联网审计的起源

[生命的起源]甲今天我们来研究…… 乙（四处张望观众，做出恐惧状）甲研究…… 乙（忽然抓住甲，挡在身前）甲你，这是干嘛？乙我，我害怕甲怕什么？乙（手指观众）他们，是什么？甲观众，人啊！乙人，哪...+阅读

展开全部目前审计机关已经开始实现对具备条件的被审计单位在网络互连环境下开展审计工作，审计人员一般把这种审计方式称为联网审计。联网审计方式在审计观念、审计行为等方面与传统现场审计方式有着较大的不同，有必要明确联网审计的一些基本问题。一、联网审计的特征、定义和意义目前，审计署对中央部门的联网审计，是在审计署部门审计局与被审计的部门预算单位进行网络连接的基础上，运用现场审计实施系统进行财政财务收支审计，并通过该系统与办公自动化系统的连接实现网络化的审计管理；地方审计机关的联网审计，多数是通过与集中会计核算、集中资金管理的行政事业单位结算中心等数据大、集中的信息系统在网络连接基础上进行财政财务收支审计。

从试点情况与“金审工程”的目标定位来看，与传统的现场审计相比，在联网审计中，审计机关的审计手段、对象、方式和技术有所不同，但是审计机关的基本职责、审计的性质没有发生变化。关于联网审计的特征。与传统现场审计相比，联网审计有四项突出特征：一是实现适时审计。审计人员通过网络访问被审计单位财政财务信息数据库，缩短了每次检查活动的相隔期间以及检查时间，对于具体的财政财务收支事项，既可以在该事项结束后实施审计，也可以在该事项进行过程中适时进行审计，从而实现了事后审计与事中审计的结合，静态审计与动态审计的结合。二是实现远程审计。联网审计中，审计机关可以通过网络远程访问被审计单位的财政财务管理系统及其数据库或数据库备份，随着被审计单位信息化程度的逐步提高，通过远程访问完成审计的程度也将得到提高，适时性特征也因此而更加明显。

三是实现更高效率地数据采集和分析。数据采集和分析的效率是采集和分析的数据量与时间的比，在传统现场审计中，审计人员利用计算机辅助实施审计数据的采集和分析，在数据量上受到所携带设备、审计范围的限制；在时间上受到现场组网和审计进度的影响。联网审计中，网络连接一次性完成，其数据采集和分析的数量，基本不受设备限制；审计范围在事前确定为最大可能的范围；时间不受现场组网时间与审计期间影响。因此，联网审计具有更高的审计数据采集和分析效率。四是信息系统成为新的、必须开展的、并且处于首要地位的审计内容。在联网审计中，由人、计算机硬件、软件和数据源组成，负责收集、加工存储、传递和提供决策所需信息的信息系统，成为内部控制的新内容，涉及内部控制的各个要素。

在网络互连的方式下，信息系统是财政财务数据源的必然载体，因此它不仅决定了审计人员对会计和其他经济信息的依赖程度，更重要的是决定了是否可以依赖。在传统现场审计中，审计人员通过内部控制测评，完成对会计和其他经济信息的可依赖性，控制风险水平对实质性测试的性质、范围、时间和重点的影响等情况的确定。在被审计单位为小规模单位、相关内部控制不存在、内部控制存在但并未有效执行、内部控制测试和控制风险评估的工作量可能大于其所能减少的实质性测试工作量等情况下，审计人员无须对相关内部控制进行测评。正是因为传统现场审计与联网审计所需数据来源的上述区别，信息系统审计在联网审计中是必须具备的审计环节。概括而言，信息系统审计是通过收集和评价审计证据，对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。

根据上述特征，可以将联网审计定义为：审计机关与被审计单位进行网络互连后，在对被审计单位财政财务管理相关信息系统进行测评和高效率的数据采集与分析的基础上，对被审计单位财政财务收支的真实、合法、效益进行适时、远程检查监督的行为。联网审计具有以下意义：一是有利于推动财政财务收支相关数据和业务处理日益电子化、信息化、网络化形势下审计工作的开展。目前，我国电子政务12个重点业务工程中，金财、金关、金税、金融监管、社会保障等业务系统正在建设之中，有的已经进入全国数据大集中阶段，尤其是与审计工作密切相关的组织中央预算执行和国库集中支付的金财工程正在不断建设与完善。与此同时，大型国有企业的ERP系统、国家重大基本建设项目的管理系统等的建设也在不断推进。

