引論:我們為您整理了13篇系統審計論文范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
自20世紀末開始我國企業普遍實施會計信息化以來,我國會計信息系統審計也應運而生,并在政府、企業及審計機構的組織實施下有效開展起來并取得了長足進步。具體表現在:其一,初步建立了會計信息化審計的相關準則和規范,使會計信息系統審計人員能夠依據這些技術標準和準則更好地開展會計信息審計工作。如中國注冊會計師協會1999年頒布的第一個信息系統審計準則《獨立審計具體準則第20號——計算機信息系統環境下的審計》,以及國務院辦公廳2001年的《關于利用計算機信息系統開展審計工作有關問題的通知》,都對會計信息系統審計的對象、方法、程序、內容和范圍等進行了初步界定和規范,明確了會計信息系統審計中審計人和被審計人的權責范圍。2008年中國內部審計協會頒布了具有里程碑意義的會計信息系統審計準則《內部審計具體準則第28號——信息系統審計》,更是將會計信息系統審計納入到風險導向審計的現代審計范疇,使之更為完善、全面和高效。其二,會計信息系統審計發揮了一定成效,推進了企業會計信息化發展和企業信息化管理進程。信息化發展是企業戰略發展的重要組成部分,也是企業現代化管理體系構建的重要內容,企業信息化即包括會計信息化,鑒于此,我國審計體系也同樣順應時展潮流,針對會計信息化系統制訂和實施了相適應的審計模式,有效履行了審計職能,推進了會計信息化的發展進程;與此同時,審計體系自身也開始了信息化變革之路,構建審計網絡和審計信息平臺,審計信息化軟件也隨之興起并展現出高效能,極大地提升了審計效率。
三、會計信息系統審計存在的問題
盡管我國會計信息系統審計取得了一定成效,不僅促進了企業會計信息化發展和企業信息化戰略發展的步伐,也直接促進了審計體系自身的信息化發展。然而研究過程中也同樣發現,我國會計信息系統審計還存在一定的問題亟待改進,具體如下。
(一)會計信息系統審計法規制度不健全
先進水平的會計信息系統審計需要建立在健全的審計制度體系之上,使審計工作在制度保障之下規范、高效運行。然而我國在這一方面則存在較大差距,目前我國有關會計信息系統審計的相關制度法規十分零散,大多只針對某一方面做出具體規范,還沒有統一的、完整的、具有體系性的會計信息系統審計制度可以指導和保障實踐的有序、有效進行。例如,目前還有沒統一的會計信息系統審計準則,會計信息系統審計的內容、方法、技術、程序等都未能界定統一的實施規范。
(二)缺乏專業的會計信息系統審計人才
會計信息系統對審計人員的審計能力提出了更高要求。審計人員能力不足、審計工作準備不充分都容易導致審計失敗。會計信息系統審計要求審計人員不僅需要具備審計方面的專業知識,了解企業生產經營狀況,還需要具備較高的信息技術能力。然而目前,我國大部分審計人員并不缺乏專業的審計知識,也有著豐富的審計經驗,但對于會計信息化系統審計的信息技術能力要求普遍顯得力有不足,信息技術水平和計算機技術水平不能滿足信息系統審計的需要。
(三)信息化審計軟件效能不足
應對會計信息系統審計的有效途徑是加快審計自身的信息化發展,目前開發了眾多功能強大的審計軟件應用于審計工作,提升了審計效率,確保了審計的準確性和可靠性。然而目前的審計軟件其實用性、針對性和有效性還不能滿足會計信息系統審計的需求。其中存在的問題主要包括:一是軟件自身功能不足,無法滿足會計信息系統審計的實際需求,軟件只能實現一些簡單的數據查詢和計算功能,無法對復雜的企業會計數據信息進行更為專業的處理和分析。二是有的軟件設計過于復雜,易用性較差。審計人員不易操作或者操作過程極為繁瑣,影響審計效率。
(四)會計信息系統本身存在缺陷影響審計效能
在對會計信息系統進行審計時,通行的做法是需要會計信息系統預留審計接口,審計人員通過接口對會計信息系統中的數據信息進行查閱、調取、審核。我國頒布的會計信息系統審核相關規范也明確了會計信息系統中“應具備標準的數據接口”。然而在具體實踐中,許多企業的會計信息系統本身并未留置接口,使得一些審計軟件無法和被審計對象的會計信息系統對接,也有一些會計信息系統自身設置了復雜的權限驗證、加密程序等,使審計軟件無法獲取需求數據,或加大數據獲取難度,影響了審計時效,甚至使審計無法操作。另外,會計信息系統本身的設計缺陷還包括一些軟件漏洞容易招致黑客攻擊篡改、增刪數據信息,或者軟件故障頻發導致數據損毀、滅失等,這在目前的會計信息系統審計工作中也較為常見,極大地影響了會計信息系統審計的實施。
四、會計信息系統審計的治理策略
針對以上問題,需要審計機關、審計行業組織和企業共同努力,多管齊下,對癥下藥,在順應社會經濟信息化發展的前提下確保會計信息系統審計職能高效履行。
(一)進一步健全會計信息系統審計規范
盡管我國已經初步確立了會計信息系統審計相關規范體系,但同西方發達國家相比,或者同我國社會經濟發展的審計需求相比,仍顯不足,需要進一步完善。健全我國會計信息系統審計規范應基于以下原則:其一,與國際接軌。在全球經濟一體化發展背景下,審計準則與國際接軌是必然要求,以確保審計結果能夠在更廣泛的范圍和空間發揮效用。其二,與國情相適。會計信息系統審計的相關規則和標準的設定要基于國情,立足實踐,與會計信息系統審計發展需求相適應。其三,關注細節。我國現有的會計信息系統審計相關規范僅僅就基本原則和審計內容、對象、范圍等做了闡釋,而缺乏審計具體流程和操作指南,還缺乏系統性和層次性,需進一步完善。其四,前瞻性原則。會計信息系統審計規范的制定需立足當前,著眼未來,對會計信息系統審計工作未來的發展趨向和工作重點、難點做出預測和判斷,在政策導向上予以規范和指引。
(二)加強會計信息系統審計人才隊伍建設
人才問題是會計信息系統審計的突出問題。近年來全球信息化發展迅猛,企業信息化發展戰略如火如荼,日新月異,凸顯了信息化人才不足帶來的制約,需要相關審計機構、教育機構共同努力,加大人才培養力度,壯大會計信息系統審計師人才隊伍。首先,要細化會計信息系統審計資格認證體系,打造階梯式人才隊伍,滿足不同審計需求。其次,要挖掘現有資源潛力,加強現有審計人員信息技術技能培訓,提升會計信息系統審計能力。教育機構應將會計信息系統審計人才培養納入教育體系,開設相關課程,培養專業人才。最后,成立專門的會計信息系統審計行業組織。會計信息系統審計同傳統審計有著極大不同,需要成立專門的會計信息系統審計行業協會,對會計信息系統審計活動及審計人才隊伍進行有效指導和管理,設立從業資格認證及審核機制,組織資格考試,提高會計信息系統審計隊伍專業水平。
(三)提升專門審計軟件的有效性
目前市場存在的審計軟件還存在一定問題,還應持續創新、升級、強化軟件功能,在保障能以技術手段確保審計數據信息高效、順暢獲取的同時,還應內置數據分析、識別和處理功能模塊,降低審計工作量和難度,提高審計效率。就專業化發展而言,應由信息技術人員和審計人員共同合作開發專門的會計信息系統審計軟件,代替目前市場上常見的功能單一、穩定性差、操作復雜、標準不一的審計軟件,使審計人員更加容易操作,使審計流程得以高效實施,同時降低工作難度和風險,以更好地履行審計職能。開發設計應本著“實用性”、“易用性”、“安全性”和“高效性”原則,由審計人員負責確保軟件的實用性和易用性,由信息技術人員負責確保軟件的安全性和高效性,以提升專門審計軟件的有效性。
篇2
第一階段是19世紀中葉,在資本主義得到充分發展、取得工業革命成功的英國出現了現代意義的審計(稱英國式審計或詳細審計)。當時的審計對象是會計賬簿,審計的目的是查錯防弊,所使用的審計工具是詳細檢查,審計信息的使用人是股東。第二階段是本世紀初,在資本主義發達的美國出現了以資產負債表為對象的資產負債表審計,其目的是判斷借款人的信用狀況,審計信息使用人從股東擴大到債權人(主要是銀行)。第三階段是本世紀20—30年代,由于資本市場證券化,在美國出現了以損益表為中心的財務會計報表審計,目的是提出客觀公正的審計意見,審計信息使用人是所有的企業利害關系人,對上市公司而言就是社會公眾。到了40年代以后,由于跨國公司的出現,國際間資本流動頻繁,在發達的資本主義國家出現了國際化的會計公司。
從上述審計系統從一個階段向高一階段的進化過程分析,我們可以得出兩點結論:一是審計系統每一次進化都是為了適應環境的變化,和任何系統一樣,只有適應環境的系統才能得以生存和發展。19世紀西方資本主義得到充分發展,實行所有權和經營權分離,就出現了英國式的詳細審計。到了20世紀中葉,隨著企業大型化和證券化,經濟活動劇增,審計師不可能對每筆交易都進行檢查,審計系統就由詳細審計進化到抽樣審計。有了跨國公司,就有了國際性的會計事務所。正是審計系統適應了所生存的環境,才使得本身得到充分的發展。同時,進化后的審計系統又反作用于環境,對社會經濟起了積極推動作用,成為人類經濟系統中不可缺少的一個子系統。二是審計系統的每一次進化都有賴于相應的理論、方法和技術的支持。從英國式的詳細審計進化到資產負債表審計,是因為有內部牽制理論和統計抽樣技術的支持。同樣,從資產負債表審計進化到財務會計報表審計,是因為有內部控制理論和審計風險測試評價技術的支持。這是審計系統一次具有非常意義的“進化”,正是由于審計系統普遍采用了統計抽樣技術和內部控制測試技術,從而使審計系統的功能大大增強,在大大提高了審計效率的同時,又有效地控制了審計風險。
同理,在步入21世紀的今天,審計系統又面臨著新環境的挑戰。新經濟和數字時代的到來,以及經濟全球化、市場一體化等將對審計系統產生重大影響。面對新經濟環境的挑戰,審計系統必須適應這種環境的進化,而要進化就必須有相應的理論和技術方法即系統科學和信息技術的支持,筆者將由系統科學和計算機技術支持下進化了的審計稱為系統審計,與之相對應的是傳統的詳細審計和內控審計。下圖表達了審計系統的進化過程。
需要說明的是,“系統審計”與“審計系統”是二個既有聯系又有區別的概念。系統審計是指在系統科學和信息技術支持下的審計理論方法,表明一種審計理念,是相對于其它審計方法而言的。審計系統則是泛指審計體系,詳細審計、財務會計報表審計、系統審計都是審計系統各個不同歷史時期的產物。
二、系統審計和傳統審計的比較
傳統審計的思維方式是:部分整體。傳統審計總是先分析對象的各個部分,然后再綜合為整體。這種思維方法的局限性在于把分析與綜合、部分與整體、原因與結果機械地割裂開來,認為部分是原因,整體是結果,部分決定整體。傳統審計方法著眼于一個個要素,進而得出整體的性能,其邏輯結論往往是組成整體的要素好,整體的性能也就好。不論是一百五十年前的詳細審計,還是目前的財務會計報表審計,注冊會計師的思想方法都是從部分去推測整體,而系統審計的思想方法則是從整體到部分。詳細審計是從每一筆交易賬戶再到報表;財務會計報表審計是通過對內部控制和控制風險的研究抽取部分交易為樣本賬戶最終證實報表信息的真實和公允性。詳細審計和報表審計在研究審計對象經濟活動時,只把各組成部分孤立地、簡單地加起來,這并不能說明審計對象經濟活動的整體性質和功能。因為各要素的簡單相加,并不能構成一個系統。
篇3
本文結合高校的特色和網絡應用的實際情況,對網絡應用服務管理進行了研究,提出了采用接人控制的網絡應用服務審計系統的解決方案,通過實踐證明,該系統對高校的應用服務系統是一種切實有效的管理方式.
