时间:2023-03-16 15:25:04
序论:好文章的创作是一个不断探索和完善的过程,我们为您推荐十篇系统审计论文范例,希望它们能助您一臂之力,提升您的阅读品质,带来更深刻的阅读感受。
信息化是国家现代化的基本标志,也是一个国家综合国力的集中体现。信息化建设是一项长期的、综合的系统工程,在改善企业运作管理水平、提高工作效率的同时,也产生了巨大的风险。因此,建立信息系统审计制度,发展信息系统审计是信息化过程中必不可少的制度保证和手段。
一、信息系统审计的概述
1.信息系统审计的定义
信息系统审计(InformationSystemAudit信息系统,简称ISA)目前还没有公认的通用定义,国际信息系统审计领域的权威专家RonWeber将它定义为:收集并评估证据,以判断一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济地使用资源。可通俗的理解为是对信息系统的规划、开发、实施、运行和维护等各个环节进行评价,确保其符合企业经营目标的过程。
2.信息系统审计的业务内容
信息系统审计的业务内容包括计算机资源管理审计、软硬件等获取审计、系统软件审计、程序审计、数据完整性审计、系统生命周期审计、应用系统开发审计、系统维护审计、操作审计和安全审计。
信息系统审计项目按生命周期来划分,一般分为信息系统开发过程的审计、信息系统运行维护过程的审计和信息系统生命周期共同业务的审计。
信息系统开发过程中的审计是伴随着系统规划、系统分析、系统设计、编码、测试和系统试运行这几个阶段同步进行的。信息系统运行过程中的审计包括系统输入审计、通信过程审计、处理过程审计、数据库审计、系统输出审计和运行管理审计;信息系统维护过程中的审计包括维护组织审计、维护顺序审计、维护计划审计、维护实施审计、维护确认审计、改良系统试运行审计和旧信息系统报废审计。
3.信息系统审计的流程
信息系统审计流程包括三个阶段即:审计计划阶段、审计实施阶段和审计完成阶段。
计划阶段是信息系统审计流程的第一步,主要任务是了解被审系统的基本情况;与委托单位签订业务约定书;初步评价被审系统的内部控制及外部控制;确定重要性水平;分析审计风险和编制审计计划。
实施阶段的主要任务是根据重要性水平、风险和计划获取有关资料;进行符合性测试和实质性测试;对测试结果进行分析;找出导致结果的原因。
完成阶段的主要任务是整理、评价审计证据;复核工作底稿,完成二级复核,汇总审计差异,同被审系统管理层交流;对重要性水平和风险进行最终评价,形成审计意见,编制审计报告,完成三级复核。
二、信息系统审计的方法、技术与工具
由于信息系统本身的多样性和复杂性,信息系统审计的难度也随之增加。面对错综复杂的信息系统和审计环境,要求审计师可以根据审计组织及信息系统的实际情况,结合审计目标、成本效益、审计小组的人员与设备配置情况等,采用多种方法、技术和工具来帮助他们进行审计工作。
1.常规的审计方法、技术与工具
常规的审计方法包括面谈法、问卷调查法、系统评审会、流程图检查、程序代码检查、程序代码比较和测试等。但在高度计算机化的信息系统中,只采用常规审计法显然是不够的,无论是审计证据的收集、评价,还是实现审计工作的现代化,都需要借助计算机来高效完成。
2.计算机辅助审计的技术与工具
信息系统被普遍应用与企业生产、管理及经营活动的各个环节,审计师为达到审计目的,必须要收集大量储存于计算机中的数据,并借助于计算机对这些数据进行分析,以得出审计的结论。因此审计师在收集证据并分析证据时,必需利用计算机辅助审计工作,计算机辅助审计技术(ComputerAssistedAuditTechniques,简称CAAT)越来越成为审计师不可或缺的手段。
计算机辅助审计技术可以使信息系统审计师独立收集审计信息,按照预定审计目标访问和分析数据、报告系统产生和维护的记录的可靠性等审计发现。所用信息来源的可靠性为得出审计结论提供了再保证。
常用的计算机辅助审计软件与技术:共用软件、测试数据、应用程序检查、审计专家系统、整体测试、快照、系统控制审计审核文档、其他特殊的审计软件等。三、信息系统审计的应用价值
信息化是有风险的,信息系统规模越大,功能越复杂,风险也就越大。信息系统审计为企业信息系统的有效管理提供了一系列详细的审计方法,从项目计划开始介入信息系统建设的每个环节,从项目的初始阶段一直到运营阶段的全过程,给予项目投资者风险控制的评价和建议,提高信息系统的投资效益。
信息系统审计可以查出各种错误和舞弊,合理地保证企业信息系统及其处理、产生的信息的真实性、完整性与可靠性;可以促进企业更有效地融入到社会生活中;可以促进企业改进内部控制,加强管理,提高信息系统实现组织目标的效率。信息系统审计在信息化过程中,帮助企业建立健全的内部控制制度,进行系统诊断。确定信息化的目标和内容,帮助企业调整现有的管理框架和流程或修改软件产品使其更好地服务于管理的需要。
参考文献:
[1]胡克瑾:IT审计[M].电子工业出版社,2004.
在商业活动实现网络化之前,采购是面对面或通过纸质文件进行的,有迹可查,即使是电子交易,其设备结构是专用的,一般只限于已知用户使用,任何外部用户必须是已知的、身份明确的、可追踪的;系统通常是主机结构方式,相对易于监督、控制和审计。与传统商业相比,万维网客户/服务器系统的特点是高度分散,资源共享、服务分散、顾客透明度高等,而电子商务的运作速度更快、业务循环周期更短、风险更大、更高程度地依赖于技术。电子商务系统的技术基础和市场的快速变化意味着传统的衡量方法已不再适用于企业的某些资产,财务报告不能充分提供企业的状况和价值方面的信息,特别是网络企业的无形资产,如商誉、客户忠诚度和满意程度等这些产生长期价值的关键资产。核实确认这类资产价值的困难在于缺乏足够的历史数据、合适的参照标准、先进的实践经验以及对网络的各种威胁和概率的准确估算。企业管理层以及公众都需要寻找能够用以表述网络企业的可信度、安全性及其他资产价值的方法,需要一些新的核查和审计方法,更有效地评价无形资产,如知识、品牌等。因此,电子商务系统审计就成为历史的必然。由于,电子商务的可靠性、适用性、安全性和性能等方面受到的威胁或存在的风险,都可能会影响其生存和发展。风险因素包括:商业信息的泄露、智能财产的不当使用、对版权的侵犯、对商标的侵犯、网络谣言和对信誉的损害等。因此,进行必要和客观的审计,才会使董事会、审计委员会、高级管理层对电子商务系统的安全运作和效益满意和放心。
二、网络风险和风险管理
网络风险如同自然灾害一样不可预见。风险管理的关键在于风险评估,风险评估就是要分析和衡量风险事件发生的概率及后果,引起风险的因素及其关联因素,出现风险的关键点采取什么方法能够减缓风险,风险出现造成后果如何,以及评价管理层是否履行了应有的职业审慎进行防范和控制。同时在评估中还要为各项因素设计评价比率,计算各种风险的影响后果,根据影响和后果排序,对高风险因素作进一步的分析。
通过风险评估,可以认识到潜在风险(威胁)及其影响,以便对高风险领域作一些防范、检测、控制、减缓和恢复的工作计划和安排。这些计划和安排应涵盖对各项控制成本,主要是指接受、避免、转移、监测成本的分析以及各项工作的先后次序。
三、电子商务系统审计中网站的合法性证明
