电子审计全文(5篇)

第1篇：电子审计范文

一、大数据及电子商务解析

大数据作为信息领域全新的抽象的概念之一，提出的时间较短。实际上大数据及其应用并不是新鲜事物，在国外已经兴起很长时间，在国内也是早有应用，只不过发展得较为缓慢。一方面，国内对数据收集有着严格的管控制度，导致数据基础设施建设迟缓；另一方面，大数据的观念还没有普及，大部分大数据应用的思想只为专业人士所掌握。大数据虽然没有明确的定义，但是其4V特征却得到各方面较为一致的认可。所谓4V特征即：体量（Volume）巨大、种类多（Variety）、速度（Velocity）快、价值（Value）密度低。当今社会已进入信息时代，互联网的繁荣发展，使得在网络上可检索到数以亿计、千亿计的数据信息，这些数据量，即为大数据的一部分。大数据涉及的范围十分广泛，并不仅仅局限于网络上的信息，还包含社会各领域、各行业以及日常生活中方方面面的信息。随着经济的发展，大数据将发展成为一种“资产”，并将贯穿于各个领域行业，同时为其增创价值。电子商务一般是指主要利用Internet从事的商务活动。联合国国际贸易程序简化工作组对电子商务的定义是：采用电子形式开展商务活动，它包括在供应商、客户、政府及其他参与方之间通过任何电子工具，如EDI、Web技术、电子邮件等共享非结构化商务信息，并管理和完成在商务活动、管理活动和消费活动中的各种交易。从该定义中可看出，电子商务是使用各种电子工具从事商务活动，只不过Internet是众多电子工具中的一种。电子商务主要涉及商（Agent）、商家（Business）和消费者（Consumer）三方。电子商务按交易对象可以分为很多种类，常见的如以阿里巴巴为代表的B2B模式、以京东商城为代表的B2C模式以及以淘宝为代表的C2C模式。此外，还有企业对政府的电子商务（B2G），消费者对政府的电子商务（C2G），商、商家、消费者三者相互转化的电子商务（ABC）等。大数据处理为电子商务提供了广阔的平台，一方面大数据处理为市场营销提供便利。企业利用大数据处理，对市场进行分析，尽量达到成本最低化、效率最高化目标，在找到营销中的利润点和市场的潜在价值后，为更多客户提供所需的商品。另一方面，通过大数据处理为客户提供个性化服务。随着生活水平的提高，人们对物质需求的个性化更强，在大数据处理模式下，通过对用户的数据分析来改变过去传统商业模式的处理，从而满足用户的习惯性需求或潜在需求。

二、大数据背景下的电子商务对审计的影响

审计是由国家授权或接受委托的专职机构和人员，依照国家法规、审计准则和会计理论，运用专门的方法，对被审计单位的财政、财务收支、经营管理活动及其相关资料的真实性、正确性、合规性、合法性、效益性进行审查和监督，评价经济责任，鉴证经济业务，用以维护财经法纪、改善经营管理、提高经济效益的一项独立性的经济监督活动。审计按照执行主体分类，可以分为：内部审计、社会审计和政府审计。大数据背景下的电子商务存在着鲜明的特点，对各类审计产生了深远的影响。

（一）对内部审计的影响

科技的发展，特别是大数据处理的发展，使得电子商务的自动化、无纸化、数字化等特征更加明显。这就对企业内部审计过程造成了影响和制约。首先，相关配套法律法规不健全，这些法律法规包括会计、审计方面，也包括与电子商务有关的方方面面；其次，内审人员整体素质不适应电子商务内审工作的要求，知识结构单一的审计人员已经适应不了大数据背景下的电子商务审计；再次，审计风险复杂化程度加大，除了固有风险，审计的控制风险和检查风险更加不易掌控；最后，某些审计程序和方法不适应电子商务环境。比如，大数据的广泛应用，一是审计不仅仅局限于被审计单位证账表等单方面信息，通过大数据分析得到到全覆盖信息已经成为可能；二是应用大数据可以实现审计机关与其他部门的联合审计；三是大数据的应用，在审计范围方面可以实现由抽样审计到全面审计的转变，充分体现审计的事前监督的作用。

（二）对社会审计的影响

在社会审计中，注册会计师要通过搜集证据对被审计单位会计报告的合法性、公允性及会计处理方法的一贯性表示意见。传统会计中的会计报告是对企业财务状况和经营成果的事后反映，主要考虑了会计信息的可靠性，而相关性与及时性不足。电子商务环境下，会计信息使用者可通过获得授权等方式随时查询企业信息，使得及时性大大提高。审计人员完成审计报告的时间距离会计报告的完成时间往往间隔几个月，当信息使用者得到的滞后的审计报告时，有些信息已经过时。对于海量的数据，审计人员如何进行处理是个难题。比如，大数据处理将使电子商务数据资产化，这类资产如何进行确认、计量、记录和报告，就是摆在会计和审计人员面前的一个难题。当然，社会审计和内部审计一样，需建立健全相关的法律法规；在人员素质方面，社会审计对人才的需求更高，社会审计的某些审计程序和方法不适应电子商务环境的表现也更突出。

（三）对政府审计影响

电子商务和政府审计关联紧密的内容就是政府采购方面的审计。当前将电子商务引入政府采购、实现采购人在线直购的地区不断增多，这成为电子商务的一种新形态，同时也符合电子政务的需求。政府采购范围几乎涵盖了公共机构和部门采购活动的全部，货物，工程和服务都是政府采购的对象。政府采购采用电子商务后，可使价格趋向统一、采购过程透明、审批环节简化。政府采购规模大、品种多，产品差异化大等特点使得采用电子商务后能大大提高政府采购的效率。政采电商化在节约了时间成本的同时，还降低了财务成本。政府采购模式的变化，使得政府审计受到了很大的影响。首先，相关法律不够健全。政府采购法律中涉及电子商务的内容不够健全完备。其次，审计过程中尤其是对采购执行结果的审计，在确定审计项目、审计范围和程序方法方面都和传统审计有所区别。在知识结构方面，政府审计对审计人员的要求虽然没有像内部审计和社会审计那么高，但政府审计自身的特点也对人员素质有着独特的要求。

