时间:2023-03-10 14:46:36
导语:在计算机审计论文的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
由于企业每年的审计一般是在会计年度结束后的几个月才进行的。在这段时间内,审计小组需要检查所有的会计记录。故而,需要对计算机数据保留时间做严格要求。一般而言,采用的新型计算机会计信息系统至少要将数据保留到每年的审计结束。
二、计算机会计信息工作审计的具体步骤
(一)对企业内部控制的初步审计
计算机会计信息系统比传统的手工会计信息系统复杂很多,其控制过程从对人的控制扩展到对计算机和人的控制。计算机的处理过程具有集中性、连续性,随着计算机的数据存储载体变化以及共享程度的提高,会计中财务账簿控制系统渐渐失去作用。这种情况下必须要做好对审计内部控制的加强。而企业内部控制的初步审计就是针对这种情况产生的。企业内部控制的初步审计就是审计人员初步熟悉电算化会计系统的业务流程以及企业内部控制的基本结构。从原始的数据凭证到最终的各种报表的输出,整个过程现在审计前有大致的了解。一般来说,审计人员可以与企业内部的有关人员座谈、查阅资料或者实地观察等来跟踪业务处理方法,从而了解企业审计单位信息的内部控制方式有哪些,从而有利于今后审计工作的顺利开展。
(二)对内部执行情况进行测试
完成了企业内部控制的初步审计之后,接下来就是对内部执行情况进行测试。对于一个健全的计算机会计信息系统而言,即便具有健全的内部控制机制,在实际的业务处理过程中也不一定能够被有效执行,因而必须对其内部执行情况进行测试。检查这些必要的控制制度是否在执行或者由哪个工作人员执行以及使用哪种方法执行。通过了解以上执行情况,从而把握其系统的可靠性、完备性以及可依赖程度,最终做出综合评价。同时,审计人员应该采取相应的审查文档和有关的企业工作人员进行面对面的交流,从而更好的把握系统的流程,确定实际情况与规章制度的要求差距在哪里,并确定相应的解决方案。
(三)对内部控制情况进行评价
通过对内部控制执行情况进行有效的测试之后,进而需要对内部控制情况做出详细的评价。评价过程遵循客观、公平、严格的准测。一般而言,主要从以下三个方面进行把握。第一,评价初步的审查结果,评价被审计的计算机会计信息系统中有哪些是比较满意的工作,哪些工作略显不足。第二,评价内部控制情况符合测试的案例,其具体的符合程度是多少。是否真正能够按照其要求发挥出应有的作用。第三,上述的两种情况,其可靠性有多强,是否能够真正的为计算机会计信息审计工作服务。
三、计算机会计信息工作审计的现状及改进措施
(一)当前企业计算机会计信息工作审计的现状
当前我国多数企业计算机会计信息工作的审计有一定的不足之处。首先,数据的保密性和安全性较差。这主要体现在目前多数企业的计算机会计信息对各种分散的交易数据常常会收集起来,放置于计算机的中央存储器中进行存储。这种统一的存储方式加大了数据丢失和泄露的风险。有时候由于黑客攻击等计算机遭受病毒入侵,造成了数据的泄露或者损坏,缺乏相应的安全性保护机制。其次,对于计算机会计信息工作的监督和管理力度不大。虽然现在计算机会计信息工作有相应的规章制度,但是很多时候仅仅是一种形式,而不能够真正的按照规章制度来进行。这归根结底是因为对其监控和管理的力度不大造成。最后,当前我国会计从业人员的信息化素质普遍不高。我国的许多会计从业人员对于计算机的熟练程度不够,在进行操作时实际能力更差。有些企业的相关人员对于企业的财务管理系统没法充分的掌握和理解,一旦发生风险也不知如何控制,因而极大的增加了计算机会计信息工作的难度。
(二)改进措施
针对以上这种情况,首先要做的是充分发挥审计功能,从而有效降低企业的内部控制风险。一般说来,现阶段使用的内部审计方式主要有对会计软件进行审计、对会计数据文件进行设计、对会计信息系统进行事前、事中和事后的设计等。其次,需要企业建立和完善计算机会计信息系统的操作规章制度。当前条件下,开展会计工作不能再如以前那种墨守陈规、没有变通的会计工作,而应当跟得上时代的步伐,努力适应新的经济形势,发展更加适用于企业本身的操作流程。与此同时,还需要从长远的发展看待会计工作的进行,将操作的规章作为具体的指导方针,从根本上认识和解决计算机会计信息工作审计,为会计工作的顺利开展做出一定的贡献。最后,努力提高会计从业人员的专业素养和综合素质。从严要求会计从业人员,要求其补充自身的会计知识和现代会计信息系统知识,熟练操作和使用计算机。只有真正加强了会计从业人员的专业素养和综合素质,才能真正提高其信息处理水平,才能够保证现代会计信息化系统的顺利进行。
四、结论
l、审计线索的缺乏性
在电算化会计信息系统中,原先审计所必须审查的大量书面资料都存储在磁性介质中,数据处理的全过程在计算机内运行,所需的审计线索除少数部分打印出来以外,绝大部分是审计人员不能直接看见的。虽然,管理部门从管理的角度出发,仍然保留一部分肉眼可见的审计线索,但这些有限的审计线索,无论在形式上还是在内容上都和手工系统情况下有很大不同。另外,电算化会计信息系统中的审计线索极易被销毁或修改,但又无明显痕迹,使审计发现错误的机会减少,难度增大。
2、审计内容、范围的广泛性
在对电算化会计信息系统的审计中,除了手工审计的内容外,还必须兼顾系统的开发和运行两个方面,包括系统开发各阶段的审查、系统应用程序的审查,如审查系统应用程序的处理功能是否符合会计制度和财经法纪的规定、能否正确完成各项业务的处理、程序控制是否恰当有效等。另外,除对电算化会计信息系统
进行事后审计、监督其合法性和正确性外,还提倡在系统的设计开发阶段,审计人员要对系统的开发进行事前和事中审计。审计内容、范围的广泛性要求审计人员具备相应的知识和技能,而现有很多审计人员并不具备,计算机审计风险也不可避免。
3、内部控制的巨大局限性
现代审计的一大特征就是以测试被审单位的内容控制为基础的抽样审计,内部控制制度的恰当和否直接影响会计信息的真实性和准确性。在手工会计系统中,内部控制主要从两个方面实施摘要:一是从组织形式上按财务部门经济业务的性质分为几个不同的职能组,并且各职能组的人员只负责某一特定的业务领域,也就是对工作人员进行适当的职责分离,各职能组之间互相牵制,不易出现错误和舞弊;二是在会计帐务处理组织程序上,除了要保证凭证、帐簿、报表按一定程序分由不同人员记录、编制外,还要做到帐帐核对,帐证核对、帐实核对、帐表核对,并保证其一致性。从而在很大程度上保证经济业务处理的合理性、合法性。但在电算化会计信息系统中,由于处理工具、信息载体、会计组织都发生了根本的变化,手工会计系统中原有的很多控制办法都已失去意义。电算化会计和手工会计相比,内部控制环境更复杂,甚至有些环境因素超过制度的有效控制能力;建立严格的内部控制的成本要高得多;对内部控制的评价更为困难。内部控制的更大局限性使计算机舞弊有机可乘,增加了计算机审计风险。4、会计软件的大理想性
我国会计软件从无到有、从单一业务处理到集成业务处理、从会计核算走向会计管理,确实取得了巨大成就但也有不足,非凡是针对审计,表现在下面二个方面摘要:一是很多会计软件不具备双向查询功能。在对电算化会计信息系统的审计中,会计软件应答应审计人员按照凭证一明细帐(日记帐)一总帐一报表的顺序进行双向查询,同时还应答应分别对日记帐、明细帐、总帐的期初余额、本期发生额和期末余额进行双向查询。但是目前我国绝大多数的会计软件的查询设计都是单向的,可以实现如由总帐查询明细帐,由明细帐查询凭证等过程,但当需要反问查询时往往很困难。二是会计软件不预留审计测试通道。在审计过程中,审计人员为证实业务处理的实际过程。方法,往往需要进行测试,既虚拟一笔业务输入会计软件,检查其结果和预期结果是否相符。这种方法可以有效地验证核算过程是否和设计一致。但是假如审计人员不能及时消除这些测试的影响,就可能导致会计软件系统数据的混乱。恰当的解决方法是在软件设计时为以后的审计测试留下通道,既方便审计人员的随时测试,也不会造成对整个系统数据的影响。但遗憾的是,几乎所有的会计软件都没为审计测试预留通道。会计软件的欠理想性加大了计算机审计风险。
