时间:2023-03-13 11:22:39
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇计算机审计管理范例。如需获取更多原创内容,可随时联系我们的客服老师。
计算机审计的流程可分为三个阶段,审前准备阶段、现场实施阶段、成果报告阶段,其中最重要的是审前准备阶段。
具体流程如下图:
(二)计算机审计中的人员管理
1.学习培训与审计实践相结合,培养计算机审计业务骨干。我们高度重视对审计人员的计算机培训,不断学习,不断更新知识。在审计工作中,尽量利用计算机开展审计,学以致用,努力培养计算机审计业务骨干。
2.积极配合,实现审计业务人员与计算机专业人员的有效结合。开展计算机审计,一方面需要审计业务人员的审计思路和经验、技巧,一方面需要计算机专业人员的计算机专业知识和技能,只有两者的有效结合才能使计算机审计工作顺利开展。我们在近几年的计算机审计工作中与计算机专业人员积极配合,无论是在数据的采集、转换还是分析阶段,甚至在计算机的日常维护中都得到了来自计算机专业人员的帮助与指导。大家在审计工作中发挥所长共同努力完成了很多审计项目,可以说计算机专业人员是我们审计业务人员开展计算机审计工作的强力助推器。
3.重视人员交互,取长补短,共同进步。在计算机审计工作过程中,利用业务人员之间或不同单位、部门的审计业务人员及计算机专业人员的交互,实现计算机审计思路与经验的交流学习,取长补短,共同进步。
(三)计算机审计过程中的计算机软、硬件系统管理
工欲善其事必先利其器,计算机审计中人是核心因素,而强大的计算机软、硬件系统则是取得审计胜利的武器。随着计算机技术的飞速发展,要顺利开展计算机审计,先进、高速的处理器、大容量存储器、功能强大、兼容性强的专业软件系统等都是必不可少的。我们利用现有的笔记本电脑、台式机、以太网交换机、大容量的存储器、专用服务器、A0软件、SQL软件等软、硬件系统,保障了我们计算机审计工作的顺利开展。在审计工作中我们安排专人负责计算机软、硬件系统的管理、维护,在遇到无法解决的问题时,则向计算机专业人员寻求帮助。
二、对进一步推进计算机审计工作的构想
作为审计监督部门,在计算机技术飞速发展、计算机技术应用水平不断提高的情况下,我们要成为也必须成为计算机技术应用的领跑者,只有大胆创新,积极进取不断地提高计算机审计水平,才能更好的完成审计工作。对于未来深入推进计算机审计工作,我们有以下构想:
(一)把计算机审计工作由数据库审计扩展到对整个计算机信息系统的审计
目前我们的计算机审计工作主要针对财务或业务软件的数据库数据分析,对被审计单位计算机信息系统的处理性能、控制性能及安全性进行的检测和评估尚未开展。而计算机信息系统是支撑其财务、业务软件运行的基础,如果计算机信息系统出现问题,将会严重影响被审计单位财务、业务软件的运行,可能会出现数据错误、资料遗失、信息失窃等问题。
信息系统审计的重点仍然是审前准备阶段。在审前调查过程中,应先与有关业务管理及专业技术人员进行沟通,熟悉被审计单位信息系统的主要功能,要求被审计单位提交技术文档资料。技术文档资料,应当包括:一是系统开发文档,包括系统的需求说明书、概要设计、详细设计、流程图表、功能模块的程序源代码、系统测试报告;二是系统使用文档,包括用户手册、系统使用管理制度、系统维护手册、维护报告及日志等。完整的计算机文档资料是审计人员检查、确信计算机信息系统功能的重要依据。同时,还应收集一些业务法规和内部控制规章制度,以供设计审计测试项目时使用。在此基础上,拟定审计方案。
审计实施阶段,根据前期的数据资料的分析对被审计单位的信息系统进行评估,主要是通过调查系统管理方法,分析信息组织方式和信息处理流程,对系统内部控制的健全性、合理性、安全性进行初步评价,发现容易出问题的环节,找出系统可能存在的缺陷。接着,对其信息系统进行测试,可以采用两种方式:一是采取询问调查与实地考察相结合的方法,具体检查软件文档、程序流程图、编码、运行记录与结果等;二是采用手工和计算机相结合的方式,具体运用数据模拟检测等应用技术工具,分析处理逻辑,测试应用系统软件的合规性、正确性、安全性及有效性。
(二)计算机审计工作由静态审计向动态审计发展
以即将开展的审计对象数据库的建立工作为基础,结合审计管辖范围内的被审计单位定期资料报备制度,即业务处室管辖范围内的被审计单位将其经营管理、财务状况(主要指标或审计部门关注的重要指标)、重大事项决策等相关资料定期(月报、季报、半年报、年报)向主管审计处室报送。由主管审计处室将其资料导入数据库存储并建立被审计单位动态数据链,通过对被审计单位关键指标的动态分析,评估其经营管理风险或实现。各业务处室再将各个被审计单位关键指标动态分析表按行业分开汇总到厅机关搭建的服务器上,就实现了对审计范围内各行业关键指标动态分析。
(三)开发专门的审计软件,接入被审计单位的计算机系统,实现实时监控,把动态审计推向更高阶段
开发专门的审计软件系统,采用旁路方式接入被审计单位计算机信息系统中,通过实时监测及采集其信息系统中的安全事件、用户登录行为、用户操作行为、及所有对数据库的使用情况等各类信息,并设计主要指标动态分析程序,及相关告警程序。经过规范化、过滤、还原、归并和告警分析等处理后,以统一格式的日志形式进行集中存储和管理,结合丰富的日志汇总、分析、统计、排名等关联分析功能,实现对计算机信息系统的全面审计。
近年来,襄樊市审计局加大计算机建设与应用步伐,在计算机辅助审计方面进行了有益探索,先后在企业、财政、金融、农林水、行政事业等行业38个单位尝试进行计算机辅助审计,取得了较好成效。在审计数据采集与分析、软件开发与应用等方面有了一些初步的经验和体会。
一、计算机辅助审计的主要步骤
(1)可行性分析。主要是调查了解被审单位会计信息的管理现状,看其计算机使用水平能否满足审计项目的方案要求(质量、时限等),从而确定是否采用计算机辅助审计。
(2)审前准备。主要是配备相应的电脑和熟悉计算机应用的审计人员,选择符合财政部规定、适用性强的审计软件。制定审计方案、下发审计通知书等;
(3)现场审计。主要包括数据采集和数据分析两个环节。数据采集就是应用一定的方法,对被审单位的数据信息进行迁移,按审计方案的要求以及财务管理的基本原理进行整理;数据分析就是应用相关审计软件对采集到的数据进行分类、筛选、归并、统计和分析判断,从中查找被审单位财务管理中的疑点线索,发现违纪违规问题,汇总相关数据,以满足审计报告的需求。
(4)审计报告。在传统手工审计的基础上,结合计算机辅助审计将采集到的数据,应用计算机进行结论性审计文档的处理,形成审计报告,出具审计决定。审计意见书等,并由此形成被审单位电子数据库的部分数据。
二、数据采集的主要方法
在分析被审单位电子记帐数据的完整性的基础上,确定采用计算机辅助审计,我们主要采取以下方法来进行数据采集。
第一步:导出被审单位财务管理数据。在实践中主要采取三种方法:
(一)直接使用被审单位的财务管理软件,将数据导出为通用数据库格式(如:mdb、xls、txt等)。其优点是:适用范围宽、导出数据随审计人员的意愿,因而是审计人员首选也是运用最多的数据导出方法。因为一些著名的财务软件为证明自己的“开放性”、“兼容性”特征,都具备“数据可被第三方软件使用”这一功能,诸如:用友、金碟、远方等,并且版本越高,此项功能越明显。而且从审计情况看,如今不少行政企事业单位大都使用上述软件。
