安全审计平台范文（精选8篇）

安全审计平台 第1篇

针对日趋复杂的网络攻击手段,攻击模式的分布式[4]、协同化特征日益凸显,介绍的安全审计功能,其动态的、分布式的安全审计技术,完全可以承担起大型分布式网络环境下的安全审计任务。实现审计中心的资源协同,审计[5]效率和资源利用率得到了有效的提高,为管理人员提供一种高效的审计方法。

1 安全审计系统

近年来,许多专家和学者在安全审计技术方面开展了较多的研究工作,多种类型的审计和安全验证系统随之产生。这些安全审计系统通常由多个分布在网络的不同位置的模块组成,这些模块分别完成数据采集、分析和信息反馈等功能。

本系统采用的技术是分布式的数据采集[6],同集中式的数据分析相结合的模式,完成系统的安全审计功能,其模型结构如图1所示。

数据采集代理是独立运行的软件实体,它负责审计数据的采集,包括用户访问追踪、数据库操作日志、Session追踪日志、内存占用日志、动态日志、静态日志等,并将审计数据发送到数据存储中心;数据存储中心负责审计数据的存储与维护,并在必要时向数据分析中心提供审计数据;数据分析中心负责对数据存储中心传输来的审计数据进行综合分析,通过分析来发现一些用户终端中资源和权限滥用的迹象以及对用户终端的入侵行为。对用户访问追踪和Session追踪日志的分析,可以实现对系统用户的审计;用户管理界面为用户提供察看分析结果的平台,并为用户提供参数配置,方便用户对该系统的使用。

2 安全审计功能

基于Saas平台的安全审计功能是整个平台安全管理中心的一部分,该功能的设计与实现保证了Saas平台的安全运行。系统主要由控制中心和审计中心组成,其体系结构如图2所示。系统采集的日志信息主要包括内存占用日志、用户访问追踪、Session访问追踪、SQLMonitor、基础日志、动态日志。

2.1 设计原则

新型的网络安全审计[7]体系,建立了一种高效、可靠的审计工作架构。该工作架构必须实现如下功能:

(1)资源协同的审计工作模型,完美地实现了对审计体系的处理性能的提高,在优化资源的利用率的同时改善了体系对网络变化情况的适应能力。

(2)在保证体系自身的安全性的同时不影响被保护网络的运行,控制中心采用严格的管理机制,控制分布式审计中心进行协同工作的方式。

2.2 安全审计功能体系架构

基于上述原则,提出一种分布式的安全审计体系,其通用结构由控制中心、审计中心及数据采集代理构成。控制中心和审计中心通过信息交互,实现分布式的资源统筹的审计模式,审计中心的体系基本架构如图2所示。

数据采集代理记录和采集[8]用户操作结果,生成用户追踪日志,交给数据存储中心,并通过安全通信信道将数据传送到审计中心,安全信道由网络监控系统进行监控,保证信道的安全性和可靠性。

数据采集代理域里的对象由审计中心进行监控,提供一个日志存储、分析和处理平台,记录相关的安全活动,并及时将工作和资源情况汇报到控制中心。控制中心检查审计中心的状态反馈,及时调整审计中心的工作。根据审计资源和管理策略调整审计任务,提高审计效率和资源利用率。

2.3 数据采集代理

2.3.1 内存占用日志

数据采集代理根据用户登录系统后对相关模块进行操作,对该进程进行所开销的内存占用信息进行采集,如内存增量、开始内存增量、结束内存增量、开始时间、结束时间、开始行、结束行等信息,然后通过安全通信信道将日志转储到审计中心,进行审计分析。

2.3.2 用户访问追踪

数据采集代理对使用该平台的用户进行访问追踪,记录用户姓名、用户编码、用户IP、登录时间、SessionId等信息,同事记录系统用户的操作日志,如执行操作的时间、次数、操作的行以及数据库应用信息等进行采集,然后通过安全通信信道将日志转储到审计中心,进行审计分析。

2.3.3 数据库访问监控

数据采集代理对访问该平台数据库[9]的用户信息进行采集,记录用户姓名、用户编码、用户IP、操作时间、SessionId、执行次数、数据库连接、自动提交、是否成功等信息进行采集,安全管理中心通过安全通信信道将这些信息转储到审计中心,根据需要进行分析处理。

2.4 审计中心

网络安全审计中心由数据采集、日志收集、数据库管理、协议分析和数据处理计算等模块组成。

各种审计分析功能的基础是数据捕获和日志管理。数据采集的实现依赖于网络监控[10]数据采集和生成模块,取出审计对象集,依据时间、大小将对象集使用安全通信信道传送到审计中心。对象集数据包通过解析网络协议,经过相关分析后存入数据库。

审计分析结果和挖掘[11]主机的工作日志记录至数据库,处理计算中心从数据库提取数据记录进行分析处理,多个分布式审计中心通过服务器与控制中心进行信息交互,协同监测审计对象。

2.5 控制中心

控制中心为审计管理而设计,由管理者、Web浏览器等组成,其设计结构如图3所示。

管理者通过信息认证后利用Web浏览器访问控制中心,进而对审计中心的审计工作、设备资源等进行管理。用户登录时,管理中心对用户登录行为进行安全校验,查询用户登录时所使用的网络、登录IP等信息,并查询登录的用户是否持有安全令牌。

3 安全审计系统功能

具备数据分析技术和危险入侵[12]检测技术的安全审计系统具备如下功能:

(1)记录与再现:要求审计系统能够记录系统中所有的相关事件,收集各个模块及系统的日志数据并集中存储,数据采集代理对操作系统的产生的日志进行多方位的采集,针对不同用户访问系统的权限的不同,操作日志以不同的格式对其内容进行记录;同时,如果有必要,应该能够再现产生某一系统状态的主要行为。

(2)多层次的危险入侵检测:审计系统应该对系统中若干关键点收集信息并对其进行分析,发现违反安全策略的网络入侵企图和未知的攻击行为,保证系统的安全。

(3)入侵报警:当攻击现象出现时,可以及时提出告警并采取措施阻止入侵。

(4)系统进行安全评估:通过对日志记录的有效分析,分析系统的安全状态和安全[13]等级,并以既定的指数、等级做出定量表示,最后根据定量值得大小决定采取预防或防护对策,从不同角度对审计系统进行全面的评估,使各级用户对系统自身的安全级别有着较为清醒的认识。

4 结语

针对防止大规模的网络入侵问题,并克服网络负载过大问题和集中式安全审计体系瓶颈问题,提出了一种高效的基于大规模网络平台的安全审计体系,实现了提高安全审计体系的整体处理能力,并给出了系统的结构设计。该模型可以实现审计代理间通过控制中心的协调有效完成交互审计,协同完成安全审计任务。通过实际的实验和运用,对该体系的功能进行详尽的解释和说明,证明了这种体系可以有效地提高审计效率和平均资源利用率。

摘要：定义了一种分布式数据采集与集中式的数据分析相结合的安全审计系统,检测网络平台中存在的不安全因素,记录Saas平台的运行状况。系统既实现了Saas平台的安全审计功能,又为该平台采取进一步的安全措施提供了依据。

积极争创一流共建审计事业发展平台 第2篇

在市委、市政府的领导下，市审计局以“三个代表”重要思想为指导，紧紧围绕全市经济工作中心和审计工作的实际开展机关党建工作，充分发挥党员队伍的优势，把党建工作融合在审计工作之中，使机关党建工作有地位、有制度、有活动、有成效，有力地促进了审计事业的全面发展。特别是今年以来，认真贯彻

市委组织部、市直机关工委关于深入开展争创一流活动要求，紧密结合审计工作实际，积极开展党支部工作争创一流活动，促进了机关建设和审计工作的有效开展，把争创一流活动落到了实处，取得了显著成果，为维护财经秩序、促进廉政建设、服务改革和经济社会发展，振兴老工业基地，建设大大连做出了新的贡献。

一、学习贯彻精神，切实加强领导，明确目标和责任

全市党支部建设工作会议和市直机关党建设工作会议结束后，我们及时传达会议精神，组织党员认真学习《大连市属机关党支部开展争创一流活动实施方案》，对照方案要求和先进单位的经验找差距，明确努力方向，制定具体措施。在各支部深入广泛讨论的基础上，制定了《大连市审计局党支部争创一流活动实施方案》。健全了组织领导机构，明确了局党组书记为第一责任人，机关党委负责全局争创活动，党支部书记是本支部的责任人，要身先士卒具体抓好落实。明确了争创活动的11项目标、9项基本措施和具体方法步骤，明确把争创活动纳入岗位目标责任制、公务员考核和评先创优的主要内容，在全局党员干部中形成了积极争创、同心同德、齐抓共管、一级抓一级、层层抓落实的机制,形成了浓厚的争创一流的局面。

