第一篇:国内外联网审计比较
国内外联网审计比较
一、计算机联网审计
在国外,特别是欧洲、北美洲等发达国家,他们普遍在计算机联网审计方面起步较早、联网审计经验丰富。在德国,联邦审计院与财政部的联网系统已经运行了十年,该系统同样是实时提取数据,完成信息共享。只是这个系统对审计法院内部直接访问财政部系统的人员有权限要求。在挪威,审计部门在对方财务系统里安装一个定期发送数据信息的软件(双方协商好什么时间、哪些数据完成定期发送),审计端安装有一个中央接收器,信息经过加密处理后,通过互联网传送到接收器上,审计人员将接收器里边的数据传送到数据捕获系统,再从数据捕获系统传送到审计内网。该套系统并不是实时发送信息。
但是对于我国来说,由于整体网络建设起步较晚,网络环境、特别是广域网接入环境不太成熟,对审计部门研究网络环境下的审计工作造成了困难。直到九十年代,我国还在进行非网络环境的计算机审计工作。
二、政府提供网络基础平台
在政府为联网审计提供网络基础平台和技术保障方面,国内与国外存在着较大差距。在德国、意大利等国家,包括审计部门在内的政府机构享用国家财政拨款、政府专门机构负责搭建的统一网络平台,并且所有的网络维护和运营工作也由政府来承担。以德国为例,德国原来的首都在波恩,后来由于东西德合并,首都迁到柏林。考虑到部分联邦机构还设在波恩,包括联邦审计院也在波恩,德国政府特别建立IVBB系统,IVBB是德国联邦政府机构信息网络平台的简称,该系统使所有联邦机构都可以通过网络相连。
这与我国的情况有所不同,在中国,政府有打算为国家各个部委提供网络基础设施,但还在落实当中,致使不仅先期启动的海关、税务、银行等部门自行组建网络系统,目前本应纳入政府统一网络平台的部门也有可能因此而自行组建网络系统。
三、联网审计的法律保障和法律环境
在法律保障方面:国外的宪法或者财政法对需要被审计单位提供的数据有明确规定,除特别加以说明的信息不允许公开以外,不说明的信息都可以公开。在法律环境方面:公民对法律的认识以及执法守法意识非常好,对法律条款的理解和认识比较透彻。
尽管我国近年来完善了审计方面的法律法规,但是我们在法律环境上还有所欠缺,公民的守法意识不强,而且对法律条文的理解不透彻。
四、我国联网审计的优势
首先,我国在利用计算机开展审计监督活动的深度和广度上比国外要好。由于中国处于经济腾飞的重要时期,经济活动非常活跃,导致我国经济信息量比国外多,涉及的审计内容比国外复杂,这也是中国经济发展现行阶段的客观情况所在。国外近年来对中国的金融审计非常有兴趣,对我国利用数据仓库等技术进行计算机审计工作的探索表示称赞。
其次,联网审计起点高、发展快。虽然我国在联网审计上起步较晚,但是由于借鉴了国外发达国家的成熟发展模式,我们少走了很多弯路。
再次,我国在审计信息化方面的科研成果显著。国家审计署在计算机联网方面下一步的工作更多的是侧重在工程研究层面上,他们已经将工程中的核心技术在国家申请立项,利用国家的高新技术成果,比如数据采集、存储、分析等技术,为联网审计提供支持,这当中也包括对国家863课题中新技术的采用。
第二篇:国内外银行IT审计比较
国内外银行IT审计比较
当前,随着各银行数据大集中的完成,IT风险也越来越集中。控制IT风险、保证信息系统稳定运行已成为银行最紧迫的任务。此外,随着金融监管力度的加大,银行信息披露制的实施也是当务之急。这些都要求银行加大对信息系统的审计力度。只有建立IT审计机制,由独立的IT审计师进行信息系统审计,才能形成对信息系统安全的客观评价。由于信息技术在银行经营管理领域各个层面的广泛运用,IT审计也已贯穿在各种审计之中,成为时下银行业最关注的重要课题。
我国银行业的IT审计尚处于摸索阶段,尚缺乏成熟的经验和案例可供参考,尤其是没有针对大型数据处理和大型软件开发的IT审计经验可以借鉴。有鉴于此,本期我们特别邀请工行及人行IT审计方面的专业人士,对国内外银行IT审计的具体案例进行剖析研究,就二者的差别及内在成因作深入分析,以此促进IT审计在我国银行业更健康有序的开展。
随着信息技术在银行普遍、深入的应用,银行信息系统的正常运行已经成为银行业务正常运营的最基本的条件之一,IT运营与公司运营紧密相关,IT治理也与公司治理紧密相连,因此IT审计越来越得到银行管理层的高度重视。目前,IT审计在国际上是一个相当成熟的领域,发达国家的银行均建立了完善的信息系统审计体系,而我国才刚刚开始起步。因此,很有必要研究发达国家银行业的IT审计组织结构和技术架构,解析国内银行IT审计的现状及存在的问题,并根据国际经验与我国实际情况进行差异性分析,最后,找到我国银行业IT审计的准确定位,由此,实现IT审计在国内银行业质的飞跃。
国外银行IT审计的特点 IT审计部门的独立性