如在对樊城公安分局的审计中,该单位使用的是用友M8.0财软,我们就直接将其总帐、明细帐分别导成一个通用数据库如mdb的两张数据表;在对全市民政系统审计中,因该系统使用了用友M7.0,一次只能将总帐、明细帐的一个科目导成一个通用数据库,因此我们就根据需要,生成了多个科目的多个相关数据库。另外有些软件开发商专门设计了特定格式的导出,如:电力系统使用的远方财软4.XX版本,高度自动化设计,财务人员只需输人原始资料,数据汇总、帐表生成等全部由系统自动完成,其操作程序符合财政部最新颁布的会计制度,审计人员可将其中所有汇总表格和明细帐的查询结果导出为EXCEL格式,利用帐页查询功能,完成电子数据的采集工作。当然一些高端数据库软件,如:使用SQLServer、DB2等作为数据仓库开发的财软,由于这些服务器端的专业数据库软件本身具有强大的分析、备份和安全恢复等功能,因而客户端的应用软件也就没有必要开发数据导出功能了。
(二)直接使用被审单位企业(财务)管理软件而产生的备份数据。
因为几乎所有的企业(财务)管理软件都具有数据的备份和恢复功能。我们完全可以将数据的备份带回,在自己的电脑中进行恢复。这种方法最大的优点是导出的数据最完整(甚至包括软件的
使用日志、用户权限及密码等),分析起来最方便。由于用户软件本身具有强大的分析和查询功能,因而不需要借助任何第三方的辅助分析软件或数据库软件。但其缺点是必须有一套与被审单位软件一致的能使用的软件,且有多少个审计对象,你就需要准备多少个软件。这类商业软件由于审计人员只用于辅助审计,不作为生产使用,因而购买起来极不经济,其来源主要是通过以下方式获得:一是使用演示版软件,由于相当多的演示版软件与标准版软件仅在表证的打印上有区别,因而使用演示版软件没有问题。二是使用软加密方式的软件。相当多的软件是通过合法用户名和系列号来限制使用的,我们可以用被审单位软件的用户名和序列号在自己的电脑在进行安装软件,再将备份的数据恢复进来就可使用了(如:远方财软)。三是使用“光盘市场”版软件,目前光盘市场提供的版本相近的经过解密的软件,如:用友、金碟、交易等大腕软件,基本上都可以使用。四是与软件公司协商,支付少量费用,借用软件公司同版本号的正版软件和限次软件。
(三)直接将用户软件的原始数据库表导出。
就是使用专业数据库,如:SQLServer等,直接使用专业库的管理工具将数据导出。这种方法的特点是对审计人员的计算机技能提出了较高要求。主要表现在:l、软件的开发者为减少数据的冗余而采用了关系表,用户采用了这些表在自己的电脑中分析时需自行定义关系。2.这些表一般都为原始数据,审计人员要得到自己的记录集需自建查询集(视图)。3、这些表多为英文或拼音组成的字段(为了适应更多的开发工具)且有许多认证字段,完全搞清楚还费点周折。但是如果将上面问题都搞清楚了,使用通用数据库软件和专门的辅助审计软件分析起来还是比较方便的。
第二步、导出数据迁移
一般情况下,将数据导出后必须存入审计人员的电脑中,置于审计人员自己定义的某一目录下。这一点,要视实际情况的不同,分别采取不同的对策,从审计实践看,不外乎有以下王种情况:
(一)若数据文件总量在SM以下,通常采用压缩软件如:winzip等将数据压缩成几张盘,将数据带走。
(二)若数据文件总量在SM以上,如采用压盘方法由于盘片较多,恢复成功的风险较高,因而一般采用外置硬盘的方法,将数据在不压缩状态下直接导入自己的硬盘。
外置硬盘有打印机接口的外置硬盘和USB接口的外置硬盘。USB接口的硬盘支持热插拔,打印机接口的硬盘支持老一些的电脑,外置硬盘通常由外置硬盘盒加普通硬盘组成,这是一种最经济最方便的数据迁移的方法。
(三)若审计人员随身携带有笔记本电脑(带以太网卡)且被审单位也组建了局域网,可直接采用电脑与电脑对拷的方法实现。这里也有两种方法:
1、笔记本电脑与数据源电脑直接对持。审计人员需自己制作一条网络线(将普通的网络跳线12.36对调),将两台电脑配成对等网,在数据源电脑中将自己需要的数据目录设置“共享”后,拷入笔记本电脑。
2.网络下载。审计人员将自己的笔记本电脑接入被审单位的网络,找一个被审单位空闲的PJ45信息接口,配置好网络获取一个合法网络帐户,进入网络后,将数据源电脑中的数据持出。
三、如何进行数据分析
在审计工作中,我们大都要使用通用的或专门的软件分析数据。因为通用的数据库软件具有极其强大的分析功能,使用起来也特别方便灵活。若审计人员很熟悉诸如:Foxpro、access、SQLServer或SQL语句之一种,基本上就可以不依赖任何辅审软件独立开展计算机辅助审计了。以我局对湖北化纤集团审计为例,我们直接将被审单位的数据采集回来后,导入access2000,利用access2000中的可视化的查询分析器对数据进行筛选,得出所需要的数据。但是现阶段不少审计人员并不熟悉专业数据库软件的使用,尽管诸如access、foxpro、SQLserver等使用起来都很方便容易,但对相当多的审计人员来说仍有一定困难,这样就可结合使用相对而言更易使用的一些软件,诸如:南京特派办的《审计数据采集分析软件》等。
从实际情况看,我们主要是采取以下几种方法进行数据分析的:
一是利用被审单位软件的自身查询功能,发现不正常的会计分录。主要通过查看明细帐、记帐凭证,审查会计科目的对应关系,发现不正常的会计分录。如:“实收资本”科目一般对应“现金”、“银行存款”或者是“存货”等资产类科目,如在查询中发现,有的对应科目却是“应付款‘、”其他应付款“等科目,就可将这种不正常的会计事项作为审计重点,经调阅有关的原始凭证和调查相关往来单位,发现该单位虚列股本、转移国有资本、化公为私等问题;
二是利用被审单位软件数据转换功能,结合《审计数据采集分析软件》的查询、筛选等功能,发现违规支出。以“费用”审计为例,首先将把被审单位数据库中“管理费用”、“经营费用”和“财务费用”明细帐打开,将数据转换成EXCEL格式,通过《审计数据采集软件》进行查询摘要、筛选数据,经调阅有关的原始凭证和审计相关单位,发现费用中违规支出问题。
三是利用分类汇总、规划求解和拖动复制柄等功能,发现收入不合规等问题。比如审查债权债务,湖北化纤集团涉及的往来单位共有1938个,往来款总额数亿元,若一个审计人员用人工查账法,按帐龄分析其发生的现状,摸清其真实合法情况,需要一个星期。但运用计算机辅助审计,在EXCEL电子表格中,按照“单位”、“帐龄”等检索条件,一个小时之内查出三年以上不良资产1000多万元,往来单位1360个;二年至三年往来单位269个,金额3000多万元;又如在今年的电力行业审计中,在审查电价标准方面,我们首先将被审计单位用电量数据库采集过来,存为EXCEL电子表,用电总量中分居民生活电量、农民排灌电量、优惠
一、关于计算机审计机构职能定位问题
为了适应审计信息化发展的客观形势,目前,绝大多数审计特派办都成立了计算机审计处(室),具体负责审计信息化的规划和建设工作。但由于机构成立时间不同,职责任务也各有侧重,各单位计算机审计处的职能定位存在一定的差异:有的全面负责与计算机有关的各项工作任务,包括计算机设备管理、硬件维护、本单位局域网管理、信息管理、机关辅助办公、计算机培训及计算机辅助审计等,而有的只负责配合审计业务处开展计算机审计工作,其他工作则划归办公室或人教处负责,属于纯粹的审计业务部门。而与此不对称的是,有的单位计算机审计处担负的职责和任务很多,配备的人员却很少(3-4人),有的单位计算机审计处担负的职责任务很单一,配备的人员和技术力量却非常强(6-7人),这是导致目前审计信息化工作发展不平衡的一个重要原因。对此,审计署应该制定一个统一的标准和指导性意见,明确规范各单位计算机审计处的职能定位,并在此基础上以岗定编,确定人员数量,调整人员结构。这是其一。
