新的審計法
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇新的審計法范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
新的審計法范文第1篇
審計通知書送達的例外規定
修訂后的《審計法》第三十八條,在原有規定審計機關應當在實施審計三日前向被審計單位送達審計通知書的基礎上,增加規定了審計通知書送達的例外情形,即:“遇有特殊情況,經本級人民政府批準,審計機關可以直接持審計通知書實施審計”。
理解本條規定,應當注意把握以下三點:
第一,在正常情況下,審計機關應當在實施審計三日前向被審計單位送達審計通知書。直接持審計通知書實施審計,屬于特殊情況下的例外規定,不得隨意擴大范圍。
第二,修訂后的《審計法》對特殊情況的范圍沒有作出具體規定,有待于修訂《審計法實施條例》時進一步明確。我們認為,這里的特殊情況僅限于辦理一些緊急審計事項或突擊審計事項。根據《審計署關于貫徹落實修訂后審計法若干問題的意見》,在下列三種特殊情況下,審計機關可以直接持審計通知書實施審計:一是辦理交辦的緊急審計事項的;二是發現被審計單位涉嫌嚴重違法違規需要突擊審計的;三是其他不宜提前三日送達審計通知書的。
第三,遇有特殊情況需要直接持審計通知書實施審計的,審計機關必須嚴格按法定程序辦事,即應當事先獲得本級人民政府的批準,履行書面的審批手續。
提出審計組的審計報告
修訂后的《審計法》第四十條規定“審計組對審計事項實施審計后,應當向審計機關提出審計組的審計報告”,要求將審計組的審計報告“征求被審計對象的意見”,并強調“審計組應當將被審計對象的書面意見一并報送審計機關”。
本條這幾處修改的理由是:第一,將原《審計法》規定的“審計報告”改為“審計組的審計報告”,主要是為了與“審計機關的審計報告”相區別;第二,要求將被審計對象對審計組的審計報告的書面意見一并報送審計機關,是為了保障被審計對象的意見得到審計機關應有的重視,從而保證審計結論更加客觀與公正。
理解本條規定,應當注意把握以下三點:
第一,審計組的審計報告不同于審計機關的審計報告。根據修訂后的《審計法》,將審計報告分為兩個層次:審計組的審計報告和審計機關的審計報告。其中,審計組的審計報告是審計組對審計事項實施審計后,就審計結果提出的書面報告,雖然在要素和內容上與審計機關的審計報告基本一致,但反映的是審計組代表審計機關提出的初步審計意見。它是形成審計機關的審計報告的基礎。審計機關的審計報告,是審計機關按照審計署規定的程序對審計組的審計報告進行審議后,對被審計單位財政收支、財務收支的真實、合法、效益發表審計意見的書面文書,它是審計機關對外出具的審計法律文書,是審計結果的最終載體,反映的是審計機關的最終審計意見。因此,審計組的審計報告和審計機關的審計報告,二者在法律地位和法律效力等方面存在明顯差異。
第二,本條所指“被審計對象”,包括被審計單位和接受經濟責任審計的單位主要負責人。修訂后的《審計法》第二十五條明確規定,審計機關有權對國家機關和依法屬于審計機關審計監督對象的其他單位的主要負責人,在任職期間應負經濟責任的履行情況進行審計監督。為了保證審計評價意見的客觀與公正,保障接受經濟責任審計的單位主要負責人的陳述權和申辯權,審計組的審計報告除征求被審計單位的意見外,還應當征求接受經濟責任審計的單位主要負責人的意見。
第三,根據本條,結合審計署6號令和《審計署關于6號令貫徹執行中若干問題的意見》(審法發〔2005〕48號)的規定,審計組的審計報告的編審程序如下:
一是審計組對審計事項實施審計后,應當起草審計組的審計報告。審計組的審計報告落款為審計組,由審計組組長簽名。
二是審計組組長應當對審計組的審計報告進行審核,重點關注報告的要素是否齊全、內容是否客觀真實,是否真實、完整地反映了審計工作底稿記錄的重大問題。
三是審計組的審計報告經審計組組長審核后,審計機關應發出審計報告征求意見書,將審計組的審計報告送被審計對象征求意見。該審計報告封面上不予編號,并注明“征求意見稿”字樣。被審計對象對審計組的審計報告有異議的,應當在收到審計組的審計報告之日起十日內提出書面意見,并將其書面意見送交審計組。對于被審計對象的意見,審計組應當認真進行核實,并作出書面說明。值得注意的是,由于審計機關送交被審計單位征求意見的審計組的審計報告中包含有審計查出的被審計單位違反國家規定的財政收支、財務收支行為的事實、處罰建議以及相關的法律、法規、規章依據等內容,審計報告征求意見書又明確告知了被審計單位享有對審計組的審計報告提出意見的權利,因此,審計機關征求被審計單位意見環節實際履行了《行政處罰法》第三十一條規定的處罰告知程序,審計機關在對被審計單位作出審計處罰決定前不需要再另行發文告知。
