下载文档第一篇:信息系统安全审计定义与发展
信息系统安全审计定义与发展
信息系统安全审计是评判一个信息系统是否真正安全的重要标准之一。通过安全审计收集、分析、评估安全信息、掌握安全状态,制定安全策略,确保整个安全体系的完备性、合理性和适用性,才能将系统调整到“最安全”和“最低风险”的状态。安全审计已成为企业内控、信息系统安全风险控制等不可或缺的关键手段,也是威慑、打击内部计算机犯罪的重要手段。在国际通用的CC准则(即ISO/IEC15408-2:1999《信息技术安全性评估准则》)中对信息系统安全审计(ISSA,Information System Security Audit)给出了明确定义:信息系统安全审计主要指对与安全有关的活动的相关信息进行识别、记录、存储和分析;审计记录的结果用于检查网络上发生了哪些与安全有关的活动,谁(哪个用户)对这个活动负责;主要功能包括:安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件选择、安全审计事件存储等。这是国际CC准则给出的一个比较抽象的概念,通俗来讲,信息安全审计就是信息网络中的“监控摄像头”,通过运用各种技术手段,洞察网络信息系统中的活动,全面监测信息系统中的各种会话和事件,记录分析各种网络可疑行为、违规操作、敏感信息,帮助定位安全事件源头和追查取证,防范和发现计算机网络犯罪活动,为信息系统安全策略制定、风险内控提供有力的数据支撑。
(一)国内信息系统安全审计发展历史与国外相比,中国的信息系统安全审计起步较晚,相关审计技术、规范和制度等都有待进一步完善。随着我国信息化水平快速提高,信息系统安全审计正逐渐成为国内信息系统安全建设热点之一。我国的信息系统安全审计发展可分为两个阶段:1999年-202_年 信息系统安全审计导入期1999年财政部颁布了《独立审计准则第20号-计算机信息系统环境下的审计》,部分内容借鉴了国外研究成果。这是国内第一次明确提出对计算信息系统审计的要求。同年,国家质量技术监督局颁布《GB17859-1999 计算机信息系统安全保护等级划分准则》,该准则是建立计算机信息系统安全保护等级制度,实施安全保护等级管理的重要基础性标准,其中明确要求计算机信息系统创建和维护受保护客体的访问审计跟踪记录,并能阻止非授权的用户对它访问或破坏。”202_年-202_年 信息系统安全审计的快速成长期随着互联网在国内的迅速普及应用,推动国内信息系统安全审计进入快速发展阶段。国家相关部门、金融行业、能源行业、运营商均陆续推出多项针对信息系统风险管理政策法规,推动国内信息系统安全审计快速发展。目前,随着信息安全建设的深入,安全审计已成为国内信息安全建设的重要技术手段。总体来看,由于信息系统发展水平和业务需求的不同,各行业对安全审计的具体关注点存在一定差异,但均是基于政策合规、自身安全建设要求,如:政府主要关注如何满足“信息系统安全等级保护”等政策要求的合规安全审计;电信运营商则基于自身信息系统风险内控需求进行安全审计建设。
第二篇:信息系统安全审计管理制度
信息系统安全审计管理制度
第一章 工作职责安排
第一条 安全审计员的职责是: 1.制定信息安全审计的范围和日程; 2.管理具体的审计过程;
3.分析审计结果并提出对信息安全管理体系的改进意见;
4.召开审计启动会议和审计总结会议; 5.向主管领导汇报审计的结果及建议; 6.为相关人员提供审计培训。
第二条 评审员由审计负责人指派,协助主评审员进行评审,其职责是:
1.准备审计清单; 2.实施审计过程; 3.完成审计报告;
4.提交纠正和预防措施建议; 5.审查纠正和预防措施的执行情况。第三条 受审员来自相关部门,其职责是: 1.配合评审员的审计工作; 2.落实纠正和预防措施; 3.提交纠正和预防措施的实施报告。
第二章 审计计划的制订
第四条 审计计划应包括以下内容: 1.审计的目的; 2.审计的范围; 3.审计的准则; 4.审计的时间;
5.主要参与人员及分工情况。第五条 制定审计计划应考虑以下因素: 1.每年应进行至少一次涵盖所有部门的审计; 2.当进行重大变更后(如架构、业务方向等),需要进行一次涵盖所有部门的审计。
第三章 安全审计实施
第六条 审计的准备:
1.评审员需事先了解审计范围相关的安全策略、标准和程序;
2.准备审计清单,其内容主要包括: 1)需要访问的人员和调查的问题; 2)需要查看的文档和记录(包括日志); 3)需要现场查看的安全控制措施。
第七条 在进行实际审计前,召开启动会议,其内容主要包括:
1.评审员与受审员一起确认审计计划和所采用的审计方式,如在审计的内容上有异议,受审员应提出声明(例如:限制可访问的人员、可调查的系统等); 2.向受审员说明审计通过抽查的方式来进行。第八条 审计方式包括面谈、现场检查、文档的审查、记录(包括日志)的审查。
第九条 评审员应详细记录审计过程的所有相关信息。在审计记录中应包含下列信息:
1.审计的时间;
2.被审计的部门和人员; 3.审计的主题 ; 4.观察到的违规现象;
5.相关的文档和记录,比如操作手册、备份记录、操作员日志、软件许可证、培训记录等; 6.审计参考的文档,比如策略、标准和程序等; 7.参考所涉及的标准条款; 8.审计结果的初步总结。
第十条 如怀疑与相关安全标准有不符合项的情况,审计员应记录所观察到的详细信息(如在何处、何时,所涉及的人员、事项,和具体的情况等)并描述其为什么不符合。关于不符合的情况应与受审员达成共识。