5、审计取证的动态性
在很多大中型企业中,电算化会计信息系统天天都要结算成本和利润,进行生产动态分析,以供管理人员进行决策参考。系统假如停止运行,会给企业带来巨大的损失。因此,对电算化会计信息系统的审计,往往是在系统运行过程中动态取证。审计人员一方面要及时完成审计任务,另一方面又要不防碍和干扰被审系统的正常运行,这给审计工作带来了一定的难度,也增加了计算机审计风险。
6、审计技术的复杂性
关键词:前提;审计内容;审计程序
一、会计电算化条件下,审计工作开展的前提(一)提高电脑应用水平和审计业务素质在会计电算化条件下,审计工作能否顺利进行取决于审计人员的计算机技能、网络知识和较系统的审计理论等多方面的综合运用水平。在会计电算化条件下,不懂得电脑的审计人员因审计数据的异化就无法有效地进行审计;不懂得电算化会计系统的特点和风险就不能识别和审查其内部控制;不懂得使用计算机,就无法对计算机内存储的会计资料进行审查或利用计算机进行审计。这就要求审计人员不仅要具备会计、审计理论和会计实务知识,而且要掌握计算机和电算化会计方面的知识和技能。由于会计电算化在不断向前发展,审计人员必须经常更新知识结构,以适应新形式下新技论文术应用的企业审计工作的需要。(二)引进审计电脑辅助软件在会计电算化条件下,会计资料的归集和反映与手工处理系统时发生了巨大变化,使得传统的内部安全控制方式有所减弱,这就要求引进电脑辅助软件的应用,完善企业内部控制职能。审计电脑辅助系统较之于会计电算化系统,二者既有联系又相互独立。会计电算化系统主要是为企业内部的管理人员提供财务信息,审计电脑辅助系统主要是辅助审计人员完管理会计软件商品化通用化比较困难,只能有针对性地开发研究。但是,管理会计电算化是以财务会计电算化为基础的,因为它们的数据同源,财务会计电算化能为管理会计电算化提供所需的财会信息。因此,企业应在实现财务会计电算化的基础上不失时机地推进管理会计电算化,解决管理会计手工操作难的问题,这样才能促进管理会计在企业中的推广应用,真正实现会计的核算职能、管理职能和控制职能。同时,也为企业管理信息系统的开发奠定扎实的基础。(五)在发展电算化会计的同时更要重视对电算化审计的研究,使二者相互配合相互促进,共同发展特别在网络时代,网络技术的应用给电算化审计的发展带来了契机与挑战,网络时代审计的创新远远不应局限于审计对象、审计技术、审计业务上,应是整个审计理论框架与实务的全方位的创新。网络时代号召审计理论和实务工作者,在互联网连接起来的全球化经济中,掌握现代化信息技术(包括计算机技术、通信技术、信息处理技术),对网络时代的审计创新进行全方位的开拓,以保证与电算化会计的发展同步。(六)随着管理会计电算化的发展,财务软件智能化必将提到议事日程上来利用决策支持系统,在系统中除了设计有数据库外,还有方法库,其中预先放置了各种决策方法,可以快速运用这些决策方法处理数据库中的数据,得出在不同决策方法下的系统运行结果,从而为用户得出决策提供参考信息。从理论上未说,如果方法库中放置了足够多的方法,那么,系统便能提供足够多的决策帮助。(七)加强网络环境下电算系统的管理设立防火墙、电子密钥,采用网上公证,分高监控与操作等办法来实现系统内部的有效牵制。
三、会计电算化的发展要顺应信息时代潮流(一)会计电算化向网络化的进一步发展会计软件的网络化目前大多限于局域网,信息传输的范围小,制约电算化会计效能的发挥,未来的电算化会计将向着广域网的方向发展,信息传输范围大大增加,使会计数据的异地共享成为可能。会计电算网络化将从原来企业内部的会计信息共享,上、下级单位之间的财务信息的传递转变到与外部相关机构的信息共享、与全世界进行信息交流。网络会计环境是一个集供应商、生产商、经销商、用户和银行等机构为一体的网络体系。(二)会计电算的发展要适应电于商务发展的要求电子商务指利用计算机网络和各类电子工具进行的一切商业贸易活动。电于商务是21世纪贸易方式发展的方向:企业经济活动中的业务数据能够自主地进行双向交流,企业建设自己的电子账簿和电于银行账户划拨资金,企业采购、发货可以通过网络直接进行确认。它正以其低成本、高效率等特征吸引着大多数企业。电算化会计就是要充分利用计算机及网络技术,从不同的来源和渠道收集企业经营活动中的会计数据、会计资料,按照经济法规和会计制度的要求予以存储、加工,并生成会计信息,向企业内外部各方面传递,以帮助信息使用者改进经营管理,加强财务决策和有效控制经济活动。在网络时代,电算化会计在实现其基本目标的基础上将顺应电子商务的发展。(三)会计电算化新领域———在线财务报告在线报告是指企业在国际互联网上设置站点,向信息使用者提供定期更新的财务报告。其特点是利用国际互联网作为传播媒体,将网络页面数据采用“超文本”的形式,增强了会计信息的时效性、交互性。在线报告的出现改变了传统的财务报告顺序结构,它的各个组成部分之间建立了超链接,人们可以借助相关链接主动而迅速地搜寻所需信息,企业还可根据不同用户的要求提供更加个性化的财务报告。在线报告改变了信息披露方式。由于信息链的建立并不局限于财务信息本身,其范围可以覆盖所有与企业经营有关的方面,提高了不同信息处理部门之间信息资源共享的程度。在线报告在美国应用较为广泛,从其现有的在线报告来看,它们往往不是作为一个独立的部分出现在互联网上,而是融合于整个企业的经营情况介绍之中,与各种营销统计数据及其他非数量化信息一起向关心企业的公众展示企业的综合经营情况,有利于准确地把握企业的财务脉搏以及业务活动。总之,在线报告实现了会计信息的实时追踪,便于财务报告的需求者及时掌握相关企业的第一手资料,为本企业的理性决策提供了方便,实现了企业的在线管理,并利于会计信息系统的社会监督和政府监督。二、会计电算化条件下的审计内容电算化会计系统与手工会计系统不同,它是由会计数据体系、计算机硬件和软件以及系统工作和维护人员组成,所以电算化会计的审计内容与手工会计系统也存在着较大的差别,电算化会计审计的内容主要包括以下内容:(一)对会计电算化系统的内部控制的审计一方面是企业的内部控制能在多大程度上确保会计电算化系统中会计记录的正确性和可靠性,如输入、输出的授权控制,业务处理的审核等;另一方面是内部控制的有效执行能在多大程度上保护资产的完整性。通过以上两方面的评价,可以判断企业内部控制系统能在何种程度上防止或发现会计报表中的错误及经营过程的舞弊。(二)对会计电算化系统程序的审计会计电算化系统的核心就是会计软件,程序质量的高低直接决定了会计电算化系统整体水平的高低,在这部分里主要审计会计软件程序对数据进行处理和控制的及时性、正确性和可靠性,以及程序的纠错能力和容错能力。会计软件程序的审计可采用通过计算机审计的方法及利用计算机辅助审计中的数据转换功能的方法来完成。(三)对会计电算化系统的处理对象即会计数据的审计会计数据处理的真实性、正确性、可靠性,直接影响到会计信息的真实性、正确性和可靠性,所以这一部分的审计是至关重要的,审计人员可采用抽查原始凭证与机内凭证相对比,抽查打印日记账和机内日记账相核对等方法,同时也可采用利用计算机辅助审计软件的功能来完成审计,从而降低审计风险。三、会计电算化条件下的审计程序按照《审计法》的规定,一般审计程序可分为四个阶段,即准备阶段、实施阶段、审计结论和执行阶段、异议和复审阶段。电算化会计审计结合自身的特殊要求,运用本身特有的方法也可以分为这四个阶段。(一)准备阶段在此阶段主要是初步调查被审计单位会计电算化系统的基本状况并拟定科学合理的计划,一般包括以下主要工作。1.调查了解被审计单位电算化系统的基本情况,如电算化系统的硬件配置、系统软件的选用、应用软件的范围、网络结构、系统的管理结构和职能分工、文档资料等。2.与被审计单位签订审计业务约定书,明确彼此的责任、权利和义务。3.初步评价被审计单位的内部控制制度,以便确定符合性测试的范围和重点。4.确定审计重要性,确定审计范围。5.分析审计风险。6.制定审计计划。在审计计划中除了对时间、人员、工作步骤及任务分配等方面作出安排以外,还要合理确定符合性测试、实质性测试的时间和范围,以及测试时的审计方法和测试数据。