在掌握国家重要资金和资产的政府部门、领域不断信息化、网络化的条件下，审计机关要有效地履行审计监督职责，必须顺应这种形势的发展，积极探索审计的新途径和新方法。从联网审计的特征看，它已经成为新形势下开展审计工作的必然选择，随着网络环境的不断成熟与审计实施系统的不断开发完善，这种方式将发挥更大的作用。二是有利于在新形势下有效配置审计资源、提高审计效率，进一步贯彻落实“全面审计、突出重点”的审计工作方针。财政财务收支相关数据和业务处理电子化、信息化、网络化的过程中，一些手工、纸质财务和业务处理方式在一定范围内同时存在，传统现场审计与联网审计也将同时存在。为此，审计机关可以利用联网审计远程获取被审计单位财务数据的特征，合理安排联网与现场审计...

信息系统审计的编辑推荐

近年来，一些企业或政府单位频频出现了数据泄露事件，处理不及时，还有可能对企业造成不可估量的损失。智能IT审计专家时代新威提醒您，一定要加强对信息系统安全的重视程度，面对可能的安全威胁，建立一套有效的信息安全审计体系，加强对数据库信息的监管力度，有效管理并降低风险，是非常重要而且必要的。今天来聊聊数据库审计工具及其应用程序。有四种基本平台可以用于创建、收集和分析数据库审计，它们是：本地数据库平台、系统信息/事件管理及其日志管理、数据库活动监控和数据库审计平台。1. 本地审计：指的是使用本地数据库来进行数据获取，但使用数据库系统本身对事件进行存储、分类、过滤和报告。IBM、微软、甲骨文和Sybase针对这种情况都提供各自不同的解决方案，但本质上都是去获取相同的信息。

虽然数据通常存储在数据库中，但却可以导出到纯文本文件、或以XML数据形式提供给其它的应用程序。本地功能的使用节省了与获取、部署和管理专用审计工具相关的成本，但却使得数据库产生了额外的性能开销，对基本的收集和存储也只能进行有限的管理，并且需要人为的进行管理。本地审计发生在数据库范围内，并且只适用于对安置在单个设施内的数据库进行分析。2. SIEM和日志管理：安全信息和事件管理（SIEM），以及与之类似的日志管理工具都具备了收集审计文件的能力，但却比本地数据库工具提供了更多的功能。请记住，这些工具不会像本地审计那样会导致数据库的开销，从而减轻了数据库的大部分负担，但这需要一个专门的服务器对其进行存储和处理。除了数据库审计日志，这些工具还从网络设备、操作系统、防火墙和应用程序中收集信息。

SIEM 和日志管理可以提供综合报告、数据收集、异构数据库支持，数据聚合和压缩能力，这些都是本地数据库审计所不具备的优点。LogLogic和Splunk等公司推出的日志管理系统，专门设计成能够容纳大量数据的系统，并且更专注于管理和报告。而由ArcSight公司和EMC公司安全部门RSA等厂商所推出的SIEM，则被设计成更适用于接近实时的网络安全设备监视，从而更深入地分析事件之间的关联和安全报警等信息。然而，SIEM和日志管理之间的区别可能会逐渐模糊起来，这是因为大多数的厂商都能同时提供两个平台，尽管两者没有完全整合在一起。3. DAM：数据库活动监控平台被设计成用于监控数据库活动中的威胁，并执行规则遵从控制。诸如Application Security、Fortinet、IBM、Netezza和甲骨文这样的供应商，提供了异构数据库中的事件获取。

大多数供应商提供了多种方式来获取信息，包括收集来自网络、数据库所在的操作系统和数据库审计日志等多方查询（queries）信息。DAM 工具被专门用于高速数据检索和实时政策执行。像SIEM工具一样，DAM 工具可以收集来自异构数据库和多数据源的数据，并被设计成用于分析和报警。而与SIEM不同的是，DAM并不是专为数据库而设计的，它更加专注于在应用程序级进行数据库分析，而不是在网络级或系统级上进行。除了对数据库的操作进行取证（forensic）分析，DAM还提供了诸如活动阻塞、虚拟打补丁、过滤（filtering）和评估等高级功能。4. 数据库审计平台：一些数据库厂商提供了专门数据库，这与日志管理服务器很相似。这些数据库由一个专用的平台组成，它存储从本地数据库审计中获取的日志文件，并把多个数据库的日志文件收集到一个中央位置上。

