审计
.L注册会计师在对F公司2005年度会计报表进行审计时,收集到以下六组审计证据:
(1)收料单与购货发票
(2)销货发票副本与产品出库单
(3)领料单与材料成本计算表
(4)工资计算单与工资发放单
(5)存货盘点表与存货监盘记录
(6)银行询证函回函与银行对账单
要求:请分别说明每组审计证据中哪项审计证据较为可靠,并简要说明理由。
参考答案:
(1)购货发票比收料单可靠
购货发票来自于公司以外的机构或人员,而收料单是公司自行编制的。
(2)销货发票副本比产品出库单可靠
销货发票是在外部流转的,并获得公司以外的机构或个人的承认;而产品出库单只在公司内部流转。
(3)领料单比材料成本计算表可靠
领料单预先被连续编号,并且经过公司不同部门人员的审核,而材料成本计算表只在会计部门内部流转。
(4)工资发放单比工资计算单可靠
工资发放单需经会计部门以外的工资领取人签字确认,而工资计算单只在会计部门内部流转。
(5)存货监盘记录比存货盘点表可靠
存货监盘记录是注册会计师自行编制的,而存货盘点表是公司提供的。
(6)银行询证函回函比银行对账单可靠
银行询证函回函是注册会计师直接获取的,未经公司有关职员之手;而银行对账单经过公司有关职员之手,存在伪造、涂改的可能性。
2.不同类型的审计证据的可靠性存在一定的差异。比较下列几组数据,说明每一组证据中哪个类型的证据比较可靠,并说明你的理由:
(1)银行询证函与银行对账单;
(2)注册会计师通过自行计算折旧额所取得的证据与被审计单位的累计折旧明细账数据;
(3)银行对账单与发货单;
(4)律师询证函回函、注册会计师与律师交谈取得的证据;
(5)内部控制良好的公司的销货发票与内部控制较差的公司的销货发票
参考答案:
(1)银行询证函比较可靠。因为银行询证函通常是在注册会计师监督下寄给银行,然后银行直接回函给注册会计师所取得的证据;银行对账单则通常由银行寄给被审计单位,由被审计单位保管;
(2)注册会计师通过自行计算折旧额所取得的证据比较可靠。
(3)银行对账单比较可靠。因为银行对账单是由银行提供的,而发货单是企业自行填制的;
(4)律师询证函回函比较可靠,因为该证据属于书面证据;
(5)内部控制良好的公司的销货发票比较可靠。
3. ABC会计师事务所的A注册会计师负责对甲公司20×8年度财务报表进行审计。
20×9年2月15日,A注册会计师完成审计业务,并于5月15日将审计工作底稿归整为最终审计档案。
20×9年5月20日,A注册会计师意识到甲公司存在舞弊案爆发,A注册会计师私下修改了甲公司审计工作底稿。
要求:根据审计工作底稿准则和会计师事务所质量控制准则,回答下列问题:
(1)A注册会计师在归整审计档案时是否存在问题,并简要说明理由。
(2)在归整审计档案后,A注册会计师私下修改审计工作底稿是否存在问题,并简要说明理由。
【答案】
(1)A注册会计师在归整审计档案时存在问题。审计工作底稿归档期限为审计报告日后60天内,该业务审计报告日为2月15日,完成归档日期为5月15日,归档期限超过了60天。
(2)在归整审计档案后,A注册会计师私下修改审计工作底稿存在问题。一般情况下,审计报告归档之后不需要对审计工作底稿进行修改或增加,如果发现有必要修改现有审计工作底稿或增加新的工作底稿,无论性质如何,均应当说明修改的具体理由,并有相关人员进行复核;修改现有工作底稿应该是对原记录信息不予删除(包括涂改、覆盖等方式)的前提下,采用新信息的方式予以修改。
4. 注册会计师赵利、王海于2008年3月10日完成了对乙公司2007年度会计报表的实地审计工作,现正草拟审计报告。在复核审计工作底稿时,假定存在以下几种情况:
(1)公司2007年度审计前会计报表反映的资产总额为2800万元,利润总额为100万元。
(2)公司有20万元的存货存放在外地仓库,注册会计师未能进行监盘,向存放地发出的询证函也未收到任何答复,且无法实施替代程序。
(3)甲公司2007年11月向乙公司索赔一案,已于2008年3月5日由法院作出终审判决,乙公司败诉并应向甲公司赔偿110万元,乙公司在2007年的会计报表附注中已经说明。
(4)在进行财务费用的审计时,注册会计师发现乙公司将尚未竣工的在建工程专项借款利息30万元计入了财务费用。
(1)假定注册会计师以总资产的1%、利润总额的10%作为判断重要性水平的标准,请计算说明会计报表层次的重要性水平。
(2)对上述(3)、(4)两种情况,注册会计师应提出何种处理意见?如须提请被审计单位调整,请列示调整分录(不考虑所得税、利润分配等的影响)。
(3)假定被审计单位拒绝注册会计师对上述(3)、(4)两种情况提出的处理意见,分别说明上述(2)、(3)、(4)三种情况对注册会计师审计意见的影响,以及具体的审计意见类型。
(4)假定不考虑上述(2)、(3)两种情况的影响,仅就被审计单位拒绝调整的第(4)种情况,代注册会计师草拟审计报告的说明段和意见段
会计报表层次的重要性:2800×1%=28(万元),100×10%=10(万元),谨慎考虑确定为10万元。
(2)
事项(3)的调整建议:
借:营业外支出110万
贷:其他应付款110万
事项(4)的调整建议:
借:在建工程30万
贷:财务费用30万
(3)
事项(2)属于审计范围受限,高于报表层次的重要性水平,应出具保留意见;
事项(3)、(4)均属于未调整事项,其中:
事项(3)调整后乙公司将变为亏损10万元,如果乙公司拒绝调整事项(3),应出具否定意见;
如果拒绝调整事项(4),应出具保留意见
5. ABC会计师事务所的注册会计师对丁股份有限公司2007年度会计报表进行了审计。公司审计前会计报表反映的资产总额为5000万元,年度利润总额为100万元,重要性水平判断为10万元。在审计过程中发现以下几种情况:
(1)公司利润总额中的0.5万元是由其境外子公司提供的,注册会计师无法赴国外对子公司的会计报表进行审查,也无法通过其他审计程序加以验证。
(2)由于存货使用受到仓库倒塌的限制,正常业务受到严重影响,可能影响即将到期的1000万元债务;
(3)注册会计师得知丁公司2007年涉及的诉讼案于2008年3月20日判决,丁公司败诉,应向原告赔偿45万元,公司对判决结果没有提出异议,并在会计报表附注中进行了披露。注册会计师提请丁公司调整2007年度会计报表,被公司拒绝。
(4)丁公司2007年7月进行短期投资,成本为1100万元,2007年12月31日市价为1005万元。公司仅在会计报表附注中揭示了该市价。
(5)丁公司全部存货占资产总额的50%以上,放置于邻近单位仓库内。由于此仓库倒塌尚未清理完毕,不仅无法估计损失,也无法实施监盘程序;
(6)丁公司在2007年1月份购入一台设备,当月投入使用,2007年未提折旧。该设备原始价值50万元,月折旧率2%。
(7)2007年11月间,丁公司被控侵犯专利权,对方要求收取专利权费并收取罚款,公司已提出辩护,此案正在审理之中,最终结果无法确定;
(8)注册会计师从公司职员处了解到,丁公司在2008年5月份将进行大规模人事变动。丁公司拒绝在2007年度会计报表附注中进行披露。
要求:假定公司不接受注册会计师提出的调整意见,分别针对上述情况,说明注册会计师应当出具何种意见的审计报告,并简要说明理由
第(1)种情况,应出具标准无保留意见的审计报告。因为审计范围受到的限制很小。
第(2)种情况,应出具带强调事项段的无保留意见的审计报告。因为该事项为导致对持续经营产生重大疑虑事项。
第(3)种情况,应出具保留意见的审计报告。因为,公司违反了会计准则和会计制度的规定,但从应该调整的金额(45万元)看,还不至于导致注册会计师发表否定意见。
第(4)种情况,应出具否定意见的审计报告。因为,公司应该计提当年的短期投资跌价准备95万元,将导致利润由100万元降低为5万元,严重的歪曲了利润。
第(5)种情况,应出具无法表示意见的审计报告。因为审计范围受到重大限制。
