安全审计机制精选(九篇)

时间：2023-06-16 17:01:39

安全审计机制

第1篇：安全审计机制范文

摘要：从系统的、整体的、动态的角度，参照国家对主机审计产品的技术要求和对部分主机审计软件的了解，结合实际的终端信息安全管理需求，从体系架构、安全策略管理、审计主机范围、主机行为监控、综合审计及处理措施等方面提出主机审计系统的设计思想，达到对终端用户的有效管理和控制。

关键词：网络；安全审计；主机审计；系统设计

1引言

随着网络与信息系统的广泛使用，网络与信息系统安全问题逐渐成为人们关注的焦点。

网与因特网之间一般采取了物理隔离的安全措施，在一定程度上保证了内部网络的安全性。然而，网络安全管理人员仍然会对所管理网络的安全状况感到担忧，因为整个网络安全的薄弱环节往往出现在终端用户。网络安全存在着“木桶”效应，单个用户计算机的安全性不足时刻威胁着整个网络的安全[1]。如何加强对终端用户计算机的安全管理成为一个急待解决的问题。

本文从系统的、整体的、动态的角度，参照国家对安全审计产品的技术要求和对部分主机审计软件的了解，结合实际的信息安全管理需求，讨论主机审计系统的设计，达到对终端用户的有效管理和控制。

2安全审计概念。

计算机网络信息系统中信息的机密性、完整性、可控性、可用性和不可否认性，简称“五性”，安全审计是这“五性”的重要保障之一[2]。

凡是对于网络信息系统的薄弱环节进行测试、评估和分析，以找到极佳途径在最大限度保障安全的基础上使得业务正常运行的一切行为和手段，都可以叫做安全审计[3]。

传统的安全审计多为“日志记录”，注重事后的审计，强调审计的威慑作用和安全事件的可核查性。随着国家信息安全政策的改变，美国首先在信息保障技术框架（IATF）中提出在信息基础设置中进行所谓“深层防御策略（Defense2in2DepthStrategy）”，对安全审计系统提出了参与主动保护和主动响应的要求[4]。这就是现代网络安全审计的雏形，突破了以往“日志记录”

等浅层次的安全审计概念，是全方位、分布式、多层次的强审计概念，符合信息保障技术框架提出的保护、检测、反应和恢复（PDRR）动态过程的要求，在提高审计广度和深度的基础上，做到对信息的主动保护和主动响应。

3主机审计系统设计。

安全审计从技术上分为网络审计、数据库审计、主机审计、应用审计和综合审计。主机审计就是获取、记录被审计主机的状态信息和敏感操作，并从已有的主机系统审计记录中提取信息，依据审计规则分析判断是否有违规行为。

一般网络系统的主机审计多采用传统的审计，系统的主机审计应采用现代综合审计，做到对信息的主动保护和主动响应。因此，网络的主机审计在设计时就应该全方位进行考虑。

3.1体系架构。

主机审计系统由控制中心、受控端、管理端等三部分组成。管理端和控制中心间为B/S架构，管理端通过浏览器访问控制中心。对于管理端，其操作系统应不限于Windows,浏览器也不是只有IE。管理端地位重要，应有一定保护措施，同时管理端和控制中心的通讯应有安全保障，可考虑隔离措施和SHTTP协议。

主机审计能够分不同的角色来使用，至少划分安全策略管理员、审计管理员、系统管理员。

安全策略管理员按照制定的监控审计策略进行实施；审计管理员负责定期审计收集的信息，根据策略判断用户行为（包括三个管理员的行为）是否违规，出审计报告；系统管理员负责分配安全策略管理员和审计管理员的权限。三员的任何操作系统有相应记录，对系统的操作互相配合，同时互相监督，既方便管理，又保证整个监控体系和系统本身的安全。控制中心是审计系统的核心，所有信息都保存在控制中心。因此，控制中心的操作系统和数据库最好是国内自己研发的。控制中心的存储空间到一定限额时报警，提醒管理员及时备份并删除信息，保证审计系统能够采集新的信息。

3.2安全策略管理。

不同的安全策略得到的审计信息不同。安全策略与管理策略紧密挂钩，体现安全管理意志。在审计系统上实施安全策略前，应根据安全管理思想，结合审计系统能够实现的技术途径，制定详细的安全策略，由安全员按照安全策略具体实施。如安全策略可以分部门、分小组制定并执行。安全策略越完善，审计越彻底，越能反映主机的安全状态。

主机审计的安全策略由控制中心统一管理，策略发放采取推拉结合的方式，即由控制中心向受控端推送策略和受控端向控制中心拉策略的方式。当安全策略发生更改时，控制中心可以及时将策略发给受控端。但是，当受控端安装了防火墙时，推送方式将受阻，安全策略发送不到受控端。由受控端向控制中心定期拉策略，可以保证受控端和控制中心的通讯不会因为安装个人防火墙或其他认证保护措施而中断。联网主机（服务器、联网PC机）通过网络接收控制中心的管理策略向控制中心传递审计信息。单机（桌面PC或笔记本）通过外置磁介质（如U盘、移动硬盘）接收控制中心管理策略。审计信息存放在主机内，由管理员定期通过外置磁介质将审计信息传递给控制中心。所有通讯采用SSL加密方式传输，确保数据在传输过程中不会被篡改或欺骗。

为了防止受控端脱离控制中心管理，受控端程序应由安全员统一安装在受控主机，并与受控主机的网卡地址、IP地址绑定。该程序做到不可随意卸载，不能随意关闭审计服务，且不影响受控端的运行性能。受控端一旦安装受控程序，只有重装操作系统或由安全员卸载，才能脱离控制中心的管理。联网时自动将信息传到控制中心，以保证审计服务不会被绕过。

3.3审计主机范围。

信息系统中的主机有联网主机、单机等。常用操作系统包括Windows98,Windows2000,WindowsXP,Linux,Unix等。主机审计系统的受控端支持装有不同操作系统的联网主机、单机等，实现使用同一软件解决联网机、单机、笔记本的审计问题。

根据国家有关规定，信息系统划分为不同安全域。安全域可通过划分虚拟网实现，也可通过设置安全隔离设备（如防火墙）实现。主机审计系统应考虑不同安全域中主机的管理和控制，即能够对不同网段的受控端和安装了防火墙的受控端进行控制并将信息收集到控制中心，以便统一进行审计。同时能给出简单网络拓扑，为管理人员提供方便。

3.4主机行为监控。

一般计算机使用人员对计算机软硬件尤其是信息安全知识了解不多，不清楚计算机的安全状态。主机审计系统的受控端软件应具有主机安全状态自检功能，主要用于检查终端的安全策略执行情况，包括补丁安装、弱口令、软件安装、杀毒软件安装等，形成检查报告，让使用人员对本机的安全状况有一个清楚的认识，从而有针对性地采取措施。自检功能可由使用人员自行开启或关闭。检查报告上传给控制中心。

主机审计系统对使用受控端主机人员的行为进行限制、监控和记录，包括对文档的修改、拷贝、打印的监控和记录，拨号上网行为的监控和记录，各种外置接口的禁止或启用（并口、串口、USB接口等）,对USB设备进行分类管理，如USB存储设备（U盘，活动硬盘）、USB输入设备（USB键盘、鼠标）、USB2KEY以及自定义设备。通过分类和灵活设置，增强实用性，对受控主机添加和删除设备进行监控和记录，对未安装受控端的主机接入网络拒绝并报警，防止非法主机的接入。

主机审计系统对接入计算机的存储介质进行认证、控制和报警。做到经过认证的合法介质可以从主机拷贝信息；未通过认证的非法介质只能将信息拷入主机内，不能从主机拷出信息到介质内，否则产生报警信息，防止信息被有意或者无意从存储设备（尤其是移动存储设备）泄漏出去。在认证时，把介质分类标识为非密、秘密、机密。当合法介质从主机拷贝信息时，判断信息密级（国家有关部门规定，信息必须有密级标识）,拒绝低密级介质拷贝高密级信息。

在认证时，把移动介质编号，编号与使用人员对应。移动介质接入主机操作时记录下移动介质编号，以便审计时介质与人对应。信息被拷贝时会自动加密存储在移动介质上，加密存储在移动介质上的信息也只能在装有受控端的主机上读写，读写时自动解密。认证信息只有在移动介质被格式化时才能清除，否则无法删除。有防止系统自动读取介质内文档的功能，避免移动介质接在计算机上（无论是合法还是非法计算机）被系统自动将所有文档读到计算机上。