1網絡服務審計
1.1什么是網絡服務審計
“審計”的英文單詞為“Audit",可解釋為“查賬”,兼有“旁聽”的涵義.由此可見,早期的審計就是審查會計賬目,與會計賬目密切相關.審計發展至今,早已超越了查賬的范疇,涉及到對各項工作的經濟性、效率性、合法性和效果性的查核,其基本目是確定被審查對象與所建立的標準之間的一致或不一致的地方.
網絡服務審計是指對網絡服務提供者所提供的服務是否遵守有關的法律和規章制度、是否登記備案、其服務內容是否超越所登記備案的范圍、其是否已有效地達到了預期的結果等進行的檢查與核查行為.
1.2網絡服務審計的必要性
傳統的網絡服務審計可能非常耗費時間,通過對計算機逐個進行端口掃描、漏洞掃描或者鏡像監聽,獲得所需要的信息后進行審計和核查.但如果計算機更改服務提供的端口號、用戶防火墻屏蔽了端口掃描或者采用動態端口提供服務,那么就無法及時獲得這些必要的信息了.
對網絡信息管理員而言,如何有效的控制網絡中的信息服務、如何掌握信息服務提供者所提供的服務類型是否超越所登記備案的范圍、如何及時掌握統計和分析網絡中信息流的動態情況等都是一個很繁瑣和復雜的事情.
通過對網絡應用服務的審計,能夠及時獲取服務提供者所提供的網絡應用服務,能夠及時掌握用戶對信息服務的訪問行為,能夠及時發現有無違規的信息與訪問,能夠及時發現信息的泄露和敏感信息的訪問等.
2網絡應用服務審計系統架構
結合高校的特色和網絡應用的實際情況,采用接人控制的網絡應用服務審計系統由三部分組成:
2.1IEEE802.1x網絡訪問控制
IEEE802.Ix協議是基于端口的訪問控制協議(portbasednetworkaccesscontrolprotocol),主要解決以太網認證和訪問控制方面的問題.目前很多高校校園網都采用802.ix用于對用戶接入校園網的行為進行控制.
在802.1x初始狀態下,以太網交換機上的所有端口處于關閉狀態,只有802.1x數據包才能通過,或者只能訪問GuestVLAN內的特定網絡資源(如網絡應用服務審計服務器),而另外的網絡數據流都被禁止.當用戶進行802.lx認證時,以太網交換機將用戶名和密碼傳送到后臺的認證服務器上進行驗證.如果用戶名和密碼通過了驗證,則相應的以太網端口打開,允許用戶對網絡的訪問,并部署AAA服務器下發的訪問控制策略.
802.1x主要是解決網絡接人的問題,未通過認證的用戶將無法使用網絡,這樣可以確保接入用戶的合法性.同時,當用戶認證通過后,由服務審計服務器判定該用戶是否安裝Java數據采集控件,配合AAA服務器決定用戶是否能夠訪問網絡.
2.2Java數據采集控件
數據采集控件的實現有兩種方式:一是集成到802.lx客戶端中,二是單獨的控件.Java由于其跨平臺、跨操作系統的特性而成為首選.這樣不管用戶使用的是什么操作系統、使用什么軟件提供服務,都能很方便的進行數據采集.
Java數據采集控件主要完成數據采集的工作,當用戶第一次連接網絡時,強制安裝該控件.如果用戶重新安裝操作系統,當用戶再次連接網絡時,也將被強制安裝該控件.
未安裝數據采集控件的計算機,即使通過802.1x認證,也將只能訪問服務審計服務器,而不能訪問其他的網絡資源.
數據采集控件負責采集計算機操作系統類型及版本、開放的端口、提供的服務和流量等信息,并上報給服務審計系統.
2.3服務審計服務器
服務審計服務器是整個系統的核心,主要有三個功能:一是和AAA服務器配合,確保所有接人網絡的計算機合法性,并已安裝數據采集控件.二是和Java數據采集控件通信,將數據采集控件報送的信息存儲到數據庫中.三是實現信息服務備案、查詢管理、審計分析、實時審計和統計報表等功能.其中審計分析采用MPMF(multi-prioritymemoryfeedback)流水線處理算法}3J,其處理能力可以承載高速網絡的審計處理.
2.4后臺數據庫服務器
數據庫服務器可以采用市面上主流的大型數據庫管理系統,如()racle,SQLServer,Sybase等,服務審計服務器通過ODBC/JDBC等數據訪問接口來無縫地連接這些數據庫系統.
同時,通過數據庫復制來實現數據庫的分布和同步,以使網絡應用服務審計系統具備可擴展的數據處理能力,保證在網絡流量日益增大的情況下系統可以可靠地運行.
3工作流程
3.1計算機接入網絡
3.1.1802.lx認證
當計算機發起802.1x認證時,交換機將用戶名和密碼傳送到后臺的AAA服務器,由AAA服務器進行合法性判定.當用戶未通過802.1x認證時,對網絡的訪問受限;當用戶通過802.1x認證時,還需要由審計服務器進一步確認計算機上是否安裝Java數據采集控件.
3.1.2Java數據采集控件確認
計算機通過802.1x認證后,AAA服務器通知交換機打開端口并部署相應的訪問控制策略,將所有網絡訪問重定向到服務審計服務器.
如果計算機上已經安裝Java數據采集控件,當檢測到計算機網絡狀態已連接時,自動向服務審計服務器發出通知,告知該計算機已接入網絡.服務審計服務器接到通知后,將信息記錄到后臺數據庫服務器中,并通知AAA服務器下發新的訪問控制策略,允許計算機訪問其他的網絡服務.
如果計算機沒有安裝Java數據采集控件,服務審計服務器不會收到通知,這時用戶所有的訪問都被重定向到服務審計服務器,而不能訪問其他的網絡服務川.
3.2網絡應用服務審計數據采集
數據采集控件定時和服務審計服務器進行通信,將采集的信息上報服務審計服務器.服務審計服務器將這些信息記錄到后臺數據庫服務器中,用于后續的查詢、統計和審計等.
如果服務審計服務器在一定時間內未收到數據采集控件的通信信息(單次通信超時為60秒,如果連續5次通信未成功,則視為通信中斷),服務審計服務器通知AAA服務器斷開該用戶的網絡連接.
采集的審計數據一般包括下邊的三個部分:
1)主機識別:連接到網絡上的活動計算機的IP地址、MAC地址、802.1x用戶名、交換機管理IP地址和交換機端口等數據,這些數據可以由802.1x服務提供.
2)主機描述:連接到網絡上的活動計算機的操作系統、運行的網絡服務及其版本信息、計算機開放的端口等數據,這些數據由Java數據采集控件提供.
3)服務描述:連接到網絡上的活動計算機的哪些網絡服務處于激活狀態、流量是多少等數據,這些數據由Java數據采集控件和AAA服務器聯合提供.
3.3網絡應用服務審計
網絡應用服務審計系統負責對采集到的信息進行審計,并根據預定設置,采取相應的措施.
審計可分為三個級別:高優先級、中優先級和低優先級。
高優先級審計主要用于網絡中重要服務的審計,包括兩個方面:一是所允許的服務運行是否正常,二是是否有未允許的服務在運行.高敏感度審計發現網絡中的重要服務出現問題時,會立即以短信方式通知管理員進行處理,從而確保重要服務的正常運行.
中優先級審計主要用于網絡中非重要服務的審計,也包括上述兩個方面,但發現問題時,只是以告警信息或者郵件的方式提示管理員進行處理.
低優先級審計則用于網絡中的大部分用戶,著重于信息的收集和保存,以備非實時審計、統計分析用.
為滿足高速網絡中服務審計的需要,采用了MPMF流水線處理算法.MPMF算法根據審計系統的過程模型以及各個部分的特點,合理劃分各個部分的層次以及優先級順序。
3.4計算機從網絡中退出
當計算機正常從網絡中退出時,數據采集插件停止工作,交換機端口恢復到關閉狀態.
篇4
1.2免疫自穩———消滅病毒
免疫自穩功能,是指機體調動體內各種資源與病毒等有害物質進行斗爭,消滅病毒等有害物質,并將病毒等有害物質運出體外,同時修補受損器官和組織,使其恢復原來的功能,以維持自身內環境穩定的生理機能。
1.3免疫防御———產生抗體
免疫防御功能,是指機體在病毒等有害物質的刺激下,免疫細胞對病原體產生抗體,以防止外來病原體入侵的生理機能。抗體是可以與相應抗原發生特異性結合的免疫球蛋白,可以使抗原失去活力,從而保證機體免受再次侵害。免疫系統的作用機理。
2內部審計的“免疫”功能
內部審計的“免疫”功能主要表現在審計監督、審計查處和審計預防三個方面。
2.1審計監督———發現問題
內部審計機構在履行經濟監督職能的過程中,通過搜集和分析組織的各類經濟信息,對經濟活動的真實性、合法性和有效性進行評價,從而發現經濟組織在經濟活動中是否存在錯誤、舞弊和其它違規違法問題。
2.2審計查處———處理問題
內部審計機構對發現的違規違法行為,有權向領導機構或上級機關進行反映,根據權限對直接責任人進行處理、處罰,或向上級審計機構或者審計機關反映,由上級審計機關運用各種資源及時進行查處。
2.3審計預防———完善治理
內部審計機構在發現問題和處理問題的同時,要對產生問題的原因進行分析研究,并從管理制度、體制機制方面提出改進的建議,從而促進相關管理制度、工作機制的完善,達到杜絕類似問題的再次發生的目的。內部審計的“免疫”功能。
3內部審計的增值途徑
3.1查錯增值
內部審計機構在履行監督職能和查處職能的過程中,可以發現經濟活動中存在的問題,并通過對有關問題和相關責任人的查處,可以為組織挽回一定的經濟損失。當內部審計機構挽回的損失大于其審計業務成本時,可實現節約增值。
3.2防弊增值
內部審計機構在履行審計預防職能中,通過提出完善管理制度和體制機制的建議,可以促進經濟組織加強內部控制,防范運營風險,防止舞弊行為的發生,從而為企業間接挽回一定的經濟損失。當經濟組織在防范錯弊的過程中獲得的收益大于其防弊成本時,可實現防弊增值。
3.3興利增值
內部審計機構在履行審計預防職能中,通過提出完善管理制度和體制機制的建議,可以提升組織的經營管理水平,提高組織的運營效率,從而實現組織經濟價值的增加。當經濟組織通過提高運營效率增加的組織價值大于其預防成本時,可實現增效增值。內部審計的查錯增值屬于直接增值,取得成效的時間短,且成效較為明顯,一直受到組織的高度重視。作為一個成熟的經濟組織,應該更加注重發揮內部審計的防弊功能和提效功能,以實現組織的可持續發展和價值增值。
4內部審計增值的量化模型
4.1查錯增值額的確定
根據經濟學成本效益原理,內部審計創造的查錯增值額等于查錯收益與查錯成本之差。用公式表示為:查錯增值額=查錯收益-查錯成本(1)①查錯收益。查錯收益為內部審計機構在開展審計業務的過程中,通過發現和處理違規違法行為,所挽回的直接經濟損失。②查錯成本。查錯成本為審計機構在開展審計業務的過程中,為發現和處理違規違紀問題,所耗用的人力、物力和財力等成本。
4.2防弊增值額的確定
內部審計防弊增值額應該等于防弊收益與防弊成本之差,用公式表示為:防弊增值額=防弊收益-防弊成本(2)①防弊收益。防弊收益為經濟組織在審計機構的建議下,通過完善管理制度和體制機制,加強組織內部控制,預防違規違紀行為的發生,從而挽回的間接經濟損失。②防弊成本。防弊成本為經濟組織在審計機構的建議下,為完善管理制度和體制機制,加強內部控制,預防違規違法行為的發生,所消耗的人力、物力和財力等成本。
4.3興利增值額的確定
