新的审计法
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇新的审计法范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
新的审计法范文第1篇
审计通知书送达的例外规定
修订后的《审计法》第三十八条,在原有规定审计机关应当在实施审计三日前向被审计单位送达审计通知书的基础上,增加规定了审计通知书送达的例外情形,即:“遇有特殊情况,经本级人民政府批准,审计机关可以直接持审计通知书实施审计”。
理解本条规定,应当注意把握以下三点:
第一,在正常情况下,审计机关应当在实施审计三日前向被审计单位送达审计通知书。直接持审计通知书实施审计,属于特殊情况下的例外规定,不得随意扩大范围。
第二,修订后的《审计法》对特殊情况的范围没有作出具体规定,有待于修订《审计法实施条例》时进一步明确。我们认为,这里的特殊情况仅限于办理一些紧急审计事项或突击审计事项。根据《审计署关于贯彻落实修订后审计法若干问题的意见》,在下列三种特殊情况下,审计机关可以直接持审计通知书实施审计:一是办理交办的紧急审计事项的;二是发现被审计单位涉嫌严重违法违规需要突击审计的;三是其他不宜提前三日送达审计通知书的。
第三,遇有特殊情况需要直接持审计通知书实施审计的,审计机关必须严格按法定程序办事,即应当事先获得本级人民政府的批准,履行书面的审批手续。
提出审计组的审计报告
修订后的《审计法》第四十条规定“审计组对审计事项实施审计后,应当向审计机关提出审计组的审计报告”,要求将审计组的审计报告“征求被审计对象的意见”,并强调“审计组应当将被审计对象的书面意见一并报送审计机关”。
本条这几处修改的理由是:第一,将原《审计法》规定的“审计报告”改为“审计组的审计报告”,主要是为了与“审计机关的审计报告”相区别;第二,要求将被审计对象对审计组的审计报告的书面意见一并报送审计机关,是为了保障被审计对象的意见得到审计机关应有的重视,从而保证审计结论更加客观与公正。
理解本条规定,应当注意把握以下三点:
第一,审计组的审计报告不同于审计机关的审计报告。根据修订后的《审计法》,将审计报告分为两个层次:审计组的审计报告和审计机关的审计报告。其中,审计组的审计报告是审计组对审计事项实施审计后,就审计结果提出的书面报告,虽然在要素和内容上与审计机关的审计报告基本一致,但反映的是审计组代表审计机关提出的初步审计意见。它是形成审计机关的审计报告的基础。审计机关的审计报告,是审计机关按照审计署规定的程序对审计组的审计报告进行审议后,对被审计单位财政收支、财务收支的真实、合法、效益发表审计意见的书面文书,它是审计机关对外出具的审计法律文书,是审计结果的最终载体,反映的是审计机关的最终审计意见。因此,审计组的审计报告和审计机关的审计报告,二者在法律地位和法律效力等方面存在明显差异。
第二,本条所指“被审计对象”,包括被审计单位和接受经济责任审计的单位主要负责人。修订后的《审计法》第二十五条明确规定,审计机关有权对国家机关和依法属于审计机关审计监督对象的其他单位的主要负责人,在任职期间应负经济责任的履行情况进行审计监督。为了保证审计评价意见的客观与公正,保障接受经济责任审计的单位主要负责人的陈述权和申辩权,审计组的审计报告除征求被审计单位的意见外,还应当征求接受经济责任审计的单位主要负责人的意见。
第三,根据本条,结合审计署6号令和《审计署关于6号令贯彻执行中若干问题的意见》(审法发〔2005〕48号)的规定,审计组的审计报告的编审程序如下:
一是审计组对审计事项实施审计后,应当起草审计组的审计报告。审计组的审计报告落款为审计组,由审计组组长签名。
二是审计组组长应当对审计组的审计报告进行审核,重点关注报告的要素是否齐全、内容是否客观真实,是否真实、完整地反映了审计工作底稿记录的重大问题。
三是审计组的审计报告经审计组组长审核后,审计机关应发出审计报告征求意见书,将审计组的审计报告送被审计对象征求意见。该审计报告封面上不予编号,并注明“征求意见稿”字样。被审计对象对审计组的审计报告有异议的,应当在收到审计组的审计报告之日起十日内提出书面意见,并将其书面意见送交审计组。对于被审计对象的意见,审计组应当认真进行核实,并作出书面说明。值得注意的是,由于审计机关送交被审计单位征求意见的审计组的审计报告中包含有审计查出的被审计单位违反国家规定的财政收支、财务收支行为的事实、处罚建议以及相关的法律、法规、规章依据等内容,审计报告征求意见书又明确告知了被审计单位享有对审计组的审计报告提出意见的权利,因此,审计机关征求被审计单位意见环节实际履行了《行政处罚法》第三十一条规定的处罚告知程序,审计机关在对被审计单位作出审计处罚决定前不需要再另行发文告知。
