审计的定义:为确定关于经济行为、事项的认定符合有关标准的程度,而客观地搜集、评价有关这些认定的证据,并将评价结果传达给相关利益主体的一个系统的过程。
理解:
(1)在财务报表审计业务中,关于经济行为、事项的认定集中体现在财务报表。
(2)审计业务并不仅仅是指财务报表审计业务,还包括验资、合并、分立、清算等业务的审计,特殊业务的审计等内容。
(3)审计的最本质特性是独立性。审计可以提高财务报表等信息的可信度,但是,如果审计人员与被审计单位在经济上或其他方便存在紧密联系、丧失了独立性,那么,审计人员就不可能对被审计单位的经济事项发表公正的意见,所以,独立性是审计的最本质特性。
理解审计的独立性概念框架;独立性概念框架是指解决独立性问题的思路和方法,用以指导注册会计师:识别对独立性的不利影响;评价不利影响的严重程度; 必要时采取防范措施消除不利影响或将其降低至可接受的水平。
如果无法采取适当的防范措施消除不利影响或将其降低至对接受的水平,注册会计师应当消除产生不利影响的情形,或者拒绝接受审计业务委托或终止审计业务。
在执行业务过程中,如果注意到独立性产生不利影响的新情况,会计师事务所应当运用独立性概念框架评价不利影响的严重程度。
在评价不利影响的严重程度时,注册会计师应当从性质和数量两个方面予以考虑。
理解管理层认定;认定是指管理层在财务报表屮做出的明确或隐含的表达,注册会计师将其用于考虑可能发生的不同类型的潜在错报。
注册会计师要发表恰当的审计意见,需要考虑被审计单位的会计资料的若干具体方面,这些方面即是管理层认定,注册会计师在被审计单位管理层认定的基础上执行审计测试。认定分为三种类型:关于各类交易和事项运用的认定、关于期末账户余额运用的认定、关于列报和披露运用的认定。注册会计师应当详细运用各类交易、账户余额、披露认定,作为评估重大错报风险以及设计与实施进一步审计程序的基础。
(1)关于各类交易和事项运用的认定:1?发生;2?完整性;3.准确性;4?截止; 5.分类(2)关于期末账户余额运用的认定:1.存在;2.权利和义务;3.完整性;4.计价和分摊(3)关于列报和披露运用的认定:1.发生以及权利和义务;2.完整性;3.分类和可理解性;
4.准确性和计价按照审计主体的不同,审计分为政府审计、注册会计师审计和内部审计。(J)验资属于其他鉴证业务。(X)
大多数审计证据是结论性而非说服性的。(X)
执行商定程序属于鉴证业务。(X)
在合理保证的鉴证业务屮,审计人员应当以消极方式提出结论。(X)
对历史财务信息审计和审阅业务、其他鉴证业务,会计师事务所应当自业务报告口起,对业务
工作底稿至少保存10年。(J)
注册会计师可以根据业务的性质、工作量的大小、参加人员层次的高低和服务成果的大小等因素确定审计业务的收费标准。(X)
独立原则有两个层次:实质上的独立和形式上的独立。(J)
应收账款函证的样本应由注册会计师和被审计单位共同商定,并由被审计单位的志愿负责寄出询证函(X)
为了充分发挥函证的作用,通常应选择与资产负债表接近的时间进行函证。(J)注册会计师采用积极式询证函进行函证时,要求被询证者在不同意询证函列示信息的情况下才予以回函(X)
应收账款余额明细表可由注册会计师自己编制,也可以由被审计单位提供(丁)因为多数舞弊企业在低估应付账款时,是以漏记赊购业务为主,所以函证无益于查找未入账的应付账款。(丁)
注册会计师对固定资产进行实地观察时,可以固定资产明细分类账为起点,重点观察本期新增加的重要固定资产。(丁)
期末余额为零的应付账款明细账户不需要进行函证(X)
一般而言,在建工程完工交付使用或者办理竣工结算之后的利息应计入当期财务费用,不应计入固定资产的成本(J)
固定资产采购、付款、保管、儿张应由不同人员分别负责,实行必要的职务分离
(V)
为取得被审计单位有关存货存在和所有权方面的审计证据,审计人员技能应对被审计单位的存货进行实地盘点(X)
由于观察和计量期末存货方面不存在令人满意的替代程序,因此,注册会计师必须监盘被审计单位的存货(V )