四是在征求完被審計對象意見后,審計組應將審計組的審計報告、被審計對象的書面意見、審計組的書面說明以及其他有關材料,一并提交審計機關審議。
出具審計機關的審計報告和審計決定
修訂后的《審計法》第四十一條規定:“審計機關按照審計署規定的程序對審計組的審計報告進行審議,并對被審計對象對審計組的審計報告提出的意見一并研究后,提出審計機關的審計報告”,從而取消了“審計意見書”,將“審計機關的審計報告”確立為審計機關對外發表審計意見的審計法律文書。
本條修改的理由是:第一,為了與國際通行做法接軌,有必要將“審計意見書”改為“審計機關的審計報告”,作為對外發表審計意見、公告審計結果的載體,建立起我國的審計報告制度和審計結果公告制度。第二,規定審計機關要研究“被審計對象對審計組的審計報告提出的意見”,是為了進一步督促審計機關要重視被審計對象的意見,從而保證審計報告的質量。
理解本條規定,應當注意把握以下三點:
第一,自2006年6月1日起,各級審計機關均不再出具審計意見書,代之以審計機關的審計報告。
第二,審計機關應當按照審計署規定的程序對審計組的審計報告進行審議,出具審計機關的審計報告。根據本條,結合審計署6號令和其他有關規定,審計機關應當按照以下程序對審計組的審計報告進行審議:
一是審計組所在部門應當對審計組的審計報告及相關材料進行全面復核,對被審計對象對審計組的審計報告提出的書面意見進行認真研究,提出書面復核意見。
二是審計組所在部門應當在復核審計組的審計報告的基礎上,代擬審計機關的審計報告。對被審計單位違反國家規定的財政財務收支行為依法應當給予處理、處罰的,還應當代擬審計決定書;對審計發現的依法應當由其他有關部門糾正、處理、處罰或者追究有關責任人員行政責任、刑事責任的,還應當代擬審計移送處理書。此外,需要對被審計單位和有關責任人員作出較大數額罰款的處罰決定的,還應當代擬審計聽證告知書,履行《行政處罰法》第四十二條規定的聽證告知程序。
三是法制工作機構應對審計組所在部門代擬的審計機關的審計報告、審計決定書、審計移送處理書等進行復核,對被審計對象對審計組的審計報告提出的書面意見進行認真研究,出具復核意見書。
四是法制工作機構復核后,審計組所在部門應當將代擬的審計機關的審計報告、審計決定書、審計移送處理書、法制工作機構的復核意見書以及被審計對象對審計組的審計報告提出的書面意見,報送審計機關分管領導,由審計機關召開小型審計業務會議或者審計業務會議審定。會后,審計機關應指定專門部門根據審計業務會議決定,修改審計機關的審計報告、審計決定書和審計移送處理書。
新的審計法范文第2篇
美國生物學家諾曼?卡曾斯說,他和卡薩爾斯會面的日子,恰在卡薩爾斯九十大壽前不久。當時卡薩爾斯是那么衰老,加上嚴重的關節炎,穿衣服都需要人協助;呼吸費勁,看得出患有肺氣腫,起路顫顫巍巍的,頭不時地往前顫動;雙手有些腫脹,十根手指像鷹爪般地鉤曲著,實在是老態龍鐘。
就在吃早餐前,卡薩爾斯貼近鋼琴,那是他擅長的幾種樂器之一。他很吃力地才坐上鋼琴凳,顫抖地把那彎曲腫脹的手指抬到琴鍵上。
剎時,神奇的事發生了。卡薩爾斯突然像變了個人似的,透出飛揚的神采。他的手指緩緩地舒展地在琴鍵上移動,好像迎向陽光的樹枝嫩芽,他的背脊直挺挺的,呼吸也似乎順暢起來。當他彈奏起一首名曲時,是那么純熟靈巧、絲絲入扣,手指在琴鍵上像游魚一般輕快地滑逝。他整個身子像被聲樂融解,不再僵直佝僂,代之的是柔軟和優雅,不再為關節炎所苦。
在他演奏完畢離座而起時,跟他當初就座彈奏臺時全然不同。他站得更挺,走起路來也不再拖著地。他飛快地走向餐桌,大口地吃著,然后走出家門,漫步在海灘的清風中……
這個轉變真一個奇跡!這是信念創造的奇跡。
信念是一種指導原則和信仰,讓我們明了人生的意義和方向;信念是人人可以支取的力量源泉,且取之不盡;信念像一張早已安置好的濾網,過濾我們所看的世界;信念也像腦子的指揮中樞,指揮我們的腦子,照著我們所相信的去看待生活。