三、完善大数据背景下电子商务审计的对策

（一）建立健全相关法律法规

关于内部审计、社会审计和政府审计，以及电子商务相关的法律法规已经建立了很多，但详细规范电子商务和审计的法律法规少之又少。我国应该加快相关的法律法规建设，一方面，加快中国电子商务立法的步伐，并随着网络交易、信息保护、物流快递、电子支付、跨境电商、食品安全、互联网金融等一系列的电商行业相关法律法规的陆续出台，为电子商务行业的健康发展保驾护航；另一方面，制定和完善审计相关法律法规中和电子商务有关的内容。把审计的内容和电商内容以法律的形式明确下来，使得在操作上更具有可行性。另外，大数据等审计信息化建设也需要在审计领域“大数据”技术应用的相关法规建设。需要注意的问题是，大数据背景下的电子商务从空间范围来看是全球性的。电子商务的业务范围涉及全球的各个角落，这就不可避免地存在国家之间的交易和联系。制定和完善相关法律法规时一定要有国际视野，制定出既有利于电子商务发展的，又能够解决国家之间争端的法规。

（二）建设大数据平台，加快审计信息化建设步伐

大数据平台的建设应充分利用“金审工程”的建设成果，加大大数据背景下的审计研究力度。各类审计要充分利用平台上的数据，达到资源共享。应当建立企业中央数据库，得到有关电子商务方面的信息。光有数据还不够，还要有数据分析平台，通过这些平台得到电子商务方面的信息，为各类审计所用。同时也要注意各平台数据的综合运用，如政府采购中心电子商城平台与审计信息化数据库的共享与运用。

（三）加大审计人员的素质培养力度

第2篇：电子审计范文

【关键词】电子政务；绩效审计；评价指标

一、绩效审计评价指标体系的构建思路

首先，绩效审计评价一定要反映电子政务建设过程中需要解决的关键问题。指标体系的构建，需要紧密围绕当前电子政务存在的突出问题，充分评价和揭示电子政务在建设、管理、应用、创新等方面取得的成绩和不足，并根据这些评价结果，充分分析问题产生的原因，提出有建设性的意见和建议，促进电子政务建设水平全面提高，以达到加强行政能力、提升社会管理和便民服务水平的目的。其次，电子政务绩效审计评价指标体系的设计应该突出其政务应用的特点，从行政管理人员和人民群众的角度，来研究和评价电子政务各类应用的效率性、方便性、实用性。重点关注电子政务的应用是否满足行政管理人员和群众的实际需求，系统和应用的操作是否简便，是否符合行政管理人员和群众的操作习惯。再次，指标体系应该全面反映电子政务各方面的绩效情况。在研究中，我们根据我国电子政务建设的特点将电子政务的绩效评价分为电子政务系统的成本效益、功能与应用、技术指标、管理体系、规划与协调5个方面，并对这5个方面进行全面绩效评价。最后，基本指标应该具有较为普遍的适用性。我国电子政务系统的范围比较宽泛，基本上由政府投资运作的信息系统都被纳入到这一范畴。因此，在绩效审计评价指标体系的设计中，一方面要突出电子政务的特点，另一方面也要考虑到能够面向各主要类型电子政务系统，使所采用的指标体系能够适应对大部分电子政务系统的评价。

二、指标体系的具体构建

1.成本效益评价指标的构建。电子政务系统的建设和管理，属于政府投资项目的一种。在明细指标的设置上，将主要从系统建设和管理的经济性、效率性和效果性对电子政务系统进行绩效评价：（1）经济性。指的是电子政务系统建设成本控制情况，具体明细指标包括：系统建设资金成本、系统投资合理性、系统成本控制、重复建设成本等，主要用来评价电子政务系统开发、建设阶段的绩效情况。（2）效率性。指的是电子政务系统的开发速度、投入力量、推广速度、使用情况等，具体明细指标包括系统开发周期、系统推广周期、系统使用比率等，主要用来评价电子政务系统开发和应用的效率性。（3）效果性。指的是电子政务系统建成后的建设效果和使用效果，具体明细指标包括政府成本减少度、用户成本减少度、行政透明化程度、流程减少程度、经济效益等，主要用于对电子政务系统建设的效果性进行评价。

2.功能与应用评价指标的构建。功能与应用是电子政务系统的直接产出，其效果也是系统绩效最直接的表现形式，因此对电子政务相关功能和应用的评价是电子政务系统绩效审计评价的核心内容。在进行绩效审计的过程中，审计人员要充分从用户的角度对应用和服务的效率性、方便性、实用性进行评价。相应的，功能与应用方面设置“效率性”“方便性”“实用性”三个二级指标：（1）效率性。对于电子政务系统而言，体现服务效率的主要因素包括服务的速度、质量和应用范围三个方面。只有速度快、质量好，并且能够充分应用在相关业务范围内，才能认为该系统的服务具备了充分的效率性，具体明细评价指标包括服务速度、服务及时性、服务质量、操作简易度、服务覆盖度等。（2）方便性。用户便利性体现的是服务渠道的畅通程度，或者说服务交付方式的便捷程度。地理位置和时间、跨部门操作以及异常业务需求等因素对服务交付的影响都应纳入该指标的考虑范围，具体明细评价指标包括空间灵活性、时间灵活性、业务覆盖度、跨部门服务整合度、业务异常识别处理能力、弱势群体老年群体访问便利度等。（3）实用性。效率性和方便性满足要求时，也只解决了用户对于功能和应用的使用问题，而更为关键的是服务功能和应用是否能够满足用户的实际需要，是否解决了以往没有应用电子政务系统时代所难以解决的问题，具体评价指标包括界面友好性、功能紧迫性、时间节约率、审批环节减少率等。