盘点存货是注册会计师的责任,因此,注册会计师应负责制定存货盘点计划(X)止确的购货截止应该做到12余额31日入库的存货,无论是否收到发票,都必须纳入收到存货年度的存货盘点范围(丁)
通过对被审计单位期末银行存款余额调节表的审查,可以直接验证期末银行存款的真正余额(X)
函证银行存款的目的包括查找未入账的负债(丁)
审计管理费用时不需进行截止测试(X)
期间费用包括管理费用、财务费用、销售费用和制造费用(X)
验资分为设立验资和变更验资。(丿)
注册会计师出具的验资报告不应视为是对被审验单位日后偿债能力做出的保证。
(V)
审阅业务对所审阅的财务报表不存在重大错报提供有限保证,注册会计师应当以消极方式提出结论。(丁)
注册会计师审计范围受到限制,应当出具保留意见或无法表示意见的内部控制审计报告。(X )
对于内部控制审计过程中识别的所有控制缺陷,注册会计师应当书面形式与董事会和经理层沟通。(X)
注册会计师执行商定程序业务,仅报告执行的商定程序及其结果,并不提出鉴证结论。(V)注册会计师法律责任的种类有违约责任、过失责任和欺诈责任。(X)
如果注册会计师美誉查出被审计单位会计报表中的错误事项,必须承担法律责任。(X)
审计失败是指注册会计师由于没有遵守公认审计准则而出具了不恰当的审计意见。(J)
一般情况下,违约可能使注册会计师承担民事责任甚至刑事责任。(X)
政府审计规范包括国家审计基本准则、具体准则和实物指南。(X)
我国尚未加入最高审计机关国际组织。(X)
由监事会领导内部审计机构的模式最为常见,独立性也最强。(X)
财务报表审计是管理审计的内容之一。(X )
A会计师事务所最近制定了业务质量控制制度,有关内容摘录如下:
(1)合伙人考核和晋升制度规定,连续三年业务收入额排名前三位的高级经理晋级为合伙人,连续三年业务收入额排名后三位的合伙人降晋为高级经理。
(2)内部业务检查制度规定,以每三年为一个周期,选了以已完成业务进行检查,如杲事务所当年接爱相关部门的外部检查,则当年暂停对所有业务的内部检
查
(3)项目质量控制复核制度规定,除上市公司审计业务外,其他需要实施质量控制复核的审计业务由审计项目组负责人执业项目质量控制复核。
(4)工作底稿应当在业务完成后90日内整理归档。
(5)独立性政策规定,每年需要保持独立性的人员提供关于独立持要求的培训,并要求高经经理以上(含高级经理)的人员每年签署遵守独立性要求的书面确认函。
(6)分所管理制度规定,分所可以根据自身的实际情况,自行制度业务质量控制制度。要求:针对上述(1)至(6)项,分别指岀A会计师事务所业务质量控制制度是否符合会计师事务所质量控制准则的规定,并简要说明理由。
答:1)不符合质量控制准则规定。
会计师事务所在业绩评价过程中应以质量为导向,使员工充分了解提高业务质量和遵守职业道德基本原则是晋升的主要途径,而不是以业务收入为主要考核指标。
2)不符合事务所质量控制准则规定。
会计师事务所应当周期性地选取已完成的业务进行检査,周期最长不得超过三年。在确定检查范围时,会计师事务所可以考虑外部独立检查的范围或结论,但这些检查不能替代自身的内部监控。
3)不符合事务所质量控制准则规定。
项目质量控制复核是指在审计报告日或审计报告日之前,项目质量控制复核人员对项目组作出的重大判断和在编制审计报告时得出的结论进行客观评价的过程。审计项目组负责人不能作为复核人员执行本项目的质量控制复核工作。
4)不符合事务所质量控制准则规定。
审计工作底稿的归档期限为审计报告日后(或审计业务中止日)后60天内。
5)不符合事务所质量控制准则规定。
会计师事务所应当每年至少一次向所有受独立性要求约束的人员获取其遵守独立性政策和程序的书面确认函,而不是仅要求高级经理以上(含高级经理)的人员每年签署遵守独立性要求的书面确认函。
6)不符合事务所质量控制准则规定。
会计师事务所在制定质量控制政策和程序时,应当考虑自身规模和业务特征等因素。相关的质量控制制度是事务所整体(含分所)都要遵守的。