四是在征求完被审计对象意见后,审计组应将审计组的审计报告、被审计对象的书面意见、审计组的书面说明以及其他有关材料,一并提交审计机关审议。
出具审计机关的审计报告和审计决定
修订后的《审计法》第四十一条规定:“审计机关按照审计署规定的程序对审计组的审计报告进行审议,并对被审计对象对审计组的审计报告提出的意见一并研究后,提出审计机关的审计报告”,从而取消了“审计意见书”,将“审计机关的审计报告”确立为审计机关对外发表审计意见的审计法律文书。
本条修改的理由是:第一,为了与国际通行做法接轨,有必要将“审计意见书”改为“审计机关的审计报告”,作为对外发表审计意见、公告审计结果的载体,建立起我国的审计报告制度和审计结果公告制度。第二,规定审计机关要研究“被审计对象对审计组的审计报告提出的意见”,是为了进一步督促审计机关要重视被审计对象的意见,从而保证审计报告的质量。
理解本条规定,应当注意把握以下三点:
第一,自2006年6月1日起,各级审计机关均不再出具审计意见书,代之以审计机关的审计报告。
第二,审计机关应当按照审计署规定的程序对审计组的审计报告进行审议,出具审计机关的审计报告。根据本条,结合审计署6号令和其他有关规定,审计机关应当按照以下程序对审计组的审计报告进行审议:
一是审计组所在部门应当对审计组的审计报告及相关材料进行全面复核,对被审计对象对审计组的审计报告提出的书面意见进行认真研究,提出书面复核意见。
二是审计组所在部门应当在复核审计组的审计报告的基础上,代拟审计机关的审计报告。对被审计单位违反国家规定的财政财务收支行为依法应当给予处理、处罚的,还应当代拟审计决定书;对审计发现的依法应当由其他有关部门纠正、处理、处罚或者追究有关责任人员行政责任、刑事责任的,还应当代拟审计移送处理书。此外,需要对被审计单位和有关责任人员作出较大数额罚款的处罚决定的,还应当代拟审计听证告知书,履行《行政处罚法》第四十二条规定的听证告知程序。
三是法制工作机构应对审计组所在部门代拟的审计机关的审计报告、审计决定书、审计移送处理书等进行复核,对被审计对象对审计组的审计报告提出的书面意见进行认真研究,出具复核意见书。
四是法制工作机构复核后,审计组所在部门应当将代拟的审计机关的审计报告、审计决定书、审计移送处理书、法制工作机构的复核意见书以及被审计对象对审计组的审计报告提出的书面意见,报送审计机关分管领导,由审计机关召开小型审计业务会议或者审计业务会议审定。会后,审计机关应指定专门部门根据审计业务会议决定,修改审计机关的审计报告、审计决定书和审计移送处理书。
新的审计法范文第2篇
美国生物学家诺曼・卡曾斯说,他和卡萨尔斯会面的日子,恰在卡萨尔斯九十大寿前不久。当时卡萨尔斯是那么衰老,加上严重的关节炎,穿衣服都需要人协助;呼吸费劲,看得出患有肺气肿,起路颤颤巍巍的,头不时地往前颤动;双手有些肿胀,十根手指像鹰爪般地钩曲着,实在是老态龙钟。
就在吃早餐前,卡萨尔斯贴近钢琴,那是他擅长的几种乐器之一。他很吃力地才坐上钢琴凳,颤抖地把那弯曲肿胀的手指抬到琴键上。
刹时,神奇的事发生了。卡萨尔斯突然像变了个人似的,透出飞扬的神采。他的手指缓缓地舒展地在琴键上移动,好像迎向阳光的树枝嫩芽,他的背脊直挺挺的,呼吸也似乎顺畅起来。当他弹奏起一首名曲时,是那么纯熟灵巧、丝丝入扣,手指在琴键上像游鱼一般轻快地滑逝。他整个身子像被声乐融解,不再僵直佝偻,代之的是柔软和优雅,不再为关节炎所苦。
在他演奏完毕离座而起时,跟他当初就座弹奏台时全然不同。他站得更挺,走起路来也不再拖着地。他飞快地走向餐桌,大口地吃着,然后走出家门,漫步在海滩的清风中……
这个转变真一个奇迹!这是信念创造的奇迹。
信念是一种指导原则和信仰,让我们明了人生的意义和方向;信念是人人可以支取的力量源泉,且取之不尽;信念像一张早已安置好的滤网,过滤我们所看的世界;信念也像脑子的指挥中枢,指挥我们的脑子,照着我们所相信的去看待生活。
