审计方案
本部分主要阐述与审计方案编制相关的审计准备工作以及审计方案本身的有关内容。
一、编制审计方案的目的和作用
审计方案的编制是计划审计工作的一项重要内容和技术,它是将审计过程中计划阶段和检查阶段的工作有机地、紧密地联系起来的一座桥梁。简单地说,审计方案就是指导审计工作有效地进行的一套书面指令,是在对被审计单位的基本情况有了初步了解和调查的基础上,对现场审计工作进行具体部署所形成的一个正式的书面文件;是为帮助内部审计人员,在错综复杂的组织体系和浩如烟海的记录文件中,寻找和收集充分可靠的与一个或多个审计目标相关的审计证据而确定的对涉及审计范围、审计目标和审计步骤等一系列事项的综合描述。
对内部审计人员来说,审计方案就象航海员手中的航海图、驾驶员面前的交通图一样意义重大。一份良好的审计方案应该象一张清晰明确的道路图,标明了审计的工作方向和步骤,为内部审计人员有效地进行现场检查和评价活动提供行动指南;同时,它又应该成为内部审计人员在现场审计过程中实现自我控制的一种手段,保证以效率和效果的方式在规定的时间和费用预算范围内达到审计目标,完成审计任务。《内部审计专业实务标准》要求内部审计人员在制订审计计划的过程中编制审计方案。正式的书面审计方案具有以下方面的目的和作用。
(一)编制审计方案的目的
1,指导内部审计人员实地收集与审计目标相关的、充分的、可靠的、有效的审计证据,保证所有的审计步骤和方法都能够被实施和使用,减少遗忘重要审计步骤的风险,降低未能揭示实际存在重大问题的可能性。
2.督促审计监督员与其他内部审计人员认真讨论准备工作过程中所掌握的信息,确定审计目标和重点审计范围,写出详细、具体的审计步骤,下达准确的指令,以指导审计人员,尤其是那些经验不多需要较多帮助的审计人员的工作。
3.为组织和编制审计工作底稿、保存原始的工作记录提供符合逻辑的结构。
4.为完成的每一部分工作提供保存责任记录(日期、批准人、检查人)的便利手段。
5.为审计报告的撰写提供符合逻辑的结构和内容。一般而言,一份完整的审计报告应该包括审计目标、审计范围、调查结果、审计结论和建议等方面的内容。在这方面,审计方案能够提供一般性指导。
(二)编制审计方案的作用
1.审计方案是督促现场审计按指令进行,掌握工作进展情况的一种工具。通过审计方案,审计监督员可以全面把握审计工作的整体部署,包括时间预算和人员安排。完成规定工作内容的一般审计人员也可凭借审计方案来衡量其工作进程和质量,知道已经完成的和尚需集中精力完成的有哪些工作内容,使其在整个现场审计过程中实现自我控制和自我指导。
2.审计方案为调整年度审计计划或初步的时间预算,具体分配审计人员提供了较可靠的依据。审计方案的确定进一步明确了审计目标、审计重点范围和审计步骤,从而对完成方案中规定的每一部分工作内容所需要的时间和知识技能的估计较为准确。据此,就能有针对性地分配审计人员,并对完成现场审计和撰写审计报告的日程作出具体安排,统筹安排有关事宜。
3.审计方案是对现场审计工作进行监督和检查的依据。通过将实际工作与审计方案进行比较,就可以分析发现哪些工作内容尚未完成或完成得不够理想.需要在剩余的时间里及时予以补救和改进,监督审计人员圆满完成委派的工作任务。
4.审计方案是提高审计工作效率和效果的必要措施。实施良好的.审计方案可以使内部审计人员从被审单位复杂系统的信息迷宫里摆脱出来,避免在大量枝节问题上纠缠不清,而将时间和精力集中于风险较大或可能存在重大问题的领域,强化对之检查和评价的深度和力度;由此,内部审计人员可以减少不必要的审计瞬间,降低审计费用并保证工作质量符合质量控制的要求,以更经济有效的方式实现审计目标,完成审计任务,达到审计目的。
二、编制审计方案的准备工作
从某种意义讲,计划阶段的最后一项工作就是编制正式的审计方案。编制审计方案就是要将已经确定的审计目标、审计范围和准备执行的具体审。计步骤和方法形成书面文件。一份卓有成效的审计方案绝不是内部审计人员独自在封闭的办公室里空想出来的,而是在对被审单位的基本情况有了初步了解,完成了必要的准备工作之后,依据对被审计活动的风险评估结果而精心设计而成的。它是一个对计划阶段的工作成果进行符合逻辑的分析判断和总结的结果。在编制审计方案之前,内部审计人员应该努力完成一些必要的准备工作,其主要目的是熟悉和掌握被审计单位的基本情况,取得对被审计活动的充分理解,为编制审计方案提供足够的信息和根据。这些与编制审计方案相关的必要准备工作包括两个部分:一是在审计人员办公室完成的初步准备工作;二是在被审计单位所在地进行的现场调查工作。
(一)在审计人员办公室完成的初步准备工作
编制审计方案的初步准备工作极为广泛,可以说,在进驻被审计单位以前为完成某项审计任务所进行的一切相关工作都属于初步准备工作的范围。系统的初步准备工作被喻为是圆满完成项目审计任务,达到审计目的的基础,其目标主要是了解和熟悉有关被审计单位的背景信息。在初步准备过程中,内部审计人员应该拟订初步的审计计划,查阅有关背景资料和文献,从档案资料中了解被审计单位的过去、现状和未来的发展方向,并设计供现场调查所用的问题调查表,其主要工作集中在以下几个方面:
1.拟订初步审计计划
初步审计计划应该根据企业管理当局或董事会审计委员会批准的年度审计计划并结合他们的一些特殊要求来确定。一般来说,在制定初步审计计划之前,由于对被审计单位,尤其是那些过去未曾审计过的单位的基本情况不甚了解或没有了解,因此,初步审计计划只能是一个项目计划大纲,只能在总体上对所需的时间和人力资源作出估计,对审计目标和审计范围也只能提出大致的要求和说明。但是,这个计划大纲是对整个审计过程实行有效控制的一种手段,它不仅能够向被审计单位和审计人员提供有关该次审计活动的目标和范围以及审计目的
的宏观认识,有助于被审单位配合审计工作;还能够为有效地、充分地完成其他审计准备工作(例如,组建审计队伍,决定是否需要、如何与外部审计协作等)提供合理的安排和保证。
2.查阅有关被审计单位的档案资料
通常,内部审计部门都建立了一个贮存各种与内部审计活动有关信息资料的档案室。这种档案室应该收集整理并妥善保管有关组织各方面的重要信息,包括每个子公司、分公司、分支机构或部门的各类有助于内部审计人员熟悉被审单位与审计相关的基本情况。这些资料是内部审计人员在现场调查,乃至现场审计过程中不可缺少的信息来源。《内部审计专业实务标准》要求,内部审计人员应该在审计活动中收集有关被审计单位背景情况方面的信息,并进一步指出这些信息是制订审计计划所不可缺少的。在准备工作中,内部审计人员应该查阅那些有助于理解和把握被审计单位的目标、资源拥有和分布状况、控制系统和实际或潜在风险等方面的背景资料。下面是应该存入档案室,并在初步准备工作中应予查阅的有关资料:(1)说明组织的方针、政策的书面文件;(2)说明职责和权限的书面文件;(3)组织机构图和部门机构图;(4)重要岗位及其工作标准的说明文件;(5)目标管理和经营责任制的说明文件;(6)系统流程图或系统文字说明文件;(7)标准操作规程;(8)各种类型的重要业绩报告;(9)内部控制系统的作业流程;(10)所选用的会计政策和原则;(11)预算和实际执行结果的差异报告以及管理部门对此所作的解释和说明;(12)会计核算体系的书面说明文件;(13)所有企业管理当局关心事项的备忘录;(14)以前,尤其是上一次审计报告、工作底稿和被审单位对审计报告的答复,以及对重要问题后续审计的报告。
在具体的审计工作中,内部审计人员可以根据不同的审计类型所需要的信息来确定应该查阅哪些方面的档案资料,获取所需要的背景信息。例如,对财务审计来说,就未必一定要查阅有关工艺流程和生产管理方面的资料;对经营审计来说,掌握有关会计岗位设置和核算体系方面的信息就显得不那么重要了。一个富有经验的内部审计人员能够根据不同的审计目标选择相关的资料,而不是上述的全部资料。
3.查阅有关审计文献
在整个审计过程中,尤其是检查阶段,内部审计人员随时都可能通过参考一些审计文献,来取得已经遇到的或现场审计中可能遇到的问题的帮助和指导。通常,在初步准备工作中,内部审计人员可能还没有遇到亟需解决的实际问题,查阅审计文献的方向或针对性不够明确,再加上严格的时间控制,使得这项工作得不到重视,甚至被忽略。事实上,有选择地阅读有关审计文献,对拟订初步审计计划,掌握适当的审计技术和方法,提高审计工作的效率和效果都有颇多的好处。例如,检查和评价内部控制是内部审计工作的一项主要任务,几乎所有的审计项目都涉及到内部控制的评审,因此,许多文章对如何研究和评价内部控制系统的适当性和有效性进行了详尽的讨论,提出了许多新观点和新方法;怎样对合资企业、工程项目、电子数据处理和管理职能进行审计,是近年来审计杂志、刊物讨论的主题;另外,有些文章还对如何编制流程图、设计问题调查表、运用统计抽样和数学模型等审计技术进行了较深入的探讨和阐述。这些审计文献所蕴含的知识和信息能够为有效地进行现场调查、现场审计乃至完成审计报告的工作提供科学的审计技术和方法,其中有些文章是审计工作的经验总结,它能够提醒内部审计人员关心那些由其他审计人员发现的问题和在实现组织目标的过程中实际存在的或潜在的风险领域,并告诉审计人员应该“查什么、怎样查”。因此,在初步准备过程中,查阅有关审计文献是必要的,应该引起内部审计人员的高度重视,它能够提供有成效的审计技术和方法。
一般来说,内部审计部门应该有一个专业图书室,收集和保存有关审计理论和实务、内部控制、管理和会计等方面的书籍,同时,还应该配备有关审计学方面的期刊杂志,以及执业会计师协会、内部审计师协会等职业团体颁布的各类研究报告及其解释和说明的公告、专题文章等方面的文献资料。这些文献资料是内部审计人员开阔思路、启迪智慧的信息源泉。
