審計最基本的特征精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的審計最基本的特征主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:審計最基本的特征范文
發票內容包括向購買者提品或服務的名稱、日期、數量以及協議價格。每一張發票都有獨一無二的流水賬號碼,防止發票重復或跳號。
發票的意義及作用:
1、發票具有合法性、真實性、統一性、及時性等特征,是最基本的會計原始憑證之一。
2、發票是記錄經濟活動內容的載體,是財務管理的重要工具。
3、發票是稅務機關控制稅源,征收稅款的重要依據。
第2篇:審計最基本的特征范文
摘要在我國,企業內部的審計問題逐漸成為企業的重要問題,為盡可能的促進廣大員工能夠遵紀守法完成當前的工作,很多企業內部進行了一定的管理制度的制定,特別是近些年來,隨著企業風險的增加,為更好地提高內部效益,審計工程成為不可回避的問題。針對我國這種現狀,筆者總結經驗,提出了一定的對策和原則。
關鍵詞企業單位內部審計問題策略與方法
一、我國企業單位內部審計工作的本質及特征
1.企業單位內部審計工作的本質
從企業自身的發展過程來說,審計組織和單位成員是審計活動必不可少的一部分,具有一定的獨立性,其中,審計活動和其他的管理活動具有一定的區別,本質上說,內部的審計活動是一項獨立性很強的監督活動,而這種本質主要是經濟方面的監督,這是審計最基本的職能形式,同時,這種審計活動在企業內部一般都是獨立性的,是企業真正的關鍵所在。
2.企業單位內部審計工作的顯著特征
(1)獨立性特征
作為企業的審計活動,獨立性是重要的方面,它是企業內部的本質特征之一,是保證工作順利開展和進行的前提,審計的獨立性主要體現在工作人員的獨立性方面,同事和同事之間具有經濟上的獨立,這是它區別于其他職能的重要特征。
(2)權威性特征
提起審計,很多人都會想到經濟糾紛,因此審計是具有一定的法律效力和權威性的,根據相關的法律要求,對憲法賦予審計組織部門的依法行使設計監督的權利進行合理的利用,同時,對于審計組織來說,在行使職權的過程中,也會受到一定的監督和國家法律的保護。
(3)公正性特征
審計是一項公正的職能,尤其是內部的審計過程,其權威性和公正性是其的核心屬性,審計的公正性也是審計的基本要求,審計人員一般需要站在公立的位置,第三方的立場上,本著公正的原則,實事求是的進行檢查和判斷,特別是針對一些符合現實可能性的情況,要堅持自己的原則,不可有任何的偏見,公正的處理客觀的事情,確保審計的合理性。
二、當前我國企業單位審計工作主要存在的問題
1.內部審計機構的設置不合理
現階段,在我國審計部門內部沒有統一的結構和合理的標準進行判斷,一般來說,很多的中小企業單位對于審計機構設置建筑比較拒絕,而一些大型的企業,也沒有具體的可操作的模式。在國際發展過程中,也有修訂的相關文字需要,這其中還存在著很大的差距,根據規定的要求和當前的實際情況,得出結論,先接單我國內部的審計人員直接關系到內部人員的切身利益,都會受到審計部門的控制,這種控制包括人事的調動以及工資的管理等各個方面。一般意義上來說,審計人員所審計主要是內部成員,這對于本企業內部的發展具有長遠的影響。
2.企業內部審計技術仍比較落后
這主要體現在兩個方面:一方面,目前,企業單位內部審計所使用的技術與所采用的方法仍然較為為落伍,與現在財務人員相比較,我們的審計人員在處理各種審計數據上尚未使用運用電算化技術,而且在對企業單位的財務狀況進行分析處理上仍然還是沿用以前較為傳統的審計方法。另一方面,審計人員清算和盤點的過程中也過于簡單化、考慮不夠周全,僅僅一味地采用抽樣調查的審計方法,而往往沒有對抽樣以外的庫存是否存在問題進行考慮,這就使得在很多情況下真實誤差遠超過了抽樣誤差,導致審核數據不夠真實,進而不能為企業單位的領導層的決策提供真實有效的數據依據。
3.企業單位內部審計機構的獨立性缺乏
獨立性是《審計法》規定行政企業單位設置內部審計機構必須堅持的原則,是內部審計最為本質的特征。但目前,企業單位內部審計機構設置與獨立性的要求存在較大差距,內部審計機構大多與財務部門兼設,這種財審合一的狀況不符合審計獨立性的要求。在審計過程中,內審機構在本企業單位負責人的領導下開展工作,為本企業單位內部管理服務,不可避免地受本企業單位的利益限制,很難客觀、公正的對審計事項發表準確、公正的審計意見。
4.企業單位內審人員業務素質偏低
內部審計人員是企業單位實施內部審計的主體,對內部審計的質量承擔著最終的決定作用。從實際情況看,當前企業單位內部審計人員業務素質偏低主要體現在:1)內部審計人員不注意及時更新自身的知識儲備與提高知識結構,進而缺乏當前審計工作對審計人員所應要求具有的綜合審計能力與技巧;2)企業單位未定期對審計人員進行必要的專業培訓和后續教育,很多審計人員已經不能再適應日益復雜的審計業務。
三、加強我國企業單位審計工作的策略與建議
堅持依法審計是審計水平不斷提升的保證,因此,在審計的過程中,需要結合本單位的實際情況,根據一定的法律法規和規章制度進行合理的審計,特別是一些審計機構的地位等方面的問題,需要進行有效的核實。結合企業單位實際,制定內部審計制度,明確規定內部審計機構的地位、內部審計的工作報告制度、內部審計人員具備的條件、內部審計機構的職責與權限、內部審計工作程序、內部審計工作的管理與考評及各項審計業務的具體程序等,做到有法可依有章可循。內部審計人員只有嚴格執行法定的工作程序,規范操作,按照規定的審計程序開展審計工作。
四、結語
總之,審計是我國現階段各個部門必不可少的重要組成部分,針對審計出來的問題,做好合理的解決十分重要,同時建立完善的審計體系是現階段發展的要求,因此,在企業管理內部,首先我們需要提高工作的技能和方法,盡可能的熟悉業務,做好培訓工作,其次需要我們全方位的進行合理、公正的審計,樹立公平公正的意識,不斷的提高整體的素質和管理的水平,為了我國的審計事業能夠更快更好地發展,提高內部審計人員的業務素質,是現階段急需解決的重要問題。
參考文獻:
[1]黃娟.完善企業內部審計.合作經濟與科技.2008(02).
第3篇:審計最基本的特征范文
[關鍵詞] 文化 文化特質 審計文化
審計文化是審計部門在長期的審計實際中積累的各種物質形式、行為規范、管理制度、價值觀念、職業道德等各方面的總和。我國審計事業經過20年的探索、實踐,開始步入成熟期,正面臨著總結經驗、開拓創新、不斷深化、尋求進一步發展的新階段。此時,開展審計文化研究,探索審計文化建設規律,加大審計文化建設力度,對于全面履行審計監督職責;對于加強審計機關精神文明建設,提高審計人員政治業務素質,推動審計事業健康發展,具有重要的現實意義和深遠的歷史意義。
一、審計文化建設必須明確審計文化的定位
何為文化。文化是一個相當寬泛的概念,研究者見仁見智,言人人殊。據說,全世界給出的文化定義已達萬種以上。對此,當代西方學者羅威勒頗有感慨:“在這個世界上,沒有別的東西比文化更難捉摸。我們不能分析它,因為它的成分無窮無盡,我們不能敘述它,因為它沒有固定形狀。我們想用文字來范圍它的意義,這正像要把空氣抓在手里似的。當著我們去尋找文化時,它除了不在我們手里以外,它無所不在。”這主要是由于人們在不同層面上使用文化概念所致。據我們考察,從大的方面講,文化至少有三個層面的意蘊:一是人類層面。這是最廣義的文化概念,與之相對應的概念是“自然”。文化是相對于人而言的,離開了人,無所謂文化;離開了文化,人也便還原為動物。從這個意義上講,世界上萬事萬物,只有兩類:自然的、文化的;二是社會層面。與之相對應的概念是“經濟”、“政治”。根據的社會結構理論,整個社會是塔形結構,經濟是基礎,政治在中間,文化在上層。雖然政治和文化同屬上層建筑,但文化無疑是處在塔尖的位置。經濟對政治和文化具有決定和制約的作用,政治和文化也對經濟有著促進或阻礙的反作用。經濟主要滿足社會的生存需要,政治主要滿足社會的組織需要,文化主要滿足社會的精神需要。它們相互分工又相互協調,共同維系著社會的運轉;三是精神層面,歸根結底,文化是理念、是精神,核心是價值觀。所謂文化的沖突、文明的沖突,實質就是價值觀的沖突。但價值觀是抽象的、形而上的東西,須通過某種載體才能外化出來,于是就有了形形的文化現象。人類以社會實踐活動為基礎而形成的生活方式及其產品,無論是物質產品、精神產品,無論是法律條文、管理制度,無論是交往禮儀、風俗習慣,無論是自然科學、社會科學,都是文化的不同表現形態。當我們說文化具有階級性、時代性、民族性等差別時就是因為其背后的價值觀這一質的規定性不同。“審計文化”概念當屬第三層面,是文化大系統的一個子系統,是文化大海洋的一掬小浪花。審計文化屬于一種職業文化,它是審計組織及其人員在履行法定職責、實施經濟監督行為時所恪守的理念、所追求的價值、所遵循的規范、所體現的風骨、所展示的形象。
二、審計文化建設必須了解審計文化的個性特質