在国际上IT审计部门分为内审与第三方独立审计两种。内审由企业内部专设的IT审计机构实施审计,第三方审计则提供独立的外部审计。国外发达银行大都设有内部的IT审计部门,IT审计部门独立于IT部门,由公司控股层直接管理。例如荷兰银行和瑞士银行都在控股公司层面设立了一个审计委员会,审计委员会下设企业中心,集团审计是在控股公司层面的企业中心内,直接由审计委员会管理,IT审计则隶属于集团审计,独立于IT部门。
国外银行IT审计的技术和组织框架
国外银行界在IT审计部门基本都根据银行自身的特点,确定了相应的技术框架。各银行的IT审计普遍有以下特点:
各银行均根据自己的IT形势,明确了不同的IT审计的技术领域、范围。IT审计的范围基本覆盖了信息系统建设生命周期中的所有IT活动,包含了各种技术平台和软件开发,项目投产,系统迁移、切换、运行维护等全过程。IT审计重点审计IT活动过程中的各个方面,力图将风险控制在过程中。由于IT已经渗透到银行业务的各个领域,因此IT审计与业务审计紧密结合,利用IT技术辅助进行业务审计以及将IT与业务紧密结合在一起进行综合审计,都是IT审计的重要内容。
新加坡发展银行设有专门的IT审计机构,其IT审计包括综合、技术框架和软件系统生命周期三个方面。美国大通银行同样设有专职的IT审计机构,其IT审计包括系统开发审计、系统切换审计和技术框架审计。花期银行对新系统的起用、迁移、转换、合并均由内审部门进行风险审计。花旗集团还根据特殊事件或法规要求的需要,开展专项审计,对项目风险进行评估,如采用新的计算机技术、IT系统转换及系统发生停运等问题,都要进行审计评价。
IT审计人员的比例
目前美国商业银行内部审计人员当中约有30%-50%是IT审计人员。汇丰银行仅香港分行就配备了30多名IT审计人员。在花旗银行,由于信息科技已渗透于银行的各个领域,信息技术已与业务紧密结合在一起,无论作为内部审计的对象,还是内部审计的手段,内部审计人员的工作已难以离开计算机技术支持。即使在这种情况下,花旗银行专职从事信息科技和计算机辅助审计的人员占全部审计人员的比例也超过20%。
IT治理中审计人员的角色
IT审计员在IT治理的过程中,他们的活动贯穿在计划和组织、获得和实施、交付和支持、监控这几个领域中,在此过程中始终承担着评估与评价的职责。计划和组织域中,内部审计师的关键处理是质量管理。它包括对战略性IT计划和信息架构的评估,技术方向、IT组织和关系、项目管理和IT投资管理的评价、通知、支持,保证服从外部要求,风险和管理质量的评估等。
在获得和实施域中,内部审计师的角色仍然是评估过程。如对自动化解决办法的鉴定和评价,获得和维护应用软件的评价和支持,获得和维护技术架构,开发和维护过程、安装和认证系统的评价,管理变化的评价和支持等。
在交付和支持领域,审计要对以下方面进行评估和支持。如定义和管理服务级别、管理第三方服务、管理性能和能力、保证连续性服务、鉴定和分配费用,教育、培训和支持用户,管理配置、管理问题和事件、管理数据、管理设备、管理行动等的检查和评估,保证系统安全的检查、评估和支持。
在监控领域,审计师的角色是监控过程,评价内部控制,获得独立保证,提供独立审计的检查、评估和支持。
国内外银行IT审计的差异
面对我国银行数据大集中的形势,银行已将IT风险作为内部的重要风险之一进行控制。但由于IT审计在我国还刚刚起步,与国外发达银行比较还存在很大的差异性,主要体现在以下几个方面:
审计覆盖面上的差异
目前我国各大商业银行在总行内审部门基本上都设立了信息技术审计处,股改后直接向董事会负责,这与国际惯例基本是一致的,体现了银行最高领导层充分重视IT在银行中的地位,并将IT风险防范和控制纳入到银行风险控制的战略高度。目前国际上比较先进的商业银行无一例外全部开展了GCR(一般控制)和ACR(应用控制)的全方位IT审计。但我国由于信息技术审计工作开展不长,并且人员有限,还未能全面开展一般控制和应用控制的IT审计工作,基本处于一般控制的摸索阶段,距国际先进水平还有较大的差距。
组织结构和人员上的差异
从新加坡发展银行和美国大通银行的IT审计组织框架和人员配备上看,IT审计由于涵盖了软件开发和项目投产、运行维护的全过程,包含了各种技术平台、系统生命周期的所有阶段,因此IT审计机构设置基本采用在总审计师领导下,与业务审计两条线并列的模式,人员专业化分工明确,技术水平要求也较高,懂IT技术人员的比例一般占内部审计人员的30%-50%左右。而我国银行从事信息技术审计工作的员工较少,在人员数量和质量上无论与国际先进水平还是银行的IT架构相比,均有不小的差距。同时,由于目前内审部门的信息技术审计组织结构不尽完善且人员不足,无法进一步细分审计职能、明确专业审计方向。另外,在审计手段、辅助工具以及系统接口、技术支持等方面的差距更大,需要加强力量研究解决。
国外IT审计先进经验的启示
