信息系统审计培训
综合办公室
张博威
2004年4月16日
此次培训分三个部分:
1、简单介绍一下信息的基本概念;
2、针对我局实际情况,谈谈审计信息的写作方法;
3、通报目前信息的完成情况。培训内容来源于:
1、参加几次市局、区政府信息写作讲座;
2、我局2001—2004年3年半共600余篇审计信息;
3、我自己近几年写、编信息的一点儿体会。
一、信息的基本概念
(一)信息的定义—信息是客观世界中各种事物存在方式、规律的表征和表述。信息是客观存在的,是体现事物特征的普遍形式,与人的意识密不可分。
(二)信息的特点
1、全—内容全,追踪事实全过程,什么问题、如何纠正、整改情况(效果),既报忧又报喜。
2、新—反映的内容要新颖,不要老生常谈,老问题尝试新角度描述。
3、准—事实准确,数字准确,引用法规准确,文字表达准确。笔下有财产万千,笔下有人命关天;笔下有良田千顷,笔下有万里江山。比如密云县雾灵山2002年发生山火的信息,将‚数百亩‛写成‚数万亩‛。
4、快—反映要快,体现时效性。如SARS信息,现在报肯定没有意义。
5、简—短小精悍,开门见山,直截了当,避免套话、空话。
二、审计信息的写作方法
(一)审计信息的定义—审计活动情况及其发展态势的选择性描述。
(二)审计信息的意义(作用、目的)。也是信息被采用的依据,非常重要。也就是七个转化:
1、转化为领导的决策
宣审信息
第98期
2003年6月25日
库存抗非物资应加强管理
SARS疫情发生后,百强公司承担了我区防治‚非典‛医用物资的供应任务,他们克服困难,积极组织货源,保证了使用单位防疫物资的需求。
截至审计日,该公司已向16个单位拨付防疫物资总价值665万元,而目前仍代管防护服、手术衣、过氧乙酸等剩余物资86万元。随着疫情的缓解,防疫部门医用物资消耗明显减少,考虑到物资的使用效期,建议有关部门在加强库存物资管理的同时,适时调整物资的用途,避免损失浪费。
《宣审信息》第98期‚库存抗非物资应加强管理‛
常务副区长蒋德忠批示:请永新同志阅。(6月26日)
副区长王永新批示:此事请非典办、卫生局共同研究,要保留一部分作为今冬明春的应急物资,做到专人看管,不能出意外。(6月27日)
(编校:张博威)
──────────────────────────
报:市审计局、区政府
送:市局调研室、宣武情况室
──────────────────────────
2、转化为法规、规章、制度
3、转化为被审计单位加强内部管理的措施
宣审信息
第4期
2003年1月8日
宣武区教委重视审计建议 提出改进措施
去年末,我局在对本区教委所属六个幼儿园审计结束后,针对普遍存在的财务管理薄弱、会计核算不规范等问题,撰写了题为‚一级一类幼儿园财务管理亟待加强‛的审计信息,得 3 到了区教工委和教委领导的高度重视,要求主管幼教和审计的副主任组织有关科室,就进一步加强领导干部和财会人员的教育、加强内部审计监督力度、规范财务管理等问题召开专题研讨会议,并提出如下改进措施:
第一,各幼儿园要认真落实审计建议,执行审计决定。审计科对各园落实情况进行监督并向教委领导反馈。
第二,召开财会人员专门会议,组织教委所属13所幼儿园的26名财会人员参加。会上,传达教委领导指示精神,重温内部审计制度和财务制度,学习‚北京市地方税收办税指南‛,以提高财会人员的依法纳税和依法办税意识。
第三,进一步加强对园长、校长等单位法人代表在严格遵守各项财经纪律,认真履行对学校经济活动管理的职责等方面的教育。教委各科室要齐抓共管,常抓不懈,充分发挥服务和监督的作用。在寒假期间组织全区各中小学、幼儿园、校外单位和成职教等各单位的法人代表及财会人员进行学习与交流。
(编校:王如萍)
──────────────────────────
报:市审计局、区政府
送:市局调研室、宣武情况室
──────────────────────────
4、评价某项工作的依据
宣审信息
第42期
2003年4月14日
宣武区市政专项资金使用效果良好
2002年宣武区市政专项资金投入近两亿元,完善市政建设,美化城市环境,审计表明,资金使用效果良好。
西黄铁路沿线环境整治工程拆迁居民526户、单位6个,443户居民改善了住房条件,解决了多年遗留问题,同时新建绿地近6000平方米。长椿街周边环境整治工程拆迁居民615户、单位25个,拆除面积1.8万平方米,拆迁整治后,建成了宣武区最大的街心公园--长椿苑。该园绿地占地1.4公顷,栽植树木1083株,花卉9400株,草坪10170平方米,还保留了市级文物古建筑——长椿寺。区级重点整治项目广安门南街绿化带工程,占地1.7公顷,拆迁整治后,共植树8343株,栽植色块10426株,745平方米,宿根花卉10560株,铺草坪8150平方米,创造了一个优美、舒适、明快的万米大绿地。
据了解,去年市政建设共完成重点专项工程7项,翻修道路9条,建成区重点夜景照明工程5处,拆除违法建设8.34万平方米,铺设绿地26.7万平方米,为区域经济健康发展、5 提高居民生活质量提供了良好的环境保证。
(编校:张博威)
──────────────────────────
报:市审计局、区政府
送:市局调研室、宣武情况室
──────────────────────────
5、转化为审计系统内部交流的经验
宣审信息
第9期
2004年2月17日
宣武区审计局三项措施提高审计业务管理水平
北京市审计工作会议召开后,宣武区审计局认真组织学习,切实贯彻会议精神,结合本局工作实际,采取三项措施提高审计业务管理水平。
第一,加强审计计划的科学性。要围绕政府的中心工作,抓住政府工作重点、经济改革难点、百姓关注热点和社会舆论焦点组织审计项目。要突出审计重点,在全面审计的基础上,加大对重点领域、重点部门、重点资金和重点工程的监督力度,做到查一点,带一面,警一方。要加强项目可行性调研,避免 6 计划不周、调查不够、研究不透、盲目审计。
第二,加强审计方案的可操作性。重点在于搞好审前调查,审前调查不应只停留在看报表、抄数据的层次上,要在全面了解被审计单位资产状况、经营成果和资金变动情况的基础上,调查其主营业务、对外投资、基本建设、内控制度等情况,从而确定审计重点,提高工作效率,降低审计风险。
第三,加强审计结果的权威性。坚持解剖麻雀,跟踪检查,深挖问题的根源,注意揭示和分析那些深层次的并带有普遍性、苗头性、倾向性的问题,从制度上、机制上提出解决问题的意见。要跟踪检查审计决定的落实情况,杜绝审计结而未果现象。
(编校:张博威)
──────────────────────────
报:市审计局、区政府
送:市局调研室、宣武情况室
──────────────────────────
6、转化为宣传审计工作的载体
宣审信息
第109期
2003年7月2日
宣武区审计局党建工作受表彰
在宣武区和区直属机关工委庆祝建党82周年大会上,宣武区审计局党支部和部分共产党员、干部由于在‚增三力达标创优工程‛和防治非典型肺炎工作中成绩突出,受到表彰。
局党支部被评为‚宣武区先进党支部‛、区直属机关工委系统‚在防治‘非典’斗争中,做好社会防控、隔离、物资保障和为医护人员休整提供保障做出贡献的党组织‛。梁诒局长被评为‚宣武区优秀共产党员‛;张沪生副局长被评为‚宣武区优秀党支部书记‛。3位同志被评为区直属机关工委系统‚优秀共产党员‛;2位同志被评为区直属机关工委系统‚在防治‘非典’斗争中参加建筑工地隔离区执行警戒和工地防控督查任务的共产党员及机关干部‛。
(编校:张博威)
─────────────────────────
报:市审计局
送:市局调研室
─────────────────────────
7、转化为百姓的心声
宣审信息
第44期
报国寺内‚烟火‛盛
报国寺是北京市文物保护单位,始建于辽金,拥有近千年历史。寺内殿堂宏伟,古树参天。然而自从该寺开辟工艺品、集邮品市场后,经常见有人嘴叼香烟进入寺内,门卫竟然熟视无睹,寺院内更是吸烟者众。工艺品、集邮品市场位于该寺前、中、后三大殿之间,摊位分布于寺内各个角落,大量烟客在此吞云吐雾,与市级文物保护单位极不协调,一旦发生火灾,后果不堪设想,望能引起有关部门的重视。
供稿:宣武区审计局
韩国维
(三)审计信息采用的渠道
1、北京审计通讯60%
2、宣武情况25%
3、领导批示10%
4、昨日市情5%(主要是社情民意信息)
(四)审计信息的类型及写作要领
1、计划类
(1)题目
‚宣武区审计局确定2004年审计(党建、内审…)工作思路‛;‚宣武区审计局对内审工作提出新要求‛;‚宣武区审计局三项措施加强精神文明建设‛
写好题目非常重要,市局调研室每周一从内网下载上周全系统的信息,共100余条,一个人负责,信息量很大,有时只 9 能通过标题筛选信息。
题目要高度概括信息的内容,最好是一句话标题,强调标题的唯一性。切忌‚提高工作质量 降低审计风险‛的标题,没有特点。
(2)框架
A前言
10% B计划条目
90% 第一,第二,第三……
(3)举例
宣审信息
第167期
2003年12月25日
宣武区审计局确定2004年工作思路
近日,宣武区审计局在全面总结2003年工作的基础上,确定了明年的工作思路。
第一,要力争在审计业务管理、审计质量控制、先进审计技术与方法的运用等方面有所突破。要改进审计计划管理,建立以其为龙头的科学的审计业务管理体系;要整合审计资源,加强对审计成果的综合利用;要狠抓审计质量,加快审计规范化建设;要积极探索采用先进的审计技术和方法,促进提高审 10 计工作效率和质量。
第二,要努力实现审计组织方式的转变,实现‚两个结合‛,即财政财务收支审计与效益审计相结合、审计与审计调查相结合。要积极尝试效益审计,探索效益审计的新途径、新经验、新方法。要通过审计调查进行综合分析,促进加强宏观管理、完善法规制度,从更高层次上发挥审计监督的作用。此外,要继续创新财政、固定资产投资、行政事业、企业以及经济责任审计工作,进一步明确目标,突出重点。
第三,要进一步加大审计执法力度,继续推进审计规范化建设和审计信息化建设,加强机关党的建设,加强对内部审计工作的指导,加大审计成果转化,搞好业务培训工作。
(供稿:梁诒局长 编校:张博威)