審計價值觀,據我們理解,其最主要的個性特質應為:獨立、依法、公正、進取、奉獻,構成了鮮明的審計精神或曰審計理念。這種審計精神,一方面規定了審計存在的合理性,保證著審計的發展方向;一方面使審計與紀檢、監察、工商、稅務、財政、統計等不同文化系統明確區分開來。有著特定內涵的審計精神,來源于審計工作實踐,又在實踐中不斷發展和完善,在其形成過程中,既吸收了中國傳統審計文化中的精華,又借鑒了外國審計文化中有價值的成分,因而是具有中國特色的有時代特征的先進文化。
――獨立。只有當經濟發展到一定程度,所有權與經營權相分離,從而產生了經濟責任時,以監督、鑒證為使命,獨立于雙方的審計才應運而生,因而,獨立是審計文化最本質的特征。審計的獨立性主要表現在四個方面:一是組織上的獨立性;二是人員上的獨立性;三是工作上的獨立性;四是經費上的獨立性。
――依法。作為專司經濟監督的部門機構,依法審計是審計機關最基本的行為規范,因而也是審計文化最亮麗的特色之一。依法審計是依法行政在審計監督活動中的具體體現。這里的“依法”是從兩個向度上而言的:一個向度指向審計客體,即被審計單位及其經濟活動。審計機關必須依據法律、法規規定的職責、權限,履行監督職能,定期或不定期地檢查被審計單位的會計賬目,對照法律法規判斷其是否真實、合法,是否有效益,評價其經濟責任,處理處罰其違紀違規行為,做到有法必依、執法必嚴、違法必究。
――公正。設立審計機關,實行審計監督,是國家追求社會公平和效率的一種制度設計,而實現這一目標,則有賴于審計人員的公正執法。公正,無疑應是審計工作者履行職責時基本的價值取向。法律是保護絕大多數人利益的,因而公正的第一個含義應是嚴格依法辦事。凡是有法可依的,審計人員在搜集審計證據,評價審計事項,處理、處罰違規行為過程中,必須以事實為根據,以法律為準繩,不能徇情枉法,更不能。惟有如此,才能真正收到保護改革者、幫助失誤者、打擊犯罪者的效果。
――進取。審計文化具有開拓進取的品格,具有自我完善的能力,這是特定的歷史條件所決定的。從主觀方面講,我國社會主義審計制度創立時間尚短,正處于發展完善過程之中,審計的體制、審計的法制、審計的內容、審計的手段等必將隨著時間的推移而不斷調整和改進。從客觀方面講,我國經濟和社會同樣處在改革發展進程中,將不斷產生對審計新的需求,客觀上要求審計必須適應新的形勢需要,承擔新使命,扮演新角色。如領導干部經濟責任審計、經濟效益審計、計算機審計等,都是在歷史進程中出現的新課題,如果不能與時俱進,審計將無法在時代舞臺上找到自己的位置。另外,文化是與自由聯系在一起的,審計人員只有不斷開拓進取,努力學習,提高自身的政治業務素質,逐步認識并掌握審計工作規律,才能實現從審計的必然王國向自由王國的飛躍。可以說,審計文化就是審計人員手中從必然走向自由的火炬。
――奉獻。奉獻是與廉潔聯系在一起的,其完整的含義應是廉潔奉公,無私奉獻。一般說來,各行各業都需要奉獻精神,但在審計文化系統中,奉獻占有特別重要的地位,可以說,它是整個審計價值體系的道德基礎。如果審計人員不能廉潔從審,就會在物欲橫流中喪失自我,審計的獨立性將無從談起;如果審計人員缺乏奉獻精神,就會在名韁利鎖中不能自拔,依法審計、客觀公正就成了一句空話。因此說,廉政是審計工作的生命線,是審計工作有效運行的必要保證。審計價值觀的內核當然不止這些,我們的枚舉和描述也難盡周延,但以上所述,當是審計文化的精髓所在。
三、我國當前審計文化的建設的具體構想
文化研究中的功能學派認為,文化在其最初時,以及伴隨其在整個進化過程中所起的根本作用,首先在于滿足人類最基本的需要。這種需要主要有兩種:一種是生物性需要;一種是社會調適。美國心理學家馬斯洛認為人的需要是分層次的,由低到高分別是生理需要、安全需要、歸屬需要、尊重需要和自我實現的需要。“當人的生理需要得到基本滿足后,其他更高一級的需要就出現了,而后者是起著主導作用的。”這些論述,對于今天審計文化建設具有重要的啟示意義。審計文化是社會主義先進文化的重要組成部分。因而,加強社會主義審計文化建設,滿足整個社會日益增長的文化需要,是實踐“三個代表”重要思想的有效途徑。而實現這一目標,須堅持兩個原則:一是審計文化建設要有利于審計組織目標的實現;二是審計文化建設要有有利于審計人員的全面發展。基于此,我們認為在審計文化建設中應做到以下幾點:
1.文明審計是審計文化建設的核心
大力弘揚依法審計、執法為民、文明審計的核心價值理念,倡導以愛崗敬業、公正執法、規范執法、廉潔奉公為基本內容的審計人員職業道德規范,既要維護審計的嚴肅性,又不以監督者自居,要懂得尊重他人,杜絕以權壓人、不依法辦事、不按程序辦事等不文明行為。使全體審計干部明確價值取向,提高精神境界,增強綜合素質,把個人的價值實現與審計事業發展緊密結合起來。要以對黨和國家忠誠、對人民負責、對事業追求的崇高境界,以文明、科學、守信、創新、一絲不茍、兢兢業業、精益求精的精神狀態,體現出一種良好的文明素質。
2.審計制度文化建設要注重實效
審計制度體系是為保證審計組織目標的實現而設立的,審計組織目標不是一成不變的,而是隨著社會需要的不斷變化而隨時做出調整,因此,審計制度文化建設也不是一勞永逸的。適時出臺新的制度規定,定期對現有制度進行清理修訂,以保證制度的先進性,才能有效適應外部環境要求和內部情況的變化。制度建設方面,一是要注意覆蓋面,使各個崗位、各個環節都有規可依、有章可循;二是制度之間要相互銜接,不能彼此矛盾,讓人無所適從;三是狠抓落實,注重實效。現在有些地方不是缺少制度,而是重制定,輕落實,滿足于把制度印在紙上,貼在墻上或發到手中,但究竟執行得怎樣,卻沒有保證措施,制度成了某種應景的東西,沒有發揮應有的作用。要杜絕此類現象,真正把制度落到實處,我們認為,應從以下方面入手:(1)領導帶頭。領導干部率先垂范,會產生巨大的帶動效應。(2)典型引路。樹立遵守制度的模范,發揮榜樣的無窮威力。(3)專職督查。設立專門機構或人員對制度執行情況及時進行督導檢查,并將有關情況公之于眾。(4)獎罰機制。通過獎優罰劣,發揮激勵和約束兩個機制,從而形成一種強有力的導向。
3.營造濃厚的審計文化氛圍,既培養道德情操
注重思想政治教育和職業道德教育,使審計文化具備更深厚的底蘊。恩格斯在《〈自然辯證法〉導言》中指出,人要徹底擺脫動物界,成為真正意義上的人,必須經過“兩次提升”。一次是通過一般生產,在物種關系方面把人從其余的動物中提升出來;另一次是通過一種能夠有計劃地生產和分配的自覺的社會生產組織的建立,在社會關系方面把人從其余的動物中提升出來。因此,審計行為文化建設要以人為本,以促進人的全面發展為依歸。行為文化建設具有潛移默化的特點,是一個長期濡化、養成的過程。最近,審計長在一次審計干部培訓班會議上說,搞審計是要得罪人的,從個人利益上看是要吃虧的,但是,為了黨和國家、人民的利益,在審計崗位上就必須遵守職業道德,要耐得住寂寞,要嚴格要求自己,只有這樣才能有利于黨和國家的事業,才能贏得老百姓的擁護和稱贊。審計文化建設要與思想政治工作結合起來,并不斷加以推進。審計文化建設要為思想政治工作提供好的平臺和載體,使思想政治工作更好的與審計工作相結合,滲透到審計工作的各個環節;思想政治工作為審計文化建設提供導向,使審計文化的內涵更加豐富,影響更加深遠。思想教育和職業道德教育與審計工作相互作用、相互影響,為營造良好的審計文化氛圍提供保障。
參考文獻:
[1]胡中艾:審計學[M].大連:東北財經大學出版社,2006
第4篇:審計最基本的特征范文
關鍵詞:建設工程項目 風險管理 審計
開展建設工程項目風險管理審計既是落實國資委關于“中央企業開展全面風險管理指引”精神的需要,也是建設工程項目安全運行的內在要求,其意義無疑是十分重大的。但建設工程項目風險管理審計是一個全新的審計課題,涉及了多個學科領域的內容,在廣泛意義上,風險無處不在,但如果把建設工程項目風險管理審計搞成一個包羅萬象的工作,或者演變成其它的專項審計,就失去了它本來的意義。在目前狀況下,開展該項審計的一個十分重要的工作就是要理順審計頭緒,明確審計的內容和程序,因為這個問題不搞清楚,建設工程項目風險管理審計難免會荒腔走板,或者主次顛倒。
一、建設工程項目風險管理審計的內容與對象
(一)關于審計內容
建設工程項目包括了從規劃、立項、設計、招投標、合同、施工、物資采購,以及竣工驗收等一系列重要過程,是否每一個過程的風險問題都納入審計的內容,或者說都作為重點審計內容,這要對項目本身情況、工程項目各個階段的風險特征,以及風險管理審計的內在要求等方面進行認真的分析。首先,就廣泛意義而言,工程項目的規劃、立項這二個階段的風險無疑是工程項目最大的風險之一,但是,這些風險不但受更高層次的發展規劃和投資戰略決策的約束,而且受國家宏觀經濟政策的制約,項目規劃和立項的風險是經濟發展過程中所必須面臨的風險,它不由項目本身的建設或施工過程來決定,因此規劃和立項本身不構成建設工程項目風險管理內部審計的內容,而是構成審計過程中需要關注的影響因子。其次,項目設計階段對工程項目產生的主要風險是項目的設計標準問題,它影到項目的防災抗災能力和投資收益能力,而設計標準又主要受項目規劃(地方經濟發展有聯系)和立項的約束,因此,項目設計標準也不構成項目風險管理審計的主要內容,但是否按標準進行設計是審計關心的主要問題。另外,項目設計在整個建設施工過程中具有較強的動態特征,所以涉及到項目設計變更和設計過程中的不確定性是審計的重要內容。