3.5综合审计及处理措施。

要达到综合审计，主机审计系统需要通过标准接口对多种类型、多个品牌的安全产品进行管理，如主机IDS、主机防火墙、防病毒软件等，将这些安全产品的日志、安全事件集中收集管理，实现日志的集中分析、审计与报告。同时，通过对安全事件的关联分析，发现潜在的攻击征兆和安全趋势，确保任何安全事件、事故得到及时的响应和处理。把主机上一个个原本分离的网络安全产品联结成一个有机协作的整体，实现主机安全管理过程实时状态监测、动态策略调整、综合安全审计、数据关联处理以及恰当及时的威胁响应，从而有效提升用户主机的可管理性和安全水平，为整体安全策略制定和实施提供可靠依据。

系统的安全隐患可以从审计报告反映出来，因此审计系统的审计报告是很重要的。审计报告应将收集到的所有信息综合审计，按要求显示并打印出来，能用图形说明问题，能按标准格式（WORD、HTML、文本文件等）输出。但是，审计信息数据多，直接将收集的信息分类整理形成的报告不能很好的说明问题，还应配合审计员的人工分析。这些信息可以由审计员定期从控制中心数据库备份恢复。备份的数据自动加密，恢复时自动解密。审计信息也可以删除，但是删除操作只能由审计员发起，经安全员确认后才执行，以保证审计信息的安全性、完整性。

审计系统发现问题的修复措施一般有打补丁、停止服务、升级或更换程序、去除特洛伊等后门程序、修改配置和权限、专门的解决方案等。为了保证所有主机都能得到有效地处理，通过控制中心统一向受控端发送软件升级包、软件补丁。发送时针对不同版本操作系统，由受控端自行选择是否自动执行。因为有些软件升级包、软件补丁与应用程序有冲突，会影响终端用户的工作。针对这种情况，只能采取专门的解决方案。

在复杂的网络环境中，一个网往往由不同的操作系统、服务器，防火墙和入侵检测等众多的安全产品组成。网络一旦遭受攻击后，专业人员会把不同日志系统里的日志提取出来进行分析。不同系统的时间没有经过任何校准，会不必要地增加日志分析人员的工作量。系统应提供全网统一的时钟服务，将控制中心设置为标准时间，受控端在接收管理的同时，与控制中心保持时间同步，实现审计系统的时间一致性，从而提供有效的入侵检测和事后追查机制。

4结束语

系统的终端安全管理是一个非常重要的问题，也是一个复杂的问题，涉及到多方面的因素。本文从体系架构、安全策略管理、审计主机范围、主机行为监控、综合审计及处理措施等方面提出主机审计系统的设计思想，旨在与广大同行交流，共同推进主机审计系统的开发和研究，最终开发出一个全方位的符合系统终端安全管理需求的系统。

参考文献：

[1]网络安全监控平台技术白皮书。北京理工大学信息安全与对抗技术研究中心，2005.

第2篇：安全审计机制范文

一、梳理问题，摸清底数，“五到”工作法紧贴审计整改工作

一是整改方案到单位。公安厅党委两次召开专题会议听取全省公安机关审计整改情况汇报，部署全省公安审计整改工作；公安厅审计整改工作领导小组三次组织全省范围工作会议，研究解决审计整改问题；专门制定《江西省公安机关开展“审计整改年”活动实施方案》，在全省各级公安机关和各警种部门间宣传、发动，把审计整改活动精神深入到各民警大脑中，贯彻到各单位行动上。

二是书面督办到单位。公安厅审计整改工作领导小组直接向被审计单位发出《督办通知书》，明确整改要求和整改时限。验收总结阶段，公安厅审计整改领导小组又制定了《审计整改检查验收方案》，明确整改验收具体内容。公安厅审计处每月汇总全省审计整改情况，下发《审计整改通报》；根据各地整改信息，编发《审计整改简报》。截至目前为止，已印发了七期通报、十五期简报。

三是网络管理到单位。公安厅审计处充分利用公安内网，开辟“审计整改年”活动专栏，宣传审计整改精神和各地整改经验；在此基础上，创新自主研发了简便易行的“审计整改督办系统”，将全省需整改的988个问题全部录入到系统中，通过系统实时、动态管理，全面直观地掌握所有问题整改情况。为保证“审计整改督办系统”信息录入的准确性，公安厅审计处专门举办“全省公安审计整改督办系统”应用远程培训班；每周组织人员开展地毯式网上巡查纠错，防止各级公安审计部门为追求整改数量而忽视整改质量。

四是短信提示到单位。“××领导，您好！贵单位×个问题需要整改，请按要求认真落实，厅审计处温馨提示。”这是公安厅审计处向需整改单位一把手发送短信提示的内容之一。短短数语，既达到了提醒有关单位按时保质认真整改的目的，又加强了彼此之间的沟通，缩短了审计处与被整改单位之间的距离。

五是跟踪问效到单位。公安厅审计整改工作领导小组派出五个督导组，适时赴各地现场督导审计整改情况，就督导发现的问题专门召开现场会和视频会。公安厅审计处采取电话提醒、上门服务等方式跟踪有整改任务的单位。对于在整改期限内没有完成“规定动作”的单位，对其主要负责人启动“约谈问责制”。

二、找准难点，借助外力，齐心协力共同推进审计整改工作

在全部审计整改问题中，有一些问题属于地方财政保障不到位或体制机制原因造成的，仅仅依靠公安机关自身无法整改到位。江西省委政法委书记、公安厅厅长舒晓琴同志批示：“审计调查中发现的属于地方政府和财政部门的问题，整理移送政法经费保障组；属于公安内部管理使用中的问题，逐一下发整改督办单，限期整改并跟踪问效。”公安厅审计处将公安机关不能解决的问题，主动上门向江西省委政法委汇报，并提交了《关于建立和完善公安机关政法转移支付资金检查督办机制的报告》。江西省委政法委高度重视，同意建立健全联合检查工作机制和完善审计问题督办整改方法。为了配合全省公安机关审计整改工作，江西省委政法委联合省财政厅、省审计厅和省监察厅了《关于对全省政法机关经费保障情况开展督察的通知》，组织7个督察组分赴全省各县，重点核查、督办公安厅移送问题。省公安厅分管账财工作的副厅长梁小康同志亲自带领人员参加省委政法委组织的督导工作。梁副厅长在督导过程中强调“两个一分不能少”，即上级转移支付的资金一分不能少；本级财政应保障的资金一分不能少。在江西省委政法委的检查督导下，截至目前为止，各个移送问题正在得到逐步解决。例如，审计整改问题中包括三个县级公安机关存在当地财政拨付2009年度中央转移支付资金不到位、不及时问题，经过督导，三地均已全部解决到位。

三、研发软件，创新方法，应用科技手段建立审计整改长效机制

公安厅审计处创新自主研发了“江西省公安机关审计整改督办管理软件”。该软件依托公安内网，遵循“一次录入、一键操作、一网总揽”的设计原理，以审计发现问题和整改情况作为主要录入信息，《审计意见》以及完成整改的凭据作为主要录入附件，同时兼顾审计项目、审计类别、被审计单位等多种要素。该系统不仅是促进“审计整改年”活动扎实开展的有效抓手，更是推动全省各级公安审计部门提高审计质量、注重审计意见执行的一项长效机制。“审计整改年”活动结束后，全省各级公安审计部门从2012年1月起需将2011年度审计发现的问题、审计意见执行情况及时录入本系统，审计发现问题的能力和审计意见执行情况将作为全省各级公安审计部门工作考评的重要参考依据。系统使用范围涵盖全省各级公安审计部门，分别按省、市、县三级权限设置用户。通过使用该软件，全省各级公安审计部门可以加强纵向管理、横向比较，全省公安审计工作形成了“你追我赶”的良好氛围。

四、以整改助审计，以审计促整改，江西公安审计工作亮点纷呈

（一）全省公安审计整改工作成效显著

截至目前为止，江西省公安审计整改工作进展顺利，全部问题988个，已整改953个，整改完成率达96.46%；通过三次网上巡查，整改合格率从36.4%提高至目前的97.32%。下图反映了截至目前为止全省公安审计整改活动达到的效果：

附：全省审计整改督办系统网络截频图

各地、各部门在审计整改过程中注重审计整改实效，针对存在的薄弱环节和管理漏洞，建立健全了一批规章制度。公安厅监管总队借助审计整改契机完善公安监管场所各项财务管理制度。抚州市公安局出台了《抚州市公安机关审计工作暂行规定》和《抚州市公安审计工作流程》，初步形成了抚州市公安审计工作标准化管理体系。南昌市公安局自“审计整改年”活动开展以来，新建制度73个；吉安市公安局建立规章制度11个；武宁县公安局建立规章制度5个，其中包括对县局各部门开展定期审计制度。据统计审计整改活动开展以来，各地累计建立健全规章制度117个。

