信息系統(tǒng)審計(jì)報(bào)告模板

信息系統(tǒng)審計(jì)報(bào)告模板篇一：信息系統(tǒng)審計(jì) 信息系統(tǒng)審計(jì) 審計(jì)信息安全管理信息化進(jìn)程中存在操作軌跡不可見、操作流程缺失、數(shù) 據(jù)非法修改、生產(chǎn)系統(tǒng)故障、信息系統(tǒng)人為欺詐等各類風(fēng)險(xiǎn)。 隨著數(shù)據(jù)大集中的推迸，信息系統(tǒng)的安全、可靠、穩(wěn)定、有 效、可信顯得更加重要。而這些風(fēng)險(xiǎn)特別是人為因素造成 的風(fēng)險(xiǎn)存在于信息技術(shù)流程管理、技術(shù)安全管理、項(xiàng)目管 理和生產(chǎn)系統(tǒng)運(yùn)行管理過程中，因此，迫切需要對(duì)正在使用 或即將投產(chǎn)的信息系統(tǒng)的安全性、真實(shí)性、完整性、有效性 進(jìn)行鑒證，通過對(duì)信息系統(tǒng)的審計(jì)，保證信息系統(tǒng)的可信度， 以促進(jìn)保險(xiǎn)公司內(nèi)控體系的建設(shè)，并對(duì)信息化建設(shè)提供必要 的安全控制咨詢。一、信息系統(tǒng)審計(jì)的內(nèi)容1. 管理流程審計(jì)信息技術(shù)管理流程審計(jì)主要評(píng)估與公司發(fā)展戰(zhàn)略目標(biāo)相 一致的信息技術(shù)規(guī)劃，評(píng)估信息技術(shù)工作條例或工作程序， 評(píng)估信息技術(shù)部門的工作職責(zé)與工作分，評(píng)估信息系統(tǒng)取 得開發(fā)、購置、引進(jìn)的制度和流程，評(píng)估生產(chǎn)系統(tǒng)的運(yùn)行維護(hù)的制度和流程，評(píng)估項(xiàng)目管理、項(xiàng)目監(jiān)理的制度和流 程，評(píng)估信息系統(tǒng)的安全管理制度，評(píng)估開發(fā)、測(cè)試、生產(chǎn) 系統(tǒng)分崗制衡管理制度等。2. 技術(shù)平臺(tái)審計(jì)信息技術(shù)平臺(tái)審計(jì)主要評(píng)估信息技術(shù)基礎(chǔ)平臺(tái)的運(yùn)行與 安全管理，包括網(wǎng)絡(luò)運(yùn)行與安全管理如路由器、網(wǎng)絡(luò)設(shè)各、 防火墻、通信線路等、硬件運(yùn)行與安全管理如小型機(jī)、 服務(wù)器、前置機(jī)、打印機(jī)、掃描儀、存儲(chǔ)設(shè)各、PC、終端 等、操作系統(tǒng)及數(shù)據(jù)庫等運(yùn)行平臺(tái)的運(yùn)行與安全管理如 Unix、Windows、數(shù)據(jù)庫、中間件、應(yīng)用開發(fā) 具、應(yīng)用發(fā)布工具、版本管理工具、項(xiàng)目管理工具、防/殺 毒工具等。3. 信息系統(tǒng)項(xiàng)目審計(jì)信息系統(tǒng)項(xiàng)目審計(jì)主要評(píng)估信息系統(tǒng)項(xiàng)目管理與項(xiàng)目監(jiān) 理的有效性。項(xiàng)目管理審計(jì)主要評(píng)估項(xiàng)目啟動(dòng)、立項(xiàng)、需求分析、系統(tǒng) 設(shè)計(jì)、開發(fā)、測(cè)試、試點(diǎn)、驗(yàn)收、推廣過程的有效性，評(píng)價(jià) 系統(tǒng)開發(fā)生命周期中的每一個(gè)程序是否均被嚴(yán)格執(zhí)行，評(píng)價(jià) 系統(tǒng)遷移的方案與效果，評(píng)價(jià)各類項(xiàng)目文檔是否齊全。其目 的是控制項(xiàng)目進(jìn)展過程中的風(fēng)險(xiǎn)。項(xiàng)目監(jiān)理審計(jì)主要評(píng)估項(xiàng) 目監(jiān)理在信息系統(tǒng)建設(shè)過程中發(fā)揮的作用，評(píng)估項(xiàng)目監(jiān)理是 否有效保證了信息系統(tǒng)建設(shè)的質(zhì)量、進(jìn)度和成本符合項(xiàng)目立 項(xiàng)時(shí)的要求。評(píng)估項(xiàng)目管理與項(xiàng)目監(jiān)理間的責(zé)職是否清晰， 分是否明確。4. 生產(chǎn)系統(tǒng)審計(jì)信息系統(tǒng)的上線與投產(chǎn)，僅僅是信息化的開始，大量的 風(fēng)險(xiǎn)與問題將出現(xiàn)在信息系統(tǒng)的生產(chǎn)運(yùn)行與維護(hù)階段。保險(xiǎn) 公司內(nèi)部一般均建立了核心業(yè)務(wù)系統(tǒng)、人員營銷員等管 理系統(tǒng)、財(cái)務(wù)系統(tǒng)、精算系統(tǒng)、再保系統(tǒng)等生產(chǎn)系統(tǒng)，公司 的生產(chǎn)經(jīng)營活動(dòng)大多要通過生產(chǎn)系統(tǒng)進(jìn)行，生產(chǎn)系統(tǒng)審計(jì)便 顯得更為重要。生產(chǎn)系統(tǒng)的審計(jì)首先是信息系統(tǒng)與業(yè)務(wù)流程吻合審計(jì)， 主要評(píng)估實(shí)際業(yè)務(wù)操作流程與信息系統(tǒng)操作流程的吻合情 況，評(píng)估信息系統(tǒng)對(duì)需求的滿足度及信息系統(tǒng)操作流程與業(yè) 務(wù)操作流程的吻合度。以退保操作流程為例，退保的典型處 理方式是在信息系統(tǒng)中產(chǎn)生應(yīng)付信息，而財(cái)務(wù)支付遐?？詈?不再在系統(tǒng)中確認(rèn)已付款，這就導(dǎo)致系統(tǒng)信息與實(shí)際情況不 一致，致使流程與數(shù)據(jù)均不完整，流程被短路、數(shù)據(jù)被割裂， 最終導(dǎo)致數(shù)據(jù)可用性差，并留下安全隱患。其次是評(píng)估與信 息系統(tǒng)相關(guān)的風(fēng)險(xiǎn)。評(píng)估數(shù)據(jù)訪問授權(quán)、系統(tǒng)功能授權(quán)、業(yè) 務(wù)操作授權(quán)、業(yè)務(wù)審批決定授權(quán)是否有效，是否擁有防 止非法進(jìn)行數(shù)據(jù)修改的措施。