根據前面的分析,這里可以對建設工程項目風險作如下定義:它是指建設工程項目從設計、招投標、合同、物資采購、施工、竣工驗收等這一系列過程中,由于未來的不確定性對項目的質量、工期、事故責任體系和防災體系的安全目標的影響以及由此引起的法律責任。這個定義包含了下列幾個要點:第一,有限時期;風險發生在項目從設計到竣工驗收整個建設施工期間,它不包括項目規劃、立項和交付使用這三個階段。第二,包括了純粹風險和機會風險;在大部份的文獻中,把風險定義為損失的不確定性,排除了機會風險,這與國資委的關于風險的定義有很大出入。第三,強調的是不確定性;對于確定性的損失或收益,就不能再當成風險問題。第四,約束目標的有限性;一方面,每個工程項目從不同的視角出發會有不同的目標,另一方面,對于一個建設工程項目,風險無處不在,無時不在,上述定義將風險約束于建設工程項目的質量、工期、事故責任和防災四個基本目標,盡管這四個目標之間會有一定的因果關系和交叉關系,但這樣定義仍然是有意義的,它不僅反映了建設工程項目自身的特征,也使風險管理審計目標更趨明確。第五,重視法律責任所產生的風險問題;法律責任貫穿了整個工程項目的建設周期。
(二)關于審計對象
首先,要分清風險管理與風險管理審計的區別,也就是說審計的對象是風險還是風險的管理。由于審計本身就具有管理職能,如果不能準確區分風險管理與風險管理審計,難免會使工作重復低效乃至于d俎代皰。按照國資委在“中央企業全面風險管理指引”的第十條要求,具備條件的企業可建立風險管理三道防線,即各有關職能部門和業務單位為第一道防線;風險管理職能部門和董事會下設的風險管理委員會為第二道防線;內部審計部門和董事會下設的審計委員會為第三道防線。由此可以看出,風險管理是內部審計部門自身承擔的工作之一。內部審計部門從事風險管理,區別在于內部審計是對風險管理的職能部門和業務單位所從事的風險管理工作進行監督和評價,或者說內部審計更強調的是,對這些職能部門和業務單位的風險管理工作中的不確定性進行管理,從這個意義上說,風險管理審計是風險管理的風險管理。因此,風險管理與風險管理審計是同一管理過程在不同層次上的反映。
其次,要注意建設工程項目風險管理審計與建設工程項目審計的區別。建設工程項目審計是對工程項目管理全過程經濟活動的真實性、合法性和效益性進行監督、評價和審核;它強調的是真實性、合法性和效益性問題,關注的對象是項目建設過程的中各項經濟活動。而建設工程項目風險管理審計強調的是管理活動的充分性、存在性和有效性問題,關注對象是各項經濟活動不確定性的管理,以及管理的不確定性問題,它要回答兩個問題:一是對項目的不確定性問題是否進行了管理、管理是否充分;二是該項管理自身存在的不確定性是否會導致管理無效。
根據前面的分析,可以作出如下定義:建設工程項目風險管理審計是對建設工程項目從設計到竣工驗收整個過程中,以保障項目的質量安全、工期安全、事故責任安全和防災能力安全為目標,對各種經濟活動的不確定性問題管理的存在性、充分性,以及由于該管理活動的不確定性而產生的管理的有效性問題進行監督、評價和審核。
二、建設工程項目安全風險控制與內部審計目標
建設工程項目具有投資大、建設周期長、專業性強、風險影響面廣等特點,涉及土建、安裝、信息化與通訊、調試等子項目,對這類項目進行風險管理是一個十分復雜的系統工程,因此,對內部審計而言,要想通過審計及時并準確地發現風險管理中存在的問題,提出有價值的建議和意見,而在審計過程中又要避免將風險管理審計脫變為一般意義上的審計,這將對內部審計人員提出十分嚴峻的挑戰,從這個意義上說,必須要明確二個問題:第一是項目風險管理的審計目標;第二是項目風險管理的審計框架。
安全是建設工程項目風險管理的中心目標,從風險管理的角度看,安全目標約束于下列三個子目標:一是由質量和工期引起的建設項目投資安全風險;二是由施工過程中引起的事故責任安全風險;三是由自然災害引起的防災安全風險。這里,各種政治、經濟和社會因素導致的風險、立項和設計導致的風險并沒有被包括在安全目標的約束條件中,這是因為,政治、經濟和社會風險必然會通過質量和工期等途徑的傳導,從而引起投資安全風險;又如前面所述,立項與設計風險它本身不由項目建設施工過程來決定,因此這些風險因素如果被納入到風險管理的安全目約束條件中,有可能使風險管理審計演變成包羅一切的審計,進而造成了什么都審,但什么都沒有審好的情形。
受投資安全風險、事故責任安全風險和防災安全風險約束的工程項目安全風險是建設工程項目風險管理的內在要求,這也是風險管理審計區別于建設工程項目其它審計的最基本的邏輯關系。因而,圍繞安全這個中心目標,緊緊抓做項目建設過程中的風險和風險管理不確定性這兩個基本內容,建設工程項目內部審計目標必然是:內部審計人員要圍繞工程項目的投資安全、事故責任安全和防災安全這個中心,通過對職能部門和業務單位風險管理活動的存在性、充分性和有效性進行監督、評價和審核,及時、準確地向企業管理當局報告有關信息,適時地對從設計到竣工驗收全過程各個環節的風險管理措施和控制缺陷提出建設性的意見和改進措施,協助管理人員更有效地管理和控制各種風險,并幫助企業相關部門和單位有效地擔當起責任。
三、建設工程項目風險管理內部審計框架
目前,對于建設工程項目風險管理,審計什么,如何審計等等,這些問題往往與項目的常規審計和風險管理職能交織在一起,如果不能很好的設計其審計框架,難免將使建設工程項目審計失去其本來的價值。因此,在設計其審計框架時要遵循下面的指導思想:
第一,建設工程項目風險管理審計要體現綜合性管理審計的性質,既要反映L險管理的本質要求,還要突出建設工程項目的內在特征,同時還要突出重點,有所為,有所不為。
第二,要以便于審計人員實際操作為基本設計目標。
第三,要為企業建立全面風險管理體系提供導向服務。
從前面的定義分析中可以看出,建設工程項目風險管理審計包括二個最基本的要求,一是對職能部門和各業務單位的風險管理活動的存在性、充分性進行監督、評價和審核,它主要考察這些部門和單位對待風險的態度;二是職能部門和業務單位的管理活動本身也具有不確定性,這種不確定性可能會導致一個構建良好的風險管理體系失效,必須對風險管理活動自身的風險進行監督、評價和審核,它主要考察這些部門和單位管理風險的能力。
通過對相關文獻的研究和前面提出的三個指導思想,本文將審計框架設計成由目標、項目流程和風險管理構成的一個三維結構模型,每一個維度由若干個審計元素構成:
目標維(Z軸)是一組由四個審計元素構成的集合:
{質量安全,工期安全,事故責任安全,防災安全};
項目維(Y軸)是由建設施工流程的六個審計元素構成的集合:
{設計,招投標,合同,施工,物資采購,竣工驗收};
風險管理維(X軸)是由風險管理的七個審計元素構成的集合:
{環境,風險識別,風險評估,風險處置,信息溝通,內部控制,監督改進};
從上面的結構模型可以看出,各個審計元素在空間坐標系中構成了一個復雜的審計網絡,網絡中的每一個結點都構成了一個審計對象,為了便于實際運用,將三維結構模型劃分為審計模塊、審計單元和審計點三個層次:
審計模塊。目標維中的四個審計元素(安全子目標)構成了四個審計模塊:質量安全模塊,工期安全模塊,事故責任安全模塊,防災安全模塊。
審計單元。審計單元是審計模塊的基本構成單位,它是項目維和風險管理維中兩兩元素構成的一個集合。這樣,每一審計模塊下面都有6×7=42個審計單元,全部四個審計模塊共包括了4×42=168個審計單元。如{招投標,風險評估}、{物資采購,風險評估}就是各個審計模塊其中的二個審計單元。
審計點。項目維和風險管理維中的各個審計元素,都可以再分解為若干個作業點和控制點,它們的兩兩組合就是審計點,如在{招投標,風險評估}這個單元中,招投標又是由標底、開標、評標、定標等一系列作業點組成;而風險評估也是可能是由形成多個控制點,如專家評估、業務部門評估及審計評估等,作業點與控制點兩兩對應就構成了一系列審計點。審計點是審計框架的最小單位和審計模塊(單元)的基本單位。
項目風險管理審計框架的價值在于,首先,它從項目安全的角度明晰了審計目標;其次,它通過對建設周期和風險約束狀態的分析,為項目風險管理審計界定了明確的審計范圍;第三,它從建設項目的三個維度出發,把項目風險管理審計劃分為三個清晰的層次,為審計人員厘清審計思路、找準審計要點提供了可供依據的審計路徑;最后,這一框架為風險管理職能部門和業務單位繪制了一張全面的風險控制圖,使風險管理人員在最大程度上避免不必要的重大疏忽和遺漏。
四、工程項目風險管理審計的思路與路徑
