审计管理信息系统解决方案
审计管理信息系统解决方案
一、企业目前在审计管理上面临的问题
随着集团型企业的不断发展,内部审计已成为现代企业管理的重要组成部分,对完善企业内部自我约束机制,深化企业改革,建立现代企业制度作出了巨大贡献。但是,目前很多企业的内部审计从机构设置、工作重点、审计范围、规范管理等方面还存在一些问题,主要表如下:
资源压力,效率低下
目前,大多数集团型企业面临多种审计需求,工作量巨大,审计工作面临多组织、多地域问题,难以组织协调,无法兴盛统一的资源和计划管理。
标准、方法不一致
集团型企业分子公司、分支机构审计方式不统一,存在一个组织,多种方法的问题。审计标准不统一,风险难以被有效控制。业务的不断变化,而审计业务没有创新和改变,难以应对变化。
审计能力不能持续提升
审计过程中,不能有效地获取、积累、沉淀知识,各组织审计知识不能有效共享,导致审计人员能力不能得到很好的提升。
审计绩效及监督体制不完善
企业没有有效的审计绩效考核方案,审计发现问题后,没有有效的监督整改机制。
风险意识薄弱
审计方式以事后审计为主,大多为“补救式”管理,审计质量提升不明显,导致没有有效的进行风险预警。
二、审计管理信息系统的概述
北京慧点科技开发有限公司(以下简称:慧点科技)的审计管理信息系统,为集团型企业的审计部门借助信息化手段,助力内部审计业务和管理全面提升提供了保障。慧点科技的审计管理信息系统可以帮助审计部门更好地履行内部审计职能,并且在实施审计项目、进行审计管理的过程中,对相关的审计业务操作与各类管理信息进行过程留痕,使客户能够更加方便的对审计过程中的各类信息进行统计分析,实现审计知识的积累,为审计项目实施和审计工作流程管理提供支持工具。
慧点审计管理信息系统按照集团型企业审计工作特点量身定制,建立了审计计划管理、审计资源管理、审计作业管理、审计业务分析等功能模块,功能和整合能力达到国际领先水平,不仅实现了集团型企业信息化的跨越式发展,为审计业务发展所需要的“治理结构”、“人力资源”、“工作实务”、“绩效评估及质量保证”、“技术”、“沟通和汇报”、“知识管理”等七个要素的发展提供了技术支撑。
三、审计管理信息系统架构说明
慧点管理信息系统分为多个层次,包括信息门户与展现层、业务系统应用层、应用支撑与工具层、基础设施层等4个层面,身份和授权管理贯穿于各个层面,
如下图所示:
业务系统应用层
具层
? 网络基础设施层
网络基础设施层为系统提供了必要的网络基础环境,提供了可靠、有效的信息传输服务通道,是各类信息的最终承载者。
? 应用支撑与工具层
应用支撑与工具层主要包括企业服务总线、工作流平台、文档与内容管理平台、统计分析工具等,为应用层的各项功能实现提供支撑。同时,企业服务总线能够很方便地实现与企业内其他业务系统的集成。
? 业务系统应用层
业务系统应用层提供在一个统一框架之上的各类审计管理业务应用,包括审计计划管理、资源管理、作业管理、信息管理等。满足各级管理层随时查看各项审计
工作的进度和成果,并对审计结果负责。同时,集团总部审计管理部门也可以对审计工作的状态和结果及时进行指导、监督。
?信息门户与展现层
信息门户与展现层包括了报告管理平台和审计管理信息门户两大部分,报告管理平台可以根据业务系统应用层所记录的数据,依据不同的组织单位汇总统计出各种统计分析报告。
?系统管理
系统管理贯穿于整个系统的各个层面。完成系统的初始化管理、配置管理、运行维护管理和监控等。
四、审计管理信息系统功能介绍
审计管理信息系统是一个以审计计划管理、审计作业管理、审计资源管理等模块为核心模块的一体化管理系统。
按照模块进行划分,可将系统划分为审计计划管理、审计作业管理、审计资源管理、审计绩效管理、审计知识管理、审计信息交流平台等七个模块。其功能架构图如下图所示:
作业操作
管理支持
知识管理
1.审计管理信息系统首页
2.审计风险评估
审计风险评估是每年审计工作的开始。审计部门每年可以制定风险评估计划,并往下分派评估任务。风险评估员填写工作底稿,评估完成后子项目组长进行问卷填报及风险评估报告,风险评估结果将作为下一年制定计划的参考。
系统中的风险评估模块包括“风险评估问题管理”、“历届问卷题目查看”、“风险评估项目管理”三个子功能模块。
每个子功能模块介绍如下:
风险评估问题管理:风险评估问题管理模块是对风险问题进行维护的模块,总公司和分、子公司共用问题库,总公司和分、子公司设置各自的问题管理员,维护各自建立的问题。
历届问卷题目查看:在本模块中可查看历届问卷。
风险评估项目管理:风险评估项目管理是风险评估的核心模块,通过风险评估项目管理功能模块,实现了风险评估项目的配置、启动、问卷新建及下发、任务分配、问卷填报、统计、风险评估报告及风险评估快报的功能。
系统界面展示:
3.审计计划管理
集团型企业公司总部的审计部们每年年初拟定年度审计工作要点和工作计划,然后下发各单位。各单位的审计机构按照总公司制定下发的工作要点和工作计划,结合各单位的实际情况确定本单位的工作计划,依据计划开展审计业务。
审计计划管理模块是对审计计划进行管理的功能模块,包括“计划编制”、“计划跟踪”、“计划变更”、“计划选题”四个子功能模块。
计划选题:实现了总公司审计部各处室和集团下属分、子公司向总公司审计部上报审计计划选题的功能,为总公司审计部编制《年度审计计划》提供选题范围。
计划编制:根据总公司审计部各处室及各分、子公司上报的计划选题、上一年度审计发现以及综合考虑上一年度风险评估结果,总部计划管理员可在本模块进行《年度审计计划》的编写工作,并下发至各分公司。此外,通过本模块还可以查看人力资源调用情况,包括总部调用分公司的人力资源。
计划跟踪:计划下发后,审计人员可在本模块对计划的执行情况进行跟踪。
计划变更:计划下发后,若需要对计划进行修改,可在本模块发起变更申请。
系统界面展示:
4.审计资源管理
审计资源管理主要实现对审计业务中所需要的内、外部资源进行管理,主要管理内容包括内、外部人力资源基本信息的上报、统计和登记,资源调配及外部资源的工作成果和评价管理。
系统中审计资源管理模块分为“内部资源管理”、“审计专员管理”和“外部资源管理”三大子功能模块。
内部资源管理:本模块是对内部资源进行管理的功能模块,实现的功能有“组织机构”、“人员信息管理”、“人员信息统计”、“人员当前状态查询”、“人员工作量统计”及“审计人员调度”。
审计专员管理:本模块是审计人员进行审计专员维护的功能模块,实现功能有审计专员申请、审计专员查看。
外部资源管理:全国的中介机构都统一在外部资源管理模块进行集中管理,
实现的功能有外部资源信息管理、外部资源年度绩效考核、外部资源项目考核查询。
系统界面展示:
5.审计作业管理
审计作业管理指按系统化和规范化的审计程序和方法执行各项审计工作,包括经济责任审计、财务收支审计、建设项目审计、其他专项审计和调研等。审计作业管理可以分成以下几个功能模块:
专项审计:本模块实现了对集团公司一些特定的审计工作的支持,主要系统功能包括了:【项目管理】、【配置管理】、【文件清单】。
