内部审计成果是内部审计人员按照内部审计准则、规范,在审计工作活动中形成的审计工作底稿、审计建议、审计报告等相关审计资料,是内部审计活动的最终成果,是帮助单位完善治理、实现目标、将内部审计成果转化为“价值和效益”的载体。具体的可以分为经济责任审计成果、预算执行审计成果、工程审计成果、财务收支审计成果等等。审计成果的运用包含两方面的涵义:一是审计问题的纠正,即被审计部门或单位对审计问题及时采取纠正措施,真正规范财务等行为,避免同类问题重复发生。二是审计建议的落实,即从组织管理的角度,分析问题产生的原因,制定相应制度,规范管理流程,完善内控机制。审计成果是否有效利用,直接关系审计价值的实现、审计质量的高低及审计预警和免疫功能的发挥。
二、内部审计成果运用的现实作用及理论依据
(一)内部审计价值实现的客观要求
2013年修订的《中国内部审计准则》对内部审计的表述为“内部审计是一种独立客观的确认和咨询活动,它通过运用系统、规范的方法,审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性,以促进组织完善治理、增加价值和实现目标”。确认、咨询、审查和评价是内部审计的工作内容及工作特征,完善治理、实现组织增值是内部审计的最终目标。对于事业单位来说,内部审计的价值增值功能主要体现在审计成果在未来的管理中使单位获得直接或间接的利益,给单位创造出预期之外的价值。如财务审计发现的不合理支出、工程审计的审减额;以及提供咨询服务,提示风险预警,减少损失发生。而将审计成果转化应用是实现内部审计工作目标必需的途径,是审计工作的最终环节,其作用直接关系着审计活动的完成与价值实现。近年来,随着医疗卫生体制改革的深入,政府对卫生事业经费的支持力度不断加大,如何进一步加强对卫生经费的监管显得尤为重要。根据原卫生部《卫生系统内部审计工作规定》的要求,卫生计生委直属事业单位和大型医疗机构相继成立了内部审计部门,开展了财务收支、经济合同、建设工程项目、内部控制、经济责任及绩效审计等工作。内审工作在卫生计生系统得到加强和发展,但审计成果的转化却还没有建立相应的制度体系,缺乏长效机制的保障。开展实施内部审计是内审工作的基础,审计成果的转化却是应用、提高和目标,是发挥内部审计免疫功能的关键环节。笔者认为,从内部审计工作功能发挥的有效性出发,疾控系统建立内部审计成果应用的制度与机制具有重要的现实意义。
(二)风险导向审计服务目标实现的基本途径
纵观历史演变,内部审计已经从传统的“控制为基础”转变为“风险为基础”。风险导向内部审计的一项重要职责是评价、改进风险管理和控制治理风险过程,而只有通过为管理层提供有价值的信息并服务于单位的管理、决策活动中,内部审计的风险导向职能才得以实现和履行。近几年,卫生计生系统加强了合同审计工作,中国疾控中心直属单位相继制定了合同管理制度,对外签订的合同都必须经审计部门审核。在合同审计中,评估经济合同的可执行性、合法合规性及履行的有效性,做出审计意见并使之得到落实,维护单位利益,规避潜在的经济纠纷,是内部审计风险导向服务的重要体现。
(三)建立健全内部控制制度的重要依据
财政部颁布了《行政事业单位内部控制规范》,从2014年1月1日起全面实施。建立有效地内部审计成果运用机制,将审计信息转化服务于事业单位的管理中,是建立完善事业内部控制制度,落实内控规范,提高事业单位管理水平的有效手段和重要依据。
(四)监督财务管理工作,规范财务行为的重要方式
事业单位的内部审计起到规范单位财务管理,保障国有资产安全,维护单位的合法利益的积极作用。通过定期的审计成果及信息的汇总报告,评价财务核算、会计信息及财务报告的真实性,防范舞弊发生,从而规范财务活动,强化财务管理。从疾控系统内部审计的工作来看,监督财务工作、规范财务行为、防范舞弊发生,保护财产安全是一直以来内部审计的最主要的目标。
(五)考评领导干部的重要依据
2014年中纪委等部门印发了《党政主要领导干部和国有企业领导人员经济责任审计规定实施细则》,其中第三十七条明确规定“经济责任审计结果应当作为干部考核、任免和奖惩的重要依据”。国家卫生计生委和中国疾控中心在2014年相继下发了直属和联系单位主要领导干部经济责任审计规定,内部审计成果已成为考评领导干部的重要依据。
三、内部审计成果在疾控系统事业单位中应用的制约因素
(一)内部审计成果质量不高
由于我国内部审计特别是事业单位的内部审计相对于政府审计和社会审计起步较晚,疾控系统从2009年开始才陆续成立了内部审计部门,内审工作发展时间尚短,加之工作内容广泛,从财务审计、内部控制审计到经济责任审计、建设工程项目审计等,对工作人员业务能力要求较高。因此内部审计普遍存在工作人员业务水平不高、工作经验不足、知识结构贫乏,审计方法和审计技术滞后,审计重点不突出,审计效率不高等问题。同时,内审人员对审计成果的总结与提炼不够,不善于针对单位管理中的风险和薄弱环节,提出有价值的意见及防范措施,从而导致审计成果无法获得认同与关注,难以获得重视与应用。
(二)单位管理层对审计成果重视不够
现实工作中,既有单位领导层不重视内审成果,也有被审计单位和部门对审计结论或意见认识不到位的情况存在。无论是领导还是被审计部门,大多数认识还停留在审计只是查找问题,出具审计报告、下达审计决定等,审计成果的运用只是附带产品,不是审计工作的主要职责和任务,因而存在重现有问题的整改,轻制度源头的建立;重审计决定的落实,轻审计建议的采纳;重审中监督,轻后续督查;重审计过程,轻审计成果的运用与转化现象的存在。
(三)工作成果运用机制不够健全
目前疾控系统普遍没有建立审计成果运用的工作制度与工作机制,审计成果产生与转化运用之间没有有效地衔接,后续审计监督工作力度普遍较弱。如果没有制度约束和机制作保障,只是依靠领导和部门的自觉,审计成果的转化运用不可能落到实处。同时也因为利用的随意性而使审计成果无法连续地发挥作用,导致实际运用效果较差。正因如此,本文旨在探索从建立疾控系统内部审计成果运用制度入手,为审计成果的转化提供机制保障。
四、建立内部审计成果运用长效机制的建议与对策