（二）全省公安审计工作基础进一步夯实

审计机构和审计人员是开展公安审计工作的组织保障。在省公安厅党委的高位推动下，江西省、市两级公安机关审计机构设置齐全、专业人员配备到位。全省十一个设区、市公安局全部设立了正科级审计机构，统称审计处。公安厅审计处内设两个正科级机构，实有10名专职审计人员，涉及审计、财务、计算机、法律、工民建等专业，平均年龄34岁。抚州、萍乡两市公安局审计处分别配备了副县级一把手；九江市公安局党委在地方换届、人事冻结的大环境下，选配一名副处长主持审计处工作，并为审计处优先配备了5名专业审计人员，还将配备1名工民建专业人员，正在挑选过程中。宜春市公安局党委在目前4名审计人员的基础上，决定再增配2名懂信息技术、财务管理的审计人员。据统计，“审计整改年”活动开展以来，省、市两级公安机关新增专业审计人员26人，增幅达216%。对于县级公安机关审计机构人员问题，江西省公安厅党委也作出了明确指示，要求在规定时间内达到公安部标准。

（三）全省公安审计工作整体推进

全省各级公安审计部门以审计整改工作为载体，紧密结合日常审计工作，以整改助审计，以审计促整改，全省公安审计整改工作和日常公安审计工作整体推进。据统计，今年1至8月，全省公安审计部门共开展审计项目446个，审计金额约15亿元，其中公安厅审计处累计审计项目58个，审计资金约7.9亿元。为了加强县级公安审计工作，公安厅审计处在今年7月确立了三个县级工作联系点（瑞金市公安局审计室、丰城市公安局审计股、鄱阳县公安局审计科），直接指导联系点开展县级公安审计工作。鄱阳县公安局在省厅推动下，出台了《鄱阳县公安局2011年审计工作意见》。宜春市公安局逐步建立起“领导重视，机构健全，上下协调，内控严密”的内审工作机制，建立了“宜春市公安局审计人员信息库”。萍乡市公安局审计处开展基建审计取得好成绩，上半年为局机关节约了近600万元。

第3篇：安全审计机制范文

【关键词】煤矿；安全生产；责任；审计

为落实安全生产责任制、完善安全生产管理的体制，将安全生产管理落到实处，必要引入安全生产责任审计机制，定期对煤炭企业各种制度措施的落实情况进行规范的审计，以发现和彻底消除安全管理工作中的漏洞和问题，保障煤矿生产的安全运行。

安全生产责任审计是为查明安全生产的状况，与规定标准之间的一致程度，而客观收集和评价相关证据，并把其结果传达给有利害关系的使用者的有组织的过程。煤矿引入安全生产责任审计机制，可以及时发现安全管理中的薄弱环节、遗漏或忽视之处，及时堵塞漏洞，防患于未然，在安全管理中具有预防性、前瞻性的特点，体现了“安全第一，预防为主”的安全生产方针。

一、开展安全生产责任审计

（1）有利于安全法律法规、规章制度的贯彻落实。规范煤炭企业的安全管理，使煤矿安全管理工作有法可依，发现煤矿安全生产中存在堵塞漏洞，促进企业安全生产工作。

（2）有利于安全投入的及时到位和有效实施。为促进企业加大安全投入，可以通过安全生产责任审计，督查企业是否按照国家有关规定，足额提取安全费用；督查安全费用是否真正用于安全投入，是否挪作他用；通过审计，评估安全投入的实效性；通过安全审计，可以统一安全投入统计口径，避免安全投入统计的随意性，保证安全投入的真实性。

（3）有利于激发煤矿企业加强基层安全管理的积极性。通过安全生产责任审计，增强煤矿企业依法办矿、依法治矿的意识；有利于规范煤矿企业安全生产行为；有利于贯彻落实国家安全生产方针。

二、煤矿安全生产责任审计的基本要求

安全生产责任审计是一个新课题，还没有一个标准的模式以及规定的内容，还在实践中探讨。主要有以下几方面的基本要求：

（1）煤矿安全生产责任审计工作的主要内容。要依据《中华人民共和国安全生产法》、《矿山安全法》中关于企业主要负责人必须履行的职责开展审计，如各级管理人员和各岗位的安全生产责任制的制定及贯彻落实情况；安全生产规章制度的建立和实施情况以及实施效果；安全资金是否按国家有关规定足额提取，专款专用；安全配套项目、设施是否按规定计划得到有效落实。

（2）审计的组织实施。煤矿安全生产责任审计要由政府审计机关、安全监督部门和企业内部审计部门负责组织实施。每年组织审计一至两次。

（3）审计结果的分类、管理和奖惩。把被审矿井划分为A、B、C、D4个类别，A类为安全矿井，B类为基本安全矿井，C类为安全较差的矿井，D类为安全不合格的矿井。煤矿安全监察机构按照煤矿安全生产审计报告审定煤矿安全程度的类别，并开展安全监察工作，对存在的问题督促煤矿整改。同时，要对煤矿安全生产责任审计类别实施动态管理。发现煤矿安全生产隐患严重，达不到审计评定类别标准或发生重大事故的，由煤矿安全监察机构予以降级处理。

按照安全生产责任审计结果，国家要制定相应的奖惩政策，设计专项资金，对煤矿企业实施奖惩。通过审计，被评定为A类矿井的建议由地区煤矿安全监察机构，对煤矿及责任者予以重奖；被评定为D类矿井的予以重罚，并责令其停产整顿。

三、煤矿安全生产责任审计工作经常遇到的问题与解决对策措施

（1）煤矿安全生产责任审计，目前还没有统一的标准和规定，操作困难，无章可循。应通过试点，探讨行之有效的办法。安全责任审计具体标准和办法要由国家安全监察机构组织统一制定，安全责任审计应从经济责任审计中脱离出来，形成有独立地位的安全审计部门，保证这项工作具有强制性和可操作性。

（2）在实施中容易发生部分煤炭企业、安全监察人员和审计机构对煤矿安全生产责任审计工作的重要性缺乏认识。一些煤矿对安全生产责任审计工作可能出现不同程度的抵触情绪。所以，要加大对煤炭安全生产责任审计工作重要意义的宣传，各相关部门要从思想上重视安全生产责任审计。对在审计工作中发现的事故隐患和违法违规行为，必须及时下达执法文书。对拒绝接受安全审计的煤矿，必须依法查处。

（3）审计标准把握不严，审计结果失真，就会失去了审计工作的指导作用。因此，必须要严格审计标准，确保煤矿安全生产责任审计的质量。这项工作具有较复杂的技术性和较强的政策性，参加审计的工作人员，一定要以严肃的科学态度，认真负责的精神，强烈的责任感，把握审计工作的权威性、科学性、公正性和针对性；按照审计标准，确保审计质量，对企业及其主要负责人履行安全生产责任的情况做出客观、公正的评价。

开展煤矿安全生产责任审计工作要建立煤炭企业自律机制，合理设置安全生产责任审计的组织机构，正确运用安全生产责任审计的程序和方法，提高安全责任审计人员的素质，建立安全责任审计质量考评机制，确保煤炭企业经济效益的提高，推进企业可持续发展。

参考文献

[1]赵铁锤.建立煤矿安全程度评估制度推进煤矿安全监察工作创新.中国煤炭，2003年

[2]康钟琦.现代审计学原理.上海：立信会计出版社，2004.8

[3]管锦康.现代审计学原理.上海：立信会计出版社，1994.5

第4篇：安全审计机制范文

政府审计作为维护国家安全的“免疫系统”,对资源环境给予了极大关注。2003 年,审计署成立环境审计协调领导机构,指导从资源环境视角开展专业审计;2008 年出台审计工作五年规划,明确将资源环境审计列为六大审计类型之一;2009 年又《关于加强资源环境审计工作的意见》,指导资源环境审计实践。面对严峻的水资源形势,政府绩效审计进行了积极探索与实践,水环境绩效审计和用水绩效审计成效显着。审计署多次组织对重要流域治污情况进行审计,刘慧博(2004)提出水污染治理资金审计的方法,白春节(2009)对城区内河污染治理绩效审计进行探索,宁雅楠(2006)提出建立用水审计体系的思路。城市水安全内涵丰富,包含自然、生态、经济、人文多重属性,需要对相互关联的水资源开发利用各个环节进行全面审计和绩效评价。本文从城市水安全的内涵出发,根据绩效审计的功能和特点分析二者的耦合性,探索绩效审计维护城市水安全的实现机制与路径选择。

