首页资料文库正文

系统审计论文范文10篇

时间：2023-04-06 19:19:43

系统审计论文

系统审计论文范文篇1

［论文摘要］本文分析了信息系统环境下审计工作系统的功能特征、运作环节以及系统的构成，介绍了系统测试的方法，以期提高审计信息化水平，提高审计效率和效果。

数据库技术在审计信息管理中的广泛运用，能为审计人员充分、有效、便利地提供信息，为满足快捷决策需要奠定了基础。其主要设计思想是将分析决策所需的大量数据从传统的操作环境中分离出来，把分散的、难以访问的操作数据转换成集中统一、随时可用的信息而建立的一个大的数据库，其中存储了所有审计数据。

一、审计工作系统的功能特征

在审计工作系统中，审计数据库将信息按照主题来进行组织、管理、控制，审计系统对信息的组织、管理、控制方式一般具有以下特征：

1.一致性

不同来源的多种数据一旦进入数据库，就必须按照统一的主键和结构与编码规则重新组合，因而在审计系统中的数据信息具有一致性的特点。当业务事件发生时，所有原始数据被适当加工成标准编码的源数据，集成于一个逻辑数据库(或数据仓库)，而不是重复存储于多个低耦合系统中。数据库不只记录符合会计事项定义的业务事件，而且记录管理者想要计划、控制和评价的所有业务事件，并且存储业务活动中多方面的细节信息。任何授权用户都可以通过数据库所存储的数据来定义和获取所需的有用信息，这样既能提供多种视图驱动应用所能提供的全部视图，又能避免数据重复存储和数据不一致的问题。此外，这种体系结构还实现了信息处理的实时控制，数据库中的处理单元在业务发生时捕捉业务数据，既能执行业务规划和控制，又能校验数据的准确性和完整性。

2.时间变量

审计数据库中的数据键始终包括时间元素，数据保存的时间通常较长，具有作历史比较和趋势分析预测的长期数据基础。数据库技术是将计算机应用于数据管理而产生的一种新的技术，它仅是审计信息系统凭借的一种新的管理手段，对于数据库的基本要素和管理对象——审计信息的源数据，并不是指没有经过任何加工的原始数据，而是在原始数据的基础上，经过了类似于会计流程中的原始凭证确认、统—会计科目标准编码等加工后所形成的数据。

二、审计工作系统的运作环节

审计数据库在审计工作系统的运作过程大致有如下4个重要方面：

1.数据获取

获取企业的数据信息，记录数据信息的功能和处理过程。根据审计人员的需要，对在数据库中运算所需的数据通过一定的方式进行采集，可以得到企业完整而清晰的数据信息，选取和不断更新数据，保证数据的一致性，使审计信息系统的数据不断更新与补充，并使数据在审计信息系统内部各部件之间可以沟通；利用现有系统的信息，确定从企业数据到审计信息系统的数据模型所必需的转化／综合模式。生成审计信息数据，是进行审计工作的数据基础，类似于传统手工环境下的审计对象。审计信息系统上的财务信息不再是简单的纯文本传统财务信息，它是特定协议标准格式，如超文本格式(HTML)的电子报表，所有数据只要点击都可以被随意移植使用。通过网络传输而来的电子报表按照一定的协议标准格式编制，也可以转换成审计信息系统所需的数据。通过数据获取环节，把这些数据转换成审计信息系统所能识别的形式，或直接采用被审计单位所提供电子数据加工出审计信息系统想要的形式。

2.数据管理

此环节包括会计信息库和用户信息库两部分，前者主要依据数据库技术进行管理，注重于对信息的分类、组织、维护、检索等，对存储的数据建立模型，通过数据模型来对信息进行保存和管理；后者主要包括有关用户个性特征的信息，个性特征数据结构设计是这部分的关键问题，决定了个性化信息服务系统服务质量的优劣，也是实现信息服务自动化和智能化的关键。通过将各种数据装入数据管理库之中，生成必需的、能为审计人员所直接使用的数据管理库，或通过其他方法为审计人员提供查询工具，以便审计人员能方便地从数据管理库中获取所需的信息，并可以通过一定的形式将其输出。生成审计工作所需的数据管理库包含各种审计计算底稿、审定表、审计报告、管理建议书等信息的结构化数据库，并形成与其他部件进行联系的桥梁。

3.分析推理

这是审计信息系统中对信息流进行控制的核心，其主要功能是接受审计人员通过审计信息系统传来的信息需求，判断需求指向的是已存在的信息，还是不存在的信息，或者是哪一层次的信息。对已存在的信息可直接调出并通过用户浏览器予以显示，对不存在的信息需要进行记录，并判断是否经适当可行的计算或处理即可提供，如是，则进行计算处理并显示；否则，作为遗留问题提示进行特别设置处理。此环节是审计工作数据库的主要组成部分之一，可以利用采集到的数据信息，根据程序设置，推断出审计人员工作需要的可能解；提供方便的审计分析模块。

4.解释报告

审计软件可以提供审计报告生成功能，审计人员可以通过它选择具体的信息项目、类型和表达形式，主要内容包括：（1）设置报告模式。模式中列有会计系统中与要素模块相应的数据项目，模式中的项目与含有多种会计方法的对话框或序列框相联，以便审计人员选择他们需要的会计方法来处理其选择的信息项目。（2）初始选择。在生成报告时，现行的会计准则和法规作为初始选择存放在对话框架或子对话框中。如不进行任何选择，审计人员可以得到一份通用的标准的审计报告。（3）选择项目。除初始选择以外，模式报告还提供可选择项目来满足审计人员不同的信息报告要求，这些选择项目可以是会计准则和法规、会计计量和估价方法、财务信息与非财务信息的类型、报告的频率、范围、使用的语言、形式等，提供可选择项目能够增强交互性相对化特征，既能满足审计人员的特殊信息报告需要，又能减少报告使用人员的信息负担。（4）帮助功能。可以采取3种方式：自动显示专业技术概念解释；在对话框中提供环境敏感帮助；一个全面的包括如何应用更复杂的会计技术和方法的目录。帮助功能可以避免审计人员和报告使用者有限的时间被信息的多样化这种无实际意义的工作浪费，有利于及时、准确、有效地寻找有用信息，提高对信息的利用效率。

三、审计工作系统的组成及内容

1.审计项目管理部分

通过建立审计项目管理组件，对每一个被审计项目的各方面情况进行记录并生成电子档案，可以让审计人员更方便地查阅、了解被审计单位的情况，让审计项目的新进人员可以更快熟悉工作；可以建立审计质量控制系统，明确审计人员的工作职责。2.审计法规管理部分

可以自动检查有关处理是否合法合规，能完成法规资料的录入、修改、删除、检索、打印等功能。检索功能不仅可以为用户按各种条件查找审计法规的目录，而且可以根据目录查找法规全文，可以按要求摘要其中的内容并打印输出。审计法规数据库也可以单独成为一个软件，现已成功地应用于审计工作第一线，是我国目前开发和应用较成功的专项审计软件之一。

3.审计操作管理部分

审计操作管理的功能：（1）参考功能。提供计算机审计中常用的工具、手段、可使用的审计程序，其主要内容有：审计环境建立、查询、抽样、汇总与计算、排序与分类、财务与效益分析、编制与输出工作底稿、打印各类审计文件等。（2）图像处理功能。通过对图像显示参数的设置，可以使审计结果以图表的形式表达出来，可以让内部审计人员直观地了解被审计单位的情况。（3）底稿处理功能。能完成审计工作底稿及有关参数和数据的增、删、改等维护工作。针对计算机系统还能自动查找、计算、输入底稿所需数据，并按格式打印，针对手工系统则可以提示审计人员输入有关数据，并进行计算性复核。

4.专用程序管理部分

对于一些需要对外报送资料的项目，尤其是需要送交政府部门的项目，有的政府部门可能提供了单独的审计软件，或者需要单独配备专用的审计功能，以满足政府部门的数据需要。还有的审计项目因数据量大，牵涉面广，并且各被审计单位的情况又不尽一致，为了对这些项目进行有效的审计，也需要针对每个项目的不同情况，单独配备专用的审计功能，以满足审计工作的要求。