第十一条 在每项审计结束时应准备审计报告,审计报告应包括:
1.审计的范围;
2.审计所覆盖的安全领域; 3.审计结果的总结;
4.不符合项,不符合项的具体描述和相关证据; 5.纠正和预防措施的建议。
第十二条 不符合项是指与等级保护基本要求不一致的情况。产生不符合项可能是由于与相关的规定不一致,包括:
1.等级保护基本要求; 2.信息安全策略; 3.相关标准和程序; 4.相关法律条款; 5.本单位的相关规定;
6.任何其它在客户合同中规定的要求。
第十三条 不符合项可以细分为“主要”或“次要”。如果所发现的不符合项属于下列任何一种情况,此不符合项应被分类为 “主要”的:
1.会导致系统、程序或控制措施整体失效; 2.操作过程没有形成标准的文档;
3.累计多个同一类型的“次要”不符合项; 4.对信息安全管理体系的未授权变更。
如果所发现的不符合项属于个别事件,此不符合项将被分类为 “次要”的,例如:
1.未标识信息安全分类的文档; 2.没有被管理层审阅的事故报告; 3.不完整的变更记录; 4.不完整的机房进出记录。
第十四条 造成不符合项的原因可以分为以下几种: 1.其文档化的标准和程序与信息安全策略不一致; 2.实际的操作与文档化的标准和程序要求不一致; 3.实际的操作没有达到预期效果。
第四章 安全审计汇报
第十五条 召开审计总结会议。应总结汇报以下内容: 1.审计的目标和范围; 2.审计的时间; 3.参与审计的人员;
4.审计报告(包括纠正和预防措施的建议); 5.提交审计报告的副本供受审员参考。第十六条 在总结会议上,受审员应阐述任何疑问。
第五章 纠正和预防措施
第十七条 纠正和预防措施应该包括问题描述、根本原因、应急措施(可选)、纠正措施以及预防措施。
第十八条 受审员必须制定纠正和预防措施的实施计划。
第十九条 受审员应在规定时间内向评审员提交纠正和预防措施的实施报告。
第六章 审计纠正和预防措施的实施状况
第二十条 评审员应在受审员提交报告的3个月内,审计纠正和预防措施的实施状况。
第二十一条 审计纠正和预防措施应包括:面谈、现场检查、文档的审查以及记录(包括日志)的审查。
第二十二条 评审员根据受审员提交的纠正和预防措施实施报告,收集、记录和审查相关证据。
第七章 审计结果的审阅
第二十三条 安全审计员应审阅和分析所有审计结果。第二十四条 受审员的领导在审阅审计结果时,应分析的事件包括审计计划、此次审计结果和上次审计结果的比较、纠正和预防措施。
第八章 附 则
第二十五条 本制度由某某单位负责解释。第二十六条 本制度自发布之日起生效执行。
第三篇:信息系统安全
数字签名过程 “发送报文时,发送方用一个哈希函数从报文文本中生成报文摘要,然后用自己的私人密钥对这个摘要进行加密,这个加密后的摘要将作为报文的数字签名和报文一起发送给接收方,接收方首先用与发送方一样的哈希函数从接收到的原始报文中计算出报文摘要,接着再用发送方的公用密钥来对报文附加的数字签名进行解密,如果这两个摘要相同、那么接收方就能确认该数字签名是发送方的。
数字签名有两种功效:一是能确定消息确实是由发送方签名并发出来的,因为别人假冒不了发送方的签名。二是数字签名能确定消息的完整性。因为数字签名的特点是它代表了文件的特征,文件如果发生改变,数字签名的值也将发生变化。不同的文件将得到不同的数字签名。一次数字签名涉及到一个哈希函数、发送者的公钥、发送者的私钥。”这报文鉴别的描述!数字签名没有那么复杂。数字签名: 发送方用自己的密钥对报文X进行E运算,生成不可读取的密文Esk,然后将Esx传送给接收方,接收方为了核实签名,用发送方的密钥进行D运算,还原报文。
口令攻击的主要方法
1、社会工程学(social Engineering),通过人际交往这一非技术手段以欺骗、套取的方式来获得口令。避免此类攻击的对策是加强用户意识。
2、猜测攻击。首先使用口令猜测程序进行攻击。口令猜测程序往往根据用户定义口令的习惯猜测用户口令,像名字缩写、生日、宠物名、部门名等。在详细了解用户的社会背景之后,黑客可以列举出几百种可能的口令,并在很短的时间内就可以完成猜测攻击。
3、字典攻击。如果猜测攻击不成功,入侵者会继续扩大攻击范围,对所有英文单词进行尝试,程序将按序取出一个又一个的单词,进行一次又一次尝试,直到成功。据有的传媒报导,对于一个有8万个英文单词的集合来说,入侵者不到一分半钟就可试完。所以,如果用户的口令不太长或是单词、短语,那么很快就会被破译出来。
4、穷举攻击。如果字典攻击仍然不能够成功,入侵者会采取穷举攻击。一般从长度为1的口令开始,按长度递增进行尝试攻击。由于人们往往偏爱简单易记的口令,穷举攻击的成功率很高。如果每千分之一秒检查一个口令,那么86%的口令可以在一周内破译出来。
5、混合攻击,结合了字典攻击和穷举攻击,先字典攻击,再暴力攻击。
避免以上四类攻击的对策是加强口令策略。
6、直接破解系统口令文件。所有的攻击都不能够奏效,入侵者会寻找目标主机的安全漏洞和薄弱环节,饲机偷走存放系统口令的文件,然后破译加密的口令,以便冒充合法用户访问这台主机。
7:网络嗅探(sniffer),通过嗅探器在局域网内嗅探明文传输的口令字符串。避免此类攻击的对策是网络传输采用加密传输的方式进行。
8:键盘记录,在目标系统中安装键盘记录后门,记录操作员输入的口令字符串,如很多间谍软件,木马等都可能会盗取你的口述。
9:其他攻击方式,中间人攻击、重放攻击、生日攻击、时间攻击。