C会计师事务所接受委托,负责审计上市公司甲公司20X5年度财务报表,并委派A注册会计师担任审计项目合伙人。
(1)会计师事务所建立专门的系统用于记录对客户关系和具体业务的接受与保持的评估。该系统中记录的信息无需纳入业务工作底稿。
(2)在接受委托后,人注册会计师向甲公司前任注册会计师询问甲公司变更会计师事务所的原因,得知原因是甲公司在某一重大会计问题上与前任注册会计师存在分歧。
(3)在制定审计计划吋,A注册会计师根据其审计甲公司的多年经验,认为甲公司20X5年度财务报表不存在重大错报风险,应当直接实施进一步审计程序。
(4)审计过程中,A注册会计师要求项目组成员之间相互复核工作底稿,并委派其所在业务部的B注册会计师负责M公司项目质量控制复核。
(5) A注册会计师就某一重大问题咨询会计师事务所技术部门,但直至审计报告日,仍未与技术部门达成一致意见。经与B注册会计师讨论,A注册会计师出具了审计报告。
(6)在审计报告出具后,B注册会计师随机选取若干份工作底稿进行了复核,没有发现重大问题。
要求:针对上述情形,指出存在哪些可能违反审计准则和质量控制准则的情况,并简要说明理由。
答:1)业务执行方面存在问题。了解被审计单位及其环境(风险评估程序)是必须的,不得省略而直接实施进一步审计程序;
2)审计小组人员之间互相复核不恰当。确定复核人员的原则是,由项目组内经验较多的人员复核经验较少的人员执行的工作,这样才能够达到复核的目的。A注册会计师安排项目组人员内部的交互复核,没有选择恰当的复核人员,存在问题。
3)“A注册会计师委派其所在业务部的B注册会计师负责甲公司项目质量控制复核”是错误的。项目质量控制复核人员符合下列规定:①如果可行,不由项目合伙人挑选;②在复核期间不以其他方式参与该业务;③不代替项目组进行决策;④不存在可能损害复核人员客观性的其他情形。A作为项目合伙人委派其所在业务部的B注册会计师作为项目质量控制复核人员会有损复核人员客观性;
4)“B注册会计师随机选取若干份工作底稿进行了复核”是错误的。项目质量控制复核时,应当选取与项目组作出重大判断及形成结论有关的底稿,而不能随机选取底稿;
5)出具审计报告后进行项目质量控制复核是不恰当的。需要进行项目质量复核的业务,应当要求在出具报告前完成项目质量控制复核。
甲公司是公正会计师事务所的常年审计客户。20X8年11月,公正会计师事务所与甲公司续签了审计业务约定书,审计甲公司20X8年度财务报表。假定存在以下情形:
(1)甲公司由于财务闲难,应付公正会计师事务所20X7年度审计费用150万元一直没有支付。经双方协商,公正会计事务所同意甲公司延期至20*9年底支付,并约定甲公司须按银行同期贷款利率计算这笔应付款项的资金占用费。
(2)缴纳公司由于财务人员短缺,20*8年向公正会计事务所借用一名注册会计师,由该注册会计师将经会计主管审核的记账凭证录入计算机信息系统。公正会计事务所未将该主持人会计师包括在甲公司20*8年度财务报表审计项目组。
(3)乙注册会计师己连续5年担任缴纳公司年度财务报表审计的签字注册会计师。根据有关规定,在审计甲公司20*8年度财务报表时,公正会计事务所决定不在由该注册会计师担任签字注册会计师。但在成立甲公司20*8年度财务报表审计项目组吋,公正会计师事务所要求其继续担任外勤审计负责人。
(4)由于甲公司将20*8年度财务报表审计费用降为100万元,导致公正会计事务所的审计收入不能弥补审计成本,会计事务所决定不在对甲公司下属的2个规模较大的分公司进行审计,并以审计范围受限为由出具保留意见的审计报告。
(5)审计小组成员丙注册会计师持有的甲公司的股票10000股,市值约36000 7L o (6)公正会计事务所针对审计过程屮发现的问题,向甲公司提出了会计处理调整的建议,并协助其解决了相关账户调整问题。
要求:根据屮国注册会计师职业道德守则有关独立性的规定,分别判断上述六种情形是否对公