二、加强班子建设，局领导率先垂范创一流

“火车跑的快，全靠车头带”，争创一流，开创审计工作新局面，首要的是搞好领导班子建设。在抓班子建设中，我们做到“三个注重”。一是注重领导班子成员的思想建设。党组成员带头学习政治理论，实践“三个代表”要求，坚持每月一次中心组学习制度，并且认真自学，写出心得体会和有关理论文章，不断探索新情况、研究新问题，不仅明确了当前机关建设和审计工作的方向，找准了审计工作为宏观调控服务的切入点，而且增强了审计为促进改革、发展、稳定大局服务的自觉性，使审计工作服从和服务于振兴老工业基地和建设“大大连”的大局。二是注重抓好党的组织建设。按照党的组织工作程序和要求，我局适时进行了机关党委和处室支部的换届改选工作，把党性观念强、政治素质好和工作能力强的干部充实到党建队伍中来，形成了党建工作的坚强组织力量。在日常党建工作中，局党组充分发挥机关党委的中坚作用，大力支持机关党委工作，不仅在党建工作方面给予时间和经费保证，而且把党建工作作为局机关目标管理考核的重要内容，增强了党建工作的力度。三是注重以身作则，廉洁自律。班子成员自觉做到“三严”，即：严格要求，要求大家做的，自己首先做到；禁止别人做的，自己坚决不做。严格监督，班子成员向全局同志做出了“从我做起，对我监督，向我看齐”的承诺，把班子自觉置于群众的监督之下。严格管理，健全各项监督制度，先后制定和完善了《局党组议事规则》、《加强廉政建设的实施意见》、《关于加强和改进机关作风建设的实施意见》等规章制度，实现了党组内部监督、党内监督和群众监督相结合。我们坚持进行民主评议领导干部，局领导干部参加所在支部民主评议党员活动，为全体审计干部做出了表率。同时，我们每年在局机关和社会有关单位开展两次征求意见活动，采取发征求意见函或邀请社会有关单位到我局座谈等形式，接受局机关全体干部及社会各界对我局领导班子成员的监督。

三、落实党支部工作规范，努力增强党支部的工作活力

处室党支部是机关党建工作的基础，新时期对基层党支部工作提出了更高要求，局党组和机关党委十分重视处室党支部工作，组织党支部认真落实《大连市直属机关党支部工作规范》，坚持党支部工作的经常性和有效性，认真组织好党支部书记、入党积极分子培训，认真做好发展新党员工作，充分发挥党支部战斗堡垒作用和党员的先锋模范作用，不断提高了党建工作能力。坚持支部书记每季度汇报一次党建工作情况和党建工作述职制度，把支部工作纳入处室工作考核内容，坚持每季度和支部工作检查和考核制度，支部工作不达标不能评为先进处室，使党支部和全体党员进一步提高了党建工作认识，增强了支部工作规范化建设的自觉性，明确了“抓党建促工作、抓思想转作风”的努力方向，使支部工作充满了活力，在争创一流工作中充分发挥了基础性和生力军作用。

四、狠抓理论学习，全面提高党员干部的思想政治素质

安全审计平台 第3篇

因此,建设主机监控与审计平台,采用先进的内网管理技术手段主动降低网络安全风险,同时注重内网安全体系建设、有效防范源自内部的安全问题,其意义较之于外网安全防范更为重大。

1技术手段

企业内网信息外泄主要途径集中于移动存储介质拷贝、计算机外设端口输出、违规连接互联网传输、非法接入企业内网窃取等,因此,主机监控与审计平台主要以移动存储介质的使用控制、端口设备使用管理、违规外联告警、网络准接入控制、操作日志审计为管理对象,基于Windows操作系统,利用广泛使用的高级程序设计语言及数据库构建技术来实现,主要应用以下技术手段:

(1)功能开发:利用一种面向对象、解释型、动态数据类型的高级程序设计语言-Python,实现主机监控与审计功能开发。Python语言非常干净,设计优雅,具有出色的模块化特性。

(2)数据库管理:利用成熟的、高性能的开源数据库系统-My SQL实现数据的结构化管理,并利用结构化查询语言-SQL存取数据以及查询、更新和管理数据库。

(3)外设端口控制:运用注册表控制、中间层驱动、驱动程序拦截、I/O中断控制、线程注入等技术手段,对计算机外设端口进行启停控制。定时检查注册表、进程运行状态,一旦有异常现象,自动进行修复。

(4)移动存储设备管理:通过获取移动存储设备驱动信息、设备序列号,实现设备的逻辑认证,以控制存储设备的使用。

(5)网络准接入限制:IEEE802.1x协议是一种基于端口的网络接入控制协议,“基于端口的网络接入控制”是指在局域网接入设备的端口这一级,对所接入的用户设备进行认证和控制。IEEE 802.1x协议可为每个通过认证的用户建立专用逻辑的认证通道,该逻辑通道无法被其他用户使用,因此不存在端口打开后被其他用户利用问题。

(6)违规连接互联网监测:通过发包探测技术,实时、准确地检测复杂网络环境下内外网线的各种链路连接,包括交换设备接入和直连线对等网接入等。实时监视通过使用AD-SL、无线网卡、手机连接等多种方式的拨号上网行为。

(7)审计信息收集:实时监控客户端设备进程启动与停止活动,并捕捉进程启动参数,记录目录和文件属性变化、USB端口设备插拔信息,并捕捉客户端Arp变化信息等。

(8)客户端与操作系统:客户端核心采用深度嵌入系统的模式,与Windows深度绑定,可对操作系统进行全面接管,安全模式下同样可以监控。操作系统启动后,客户端以服务的形式在后台启动。

2部署方案

主机监控与审计平台主要部署于内网系统,采用C/S结构,整体分为三层架构:数据管理层、用户界面层、中间层。这三层结构在层与层之间相互独立,任何一层的改变不会影响其他层功能。系统主要由服务端、客户端构成。

服务器端上主要部署管理控制台及数据库系统,实现对客户端的集中管理,负责在线、离线策略制订与分发、终端登记及控制、移动存储及外部设备认证、审计信息收集、数据存储等功能。

客户端是运行在终端上的管理引擎;负责对计算机终端的安全管理,记录计算机终端用户行为并与管理服务器进行通信。它深入系统内核,在任何模式下不可删除、不可停止。客户端第一次成功连接网络后,主动从服务器下载在线及离线策略。如果客户端断网使用,离线策略即时生效,并具有与在线策略同等权限,可实现计算机离线监管与控制。

局域网内部署的交换机需采用网管型二层或三层交换机,要求支持IEEE802.1x协议,可通过其Web管理界面或利用Telnet命令行方式对指定端口认证和控制。

3安全管理功能

3.1移动存储介质管理

移动存储介质以其使用方便、存储量大、隐蔽难以防范的特点,成为内部网络泄密的主要途径。加强移动存储介质的风险分析和风险管理已成为有效保障内网中信息安全的重要工作。

移动存储介质管理功能通过登记介质硬件信息来实现介质识别,可针对每个介质使用方式及接入内网的权限进行配置,并将相关信息记录到平台数据库中及下发到每个客户端上。当介质插入客户端接口时,驻后台服务自动比对介质信息数据库,允许或拒绝介质在终端上使用,并弹出窗口温馨提示。

3.2计算机外部端口管理

层出不穷的外设端口增加了泄密的途径,针对这些泄密途径,结合平台端口管理功能对外设端口进行控制及监测使用情况,可实现对计算机的光驱、软驱、调制解调器、串行通信口、并行通信口、本地打印机、无线网卡、蓝牙、红外等设备的启停管理,借此实现封死泄密出口,保障数据信息安全。

3.3计算机准接入限制

如果企业内网不做任何安全认证,外来用户私自接入网络就不受任何限制,外来接入往往会影响到公司内网的正常运行,对内网信息安全造成很大的威胁。计算机准接入限制功能主要针对外来计算机接入网络的行为做控制,防止非法接入。通过在网络中部署认证服务器及支持IEEE802.1x协议的交换机设备,终端接入网络前通过已安装的客户端程序提交认证信息,由服务器匹配有关记录来判断是否允许用户接入内部网络,从而实现计算机终端网络接入控制功能。

3.4用户身份认证

基于Windows底层内核开发,完全接管计算机登录界面,提供用户普通登录和特殊登录两种方式:使用普通登录就和正常登录计算机一致,输入密码即可登录计算机;使用特殊登录方式可结合USB Key登录。USB Key是一种USB接口的硬件设备,内置智能卡芯片,采用一次一密的认证模式,使用USB Key内置的密码算法实现对用户身份的认证,很好地解决了安全性和易用性之间的矛盾。通过登录身份认证,可以保证非授权人员不能登录内网用户终端,对于终端边缘登录有最大的控制权限。

3.5违规外联互联网告警

违规外联使原本封闭的系统环境暴露在互联网中,内部网络将面临病毒、木马、非授权访问、数据泄密、数据被篡改等多种安全威胁。一旦监测到用户终端违规连接互联网行为,立即阻断与互联网连接,并生成行为审计及告警信息发送到服务器上。告警方式包括:短信告警、邮件告警和管理台告警。便于能够让管理员及时收到违规告警信息,进而能够及时阻止安全事件的发生。

3.6计算机操作行为的审计

系统可针对收集的终端信息进行整理,并提供多层次、多级别的系统审计报告,如安全事件分析报告、计算机配置报告、运行状况报告、安全现状和安全趋势预警报告,从而辅助管理员进行已有网络计算资源调配,并对将来进行网络资源投资提供决策能力。

4管理员权责分配

为进一步提高内网数据安全,在管理上应引入三员管理制度,将网络管理员划分为:安全管理员、安全操作员、安全审计员。其各自职责如下:

(1)安全管理员:负责用户增删、群组编辑、功能模块配置、管理员等系统配置维护。

(2)安全操作员:负责终端策略配置、授权、日志查询及服务器的配置。

(3)安全审计员:负责所有审计信息的查看,包括管理员操作日志。

为保证安全管理员、安全操作管理员和安全审计员能够充分发挥实效作用,平台开发建设过程必须考虑该方面的需求,在服务器端管理控制台提供相应的管理员账号,以及权限划分和审计日志功能。在平台设计过程中应避免超级用户,即该用户具有完全的资源访问权限。对于一般用户的权限,必须按照最小授权原则进行划分,将其权限设定在完成工作所需的最小授权范围内。

5预期使用效果

企业建设主机监控及审计平台可针对网络安全事件从开始、到事发过程的跟踪、以及安全事件的事后追溯和查处,全程管理整个网络运行过程,具备“事前防范,事发跟踪,事后查处”的全程管理能力,可有效帮助企业极大地提升信息安全管理水平,强化信息安全及网络管理的力度与深度。

6结语

建设主机监控及审计平台仅是多种保障内网信息安全措施中的一部分,为了更好地解决内网的安全问题,需要有更为开阔的思路看待内网的安全问题,同时应持积极主动的态度来面对来自安全的挑战。提升内网安全管理水平,健全的内网安全治理制度及措施是保障内网安全必不可少的措施。

摘要：在企业实现信息化过程中,做好内网信息安全是当前不容忽视的问题。建设主机监控与审计平台,可主动有效地降低网络安全风险,使IT管理模式从被动式转换为主动式、预防性的管理模式,保证企业内网信息得到安全保护,为企业未来发展保驾护航。

关键词：主机监控与审计技术,信息安全,信息化建设

参考文献

[1][挪]Magnus Lie Hetland.Python基础教程[M].2版.司维,曾军崴,谭颖华,译.北京:人民邮电出版社,2014:45.

[2]殷人昆.实用软件工程[M].3版.北京:清华大学出版社,2010:105.

[3]唐汉明.深入浅出My SQL:数据库开发、优化与管理维护[M].2版.北京:人民邮电出版社,2014:47.

[4]马宏斌.数据通信与网络协议[M].北京:清华大学出版社发行部,2015:78.

安全审计平台 第4篇

一、云审计的概念

关于云审计的概念定义与范围界定一直存在着很大的争议。有学者认为云审计就是联网审计的一种发展, 是审计人员利用网络等信息化手段实现数据的传输、分析与合作。也有学者把云计算对于审计的影响比作一个世纪前的电力革命。云计算之于云审计就如同公共电厂之于用电个体。通过云计算、云存储来实现审计资源的优化配置, 使得审计资源像电力资源一样公开流通, 降低审计成本。也有学者简单地把云审计定义为“审计+云计算=云审计”。

事实上, 云审计一词自出现以来其具体含义也一直是业界摸索、规范的研究领域。究竟什么是云审计?现阶段很难做出一个明确的限定, 因为云计算本就是不断丰富的概念, 基于云计算的云审计会随着云计算概念深入、成熟而得到发展、丰富, 甚至导致云审计方法与思想的变革。综合来看, 被研究人员广泛接受的观点是云审计是利用互联网的云计算概念, 进行审计资源的整合与协调。云审计是对未来审计模式的一种猜想, 不仅仅是云计算在审计领域的运用, 更包括了随着科技尤其是信息技术的发展, 审计模式不断创新的一种理念, 一种思考方向。

二、云审计的实现模式

(一) 构建云审计平台

云审计最常被学术界讨论的实现模式即搭建一个平台。数据的云储存的实施过程中, 可以使各类审计信息数字化得以实现, 充分调动审计人员、审计技术方法以及审计硬件设施的协调配合、统筹规划, 真正做到在审计资源得到充分利用的同时促进信息交流与共享。云审计实现了时间、空间上的自由, 打破了固有审计模式的局限。审计人员可以在云审计时代下按照自己的时间、习惯与审计方式合理、自由地安排自己的审计工作, 同时充分享受云审计所带来的高效率, 不再为数据的存储、共享或者工作的衔接而伤神, 所需要关注的只是审计任务本身。“云审计”模型见下图。

(二) 云审计安全问题及应对措施

提到云计算或者云审计, 首先想到的就是安全建设问题。数据安全性是互联网时代首要考虑的问题。数据安全包括数据本身存储的安全以及向第三方泄露的可能性。一旦将“私有云”数据传送到“公共云”, 就有可能使数据脱离审计人员的掌控, 发生数据泄漏的可能性就会加大, 并会带来一系列的审计风险与法律责任。云审计在实施过程中主要存在以下问题。

1.数据存储与审查权限性问题。

云审计在技术上依托于网络设备, 无论是储存审计机构自己的数据还是被审计单位的数据, 保密性和数据安全性问题都是首要考虑的问题。在没有查阅权限限制或者限制不足的情况下, 传送至云端的相关数据可能会脱离审计人员的掌控, 致使安全隐患的产生, 使得数据安全性降低。非法入侵、越权操作或是存储介质故障等都直接威胁到云审计数据安全。

针对数据安全与保密问题, 通常选择与服务器供应商进行沟通洽谈的方式来规避风险。洽谈内容主要围绕供应商的自身权限与运行维护等方面的承诺, 更多的是技术上的指导与权限的转移。就如同家用防盗门通常会有两种钥匙, B钥匙使用则会导致A钥匙失效。现在的服务器设计更多倾向于引入这样的思想, 服务器一旦移交, 触发机制则会启动, 供应商自身权限则受到限制, 数据使用权限由使用方进行管理、监督。

2. 云审计实施接口问题。

实现传统审计与云审计顺利接口对于审计人员和被审计单位都是一次大的转变。因此, 如何让审计人员更快地熟悉云审计以及如何让被审计单位理解这一转变是云审计平台建设必须解决的。审计机构与被审计单位的沟通是为了确保被审计单位清楚地了解审计机构将如何实现这一转变, 以及为了成功地实现转变需要得到怎样的帮助。最重要的是, 要让被审计单位了解这个转变对于他们有什么好处, 以及审计机构是在尽最大可能选择了最佳的应用, 以保证更好地完成审计监督。为此可以先找一些审计风险水平较低的被审计单位作为云审计的前期试验对象, 以了解云审计的工作性能。这就可以在不损害被审计单位利益的同时让审计人员先熟悉云审计的审计过程、审计责任及要注意的问题。

3. 强迫审计公开问题。

审计公开一直是被研究者广泛争论的问题, 审计人员与被审计对象存储在云内的信息只要涉嫌民事或者刑事诉讼, 很大可能会被要求强迫公开。对于社会审计来说, 政府部门可以用相关法律来获取事务所存储在云服务器中的数据, 这似乎给政府的相关工作提供了便利, 但会计师事务所也会意识到, 客户存储在云计算中的数据可能会被强制披露给政府或民事诉讼当事人。因此, 会计师事务所必定会考虑向云服务器上传敏感信息的影响, 最终的博弈结果将会是云审计平台的构建形同虚设。会计师事务所掌握的敏感信息并不会上传云服务器, 这将违背建设云审计平台的初衷。

从注册会计师针对上市公司的财务报表合法、公允进行审计来看, 目前更多的上市公司为了使得股票价值得以体现, 为公司争取更多的股民, 更加乐于接受信息公开。只要被审计对象可以了解并理解云审计平台的作用并接受, 审计单位与被审计方的双赢最终是会实现的。

4. 网络宽带与运营费用问题。

云审计依托于云计算, 而云计算依托于网络建设。被审计单位数据与审计人员数据的传输都依赖于网络进行上传下载, 带宽就会在很大程度上影响到审计的效率, 频繁的数据存取及海量的信息交换都会影响网络的通畅和数据传递的及时性。因此, 网络宽带的负载能力以及运营费用是制约云审计的一大瓶颈。带宽问题解决的困难在于审计的成本。建立云审计平台是一个长期的、深远的项目, 资金的投入直接决定了云审计平台的效率, 带宽可以由网络运营商负责保证。虽然国内的网络运营商垄断现象严重, 但是从目前情况来看, 电信的市场已被移动和联通以低价抢占了一部分, 未来出现寡头的可能性相对很大。在寡头市场上, 寻求相对的合理价格、平稳带宽是可以实现的。

三、云审计实现审计全覆盖

(一) 审计全覆盖的概念

审计全覆盖是刘家义审计长在全国审计工作会议上首次指出的, 并高度评价审计全覆盖是提高审计监督层次和水平的重要途径。审计全覆盖是指在一定期间内, 通过科学安排审计计划, 合理选择审计方式, 使所有监督对象在一定时间内都能接受审计监督, 形成周期性的动态审计全覆盖。除同级财政预算的每年审计外, 审计署对审计覆盖给出了指导性意见, 如5年轮审一次和重点预算单位每年必审等。然而由于审计人员数量等制约了审计力量, 使得审计覆盖率仍然难以达到公共所期望的水平。从郑石桥2012年《审计频度、审计处罚和审计效果》一文的统计数据来看, 江苏省审计覆盖率仅为7.37%, 审计周期为6.5年。这与我们一直倡导的加大审计力度、提高审计效果相悖。如果按照现行的审计力度或者审计手段, 要想达到这样的要求仍是一项艰巨的任务。