一、开展城市水安全政府绩效审计的原理分析

根据城市水安全的制约因素,可以将其定义为这样一种状态:既能满足城市用水主体的用水需求,又能满足社会、经济、生态和环境可持续发展的要求,同时又能避免涉水灾害。城市水安全内涵丰富,包括四种属性:一是自然属性,即水资源的质、量、存在形态及其时空分布特征;二是生态环境属性,生态环境是水存在的载体,水是生态环境中最活跃的因素;三是社会经济属性,水与社会经济相互影响、相互制约;四是人文属性,指城市居民对涉水灾害、水资源分配公平性的感受(赖武荣,2010)。

不同国家对绩效审计称呼不同,但本质基本相同,即对活动的经济性、效率性和效果性进行审计(简称“3E”审计)。随着经济和社会的发展,绩效审计的内涵又得到了扩充,增加了“环境性”和“公平性”两个维度,发展到“5E”审计。从政府绩效审计的发展趋势来看,越来越关注资源环境问题,对城市水安全的评价和维护是其法定职责和功能拓展。随着城市水资源形势的日益严峻,公众资源环境与民主意识的增强,更加关注全过程监控和行为实施效果评价,因此实施城市水安全绩效审计成为必然要求。

1.水资源绩效审计是政府审计的法定职责。审计署制定的《2008 ~ 2012 年审计工作发展规划》指出:“审计机关将以落实节约资源和保护环境基本国策为目标,维护资源环境安全,发挥审计在促进节能减排措施落实以及在资源管理与环境保护中的积极作用。”《关于加强资源环境审计工作的意见》要求对水资源的开发利用、污染防治、保护治理情况和重点生态建设工程等开展审计。2011 年刘家义审计长在全国审计工作会议上提出要强化资源和环境保护的审计监督,促进经济发展方式转变。水资源为全民所有,各种衍生水产品也具有“公共产品”的属性,政府审计是重要的宏观调控手段和高层次经济监督方式,开展水资源绩效审计与时俱进地体现了政府审计的本质职能。

2.关注城市水安全是绩效审计的功能拓展。政府绩效审计产生的根本动因是受托公共责任。随着社会环境的变迁,政府公共受托责任的内涵不断拓展。面对日益严峻的城市水资源短缺、水环境恶化等问题,维护城市水安全和社会可持续发展成为公共受托责任的一项重要内容,政府绩效审计的范围必然延伸到城市水资源领域。绩效审计已广泛运用于水利建设和水污染治理项目,初步形成了评价体系和工作模式,进一步要求向水资源的开发、供给、利用等方面延伸。而且城市水资源的开发、调配、供给、利用、治理以及保护涉及政府多个职能部门及相关企业,关系极为复杂。因此,城市水资源绩效审计必须拓展绩效评价的内容,改进审计技术和方法,形成新的绩效审计模式

3.开展绩效审计是维护城市水安全的内在要求。水质和水量关系居民的饮水安全,用水价格影响居民的生活支出,水环境的优劣和水灾害的发生频率对居民的物质和精神生活有重要影响。关注民生、保障民生是政府审计的一个重要理念,对水资源的来源、供给和水环境的治理进行绩效审计,有利于保障居民的切身利益,维护社会稳定。基于城市水安全的社会经济属性,水资源绩效审计有利于促进城市全面协调发展。胡锦涛总书记指出要“促进人与自然的和谐,实现经济发展和人口、资源、环境相协调”。随着经济的发展,城市生态破坏、水环境污染、水资源的短缺等问题日益突出。绩效审计通过分析经济发展与资源短缺和破坏之间的矛盾,提出科学的意见和建议,为政府的宏观决策和单位内部管理提供依据,促进社会全面可持续发展。

4.审计绩效评价与城市水安全评价存在职能重叠。水安全评价是建立城市水安全保障体系的基础,绩效评价是城市水资源绩效审计的关键环节,二者都至关重要,而且在评价内容、评价方法和指标体系的设计方面存在职能重叠。水安全评价体系应该包括水供需安全、生态环境安全、社会经济安全、害防治安全及管理安全五个方面。根据水资源生态链,绩效评价应该包括水资源管理绩效评价、环保资金绩效评价、水资源开发利用和治理项目绩效评价、供水系统绩效评价等。由此可见,二者都需要对水资源的管理体系、生态环境状况、经济效益和社会效益进行评价。在评价方法上,二者都强调综合运用统计学、工程学、环境学、管理学的知识,从定性和定量的角度进行评价,具体包括层次分析法、模糊数学分析法、PSR(压力—状态—响应)模型法、平衡计分卡评价法等。

二、政府绩效审计维护城市水安全的实现机制

实现机制是政府绩效审计发生作用的方式与路径,是在目标分解的基础上,将绩效审计功能与城市水安全内涵适配的过程,具体可分为三个层次:宏观层面的再监督评价机制、中观层面的调控协调机制、微观层面的监督、纠正和修复机制,基本框架与关系如图1所示:

1.宏观层面:水资源制度、政策和规则的再评价监督机制。为了保障水资源的可持续发展及社会的全面协调发展,国家往往利用法律、行政等手段进行约束、规制和引导。绩效审计维护城市水安全的功能在宏观层面主要表现为再监督评价机制,评价对象为水资源相关制度、政策和规则制定的科学性和执行的有效性。按照弗里曼(Freeman,1989)等人的观点,制度评价可分为制订前的需求评价、执行中的过程评价和执行后的结果评价。首先要深入分析城市水资源状况,把握其焦点、难点问题,评价现有制度安排、政策和法规供给的充分性,是否存在规制空白和漏洞;其次要评价制度、政策和法规是否得到有效执行,是否存在有令不行的现象,执行中是否遇到障碍或存在缺陷;最后是评价制度、政策和法规执行的效果,是否具有导向性、约束力和公平性。目前,绩效审计在全面监测水资源生态链各个环节的基础上,要重点关注城市水资源短缺、用水浪费、水污染等突出问题,对取水许可、有偿使用、排污许可等制度安排,水污染防治、城市供水、节约用水等法律法规,水资源管理、水价调节、产业结构调整、水利建设和污染治理等政策的制定和执行进行评价。

2.中观层面:城市水资源管理体系的调控协调机制。对水资源开发利用合法合规性的日常监管,属于水利、城管等相关职能部门的法定职责,政府审计一般不直接参与水资源管理,而是对水资源管理体系进行再监督和评价。因此,绩效审计在中观层面上表现为一种调控与协调机制。目前我国城市水资源管理普遍呈现“多龙管水”的特点,水利开发、供水、排水、节水、防洪、污水处理等涉水事务的管理职能,分别由水利、城管、城建、环保等不同部门承担。部门分割的水资源管理体系有利于职责划分和相互牵制,但不利于沟通协调,会影响行政效率。政府绩效审计应该在职能部门专业监管的基础上,对重点项目、资金和单位进行抽样或专项审计,揭露水资源管理工作中存在的监管失灵和监管真空等问题。在评价水资源管理绩效的基础上,确立一种各机构互相协调合作的机制,如联席会议制度,互通情况和资源共享。以水资源高效配置、利用为目标,提出水资源管理体制改革的建议。

3.微观层面:涉水项目与利益主体的监督、纠正和修复机制。在微观层面,绩效审计主要履行对水资源开发、保护和治理项目,水资源供给系统的监督、纠错和修复职能。合理的水资源开发是水量安全的重要保障,有效的水资源保护和治理是居民饮水安全和生存环境的重要保障,政府投入大量资金用于水资源开发、保护和治理项目。绩效审计在总体评价城市水资源供需平衡、水环境的基础上,具体评价水资源开发、保护和治理项目的可行性,监督项目资金使用的合理合规性,跟踪审计项目的实施效果,及时发现和纠正低效行为或违法违规问题。

供水系统绩效审计有助于保障各类用水的水质、水量、水压,同时提高节水和环保效益。主要从两个方面来实施:一是通过对供水企业的水源工程、制水系统、引水输水系统、供水服务系统、水质监测系统等方面的审计来评价供水状况;二是从分质供水、分类供水、供水定价机制等方面来评价供水管理绩效和节水环保效益。