──────────────────────────
报:市审计局、区政府
送:市局调研室、宣武情况室
──────────────────────────
宣审信息
第11期
2004年3月1日
宣武区审计局加强审计项目质量控制实施三步走
宣武区审计局认真贯彻市审计工作会议精神,对加强审计项目质量控制工作进行了研究,提出‚三步走‛计划。
第一步,学习《审计机关审计项目质量控制办法(试行)》。将《办法》全文上传至局域办公网—‚网上课堂‛,各科室利用每周五的业务学习时间进行集中学习,在学深、学透的基础上,围绕‚如何加强审计项目质量控制‛开展研讨。综合办公室结合市局的具体意见,将各科室研讨结果整理汇总,报告局领导后,形成本局贯彻《办法》具体措施加以落实。
第二步,组织专题培训。选派业务骨干参加市局举办的培训,再根据培训内容,结合本局工作实际,针对学习中的难点和疑问,审计实践中存在的质量问题,进行有的放矢的专题培训,使审计人员尽快熟悉《办法》,适应新的要求,使此项工作高起点、高标准地开展。
第三步,选择项目试行。有重点地选择一些审计项目试行《办法》,试行中突出抓好审计过程的质量控制和审计结果的复核把关工作。及时总结新经验,及时解决新问题,为全面推行《办法》奠定基础。要以高质量的审计项目继续参加市审计机关优秀审计项目评选活动,力争再创佳绩。
(供稿:张沪生局长 编校:张博威)
──────────────────────────
报:市审计局、区政府
送:市局调研室、宣武情况室
──────────────────────────
(4)采用渠道:市局通讯、宣武情况。
2、总结类
(1)题目
‚宣武区审计局圆满完成2003年审计工作‛;‚宣武区内审工作再上新台阶(取得新突破)‛;‚宣武区固定资产投资审计成效显著‛。
(2)框架
A前言10% B取得的成果40% C呈现的特点(审计范围广、审计标准高、审计力度大);组织方法(审前调查、现场勘测、内控测评、计算机辅助审计)50%。
(3)举例
宣审信息
第3期
2004年1月12日
宣武区固定资产投资审计成效显著
2003年,宣武区审计局在认真贯彻落实《审计法》和《审 13 计准则》的同时,紧紧围绕全区经济建设和政府中心工作,突出了对基本建设重点资金、重点项目的审计监督。全年共完成固定资产投资审计项目15个,其中:7个项目的审计报告得到区领导的重视与批示,创近年来新高。查处违规行为金额2874万元,减少财政拨款1837万元,核减工程结算金额617万元。通过审计节约了大量建设资金,提高了财政资金的使用效益,在严肃财经法纪、加强基本建设财务管理、维护固定资产投资领域经济秩序等方面发挥了积极作用,发挥最大使用效益的作用。
(编校:张博威)
──────────────────────────
报:市审计局、区政府
送:市局调研室、宣武情况室
──────────────────────────
宣审信息
第2期
2004年1月2日
2003年宣武区内审工作再上新台阶
2003年,宣武区各内审单位坚持“发展、务实、创新、提高”的指导思想,克服‚非典‛疫情的影响,积极开展内审工作,区审计局加大指导力度,使全区的内审工作取得了新成绩。
2003年区属26个内审单位完成审计项目219个,其中财务收支审计63项、经济效益审计14项、经济责任审计66项、基建审计1项、专项资金审计1项、内控制度评审44项。共 14 查出损失浪费金额103万元,促进增收节支174万元,纠正违纪金额3129万元,提出审计建议被采纳305条,财务决算审签单位18个。
(编校:张博威)
──────────────────────────
报:市审计局、区政府
送:市局调研室、宣武情况室、市内审协会
──────────────────────────
(4)采用渠道:市局通讯、宣武情况。
3、动态类
(1)题目
‚宣武区审计局举行(开展)***活动‛
(2)框架
A前言:时间、地点、人物、活动10% B意义(目的、动机):为什么搞这次活动10% C组织方式40% D取得的成效40%(3)举例
宣审信息
第162期
2003年12月5日
宣武区审计局进行行政法律考试
日前,宣武区审计局进行了2003年行政法律基础知识闭卷考试,全体行政执法人员共39人参加了考试,大家认真复习,仔细作答,均以优异的成绩通过了考试,考试优秀率达到100%。
局领导非常重视这次考试,在局务会专门布臵了这项工作,并提出要求:
1、积极准备,以考促学,要通过考试夯实审计人员的行政法律理论基础;
2、联系实践,学以致用,要通过考试提高审计人员的整体执法水平;
3、重申纪律,严肃考风,要通过考试展示审计人员良好的精神面貌。为了组织好考试,我们将考试大纲和复习资料在局域网上公布,大家利用每周五的理论学习时间通过网上课堂的形式进行自学,综合办公室做重点辅导。区法制办和人事管理科的同志进行了监考。
(编校:张博威)
──────────────────────────
报:市审计局、区政府
送:市局调研室、宣武情况室、区法制办
──────────────────────────
宣审信息
第36期
2003年4月10日
宣武区审计局举行共产党员佩戴党徽上岗仪式
日前,宣武区审计局举行了庄严、简朴的共产党员佩戴党徽上岗仪式。
仪式上,大家全体起立,高奏《国际歌》。在欢快的乐曲中,局党组成员为各党小组组长佩戴党徽,各党小组组长为党员佩戴党徽。新党员进行了入党宣誓。党员代表畅谈了佩戴党徽的体会,并向全体党员发出倡议:共产党员要增强先进性意识,不断提高实践宗旨的自觉性,做实践宗旨的模范;要增强履行党员义务的责任感,时刻铭记共产党员的光荣称号,做走在时代前列的标兵;要增强先锋模范作用,在本职工作中争创一流,做爱岗敬业的榜样;要增强接受群众监督的主动性,用言行感染和带动周围的群众,真正做到‚一个党员就是一面旗臶‛。
此仪式是按照宣武区委直属机关工委的要求,为深化‚共产党员在昨天、今天和明天‛的系列教育活动而举行的,旨在增强共产党员的先进性意识,提高共产党员实践‚三个代表‛的自觉性,更好地发挥党员的先锋模范作用。
(编校:张博威)
──────────────────────────
报:市审计局、区直机关工委
送:市局调研室
──────────────────────────
宣审信息
第79期
2003年5月26日
宣武区审计局对防治“非典”资金
及社会捐赠款物进行审计
非常时期,宣武区审计局一手抓防治‚非典‛,一手抓审计工作,并开始对防治‚非典‛专项资金、社会捐赠款物及专项工程进行审计监督。
此次审计目标在于保证防治‚非典‛专项资金专款专用,提高社会捐赠款物的使用效益,评价使用效果,促进建立健全应对突发事件的财政资金、捐赠款物管理和监控机制,在调查了解全区防治‚非典‛各项工作中暴露出的问题和取得经验的基础上,为今后建立及时有效的应对突发事件专项资金监督管理机制提出意见和建议。审计重点在于财政投入专项资金的拨付及使用情况;管理制度的建立与落实情况;专项资金转拨、分配及核算情况;管理采购设备物资情况;医护人员补助发放情况;社会捐赠款物的收受、分配及管理情况;评价专项资金及捐赠款物的使用效益。
为确保此项工作的顺利进行,该局专门成立了以局长梁诒为组长,副局长张沪生、王兰生为副组长,相关科室负责人参加的审计工作领导小组,统一思想,精心组织,周密部署。目前各审计组已进入有关单位开展审计工作。
(编校:张博威)
──────────────────────────
报:市审计局、区政府
送:市局调研室、宣武情况室
──────────────────────────
(4)采用渠道:市局通讯、宣武情况。
4、领导批示类
(1)题目
‚宣武区领导对审计决定(意见、报告、结果、信息)做出(重要)批示‛
(2)框架
A情况介绍:近日,我局在对***的审计中揭示了***等问题,引起了区领导的高度重视。***区长审计决定做出批示:(批示内容)。70% B批示落实情况30%(3)举例
宣 审 信 息
第152期
宣武审计局 2003年11月6日
━━━━━━━━━━━━━━━━━━━━━━━━━━
宣武区领导对社保审计信息做出批示
宣武区审计局在对10个国有企业社会保险基金缴纳情况审计时发现,有8个企业未足额缴纳保费,欠缴金额共计42.56万元。该局为此编发了‚中小企业欠缴社保基金情况较普遍‛的信息,引起了常务副区长蒋德忠同志的重视,他批示:请劳动保障局阅处。劳动保障局迅速组织力量逐户追缴,目前,全部欠费均已缴齐。
(编校:张博威)
──────────────────────────
报:市审计局
送:市局调研室
──────────────────────────
宣 审 信 息
第152期
宣武审计局 2003年11月6日
━━━━━━━━━━━━━━━━━━━━━━━━━━
宣武区领导对社保审计信息做出批示
宣武区审计局在对10个国有企业社会保险基金缴纳情况审计时发现,有8个企业未足额缴纳保费,欠缴金额共计42.56万元。该局为此编发了‚中小企业欠缴社保基金情况较普遍‛的信息,引起了常务副区长蒋德忠同志的重视,他批示:请劳动保障局阅处。劳动保障局迅速组织力量逐户追缴,目前,全部欠费均已缴齐。
(编校:张博威)
──────────────────────────
报:市审计局
送:市局调研室
──────────────────────────
(4)采用渠道:市局通讯
5、表扬类
(1)题目
‚**专项资金使用效果好‛
(2)框架
A前言10% B资金使用情况:用数字说话。60% C资金使用效果:量化。30%(3)举例
宣审信息
第42期
2003年4月14日
宣武区市政专项资金使用效果良好
2002年宣武区市政专项资金投入近两亿元,完善市政建设,美化城市环境,审计表明,资金使用效果良好。
