时间:2023-04-11 17:28:58
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇系统审计论文范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
(二)信息系统审计的目标。信息系统审计和控制联合会(ISACA)COBIT框架认为组织内部的信息系统需求三原则是:质量、成本和安全,即在保证信息系统满足组织需求的前提下,尽可能避免组织内外部风险,并减少研发和维护成本。因此信息系统审计的目标就是对组织信息系统的运行的可靠性,数据的真实性和安全性提供评价。
(三)信息系统审计的步骤。由于大多数高校内审机构在“数字化校园”开发阶段并没有参与其中。本文所述的信息系统审计专指信息系统运行维护阶段的审计。
1.审计准备阶段。信息系统审计准备阶段步骤与传统审计类似,通过从被审计单位获取相关信息系统管理的规章制度,找负责系统维护管理的工作人员座谈,实地观察等方式,完成审前调查,进行风险评估、初步确定审计重点和制定审计实施方案等工作。
2.审计实施阶段。信息系统审计在实施阶段分为两部分,分别为信息系统一般控制审计和应用控制审计。一般控制审计往往比应用控制审计更为重要,因为应用控制的有效性常常受到一般控制的影响。根据审计项目不同,审计人员可以只实施一般控制审计或者两者结合进行审计。(1)一般控制审计。一般控制审计又可以分为硬件和软件两部分,两部分的审计重点和方法有所不同,分别为:对硬件的审计通过实地观察法实施,主要有审计网络接口是否安全,是否有硬件防火墙,硬件设备存放环境是否安全,防火、防雷、防盗措施是否完备,是否装备了UPS,在硬件出现故障时是否制定了应急响应计划等。对软件的审计通过抽样、观察和面谈实施,审计重点为:一是系统管理控制,主要有系统设定的职责分离是否合理,授权管理是否充分,是否做到一个系统账户对应一个工作人员,是否确保了只有被授权的用户才能对特定资源和数据进行访问等;二是软件安全控制,主要有是否安装了杀毒软件,软件是否定时升级,未经授权的软件能否安装,是否有系统操作规范等;三是数据管理控制,主要有数据传输是否加密,系统数据是否定期备份,有无冗余备份,数据修改是否按照规定程序进行审核,向外部传输系统数据是否有身份认证,是否定期对数据质量进行检查等。(2)应用控制审计。信息系统应用控制是指为保证应用程序处理数据时按照组织流程运行,确保数据的完整性和真实性的控制,包括输入控制、处理控制、输出控制三部分。输入控制包括输入授权、数据转换和编辑校验,处理控制包括运行总数控制、计算机匹配和批处理控制,输出控制包括复核系统处理日志、审核输出文本、审核程序。对应用控制的审计,主要通过分析性复核和计算机辅助模拟的方法,审计重点为信息系统业务的控制点设置是否合理,数据处理程序最多运行数,是否有审核系统日志程序等。
3.报告阶段。内审人员根据实施阶段编制的工作底稿,出具审计报告初稿,与被审单位充分沟通后,修改审计报告,报相关层级领导审核后,签发正式审计报告。
二、高校做好信息系统审计的措施
1.转变观念,提高开展信息系统审计必要性的认识。“数字化校园”建成以后,高校内部控制环境已经悄然发生改变,内部审计要想充分发挥其独有的管理评价职能,必须迎头而上,及时开展信息系统审计。不少内审机构认为信息系统审计专业性太强,无从着手,实际上信息系统审计的核心并没有改变,还是对信息系统控制的评价,并没有超出审计人员专业知识的范畴。
2.结合实际,建立信息系统审计的体系。当前,国际上已经有比较成熟的关于信息系统审计的体系,那就是信息系统审计和控制联合会(ISACA)COBIT体系,但完全照搬肯定是不行的,在实际操作中,内审机构必须结合国情、校情,进行修订更改,出台符合自身工作实际的、具备可操作性的信息系统审计体系,以规范审计工作。
审计系统是在一定的经济社会环境下产生,又在特定的外界环境中存在和发展。它是环境的产物,必须和环境相适应。与生态系统中的生物一样,审计系统的生存、生长受制于环境,但审计系统的存在和发展又反过来影响和改变环境。回顾审计系统的发展历程,经历了三个阶段:
第一阶段是19世纪中叶,在资本主义得到充分发展、取得工业革命成功的英国出现了现代意义的审计(称英国式审计或详细审计)。当时的审计对象是会计账簿,审计的目的是查错防弊,所使用的审计工具是详细检查,审计信息的使用人是股东。第二阶段是本世纪初,在资本主义发达的美国出现了以资产负债表为对象的资产负债表审计,其目的是判断借款人的信用状况,审计信息使用人从股东扩大到债权人(主要是银行)。第三阶段是本世纪20—30年代,由于资本市场证券化,在美国出现了以损益表为中心的财务会计报表审计,目的是提出客观公正的审计意见,审计信息使用人是所有的企业利害关系人,对上市公司而言就是社会公众。到了40年代以后,由于跨国公司的出现,国际间资本流动频繁,在发达的资本主义国家出现了国际化的会计公司。
从上述审计系统从一个阶段向高一阶段的进化过程分析,我们可以得出两点结论:一是审计系统每一次进化都是为了适应环境的变化,和任何系统一样,只有适应环境的系统才能得以生存和发展。19世纪西方资本主义得到充分发展,实行所有权和经营权分离,就出现了英国式的详细审计。到了20世纪中叶,随着企业大型化和证券化,经济活动剧增,审计师不可能对每笔交易都进行检查,审计系统就由详细审计进化到抽样审计。有了跨国公司,就有了国际性的会计事务所。正是审计系统适应了所生存的环境,才使得本身得到充分的发展。同时,进化后的审计系统又反作用于环境,对社会经济起了积极推动作用,成为人类经济系统中不可缺少的一个子系统。二是审计系统的每一次进化都有赖于相应的理论、方法和技术的支持。从英国式的详细审计进化到资产负债表审计,是因为有内部牵制理论和统计抽样技术的支持。同样,从资产负债表审计进化到财务会计报表审计,是因为有内部控制理论和审计风险测试评价技术的支持。这是审计系统一次具有非常意义的“进化”,正是由于审计系统普遍采用了统计抽样技术和内部控制测试技术,从而使审计系统的功能大大增强,在大大提高了审计效率的同时,又有效地控制了审计风险。
同理,在步入21世纪的今天,审计系统又面临着新环境的挑战。新经济和数字时代的到来,以及经济全球化、市场一体化等将对审计系统产生重大影响。面对新经济环境的挑战,审计系统必须适应这种环境的进化,而要进化就必须有相应的理论和技术方法即系统科学和信息技术的支持,笔者将由系统科学和计算机技术支持下进化了的审计称为系统审计,与之相对应的是传统的详细审计和内控审计。下图表达了审计系统的进化过程。
需要说明的是,“系统审计”与“审计系统”是二个既有联系又有区别的概念。系统审计是指在系统科学和信息技术支持下的审计理论方法,表明一种审计理念,是相对于其它审计方法而言的。审计系统则是泛指审计体系,详细审计、财务会计报表审计、系统审计都是审计系统各个不同历史时期的产物。
二、系统审计和传统审计的比较