3.技术体系评价指标的构建。技术平台是支撑电子政务系统运作的内在驱动，技术设计和实施的质量将影响电子政务系统的各方面表现。不过单纯从技术角度看，电子政务系统与其他管理信息系统并没有明显的差别，其评价都是以架构设计、标准规范、安全性、可靠性和灵活性等几个方面为主。因此本指标的二级指标依次为：（1）架构设计。整体架构设计是电子政务系统建设的基础工作，其合理性将直接决定整个系统的成败。架构指标即针对系统架构设计进行评价，重点考察的方面包括需求分析、资源配置、可操作性等指标。此外，目前国内的电子政务系统建设往往存在重复和冗余的现象，比如在某单位同时存在着自行购进的和上级指定的两套OA系统，而该单位业务数据处理系统也提供了OA功能。这种现象不仅造成了资源的浪费，而且还带来了业务上的混乱，影响未来的数据和系统整合工作。究其原因，就是在系统设计规划中没有从全局角度进行考虑，忽视了对系统的功能定位、与其他系统之间关系等方面的分析。因此，在架构指标中还特别提出“全局性”三级指标，以全面评价系统架构设计的合理性。（2）标准化。系统各种设计和接口的标准化是保证系统整合与交互能力的根本。由下往上看，这种标准化体现在三个层次上，即底层的技术架构标准性、中层的数据交换标准性，以及顶层应用层的业务数据标准性。因此，对标准化的衡量也应以这三个方面为主要内容。（3）安全性。相对于电子政务系统的其他方面特征，我国对电子政务系统的安全性有比较明确的规定和要求，比如基本的安全投资比例要求、进行软件安全测评的要求，以及根据系统业务的密级而提出的不同安全方案要求等。因此，安全指标的设计可以采纳这些国家标准，并充分利用各权威咨询机构的测评结果作为评价依据。（4）系统柔性。系统柔性主要体现的是系统的灵活性、可扩展性等方面特征。我国目前正处于行政改革之中，政府部门的组织结构和业务流程的变动相对比较频繁，这就要求电子政务系统具有较高的柔性，否则一旦应用环境发生变化，系统将因无法适应而不得不淘汰。从技术角度看，这种柔性主要体现在两个方面，即功能上的扩展能力和性能上的扩展能力，因此其三级指标的设计也应以这两个方面为核心。（5）可靠性。系统的可靠性主要体现在正确率、平均无故障运行时间、平均故障恢复时间等可量化的指标上。需要特别说明的是，评价这些指标的前提是该系统的管理人员必须进行了详细完善的日志记录，而在实际工作中，并非每个单位都能做到这一点。因此在日志记录不完善的情况下，评价人员应该降低可靠性的评价水平。

4.管理体系评价指标的构建。广义的信息系统管理包括信息系统的设计、实施与评价，信息系统运行管理和安全管理，组织的信息资源配置和信息技术投资评估等方面。在本文中，电子政务信息系统管理指的是狭义上的系统开发管理、系统运行管理和系统安全管理。设置的二级评价指标如下：（1）开发管理。主要从电子政务系统是否有持续、称职的开发团队，开发的可行性研究是否充分，设计方案是否科学，开发过程管理是否规范等方面进行评价。对于开发过程的绩效评价，更适用于对电子政务系统建设的跟踪审计，使得在系统建设过程中能够及时根据审计结果进行必要的整改。（2）运行和安全管理。主要从电子政务系统是否有专业称职的管理人员、系统管理内部控制制度、职责分工、数据安全管理、高层重视情况、人员培训情况等方面进行评价。运行和安全管理的绩效审计，应关注“重建设、轻管理”问题，目的是通过绩效评价和督促整改使被审计单位能够规范管理，有效维护系统安全，充分发挥电子政务系统的作用。

5.规划和协调情况评价指标的构建。各地区、各层级、各行业的政务信息化是由诸多的电子政务系统组成的，而且各系统之间存在着直接或间接的联系。做好信息系统建设的统筹规划和协调，共享技术和数据，是充分发挥电子政务信息系统作用、提高政府投资效率和行政效率的重要因素。评价电子政务系统统筹规划和协调情况主要包括两个方面：一是对于同一电子政务的近期、中期、远期开发是否具备科学的统筹规划，如金审工程一期、二期、三期工程建设的统筹规划情况，有无功能冲突、数据和环境不兼容、重复建设情况；二是不同系统之间建设的规划、协调、数据和功能共享情况，如某市的政府投资项目审批系统、国土资源管理系统、招投标管理系统、档案管理系统等系统的数据接口衔接和资源共享情况等。电子政务绩效审计是促进和完善我国电子政务体系，实现高水平政务信息化的重要途径。以上对电子政务绩效评价指标体系的研究，是针对当前电子政务的发展状况、趋势和存在的问题进行的绩效审计探索和实践，在实际应用中，还需要做更深入的研究和完善。在审计实践过程中，审计人员需根据实际情况进一步挖掘具体的绩效审计方法，不断积累电子政务绩效审计的经验，助力提升政务信息化水平，以更好地为提高政府行政效率、完善社会管理体系和服务能力提供审计支持。

【参考文献】

［1］李新友.从“电子政务”到“互联网+政务服务”的创新发展.“中国信息安全”，2019（03）

［2］孟钊.试论我国电子政务发展面临的主要问题.“现代经济信息”，2012（04）

第3篇：电子审计范文

关键词：电子商务；企业审计；流程

当前信息化建设飞速发展，各行各业信息化、数据化的程度水涨船高。信息技术的发展为建立一个跨时空的实时商务系统提供了技术平台，电子商务应运而生。电子商务环境下的企业审计对传统的审计模式是巨大的冲击，它改变了企业的管理理念和会计模式，一定程度上给审计人员带来了便利，但也带来了很大的挑战。以下，就电子商务环境下企业审计要素、审计流程、审计报告的变化展开分析。

一、企业审计变化的几个方面

1.审计目标

传统的审计目标主要是查错防弊。会计工作人员收集证据主要是使自己能在真实合法的环境中对会计报表的合法性、公允性、一贯性表达客观公正的意见，生成审计报告。在传统的会计行业中，会计报表对企业经营状况和经营成果反馈的及时性和相关性不足，而主要考虑了准确性和可靠性。随着电子商务、网络财务等新技术的涌现，经济活动更加开放，企业审计的目标也向更深更广扩展。企业把公司简介、产品信息、企业财务等放到企业网站上共享，大大提高了信息传递的及时性。在大数据、信息大爆炸时代，企业审计更加注重及时性，传统审计已经完全不能适应电子商务环境下的审计要求。