前面構建的項目風險管理審計框架由4大審計模塊、168個審計單元、以及成千上萬個審計點構成,要對每個審計單元和每個審計點都進行審計既無可能,也無必要,特別是像大型基礎設施如電網建設這種類型的工程項目通常集成了多個不同專業的子項目,通常會包括土建工程、安裝工程、信息工程、調試等子項目,使電網建設工程項目風險管理審計工作更趨復雜。同時必須看到,項目風險管理審計具有綜合性審計的性質,但它不是全能審計,項目風險管理審計應當遵循它內在的要求和邏輯關系。因此,如何運用審計框架,提高審計效率是個必須要解決好的問題,這需要在框架的基礎上設計審計的思路和路徑:
首先,根據審計的時間點來決定項目風險審計框架的運用,并編制審計方案。由于建設工程項目的建設周期長,在不同時間段上的風險形式與特c具有較大的差異。事前審計、事中審計和事后審計要根據不同階段的風險狀況,對框架中的審計模塊、單元及審計點進行篩選,抓做主要矛盾并在審計方案上要區別開來。
其次,要對項目風險進行預估。風險預估考驗審計人員的專業判斷能力,風險管理審計的專業判斷需要根據風險管理審計的重要性問題,依照風險管理原則、方法,按風險管理目標的要求,運用專業方法對機構風險的范圍、識別、評析、管理和處理方法等方面進行查證與鑒別,對風險管理及處理方法的合理性和有效性作出評價,捕捉風險征兆。缺乏風險預估的情況下篩選審計框架中的內容可能會導致重大審計風險的出現。在風險預估之前,審計人員要做好知識和信息二個準備,知識準備包括審計專業知識和工程專業知識,信息準備包括各種歷史檔案和前期審計調查內容等。
第三,要對風險進行分級分類處理。在風險預估后緊接著要根據風險管理的目標和要求對風險進行分級分類,風險分級可用風險發生的頻率和危害程度為主要指標,將風險分為若干個等級;風險分類比較復雜一些,選取的指標不同,分類的差異很大,一般可按風險處置方式分類,如分為自留風險,規避風險、轉移風險等;也可以項目的分部工程或單位工程把風險分為土建工程風險、安裝工程風險、信息工程風險等。風險分類指標的選取無一定之規,但要緊扣目標。
風險進行分級分類的重要作用之一是在控制審計風險的同時,能夠將審計框架中的審計數目最大程度地縮減下來。
第四,在運用項目風險管理審計框架時,可采取“自上而下”或“自下而上”的審計路徑進行,所謂“自上而下”的審計路徑,是指根據風險預估和分級分類后,先確定主要的審計模塊,然后向下進一步確定審計單元和審計點;反之就是“自下而上”的審計路徑。兩種不同的審計路徑反映了兩種不同的審計思想,前者重視不同風險的相互作用,審計思想重在“面”上的控制,后者則關注重大的和關鍵的風險點,審計思想重在“點”上的控制。
最后,撰寫審計報告要圍繞項目安全這個中心,從風險管理職能部門和業務單位對待風險的態度和管理風險的能力這兩個方面開展監督和評價,實際上,風險管理的存在性和充分性反映的是一個態度問題,而有效性反映了能力問題。
五、風險處置的審計
風險處置是風險管理流程其中的一個重要環節,由于我國開展風險管理的時間不長,企業在開展風險管理時更多的注意內部控制問題,或者把風險管理等同于內部控制,因此內部審計的重心往往也在內部控制方面,雖然出現這種情況可以追溯到相當多的合理成份,但如果不重視風險處置環節的審計,則風險管理審計與其它的常規審計就會出現趨同現象,浪費了審計資源,從這個意義上說,風險處置的審計是風險管理審計的主要內容。國資委的《中央企業全面風險管理指引》第二十六條,具體提出了風險承擔、風險規避、風險轉移、風險轉換、風險對沖、風險補償、風險控制等七個措施。這里將建設工程項目風險處置措施歸為風險規避、風險自留和工程保險三個類型,內部審計人員要對這三種類型要作出如下評價:
第一,對采取某類風險處置措施的依據作出評價;
第二,對采用某類風險處置措施的具體方式作出評價;
第三、對采用某類風險處置措施的影響作出評價。
由于信息不對稱,保險公司在承保工程項目風險的意愿受到很大的制約,可能會造成保險合同不公平現象,在可能的情況下,由保險經紀公司承攬工程保險中介服務的情況會成為常態,因此,將保險經紀服務也要納入審計的范圍。另一方面,風險管理的內部審計報告能很好地起到信息溝通作用,也為保險人和被保險對象之間搭建相對公平的平臺。
上面關于建設工程項目風險管理審計是從它的一般屬性上展開論述的,具體到不同的項目,其風險點的重要性排列會有差別,風險管理的目標也不盡相同,因此在審計的程序和方法上要有所區別,但其基本的審計框架是可以相互套用的,有一點需要注意的是,對某些工程項目,如電力工程項目、水利工程項目等,一旦出現風險事件發生,則有可能就是社會風險事件,理所當然地要提高風險管理目標的約束條件,在項目風險管理審計框架中的目標模塊就要有相應的調整。
在審計實踐中,往往遇到的情況是十分復雜的,在一個項目的風險管理審計前,對各種可能的情況事先作出估計,同時制訂周密完整的審計方案和計劃是審計工作成功的重要保證。
參考文獻:
[1]國資委“中央企業全面風險管理指引”,2006年發
[2]美國coso制定.企業風險管理――整合框架[M].東北財經大學出版社,2005
[3]卓繼民.現代企業風險管理審計[M].中國時代經濟出版社,2005
[4]譚麗麗.固定資產投資控制與內部審計[M].中國計劃出版社,2002
[5]蔡春,趙莎.現代風險導向審計論[M]中國時代經濟出版社,2006
第5篇:審計最基本的特征范文
關鍵詞:基層醫療衛生機構;會計制度;會計信息
中圖分類號:F230文獻標志碼:A文章編號:1673-291X(2014)16-0172-02
《基層醫療衛生機構會計制度》(財會[2010]26號),由中華人民共和國財政部頒布,并于2011年7月1日起在全國基層醫療衛生機構正式實施。該制度順應了中國社會主義市場經濟的發展及醫療衛生體制改革和深化的需要,對于提高基層醫療衛生機構的會計核算質量和經營管理水平,增強基層醫療衛生機構會計信息的真實性、準確性、及時性和可靠性,促進中國基層醫療衛生機構的有序、健康、和諧發展等方面具有重要的現實意義。
一、頒布獨立的《基層醫療衛生機構會計制度》的必要性
《基層醫療衛生機構會計制度》頒布前,中國基層醫療衛生機構會計核算執行的是與公立醫院相同的《醫院會計制度》(財會字[1998]58號,以下簡稱“原制度”)。原制度在基層醫療衛生機構施行以來,在規范會計行為,保證會計信息的真實、完整,提高會計信息質量等方面發揮了積極作用。根據國家最新的醫改方案,今后基本醫療和公共衛生服務將作為公共產品來提供,《基層醫療衛生機構會計制度》是以基層醫療衛生體制改革政策和方案為依據,并結合基層醫療衛生機構的現實狀況,本著“突出基層醫療公益性、體現多渠道補償機制、適應轉變運行機制、強化財政資金預算管理、簡化會計核算體系”的基本思路予以制定。因此,在實施基層醫療衛生體制改革后,基層醫療衛生機構與公立醫院將產生顯著差異:一是成本補償機制差異。基層醫療衛生機構以財政安排的基本公共衛生服務經費作為成本補償的主要來源,而公立醫院一般是自收自支,沒有類似的成本補償機制或者財政資金所占比例較低。二是預算管理模式差異。由于基層醫療衛生機構以財政資金作為成本補償的主要來源,加強預算管理、執行全面反映財政預算資金執行效率和效果的預算會計是其會計核算的主要目標,而公立醫院的財政資金比例較低,相對于基層醫療衛生機構來說,更應該加強財務會計核算管理。三是業務活動內容差異。相對于醫院的綜合性醫療服務活動來說,基層醫療衛生機構的業務活動較為簡單,主要包括基本醫療和公共衛生服務兩塊業務,在成本核算、財務分析等方面,對基層醫療衛生機構的要求明顯低于公立醫院。四是內部會計機構差異。由于基層醫療衛生機構普遍規模較小,業務單一,會計機構設置簡單,會計人員數量少,知識及能力結構有別于公立醫院,核算能力較為薄弱,需要簡化可行的會計制度。
鑒于上述差異,原制度已經無法滿足基層醫療衛生機構改革后有關收支核算、加強預算管理和簡化會計核算等方面的客觀要求;為此,財政部印發了《基層醫療衛生機構會計制度》。
二、《基層醫療衛生機構會計制度》的適用范圍
《基層醫療衛生機構會計制度》具有通俗易懂、核算簡便、易于掌握等顯著特點,它不僅考慮了簡化核算的需要和基層醫療衛生機構的實際情況,而且也考慮到各地基層醫療衛生機構財務管理和會計核算水平的差異,同時也遵循了一般會計核算的原則,它適用于中華人民共和國境內由政府舉辦的獨立核算的城市社區衛生服務中心(站)、鄉鎮衛生院等基層醫療衛生機構。企業事業單位、社會團體及其他社會組織舉辦的非營利性基層醫療衛生機構參照執行。
三、《基層醫療衛生機構會計制度》所體現出來的基本特征
1.公益性。公益性是指基本醫療和公共衛生服務的普遍可及性和普遍可負擔性。所謂普遍可及性,指的是城鄉居民能夠很方便地看病就診,即解決“看病難”的問題;所謂普遍可負擔性,指的是城鄉居民能夠以可承受的價格看病,也就是解決“看病貴”的問題。
2.非營利性。非營利性是指基層醫療衛生服務機構是為社會公眾利益服務而設立運營的,不以營利為目的,其收支、結余不能用于投資者回報,也不能為其職工變相分配,所有利潤和盈余只能投入到機構的再發展中,用于購買設備、引進技術、開展新的服務項目或向公眾提供低成本的醫療衛生服務。