4.设计问题调查表
问题调查表是帮助内部审计人员熟悉被审计单位的基本情况的一种极为有效的工具。控制问卷是问题调查表的一种具体形式,但两者设计思想和方法基本
相同,都采用“是”与“否”的逻辑选择来反映调查的结果。内部审计人员应该在办公室设计好问题调查表,以供现场调查使用,这有助于减少在被审计单位的工作时间,降低审计费用,提高现场工作的效率。
问题调查表应该根据总的审计目标、被审计单位的基本情况,并参照审计文献中其他一些典型的问题表来编制,使之既规范、又有针对性,能够反映审计的目的和应予关心的重要方面。一般而言问题调查表的调查方面和范围应该覆盖与被审计活动相关的所有重要方面,其总的调查方面和范围大致包括:(1)组织的方针政策、政府的法律条例和行业标准的遵循情况;(2)被审计单位哪些活动是最重要的、最难以处理的,为什么;(3)各种业绩标准是如何确定的,上一次业绩评估的结果怎样;(4)内部控制系统(包括管理控制和内部会计控制)是否适当和有效,关键性控制环节和措施有哪些;(5)工作的重心是什么,是如何确定工作重点的;(6)经营方面近年来是否有重大的改变,哪些方面有变化,有什么影响;(7)选择的会计政策和原则是什么,近年来有无重大改变,有什么影响;(8)会计核算体系怎样、是怎样形成的;(9)资源的使用是否经济有效;(10)职员是如何接受培训的,效果怎样;(11)人员的流动情况怎样,是否存在不良的流动趋势,为什么;(12)业务信息和会计信息是否真实、可靠;(13)被审计单位与组织内部哪些单位发生联系,联系的方式和渠道是什么;(14)被审计单位对本次审计持何态度和看法等。
在具体工作中,内部审计人员应该根据具体的审计目标有选择地利用上述所列方面的调查内容设计出更为具体的有针对性的问题调查表。设计问题调查表的目的是为了帮助内部审计人员有效地进行现场调查工作,为确定审计范围及其重点、编制审计方案提供适当的信息。值得指出的是,内部审计人员在办公室编制的问题调查表的针对性与被审计单位的实际情况可能存在某些差异,尤其是那些通用式的标准问题调查表,其存在差异可能更明显,这就要求内部审计人员在现场调查或实际使用中根据具体情况作必要的修改补充,使之适合特定的审计环境,否则,千篇一律地加以使用,则可能遗漏某些重要事项,达不到预期的效果。另外,内部审计人员不能过分信赖调查表上简单的选择结果,因为无论是由内部
审计人员还是被审计人员填列,其结果不可能完全准确地反映实际状况,甚至可能存在与实际相悖的信息。因此,内部审计人员在利用问题调查表时,必须保持谨慎的态度,万不可盲目地信赖其结果。
(二)在被审计单位所在地进行的现场调查工作
现场调查是在被审计单位所在地进行的与确定审计目标、范围和步骤、编制审计方案直接相关的一项重要工作内容。现场调查是为了获取对被审计单位情况更为直接的、进一步的认识,其目标仍在于熟悉情况。但是,这种熟悉和了解情况的方式不同于一般的、走马观灯式的调查了解,它必须能够为编制合理有效的审计方案提供详尽可靠的信息依据。因此,现场调查应该有计划有系统地进行。为此,内部审计人员不仅要与被审计单位有关人员进行深入细致的讨论,并随时提出一些问题,还必须深入作业现场进行实地观察,分析重要的档案资料;不仅要了解作业过程和关键的控制措施,还必须理解和掌握其真实的目的和效果,识别实际或潜在的风险领域以及可能存在的重大问题;同时,还应该对组织体系、职员背景、管理模式和风格有较深入的了解。否则,内部审计人员就难以确定审计的重点,在大量繁杂的业务活动中迷失方向而理不清审计目标,也就不可能制定为现场审计工作提供指南的切实可行的审计方案。在整个审计过程中,现场调查工作有着极其重要的意义,它是保证现场审计工作卓有成效的基础。现场调查主要包括以下工作:
1.与被审计单位相关人员的会晤
内部审计人员进驻被审计单位后的第一项工作,就是要召开一次与被审计单位相关人员的初次见面会议。所谓“相关人员”,不仅是指被审计单位的经理或各级管理部门的负责人,更重要的应包括与被审计活动直接相关的业务主管人员,甚至具体工作人员。
在这个会议上,内部审计人员应该向与会者,尤其是那些以后要对报告作出答复的管理人员说明来意,阐明审计的目标、大致工作范围、时间安排、要求提供的资料和帮助,以及其他为完成审计任务所作的具体安排和要求。内部审计人员应该了解管理人员所关心的问题,对实际工作中存在问题的看法、以及对本次
审计工作所持的态度和要求审计人员提供的帮助;同时,还应该就有关经营目标、计划管理、内部控制、财务会计、生产技术、经营方针等方面的问题广泛地交流意见。在现场调查过程中,内部审计人员所要求收集的大部分资料和信息都来源于管理部门的管理人员,因此必须围绕调查表中有关重要问题进行较为详尽的讨论,主要听取他们对有关方面的情况所发表的意见和看法。通过交谈,内部审计人员可以更进一步了解有关计划和控制系统、业绩标准的制订和修订、经营管理状况和财务会计等方面的情况,以及管理人员已经意识到的问题。
初次见面会议是一次非常重要的、必不可少的会议。它是内部审计人员取得对被审计单位宏观认识的一次机会,也是建立合作关系的基础。在会晤交谈中;内部审计人员应该明智地提出一些具体的敏感问题,显示其专业素质能力和职业风格,同时又必须保持谦虚、勤奋、踏实的作风,显示客观公正的执业姿态,免除被审计人员可能存在的抵触情绪,争取他们对审计工作的支持和帮助。可以说,内部审计人员在初次见面中所表现的态度和作风是能否取得被审计单位人员配合的一个重要因素。
2.查阅有关文件
文件是贮存和传递信息的一种方式,每个被审计单位都会有大量的、名目繁多的文件。在初步准备工作中,内部审计人员就应该知道将要审计的单位有些什么文件,需要查阅哪些文件,并提出索取所需文件的具体要求。要查阅所有的文件是不可能的,也是没有必要的。通常,内部审计人员将时间和精力集中于查阅与被审计活动相关的重要文件上。这些文件包括上级管理部门下达的计划、预算和经营目标;目标管理方案;质量控制和业绩报告;程序流程图;操作规程;重要岗位说明;会计原则和政策;核算体系;各项业绩标准;与企业内部和外部往来的重要文件等。
阅读被审计单位近期的文件记录可以使内部审计人员迅速了
解这个单位目前的状况和潜在的发展趋势,弥补审计人员在办公室里所掌握情况的不足之处。一些分析性报告通常反映丁本期某些活动的进展情况和存在的问题;有些文件记录了被审计单位在生产经营管理和财务会计等方面存在重大变
化,这些变化可能给组织造成了积极的或消极的影响。这些文件所反映的情况可以为确定审计重点提供参考,提醒内部审计人员在以后的工作中给予必要的关注,并证实和分析所反映的问题。
3.实地观察
对被审计单位的生产经营过程、各类工作的业务处理过程或作业现场进行实地观察是现场调查工作一个极其重要的组成部分,它能够使内部审计人员直接感觉和认识被审计单位的基本情况,深入理解和把握各类活动实际的目的和效果,为确定审计范围、编制审计方案收集真实可靠的信息。
和查阅文件一样,要对所有的现场和活动过程进行实地观察是不可能的,也是不必要的。实地观察的工作内容应该根据项目审计目的来确定,并反映问题调查表所关心的重要方面。一般来说,实地观察应该覆盖与被审计活动相关的所有重要方面,包括资产的保护、设备和资源的利用、财务会计和生产经营过程等方面的内容。具体地讲,内部审计人员在实地观察中应该关心以下方面的问题:(1)活动是否遵守了公司的方针、政策、法律、条例,以及各种应予遵守的程序和标准;(2)资源财产的安全和完整方面的保护和控制情况;(3)控制措施的运用及其效果;(4)现场工作状况及其质量;(5)资源的筹集和使用情况;(6)会计信息和业务信息的处理情况及其准确程度;(7)生产现场的秩序和纪律等。实地观察是侧重于经营管理方面的审计不可缺少的内容,它能够使内部审计人员更准确、更直接地了解被审计单位是如何为实现生产经营目标而工作的,证实被审计人员所声称的各种情况是否与现场实际相符。
实地观察应该是一项认真细致的工作,绝不能象走马观灯那样轻松愉快,随随便便。在实地观察过程中,内部审计人员既要注意“看”,也要认真“听”,还应该适当地运用分析判断以挖掘那些曾未被考虑而又需要进行观察的事物,时刻注意那些不正常、不经济、低效率或任何可能存在问题的迹象。这些迹象可能以工作流程不顺畅、场地脏乱、设备安置和保养不恰当、资产保管地不安全、装置泄漏点不正常、业务衔接不够等形式表现出来,也可能表现在指挥不当、职员对管理人员有不满或抵触情绪,工作态度不严谨,作风散漫等方面。富有经验的
内部审计人员熟悉管理原则和方法,通晓企业的各种工作标准和要求,只要稍加注意就能发现类似低效率,不经济或不正常的现象。通常,实地观察必须由熟知情况的管理人员陪同进行,内部审计人员应该随时提出—些具体的问题以求得现场解答,尤其对观察中发现的不正常或存在疑虑的现象,应该寻问其原因直到得到满意的回答为止。同时,适当地听取现场作业人员就目前情况和存在问题进行的介绍和解释,并对之进行比较分析,这有助于内部审计人员从不同人员对同一事物所作的不同解释中去揭示可能存在的重大问题或需要深入调查的潜在风险区域。
在利用实地观察所收集的信息和结果时,内部审计人员应该保持谨慎的态度。一方面,实地观察中所观察到的一切情况都可能是随机事件,并不能完全代表正常条件下的一般现象。这要求在今后的工作中进一步证实,例如,审计人员在现场既没有看到工作停顿,也没有发现工作积压,场地也很干净整齐,展现在他们面前的是一条畅通无阻的生产流水线,但是在生产管理部门或生产车间有关产品产量的统计资料中,却发现每个月的产品产量起伏很大,甚至出现产量为零的记录。这就表明,因为停工可能没有完成生产计划,眼前畅通运行的生产线是一种假象。另一方面,由于某些客观原因(例如,被检查人员把审计人员看作是“拿着别人的脑袋去邀功请赏”的对手),内部审计人员所听到的介绍和解释可能不是真实情况的反映,甚至可能与真实情况相背离。于是,内部审计人员既不能过于信赖被审计单位有关人员提供的信息,也不能被现场观察到良好状况的假象所迷惑。当然,也不能因为观察到了低效率、不经济、不正常的现象就轻易得出一般性的总结结论。在实地观察和利用其结果时,内部审计人员必须牢记:参观中所观察到的一切情况并不一定反映了正常条件下的一般情况,都需要得到进一步的证实。