建设项目审计:本模块实现了公司对目前进行的建设项目进行审计的功能。
主要的系统功能包括【工程项目建设信息】、【待审计计划表】、【审计申请表】、【审计委托协议】、【项目基本信息】、【审计项目管理】、【项目汇总表】。
经济责任审计:经济责任审计划分为【人力资源委托函】、【项目管理】及【其他功能】三部分;其中【项目管理】为经济责任审计的核心功能部分。
系统界面展示:
6.审计知识管理
本模块是对审计知识进行管理的功能模块,本模块主要用于存储审计业务过程中产生的大量文档。存储相关法律法规、规章制度、审计案例、审计基本技能、培训资料、名词解释等知识文档,方便审计人员或相关人员进行查看,实现审计知识积累,提高审计人员业务水平的目的。
系统界面展示
7.审计绩效管理
审计绩效管理分为个人工作管理、审计机构考核、审计机构负责人考核和项目人员考核查询。
个人工作管理主要包括两个部分:个人日历和个人计划
?个人日历:个人日历为审计人员提供了非项目外出维护功能,审计人员可以方便的维护自己的外出状态,例如:休假、培训、出差等。
?个人计划:在个人计划管理模块,审计人员可以填写周/月/季/年计划总结。
审计机构考核:实现了公司总部审计部门按照审计机构绩效考核表对分、子公司审计机构进行绩效考核的功能,考核结果在系统上发布。
审计机构负责人绩效考核:总部审计部绩效管理员录入各分、子公司审计机构负责人考核分数,汇总后提交领导审批。
项目人员考核查询:此功能主要用于查询审计人员在审计项目中的考核结果。
系统界面展示:
8.审计交流管理
审计交流平台分为讨论区、动态公告、网上调查三个子功能,实现员工之间相互交流信息,加强彼此之间的联系以及交流知识和资源,查看最新动态,公司内部对各种问题发起调查。
每个子功能模块介绍如下:
讨论区:用于员工之间相互交流信息,加强彼此之间的联系以及交流知识和资源。
动态公告:专人维护最新动态,包括录入,修改,删除。所有审计人员可以查看最新动态。
网上调查:模块用于在公司内部对各种问题发起调查,并对问题和结果进行统计。
系统界面展示:
9.审计培训管理
审计培训管理模块主要实现审计培训计划管理、培训调查问卷及其统计分析。
五、审计管理信息系统的特点
1.优异的产品架构
针对集团型企业管理分散、用户量大、跨地域、业务复杂等特点,慧点科技通过建立统一、灵活的基础架构,制定开放、规范的管理标准,提供适应多级组织机构的多应用体系框架、“框架+构件”的功能扩展能力、以及强大的适应中国企业流程特点的工作流引擎,最终形成能够满足证券公司管理要求的软件平台及系统架构,并在众多的企业中得到了广泛的应用和好评。
2.极强的扩展能力与集成能力
慧点科技提供的审计管理信息系统解决方案符合SOA架构,具有很强的扩展
能力和整合能力;该方案以慧点科技成熟接口及通用基础软件产品为基础,与客户原有系统平台的集成会更容易;同时,慧点科技实施了众多的与各行业业务系统集成的案例,具有丰富的实践经验和技术储备来实现与业务系统的集成。
3.支持多组织、多级架构集团化信息系统要求
集团型企业拥有众多下属分支机构,其跨业务、跨地域、规模庞大,同时各分支机构还要保持着高速的增长,公司总部承担着重要的管理和领导责任。面对全公司的统一管理,慧点科技提供的审计管理信息系统解决方案全面支持这种集团化管理需求,具体如下:
a) 组织架构的动态维护
慧点科技的审计管理系统部署简单方便,且能灵活的变更设置组织机构和人员,例如可以方便的将某一机构独立出来或将某几个机构合并等,并可以通过授权将各
二级单位、三级单位的组织结构和人员信息、应用权限等的管理工作下放给相关单位的管理人员。这种组织架构的定义和维护过程是快速、直接、没有漏洞的。这样建立了覆盖全公司,易于动态调整而快速适应公司发展需求的信息系统。
b) 灵活的流程定义
公司总部要能够追踪查看总部到各级分支机构的关键审计审批流程,并实现对关键业务的统一审核。
慧点科技的审计管理系统本身自带一套可在各级部署的、又可受统一管理的流程系统。这套流程系统可以足够灵活以适应不同分支机构管理特色需求,还可以穿透公司层级界限,实现全公司的纵向流转审核。流程系统中还设计了相应的统计功能,作为使用效果和效率的评价基础。
六、审计管理信息系统的价值
审计管理信息系统有助于审计人员减少手工操作,提高工作效率和工作质量,同时能够以此为契机,建立审计管理平台,同时为审计人员提供一个审计的作业平台,使各项工作有机地联系起来,在公司长期战略上改进审计管理和风险管理。系统平台的价值集中体现在:
作业规范——为企业建立统一的审计作业规范和质量管理规范,进一步提升内部审计作业质量。
管理支撑——实现对审计信息全面、准确、及时的统计分析,提供更具价值的决策支撑依据。
知识共享——搭建完整的审计知识管理系统,实现全公司分层共享。
成果转化——实现对审计发现整改的跟踪、促进审计成果向管理成果的转化。
U8ERP系统业务解决方案.doc
U8-ERP系统-业务解决方案1 _______ERP系统业务解决方案 建立日期: 2007-10-29 修改日期: 2007-10-29 客户项目经理: 日期: XX公司项目经理: 日期: 文档控制 更该记 录 审阅 分发 一、基本情况:(5) 1.1 公司组织结构图(5) 1.2 使用模块:(5) 1.3 方案应用目标:(6)
1.4 方案应用业务范围: (6) 1.5 实施范围: (6) 二、总体流程(6) 2.1 XXX基于XX公司ERP-U8业务流程总图: (6) 2.2 总体流程说明(8) 三、公共信息基础设置:(9) 3.1 特殊科目设置:(9) 3.2 仓库档案设置:(10) 3.3 存货分类设置:(10) 3.4 计量单位设置:(11) 3.5 存货档案设置:(12) 3.6 地区分类设置:(17) 3.6 客户分类设置:(17) 3.7 供应商分类设置:(18) 3.8 收发类别设置:(18) 3.9 采购类型设置:(20) 3.10 销售类型设置:(20)
3.11 业务类型与科目对应关系设置:(20) 3.12生产新增档案设置:(22) 3.13其他档案设置:(22) 四、系统选项及参数设置(22) 4.1建账参数设置:(22) 4.2总账参数设置:(22) 4.3应收、应付系统参数设置:(23) 4.4采购管理参数设置:(23) 4.5销售管理参数设置:(24) 4.6库存管理参数设置:(24) 4.7存货核算参数设置:(25) 五、岗位操作流程(26) 5.1技术部(26) 5.2销售部(27) 5.2.1 普通销售业务(27) 5.2.2 销售退货业务(29) 5.2.3 分期收款发出商品销售业务(30)
大企业税收全流程风险管理