传统审计的思维方式是:部分整体。传统审计总是先分析对象的各个部分,然后再综合为整体。这种思维方法的局限性在于把分析与综合、部分与整体、原因与结果机械地割裂开来,认为部分是原因,整体是结果,部分决定整体。传统审计方法着眼于一个个要素,进而得出整体的性能,其逻辑结论往往是组成整体的要素好,整体的性能也就好。不论是一百五十年前的详细审计,还是目前的财务会计报表审计,注册会计师的思想方法都是从部分去推测整体,而系统审计的思想方法则是从整体到部分。详细审计是从每一笔交易账户再到报表;财务会计报表审计是通过对内部控制和控制风险的研究抽取部分交易为样本账户最终证实报表信息的真实和公允性。详细审计和报表审计在研究审计对象经济活动时,只把各组成部分孤立地、简单地加起来,这并不能说明审计对象经济活动的整体性质和功能。因为各要素的简单相加,并不能构成一个系统。
2利用网络远距离窃取企业的商业秘密以换取钱财,或利用网络传播计算机病毒以破坏企业的信息系统。
3建立在计算机网络基础上的电子商贸使贸易趋向“无纸化”,越来越多的经济业务的原始记录以电子凭证的方式存在和传递。不法之徒通过改变电子货币帐单、银行结算单及其它帐单,就有可能将公私财产的所有权进行转移。
计算机网络带来会计系统的开放与数据共享,而开放与共享的基础则是安全。企业一方面通过网络开放自己,向全世界推销自己的形象和产品,实现电子贸易、电子信息交换,但也需要守住自己的商业秘密、管理秘密和财务秘密,而其中已实现了电子化且具有货币价值的会计秘密、理财秘密是最重要的。我们有必要为它创造一个安全的环境,抵抗来自系统内外的各种干扰和威协,做到该开放的放开共享,该封闭的要让黑客无奈。
一、网络安全审计及基本要素
安全审计是一个新概念,它指由专业审计人员根据有关的法律法规、财产所有者的委托和管理当局的授权,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并作出相应评价。
没有网络安全,就没有网络世界。任何一个建立网络环境计算机会计系统的机构,都会对系统的安全提出要求,在运行和维护中也都会从自己的角度对安全作出安排。那么系统是否安全了呢?这是一般人心中无数也最不放心的问题。应该肯定,一个系统运行的安全与否,不能单从双方当事人的判断作出结论,而必须由第三方的专业审计人员通过审计作出评价。因为安全审计人员不但具有专门的安全知识,而且具有丰富的安全审计经验,只有他们才能作出客观、公正、公平和中立的评价。
安全审计涉及四个基本要素:控制目标、安全漏洞、控制措施和控制测试。其中,控制目标是指企业根据具体的计算机应用,结合单位实际制定出的安全控制要求。安全漏洞是指系统的安全薄弱环节,容易扰或破坏的地方。控制措施是指企业为实现其安全控制目标所制定的安全控制技术、配置方法及各种规范制度。控制测试是将企业的各种安全控制措施与预定的安全标准进行一致性比较,确定各项控制措施是否存在、是否得到执行、对漏洞的防范是否有效,评价企业安全措施的可依赖程度。显然,安全审计作为一个专门的审计项目,要求审计人员必须具有较强的专业技术知识与技能。
安全审计是审计的一个组成部分。由于计算机网络环境的安全将不仅涉及国家安危,更涉及到企业的经济利益。因此,我们认为必须迅速建立起国家、社会、企业三位一体的安全审计体系。其中,国家安全审计机关应依据国家法律,特别是针对计算机网络本身的各种安全技术要求,对广域网上企业的信息安全实施年审制。另外,应该发展社会中介机构,对计算机网络环境的安全提供审计服务,它与会计师事务所、律师事务所一样,是社会对企业的计算机网络系统的安全作出评价的机构。当企业管理当局权衡网络系统所带来的潜在损失时,他们需要通过中介机构对安全性作出检查和评价。此外财政、财务审计也离不开网络安全专家,他们对网络的安全控制作出评价,帮助注册会计师对相应的信息处理系统所披露信息的真实性、可靠性作出正确判断。
二、网络安全审计的程序
安全审计程序是安全监督活动的具体规程,它规定安全审计工作的具体内容、时间安排、具体的审计方法和手段。与其它审计一样,安全审计主要包括三个阶段:审计准备阶段、实施阶段以及终结阶段。
安全审计准备阶段需要了解审计对象的具体情况、安全目标、企业的制度、结构、一般控制和应用控制情况,并对安全审计工作制订出具体的工作计划。在这一阶段,审计人员应重点确定审计对象的安全要求、审计重点、可能的漏洞及减少漏洞的各种控制措施。
1了解企业网络的基本情况。例如,应该了解企业内部网的类型、局域网之间是否设置了单向存取限制、企业网与Internet的联接方式、是否建立了虚拟专用网(VPN)?
2了解企业的安全控制目标。安全控制目标一般包括三个方面:第一,保证系统的运转正常,数据的可靠完整;第二,保障数据的有效备份与系统的恢复能力;第三,对系统资源使用的授权与限制。当然安全控制目标因企业的经营性质、规模的大小以及管理当局的要求而有所差异。
3了解企业现行的安全控制情况及潜在的漏洞。审计人员应充分取得目前企业对网络环境的安全保密计划,了解所有有关的控制对上述的控制目标的实现情况,系统还有哪些潜在的漏洞。
安全审计实施阶段的主要任务是对企业现有的安全控制措施进行测试,以明确企业是否为安全采取了适当的控制措施,这些措施是否发挥着作用。审计人员在实施环节应充分利用各种技术工具产品,如网络安全测试产品、网络监视产品、安全审计分析器。
安全审计终结阶段应对企业现存的安全控制系统作出评价,并提出改进和完善的方法和其他意见。安全审计终结的评价,按系统的完善程度、漏洞的大小和存在问题的性质可以分为三个等级:危险、不安全和基本安全。危险是指系统存在毁灭性数据丢失隐患(如缺乏合理的数据备份机制与有效的病毒防范措施)和系统的盲目开放性(如有意和无意用户经常能闯入系统,对系统数据进行查阅或删改)。不安全是指系统尚存在一些较常见的问题和漏洞,如系统缺乏监控机制和数据检测手段等。基本安全是指各个企业网络应达到的目标,其大漏洞仅限于不可预见或罕预见性、技术极限性以及穷举性等,其他小问题发生时不影响系统运行,也不会造成大的损失,且具有随时发现问题并纠正的能力。
三、网络安全审计的主要测试
测试是安全审计实施阶段的主要任务,一般应包括对数据通讯、硬件系统、软件系统、数据资源以及安全产品的测试。
下面是对网络环境会计信息系统的主要测试。
1数据通讯的控制测试
数据通讯控制的总目标是数据通道的安全与完整。具体说,能发现和纠正设备的失灵,避免数据丢失或失真,能防止和发现来自Internet及内部的非法存取操作。为了达到上述控制目标,审计人员应执行以下控制测试:(1)抽取一组会计数据进行传输,检查由于线路噪声所导致数据失真的可能性。(2)检查有关的数据通讯记录,证实所有的数据接收是有序及正确的。(3)通过假设系统外一个非授权的进入请求,测试通讯回叫技术的运行情况。(4)检查密钥管理和口令控制程序,确认口令文