四、审计工作系统的测试方法

1.现场交易选择测试数据

对被审计单位的现场交易作标记输入到应用程序中，把带标记的交易当作测试数据。采用这种方法，应用程序中必须有特定的计算机程序能够识别出带标记的交易，并且使这些交易既要更新应用系统的主文件，同时也要更新做检测用的虚拟实体。现场交易作标记选择和识别带记号的交易测试数据有多种策略：第一，在源文件中或屏幕布局中包含一个专门的标识字段，用来表示一笔交易既为正常交易又为带记号交易。由审计人员来选择确定对哪些现场交易作标记，所选交易的特征可以与测试数据的设计相一致，也可以根据制定的抽样计划进行选择。第二，在应用系统的程序中嵌入审计软件模块，利用审计软件来选择交易并给交易加标记使其成为带记号交易。第三，在应用系统中嵌入抽样程序，抽样程序具有根据抽样计划给交易作标记，并使其成为带记号交易的功能。不论采用何种策略，应用系统中必须有相应的处理程序，专门处理带标记的交易。

2.自行设计测试数据

自行设计测试数据是将测试数据与现场交易数据一同输入应用系统。采用这种方法，审计人员应当根据所要使用的测试数据特征设计并创建测试数据。自行设计测试数据的优点是覆盖面广，可全面测试系统；但设计和建立测试数据要花费一定的时间和费用。笔者认为，应用程序进行检测时，首先要在应用程序的文件中建立一个虚拟实体，并让应用程序处理该实体的审计测试数据。如果应用程序是工资系统，可在其数据库中建立一个虚拟的职员资料库；如果应用程序是存货系统，可在其数据库中建立一个虚拟的存货项目。将带标记的实际数据或模拟数据一同输入应用程序和审计软件进行处理，通过将应用程序对数据处理的结果同审计软件处理的结果进行比较，可确定应用程序的处理和控制功能是否恰当、可靠。当应用程序非常庞大或复杂时，全面追踪通过系统的不同执行路径会有一定难度，审计人员对交易进行审查时，可以在应用系统的重要处理发生点嵌入软件，当交易通过不同处理点时，嵌入软件可捕捉交易的过程。为证实不同关键点的处理，审计人员使用软件捕捉交易的前后过程，通过检验前后过程及其变换，评价交易处理的真实性、准确性和完整性。

主要参考文献

［1］WayneMoreandDavidHendrey．ITAuditRenewal［J］.InternalAuditor，l999，（4）：17.

系统审计论文范文篇2

关键词：信息系统审计;企业信息化;信息系统

信息化是国家现代化的基本标志，也是一个国家综合国力的集中体现。信息化建设是一项长期的、综合的系统工程，在改善企业运作管理水平、提高工作效率的同时，也产生了巨大的风险。因此，建立信息系统审计制度，发展信息系统审计是信息化过程中必不可少的制度保证和手段。

一、信息系统审计的概述

1.信息系统审计的定义

信息系统审计（InformationSystemAudit信息系统，简称ISA）目前还没有公认的通用定义，国际信息系统审计领域的权威专家RonWeber将它定义为：收集并评估证据，以判断一个计算机系统（信息系统）是否有效做到保护资产、维护数据完整、完成组织目标，同时最经济地使用资源。可通俗的理解为是对信息系统的规划、开发、实施、运行和维护等各个环节进行评价，确保其符合企业经营目标的过程。

2.信息系统审计的业务内容

信息系统审计的业务内容包括计算机资源管理审计、软硬件等获取审计、系统软件审计、程序审计、数据完整性审计、系统生命周期审计、应用系统开发审计、系统维护审计、操作审计和安全审计。

信息系统审计项目按生命周期来划分，一般分为信息系统开发过程的审计、信息系统运行维护过程的审计和信息系统生命周期共同业务的审计。

信息系统开发过程中的审计是伴随着系统规划、系统分析、系统设计、编码、测试和系统试运行这几个阶段同步进行的。信息系统运行过程中的审计包括系统输入审计、通信过程审计、处理过程审计、数据库审计、系统输出审计和运行管理审计；信息系统维护过程中的审计包括维护组织审计、维护顺序审计、维护计划审计、维护实施审计、维护确认审计、改良系统试运行审计和旧信息系统报废审计。

3.信息系统审计的流程

信息系统审计流程包括三个阶段即:审计计划阶段、审计实施阶段和审计完成阶段。

计划阶段是信息系统审计流程的第一步，主要任务是了解被审系统的基本情况；与委托单位签订业务约定书；初步评价被审系统的内部控制及外部控制；确定重要性水平；分析审计风险和编制审计计划。

实施阶段的主要任务是根据重要性水平、风险和计划获取有关资料；进行符合性测试和实质性测试；对测试结果进行分析；找出导致结果的原因。

完成阶段的主要任务是整理、评价审计证据；复核工作底稿，完成二级复核，汇总审计差异，同被审系统管理层交流；对重要性水平和风险进行最终评价，形成审计意见，编制审计报告，完成三级复核。

二、信息系统审计的方法、技术与工具

由于信息系统本身的多样性和复杂性，信息系统审计的难度也随之增加。面对错综复杂的信息系统和审计环境，要求审计师可以根据审计组织及信息系统的实际情况，结合审计目标、成本效益、审计小组的人员与设备配置情况等，采用多种方法、技术和工具来帮助他们进行审计工作。

1.常规的审计方法、技术与工具

常规的审计方法包括面谈法、问卷调查法、系统评审会、流程图检查、程序代码检查、程序代码比较和测试等。但在高度计算机化的信息系统中，只采用常规审计法显然是不够的，无论是审计证据的收集、评价，还是实现审计工作的现代化，都需要借助计算机来高效完成。

2.计算机辅助审计的技术与工具

信息系统被普遍应用与企业生产、管理及经营活动的各个环节，审计师为达到审计目的，必须要收集大量储存于计算机中的数据，并借助于计算机对这些数据进行分析，以得出审计的结论。因此审计师在收集证据并分析证据时，必需利用计算机辅助审计工作，计算机辅助审计技术（ComputerAssistedAuditTechniques，简称CAAT）越来越成为审计师不可或缺的手段。

计算机辅助审计技术可以使信息系统审计师独立收集审计信息，按照预定审计目标访问和分析数据、报告系统产生和维护的记录的可靠性等审计发现。所用信息来源的可靠性为得出审计结论提供了再保证。

常用的计算机辅助审计软件与技术：共用软件、测试数据、应用程序检查、审计专家系统、整体测试、快照、系统控制审计审核文档、其他特殊的审计软件等。三、信息系统审计的应用价值

信息化是有风险的，信息系统规模越大，功能越复杂，风险也就越大。信息系统审计为企业信息系统的有效管理提供了一系列详细的审计方法，从项目计划开始介入信息系统建设的每个环节，从项目的初始阶段一直到运营阶段的全过程，给予项目投资者风险控制的评价和建议，提高信息系统的投资效益。

信息系统审计可以查出各种错误和舞弊，合理地保证企业信息系统及其处理、产生的信息的真实性、完整性与可靠性；可以促进企业更有效地融入到社会生活中；可以促进企业改进内部控制，加强管理，提高信息系统实现组织目标的效率。信息系统审计在信息化过程中，帮助企业建立健全的内部控制制度，进行系统诊断。确定信息化的目标和内容，帮助企业调整现有的管理框架和流程或修改软件产品使其更好地服务于管理的需要。

参考文献:

[1]胡克瑾:IT审计[M].电子工业出版社，2004.

[2]孙强:信息系统审计:安全、风险管理与控制[M].机械工业出版,2003.