其中一些平台还提供了异构数据库日志文件收集器。报告、取证分析、把日志文件聚集为共同的格式，以及安全存储，这都是此种平台可以带来的好处。虽然这些平台不提供多数据来源、或像DAM那样进行细致的分析，不具备SIEM那样的关联和分析能力，也不像日志管理简单易用，但对于那些专注于数据库审计的IT运营而言，这是一个性价比很高的方法，可以用来生成安全报告和存储取证方面的安全数据。数据库审计系统侧重于数据库本身的安全以及对数据库资源访问的合规性控制与审计，也是目前企业有效实现信息化内控，满足合规性的重要有效手段。

网络审计的发展概况

管理信息系统审计的现状和发展趋势：管理信息系统审计即IT审计，我们从IT技术发展来看，随着IT技术在业务和管理中的广泛运用，IT逐渐从传统的后台支持而步入前台，成为竞争的重要支撑，凭借信息系统的强大功能优势，完成其业务的自动化，但与此同时，从信息系统安全性、效率性、合规性方面都存在风险，传统的控制、管理、检查和审计技术都受到了巨大的挑战。其次，从应用类型来看，目前IT审计主要集中在信息化程度要求较高、生产安全紧密相关的单位。比如电信运营商、各大银行金融、中央等，中小用户还比较少。对于IT审计人才的培养也处于初级阶段，目前的状况是懂IT的人才不少，但是这些专业人才往往缺少对的业务、审计的相关知识。审计管理信息系统具有四个基本功能：即确定信息的需要，收集和加工信息，提供信息，系统管理。

审计管理信息系统首要的功能在于确定整个审计管理需要的信息的范围、内容、数量、质量、时间等。收集和加工管理信息审计管理信息系统的收集与加工，包括收集、检核、加工、编制索引、传递和存贮等工作。其目的在于提高信息的质量，保证提供的信息准确、及时。审计管理信息的提供过程，由分析、检索、再加工和输出等环节组成。为了使审计管理信息系统的工作与审计管理工作相适应且紧密配合，还要对有关信息工作进行管理。具体包括：设计、运行和评价。审计管理信息系统的运行：审计信息的获取这是审计管理系统运行的第一步，在信息的采集上必须坚持真实、准确、完整、及时、保证信息加工的需要。审计信息的加工信息的加工是审计管理信息系统运行的第二步，是关键环节。

它要求对收集到的大量的原始信息有针对性地筛选、分析、归类，提炼出审计管理工作中的指令信息，提出校正政策法规执行中的偏差疏漏信息，提炼出宏观方面失控的信息，微观方面违规违纪信息，确立新政策信息。审计信息的存贮审计信息经过加工以后，它的价值有两部分：一部分信息只能起暂时作用，反映出及时性，另一部分信息具有时间上的价值，它不仅仅是一次性的价值。而且具有价值的多次性，必须加以存贮。通过存贮来研究审计管理活动规律，把握审计工作发展趋势，提高审计管理水平。审计信息的传输就是审计信息靠通畅的传输系统送达需要有关信息的地方。一般而言，管理的组织和体系，决定着信息系统的传输通道。...

管理信息系统审计的现状和发展趋势是什么

随着网络技术的发展和普及，企业信息化程度不断提高，生产经营管理、财务管理和会计核算等均具有了网络信息化的新特点。广大审计工作者与时俱进，在实际工作中逐步探索计算机审计技术方法和应用领域，审计效率事半功倍，审计成果显著。计算机技术在审计工作中的运用，是审计事业发展的一个里程碑，也是审计技术和手段的一场深刻变革。笔者仅就现阶段计算机审计中存在的不足和未来的发展趋势，谈几点看法。

一、计算机审计发展现状随着各级审计部门对计算机审计的重视程度日益提高，越来越多的人参与到理论研究与实践应用中来，为计算机审计工作的发展创造了良好的局面。但是，由于我国计算机审计起步较晚，基础较为薄弱，所以仍然存在着一定的不足。