卡薩爾斯熱愛音樂藝術,那不僅曾使他的人生美麗高貴,并且每日帶給他神奇力量。就因為他相信音樂的力量,是信念讓他每日從一個疲憊的老人化為活潑的精靈。
信念對我們的身體健康有不同尋常的功能。
美國耶魯大學教授伯尼?西格爾博士以幾個多重人格異常的病例,證明了信念的異常功能。當那些患者認為自己是什么樣的人時,他的神經系統便會傳達一個不容置疑的指令,使他身體的生化機能作出極大的改變。例如身上的某些特征消失或出現某種新的特征,甚至因此而有了“新角色”所應有的糖尿病或高血壓等病癥。
信念有時候還可擺脫藥物對身體所造成的影響。一門關于研究人類身心互動關系的“心理神經免疫學”證實:信念對于治病的功效扮演著極其重要的角色,甚至比治療本身來得重要。
新的審計法范文第3篇
【關鍵詞】 中醫心理療法 心身疾病
心身疾病又稱心理生理障礙,是指一組與心理因素密切相關,但具有軀體癥狀和表現的一類疾病,并伴有肯定的病理生理和病理形態學的變化。[1]心身疾病在病因學上重視心理社會因素在疾病產生和變化中的作用,認為“即使是單純的生物理化因素引起的疾病在其發展過程中也有心身因素的參與”。[2]隨著社會環境的改變、疾病譜的改變以及對復雜疾病的深入研究,心身醫學和心身疾病的研究也越來越受到重視。
在中醫學理論體系中,對人的生理與心理相互依存、相互作用的認識;對生理因素和心理社會因素在疾病和健康中的作用,很早就有記載。中醫理論中的“形神合一”、“整體觀念”、“情志與五臟相關”等學說都蘊涵著豐富的心身醫學理論和思想,并體現在疾病的診治與預防等各方面,其科學性和有效性也得到公認。
心身疾病重視的是心理社會因素和生物如何共同作用導致疾病的發生和發展,在心身疾病的治療中強調的是“心”“身”同治。除了運用生物醫學的各種技術和方法祛除軀體不適外,合理的心理療法的使用也是治療過程中不可缺少的一個環節。而中醫學在其漫長的發展過程中,依據中醫學基礎理論創造和發展了多種具有中醫特色的心理療法,其實用性和有效性經過實踐檢驗后也得到了肯定。以下就簡要概述中醫心理治療常用的方法。
1 以情勝情療法
以情勝情療法是在中醫陰陽五行學說及情志相勝等理論指導下,醫生有意識地運用一種或多種情志刺激,以制約、消除患者的病態情志,從而治療由情志所引起的某些心身疾病的一種心理療法,常用的有怒勝喜、思勝恐、恐勝喜、喜勝悲、悲勝怒等。
以情勝情療法創自《內經》,依據中醫的五行相生相克的原理創造的一種心理療法。七情是人體對外界刺激的主觀體驗,是臟腑功能的具體表現。七情太過不僅是引起疾病的主要因素之一,而且還是治療許多疾病的有效方法。后代醫家在此基礎上發揮使用,積累大量的成功的中醫心理治療經驗。如宋金時代張子和在《儒門事親》中主張:“悲可制怒,以愴惻苦楚之言感之;喜可治悲,以謔浪褻狎之言娛之;恐可制喜,以迫遽死亡之言怖之;怒可治思,以侮辱期罔之言觸之;思可以治恐,以慮此忘彼之言奪之”。以情勝情療法一般以精神因素在疾病發生發展中占主要地位而身形病變不突出者為宜。同時要注意刺激的程度,即用作治療的情志刺激,要超過、壓倒致病的情志刺激,但又不能太過。總之,以情勝情療法是中醫治療學理論和實踐的一項創舉,是五行相生相克理論在中醫心理治療學的具體運用。
2 語言(勸說)開導療法
語言開導療法是針對患者的病情及其心理狀態、情感障礙等,采取語言交流方式進行疏導以消除其致病心因,糾正其不良情緒和情感活動等的一種心理治療方法。在醫療過程中,臨床醫生都在自覺不自覺的運用此法,故其應用范圍極廣,是中醫治療心身疾病的重要方法之一。《靈樞?賊風》云:“其祝而以著,其故何也?歧伯曰:先巫著,因知百病之勝,先知其病之所以生者,可祝而已也”,這就是我國古代的祝由療法。所謂祝由即祝說發病的原因,為患者實事求是地分析病因及發病機制,提出對患者有利的觀點,啟發患者自己自我分析,來解除或緩解其心理壓力、調整情緒,從而達到之治療的目的。該療法實際上也是以言語開導為主的一種心理療法,與現代的認知療法如出一轍。
3 順情從欲療法
順情從欲療法又叫順意療法,是指順從患者的意念、,滿足患者的心理需要,以釋卻患者心理病因的一種心理治療方法。主要運用于由情志意愿不隨所引起的心身疾病。《荀子》說:“凡人有所一同:饑而欲食,寒而欲暖,勞而欲息,好利而勿害,是人之所生而有也。”說明每個人的基本欲望是生而具有的。物質決定精神,對于這正當而必要的生活欲望不能得到滿足所導致的神情病變,僅有勸說開導、移情易性是難以解除患者的疾苦的。所以有“百姓人民,皆欲順其志也”(《靈樞?師傳》)之說。因此,“順情從欲”亦是心理治療的必要內容。當基本的生活的欲望得到滿足時,神志病變就有可能得到向愈。