网络终端用户都会关注网站是否来自一个真实的、可靠的机构,提供的信息是否准确真实,机构背景是否正当合法,个人信息的隐私权是否得到保护等。所谓隐私权是指对个人的数据/信息的搜集必须合法、公平,必须用于某一特定、公开的目的,必须取得该个人的同意并受到保护,本人必须有权进入系统进行修改或删除,信息的越域流动和将来的使用、披露必须予以安全保证和限制等。
解决这些网站合法性问题的途径之一就是由一公证机构提供可靠的证明,以使网络终端用户能对网站提供的电子商务放心。如Verisign,TRUSTe,BBBOnline,WebTrust,SysTurst等都是具有良好的信誉并且提供证明-查证服务的专业组织机构。网络终端用户可以通过查询这些公证机构的记录,获得确认被访问网站的名称、有效状态、服务器标识等信息。
四、内部审计和电子商务系统审计
美国注册会计师协会对“核实查证”的定义是“提高决策者所需要信息的质量或内容的独立性专业服务。”其审计原则是保证系统的可用性、安全性、真实完整性和持续性,建议对系统安全性和真实完整性方面存在的控制点进行检查、评价和测试。并尽量在今后采用合适的审计标准对信息技术进行审计。不同于以年度为基础的传统外部审计,电子商务的实时性要求审计人员应对其进行连续不断的评估,按特定的审核标准对已发生的交易进行追踪,而系统内设置的自动登录记录可作为相应的审计轨迹,在系统内部实施对事件监督和控制。
尽管当前许多人认为核实查证通常与外部审计人员相关,内部审计人员则在公司内部出具审计报告。然而,国际内部审计师协会对电子商务系统审计的要求则是:审计控制目标主要是审计财务报告制度、经营的效益和效率、合规性和保护财产安全等方面。审计模式应该建立在系统的可用性、容量、功能、保护和可靠性的基础上。例如,内部审计对网络企业控制水平的独立评价,使得客户了解到企业提供的数据将不会被有意或无意地滥用。再如,企业目标是建立电子商务以降低成本、提高市场占有率,那么电子商务风险是随着网络交易的增加而增加,以至于不能确保交易的安全性或分辨用户的可靠性,因此,所需要的控制就是对用户的真实性进行确认以及对通讯信息进行加密。
随着Internet的发展,各种各样的网络应用服务也层出不穷,传统的如DNS、Email、Web和FTP等,时髦的如P2P、网络证书、网络电话和软件仓库等.面对如此众多的网络服务,怎样进行有效、规范的管理?怎么确保网络应用服务的健康、有序的发展?这就是摆在各个网络信息管理员面前迫切的问题.网络信息服务审计系统可以解决这个难题,同时也是网络安全研究的一个热点.
本文结合高校的特色和网络应用的实际情况,对网络应用服务管理进行了研究,提出了采用接人控制的网络应用服务审计系统的解决方案,通过实践证明,该系统对高校的应用服务系统是一种切实有效的管理方式.
1网络服务审计
1.1什么是网络服务审计
“审计”的英文单词为“Audit",可解释为“查账”,兼有“旁听”的涵义.由此可见,早期的审计就是审查会计账目,与会计账目密切相关.审计发展至今,早已超越了查账的范畴,涉及到对各项工作的经济性、效率性、合法性和效果性的查核,其基本目是确定被审查对象与所建立的标准之间的一致或不一致的地方.
网络服务审计是指对网络服务提供者所提供的服务是否遵守有关的法律和规章制度、是否登记备案、其服务内容是否超越所登记备案的范围、其是否已有效地达到了预期的结果等进行的检查与核查行为.
1.2网络服务审计的必要性
传统的网络服务审计可能非常耗费时间,通过对计算机逐个进行端口扫描、漏洞扫描或者镜像监听,获得所需要的信息后进行审计和核查.但如果计算机更改服务提供的端口号、用户防火墙屏蔽了端口扫描或者采用动态端口提供服务,那么就无法及时获得这些必要的信息了.
对网络信息管理员而言,如何有效的控制网络中的信息服务、如何掌握信息服务提供者所提供的服务类型是否超越所登记备案的范围、如何及时掌握统计和分析网络中信息流的动态情况等都是一个很繁琐和复杂的事情.
通过对网络应用服务的审计,能够及时获取服务提供者所提供的网络应用服务,能够及时掌握用户对信息服务的访问行为,能够及时发现有无违规的信息与访问,能够及时发现信息的泄露和敏感信息的访问等.
2网络应用服务审计系统架构
结合高校的特色和网络应用的实际情况,采用接人控制的网络应用服务审计系统由三部分组成:
2.1IEEE802.1x网络访问控制
IEEE802.Ix协议是基于端口的访问控制协议(portbasednetworkaccesscontrolprotocol),主要解决以太网认证和访问控制方面的问题.目前很多高校校园网都采用802.ix用于对用户接入校园网的行为进行控制.
在802.1x初始状态下,以太网交换机上的所有端口处于关闭状态,只有802.1x数据包才能通过,或者只能访问GuestVLAN内的特定网络资源(如网络应用服务审计服务器),而另外的网络数据流都被禁止.当用户进行802.lx认证时,以太网交换机将用户名和密码传送到后台的认证服务器上进行验证.如果用户名和密码通过了验证,则相应的以太网端口打开,允许用户对网络的访问,并部署AAA服务器下发的访问控制策略.
802.1x主要是解决网络接人的问题,未通过认证的用户将无法使用网络,这样可以确保接入用户的合法性.同时,当用户认证通过后,由服务审计服务器判定该用户是否安装Java数据采集控件,配合AAA服务器决定用户是否能够访问网络.
2.2Java数据采集控件
数据采集控件的实现有两种方式:一是集成到802.lx客户端中,二是单独的控件.Java由于其跨平台、跨操作系统的特性而成为首选.这样不管用户使用的是什么操作系统、使用什么软件提供服务,都能很方便的进行数据采集.
Java数据采集控件主要完成数据采集的工作,当用户第一次连接网络时,强制安装该控件.如果用户重新安装操作系统,当用户再次连接网络时,也将被强制安装该控件.
未安装数据采集控件的计算机,即使通过802.1x认证,也将只能访问服务审计服务器,而不能访问其他的网络资源.
数据采集控件负责采集计算机操作系统类型及版本、开放的端口、提供的服务和流量等信息,并上报给服务审计系统.
2.3服务审计服务器
服务审计服务器是整个系统的核心,主要有三个功能:一是和AAA服务器配合,确保所有接人网络的计算机合法性,并已安装数据采集控件.二是和Java数据采集控件通信,将数据采集控件报送的信息存储到数据库中.三是实现信息服务备案、查询管理、审计分析、实时审计和统计报表等功能.其中审计分析采用MPMF(multi-prioritymemoryfeedback)流水线处理算法}3J,其处理能力可以承载高速网络的审计处理.
2.4后台数据库服务器
数据库服务器可以采用市面上主流的大型数据库管理系统,如()racle,SQLServer,Sybase等,服务审计服务器通过ODBC/JDBC等数据访问接口来无缝地连接这些数据库系统.
同时,通过数据库复制来实现数据库的分布和同步,以使网络应用服务审计系统具备可扩展的数据处理能力,保证在网络流量日益增大的情况下系统可以可靠地运行.
3工作流程
3.1计算机接入网络
3.1.1802.lx认证
当计算机发起802.1x认证时,交换机将用户名和密码传送到后台的AAA服务器,由AAA服务器进行合法性判定.当用户未通过802.1x认证时,对网络的访问受限;当用户通过802.1x认证时,还需要由审计服务器进一步确认计算机上是否安装Java数据采集控件.
3.1.2Java数据采集控件确认
计算机通过802.1x认证后,AAA服务器通知交换机打开端口并部署相应的访问控制策略,将所有网络访问重定向到服务审计服务器.