系统审计论文范文篇3

众所周知，审计质量是评价审计工作水平高低的标准，是会计师事务所的生命。审计质量的高低直接影响审计目标的实现，对社会经济的发展与稳定产生着直接或间接的影响。由于早期计算机应用比较简单，计算机审计业务主要关注被审计单位电子数据的取得、分析、计算等数据处理业务，还称不上信息系统审计；随着信息时代的到来，网络的普及及计算机信息系统的建立为信息系统审计带来了前所未有的机遇和挑战。

一、计算机信息系统环境下对审计质量的影响

（一）审计线索的减少

审计线索，亦称“审计轨迹”，在计算机信息系统环境下，会计核算主要由计算机完成，计算机只记录最后处理结果，忽略中间处理过程，数据形成依据的记录减少。储存于磁性介质上的会计数据具有存取方便、修改与删除不留痕迹的特点，这又给审计的追踪带来重重困难。因此，计算机信息系统环境下审计线索的减少和追踪困难的增加，必定给审计质量带来重大影响。

（二）审计对象的限制

审计对象是审计监督、检查和评价的客体，具体体现为被审计单位的各项经济活动及其反映的资料。在计算机信息系统环境下，注册会计师进行审计的依据是计算机的输出信息，审计对象在此受到计算机操作人员的限制。后者完全可以只提供他们愿意被审计的信息，其他敏感性信息则极有可能被人为掩藏。这样，注册会计师处于被动地位，难以获取充足的审计证据支持其审计结论，审计质量显然要受到影响。

（三）审计内容的扩展

手工系统中，审计内容就是有关财务会计的信息，而计算机环境下的审计内容还包括会计电算化系统的开发与设计、会计软件的程序以及数据库管理系统。此外，注册会计师还应该确定系统的开发与设计方法是否合理，是否严格按照分析、设计，测试、运行、维护的步骤进行，分析是否全面、设计是否恰当、测试是否充分，会计软件执行程序是否与实际操作中的业务流程一致，数据库管理系统是否有效，会计软件是否能够予以信赖，并以会计软件处理输出的结果作为审计对象。

（四）审计方法的落后

目前，被审计单位的财务工作多采用计算机进行数据处理，会计电算化软件功能日臻完善，但是审计软件的发展远远没有跟上会计软件发展的步伐，同时大部分注册会计师对计算机信息系统还不太熟悉，绝大多数审计业务仍停留在绕过计算机进行审计的阶段。但是这种方法的运用以系统必须留有足够的、肉眼可以识别的审计线索为条件，如前文所述，审计线索缺乏是计算机环境的一个特点，因此，绕过计算机审计的方法难以保证计算机环境下的审计质量。

（五）注册会计师计算机知识的缺乏

在计算机环境下，从审计计划的制定到审计程序的确定，从审计技术的选择到审计方法的采用，都必须由注册会计师操作和指挥。这要求注册会计师不仅要有丰富的会计、财务、审计知识和技能，熟悉财经法律以及其他的审计依据，而且还应当掌握计算机知识及应用技术，掌握数据处理和管理技术；不仅要懂得审计软件的操作方法，而且还应当根据审计过程中所出现的种种问题，即时编写出各种测试、审计程序模块。

二、计算机信息系统环境下提高审计质量的对策

为了提高在计算机信息系统环境下的审计质量，在财务审计中，变绕过计算机审计为穿过计算机审计，对计算机内部数据处理的详细过程直接进行审查。内容包括以下几个方面。

（一）积极开展计算机信息系统的事前审计

通过事前审计监督，对计算机信息系统建立的内部控制的严密完善性、系统的合规合法性以及系统的可审性等进行评价，保证计算机信息系统运行以后数据处理结果的真实性和正确性，防止和减少计算机信息系统信息失真风险的发生。

（二）定期对被审系统的内部控制制度进行审计

对计算机信息系统的内部控制进行审查和评价是提高计算机信息系统环境下审计质量的有效措施之一。通过对被审计系统内部控制制度的健全性调查和实际执行情况的符合性测试，找出控制的弱点，提出强化内部控制措施，督促被审计单位完善内部控制系统。（三）重视计算机信息系统的事后审计

通过事后审计，对计算机信息系统的电子账以及打印输出资料的真实性、合法性进行评价，防止和揭露计算机信息失真的风险。

通过以上分析，在计算机信息系统环境下审计的业务范围已经扩展到了符合性测试领域。为财务报表审计提供服务只是信息系统审计业务内容很小的一部分，与信息安全相关的防火墙审计、安全诊断、信息技术认证以及ERP相关的新型咨询业务在不断涌现。

三、加快发展信息系统审计

信息技术的发展对中国注册会计师和会计师事务所提出了更高的要求。国际同行的业务收入中，传统审计服务的收入比例在迅速下降，风险控制服务和管理咨询服务收入的比重大大提高，而这些收入中增长的部分往往又和IT环境审计和信息系统安全审计服务有关。所以，应该从三个方面发展信息系统审计工作。

（一）内部控制环节的变化，使许多传统的控制手段已经失去意义，评价和改进内部控制必须以信息系统的运转为基础

计算机信息系统下的内部控制虽然与手工会计系统的目标是一致的，但是与手工会计系统相比，由于计算机有自动处理的功能，内部处理的不可控制性要求采用更为严格的方法。所以在控制方式、内容、手段等方面均不同于手工会计系统的内部控制。

1．职权制审查：即从组织机构角度审查信息系统中各种人员的职责与权利、联系与牵制。

2．人员素质审查：即是否有以提高人员素质为目的的控制措施。

3．硬件及环境审查：即对存档的系统设计文本中有关硬件的资料审查。

4．运行审查：即对计算机在输入、处理、输出过程中的运行情况审查。

5．修改方式及保密措施审查：审查操作修改程序是否只有一个入口，即凭证输入口；发现错误是否采用重新输入凭证的方式加以修改；是否修改后有修改痕迹；各主要功能模块是否设置操作口令，程序是否建立保密制度。

（二）控制计算机环境风险和信息系统运行风险作为管理咨询和服务的重点

由于企业经营越来越依赖于信息系统，除了传统意义上的经营风险、控制风险和财务风险之外，企业信息系统安全性导致的信息风险也日益增长。非授权用户常常利用信息系统本身存在的脆弱性对系统进行非法访问，这种非法访问使系统中储存信息的完整性受到威胁，使信息被修改或破坏而不能继续使用，更为严重的是系统中有价值的信息被非法篡改、伪造、窃取或删改而不留任何痕迹。此外，计算机还容易受各种自然灾害和各种误操作的破坏。必须认识到信息系统的这种脆弱性，采取有效措施来保证信息系统的安全。

系统审计论文范文篇4

论文关键词：计算机网络；应用服务；审计系统

随着Internet的发展，各种各样的网络应用服务也层出不穷，传统的如DNS、Email、Web和FTP等，时髦的如P2P、网络证书、网络电话和软件仓库等.面对如此众多的网络服务，怎样进行有效、规范的管理?怎么确保网络应用服务的健康、有序的发展?这就是摆在各个网络信息管理员面前迫切的问题.网络信息服务审计系统可以解决这个难题，同时也是网络安全研究的一个热点.

本文结合高校的特色和网络应用的实际情况，对网络应用服务管理进行了研究，提出了采用接人控制的网络应用服务审计系统的解决方案，通过实践证明，该系统对高校的应用服务系统是一种切实有效的管理方式.

1网络服务审计

1.1什么是网络服务审计

“审计”的英文单词为“Audit"，可解释为“查账”，兼有“旁听”的涵义.由此可见，早期的审计就是审查会计账目，与会计账目密切相关.审计发展至今，早已超越了查账的范畴，涉及到对各项工作的经济性、效率性、合法性和效果性的查核，其基本目是确定被审查对象与所建立的标准之间的一致或不一致的地方.

网络服务审计是指对网络服务提供者所提供的服务是否遵守有关的法律和规章制度、是否登记备案、其服务内容是否超越所登记备案的范围、其是否已有效地达到了预期的结果等进行的检查与核查行为.

1.2网络服务审计的必要性

传统的网络服务审计可能非常耗费时间，通过对计算机逐个进行端口扫描、漏洞扫描或者镜像监听，获得所需要的信息后进行审计和核查.但如果计算机更改服务提供的端口号、用户防火墙屏蔽了端口扫描或者采用动态端口提供服务，那么就无法及时获得这些必要的信息了.