(一)切实提高审计质量,提升内部审计信息的价值
首先提高内审人员的能力素质,加强政策法规的学习,注重综合知识的积累,掌握现代计算机信息知识,更新审计理念,提高审计技术。其次,加强对审计问题的分析和研究,结合疾控工作实际,提高从繁杂的审计资料中提炼出具有全局性、前瞻性和权威性的信息的能力。第三,加强内部审计过程的质量控制,从审计计划和方案拟定到审计实施、报告撰写、建议的提出,使用统一的质量标准,使得审计成果更加规范。第四,审计内容向纵深发展。从传统的合规性审计向管理、效益、风险审计延伸,以为单位实现价值增值规避风险为出发点,提高内部审计的工作质量和审计成果运用的层次,提升审计成果的运用价值。从2003年以来,中国内审协会卫生分会每年都会分批组织卫生系统审计人员参加继续教育学习,聘请专家对工作中的热点难点、审计理论知识、审计法律法规进行讲授培训,对提高内审人员的业务水平和理论基础起到了积极的推动作用,但日常的自我学习和积累是非常重要的。
(二)单位内部为审计创造良好的工作环境
审计工作相对其他工作,更需要领导的支持与各部门的配合,良好、顺畅的工作环境是审计成果运用转化的前提和基础。首先,引起领导重视是审计成果得以应用的动力,有了领导层的批示和要求,各部门会认真整改审计问题、改善管理漏洞。其次,加强和被审计部门及其他部门的联络沟通,赢得对审计工作的尊重与理解,是审计成果转化的关键。内审人员对外多做宣传,要和领导、各级部门在审计工作的目标上寻求获得一致共识;向领导积极汇报审计要情;对外增加内审工作的透明度,及时和相关各部门通报审计结果。同时,在履行审查评价职责的同时,充实咨询服务工作内容,提高服务意识,将服务贯穿于审计工作之中来提高审计工作地位。
(三)开展后续审计,监督审计成果落实
通过后续审计,可以了解被审计部门是否对问题进行了纠正,对建议是否采纳,对管理的薄弱环节是否采取了相应的措施,是落实审计决定和审计建议的重要步骤。内审部门应强化后续跟踪审计,将其作为审计工作中的重要一环列入审计计划,这是发挥审计作用、树立审计权威的良好时机,通过后续审计确保审计成果得到真正的转化、应用。
(四)建立完善审计成果运用机制,保障审计成果的运用落到实处
1.建立成果运用工作机制,制定审计成果落实制度。制度是工作的保证,为了推动内部审计成果的转化应用,疾控系统应当建立相应的工作机制和领导体制。首先,事业单位应根据本单位实际情况制定关于内部审计工作成果落实转化的制度,建立起审计成果汇报和公告制度以及审计整改结果通报制度;健全后续跟踪审计制度等。同时还要建立内部审计工作质量分析和案例备查机制,以及审计结果及建议跟踪回访制度。其次,建立审计成果应用的组织领导机制,确定相应的主管领导、牵头部门和参与部门,明确职责,确定工作流程,使其逐渐成为单位的一项常规工作。卫生计生系统虽然制定了关于内部审计的工作规定,但还没有相应的审计建议落实应用的制度;委直属单位在预算编制、预算执行、财务检查、小金库检查、内控体系建设等工作中都建立了组织领导机构和工作办公室,但内部审计工作信息应用还缺乏领导体制的保障,一定程度上不利于甚至制约了审计成果的转化和应用。
2.实施审计成果利用实效考核制度。将审计信息和成果是否落实作为疾控系统事业单位各部门,也包括内部审计部门年终职责完成情况的考核指标之一,例如,将疾控系统年终的述职考核增加有关审计问题整改和审计建议落实等内容,增强各级领导层对成果转化的重视和责任。
一、电子商务系统审计的必然性和必要性
在商业活动实现网络化之前,采购是面对面或通过纸质文件进行的,有迹可查,即使是电子交易,其设备结构是专用的,一般只限于已知用户使用,任何外部用户必须是已知的、身份明确的、可追踪的;系统通常是主机结构方式,相对易于监督、控制和审计。与传统商业相比,万维网客户/服务器系统的特点是高度分散,资源共享、服务分散、顾客透明度高等,而电子商务的运作速度更快、业务循环周期更短、风险更大、更高程度地依赖于技术。电子商务系统的技术基础和市场的快速变化意味着传统的衡量方法已不再适用于企业的某些资产,财务报告不能充分提供企业的状况和价值方面的信息,特别是网络企业的无形资产,如商誉、客户忠诚度和满意程度等这些产生长期价值的关键资产。核实确认这类资产价值的困难在于缺乏足够的历史数据、合适的参照标准、先进的实践经验以及对网络的各种威胁和概率的准确估算。企业管理层以及公众都需要寻找能够用以表述网络企业的可信度、安全性及其他资产价值的方法,需要一些新的核查和审计方法,更有效地评价无形资产,如知识、品牌等。因此,电子商务系统审计就成为历史的必然。由于,电子商务的可靠性、适用性、安全性和性能等方面受到的威胁或存在的风险,都可能会影响其生存和发展。风险因素包括:商业信息的泄露、智能财产的不当使用、对版权的侵犯、对商标的侵犯、网络谣言和对信誉的损害等。因此,进行必要和客观的审计,才会使董事会、审计委员会、高级管理层对电子商务系统的安全运作和效益满意和放心。
二、网络风险和风险管理
网络风险如同自然灾害一样不可预见。风险管理的关键在于风险评估,风险评估就是要分析和衡量风险事件发生的概率及后果,引起风险的因素及其关联因素,出现风险的关键点采取什么方法能够减缓风险,风险出现造成后果如何,以及评价管理层是否履行了应有的职业审慎进行防范和控制。同时在评估中还要为各项因素设计评价比率,计算各种风险的影响后果,根据影响和后果排序,对高风险因素作进一步的分析。
通过风险评估,可以认识到潜在风险(威胁)及其影响,以便对高风险领域作一些防范、检测、控制、减缓和恢复的工作计划和安排。这些计划和安排应涵盖对各项控制成本,主要是指接受、避免、转移、监测成本的分析以及各项工作的先后次序。
三、电子商务系统审计中网站的合法性证明
网络终端用户都会关注网站是否来自一个真实的、可靠的机构,提供的信息是否准确真实,机构背景是否正当合法,个人信息的隐私权是否得到保护等。所谓隐私权是指对个人的数据/信息的搜集必须合法、公平,必须用于某一特定、公开的目的,必须取得该个人的同意并受到保护,本人必须有权进入系统进行修改或删除,信息的越域流动和将来的使用、披露必须予以安全保证和限制等。