4 移情易性療法
移情易性療法也就是轉移注意療法,是通過分散患者的注意力,或通過精神轉移,改變患者內心慮戀的指向性,從而排遣情思,改變心志,以治療由情志因素所引起的一種心理方法。《續名醫方案》曰:“失志不遂之病,非排遣性情不可”,“慮投其所好以移之,則病自愈。”《靈樞?雜病》曾有這樣的記載“噦,以草刺鼻,嚏、嚏而已,無息而疾引之,立已;大驚之,亦可以。”上面說的就是用大驚的方法來治療一般的呃逆不止,這也是一種轉移注意力的心理治療方法。心身疾病病理過程中,一些導致或影響疾病的境遇或情感因素,長成為患者心身功能相對穩定的刺激灶,他反復的作用于心身功能,使之日趨紊亂。對此,可借助移情易性轉移注意療法,有意識的轉移患者的病理性注意中心,以消除或減弱他的虐性刺激作用,從而達到治療疾病的作用。
5 暗示解惑療法
暗示解惑療法亦即意示療法,是指采用含蓄、間接的方式對患者的心理狀態產生影響,以誘導患者“無形中”接受醫生的治療性意見。或通過語言等方式剖析本質、真情以解除患者的疑惑,從而迅速達到治療由情志因素所引起的疾病的一種心理療法。暗示解惑療法主要是使用語言來示意或借物示意。語言暗示不僅包括詞句語言,還包括行為語言。借物暗示指借助于一定的藥物或物品暗示出現某些現象或事物,以解除患者心里癥結的方法。安慰劑的作用就屬于這一途徑。積極地暗示常可用于治療,即巧妙運用語言或借助于某物,暗示某些有關疾病的情況,使患者無意中加以了解,從而消除心因,樹立起戰勝疾病的信心,改善不良的情感狀態。
6 寧神靜志療法
寧神靜志療法就是要求人們通過靜坐、靜臥或靜立以及自我控制調解等,達到“內無思想之患,外不勞形于事”,拋卻一切恩怨慕戀,以一念代萬念。該法在醫療實踐中主要起兩種作用:一是強壯正氣,防病保健;二是增強抗病能力,祛病除疾。所謂“靜則深藏,躁則消亡”,一個人的神志保持安寧,就能少生疾病,健康長壽;即使患病,亦易治療,恢復健康也比較容易,這是神收藏于內的緣故。反之,躁動不安就易患病,并且得病也不易治愈。故《素問?上古天真論》說“無恚嗔之心……外不勞形于事,內無思想之患,以恬愉為務,以自得為功,形體不敝,精神不散,亦可以百數”,說的就是精神內守,靜志安神的心理療法在養生延年、防治疾病中的能動作用。寧神靜志、調攝精神的使用,還應注意應順應自然界四時氣候的變化。如“春三月應保持心情舒暢,勿使抑郁,以順生法之氣……”,進一步顯示出了“天人相應”的中醫心理治療的重要觀點。
7 修身養性療法
修身養性療法包括全德養性療法、情趣易性療法、交往活動療法等。《經籍纂詁》說:“性,生而然著也。”他主要是指與生俱來并隨生活變化形成的人之本性,包括氣質、性格特征等。他決定著人體的情感活動的傾向。不同個性之人,易于感受不同的社會心理刺激,表現出不同的心理障礙。唯善于養性之人,才能使情志剛柔相濟,陰陽平和,不至傷害心身。因此治療心身疾患,調暢情志固屬重要,它有助于克服不良情感
活動,糾正當時的心身狀態。但修身養性尤不可少。它可幫助改善患者的心身素質,預防或防止心身疾病的發生、發展,從根本上解決心身疾病的治療問題,故屬于求本之治。
8 情境療法
中醫整體觀念認為,人之疾患特別是心身疾病,與外界環境有著密切的聯系。因此,對于心身癥患者,單純著眼于調整其個人的心身功能是不夠的,還須適當的改變那些不利于心理障礙及心身疾病患者的康復環境。這一療法對于某些現在看來主要屬于社會適應不良所致病癥的患者來說,就顯得尤其重要。
9 中醫認知療法、放松療法、音樂療法
這幾種療法常用于恐懼癥的治療和緩解焦慮,大多醫家在實踐中使用多取得較好療效。
中醫治療心身疾病盡管在心理治療和軀體治療兩方面都有較成熟的理論和明確的療效,根據心身疾病的發病特點,但是心身并治采用心理治療和軀體治療并用往往可以取得更為滿意的療效。從古至今,中醫心理療法已積累了大量的臨床實踐經驗,用于心身疾病的康復,大有可為。并且中醫心理治療經驗豐富,歷史悠久,有許多療法與現在的心理疏導、認知療法、暗示催眠等如出一轍,值得進一步開發研究。
參考文獻
[1] 馬梁紅,唐柳云,駱貴秀,等.十五種心身疾病的心理社會因素調查分析[J].中國臨床心理學雜志,2002,10(4):266~269.