重视信息科技审计是国际普遍趋势。随着商业银行经营管理活动对信息技术的高度依存,信息科技风险控制已成为商业银行风险管理的重要内容,并从战略的角度将IT审计与实现公司治理的总体目标紧密联系在一起。
加强IT审计是国内银行建设国际一流商业银行的内在需要。近年,工商银行信息科技优势在提升银行核心竞争力的同时,其系统风险也更加集中,更加突出,任何一点管理上的疏漏或控制上的缺陷,都可能引发巨大的系统灾难,给全行带来无法估量的经济损失和声誉损失。因此,进一步加强IT审计就更具有重大的现实意义。
加强IT审计是监管当局的外部要求。随着国内经济的快速发展和对外开放的逐步扩大,国家相关部门对信息系统的安全问题越来越重视,银监会、人民银行、审计署、公安部等国家行政管理部门和外部监管部门对企业内部的信息系统风险控制都提出了一系列要求。因此,工行必须通过加强IT审计来保证全行的信息技术应用对各级监管政策、法规的遵从性。
我国银行要尽快建立健全IT审计架构和规范,从IT治理与公司治理相结合的角度,对银行的信息系统建设的重大决策,提供评估与评价并进行相关的风险分析,力图将IT风险控制在过程中,并推进和促进科技管理,预防IT风险。要达到这一目标,可按照国际通用的IT审计标准CO鄄BIT,结合我国银行的具体实际情况,建立适合我国银行的IT审计标准和框架。
对我国银行的IT审计应紧紧围绕银行的IT技术架构进行,使银行的IT审计能涵盖主要的IT活动范围,因此应建立审计的技术领域框架。该领域至少应包含以下内容:系统运行、操作管理及风险防范,软件开发生命周期的过程管理和风险评估,新系统投产、切换、迁移、合并的过程管理和风险评估,各种技术平台的审计,电子银行等与IT紧密结合的新业务的审计,为业务审计提供IT技术手段和辅助功能,业务与IT紧密结合的综合审计,各种专项审计及事故评估。
我国银行IT审计的关注点
鉴于目前我国银行信息技术审计组织结构不尽完善和人员数量、质量严重不足,远不能达到对IT进行全面审计的要求,因此,当前我国银行IT审计工作的重点可定位在以下几个方面:防范对操作运行风险,具体应针对数据中心整合工程后的生产运行和操作情况,进行专项审计;尽快按照国际标准开展我国银行IT审计工作标准的制定;加强组织机构建设,充实技术人员并加强培训;加强IT审计的队伍建设,IT审计人员的技术背景应覆盖系统、硬件、网络、应用等多个方面,同时又具备审计知识和经验,能将IT技术与审计手段结合运用,这样才能审计出IT风险。(作者为中国工商银行内部审计局课题组成员)
相关链接 国内外银行业IT审计的相关依据 人民银行IT审计的相关规章制度
《中国人民银行计算机信息系统内审监督检查工作暂行规定》奠定了人行内审部门开展信息系统审计工作的基础,对信息系统审计工作的目的、范围、内容、方式、方法、要求进行了明确规定。
《中国人民银行关于加强计算机信息系统内部审计工作的指导意见》为人行各分支机构重视、加强和保障信息系统审计的开展提出了要求,同时对如何开展信息系统审计和开展信息系统审计需要关注的问题作了重点说明。
《中国人民银行计算机信息系统内部审计规程》明确了人行信息系统审计的具体内容和方法。国外银行信息系统审计的依据
COBIT:这是信息系统审计与控制协会于1996年公布的,是国际上通用的信息系统审计的标准,目前已经更新至第三版。COBIT将IT过程、IT资源及信息与企业的策略与目标联系起来,形成一个三维的体系结构。其中,IT准则反映了企业的战略目标,从质量、成本、时间、资源利用率、系统效率、保密性、可用性等方面来保证信息的安全性、有效性;IT资源包括以人、应用系统、技术、设施及数据在内的信息相关的资源;IT过程从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面,确定了34个信息技术处理过程。
ISO17799:按照英国国家标准局制定的BS7799-1《信息安全管理实践规范》和BS7799-2《信息安全管理体系规范》,可以帮助在组织中建立一个初步的、易于实施和维护的管理框架,在框架内通过安全管理标准,提供组织在信息安全管理的各环节上一个最佳的实践指导。BS7799-1已于2000年12月被国际标准化组织采纳,成为ISO17799。它包含100多个安全控制措施,来帮助组织识别在运做过程中对信息安全有影响的元素。这些控制措施被分成方针、安全组织、信息分类与控制、人事安全、物理与环境安全、通信与运营安全、访问控制、系统开发与维护、商务可持续运营、法律符合等10个方面,成为组织实施信
第三篇:财政联网审计交流材料
财政联网审计交流材料
财政审计的做法近年来,县审计局积极开展财政联网审计工作,在审计实践中实现了“预算指标-预算执行-财政集中支付”各环节、全过程审计,有效发挥了审计实时预警和监督作用。但随着财政联网审计工作的不断深入,财政联网审计工作也面临着一些突出问题,我们就财政联网审计的问题和对策进行粗浅的探讨。