評(píng)估或測(cè)試信息系統(tǒng)中的關(guān)鍵 控制點(diǎn)是否得到有效控制，如核賠中結(jié)案環(huán)節(jié)控制，需評(píng)估 結(jié)案前的賠案信息狀況，如資料是否完整，計(jì)算是否正確， 會(huì)簽、審批是否完成。同時(shí)需評(píng)估結(jié)案后的流程執(zhí)行是否完 整，如數(shù)據(jù)流是否與業(yè)務(wù)單證流一致。也可評(píng)估結(jié)案后對(duì)保 單承保如結(jié)案后要求限制承保、保全如結(jié)案后要求扣 還保單質(zhì)押借款、生存給付如結(jié)案后要求中止生存給付 或確保再給付幾年等的影響，測(cè)試該關(guān)鍵點(diǎn)對(duì)保單生命周 期各環(huán)節(jié)的影響是否合理與正確。二、信息系統(tǒng)審計(jì)流程信息系統(tǒng)審計(jì)的工作流程主要包括確定審計(jì)范圍、做好 審計(jì)準(zhǔn)各、進(jìn)行審計(jì)評(píng)估、出具審計(jì)報(bào)告、提供管理咨詢等 過程?？筛鶕?jù)審計(jì)目標(biāo)，確定審計(jì)范圍。例如，是進(jìn)行全面審 計(jì)還是專項(xiàng)審計(jì)；是進(jìn)行全公司審計(jì)還是部分分公司審計(jì)。 在此基礎(chǔ)上制定審計(jì)預(yù)案，審計(jì)預(yù)案中要確定審計(jì)依據(jù)、人 員分、審計(jì)工作程序、方法技巧、審計(jì)工作文檔模板與案 例、審計(jì)時(shí)間表，并注明需重點(diǎn)關(guān)注的地方，也可以將審計(jì) 預(yù)案制作成審計(jì)工作手冊(cè)，讓每一個(gè)審計(jì)人員得到同樣的信 息。進(jìn)行審計(jì)評(píng)估時(shí)，應(yīng)對(duì)照審計(jì)依據(jù)，了解被審計(jì)單位的 信息技術(shù)管理流程、技術(shù)基礎(chǔ)平臺(tái)、生產(chǎn)系統(tǒng)運(yùn)行環(huán)境與管 理制度，通過關(guān)鍵點(diǎn)測(cè)試等方式做出公正、合理的評(píng)估。完 成后還需出具詳細(xì)的審計(jì)報(bào)告，對(duì)被審計(jì)信息系統(tǒng)或?qū)ｍ?xiàng)被 審計(jì)對(duì)象進(jìn)行鑒證，并提出必要的管理建議書，也可主動(dòng)為 被審計(jì)單位提供管理咨詢，促進(jìn)或幫助被審計(jì)單位提高信息 系統(tǒng)管理水平。對(duì)于公司內(nèi)部審計(jì)，還有一個(gè)通過提供管理 咨詢幫助其提高管理水平的過程，如總公司對(duì)分公司的審 計(jì)，或公司內(nèi)部對(duì)信息系統(tǒng)的審計(jì)，更多的責(zé)任或義務(wù)是通 過內(nèi)部審計(jì)發(fā)現(xiàn)信息技術(shù)管理中的不足，提出改進(jìn)建議，并 督促或輔導(dǎo)職能部門改迸、完善。三、信息系統(tǒng)審計(jì)方法1.信息系統(tǒng)審計(jì)機(jī)構(gòu)保險(xiǎn)公司應(yīng)有專門的機(jī)構(gòu)負(fù)責(zé)信息系統(tǒng)審計(jì)工作，制定 信息系統(tǒng)審計(jì)管理制度和工作程序、設(shè)計(jì)審計(jì)方案、制作審 計(jì)計(jì)劃、開發(fā)審計(jì)評(píng)估、出具審計(jì)報(bào)告、提出改進(jìn)建議、提 供管理咨詢。2 .常規(guī)審計(jì)與專項(xiàng)審計(jì)信息系統(tǒng)審計(jì)也可分為常規(guī)審計(jì)和專項(xiàng)審計(jì)。常規(guī)審計(jì) 為例行的全面審計(jì)，如毎年一次對(duì)信息系統(tǒng)進(jìn)行全面的審 計(jì)，包括管理流程、技術(shù)平臺(tái)、項(xiàng)目開發(fā)和生產(chǎn)系統(tǒng)審計(jì)， 對(duì)信息系統(tǒng)做出全面的評(píng)估、鑒證，提出管理建議。專項(xiàng)審 計(jì)可以針對(duì)信息系統(tǒng)管理的某一方面進(jìn)行專門的審計(jì)，可以 視實(shí)際情況選擇進(jìn)行。如信息系統(tǒng)運(yùn)行安全的專項(xiàng)審計(jì)，可 以對(duì)公司在信息系統(tǒng)方面的安全管理措施、技術(shù)措施的實(shí)際 應(yīng)用情況進(jìn)行審計(jì)評(píng)估、鑒證，提出管理建 議。專項(xiàng)審計(jì)針對(duì)公司重點(diǎn)關(guān)心的專項(xiàng)問題，針對(duì)性強(qiáng)。 專項(xiàng)審計(jì)也可用于高級(jí)信息技術(shù)管理人員的離任審計(jì)。3.現(xiàn)場審計(jì)與非現(xiàn)場審計(jì)信息系統(tǒng)審計(jì)可在現(xiàn)場進(jìn)行，也可在非現(xiàn)場進(jìn)行?，F(xiàn)場 審計(jì)適用于需在現(xiàn)場訪談、觀察、測(cè)試、調(diào)查的情況。如對(duì) 信息系統(tǒng)操作流程與實(shí)際業(yè)務(wù)操作流程吻合度的審計(jì)，需在 現(xiàn)場觀察數(shù)據(jù)流與實(shí)物流的流轉(zhuǎn)情況。非現(xiàn)場審計(jì)主要借助 非現(xiàn)場審計(jì)系統(tǒng)進(jìn)行，通過計(jì)算機(jī)系統(tǒng)進(jìn)行審計(jì)。如對(duì)萬能 險(xiǎn)賬戶積數(shù)與賬戶余額的監(jiān)控，可以通過計(jì)算機(jī)系統(tǒng)進(jìn)行遠(yuǎn) 程隨機(jī)實(shí)時(shí)審計(jì)，也可要求被審計(jì)單位打印指定賬戶積數(shù)與 佘額后傳真至審計(jì)機(jī)構(gòu)進(jìn)行審計(jì)?，F(xiàn)場審計(jì)與非現(xiàn)場審計(jì)可 以發(fā)揮定期審計(jì)與隨機(jī)實(shí)時(shí)審計(jì)相結(jié)合的優(yōu)勢(shì)，使信息系統(tǒng) 審計(jì)制度化。4.外部審計(jì)、內(nèi)部審計(jì)與自查審計(jì)外部審計(jì)是指由公司外部獨(dú)立的專業(yè)審計(jì)機(jī)構(gòu)進(jìn)行的審 計(jì)，可對(duì)信息系統(tǒng)做出合理、公正的評(píng)價(jià)，可參照財(cái)務(wù)審計(jì)， 每年進(jìn)行一次。