內部審計興利增值額應該等于興利收益與興利成本之差,用公式表示為:興利增值額=興利收益-興利成本(3)①興利收益。興利收益為經濟組織在審計機構的建議下,通過完善管理制度和體制機制,提升組織的經營管理水平,提高組織的運營效率,而創造的間接經濟收益。②興利成本。興利成本為經濟組織在審計機構的建議下,為完善組織制度和體制機制,提升組織的經營管理水平,提高組織的運營效率,所消耗的人力、物力和財力等成本。
篇5
二、信息系統審計內容
1、國內外關于信息系統審計內容的研究
開展信息系統審計首先要明確審計內容。國際信息系統審計協會規定,信息系統審計的主要內容包括信息系統程序審計、信息技術(IT)治理、系統生命周期管理、IT服務的交付與支持、信息資產的保護、災難恢復和業務連續性計劃。近十幾年來,國內的學者和組織也對信息系統審計的內容進行了探索和研究。審計署在2012年頒布的《信息系統審計指南———計算機審計實務公告第34號》中明確提出了:信息系統審計包括對應用控制、一般控制和項目管理的審計。其中,應用控制包括信息系統業務流程,數據輸入、處理和輸出的控制,信息共享和業務協同;一般控制包括信息系統總體控制、信息安全技術控制、信息安全管理控制;項目管理包括信息系統建設的經濟性、信息系統建設管理、信息系統績效。上述具有代表性的規定和研究成果對信息系統審計內容的劃分,均是以對信息系統邏輯結構的分析為基礎。全面分析信息系統的邏輯結構,可從信息系統的構成要素、信息系統生命周期和信息系統管理三個維度進行描述:從構成要素來看,信息系統由人員、應用(包括軟件平臺和應用系統)、所采用的技術、硬件設備、數據文件運行規則組成;信息系統生命周期可劃分為信息系統的規劃階段、開發階段、運行維護階段和更新階段;從信息系統管理的維度來看,對系統的管理與控制活動貫穿于信息系統生命周期的始終,主要是通過有效執行一系列健全有效的規章制度和管理規程來實現。
2、廣州地鐵信息系統審計實施框架
結合廣州地鐵信息化項目多、系統更新快、數據集成度高、系統控制與手工控制并重等特點,圍繞信息系統構成要素、信息系統生命周期和信息系統管理三個維度,廣州地鐵將信息系統審計的內容劃分為整體計算機控制審計、應用控制審計和系統建設效能評價三個方面。其中,整體計算機控制審計是對信息系統運行中的控制活動進行審計,目的是合理保證由信息系統支持的業務流程控制是可靠的、生成的數據和報告是可信的。應用系統控制審計是對業務流程中的自動化控制活動進行審計,以合理保證交易的有效性、經適當授權和記錄、完成的完整性、準確性和及時性。項目及系統績效審計是對信息化項目的過程及成果對企業和業務產生的效益進行審計,用來合理保證信息化項目的投資/產出比例符合建設的目標,以及信息系統對企業戰略起到的預期的支撐作用。圍繞上述三個方面,廣州地鐵內部審計確立了以下的實施框架。
(1)確立整體計算機控制安全、操作、變更的三個評價維度,圍繞“信息系統全生命周期”,明確整體計算機控制十個流程。
廣州地鐵通過學習和借鑒國際信息系統技術管理和控制標準COBIT,建立起了一套自己的整體計算機控制審計框架。框架可按流程和控制類型兩種方式進行劃分,兩種劃分方式在本質上是一致的。在按流程劃分出的每個子流程中,信息系統審計人員需要從變更、安全、操作的角度去確認和評估具體的控制點;在按控制職能所作的劃分中,審計人員需要圍繞信息系統的策略與計劃、信息系統操作、與外部供應商關系、業務可持續計劃、應用系統開發、數據庫、軟件支持、網絡、硬件等十個子流程進行審計。圍繞安全、變更、操作三個角度及十個子流程,廣州地鐵共梳理出有關整體計算機控制的41項審計內容,并針對每一項內容明確了控制目標和風險,建立起了一套完整的整體計算機控制矩陣。例如,信息系統策略和計劃子流程中,廣州地鐵明確了整體計算機控制的三大目標———信息系統戰略、規劃和預算應與實際業務和戰略目標保持一致,計算機處理環境應得到具有適當技能和經驗的人員的充分支持和保證,以及計算機處理環境中的人員應接受適當的培訓,審計人員在此基礎上針對各控制目標,識別并歸納出廣州地鐵現行的9個控制活動。在具體開展信息系統整體計算機控制審計時,信息系統審計人員根據審計項目的特點和要求,選擇需要評價的子流程,再對照子流程的控制活動進行評估及測試即可。
(2)從內部控制目標出發,將信息系統應用控制劃分為訪問控制、完整性控制及數據質量控制三大方面。
廣州地鐵將信息系統的應用控制劃分為應用系統訪問控制、流程和系統完整性控制以及數據質量控制三大類,并針對各類控制分別設計了不同的審計內容。一是應用系統授權訪問控制審計包括對系統的認證方式、授權機制、權限的分配管理以及不相容職責分離在系統中的實現情況的審計,目的在于保證經過允許的人才能訪問和操作系統。二是流程和系統完整性控制審計是對系統輸入、處理、輸出以及接口等各種系統運行規則的審計,用以保證所有經允許處理的數據均轉換到介質上并被處理,且處理的結果可通過適當的方式加以輸出,所有輸入、轉換、處理和輸出均在正常的時間內準確地進行。三是數據質量控制審計則是指對信息系統中的數據的完整性、規范性和有效性所進行的審計,旨在保證所有系統的輸出均反映為經批準的有效的經濟業務,所有經過系統的數據真實、有效,且能滿足企業各項業務的使用要求。
(3)圍繞“信息化項目”和“信息系統”,綜合評價信息化建設的效益。
在開展整體計算機控制審計和應用控制審計的基礎上,廣州地鐵從企業經營和投資效益的視角出發,在信息系統審計中引入了3E審計的概念,嘗試對信息系統建設項目的成效、建成后系統的應用效能以及信息化對戰略的支撐效果進行審計。為了全面評價項目,廣州地鐵通常將對單個信息系統建設項目的合規性審計與項目效能審計結合在一起開展。一是信息系統建設成效審計旨在通過對系統建設全過程的審計,促進信息系統的建設規范性,提高信息系統建設的質量。二是信息系統應用效能審計包括對業務需求的實現情況、建成功能的使用情況的審計分析,以及對系統應用對業務管理規范化、標準化和精細化提升作用的綜合評價,目的在于促進系統使用價值的最大化,減少系統建設的投資浪費。三是戰略支撐效果審計是從支持戰略實現的角度,評價信息系統的建設效益,保證信息化建設在符合業務管理要求的同時,符合公司戰略的需要,支持公司戰略的實現。
三、信息系統審計實施步驟
信息系統審計步驟(或流程),是審計工作從開始到結束的整個過程。信息系統審計流程一般可劃分為四個階段:計劃階段、實施階段、報告階段和后續階段。計劃階段是信息系統審計流程的起點,此階段的主要工作包括了解被審計系統的基本情況,初步評價被審計單位信息系統的內部控制和外部控制,識別重要性和編制審計計劃。實施階段是根據計劃階段確定的審計范圍、重點、步驟和方法進行有針對性的取證、評價,并形成審計結論的過程。實施階段是信息系統審計工作的核心,主要由符合性測試和實質性測試兩個部分構成。在報告階段,信息系統審計人員需運用專業判斷,整理、評價收集到的審計證據,以經過核實的審計證據為依據,形成審計意見,出具審計報告。審計報告的出具并不意味著信息系統審計工作的終結。根據國際信息系統審計標準,信息系統審計人員對于系統中發現的重大問題和漏洞,需要對被審計單位所采取的糾正措施及其效果進行后續審計。審計人員需要將后續審計納入計劃,并安排必要的人員和時間進行后續審計。廣州地鐵IT審計模塊成立之初,即明確了IT審計“對公司的系統流程與控制、項目進行審計”和“提供有益于增加公司價值的咨詢服務”兩項核心職責,并圍繞公司戰略,以“風險導向”、“服務戰略”理念為指導,從信息系統審計戰略規劃和具體項目執行兩個層面分別制定信息系統審計的流程。
1、以公司戰略為導向,制定信息系統審計的戰略規劃
一直以來,廣州地鐵奉行“源于戰略、服務于戰略”的現代審計理念。這一理念主要體現在兩個方面:一是在制定內審工作計劃時,從公司戰略出發,制定各個內審業務及各專業審計模塊的戰略,并以業務戰略為指導,開展具體的審計工作;二是在開展審計項目的過程中,始終從保障公司戰略執行的角度去發現問題、評價問題,提出整改意見和落實整改。信息系統審計的戰略規劃來源于公司的戰略,以及以公司戰略指導制定的公司信息系統戰略規劃和內部審計業務戰略規劃;同時還須結合公司信息化現狀和IT審計模塊定位,明確廣州地鐵IT審計發展戰略目標。
2、通過風險評估,確定各信息系統風險等級,制定層次分明、重點突出的信息系統循環審計計劃
為利用有限的審計資源掌握公司主要信息系統的建設、運營情況,保障信息資源的有效利用,降低公司信息系統的整體風險,廣州地鐵建立了一套“根據信息系統風險評級制定差異化的審計策略”。
(1)梳理信息系統脈絡,全面掌握信息系統現狀。
廣州地鐵結合信息系統規劃、建設和運營的情況及系統分類梳理出被審計信息系統清單,并從系統構成要素的角度收集系統相關的信息。這些信息包括系統名稱、功能模塊、采用產品等基本信息,以及項目的建設信息、系統的使用狀況和運維的基本情況。這些信息是風險評分的依據,也為后續開展具體審計工作時確定審計方案提供了指引。
(2)開展信息系統風險評級,制定風險導向型審計計劃。
內審人員從通用風險、業務風險、項目風險、系統風險、數據風險和人員風險六大風險類別出發,全面識別信息系統各類構成要素中存在的風險;對信息系統進行風險評價,根據風險得分將信息系統按優先級分別劃分為高、中、低三類。結合公司IT審計資源的情況,對優先等級高的系統采用三年一審策略,中等級系統5—6年一個審計周期,風險等級低的系統則根據需要安排審計。在此審計策略的基礎上,再綜合考慮公司業務的十大風險、領導關注事項、上一年度內控評價結果和審計項目成果、公司新一年的工作重點、公司信息系統的變動情況,并制定出本年度的信息系統審計計劃。
3、以風險為導向,開展信息系統審計
在項目實施階段,審計人員必須從公司整體信息系統控制環境和被審計系統的狀況、流程與內部控制兩個方面進一步收集被審計系統的相關資料,了解和確認被審計單位已建立的內部控制措施,并對這些控制措施的設計是否達到控制目標進行評估。
(1)以“輪流循環+以點帶面”的方式開展整體計算機控制審計。
公司的信息化業務采用統一集中管理的模式,整體計算機控制對各個系統具有一定的通用性。因此,在實務操作中,廣州地鐵采用“以點帶面”的策略,以單個信息系統整體計算機控制為切入點對整體計算機控制進行審計,評價整體信息系統的安全性;同時,考慮到信息系統在一定時間內相對穩定,因此在實施整體計算機控制審計時可采取輪流測試的方式,即每年從十個子流程中選取幾個進行測試,經過一定周期后,完成對整體計算機控制的全面審計。例如,在2011年開展的信息安全審計項目中,審計人員就圍繞信息安全這個審計主題,從十個子流程中選取了與信息安全直接相關的信息系統操作、信息系統安全、業務可持續計劃、應用系統開發與實施、數據庫開發與實施和系統軟件支持等六個流程進行審計。分步、循環開展整體計算機審計,在審計風險可控的情況下,大大節省了審計資源,也使得審計人員能夠更加深入地挖掘和分析整體計算機控制方面所存在問題以及問題的成因,提出更為切實可行、同時又符合公司信息化業務發展現狀和要求的整改措施。