卡萨尔斯热爱音乐艺术,那不仅曾使他的人生美丽高贵,并且每日带给他神奇力量。就因为他相信音乐的力量,是信念让他每日从一个疲惫的老人化为活泼的精灵。
信念对我们的身体健康有不同寻常的功能。
美国耶鲁大学教授伯尼・西格尔博士以几个多重人格异常的病例,证明了信念的异常功能。当那些患者认为自己是什么样的人时,他的神经系统便会传达一个不容置疑的指令,使他身体的生化机能作出极大的改变。例如身上的某些特征消失或出现某种新的特征,甚至因此而有了“新角色”所应有的糖尿病或高血压等病症。
信念有时候还可摆脱药物对身体所造成的影响。一门关于研究人类身心互动关系的“心理神经免疫学”证实:信念对于治病的功效扮演着极其重要的角色,甚至比治疗本身来得重要。
新的审计法范文第3篇
【关键词】 中医心理疗法 心身疾病
心身疾病又称心理生理障碍,是指一组与心理因素密切相关,但具有躯体症状和表现的一类疾病,并伴有肯定的病理生理和病理形态学的变化。[1]心身疾病在病因学上重视心理社会因素在疾病产生和变化中的作用,认为“即使是单纯的生物理化因素引起的疾病在其发展过程中也有心身因素的参与”。[2]随着社会环境的改变、疾病谱的改变以及对复杂疾病的深入研究,心身医学和心身疾病的研究也越来越受到重视。
在中医学理论体系中,对人的生理与心理相互依存、相互作用的认识;对生理因素和心理社会因素在疾病和健康中的作用,很早就有记载。中医理论中的“形神合一”、“整体观念”、“情志与五脏相关”等学说都蕴涵着丰富的心身医学理论和思想,并体现在疾病的诊治与预防等各方面,其科学性和有效性也得到公认。
心身疾病重视的是心理社会因素和生物如何共同作用导致疾病的发生和发展,在心身疾病的治疗中强调的是“心”“身”同治。除了运用生物医学的各种技术和方法祛除躯体不适外,合理的心理疗法的使用也是治疗过程中不可缺少的一个环节。而中医学在其漫长的发展过程中,依据中医学基础理论创造和发展了多种具有中医特色的心理疗法,其实用性和有效性经过实践检验后也得到了肯定。以下就简要概述中医心理治疗常用的方法。
1 以情胜情疗法
以情胜情疗法是在中医阴阳五行学说及情志相胜等理论指导下,医生有意识地运用一种或多种情志刺激,以制约、消除患者的病态情志,从而治疗由情志所引起的某些心身疾病的一种心理疗法,常用的有怒胜喜、思胜恐、恐胜喜、喜胜悲、悲胜怒等。
以情胜情疗法创自《内经》,依据中医的五行相生相克的原理创造的一种心理疗法。七情是人体对外界刺激的主观体验,是脏腑功能的具体表现。七情太过不仅是引起疾病的主要因素之一,而且还是治疗许多疾病的有效方法。后代医家在此基础上发挥使用,积累大量的成功的中医心理治疗经验。如宋金时代张子和在《儒门事亲》中主张:“悲可制怒,以怆恻苦楚之言感之;喜可治悲,以谑浪亵狎之言娱之;恐可制喜,以迫遽死亡之言怖之;怒可治思,以侮辱期罔之言触之;思可以治恐,以虑此忘彼之言夺之”。以情胜情疗法一般以精神因素在疾病发生发展中占主要地位而身形病变不突出者为宜。同时要注意刺激的程度,即用作治疗的情志刺激,要超过、压倒致病的情志刺激,但又不能太过。总之,以情胜情疗法是中医治疗学理论和实践的一项创举,是五行相生相克理论在中医心理治疗学的具体运用。
2 语言(劝说)开导疗法
语言开导疗法是针对患者的病情及其心理状态、情感障碍等,采取语言交流方式进行疏导以消除其致病心因,纠正其不良情绪和情感活动等的一种心理治疗方法。在医疗过程中,临床医生都在自觉不自觉的运用此法,故其应用范围极广,是中医治疗心身疾病的重要方法之一。《灵枢?贼风》云:“其祝而以着,其故何也?歧伯曰:先巫着,因知百病之胜,先知其病之所以生者,可祝而已也”,这就是我国古代的祝由疗法。所谓祝由即祝说发病的原因,为患者实事求是地分析病因及发病机制,提出对患者有利的观点,启发患者自己自我分析,来解除或缓解其心理压力、调整情绪,从而达到之治疗的目的。该疗法实际上也是以言语开导为主的一种心理疗法,与现代的认知疗法如出一辙。
3 顺情从欲疗法
顺情从欲疗法又叫顺意疗法,是指顺从患者的意念、,满足患者的心理需要,以释却患者心理病因的一种心理治疗方法。主要运用于由情志意愿不随所引起的心身疾病。《荀子》说:“凡人有所一同:饥而欲食,寒而欲暖,劳而欲息,好利而勿害,是人之所生而有也。”说明每个人的基本欲望是生而具有的。物质决定精神,对于这正当而必要的生活欲望不能得到满足所导致的神情病变,仅有劝说开导、移情易性是难以解除患者的疾苦的。所以有“百姓人民,皆欲顺其志也”(《灵枢?师传》)之说。因此,“顺情从欲”亦是心理治疗的必要内容。当基本的生活的欲望得到满足时,神志病变就有可能得到向愈。