第(6)种情况,应出具保留意见的审计报告。因为,公司当年应提设备折旧11万元(50×2%×11=1l),但从应该调整的金额看,还不至于导致注册会计师发表否定意见。
第(7)种情况,应出具带强调事项段的无保留意见的审计报告。因为该事项为重大不确定事项。(2分)
第(8)种情况,应出具标准无保留意见的审计报告。因为该事项对2007年度财务报表无直接影响
6.A注册会计师负责对常年审计客户甲公司20×8年度财务报表进行审计,撰写了总体审计策略和具体审计计划。
部分内容摘录如下:
(1)初步了解20×8度甲公司及其环境未发生重大变化,拟信赖以往审计中对管理层、治理层诚信形成的判断。
(2)因对甲公司内部审计人员的客观性和专业胜任能力存有疑虑,拟不利用内部审计的工作。
(3)如对计划的重要性水平做出修正,拟通过修改计划实施的实质性程序的性质、时间和范围降低重大错报风险。
(4)假定甲公司在收入确认方面存在舞弊风险,拟将销售交易及其认定的重大错报风险评估为高水平,不再了解和评估相关控制设计的合理性并确定其是否已得到执行,直接实施细节测试。
(5)因甲公司于20×8年9月关闭某地办事处并注销其银行账户,拟不再函证该银行账户。(6)因审计工作时间安排紧张,拟不函证应收账款,直接实施替代审计程序。
(7)20×8年度甲公司购入股票作为可代出售的金融资产核算。除实施询问程序外,预期无法获取有关管理层持有意图的其他充分、适当的审计证据,拟就询问结果获取管理层书面声明。
要求:针对上述事项(1)至(7),逐项指出A注册会计师拟定的计划是否存在不当之处。如有不当之处,简要说明理由。
第(1)项,A注册会计师拟定的计划存在不当之处。
注册会计师不能仅仅根据甲公司及其环境没有发生重大变化而直接信赖管理层、治理层的诚信,注册会计师还应该考虑被审计单位相关的战略、目标等的影响以及本年度的具体情况来考虑管理层、治理层的诚信问题。
第(2)项,A注册会计师拟定的计划无不当之处。
第(3)项,A注册会计师拟定的计划存在不当之处。
重大错报风险是客观存在的,并不能够降低,可以通过控制测试,降低评估的重大错报风险;通过修改计划实施的实质性程序的性质、时间和范围降低检查风险,并不是重大错报风险。
第(4)项,A注册会计师拟定的计划存在不当之处。
对内部控制的了解是必须的,并不是可选择,判断收入确认方面存在舞弊风险,可以不执行控制测试,但是了解内部控制程序是必须的,可以在了解内部控制程序后,根据评估的结果,直接执行细节测试。
第(5)项,A注册会计师拟定的计划存在不当之处。
注册会计师对银行存款的函证,应当选择在财务报表涵盖期间所有存过款的银行,包括零账户和账户已结清的账户。不能由于已经注销账户,就不进行银行存款函证。
第(6)项,A注册会计师拟定的计划存在不当之处。
除非有充分证据表明应收账款对财务报表而言是不重要的,或函证很可能是无效的,否则注册会计师应当对应收账款实施函证。注册会计师不能够由于时间、成本等的原因,减少必要的审计程序。
第(7)项,A注册会计师拟定的计划无不当之处。
7. A注册会计师接受甲公司的委托,对甲公司管理层编制的下属子公司乙公司IT系统运行有效性的评价报告进行鉴证。甲公司拟将该评价报告提交给其他预期使用者。
要求:
(1)请指出该项鉴证业务属于何种业务类型:基于责任方认定的业务还是直接报告业务?历史财务信息鉴证业务还是其他鉴证业务?
(2)请指出该项鉴证业务的责任方,并简要说明甲公司管理层、乙公司管理层和A注册会计师各自的责任。
(3)在评价乙公司IT系统运行有效性时,甲公司使用的是其自行制定的标准。请简要说明A注册会计师应该从哪些方面评价标准的适当性。
(4)在承接业务后,如发现标准不适当,A注册会计师应该出具何种类型的鉴证报告?
分类序号业务类型请在相应位置打“√”
(1)基于责任方认定的业务√
直接报告业务
(2)历史财务信息鉴证业务
??㏒???琰茞?
?ü
其他鉴证业务√
(2)该项鉴证业务的责任方为甲公司管理层。
甲公司管理层的责任,对鉴证对象信息负责,即对乙公司IT系统运行有效性的评价报告负责。
乙公司管理层的责任,对鉴证对象负责,即对本公司IT系统运行有效性负责。
A注册会计师的责任,对由甲公司管理层负责的鉴证对象信息提出结论,以增强除责任方之外的预期使用者对鉴证对象信息的信任程度。
(3)A注册会计师应当从相关性、完整性、可靠性、中立性、可理解性五个方面评价标准的适当性。
(4)在承接业务后,如果发现标准不适当,A注册会计师应当视其重大与广泛程度,出具保留结论或者否定结论的报告;如果发现标准不适当,造成工作范围受到限制,注册会计师应当视受到限制的重大与广泛程度,出具保留结论或无法提出结论的报告。
8. ABC会计师事务所正在制订业务质量控制制度,经过领导层集体研究,确立了下列重大质量控制制度:
(1)合伙人的晋升与考核以业务量为主要考核指标,同时考虑遵循质量控制制度和职业道德规范的情况;
(2)对员工介绍的客户,由员工所在部门经理根据收费的高低自行决定是否承接;具审计报告;
(3)所有审计工作底稿应当在业务完成后90日内整理归档
(4)由于尚未取得上市公司审计资格,不予执行项目质量控制复核制度;
(5)无论审计项目组内部的分歧是否得到解决,审计项目组必须保证按时出
(6)以每3年为一个周期,选取已完成业务进行检查,检查对象为当年度考核等级位列后3名的项目负责人。
要求:针对上述(1)至(6)项,分别指出ABC会计师事务所可能违反质量控制准则的情形,并简要说明理由。
第(1)项合伙人的晋升与考核以业务量为主要考核指标违反了质量控制准则的规定。
会计师事务所人员的晋升,应当以提高业务质量和遵守职业道德规范作为主要考核指标。
第(2)项业务的承接以部门经理根据收费的高低自行决定违反了质量控制准则的规定。
会计师事务所在制定有关客户关系和具体业务的承接与保持的政策和程序时,不应该将收费作为衡量的唯一标准或关键标准。只有在满足三个条件的情况下,才能够接受或保持客户关系和具体业务:已考虑客户的诚信,没有信息表明客户缺乏诚信;具有执行业务必要的素质、专业胜任能力、时间和资源;能够遵守职业道德规范。
第(3)项审计工作底稿应当在业务完成后90日内整理归档违反了质量控制准则的规定。
审计工作底稿的归档期限是审计业务报告日后60天内,如果未完成审计工作的业务,应当在审计业务中止日后60日内归档。
第(4)项会计师事务所以尚未取得上市公司审计资格为借口,不执行项目质量控制复核制度违反了质量控制准则的规定。
会计师事务所并不是仅仅对上市公司的审计业务执行项目质量控制复核制度,对于除上市公司审计以外的特定业务,需要执行项目质量控制复核的,也需要进行项目质量控制复核,否则不得出具报告。
第(5)项即使项目组内部分歧未得到解决,审计项目组必须保证按时出具审计报告违反了质量控制准则的规定。
项目组内部的分歧没有解决的,不得出具审计报告。
第(6)项检查对象仅为当年度考核等级位列后3名的项目负责人违反了质量控制准则的规定。
会计师事务所周期性的选取完成业务进行检查,三年符合了法定的周期最低标准,但是检查的对象不恰当,应当是对每个项目负责人的业务至少取一项进行检查。
5-企业案例-网络安全审计系统(数据库审计)解决方案
数据库审计系统技术建议书