2.审计对象

通过对电子商务环境下的审计的观察，我们发现互联网将企业的资金、物资、信息等资源融合在一起。不同企业之间可在各自的网站平台上了解相关产品，并在网络上达成共识，召开视频会议，签订电子合同，进行电子支付一整套的商务活动和流程[1]。可见电子凭证已成为电子商务环境下企业审计的重点对象。电子商务的交易一般是在网络中完成的，因此交易的安全性必须得到高度重视，所以与传统审计不同，电子商务环境下的审计对象也包括对企业内外环境安全性的检查。

3.审计方法

传统的企业审计，会计人员核账方式基本以账账核对、账实核对、账证核对为主。会计人员根据原始凭证来编制记账凭证[2]，根据凭证登记明细账和总账，最终根据账簿编制会计报表。在经济高度发展的今天，传统审计方法已失去意义。会计信息系统在电子商务中的广泛运用，使财务信息的同步性大大提高。审计人员可通过一些接口来获取相关资料，凭借发达的信息网络来实现远程操作。部分审计软件也使得审计人员在分析数据工作时，通过对这些软件的利用对信息进行加工，得出最终的审计结果。如运用数据库采集原始信息，选取样本，有针对性地分析调查。

4.审计环境

电子商务改变了企业审计的环境要素，大体涉及地理环境、法律环境、审计技术等。电子商务对企业地理环境审计的改变主要在于，传统的企业与企业间进行面面交易，一切经济活动都是线下完成。电子商务的出现从根本上改变了企业的交易方式。企业不再局限于面面交易，而通过网络完成整个经济活动，大大缩减了交易环节和程序。再者，审计人员也不用亲自到达审计现场，可在电子平台上对企业信息进行整合分析和远程操作，这一环境下的审计大大提高了审计人员工作的时效性。电子商务对企业法律环境审计的改变在于，电子商务环境下的企业经济活动将会面临更大风险，不稳定因素随时存在[3]。而我国当前在电子商务方面的法律法规还不够完善。因此，建立一套完整的法律制度体系成为当务之急。电子商务对企业技术审计的改变主要在于，当前各种新技术不断涌现，企业要把握机遇，将新技术运用到经济活动中。然而，新技术虽好，也有利有弊，它在提升企业审计时效的同时，给审计安全带来巨大的挑战。

二、电子商务环境下企业审计的流程

1.企业的电子商务情况

电子商务采用全球网络化信息系统，企业一方面面临系统自身的风险，另一方面要面临网络黑客和病毒的入侵。审计人员须如实掌握企业电子商务情况，在此基础上开展企业审计，这是评估企业电子商务风险、财务信息可靠性的必要环节。对企业情况的掌握，包括对企业电子商务类型的掌握（纯粹电子商务企业，以电子商务做补充的实物贸易）；对企业产品的掌握（虚拟产品如点卡、实物产品如服饰）；对企业电子商务应用范畴的掌握（部分实体交易、全部线上交易）；对企业收入来源的掌握（由传统的提供产品到向技术服务、广告的转变）。

2.内部控制

对企业的内部控制，可从以下两个方面展开：一是对安全性的控制，考察信息的安全性，需要分析信息是否安全、可获、完整、保密、真实。企业一般会建立安全基础架构来确保其电子商务系统的安全，通过对信息安全进行风险评估、政策分析、引入维护时的标准防控。如：运用病毒防护软件、网络防火墙、加密技术等。二是对交易完备性的控制。企业为了评估信息的可靠性，会对电子商务交易中的信息的完备性进行有效检验。审计人员需要对企业的各种状况有全面的把握，才能判断企业的内部控制是合理的、稳定的、可靠的。

3.符合性测试

在审计人员对企业内部控制情况全面掌控的情况下，展开符合性测试，通过符合性测试来判断企业日常运营中是否真正落实了对其控制的初衷。一般而言，企业的符合性测试包括两方面：一是安全性测试，此部分包括检测系统是否只能被授权企业访问；通过对防护墙的攻击测试，检查系统的实际可靠性；对企业合作伙伴进行抽样审查，检查其数字证书的合法性。二是对交易完备性的控制。对企业交易行为进行抽样检查，看其是否有少记漏记的现象，检测在同一网络环境下的企业交易信息是否一致[4]。

4.实质性测试

审计人员通过对会计报表的真实性、合法性做出科学的检测，获取直接的审计数据，运用观察、检查、函证、查询、计算等方法综合分析，得出最终的审计结论。审计人员在审计过程中通过电子函证来证实交易的完整性和真实性，通过系统运行结果和人工计算结果，来分析数据处理的正确与否。

5.电子商务环境下的审计报告

审计人员在掌握企业内部控制情况的前提下，做出符合性测试和实质性测试，最终通过对收集到的审计资料进行汇总，编制成审计报告。电子商务环境下的网络审计，可采用在线实时报告。研究表明，提高企业信息披露的宽泛度和报告频率可给企业带来经济效益[5]。在审计报告的内容、形式以及审计报告编制和使用方式上，实时审计报告体现出传统审计报告不可比拟的优势。审计报告首先要能反映企业的经营状况，其次要能对企业的控制系统做出合理有效的评价，再次要揭示审计中发现的问题，最后提出相应的改进措施和意见。

三、结语

电子商务改变了企业的审计环境，为确保市场有序运行，须建立一种新的机制，来实现对企业经济活动的全面监督。随着电子信息技术的不断更新发展，审计流程会更加简化，审计方式会不断更新，企业审计必须采用先进的信息技术，来确保审计能适应时展的要求。

参考文献：

[1]陈萍.电子商务环境下的企业审计初探[J].中国商贸，2015，（1）.

[2]贺宇辉.试论电子商务环境下的企业审计研究[J].商场现代化，2014，（31）.

[3]马洪明.电子商务环境下的审计问题探讨[J].中国科技纵横，2013，（11）.

[4]吕刚.电子商务环境下的企业审计研究[J].当代经济，2013，（10）：94-95.

