时候:2023-04-11 17:28:58
序论:速颁发网连系其深挚的文秘履历,出格为您挑选了11篇体系审计论文范文。若是您须要更多首创资料,接待随时与咱们的客服教员接洽,但愿您能从中罗致灵感和常识!
(二)信息体系审计的方针。信息体系审计和节制连系会(ISACA)COBIT框架以为构造内部的信息体系须要三准绳是:品质、本钱和宁静,即在保障信息体系知足构造须要的前提下,尽能够或许或许防止构造表里部危险,并削减研发和掩护本钱。是以信息体系审计的方针便是对构造信息体系的运转的靠得住性,数据的实在性和宁静性供给评估。
(三)信息体系审计的步骤。因为大多数高校内审机构在“数字化校园”斥地阶段并不到场此中。本文所述的信息体系审计专指信息体系运转掩护阶段的审计。
1.审计筹办阶段。信息体系审计筹办阶段步骤与传统审计近似,经由进程从被审计单元获得相干信息体系操持的规章轨制,找担任体系掩护操持的使命职员漫谈,实地察看等体例,实现审前查问拜访,停止危险评估、开端肯定审计重点和拟定审计实施打算等使命。
2.审计实施阶段。信息体系审计在实施阶段分为两局部,别离为信息体系普通节制审计和操纵节制审计。普通节制审计常常比操纵节制审计加倍首要,因为操纵节制的有用性常常遭到普通节制的影响。按照审计名目差别,审计职员能够或许或许只实施普通节制审计或二者连系停止审计。(1)普通节制审计。普通节制审计又能够或许或许分为硬件和软件两局部,两局部的审计重点和体例有所差别,别离为:对硬件的审计经由进程实地察看法实施,首要有审计搜集接口是不是宁静,是不是有硬件防火墙,硬件装备寄存环境是不是宁静,防火、防雷、防盗办法是不是完整,是不是装备了UPS,在硬件呈现毛病时是不是拟定了应急呼应打算等。对软件的审计经由进程抽样、察看和面谈实施,审计重点为:一是体系操持节制,首要有体系设定的职责分手是不是公道,受权操持是不是充实,是不是做到一个体系账户对应一个使命职员,是不是确保了只要被受权的用户才能对特定本钱和数据停止拜候等;二是软件宁静节制,首要有是不是装置了杀毒软件,软件是不是按时进级,未经受权的软件可否装置,是不是有体系操纵标准等;三是数据操持节制,首要稀有据传输是不是加密,体系数据是不是按期备份,有不冗余备份,数据点窜是不是按照划定法式停止考核,向内部传输体系数据是不是怀孕份认证,是不是按期对数据品质停止查抄等。(2)操纵节制审计。信息体系操纵节制是指为保障操纵法式处置数据时按照构造流程运转,确保数据的完整性和实在性的节制,包罗输入节制、处置节制、输入节制三局部。输入节制包罗输入受权、数据转换和编辑校验,处置节制包罗运转总数节制、计较机婚配和批处置节制,输入节制包罗复核体系处置日记、考核输入文本、考核法式。对操纵节制的审计,首要经由进程阐发性复核和计较机赞助摹拟的体例,审计重点为信息体系营业的节制点设置是不是公道,数据处置法式最多运转数,是不是有考核体系日记法式等。
3.报告阶段。内审职员按照实施阶段体例的使命草稿,出具审计报告底稿,与被审单元充实不异后,点窜审计报告,报相干层级带领考核后,签发正式审计报告。
二、高校做好信息体系审计的办法
1.转变看法,进步展开信息体系审计须要性的熟习。“数字化校园”建成今后,高校内部节制环境已悄悄产生转变,内部审计要想充实阐扬其独占的操持评估本能机能,必须迎头而上,及时展开信息体系审计。不少内审机构以为信息体系审计专业性太强,无从动手,现实上信息体系审计的焦点并不转变,仍是对信息体系节制的评估,并不超出审计职员专业常识的规模。
2.连系现实,成立信息体系审计的体系。今后,国际上已有比拟成熟的对信息体系审计的体系,那便是信息体系审计和节制连系会(ISACA)COBIT体系,但完整照搬肯定是不行的,在现实操纵中,内审机构必须连系国情、校情,停止订正变更,出台合适本身使命现实的、具备可操纵性的信息体系审计体系,以标准审计使命。
审计体系是在必然的经济社会环境下产生,又在特定的外界环境中存在和成长。它是环境的产品,必须和环境相顺应。与生态体系中的生物一样,审计体系的保存、成长受制于环境,但审计体系的存在和成长又反曩昔影响和转变环境。回首审计体系的成长进程,履历了三个阶段:
第一阶段是19世纪中叶,在本钱主义获得充实成长、获得产业反动胜利的英国呈现了古代意思的审计(称英国式审计或详细审计)。那时的审计东西是管帐账簿,审计的方针是查错防弊,所操纵的审计东西是详细查抄,审计信息的操纵人是股东。第二阶段是本世纪初,在本钱主义发财的美国呈现了以资产欠债表为东西的资产欠债表审计,其方针是鉴定告贷人的信誉状况,审计信息操纵人从股东扩展到债务人(首要是银行)。第三阶段是本世纪20—30年月,因为本钱市场证券化,在美国呈现了以损益表为中间的财政管帐报表审计,方针是提出客观公道的审计定见,审计信息操纵人是统统的企业短长干系人,对上市公司而言便是社会公家。到了40年月今后,因为跨国公司的呈现,国际间本钱勾当频仍,在发财的本钱主义国度呈现了国际化的管帐公司。
从上述审计体系从一个阶段向高一阶段的退化进程阐发,咱们能够或许或许得出两点论断:一是审计体系每次退化都是为了顺应环境的变革,和任何系同一样,只要顺应环境的体系才能得以保存和成长。19世纪东方本钱主义获得充实成长,实施统统权和运营权分手,就呈现了英国式的详细审计。到了20世纪中叶,跟着企业大型化和证券化,经济勾当剧增,审计师不能够或许或许对每笔买卖都停止查抄,审计体系就由详细审计退化到抽样审计。有了跨国公司,就有了国际性的管帐事件所。恰是审计体系顺应了所保存的环境,才使得本身获得充实的成长。同时,退化后的审计体系又反感化于环境,对社会经济起了自动鞭策感化,成为人类经济体系中不可贫乏的一个子体系。二是审计体系的每次退化都有赖于响应的现实、体例和手艺的撑持。从英国式的详细审计退化到资产欠债表审计,是因为有内部管束现实和统计抽样手艺的撑持。一样,从资产欠债表审计退化到财政管帐报表审计,是因为有内部节制现实和审计危险测试评估手艺的撑持。这是审计系同一次具备很是意思的“退化”,恰是因为审计体系遍及接纳了统计抽样手艺和内部节制测试手艺,从而使审计体系的功效大大增强,在大大进步了审计效力的同时,又有用地节制了审计危险。
同理,在步入21世纪的明天,审计体系又面对着新环境的挑衅。新经济和数字期间的到来,和经济环球化、市场一体化等将对审计体系产生严峻影响。面对新经济环境的挑衅,审计体系必须顺应这类环境的退化,而要退化就必须有响应的现实和手艺体例即体系迷信和信息手艺的撑持,笔者将由体系迷信和计较机手艺撑持下退化了的审计称为体系审计,与之绝对应的是传统的详细审计和内控审计。下图抒发了审计体系的退化进程。
须要申明的是,“体系审计”与“审计体系”是二个既有接洽又有区分的概念。体系审计是指在体系迷信和信息手艺撑持下的审计现实体例,标明一种审计理念,是绝对别的审计体例而言的。审计体系则是泛指审计体系,详细审计、财政管帐报表审计、体系审计都是审计体系各个差别汗青期间的产品。
二、体系审计和传统审计的比拟
