社会审计系统范文

第一篇：社会审计系统范文

对国家审计是经济社会运行“免疫系统”的认识与思考

刘家义审计长在去年全国审计工作会议结束时的总结讲话中首次提出，“现代国家审计是经济社会运行的一个免疫系统”的科学命题。国家审计是经济社会运行的“免疫系统”的论点是对国家审计本质、职能定位认识的一个新发展，是适应形势发展要求的理论创新，结合审计“免疫系统论”，并就如何推动审计工作的科学发展引起了笔者的一些思考：

一、审计本质是什么?

免疫系统(immune system)是指机体保护自身的防御性结构。免疫系统是生物在长期进化中与各种致病因子的不断斗争中逐渐形成的功能整体。

审计“免疫系统论”是新时期从战略高度，对审计本质所作的精辟、简洁、鲜明的表述。审计的本质是审计的根本性质，是由审计的特殊矛盾构成。审计“免疫系统论”揭示了中国审计的根本性质，就是保护与防御;审计的特殊矛盾，就是审计根据其在国家政治制度设计中的定位与职责，预防、揭示、抵御和化解经济运行中影响国家利益的各种矛盾、风险和危害。

审计“免疫系统论”用唯物辩证法系统论的观点，明确了国家审计在整个经济社会全局中的地位和作用，犹如人体的免疫系统一样，是保证整个经济社会正常运行、持续发展的一个重要组成部分，从而把国家审计融入了我国经济社会发展的大局之中。

二、从“免疫系统”的功能看国家审计的建设性作用

审计“免疫系统论”运用科学发展观，借鉴了医学免疫系统概念，形象生动地喻义了审计的功能。人体免疫系统具有的功能：一是保护，也叫免疫防御功能，是人体的第一道保护屏障，它能够有效地防御外来病原微生物及其毒性产物感染侵入人的机体，或将它们消灭或中和，使人体免于病毒、细菌、污染物质及疾病的攻击;二是清除，也叫免疫稳定功能，是人体的第二道屏障，免疫细胞可以将人体新陈代谢后的衰老和破坏的细胞及细胞成分等废物及免疫细胞与“敌人”打仗时遗留下来的病毒死伤尸体清除出体外，从而保证了体内细胞均一性，维护人体内各种机能的稳定;三是修补，也叫免疫监督识别功能，是指免疫细胞能修补受损的器官和组织，使其恢复原来的功能。我认为，审计作为国家经济社会的免疫系统，也应该有保护、清除、修补三大功能。这三大功能，转换一个角度来看，可以理解为审计的批评性和建设性作用。

首先，国家审计机关具有“保护”和“监督”国民经济社会健康、有序、又好又快和可持续发展的重要责任和义务。审计监督与服务的关系是一种在监督中服务，在服务中监督，监督与服务并重。因此国家审计的服务监督作用和人体免疫系统的“保护功能”具有相同的内涵。其次，审计机关主要是对财政财务收支真实性、合法性、效益性进行审计监督，揭露财经工作中的不真实、不合法以及弄虚作假、损失浪费、舞弊腐败等问题。审计“反映问题、揭露腐败、探究绩效”等与人体免疫系统的“清除功能”内容具有相同的内涵，“清除”影响国家经济社会建设中的不合理成分，使审计服务和监督于经济建设、政治建设、文化建设和社会建设“四位一体”体系的完善。最后，审计机关通过依法审计，对审计中发现的制度性缺陷和问题进行反馈，提出建议，督促被审计单位进行整改，对相关制度进行创新与重构，从而促进管理制度的建立和完善，在更高层面上实现财经制度的规范化和制度化，这恰恰是“免疫系统论”中的“修补”功能。

三、“免疫系统论”对审计自身建设的影响

“免疫”是主动的、积极的，其发挥作用的方式有三种，即预防、提示和抵御，其中预防是第一位的。国家审计要在社会经济发展中发挥更重要的作用，就必须突出发挥好预防性作用。正如刘家义审计长指出的，审计作为国家的“免疫系统”，有责任更早地感受风险，有责任更准确地发现问题，有责任提出调动国家资源和能力去解决问题、抵御“病害”的建议，有责任在永不停息地抵御一时、一事单个“病害”的同时，促使其健全机能，改善机制。审计机关要发挥预防和警示作用，审计的重点是切断产生问题的“火源”，而不是只顾“救火”。

审计“免疫系统论”对审计自身的建设和发展，提出了科学宏伟的目标。审计作为国家经济社会的免疫系统，客观上要求审计自身必须是一个完整科学的系统，应当是审计法规制度、审计机构与组织、审计人员、审计方法与技术等要件的协调组合。同时，更为重要的是要求审计队伍自身必须具有较高的素质和能力。“免疫系统论”指出，影响免疫系统强弱的关键是精确平衡的营养，不均衡的营养使免疫细胞功能减弱，不纯净的营养使免疫系统失调。审计干部要不断的充实完善丰富自身的知识结构，提高拒腐防变的能力，摄取均衡、纯净的“营养”，构建功能强大的国家审计免疫系统。

第二篇：信息系统监理与信息系统审计

特约撰稿人：孙强孟秀转

[摘要]建立信息化建设的第三方监督对保证信息化建设的效益最大化至关重要。本文通过信息系统监理和信息系统审计的概念、产生动因等进行比较，分析我国信息系统监理面临的新问题、新要求，并介绍美国信息系统审计的实践经验，在此基础上提出对我国信息系统监理事业发展的若干建议。

[关键词]信息系统信息系统监理信息系统审计比较独立性

引言

“信息化带动工业化”是我国长期的重要发展战略，江泽民同志在十六大的报告中指出：“实现工业化仍然是我国现代化进程中艰巨的历史性任务。信息化是我国加快实现工业化和现代化的必然选择。坚持以信息化带动工业化，以工业化促进信息化，走出一条科技含量高、经济效益好、资源消耗低、环境污染少、人力资源优势得到充分发挥的新型工业化路子。”这段论述表现了我们党对信息化建设的高度重视，也指明信息化带出一条新型工业化路子的光明前景。