对网络信息管理员而言，如何有效的控制网络中的信息服务、如何掌握信息服务提供者所提供的服务类型是否超越所登记备案的范围、如何及时掌握统计和分析网络中信息流的动态情况等都是一个很繁琐和复杂的事情.

通过对网络应用服务的审计，能够及时获取服务提供者所提供的网络应用服务，能够及时掌握用户对信息服务的访问行为，能够及时发现有无违规的信息与访问，能够及时发现涉密信息的泄露和敏感信息的访问等.

2网络应用服务审计系统架构

结合高校的特色和网络应用的实际情况，采用接人控制的网络应用服务审计系统由三部分组成:

2.1IEEE802.1x网络访问控制

IEEE802.Ix协议是基于端口的访问控制协议(portbasednetworkaccesscontrolprotocol)，主要解决以太网认证和访问控制方面的问题.目前很多高校校园网都采用802.ix用于对用户接入校园网的行为进行控制.

在802.1x初始状态下，以太网交换机上的所有端口处于关闭状态，只有802.1x数据包才能通过，或者只能访问GuestVLAN内的特定网络资源(如网络应用服务审计服务器)，而另外的网络数据流都被禁止.当用户进行802.lx认证时，以太网交换机将用户名和密码传送到后台的认证服务器上进行验证.如果用户名和密码通过了验证，则相应的以太网端口打开，允许用户对网络的访问，并部署AAA服务器下发的访问控制策略.

802.1x主要是解决网络接人的问题，未通过认证的用户将无法使用网络，这样可以确保接入用户的合法性.同时，当用户认证通过后，由服务审计服务器判定该用户是否安装Java数据采集控件，配合AAA服务器决定用户是否能够访问网络.

2.2Java数据采集控件

数据采集控件的实现有两种方式:一是集成到802.lx客户端中，二是单独的控件.Java由于其跨平台、跨操作系统的特性而成为首选.这样不管用户使用的是什么操作系统、使用什么软件提供服务，都能很方便的进行数据采集.

Java数据采集控件主要完成数据采集的工作，当用户第一次连接网络时，强制安装该控件.如果用户重新安装操作系统，当用户再次连接网络时，也将被强制安装该控件.

未安装数据采集控件的计算机，即使通过802.1x认证，也将只能访问服务审计服务器，而不能访问其他的网络资源.

数据采集控件负责采集计算机操作系统类型及版本、开放的端口、提供的服务和流量等信息，并上报给服务审计系统.

2.3服务审计服务器

服务审计服务器是整个系统的核心，主要有三个功能:一是和AAA服务器配合，确保所有接人网络的计算机合法性，并已安装数据采集控件.二是和Java数据采集控件通信，将数据采集控件报送的信息存储到数据库中.三是实现信息服务备案、查询管理、审计分析、实时审计和统计报表等功能.其中审计分析采用MPMF(multi-prioritymemoryfeedback)流水线处理算法}3J，其处理能力可以承载高速网络的审计处理.

2.4后台数据库服务器

数据库服务器可以采用市面上主流的大型数据库管理系统，如()racle,SQLServer,Sybase等，服务审计服务器通过ODBC/JDBC等数据访问接口来无缝地连接这些数据库系统.

同时，通过数据库复制来实现数据库的分布和同步，以使网络应用服务审计系统具备可扩展的数据处理能力，保证在网络流量日益增大的情况下系统可以可靠地运行.

3工作流程

3.1计算机接入网络

3.1.1802.lx认证

当计算机发起802.1x认证时，交换机将用户名和密码传送到后台的AAA服务器，由AAA服务器进行合法性判定.当用户未通过802.1x认证时，对网络的访问受限;当用户通过802.1x认证时，还需要由审计服务器进一步确认计算机上是否安装Java数据采集控件.

3.1.2Java数据采集控件确认

计算机通过802.1x认证后，AAA服务器通知交换机打开端口并部署相应的访问控制策略，将所有网络访问重定向到服务审计服务器.

如果计算机上已经安装Java数据采集控件，当检测到计算机网络状态已连接时，自动向服务审计服务器发出通知，告知该计算机已接入网络.服务审计服务器接到通知后，将信息记录到后台数据库服务器中，并通知AAA服务器下发新的访问控制策略，允许计算机访问其他的网络服务.

如果计算机没有安装Java数据采集控件，服务审计服务器不会收到通知，这时用户所有的访问都被重定向到服务审计服务器，而不能访问其他的网络服务川.

3.2网络应用服务审计数据采集

数据采集控件定时和服务审计服务器进行通信，将采集的信息上报服务审计服务器.服务审计服务器将这些信息记录到后台数据库服务器中，用于后续的查询、统计和审计等.

如果服务审计服务器在一定时间内未收到数据采集控件的通信信息(单次通信超时为60秒，如果连续5次通信未成功，则视为通信中断)，服务审计服务器通知AAA服务器断开该用户的网络连接.

采集的审计数据一般包括下边的三个部分:

1)主机识别:连接到网络上的活动计算机的IP地址、MAC地址、802.1x用户名、交换机管理IP地址和交换机端口等数据，这些数据可以由802.1x服务提供.

2)主机描述:连接到网络上的活动计算机的操作系统、运行的网络服务及其版本信息、计算机开放的端口等数据，这些数据由Java数据采集控件提供.

3)服务描述:连接到网络上的活动计算机的哪些网络服务处于激活状态、流量是多少等数据，这些数据由Java数据采集控件和AAA服务器联合提供.

3.3网络应用服务审计

网络应用服务审计系统负责对采集到的信息进行审计，并根据预定设置，采取相应的措施.

审计可分为三个级别:高优先级、中优先级和低优先级。

高优先级审计主要用于网络中重要服务的审计，包括两个方面:一是所允许的服务运行是否正常，二是是否有未允许的服务在运行.高敏感度审计发现网络中的重要服务出现问题时，会立即以短信方式通知管理员进行处理，从而确保重要服务的正常运行.

中优先级审计主要用于网络中非重要服务的审计，也包括上述两个方面，但发现问题时，只是以告警信息或者邮件的方式提示管理员进行处理.

低优先级审计则用于网络中的大部分用户，着重于信息的收集和保存，以备非实时审计、统计分析用.

为满足高速网络中服务审计的需要，采用了MPMF流水线处理算法.MPMF算法根据审计系统的过程模型以及各个部分的特点，合理划分各个部分的层次以及优先级顺序。

3.4计算机从网络中退出

当计算机正常从网络中退出时，数据采集插件停止工作，交换机端口恢复到关闭状态.

当计算机非正常退出时(如突然断电、计算机死机等)，服务审计服务器在一定时间内未收到数据采集控件的通信信息(单次通信超时为60秒，如果连续5次通信未成功，则视为通信中断)，服务审计服务器通知AAA服务器断开该用户的网络连接，交换机端口恢复到关闭状态.