传统审计的思惟体例是:局部全体。传统审计老是先阐发东西的各个局部,而后再综合为全体。这类思惟体例的规模性在于把阐发与综合、局部与全体、缘由与功效机器地分裂开来,以为局部是缘由,全体是功效,局部决议全体。传统审计体例着眼于一个个身分,进而得出全体的机能,其逻辑论断常常是构成全体的身分好,全体的机能也就好。不管是一百五十年前的详细审计,仍是今朝的财政管帐报表审计,注册管帐师的思惟体例都是从局部去猜测全体,而体系审计的思惟体例则是从全体到局部。详细审计是从每笔买卖账户再到报表;财政管帐报表审计是经由进程对内部节制和节制危险的研讨抽取局部买卖为样本账户终究证实报表信息的实在和公道性。详细审计和报表审计在研讨审计东西经济勾当时,只把各构成局部伶仃地、简略地加起来,这并不能申明审计东西经济勾当的全体性子和功效。因为各身分的简略相加,并不能构成一个体系。
2操纵搜集远间隔盗取企业的贸易奥秘以调换财帛,或操纵搜集传布计较机病毒以粉碎企业的信息体系。
3成立在计较机搜集根本上的电子商贸使贸易趋势“无纸化”,愈来愈多的经济营业的原始记实以电子凭据的体例存在和传递。不法之徒经由进程转变电子货泉帐单、银行结算单及别的帐单,就有能够或许或许将公私财产的统统权停止转移。
计较机搜集带来管帐体系的开放与数据同享,而开放与同享的根本则是宁静。企业一方面经由进程搜集开放本身,向全天下倾销本身的抽象和产品,实现电子贸易、电子信息互换,但也须要守住本身的贸易奥秘、操持奥秘和财政奥秘,而此中已实现了电子化且具备货泉代价的管帐奥秘、理财奥秘是最首要的。咱们有须要为它缔造一个宁静的环境,抵当来自体系表里的各类搅扰和威协,做到该开放的铺开同享,该封锁的要让黑客没法。
一、搜集宁静审计及根基身分
宁静审计是一个新概念,它指由专业审计职员按照有关的法令律例、财产统统者的拜托和操持政府的受权,对计较机搜集环境下的有关勾当或行动停止体系的、自力的查抄考证,并作出响应评估。
不搜集宁静,就不搜集天下。任何一个成立搜集环境计较机管帐体系的机构,城市对体系的宁静提出请求,在运转和掩护中也城市从本身的角度对宁静作出支配。那末体系是不是宁静了呢?这是普通人心中有数也最不安心的题目。该当肯定,一个体系运转的宁静与否,不能单从两边当事人的鉴定作出论断,而必须由第三方的专业审计职员经由进程审计作出评估。因为宁静审计职员岂但具备特地的宁静常识,并且具备丰硕的宁静审计履历,只要他们才能作出客观、公道、公允和中立的评估。
宁静审计触及四个根基身分:节制方针、宁静缝隙、节制办法和节制测试。此中,节制方针是指企业按照详细的计较机操纵,连系单元现实拟定出的宁静节制请求。宁静缝隙是指体系的宁静软弱关键,轻易扰或粉碎的处所。节制办法是指企业为实现其宁静节制方针所拟定的宁静节制手艺、设置装备摆设体例及各类标准轨制。节制测试是将企业的各类宁静节制办法与预约的宁静标准停止分歧性比拟,肯定各项节制办法是不是存在、是不是获得实施、对缝隙的提防是不是有用,评估企业宁静办法的可依靠程度。明显,宁静审计作为一个特地的审计名目,请求审计职员必须具备较强的专业手艺常识与手艺。
宁静审计是审计的一个构成局部。因为计较机搜集环境的宁静将不只触及国度安危,更触及到企业的经济好处。是以,咱们以为必须敏捷成立起国度、社会、企业三位一体的宁静审计体系。此中,国度宁静审计构造应按照国度法令,出格是针对计较机搜集本身的各类宁静手艺请求,对广域网上企业的信息宁静实施年审制。别的,该当成长社会中介机构,对计较机搜集环境的宁静供给审计办事,它与管帐师事件所、状师事件所一样,是社会对企业的计较机搜集体系的宁静作出评估的机构。当企业操持政府权衡搜集体系所带来的潜伏丧失机,他们须要经由进程中介机构对宁静性作出查抄和评估。另外财政、财政审计也离不开搜集宁静专家,他们对搜集的宁静节制作出评估,赞助注册管帐师对响应的信息处置体系所表露信息的实在性、靠得住性作出精确鉴定。
二、搜集宁静审计的法式
宁静审计法式是宁静监视勾当的详细规程,它划定宁静审计使命的详细内容、时候支配、详细的审计体例和手腕。与别的审计一样,宁静审计首要包罗三个阶段:审计筹办阶段、实施阶段和闭幕阶段。
宁静审计筹办阶段须要领会审计东西的详细环境、宁静方针、企业的轨制、布局、普通节制和操纵节制环境,并对宁静审计使命拟定出详细的使命打算。在这一阶段,审计职员应重点肯定审计东西的宁静请求、审计重点、能够或许或许的缝隙及削减缝隙的各类节制办法。
1领会企业搜集的根基环境。比方,该当领会企业内部网的范例、局域网之间是不是设置了单向存取限定、企业网与Internet的毗连体例、是不是成立了假造公用网(VPN)?
2领会企业的宁静节制方针。宁静节制方针普通包罗三个方面:第一,保障体系的运转普通,数据的靠得住完整;第二,保障数据的有用备份与体系的规复才能;第三,对体系本钱操纵的受权与限定。固然宁静节制方针因企业的运营性子、规模的巨细和操持政府的请求而有所差别。
3领会企业现行的宁静节制环境及潜伏的缝隙。审计职员应充实获得今朝企业对搜集环境的宁静失密打算,领会统统有关的节制对上述的节制方针的实现环境,体系另有哪些潜伏的缝隙。
宁静审计实施阶段的首要使命是对企业现有的宁静节制办法停止测试,以明白企业是不是为宁静接纳了恰当的节制办法,这些办法是不是阐扬着感化。审计职员在实施关键应充实操纵各类手艺东西产品,如搜集宁静测试产品、搜集监视产品、宁静审计阐发器。
宁静审计闭幕阶段应答企业现存的宁静节制体系作出评估,并提出改良和完美的体例和其余定见。宁静审计闭幕的评估,按体系的完美程度、缝隙的巨细和存在题方针性子能够或许或许分为三个品级:危险、不宁静和根基宁静。危险是指体系存在扑灭性数据丧失隐患(如贫乏公道的数据备份机制与有用的病毒提防办法)和体系的自觉开放性(若成心和成心用户常常能突入体系,对体系数据停止查阅或编削)。不宁静是指体系尚存在一些较罕见的题目和缝隙,如体系贫乏监控机制和数据检测手腕等。根基宁静是指各个企业搜集应到达的方针,其大缝隙仅限于不可预感或罕预理性、手艺极限性和穷举性等,其余小题目产生时不影响体系运转,也不会构成大的丧失,且具备随时发明题目并改正的才能。
三、搜集宁静审计的首要测试
测试是宁静审计实施阶段的首要使命,普通应包罗对数据通讯、硬件体系、软件体系、数据本钱和宁静产品的测试。
上面是对搜集环境管帐信息体系的首要测试。
1数据通讯的节制测试
数据通讯节制的总方针是数据通道的宁静与完整。详细说,能发明和改正装备的失灵,防止数据丧失或失真,能防止和发明来自Internet及内部的不法存取操纵。为了到达上述节制方针,审计职员应实施以下节制测试:(1)抽取一组管帐数据停止传输,查抄因为线路噪声所致使数据失真的能够或许或许性。(2)查抄有关的数据通讯记实,证实统统的数据领受是有序及精确的。(3)经由进程假定体系外一个非受权的进入请求,测试通讯回叫手艺的运转环境。(4)查抄密钥操持和口令节制法式,确认口令文