一、实践与应用
(一)财政资金实现全覆盖
联网审计系统采集了总预算会计、国库集中支付、会计核算中心、非税收入等电子数据,覆盖了一级、二级预算单位,涵盖了“预算指标-预算执行-财政集中支付”全过程;铺设了千兆专用光纤,大大提高了数据采集速度,采集当天发生全部财政数据只需五分钟左右,而且可以根据工作需要随时采集,做到了实时更新数据,审计人员可以应用最新的电子数据实施审计。
(二)审计数据实现集中汇总
借助财政联网审计系统的数据库服务器,将非联网数据导入到联网审计系统中,既可以利用服务器的高性能运算速度提高工作效率,又实现了从零散数据到审计数据库的集中,使审计数据得以共享。如我们在“五项社保”基金专项审计中,把“五项社保”的财务、业务数据导入到财政联网审计系统中,计算机人员通过财政联网审计系统对海量业务数据进行筛选整理后,存储在服务器中。在当年的预算执行审计中这些数据又为预算执行审计所用,并且在次年的农村劳动力培训资金审计时又得到应用。逐步积累数据库中的数据,为开展纵向深度分析,宏观长远预测等提供依据。
(三)审计实现动态监控
通过财政联网审计系统动态监测功能,对数据进行多维分析,及时发现并核实审计疑点,查处和纠正违纪违规问题,从而增强了审计监督的主动性和有效性,实现了由静态向动态、由定期向经常的转变,使审计“预防”功能得到了较好的发挥。我们以国库支付明细为基点向支付时间、预算单位、预算科目、摘要等维度延伸,动态监测财政支出状况,对大额支出项目、支出单位开展审计调查,实现了“全面审计、突出重点”的审计思路。如:在对20xx年国库支付数据进行动态监测时,发现补发教师绩效工资支出占总支出比例最高,将此列为20xx年的审计调查项目,以查明是否有违反绩效工资政策乱发钱物及突击发钱等现象;以国库支付明细为基点向摘要等维度延伸,发现公务接待费支出占总支出比例较大,进一步向预算单位延伸,出现某单位公务接待费排列第一,立即对该单位进行了招待费专项审计,查处、纠正违纪违规问题,达到了降低行政成本,严肃财经纪律的目的。将预算数据与国库支付数据进行对比,发现了随意调整预算指标的问题,将此作为预算执行审计的问题向人大报告,督促财政部门加以整改,促进其科学编制预算,严格执行预算充分发挥了审计震慑力。
(四)审计工作实现高效率 财政联网审计系统采集的数据具有全面性的特点,可以通过开展横向对比等分析性复核的方法为审计立项提供数据依据,使审计立项更加科学、有效。通过财政联网审计系统,在审计立项时就可以通过财政联网审计查阅被审计单位的预算数据、国库集中支付数据、财务数据,掌握其基本情况,从多个角度进行数据分析,为科学安排审计项目提供依据。在审计调查阶段审计组通过财政联网审计系统下载预算数据、国库集中支付数据、财务数据,在进驻被审计单位前已经确定了审计重点,做到了心中有数,审计人员在被审计单位的主要工作不再是查账找问题,而是带着疑点找问题。在开展审计项目时,通过纵向对比,使审计重点、审计目标更加明确。利用财政联网审计系统,通过asl语句将审计业务人员的经验方法编写成审计方法,财政联网审计系统利用这些审计方法可以对所有数据进行自动审计,实现全面预审。如通过预审提交的审计疑点发现会计核算中心的大部分会计凭证存在多借多贷等会计处理不规范的问题,通过与会计核算中心沟通后,这些会计技术方法有问题得到了纠正。
财政联网审计的开展使审计获得了大量有用的、多种类型的信息,通过数据的多维分析的方式对经济结构、发展趋势、同级单位横向对比等宏观信息进行总体反映,一方面可以摸清全部财政资金的分布状况、总量规模、资金投向,实现了财政支出由功能分类向经济用途分类的转变;另一方面,由于财政资金动态、实时的特点及全面、多维的数据量,使审计工作可以全方位、多角度地开展,提升了工作层次,构建了“财政资金运用到哪里,审计就跟进到哪里”财政审计大格局。
二、困难与问题
财政联网审计创新了审计工作手段,提高了审计工作效率,扩大了审计工作影响,但是通过审计工作实践,我们也发现存在一些难点与问题,主要包括:
(一)审计法律法规不完善。一是《审计法》规定审计机关必须持审计通知书才能实施审计,被审计单位应依法提供电子数据,审计机关有权对被审计单位信息系统进行审计。但对财政联网审计这种全面、实时、动态审计没有明确的法律依据,新修改的审计法实施条例也没有涉及这种情况,只能靠地方政府和
财政审计的做法近年来,县审计局积极开展财政联网审计工作,在审计实践中实现了“预算指标-预算执行-财政集中支付”各环节、全过程审计,有效发挥了审计实时预警和监督作用。但随着财政联网审计工作的不断深入,财政联网审计工作也面临着一些突出问题,我们就财政联网审计的问题和对策进行粗浅的探讨。
一、实践与应用
(一)财政资金实现全覆盖