如果计算机上已经安装Java数据采集控件,当检测到计算机网络状态已连接时,自动向服务审计服务器发出通知,告知该计算机已接入网络.服务审计服务器接到通知后,将信息记录到后台数据库服务器中,并通知AAA服务器下发新的访问控制策略,允许计算机访问其他的网络服务.
如果计算机没有安装Java数据采集控件,服务审计服务器不会收到通知,这时用户所有的访问都被重定向到服务审计服务器,而不能访问其他的网络服务川.
3.2网络应用服务审计数据采集
数据采集控件定时和服务审计服务器进行通信,将采集的信息上报服务审计服务器.服务审计服务器将这些信息记录到后台数据库服务器中,用于后续的查询、统计和审计等.
如果服务审计服务器在一定时间内未收到数据采集控件的通信信息(单次通信超时为60秒,如果连续5次通信未成功,则视为通信中断),服务审计服务器通知AAA服务器断开该用户的网络连接.
采集的审计数据一般包括下边的三个部分:
1)主机识别:连接到网络上的活动计算机的IP地址、MAC地址、802.1x用户名、交换机管理IP地址和交换机端口等数据,这些数据可以由802.1x服务提供.
2)主机描述:连接到网络上的活动计算机的操作系统、运行的网络服务及其版本信息、计算机开放的端口等数据,这些数据由Java数据采集控件提供.
3)服务描述:连接到网络上的活动计算机的哪些网络服务处于激活状态、流量是多少等数据,这些数据由Java数据采集控件和AAA服务器联合提供.
3.3网络应用服务审计
网络应用服务审计系统负责对采集到的信息进行审计,并根据预定设置,采取相应的措施.
审计可分为三个级别:高优先级、中优先级和低优先级。
高优先级审计主要用于网络中重要服务的审计,包括两个方面:一是所允许的服务运行是否正常,二是是否有未允许的服务在运行.高敏感度审计发现网络中的重要服务出现问题时,会立即以短信方式通知管理员进行处理,从而确保重要服务的正常运行.
中优先级审计主要用于网络中非重要服务的审计,也包括上述两个方面,但发现问题时,只是以告警信息或者邮件的方式提示管理员进行处理.
低优先级审计则用于网络中的大部分用户,着重于信息的收集和保存,以备非实时审计、统计分析用.
为满足高速网络中服务审计的需要,采用了MPMF流水线处理算法.MPMF算法根据审计系统的过程模型以及各个部分的特点,合理划分各个部分的层次以及优先级顺序。
3.4计算机从网络中退出
当计算机正常从网络中退出时,数据采集插件停止工作,交换机端口恢复到关闭状态.
随着市场经济的深入发展,企业逐步成为自主经营、自我约束、自我发展、自我完善的商品生产者和经营者。在“优胜劣汰、适者生存”的市场经济中,企业要想真正的做到“自主经营、自我约束、自我发展、自我完善”,必须要加强内部控制,建立有效、完善的内部控制制度,这样才能在一个绝对的高度上,对企业进行高瞻远瞩的控制,才能做出与时俱进的决策。
(二)内部审计是企业内部监督机制的重要组成部分
内部审计也是企业内部控制的一个重要的组成部分,是监督内部控制其他环节的主要力量。内部审计通过对控制环境和控制程序的有效性进行监督,评估企业的内部控制是否被执行,是否及时反馈有关执行结果的信息,是否帮助企业更有效地实现预期控制目标。同时,在监控过程中,内部审计可以促进控制环境的建立和改善,为改进控制制度提供建设性的意见,为企业建立健全所需要的内部控制水平服务。在内部控制的监督过程中,内部审计发挥着越来越重要的作用。
二、内部审计在防范信息系统风险中面临的问题
(一)信息系统安全管理机制不健全
企业信息系统风险的存在,很多是由于管理不善或控制不严造成的。一方面,缺乏一套统一的安全策略体系来指导安全管理工作,无法建立系统内部明确、全面的安全规范要求。从现有管理制度规范来看,主要存在的问题是可操作性差,条理不清、重叠或遗漏等;另一方面,现有安全管理制度的管理对象基本是网络系统管理员等技术部人员,管理对象没有全面涵盖所有信息系统技术相关人员,包括所有网络系统上的内部终端人员和外部人员。
(二)内部审计在信息系统风险防范中的角色缺乏独立性
内部审计的角色发生了转变。从传统的事后审计而逐渐转向事前和事中审计,主动参与内部控制系统的建立和完善。内部审计人员即承担着评价硬件和应用信息系统安全的任务,如果又同时有参与了系统的开发和实施过程,那么内部审计人员就却乏独立性。反之,如果处于对丧失独立性的担心,内部审计人员有可能会拒绝参与系统和软件的开发,那么系统开发过程中存在的风险又无法得到控制。
(三)内审部门技术力量薄弱造成对信息系统审计形成风险
审计稽核部门的技术力量薄弱,不熟悉业务系统的流程和功能,对信息系统缺乏必要的认证能力和标准。突出表现为以下几个方面:一是实施审计稽核的手段和方法没有得到及时更新,不适应信息系统管理的要求,大部分仍停留在手工审计阶段;二是审计稽核部门对计算机账务系统实施审计的依据仅依赖于被审计单位提供的打印资料或事后资料,计算机账务的真实性审计很难得到保证。
三、加强风险防范的措施和对策
(一)构建信息系统安全管理组织及规范体系
加强信息系统的自我风险评估体系,让信息系统的管理和技术人员在自身的职责范围之内正确识别和评估潜在操作风险,主要包括内控制度的查漏补缺、工作流程的整理和规范、应急预案完善和演练等。同时加强对操作人员的管理,规范操作程序。一是加强密码管理,明确规定操作人员的权限,操作员必须在规定的权限内办理业务,用户口令及密码必须专人专用,严禁公开口令及密码;二是要建立健全操作员岗位目标责任制,对网络操作人员要明确目标任务,规范操作程序,严格落实奖惩制度。三是要严格岗位设置,不相容职务进行分离。严禁系统管理人员、网络技术人员、程序开发人员和前台操作人员混岗、代岗或一人多岗。四是要加强系统内部的稽核监督检查。稽核监督应贯穿于网络操作的全过程,重点是加强对系统设计开发、内控管理制度落实、操作运行等方面的(二)关注信息系统的稳定性、安全性和有效性审计
首先,审计人员应运用用一定的技术方法识别系统的完整性,该过程包括检查、测试、评估系统的内制,以保证系统的稳定性;其次,审计人员应评价系统存在的风险和可能产生的后果将成为审计的核心工作和基本内容,保证信息系统的安全性。应根据审计的标准和准则,评价控制环境的和IT基础设施的安全,确保系统满足组织的业务需要,保护信息资产的安全完整,以防非授权使用、泄露、修改、损坏或丢失;最后,还应鉴别信息系统的有效性。内部审计必须理解并熟悉操作环境,了解系统技术的复杂性及其对决策的影响;对来自内部的安全隐患,采用一定的方法进行系统诊断、检验、测试,评价其有效性及效率,以支持组织业务目标的实现
(三)改善内审机构,提高内审人员素质,培养信息系统审计师
为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价。信息系统审计师也称lS审计师或IT审计师,是指那些既通晓信息系统的软件和硬件(包括信息系统的开发、运营、维护、管理和安全等),又熟悉经济管理的内部审计人才。
(四)聘请专家进行协助
内部审计人员的知识、技能和经验虽然有助于信息系统的风险防御,但现实中必须承认,在企业中同时具备计算机技术和审计专业知识的人才非常短缺。再出色的内部审计人员可能面临一些系统内的专业问题却无法解决,因此有必要聘请外部专家。可以通过专家的协助测试运用其专业技能测试系统安全,进一步防范和解决信息系统风险的存在。