新的審計法范文第4篇
而其中一個最重要的方面,也是其他業務部門也正在遇到的問題,就是:企業日益發展的電算化環境下,無紙化數據和無紙化交易減少了數據的重復輸入、重復處理,也使會計處理程序化。同時,.網絡應用和企業全面信息化的實現改變了電算化初期那種單一的、獨立的業務處理模式,企業按照高效原則進行業務重組、業務處理流程重構。業務數據、財務數據、業務處理、財務處理集成在一起,使管理審計和財務審計相互融合,無形中擴大了審計范圍,提高了審計的難度和對審計人員專業知識的要求。
從另一方面來說,.電算化環境下企業的內部控制發生了很大變化。原有手工處理環境下的一些內部控制措施因失去了作用而被取消,有些內部控制措施被程序化后通過軟件程序的執行而發揮作用,同時針對信息系統的特點又增加了一些新的內部控制措施。由于內部控制技術(如密碼控制技術、防火墻技術等)不斷發展,如何了解,測試、評價信息系統的內部控制情況便成了審計的難題。
因此企業電算化所帶來的無論是職能方面,或者是工作環境方面的各種變革,都要求我們內部審計人員在工作上做出相應的變革以期同環境一同變化,一同成長,更加全面地、系統地、快速而準確地完成內審工作。
而在電算化環境下內部審計需要做好的幾項工作粗淺總結一下。我認為需要以下幾點:
其一:對單位的信息系統實施審計。
目前,絕大多數單位在內部審計時是繞過信息系統的。由于集成化系統中原始憑證大量減少、數據之間直接對應關系模糊、業務處理和財務處理高度集成,使得系統中存儲數據與輸出數據可能不—致。內部審計人員要想了解系統提供的數據的可信賴程度,必須對系統本身進行審計,這是內部審計不可能回避的。
要做到對財務系統本身進行審計,首先,內部審計人員要對本單位汁算機信息系統及其相關情況有所了解,包括:
1、系統的硬件信息和軟件信息。比如信息系統的結構、所使用主機的型號、內存容量、輸入及輸出設備、通訊設備、輔助存儲設備,所使用的操作系統、通信軟件、數據庫管理系統和應用系統等。
2、系統進行業務處理的具體情況。比如處理的過程、發生錯誤的多少等。
3、被審計系統的內部控制。如本年度設備的變更信息、維護信息、應用系統的復雜程度及重要的處理過程等—在了解信息系統的基礎上,內部審計人員根據重要性和復雜程度確定審計程序。實施審計時,符合性測試的重點應該是系統內部控制的設置和遵守情況、系統內定義的信息轉換規則。對于則務、業務集成化系統而言,單位發生的每項業務在業務系統中都會根據業務人員、財務人員事先定義的轉換規則自動生成會計記錄,進入財務系統。此時審核的重點不應是系統生成的大量重復的憑證,而是定義的信息轉換規則是否正確和有效、是否符合相關法規的要求、對這些規則的管理等是否有效。
其二:加強對內部控制的審計,做到一般控制審查和應用控制審查相結合。
在手工處理環境下,單位內部控制的重點就是人及其處理的業務。而電算化環境下,業務處理過程包括了手工處理、計算機系統處理、人與計算機進行交互處理這幾部分,單位內部控制的重點變成了人及其處理的業務、人機交互處理過程、計算機系統業務處理過程和不同系統之間信息的傳遞過程,內部控制的重點和環節發生了很大變化。只有對信息系統的內部控制實施審計,才能了解內部控制運行狀況并由此確定后續實質性測試的重點和審計程序;
電算化系統中,可以把控制劃分為一般控制和應用控制兩部分。一般控制是對系統中組織、開發、操作、管理等系統運行環境所進行的控制,通常以制定規章制度、網絡安全軟件和程序控制形式體現;應用控制是對信息系統的某一具體處理過程施加的控制,主要以程序的形式體現。審計時,應該在對系統—般控制做出評價的基礎上,通過讀原程序、模擬數據上機測試、上機處理實際業務、采用審計軟件等方式測試系統的安全性、控制程序的正確性和有效性。
其三:充分利用計算機輔助審計技術和上具。
電算化系統的安全性、業務處理的正確性、應用控制的有效性、系統的運行效率等只有通過上機測試才能檢驗。因此內部審計人員可以對手工填制的原始單據、簡單業務的處理、非程序控制制度和措施采用原來手工審計的有效方法,對于某些特定業務的處理過程、重要數據、復雜的處理過程及程序化的控制措施則應該充分利用計算機輔助審計技術和工具進行審計。
其四:關注業務系統與財務系統的數據轉換環節。
