安全审计措施范文篇1

1利用网络及安全管理的漏洞窥探用户口令或帐号，冒充合法用户作案，篡改磁性介质记录窃取资产。

2利用网络远距离窃取的商业秘密以换取钱财，或利用网络传播计算机病毒以破坏企业的信息系统。

3建立在计算机网络基础上的电子商贸使贸易趋向“无纸化”，越来越多的业务的原始记录以电子凭证的方式

存在和传递。不法之徒通过改变电子货币帐单、银行结算单及其它帐单，就有可能将公私财产的所有权进行转移。

计算机网络带来会计系统的开放与数据共享，而开放与共享的基础则是安全。企业一方面通过网络开放自己，向全世界推销自己的形象和产品，实现电子贸易、电子信息交换，但也需要守住自己的商业秘密、管理秘密和财务秘密，而其中已实现了电子化且具有货币价值的会计秘密、理财秘密是最重要的。我们有必要为它创造一个安全的环境，抵抗来自系统内外的各种干扰和威协，做到该开放的放开共享，该封闭的要让黑客无奈。

一、网络安全审计及基本要素

安全审计是一个新概念，它指由专业审计人员根据有关的法规、财产所有者的委托和管理当局的授权，对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证，并作出相应评价。

没有网络安全，就没有网络世界。任何一个建立网络环境计算机会计系统的机构，都会对系统的安全提出要求，在运行和维护中也都会从自己的角度对安全作出安排。那么系统是否安全了呢？这是一般人心中无数也最不放心的。应该肯定，一个系统运行的安全与否，不能单从双方当事人的判断作出结论，而必须由第三方的专业审计人员通过审计作出评价。因为安全审计人员不但具有专门的安全知识，而且具有丰富的安全审计经验，只有他们才能作出客观、公正、公平和中立的评价。

安全审计涉及四个基本要素：控制目标、安全漏洞、控制措施和控制测试。其中，控制目标是指企业根据具体的计算机应用，结合单位实际制定出的安全控制要求。安全漏洞是指系统的安全薄弱环节，容易被干扰或破坏的地方。控制措施是指企业为实现其安全控制目标所制定的安全控制技术、配置及各种规范制度。控制测试是将企业的各种安全控制措施与预定的安全标准进行一致性比较，确定各项控制措施是否存在、是否得到执行、对漏洞的防范是否有效，评价企业安全措施的可依赖程度。显然，安全审计作为一个专门的审计项目，要求审计人员必须具有较强的专业技术知识与技能。

安全审计是审计的一个组成部分。由于计算机网络环境的安全将不仅涉及国家安危，更涉及到企业的经济利益。因此，我们认为必须迅速建立起国家、、企业三位一体的安全审计体系。其中，国家安全审计机关应依据国家法律，特别是针对计算机网络本身的各种安全技术要求，对广域网上企业的信息安全实施年审制。另外，应该社会中介机构，对计算机网络环境的安全提供审计服务，它与会计师事务所、律师事务所一样，是社会对企业的计算机网络系统的安全作出评价的机构。当企业管理当局权衡网络系统所带来的潜在损失时，他们需要通过中介机构对安全性作出检查和评价。此外财政、财务审计也离不开网络安全专家，他们对网络的安全控制作出评价，帮助注册会计师对相应的信息处理系统所披露信息的真实性、可靠性作出正确判断。

二、网络安全审计的程序

安全审计程序是安全监督活动的具体规程，它规定安全审计工作的具体、时间安排、具体的审计方法和手段。与其它审计一样，安全审计主要包括三个阶段：审计准备阶段、实施阶段以及终结阶段。

安全审计准备阶段需要了解审计对象的具体情况、安全目标、企业的制度、结构、一般控制和应用控制情况，并对安全审计工作制订出具体的工作计划。在这一阶段，审计人员应重点确定审计对象的安全要求、审计重点、可能的漏洞及减少漏洞的各种控制措施。

1了解企业网络的基本情况。例如，应该了解企业内部网的类型、局域网之间是否设置了单向存取限制、企业网与Internet的联接方式、是否建立了虚拟专用网（VPN）？

2了解企业的安全控制目标。安全控制目标一般包括三个方面：第一，保证系统的运转正常，数据的可靠完整；第二，保障数据的有效备份与系统的恢复能力；第三，对系统资源使用的授权与限制。当然安全控制目标因企业的经营性质、规模的大小以及管理当局的要求而有所差异。