三、政府绩效审计维护城市水安全的路径选择

政府绩效审计要有效发挥在维护城市水安全中的监督、评价、调控、纠正及修复作用,必须依赖一定的路径。根据城市水安全的现实需求和政府绩效审计的现状,应从审计工作组织、审计评价体系、审计保障机制、审计结果运用等方面加以完善,具体实施路径如下:

1.创新绩效审计组织模式。城市水资源绩效审计的组织模式包括审计的领导体制、组织结构和运行机制。鉴于水资源的重要性、复杂性和专业性,领导体制上要保障审计的权威性和独立性,组织结构上要保障审计力量的充足性和专业性,运行机制上要体现多方力量的合作与协调性。

(1)领导机制的设计。由国家审计机关为主导对城市水资源进行审计监督与绩效评价,适应了国家利益的需要。水资源审计涉及面广、技术性强、时间跨度长,对审计的权威性要求比较高,而且社会效益大于经济效益,只有国家审计机关才能胜任。

第5篇：安全审计机制范文

关键词：电子商务；安全审计；安全管理

中图分类号：F239文献标志码：A文章编号：1673-291X（2011）21-0097-02

一、外部审计

外部审计是指审计师对企业电子商务网站的安全工作进行审计，对消费者提供数据安全、商业政策、交易完整、数据隐私等方面的审计。

1.制度审计。在电子商务网络系统环境下，网络电子交易数据安全是关系到交易双方切身利益的关键问题，是企业计算机网络应用的最大障碍和审计的最重要问题之一。电子商务的网络数据安全措施，至少包括三个方面：一是网络数据安全技术方面的措施；二是安全管理制度(措施)的制定和实施；三是社会立法和法律保障措施。内部审计师关心的是这些措施实施的情况，通常可从如下几点进行评价：（1）审查防火墙技术、网络系统反病毒功能、数据加密措施、身份认证和授权等软件技术的应用实施情况；实施这一审查可以用模拟数据对系统的各安全关键点进行全面检查。（2）审查安全管理制度建立和施行的情况，采用面谈法、访问和实地察看法按预先给定的内控制度评价清单进行。注意检查岗位责任实施、安全日志制度。（3）审查有关计算机安全的国家法律和管理条例的执行情况。

2.选用内部审计师实施审计。内部审计师是电子商务审计最合适的专业人员。由内部审计师做电子商务内部审计业务，可为电子商务用户提供职业安全保障。

内部审计师进行电子商务审计是国际惯例。内部审计师是从事企业内部审计业务的专家，具有良好的基础背景和良好的声誉。在中国，内部审计师除了参与财务审计，还参与对管理效益和人离任内部审计和对企业计算机信息系统的实施情况审计，大量参与税务、财务和评估等咨询服务工作。

内部审计业务是按照特定的审计规范的程序执行，对内部控制与经营、业务审查和评价，内部审计师有着敏锐的专业洞察能力，这是内部审计师发展计算机网络内部审计的良好职业背景基础。

内部审计师的审计具有客观性和公正性。电子商务审计人员必须对交易的双方所提供的电子信息进行必要的审计，其审计本身应当客观、独立、公正和具有可靠的专业技术作为支撑，才能赢得网络交易的多方的信赖，同时他们必须是社会公认的权威审计业务专业人员。在计算机网络化的商务活动中，根据对交易合法性和交易信息的可靠性和安全性，是企业信息系统的内部控制制度及其对顾客提供必要的法律保障的一个重要内容，内部审计师对企业信息系统的内部控制制度设置和施行情况的审查评价，已具有特别的专长和丰富的经验。

3.安全审计系统分析。防火墙、入侵检测、防病毒网关等安全产品越来越多地应用在网络中，它们在运行过程中都会产生大量的日志信息，其中隐藏了非常重要的信息是分析网络安全运行情况的依据。安全审计系统中结合各种信息算法对这些日志数据进行分析，挖掘出其中隐藏的异常动态信息，并利用各个审计源之间的联动及时阻断各种入侵活动。同时，对进出网络内部的电子邮件和传输信息实时跟踪，进行数据截取和还原，更好的维护系统安全。

分析和审计公司电子商务网站的安全审计系统是否具有以下功能：（1）网络状态实时监控。监视网络中的各种安全设备、主机系统、数据库、进出网络内部的电子邮件和传输信息等情况，全面掌握网络活动和行为。（2）事件自动响应机制。当发生的网络行为可能威胁到系统安全并且达到预先设定的域值时，系统自动断开该用户的连接并及时向管理员发出报警信号。（3）自动生成安全信息报告。在固定时间内把系统的运行情况以报表的形式发送给管理员。通过设置合理的审计报表，管理员可以迅速、直观地浏览报表内容，了解系统的当前运行情况和资源使用情况，在减少管理员单纯人为判断和经验参与的情况下，能更好地帮助系统管理员及时采取相应措施，从而使威胁整个网络的潜在破坏最小化，提高系统的安全性能。（4）系统综合管理。虽然安全审计系统是一个独立运行的软件系统，但是它和其他安全产品如防火墙、VPN，漏洞扫描等并不会产生冲突，相反它们能够相互协调和促进、更好地起到系统安全防护的作用。

二、内部审计

内部审计的作用主要体现在对于电子商务公司内部系统安全和财务风险的管理上，主要包括两个方面的内容：对电子商务系统的技术审计；对电子商务公司的财务进行审计。

（一）技术审计

1.访问控制审计。网络访问控制包括访问权限控制和用户认证。访问权控制的审查，主要是检查是否有端口访问控制情况――进入访问端口前的用户号鉴别回应控制和特别安全保护的访问点控制。用户认证的方法一般可分三类：口令或密钥、身份鉴别（如指纹）和使用权限控制，其中最安全的认证是身份鉴别（用指纹或其他特性），但制作费用比较昂贵，其他两种方法都是最常用的用户认证法。初步审查除了解各种认证方法外，主要查各类型控制执行的情况。

2.数据加密审计。现在流行的电子商务网络系统是由至少一个计算机服务器和多台客户机联网形成的，并与外部交易有关的国内网络和国际网络系统相连结。客户机一般处理业务数据，网络数据库和软件程序库一般由服务器统一控制管理。由于网络中的数据库具有共享性，很容易受到舞弊人或黑客的修改和破坏，要确保合法的客户对网络数据库访问的便利性和网络数据的完整性，应比非网络系统增加对数据库的加密管理，相应地形成数据库的加密管理审计，其内容：一是审查服务器的数据库加密装置，服务器密码装置的密钥分配，这种审查主要了解系统管理员和相应密钥分配情况。二是审查网络端对端的加密，测试关键的网络数据在传输中的全程加密，此种加密是通过专用的软件实现的，因此，对这类的加密软件要进行特别的安全保护管理。

3.运行审计。（1）记录、跟踪系统的运行状况。利用审计工具，监视和记录系统的活动情况，如记录用户登录账号、登录时间、登录的终端以及所访问的文件、存取操作，并放人系统日志中保存在磁盘上，使影响系统安全性的存取以及其他非法操作留下线索，以便审查。（2）检测各种安全事故。审计工具能检测和判定对系统的攻击，如多次使用非法口令登录系统的尝试，及时提供报警甚至自动处理，使系统安全管理人员能够了解系统的运行情况，及时堵住非法入侵者。（3）保存、维护和管理审计日志。由于审计日志记录了审计、跟踪、检测各种安全事件的结果，是查找、分析网络系统安全事件的客观依据，是重要的系统文档，必须要有可靠的存储和管理机制。在现代的经济环境下对电子商务公司的财务进行审计，其审计的职能已经发生了根本性的变化。审计已经从传统的财务审计过渡到了风险审计与内部控制。因此，运用内部审计可以很好地控制风险的发生。

（二）财务审计

1.数据库审计。在无纸化环境下，内部审计能鉴别出已发生的经济业务及其数据的真实和可靠，这是内部审计师所面临的严峻挑战。显然，内部审计师必须开发一套电子商务内部审计专用的软件和改进传统的审计程序，来适应这种审计的需要。电子商务审计软件一定能使内部审计师在经济业务发生的时候就对它们进行测试和保留必要的审计线索，否则时过境迁，就无案可查。

2.内控制度审计。网络化的计算机信息系统不断发展，内部控制将会变得越来越重要。从前述内容可以进一步说明网络环境下的内部控制制度的重要性。可以断言，在电子商务环境下，内部审计师在监测公司内部控制制度的运转、评价这些控制以及为改进这些制度提供建议等方面，都将起到重要作用。这是因为他们必须测试这些制度以判断电子商务经济信息（含会计信息）的可靠性和经济业务处理的恰当性，并且对内部控制的状况作出全面评价。