件是否加密、密钥存放地点是否安全。(5)发送一测试信息测试加密过程,检查信息通道上在各不同点上信息的内容。(6)检查防火墙是否控制有效。防火墙的作用是在Internet与企业内部网之间建立一道屏障,其有效性主要包括灵活性以及过滤、分离、报警等方面的能力。例如,防火墙应具有拒绝任何不准确的申请者的过滤能力,只有授权用户才能通过防火墙访问会计数据。
2硬件系统的控制测试
硬件控制测试的总目标是评价硬件的各项控制的适当性与有效性。测试的重点包括:实体安全、火灾报警防护系统、使用记录、后备电源、操作规程、灾害恢复计划等。审计人员应确定实物安全控制措施是否适当、在处理日常运作及部件失灵中操作员是否作出了适当的记录与定期分析、硬件的灾难恢复计划是否适当、是否制定了相关的操作规程、各硬件的资料归档是否完整。
3软件系统的控制测试
软件系统包括系统软件和应用软件,其中最主要的是操作系统、数据库系统和会计软件系统。总体控制目标应达到防止来自硬件失灵、计算机黑客、病毒感染、具有特权职员的各种破坏行为,保障系统正常运行。对软件系统的测试主要包括:(1)检查软件产品是否从正当途径购买,审计人员应对购买订单进行抽样审查。(2)检查防治病毒措施,是否安装有防治病毒软件、使用外来软盘之前是否检查病毒。(3)证实只有授权的软件才安装到系统里。
4数据资源的控制测试
数据控制目标包括两方面:一是数据备份,为恢复被丢失、损坏或扰的数据,系统应有足够备份;二是个人应当经授权限制性地存取所需的数据,未经授权的个人不能存取数据库。审计测试应检查是否提供了双硬盘备份、动态备份、业务日志备份等功能,以及在日常工作中是否真正实施了这些功能。根据系统的授权表,检查存取控制的有效性。
5系统安全产品的测试
随着网络系统安全的日益重要,各种用于保障网络安全的软、硬件产品应运而生,如VPN、防火墙、身份认证产品、CA产品等等。企业将在不断发展的安全产品市场上购买各种产品以保障系统的安全,安全审计机构应对这些产品是否有效地使用并发挥其应有的作用进行测试与作出评价。例如,检查安全产品是否经过认证机构或公安部部门的认征,产品的销售商是否具有销售许可证产品的安全保护功能是否发挥作用。
随着市场经济的深入发展,企业逐步成为自主经营、自我约束、自我发展、自我完善的商品生产者和经营者。在“优胜劣汰、适者生存”的市场经济中,企业要想真正的做到“自主经营、自我约束、自我发展、自我完善”,必须要加强内部控制,建立有效、完善的内部控制制度,这样才能在一个绝对的高度上,对企业进行高瞻远瞩的控制,才能做出与时俱进的决策。
(二)内部审计是企业内部监督机制的重要组成部分
内部审计也是企业内部控制的一个重要的组成部分,是监督内部控制其他环节的主要力量。内部审计通过对控制环境和控制程序的有效性进行监督,评估企业的内部控制是否被执行,是否及时反馈有关执行结果的信息,是否帮助企业更有效地实现预期控制目标。同时,在监控过程中,内部审计可以促进控制环境的建立和改善,为改进控制制度提供建设性的意见,为企业建立健全所需要的内部控制水平服务。在内部控制的监督过程中,内部审计发挥着越来越重要的作用。
二、内部审计在防范信息系统风险中面临的问题
(一)信息系统安全管理机制不健全
企业信息系统风险的存在,很多是由于管理不善或控制不严造成的。一方面,缺乏一套统一的安全策略体系来指导安全管理工作,无法建立系统内部明确、全面的安全规范要求。从现有管理制度规范来看,主要存在的问题是可操作性差,条理不清、重叠或遗漏等;另一方面,现有安全管理制度的管理对象基本是网络系统管理员等技术部人员,管理对象没有全面涵盖所有信息系统技术相关人员,包括所有网络系统上的内部终端人员和外部人员。
(二)内部审计在信息系统风险防范中的角色缺乏独立性
内部审计的角色发生了转变。从传统的事后审计而逐渐转向事前和事中审计,主动参与内部控制系统的建立和完善。内部审计人员即承担着评价硬件和应用信息系统安全的任务,如果又同时有参与了系统的开发和实施过程,那么内部审计人员就却乏独立性。反之,如果处于对丧失独立性的担心,内部审计人员有可能会拒绝参与系统和软件的开发,那么系统开发过程中存在的风险又无法得到控制。
(三)内审部门技术力量薄弱造成对信息系统审计形成风险
审计稽核部门的技术力量薄弱,不熟悉业务系统的流程和功能,对信息系统缺乏必要的认证能力和标准。突出表现为以下几个方面:一是实施审计稽核的手段和方法没有得到及时更新,不适应信息系统管理的要求,大部分仍停留在手工审计阶段;二是审计稽核部门对计算机账务系统实施审计的依据仅依赖于被审计单位提供的打印资料或事后资料,计算机账务的真实性审计很难得到保证。
三、加强风险防范的措施和对策
(一)构建信息系统安全管理组织及规范体系
加强信息系统的自我风险评估体系,让信息系统的管理和技术人员在自身的职责范围之内正确识别和评估潜在操作风险,主要包括内控制度的查漏补缺、工作流程的整理和规范、应急预案完善和演练等。同时加强对操作人员的管理,规范操作程序。一是加强密码管理,明确规定操作人员的权限,操作员必须在规定的权限内办理业务,用户口令及密码必须专人专用,严禁公开口令及密码;二是要建立健全操作员岗位目标责任制,对网络操作人员要明确目标任务,规范操作程序,严格落实奖惩制度。三是要严格岗位设置,不相容职务进行分离。严禁系统管理人员、网络技术人员、程序开发人员和前台操作人员混岗、代岗或一人多岗。四是要加强系统内部的稽核监督检查。稽核监督应贯穿于网络操作的全过程,重点是加强对系统设计开发、内控管理制度落实、操作运行等方面的
(二)关注信息系统的稳定性、安全性和有效性审计
首先,审计人员应运用用一定的技术方法识别系统的完整性,该过程包括检查、测试、评估系统的内制,以保证系统的稳定性;其次,审计人员应评价系统存在的风险和可能产生的后果将成为审计的核心工作和基本内容,保证信息系统的安全性。应根据审计的标准和准则,评价控制环境的和IT基础设施的安全,确保系统满足组织的业务需要,保护信息资产的安全完整,以防非授权使用、泄露、修改、损坏或丢失;最后,还应鉴别信息系统的有效性。内部审计必须理解并熟悉操作环境,了解系统技术的复杂性及其对决策的影响;对来自内部的安全隐患,采用一定的方法进行系统诊断、检验、测试,评价其有效性及效率,以支持组织业务目标的实现
(三)改善内审机构,提高内审人员素质,培养信息系统审计师
为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价。信息系统审计师也称lS审计师或IT审计师,是指那些既通晓信息系统的软件和硬件(包括信息系统的开发、运营、维护、管理和安全等),又熟悉经济管理的内部审计人才。
(四)聘请专家进行协助
内部审计人员的知识、技能和经验虽然有助于信息系统的风险防御,但现实中必须承认,在企业中同时具备计算机技术和审计专业知识的人才非常短缺。再出色的内部审计人员可能面临一些系统内的专业问题却无法解决,因此有必要聘请外部专家。可以通过专家的协助测试运用其专业技能测试系统安全,进一步防范和解决信息系统风险的存在。
参考文献:
目前,我国信息系统审计仅有十几年的历史,尚处于探索阶段,既缺乏开展信息系统审计业务的人才队伍,也没有形成专业规范体系,所进行的一些计算机审计方面的探索和尝试以及计算机审计软件的开发和应用还大都停留在对被审计单位电子数据进行处理的阶段。存在的主要问题有:信息系统审计观念落后;信息系统审计相关的准则、标准和规范尚不完善;信息系统审计专业人才匮乏;信息系统审计软件开发工作滞后。1997年,广州地铁开始公司“信息化”建设。最初,广州地铁经营审计采用“绕过计算机审计”的方法,即对导出数据进行审计。审计过程中,其逐渐意识到了运用这种“黑箱原理”审计方法的风险。因此,2006年公司组建了专门的IT审计模块,探索“如何利用计算机审计”和“通过计算机审计”。其后,广州地铁信息系统审计发展经历了借力、助力和自立三个阶段。一是借力期:IT审计模块成立初期,公司与外部顾问共同开展IT审计项目,通过外部专业人员向审计人员传输IT审计技能,同时制定《IT审计实施细则》,在人员技能储备和制度上为IT审计模块的发展奠定了基础。二是助力期:审计人员参照审计手册,利用从外部顾问处学习到的审计技能,逐步开展信息系统审计工作,将IT审计工作模式调整为以自身力量为主,外部咨询服务为辅的模式。三是自立期:2009年,广州地铁IT审计已基本实现自主化,且IT审计模块逐步走向成熟,同时其还建立了具有自身特色的信息系统审计框架。目前,IT审计已经发展成为广州地铁内部审计的一根“支柱”,连同“内控审计”,作为基本的审计手段贯穿于各类专业审计工作中,支持审计体系的巩固与发展。
二、信息系统审计内容
1、国内外关于信息系统审计内容的研究
开展信息系统审计首先要明确审计内容。国际信息系统审计协会规定,信息系统审计的主要内容包括信息系统程序审计、信息技术(IT)治理、系统生命周期管理、IT服务的交付与支持、信息资产的保护、灾难恢复和业务连续性计划。近十几年来,国内的学者和组织也对信息系统审计的内容进行了探索和研究。审计署在2012年颁布的《信息系统审计指南———计算机审计实务公告第34号》中明确提出了:信息系统审计包括对应用控制、一般控制和项目管理的审计。其中,应用控制包括信息系统业务流程,数据输入、处理和输出的控制,信息共享和业务协同;一般控制包括信息系统总体控制、信息安全技术控制、信息安全管理控制;项目管理包括信息系统建设的经济性、信息系统建设管理、信息系统绩效。上述具有代表性的规定和研究成果对信息系统审计内容的划分,均是以对信息系统逻辑结构的分析为基础。全面分析信息系统的逻辑结构,可从信息系统的构成要素、信息系统生命周期和信息系统管理三个维度进行描述:从构成要素来看,信息系统由人员、应用(包括软件平台和应用系统)、所采用的技术、硬件设备、数据文件运行规则组成;信息系统生命周期可划分为信息系统的规划阶段、开发阶段、运行维护阶段和更新阶段;从信息系统管理的维度来看,对系统的管理与控制活动贯穿于信息系统生命周期的始终,主要是通过有效执行一系列健全有效的规章制度和管理规程来实现。
2、广州地铁信息系统审计实施框架
结合广州地铁信息化项目多、系统更新快、数据集成度高、系统控制与手工控制并重等特点,围绕信息系统构成要素、信息系统生命周期和信息系统管理三个维度,广州地铁将信息系统审计的内容划分为整体计算机控制审计、应用控制审计和系统建设效能评价三个方面。其中,整体计算机控制审计是对信息系统运行中的控制活动进行审计,目的是合理保证由信息系统支持的业务流程控制是可靠的、生成的数据和报告是可信的。应用系统控制审计是对业务流程中的自动化控制活动进行审计,以合理保证交易的有效性、经适当授权和记录、完成的完整性、准确性和及时性。项目及系统绩效审计是对信息化项目的过程及成果对企业和业务产生的效益进行审计,用来合理保证信息化项目的投资/产出比例符合建设的目标,以及信息系统对企业战略起到的预期的支撑作用。围绕上述三个方面,广州地铁内部审计确立了以下的实施框架。
(1)确立整体计算机控制安全、操作、变更的三个评价维度,围绕“信息系统全生命周期”,明确整体计算机控制十个流程。
广州地铁通过学习和借鉴国际信息系统技术管理和控制标准COBIT,建立起了一套自己的整体计算机控制审计框架。框架可按流程和控制类型两种方式进行划分,两种划分方式在本质上是一致的。在按流程划分出的每个子流程中,信息系统审计人员需要从变更、安全、操作的角度去确认和评估具体的控制点;在按控制职能所作的划分中,审计人员需要围绕信息系统的策略与计划、信息系统操作、与外部供应商关系、业务可持续计划、应用系统开发、数据库、软件支持、网络、硬件等十个子流程进行审计。围绕安全、变更、操作三个角度及十个子流程,广州地铁共梳理出有关整体计算机控制的41项审计内容,并针对每一项内容明确了控制目标和风险,建立起了一套完整的整体计算机控制矩阵。例如,信息系统策略和计划子流程中,广州地铁明确了整体计算机控制的三大目标———信息系统战略、规划和预算应与实际业务和战略目标保持一致,计算机处理环境应得到具有适当技能和经验的人员的充分支持和保证,以及计算机处理环境中的人员应接受适当的培训,审计人员在此基础上针对各控制目标,识别并归纳出广州地铁现行的9个控制活动。在具体开展信息系统整体计算机控制审计时,信息系统审计人员根据审计项目的特点和要求,选择需要评价的子流程,再对照子流程的控制活动进行评估及测试即可。
(2)从内部控制目标出发,将信息系统应用控制划分为访问控制、完整性控制及数据质量控制三大方面。
广州地铁将信息系统的应用控制划分为应用系统访问控制、流程和系统完整性控制以及数据质量控制三大类,并针对各类控制分别设计了不同的审计内容。一是应用系统授权访问控制审计包括对系统的认证方式、授权机制、权限的分配管理以及不相容职责分离在系统中的实现情况的审计,目的在于保证经过允许的人才能访问和操作系统。二是流程和系统完整性控制审计是对系统输入、处理、输出以及接口等各种系统运行规则的审计,用以保证所有经允许处理的数据均转换到介质上并被处理,且处理的结果可通过适当的方式加以输出,所有输入、转换、处理和输出均在正常的时间内准确地进行。三是数据质量控制审计则是指对信息系统中的数据的完整性、规范性和有效性所进行的审计,旨在保证所有系统的输出均反映为经批准的有效的经济业务,所有经过系统的数据真实、有效,且能满足企业各项业务的使用要求。
(3)围绕“信息化项目”和“信息系统”,综合评价信息化建设的效益。
在开展整体计算机控制审计和应用控制审计的基础上,广州地铁从企业经营和投资效益的视角出发,在信息系统审计中引入了3E审计的概念,尝试对信息系统建设项目的成效、建成后系统的应用效能以及信息化对战略的支撑效果进行审计。为了全面评价项目,广州地铁通常将对单个信息系统建设项目的合规性审计与项目效能审计结合在一起开展。一是信息系统建设成效审计旨在通过对系统建设全过程的审计,促进信息系统的建设规范性,提高信息系统建设的质量。二是信息系统应用效能审计包括对业务需求的实现情况、建成功能的使用情况的审计分析,以及对系统应用对业务管理规范化、标准化和精细化提升作用的综合评价,目的在于促进系统使用价值的最大化,减少系统建设的投资浪费。三是战略支撑效果审计是从支持战略实现的角度,评价信息系统的建设效益,保证信息化建设在符合业务管理要求的同时,符合公司战略的需要,支持公司战略的实现。