(二)实施阶段实施阶段是审计工作的核心,也是电算化审计的核心。主要工作是根据准备阶段确定的范围、要点、步骤、方法,进行取证、评价,综合审计证据,借以形成审计结论,发表审计意见。实施阶段的主要工作应包括以下两个方面的内容。1.符合性测试。进行符合性测试应以系统安全可靠性的检查结果为前提。如果系统安全可靠性非常差,不值得审计人员信赖,则应当根据实际情况决定是否取消内控制度的符合性测试,而直接进行实质性测试并加大实质性测试的样本量。在会计电算化系统的符合性测试项目中,主要内容应该是确认输入资料是否正确完整,计算机处理过程是否符合要求。如果系统安全可靠性比较高,则应对该系统给予较高的信赖;在实质性测试时,就可以相应地减少实质性测试的样本量。2.实质性测试。实质性测试应该是对被审计单位会计电算化系统的程序、数据、文件进行测试,并根据测试结果进行评价和鉴定。进行实质性测试须依赖于符合性测试的结果,如果符合性测试结果得出的审计风险偏高,而且委托人有利用会计电算化系统进行舞弊的动机与可能,并且委托人又不能提供完整的会计文字资料,此时审计人员应考虑对会计报表发表保留意见或拒绝表示意见的审计报告。进行实质性测试时,可考虑采用通过计算机和利用计算机进行审计的方法,具体包括:(1)“测试数据法”,就是将测试数据或模拟数据分别由审计人员进行手工核算和被审计单位电算化系统进行处理,比较处理结果,作出评价;(2)“受控处理法”,就是选择被审计单位一定时期(最好是12月份)实际业务的数据分别由审计师和会计电算化系统同时处理,比较结果,作出评价。3.利用辅助审计软件直接审查会计电算化系统的数据文件。审计人员可利用通用或专用审计软件直接在会计电算化系统下进行数据转换,数据查询,抽样审计,查账,账务分析等测试,得出结论,作出评价。(三)审计结论和执行阶段审计人员对会计电算化系统进行符合性测试和实质性测试后,整理审计工作底稿,编制审计报告时,除对被审单位会计报表的合理性、公允性、一贯性发表意见,作出审计结论外,还要对被审单位的会计电算化系统的处理功能和内部控制进行评价,并提出改进意见。审计报告完成后,先要征求被审单位的意见,并报送审计机关和有关部门。审计报告一经审定,所作的审计结论和决定需通知并监督被审单位执行。(四)异议和复审阶段被审单位对审计结论和决定若有异议,可提出复审要求,审计部门可组织复审并作出复审结论和决定。特别是被审单位会计电算化系统有了新的改进时,还需组织后续审计。总的来看,随着会计电算化的快速发展,同样要加快审计电脑辅助软件的引用和应用,努力提高审计人员的会计电算化及审计电脑辅助软件的应用水平。及时地、准确地、全面地对企业的财务信息和业务信息作出审核和评价,监督企业管理和经营活动,使其得以良性运行和发展。
【参考文献】
[1]张朝晖.电算化环境下会计人员的困惑和思考[J].工业会计,2003,(5).
关键词:工程结算;审计
1审前准备工作
竣工结算审计,是在承包商上报竣工结算基础上进行的。在进行审计前,应考虑各项影响因素,做好充分准备工作。
(1)审查工程建筑各级批文,如可行性研究报告和批复,申请立项书和批复,设计、规划、土地、计划等部门审批,工程招投标过程和工程施工中文件往来。
(2)查看施工合同和协议。了解计算取费标准和调整取费标准的依据。
(3)查看竣工图纸和竣工结算书和施工组织设计或施工方案。
2审计内容
2.1审核竣工结算编制依据
编制依据主要包括:工程竣工报告、竣工图及竣工验收单;工程施工合同或施工协议书;施工图预算或招标投标工程的合同标价;设计交底及图纸会审记录资料;设计变更通知单及现场施工变更记录;经建设单位签证认可的施工技术组织措施;预算外各种施工签证或施工记录;合同中规定的定额,材料预算价格,构件、成品价格;国家或地区新颁发的有关规定。审计时要审核编制依据是否符合国家有关规定,资料是否齐全,手续是否完备,对遗留问题处理是否合规。
2.2审核工程量
(1)工程量是决定工程造价的主要因素,核定施工工程量是工程竣工结算审计的关键。审计的方法可以根据施工单位编制的竣工结算中的工程量计算表,对照图纸尺寸进行计算来审核,也可以依据图纸重新编制工程量计算表进行审计。一是要重点审核投资比例较大的分项工程,如基础工程、混凝土钢筋混凝土工程、钢结构等。二是要重点审核容易混淆或出漏洞的项目。如土石方分部中的基础土方,清单计价中按基础详图的界面面积乘以对应长度计算,不考虑放坡、工作面。三是要重点审核容易重复列项的项目。四是重点审核容易重复计算的项目。对于无图纸的项目要深入现场核实,必要时可采用现场丈量实测的方法。
(2)审核材料用量及价差。材料用量审核,主要是审核钢材、水泥等主要材料的消耗数量是否准确,列入直接费的材料是否符合预算价格。材料代用和变更是否有签证,材料总价是否符合价差的规定,数量、实际价格、差价计算是否准确,并应在审核工程项目材料用量的基础上,依据预算定额统一基价的取费价格,对照材料耗用时的实际市场价格,审核退补价差金额的真实性。
(3)审查隐蔽验收记录。验收的主要内容是否符合设计及质量要求,其中设计要求中包含了工程造价的成份达到或符合设计要求,也就达到或符合设计要求的造价。因此,作好隐蔽工程验收记录是进行工程结算的前提。目前,在很多建设项目中隐蔽工程没有验收记录,到竣工结算时,施工企业才找有关人员后补记录,然后列入结算。有的甚至没有发生也列入结算,这种事后补办的隐蔽工程验收记录,不仅存在严重质量隐患,而且使工程造价提高,并且存在严重腐败现象,因此,在审宣隐蔽工程的价款时,一定要严格审查验收记录手续的完整性、合法性。验收记录上除了监理工程师及有关人员确认外,还要加盖建设单位公章并注明记录日期,防止事后补办记录或虚假记录的发生,为竣工结算减少纠纷扫平道路,有效地控制工程造价。审查设计变更签证。设计变更应由原设计单位出具设计变更通知单和修改图纸,设计、校审人员签字并加盖公章,并经建设单位、监理工程师审查同意。重大的设计变更应经原审批部门审批,否则不应列入结算。在审查设计变更时,除了有完整的变更手续外,还要注意工程量的计算,对计算有误的工程量进行调整,对不符合变更手续要求的不能列入结算。
(4)审查工程定额的套用。主要审查工程所套用定额是否与工程应执行的定额标准相符,工程预算所列各分项工程预算定额与设计文件是否相符,工程名称、规格。计算单位是否一致。正确把握预算定额套用,避免高套、错套和提高工程项目定额直接费等问题。
(5)审核工程类别。对施工单位的资质和工程类别进行审核,是保证工程取费合理的前提,确定工程类别,应按照国家规定的规范认真核对。
(7)审查各项费用的计取。建筑安装工程取费标准,应按合同要求或项目建设期间与计价定额配套使用的建安工程费用定额及有关规定。在审查时,应审查各项费率、价格指数或换算系数是否正确,价差调整计算是否符合要求,并在核实费用计算程序时要注意以下几点:①各项费用计取基数,如安装工程间接费等是以人工费为基数,这个人工费是定额人工费与人工合调整部分之和。②取费标准的确定与地区分类工程类别是否相符。③取费定额是否与采用的预算定额相配套。④按规定有些签证应放在独立费用中,是否放在定额直接出中取的费计算。⑤有无不该计取的费用。⑥结算中是否按照国家和地方有关调整结算文件规定计取费用。⑦费用计列是否有漏项。⑧材料正负差调整是否全面、准确。⑨施工企业资质等级取费项目有无挂靠高套现象。⑩有无随意调整人工费单价。
(8)审查附属工程。在审核竣工结算时,对列入建安主体的水、电、暖与室外配套的附属工程,应分别审核,防止施工费用的混淆、重复计算。
(9)防止各种计算误差。工程竣工结等是一项非常细致的工作,由于结算的子项目多,工作量大,内容繁杂,不可避免地存在着这样或那样的计算误差,但很多误差都是多算。因此,必须对结算中的每一项进行认真核算,做到计等横平竖直。防止因计算误差导致工程价款多计或少计。搞好竣工结算审查工作,控制工程造价,不仅需要审查人员具有较高的业务素质和丰富的审查经验,还需要具有良好的职业道德和较高思想觉悟,同时也需要建设单位、监理工程师及施工单位等方面人员的积极配合。出据的资料要真实可靠,只有这样,才能使工程竣工结算工作得以顺利进行,减少双方纠纷;才能全面真实地反映建设项目合理的工程造价,维护建设单位和施工单位各自的经济利益,使目前我国的建筑市场更加规范有序地运行。2.3审核施工企业资质