3.披露事项审计。保证电子交易的可靠性和真实性，是任何交易的基本前提。为了增强网络上的客户或消费者的信心，电子商务网络系统必须具有如下的披露基本要求：（1）对电子商务销售的商品和服务进行披露，若含有证明商品性能和服务效果的信息，必须注明其信息来源；（2）对交易条件进行披露，如发货距离、发货时间、完成交易所需的时间、另外订单的时间、支付条件、电子结算惯例和顾客必须承担的费用、退货的程序和政策；（3）售后服务和产品技术支持；（4）客户的权利、包括投诉的程序，并应告知客户企业的经营地址、电话号码和办公时间；（5）对争议的处理，争议处理的程序，包括管理当局和请第三方中立机构处理争议问题的程序。

4.客户信息隐私保护审计。为合理保证在电子商务中保证客户私人信息的隐私权，电子商务网站必须遵循：保证客户信息不会被传送到其他网站；客户有权禁止其信息在与交易无关的场合使用和为第三方所使用；客户私人信息未经授权不准访问，客户私人信息不能随意被透露给其他的单位或个人；网站工作人员只有处理业务时方能使用客户私人信息；在存储、变更或从客户计算机上复制信息前应得到客户的许可；严禁向客户输送恶意的程序；企业信息保护的控制得到有效执行；企业若不能执行上述控制手段，应及时公告，并说明正在采取的补救措施。

参考文献：

[1]傅元略，等.企业信息化下的财务监控[M].北京:中国财政经济出版社，2003.

[2]刘艳慧.电子商务及其安全性研究与应用[D].天津:天津大学，2008.

[3]王铁柱，等.中国电子商务安全性分析与研究[J].河北公安警察职业学院学报，2010，(3).

第6篇：安全审计机制范文

在网络会计环境下,由于会计信息系统的开放性和网络化,使得会计信息资源在极大的范围内得以交流和共享。会计信息涉及交易关联方的各个方面,同时能访问会计信息的用户可能涉及整个网上用户。因此,为了防止信息的使用者恶意破坏和更改会计数据以及会计数据在传输过程中被截取和篡改,审计空间范围必须扩大到交易关联方以及网上有关信息用户。另外网络会计环境下,各业务部门执行的只是子系统中的一部分功能,任何一个工作站所提供的信息都是日常经济活动中不可缺少的组成部分,网络会计的支持还需要一些软硬件的配备。因此,要对计算机网络会计整个系统作出正确的评价,审计的范围将要扩大到服务器、工作站、传输介质、计算机网络会计软件等。

二、网络会计审计的内容

1.网络安全审计。网络安全审计是指,对被审计单位计算机网络系统的管理和防护、监控、恢复三种技术能力以及可能带来的经营风险等进行评估。在网络会计环境下,一方面提供了会计信息的共享性,提高了会计工作的效率;另一方面,电子形式的会计信息容易受到诸如网络故障、计算机病毒、黑客袭击和非法者的入侵等潜在威胁的影响。这些都会严重威胁会计信息和数据的安全。虽然一般的软件都采用了保障信息安全的措施,但是这些措施是否有效、合理,需要网络会计审计来检验鉴证,并作出监控反馈。

2.网络内部控制审计。在网络会计信息系统中,内部控制的重点、方式、内容和范围均发生了变化,使得网络审计不同于传统审计和计算机桌面审计,呈现出新的特点。网络内部控制审计可分为一般控制审计和应用控制审计。针对网络会计信息系统的特征,通过网络内部控制审计,以评价网络会计信息系统的内部控制是否健全、有效,提示内部控制的弱点。

3.应用程序审计。在对一个网络化会计信息系统进行符合性和实质性测试时,由于受到计算机网络程序复杂化和自动化的影响,往往不能仅仅检验数据本身,还须对网络程序的处理和控制进行审计。网络审计中对网络信息系统应用程序的审计目标体现在两个方面:第一,程序处理过程是否与有关的标准及法规相符;第二,考查网络系统程序对错误的检验和控制情况,如对输入网络信息系统中的数据正误的检验,会计证、账、表的试算平衡措施等。不进行相关应用程序审计将会给系统的运行留下隐患。

三、网络会计审计的工作方式

在网络环境下,几乎所有资产都由计算机实时动态管理,企业所有的会计资料和相关资料都存放于互联网上,网络高度的信息共享性、实时性和动态性以及网络信息系统自身强大的核对、检查和内部控制功能,使传统意义上的审计工作被大大简化。审计人员就可采用网络交谈和发电子邮件等方式进行查询和函证,也可进行检查、观察、计算和分析性复核,审计信息输出、审计信息存储和检查等都将充分利用互联网和企业内部网进行,实现了审计工作办公自动化。

四、网络会计审计应注意的问题

1.网络会计审计风险及相应安全控制

在网络环境下,一方面提供了会计信息的共享性,提高了会计工作的效率;另一方面,电子形式的会计信息容易受到诸如网络故障、计算机病毒、黑客袭击和非法者的入侵等潜在威胁的影响,存在诸多安全问题,安全性是必须考虑的核心问题。因此网络会计审计应把网络会计系统的安全审计作为重点。审计人员应在了解企业网络基本情况、安全控制目标、安全控制情况及潜在漏洞等基础上,对企业现存的安全控制措施进行测试。如是否有有效的口令控制,数据是否加密,职能权限的管理是否恰当,是否有持续的供电设备和有关备份设备,对计算机病毒的防范与控制措施是否得当等。

2.网络会计审计频率增大

在网络环境下,由于各个部门可以随时将本部门的数据输入并进行处理,因此数据更新速度快,如果审计人员不能跟上系统更新的频率,不能及时调查和获取一些中间结果,就很难作出审计判断。也就是说,网络会计的实时性促使审计工作也具有了“实时”的特点。

第7篇：安全审计机制范文

论文摘要：本文根据财务报表审计对会计信息系统数据的要求，先给出数据有效性的定义分析，然后分析了影响会计信息系统数据安全有效的几个方面，初步探讨了解决数据有效性威胁的一些方法。

一、数据有效性的定义

在目前的财务报表审计工作中，审计人员在了解被审计单位及其环境之后，实施控制测试程序和实质性测试程序，而在实施实质性测试的时候，会先从被审计单位的会计信息系统中采集所有与审计相关的数据，假设审计人员能够采集与被审计单位的会计信息系统中的数据完全一致。但是由于会计信息系统本身所固有的风险性，会使得其产生大量的数据不正确，或者不真实可靠，这将使审计的风险大大增加，产生事务所可能无法接受的风险，这时候就不应该继续审计工作。所以，在审计工作实施之前，应当把分析被审计单位会计信息系统所产生数据的有效性作为应当执行的程序。

数据有效性是指体现审计需求的程度。审计中利用会计信息系统所产生的数据的主要目的是为了取得审计证据，支持其关于审计事项的判断或结论。据此，我将会计信息系统的数据有效性定义为以下几个方面：可验证性、可理解性、可分析性、正确性、完整性和惟一性。

二、数据有效性的影响因素分析

会计信息系统由计算机硬件及其环境，计算机网络，系统管理软件和应用软件组成。影响被审计数据的有效性主要是会计信息系统的风险性。会计信息系统的风险是指由于各种不确定因素的影响，系统输出的会计信息与真实信息发生背离的可能性。WWW.133229.coM会计信息系统既给会计工作带来了高效率，同时也带来了一些手工条件下所没有的风险。种种安全隐患在会计信息系统中突出表现在以下四个方面：

（一）系统环境

系统环境因素主要是指会计信息系统的硬件和软件、系统开发以及自然环境等方面的因素。

1．硬件和软件

在硬件和软件方面由于硬件失灵、逻辑线路错误等而造成信息传递或处理中的失真，或由于网络软件自身的程序、后门程序、通信线路不稳定等因素都为系统的安全带来诸多隐患，使系统面临病毒和黑客的攻击。

2．系统开发

在系统开发方面，主要表现为没有按科学的方法架构网络、开发系统和设计程序，系统未经测试和调试等，而致使财务信息面临被窃取的安全隐患。

3．自然环境

在自然环境方面，火灾、水灾、风灾、地震等都有可能造成系统的安全问题。

（二）管理制度方面

传统会计系统非常强调对业务活动的使用授权批准和职责性、正确性与合法性，在会计信息系统下，原来使用的靠账簿之间互相核对实现的差错纠正控制已经不复存在，光、电、磁介质也不同于纸张介质，它所载信息能不留痕迹地被修改和删除，使企业内部会计控制面临失效的安全隐患。因此，在会计信息系统下管理制度方面的影响要素主要包括会计信息系统的建设组织、管理制度、人员配备、内部审计机制等。