正会计师事务所的独立性产生不利影响,并简要说明理由。如果存在不利影响,采取哪些防范措施可以消除不利影响或将其降低至可接受的水平?答:
甲银行拟申请公开发行股票,委托ABC会计师事务所审计其20X7年度、20X8年度和20X9年度的财务报表,双方于20X9年年末签订审计业务约定书。假定存在以下情形:(1) ABC会计事务所与甲银行签订的审计业务约定书约定,审计费用为150万元, 甲银行在ABC会计事务所提交审计报告时支付50%的审计费用,剩余50%视股票能否发行上市决定是否支付
(2)甲银行要求ABC会计事务所在提供财务报表审计业务的同时,对银行部分重要资产的价值进行评估。银行与事务所就报表与资产评估业务签订了业务约定书
(3) 20*9年7月,ABC会计事务所按照正常借款程序和条件,向甲银行以抵押贷款方式借款1000万元,用于购置办公用房
(4)审计小组成员B注册会计师的妻子自20*3年起在甲银行担任统计员的职务
(5) ABC会计事务所与甲银行信贷部开展业务合作:由信贷部介绍需要审计的贷款客户,ABC会计师事务所负责审计工作,相关审计收费由会计师事务所与信贷部对半分成(6) ABC会计事务所接受委托,为甲银行编制20X9年度企业所得税纳税屮报表, 该表经甲银行财务总监签署后报出。
要求::根据中国注册会计师职业道徳守则有关独立性的规定,分别判断上述六种情形是否对公正会计师事务所的独立性产生不利影响,并简要说明理由。如果存在不利影响,采取哪些防范措施可以消除不利影响或将其降低至可接受的水平?
答:
20*6年2月16日上午8:00注册会计师审查了新欣公司的库存现金FI记账和盘点库存现金。结果如下:
(1)库存现金日记账的余额为1380. 8
(2)清点现金计百元面值11张,拾元面值5张,伍元面值4张,壹元面值5张, 角票共计5. 80元
(3)2月15日已收入现金而尚未入账的收款凭证2张,计3300元
(4)2月15日已付出现金而尚未入账的付款凭证1张,计1500元
(5)借条一张,系经采购部门经理批准,由采购员与2月3日暂借款2000元答:
第十二章例(12-2)
审计人员在审计新欣公司银行存款时,发现该公司20*5年12月31 tl银行存款tl记账账血余额为3185000元,银行对账单余额为3183000元。审计人员将银行存款口记账和银行对账单逐笔核对后,发现下列情况:
(1)12月2日公司账上开出134905转账支票一张,金额为3200元,银行对账单上无此记录。
(2)12月8日银行对账单上收到外地汇款30000元,本公司日记账无此记录。
(3)12月14日银行付出1800元,经查系采购员不慎遗失的134896空白转账支票,被人冒用。
(4)12月16日银行付出29000元,本公司日记账无此记录。
(5)12月21日银行付岀现金1600元,本公司无此记录。
(6)12 M 31日公司银行存款日记账现实存入银行转账支票一张,计2800元,银行对账单上无此记录。
银行存款余额调节表
注册会计师李立负责甲公司20*6年度财务报表审计业务中的货币资金项目。为顺利监盘库存现金,李立在监盘前一天通知缴纳公司会计主管人员做好监盘准备。考虑到出纳日常工作安排,对库存现金的监盘吋间定在下午13:00,盘点开始之前,出纳根据当口已盘妥现金收付手续的相关业务凭证登记库存现金口记账并结出库存现金日记账余额且将现金从保险柜取出,然后,李立当场盘点现金、在与库存现金日记账核对后填写“库存现金盘点表”,甲公司出纳也在“库存现金盘点表”上签字确认盘点时的实有现金数额。
要求:指出上述库存现金监盘工作中那些不当之处,并提出建议。
答:(1)现金盘点应当实施突击检查,不能预先告知;
(2)企业各部门保管的所有现金均应同时盘点,若不能让同时盘点,则应先封存在监盘;(3)盘点时间一般选在在上午上班前或下午下班时;(4)参加盘点人员应由出纳员、被审计单位会计主管人员、注册会计师参加;(5)现金盘点应由出纳人员进行,由注册会计师监盘;(6)还应当由出纳人员签字。
