前置审计报告.doc

1、前置拦标价审计操作流程图篇二：前置审计流程xxx审计局工程量清单和拦标价审核流程注：中介机构应依据相关资料真实客观审计，并填写相关表格（前置审计台账、审计登记表）。 篇三：审计报告格式审计报告格式一、引言随着网络的发展，网络信息的安全越来越引起世界各国的重视，防病毒产品、防火墙、入侵检测、漏洞扫描等安全产品都得到了广泛的应用，但是这些信息安全产品都是为了防御外部的入侵和窃取。随着对网络安全的认识和技术的发展，发现由于内部人员造成的泄密或入侵事件占了很大的比例，所以防止内部的非法违规行为应该与抵御外部的入侵同样地受到重视，要做到这点就需要在网络中实现对网络资源的使用进行审计。在当今的网络中各种审

2、计系统已经有了初步的应用，例如：数据库审计、应用程序审计以及网络信息审计等，但是，随着网络规模的不断扩大，功能相对单一的审计产品有一定的局限性，并且对审计信息的综合分析和综合管理能力远远不够。功能完整、管理统一，跨地区、跨网段、集中管理才是综合审计系统最终的发展目标。本文对涉密信息系统中安全审计系统的概念、内容、实现原理、存在的问题、以及今后的发展方向做出了讨论。二、什么是安全审计国内通常对计算机信息安全的认识是要保证计算机信息系统中信息的机密性、完整性、可控性、可用性和不可否认性(抗抵赖)，简称“五性”。安全审计是这“五性”的重要保障之一，它对计算机信息系统中的所有网络资源(包括数据库、主机

3、、操作系统、安全设备等)进行安全审计，记录所有发生的事件，提供给系统管理员作为系统维护以及安全防范的依据。安全审计如同银行的监控系统，不论是什么人进出银行，都进行如实登记，并且每个人在银行中的行动，乃至一个茶杯的挪动都被如实的记录，一旦有突发事件可以快速的查阅进出记录和行为记录，确定问题所在，以便采取相应的处理措施。近几年，涉密系统规模不断扩大，系统中使用的设备也逐渐增多，每种设备都带有自己的审计模块，另外还有专门针对某一种网络应用设计的审计系统，如：操作系统的审计、数据库审计系统、网络安全审计系统、应用程序审计系统等，但是都无法做到对计算机信息系统全面的安全审计，另外审计数据格式不统一、审计

4、分析规则无法统一定制也给系统的全面综合审计造成了一定的困难。如果在当前的系统条件下希望全面掌握信息系统的运行情况，就需要对每种设备的审计模块熟练操作，并且结合多种专用审计产品才能够做到。为了能够方便地对整个计算机信息系统进行审计，就需要设计综合的安全审计系统。它的目标是通过数据挖掘和数据仓库等技术，实现在不同网络环境中对网络设备、终端、数据资源等进行监控和管理，在必要时通过多种途径向管理员发出警告或自动采取排错措施，并且能够对历史审计数据进行分析、处理和追踪。主要作用有以下几个方面：1. 对潜在的攻击者起到震慑和警告的作用;2. 对于已经发生的系统破坏行为提供有效的追究证据;3. 为系统管理员

5、提供有价值的系统使用日志，从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞;4. 为系统管理员提供系统的统计日志，使系统管理员能够发现系统性能上的不足或需要改进和加强的地方。三、涉密信息系统安全审计包括的内容中华人民共和国计算机信息系统安全保护条例中定义的计算机信息系统，是指由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。涉密计算机信息系统(以下简称“涉密信息系统”)在计算机信息系统保密管理暂行规定中定义为：采集、存储、处理、传递、输出国家秘密信息的计算机信息系统。所以针对涉密信息系统的安全审计的内容就

6、应该针对涉密信息系统的每一个方面，应该对计算机及其相关的和配套的设备、设施(含网络)，以及对信息的采集、加工、存储、传输和检索等方面进行审计。具体来说，应该对一个涉密信息系统中的以下内容进行安全审计：被审计资源安全审计内容重要服务器主机操作系统系统启动、运行情况，管理员登录、操作情况，系统配置更改(如注册表、配置文件、用户系统等)以及病毒或蠕虫感染、资源消耗情况的审计，硬盘、cpu、内存、网络负载、进程、操作系统安全日志、系统内部事件、对重要文件的访问等。重要服务器主机应用平台软件重要应用平台进程的运行、web server、mail server、lotus、exchange server、