西黄铁路沿线环境整治工程拆迁居民526户、单位6个,443户居民改善了住房条件,解决了多年遗留问题,同时新建绿地近6000平方米。长椿街周边环境整治工程拆迁居民615户、单位25个,拆除面积1.8万平方米,拆迁整治后,建成了宣武区最大的街心公园--长椿苑。该园绿地占地1.4公顷,栽植树木1083株,花卉9400株,草坪10170平方米,还保留了市级文物古建筑——长椿寺。区级重点整治项目广安门南街绿化带工程,占地1.7公顷,拆迁整治后,共植树8343株,栽植色块10426株,745平方米,宿根花卉10560株,铺草坪8150平方米,创造了一个优美、舒适、明快的万米大绿地。
据了解,去年市政建设共完成重点专项工程7项,翻修道路9条,建成区重点夜景照明工程5处,拆除违法建设8.34万平方米,铺设绿地26.7万平方米,为区域经济健康发展、提高居民生活质量提供了良好的环境保证。
(编校:张博威)
──────────────────────────
报:市审计局、区政府
送:市局调研室、宣武情况室
──────────────────────────
宣审信息
第20期
2004年3月23日
宣武区招商引资专项资金使用效果好
区审计局在对区外经委预算执行情况审计中了解到,2003年我区投入招商引资专项资金118万元,一批重点招商项目陆续签约,一些外商投资相继注入。审计表明,资金使用效果良好,达到了宣传提升区域形象,培植经济新增长点的预期目标。
椐不完全统计,2003年,全区招商引资到位资金8.4亿元人民币,其中境内资金到位6.61亿元人民币、外资入资2165万美元。新批外商投资企业20家,与上年同比增长11%,完成引资项目30个,同比增长67%。
为搞好招商引资工作,我区以‚人文宣武,现代经济‛为主题举办了第四届宣武经贸洽谈会,开展了展览、参观、论坛、对口说明和签约仪式等五大版块的系列活动,会议签约合同金额40亿元。会议期间还组织了‚今日宣武‛记者参观活动,23 参观了国际传媒大道、马莲道采购中心区和家乐福等重点企业,介绍了我区重点功能区的规划及建设进展情况,从新的视角宣传了我区良好的投资环境和发展前景。在本届经贸洽谈会上,有关方面共就10个项目达成合作意想,引进资金总计46.7亿元,其中中融国际商城、马连道1号院改造项目等4个重点房地产项目在签约仪式上正式签约,合同总金额达40亿人民币。另外,我区还参加了第六届北京科博会,宣传了区域发展环境和优惠政策,介绍了国际传媒大道和大栅栏的开发进展情况。
(编校:张博威)
──────────────────────────
报:区政府、市审计局
送:宣武情况室、市局调研室
───────────────────────────
(4)采用渠道:宣武情况
6、问题类
(1)题目
‚**现象(问题、行为)值得关注(亟待解决)‛
‚应加强对**问题(现象)的监督‛
(2)框架
A前言:简要介绍审计及审计发现问题情况20% 24 B问题的表现形式、原因、危害等50% C建议30%(3)举例
宣审信息
第4期
2004年1月12日
应规范学校对外培训活动财务监管
近年来,一些学校纷纷成立培训部,以社会力量办学的形式开展非学历教育培训。这种培训方式整合了社会教育资源,丰富了人们受教育渠道,取得了良好的社会效益和经济效益,但由于培训部与学校的关系尚无统一规定,有的是学校的内部机构,而有的是独立的法人组织,致使培训部的财务管理较为混乱。
在我们审计的9所学校中,有8所设立了培训部,或多或少地存在下列财务管理不规范的问题:
一、财务核算形式不统一。有的将培训收支在往来账核算,有的通过‚其他收入‛账户核算,还有的单独设账核算。
二、无偿使用学校设施。有的独立核算的培训部无偿使用学校的教室、教学设备、水电等。
三、支出存在随意性。有的学校将应由学校本部负担的费用在培训部列支。
四、发票使用不规范。培训业务属于纳税收入,应使用服务业发票,但有的培训部仍使用银钱收据。
五、未设独立账号。有的培训部与学校合用一个银行账号,给核算带来诸多不变,不利于财务管理。
我们建议有关部门加强对学校对外培训的管理,理顺培训部与学校的关系,出台相应管理办法,从根本上解决财务管理混乱问题。
(编校:张博威)
──────────────────────────
报:市审计局、区政府
送:市局调研室、宣武情况室
──────────────────────────
宣审信息
第25期
2004年3月25日
投标价格不应先抑后扬
审计发现,施工单位为取得中标资格,在编制的投标书中,标明挖填土运距14公里,远远低于实际距离,人为降低报价。经审计人员实地测算,标书所报土方运距,根本无法满足施工要求。施工中,建设单位考虑到实际情况,按29公里与施工单位签定了结算书,并据实进行结算。根据标书标明的挖填土及运输每增加1公里运费为147.03元的价格计算,仅此一项就造成多计取直接费用近5万元。由于该洽商由双方协商签定,具有法律效力,受《合同法》保护,故审计人员无法对此笔应予核减的款项进行纠正,影响了财政资金的使用效益。
审计分析认为,这是施工单位为取得中标资格,采取的在投标时先放弃少部分权利,而在随后的施工过程中,通过经济洽商方式再‚据实‛调高报量,增加工程结算,连本带利收回的一种投标策略。这种行为不仅影响了后期工程造价的控制,更严重的是,破坏了招投标市场的公平竞争原则,损害了据实、26 科学、合理报价的投标方的正当利益,发展开来,将不利于招投标市场的正常发展。
我们建议,建设单位应加强招投标工作的管理,警惕施工单位的投标陷阱,有关部门应进一步规范建筑行业招投标市场,采取有力措施,严厉打击这种投机取巧的行为,以培育和维护招投标市场的良性发展。
(编校:张博威)
──────────────────────────
报:市审计局、区政府
送:市局调研室、宣武情况室
───────────────────────────
(4)采用渠道:市局通讯、宣武情况增刊、领导批示
7、经验类
(1)题目
‚**做法效果好‛、‚**工作做到(体现)**特点‛
(2)框架
A新方法的运用情况及效果30% B具体做法70%(3)举例
宣审信息
第31期
2004年4月5日
离任审计与日常审计相结合效果好
宣武区审计局在对区教委主任进行离任审计时,探索与日常审计相结合的新方法,取得了很好的效果。区教委主任综合管理全区近百所学校,负责统筹使用和管理市、区财政教育资金,他们针对这一职责上的特殊性,有效地利用以前年度的审计资源,在保证审计质量的同时,缩短了审计时间,提高了工作效率。具体做法:
一是在其任职期间每年都安排对教委系统例行的审计监督,选择部分下属单位进行延伸审计。审计项目包括教委机关行政经费、教育事业费和市区两级教育专项资金的使用情况。
二是离任审计项目重点对区教委以前未审计的二个年度的机关经费收支情况进行检查,对已审年度的审计事项进行反映,不做二次审计。
三是将离任前三年已审项目情况进行汇总,分年度在报告中进行阐述。包括违纪违规问题的汇总,对审计决定、意见和建议的执行落实情况。
四是根据历年审计情况以及教委的整改情况进行客观公正的审计评价。评价内容包括教委主任任期完善内部控制制度 28 情况、规范学校财务管理和收费情况、实行校长任期审计制度情况以及对历次审计发现问题的整改情况等。
(编校:张博威)
──────────────────────────
报:市审计局
送:市局调研室
──────────────────────────
宣审信息
第161期
2003年11月26日
宣武区审计局2004年审计计划体现三个“有利于”
为科学、合理、规范地编制2004年审计项目计划,今年下半年,宣武区审计局对本辖区内的行政事业、国有企业、建筑企业等718家单位进行了全面调查,在此基础上,编制了2004年审计项目计划。计划体现出三个有利于:
一是有利于审计项目的可行。我们对区域内审计监督对象进行了摸底调查,对财务状况、经营状况进行了全面分析,对审计的可操作性进行了充分论证,以避免盲目选户情况。
二是有利于重点资金的监督。调查中,我们紧密结合本区中心工作、财政体制改革的形势、领导关注和百姓关心的热点问题来确定明年的审计项目重点,如财政部门预算、政府采购、‚低保‛资金审计等等都将纳入我局2004年审计工作的重点。
三是有利于审计质量的提升。我们打破了以往只从已审户或已掌握基本财务资料的单位中选户的做法,努力拓宽审计空 29 间,关注新行业、新领域,为提升审计质量奠定基础。
(编校:张博威)
─────────────────────────
报:市审计局、区政府
送:市局调研室、宣武情况室
──────────────────────────
(4)采用渠道:市局通讯
8、调研类
(1)题目
‚**工作中存在的问题及对策(建议)‛
(2)框架
A揭示问题:具有一定的审计覆盖面5% B问题的表现形式20% C分析原因(带来的危害)40% D提出建议35%(3)举例
宣审信息
第33期
2004年4月7日
项目支出预算管理编制中存在的问题及建议
项目支出预算是部门支出预算的组成部分,是行政事业单位为完成其特定的行政工作任务或事业发展目标,在基本支出预算之外编制的年度项目支出计划。
审计中发现,财政部门在项目支出预算管理方面,各单位在项目支出预算编制方面均存在一些问题。主要表现在:
一、专项业务费项目缺乏明确的立项标准,造成一些单位在申报时不考虑自身职能,没有根据政府办事或事业发展立项。
二、对项目预算缺乏规范化、程序化管理,由于没有一套科学的量化标准,对专项购臵、修缮和新建工程等项目的立项不能进行可行性论证,导致单位编制项目预算随意性较大。
三、项目支出安排滞后,年初预算编制未细化到部门,而是通过追加的方式进行分配。
四、一些项目预算编制过于笼统,致使专项资金闲臵或使用效益降低。
我们建议:
一、财政部门应对项目支出进行科学合理的分类,明确项目支出预算立项标准。
二、完善项目支出制度建设,出台完整的管理办法,对立项标准、申报程序、文本制度、审批原则等做出具体规定。
三、充实完善项目库,实现真正意义的动态管理,根据财力状况及各项目在履行政府职能方面的轻重缓急程度顺序安排预算。
四、健全专项资金评价机制,建立从事前立项审批到事后追踪问效,贯穿项目资金运动全过程的多层次,全方位的评价体系,以实现资金效益最大化。
31(编校:张博威)
──────────────────────────
报:市审计局
送:市局调研室
───────────────────────────