目次 1.综述 (1) 2.需求分析 (1) 2.1.内部人员面临的安全隐患 (2) 2.2.第三方维护人员的威胁 (2) 2.3.最高权限滥用风险 (2) 2.4.违规行为无法控制的风险 (2) 2.5.系统日志不能发现的安全隐患 (2) 2.6.系统崩溃带来审计结果的丢失 (3) 3.审计系统设计方案 (3) 3.1.设计思路和原则 (3) 3.2.系统设计原理 (4) 3.3.设计方案及系统配置 (14) 3.4.主要功能介绍 (5) 3.4.1.数据库审计........................ 错误!未定义书签。 3.4.2.网络运维审计 (9) 3.4.3.OA审计............................ 错误!未定义书签。 3.4.4.数据库响应时间及返回码的审计 (9) 3.4.5.业务系统三层关联 (9) 3.4.6.合规性规则和响应 (10) 3.4.7.审计报告输出 (12) 3.4.8.自身管理 (13) 3.4.9.系统安全性设计 (14) 3.5.负面影响评价 (16) 3.6.交换机性能影响评价 (17) 4.资质证书.......................... 错误!未定义书签。
1.综述 随着计算机和网络技术发展,信息系统的应用越来越广泛。数据库做为信息技术的核心和基础,承载着越来越多的关键业务系统,渐渐成为商业和公共安全中最具有战略性的资产,数据库的安全稳定运行也直接决定着业务系统能否正常使用。 围绕数据库的业务系统安全隐患如何得到有效解决,一直以来是IT治理人员和DBA们关注的焦点。做为资深信息安全厂商,结合多年的安全研究经验,提出如下解决思路: 管理层面:完善现有业务流程制度,明细人员职责和分工,规范内部员工的日常操作,严格监控第三方维护人员的操作。 技术层面:除了在业务网络部署相关的信息安全防护产品(如FW、IPS 等),还需要专门针对数据库部署独立安全审计产品,对关键的数据库操作行为进行审计,做到违规行为发生时及时告警,事故发生后精确溯源。 不过,审计关键应用程序和数据库不是一项简单工作。特别是数据库系统,服务于各有不同权限的大量用户,支持高并发的事务处理,还必须满足苛刻的服务水平要求。商业数据库软件内置的审计功能无法满足审计独立性的基本要求,还会降低数据库性能并增加管理费用。 2.需求分析 随着信息技术的发展,XXX已经建立了比较完善的信息系统,数据库中承载的信息越来越受到公司相关部门、领导的重视。同时数据库中储存着诸如XXX等极其重要和敏感的信息。这些信息一旦被篡改或者泄露,轻则造成企业或者社会的经济损失,重则影响企业形象甚至社会安全。 通过对XXX的深入调研,XXX面临的安全隐患归纳如下:
浅谈审计人才培养模式
浅谈审计人才培养模式 随着人工智能技术的发展,人工智能有可能会部分取代人类在 审计领域的部分作用。审计承担着监督社会经济正常运行的重要职能,虽然人工智能想要完全取代是不可能的,但不可否认的是人工 智能的介入势必引起审计行业巨大的变化,亦对审计人员的专业素 养也会提出不同的要求。 1人工智能的优势 1.1工作效率高 人工智能基于计算机技术,计算能力是普通人类大脑的几千万倍,所以人工智能能够快速处理业务。同时,人工处理业务往往需 要复核审批等一系列程序,而人工智能不存在主观舞弊倾向,所以,业务处理流程可以大大简化,进而进一步提高工作效率。以传统报 账为例,员工出差需要自行垫付资金,取得相应交通及住宿发票之 后再回到单位贴票报销。财务人员需要对票据真实性、合规性进行 检查,一级检查完之后还需要交上一级复核,确认无误后才能付款 给出差人,整个流程复杂费时。对于整个公司来讲,出差人报销的 金额并不大,但是却占用了财务部分大部分的时间。如果将人工智 能应用于报账系统,处理流程被简化,不再需要反复核算与检查, 加上计算机快速的处理速度,整个报账时间会被大大缩短。原来需 要二十个小时才能完成的工作,财务机器人一个小时就可以处理完毕。 1.2成本低 在传统的雇佣模式下,用人单位除了给员工支付工资外还需要 为员工购买各种保险,员工还可以享受到带薪休假等福利,所以用 人单位实际支付的成本差不多是员工拿到手工资的两倍,除此之外,
用人单位还需要在员工培训上面花费大笔资金。随着经济的发展, 人力成本越来越高。如果采用人工智能来完成相应的工作,虽然前 期引入人工智能系统可能投入会比较大,但是引入之后的维护成本 会大大降低。人工智能不需要每月支付工资,也不需要为其购买养 老保险、医疗保险等五险一金,更不需要为其安排带薪休假。机器 人可以24*7小时不间断工作,而且不需要支付加班费。所以,在用 工成本上,人工智能会更加低廉。 1.3准确性高 在经济学上有对人是理性人的假定,但事实上人是不能做到完 全理性的,人在处理事务时,难以做到绝对的公平与公正。由于受 到能力以及精力的限制,人类在处理事务时即使百分之百用心也难 免会出现失误,而且人容易受到情绪的影响,而情绪会影响到工作 质量,除了这些客观因素导致结果不准确之外,还有可能存在员工 主观故意的舞弊事项。而以上种种都有可能导致工作结果不准确。 但是人工智能并不存在以上情况,人工智能是人造机器,不具有人 类的情感,处理事务都按照预先测定的程序执行,在作出判断时能 够保持绝对的公正,不会受到情绪的影响,准确性比人类高出很多。同时由于没有情感,人工智能也不会存在主观舞弊的情况,所以人 工智能提供的数据结果都更为准确与真实。 2人工智能时代对审计人员的新要求 随着人工智能在审计行业的应用越来越深入,许多原来需要审 计人员完成的工作势必会被人工智能所取代,例如传统的查账、核 对工作便可完全由人工智能来执行。未来审计行业需要的是复合型、管理型人才。 2.1具备良好的沟通管理能力
内控与内审关系
关 内控与内审关系 内部控制是指经济单位和各个组织在经济活动中建立的一种相互制 约的业务组织形式和职责分工制度。内部控制的目的在于改善经营 管理、提高经济效益。 内部审计是对组织中各类业务和控制进行独立评价,以确定是否遵 循公认的方针和程序,是否符合规定和标准,是否有效和经济的使 用了资源,是否在实现组织目标。 内部控制审计与内部控制评价之间的系 1.评价对象相同。内部控制评价与内部控制审计都是对企业 内部控制的有效性进行评价,只不过两者对于内部控制的范围各 自有所侧重。这两种评价必然存在内在的关联性,所以往往也依 赖同样的证据,遵循类似的测试方法并使用同一基准日。 2.内部控制评价滋生了内部控制审计工作。对于执行内部控 制基本规范的上市公司或其他中小企业,按照《内部控制基本规 范》及配套指引的要求,企业内部控制必须委托会计师事务所开 展内部控制审计,内部控制评价报告与内部控制审计报告同时对 外披露或报送。由此,内部控制自我评价报告催生了内部控制审 计的产生。
区 3.内控审计的实施过程中可以适当利用企业内控自评工作。 内部控制审计执行审计工作时,注册会计师应当对企业内部控制 自我评价工作进行评估,判断是否利用企业内部控制评价相关的 工作以及可利用的程度,相应减少可能本应由注册会计师执行的 工作。 综上所述,内部控制审计和内部控制评价既有本质的区别又 有相应的联系。需要强调的是,注册会计师虽然可以利用企业内 部控制评价所形成的结论,但需对其本身发表的审计意见独立承 担责任,该责任不因企业内部控制评价人员和其他相关人员的工 作而减轻。 内部控制审计与内部控制评价之间的别 1.范围不同。内部控制审计以财务报告内部控制为主。内部 控制审计的范围,直接决定着审计的质量、成本和责任,决定着 审计的可行性。为了遏制内部控制的各种可能的缺陷滋生,为财 务报表使用者提供尽可能多的相关信息,促进被审计单位全面加 强内部控制建设,内部控制审计应当以整个内部控制为审计范围。 但是,以整个内部控制作为内部控制审计的范围,既不明确,也 不好把握,容易产生审计风险,审计的可行性会有问题。所以, 目前内部控制审计只能突出重点,重点解决内部控制弱化可能产 生输出虚假财务信息的问题,内部控制审计范围应当限于与财务 报告有关的内部控制(杨瑞平,2010)。
承包经营合同范本(通用版)
承包经营合同范本(通 用版)