避免以上几类攻击的对策是加强用户安全意识,采用安全的密码系统,注意系统安全,避免感染间谍软件、木马等恶意程序。
第四篇:审计的定义
审计的基本定义 第一章总论
一、审计的定义
审计是由专职机构和人员,依法对被审计单位的财政、财务收支及有关经济活动的真实性、合法性、效益性进行审查,评价经济责任,用于维护财经法纪,改善经营管理,提高经济效益,促进宏观调控的独立性的经济监督活动。
(一)审计定义的相关问题 1审计的主体
审计的主体是审计人,是指国家审计机关、内部审计机构和民间审计组织,统称为专职机构和人员。
只有专职机构和人员所从事的审查活动才称为审计。
2、审计的客体
审计的客体是被审计人,包括各级政府机关、金融机构和企事业单位等。
3审计的对象
审计的对象是被审计单位的财政、财务收支及有关的经济活动。4审计的依据
从事审计活动必须依据有关法律、法规,包括宪法、审计法、财政法规、经济法规、审计法规及其他有关的方针政策、规章制度。
5审计的目标审计的总目标是评价受托经济责任。审计的预期目标是审查、确认审计对象的真实性、合法性、效益性。
6.审计的职能审计的职能对审计客体和审计对象的监督、评价和鉴证。
7审计的目的:审计的目的是维护财经法纪,改善经营管理,提高经济效益,加强宏观调控。
8审计的性质
审计的性质是一项具有独立性的经济监督活动。
(二)审计的三方关系人审计关系人是指构成一项审计活动的相互有责任关系的三方面的当事人,即审计人、被审计人和审计委托(或授权)人。
审计人对审计委托(或授权)人负责,验证、审查被审计人履行经济责任的情况,并提出审计报告或管理建议书。
被审计人对审计委托(或授权)人负有受托经济责任,并由审计人对其受托经
202_年注册会计师考试指导
大纲解读备考指导课件讲义模拟试题历年真题济责任进行审计。审计委托(或授权)人一般是财产的所有者,当其财产委托(或受托)被审计人去经营管理时,为了维护其利益,就要委托(或授权)审计人对被审计人受托经济责任的履行情况加以审计监督。
(三)审计的基本特征
审计的三个基本特征为:独立性、权威性、公正性,其中独立性是审计的本质特征,包括机构独立、人员独立、工作独立、经济独立。
二、审计的对象和目的
(一)审计对象审计对象指审计的客体,即审计监督的内容和范围。
审计客体特指为:国务院各部门、地方各级人民政府和财政金融机构;全民
所有制企业、事业单位和基本建设单位;中国人民解放军、人民团体;有国有资产的中外合资经营企业、中外合作经营企业、全民所有制与其他所有制联营企业等;在接受委托的条件下,被指定的集体所有制企业、外资企业等。审计对象的具体内容包括三项:
一是被审计单位的财政、财务收支及其有关的经营管理活动; 二是被审计单位的各种作为提供财政、财务收支状况及其有关经营活动信息载体的会计资料和其他资料;
三是被审计单位的内部控制制度。
(二)审计的目的:审计目的是指审计工作要达到的预期结果。我国审计的目的:维护财经法纪,改善经营管理,提高经济效益,促进廉政建设,保障国民经济健康发展。
(三)审计的职能:审计的职能是随着经济的发展而发展变化的。审计的基本职能有:经济监督、经济评价、经济鉴证。
1.经济监督
经济监督是存在于各种审计形式之中的一种固有职能,也是审计最基本的职能,国家审计的经济监督是对社会再生过程中生产、交换、分配和消费等宏观和微观经济活动的全面监察与督促。内部审计的经济监督是对本部门、本单位的会计记录和财务事项进行监督。民间审计的经济监督是代审计委托者对被审计单位的经济活动实行监督。
2.经济评价经济评价是通过审核检查,评定被审单位的计划、预算、预测、决策、方案是否先进可行,经济活动是否按照既定的决策和目标进行,经济效益的高低优劣,以及内部控制制度是否健全、有效等,从而有针对性地提出意见和建议,以促使其改善经营管理,提高经济效益。经济评价应该力求准确、实事求是。.经济鉴证经济鉴证是指通过审查鉴证,确定被审计单位的会计资料及有关经济资料是否真实、合法和合理,是否可以信赖,并作出书面证明。审计的经济鉴证职能突出表现在民间审计中。
审计基本职能之间的联系:经济监督是基础,经济评价和经济鉴证是经济监督的演进和发展
三、审计的作用
(一)审计的制约性作用
表现在:审计可以揭露损失浪费;可以揭露贪污舞弊,可以揭露失职渎职,可以加强廉政建设。
(二)审计的促进性作用表现在:督促受托经济责任的正确确定和切实履行;督促经济秩序的正常运行和经济利益的正确处理;督促经济效益的充分实现和社会效益的正当保障;督促经营管理的完善;督促加强宏观调控。
第二章审计的分类与方法
一、审计的分类
(一)审计的基本分类国家审计:是指由国家审计机关依法实施的审计。内部审计:是指本部门和本单位内部专职的审计机构或审
1.按审计主体分类人员依照所在部门和行政最高负责人的指令所实施的审计。部门和单位审计必须独立于财会部门之外。民间审计:是指经政府有关部门批准、注册的社会审计组织受委托人委托所实施的审计。财政财务审计:是指对被审单位财政或财务收支活动的真实性、合法性和合规性的审计。
2.按审计的内容财经法纪审计:是指被审单位贯彻执行国家财经政策、财经和目的的划分法纪情况所进行的专案审计。经济效益审计:是指被审单位经营成果和资金使用效果等所进行的审计,主要包括:业务经营审计、管理审计、绩效审计。经济责任审计:是指对企事业单位的法定代表人或经营承包人在任期内或承包期内应负的经济责任履行情况所进行的审计。