3了解企业现行的安全控制情况及潜在的漏洞。审计人员应充分取得企业对网络环境的安全保密计划，了解所有有关的控制对上述的控制目标的实现情况，系统还有哪些潜在的漏洞。

安全审计实施阶段的主要任务是对企业现有的安全控制措施进行测试，以明确企业是否为安全采取了适当的控制措施，这些措施是否发挥着作用。审计人员在实施环节应充分利用各种技术工具产品，如网络安全测试产品、网络监视产品、安全审计器。

安全审计终结阶段应对企业现存的安全控制系统作出评价，并提出改进和完善的方法和其他意见。安全审计终结的评价，按系统的完善程度、漏洞的大小和存在问题的性质可以分为三个等级：危险、不安全和基本安全。危险是指系统存在毁灭性数据丢失隐患（如缺乏合理的数据备份机制与有效的病毒防范措施）和系统的盲目开放性（如有意和无意用户经常能闯入系统，对系统数据进行查阅或删改）。不安全是指系统尚存在一些较常见的问题和漏洞，如系统缺乏监控机制和数据检测手段等。基本安全是指各个企业网络应达到的目标，其大漏洞仅限于不可预见或罕预见性、技术极限性以及穷举性等，其他小问题发生时不影响系统运行，也不会造成大的损失，且具有随时发现问题并纠正的能力。

三、安全审计的主要测试

测试是安全审计实施阶段的主要任务，一般应包括对数据通讯、硬件系统、软件系统、数据资源以及安全产品的测试。

下面是对网络环境信息系统的主要测试。

1数据通讯的控制测试

数据通讯控制的总目标是数据通道的安全与完整。具体说，能发现和纠正设备的失灵，避免数据丢失或失真，能防止和发现来自Internet及内部的非法存取操作。为了达到上述控制目标，审计人员应执行以下控制测试：（1）抽取一组会计数据进行传输，检查由于线路噪声所导致数据失真的可能性。（2）检查有关的数据通讯记录，证实所有的数据接收是有序及正确的。（3）通过假设系统外一个非授权的进入请求，测试通讯回叫技术的运行情况。（4）检查密钥管理和口令控制程序，确认口令文件是否加密、密钥存放地点是否安全。（5）发送一测试信息测试加密过程，检查信息通道上在各不同点上信息的。（6）检查防火墙是否控制有效。防火墙的作用是在Internet与内部网之间建立一道屏障，其有效性主要包括灵活性以及过滤、分离、报警等方面的能力。例如，防火墙应具有拒绝任何不准确的申请者的过滤能力，只有授权用户才能通过防火墙访问会计数据。

2硬件系统的控制测试

硬件控制测试的总目标是评价硬件的各项控制的适当性与有效性。测试的重点包括：实体安全、火灾报警防护系统、使用记录、后备电源、操作规程、灾害恢复计划等。审计人员应确定实物安全控制措施是否适当、在处理日常运作及部件失灵中操作员是否作出了适当的记录与定期、硬件的灾难恢复计划是否适当、是否制定了相关的操作规程、各硬件的资料归档是否完整。

3软件系统的控制测试

软件系统包括系统软件和软件，其中最主要的是操作系统、数据库系统和会计软件系统。总体控制目标应达到防止来自硬件失灵、机黑客、病毒感染、具有特权职员的各种破坏行为，保障系统正常运行。对软件系统的测试主要包括：（1）检查软件产品是否从正当途径购买，审计人员应对购买订单进行抽样审查。（2）检查防治病毒措施，是否安装有防治病毒软件、使用外来软盘之前是否检查病毒。（3）证实只有授权的软件才安装到系统里。

4数据资源的控制测试

数据控制目标包括两方面：一是数据备份，为恢复被丢失、损坏或被干扰的数据，系统应有足够备份；二是个人应当经授权限制性地存取所需的数据，未经授权的个人不能存取数据库。审计测试应检查是否提供了双硬盘备份、动态备份、业务日志备份等功能，以及在日常工作中是否真正实施了这些功能。根据系统的授权表，检查存取控制的有效性。