內(nèi)部審計(jì)主要由保險(xiǎn)公司內(nèi)部的審計(jì)機(jī)構(gòu)對(duì) 信息系統(tǒng)進(jìn)行審計(jì)，其目的在于幫助信息管理部門找差距， 并督促和輔導(dǎo)信息管理部門提高信息系統(tǒng)管理水平。自查審 計(jì)主要由各級(jí)信息技術(shù)管理部門對(duì)照信息技術(shù)管理標(biāo)準(zhǔn)自 查、自糾，進(jìn)行自我管理與自我完善。5. 通過審計(jì)系統(tǒng)進(jìn)行審計(jì)信息系統(tǒng)審計(jì)的常用方法有訪談、觀察、現(xiàn)場測(cè)試、調(diào) 閱文檔、調(diào)查信息系統(tǒng)相關(guān)角色等，也可以開發(fā)審計(jì)系統(tǒng)對(duì) 生產(chǎn)系統(tǒng)進(jìn)行審計(jì)。要實(shí)現(xiàn)通過審計(jì)系統(tǒng)對(duì)生產(chǎn)系統(tǒng)進(jìn)行審計(jì)，必須加強(qiáng)對(duì) 生產(chǎn)系統(tǒng)建設(shè)的事前和事中審計(jì)，在生產(chǎn)系統(tǒng)立項(xiàng)、建設(shè)時(shí)， 應(yīng)明確審計(jì)要求，審計(jì)人員應(yīng)參與生產(chǎn)系統(tǒng)的立項(xiàng)、需求分 祈、設(shè)計(jì)、驗(yàn)收等工作。在生產(chǎn)系統(tǒng)中，應(yīng)設(shè)置審計(jì)接口， 記錄審計(jì)軌跡，由計(jì)算機(jī)自動(dòng)記錄審計(jì)線索，對(duì)于修改與刪 除的操作，應(yīng)參照會(huì)計(jì)的紅字更正法，在生產(chǎn)系統(tǒng)中留下可 追溯的記錄。在對(duì)生產(chǎn)系統(tǒng)進(jìn)行驗(yàn)收的過程中，除評(píng)價(jià)系統(tǒng) 是否迗到了設(shè)計(jì)目標(biāo)、是否滿足需求外，還需強(qiáng)調(diào)生產(chǎn)系統(tǒng) 的可審計(jì)性。在開發(fā)生產(chǎn)系統(tǒng)的同時(shí)，也要開發(fā)相應(yīng)的審計(jì) 系統(tǒng)，使生產(chǎn)系統(tǒng)投產(chǎn)后就有相應(yīng)的審計(jì)系統(tǒng)投產(chǎn)運(yùn)行。開發(fā)相應(yīng)的審計(jì)系統(tǒng)，應(yīng)借鑒國際通用的審計(jì)軟件，形成 一套有保險(xiǎn)公司自身特色的通用審計(jì)系統(tǒng)，通過對(duì)數(shù)據(jù)的采 集、比對(duì)、分析，對(duì)關(guān)鍵審計(jì)點(diǎn)的跟蹤、監(jiān)控、反饋，保障 生產(chǎn)系統(tǒng)健康、安全地運(yùn)行。通過審計(jì)系統(tǒng)的應(yīng)用，匯集大 量的審計(jì)案例，分析其中的規(guī)律，強(qiáng)化已有的控制點(diǎn)，發(fā)現(xiàn) 或部署新的控制點(diǎn)。這樣，一方面進(jìn)一步改進(jìn)生產(chǎn)系統(tǒng)的運(yùn) 行狀況；另一方面進(jìn)一步完善審計(jì)系統(tǒng)自身功能，使生產(chǎn)系 統(tǒng)與審計(jì)系統(tǒng)的應(yīng)用水平共同提高。四、信息系統(tǒng)審計(jì)的目標(biāo)與任務(wù)信息系統(tǒng)審計(jì)的根本目標(biāo)是促進(jìn)信息系統(tǒng)安全、穩(wěn)定、 有效、持續(xù)運(yùn)行。通過對(duì)信息系統(tǒng)的安全性、穩(wěn)定性和有效 性進(jìn)行審計(jì)、咨詢，降低保險(xiǎn)公司面臨的信息系統(tǒng)風(fēng)險(xiǎn)，促 使保險(xiǎn)公司信息技術(shù)發(fā)展目標(biāo)與其總體經(jīng)營目標(biāo)、戰(zhàn)略相一 致。其任務(wù)是完成對(duì)信息系統(tǒng)的鑒證、促進(jìn)和咨詢。1. 鑒證信息系統(tǒng)審計(jì)的鑒證是指通過審計(jì)，合理地保證被審計(jì) 單位信息系統(tǒng)及其處理、產(chǎn)生的信息的真實(shí)性、完整性與有 效性，政策遵循的一貫性。在市場經(jīng)濟(jì)下，保險(xiǎn)公司的信息 資料對(duì)其生存、發(fā)展非常重要，是其重要的信息資產(chǎn)；同時(shí) 對(duì)利益相關(guān)者如監(jiān)管者、投資者、代理人或機(jī)構(gòu)、団體客戶、 個(gè)人客戶等也非常重要。信息系統(tǒng)審計(jì)以其獨(dú)立的身份，對(duì) 保險(xiǎn)公司的信息系統(tǒng)進(jìn)行審計(jì)，查出其中的各種錯(cuò)誤、舞弊、 風(fēng)險(xiǎn)、不足，有效地保證了被審計(jì)信息系統(tǒng)及其處理、產(chǎn)生 信息的真實(shí)性、完整性、有效性，是維護(hù)保險(xiǎn)公司正常生產(chǎn) 經(jīng)營不可或缺的重要手段。2. 促進(jìn)信息系統(tǒng)審計(jì)完成后需出具審計(jì)報(bào)告，以鑒證被審計(jì)信息系統(tǒng)的真實(shí)、完整、有效。這可增強(qiáng)人們對(duì)保險(xiǎn)公司信息 系統(tǒng)的信任度。誠信即價(jià)值，經(jīng)鑒證后的信息系統(tǒng)對(duì)信息的 使用者是有價(jià)值的，高可信的信息系統(tǒng)可以吸引更多的投資 者，這對(duì)積極爭取上市的保險(xiǎn)公司具有重要意義。信息系統(tǒng) 審計(jì)還可出具管理建議書，對(duì)信息系統(tǒng)中存在的錯(cuò)誤、舞弊、 風(fēng)險(xiǎn)、不足提出控制或改進(jìn)建議，以促進(jìn)被審計(jì)單位對(duì)信息 系統(tǒng)進(jìn)行全面審視，并針對(duì)上述問題設(shè)計(jì)解決方案并努力完 善。篇二：審計(jì)報(bào)告格式 審計(jì)報(bào)告格式 一、引言隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)信息的安全越來越引起世界各國 的重視，防病毒產(chǎn)品、防火墻、入侵檢測(cè)、漏洞掃描等安全 產(chǎn)品都得到了廣泛的應(yīng)用，但是這些信息安全產(chǎn)品都是為了 防御外部的入侵和竊取。