系统审计论文范文篇5

一、审计系统必须适应环境的发展

审计系统是在一定的经济社会环境下产生，又在特定的外界环境中存在和发展。它是环境的产物，必须和环境相适应。与生态系统中的生物一样，审计系统的生存、生长受制于环境，但审计系统的存在和发展又反过来影响和改变环境。回顾审计系统的发展历程，经历了三个阶段：

第一阶段是19世纪中叶，在资本主义得到充分发展、取得工业革命成功的英国出现了现代意义的审计(称英国式审计或详细审计)。当时的审计对象是会计账簿，审计的目的是查错防弊，所使用的审计工具是详细检查，审计信息的使用人是股东。第二阶段是本世纪初，在资本主义发达的美国出现了以资产负债表为对象的资产负债表审计，其目的是判断借款人的信用状况，审计信息使用人从股东扩大到债权人(主要是银行)。第三阶段是本世纪20—30年代，由于资本市场证券化，在美国出现了以损益表为中心的财务会计报表审计，目的是提出客观公正的审计意见，审计信息使用人是所有的企业利害关系人，对上市公司而言就是社会公众。到了40年代以后，由于跨国公司的出现，国际间资本流动频繁，在发达的资本主义国家出现了国际化的会计公司。

从上述审计系统从一个阶段向高一阶段的进化过程分析，我们可以得出两点结论：一是审计系统每一次进化都是为了适应环境的变化，和任何系统一样，只有适应环境的系统才能得以生存和发展。19世纪西方资本主义得到充分发展，实行所有权和经营权分离，就出现了英国式的详细审计。到了20世纪中叶，随着企业大型化和证券化，经济活动剧增，审计师不可能对每笔交易都进行检查，审计系统就由详细审计进化到抽样审计。有了跨国公司，就有了国际性的会计事务所。正是审计系统适应了所生存的环境，才使得本身得到充分的发展。同时，进化后的审计系统又反作用于环境，对社会经济起了积极推动作用，成为人类经济系统中不可缺少的一个子系统。二是审计系统的每一次进化都有赖于相应的理论、方法和技术的支持。从英国式的详细审计进化到资产负债表审计，是因为有内部牵制理论和统计抽样技术的支持。同样，从资产负债表审计进化到财务会计报表审计，是因为有内部控制理论和审计风险测试评价技术的支持。这是审计系统一次具有非常意义的“进化”，正是由于审计系统普遍采用了统计抽样技术和内部控制测试技术，从而使审计系统的功能大大增强，在大大提高了审计效率的同时，又有效地控制了审计风险。

同理，在步入21世纪的今天，审计系统又面临着新环境的挑战。新经济和数字时代的到来，以及经济全球化、市场一体化等将对审计系统产生重大影响。面对新经济环境的挑战，审计系统必须适应这种环境的进化，而要进化就必须有相应的理论和技术方法即系统科学和信息技术的支持，笔者将由系统科学和计算机技术支持下进化了的审计称为系统审计，与之相对应的是传统的详细审计和内控审计。下图表达了审计系统的进化过程。

需要说明的是，“系统审计”与“审计系统”是二个既有联系又有区别的概念。系统审计是指在系统科学和信息技术支持下的审计理论方法，表明一种审计理念，是相对于其它审计方法而言的。审计系统则是泛指审计体系，详细审计、财务会计报表审计、系统审计都是审计系统各个不同历史时期的产物。

二、系统审计和传统审计的比较

传统审计的思维方式是：部分→整体。传统审计总是先分析对象的各个部分，然后再综合为整体。这种思维方法的局限性在于把分析与综合、部分与整体、原因与结果机械地割裂开来，认为部分是原因，整体是结果，部分决定整体。传统审计方法着眼于一个个要素，进而得出整体的性能，其逻辑结论往往是组成整体的要素好，整体的性能也就好。不论是一百五十年前的详细审计，还是目前的财务会计报表审计，注册会计师的思想方法都是从部分去推测整体，而系统审计的思想方法则是从整体到部分。详细审计是从每一笔交易→账户→再到报表；财务会计报表审计是通过对内部控制和控制风险的研究→抽取部分交易为样本→账户→最终证实报表信息的真实和公允性。详细审计和报表审计在研究审计对象经济活动时，只把各组成部分孤立地、简单地加起来，这并不能说明审计对象经济活动的整体性质和功能。因为各要素的简单相加，并不能构成一个系统。

系统审计思维方法则不同于传统审计，它的思维方式是：整体→部分。系统审计从整体出发，先进行系统综合，形成可能的系统方案，再进行系统分析。分析系统各要素及其相互关系，建立模型，然后进行系统选择，实现最优化，重新综合成整体。系统审计方法的程序是：综合→分析→综合。它不仅着眼于个别要素的优劣，而且利用了要素之间的相互关系，观察和判断系统整体的性能。要素和系统不是一种简单的线性因果关系，系统的整体性能不单是取决于组成系统的要素，而且还有要素之间的相互作用。系统审计方法正是在要素之间相互作用的关系中进行分析和综合，才能正确地认识审计对象的整体性能。系统审计把审计对象的经济活动当作一个整体来研究。这一整体的性质和规律，只存在于组成要素的相互联系、相互作用之中。各个组成部分孤立的特征或者活动的总和，并不能反映整体的特征和活动。系统审计强调系统的整体性，要求注册会计师不能象以前那样，先把审计对象分成几个部分，然后再汇集起来。而是把审计对象作为一个有机的整体来对待，先看整体，再看部分；先看全局，再看局部；先看宏观，再看微观；先看全过程，再看某一个阶段。从整体与环境、整体与部分的相互依赖、相互制约中，去揭示系统的特征和运动规律。对局部的研究必须放在整体中，从整体的各个部分的联系、制约中去加以研究。当然，注册会计师研究审计对象经济活动整体，并不是不深入具体细节去考察分析，一个正确地认识来自于从整体到部分，部分到整体的反复过程。系统审计在研究问题时，把任何对象都看成是系统，然后着眼于系统和环境之间、系统和要素之间的相互关系，确定要素的层次结构，这样就便于用数学方法从定性和定量的结合上研究、描述现实系统。系统审计比传统审计方法更能将分析和综合、归纳和演绎等方法有机地结合起来，因而为运用数理逻辑方法和计算机技术开辟广阔的道路。

系统审计论文范文篇6

一、电子商务系统审计的必然性和必要性

在商业活动实现网络化之前，采购是面对面或通过纸质文件进行的，有迹可查，即使是电子交易，其设备结构是专用的，一般只限于已知用户使用，任何外部用户必须是已知的、身份明确的、可追踪的；系统通常是主机结构方式，相对易于监督、控制和审计。与传统商业相比，万维网客户/服务器系统的特点是高度分散，资源共享、服务分散、顾客透明度高等，而电子商务的运作速度更快、业务循环周期更短、风险更大、更高程度地依赖于技术。电子商务系统的技术基础和市场的快速变化意味着传统的衡量方法已不再适用于企业的某些资产，财务报告不能充分提供企业的状况和价值方面的信息，特别是网络企业的无形资产，如商誉、客户忠诚度和满意程度等这些产生长期价值的关键资产。核实确认这类资产价值的困难在于缺乏足够的历史数据、合适的参照标准、先进的实践经验以及对网络的各种威胁和概率的准确估算。企业管理层以及公众都需要寻找能够用以表述网络企业的可信度、安全性及其他资产价值的方法，需要一些新的核查和审计方法，更有效地评价无形资产，如知识、品牌等。因此，电子商务系统审计就成为历史的必然。由于，电子商务的可靠性、适用性、安全性和性能等方面受到的威胁或存在的风险，都可能会影响其生存和发展。风险因素包括：商业信息的泄露、智能财产的不当使用、对版权的侵犯、对商标的侵犯、网络谣言和对信誉的损害等。因此，进行必要和客观的审计，才会使董事会、审计委员会、高级管理层对电子商务系统的安全运作和效益满意和放心。

二、网络风险和风险管理

网络风险如同自然灾害一样不可预见。风险管理的关键在于风险评估，风险评估就是要分析和衡量风险事件发生的概率及后果，引起风险的因素及其关联因素，出现风险的关键点采取什么方法能够减缓风险，风险出现造成后果如何，以及评价管理层是否履行了应有的职业审慎进行防范和控制。同时在评估中还要为各项因素设计评价比率，计算各种风险的影响后果，根据影响和后果排序，对高风险因素作进一步的分析。

通过风险评估，可以认识到潜在风险（威胁）及其影响，以便对高风险领域作一些防范、检测、控制、减缓和恢复的工作计划和安排。这些计划和安排应涵盖对各项控制成本，主要是指接受、避免、转移、监测成本的分析以及各项工作的先后次序。

三、电子商务系统审计中网站的合法性证明

网络终端用户都会关注网站是否来自一个真实的、可靠的机构，提供的信息是否准确真实，机构背景是否正当合法，个人信息的隐私权是否得到保护等。所谓隐私权是指对个人的数据/信息的搜集必须合法、公平，必须用于某一特定、公开的目的，必须取得该个人的同意并受到保护，本人必须有权进入系统进行修改或删除，信息的越域流动和将来的使用、披露必须予以安全保证和限制等。

