时间:2023-06-01 08:51:27
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇审计服务方案,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
企业管理解决方案(Systems Applications and Products in Data Processing,简称SAP)是由德国SAP公司开发并在全球广泛应用的企业管理实施方案软件,是比较优秀企业资源管理系统之一。
企业管理解决方案是建立在信息技术基础上,利用现代企业的先进管理思想, 其设计理念和管理模块主要表现在:根据企业经营特点,实施流程再造,设计管理“工厂”,按级别授予权限。按部门实施流程管理。对物资采购、利润及成本分析、资产控制,销售及订单管理、库存状况、产品质量控制等实施全方面综合监控。
目前,SAP管理方案理念已经被国内很多知名企业接受并广泛使用。钢铁行业的首钢、沙钢、河北钢铁、安钢等大中型钢铁企业也陆续采用这一先进管理方案,组织企业生产经营活动。
如何充分利用SAP系统所提供的信息,开展更加深入的内部审计,提高审计效率和效果,成为内审人员重点关注的一个课题。
1. 内部审计对系统软要求与SAP系统设计“短板”
而企业内部审计的主要职能是为企业生产经营提供服务,并对企业经营活动进行评价与监督。内部审计需要通过共享SAP系统资源,能够实现由传统的“事后”审计向事前参预、事中监督,事后评价职能转变,从而增强内部审计工作对企业经营管理活动的服务职能。要实现这一目标,内部审计工作必需能够充分利用SAP系统相关资源,从SAP系统中调取审计所需数据及相关资料,并对以财务核算模块为核心的其他相关资源加工模块实施监督。即SAP管理系统应赋予内部审计“超权限”职能。
要实现内部审计“超权限”职能,可能通过两种途径获得:(1)将内部审计设计SAP系统中一个子模块,赋予该模块“一定”的超权限,可以实施在线监督其他相关模块业务处理,或调取业务数据,但无权修改相关业务数据;(2)设立审计独立端口,后续开发相关审计软件,实现审计软件过审计端口进入SAP系统,实现在线监督。
2. 利用SAP系统实现内部审计对企业经营业务的全过程“参与”
当前,内部审计的发展趋势是由传统的“事后”审计向事前参预,事中监控、事后评价发展。利用SAP系统资源优势,能够事半功倍地实现对企业经营业务全过程审计,把一些原先只能事后审计事项提前布局,提高审计效率。
2.1利用SAP资源现实财务资金安全的监控
财务核算模块是SAP系统的“中枢神经”,其主要职能可分为会计记账和财务决策。通过与物资采购部门、生产单位、销售单位和其他集团(或公司)单位通力合作,实现企业“资金—实物—资金(增值)”过程。因此,防范资金风险成为企业比较关注的事情。尤其是2006年以来,证券市场部分上市公司资金失控现象屡有发生,因此,如何防范资金风险成为企业能否关注的一个课题。
企业内部审计的一个职能就是对企业资金运作进行监督,保障资金安全。通过SAP系统,审计部门可以直接调阅财务部门的资金计划,与各单位资金需求及资金收支情况核对。针对大额支出项目,可以并编制《大额资金支付表》,根据资金管理制度要求审核资金申请、审批、复核及支付全过程监督,核对相关业务真实性、付款依据等支付凭证。对不符合资金管理规定的资金支付项目,及时向财务部门进行询问。
2.2利用SAP资源现实物资采购环节审计
SAP系统对物资采购实施订单管理。在SAP系统管理中,生产工厂根据需要,按物资编码生成请购订单。采购单位经综合平衡后,形成采购订单,并生成采购合同。必需正确输出合同,相关单价与规格由计算机自动生成。物资到厂后,必需经验收人员按合同验收后,才能由仓库保管人员办理入库手续。
审计部门必需从采购计划、合格供应商管理、招标情况等进行源头参预。在SAP系统管理中,采购单位必需正确输出合同,相关单价与规格由计算机自动生成。物资到厂后,必需经验收人员按合同验收后,才能由仓库保管人员办理入库手续。审计部门只需核对计划、合同、入库物资和中标结果就能明确相关物资采购程序手续是否规范地否履行完毕。这样就有效地避免了因监督滞后而带来的种种弊端。
2.3利用SAP资源实现对库存管理效益性审计
SAP系统的一个重点特点,就是能够得到各“工厂”库存材料及产品收发存情况和实时库存状况。审计部门可以根据审计需要,对各“工厂”库存情况实施监督。以确定某项采购计划是否继续执行。并可针对“个别”金额较大,长期积压库存实施重点审计,找出企业管理活动中的薄弱控制点
2.4利用SAP系统对销售环节实施审核
安钢销售政策遵循“不来款不发货”。要求货款回收率100%,除个别市政工程用铸管外,严禁欠款发货。根据这些特点,SAP系统设计为开出提单时,客户账面余额大于或等于本批应发钢材金额。并根据安钢需求,陆续实现了公司本部与驻外销售公司数据对接。便于公司本部与驻外公司核对产品收发存情况,便于公司本部监督驻外公司货款回笼情况及销售价格执行情况。
3. SAP系统步完善,必将促进内审工作新飞跃
SAP系统做为现代企业优秀的管理平台,将企业内外部资源根据需要进行统一调控,把企业经营情况汇集成管理所需数据,在企业内部实现资源共享。这种资源共享的特征给企业内部审计提供了极大的便利,使企业内部审计工作向更高目标前进成为可能。
3.1首先,降低审计工作强度,提高审计效率。在SAP系统建立以前,企业内部审计多以“企业内部单位”为审计对象。针对每个审计单位的经营情况,制定相应审计方案。对每个单位的管理审计都必需对资金、采购、生产、销售等管理环节进行审计,对某些重点审计项目甚至要做“专项”审计,内审工作劳动强度很大。很多审计工作因时间紧、任务重导致审计效果很差。采用SAP系统以后,各单位管理制度和经营数据能够从SAP系统中调出。审计人员可以在不影响被审计单位经营的前提下实施审计项目,除抽查项目外,其他审计工作基本可以在办公室完成。
3.2其次,实现对“大集团”供销行为统一监控。SAP系统建立以前,集团公司所属子(分)公司基本上各自经营本单位的采购与销售业务,在对分子公司审计时会发现以下“奇怪”现象:采购环节审计时,各分子公司采购供货商的同一种商品对集团公司内部各单位合同价格不一致,有些备件价格相差100多元。销售方面,个别分(子)公司对同一资源销售价格与集团公司销售部门销售价格相差很大,导致个别客户大量从分子公司采购,给整个集团利益造成损失。随着SAP系统的普及,审计部门可以建议建立统一供应商及销售商管理模式,并对其信用进行评定。建议利用集团采购和销售,并对相关采购价格和销售价格进行监控。
在《内部审计准则——基本准则》中明确了内部审计是独立、客观的确认和咨询活动,通过运用系统、规范的方法,审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性,以促进组织完善治理、增加价值和实现目标。所以我们认为,对高校内部机构的内部审计应当在发现问题和缺陷的基础上,为高校完善控制、增强办学能力,提高管理服务水平所服务。但是当前高校内审存在的普遍问题制约了该目标的实现:
(一)缺乏独立性,监督和评价职能发挥不充分。由于内部审计机构和审计人员与本单位保持着经济利害关系,内部审计工作容易受到单位领导和其他职能部门的影响,内部审计工作人员难以做到依据事实,自主判断,客观、公正地发表审计意见。此外,我国部分高校纪委、监察、审计合署办公,本身机构独立性不强。同时,由于在相关业务部门在日常业务环节会要求监察环节参与,因此审计环节必然会存在对监察审计部门自身参与的事项进行审计,不符合独立性原则,有可能出现评价不客观的现象。
(二)审计力量薄弱,大型项目执行存在难度。由于内审在高校的发展时间不长,大多数高校的内部审计部门在人员配备上难以符合内部审计发展的需要,特别对于大型项目的执行,受人员、专业、能力的限制,内审部门执行的大型项目审计在质量上难以得到保障。人员严重不足导致工作饱和,在大型项目的执行上存在心有余而力不足的情况。
(三)审计过程重“监督”、“查找问题”,忽视从加强管理、提高效益、防犯风险的角度展开工作。大部分高校忽视了内部审计的服务职能,未做到监督与服务并重,在工作的开展过程中没有从加强管理“提高效益”防止风险的角度介入到事前预防和事中控制,只强调监督而很少考虑如何为单位增效,使内部审计工作陷于被动地位。
鉴于上述认识,同时遵循《内部审计具体准则2304号——利用外部专家服务》的原则,高校在执行内部审计过程中利用中介服务实现内部审计职能是当前高校内部审计工作的必然选择。
二、高校内部审计利用中介服务的策略
(一)明确审计目标,制定合理的审计方案。在审计项目的执行过程中应遵循内部审计的职能要求,分析审计项目特点,确定审计项目的审计目标,根据审计目标制定利用中介服务合理的审计方案。笔者更赞同由内部审计部门和中介服务机构联合审计的方案,这样使审计结果在运用过程中更能实现组织内部对管理咨询的需求。
以某高校后勤财务收支审计为例,该高校在2014年制定了后勤改革的目标,提出了在体制、人员、服务三方面的改革要求。针对学校部署,审计部门在确定审计目标时,明确了确认财务收支情况,对其真实性、准确性、完整性进行审计评价;对后勤总公司及其下属企业的营运成本情况,包括各类人员构成及薪酬成本进行审计。提供咨询意见,为推进后勤改革提供数据支撑;对内部控制制度的健全性进行评价,为促进公司各项工作更加规范和制度化提供依据;针对审计结果对后勤改革提出建议等四项内审目标。针对上述目标由审计部门编制利用中介服务参与本次审计工作的审计方案,确定总体分两个阶段执行:第一阶段为中介结构开展审计,出具审计结果;第二阶段利用外部审计结果,结合内部审计完成审计评价及建议。在内审部门制定的方案中明确审计依据、目标、内容及审计组的组成情况。