目前，各地区、各部门都在认真贯彻十六大精神，十分重视推进信息化工作，我国信息化建设已经进入新的阶段，我国信息化事业已发展到一个新的阶段。各级政府正在积极推进“电子政务”，许多城市及企业也已着手整合与升级其信息化应用系统。可以预计，全国将有更多、更大的信息系统建设项目展开。但是，在信息化推进过程中，存在不同程度上的一些问题，主要表现在规划制订不够科学，项目管理不够严格，监理机制不够健全，系统运行效益不够明显。致使相当一部分信息化项目失败或未能实现预期目标，浪费了大量资源。究其根源主要原因之一是信息化建设第三方监管机制的缺失和标准的不健全。

国内外的实践表明：信息化是有风险的，信息系统规模越大，功能越复杂，风险也就越大。英国Kalido于英国时间2001年12月12日公布了有关企业信息管理的调查结果。调查显示，96%的企业对于本公司的信息管理系统感到不满。关于目前正在使用的信息系统，认为所制作的报告缺乏一贯性或者是核对信息花费了太多时间的企业约占70%。特别引人深思的是该调查是由美国HarteHanks以全球500强企业以及财富1000企业中的171家公司为对象通过问卷方式实施的。调查对象中，40%以上的企业年交易额超过20亿美元。其他主要调查结果如下∶回答目前的信息系统不能灵活因应变化的企业约占60%;对于数据的精度表示担心的企业约占60%;60%以上的企业正在策划有关数据及信息的整合计划。这充分说明，信息系统的建设项目较之传统工业工程项目成功率更低，风险也更加突出。

中央领导同志在国家信息化领导小组第一次会议中特别强调：信息化建设一定要讲求效益，不能搞花架子。因此建立并逐步完善我国信息系统审计制度是健康、有序地推进信息化和落实领导小组会议精神的一项重要措施。

目前，在国内的信息化项目工程建设中，绝大多数用户(业主)无法组织队伍对信息系统建设进行专业化管理，难以胜任从可行性分析、规划设计、招标、方案评审到工程监理和工程验收全过程的管理与组织协调工作，建设方和承建方在信息建设过程中存在严重的信息不对称问题。这表现为借助外援进行工程管理咨询的案例越来越多，一些省市的行业主管部门也开始在信息系统建设中推行由监理进行工程质量管理的做法。但是，监理介入信息系统在我国还处于一个探索的过程中。

我国加入WTO后，鉴于我国IT服务业未来巨大的增长空间，国际知名咨询顾问公司、专业技术服务提供商等纷纷抢滩我国市场。在信息系统第三方鉴证业务方面，他们提供符合国际标准的信息系统审计服务。因此当前监理事业的发展面临新的形势，监理工作外部环境发生了深刻变化，势将对我国监理企业形成严重冲击，本土监理企业面临前所未有的严峻挑战。监理事业往何处去?这是摆在每一个监理人面前的重大课题。每一个监理企业必须以发展的眼光、动态的观点、创新的思想和创新的理论正确认识和判断当前的监理形势，增强危机感和紧迫感，迎接新的挑战。

信息系统监理

信息系统监理概念

依据信息产业部《信息系统工程监理暂行规定》，信息系统工程监理是指依法设立且具备相应资质的信息系统工程监理单位，受业主单位委托，依据国家有关法律法规、技术标准和信息系统工程监理合同，对信息系统工程项目实施的监督管理。

信息系统监理产生动因及其发展

1、信息系统监理产生动因分析

监理工作、监理企业是我国在计划经济向市场经济转变的过程中在建设领域中应运而生的，并取得了有目共睹的显著成效，直接促进了工程监理业的繁荣发展，这也导致在通信业工程建设、信息系统建设等方面监理的出现。因此，回顾建设工程监理的发展，将有助于对信息系统监理的认识。

1988年7月建设部发布了《关于开展建设监理工作的通知》，随后又于1988年11月印发了《关于开展建设监理试点问题的若干意见》，使得试点工作有章可循。1989年，根据初步试点取得的经验，建设部制定了《建设监理试行规定》，这是我国第一个比较完备的关于工程建设监理的法规文件，勾画出具有我国特色的工程建设监理制度的初步框架。1991年又分别制定颁发了《建设监理单位资质管理试行办法》和《监理工程师资格考试及注册试行办法》，建设监理法规制度进一步配套完善。1993年，上海市开始了工程设备监理制度的试点工作。1998年，国务院机构改革后赋予了国家质量技术监督局“协调建立设备工程监理制度”的职能要求，随后，国家质量技术监督局拟定了《协调建立设备工程监理制度的方案》，在国家发展计划委员会的指导和具体参与下，会同国务院有关部门，在国内有关技术及咨询机构的帮助、支持下,完成了设备监理制度中有关规章的起草工作。此间，世界银行、国家开发银行等亦曾规定，其贷款的有关项目要有监理公司监理，并作为申请贷款的项目单位获得贷款的基本条件。由此开始推行建设工程监理制度，监理事业得到持续快速发展，从而积累了一定经验，取得了积极成效。发展至今建立了一套比较完整的监理法规体系，组成了一支规模较大的监理队伍，监理出一批优良的工程项目，监理工作在工程建设中发挥了重要作用，得到了各级领导的支持，得到了社会的普遍认可，正逐步向规范化、制度化、科学化方向迈进。

但同时我国工程监理事业经过十多年的发展，虽然取得了一定成绩，但也存在不少问题。如：监理人员整体素质不高、监理工作缺位、监理取费普遍较低、监理市场竞争机制不健全、监理企业缺乏自我积累和发展能力、监理责任不明确、监理工作缺乏系统的理论研究、宣传工作滞后等问题比较突出。