4 移情易性疗法
移情易性疗法也就是转移注意疗法,是通过分散患者的注意力,或通过精神转移,改变患者内心虑恋的指向性,从而排遣情思,改变心志,以治疗由情志因素所引起的一种心理方法。《续名医方案》曰:“失志不遂之病,非排遣性情不可”,“虑投其所好以移之,则病自愈。”《灵枢?杂病》曾有这样的记载“哕,以草刺鼻,嚏、嚏而已,无息而疾引之,立已;大惊之,亦可以。”上面说的就是用大惊的方法来治疗一般的呃逆不止,这也是一种转移注意力的心理治疗方法。心身疾病病理过程中,一些导致或影响疾病的境遇或情感因素,长成为患者心身功能相对稳定的刺激灶,他反复的作用于心身功能,使之日趋紊乱。对此,可借助移情易性转移注意疗法,有意识的转移患者的病理性注意中心,以消除或减弱他的虐性刺激作用,从而达到治疗疾病的作用。
5 暗示解惑疗法
暗示解惑疗法亦即意示疗法,是指采用含蓄、间接的方式对患者的心理状态产生影响,以诱导患者“无形中”接受医生的治疗性意见。或通过语言等方式剖析本质、真情以解除患者的疑惑,从而迅速达到治疗由情志因素所引起的疾病的一种心理疗法。暗示解惑疗法主要是使用语言来示意或借物示意。语言暗示不仅包括词句语言,还包括行为语言。借物暗示指借助于一定的药物或物品暗示出现某些现象或事物,以解除患者心里症结的方法。安慰剂的作用就属于这一途径。积极地暗示常可用于治疗,即巧妙运用语言或借助于某物,暗示某些有关疾病的情况,使患者无意中加以了解,从而消除心因,树立起战胜疾病的信心,改善不良的情感状态。
6 宁神静志疗法
宁神静志疗法就是要求人们通过静坐、静卧或静立以及自我控制调解等,达到“内无思想之患,外不劳形于事”,抛却一切恩怨慕恋,以一念代万念。该法在医疗实践中主要起两种作用:一是强壮正气,防病保健;二是增强抗病能力,祛病除疾。所谓“静则深藏,躁则消亡”,一个人的神志保持安宁,就能少生疾病,健康长寿;即使患病,亦易治疗,恢复健康也比较容易,这是神收藏于内的缘故。反之,躁动不安就易患病,并且得病也不易治愈。故《素问?上古天真论》说“无恚嗔之心……外不劳形于事,内无思想之患,以恬愉为务,以自得为功,形体不敝,精神不散,亦可以百数”,说的就是精神内守,静志安神的心理疗法在养生延年、防治疾病中的能动作用。宁神静志、调摄精神的使用,还应注意应顺应自然界四时气候的变化。如“春三月应保持心情舒畅,勿使抑郁,以顺生法之气……”,进一步显示出了“天人相应”的中医心理治疗的重要观点。
7 修身养性疗法
修身养性疗法包括全德养性疗法、情趣易性疗法、交往活动疗法等。《经籍纂诂》说:“性,生而然着也。”他主要是指与生俱来并随生活变化形成的人之本性,包括气质、性格特征等。他决定着人体的情感活动的倾向。不同个性之人,易于感受不同的社会心理刺激,表现出不同的心理障碍。唯善于养性之人,才能使情志刚柔相济,阴阳平和,不至伤害心身。因此治疗心身疾患,调畅情志固属重要,它有助于克服不良情感
活动,纠正当时的心身状态。但修身养性尤不可少。它可帮助改善患者的心身素质,预防或防止心身疾病的发生、发展,从根本上解决心身疾病的治疗问题,故属于求本之治。
8 情境疗法
中医整体观念认为,人之疾患特别是心身疾病,与外界环境有着密切的联系。因此,对于心身症患者,单纯着眼于调整其个人的心身功能是不够的,还须适当的改变那些不利于心理障碍及心身疾病患者的康复环境。这一疗法对于某些现在看来主要属于社会适应不良所致病症的患者来说,就显得尤其重要。
9 中医认知疗法、放松疗法、音乐疗法
这几种疗法常用于恐惧症的治疗和缓解焦虑,大多医家在实践中使用多取得较好疗效。
中医治疗心身疾病尽管在心理治疗和躯体治疗两方面都有较成熟的理论和明确的疗效,根据心身疾病的发病特点,但是心身并治采用心理治疗和躯体治疗并用往往可以取得更为满意的疗效。从古至今,中医心理疗法已积累了大量的临床实践经验,用于心身疾病的康复,大有可为。并且中医心理治疗经验丰富,历史悠久,有许多疗法与现在的心理疏导、认知疗法、暗示催眠等如出一辙,值得进一步开发研究。
参考文献
[1] 马梁红,唐柳云,骆贵秀,等.十五种心身疾病的心理社会因素调查分析[J].中国临床心理学杂志,2002,10(4):266~269.