解决这些网站合法性问题的途径之一就是由一公证机构提供可靠的证明,以使网络终端用户能对网站提供的电子商务放心。如Verisign,TRUSTe,BBBOnline,WebTrust,SysTurst等都是具有良好的信誉并且提供证明-查证服务的专业组织机构。网络终端用户可以通过查询这些公证机构的记录,获得确认被访问网站的名称、有效状态、服务器标识等信息。
四、内部审计和电子商务系统审计
美国注册会计师协会对“核实查证”的定义是“提高决策者所需要信息的质量或内容的独立性专业服务。”其审计原则是保证系统的可用性、安全性、真实完整性和持续性,建议对系统安全性和真实完整性方面存在的控制点进行检查、评价和测试。并尽量在今后采用合适的审计标准对信息技术进行审计。不同于以年度为基础的传统外部审计,电子商务的实时性要求审计人员应对其进行连续不断的评估,按特定的审核标准对已发生的交易进行追踪,而系统内设置的自动登录记录可作为相应的审计轨迹,在系统内部实施对事件监督和控制。
尽管当前许多人认为核实查证通常与外部审计人员相关,内部审计人员则在公司内部出具审计报告。然而,国际内部审计师协会对电子商务系统审计的要求则是:审计控制目标主要是审计财务报告制度、经营的效益和效率、合规性和保护财产安全等方面。审计模式应该建立在系统的可用性、容量、功能、保护和可靠性的基础上。例如,内部审计对网络企业控制水平的独立评价,使得客户了解到企业提供的数据将不会被有意或无意地滥用。再如,企业目标是建立电子商务以降低成本、提高市场占有率,那么电子商务风险是随着网络交易的增加而增加,以至于不能确保交易的安全性或分辨用户的可靠性,因此,所需要的控制就是对用户的真实性进行确认以及对通讯信息进行加密。
电子商务系统审计的成功与否在于审计人员是否掌握相关的技术知识,了解商业风险及风险管理策略,是否有现成的策略随时应付出现的风险。因此,作为一个成功内部审计人员应了解企业的业务,以服务为宗旨并努力增值,积极提高专业技能,关注系统的效率和效益,建立对电脑领域发展的职业敏感性。
众所周知,审计质量是评价审计工作水平高低的标准,是会计师事务所的生命。审计质量的高低直接影响审计目标的实现,对社会经济的发展与稳定产生着直接或间接的影响。由于早期计算机应用比较简单,计算机审计业务主要关注被审计单位电子数据的取得、分析、计算等数据处理业务,还称不上信息系统审计;随着信息时代的到来,网络的普及及计算机信息系统的建立为信息系统审计带来了前所未有的机遇和挑战。
一、计算机信息系统环境下对审计质量的影响
(一)审计线索的减少
审计线索,亦称“审计轨迹”,在计算机信息系统环境下,会计核算主要由计算机完成,计算机只记录最后处理结果,忽略中间处理过程,数据形成依据的记录减少。储存于磁性介质上的会计数据具有存取方便、修改与删除不留痕迹的特点,这又给审计的追踪带来重重困难。因此,计算机信息系统环境下审计线索的减少和追踪困难的增加,必定给审计质量带来重大影响。
(二)审计对象的限制
审计对象是审计监督、检查和评价的客体,具体体现为被审计单位的各项经济活动及其反映的资料。在计算机信息系统环境下,注册会计师进行审计的依据是计算机的输出信息,审计对象在此受到计算机操作人员的限制。后者完全可以只提供他们愿意被审计的信息,其他敏感性信息则极有可能被人为掩藏。这样,注册会计师处于被动地位,难以获取充足的审计证据支持其审计结论,审计质量显然要受到影响。
(三)审计内容的扩展
手工系统中,审计内容就是有关财务会计的信息,而计算机环境下的审计内容还包括会计电算化系统的开发与设计、会计软件的程序以及数据库管理系统。此外,注册会计师还应该确定系统的开发与设计方法是否合理,是否严格按照分析、设计,测试、运行、维护的步骤进行,分析是否全面、设计是否恰当、测试是否充分,会计软件执行程序是否与实际操作中的业务流程一致,数据库管理系统是否有效,会计软件是否能够予以信赖,并以会计软件处理输出的结果作为审计对象。
(四)审计方法的落后
目前,被审计单位的财务工作多采用计算机进行数据处理,会计电算化软件功能日臻完善,但是审计软件的发展远远没有跟上会计软件发展的步伐,同时大部分注册会计师对计算机信息系统还不太熟悉,绝大多数审计业务仍停留在绕过计算机进行审计的阶段。但是这种方法的运用以系统必须留有足够的、肉眼可以识别的审计线索为条件,如前文所述,审计线索缺乏是计算机环境的一个特点,因此,绕过计算机审计的方法难以保证计算机环境下的审计质量。
(五)注册会计师计算机知识的缺乏
在计算机环境下,从审计计划的制定到审计程序的确定,从审计技术的选择到审计方法的采用,都必须由注册会计师操作和指挥。这要求注册会计师不仅要有丰富的会计、财务、审计知识和技能,熟悉财经法律以及其他的审计依据,而且还应当掌握计算机知识及应用技术,掌握数据处理和管理技术;不仅要懂得审计软件的操作方法,而且还应当根据审计过程中所出现的种种问题,即时编写出各种测试、审计程序模块。
二、计算机信息系统环境下提高审计质量的对策
为了提高在计算机信息系统环境下的审计质量,在财务审计中,变绕过计算机审计为穿过计算机审计,对计算机内部数据处理的详细过程直接进行审查。内容包括以下几个方面。
(一)积极开展计算机信息系统的事前审计
通过事前审计监督,对计算机信息系统建立的内部控制的严密完善性、系统的合规合法性以及系统的可审性等进行评价,保证计算机信息系统运行以后数据处理结果的真实性和正确性,防止和减少计算机信息系统信息失真风险的发生。
(二)定期对被审系统的内部控制制度进行审计
对计算机信息系统的内部控制进行审查和评价是提高计算机信息系统环境下审计质量的有效措施之一。通过对被审计系统内部控制制度的健全性调查和实际执行情况的符合性测试,找出控制的弱点,提出强化内部控制措施,督促被审计单位完善内部控制系统。(三)重视计算机信息系统的事后审计
通过事后审计,对计算机信息系统的电子账以及打印输出资料的真实性、合法性进行评价,防止和揭露计算机信息失真的风险。