集成化系統中,業務系統與財務系統之間的數據傳遞可以實時進行,也可以分批完成,極易出現數據不一致,所以系統之間的數據轉換應該是審計的重點之一。另外,有些企業的電算化系統采用廠多家軟件廠商的產品,業務系統與財務系統之間的數據傳遞需要借助外存(如磁盤)或局域網上不同數據文件之間轉換等方式來完成,對這樣的系統一定要防止并及時發現轉換過程中的錯誤及弊端。
其五:.加強動態在線審計
電算化系統中,帳務處理是實時進行的。尤其是網絡化系統,在同一時間可能有多個用戶執行同一項功能、調用同一個數據文件,而系統只記錄下最終的結果。若審計時只對靜態系統進行審查,不進行有關運行程序、數據文件的聯機實時審計,有時就難以發現存在的問題。因此對于重要業務的處理、關鍵的處理程序、業務人員的上機操作記錄等應該加強動態審計。
網絡化系統一般本身都提供了一定的審計功能,一旦發現非法的或有超越網絡授權的操作行為,就會記錄入侵者的登錄用戶名、IP地址、登錄日期、時間等信息,并尋找到非法用戶曾經潛入系統內部的痕跡。利用大型數據庫管理系統開發的應用軟件也能對登錄系統的用戶及其使用系統的情況進行一定的監控,如哪些用戶使用了系統、進行了哪些操作、操作的次數、登錄及退出系統時間等。
其六:加強對所有與信息系統有關的部門及人員的監督管理。與信息系統相關的部門包括信息系統管理部門、維護部門和使用部門。相關人員包括網絡管理員、系統管理員、數據庫管理員、軟硬件維護人員、系統操作人員、檔案保管人員及機房保安人員等,對這些部門和人員進行安全意識教育及監督管理對于降低審計風險是至關重要的。
綜上所述,筆者認為,現代企業電算化環境下,內部審計需要不斷增強專業電算化人員配備,甚至是專業電腦技術人員的配備,也就是說,內部審計人員的素質至關重要,從前,只要對會計工作了如指掌就可以做一個稱職的審計人員,而隨著環境的不斷發展,內部審計人員被要求具備更多、更廣泛的知識種類,更深層次的學習、與自我提高。只有同時代一起進步的人才不會被時代所拋棄,才能更好地完成自己的工作,不負所托。
新的審計法范文第5篇
根據相關統計機構提供的數據,目前有60%以上的網絡人侵和破壞是來自網絡內部的,因為網絡內部的人員對于自己的網絡更加熟悉,而且有一定的授權,掌握一定的密碼,又位于防火墻的后端,進行入侵或破壞更加得心應手。一個內部人員不必掌握很多黑客技術就能夠對系統造成重大的損失。因此信息安全審計的功能越發受到重視。
對于一個信息系統而言,信息安全審計究竟要實現怎樣的功能,要實現到怎樣的程度,目前大多數的單位并未真正理解,不少單位對于信息安全審計的認識還停留在日志記錄的層次。一些信息安全測評認證標準可以為我們提供一定的借鑒。
1998年,國際標準化組織(ISO)和國際電工委員會(IEC)發表了《信息技術安全性評估通用準則2.0版》(IS0/IEC15408),簡稱CC準則或CC標準。CC準則是信息技術安全性通用評估準則,用來評估信息系統或者信息產品的安全性。在CC準則中,對網絡安全審計定義了一套完整的功能,如:安全審計自動響應、安全審計事件生成、安全審計分析、安全審計瀏覽、安全審計事件存儲、安全審計事件選擇等。
TCSEC(TrustedComputerSystemEvaluationCriteria)準則俗稱橙皮書,是美國國防部的一個準則,用于評估自動信息數據處理系統產品的安全措施的有效性。它定義了一些基本的安全需求,如:policy、accountability、assurance等。accountability提出了“安全審計”的基本要求,包括:審計信息必須被有選擇地保留和保護,與安全有關的活動能夠被追溯到負責方,系統應能夠選擇記錄與安全有關的信息,以便將審計的開銷降到最小,并可以進行有效的分析。
計算機信息系統安全保護等級劃分準則中,定義了五個級別:第一級:用戶自主保護級;第二級:系統審計保護級;第三級:安全標記保護級;第四級:結構化保護級;第五級:訪問驗證保護級。從第二個級別開始就需要基本的審計功能,越高的級別對于審計的要求也越高。第二級別的審計要求就包括:計算機信息系統可信計算基能創建和維護受保護客體的訪問審計跟蹤記錄,并能阻止非授權的用戶對它訪問或破壞。
具體來說,計算機信息系統可信計算基應能記錄下述事件:使用身份鑒別機制;將客體引人用戶地址空間(例如:打開文件、程序初始化);刪除客體;由操作員、系統管理員或系統安全管理員實施的動作,以及其他與系統安全有關的事件。對于每一事件,其審計記錄包括:事件的日期和時間、用戶、事件類型、事件是否成功。對于身份鑒別事件,審計記錄包含請求的來源(例如:終端標識符);對于客體引人用戶地址空間的事件及客體刪除事件,審計記錄包含客體名。對不能由計算機信息系統可信計算基獨立分辨的審計事件,審計機制提供審計記錄接口,可由授權主體調用。