在实地观察过程中或之后,内部审计人员应该完成修改和填列问题调查表的工作,根据情况需要编制规范的流程图,取得对被审计活动重要过程及其意义和目的的理解,收集那些证实或否定实地观察中发现可能存在问题的资料,并对所
获取的各种信息进行归纳总结,形成书面记录,为确定审计范围和审计步骤提供参考依据。
4.进行简单的审计测试
在完成上述工作、掌握了一定情况的基础上,内部审计人员可以结合内部控制评审和风险评估对各类被审计业务或关键性活动的操作处理过程进行一些简单的审计测试,作为现场调查工作的一部分内容。这种测试的目的仍在于熟悉被审计单位的情况,尤其是重要的经营活动和操作过程,以确定控制的薄弱环节或高风险领域。简单审计测试与现场审计中进行的以取得支持审计结论的证据为目的抽样检查不同。这种测试涉及面小,一般只需抽取一个样本就能够满足内部审计人员理解某项具体业务或活动的操作过程是如何被完成的要求。因此,简单测试也称之为“审计探查”。但是,这种审计探查是确定审计重点范围、审计步骤必不可少的,是富有成效审计工作的重要步骤。它既可以用来检验内部审计人员对工作流程、控制系统和关键活动的理解是否正确,也可以用来判定既定的控制措施、工作程序和作业标准等是否一贯有效地贯彻执行并达到了预期的效果。
简单的审计测试一般依照一个记录或者一项活动从开始到结束的顺序过程进行,这种测试称之为顺序测试。内部审计人员通过抽取一项记录或活动,按照其信息传递和处理过程进行顺序测试,就可以测定该项记录或活动是如何自始至终被处理完成的,完成这个过程需要哪些审批程序和处理环节,其控制状况如何,每个控制点对该过程的控制是否达到了预期的效果,等等。在测试过程中,内部审计人员通过对加工处理过程的认真观察,随时向作业人员提出一些具体问题,那么有关加工处理过程的操作方法和活动本身的情况,以及控制的效果也就很容易被理解和认识了。简单的审计测试是最有利于提高审计工作效率的一项工作。它可以通过少量的抽样测试来帮助内部审计人员理解经营过程和各种信息传递过程的各种复杂因素,发现那些妨碍经营活动和信息传递顺利进行且富有成效的环节,揭露不经济、低效率的资源使用情况,还能够揭示部分与规章制度相违背的操作和处理过程,从而识别控制缺陷和高风险领域,为确定重点审计范围和审计步骤,编制有针对性的审计方案提供极有价值的参考信息和依据。
简单的审计测试只要运用恰当,将会使审计工作更富有效率和效果。在选择测试样本时,内部审计人员应该具有敏锐的洞察力,并能够恰当地运用审计经验和分析判断技巧以保证随机选择的样本具有代表性,能够反映同类事项的共同特征。关键性业务活动的测试样本数量适当,能够为确定是否给予重点审计提供较准确可靠的信息。在利用测试结果时,内部审计人员应该具有谨慎的态度,保持清醒的头脑,由于这种测试仅仅是现场审计工作之前的一种探查,通常涉及面小,样本规模不大、花费的时间也较少,并非是一次严密的系统取证过程,所以收集的证据并不充分。内部审计人员切莫根据测试中发现的不足、薄弱环节或显而易见的问题,就认为无需进行现场审计就已经得到了足以支持审汁结论的充分可靠证据,致使在现场审计中随随便便不再进行深入细致的检查取证。这种错误的认识和做法必将导致以偏概全或不成熟的审计报告,在讨论时将会招致被审计人员的反驳和鄙视,使内部审计人员处于极为尴尬的境地,可谓“后患无穷”。
5.分析性检查
在现场调查过程中,对被审计单位的经营活动资料进行分析检查,主要是从宏观的角度来研究和比较反映经营成果和财务状况的数量性资料之间的关系来测定各种信息的合理性和变化趋势,它要求内部审计人员根据不同的目的把数量性资料分成不同
的组成部分,并通过分析比较来揭示各成分之间的可能关系。例如,为确定某一期间投入产出的效率,就需从投入产出报告中分离出投入和产出的部分并计算出两者的比值,即投入产出率。
分析性检查既可用于现场调查,也可用于现场审计,其核心就是资料之间的比较。比较可以用本期资料与基期资料进行对比来从总体上揭示其关系和变化趋势。在正常的情况下,各个期间的经营资料和会计资料都有较稳定的关系,其变化也会呈现出一种规律。如果发现某期间的数量性资料所显示的信息有了较大的变化,则预示着被审计单位经营过程的某些方面已经发生了重大变化,从而破坏了资料之间稳定的关系或变化规律。这种变化很可能暗示经营过程的某些关键环节存在重大风险,从而提醒内部审计人员将其作为审计的重点。
分析性检查的内容极为广泛,审计人员应该根据审计的目的和任务来决定分析性检查的内容。一般而言,分析性检查的内容包括;实际完成情况与预算、计划的比较;有关本期财务比率和业绩报告与历史同期或最高水平资料进行比较。这些财务比率和业绩报告包括但不局限于销售毛利率、销退货或折让率、销售费用率、应收帐款周转率、应收帐款与存货的比率、应收帐款帐龄分析、生产指标、市场指数、资产负债率、流动比率、速动比率;对经营资料进行趋势分析等。指数平滑法、加权平均法、回归线法等是内部审计人员进行趋势分析,从宏观上把握经营过程的持续性及其变化情况,掌握经营业绩的动态变化,从而预测本期经营应该取得哪些成果的常用方法。另外,比率分析也是一种常用的很有效的综合分析、解释方法。例如,通过计算销售费用率,就可以得知销售费用在净销售收入中所占比重,通过与过去进行比较就可以揭示本期销售在降低费用,减少支出方面所取得的成绩或存在的差距。
分析性检查不仅要将本期执行情况与历史资料反映的业绩指标作比较,还应该将其与现行标准,甚至同行业同类先进指标进行比较。在分析性检查过程中,内部审计人员应该对用以进行比较的标准进行分析,评价标准本身的合理性和有效性,考虑不同期间资料的可比性。任何一种资料信息都有其产生的特定环境和条件,不考虑其可比的前提而盲目地进行比较,就可能使分析性检查显得毫无意义。
三、编制审计方案
合乎需要的审计方案应该在现场调查之后及时编制,以指导现场审计工作。在初步准备和现场调查工作中,通过查阅有关档案文件资料、与管理人员讨论经营活动、实地观察作业现场和操作过程、进行简单的审计测试和分析性检查,并在工作底稿、备忘录或其原始工作记录中记载、汇总了调查了解的结果,由此内部审计人员对被审计单位的过去、现在和未来的发展趋势有了一个较全面的了解,为综合所获信息,确定审计目标和重点范围打下了基础。这时,内部审计人员应该组织在一起认真讨论准备工作中所掌握的各种情况,尤其是那些显示出具有较高风险,可能存在问题的方面,编制审计方案。下面,我们介绍内部审计人
员在编制审计方案时应予认真研究和确认的内容,即审计方案的一般结构和内容。
(一)确定审计范围
任何一个被审计单位都有许多相互联系的活动和极其复杂的业务处理过程。要全面审计其中的每一个方面和处理环节,将花费大量的时间,紧张的资源预算所要求的严格费用控制使审计工作不可能对被审计单位的每一项活动进行全面彻底的检查和评价,即使是那些风险高的,被认为重点审汁的部分,也不可能进行全面彻底的检查。在准备过程中所获得的信息有助于确定审计目标的重点领域,经济有效的审计方案是侧重于达到组织目标的重要事项而不是全部或令人感兴趣的事项。《内部审计专业实务标准》认为,内部审计总的审计范围是对被审计单位内部控制系统的适当性和有效性,以及履行职责的工作质量进行检查和评价;但企业管理当局和董事会对审计工作范围提供一般指导。就一个具体审计项目而言,通常仅涉及与完成该项审计任务相关的活动和重要方面。例如,对购货部门进行审计时,审计人员可能将审计工作效力集中于三个方面:购货的来源;视供货者的情况选择购货;使用购货订单购货。选择这三个方面作为对购货部门审计重点的原因是,这三个方面存在着重大问题的可能性;通过测试发现有关供货方情况的记录存在令人迷惑的问题,既定的标准、程序未能有效地执行;分析性检查又发现向某些供货单位采购的金额或订货合同的金额较大或增长幅度较大。总之,具体审计项目的审计范围应根据准备工作.尤其是现场调查的结果,视控制状况、风险高低和重要性来确定。有关内部控制评审和风险评估的内容,请读者参阅第六部分和第七部分。在此,我们介绍一下重要性概念。
重要性概念是会计审计理论和实务中的一个基本概念。不同阶层的人员(诸如企业管理当局、审计委员会、股东、债权人、外部审计人员等)从各自关心的角度,对企业生产经营管理活动各方面的重要性所持的态度和观点会存在差异。对外部审计人员来说,重要性主要是针对财务报告所列项目的真实性和公允性而言的,凡对财务报表所列信息的真实性和公允性有重大影响,可能导致报表使用者改变其决策,并具有重大遗漏和错误的事项。换言之,凡对签署客观公正的审
计意见有实质性影响的事项都具有重要性(例如,应收帐款、或有负债、资产存货等)。对内部审计人员来说,重要性概念更为宽广。一般而言,企业生产经营管理的所有重要方面,以及企业管理当局关心或提出具体要求的任何方面都具有重要性,而不局限于财务报表所列事项有关内容,例如,采购业务、设备的保管和维修、安全管理和资源的使用等。但是,在具体的审计项目中,重要性概念的运用仍然具有针对性,通常根据完成审计任务的需要来判断哪些方面具有重要性。