通过以上分析,在计算机信息系统环境下审计的业务范围已经扩展到了符合性测试领域。为财务报表审计提供服务只是信息系统审计业务内容很小的一部分,与信息安全相关的防火墙审计、安全诊断、信息技术认证以及ERP相关的新型咨询业务在不断涌现。
三、加快发展信息系统审计
信息技术的发展对中国注册会计师和会计师事务所提出了更高的要求。国际同行的业务收入中,传统审计服务的收入比例在迅速下降,风险控制服务和管理咨询服务收入的比重大大提高,而这些收入中增长的部分往往又和IT环境审计和信息系统安全审计服务有关。所以,应该从三个方面发展信息系统审计工作。
(一)内部控制环节的变化,使许多传统的控制手段已经失去意义,评价和改进内部控制必须以信息系统的运转为基础
计算机信息系统下的内部控制虽然与手工会计系统的目标是一致的,但是与手工会计系统相比,由于计算机有自动处理的功能,内部处理的不可控制性要求采用更为严格的方法。所以在控制方式、内容、手段等方面均不同于手工会计系统的内部控制。
1.职权制审查:即从组织机构角度审查信息系统中各种人员的职责与权利、联系与牵制。
2.人员素质审查:即是否有以提高人员素质为目的的控制措施。
3.硬件及环境审查:即对存档的系统设计文本中有关硬件的资料审查。
4.运行审查:即对计算机在输入、处理、输出过程中的运行情况审查。
5.修改方式及保密措施审查:审查操作修改程序是否只有一个入口,即凭证输入口;发现错误是否采用重新输入凭证的方式加以修改;是否修改后有修改痕迹;各主要功能模块是否设置操作口令,程序是否建立保密制度。
(二)控制计算机环境风险和信息系统运行风险作为管理咨询和服务的重点
由于企业经营越来越依赖于信息系统,除了传统意义上的经营风险、控制风险和财务风险之外,企业信息系统安全性导致的信息风险也日益增长。非授权用户常常利用信息系统本身存在的脆弱性对系统进行非法访问,这种非法访问使系统中储存信息的完整性受到威胁,使信息被修改或破坏而不能继续使用,更为严重的是系统中有价值的信息被非法篡改、伪造、窃取或删改而不留任何痕迹。此外,计算机还容易受各种自然灾害和各种误操作的破坏。必须认识到信息系统的这种脆弱性,采取有效措施来保证信息系统的安全。
一、信息系统审计概要
1)信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整,以及有效率地利用组织的资源并有效果地实现组织目标的过程(国际信息系统审计与控制协会ISACA的定义。
2)目前审计机关信息系统审计主要有两种方式,一种是将信息系统审计作为常规审计的一部分,为实现审计项目的总体目标服务,即数据审计、信息系统审计和系统内部控制审计"三位一体"的结合方式.信息系统审计和系统内部控制审计为数据审计服务,通过审计数据得出结论.另一种是独立立项的,直接审计信息系统本身的安全性、可靠性和有效性。
二、为什么要开展信息系统审计
信息系统审计作为国家审计机关的一项重要工作,是信息化发展到一定程度的必然产物。
(一)开展信息系统审计是控制审计风险的要求.近几年,审计纸质账目时,内部控制也要审计,不能假账真审.同样的道理也不能假电子数据真审,如果被审计单位运载电子数据的信息系统的安全性、可靠性和有效性出现了问题,计算机数据审计就会存在风险,系统的可信与可靠程度是数据审计得以进行的前提和最终实现的基本条件。
(二)开展信息系统审计是全面履行审计职责的要求.信息化环境下的审计,电子数据、信息系统、系统内部控制审计必须"三位一体",在审计过程中,这三项内容不能少.只有这样,我们才能完成审计署党组强调的"全面审计,突出重点"的要求,全面履行审计职责。
三、信息系统审计与常规审计之间的区别与联系
1)信息系统审计是常规审计的一部分,是以常规审计理论为理论基础的,两者之间有紧密的联系,也存在一定的区别。
2)两者的联系是:信息系统审计继承了常规审计的基本理论与方法,与常规的审计一样。在立场上,要求信息系统审计师站在独立的立场上,通过选择特定的审计对象,采用询问、检查、分析、模拟、测试等方法获得客观的审计证据,来判断其与既定标准的符合程度。在程序上,信息系统审计一般也要经过审计计划、符合性测试与实质性测试、审计报告等主要阶段来进行审计工作,实现审计目标。
3)两者的区别也比较明显,主要表现在:首先,信息系统的审计对象不同于常规审计的财务领域,而是信息系统,包括基础设施,软硬件管理,信息安全,网络管理合通信等;其次,信息系统审计提出了更多的审计法与审计程序,这都是常规审计所不具备的,比如对某软件进行审计时,要采用技术含量相当高的测试,对网络安全审计时要采用穿透性测试(模拟成黑客进行各种攻击以验证其安全性);第三,信息系统审计不光是事后审计,主要关注系统的运行现状,在某种情况下,直接参与项目的开发或变更过程,以保证足够的控制得以顺利实施;最后,信息系统审计的咨询价值显得更高,信息化的风险很高,信息系统审计师可凭借其专门知识和实践经验,受托或主动服务于被审计单位的管理者或其业务人员,在企业信息化过程中,帮助企业建立健全内部控制制度,进行系统诊断,根据企业需求,确定信息化的目标和内容,选择合适的信息系统。
四.如何使信息系统审计与常规审计有机结合
1)在项目计划上的相结合
信息系统通过选择特定的审计对象,采用询问、检查、分析、模拟、测试等方法获得客观的审计证据,来判断其与既定标准的符合程度。在程序上,经过信息系统审计,审计项目计划、符合性测试与实质性测试、审计报告等主要阶段来进行审计工作,实现审计目标。
2)在项目实施过程中相结合
(1)全面开展对项目实施过程中电子数据的审计,包括会计电子数据和业务管理电子数据。采取的具体方法是:1.精确复核。运用计算机,对各种项目数据进行精确复核,既可以对全辖并表机构的会计报表与汇总报表进行全面复核,又可以从会计流水账逐级核对至总账,还可以将业务管理数据与会计报表数据进行复核;2.编制计算机程序进行辅助计算。可以编制计算机程序对有比例关系的项目进行计算,然后与实际记录进行比较,找出产生差异的记录;3.对一些异常会计记录和交易进行筛选和查询,为审计人员提供审计线索,主要是根据某一特征进行筛选分析,从不同角度分析可疑问题线索。