3.財政性。財政性是指基層醫療衛生服務機構以財政資金作為成本補償的主要來源,與國家財政在資金領撥、政策法規及預算管理等方面存在著非常緊密的聯系。
4.專用性。專用性是指基層醫療衛生服務機構的資金具有特定的來源,必須按照指定的用途和列支范圍使用,不得挪作他用,這一特征有利于保證基層醫療衛生服務機構經營活動的持續健康發展。
四、《基層醫療衛生機構會計制度》建設必須要遵循的原則
1.《基層醫療衛生機構會計制度》仍要遵循會計核算的一般原則。會計核算的一般原則是進行會計核算的指導思想和衡量會計工作成敗的標準。會計核算的一般原則有十三條:即客觀性原則、實質重于形式原則、相關性原則、一貫性原則、可比性原則、及時性原則、明晰性原則、權責發生制原則、配比原則、歷史成本原則、劃分收益性支出與資本性支出的原則、謹慎性原則、重要性原則,這十三條原則可以簡單歸納為三類:一類是衡量會計質量的一般原則,一類是確認和計量的一般原則,一類是起修正作用的一般原則。這些會計核算的一般原則是中國會計核算工作應遵循的最基本的原則性規范,是對中國會計核算工作的基本要求,因此,《基層醫療衛生機構會計制度》的建設仍要遵循以上會計核算的一般原則。
2.《基層醫療衛生機構會計制度》應在兼顧核算全面完整和簡便易用的基礎上盡可能簡化會計核算體系。由于基層醫療衛生機構經營規模小,財務人員數量少,財務機構設置和經濟業務都較為簡單,再加上國家取消了藥品加成的相關政策規定進而全面實施國家基本藥物“零差率”銷售制度,所以《基層醫療衛生機構會計制度》應本著成本效益的原則,在會計科目的設置、會計核算的流程、財務報告的設計和編制等方面盡可能簡化。
五、《基層醫療衛生機構會計制度》實施效果分析
1.《基層醫療衛生機構會計制度》的實施,有效地促進了中國基層醫療衛生機構的健康和可持續發展,提高了會計和審計工作的可操作性。基層醫療衛生機構是中國經濟社會發展的重要主體。貫徹落實科學發展觀,提高醫療安全質量,實現健康、可持續發展,是中國一貫堅持的指導方針。《基層醫療衛生機構會計制度》的制定、頒布與實施,始終貫徹了這一重要原則。新頒布的《基層醫療衛生機構會計制度》相對來說比較全面和完善,明確地規范了收入、支出等的種類和范圍。
2.《基層醫療衛生機構會計制度》的實施,統一了財務報告的格式、編制內容和編制要求,提升了基層醫療衛生機構會計信息的質量。財務報告是反映基層醫療衛生機構某一特定日期的財務狀況和某一會計期間的收支等情況的書面文件。它所反映出來的會計信息是決策者進行決策的重要依據之一,因此,會計信息最基本的質量特征就是決策的有用性,會計信息的質量直接關系到決策者的決策及后果,會計信息的真實性和可靠性是保證信息使用者作出正確決策的基本前提和條件。基層醫療衛生機構財務報告中的數據均以《基層醫療衛生機構會計制度》的規范執行為前提,對外提供的財務報告應由單位負責人和主管會計工作的負責人、會計機構負責人(會計主管人員)簽名并蓋章,并對財務報告的真實性和完整性負責;此外,《基層醫療衛生機構會計制度》中所規定的財務報告體系:一方面要求反映基層醫療衛生機構全面真實的經營狀況,強調了對財務指標與財務信息的運用,增強了會計信息的可比性,有利于基層醫療衛生機構管理者做到心中有數,做好內部管理和內部控制;另一方面也有利于加強外部監督,如審計監督、行政監督、輿論監督和社會監督等。
3.《基層醫療衛生機構會計制度》的實施,對中國基層醫療衛生機構會計人員的綜合技能提出了新的要求,促使了會計人員職業道德和專業技術素質的全面提升。中國基層醫療衛生機構傳統的會計人員在會計核算當中所扮演的角色,充其量只不過是一個簡單地進行經濟業務活動的確認、計量和報告的執行者,對參與單位的經營管理方面是極其被動的,其只要按照會計法規、準則、制度和管理者的要求,把單位的一套賬、一套報表做出來即可,而對于醫療衛生支出的控制、財務預算的編制、投資決策的分析等都與會計人員無關,而創造新的有利于單位經營管理的會計方法和技術更是與財務人員無關,然而《基層醫療衛生機構會計制度》中的會計已經超越了傳統會計核算的范疇,將會計的職能擴展延伸到會計的預測、評價、分析、決策、會計的管理與控制上。
4.《基層醫療衛生機構會計制度》的實施,提高了基層醫療衛生機構負責人的守法意識和會計水平。《基層醫療衛生機構會計制度》實施之前,基層醫療衛生機構負責人往往想當然的認為會計上面的事情自己說了算,因此授意、指使、強令會計機構、會計人員及其他人員按照他的意愿辦理業務的現象比比皆是,審計一旦出了問題則以自己不懂會計為理由一推了之,減輕和逃避自己的責任。如今《基層醫療衛生機構會計制度》的頒布實施促使了基層醫療衛生機構負責人的遵紀守法意識,使其更加注重合法、合規經營和管理,也更加懂得了對自己負責、對單位負責和對法律負責。
《基層醫療衛生機構會計制度》的頒布實施對中國的基層醫療衛生機構有著極為重大而深遠的意義,它豐富和完善了中國的會計制度體系,有效地規范了基層醫療衛生機構的會計行為,促進了基層醫療衛生機構的快速健康發展。但是它本身還不完善,在具體實施的過程中還存在諸多問題,這就需要中國加快對其進行研究和修訂完善的步伐。基層廣大會計工作者也要發揮自身的積極作用,對《基層醫療衛生機構會計制度》的建設做出自己力所能及的貢獻。
參考文獻:
[1]中華人民共和國財政部.基層醫療衛生機構會計制度[Z].財會[2010]26號,2010-12-29.
[2]中華人民共和國財政部、衛生部.醫院會計制度[Z].財會字[1998]58號,1998-11-17.
[3]中華人民共和國財政部.企業會計準則――基本準則[Z].財政部令第33號,2006-02-15.
第6篇:審計最基本的特征范文
論文摘要:要保護好自己的網絡不受攻擊,就必須對攻擊方法、攻擊原理、攻擊過程有深入的、詳細的了解,只有這樣才能更有效、更具有針對性的進行主動防護。下面就對攻擊方法的特征進行分析,來研究如何對攻擊行為進行檢測與防御。
反攻擊技術的核心問題是如何截獲所有的網絡信息。目前主要是通過兩種途徑來獲取信息,一種是通過網絡偵聽的途徑來獲取所有的網絡信息,這既是進行攻擊的必然途徑,也是進行反攻擊的必要途徑;另一種是通過對操作系統和應用程序的系統日志進行分析,來發現入侵行為和系統潛在的安全漏洞。
一、攻擊的主要方式
對網絡的攻擊方式是多種多樣的,一般來講,攻擊總是利用“系統配置的缺陷”,“操作系統的安全漏洞”或“通信協議的安全漏洞”來進行的。到目前為止,已經發現的攻擊方式超過2000種,其中對絕大部分攻擊手段已經有相應的解決方法,這些攻擊大概可以劃分為以下幾類:
(一)拒絕服務攻擊:一般情況下,拒絕服務攻擊是通過使被攻擊對象(通常是工作站或重要服務器)的系統關鍵資源過載,從而使被攻擊對象停止部分或全部服務。目前已知的拒絕服務攻擊就有幾百種,它是最基本的入侵攻擊手段,也是最難對付的入侵攻擊之一,典型示例有SYN Flood攻擊、Ping Flood攻擊、Land攻擊、WinNuke攻擊等。
(二)非授權訪問嘗試:是攻擊者對被保護文件進行讀、寫或執行的嘗試,也包括為獲得被保護訪問權限所做的嘗試。
(三)預探測攻擊:在連續的非授權訪問嘗試過程中,攻擊者為了獲得網絡內部的信息及網絡周圍的信息,通常使用這種攻擊嘗試,典型示例包括SATAN掃描、端口掃描和IP半途掃描等。
(四)可疑活動:是通常定義的“標準”網絡通信范疇之外的活動,也可以指網絡上不希望有的活動,如IP Unknown Protocol和Duplicate IP Address事件等。
(五)協議解碼:協議解碼可用于以上任何一種非期望的方法中,網絡或安全管理員需要進行解碼工作,并獲得相應的結果,解碼后的協議信息可能表明期望的活動,如FTU User和Portmapper Proxy等解碼方式。
二、攻擊行為的特征分析與反攻擊技術
入侵檢測的最基本手段是采用模式匹配的方法來發現入侵攻擊行為,要有效的進反攻擊首先必須了解入侵的原理和工作機理,只有這樣才能做到知己知彼,從而有效的防止入侵攻擊行為的發生。下面我們針對幾種典型的入侵攻擊進行分析,并提出相應的對策。
(一)Land攻擊
攻擊類型:Land攻擊是一種拒絕服務攻擊。
攻擊特征:用于Land攻擊的數據包中的源地址和目標地址是相同的,因為當操作系統接收到這類數據包時,不知道該如何處理堆棧中通信源地址和目的地址相同的這種情況,或者循環發送和接收該數據包,消耗大量的系統資源,從而有可能造成系統崩潰或死機等現象。
檢測方法:判斷網絡數據包的源地址和目標地址是否相同。
反攻擊方法:適當配置防火墻設備或過濾路由器的過濾規則就可以防止這種攻擊行為(一般是丟棄該數據包),并對這種攻擊進行審計(記錄事件發生的時間,源主機和目標主機的MAC地址和IP地址)。
(二)TCP SYN攻擊
攻擊類型:TCP SYN攻擊是一種拒絕服務攻擊。
攻擊特征:它是利用TCP客戶機與服務器之間三次握手過程的缺陷來進行的。攻擊者通過偽造源IP地址向被攻擊者發送大量的SYN數據包,當被攻擊主機接收到大量的SYN數據包時,需要使用大量的緩存來處理這些連接,并將SYN ACK數據包發送回錯誤的IP地址,并一直等待ACK數據包的回應,最終導致緩存用完,不能再處理其它合法的SYN連接,即不能對外提供正常服務。