国家税务总局大企业司开展的大企业税收全流程风险管理即将结束自查阶段,进入税务审计阶段。 大企业全流程税收风险管理,是指国家税务总局大企业司按照企业的行业代表性,以及国家财税政策改革和行业的紧密度,每年安排的一项针对大企业的税收风险管理审查行动。“2015年,国税总局对六家重点联系企业进行了税务风险管理工作,要用一年的时间完成。自查是其中六个环节的一个环节,目前自查环节中案头审计已经开始了。”一位税务人士告诉经济观察报。 2015年需要进行税收风险管理的企业分别是中海油、中国兵器装备集团、神华集团、中国联通、中国建筑工程总公司、中国人寿集团。 这次审查的时间从2015年的2月开始,将持续一年的时间,分六个阶段进行,分别是信息收集及数据采集阶段、风险识别阶段、风险自查阶段、案头审计阶段、现场审计阶段、反馈提高阶段。 防控税务风险也是非常重要的一件事。纳税人经常面对的执法部门就是税务局,最有可能爆发的经营风险,就是税务风险;造成损失最大的风险,也是税务风险。税务风险有可能造成“三重损失”:不但造成经济损失,还影响社会形象,情节严重、性质恶劣的,还会被追究刑事责任,失去人身自由。税收风险管理 什么叫税收风险管理? 一位自查企业税务人士告诉经济观察报,税收风险管理是按照行业代表性,还有国家财税政策改革和行业的紧密度,对企业税收风险的审查和控制。税收风险表现形式为因没有遵循税法可能遭受的法律制裁、财务损失或声誉损害。企业税收风险主要包括两方面,一方面是企业纳税行为不符合税收法律法规规定,应纳税而未纳税、少纳税,从而面临补税、罚款、加收滞纳金、刑罚处罚及声誉损害等风险;另一方面是企业经营行为适用税法不准确,没有用足有关优惠政策,多缴纳了税款,承担了不必要税收负担。前几年累计自查了大约15家大型企业,中国烟草、中石油、中石化等榜上有名。 王冬生认为大企业的税收风险,体现了大企业自身架构、管理、规模等方面的特点,可以归结为以下三点:系统性、全局性、重要性。 通过自查,企业可以理解税务机关的目的是了解这个政策是不是适合这个行业,是不是确定的、具有可操作性的,是不是能够有利于支持和推动这个行业改革的。因为自查过程中确实有涉及到行业不清晰的,企业也特别希望通过自查,通过税务机关来明确这些问题。 我们在接到集团通知之后先成立的自己的自查小组。我们本来就想要对集团下面的子公司做一个税务诊断,因为越来越觉得涉税风险有很大的不可控性,虽然国有企业很少有主动偷漏税动机,但是子公司自己在业务水平上都很有限。于是把本来要做的税务健康检查和税务自查合二为一,既对子公司摸了个底,又把税收风险进行了掌握,还是不错的。” 聘请了两家中介机构,同时根据自查软件,对企业的税务情况逐项落实。该公司的主要业务
审计管理信息系统解决方案
审计管理信息系统解决方案
一、企业目前在审计管理上面临的问题 随着集团型企业的不断发展,内部审计已成为现代企业管理的重要组成部分,对完善企业内部自我约束机制,深化企业改革,建立现代企业制度作出了巨大贡献。但是,目前很多企业的内部审计从机构设置、工作重点、审计范围、规范管理等方面还存在一些问题,主要表如下: 资源压力,效率低下 目前,大多数集团型企业面临多种审计需求,工作量巨大,审计工作面临多组织、多地域问题,难以组织协调,无法兴盛统一的资源和计划管理。 标准、方法不一致 集团型企业分子公司、分支机构审计方式不统一,存在一个组织,多种方法的问题。审计标准不统一,风险难以被有效控制。业务的不断变化,而审计业务没有创新和改变,难以应对变化。 审计能力不能持续提升 审计过程中,不能有效地获取、积累、沉淀知识,各组织审计知识不能有效共享,导致审计人员能力不能得到很好的提升。 审计绩效及监督体制不完善 企业没有有效的审计绩效考核方案,审计发现问题后,没有有效的监督整改机制。 风险意识薄弱
审计方式以事后审计为主,大多为“补救式”管理,审计质量提升不明显,导致没有有效的进行风险预警。 二、审计管理信息系统的概述 北京慧点科技开发有限公司(以下简称:慧点科技)的审计管理信息系统,为集团型企业的审计部门借助信息化手段,助力内部审计业务和管理全面提升提供了保障。慧点科技的审计管理信息系统可以帮助审计部门更好地履行内部审计职能,并且在实施审计项目、进行审计管理的过程中,对相关的审计业务操作与各类管理信息进行过程留痕,使客户能够更加方便的对审计过程中的各类信息进行统计分析,实现审计知识的积累,为审计项目实施和审计工作流程管理提供支持工具。 慧点审计管理信息系统按照集团型企业审计工作特点量身定制,建立了审计计划管理、审计资源管理、审计作业管理、审计业务分析等功能模块,功能和整合能力达到国际领先水平,不仅实现了集团型企业信息化的跨越式发展,为审计业务发展所需要的“治理结构”、“人力资源”、“工作实务”、“绩效评估及质量保证”、“技术”、“沟通和汇报”、“知识管理”等七个要素的发展提供了技术支撑。 三、审计管理信息系统架构说明 慧点管理信息系统分为多个层次,包括信息门户与展现层、业务系统应用层、应用支撑与工具层、基础设施层等4个层面,身份和授权管理贯穿于各个层面, 如下图所示:
软件系统项目解决方案
系统方案
目录 1 序言错误!未指定书签。 2用户需求错误!未指定书签。 3 硬件系统技术方案设计错误!未指定书签。 3.1 网络方案设计错误!未指定书签。 3.1.1 设计原则错误!未指定书签。
3.1.2 设计要点错误!未指定书签。 3.1.3 方案设计错误!未指定书签。 3.1.4 方案描述错误!未指定书签。 3.1.5 方案设计理由错误!未指定书签。 3.1.6 方案特点及优势错误!未指定书签。 3.2 服务器方案设计错误!未指定书签。 3.2.1 设计原则错误!未指定书签。 3.2.2 设计依据错误!未指定书签。 3.2.3 选型方案错误!未指定书签。 3.2.4 系统总体设计图错误!未指定书签。 3.2.5 方案特点及优势错误!未指定书签。 3.5 系统软件方案设计错误!未指定书签。 4 软件应用系统技术方案设计错误!未指定书签。 4.1组织机构和业务角色错误!未指定书签。 4.2业务概述错误!未指定书签。 4.3业务流程错误!未指定书签。 4.4系统功能结构及功能描述错误!未指定书签。 4.4.1系统功能结构错误!未指定书签。 4.4.2项目管理错误!未指定书签。
1 序言 【简述项目实施的必要性及意义。】 2用户需求 3 硬件系统技术方案设计 3.1 网络方案设计 3.1.1 设计原则 【根据项目具体情况,提出设计原则,应突出可靠性、安全性、高性能、和可管理性四项原则。】 3.1.2 设计要点 【强调方案设计过程中技术要点及难点。】 3.1.3 方案设计 【画出网络方案拓扑结构图。】
3.1.4 方案描述 【根据网络方案拓扑结构图,描述出采用的网络产品及其配置和特点、网络互联、端口设计等。】 3.1.5 方案设计理由 【主要从性能价格比的角度来阐述关键设备采用的恰当性。】 3.1.6 方案特点及优势 【该部分需重点论述,应突出可靠性、安全性和高性能等特点和优势。】 3.2 服务器方案设计 3.2.1 设计原则 【根据实际情况,列出若干设计原则,应突出可靠性和高性能设计原则。】 3.2.2 设计依据 【提供选型方案依据,可定性或定量来分析,主要指标应包括值。】3.2.3 选型方案 【根据用户需求,分文别类阐述,具体应包括产品型号及其配置、应用环境、网络接口。】