(二)选择优秀的中介服务机构是项目成功的关键。利用中介服务机构参与内部审计,中介服务结构的服务质量是项目成功的关键。《教育系统内部审计工作规定》第十九条明确“内部审计机构根据工作需要,经所在部门、单位负责人批准,可委托社会中介机构对有关事项进行审计。”但对于如何委托当前均没有明确规定,各高校采用方式不一。笔者认为,比选的方式更能体现服务采购的规范性及保证质量。但海选的方式是不可取的,采用在实地调研的基础上,了解中介服务机构实力、思路、规范的情况下采用邀请比选的方式更为科学。在选择的过程中不能单纯注重价格,服务质量才是项目需要的最终结果。因此,在比选过程中应该按合理的分值综合考虑价格、方案、资质和业绩、项目组人员组成等因素。中介服务应根据审计部门制定的方案,自行制定实施方案,参与比选。在完成比选工作后,审计部门应该与中标中介服务机构进行进一步的沟通和交流,修订和完善中介服务机构的审计实施方案。
(三)优化审计实施流程,高效完成审计项目。在项目实施过程中,应该充分优化审计流程,以实现效率最大化。具体而言,在第一阶段工作中,高效内审部门仅扮演沟通协调的作用,不插手中介机构具体审计事项,由中介机构充分独立的发表审计意见。以某高校后勤财务收支审计为例,在第一阶段中介服务机构在其出具的审计报告和审计建议书中提出了近百条建议和意见,这是内审部门自行实施项目无法达到的深度和广度;第二阶段审计部门应在认真分析中介机构的审计报告和管理建议书的基础上,结合审计目标,对中介服务机构遗漏和不完善问题进行了进一步的审计调查,并撰写提交给学校的审计报告,在提交的报告中重点侧重于分析和建议,体现内部审计提升组织价值的职能。
三、高校内部审计利用中介服务机构的思考
在审计结束之后,将中介结构的审计报告、审计建议书、部门出具的审计报告装订成册,分别送分管审计、后勤的院领导,并送后勤、计财等相关部门。在院长办公会上通报审计结果。根据本次审计结果,学校对后勤进行了大刀破斧的改革,成立了资产经营公司,厘清了后勤的服务职能,搞清了后勤人员收入情况,后勤改革在学校取得了较好的反响。
四、思考和建议
(一)内部审计部门在项目执行过程中对目标的确定是项目执行效果的前提条件。在《内部审计实务指南第4号——高校内部审计》中,在内部控制、风险评估、方案设计部分均提及审计目标。遵循内部审计准则,每一个审计项目的目标应该结合组织价值增值的总体目标制定。为实现该目标,审计工作被赋予了多重职能,中介服务机构在信息不对称的情况下,只有根据内审部门提出的审计目标开展共组。因此,合理确定审计目标,是正确利用中介服务机构的前提。
(二)寻求外部支持是解决内部审计人员问题的有效途径。我国高校内部审计面临的人员问题是影响审计质量和效果的主要因素,在现有人员构架基础上,几乎无法形成有质量的审计结果。针对上述现象,因借鉴国家审计署关于利用外部中介服务的操作方法,探索自身需求外部支持的方法和路径,是有效解决内部审计人员问题的可行途径。
一、内部审计在国企改制中的功能定位
内部审计就其性质来看,是一种独立、客观的保证与咨询活动。它采用系统化、规范化的对风险管理、控制和治理程序进行评价,提高工作效率,从而为机构增加价值。内部审计应在改进风险管理、构建内部控制、完善治理结构等方面发挥审查、评价及促进作用,它是一种组织内部的管理活动,与企业改制的目标有着相通性。内部审计应努力履行职责,以促进企业改制工作。
(一)内部审计的基本职能是监督,它具有较强的独立性和较高的层次。企业改制过程中要求内部审计提供活动保证,以护卫国有资产的安全完整,防范改制中的国有资产流失,评价改制产生的、社会效益,充当国企改制的监督者和评价者。
(二)服务的内向性是内部审计的基本特征。由于内部审计部门遵守最高客观性标准,它对机构的程序、风险、战略有着全面的了解。因此内审部门在为企业内部改制活动提供咨询服务,充当企业改制顾问,帮助改制企业构建健康的道德文化等方面享有独特优势。
(三)提高内审成果的利用程度。对改制过程中查出的,应从体制上进行深入剖析,对普遍性、苗头性的问题应从上寻找原因、从制度上去。健全管理机制,发挥审计在改制中的再控制作用,完善信息披露制度,对倾向性问题向能使内部审计活动实现其职责的有关部门提出有效、具有前瞻性和有整改机会的审计建议,为企业改制充当参谋长。
二、内部审计在国企改制进程中的具体作用
(一)企业改制之前内部审计的作用
企业改制前,内部审计的主要职责是为改制工作的正式实施做好各项准备工作,为改制的顺利进行打好基础。
1.开展改制前审计调查,为改制方案收集资料。在企业改制前,内审部门应根据企业改制目标、改制程序对企业改制前所处的宏观、微观经济环境进行深入细致的调查,掌握必要的信息,形成书面调查报告,为国有企业及国有资产监管部门制定改制方案提供客观依据。一是对企业所处环境的调查。内部审计部门对企业各部门的职责分工、工作流程、生产经营情况等较为熟悉,并动态地掌握单位的各种情况的变化,内审部门对企业所处经济、社会、、生态环境及市场现状和市场发展前景的调查。二是对潜在纠纷进行调查。改制企业有可能存在涉及法律纠纷或逃废银行债务的事项,内审部门应对企业的担保诉讼事项、或有负债、潜在的法律隐患等事项进行调查。三是对资产、负债、损益情况的调查。主要是通过测试企业的内部控制、审查账务资料等方法,调查了解改制企业的家底,初步掌握企业资产、负债和损益的真实状况,分析企业的获利能力和偿债能力,对企业财务状况进行初步评价。
2.协助进行改制方案的可行性,确保改制的性、合理性。内部审计可以充分发挥对政策法规和企业内部经营比较熟悉的自身优势,在企业改制方案的可行性研究方面发挥参谋作用,为方案报批国有资产管理部门提供基础。主要是审查企业改制是否符合企业的发展战略和国家的产业政策,是否会使企业产生经济效应,达到预期效果,进而提高竞争力。帮助企业选择改革方式,防止盲目跟风。
(二)企业改制过程中内部审计的作用
内部审计应对国企改制过程进行全程审计监督,保障国有资产安全、完整,充分利用掌握的信息,保证改制的顺利进行。
1.构建审计防护网,确保国有资产不流失
在改制实施过程中,内部审计机构、国家审计机关、外部审计组织应共同检查与改制有关的法律、法规及制度的执行情况,及时纠正偏离这些规定的行为。这就要求内审机构通过审计监督,重点关注国企改制中的资产评估、处置环节,查处人为低估国有资产、隐匿、转移或非法处置国有资产及随意核销资产等违法违规行为,确保国有资产不流失,促进国企改制健康运行。对发现的问题应予以揭示,进行深入研究和分析,并有针对性地向企业管理层提出意见和建议,防范改制过程中的国有资产流失。
2.加强沟通,完善方案,保证改制进程
由于信息的时效性及成本效益性,根据调查信息形成的改制方案不可能是最佳方案,在具体执行过程中难免会发生与实际经济活动不尽相同的情况,同时也会不断出现新情况和新问题,需要企业及时掌握情况,完善改制方案,采取相应对策。内部审计应利用接触对象层次多、范围广的优势,发挥承上启下的信息传递者作用,把企业部门和职工的问题与意见客观、及时地反馈给企业改制小组,同时将有关的政策法规及改制意图、程序、方法下传给职工。发挥内部审计为改制工作充实信息、完善工作思路、争取职工支持等方面的作用,确保改制工作顺利进行。
(三)企业改制之后内部审计的作用
企业改制的终极目标决定了改制的效益(包括经济效益与社会效益),治理机制的完善程度是判定改制成功与否的重要标志,内部审计在评价、鉴定改制效益性及协助完善治理机制方面发挥着重要作用。
1.构造、选择评价体系,衡量改制效益
企业改制后,内部审计应承担评价改制的效益、效果、效率的职能。但在改制效益审计中,评价企业改制后有否效益、效益大小的标准未统一,因此内部审计任务之一就是构造或选择适合企业的评价指标体系,借以对比分析企业改制前后各项指标的变化,对改制的效益性进行总体评价。
评价的范围既包括财务效益也包括非财务效益,既包括经济效益也包括社会效益。内审部门应对改制后企业与同行业平均水平或与企业业绩进行比较来判定企业是否达到资本成本的节约、资本结构的改善,能否产生经济的规模效应及企业的优化组合,通过判断改制预期目标和初始动机的实现程度来评价改制的效益性。
2.把握审计走向,完善治理机制
随着改制后企业民主制度、环境意识的逐步完善和加强,效益审计被提升到更高的地位。内部效益审计的任务是与政府效益审计和独立效益审计共同构成多层次、全方位的效益审计体系。审计目标也由单纯的以经济效益为主,转变为经济效益与社会效益相互结合、近期规划与可持续发展相互支持、企业局部利益与社会整体利益相互协调的审计整合机制。效益审计会在经济性、效率性和效果性审计的基础上,向环境审计方向拓展。
塑造良好的内部控制框架(如国际上通行的 COBIT)是公司法人正确处理各利益相关者关系、实现公司治理目标的重要保证。改制后的初步构建了公司治理机制,内部审计师应努力提高审计治理能力,跳出传统审计范围,将内部审计功能延伸至公司治理结构的层次上,强化内部治理审计,协助企业内部控制框架建设,进而完善“三权分立”的公司治理机制, 为企业实现有效治理提供帮助。
三、创新、拓展领域,提升内审服务企业改制的功能
(一)创新审计方法,提高人员素质
内部审计要在服务企业改制方面有更大的作为,创新审计方法、提高服务质量是关键。
1.提高创新能力
随着高新技术在企业经营过程中的普遍,内审人员必须抱着求真务实、开拓创新的态度,转变观念、拓展视野、更新思维方式、创新工作思路、完善工作手段,了解管理高新技术、先进信息知识,掌握审计领域的先进技术和最新动态,提高自身素质,以独特的视角观察并提出有效解决方法,增强内审为企业改制的咨询服务功能。
2.提高机辅助审计应用能力
内审人员应掌握计算机辅助审计技术,在审计中广泛采用绕过计算机、通过计算机、利用计算机的审计技术,发挥计算机在评价治理风险和控制方面的高效作用,积极稳妥地探索网络远程审计,促使审计手段化、智能化、网络化,提高审计工作效率,保证审计质量。