在编制审计方案、执行现场审计和评价审计结果的各个具体工作阶段,都需要对有关事项的重要性进行估价。具有重要性的事项影响着审计步骤的种类、范围、时间安排、人员分配,因此,对重要性事项的认定直接影响了审计方案的编制。可以说,现场调查所进行的一切工作都是对被审计活动重要性事项的确认。为了有效地进行审计,内部审计人员应该在现场审计中不断地评判审计测试和审计步骤的实施结果,并根据其结论反复估价计划的审计范围是否适当,是否存在遗漏重要事项的可能性。通常,由于一些新情况的出现,而使审计人员降低或提高重要性事项的评判标准,使得一些曾被认为是重要的事项变成次要的,相反,也有一些最初认为并不重要的事项却显得极为重要。由于审计初期和结束时对有关事项的重要性认识有所不同,因此,内部审计人员应该在现场审计过程中不断确定重要性指标和审计范围,这也正是审计方案需要在现场审计过程中加以修改或补充的原因所在。
运用重要性概念确定审汁范围,要求内部审计人员在评价信息方面具有较高的技能,在估价被审计单位哪些方面应该进行重点审计具有较多的审计经验和分析判断能力。
(二)确定审计目标
在编制正式的书面审计方案时:必须为既定审计范围内的每一部分拟订具体的审计目标。具体的审计目标应该跟据准备工作的结果,侧重于对组织目标实现和健康发展具有重要影响的、或已经揭示存在实际的或潜在问题的重要活动事项。审计目标与被审计活动的目的是紧密相关的,要制订具体明确的审计目标,
严格区别两者的含义是必要的。审计目标是内部审计人员为达到审计目的所要完成的工作,而被审计活动的目的是管理部门为使组织内的各项活动有助于组织目标的实现而对职员的工作提出的要求和努力达到的效果。例如,管理部门要求职员经济有效地使用资源,这是与资源使用相关业务活动的目的,而与之相应的审计目标则是确定资源是否得到了经济有效地使用。因此,具体的审计目标是针对某项业务活动的目的而设计的。如果内部审计,人员要对:“根据供货者的情况购货”这部分工作进行审计,那么审计目标应该是确定是否为选择供货者制定了标准,以及这些标准是否适当;确定有关部门是否定期向采购部门提供了有关供货者情况的准确信息;当供货者不符合既定的选择标准时,是否采取了适当的行动。类似地,要制订与采购业务活动的审计目标,还必须对采购的来源和使用订货单购货两个方面拟订审计目标。
(三)确定审计步骤
审计步骤是指导现场审计达到审计目标的一套具体行动措施,是审计方案的核心内容。在确定了审计范围和审计目标之后,内部审计人员应该继而决定具体的审计步骤,-包括应采用的审计方法,以说明如何收集证据、评价证据,完成现场审计工作。审计步骤应该适合特定的审计目标并覆盖整个已经确定的审计范围。要有效地完成现场审计工作,保证所收集的信息能够充分、准确地支持审计结论,达到审计目标,在审计步骤中阐明各种指令所运用的名词必须有准确的含义,以免产生歧义而使执行审计步骤的人员误入歧途。为此,内部审计部门有必要对审计方案中使用的各种指令性名词采用统一的定义,并为审计人员所理解和熟知,以保证方案制订和执行方案的人员之间建立可靠的联系,使执行方案的审计人员能够按照方案制订者的意图完成审计:步骤。“审计”这个词的含义极为丰富,几乎可以在各种场合中运用。分析、核对、验证、测试等词都可从不同的角度或方面来表达这个词的含义。因此,诸如“审计”这类意义过于一般化的词不适合作为指令性名词在审计方案中运用。为了统一认识、统一行动,内部审计部门应该对“分析、核对、验证、测试”等经常运用的词统一定义,这样有助于
减少意义的模糊,为正确理解和完成审计步骤所规定的真实工作内容,获取准确可靠的信息提供合理的保证。
(四)修订时间预算和分配审计人员
通常,花费在审计准备过程中现场调查所需要的时间与进行现场审计和撰写审计报告所需要的时间有较稳定的关系。在完成现场调查工作之后,内部审计人员对被审单位的情况有较全面的了解,审计的方向和重点也较明确了,这时就能较准确地估计现场审计、完成审计报告的时间。由此,就可以对原计划中的时间预算作适当的调整,并可根据完成规定的审计范围内每一部分工作所需要的知识和技能来具体安排审计人员。
内部审计人员应该在内部讨论的基础上完成上述实际编制审计方案的工作,并将其结果形成正式的书面文件。一般而言,一份结构合理、内容完整的审计方案还应该包括审计项目的名称、被审计活动的目的、控制状况、风险、审计工作底稿参阅、背景信息等方面的内容。在具体的审计实务中,不同组织的内部审计部门对审计方案的编制方法、内容结构的要求不尽相同,完全相同格式的方案是不存在的。但是,诸如审计目标、审计范围和审计步骤之类的内容是任何一份审计方案不可缺少的组成部分,也是审计方案的核心内容。它不仅反映了审计准备工作的成果,而且是内部审计人员对所了解掌握的各种情况进行初步分析、判断和评价的智慧结晶,反映了审计人员的审计思想。
一般而言,美国一些组织规模较大的内部审计部门在总结长期审计工作经验的基础上,对一些常规性的审计项目都设计了标准化的审计方案,以供现场审计工作使用。这既有利于减少在被审计单位所在地的审计时间,降低审计费用,又有助于帮助审计新手学习和掌握审计方案的编制技术和方法,指导其有效地进行审计。标准化的审计方案通常还包括了背景情况和部分审计准备工作的内容,并附有上一次审计确认的控制状况。但是,在实际运用中,内部审计人员应该根据现场审计所掌握的情况对审计方案进行必要的修订和补充,并取得审计管理人员批准,以适应变化了的审计环境。
U8ERP系统业务解决方案.doc
U8-ERP系统-业务解决方案1 _______ERP系统业务解决方案 建立日期: 2007-10-29 修改日期: 2007-10-29 客户项目经理: 日期: XX公司项目经理: 日期: 文档控制 更该记 录 审阅 分发 一、基本情况:(5) 1.1 公司组织结构图(5) 1.2 使用模块:(5) 1.3 方案应用目标:(6)
1.4 方案应用业务范围: (6) 1.5 实施范围: (6) 二、总体流程(6) 2.1 XXX基于XX公司ERP-U8业务流程总图: (6) 2.2 总体流程说明(8) 三、公共信息基础设置:(9) 3.1 特殊科目设置:(9) 3.2 仓库档案设置:(10) 3.3 存货分类设置:(10) 3.4 计量单位设置:(11) 3.5 存货档案设置:(12) 3.6 地区分类设置:(17) 3.6 客户分类设置:(17) 3.7 供应商分类设置:(18) 3.8 收发类别设置:(18) 3.9 采购类型设置:(20) 3.10 销售类型设置:(20)
3.11 业务类型与科目对应关系设置:(20) 3.12生产新增档案设置:(22) 3.13其他档案设置:(22) 四、系统选项及参数设置(22) 4.1建账参数设置:(22) 4.2总账参数设置:(22) 4.3应收、应付系统参数设置:(23) 4.4采购管理参数设置:(23) 4.5销售管理参数设置:(24) 4.6库存管理参数设置:(24) 4.7存货核算参数设置:(25) 五、岗位操作流程(26) 5.1技术部(26) 5.2销售部(27) 5.2.1 普通销售业务(27) 5.2.2 销售退货业务(29) 5.2.3 分期收款发出商品销售业务(30)
xx单位管理审计方案
XXXX(集团)有限责任公司炼化公司XXXX管理审计方案 XXXX企业管理咨询
目录 一、审计目的 (1) 二、审计围 (1) 三、审计思路 (1) (一)控制性 (1) (二)合规性 (2) (三)管理职能发挥情况 (2) 四、审计依据 (2) 五、审计容与工作程序 (2) (一)管理系统 (3) 1、战略管理 (3) 2、人力资源管理 (4) 3、财务管理 (7) (二)业务系统 (11) 1、生产管理 (11) 2、项目管理 (15) 3、采购管理 (22) 4、安全环保管理 (28) (三)辅助系统 (29)
1、审计管理 (29) 2、风险管理 (30) (四)重大事项决策审计 (30) 1、重大决策 (30) 2、重要人事任免 (31) 3、重大项目安排 (31) 4、大额资金运作 (32) 5、年度经营目标责任考核 (32) (五)领导干部(班子成员)廉洁从业审计 (32) 1、薪酬是否按规定发放 (32) 2、职务消费有无违反规定 (33) 3、车辆是否按规定配备 (33) 4、有无不符合规定的报销行为 (34) 六、审计项目工作计划 (34) (一)现场审计阶段 (35) 1、工作步骤 (35) 2、主要方法 (36) (二)审计报告阶段 (36) 1、工作步骤 (36) 2、主要方法 (37) 七、时间与人员安排 (37) (一)本次项目时间安排 (37)
(二)本次项目人员安排 (38)
XXXX单位管理审计方案 一、审计目的 通过本次审计,对XX单位XXXX年度管理工作作出全面、客观、公正的评价,提出合理的意见和建议,促进各层次管理活动优化,防和控制企业经营风险,提高工作效率,增加经济效益。 二、审计围 被审计单位: 时间围: 三、审计思路 本次审计工作参考《XXXX集团有限责任公司管理总纲》所列管控事项,结合企业管理实际,对企业部重要业务从以下三个角度进行审计: (一)控制性 通过对企业部关键业务的制度、流程及相关部门职责、岗位职责、人员资质等进行审查,各项业务制度健全性、与上级制度的对接性、权责划分的合理性、岗位设置的合理性,是否存在必要的控制活动及监控措施等。
集团公司内部审计部门工作方案
集团公司内部审计工作方案 尊敬的****集团董事长: 根据对您对和诚集团的发展规划以及对内部审计部门的要求,初步拟订如下内部审计工作方案,请批评指正。 方案共分三个单元,第一单元:部门建设;第二单元:审计工作的开展及如何与集团公司的战略目标相匹配;第三单元:资源需求。 ?第一单元部门建设 团队建设主要包括以下几方面内容: ?人员招聘 根据公司规模和特点,拟初步配备财务审计人员4名,工程审计人员1?2名,法务专员1名,部门经理一名。 ?岗位培训 根据审计人员的构成特点,有针对性的进行内部审计的系统培训,转变常规审计理念和意识,正确认识内部审计在企业中的作用, 1/8