(2)以信息系统审计对项目实施时,对项目管理系统的内部控制情况进行初步的调查和评价,重点是权限管理、参数表的设置和修改控制等是否有效,被审计单位对交易录入的原始数据是否实施相应的控制,信息系统的数据流和业务流程是否吻合;3.通过系统日志等文件分析一些重大事件的原因,避免在项目实施过程中发生不可预测影响。
3)在资源配制上相结合
常规审计在我国的审计实践中,对项目资源存在的漏端很难察觉,原因主要是以下三大困难:一是审计人员难以在短时间内透彻了解被审计单位的项目存在弊病。一般来说,小型的数据管理,由专业的软件公司开发后打包在市场销售,被审计单位人员仅仅是使用者,审计人员无法获得开发设计的细节;而定制的系统多用于大型的数据管理,由软件公司或内部的开发部门根据企业的应用量身定做,这类系统技术文档和技术支持比较完善,但是由于系统过于庞大,细节设计过于复杂,审计人员在有限的审计时间内难以对系统进行评估。二是难以发现系统内的瑕疵。从表面看,常规审计的各项令人眼花缭乱审计方法无论是从开发文档还是操作手册都不会直接察觉系统的瑕疵,而且在现场审计中,审计人员一般不允许对正在运行的系统进行测试,较难识别系统的问题。三是难以评估系统瑕疵所导致的后果。在审计实践中,即使审计人员发现了常规审计存在的某些瑕疵,但是未发现该瑕疵导致的已经存在的后果,常常使得审计结论缺乏直接证据。
信息系统审计作为一种全新的审计手段和审计理念,首先,审计人员可以通过整体评价被审计单位的项目管理系统重要性的基础上,确定审计重点。其次,审计人员应用内控测试和数据审计两种方式对选定的项目管理系统进行分析,一般能迅速找出项目管理信息系统存在的瑕疵,尤其是人为舞弊的线索。第三,根据已经发现的问题,对系统进行延伸,进一步追查系统存在问题所引致财务收支失真等方面的问题。可以较好地从信息系统的角度发现舞弊问题和内控漏洞,使得审计内容不断丰富完整,较好降低审计风险。
五、在常规审计后,开展信息系统审计的意义
1)信息系统审计是未来审计发展的必然,未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展。
2)维护信息时代的市场经济秩序
市场经济是建立在信用基础上的,信息系统审计应当充当信息时代经济生活中公正的鉴证人起着维护市场经济稳定的作用。信息时代竞争的加剧,信息流的电子传播方式等,使市场对及时和相关信息的需求越来越多,现有财务报告模式的局限性性日渐突出。现有财务报告是以历史成本为计量基础的、周期性的向利益相关者报告。在新经济环境中,信息系统审计师应能够以在线、实时的信息为基础提供鉴证,通过多种方式来保护公众利益、提供鉴证服务并满足投资公众对决策有用信息的访问需要。提供实时报告鉴证对保护公众利益和保护资本市场的有序发展是非常有意义的。
1.1免疫监视———识别病毒
免疫监视功能,是指机体具有的能识别自己(自体物质)和异己(非自体物质)的生理机能。免疫系统在识别“自己”和“异己”的过程中,可以发现病毒等有害物质。免疫系统能够识别病毒等有害物质,是消灭有害物质,从而保证机体免受侵害的前提。
1.2免疫自稳———消灭病毒
免疫自稳功能,是指机体调动体内各种资源与病毒等有害物质进行斗争,消灭病毒等有害物质,并将病毒等有害物质运出体外,同时修补受损器官和组织,使其恢复原来的功能,以维持自身内环境稳定的生理机能。
1.3免疫防御———产生抗体
免疫防御功能,是指机体在病毒等有害物质的刺激下,免疫细胞对病原体产生抗体,以防止外来病原体入侵的生理机能。抗体是可以与相应抗原发生特异性结合的免疫球蛋白,可以使抗原失去活力,从而保证机体免受再次侵害。免疫系统的作用机理。
2内部审计的“免疫”功能
内部审计的“免疫”功能主要表现在审计监督、审计查处和审计预防三个方面。
2.1审计监督———发现问题
内部审计机构在履行经济监督职能的过程中,通过搜集和分析组织的各类经济信息,对经济活动的真实性、合法性和有效性进行评价,从而发现经济组织在经济活动中是否存在错误、舞弊和其它违规违法问题。
2.2审计查处———处理问题
内部审计机构对发现的违规违法行为,有权向领导机构或上级机关进行反映,根据权限对直接责任人进行处理、处罚,或向上级审计机构或者审计机关反映,由上级审计机关运用各种资源及时进行查处。
2.3审计预防———完善治理
内部审计机构在发现问题和处理问题的同时,要对产生问题的原因进行分析研究,并从管理制度、体制机制方面提出改进的建议,从而促进相关管理制度、工作机制的完善,达到杜绝类似问题的再次发生的目的。内部审计的“免疫”功能。
3内部审计的增值途径
3.1查错增值
内部审计机构在履行监督职能和查处职能的过程中,可以发现经济活动中存在的问题,并通过对有关问题和相关责任人的查处,可以为组织挽回一定的经济损失。当内部审计机构挽回的损失大于其审计业务成本时,可实现节约增值。
3.2防弊增值
内部审计机构在履行审计预防职能中,通过提出完善管理制度和体制机制的建议,可以促进经济组织加强内部控制,防范运营风险,防止舞弊行为的发生,从而为企业间接挽回一定的经济损失。当经济组织在防范错弊的过程中获得的收益大于其防弊成本时,可实现防弊增值。
3.3兴利增值
内部审计机构在履行审计预防职能中,通过提出完善管理制度和体制机制的建议,可以提升组织的经营管理水平,提高组织的运营效率,从而实现组织经济价值的增加。当经济组织通过提高运营效率增加的组织价值大于其预防成本时,可实现增效增值。内部审计的查错增值属于直接增值,取得成效的时间短,且成效较为明显,一直受到组织的高度重视。作为一个成熟的经济组织,应该更加注重发挥内部审计的防弊功能和提效功能,以实现组织的可持续发展和价值增值。
4内部审计增值的量化模型
4.1查错增值额的确定
根据经济学成本效益原理,内部审计创造的查错增值额等于查错收益与查错成本之差。用公式表示为:查错增值额=查错收益-查错成本(1)①查错收益。查错收益为内部审计机构在开展审计业务的过程中,通过发现和处理违规违法行为,所挽回的直接经济损失。②查错成本。查错成本为审计机构在开展审计业务的过程中,为发现和处理违规违纪问题,所耗用的人力、物力和财力等成本。