(2)以風險為著眼點,確定應用控制審計重點。
應用控制是各個信息系統內部所建立的控制機制,應用控制審計必須針對某個具體信息系統開展。在開展應用控制審計的過程中,審計人員應緊緊圍繞“風險”這個著眼點,通過對原有業務成熟度和系統建設過程中風險的評估,選擇不同的審計側重點開展應用控制審計。例如,在合同管理系統審計項目中,由于合同管理系統是全新開發的系統,審計人員經分析,判定系統在應用系統訪問控制方面的風險較高。而在進行控制評估和測試后,審計人員發現業務人員在創建系統權限設置機制時完全套用了公司辦公自動化系統的權限機制,而未針對合同業務流程中不同于公司組織架構下的角色設立相應的用戶組,導致系統無法實現合同經辦人與審批人職責的分離,存在重大的內控風險。
四、信息系統審計方法
在信息系統審計中,可因地制宜,綜合運用多種學科的技術方法,包括:傳統審計中內部控制測評的基本方法和審計取證的基本方法(包括審閱、核對、監盤、觀察、查詢、函證、計算、分析性復核);計算機科學的技術方法,如數據測試法、程序編碼審查法、受控處理法、受控再處理法、整體測試法、平行模擬法、程序比較法、漏洞掃描、入侵檢測、嵌入審計程序法等等;行為科學的技術方法,如運用組織發展的理論與方法、個體行為一般規律的理論和方法。這些方法與技術并不是孤立的,而是互相聯系的。目前,廣州地鐵在信息系統審計中所運用的方法仍主要集中在傳統的內控審計方法和信息系統管理的技術方法兩個領域,具體包括詢問、觀察、文件復核、抽樣、重新執行、使用計算機輔助軟件等。在部分項目中,也采用了一些計算機科學的技術方法。受限于審計資源不足,廣州地鐵較少采用程序比較法、平行模擬法、程序編碼審查法等高成本的審計方法,而傾向于選用一些較為高效的測試方法。但這些高效方法的運用不能完全消除審計風險,這就需要審計人員根據自身的經驗盡量避免。
1、傳統審計方法的運用
廣州地鐵在開展信息系統審計過程中較多運用傳統審計的方法。例如,在對信息系統整體計算機控制進行審計時,通過對系統使用人員的訪談、調研和對系統各項操作的觀察,梳理出整體計算機控制相關的各種控制活動。在沒有測試環境的情況下對生產在用信息系統的人機交互界面和功能進行調查和確認時,審計人員大量運用了觀察的方法。在對固定資產信息系統模塊進行審計中,審計人員通過觀察物資采購人員、資產管理人員、會計核算人員在系統中的操作界面、系統實現效果以及業務操作流程來了解系統功能的構造。發現采購中的供應商信息在跨系統流程過程中丟失,導致財務系統和實物管理的MAXIMO系統的資產臺賬中均缺少供應商信息,致使日后采購同類物資時,采購人員無法獲取歷史采購信息作為參考,增加了市場調研成本。除內控矩陣和訪談、觀察等方法之外,編制流程圖、數據流圖和報表流圖也是信息系統審計經常使用的方法。
2、計算機科學技術方法的運用
計算機科學技術方法是信息系統審計特有的方法,來源于IT行業的信息技術的轉換應用,主要包括基于數據分析的方法和基于程序分析的方法,這些方法的綜合使用使得對信息系統的審計更加有效。具體方法的選用需視被審計系統的實際情況而定。在一個審計項目中,廣州地鐵審計人員經常將多種方法結合使用。例如,在票務收入系統審計項目中,審計人員首先采用數據測試法,使用正常及非正常的測試地鐵票搭乘地鐵,在系統中跟蹤測試票的處理情況,以驗證系統處理與控制功能是否均有效;在對系統中后期內部開發的車站單程票售賣功能進行審計時,審計人員采用了程序編碼審查法,對系統的源程序編碼進行審查,審查后發現單程票售賣金額統計報表在進行數據處理時省略了小數點后的尾數,導致報表金額存在偏差;在對票務系統的清分報表進行驗證時,審計人員又采用了平行模擬法,抽取系統中一段時間內的正式交易記錄,在系統外模擬系統的處理規則對交易記錄進行處理,并將處理結果與系統的報表數據進行核對,結果發現系統在數據傳遞和處理過程中,由于系統對于異常數據的審核過于嚴格,導致部分正常數據被當作垃圾數據丟進異常庫,給公司造成票務損失。
3、計算機輔助審計軟件的應用
計算機輔助審計軟件的應用是信息系統審計的一個顯著特點,也是審計人員準備階段需要重點關注的問題之一。目前,廣州地鐵對計算機輔助審計軟件的應用主要體現在以下兩個方面。
(1)對系統中數據的準確性、完整性和一致性的檢查。
例如,在合同管理系統審計項目中,為核對系統接口程序的可靠性,審計人員利用審計輔助軟件快速完成了對合同系統和財務系統數據一致性的核對,迅速查找出兩個系統中不一致的數據。經過深入分析,審計人員發現由于財務核算人員在財務系統中復核合同支付數據時發現錯誤,將支付申請退回給合同系統再由合同經辦人重新填報時,合同系統未對已生成的支付信息進行更新,導致上述問題的出現。針對海量數據處理系統,數據驗證是審計的重點,計算機輔助軟件是“不可或缺”的審計工具。在地鐵票務收入保障審計項目中,審計人需要通過數據驗證的方式對業務處理的核心系統———自動售檢票(AFC)系統中的系統傳輸和處理機制進行驗證。為此,審計人員共設計了8大類29子類47個數據驗證主題。審計時,審計人員運用計算機輔助審計技術,在兩個月內完成了對AFC系統中10天總計超過3億條運營數據的驗證工作。
(2)利用計算機輔助軟件進行對比測試。
即審計人員從信息系統中抽取某部門樣本數據,將樣本數據輸入到與計算機輔助軟件中進行處理,把審計軟件輸出的結果與業務系統產生的結果進行對比分析,以判定業務系統的可靠性與準確性。廣州地鐵在已開展的運營票務收入保障審計項目中大量地使用了此種方式。審計人員將各車站站務人員在票務系統中錄入的售票數據導入到計算機輔助軟件中,按照業務規則對數據進行處理,將處理結果和系統輸出的結果進行對比。經對比,審計人員發現票務系統在處理異常數據時過于嚴格,導致部分非異常數據被系統當作異常數據丟入異常庫中,給公司造成票務損失。
篇6
2)目前審計機關信息系統審計主要有兩種方式,一種是將信息系統審計作為常規審計的一部分,為實現審計項目的總體目標服務,即數據審計、信息系統審計和系統內部控制審計"三位一體"的結合方式.信息系統審計和系統內部控制審計為數據審計服務,通過審計數據得出結論.另一種是獨立立項的,直接審計信息系統本身的安全性、可靠性和有效性。
二、為什么要開展信息系統審計
信息系統審計作為國家審計機關的一項重要工作,是信息化發展到一定程度的必然產物。
(一)開展信息系統審計是控制審計風險的要求.近幾年,審計紙質賬目時,內部控制也要審計,不能假賬真審.同樣的道理也不能假電子數據真審,如果被審計單位運載電子數據的信息系統的安全性、可靠性和有效性出現了問題,計算機數據審計就會存在風險,系統的可信與可靠程度是數據審計得以進行的前提和最終實現的基本條件。
(二)開展信息系統審計是全面履行審計職責的要求.信息化環境下的審計,電子數據、信息系統、系統內部控制審計必須"三位一體",在審計過程中,這三項內容不能少.只有這樣,我們才能完成審計署黨組強調的"全面審計,突出重點"的要求,全面履行審計職責。
三、信息系統審計與常規審計之間的區別與聯系
1)信息系統審計是常規審計的一部分,是以常規審計理論為理論基礎的,兩者之間有緊密的聯系,也存在一定的區別。
2)兩者的聯系是:信息系統審計繼承了常規審計的基本理論與方法,與常規的審計一樣。在立場上,要求信息系統審計師站在獨立的立場上,通過選擇特定的審計對象,采用詢問、檢查、分析、模擬、測試等方法獲得客觀的審計證據,來判斷其與既定標準的符合程度。在程序上,信息系統審計一般也要經過審計計劃、符合性測試與實質性測試、審計報告等主要階段來進行審計工作,實現審計目標。
3)兩者的區別也比較明顯,主要表現在:首先,信息系統的審計對象不同于常規審計的財務領域,而是信息系統,包括基礎設施,軟硬件管理,信息安全,網絡管理合通信等;其次,信息系統審計提出了更多的審計法與審計程序,這都是常規審計所不具備的,比如對某軟件進行審計時,要采用技術含量相當高的測試,對網絡安全審計時要采用穿透性測試(模擬成黑客進行各種攻擊以驗證其安全性);第三,信息系統審計不光是事后審計,主要關注系統的運行現狀,在某種情況下,直接參與項目的開發或變更過程,以保證足夠的控制得以順利實施;最后,信息系統審計的咨詢價值顯得更高,信息化的風險很高,信息系統審計師可憑借其專門知識和實踐經驗,受托或主動服務于被審計單位的管理者或其業務人員,在企業信息化過程中,幫助企業建立健全內部控制制度,進行系統診斷,根據企業需求,確定信息化的目標和內容,選擇合適的信息系統。
四.如何使信息系統審計與常規審計有機結合
1)在項目計劃上的相結合
信息系統通過選擇特定的審計對象,采用詢問、檢查、分析、模擬、測試等方法獲得客觀的審計證據,來判斷其與既定標準的符合程度。在程序上,經過信息系統審計,審計項目計劃、符合性測試與實質性測試、審計報告等主要階段來進行審計工作,實現審計目標。
2)在項目實施過程中相結合
(1)全面開展對項目實施過程中電子數據的審計,包括會計電子數據和業務管理電子數據。采取的具體方法是:1.精確復核。運用計算機,對各種項目數據進行精確復核,既可以對全轄并表機構的會計報表與匯總報表進行全面復核,又可以從會計流水賬逐級核對至總賬,還可以將業務管理數據與會計報表數據進行復核;2.編制計算機程序進行輔助計算。可以編制計算機程序對有比例關系的項目進行計算,然后與實際記錄進行比較,找出產生差異的記錄;3.對一些異常會計記錄和交易進行篩選和查詢,為審計人員提供審計線索,主要是根據某一特征進行篩選分析,從不同角度分析可疑問題線索。
(2)以信息系統審計對項目實施時,對項目管理系統的內部控制情況進行初步的調查和評價,重點是權限管理、參數表的設置和修改控制等是否有效,被審計單位對交易錄入的原始數據是否實施相應的控制,信息系統的數據流和業務流程是否吻合;3.通過系統日志等文件分析一些重大事件的原因,避免在項目實施過程中發生不可預測影響。
3)在資源配制上相結合
常規審計在我國的審計實踐中,對項目資源存在的漏端很難察覺,原因主要是以下三大困難:一是審計人員難以在短時間內透徹了解被審計單位的項目存在弊病。一般來說,小型的數據管理,由專業的軟件公司開發后打包在市場銷售,被審計單位人員僅僅是使用者,審計人員無法獲得開發設計的細節;而定制的系統多用于大型的數據管理,由軟件公司或內部的開發部門根據企業的應用量身定做,這類系統技術文檔和技術支持比較完善,但是由于系統過于龐大,細節設計過于復雜,審計人員在有限的審計時間內難以對系統進行評估。二是難以發現系統內的瑕疵。從表面看,常規審計的各項令人眼花繚亂審計方法無論是從開發文檔還是操作手冊都不會直接察覺系統的瑕疵,而且在現場審計中,審計人員一般不允許對正在運行的系統進行測試,較難識別系統的問題。三是難以評估系統瑕疵所導致的后果。在審計實踐中,即使審計人員發現了常規審計存在的某些瑕疵,但是未發現該瑕疵導致的已經存在的后果,常常使得審計結論缺乏直接證據。