7、中间件系统、健康状况(响应时间等)等。重要数据库操作数据库进程运转情况、绕过应用软件直接操作数据库的违规访问行为、对数据库配置的更改、数据备份操作和其他维护管理操作、对重要数据的访问和更改、数据完整性等的审计。重要应用系统办公自动化系统、公文流转和操作、网页完整性、相关业务系统(包括业务系统正常运转情况、用户开设/中止等重要操作、授权更改操作、数据提交/处理/访问/发布操作、业务流程等内容)等。重要网络区域的客户机病毒感染情况、通过网络进行的文件共享操作、文件拷贝/打印操作、通过modem擅自连接外网的情况、非业务异常软件的安装和运行等的审计四、安全审计系统使用的关键技术根据在涉密信息系统中要

8、进行安全审计的内容，我们可以从技术上分为以下几个模块：1. 网络审计模块：主要负责网络通信系统的审计;2. 操作系统审计模块：主要负责对重要服务器主机操作系统的审计;3. 数据库审计模块：主要负责对重要数据库操作的审计;4. 主机审计模块：主要负责对网络重要区域的客户机进行审计;5. 应用审计模块：主要负责重要服务器主机的应用平台软件，以及重要应用系统进行审计。还需要配备一个数据库系统，负责以上审计模块生成的审计数据的存储、检索、数据分析等操作，另外，还需要设计一个统一管理平台模块，负责接收各审计模块发送的审计数据，存入数据库，以及向审计模块发布审计规则。如下图所示：安全审计系统中应解决如下的

9、关键技术：1. 网络监听：2. 内核驱动技术：是主机审计模块、操作系统审计模块的核心技术，它可以做到和操作系统的无缝连接，可以方便的对硬盘、cpu、内存、网络负载、进程、文件拷贝/打印操作、通过modem擅自连接外网的情况、非业务异常软件的安装和运行等进行审计。3. 应用系统审计数据读取技术：大多数的多用户操作系统(windows、unix等)、正规的大型软件(数据库系统等)、多数安全设备(防火墙、防病毒软件等)都有自己的审计功能，日志通常用于检查用户的登录、分析故障、进行收费管理、统计流量、检查软件运行情况和调试软件，系统或设备的审计日志通常可以用作二次开发的基础，所以如何读取多种系统和设备

10、的审计日志将是解决操作系统审计模块、数据库审计模块、应用审计模块的关键所在。4. 完善的审计数据分析技术：审计数据的分析是一个安全审计系统成败的关键，分析技术应该能够根据安全策略对审计数据具备评判异常和违规的能力，分为实时分析和事后分析：实时分析：提供或获取审计数据的设备和软件应该具备预分析能力，并能够进行第一道筛选;事后分析：统一管理平台模块对记录在数据库中的审计记录进行事后分析，包括统计分析和数据挖掘。五、安全审计系统应该注意的问题安全审计系统的设计应该注意以下几个问题：1. 审计数据的安全：在审计数据的获取、传输、存储过程中都应该注意安全问题，同样要保证审计信息的“五性”。在审计数据获取

11、过程中应该防止审计数据的丢失，应该在获取后尽快传输到统一管理平台模块，经过滤后存入数据库，如果没有连接到管理平台模块，则应该在本地进行存储，待连接后再发送至管理平台模块，并且应该采取措施防止审计功能被绕过;在传输过程中应该防止审计数据被截获、篡改、丢失等，可以采用加密算法以及数字签名方式进行控制;在审计数据存储时应注意数据库的加密，防止数据库溢出，当数据库发生异常时，有相应的应急措施，而且应该在进行审计数据读取时加入身份鉴别机制，防止非授权的访问。2. 审计数据的获取首先要把握和控制好数据的来源，比如来自网络的数据截取;来自系统、网络、防火墙、中间件等系统的日志;通过嵌入模块主动收集的系统内部

12、信息;通过网络主动访问获取的信息;来自应用系统或安全系统的审计数据等。有数据源的要积极获取;没有数据源的要设法生成数据。对收集的审计数据性质也要分清哪些是已经经过分析和判断的数据，哪些是没有分析的原始数据，要做出不同的处理。另外，应该设计公开统一的日志读取api，使应用系统或安全设备开发时，就可以将审计日志按照日志读取api的模式进行设计，方便日后的审计数据获取。3. 管理平台分级控制由于涉密信息系统的迅速发展，系统规模也在不断扩大，所以在安全审计设计的初期就应该考虑分布式、跨网段，能够进行分级控制的问题。也就是说一个涉密信息系统中可能存在多个统一管理平台，各自管理一部分审计模块，管理平台之间