（一）计算机审计软件适用性不强目前，计算机审计软件的开发，在我国已经形成了一定的规模，比较有影响力的如“审计之星”、“思博审计”、 “中油审计”等，尤其是“中油审计”软件，是针对中国石油天然气总公司“中油财务管理信息系统” 开发的财务审计软件，从技术角度上讲，已经是较为成熟的产品，并在实际应用中取得很好的效果。但是，目前开发的许多审计软件因跟不上业务需求的发展，往往昙花一现即被弃用，存在着资源浪费严重的问题。

（二）计算机审计领域不广泛计算机审计资源投入的领域，“贫富悬殊”现象严重。对于电算化会计这一信息化程度较高的领域，开发出了相对较多的审计软件系统，并已经很好的应用到实际工作中。而对于非财务信息领域，相应的审计信息系统建设起步相对较晚，计算机审计水平难以满足对这些行业的审计需要。因此，加强对这些领域的审计信息化建设已刻不容缓。

（三）计算机审计应用水平不高几年来的摸索与实践，为审计行业造就了一批计算机审计人才，这些人才为计算机审计工作的发展起到了关键的作用，但是计算机技术的普及，对于审计队伍来讲还不能满足需求。一方面，部分审计人员虽然有丰富的传统审计专业知识和经验，但由于历史、客观的原因使他们在计算机知识结构上有一定欠缺；另一方面，绝大多数的审计人员虽然掌握一定的计算机知识，但仅仅掌握的是浅层次的计算机运用技能，缺乏对计算机程序编译检测、系统设计等专业技能。

（四）计算机审计法律依据不充分随着电子商务技术的不断发展，电子货币流通、电子数据审核、电子合同审核、电子签名辨别等网络信息技术的运用也越来越广泛，伴随而来的信息系统合理性、安全性保障措施、网络信息资源的所有权、使用权认证、认证中心和数字证书的法律地位等，都需要制订法律法规加以规范。鉴于此，完善计算机审计立法工作，时机已经日趋成熟。

二、计算机审计发展趋势

（一）计算机审计是促进审计工作向管理效益审计延伸的主要手段随着计算机审计理论和实践水平的不断提高，计算机审计将会广泛的深入到各个领域，通过计算机审计手段，能够从管理制度和管理环节入手，审查企业管理中存在的漏洞，揭发违法乱纪行为，发现企业管理存在的不足。通过计算机审计，对被审计单位经济活动的效率、效果和效益等方面进行检查和分析以及提出建议，促使其经济效益提高。在将来，一个合格的审计工作者必须要熟练掌握计算机审计手段。

（二）运用计算机技术对信息系统审计是内部控制审计的重要环节由于企业信息网（包括网络办公自动化、行业信息管理、电子商务等系统）拥有多样化的信息资源，采用多种网络信息技术，系统较为复杂，舞弊手段更加隐蔽，因此，网络数据和网络资金安全成为一个非常重要的新问题。在这种情况下，审计人员关注的重点在于内部控制的符合性测试和具体业务实质性测试方面，整个信息系统运转的核心也是系统程序对内部控制的落实上。

（三）计算机审计软件的开发将更注重网络化、智能化和专业适用性随着电子计算机的人工智能和软件技术的日益发展，审计工作将与计算机技术更加紧密地结合在一起，而计算机对于被审计数据的预警、综合分析、穿透查询等功能将更加强大。未来的审计软件设计将更加注重与审计人员的实际工作相结合，从审前调查、行业咨询、网络信息互动、方案的设定、数据查询、数据分析、数据取证、底稿、报告的形成都与审计人员的职业判断能够紧密地结合，成为审计人员手中的“超级武器”。计算机审计与科技的共同进步，使计算机审计的前景将更为广阔。

三、进一步推进和深化计算机审计的对策

（一）整合计算机审计资源 1。整合软件资源。为避免在软件开发上的重复建设而造成的资源浪费，在资金、技术、软件开发、推广、应用、后期维护等方面应进行信息互动，集中整合。及时根据一线审计人员实际应用的需求，对软件进行更新维护，加强实用性，延长使用寿命，最大限度地发挥软件的整体功能。 2。整合人力资源。企业计算机审计系统是构建于通用计算机技术、数据库技术、 INTERNET 技术等当代先进信息技术基础上的，以企业信息网为平台，应用专业的审计软件进行审计。因此，审计工作需要得到技术部门的全力支持。如果审计队伍本...