2、信息系统监理的发展

目前信息系统工程的现状类似于二十世纪八十年代以前建筑工程的状态。自1988年建设部颁布《关于开展建设监理工作的通知》以后，特别是1996年建设监理全面推行后，建筑工程的质量普遍提高，业主和承建商之间的纠纷普遍减少，凡是出问题的工程，监理也有问题。因此，要求参考建筑工程的管理办法对信息工程实施监理的呼声日益高涨，这既是信息工程用户(业主)的愿望，也是系统集成商的愿望，信息工程市场呼唤“第三方”—信息系统工程监理的出现。

但我国的信息系统工程监理目前仅仅是处在起步阶段，事实上根据对国内信息化应用程度较高的行业部门(如银行、证券、保险、气象、社保、旅游等)和部分大型企业(如华北制药、哈尔滨轴承集团、哈尔滨飞机制造企业、跃进汽车集团、我国石化等)30个样本作为调查对象的调查结果显示，对于大多数企业来说，项目监理是个新概念。只有30的被调查者表示在某些信息化项目中使用过监理服务。在70未使用过项目监理的被调查者中，5表示听说过，95表示知道建筑工程有监理，但在IT信息化项目中引入监理还是第一次听说。

图1监理服务内容重要程度(引自胡敏《市场呼唤项目监理》)

信息系统监理的基本理论

信息系统监理的中心任务是科学地规划和控制工程项目的投资、进度和质量三大目标;监理的基本方法是目标规划、动态控制、组织协调和合同管理;监理工作贯穿规划、设计、实施和验收的全过程。信息工程监理正是通过投资控制、进度控制、质量控制以及合同管理和信息管理来对工程项目进行监督和管理，保证工程的顺利进行和工程质量。

1、成本控制

成本控制的任务，主要是在建设前期进行可行性研究，协助建设单位正确地进行投资决策;在设计阶段对设计方案、设计标准、总概(预)算进行审查;在建设准备阶段协助确定标底和合同造价;在实施阶段审核设计变更，核实已完成的工程量，进行工程进度款签证和索赔控制;在工程竣工阶段审核工程结算。

2、进度控制

3、质量控制

质量控制要贯穿在项目建设从可行性研究、设计、建设准备、实施、竣工、启用及用后维护的全过程。主要包括组织设计方案评比，进行设计方案磋商及图纸审核，控制设计变更;在施工前通过审查承建单位资质等;在施工中通过多种控制手段检查监督标准、规范的贯彻;以及通过阶段验收和竣工验收把好质量关等。

3、合同管理

合同管理是进行投资控制、工期控制和质量控制的手段。因为合同是监理单位站在公正立场采取各种控制、协调与监督措施，履行纠纷调解职责的依据，也是实施三大目标控制的出发点和归宿。

4、信息管理

信息管理包括投资控制管理、设备控制管理、实施管理及软件管理。

5、协调

协调贯穿在整个信息系统工程从设计到实施再到验收的全过程。主要采用现场和会议方式进行协调。

总之，三控两管一协调，构成了监理工作的主要内容。为完满地完成监理基本任务，监理单位首先要协助建设单位确定合理、优化的三大目标，同时要充分估计项目实施过程中可能遇到的风险，进行细致的风险分析与评估，研究防止和排除干扰的措施以及风险补救对策。使三大目标及其实现过程建立在合理水平和科学预测基础之上。其次要将既定目标准确、完整、具体地体现在合同条款中，绝不能有含糊、笼统和有漏洞的表述。最后才是在信息工程建设实施中进行主动的、不间断的、动态的跟踪和纠偏管理。 图2监理内容示意图：

第三篇：审计系统演讲稿：审计之歌

审计，是一个古老而又年轻的名词。说它古老，是因为我国国家审计的雏形出现在距今已有三千余年的西周;说它年轻，是因为新中国的审计机关仅成立了二十余年。

我想唱一首歌，唱一首以古老和年轻作笔，用艰辛与奉献为墨而写成的审计之歌!

这一首歌，娓婉动听，它是审计人的真实写照。

当人们还不了解审

计为何物时，这颗略带稚嫩而又充满了生机的种子已经被播种在这片希望的田野上。我们在党和人民的重托中起步，在艰难的探索开拓道路上前行。谁能忘记那些难眠的日日夜夜，我们顶着压力、历尽艰(来源：好范文 http:///)辛，清理着一摞摞厚重的帐册，纠正了多少经济领域的不正之风。我们用手中的笔、用一颗敬业的心、用我们的坦荡赤诚，推进财政体制改革，加强领导经济责任监督，规范社保、支农、基本建设等专项资金的使用。二十载的风雨征程，审计人用秉公执法、刚正不阿的信念筑起了钢铁般的长城。

这一首歌，激昂壮烈，它是审计人不屈的历程。

审计是国民经济运行的卫士，是领导决策和民众的眼睛，这就注定了审计人必须有“先天下之忧而忧，后天下之乐而乐的精神，有“贫贱不能移，富贵不能淫的高尚情操。这里是没有硝烟的战场，错综复杂，物质与金钱的引诱，比枪林弹雨更能考验人的灵魂与情操。面对金钱贿赂，断然回绝;面对威胁利诱，没有一丝动摇。有什麽能比人民的重托更神圣，有什麽能比国家的利益更重要!心底无私天地宽、人无他求品自高。审计人啊，你一身正气，傲骨昂扬，无愧于人民的期望，无愧于国家对我们的选择。