合理使用审计方法和工具,达到内部审计监督、评价、咨询和提升的 目的。第一期培训大岗如下: .第一模块内部审计慨述 >内部审计的概念和在公司治理中的作用 >内部审计的团队建设 >内部审计实务与标准 >内部审计工作流程 >申计基本技术与思路 ?第二模块财务审计(以制造业为模型) >财务审计的主体思路 >内部审计底稿 >各科目的审计要点 >财务审计亶实现目的 2013/4/23 ?第三模块房产审计(含工程审计) >巳拟订尚未发布的工程审计规范 >房产审计和工程审计有区别但又密不可分 >房地产企业的工作流程及环境 >房地产企业审计的重要风险点 2013/4/23 2/8
?第四模块物业公司审计 >物业公司与房产公司是一个生命循环的生命周期 >审计重点 >审计思路 >要达到的目的 2013/4/23 5 愛 ?第五模块内部控制审计 >物业公司与房产公司是一个生命循环的生命周期 >审计重点 >审计思路 >要达到的目的 2013/4/23 6 岗位培训时间预计:人员配备完整后,7?10天时间完成全员培训。 ?内部审计制度、审计处罚制度、内部审计流程、岗位职责 审计部门的高效工作,是建立在准确定位、全员认知的前提下的,审计部门放大限度的发挥其作用,要从独立性、客观性、知识层次全面性、工作范围全面性、团队构成多元性和工作的标准性等多个方面入手。要达到上述目的,首先从形式上要作如下工作: /建立内部审计制度。从集团层面发文,确立内部审计部门的独立性、权威性和一般性工作标准; /审计处罚制度。可以提高审计的严肃性并对违规行为产生实质性的震 3/8
软件系统项目解决方案
系统方案
目录 1 序言错误!未指定书签。 2用户需求错误!未指定书签。 3 硬件系统技术方案设计错误!未指定书签。 3.1 网络方案设计错误!未指定书签。 3.1.1 设计原则错误!未指定书签。
3.1.2 设计要点错误!未指定书签。 3.1.3 方案设计错误!未指定书签。 3.1.4 方案描述错误!未指定书签。 3.1.5 方案设计理由错误!未指定书签。 3.1.6 方案特点及优势错误!未指定书签。 3.2 服务器方案设计错误!未指定书签。 3.2.1 设计原则错误!未指定书签。 3.2.2 设计依据错误!未指定书签。 3.2.3 选型方案错误!未指定书签。 3.2.4 系统总体设计图错误!未指定书签。 3.2.5 方案特点及优势错误!未指定书签。 3.5 系统软件方案设计错误!未指定书签。 4 软件应用系统技术方案设计错误!未指定书签。 4.1组织机构和业务角色错误!未指定书签。 4.2业务概述错误!未指定书签。 4.3业务流程错误!未指定书签。 4.4系统功能结构及功能描述错误!未指定书签。 4.4.1系统功能结构错误!未指定书签。 4.4.2项目管理错误!未指定书签。
1 序言 【简述项目实施的必要性及意义。】 2用户需求 3 硬件系统技术方案设计 3.1 网络方案设计 3.1.1 设计原则 【根据项目具体情况,提出设计原则,应突出可靠性、安全性、高性能、和可管理性四项原则。】 3.1.2 设计要点 【强调方案设计过程中技术要点及难点。】 3.1.3 方案设计 【画出网络方案拓扑结构图。】
3.1.4 方案描述 【根据网络方案拓扑结构图,描述出采用的网络产品及其配置和特点、网络互联、端口设计等。】 3.1.5 方案设计理由 【主要从性能价格比的角度来阐述关键设备采用的恰当性。】 3.1.6 方案特点及优势 【该部分需重点论述,应突出可靠性、安全性和高性能等特点和优势。】 3.2 服务器方案设计 3.2.1 设计原则 【根据实际情况,列出若干设计原则,应突出可靠性和高性能设计原则。】 3.2.2 设计依据 【提供选型方案依据,可定性或定量来分析,主要指标应包括值。】3.2.3 选型方案 【根据用户需求,分文别类阐述,具体应包括产品型号及其配置、应用环境、网络接口。】
5-企业案例-网络安全审计系统(数据库审计)解决方案
数据库审计系统技术建议书
目次 1.综述 (1) 2.需求分析 (1) 2.1.内部人员面临的安全隐患 (2) 2.2.第三方维护人员的威胁 (2) 2.3.最高权限滥用风险 (2) 2.4.违规行为无法控制的风险 (2) 2.5.系统日志不能发现的安全隐患 (2) 2.6.系统崩溃带来审计结果的丢失 (3) 3.审计系统设计方案 (3) 3.1.设计思路和原则 (3) 3.2.系统设计原理 (4) 3.3.设计方案及系统配置 (14) 3.4.主要功能介绍 (5) 3.4.1.数据库审计........................ 错误!未定义书签。 3.4.2.网络运维审计 (9) 3.4.3.OA审计............................ 错误!未定义书签。 3.4.4.数据库响应时间及返回码的审计 (9) 3.4.5.业务系统三层关联 (9) 3.4.6.合规性规则和响应 (10) 3.4.7.审计报告输出 (12) 3.4.8.自身管理 (13) 3.4.9.系统安全性设计 (14) 3.5.负面影响评价 (16) 3.6.交换机性能影响评价 (17) 4.资质证书.......................... 错误!未定义书签。
1.综述 随着计算机和网络技术发展,信息系统的应用越来越广泛。数据库做为信息技术的核心和基础,承载着越来越多的关键业务系统,渐渐成为商业和公共安全中最具有战略性的资产,数据库的安全稳定运行也直接决定着业务系统能否正常使用。 围绕数据库的业务系统安全隐患如何得到有效解决,一直以来是IT治理人员和DBA们关注的焦点。做为资深信息安全厂商,结合多年的安全研究经验,提出如下解决思路: 管理层面:完善现有业务流程制度,明细人员职责和分工,规范内部员工的日常操作,严格监控第三方维护人员的操作。 技术层面:除了在业务网络部署相关的信息安全防护产品(如FW、IPS 等),还需要专门针对数据库部署独立安全审计产品,对关键的数据库操作行为进行审计,做到违规行为发生时及时告警,事故发生后精确溯源。 不过,审计关键应用程序和数据库不是一项简单工作。特别是数据库系统,服务于各有不同权限的大量用户,支持高并发的事务处理,还必须满足苛刻的服务水平要求。商业数据库软件内置的审计功能无法满足审计独立性的基本要求,还会降低数据库性能并增加管理费用。 2.需求分析 随着信息技术的发展,XXX已经建立了比较完善的信息系统,数据库中承载的信息越来越受到公司相关部门、领导的重视。同时数据库中储存着诸如XXX等极其重要和敏感的信息。这些信息一旦被篡改或者泄露,轻则造成企业或者社会的经济损失,重则影响企业形象甚至社会安全。 通过对XXX的深入调研,XXX面临的安全隐患归纳如下:
(完整版)IT运维管理解决方案
IT运维管理解决方案简介 V1.0
第1章平台介绍 1.1产品定位 Broadview IT运维管理平台立足于帮助企事业单位的IT部门构筑一个统一的IT服务管理平台,它融合了主动式资源监控、操作管理、资产配置管理、服务流程管理等核心功能,为IT部门的服务供给、业务快速上线、业务稳定运行提供持续保障能力。 产品定位于信息化程度较高的高端用户,注重行业化用户的需求特点,主要面向如公安、海关、社保、税务等政府行业,以及金融、能源、烟草、通信、制造等的高端行业,同时借助平台化的技术优势,通过功能裁剪也能满足中小规模的市场用户需求。 1.2产品架构 Broadview V6.0 R2是Broadview产品的最新版本,其系统架构可分为4个层次,对应了五大子系统:集中监控子系统、资产配置子系统、操作审计子系统、流程管理子系统、集成展现子系统。
图1.产品架构 ?集中监控子系统:集中监控子系统主要实现对生产环境中IT基础设施的集中监控管理,包括了对网络设备、服务器、存储、数据库、中间件、 安全设备、业务应用系统等性能采集和事件处理,并利用监控可视化平 台提供可视化展现。 ?资产配置子系统:资产配置子系统旨在帮助用户建立统一的IT基础设施台帐。通过一系列业务建模、自动采集、调和、变更控制等手段,保证 IT生产环境中配置项的完整性和精准性,为上层服务流程提供数据支撑。 ?操作审计子系统:操作审计子系统主要功能是统一管理网络设备、服务器、数据库等资源账号并合理授权,为运维人员提供统一的操作入口并 记录操作行为。 ?流程管理子系统:流程管理子系统的目的是通过规范服务流程和技术服务工作,建立一套标准的运维服务流程,围绕事件管理、问题管理、变 更管理、配置管理、发布管理等ITIL最佳实践,进行IT运维服务的流 程化、规范化管理。 ?集成展现子系统:集成展现子系统包括了统一运维门户、报表平台、权限管理等主要模块,目的是保证平台不同角色的运维人员可以通过浏览 器访问到跟自身职责对应的功能和视图。 第2章功能特点 2.1集中监控子系统 集中监控子系统主要由网络监控模块、系统与应用监控模块、统一事件平台模块、统一性能管理模块、性能管理数据库PMDB以及监控可视化平台组成;实现了对用户IT生产环境基础设施的监控,包括:网络设备、业务服务器、存储设备、数据库系统、中间件系统、安全设备、业务应用系统等。逻辑架构如下:
数据库安全审计解决实施方案
数据库安全审计解决方案
————————————————————————————————作者:————————————————————————————————日期: 2