5-企业案例-网络安全审计系统(数据库审计)解决方案
数据库审计系统技术建议书
目次 1.综述 (1) 2.需求分析 (1) 2.1.内部人员面临的安全隐患 (2) 2.2.第三方维护人员的威胁 (2) 2.3.最高权限滥用风险 (2) 2.4.违规行为无法控制的风险 (2) 2.5.系统日志不能发现的安全隐患 (2) 2.6.系统崩溃带来审计结果的丢失 (3) 3.审计系统设计方案 (3) 3.1.设计思路和原则 (3) 3.2.系统设计原理 (4) 3.3.设计方案及系统配置 (14) 3.4.主要功能介绍 (5) 3.4.1.数据库审计........................ 错误!未定义书签。 3.4.2.网络运维审计 (9) 3.4.3.OA审计............................ 错误!未定义书签。 3.4.4.数据库响应时间及返回码的审计 (9) 3.4.5.业务系统三层关联 (9) 3.4.6.合规性规则和响应 (10) 3.4.7.审计报告输出 (12) 3.4.8.自身管理 (13) 3.4.9.系统安全性设计 (14) 3.5.负面影响评价 (16) 3.6.交换机性能影响评价 (17) 4.资质证书.......................... 错误!未定义书签。
1.综述 随着计算机和网络技术发展,信息系统的应用越来越广泛。数据库做为信息技术的核心和基础,承载着越来越多的关键业务系统,渐渐成为商业和公共安全中最具有战略性的资产,数据库的安全稳定运行也直接决定着业务系统能否正常使用。 围绕数据库的业务系统安全隐患如何得到有效解决,一直以来是IT治理人员和DBA们关注的焦点。做为资深信息安全厂商,结合多年的安全研究经验,提出如下解决思路: 管理层面:完善现有业务流程制度,明细人员职责和分工,规范内部员工的日常操作,严格监控第三方维护人员的操作。 技术层面:除了在业务网络部署相关的信息安全防护产品(如FW、IPS 等),还需要专门针对数据库部署独立安全审计产品,对关键的数据库操作行为进行审计,做到违规行为发生时及时告警,事故发生后精确溯源。 不过,审计关键应用程序和数据库不是一项简单工作。特别是数据库系统,服务于各有不同权限的大量用户,支持高并发的事务处理,还必须满足苛刻的服务水平要求。商业数据库软件内置的审计功能无法满足审计独立性的基本要求,还会降低数据库性能并增加管理费用。 2.需求分析 随着信息技术的发展,XXX已经建立了比较完善的信息系统,数据库中承载的信息越来越受到公司相关部门、领导的重视。同时数据库中储存着诸如XXX等极其重要和敏感的信息。这些信息一旦被篡改或者泄露,轻则造成企业或者社会的经济损失,重则影响企业形象甚至社会安全。 通过对XXX的深入调研,XXX面临的安全隐患归纳如下:
信息安全审计系统在等级保护建设中的应用分析
信息安全审计系统在等级保护建设中的应 用分析 引言 在国外,随着诸如Iso27001,萨班斯法案等信息安全标准和法规的颁布,国外的信息安全审计己经企业,得到了广泛的应用。而在我国,信息安全审计主要来源于企业信息安全管理的需求、企业内控的要求并且获得了一定规模的应用。而随着计算机信息安全等级保护的推进,信息安全审计必然越来越受到政府、企事业单位的重视。目前市场上存在着各种各样的信息安全审计系统,其功能不一,部署使用力一式也不相同。如何在等保建设中更好的应用审计系统,木文在以下内容中给出了分析和建议。 1信息安全审计的意义和目的 计算机信息安全是要保证计算机信息系统中信息的机密性、完整性、可控性、可用性和不可否认性(抗抵赖),简称五性。安全审计是这五性的重要保障之一,它对计算机信息系统中的所有IT资源(包括数据库、主机、操作系统、安全设备、网络行为等)进行安全审计,提供给系统管理员作为系统维护以及安全防范的依据。安全审计如同银行的CCAV监控系统,任何人进出银行,柜台操作都进行如实录像记录,一旦有异常事件可以快速的查阅进出记录和行为记录,确定问题所在,以便采取相应的处理措施。 信息系统的安全审计工作更为复杂,通过统一收集信息系统中的设
备、系统、终端、应用的登录、操作日志以及其它各种网络行为,例如互联网访问,FTP传输、电子邮件等记录,通过综合关联分析从各类记录中进行多层而、多视角的跟踪、分析和处理,发现异常事件,及时采取相应措施。 通过以上分析可以看到信息安全审计在信息安全管理体系中是不可缺失的部分。它的作用主要如下: (1)对正在发生的各类信息事件进行监控、记录和告警; (2)为安全主管提供审计记录和分析决策,及时针对异常行为采取措施; (3)通过安全审计记录,可以对于发生的信息系统破坏行为提供有效的法律追究证据; (4)有效的安全审计策略和安全审计防护措施可以对潜在的攻击者起到震慑和警告的作用。 2等级保护中安全审计问题 2.1等级保护中的安全审计要求 等级保护是我国目前在非涉密系统信息安全防护一个有效的政策依据。等级保护测评中对网络,主机,数据库和应用都有相应的安全审计要求。 2.1.1各安全域通用要求 (1)审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等; (2)应保护审计进程,避免受到未预期的中断;
数据库安全审计解决实施方案
数据库安全审计解决方案
————————————————————————————————作者:————————————————————————————————日期: 2
一、数据库安全审计需求概述 数据库系统是一个复杂而又关键的系统,数据库存在各种管理和技术上的风险,如果这些风险变为事实,那么企业数据将遭受严重的经济损失和法律风险。 而面对数据库的安全问题,企业常常要面对一下问题: ?数据库被恶意访问、攻击甚至数据偷窃,而企业无法及时发现、追踪并阻截这些恶意的行为。 ?数据库遭受恶意访问、攻击后,不能追踪到足够的证据。 ?不了解数据使用者对数据库访问的细节,从而无法保证数据安全,特别是敏感数据的管理。 ?来自内部的威胁:特权用户随意修改配置、改变或盗取数据,没有明确职责分工。 ?针对数据库、应用系统日志的审计只能做事后分析,周期长,且无法进行持续性审计。 ?审计缺乏规范性,无法有效成为公司的安全管理规范且满足外部审计需求。 ?人工审计面对海量数据,无法满足100%可见性,造成审计不完整。?DBA权责未完全区分开,导致审计效果问题。 二、Guardium企业数据管理综合解决方案 InfoSphere Guardium提供的一组集成模块,使用一个统一的控制台和后端数据存储,管理整个数据库的安全与合规周期。通过Guardium,IBM 现在提供一种直接解决数据库安全性和遵从性问题的自动、有效且高效的方法。可扩展企业安全平台既能实时保护数据库,又能自动化所有合规审计流程。这套方案不仅在解决问题方面表现卓越,而且在避免消极影响方面同样表现出色。它对数据库性能的影响几乎为零,无需对数据库作任何变更,甚至不依赖本地数据库日志或审计工具。 三、通过Guardium管理数据安全 ?发现、分类并且自动寻找、分类和保护敏感信息 使用数据库自动搜寻和信息分类功能来识别机密数据的存储位置,然后使用定制的分类标签来自动执行适用于特定级别的敏感信息的安全策