承包经营合同 发包方(甲方): 承包方(乙方): 鉴于 甲方基于禹衡商贸有限公司(以下简称公司)发展及管理需要,与乙方协商一致,将公司经营权在本合同期限内发包给乙方以供经营。为了厘清双方权利义务,特于2015年4月2日签订此合同。 第一章总则 第一条承包事项:公司所有与经营管理相关的事宜。 第二条承包经营的方式:发包方在承包经营期限内将公司全部经营权发包给承包方。承包经营期间,由承包方独立核算、依法纳税、自主经营、自负盈亏。 第三条承包经营期间,承包方必须在本公司的法定经营范围内从事经营活动(以本公司企业法人营业执照为准)。 第二章承包的期限、费用 第四条承包经营的期限为年,即从年月起至年月日止。 第五条公司与公司签订的合同为每吨元,禹衡商贸有限公司抽取管理费元/吨(大写:)。 第六条承包期间包括但不限于人员工资福利、社会保险、工伤事故、房屋租金、水费、电费、物业管理费、宽带费、电话费等与公司经营管理相关的全部费用均由承包方支付。 第三章承包方的权利与义务 第六条承包方在承包期间,对承包事项享有自主、独立的的经营权。承包方在承包期间享有以下权利: 6.1有权组建公司的管理团队、聘任公司经理和各部门负责人,组建公司领导机构。承包期满或合同解除后,该部分人员的安置费用由承包方承担。
6.2 有权决定公司的管理机构设置,制定规章制度,人事聘用、任免和奖惩。 6.3有权根据实际需要购置新设备和资产。合同终止后,由承包方出资购买的设备和资产归承包方所有。 第七条承包方有权根据本合同规定,取得其在承包经营期间应得的合法收入。 第八条承包方有权在承包期内使用公司公章、合同章、支票、账号、发票等财务凭证。 第九条承包方在承包期间应尽的义务 9.1必须依照国家有关规定, 合法用工、按期如数缴纳承包事项应缴纳的各种税费等。若因承包方原因导致发包方承担对公司的处罚,发包方可向承包方追偿,并可解除承包合同。 9.2承包方需维护公司形象、保护公司资产,不得作出损害公司权益的行为。若承包方作出损害公司权益的行为,发包方有权解除承包合同。 9.3承包方必须按期足额支付合同中应由承包方支付的费用,延期支付的,经发包方催告后仍不履行,发包方有权解除承包合同。 9.4承包方因自身原因导致合同不能继续履行的,应及时通知发包方,经发包方同意后方可终止合同履行。否则视为无故单方面解除合同,所缴纳的承包费不再退还。 9.5承包经营期间因承包经营事项的经营行为造成的后果均由承包方承担。由发包方或公司承担的可向承包方追偿。 第四章发包方的权利与义务 第十条发包方在承包经营期间享有的权利 10.1有权维护公司利益不受损害。 10.2有权监督公司的实施情况。 10.3对公司的财务状况享有监督权。 10.4有权在本合同届满前30日组织审计机构对承包情况进行审核,双方代表在审计意见书上签字后,承包方方可离职。 第十一条发包方在承包经营期间应尽的义务
数据库审计系统_技术白皮书V1.0
此处是Logo 数据库审计系统 技术白皮书 地址: 电话: 传真: 邮编:
■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属北京所有,受到有关产权及版权法保护。任何个人、机构未经北京的书面授权许可,不得以任何方式复制或引用本文的任何内容。 ■适用性声明 文档用于撰写XX公司产品介绍、项目方案、解决方案、商业计划书等。
目录 一.产品概述 (1) 二.应用背景 (1) 2.1现状与问题 (1) 2.1.1现状 (1) 2.1.2问题 (1) 2.2需求分析 (3) 2.2.1政策需求 (3) 2.2.1.1《信息系统安全等级保护基本要求》 (3) 2.2.1.2《商业银行信息科技风险管理指引》 (3) 2.2.2技术需求 (4) 2.2.3管理需求 (4) 2.2.4性能需求 (4) 2.2.5环境与兼容性需求 (5) 2.2.6需求汇总 (5) 三.产品介绍 (5) 3.1目标 (5) 3.2产品功能 (6) 3.2.1数据库访问行为记录 (6) 3.2.2违规操作告警响应 (6) 3.2.3集中存储访问记录 (6) 3.2.4访问记录查询 (7) 3.2.5数据库安全审计报表 (7) 3.3产品部署 (7) 3.3.1旁路部署 (7) 3.3.2分布式部署 (8) 3.4产品特性 (9) 3.4.1安全便捷的部署方式 (9) 3.4.2日志检索能力 (9) 3.4.3灵活的日志查询条件 (10) 3.4.4灵活的数据库审计配置策略 (10) 3.4.5数据库入侵检测能力 (10) 3.4.6符合审计需求设计 (11) 四.用户收益 (11) 4.1对企业带来的价值 (11) 4.2全生命周期日志管理 (12) 4.3日常安全运维工作的有力工具 (12)
加强审计人才队伍建设不断提高审计工作质量
加强审计人才队伍建设不断提高审计工作质量 提要:审计必须适应经济发展的需要,在把一切经济活动纳入审计监督视野的同时,要进一步履行审计的职能作用,建设一支素质过硬、专业技能优良的审计人才队伍,是提高审计工作质量的根本保证。 关键词:审计质量;审计体制;人才队伍 当前,随着经济活动范围日益增强,审计部门任务变得更加繁重,审计职能不断延伸。审计必须适应经济发展的需要,在把一切经济活动纳入审计监督视野的同时,要进一步履行审计职能作用,锻造一支素质过硬、专业技能优良的审计人才队伍,是提高审计工作质量的根本保证。 一、加快审计队伍建设的建章立制,不断提高审计工作质量 (一)构建和完善审计职业道德规范。审计职业道德规范是审计人员从事审计工作应该遵守的职业行为规范。要以有关人才建设和审计工作的政策法规为依据,借鉴民间审计人员职业道德规范标准,突出审计工作的特点,修订和完善现行规章制度和规范准则。以此规范审计主体的职业道德行为,为审计人员履行职业责任提供进一步的指导,同时向社会昭示审计人员的道德水准,提高审计的权威性和信赖度。审计职业道德规范的构建,必须紧紧把握依法审计、独立、客观、公正等审计职业道德的精髓,给审计人员精神上、道义上的指导与支持,为审计人员树立精神信条和专业原则,鞭策他们以明确的信念处理和协调各种关系,提高审计质量。 (二)建立健全人才队伍建设的各种制度。坚持以改革创新为动力,着力打造审计“三支队伍”,一要业务素质全面、谋划组织能力强的管理骨干队伍;二要专业技术精湛、发现和解决实际问题能力强的业务骨干队伍;三要审计理论功底深厚、研究攻关能力强的专家队伍。有了这“三支队伍”,就能形成“规模适度、结构合理、素质优良、充满活力”的审计人才群体。为此,要建立健全人才队伍建设的各种制度。一是建立科学的用人制度;二是建立并实施人才评估机制;三是建立审计人员专业技术资格考试制度;四是实行课题负责人制度。 (三)制定和完善审计人才队伍建设的管理细则和办法。在微观上,各级审计主管部门和职能部门,要结合本系统和本单位的实际情况,制定和完善有关审计人才建设的管理细则和管理办法,细化和落实有关审计人才建设的宏观政策。宏观与微观相结合,科学合理地确定审计人才建设发展战略目标,制定切实可行的与审计人才建设发展战略目标相配套的实施步骤和措施办法,确保审计人才发展战略的实现。实践证明,审计人才队伍建设,制定科学合理的发展战略是牵引、制度建设是保障、狠抓落实是关键。 二、建立健全审计体制编制,理顺审计人员管理机制
内控与内审的关系