解决这些网站合法性问题的途径之一就是由一公证机构提供可靠的证明，以使网络终端用户能对网站提供的电子商务放心。如Verisign，TRUSTe，BBBOnline，WebTrust，SysTurst等都是具有良好的信誉并且提供证明-查证服务的专业组织机构。网络终端用户可以通过查询这些公证机构的记录，获得确认被访问网站的名称、有效状态、服务器标识等信息。

四、内部审计和电子商务系统审计

美国注册会计师协会对“核实查证”的定义是“提高决策者所需要信息的质量或内容的独立性专业服务。”其审计原则是保证系统的可用性、安全性、真实完整性和持续性，建议对系统安全性和真实完整性方面存在的控制点进行检查、评价和测试。并尽量在今后采用合适的审计标准对信息技术进行审计。不同于以年度为基础的传统外部审计，电子商务的实时性要求审计人员应对其进行连续不断的评估，按特定的审核标准对已发生的交易进行追踪，而系统内设置的自动登录记录可作为相应的审计轨迹，在系统内部实施对事件监督和控制。

尽管当前许多人认为核实查证通常与外部审计人员相关，内部审计人员则在公司内部出具审计报告。然而，国际内部审计师协会对电子商务系统审计的要求则是：审计控制目标主要是审计财务报告制度、经营的效益和效率、合规性和保护财产安全等方面。审计模式应该建立在系统的可用性、容量、功能、保护和可靠性的基础上。例如，内部审计对网络企业控制水平的独立评价，使得客户了解到企业提供的数据将不会被有意或无意地滥用。再如，企业目标是建立电子商务以降低成本、提高市场占有率，那么电子商务风险是随着网络交易的增加而增加，以至于不能确保交易的安全性或分辨用户的可靠性，因此，所需要的控制就是对用户的真实性进行确认以及对通讯信息进行加密。

电子商务系统审计的成功与否在于审计人员是否掌握相关的技术知识，了解商业风险及风险管理策略，是否有现成的策略随时应付出现的风险。因此，作为一个成功内部审计人员应了解企业的业务，以服务为宗旨并努力增值，积极提高专业技能，关注系统的效率和效益，建立对电脑领域发展的职业敏感性。

系统审计论文范文篇7

内部审计成果是内部审计人员按照内部审计准则、规范，在审计工作活动中形成的审计工作底稿、审计建议、审计报告等相关审计资料，是内部审计活动的最终成果，是帮助单位完善治理、实现目标、将内部审计成果转化为“价值和效益”的载体。具体的可以分为经济责任审计成果、预算执行审计成果、工程审计成果、财务收支审计成果等等。审计成果的运用包含两方面的涵义：一是审计问题的纠正，即被审计部门或单位对审计问题及时采取纠正措施，真正规范财务等行为，避免同类问题重复发生。二是审计建议的落实，即从组织管理的角度，分析问题产生的原因，制定相应制度，规范管理流程，完善内控机制。审计成果是否有效利用，直接关系审计价值的实现、审计质量的高低及审计预警和免疫功能的发挥。

二、内部审计成果运用的现实作用及理论依据

（一）内部审计价值实现的客观要求

2013年修订的《中国内部审计准则》对内部审计的表述为“内部审计是一种独立客观的确认和咨询活动，它通过运用系统、规范的方法，审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性，以促进组织完善治理、增加价值和实现目标”。确认、咨询、审查和评价是内部审计的工作内容及工作特征，完善治理、实现组织增值是内部审计的最终目标。对于事业单位来说，内部审计的价值增值功能主要体现在审计成果在未来的管理中使单位获得直接或间接的利益，给单位创造出预期之外的价值。如财务审计发现的不合理支出、工程审计的审减额；以及提供咨询服务，提示风险预警，减少损失发生。而将审计成果转化应用是实现内部审计工作目标必需的途径，是审计工作的最终环节，其作用直接关系着审计活动的完成与价值实现。近年来，随着医疗卫生体制改革的深入，政府对卫生事业经费的支持力度不断加大，如何进一步加强对卫生经费的监管显得尤为重要。根据原卫生部《卫生系统内部审计工作规定》的要求，卫生计生委直属事业单位和大型医疗机构相继成立了内部审计部门，开展了财务收支、经济合同、建设工程项目、内部控制、经济责任及绩效审计等工作。内审工作在卫生计生系统得到加强和发展，但审计成果的转化却还没有建立相应的制度体系，缺乏长效机制的保障。开展实施内部审计是内审工作的基础，审计成果的转化却是应用、提高和目标，是发挥内部审计免疫功能的关键环节。笔者认为，从内部审计工作功能发挥的有效性出发，疾控系统建立内部审计成果应用的制度与机制具有重要的现实意义。

（二）风险导向审计服务目标实现的基本途径

纵观历史演变，内部审计已经从传统的“控制为基础”转变为“风险为基础”。风险导向内部审计的一项重要职责是评价、改进风险管理和控制治理风险过程，而只有通过为管理层提供有价值的信息并服务于单位的管理、决策活动中，内部审计的风险导向职能才得以实现和履行。近几年，卫生计生系统加强了合同审计工作，中国疾控中心直属单位相继制定了合同管理制度，对外签订的合同都必须经审计部门审核。在合同审计中，评估经济合同的可执行性、合法合规性及履行的有效性，做出审计意见并使之得到落实，维护单位利益，规避潜在的经济纠纷，是内部审计风险导向服务的重要体现。

（三）建立健全内部控制制度的重要依据

财政部颁布了《行政事业单位内部控制规范》，从2014年1月1日起全面实施。建立有效地内部审计成果运用机制，将审计信息转化服务于事业单位的管理中，是建立完善事业内部控制制度，落实内控规范，提高事业单位管理水平的有效手段和重要依据。

（四）监督财务管理工作，规范财务行为的重要方式

事业单位的内部审计起到规范单位财务管理，保障国有资产安全，维护单位的合法利益的积极作用。通过定期的审计成果及信息的汇总报告，评价财务核算、会计信息及财务报告的真实性，防范舞弊发生，从而规范财务活动，强化财务管理。从疾控系统内部审计的工作来看，监督财务工作、规范财务行为、防范舞弊发生，保护财产安全是一直以来内部审计的最主要的目标。

（五）考评领导干部的重要依据

2014年中纪委等部门印发了《党政主要领导干部和国有企业领导人员经济责任审计规定实施细则》，其中第三十七条明确规定“经济责任审计结果应当作为干部考核、任免和奖惩的重要依据”。国家卫生计生委和中国疾控中心在2014年相继下发了直属和联系单位主要领导干部经济责任审计规定，内部审计成果已成为考评领导干部的重要依据。

三、内部审计成果在疾控系统事业单位中应用的制约因素

（一）内部审计成果质量不高

由于我国内部审计特别是事业单位的内部审计相对于政府审计和社会审计起步较晚，疾控系统从2009年开始才陆续成立了内部审计部门，内审工作发展时间尚短，加之工作内容广泛，从财务审计、内部控制审计到经济责任审计、建设工程项目审计等，对工作人员业务能力要求较高。因此内部审计普遍存在工作人员业务水平不高、工作经验不足、知识结构贫乏，审计方法和审计技术滞后，审计重点不突出，审计效率不高等问题。同时，内审人员对审计成果的总结与提炼不够，不善于针对单位管理中的风险和薄弱环节，提出有价值的意见及防范措施，从而导致审计成果无法获得认同与关注，难以获得重视与应用。

（二）单位管理层对审计成果重视不够

现实工作中，既有单位领导层不重视内审成果，也有被审计单位和部门对审计结论或意见认识不到位的情况存在。无论是领导还是被审计部门，大多数认识还停留在审计只是查找问题，出具审计报告、下达审计决定等，审计成果的运用只是附带产品，不是审计工作的主要职责和任务，因而存在重现有问题的整改，轻制度源头的建立；重审计决定的落实，轻审计建议的采纳；重审中监督，轻后续督查；重审计过程，轻审计成果的运用与转化现象的存在。