件是不是加密、密钥寄存地址是不是宁静。(5)发送一测试信息测试加密进程,查抄信息通道上在各差别点上信息的内容。(6)查抄防火墙是不是节制有用。防火墙的感化是在Internet与企业内部网之间成立一道樊篱,其有用性首要包罗矫捷性和过滤、分手、报警等方面的才能。比方,防火墙应具备谢绝任何不精确的请求者的过滤才能,只要受权用户才能经由进程防火墙拜候管帐数据。
2硬件体系的节制测试
硬件节制测试的总方针是评估硬件的各项节制的恰当性与有用性。测试的重点包罗:实体宁静、火警报警防护体系、操纵记实、后备电源、操纵规程、灾害规复打算等。审计职员应肯定什物宁静节制办法是不是恰当、在处置平常运作及部件失灵中操纵员是不是作出了恰当的记实与按期阐发、硬件的灾害规复打算是不是恰当、是不是拟定了相干的操纵规程、各硬件的资料归档是不是完整。
3软件体系的节制测试
软件体系包罗体系软件和操纵软件,此中最首要的是操纵体系、数据库体系和管帐软件体系。全体节制方针应到达防止来自硬件失灵、计较机黑客、病毒传染、具备特权职员的各类粉碎行动,保障体系普通运转。对软件体系的测试首要包罗:(1)查抄软件产品是不是从正当路子采办,审计职员应答采办定单停止抽样查抄。(2)查抄防治病毒办法,是不是装置有防治病毒软件、操纵外来软盘之前是不是查抄病毒。(3)证实只要受权的软件才装置到体系里。
4数据本钱的节制测试
数据节制方针包罗两方面:一是数据备份,为规复被丧失、破坏或扰的数据,体系应有充足备份;二是小我该当经受权限定性地存取所需的数据,未经受权的小我不能存取数据库。审计测试应查抄是不是供给了双硬盘备份、静态备份、营业日记备份等功效,和在平常使命中是不是真正实施了这些功效。按照体系的受权表,查抄存取节制的有用性。
5体系宁静产品的测试
跟着搜集体系宁静的日趋首要,各类用于保障搜集宁静的软、硬件产品应运而生,如VPN、防火墙、身份认证产品、CA产品等等。企业将在不时成长的宁静产品市场上采办各类产品以保障体系的宁静,宁静审计机构应答这些产品是不是有用地操纵并阐扬其应有的感化停止测试与作出评估。比方,查抄宁静产品是不是颠末认证机构或公安部局部的认征,产品的发卖商是不是具备发卖许可证产品的宁静掩护功效是不是阐扬感化。
跟着市场经济的深切成长,企业慢慢成为自立运营、自我束缚、自我成长、自我完美的商品出产者和运营者。在“优越劣汰、适者保存”的市场经济中,企业要想实在的做到“自立运营、自我束缚、自我成长、自我完美”,必须要增强内部节制,成立有用、完美的内部节制轨制,如许才能在一个绝对的高度上,对企业停止鼠目寸光的节制,才能做出与时俱进的决议打算。
(二)内部审计是企业内部监视机制的首要构成局部
内部审计也是企业内部节制的一个首要的构成局部,是监视内部节制其余关键的首要气力。内部审计经由进程对节制环境和节制法式的有用性停止监视,评估企业的内部节制是不是被实施,是不是及时反应有关实施功效的信息,是不是赞助企业更有用地实现预期节制方针。同时,在监控进程中,内部审计能够或许或许增进节制环境的成立和改良,为改良节制轨制供给扶植性的定见,为企业成立健全所须要的内部节制程度办事。在内部节制的监视进程中,内部审计阐扬着愈来愈首要的感化。
二、内部审计在提防信息体系危险中面对的题目
(一)信息体系宁静操持机制不健全
企业信息体系危险的存在,良多是因为操持不善或节制不严构成的。一方面,贫乏一套同一的宁静计谋体系来指点宁静操持使命,没法成立体系内部明白、周全的宁静标准请求。从现有操持轨制标准来看,首要存在的题目是可操纵性差,条理不清、堆叠或漏掉等;另外一方面,现有宁静操持轨制的操持东西根基是搜集体系操持员等手艺部职员,操持东西不周全涵盖统统信息体系手艺相干职员,包罗统统搜集体系上的内部终端职员和内部职员。
(二)内部审计在信息体系危险提防中的脚色贫乏自力性
内部审计的脚色产生了转变。从传统的过后审计而慢慢转向事先和事中审计,自动到场内部节制体系的成立和完美。内部审计职员即承当着评估硬件和操纵信息体系宁静的使命,若是又同时有到场了体系的斥地和实施进程,那末内部审计职员就却乏自力性。反之,若是处于对丧失自力性的担忧,内部审计职员有能够或许或许会谢绝到场体系和软件的斥地,那末体系斥地进程中存在的危险又没法获得节制。
(三)内审局部手艺气力软弱构成对信息体系审计构成危险
审计考核局部的手艺气力软弱,不熟习营业体系的流程和功效,对信息体系贫乏须要的认证才能和标准。凸起表现为以下几个方面:一是实施审计考核的手腕和体例不获得及时更新,不顺应信息体系操持的请求,大局部仍逗留在手工审计阶段;二是审计考核局部对计较机账务体系实施审计的按照仅依靠于被审计单元供给的打印资料或过后资料,计较机账务的实在性审计很难获得保障。
三、增强危险提防的办法和对策
(一)构建信息体系宁静操持构造及标准体系
增强信息体系的自我危险评估体系,让信息体系的操持和手艺职员在本身的职责规模以内精确辨认和评估潜伏操纵危险,首要包罗内节轨制的查漏补缺、使命流程的清算和标准、应急预案完美和练习训练等。同时增强对操纵职员的操持,标准操纵法式。一是增强暗码操持,明白划定操纵职员的权限,操纵员必须在划定的权限内操持营业,用户口令及暗码必须专人公用,严禁公然口令及暗码;二是要成立健全操纵员岗亭方针义务制,对搜集操纵职员要明白方针使命,标准操纵法式,严酷落实赏罚轨制。三是要严酷岗亭设置,不相容职务停止分手。严禁体系操持职员、搜集手艺职员、法式斥地职员和前台操纵职员混岗、代岗或一人多岗。四是要增强体系内部的考核监视查抄。考核监视应贯串于搜集操纵的全进程,重点是增强对体系设想斥地、内控操持轨制落实、操纵运转等方面的
(二)存眷信息体系的不变性、宁静性和有用性审计
起首,审计职员应操纵用必然的手艺体例辨认体系的完整性,该进程包罗查抄、测试、评估体系的内制,以保障体系的不变性;其次,审计职员应评估体系存在的危险和能够或许或许产生的功效将成为审计的焦点使命和根基内容,保障信息体系的宁静性。应按照审计的标准和准绳,评估节制环境的和IT根本举措办法的宁静,确保体系知足构造的营业须要,掩护信息资产的宁静完整,以防非受权操纵、泄漏、点窜、破坏或丧失;最初,还应辨别信息体系的有用性。内部审计必须懂得并熟习操纵环境,领会体系手艺的庞杂性及其对决议打算的影响;对来自内部的宁静隐患,接纳必然的体例停止体系诊断、查验、测试,评估其有用性及效力,以撑持构造营业方针的实现
(三)改良内审机构,进步内审职员本色,培养信息体系审计师
为了信息体系的宁静、靠得住与有用,由自力于审计东西的信息体系审计师,以第三方的客观态度对以计较机为焦点的信息体系停止综合的查抄与评估。信息体系审计师也称lS审计师或IT审计师,是指那些既知晓信息体系的软件和硬件(包罗信息体系的斥地、运营、掩护、操持和宁静等),又熟习经济操持的内部审计人材。
(四)礼聘专家停止辅佐
内部审计职员的常识、手艺和履历固然有助于信息体系的危险进攻,但现实中必须承认,在企业中同时具备计较机手艺和审计专业常识的人材很是完美。再超卓的内部审计职员能够或许或许面对一些体系内的专业题目却没法处置,是以有须要礼聘内部专家。能够或许或许经由进程专家的辅佐测试操纵其专业手艺测试体系宁静,进一步提防和处置信息体系危险的存在。