信息系統審計作為一種全新的審計手段和審計理念,首先,審計人員可以通過整體評價被審計單位的項目管理系統重要性的基礎上,確定審計重點。其次,審計人員應用內控測試和數據審計兩種方式對選定的項目管理系統進行分析,一般能迅速找出項目管理信息系統存在的瑕疵,尤其是人為舞弊的線索。第三,根據已經發現的問題,對系統進行延伸,進一步追查系統存在問題所引致財務收支失真等方面的問題。可以較好地從信息系統的角度發現舞弊問題和內控漏洞,使得審計內容不斷豐富完整,較好降低審計風險。
五、在常規審計后,開展信息系統審計的意義
1)信息系統審計是未來審計發展的必然,未來審計行業和審計技術的發展動力將主要來自于信息系統審計的發展。
2)維護信息時代的市場經濟秩序
篇7
隨著網絡與信息系統的廣泛使用,網絡與信息系統安全問題逐漸成為人們關注的焦點。
網與因特網之間一般采取了物理隔離的安全措施,在一定程度上保證了內部網絡的安全性。然而,網絡安全管理人員仍然會對所管理網絡的安全狀況感到擔憂,因為整個網絡安全的薄弱環節往往出現在終端用戶。網絡安全存在著“木桶”效應,單個用戶計算機的安全性不足時刻威脅著整個網絡的安全[1]。如何加強對終端用戶計算機的安全管理成為一個急待解決的問題。
本文從系統的、整體的、動態的角度,參照國家對安全審計產品的技術要求和對部分主機審計軟件的了解,結合實際的信息安全管理需求,討論主機審計系統的設計,達到對終端用戶的有效管理和控制。
2安全審計概念。
計算機網絡信息系統中信息的機密性、完整性、可控性、可用性和不可否認性,簡稱“五性”,安全審計是這“五性”的重要保障之一[2]。
凡是對于網絡信息系統的薄弱環節進行測試、評估和分析,以找到極佳途徑在最大限度保障安全的基礎上使得業務正常運行的一切行為和手段,都可以叫做安全審計[3]。
傳統的安全審計多為“日志記錄”,注重事后的審計,強調審計的威懾作用和安全事件的可核查性。隨著國家信息安全政策的改變,美國首先在信息保障技術框架(IATF)中提出在信息基礎設置中進行所謂“深層防御策略(Defense2in2DepthStrategy)”,對安全審計系統提出了參與主動保護和主動響應的要求[4]。這就是現代網絡安全審計的雛形,突破了以往“日志記錄”
等淺層次的安全審計概念,是全方位、分布式、多層次的強審計概念,符合信息保障技術框架提出的保護、檢測、反應和恢復(PDRR)動態過程的要求,在提高審計廣度和深度的基礎上,做到對信息的主動保護和主動響應。
3主機審計系統設計。
安全審計從技術上分為網絡審計、數據庫審計、主機審計、應用審計和綜合審計。主機審計就是獲取、記錄被審計主機的狀態信息和敏感操作,并從已有的主機系統審計記錄中提取信息,依據審計規則分析判斷是否有違規行為。
一般網絡系統的主機審計多采用傳統的審計,系統的主機審計應采用現代綜合審計,做到對信息的主動保護和主動響應。因此,網絡的主機審計在設計時就應該全方位進行考慮。
3.1體系架構。
主機審計系統由控制中心、受控端、管理端等三部分組成。管理端和控制中心間為B/S架構,管理端通過瀏覽器訪問控制中心。對于管理端,其操作系統應不限于Windows,瀏覽器也不是只有IE。管理端地位重要,應有一定保護措施,同時管理端和控制中心的通訊應有安全保障,可考慮隔離措施和SHTTP協議。
主機審計能夠分不同的角色來使用,至少劃分安全策略管理員、審計管理員、系統管理員。
安全策略管理員按照制定的監控審計策略進行實施;審計管理員負責定期審計收集的信息,根據策略判斷用戶行為(包括三個管理員的行為)是否違規,出審計報告;系統管理員負責分配安全策略管理員和審計管理員的權限。三員的任何操作系統有相應記錄,對系統的操作互相配合,同時互相監督,既方便管理,又保證整個監控體系和系統本身的安全。控制中心是審計系統的核心,所有信息都保存在控制中心。因此,控制中心的操作系統和數據庫最好是國內自己研發的。控制中心的存儲空間到一定限額時報警,提醒管理員及時備份并刪除信息,保證審計系統能夠采集新的信息。超級秘書網
3.2安全策略管理。
篇8
(一)創新審計流程,強化信息系統事前和事中審計。信息系統審計是以保證計算機信息系統安全平穩運行,有效控制風險為目標的,如果僅從合規性的角度進行信息系統審計,無法達到上述目標,因此,開展信息系統審計的目的不僅要善于發現問題,有效防范已暴露的風險,更要分析化解潛在的風險,以提高審計效果。這就要求我們要創新審計流程,改變傳統審計方法,采用“參與式”的審計方式,加強與科技等部門的溝通交流,重視事前與事中審計。一要完善溝通機制。科技與系統應用部門應及時將制定的有關制度、操作規程、系統運行中的事故情況、解決措施、處理結果發送給內審部門;內審部門應就審計系統時發現的問題,及時向科技和系統應用部門進行通報和反饋,并與他們定期或不定期地磋商、交流,了解各業務系統運行情況,更好地發揮信息系統審計的作用。二要組織審計人員參與新系統的開發、評估,并設計滿足審計業務需要的功能,真正做到對信息系統的事前和事中審計。三是在審計過程中采用“參與式”審計方法,參與信息系統審計目標、內容、計劃的制訂,參與審計中發現問題的分析、討論,參與信息系統風險的評估及改進措施的制訂等。
篇9
審計系統由于受編制、人事管理體制及專業性質的制約,人員的錄用、提拔、調離等方面都存在一定的困難與障礙,人員流動性小。雖然政府再三強調審計機關工作人員逢進必考,但現實的大環境,人事部門也難于做到嚴把進人關。近兩年我局所進人員,基本上是鄉鎮領導換屆安排,部分關系人員照顧性進來的,實際能勝任審計工作人員難于“走進來”,而非專業人員,相對來說又難于“走出去”。審計人員提拔、輸出的極少,由審計崗位走向領導崗位的更少,人員始終處于一種自行消化狀態,干部成長渠道窄。由此嚴重影響了審計干部向健康、向上方發展,從而影響了審計事業的推進。
(二)機制體制不完善、不健全
基層審計機關審計任務繁重,工作壓力過大是不可否認的現實,所以在日常工作中,年齡偏大點的審計人員認為自己搞審計多年有經驗、有方法,同時存在“船到碼頭車到站”的思想,當天和尚撞天鐘,完成任務就行了。而年輕剛進來的審計人員,大多憑關系進審計局,缺乏刻苦鉆研、勤奮好學的精神,得過且過,應付了事,整天討好領導,在理念和實踐上無長進,形成一種“工作干好干壞無區別,干多干少無所謂”的不正確認識,這種狀況的出現主要還是基層審計機關機制體制不完善、不健全,以及有關制度未能真正做到有效地貫徹執行,尚未建立健全符合現階段審計發展的審計管理、審計教育培訓等工作機制,缺乏切合實際的考核激勵制度,最終導致審計人員工作態度不夠認真,積極性不夠高,創新意識不強的結果。
(三)學習教育不夠重視
基層審計機關普遍存在業務人員少、任務重的矛盾,且大多數都是具有豐富審計經驗的40~50人員,加上每年要完成的審計單位(項目)眾多(如我局去年審計的單位(項目)73個,其中年度計劃51個,縣委、縣政府臨時交辦22個,今年又達74個,這還不包含縣委、縣政府臨時交辦的審計項目),項目一個接一個,加之審計的程序及其繁瑣,案卷整理過于繁雜,審計決定執行難度較大,審計人員長年累月奔波于審計一線,天天忙于查賬、寫審計報告、執行審計決定、整理審計案卷,任務的日趨繁重,及主觀上缺乏足夠的重視,基層審計人員在學習上更多的是采取敷衍的態度,靜不下心、沉不下心去認真學習,深入思考學習新的審計方法和技巧。由于過份強調“忙”,更談不上組織審計人員進行系統培訓,最終導致審計人員綜合分析、解決問題、創新等各方面能力得不到提升,運用績效理念,計算機技術等現代審計方法無所適從。
二、對策及建議
加強基層審計隊伍建設,是推動審計事業不斷發展的根本保障,是新時期、新形勢下社會各界對審計工作的基本要求,也是充分發揮審計保障國家經濟社會健康運行的“免疫系統”功能作用的迫切需要。基層審計干部隊伍建設是一項系統的工程,任重道遠,需要基層審計機關及廣大審計人員堅持科學發展觀,樹立科學審計理念,從提高認識、完善機制體制及制度、加強學習教育、優化隊伍結構,提高審計質量等措施入手,不斷強化隊伍建設,全力打造一支適應新時代要求的高素質審計干部隊伍。
(一)優化人員結構
一是立足當前實際,從現有人力資源上下功夫,努力提升審計人員的素質,從根本上解決審計隊伍知識結構失衡、能力發展不均衡等問題。由于受機構編制制約,短時間內難以通過招錄人員、引進專業人才的方式充實審計力量,優化審計隊伍結構,根據審計隊伍實際情況,通過以老帶新、以強帶弱、強化學習培訓、強化溝通交流等方式,積極培育審計人才,促使審計人員具備豐富的業務知識、扎實的專業技能、勇于創新的精神。二是嚴把審計進人關,用好有限的人員編制,招錄急需人才。根據審計機關工作性質及專業特點,通過設定一定的條件及標準、采用科學合理的錄用方式將審計隊伍中知識結構嚴重缺位的、審計工作急需的人才引進到審計隊伍中,確保隊伍整體素質及水平。三是逐步建立審計專家庫。作為基層審計機關,普遍存在人才缺口,很難配齊所需的各類人才,因此上級審計機關因結合審計實際,逐步建立完善適應審計需要的審計專家庫。基層審計機關可以通過聘請專業人才參與審計等的方式,緩解審計力量不足的矛盾。
(二)爭取政府支持,確保審計經費
《國務院辦公廳轉發審計署關于機構改革中加強市、縣級人民政府審計機關建設幾點意見的通知》([2000]86號)精神要求,“各級審計機關的審計經費應根據《審計法》的有關規定,列入同級預算,由本級人民政府予以保證”,據此,審計機關應主動爭取政府支持,財政年度預算時充分考慮到審計工作性質、工作量、工作職能和工作成本,確保審計機關的經費,以提高審計工作服務水平和質量,切實維護審計人員廉潔審計,依法審計形象,推動我縣審計事業全面科學發展。
(三)健全完善相關機制制度
一是建立完善考核激勵機制。堅持以人為本理念,針對審計事業發展方向及基層審計工作特點,建立和完善基層審計機關的工作考核制度和管理辦法,激發審計人員的工作積極性,有效提高審計質量。并針對審計發展形勢需要及制度操作中存在的不足等,及時科學地調整考核內容,使之能夠真正發揮作用,營造良好的競爭氛圍。例如我局2005年制定出臺的內部管理考核辦法,圍繞德、能、勤、績、廉等幾方面,將定量考核與定性考核相結合,以審計工作業績為考核重點,將業績與審計人員完成項目質量、成果運用、審計創新等相掛鉤,量化考核指標。并逐年進行修訂完善,不斷細化考核項目。通過近年來內部考核辦法的實施及修訂完善,我局在調動審計人員工作積極性及提高審計質量等方面取得了顯著的成效。今年,我局又將繼續圍繞科學發展及審計轉型的要求,對考核內容進行修訂完善,工作成效將不再只針對查出多少違規金額,上繳多少財政金額,而是重點關注有否解決實際問題,幫助黨委、政府建立健全體制機制,維護人民切身利益等方面。
(四)強化學習教育