隨著對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)和技術(shù)的發(fā) 展，發(fā)現(xiàn)由于內(nèi)部人員造成的泄密或入侵事件占了很大的比 例，所以防止內(nèi)部的非法違規(guī)行為應(yīng)該與抵御外部的入侵同 樣地受到重視，要做到這點(diǎn)就需要在網(wǎng)絡(luò)中實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資源 的使用進(jìn)行審計(jì)。在當(dāng)今的網(wǎng)絡(luò)中各種審計(jì)系統(tǒng)已經(jīng)有了初步的應(yīng)用，例 如：數(shù)據(jù)庫審計(jì)、應(yīng)用程序?qū)徲?jì)以及網(wǎng)絡(luò)信息審計(jì)等，但是， 隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，功能相對(duì)單一的審計(jì)產(chǎn)品有一定 的局限性，并且對(duì)審計(jì)信息的綜合分析和綜合管理能力遠(yuǎn)遠(yuǎn) 不夠。功能完整、管理統(tǒng)一，跨地區(qū)、跨網(wǎng)段、集中管理才 是綜合審計(jì)系統(tǒng)最終的發(fā)展目標(biāo)。本文對(duì)涉密信息系統(tǒng)中安全審計(jì)系統(tǒng)的概念、內(nèi)容、實(shí) 現(xiàn)原理、存在的問題、以及今后的發(fā)展方向做出了討論。二、什么是安全審計(jì)國內(nèi)通常對(duì)計(jì)算機(jī)信息安全的認(rèn)識(shí)是要保證計(jì)算機(jī)信 息系統(tǒng)中信息的機(jī)密性、完整性、可控性、可用性和不可否 認(rèn)性（抗抵賴），筒稱“五性”。安全審計(jì)是這“五性”的重 要保障之一，它對(duì)計(jì)算機(jī)信息系統(tǒng)中的所有網(wǎng)絡(luò)資源（包括 數(shù)據(jù)庫、主機(jī)、操作系統(tǒng)、安全設(shè)備等）進(jìn)行安全審計(jì)，記 錄所有發(fā)生的事件，提供給系統(tǒng)管理員作為系統(tǒng)維護(hù)以及安 全防范的依據(jù)。安全審計(jì)如同銀行的監(jiān)控系統(tǒng)，不論是什么 人進(jìn)出銀行，都進(jìn)行如實(shí)登記，并且每個(gè)人在銀行中的行動(dòng)， 乃至一個(gè)茶杯的挪動(dòng)都被如實(shí)的記錄，一旦有突發(fā)事件可以 快速的查閱進(jìn)出記錄和行為記錄，確定問題所在，以便采取 相應(yīng)的處理措施。近幾年，涉密系統(tǒng)規(guī)模不斷擴(kuò)大，系統(tǒng)中使用的設(shè)備也 逐漸增多，每種設(shè)備都帶有自己的審計(jì)模塊，另外還有專門 針對(duì)某一種網(wǎng)絡(luò)應(yīng)用設(shè)計(jì)的審計(jì)系統(tǒng)，如：操作系統(tǒng)的審計(jì)、數(shù)據(jù)庫審計(jì)系統(tǒng)、網(wǎng)絡(luò)安全審計(jì)系統(tǒng)、應(yīng)用程序?qū)徲?jì)系統(tǒng)等， 但是都無法做到對(duì)計(jì)算機(jī)信息系統(tǒng)全面的安全審計(jì)，另外審 計(jì)數(shù)據(jù)格式不統(tǒng)一、審計(jì)分析規(guī)則無法統(tǒng)一定制也給系統(tǒng)的 全面綜合審計(jì)造成了一定的困難。如果在當(dāng)前的系統(tǒng)條件下 希望全面掌握信息系統(tǒng)的運(yùn)行情況，就需要對(duì)每種設(shè)備的審 計(jì)模塊熟練操作，并且結(jié)合多種專用審計(jì)產(chǎn)品才能夠做到。為了能夠方便地對(duì)整個(gè)計(jì)算機(jī)信息系統(tǒng)進(jìn)行審計(jì)，就需 要設(shè)計(jì)綜合的安全審計(jì)系統(tǒng)。它的目標(biāo)是通過數(shù)據(jù)挖掘和數(shù) 據(jù)倉庫等技術(shù)，實(shí)現(xiàn)在不同網(wǎng)絡(luò)環(huán)境中對(duì)網(wǎng)絡(luò)設(shè)備、終端、 數(shù)據(jù)資源等進(jìn)行監(jiān)控和管理，在必要時(shí)通過多種途徑向管理口 tA貝發(fā)出警告或自動(dòng)采取排錯(cuò)措施，并且能夠?qū)v史審計(jì)數(shù)據(jù)進(jìn) 行分析、處理和追蹤。主要作用有以下幾個(gè)方面：1. 對(duì)潛在的攻擊者起到震懾和警告的作用；2. 對(duì)于已經(jīng)發(fā)生的系統(tǒng)破壞行為提供有效的追究證據(jù);3. 為系統(tǒng)管理員提供有價(jià)值的系統(tǒng)使用日志，從而幫 助系統(tǒng)管理員及時(shí)發(fā)現(xiàn)系統(tǒng)入侵行為或潛在的系統(tǒng)漏洞；4. 為系統(tǒng)管理員提供系統(tǒng)的統(tǒng)計(jì)日志，使系統(tǒng)管理員 能夠發(fā)現(xiàn)系統(tǒng)性能上的不足或需要改進(jìn)和加強(qiáng)的地方。三、涉密信息系統(tǒng)安全審計(jì)包括的內(nèi)容 中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例中定義的計(jì)算機(jī)信息系統(tǒng)，是指由計(jì)算機(jī)及其相關(guān)的和配套的設(shè) 各、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信 息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。 涉密計(jì)算機(jī)信息系統(tǒng)（以下簡稱“涉密信息系統(tǒng)”）在計(jì)算 機(jī)信息系統(tǒng)保密管理暫行規(guī)定中定義為：采集、存儲(chǔ)、處 理、傳遞、輸出國家秘密信息的計(jì)算機(jī)信息系統(tǒng)。所以針對(duì) 涉密信息系統(tǒng)的安全審計(jì)的內(nèi)容就應(yīng)該針對(duì)涉密信息系統(tǒng) 的每一個(gè)方面，應(yīng)該對(duì)計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè) 施(含網(wǎng)絡(luò)），以及對(duì)信息的采集、加工、存儲(chǔ)、傳輸和檢索 等方面進(jìn)行審計(jì)。