内控与内审的关系 内部控制与内部审计之间存在着一种相互依赖、相互促进的内在联系。内部控制本质上是组织为了达到一定目标所采取的=系列行动和过程,主要目的包括:信息的可靠性和完整性:政策、计划、程序、法规的遵循性;资产的安全性:资源使用的经济性和有效性;为经营和计划所确定的目的和目标完成情况。而内部审计的主要目的是评价组织控制,它既对内部控制的健全和有效进行评价,以确保揭露组织潜在的风险和运行的经济达到组织的目标。其本身又是内部控制的重要组成部分。一个经济实体所提供的会计信息和其他经济信息的真实、完整与否,与该实体是否存在具有规范的内部控制制度有效执行,有着相当程度的因果关系。内部控制的存在与否,对内部审计方式的选择有着至关重要的意义。由于内部控制是为了推进经济实体的有效运营,而内部审计则在于协助管理层调查、评估内部控制制度,适时提供改进建议,以求内部控制制度得以持续实施。在通常情况下,内部控制系统由经济实体经营管理部门指定并在实施执行中评价和改进,通过内部审计部门评价内部控制系统的健全性和有效性。由于内部审计是在有限的时间与合理的成本条件下进行的。同时,审计主体对审计结论负有相应的责任。因此,审计工作必须讲究效率与结果,保证内部控制的合理性和运行的有效性。 适当的组织目标和合理的评价标准是管理和内部审计工作走向规范的标志。没有合理的评价标准,就等于没有实质意义的管理,缺少有效的内部控制,内部审计工作展开也就无法真正发挥其作用,以风险评估为基础的风险导向审计属于开放式的模型。审计人员当开始一项审计项目时,必须首先评估组织面临的经营、管理、财务,风险,考虑组织目标是否适当和是否有相应的控制,这不仅体现在具体项目及与部门的相互沟通方面,而且还反映在宏观上审计目标的不断演变。由此可见,内部审计人员根据风险评估的思路开展对内部控制的评价,以组织目标为起点和核心,能够更加有效地发挥建设性作用,完成由监督控制到风险基础,为组织做好服务。 现代企业内部审计工作主要涵盖以下内容: 1、财务收支审计。主要是评价和监督企业是否做到资产完整、财务信息真实及经济活动收支的合规性、合理性及合法性,对会计记录和报表分析提供资料真实性和公允性证明; 2、经济责任审计。是评价企业内部机构、人员在一定时期内从事的经济活动,以确定其经营业绩、明确经济责任,这里包括领导干部任期经济责任审计和年度经济责任审计。
承包经营合作协议范本
承包经营合作协议范本 承包经营在我国社会主义改革开放后的建设中起到了巨大的推动作用,那么承包经营合作协议书怎么写呢?以下是在小编为大家整理的承包经营合作协议书范文,感谢您的阅读。 承包经营合作协议书范文1 甲方: 法定代表人: 乙方:身份证号: 为更好地扩大公司业务,充分发挥双方各自优势,达到共同发展的目标,甲乙双方经多次友好协商,遵循诚信、平等、自愿的原则,在园林工程招投标、施工建设等方面使用的业务实行承包经营,为规范合作各方的权利义务特订立本协议 一、隶属关系 乙方以甲方名义从事经营活动,由甲方全面管理,并遵守国家和地方有关的法律法规及甲方有关管理规定。 二、合作方式
1、乙方在从事园林工程业务中所需的费用均由乙方自理(包括施工资金)。 2、乙方以甲方名义独立承揽工程业务,自行组织投标、设计、材料供应、加工、施工、保修、保质等工作并承担相应责任。甲方对乙方进行必要的配合、监督、检查、管理。 3、当乙方跟踪的单项工程项目规模特别大或工程技术难度特别高时,甲方应向乙方提供必要的帮助,费用乙方承担。 三、甲、乙双方的职责与权利 1、甲方的职责和权利: ①根据乙方承接工程业务的需要向乙方提供承接工程所需的资料和必要的协助、配合、支持; ②向乙方提供行政章和法人章各一枚(此章仅供于投标使用),配合乙方出具相应的法人委托书、介绍信、相关证明及资信文件。 ③协助乙方进行业务考察、接待等活动,费用由乙方承担; ④有权查阅招投标文件,有权审核和建议调整乙方的技术方案、施工图等。对乙方设计图纸、投标文件、施工合同等进行审核;
⑤对于存在明显风险的工程施工合同,甲方将及时与乙方对项目进行全面评估,听取乙方对控制风险的方式方法和防范对甲方造成风险的相关承诺,才同意 ⑥在施工过程中,甲方有权根据工程的实际情况派出工程管理人员对工程质量、施工安全、施工进度进行逼定期的检查(提前24小时通知乙方),检查中如发现乙方在施工中有需要整改的问题,乙方必须按建设单位及甲方要求进行整改,直到合格为止,所产生的费用由乙方自负; ⑦有权了解和监督乙方的经营、管理情况,提出整改建议。 2、乙方的职责和权利 ①乙方应严格按照甲方营业执照和资质证书规定的经营范围开展业务活动,合法经营,自负盈亏; ②如乙方需要甲方代开工程履约保函,由乙方把资金打入甲方账户后,甲方为乙方代开履约保函; ③乙方对工程项目的方案设计和施工图纸设计必须符合国家工程设计规范要求和归家建设强制性条款要求; ④乙方对甲方商业和技术机密进行保密义务。 四、管理费核定及收取方式
数据库审计方案
` 目 录 1 数据库安全现状 ......................................................... 2 数据泄密途径及原因分析 ................................................. 3 数据库审计系统概述 ..................................................... 4 数据库审计基本要求 ..................................................... 4.1 全面的数据库审计 .................................................. 4.2 简易部署 .......................................................... 4.3 业务操作实时监控回放 .............................................. 5 数据库审计系统主要功能 ................................................. 5.1 全方位的数据库审计 ................................................ 5.1.1 ................................... 多数据库系统及运行平台支持 5.1.2 ......................................... 细粒度数据库操作审计 5.2 实时回放数据库操作 ................................................ 5.3 事件精准定位 ...................................................... 5.4 事件关联分析 ...................................................... 5.5 访问工具监控 ...................................................... 5. 6 黑白名单审计 ...................................................... 5. 7 变量审计 .......................................................... 数据库审计 解决方案
审计、内控、风险管理三者之间的关系(1)
审计、内控、风险管理三者之间的关系标 风险管理侧重的是“可能性”。因此,风险管理应该是最早的环节,从企业整体评估风险状况,找到应对策略。这其中,又可分为不可控风险和可控风险。不可控风险通常通过风险转移、保险、风险接受等方式进行应对;可控的风险通常通过内部控制手段进行应对。所以内部控制本质上就是企业管理中通过日常管控手段降低风险的行为。那内控执行的效果如何,就通过审计来检查。审计检查完后有一些发现问题,可能是最早风险评估环节就没考虑到的,那么审计发现问题又回过头来指导风险管理的完善。 所负责部门,每个企业都不太一样。有的是分设三个部门:风险管理部、内控部、审计部。也有的将这几块自由排列组合,也有放到一个部门的,甚至放到财务部底下的都有。 风险管理——>内部控制——>风险控制 内部审计是内部控制的重要手段。 内部控制和内部审计的互动共进, 有效提升公司治理效率。 内部控制是内部审计的“风向标”, 内部审计是内部控制的“测试仪”。 三者的本质都是为了控制好风险。三者区别是: 1.内控是让你好好开车别撞人,也别开到沟里去,它是一切风险管理的基础,特别是治理层面的内部控制。 2.风险管理是一个更广的含义,不仅仅是不撞人、不翻车,更要保证方向是对的,速度是合适的,开车的方式是可持续的,还要保证尽量不被别人撞,万一被撞要能扛得住…… 3.风险管理包括内部控制,但他们都不是一个部门的事情,是一个组织行为。 4.审计是风险管理的一种手段,也是内控要素中监督要素的一种体现。是风险管理工作具体落地的方式,和之前的两个不在一个层面上。 实务中全面的应用到了风险、内控与审计三个概念的,主要是银行业及部分工业企业(如核电、采矿、化工等)。其他企业中实际上真正界定了这三个概念并付诸实施的其实很少。