1．建设组织

在组织方面，存在职责不分、没有监督机构等问题。

2．管理制度

在管理制度方面，存在没有健全的管理制度，或者是有章不循、有规不依等问题。

3．人员配备

在人员配备方面，存在企业没有对网络会计系统以足够的重视，没有配备足够的人员，尤其是没有配备足够的系统安全人员的问题。

4．内部审计机制

在内部审计机制方面，存在没有建立有效的内部审计机制，或者建立的内部审计机制没有坚持执行等问题。

（三）数据处理方面

在会计信息系统中，需要财务部门集中输入的记账凭证可由各部门的多台计算机同时输入。这虽然提高了整个账务处理的工作效率，也遵循了会计数据输入的及时性原则。但毕竟会计数据的数量是庞大的，数据处理会出现多种错误。一是输入环节录入错误信息，使用无效代码，击错功能键，丢失数据，重复输入，没有将数据存盘等。二是处理环节使用了错误程序，使用了错误的数据文件以及丢失数据文件和程序等。这些使会计档案面临保存失效的安全隐患。

（四）人员素质方面

其安全隐患主要包括：

第一，人员配备方面没有配备足够的系统安全人员。使用与管理人员培训不够，业务素质偏低，容易产生错误操作，从而对计算机会计信息系统安全构成威胁；

第二，责权不明、管理混乱、安全管理制度不健全及缺乏可操作性等都可能使安全风险增强；

第三，内部人员道德风险，主要指企业内部人员对会计信息的管理不善、非法篡改、破坏和不正当泄密等，造成资料损坏或丢失，为犯罪造成可乘之机。

三、针对数据有效性的威胁审计人员应当采取的措施

国际上知名的会计师事务所都已经意识到会计信息系统所带来的审计风险，并且让信息系统审计师协助审计小组工作。审计小组应该首先了解：会计信息系统的一般控制和应用控制，被审计单位是否配备了合格的系统安全管理人员。然后请专家（即信息系统审计师）根据审计对会计信息数据的需求，实施一定的信息系统审计方法来测试会计信息系统产生数据的有效性，以达到降低审计风险的目的。

（一）应当了解的情况

审计人员应该了解会计信息的一般控制和应用控制。

1．一般控制

一般控制作为会计信息系统的主要控制手段之一，涉及面很广，从人员管理到计算机软硬件及运行环境的管理等，具体包括以下几个方面：

（1）组织控制

指为保证会计信息系统责任和义务而采取的控制。具体包括：建立管理的组织机构，选择、监督、培训人员，职责分工并授权，计算机应用系统建立的组织，以及会计信息内控制度计划、引导、管理。

（2）系统开发与维护控制

具体包括：系统开发计划控制，编程与软件测试控制，系统维护及功能改进的控制以及日常运行管理维护，文档资料的控制。

（3）软件与硬件的控制

具体包括：硬件系统控制，软件系统控制，网络系统控制。

（4）安全控制

主要涉及计算机系统的环境安全、设备保护以及安全保密制度。

（5）操作控制

主要涉及使用计算机系统的一整套管理制度，包括计算机系统操作规程和守则，上机日记，保密制度等。

2．应用控制

应用控制的目的是保证计算机系统数据处理的完整性、一致性、准确性和安全性。一般分为输入控制，处理控制和输出控制。

（1）输入控制

其目的是保证经审批的经济业务数据准确输入计算机系统。输入控制与组织控制是相辅相成的，业务审批应在电算部门之外。

（2）处理控制

其目的是保证会计信息系统按程序设计的要求进行数据处理。一般通过计算机程序加以执行。

（3）输出控制

其目的是保证会计信息系统处理结果能正确的输出，任何未经授权的人不能取得计算机系统内的数据。

上述介绍的是在会计信息系统环境下系统完整的内部控制体系。对一个企业来说，实际情况是，其内控往往并不能包括全部，如一些单位的应用软件是购买的，对软件的开发过程的内控实际上是无法控制的。因此，审计人员在实际测试工作中，还要针对每个企业实际情况制定具体的测试方案，进行符合性测试和实质性测试，并对其会计信息系统的内控做出评价，然后根据测试结果决定是否依赖或部分依赖会计信息系统下的内控制度制定，并制定相应的审计策略，同时对内控制度存在的重大缺陷提出管理建议。

（二）信息系统审计师实施的主要测试方法

审计通过检查系统状态是否正常或是否符合包括系统和组织策略在内的安全需求来支持对操作的保障。

1．自动工具

对安全特征的人工检查是一项费时的重要工作。自动工具使得对大型计算机系统的各种安全错误的检查成为可能。它可以用来发现各种威胁和漏洞，如不适当的访问控制、脆弱口令、缺乏完整性的系统软件，或没有及时更新和修补的软件。有两种类型的自动工具：一种是主动工具，它是通过破解系统来发现系统缺陷的工具；另一种是被动工具，它是用来检查系统和通过系统状态推断系统所存在问题的工具。

2．内部控制审计

审计可以对己经部署的控制进行检查以确定它们是否有效。审计者通常会对计算机和非计算机的控制进行分析，其技术包括询问、观察、测试（包括控制本身及其数据）。审计还可以发现非法活动、错误、反常行为和法律法规的执行疏漏。

3．安全检查表

计算机安全可以通过检查表的方式对系统进行审计。安全计划对系统中包括管理、操作和技术在内的主要安全要求进行概括。审计者也可以自己开发出合适形式的检查表。

4．系统日志的检查

定期对系统产生的日志进行检查可以发现安全问题，包括超越系统权限的在非正常时间内访问系统的企图。

5．报警和阻断

报警子系统发现和警示非授权的操作或企图，并报知系统管理员。阻断响应则是对非授权的操作进行阻止，对非授权的操作所引起的操作结果进行恢复。

四、小结

综上所述，在会计信息系统条件下开展财务报表审计工作，必须要充分认识并考虑会计信息系统所潜在的风险，并且实施相应的审计程序，以合理保证会计信息系统产生数据的有效性，达到降低拟信赖该系统所带来的审计风险。

参考文献：

[1]李荣梅，陈良民．企业内部控制与审计[m]．经济科学出版社，2004，（8）．

[2]刘汝焯．计算机审计技术和方法［m］．清华大学出版社，2004，（6）．

[3]唐勇军，时薛原．网络环境下的会计信息内部控制研究［j］．财会通讯，2003，（10）．

第8篇：安全审计机制范文

关键词：政府审计；国家经济安全；关系

随着经济全球化发展、国际政治格局的变化，和平与发展已经成为时代主题。和平时期的国家经济安全问题正受到各个国家的高度重视，尤其在美国次贷危机引发的全球金融危机的大背景下，国家经济安全问题显得尤为重要。

1 政府审计关注国家经济安全

中国经济发展具有集大国经济、转轨经济和不发达经济于一体的时代背景，在全球经济安全问题凸显下，国家经济安全问题更具有特殊性。

1.1 国家经济安全的重要性

美国政治学者塞缪尔・亨廷顿指出：经济活动是国家权力最重要的源泉，在一个主要国家间不大可能发生战争的世界里，经济力量将是决定一国是处于主导或相对优势地位还是从属地位的日益重要的因素。

1.2 政府审计与国家经济安全

国家审计制度的确立是基于国家对经济活动的必要干预、调节和管理的现实需要，是国家政治制度不可缺少的组成部分。政府审计是国家经济运行的“免疫系统”，审计的最高目标是维护国家安全，保障人民利益，把维护国家安全和保障人民利益作为审计工作重要任务，尤其要关注财政安全、金融安全、国有资产和国有资源安全、民生安全、环境安全等，不负时代赋予的使命。

随着经济全球化和信息化的加剧以及可持续发展压力的加大，国家经济安全观越来越受到各国家和社会的广泛重视。特别是金融危机以来，无论是发展中国家还是发达国家，都要共同面对国家经济安全问题。

2 关于政府计防御国家经济安全风险的研究

发展中国家政府审计虽开始关注国家经济安全问题，但研究尚未深入，我国对政府审计与国家经济安全问题研究也才起步。如何使政府审计成为国家经济安全“卫士”，承担国家经济安全风险审计重任尚在研究中。近年虽然针对政府审计的国家经济安全防御职能及范围研究较多，但对外国资本跨国并购产业安全审计理论与实务问题研究却很少。特别是研究产业安全指标体系和审计评价系统的构建，政府审计对跨国公司并购国内企业动机、趋势、绩效的评价，以及对国家经济安全风险评估和风险管理审计等问题研究鲜见。因此，我们构建国家经济安全“防线”，政府审计职能转变，建立我国政府审计国家经济安全风险预警机制并肩负起防御国家经济、政治安全风险的重任有着重大意义。