参考文献:
今朝,我国信息体系审计唯一十几年的汗青,尚处于摸索阶段,既贫乏展开信息体系审计营业的人材步队,也不构成专业标准体系,所停止的一些计较机审计方面的摸索和测验考试和计较机审计软件的斥地和操纵还多数逗留在对被审计单元电子数据停止处置的阶段。存在的首要题目有:信息体系审计看法掉队;信息体系审计相干的准绳、标准和标准尚不完美;信息体系审计专业人材匮乏;信息体系审计软件斥地使命滞后。1997年,广州地铁起头公司“信息化”扶植。最初,广州地铁运营审计接纳“绕过计较机审计”的体例,即对导出数据停止审计。审计进程中,其慢慢认识到了操纵这类“黑箱道理”审计体例的危险。是以,2006年公司组建了特地的IT审计模块,摸索“若何操纵计较机审计”和“经由进程计较机审计”。厥后,广州地铁信息体系审计成长履历了借力、助力和自立三个阶段。一是借力期:IT审计模块成立早期,公司与内部参谋共同展开IT审计名目,经由进程内部专业职员向审计职员传输IT审计手艺,同时拟定《IT审计实施细则》,退职员手艺储蓄和轨制上为IT审计模块的成长奠基了根本。二是助力期:审计职员参照审计手册,操纵从内部参谋处进修到的审计手艺,慢慢展开信息体系审计使命,将IT审计使命形式调剂为以本身气力为主,内部征询办事为辅的形式。三是自立期:2009年,广州地铁IT审计已根基实现自立化,且IT审计模块慢慢走向成熟,同时其还成立了具备本身特色的信息体系审计框架。今朝,IT审计已成长成为广州地铁内部审计的一根“支柱”,连同“内控审计”,作为根基的审计手腕贯串于各类专业审计使命中,撑持审计体系的稳固与成长。
二、信息体系审计内容
1、国表里对信息体系审计内容的研讨
展开信息体系审计起首要明白审计内容。国际信息体系审计协会划定,信息体系审计的首要内容包罗信息体系法式审计、信息手艺(IT)操持、体系性命周期操持、IT办事的托付与撑持、信息资产的掩护、灾害规复和营业延续性打算。近十几年来,国际的学者和构造也对信息体系审计的内容停止了摸索和研讨。审计署在2012年颁发的《信息体系审计指南———计较机审计实务告诉布告第34号》中明白提出了:信息体系审计包罗对操纵节制、普通节制和名目操持的审计。此中,操纵节制包罗信息体系营业流程,数据输入、处置和输入的节制,信息同享和营业协同;普通节制包罗信息体系全体节制、信息宁静手艺节制、信息宁静操持节制;名目操持包罗信息体系扶植的经济性、信息体系扶植操持、信息体系绩效。上述具备代表性的划定和研讨功效对信息体系审计内容的别离,均是以对信息体系逻辑布局的阐发为根本。周全阐发信息体系的逻辑布局,可从信息体系的构成身分、信息体系性命周期和信息体系操持三个维度停止描写:从构成身分来看,信息体系由职员、操纵(包罗软件平台和操纵体系)、所接纳的手艺、硬件装备、数据文件运转法则构成;信息体系性命周期可别离为信息体系的打算阶段、斥地阶段、运转掩护阶段和更新阶段;从信息体系操持的维度来看,对体系的操持与节制勾当贯串于信息体系性命周期的一向,首要是经由进程有用实施一系列健全有用的规章轨制和操持规程来实现。
2、广州地铁信息体系审计实施框架
连系广州地铁信息化名目多、体系更新快、数据集成度高、体系节制与手工节制偏重等特色,环绕信息体系构成身分、信息体系性命周期和信息体系操持三个维度,广州地铁将信息体系审计的内容别离为全体计较机节制审计、操纵节制审计和体系扶植效力评估三个方面。此中,全体计较机节制审计是对信息体系运转中的节制勾当停止审计,方针是公道保障由信息体系撑持的营业流程节制是靠得住的、天生的数据和报告是可托的。操纵体系节制审计是对营业流程中的自动化节制勾当停止审计,以公道保障买卖的有用性、经恰当受权和记实、实现的完整性、精确性和及时性。名目及体系绩效审计是对信息化名方针进程及功效对企业和营业产生的效益停止审计,用来公道保障信息化名方针投资/产出比例合适扶植的方针,和信息体系对企业计谋起到的预期的撑持感化。环绕上述三个方面,广州地铁内部审计成立了以下的实施框架。
(1)成立全体计较机节制宁静、操纵、变革的三个评估维度,环绕“信息体系全性命周期”,明白全体计较机节制十个流程。
广州地铁经由进程进修和鉴戒国际信息体系手艺操持和节制标准COBIT,成立起了一套本身的全体计较机节制审计框架。框架可按流程和节制范例两种体例停止别离,两种别离体例在本色上是分歧的。在按流程别离出的每个子流程中,信息体系审计职员须要从变革、宁静、操纵的角度去确认和评估详细的节制点;在按节制本能机能所作的别离中,审计职员须要环绕信息体系的计谋与打算、信息体系操纵、与内部供给商干系、营业可延续打算、操纵体系斥地、数据库、软件撑持、搜集、硬件等十个子流程停止审计。环绕宁静、变革、操纵三个角度及十个子流程,广州地铁共梳理出有关全体计较机节制的41项审计内容,并针对每项内容明白了节制方针和危险,成立起了一套完整的全体计较机节制矩阵。比方,信息体系计谋和打算子流程中,广州地铁明白了全体计较机节制的三大方针———信息体系计谋、打算和估算应与现实营业和计谋方针坚持分歧,计较机处置环境应获得具备恰当手艺和履历的职员的充实撑持和保障,和计较机处置环境中的职员应接管恰当的培训,审计职员在此根本上针对各节制方针,辨认并归结出广州地铁现行的9个节制勾当。在详细展开信息体系全体计较机节制审计时,信息体系审计职员按照审计名方针特色和请求,挑选须要评估的子流程,再对照子流程的节制勾当停止评估及测试便可。
(2)从内部节制方针动身,将信息体系操纵节制别离为拜候节制、完整性节制及数据品质节制三大方面。
广州地铁将信息体系的操纵节制别离为操纵体系拜候节制、流程和体系完整性节制和数据品质节制三大类,并针对各类节制别离设想了差别的审计内容。一是操纵体系受权拜候节制审计包罗对体系的认证体例、受权机制、权限的分派操持和不相容职责分手在体系中的实现环境的审计,方针在于保障颠末许可的人材能拜候和操纵体系。二是流程和体系完整性节制审计是对体系输入、处置、输入和接口等各类体系运转法则的审计,用以保障统统经许可处置的数据均转换到介质上并被处置,且处置的功效可经由进程恰当的体例加以输入,统统输入、转换、处置和输入均在普通的时候内精确地停止。三是数据品质节制审计则是指对信息体系中的数据的完整性、标准性和有用性所停止的审计,旨在保障统统体系的输入均反应为经核准的有用的经济营业,统统颠末体系的数据实在、有用,且能知足企业各项营业的操纵请求。
(3)环绕“信息化名目”和“信息体系”,综合评估信息化扶植的效益。
在展开全体计较机节制审计和操纵节制审计的根本上,广州地铁从企业运营和投资效益的视角动身,在信息体系审计中引入了3E审计的概念,测验考试对信息体系扶植名方针功效、建成后体系的操纵效力和信息化对计谋的撑持功效停止审计。为了周全评估名目,广州地铁凡是将对单个信息体系扶植名方针合规性审计与名目效力审计连系在一路展开。一是信息体系扶植功效审计旨在经由进程对体系扶植全进程的审计,增进信息体系的扶植标准性,进步信息体系扶植的品质。二是信息体系操纵效力审计包罗对营业须要的实现环境、建胜利能的操纵环境的审计阐发,和对体系操纵对营业操持标准化、标准化和邃密化晋升感化的综合评估,方针在于增进体系操纵代价的最大化,削减体系扶植的投资华侈。三是计谋撑持功效审计是从撑持计谋实现的角度,评估信息体系的扶植效益,保障信息化扶植在合适营业操持请求的同时,合适公司计谋的须要,撑持公司计谋的实现。