5系统安全产品的测试

随着网络系统安全的日益重要，各种用于保障网络安全的软、硬件产品应运而生，如VPN、防火墙、身份认证产品、CA产品等等。企业将在不断的安全产品市场上购买各种产品以保障系统的安全，安全审计机构应对这些产品是否有效地使用并发挥其应有的作用进行测试与作出评价。例如，检查安全产品是否经过认证机构或公安部部门的认征，产品的销售商是否具有销售许可证产品的安全保护功能是否发挥作用。

四、应该建立内部安全审计制度

安全审计措施范文

一、对计算机会计内部控制的再认识

西方对计算机会计内部控制的研究大概始于70年代，美国执业会计师协会（AICPA）和EDP审计人员协会从1974年开始先后发表了一系列研究报告或相关的审计准则，国际会计师联合会（IFAC）也在80年代制订了几个有关计算机审计的准则。这些文告或准则一方面肯定了计算机处理对内部控制的影响，强调加强内部控制及其审计的必要性；另一方面则比较一致地将内部控制分为一般控制和控制两大类，并据此制定了一套EDP控制标准。

我国财政部1994年的《会计核算软件基本功能规范》，集中在输入、处理、输出和安全四个方面对会计软件提出规范性要求，实质上涉及的都是内部控制的问题，即会计软件系统所应该实现的控制。而首次涉及计算机会计系统内部控制的审计法规则是1999年7月1日生效的《独立审计具体准则第20号-计算机信息系统环境下的审计》。

显然世界各国审计机关对计算机处理环境的内部控制问题都有相当的重视，进行了非常深入的研究。既肯定了计算机处理环境对内部控制的影响，又研究了加强控制的措施，还探讨了审计内部控制的方法。但是，事物总是的，随着计算机技术的日新月异，尤其是商务和财务的出现，前述的这些研究已经显得苍白。我们认为，当前对内部控制的研究存在三个问题：一是对广域网络环境下会计系统的内部控制缺乏研究，二是对内部控制的分类欠，三是不少控制措施以及对内部控制的符合性测试方法脱离实际。下面将就这些问题展开讨论。

二、网络会计给内部控制提出了新课题

网络财务战略一经提出就获得的普遍认同，成为业界关注的焦点，引发人们对网络环境下财务与管理的思考。网络财务的最闪光之处是通过Internet实现多种远程处理和支持电子商务，而这恰恰给会计内部控制出了难题。

我们知道，电子商务和远程处理必然要求会计系统的进一步开放与数据共享，而开放与共享将增加安全控制的难度，信息安全、资金安全都将成为内部控制的焦点。安全威胁既来自企业内部工作漫不经心的员工，也来自心怀不满的职员、外部黑客以及竞争对手。因为网上交易公开化程度较高，操作人员和信息使用者干预系统的机会增大，再加上使用的是公用通讯线路，系统面临的安全隐患也必然增多，从而增大企业经营的风险。例如，不法之徒可能利用网络及安全管理的漏洞窥探用户口令或电子账号，冒充合法用户作案，篡改数据库内容以窃取资产；利用网络远距离窃取企业的商业秘密以换取钱财，或利用网络传播计算机病毒以破坏会计信息系统，甚至摧毁网络节点；此外，由于电子商务处理业务的原始记录以电子凭证的方式存在和传递，不法之徒通过改变电子货币账单、银行结算单等，就有可能转移财产的所有权。

有鉴于此，网络财务必须实现以下控制目标：

1、对远程操作的控制，即实现对远程记账、报账、查账、制表、审计以及网上报税等操作的安全控制。

2、对网上支付的控制，即保证支付信息的机密、支付过程的完整、交易双方的合法身份以及互操作性，实现安全支付。

3、对电子凭证的控制，即控制电子凭证的正确收发、真伪确认、安全传递和格式转换等问题。

以上控制既涉及技术层面，也涉及政府立法和企业内部的制度建设。在技术上要采用公开密匙加密、电子数字签名、电子信封、电子证书等技术，加强对网上输入、输出和传输信息的合法性、正确性控制，在企业内部网与外部公共网之间建立防火墙，对外部访问实行多层认证。在上建立电子商务法律法规，规范网上交易、支付、核算行为，并制定网络财务准则和相应的内部控制制度。没有网络安全，就没有网络财务。