论文关键词:内部审计信息系统风险防范
论文摘要:内部控制是社会经济发展到一定阶段的产物,其内容在不断的发展与变化,而内部审计是内部监督机制的重要组成部分。目前计算机信息系统已在企业中广泛使用,而在内部审计过程中如何加强计算机信息系统的风险防范,是企业内部控制过程中迫切需要解决的问题。
二、内部审计的系统管理模式分析
系统管理理论,把管理对象看成是特定的系统,以系统思想为指导,以系统功能最佳为目标,运用系统管理方法,把握住系统的组成要素及要素之间的联系,对各要素进行高效率的计划、组织、指导和控制,及时调整和控制系统的运行,以实现系统全过程的动态优化管理,最终实现系统目标。根据系统管理理论,设计系统管理模式的一般方法是先进行系统的总体设计,然后进行各子系统或具体问题的研究。内部审计系统主要包括目标、组织、行为和管理等要素,各要素之间存在着错综复杂的内在联系,且各要素本身又是由若干子要素组成的子系统,构成一个完整的内部审计系统。
1.内部审计目标系统。
目标系统是内部审计所要达到的最终状态的描述系统。由于内部审计是隶属于企业内部的一项职能,企业的每一项职能都要围绕企业的核心目标而用力,国际及中国内部审计协会对内部审计目标进行了恰当定位,即为了组织增加价值并提高组织的运作效率,帮助组织实现其目标。可见,内部审计根植于企业目标而存在,为最终实现企业目标保驾护航。内部审计目标系统包含系统目标、子目标和可执行目标三个层次,其中系统目标即企业目标;子目标即开展的每一项审计项目的总括性目标,向上与系统目标衔接一致;可执行目标用于确定审计项目的详细构成,向上与项目目标衔接一致,应具有可操作性,便于审计人员具体执行,通过“自上而下”及“自下而上”双向控制,最终达到实现整个内部审计目标的目的。
2.内部审计组织系统。
内部审计组织系统是由参与完成审计工作、实现内部审计目标的个人和机构组成。内部审计组织系统具有开放性,在进行内部审计组织系统设计时,应考虑以下几点:一是把握突出内部审计的独立性和权威性原则;二是内部审计机构与董事会或者最高管理层的关系,根据第2302号内部审计具体准则规定,内部审计机构与董事会或者最高管理层存在组织隶属关系,应当接受董事会或者最高管理层的领导并向其报告,保持良好的关系,积极寻求其对审计工作的理解与支持,增强内部审计的权威性及审计工作开展的便利性;三是内部审计机构及人员相对于同层级管理机构及人员应具有相对的独立性和权威性,便于审计工作开展。
3.内部审计行为系统。
内部审计行为系统是由完成内部审计项目或任务、实现内部审计目标所有必需的内部审计活动构成的,包括审计目标、审计制度、审计计划、审计工作方案制定、审计项目实施以及审计建议落实等。这些活动之间存在各种各样的逻辑联系,构成一个有序的动态系统,设计内部审计的行为系统,应注意以下几点:一是应包括实现内部审计目标系统必需的所有工作,并将它们纳入计划和控制过程中;二是按照内部审计准则及制度实施审计项目,保证审计项目实施程序化、规范化;三是保证内部审计行为系统与企业内其他机构、部门及个人行为之间良好的协调。
4.内部审计管理系统。
内部审计管理系统是指为使内部审计达到应有的效果,对内部审计的目标、组织及行为系统所采取的控制措施总和。为最终确保内部审计目标的实现,内部审计管理系统从总体上应完成如下工作:一是对内部审计的目标系统进行策划、论证和控制,使之与企业目标相统一;二是对内部审计的行为系统进行计划和控制,使之符合内部审计准则及制度的规定,保障审计质量;三是对内部审计的组织系统进行设置、协调和指挥,使之保持相对的独立性和权威性,利于审计工作开展及审计目标实现。
1)信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整,以及有效率地利用组织的资源并有效果地实现组织目标的过程(国际信息系统审计与控制协会ISACA的定义。
2)目前审计机关信息系统审计主要有两种方式,一种是将信息系统审计作为常规审计的一部分,为实现审计项目的总体目标服务,即数据审计、信息系统审计和系统内部控制审计"三位一体"的结合方式.信息系统审计和系统内部控制审计为数据审计服务,通过审计数据得出结论.另一种是独立立项的,直接审计信息系统本身的安全性、可靠性和有效性。
二、为什么要开展信息系统审计
信息系统审计作为国家审计机关的一项重要工作,是信息化发展到一定程度的必然产物。
(一)开展信息系统审计是控制审计风险的要求.近几年,审计纸质账目时,内部控制也要审计,不能假账真审.同样的道理也不能假电子数据真审,如果被审计单位运载电子数据的信息系统的安全性、可靠性和有效性出现了问题,计算机数据审计就会存在风险,系统的可信与可靠程度是数据审计得以进行的前提和最终实现的基本条件。
(二)开展信息系统审计是全面履行审计职责的要求.信息化环境下的审计,电子数据、信息系统、系统内部控制审计必须"三位一体",在审计过程中,这三项内容不能少.只有这样,我们才能完成审计署党组强调的"全面审计,突出重点"的要求,全面履行审计职责。
三、信息系统审计与常规审计之间的区别与联系
1)信息系统审计是常规审计的一部分,是以常规审计理论为理论基础的,两者之间有紧密的联系,也存在一定的区别。
2)两者的联系是:信息系统审计继承了常规审计的基本理论与方法,与常规的审计一样。在立场上,要求信息系统审计师站在独立的立场上,通过选择特定的审计对象,采用询问、检查、分析、模拟、测试等方法获得客观的审计证据,来判断其与既定标准的符合程度。在程序上,信息系统审计一般也要经过审计计划、符合性测试与实质性测试、审计报告等主要阶段来进行审计工作,实现审计目标。
3)两者的区别也比较明显,主要表现在:首先,信息系统的审计对象不同于常规审计的财务领域,而是信息系统,包括基础设施,软硬件管理,信息安全,网络管理合通信等;其次,信息系统审计提出了更多的审计法与审计程序,这都是常规审计所不具备的,比如对某软件进行审计时,要采用技术含量相当高的测试,对网络安全审计时要采用穿透性测试(模拟成黑客进行各种攻击以验证其安全性);第三,信息系统审计不光是事后审计,主要关注系统的运行现状,在某种情况下,直接参与项目的开发或变更过程,以保证足够的控制得以顺利实施;最后,信息系统审计的咨询价值显得更高,信息化的风险很高,信息系统审计师可凭借其专门知识和实践经验,受托或主动服务于被审计单位的管理者或其业务人员,在企业信息化过程中,帮助企业建立健全内部控制制度,进行系统诊断,根据企业需求,确定信息化的目标和内容,选择合适的信息系统。
四.如何使信息系统审计与常规审计有机结合
1)在项目计划上的相结合
信息系统通过选择特定的审计对象,采用询问、检查、分析、模拟、测试等方法获得客观的审计证据,来判断其与既定标准的符合程度。在程序上,经过信息系统审计,审计项目计划、符合性测试与实质性测试、审计报告等主要阶段来进行审计工作,实现审计目标。
2)在项目实施过程中相结合