3.按审计机关或审计机构与外部审计:是指有被审计单位以外的国家审计被审单位的关系机关、部门审计机构或民间审计组织所实施的审计内部审计:由本单位或本部门的审计机构或审计人员实施的审计
(二)审计的其他分类
1.按审计范围分类:全部审计、局部审计、专项审计 2.按审计实施时间分类:事前审计、事中审计、事后审计 3.按审计执行地点分类:就地审计、送达审计 4.按审计动机分类:强制审计、任意审计
5.按审计是否通知被审单位分类:预告审计、突击审计
二、审计的方法
审计的方法是指完成审计任务,达到审计目的的手段。完整的审计方法体系,包括审计的基本方法和技术方法。
审计的技术方法包括审查书面资料的方法和证实客观事物的方法。
(1)顺序检查法
顺查法逆查法
1.审查书面详查法:适用于被审单位内部控制制度和核算工资料作质量较差的审计项目,以及经济业务的方法简单、会计资料较少的审计项目。
(2)范围检查法抽查法:适用于审计样本数目繁多的审计目审阅法:主要审查以下会计资料:原始凭证、记帐凭证、会计帐簿、会计报表和其它资料。在采用审阅法时要注意审查会计资料的合法性、合规性
(3)资料检查法核对法:主要进行证证核对、帐证核对、帐帐核对、帐单核对、帐表核对,表表核对。审阅法要和核对法结合使用。查询法:包括询问法和函证法。函证法有两种类型,即肯定式函证法和否定式函证法。分析法:是指通过对审计事项的相关指标对比、分析、评价,以便发现其中有无问题或异常情况,为进一步审计提供线索的一种审计方法。盘存法直接盘存法:是指由审计人员亲自到现场盘点实物,以确定其实有数额的方法。间接盘存法:是指审计人员通过观察盘点,借以确定实物实有数额的方法。调节法:主要应用于证实财产物资帐实是否相符,证实相关数据是否趋于一致。
2.证实观察法:是指审计人员亲临审计现场对被审单位的经济管理客观及业务活动进行实地观察,借以查明被审事项的事事物实真相的一种审计方法。它适用于观察内部控制制的方法:度的执行情况及观察经济业务的运作过程。鉴定法:是指通过物理、化学技术鉴别等手段来确定实物资产的性能、质量和书面资料真伪的一种方法。
第三章审计组织与审计人员
一、国家审计机关
国家审计机关是指代表国家依法行使审计监督权的行政机关,包括国务院和县级以上地方各级人民政府的审计机关。它具有宪法赋予的独立性和权威性。
(一)我国国家审计机关主要有以下两种:
.中央国家审计机关:审计署是我国最高国家审计机关,它按照统一领导、分级负责的原则组织和领导全国的审计工作。
2.地方国家审计机关:地方各级审计机关对上一级审计机关和本级人民政府负责并报告工作,审计业务以上级审计机关领导为主。
二、民间审计组织
民间审计组织是根据国家法律或条例规定,经政府有关部门审核批准、注册登记的会计师事务所。
(一)民间审计的业务范围
1.审计业务:包括审查企业会计报表,出具审计报告;验证企业资本,出具验资报告;办理企业合并、分立、清算事项中的审计业务,出具有关报告;法规、行政法规定的其他审计业务。
2.会计咨询:会计服务业务,包括设计财务会计制度及其有关的内部控制制度;担任会计顾问,提供会计、财务、税务和经济管理咨询;代理纳税申报;代理记帐;代办申请注册登记,协助拟定合同、章程和其他经济文件;培训财务会计人员;审核企业前景财务资料;资产评估。
3.其他法定审计业务:包括三资企业的验资、会计报表的审计;股份制企业的验资、改组审计,、中期、合并、分立及清算会计报表审计;企业对外报送的会计报表。
(二)中国注册会计师协会中国注册会计师协会是在财政部领导下,经政府批准成立的注册会计师的职业组织,它是注册会计师的全国性组织。它依法对民间审计进行行业管理,并依法接受财政部、审计署的监督、指导和管理。实施注册会计师的考试、注册,以及对注册会计师及其事务所的指导、监督和管理工作。中国注册会计师协会的职责为服务、协调、管理。
(三)审计人员 1.审计人员的职业道德
是指在审计实践中应当遵循的行为规范,是对审计人员思想意识、品德修养等方面所规定的基本要求。我国审计人员应遵循的职业道德,在审计法、审计人员守则、注册会计师职业道德守则中都作了明确的规定。
2.民间审计人员的职业道德:
指注册会计师职业品德、职业纪律、专业胜任能力及职业责任等的总称。根据《中国注册会计师职业道德基本准则》的规定,民间审计人员的职业道德包括五方面内容:一般原则、专业胜任能力与技术规范、对客户的责任、对同行的责任、其他责任,应遵循独立原则、客观原则、公正原则。
对客户的责任:(1)会计师事务所承接业务时,应与委托单位签订约定书,明确业务的范围、要求和双方各自的责任。注册会计师应恪守各项约定,按时按质完成所委托的各项业务。(2)注册会计师对于执业过程中得到的资料和情况,应当严格保守秘密。除非得到委托单位的书面允许或法律、法规要求公布者外,不得将任何资料和情况提供或泄露给第三者。(3)会计师事务所提供会计查帐验证业务时,应以工作量大小和专业要求高低为主要依据,按规定的标准收费。对同行的责任:
(1)配合同行工作;
(2)不得损害同行利益;
(3)不得雇佣正在其他会计师事务所执业的注册会计师;
(4)不得以不正当手段与同行争揽业务。其他责任(业务承接):注册会计师执行的各项业务,均应由会计师事务所统一接受委托。注册会计师及其他有关人员不得以个人名义承接业务。会计师事务所与委托单位之间的业务委托关系,应实行双向自愿选择的原则,不得以任何方式限定或干涉委托单位对会计师事务所的选择或会计师事务所在业务承接上的自主权。会计师事务所及其注册会计师在业务承接上:(1)不得有可能损害职业形象的行为;