3.提高协调服务能力
内审人员应掌握必要的交流技巧,尤其要提高组织能力、协调能力、管理能力、能力、口头表达能力,围绕企业改制目标,提高组织活力,充当企业改制剂,充分挖掘和发挥企业内部各种资源要素的作用,促使企业改制工作协调、高效进行。
(二)拓展服务领域,提升服务功能
企业的内部审计应着眼于服务功能,适时地调整工作重点,将其服务领域从财务审计扩展到改制风险审计、改制环境审计等方面,以拓展、提高内部审计为企业改制服务的范围与层次。
1.改制风险管理审计。内审部门通过识别、、评价企业改制的主要风险因素,测试、评定控制弱点和风险范围及程度,以风险为基础确定审计范围与重点,并采取适当的审计程序,担任收集信息的风险侦探角色,评价风险管理过程的充分性,进而评价在改制中防范国有资产流失的能力,做出减轻或避免改制风险的建议。
2.改制战略审计。内审部门通过扩大视角,将审计工作纵向延伸与横向拓展,对改制战略的规划、设计、执行、管理及其效果实施连续、动态的控制、审查及评价,使之与企业的改制目标相衔接,保证改制后的企业实现价值增值。
3.改制环境审计。改制中,内审部门通过对企业内部所提供的有关环境状态(包括健康、安全)的变化状况和程度的分析,在改制企业造成环境危害的可能性、负面、形象损失等方面向企业管理当局和环保部门提供有用信息,评价环境治理绩效,评估环境保护效果和环境风险,进一步提出健全并加强环境管理系统以及有关内部控制方面的建议。
4.改制舞弊审计。舞弊是指以故意欺骗为特征的一系列违法乱纪行为,从而使舞弊者获取个人利益。内审部门应拥有或获得充分的知识,坚持专业谨慎性原则,发现、查找改制中的舞弊迹象,进而评价舞弊风险并实施审查。它要求内部审计要特别关注改制中容易发生舞弊的薄弱环节和重点领域,必要时进行后续跟踪审计,保障国有资产不流失。
5.改制业务延续审计。企业改制进程中,最容易发生业务中断,给企业造成重大打击。内部审计应对机构处理业务中断的准备情况做出实时、联动评价,特别关注业务恢复计划、功能修复程序。把工作领域深入到生产、技术及经营的主要环节,对经营管理活动进行持续跟踪,采用检查、分析等方法,用一定的标准来衡量和评价改制进程中企业运作的性、效率性及效果性,预防突发事件,从而防范于未然,帮助企业在改制中维持持续经营的能力。
[]
[1]李金华。审计研究[M].北京:审计出版社,2001.
[2]吴淑琨。公司治理与中国国有企业改革[M].北京:机械出版社,1999.
[3]俞可平。治理与善治[M].北京:文献出版社[M].1999.
[4]王彦康。浅议内部审计的性质[J].中国内部审计,2004,(4)。
一、认真制定整改方案
以分析检查报告为依据,全处人员围绕制定、贯彻整改落实方案,积极建言献策,努力转变作风、改进工作,认真制定整改落实方案。整改落实方案注重可操作性,整改措施目标化、具体化,明确责任、明确措施。对查摆出来的突出问题和需要完善的制度,按轻重缓急和难易程度,分别提出整改落实的目标和要求,使整改落实工作有章可循。在统一认识、深入调研、分析检查的基础上,及时制定和完善有利于促进内审工作发展以及搞好学校审计工作的各项措施,把创新内审工作,提高内审工作效率作为整改落实的一个重要内容。
整改方案制定后,采取会议和网上公示的方式向拟参加满意度测评人员通报,接受大家的监督。及时召开整改阶段动员会,安排部署整改工作。“整改提高显成效”是本阶段的主要工作目标,做好整改提高工作的动员部署,是搞好整改的基础。
二、解决整改方案中的突出问题
针对存在的突出问题,我处坚持边整边改,主要的做法及成效是:
1、继续抓好科学发展观的理论学习。
组织大家认真学习科学发展观的重要思想,通过学习,大家思想认识有了很大的提高,对科学发展观的理论体系、科学内涵、精神实质和根本要求等有了更深刻的理解,增强了全处人员贯彻落实科学发展观的自觉性。
2、更加明确了内审工作的目标定位。
长期以来,学校内审工作一直扮演着“经济警察”的角色,而忽视了内审工作“免疫预防”的功能。通过这次学习,大家结合学校内审工作的实际,主动将内审工作和科学发展观联系起来,认为:学校内审工作的灵魂就是要促进学校教学、科研工作健康安全的科学发展,保证学校经济的规范运行。为此,必须在工作中将审计的关口前移,不仅要发挥审计监督的作用,更要发挥审计“预防、诊断、治疗”的“免疫”功能,将审计监督职能贯穿在学校各项经济活动的事前、事中及事后的全过程。
3、对内审工作的重点工作领域有了进一步的认识。
学校内审工作什么是重点,如何突出内审工作的重点进行审计是我们一直关注的问题,通过本次科学发展观的学习,我们有了更深刻的认识。大家认为:学校内审工作的重点,应该与学校改革和事业发展目标联系起来,只有这样,才能真正体现内审的监督服务职能,确保学校各项工作的顺利完成。学校“十一五”发展规划明确了我校的发展目标,就是要把我校建设成为“综合性有特色的教学研究型大学”,在这一目标中,涉及诸多方面的工作,但重点工作就是要把学校的教学、科研搞上去,提升学校服务社会的能力,为社会经济服务。为实现这一目标,就要有一个良好的经济运行环境,内审工作必须围绕这一重点,对教学科研必须的基础设施建设、重大设备采购、“211工程”建设等重点项目经费实施重点审计,确保经费的安全,确保各建设项目的顺利完成。
4、责任意识进一步加强。
通过学习实践科学发展观活动,责任意识得到了进一步加强,内审工作是学校工作不可或缺的重要组成部分,我们应该清醒地认识到:我们必须要转变审计理念,要有较强的责任意识,要在学校各项经济工作中,主动发挥服务与监督并重的保障作用,在审计过程中要为被审计部门、被审计人员提供必要的服务和咨询,通过开展“参与式”的内部审计,体现科学发展观“以人为本”的重要思想,充分发挥内审工作“免疫”功能的作用,促进学校的党风廉政建设。在审计工作中坚持内审工作规定的独立、客观、公正的要求,重视审计结果的落实,并通过后续审计的方式,督促他们尽快改正,使审计意见和建议落到实处。
三、今后内审工作的努力方向
1、进一步解放思想,坚持理论学习不放松
正确的理论是指导一切工作的明灯,科学发展观是指导我国今后一段时间发展的重要理论,也是指导各项工作的理论武器。今后我们将继续坚持学习实践科学发展观,更加深刻地领会其深奥的科学内涵,进一步解放思想,并且做到贯彻落实的方法措施得力,以正确的理论来指导我们的审计工作,把我校的审计工作做得更扎实。
2、强化咨询服务职能,坚持为学校中心工作服务不放松
学校内审工作必须始终围绕学校教学科研两个中心不放松,牢固树立为教学科研服务的意识,在发挥“预防、诊断、治疗”相结合的“免疫”功能的基础上,发挥服务与监督并重的保障作用,强调在审计过程中要为被审计部门、被审计人员提供必要的咨询服务,以便确保学校各项规章制度的有效执行,确保学校教学科研任务的顺利完成,保障学校各项经济活动正常有序的进行,确保学校资金的安全完整。
3、构建内审工作新模式,坚持改革创新不放松
任何一项工作必须随着其环境、任务的变化而变化,学校内审工作也不例外。随着学校事业的发展,审计模式必须要改革创新,审计人员必须要改变观念,审计手段和方法必须要现代化。今后我们将通过建立审计监督常规机制,科学配置审计人员,通过信息化的手段提升审计效率和质量,切实把握“突出重点”的方针等途径,构建内审工作新模式,以便适应新形势、新情况下的学校内审工作,只有这样,才能把学校内审工作做得更好,才能真正发挥学校内审工作服务监督的作用。
关键词:审计 科学理念 管理科学化
0引言
随着社会主义市场经济建设步伐的逐步加快,党和人民对审计工作提出了新的更高的要求,社会各界对审计监督的期望值也越来越大,面对新的形势、新的任务,审计工作必须以科学发展观为灵魂和指南,牢固树立科学审计理念,不断提高审计执法水平和审计项目质量,努力打造审计项目管理科学化,提升审计为经济社会科学发展服务的新境界。
1树立科学审计理念,认真履行审计监督职责
科学审计理念,就是把科学发展观作为审计工作的灵魂和指南,把维护人民群众的利益、促进经济社会的全面协调可持续发展作为审计工作的根本目标,把提高依法审计能力、实现审计工作科学发展作为有效履行职责的重要途径。
1.1准确理解和把握审计监督与服务的关系。审计监督是手段,审计服务才是目的。要树立科学审计理念,就要把推进依法审计、维护民生,推进改革和促进发展作为审计工作出发点和落脚点。审计服务要着眼于促进改善民生和社会和谐,审计监督要注重关系民生和社会和谐的重点领域,重点项目和热点问题。
1.2树立大局意识,强化效益审计意识。科学审计理念本身要求审计工作行政成本最低化、审计成果最大化。按照科学发展观的要求,从国家经济发展的宏观层次上研究和分析问题,认真履行审计监督职能,推动宏观调控政策的落实。
1.3完善体制机制,推动审计制度建设。发现和查处被审计单位违规违纪的问题,要从数字和问题背后的根源进行分析,深入揭示体制和机制层面的问题,提出审计建议,促进制度完善。既要坚决查处损害人民群众利益的重大问题,又要着眼社会长远发展。
2抓审计项目管理,做好审前准备工作
古人云不打无准备之仗。做好审前准备工作对完成每项审计任务至关重要。只有编制内容详尽,具有可操作性的审计实施方案,才能更有效地指导审计实践。在编制审计实施方案时注重以下几个环节:
2.1明确审计目标,细化审计内容。审计目标决定审计内容,审计内容为实现审计目标服务。细化审计内容就是要根据审计目标的要求,有选择的确定需要查明的具体经济事项。细化审计内容应该有确定的审计范围和重点,应该与审计目标密切相关。
2.2找准审计切入点,突出审计重点。选择审计项目时要选择重点投资项目、关系民生和社会关注的热点问题。突出审计重点,是选择对实现审计目标有重大影响的审计事项。编制审计实施方案时,要认真分析审前调查取得的资料,结合以往的审计成果,分析可能存在的问题和线索,确定审计重点。