檢測方法:檢查單位時間內收到的SYN連接否收超過系統設定的值。
反攻擊方法:當接收到大量的SYN數據包時,通知防火墻阻斷連接請求或丟棄這些數據包,并進行系統審計。
(三)TCP/UDP端口掃描
攻擊類型:TCP/UDP端口掃描是一種預探測攻擊。
攻擊特征:對被攻擊主機的不同端口發送TCP或UDP連接請求,探測被攻擊對象運行的服務類型。
檢測方法:統計外界對系統端口的連接請求,特別是對21、23、25、53、80、8000、8080等以外的非常用端口的連接請求。
反攻擊方法:當收到多個TCP/UDP數據包對異常端口的連接請求時,通知防火墻阻斷連接請求,并對攻擊者的IP地址和MAC地址進行審計。
對于某些較復雜的入侵攻擊行為(如分布式攻擊、組合攻擊)不但需要采用模式匹配的方法,還需要利用狀態轉移、網絡拓撲結構等方法來進行入侵檢測。
三、入侵檢測系統的幾點思考
入侵檢測系統存在一些亟待解決的問題,主要表現在以下幾個方面:
(一)如何識別“大規模的組合式、分布式的入侵攻擊”目前還沒有較好的方法和成熟的解決方案。從Yahoo等著名ICP的攻擊事件中,我們了解到安全問題日漸突出,攻擊者的水平在不斷地提高,加上日趨成熟多樣的攻擊工具,以及越來越復雜的攻擊手法,使入侵檢測系統必須不斷跟蹤最新的安全技術。
(二)網絡入侵檢測系統通過匹配網絡數據包發現攻擊行為,入侵檢測系統往往假設攻擊信息是明文傳輸的,因此對信息的改變或重新編碼就可能騙過入侵檢測系統的檢測,因此字符串匹配的方法對于加密過的數據包就顯得無能為力。
(三)網絡設備越來越復雜、越來越多樣化就要求入侵檢測系統能有所定制,以適應更多的環境的要求。
(四)對入侵檢測系統的評價還沒有客觀的標準,標準的不統一使得入侵檢測系統之間不易互聯。入侵檢測系統是一項新興技術,隨著技術的發展和對新攻擊識別的增加,入侵檢測系統需要不斷的升級才能保證網絡的安全性。
(五)采用不恰當的自動反應同樣會給入侵檢測系統造成風險。入侵檢測系統通常可以與防火墻結合在一起工作,當入侵檢測系統發現攻擊行為時,過濾掉所有來自攻擊者的IP數據包,當一個攻擊者假冒大量不同的IP進行模擬攻擊時,入侵檢測系統自動配置防火墻將這些實際上并沒有進行任何攻擊的地址都過濾掉,于是造成新的拒絕服務訪問。
(六)對IDS自身的攻擊。與其他系統一樣,IDS本身也存在安全漏洞,若對IDS攻擊成功,則導致報警失靈,入侵者在其后的行為將無法被記錄,因此要求系統應該采取多種安全防護手段。
總之,入侵檢測系統作為網絡安全關鍵性測防系統,具有很多值得進一步深入研究的方面,有待于我們進一步完善,為今后的網絡發展提供有效的安全手段。
第7篇:審計最基本的特征范文
摘要:要保護好自己的網絡不受攻擊,就必須對攻擊方法、攻擊原理、攻擊過程有深入的、詳細的了解,只有這樣才能更有效、更具有針對性的進行主動防護。下面就對攻擊方法的特征進行分析,來研究如何對攻擊行為進行檢測與防御。
反攻擊技術的核心問題是如何截獲所有的網絡信息。目前主要是通過兩種途徑來獲取信息,一種是通過網絡偵聽的途徑來獲取所有的網絡信息,這既是進行攻擊的必然途徑,也是進行反攻擊的必要途徑;另一種是通過對操作系統和應用程序的系統日志進行分析,來發現入侵行為和系統潛在的安全漏洞。
一、攻擊的主要方式
對網絡的攻擊方式是多種多樣的,一般來講,攻擊總是利用“系統配置的缺陷”,“操作系統的安全漏洞”或“通信協議的安全漏洞”來進行的。到目前為止,已經發現的攻擊方式超過2000種,其中對絕大部分攻擊手段已經有相應的解決方法,這些攻擊大概可以劃分為以下幾類:
(一)拒絕服務攻擊:一般情況下,拒絕服務攻擊是通過使被攻擊對象(通常是工作站或重要服務器)的系統關鍵資源過載,從而使被攻擊對象停止部分或全部服務。目前已知的拒絕服務攻擊就有幾百種,它是最基本的入侵攻擊手段,也是最難對付的入侵攻擊之一,典型示例有SYNFlood攻擊、PingFlood攻擊、Land攻擊、WinNuke攻擊等。
(二)非授權訪問嘗試:是攻擊者對被保護文件進行讀、寫或執行的嘗試,也包括為獲得被保護訪問權限所做的嘗試。
(三)預探測攻擊:在連續的非授權訪問嘗試過程中,攻擊者為了獲得網絡內部的信息及網絡周圍的信息,通常使用這種攻擊嘗試,典型示例包括SATAN掃描、端口掃描和IP半途掃描等。
(四)可疑活動:是通常定義的“標準”網絡通信范疇之外的活動,也可以指網絡上不希望有的活動,如IPUnknownProtocol和DuplicateIPAddress事件等。
(五)協議解碼:協議解碼可用于以上任何一種非期望的方法中,網絡或安全管理員需要進行解碼工作,并獲得相應的結果,解碼后的協議信息可能表明期望的活動,如FTUUser和PortmapperProxy等解碼方式。
二、攻擊行為的特征分析與反攻擊技術
入侵檢測的最基本手段是采用模式匹配的方法來發現入侵攻擊行為,要有效的進反攻擊首先必須了解入侵的原理和工作機理,只有這樣才能做到知己知彼,從而有效的防止入侵攻擊行為的發生。下面我們針對幾種典型的入侵攻擊進行分析,并提出相應的對策。
(一)Land攻擊
攻擊類型:Land攻擊是一種拒絕服務攻擊。
攻擊特征:用于Land攻擊的數據包中的源地址和目標地址是相同的,因為當操作系統接收到這類數據包時,不知道該如何處理堆棧中通信源地址和目的地址相同的這種情況,或者循環發送和接收該數據包,消耗大量的系統資源,從而有可能造成系統崩潰或死機等現象。
檢測方法:判斷網絡數據包的源地址和目標地址是否相同。
反攻擊方法:適當配置防火墻設備或過濾路由器的過濾規則就可以防止這種攻擊行為(一般是丟棄該數據包),并對這種攻擊進行審計(記錄事件發生的時間,源主機和目標主機的MAC地址和IP地址)。
(二)TCPSYN攻擊
攻擊類型:TCPSYN攻擊是一種拒絕服務攻擊。
攻擊特征:它是利用TCP客戶機與服務器之間三次握手過程的缺陷來進行的。攻擊者通過偽造源IP地址向被攻擊者發送大量的SYN數據包,當被攻擊主機接收到大量的SYN數據包時,需要使用大量的緩存來處理這些連接,并將SYNACK數據包發送回錯誤的IP地址,并一直等待ACK數據包的回應,最終導致緩存用完,不能再處理其它合法的SYN連接,即不能對外提供正常服務。
檢測方法:檢查單位時間內收到的SYN連接否收超過系統設定的值。
反攻擊方法:當接收到大量的SYN數據包時,通知防火墻阻斷連接請求或丟棄這些數據包,并進行系統審計。
(三)TCP/UDP端口掃描
攻擊類型:TCP/UDP端口掃描是一種預探測攻擊。
攻擊特征:對被攻擊主機的不同端口發送TCP或UDP連接請求,探測被攻擊對象運行的服務類型。
檢測方法:統計外界對系統端口的連接請求,特別是對21、23、25、53、80、8000、8080等以外的非常用端口的連接請求。
反攻擊方法:當收到多個TCP/UDP數據包對異常端口的連接請求時,通知防火墻阻斷連接請求,并對攻擊者的IP地址和MAC地址進行審計。
對于某些較復雜的入侵攻擊行為(如分布式攻擊、組合攻擊)不但需要采用模式匹配的方法,還需要利用狀態轉移、網絡拓撲結構等方法來進行入侵檢測。
三、入侵檢測系統的幾點思考
入侵檢測系統存在一些亟待解決的問題,主要表現在以下幾個方面:
(一)如何識別“大規模的組合式、分布式的入侵攻擊”目前還沒有較好的方法和成熟的解決方案。從Yahoo等著名ICP的攻擊事件中,我們了解到安全問題日漸突出,攻擊者的水平在不斷地提高,加上日趨成熟多樣的攻擊工具,以及越來越復雜的攻擊手法,使入侵檢測系統必須不斷跟蹤最新的安全技術。
(二)網絡入侵檢測系統通過匹配網絡數據包發現攻擊行為,入侵檢測系統往往假設攻擊信息是明文傳輸的,因此對信息的改變或重新編碼就可能騙過入侵檢測系統的檢測,因此字符串匹配的方法對于加密過的數據包就顯得無能為力。
(三)網絡設備越來越復雜、越來越多樣化就要求入侵檢測系統能有所定制,以適應更多的環境的要求。
(四)對入侵檢測系統的評價還沒有客觀的標準,標準的不統一使得入侵檢測系統之間不易互聯。入侵檢測系統是一項新興技術,隨著技術的發展和對新攻擊識別的增加,入侵檢測系統需要不斷的升級才能保證網絡的安全性。
(五)采用不恰當的自動反應同樣會給入侵檢測系統造成風險。入侵檢測系統通常可以與防火墻結合在一起工作,當入侵檢測系統發現攻擊行為時,過濾掉所有來自攻擊者的IP數據包,當一個攻擊者假冒大量不同的IP進行模擬攻擊時,入侵檢測系統自動配置防火墻將這些實際上并沒有進行任何攻擊的地址都過濾掉,于是造成新的拒絕服務訪問。
(六)對IDS自身的攻擊。與其他系統一樣,IDS本身也存在安全漏洞,若對IDS攻擊成功,則導致報警失靈,入侵者在其后的行為將無法被記錄,因此要求系統應該采取多種安全防護手段。
總之,入侵檢測系統作為網絡安全關鍵性測防系統,具有很多值得進一步深入研究的方面,有待于我們進一步完善,為今后的網絡發展提供有效的安全手段。