其二,李金华审计长一再强调“计算机审计是一场革命”,石爱中副审计长在最近的一次讲话中也曾断言:“金审”二、三期工程完成以后,审计工作将“面目全非”。但纵观近几年计算机审计技术的应用,大都仍然停留在数据转换、计算分析、查询汇总等低水平上,与署领导提出的“革命性”目标之间存在着很大的差距,计算机审计仍处于十分尴尬的境地。要想在短期内改变这种状况,必须首先改变目前以业务部门为主、技术部门为辅的计算机审计组织形式,让计算机审计处独立承担部分项目的审计任务,以便在审计过程中逐步探索新的审计组织方式,拓展计算机审计领域,摸索新的人力资源配置,实现审计思维方式、组织方式和资源配置方式的“革命性”转变。而要实现这种转变,计算机审计处的人员配置必须进行适当的调整,除了配备一定数量的计算机技术人员外,还要配备一定数量的审计业务人员,并逐步向审计业务部门靠拢,每年有自己的审计项目计划,有相对固定的审计对象和审计范围。
二、关于计算机审计处人员结构问题
计算机审计处的人员结构与其职能定位是密不可分的,前面讲了,目前各单位计算机审计处的职能分为综合性和单一性两种情况。由于审计信息化建设是一项系统工程,它包含的内容非常广泛,如硬件建设、网络运维、人才培养、信息管理、辅助办公、计算机审计等等等等,各个内容之间又有着紧密的联系,如果分散于多个部门之间,不利于其建设内容的整体规划和统一实施。所以,从长远来看,综合性的职能定位和全方位的人力资源配置显然更有利于审计信息化工作的全面、协调和可持续发展。计算机审计处应该成为担负审计信息化建设任务的综合性的协调管理机构和技术强力支撑部门。基于这种设想,计算机审计处应该包括以下五类人才,配备6-8人:
1、 负责硬件维护和网络管理的专业技术人才1-2人。
2、负责各类人员培训的专职人员1人。
3、负责信息资源规划管理的专职人员1人。
4、负责计算机审计技术支撑的高精尖IT人才1-2人。
5、既精通审计业务有掌握计算机技术的复合性人才1-2人。
三、关于引进IT人才和培养复合性人才的关系问题
近几年来,由于各级领导的高度重视,各特派办通过引进专业技术人才和加强培训工作,计算机审计人才队伍已显雏形。但人才问题始终是制约审计信息化快速发展的核心问题:一方面由于待遇偏低,一部分高水平的专业技术人才或是引不进来,或是远走高飞;另一方面,中级骨干人员学而不用,专而不精,整体作用发挥不够;再一方面,受现有人员的知识结构和年龄结构限制,审计人员的计算机应用水平参差不齐,影响了审计信息化工作的整体推进。要解决好上述问题,必须把人才引进和自主培养两方面的工作结合起来,逐步形成审计信息化人才队伍的“Δ”结构。首先,要立足于对审计人员进行自主培养,即选拔一批审计业务精湛的年轻同志,通过强化计算机技术培训,使之迅速掌握审计现场必备的计算机操作技能,形成“Δ”的中间层。因为从实际情况来看,“计算机审计”的关键要素是“审计”,如果审计业务不精或经验不足,就算计算机水平再高,也查不出问题;而且从培训成本来讲,把审计业务人员培养成为复合性人才所需要的成本(包括时间、费用及经验积累)要远低于把计算机人员培养成为复合性人才所需要的成本。其次,要在重点培养复合性人才的同时,提高审计人员计算机应用的整体水平,形成“Δ”结构的底层实力。对这个层次的审计人员也要提出一个最低应用水平的要求,否则,审计信息化工作就会失去广泛的群众基础,有些工作也难以推进。比如最近审计署推出的“AO”和“OA”两个系统,都需要所有审计人员的广泛参与,不然就会出现信息不完整,从而影响软件系统的整体效果。其三,要抓住目前高校计算机专业毕业生供过于求的有利时机,通过层层选拔,引进一批高层次(硕士或博士)技术人才,形成“Δ”结构的顶尖层。这个层次的技术力量是必须的,因为我们面对的是越来越复杂的被审单位信息系统,靠审计人员去解决所有技术问题是不现实的。但这个层次的技术人才也不需要太多,1-2人即可。社会分工越来越细,公务员队伍不可能也没有必要包打天下,必要时,我们完全可以借助社会IT力量,通过临时聘用计算机专家解决复杂问题。总的来看,计算机审计人才队伍应该是多层次、立体化的三角性结构,这是审计干部队伍建设的大势所趋,更是推动审计信息化向前发展的客观要求。
摘要:从系统的、整体的、动态的角度,参照国家对主机审计产品的技术要求和对部分主机审计软件的了解,结合实际的终端信息安全管理需求,从体系架构、安全策略管理、审计主机范围、主机行为监控、综合审计及处理措施等方面提出主机审计系统的设计思想,达到对终端用户的有效管理和控制。
关键词:网络;安全审计;主机审计;系统设计
1引言
随着网络与信息系统的广泛使用,网络与信息系统安全问题逐渐成为人们关注的焦点。
网与因特网之间一般采取了物理隔离的安全措施,在一定程度上保证了内部网络的安全性。然而,网络安全管理人员仍然会对所管理网络的安全状况感到担忧,因为整个网络安全的薄弱环节往往出现在终端用户。网络安全存在着“木桶”效应,单个用户计算机的安全性不足时刻威胁着整个网络的安全[1]。如何加强对终端用户计算机的安全管理成为一个急待解决的问题。
本文从系统的、整体的、动态的角度,参照国家对安全审计产品的技术要求和对部分主机审计软件的了解,结合实际的信息安全管理需求,讨论主机审计系统的设计,达到对终端用户的有效管理和控制。
2安全审计概念。
计算机网络信息系统中信息的机密性、完整性、可控性、可用性和不可否认性,简称“五性”,安全审计是这“五性”的重要保障之一[2]。
凡是对于网络信息系统的薄弱环节进行测试、评估和分析,以找到极佳途径在最大限度保障安全的基础上使得业务正常运行的一切行为和手段,都可以叫做安全审计[3]。
传统的安全审计多为“日志记录”,注重事后的审计,强调审计的威慑作用和安全事件的可核查性。随着国家信息安全政策的改变,美国首先在信息保障技术框架(IATF)中提出在信息基础设置中进行所谓“深层防御策略(Defense2in2DepthStrategy)”,对安全审计系统提出了参与主动保护和主动响应的要求[4]。这就是现代网络安全审计的雏形,突破了以往“日志记录”
等浅层次的安全审计概念,是全方位、分布式、多层次的强审计概念,符合信息保障技术框架提出的保护、检测、反应和恢复(PDRR)动态过程的要求,在提高审计广度和深度的基础上,做到对信息的主动保护和主动响应。
3主机审计系统设计。
安全审计从技术上分为网络审计、数据库审计、主机审计、应用审计和综合审计。主机审计就是获取、记录被审计主机的状态信息和敏感操作,并从已有的主机系统审计记录中提取信息,依据审计规则分析判断是否有违规行为。
一般网络系统的主机审计多采用传统的审计,系统的主机审计应采用现代综合审计,做到对信息的主动保护和主动响应。因此,网络的主机审计在设计时就应该全方位进行考虑。
3.1体系架构。
主机审计系统由控制中心、受控端、管理端等三部分组成。管理端和控制中心间为B/S架构,管理端通过浏览器访问控制中心。对于管理端,其操作系统应不限于Windows,浏览器也不是只有IE。管理端地位重要,应有一定保护措施,同时管理端和控制中心的通讯应有安全保障,可考虑隔离措施和SHTTP协议。
主机审计能够分不同的角色来使用,至少划分安全策略管理员、审计管理员、系统管理员。