具體來說，應(yīng)該對(duì)一個(gè)涉密信息系統(tǒng)中的以下內(nèi)容進(jìn)行 安全審計(jì)：被審計(jì)資源安全審計(jì)內(nèi)容網(wǎng)絡(luò)通信系統(tǒng)網(wǎng)絡(luò)流量中典型協(xié)議分析、識(shí)別、判斷和 記錄，Telnet、HTTP、Email、FTP、網(wǎng)上聊天、文件共享等 的檢測(cè)，流量監(jiān)測(cè)以及對(duì)異常流量的識(shí)別和報(bào)警、網(wǎng)絡(luò)設(shè)備 運(yùn)行的監(jiān)測(cè)等。重要服務(wù)器主機(jī)操作系統(tǒng)系統(tǒng)啟動(dòng)、運(yùn)行情況，管理員 登錄、操作情況，系統(tǒng)配置更改（如注冊(cè)表、配置文件、用 戶系統(tǒng)等）以及病毒或蠕蟲感染、資源消耗情況的審計(jì)，硬 盤、CPU、內(nèi)存、網(wǎng)絡(luò)負(fù)載、進(jìn)程、操作系統(tǒng)安全日志、系統(tǒng)內(nèi)部事件、對(duì)重要文件的訪問等。重要服務(wù)器主機(jī)應(yīng)用平臺(tái)軟件重要應(yīng)用平臺(tái)進(jìn)程的運(yùn) 丁、 Web server、 Mail server、 Lotus、 Exchange server、中間件系統(tǒng)、健康狀況(響應(yīng)時(shí)間等）等。重要數(shù)據(jù)庫操作數(shù)據(jù)庫進(jìn)程運(yùn)轉(zhuǎn)情況、繞過應(yīng)用軟件直接 操作數(shù)據(jù)庫的違規(guī)訪問行為、對(duì)數(shù)據(jù)庫配置的更改、數(shù)據(jù)備 份操作和其他維護(hù)管理操作、對(duì)重要數(shù)據(jù)的訪問和更改、數(shù) 據(jù)完整性等的審計(jì)。重要應(yīng)用系統(tǒng)辦公自動(dòng)化系統(tǒng)、公文流轉(zhuǎn)和操作、網(wǎng)頁 完整性、相關(guān)業(yè)務(wù)系統(tǒng)（包括業(yè)務(wù)系統(tǒng)正常運(yùn)轉(zhuǎn)情況、用戶 開沒/中止等重要操作、授權(quán)更改操作、數(shù)據(jù)提交/處理/訪 問/發(fā)布操作、業(yè)務(wù)流程等內(nèi)容)等。重要網(wǎng)絡(luò)區(qū)域的客戶機(jī)病毒感染情況、通過網(wǎng)絡(luò)進(jìn)行的 文件共享操作、文件拷貝/打印操作、通過Modem擅_連接 外網(wǎng)的情況、非業(yè)務(wù)異常軟件的安裝和運(yùn)行等的審計(jì)四、安全審計(jì)系統(tǒng)使用的關(guān)鍵技術(shù) 根據(jù)在涉密信息系統(tǒng)中要進(jìn)行安全審計(jì)的內(nèi)容，我們可 以從技術(shù)上分為以下幾個(gè)模塊：1. 網(wǎng)絡(luò)審計(jì)模塊：主要負(fù)責(zé)網(wǎng)絡(luò)通信系統(tǒng)的審計(jì)；2. 操作系統(tǒng)審計(jì)模塊：主要負(fù)責(zé)對(duì)重要服務(wù)器主機(jī)操作系統(tǒng)的審計(jì);3. 數(shù)據(jù)庫審計(jì)模塊：主要負(fù)責(zé)對(duì)重要數(shù)據(jù)庫操作的審計(jì);4. 主機(jī)審計(jì)模塊：主要負(fù)責(zé)對(duì)網(wǎng)絡(luò)重要區(qū)域的客戶機(jī)進(jìn) 行審計(jì)；5. 應(yīng)用審計(jì)模塊：主要負(fù)責(zé)重要服務(wù)器主機(jī)的應(yīng)用平臺(tái) 軟件，以及重要應(yīng)用系統(tǒng)進(jìn)行審計(jì)。還需要配備一個(gè)數(shù)據(jù)庫系統(tǒng)，負(fù)責(zé)以上審計(jì)模塊生成的 審計(jì)數(shù)據(jù)的存儲(chǔ)、檢索、數(shù)據(jù)分析等操作，另外，還需要設(shè) 計(jì)一個(gè)統(tǒng)一管理平臺(tái)模塊，負(fù)責(zé)接收各審計(jì)模塊發(fā)送的審計(jì) 數(shù)據(jù)，存入數(shù)據(jù)庫，以及向?qū)徲?jì)模塊發(fā)布審計(jì)規(guī)則。如下圖 所示：安全審計(jì)系統(tǒng)中應(yīng)解決如下的關(guān)鍵技術(shù)：1. 網(wǎng)絡(luò)監(jiān)聽：是安全審計(jì)的基礎(chǔ)技術(shù)之一。它應(yīng)用于網(wǎng)絡(luò)審計(jì)模塊， 安裝在網(wǎng)絡(luò)通信系統(tǒng)的數(shù)據(jù)匯聚點(diǎn)，通過抓取網(wǎng)絡(luò)數(shù)據(jù)包進(jìn) 行典型協(xié)議分析、識(shí)別、判斷和記錄，Telnet、HTTP、Email、 FTP、網(wǎng)上聊天、文件共享等的檢測(cè)，流量監(jiān)測(cè)以及對(duì)異常 流量的識(shí)別和報(bào)警、網(wǎng)絡(luò)設(shè)備運(yùn)行的監(jiān)測(cè)等，另外也可以進(jìn) 行數(shù)據(jù)庫網(wǎng)絡(luò)操作的審計(jì)。2. 內(nèi)核驅(qū)動(dòng)技術(shù)：是主機(jī)審計(jì)模塊、操作系統(tǒng)審計(jì)模塊的核心技術(shù)，它可 以做到和操作系統(tǒng)的無縫連接，可以方便的對(duì)硬盤、CPU、 內(nèi)存、網(wǎng)絡(luò)負(fù)載、進(jìn)程、文件拷貝/打印操作、通過Modem 擅自連接外網(wǎng)的情況、非業(yè)務(wù)異常軟件的安裝和運(yùn)行等進(jìn)行 審計(jì)。3. 應(yīng)用系統(tǒng)審計(jì)數(shù)據(jù)讀取技術(shù)：大多數(shù)的多用戶操作系統(tǒng)(Windows、UNIX等）、正規(guī)的 大型軟件（數(shù)據(jù)庫系統(tǒng)等）、多數(shù)安全設(shè)備（防火墻、防病毒 軟件等）都有自己的審計(jì)功能，日志通常用于檢查用戶的登 錄、分析故障、進(jìn)行收費(fèi)管理、統(tǒng)計(jì)流量、檢查軟件運(yùn)行情 況和調(diào)試軟件，系統(tǒng)或設(shè)備的審計(jì)日志通?？