三、信息系统审计实施步骤
信息系统审计步骤(或流程),是审计工作从开始到结束的整个过程。信息系统审计流程一般可划分为四个阶段:计划阶段、实施阶段、报告阶段和后续阶段。计划阶段是信息系统审计流程的起点,此阶段的主要工作包括了解被审计系统的基本情况,初步评价被审计单位信息系统的内部控制和外部控制,识别重要性和编制审计计划。实施阶段是根据计划阶段确定的审计范围、重点、步骤和方法进行有针对性的取证、评价,并形成审计结论的过程。实施阶段是信息系统审计工作的核心,主要由符合性测试和实质性测试两个部分构成。在报告阶段,信息系统审计人员需运用专业判断,整理、评价收集到的审计证据,以经过核实的审计证据为依据,形成审计意见,出具审计报告。审计报告的出具并不意味着信息系统审计工作的终结。根据国际信息系统审计标准,信息系统审计人员对于系统中发现的重大问题和漏洞,需要对被审计单位所采取的纠正措施及其效果进行后续审计。审计人员需要将后续审计纳入计划,并安排必要的人员和时间进行后续审计。广州地铁IT审计模块成立之初,即明确了IT审计“对公司的系统流程与控制、项目进行审计”和“提供有益于增加公司价值的咨询服务”两项核心职责,并围绕公司战略,以“风险导向”、“服务战略”理念为指导,从信息系统审计战略规划和具体项目执行两个层面分别制定信息系统审计的流程。
1、以公司战略为导向,制定信息系统审计的战略规划
一直以来,广州地铁奉行“源于战略、服务于战略”的现代审计理念。这一理念主要体现在两个方面:一是在制定内审工作计划时,从公司战略出发,制定各个内审业务及各专业审计模块的战略,并以业务战略为指导,开展具体的审计工作;二是在开展审计项目的过程中,始终从保障公司战略执行的角度去发现问题、评价问题,提出整改意见和落实整改。信息系统审计的战略规划来源于公司的战略,以及以公司战略指导制定的公司信息系统战略规划和内部审计业务战略规划;同时还须结合公司信息化现状和IT审计模块定位,明确广州地铁IT审计发展战略目标。
2、通过风险评估,确定各信息系统风险等级,制定层次分明、重点突出的信息系统循环审计计划
为利用有限的审计资源掌握公司主要信息系统的建设、运营情况,保障信息资源的有效利用,降低公司信息系统的整体风险,广州地铁建立了一套“根据信息系统风险评级制定差异化的审计策略”。
(1)梳理信息系统脉络,全面掌握信息系统现状。
广州地铁结合信息系统规划、建设和运营的情况及系统分类梳理出被审计信息系统清单,并从系统构成要素的角度收集系统相关的信息。这些信息包括系统名称、功能模块、采用产品等基本信息,以及项目的建设信息、系统的使用状况和运维的基本情况。这些信息是风险评分的依据,也为后续开展具体审计工作时确定审计方案提供了指引。
(2)开展信息系统风险评级,制定风险导向型审计计划。
内审人员从通用风险、业务风险、项目风险、系统风险、数据风险和人员风险六大风险类别出发,全面识别信息系统各类构成要素中存在的风险;对信息系统进行风险评价,根据风险得分将信息系统按优先级分别划分为高、中、低三类。结合公司IT审计资源的情况,对优先等级高的系统采用三年一审策略,中等级系统5—6年一个审计周期,风险等级低的系统则根据需要安排审计。在此审计策略的基础上,再综合考虑公司业务的十大风险、领导关注事项、上一年度内控评价结果和审计项目成果、公司新一年的工作重点、公司信息系统的变动情况,并制定出本年度的信息系统审计计划。
3、以风险为导向,开展信息系统审计
在项目实施阶段,审计人员必须从公司整体信息系统控制环境和被审计系统的状况、流程与内部控制两个方面进一步收集被审计系统的相关资料,了解和确认被审计单位已建立的内部控制措施,并对这些控制措施的设计是否达到控制目标进行评估。
(1)以“轮流循环+以点带面”的方式开展整体计算机控制审计。
公司的信息化业务采用统一集中管理的模式,整体计算机控制对各个系统具有一定的通用性。因此,在实务操作中,广州地铁采用“以点带面”的策略,以单个信息系统整体计算机控制为切入点对整体计算机控制进行审计,评价整体信息系统的安全性;同时,考虑到信息系统在一定时间内相对稳定,因此在实施整体计算机控制审计时可采取轮流测试的方式,即每年从十个子流程中选取几个进行测试,经过一定周期后,完成对整体计算机控制的全面审计。例如,在2011年开展的信息安全审计项目中,审计人员就围绕信息安全这个审计主题,从十个子流程中选取了与信息安全直接相关的信息系统操作、信息系统安全、业务可持续计划、应用系统开发与实施、数据库开发与实施和系统软件支持等六个流程进行审计。分步、循环开展整体计算机审计,在审计风险可控的情况下,大大节省了审计资源,也使得审计人员能够更加深入地挖掘和分析整体计算机控制方面所存在问题以及问题的成因,提出更为切实可行、同时又符合公司信息化业务发展现状和要求的整改措施。
(2)以风险为着眼点,确定应用控制审计重点。
应用控制是各个信息系统内部所建立的控制机制,应用控制审计必须针对某个具体信息系统开展。在开展应用控制审计的过程中,审计人员应紧紧围绕“风险”这个着眼点,通过对原有业务成熟度和系统建设过程中风险的评估,选择不同的审计侧重点开展应用控制审计。例如,在合同管理系统审计项目中,由于合同管理系统是全新开发的系统,审计人员经分析,判定系统在应用系统访问控制方面的风险较高。而在进行控制评估和测试后,审计人员发现业务人员在创建系统权限设置机制时完全套用了公司办公自动化系统的权限机制,而未针对合同业务流程中不同于公司组织架构下的角色设立相应的用户组,导致系统无法实现合同经办人与审批人职责的分离,存在重大的内控风险。
四、信息系统审计方法
在信息系统审计中,可因地制宜,综合运用多种学科的技术方法,包括:传统审计中内部控制测评的基本方法和审计取证的基本方法(包括审阅、核对、监盘、观察、查询、函证、计算、分析性复核);计算机科学的技术方法,如数据测试法、程序编码审查法、受控处理法、受控再处理法、整体测试法、平行模拟法、程序比较法、漏洞扫描、入侵检测、嵌入审计程序法等等;行为科学的技术方法,如运用组织发展的理论与方法、个体行为一般规律的理论和方法。这些方法与技术并不是孤立的,而是互相联系的。目前,广州地铁在信息系统审计中所运用的方法仍主要集中在传统的内控审计方法和信息系统管理的技术方法两个领域,具体包括询问、观察、文件复核、抽样、重新执行、使用计算机辅助软件等。在部分项目中,也采用了一些计算机科学的技术方法。受限于审计资源不足,广州地铁较少采用程序比较法、平行模拟法、程序编码审查法等高成本的审计方法,而倾向于选用一些较为高效的测试方法。但这些高效方法的运用不能完全消除审计风险,这就需要审计人员根据自身的经验尽量避免。