严格审核施工企业的资质,对挂靠、无资质等级及无取费证书的施工企业,应降低综合单价或审计确定综合单价及造价。
2.4审核工程合同
工程合同审计是投资审计的一项重要内容,必须仔细查阅相关文件资料是否齐全、合法合规。
当双方对合同文件有异议时,国内合同按国内合同文件顺序解释,国际工程,按照FIDIC合同文件顺序解释,特别是按FIDIC条款订合同,索赔费用应重点审计。
3审计方法
审查结算方法有多种,在审计前,通过收集资料,经过论证,采取合理审查方法,可达到事半功倍的效果。
(1)逐项审查法,也称全面审查法。优点是全面、细致,审计质量高,效果好。缺点是工作量大,时间长,国内单价合同和国际合同条件下工程可采用此法。
(2)标准预算审查法。目前,因我国各地区采用标准不相同,这种方法使用范围较少,现在,在发达地区,利用这种方法,又快又准,是一项有效的方法。
(3)重点审查法。这种方法,主要适应于国内总价合同,审计重点放在变更和索赔上,特别是重点突出,审计时间短,效果好。同时,还可以利用对比审查法,“筛选”审查法,手册审查法等手段做为补充,以保证审计的准确性。
4审计步骤
(1)做好审计前准备工作。①熟悉竣工图、施工图和各种合同文件;②了解审计范围和采用标准;③明确采用单价和调整原则。
(2)选择合适审计方法,按相应内容计算。
由于工程规模不一,合同订立时间不一,施工企业不同,应对不同情况,采用不同审计方法进行审计。
[关键词]高校;基建工程;决算审计
一、高校基建工程决算审计的审计环境
(一)高校基建工程管理模式陈旧。我国多数高校基本建设采用的是原苏联模式,自行成立基建部门对项目进行管理。由基建部门委托设计单位设计、委托施工单位施工,自己进行项目有关各方面的协调、监督和管理。但是,由于每个工程建设时间、地点、条件等的不同,高校基建工程具有一定的独特性。例如,高校的基建处由于工程项目数量或种类等因素,往往经验不足,容易造成基建资金的浪费和损失。
(二)制度建设不完善,容易给学校造成损失。高校基建工程项目多为非经营性项目,主要靠国家投入资金,资金相对来说有保障,导致高校对基建工程管理制度建设重视不够。例如部分高校基建工程的内部控制制度不健全,缺乏强有力的监督和奖惩措施。在这些高校里,由于各种原因造成的工作失误,有关责任人员不承担任何责任;节约投资也没有奖励,造成有关人员对成本控制积极性不高。因而,制度上的不完善,容易造成工作人员责任心不强或积极性不高。
(三)高校审计部门权利受限。从目前的实际情况看,我国内部审计独立性并未得到充分发挥,“内部人控制”严重。我国的内审制度规定在进行内部审计时,若发现有重大问题,可向被审计单位的上级机构反映。显然,这种过分强调内部审计接受两个利益格局不同的阶层领导或称“双向领导”,是为利益格局不一致的经济主体服务,实际上超越了内部审计固有的职域,其结果是把内部审计推向了两难的境地。同样的情况也出现在高校审计部门,许多高校审计部门由于受到主管领导的控制,权利受到限制,失去或难以保持其应有的独立性和客观性。
二、高校基建工程决算审计中存在的问题
(一)基建工程中存在的问题。1.多计、重计已完工程量。有些基建工程由于工期长或由两个施工单位共同承建,就存在混淆工程界限、交点工程重复计算的现象。有的已完工程实物量与施工图计算工程量不相符;有的由于设计变更应该调整减少的工程量而在编制决算时不做调整,使工程量多计算等。2.高套定额标准,提高工程造价。有的工程高套其他地区定额、其他年度工程定额等。3.提高取费及资质级别。有的工程该取四类的自行取三类,该取三类的自行取二类,自行提高取类标准而提高工程造价;有的不按自身企业资质级别取费,个体的套集体,集体的套国营,随意提高取费标准,使工程造价提高。4.虚报材料价格或费用。有的工程用料以次充好,抬高价格;有的工程在建造过程中没有使用大型机械和特殊机械而计提费用;有的工程实际没有发生材料二次搬运而自设自取;有的工程不需要抢时间、抢进度,而故意夜间施工增加费用等。5.隐蔽工程偷工减料。有的工程在决算中通过故意虚增基础土方的开挖量、石方混凝土的充填量、垫层的厚度等方式来增加费用。
(二)重视事后控制,忽视事前和事中控制。长期以来高校基建工程审计已形成事后控制的传统习惯,通过对基建工程完工后提供的各种资料来进行工程决算,但往往是“木已成舟”,已经造成的工程超预算或者工程差错的现象无法挽救,这是忽视事前和事中控制的结果。对于这种问题,一方面可能是承包方在招投标环节弄虚作假,虚高要价;另一方面可能是少数部门和个人为谋私利,故意在工程进行中变更增加项目。如果有了对高校基建工程的事前和事中控制,则可减少这种现象的发生[1]。
(三)项目变更存在漏洞。由于高校基建工程有许多的自身特点,工程价值量大,特殊要求多,工程变更也就很多,施工合同普遍存在着内容不完善、施工单位算计建设单位的问题。有的高校利用工程变更,通过不正当手段,使工程造价大幅度提高;有的建设单位与施工单位关系密切,不应发给的签证也给签;有的施工单位利用建设单位基建人员不懂基建管理和工程管理,提出一些不合理的变更签证;有的监理单位的监理工程师不是站在公正的立场上,而是按施工单位要求随意签发签证。这些不合理的工程变更会给不法分子造成可乘之机。
(四)工程监理不完善。目前工程监理存在的主要问题有:一是有些监理机构和人员素质不高,对施工质量不负责任,而是按照施工单位的要求随意签发变更签证,增加投资;二是对监理机构和人员的资质评审和监督不严格,赋予监理单位的权力也不够;三是有些高校没有实行工程监理制度。工程监理的不完善影响了高校基建工程决算审计,增大了审计难度。
三、加强高校基建工程决算审计工作的对策措施
(一)加强高校基建工程内审工作建设。一方面加强基建审计制度建设,各高校应按照《审计机关国家建设项目审计准则》和本地建设工程造价管理办法的要求,结合本单位实际,建立健全规章制度,例如:审计风险约束机制、审计项目质量责任制、审计工作质量考评体系和奖惩制度。使审计可以做到有章可循,严格按照规章制度办事,减少和避免各种错误的发生[2]。另一方面加强基建审计队伍建设,各高校应按照《审计法》、《审计署关于内部审计工作的规定》等法规的要求,建立健全内审机构,配备专业技术人员。基建工程预决算是一项专业性很强的工作,承担基建审计的人员不仅应具备会计、审计和基建预决算的知识,还要掌握经济、法律等多种专业知识,为此要不断加强基建审计人员的培训,积极参与基建审计的经验交流和理论研究,为审计人员整体水平的提高提供平台。同时,要注重提高审计人员的计算机的运用能力,实现计算机辅助审计,从而提高审计效率。
(二)找准参与工程造价监督的切入点和掌握好参与度。审计部门应把握住自身在基建活动中的角色,界定自己的活动范围,保持独立性。为发挥内审的管理功能,审计人员必须找准参与工程造价监督的切入点和掌握好参与的度,这个问题处理好了能使审计工作顺利高效地进行,处理不好会失去审计工作的独立性。因而应做到:与管理部门合作,主要对单位年度基本建设计划、建筑工程项目的可行性研究进行审查,可行性研究工作对整个基建项目的效益、质量有长远的影响,是内审部门把关的重点;与单位财会部门合作,主要对工程各项前期费用、工程建设中的工程预付款拨付情况及工程竣工后的工程款结算情况、资产入账情况进行审查;与单位基建部门合作,主要对大中型基建工程的设计变更、工程变更的合理性、真实性及有关手续的完备性进行审查,必要时会同基建部门进行现场勘查核实;与工程验收部门的合作,主要监督项目的验收是否合规,验收工作是否认真、严格,以杜绝验收工作流于形式、弄虚作假。