(二) 云审计实现审计全覆盖

1. 创新理念。

推行云审计中数据中心的审计理念, 即破除传统审计模式下审计信息化仅是审计工作辅助手段的固有思想, 通过云审计平台的便捷, 把数据分析范围从单一部门或行业拓展至关联单位或行业, 将工作重点从侧重于数据筛选和分析拓展至系统审计和多维分析, 将审计目标从异常线索检索拓展至系统安全检测。云审计数据中心要义是以云审计平台为依托构建审计信息库, 对信息库实行数据库管理。审计过程不再实行单一项目审计, 而是通过云审计平台的数据库分类进行数据加工。以某一专项审计目标为出发点, 在专项审计伊始首先采集数据、研究数据, 并利用云审计平台中各部门、各行业信息数据之间的横向关联特性和不同年度信息数据之间的纵向追溯特性, 通过系统分析、多维对比, 实现对被审计单位业务内容的全面把握、对权力控制薄弱环节的重点监控、对资金或物资分配过程中舞弊行为多发环节的精确定位, 实现对整个行业资源的全面检测与自动预警, 推动审计全覆盖的目标顺利实施。

2. 建设云审计平台, 突破“信息孤岛”的局限。

虽然信息化审计能够有效拓展审计范围, 精确定位审计疑点, 但也经常遭遇“信息孤岛”的限制。当前, 金融系统、大型国企以及政府各部门汇集了关系国计民生和社会发展等多方面的数据, 但很多数据以“信息孤岛”形式散存在行业、企业或部门内部, 相互之间缺乏共享和互联。云审计平台的构建充分发挥主观能动性, 实现了大数据平台建设, 并可以通过多专业数据比对、多视角分析、持续性跟踪, 突破现有审计项目经常面临的行业和部门限制, 加大对隐蔽型犯罪案件线索的追查力度, 提高审计的战斗力。

3. 系统性关联审计。

加强系统审计, 揭示关键行业、关键部门的系统性风险隐患。信息化管理在提高社会管理现代化、精细化程度的同时, 也带来了整个行业的系统性风险。审计部门应加大对金融、大型国企等行业或单位信息系统安全性的审计力度, 重点关注系统设计的完整性和合规性、系统运行的安全性、系统风险的可控性、系统运算程序的科学性和严谨性等问题, 从顶层设计的角度, 揭示可能存在的行业风险、防范部门利益固化导致的管理弊端, 维护社会公众利益, 充分发挥审计“免疫系统”功能。

4. 电子政务、电子商务接轨。

云审计平台建设中预留了电子政务、电子商务接口, 便于商界、政府及时上传自身数据, 加强数据库构建, 推动政务公开、企业管理数据公开, 提升行政管理效率。政府审计在信息系统审计和绩效审计方面均进行了有效尝试, 但是尚未全面开展针对信息系统建设项目的绩效审计工作。各个政府部门大力建设的信息系统工程, 如税务系统的“金税”工程、公安系统的“金盾”工程等, 均使用了大量公共资金, 且各部门之间由于缺乏统筹协调, 重复投入和共享不足问题并存。在云审计平台构建后, 通过电子政务、电子商务接轨, 可通过平台直接评价政府各项平台的绩效, 进行财政资金的实施监督。关注项目立项的科学性、合规性, 评价项目绩效, 维护公共资金使用效益。此外, 可以关注系统功能实现状况, 推动已投建项目规范运行, 减少“建而不用”、“应用效能不足”等问题的发生, 进一步推进政务公开和社会管理现代化进程。

参考文献

[1] .文峰.云计算和云审计——关于未来审计框架的一些思考[J].中国注册会计师, 2011, (2) .

[2] .河南省审计厅课题组.信息化条件下国家审计业务组织管理模式创新研究[J].审计研究, 2013, (2) .

[3] .秦荣生.云计算的发展及其对会计、审计的挑战[J].当代财经, 2013, (1) .

审计信息平台软件测评的研究 第5篇

关键词：软件测评,测评过程,测评方法

1 审计信息平台介绍

为了落实制约机制和监督权力作为审计的核心, 加强反腐败体制机制创新和制度保障的要求, 需要建设审计信息平台。该平台的总体目标是建立一个“统一、高效、实用”的工作信息系统, 使其成为总公司及所属单位审计人员开展日常审计的平台, 成为总公司和所属单位信息共享和信息交互的通道。审计信息平台系统主要是以信息化手段实现总公司及所属单位部分审计流程的规范化和标准化, 固化业务流程, 辅助各级领导和审计人员管理业务工作, 衔接工作界面, 细化操作实务, 辅助审计工作, 提升工作质量。

对于这样大规模的应用系统, 具备了相当高的复杂程度、技术水平和开发成本。如果该系统存在缺陷, 在使用过程中发生故障, 都将造成不良影响。软件测评就是帮助用户解决应用系统的质量问题, 作为系统上线前检查必要的质量保证手段, 从而提高系统质量。软件测评不是系统开发方内部测试, 也不是用户测试, 而是由具有相关资质的独立的第三方测评机构, 根据被测系统方的需求, 依据相关国家标准、行业标准或国际标准对被测软件的质量进行全面的测试和评价。

2 软件测评

软件测评主要是利用人工或者自动化的方式, 站在客观、第三方的角度, 系统的尽可能多的发现被测系统中的错误, 检查被测系统是否满足需求规格说明书或是达到预期结果, 从而提高被测系统的质量。

软件测评相比软件测试更注重评审过程, 在测试的每个阶段以及产生的相关文档都需要组织专家对其结果进行评审, 对测试结果进行深入分析总结, 制定应对措施积累经验。根据软件测试质量控制体系对测评活动全过程进行质量控制。因此要确保软件测评的充分性, 获得良好的测评效果, 建立一个完善的软件测评体系具有现实的紧迫性和重要性。

3 审计信息平台软件测评过程

针对审计信息平台的项目特点, 根据越早测试越好的原则, 本次软件测评的过程按照:软件需求制定、测评项目建立、测试需求分析和策划、测试设计和实践、测试执行和回归测试、测试总结和交付归档来进行。

3.1 软件需求制定

软件需求为软件开发奠定了基础, 也是软件测评的重要依据, 一份完善的需求规格说明书对开发和测试工作都是至关重要的。测评项目组引入了软件需求规格说明书的国家标准, 并根据本企业和本项目特点对国家标准的需求规格说明书进行了落地, 通过多方评审确定了最终版本。通过讨论会对需求规格说明书反复修改, 协助研制方按照系统功能模块的划分逐步完成需求规格说明书。

3.2 测评项目建立

测评项目组按照测评任务和合同情况建立测评项目。首先项目组制定项目计划;项目组长与质量保证人员共同制定质量保证计划;项目组长与项目组配置管理员共同制定配置管理计划。然后项目组接受被测件, 梳理测评需求, 建立需求基线并进行配置管理。同时, 质量保证人员对项目建立阶段进行符合性检查。

3.3 测试需求分析和策划

测评项目组开展测试需求分析, 确定测试类型及其测试要求, 分解测试项。建立测试项与测评需求的追溯关系, 通过需求追溯表的形式实施。项目组进行测试策划, 确定测试策略、技术方法、测试工作产品等。

3.4 测试设计和实践

该阶段主要是设计并编写测试用例。建立测试用例与测试项的追溯关系, 通过需求追溯表的形式实施。按文档编制要求进行测试计划文档的编写。测试计划完成后需进行评审, 并对经评审的测试计划进行修订, 填写测试问题处理单进行变更控制。此外要对测试环境、测试工具等测试设备进行确认, 对测试设备的配置、状态进行确认。还需开展就绪评审工作, 对测评需求、项目进度、测试设备等情况进行跟踪, 确定是否可以转入测试执行阶段。

3.5 测试执行和回归测试

测试执行阶段由测试执行人员在系统实际测试环境中执行测试用例, 并记录测试结果。测试人员需判定测试用例是否通过, 对不通过的测试用例进行判定, 确认是否为软件问题。对于确认为软件问题的测试用例, 经研制方修改后, 测试方接收修改后的被测件。测试项目组复用或新增回归测试用例, 开展软件更改的影响域分析, 实施回归测试。质量保证人员对测试执行阶段进行符合性检查。

3.6 测试总结和交付归档

全部测试执行完毕, 测试项目组整理测试记录并分析测试结果:编制需求追溯表, 建立测试执行情况、软件缺陷与测试用例的追溯关系。之后测试项目组对测试工作和被测系统进行分析评价以及测试总结评审工作, 包括对测评需求、项目进度、测试设备等情况进行跟踪, 为编写测试报告做准备。准备完毕按照文档编制要求进行编写测试报告, 并对报告评审。最终向客户交付测试报告正本, 测试项目组对本项目全部文档记录进行整理归档。

4 审计信息平台软件测评方法

由于审计工作流程的复杂度高, 因此对该平台的易用性要求也相应提高。故测评的测试类型主要体现在功能性、效率性、安全性、兼容性和易用性等质量特征上。

4.1 功能性测试

功能性测试主要检测软件是否符合《审计信息平台业务蓝图设计报告》和《审计信息平台系统开发需求规格说明书》中提出的用户功能需求。对于一般的用户测试而言, 用户仅测试自己关心的功能点, 且是正常使用, 测试覆盖率往往只能达到20%左右。而对于非用户方和非开发方的第三方测试者来说, 需要尽可能多的发现和使用软件的全部功能, 对需求文档中的功能性需求逐项进行测试, 要求输入值覆盖正常值的等价类、非正常值的等价类和边界值。因此, 测试者不但要深入了解审计信息平台的各项功能用法和目的, 还要熟悉审计业务流程。