市财政信息系统 数据库监控与审计解决方案
市财政信息系统 数据库监控与审计解决方案 https://www.wendangku.net/doc/b611586701.html, 1、概述 当前市财政局各类信息系统中,数据密级度较高的系统包括预算编制系统、决算系统、国库支付、政府采购系统等,后台数据库中存储的敏感数据一旦发生泄漏或者被非法篡改,都将是责任重大的信息安全事故。 为了在发生疑似影响数据安全操作的时候,能及时告警并记入审计日志以便事后追责,市财政局应从技术和管理手段上采取相应的措施提高敏感数据的安全性。技术上采用数据库监控与审计设备记录敏感数据的操作,对批量的数据导出和针对数据库的恶意攻击及时告警;管理上引入定期安全巡检、对告警信息及时处理,让安全管理员切实管好敏感信息不泄漏,出现数据泄漏和篡改等问题能准确追责和定责。 2、需求分析 2.1、数据安全风险显著 省财政数据中心当前主要面临如下三类数据安全风险: ●财政敏感信息的泄密风险 在当前的管理平台系统中,有宏观财政指标参数、行业领域预算信息、项目详细预算和决算数据,同时政府采购项目相关的招标项目信息、产品报价、中标结果信息等敏感信息,程序开发人员、信息中心人员有数据库的账户,都有机会利用数据库存在的漏洞以及自身拥有的高权限,直接获取敏感信息的风险。 ●财政敏感信息被非法篡改风险 当前的管理平台系统中,有国库支付相关的预算单位信息、预算科目、会计科目、计划金额、用款金额等敏感信息,财政信息系统往往是局方内部人员、厂商程序开发人员和实施
人员共同维护数据。一旦发生了违规的数据篡改行为,也无法有效界定到底是哪方人员造成的信息安全事故。 ●缺乏有效追踪排查手段 如果缺乏独立和有效的数据库操作审计日志,就不可能对可疑的违规操作及时进行分析,包括对违规篡改操作发生的时间、地址、操作者、数据修改值等信息项,当前都缺乏有效手段进行追踪。 2.2、政策要求安全审计 《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确要求我国信息安全保障工作实行等级保护制度,提出"抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南"。 2004年9月发布《关于信息安全等级保护工作的实施意见》(公通字[2004]66号")进一步强调了开展信息安全等级保护工作的重要意义,规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。这些文件以意见的形式提出对网络行为进行实时记录并保存相关各类日志。 政府单位更多的寻求技术手段完善政府单位网络安全防护体系,充分满足国家对信息系统的等级保护要求和对涉密网的分级保护要求,对数据库审计的具体安全要求:每个用户的行为、各种可疑操作并进行告警通知,能对操作记录进行全面的分析,提供自身审计进程的监控,审计记录防止恶意删除,同时具备自动归档能力。 3、解决方案 3.1、防护目标 本方案的目标是市财政局信息中心数据库形成以监控与审计为主的安全防护,重点解决敏感信息泄密和数据非法篡改的及时告警和事后审计问题。 数据库监控与审计的防护目标概括来说主要是三个方面: 一是确保数据的完整性;
审计信息化与审计人才队伍建设
审计信息化与审计人才队伍建设 2015年高级会计师论文之审计信息化与审计人才队伍建设,供大家参考学习,祝大家在会计网学习愉快! 审计信息化与审计人才队伍建设 一、当前审计信息化的现状及人员状况 近年来,内部审计工作在推动完善国家治理,加强内部监督管理,发挥审计“免疫系统”功能,促进经济社会又好又快发展等方面起着举足轻重,不可或缺的作用。随着信息化建设的不断发展,内部审计工作也面临着前所未有的巨大变革和挑战。办公自动化和会计信息化工作在本单位起步较早,推广使用正常,为履行工商行政管理职能发挥了积极的作用,较大的提高了财务管理工作效能,取得了很好的社会效益。 2012年下半年,省工商局开发了“E地通”江苏省工商局审计作业系统,并在全系统推广使用。但从总体上看,审计信息化建设的步伐还不够大,发展速度还不够快,审计工作人员的整体素质还有待提升,特别是审计软件的运用和推广还不够深入和全面,还存在人才建设、软件更新与的审计工作的发展变革不适应、不均衡的现象。目前,单位的会计人员很多,而审计人员尤其是专职的审计人员相对欠缺,部分同志精通于审计业务,但审计软件的运用技巧还不高,这一点在老同志身上较为普遍;还有一部分审计人员是“半路出家”,信息化知识不全面、不系统,对计算机知识了解有限,无法将计算机知识和审计工作有机结合起来。另一方面,一些计算机专业人员缺少审计工作经验,业务能力相对滞后,对运行软件运用过程中出现的问题不能及时解决和处理。所以,长期以来,复合人才的缺乏一直是制约审计信息化发展的关键问题。面对信息化条件下的现代审计不少内部审计人员严重“内存”不足,审计工作不是无所适从,不知所措,就是力不从心,疲于应对,很大程度上制约着审计能力和技术水平的不断提升,影响着审计质量、审计效能的不断提高和审计职能作用的有效发挥。显而易见,传统、粗放式的审计方式和方法已远远不能适应现代审计对内部审计工作的需要和要求。因此,工商部门的内部审计工作,只有在省市工商局的精心组织下,认真用好“E地通”审计软件,大力加强人才建设,提高内部审计的效力、效能,才能更好地履职尽责,促进内部审计事业的科学发展。 二、审计信息化对人才建设的要求 审计信息化是审计和信息技术相结合的产物,需要精通信息技术与审计专业知识的人才来推动,人才在审计信息化系统中的决定性作用是不言而喻的,充足的高素质人才是解决审计信息化现有和潜在问题、推动审计信息化发展的重要保证。 (一)知识结构的要求审计信息化要求审计人员的知识结构有更大的深度和广度。信息化条件下审计人员需要掌握更丰富的审计专业知识、信息技术知识和常规知识。审计专业知识。包括:审计学、财务会计、税务、会计理论、职业道德等。要强调的是,审计人员所掌握的专业知识不能停留在书本、准则与制度上,要融会贯通,灵活应变,能够应用职业判断分析和解决非常规问题。信息技术知识。在信息化社会中,掌握信息技术知识不仅是职业需要也是生活需要,因此把它从常规知识中单列出来加以强调。必须掌握以下信息技术知识:信息检索与获取、办公自动化、商务相关信息技术知识、管理信息系统、计算机文化基础、常用软件工具使用、网络技术、数据库技术、软件开发与维护、系统分析与设计。常规知识。深厚、广博的常规知识是一个人受教育水平高低的重要标志,同时也体现了人的素质。作为审计专业的从业人员应该掌握以下的常规知识:经济学基础、金融、税收、法律、营销、管理、宏观经济应用文写作知识等。上述知识结构是由审计信息化产业对人才的客观要求决定的,是对审计信息化人才的群体性要求,个体应根据具体岗位的不同,有选择的进行知识积累,接受教育培训。 (二)职业技能的要求1.组织协调能力。组织协调能力是根据工作任务,对资源进行配置
内控与内审关系