联网审计系统采集了总预算会计、国库集中支付、会计核算中心、非税收入等电子数据,覆盖了一级、二级预算单位,涵盖了“预算指标-预算执行-财政集中支付”全过程;铺设了千兆专用光纤,大大提高了数据采集速度,采集当天发生全部财政数据只需五分钟左右,而且可以根据工作需要随时采集,做到了实时更新数据,审计人员可以应用最新的电子数据实施审计。
(二)审计数据实现集中汇总
借助财政联网审计系统的数据库服务器,将非联网数据导入到联网审计系统中,既可以利用服务器的高性能运算速度提高工作效率,又实现了从零散数据到审计数据库的集中,使审计数据得以共享。如我们在“五项社保”基金专项审计中,把“五项社保”的财务、业务数据导入到财政联网审计系统中,计算机人员通过财政联网审计系统对海量业务数据进行筛选整理后,存储在服务器中。在当年的预算执行审计中这些数据又为预算执行审计所用,并且在次年的农村劳动力培训资金审计时又得到应用。逐步积累数据库中的数据,为开展纵向深度分析,宏观长远预测等提供依据。
(三)审计实现动态监控
通过财政联网审计系统动态监测功能,对数据进行多维分析,及时发现并核实审计疑点,查处和纠正违纪违规问题,从而增强了审计监督的主动性和有效性,实现了由静态向动态、由定期向经常的转变,使审计“预防”功能得到了较好的发挥。我们以国库支付明细为基点向支付时间、预算单位、预算科目、摘要等维度延伸,动态监测财政支出状况,对大额支出项目、支出单位开展审计调查,实现了“全面审计、突出重点”的审计思路。如:在对20xx年国库支付数据进行动态监测时,发现补发教师绩效工资支出占总支出比例最高,将此列为20xx年的审计调查项目,以查明是否有违反绩效工资政策乱发钱物及突击发钱等现象;以国库支付明细为基点向摘要等维度延伸,发现公务接待费支出占总支出比例较大,进一步向预算单位延伸,出现某单位公务接待费排列第一,立即对该单位进行了招待费专项审计,查处、纠正违纪违规问题,达到了降低行政成本,严肃财经纪律的目的。将预算数据与国库支付数据进行对比,发现了随意调整预算指标的问题,将此作为预算执行审计的问题向人大报告,督促财政部门加以整改,促进其科学编制预算,严格执行预算充分发挥了审计震慑力。
(四)审计工作实现高效率
财政联网审计系统采集的数据具有全面性的特点,可以通过开展横向对比等分析性复核的方法为审计立项提供数据依据,使审计立项更加科学、有效。通过财政联网审计系统,在审计立项时就可以通过财政联网审计查阅被审计单位的预算数据、国库集中支付数据、财务数据,掌握其基本情况,从多个角度进行数据分析,为科学安排审计项目提供依据。在审计调查阶段审计组通过财政联网审计系统下载预算数据、国库集中支付数据、财务数据,在进驻被审计单位前已经确定了审计重点,做到了心中有数,审计人员在被审计单位的主要工作不再是查账找问题,而是带着疑点找问题。在开展审计项目时,通过纵向对比,使审计重点、审计目标更加明确。利用财政联网审计系统,通过asl语句将审计业务人员的经验方法编写成审计方法,财政联网审计系统利用这些审计方法可以对所有数据进行自动审计,实现全面预审。如通过预审提交的审计疑点发现会计核算中心的大部分会计凭证存在多借多贷等会计处理不规范的问题,通过与会计核算中心沟通后,这些会计技术方法有问题得到了纠正。
财政联网审计的开展使审计获得了大量有用的、多种类型的信息,通过数据的多维分析的方式对经济结构、发展趋势、同级单位横向对比等宏观信息进行总体反映,一方面可以摸清全部财政资金的分布状况、总量规模、资金投向,实现了财政支出由功能分类向经济用途分类的转变;另一方面,由于财政资金动态、实时的特点及全面、多维的数据量,使审计工作可以全方位、多角度地开展,提升了工作层次,构建了“财政资金运用到哪里,审计就跟进到哪里”财政审计大格局。
二、困难与问题
财政联网审计创新了审计工作手段,提高了审计工作效率,扩大了审计工作影响,但是通过审计工作实践,我们也发现存在一些难点与问题,主要包括:
(一)审计法律法规不完善。一是《审计法》规定审计机关必须持审计通知书才能实施审计,被审计单位应依法提供电子数据,审计机关有权对被审计单位信息系统进行审计。但对财政联网审计这种全面、实时、动态审计没有明确的法律依据,新修改的审计法实施条例也没有涉及这种情况,只能靠地方政府和
部门间协调,如果发生行政诉讼,败诉的可能性非常大。对联网审计中发现的问题仅靠“审计建议函”等方式反馈给被审计单位,没有法律效力,起效不大。二是财政联网审计目前没有统一的操作规范和工作指南,如网络安全设置、采集数据方式、数据分配管理、审计预警结果运用等问题没有统一的规定,靠应用单位自己采取措施管理。