新的审计法范文第4篇
而其中一个最重要的方面,也是其他业务部门也正在遇到的问题,就是:企业日益发展的电算化环境下,无纸化数据和无纸化交易减少了数据的重复输入、重复处理,也使会计处理程序化。同时,.网络应用和企业全面信息化的实现改变了电算化初期那种单一的、独立的业务处理模式,企业按照高效原则进行业务重组、业务处理流程重构。业务数据、财务数据、业务处理、财务处理集成在一起,使管理审计和财务审计相互融合,无形中扩大了审计范围,提高了审计的难度和对审计人员专业知识的要求。
从另一方面来说,.电算化环境下企业的内部控制发生了很大变化。原有手工处理环境下的一些内部控制措施因失去了作用而被取消,有些内部控制措施被程序化后通过软件程序的执行而发挥作用,同时针对信息系统的特点又增加了一些新的内部控制措施。由于内部控制技术(如密码控制技术、防火墙技术等)不断发展,如何了解,测试、评价信息系统的内部控制情况便成了审计的难题。
因此企业电算化所带来的无论是职能方面,或者是工作环境方面的各种变革,都要求我们内部审计人员在工作上做出相应的变革以期同环境一同变化,一同成长,更加全面地、系统地、快速而准确地完成内审工作。
而在电算化环境下内部审计需要做好的几项工作粗浅总结一下。我认为需要以下几点:
其一:对单位的信息系统实施审计。
目前,绝大多数单位在内部审计时是绕过信息系统的。由于集成化系统中原始凭证大量减少、数据之间直接对应关系模糊、业务处理和财务处理高度集成,使得系统中存储数据与输出数据可能不—致。内部审计人员要想了解系统提供的数据的可信赖程度,必须对系统本身进行审计,这是内部审计不可能回避的。
要做到对财务系统本身进行审计,首先,内部审计人员要对本单位汁算机信息系统及其相关情况有所了解,包括:
1、系统的硬件信息和软件信息。比如信息系统的结构、所使用主机的型号、内存容量、输入及输出设备、通讯设备、辅助存储设备,所使用的操作系统、通信软件、数据库管理系统和应用系统等。
2、系统进行业务处理的具体情况。比如处理的过程、发生错误的多少等。
3、被审计系统的内部控制。如本年度设备的变更信息、维护信息、应用系统的复杂程度及重要的处理过程等—在了解信息系统的基础上,内部审计人员根据重要性和复杂程度确定审计程序。实施审计时,符合性测试的重点应该是系统内部控制的设置和遵守情况、系统内定义的信息转换规则。对于则务、业务集成化系统而言,单位发生的每项业务在业务系统中都会根据业务人员、财务人员事先定义的转换规则自动生成会计记录,进入财务系统。此时审核的重点不应是系统生成的大量重复的凭证,而是定义的信息转换规则是否正确和有效、是否符合相关法规的要求、对这些规则的管理等是否有效。
其二:加强对内部控制的审计,做到一般控制审查和应用控制审查相结合。
在手工处理环境下,单位内部控制的重点就是人及其处理的业务。而电算化环境下,业务处理过程包括了手工处理、计算机系统处理、人与计算机进行交互处理这几部分,单位内部控制的重点变成了人及其处理的业务、人机交互处理过程、计算机系统业务处理过程和不同系统之间信息的传递过程,内部控制的重点和环节发生了很大变化。只有对信息系统的内部控制实施审计,才能了解内部控制运行状况并由此确定后续实质性测试的重点和审计程序;
电算化系统中,可以把控制划分为一般控制和应用控制两部分。一般控制是对系统中组织、开发、操作、管理等系统运行环境所进行的控制,通常以制定规章制度、网络安全软件和程序控制形式体现;应用控制是对信息系统的某一具体处理过程施加的控制,主要以程序的形式体现。审计时,应该在对系统—般控制做出评价的基础上,通过读原程序、模拟数据上机测试、上机处理实际业务、采用审计软件等方式测试系统的安全性、控制程序的正确性和有效性。
其三:充分利用计算机辅助审计技术和上具。
电算化系统的安全性、业务处理的正确性、应用控制的有效性、系统的运行效率等只有通过上机测试才能检验。因此内部审计人员可以对手工填制的原始单据、简单业务的处理、非程序控制制度和措施采用原来手工审计的有效方法,对于某些特定业务的处理过程、重要数据、复杂的处理过程及程序化的控制措施则应该充分利用计算机辅助审计技术和工具进行审计。
其四:关注业务系统与财务系统的数据转换环节。