三、信息体系审计实施步骤
信息体系审计步骤(或流程),是审计使命从起头到竣事的全部进程。信息体系审计流程普通可别离为四个阶段:打算阶段、实施阶段、报告阶段和后续阶段。打算阶段是信息体系审计流程的动身点,此阶段的首要使命包罗领会被审计体系的根基环境,开端评估被审计单元信息体系的内部节制和内部节制,辨认首要性和体例审计打算。实施阶段是按照打算阶段肯定的审计规模、重点、步骤和体例停止有针对性的取证、评估,并构成审计论断的进程。实施阶段是信息体系审计使命的焦点,首要由合适性测试和本色性测试两个局部构成。在报告阶段,信息体系审计职员需操纵专业鉴定,清算、评估搜集到的审计证据,以颠末核实的审计证据为按照,构成审计定见,出具审计报告。审计报告的出具并不象征着信息体系审计使命的闭幕。按照国际信息体系审计标准,信息体系审计职员对体系中发明的严峻题目和缝隙,须要对被审计单元所接纳的改正办法及其功效停止后续审计。审计职员须要将后续审计归入打算,并支配须要的职员和时候停止后续审计。广州地铁IT审计模块成立之初,即明白了IT审计“对公司的体系流程与节制、名目停止审计”和“供给无益于增添公司代价的征询办事”两项焦点职责,并环绕公司计谋,以“危险导向”、“办事计谋”理念为指点,从信息体系审计计谋打算和详细名目实施两个层面别离拟定信息体系审计的流程。
1、以公司计谋为导向,拟定信息体系审计的计谋打算
一向以来,广州地铁推行“源于计谋、办事于计谋”的古代审计理念。这一理念首要表现在两个方面:一是在拟定内审使命打算时,从公司计谋动身,拟定各个内审营业及各专业审计模块的计谋,并以营业计谋为指点,展开详细的审计使命;二是在展开审计名方针进程中,一向从保障公司计谋实施的角度去发明题目、评估题目,提出整改定见和落实整改。信息体系审计的计谋打算来历于公司的计谋,和以公司计谋指点拟定的公司信息体系计谋打算和内部审计营业计谋打算;同时还须连系公司信息化近况和IT审计模块定位,明白广州地铁IT审计成长计谋方针。
2、经由进程危险评估,肯定各信息体系危险品级,拟定条理清楚、重点凸起的信息体系轮回审计打算
为操纵无限的审计本钱把握公司首要信息体系的扶植、运营环境,保障信息本钱的有用操纵,下降公司信息体系的全体危险,广州地铁成立了一套“按照信息体系危险评级拟定差别化的审计计谋”。
(1)梳理信息体系头绪,周全把握信息体系近况。
广州地铁连系信息体系打算、扶植和运营的环境及体系分类梳理出被审计信息体系清单,并从体系构成身分的角度搜集体系相干的信息。这些信息包罗体系称号、功效模块、接纳产品等根基信息,和名方针扶植信息、体系的操纵状况和运维的根基环境。这些信息是危险评分的按照,也为后续展开详细审计使命时肯定审计打算供给了指引。
(2)展开信息体系危险评级,拟定危险导向型审计打算。
内审职员从通用危险、营业危险、名目危险、体系危险、数据危险和职员危险六大危险种别动身,周全辨认信息体系各类构成身分中存在的危险;对信息体系停止危险评估,按照危险得分将信息体系按优先级别离别离为高、中、低三类。连系公司IT审计本钱的环境,对优先品级高的体系接纳三年一审计谋,中品级体系5—6年一个审计周期,危险品级低的体系则按照须要支配审计。在此审计计谋的根本上,再综合斟酌公司营业的十大危险、带领存眷事变、上一年度内控评估功效和审计名目功效、公司新一年的使命重点、公司信息体系的变更环境,并拟定出本年度的信息体系审计打算。
3、以危险为导向,展开信息体系审计
在名目实施阶段,审计职员必须从公司全体信息体系节制环境和被审计体系的状况、流程与内部节制两个方面进一步搜集被审计体系的相干资料,领会和确认被审计单元已成立的内部节制办法,并对这些节制办法的设想是不是到达节制方针停止评估。
(1)以“轮番轮回+以点带面”的体例展开全体计较机节制审计。
公司的信息化营业接纳同一调集操持的形式,全体计较机节制对各个体系具备必然的通用性。是以,在实务操纵中,广州地铁接纳“以点带面”的计谋,以单个信息体系全体计较机节制为切入点对全体计较机节制停止审计,评估全体信息体系的宁静性;同时,斟酌到信息体系在一按时候内绝对不变,是以在实施全体计较机节制审计时可接纳轮番测试的体例,即每一年从十个子流程当选取几个停止测试,颠末必然周期后,实现对全体计较机节制的周全审计。比方,在2011年展开的信息宁静审计名目中,审计职员就环绕信息宁静这个审计主题,从十个子流程当选取了与信息宁静间接相干的信息体系操纵、信息体系宁静、营业可延续打算、操纵体系斥地与实施、数据库斥地与实施和体系软件撑持等六个流程停止审计。分步、轮回展开全体计较机审计,在审计危险可控的环境下,大大节流了审计本钱,也使得审计职员能够或许或许加倍深切地发掘和阐发全体计较机节制方面所存在题目和题方针成因,提出加倍实在可行、同时又合适公司信息化营业成长近况和请求的整改办法。
(2)以危险为着眼点,肯定操纵节制审计重点。
操纵节制是各个信息体系内部所成立的节制机制,操纵节制审计必须针对某个详细信息体系展开。在展开操纵节制审计的进程中,审计职员应牢牢环绕“危险”这个着眼点,经由进程对原有营业成熟度和体系扶植进程中危险的评估,挑选差别的审计偏重点展开操纵节制审计。比方,在条约操持体系审计名目中,因为条约操持体系是全新斥地的体系,审计职员经阐发,鉴定体系在操纵体系拜候节制方面的危险较高。而在停止节制评估和测试后,审计职员发明营业职员在成立体系权限设置机制时完整套用了公司办公自动化体系的权限机制,而未针对条约营业流程中差别于公司构造架构下的脚色设立响应的用户组,致使体系没法实现条约包办人与审批人职责的分手,存在严峻的内控危险。
四、信息体系审计体例
在信息体系审计中,可随机应变,综合操纵多种学科的手艺体例,包罗:传统审计中内部节制测评的根基体例和审计取证的根基体例(包罗核阅、查对、监盘、察看、查问、函证、计较、阐发性复核);计较机迷信的手艺体例,如数据测试法、法式编码查抄法、受控处置法、受控再处置法、全体测试法、平行摹拟法、法式比拟法、缝隙扫描、入侵检测、嵌入审计法式法等等;行动迷信的手艺体例,如操纵构构成长的现实与体例、个体行动普通纪律的现实和体例。这些体例与手艺并不是伶仃的,而是彼此接洽的。今朝,广州地铁在信息体系审计中所操纵的体例仍首要调集在传统的内控审计体例和信息体系操持的手艺体例两个范畴,详细包罗扣问、察看、文件复核、抽样、从头实施、操纵计较机赞助软件等。在局部名目中,也接纳了一些计较机迷信的手艺体例。受限于审计本钱缺少,广州地铁较少接纳法式比拟法、平行摹拟法、法式编码查抄法等高本钱的审计体例,而偏向于选用一些较为高效的测试体例。但这些高效体例的操纵不能完整消弭审计危险,这就须要审计职员按照本身的履历尽能够或许防止。