三、关于内部控制的分类

美国执业会计师协会第3号《审计准则公告》、《国际审计准则》第20号以及我国《独立审计具体准则第20号》，都把计算机会计内部控制分为一般控制（Generalcontrols）和应用控制（Applicationcontrols）两大类，并将前者定义为：（1）电子数据处理的组织和操作的计划；（2）对系统或程序的设计、开发和变动的记录、审核、测试和批准；（3）由制造商在设备内部所设置的控制；（4）对接触设备和数据文件的控制；（5）对系统的运行有影响的其他数据和指令程序的控制。公告把应用控制定义为输入控制、数据处理控制和输出控制。

但是，我们认为这种分类方法从其名称和内涵来看，都有值得商榷的地方。

1、定义缺乏逻辑性

分类是一种手段，目的是便于人们对事物的理解或认识，但这种分类方法并未达到这个目的。首先从其名称来看，分类标准不明确，甚至可以说用的不是同一个标准。因为人们往往习惯于将“一般”来区别“特殊”，而将“应用”与“基础”、“”或“系统”等概念相对应。所以将问题分为“一般”和“应用”在逻辑上是不清晰的，实际上不少问题既是“一般”问题，又属“应用”范畴。

2、两类控制的内涵不明

分类标准的模糊性带来控制内涵不明，到底哪些方面的控制属于一般控制，哪些属于应用控制，人们只能根据强加于人的“定义”来理解。两类控制常常交叉，例如数据输入既因涉及输入而属于应用控制，又因涉及组织和操作而属于一般控制的范畴。又如，对输出资料的保管、操作权限的识别这样一些控制措施，到底属于一般控制还是属于应用控制，人们从字面上就很难区别。此外有些还把对经济业务的完整性、有效性、合理性的审查和控制，作为数据处理控制的内容，使控制措施的归属变得更为含混不清。

3、企业控制的任务不明确

这种分类方法混淆了执行控制的主体，即两类控制中人们难以明确哪些是企业应该做的，哪些是软件开发商的责任。我们知道在手工会计中内部控制都是通过人来执行的，但在计算机会计中除了人这个执行控制的主体之外，许多内部控制方法却要通过计算机系统尤其是会计软件才能实现。例如，应用控制中的输入控制，既包括了用规章制度约束操作人员以保证输入数据的正确，又要靠系统自身的容错功能来识别和纠正输入数据的错误，前者是制度问题而后者则是计算机程序问题。在输出控制中也存在类似的问题，对输出的权限和完整控制应该是软件系统的责任，而输出资料的确认和保管则是会计人员的责任。

我们认为内部控制的分类既要概念清晰，又要区分控制的主体，以便明确责任，为此，建议将内部控制分为管理制度控制和程序系统控制两大类。其中程序系统指机软硬件系统，主要是系统和软件。程序系统控制主要是靠软件本身功能来实现的内部控制机制，以实现系统的自我保护，主要包括数据输入、内部处理、信息输出、数据传输和系统安全保护控制。程序系统控制的责任者是软件开发部门，用户不应负有责任。而管理制度控制一般是以管理制度的形式实行的，主要包括组织、操作、维护和资料保管等方面。我们也可以进一步将管理制度控制分为环境控制（或基础控制）和操作控制（或控制）两类，组织、维护和资料保管都属于环境控制的范畴。显然制度的制订和执行与计算机程序系统无关，而是会计软件使用单位的责任。这种分类法的优点是分类标准明确，容易理解，而且实现控制的措施和控制的主体是一致的，责任分明，方面容易清楚自己应该怎么办。

四、关于内部控制措施及审计

我们接触到的几乎所有教科书或，不仅将内部控制分为一般控制和应用控制，而且演绎和解释具体控制措施以及内部控制的审计时往往脱离实际，形式繁琐，又不突出控制重点，主要存在以下：

1、无法实现或不合理的控制措施

在对内部控制措施的罗列中，有许多是无法实现或者是不合理的要求。例如，要求在会计软件中“安装一个联机审机控制器，用来收集审计人员感兴趣的资料”，要求在程序中设置断点以控制“主文件金额数、记录计数、前一程序指令序号”，“每一个操作运行结束后应有一份打印输出”，通过使用“双重运算、逆运算法”检查错误等等，都是不合理的甚至根本就无法实现的措施。又如对会计软件系统的开发控制和审计是否合理，也是值得商榷的。