集成化系统中,业务系统与财务系统之间的数据传递可以实时进行,也可以分批完成,极易出现数据不一致,所以系统之间的数据转换应该是审计的重点之一。另外,有些企业的电算化系统采用厂多家软件厂商的产品,业务系统与财务系统之间的数据传递需要借助外存(如磁盘)或局域网上不同数据文件之间转换等方式来完成,对这样的系统一定要防止并及时发现转换过程中的错误及弊端。
其五:.加强动态在线审计
电算化系统中,帐务处理是实时进行的。尤其是网络化系统,在同一时间可能有多个用户执行同一项功能、调用同一个数据文件,而系统只记录下最终的结果。若审计时只对静态系统进行审查,不进行有关运行程序、数据文件的联机实时审计,有时就难以发现存在的问题。因此对于重要业务的处理、关键的处理程序、业务人员的上机操作记录等应该加强动态审计。
网络化系统一般本身都提供了一定的审计功能,一旦发现非法的或有超越网络授权的操作行为,就会记录入侵者的登录用户名、IP地址、登录日期、时间等信息,并寻找到非法用户曾经潜入系统内部的痕迹。利用大型数据库管理系统开发的应用软件也能对登录系统的用户及其使用系统的情况进行一定的监控,如哪些用户使用了系统、进行了哪些操作、操作的次数、登录及退出系统时间等。
其六:加强对所有与信息系统有关的部门及人员的监督管理。与信息系统相关的部门包括信息系统管理部门、维护部门和使用部门。相关人员包括网络管理员、系统管理员、数据库管理员、软硬件维护人员、系统操作人员、档案保管人员及机房保安人员等,对这些部门和人员进行安全意识教育及监督管理对于降低审计风险是至关重要的。
综上所述,笔者认为,现代企业电算化环境下,内部审计需要不断增强专业电算化人员配备,甚至是专业电脑技术人员的配备,也就是说,内部审计人员的素质至关重要,从前,只要对会计工作了如指掌就可以做一个称职的审计人员,而随着环境的不断发展,内部审计人员被要求具备更多、更广泛的知识种类,更深层次的学习、与自我提高。只有同时代一起进步的人才不会被时代所抛弃,才能更好地完成自己的工作,不负所托。
新的审计法范文第5篇
根据相关统计机构提供的数据,目前有60%以上的网络人侵和破坏是来自网络内部的,因为网络内部的人员对于自己的网络更加熟悉,而且有一定的授权,掌握一定的密码,又位于防火墙的后端,进行入侵或破坏更加得心应手。一个内部人员不必掌握很多黑客技术就能够对系统造成重大的损失。因此信息安全审计的功能越发受到重视。
对于一个信息系统而言,信息安全审计究竟要实现怎样的功能,要实现到怎样的程度,目前大多数的单位并未真正理解,不少单位对于信息安全审计的认识还停留在日志记录的层次。一些信息安全测评认证标准可以为我们提供一定的借鉴。
1998年,国际标准化组织(ISO)和国际电工委员会(IEC)发表了《信息技术安全性评估通用准则2.0版》(IS0/IEC15408),简称CC准则或CC标准。CC准则是信息技术安全性通用评估准则,用来评估信息系统或者信息产品的安全性。在CC准则中,对网络安全审计定义了一套完整的功能,如:安全审计自动响应、安全审计事件生成、安全审计分析、安全审计浏览、安全审计事件存储、安全审计事件选择等。
TCSEC(TrustedComputerSystemEvaluationCriteria)准则俗称橙皮书,是美国国防部的一个准则,用于评估自动信息数据处理系统产品的安全措施的有效性。它定义了一些基本的安全需求,如:policy、accountability、assurance等。accountability提出了“安全审计”的基本要求,包括:审计信息必须被有选择地保留和保护,与安全有关的活动能够被追溯到负责方,系统应能够选择记录与安全有关的信息,以便将审计的开销降到最小,并可以进行有效的分析。
计算机信息系统安全保护等级划分准则中,定义了五个级别:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。从第二个级别开始就需要基本的审计功能,越高的级别对于审计的要求也越高。第二级别的审计要求就包括:计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录,并能阻止非授权的用户对它访问或破坏。
具体来说,计算机信息系统可信计算基应能记录下述事件:使用身份鉴别机制;将客体引人用户地址空间(例如:打开文件、程序初始化);删除客体;由操作员、系统管理员或系统安全管理员实施的动作,以及其他与系统安全有关的事件。对于每一事件,其审计记录包括:事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件,审计记录包含请求的来源(例如:终端标识符);对于客体引人用户地址空间的事件及客体删除事件,审计记录包含客体名。对不能由计算机信息系统可信计算基独立分辨的审计事件,审计机制提供审计记录接口,可由授权主体调用。