從上面可以看出,很多的國際規范以及國內的安全規定中都將安全審計放在重要的位置,而安全審計并不像許多用戶所理解的只是“日志記錄”的功能。目前絕大部分的操作系統、網絡設備、網管系統都有不同程度的日志記錄功能,但是實際上這些日志并不能保障系統的安全,也無法滿足事件的偵察和取證應用。各類測評認證標準為我們實現完整的信息安全審計提供了指導,但是如何建設審計系統則需要在這些原則的指導下,具體問題具體分析,根據系統狀況、自身安全需求以及當前技術的支持程度來定制審計系統。
2重要領域信息系統面臨的安全挑戰
隨著信息技術的迅速發展,許多單位和部門對信息系統的依賴性日益嚴重,尤其是一些重要領域(如電子政務、金融、證券等)的信息系統,一旦出現問題將帶來巨大的損失。重要領域的信息系統將面臨來自外部或內部的各種攻擊,包括基于偵聽、截獲、竊取、破譯、業務流量分析、電磁信息提取等技術的被動攻擊和基于修改、偽造、破壞、冒充、病毒擴散等技術的主動攻擊。
信息系統面臨的安全威脅來自多個方面。首先,目前大部分信息系統選用的系統本身存在著安全隱患,如網絡硬件設備(服務器、網絡設備等)和操作平臺(操作系統、數據庫系統、通用軟件系統等)存在弱點和漏洞。應用軟件系統的脆弱性、應用系統的BUG、代碼錯誤、不安全代碼的執行模式、不安全設計、網絡的脆弱性、網絡協議的開放性(TCP/IP協議棧)、系統的相互依賴性都會導致網絡的安全風險。此外,安全設計本身的不完備性、網絡安全管理人員對系統漏洞的置若罔聞都會使攻擊行為得以成功。因此,信息系統的安全方案中要綜合考慮網絡系統的安全配置、正常運行、安全操作、應急響應、安全審計等問題。
3重要領域信息系統中的信息安全審計需求
在重要領域信息系統的眾多安全問題中,內部的安全違規問題尤其值得重視。內部人員違規一般有兩種形式:一種是內部人員的違規操作,造成的后果是影響系統的安全;另一種是有目的地竊取資源。
最近幾年網絡安全領域主要強調的是如何防范外部人侵,如怎么建網關、建防火墻、實現內外網的物理隔離等,但是堡壘最容易從內部攻破,信息最容易從內部丟失。解決內部人員違規的一個重要手段是對重要領域信息系統實行高強度的安全審計。所謂的強審計不是簡單的“日志記錄“,而是增強的、全方位、多層次、分布式的安全審計,覆蓋網絡系統、操作系統、各類應用系統(如\^1)、£-11^1、]\(^£3^(;11&1^、081^)等,對各種未授權或非法的活動實時報警、阻斷等。
安全強審計與一般的安全審計相比在以下幾個方面得到增強:信息收集能力;信息分析能力;適應性;防繞過特性;信息保護特性;審計深度和針對性;規范化、標準化和開放性。
在重要領域信息系統中,信息安全審計的重點如下:
(1)網絡通信系統
重要領域信息系統的普遍特點是網絡流量一般不是很高,但是網上傳輸的可能是機密或敏感的信息,因此除了需要具備一般企業內部網所需要的人侵檢測功能之外,還需要具備以下審計功能,以發現內部網絡上的違規行為:對網絡流量中典型協議分析、識別、判斷和記錄;對了61賊、1111?、£-11^1、1^?、網上聊天、文件共享操作的還原和記錄;對網絡流量進行監測以及對異常流量的識別和報警;對網絡設備運行進行持續的監測。
⑵重要服務器
重要領域信息系統中,重要服務器是信息的集中點,需要對其進行增強的審計,以保護信息資源,對以下事件的審計是最基礎的安全審計功能:服務器系統啟動、運行情況;管理員登錄、操作情況;系統配置更改(如注冊表、配置文件、用戶系統等);病毒或蠕蟲感染情況;資源消耗情況;硬盤、CPU、內存、網絡負載、進程等;操作系統安全日志;系統內部事件;對重要文件的訪問。
(3)應用平臺
僅僅對服務器系統層次的審計還是不夠的,因為目前大量重要領域信息系統的應用平臺在權限控制方面還有一定的缺陷,因此存在通過應用平臺進行違規操作的可能性,例如:直接操作數據庫的行為。因此,應用平臺層次的安全審計也是必須的,審計內容包括:重要應用平臺進程的運行;Web服務器、Mail服務器、Lotus、Exchange服務器、中間件系統;各個平臺的健康狀況;重要數據庫的操作;數據庫的進程;繞過應用軟件直接操作數據庫的違規訪問行為;數據庫配置的更改操作;數據備份操作和其他維護管理操作;對重要數據的訪問和更改操作。