4.2防弊增值额的确定
内部审计防弊增值额应该等于防弊收益与防弊成本之差,用公式表示为:防弊增值额=防弊收益-防弊成本(2)①防弊收益。防弊收益为经济组织在审计机构的建议下,通过完善管理制度和体制机制,加强组织内部控制,预防违规违纪行为的发生,从而挽回的间接经济损失。②防弊成本。防弊成本为经济组织在审计机构的建议下,为完善管理制度和体制机制,加强内部控制,预防违规违法行为的发生,所消耗的人力、物力和财力等成本。
4.3兴利增值额的确定
内部审计兴利增值额应该等于兴利收益与兴利成本之差,用公式表示为:兴利增值额=兴利收益-兴利成本(3)①兴利收益。兴利收益为经济组织在审计机构的建议下,通过完善管理制度和体制机制,提升组织的经营管理水平,提高组织的运营效率,而创造的间接经济收益。②兴利成本。兴利成本为经济组织在审计机构的建议下,为完善组织制度和体制机制,提升组织的经营管理水平,提高组织的运营效率,所消耗的人力、物力和财力等成本。
4.4内部审计增值量化模型
(一)企业应加强内部控制
随着市场经济的深入发展,企业逐步成为自主经营、自我约束、自我发展、自我完善的商品生产者和经营者。在“优胜劣汰、适者生存”的市场经济中,企业要想真正的做到“自主经营、自我约束、自我发展、自我完善”,必须要加强内部控制,建立有效、完善的内部控制制度,这样才能在一个绝对的高度上,对企业进行高瞻远瞩的控制,才能做出与时俱进的决策。
(二)内部审计是企业内部监督机制的重要组成部分
内部审计也是企业内部控制的一个重要的组成部分,是监督内部控制其他环节的主要力量。内部审计通过对控制环境和控制程序的有效性进行监督,评估企业的内部控制是否被执行,是否及时反馈有关执行结果的信息,是否帮助企业更有效地实现预期控制目标。同时,在监控过程中,内部审计可以促进控制环境的建立和改善,为改进控制制度提供建设性的意见,为企业建立健全所需要的内部控制水平服务。在内部控制的监督过程中,内部审计发挥着越来越重要的作用。
二、内部审计在防范信息系统风险中面临的问题
(一)信息系统安全管理机制不健全
企业信息系统风险的存在,很多是由于管理不善或控制不严造成的。一方面,缺乏一套统一的安全策略体系来指导安全管理工作,无法建立系统内部明确、全面的安全规范要求。从现有管理制度规范来看,主要存在的问题是可操作性差,条理不清、重叠或遗漏等;另一方面,现有安全管理制度的管理对象基本是网络系统管理员等技术部人员,管理对象没有全面涵盖所有信息系统技术相关人员,包括所有网络系统上的内部终端人员和外部人员。
(二)内部审计在信息系统风险防范中的角色缺乏独立性
内部审计的角色发生了转变。从传统的事后审计而逐渐转向事前和事中审计,主动参与内部控制系统的建立和完善。内部审计人员即承担着评价硬件和应用信息系统安全的任务,如果又同时有参与了系统的开发和实施过程,那么内部审计人员就却乏独立性。反之,如果处于对丧失独立性的担心,内部审计人员有可能会拒绝参与系统和软件的开发,那么系统开发过程中存在的风险又无法得到控制。
(三)内审部门技术力量薄弱造成对信息系统审计形成风险
审计稽核部门的技术力量薄弱,不熟悉业务系统的流程和功能,对信息系统缺乏必要的认证能力和标准。突出表现为以下几个方面:一是实施审计稽核的手段和方法没有得到及时更新,不适应信息系统管理的要求,大部分仍停留在手工审计阶段;二是审计稽核部门对计算机账务系统实施审计的依据仅依赖于被审计单位提供的打印资料或事后资料,计算机账务的真实性审计很难得到保证。
三、加强风险防范的措施和对策
(一)构建信息系统安全管理组织及规范体系
加强信息系统的自我风险评估体系,让信息系统的管理和技术人员在自身的职责范围之内正确识别和评估潜在操作风险,主要包括内控制度的查漏补缺、工作流程的整理和规范、应急预案完善和演练等。同时加强对操作人员的管理,规范操作程序。一是加强密码管理,明确规定操作人员的权限,操作员必须在规定的权限内办理业务,用户口令及密码必须专人专用,严禁公开口令及密码;二是要建立健全操作员岗位目标责任制,对网络操作人员要明确目标任务,规范操作程序,严格落实奖惩制度。三是要严格岗位设置,不相容职务进行分离。严禁系统管理人员、网络技术人员、程序开发人员和前台操作人员混岗、代岗或一人多岗。四是要加强系统内部的稽核监督检查。稽核监督应贯穿于网络操作的全过程,重点是加强对系统设计开发、内控管理制度落实、操作运行等方面的
(二)关注信息系统的稳定性、安全性和有效性审计
首先,审计人员应运用用一定的技术方法识别系统的完整性,该过程包括检查、测试、评估系统的内制,以保证系统的稳定性;其次,审计人员应评价系统存在的风险和可能产生的后果将成为审计的核心工作和基本内容,保证信息系统的安全性。应根据审计的标准和准则,评价控制环境的和IT基础设施的安全,确保系统满足组织的业务需要,保护信息资产的安全完整,以防非授权使用、泄露、修改、损坏或丢失;最后,还应鉴别信息系统的有效性。内部审计必须理解并熟悉操作环境,了解系统技术的复杂性及其对决策的影响;对来自内部的安全隐患,采用一定的方法进行系统诊断、检验、测试,评价其有效性及效率,以支持组织业务目标的实现
(三)改善内审机构,提高内审人员素质,培养信息系统审计师
为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价。信息系统审计师也称lS审计师或IT审计师,是指那些既通晓信息系统的软件和硬件(包括信息系统的开发、运营、维护、管理和安全等),又熟悉经济管理的内部审计人才。
(四)聘请专家进行协助
内部审计人员的知识、技能和经验虽然有助于信息系统的风险防御,但现实中必须承认,在企业中同时具备计算机技术和审计专业知识的人才非常短缺。再出色的内部审计人员可能面临一些系统内的专业问题却无法解决,因此有必要聘请外部专家。可以通过专家的协助测试运用其专业技能测试系统安全,进一步防范和解决信息系统风险的存在。
参考文献:
[1]胡晓明.信息时代的IS审计理论结构构建[J].武汉中南财经政法大学学报,2006,(3).