安全策略管理员按照制定的监控审计策略进行实施;审计管理员负责定期审计收集的信息,根据策略判断用户行为(包括三个管理员的行为)是否违规,出审计报告;系统管理员负责分配安全策略管理员和审计管理员的权限。三员的任何操作系统有相应记录,对系统的操作互相配合,同时互相监督,既方便管理,又保证整个监控体系和系统本身的安全。控制中心是审计系统的核心,所有信息都保存在控制中心。因此,控制中心的操作系统和数据库最好是国内自己研发的。控制中心的存储空间到一定限额时报警,提醒管理员及时备份并删除信息,保证审计系统能够采集新的信息。
3.2安全策略管理。
不同的安全策略得到的审计信息不同。安全策略与管理策略紧密挂钩,体现安全管理意志。在审计系统上实施安全策略前,应根据安全管理思想,结合审计系统能够实现的技术途径,制定详细的安全策略,由安全员按照安全策略具体实施。如安全策略可以分部门、分小组制定并执行。安全策略越完善,审计越彻底,越能反映主机的安全状态。
主机审计的安全策略由控制中心统一管理,策略发放采取推拉结合的方式,即由控制中心向受控端推送策略和受控端向控制中心拉策略的方式。当安全策略发生更改时,控制中心可以及时将策略发给受控端。但是,当受控端安装了防火墙时,推送方式将受阻,安全策略发送不到受控端。由受控端向控制中心定期拉策略,可以保证受控端和控制中心的通讯不会因为安装个人防火墙或其他认证保护措施而中断。联网主机(服务器、联网PC机)通过网络接收控制中心的管理策略向控制中心传递审计信息。单机(桌面PC或笔记本)通过外置磁介质(如U盘、移动硬盘)接收控制中心管理策略。审计信息存放在主机内,由管理员定期通过外置磁介质将审计信息传递给控制中心。所有通讯采用SSL加密方式传输,确保数据在传输过程中不会被篡改或欺骗。
为了防止受控端脱离控制中心管理,受控端程序应由安全员统一安装在受控主机,并与受控主机的网卡地址、IP地址绑定。该程序做到不可随意卸载,不能随意关闭审计服务,且不影响受控端的运行性能。受控端一旦安装受控程序,只有重装操作系统或由安全员卸载,才能脱离控制中心的管理。联网时自动将信息传到控制中心,以保证审计服务不会被绕过。
3.3审计主机范围。
信息系统中的主机有联网主机、单机等。常用操作系统包括Windows98,Windows2000,WindowsXP,Linux,Unix等。主机审计系统的受控端支持装有不同操作系统的联网主机、单机等,实现使用同一软件解决联网机、单机、笔记本的审计问题。
根据国家有关规定,信息系统划分为不同安全域。安全域可通过划分虚拟网实现,也可通过设置安全隔离设备(如防火墙)实现。主机审计系统应考虑不同安全域中主机的管理和控制,即能够对不同网段的受控端和安装了防火墙的受控端进行控制并将信息收集到控制中心,以便统一进行审计。同时能给出简单网络拓扑,为管理人员提供方便。
3.4主机行为监控。
一般计算机使用人员对计算机软硬件尤其是信息安全知识了解不多,不清楚计算机的安全状态。主机审计系统的受控端软件应具有主机安全状态自检功能,主要用于检查终端的安全策略执行情况,包括补丁安装、弱口令、软件安装、杀毒软件安装等,形成检查报告,让使用人员对本机的安全状况有一个清楚的认识,从而有针对性地采取措施。自检功能可由使用人员自行开启或关闭。检查报告上传给控制中心。
主机审计系统对使用受控端主机人员的行为进行限制、监控和记录,包括对文档的修改、拷贝、打印的监控和记录,拨号上网行为的监控和记录,各种外置接口的禁止或启用(并口、串口、USB接口等),对USB设备进行分类管理,如USB存储设备(U盘,活动硬盘)、USB输入设备(USB键盘、鼠标)、USB2KEY以及自定义设备。通过分类和灵活设置,增强实用性,对受控主机添加和删除设备进行监控和记录,对未安装受控端的主机接入网络拒绝并报警,防止非法主机的接入。
主机审计系统对接入计算机的存储介质进行认证、控制和报警。做到经过认证的合法介质可以从主机拷贝信息;未通过认证的非法介质只能将信息拷入主机内,不能从主机拷出信息到介质内,否则产生报警信息,防止信息被有意或者无意从存储设备(尤其是移动存储设备)泄漏出去。在认证时,把介质分类标识为非密、秘密、机密。当合法介质从主机拷贝信息时,判断信息密级(国家有关部门规定,信息必须有密级标识),拒绝低密级介质拷贝高密级信息。
在认证时,把移动介质编号,编号与使用人员对应。移动介质接入主机操作时记录下移动介质编号,以便审计时介质与人对应。信息被拷贝时会自动加密存储在移动介质上,加密存储在移动介质上的信息也只能在装有受控端的主机上读写,读写时自动解密。认证信息只有在移动介质被格式化时才能清除,否则无法删除。有防止系统自动读取介质内文档的功能,避免移动介质接在计算机上(无论是合法还是非法计算机)被系统自动将所有文档读到计算机上。
3.5综合审计及处理措施。
要达到综合审计,主机审计系统需要通过标准接口对多种类型、多个品牌的安全产品进行管理,如主机IDS、主机防火墙、防病毒软件等,将这些安全产品的日志、安全事件集中收集管理,实现日志的集中分析、审计与报告。同时,通过对安全事件的关联分析,发现潜在的攻击征兆和安全趋势,确保任何安全事件、事故得到及时的响应和处理。把主机上一个个原本分离的网络安全产品联结成一个有机协作的整体,实现主机安全管理过程实时状态监测、动态策略调整、综合安全审计、数据关联处理以及恰当及时的威胁响应,从而有效提升用户主机的可管理性和安全水平,为整体安全策略制定和实施提供可靠依据。
系统的安全隐患可以从审计报告反映出来,因此审计系统的审计报告是很重要的。审计报告应将收集到的所有信息综合审计,按要求显示并打印出来,能用图形说明问题,能按标准格式(WORD、HTML、文本文件等)输出。但是,审计信息数据多,直接将收集的信息分类整理形成的报告不能很好的说明问题,还应配合审计员的人工分析。这些信息可以由审计员定期从控制中心数据库备份恢复。备份的数据自动加密,恢复时自动解密。审计信息也可以删除,但是删除操作只能由审计员发起,经安全员确认后才执行,以保证审计信息的安全性、完整性。
审计系统发现问题的修复措施一般有打补丁、停止服务、升级或更换程序、去除特洛伊等后门程序、修改配置和权限、专门的解决方案等。为了保证所有主机都能得到有效地处理,通过控制中心统一向受控端发送软件升级包、软件补丁。发送时针对不同版本操作系统,由受控端自行选择是否自动执行。因为有些软件升级包、软件补丁与应用程序有冲突,会影响终端用户的工作。针对这种情况,只能采取专门的解决方案。
在复杂的网络环境中,一个网往往由不同的操作系统、服务器,防火墙和入侵检测等众多的安全产品组成。网络一旦遭受攻击后,专业人员会把不同日志系统里的日志提取出来进行分析。不同系统的时间没有经过任何校准,会不必要地增加日志分析人员的工作量。系统应提供全网统一的时钟服务,将控制中心设置为标准时间,受控端在接收管理的同时,与控制中心保持时间同步,实现审计系统的时间一致性,从而提供有效的入侵检测和事后追查机制。
4结束语
系统的终端安全管理是一个非常重要的问题,也是一个复杂的问题,涉及到多方面的因素。本文从体系架构、安全策略管理、审计主机范围、主机行为监控、综合审计及处理措施等方面提出主机审计系统的设计思想,旨在与广大同行交流,共同推进主机审计系统的开发和研究,最终开发出一个全方位的符合系统终端安全管理需求的系统。
参考文献:
[1]网络安全监控平台技术白皮书。北京理工大学信息安全与对抗技术研究中心,2005.