会计师事务所审计流程
会计师事务所审计流程 会计师事务所是由有一定会计专业水平、经考核取得证书的会计师(如中国的注册会计师、美国的执业会计师、英国的特许会计师、日本的公认会计士等)组成的、受当事人委托承办有关审计、会计、咨询、税务等方面业务的组织。因此,审计是其中非常重要且必不可少的一个环节。 从审计的含义中,我们可以知道,审计是所有权监督,与经管权监督共同构成的经济监督体系。它是由独立的机构人员,运用会计检查、财产清查等特定方法,对有关部门和单位的会计资料及其所反映的财政财务活动的真实性、合法性和效益性进行监察、鉴证和评价,以保护其财产安全,提高其经济效益的一种经济监督活动(或形式)。 (一)、审计准则 审计准则是注册会计师进行审计工作时必须遵循的行为规范,是审计人员执行审计业务,获取审计证据,形成审计结论,出具审计报告的专业标准。审计准则是把审计实务中一般认为公正妥善的惯例加以概括归纳而形成的原则。它虽不具备法令的强制力,但审计人员从事审计时必须遵循。 (1)审计准则是适应审计自身的需要和社会公众对审计的要求而产生和发展的,是审计实践经验的总结。 (2)审计准则是对审计主体的规范和要求。它规定了审计人员应有的素质和专业资格,并对审计人员的审计行为予以规范和指导。 (3)审计准则提出了审计工作应达到的质量要求,是衡量和评价审计工作质量的依据。 (4)审计准则一般由国家审计组织机构或注册会计师职业团体制订颁布。 (5)审计准则具有很高的权威性和很强的约束力,审计人员在执业过程中必须严格遵守。 综合以上所述,认为审计准则的定义为:审计准则是由国家审计部门或注册会计师职业团体制定的,用以规定审计人员应有的素质和专业资格,规范和指导其执业行为,衡量和评价其工作质量的权威性标准。 审计准则-作用
审计部管理信息系统——项目概要
审计部管理信息系统—— 项目概要 The document was prepared on January 2, 2021
项目概要 项目名称:审计管理信息系统 1. 项目背景 全行审计系统拥有八个审计分部、38个总审计室和123个审计办事处,审计人员3300余名,每年完成审计项目近4000个。但是,长期以来,审计工作成果包括审计底稿、审计中发现的问题、审计报告等一直都以纸介质形式分散保存在各级审计机构,对于审计项目、审计人员、审计机构的管理也没有相应科技手段的支持,不利于审计整体优势的发挥、审计成果的有效再利用。为改变这种局面,我部提出开发“审计管理信息系统”。目前,我部正在会同信息技术管理部进行该项目可行性研究工作,计划明年3月份进入项目的正式立项与开发实施。 2. 项目目标 加强审计工作信息化管理,充分利用现代科技手段,实现全行审计人员、审计机构、审计项目、审计成果等信息的综合管理和利用。 3. 需求概述 系统功能需求覆盖了大部分审计日常管理业务和部分现场审计业务,系统主要包括七个子功能:底稿及问题台帐录入、审计机构
管理、审计人员管理、审计项目管理、审计成果管理、查询及分析、系统管理。 4. 与相关系统关系 无。 5. 设备配置概述 初步计划,38个一级分行各安装一台PC服务器,总行两台PC服务器。 6. 投资概算 资本性支出-固定资产:750万,费用230万。 7. 项目计划概述 可行性研究阶段:年月日完成可行性研究报告,进行专家论证,申请立项。 系统开发阶段年月日完成系统开发。 系统测试阶段:年月日完成系统测试。 系统试运行阶段:年月日完成试运行及推广。 系统验收阶段:年月日完成验收。
会计师事务所审计流程
会计师事务所审计工作流程 会计师事务所是由有一定会计专业水平、经考核取得证书的会计师组成的、受当事人委托承办有关审计、会计、咨询、税务等方面业务的组织。因此,审计是其中非常重要且必不可少的一个环节。 从审计的含义中,我们可以知道,审计是所有权监督,与经管权监督共同构成的经济监督体系。它是由独立的机构人员,运用会计检查、财产清查等特定方法,对有关部门和单位的会计资料及其所反映的财政财务活动的真实性、合法性和效益性进行监察、鉴证和评价,以保护其财产安全,提高其经济效益的一种经济监督活动。在审计中执行的主要程序有: 制定审计项目计划 审计机关应根据国家形势和审计工作实际,对一定时期的审计工作目标任务、内容重点、保证措施等进行事前安排,作出审计项目计划。 二、审计准备 根据审计项目计划确定的审计事项组成审计组,并应当在实施审计三日前,向被审计单位送达审计通知书;遇有特殊情况,经本级人民政府批准,审计机关可以直接持审计通知书实施审计。 1、了解被审计单位及其环境,并评估重大错报风险,包括舞弊风险; 了解被审计单位的哪些情况: (1)业务性质、经营规模和所属行业的基本情况;(2)经营情况和经营风险; (3)组织结构和内部控制情况;(4)关联方及交易情况;(5)以前年度接受审计
的情况;(6)其他 2、签订审计业务约定书:审计业务约定书是指审计机构与委托人共同签署的, 据以确认审计业务的委托和受托关系,明确委托目的、审计范围及双方应负责任与义务等事项的书面合同。具有法定约束力。 3、了解被审计单位的内部控制:主要是通过检查、观察、分析、询问及穿行测试等方法,对贵公司的整体层面的内部控制及业务流程层面的内部控制是否存在、设计是否合理及是否执行等情况进行了解。 4、基于上述的了解,评估重大错报风险,包括舞弊风险,即分析审计风险;审计风险指会计报表存在重大错报或漏报,而审计人员审计后发表不当审计意见的可能性。 组成要素:包括固有风险、控制风险、检查风险。审计风险查风险。 =固有风险*控制风险*检 5、基于上述风险的评价,制定审计计划,即初步判断重要性水平,确定所需审计证据的数量,重要性水平被看作是审计所允许的可能或潜在的未被发现的错报和漏报的限度;重要性指被审计单位会计报表中错报或漏报的严重程度,这一程度在特定环境 F可能影响会计报表使用者的判断或决策。 &根据审计计划,执行控制测试。控制测试涉及的资料及相关岗位包括但不限于财务部人员。 7、根据控制测试的结果,制定实质性测试的具体计划,即审计计划; 审计计划通常分为总体审计计划和具体审计计划两部分。 (1)总体审计计划
审计管理系统(OA)常见使用问题解答