内控与内审关系 内部控制是指经济单位和各个组织在经济活动中建立的一种相互制约的业务组织形式和职责分工制度。内部控制的目的在于改善经营管理、提高经济效益。 内部审计是对组织中各类业务和控制进行独立评价,以确定是否遵循公认的方针和程序,是否符合规定和标准,是否有效和经济的使用了资源,是否在实现组织目标。 内部控制审计与内部控制评价之间的关系 1.评价对象相同。内部控制评价与内部控制审计都是对企业内部控制的有效性进行评价,只不过两者对于内部控制的范围各自有所侧重。这两种评价必然存在内在的关联性,所以往往也依赖同样的证据,遵循类似的测试方法并使用同一基准日。 2.内部控制评价滋生了内部控制审计工作。对于执行内部控制基本规范的上市公司或其他中小企业,按照《内部控制基本规范》及配套指引的要求,企业内部控制必须委托会计师事务所开展内部控制审计,内部控制评价报告与内部控制审计报告同时对外披露或报送。由此,内部控制自我评价报告催生了内部控制审计的产生。 3.内控审计的实施过程中可以适当利用企业内控自评工作。内部控制审计执行审计工作时,注册会计师应当对企业内部控制自我
评价工作进行评估,判断是否利用企业内部控制评价相关的工作以及可利用的程度,相应减少可能本应由注册会计师执行的工作。 综上所述,内部控制审计和内部控制评价既有本质的区别又有相应的联系。需要强调的是,注册会计师虽然可以利用企业内部控制评价所形成的结论,但需对其本身发表的审计意见独立承担责任,该责任不因企业内部控制评价人员和其他相关人员的工作而减轻。内部控制审计与内部控制评价之间的区别 1.范围不同。内部控制审计以财务报告内部控制为主。内部控制审计的范围,直接决定着审计的质量、成本和责任,决定着审计的可行性。为了遏制内部控制的各种可能的缺陷滋生,为财务报表使用者提供尽可能多的相关信息,促进被审计单位全面加强内部控制建设,内部控制审计应当以整个内部控制为审计范围。但是,以整个内部控制作为内部控制审计的范围,既不明确,也不好把握,容易产生审计风险,审计的可行性会有问题。所以,目前内部控制审计只能突出重点,重点解决内部控制弱化可能产生输出虚假财务信息的问题,内部控制审计范围应当限于与财务报告有关的内部控制(杨瑞平,2010)。 按照《企业内部控制评价指引》,内部控制评价围绕控制环境、风险评估、控制活动、信息与沟通、内部监督等控制要素确定内部控制评价的具体内容,建立内部控制评价的核心指标体系,对内部控制设计与运行情况进行全面评价。
EPC工程总承包审计各阶段审什么内容
EPC工程总承包审计各阶段审什么内容 EPC总承包,是仅对建设工程产品建造而言的总承包方式,总承包企业按照 合同约定,承担建设工程项目的设计、采购、施工等工作,并对承包工程的质量,安全、工期、造价等方面全面负责。为了让工程项目设计、采购、施工等环节衔 接更密切,防范和转移工程建设风险,许多单位选择采用EPC总承包方式进行项目建设。 EPC工程总承包项目过程审计是对EPC工程总承包项目管理活动全过程进行的审计,是现代审计制度在工程建设领域的探索。 一、EPC总承包项目审计与传统事后竣工决算审计的不同与传统事后竣工决算审计相比,EPC总承包项目审计关注重点不同,是更重视过程的跟踪审计。EPC 模式的审计将整个建设过程合理划分成若干阶段或期间,审计次数比传统的事后竣工决算审计大大增加,审计介入时间也由工程竣工以后提前到工程建设过程之中;传统的事后竣工决算审计主要体现为报送审计,根据提交的工程结算书等资 料进行审核,对有疑问的采取建设现场观察、测试,而EPC总承包项目审计主要体现为就地审计,需要审计人员再现场对组成工程项目的各单位工程根据实施的先后分别进行审计;EPC总承包模式下的投资成本的构成是比传统方式来比更清晰的,主要是EPC总承包合同价款、业主的待摊投资支出、项目贷款利息支出、铺底流动资金等。 二、EPC总承包项目审计的方法一是采取联合审计方式。这种方法中,由于审计 人员的专业结构及综合素质存在单一性等问题,审计部门应组织工程技术、经营计划、物资管理等相关部门的专业人员组成联合审计组,对整个工程项目实施全 过程的审计,规避审计风险。二要加强内部沟通与协调。一般来说EPC项目投资 额度大,涉及范围广,常牵涉到征地拆迁、环保、文物保护等多个方面,审计组应细化成多个小组分别审查,同时加强内部沟通协调。三是以成本费用为重要审计内容。这种方法要加强对人工、材料、机械等价格的审查,确保项目实施过程中发生成本真实、合理。 三、EPC总承包项目审计需要重点关注的时间段1.审计前期准备期间一是要求审 计机构在进驻现场前至少一周时间内,需要提供本阶段的审计实施方案,包括本阶段审计计划、重点审计内容、审计目标、审计人员组成、需要提供或准备的审计资料清单等相关事项。二是根据前期审计协调过程中发现的审计方向不明确、审计重点不深入、审计人员配备力量不足等问题逐项与审计机构沟通,要求保证审计力量,明确审计重点,并结合项目建设进展强调该阶段需重点关注的重点事
数据库审计系统白皮书
360数据库审计系统产品白皮书
目录 1.产品概述 (3) 2.产品特点 (3) 2.1专业的数据库审计 (3) 2.2业务操作实时回放 (3) 2.3事件精准定位 (4) 2.4事件关联分析 (4) 2.5访问工具监控 (4) 2.6黑白名单审计 (5) 2.7变量审计 (5) 2.8关注字段值提取 (5) 2.9丰富完善的报表报告 (5) 3.产品价值 (5) 3.1未知数据库资产发现 (5) 3.2敏感数据信息管理 (6) 3.3数据库安全事件预警 (6) 3.4数据库安全事件追溯 (6) 3.5辅助用户数据库访问策略制定 (6) 3.6满足用户合规需求 (6) 4.主要功能 (6)
1.产品概述 360数据库审计系统是针对网络访问数据库的操作行为进行细粒度分析的安全设备,它可提供实时监控、违规响应、历史行为回溯等操作分析功能,是满 足数据库风险管理和内控要求、提升内部安全监管,保障数据库安全的有效手段。 2.产品特点 2.1专业的数据库审计 360数据库审计系统能够对业务网络中的各种数据库进行全方位的安全审计,具体包括: 1)数据访问审计:记录所有对保护数据的访问信息,包括文件操作、数据库执行SQL语句或存储过程等。系统审计所有用户对关键数据的访问行为,防止外部黑客入侵访问和内部人员非法获取敏感信息 2)数据变更审计:统计和查询所有被保护数据的变更记录,包括核心业务数据库表结构、关键数据文件的修改操作等等,防止外部和内部人员非法篡改重要的业务数据 3)用户操作审计:统计和查询所有用户的登录成功和失败尝试记录,记录所有用户的访问操作和用户配置信息及其权限变更情况,可用于事故和故障的追踪和诊断 4)违规访问行为审计:记录和发现用户违规访问。支持设定用户黑白名单,以及定义复杂的合规规则,支持告警 2.2业务操作实时回放 360数据库审计系统产品能对访问数据库操作进行实时、详细的监控和审计,包括各种登录命令、数据操作指令、网络操作指令,并审计操作结果,支持过程回放,真实地展现用户的操作。
虚拟化及云环境下数据库审计技术探讨