【关键词】会计电算化;舞弊与对策;资产管理;电算化审计;网络会计
一、Internet模式下,会计电算化的发展趋势及亟需解决的问题
SaaS是Software-as-a-service软件在线服务的简称,它有以下特点:1.降低企业成本获得满意的会计服务;2.为企业提供便捷的会计服务;3.易学易用传统财务软件要正式购买,需要不断进行升级,不断学习、培训;4.注重保护用户数据的安全传统的财务软件,如果出现帐套损坏、数据丢失等问题,会给企业带来很大的麻烦;5.服务对象非常广泛。
会计电算化也会出现一些舞弊问题,给企事业单位带来损失,通常会计电算化所引起的损失主要有三种:(1)由于灾害事故或电源中断故障等原因所引起的会计信息处理中断和数据丢失;(2)因电算化会计信息系统本身的错误和疏漏所引起的损失;(3)因会计电算化舞弊而引起的损失。对前两种损失,通过借助于开发控制技术就能较好地加以解决,而对因会计电算化舞弊所引起的损失却很难解决。因此如何防范会计电算化舞弊成了企业普遍关心的问题。
会计电算化舞弊的方法主要有以下几点,即篡改输入、篡改文件、篡改程序、作法操作、篡改输出和其它方法。我们可以通过一些方法进行预防和防范,在制度上:1.严格执行内部控制制度,内部控制措施的执行应该一视同仁,严密防范;2.加强电算化犯罪法制建设;3.完善内部控制系统运用计算机处理会计信息和其他管理信息的单位,均应建立和健全电算化内部控制系统。在系统的安全问题上:1.建立多层备份机制。做好财务SaaS系统的安全防护,一个重点就是要分层次地采用服务器双机热备份RAID镜像技术,财务及管理软件系统自动备份等多种保护方式。2.建立多级权限机制。在财务SaaS系统应用中,要努力实行用户级控制数据库,级控制和网络系统级控制相结合的多级权限控制机制。3.重点实施全方位的网络系统安全防御措施。这些措施包括:部署防火墙防止外部非法用户访问,为数据传输转换设置一道电子屏障;采用组合加密技术(密钥技术),专用密钥组合加密效果更佳;运用数字签名验证对方身份保证数据完整性,数字签名还可以建立不可否认机制,便于查找造成网络事故的原因;使用安全协议;应积极采用反病毒技术,同时财务软件可挂接或捆绑第三方反病毒软件,加强软件自身的防病毒能力。
二、会计电算化对事业单位内部控制的影响
(1)事业单位内部控制形式
传统的手工记账规则对总账、日记账所要进行订本账册的使用进行了规定,并且要求那些明细账必须要采用活页式的账册,通过很多套帐来实现账目之间的互相核对和互相牵制。会计电算化的条件下将手工会计账册核对的功能进行了代替,在很大程度上将不相同职务监督的能力降低。
(2)事业单位内部控制的内容
传统的手工会计系统中,会计要将那些数据可以用到的符号、数字等直接在纸张上面进行记录,事业单位的每笔交易都必须要有相关的经办人员进行签字确定,甚至可以将不同笔迹作为控制的重要手段。但是,在事业单位会计电算化以后,传统会计工作的单据、凭证部分会消失不见,对其进行取代的就是那些将数据处理资料进行存储的光盘、磁带以及磁盘等等。而这些在磁性介质上进行存储的信息往往是我们人类肉眼不能够看到的,这样也就导致这些数据很容易被篡改或者删除,在这里消失、中断的传统控制程序以及传统的控制方法有些已经不能再适用了。
三、会计电算化对事业单位内部控制制度的新要求
会计电算化要求我们职责分离,也就是事业单位的资产保管、记录、执行以及业务授权等工作和职责要很好的分开。根据相关的会计电算化工作规范中所规定的内容,我们可以将事业单位会计电算化职责和岗位进行一定的划分,可以将其分为:数据分析、电算审查、审核记账、软件操作、电算主管等。
四、会计电算化必然导致电算化审计
(1)会计电算化下审计线索不能满足传统审计的需要
在手工会计中,审计线索包括会计凭证、会计账薄,会计报表等会计资料,这些资料都是纸质的,每笔交易都有一个完整的审计线索,审计人员根据这些资料来检查会计信息是否公允、会计处理方法和会计政策是否一贯、财务收支是否合法。但是会计电算化中,会计人员只需录入原始数据,就能自动生成财务报表、总分类账、明细账,中间会计处理由计算机按程序自动完成,传统的审计线索中断消失,审计中即使发现可疑之处,对其进行追查也是比较困难。
(2)会计电算化下审计内容更复杂,技术性更强
会计电算化下数据处理环节减少,并且由计算机接程序自动集中处理,尤其是许多会计软件有取消出纳签字、取消审核、反记账和反结账的功能,这些功能可以对会计资料进行无痕修改。会计电算化应用程序被人非法篡改,嵌入非法程序,使得计算机只会按照给定的程序处理会计事项,造成资产的不明流失。这些都加大了审计的难度。
(3)会计电算化下审计标准和准则有待完善
传统的审计在实际工作中已经建立了一系列审计标准和准则。实施会计电算化后,审计对象和审计线索发生了变化,审计的技术和手段也相应的发生了变化,故在原有的审计标准和准则基础上,还应建立与会计电算化相适应的新的审计标准和准则。
(4)会计电算化下内部控制系统更加复杂
手工会计中,内部控制的测试是看得见、摸得着的。会计电算化系统中,大部分控制措施都是以程序的形式建立在会计电算化中,而会计电算化系统的内控功能是否恰当有效,会直接影响系统输出数据的真实和准确。
(5)在动态的会计电算化中进行审计取证较难
会计电算化的优点是对数据的处理能及时反馈给管理人员,某些企业每天都要进行成本和利润的结算,进行生产动态分析,因此系统必须一直处于运作状态,一旦停止工作,将会给被审计单位造成经济损失。而审计人员一方面要完成审计任务,另一方面又不能终止被审计单位会计信息系统的运行,存在一定的审计风险。
那么,如何实施电算化审计呢?
(1)提高审计人员的素质、培养复合型审计人员
电算化审计是综合了会计、审计和计算机的一门边缘学科,它对从业人员的素质要求更加全面。因而审计机构和会计师事务所应重视电算化审计的应用,积极引进既有审计经验又具备高层次计算机知识技能的复合型人才,同时对现有会计人员要有计划、有步骤地进行计算机的后续教育,提高他们对会计电算化系统的控制能力;另一方面要让计算机技术人员学习会计和审计的基础知识,使他们开发的电算化审计软件更科学,更有效。此外高校对审计专业的课程设置中应加大计算机程序,数据库相关方面的课程,拓宽学生的素质和能力,培养复合型审计人员。
(2)建立、完善电算化审计的软件环境
一、财务预算管理审计思路创新的构想
财务预算管理体制对预算执行审计的工作目标、方式方法等方面提出了新的要求,预算执行审计必须围绕新的财务预算管理体制,加大预算执行审计的监督力度,从而才能不断规范财政管理,提高财政资金使用效益,促进财政体制改革不断深化。
1、转变审计思路。以往的财务预算执行审计存在着诸多不足,如对预算的编制环节关注不够、对预算支出的结构分析不够、对支出的效益性重视不够等等。要克服这些不足,首先要转变观念,改变传统的审计思维方式,根据财务预算管理的要求,把审计监督贯穿于预算的全过程,既要抓好预算编制审计,又要抓好预算执行审计,从预算收入入手,着力于预算支出审计;从预算执行结果出发,着力于预算执行全过程审计。通过审计,逐步健全和完善财务预算管理,促进财务管理的法制化和规范化。其次,要有明确的目标,促进财务预算的合理、准确、规范和有效。监督财务收支,保证财务预算管理的到位,促进财务预算的执行和经营目标的实现。特别是加大支出结构调整的审计,增强预算的透明度和约束力;通过对材料采购过程的审计,有效抑制财务资金使用中的腐败现象,防范和化解资金管理中违法乱纪现象的发生,维护整体利益。
2、明确工作职责。应当看到,财务预算管理不只是企业集团总部的事,下属各单位应当同时实施财务预算管理。审计部门在集团的财务管理预算审计中具有举足轻重的地位,发挥着不可替代的作用,扮演着财务预算管理审计的“牵头单位”。同时财务预算部门作为“操盘手”,在财务预算的编制、执行与控制、调整、分析与考核中不可或缺。明确他们的工作职责尤为重要,必须得到充分重视。
3、创新审计手段。随着内部审计由财务领域向经营管理领域的扩展,原有的审计手段已经不能适应现实的需要,审计人员应力求在审计手段上有所创新。企业集团应实行预算管理审计信息化。一是实现财务预算系统与销售、供应、生产等系统的信息集成和数据共享,使集团生产经营能沿着预算管理轨道科学合理地进行。二是财务预算审计软件与财务应用系统衔接,使财务预算审计可随时汇集财务会计信息,查询子公司资金流向、避免传统手工做法的弊端,保障预算管理审计的质量和速度,有效地促进集团财务预算管理的规范进行。三是通过财务预算审计,推动财务信息与业务流程一体化,努力规避财务风险,提高预算审计的水平。同时,我们还要逐步学习和引进国外先进的预算审计思想,积极探索集团财务预算管理审计模式,加强监督和控制,努力发挥集团财务预算管理审计效益。
4、强化监督力度。企业财务管理实行预算管理体制以后,要求我们不仅在开展预算执行审计的内容上有所突破,而且要强化过程审计监督的力度。一是要加强对部门预算编制和执行的审计。即对预算编制的真实性、合理性实施审计,关注那些资金支出数额较大的部门,检查其支出项目是否合理、真实,有无虚列、空挂等现象。通过“同级审’检查财务部门是否按预算支出,是否存在随意性;二是要加强对各项费用的审计,重点是检查财务支出的结构,看其是否按要求列支及支出的合理性,检查福利、业务招待费等重点子科目。三是加大对部门的延伸审计力度,检查其支出是否按预算执行及合规性,防范部门支出违规行为的发生,从而从源头上遏制腐败现象的滋生;四是加强物资采购的审计,主要审查预算编制程序合规合法性,招标的公开程度和公正性,以及采购价格和质量等。五是健全内部审计监督制度,将更多的精力放到预算管理审计中去,强化事前预防和事中控制,保证集团各项经营活动都在预算严格的程序下进行。实现经营管理处处有章可循,事事受程序制度制约。