(二)审计外部环境不适应。财政部门积极推行以部门预算为基础,国库集中支付为核心,政府采购、收支两条线为重要组成部分的财政制度改革和“金财工程”建设,为财政联网审计创造了良好的审计环境。在通过财政联网审计过程中发现财政部门的四项改革还不尽完善,如部门预算编制不细、国库集中支付执行不全、操作人员违规规定随意删改预算数据等问题,使得财政联网审计采集的数据不全、不实,影响了财政联网审计系统的应用。
(三)审计风险“潜滋暗长”。财政联网审计能够适时、准确、快捷地了解被审计单位的信息系统,这在给审计工作带来便利的同时,但也带来前所未有的审计风险,如资源的共享使会计信息的安全性受到威胁,同时计算机病毒侵袭、不合理操作以及硬件损坏等问题也会导致数据毁损或丢失,严重时可能破坏被审计单位的整个系统,从而带来显性或隐形的审计风险。
(四)审计人员素质不高。财政联网审计对审计人员的能力提出了非常高的要求,要熟练掌握oracle、sqlserver、db2等数据库知识,计算机网络技术,会计知识,财政业务知识等。只有具备复合型知识背景的人员才能胜任这项工作,尤其是我们基层审计机关,这样的复合型人员非常缺乏,财政联网审计系统的部署和维护甚至更换数据模板都依赖于软件公司,就更难说在审计工作中能较好的做到财政联网审计工作实践。
三、对策与建议
(一)进一步建立健全联网审计的法律法规
上级审计机关及相关立法部门应尽快研究相关法律法规的健全完善问题,使审计工作在法律的约束指导下更好地发挥其建设性作用。应尽快出台财政联网审计准则或财政联网审计工作指南,使之成为审计人员在实施财政联网审计工作时必须恪守的行为规范和专业指南,并作为判断财政联网审计工作质量的权威性准绳,以规范数据审计与系统审计相关审计行为和审计管理。要明确建立财政联网审计管理制度,包括跟踪作业制度、日常监控结果应用制度、审计人员权限管理制度等,开发相应的财政联网审计系统电子监控子系统,对审计人员的所有操作进行全程监控,以加强审计管理。
(二)进一步深化创新财政联网审计
积极探索如何把预算指标管理、总预算会计和财政集中支付审计系统有机结合起来,从业务管理流程的角度实现预算执行情况的一体化审计。探索财政联网审计的数据大集中审计,由于财政部门使用的信息系统基本一致,上级审计机关可利用审计业务人员和计算机人员的优势,通过审计内部网将下级审计机关采集的本级财政数据,利用财政数据审计分析模型开展远程审计,将审计的问题反馈给地方审计机关查证和落实,以提高财政审计的效率和威慑力。
(三)进一步优化财政联网审计系统
对财政联网审计系统进行优化,主要解决审计管理系统的审计项目信息不能自动导入到财政联网审计系统、服务器重启后不能自动采集数据、补丁过多、操作过程繁琐、数据采集模版制作复杂、浏览下载电子数据速度比较慢的问题,使得财政联网审计系统能更好为审计工作服务
第四篇:联网审计安全性影响调研报告
20xx年1月17日,中国互联网络信息中心(cnnic)在京发布《第21次中国互联网络发展状况统计报告》,数据显示,截止20xx年12月31日,我国网民总人数达到2.1亿人,cnnic预计在20xx年中国将成为全球网民规模最大、普及率相对较高的国家。这些数据显示,中国已经进入了网络经济时代。那么何谓网络经济?网络经济就是以直接经济为特征的服务经济,它是人类联系与交流方式的演进,是以先进的网络工具体系为依托,以综合、融合为典型特征的经济模式。它的产生和发展对被誉为经济“看门人”的传统审计带来了巨大的冲击,迫切需要有一个全新的审计模式与之相适应,联网审计由此应运而生。前审计长李金华同志有一句名言:审计人员不掌握计算机技术就将失去审计资格,审计机关的领导干部不了解网络知识也将失去指挥的资格。这足以说明联网审计已经成为现在乃至将来审计的新模式。
一、联网审计的定义及开展联网审计的意义
联网审计作为电算化审计的延伸,是指审计机关与被审计单位进行网络互连后,在对被审计单位财政、财务管理相关信息系统进行测评和高效率的数据采集与分析的基础上,对被审计单位财政财务收支的真实、合法、效益进行适时、远程检查监督的行为。联网审计有利于推动财政、财务收支相关数据和业务处理日益电子化、信息化、网络化形势下审计工作的开展;有利于在新形势下有效配置审计资源、提高审计效率,进一步贯彻落实“全面审计、突出重点”的审计工作方针;联网审计模式使审计工作从事后审计转变为事后审计与事中审计相结合,从静态审计转变为静态审计与动态审计相结合,从现场审计转变为现场审计与远程审计相结合,能够使一些违纪违规问题被及时发现和纠正,能够在动态的监督中关注资金与项目的效益,能够及时、准确地为决策部门提供决策信息,从而有利于提高审计质量。但是,由于联网审计是基于互联网技术的审计模式,互联网的时空无限性和技术开放性本身就潜存着安全隐患,从而有可能导致会计信息、审计资料被截取或恶意篡改,影响审计效率和审计质量,安全性问题已经成为联网审计发展的瓶颈。本文着力于联网审计安全性问题的探讨。