(1)全面开展对项目实施过程中电子数据的审计,包括会计电子数据和业务管理电子数据。采取的具体方法是:1.精确复核。运用计算机,对各种项目数据进行精确复核,既可以对全辖并表机构的会计报表与汇总报表进行全面复核,又可以从会计流水账逐级核对至总账,还可以将业务管理数据与会计报表数据进行复核;2.编制计算机程序进行辅助计算。可以编制计算机程序对有比例关系的项目进行计算,然后与实际记录进行比较,找出产生差异的记录;3.对一些异常会计记录和交易进行筛选和查询,为审计人员提供审计线索,主要是根据某一特征进行筛选分析,从不同角度分析可疑问题线索。
(2)以信息系统审计对项目实施时,对项目管理系统的内部控制情况进行初步的调查和评价,重点是权限管理、参数表的设置和修改控制等是否有效,被审计单位对交易录入的原始数据是否实施相应的控制,信息系统的数据流和业务流程是否吻合;3.通过系统日志等文件分析一些重大事件的原因,避免在项目实施过程中发生不可预测影响。
3)在资源配制上相结合
常规审计在我国的审计实践中,对项目资源存在的漏端很难察觉,原因主要是以下三大困难:一是审计人员难以在短时间内透彻了解被审计单位的项目存在弊病。一般来说,小型的数据管理,由专业的软件公司开发后打包在市场销售,被审计单位人员仅仅是使用者,审计人员无法获得开发设计的细节;而定制的系统多用于大型的数据管理,由软件公司或内部的开发部门根据企业的应用量身定做,这类系统技术文档和技术支持比较完善,但是由于系统过于庞大,细节设计过于复杂,审计人员在有限的审计时间内难以对系统进行评估。二是难以发现系统内的瑕疵。从表面看,常规审计的各项令人眼花缭乱审计方法无论是从开发文档还是操作手册都不会直接察觉系统的瑕疵,而且在现场审计中,审计人员一般不允许对正在运行的系统进行测试,较难识别系统的问题。三是难以评估系统瑕疵所导致的后果。在审计实践中,即使审计人员发现了常规审计存在的某些瑕疵,但是未发现该瑕疵导致的已经存在的后果,常常使得审计结论缺乏直接证据。
信息系统审计作为一种全新的审计手段和审计理念,首先,审计人员可以通过整体评价被审计单位的项目管理系统重要性的基础上,确定审计重点。其次,审计人员应用内控测试和数据审计两种方式对选定的项目管理系统进行分析,一般能迅速找出项目管理信息系统存在的瑕疵,尤其是人为舞弊的线索。第三,根据已经发现的问题,对系统进行延伸,进一步追查系统存在问题所引致财务收支失真等方面的问题。可以较好地从信息系统的角度发现舞弊问题和内控漏洞,使得审计内容不断丰富完整,较好降低审计风险。
五、在常规审计后,开展信息系统审计的意义
1)信息系统审计是未来审计发展的必然,未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展。
2)维护信息时代的市场经济秩序
笔者对广西教育系统部分高校调查了解,结果表明:只有一半的高校设立审计部门,这其中有三分之一是与纪检、监察合署办公;审计人员大部分是从财务岗位劝退转型的,一部分审计人员还兼任学校其他管理岗位。调查显示:某些校领导认为公立高校属于全额拨款预算单位,不象企业存在风险问题,内审工作可有可无,没必要设立独立部门和配备专职专业人员。
2.内部审计信息化水平过低。
由于受到环境、人才、硬件、软件等多种因素的制约,中国的审计信息化发展远远落后于会计信息化。比如广西教育系统的财务部门基本上采用会计电算化软件,业务部门采用信息管理系统,这些信息技术比较成熟,更新升级的速度快,但是相对应的审计部门主要采用手工审计,计算机起到辅助作用,并没有一个成熟的审计软件能赶得上审计对象的变化少数高校也采用审计软件,但事实证明实用性不强,使用效果不理想。原始的简单的审计方法适合于传统的制度导向的财务收支审计,根本无法满足现代风险社会和现代科学技术进步对内部审计的基本要求,无法进行涉及各种环境因素的综合风险分析及防范。
3.内部审计制度建设不到位。
尽管审计署2007年以来了《国家审计数据中心基本准则》和一系列专业审计数据规划,以及2008年通过建立审计方法目录体系和审计方法规范要素而完成了计算机审计方法体系的标准规范工作,但是各施各法的内部审计执法行为可能隐藏着会计信息真实性、完整性和审计作业安全性、科学性、审计证据可靠性及审计报告恰当性等背后的各种审计风险。信息化背景下内部审计工作环境发生了根本变化,工作中出现的新情况新问题,因计算机审计的范围、目标、程序、技术、方式等缺乏法律法规的明确规定而导致在审计实践中遇到了很多的障碍。
4.内部审计风险更趋复杂化。
在信息技术普及化、信息交流全球化和信息传输自动化的背景下催生了会计核算电算化以及内部审计信息化。这种背景下内部审计,审计环境更趋复杂化,审计数据采集难度、审计证据的充分性、信息系统的成熟度与安全性、审计人员掌握计算机专业知识与技能的熟练度等审计因素,均有可能使得审计风险在审计业务发生前就已经产生或存在。
二、内部审计风险防范措施建议
1.与时俱进,更新理念。
对于内部审计的负责部门,应做好内部审计制度建立和完善工作,形成完备的内部审计制度体系,避免出现以领导的意图作为内部审计工作的基本要求的情况。对于被审单位,要树立主动接受内部审计的意识。只有这样,才能不断提升从传统的查错防弊到现在的价值增值管理服务的内部审计内涵。
2.重视技术,坚持创新。
随着信息时代的迅猛发展,内部审计人员的工作理念必须随着内部审计标准、审计方式、审计手段、人员要求、审计目标等变化而与时俱进,必须从传统的手工作业转变为现代内部审计的办公自动化系统、审计项目管理系统的信息化轨道上来,实现由财务控制逐步向业务控制和信息系统控制转变,以计算机及其软件技术、网络通信技术、集成技术、数据管理为依托,重视科技知识与技能在创新内部审计方法上的作用。
3.完善制度,健全体系。
广西教育系统内部审计风险防范工作应尽快研究制订适应本地本系统发展现状的、统一的审计准则和标准,这些准则和标准应当包括内部审计工作标准、风险评估、系统评价、内控评价、人员资质以及审计技术、基础设施、系统流程等方面的规章制度、业务规范和管理体系。不仅仅从战术上对广西教育系统内部制制度进行健全性和符合性测试,继而识别风险并进行有效防控,而且要强调审计战略,应虑广西教育系统内部的各种环境因素,强调财务审计与绩效审计等多种审计模式融合成一个整体体系,以达到审计工作的效率性和效果性。
4.强化培训,打造队伍。
广西教育系统内部审计风险防范工作质量很大程度上取决于所打造的内审队伍的综合素质。培养满足广西教育系统内部审计风险防范工作要求的、财审专业知识与实践经验和计算机技能交融的复合型内部审计人才尤为重要。应通过多种途径培养和培训内审人员的综合素质与能力,诸如加强审计理论研究及其成果转化,以科研促进审计实践,理论研究指导审计实务,并进行考核评价,以适应时代对内审人员的基本要求。
5.注重分工,强调效率。
根据亚当.斯密(AdamSmith,1776)著名的劳动分工论,广西教育系统内部审计风险防范工作可以充分利用社会优质的专业审计资源如审计中介机构,将部分风险程度高以及我们力所不能及的业务项目(如大型基建审计项目或者是巨额融资项目等审计成本高相对较高、专业分工相对专业的审计业务实行内部审计外部化,外包给社会专业机构,不但可以转移和规避审计风险,增强内部审计的权威性和公信力,而且可有效提高审计质量与效率。