根据审计信息平台系统功能特点, 本系统分为综合管理模块、审计模块、内控制度管理模块和信访举报模块四部分。根据该软件需求规格说明书, 为了保证测试的充分性, 经过分析共有功能性需求27项。其中, 审计模块为该系统的核心功能, 在加强反腐败治理工作的今天, 审计业务流程更为复杂、重要。审计管理主要包括审计项目管理、审计作业管理、审计治理管理、基础数据和统计报告五个功能。由此设计的测试项共16个, 包括审计计划、项目归档、项目启动、人员考核、审前调查等。

4.2 效率性测试

效率性测试也就是我们平常所说的性能测试。性能测试的目的主要是获取审计信息平台在不同压力下系统的性能数据, 寻找系统的瓶颈点;验证审计信息平台在30并发用户下系统的性能表现。在测试之前需要进行需求访谈, 根据访谈结果制定测试计划和测试方案。根据用户提供系统交易量占比最高的前10个功能、业务逻辑比较复杂的功能, 设定测试场景。例如:用户登录响应情况, 大小附件上传下载, 审批业务流程, 以及上述场景的混合场景, 混合场景的测试更能模拟系统在实际使用时的情景。测试时的环境也是至关重要的, 测试环境要求与生产环境一致, 否则测试结果就失去意义。因此需要在系统开发完毕, 功能测试之后系统上线之前, 在生产系统进行测试, 且测试时测试系统需要与其他系统隔离, 避免对其他系统造成影响。

4.3 安全性测试

企业的生产运行活动越来越离不开网络, 很多重要的信息资料都在网络上传输, 由此安全问题也越来越得到人们关注。不论是为了设计, 还是为了实现所产生的安全漏洞, 对于用户来讲都是无法容忍的。在审计信息平台系统上线前, 对其进行安全测试是十分必要的。采取的测试安全测试方法主要有两种:利用Fortify进行静态的代码安全扫描, 找出底层代码中存在的安全漏洞;利用App Scan进行动态渗透测试, 这种方法是利用自动化测试工具模拟黑客入侵, 从而找到系统在运行时会出现的安全漏洞, 找出的问题真实有效。

4.4 兼容性测试

目前大多数办公软件都不需要安装, 通过浏览器使用。审计信息平台用户只需在浏览器输入系统地址可直接登陆系统。因此对该系统的兼容性测试需测试:操作系统的兼容性和浏览器的兼容性。

操作系统的兼容性主要是测试Windows平台和Linux平台。浏览器的兼容性主要是测试IE浏览器、火狐浏览器、谷歌浏览器。一般在测试时, 在不同平台和浏览器上, 首先系统功能能够正常使用, 其次界面和操作应基本相同。

4.5 易用性测试

审计信息平台作为审计监察部日常的办公软件, 其易用性是不可忽视的。用户之前习惯使用监察管理系统、风险管理系统和内审作业管理系统。整合、统一后的审计信息平台应该符合用户已经形成的使用习惯。同时是否满足相关文档如软件需求规格说明书中规定的易用性要求, 符合一般软件操作的隐含易用性要求也是需要测试的。在测试中从用户的角度出发, 考查人机交换界面的设计, 以非常规操作、误操作、快速操作来检验人机界面的健壮性。

参考文献

[1]王峰, 郑彦兴, 包阳.软件第三方测评[J].计算机研究与发展, 2008 (45) :345-350.

[2]古乐, 史九林.软件测试技术概论[M].北京:清华大学出版社, 2004.

安全审计平台 第6篇

一、研究背景分析

(一)智慧审计平台建设的社会背景分析我国财政部继2008年3月发布《积极推进可扩展商业报告语言(XBRL)应用的暂行规定(征求意见稿)》之后,又发布了《基于企业会计准则的可扩展商业报告语言(XBRL)通用分类标准(征求意见稿)》。2010年,企业会计准则通用分类标准和XBRL技术规范系列国家标准正式发布。2011年,财政部和国家标准化管理委员会成立了全国会计信息化标准化技术委员会。同年,首批试点单位推进实施XBRL。2012年我国所有上市公司均已提交XBRL年报实例文档,标志着我国上市公司会计报告已全面实施XBRL。随着XBRL网络财务报告的普及和发展,基于XBRL系统下的审计工作也越来越受关注,其跨平台的报送方式,标准的实例文档为智慧审计平台的建设提供了数据保障,XBRL网络报告方式将彻底改变注册会计师的工作方式,也为智慧审计的建设和发展提供了标准的审计数据文档。基于XBRL视角下的现代计算机审计,必将在审计流程、审计技术、审计软件及审计结论与报告等方面逐步对审计工作进行规范。智慧审计平台的建设,将更好的解决传统计算机审计的各种不足,保证审计工作的准确性、及时性、智能性。

(二)智慧审计平台的技术背景分析与传统的计算机审计相比,智慧审计更强调审计工作的全面性、实时性和自动化的智能分析和判断能力。智能审计平台能自动收集全社会的会计信息,并对数据资源进行查询、分析、智慧追踪、智能分析,其实施过程更讲求数据量的大小和数据资源的标准化配置。XBRL标准化的数据文档和云计算大资源池技术的不断完善,为智慧审计的审计数据资源池建设提供了技术保证。云计算基于互联网,由一系列可以动态升级和被虚拟化的资源组成,这些资源可被所有云计算的用户共享并且可以方便地通过网络进行访问。还可以通过集群应用、网格技术或分布式文件系统等功能,将网络中大量的,不同类型的存储设备通过应用软件集合起来协同工作,共同对外提供数据存储和业务访问。智慧审计平台的建设可应用云计算资源池技术,运用我国XBRL分类标准,按统一要求将XBRL实例文档存储到相应的会计数据资源池中,审计数据的使用者从会计数据资源池中查找所需的审计数据,运用专业的审计技术方法,进行持续审计,稽核相应的审计数据,并对审计数据进行动态追踪,及时的发现问题、处理问题和修补问题,实现最大程度的实时、快速、持续的智慧审计。

二、XBRL发展对智慧审计平台建设的促进作用

(一)XBRL的发展为实现智慧审计提供了数据保障XBRL是基于互联网设计的,可实现跨平台数据报送,用于财务报告编制、披露和使用的网络报告语言,它将会计准则与计算机语言相结合,用于非结构化数据,尤其是财务信息交换的最新公认标准和技术。通过给会计数据添加特定的分类标签,使得计算机能够“读懂”财务报告,并通过统一的、标准的内置验证机制,使计算机能够自动分析会计数据。XBRL拥有自身的统一标准和应用规范,将原有的非结构化财务报告信息转换成计算机可识别的信息标签,来改善信息的定义和交换。XBRL技术框架包括XBRL技术规范(Specification)、XBRL分类标准(Taxonomy) 和XBRL实例文档(Instance),XBRL的应用有助于实现财务报告的编制、分析和汇总,实现计算机对会计信息的统一识别,提高会计数据的可追踪性,为实现智慧审计提供了标准的网络财务数据。

(二)XBRL的发展为智慧审计提供了跨平台的数据追踪接口传统计算机审计的最大问题是数据的标准化问题,由于系统之间数据不能实现交互,传统的计算机审计必须对会计管理软件所使用的后台数据库、数据库结构等多种信息有一个全面的把握,并将审计系统固化在会计信息系统下完成计算机审计,软件共享性差、设计工作量大、运行成本高。随着云计算技术的不断成熟,大数据理念的不断深入,XBRL标准实例文档的不断完善,企业间可以将XBRL标准实例文档存储于云计算资源池下,建设可共享的审计数据资源池,政府部门、各企事业单位间实现资源池的数据对接,审计软件通过审计数据资源池的数据链进行数据追踪,格式的标准化使得企业内部、不同企业间实现信息自动查询,通过打通信息交互的通道,实现对审计数据的追踪、验证。云计算和XBRL技术的发展,使企业的会计报告以标准文档存储于统一配置的企业会计信息资源池中,并将各资源池数据进行数据链接,实现跨平台数据的整合与互访,充分利用各项商务智能数据分析技术,建设风险导向型的审计模型,进行智能分析,提高审计实时风险预警能力和管理决策功能。XBRL网络财务报告的应用,审计部门借助XBRL的标准实例文档对财务报告进行在线审计,并下钻至明细分类信息,实现跨平台的数据追踪,自动获取审计证据,生成审计工作底稿,智能编制审计报告。审计部门利用智慧审计平台来提升数据采集、处理和分析能力,达到高效、智能的数据追索能力。