一、数据库安全审计需求概述 数据库系统是一个复杂而又关键的系统,数据库存在各种管理和技术上的风险,如果这些风险变为事实,那么企业数据将遭受严重的经济损失和法律风险。 而面对数据库的安全问题,企业常常要面对一下问题: ?数据库被恶意访问、攻击甚至数据偷窃,而企业无法及时发现、追踪并阻截这些恶意的行为。 ?数据库遭受恶意访问、攻击后,不能追踪到足够的证据。 ?不了解数据使用者对数据库访问的细节,从而无法保证数据安全,特别是敏感数据的管理。 ?来自内部的威胁:特权用户随意修改配置、改变或盗取数据,没有明确职责分工。 ?针对数据库、应用系统日志的审计只能做事后分析,周期长,且无法进行持续性审计。 ?审计缺乏规范性,无法有效成为公司的安全管理规范且满足外部审计需求。 ?人工审计面对海量数据,无法满足100%可见性,造成审计不完整。?DBA权责未完全区分开,导致审计效果问题。 二、Guardium企业数据管理综合解决方案 InfoSphere Guardium提供的一组集成模块,使用一个统一的控制台和后端数据存储,管理整个数据库的安全与合规周期。通过Guardium,IBM 现在提供一种直接解决数据库安全性和遵从性问题的自动、有效且高效的方法。可扩展企业安全平台既能实时保护数据库,又能自动化所有合规审计流程。这套方案不仅在解决问题方面表现卓越,而且在避免消极影响方面同样表现出色。它对数据库性能的影响几乎为零,无需对数据库作任何变更,甚至不依赖本地数据库日志或审计工具。 三、通过Guardium管理数据安全 ?发现、分类并且自动寻找、分类和保护敏感信息 使用数据库自动搜寻和信息分类功能来识别机密数据的存储位置,然后使用定制的分类标签来自动执行适用于特定级别的敏感信息的安全策
2017年内部审计计划
2017年内部审计计划 一、集团公司内部审计工作思路 以财务收支审计为基础,以经营业绩审计为中心,同时开展经济效益审计、经济责任审计、基建工程审计,保障集团制度贯彻与落实,充分发挥内部审计在防范风险、完善管理和提高经济效益的作用。 二、2017年度集团公司内部审计工作计划如下 1、以财务收支与预算审计为基础,促进内控制度的健全与完善 ⑴以财务收支审计为基础,延伸到内部控制、风险管理审计。通过内部审计加强公司内部监督,保护公司资产安全和完整,同时延伸到内部控制和风险管理的有效性、财务信息的真实性和完整性以及经营活动的效率和效果的评价。 ⑵通过预算审计促进预算执行,保障预算编制符合集团发展方向,预算执行围绕集团经营目标展开。 ⑶完善集团公司内审制度,做到审计工作有据可依,根据实际工作情况,进一步完善《集团公司预算执行情况审计办法》等内审制度。 2、以经营业绩审计为中心,结合经济责任审计。 内部审计以公司经营业绩审计为中心,围绕二级单位的经营业绩考核,通过经营业绩审计不仅要查错防弊,及时发现问题并予以纠正,
逐步实现由发现型向预防型的转变,更重要的是要找出影响业绩提高的主要因素,分析原因,抓住关键,提出建议和意见,进而促进二级单位加强经营管理,提高经济效益。 在开展经营业绩审计时,经营业绩审计与经济责任审计以及其他专项审计相结合,不仅要加强离任审计,还应搞好任中审计,注重对二级单位领导干部任中经营绩效的评价。 ⑴对下级单位经营业绩审计: 通过对二级单位2011年度经营业绩审计,出具审计报告,提交集团公司考核小组,作为对各二级单位考核的依据。 ⑵针对性地开展专项审计 根据集团经营管理特点,就预算、内控管理、经济责任考核等有针对性开展专项攻坚审计,重点问题重点突破。 ⑶工程项目的竣工结算审计 近年来集团公司不断有一些修缮工程竣工结算,工程竣工结算均聘请具有资级的工程造价资质的咨询公司审计,因此,主要是对工程招标、合同签订、竣工验收、结算付款,做到实施事前项目审查、事中监督管理和事后造价控制的系统化工程审计模式。 3、投资企业审计
【重磅】审计服务方案
服务方案 第一章、审计工作组织方案 一、项目概况 项目名称:委托社会中介机构参与政府投资预算评审服务采购项目; 服务地点:习水县; 服务期限:3年; 验收标准、规范:验收标准执行国家现行质量规范标准。 二、项目部组织框架 针对本次招标项目,我司进行了认真的组织和准备,选拔专业齐全、年龄结构合理且经验丰富、业务能力突出的专业咨询人员组成项目组。由公司主管领导挂帅,公司技术负责人担任项目负责人,运作高效、协调有力的组织管理体系,确保业主委托的审计服务工作的顺利开展。 该项目部由总经理负责组建,成员由造价咨询部经验丰富的专业人员组成,包括项目负责人(项目经理、副经理)、项目技术负责人(项目总工)、专业工程师等。项目负责人为高级工程师、注册造价工程师,曾担任过本公司所承接的类似项目造价咨询服务的项目负责人,审计服务的项目包括政府投资项目、国有投资项目及大型房地产开发项目等不同类型的工程项目,工作经验极其丰富;项目总工程师为高级工程师,注册造价师,有丰富的造价编审经验和现场施工经验。项目组成员中除内勤人员外均具有中级以上职称、国家注册造价师证书,且为我司造价咨询部门技术骨干,主持或参与过多个大型项目审计工作。 1、项目部组织框架图
三、项目组人员职责 1、项目组长职责 (1)确定造价管理咨询项目部人员的人工和岗位职责。 (2)主持编写项目全过程造价管理咨询实施方案,负责造价管理咨询项目部的内部管理和外部协调工作。 (3)审阅重要的咨询成果文件,审定咨询技术条件、咨询原则及重要技术问题。 (4)负责造价管理咨询项目部内各层次、各专业人员之间的技术协调、组织管理、质量管理等工作,研究解决各种存在的问题。 (5)负责处理审核人、校核人、编制人员之间的技术分歧意见,对形成的咨询成果质量负责。 (6)根据项目全过程造价管理咨询实施方案,动态掌握项目造价变化情况,负责统一咨询业务的技术条件、工作原则,确定阶段控制目标、风险预测办法、偏差分析和纠偏措施。 (7)组织编写咨询成果文件的总说明、总目录,审核成果文件。 2、项目副组长职责 (1)作为项目主要管理人员,配合项目组长开展工作。 (2)参与编写项目全过程造价管理咨询实施方案,协调项目部的内部管理工作。 (3)复核重要的咨询成果文件等重要技术问题。 (4)负责造价管理咨询项目部内各层次、各专业人员之间的技术协调、研究解决各种存在的问题。 (5)负责处理审核人、校核人、编制人员之间的技术分歧意见。 (6)负责项目组成员的各类培训,提高所有人员的咨询服务意识; (7)参与编写咨询成果文件的总说明、总目录,审核成果文件。 3、项目总工职责 (1)协助项目组长确定造价管理咨询项目部人员的人工和岗位职责。 (2)主持编写项目全过程造价管理咨询实施方案,负责造价管理咨询项目部的内部管理和外部协调工作。 (3)审查重要的咨询成果文件,审定咨询技术条件、咨询原则及重要技术问题。负责处理审核人、校核人、编制人员之间的技术分歧意见,对形成的咨询成果质量负责。 (4)负责内审工作的开展,审批内审计划,并进行组织协调。 (5)主持编写咨询成果文件的总说明、总目录,审核成果文件。
审计管理信息系统解决方案
审计管理信息系统解决方案
一、企业目前在审计管理上面临的问题 随着集团型企业的不断发展,内部审计已成为现代企业管理的重要组成部分,对完善企业内部自我约束机制,深化企业改革,建立现代企业制度作出了巨大贡献。但是,目前很多企业的内部审计从机构设置、工作重点、审计范围、规范管理等方面还存在一些问题,主要表如下: 资源压力,效率低下 目前,大多数集团型企业面临多种审计需求,工作量巨大,审计工作面临多组织、多地域问题,难以组织协调,无法兴盛统一的资源和计划管理。 标准、方法不一致 集团型企业分子公司、分支机构审计方式不统一,存在一个组织,多种方法的问题。审计标准不统一,风险难以被有效控制。业务的不断变化,而审计业务没有创新和改变,难以应对变化。 审计能力不能持续提升 审计过程中,不能有效地获取、积累、沉淀知识,各组织审计知识不能有效共享,导致审计人员能力不能得到很好的提升。 审计绩效及监督体制不完善 企业没有有效的审计绩效考核方案,审计发现问题后,没有有效的监督整改机制。 风险意识薄弱
审计方式以事后审计为主,大多为“补救式”管理,审计质量提升不明显,导致没有有效的进行风险预警。 二、审计管理信息系统的概述 北京慧点科技开发有限公司(以下简称:慧点科技)的审计管理信息系统,为集团型企业的审计部门借助信息化手段,助力内部审计业务和管理全面提升提供了保障。慧点科技的审计管理信息系统可以帮助审计部门更好地履行内部审计职能,并且在实施审计项目、进行审计管理的过程中,对相关的审计业务操作与各类管理信息进行过程留痕,使客户能够更加方便的对审计过程中的各类信息进行统计分析,实现审计知识的积累,为审计项目实施和审计工作流程管理提供支持工具。 慧点审计管理信息系统按照集团型企业审计工作特点量身定制,建立了审计计划管理、审计资源管理、审计作业管理、审计业务分析等功能模块,功能和整合能力达到国际领先水平,不仅实现了集团型企业信息化的跨越式发展,为审计业务发展所需要的“治理结构”、“人力资源”、“工作实务”、“绩效评估及质量保证”、“技术”、“沟通和汇报”、“知识管理”等七个要素的发展提供了技术支撑。 三、审计管理信息系统架构说明 慧点管理信息系统分为多个层次,包括信息门户与展现层、业务系统应用层、应用支撑与工具层、基础设施层等4个层面,身份和授权管理贯穿于各个层面, 如下图所示:
GAS运维审计解决方案
目录 1运维现状和风险分析 (3) 1.1客户运维管理现状 3 1.2操作风险分析 4 2解决方案 (5) 2.1方案目标 5 2.2方案实现的功能 5 3方案部署结构 (6) 3.1代理部署方式 6 4方案高可用性 (8) 4.1代理模式集群部署 9 5方案优势 (9) 5.1部署简单灵活 9 5.2简化账号管理 9 5.3权限的细粒度控制 10 5.4专业的操作审计 10 5.5事件的快速定位 10 5.6审计日志格式及回放 10 6客户价值 (10)