1、传统审计体例的操纵
广州地铁在展开信息体系审计进程中较多操纵传统审计的体例。比方,在对信息体系全体计较机节制停止审计时,经由进程对体系操纵职员的访谈、调研和对体系各项操纵的察看,梳理出全体计较机节制相干的各类节制勾当。在不测试环境的环境下对出产在用信息体系的人机交互界面和功效停止查问拜访和确认时,审计职员大批操纵了察看的体例。在对牢固资产信息体系模块停止审计中,审计职员经由进程察看物资推销职员、资产操持职员、管帐核算职员在体系中的操纵界面、体系完功功效和营业操纵流程来领会体系功效的构造。发明推销中的供给商信息在跨体系流程进程中丧失,致使财政体系和什物操持的MAXIMO体系的资产台账中均贫乏供给商信息,致使往后推销同类物资时,推销职员没法获得汗青推销信息作为参考,增添了市场调研本钱。除内控矩阵和访谈、察看等体例以外,体例流程图、数据流图和报表流图也是信息体系审计常常操纵的体例。
2、计较机迷信手艺体例的操纵
计较机迷信手艺体例是信息体系审计独有的体例,来历于IT行业的信息手艺的转换操纵,首要包罗基于数据阐发的体例和基于法式阐发的体例,这些体例的综合操纵使得对信息体系的审计加倍有用。详细体例的选用需视被审计体系的现实环境而定。在一个审计名目中,广州地铁审计职员常常将多种体例连系操纵。比方,在票务支出体系审计名目中,审计职员起首接纳数据测试法,操纵普通及非普通的测试地铁票搭乘地铁,在体系中跟踪测试票的处置环境,以考证体系处置与节制功效是不是均有用;在对体系中前期内部斥地的车站单程票售卖功效停止审计时,审计职员接纳了法式编码查抄法,对体系的源法式编码停止查抄,查抄后发明单程票售卖金额统计报表在停止数据处置时省略了小数点后的尾数,致使报表金额存在误差;在对票务体系的清分报表停止考证时,审计职员又接纳了平行摹拟法,抽取体系中一段时候内的正式买卖记实,在体系外摹拟体系的处置法则对买卖记实停止处置,并将处置功效与体系的报表数据停止查对,功效发明体系在数据传递和处置进程中,因为体系对非常数据的考核过于严酷,致使局部普通数据被看成渣滓数据丢进非常库,给公司构成票务丧失。
3、计较机赞助审计软件的操纵
计较机赞助审计软件的操纵是信息体系审计的一个明显特色,也是审计职员筹办阶段须要重点存眷的题目之一。今朝,广州地铁对计较机赞助审计软件的操纵首要表现在以下两个方面。
(1)对体系中数据的精确性、完整性和分歧性的查抄。
比方,在条约操持体系审计名目中,为查对体系接口法式的靠得住性,审计职员操纵审计赞助软件疾速实现了对条约体系和财政体系数据分歧性的查对,敏捷查找出两个体系中不分歧的数据。颠末深切阐发,审计职员发明因为财政核算职员在财政体系中复核条约付出数据时发明毛病,将付出请求退回给条约体系再由条约包办人从头填报时,条约体系未对已天生的付出信息停止更新,致使上述题方针呈现。针对海量数据处置体系,数据考证是审计的重点,计较机赞助软件是“不可或缺”的审计东西。在地铁票务支出保障审计名目中,审计人须要经由进程数据考证的体例对营业处置的焦点体系———自动售检票(AFC)体系中的体系传输和处置机制停止考证。为此,审计职员共设想了8大类29子类47个数据考证主题。审计时,审计职员操纵计较机赞助审计手艺,在两个月内实现了对AFC体系中10天合计跨越3亿条运营数据的考证使命。
(2)操纵计较机赞助软件停止对照测试。
即审计职员从信息体系中抽取某局部样本数据,将样本数据输入到与计较机赞助软件中停止处置,把审计软件输入的功效与营业体系产生的功效停止对照阐发,以鉴定营业体系的靠得住性与精确性。广州地铁在已展开的运营票务支出保障审计名目中大批地操纵了此种体例。审计职员将各车站站务职员在票务体系中录入的售票数据导入到计较机赞助软件中,按照营业法则对数据停止处置,将处置功效和体系输入的功效停止对照。经对照,审计职员发明票务体系在处置非常数据时过于严酷,致使局部非非常数据被体系看成非常数据丢入非常库中,给公司构成票务丧失。
2.信息体系审计专业人材比拟贫乏我国国际的审计职员不只在数目上存在完美,品质上更是有待进步。今后我国金融界审计步队中,首要由财经类专业职员构成,严峻贫乏既把握古代审计现实与手艺又精晓计较机常识与手艺的新型复合型人材。传统的审计职员虽在财会审计范畴履历丰硕,但对计较机搜集手艺领会未几,这使得他们难以对庞杂的搜集管帐体系停止有用的评审,难以敷衍电子商务环境下的审计危险。
3.贫乏有用的通用信息体系审计软件通用的审计软件具备计较机赞助审计软件的各类功效,并且在计较机环境中,经由进程数据接口与被审计信息体系毗连,同时将审计使命法式化,从而在很大程度上取代了手工审计。今朝我国信息体系审计刚起步未几,在信息体系审计软件这方面还存在很大空白,通用的信息体系审计软件几近不存在。另外,我国现有的财政软件大多不审计接口,审计软件没法获得所需体系的电子资料。
二、我国贸易银行信息体系审计的成长计谋
1.信息体系审计轨制与准绳拟定方面按照国际趋同的请求,我国应成立国际标准框架下具备各行特色的标准和标准体系。是以,我国贸易银行也可应把今朝国际上公认的最早进、最权势巨子的信息体系审计标准——COB信息体系作为焦点标准,成立合适中国现实、顺应国际准绳趋同化请求的内控、危险操持体系、信息体系监审机制和轨制。同时鉴戒巴塞尔和谈、BS7799、COSO等其余国际标准和准绳,进而成立合适各行的信息体系审计方针、东西、规模、体例、流程等,详细指点信息体系审计使命。
2.信息体系审计操持方面第一,成立全方位信息体系审计操持体系。一方面,贸易银行要实在落实《金融机构计较机宁静掩护使命暂行划定》请求,公道支配根本举措办法和宁静提防办法。另外一方面,羁系局部应增强对我国贸易银行的信息体系审计的羁系,将信息体系宁静作为羁系的首要内容,将信息体系审计作为评估其宁静性的首要身分。第二,停止信息体系审计职员的手艺脚色别离,凸起信息体系审计的手艺特色。按照各贸易银行本身的信息体系手艺体系及信息体系审计本钱,别离差别的信息体系审计手艺脚色,凸起信息体系审计的手艺特色,晋升信息体系审计条理。
二、完美内部节制审计,进步审计品质
1.扩展重点审计规模因为我国内部节制体系审计展开的时候较晚,今朝还处于实施的开端阶段,出格是在今后内部节制环境对内部节制体系审计实施倒霉的环境下,更该当加大对重点审计规模。我国企业内部节制实施的方针是为了起到对操持者监视的感化,从而确保企业能够或许或许安康的成长,以是内部节制体系审计的审计重点须要找出内部节制轨制的缝隙和缺少的地方,同时还要按照行业和企业规模的差别,拟定差别的审计打算,同时能够或许或许将与财政报表审计相干的内部节制作为内部节制体系审计的重点规模,同时还要对其余内部节制信息增强审计。