(三)XBRL视角下智慧审计平台的优势分析在传统的计算机审计过程中,因系统的标准不统一,很难制定与审计智能化相配套的标准体系,信息系统可追溯能力弱,跨平台业务协调性差,严重制约了审计信息化向纵深方向发展。XBRL的发展使会计报告有了一整套标准的实例文档,通用的标准分类、内容和元素清单,能实现智能化的识别、核对、选择、分析、储存、交换各种会计数据。云计算技术下的XBRL会计信息可集合跨部门、跨企业的会计数据于一体,通过建设集中统一的数据库分析平台,其强大的数据处理和分析能力可更好的实现企业会计信息的优化配置,智慧审计软件通过会计数据动态资源池实现会计数据的跨平台数据追踪,实现跨平台的智慧审计。

三、XBRL视角下智慧审计平台建设方案

(一)智慧审计平台建设的设计构想智慧审计平台需要连接各企业、行业及政府等相关职能部门的管理信息系统,是企业会计数据的审计中心,其建设的目的主要是满足审计监督、审计鉴证、审计评价等审计工作需要。智慧审计平台建设首先从审计客户的需求出发,整合会计信息资源,设计智能化的审计工作流程。其次是智能审计管理平台的总体架构,智慧审计平台的建设能满足审计业务转型升级的要求,满足各行业对审计需求的变化和审计处理技术的发展,能将各个部门信息贯穿起来,对全社会的会计数据资源进行整合。最后是对智慧审计平台总体构建的设计,包括技术规范、数据标准、模型设计、内部控制的评价等,保证其设计标准的先进性和可扩展性。

(二)智慧审计平台建设的设计要点

(1)建立以XBRL为基础的标准审计程序。审计工作过程包括审计准备阶段、审计实施阶段、审计报告阶段和审计终结阶段。制定标准的审计程序有利于提高审计质量,提高审计评价的针对性和准确性,减少单纯依靠审计师的职业判断能力来进行审计而产生的审计风险。XBRL下的网络会计报告具有标准的实例文档,对文档资料能实现有效的控制和追踪,可对会计数据进行有效的验证,查询交易的明细记录,为实现智慧审计制定标准化的工作流程。随着审计工作的不断深入,标准审计程序的制定对于制定审计标准化工作流程,提高审计工作效率和审计质量有了更科学的评价依据。

(2)建立以XBRL为基础的审计工作底稿分类标准。审计工作底稿是审计的载体,是注册会计师形成审计结论、发表审计意见的直接依据。XBRL的实施,为注册会计师制定标准的审计流程,查找审计轨迹,进行审计部门协同作战,共享审计成果具有重要的意义。审计工作底稿是连接整个审计工作的纽带,具有统一分类标准的审计工作底稿为提高审计质量及后续审计提供数据参考,为减少审计工作重复性提供资料保障。具有统一分类的审计工作底稿具有标准的格式规范和数据稽核关系,为智慧审计平台数据采集、处理、分析提供统一的标准口径,为评价审计工作质量,进行审计数据的后续索引提供可靠的依据。

(3)建立以XBRL为基础的审计报告标准分类体系。审计报告是审计工作的最终成果,根据审计目标不同,审计报告的格式、要求和审计证据的详细程度也不同。建立标准的、逻辑关系严谨的审计智能报告分析体系,建设标准的审计报告指标,为评价审计工作质量和业绩提供可靠的评判依据。标准的审计报告体系可更方便、准确的对信息进行验证。基于不同审计目标的标准审计报告实例文档,能恰当的反映被审计单位的财务状况、经营成果、现金流量。标准化的审计报告体系有利于计算机对会计数据进行科学的审核和验证,按照审计的要求,确定数据审查范围及进行数据的逻辑对比和数据追踪,出具标准化的审计报告,为实现审计工作科学化、标准化、智能化,保证审计报告的规范性、准确性有着可靠的评判标准。

(4)建设以XBRL为基础的内部控制标准。内部控制制度的审计是审计工作的基础,作为智慧审计平台,每项业务控制系统实质上都是由若干必要的控制环节及针对其制定的控制组成的。企业的业务流程、各节点的风险控制环节直接影响企业内部控制的质量。作为智能审计平台,对XBRL标准实例文档应建立专业的数据勾稽关系和数据风险控制指标评价体系,方便注册会计师进行数据查询、对比、分析,建设标准化的内部控制数据校对链。审计证据的充分性和说服力主要取决于有效的程序控制,因此智慧审计平台审计要点应在计算机内部程序控制和应用控制上,保证系统的合法性和合规性。对会计信息系统的数据流、政策流、业务流进行综合测评,保证会计信息系统的安全性、有效性。

(5)建立以XBRL为基础的审计数据追踪链。云计算技术下的数据资源池很好的解决了企业各种会计信息资源的共享性不足问题。注册会计师在审计过程中,利用XBRL提供的动态实例文档,对会计数据资源池提供的数据进行标准化的数据查找,在此基础上,作为智能审计平台,应建立以XBRL标准实例文档为基础的智慧审计数据追踪链,运用审计常用的比较分析法、比率分析法、平衡公析法、趋势分析法、账户分析法、账龄分析法等审计复核技术,进行跨平台综合测试,获取系统、有序、彼此联系、可追踪的、具充分证明力的审计证据,进行科学的整理、分析和评价,形成系统的审计证明材料。智能查证企业会计数据并进行风险控制,不同来源的数据可相互验证,可进行数据的深入挖掘,实现审计数据的智能分析。审计数据追踪链功能的建设有利于进行数据的深度挖掘和智能的数据风险控制,实现“全方位”的智慧审计。

四、XBRL视角下智慧审计平台优化配置

(一)建设以产业链为核心的审计数据资源池审计工作质量的好坏主要取决于审计证据的有效性、及时性、相关性和数据量的大小。计算机审计取得审计证据的途径主要通过审计数据平台,建设一个数据量大、相关性高、及时性强、可追踪的审计数据资源池是实现智慧审计的基础。基于XBRL下建设的审计数据资源池具有标准的实例文档,数据可追溯性强。云计算架构下的智慧审计平台数据池可以集合全社会的会计数据资料,将全社会的会计信息存储于不同的虚拟服务器群上,通过分布式处理技术解决群系统的协同管理,实现数据共享,较好的解决了审计数据统一认证、审计分析、数据搜索等审计证据的收集工作。基于云计算的智慧审计平台通过对基础设施的整合、数据资源的安全认证技术、审计数据的流程化管理等手段,把审计数据资源池按照不同的区域、机架、网段进行分类,智慧审计平台对不同的虚拟化资源进行统一智能优化,实现可智能管理的审计数据资源池。由原有以企业个体为基础的会计信息系统整合为以全社会会计资源整合的大数据会计信息资源池。利用智慧审计平台先进的数据处理技术,不断的优化数据资源,实现高层次的以产业链为核心的审计数据资源池。

(二)建设以现代审计信息处理技术为核心的智能审计平台计算机审计信息处理技术包括:数据库技术审计应用类、软件技术审计应用类、编码技术审计应用类、空间技术审计应用类、通信技术审计应用类、网络技术审计应用类和微电子技术应用类。XBRL下的会计数据存储具有规范的、标准化的格式,可以对数据进行明细描述,数据元素的查找有着清晰的数据链。建设XBRL视角下的智慧审计平台,集合先进的计算机审计技术,可以充分发挥现代计算机审计技术中强大的数据存储、检索和数据挖掘能力,利用商业智能技术及多维数据分析技术,对海量数据进行切片、钻取、挖掘等多角度立体分析处理,发挥计算机空间处理技术优势,建设一个集审计数据挖掘系统、专家审计系统、决策支持系统为一体的智慧审计平台。

(三)建设以各种专业审计为一体的综合型智慧审计平台按照审计目的和内容不同,审计可分为以对审计单位财政财务收支活动和会计资料是否真实、正确、合法和有效性所进行的财政财务审计和以审查评价实现经济效益的程度和途径为内容,以促进经济效益提高为目的所实施的经济效益审计。审计的目的和对象不同,审计工作过程所使用的方法、审计指标体系、审计所需追踪数据的要求也不同,但在审查过程中它们又是相互配合,灵活运用。作为智慧审计平台,应能综合运用各种审计指标体系,深入挖掘数据间的内在联系,使审计活动全过程能彼此沟通、相互验证、实现审计计划、组织、实施到报告的科学性和严密性。建设一体化综合性的智慧审计平台,利用审计证据、审计工作底稿的共享性,有利于制定审计工作标准体系,合理设计智慧审计的工作流程,提高审计工作效率。

(四)建设以XBRL为基础的智慧审计模型强大的数据资源池为智慧审计提供了数据保障,智慧审计平台应将审计专家的智慧和经验充分融入到平台中,充分发挥审计平台的智慧数据处理能力,应建立健全审计信息化技术标准体系,建立完善的具有标准格式的大型数据库,保证资源池数据的互联互通、信息共享、业务协同。应集中力量开发建设审计数据监测指标和模型的构建,推广应用系列智慧审计软件。积极开展审前调查和数据追踪,增强审计的时效性,为数据分析、风险控制、科学决策提供更全面、及时的服务。