13、是平行关系或上下级关系，平级之间不能互相管理，上级可以向下级发布审计规则，下级根据审计规则向上级汇报审计数据。这样能够根据网络规模及安全域的划分灵活的进行扩充和改变，也有利于整个安全审计系统的管理，减轻网络的通信负担。4. 易于升级维护安全审计系统应该采用模块设计，这样有利于审计系统的升级和维护。专家预测，安全审计系统在2003年是最热门的信息安全技术之一。国内很多信息安全厂家都在进行相关技术的研究，有的已经推出了成型的产品，另一方面，相关的安全审计标准也在紧锣密鼓的制定当中，看来一个安全审计的春天已经离我们越来越近了。但是信息系统的安全从来都是一个相对的概念，只有相对的安全，而没有绝对的安全

14、。安全也是一个动态发展的过程，随着网络技术的发展，安全审计还有很多值得关注的问题，如：1. 网络带宽由现在的100兆会增加到1g，安全审计如何对千兆网络进行审计就是值得关注的问题;2. 当前还没有一套为各信息安全厂商承认的安全审计接口标准，标准的制定与应用将会使安全审计跨上一个新的台阶;篇四：论前置审计在医院内审中的重要性论前置审计在医院内审中的重要性中图分类号：f239.4 文献标识：a 文章编号：1009-4202（2013）03-000-01摘要 内部审计是“二甲”医院内控制度的重要组成部分，传统的医院内部审计监管程序存在滞后的问题，本文从传统内部审计存在的缺陷入手，系统阐述了“前置审计

15、”在医院内部审计的中重要作用。关键词 前置审计 内部审计 审计监督内部审计是对组织中各类业务和控制进行独立评价，以确定是否遵循公认的方针和程序，是否符合规定和标准，是否有效和经济的使用了资源，是否在实现组织目标；它是组织中内部控制的重要组成部分，是监督评价组织对法律、法规、规章制度遵循情况的重要部门；是一个组织自身的经济业务“过滤器”，是增强组织自身“免疫力”的重要手段。前置审计即内审机构将审计关口前移，在经济事项发生的同时介入跟踪实施审计。是与经济事项的发生过程同步的审计监督。前置审计是内审工作遵循科学发展观的成果，将是今后医院内部审计工作发展的方向和工作重点。由于医院决策层对内部审计的认识

16、和重视程度不够，许多重大经济事项的决策事前并不让内审人员参与，甚至把内部审计机构作为一个可有可无的摆设，未能真正发挥内部审计的基本功能。目前这种以事后审计监督为主的内部审计在许多方面存在缺陷，主要表现在：一、医院内部审计机构只是在组织管理构架中形式上赋予的一个机构，未能真正赋予内审的审计监督职能医院管理层由于缺乏对内部审计的重要性的认识，往往只要按照要求，在内部管理组织中明义上设立一个内部审计部门，实质上未完全赋予其真正的内部审计监督职能，并未真正按内部审计准则要求，实现和发挥其应有职能，基本停留在对医疗收费、医疗设备运行、药品价格执行的事后监控，缺少对财务信息的审计监督，仅侧重于对单位规章制

17、度的遵循情况的审计监督。二、医院的内部审计主要以事后监督检查为主，对既成事实的经济事项既无力纠正也无权处罚医院管理层对重大经济事项的决策，如：药材招标采购、设备购置、基建工程等，往往并让内部审计人员实际参与，造成内审人员对各项经济活动过程中涉及的合同、流程、价格、规范等基本要素并不知悉，只有当领导层发现某个事项或项目在实际执行过程中出现偏差时，才想起让内审人员介入监督、审察。但由于内审人员对整个事项和项目缺乏事先必要的了解，内部审计工作执行起来十分的困难。三、内部审计的独立性无法得到切实的保证，让事后审计往往受到诸多因素的干扰，无法独立履行审计职能许多医院的的内审机构大多是挂靠在财务部门，与财