(2)不得采用强迫、欺诈、利诱等方式招揽业务;
(3)不得对自身能力进行广告宣传以招揽业务;
(4)不得以向他人支付佣金等不正当方式招揽业务;
(5)不得向客户收取服务费之外的任何利益;
(6)不得允许他人以本所或本人的名义承接业务。
3.审计人员的法律责任:
审计人员的法律责任是指审计人员(主要指注册会计师)在履行职责过程中,因违约、过失或欺诈而导致委托单位或利益相关人损失而承担的法律后果。民间审计人员的法律责任种类:
责任形成的原因不同违约责任过失责任欺诈责任责任性质不同行政责任民事责任刑事责任民间审计人员法律责任的预防:①遵守专业标准和职业道德要求,保持应有的职业认真与谨慎;②谨慎选择委托单位,即只与正直的委托单位打交道,减少会计资料中存在舞弊的可能性;③建立、健全会计师事务所质量控制制度;④严格签订审计业务约定书,明确业务的性质、范围以及双方的责任;⑤深入了解委托单位的业务,以便合理地安排工作,及时发现错误;⑥提取风险基金或购买责任保险。在西方国家投保充分的责任保险是会计事务所一项极为重要的保护措施,尽管保险不能免除可能受到的法律诉讼,但能防止或减少诉讼失败时会计师事务所应当按规定建立职业风险基金,办理职业保险;⑦聘请懂行的律师。会计师事务所有条件的话尽可能聘请熟悉相关法规及注册会计师法律责任的律师。在执业过程中,如遇重大法律问题,注册会计师应同本所的律师或外聘的律师详细讨论所有潜在的危险情况并仔细考虑律师的建议;一旦发生法律诉讼,应请有经验的律师参与诉讼。第四章审计准则和审计依据
一、审计准则
审计准则,是指审计人员在实施审计工作时所必须恪守的行为规范的专业指南,也是判断审计工作质量的权威性准绳。(一)审计准则的基本内容一般公认审计准则,适用于民间审计实施的财务报表审计,主要包括三项:
1.一般准则:是指对审计人员任职资格和执业行为所作出的规则,主要用于对训练与能力、独立性、职业道德方面的约束。
2.工作准则:是指审计人员在实施审计行为时应遵守的规则,也称为审计的实施准则或审计的外勤准则,主要用于制订审计计划,内部控制制度的评审,收集甄别审计证据,编制审计工作底稿。
3.报告准则:是指对审计人员编制审计报告的原则、形式、内容所作出的规则,主要用于编写审计报告,运用审计报告的形式,规定审计报告内容。
(二)我国审计准则
1.国家审计准则:是指由审计署颁布的,指导国家审计人员实施审计工作时应遵守的行为规范。国家审计准则包括一般准则、工作准则、报告准则三部分。
2.独立审计准则:是指由中华人民共和国财政部制定颁布的,指导注册会计师执业时应遵守的行为规范。
独立审计准则体系具体包括三个方面,即独立审计基本准则、独立审计具体准则与实务公告、执业规范指南。
独立审计准则和独立审计实务公告是对注册会计师的法定要求,具有强制性,执业规范指南不具有强制性。
二、审计依据
审计依据是指查明审计客体的行为规范,是据以作出审计结论、提出处理意见和建议的客观尺度。审计依据与审计准则的关系是:
审计依据包含审计准则,审计准则是审计依据的重要组成部分。审计依据的特点是:
相关性、时效性、地域性。
审计人员选用审计依据时,应遵循以下原则:准确性原则、针对性原则、辩证性原则、有效性原则、可靠性原则。第五章审计程序 审计程序
是指审计人员在审计过程中所采取的步骤和行动,一般包括三个阶段,即:准备阶段、实施阶段、终结阶段。
一、审计准备阶段审计准备阶段是指从确定审计任务开始,到具体实施审计工作之前的整个准备过程。审计准备阶段是整个审计过程的基础。其工作内容包括以下方面:(一)明确审计任务,确定审计重点在此阶段,审计人员应做的工作主要有:下达审计通知书、签订审计业务约定书。民间审计组织在了解被审计单位的基本情况以后,考虑自身的业务胜任能力和独立性,并与委托人就审计业务的性质、审计范围达成共识后,才可签定审计业务约定书。审计业务约定书
是指民间审计组织与被审计单位共同签署的,以确认审计业务的委托与受托关系,明确委托目的、审计范围及双方应负责任等事项的书面文件。审计业务约定书具有经济合同性质,双方一经签字认可,就具有法律效力,双方应共同予以执行。
(二)编制审计计划
审计计划指注册会计师为了完成各项审计任务,达到预期的审计目标,在具体执行审计程序之前编制的工作规划。由于审计计划是对审计工作的一种预先规划,而在执行计划时,实际情况与预期的计划可能不一致,因此,需要及时对审计计划进行修订和补充。对审计计划的修订和补充,贯穿于整个审计工作的准备和实施阶段之中。审计计划分
总体审计计划:包括以下内容:被审单位概况,审计目的和范围,重要性水平的确定和审计风险的评估,重要审计领域和帐户,审计工作日程和时间安排,审计人员的指派及其他有关内容。具体审计计划:包括:审计目标、审计程序、执行人及执行时间、审计工作底稿及索引号及其他有关内容。编制审计计划应遵循以下步骤:了解被审单位的基本情况,分析重要性:重要性指被审计单位会计报表中错报或漏报的严重程度,这一程度在特定环境下可能影响会计报表使用者的判断或决策。重要性量化指标称作重要性水平,对重要性水平的判断,是注册会计师的一种专业判断。不同的注册会计师对同一会计报表的重要性的判断可能存在差异。考虑审计风险:审计风险指会计报表存在重大错误或漏报,而注册会计师审计后发表不恰当审计意见的可能性。审计风险包括:固有风险、控制风险和检查风险。审计风险之间的关系是:审计风险=固有风险×控制风险×检查风险编制审计计划