第4篇：电子审计范文

关键词：云计算；电子政务；信息系统审计；安全审计

一、引言

“十二五”规划明确要求以云计算为基础，积极构建并完善政府公共服务平台，促进政府各机关组织全方位协同、信息资源共享以及为信息安全提供保障。“互联网+政务服务”的概念在2016年政府报告中被提及，自此政务云、政务信息系统的建设步履不停。翟云（2017）认为“互联网+政务服务”能够推动政府实现治理现代化。从实践成果方面看，全国各地积极将电子政务系统投入公共服务工作中，并建成各省市区网上政务信息平台。成都市致力于统筹公共信息平台与信息系统，综合调度、加强政务信息系统的交互访问；2019年甘肃开辟多条信息化税务通道“前后呼应”为民众减负；北京大兴区政府致力于建设智慧城市、打通政务服务“最后一公里”，与百度合作共同打造“指尖上的政务”；2020年浙江开设“云上商务厅”，提供线上“厅长问诊”服务。据2020年联合国出具的对世界各国电子政务调查报告显示，我国2020年电子政务发展指数居全球第45位，排名较之前有了显著提升。我国电子政务系统建设虽初有成效，但仍有进步空间。在信息系统设计与实施方面，电子政务信息系统的协同与完善、政务数据互联共享机制有待完善；在数据存储安全方面，信息存储与访问安全、公民隐私保护措施仍有待加强。

二、相关概念与理论基础

1．电子政务。电子政务是依赖信息技术与通信技术开展的政府政务活动。电子政务建立在一系列信息基础设施之上，使用相关软件实现政府功能，电子政务信息系统是一种利用网络实现公共服务，集信息处理、交互、反馈为一体的系统，电子政务信息系统适用于政府各机关组织、企业和公众。电子政务信息系统服务的对象包括该组织的内部机构，以及其他机构、团体、企业和公众，处理内容包括政府机构的内部信息，可以在一定范围内交换的信息，并接受各种类型的投诉、建议和要求。简而言之，电子政务信息系统是一种政府综合行政电子管理系统，通过技术手段将政府传统行政方式转变为电子管理模式。

2．信息系统安全审计。2012年审计署的《信息系统审计指南》指出，信息系统审计是国家审计机关依法对被审计单位信息系统的合法性、真实性、效益性和安全性进行审计监督。而信息系统安全审计是围绕系统的“安全性”属性展开一系列审计活动。例如，从风险管理角度测试黑客攻击、网络诈骗、病毒侵入等安全风险对组织造成的不利影响；或是从内部控制角度审查来自组织内部的舞弊、异常删除、未经授权的访问等，造成信息资产损坏、个人隐私泄露等后果。综上所述，信息系统安全审计的目标是评价信息系统是否足够安全，能否识别并抵御内部、外部的安全威胁，以及评价信息系统内数据的安全性、完整性。

三、文献研究综述

1．数据与存储安全审计。数据安全指的就是承托信息的数据安全，包括结构化与非结构化数据的安全。在实务中的理解就是，做到用户数据信息资产的保密性、完整性、可用性、授权与访问等方面的安全防护。随着政府信息化建设的不断推进，信息资产安全需求增加，政府对数据的机密性、完整性要求极高，但受制于有限的本地存储资源，往往会依托第三方可靠的云存储服务。由此，电子政务信息系统的安全审计需基于“云”的背景展开。国际信息系统审计与控制协会（InformationSystemsAu-ditandControlAssociation，ISACA）认为云审计的主要关注点是云治理、网络配置管理、身份和访问管理、资源配置管理和资源安全、日志与监控、安全事件响应、业务连续性和灾难恢复、数据保护和数据加密。Wang（2013）从资源配置角度提出一个云存储系统，基于公钥的同态线性身份认证器显著减少审计方的通信和计算开销。Mei（2014）从云治理层面提出一个能够对典型云存储系统进行审计的云安全审计体系，将可信的计算技术与第三方审计相结合，既支持云服务提供商的问责，又能保护云用户的利益。在身份和访问管理层面，Anbuchelian等（2019）创新了密码策略，密钥提供者使用改进的RSA密码系统算法（称为MRSAC算法）生成密钥，采用多级哈希树算法对数据信息的完整性进行审计验证。Shen（2017）则是从身份验证机制方面提出改良建议，引入第三方媒介为用户生成身份验证器，并代表用户验证数据完整性。区别于加密算法复杂的操作过程，用户访问云数据时无需执行耗时的解密操作，只需确保使用的第三方媒介在有效期内且获得授权即可。为确保外包数据的完整性，Li等（2020）提出一种支持数据动态的安全可审计云存储方案，使用轻量级的信息加密操作便能使审计在检查数据完整性方面快了两倍。Madi等（2016）则从系统结构的视角，构建一个自动化审计框架用以验证与虚拟化相关的安全属性、多个控制层的一致性，并通过覆盖层和第二层的云视图来审计openstack管理的云中虚拟网络之间的一致性隔离。

2．政务信息系统审计理论框架。陈柏兴（2010）基于可拓模糊理论的负载均衡模型，构建了一个适用于电子政务信息系统的安全审计框架。刘国城、王会金（2012）借鉴COBIT理论，以日志为导向提出了信息系统安全审计模型构想。张文秀（2012）综合比较典型的国际信息系统审计标准、框架和指南，以国家文化差异为影响因子建模，探究信息系统审计规范制度是否可移植。同样是研究国外理论的可移植性，唐志豪（2014）就国际信息系统审计准则进行本土化分析。冯朝胜（2015）从加密存储、安全审计和密文访问控制3个方面对云计算在数据安全方面进行评述。刘国城（2016）基于审计的“过程”视角探讨信息系统安全审计如何展开，并提出适用于电子政务的云安全审计模式，结合既定风险估值与风险等级层次分析，从宏观角度论证信息系统安全审计免疫体系。杨文（2018）从国家宏观层面出发，认为我国政务信息资源共享安全方面面临着数据风险、平台风险和管理风险，提议建立政务信息系统共享平台，多角度、全方位地进行信息系统审计。白利芳（2020）对我国数据安全审计现有的四大机制进行综述，并在此基础上构建了数据安全审计机制的框架。还有的学者探讨如何量化政务云安全风险。刘国城（2017）以商业银行信息系统为审计客体，以“审计免疫”为理论基础，借助“信息熵”技术进行安全审计，实现风险的分级与量化。王会金、刘国城（2018）创新性地引入“重大漏误风险”，对实施、管理、控制与技术这四个领域实施系统化的风险评估，构建审计框架。