1运维现状和风险分析 1.1客户运维管理现状 近年来,随着IT的不断发展,信息化应用也逐渐增强,网络系统中的应用也越来越多。各级企业纷纷建立信息系统,以提高劳动生产率和管理水平,加强信息反馈,提高决策的科学性和准确性,提高企业的综合竞争力。 早期的信息系统安全只是防止外部网络的攻击、但现在安全威胁的80%来自内部,如:内部员工的非法登录、越权操作、误操作、恶意行为对信息系统造成严重威胁,运维人员操作的盲区,发生运维事故,无法回溯事故原因,无法快速定位事故责任人。所以如何将用户在服务器和网络设备上的操作行为变为透明可视,如何掌握运维人员在什么时间做过什么事情,是否有违规或违法操作,是否触及敏感数据,对于业务系统故障,如何及时找到故障原因,以及如何审计运维虚拟化云平台,这些都是一个现实而严峻的问题。 1.1.1客户的运维管理特点 公司管理人员构成多有多样:系统运维人员、研发人员、网络安全人员、安全审计人员、业务系统人员、外包代维人员、厂商维护人员等; 网络设备和业务系统服务器众多; 运维人员掌握被管设备的账号和密码众多; 被管设备要求具有严格的复杂密码机制; 各角色运维人员登录地点分散,登录方式多种多样; 运维工具多种多样; 各网络设备和业务系统服务器要求的身份认证机制多种多样; 厂商及外包技术人员掌握着部分关键设备的账号信息; 部分设备提供共享账号供运维人员登录操作。 虚拟化云平台的部署(VMware) 1.1.2客户的运维管理隐患 1.1. 2.1共享账号 各角色运维人员通过共享账号登录业务系统,多人同时使用一个系统账号导致用户身份唯一性无法确定,一旦发生操作事故后,无法快速定位事故责任人。 1.1. 2.2账号密码丢失及泄露 每个运维人员掌握多个业务系统的登录账号和密码,无法保证对每个业务系统的账号密码进行安全的保管,对于业务系统的登录密码时常忘记是不可避免的,管理员如果要处理给运维人员所负责的业务系统更改密码并告知的工作是繁琐的、困难的。以及针对运维人员负责的业务系统账号密码信息泄露被其他人盗用,所产生的后果是非常严重的。
内部审计方案
公司审计部关于 ***(审计项目名称)的审计方案 审计范围:年月至月***(内部机构或子分公司)***(审计主要内容)等情况的审计 审计起止时间:年月日至年月日 编制人:编制时间: 审计组成员: 部门负责人: 批准日期: 总经理:批准日期:
为了……,依据《中国内部审计准则》及公司《内部审计制度》(暂行)《》……制定本项目审计方案。 一、审计目标 通过……进行审计,对……的(真实性、完整性、准确性、规范性、合规性、效率性、效果性等)进行客观评价,规范……,促进……,有效防范风险。 二、审计范围 (说明本次审计所涉及的被审计单位,审计期间以及对审计主要内容概述) 三、审计内容及方法 (一)审计内容 (例:公司及各部门档案管理制度建立及执行情况;对照 2014年档案行政执法检查的要求重点审计各相关点;公司及各部门档案、资料管理人员情况;公司及各部门档案和资料归集、整理、保管、借阅、移交等相关记录及电子文档;档案存放现场查看。)(二)审计方法 (例: 1、财务内控制度建立及执行情况审计 (1)收集相关财务制度,审查完整性; (2)通过询问、检查、重复执行等方法实施符合性测试程序,证实有关财务内部控制的执行效果。 2、资产管理情况审计
(1)现金审计:通过检查及访谈了解货币资金收支与记账的岗位是否分离;通过库存现金盘点表,审查是否账实相符;现金收支是否符合规定范围;是否存在现金坐支、白条抵库行为。 (2)银行存款审计:通过余额调节表审核银行对账单与账面余额是否相符;审查银行余额调节表的调节事项是否合理;是否存在跨期收支事项。 (3)固定资产审计:审查帐载固定资产是否客观存在,是否存在已报废但仍未核销的固定资产;审查审计期间处置的固定资产程序是否合规。 3、往来账项及关联方交易审计 (1)其他债权债务关系:取得往来账款的明细账,账龄表;审查是否存在应结转计入损益的预收款项;审查长期挂账往来款的合理性。 (2)关联方交易审计:审查关联方交易(含被审计单位母公司、子公司及控股公司)授权和审批资料的完整性;是否形式合规。 4、财务收支情况审计 (1)工程项目的财务支出审计:通过抽查项目凭证,审核原始资料完整性,发票的真实性;审查付款审批流程的合规性。 (2)损益结转审计:取得收入和支出明细表,复核其加计数是否准确,并与明细账、总账和报表有关项目进行核对;抽查明细账、记账凭证及原始凭证,重点审核损益结转是否准确计算,是否准确分类并计入正确的会计期间;检查收支数额较大和异常的项目。
审计工作管理方案计划办法
ABC公司集中交叉实名 审计工作管理办法 第一章总则 第一条为了落实集团审计体制改革的要求,提高ABC公司内部审计工作质量和效率,结合ABC公司实际,实行全系统集中交叉实名审计工作。 第二条ABC公司集中交叉实名审计,是指在ABC公司总部监督部统一领导下,集中全系统专兼职审计人员和审计项目,分成南片区域和北片区域,以比较经济的原则组成若干审计组,对南北区域公司的审计项目进行跨区域交叉审计,原则上不安排审计人员参与本单位的审计项目,审计主审必须实名写入审计报告中。 第三条南片区域包括上海、宁波、厦门、广州区域公司及所属单位,以及空运、仓配和供应链在当地的所属单位;北片区域包括大连、北京、青岛区域公司及所属单位,以及空运、仓配和供应链公司及所属单位。根据需要,审计人员由总部统一调配使用。 第四条集中交叉实名审计要充分发挥内部审计和纪检监察的协同和联动效应,合理安排各类审计项目、监督检查和效能监察项目,做到同计划、同部署、同实施,以节约监督资源,提高监督检查的效率。 第二章组织机构及人员管理 第五条集中交叉实名审计实行“总部统一管理,项目主审负责制”的组织机构。在南片区域和北片区域各设置片区组长1名,由总部监督部
统一指派;根据具体审计项目设置若干审计组,每组成员应不少于2人,其中主审1名,由总部监督部统一指定,负责对具体项目的管理。 第六条主审人员由具备相关审计经验和撰写审计报告能力的系统内专兼职审计人员担任;组员一般由具有一定胜任能力的系统内专兼职审计人员组成。 审计小组成员不局限于全系统专兼职审计人员,如工作需要,可联合财务、商务、业务等部门的专业人员或聘请外部专家或机构参加。 第七条各项目审计组成员确定后,原则上不再变动,如确有特殊原因需临时调整的,由主审书面报请片区组长审核批准,由总部监督部统一调配。 第八条各单位专兼职审计人员应严格服从总部监督部的统一领导、调配和工作安排。 第九条为充实审计队伍,确保审计人员配备基本满足审计项目工作需求,保证审计项目顺利进行,促进审计质量的提高,各境内直属二级单位要在财务、商务、业务部门中选定1~2名具有相关业务工作经验,热爱审计工作的人员,作为兼职审计人员,纳入总部集中交叉实名审计人员机构管理,服从总部监督部的统一调配。 第三章相关职责 第十条总部监督部在集中交叉实名审计管理中的主要职责 (一)组织制定集中交叉实名审计工作的相关制度文件; (二)组织制定全系统年度审计工作计划,做好审计立项,并组织实
市财政信息系统 数据库监控与审计解决方案
市财政信息系统 数据库监控与审计解决方案 https://www.360docs.net/doc/ed17427392.html, 1、概述 当前市财政局各类信息系统中,数据密级度较高的系统包括预算编制系统、决算系统、国库支付、政府采购系统等,后台数据库中存储的敏感数据一旦发生泄漏或者被非法篡改,都将是责任重大的信息安全事故。 为了在发生疑似影响数据安全操作的时候,能及时告警并记入审计日志以便事后追责,市财政局应从技术和管理手段上采取相应的措施提高敏感数据的安全性。技术上采用数据库监控与审计设备记录敏感数据的操作,对批量的数据导出和针对数据库的恶意攻击及时告警;管理上引入定期安全巡检、对告警信息及时处理,让安全管理员切实管好敏感信息不泄漏,出现数据泄漏和篡改等问题能准确追责和定责。 2、需求分析 2.1、数据安全风险显著 省财政数据中心当前主要面临如下三类数据安全风险: ●财政敏感信息的泄密风险 在当前的管理平台系统中,有宏观财政指标参数、行业领域预算信息、项目详细预算和决算数据,同时政府采购项目相关的招标项目信息、产品报价、中标结果信息等敏感信息,程序开发人员、信息中心人员有数据库的账户,都有机会利用数据库存在的漏洞以及自身拥有的高权限,直接获取敏感信息的风险。 ●财政敏感信息被非法篡改风险 当前的管理平台系统中,有国库支付相关的预算单位信息、预算科目、会计科目、计划金额、用款金额等敏感信息,财政信息系统往往是局方内部人员、厂商程序开发人员和实施