針對目前基層審計干部專業結構狀況,要使廣大審計人員充分認識到學習的重要性。當今社會正處于知識更新的新時期,就審計人員本身而言,學習是防止思想僵化,保持不斷創新,持續進步的基礎。就審計機關而言,加強培訓,促使審計人員有計劃、有目的地接受學習和教育,是提高審計干部隊伍綜合素質,推動審計事業科學發展的有效途徑。首先,基層審計機關應營造良好的學習氛圍,教育全體審計人員端正學習態度,主動協調好工作、學習、生活之間的關系,鼓勵審計人員利用一切可以利用的時間,以自學為主的方式,在學習專業知識的同時,重視其他相關知識的學習,注重學習效果,切忌走過場,使廣大審計人員能真正從擴大審計人員知識面和思維視野出發,培養審計人員思考問題、分析問題的能力及創新意識等。同時有針對性地選擇有潛力、有鉆研的審計人員進行綜合培訓,積極培養一人多專的“復合型”人才,解決審計應用上的困難及人才缺乏等現實問題。其次,基層審計機關應建立健全教育培訓機制。根據審計發展形勢及審計人員的崗位、專業、文化程度、知識結構等情況,制定中長遠的培訓規劃和年度計劃。培訓內容上,應基本涵蓋宏觀經濟、法律、審計業務、計算機、基建等知識,不斷拓寬學習覆蓋面。培訓方式上,應注重有計劃地分類、分層次培訓,如按照領導、骨干、一般等不同層次對象有針對性地開展培訓,也可根據審計實踐需求,采取委培、代培、抽調基層人員參加上級審計項目等多種方式開展培訓。培訓方法上,應考慮基層審計機關的實際,防止只重形勢不重效果,走過場的培訓,減少“作報告”、“談體會”等枯燥單一形式的培訓,注重采取新穎、互動的培訓方法,采取審計實務的操作演示、審計業務的經驗交流等培訓方法。如我局從今年起,每月第一星期周一各業務組長互相交流審計實施情況,也是一種很好的培訓方式。
(五)加強審計質量控制
1.重視審前調查,提高審計方案編制質量。
一是審計人員在編制審計方案之前,必須做好充分的審前調查。在了解被審計單位的內設機構、人員情況、領導及分工、單位主要職能、下屬單位情況、紀委等有關單位掌握的情況,以往審計情況,以及計算機環境的基礎上,注重掌握重大事項如工程建設、大筆資金征管用、資產處置情況等。二是根據審前調查掌握的實際情況、重點內容等編制審計方案,重點項目應開展審計方案論證,審計組長及時根據審計方案論證會形成的意見,完善審計方案。
2.遵守規范,鼓勵創新,提高審計報告撰寫質量。
篇10
信息系統控制是公司為了保證信息系統正確性、完整性和安全性而采取的控制措施,其控制對象是公司信息系統,隨著網絡技術和電子商務的發展,信息系統控制還必須考慮網絡安全和電子商務控制的問題。
信息化管理層面、業務層面控制和信息系統控制對控制活動有著不同要求,內部控制必須根據公司業務流程的情況和具體的控制點進行設置,因此,控制活動受到公司信息化的直接影響。
二、信息化環境下,通信企業內部審計采取的應對措施
隨著國內四大通信運營公司在海內外上市,在當今信息化環境下,通信企業經營業務、經營領域的不斷擴大,公司管理的難度、跨度、層次比以前更加復雜,面臨的風險更多,管理層更關注公司政策、制度在集團所屬單位的貫徹執行情況,關注公司資產的安全性和效益性,關注信息是否失真,關注權力是否失衡,控制是否缺失等。
(一)審計觀念的轉變
觀念問題就是認識問題,通信企業必須積極轉換審計觀念,將審計目標不僅僅局限在查錯糾弊,而應全面樹立以風險為基礎的審計觀念,理解信息化環境下內部審計的重要意義;一個在信息化環境下,完善、良好的控制系統,應該能夠防止、發現或糾正自身存在的問題,審計的任務就是幫助和促進被審計者建立、健全這種機制,而不應該是代替被審計者去履行他們的“管理責任”。
1.內部審計應積極參與信息化環境下的審計項目
內審人員應以相對獨立的身份,在審計中可以保持客觀態度,有助于公司治理、風險管理和內部控制制度的健全和完善。
2.加強信息化知識的培訓和學習
目前,隨著信息化的實施,對內審工作也提出了新的要求,審計人員不再局限于以前的工作方法和思路,通信企業應以上市執行內部控制制度為契機,以效益為中心,以內控體系為載體,以外部審計為驅動力,通過各種培訓,使全體審計人員對企業信息化有全面的了解和認識。
3.明確信息化環境穩定后內審工作的新方向
內審的職能應從查錯防弊逐步向為強化管理,加強內部控制方向轉變。通信企業審計工作的方向和重點應向管理審計和效益審計轉型,應積極開展信息化環境下風險的分析,協助企業完善內部控制體系。
(二)信息化環境下審計工作的方法
信息化環境下,通信企業應統一審計項目計劃,統一調配審計資源,統一審計辦法。主要審計工作方法可歸納如下:
1.計劃階段
(1)深入了解、分析業務流程,尋找內控薄弱環節,確定審計重點;
(2)分析存在的內控薄弱環節;
(3)確定審計重點;
(4)進行穿行測試,評估信息化系統控制的實現情況,根據評估結果適時調整審計重點;
(5)熟練掌握信息化系統中相關查詢功能,搜集所需的相關資料和信息;
(6)導出所需的業務資料,進行分析、比較;
(7)編制可行的審計工作方案,進行合理人員分工。
2.實施階段
(1)追溯原始數據的來源,抽樣核對原始數據的準確性;
(2)分析會計核算方法的差異、對會計報表的影響以及前后期是否一貫執行;
(3)對集成部分數據形成的報表進行對比分析,尋找異常,并抽查驗證;對非集成數據從系統中導出相關憑證,抽樣查閱原始憑證;
(4)利用信息化環境提供審計線索的功能,查閱相關修改記錄并進行追查;
(5)形成審計工作底稿。為了便于以后更好地開展信息化環境下的內審工作,將審計過程所涉及到的審計發現以“實事描述”“信息背景”“風險影響”“審計建議”為內容全部記錄下來,形成相應的工作底稿,以待備查,為撰寫審計報告打下基礎。
3.報告階段
(1)完成審計工作底稿的三級復核;
(2)根據相關業務統計數據、審計結果,分析企業經營、管理方面存在的不足,編寫審計報告,提出管理建議;
(三)消除信息化環境下內審工作認識上的誤區
誤區一,信息化環境下內審工作職能的削弱。有人認為,實施信息化內部審計部門沒事干了,原先很多審計工作可以通過信息化環境下的業務流程的整合,內審工作職能就相應削弱。
誤區二,按照傳統審計思路開展審計工作。有人認為:信息化環境下,只需將所需數據從信息化環境下系統中導出,然后按傳統的審計工作思路和方法進行核對,不加分析,不加判斷,繼續按照舊環境下容易出現的錯誤及舞弊為起點進行審計,其結果可能是既浪費時間又沒有成效。因為許多核對工作信息化環境下系統已經能自動完成,或者說通過添加一些程序能較快地完成,能大量地減少核對工作。
在新的環境下對通信企業內審人員來說,一方面,要加強信息化相關知識的學習和培訓,提高綜合素質;另一方面,要積極開展信息化環境下審計的研究工作,將審計工作重點逐步進行轉移。從現實意義上講,信息化環境下內審活動是公司治理、風險管理的控制系統,審計的職能從查錯防弊逐步向如何加強企業管理、強化企業內部控制、風險分析與控制等方向轉變。
信息化環境下的內部審計工作目前還處于摸索階段,一些觀念和做法還不是很成熟,同時,隨著信息化環境下的內部審計逐步完善,內審工作的重點和方法也需逐步調整,這就要求通信企業內部審計人員不斷地學習和探索,切實提高審計能力;為適應信息化時代企業生產經營發展的需要,適應信息化環境下的審計要求,審計人員更應該改變審計理念、創新審計思路和方法,跟蹤信息環境下內審工作的新方向,使通信企業內審工作進一步發展和提高。
【摘要】隨著全球信息化和審計理論的發展,信息化對公司內部控制的影響逐漸引起人們的關注。本文討論了信息化對通信企業內部控制的影響,并分析了內部審計應采取的對策;旨在引起通信企業管理層對信息化影響和內部審計對策的重視,盡快加強信息化環境下通信企業內部控制的審計。
【關鍵詞】通信企業內部控制信息化影響審計對策
目前,我國信息化建設進入全新的發展階段,通信企業由于傳統業務收入下滑,也正在積極探索業務轉形,而信息化的發展是公司實現成功轉型的關鍵所在。信息化提高了公司業務流程的自動化程度,改變了數據和信息的獲取、傳遞、存儲的方式,提高了信息處理的效率,提高了信息的集成性。同時也造成通信企業內部控制環節隨之發生變化,使傳統的控制手段逐漸失去意義;評價和改進內部控制必須以信息系統的運轉為基礎,而公司信息系統的安全問題會導致管理風險日益增長,與之對應的公司內部控制審計也面臨著前所未有的挑戰,已經成為需要認真研究的課題。
參考文獻:
篇11
0 引言
科研項目申報與科研成果的統計、管理師高校科研管理工作的重要內容之一,也是高校科研處日常工作的重要組成部分。做好科研項目申報、科研成果統計,使之達到準確、高效的水平,是高校科研管理部門始終關注和追求的目標。
隨著信息技術的發展,由于各高校科研項目、科研成果、科研經費的不斷增多,科研管理的信息量也日益增大。各高校紛紛摒棄了傳統的手工管理模式,進而建立了基于WEB的科研管理系統,以提高工作效率。筆者在本單位的科研管理系統的開發過程中,根據本單位的實際情況,引入了論文提交審核、項目預申報2個子系統的開發,使用的實踐證明,效果良好,解決了實際工作中長期存在的問題,具有一定現實意義。
1 系統需求分析
1.1論文提交審核需求
論文是科學研究的重要成果之一,其數量和質量也是衡量高校科研水平的重要指標之一,因此論文的統計和審核是高校科研處的重要工作之一,為此,一般的科研管理系統均包含此功能。
論文的提交和審核,過去一般由作者提交論文紙質復印件,科研處匯總后,逐一審核(包括是否屬SCI、EI收錄、是否屬中文核心期刊發表、數否屬非法期刊發表等),再由科研處人員逐一錄入。許多高校由于實行高級別論文的獎勵政策,使得科研處在該項工作中尤其不敢掉以輕心,稍有疏忽,即容易引發投訴和矛盾。在論文數量大、科研處人員少的院校尤其如此。因此,科研管理系統若只承擔錄入、存儲且輔之以統計查詢的作用是不夠的。
高校圖書館在論文的甄別工作上具有得天獨厚的條件,應充分發揮圖書館功能之所長,在系統中專門開辟一個審核模塊歸之使用,從而避免科研處在論文甄別上的尷尬與被動。
論文的提交可由作者紙質提交改為自行登入系統錄入。圖書館審核后,其數據不允許再修改。此舉有2個優點:其一,減少紙張使用,低碳環保從日常的工作中開始;其二,審核結果權威性增強,減少爭議。
1.2 項目預申報需求
筆者從事科研項目申報工作多年,學校規定的項目申報截止日到后,個別教師仍提交申報書的情況時有發生。其原因有多方面,申報期內教學工作繁忙、外出公干等。在科研管理系統中加入預申報模塊,可以有效地減少逾期申報的情況發生。
其做法為,科研處每次項目申報通知發出后,即在通知后面鏈接項目預申報模塊,教師瀏覽完申報通知后,有意申報者即可進入項目預申報子系統,進行申報登記。科研處在受理申報材料截止日的前三天,可以根據目前所收材料的情況與項目預申報子系統內的登記情況進行對比,對尚未交材料者進行提醒和督促。該系統投入使用后,逾期申報的情況大幅減少。保證了申報工作的順利進行。
2 系統結構設計
2.1系統體系結構設計