(三)重点加强对工程变更签证的控制。对工程变更签证的控制直接影响建筑工程成本的高低。对变更签证把关紧一些,工程成本可能低一些,反之,建筑工程成本就可能偏高。在施工过程中,由于设计不是尽善尽美,或是甲方原因,局部工程内容要求进行变更。按常规,大的变更内容要经过设计部门出具变更通知书,小的变更内容要经过甲方代表和项目监理签字认可。每一个工程都存在着变更问题,三边工程(边设计、边施工、边修改)的变更就更多了。因此必须注意审查变更签证是否符合有关规定、手续是否齐全及内容是否清楚。
(四)实行全过程跟踪审计。全过程跟踪审计是由事后审计向事前、事中审计的跨越,是现代审计的发展方向,它有利于基建工程的造价控制,也为基建工程的决算审计打好基础。跟踪审计包括从工程招投标到工程完工的各个环节。在施工过程中进行跟踪审计,对影响工程造价的每个环节,进行实地勘察,为审计结算工作提供确凿资料,而且工程决算审计的质量与了解现场的施工条件、施工方法、施工机械有关的变更签证项目等有密切的联系。而要如实地知道这些情况,不仅要依靠提供的工程资料,而且要深入施工现场。目前,甲乙双方之所以在工程结算时,经常发生争议,很多方面就是因为没有进行跟踪审计,收集不到准确情况,而提供的资料又常被认为不实。只有实行跟踪审计,充分掌握了第一手资料,才能准确掌握工程过程中的各种信息,减少与施工单位的矛盾和纠纷,加快决算审计速度,提高经济效益;才能从源头上堵塞漏洞,减少工程的高估、冒算,防患于未然;才能完善基建项目体制,构建全过程立体式项目控制机制;才能使原来现场乱签证问题和资料收集不及时、不齐备问题得到彻底根治[3]。
(五)加强对监理单位控制。高校可以委托监理单位从可行性研究、设计、施工准备到施工、中间验收和竣工验收的全过程监理,也可以只将其中部分阶段和步骤委托给监理单位。高校必须做好充分调查研究,了解拟参加招标竞争的监理单位的基本情况,选择合理的监理单位和监理工程师。在签订监理合同时,必须明确监理单位的权利和义务,把决算审减与监理公司的经济利益挂钩,并适当增加奖惩条款,促使监理单位通过科学管理,保证对工程建设投资、进度、安全、质量四大系统实行全过程的控制,正确处理投资、进度、安全、质量之间关系。
(六)确保提高高校基建工程的审计质量。对于高校基建工程的审计质量问题,应由上级主管部门负责安排审计的,应安排质量好、信誉高的社会审计机构,并与之签订协议,要求该社会审计机构做到审计质量高、审计费用低;对学校自行管理的审计项目的审计质量,上级主管部门应进行定期或不定期检查。[
参考文献
[1]李忠渝.高校基本建设内部控制存在的问题及对策研究[J].西南农业大学学报(社会科学版),2007(5):154-157.
随着会计电算化在会计领域中的发展趋势,不仅加强了会计内部控制,使得会计信息的处理速度提高,同时也对审计工作的顺利完成有着重要的作用。
1.对审计线索的作用
在传统的会计记账中均采用纸张的形式对各种会计资料进行登记及存储。审计人员通过对这些纸面信息的查阅搜集审计线索、完成审计工作。会计电算化条件下,会计人员只需要将会计信息输入到计算机中就能完成大量的信息处理工作。对于大多数审计人员来讲,由于作为审计线索和凭证的原始数据经过了计算机的数据盘查和信息处理,从而大力加强了漏洞查找、查错、防弊等审计工作的有效开展。
2.对审计内容的作用
会计电算化的信息系统环境十分复杂,使得审计内容相应改变。审计的顺利完成需要流程图及数据测试,而执行数据文件中主要依靠计算机软件的运行和审计电算化、会计信息系统的开发过程等方面。
3.对审计人才的作用
审计工作任重而道远。因此,审计人员不仅需要具备相关的审计基础性理论知识,而且要了解和掌握计算机及会计处理系统操作等方面的知识。在会计电算化环境下,审计部门应该兼具审计人才、计算机人才、系统分析人才、系统操作人才等复合型人才队伍,这样才能更好的完成审计工作。
二、会计电算化下审计工作的建议
1.不断健全审计准则和标准
“无规矩不成方圆”,审计工作的顺利完成离不开审计制度的约束。时展变化快,旧的审计准则难以满足新形势的会计需求。因而不断健全相关审计制度势在必行。在会计电算化系统设计过程中对审计线索的保留和存储也极为重要。例如:每一笔经济业务都应该详细记录并保留下来;系统中的某些暂存文件,超过一定时间段后就应该立即处理;对于审计需要的文件,应及时进行备份等。
2.加强事前和事中审计
会计电算化以信息系统软件的应用作为衡量标准。基于会计电算化环境下,不仅审计中要对信息系统软件应用考虑周全,还要重视对系统设计、开发阶段的审计。通过对事前、事中审计的落实,有利于协调审计与会计职能之间的联系,从而提高审计工作的效率和水平。因此,审计人员应该进行软件开发应用等方面知识的学习,对系统的设计和开发进行监督。保证审计和会计信息系统应用之间的协调性。事前和事中审计工作内容主要包括:是否严格按照相关开发控制标准进行整个信息系统的设计和开发;信息提供的管理制度和安全保密措施是否健全;信息系统是否建立了及时防止会计人员对信息有意的舞弊或偶然失误情况下的相应措施;信息系统的操作是否实用合理、功能是否完善、能否满足用户管理及数据处理的要求;信息系统的数据处理方法、处理流程应该与我国会计纪律、法规的规定相符合等。
3.培养复合型财务审计人才
由于会计电算化系统的复杂性和技术性,审计工作的开展面临了巨大的挑战。审计人员不仅需要具备审计、财务等方面的基础知识和基本技能,还要掌握相关的计算机应用技术。当下,应该对审计人员进行审计软件操作、计算机应用等方面知识及能力的培养,促使审计人员能够熟悉会计电算化的环境,快速、准确的进行信息查阅、提取、审核,保证审计工作的有效开展;同时,学校方面应该注重复合型财务审计人才的培养,在会计、财经、管理类专业的日常教学计划中,应该加入计算机内容的教学,促进我国审计工作的可持续发展。
三、结语
摘要:从系统的、整体的、动态的角度,参照国家对主机审计产品的技术要求和对部分主机审计软件的了解,结合实际的终端信息安全管理需求,从体系架构、安全策略管理、审计主机范围、主机行为监控、综合审计及处理措施等方面提出主机审计系统的设计思想,达到对终端用户的有效管理和控制。
关键词:网络;安全审计;主机审计;系统设计
1引言
随着网络与信息系统的广泛使用,网络与信息系统安全问题逐渐成为人们关注的焦点。
网与因特网之间一般采取了物理隔离的安全措施,在一定程度上保证了内部网络的安全性。然而,网络安全管理人员仍然会对所管理网络的安全状况感到担忧,因为整个网络安全的薄弱环节往往出现在终端用户。网络安全存在着“木桶”效应,单个用户计算机的安全性不足时刻威胁着整个网络的安全[1]。如何加强对终端用户计算机的安全管理成为一个急待解决的问题。
本文从系统的、整体的、动态的角度,参照国家对安全审计产品的技术要求和对部分主机审计软件的了解,结合实际的信息安全管理需求,讨论主机审计系统的设计,达到对终端用户的有效管理和控制。
2安全审计概念。
计算机网络信息系统中信息的机密性、完整性、可控性、可用性和不可否认性,简称“五性”,安全审计是这“五性”的重要保障之一[2]。
凡是对于网络信息系统的薄弱环节进行测试、评估和分析,以找到极佳途径在最大限度保障安全的基础上使得业务正常运行的一切行为和手段,都可以叫做安全审计[3]。
传统的安全审计多为“日志记录”,注重事后的审计,强调审计的威慑作用和安全事件的可核查性。随着国家信息安全政策的改变,美国首先在信息保障技术框架(IATF)中提出在信息基础设置中进行所谓“深层防御策略(Defense2in2DepthStrategy)”,对安全审计系统提出了参与主动保护和主动响应的要求[4]。这就是现代网络安全审计的雏形,突破了以往“日志记录”
等浅层次的安全审计概念,是全方位、分布式、多层次的强审计概念,符合信息保障技术框架提出的保护、检测、反应和恢复(PDRR)动态过程的要求,在提高审计广度和深度的基础上,做到对信息的主动保护和主动响应。
3主机审计系统设计。
安全审计从技术上分为网络审计、数据库审计、主机审计、应用审计和综合审计。主机审计就是获取、记录被审计主机的状态信息和敏感操作,并从已有的主机系统审计记录中提取信息,依据审计规则分析判断是否有违规行为。