（三）工作成果运用机制不够健全

目前疾控系统普遍没有建立审计成果运用的工作制度与工作机制，审计成果产生与转化运用之间没有有效地衔接，后续审计监督工作力度普遍较弱。如果没有制度约束和机制作保障，只是依靠领导和部门的自觉，审计成果的转化运用不可能落到实处。同时也因为利用的随意性而使审计成果无法连续地发挥作用，导致实际运用效果较差。正因如此，本文旨在探索从建立疾控系统内部审计成果运用制度入手，为审计成果的转化提供机制保障。

四、建立内部审计成果运用长效机制的建议与对策

（一）切实提高审计质量，提升内部审计信息的价值

首先提高内审人员的能力素质，加强政策法规的学习，注重综合知识的积累，掌握现代计算机信息知识，更新审计理念，提高审计技术。其次，加强对审计问题的分析和研究，结合疾控工作实际，提高从繁杂的审计资料中提炼出具有全局性、前瞻性和权威性的信息的能力。第三,加强内部审计过程的质量控制，从审计计划和方案拟定到审计实施、报告撰写、建议的提出，使用统一的质量标准，使得审计成果更加规范。第四，审计内容向纵深发展。从传统的合规性审计向管理、效益、风险审计延伸，以为单位实现价值增值规避风险为出发点，提高内部审计的工作质量和审计成果运用的层次，提升审计成果的运用价值。从2003年以来，中国内审协会卫生分会每年都会分批组织卫生系统审计人员参加继续教育学习，聘请专家对工作中的热点难点、审计理论知识、审计法律法规进行讲授培训，对提高内审人员的业务水平和理论基础起到了积极的推动作用，但日常的自我学习和积累是非常重要的。

（二）单位内部为审计创造良好的工作环境

审计工作相对其他工作，更需要领导的支持与各部门的配合，良好、顺畅的工作环境是审计成果运用转化的前提和基础。首先，引起领导重视是审计成果得以应用的动力，有了领导层的批示和要求，各部门会认真整改审计问题、改善管理漏洞。其次，加强和被审计部门及其他部门的联络沟通，赢得对审计工作的尊重与理解，是审计成果转化的关键。内审人员对外多做宣传，要和领导、各级部门在审计工作的目标上寻求获得一致共识；向领导积极汇报审计要情；对外增加内审工作的透明度，及时和相关各部门通报审计结果。同时，在履行审查评价职责的同时，充实咨询服务工作内容，提高服务意识，将服务贯穿于审计工作之中来提高审计工作地位。

（三）开展后续审计，监督审计成果落实

通过后续审计，可以了解被审计部门是否对问题进行了纠正，对建议是否采纳，对管理的薄弱环节是否采取了相应的措施，是落实审计决定和审计建议的重要步骤。内审部门应强化后续跟踪审计，将其作为审计工作中的重要一环列入审计计划，这是发挥审计作用、树立审计权威的良好时机，通过后续审计确保审计成果得到真正的转化、应用。

（四）建立完善审计成果运用机制，保障审计成果的运用落到实处

1.建立成果运用工作机制，制定审计成果落实制度。制度是工作的保证，为了推动内部审计成果的转化应用，疾控系统应当建立相应的工作机制和领导体制。首先，事业单位应根据本单位实际情况制定关于内部审计工作成果落实转化的制度，建立起审计成果汇报和公告制度以及审计整改结果通报制度；健全后续跟踪审计制度等。同时还要建立内部审计工作质量分析和案例备查机制，以及审计结果及建议跟踪回访制度。其次，建立审计成果应用的组织领导机制，确定相应的主管领导、牵头部门和参与部门，明确职责，确定工作流程，使其逐渐成为单位的一项常规工作。卫生计生系统虽然制定了关于内部审计的工作规定，但还没有相应的审计建议落实应用的制度；委直属单位在预算编制、预算执行、财务检查、小金库检查、内控体系建设等工作中都建立了组织领导机构和工作办公室，但内部审计工作信息应用还缺乏领导体制的保障，一定程度上不利于甚至制约了审计成果的转化和应用。

2.实施审计成果利用实效考核制度。将审计信息和成果是否落实作为疾控系统事业单位各部门，也包括内部审计部门年终职责完成情况的考核指标之一，例如，将疾控系统年终的述职考核增加有关审计问题整改和审计建议落实等内容，增强各级领导层对成果转化的重视和责任。

系统审计论文范文篇8

(一)企业应加强内部控制

随着市场经济的深入发展,企业逐步成为自主经营、自我约束、自我发展、自我完善的商品生产者和经营者。在“优胜劣汰、适者生存”的市场经济中,企业要想真正的做到“自主经营、自我约束、自我发展、自我完善”,必须要加强内部控制,建立有效、完善的内部控制制度,这样才能在一个绝对的高度上,对企业进行高瞻远瞩的控制,才能做出与时俱进的决策。

(二)内部审计是企业内部监督机制的重要组成部分

内部审计也是企业内部控制的一个重要的组成部分,是监督内部控制其他环节的主要力量。内部审计通过对控制环境和控制程序的有效性进行监督,评估企业的内部控制是否被执行,是否及时反馈有关执行结果的信息,是否帮助企业更有效地实现预期控制目标。同时,在监控过程中,内部审计可以促进控制环境的建立和改善,为改进控制制度提供建设性的意见,为企业建立健全所需要的内部控制水平服务。在内部控制的监督过程中,内部审计发挥着越来越重要的作用。

二、内部审计在防范信息系统风险中面临的问题

(一)信息系统安全管理机制不健全

企业信息系统风险的存在,很多是由于管理不善或控制不严造成的。一方面,缺乏一套统一的安全策略体系来指导安全管理工作,无法建立系统内部明确、全面的安全规范要求。从现有管理制度规范来看,主要存在的问题是可操作性差,条理不清、重叠或遗漏等;另一方面,现有安全管理制度的管理对象基本是网络系统管理员等技术部人员,管理对象没有全面涵盖所有信息系统技术相关人员,包括所有网络系统上的内部终端人员和外部人员。

(二)内部审计在信息系统风险防范中的角色缺乏独立性

内部审计的角色发生了转变。从传统的事后审计而逐渐转向事前和事中审计,主动参与内部控制系统的建立和完善。内部审计人员即承担着评价硬件和应用信息系统安全的任务,如果又同时有参与了系统的开发和实施过程,那么内部审计人员就却乏独立性。反之,如果处于对丧失独立性的担心,内部审计人员有可能会拒绝参与系统和软件的开发,那么系统开发过程中存在的风险又无法得到控制。

(三)内审部门技术力量薄弱造成对信息系统审计形成风险

审计稽核部门的技术力量薄弱,不熟悉业务系统的流程和功能,对信息系统缺乏必要的认证能力和标准。突出表现为以下几个方面:一是实施审计稽核的手段和方法没有得到及时更新,不适应信息系统管理的要求,大部分仍停留在手工审计阶段;二是审计稽核部门对计算机账务系统实施审计的依据仅依赖于被审计单位提供的打印资料或事后资料,计算机账务的真实性审计很难得到保证。

三、加强风险防范的措施和对策

(一)构建信息系统安全管理组织及规范体系

加强信息系统的自我风险评估体系,让信息系统的管理和技术人员在自身的职责范围之内正确识别和评估潜在操作风险,主要包括内控制度的查漏补缺、工作流程的整理和规范、应急预案完善和演练等。同时加强对操作人员的管理,规范操作程序。一是加强密码管理,明确规定操作人员的权限,操作员必须在规定的权限内办理业务,用户口令及密码必须专人专用,严禁公开口令及密码;二是要建立健全操作员岗位目标责任制,对网络操作人员要明确目标任务,规范操作程序,严格落实奖惩制度。三是要严格岗位设置,不相容职务进行分离。严禁系统管理人员、网络技术人员、程序开发人员和前台操作人员混岗、代岗或一人多岗。四是要加强系统内部的稽核监督检查。稽核监督应贯穿于网络操作的全过程,重点是加强对系统设计开发、内控管理制度落实、操作运行等方面的