2.3科学全面系统,明确审计步骤和方法。确定审计步骤和方法的原则是能够指导审计人员实施审计,具有可操作性,并且能够减少随意性,避免审计资源浪费。为确保审计工作质量,审计人员应根据审计实施情况,适时调整审计实施方案,进一步确定适用的审计步骤和方法。
2.4明确工作分工,落实审计责任。编制审计实施方案时,应当明确审计组长、主审及审计人员各自承担的责任,建立审计项目质量责任追究制度。同时,上级主管部门应定期检查审计项目档案,对查出的问题予以通报,进一步强化审计人员的责任意识。
3抓审计方法创新,推进公共财政审计一体化
随着社会经济的发展,社会对审计的需求增加,人们对审计的要求提高,广大审计工作者不得不认真总结经验、寻求科学的方法,努力提高审计质量以满足社会的需要。
3.1实行专项审计,做到“两个结合”。一是专项审计与财政预算执行相结合;二是专项审计与经济责任审计相结合。要将部门审计、预算执行审计和领导干部任期经济责任审计等有相地结合起来,统筹安排,上下联动,开展行业“一条龙”审计,既避免了多次进点,又节省了审计成本和时间。
3.2注重审计过程,做到“四个落实”。严格按照审计准则和规范开展工作,实行三级复核,认真把好审计程序关、法规应用关、资料取证关、报告质量关,对事实不清、证据不足、适用法规不当以及审计程序不到位等不符合要求的,坚决纠正,不留后患。在具体实施中做到’‘四个落实”,即领导责任落实、宣传工作落实、督办措施落实、审计结论落实。
3.3创新审计方式,实现“四个转变”。审计方式从真实合法型审计向绩效型审计转变;事后审计向事前事中审计转变;分散型向行业型转变;单纯的查账型向查账与调查相结合的转变。
3.4探索审计手段,坚持“四个结合”。一是对重点领域、重点单位采取同级审计与上级审计相结合的方法;二是账面审计与清点固定资产相结合;三是抽查业务档案与清理收费票据、银行账户、库存现金相结合;四是传统审计方式与计算机辅助审计相结合。
3.5推动审计成果转化,提升效益审计。审计人员要做到勤动脑、勤动手、勤动笔,发挥个人的主观能动性,充分利用审计资源,从宏观着眼,微观入手,注意发现带有普遍性、倾向性及深层次的问题,向政府各部门提出有价值的、切实可行的建议,形成高质量、高水准的审计“精品”。
4抓审计监督内容,揭示制度和管理层面上的问题
从审计实践看,当前开展对行政事业单位的审计监督,在监督内容上应更广泛、更深入、更注重从现象看本质,这就要求在监督内容上做到“五个必审”:
4.,对单位的“家底”情况必审。抓住财务活动的源头,摸清单位资产负债和“家底”。从而揭示行政事业单位财经管理制度落实不够严格,财产物资管理混乱的本质问题。
(一)审计任务繁重,工作量过大。当前,基层审计机关往往不但要完成本级的审计项目,还必须高效、全面完成上级交办的审计任务。交办的审计项目时间紧、任务重、涉及面广、要求严格。这就增加了基层审计机关的工作量,也影响了审计工作效率和质量。
(二)审计方案不科学,缺乏可操作性。有的审计人员在制定审计方案时,经常将旧有审计项目的审计方案修改后加以利用,没有充分考虑被审计单位的实际情况及其变化,使得审计方案缺乏可操作性和指导性。由于审计任务比较繁重,有些审计人员在项目已开始实施后,仅仅为了充实审计档案、完成审计程序才编制审计方案,这样就不能发挥审计方案的指导作用。
(三)计算机审计能力不足,工作效率不高。一些审计人员对计算机的掌握和应用仅仅局限在基本的操作上,AO系统应用能力不足,虽然近年来基层审计部门不断补充专业计算机人员,但存在综合能力的缺位,即会审计的人AO应用水平有限,懂AO的人员不会审计,制约了工作效率的提高。此外有些被审计单位任然采用手工记账的模式,导致计算机辅助审计缺乏开展基础。
二、提高基层审计工作效率的建议
(一)科学高效地开展审计工作
1.统筹兼顾,服务大局。基层审计机关在制定项目计划和部署工作时,要紧紧围绕经济社会发展大局和当地政府的工作中心、重大决策,找准审计工作与加快经济社会发展的结合点和切入点。同时结合本地实际情况,参照上级审计机关的审计任务,制定本机关的审计工作安排,确保审计任务的实际性和可操作性,切实地发挥好审计助力当地经济社会发展的作用。
2.注重调查,科学组织。一是要加大审前调查力度,了解被审计单位的管理现状以及管理模式,找出薄弱环节,寻找突破口。二是在制定审计方案时,要深入了解被审计单位的工作性质、工作内容、资金来源以及单位的组织结构等情况,据此制定出贴合审计实际、针对性和操作性强的审计方案。三是要严格按照审计方案实施审计工作。在审计实施过程中,要不时与审计方案进行对照,并且按照审计方案确定的目标、内容、重点、方法实施,确保审计工作高效保质保量的完成。
3.加强监督,形成合力。首先,在审计项目的安排上,加强与财政、物价等部门的沟通,避免重复监督、交叉检查。其次,在审计过程中,争取相关部门的支持与配合,形成监督合力,确保审计过程的合法、合规、高效运行。第三,在审计整改过程中,结合基层审计机关的自身特征,与纪检、组织、政法等部门积极建立互动与联动机制,依法落实审计决定和审计意见,分工负责、各司其职、分类督办,认真有效地抓好审计整改责任落实,形成审计整改监督合力,督促被审计单位各项整改工作及时到位。
(二)提升审计工作者的综合素质
审计工作的性质决定了审计工作者要有认真、负责、肯钻研的精神,同时要求审计工作者还要有很高的政治素质和业务素质。
1.加强学习,掌握新方法。当前审计工作任务越来越繁重、环境越来越复杂,新知识、新问题不断涌现。这就需要基层审计人员时刻保持学习的态度,在干中学、学中干,不断增强学习的适应性和效率性,掌握新的审计理念和方法,提升审计工作能力。
2.强化培训,练造新本领。基层审计机关要积极组织审计培训,以聘请专家进行指导等多种形式,着重从政治理论、业务知识等方面加强教育指导,促使审计人员的业务和知识“升级”,开阔审计人员的视野,加强审计人员职业荣誉感,提升审计工作能力。
1.1 开展风险导向审计
电力企业的内部审计是为企业价值增值服务的,业务包括预算管理审计、资产经营审计、经济责任审计、效益审计、资产投资审计和内部控制评价等等。由于目前供电企业普遍存在内审人员不足的情况,因此,要充分利用审计资源,不仅要做好基础的审计工作,同时还要做好风险导向审计,将内部审计资源主要放在对薄弱环节的控制,以及放在风险评估的高风险审计环节,提高审计工作质量。
1.2 充分利用原有的审计结果
内部审计是企业内部控制的一个重要环节,通过审计来评价企业内部控制情况和经营效果,因此,要求审计工作人员必须熟悉企业内部的主要业务流程和内部控制执行情况,这样才能制定针对供电企业现状的审计计划,同时,充分利用审计成果的运用,是提高审计效率的有效手段也是提升审计质量的有效途径。如供电企业原有的审计结果,尤其是上年度的内部审计结果,应作为开展审计工作的重要参考依据,根据以前的审计意见和结果,再结合当前供电企业的发展趋势不断完善业务和开展新项目审计,提高审计效率。
1.3 加强审计人员的素质培养
审计质量的好坏,与审计人员的综合素质密不可分。随着审计领域和技术的不断拓展,要求审计人员具备复合型知识和能力,这样才能在工作中防犯审计风险,合理使用职业判断对纷繁复杂的经济活动做出准确的判断,从而发现问题,解决问题,给出实事求是的结论。因此,应加强对审计人员的综合素质培养。一方面由企业对审计人员进行定期的培训,加强职业观、道德观等方面的教育,使内审人员具备良好的政治素质和职业操守;另一方面鼓励审计人员积极扩充自身的专业知识,审计人员不仅要熟练掌握财务会计知识,还要掌握工程管理、电力营销、信息技术等方面知识,不断提高自身的专业胜任能力。高素质的审计人员才能提高供电企业的内部审计质量。
2 内部审计方案的质量控制
2.1 做好审前调查
审前调查是保证内部审计质量的关键。审前调查是指在项目审计计划确定后,审计组采用一定的工作方式,了解被审计单位基本情况、人员编制情况、主要业务性质、经营规模与特点等情况、内部控制及其执行等情况,收集与审计项目相关的资料,包括相关的法律、法规、规章、银行账户、会计报表及其他有关资料,重要会议记录和有关文件,电子数据和以往接受审计的情况等等,以便确定审计重点和审计范围,为制订审计方案提供依据。同时,做好计算机辅助审计的准备工作,被审计单位的计算机系统是对相关业务工作的信息化管理,审计进点前审计人员要了解被审计对象的计算机系统和相应的业务流程,并进行数据采集、转换和分析,为审计进点做好准备。
2.2 制定切实有效的审计方案
审计方案是指为了能够顺利完成项目审计业务,达到预期审计目的,在审计项目实施前,经审计调查,对具体审计项目的组织、程序、时间及审计重点等做出的详细安排。编制审计方案时,应充分考虑审计项目的具体要求及目标、审计成本效益和可操作性,并对审计重要性、经营管理活动的风险程度进行适当的评估。审计方案的主要内容包括审计目标、审计范围、审计重点、审计风险提示、审计程序及审计方法,审计组成员、分工和职责、时间安排、工作要求等。
2.3 对审计方案进行论证并确定
对审计方案的论证主要是对已经制定的审计方案进行各项因素的论证,主要从可行性、切实性、有效性等几方面考虑,确定最终的审计方案。正常来说,对于一些小的企业的内部审计方案可以省去这个论证的环节,然而对于像供电企业这样规模较大的国有企业来说,审计方案的论证环节必须重视起来,主要由审计人员、审计专家等人员共同完成内部审计方案的论证,这样更能有效的降低供电企业的内部审计风险,提高内部审计的质量控制。
3 内部审计过程中的质量控制与管理
3.1 对审计方案的执行情况进行控制和管理