宣审信息
第105期
2003年7月1日
关于近三年国有企业不良资产问题成因及对策
目前,国有企业改革进入攻坚阶段,随着改革力度的不断加大,影响国企改革和发展的因素也日益显现出来,不良资产过多正是其中之一。为反映企业资产质量,为国有资产重组和战略性调整献计献策,我局对2000年以来被审计企业中存在的不良资产情况进行了统计分析。
一、审计情况统计
我们共审计企业54家,其中25家不同程度、不同形式地存在着不良资产,占总数的46%,不良资产共计7973.57万元,占25家企业资产总额的48%,个别企业不良资产率达到41%,预计损失总额4873万元。这些企业涉及物资、修理、药材、32 粮油、副菜、百货、房地产和房屋管理等8个行业,过多的不良资产占用了大量资金,致使营运周期延长,资产利用率偏低,为维持正常周转,势必要筹集投入更多资金,从而加大了企业的财务负担和经营风险,使企业营运举步为艰。
二、表现形式分析
(一)三年以上应收款项。8家企业存在三年以上应收款项,共计金额2343.72万元,其中1249.6万元已形成坏账损失。这不仅影响了企业的短期偿债能力,而且使经营成果掺杂了‚水分‛。
(二)对外投资收益微薄。4家企业90年代初利用闲臵资金对外投资,共计452.48万元,其中102.48万元投资收益率仅为2%,350万元投资近14年来颗粒无收,已形成损失。
(三)有问题存货。7家企业存在残、损、冷、背存货,共计金额1301.43万元,预计损失1088.37万元,其中盘亏1037.43万元、削价损失264万元。
(四)固定资产报废未做账。某企业部分固定资产已报废,但未进行账务处理,虚增资产52万元。
(五)待处理财产损失。9家企业共计906.87万元的财产已形成损失,且全部为流动资产损失。
(六)应摊未摊费用。13家企业存在应摊未摊的待摊费用(递延资产)共计金额906.87万元。某企业将8年前发生的管理费用合计497.51万元,在‚递延资产‛账户长期挂账,33 未进行摊销。
三、问题原因分析
(一)企业经营者对市场的预测和驾驭能力不强,风险意识与现实观念存在差距,不能正确处理眼前利益与长远利益的关系,片面追求任期内的高收益和高利润,不考虑收回赊销资金的风险,盲目扩大商业信用,导致大量应收款项的形成。依法清欠意识差,不能运用国务院、财政部等部门多次下发关于清理企业‚三角债‛问题的相关文件为企业清欠寻求法律保护。另外,由于现行领导干部考核制度存在的局限性,一些新官不理旧账,致使旧账变坏账,这也是应收款项长期得不到清理的一个原因。
(二)投资制约机制不健全,投资决策程序不规范,大多数投资项目的决策权掌握在企业法人代表手中,既未经职代会通过,也未报有关部门审批。对投资市场环境和被投资单位情况缺乏深入了解,对投资项目的科学性、可行性调研不够。投资合同(协议)签定不严谨,对双方在投资过程中有可能发生的分歧考虑不足,致使一些投资项目半途夭折。投资结构也不尽合理,大都集中于商业、饮食、服务等市场趋于饱和、竞争日益激烈的传统项目,而对高新技术等‚朝阳产业‛的投资甚少。
(三)上级公司指挥不当,没能深刻领会有关国企改革的精神和要求,仍在实行‚家长式‛的管理,不能遵循市场经济 34 规律,结合本行业发展需要并考虑所属企业实际,合理利用资金调拨、经营决策等权力。指示企业贷款搞合资,停业搞装修,由于缺乏广泛的、有针对性的市场调研,盲目追求经营规模,致使投资半途失败,重张继续亏损,大量资产长期闲臵,银行贷款无力偿还,大量费用无力摊销。
(四)放贷银行监管不力,没有严格执行贷款‚三查‛制度,只是进行了贷前调查和贷时审查,但放松了对款项用途、使用效果的跟踪监测,没有形成一套严密的风险预警体系,致使贷款被挪作它用,其中大部分到期无法收回,加大了信贷风险。
(五)企业经营缺乏特色,人云亦云,销售方式不灵活,没能进行正确的市场定位,没有一套周密的营销策略,缺乏市场预见性,朝令夕改,盲目进货,造成商品积压、滞销,发生削价损失,并且占用经营资金,使企业周转困难,亏损严重,无力摊销、处理费用和损失。企业为完成上级下达的利润指标,也通常采取该提的费用不提、该摊的费用不摊等手段‚完成‛任务,这也是大量待摊费用(递延资产)和待处理财产损失长期挂账的一个原因。
(六)企业管理制约机制不健全,将库存商品的管理职能下放到销售班组,由于事关切身利益,在发生盘亏损失时,一些当事人采取隐瞒、虚报等手段逃避责任。有关部门的检查和监督也不到位,只进行了账表核对、账账核对,而忽视了账实 35 核对,盘库流于形式。企业合并过程草率,由于是系统内部合并,便忽视了清产核资这一重要环节,只是将账面数字进行简单加减,结果造成上百万元的资产账实不符。
四、几点粗浅建议
(一)企业要转变只重效益、不重现金流量的观念,应该认识到账面利润是企业盈利的可能,而现金净流量是客观事实,只有引起现金流入的收益才具有真正的价值。建立企业应收款项风险的预警系统,必要时成立信用部门,负责销售对象的资信调查、建立信用档案、评定信用等级、确定赊销额度、催收欠款等工作,科学地、规范地进行赊销活动。制定有效的奖惩措施,明确相关部门和人员的责任,营销人员既要负责商品的销售,也要负责货款的催收,以避免销售与收款脱节现象。加强法律意识,依法保护企业利益。
(二)企业要建立自我约束、自担风险、自我发展的投资风险和责任制约机制,对于重大投资决策要科学调研,集体论证,避免法人代表‚一支笔‛行为,保证决策的科学性、民主性、合法性,强化企业领导对国有资产保值增值的责任意识。合理调整投资结构,要利用国家对某些产业的扶植政策,选择资金投向好、效益高、发展前景广泛的投资项目,纠正那些片面追求企业规模、乱上项目、乱铺摊子的经营思路。加强对外投资的监管力度,指定专门机构或人员负责对投资项目的跟踪,以保障投资目标顺利实现,提高国有资产的运营效率。
(三)加快建立现代企业制度的步伐,使企业实现产权清晰、责权明确、政企分开、管理科学,健全决策、执行和监督体系。上级公司要转变陈旧的管理意识,遵循市场经济规律,按照有关国企改革的政策法规行事,做到各司其职,使企业真正成为自主经营、自负盈亏的独立法人,根据自身实际情况,进行经营决策和筹资决策。
(四)金融部门应加大监管力度,尤其应加大放贷后的跟踪监测力度,严格执行‚集体决策、分级审批‛制度,保证款项严格按照贷款合同规定的用途使用,及时了解使用效果,以利于信贷资金的管理和信贷风险的防范。
(五)企业应根据自身实际进行正确的市场定位,分析服务对象的消费需求和消费特点,结合周边文化环境,拓宽经营思路,办出特色。建立健全法人治理机制,层层落实资产管理任务,责任到人,有指标、有考核、有奖惩,提高企业管理水平,保证企业资产质量,减少人为的财产损失。上级部门应适当调整领导干部考核标准,制定综合性的考核指标。内审部门也要充分发挥监督服务职能,定期对领导干部的经济责任情况做出评价,提供考核依据,激励和促进领导干部履行职责。
9、表态类
(1)题目
‚宣武审计干部拥护(关注、祝贺)**事件‛
37(2)框架
A对重大事件的表态:与党中央保持一致。20% B对事件的评价:抄报纸—人民日报社论50% C结合本职工作再次表态30%(3)举例
宣审信息
第21期
2004年3月23日
宣武审计干部热烈祝贺“两会”胜利闭幕
十届全国人大、政协二次会议闭幕了,这次大会是在我国改革和发展处于关键阶段召开的一次重要会议。大会洋溢着团结奋进、昂扬向上、开拓创新、求真务实的热烈气氛。
宣武区审计局全体干部职工热烈祝贺大两会胜利闭幕。两会期间,他们投入了极大的关注和热情。大家认为,《政府工作报告》求真务实,思路清晰,目标明确,鼓舞人心。大会依照法定程序对宪法进行修改,在宪法中确立了‚三个代表‛重要思想在国家政治和社会生活中的指导地位,把推动物质文明、政治文明和精神文明协调发展写进宪法,明确规定了国家保护非公有制经济的合法的权利和利益、公民的合法的私有财产不受侵犯、国家尊重和保障人权等。宪法修改的内容,都是 38 我们党关于国家事务和社会事务的重大主张,反映了全国各族人民的共同意愿,对于我国改革开放和现代化建设事业具有重大而深远的意义。
大家表示,一定要认真学习,深刻领会大会精神,树立科学的发展观,立足本职,服务大局,为优化区域发展环境,维护区域经济秩序做出新的贡献。
(编校:张博威)
──────────────────────────
报:区政府
送:宣武情况室
───────────────────────────
宣审信息
第28期
2003年3月17日
宣武审计干部坚决拥护新一届国家领导班子
十届全国人大一次会议和政协第十届全国委员会选出新的国家领导人,我局审计干部感到欢欣鼓舞。大家一致认为,新的一届国家领导集体更加年轻化、知识化,必将领导全国各族人民全面建设我们的国家、迈向小康社会,我们为此充满了 39 信心。做为审计工作者,坚决拥护新一届国家领导班子,在政治上与党中央保持一致,认真学习十六大精神,开拓创新、勤奋务实、扎扎实实地做好本职工作,更好地为经济发展服好务。
(供稿:梁诒
编校:王如萍)
──────────────────────────
报:市审计局、区政府、区机关工委
送:市局调研室、宣武情况室
──────────────────────────
宣审信息
第29期
2003年3月25日
宣武区审计局干部关注伊拉克战争
伊拉克战争爆发后,宣武区审计局全体干部给予了密切关注。他们通过电视、广播、报纸等媒体及时了解战争进展,纷纷表示坚决拥护我国政府就此事件发表的声明,主张在联合国框架内政治解决伊拉克问题;伊拉克政府应全面、切实地执行安理会有关决议;伊拉克的主权和领土完整应该得到国际社会的尊重。
大家认为,战争必将带来人道主义灾难,影响地区和世界的安全、稳定与发展,反对战争、维护和平是世界人民的共同愿望。他们有决心有信心立足本职,扎实工作,以实际行动支 40 持我国政府的正确主张,促进区域经济健康发展。
(编校:张博威)
────────────────────────────
报:市审计局、区政府
送:市局调研室、宣武情况室
────────────────────────────
(4)采用渠道:宣武情况