2.接收别国履历与立异审计体例内部节制体系审计最早由美国起头实施,以是今朝列国内部节制审计准绳都是以美国为范本而拟定的,这就须要咱们在内部节制审计实施进程中要做好接收和鉴戒使命,趋利避害,做好提早防备使命。今朝经济环球化的成长步调不时加大,但这并不象征着环球内部节制节制或是内部节制体系审计准绳都要具备分歧性,实在在详细实务中,企业内部节制轨制都是针对企业本身的特色拟定的,以是差别性较大,这就决议了企业内部节制体系审计也不能够或许或许都千篇一律。以是在今朝这类环境下,我国企业内部节制体系审计须要按照我国的现实国情,拟定与我国社会主义市场经济相合适的内部节制体系审计准绳,这亲不只要利于我国企业内部节制轨制的安康刀菜,并且对下降社会本钱也具备自动的意思。
二、转型环境下进步下层公民银行信息体系审计程度的对策
(一)立异审计流程,强化信息体系事先和事中审计。信息体系审计是以保障计较机信息体系宁静安稳运转,有用节制危险为方针的,若是仅从合规性的角度停止信息体系审计,没法到达上述方针,是以,展开信息体系审计的方针不只要长于发明题目,有用提防已裸露的危险,更要阐发化解潜伏的危险,以进步审计功效。这就请求咱们要立异审计流程,转变传统审计体例,接纳“到场式”的审计体例,增强与科技等局部的不异互换,正视事先与事中审计。一要完美不异机制。科技与体系操纵局部应及时将拟定的有关轨制、操纵规程、体系运转中的变乱环境、处置办法、处置功效发送给内审局部;内审局部应就审计体系时发明的题目,及时向科技和体系操纵局部停止传递和反应,并与他们按期或不按期地商量、互换,领会各营业体系运转环境,更好地阐扬信息体系审计的感化。二要构造审计职员到场新体系的斥地、评估,并设想知足审计营业须要的功效,真正做到对信息体系的事先和事中审计。三是在审计进程中接纳“到场式”审计体例,到场信息体系审计方针、内容、打算的拟定,到场审计中发明题方针阐发、会商,到场信息体系危险的评估及改良办法的拟定等。
社保网上报告体系共设想了SINS包和NSSRC包,前者寄存Struts节制XML文件,按照体系各功效模块的别离,在Jsp营业文件中成立打算包、职员包和单元包;后者寄存hibernat及其相干营业逻辑,按照体系各功效模块的别离,在此文件中成立打算包、职员包和单元包。Globa1NameS.java是NSSRC包中的界说全局静态变量,可供全部体系操纵,体系的运转形式和相干操纵都可借助该变量界说实现设置,在援用该变量时,只要点窜文件又名对应的字符串便可,无需再对该变量的代码停止点窜。经由进程Hibernate来实现数据库的毗连设置,并在响应文件中寄存其设置装备摆设信息,并获得毗连局部的响应代码,接上去实现的事数据库表耐久化的设想,经由进程数据库中各表对应的文件,对各属性变量及其对应的函数停止界说,而后明白寄存指向途径。基于MVC的Struts框架包罗View层、Control层和Model层,View层即为体系静态页面和营业层前往功效天生的jsp页面,均接纳javascriPt说话编写,寄存在SINS包中,按照其对应的功效模块,该节制文件会被别离为多少Struts节制文件;Control层可指明客户端表单应实施的类、体例和途径,并对客户端发送的表单数据停止处置,最初挪用到详细营业层;Model层为全部框架供给了一个接口,经由进程此接口可与JAVA文件相毗连。
1.2体系营业功效的实现
对社保信息体系而言,差别单元和社保中间数据的存储款式并不不异,常常会构成多对一的款式,借助XML形式与其余干系形式的数据转换,可最大限定地抽取数据转换的特性,并且极大地进步了定制转换的便易性。数据互换的精华在于调集和标准,将分离的数据停止聚集,为社保体系营业功效的实现供给须要的数据调集。接纳UML东西对网上报告体系停止建模,并按照建模功效而经由进程编码实现。以退职减员报告功效为例,经由进程互联网登录社保网上报告体系操持相干营业,起首要提交数据处置请求,由信息中间轮询法式对领受到的请求停止处置,并将处置功效反应到体系,从而便能够或许或许检查到营业操持的功效,详细操纵流程在界面上均有提示。体系营业功效的实现现实上便是Struts框架中View层、Control层和Model层的实现。
【作者简介】张艳玲,渤海大学副传授,硕士;王娟,渤海大学讲师,硕士,辽宁锦州121000
【中图分类号】F239.0 【文献标识码】A 【文章编号】1004-4434(2013)02-0155-05
免疫体系论是对审计现实的立异和审计本色、本能机能的从头界定,石化企业作为我国公民经济的首要构成局部,其在掩护国度经济宁静、增进国有资产保值增值中阐扬中首要感化。在国际金融危急影响还不完整消弭、国表里经济成长环境多变、市场合作日趋剧烈和企业危险趋于多元的后金融危急期间。石化企业必须以防止疫体系论作为新的代价取向深度鞭策审计文明扶植,增进审计奇迹的立异和成长,保障企业可延续成长的实现。
一、审计文明的内涵、特色及功效
(一)审计文明的内涵
审计文明与文明之间具备密不可分的接洽,审计文明是文明的首要构成局部,要领会审计文明的内涵,必须先阐发文明的详细内容。对文明的内涵,在学术界有差别概念。按照《古代俄语标准辞典》的剖析:文明是指人类社会在出产中、社会糊口和精力糊口中所获得的成绩的总和,包罗物资文明和精力文明两个层面。泰勒(1992)以为,文明是一个复合全体,包罗常识、崇奉、艺术、品德、法令、风俗和作为一个社会成员的人所习得的其余统统尽力和习气。另有学者以为,文明是代表必然民族特色的反应其现实思惟程度的精力面孔、心思状况、思惟体例和代价取向等精力功效的总和。可见,文明是一个多视角、多维度和多层面的概念。包罗了物资、精力、理性和理性等多方面的涵义。也恰是因为文明的庞杂性,审计文明同样成为了仁者见仁、智者见智的题目。但全体而言,审计文明具备天然属性和社会属性两种属性已成为遍及共鸣。审计文明的天然属性是审计使命中具备的属性,是特性,如审计法令律例、审计准绳、审计手腕和体例和审计行动等。审计文明的天然属性决议了差别社会、差别国度的审计文明的特性。是差别国度彼此互换的根本。审计文明的社会属性是审计使命中所构成的属性,是特性,其决议了差别社会、差别国度审计文明的差别性。固然审计文明还不构成同一、详细的概念,但学者遍及以为,审计文明是审计构造及其审计职员在实施职责、成长审计奇迹进程中培养构成的,被共同承认、遵守的代价看法、品德标准、行动准绳、群体认识的总和。不丢脸出,学者对审计文明的懂得和认同,首要是调集在审计代价观、审计精力、审计心思和审计品德等在内的精力方面。
(二)审计文明的特色
颠末近30年的成长,审计文明已慢慢构成了区分于其余文明的特色。(1)期间性。审计文明是时展的产品,没法离开特按期间、特定政治、经济和社会环境的限定,跟着社会经济干系的成长而变革,以顺应社会经济成长对审计使命的请求,与审计使命现实近况坚持调和分歧。(2)体系性。审计文明包罗了审计物资文明、审计轨制文明和审计精力文明三个层面,三者彼此联系干系、缺一不可。审计文明扶植,不只要正视轨制、手艺等有形身分,更要正视信心、代价观、品德评估等有形身分。(3)立同性。在社会经济不时成长的背景下,审计手腕、审计体例、审计现实和审计的代价观等肯定要不时立异。(4)开放性。审计文明与其余文明虽有本色区分,但又彼此兼容,既须要接收进步前辈文明的根基元素,又能够或许或许为其余文明供给鉴戒和接收。(5)迷信性。审计文明具备本身的成长纪律,其成长以社会经济成长程度和社会环境为根本,不能超出于经济成长程度的须要而自力存在,审计文明应与经济成长和审计使命的现实须要坚持调和分歧。