注册会计师对乙公司20*5年12月31日的银行存款进行审计,银行存款日记账余额为58000元,银行对账单余额为59800,并发现以下情况
(1)银行从公司中港口处借款利息780元,公司未入账
(2)公司12月28日开出转账支票一张3500元,银行未入账
(3)公司委托银行收款的一笔货款银行已于12月11日收到并计入公司账户,公司在12月31日扔未入账,这笔货款的金额为20000
(4)公司12月29日存入转账支票一张3260元,银行未入账
(5)银行对账单显示公司于12月20日开出转账支票一张,金额为12000元,银行已于12月28日兑付,公司银行存款日记账上无此记录,经核对发现,公司
将这笔付款业务登记在另一家银行的Fl记账上
要求:(1)编制银行存款余额调节表(2)分析其中可能存在的问题解答:
(1)银行余额调节表
企业银行存款日记账调整后余额和银行对账单调整后余额相差元
(2)企业银行存款日记账调整后余额和银行对账单调整后余额相差5660元,需要将银行对账单记录与企业银行存款日记账记录进行详细的核对,査找出现差额的原因。
企业在12月11日已经收到的货款至12月31日仍未入账,表明可能存在挪用资金、隐瞒收入的情况。
在审计甲公司20X5年度财务报表的过程屮,注册会计师发现甲公司发生了下列重大期后事项:
(1)20X6年1月2日,公司董事会决议通过所有职工每月工资普涨5%,自20X5 年10月1日开始补发。公司每月工资费用中计入生产成本的金额为6000000元, 计入制造费用的金额为300000元,计入销售费用的金额为700000元,计入管理费用的金额为800000元。
(2)20X6年2月5日,甲公司申请发行公司债券的申请获得政府有关部门批准, 公司准备在5月中旬按照面值发行1000万元债券,期限3年,年利率为5%。
(3)20X6年2月20 0,甲公司的一个顾客乙公司宣告破产。截至20X5年12月31 0,乙公司还欠甲公司贷款500000元。甲公司与乙公司的法律顾问联系后确定大约300000元将无法收回。20X5年12月31日,甲公司已经针对乙公司的应收账款计提了100000元的坏账准备。注册会计师于2月21日重新返回甲公司针对20X5年坏账准备计提数的变动搜集审计证据。
要求:
(1)分别说明上述事项屈于哪一种类型的期后事项,企业应在财务报表中如何反映这些事项。
(2)如果甲公司20X5年度财务报表的审计报告日是2月15日,财务报表对外公布日为2月27日,注册会计师对上述事项的审计责任有何不同?
答:
(1)事项一、事项三属于调整事项,需要调整20*5年报表有关数据;事项二属于非调整事项,需要在报表附注中披露。
事项一的调整分录为:
借:生产成本900 000
制造费用45000
销售费用105000
管理费用120000
贷:应付职工薪酬 1 170 000
事项二的调整分录为:
借:资产减值损失200 000
贷:坏账准备200 000
(2)注册会计师需要主动关注审计报告日前发生的期后事项,对于审计报告日后发生的期后事项则属于被动关注。
甲公司20X5年度审讣后的净利润为1000万元,20X5年12月31日资产总额为
其他业务收入
预收账款无形
资产
其他业务支出3000 万3000 万1000 万1000 万
28400万元,注册为会计师A和B经实施必要审计程序后认为,甲公司编制20X5 年度财务报表所依据的持续经营假设是合理的。
注册会计师A和B于20X6年2 M 10日开始对甲公司20X5年度报表实施审计。在审计过程中,注册会计师注意到以下事项:
(1)甲公司于20X5年12月31 口与乙公司签订合同,将账面价值为1000万元的土地使用权以3000万元的价格转让给乙公司,于同FI向乙公司开具发票并收到土地转让款3000万元;20X6年1月5日,甲公司办妥产权过户手续,甲公司于20X5年12月31日确认其他业务收入3000万元,英他业务支11! 1000万元(假定不考虑相关税费)。