1、传统审计方法的运用
广州地铁在开展信息系统审计过程中较多运用传统审计的方法。例如,在对信息系统整体计算机控制进行审计时,通过对系统使用人员的访谈、调研和对系统各项操作的观察,梳理出整体计算机控制相关的各种控制活动。在没有测试环境的情况下对生产在用信息系统的人机交互界面和功能进行调查和确认时,审计人员大量运用了观察的方法。在对固定资产信息系统模块进行审计中,审计人员通过观察物资采购人员、资产管理人员、会计核算人员在系统中的操作界面、系统实现效果以及业务操作流程来了解系统功能的构造。发现采购中的供应商信息在跨系统流程过程中丢失,导致财务系统和实物管理的MAXIMO系统的资产台账中均缺少供应商信息,致使日后采购同类物资时,采购人员无法获取历史采购信息作为参考,增加了市场调研成本。除内控矩阵和访谈、观察等方法之外,编制流程图、数据流图和报表流图也是信息系统审计经常使用的方法。
2、计算机科学技术方法的运用
计算机科学技术方法是信息系统审计特有的方法,来源于IT行业的信息技术的转换应用,主要包括基于数据分析的方法和基于程序分析的方法,这些方法的综合使用使得对信息系统的审计更加有效。具体方法的选用需视被审计系统的实际情况而定。在一个审计项目中,广州地铁审计人员经常将多种方法结合使用。例如,在票务收入系统审计项目中,审计人员首先采用数据测试法,使用正常及非正常的测试地铁票搭乘地铁,在系统中跟踪测试票的处理情况,以验证系统处理与控制功能是否均有效;在对系统中后期内部开发的车站单程票售卖功能进行审计时,审计人员采用了程序编码审查法,对系统的源程序编码进行审查,审查后发现单程票售卖金额统计报表在进行数据处理时省略了小数点后的尾数,导致报表金额存在偏差;在对票务系统的清分报表进行验证时,审计人员又采用了平行模拟法,抽取系统中一段时间内的正式交易记录,在系统外模拟系统的处理规则对交易记录进行处理,并将处理结果与系统的报表数据进行核对,结果发现系统在数据传递和处理过程中,由于系统对于异常数据的审核过于严格,导致部分正常数据被当作垃圾数据丢进异常库,给公司造成票务损失。
3、计算机辅助审计软件的应用
计算机辅助审计软件的应用是信息系统审计的一个显著特点,也是审计人员准备阶段需要重点关注的问题之一。目前,广州地铁对计算机辅助审计软件的应用主要体现在以下两个方面。
(1)对系统中数据的准确性、完整性和一致性的检查。
例如,在合同管理系统审计项目中,为核对系统接口程序的可靠性,审计人员利用审计辅助软件快速完成了对合同系统和财务系统数据一致性的核对,迅速查找出两个系统中不一致的数据。经过深入分析,审计人员发现由于财务核算人员在财务系统中复核合同支付数据时发现错误,将支付申请退回给合同系统再由合同经办人重新填报时,合同系统未对已生成的支付信息进行更新,导致上述问题的出现。针对海量数据处理系统,数据验证是审计的重点,计算机辅助软件是“不可或缺”的审计工具。在地铁票务收入保障审计项目中,审计人需要通过数据验证的方式对业务处理的核心系统———自动售检票(AFC)系统中的系统传输和处理机制进行验证。为此,审计人员共设计了8大类29子类47个数据验证主题。审计时,审计人员运用计算机辅助审计技术,在两个月内完成了对AFC系统中10天总计超过3亿条运营数据的验证工作。
(2)利用计算机辅助软件进行对比测试。
即审计人员从信息系统中抽取某部门样本数据,将样本数据输入到与计算机辅助软件中进行处理,把审计软件输出的结果与业务系统产生的结果进行对比分析,以判定业务系统的可靠性与准确性。广州地铁在已开展的运营票务收入保障审计项目中大量地使用了此种方式。审计人员将各车站站务人员在票务系统中录入的售票数据导入到计算机辅助软件中,按照业务规则对数据进行处理,将处理结果和系统输出的结果进行对比。经对比,审计人员发现票务系统在处理异常数据时过于严格,导致部分非异常数据被系统当作异常数据丢入异常库中,给公司造成票务损失。
2.信息系统审计专业人才比较缺乏我国国内的审计人员不仅在数量上存在欠缺,质量上更是有待提高。当前我国金融界审计队伍中,主要由财经类专业人员构成,严重缺乏既掌握现代审计理论与技术又精通计算机知识与技能的新型复合型人才。传统的审计人员虽在财会审计领域经验丰富,但对计算机网络技术了解不多,这使得他们难以对复杂的网络会计系统进行有效的评审,难以应付电子商务环境下的审计风险。
3.缺乏有效的通用信息系统审计软件通用的审计软件具有计算机辅助审计软件的各种功能,并且在计算机环境中,通过数据接口与被审计信息系统连接,同时将审计工作程序化,从而在很大程度上代替了手工审计。目前我国信息系统审计刚起步不久,在信息系统审计软件这方面还存在很大空缺,通用的信息系统审计软件几乎不存在。此外,我国现有的财务软件大多没有审计接口,审计软件无法获取所需系统的电子资料。
二、我国商业银行信息系统审计的发展策略
1.信息系统审计制度与准则制定方面根据国际趋同的要求,我国应建立国际标准框架下具有各行特色的标准和规范体系。因而,我国商业银行也可应把目前国际上公认的最先进、最权威的信息系统审计标准——COB信息系统作为核心标准,建立符合中国实际、顺应国际准则趋同化要求的内控、风险管理体系、信息系统监审机制和制度。同时借鉴巴塞尔协议、BS7799、COSO等其他国际标准和原则,进而确立适合各行的信息系统审计目标、对象、范围、方法、流程等,具体指导信息系统审计工作。
2.信息系统审计管理方面第一,建立全方位信息系统审计管理体系。一方面,商业银行要切实落实《金融机构计算机安全保护工作暂行规定》要求,合理安排基础设施和安全防范措施。另一方面,监管部门应加强对我国商业银行的信息系统审计的监管,将信息系统安全作为监管的重要内容,将信息系统审计作为评价其安全性的重要因素。第二,进行信息系统审计人员的技术角色划分,突出信息系统审计的技术特色。根据各商业银行自己的信息系统技术体系及信息系统审计资源,划分不同的信息系统审计技术角色,突出信息系统审计的技术特色,提升信息系统审计层次。
二、完善内部控制审计,提高审计质量
1.扩大重点审计范围由于我国内部控制系统审计开展的时间较晚,目前还处于实施的初步阶段,特别是在当前内部控制环境对内部控制系统审计实施不利的情况下,更应该加大对重点审计范围。我国企业内部控制实施的目的是为了起到对管理者监督的作用,从而确保企业能够健康的发展,所以内部控制系统审计的审计重点需要找出内部控制制度的漏洞和不足之处,同时还要根据行业和企业规模的不同,制定不同的审计计划,同时可以将与财务报表审计相关的内部控制作为内部控制系统审计的重点范围,同时还要对其他内部控制信息加强审计。