(三)审计文明的功效
现实证实,审计文明具备四个方面的功效。其一,凝集功效。进步前辈的审计文明,能够或许或许增进审计及构造职员的彼此领会。连合各岗亭、各范畴的职员,构成共同的认知和代价观,增强企业凝集力和虔诚度,构成增进企业成长的庞大协力。其二,鼓励功效。代价观和精力文明是审计文明的首要内容,其具备杰出的精力感化力,有益于构成强无力的鼓励环境和鼓励机制,变更审计职员的自动性,满身心投身于审计使命,鞭策审计奇迹成长。现实证实,在某种程度上,文明的鼓励感化常常赛过行政号令的实施束缚。其三,束缚功效。审计文明的束缚功效在代价观的指点下,借助品德、信心和风尚阐扬感化,经由进程心思的引诱和标准,指导人的思惟和行动趋于协调、分歧。其四,教导功效。杰出的审计文明有益于企业职工熏陶思惟本色和品德情操,遵守精确的思惟准绳和行动标准。另外,审计文明还能够或许或许促使内部职员增添对审计使命的懂得和共同,促使社会各界加倍存眷和撑持审计奇迹。
二、免疫体系论与审计文明扶植的内涵机理
审计免疫体系是国度审计署审计长刘家义于2007年提出的概念,并在2008年中国审计学会五届三次理事会暨第二次理事服装论坛t.vhao.net对周全深入地论述了免疫体系现实。免疫体系论是对审计现实的立异、审计本色和审计本能机能的新成长。刘家义审计长指出,审计应具备和阐扬防备、揭露、抵抗功效,古代国度审计便是经济社会运转的一个免疫体系。很明显,免疫体系论下的审计已超出了传统审计中的会查账便是审计的定位,并对传统审计的监视、评估和鉴证本能机能停止批改及冲破。免疫体系论下的审计,要做到资金操持操纵的合规性、正当性、效益与功效性统筹;既要查处题目,又要完美轨制政策;在审计经济题方针同时,增强对社会、生态、环境和民生等题方针存眷。对企业而言,审计局部作为公司“免疫体系”的首要构成局部,要从审计的本色动身,阐扬预警、揭露和修补抵抗等“免疫”功效,同时当好经济卫士和保健大夫,查错纠弊、标准操持、完美轨制、梗塞缝隙,增进公司依法运营、标准操持,并不时增强抗危险才能和市场合作力,保障公司运营操持勾当宁静运转和安康成长。经由进程阐发免疫体系论和审计文明的功效与方针,二者是趋于分歧的。是能够或许或许融会的。互为增进的。
(二)立异审计轨制,强化审计文明扶植的轨制保障
中图分类号G31 文献标识码A 文章编号 1674-6708(2011)48-0198-02
0 弁言
科研名目报告与科研功效的统计、操持师高校科研操持使命的首要内容之一,也是高校科研处平常使命的首要构成局部。做好科研名目报告、科研功效统计,使之到达精确、高效的程度,是高校科研操持局部一向存眷和寻求的方针。
跟着信息手艺的成长,因为各高校科研名目、科研功效、科研经费的不时增加,科研操持的信息量也日趋增大。各高校纷纭放弃了传统的手工操持形式,进而成立了基于WEB的科研操持体系,以进步使命效力。笔者在本单元的科研操持体系的斥地进程中,按照本单元的现实环境,引入了论文提交考核、名目预报告2个子体系的斥地,操纵的现实证实,功效杰出,处置了现实使命中持久存在的题目,具备必然现实意思。
1 体系须要阐发
1.1论文提交考核须要
论文是迷信研讨的首要功效之一,其数目和品质也是权衡高校科研程度的首要方针之一,是以论文的统计和考核是高校科研处的首要使命之一,为此,普通的科研操持体系均包罗此功效。
论文的提交和考核,曩昔普通由作者提交论文纸质复印件,科研处汇总后,一一考核(包罗是不是属SCI、EI收录、是不是属中文焦点期刊颁发、数否属不法期刊颁发等),再由科研处职员一一录入。很多高校因为实施高等别论文的嘉奖政策,使得科研处在该项使命中特别不敢漫不经心,稍有忽视,即轻易激发赞扬和抵触。在论文数目大、科研处职员少的院校特别如斯。是以,科研操持体系若只承当录入、存储且辅之以统计查问的感化是不够的。
高校藏书楼在论文的鉴别使命上具备得天独厚的前提,应充实阐扬藏书楼功效之长处,在体系中特地斥地一个考核模块归之操纵,从而防止科研处在论文鉴别上的为难与主动。
论文的提交可由作者纸质提交改成自行登入体系录入。藏书楼考核后,其数据不许可再点窜。此举有2个长处:其一,削减纸张操纵,低碳环保从平常的使命中起头;其二,考核功效权势巨子性增强,削减争议。
1.2 名目预报告须要
笔者处置科研名目报告使命多年,黉舍划定的名目报告停止日到后,个体教员仍提交报告书的环境时有产生。其缘由有多方面,报告期内讲授使命忙碌、外出公干等。在科研操持体系中加入预报告模块,能够或许或许有用地削减过期报告的环境产生。
其做法为,科研处每次名目报告告诉收回后,即在告诉前面链接名目预报告模块,教员阅读完报告告诉后,成心报告者便可进入名目预报告子体系,停止报告挂号。科研处在受理报告资料停止日的前三天,能够或许或许按照今朝所收资料的环境与名目预报告子体系内的挂号环境停止对照,对还不交资料者停止提示和催促。该体系投入操纵后,过期报告的环境大幅削减。保障了报告使命的顺遂停止。
2 体系布局设想
2.1体系体系布局设想
经由进程以上须要阐发,针对本校科研操持营业流程的现实须要,本体系接纳了多层B/S(Browser/Server)形式体系布局。B/S形式是Web鼓起后的一种搜集布局形式,WEB阅读器是客户端最首要的操纵软件。这类形式同一了客户端,将体系功效实现的焦点局部调集到办事器上,简化了体系的斥地、掩护和操纵。本体系接纳.NET框架撑持下的n层散布式体系布局,使体系具备杰出的可操纵性和可掩护性。
2.2 体系营业流程设想
论文提交考核流程设想
3 体系宁静性设想
体系的宁静性题目是本体系设想须要斟酌的首要方面,除它干系到全部体系的适用性和靠得住性,更首要的是藏书楼对数据库中论文考核的论断具备权势巨子性和不可变更性,是以,本体系除操纵通讯和谈供给的功效实现毗连和考证省分外,在操纵法式和数据库中还对用户拜候权限停止了分派和限定,从而确保数据库中的数据信息部不被不法泄漏和点窜。
用户的权限首要按用户操纵性子停止分派,此中包罗:教员脚色用户(即有科研信息的用户)、人事处用户(特地担任教员根基信息的录入、点窜、删除)、科技处用户、藏书楼用户(担任论文考核)、财政处用户(担任科研经费的录入、点窜、删除)、局部带领查问用户(只限于对本局部的科研信息、汇总信息停止查问)、院带领查问用户(可对全院科研信息、汇总信息停止查问)。
4 论断及操纵功效
本体系于2009年10月正式投入操纵,运转功效杰出,它的多级用户权限操持、散布式及时查问等特色进一步增强了体系的通用性、可操纵性和宁静性,到达原设想方针。经由进程该体系的操纵,实现了论文考核进程的无纸化提交,同时引入藏书楼作为一个用户,处置了论文鉴别题目上的困难,增强了论文考核关键的靠得住性与精确性。在名目报告方面,该体系能提早让科研处把握参与报告的职员数目及其姓名,便和时做好提交报告资料的提示和催促使命,保障报告使命的顺遂实现。