(2)甲公司于20X5年度根据中级人民法院判决结果对其担保责任计提了3000 万元预计负债。20X6年1月,经髙级法院终审裁定,甲公司应承担赔偿责任总额为1000万元,甲公司据此确认营业外收入2000万元。
(3)甲公司为丙公司向银行借款5000万元提供信用担保。20X5年10 M,丙公司因经营严重亏损,进行破产清算,无力偿还已到期的该笔银行借款。银行因此向法院起诉,要求甲公司承担担保连带责任,支付借款本息5200万元。20X6年2月5日,法院终审判决银行胜诉,并于2月15 FI执行完毕。考虑到无法向丙公司追偿,甲公司在20X6年2月支付该笔款项的同时,将其全额计入当月营业外支出项目。
要求:注册会计师A和B是否需要提出审计处理建议?若需要提出审计调整建议,
请直接列示审计调整分录(审计调整分录均不考虑对甲公司20X5年度的企业所得税,期末结转损益及利润分配的影响)。
答:
应冲销账面确认的土地使用权转让收入与成本: 借:贷:借:贷:
该事项属于调整事项,相应的调整分录为:
借:其他应付款2000万
贷:营业外支出2000万
该事项属于调整事项,相应的调整分录为:
借:营业外支出5200万
贷:其他应付款5200万上海达信会计师事务所注会师李大健、何奇于20*6年2月20日对华夏有限公司20*5年度财务表进行审计,并与3月8 tl完成了外勤审计工作、华夏公司20*5 年12 M 31日资产总额5000万元,利润总额800万元,两位注会师将财务报告层次的重要性水平定在50万元。在审计过程中存在以下情况
公司20*5年6月购入价值10万元复印机一台,已入账,有管理部门领用,但当年并未计提折旧,根据公司有关会计政策,该类固定资产折旧年限8年,残值率10%,按直线法计提。
该公司应收账款年末余额600万元,应收账款函证回函率仅为30%,注会师利用替代程序确认了应收账款的真实性。
公司与20*5年12月31日发岀一批产品,不含增税的售价为20万元,成本为13 万元,由于货款于20*6年1月5 FI收到,故企业在20*6年1月5 FI在账面确认了收入,结转了成本
20*5年12月30日,公司预付100万元的下年广告费,已计入12月销售费用公司有20万元的存货放在外地仓库,注会师未能实地监盘,向存放地放出函证也未收到任何答复,且无法实施替代程序
20*5年11月因知识产权问题被乙公司起诉,该诉讼案已于20*6年3月5日由法院作出终审判决,华夏公司败诉并应向乙公司赔偿110万元,华夏公司在20*5 年财务报表附注中已经说明
要求:
针对上诉6种情况,分别说明注会师应提出的处理建议
如果被审计单位拒不接受注会师提出的建议,注会师应出具何种类型审计意见?在公司不接受注会师提出的改进建议前提下,代注会师撰写一份审计报告。
事项一应编制调整分录:
借:管理费用 5 625
贷:累计折旧 5 625
事项二可不调整。
事项三应在20*5年确认收入、结转成本。调整分录为:
借:应收账款234 000
贷:主营业务收入200 000
应交税费一一应交增值税(销项税)34 000
借:主营业务成本130 000
贷:库存商品130 000
事项四应编制调整分录:
借:预付账款100万贷:销售费用100万
事项五属于审计范围受限。
事项六编制调整分录:借:营
110万
业外支出贷:其他应付款
110万
2)上述六个事项对净资产的累计影响为—35625元,对利润总额的累计影响为一64 375元,均低于报表层次的重要性水平50万元。但资产高估金额为1098375 元,负债高估金额为1134000元,均高于报表层次的重要性水平50万元。注册会计师应考虑出具保留意见的审计报告。