梢杂米鞫伍_ 發(fā)的基礎(chǔ)，所以如何讀取多種系統(tǒng)和設(shè)備的審計(jì)日志將是解 決操作系統(tǒng)審計(jì)模塊、數(shù)據(jù)庫審計(jì)模塊、應(yīng)用審計(jì)模塊的關(guān) 鍵所在。4. 完善的審計(jì)數(shù)據(jù)分析技術(shù)：審計(jì)數(shù)據(jù)的分析是一個(gè)安全審計(jì)系統(tǒng)成敗的關(guān)鍵，分析 技術(shù)應(yīng)該能夠根據(jù)安全策略對(duì)審計(jì)數(shù)據(jù)具備評(píng)判異常和違 規(guī)的能力，分為實(shí)時(shí)分析和事后分析：實(shí)時(shí)分析：提供或獲取審計(jì)數(shù)據(jù)的設(shè)備和軟件應(yīng)該具備 預(yù)分析能力，并能夠進(jìn)行第一道篩選；事后分析：統(tǒng)一管理平臺(tái)模塊對(duì)記錄在數(shù)據(jù)庫中的審計(jì) 記錄進(jìn)行事后分析，包括統(tǒng)計(jì)分析和數(shù)據(jù)挖掘。五、安全審計(jì)系統(tǒng)應(yīng)該注意的問題安全審計(jì)系統(tǒng)的設(shè)計(jì)應(yīng)該注意以下幾個(gè)問題：1. 審計(jì)數(shù)據(jù)的安全：在審計(jì)數(shù)據(jù)的獲取、傳輸、存儲(chǔ)過程中都應(yīng)該注意安全 問題，同樣要保證審計(jì)信息的“五性”。在審計(jì)數(shù)據(jù)獲取過 程中應(yīng)該防止審計(jì)數(shù)據(jù)的丟失，應(yīng)該在獲取后盡快傳輸?shù)浇y(tǒng) 一管理平臺(tái)模塊，經(jīng)過濾后存入數(shù)據(jù)庫，如果沒有連接到管 理平臺(tái)模塊，則應(yīng)該在本地進(jìn)行存儲(chǔ)，待連接后再發(fā)送至管 理平臺(tái)模塊，并且應(yīng)該采取措施防止審計(jì)功能被繞過；在傳 輸過程中應(yīng)該防止審計(jì)數(shù)據(jù)被截獲、篡改、丟失等，可以采 用加密算法以及數(shù)字簽名方式進(jìn)行控制；在審計(jì)數(shù)據(jù)存儲(chǔ)時(shí) 應(yīng)注意數(shù)據(jù)庫的加密，防止數(shù)據(jù)庫溢出，當(dāng)數(shù)據(jù)庫發(fā)生異常 時(shí)，有相應(yīng)的應(yīng)急措施，而且應(yīng)該在進(jìn)行審計(jì)數(shù)據(jù)讀取時(shí)加 入身份鑒別機(jī)制，防止非授權(quán)的訪問。2. 審計(jì)數(shù)據(jù)的獲取首先要把握和控制好數(shù)據(jù)的來源，比如來自網(wǎng)絡(luò)的數(shù)據(jù) 截取;來自系統(tǒng)、網(wǎng)絡(luò)、防火墻、中間件等系統(tǒng)的日志；通過 嵌入模塊主動(dòng)收集的系統(tǒng)內(nèi)部信息；通過網(wǎng)絡(luò)主動(dòng)訪問獲取 的信息；來自應(yīng)用系統(tǒng)或安全系統(tǒng)的審計(jì)數(shù)據(jù)等。有數(shù)據(jù)源 的要積極獲取；沒有數(shù)據(jù)源的要設(shè)法生成數(shù)據(jù)。對(duì)收集的審 計(jì)數(shù)據(jù)性質(zhì)也要分清哪些是已經(jīng)經(jīng)過分析和判斷的數(shù)據(jù)，哪 些是沒有分析的原始數(shù)據(jù)，要做出不同的處理。另外，應(yīng)該設(shè)計(jì)公開統(tǒng)一的日志讀取API，使應(yīng)用系統(tǒng)或 安全設(shè)備開發(fā)時(shí)，就可以將審計(jì)日志按照日志讀取API的模 式進(jìn)行設(shè)計(jì)，方便日后的審計(jì)數(shù)據(jù)獲取。3. 管理平臺(tái)分級(jí)控制由于涉密信息系統(tǒng)的迅速發(fā)展，系統(tǒng)規(guī)模也在不斷擴(kuò) 太，所以在安全審計(jì)設(shè)計(jì)的初期就應(yīng)該考慮分布式、跨網(wǎng)段， 能夠進(jìn)行分級(jí)控制的問題。也就是說一個(gè)涉密信息系統(tǒng)中可 能存在多個(gè)統(tǒng)一管理平臺(tái)，各自管理一部分審計(jì)模塊，管理 平臺(tái)之間是平行關(guān)系或上下級(jí)關(guān)系，平級(jí)之間不能互相管 理，上級(jí)可以向下級(jí)發(fā)布審計(jì)規(guī)則，下級(jí)根據(jù)審計(jì)規(guī)則向上 級(jí)匯報(bào)審計(jì)數(shù)據(jù)。這樣能夠根據(jù)網(wǎng)絡(luò)規(guī)模及安全域的劃分靈 活的進(jìn)行擴(kuò)充和改變，也有利于整個(gè)安全審計(jì)系統(tǒng)的管理， 減輕網(wǎng)絡(luò)的通信負(fù)擔(dān)。4. 易于升級(jí)維護(hù)安全審計(jì)系統(tǒng)應(yīng)該采用模塊設(shè)計(jì)，這樣有利于審計(jì)系統(tǒng) 的升級(jí)和維護(hù)。專家預(yù)測(cè)，安全審計(jì)系統(tǒng)在2003年是最熱門的信息安全 技術(shù)之一。國內(nèi)很多信息安全廠家都在進(jìn)行相關(guān)技術(shù)的研 究，有的已經(jīng)推出了成型的產(chǎn)品，另一方面，相關(guān)的安全審 計(jì)標(biāo)準(zhǔn)也在緊鑼密鼓的制定當(dāng)中，看來一個(gè)安全審計(jì)的春天 已經(jīng)離我們?cè)絹碓浇?。但是信息系統(tǒng)的安全從來都是一個(gè)相對(duì)的概念，只有相 對(duì)的安全，而沒有絕對(duì)的安全。安全也是一個(gè)動(dòng)態(tài)發(fā)展的過 程，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，安全審計(jì)還有很多值得關(guān)注的問 題，如：1. 網(wǎng)絡(luò)帶寬由現(xiàn)在的100兆會(huì)增加到1G，安全審計(jì)如 何對(duì)千兆網(wǎng)絡(luò)進(jìn)行審計(jì)就是值得關(guān)注的問題；2. 