四、我国电子政务信息系统审计实施现状

我国审计机关开展信息系统安全审计工作起步较晚，信息系统安全审计上也有一定的研究。首先从政府部门角度来看，我国相继出台了一些有关信息系统安全审计的法律法规。2010年4月，审计署了《关于检查信息系统相关审计事项的指导意见》，该指导意见第一条就明确要求审计机关检查被审计单位的信息系统的安全性，也具体说明了信息系统安全审计的对象、内容及方法。此后，审计署了《信息系统审计指南》，在指南中明确信息系统安全审计的内容，并提供了一些信息系统安全审计的方式方法、审计程序，指导审计机关开展信息系统安全审计工作。从审计内容方面看，信息系统安全审计主要包括安全性审计、内部控制审计和平台建设健全性审计。安全性审计是指各国在进行信息系统安全审计时都以信息系统的安全威胁作为关键审计事项。电子政务系统的信息安全不仅包括信息数据本身的完整性、保密性、安全性，还包括云存储方式下存储技术的安全与信息载体的安全，因此防范和化解信息系统安全威胁是保证我国政务信息安全的关键。除此之外，信息系统审计还需关注内部控制和平台建设健全性审计。一方面，电子政务信息资产涉及国家或相关企业的内部信息，保护信息资产安全是核心要务。虽然政务内网与政务外网存在物理隔离，但内部人员的恶意泄露防不胜防，因此要审查内部控制的规范性，力求避免机密信息的泄露或丢失。另一方面，政务系统本身可能存在设计缺陷或平台建设安全问题，因此既要从系统设计层面审查系统结构的健全性，又要完善信息资产的分级、分类存储程序。

五、我国电子政务信息系统安全审计的启示

1．建立健全信息系统审计安全体系。中国计算机用户协会的《信息系统审计师职业技能评价》（T/CCUA002—2020）标准，提出了基于信息系统的4类结构性控制的知识体系，以及4个方面的信息系统审计知识。从近年国内出台的规范来看，由于没有专门机构负责审计系统审计方面的规则、标准、指南，各个机构出台标准、规范、指南等并不统一。由于缺少适应我国国情的标准和规范，大部分还是出于信息系统审计人员个人理解对理论研究和框架模式的探索，不具有广泛性。国内信息系统安全审计方面系统体系混乱的问题亟待解决。因此，从云治理层面出发需要关注云治理结构、方针政策和规范制度、风险管理与权责分离。一是完善法律法规，为IT审计人员提供强有力的法律依据；二是加强审计指南的层次性，细致具体的审计层次结构能够帮助审计人员快速识别分析的控制弱点、确定审计计划、实施具体审计程序，提高审计效率，也节省审计资源；三是优化信息系统控制标准，便于IT审计人员评估系统的控制状态。具体而言，建议指定机构专门负责编制相关标准、指南，为构建符合实际需求的安全审计体系，建议出台总体标准、基础设施标准、数据标准、业务标准、服务标准、管理标准以及安全标准，将信息系统安全审计的体系规范化、详细化。具体如图1所示。

2．优化审计工具软件配置。目前我国政府机关配置的计算机信息系统与审计软件的接口匹配度不高，导致审计工具软件的利用率较低；此外随着信息系统审计实务越加复杂化，审计软件需要定期更新升级，否则审计软件存在功能滞后性，严重影响信息系统审计的实施。信息系统审计工具软件优化配置可从以下几方面进行：一是建议将审计软件的采购纳入招标竞争机制，优先采购通用型审计软件，解决软件与硬件不匹配的问题；二是提高审计软件的采购标准，尤其是对审计软件的实务类的功能（如数据分析处理功能）严格把关；三是与审计软件供应商签订长期服务协议，保证审计软件的配置与维护升级。

3．信息系统审计人才培养与储备。信息系统审计不仅需要灵活使用专业知识，更需要实务经验，因此人才是信息系统审计的关键，只有重视并系统性培养人才，才能在未来信息系统发展中赢得优势。信息系统审计师需要将诸多学科的理论知识融会贯通，并灵活应用于实践。在审计实践中不仅仅会遇到信息系统审计方面的难题，还可能遭遇财务难题、组织管理难题、网络技术难题等。因此，想要提高国内信息系统审计水平，离不开人才的培养与储备，应加快建设并扩充信息系统审计的职业队伍。信息系统审计人才培养可考虑从以下几方面进行：一是加强理论研究。鼓励高校线上线下同时开展信息系统审计相关课程的培训，帮助学生学习掌握信息系统审计的理论体系；二是加大培训力度、拓宽培训范围。开展多渠道的培训讲座，展示表彰优秀审计案例，加强审计人员间经验交流；三是加大绩效考核和优化激励制度。号召相关从业人员积极参与实务，定期考核从业人员的绩效并及时发放奖励，充分调动审计人员的参与积极性。

六、小结

第5篇：电子审计范文

关键词：电子政务；安全审计；大数据；应用层

我国于2021年11月出台的《“十四五”信息通信行业发展规划》首次将创新发展网络安全产业作为重要任务之一，并将新型数字基础设施的安全保障提升到新的战略高度[1]。大数据背景下，审计主体应顺应电子政务网络动态监管要求，将网络安全引入电子政务审计模式中。由于电子政务网络安全审计区别于传统审计工作，其具有取证广泛性、审计对象多样性等特征。鉴于此，本文基于风险分析和模块取证，对电子政务网络安全审计应用层做出探讨，旨在为电子政务网络安全审计应用层理论发展提供参考思路。电子政务网络安全审计系统的建设过程是一种动态模式，其建立在现代软件工程环境基础上，结合安全模式下数据交换与程序链接的一种安全信息审计系统，通过访问控制与安全审计等方式，对用户信息进行集中管理与调控，具体见图1。大数据背景下电子政务网络安全审计应用层的设计应从安全层面进行深度思考，围绕安全审计进行研发，其应用层设计包括风险分析与模块取证等。