(4)重要應用系統
由于不少重要領域信息系統中已經建立了一系列的應用業務系統,因此對于一般的操作人員來說,業務系統是最主要的人機界面,對于有高安全需求的重要領域信息系統來說,還需要加強應用系統層次的審計。如對于電子政務系統,針對以下應用系統的審計是最基本的:辦公自動化系統、公文流轉和操作、網站系統、相關政務業務系統。
⑶重要網絡區域的客戶機
在一般的信息系統中,對客戶機的審計通常不是必要的。但是對于一些安全級別較高的信息系統的重要網絡區域,針對客戶機的審計還是必要的,主要審計以下內容:病毒感染情況;通過網絡進行的文件共享操作;文件拷貝、打印操作;通過Modem擅自連接外網的情況;非業務異常軟件的安裝和運行。
重要領域信息系統中的安全審計系統建設的要點
在重要領域信息系統中,一個較為全面的審計系統需要關注以下幾點:
(1)數據的來源
審計系統如何獲取所需的數據通常是最關鍵的,數據一般來源于以下幾種方式:來自網絡數據截獲,如各類網絡監聽型的人侵檢測和審計系統;來自系統、網絡、防火墻、中間件等系統的日志(通常通過文件、syslog、SNMP、OPSE等機制獲取日志);通過嵌入模塊,主動收集系統內部事件;通過網絡主動訪問,獲取信息(如掃描,HTTP訪問等);來自應用系統、安全系統的審計接口。
在重要領域信息系統中的安全審計系統的建設中,尤其需要考慮強制獲取數據的機制,即:有數據源的,通過審計系統來獲取;無數據源的,要設法生成數據,進行審計。這也是強審計和一般的日志收集系統的區別之一。目前,各類wrapper技術是強制生成審計數據源的有效手段之一。
另外,在數據源方面,還需要關注所收集數據的性質,有些數據是已經經過分析和判斷的數據,有些數據是未分析的原始數據,不同的數據要采用不同的處理機制。此外在很多系統中可能需要根據實際情況定制數據轉化的功能。
(2)審計系統的分析機制
審計系統需具備評判異常、違規的能力,一個沒有分析機制的審計系統雖然理論上可以獲取和記錄所有的信息,但實際上在需要多層次審計的環境中是不能發揮作用的。審計系統的分析機制通常包括:實時分析,提供或獲取數據的設備/軟件應具備預分析能力,并能夠進行第一道篩選;事后分析,維護審計數據的機構對審計記錄的事后分析,事后分析通常包括統計分析和數據挖掘兩種技術。對于重要領域的信息系統來說,兩方面的分析機制都是需要的,一般情況下審計系統都應具備實時分析能力,如果條件允許,也應具備事后分析的能力。
⑶與原有系統的關系
通常一般企業構建安全審計系統時,僅僅采用一些入侵檢測系統就滿足需求了,與原有系統關系不大。但是在重要領域信息系統中,需要實現多層次多角度的安全強審計,因此審計系統必然和原有的系統有一定的關系。通常,審計系統與原有系統的關系包括:完全透明型,原有系統根本察覺不到審計系統的存在;松散嵌入型,基本上不改變原有系統;緊密嵌人型,需要原有系統的平臺層和部分應用做出較大改變;一體化設計,系統設計之初就考慮審計功能,所有模塊都有與審計系統的接口。
如何在實現審計的同時確保原有系統的正常運轉是審計系統構建的關鍵,要盡量做到最小修改和影響系統性能最小。
(4)如何保證審計功能不被繞過
有了安全審計的措施,必然會有各類繞過審計系統的手段。而在重要領域的信息系統中,審計系統如果被輕易繞過將導致嚴重的后果。所以在建設審計系統時,需要充分考慮審計系統的防繞特性。通常可以采用以下手段增強審計系統的防繞性:通過技術手段保證的強制審計,如網絡監聽和wrapper機制;通過不同審計數據的相互印證,發現繞過審計系統的行為;通過對審計記錄的一致性檢查,發現繞過審計系統的行為;采用相應的管理手段,從多角度保證審計措施的有力貫徹。
(5)對審計數據的有效利用
如果光建立一個審計系統,而缺乏對審計數據的深度利用將無法發揮審計系統的作用。可以考慮以下的措施:根據需求,進行二次開發,對審計數據進行深人的再分析,可以充分利用成熟的分析系統,實現關聯分析、異常點分析、宏觀決策支持等高層審計功能;對審計系統中安全事件建立相應的處理流程,并加強對事件處理的審計與評估;根據審計數據,對不同的安全部件建立有效的響應與聯動措施;針對審計記錄,有目的地進行應急處理以及預案和演習;建立相應的管理機制,實現技術和管理的有機結合。