二、审计实施阶段
审计实施阶段是实现审计目标的中间过程,也是审计全过程的中心环节。
在此阶段主要做的工作有:进驻被审计单位,进一步了解被审单位的情况;对被审计单位的内部控制进行符合性测试;对被审计单位会计资料及其反映的经济活动进行实质性测试;收集审计证据,形成工作底稿。
三、审计终结阶段审计终结阶段主要内容有:整理评价审计证据,并将其作为编制审计报告的依据复核审计工作底稿正确处理期后事项:期后事项指会计报表日与审计外勤工作结束日期间发生的,以及审计外勤工作结束日到会计报表公布日发生的对会计报表产生影响的事项。期后事项很可能影响审计人员对被审计单位的审计意见,所以审计人员必须对期后事项予以充分关注。期后事项包括对会计报表有直接影响需调整的事项和对会计报表没有直接影响但应予以披露的事项,期后事项的审核应在整个审计工作即将结束前完成。关注或有负债:或有负债指由某一特定经济业务造成的,将来可能会发生某种意外情况,因而要由被审计单位负责承担的潜在损失。撰写审计报告后续审计
第六章审计证据与审计工作底稿
一、审计证据
审计证据是指审计人员在执行审计业务过程中采用各种方法获取真实证据,用于证实或否定被审单位会计报表所反映的财务状况和经营成果的公允性、合法性、一贯性的一切资料。整个审计过程就是收集、鉴定、整理和分析审计证据的过程。
(一)审计证据的特点
审计证据具有以下特点:相关性、重要性、客观性、足够性、可靠性。
相关性:指所收集的审计证据要同审计目标和所提出的审计意见有关。重要性:指审计证据对审计评价和审计结论有重要影响。充分有效的审计证据必须在事实的性质和数额两个方面对审计评价和结论有重要的影响。客观性:指审计证据必须是客观存在的事实,不能是主观虚构的产物。可靠性:指审计证据本身及其来源必须是真实可靠的,是依据法定审计程序和科学的方法取得的。足够性:也称充分性,是针对审计证据应有多少数量而言的,必须要有足够数量的证据来支持审计人员的审计意见。
(二)审计证据的分类 1.按证据形式分类实物证据:是指实物的外部特征和内在性能证明事物真相的各种财产物资。书面证据:是指以文字记载的内容来证明被审事项的各种书面资料。口头证据:是指审计人员向被审计单位职员或其他有关人员提问而得到的口头回答所形成的证据。环境证据:是指对审计事项产生影响的各种环境事实。2.按证据相关程度分类直接证据:是指对审计事项具有直接证明力,能单独、直接地证明审计事项真实性的证据。间接证据:是指对审计事项只起间接证明作用,需要与其他证据结合起来,经过分析、判断、核实才能证明审计事项真实性的证据。
3.按证据的来源渠道分类内部证据:是指从被审计单位内部取得的证据。外部证据:是指从被审计单位以外取得的证据。审计人员自己获得的证据:是指审计人员在审计过程中自行获得的证据。(三)审计证据的形成过程 1.审计证据的收集在收集审计证据时,必须遵循一定要求和基本原则。收集审计证据应满足充分性、成本效益性、重要性、相关性的要求。在进行收集时,可采用检查、监盘、观察、查询与函证、计算、分析性复核等方法。分析性复核法是指审计人员对被审计单位重要的比率或趋势进行的分析,对分析中发现的差异,特别是对异常变动进行调查,必要时要适当追加审 计程序。常用的分析性复核的方法有:比较分析法、比率分析法和趋势分析法。
比较分析法:是指通过某一会计报表项目与其既定标准的比较来获取审计证据的技术方法,包括本期实际数与计划数、预算数或注册会计师的计算结果之间的比较,本期实际与同业标准之间的比较等。比率分析法:是指通过对会计报表中某一项目与其相关的另一项目相比所得到的值进行分析,以获取审计证据的技术方法。趋势分析法:是指通过对连续若干期某一会计报表项目的变动金额及其百分比的计算,分析该项目的增减变动方向和变动幅度,以获取有关审计证据的技术方法。
2.审计证据的鉴定所收集到的证据并非都有证明力,因而必须对其从客观性、充分性、相关性、可靠性、重要性、经济性等方面加以鉴定。
3.审计证据的综合综合审计证据使审计证据成为有序的、系统化的、彼此联系的证据,以对被审计单位进行评价,得出正确的审计意见。
二、审计工作底稿
(一)审计工作底稿的概念审计工作底稿是指审计人员在审计工作过程中形成的全部审计工作记录和获取的资料。审计工作底稿是审计证据的载体,可作为审计过程和结果的书面证明,也是形成审计结论的依据。
(二)审计工作底稿的作用
1.有利于组织协调审计工作。
2.有利于形成审计结论和发表审计意见:审计结论和审计意见是根据审计人员获取的各种审计证据及审计人员一系列的专业判断形成的,而审计人员所搜集到的审计证据和所做出的专业判断,都完整地记载在审计工作底稿中。
3.有利于审计工作质量控制:会计师事务所进行审计质量控制,主要是指导和监督注册会计师选择实施审计程序,编制审计工作底稿,并对审计工作底稿进行严格复核;注册会计师协会或其他有关单位依法进行审计质量检查,也主要是对审计工作底稿的检查。因此,没有审计工作底稿,审计质量的控制与检查就无法落到实处。
4.有利于减轻审计人员的责任及评价审计人员的工作成绩。审计人员专业能力的大小、工作业绩的好坏,主要体现在对审计程序的选择、执行和有关的专业判断上,而审计人员是否实施了必要的审计程序,审计程序的选择是否合理,专业判断是否准确都必须通过审计工作底稿来体现和衡量。