1.风险分析视域下的电子政务网络安全审计应用层探析

1.1电子政务网络安全审计风险分析

1983年，美国注册会计师协会（AmericanInstituteofCertifiedPublicAccountants，AICPA)提出风险算法，审计风险不仅是重大错误风险与检查风险的乘积，还是固有风险（InherentRisk，IR）、控制风险（ControlRisk，CR）、检查风险（DetectionRisk，DR）三者乘积[2]。因此，大数据背景下电子政务网络安全审计风险由以上三要素组成。关于电子政务网络安全审计风险构成，见图2。1.1.1电子政务网络安全固有风险。电子政务网络安全固有风险指的是在排除内部因素控制下，基于大数据的电子政务系统受到一定因素引起的重大安全事故，并在该因素影响下造成损失，关键节点在于该因素所发生的概率。固有风险主要体现在技术层面、管理层面以及政策层面等。若其中任何一个层面出现问题，都可能引发电子政务下的审计风险，因此需要对固有风险的组成部分系统分析，依据分析评价电子政务网络安全固有风险。首先，技术层面主要涵盖数据、应用、主机系统以及网络等，其固有风险表现于SaaS层、PaaS层、IaaS层[3]。SaaS层技术风险包含数据传输风险、应用隔离风险、应用程序和应用补丁互不兼容风险以及数据泄露风险等；PaaS层技术风险包含数据处理风险和云开发风险，数据处理风险是由服务器频繁增减、组件失效以及多用户并发访问所引起的一种风险，而云开发风险则是由不确定的编程模型、不安全的开发环境和复杂的编程接口等方面所引起的一种风险；IaaS层技术风险主要来源于虚拟机内部与外部两种风险，内部风险来自虚拟机的攻击与冲突，外部风险来源于虚拟机与外界系统发生交集时，所产生的信息泄露风险。其次，管理层面主要涵盖制度、人员、组织以及系统建设等。管理层面的固有风险包括权限管理混乱、供应链终端、数据归属不明、服务终止、安全边界不清晰以及内部人员恶意操作等。最后，隐私数据的保护与泄露以及责任界定等所面临的风险亦属于固有风险范畴。1.1.2电子政务网络安全控制风险。电子政务网络安全控制风险被定义为内部控制未及时发现网络安全事件以及没有同时对即将发生的安全事故进行防御与处理的概率。大数据背景下的控制风险分别涵盖审计系统的设计与控制，以保证科学有效的安全控制为前提[4]。由于目前电子政务网络安全管理只重视业务流程以及安全硬件建设，对电子政务系统内部控制建设方面重视度不足，当审计应用层内控系统出现混乱、模糊或者错误时，意味着其在执行力以及运算力方面表现不足，容易引发电子政务网络安全控制风险，因此，关于审计应用层中的内部控制建设问题，应由建设方、开发方、运营方和服务方等主体机构共同参与并引起重视，时刻检查内部控制设计与执行是否存在重大缺陷，降低控制风险。1.1.3电子政务网络安全检查风险。电子政务网络安全检查风险被定义为，安全事故即将引发的安全风险没有被检测到的概率。检查风险因素包含多种维度：（1）工作人员的素养，比如审计员的工作能力；（2）审计环节的规范，如审计方案和技术等是否具备科学合理性；（3）检测环节的合规，如在检测中技术手段是否恰当；（4）审查环节的合理，如在审计抽样时是否合理。大数据背景下电子政务网络安全审计不仅要求审计主体拥有计算机技术、审计技术、安全管理学等多领域知识，还应对这些学科具备精通能力。由于培养复合型审计人才需要长期过程，目前又没有较为成熟的安全审计体系与规范可以借鉴，所以，如何降低电子政务网络安全审计检查风险是现阶段需要高度重视的问题，有待审计主体多举措并施和统筹规划等。

1.2电子政务网络安全审计风险评价

风险分析视域下电子政务网络安全审计应用层的设计模型应涵盖固有风险、控制风险、检查风险因素，分别通过感知、调查、审核三方面功能来完成应用层的构建，同时挖掘导致关键风险出现的因素，判断其能否被转化，并建立风险模型以及做好风险识别，评估风险出现的概率，对可能发生的安全事故进行风险评价。根据工程学相关理论，电子政务网络安全审计风险因素来源于审计人员、电脑系统以及环境三方面，其中，审计人员风险因素指的是相关参与者在审计环节中因其心理、生理和可靠性等原因造成的电子政务网络安全审计风险；电脑系统因素指的是，在电子政务网络安全硬件与软件设计时可能产生的安全事故；环境因素则是指除人员风险因素和电脑系统因素以外的业务因素所造成的风险问题，如逻辑管理方面和法律法规方面等。因此，审计主体需要针对各项风险要素，审计人员、电脑系统以及环境因素三个角度为切入点，检测与审查潜在风险事件发生的概率问题，及时防范因电子政务系统瑕疵被可利用的信息漏洞引发的安全事故。由于安全风险诱发原因不同，造成后果会产生差异性。基于此，审查主体可利用三种方式进行鉴定：（1）模块分解，在进行审计时，可根据造成安全风险的原因和后果进行分类并建立对应模块，如将诱发风险的因素分解成大小不等的模块；（2）图解描述，将诱发风险的因素以图解的方式进行形象描述，便于相关审计人员做出更好的理解；（3）动态分析，借助数据图表的技术手段，对安全审计风险进行分析，结合图表中的关键数据变化，做出风险预判。风险评估注重网络安全审计风险事件发生过程，指的是审计主体对安全事件发生概率进行定量评估，在安全风险可能造成损失时，以历史资料为依据，通过概率统计等方式预估，无论是评估范围的确定，还是评估方法和方案的制定，评估步骤需以安全审计为中心。在面对造成安全风险的多种要素相互叠加时，审计主体可通过对应的数学公式对风险评估进行运算，例如采取交叉相乘的方式方法进行。风险评价则是风险评估在进行过程中的进一步深化措施，在此过程中，审计主体需要采取风险诱因、风险结果、风险监督措施三方面的等级划分。需要注意的是，当对安全风险事件进行发生概略评价时，应围绕攻击软硬件基础设施与资产力诱因等方面综合考量；当对安全事故所造成的损失进行风险评价时，应围绕资产本身和社会影响程度等方面进行综合考量。所以，在审计主体进行风险评估和风险评价时，应注意对此过程所发生的成本进行权衡，确立可接受安全风险防控范围。对于可接受的安全风险防控范围，则保持原有风险防控措施；当安全风险防控成本超出时，需要采取新的防控安全风险策略或者在原有防控措施基础上做出修改，以便于及时完成对审计环节中所出现的网络安全风险问题进行全程实时监控。