这一首歌，情真意切，它是审计人无私奉献的心声。

人生的意义在于奉献，多少个日子，为了国家和人民的利益，审计人以强烈的责任感，在家庭与事业、个人与全局之间作出义无反顾的抉择。啊，审计人，在当今滚滚经济大潮的冲击下，我们依然保持着心中的那份信念，把自己的青春、汗水献给了共和国的审计事业，却把对家、对亲人的愧疚默默地埋藏在心底。审计人是平凡的，像绿叶，不图名利甘愿衬托在鲜花的背后;像蒲公英，在祖国每个落脚托起一朵朵金色的希望;像蜡烛，不求索取只献上对国家和人民的无限忠诚。

人就是需要有这样一种精神，为了燃烧不怕化为灰烬，为了理想不惜奉献一切。我愿把我的青春和热诚融入音符，汇成旋律，以澎湃激越的歌声和发自肺腑的真情，歌唱平凡而又伟大的审计事业。

第四篇：信息系统审计

电子计算机在数据处理的发展过程可分为三个阶段：数据的单项处理阶段、数据的综合处理阶段、数据的系统处理阶段。

数据处理电算化以后，对传统的审计产生了巨大的影响，主要表现在：

1、 对审计线索的影响~~~~

2、 对审计方法和技术的影响~~~~~~

3、 对审计人员的影响~~~~~

4、 对审计准则的影响~~~~~~ 信息系统审计的定义：信息系统审计是根据公认的标准和指导规范，对信息系统从规划、实施到运行维护各个环节进行审查评价，对信息系统及其业务应用的完整性、有效性、效率性、安全性等进行检测、评估和控制的过程，以确认预订的业务目标得以实现，并提出一系列改进建议的管理活动。

信息系统的主体：有胜任能力的信息系统独立审计机构或人员 信息系统审计的对象：被审计的信息系统

信息系统审计工作的核心：客观地收集和评估证据

信息系统审计的目的是评估并提供反馈、保证及建议。关注之处被分为三类：可用性、保密性、完整性。

信息系统审计的特点：审计范围的广泛性、审计线索的隐蔽性、易逝性、审计取证的动态性、审计技术的复杂性。(真是为一道简答题。在P6，详细看一下各段内容，概括下再答题) 信息系统审计目标：

1、保护资产的完整性

2、保证数据的准确性

3、提高系统的有效性

4、提高系统的效率性

5、保证信息系统的合规性与合法性

信息系统的主要内容：内部控制系统审计(分为一般控制系统、应用控制系统，对信息系统的内部控制系统进行审计的目的是在内部控制审计的基础上对信息系统的处理结果进行审计、加强内部控制，完善内部控制系统)系统开发审计(信息系统开发审计是对信息系统开发过程进行的审计，审计目的一是要检查开发的方法、程序是否科学，是否含有恰当的控制;二是要检查开发过程中产生的系统文档资料是否规范。)应用程序审计(审查应用程序有两个目的，意识测试应用控制系统的符合性，二是通过检查程序运算和逻辑的正确性达到实质性测试目的)数据文件审计(审计目的一是对数据文件进行实质性测试，二是通过数据文件的审计，测试一般控制或应用控制的符合性，但主要是为了实质性测试)(这是道简答题，在P8各个小概括下)

信息系统审计的基本方法：绕过信息系统审计、通过信息系统审计 信息系统审计的步骤(大题P11)：

准备阶段：明确审计任务，组成信息系统审计小组，了解被审计系统的基本情况，指定信息系统审计方案，发出审计通知书 实施阶段：对被审计系统的内部控制制度进行健全性调查和符合性测试，对账表单证或数据文件的实质性审查

终结阶段：整理归纳审计资料，撰写审计报告，发出审计结论和决定，审计资料的归档和管理

国际信息系统审计准则：由信息系统审计与控制协会(ISACA)颁布和实施的。ISACA是国际上唯一的信息系统审计专业组织，通过制定和颁布信息系统审计标准、指南和程序来规范审计师的工作，它由三个层次构成： 审计标准(审计标准是整个信息系统准则体系的总纲，是制定审计指南和作业程序的基础和依据) 审计指南(审计指南为审计标准的应用提供了指引，信息系统审计师在审计过程中应考虑如何应用指南以实现审计标准的要求，在应用过程中灵活运用专业判断并纠正任何偏离准则的行为)

作业程序(作业程序提供了信息系统审计师在审计过程中可能遇到的审计程序的示例) 信息系统审计师应具备的素质(大题P18-19)

应具备的理论知识:传统审计理论、信息系统管理理论、计算机科学、行为科学理论

应具有的实践技能：参加过不同类别的工作培训、参与专业的机构或厂商组织的研讨会，动态掌握信息技术的新发展对审计实践的影响、具有理解信息处理活动的各种技术、理解并熟悉操作环境，评估内部控制的有效性、理解现有与未来系统的技术复杂性，以及它们对各级操作与决策的影响、能使用技术的方法去识别系统的完整性、要参与评估与使用信息技术相关的有效性、效率、风险等、能够提供审计集成服务并为审计员工提供指导，与财务审计师一起对公司财务状况做出说明、具备系统开发方法论、安全控制设计、实施后评估等、掌握网络相关的安全实践、信息安全服务、灾难恢复与业务持续计划、异步传输模式等通信技术。 IT治理定义：德勒定义：IT治理是一个含义广泛的概念，包括信息系统、技术、通信、商业、所有利益相关者、合法性和其他问题。其主要任务是保持IT与业务目标一致，推动业务发展，促使收益最大化，合理利用IT资源，IT相关风险的适当管理。

IT治理必须与企业战略目标一致，IT对于企业非常关键，也是战略规划的组成，影响战略竞争;IT治理和其他治理主体一样，是管理执行人员和利益相关者的责任(以董事会为代表);IT治理保护利益相关者的权益，使风险透明化，指导和控制IT投资、机遇、利益、风险;IT治理包括管理层、组织结构、过程，以确保IT维护和拓展组织战略目标;应该合理利用企业的信息资源，有效的集成与协调;确保IT及时按照目标交付，有合适的功能和期望的收益，是一个一致性和价值传递的基本构建模块，有明确的期望值和衡量手段;引导IT战略平衡系统的投资，支持企业，变革企业，或者创建一个信息基础架构，保证业务增长，并在一个新的领域竞争。