首先,开展审前培训,让审计组成员了解被审计单位可能存在的薄弱环节和风险,指导审计人员有针对性的查找被审计单位存在的问题;针对不同的审计项目,分别指出各项目的审计重点和方法,起到抛砖引玉的作用。其次,利用审计信息系统对审计过程进行控制。审计项目实施过程中,审计组成员将工作开展情况、实施审计的步骤和方式、查阅的资料、及审计人员的专业判断和查证结果、审计发现问题及证明资料等以审计日志、审计取证表的形式通过审计现场作业系统上传至审计管理信息系统,审计组长通过系统实时对审计日志、审计取证表进行审核和审批,从时效、质量方面对审计工作进行监控并及时部署和指导工作,从而提高了审计的工作质量和效率。三是建立审计工作底稿的分级复核制度,执行审计组主审、审计组组长和内部审计部门负责人的三级复核制度,明确规定复核的要求和责任,防范审计风险,提高审计质量。
3.2 对内部审计的报告进行质量控制
一是要保证审计报告是客观、完整、清晰、及时、具有建设性,并体现重要性原则。二是审计报告要及时编制,以便适时采取有效纠正措施。三是审计报告应对揭示被审计单位存在问题的同时,分析问题产生的原因,指出被审计单位管理中存在的薄弱环节和经营风险,提出切实可行的改进建议或审计意见。四是应加强审计报告的复核,保证审计工作底稿充分支持审计发现、审计结论和审计建议。五是审计报告的文字表述应简练、表述准确,通俗易懂,便于理解。
3.3 对审计的后续工作进行控制和管理
一是对审计发现问题开展后续跟踪检查。建立审计问题整改问责机制,明确对责任单位和个人的追究标准和方法,并将整改结果纳入个人绩效考核和应用到干部考察机制,确保整改落实到位,巩固审计成果。二是做好审计档案的管理。收集整理与审计项目有关材料,做好审计资料的归档工作,为日后的审计工作打下良好的基础。三是对审计质量进行评价。审计质量评价应包括审计方案的执行情况、目标的完成情况、与被审计单位的沟通、审计证据的质量、审计结果及审计小组的整体情况等。通过评价,总结值得借鉴的经验教训,促进审计工作质量的提高。
国内外一些公司和研究单位分别从信息内容本身安全角度展开研究,提出了一些网络信息安全的整体解决方案,严格规范建立了一些网络信息的安全机制,但总体上仍处于分散和新兴的阶段,并未产生一个被广为接受的技术方案。
2002年华东师范大学计算机应用研究所与上海市国家保密局签订项目合同,致力该方面研究,力求通过研究和实验解决以下问题:如何确保信息内容整个生命周期的安全,对信息内容进行全程跟踪以改善信息产品在网络中分发无序的现状;如何满足用户对信息内容保护中的不同保护粒度的需求;以及如何支持不同DRM系统之间的协作。同时,基于解决上述问题的技术策略实现信息全程跟踪及应用安全审计保护系统。
研究内容:
本项目提出了安全容器技术,颗粒技术,DRM系统协作服务架构:
(1)安全容器技术-既可以保证信息的存储和传输安全,又可以保证信息内容本身的应用审计安全,还可以对信息的分发路径进行全程跟踪,从而能保证网络中信息在其整个生命周期内的全面安全性。
(2)颗粒技术-细化受保护信息内容的粒度,灵活支持用户更细粒度的保护要求以及和保护要求的变更。从信息内容本身的安全性出发,以任意大小信息内容(可以为整个信息内容)为受保护对象,在确保被保护内容表示形式安全性的同时定义其上操作的安全策略,两者结合形成的独立受保护单元。
(3)DRM系统协作研究-提出通用的安全服务架构,该架构提供基础(用户管理、服务发现、身份认证等服务)、事务服务(翻译、转换、协调服务等)和安全服务(定义安全策略、跟踪、审计等服务),实际中各种应用(如电子商务、电子政务)可以根据需求直接利用这些服务、对现有服务进行调制得到所需服务或直接创建自己所需的服务。现有不同厂商推出的信息内容保护解决方案和各种DRM系统可依托该服务架构实现彼此间的协作。
查新结果:
由华东师范大学信息学院计算机应用研究所委托查新的信息全程跟踪及应用安全审计保护课题具有如下的特点:
1)项目提出了安全容器技术,颗粒技术以及支持不同DRM系统协作的安全服务架构。
2)其安全容器技术既可以保证信息的存储和传输安全,又可以保证信息内容本身的应用审计安全,还可以对信息的分发路径进行全程跟踪,从而保证信息在其生命周期内的安全性。
3)颗粒技术细化了受保护信息内容的粒度,灵活支持用户更细粒度的保护要求和保护要求的变更,从信息内容安全性出发,以任意大小信息内容为受保护对象,在确保被保护内容表示形式安全性的同时,定义其上操作的安全策略,两者结合形成的独立受保护单元。
4)DRM系统协作研究提出了
【关键词】 审计质量;审计环境; 对策
一、提高社会审计质量的意义
(一)审计质量是社会审计赖以生存和发展的基础
审计质量是审计人员按照一定的审计目的,对审计对象进行审查,从而实现准确评价审计目标的可能程度。审计质量越高,就越有可能接近对被审计单位财政、财务收支及其经济活动的真实性、合法性、效益性等审计目标评价的准确程度。这时,审计监督职能才能得以充分发挥。反之,审计质量越低,就越没有可能做到准确评价审计目标。这时,审计监督职能难以得到充分的发挥。因此,审计质量是社会审计赖以生存和发展的基础。
(二)审计质量是发挥社会审计监督作用的决定因素
审计监督的根本目的是为了维护国家财政经济秩序,推进依法行政,加强廉政建设,促进经济发展。审计不仅要查错纠弊,反腐倡廉,解决或促进解决一些职工群众关注的焦点、热点和难点问题,而且要从更深层次评估和分析国民经济运行的质量,提出意见或建议,服务于党政领导的宏观决策和管理。审计质量的高低,直接影响到审计监督作用的发挥水平。
(三)审计质量是衡量全部审计工作的最高标准
与实行审计监督的根本目的相适应,审计机关采取的一切举措、开展的全部工作,其最终落脚点就是为了切实履行审计监督职责,保证审计工作的质量,更好地发挥审计监督的职能作用。因此,衡量和评价内部审计各方面的工作尽管有不同的尺度和标准,如领导班子水平、干部思想和业务水平、机关管理水平等,但归根到底还是要看其审计质量是否符合审计规范和审计准则,是否达到审计目标的要求,是否充分发挥了审计监督作用。审计质量的高低因而也就成为评价和衡量全部审计工作的最终和最高的标准。
二、审计质量不高的原因及分析
审计质量就是指审计工作的规范程度和审计作用的发挥水平。目前,社会审计的质量是社会上各阶层人士都比较关心的热点问题,尤其是上市公司的社会审计质量,因为涉及各种投资者而更引人注目。尽管近年来我国审计质量有了明显提高,取得了一定成绩,但社会各界对审计质量客观性的质疑仍具有相当的普遍性。审计质量不高的原因是多方面的,主要表现在:
(一)审前准备工作不充分
对被审计单位的基本情况了解太少,尤其是对其所处的经济环境、业务流程、关联交易及其内控制度等未作审前调查,忽略了制定审计方案时的前置工作。如:在了解被审计单位基本情况后,未对所取得的资料进行初步分析性复核;在编制审计方案前,对重要性水平和审计风险未进行初步评估。审计方案过于简单,缺乏深入的调查研究,内容不详细,分工不合理,对审计工作缺乏指导作用。对审计的目的不明确,对审计后应该达到什么目的、取得什么效果没有十分明晰的思路要求。审计计划不够科学,审计目标不够明确,工作计划带有一定的盲目性、随意性,制定的审计方案脱离实际,操作指导性不强,审计重点不突出。
(二)审计责任感不强
一些审计人员的财会业务水平不高,对被审计单位财会人员利用会计手段作弊看不出、拿不准、识不破,必然会使其违法乱纪问题蒙混过关。另外,审计人员审计责任感不强,在审计中瞻前顾后,患得患失,淡化自己的职责,只求完成任务,不顾审计质量,加大了审计风险,降低了审计质量。
(三)对法律法规不熟悉
在实际工作中,审计人员对法律法规不熟悉的表现情形有:1.对与被审计单位相关的法律法规掌握不全面,知其一,不知其二。2.对相关的行业规章及其政策规定平时不注重收集和学习,待审计中碰到问题后,有的回避疑点,轻易绕过,有的临时抱佛脚,现学现用。
(四)审计方法不当,定性不够准确
审计取证、编制审计工作底稿缺乏严格规范,随意性比较大,运用不当或方法单一,抓不住审计重点,找不准问题隐藏的领域,泛泛而审,虽然下了功夫,费时又费力,但顾此失彼,审计做得不深、不透。审计综合分析不够透彻,审计意见缺乏针对性、可行性,审计报告的质量和水平不高。审计方法实施得不够彻底,真实性审计质量不高,重大问题没有查深、查透。审计决定落实不够到位,审计工作的有效性未能得到充分发挥。
三、提高审计质量的措施
(一)规范审计工作程序
规范的核心是研究4个方面的问题:1.审计方案;2.审计证据;3.审计底稿;4.审计报告。审计方案的核心是审计调查。目前审计方案除本身存在问题外,另一个主要问题是审计方案不符合实际,方案缺乏审计调查。要把审计调查作为制定审计方案的前提,任何一个审计项目都要先搞审计调查。审计底稿到底怎么写要好好研究,审计底稿是保证审计质量,防范审计风险的一个很关键的环节,也是防范道德风险的一个关键环节,这一点必须抓住,这是对历史的一种责任。
(二)改进审计方法
1.精心部署,周密安排审前准备工作。安排审计准备工作,要做到科学、合理,全面考虑,不能带有随意性。审计方案的内容要周全、详细,分工要明确、合理。审前培训工作要到位,要让审计人员全面了解审计目的、内容和相应的法律法规以及被审计单位的基本情况。2.坚持事前、事中和事后审计相结合。对那些领导极为关注、群众十分关心的重点资金、重点工程以及救灾等专项资金进行全过程监督,保证资金使用效率。在重大审计项目的组织形式上,要积极探索国家审计、社会审计、内部审计共同参与的审计方法。同时,要从实际出发,循序渐进,逐步探索效益审计新路子。3.审计与审计调查并重,审计查处问题和分析研究问题并重。运用审计调查手段,有利于提升审计水平,提高审计工作的质量,更好地发挥审计监督的作用。改变就审计论审计的惯性思维方法,要形成以理性分析为核心的审计工作新观念,把分析、研究贯穿到审计工作的全过程,把握总体情况,反映突出问题。
(三)加强审计管理