从上面可以看出,很多的国际规范以及国内的安全规定中都将安全审计放在重要的位置,而安全审计并不像许多用户所理解的只是“日志记录”的功能。目前绝大部分的操作系统、网络设备、网管系统都有不同程度的日志记录功能,但是实际上这些日志并不能保障系统的安全,也无法满足事件的侦察和取证应用。各类测评认证标准为我们实现完整的信息安全审计提供了指导,但是如何建设审计系统则需要在这些原则的指导下,具体问题具体分析,根据系统状况、自身安全需求以及当前技术的支持程度来定制审计系统。
2重要领域信息系统面临的安全挑战
随着信息技术的迅速发展,许多单位和部门对信息系统的依赖性日益严重,尤其是一些重要领域(如电子政务、金融、证券等)的信息系统,一旦出现问题将带来巨大的损失。重要领域的信息系统将面临来自外部或内部的各种攻击,包括基于侦听、截获、窃取、破译、业务流量分析、电磁信息提取等技术的被动攻击和基于修改、伪造、破坏、冒充、病毒扩散等技术的主动攻击。
信息系统面临的安全威胁来自多个方面。首先,目前大部分信息系统选用的系统本身存在着安全隐患,如网络硬件设备(服务器、网络设备等)和操作平台(操作系统、数据库系统、通用软件系统等)存在弱点和漏洞。应用软件系统的脆弱性、应用系统的BUG、代码错误、不安全代码的执行模式、不安全设计、网络的脆弱性、网络协议的开放性(TCP/IP协议栈)、系统的相互依赖性都会导致网络的安全风险。此外,安全设计本身的不完备性、网络安全管理人员对系统漏洞的置若罔闻都会使攻击行为得以成功。因此,信息系统的安全方案中要综合考虑网络系统的安全配置、正常运行、安全操作、应急响应、安全审计等问题。
3重要领域信息系统中的信息安全审计需求
在重要领域信息系统的众多安全问题中,内部的安全违规问题尤其值得重视。内部人员违规一般有两种形式:一种是内部人员的违规操作,造成的后果是影响系统的安全;另一种是有目的地窃取资源。
最近几年网络安全领域主要强调的是如何防范外部人侵,如怎么建网关、建防火墙、实现内外网的物理隔离等,但是堡垒最容易从内部攻破,信息最容易从内部丢失。解决内部人员违规的一个重要手段是对重要领域信息系统实行高强度的安全审计。所谓的强审计不是简单的“日志记录“,而是增强的、全方位、多层次、分布式的安全审计,覆盖网络系统、操作系统、各类应用系统(如\^1)、£-11^1、]\(^£3^(;11&1^、081^)等,对各种未授权或非法的活动实时报警、阻断等。
安全强审计与一般的安全审计相比在以下几个方面得到增强:信息收集能力;信息分析能力;适应性;防绕过特性;信息保护特性;审计深度和针对性;规范化、标准化和开放性。
在重要领域信息系统中,信息安全审计的重点如下:
(1)网络通信系统
重要领域信息系统的普遍特点是网络流量一般不是很高,但是网上传输的可能是机密或敏感的信息,因此除了需要具备一般企业内部网所需要的人侵检测功能之外,还需要具备以下审计功能,以发现内部网络上的违规行为:对网络流量中典型协议分析、识别、判断和记录;对了61賊、1111?、£-11^1、1^?、网上聊天、文件共享操作的还原和记录;对网络流量进行监测以及对异常流量的识别和报警;对网络设备运行进行持续的监测。
⑵重要服务器
重要领域信息系统中,重要服务器是信息的集中点,需要对其进行增强的审计,以保护信息资源,对以下事件的审计是最基础的安全审计功能:服务器系统启动、运行情况;管理员登录、操作情况;系统配置更改(如注册表、配置文件、用户系统等);病毒或蠕虫感染情况;资源消耗情况;硬盘、CPU、内存、网络负载、进程等;操作系统安全日志;系统内部事件;对重要文件的访问。
(3)应用平台
仅仅对服务器系统层次的审计还是不够的,因为目前大量重要领域信息系统的应用平台在权限控制方面还有一定的缺陷,因此存在通过应用平台进行违规操作的可能性,例如:直接操作数据库的行为。因此,应用平台层次的安全审计也是必须的,审计内容包括:重要应用平台进程的运行;Web服务器、Mail服务器、Lotus、Exchange服务器、中间件系统;各个平台的健康状况;重要数据库的操作;数据库的进程;绕过应用软件直接操作数据库的违规访问行为;数据库配置的更改操作;数据备份操作和其他维护管理操作;对重要数据的访问和更改操作。