信息系统审计标准 S1-审计章程 导言 01 ISACA 标准和其它相关指南包含强制性的基本原则和重要程序(以粗体标出)。 02 制定信息系统审计标准的目的是就审计章程在审计程序中的运用制定和提供指南。 标准 03 信息系统审计职能或信息系统审计任务的目的、责任、授权方和义务应在审计章程或委托书中予以正确的登载。 04 审计章程或委托书应在组织内的适当层次得到同意和通过。 注释 05 对于内部信息系统审计职能,应为所有进行中的业务活动制定一份审计章程。审计章程应通过年度审查。如果责任发生变动或变化,则应缩短审查周期。内部信息系统审计师可用委托书来进一步澄清或确认参与特定的审计或非审计任务。外部信息系统审计师参与每项审计或非审计任务通常应当准备委托书。 06 审计章程或委托书应足够详细以便能表达审计功能或审计任务的目的、责任和限制。 07 审计章程或委托书应定期审查,以确保(审计的)目的和责任已经记录在案。 08 如需有关准备审计章程或委托书进一步的信息,应参考下列指南: 信息系统审计指南G5,审计章程 COBIT 框架,监控目标M4 实施日期 09 此ISACA 标准适用于所有信息系统的审计,于2005 年1 月1 日起(之后)实施。 信息系统(IS)审计的专业性和进行这类审计所需的技术,要求制定出专门适用于信息系统审计的标准。推进全球适用的标准以 实现这个目标是信息系统审计与控制协会(ISACA?)的宗旨之一。信息系统审计标准的发展和传播是ISACA 为审计业界作出专 业贡献的基础。信息系统审计标准的框架提供了多层次的指引: 标准为信息系统审计和报告定义了强制性的要求。它们宣告: –根据ISACA 职业道德规范中关于职业责任的规定,信息系统审计师的执行绩效所应达到的最低标准。 –管理层和其他利益方对执业者在专业工作上的期待。 –认证信息系统审计师(CISA?)资格持有人的相关特定要求。CISA 资格持有人未能遵守上述标准的可能会导致ISACA 董事会或相应ISACA 委员会对其进行调查直至最终的纪律处分。 指南为信息系统审计标准的实施提供了指引。信息系统审计师在标准的实施程序中应参考指南,同时作出职业判断,对背离 标准的做法应随时提供解释。信息系统审计指南的目标是为达到信息系统审计标准提供进一步信息。 程序为信息系统审计师提供审计项目中可以遵循的步骤范例。程序文件提供信息系统审计工作开展中如何达到相关标准的 信息,但并非硬性规定。信息系统审计程序的目标是为达到信息系统审计标准提供进一步信息。COBIT?资源应被当作最佳操作实施指南的来源。COBIT 框架强调,“保护企业的所有资产是管理层的责任,为履行这一责任以及 实现企业的期望,管理层必须建立起一套完善的内部监控体系。” COBIT 为信息系统管理环境提供了详细的监控和监控方法。
数据库审计系统技术建议书
目次 1.综述 (1) 2.需求分析 (1) 2.1.内部人员面临的安全隐患 (2) 2.2.第三方维护人员的威胁 (2) 2.3.最高权限滥用风险 (2) 2.4.违规行为无法控制的风险 (2) 2.5.系统日志不能发现的安全隐患 (2) 2.6.系统崩溃带来审计结果的丢失 (3) 3.审计系统设计方案 (3) 3.1.设计思路和原则 (3) 3.2.系统设计原理 (4) 3.3.设计方案及系统配置 (14) 3.4.主要功能介绍 (5) 3.4.1.数据库审计........................ 错误!未定义书签。 3.4.2.网络运维审计 (9) 3.4.3.OA审计............................ 错误!未定义书签。 3.4.4.数据库响应时间及返回码的审计 (9) 3.4.5.业务系统三层关联 (9) 3.4.6.合规性规则和响应 (10) 3.4.7.审计报告输出 (12) 3.4.8.自身管理 (13) 3.4.9.系统安全性设计 (14) 3.5.负面影响评价 (16) 3.6.交换机性能影响评价 (17) 4.资质证书.......................... 错误!未定义书签。