在商业活动实现网络化之前,采购是面对面或通过纸质文件进行的,有迹可查,即使是电子交易,其设备结构是专用的,一般只限于已知用户使用,任何外部用户必须是已知的、身份明确的、可追踪的;系统通常是主机结构方式,相对易于监督、控制和审计。与传统商业相比,万维网客户/服务器系统的特点是高度分散,资源共享、服务分散、顾客透明度高等,而电子商务的运作速度更快、业务循环周期更短、风险更大、更高程度地依赖于技术。电子商务系统的技术基础和市场的快速变化意味着传统的衡量方法已不再适用于企业的某些资产,财务报告不能充分提供企业的状况和价值方面的信息,特别是网络企业的无形资产,如商誉、客户忠诚度和满意程度等这些产生长期价值的关键资产。核实确认这类资产价值的困难在于缺乏足够的历史数据、合适的参照标准、先进的实践经验以及对网络的各种威胁和概率的准确估算。企业管理层以及公众都需要寻找能够用以表述网络企业的可信度、安全性及其他资产价值的方法,需要一些新的核查和审计方法,更有效地评价无形资产,如知识、品牌等。因此,电子商务系统审计就成为历史的必然。由于,电子商务的可靠性、适用性、安全性和性能等方面受到的威胁或存在的风险,都可能会影响其生存和发展。风险因素包括:商业信息的泄露、智能财产的不当使用、对版权的侵犯、对商标的侵犯、网络谣言和对信誉的损害等。因此,进行必要和客观的审计,才会使董事会、审计委员会、高级管理层对电子商务系统的安全运作和效益满意和放心。
二、网络风险和风险管理
网络风险如同自然灾害一样不可预见。风险管理的关键在于风险评估,风险评估就是要分析和衡量风险事件发生的概率及后果,引起风险的因素及其关联因素,出现风险的关键点采取什么方法能够减缓风险,风险出现造成后果如何,以及评价管理层是否履行了应有的职业审慎进行防范和控制。同时在评估中还要为各项因素设计评价比率,计算各种风险的影响后果,根据影响和后果排序,对高风险因素作进一步的分析。
通过风险评估,可以认识到潜在风险(威胁)及其影响,以便对高风险领域作一些防范、检测、控制、减缓和恢复的工作计划和安排。这些计划和安排应涵盖对各项控制成本,主要是指接受、避免、转移、监测成本的分析以及各项工作的先后次序。
三、电子商务系统审计中网站的合法性证明
网络终端用户都会关注网站是否来自一个真实的、可靠的机构,提供的信息是否准确真实,机构背景是否正当合法,个人信息的隐私权是否得到保护等。所谓隐私权是指对个人的数据/信息的搜集必须合法、公平,必须用于某一特定、公开的目的,必须取得该个人的同意并受到保护,本人必须有权进入系统进行修改或删除,信息的越域流动和将来的使用、披露必须予以安全保证和限制等。
解决这些网站合法性问题的途径之一就是由一公证机构提供可靠的证明,以使网络终端用户能对网站提供的电子商务放心。如Verisign,TRUSTe,BBBOnline,WebTrust,SysTurst等都是具有良好的信誉并且提供证明-查证服务的专业组织机构。网络终端用户可以通过查询这些公证机构的记录,获得确认被访问网站的名称、有效状态、服务器标识等信息。
四、内部审计和电子商务系统审计
美国注册会计师协会对“核实查证”的定义是“提高决策者所需要信息的质量或内容的独立性专业服务。”其审计原则是保证系统的可用性、安全性、真实完整性和持续性,建议对系统安全性和真实完整性方面存在的控制点进行检查、评价和测试。并尽量在今后采用合适的审计标准对信息技术进行审计。不同于以年度为基础的传统外部审计,电子商务的实时性要求审计人员应对其进行连续不断的评估,按特定的审核标准对已发生的交易进行追踪,而系统内设置的自动登录记录可作为相应的审计轨迹,在系统内部实施对事件监督和控制。
尽管当前许多人认为核实查证通常与外部审计人员相关,内部审计人员则在公司内部出具审计报告。然而,国际内部审计师协会对电子商务系统审计的要求则是:审计控制目标主要是审计财务报告制度、经营的效益和效率、合规性和保护财产安全等方面。审计模式应该建立在系统的可用性、容量、功能、保护和可靠性的基础上。例如,内部审计对网络企业控制水平的独立评价,使得客户了解到企业提供的数据将不会被有意或无意地滥用。再如,企业目标是建立电子商务以降低成本、提高市场占有率,那么电子商务风险是随着网络交易的增加而增加,以至于不能确保交易的安全性或分辨用户的可靠性,因此,所需要的控制就是对用户的真实性进行确认以及对通讯信息进行加密。
(一)人员流动渠道不畅通
审计系统由于受编制、人事管理体制及专业性质的制约,人员的录用、提拔、调离等方面都存在一定的困难与障碍,人员流动性小。虽然政府再三强调审计机关工作人员逢进必考,但现实的大环境,人事部门也难于做到严把进人关。近两年我局所进人员,基本上是乡镇领导换届安排,部分关系人员照顾性进来的,实际能胜任审计工作人员难于“走进来”,而非专业人员,相对来说又难于“走出去”。审计人员提拔、输出的极少,由审计岗位走向领导岗位的更少,人员始终处于一种自行消化状态,干部成长渠道窄。由此严重影响了审计干部向健康、向上方发展,从而影响了审计事业的推进。
(二)机制体制不完善、不健全
基层审计机关审计任务繁重,工作压力过大是不可否认的现实,所以在日常工作中,年龄偏大点的审计人员认为自己搞审计多年有经验、有方法,同时存在“船到码头车到站”的思想,当天和尚撞天钟,完成任务就行了。而年轻刚进来的审计人员,大多凭关系进审计局,缺乏刻苦钻研、勤奋好学的精神,得过且过,应付了事,整天讨好领导,在理念和实践上无长进,形成一种“工作干好干坏无区别,干多干少无所谓”的不正确认识,这种状况的出现主要还是基层审计机关机制体制不完善、不健全,以及有关制度未能真正做到有效地贯彻执行,尚未建立健全符合现阶段审计发展的审计管理、审计教育培训等工作机制,缺乏切合实际的考核激励制度,最终导致审计人员工作态度不够认真,积极性不够高,创新意识不强的结果。
(三)学习教育不够重视
基层审计机关普遍存在业务人员少、任务重的矛盾,且大多数都是具有丰富审计经验的40~50人员,加上每年要完成的审计单位(项目)众多(如我局去年审计的单位(项目)73个,其中年度计划51个,县委、县政府临时交办22个,今年又达74个,这还不包含县委、县政府临时交办的审计项目),项目一个接一个,加之审计的程序及其繁琐,案卷整理过于繁杂,审计决定执行难度较大,审计人员长年累月奔波于审计一线,天天忙于查账、写审计报告、执行审计决定、整理审计案卷,任务的日趋繁重,及主观上缺乏足够的重视,基层审计人员在学习上更多的是采取敷衍的态度,静不下心、沉不下心去认真学习,深入思考学习新的审计方法和技巧。由于过份强调“忙”,更谈不上组织审计人员进行系统培训,最终导致审计人员综合分析、解决问题、创新等各方面能力得不到提升,运用绩效理念,计算机技术等现代审计方法无所适从。
二、对策及建议
加强基层审计队伍建设,是推动审计事业不断发展的根本保障,是新时期、新形势下社会各界对审计工作的基本要求,也是充分发挥审计保障国家经济社会健康运行的“免疫系统”功能作用的迫切需要。基层审计干部队伍建设是一项系统的工程,任重道远,需要基层审计机关及广大审计人员坚持科学发展观,树立科学审计理念,从提高认识、完善机制体制及制度、加强学习教育、优化队伍结构,提高审计质量等措施入手,不断强化队伍建设,全力打造一支适应新时代要求的高素质审计干部队伍。