2、无需过问的控制措施

有许多控制措施是计算机系统的最基本的功能，并非为会计所设置，审计人员是无需过问的。例如，硬件的冗余检验、奇偶校验、回声检验，操作系统的错误处置、程序保护、文件保护，这些控制都是计算机系统所必备的功能，不应该将它们纳入会计内部控制的范畴，也不应该成为审计的。其实对许多系统保护措施审计人员也无从了解，更谈不上审计。

3、对内部控制的审计内容繁琐

许多文献对内部控制审计方法的介绍不仅内容空洞繁琐，而且空谈许多无法实现的审计方法，严重脱离实际，使审计人员不得要领，抓不住审计的重点。例如，对系统软件的测试是完全没有必要的，因为系统软件一般都比较可靠，而且不会对会计软件系统的安全造成威胁。此外，对会计软件的测试方法中许多方法从技术上看是不可行的，从成本效益原则上看也是不合算的。例如，程序流程图检验法、程序代码检查法都要求审计人员去阅读程序代码以确定会计软件的控制措施是否满足，这确实是一种天方夜谭的设想。又如所谓图示法要求“利用监督程序来测定被测试程序中哪些指令执行过，哪些指令未曾动用”，也是很不现实的方法。

鉴于以上原因，我们认为当前应该全面检讨内部控制的措施一方面通过制订《会计软件基本功能规范》进一步明确会计软件公司的责任，规范会计软件产品的程序系统在数据输入、处理、输出、传输和安全保护的控制功能；另一方面则应通过制订会计基础工作规范，明确推行会计电算化的单位的控制责任，规范必要和切实可行的控制措施。

安全审计措施范文

关键词：监理用表；问题；应对措施

Abstract:Thispaperdiscussesthe"Jiangsuprovinceconstructionstagesupervisionfieldtable”usedinthecommonproblemsandcountermeasures

Keywords:supervisiontable;problems;countermeasures

中图分类号：TU3文献标识码：A文章编号：2095-2104（2012）

众所周知，建设工程监理是为建设单位提供专业化、社会化工程管理咨询服务的组织，它不像施工单位能产出有形的建筑物，它的产品是无形的监理服务。而衡量监理服务质量优劣最直接的评价依据就是监理资料。在我们实际监理工作中，项目监理机构产生的监理资料主要是指《江苏省建设工程施工阶段监理现场用表》（下简称《监理用表》）。

《监理用表》是原江苏省建设厅结合我省监理工作的实际状况颁布的监理工作用表格，这套表格的内容不仅体现了施工过程中监理人员每一步工作的痕迹，同时也是工程竣工验收的重要依据。从3年来的实施情况看，项目监理机构对部分表格的填写还不够严谨，使用中存在一些共性问题。这些问题有的是细微的、一般性的，有的则是较严重的、应该杜绝的；有的问题是由于监理人员工作水平的差异造成的，而有的则是对资料编写的要求不明确导致的。这些问题不同程度的降低了项目监理机构的工作质量，性质严重的还会给业主造成损失，给监理人员和企业自身带来责任风险。下面，仅以我单位在对项目监理机构检查中发现的一些常见问题为例，来具体探讨一下应对措施。

1《A1工程开工报审表》的相关问题

1.1建设审批手续不齐备、施工单位准备工作不完善即申请开工；

应对措施：建设审批手续不齐备、施工单位准备工作不完善的情况下，总监不能签署同意开工。尤其是当施工许可证未办理时，总监应及时与业主进行有效的沟通，发出《监理工程师备忘录》，书面向业主提出监理意见。

1.2申请开工日期、同意开工日期、表格审批日期之间有矛盾；

应对措施：根据施工许可证的日期、施工合同约定日期、准备工作完成时间等因素审批开工报告，各种日期之间的先后顺序应符合逻辑关系。特别应注意，监理审核意见的签署日期不能早于施工许可证的实际发放日期。

1.3监理审核意见的签署日期与《工程开工报审表》所附资料审核日期之间有矛盾；

应对措施：施工组织设计等八项施工准备工作的审核日期，和要求上报的人员证件等附件资料的审核日期，均不能滞后于开工报告的签署日期，且相关资料之间的先后关系也应符合逻辑关系。