IT治理和IT管理的关系：IT管理是在既定的IT治理模式下，管理层为实现公司的目标二采取的行动，IT治理规定了整个企业IT运作的基本框架，IT管理则是在这个既定的框架下驾驭企业奔向目标。缺乏良好IT治理模式的公司，即使有很好的IT管理体系，就想一座地基不牢固的大厦;同时，没有公司IT管理体系的流畅，单纯的治理模式也只能是一个美好的蓝图，而缺乏实际的内容。

公司治理和IT治理：公司治理，驱动和调整IT治理。同时，IT能够提供关键的输入，形成战略计划的一个重要组成部分，即IT影响企业的战略竞争机遇。 IT治理标准：ITIL、COBIT BS7799 PRINCE2 IT治理成熟度模型：不存在、初始级、可重复级、已定义级、已管理级、已优化级(主要内容及其作用在P47-48)

信息系统内部控制：是一个单位在信息系统环境下，为了保证业务活动的有效进行，保护资产的安全与完整，防止、发现、纠正错误与舞弊、确保信息系统提供信息的真实、合法、完整，而制定和实施的一系列政策与程序措施。凡是与信息系统的建立、运作维护、管理和业务处理有关的部门、人员和活动，都属于信息系统内部控制的对象，可分为一般控制和应用控制。

信息系统一般控制是应用于一个单位信息系统全部或较大范围的内部控制，其基本目标为保证数据安全、保护计算机应用程序、防止系统被非法侵入、保证在意外中断情况下的继续运行等。

信息系统应用控制是用于对具体应用系统的控制，一个应用系统一般由多个相关计算机程序组成，有些应用系统可能是复杂的综合系统，牵涉到多个计算机程序和组织单元，与此相对应，应用控制包括包含在计算机编码中的日常控制及与用户活动相关的政策和流程。 良好的一般控制是应用控制的基础，可以为应用控制的有效性提供有力的保障，某些应用控制的有效性取决于计算机整体环境控制的有效性。当计算机整体环境控制薄弱时，应用控制就无法真正提供合理保障。如果一般控制审计结果很差，应用控制审计结果很差，应用控制审计就没有进行的必要。

审计逻辑访问安全策略：知所必需原则

审查离职员工的访问控制：请辞、聘用合同期满和非自愿离职 数据库加密：一般采用公开密钥加密方法 系统访问控制及其审计：系统访问就是利用计算机资源达到一定目的的能力，对计算机化的信息资源的访问可以基于逻辑方式，也可以基于物理方式。物理访问控制可以限制人员进出敏感区域。对计算机信息的物理访问与逻辑访问应当建立在“知所必需”的基础上，按照最小授权原则和职责分离原则来分配系统访问权限，并把这些访问规则与访问授权通过正式书面文件记录下来，作为信息安全的重要文件加以妥善管理。 身份识别与验证(简答题P65-66)：逻辑访问控制中的身份识别与验证是一种提供用户身份证明的过程，在这个过程中，用户向系统提交有效的身份证明，系统验证这个身份证明后向用户授予访问系统的能力。可分为三类：“只有你知道的事情”“只有你拥有的东西”“只有你具有的特征” 例子：账号与口令、令牌设备、生物测定技术与行为测定技术。 逻辑访问授权：一般情况下逻辑访问控制基于最小授权原则，支队因工作需要访问信息系统的人员进行必要的授权。当用户在组织变换工作角色时，在赋予他们新访问权限时，一般没有及时取消旧的访问权限，这就会产生访问控制上的风险。所以当员工职位有变动时，信息系统审计师就要及时审核访问控制列表是否做了有效变更。 灾难恢复控制及其审计：信息系统的灾难恢复和业务持续计划是组织中总的业务持续计划和灾难恢复计划的重要组成部分。 恢复策略与恢复类型：热站、温站、冷站、冗余信息处理设施、移动站点、组织间互惠协议。 BCP中多个计划文件：业务持续性计划(BCP)、业务恢复计划(BRP)、连续作业计划(COOP)连续支持计划、IT应急计划、危机通信计划、事件响应事件、灾难恢复计划(DRP)、场所紧急计划(OEP)

异地备份：完全备份、增量备份、差分备份

灾难恢复与业务持续计划的审计：主要任务是理解与评价组织的业务连续性策略，及其组织业务目标的符合性;参考相应的标准和法律法规，评估该计划的充分性和时效性;审核信息系统及终端用户对计划所做的测试的结果，验证计划的有效性;审核异地存储设施机器内容、安全和环境控制，以评估异地存储站点的适当性;通过审核应急措施、员工培训、测试结果，评估信息系统及其终端用户在紧急情况下的有效反应能力;确认组织对业务持续性计划的维护措施存在并有效。

应用控制概念：应用控制是为适应各种数据处理的特殊控制要求，保证数据处理完整、准确地完成而建立的内部控制。应用控制涉及各种类型的业务，每种业务及其数据处理尤其特殊流程的要求，这决定了具体的应用控制的设计需结合具体的业务。单另一方面。由于数据处理过程一般都是由输入、处理和输出三个阶段构成，从这一共性出发，可将应用控制划分为输入控制、处理控制和输出控制。应用控制也是由手工控制和程序化控制构成，但以程序化控制为主。

软件维护的种类：纠错行为化、适应性维护、完善性维护、预防性维护 服务管理：面向IT基础设施管理的服务支持、面向业务管理的服务提供

IT服务提供流程主要面对付费的机构和个人客户，负责为客户提供高质量、低成本的IT服务。任务：根据组织的业务需求，对服务能力、持续性、可用性等服务级别目标进行规划和设计，同时还必须考虑到这些服务目标所需要耗费的成本。主要包括服务水平管理、IT服务财务管理、能力管理、IT服务持续性管理和可用性管理5个服务管理流程。