一般网络系统的主机审计多采用传统的审计,系统的主机审计应采用现代综合审计,做到对信息的主动保护和主动响应。因此,网络的主机审计在设计时就应该全方位进行考虑。
3.1体系架构。
主机审计系统由控制中心、受控端、管理端等三部分组成。管理端和控制中心间为B/S架构,管理端通过浏览器访问控制中心。对于管理端,其操作系统应不限于Windows,浏览器也不是只有IE。管理端地位重要,应有一定保护措施,同时管理端和控制中心的通讯应有安全保障,可考虑隔离措施和SHTTP协议。
主机审计能够分不同的角色来使用,至少划分安全策略管理员、审计管理员、系统管理员。
安全策略管理员按照制定的监控审计策略进行实施;审计管理员负责定期审计收集的信息,根据策略判断用户行为(包括三个管理员的行为)是否违规,出审计报告;系统管理员负责分配安全策略管理员和审计管理员的权限。三员的任何操作系统有相应记录,对系统的操作互相配合,同时互相监督,既方便管理,又保证整个监控体系和系统本身的安全。控制中心是审计系统的核心,所有信息都保存在控制中心。因此,控制中心的操作系统和数据库最好是国内自己研发的。控制中心的存储空间到一定限额时报警,提醒管理员及时备份并删除信息,保证审计系统能够采集新的信息。
3.2安全策略管理。
不同的安全策略得到的审计信息不同。安全策略与管理策略紧密挂钩,体现安全管理意志。在审计系统上实施安全策略前,应根据安全管理思想,结合审计系统能够实现的技术途径,制定详细的安全策略,由安全员按照安全策略具体实施。如安全策略可以分部门、分小组制定并执行。安全策略越完善,审计越彻底,越能反映主机的安全状态。
主机审计的安全策略由控制中心统一管理,策略发放采取推拉结合的方式,即由控制中心向受控端推送策略和受控端向控制中心拉策略的方式。当安全策略发生更改时,控制中心可以及时将策略发给受控端。但是,当受控端安装了防火墙时,推送方式将受阻,安全策略发送不到受控端。由受控端向控制中心定期拉策略,可以保证受控端和控制中心的通讯不会因为安装个人防火墙或其他认证保护措施而中断。联网主机(服务器、联网PC机)通过网络接收控制中心的管理策略向控制中心传递审计信息。单机(桌面PC或笔记本)通过外置磁介质(如U盘、移动硬盘)接收控制中心管理策略。审计信息存放在主机内,由管理员定期通过外置磁介质将审计信息传递给控制中心。所有通讯采用SSL加密方式传输,确保数据在传输过程中不会被篡改或欺骗。
为了防止受控端脱离控制中心管理,受控端程序应由安全员统一安装在受控主机,并与受控主机的网卡地址、IP地址绑定。该程序做到不可随意卸载,不能随意关闭审计服务,且不影响受控端的运行性能。受控端一旦安装受控程序,只有重装操作系统或由安全员卸载,才能脱离控制中心的管理。联网时自动将信息传到控制中心,以保证审计服务不会被绕过。
3.3审计主机范围。
信息系统中的主机有联网主机、单机等。常用操作系统包括Windows98,Windows2000,WindowsXP,Linux,Unix等。主机审计系统的受控端支持装有不同操作系统的联网主机、单机等,实现使用同一软件解决联网机、单机、笔记本的审计问题。
根据国家有关规定,信息系统划分为不同安全域。安全域可通过划分虚拟网实现,也可通过设置安全隔离设备(如防火墙)实现。主机审计系统应考虑不同安全域中主机的管理和控制,即能够对不同网段的受控端和安装了防火墙的受控端进行控制并将信息收集到控制中心,以便统一进行审计。同时能给出简单网络拓扑,为管理人员提供方便。
3.4主机行为监控。
一般计算机使用人员对计算机软硬件尤其是信息安全知识了解不多,不清楚计算机的安全状态。主机审计系统的受控端软件应具有主机安全状态自检功能,主要用于检查终端的安全策略执行情况,包括补丁安装、弱口令、软件安装、杀毒软件安装等,形成检查报告,让使用人员对本机的安全状况有一个清楚的认识,从而有针对性地采取措施。自检功能可由使用人员自行开启或关闭。检查报告上传给控制中心。
主机审计系统对使用受控端主机人员的行为进行限制、监控和记录,包括对文档的修改、拷贝、打印的监控和记录,拨号上网行为的监控和记录,各种外置接口的禁止或启用(并口、串口、USB接口等),对USB设备进行分类管理,如USB存储设备(U盘,活动硬盘)、USB输入设备(USB键盘、鼠标)、USB2KEY以及自定义设备。通过分类和灵活设置,增强实用性,对受控主机添加和删除设备进行监控和记录,对未安装受控端的主机接入网络拒绝并报警,防止非法主机的接入。
主机审计系统对接入计算机的存储介质进行认证、控制和报警。做到经过认证的合法介质可以从主机拷贝信息;未通过认证的非法介质只能将信息拷入主机内,不能从主机拷出信息到介质内,否则产生报警信息,防止信息被有意或者无意从存储设备(尤其是移动存储设备)泄漏出去。在认证时,把介质分类标识为非密、秘密、机密。当合法介质从主机拷贝信息时,判断信息密级(国家有关部门规定,信息必须有密级标识),拒绝低密级介质拷贝高密级信息。
在认证时,把移动介质编号,编号与使用人员对应。移动介质接入主机操作时记录下移动介质编号,以便审计时介质与人对应。信息被拷贝时会自动加密存储在移动介质上,加密存储在移动介质上的信息也只能在装有受控端的主机上读写,读写时自动解密。认证信息只有在移动介质被格式化时才能清除,否则无法删除。有防止系统自动读取介质内文档的功能,避免移动介质接在计算机上(无论是合法还是非法计算机)被系统自动将所有文档读到计算机上。
3.5综合审计及处理措施。
要达到综合审计,主机审计系统需要通过标准接口对多种类型、多个品牌的安全产品进行管理,如主机IDS、主机防火墙、防病毒软件等,将这些安全产品的日志、安全事件集中收集管理,实现日志的集中分析、审计与报告。同时,通过对安全事件的关联分析,发现潜在的攻击征兆和安全趋势,确保任何安全事件、事故得到及时的响应和处理。把主机上一个个原本分离的网络安全产品联结成一个有机协作的整体,实现主机安全管理过程实时状态监测、动态策略调整、综合安全审计、数据关联处理以及恰当及时的威胁响应,从而有效提升用户主机的可管理性和安全水平,为整体安全策略制定和实施提供可靠依据。
系统的安全隐患可以从审计报告反映出来,因此审计系统的审计报告是很重要的。审计报告应将收集到的所有信息综合审计,按要求显示并打印出来,能用图形说明问题,能按标准格式(WORD、HTML、文本文件等)输出。但是,审计信息数据多,直接将收集的信息分类整理形成的报告不能很好的说明问题,还应配合审计员的人工分析。这些信息可以由审计员定期从控制中心数据库备份恢复。备份的数据自动加密,恢复时自动解密。审计信息也可以删除,但是删除操作只能由审计员发起,经安全员确认后才执行,以保证审计信息的安全性、完整性。
审计系统发现问题的修复措施一般有打补丁、停止服务、升级或更换程序、去除特洛伊等后门程序、修改配置和权限、专门的解决方案等。为了保证所有主机都能得到有效地处理,通过控制中心统一向受控端发送软件升级包、软件补丁。发送时针对不同版本操作系统,由受控端自行选择是否自动执行。因为有些软件升级包、软件补丁与应用程序有冲突,会影响终端用户的工作。针对这种情况,只能采取专门的解决方案。
在复杂的网络环境中,一个网往往由不同的操作系统、服务器,防火墙和入侵检测等众多的安全产品组成。网络一旦遭受攻击后,专业人员会把不同日志系统里的日志提取出来进行分析。不同系统的时间没有经过任何校准,会不必要地增加日志分析人员的工作量。系统应提供全网统一的时钟服务,将控制中心设置为标准时间,受控端在接收管理的同时,与控制中心保持时间同步,实现审计系统的时间一致性,从而提供有效的入侵检测和事后追查机制。
4结束语
系统的终端安全管理是一个非常重要的问题,也是一个复杂的问题,涉及到多方面的因素。本文从体系架构、安全策略管理、审计主机范围、主机行为监控、综合审计及处理措施等方面提出主机审计系统的设计思想,旨在与广大同行交流,共同推进主机审计系统的开发和研究,最终开发出一个全方位的符合系统终端安全管理需求的系统。
参考文献:
[1]网络安全监控平台技术白皮书。北京理工大学信息安全与对抗技术研究中心,2005.