10、社情民意类
(1)题目:高度概括问题、不良现象
‚的哥‛路边用餐 影响市容谁管
‚绿化环境不应反季节施工‛
(2)框架
A描述问题、现象40% B带来的危害、不良影响20% C建议40%(3)举例
宣审信息
第44期
报国寺内‚烟火‛盛
报国寺是北京市文物保护单位,始建于辽金,拥有近千年历史。寺内殿堂宏伟,古树参天。然而自从该寺开辟工艺品、集邮品市场后,经常见有人嘴叼香烟进入寺内,门卫竟然熟视无睹,寺院内更是吸烟者众。工艺品、集邮品市场位于该寺前、中、后三大殿之间,摊位分布于寺内各个角落,大量烟客在此吞云吐雾,与市级文物保护单位极不协调,一旦发生火灾,后果不堪设想,望能引起有关部门的重视
供稿:宣武区审计局
韩国维
宣审信息
第129期
“城市牛皮癣”改头换面再现街头
欢乐祥和的国庆节已过去,市区主要大街仍是鲜花溢彩,为广大市民和来京游客送上又一个‚健康黄金周‛。与这种环境和气氛不相协调的是,仍有一些商家在私利的驱使下,不惜冒着被处罚的风险使小广告再现街头。
这一回他们改换了手法,主要从停放在街道两旁车辆下手,将广告制成名片大小卡片,插在汽车的前挡风玻璃上或扔在自行车的车筐里。车主回来后将小广告随手丢弃,干净整洁的街道上又是一片狼藉。
党的十六大即将召开,全市大规模集中整治市容市貌工作也进入了第二阶段,针对以上情况的发生,建议我区有关部门 42 巩固文明成果,继续严厉整治形形色色的小广告,使影响市容市貌的不文明现象彻底销声匿迹。
供稿:宣武区审计局 郑崇跃
(4)采用渠道:市局→昨日市情 宣武情况增刊
(5)要求:A稀缺,不起眼但好上采。
B 不局限于宣武区,以北京市为限,衣食住行均可。
C情况属实,作者负责,正式稿属作者姓名。
(五)撰写审计信息的步骤
1、下户审计发现信息点。
2、确定信息属性,属于上述10类信息的哪一类。
3、按该类信息的框架撰写
4、为提高效率,若把握不住,也可以先和我通气。
(六)几点希望
1、勤于思考,勤于动笔。反映信息意识。
2、敢于负责。撰稿人、科长要对信息反映的内容、揭示的问题、提供的数据严格负责。
3、善于总结。尤其是年轻的同志,将初稿和终稿进行对比,有比较才有提高,不能一写了之。
三、信息完成情况通报 1、2003年共编发信息172篇,上采89篇,比2002年分 43 别增长2%、8%。荣获市审计系统信息工作先进单位。2、2004年,目前共编发信息42篇,上采22篇。各科室发展极不均衡,有的任务已提前过半,完成最好的科室是固投科,9篇采7篇,完成数量计划的60%,上采计划的140%。
一、网络审计信息系统的体系结构
通过网络进行审计的网络审计信息系统是审计中心通过网络获得被审计单位的会计信息并进行审计。审计人员就不必亲自到审计单位, 这样便可以降低审计成本并且使审计人员更好的保持独立性。网络审计系统的体系结构如图1所示。
上述模式的系统由三个部分组成:审计中心 (服务器) 、被审计单位 (客户机) 、和网络环境。客户中心在服务器端配备有大容量的存储器。被审计单位会计信息系统的所有会计信息都实时的传输到审计中心, 由审计中心统一保存, 审计中心随时对保存在本地的审计信息进行审计。由于被审计单位的所有会计信息都在审计中心, 被审计系统可以不设数据库, 有关数据库的操作都可以请求服务器来完成, 但这样可能导致服务器不堪重负, 因此被审系统最好自设数据库, 保留本端数据, 相当于做一个备份。在这种模式下, 审计中心进行审计时不需通知被审系统, 更进一步提高了会计信息审计的真实性和审计的可靠性。
二、利用网络和审计信息系统进行远程审计的步骤
第一, 数据采集。数据采集是网络审计中的一个初始环节, 是审计测试和审计抽样的数据来源的根本渠道。此环节通过以审计信息系统和被审单位的财务信息系统的对接使将被审计单位的财务数据按照通过已加密的传输通道从被审计单位的财务信息系统的接口中导入到审计部门的数据系统中从而实现数据采集。数据从被审计单位的财务信息系统转换到审计单位审计信息系统并不改变它的内容, 只是从形式上改变它在被审软件系统中的识别标志, 从而可以按照审计信息系统要求的标志为审计信息系统所识别。数据采集是网络审计系统工作的基础, 对于企业通常只需要导入科目表, 起初余额表, 凭证库表就可以生成相应的会计明细账、总账、各种报表等信息。还可将原始数据加入到相应的数据库, 以备核查和其他功能模块共享。第二, 数据整理、转换。数据清理对从被审计单位采集来的数据进行分析, 查找审计对象潜在的问题、疑点和异常情况, 并得出初步意见。主要涉及到数据的匹配与合并。通过匹配, 发现重复的对象;通过合并, 保留或生成一个完整的对象。数据清理活动的核心是近似重复对象的识别。如果两条记录在某些字段上的值相等或足够相似, 则认为这两条记录互为近似重复。我们把从被审计单位数据到审计中间表数据之间所需要的各种操作均刻画为转换操作, 在审计数据的转换过程中, 一个转换将源对象利用一种转换规则转换成一组目标对象。源对象和目标对象都是数据对象集合的元素。数据对象集中的元素能够是任何类型的数据元素, 但是典型的是表、列或表示在内存中暂存对象的模型元素。通常, 转换也可以产生一系列的临时数据。那些必须一起执行的转换被归类到相应的转换任务中。在执行时, 转换步骤是用来协调转换任务之间执行情况的控制流。每个转换步骤执行单一的转换任务, 这种转换任务既可以是从源对象利用一种转换规则转换成一组目标对象, 又可以是源对象经过多种转换规则转换成一组目标对象。第三, 数据处理。对预处理后的财务电子数据采用查询、统计、抽样、汇总、计算等技术进行分析处理。第四, 符合性测试。进行符合性测试工作按照计划安排, 依照审计程序, 对所审计对象进行符合性测试, 主要通过填表或回答问题方式完成调查表, 通过程序进行统计, 分析出符合性测试结果。第五, 实质性测试。在已做好符合性测试的基础上进行实质性测试。审计程序会自动形成各科目固定格式的审定表, 审计人员要进一步套用模板, 形成诸如现金盘点、固定资产折旧、应付福利费等的计算表。第六, 将分析和测试后的数据归档存入审计工作底稿。
三、审计信息系统进行网络审计的局限性及解决建议
1、统一会计软件数据接口标准
开发会计核算软件的厂商为了长期拥有自己的固定的用户和保证会计核算软件的安全, 对财务信息系统的数据存储格式保密, 以至该软件所含的信息不能被其他厂商调用, 从而使财务数据人为割裂, 形成数据孤岛。这些孤岛易守难攻, 大大增加了实施审计工作的难度。财务软件数据接口成为了制约审计信息系统开发使用的“瓶颈”。这个“瓶颈”就使每次审计都需要寻找不同的数据转换软件, 严重降低了审计工作效率, 也使得利用网络和审计。信息系统进行联网审计的使用范围大大缩小 (见图2) 。
统一会计软件数据接口标准可以使在审计中可以使用审计软件利用网络对各种财务信息系统的财务数据获取成为可能。有了统一的接口标准。首先, 审计软件可以向财务软件采集数据, 解决了原来财务数据不兼容而不能直接调用的问题, 而利用网络开发的网络审计信息系统就有了更广阔的空间。审计工作也将会更好地发挥其职能;其次, 可以充分利用现有的审计资源在各个审计机关之间形成一个有效的信息共享链, 许多集体和个人开发出来的经过实践证明行之有效的计算机审计小模块或计算机应用小技巧都可以在整个审计系统内共享, 避免审计资源的浪费以及重复建设, 可优化整合审计资源, 实现审计信息的有效共享。《中国财务软件数据接口标准》对审计应用软件的设计和开发方面将有巨大的推进作用。使审计信息系统联合网络进行网络审计在不久的将来将被广泛运用。它有利于审计软件的标准化、产品化, 缩短软件开发周期, 提高开发效率, 降低计算机审计工作的复杂度。
2、网络安全技术
首先, 应加强物理安全控制, 即参与系统开发和财务软件评审工作。财务软件开发时应全面考虑审计程序的嵌入, 建立一个独立的模块作为审计软件系统的“前置”来专门处理电子信息。即由前置模块来完成对输入电子信息的接收、真伪鉴别、解密、模式转换;针对发出的信息由它加密 (将标准数据模式生成电子报文并加密) 和发送。这样一来, 被审计单位的计算机网络就可以对经济业务进行实时监控, 自动完成部分审计任务。审计人员参与审计信息系统开发和财务软件审计有利于将错误扼杀在萌芽阶段。
其次, 加大逻辑安全控制, 即重点审查系统的安全控制。审计人员要着重对系统的职责分离情况、操作权限设置进行审查, 防止越权操作和计算机舞弊行为的发生, 检查被审单位的系统安全管理体制和安全保密技术, 是否设置外部访问区域, 是否建立防火墙和实时监控程序。
再次, 做好审计信息系统防病毒工作。使用计算机病毒的疫苗程序, 监督系统运行防止病毒入侵。及时升级杀毒软件。及时修补操作系统和审计信息系统的漏洞做好防病毒准备。
最后, 做好总体环境控制, 审计人员可以实施网络咨询和电子商务签证服务。可就如何选购财务软件, 如何实施有效的系统安全控制和如何改进现有的财务管理模式提供咨询服务, 并按照标准对网上商业活动的完整性、真实性和可靠性进行全面签证。
3、加强网络审计立法, 制定相关法规准则
网络审计立法是保障网络审计正常发展的保障。加强网络审计有关的立法, 使审计执业人员在开展网络审计工作时尤其是进行电子证据、电子签名、电子合同、电子货币等合法性审计时有法可依、有章可循。同时, 由于网络审计的对象、线索、方法、流程、结果等各方面相对于传统审计都发生了变化, 所以加快建立一套网络审计准则是促进网络审计的重要任务, 加强网络审计立法以指导网络审计工作实践的深入。
利用审计信息系统和网络进行审计虽然有很多的优点, 但我们也应该认识到联网审计并不能完全取代实地审计的全部。我们应该坚持网络审计和实地审计相结合。一些必须进行实地审计的工作是不能够完全被网络审计所取代的, 如取证材料的认可、现场查看, 实地盘点、询问和调查函证等, 所以网络的远程审计还必须和其他的审计方法相结合。
参考文献
[1]王学荣、张金城:网络环境下的实时自动化审计系统[J].审计与经济研究, 2001 (2) .
[2]中国软件协会财务与企业管理分会:中国财务软件数据接口标准[J].中国会计电算化, 1999 (4) .