通過以上需求分析,針對本校科研管理業務流程的實際需求,本系統采用了多層B/S(Browser/Server)模式體系結構。B/S模式是Web興起后的一種網絡結構模式,WEB瀏覽器是客戶端最主要的應用軟件。這種模式統一了客戶端,將系統功能實現的核心部分集中到服務器上,簡化了系統的開發、維護和使用。本系統采用.NET框架支持下的n層分布式體系結構,使系統具有良好的可操作性和可維護性。
2.2 系統業務流程設計
論文提交審核流程設計
3 系統安全性設計
系統的安全性問題是本系統設計需要考慮的重要方面,除了它關系到整個系統的實用性和可靠性,更重要的是圖書館對數據庫中論文審核的結論具有權威性和不可更改性,因此,本系統除了使用通信協議提供的功能完成連接和驗證省份外,在應用程序和數據庫中還對用戶訪問權限進行了分配和限制,從而確保數據庫中的數據信息部不被非法泄露和修改。
用戶的權限主要按用戶使用性質進行分配,其中包括:教師角色用戶(即有科研信息的用戶)、人事處用戶(專門負責教師基本信息的錄入、修改、刪除)、科技處用戶、圖書館用戶(負責論文審核)、財務處用戶(負責科研經費的錄入、修改、刪除)、部門領導查詢用戶(只限于對本部門的科研信息、匯總信息進行查詢)、院領導查詢用戶(可對全院科研信息、匯總信息進行查詢)。
4 結論及應用效果
本系統于2009年10月正式投入使用,運行效果良好,它的多級用戶權限管理、分布式實時查詢等特點進一步增強了系統的通用性、可操作性和安全性,達到原設計目標。通過該系統的使用,實現了論文審核過程的無紙化提交,同時引入圖書館作為一個用戶,解決了論文甄別問題上的難題,加強了論文審核環節的可靠性與準確性。在項目申報方面,該系統能提前讓科研處掌握參加申報的人員數量及其姓名,便以及時做好提交申報材料的提醒和督促工作,保證申報工作的順利完成。
篇12
一、中國傳統服飾的文化內涵
服飾是人類生活要素和人類文明的重要組成部分,它滿足人們物質生活的需要,并代表著一定時期的文化。服裝的款式設計、面料選用、顏色組合等,均記錄著特定時期的生產力水平和社會狀況,反映著人們的思想文化、宗教信仰、審美觀念。
中國傳統服飾文化不是一種孤立存在的文化現象,它是物質與精神的統一體,也是附著于物質載體之上的主體美的物化形態,既主張象征表意性又倡導審美愉悅性,既注重形式美的創造又崇尚情感意念的表達,使內涵意義與表現形式完美統一,以情景交融、意象統一之美來展示民族美學的生命藝術品位。f”以中國傳統服飾文化中的顏色為例,其文化內涵亦隨著社會的發展、時代的變遷而演變,并呈現出鮮明的階段性、民族性和時代性審美特征。中華傳統服飾文化的生活色彩濃郁,它以等級標識為主要體征,并被賦予特定的倫理意義,如商代將取于自然的青藍、赤紅、黃、白、黑五種顏色視作尊貴色彩,規定只有奴隸主和貴族階層的著裝才能使用這些顏色,且“青與赤謂之文,赤與白謂之章,白與黑謂之髓,黑與青謂之獻,五彩備謂之繡”。此外,將五色與中國傳統文化的認知方式相結合,與五行等相對應,構成了所謂“五方正色”的圖式,并根據五行相生相克的原理推衍出“五德終始說”,將之與生命道德聯系在一起,如商以金德王、尚白色,周以火德王、尚紅色,秦以水德王、尚黑色等。先秦之后,到了等級森嚴的封建社會,服飾色彩作為政治倫理的外在形態直接被用來“別上下、明貴賤”,成為統治階級等級差別的標志性象征,而黃色和龍紋則成為皇帝的專用色和王權的象征。在封建等級制度的高壓和儒家禮教思想的雙重作用下,色彩的應用已脫離自然的物質屬性及其本來意義而被賦予了濃厚的政治倫理色彩。可見,中國傳統服飾的文化內涵極其豐富,它出干對自然和生命的無限崇拜以及對等級標識的刻意表述而呈現出明快的色彩風格與和諧統一的心理追求,整體效果既賞心悅目又簡單大方,形成了自己獨特的五色體系和風格表現方式,成為中國傳統服飾文化的基調。
人類創造的世界是一個文化的王國,文化伴隨著人類生命的進程而發展,并在社會的進步中發揮著巨大作用。服飾文化是人類物質文明和精神文明的統一。一方面,服飾是文化重要的構成要素,文化的發展刺激著人們對服飾的需求;另一方面,人們對服飾的需求又豐富了文化的內涵,把文化對自然的改造與人的自身培養及生命審美聯系在了一起,最終促進了社會的發展。著名人類學家佛朗慈·波阿斯在《原始藝術》中指出:“追求藝術表現和優雅的外觀,是人類的共性。可以說,在古代社會中,許多人已經感覺到美化生活的必要,他們的意識,要比文明了的后代敏銳得多,強烈得多。在人類歷史的演變進程中,服裝對于人類已不僅僅限于遮體御寒,還能滿足人們在其他方面的心理需要和生命體認,如中國古代的北方游牧民族的獵手用獵物的牙齒、蹄爪、羽毛或尾巴裝飾在自己衣物上,以顯示其英勇無敵或地位崇高。隨著經濟社會的發展,人們衣服的質料、顏色、式樣及附屬裝飾越來越與整個社會心態和個性心理相呼應,服飾本身作為一種信息符號,能夠傳達時代風尚、文化特色以及個人的文化教養、知識水平、風度氣質與社會角色方面的信息。衣服被視為人的“第二皮膚”,它能夠反映出一個人尤其是女性的個性和心理狀態。美國服裝學家布蘭奇·佩尼在(世界服裝史》中寫道:“將一種鮮花戴在頭上,或者以酸梅果汁把雙唇染上紅色的第一位姑娘,必定有她自己的審美觀點……女性服裝的質料、色彩、縫制以及與服裝相匹配的佩飾能夠加強女性自身身份及在特定場合的自信心、風度、競爭力量。
二、中國傳統服飾的審美意蘊
1.適中、和諧的“情理美”
中國傳統服飾的含蓄婉約與中國人和平、知足、中庸的取向相一致。儒家“中庸”之“中”、華夏“中國”之“中”,皆強調“不過分而和諧”,這在中國傳統服飾文化中有明顯體現。中國傳統民族服裝既不像西服那般可精確勾勒人體,又不同于古希臘、古羅馬那樣用一塊布隨意地披掛或纏裹于身上,而是采取“半適體”的樣式,即倡導一種包藏又不局限人體的若即若離的含蓄美。究其原因,“平和性情”自古以來就作為一種美德為中華民族的先輩所推崇,所謂“人生但須果腹耳,此外盡屬奢靡”,追求幸福的真諦是“精神快樂休閑,勝干物質進步”。這反映在服飾文化中就是講究隨意、閑適、和諧,沒有過分的突出、夸張和刻意的造型,于恬淡之中給人一種含蓄、平和而神秘的美感。中國傳統服裝的制作者(裁縫)在設計和制作服裝的過程中憑借直覺與經驗,于“適體”中呈現的是一種含蓄的“情理美”,而非西方那種以數理為基礎的精確到尺寸的“理性美”。
2.追求意境的“含蓄美”
“含蓄”屬中國傳統文學藝術美的范疇,這一手法通常將作者的情感表達寓于作品的形象和意境之中,以達到啟發聯想、耐人回味之藝術效果,彰顯“情中有景,景外含情”的藝術境界。這類似于中國畫中的寫意手法,即不豺著于對事物的客觀再現,而強調欣賞某種朦朧的含蓄美,在虛實關系上偏重于對“虛”的張揚。引入到服飾文化的藝術創作中,就是設計者特別注重“不著跡象、超逸靈動”之美,不刻意追求數字上的精確性或純形式的客觀美感,而是崇尚用無窮的意象美含蓄地表現情感。如用寬衣大袍、中規中矩的樣式或寫實與變體相結合的動物、幾何紋樣、花草枝、藤蔓紋等具有抽象和寓意的服飾圖案來傳達一種與政治或倫理的關聯意向。
漢初之“袍”被作為禮服,一般多為大袖,袖口部分收緊縮小,緊窄部分為“祛”,袖身寬大部分為“袂”,所謂“張袂成蔭”就是形象化的描述;而魏晉時期的“竹林七賢”,其畫像人物皆穿著寬敞的衣衫,衫領敞開,袒露胸懷,或赤足,或散發,無羈放蕩,張揚著崇尚虛無、輕蔑禮法的人生品性,給世人以高山流水般隨性自然的審美意境。中國傳統的女性服裝旗袍,是傳統服飾文化與現代時尚設計完美結合的典范,它造型完美、結構適體、內外和諧,是兼收并蓄中西服飾特色的近代中國女性的標準服裝,是中華服飾文化的代表,在女裝舞臺上有著不可替代的重要地位。旗袍的設計表面上不溫不火,實質上內涵豐富、意蘊幽遠,達到了形式與內容的完美融通。光滑的質感和簡潔的造型表現出流暢明快的線條與和諧一體的氣韻,展示出東方女子溫柔、典雅之美。這種氣韻不僅展于外表,而且沉于內心。穿上旗袍,既能襯托出東方女性優美的身段,又能顯示出其幽雅的心境和悠閑的生活節奏,充分展示出中國傳統服飾的含蓄美,呈現出一種宛若自然生命律動的朦朧佳境。
三、中國服飾文化的承傳拓展
1.繼承:拓展傳統服飾文化的基礎
中國素有“衣冠王國”的美譽。縱觀華夏服飾文明的發展史可知,“諧調”、“統一”是中國傳統服飾文化的真諦。自中國服飾文化誕生伊始,就遵循著理物取暖與審美表現、標識顯示與象征表達、個性突出與喜慶吉祥相結合的制作原則,以最大限度地達到服飾與自然、服飾與社會、服飾與人群的和諧統一,而情景交融、意象統一更是中國傳統服飾文化最珍貴的審美品質。比如,作為中國傳統服飾文化的基本元素,“標示突出文化”同主要應用于人們在生產和生活中對等級尊卑、行業職別、年齡性別的標示和意念表達上,從原始部落首領與狩獵功臣的服飾標示到封建帝王的官服標示,從文官武官的服飾標示到現代軍裝、職業裝、晚禮服的服飾標示等,均彰顯著其“標示突出文化”的審美底蘊。當然,中國傳統服飾文化承載著傳統儒家中庸觀,受政治因素的影響頗深;而20世紀中期的“綠色”服裝覆蓋全國,“軍干裝”及其灰色基調也使中國服飾呈現簡單劃一的窘況。然而,中國傳統服飾文化中占數千年發展主流的是“諧調”、“統一”的服飾文化,理應將之發揚光大,諸如以原色表現為主的大氣而豪放的色彩文化,以追求內涵意義與表現形式圓滿統一并最大限度地達到服飾與自然、社會、人群協調一致的完美原則,以民俗吉祥意象為特征的表現形式等,現代中國的服飾文化都應予以承傳拓展。
2.創新:傳統與時尚的完美融通
在當代中國,傳統服飾與時尚設計的審美融通對提高服裝的文化附加值、滿足時尚消費需求、締造民族特色品牌、開拓國內外市場具有特殊意義。全球化時代的服裝產業競爭日趨激烈,各國服裝設計師在服裝設計中都很注重對本國傳統文化元素的借用,以張揚本國服飾文化和民族特色。目前,中國現代服裝設計整體上還存在著設計理念落后、創意不夠、沒能把傳統服飾文化的精髓融入現代服裝設計之中等問題;加之國外品牌紛紛涌入,國內又缺乏與之抗衡的品牌,使中國的服裝設計在國內、國際競爭中均處于不利地位,嚴重影響了中國服裝業的進一步發展。所以,當務之急是在借鑒傳統文化符號的基礎上,將傳統與時尚有機地融合在一起,將之從表面符號的簡單借用提升到對服飾文化內涵的審美體認與表征陰,創立自己的服裝品牌,發展中國傳統元素與現代時尚設計和諧融通的、具有中國特色的服飾文化。