(4)重要应用系统
由于不少重要领域信息系统中已经建立了一系列的应用业务系统,因此对于一般的操作人员来说,业务系统是最主要的人机界面,对于有高安全需求的重要领域信息系统来说,还需要加强应用系统层次的审计。如对于电子政务系统,针对以下应用系统的审计是最基本的:办公自动化系统、公文流转和操作、网站系统、相关政务业务系统。
⑶重要网络区域的客户机
在一般的信息系统中,对客户机的审计通常不是必要的。但是对于一些安全级别较高的信息系统的重要网络区域,针对客户机的审计还是必要的,主要审计以下内容:病毒感染情况;通过网络进行的文件共享操作;文件拷贝、打印操作;通过Modem擅自连接外网的情况;非业务异常软件的安装和运行。
重要领域信息系统中的安全审计系统建设的要点
在重要领域信息系统中,一个较为全面的审计系统需要关注以下几点:
(1)数据的来源
审计系统如何获取所需的数据通常是最关键的,数据一般来源于以下几种方式:来自网络数据截获,如各类网络监听型的人侵检测和审计系统;来自系统、网络、防火墙、中间件等系统的日志(通常通过文件、syslog、SNMP、OPSE等机制获取日志);通过嵌入模块,主动收集系统内部事件;通过网络主动访问,获取信息(如扫描,HTTP访问等);来自应用系统、安全系统的审计接口。
在重要领域信息系统中的安全审计系统的建设中,尤其需要考虑强制获取数据的机制,即:有数据源的,通过审计系统来获取;无数据源的,要设法生成数据,进行审计。这也是强审计和一般的日志收集系统的区别之一。目前,各类wrapper技术是强制生成审计数据源的有效手段之一。
另外,在数据源方面,还需要关注所收集数据的性质,有些数据是已经经过分析和判断的数据,有些数据是未分析的原始数据,不同的数据要采用不同的处理机制。此外在很多系统中可能需要根据实际情况定制数据转化的功能。
(2)审计系统的分析机制
审计系统需具备评判异常、违规的能力,一个没有分析机制的审计系统虽然理论上可以获取和记录所有的信息,但实际上在需要多层次审计的环境中是不能发挥作用的。审计系统的分析机制通常包括:实时分析,提供或获取数据的设备/软件应具备预分析能力,并能够进行第一道筛选;事后分析,维护审计数据的机构对审计记录的事后分析,事后分析通常包括统计分析和数据挖掘两种技术。对于重要领域的信息系统来说,两方面的分析机制都是需要的,一般情况下审计系统都应具备实时分析能力,如果条件允许,也应具备事后分析的能力。
⑶与原有系统的关系
通常一般企业构建安全审计系统时,仅仅采用一些入侵检测系统就满足需求了,与原有系统关系不大。但是在重要领域信息系统中,需要实现多层次多角度的安全强审计,因此审计系统必然和原有的系统有一定的关系。通常,审计系统与原有系统的关系包括:完全透明型,原有系统根本察觉不到审计系统的存在;松散嵌入型,基本上不改变原有系统;紧密嵌人型,需要原有系统的平台层和部分应用做出较大改变;一体化设计,系统设计之初就考虑审计功能,所有模块都有与审计系统的接口。
如何在实现审计的同时确保原有系统的正常运转是审计系统构建的关键,要尽量做到最小修改和影响系统性能最小。
(4)如何保证审计功能不被绕过
有了安全审计的措施,必然会有各类绕过审计系统的手段。而在重要领域的信息系统中,审计系统如果被轻易绕过将导致严重的后果。所以在建设审计系统时,需要充分考虑审计系统的防绕特性。通常可以采用以下手段增强审计系统的防绕性:通过技术手段保证的强制审计,如网络监听和wrapper机制;通过不同审计数据的相互印证,发现绕过审计系统的行为;通过对审计记录的一致性检查,发现绕过审计系统的行为;采用相应的管理手段,从多角度保证审计措施的有力贯彻。
(5)对审计数据的有效利用
如果光建立一个审计系统,而缺乏对审计数据的深度利用将无法发挥审计系统的作用。可以考虑以下的措施:根据需求,进行二次开发,对审计数据进行深人的再分析,可以充分利用成熟的分析系统,实现关联分析、异常点分析、宏观决策支持等高层审计功能;对审计系统中安全事件建立相应的处理流程,并加强对事件处理的审计与评估;根据审计数据,对不同的安全部件建立有效的响应与联动措施;针对审计记录,有目的地进行应急处理以及预案和演习;建立相应的管理机制,实现技术和管理的有机结合。