众所周知,审计质量是评价审计工作水平高低的标准,是会计师事务所的生命。审计质量的高低直接影响审计目标的实现,对社会经济的发展与稳定产生着直接或间接的影响。由于早期计算机应用比较简单,计算机审计业务主要关注被审计单位电子数据的取得、分析、计算等数据处理业务,还称不上信息系统审计;随着信息时代的到来,网络的普及及计算机信息系统的建立为信息系统审计带来了前所未有的机遇和挑战。
一、计算机信息系统环境下对审计质量的影响
(一)审计线索的减少
审计线索,亦称“审计轨迹”,在计算机信息系统环境下,会计核算主要由计算机完成,计算机只记录最后处理结果,忽略中间处理过程,数据形成依据的记录减少。储存于磁性介质上的会计数据具有存取方便、修改与删除不留痕迹的特点,这又给审计的追踪带来重重困难。因此,计算机信息系统环境下审计线索的减少和追踪困难的增加,必定给审计质量带来重大影响。
(二)审计对象的限制
审计对象是审计监督、检查和评价的客体,具体体现为被审计单位的各项经济活动及其反映的资料。在计算机信息系统环境下,注册会计师进行审计的依据是计算机的输出信息,审计对象在此受到计算机操作人员的限制。后者完全可以只提供他们愿意被审计的信息,其他敏感性信息则极有可能被人为掩藏。这样,注册会计师处于被动地位,难以获取充足的审计证据支持其审计结论,审计质量显然要受到影响。
(三)审计内容的扩展
手工系统中,审计内容就是有关财务会计的信息,而计算机环境下的审计内容还包括会计电算化系统的开发与设计、会计软件的程序以及数据库管理系统。此外,注册会计师还应该确定系统的开发与设计方法是否合理,是否严格按照分析、设计,测试、运行、维护的步骤进行,分析是否全面、设计是否恰当、测试是否充分,会计软件执行程序是否与实际操作中的业务流程一致,数据库管理系统是否有效,会计软件是否能够予以信赖,并以会计软件处理输出的结果作为审计对象。
(四)审计方法的落后
目前,被审计单位的财务工作多采用计算机进行数据处理,会计电算化软件功能日臻完善,但是审计软件的发展远远没有跟上会计软件发展的步伐,同时大部分注册会计师对计算机信息系统还不太熟悉,绝大多数审计业务仍停留在绕过计算机进行审计的阶段。但是这种方法的运用以系统必须留有足够的、肉眼可以识别的审计线索为条件,如前文所述,审计线索缺乏是计算机环境的一个特点,因此,绕过计算机审计的方法难以保证计算机环境下的审计质量。
(五)注册会计师计算机知识的缺乏
在计算机环境下,从审计计划的制定到审计程序的确定,从审计技术的选择到审计方法的采用,都必须由注册会计师操作和指挥。这要求注册会计师不仅要有丰富的会计、财务、审计知识和技能,熟悉财经法律以及其他的审计依据,而且还应当掌握计算机知识及应用技术,掌握数据处理和管理技术;不仅要懂得审计软件的操作方法,而且还应当根据审计过程中所出现的种种问题,即时编写出各种测试、审计程序模块。
二、计算机信息系统环境下提高审计质量的对策
为了提高在计算机信息系统环境下的审计质量,在财务审计中,变绕过计算机审计为穿过计算机审计,对计算机内部数据处理的详细过程直接进行审查。内容包括以下几个方面。
(一)积极开展计算机信息系统的事前审计
通过事前审计监督,对计算机信息系统建立的内部控制的严密完善性、系统的合规合法性以及系统的可审性等进行评价,保证计算机信息系统运行以后数据处理结果的真实性和正确性,防止和减少计算机信息系统信息失真风险的发生。
(二)定期对被审系统的内部控制制度进行审计
对计算机信息系统的内部控制进行审查和评价是提高计算机信息系统环境下审计质量的有效措施之一。通过对被审计系统内部控制制度的健全性调查和实际执行情况的符合性测试,找出控制的弱点,提出强化内部控制措施,督促被审计单位完善内部控制系统。
(三)重视计算机信息系统的事后审计
通过事后审计,对计算机信息系统的电子账以及打印输出资料的真实性、合法性进行评价,防止和揭露计算机信息失真的风险。
通过以上分析,在计算机信息系统环境下审计的业务范围已经扩展到了符合性测试领域。为财务报表审计提供服务只是信息系统审计业务内容很小的一部分,与信息安全相关的防火墙审计、安全诊断、信息技术认证以及ERP相关的新型咨询业务在不断涌现。
三、加快发展信息系统审计
信息技术的发展对中国注册会计师和会计师事务所提出了更高的要求。国际同行的业务收入中,传统审计服务的收入比例在迅速下降,风险控制服务和管理咨询服务收入的比重大大提高,而这些收入中增长的部分往往又和IT环境审计和信息系统安全审计服务有关。所以,应该从三个方面发展信息系统审计工作。
(一)内部控制环节的变化,使许多传统的控制手段已经失去意义,评价和改进内部控制必须以信息系统的运转为基础
计算机信息系统下的内部控制虽然与手工会计系统的目标是一致的,但是与手工会计系统相比,由于计算机有自动处理的功能,内部处理的不可控制性要求采用更为严格的方法。所以在控制方式、内容、手段等方面均不同于手工会计系统的内部控制。
1.职权制审查:即从组织机构角度审查信息系统中各种人员的职责与权利、联系与牵制。
2.人员素质审查:即是否有以提高人员素质为目的的控制措施。
3.硬件及环境审查:即对存档的系统设计文本中有关硬件的资料审查。
4.运行审查:即对计算机在输入、处理、输出过程中的运行情况审查。
5.修改方式及保密措施审查:审查操作修改程序是否只有一个入口,即凭证输入口;发现错误是否采用重新输入凭证的方式加以修改;是否修改后有修改痕迹;各主要功能模块是否设置操作口令,程序是否建立保密制度。
(二)控制计算机环境风险和信息系统运行风险作为管理咨询和服务的重点
由于企业经营越来越依赖于信息系统,除了传统意义上的经营风险、控制风险和财务风险之外,企业信息系统安全性导致的信息风险也日益增长。非授权用户常常利用信息系统本身存在的脆弱性对系统进行非法访问,这种非法访问使系统中储存信息的完整性受到威胁,使信息被修改或破坏而不能继续使用,更为严重的是系统中有价值的信息被非法篡改、伪造、窃取或删改而不留任何痕迹。此外,计算机还容易受各种自然灾害和各种误操作的破坏。必须认识到信息系统的这种脆弱性,采取有效措施来保证信息系统的安全。
减少被审计单位的信息风险、提高信息系统的安全性,其中最重要的手段是系统开发审计。在信息系统开发过程中控制信息系统中的不安全因素,使信息系统减少有意的或无意的差错。目前,我国大多数企业正处于信息系统的应用及逐步完善阶段,系统开发审计应该是我国信息系统审计师的主要业务范围。
随着当前信息技术的发展,地方各级资金管理部门投入大量资金,开发了各种各样的信息系统软件,用于管理资金或实行会计电算化,信息系统的建设的合法性、软件开发的规范性、系统运行的安全性以及程序设置合规性等问题,成为审计关注的重点,开展信息系统审计成为审计机关避免“假账真审”、降低审计风险题中应有之义。
信息系统审计主要目标是确认信息系统的合法性、可靠性、机密性、有效性和安全性等,通过审查信息系统的运行状况,发现信息系统在使用和管理过程中存在的问题,确定是否存在漏洞和缺陷,有无非法和错误的处理和控制的薄弱环节,客观评价系统的现状,促进被审计调查单位进一步加强信息系统管理,完善信息系统功能,保证资金的安全与完整,防范利用计算机系统进行欺诈与舞弊,并提出具有建设性的建议。
信息系统审计重点内容主要有以下三个方面:
一、信息系统运行方面,主要包括:
1、系统安全性,审查信息系统的物理安全性,是否可以有效防止被非法使用,相关安全制度是否齐全,机房进出是否执行登记制度等;中心机房是否建设为标准机房,电源是否为单独供电或双路供电并配备UPS电源,服务器是否配置机柜;机房内是否摆放纸箱等可燃物品,墙体地板、天花等是否按防火标准建设或改造,是否配备防雷设施,地板是否经过防火、防静电处理,配备防静电设施;是否建有磁带库、虚拟带库等系统以备份系统数据,是否建有冗灾备份系统,以确保数据信息安全。
2、系统可靠性,审查硬件、软件是否有效能够保证业务的正常运行,操作系统和数据库是否为正版软件并及时更新,数据库是否能够满足运行需要,系统是否存在漏洞,是否易受病毒、木马、黑客等攻击,导致数据丢失、篡改等;杀毒软件病毒库及防火墙是否及时更新。
3、系统机密性,审查数据访问权限的保密性,是否存在数据被非法用户访问,不相容的权限是否设置单选或者禁用,是否存在同时操作前台和后台,既能办理业务,又能审核业务等,隐私数据的保密是否有力;操作系统及数据库是否加密存储用户口令,系统日志是否保留用户登录、操作系统模块和业务模块的相关信息;是否存在大量共享文件夹及文件,导致系统安全风险。
4、系统合法性,审查信息系统的开发、管理、运营是否符合法律、法规、规章的规定。重要信息是否为必填项或符合规范录入要求。
5、系统效益性,查信息化建设是否坚持成本节约原则,资源的利用是否坚持效率性原则,信息系统是否达到信息化建设目标。
二、信息系统管理方面,主要包括:
1、内部控制制度,主要审查信息系统是否建立相关内部控制及实际执行,关注各个控制
措施之间的相关性,业务运行结果是否与财务数据一致,某一控制是否存在补偿性或是重叠性的控制。
2、保障措施,主要审查各个环节、各个业务部门之间的联接、系统运营后勤保障、售后服务合同签订及后期实施情况等,查看是否存在薄弱环节,是否能有效保障系统的正常安全运行。
三、政策执行方面,主要包括:
1、政策执行,主要地方政策是否符合中央或省级政策的有关条目及法律法规的规定。
2、业务流程,主要审查信息系统是否严格按照流程进行运营,是否存在漏洞等。信息系统审计主要采取的方法:
1、座谈及现场察看,采取与信息化部门、用户及相关人员进行座谈,查阅与信息系统相关的文档、程序等,实地查看机房、业务终端、器材等。
2、计算机辅助审计,利用AO软件的查询、计算、分类、抽样选择、排序、数据文件联结、比较、合并等功能进行审查。
3、测试数据,通过测试数据样本,评价信息系统是否能够正确处理所有业务数据,是否能够对处理过程实施一定控制。
4、应用程序检查,检查系统软件开发过程中是否设置相应控制措施。
5、聘请计算机专家,为审计师提供指导及其他有价值的信息。
来源:CIO时代网
相对于会计而言,更是笼罩着一层神秘的面纱。我记得在杰克。C.罗伯逊的经典着作《审计学》中曾有这么一段妙语:
岳母:杰克,你的工作是什麽?