5、提高队伍素质。审计署在《审计署2003至2007年审计工作发展规划》中,着力强调“以审计创新为动力,以提升审计成果质量为核心,以加强审计业务管理为基础,以“人、法、技”建设为保障,全面提高审计工作水平,基本实现审计工作法制化、规范化、科学化”。预算执行审计工作要提高审计质量,需要审计人员具有较丰富的宏观经济知识、较高的政策水平、较强的综合分析能力及处理问题的能力。现代财务审计也需要审计人员必须掌握现代审计知识、计算机应用技能。因此,实施财务预算管理体制的当务之急是提高审计队伍的整体素质。应认清形势,理清思路,采取积极措施,加强审计人员的思想业务培训,培养和造就一批复合型审计人才,建立起一支思想好、作风硬、业务高的高素质审计队伍,这样才能适应新时期的需要,进而不断提升审计的质量和水平,为领导科学决策提供依据。
二、企业预算管理审计应把握的原则
预算管理是一套系统、精细的管理机制,是一种全方位、全过程和全员的综合性管理系统,具有全面控制和约束力。审计人员要树立现代审计具有管理职能的意识,要深入到经营中去,发挥审计的优势,紧紧围绕企业生产经营目标,积极行使审计职权。
1、全面性。企业预算管理是一项复杂的系统工程,审计部门必须从自身实际出发,不断完善预算标准和提高基础管理水平,力求做到全面、系统、科学、先进,同时体现可控制、可考核,实现审计工作高效率和低成本的要求。在推行过程中应分步骤实施,注重实际,不能急于求全与求成。
2、先进性。实施预算管理审计,必须有信息化管理系统支撑。审计部门应依托科技平台,积极开发全面预算管理的软件,不断完善审计业务、财务信息系统,完善全方位的监控体系,这样才能保证预算编制、控制、分析、调整、考核、评价的实时性和有效性。
【关键词】高校;财务预算管理;问题;对策
财务预算管理是现代高校财务管理的重要内容,随着高校教育事业的快速发展,高校办学经费日趋紧张,高校面临的各种经济活动也日益复杂,高校财务预算管理的重要性显得愈来愈突出。切实解决高校财务预算管理存在的问题,不断提高高校财务预算管理水平,对于高校的持续稳定发展具有重要意义。本文从高校财务预算管理的内涵及作用、高校财务预算管理存在的问题及对策方面进行简要探讨。
一、高校财务预算管理的内涵及作用
(一)高校财务预算管理的内涵
预算是未来一个时期的计划,预算管理是指运用预算对单位各部门、各种资源进行配置、控制、反映与考评等一系列的管理活动,并以此来提高单位的管理水平与经济效益。高校预算管理就是要根据高校年度内所完成的事业计划和工作任务合理确定年度财务收支计划,为高校日常组织收入和控制支出提供依据,以确保高校的正常有序运行。高校的预算管理包括预算编制、预算执行、预算调整、预算评价等方面。
(二)高校财务预算管理的作用
预算管理是高校财务管理的一个重要组成部分,其作用主要体现在四个方面:1.促进高校的收支管理,确保各项资金的合理有效使用,对高校的持续稳定发展提供有力的资金保障。2.促进高校办学计划的开展与完善,减少办学过程中存在的风险。通过预算管理,使高校能够制定合理的发展计划,避免盲目发展导致不必要的损失。3.预算管理能够明确各部门的责任,有利于各部门之间的协调,减少相互间的冲突与矛盾。4.有利于绩效考核和强化内部控制。预算管理能够提供绩效的评价标准,便于对各部门实施量化的业绩考核和奖惩制度,规范员工的日常活动,减少高校办学活动的随意性。
二、高校财务预算管理现状审视
(一)预算编制不合理
主要表现在:1.预算编制方法不科学。由于受过去财政预算管理的影响,目前高校大多还是采用基数加增长的预算编制方法。虽然财政预算改革要求实行零基预算,但由于财力不足,各种矛盾难以平衡,零基预算在实际操作中很难执行到位,导致一些不合理的支出继续存在,同时也会引发各部门盲目扩张预算规模,造成资金使用效益低下,供给紧张的不良局面,削弱了预算管理在财务管理中的重要作用。2.预算的准确性较差。主要原因有三个方面:一是由于改革的不断纵深发展,资金来源逐渐多元化,宏观经济环境变化等不确定性因素大大增加,预算编制难度也随之增加,难以准确预测。二是高校在编制预算时准备工作不充分,缺乏量化分析和科学论证。一些单位即使想做好预算编制,但由于基础工作薄弱,基础数据搜集难度大,也是有心无力。三是预算编制程序不规范,随意性较大,造成预算与实际脱节。3.预算编制的内容不完整。由于受利益驱动,一些高校往往没有将全部收支纳入综合预算,搞资金的体外循环,脱离高校财务预算的监督和控制。同时,在收支预算编制时也不具体、不完整,在预算执行时随意性较强,预算管理的作用得不到有效发挥。
(二)预算执行控制机制薄弱
主要表现在:1.预算执行不全面。预算执行不仅包括支出预算,还包括收入预算,但在实际执行过程中,许多高校往往对支出预算比较重视,对收入预算执行的管理比较松懈,其结果是全年支出预算安排基本全满,而收入预算不一定全部实现,从而导致预算赤字。2.预算执行缺乏有效监督。很多高校在财务预算下达之后,未能对预算的执行过程实行及时有效的跟踪管理和监控,使预算编制形同虚设。同时,各部门之间也存在各自为政、缺乏管理、监督和相互约束的现象,使预算执行的控制约束力大打折扣。3.预算执行制度不规范。在预算执行、调整等方面由于没有相应规范的制度,在实际执行过程中,一些高校片面强调客观因素的影响,随意开口子、批条子,预算项目直接或变相改变用途、追加预算等现象时有发生,预算经费得不到有效控制。
(三)预算考核评价机制不健全
主要表现在:1.预算考核评价制度不完善。目前,大多数高校尚未建立一套完善的预算执行分析考核制度和相应的奖惩措施,有的高校虽然制定了严格的规章制度,但落实却不够到位,缺乏预算责任追究机制,使预算考评流于形式。2.预算考核评价标准和方法简单。大多数高校的年终考核一般由财务部门根据预算的执行数与定额数进行对比,看是否超预算,缺乏深度剖析和科学评价,没有实际指导意义。
三、加强高校财务预算管理的对策
(一)提高预算编制的科学性与合理性
1.建立合理的预算编制系统,充分调动各部门的理财积极性。高校预算管理作为一个系统,没有相关部门在预算管理中的基础作用,预算编制很难做到科学合理。因此,高校在编制预算时,一是要建立组织机构制度,从制度上明确各部门的职权范围,同时要建立较为通畅的信息沟通渠道,促进各职能部门之间的密切合作,使预算更加科学合理,为预算的顺利实施打下良好的基础。二是要建立健全原始数据信息网络,确保预算编制依据的准确性。三是要建立预算评审制度,保证在审核预算时有严格的标准,避免人为因素,力求公平。2.采取科学的预算编制办法。预算编制要从实际出发,坚持“量入为出,收支平衡”的原则,不能简单地沿用基数加增长的预算编制方法。收入预算要能体现资金来源多样化,支出预算也要能体现高校事业发展的规模和方向。3.规范预算编制程序。学校内部的预算编制和控制程序可以参照《预算法》和《高等学校财务制度》关于对学校和上级主管部门之间对预算编制和审批的程序要求,以规范预算编制程序,减少随意性。4.提高预算编制内容的完整性。要科学划分预算控制科目,各部门要将所有收入和支出要全部细化到具体项目,以便监督预算的执行。
(二)强化预算执行管理
1.加强预算执行流程规范化管理。要建立和完善预算执行中的各项制度,规范各类人员的行为,明确预算方案中各个预算经费项目的管理权限、审批程序和监督方法等,尤其是要强化审批约束力,严格审批制度。学校领导要带头维护预算的权威性,自觉执行有关规定,不得随意改变资金性质和支出规模,抵制一切无预算、超预算开支现象。特殊情况下的超计划经费应严格按照相关制度进行预算调整,经批准后按规定执行。2.加强审计监督。学校审计机构要定期对全校的预算目标完成情况进行全方位审计,及时发现预算与预算执行的偏差,并分析其原因,有特殊情况的,要按照相关规定及时调整预算,以保证预算的正常实施。3、加强预算执行管理网络化建设。一方面,可以通过计算机管理软件系统对整个学校及下属各部门的预算计划及执行情况进行实时监控,严格控制资金流向,通过设置权限划分,一旦发现超预算或无预算用款现象,系统立刻自动提出预警信息或禁止动作。另一方面,还可利用学校内部局域网,将学校和各部门的预算执行进度和情况传递给学校决策者,使他们能及时了解相关信息、合理作出相应决策,以保证预算计划的顺利完成。
(三)建立科学的预算考核评价体系
1.建立预算执行考核制度。要把预算管理纳入各职能部门的工作考核,制定科学合理、行之有效的绩效考核办法,对学校各部门预算执行的真实性、合法性和效益性等进行科学评价。2.建立奖惩制度。要强化节约有奖超支要罚的观念,把预算执行情况与个人奖惩挂钩,鼓励学校各部门积极增收节支,不断优化预算支出结构,提高预算支出效益。3.实行预算项目追踪问责制。高校应建立预算项目具体责任人追踪问责制度,特别是对大的预算项目和重点开支,要对其经济活动是否合理合法及收支标准执行情况进行严格考核。对不履行监督和管理职能的部门和个人进行责任追究,对发生经济损失的责任人要追究行政、经济和法律责任。
参考文献:
[1]陈紫莹.加强高校财务预算管理的全过程控制[J].经济师,2012,(3).