(一)优化人员结构
一是立足当前实际,从现有人力资源上下功夫,努力提升审计人员的素质,从根本上解决审计队伍知识结构失衡、能力发展不均衡等问题。由于受机构编制制约,短时间内难以通过招录人员、引进专业人才的方式充实审计力量,优化审计队伍结构,根据审计队伍实际情况,通过以老带新、以强带弱、强化学习培训、强化沟通交流等方式,积极培育审计人才,促使审计人员具备丰富的业务知识、扎实的专业技能、勇于创新的精神。二是严把审计进人关,用好有限的人员编制,招录急需人才。根据审计机关工作性质及专业特点,通过设定一定的条件及标准、采用科学合理的录用方式将审计队伍中知识结构严重缺位的、审计工作急需的人才引进到审计队伍中,确保队伍整体素质及水平。三是逐步建立审计专家库。作为基层审计机关,普遍存在人才缺口,很难配齐所需的各类人才,因此上级审计机关因结合审计实际,逐步建立完善适应审计需要的审计专家库。基层审计机关可以通过聘请专业人才参与审计等的方式,缓解审计力量不足的矛盾。
(二)争取政府支持,确保审计经费
《国务院办公厅转发审计署关于机构改革中加强市、县级人民政府审计机关建设几点意见的通知》([2000]86号)精神要求,“各级审计机关的审计经费应根据《审计法》的有关规定,列入同级预算,由本级人民政府予以保证”,据此,审计机关应主动争取政府支持,财政年度预算时充分考虑到审计工作性质、工作量、工作职能和工作成本,确保审计机关的经费,以提高审计工作服务水平和质量,切实维护审计人员廉洁审计,依法审计形象,推动我县审计事业全面科学发展。
(三)健全完善相关机制制度
一是建立完善考核激励机制。坚持以人为本理念,针对审计事业发展方向及基层审计工作特点,建立和完善基层审计机关的工作考核制度和管理办法,激发审计人员的工作积极性,有效提高审计质量。并针对审计发展形势需要及制度操作中存在的不足等,及时科学地调整考核内容,使之能够真正发挥作用,营造良好的竞争氛围。例如我局2005年制定出台的内部管理考核办法,围绕德、能、勤、绩、廉等几方面,将定量考核与定性考核相结合,以审计工作业绩为考核重点,将业绩与审计人员完成项目质量、成果运用、审计创新等相挂钩,量化考核指标。并逐年进行修订完善,不断细化考核项目。通过近年来内部考核办法的实施及修订完善,我局在调动审计人员工作积极性及提高审计质量等方面取得了显著的成效。今年,我局又将继续围绕科学发展及审计转型的要求,对考核内容进行修订完善,工作成效将不再只针对查出多少违规金额,上缴多少财政金额,而是重点关注有否解决实际问题,帮助党委、政府建立健全体制机制,维护人民切身利益等方面。
(四)强化学习教育
针对目前基层审计干部专业结构状况,要使广大审计人员充分认识到学习的重要性。当今社会正处于知识更新的新时期,就审计人员本身而言,学习是防止思想僵化,保持不断创新,持续进步的基础。就审计机关而言,加强培训,促使审计人员有计划、有目的地接受学习和教育,是提高审计干部队伍综合素质,推动审计事业科学发展的有效途径。首先,基层审计机关应营造良好的学习氛围,教育全体审计人员端正学习态度,主动协调好工作、学习、生活之间的关系,鼓励审计人员利用一切可以利用的时间,以自学为主的方式,在学习专业知识的同时,重视其他相关知识的学习,注重学习效果,切忌走过场,使广大审计人员能真正从扩大审计人员知识面和思维视野出发,培养审计人员思考问题、分析问题的能力及创新意识等。同时有针对性地选择有潜力、有钻研的审计人员进行综合培训,积极培养一人多专的“复合型”人才,解决审计应用上的困难及人才缺乏等现实问题。其次,基层审计机关应建立健全教育培训机制。根据审计发展形势及审计人员的岗位、专业、文化程度、知识结构等情况,制定中长远的培训规划和年度计划。培训内容上,应基本涵盖宏观经济、法律、审计业务、计算机、基建等知识,不断拓宽学习覆盖面。培训方式上,应注重有计划地分类、分层次培训,如按照领导、骨干、一般等不同层次对象有针对性地开展培训,也可根据审计实践需求,采取委培、代培、抽调基层人员参加上级审计项目等多种方式开展培训。培训方法上,应考虑基层审计机关的实际,防止只重形势不重效果,走过场的培训,减少“作报告”、“谈体会”等枯燥单一形式的培训,注重采取新颖、互动的培训方法,采取审计实务的操作演示、审计业务的经验交流等培训方法。如我局从今年起,每月第一星期周一各业务组长互相交流审计实施情况,也是一种很好的培训方式。
(五)加强审计质量控制
1.重视审前调查,提高审计方案编制质量。
一是审计人员在编制审计方案之前,必须做好充分的审前调查。在了解被审计单位的内设机构、人员情况、领导及分工、单位主要职能、下属单位情况、纪委等有关单位掌握的情况,以往审计情况,以及计算机环境的基础上,注重掌握重大事项如工程建设、大笔资金征管用、资产处置情况等。二是根据审前调查掌握的实际情况、重点内容等编制审计方案,重点项目应开展审计方案论证,审计组长及时根据审计方案论证会形成的意见,完善审计方案。
2.遵守规范,鼓励创新,提高审计报告撰写质量。
每个刊物的字数都是不一样的,要是发省级刊物的话一般字数在2000字到3000字之间不等,一般多数在2500字左右
关于教师的职称论文
教师教育与音乐教师专业发展
[摘要]在师范教育向教师教育转型的今天,音乐教师专业发展也将面临新的冲击和挑战。本文通过对目前音乐教师专业发展存在问题的分析,以及教师教育对音乐教师专业发展的要求,重新审视音乐教师专业发展问题,思考音乐教师专业发展的策略,并进一步探讨其研究的意义与价值。
[关键词]教师教育 音乐教师 专业发展
[中图分类号]G645
[文献标识码]A
[文章编号]1005-5843(2012)06-0154-02
一、背景和现状思考
2001年《国务院关于基础教育改革与发展的决定》第一次在政府文件中以“教师教育”替代了长期使用的“师范教育”概念。所谓的“教师教育”是对教师培养和教师培训的统称,是师范教育与教师继续教育相互联系、相互促进、统一组织的现代体制,是实现教师终身学习和终身发展的历史要求。教师教育逐渐取代师范教育,是教师教育自身的特点及其优势决定的,也是适应终身教育内在需求的必然选择。因此走向专业发展的教师教育,就成为世界教师教育改革的趋势。处于这个转型时期,提高我国音乐教师的专业化水平势在必行。在国家基础教育新课程改革的大环境下,新的音乐教育理念和音乐课程体系的逐步建立与形成,给音乐师资队伍所带来的冲击与挑战更是前所未有的,面对现代教师教育和艺术教育的新要求,重新审视音乐教师专业发展,在原先的基础上,寻求适应现代教师教育要求的教师专业发展具有积极的意义。
随着社会经济的不断发展,我国各阶段学校的办学规模、质量和水平也在不断地提升,这就要求音乐教师不仅要有较高的专业能力(即教育教学能力)、过硬的专业技术水准,还要有较深的专业理论体系和丰富的教学经验,具有一定的教育科学研究能力。尽管我国音乐教师的教育教学活动已经在一定程度上达到了专业化标准的要求,但也存在着不少尚待调整和完善的问题。