當(dāng)前還沒有一套為各信息安全廠商承認(rèn)的安全審計(jì) 接口標(biāo)準(zhǔn)，標(biāo)準(zhǔn)的制定與應(yīng)用將會(huì)使安全審計(jì)跨上一個(gè)新的 臺(tái)階；篇三：審計(jì)信息系統(tǒng)一、審計(jì)及審計(jì)軟件的簡介審計(jì)是一項(xiàng)具有獨(dú)立性的經(jīng)濟(jì)監(jiān)督活動(dòng)，獨(dú)立性是審計(jì) 區(qū)別于其他經(jīng)濟(jì)監(jiān)督的特征；審計(jì)的基本職能不僅是監(jiān)督， 而且是經(jīng)濟(jì)監(jiān)督，是以第三者身份所實(shí)施的監(jiān)督。審計(jì)的主 體是從事審計(jì)工作的專職機(jī)構(gòu)或?qū)Ｂ毜娜藛T，是獨(dú)立的第三 者，如國家審計(jì)機(jī)關(guān)、會(huì)計(jì)師事務(wù)所及其人員。審計(jì)的對(duì)象 是被審計(jì)單位的財(cái)政、財(cái)務(wù)收支及其他經(jīng)濟(jì)活動(dòng)，這就是說 審計(jì)對(duì)象不僅包括會(huì)計(jì)信息及其所反映的財(cái)政、財(cái)務(wù)收支活 動(dòng)，還包括其他經(jīng)濟(jì)信息及其所反映的其他經(jīng)濟(jì)活動(dòng)。審計(jì) 的基本工作方式是審查和評(píng)價(jià)，也即是搜集證據(jù)，查明事實(shí)， 對(duì)照標(biāo)準(zhǔn)，做出好壞優(yōu)劣的判斷。審計(jì)的主要目標(biāo)，不僅要 審查評(píng)價(jià)會(huì)計(jì)資料及其反映的財(cái)政、財(cái)務(wù)收支的真實(shí)性和合 法性，而且還要審查評(píng)價(jià)有關(guān)經(jīng)濟(jì)活動(dòng)的效益性。審計(jì)的重要性不言而喻，首先，審計(jì)具有強(qiáng)有力的制約 作用。審計(jì)通過揭露和制止、處罰等手段，來制約經(jīng)濟(jì)活動(dòng) 中各種消極因素，有助于各種經(jīng)濟(jì)責(zé)任的正確履行和社會(huì)經(jīng) 濟(jì)的健康發(fā)展。其次，審計(jì)還具有促進(jìn)作用，審計(jì)通過調(diào)查、 評(píng)價(jià)、提出建議等手段，來促迸、服務(wù)宏觀經(jīng)濟(jì)調(diào)控，促進(jìn)微 觀經(jīng)濟(jì)管理，以助于國民經(jīng)濟(jì)管理水平和績效的提高。然而隨著社會(huì)經(jīng)濟(jì)與科技的不斷進(jìn)步，審計(jì)的主體和客 體的不斷擴(kuò)充，純手工審計(jì)的方式盡管具有靈活運(yùn)用的特 點(diǎn)，但是因其效率低、錯(cuò)誤率高而逐漸不能滿足人們的需要， 這時(shí)審計(jì)軟件應(yīng)運(yùn)而生。審計(jì)軟件是指用于審查電算化系統(tǒng) 或利用計(jì)算機(jī)輔助審計(jì)而編寫的各種計(jì)算機(jī)程序。廣義上 講，審計(jì)軟件是指用于幫助完成審計(jì)工作的各種軟件工具。 審計(jì)軟件可分為四種類型：第一種現(xiàn)場作業(yè)軟件、第二種法 規(guī)軟件、第三種專用審計(jì)軟件、第四種是審計(jì)管理軟件。在我們專業(yè)實(shí)習(xí)之前，我們參與過鼎信諾審計(jì)軟件的培 訓(xùn)，比較可惜的是，在正式參與審計(jì)時(shí)，我們并沒有利用專 業(yè)審計(jì)軟件進(jìn)行審計(jì)和數(shù)據(jù)處理，僅利用EXCEL便完成了所 有審計(jì)工作，但我也通過查閱資料書籍和詢問事務(wù)所人員初 步了解了中瑞岳華審計(jì)軟件一一鼎信諾的基本功能和操作，同時(shí)我也將在下文中大致描述EXCEL在審計(jì)中的運(yùn)用。二、XX會(huì)計(jì)師事務(wù)所審計(jì)軟件一一鼎信諾簡介鼎信諾審計(jì)系統(tǒng)作為XX會(huì)計(jì)師事務(wù)所的主要審計(jì)軟件， 有如下11個(gè)主要功能：1、前端數(shù)據(jù)采集審計(jì)前端能夠從金蝶K3、金蝶KIS、用友7系列、用友8 系列、用友通系列、速達(dá)3000、速達(dá)5000、新中太、久其、 安易、博科、浪潮、遠(yuǎn)光、遠(yuǎn)方、小蜜蜂等常見財(cái)務(wù)軟件中 取出數(shù)據(jù)；并且不需要安裝可直接運(yùn)行；前端是完全免費(fèi)， 可以直接從公司網(wǎng)站上下載；對(duì)于定制的或者不常見的財(cái)務(wù) 軟件，可通過粘貼數(shù)據(jù)到EXCEL取數(shù)模板的方式采集數(shù)據(jù)。2、審計(jì)抽樣審計(jì)人員憑經(jīng)驗(yàn)和職業(yè)判斷手工抽取樣本；也可以依據(jù) 審計(jì)人員選擇的抽樣方法，如隨機(jī)、由大到小或由小到大和條件（抽取筆數(shù)或金額），由計(jì)算機(jī)計(jì)算 出各種統(tǒng)計(jì)數(shù)據(jù)（包括：樣本總量、已選樣本量、剩余樣本 量、所占比例大小等等）；同時(shí)保留審計(jì)軌跡，并與抽樣結(jié) 果一起反映到檢查表中。對(duì)于已抽出的憑證還可以生成憑證 并打印出來。3、自動(dòng)生成實(shí)質(zhì)性工作底稿所有的實(shí)質(zhì)性工作底稿都是自動(dòng)生成的，實(shí)質(zhì)性工作底稿包括：審計(jì)程序、審定表、明細(xì)表、檢查表等等。對(duì)于往 來款中有核算項(xiàng)目的，也可自動(dòng)在明細(xì)表中列示。工作底稿4、往來款賬齡計(jì)算往來款的實(shí)質(zhì)性工作底稿中，系統(tǒng)可以依據(jù)多年的賬套 數(shù)據(jù)計(jì)算出賬齡。5、生成銀行函證和往來單位函證在實(shí)質(zhì)性工作底稿中選擇要發(fā)送函證的銀行或往來單 位，修改系統(tǒng)提供的函證模板后，系統(tǒng)自動(dòng)生成一頁一頁 WORD格式的函證。6、合并會(huì)計(jì)報(bào)表系統(tǒng)根據(jù)母子公司間投資關(guān)系等信息自動(dòng)產(chǎn)生權(quán)益抵 消、收益抵消，內(nèi)部往來抵消和內(nèi)部購銷抵消四種抵消分錄， 用戶還可以手工輸入抵消分錄。系統(tǒng)根據(jù)母子公司間投資關(guān) 系自動(dòng)產(chǎn)生包括全部母子公司的過渡表和集團(tuán)合并會(huì)計(jì)報(bào) 表。系統(tǒng)自動(dòng)合成集團(tuán)公司下屬全部單體公司的報(bào)表附注， 合并報(bào)表附注同樣可以刷新到WORD中。