2.吸取别国经验与创新审计方法内部控制系统审计最早由美国开始实施,所以目前各国内部控制审计准则都是以美国为范本而制定的,这就需要我们在内部控制审计实施过程中要做好吸收和借鉴工作,趋利避害,做好提前预防工作。目前经济全球化的发展步伐不断加大,但这并不意味着全球内部控制控制或是内部控制系统审计准则都要具有一致性,其实在具体实务中,企业内部控制制度都是针对企业自身的特点制定的,所以差异性较大,这就决定了企业内部控制系统审计也不可能都如出一辙。所以在目前这种情况下,我国企业内部控制系统审计需要根据我国的实际国情,制定与我国社会主义市场经济相符合的内部控制系统审计准则,这亲不仅有利于我国企业内部控制制度的健康刀菜,而且对于降低社会成本也具有积极的意义。
二、转型环境下提高基层人民银行信息系统审计水平的对策
(一)创新审计流程,强化信息系统事前和事中审计。信息系统审计是以保证计算机信息系统安全平稳运行,有效控制风险为目标的,如果仅从合规性的角度进行信息系统审计,无法达到上述目标,因此,开展信息系统审计的目的不仅要善于发现问题,有效防范已暴露的风险,更要分析化解潜在的风险,以提高审计效果。这就要求我们要创新审计流程,改变传统审计方法,采用“参与式”的审计方式,加强与科技等部门的沟通交流,重视事前与事中审计。一要完善沟通机制。科技与系统应用部门应及时将制定的有关制度、操作规程、系统运行中的事故情况、解决措施、处理结果发送给内审部门;内审部门应就审计系统时发现的问题,及时向科技和系统应用部门进行通报和反馈,并与他们定期或不定期地磋商、交流,了解各业务系统运行情况,更好地发挥信息系统审计的作用。二要组织审计人员参与新系统的开发、评估,并设计满足审计业务需要的功能,真正做到对信息系统的事前和事中审计。三是在审计过程中采用“参与式”审计方法,参与信息系统审计目标、内容、计划的制订,参与审计中发现问题的分析、讨论,参与信息系统风险的评估及改进措施的制订等。
社保网上申报系统共设计了SINS包和NSSRC包,前者存放Struts控制XML文件,根据系统各功能模块的划分,在Jsp业务文件中创建计划包、人员包和单位包;后者存放hibernat及其相关业务逻辑,根据系统各功能模块的划分,在此文件中创建计划包、人员包和单位包。Globa1NameS.java是NSSRC包中的定义全局静态变量,可供整个系统使用,系统的运行模式以及相关操作均可借助该变量定义完成设置,在引用该变量时,只需修改文件别名对应的字符串即可,无需再对该变量的代码进行改动。通过Hibernate来完成数据库的连接设置,并在相应文件中存放其配置信息,并获得连接部分的相应代码,接下来完成的事数据库表持久化的设计,通过数据库中各表对应的文件,对各属性变量及其对应的函数进行定义,然后明确存放指向路径。基于MVC的Struts框架包括View层、Control层和Model层,View层即为系统静态页面和业务层返回结果生成的jsp页面,均采用javascriPt语言编写,存放在SINS包中,按照其对应的功能模块,该控制文件会被划分为若干Struts控制文件;Control层可指明客户端表单应执行的类、方法和路径,并对客户端发送的表单数据进行处理,最后调用到具体业务层;Model层为整个框架提供了一个接口,通过此接口可与JAVA文件相连接。
1.2系统业务功能的实现
对于社保信息系统而言,不同单位和社保中心数据的存储格式并不相同,往往会形成多对一的格局,借助XML模式与其他关系模式的数据转换,可最大限度地抽取数据转换的共性,而且极大地提高了定制转换的便易性。数据交换的精髓在于集中和标准,将分散的数据进行汇集,为社保系统业务功能的实现提供必要的数据集合。采用UML工具对网上申报系统进行建模,并根据建模结果而通过编码实现。以在职增员申报功能为例,通过互联网登录社保网上申报系统办理相关业务,首先要提交数据处理请求,由信息中心轮询程序对接收到的请求进行处理,并将处理结果反馈到系统,从而便能够查看到业务办理的结果,具体操作流程在界面上均有提示。系统业务功能的实现实际上就是Struts框架中View层、Control层和Model层的实现。
【作者简介】张艳玲,渤海大学副教授,硕士;王娟,渤海大学讲师,硕士,辽宁锦州121000
【中图分类号】F239.0 【文献标识码】A 【文章编号】1004-4434(2013)02-0155-05
免疫系统论是对审计理论的创新和审计本质、职能的重新界定,石化企业作为我国国民经济的重要组成部分,其在维护国家经济安全、促进国有资产保值增值中发挥中重要作用。在国际金融危机影响尚未完全消除、国内外经济发展环境多变、市场竞争日益激烈和企业风险趋于多元的后金融危机时代。石化企业必须以免疫系统论作为新的价值取向深度推进审计文化建设,促进审计事业的创新和发展,保证企业可持续发展的实现。
一、审计文化的内涵、特点及功能
(一)审计文化的内涵
审计文化与文化之间具有密不可分的联系,审计文化是文化的重要组成部分,要了解审计文化的内涵,必须先分析文化的具体内容。关于文化的内涵,在学术界有不同观点。按照《现代俄语标准辞典》的解析:文化是指人类社会在生产中、社会生活和精神生活中所取得的成就的总和,包括物质文化和精神文化两个层面。泰勒(1992)认为,文化是一个复合整体,包括知识、信仰、艺术、道德、法律、习俗以及作为一个社会成员的人所习得的其他一切努力和习惯。还有学者认为,文化是代表一定民族特点的反映其理论思维水平的精神面貌、心理状态、思维方式和价值取向等精神成果的总和。可见,文化是一个多视角、多维度和多层面的概念。包括了物质、精神、理性和感性等多方面的涵义。也正是由于文化的复杂性,审计文化也成为了仁者见仁、智者见智的问题。但整体而言,审计文化具有自然属性和社会属性两种属性已成为普遍共识。审计文化的自然属性是审计工作中具有的属性,是共性,如审计法律法规、审计准则、审计手段和方法以及审计行为等。审计文化的自然属性决定了不同社会、不同国家的审计文化的共性。是不同国家相互交流的基础。审计文化的社会属性是审计工作中所形成的属性,是个性,其决定了不同社会、不同国家审计文化的差异性。虽然审计文化还没有形成统一、具体的概念,但学者普遍认为,审计文化是审计机关及其审计人员在履行职责、发展审计事业过程中培育形成的,被共同认可、遵循的价值观念、道德规范、行为准则、群体意识的总和。不难看出,学者对于审计文化的理解和认同,主要是集中在审计价值观、审计精神、审计心理和审计道德等在内的精神方面。
(二)审计文化的特点
经过近30年的发展,审计文化已经逐步形成了区别于其他文化的特点。(1)时代性。审计文化是时展的产物,无法脱离特定时代、特定政治、经济和社会环境的制约,随着社会经济关系的发展而变化,以适应社会经济发展对审计工作的要求,与审计工作实际现状保持协调一致。(2)系统性。审计文化包括了审计物质文化、审计制度文化和审计精神文化三个层面,三者相互关联、缺一不可。审计文化建设,不仅要注重制度、技术等有形因素,更要重视信念、价值观、道德评价等无形因素。(3)创新性。在社会经济不断发展的背景下,审计手段、审计方法、审计理论以及审计的价值观等必定要不断创新。(4)开放性。审计文化与其他文化虽有本质区别,但又相互兼容,既需要吸收先进文化的基本元素,又可以为其他文化提供借鉴和吸收。(5)科学性。审计文化具有自身的发展规律,其发展以社会经济发展水平和社会环境为基础,不能超越于经济发展水平的需要而独立存在,审计文化应与经济发展和审计工作的实际需要保持协调一致。