关键词:网络;安全审计;主机审计;系统设计
1引言
随着网络与信息系统的广泛使用,网络与信息系统安全问题逐渐成为人们关注的焦点。
网与因特网之间一般采取了物理隔离的安全措施,在一定程度上保证了内部网络的安全性。然而,网络安全管理人员仍然会对所管理网络的安全状况感到担忧,因为整个网络安全的薄弱环节往往出现在终端用户。网络安全存在着“木桶”效应,单个用户计算机的安全性不足时刻威胁着整个网络的安全[1]。如何加强对终端用户计算机的安全管理成为一个急待解决的问题。
本文从系统的、整体的、动态的角度,参照国家对安全审计产品的技术要求和对部分主机审计软件的了解,结合实际的信息安全管理需求,讨论主机审计系统的设计,达到对终端用户的有效管理和控制。
2安全审计概念。
计算机网络信息系统中信息的机密性、完整性、可控性、可用性和不可否认性,简称“五性”,安全审计是这“五性”的重要保障之一[2]。
凡是对于网络信息系统的薄弱环节进行测试、评估和分析,以找到极佳途径在最大限度保障安全的基础上使得业务正常运行的一切行为和手段,都可以叫做安全审计[3]。
传统的安全审计多为“日志记录”,注重事后的审计,强调审计的威慑作用和安全事件的可核查性。随着国家信息安全政策的改变,美国首先在信息保障技术框架(IATF)中提出在信息基础设置中进行所谓“深层防御策略(Defense2in2DepthStrategy)”,对安全审计系统提出了参与主动保护和主动响应的要求[4]。这就是现代网络安全审计的雏形,突破了以往“日志记录”
等浅层次的安全审计概念,是全方位、分布式、多层次的强审计概念,符合信息保障技术框架提出的保护、检测、反应和恢复(PDRR)动态过程的要求,在提高审计广度和深度的基础上,做到对信息的主动保护和主动响应。
3主机审计系统设计。
安全审计从技术上分为网络审计、数据库审计、主机审计、应用审计和综合审计。主机审计就是获取、记录被审计主机的状态信息和敏感操作,并从已有的主机系统审计记录中提取信息,依据审计规则分析判断是否有违规行为。
一般网络系统的主机审计多采用传统的审计,系统的主机审计应采用现代综合审计,做到对信息的主动保护和主动响应。因此,网络的主机审计在设计时就应该全方位进行考虑。
3.1体系架构。
主机审计系统由控制中心、受控端、管理端等三部分组成。管理端和控制中心间为B/S架构,管理端通过浏览器访问控制中心。对于管理端,其操作系统应不限于Windows,浏览器也不是只有IE。管理端地位重要,应有一定保护措施,同时管理端和控制中心的通讯应有安全保障,可考虑隔离措施和SHTTP协议。
主机审计能够分不同的角色来使用,至少划分安全策略管理员、审计管理员、系统管理员。
安全策略管理员按照制定的监控审计策略进行实施;审计管理员负责定期审计收集的信息,根据策略判断用户行为(包括三个管理员的行为)是否违规,出审计报告;系统管理员负责分配安全策略管理员和审计管理员的权限。三员的任何操作系统有相应记录,对系统的操作互相配合,同时互相监督,既方便管理,又保证整个监控体系和系统本身的安全。控制中心是审计系统的核心,所有信息都保存在控制中心。因此,控制中心的操作系统和数据库最好是国内自己研发的。控制中心的存储空间到一定限额时报警,提醒管理员及时备份并删除信息,保证审计系统能够采集新的信息。超级秘书网
3.2安全策略管理。
不同的安全策略得到的审计信息不同。安全策略与管理策略紧密挂钩,体现安全管理意志。在审计系统上实施安全策略前,应根据安全管理思想,结合审计系统能够实现的技术途径,制定详细的安全策略,由安全员按照安全策略具体实施。如安全策略可以分部门、分小组制定并执行。安全策略越完善,审计越彻底,越能反映主机的安全状态。
1.国家审计系统是开放性与封闭性的统一
国家审计系统是开放性系统。这就意味着国家审计系统不断与社会大系统进行着物质、能量、信息的交换,如审计人员的招聘与流动、审计经费的供给与支付、审计信息的收集与反馈、审计结果与公告等等,这些都是系统开放性的表现。
国家审计系统是一定程度上的封闭性系统。在国家审计中,审计的独立性是审计封闭性的具体表现,体现在审计人员的“精神独立”、审计经费的独立和审计机构的独立三方面。封闭的大小直接影响国家审计系统能在多大程度上实现独立。从封闭性角度来看国家审计的独立性,将会开拓审计的发展视角。同时又由于封闭性,才使得审计在方案制定、审计实施、和审计结果公告上都有一定程度的限制。
国家审计系统是开放性与封闭性的统一,只有达到开放性与封闭性的统一,国家审计才能产生质的飞跃。一方面,通过开放使国家审计系统得到系统发展所需的物质、能量、信息等资源,使国家审计系统在交换过程中,将其功能更好地发挥出来。另一方面,在与外界交换的过程中也有国家审计系统所不需的东西(如社会经济中的各种不良行为),也有国家审计系统不能输出的东西(如涉及国家机密的信息等),这时则要通过系统封闭来保护国家审计系统。
2.国家审计系统是整体性与层次性的协调
国家审计作为社会大系统中的一个子系统,它是整体性与层次性的协调。国家审计系统的整体涌现性体现在将分散的各个审计元素相整合后,形成了单个审计元素所不显现的特性,使审计系统涌现到更高层次,即出现了我们常说的审计发展。但是,在国家审计系统中又包含着诸多审计子系统(各层次审计机关),这些子系统虽然处于较低层次,但却是国家审计系统整体涌现性所不可缺少的构成要件,只有这些子系统的发展才能推动国家审计整体向更高层次的发展。如果国家审计系统没有这些低层次的子系统,国家审计系统发展就可能停滞不前,甚至出现退化的情况,进而由审计系统的滞后会影响社会经济的全面、协调发展。因此,从系统科学的观点看,科学发展观就是要求我们在发展审计事业中重视审计系统的整体性和层次性的协调统一。发展是逐层依次递增的。国家审计系统的每一次发展都是通过系统的发展层次上涌现性表现出来的,这一整体涌现表现出了这个层次的特点,体现了审计系统的每一次变化。这种由低层次推动系统和高层发展的发展模式是长期的、缓慢的。审计系统要发展就必须在整体上把握,高层次要积极地将低层次好的做法、好的经验及时准确的在系统内推广,如在经济责任审计的开展就是这样一种发展模式。同时高层次也能够对低层次产生积极作用,如我国的审计公告制度就是由国家审计署开始实行的,然后向基层推广的。
二、从五大范畴看国家审计系统的科学发展观
1.从系统范畴看。国家审计系统是包括了经济、社会、生态、空间、制度五大要素在内的一个复杂系统。国家审计是依法行使对国家权力的监督权,国家权力的运用触及到社会经济生活的方方面面,因此,国家审计的监督过程就涵盖了社会经济生活的方方面面。在国家审计系统中树立科学发展观要在统筹兼顾下全面、协调的发展。我们在审计工作中,要改变过去将国家审计重点只放在经济事项的审计上,而忽略了对其他要素的作用的局面。应将审计重点转到如何为最广大的人民利益而工作,在人民群众广泛关注的教育、医疗、社会保障等领域开展审计工作;要站在社会经济可持续发展的高度,重视和开展生态环保审计,更好地推动社会经济发展;要将审计的空间进行拓展,加快与国际审计业务接轨的步伐;要积极推动审计制度改革,利用一切有利条件来推动国家的制度化建设。