2《A3.1施工组织设计/方案报审表》的申报、审批问题

2.1施工单位报审的施工组织设计、方案未按要求完成内部审批程序；

应对措施：督促施工单位完成对施工组织设计的内部“三级”审批后，再向监理机构报验（安全专项施工方案也同此要求）。所谓的内部“三级”审批，即第一级是由施工组织设计（方案）的编制人、项目经理部技术负责人自检、签字；第二级是由施工单位技术、质量、安全部门相关人员审核同意签字；第三级是由公司技术负责人批准签字，并加盖公司公章，要注意的是，此章中单位名称应与施工合同的签订单位一致。监理人员还要核对施工企业的资质证书，确认其公司技术负责人一栏签字人员的有效性。专业分包单位在申报资料前，也应先由总包单位技术负责人审核批准。

2.2监理的审核意见不具体、无指导性，模棱两可的话较多；

应对措施：监理的审核意见首先应明确“同意”或“不同意”此份施工组织设计（或方案）。当“不同意”时，应具体指出其中需要修改的地方；如果“同意”，也应适当向施工单位给出一些建议或提醒。另外，以南京地区工程为例，监理人员除了对施工组织设计的内容要进行常规审查外，按照宁建规字【2010】1号文《南京市建设工程施工阶段监理工作监督管理办法（试行）》文件的要求，还应严格审查其中的质量、安全技术措施，并给出明确的监理审核意见。

3《A3.2施工安全生产管理体系报审表》的使用、申报问题

3.1很多施工单位在申报企业资信材料时，将安保体系相关资料并入质量行为资料一同申报，没有使用《A3.2施工安全生产管理体系报审表》；

应对措施：发现施工单位没有使用《A3.2施工安全生产管理体系报审表》后要及时指出，必要时给予相应的指导，督促施工单位立即纠正错误。

3.2施工单位申报的相关附件资料不齐全、不符合要求；

应对措施：督促施工单位按表中所列附件内容申报资料。对施工单位所附的证书、证件，监理人员要核实其有效性，在施工过程中还要定期检查年审是否过期；上报的有关复印件需与原件进行比对，施工单位未提供原件的，监理人员不能签字“已核对原件”；施工单位的《安全事故应急预案》应参照施工组织设计的“三级”审批要求进行内审，然后再向监理申报；施工单位申报的安全生产类制度要齐全。除表中提到的安全生产责任制度、安全生产教育培训制度、安全生产规章制度这三种外，根据近两年省、市主管部门各类工作检查时的要求，施工单位还应申报安全检查制度、事故报告制度、安全技术措施交底制度、安全隐患排查制度等。另外，监理人员还应重点核查施工单位专职安全员和特殊工种人员的数量是否满足规定。

4对于钢材等需复试合格才能使用的材料（构配件）、设备，专业监理工程师对其《A3.3材料（构配件）、设备进场使用报验单》的审查同意日期早于复试报告的日期

应对措施：对需复试合格才能使用的材料（构配件）、设备，专业监理工程师对其进场使用报验单应分两次签署审查意见更合理。即：在材料（构配件）、设备进场后，专业监理工程师核对其报验清单、生产许可证、出厂合格证、质保书、检测报告等质保资料后，签署同意进场的意见；然后在对其进行见证取样送检、复试报告返回、核查复试结果合格后，再签署同意使用的意见。两次意见签署均应注明审查的日期。

5《A3.9施工安全专项方案报审表》的相关问题

5.1施工单位申报的施工安全专项方案种类不齐全；

应对措施：安全专项方案一般包括：《基坑支护与降水工程专项施工方案》、《土方开挖工程专项施工方案》、《模板工程专项施工方案》、《起重吊装工程专项施工方案》、《脚手架工程专项施工方案》、《拆除、爆破工程专项施工方案》等危险性较大的分部分项工程方案。同时，《施工临时用电》、《高空作业安全防护》、《临边洞口防护》、《安全围护》、《施工用作业平台（架）》、《安全事故应急救援预案》等安全生产类施工方案也应使用本表格申报。监理工程师应根据工程涉及的施工内容，核对施工单位上报的施工安全专项方案种类是否齐全。近日，根据市住建委宁建质字【2011】460号文的要求，现场卸料平台、防护棚搭设也应编制相应安全专项施工方案。