。
(3)公司当年的存货发出由先进先出法改为后进先出法,此变更未在报表附注中披露。要求:
针对上述三种情况,注册会计师应分别提出何种审计意见?若需进行调整,应列示调整分录。
o 假定被审计单位接受注册会计师调整和披露的建议,请草拟一份审计报告。o
点击咨询 