第8篇:審計最基本的特征范文
一、攻擊的主要方式
對網絡的攻擊方式是多種多樣的,一般來講,攻擊總是利用“系統配置的缺陷”,“操作系統的安全漏洞”或“通信協議的安全漏洞”來進行的。到目前為止,已經發現的攻擊方式超過2000種,其中對絕大部分攻擊手段已經有相應的解決方法,這些攻擊大概可以劃分為以下幾類:
(一)拒絕服務攻擊:一般情況下,拒絕服務攻擊是通過使被攻擊對象(通常是工作站或重要服務器)的系統關鍵資源過載,從而使被攻擊對象停止部分或全部服務。目前已知的拒絕服務攻擊就有幾百種,它是最基本的入侵攻擊手段,也是最難對付的入侵攻擊之一,典型示例有SYNFlood攻擊、PingFlood攻擊、Land攻擊、WinNuke攻擊等。
(二)非授權訪問嘗試:是攻擊者對被保護文件進行讀、寫或執行的嘗試,也包括為獲得被保護訪問權限所做的嘗試。
(三)預探測攻擊:在連續的非授權訪問嘗試過程中,攻擊者為了獲得網絡內部的信息及網絡周圍的信息,通常使用這種攻擊嘗試,典型示例包括SATAN掃描、端口掃描和IP半途掃描等。
(四)可疑活動:是通常定義的“標準”網絡通信范疇之外的活動,也可以指網絡上不希望有的活動,如IPUnknownProtocol和DuplicateIPAddress事件等。
(五)協議解碼:協議解碼可用于以上任何一種非期望的方法中,網絡或安全管理員需要進行解碼工作,并獲得相應的結果,解碼后的協議信息可能表明期望的活動,如FTUUser和PortmapperProxy等解碼方式。
二、攻擊行為的特征分析與反攻擊技術
入侵檢測的最基本手段是采用模式匹配的方法來發現入侵攻擊行為,要有效的進反攻擊首先必須了解入侵的原理和工作機理,只有這樣才能做到知己知彼,從而有效的防止入侵攻擊行為的發生。下面我們針對幾種典型的入侵攻擊進行分析,并提出相應的對策。
(一)Land攻擊
攻擊類型:Land攻擊是一種拒絕服務攻擊。
攻擊特征:用于Land攻擊的數據包中的源地址和目標地址是相同的,因為當操作系統接收到這類數據包時,不知道該如何處理堆棧中通信源地址和目的地址相同的這種情況,或者循環發送和接收該數據包,消耗大量的系統資源,從而有可能造成系統崩潰或死機等現象。
檢測方法:判斷網絡數據包的源地址和目標地址是否相同。
反攻擊方法:適當配置防火墻設備或過濾路由器的過濾規則就可以防止這種攻擊行為(一般是丟棄該數據包),并對這種攻擊進行審計(記錄事件發生的時間,源主機和目標主機的MAC地址和IP地址)。
(二)TCPSYN攻擊
攻擊類型:TCPSYN攻擊是一種拒絕服務攻擊。
攻擊特征:它是利用TCP客戶機與服務器之間三次握手過程的缺陷來進行的。攻擊者通過偽造源IP地址向被攻擊者發送大量的SYN數據包,當被攻擊主機接收到大量的SYN數據包時,需要使用大量的緩存來處理這些連接,并將SYNACK數據包發送回錯誤的IP地址,并一直等待ACK數據包的回應,最終導致緩存用完,不能再處理其它合法的SYN連接,即不能對外提供正常服務。
檢測方法:檢查單位時間內收到的SYN連接否收超過系統設定的值。
反攻擊方法:當接收到大量的SYN數據包時,通知防火墻阻斷連接請求或丟棄這些數據包,并進行系統審計。
(三)TCP/UDP端口掃描
攻擊類型:TCP/UDP端口掃描是一種預探測攻擊。
攻擊特征:對被攻擊主機的不同端口發送TCP或UDP連接請求,探測被攻擊對象運行的服務類型。
檢測方法:統計外界對系統端口的連接請求,特別是對21、23、25、53、80、8000、8080等以外的非常用端口的連接請求。
反攻擊方法:當收到多個TCP/UDP數據包對異常端口的連接請求時,通知防火墻阻斷連接請求,并對攻擊者的IP地址和MAC地址進行審計。
對于某些較復雜的入侵攻擊行為(如分布式攻擊、組合攻擊)不但需要采用模式匹配的方法,還需要利用狀態轉移、網絡拓撲結構等方法來進行入侵檢測。
三、入侵檢測系統的幾點思考
入侵檢測系統存在一些亟待解決的問題,主要表現在以下幾個方面:
(一)如何識別“大規模的組合式、分布式的入侵攻擊”目前還沒有較好的方法和成熟的解決方案。從Yahoo等著名ICP的攻擊事件中,我們了解到安全問題日漸突出,攻擊者的水平在不斷地提高,加上日趨成熟多樣的攻擊工具,以及越來越復雜的攻擊手法,使入侵檢測系統必須不斷跟蹤最新的安全技術。
(二)網絡入侵檢測系統通過匹配網絡數據包發現攻擊行為,入侵檢測系統往往假設攻擊信息是明文傳輸的,因此對信息的改變或重新編碼就可能騙過入侵檢測系統的檢測,因此字符串匹配的方法對于加密過的數據包就顯得無能為力。
(三)網絡設備越來越復雜、越來越多樣化就要求入侵檢測系統能有所定制,以適應更多的環境的要求。
(四)對入侵檢測系統的評價還沒有客觀的標準,標準的不統一使得入侵檢測系統之間不易互聯。入侵檢測系統是一項新興技術,隨著技術的發展和對新攻擊識別的增加,入侵檢測系統需要不斷的升級才能保證網絡的安全性。
(五)采用不恰當的自動反應同樣會給入侵檢測系統造成風險。入侵檢測系統通常可以與防火墻結合在一起工作,當入侵檢測系統發現攻擊行為時,過濾掉所有來自攻擊者的IP數據包,當一個攻擊者假冒大量不同的IP進行模擬攻擊時,入侵檢測系統自動配置防火墻將這些實際上并沒有進行任何攻擊的地址都過濾掉,于是造成新的拒絕服務訪問。
第9篇:審計最基本的特征范文
【關鍵詞】審計假設;審計假設涵義;審計假設內容
審計假設是審計理論體系的基石。但是現今審計假設問題的研究尚未取得足以形成基石的成果,進而影響了審計理論體系的建立,導致審計理論滯后于審計實踐的發展。本文從研究分析對假設涵義的不同理解以及哪一種假設涵義更適用于解釋審計假設的角度,揭示審計假設的涵義及其形成,以期對審計假設的形成和審計假設的構成以新的、更具說服力的解釋。
一、對假設及審計假設的不同理解
對假設的不同理解主要有三種:
第一,假設即假說。人們在自然科學的研究中經常運用假說。
假說及其驗證是自然科學發展所采取的一種形式。在自然科學的研究中,常常要先提出對客觀事物本質或規律的假定說明,再通過試驗驗證假定說明是否成立。因為科學研究對象的本質和規律往往是內在的,不直接顯露的,人們對研究對象本質與規律的認識必然是一個漸進的過程,這個過程概括地說,就是提出假說,驗證假說,驗證失敗,再提出新的假說進行再驗證的過程。假說是未知向已知過渡的中介和橋梁,而得以驗證的假說則轉化為理論學說。如天文學研究歷史上哥白尼創立的“日心說”,當時是假說,甚至被認為是歪理邪說,經后來的研究證明是正確的,是真理,從而使人們正確認識了太陽系運行的規律。
第二,假設即公理或定理。這種假設的解釋多借助于對數學公理或定理作用的理解。如幾何公理:兩條平行直線永遠不相交。 如幾何定理:三角形的三個內角和等于180度等。人們可以依據三角形內角和等于180度的定理,直接推算任何三角形的內角和。公理或定理的特點是人們不需再證明它,可直接作為推理的既定基礎和依據。所以有時人們認為假設既然是用作推理基礎的,當然也像公理或定理一樣是不用證明的、直接的推理前提。
第三,假設是人們活動的基本前提。《辭海》(1989年版)對假設的解釋是假使;假定。 楊時展教授(1985)將假設界定為人們進行工作的前提,假設決定著工作的方向、方法,決定著工作或不工作。假設變了,工作的方法、方向就得變。 根據這些解釋,對假設涵義的第三種理解可以進一步表述為:人們在進行某種活動之前,對活動對象及與活動有關聯的各種環境、條件狀況的預設或者判斷,這種預設和判斷為人們即將實施的行動提供引導。
關于審計假設的涵義,幾種代表性的觀點如下:
李學柔、秦榮生(2002)認為,審計假設是認識和推理的基礎,是未經證明就認為天經地義的判斷。審計假設是演繹審計其他命題的出發點,是“天經地義”、“理所當然”,無需解釋的。
劉力云(1993)認為,審計假設是人們以已有的事實和科學原理為依據,對未知的事物或規律性人為地進行推測和論斷,具有推測的性質。審計假設由于對未知的某種現象或某種規律性只是猜想,尚未達到確切可靠的認識,因而有待于驗證,不斷修改、補充和更新,從而更正確地反映客觀的現實。
劉華(2005)認為,審計假設是人們針對審計實踐歸納總結出來的,審計工作的基本特征和前提。
美國注冊會計師協會的審計假設定義為,基本假設來源于政治、經濟環境和工商企業的思想習慣,雖然這些基本假定為數不多,但它們卻是原則的依據。
人們對假設本身涵義有各種不同的理解,而在審計假設的研究中,許多學者都從各自對假設的理解出發,解釋審計假設的涵義,并沒有分析運用對假設的何種理解才能正確解釋審計假設,導致對審計假設內涵和外延的界定眾說紛紜、看法各異,尚未形成為審計學界廣泛認可的、科學的審計假設定義。因此,要揭示審計假設的內涵,深入分析假設的哪種涵義更適于界定和解釋審計假設尤為必要。
二、假設涵義的進一步分析
前述對假設的前兩種理解都不適合用于解釋審計假設的涵義。
首先,審計是一種實踐活動而不是科學研究活動,不存在提出假說然后驗證假說的過程。審計僅僅是采用一定的方法獲取證明被審計單位會計信息是否真實、合規的證據,然后依據證據所反映的結果作出結論、發表審計意見。因此,用假說定義或解釋審計假設是不恰當的。