5.有利于未来审计业务的开展。审计业务有一定的连续性,同一被审计单位前后的审计业务具有众多联系或共同点。因此,当的审计工作底稿,对以后审计业务具有很大的参考或备查作用。(三)审计工作底稿的分类按审计工作底稿的类别分类为:综合类工作底稿业务类工作底稿备查类工作底稿
(四)审计工作底稿的结构和内容审计工作底稿没有标准的格式,任何工作底稿都应具备以下基本内容:被审单位名称、审计项目名称、审计项目的时间或期间、审计记录、审计标识及其说明、审计结论、索引号及页次、编制者姓名及编制日期、其它应说明事项。(五)审计工作底稿的审核审核审计工作底稿主要是为了减少人为误差,降低审计风险,协调审计进度,提高审计效率,便于管理人员对审计人员工作业绩考评。审计工作底稿审核采用三级复核制度,即会计师事务所建立以主任会计师、部门经理和项目经理为复核人,对审计工作底稿进行逐级复核。通过三级复核,审计工作底稿得到充分地补充和完善,为审计报告提供了强有力的保证。
第七章内部控制的评审
一、内部控制制度
内部控制制度是指为了保护具有组织结构的经济主体的资产完整,保证会计资料和其他有关资料的真实性和正确性,提高经营效率,促进经营方针的贯彻实施,在经济主体的内部建立或采用的一系列相互联系、相互制约的方法、程序和行为规则。
内部控制五要素:控制环境、风险估价、控制活动、信息交流、监督。
内部控制按工作范围分为:内部会计控制和内部管理控制。
二、内部控制的调查调查内部控制可采用调查、询问的方法。调查内容包括:界定职权范围、不相容业务分工、内部会计控制、行政控制。内部控制的描述可以采用文字描述法、调查表法、流程图法,应当注意各种方法的适用范围及其优缺点。
三、内部控制的测试与评价
内部控制的测试与评价主要包括:内部控制的初评、内部控制的符合性测试及内部控制的总评
(一)内部控制符合性测试符合性测试的内容包括业务测试和功能测试,是在对被审单位内部控制进行初评的基础上,为证实该控制是否在实际工作中得以贯彻执行,以及其效果是否符合设立该控制的初衷而进行的测试活动。(二)内部控制的总评内部控制总评是在符合性测试的基础上对内部控制进行的总体评价,主要包括依据程度评价和强弱点评价等。依据程度评价的种类包括:高信赖程度评价、中信赖程度评价及低信赖程度评价。内部控制总评的要点有:健全性、科学性、层次性、适用性、经济性、协调性、有效性、系统性第八章审计抽样
审计抽样是指审计人员在实施测试时,从被审计总体中选取一定数量的样本进行审计,通过样本的审计结果来推断被审计总体特征的一种审计技术方法。抽样审计通常可运用于逆查、顺查、函证盘点等审计程序,不适用询问、观察、分析性复核等程序。
一、审计抽样的种类 从技术上分类为统计抽样是根据概率论的原理确定抽查的样本量,随机选取样本,并由样本的审查结果推断总体的审计抽样技术。非统计抽样是指根据审计人员的执业经验和判断能力来确定需要抽查的样本量,选取样本和推断总体的审计抽样方法。从内容上分类为属性抽样:是指在精确度界限和可靠程度一定的条件下,为了测定总体特征的发生频率而采用的一种方法。属性抽样用于内部控制的符合性测试,目的是确定被审计单位的内部控制的有效程度。变量抽样:是指用来估计总体金额而采用的一种方法。变量抽样用于帐户余额或报表项目的实质性测试。
二、样本的设计与选取
(一)样本设计样本设计是指审计人员在具体计划指导下,围绕样本的性质、样本数量、抽样方法、抽样工作质量要求所进行的计划工作。在设计样本时,要考虑以下基本因素: 1.审计目的。
2.审计对象总体与抽样单位。审计对象总体是指审计人员为形成审计结论,准备采用抽样方法审计的经济业务及有关会计或其他资料的全部项目。抽样单位是指构成审计对象总体的个别项目。在确定抽样单位时,要考虑被审计单位的实际情况和具体的审计目的。
3.抽样风险与非抽样风险。抽样风险是指审计人员依据抽样结果得出的结论与审计对象总体特征不相符合的可能性。非抽样风险是指审计人员因采用不恰当的审计程序或方法,错误运用审计证 据等而未发现重大误差的可能性。
4.可信赖程度。可信赖程度是指预计由样本的推断结果能够代表总体特征的百分比,如抽样结
果有95%的可信赖程度,就是指抽样结果有95%的可能性代表了总体的特征,有5%的可能性没有代表总体的特征。
5.可容忍误差。可容忍误差是指审计人员认为抽样结果可以达到审计目的而愿意接受的审计对象总体的最大误差。在进行符合性测试时,可容忍误差是审计人员不改变对内部控制的可信赖程度,所愿意接受的最大误差。在进行实质性测试时,可容忍误差是审计人员能够对某一帐户余额或某类经济业务总体特征做出合理评价,所愿意接受的最大金额误差。
6.预期总体误差。
预期总体误差是指审计人员应根据前期审计所发现的误差,被审计单位经营业务和经营环境的变化,内部控制制度的评价及分析性复核的结果等,来确定审计对象总体的预期误差。如果存在预期误差,则应当选取较大的样本量。
7.分层。
分层是指将某一审计对象总体划分为若干具有相似特征的次级总体的过程。审计人员可以利用分层着重审计可能有较大错误的项目,并减少样本量,如为函证应收帐款,可以将应收帐款账户按应收帐款帐户金额的重要性分层,分为三层,即帐户金额在50000元以上的,在10000元~50000元以内的,10000元以下的。对应收帐款帐户金额在50000元以上的帐户进行全部函证。
(二)样本的选取在选取样本时,可采用以下方法:利用随机数表选样、系统选样、分层选样、整群选样、金额单位选样等。