(三)审计文化的功能
实践证明,审计文化具有四个方面的功能。其一,凝聚功能。先进的审计文化,可以增进审计及机关人员的相互了解。团结各岗位、各领域的人员,形成共同的认知和价值观,增强企业凝聚力和忠诚度,形成促进企业发展的巨大合力。其二,激励功能。价值观和精神文化是审计文化的重要内容,其具有良好的精神感召力,有利于形成强有力的激励环境和激励机制,调动审计人员的主动性,全身心投身于审计工作,推动审计事业发展。实践证明,在某种程度上,文化的激励作用往往胜过行政命令的执行约束。其三,约束功能。审计文化的约束功能在价值观的指导下,借助道德、信念和风气发挥作用,通过心理的诱导和规范,引导人的思想和行为趋于和谐、一致。其四,教育功能。良好的审计文化有利于企业职工陶冶思想素质和道德情操,遵循正确的思想准则和行为规范。此外,审计文化还可以促使外部人员增加对审计工作的理解和配合,促使社会各界更加关注和支持审计事业。
二、免疫系统论与审计文化建设的内在机理
审计免疫系统是国家审计署审计长刘家义于2007年提出的观点,并在2008年中国审计学会五届三次理事会暨第二次理事论坛对全面深刻地阐述了免疫系统理论。免疫系统论是对审计理论的创新、审计本质和审计职能的新发展。刘家义审计长指出,审计应具有和发挥预防、揭示、抵御功能,现代国家审计就是经济社会运行的一个免疫系统。很显然,免疫系统论下的审计已经超越了传统审计中的会查账就是审计的定位,并对传统审计的监督、评价和鉴证职能进行修正及突破。免疫系统论下的审计,要做到资金管理使用的合规性、合法性、效益与效果性兼顾;既要查处问题,又要完善制度政策;在审计经济问题的同时,加强对社会、生态、环境和民生等问题的关注。对于企业而言,审计部门作为公司“免疫系统”的重要组成部分,要从审计的本质出发,发挥预警、揭示和修补抵御等“免疫”功能,同时当好经济卫士和保健医生,查错纠弊、规范管理、完善制度、堵塞漏洞,促进公司依法经营、规范管理,并不断增强抗风险能力和市场竞争力,保障公司经营管理活动安全运行和健康发展。通过分析免疫系统论和审计文化的功能与目的,两者是趋于一致的。是可以融合的。互为促进的。
(二)创新审计制度,强化审计文化建设的制度保障
中图分类号G31 文献标识码A 文章编号 1674-6708(2011)48-0198-02
0 引言
科研项目申报与科研成果的统计、管理师高校科研管理工作的重要内容之一,也是高校科研处日常工作的重要组成部分。做好科研项目申报、科研成果统计,使之达到准确、高效的水平,是高校科研管理部门始终关注和追求的目标。
随着信息技术的发展,由于各高校科研项目、科研成果、科研经费的不断增多,科研管理的信息量也日益增大。各高校纷纷摒弃了传统的手工管理模式,进而建立了基于WEB的科研管理系统,以提高工作效率。笔者在本单位的科研管理系统的开发过程中,根据本单位的实际情况,引入了论文提交审核、项目预申报2个子系统的开发,使用的实践证明,效果良好,解决了实际工作中长期存在的问题,具有一定现实意义。
1 系统需求分析
1.1论文提交审核需求
论文是科学研究的重要成果之一,其数量和质量也是衡量高校科研水平的重要指标之一,因此论文的统计和审核是高校科研处的重要工作之一,为此,一般的科研管理系统均包含此功能。
论文的提交和审核,过去一般由作者提交论文纸质复印件,科研处汇总后,逐一审核(包括是否属SCI、EI收录、是否属中文核心期刊发表、数否属非法期刊发表等),再由科研处人员逐一录入。许多高校由于实行高级别论文的奖励政策,使得科研处在该项工作中尤其不敢掉以轻心,稍有疏忽,即容易引发投诉和矛盾。在论文数量大、科研处人员少的院校尤其如此。因此,科研管理系统若只承担录入、存储且辅之以统计查询的作用是不够的。
高校图书馆在论文的甄别工作上具有得天独厚的条件,应充分发挥图书馆功能之所长,在系统中专门开辟一个审核模块归之使用,从而避免科研处在论文甄别上的尴尬与被动。
论文的提交可由作者纸质提交改为自行登入系统录入。图书馆审核后,其数据不允许再修改。此举有2个优点:其一,减少纸张使用,低碳环保从日常的工作中开始;其二,审核结果权威性增强,减少争议。
1.2 项目预申报需求
笔者从事科研项目申报工作多年,学校规定的项目申报截止日到后,个别教师仍提交申报书的情况时有发生。其原因有多方面,申报期内教学工作繁忙、外出公干等。在科研管理系统中加入预申报模块,可以有效地减少逾期申报的情况发生。
其做法为,科研处每次项目申报通知发出后,即在通知后面链接项目预申报模块,教师浏览完申报通知后,有意申报者即可进入项目预申报子系统,进行申报登记。科研处在受理申报材料截止日的前三天,可以根据目前所收材料的情况与项目预申报子系统内的登记情况进行对比,对尚未交材料者进行提醒和督促。该系统投入使用后,逾期申报的情况大幅减少。保证了申报工作的顺利进行。
2 系统结构设计
2.1系统体系结构设计
通过以上需求分析,针对本校科研管理业务流程的实际需求,本系统采用了多层B/S(Browser/Server)模式体系结构。B/S模式是Web兴起后的一种网络结构模式,WEB浏览器是客户端最主要的应用软件。这种模式统一了客户端,将系统功能实现的核心部分集中到服务器上,简化了系统的开发、维护和使用。本系统采用.NET框架支持下的n层分布式体系结构,使系统具有良好的可操作性和可维护性。
2.2 系统业务流程设计
论文提交审核流程设计
3 系统安全性设计
系统的安全性问题是本系统设计需要考虑的重要方面,除了它关系到整个系统的实用性和可靠性,更重要的是图书馆对数据库中论文审核的结论具有权威性和不可更改性,因此,本系统除了使用通信协议提供的功能完成连接和验证省份外,在应用程序和数据库中还对用户访问权限进行了分配和限制,从而确保数据库中的数据信息部不被非法泄露和修改。
用户的权限主要按用户使用性质进行分配,其中包括:教师角色用户(即有科研信息的用户)、人事处用户(专门负责教师基本信息的录入、修改、删除)、科技处用户、图书馆用户(负责论文审核)、财务处用户(负责科研经费的录入、修改、删除)、部门领导查询用户(只限于对本部门的科研信息、汇总信息进行查询)、院领导查询用户(可对全院科研信息、汇总信息进行查询)。
4 结论及应用效果
本系统于2009年10月正式投入使用,运行效果良好,它的多级用户权限管理、分布式实时查询等特点进一步增强了系统的通用性、可操作性和安全性,达到原设计目标。通过该系统的使用,实现了论文审核过程的无纸化提交,同时引入图书馆作为一个用户,解决了论文甄别问题上的难题,加强了论文审核环节的可靠性与准确性。在项目申报方面,该系统能提前让科研处掌握参加申报的人员数量及其姓名,便以及时做好提交申报材料的提醒和督促工作,保证申报工作的顺利完成。