實現傳統服飾文化與現代時尚設計的完美融通,實質就是一種在繼承傳統服飾文化基礎上的創新。這種創新首先須領會傳統文化,否則創新就是無本之木、無源之水,即設計師要在精神文化層面上把握中國傳統服飾文化的精神理念,將我國傳統文化元素與各種時尚理念、理論資源加以整合,把傳統服飾文化中的實用價值、文化價值和審美價值創造性地融入現代服裝設計,豐富其文化蘊意,提升產品的文化附加值,防止對傳統元素符號化、表面化的簡單組合或圖解式、獵奇式的樣品展覽。好的服裝設計創意是設計師在把握了傳統服飾文化理念之后,結合時尚理念和設計原則,對傳統文化積累、消化并感悟的一種自然情感表述,而不是現買現賣、照貓畫虎。河南“丙戌年黃帝故里拜祖大典”活動中展示的服裝就非常具有文化價值。拜祖服裝系列大多采用的是中性的流行色系列,顏色迥異、面料粗樸,以金色緞帶鑲邊;紐扣的設計則采用盤扣樣式,其金屬材質與服裝面料及服裝的金邊質地形成細膩的對比;袖口翻邊采用緞織紋路,既有古樸特點又有現代的工藝形式。整個設計將傳統元素與時尚設計完美結合,加之祭祖大典本身的特殊意義,可謂形式與內容完全融合在一起,取得了極佳的藝術效果。所以,當代中國的時尚服飾設計應該分析研究傳統服飾的配色及制作規律,理解、感悟傳統服飾文化的深厚、博大與凝重,并使之巧妙地運用到現代服裝設計中來,加之挑花、刺繡、蠟染、扎染、手繪、編織、織花、抽紗等現代工藝,并結合時代流行趨勢與時代特征,將繼承傳統與探索創新有機結合,這樣才能創造出既有時代感又有民族神韻的服裝。
篇13
一、中國傳統服飾的文化內涵
服飾是人類生活要素和人類文明的重要組成部分,它滿足人們物質生活的需要,并代表著一定時期的文化。Www.133229.cOm服裝的款式設計、面料選用、顏色組合等,均記錄著特定時期的生產力水平和社會狀況,反映著人們的思想文化、宗教信仰、審美觀念。
中國傳統服飾文化不是一種孤立存在的文化現象,它是物質與精神的統一體,也是附著于物質載體之上的主體美的物化形態,既主張象征表意性又倡導審美愉悅性,既注重形式美的創造又崇尚情感意念的表達,使內涵意義與表現形式完美統一,以情景交融、意象統一之美來展示民族美學的生命藝術品位。f”以中國傳統服飾文化中的顏色為例,其文化內涵亦隨著社會的發展、時代的變遷而演變,并呈現出鮮明的階段性、民族性和時代性審美特征。中華傳統服飾文化的生活色彩濃郁,它以等級標識為主要體征,并被賦予特定的倫理意義,如商代將取于自然的青藍、赤紅、黃、白、黑五種顏色視作尊貴色彩,規定只有奴隸主和貴族階層的著裝才能使用這些顏色,且“青與赤謂之文,赤與白謂之章,白與黑謂之髓,黑與青謂之獻,五彩備謂之繡”。此外,將五色與中國傳統文化的認知方式相結合,與五行等相對應,構成了所謂“五方正色”的圖式,并根據五行相生相克的原理推衍出“五德終始說”,將之與生命道德聯系在一起,如商以金德王、尚白色,周以火德王、尚紅色,秦以水德王、尚黑色等。先秦之后,到了等級森嚴的封建社會,服飾色彩作為政治倫理的外在形態直接被用來“別上下、明貴賤”,成為統治階級等級差別的標志性象征,而黃色和龍紋則成為皇帝的專用色和王權的象征。在封建等級制度的高壓和儒家禮教思想的雙重作用下,色彩的應用已脫離自然的物質屬性及其本來意義而被賦予了濃厚的政治倫理色彩。可見,中國傳統服飾的文化內涵極其豐富,它出干對自然和生命的無限崇拜以及對等級標識的刻意表述而呈現出明快的色彩風格與和諧統一的心理追求,整體效果既賞心悅目又簡單大方,形成了自己獨特的五色體系和風格表現方式,成為中國傳統服飾文化的基調。
人類創造的世界是一個文化的王國,文化伴隨著人類生命的進程而發展,并在社會的進步中發揮著巨大作用。服飾文化是人類物質文明和精神文明的統一。一方面,服飾是文化重要的構成要素,文化的發展刺激著人們對服飾的需求;另一方面,人們對服飾的需求又豐富了文化的內涵,把文化對自然的改造與人的自身培養及生命審美聯系在了一起,最終促進了社會的發展。著名人類學家佛朗慈·波阿斯在《原始藝術》中指出:“追求藝術表現和優雅的外觀,是人類的共性。可以說,在古代社會中,許多人已經感覺到美化生活的必要,他們的意識,要比文明了的后代敏銳得多,強烈得多。在人類歷史的演變進程中,服裝對于人類已不僅僅限于遮體御寒,還能滿足人們在其他方面的心理需要和生命體認,如中國古代的北方游牧民族的獵手用獵物的牙齒、蹄爪、羽毛或尾巴裝飾在自己衣物上,以顯示其英勇無敵或地位崇高。隨著經濟社會的發展,人們衣服的質料、顏色、式樣及附屬裝飾越來越與整個社會心態和個性心理相呼應,服飾本身作為一種信息符號,能夠傳達時代風尚、文化特色以及個人的文化教養、知識水平、風度氣質與社會角色方面的信息。衣服被視為人的“第二皮膚”,它能夠反映出一個人尤其是女性的個性和心理狀態。美國服裝學家布蘭奇·佩尼在(世界服裝史》中寫道:“將一種鮮花戴在頭上,或者以酸梅果汁把雙唇染上紅色的第一位姑娘,必定有她自己的審美觀點……女性服裝的質料、色彩、縫制以及與服裝相匹配的佩飾能夠加強女性自身身份及在特定場合的自信心、風度、競爭力量。
二、中國傳統服飾的審美意蘊
1.適中、和諧的“情理美”
中國傳統服飾的含蓄婉約與中國人和平、知足、中庸的取向相一致。儒家“中庸”之“中”、華夏“中國”之“中”,皆強調“不過分而和諧”,這在中國傳統服飾文化中有明顯體現。中國傳統民族服裝既不像西服那般可精確勾勒人體,又不同于古希臘、古羅馬那樣用一塊布隨意地披掛或纏裹于身上,而是采取“半適體”的樣式,即倡導一種包藏又不局限人體的若即若離的含蓄美。究其原因,“平和性情”自古以來就作為一種美德為中華民族的先輩所推崇,所謂“人生但須果腹耳,此外盡屬奢靡”,追求幸福的真諦是“精神快樂休閑,勝干物質進步”。這反映在服飾文化中就是講究隨意、閑適、和諧,沒有過分的突出、夸張和刻意的造型,于恬淡之中給人一種含蓄、平和而神秘的美感。中國傳統服裝的制作者(裁縫)在設計和制作服裝的過程中憑借直覺與經驗,于“適體”中呈現的是一種含蓄的“情理美”,而非西方那種以數理為基礎的精確到尺寸的“理性美”。
2.追求意境的“含蓄美”
“含蓄”屬中國傳統文學藝術美的范疇,這一手法通常將作者的情感表達寓于作品的形象和意境之中,以達到啟發聯想、耐人回味之藝術效果,彰顯“情中有景,景外含情”的藝術境界。這類似于中國畫中的寫意手法,即不豺著于對事物的客觀再現,而強調欣賞某種朦朧的含蓄美,在虛實關系上偏重于對“虛”的張揚。引入到服飾文化的藝術創作中,就是設計者特別注重“不著跡象、超逸靈動”之美,不刻意追求數字上的精確性或純形式的客觀美感,而是崇尚用無窮的意象美含蓄地表現情感。如用寬衣大袍、中規中矩的樣式或寫實與變體相結合的動物、幾何紋樣、花草枝、藤蔓紋等具有抽象和寓意的服飾圖案來傳達一種與政治或倫理的關聯意向。
漢初之“袍”被作為禮服,一般多為大袖,袖口部分收緊縮小,緊窄部分為“祛”,袖身寬大部分為“袂”,所謂“張袂成蔭”就是形象化的描述;而魏晉時期的“竹林七賢”,其畫像人物皆穿著寬敞的衣衫,衫領敞開,袒露胸懷,或赤足,或散發,無羈放蕩,張揚著崇尚虛無、輕蔑禮法的人生品性,給世人以高山流水般隨性自然的審美意境。中國傳統的女性服裝旗袍,是傳統服飾文化與現代時尚設計完美結合的典范,它造型完美、結構適體、內外和諧,是兼收并蓄中西服飾特色的近代中國女性的標準服裝,是中華服飾文化的代表,在女裝舞臺上有著不可替代的重要地位。旗袍的設計表面上不溫不火,實質上內涵豐富、意蘊幽遠,達到了形式與內容的完美融通。光滑的質感和簡潔的造型表現出流暢明快的線條與和諧一體的氣韻,展示出東方女子溫柔、典雅之美。這種氣韻不僅展于外表,而且沉于內心。穿上旗袍,既能襯托出東方女性優美的身段,又能顯示出其幽雅的心境和悠閑的生活節奏,充分展示出中國傳統服飾的含蓄美,呈現出一種宛若自然生命律動的朦朧佳境。
三、中國服飾文化的承傳拓展
1.繼承:拓展傳統服飾文化的基礎
中國素有“衣冠王國”的美譽。縱觀華夏服飾文明的發展史可知,“諧調”、“統一”是中國傳統服飾文化的真諦。自中國服飾文化誕生伊始,就遵循著理物取暖與審美表現、標識顯示與象征表達、個性突出與喜慶吉祥相結合的制作原則,以最大限度地達到服飾與自然、服飾與社會、服飾與人群的和諧統一,而情景交融、意象統一更是中國傳統服飾文化最珍貴的審美品質。比如,作為中國傳統服飾文化的基本元素,“標示突出文化”同主要應用于人們在生產和生活中對等級尊卑、行業職別、年齡性別的標示和意念表達上,從原始部落首領與狩獵功臣的服飾標示到封建帝王的官服標示,從文官武官的服飾標示到現代軍裝、職業裝、晚禮服的服飾標示等,均彰顯著其“標示突出文化”的審美底蘊。當然,中國傳統服飾文化承載著傳統儒家中庸觀,受政治因素的影響頗深;而20世紀中期的“綠色”服裝覆蓋全國,“軍干裝”及其灰色基調也使中國服飾呈現簡單劃一的窘況。然而,中國傳統服飾文化中占數千年發展主流的是“諧調”、“統一”的服飾文化,理應將之發揚光大,諸如以原色表現為主的大氣而豪放的色彩文化,以追求內涵意義與表現形式圓滿統一并最大限度地達到服飾與自然、社會、人群協調一致的完美原則,以民俗吉祥意象為特征的表現形式等,現代中國的服飾文化都應予以承傳拓展。
2.創新:傳統與時尚的完美融通
在當代中國,傳統服飾與時尚設計的審美融通對提高服裝的文化附加值、滿足時尚消費需求、締造民族特色品牌、開拓國內外市場具有特殊意義。全球化時代的服裝產業競爭日趨激烈,各國服裝設計師在服裝設計中都很注重對本國傳統文化元素的借用,以張揚本國服飾文化和民族特色。目前,中國現代服裝設計整體上還存在著設計理念落后、創意不夠、沒能把傳統服飾文化的精髓融入現代服裝設計之中等問題;加之國外品牌紛紛涌入,國內又缺乏與之抗衡的品牌,使中國的服裝設計在國內、國際競爭中均處于不利地位,嚴重影響了中國服裝業的進一步發展。所以,當務之急是在借鑒傳統文化符號的基礎上,將傳統與時尚有機地融合在一起,將之從表面符號的簡單借用提升到對服飾文化內涵的審美體認與表征陰,創立自己的服裝品牌,發展中國傳統元素與現代時尚設計和諧融通的、具有中國特色的服飾文化。
實現傳統服飾文化與現代時尚設計的完美融通,實質就是一種在繼承傳統服飾文化基礎上的創新。這種創新首先須領會傳統文化,否則創新就是無本之木、無源之水,即設計師要在精神文化層面上把握中國傳統服飾文化的精神理念,將我國傳統文化元素與各種時尚理念、理論資源加以整合,把傳統服飾文化中的實用價值、文化價值和審美價值創造性地融入現代服裝設計,豐富其文化蘊意,提升產品的文化附加值,防止對傳統元素符號化、表面化的簡單組合或圖解式、獵奇式的樣品展覽。好的服裝設計創意是設計師在把握了傳統服飾文化理念之后,結合時尚理念和設計原則,對傳統文化積累、消化并感悟的一種自然情感表述,而不是現買現賣、照貓畫虎。河南“丙戌年黃帝故里拜祖大典”活動中展示的服裝就非常具有文化價值。拜祖服裝系列大多采用的是中性的流行色系列,顏色迥異、面料粗樸,以金色緞帶鑲邊;紐扣的設計則采用盤扣樣式,其金屬材質與服裝面料及服裝的金邊質地形成細膩的對比;袖口翻邊采用緞織紋路,既有古樸特點又有現代的工藝形式。整個設計將傳統元素與時尚設計完美結合,加之祭祖大典本身的特殊意義,可謂形式與內容完全融合在一起,取得了極佳的藝術效果。所以,當代中國的時尚服飾設計應該分析研究傳統服飾的配色及制作規律,理解、感悟傳統服飾文化的深厚、博大與凝重,并使之巧妙地運用到現代服裝設計中來,加之挑花、刺繡、蠟染、扎染、手繪、編織、織花、抽紗等現代工藝,并結合時代流行趨勢與時代特征,將繼承傳統與探索創新有機結合,這樣才能創造出既有時代感又有民族神韻的服裝。