3 政府金融审计与国家经济安全

政府金融审计作为金融监管的重要手段，是政府审计机构对金融机构会计记录、会计报表和其他财务资料所反映的业务活动真实性、合规性和经济效益所进行的监督、审查活动，对维护国家金融安全发挥着不可替代的作用。因此，加强政府金融审计是保障国家经济安全的内在要求。我国政府金融审计历经30年的发展已日渐成熟，但在审计对象、审计内容、审计程序和方法、审计功能定位等方面仍存在有待改进之处。

作为金融监督的重要形式之一，政府金融审计是强化金融监管、维护金融稳定、提高金融效率、深化金融改革的重要手段。政府金融审计在保障国家经济安全方面的作用突出表现在以下几个方面：

金融审计是维护国家金融安全的重要机制。政府金融审计以审查金融机构财务收支真实性，评价金融机构资产质量、抗风险能力、资金运营效益为目标，便于我们从总体上把握金融体系的安全性，及时发现隐藏于金融体系中的问题，并提出有效的整改建议，做好评价防御工作。政府金融审计围绕金融机构信贷资产业务、表外业务等具体业务展开审计，便于及时发现金融活动中的违法违纪行为，化解危害国家金融安全的隐患，做好查漏纠错工作。政府金融审计通过系统分析和综合评价，能够及时识别金融动态对金融安全的影响因素，便于我们完善宏观金融政策、提高金融安全预警能力，做好信息反馈工作，提高国家金融体系的安全性。

金融审计是监督金融管理机构的重要手段。金融审计机构与其他金融监管部门分工明确、职责清晰、层次分明，将有助于规范金融监督行为，优化金融监管资源配置，提高金融监管效率。

4 我国政府审计对国家经济安全的关注

在我国，国家经济安全问题也受到高度关注。党的十五大报告中首次将国家经济安全问题提到议事日程，并明确提出“维护国家经济安全”；党的十六大报告中提出“在扩大对外开放中，要十分注意维护国家经济安全”，并把国家经济安全提升到战略的高度；党的十七大报告中提出“扩大开放领域，优化开放结构，提高开放质量，完善内外联动、互利共赢、安全高效的开放型经济体系”。

2007年的全国审计工作总结中，刘家义审计长首次提出了“现代政府审计是经济社会运行的一个免疫系统”的观点。2008年，在美国次贷危机而引发的国际金融危机的背景下，刘家义审计长在中国审计学会五届三次理事会及理事论坛上，对“免疫系统论”作了详尽得阐述。该观点认为，从经济社会发展与审计发展的内在联系来分析，从马克思主义国家学说的更深层次研究来看，审计本质上是一个国家经济社会运行的“免疫系统”。审计发挥的是预防、揭示和抵御经济社会运行中的障碍、矛盾和风险的“免疫系统”功能。由此，我国会计、审计界就政府审计发挥“免疫系统”作用，从不同角度展开讨论。我国会计、审计界普遍认同“免疫系统论”的观点。审计署党组通过的《审计署2008至2012年审计工作发展规划》提出了“充分发挥审计保证国家经济社会运行的'免疫系统'功能，全面提高依法审计能力和审计工作水平，初步实现审计工作法治化、规范化、科学化，积极构建与社会主义市场经济体制相适应的中国特色审计监督制度”的要求。

5 中国审计的国际化趋势

经济全球化发展的趋势使审计国际趋同的进展迅速。审计的国际化更多地体现在国际审计准则的制定与采用上。中国审计准则的国际化趋势正在加速。我国于2007年1月1日起实施的《企业会计准则》、《中国注册会计师执业准则》正在趋于国际化。

环境的变化是审计产生、存在和发展的土壤，无论这土地富饶或贫瘠，审计作为社会经济、政治生活中极富生命力的产物就会适应环境的变化存在和发展着，不断地完善和创新自我，服务于对它需求的方方面面，承担着社会公众的责任。审计的生命力是社会经济、政治的发展赋予的，审计发展的动力源来自于利益相关者们的博弈，只要社会存在、经济发展，审计必将继续实现其目标。

参考文献

[1]蔡春，李江涛，刘更新.政府审计维护国家经济安全的基本依据、作用机理及路径选择[J].审计研究，2009（4）.

第9篇：安全审计机制范文

一、数据有效性的定义

二、数据有效性的影响因素分析

会计信息系统由计算机硬件及其环境，计算机网络，系统管理软件和应用软件组成。影响被审计数据的有效性主要是会计信息系统的风险性。会计信息系统的风险是指由于各种不确定因素的影响，系统输出的会计信息与真实信息发生背离的可能性。会计信息系统既给会计工作带来了高效率，同时也带来了一些手工条件下所没有的风险。种种安全隐患在会计信息系统中突出表现在以下四个方面：

（一）系统环境

系统环境因素主要是指会计信息系统的硬件和软件、系统开发以及自然环境等方面的因素。

1．硬件和软件

2．系统开发

在系统开发方面，主要表现为没有按科学的方法架构网络、开发系统和设计程序，系统未经测试和调试等，而致使财务信息面临被窃取的安全隐患。

3．自然环境

在自然环境方面，火灾、水灾、风灾、地震等都有可能造成系统的安全问题。

（二）管理制度方面

1．建设组织

在组织方面，存在职责不分、没有监督机构等问题。

2．管理制度

在管理制度方面，存在没有健全的管理制度，或者是有章不循、有规不依等问题。

3．人员配备

在人员配备方面，存在企业没有对网络会计系统以足够的重视，没有配备足够的人员，尤其是没有配备足够的系统安全人员的问题。

4．内部审计机制

在内部审计机制方面，存在没有建立有效的内部审计机制，或者建立的内部审计机制没有坚持执行等问题。

（三）数据处理方面

（四）人员素质方面

其安全隐患主要包括：

第二，责权不明、管理混乱、安全管理制度不健全及缺乏可操作性等都可能使安全风险增强；

三、针对数据有效性的威胁审计人员应当采取的措施

（一）应当了解的情况

审计人员应该了解会计信息的一般控制和应用控制。

1．一般控制

一般控制作为会计信息系统的主要控制手段之一，涉及面很广，从人员管理到计算机软硬件及运行环境的管理等，具体包括以下几个方面：

（1）组织控制　

（2）系统开发与维护控制

具体包括：系统开发计划控制，编程与软件测试控制，系统维护及功能改进的控制以及日常运行管理维护，文档资料的控制。

（3）软件与硬件的控制

具体包括：硬件系统控制，软件系统控制，网络系统控制。

（4）安全控制

主要涉及计算机系统的环境安全、设备保护以及安全保密制度。

（5）操作控制

主要涉及使用计算机系统的一整套管理制度，包括计算机系统操作规程和守则，上机日记，保密制度等。

2．应用控制

应用控制的目的是保证计算机系统数据处理的完整性、一致性、准确性和安全性。一般分为输入控制，处理控制和输出控制。

（1）输入控制

其目的是保证经审批的经济业务数据准确输入计算机系统。输入控制与组织控制是相辅相成的，业务审批应在电算部门之外。

（2）处理控制

其目的是保证会计信息系统按程序设计的要求进行数据处理。一般通过计算机程序加以执行。

（3）输出控制

其目的是保证会计信息系统处理结果能正确的输出，任何未经授权的人不能取得计算机系统内的数据。

（二）信息系统审计师实施的主要测试方法

审计通过检查系统状态是否正常或是否符合包括系统和组织策略在内的安全需求来支持对操作的保障。

1．自动工具

2．内部控制审计

3．安全检查表

4．系统日志的检查

定期对系统产生的日志进行检查可以发现安全问题，包括超越系统权限的在非正常时间内访问系统的企图。

5．报警和阻断

四、小结

参考文献：

[1] 李荣梅，陈良民．企业内部控制与审计[m]．经济科学出版社，2004，（8）．

[2] 刘汝焯．计算机审计技术和方法［m］．清华大学出版社，2004，（6）．

[3] 唐勇军，时薛原．网络环境下的会计信息内部控制研究［j］．财会通讯，2003，（10）．

安全审计机制精选(九篇)

相关热门标签

相关文章阅读

精选范文推荐

相关期刊推荐

安全

安全

安全

安全

核安全