五、结论

高校内部审计信息化平台建设研究 第7篇

发达国家如英国、美国、德国、意大利等国早在二十世纪六七十年代就开始审计信息化方面的研究, 开发出了在数据采集、数据分析、审计管理、风险管理以及持续监控等方面比较成熟的审计软件, 取得了丰厚的成果。在我国, 随着国家公共财政改革的不断推进, 部分高校在已有的信息化管理基础上进行了系统规划和探索, 在财务收支审计、审计作业自动化、数据式审计、专业领域的联网审计等方面都取得了一定的成果。信息技术的支持和高速发展为高校内部审计信息化平台的搭建奠定了基础, 尤其是以德国SAP和美国Oracle为代表的ERP系统的强大数据整合和数据处理能力, 为高校内部审计信息化平台的建设带来了前所未有的发展机遇。然而, 目前我国对于高校审计信息化平台的研究大多还停留在数据采集、文本管理层面, 数据加工处理方式比较简单、审计信息共享程度低。在高校内部审计信息化建设方面, 还没有专门的高校内部审计信息化软件, 也没有对高校内部审计业务领域进行专门研究的公司, 研究成果应用辐射面小, 资源整合度不高, 在数据获取、数据式审计经验模型的业务总结和沉淀、精细化且个性化的审计作业流程定制等方面, 还存在差距, 而且还缺乏针对信息化平台的审计业务流程的规范和指南, 这是制约高校内部审计信息化平台建设推进的重要因素。

二、高校内部审计信息化平台搭建

(一) 依托高校信息化平台搭建———实现各部门数据共享

目前, 许多高校利用用友等第三方审计软件进行审计信息化平台的建设。但是, 这些第三方软件在设计中往往优先考虑通用性, 并不能兼顾各高校的实际情况, 其结果不可避免地存在数据接口问题。依托高校信息化平台自主搭建审计信息化平台, 能够从根本上解决这一问题。如图1所示, 高校信息平台为实现各部门数据共享提供了良好条件。特别是SAP数据仓库技术的应用, 实现了对各部门数据单元化和结构化的整合, 当审计需要某项数据时, 如被审对象的人事信息, 只需人事处对审计信息化平台开放相应的权限和数据接口, 在保证系统数据安全的前提下, 提高审计效率, 还能从根本上解决传统审计信息化软件一直不可逾越的数据接口问题。

(二) 平台搭建模块化———各模块职责分离, 相辅相成

建立高校内部审计信息化平台总体应用框架, 是搭建审计信息化平台的基础。如图2所示, 高校内部审计信息平台应用框架的设计思路, 是以内部控制为切入点, 利用SAP系统中的Portal工具、BW数据仓库和BO商业智能工具对核心模块进行功能搭建, 建立信息门户、业务应用系统, 辅以成熟的运行保障系统、应用支撑系统、系统软件和IT基础等应用环境。

(三) 以内部控制为切入点设计审计业务流程———审计工作高效执行的保障

审计业务流程的设计是高校内部审计信息化平台建设的重要内容, 需要在建设过程中不断探索、不断优化。在设计高校内部审计信息化平台业务流程时, 必须以内部控制为切入点, 平台流程严格按照内部控制的要求进行, 审计工作中很多步骤是需要项目组长或审计处长审批的, 经过审批才能进行下一步操作, 根据流程跟踪, 项目组长以及审计处长可以清晰地了解项目进行的步骤, 上一步没完成, 就不可能进入下一步操作, 从而杜绝人为的越步操作, 实现了职责分离, 方便进行控制。

三、高校内部审计信息化平台优化思考

(一) 完善和优化审计业务流程———全业务、全过程信息化审计的实现途径

(1) 经济责任审计平台业务流程。高校经济责任审计平台业务流程的设计与传统手工审计业务流程一样, 划分为三个阶段, 即:审计准备阶段, 审计实施阶段以及审计报告阶段。在具体操作上应充分考虑信息化特点, 更加注重内部控制的基础性作用, 抓住关键点进行控制设计。对于个别特殊情况可以将其从常规流程中剔除, 使系统流程更加精简、规范, 提高系统运行效率。 (2) 基建工程审计平台业务流程。高校基建工程项目的竣工决算审计, 通常委托社会审计机构进行, 在业务流程设计中应注重过程控制和事后评价。在工程实施中, 审计处、基建处要配合审计事务所推进工作, 并将工程进展情况分阶段按要求反映在审计信息平台上, 以便在出现问题时对症制定解决方案。工程竣工后, 由审计处、建设单位和施工单位对审计事务所的审计报告进行确认, 无误后将审价结果在内部审计网站上公示。审计工作完成后, 需要将有关资料在平台内进行归档并对该次审计进行评价, 评价结果作为后期事务所准入的重要依据。 (3) 财务收支审计平台业务流程。高校财务收支审计与其他审计业务相互交错, 无法完全割裂。经济责任审计是以财务收支审计为基础, 基建工程审计很多内容也和财务收支审计挂钩。高校财务收支审计在流程设计上与其他审计业务流程彼此相容, 因此, 在对其审计流程设计和优化时, 可以借鉴其他审计模块来实现。 (4) 科研经费审计平台业务流程。目前, 大部分高校科研经费的审计还停留在对科研经费进行审签层次, 这种事后审计模式已经无法满足日益庞大的高校科研经费管理和监督的需要。对科研经费全过程跟踪审计的设计如图3所示。在不影响审计质量的前提下, 可根据科研项目的不同阶段确定审计的重点, 采取点面结合的方法开展审计, 并通过审计信息化平台进行实时监控;在每个阶段结束后, 通过审计信息化平台, 将审计报告自动汇总归档, 相关管理部门实时沟通、共享信息;最后, 通过审计信息平台对重大审计项目的审计结果进行公示。

(二) 优化查询业务模块———实现数据的高效利用

查询业务模块即“数据式审计模块”, 是高校内部审计业务实施所需的重要组成部分。该模块运用数据仓库技术, 实现了对所有被审计对象业务信息数据的智能化采集、科学灵活地进行信息再加工, 为审计人员提供了一种从纷繁复杂的被审计信息中便捷、准确地找寻到审计疑点的新型审计方法。随着审计业务模块的不断建立并投入使用, 数据式审计模块结构也在相应调整, 即进行关联性、经验沉淀方面的完善。通过不同审计业务指标的分析, 将各类审计业务的变量类型加以细化、分类和简化, 实务中, 审计人员可根据实际需要自行选择所需数据类型, 剔除不需要数据类型。与此同时, 当查询的类别项目超出需求时, 可以通过将不需要的类别执行“拖出”实现剔除, 这也是在SAP数据仓库技术将数据进行结构化预处理的基础上才得以实现的。

(三) 提高平台智能化水平———审计模块的功能深化

信息化平台内的相互关系具体体现为结构化关系和非结构化关系两种类型。 (1) 结构化关系。结构化关系涉及一些常规性步骤, 不需要审计人员运用过多的职业技能和专业判断, 稍加梳理即可将其固化下来, 以审计报告的编写为例, 审计报告的编写是以审计工作底稿为依据, 传统的审计工作底稿的编制方式往往会将所需的审计关联信息一并编入工作底稿, 而这些信息又不全是编制底稿所需的信息, 这无疑会增加审计工作量, 影响审计效率。在审计信息平台中, 可将工作底稿模块化, 将查询筛选后的数据表单与工作底稿自动关联, 在全部查询工作结束后, 审计人员可以通过直接查阅自动生成的工作底稿进行审计报告的编写, 省去了审计人员数据传导和再次筛选数据过程, 极大地提高了审计效率。此外, 在编写审计报告时, 可以将审计报告模板化, 同时将法规库与审计报告相关联, 审计人员只需输入关键词就能查看到对应的法规条款, 以此提高平台的智能化水平。 (2) 非结构化关系。非结构化关系相对复杂, 现阶段仍需要数据技术进一步开发和审计人员共同努力。对非结构化关系间的内在联系进行挖掘分析, 通过模型的搭建将非结构化关系转化为结构化关系实现其固化, 这是提高平台智能化水平的关键, 其目的是提高平台对于各类审计业务的适用性, 提高审计效率。

(四) 增强数据应用管理能力———数据的安全保障

(1) 对审计数据进行加密处理, 避免非审计人员通过非法渠道获得审计数据; (2) 将平台数据进行异地备份, 避免因硬件损毁导致数据丢失的风险; (3) 采用统一身份认证的同时, 管理员严格按照内部控制的要求, 根据实际需要, 对使用者进行合理授权, 限制审计人员访问数据信息的权限, 一定程度上也可以提高审计工作效率; (4) 设置平台数据的在线浏览, 相关业务全部通过网络进行操作, 在一定程度上也可以确保审计数据的安全。

(五) 完善审计经验库和方法库———审计经验和方法的沉淀

高校内部审计信息化平台应当设立审计经验库和方法库, 审计人员可以将执行审计业务时的解决方案归档到审计经验库和方法库中。与此同时, 审计处应对提供审计经验和方法的审计人员进行奖励, 鼓励审计人员的献计献策。完善审计经验库和方法库是一个持续的过程, 不仅要依靠高校内部审计人员, 还需要校内相关管理人员乃至事务所审计人员的帮助才能逐步实现。

(六) 深入推广云审计模式———优化审计模式的展望

传统的信息化审计模式下, 信息共享程度低, 很容易产生信息不对称现象, 进而影响审计质量, 同时如果审计人员的电脑出现故障, 将导致审计数据丢失, 后果不堪设想。现代信息化环境下, 云计算模式成为网络上热门的计算模式。高校内部审计信息化建设应当与时俱进, 借鉴云计算模式, 发展适用于高校内部审计的云审计模式。所谓云审计模式, 就是审计人员在获得被审计单位数据之后, 将数据传入“云端”, 即高校内部审计信息化平台, 项目组成员通过网络直接访问平台来获取所需数据, 并将数据处理结果保存到“云端”, 下次使用时可以从“云端”直接调用, 这样, 一方面实现了审计数据的高度共享, 同时也降低了由于硬件损坏导致数据丢失的风险。