(二)关注信息系统的稳定性、安全性和有效性审计

首先,审计人员应运用用一定的技术方法识别系统的完整性,该过程包括检查、测试、评估系统的内制,以保证系统的稳定性;其次,审计人员应评价系统存在的风险和可能产生的后果将成为审计的核心工作和基本内容,保证信息系统的安全性。应根据审计的标准和准则,评价控制环境的和IT基础设施的安全,确保系统满足组织的业务需要,保护信息资产的安全完整,以防非授权使用、泄露、修改、损坏或丢失;最后,还应鉴别信息系统的有效性。内部审计必须理解并熟悉操作环境,了解系统技术的复杂性及其对决策的影响;对来自内部的安全隐患,采用一定的方法进行系统诊断、检验、测试,评价其有效性及效率,以支持组织业务目标的实现

(三)改善内审机构,提高内审人员素质,培养信息系统审计师

为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价。信息系统审计师也称lS审计师或IT审计师,是指那些既通晓信息系统的软件和硬件(包括信息系统的开发、运营、维护、管理和安全等),又熟悉经济管理的内部审计人才。

(四)聘请专家进行协助

内部审计人员的知识、技能和经验虽然有助于信息系统的风险防御,但现实中必须承认,在企业中同时具备计算机技术和审计专业知识的人才非常短缺。再出色的内部审计人员可能面临一些系统内的专业问题却无法解决,因此有必要聘请外部专家。可以通过专家的协助测试运用其专业技能测试系统安全,进一步防范和解决信息系统风险的存在。

参考文献:

[1]胡晓明.信息时代的IS审计理论结构构建[J].武汉中南财经政法大学学报,2006,(3).

系统审计论文范文篇9

(一)企业应加强内部控制

(二)内部审计是企业内部监督机制的重要组成部分

二、内部审计在防范信息系统风险中面临的问题

(一)信息系统安全管理机制不健全

(二)内部审计在信息系统风险防范中的角色缺乏独立性

(三)内审部门技术力量薄弱造成对信息系统审计形成风险

三、加强风险防范的措施和对策

(一)构建信息系统安全管理组织及规范体系

(三)改善内审机构,提高内审人员素质,培养信息系统审计师

(四)聘请专家进行协助

论文关键词:内部审计信息系统风险防范

论文摘要:内部控制是社会经济发展到一定阶段的产物,其内容在不断的发展与变化,而内部审计是内部监督机制的重要组成部分。目前计算机信息系统已在企业中广泛使用,而在内部审计过程中如何加强计算机信息系统的风险防范,是企业内部控制过程中迫切需要解决的问题。

企业信息系统化的运用,原来的手工控制则变为手工与电脑控制相结合或全部由电脑自动进行控制。计算机信息系统的广泛使用,与技术管理相对薄弱和稽核监督的长期空白已形成了尖锐的矛盾。信息系统风险控制能力差的现状,迫切需要我们加强风险管理和监控。

系统审计论文范文篇10

1.1免疫监视———识别病毒

免疫监视功能，是指机体具有的能识别自己（自体物质）和异己（非自体物质）的生理机能。免疫系统在识别“自己”和“异己”的过程中，可以发现病毒等有害物质。免疫系统能够识别病毒等有害物质，是消灭有害物质，从而保证机体免受侵害的前提。

1.2免疫自稳———消灭病毒

免疫自稳功能，是指机体调动体内各种资源与病毒等有害物质进行斗争，消灭病毒等有害物质，并将病毒等有害物质运出体外，同时修补受损器官和组织，使其恢复原来的功能，以维持自身内环境稳定的生理机能。

1.3免疫防御———产生抗体

免疫防御功能，是指机体在病毒等有害物质的刺激下，免疫细胞对病原体产生抗体，以防止外来病原体入侵的生理机能。抗体是可以与相应抗原发生特异性结合的免疫球蛋白，可以使抗原失去活力，从而保证机体免受再次侵害。免疫系统的作用机理。

2内部审计的“免疫”功能

内部审计的“免疫”功能主要表现在审计监督、审计查处和审计预防三个方面。

2.1审计监督———发现问题

内部审计机构在履行经济监督职能的过程中，通过搜集和分析组织的各类经济信息，对经济活动的真实性、合法性和有效性进行评价，从而发现经济组织在经济活动中是否存在错误、舞弊和其它违规违法问题。

2.2审计查处———处理问题

内部审计机构对发现的违规违法行为，有权向领导机构或上级机关进行反映，根据权限对直接责任人进行处理、处罚，或向上级审计机构或者审计机关反映，由上级审计机关运用各种资源及时进行查处。

2.3审计预防———完善治理

内部审计机构在发现问题和处理问题的同时，要对产生问题的原因进行分析研究，并从管理制度、体制机制方面提出改进的建议，从而促进相关管理制度、工作机制的完善，达到杜绝类似问题的再次发生的目的。内部审计的“免疫”功能。

3内部审计的增值途径

3.1查错增值

内部审计机构在履行监督职能和查处职能的过程中，可以发现经济活动中存在的问题，并通过对有关问题和相关责任人的查处，可以为组织挽回一定的经济损失。当内部审计机构挽回的损失大于其审计业务成本时，可实现节约增值。

3.2防弊增值

内部审计机构在履行审计预防职能中，通过提出完善管理制度和体制机制的建议，可以促进经济组织加强内部控制，防范运营风险，防止舞弊行为的发生，从而为企业间接挽回一定的经济损失。当经济组织在防范错弊的过程中获得的收益大于其防弊成本时，可实现防弊增值。

3.3兴利增值

内部审计机构在履行审计预防职能中，通过提出完善管理制度和体制机制的建议，可以提升组织的经营管理水平，提高组织的运营效率，从而实现组织经济价值的增加。当经济组织通过提高运营效率增加的组织价值大于其预防成本时，可实现增效增值。内部审计的查错增值属于直接增值，取得成效的时间短，且成效较为明显，一直受到组织的高度重视。作为一个成熟的经济组织，应该更加注重发挥内部审计的防弊功能和提效功能，以实现组织的可持续发展和价值增值。

4内部审计增值的量化模型

4.1查错增值额的确定

根据经济学成本效益原理，内部审计创造的查错增值额等于查错收益与查错成本之差。用公式表示为：查错增值额＝查错收益－查错成本（1）①查错收益。查错收益为内部审计机构在开展审计业务的过程中，通过发现和处理违规违法行为，所挽回的直接经济损失。②查错成本。查错成本为审计机构在开展审计业务的过程中，为发现和处理违规违纪问题，所耗用的人力、物力和财力等成本。

4.2防弊增值额的确定

内部审计防弊增值额应该等于防弊收益与防弊成本之差，用公式表示为：防弊增值额＝防弊收益－防弊成本（2）①防弊收益。防弊收益为经济组织在审计机构的建议下，通过完善管理制度和体制机制，加强组织内部控制，预防违规违纪行为的发生，从而挽回的间接经济损失。②防弊成本。防弊成本为经济组织在审计机构的建议下，为完善管理制度和体制机制，加强内部控制，预防违规违法行为的发生，所消耗的人力、物力和财力等成本。

4.3兴利增值额的确定

内部审计兴利增值额应该等于兴利收益与兴利成本之差，用公式表示为：兴利增值额＝兴利收益－兴利成本（3）①兴利收益。兴利收益为经济组织在审计机构的建议下，通过完善管理制度和体制机制，提升组织的经营管理水平，提高组织的运营效率，而创造的间接经济收益。②兴利成本。兴利成本为经济组织在审计机构的建议下，为完善组织制度和体制机制，提升组织的经营管理水平，提高组织的运营效率，所消耗的人力、物力和财力等成本。

4.4内部审计增值量化模型