IT服务的服务支持主要面向终端用户，负责确保IT服务的稳定性与灵活性，用于确保终端用户得到适当的服务，以支持组织的业务功能。服务支持流程包括体现服务接触和沟通的服务台职能和5个运作层次的流程，即配置管理、事务管理、问题管理、变更管理、发布管理。 应用程序审计的内容：

审查程序控制是否健全有效：程序中输入控制的审计、程序中处理控制的审计、程序中输出控制的审计。

审查程序的合法性P168 简单论述

审查程序编码的正确性：目标和任务不明确、系统设计差错、程序设计说明书错误、程序语法或逻辑错误

审查程序的有效性：在具体编写程序前应简化算术表达式及逻辑表达式、细心的分析多层嵌套循环，以确定能否把一些语句或表达式转移到循环体制外、尽量避免采用多维数组、尽量避免采用指针及复杂的表、采用“快”的算法;不要把不同的数据类型混在一起;只要可能就采用整形数的算法运算和布尔表达式。 应用程序审计方法：对应用程序进行审计，往往是计算机辅助审计方法与手工审计方法的结合。

检测数据法：是指审计人员把一批预先设计好的监测数据，利用被审程序加以处理，并把处理的结果与预期的结果作比较，以确定被审程序的控制与处理功能是否恰当、有效的一种方法。

平行模拟法：是指审计人员自己或请计算机专业人员编写的具有和被审计程序相同处理和控制的模拟程序，用这种程序处理当期的实际数据，并以处理的结果与被审计程序的处理结果进行比较，以评价被审程序的处理和控制功能是否可靠的一种方法 嵌入审计程序法：是指被审计信息系统的设计和开发阶段，在被审的应用程序中嵌入为执行特定的审计功能而设计的程序段，这些程序段可以用来收集审计人员感兴趣的资料，并且建立一个审计控制文件，用来存储这些资料，审计人员通过这些资料的审核来确定被审程序的处理和控制功能的可靠性。

程序追踪法：是一种对给定的业务，跟踪被审程序处理步骤的审查技术。一般可由追踪软件来完成，也可利用某些高级语言或数据库管理系统中的跟踪指令被审查程序的处理。

第五篇：审计系统思考

[摘要]本文就如何将系统的理论引入审计质量控制这一课题，试图从系统的基本原理出发对构建审计质量控制体系、审计作业过程控制、人员素质控制以及审计后续工作的控制作一些探讨。

[关键词]审计质量 系统 控制

李金华审计长在全国审计工作会议上提出，当前审计工作的重要任务是在全面落实科学发展观的基础上，进一步提高依法审计的能力和审计工作质量，并提倡各地从本地实际出发，认真总结实践经验，创造性的开展审计质量控制，努力探索更加具体有效的审计质量控制方法。讲求审计工作质量是坚持科学发展观的一个重要内容，也是体现依法审计能力的一个必然结果。提高审计质量是一个系统的工程，涉及到审计人员素质和技术、健全的内部监督控制机制、审计准则的规范体系及审计过程的质量控制等一系列环节，因此，对审计质量的控制也必须是系统的、全面的，才能是有效的。本文从系统的原则出发，对审计质量控制作一些探讨。

一、审计质量是一个系统的概念

审计质量同审计的过程与行为相联系，是动态的、系统的。因此，与一般产品质量相比，审计作为一种系统的方法或过程(Montgomery‘s Auditing 12th edition， John Wiley & Sons， Inc.1998)，对其质量加以评价有一定难度。直到1981年，美国DeAngelo将审计质量定义为，审计质量是审计师发现并报告公司舞弊的联合概率，即审计质量被区分为专业胜任能力和独立性的联合概率(Watts and Zimmerman， 1981)。近几年，我国将审计质量定义为，审计质量是指审计组织从事各项工作的优劣程度，具体可包括审计工作质量和审计项目质量。无论那一种定义，我们都不难看出审计质量不同于其他产品的质量，它是处在一定环境中，由诸如审计人员素质、审计实施程度和先进的审计方法等多种要素共同作用的结果。

从审计质量的基本含义中，我们也可清晰地看到，系统性是审计质量的一个内在特征，是一个关键因素。因此，我们就必须从系统论的角度来认识与研究审计质量的控制问题。尤其要首先来认识与研究系统论的基本原理与审计活动系统性的相关联系。系统是由若干要素以一定结构形式联结构成的具有某种功能的有机整体(L.Von.Bertalanffy)。Bertalanffy强调，任何系统都是一个有机的整体，它不是各个部分的机械组合或简单相加，系统的整体功能是各要素在孤立状态下所没有的新质，系统中各要素不是孤立地存在着，每个要素在系统中都处于一定的位置上，起着特定的作用。有一支过硬的审计队伍、有健全的内部监督控制机制、有一套健全完善的法律法规体系和有先进的审计技术方法等，这些保障审计质量的要素都自始至终地、联系地存在于审计这一过程之中，并且只有全面保障各个要素，才能保证审计质量，如果某一要素出现了问题，所导致的可能是审计项目的失败。

二、审计质量控制必须是系统控制

审计组织为使其所承担的工作能够按照审计的基本原则进行，确保审计工作质量，就必须实施质量控制。审计质量控制是审计组织及其人员为实现审计质量目标，按照规定的审计标准进行审计质量管理的有机整体活动。系统性是审计质量控制的显著特征，由于审计质量控制是对审计工作各个方面、各个要素和工作全过程的控制，因而审计质量控制具有较强的系统性。从横向看，系统性表现在审计工作的各个方面;从纵向看，系统性表现在审计质量