其次,審計實踐活動也不存在以假設為基礎進行推理的過程。 所以,用公理或者定理解釋審計假設也說不通。
上述對假設的第三種理解為:人們在進行某種實踐活動之前,
對活動對象及與活動有關聯的各種環境、條件狀況的預設或者判斷,這種預設和判斷為人們即將實施的行動提供指導。審計是一種實踐活動,所以這第三種理解應該最適合于解釋審計假設。下面對這種理解作進一步的分析。
(一)人們總以一定假設為前提來決策或實施某種活動
人們的活動一般會受到一些基本因素的引導和制約。第一,行動的目標,即實施某種行動的目的;第二,行動的對象,即對誰、對什么實施行動;第三,行動的主體,即行為人自身的狀況;第四,行動將面臨的環境。 人們進行任何活動都為實現一定的目標,所以目標是既定的。在目標明確以后,如何采取行動,則要考慮另外三個基本因素,對這三個方面的基本因素狀況進行假設,以這些假設作為引導行動的根據。
對行為環境的假設――如,早上上班,預計天可能會下雨,出門時決定帶上雨具;對行為實施對象的假設――如,預計上班高峰期路上會堵車,決定提早在高峰期到來之前出門;再如,預期某種股票的價格會上漲,決定買入;預期黃金的市場價格可能會下跌,決定出手等。對自身能力的假設――如,早上下雪了,路比較滑,感覺自己的車技不行,而改坐公共汽車。再如,認為自己的專業知識、相關知識已經達到一定水平,決定報考研究生或者報考公務員;認為自己的能力比較強,準備競爭更高的職位等。反之,所謂 “沒有金剛鉆別攬瓷器活”,如果覺得自己不具備相應的能力會選擇放棄。
(二)人們在實施某種行動之前為什么要進行假設
假設的對象首先是相對于人們主觀意志的客觀事物,而客觀事物又往往呈現出不同的各種各樣的狀態,可能呈現A狀態,也可能呈現B狀態、C狀態。在不同的時間和空間條件下,呈現的狀態是不確定的。如,陰天,未來的天氣會呈現兩種不同的狀態,下雨和不下雨,人們在外出時要在未來的這兩種情況中作出選擇,即要假設未來是下雨還是不下雨,然后決定行動。人們在實施行動前,往往必須在行動對象、行動環境的不確定性中作出選擇,預期事物的發展會是其中的哪一種狀態,然后以此為前提,采取相應的行動,以達到預期的目的。其次,人們在行動之前,有時還要對自身的狀況進行假設,如前述的因考研究生、考公務員而對自身知識、能力水平的估計等。因為人們往往對自己的“能力、水平”也并不都完全清楚。
(三)人們依據什么進行假設
哈耶克(1967)指出:“我們在自己的演繹過程中,不必遵從假設或未知到已知和可觀察的路線,而是――如習慣上視為正常的方法――遵從熟悉到未知的路線。” 可見,人們是依據長期實踐經驗總結和積累的結果或結論進行預設和判斷的,這種預設或判斷往往是活動對象或者活動環境的一種“常態”。在這種“常態”下,被以往的經驗證明是正確或者可行的做法、方式便形成了“慣例”,人們會自覺不自覺地遵從。如,經過實踐人們認識到,陰天時下雨的概率增加,陰天下雨成為一種“常態”,所以在陰天時,人們外出往往習慣性的帶上雨具。這便是哈耶克所說的“遵從熟悉到未知的路線”。但是陰天不等于下雨,亦可能不下雨,從這個意義上說,陰天會下雨是假設,依據此假設,人們出門決定帶上雨具。
人們對自身狀況的判斷、假設也同樣要考慮自己平時的一般狀態。如某人平時每天都健身 1個小時,是因為他經過實踐覺得鍛煉1小時比較適合于自己,所以不會在某一天突然增加到2小時。
(四)假設的作用
作為行動前提的假設,其作用在于對人們的行為加以約束和引導。如: 假設天會下雨,人們外出會帶上雨具,或者不出門。再如會計的持續經營假設,引導企業以不斷的持續經營狀態為前提進行日常的會計核算,對企業經營的財務狀況和經營成果進行及時的數量描述,以向會計信息的需求者提供及時、相關的會計信息。當然,一個企業總有一天是要廢業的,而廢業時則采用另外一種核算方式。
三、對審計假設涵義和內容的理解
審計活動是一種實踐活動,審計活動一般會也要受到一些基本因素,如審計目標;審計對象;審計主體等的引導和制約。審計有既定的目標引導審計活動的開展、實施。在目標既定的情況下,決定采取行動之前亦要對審計對象、審計主體自身狀況作出預先的設定和判斷,明確在何種前提下展開審計活動才能實現既定目標,以指導和約束具體的審計行為。這種預先的設定和判斷即是審計假設。所以審計假設可定義為:在審計目標的引導下,為指導和約束具體審計活動的實施而設定的前提。審計假設的形成是審計人員長期審計實踐的結晶,是審計行為的“慣例”。
(一)存在錯弊假設
審計是以會計及相關信息為對象的認證活動,其目標是認定會計信息的真實性和合規性。 企業的會計及相關信息是由企業內部的會計信息系統收集、加工、生成和提供的,這個過程是發生在企業內部的過程,外界并不清楚這個過程是如何進行的。企業的經營管理者掌握著會計信息加工、生成的控制權,因此經營管理者的行為會直接影響生成的會計信息是否真實、合規。 在利益驅動下經營管理者會采取有利于自己的行動。主要表現在兩方面:其一,會有意通過對會計信息進行控制使之有利于自己。如粉飾經營業績,進而增加在薪酬問題上與企業所有者博弈的砝碼。其二,當經營風險、財務風險來臨而又無法有效應對時,經營管理者會利用會計信息控制權來操縱會計信息,通過會計信息造假來掩蓋經營或財務危機。
另外,會計核算過程中也會因技術性差錯導致會計信息的錯誤。所以企業會計信息存在錯弊是一個基本的判斷,審計人員以假設企業會計信息存在錯弊為前提組織實施審計工作,才會保持應有的職業謹慎、小心從事進而查出可能存在的問題,實現證實會計信息是否真實、合規的審計目標。如果以會計信息可信為假設,則審計失去存在的前提。所以存在錯弊是審計首要的、基本的假設。審計特別是民間審計的產生即以會計信息存在錯弊為動因,長期的審計實踐亦以會計信息存在錯弊為前提。
(二)存在證據假設
在審計實施過程中,審計人員要收集記錄企業各種經濟業務的原始憑據,了解經濟活動的原始狀態,以驗證會計報表信息、被審計事項信息是否如實地反映了經濟活動的真實情況、是否按會計準則的規定編制,進而作出審計結論、發表意見。而收集審計證據就要以存在證據為前提,然后運用審計固有的方法獲取這些證據。如果獲得了證據,就依證據所證明的情況作出審計結論。所以,審計人員是以存在能夠證明會計信息真實、合規與否的證據為前提來實施審計的,取證是審計的基本實踐活動。如果沒有證據或無法取得證據,審計就無從實施,也就無法發表審計意見。
(三)控制局限假設
企業提供的會計信息是在其內部控制制度運行下生成的,所以內部控制會對會計信息產生直接的影響。但是企業的內部控制再完善、嚴密,也只能對員工舞弊起到控制作用,而對管理舞弊不起作用。 另外,內部控制不可能做到十分完善和嚴密,會有缺陷。所以在實踐中,審計人員以內部控制有局限為前提對其進行測試。如果前提是企業的內部控制是完善有效的,內部控制的評價就沒有必要了。
(四)審計成本有限假設
從審計主體的角度看,審計資源和審計實施的時間都是有限的,對于一個具體的審計項目不可能無限制的投入資源和時間。所以審計活動要受到審計成本和審計時間的約束, 要求審計機構和審計人員以審計成本和審計實施的時間有限為前提來安排審計計劃、指導和實施審計活動。
四、審計假設的作用
總的說,審計假設對審計活動起到引導和約束的作用。
(一)存在錯弊假設是審計的最基本假設
審計行為均以此假設作為基本前提、基本引導,如審計準則的制定、審計策略的擬定、審計程序和審計方法的選擇等等,都以此假設為前提。
(二)存在證據假設為搜集審計證據的范圍確定了空間界限和
時間界限,即已經發生并存在證據的會計及相關信息
不可驗證的會計信息,不能獲取證據的會計信息,審計人員不可做結論,只能放棄表示審計意見。對于尚未發生的交易、事項,審計人員不可做肯定的結論。
(三)控制局限假設
由于內部控制與會計信息生成有密切的聯系,內部控制有問題會影響會計信息的真實性、合規性。 所以審計過程不能僅僅審查會計信息資料,要對內部控制進行必要的測試,采用相應的方法找出其不足和缺欠,進而提出完善的建議。另外,對內部控制不足和有缺欠的部分所控制形成的會計信息可作為重點審查。
(四)成本有限假設的作用,體現在審計實務中審計計劃的編制、重要性的確定、審計方法特別是抽樣方法采用等方面
因為審計資源、審計時間是有限的,所以對審計對象要有重點、有選擇的實施審計。如采用抽樣方法,以樣本的審查代替總體的審查,既可以達到審計的目的又可以節省審計成本。
【參考文獻】
[1] 辭海編輯委員會.辭海[M].上海:上海辭書出版社,1990.
[2] 揚時展.中國會計學會.中國會計研究文獻摘編審計卷[M].第1版.大連:東北財經大學出版社,2002.
[3] 李學柔,秦榮生. 國際審計[M].第1版.北京:中國時代經濟出版社,2002.
[4] 劉力云.中國會計學會.中國會計研究文獻摘編審計卷[M].第1版.大連:東北財經大學出版社,2002.
[5] 劉華.審計理論與案例[M].第1版.上海:復旦大學出版社,2005.