2.基于模块取证的电子政务网络安全审计应用层探析

2.1电子政务基础设备网络安全审计分析

2.1.1物理基础设备安全。电子政务系统基础设备分别由物理基础设备资源与虚拟基础设备资源构成。关于物理基础设备安全，其包括设备与设施安全、介质安全和环境安全，审计主体从自然要素和人为要素角度出发，对设备与设施、介质以及环境状态进行评价，结合真实有效性、合法合规性、科学正确性对审查意见进行客观公正。首先，对于物理基础设备与设施的安全性应从以下四方面进行考虑：（1）为防止相关设备与设施的日常损坏，审查主体应遵循定期检查原则，例如对监控、设备等安全基础设施进行日常巡查；（2）为防止电磁泄漏等情况发生，需定期对干扰、滤波等方面进行安全防护与安全审查；（3）基于操作规范、UPS和调整器等电源保护状况进行审查；（4）基于设备转移、设备处置和设备维护等方面对设备保护状态进行巡查。其次，关于介质安全设计，要从防范自然损害状况，对建立的相关权限与级别进行查看，并核验介质的清除、销毁、备份等是否在遵循合理制度下进行的，同时还需查验涉密存储介质是否采取有效技术防范。最后，环境因素决定着物理基础设备的安全，后者能在安全环境下全面运行是审查的主要因素之一。此外，大数据背景下，审计主体还应做出科学化安全部署，以合理性原则来决定机房与电能的选择，同时测试防火、防水、防静电工作是否到位，根据规定对湿度、清洁度和温度进行审验，对方案提出进一步整改。2.1.2虚拟基础设备安全。虚拟基础设备安全指的是通过虚拟化技术构建虚拟资源安全中心，包含虚拟机、客户机、主机以及虚拟机监控器等组件。虚拟基础设备安全问题来源于多方面风险，一方面面临虚拟机之间、虚拟机与宿主机之间、虚拟机控制中心的威胁，另一方面面临虚拟机安全管理疏漏风险[5]。关于电子政务网络虚拟基础设备安全审计需要从以下三方面入手：（1）宿主机安全，审计主体在测试宿主机安全过程中，优先检查制度方面的合理性以及严谨程度，再从主机资源的使用频率为切入点，对相关文件进行全面分析与检查，综合判断下来确保虚拟机是否能被网络攻击；（2）审计主体应采用取证思维对虚拟机进行防控，通过虚拟机的取证过程，判断其是否存在干扰现象，关注其监控框架中的固有缺陷，判断虚拟机之间的二层流量交换是否为合法访问以及是否存在恶意攻击；（3）审计主体应查看虚拟机监控器的安全机制是否健全，安全体系的搭建需要建立在技术层面以及制度层面，例如对防火墙进行加强保护，制度管理层面需要及时更新规范操作等。

2.2电子政务数据信息网络安全审计分析

电子政务系统数据信息网络安全审计的任务是对数据信息的完成性以及可用性等进行取证，基于安全生命周期下发现薄弱位置并提出改进意见。其安全生命周期阶段涵盖多个阶段，从生成到销毁、从共享到存档等，各个阶段面临的安全问题也不尽相同。例如：关于数据的存储，审计主体要考虑数据存放位置、安全区域划分、网络传输服务以及静态和动态存储等是否合理安全；关于数据的使用，身份信息和访问制度等环节是需要审查主体进行认真审查的环节，与此同时，还需甄别是否存在安全漏洞以及非法操作的存在，如跨站点脚本、未经验证的重定向和转发、伪造的跨站点请求等。

2.3电子政务应用服务网络安全审计分析

电子政务系统应用服务是云计算技术在应用层的具体表现，是以完成特定运算任务的一种应用措施，涵盖软件与硬件的应用安全、系统服务的完善程度等方面。关于系统服务网络安全审计，审计主体在开展时是电子政务系统基于平台功能、性能以及架构等方面进行审计取证，运用回归测试技术对电子政务平台的兼容性、连通性、可扩展性、隐私性以及安全性进行保护监测。软件应用安全审计则主要聚焦于三方面：第一，软件功能审计，审计主体采用并发测试、容量测试以及负载测试等方法，同时选取响应时间、聚合宽带、资源使用率等评价指标，运用云环境对实际用户负载和整体性能等情况进行模拟；第二，软件安全审计，由于网络安全事件未发生时的不确定性，审计主体用多种手段进行测试，如故障分析、模糊测试等技术手段对软件可能存在的漏洞进行甄别，并检测软件保护机制是否被破坏、软件口令是否被截取等非法入侵行为；第三，软件维护审计，软件服务是否达标，要从持续力和适应力等角度进行综合评价，当审计主体发现软件故障可引起安全事故的发生，此时能在规定时间内快速修复相关漏洞，是评价软件维护审计能力的重要因素。3结语通过研究发现，未来电子政务网络安全审计应用层应遵循科学化设计框架，审计主体需要构建网络审计相关法律及章程，增强安全风险意识，借助大数据技术，合理遴选审计模式，在优化电子政务网络安全审计体系的同时，建立从全局视角解决审计问题的意识。

参考文献：

[1]王晓彦.大数据背景下鄂尔多斯市政府电子政务平台建设研究[D].内蒙古农业大学,2021.

[2]安创文,刘峰,李炯彬.电子政务信息系统质量监督中的网络安全检测[J].质量与认证,2022,(2):66-68.

[3]武乾,陈燕玲.电子政务领域个人信息的法律保护[J].西南石油大学学报(社会科学版),2022,24(1):86-96.

[4]蒋洪杰,刘云朋.大数据环境下的河南省电子政务信息安全管理体系构建研究[J].焦作大学学报,2021,35(4):59-62.