1 忽视对音乐教师教育科学研究能力的培养。教育科学研究是教育行业特有的软科学研究,与学校的教学质量和办学效益有着十分密切的联系,更是提高教师业务水平、增强教育研究的科学性,使专业获得发展的重要手段。但在我国,由于大部分音乐教师自身的学历起点偏低,加上步入工作岗位后,音乐课作为小科教学在学校长期得不到重视,学校领导缺乏对音乐教育功能的认识,导致音乐教师提高教育科学研究能力的氛围和环境不理想、音乐教师教育科学研究能力得不到进一步的强化和提升。
2 音乐师范教育的弊端影响了音乐教师的专业发展。在大学音乐教学中。音乐教育专业一般进行三年的课程学习,第四年的大部分时间主要用于教学实习。而多数情况下,学生的音乐经验主要是通过教学实习环节获得的。由于学生直到临近毕业的最后一年才有实际教学的体验,在此以前,他们无法肯定自己是否能对教学环境做出良好的反映。教师在进行教学之前也没有机会在课堂上判断自己的教学水平,也不能为学生提供有关做好成功教师的有效案例。由于刚毕业的大学生缺乏教学经验,因而他们往往不能很好地胜任音乐教育教学的工作。同时,由于师范音乐教育过高地追求学生专业技能的训练和提升,忽视人文科学的学习,这样的学习和评价导向,培养出来的学生只能是高技能、低学识的音乐教师,这种人文素养和知识结构严重失衡的状况,是与现代教师教育对音乐教师教学素质全面化的要求相悖的。
3 音乐教师专业成长环境使其缺乏职前培养和职后培训。近些年,由于行政领导的不重视,使得音乐教师的成长环境受到了影响,导致音乐教师的知识结构、专业素质不能及时地得到更新、提升和深造,音乐教育资源得不到合理的配置,影响了他们专业发展所需要的知识、技能的课程体系的构建。
二、教师教育对音乐教师专业发展的要求
1 教师教育研究能力的培养成为音乐教师专业发展的重中之重。教师教育的发展要求专业教师能对自己的教育教学理论、实践和经验进行探索、研究、反思、改进和创新,通过提升自己的教育理念不断促进业务的提高。音乐教师科研能力和水平的提高、科研成果的取得,都将有利于推动音乐教育和教学质量的提高。而这种教育教学研究能力,是区分专业教师和非专业教师的根本标志,是对音乐教师专业自主发展的强化。
2 音乐教师专业发展有赖于职前教师教育的改革。要深化教师对教育改革发展形势的认识,促进专业发展,提高专业化水平,就必须加强音乐师范教育的课程建设,构建音乐教师教育合理的专业理论体系和经验系统。要加强和改革音乐师范教育的德育工作,促进音乐教师教育的专业理想、专业情操、专业取向和专业自我意识的发展。要强化实践环节,规范实践教学管理,打造实践教学平台,加强实践教学基地建设,切实加强音乐教师专业技能培养。要逐步建立和完善有利于终身学习的教育制度,实现音乐教师职前教育和职后教育的衔接与沟通,保持音乐教师教育发展的一体化、终身化。要推进体制创新,优化配置教育资源,推进音乐教师教育多元化。要创新音乐教师教育的新模式。提高音乐教育的质量,提升他们专业训练与发展的水平。
3 音乐教师教育机构和课程实施的认定制度为音乐教师专业化发展提供了保障。音乐教师专业化依赖于教师教育,教师教育认可制度、教师教育机构和课程的认定化,以及教师教育的专业化,应为音乐教师专业化提供有力的支撑和保障。音乐教育是素质教育的一项重要内容,是对学生进行艺术熏陶的重要学科。作为一名大学音乐教师,仅掌握学科知识是不够的,还需要接受音乐教育的专业训练,获得音乐教师的从业资格,遵循音乐教育的职业规范。
4 音乐教师专业自身成熟度要求音乐教师要有职业角色意识。在具体的教育教学活动中,首先要明确自己既是一名社会成员,同时也是学校成员,是学生社会化和自身社会化的承担者。其次要有课程意识,要了解课程改革的理念与目标,倡导以学生的发展为本,倡导课程结构的均衡性、综合性和选择性,倡导课程内容的现代化,倡导学习方式的变革,以及课程发展性评价及课程的民主化。第三要有学生意识,把学生当作是学习活动的主体,是教育教学研究的对象,每一个学生都有他们各自的独立性、选择性、需要性和创造性,有自己的爱好和内在需要,要尊重并关怀学生的成长与发展。第四要有服务意识,体现以学生发展为本的理念,关注学生的学习兴趣和经验,满足学生的需要。第五要有发展意识,要坚持不断地学习,充实新思想、新知识,树立终身学习的思想。
三、教师教育下的音乐教师专业发展策略
1 教师培养专业化。要推进音乐教师教育内容创新,改革师范音乐教育课程结构过于强调学科本位、科目过多和缺乏整合的现状,完善人才培养模式,改革教学方法、内容和手段。要结合音乐教育专业的职业、技术及岗位的特点开展教育实践活动,不断强化和改造音乐教师的实践性知识,使音乐教师能把专业知识技能迅速转化到音乐教学实际中,加强知识技能与实用领域的沟通,形成较强的音乐教育实践能力,奠定适应现代音乐教育发展的坚实音乐专业能力基础。
2 实施校本课程,音乐专业应体现多元化。当代教师教育注重教育的基本要求的统一性与人才培养的多样性的结合。校本课程能从师范院校的办学特色和教师的特点出发,注重建设重点突出、特色鲜明、布局合理、结构优化。的多元化音乐专业体系。校本课程针对性强,有助于培养学生的特长、扩大音乐教师的服务范围、增强其社会竞争力,亦有助于音乐教师综合素质的提高。
3 合理定位音乐专业人才培养目标。音乐教育专业的培养对象是未来的中小学音乐教师,它担负对学生进行音乐学科知识的传授、音乐技巧的训练和音乐素养熏陶的任务。这就要求音乐专业人才不仅要熟练地掌握音乐的基本知识和基本技能,还要掌握教育学、心理学的专业理论知识,而后者对一个人专业的发展和提高有着十分重要的作用。随着国家教师教育转化到“大学+教育学院”的轨道上来。需要进一步提高音乐教师教育的专业化程度,培养高层次的音乐教师。
4 提高艺术类文化课录取分数线,以提高生源质量。高师音乐教育专业应着眼长远,根据自身的实际条件和能力,逐步扩大招生规模,提高生源质量。文化水平能确立一个人的学习能力和对知识的接受能力。学生的文化水平提高了,学习能力、学习自觉性、学习习惯,以及接受知识的能力等方面就会加强。要培养高素质的音乐教育人才,首先要具备这些能力。贫乏的文化知识,必定会扼制学生艺术教育才能的发展。
5 加强现代信息技术能力的培养。在音乐教育领域,数字化音乐教学手段正越来越多地被运用于音乐课教学中,多媒体信息技术的应用,能够丰富音乐教学的媒体资源、促进音乐教学效率的提高。作为21世纪的音乐教师,掌握音乐教育必备的计算机信息技术、课件制作以及多媒体技术的理论和技能,是对传统音乐教育的突破,更是适应现代音乐教育的基本要求。为此要加强对教师现代信息技术能力的培养,特别要加强现代信息技术同音乐教学的联系,为音乐教育现代化打下基础。
6 促进音乐专业制度的不断完善。专业制度的建立是确保专业化水平不断提高的重要保证。根据世界教师专业化的基本经验,教师专业制度主要是教师资格制度,该制度通常包括教师入职资格制度、教师再认证制度和教师资格等级制度。我国目前的教师资格制度主要是入职资格制度。为了保证音乐教师的终身发展,要建立音乐教师资格再认证制度,建立明确的音乐教师培训制度,学校和教育部门要为音乐教师进修提供必要的时间、经费、编制等保障以及相应的考核制度。与教师入职资格制度相对应,要求建立相应的专业标准,比如音乐教师标准、音乐教师教育质量标准、音乐教师教育课程标准和音乐教师教育机构水平评估标准等。
看了“高级职称论文字数”的人还看:
1.副高级职称论文字数要求
2.高级教师职称论文字数要求