现代生产力发展到一定程度,管理与效益越来越重要,渗透到经济生活的各个领域和各个方面。所谓效益,简单地说,就是投入产出比。管理是为了提高效益。审计也要讲求审计效益。审计投入的是人力、财力,产出是维护经济秩序的正常运转和促进国家财政资金的有效使用。因此,审计管理十分重要,要通过加强审计管理来大力提高审计的效率和质量。近年来,各级审计机关在加强审计管理方面做了一些工作,管理水平有了一定的提高。但审计管理整体水平仍然比较低,这已经成为制约审计质量和水平的瓶颈。
(四)重视内控评价
企业内部控制制度包括控制环境、会计系统和控制程序3个要素。经过会计基础工作规范化的努力和新会计法的威慑作用,大多数企业都建立了较为完善的会计系统。因此,完善企业内部控制制度应重点改善控制环境和增强控制程序的执行。任何企业的控制都存在于一定的控制环境中,控制环境的好坏直接决定着企业其他控制能否实施或实施的效果。一个良好的控制环境应包括经营管理的观念、方法和风格;组织结构;董事会;授权和分配的方法;管理控制的方法;内部审计;人事政策和实务等。注册会计师应重视对被审计单位的内部控制制度的研究和评价,真正发挥制度基础审计的优越性,笔者建议应尽快建立内部控制制度评价准则。
(五)改善审计环境
1.尽快改变会计师事务所的组织形式。事务所采取有限责任公司的组织形式将注册会计师的责任与事务所的风险予以割裂,巨大利益的驱动无法与注册会计师的个人责任形成有机结合,加大了事务所的风险。为了提高事务所的抗风险能力,必须将注册会计师的无限责任纳入事务所的组织体制中。改善会计师事务所组织结构,鼓励会计师事务所扩大发展规模。保证审计质量重要的一点是要把审计责任与注册会计师联系起来,这就要建立一个能够保持会计师事务所与注册会计师之间以无限责任或连带责任为基础的利益约束机制,也就是建立以注册会计师为会计师事务所出资人的体制。把责任分解到注册会计师个人,提高注册会计师的独立性和风险意识,从而提高注册会计师提供高质量审计服务的压力和动力。
2.政府部门应为注册会计师及事务所执业创造良好的社会环境。不是注册会计师未能发现其虚假报表,而是当发现问题的注册会计师或事务所持有不同意见时就会遭到更换。其原因在于有关政府部门参与其中,甚至有些地方政府部门直接指导、支持或者默认了造假。因此,政府部门应为注册会计师及事务所执业创造良好的社会环境,以利于注册会计师及事务所抗风险能力的提高。在我国目前的法律框架下, 公司股东大会决定了注册会计师的聘任。注册会计师的作用是向投资者公开披露审计报告,作为沟通上市公司管理当局与投资者之间的桥梁,同时是约束公司管理当局行为的一种有效的监督机制。由于上市公司的股权集中、国有股东缺位问题,导致上市公司存在较为严重的内部人控制现象,股东大会往往流于形式。会计师事务所的聘任与解聘实际上是由公司内部管理层来决定的。这种不合理的公司治理结构致使会计师事务所不能代表所有投资者,特别是中小投资者的利益出具审计意见。在这种情况下,如果注册会计师说“不”,就可能被解聘。事务所为了保住市场份额,忽视质量。因此,审计质量的提高决不是单靠注册会计师行业自身就能解决的,一个健全、有效的公司治理结构能为注册会计师审计提供良好的执业环境。
3.加大注册会计师行业执法力度。加强法制建设、加大处罚力度是提高注册会计师及事务所抗风险能力的重要方面。要加强监督,依法从重处罚违法、违规行为,严惩做假。要加强对社会审计业务质量的监督检查,进一步规范社会审计行为,提高审计质量,防范审计风险。
(六)完善激励约束机制
目前,我国应主要通过提高审计服务的收费,激励会计师事务所付出与之收益对等的工作量与工作强度。同时,加大审计失败所应承担的责任,使提供低质量审计服务、出具虚假审计报告成为高风险、高代价的行为,从而引导注册会计师行业形成自觉提供高质量审计服务的良性循环格局。1.提高审计收费有利于会计师事务所的发展壮大和审计质量的提高。因此,国家应该考虑到审计业务要承担较大的风险和审计责任,贯彻高风险高报酬的原则,适当提高行业审计收费标准,规范最低收费标准,加强对审计收费具体执行情况的监督检查工作,禁止会计师事务所采用压价竞争的方法招揽和争抢业务,减少行业恶性竞争,使自立的注册会计师或事务所不至于在过低的审计收费的压力下,任意减少审计程序、节省审计成本而使审计质量受到损害。2.我国注册会计师审计质量之所以存在质量问题,关键就在于我国有关注册会计师法律责任过低以及在现实中没有得到有效的实施。目前,我国注册会计师法律责任主要有三种形式,即行政责任、民事责任和刑事责任,但是对注册会计师出具虚假审计报告的处罚原则是强调行政责任、刑事责任,忽略民事责任,这是与国际惯例不相符合的。我国应建立以民事责任为核心的注册会计师法律责任体系,确立“民事在先,行政、刑事为辅,三管齐下”的注册会计师承责原则。这样才能真正起到预期效果,促进社会审计质量的提高。
【主要参考文献】
第一条总结金审工程一期项目的建设管理实践,对审计署20*年*月制定的《金审工程项目管理办法》进行补充和完善,修订《金审工程项目管理办法》。
第二条本办法所称建设项目是指金审工程建设项目项下的单项建设项目。项目承担单位是指审计系统内部承担局部工程建设、应用系统和信息资源库建设、编制系统标准规范等的部门、单位及其工程(项目)组。
第三条建设项目内容范围包括:金审工程应用系统、网络系统、安全系统、信息资源建设、标准规范建设、工程管理建设、工程档案建设,以及系统服务体系建设等。建设项目管理范围包括:工程建设项目的立项、招标、实施和竣工验收等。
第四条建设项目的管理,执行国家基本建设和国家电子政务工程建设项目管理办法中关于项目建设程序、招标投标、项目实施、项目验收等方面的规定。
第二章项目立项和招标投标
第五条项目立项管理。项目立项依据国家发展改革委批准的金审工程建设项目可行性研究报告和初步设计方案确定的项目计划。根据审计信息化建设的实际情况,需要增加立项的建设项目,由有关部门向信息化建设办公室提出立项申请。
第六条立项申请报告包括建设项目的必要性、可行性、业务和功能需求、运行条件及投资等。新增项目经信息化建设办公室审查,建设规模较大、建设内容复杂的建设项目需征求金审工程专家咨询委员会的意见,报主管审计长同意后,列入项目计划。
第七条项目招标投标执行《中华人民共和国招投标法》、《中华人民共和国政府采购法》的规定,招标方式执行国家发展改革委批准的金审工程建设项目招标方案。
第八条信息化建设办公室负责组织招标投标工作。根据金审工程建设项目进展情况,提出项目招标计划,经招标工作组审查,报主管审计长同意后实施。
第九条各特派员办事处承担的建设项目,由各特派员办事处按照批准的项目建设方案和国家关于招标投标的规定,组织招标工作,签订项目合同,组织项目实施,负责项目自验收和后期运行维护等工作。
第十条应用软件和信息资源等建设项目的定制,采用邀请招标方式。项目需求报告经征求专家咨询委员会意见或组织评审后,由信息化建设办公室组织招标。鉴于金审工程应用软件大多采用原形法开发,为保持应用软件开发、完善和运行维护的连续性,应用软件的招标投标内容,可分为新建内容、完善内容和运行维护内容,一次招标、分期签订合同。
第十一条审计系统内部承担的应用软件和信息资源库的需求报告或定制,以及系统标准规范、人员培训及工程管理等建设项目,采取审计署下达任务书的方式。
第三章项目实施管理
第十二条建设项目管理实行项目负责制。各项目承担单位要建立责任制,明确项目负责人和具体责任人。信息化建设办公室负责定期组织检查各项目的建设进度、质量和投资情况,协调项目建设,组织建设项目验收。
第十三条审计署机关的局域网建设项目,由计算机技术中心负责,对建设项目的进度与质量,包括网络布线和机房建设、设备与安装、系统集成、系统试运行等,进行检查监督,并组织自验收。
第十四条各特派员办事处的局域网建设项目,由特派员办事处负责对建设项目的进度与质量,包括网络布线和机房建设、设备与安装、系统集成、系统试运行等进行检查监督,并组织自验收。
第十五条应用软件定制和完善的方式和程序。继续实行金审工程一期建设项目中采用的“甲方项目组与服务商捆绑,共同开发、完善应用软件”的合作方式。定制和完善应用软件应成立甲方项目组。署计算机技术中心作为金审工程各系统的技术支持和运行维护单位,在应用软件的定制和完善中,要指定项目责任人,以加入甲方项目组或牵头甲方项目组的方式提供技术支持,重点负责应用软件业务需求、定制和完善方面的技术支持和技术性验收。
第十六条应用软件定制和完善的程序。由甲方项目组和项目责任人提出应用软件项目定制和完善的需求任务书(附件1),经信息化建设办公室组织论证,作为招标项目的定制和完善依据。
第十七条甲方项目组和项目责任人按照批准的项目需求任务书,负责对中标人的设计、编程、系统测试和试运行,以及中标人的项目建设报告和项目完工报告等进行检查监督。
第十八条网络系统、安全系统等建设项目的实施管理,参照第十五至第十七条的规定执行。
第四章项目验收
第十九条项目验收。执行国家发展改革委关于《国家电子政务工程建设项目管理办法》关于建设项目单项验收的有关规定。
第二十条建设项目验收的基本要求是:必须完成项目需求任务书和项目合同规定的各项建设内容和要求,符合国家有关信息系统、系统安全与保密的各项规定,通过相关的测试程序和试运行,完成相关的培训工作,落实售后服务措施等。
第二十一条建设项目验收的档案资料应包括:项目建设内容完成情况、项目技术质量完成情况、项目投资完成情况、项目档案建设情况。
第二十二条应用软件和信息资源库建设项目的验收条件:完成建设项目的可行性研究报告或需求任务书确定的各项任务,各项功能实现设计方案要求,系统通过各项测试和试运行,并完成运行服务期规定的任务;各项技术指标符合国家有关规范标准和《软件开发指南》的规定;各类文档、资料,包括系统源程序、版权承诺书等完整、真实;合同执行情况良好。
第二十三条网络工程建设项目的验收条件:完成工程合同规定的建设内容,各项技术指标通过测试并符合要求;中标人应提供的各类文档、资料完整、真实;监理记录完整、真实;通过审计署招标的网络与安全系统集成商的验收;工程设施的设备、材料,账实相符,工程投资符合合同的要求等。