2.从动力范畴看。国家审计系统虽然是一个开放的系统,但是这种开放性在没有持续创新动力时也只能使系统维持现状,而不能使系统发展。因为创新是系统改变内部结构、打破平衡状态的原动力。审计系统的外部环境是不断变化的,环境的改变会使审计系统不断遇到新情况、新问题。这时审计工作必须要用新对策、新思路来解决,而创新正是保证这种应变能力的源泉。如果创新不足,那这些新情况、新问题就成为国家审计系统发展的绊脚石,从而阻碍国家审计系统的发展。从社会大系统的角度来看,审计创新所产生的积极作用还会通过审计行为传递给其他系统,这样对其他系统的发展也会产生积极作用,从而使全社会得到全面、可持续的发展。
3.从功能范畴看。系统的功能表现在系统与其他系统之间相互作用。这种相互作用是由系统开放性来实现的。科学发展观指导下的国家审计系统是全方位开放的系统。开放不仅意味着系统能与环境进行物质、能量、信息交换,接受环境的输入与扰动,向环境提供输出,还有主动适应和进化的涵义。在审计系统中,这种开放是通过审计系统的运动来实现,系统通过主动行为获取系统发展所需,相互交换信息获得知识,形成对系统发展的“预见性”。审计系统的开放性意味着将审计系统的运作与环境结合起来考虑,即将系统优化与环境优化相结合;开放还意味着国家审计要接受社会的监督,形成公开的。
4.从空间范畴来看。国家审计不同的空间,会显示出发展的层次性,国家审计系统就是在非均衡中实现发展。不但不同层次的审计系统存在差异性,而且即使是在同一层次的审计系统,在不同的空间下也会体现出差异性。由于国家审计系统属于社会大系统的一个子系统,其自身又由诸多子系统组成,因此不同的空间,不同的作用力下,国家审计系统的结构会不同,继而使整体的外在表象也不一样。在国家审计空间中,结构是审计系统演化的关键因素,因此要注重系统演化发展就必须注重系统的空间结构。但是系统的演化有两个基本方向,一种是由低级到高级,由简单到复杂的进化;一种是由高级到低级,由复杂到简单的退化。系统的空间结构优化是进化的过程,强调通过系统内部组分间的合作、竞争、冲突来改变系统规模(特别是组分关联方式),进而引起系统功能及其他特性的改变。
5.从目的范畴来看。目的是系统存在的原因。国家审计的直接目的是监督国家权力,而根本目的正是通过审计来实现经济社会和人的全面发展。科学发展观是“以人为本”的发展观。因此,在国家审计系统内必须将人的因素放在系统发展诸要素的首位。“以人为本”就是以人为中心,就是要将国家审计发展与人的发展相结合。在审计中树立科学发展观,就是认识到人的主动性、创造性对国家审计系统发展的积极作用。从国家审计系统内外两个层面来看“以人为本”:在系统内部“以人为本”主要体现在审计人员优化上,在优化“建立适应审计工作需要干部管理体制,全面提高审计队伍素质”上下功夫;在整合审计干部队伍结构,着力培养复合型人才上下功夫;在健全审计职业教育体系,实施分层次培训上下功夫;在健全科学的审计考核体系上下功夫等。系统外部,“以人为本”主要体现在如何通过审计使人民群众不断增长的物质文化需要得到保障;如何实现社会的共同富裕;如何通过审计充分激发被审计单位人的聪明才智,使被审计单位人员与审计人员能在思想上达到一致,自觉地执行财经法规,以不出现违法违规为最高境界,从而使他们的努力能推动社会经济发展。
三、落实科学发展观对国家审计的几点启示
1.制定科学的审计评价标准
审计标准是审计工作依据,也是审计系统功能的外在表现的度量尺度。从系统科学角度来看,我们必须不断更新审计标准,做到审计标准同审计事项的与时俱进。在制定审计标准时,我们要积极探索、寻找最能反映审计事项的审计标准,要将审计的定性与定量相结合。从国家审计系统的内部动力角度来看,审计标准的“与时俱进”是系统创新的表现,这种创新能为国家审计系统的发展注入新的动力,这一动力将推动国家审计系统自身的结构优化,实现系统的非线性整体均衡。
2.树立正确的业绩观
审计业绩评价是开放的,是在对系统整体把握下,从审计工作更高层次上的评价。从国家审计系统的结构上看,审计业绩观受制于系统整体性和层次性。审计业绩观的整体性体现在通过审计系统自身行为,推动社会经济的全面、协调、可持续发展,最终实现人的全面发展。审计业绩观的层次性体现在各级审计機关如何通过审计使被审计单位人员自觉地执行财经法规,提高经济效益,实现审计与被审计单位的良性互动,从而使被审计单位的行为向社会经济发展的整体目标靠拢。如果将审计是否推动社会经济全面、协调、可持续发展作为我们审计人员的业绩评价标准,那么就能保证审计人员站在更高的层次去看待审计工作与其他工作的关系。正确的审计业绩观是开放的业绩观,审计业绩观的开放性说明了审计业绩会因审计事项的不同而有不同的体现。审计系统是开放的,所以对审计人员的业绩评价也应是开放的。这种开放性的集中体现,在于对审计人员的业绩评价是以是否推动社会经济全面、协调、可持续发展作为标准。
3.增加审计的透明度,使国家审计更加有序发展
国家审计增加开放性的重要方面就是增加系统的透明度。增加透明度一方面使外界对审计系统的运作更加明了,从而更好地支持与配合审计;另一方面透明使系统内部存在的问题得到揭示,督促国家审计系统找到解决自身问题的方案。国家审计透明性体现在审计结果的透明和审计程序的透明两个方面,审计结果往往通过审计结果公告来反映,是外界了解审计工作成效与被审计单位工作情况最主要的信息来源。审计结果体现了审计系统与审计工作人员的努力,也会暴露审计工作中的不足,审计结果的公开使国家审计接受了社会的监督,增强了国家审计抵御风险的能力。从审计程序上看,审计结果是审计程序的必然结果,因此我们还必须将审计透明工作扩展到审计程序上来,审计程序是控制审计质量、维护审计权威性的重要保证。如果审计程序不能接受外界的监督,那么审计质量和权威性就会大打折扣。但是审计系统的透明化不是全方位、五条件的开放,而是有步骤、有条件、分层次的公开,只有这样才能切实保证审计的发展。
4.把握好国家审计发展的机遇
当前我国国家审计系统发展有五大机遇:
(1)时代机遇。我国已进入一个新的发展时代,是一个全面建设小康社会的时代。时代的特征造就了审计工作的重心的转变。
(2)空间机遇。中国加入WTO带来的影响是全方面的,随着中国与国外各方面的交流增加,国家审计将拓展到更加广阔的空间上去,中国国家审计应尽快与国际接轨,在国际审计领域占有一席之地,是我们国家审计工作者的历史重任。
(3)改革机遇。经济体制改革正由计划朝市场经济体制纵深方向发展,这将引导我国国家审计由监督型审计向服务型审计转变。
购物车(0)