二、相关法律准则的缺失对联网审计安全性影响及对策
联网审计立法是保障联网审计正常发展的关键性措施。新的《会计法》已增加了有关网络财务的内容,《电子商务法》起草工作正在加紧进行之中,但上述法规都不是针对联网审计而发布的,不能够满足联网审计的需要。因此,有必要加快联网审计立法工作的力度和进度,使人们在开展联网审计工作时有章可循。如对电子证据,电子签名,电子合同,电子货币等网络经济工具的合法性及其使用规定,都需要立法来加以明确,使得联网审计工作尤其是进行合法性审计时有法可依。目前,已有的相关法律法规适用于联网审计的应该遵从其规定,不适应的需要进一步进行修改和完善。
审计准则是审计工作应遵循的规范和尺度,是评价审计工作质量的权威性规则。联网审计对象、线索、方法,流程、结果等各方面相对于传统审计都发生了变化,以往的审计标准和准则已经不能完全适用,所以应加快新的审计标准和准则的制定以指导联网审计工作实践的深入。如对联网审计人员的一般要求,网络系统安全可靠性评价标准,网络系统内部控制准则等。
三、审计人员综合素质对联网审计的安全性影响及对策
审计人员提高网络安全防范意识,树立全新的信息安全理念,寻求最佳的安全解决方案,避免因网络安全防范失误而可能造成的不必要损失,对于联网审计来讲,显得尤其突出,这就需要审计人员从宏观上强化网络安全防范意识,实行联网审计信息安全预警报告制度。审计主管部门应尽快建立一套完善的联网审计信息安全预警报告制度,依托国家反计算机入侵和防病毒研究中心及各大杀毒软件公司雄厚的实力,及时发布联网审计信息安全问题及计算机病毒疫情,从而切实有效地防范网络会计信息安全事件;要针对用户安全意识薄弱,对网络安全重视不够,安全措施不落实的现状,开展多层次、多方位的信息网络安全宣传和培训,并加大网络安全防范措施检查的力度,真正提高用户的网络安全意识和防范能力。
实现联网审计以后,由于审计线索、内部控制、审计内容、审计方法与技术等的改变,决定了对审计人员要求的提高。不懂得计算机的审计人员,会因为审计线索的改变而无法跟踪审计,会因为不懂得网络审计的特点和风险而不能审查和评价其内部控制,会因为不会使用计算机和网络系统而无法对电子商务活动进行审计。实施联网审计后,审计工作的顺利开展,必须基于一定的计算机技能、网络知识和完备的审计理论等多方面的综合运用,这对审计人员的业务素质提出了更高的要求。
在这种情况下,审计人员不仅要有丰富的审计知识,而且要掌握一定的计算机、网络、通讯、电子商务知识与技能。只有全面提高审计人员的业务素质和工作能力,才能满足网络审计工作的需要。这就要求审计人员:
(1)系统学习审计风险方面的理论知识,掌握新的审计方法。重视从审计立项到审计结论的每一个步骤,并采取相应的风险防范措施,使每一个环节的风险减少到最低程度;
(2)更新审计监督观念。现阶段审计监督的重点应从有形资产审计转移到无形资产审计,重视管理方面和社会效益的审计,强化高新技术产业的审计,并促使其快速成长;
(3)树立竞争观念,培养创新意识。知识经济条件下,科学信息化技术对经济的促进作用进一步加强,应提高审计人员对信息经济的认识,树立面向经济的竞争观念;
(4)改革教育和培训模式,提高审计人员的素质和业务水平。未来知识经济的竞争是人才的竞争,要培养面向知识经济的高素质审计人才,就必须改革现有的教育和培训模式,建立面向知识经济的教育和培训模式,用新的方式、新的观念,全方位的培养和选拔人才。推行素质教育,实施终身教育;改革教育、培训方法和手段,教研结合,学研结合,以培养和造就一大批一流水平的审计人才。
四、网络安全对联网审计安全性的影响及对策
随着计算机互联网络技术的提高,网络带宽影响网络传输速度的问题应该说已基本解决,宽带接入为实现联网审计提供了在线操作的保证,但宽带接入的背后却隐藏了无限的杀机,有人曾断言,宽带将电脑接入了高危地区,断言虽说有点危言耸听,但网络用户面临的安全问题却是客观存在的。联网审计的信息安全问题已经成为困扰联网审计发展的核心问题。
为了保障联网审计系统的安全性和数据信息的安全性,联网审计系统部署时在审计局和被审计单位分别配备防火墙以构建vpn通道保证数据点对点传输,从而相对保证了数据在传输过程中的安全性;前置采集机部署在被审计单位时采用单刀双掷网络开关来保证审计局用户无法直接访问到被审计单位网络中,当开关倒向被审计端方向时,前置采集机连通被审计端网络进行数据采集工作,相应的,当开关倒向审计端方向时,前置采集机连通审计内网开始数据加工及后续工作;前置采集机采集数据的时间以不影响被审计单位正常工作为前提,一般在下班后及次日凌晨时段进行采集工作;全体授权审计人员用专用笔记本电脑以固定ip地址连接审计分析服务器进行现场审计,并保证所使用数据不与互联网相连。