预算编制是一项综合性较强的工作,其包括最资源的优化分配,还包括预算管理、财务管理以及财政平衡等,做好预算编制工作,可以使电力企业更快的实现财政工作目标,使财政正能得到充分的发挥。我国电力行业中,财政预算与预算执行的结果有很大差异,这也使得财政部门与企业其他部门出现了较大矛盾,而且财政预算编制也存在不规范问题,企业的审计监督也存在执行力不足的问题。开展预算编制审计,可以有效的解决这一问题,还能使财政部门编制出现的预算草案更加规范、合理,使预算的结果更加权威性。为了使预算编制审计更好的发挥效用,电力部门的相关人员必须提高对编制审计工作的重视度,这也才能为细化编制打好基础,还能增加预算的约束力。有的单位对预算编制的制定比较粗略,而编制预算收支时,预算的科目并没有细化,编制人员一般会将部门的各项收入以及预算进行统一上报,而审批人员一般只按经费、公用经费以及专项经费进行批复,对预算支出的科目没有进行细化,而且也没有按照相关要求对预算编制报告进行审批,使的预算缺乏约束力,也无法对预算执行情况进行科学合理的审核。对电力工程进行预算编制审计,可以体现编制的严谨性,还能有效的控制经费支出。预算编制中经常采用的方法是基数加增长,这种方法是对于项目编制增量的预算,而且各部门经费的数量,主要是取决于原来的基数,是一种对比的概念,而且会使刚性支出大大增加,对资金使用的效益并不关注,这种方法具有一定的弊端,通过预算编制审计,可以更好的促进零基预算的推广,降低基数对编制效果的影响,还能有效提高预算支出的收益回报率。
2.电力工程预算编制审计中存在问题
2.1预算编制程序过于陈旧我国一些电力工程中,采用的预算编制程序比较陈旧,而且制度的细化程度以及约束力不强。很多预算编制工作程序都是从中央财政下发的,电力工程的种类比较多,传统的预算编制文件灵活性不强,如果按照相关文件直接进行预算编制,则会出现集中编制的现象,而且并未将预算编制列为财政工作中的项目。电力工程中的很多部门,还采用基数加增长的方式进行预算编制,这种方法对资金的分配并不合理,而且缺乏统一的标准,不同部门对经费的需求,并不与经济收益成正比,而且取决与原来的基数,对于部门的实际工作联系不大。长期采用这种编制方法,会使预算支出与实际出现较大误差,还会降低经费的利用率,造成预算编制不完整等问题,不利于电力工程的长期发展。
2.2预算编制数据的偏离度过大在有的电力工程中,预算编制审计的方法存在一定问题,使得预算编制数据出现了加大的偏差,这会使预算出现较大的变动,在追加税收预算金额时,会降低预算的严谨性,使预算编制缺乏实际的意义,这也不利于对政府部门对经济发展计划的规划。出现这类问题,与税收预算变动有一定关系,还与政府部门预留过多的资金有关。有的地区,政府追加税收的频率过于频繁,使得预算编制缺乏约束力,这一现象不利于审计工作,而且增加了预算编制的随意性,容易滋生腐败问题。2.3缺乏有效的监督制约机制我国电力建设的预算体系与资金管理缺乏有效的联系,使得电力工程的预算编制审计缺乏自我约束的能力以及监督约束的机制。电力市场以前处于计划经济环境下,上报主管部门审定批准后工作即告结束,在这种情况下,往往是主管部门或所谓的项目法人叫怎么编就怎么编,预算结果无人考核和监督。
3.完善电力工程预算编制审计的建议
3.1制定和完善预算和预算编制审计的法律和规定在现有的审计法规中,没有直接和具体涉及预算和预算编制审计的内容,也就是说这项审计缺乏充分的法规依据。而审计实践的发展和需要是审计法规制定和调整的基础因此,目前一项重要的工作是建立健全预算和预算编制审计法规在这方面,应循序渐进,待时机成熟再将有关内容充实到审计法律、规定中去。
3.2确定预算和预算编制审计的基础目标和主要内容预算和预算编制审计的基本目标是合法性、科学性(合理性)和完整性。所谓合法性是指预算编制是否符合国家法律、法规、政策的规定和有关原则。科学性(合理性)即是否对预算收入的增长进行了科学的预测,支出的安排是否符合经济和社会发展的实际,能否在现有财力的基础上满足公共需要,资金分配的标准是否合理,预算支出结构是否优化,预算编制方法是否科学完整性是指预算收入和预算支出的内容是否完整。预算和预算编制审计的主要内容有,预算编制是否符合《预算法》等法律法规,是否坚持了量人为出、收支平衡的原则等。
3.3建设预算管理系统建设预算管理系统应从资金的使用和控制2个方面确定完善的管理层次和监督程序,建立企业内部完整一致的造价控制及监督约束机制,明确各方责任。在技术上,运用计算机网络技术,建立建设预算管理系统,同建设预算编制方法系统相结合,设置同计划、财务、物资、施工等部门的网络接口,同时完善部门管理职能,利用资金使用的反馈累计和限额预警系统,对投资使用进行有效的帐户式分类管理,并按照社会主义市场经济规律建设预算管理系统。
4.结语
关键词:电算化;会计信息系统;内部控制;控制活动
一、会计电算化环境下对控制活动的影响
1、内部控制的定义及要素
所谓的内部控制,是指企业为了保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法,完整而制定和实施的政策与程序。它包含控制环境、风险评估、控制活动、信息沟通和监督五个要素。
2、电算化环境对控制活动的影响
实现会计电算化后,许多传统的管理控制方式消失了,而代之以新的方式,给企业内部控制的控制活动带来了许多前所未有的新问题,造成了极大的冲击,电算化环境对控制活动的影响有:
(1)控制范围扩大。在传统的手工会计工作环境下,内部控制的原则是:职务相分离,职权不相容,不同的工作人员在各自确定的工作领域内工作,各司其职,各级主管依照相应的制度进行严格的监督。在电算化会计环境下,授权控制是最主要的组织原则。内部控制的形式已经由原来的制度控制转变为制度控制和程序软件控制。
(2)处理方式发生了变化。在电算化会计环境下,只需录入原始数据或通过外部系统转入记账凭证并在计算机财务软件的指导下进行会计分录,通过凭证的审核、修改、确认由计算机自动完成打印输出,科目汇总、借贷平衡等工作均由计算机自动完成,同时可以根据需要生成会计报表。大大降低了财务人员的工作量,也避免了计算加总等工作出现的错误。
(3)记录方式和保存介质的变化带动控制活动的变化。在电算化会计工作环境下,数据保存介质是磁盘,磁性介质。磁性介质的保存除了需要纸介质保存所需的部分工作外,还要进行防病毒、防磁化等工作。由于磁盘存在着物理易损性,需要对磁盘进行备份工作。
二、当前电算化环境下控制活动存在的问题
会计电算化系统取代传统的手工会计系统将是一种趋势。但与传统的手工会计系统相比还存在着许多问题,具体表现在以下几个方面:
1、职务相分离,职权不相容原则的重要性下降
电算化后,职务相分离,职权不相容这一原则的重要性下降甚至得不到遵循。由于系统操作的高度集中,许多岗位可以合并,许多手续合并到计算机统一执行,会计工作人员大大减少,从而使一些不相容的职务得不到分离,降低了工作人员相互牵制的效力。
2、会计电算化系统授权存在安全隐患