三、属性抽样属性抽样用于内部控制符合性测试,其目的是确定被审单位的内部控制的有效程度。属性抽样的方法有:
1.固定样本量抽样:其步骤为:确定审计目的和抽样总体;定义“违反”的标准,确定相关因素;确定样本量;选取并审查样本。
2.停—走抽样:其步骤为:确定审计目的与抽样总体,定义“违反”的标准,确定抽样要求的可靠程度和可容忍的最大误差率,确定初始样本量。在采用停—走抽样法中,注意一个公式的运用,即:风险系数=样本量×总体的最大误差率
四、变量抽样
变量抽样用于帐户余额或报表项目的实质性测试,其目的是通过样本审查的结果估算被审总体的数额,常用于应收帐款、存货或费用等实质性审查。变量抽样的方法主要有:单位平均数估计抽样、差额估计抽样及比率估计抽样。
五、抽样结果的评价评价抽样结果的步骤为: 1.分析样本误差。2.判断总体误差。3.重估抽样风险。4.形成审计结论。
第五篇:信息系统安全管理制度
信息系统安全管理制度
一、总则
1、为加强公司网络管理,明确岗位职责,规范操作流程,维护网络正常运行,确保计算机信息系统的安全,现根据《中华人民共和国计算机信息系统安全保护条例》、等有关规定,结合本公司实际,特制订本制度;
2、计算机信息系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统;
3、公司由微机科专门负责本公司范围内的计算机信息系统安全管理工作。
二、网络管理
1、遵守国家有关法律、法规,严格执行安全保密制度及公司信息保密协议相关条款,不得利用网络从事危害公司安全、泄露公司秘密等违法犯罪活动,严格控制和防范计算机病毒的侵入;
2、禁止未授权用户或外来计算机接入公司计算机网络及访问、拷贝网络中的资源;
3、任何员工不得故意输入、传播计算机病毒和其他有害数据,不得利用非法手段复制、截收、篡改计算机信息系统中的数据;
4、计算机各终端用户应保管好自己的用户帐号和密码。严禁随意向他人泄露、借用自己的帐号和密码;计算机使用者更应以30天为周期更改密码、密码长度不少于8位。
三、设备管理
1、IT设备安全管理实行“谁使用谁负责”的原则(公用设备责任落实到部门)。严禁擅自移动和装拆各类设备及其他辅助设备;严禁擅自请人维修;严禁擅自调整部门内部计算机信息系统的安排;
2、设备硬件或重装操作系统等问题由微机科统一管理。
四、数据管理
1、计算机终端用户计算机内的资料涉及公司秘密的,应该为计算机设定开机密码或将文件加密;凡涉及公司机密的数据或文件,非工作需要不得以任何形式转移,更不得透露给他人。离开原工作岗位的员工由所在部门经理负责将其所有工作资料收回并保存;
2、工作范围内的重要数据(重要程度由各部门负责人核定)由计算机终端用户定期更新、备份,并提交给所在部门负责人,由部门负责人负责保存;
3、计算机终端用户务必将有价值的数据存放在除系统盘(操作系统所在的硬盘分区,一般是C盘)外的盘上。计算机信息系统发生故障,应及时与微机科联系并采取保护数据安全的措施;
4、终端用户未做好备份前不得删除任何硬盘数据。对重要的数据应准备双份,存放在不同的地点;光盘保存的数据,要定期进行检查,定期进行复制,防止由于磁性介质损坏,而使数据丢失;做好防磁、防火、防潮和防尘工作。
五、操作管理
1、凡涉及业务的专业软件由使用人员自行负责。严禁利用计算机干与工作无关的事情;严禁除维修人员以外的外部人员操作各类设备;
2、微机科将有针对性地对员工的计算机应用技能进行定期或不定期的培训,培训成绩将记入员工绩效考核;由微机科收集计算机信息系统常见故障及排除方法并整理成册,供公司员工学习参考。
3、计算机终端用户在工作中遇到计算机信息系统问题,首先要学会自行处理或参照手册处理;若遇到手册中没有此问题,或培训未曾讲过的问题,再与微机科或软件开发单位、硬件供应商联系,尽快解决问题。
六、网站管理
1、公司网站由微机科提供技术支持和后台管理,由公司相关部门提供经审核后的书面和电子版网站建设资料。
七、处罚措施
1、计算机终端用户擅自下载、安装或存放与工作无关的文件经查实后,根据文件大小第一次按10元/100M(四舍五入到百兆)进行罚款,以后每次按倍数原则(第二次20元/100M,第三40元/100M,第四次80元/100M,以此类推)处罚。凡某一使用责任人此种情况出现三次以上(包括三次),将给予行政处罚。
2、有以下情况之一者,视情节严重程度处以50元以上500元以下罚款。构成犯罪的,依法追究刑事责任。(1)制造或者故意输入、传播计算机病毒以及其他有害数据的;
(2)非法复制、截收、篡改计算机信息系统中的数据危害计算机信息系统安全的;
(3)对网络和服务器进行恶意攻击,侵入他人网络和服务器系统,利用计算机和网络干扰他人正常工作;
(4)访问未经授权的文件、系统或更改设备设置;
(5)申请人在设备领用或报废一周之内未将所涉及到的表单交微机科;(6)擅自与他人更换使用计算机或相关设备;
(7)擅自调整部门内部计算机的安排且未向行政部备案;
(8)日常抽查、岗位调动、离职时检查到计算机配置与该计算机档案不符、IT设备卡被撕毁、涂画或遮盖等;(9)工作时间外使用公司计算机做与工作无关的事务;(10)相同故障出现三次以上(包括三次)仍无法自行处理的;
(11)因工作需要长时间(五个小时以上)离开办公位置或下班后无故未将计算机关闭;
3、计算机终端用户因主观操作不当对设备造成破坏两次以上或蓄意对设备造成破坏的,视情节严重,按所破坏设备市场价值的20%~80%赔偿,并给予行政处罚。
行政部微机科