杰克:我是一名审计师。
岳母的朋友:杰克的工作是什麽?
杰克的岳母:他的工作是在别人的账本中搜事儿(He snoops around in other peoples books)。的确老百姓对审计知之甚少,不过话又说回来,如果将审计理解成监督会计账目,“搜事儿”之说也不完全错误。老百姓是在用最简单的话语来总结审计的功能,事实上这也没有太大的错。
但随着时代的进步,再用“搜事儿”来形容审计可能就不那么准确了。目前审计出现了多个分枝,除了传统的会计账目审计、报表审计外,还出现了绩效审计、经济责任审计、价格审计、信息系统审计,以及为防止舞弊发展出的专项舞弊审计,当然最新的就是信息系统审计了。
随着计算机的发明及IT科技的迅猛发展,这给传统意义上的审计带来了无法抗拒的新挑战。随着电脑与人工处理的整合,内部审计与信息系统审计间的界限也越来越模糊。举例说,随着及的逐步推行,在企业内部,会计成为整体信息化的一个相互关联的组成部分。企业的库存材料可由计算机管理,当领用材料降低到危险水平,可能影响生产时,计算机会自动发出指令,通过网络向供应商订货,并纪录会计账项供应商也会自动处理订单,发货,并收款,记录会计账项。在这过程中人为因素减少,所有纪录均电子化,审计师所需的审计线索、证据难以寻找;而且,这一过程是机器按软件程序进行,对审计师而言,计算机是“黑箱”,谁知道计算机在里面做什麽?所以,对被审计单位的信息系统的了解、测试和评价也成为审计师的工作范围。
中国的信息化建设也急需信息系统审计,尤其是信息化建设项目的绩效审计。作为一个媒体工作人员,我在与一些企业的接触过程中,对一些企业由于电脑升级换代,调试时线路发生故障,引发系统瘫痪的事也履有耳闻。越来越多的传统企业大规模实施企业信息化,在提高了企业效率的同时,也带来了种种困惑,网络经常掉线,宕机,邮件发不出去,病毒肆虐,客户资料被盗等等。而在这方面,信息系统审计能发挥极大的作用,通过在IT系统上“搜事儿”,使得企业在IT系统上的投资发挥最大效能。所以,把信息系统审计说成是在帐务和IT系统上“搜事儿”也没错。
应该说,信息系统审计还是一门边缘性学科,跨越传统审计理论、信息系统管理理论、行为科学理论和计算机科学四个科学领域。所以对相关从业人员的要求就相当高,是指一批既通晓信息系统的软件、硬件、开发、运营、维护、管理和,又熟悉经济管理的核心要义的专家级人士,他们能够利用规范和先进的审计技术,对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造,以降低组织日益面临的信息系统,有效率使用信息系统审计,使到组织IT目标与业务目标保持一致。
关键词:网络信息审计系统,内容审计,模式匹配,BM算法
(一) 信息审计系统的应用模式
信息审计系统实际上是这样一种应用模式, 即数据的采集和过滤、数据的分析处理以及相应的系统响应和动作, 具体的功能模块包括用于数据采集的探针Probe, 数据过滤用的过滤器Filter以及用于数据分析处理和触发系统响应动作的分析器Analyser。信息审计系统应用模式如图1所示。
基于这种应用模式的处理流程, 可以适应很多种应用的需求, 如网络管理、分布式信息采集和挖掘、应用监管、入侵检测和信息审计等。本文就是这种应用模式在网络信息内容审计方面的一个应用。
(二) 系统设计
本系统通过预先设置的关键字, 对捕获报文的内容进行扫描匹配。当报文内容中具有关键字这样的敏感信息, 则进行报警, 产生日志, 如果是TCP协议的网络连接, 可以实时进行协议阻断。系统的软件结构由审计监控工作站和审计分析中心两部分组成, 如图2所示。
审计监控工作站主要由以下几个部分组成:1.网络报文捕获模块。模块主要进行网络报文的捕获和过滤, 并把捕获的报文递交给报文协议分析审计引擎模块。其中对报文的捕获和过滤通过调用WinPcap库来实现。2.报文协议分析审计引擎模块。模块对捕获的报文进行协议分析;用预设的关键字对TCP协议和UDP协议的报文内容进行审计;根据审计结果和审计规则调用TCP协议阻断、应用层报文重组和日志生成等模块进行相应的处理。3.TCP协议阻断模块。当对报文内容进行关键字审计违规时, 可以按用户的审计规则调用本模块阻断当前这个TCP协议的连接。它的实现方式是通过伪造一个正确的FIN报文发给通信双方。4.日志生成模块。主要生成各类日志记录写于到本地数据库中, 比如报警日志等。5.应用层报文重组模块。模块可以把应用层协议 (HTTP、FTP、SMTP、POP3等) 传递的报文进行重组还原成相应的文件, 比如把一次SMTP协议发送过程的报文重组还原成为一个Outlook的邮件文件。这样就可以更直观监控应用层协议传递的内容, 但同时会增加系统开销。6.本地查询维护模块。模块主要提供对本地数据库的日志记录和应用层报文重组形成的还原文件的查询维护。7.管理配置模块。模块主要是实现关键字、审计规则的配置和数据同步客户端的启动。它既可以在本地进行管理配置的设置, 也可以从网络接收审计分析中心下达的管理配置信息。8.数据同步客户端模块。模块主要按配置要求把本地相应的日志记录或者还原文件同步上传到审计分析中心。
审计分析中心主要由以下几个部分组成:1.数据同步服务器端模块。模块接收各个审计监控工作站同步上传的日志记录或还原文件, 再导入到中心数据库中。2.查询维护模块。模块主要提供对中心数据库的日志记录和还原文件的查询和维护。3.管理配置模块。模块可调用查询维护模块对中心数据库的数据进行查询分析和维护;另外它还可以根据自定义的协议, 对各个审计监控工作站的关键字、日志记录同步规则进行配置, 实现对各个审计监控工作站的集中管理。
本系统主要应用在对网络传输内容比较敏感的企事业单位内部, 比如政府安全部门, 军工企业等。审计监控工作站和审计分析中心都运行在操作系统为Windows2000/XP的PC机上。在企事业单位的内部局域网里, 审计监控工作站被分别部署在局域网汇聚层上的各个关键路由器或三层交换机的镜像端口上。这样它就可以对经过该设备的所有流量进行审计。多个这样的审计监控工作站协同合作, 就可以实现对整个局域网全面的信息审计。审计分析中心则被部署在内部局域网的服务器区, 与各个审计监控工作站进行数据的交互。
(三) 简化的BM算法
1. BM算法思想
给定模式串P=P1 P2…Pm, 长度为m;正文串T=T1 T2…Tn, 长度为n;模式串和正文串中可能出现字符的集合为ω, 现在我们来讨论BM算法思想。在BM算法每一轮的模式匹配中, 模式串的字符都是从右向左依次与正文串对应字符进行匹配, 如果模式串的字符全部匹配则匹配成功;否则当第一次出现模式串的字符与正文串对应字符不匹配时, 一轮匹配失败, 马上结束这一轮匹配。算法首先将模式串P与正文串T在开始位置对齐, 开始一轮模式匹配, 如果模式串匹配成功, 整个匹配结束;否则一轮匹配失败, 需要右移模式串, 开始新一轮的匹配;直到一轮匹配成功或连续进行的每一轮匹配都失败模式串连续右移越过正文串末尾时, 整个匹配也结束。
BM算法思想最重要的是如何确定一轮匹配失败时模式串的右移量, 现在我们就一般情况来讨论。如图3所示, 模式串一轮匹配失败, 假设这轮匹配是从正文串位置i开始, 匹配失败的位置在模式串的j处, 此时正文串的位置相应为i-m+j, 该位置的正文串字符Ti-m+j即为坏字符。根据已匹配的结果有子串u=Pj+1 Pj+2…Pm=Ti-m+j+1 Ti-m+j+2…Ti (当j=m时, 子串u不存在) 。此时, BM算法将按以下方式进行坏字符移动和好后缀移动的处理。
坏字符移动定义坏字符Ti-m+j在子串P1P2…Pm-ı中最后出现的位置的值为k。当一轮匹配失败的位置不是在P的最后一个字符时, 如果坏字符Ti-m+j在子串P1P2…Pm-ı中没有出现 (则k=0) , 此时坏字符移动如图3所示, 模式串P右移跳过坏字符Ti-m+j, 在它的下一个位置对齐, 模式串的右移量为j=j–k;如果坏字符Ti-m+j在子串Pı…Pm-ı中最后出现的位置在j的左边 (则k≠0且k
当一轮匹配失败的位置在P最后一个字符时, 此时j=m, 坏字符Ti-m+j也就是Ti。如果坏字符Ti在子串P1P2…Pm-ı中没有出现 (则k=0) , 此时坏字符移动让模式串P右移跳过Ti, 在Ti+1处对齐, 模式串的右移量为m=j-k;否则坏字符Ti在子串P1P2…Pm-ı中出现 (则k≠0) , 此时坏字符移动让模式串P右移, 使子串P1P2…Pm-ı中最后出现的Ti与坏字符Ti对齐, 模式串的右移量为m–k=j-k。所以当一轮匹配失败的位置在P最后一个字符时, 坏字符移动的模式串右移量为j-k。
(2) 好后缀移动
好后缀移动只在子串u存在时才进行。它先从匹配失败的位置j往前, 在P中找前导字符等于Ti-m+j的子串u。存在这样的子串u, 则好后缀移动如图6所示。如果不存在这样的子串u, 则在子串u的后缀中找与模式串P的前缀相同的最长子串v。存在这样的v, 则好后缀移动如图7所示。否则不存在这样的u和v, 好后缀移动如图8所示, 整个模式串右移滑过当前位置, 在Ti+1处对齐, 再开始新的一轮模式串匹配。
综合上面的分析, 当一轮匹配失败时, 模式串的右移量是这样获得:当失败的位置在模式串最后一个字符时, BM算法只进行坏字符移动, 模式串右移量为j-k;当失败的位置不在模式串最后一个字符时, 模式串右移量为坏字符移动的右移量Max (j-k, 1) 和好后缀移动的右移量的最大值。
2. BM算法的简化
从上面的分析, 传统的BM算法还是很复杂的, 尤其是好后缀移动。但在本系统的实际应用环境中, 根据对系统常用的关键字集及中文特点的分析, 我们认为可以抛弃如图6那样的好后缀移动。因为在我们常设的关键字中, 例如“可行性分析”, 出现相同的字或词组的概率非常小;而且这些关键字绝大部分都是3~6个字, 比较短。所以当匹配失败时, 我们认为出现如图6那样的好后缀的概率很小, 可以不考虑这种好后缀移动。