四、结论

本文是围绕高校内部审计信息化平台的建立和优化进行的研究, 提出了高校内部审计信息化平台建设的思路及优化建议, 包括完善和优化审计业务流程、优化查询业务模块、提高平台智能化水平、增强数据应用管理能力、完善经验库和方法库、深入推广云审计模式等。然而, 高校内部审计信息化平台的建立和优化是一项复杂的系统工程, 现有研究成果还存在一定的局限性, 需要继续深化研究并不断总结经验加以完善。

参考文献

安全审计平台 第8篇

“大数据”(BIG DATA),或称巨量资料,指的是所涉及的数据量规模大到无法利用现行主流软件工具,在一定时间内实现收集、分析、处理转化成为帮助决策者决策可用的信息。互联网数据中心(IDC)认为大数据是为了更经济、更有效地从高频率、大容量、不同结构和类型的数据中获取价值而设计的新一代架构和技术,用它来描述和定义信息爆炸时代产生的海量数据,并命名与之相关的技术发展与创新。新西兰审计长普罗维斯特女士在全球审计领导人会商机制会议总结时指出:大数据审计应成为国家审计捍卫公共利益、开展高效问责的一柄“利剑”;同时,未来的国家审计应充分发挥“免疫系统”作用。

审计机关只有加强对大数据的研究,提高驾驭大数据的能力,才能完善财政审计的动态监督机制,通过对疑点的监控预警,强化预算执行的事中审计,确保违规问题能够得到及时纠正,并对预算执行情况和宏观经济形势做出更及时、准确的分析和判断,实现审计监督机制的重大变革。以后的审计工作不仅要能够处理、分析数据,更要能够驾驭数据,充分、及时地从大量繁杂的数据中,辨认出问题疑点,进而促进被审计单位完善体制机制,强化内部控制。

近年来,大数据、云计算技术给现代审计提供了新的技术和方法,在此环境下要求审计相关组织和人员对于大数据、云计算技术的内容与特征熟悉把握,才能使现代审计技术和方法的进一步发展。审计实时监督平台目前在各项审计中发挥了重要作用,有必要大力推动和构建审计实时监督平台体系,促使全面覆盖实时监督,提高审计工作的效率等方面发挥应有的作用。随着云计算技术的出现,大数据吸引了全世界越来越多的关注。哈佛大学社会学教授加里金(2012)说:这是一场革命,庞大的数据资源使得各个领域开始了量化进程,无论学术界、商界还是政府,所有领域都将开始这种进程。大数据时代在改变传统的数据采集、处理和应用技术与方法同时还促使人们思维方式的改变,这些转变对人们理解和研究社会经济现象的技术和方法带来冲击。

云计算的产生,大数据环境审计下,对于审计的方法技术等又是大的冲击,云审计服务的设计如何在社会、经济和信息化的审计环境不断变化的情况下进行变革,因此在云计算、大数据环境下,审计将会运用云审计技术,协同各行业、各领域、各部门进行信息的大整合,那么构建联网实时审计监督管理平台势在必行。

2 联网实时监督体系平台的构建

2.1 监督体系平台构建的进展情况

目前各市积极探索审计监管体制改革,全力构建审计监督“一张网”平台体系,一张网分别是审计监督指挥中心;联网实时审计中心;审计数据中心。从而构建联网实时审计监督管理平台。建立审计管理制度体系,积极开展涵盖各被审计单位的大数据环境下的联网实时审计,通过前移审计关口、在线分析和过程监督,跨部门比对和资源共享,与管理部门建立联动核查机制,及时发现问题隐患和管理漏洞,及时向管理部门和联网单位提示风险。

武汉市审计局目前已联网的156家单位(涵盖了政府部门和重点国有企业、金融机构、项目建设单位)全部纳入审计监督视野。他们已采集这些单位的财务系统数据,以及国库集中支付、预算指标、非税收入、银行账户、税务、政府采购、产权交易、行政审批、低保、残疾人、社会保险、工商、户籍、车辆等业务系统数据。

具体来说,由计算机及审计业务骨干组成的数据分析团队,运用大数据思维和技术方法,将相关文件规定的条件数字化,在此基础上,构建了财政、部门预算、地税、社保、公积金等多个行业的审计模型。今后,审计模型还会进一步健全完善。利用这些审计模型,对156家联网单位进行批量审计,对同期数据进行关联比对分析;对跨行业、跨系统数据进行交叉比对分析和印证,验证经济业务活动的真实性、完整性、合法性,就能很快查找和锁定审计疑点线索。

这就是具有实时和大数据特点的新型审计模式。各地审计局今年开展的审计项目,通过组建数据分析团队,运用联网大数据关联比对分析,全部实现了带着疑点线索去现场审计,这种方式已成为各地审计的新常态。

截止目前,共完成现场核查疑点单位30个、下达疑点核查函25个、涉及疑点问题单位150个;出具整改建议函3份、核查说明2份,61个单位纠正了违规行为,联网实时审计工作取得阶段性成果。

2.2 审计实时监督体系平台的创建

(1)平台的构建需要通过三个方面去实现联网实时审计。

一是联网逐步涵盖被审计单位。目前,审计系统已与国库集中支付、预算核销、非税收入、银行账户管理、税务、政府采购、土地出让金、产权交易、交易市场、行政审批、低保、卫生、残疾人、社保、工商、户籍、车辆、婚姻登记等业务管理系统实现了联网,16个区县审计部门全部实现与区县财政部门的网络连通,11个区县与所有一级预算单位联网。

二是开发审计监督“一张网”。建设审计综合管理平台,包括审计监督指挥中心、联网实时审计中心和审计数据中心。目前,“一张网”系统开始部署、调试,进入用户测试阶段,已实现对联网单位数据采集的自动抓取、清理、转换、开发完成了财政、地税、社保等6个行业566个审计分析模型,实现了部分审计经验的转换。10月份“一张网”系统上线运行,将实现联网、审计和人员统一指挥。

三是利用联网数据开展实时审计。通过分析整合联网数据资源,筛查审计疑点和线索,为现场审计准确锁定问题提供数据支撑;创立“无项目”审计模式,通过设立审计主题和内容,对联网数据进行远程批量分析处理,查找“异常”,并通过向联网单位出具疑点核查函或现场核查进行问题确认;建立审计模型自动执行模式。开展实时监控,实现了过程监控和动态预警。

3 大数据审计在实践中的应用

在大数据背景下,武汉市审计局利用数据分析创新审计思路和方法,在政府相关部门的支持下,初步建立了数据共享机制,构建“总体分析、系统研究、发现疑点、分散核实”的数字化审计模式。同时依托审计数据平台,综合利用财务与业务数据,历史与当期数据、深入挖掘,揭示深层问题,提出合理建议,在反腐、改革总所发挥重要保障作用。

3.1 大数据助推审计全覆盖

要实现全覆盖,必须创新审计方法,近年的大数据审计在对象上,做到纳入预算收支单位无遗漏,在内容上,做到涵盖单位或项目的全部财政收支无死角。特别是在公款支出、公款消费审计中,如果采取传统方法只能选择10余家预算单位进行抽审。而借助数字化审计手段,运用大数据技术,实现对市本级300多家预算单位审计全覆盖。从2014年开始连续两年对60家一级预算单位公款支出、公款消费审计,通过数据分析,对违反“八项规定”情况进行审计核查,督促部门纠正和整改,规范开支行为,节约公共资金,促进制度的出台和完善。

3.2 大数据审计实现深度挖掘

我们以多级数据、部门之间数据分析为平台,利用大数据摸清资金“最后一公里”走向。在涉农、科技资金专项审计中,横向通过企业项目、补助资金、参保人数、营业收入、税收缴纳情况的数据分析,以及企业获取不同项目的补助资金和补助总数,纵向利用市区财政之间的联动分析、末端跟踪等,分析企业可能存在的问题,对数据发现审计线索进行核查。分析发现企业多头申报项目、弄虚作假、骗取财政资金等问题;在税收数据大集中审计,将地税与房产、国土部门的数据进行对比,及时发现应缴未缴、拖欠税款等问题。通过追回被骗取资金或补交税款等方式,提高财政资金利用绩效,增加财政收入,强化追责问责力度。

3.3 大数据审计推进制度完善

大数据审计不仅可以通过对相关领域长年累月形成的数据进行分析,挖掘出某种群体行为的共同特点,提示某种社会现象的潜在规律,为政府制定政策提供关键依据,同时还可以评估政府政策的实施效果,从而帮助政府不断发现问题,改进方法。比如在对社会保障审计中利用社保各项数据进行比对,分析出重复参保的现象;在廉租房审计中,通过车管所车辆、房产以及公积金缴费信息等跨部门数据的关联分析,发现不符合承租标准的人员。通过大数据关联分析,针对存在问题,督促部门完善制度,创新管理手段,推动政策不断完善,更好地推动国家治理的现代化。