会计电算化系统授权方式是口令授权,口令授权存在于计算机系统内部。口令对于稍懂计算机操作知识的人来说根本算不上什么秘密,因为可以绕过财务软件的相关控制措施,通过打开计算机财务数据库进入财务报表等系统,则所有的财务秘密均可见。同时,业务人员可以利用特殊的文件或口令,获得某种权利或运行特定程序进行业务处理,从而给企业造成经济损失。
3、会计电算化系统数据执行主体和保存介质存在安全隐患
会计电算化系统数据执行主体是计算机。一旦硬件系统出现故障或因停电等其它非人为原因,将导致数据不能被处理,会计工作不能进行。一旦软件质量出现问题将会影响到数据处理的准确和速度。一旦程序中出现严重的病毒,将会严重危害系统的安全,若不能及时排除病毒很有可能扩大损失。会计数据主要保存在计算机的磁盘或者外在软盘、光盘中,一旦磁介质由于受热、受潮、折损等原因出现损坏,保存的会计数据将会丢失,如果没有相关备份的话,将给会计电算化系统造成严重的损失,严重的影响到企业的会计工作。磁性介质以磁信号存储信息,如果数据被人为恶意修改不会留下任何痕迹。
4、网络环境带来的新问题
网络环境是一个开放的环境,在这个环境下,任何信息在理论上都有可能被访问到。会计电算化系统下,会计信息通过物理通信线路传输存在着很大的安全隐患。网络信息很有可能在传输过程中被非法拦截或者被人为篡改;网络中存在的病毒和网络“黑客”的侵袭都可能给网络环境下的会计电算化系统带来危害。
电子商务给内部控制出难题。随着电子商务的迅猛发展,网上交易愈加普遍,可以想象在不久后企业的全部原始凭证都将成为数字格式,这加强了企业对网上公证机构的依赖。
内部稽核难度加大。若要信息系统进行审核,则必须克服下列几项问题:企业可能会担心相关内部资料暴露于外,影响其竞争能力;稽核必须运用更复杂的查核技术,会计师必须培训具备复杂电脑资料处理能力,定能胜任此项工作;稽核将大幅增加查核所需的时间与成本。
网络环境下无形资产转移难以控制。知识经济形成后:会计控制的客体发生了变化,由部分有形资产转移到了无形资产。实务经济形态中的各种有形资产是一种静态资产,只有借助外界的力量才能转移。但无形资产是一种动态资产,如人力资产的转移无须借助外界的力量即可发生,在利益机制的驱使下在网上很容易转移。
5、会计电算化系统下差错的重复性和蔓延性
传统手工会计系统下,由于数据处理环节相对分散,一个环节数据出现错误,下一个环节还可以发现并更正。但是,会计电算化系统数据处理集中化、自动化,数据可以转入、拷贝,因此一个业务的数据错误往往会重复出现几次,从一个环节蔓延至其它环节,导致整个系统数据失真,使得错误的严重性加大。
三、加强和完善会计电算化系统内部控制的若干对策
会计电算化系统的内部控制是内部审计工作的一部分,也是企业经营管理的重要环节,内部控制的好坏成败将决定着企业经营管理的得失成败。
1、加强和完善会计电算化系统的内部控制制度
(1)加强会计电算化系统业务人员组织控制。在会计电算化系统环境下,对各类会计岗位进行重新的划分,在授权过程中运用内部审计,按照责、权、利相结合原则明确系统内各类人员的职责、权限,建立健全岗位责任制。(2)加强会计电算化系统操作和维护控制。会计电算化系统操作和维护控制主要是通过制定一套完整而严格的操作和维护规程来实现的。规程应包括操作的具体流程,各环节的主要分工和职责,注意事项,维护的时间和方面,维护的程序等内容。
(3)加强会计电算化系统档案管理。会计电算化系统在处理业务时所产生的各种账簿、报表、凭证均应由专人管理,并制定相应的管理制度。磁性介质必须及时进行备份,并做好防止计算机病毒侵袭的工作。所有财务档案均应做好放火、防潮、防尘、防盗等工作,并定期盘点整理。磁性介质还要进行防磁工作。
2、加强会计电算化系统业务操作的控制
会计电算化系统业务操作主要包括数据的输入、数据的处理和数据的输出。对数据的输入、处理、输出过程的控制是保证会计核算系统有效的关键。只有经过核准的会计业务经过正确的输入,进恰当的处理和运行,并及时的输出,会计核算系统才能实现自身的目标。
此外,凭证格式标准化控制、凭证顺序号控制、凭证审核控制、重复输入控制、对应科目合法性控制、保留审计线索控制,修改痕迹控制、数据备份控制等都是会计电算化系统的输入控制、处理控制、输出控制的有效方法。
四、电算化环境下内部控制的变化对审计的影响
会计电算化的实施,大大提高了会计信息处理的速度和准确性,能为用户提供及时、准确的会计信息,是会计事业发展史无前例的飞跃。但在这个飞跃也给审计工作带来很大的影响。
1、审计线索的变化
在电算化会计系统中,传统的账簿没有了,绝大部分的文字记录消失了,代之的是存有会计资料的磁盘等,这些磁性介质上的信息是以机器可读的形式存在的,肉眼不能识别。此外,从原始数据进入计算机,到财务报表的输出,这中间的全部会计处理集中由计算机按程序指令自动生成,传统的审计线索在这里中断了、消失了。
2、审计内容的变化
在会计电算化条件下,审让的监督职能虽然没有改变,但审计内容却发生了变化。在电算化会计信息系统中,会计事项由计算机按程序自动进行处理,如果系统的应用程序出错或被非法篡改,则计算机只会按给定的程序以同样错误的方法处理所有的有关会计事项,系统就可能被地嵌入非法的舞弊程序,不法分子可以利用这些舞弊程序大量侵吞企业的财物。在会计电算化条件下,审计人员要花费较多的时间和精力来了解和审查计算机系统的功能,以证实其处理的合法性、正确性和完整性,保证系统的安全可靠。
3、审计技术的变化
在手工会计处理的条件上审计可根据具体情况进行顺查、逆查或抽查。审查一般采用审阅、核对、分析、比较、调查和证实等方法。所有审查工作都是由人工完成的。在会计电算化条,件下,会计的特点决定了审计的内容和技术的改变。虽然人工的各种审查技术仍是很重要的,但计算机辅助审计是必不可少的审计技术。
信息处理的电算化和信息存贮的电磁化,如果没有全部打印输出纸质的账表文件,磁性介质上的会计资料是肉眼所不能识别的,审计人员只能利用计算机对它进行审查。即使系统的全部账表都要硬拷贝,利用计算机比手工可以更迅速、更有效地完成审阅、核对、分析、比较等各项审查工作。例如,计算机可以帮助审计人员审查账务文件,找出满足指定条件的会计记录;可以对众多的会计事项进行统计抽样,以便审计员对缺抽出样本进一步审查;还可以根据系统所记录的会计资料计算出各种财务比率、变化率和进行各种分析比较等等。
在会计电算化条件下,既要对计算机系统的处理和控制功能进行审查,又要采用计算机辅助审计技术。对计算机系统功能的审查,必须运行计算机,让计算机执行各种操作和处理,也就是利用计算机开展审计。此项审查是不能离开计算机仅由人工来完成的。
4、对审计人员的要求更高
在会计电算化条件下,由于审计线索内容控制、内容和审计技术的改变,决对审计人员的要求高了。不懂得计算机的审计人员,因审计线索的改变而无法踊跃审计;不懂得电算化会计系统的特点和风险而不能识别和审其内部控制;不懂得使有计算机而无法对计算机进行审查或利用计算机进行审计。因此,要求审计人员不仅要有会计、审计理论和实务知识,而且要掌握计算机和电算化会计方面的知识和技能。