7、存貨和固定資產(chǎn)的測(cè)試存貨或固定資產(chǎn)的實(shí)質(zhì)性工作底稿中，系統(tǒng)可以自動(dòng)提 取前端已采集的相關(guān)數(shù)據(jù)，依據(jù)用戶選擇的不同方法進(jìn)行測(cè) 試8、數(shù)據(jù)分析數(shù)據(jù)分析有報(bào)表分析、圖表分析和指標(biāo)分析三種，從不 同的角度分析審計(jì)風(fēng)險(xiǎn)。數(shù)據(jù)9、審計(jì)調(diào)整輸入一次審計(jì)調(diào)整后，該調(diào)整分錄涉及到的底稿、報(bào)表、 附注都能自動(dòng)更新數(shù)據(jù)。調(diào)整分錄，自動(dòng)生成匯總表和審計(jì) 會(huì)計(jì)報(bào)表。10、生成未審會(huì)計(jì)報(bào)表未審會(huì)計(jì)報(bào)表中，未審數(shù)是由科目得到，報(bào)表數(shù)是由企 業(yè)提供。如果賬表之間存在差異，以紅色字體顯示，用戶可 以據(jù)此進(jìn)行賬表差異調(diào)整，例如：往來款科目的負(fù)值調(diào)整。11、自動(dòng)生成會(huì)計(jì)報(bào)表附注系統(tǒng)提供了財(cái)政部和國資委頒布的會(huì)計(jì)報(bào)表附注模版， 會(huì)計(jì)報(bào)表附注的內(nèi)容和格式是可以修改的。修改后的附注能 夠一次性全部刷新到WORD文檔中。顯而易見，鼎信諾審計(jì)軟件大大節(jié)約了審計(jì)的時(shí)間，提 高了效率，在于同學(xué)和學(xué)姐交流時(shí)，使用過該軟件的同學(xué)都 普遍反映利用該軟件效率提高了不少，僅以抽憑為例，我們 利用EXCEL導(dǎo)出數(shù)據(jù)抽憑需要至少一整天的時(shí)間才能完成一 家公司的電子抽憑工作，而導(dǎo)出數(shù)據(jù)的憑證號(hào)在實(shí)際抽憑過 程中很多都是錯(cuò)的，而利用鼎信諾軟件則需要不到半天的時(shí) 間就能完成同等規(guī)模公司的抽憑工作，并且憑證號(hào)都能夠?qū)?yīng)的上。而且審計(jì)工作底稿實(shí)現(xiàn)電子化后，審計(jì)人員能方便地通過 公司內(nèi)部的局域網(wǎng)或?qū)徲?jì)小組現(xiàn)場的對(duì)等網(wǎng)實(shí)現(xiàn)信息共享， 相互之間查閱審計(jì)底稿只需1要點(diǎn)點(diǎn)鼠標(biāo)即可輕松實(shí)現(xiàn)，而 且審計(jì)人員之間互不影響，從而可以極大提高審計(jì)效率。審 計(jì)人員只需要進(jìn)行初始的數(shù)據(jù)錄入，計(jì)算工作由計(jì)算機(jī)自動(dòng) 完成，計(jì)算結(jié)果準(zhǔn)確無須驗(yàn)算，可節(jié)約時(shí)間，提高審計(jì)效率。利用鼎信諾軟件，審計(jì)底稿的素材范圍得到了進(jìn)一步的 擴(kuò)充，錄音材料、錄像材料、電子照片均能構(gòu)成審計(jì)底稿， 搜集證據(jù)不再単一化，更加方便快捷，審計(jì)風(fēng)險(xiǎn)也得到了降 低，同時(shí)資料也變得容易方便攜帶起來。三、EXCEL軟件在審計(jì)中的應(yīng)用在事務(wù)所實(shí)習(xí)過程中，雖然我們并沒有機(jī)會(huì)接觸鼎信諾 軟件的使用，但是利用EXCEL也方便了我們的審計(jì)工作。首先，事務(wù)所提供了帶有公式鏈接和相應(yīng)格式的EXCEL 電子工作底稿和word底稿，企業(yè)財(cái)務(wù)軟件erp不支持win7 的使用，因此我們只能將相關(guān)數(shù)據(jù)導(dǎo)出到記事薄中，然后再 牲貼進(jìn)EXCEL中進(jìn)行整理和使用。起初我們接觸到的就是 過期初數(shù)，平時(shí)我們認(rèn)為簡單的復(fù)制粘貼，但是要知道底稿 中有很多公式，因此我們?cè)谡迟N時(shí)需要選擇性粘貼，有一些 審計(jì)調(diào)整要不要過進(jìn)來也需要我們?nèi)プ约喊盐铡＝酉聛硇枰獞?yīng)用到的就是抽憑，刪除或者隱藏掉不可排 序行后按照排序或者條件性篩選我們便可以選取數(shù)額較大 的或者關(guān)聯(lián)方賬目進(jìn)行抽憑。再對(duì)數(shù)據(jù)進(jìn)行分析時(shí)，我們還 可以運(yùn)用凍結(jié)窗格等功能，這對(duì)數(shù)據(jù)的整理十分重要，尤其 是凍結(jié)首行，這對(duì)每一筆分錄的借貸方更容易把控。在填寫附注階段，在主表中有試算平衡表數(shù)據(jù)和明細(xì)表 數(shù)據(jù)，只需要我們添加一個(gè)源公式，那么我們就能直接鏈接 過來數(shù)據(jù)而不需要逐個(gè)粘貼，尤其是在試算平衡表中數(shù)據(jù)所 變動(dòng)的時(shí)候。這時(shí)，我們只需將附注中區(qū)域科目的明細(xì)下表 科目鏈接到主表中，通過公式判斷便可以驗(yàn)證數(shù)據(jù)是否一 致。在逐個(gè)明細(xì)區(qū)域中，我們還是需要將主表中的數(shù)據(jù)鏈接 過來，做一個(gè)簡單的減法公式，如果結(jié)果顯示的是那 么證明兩個(gè)數(shù)據(jù)相同；如果結(jié)果顯示的是 “0”，那么需要在 該公式中復(fù)核加計(jì)round公式，若結(jié)果為那么數(shù)據(jù)無 誤，否則數(shù)據(jù)出現(xiàn)錯(cuò)誤。這是因?yàn)槲覀兊臄?shù)據(jù)在小數(shù)點(diǎn)后兩 位四舍五入，有時(shí)難免有誤差。這只是一些基本的功能，其實(shí)EXCEL還有很多功用，例 如：利用Excel編制集団公司的經(jīng)審合并報(bào)表、利用Excel 進(jìn)行分析性復(fù)核、對(duì)數(shù)據(jù)進(jìn)行保護(hù)等等。但令我印象最深刻 的是在對(duì)固定資產(chǎn)和應(yīng)收賬款賬齡的測(cè)算中的應(yīng)用，如果數(shù) 據(jù)量小手計(jì)算也不礙事，但是數(shù)據(jù)一旦成百上千，那么就需要EXCEL公式的綜合運(yùn)用了。往來賬款（應(yīng)收賬款、其他應(yīng)收款、應(yīng)付賬款等）的賬齡 審計(jì)，是財(cái)務(wù)會(huì)計(jì)