关键词:内部审计 全面预算 作用 完善 措施
中图分类号:F239.45 文献标识码:A
文章编号:1004-4914(2012)11-165-02
内部审计是企业内部独立、客观的监督、评价与服务活动,它通过系统的、规范的审计程序和方法,审查和评价企业经营活动和内部控制的适当性、合法性和有效性,促进企业加强内部控制,改善风险管理,提高经营效益和效率,以利于企业实现目标。
一、内部审计在全面预算管理中的作用
1.有利于健全企业内部管理制度,提高预算管理水平。内部审计根据企业预算执行的实际经营情况进行审查分析,对企业相关市场营销政策、财务管理制度、人事管理制度、薪酬管理制度、工程项目管理和固定资产管理制度等进行遵循性、有效性审查,是否按照集团公司下发的相关政策制度执行,企业制定的相关政策、制度,是否违背了集团公司的相关规定。在经营管理过程中是否存在薄弱环节,是否存在制度上的漏洞,并提出合理化建议,形成审计报告,报告给集团公司并进行通报,企业负责人为第一责任人,必然会采取多种整改措施, 确保企业组织运行过程的合法性和合规性,完善相关内部控制制度,提高预算管理水平。
2.有利于准确评价预算完成情况及其差异的形成原因,便于进行业绩考核。内部审计围绕信息资料生成全过程进行规范管控,通过查证账簿资料及其他资料的真实、准确、及时,加大对业务收入、成本费用支出、资本性支出等重点环节的审计力度,检查信息渠道是否健全、畅通,防范和控制财务信息失真的风险,为企业正确决策打下基础,为准确评价预算完成情况提供依据。
3.有利于保护公司财产的安全完整,为预算的编制提供真实、可靠的财务信息。内部审计围绕资金使用和资产管理的全过程管控,加大对各类资金的盈缺、缴付、审核和各项资产的增减、处置等关键点的审计力度,防范和控制资金资产流失的风险,保证资金资产的安全完整。(1)从各类资金的使用到各项资产的处置,关注大额资金支付和重大资产处置的审批程序及资金资产的安全完整。关注大额资金使用是否严格履行审批及支付流程,严禁违规支付资金,关注重大资产处置是否严格履行审核程序、技术鉴定和财务处理规定,严禁随意处置或核销资产。(2)关注营业款是否及时全额上缴,特别是关注县乡或偏远地区营业款的安全,关注资金收支两条线执行情况,严禁坐支或擅自从收入账户划转资金。(3)关注应收应付往来款项定期核对情况,严禁对公司内部及外部应收款项长期挂账不清或无依据随意核销。(4)关注工程物资、有价卡和终端等重要资产是否严格履行出入库手续,资产是否定期盘点、清查和对账,规避短缺、丢失和跌价风险,保证账账、账实相符,确保公司资金资产安全完整,为预算的编制提供真实、可靠的财务信息。
4.有利于优化配置资源,促进企业经营效益的提升。合理配置资源是企业获取价值最大化的最直接、最有效的措施。全面预算作为一种管理控制工具,在资源的合理配置方面发挥着越来越大的作用。通过内部审计对企业资源使用的经济和有效性评价,可以发现资源配置中存在的问题。内部审计的建议、参谋和控制作用可以促进企业在经营过程中及时防范和控制风险,提高企业管理水平,为企业创造效益。(1)随着企业建设网络规模的扩大,工程项目增多,资本性支出不断加大,内部审计人员的检查分析就变得尤为重要。内部审计人员可以围绕资本性支出重点环节的规范管控,及时做好工程审计工作,一方面保证工程造价的真实、准确;另一方面加大对审计项目的现场核实力度,指出企业在工程管理上的薄弱环节,提出合理化建议,加强工程物资和工程进度管理,督促解决工程结算滞后的问题,促进投资成本尽快形成生产能力和投资项目的及时转固。这样既节约了资源又确保了建设资金的有效使用。(2)随着企业资产总额的增加,内部审计关注企业资产是否定期盘点、清查和对账,是否随意处置或核销资产,是否有闲置资产,分析和查找各种闲置原因,提出合理化建议,帮助企业充分利用闲置资产,挖掘生产经营能力,促使生产力的合理配置,合理利用资源,规避资产闲置风险,为企业创造更多的经济效益。(3)随着企业客户发展量的增多,渠道规模的扩大,内部审计关注市场经营过程的有效管控,重点检查和分析营销费用的使用是否真实有效,渠道服务费是否遵循成本效益原则,提出合理化建议,防止企业因客户发展规模扩大带来的营销费用无效增加,及时杜绝营销成本的无序使用和无效性,促进公司合理配置资源,确保公司经营效益的提升。
二、新形势下进一步发挥内部审计作用的措施
1.转变审计观念,保证内审的前瞻性。先进的管理理念、管理思想的出现必然要求内部审计人员建立新的审计理念,要有创新精神。随着全面预算管理的加强,内外制约机制都会有所加强,内部管理水平相应提高,内部审计人员应积极发挥主观能动性,变被动为主动,从“差错防弊”转向为内部管理服务,从内部检查和监督向分析与评价方面转变,审计工作方式向管理和效益审计转变,加强事前事中的过程控制和风险防范以及事后的分析考核,充分发挥审计监督与服务职能。
2.完善内审组织体系,保证内审的客观独立性。独立性是内部审计的基础,是内部审计客观、公正地履行职责的保障。按照国际内部审计师协会的属性标准,内部审计活动应该独立,内部审计师在开展工作时应做到客观。它包括两方面的含义:一是机构的独立性。即审计执行主管在机构内应向能使内部审计活动实现职责的阶层报告,也就是内部审计活动在确定内部审计范围、实施审计及报告审计结果时应不受干扰。二是个人的客观性,也就是内部审计师应有公正的态度,避免利益冲突。为保证内部审计的客观性,内部审计必须对企业的决策和经营过程保持独立,内审机构必须独立于被监督者,内审业务的开展、经费的核算等不受其他部门牵制。因此,企业尤其是大型企业应当按照现代企业治理结构要求建立独立的内部审计机构。内审机构直接接受单位最高管理层的领导,对其负责并报告工作,不受其他部门和个人干预。设立董事会的企业,董事会可下设审计委员会,以加强对内部审计工作的指导和监督;尚未设立董事会的企业,审计机构应由企业主要负责人直接领导,确保内审工作的独立性和权威性。没有条件设立内审机构的企业,可配备专职内审人员,并接受企业主要负责人直接领导;也可以雇佣外部审计组织来代替内部审计,即所谓的“内审外包”。内审业务所发生的费用预算、内审机构及其主要负责人的业绩考核、职务升迁和薪酬变化由企业最高管理层直接决定,不与所监督部门发生任何利益关系。
3.加强内审制度建设,提高内审质量和作用。首先,要建立健全企业内部审计工作制度,推动内部审计工作制度化、程序化和规范化。要明确内部审计机构工作职责,完善内部审计工作制度和工作标准,明确审计内容和工作流程,规范操作程序。要重视审计规划、计划的制定和实施。运用风险评估与分析方法,确定企业各项管理和业务工作的风险程度,制定好年度审计计划。同时要认真抓好计划的实施。其次,要建立健全内审质量保证体系。包括形成规范的审计项目质量考评制度、审计人员绩效考核制度以及责任追究制度等激励制约机制,重视对内审项目的年度综合分析报告,当好管理决策层的顾问和助手。第三,要建立健全内审结果的落实制度。企业要做到审必严,责必究,及时对审计中发现的问题进行研究处理,落实整改,充分发挥审计结果的效力。要建立后续审计制度,对审计意见的落实情况进行跟踪;建立企业资产损失责任追究制度,落实经营管理责任;建立审计公告制度,提高审计的透明度和影响力。