“所有的网络都有问题,无论你采取多少预防措施都不管用。”尽管福特-伦德吉尔网络公司的商业智能经理约翰·p·苏利文的话有点耸人听闻,但我们相信,安全意识的增强、防火墙技术的进步、正确使用杀毒软件再加上审计人员的谨慎操作必将使联网审计在安全的环境中发展和壮大。
第五篇:联网审计安全性影响调研报告
2008年1月17日,中国互联网络信息中心(cnnic)在京发布《第21次中国互联网络发展状况统计报告》,数据显示,截止2007年12月31日,我国网民总人数达到2.1亿人,cnnic预计在2008年中国将成为全球网民规模最大、普及率相对较高的国家。这些数据显示,中国已经进入了网络经济时代。那么何谓网络经济?网络经济就是以直
接经济为特征的服务经济,它是人类联系与交流方式的演进,是以先进的网络工具体系为依托,以综合、融合为典型特征的经济模式。它的产生和发展对被誉为经济“看门人”的传统审计带来了巨大的冲击,迫切需要有一个全新的审计模式与之相适应,联网审计由此应运而生。前审计长李金华同志有一句名言:审计人员不掌握计算机技术就将失去审计资格,审计机关的领导干部不了解网络知识也将失去指挥的资格。这足以说明联网审计已经成为现在乃至将来审计的新模式。
一、联网审计的定义及开展联网审计的意义
联网审计作为电算化审计的延伸,是指审计机关与被审计单位进行网络互连后,在对被审计单位财政、财务管理相关信息系统进行测评和高效率的数据采集与分析的基础上,对被审计单位财政财务收支的真实、合法、效益进行适时、远程检查监督的行为。联网审计有利于推动财政、财务收支相关数据和业务处理日益电子化、信息化、网络化形势下审计工作的开展;有利于在新形势下有效配置审计资源、提高审计效率,进一步贯彻落实“全面审计、突出重点”的审计工作方针;联网审计模式使审计工作从事后审计转变为事后审计与事中审计相结合,从静态审计转变为静态审计与动态审计相结合,从现场审计转变为现场审计与远程审计相结合,能够使一些违纪违规问题被及时发现和纠正,能够在动态的监督中关注资金与项目的效益,能够及时、准确地为决策部门提供决策信息,从而有利于提高审计质量。但是,由于联网审计是基于互联网技术的审计模式,互联网的时空无限性和技术开放性本身就潜存着安全隐患,从而有可能导致会计信息、审计资料被截取或恶意篡改,影响审计效率和审计质量,安全性问题已经成为联网审计发展的瓶颈。本文着力于联网审计安全性问题的探讨。
二、相关法律准则的缺失对联网审计安全性影响及对策
联网审计立法是保障联网审计正常发展的关键性措施。新的《会计法》已增加了有关网络财务的内容,《电子商务法》起草工作正在加紧进行之中,但上述法规都不是针对联网审计而发布的,不能够满足联网审计的需要。因此,有必要加快联网审计立法工作的力度和进度,使人们在开展联网审计工作时有章可循。如对电子证据,电子签名,电子合同,电子货币等网络经济工具的合法性及其使用规定,都需要立法来加以明确,使得联网审计工作尤其是进行合法性审计时有法可依。目前,已有的相关法律法规适用于联网审计的应该遵从其规定,不适应的需要进一步进行修改和完善。
审计准则是审计工作应遵循的规范和尺度,是评价审计工作质量的权威性规则。联网审计对象、线索、方法,流程、结果等各方面相对于传统审计都发生了变化,以往的审计标准和准则已经不能完全适用,所以应加快新的审计标准和准则的制定以指导联网审计工作实践的深入。如对联网审计人员的一般要求,网络系统安全可靠性评价标准,网络系统内部控制准则等。
三、审计人员综合素质对联网审计的安全性影响及对策
审计人员提高网络安全防范意识,树立全新的信息安全理念,寻求最佳的安全解决方案,避免因网络安全防范失误而可能造成的不必要损失,对于联网审计来讲,显得尤其突出,这就需要审计人员从宏观上强化网络安全防范意识,实行联网审计信息安全预警报告制度。审计主管部门应尽快建立一套完善的联网审计信息安全预警报告制度,依托国家反计算机入侵和防病毒研究中心及各大杀毒软件公司雄厚的实力,及时发布联网审计信息安全问题及计算机病毒疫情,从而切实有效地防范网络会计信息安全事件;要针对用户安全意识薄弱,对网络安全重视不够,安全措施不落实的现状,开展多层次、多方位的信息网络安全宣传和培训,并加大网络安全防范措施检查的力度,真正提高用户的网络安全意识和防范能力。
实现联网审计以后,由于审计线索、内部控制、审计内容、审计方法与技术等的改变,决定了对审计人员要求的提高。不懂得计算机的审计人员,会因为审计线索的改变而无法跟踪审计,会因为不懂得网络审计的特点和风险而不能审查和评价其内部控制,会因为不会使用计算机和网络系统而无法对电子商务活动进行审计。实施联网审计后,审计工作的顺利开展,必须基于一定的计算机技能、网络知识和完备的审计理论等多方面的综合运用,这对审计人员的业务素质提出了更高的要求。
在这种情况下,审计人员不仅要有丰富的审计知识,而且要掌握一定的计算机、网络、通讯、电子商务知