审计管理系统(OA)常见使用问题解答 (2006-5-18) Ⅰ.审计人员 1)问:点击公文标题后,页面显示“正在打开公文”,然后一会就消失了, 没有反应是什么原因? 答:可能本地电脑上安装了“上网助手”之类的工具,把弹出的公文窗口阻止了,请关闭该工具,重试。 2)问:审计管理系统无法打开公文,总是弹出错误提示窗口 “Error?number?…”请问遇到这类问题怎么解决? 答: 这种情况需要注意下列原因: (1)客户端IE浏览器的设置是否正确; (2)windows操作系统登录的用户不能为中文,否则有可能导致无法正常打开公文; (3)建议使用office 2000版本, 查看本机是否存在一些上网助手。3)问:为什么在公文办理时,点击打开一个Word文件(或接着再打开另 外一个本地Word文件),Word的菜单项或工具栏内容少了很多? 答:是因为审计管理系统在使用Word时,对其进行了二次开发以便各种控制需要,把部分不允许使用的功能禁止了。但不对正常的使用产生影响,如在没有打开OA系统内的公文时打开了Word程序,则菜单和工具栏都恢复了原样。在极个别情况下,如果没有恢复,请咨询热线电话,服务人员会很快协助解决此问题。 4)问:公文处理单上的各个区域与公文有什么关系? 答:公文处理单的区域与公文的各类要素是一一对应的,公文程序通过读取处理单上的各个区域内容,在公文套模版的时候把公文各要素(公文标题、发文字号等)填充到正文的相应位置,所以处理单上正文不应该包括公文各基本要素,而只需要正文内容,否则在套模版的时候就会有重复项。
5)问:当某公文不想阅读时,怎么让其不再在待阅列表中出现? 答:在待阅公文界面中有个控件按钮“免读”,选择某个待阅公文,点击免读即可。 6)问:在出差期间,需要本人办理的公文怎么处理? 答:有两种方法:个人办文权限转移和通过委托部门文书管理员 (1)个人办文权限转移 选择“办文权限转移”,选择被委托人和委托开始时间以及委托结束时间,点击“保存”完成个人授权。点击“高级”会弹出如下页面,可以在整个机关选择被委托人员,选择人员后点击“保存”来完成办文权限转移。 提示:委托办理功能的范围为本人所在的部门。 (2)部门文书管理员 以部门文书管理员的身份登录系统,在审计管理区—〉部门文书管理—〉办文权限转移?,出现本部门所有人员列表:选择委托人和被委托人,填写委托开始时间和委托结束时间,然后点击“保存”来完成部门内人员办文权限的转移。 7)问:待阅公文很多,如何让其分类保存? 答:待阅公文(列表)是已入库公文中,由机关文书分发给你的必需看的文件集合。每个用户在公文管理中都有一个“个人文件夹”,用户根据个人需要在个人文件夹中新建类别组,在已阅公文界面中,选择某个公文点击复制,然后选择要把该公文放在哪个分组里即可,以后可以按照个人分类进行查找已阅过的公文。 8)问:为什么公文列表中点击标题后,不能打开相应公文,同时弹出对话 框错误信息? 答:一般情况下先确认是否满足如下条件:? (1)操作系统登录时,登录名不能是中文字,必须是英文或拼音,且最好有密码。如果是中文名称,需要新建一个英文用户,建议以后就用此新建的用户登录。 (2)在“internet选项”中,确认“受信任站点”和“安全站点”的列表中是否有您的OA系统的域名或IP。
市财政信息系统 数据库监控与审计解决方案
市财政信息系统 数据库监控与审计解决方案 https://www.360docs.net/doc/0313346731.html, 1、概述 当前市财政局各类信息系统中,数据密级度较高的系统包括预算编制系统、决算系统、国库支付、政府采购系统等,后台数据库中存储的敏感数据一旦发生泄漏或者被非法篡改,都将是责任重大的信息安全事故。 为了在发生疑似影响数据安全操作的时候,能及时告警并记入审计日志以便事后追责,市财政局应从技术和管理手段上采取相应的措施提高敏感数据的安全性。技术上采用数据库监控与审计设备记录敏感数据的操作,对批量的数据导出和针对数据库的恶意攻击及时告警;管理上引入定期安全巡检、对告警信息及时处理,让安全管理员切实管好敏感信息不泄漏,出现数据泄漏和篡改等问题能准确追责和定责。 2、需求分析 2.1、数据安全风险显著 省财政数据中心当前主要面临如下三类数据安全风险: ●财政敏感信息的泄密风险 在当前的管理平台系统中,有宏观财政指标参数、行业领域预算信息、项目详细预算和决算数据,同时政府采购项目相关的招标项目信息、产品报价、中标结果信息等敏感信息,程序开发人员、信息中心人员有数据库的账户,都有机会利用数据库存在的漏洞以及自身拥有的高权限,直接获取敏感信息的风险。 ●财政敏感信息被非法篡改风险 当前的管理平台系统中,有国库支付相关的预算单位信息、预算科目、会计科目、计划金额、用款金额等敏感信息,财政信息系统往往是局方内部人员、厂商程序开发人员和实施
人员共同维护数据。一旦发生了违规的数据篡改行为,也无法有效界定到底是哪方人员造成的信息安全事故。 ●缺乏有效追踪排查手段 如果缺乏独立和有效的数据库操作审计日志,就不可能对可疑的违规操作及时进行分析,包括对违规篡改操作发生的时间、地址、操作者、数据修改值等信息项,当前都缺乏有效手段进行追踪。 2.2、政策要求安全审计 《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确要求我国信息安全保障工作实行等级保护制度,提出"抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南"。 2004年9月发布《关于信息安全等级保护工作的实施意见》(公通字[2004]66号")进一步强调了开展信息安全等级保护工作的重要意义,规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。这些文件以意见的形式提出对网络行为进行实时记录并保存相关各类日志。 政府单位更多的寻求技术手段完善政府单位网络安全防护体系,充分满足国家对信息系统的等级保护要求和对涉密网的分级保护要求,对数据库审计的具体安全要求:每个用户的行为、各种可疑操作并进行告警通知,能对操作记录进行全面的分析,提供自身审计进程的监控,审计记录防止恶意删除,同时具备自动归档能力。 3、解决方案 3.1、防护目标 本方案的目标是市财政局信息中心数据库形成以监控与审计为主的安全防护,重点解决敏感信息泄密和数据非法篡改的及时告警和事后审计问题。 数据库监控与审计的防护目标概括来说主要是三个方面: 一是确保数据的完整性;
会计师事务所审计流程
会计师事务所审计流程文稿归稿存档编号:[KKUY-KKIO69-OTM243-OLUI129-G00I-FDQS58-
会计师事务所审计工作流程会计师事务所是由有一定会计专业水平、经考核取得证书的会计师组成的、受当事人委托承办有关审计、会计、咨询、税务等方面业务的组织。因此,审计是其中非常重要且必不可少的一个环节。 从审计的含义中,我们可以知道,审计是所有权监督,与经管权监督共同构成的经济监督体系。它是由独立的机构人员,运用会计检查、财产清查等特定方法,对有关部门和单位的会计资料及其所反映的财政财务活动的真实性、合法性和效益性进行监察、鉴证和评价,以保护其财产安全,提高其经济效益的一种经济监督活动。在审计中执行的主要程序有: 一、制定审计项目计划 审计机关应根据国家形势和审计工作实际,对一定时期的审计工作目标任务、内容重点、保证措施等进行事前安排,作出审计项目计划。 二、审计准备 根据审计项目计划确定的审计事项组成审计组,并应当在实施审计三日前,向被审计单位送达审计通知书;遇有特殊情况,经本级人民政府批准,审计机关可以直接持审计通知书实施审计。 1、了解被审计单位及其环境,并评估重大错报风险,包括舞弊风险; 了解被审计单位的哪些情况:
(1)业务性质、经营规模和所属行业的基本情况;(2)经营情况和经营风险;(3)组织结构和内部控制情况;(4)关联方及交易情况;(5)以前年度接受审计的情况;(6)其他 2、签订审计业务约定书:审计业务约定书是指审计机构与委托人共同签署的,据以确认审计业务的委托和受托关系,明确委托目的、审计范围及双方应负责任与义务等事项的书面合同。具有法定约束力。 3、了解被审计单位的内部控制:主要是通过检查、观察、分析、询问及穿行测试等方法,对贵公司的整体层面的内部控制及业务流程层面的内部控制是否存在、设计是否合理及是否执行等情况进行了解。 4、基于上述的了解,评估重大错报风险,包括舞弊风险,即分析审计风险;审计风险指会计报表存在重大错报或漏报,而审计人员审计后发表不当审计意见的可能性。组成要素:包括固有风险、控制风险、检查风险。审计风险=固有风险*控制风险*检查风险。 5、基于上述风险的评价,制定审计计划,即初步判断重要性水平,确定所需审计证据的数量,重要性水平被看作是审计所允许的可能或潜在的未被发现的错报和漏报的限度;重要性指被审计单位会计报表中错报或漏报的严重程度,这一程度在特定环境下可能影响会计报表使用者的判断或决策。 6、根据审计计划,执行控制测试。控制测试涉及的资料及相关岗位包括但不限于财务部人员。
ERP系统业务解决方案
七台河矿业集团物资供应管理ERP系统业务解决方案 客户项目经理: 日期: 用友项目经理: 日期:
文档控制 更改记录 Date Author Version Change Reference 2008-4-07 王凯峰 1.0 2008-4-15 王凯峰 2.0 重新进行了流程更改 2008-4-20 王凯峰 3.0 查阅 Name Position 分发 Copy No. Name Location 1 2 3 4 5 6
目录 七台河矿业集团物资供应管理ERP系统业务解决方案 (2) 目录 (4) 一、方案概述 (5) 二、企业内部物流流转图 (6) 三、静态数据编码 (6) 四、公司共用系统参数 (7) 五、采购至入库业务流程管理应用描述 (7) 5.1采购至入库总体应用背景方案 (8) 5.2采购至入库业务总体应用方案 (9) 六、材料出库及消耗汇总业务流程应用描述 (12) 6.1材料出库及消耗汇总总体应用背景方案 (12) 6.2材料出库及消耗汇总总体应用方案 (14) 七、发票、消耗汇总暂估与结算业务描述 (17) 7.1发票、消耗汇总暂估与结算应用背景方案 (17) 7.2发票/消耗汇总暂估与结算总体应用方案 (17) 八、应付单、付款单及核销 (20) 8.1应付单、付款单及核销应用背景方案 (20) 8.2应付单、付款单及核销总体应用方案 (21) 九.期初单据录入 (24) 9.1应付模块期初单据 (24) 9.2采购模块期初单据录入 (25) 9.3库存模块期初数据的录入 (26) 十.其他相关问题 (26)
一、方案概述 方案应用目标 本方案目标是解决七台河矿业集团物资供应公司一期物资采供系统,保证自采购至发货至各矿的物流数据准确/及时,做到账物实际相符,同时规范业务操作,减少各操作人员操作压力,为财务核算提供数据. 方案应用业务范围 本方案业务范围为: 1各矿上报临时月计划 2采购合同及后续入库 3采购发票及相应结算 4应付及付款形成核销 5供应材料发货
数据库审计解决方案
数据库审计方案建议书
1综述--------------------------------------------------------------------------- 3 1.1方案背景 ----------------------------------------------------------------- 3 1.1.1数据库安全风险 ----------------------------------------------------- 3 1.2方案目标及实现原则 ------------------------------------------------------- 3 1.2.1实现的目标 --------------------------------------------------------- 3 1.2.2遵循的原则 --------------------------------------------------------- 4 2数据库审计系统产品简介 --------------------------------------------------------- 4 2.1产品定位 ----------------------------------------------------------------- 4 2.2功能简介 ----------------------------------------------------------------- 4 2.3产品特色 ----------------------------------------------------------------- 5 2.4功能特点 ----------------------------------------------------------------- 6 2.4.1强审计能力 --------------------------------------------------------- 6 2.4.2可灵活配置的审计规则 ----------------------------------------------- 6 2.4.3强大的搜索引擎 ----------------------------------------------------- 6 2.4.4丰富的审计报表 ----------------------------------------------------- 6 2.4.5自身安全性保护 ----------------------------------------------------- 6 3数据库审计系统部署 ------------------------------------------------------------- 7 4日志服务器集成 ----------------------------------------------------------------- 8 4.1 整体实施效果---------------------------------------------------------------- 8 5神码安全IDM产品结合数据库审计系统方案 ----------------------------------------- 9 5.1产品部署图和流程分析 ----------------------------------------------------- 9 6总结--------------------------------------------------------------------------- 9