4.加强内审队伍建设,提高内审人员整体素质。要优化内审队伍结构。随着内部审计由财务领域向经营、管理领域的拓展,内审人员的构成也应是多元化的。要在严格内审人员的从业资格的前提下,按照建立现代企业制度要求配备既懂财务又懂经营管理的高素质人才。内部机构不仅要有会计、审计专业的人才,而且还应配备精通企业各相关业务的专门人才,尤其是经验丰富的经营管理人才。要注重内审人员的素质提高。由于内审技术、相关法规及经营环境、条件等具有可变性的特点,内审人员有必要通过接受培训和教育来持续他们的专业发展。因此企业应加强对内审人员的后续教育,提供业务培训机会; 内审人员应采取业余自学和专业培训相结合方式,加快知识更新,熟练掌握审计技能,精通与审计相关的各种知识,提高自身业务素质,积极适应企业发展的内审需求。要高度重视现代科技在内审领域的运用。打破以往传统的“看听查”的手工操作模式,充分运用以微机应用和审计软件为主的计算机辅助审计技术,不断提高审计质量和效率。
5.改进内部审计的方法,提高内部审计的质量。内部审计的方法选择是否恰当关系到内部审计的质量,为此要特别重视。具体方法有两个方面:(1)明确工作目标。全面预算管理的实施必然影响到整个管理体系的改变。这就要求审计人员确定新的工作方向和目标。审计人员应将审计方向放在对单位全面预算管理的分析和评价上,对整个运作过程进行参与和监督,这种监督不应仅限于事后监督,更多的是事前预防和事中控制,对单位全面预算进行全过程、全方位的监督和评价,及时发现各个环节存在的问题。内部审计的工作重点应放在经济资源的利用、开放的有效性和管理的效率效果上,也就是指保证全面预算管理工作的科学性、合理性和有效性。(2)开展预警分析。预警分析是辅助审计部门有针对性、时效性地开展审计工作的重要工具。内部审计人员通过对各种经营和财务数据的预算完成情况分析、比对,关注数据变化的趋势,对数据异常变动进行分析和预警,建立审计预警信息平台,关注预算执行过程中的动态监控,一是关注重要的指标和数据变化情况,关注企业绩效考核重点指标的完成情况,以及主要业务、财务指标的变化情况和发展趋势。二是充分利用经营预警分析结果,跟踪分析经营发展情况,及时捕捉企业经营管理中的潜在风险问题,推进预算体系的完善和预算水平的提高。
参考文献:
1.韦文娟.新时期企业内部审计的作用和发展策略.事业财会,2007(2)
2.朱正户,占再清,杨子英.我国中央银行内部审计的现状及发展取向.武汉金融,2004(1)
3.邢夏泽,田力刚,姜士煜.人民银行“服务导向型”内部审计的发展取向.内蒙古金融研究,2009(7)
在基本建设的过程中,由于工程管理不到位,甚至出现具体建设行为违反了建设相关法律规定、法律监控不力等原因,使得基本建设结算审计管理出现问题,出现廉政风险,影响投资效益。
2基建结算中存在的主要问题
首先,在我国基本建设中,许多项目还停留在事后竣工结算审计的方式上,审计人员对项目不能深入了解,结算审核难以深入。其次,工程招标文件编制不严谨,承包合同签订不规范,造成工程量高估冒算、签证随意和计价不准确等,存在诸多结算审计方面的法律风险。再次,业主、监理单位过程管理不严,缺乏施工管理经验,甚至和承建单位串通,出现廉政风险。最后,工程竣工验收不严格,竣工结算资料提供不完整,建设单位无经济管理方面人才且相关知识缺乏,不能对工程投资进行有效监管。
3加强基建结算审计管理,确保项目资金使用安全、高效
3.1重视内部审计,节约建设资金。加强建筑工程经济知识的学习、积累,重视内审工作,防止施工方工程高估冒算、质量低劣、弄虚作假,达到加强业主内部管理的目的,防止商业贿赂现象的发生。(1)实行设计监理,进行投资、设计进度与质量控制。设计质量是建设项目总体质量的决定因素,设计阶段可能节约投资达35%以上,对工程建设投资产生关键作用。一是要重点审查设计招标文件的合规性和完整性,包括可行性报告是否已批复、土地、规划相关的各项报建手续是否齐全等;二是多方案比选,对设计进行技术经济分析、论证,统筹兼顾各专业分工与协调,在保证质量前提下开展限额设计,做到用投资估算控制初步设计,施工图预算不超概算。(2)提前介入,参与项目准备阶段的工作,特别关注投标资格预审、招标文件编制、标的的编制、评标方法、合同主要条款的合理性、规范性。(3)重视项目建设过程管理。首先,深入施工现场,熟悉施工图纸,了解施工工艺流程,掌握施工具体做法。其次,参与隐蔽工程验收、材料选用、三单签证、竣工验收,主动收集、完善工程资料,进行施工过程控制管理。
3.2加强组织管理,实施项目全过程跟踪审计。全程同步审计能有效监督建设资金筹集、管理、使用等,促进建设过程与建设程序规范,保证项目阳光运行,提高资金使用效益。(1)主管领导重视。规范结算审计程序,优化施工管理环境,有条件地建立相关部门,配备相应的基建投资内审人员;制定基建工程项目责任追究制度,责、权、利分明;同时,建立基于互联网技术的项目参与方信息反馈交流、共同工作和互动的信息门户,加强信息管理,节约建设总投资。(2)严格合同管理,明确业主、设计、监理、施工、专业审计机构等各主体的权利和责任,协调好各方的关系。发挥审计职能,正确定位项目跟踪审计职责,处理好基建审计和工程管理的关系。要熟悉工程合同内容,弄清合同条款内容及各条款之间的相互关系。按照《合同法》和有关规章,判定该合同是否有效,重点关注合同内容有无违背国家政策法规和其他规定、有无自相矛盾内容、有无明显不平等内容、合同内容有无明显漏洞或缺口(3)适时评价、持续监督和及时反馈,实现跟踪审计理念。首先,定期与不定期察看工地现场,注意原始资料积累,做好跟踪审计施工记录。对现场实际与资料不符的应以实际为准;查看施工日志的记录是否真实,项目的实施是否与气象日志矛盾、计算总量是否与监理签证一致等等;其次,对照施工图和竣工图进行变更资料审查,有效控制工程变更、洽商的发生。在施工过程中建立详尽的变更资料台账,检查三单是否制度要求操作管理,是否做到必要、及时、准确、规范,对未办理手续的变更属于结构、工艺流程等补办设计变更通知;查看签证手续特别是隐蔽部分的签证是否符合客观实际,避免审计漏项和计算差错。再次,参与材料、设备设施的采购与交验,加强协调与沟通,通过掌握的同期价格行情和本地物价统计部门公布的价格信息,对照已协商认定的主材价格,确认其合理性和真实性,必要时可抽查施工单位购货发票,对违反规定和合同条款的要进行纠正。最后,重视项目竣工后使用管理,加强项目档案资料整理、归档,监督审计决定执行情况,做好质量缺陷期和保修期的相关工作,发挥维修资金作用,保证资金使用安全。
4结语