随着越来越多的企业用户将传统的业务系统迁移至虚拟化环境或是云服务商提供的云平台,数据的泄露及篡改风险变的越发严峻,针对数据安全的防护以及事后审计追溯也变得越来越困难。究其原因,主要是传统的数据库审计解决方案是通过旁路分析目标被审计数据库镜像的流量,而虚拟化环境或者云平台由于内部的虚拟交换机(Vswitch)流量很难镜像或者无法镜像,因此传统的数据库审计解决方案不足以应对虚拟化和云平台的数据库审计需求。 首先我们对虚拟化及云平台环境中,传统的数据库审计解决方案在典型的几种场景下的优缺点进行解析: 场景一:应用和数据库的虚拟主机不在同一台物理机器上 如下图所示这种情况下的应用和数据库虚拟主机不在同一台物理机器上,对传统数据库审计来说,可以采用传统方式直接镜像数据库服务器所在的物理宿主主机(物理机器4)网卡的流量,完成对目标数据库的审计,缺点是需要将虚拟机流量全部镜像过去,同时可能会导致一些无需审计的主机的数据的泄露,这是这种解决方案最大的一个风险。 场景二:应用和数据库的虚拟主机在同一台物理机器上 针对应用和数据库在同一台物理机器上,应用和数据库的交互过程通过内部的Vswitch 进行了流量转发,流量并不通过所在的物理机器的宿主主机网卡,因此采用传统的镜像流量根本无法镜像,如下图所示: 针对这种情况传统数据库解决方案有三种方法解决: a、虚拟机虚拟网卡绑定物理网卡 要求宿主主机有多个物理网卡,每个物理网卡和上层交换机直连,虚拟机层面在安装时可以指定将虚拟网卡绑定在对应的宿主主机的物理网卡上,然后使用传统的镜像方式镜像物理网卡的流量完成审计,这种缺点非常明显,要求物理服务器要有多个网卡,实际上大部分PC服务器只有不超过1-4个网卡端口,大部分物理机器上虚拟了几十个虚拟机,因此,在实际部署上并没有那么多网卡可供绑定,存在诸多限制,实际上并无法实施。 b、在VDS上配置流量镜像 Vmware ESX在最新版本中推出的功能,将某虚拟机网卡流量通过GRE封包,直接通过TCP协议发送到某个IP地址上(数据库审计设备),数据库审计设备接收GRE数据包完成审计,但是这种解决方案的缺点如下: ◆Vmware版本及VDS(分布式虚拟交换机),据官方技术资料只有Vmware 5.5以上版本才支持,目前客户现场主流的4.x、5.0、5.1等版本都不支持,其他非Vmware虚拟化环境就更不支持,因此针对大部分客户现场环境实际并不支持部署。 ◆通过GRE封装做流量镜像对宿主主机的物理网卡性能影响非常严重,所有镜像流量都要通过宿主主机的物理网卡进出,极大影响了物理网卡的性能。 ◆VDS属于虚拟交换机,其对数据包的处理完全依赖于CPU,并不像传统交换机靠硬件进行流量转发,因此对宿主主机的CPU资源占用也非常严重,极大的降低了宿主主机的性能。 c、开启流量广播 这种方式目前是最主流的方式,将数据库审计以虚拟机的方式部署在对应的宿主主机,当做宿主宿主机的一个虚拟机看待,然后开启Vmware的流量广播功能,每个虚拟机都将收到Vswitch上每个端口通信的IP流量,因此DB审计设备只需要采集其虚拟网卡上的流量就可以采集到目标数据库服务器的流量,只需要在采集阶段过滤掉其他流量即可完成审计,如下图所示: 这种解决方案的缺点也非常明显:
关于我国计算机审计人才培养的思考_方祺
20 15年第4期一培养计算机审计人才的必要性 在我国开展计算机审计不仅是计算机会计 发展的需要,也是我国审计工作自身发展 的需要。传统的审计方法已经不能解决现阶段审计人员所面 临的审计难题以及所承担的审计风险。现代企业审计不仅要 利用计算机作为审计手段,还要把计算机信息系统作为审计 的对象。计算机审计同手工系统相比,计算机信息系统在信 息处理流程、内部控制方面等均发生了很大的变化,使审计 难度大大提高,只熟悉手工审计技术与方法的审计人员已经 不能胜任审计工作。大力培养计算机审计人才,有效进行计 算机审计,可以预防企业内部安全隐患,尤其是网络交易隐 患。因此,重视对计算机审计人才的培养能解决审计难题、降 低审计风险,督促企业强化内部控制,从而减少犯罪,减少损 失浪费,提高经济效益。 二我国计算机审计人才的现状 目前,我国的计算机审计人才主要由财经类专业人员和 计算机专业人员构成,这两类人员在专业背景上都各有欠 缺,缺乏具备双重学科背景的复合型人才。这导致了一方面 只具备财会专业知识的人才由于计算机知识的欠缺,对于计 算机的操作不够熟练,不能灵活地进行计算机审计;另一方 面,计算机专业人才虽然能熟练地操作计算机,但是对于会 计和审计知识的掌握程度不够,往往不能保证审计的质量。 因此,我国熟练掌握财会知识和计算机技术的人才不可谓不 匮乏,总之当下的计算机审计人才可以用“数量较少”与“质 量不高”来概括。在我国的审计机关中,由于高学历、高素质 人才的短缺,导致大部分的审计人员都未具备计算机审计的 能力,审计干部学习理念和方式陈旧,计算机审计人才的培 训起步较晚。在注册会计师行业,由于该行业是一个流动性 较大的行业,导致在人员培养上缺乏长期规划,而且目前的 注会考试中也未对计算机审计进行要求,这导致大部分注会 人员都未能掌握计算机审计的能力。在高等教育机构,我国 的高校对于计算机审计人才培养的重视程度还远远不够,既 缺乏相关的师资力量,也缺少科研经费的投入。就我国总体 情况来说,各行各业虽有其自身的独特性,但整体却又有着 千丝万缕的联系。因此,造成目前我国计算机审计人才欠缺 的许多原因是相似的,甚至还有相互造就的制约因素。 三计算机审计人才应具备的知识技能 计算机辅助审计中要求审计人员运用计算机的硬件技 术、软件技术及网络技术,对会计信息系统进行审计或对计 算机会计信息系统进行审计,因而审计人员应该熟练掌握计 算机的应用技术。如果要开展计算机会计信息系统环境下的 财务审计,最低要求审计人员熟悉计算机会计信息系统的结 构和运行原理、数据处理过程。因此,在审计人员掌握好审计 专业知识的前提下,如何能够掌握并不断更新计算机知识也 是进行计算机审计的重要条件。计算机审计要求审计人员全 面掌握计算机的应用技术,知晓计算机会计信息系统的运行 机制,能对计算机会计信息系统的内部控制做出恰当的评 价,掌握利用计算机进行分析性审计的技能,掌握审计软件 的开发技能。总之,面对信息技术的挑战,审计人员需要不断 学习,积极掌握审计和计算机知识,争取成为审计能力和计 算机应用能力都过硬的复合型人才。 四培养计算机审计人才的建议 第一,普及审计知识。计算机审计人才的培养前提是拥 有一批具备扎实审计知识的人才,因此可以通过对企业在职 人员的在职培训来实现,也可以通过对在校(高校以及夜大 函授等机构)学生的基础教育来实现。普及审计知识才能为审 计人才转型,以及为计算机审计人才的培养打下坚实的基石。 第二,支持计算机理论研究的发展。只有计算机理论研 究进行到一定的地步,才能凸显计算机审计的重要性以及必 然性,一方面可以让计算机审计能够在一个较为简单的方式 下被更多人所接受,另一方面可以引导计算机审计的不断创 新,以迎战信息化高速发展的潜在危机。 第三,分层次培养复合型人才。对计算机审计人员的培 养可分为对计算机审计操作人才的培养、对计算机审计开发 人才的培养、对计算机审计管理人才的培养、对计算机审计 维护人才的培养、对IT审计师的培养等。不同的人才,要选 用不同的人员做培训对象,采用不同的培训手段,培训不同 内容的知识,这样才可能在短期内培养更多的胜任不同计算 机审计岗位的人才。 第四,为计算机审计人才创建发展平台。其一,需要为审 计人才的发展提供合作交流的机会平台。审计部门不仅应该 邀请审计软件开发公司到本部门进行经验传授,而且也应选 派一批优秀的审计人才深入到有计算机审计经验的会计事 务所进行学习,培养一些中、高级复合型人才;其二,需要为 审计人才的发展保证充足的经费,包括师资力量的引进与建 设、教学软硬件设备的配备、科研经费等各方面涉及的经费 支出;其三,建立计算机审计学习的定期考核制度,在计算机 审计培训后及时地进行考核以检验培训效果。 第五,高校要加大对计算机审计教育的投入。在教师队 伍方面,高校应该着力支持一些具备计算机操作能力的教师 深入到审计软件开发公司进行学习,培养一批既具备理论水 平又具备丰富实践经验的高素质教师队伍。在学生课程设置 方面,不仅应该保证审计知识的学习,还应增加信息技术和 电子商务等内容,使学生具备计算机审计的能力。 参考文献: [1]郭宗文,张红卫,胡仁昱.计算机审计[M].北京:清华 大学出版社,2005 [2]苏运法,袁小勇,王海洪.计算机审计[M].北京:首都 经济贸易大学出版社,2005 [3]杨周南.信息技术在会计和审计实务中的应用[M].北 京:清华大学出版社,2003 [4]朱萍,兰保珍.国家审计队伍的现状分析及发展对策 [M].北京:中国时代出版社,2003 (作者单位:江西财经大学)关于我国计算机审计人才培养的思考 方祺 资 83