人员共同维护数据。一旦发生了违规的数据篡改行为,也无法有效界定到底是哪方人员造成的信息安全事故。 ●缺乏有效追踪排查手段 如果缺乏独立和有效的数据库操作审计日志,就不可能对可疑的违规操作及时进行分析,包括对违规篡改操作发生的时间、地址、操作者、数据修改值等信息项,当前都缺乏有效手段进行追踪。 2.2、政策要求安全审计 《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确要求我国信息安全保障工作实行等级保护制度,提出"抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南"。 2004年9月发布《关于信息安全等级保护工作的实施意见》(公通字[2004]66号")进一步强调了开展信息安全等级保护工作的重要意义,规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。这些文件以意见的形式提出对网络行为进行实时记录并保存相关各类日志。 政府单位更多的寻求技术手段完善政府单位网络安全防护体系,充分满足国家对信息系统的等级保护要求和对涉密网的分级保护要求,对数据库审计的具体安全要求:每个用户的行为、各种可疑操作并进行告警通知,能对操作记录进行全面的分析,提供自身审计进程的监控,审计记录防止恶意删除,同时具备自动归档能力。 3、解决方案 3.1、防护目标 本方案的目标是市财政局信息中心数据库形成以监控与审计为主的安全防护,重点解决敏感信息泄密和数据非法篡改的及时告警和事后审计问题。 数据库监控与审计的防护目标概括来说主要是三个方面: 一是确保数据的完整性;
软件平台运维服务方案
软件平台系统运维方案 令狐采学 1.技术支持服务 技术服务主要包括如下:400电话支持、线上客服务、远程服务;针对上述技术支持服务工作,提供2名专责客服务人员; 1.1400电话 专门成立Call Center团队,保障做好平台的技术支持服务工作;收集整理相关问题记录,最终形成问题库,通过问题库更好的为客户提供相应服务;主要提供服务主要包括如下: ●通话录音 ●智能来电分配 ●客服工号播报 ●服务评分 1.2线上客服 线上客户主要为广大用户提供俩大类服务,主要服务的内容如下: ●问题查找:系统自动根据当前用户所关心的问题,列出最
近的相关问题,并对问题可分类进行展示,用户也可通过 “搜索”进行查找; ●提交工单:用户也可以向系统管理员提交工单,管理员接 到工单后,会针对提交工单进行相应处理,用户可查看到 管理员所反馈工单处理结果; 1.3远程协助 远程协助主要通过远程终端操作,解决用户在使用系统过程中遇到的各类问题; 1.4客服满意度 ●用户提出来所有问题,均采用“一问一答”闭环式关闭所 有问题;并对相关问题形成完整问题记录库; ●400电话,所有通话至少保留10个工作日通话语音记录, 便于以后追责; ●启用客服满意度评估机制,有效提高客服满意度; 2.运维服务 2.2基础运维 主要从物理安全、网络安全、主机安全、应用安全、数据安全以及日常设备巡检六个层面分别进行。具体内容为: (1)物理安全:针对信息系统所处的物理环境即机房、线路、
基础支撑设施等进行标准符合性识别。主要包含:物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面。针对各个风控点安排相应的技术人员进行排查; (2)网络安全:对工作范围内的网络与安全设备、网络架构进行网络安全符合性排查检验。主要包含:结构安全与网段划分、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护等方面,针对各个风控点安排相应的技术人员进行排查; (3)主机安全:针对身份鉴别、访问控制、安全审计、系统保护、入侵防护、恶意代码防护、资源控制等方面,针对各个风控点安排相应的技术人员进行排查;; (4)应用安全:对信息系统进行应用安全符合性排查。如身份鉴别、访问控制、安全审计、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等方面,针对各个风控点安排相应的技术人员进行排查; (5)数据安全:主要检查系统的数据在采集、传输、处理和存储过程中的安全,针对各个风控点安排相应的技术人员进行排查; (6)日常巡检:检查系统相关服务器操作系统、数据库和中间件的开放服务及端口、磁盘使用率、内存使用率、账户设置(定期修改密码并且满足复杂度和长度)、登录设置、文件权限设置、
ERP系统业务解决方案
七台河矿业集团物资供应管理ERP系统业务解决方案 客户项目经理: 日期: 用友项目经理: 日期:
文档控制 更改记录 Date Author Version Change Reference 2008-4-07 王凯峰 1.0 2008-4-15 王凯峰 2.0 重新进行了流程更改 2008-4-20 王凯峰 3.0 查阅 Name Position 分发 Copy No. Name Location 1 2 3 4 5 6
目录 七台河矿业集团物资供应管理ERP系统业务解决方案 (2) 目录 (4) 一、方案概述 (5) 二、企业内部物流流转图 (6) 三、静态数据编码 (6) 四、公司共用系统参数 (7) 五、采购至入库业务流程管理应用描述 (7) 5.1采购至入库总体应用背景方案 (8) 5.2采购至入库业务总体应用方案 (9) 六、材料出库及消耗汇总业务流程应用描述 (12) 6.1材料出库及消耗汇总总体应用背景方案 (12) 6.2材料出库及消耗汇总总体应用方案 (14) 七、发票、消耗汇总暂估与结算业务描述 (17) 7.1发票、消耗汇总暂估与结算应用背景方案 (17) 7.2发票/消耗汇总暂估与结算总体应用方案 (17) 八、应付单、付款单及核销 (20) 8.1应付单、付款单及核销应用背景方案 (20) 8.2应付单、付款单及核销总体应用方案 (21) 九.期初单据录入 (24) 9.1应付模块期初单据 (24) 9.2采购模块期初单据录入 (25) 9.3库存模块期初数据的录入 (26) 十.其他相关问题 (26)
一、方案概述 方案应用目标 本方案目标是解决七台河矿业集团物资供应公司一期物资采供系统,保证自采购至发货至各矿的物流数据准确/及时,做到账物实际相符,同时规范业务操作,减少各操作人员操作压力,为财务核算提供数据. 方案应用业务范围 本方案业务范围为: 1各矿上报临时月计划 2采购合同及后续入库 3采购发票及相应结算 4应付及付款形成核销 5供应材料发货
数据库审计解决方案
数据库审计方案建议书
1综述--------------------------------------------------------------------------- 3 1.1方案背景 ----------------------------------------------------------------- 3 1.1.1数据库安全风险 ----------------------------------------------------- 3 1.2方案目标及实现原则 ------------------------------------------------------- 3 1.2.1实现的目标 --------------------------------------------------------- 3 1.2.2遵循的原则 --------------------------------------------------------- 4 2数据库审计系统产品简介 --------------------------------------------------------- 4 2.1产品定位 ----------------------------------------------------------------- 4 2.2功能简介 ----------------------------------------------------------------- 4 2.3产品特色 ----------------------------------------------------------------- 5 2.4功能特点 ----------------------------------------------------------------- 6 2.4.1强审计能力 --------------------------------------------------------- 6 2.4.2可灵活配置的审计规则 ----------------------------------------------- 6 2.4.3强大的搜索引擎 ----------------------------------------------------- 6 2.4.4丰富的审计报表 ----------------------------------------------------- 6 2.4.5自身安全性保护 ----------------------------------------------------- 6 3数据库审计系统部署 ------------------------------------------------------------- 7 4日志服务器集成 ----------------------------------------------------------------- 8 4.1 整体实施效果---------------------------------------------------------------- 8 5神码安全IDM产品结合数据库审计系统方案 ----------------------------------------- 9 5.1产品部署图和流程分析 ----------------------------------------------------- 9 6总结--------------------------------------------------------------------------- 9