信息安全审计解决方案
网络信息安全审计解决方案 ----主机审计、网络行为审计、数据库审计解决方案
目录 1概述 (4) 1.1信息安全审计产生的背景 (4) 1.2信息系统安全审计的必要性 (5) 2某信息安全审计体系结构 (5) 3某信息安全审计方案介绍 (7) 3.1主机审计 (7) 3.1.1企业内部主机操作的风险问题 (7) 3.1.2某主机审计系统解决方案 (8) 3.2网络行为审计 (12) 3.2.1企业互联网管理面临的问题 (12) 3.2.2网络行为审计解决方案 (13) 3.3数据库审计 (24) 3.3.1数据库安全面临的风险 (24) 3.3.2数据库审计产品解决方案 (25) 4方案部署 (37) 5方案优势 (38) 6方案总结 (39)
1概述 1.1信息安全审计产生的背景 随着全球信息化技术的快速发展以及计算机信息技术在各行各业的深入运用。计算机信息化技术已经深入的覆盖到工作及生产的每一个角落。传统的手工生产已经逐渐的被信息化生产所替代。信息化生产大大的提高了社会化生产的效率,但是同时,作为生产工具的信息化系统存在着可能导致生产崩溃的风险和威胁。信息系统遭受内部攻击、违法违规操作以及信息泄露的事件时有发生并且呈不断升温的趋势。 基于以上情况,全球信息技术发展最快的美国于2002年颁布了SOX法案(国内简称萨班斯法案)用以规范上市公司在计算机信息系统的安全性和可审计性,从而消除或者减少信息系统中导致生产崩溃的风险和威胁。在中国加入WTO之后,在生产和信息技术上不断的向发达国家靠拢的同时,也需要不断的完善计算机信息系统安全及审计的技术规范和技术手段。其中的技术规范应该覆盖内部信息体系的审计与控制以及由内到外的信息系统行为的审计与控制。从2009年7月1号开始实施的由财政部、审计署、证监会、保监会、银监会联合颁发的《企业内部基本控制规范》以及《计算机信息系统安全保护等级划分准则-GB 17859-1999》等法规文件中都明确要求需要对信息系统进行审计与控制。尤其在等级保护的第二级开始明确要求“计算机信息系统可信计算机能创建和维护受保护客体的访问审计跟踪记录,并能阻止非授权的用户对它访问或破坏”。另外,2006年,公安部也颁布了《互联网安全保护技术措施规定》(简称“公安部82号令”),要求互联网提供者对访问互联网的用户行为进行记录保存并可查询,其中要求日志保存时间在60天以上。 1.2信息系统安全审计的必要性 相关权威机构的调查显示,80%左右的机构信息风险都来自于机构内部,因
现场审计流程
3 现场审计流程 包括:审计准备、审计实施、审计报告、审计成果运用、审计整改五个阶段 (一)审计准备 1.成立审计组: 确定审计组长、主审、审计项目、分配审计组成员各自的任务。审计组长或主审人指导成员对哪些重点问题做准备分析。 2.编制审计实施方案: 确定: 1)审计目标; 2)审计范围; 3)审计内容、重点、抽样标准与抽样情况,以及相应的检查方法、途径; 4)编制审计实施方案应收集的主要材料
●有关金融法律法规与本行规章制度政策; ●被审计单位的主要经营情况,包括工作总结、年度会计报 告、决算报告等; ●被审计单位的内外部审计报告及整改情况; ●税务、外管、财政、人行、银监等检查和罚款的信息; ●人员变动信息 ●各类业务数据; ●本行监察部门的监察处理信息 ●群众举报材料; ●媒体及互联网的有关报道; ●其他资料。 3.审定审计方案 1)分析被审计单位管理层配置、员工配置、内部控制、风险管理、业务经营与财务状况等方面的问题疑点、线索及异常情况 2)确定审计检查的范围、时间、内容、重点、审计检查的标准、实施步骤与方法。 4.审计实施:审计组长或主审人的职责 1)重点思考:
他们在做什么? 做了些什么业务? 从哪些渠道得到他们做什么的信息? 评估风险程度? 会有风险还是没有风险、有重大风险还是一般风险? 2)进度控制和质量控制综合和协调 3)对重大疑点问题要组织、指导并参与检查 4)对比较重要的问题进行复审。 5)对审计过程中发现的重大问题,及时向相关领导请示汇报。 6)审定审计证据 7)审定工作底稿 8)负责向被审计单位的审计交流 5.审计报告 报告要求: 归纳总结、问题定性正确(架构、制度、体制、系统,前台柜员、管理部门、上级行等,普遍性问题、个体问题、趋势性问题,客观和主观问题,可容忍还是不可容忍问题) 6.审计成果利用:按问题性质逐级上报,处理。 1)对行长级发生的重大问题和严重违规违纪问题可直接向高管层直接领导反映。
《审计信息管理系统》使用介绍
《审计信息管理系统》使用说明 第一章概述 欢迎使用《审计信息管理系统》,本文介绍《审计信息管理系统》的使用方法。本系统是针对XXX市审计局日常行政办公、信息管理和设计的应用系统,充分考虑了XXX市审计局的办公内容、行文流程、组织结构等相关内容,给用户提供丰富、完整、方便的功能,正确处理企业日常工作中的各种常规事务,如收文、发文、信息管理、信访管理、档案管理等,通过对各种办公过程的流程化分析、图形表示、自动控制行文流转过程,提高办公效率,保证日常工作高效、规范的进行,实现无纸化办公。 本系统主要以审计项目的实施与管理为核心,同时提供人事管理和各科室之间的信息交换功能,方便领导和各科室成员迅速掌握当前工作的内容和工作进度。 本系统使用了高度安全的Lotus Notes/Domino R5作为开发平台,能适应用户在不同环境和条件下的需求,有着极为可靠的安全性。本系统有广泛的适用性。它是标准的工作流办公自动化软件,稍加改进即可与其他企事业单位自身组织机构相配置,用户单位无需更改现有组织机构,可快速部署整个系统,迅速从中获得效率提升。 第二章主界面 一、启动审计信息管理系统 办公自动化系统的启动,操作员单击[开始]→[程序]→[Lotus 应用程序]→[Lotus Notes],系统会出现一对话框(如图2-1),输入正确的口令,系统就会进入审计信息管理系统主界面。 图2-1
如果操作员要选择其它的人员的ID(即以其他人员的身份登录,前提是直到其他人员的密码),操作员可单击[取消],系统会弹出(如图2-2)的对话框,操作员从中挑选需要的ID,再输入正确的口令,系统就以他的身份进入审计信息管理系统主界面。 图2-2 二、主界面的操作 打开Lotus Notes,《审计信息管理系统》的主界面(如图2-3)自动作为缺省首页出现。主界面上有8个标题,分别是打开以下8个功能模块的链接:人事管理、文件审批、审批进度、审计档案、综合查询、流转定稿、电子邮件和文档模板。 图2-3 退出办公自动化系统,用户只需单[退出]即可。