另外在实际的网络流量中, 正文串和模式串中可能出现字符的集合ω的空间至少包括26个英文字母的大小写、数字0~9及标点符号等。在中文环境下, ω的空间则更大。因为ω的空间比较大, 模式串匹配失败时, 如图7和图8那样产生两个字符或两个字符以上的子串u的概率也是非常小的 (假设ω空间大小为100, 则这个概率为1-0.99-0.01*0.99=0.0001) , 所以也可以不考虑这类情况。那么, 在系统实际应用中, 我们可以只考虑匹配失败位置在模式串的最后一个字符和倒数第二个字符时两种情况, 好后缀移动就只在后一种情况时才进行。此时子串u只有一个字符, 如图7和图8那样的好后缀移动就类似于匹配失败在模式串最后一个字符的坏字符移动。因此, 此时如图7和图8这样的好后缀移动是可以借助坏字符移动方式来实现。
基于上面的分析, 在系统的实际应用中, 对传统的BM算法进行了简化, 不再另外进行如图6、7、8这样的好后缀移动, 并且改进坏字符移动的判断位置。简化的BM算法思想是这样:当模式串P的一轮从正文串T位置i起“返前”的从右向左的匹配失败时, 因为模式串至少右移一位, 那么我们就以正文串位置i+1的字符Ti+1来判断模式串下次匹配右移距离;当模式串P中没有字符Ti+1, 模式串则右移越过Ti+1在字符Ti+2处对齐;当P中有Ti+1字符, 模式串则右移, 让P中最后出现的Ti+1与正文串i+1位置的字符Ti+1对齐;再开始模式串新一轮从右向左的匹配, 直到一轮模式匹配成功或连续进行的每一轮匹配都失败模式串连续右移越过正文串末尾时, 整个匹配也结束。
简化的BM算法实现依赖一个辅助的坏字符移动表bm[]。对于任意字符x, 其值属于集合Σ→{0, 1, 2, ···, 255}。对于模式串P, bm[x]的定义如下:
其中bm[x]定义中的k是字符x在P中最后出现的位置的值。当模式串P的一轮从正文串T位置i起“返前”的从右向左的匹配失败时, 下一轮匹配模式串的右移量可以直接通过bm[Ti+1]获得。
3. 算法分析比较
当一轮匹配失败的位置在模式串最后一个字符时, 传统的BM算法以Ti来判断模式串右移量;而简化的BM算法以字符Ti+1来判断模式串右移量, 在理论上, 这可以带来多一步的位移。当坏字符出现在倒数第二位时, 传统的BM算法需要以字符Ti-1获得坏字符移动的距离和以字符Ti获得好后缀移动的距离, 再取两者的最大值作为模式串右移的距离;而简化的BM算法只一次以字符Ti+1来判断模式串右移量, 在理论上, Ti+1比Ti-1和Ti可获得更大的步长, 而且它比传统的BM算法至少还少了一次坏字符移动量和好后缀移动量取最大值的比较。
通过对随机捕获网络报文进行大量的测试, 发现简化的BM算法的审计速度比传统的BM算法普遍能提高3%~10%。下面是我们用广西建设职业技术学院主页上学院简介对算法做的一个测试。根据文献的测量数据, 互联网上的平均IP分组长度为404.5字节。去掉IP分组头部和TCP或UDP报文头部, 实际报文内容平均长度不会大于380个字节。我们取稍坏一点情况, 用学院简介的前400个字节来进行测试。测试PC的CPU为Celeron2.93G, 内存为1G, 操作系统为Windows XP。表1给出了具体的测试数据。
从实验的测试数据我们可以看到, 在字符比较总次数和匹配时间开销上, 简化BM算法比传统BM算法都要理想。而且我们可以发现匹配失败的位置都是发生在模式串的倒数两位。
(四) 结束语
本文介绍了信息审计系统的应用模式。按照这种应用模式, 设计了一个应用于内容审计的网络信息审计系统。文中对常用于内容审计的BM算法进行了深入分析, 再结合系统的应用环境和特点, 对BM算法进行了简化。实验证明这样的简化可以提高系统的审计速度。因为BM算法是单模式的匹配算法, 那么模式匹配的总时间随着关键字的增多而线性增长。根据有关文献的分析结果, 在峰值流量为100Mbps的网络环境里, 当我们的关键字超过20个时, 审计监控工作站的审计速度就会产成比较大的丢包率。本系统下一步的工作就是结合对多模式匹配算法的研究, 提高系统在多关键字审计时的速度。
参考文献
[1]Boyer R S, Moore J S.A Fast String Searching Algorithm[J].Communications of ACM, 1977, 20 (10) :762-772.
[2]Agilent Technologies.JTC003Mixed Packet Size Throughput[EB/OL].http://advanced.comms.agilent.com/n2x/docs/journal/JTC_003.html.
关键词:信息系统审计;企业信息化;信息系统
信息化是国家现代化的基本标志,也是一个国家综合国力的集中体现。信息化建设是一项长期的、综合的系统工程,在改善企业运作管理水平、提高工作效率的同时,也产生了巨大的风险。因此,建立信息系统审计制度,发展信息系统审计是信息化过程中必不可少的制度保证和手段。
一、信息系统审计的概述
1.信息系统审计的定义
信息系统审计(Information System Audit信息系统,简称ISA)目前还没有公认的通用定义,国际信息系统审计领域的权威专家Ron Weber将它定义为:收集并评估证据,以判断一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济地使用资源。可通俗的理解为是对信息系统的规划、开发、实施、运行和维护等各个环节进行评价,确保其符合企业经营目标的过程。
2.信息系统审计的业务内容
信息系统审计的业务内容包括计算机资源管理审计、软硬件等获取审计、系统软件审计、程序审计、数据完整性审计、系统生命周期审计、应用系统开发审计、系统维护审计、操作审计和安全审计。
信息系统审计项目按生命周期来划分,一般分为信息系统开发过程的审计、信息系统运行维护过程的审计和信息系统生命周期共同业务的审计。
信息系统开发过程中的审计是伴随着系统规划、系统分析、系统设计、编码、测试和系统试运行这几个阶段同步进行的。信息系统运行过程中的审计包括系统输入审计、通信过程审计、处理过程审计、数据库审计、系统输出审计和运行管理审计;信息系统维护过程中的审计包括维护组织审计、维护顺序审计、维护计划审计、维护实施审计、维护确认审计、改良系统试运行审计和旧信息系统报废审计。
3.信息系统审计的流程
信息系统审计流程包括三个阶段即:审计计划阶段、审计实施阶段和审计完成阶段。
计划阶段是信息系统审计流程的第一步,主要任务是了解被审系统的基本情况;与委托单位签订业务约定书;初步评价被审系统的内部控制及外部控制;确定重要性水平;分析审计风险和编制审计计划。
实施阶段的主要任务是根据重要性水平、风险和计划获取有关资料;进行符合性测试和实质性测试;对测试结果进行分析;找出导致结果的原因。
完成阶段的主要任务是整理、评价审计证据;复核工作底稿,完成二级复核,汇总审计差异,同被审系统管理层交流;对重要性水平和风险进行最终评价,形成审计意见,编制审计报告,完成三级复核。
二、信息系统审计的方法、技术与工具
由于信息系统本身的多样性和复杂性,信息系统审计的难度也随之增加。面对错综复杂的信息系统和审计环境,要求审计师可以根据审计组织及信息系统的实际情况,结合审计目标、成本效益、审计小组的人员与设备配置情况等,采用多种方法、技术和工具来帮助他们进行审计工作。
1.常规的审计方法、技术与工具
常规的审计方法包括面谈法、问卷调查法、系统评审会、流程图检查、程序代码检查、程序代码比较和测试等。但在高度计算机化的信息系统中,只采用常规审计法显然是不够的,无论是审计证据的收集、评价,还是实现审计工作的现代化,都需要借助计算机来高效完成。
2.计算机辅助审计的技术与工具
信息系统被普遍应用与企业生产、管理及经营活动的各个环节,审计师为达到审计目的,必须要收集大量储存于计算机中的数据,并借助于计算机对这些数据进行分析,以得出审计的结论。因此审计师在收集证据并分析证据时,必需利用计算机辅助审计工作,计算机辅助审计技术(Computer Assisted Audit Techniques,简称CAAT)越来越成为审计师不可或缺的手段。
计算机辅助审计技术可以使信息系统审计师独立收集审计信息,按照预定审计目标访问和分析数据、报告系统产生和维护的记录的可靠性等审计发现。所用信息来源的可靠性为得出审计结论提供了再保证。
常用的计算机辅助审计软件与技术:共用软件、测试数据、应用程序检查、审计专家系统、整体测试、快照、系统控制审计审核文档、其他特殊的审计软件等。
三、信息系统审计的应用价值
信息化是有风险的,信息系统规模越大,功能越复杂,风险也就越大。信息系统审计为企业信息系统的有效管理提供了一系列详细的审计方法,从项目计划开始介入信息系统建设的每个环节,从项目的初始阶段一直到运营阶段的全过程,给予项目投资者风险控制的评价和建议,提高信息系统的投资效益。
信息系统审计可以查出各种错误和舞弊,合理地保证企业信息系统及其处理、产生的信息的真实性、完整性与可靠性;可以促进企业更有效地融入到社会生活中;可以促进企业改进内部控制,加强管理,提高信息系统实现组织目标的效率。信息系统审计在信息化过程中,帮助企业建立健全的内部控制制度,进行系统诊断。确定信息化的目标和内容,帮助企业调整现有的管理框架和流程或修改软件产品使其更好地服务于管理的需要。
参考文献:
[1]胡克瑾:IT审计[M].电子工业出版社,2004.
[2]孙 强:信息系统审计:安全、风险管理与控制[M].机械工业出版,2003.
[3]关莉莉:谈企业信息化过程中的IT审计[J]商业时代,2009(4)