第二十四条设备采购项目的验收条件:完成采购合同规定的设备和供货期,各类设备的技术指标符合要求;完成设备安装并通过调试运行;中标人应提供的各类文档、资料完整、真实;通过审计署招标的网络与安全系统集成商的验收;各类设备账实相符,投资符合合同规定。
第二十五条安全建设项目的验收条件:完成合同规定的各项内容,安全系统方案和各项建设符合国家关于安全和信息系统的各项规定,系统通过测试和试运行并符合要求;中标人应提供的各类文档、资料完整、真实;通过审计署招标的网络与安全系统集成商的验收;通过国家和署有关安全与保密部门的验收;投资符合合同规定。
第二十六条系统集成项目的验收条件:完成系统集成合同规定的各项内容,编制的系统方案满足审计业务和管理需求;所集成的系统通过测试和试运行,各项工程技术、应用信息系统、安全与保密等指标符合国家有关规定;中标人应提供的各类文档、资料完整、真实;投资符合合同规定。
第二十七条其他项目的验收条件,参照第二十条至二十六条的相应规定。
第二十八条建设项目的验收,由信息化建设办公室和计算机技术中心组织专家咨询委员会有关专家、项目承担单位、项目中标单位、系统集成商等实施,必要时请国家相关部门参加。项目承担单位提出项目验收请示报告。验收工作形成项目验收结果报告,报主管审计长或领导小组审批。
第二十九条工程验收报告的内容,包括工程建设总体情况,网络系统、计算机系统、应用系统、信息资源系统、安全系统、人员培训情况,总投资和分项投资情况,各类资产清单,效益和风险分析等。报告所附资料包括第二十条至第二十七条中的相关资料,以及各项目验收报告。
第三十条项目验收报告的内容,包括建设项目确定的建设内容、规模、培训等完成情况,技术与标准符合性情况,投资完成情况,档案建设情况,以及效益和风险分析等。所附资料包括第二十条至第二十九条中的相关资料。
第三十一条金审工程建设项目或总体工程的初步验收,由审计署审计信息系统建设规划领导小组(以下简称领导小组)领导,信息化建设办公室、计算机技术中心具体负责,邀请国家主管部门和相关部门,组织审计系统相关部门,专家咨询委员会,主要中标单位等共同进行。信息化建设办公室负责提出初步验收请示报告,验收工作形成初步验收报告,报国家主管部门组织竣工验收。
第三十二条工程项目移交。建设期或总体工程验收合格,信息化建设办公室将工程建设的各类文档资料移交给负责工程运行维护部门。
第五章应用软件的推广与服务
第三十三条信息化建设办公室负责应用软件的推广部署工作。审计署通过《金审工程服务网站》和热线电话,向审计署派出机构和地方各级审计机关提供金审工程各系统的咨询服务,提供应用系统的建设信息、技术服务信息,并征集对应用软件使用的意见和建议。
第三十四条地方审计机关使用金审工程开发的应用软件,向信息化建设办公室提出申请(附件2)。申请原则上由省级审计机关统一提出,省级审计机关没有申请的,地市审计机关也可直接申请。
第三十五条《审计管理系统(地方版)》的部署审查。地方审计机关申请使用审计管理系统,软硬件配置条件具备的,由信息化建设办公室审查后,向应用软件服务商下达服务委托书。地方审计机关应与应用软件服务商签订部署服务合同。部署完毕,地方审计机关依据《审计管理系统地方版部署测试报告》(于《金审工程服务网站》)进行逐项测试合格后,签订《审计管理系统地方版部署验收报告》,进入运行服务期。
第三十六条《现场审计实施系统》的部署。审计机关申请使用现场审计实施系统,缴纳应用软件注册介质和邮寄费,信息化建设办公室审查后,邮寄应用软件(光盘)和注册介质。
第三十七条联网审计实施系统的部署。审计署正在组织研发对相关重要部门和行业实施联网审计的系统,应用软件成熟后,将逐步在《金审工程服务网站》提供信息。地方审计机关申请使用联网审计实施系统,参照第三十三至三十五条办法执行。
依法审计是审计工作的基本原则,加强审计法制工作是坚持依法审计的保证,是提高审计机关和审计人员法制意识、规范审计行为、提高审计质量和审计执法水平的重要基础工作,是提高审计质量的重要切入点。因而,工作中应把加强审计法制工作放在突出的位置,推进“人、法、技”建设,全面履行审计监督职责。
一、提高法制意识,强化审计法制基础建设
近年来,我国审计法制建设已经取得了很大成绩,依法审计,依法行政已成为大多数审计人员的行为规范,但仍有部分审计人员法制观念淡薄,注重审计专业知识,忽视法律知识。因而,要培养和提高审计人员的法制意识,强化法制基础建设。一是建立健全专职法制机构,配备专职法制人员,以落实审计法制工作,检查督促依法审计情况。要求法制人员业务素质高,知识全面,不仅要精通审计知识,而且要具有法律等方面的知识。二是加强审计法制制度建设,推进法制工作规范化、制度化、科学化,提高法制工作水平。建立健全法制机构职责、审计复核制度、审计质量岗位责任制、审计质量控制办法、审计执法追究制、审计执法检查等法制工作规范,使法制工作有章可循,有法可依,为促进法制工作健康发展,提供制度保证。
二、提高服务意识,强化审计法制监督
开展审计法制工作要与开展审计业务有机结合起来,树立审计法制工作服务审计整体,把法制工作的重点放在当前审计业务急需解决的问题上,找准位置,正确处理好监督与服务的关系,做到不缺位,不越位,不错位,使法制工作深入到每个业务机构,落实到每个审计环节。第一,坚持制约监督。法制机构是审计机关的内部监督机构,是审计质量的重要把关者,因而必须充分发挥监督职能,以高度的责任感、事业心,把住审计工作的这一生命线。对不依法审计,不执行审计准则、规范的行为,坚决要求整改,决不姑息迁就。第二,坚持“管、帮、促”,既要严格把关,履行职能,又要把监督过程变为再学习再提高的过程,使审计人员能及时认识问题,纠正问题,提高业务素质和执法水平。第三,树立服务意识。法制人员要充分发挥自身的优势,对审计常用的法律法规及时搜集整理,对新颁布的法律法规要及时学习研究,为审计业务人员提供法律咨询服务,使审计人员能随时找到所需法规,及时了解最新的精神,提高工作效率和审计质量。另外,法制人员要认真研究审计规范,并结合实际工作,制定各种审计文书格式,如审计方案、审计通知书、审计工作底稿、审计证据、审计报告、审计决定等,促进审计工作法制化、规范化。
三、坚持以贯彻落实《审计法》和审计准则为中心开展审计法制工作
目前,贯彻落实《审计法》和审计准则的工作还有不到位的地方,审计准则执行不及时、不平衡、不到位的现象比较突出,审计方案准则、审计工作底稿准则等一些主要准则还未得到认真执行,审计工作中查多查少取决于审计人员良心,查深查浅取决于审计人员的决心的现象还时有发生。因而开展审计法制工作,必须以落实《审计法》和审计准则为中心,特别应当抓好审计准则、审计规范的落实。贯彻落实审计准则,必须强化审计准则学习。要采取多种方式促进对准则的学习,要求审计人员要对照准则找差距,纠正以前的错误做法,使审计准则落实到行动上;要组织法制人员对准则进行研究,结合实际情况,把分散的各准则内容进一步形象化、系统化,便于审计人员掌握和实际运用。要把审计准则落实到具体审计业务中,切实提高审计执法水平和审计质量,必须建立审计内部制约机制。一是落实审计项目三级复核制度。要明确审计组、审计组所在部门、法制机构的复核分工,审计组主要侧重于审计证据、审计工作底稿的合规合法,保证审计项目查深审透;审计组所在部门侧重于对审计报告的审核,对审计报告中涉及的问题、事实的表述、定性和法律法规依据进行复核;法制机构则是对审计全过程进行复核,包括审计程序是否合法,审计方案是否得到全面执行,审计工作底稿的编制是否合规,审计证据是否相关、合法、充分,问题的定性、处理依据是否正确,审计评价是否恰当等,是三级复核中最全面、最重要的一环,对审计项目质量起着最后的监督保障作用。二是落实责任追究制度,提高审计人员的责任感,明确审计人员、审计组长、审计业务部门、法制机构的责任,实行执法过错责任追究。落实审计组长负责制,审计组长对项目业务质量全面负责,对不负责、弄虚作假的,要进行必要的处理处罚,审计组对审计质量承担最终责任;法制机构对复核意见负责,法制人员要切实履行好监督职能。三是实行审计质量检查制度。要定期或不定期地组织对审计项目进行质量检查,督促审计人员真正落实审计准则、审计规范,对审计质量差、落实审计准则不力的要进行整改,检查结果与对审计人员的考核挂钩。
当前,对审计质量的管理基本上不限于事后和表面,因而审计要开拓新的工作思路。(1)是突出审计监控的时效性,将复核关口前移,分两步进行审计复核。第一步复核安排在审计实施阶段基本结束,审计组尚未撤离现场,审计报告未征求意见前进行,主要对审计程序、审计方案的执行、审计工作底稿的编制和审计证据进行复核,并提供有关法律服务,这样发现问题能及时补充、完善;第二步复核安排在代拟审计决定书和意见书后,主要对整个审计项目的全过程进行复核,侧重于问题的定性、法规的引用等。(2)复核内容上,要突出对审计工作底稿的复核,实现审计复核由常规性向全面性的转变。审计工作底稿是审计全过程的记录,抓住审计工作底稿,就能很好地解决审计深浅和是否如实反映问题,且易于落实审计组长、业务机构负责人的责任。
各个企业组织都在不断提高对其客户、伙伴、厂商、供应商和员工的访问能力。由于这些企业组织的结构起初不是为了这种访问能力而建立的,由此需要增加一系列彼此独立的单点解决方案来解决出现的具体的身份和访问问题。然而,这些应用漏洞百出,其安全模式不兼容、身份管理不一致、审计机制各不相同――导致了效率低下、剽窃身份和非法访问的风险增加,不能满足管理一致性的要求。这样就会形成身份“存储库”和数不清的重复工作的例子,甚至在管理这些用户和身份上造成更加严峻的挑战。有效的安全管理始于身份识别和访问管理――作为IT管理员,这个实施过程远非是做两个简单的步骤,而是必须要了解并且控制“谁将干什么”,并且对访问者所进行的全部行为进行记录。
即将到来的身份危机?