18、务部门共同穿着“连裆裤”，还有的医院由于内审人员的缺乏，干脆由财务人员兼职内审，这种缺乏“垂直领导”职能的内审机构对经济事项审计监督功能十分的弱化。工作的独立性无法保障，也就无法实现有效的审计监督。内部审计在此环境下生存，最终的命运只能是“名存实亡”。医院要充分认识并把握当前的内部审计所处的环境，排除影响内部审计职能发挥的不利因素，彻底转变传统的内审方法，实施前置审计，是强化医院内部控制的重手段，在医院内控制度的完善上起着十分重的作用。1. 内部审计功能前置，就是让内审人员参与经济事项的决策过程，并对经济事项执行的全过程进行跟踪审计内部审计人员提前对经济事项的介入，有利于其对整个事项的可行性论

19、证、决策过程有个全面的了解和认识，同时通过对经济事项具体执行过程的跟踪审计，及时发现执行中各环节可能出现的偏差，为决策层提供必要的纠正意见和建议，为经济事项合法、合规的顺利完成奠定坚实的基础。2. 强化内部审计的独立性是保障实施前置审计功能的关键实现医院决策层对内部审计机构的直接垂直领导，是保障内部审计独立性的关键。只有内部审计机构平行并略高于其它部门机构，才能确保内审机构在行政管辖和工作职能上独立于其它部门机构。通过前置审计，并对经济事项发生的全过程进行跟踪审计监督，不断发现医院运营中的问题和风险，从而解决问题、完善管理。因此，内部审计功能前置已经成为医院加强内部管理，提升运营水平，规避经营

20、风险的基础手段。3. 实施前置审计是规避经营风险和审计风保的重要保证随着医改的不断深入，医院公益性的功能将会更加突出。如何体现公益性，为医院的经营和管理提出了更高的要求。切实建立有效的前置审计质量控制、责任控制体系，保证审计结论的客观、公正，是确保政府的各项医改措施得以贯彻落实，规避医院运营过程中可能出现的违背公益性的经营行为的重要保障。建立完善的前置审计制度，增强医院管理层对前置审计的认知度，可以保障内部审计工作有章可行。是保证医院经营管理活动合法有序运行的关键，是发挥内部审计“免疫系统”功能最直接、最典型的体现。开展前置审计能够从源头上堵塞管理中的漏洞，预防腐败问题的发生。医院应通过多种渠

21、道扩大前置审计的宣传，增强管理层对加强前置审计的共识，为前置审计营造良好的工作氛围。参考文献：1金勇，马玉梅.新形势下推进内部审计转型的对策分析.投资与合作：学术版.2011（11）.2侯荣荣.开展政府投资前置审计的思考.中华人民共和国审计署.理论与方法.2011.12.15. 篇五：标准审计报告(最新)审 计 报 告（1-标题）abc股份有限公司全体股东：（2-收件人）一、对财务报表出具的审计报告我们审计了后附的abc股份有限公司（以下简称abc公司）财务报表，包括201年12月31日的资产负债表，201年度的利润表、现金流量表和股东权益变动表以及财务报表附注。（3-引言段）（一）管理层对财

22、务报表的责任（4-责任段）编制和公允列报财务报表是abc公司管理层的责任，这种责任包括：（1）按照企业准则的规定编制财务报表，并使其实现公允反映；（2）设计、执行和维护必要的内部控制，以使财务报表不存在由于舞弊或错误导致的重大错报。（二）注册会计师的责任（5-责任段）我们的责任是在执行审计工作的基础上对财务报表发表审计意见。我们按照中国注册会计师审计准则的规定执行了审计工作。中国注册会计师审计准则要求我们遵守职业道德规范，计划和执行审计工作以对财务报表是否不存在重大错报获取合理保证。审计工作涉及实施审计程序，以获取有关财务报表金额和披露的审计证据。选择的审计程序取决于注册会计师的判断，包括对由

23、于舞弊或错误导致的财务报表重大错报风险的评估。在进行风险评估时，我们考虑与财务报表编制相关的内部控制，以设计恰当的审计程序，但目的并非对内部控制的有效性发表意见。审计工作还包括评价管理层选用会计政策的恰当性和做出会计估计的合理性，以及评价财务报表的总体列报。我们相信，我们获取的审计证据是充分、适当的，为发表审计意见提供了基础。（三）审计意见（6-审计意见段）我们认为，abc公司财务报表在所有重大方面按照企业会计准则的规定编制，公允反映了abc公司201年12月31日的财务状况以及201年度的经营成果和现金流量。二、按照相关法律法规的要求报告的事项（其他事项段）（本部分报告的格式和内容，取决于相关法律法规对其他报告责任的规定。