贯穿审计作业过程的始终。鉴于审计质量控制系统性这一显著特征，必须建立一套系统、全面的控制体系，该体系是审计质量管理的核心和落脚点，是控制论系统工程论的理论、方法在审计质量管理中的具体应用，是实现审计管理的要求，它的建立必将对审计质量产生深远的影响。

三、构建审计质量控制体系

审计质量控制措施是指为实现审计目标，规范审计行为而建立的一系列规章制度和相应的技术方法等，它是对审计实施过程的一种行为控制。采用的一般方法主要是事中控制，即在作业过程中随时检查发现问题，及时采取措施制止和纠正，在事中控制的同时也结合采用一些事后检查和事前计划等方法。由于审计质量控制的系统性，也需要考虑控制主体的作用，因此也结合了对审计人员素质的控制等。

(一)对人员素质的控制

无论是国家审计人员还是社会审计人员必须坚持独立性原则。对各种问题的处理必须依据客观事实，而不能带有任何偏见。因此审计组织应建立保证审计人员独立性的法律规定，并对审计人员的独立性，随时予以监督。审计人员应定期汇报自己在工作中是否遵循独立性原则的情况，以及在被审计单位有无应予回避的人际关系;审计组织应与被审计单位保持关系，定期检查审计人员有无损害本组织独立性的情况。审计人员必须经过严格的专业培训，掌握充分的专业知识和技能，并精通所承担的工作。审计组织应建立严格的专业培训和继续教育制度，不断提高审计人员的政治与业务素质和职业道德，保证全员随时掌握与更新履行其职责应具备的知识、技能并不断提高熟练程度;应建立严格的聘用制度，保证聘用的人员都能胜任工作;还应建立科学的、严格的、与淘汰相结合的晋升制度，通过有效的竞争上岗、项目招投标、整合内部资源降低审计成本(即对审计人员实行统一指挥，集中调配)等方式，优胜劣汰，以保证各阶层的审计人员都能安其位、胜其任、展其能、出其绩。

在对审计人员各种素质进行控制的同时，审计组织应设立咨询部门，为审计人员提供当前业务技术发展的信息和有关资料，比如会计、审计、经济方面国内外专家的评论，有关新颁布的法规制度，指导工作的最新手册等。审计人员在实际工作中遇到难以解决的技术问题，应能得到权威专家的指导。

(二)对审计作业过程的控制

1.搞好审前调查工作，是审计质量控制的前提

审前调查是确定审计工作重点内容、范围、选择审计方法和步骤、制定审计实施方案的必备环节，是审计质量的审前控制。要想提高审计质量，开展审前调查是必不可少的一项工作内容。当前，有些审计人员对于年年审或经常审的项目不愿做审前调查或做了调查也只是蜻蜓点水，对已经发生变化的审计项目仍按照以往的经验对待，没有用发展的思路认真对待审前调查，容易造成审计方案简单、重点不突出、针对性差等问题，直接影响到审计的深度、效率和效果，也关系到责任和风险。因此在每次审计开始前认真熟悉项目的基本情况，了解被审计单位的经济性质、管理体制、机构设置及财政财务隶属关系等，了解相关的内部控制执行情况及会计政策选用等一系列需要调查了解的情况，对所掌握的内容进行认真、细致的

分析，找出审计的着重点，做到科学、合理，全面考虑，减少随意性。同时，应收集相关的审计法规文件，强化专业知识，采用可行的审计技能，使审计工作做到有的放矢。因此，只有把审前调查作为审计阶段的一个重要环节认真抓好，才能编制出行之有效的审计实施方案，确保高质量地实现审计目标。

2.重视审计实施方案的编制，是审计质量控制的基础

在审计工作实施前，实施方案的编制显得尤为重要。首先，审计实施方案是审计质量控制的“龙头”。它是在审前调查的基础上形成的第一个综合性文档，通过统筹计划和安排，明确具体目标和细化审计内容，从根本上规定了审计发展的方向;其次，实施方案是执行审计和质量检查的标准。依照实施方案，管理者可以判断审计人员审了什么、怎么审的、结果怎样，从而最大限度地减少审计人员的随意性;第三，审计实施方案是审计报告的基础。审计报告中的审计评价严格要求审计组只对所涉及的审计领域发表审计评价意见。因此，好的审计实施方案是审计质量控制的灵魂，是指导审计人员现场作业的“路线图”，它对实施审计起着全面控制作用，要认真搞好审前调查研究，基本摸清被审计行业、单位财政财务政策规定、经营活动情况及存在的主要问题，从促进加强管理、完善制度、提高效益出发，确定具体目标、内容和方法，做到有的放矢，确保每一项审计都能在严肃财经法纪，促进加强经营管理和服务宏观调控方面取得明显成效。

3.强化审计实施过程管理，是审计质量控制的核心

审计实施过程的控制是提高审计质量的中心环节。在审计中，由于工作日比较长，不可避免的存在各式各样的审计风险，再加上审计人员自身能力的限制，对某一问题做出错误的判断在所难免。因此，为确保审计质量，降低审计风险，必须强化实施过程的控制，审计现场质量的控制需要建立在规范操作之上。首先，应明确审计人员的责任，建立行之有效的审计复核制度;其次，审计人员在审计过程中必须严格执行审计程序，按照审计准则的有关要求，获取直接、有效、确凿的审计证据，审计证据必须足以证明审计事项的真相、足以支持审计处理处罚决定，然后根据取得的审计证据编制观点明确、条理清楚、格式规范、手续完备、有理有据的审计工作底稿;同时，审计人员应真实、完整地记录审计日记，它反映了审计人员每日实施审计的全过程，是规范工作、提高质量的直接手段，对审计人员自身而言，若能在审计期间坚持记录审计日记，也能避免审计线索的遗漏、逐渐形成更系统、完整的审计思路。由于审计日记是审计人员按照审计方案的分工和要求编写的，因此，审计日记既可以体现审计人员执行审计方案的情况，即反映审计方案确定的审计事项“做了没有”，也可以反映审计方案制定水平的高低，审计方案“这样做行不行”，随时根据审计方案的落实情况和工作进度，及时对审计方案或审计重点做出调整，这样一来，审计方案和具体实施就能紧紧地联系起来，形成互动，共同确保审计项目质量。