用户身份是业务的核心所在。随着在线操作成为今天商业模式的标准,身份同时也成为了各个层面商业经营的关键资产。为了使用户从今天各种应用和服务中获益,各种类型的企业组织为个人分配身份标识来代表他们的权利和特权。个人利用这些身份标识作为他们的数字身份来扮演企业组织内的各个角色。这些身份标识可能随着交易的进行(从一桩生意到一桩生意或者从供应商到制造商)而变化。所有用户都要求有身份,包括员工、客户和商业伙伴。
经常出现多种并行管理身份的方法―即使是在一个公司内部。但是,在“存储库”中不能对身份进行安全、合算的管理。我们需要一个连贯、有效并且安全的方法来管理内部以及外部的身份。现在管理这一复杂环境中的身份和身份标识是企业组织得以生存的一项核心技能,它要求连贯、合算的管理,以及实现对所有与身份有关的活动进行端到端审计的访问权限的加强。
为了在保护公司资源的同时安全地管理端到端身份生命周期,企业组织必须在身份识别和访问管理中采取完整综合模块化的方法来完全管理他们的环境并且与他们的业务流程整合起来。这一方法必须考虑到企业组织已经投资建立的现有系统。在今天风险日增的世界中,我们需要聚集有关一个员工、一个客户和/或一个伙伴信息的工具。例如,没有有效地管理身份,就不可能满足大多数安全主管都会有的一个小小要求:“告诉我有关某个人(用户)的一切吧”,这包括了他们访问了什么系统、他们能做什么事情以及他们在这些系统上做了什么。
完整的IAM解决方案
身份识别和访问管理解决方案还需要支持企业组织的整体安全管理战略。身份识别和访问管理不可能在“存储库”中存在,相反其授权和保护功能要受到集成的安全管理工具的监视。比如,身份识别和访问管理在简化了用户访问加强的管理的同时,它还需要保留用户活动和违规访问的跟踪记录。需要将这些安全事件提交给企业组织集成的威胁控制台进行评估从而确定它们总体的安全重要性如何(比如,如果它是有关一次攻击)。
理想的身份识别和访问管理解决方案联合了用户服务、策略加强和端到端审计,帮助确保身份生命周期的各个方面得到安全有效的管理,包括对业务关键型资产进行访问的身份活动的影响。将各单点产品联合起来的费用相当昂贵,包括重叠的功能,这可能造成潜在的安全漏洞。一个综合的解决方案降低了成本、简化了部署和管理、兼容并且联系了多个身份目录,帮助确保对所有与身份和访问有关的活动进行连贯审计。
身份识别和访问管理解决方案中所需的关键特征有:基于角色和规则的用户服务(如员工、客户和伙伴);分布式平台、Web、Web服务和大型主机上基于角色的访问控制;以及管理、账号活动和访问权限的审计。整合的解决方案应当包括开放的接口,与现有基础架构进行集成;同时也不需要对现有应用或者系统进行变动。
整合与模块化
为了实现商业价值的最大化,身份识别和访问管理解决方案的功能组件应当是集成的,可与其他厂商或与定制开发的应用程序的组件能实现互操作。这使得企业组织能选择各种方式:从一个厂商手中购买全部整合的解决方案、从各个不同的厂商手中选择性购买组件组合在一起工作,或者阶段性购买完整的身份和访问管理解决方案的一部分。最理想的状况是所有解决方案能够共享通用的基础架构、数据存储和用户界面。
伸缩性 身份识别和访问管理解决方案必须具有可伸缩性。它必须能够支持任何数量的身份和实例,比如:能够保护任何数量的系统、文件、数据库或者Web服务,能够很轻松地完成全球实施。通用服务,比如报表或者审计必须在全球的层面上进行工作。
一致性 身份识别和访问管理应当通过提供不同环境和特定策略的一致性管理方法来减少复杂性,降低成本和风险。应当允许进行阶段性的部署,避免需要对企业所有系统的整个身份识别和访问管理解决方案进行同时部署。
综合性 身份识别和访问管理解决方案必须为企业内部和外部的环境提供完整综合的覆盖。它需要向企业组织内部和外部环境中任何系统、应用、资源或者服务提供用户服务的灵活性。它必须在随时随地都能够提供对任何资源所进行的安全访问。另外,它需要保护环境中的每项资源。它必须自动发现所有的身份、关联的角色和关联的资源。对所有活动都必须进行审计。
随需应变 身份识别和访问管理解决方案需要集成到按需计算环境中,当新系统上线时提供用户帐号并且在新系统资源上(比如:文件、数据库和目录)自动安装访问控制。按需身份识别和访问管理同时还会随着员工变动工作岗位调整其访问权限,以及在员工离开公司时取消该名员工的用户服务。
互操作性 企业所需要的身份识别和访问管理解决方案正是能够安全地促成业务在企业内部和外部克服传统障碍进行自由流动的解决方案。必须能够轻松地建立身份和与业务的联系并且它们的使用也必须能够轻松地得到监控。再者,必须确保对开放环境中的高价值资源进行保护。解决方案应当是基于标准的,从而能够将企业的集成能力最大化,保护企业对现有基础的投资。
身份识别和访问管理解决方案必须为企业内部和外部的环境提供完整综合的覆盖。它需要向企业组织内部和外部环境中任何系统、应用、资源或者服务提供用户服务的灵活性。在实践中,身份识别和访问管理应当成为实现安全管理各个方面综合方法的一个要素,包括威胁和脆弱性管理,而安全基础架构的有效性、质量和实力则受益于各个安全解决方案之间的相互协作和互操作性。
实现身份管理的关键
・ 数据格式――可扩展性标记语言(XML)是Web服务使用的数据标记语言。XML是标准化规则集,利用标记性标识系统向任何形式的数据中添加结构。
・ 消息结构――简单对象访问协议(SOAP)是Web服务消息的标准。在XML的基础上,SOAP定义了一个封装格式以及描述其内容的各种规则。
・ 信任管理――安全声明标记语言(SAML),一种XML标准,它描述了认证的属性和授权决定对象,能够跨多个Internet域在信任的伙伴或者信任的圈子中进行交换。
・ 用户服务――服务用户服务标记语言(SPML),是一种基于XML的框架,是专门为合作组织间交换用户、资源和服务用户服务信息而开发的。SPML允许业务部署并且使用Web服务,通过一种通用语言来实现对用户身份更加安全的管理,包括了对他们相关资源/Web服务跨信任边界的动态分配。
・ 目录服务――X.500是目录服务系统,它提供了“寻找”人和目标的全球服务。X.500标准定义了分级树结构的目录,其中国家作为目录的顶层,组织或者组织单位为树的分支。目录服务标记语言(DSML)是一种XML语言的应用,使得不同的计算机网络目录格式能够以通用格式进行表达并且能为不同的目录系统所共享。
・ 服务描述和发现――统一描述、发现和集成(UDDI),一种Web服务的目录模式。UDDI是维护Web服务标准化信息目录的规范,以普遍认可的格式来记录它们的能力、位置和要求。Web服务安全(WS-Security)基于SOAP的保证Web服务安全的规范。Web服务安全定义了可加在SOAP消息前的报头从而实现了完整性和私密性。它提供了三大安全特征消息完整性、用户认证和私密性。