4.优化审计报告编制，是审计质量控制的关键

审计报告是审计监督活动的“产品”，是实施审计后，对审计项目做出审计意见的书面文件，是审计风险的最终载体，要想提高审计项目的质量，重视审计报告的撰写是非常必要的。在审计报告形成阶段，项目管理者应再次核对审计实施方案、审计日记和审计工作底稿三者的一致性，以避免重大问题的漏查，及时采取补救措施，规避审计风险。审计报告应以审计工作底稿为基础，以审计证据为依据，它的材料源于审计实施过程中所发生的每一次具体工作内容，因此在出具审计报告前应认真完成对审计取证和审计底稿的复核工作，做到审

计取证数据、事实及描述准确，编制审计底稿的依据合理、对问题的定性准确，且必须根据法律法规评价审计项目，评价要准确适度，对于审计过程中未涉及的具体事项，以及标准不明确的事项不应在报告中进行评价，审计报告措辞要严密，定性要准确，处理意见要公正、实事求是。对于审计查出的问题要认真进行分析研究和加工提炼，把微观成果提升到宏观层面，充分发挥审计在促进经济发展中的积极作用，有针对性地提出对策和建议，为党政领导宏观决策提供依据。对事关改革和经济发展大局，拿得准又能说明问题的审计情况，要随时报告，切实提高报告的针对性和时效性。同时，要加强对审计报告表述方式的研究，报告既要用绝对数说明事实，还要注意用相对数表明问题的性质和严重程度;既要原汁原味地反映审计情况，还要有理性分析和可行对策建议。

这里，将审前调查、方案编制、审计实施和报告编制于一个部分阐述，因为这四方面相互联系、相互制约地贯穿在审计这一过程当中，对它们的控制又构成了审计作业过程控制的小系统。在这一系统中，审计人员应把握原则性、灵活性和创新性三个原则。

原则性要求审计人员在审计实施过程中严格按照实施方案的审计事项进行审计，同时把好“三关”，即“深究细查”关、“如实报告”关和“妥善处理”关。“深究细查”就是通过查“死帐”和调查“活情况”，透彻地了解、掌握被审计单位的真实现状，特别不能遗漏重大违法违纪问题：“如实报告”既是对审计人员起码的职业道德要求，更是审计机关能否做出正确结论，提出合理意见、建议的关键，重点是抓住一个“实”字，要把“深究细查”发现的问题如实反映，同时要透彻分析产生问题的原因，提出切实可行的意见和建议：“妥善处理”是在对问题的定性处理上，正确处理现行法规和“三个有利于”的关系，坚持原则，确保客观公正。

灵活性是对审计人员在审计实施中处理突发问题的考验，审计实施是在一个由审计组织、被审计单位和外部环境等多种部门交织在一起的系统中进行，所遇到的问题也将远远超出审计人员事前的预想和准备，这就要求审计人员灵活应对一切突发事项，如在审计中发现在实施方案之外但却有价值的审计线索，应该按照程序和规定调整审计实施方案，同时调整人员安排，迅速对新的审计事项做好一套完善的审计准备;同样，曾经复杂的审计事项，随着审计方法的进步，如今已逐渐变得简单化，对这样的审计事项应尽快准确定性，分配审计人员到更为复杂的审计事项中。这样，审计中把握灵活性原则，将有助于审计成果的扩大和审计资源的节约，有助于审计质量的提高。

创新性要求审计人员掌握并运用先进的审计方法和与时俱进的审计思路。在经济、政治迅速发展的今天，处在这一系统中的审计环境也在不断变化，传统的审计方法与审计思路已经渐渐不适应审计工作的发展，这就要求审计人员创新审计思路，提高审计技术，如大胆尝试计算机辅助审计等。同时重视交流的作用，在审计中经常交流审计思路与审计方法，这样，借鉴与创造的结合，更有利于审计思路和方法的创新。

(三)对审计后续工作的控制

跟踪落实和整理档案阶段的工作是审计项目的最后一个环节，是审计成果的最终体现。因此，要切实加强对党政领导批示意见、审计决定、审计查明问题的整改，审计意见建议的采纳及移交纪检司法机关处理案件的跟踪督办，把它作为巩固审计成果、扩大效果的一项具体措施，切实促进有关部门、单位建立健全规章制度，提高经营管理水平，收到标本兼治的

效果。同时应当按照审计档案管理要求收集与审计项目有关材料，做好建立审计档案工作，并做好被审计单位资料库的建立工作，为日后的审计监督打下良好的基础。

在审计后续阶段，建议建立审计质量评价制度以及责任追究制度。审计质量评价包括对对整个审计项目的评价和对审计人员的评价。对项目的评价包括审计实施方案的执行情况、目标的完成情况、与被审计单位的沟通、审计证据的质量、预期的审计发现和结果及审计小组的整体情况等;对审计人员的评价主要包括专业胜任能力和工作效率等情况。通过审计质量评价可以总结值得借鉴的经验教训，促进审计工作质量的提高。责任追究制度，并不是简单的惩罚措施，而是要通过必要的监督和制约，把审计质量控制落到实处。

审计质量的好坏是多种因素综合作用的结果，审计质量控制的环节也很多，它是一项系统的工程，涉及到审计的各项工作和整个过程，审计中的每一项具体工作均需以审计质量为立足点，使审计质量意识贯穿于项目始终，从审前准备到审计后续工作都应积极采取有效措施控制审计质量。只有重视审计质量，才能规范审计人员在各阶段的行为，保证质量控制目标的实现，使每一个审计项目都成为审计精品，同时为审计工作创造一个良好的发展环境。