1.综述 随着计算机和网络技术发展,信息系统的应用越来越广泛。数据库做为信息技术的核心和基础,承载着越来越多的关键业务系统,渐渐成为商业和公共安全中最具有战略性的资产,数据库的安全稳定运行也直接决定着业务系统能否正常使用。 围绕数据库的业务系统安全隐患如何得到有效解决,一直以来是IT治理人员和DBA们关注的焦点。做为资深信息安全厂商,结合多年的安全研究经验,提出如下解决思路: 管理层面:完善现有业务流程制度,明细人员职责和分工,规范内部员工的日常操作,严格监控第三方维护人员的操作。 技术层面:除了在业务网络部署相关的信息安全防护产品(如FW、IPS 等),还需要专门针对数据库部署独立安全审计产品,对关键的数据库操作行为进行审计,做到违规行为发生时及时告警,事故发生后精确溯源。 不过,审计关键应用程序和数据库不是一项简单工作。特别是数据库系统,服务于各有不同权限的大量用户,支持高并发的事务处理,还必须满足苛刻的服务水平要求。商业数据库软件内置的审计功能无法满足审计独立性的基本要求,还会降低数据库性能并增加管理费用。 2.需求分析 随着信息技术的发展,XXX已经建立了比较完善的信息系统,数据库中承载的信息越来越受到公司相关部门、领导的重视。同时数据库中储存着诸如XXX等极其重要和敏感的信息。这些信息一旦被篡改或者泄露,轻则造成企业或者社会的经济损失,重则影响企业形象甚至社会安全。 通过对XXX的深入调研,XXX面临的安全隐患归纳如下:
一、货币资金 定义:是指可以立即投入流通,用以购买商品或劳务,或用以偿还债务的交换媒介。包括库存现金、银行存款和其他货币资金(外埠存款、银行汇票存款、银行本票存款、信用证保证金存款、信用卡存款、存出投资款等)。 审计目标:①确定货币资金是否存在;②确定货币资金的收支记录是否完整;③确定货币资金是否为被审计单位拥有或控制;④确定库存现金、银行存款以及其他货币资金的余额是否正确⑤确定货币资金在会计报表上的披露是否恰当 审计程序:①核对库存现金日记帐、银行存款日记帐与总帐、明细账的余额是否相符;②会同被审计单位主管会计人员监盘库存现金,编制库存现金盘点表,分币种面值列示盘点金额;(由被审计单位出纳完成)③获取资产负债表日的“银行存款余额调节表”,并与被审计单位的银行存款明细账对比是否相符,若有差异,应查明原因,作出记录或作适当的调整;④检查“银行存款余额调节表”中未达帐项的真实性,以及资产负债表日后的进帐情况,若存在应于资产负债表日前进帐的应作相应调整;⑤向所有的银行存款户(含外埠存款、银行汇票存款、银行本票存款)函证年末余额;(含零余额账户和本年内注销的账户)⑥银行存款中,如有一年以上的定期存款或限定用途的存款,要查明情况,作出记录;⑦抽查大额现金收支、银行存款(含外埠存款、银行汇票存款、银行本票存款)支出的原始凭证内容是否完整,有无授权批准,并核对相关帐户的进帐情况,如有与委托人生产经营业务无关的收支事项,应查明原因,并作相应的记录;(大额的货币资金进出要一查到底,确保无误);⑧抽查资产负债表日前后若干天的大额现金、银行存款收支凭证,如有跨期收支事项,应作适当调整;⑨检查非记帐本位币折合记帐本位币所采用的折算汇率是否正确,折算差额是否已按规定进行会计处理;⑩验明货币资金是否已在资产负债表上恰当披露。 二、交易性金融资产 定义:是指企业为了近期内出售而持有的债券投资、股票投资和基金投资。 审计目标:①确定交易性金融资产是否存在且归被审计单位所有;②确定交易性金融资产的计价是否正确;③确定交易性金融资产的增减变动及其损益记录是否完整;④确定交易性金融资产期末余额是否正确;⑤确定交易性金融资产的列报和披露是否恰当。 审计程序:①获取或编制交易性金融资产明细表,复核加计正确,并与报表数、总账数和明细账合计数核对相符。核对期初余额与上期审定期末余额是否相符。(计价和分摊)②获取股票、债券及基金、期货(如有)账户对账单,与明细账余额核对,需要时,向证券公司等发函询证,注意期末资金账户余额会计处理是否正确;检查非记账本位币交易性金融资产的折算汇率及折算是否正确。(存在、权利和义务、计价和分摊)③监盘库存有价证券并与相关账户余额进行核对,如有差异,应查明原因做出记录或进行适当调整。(存在、权利和义务)④对在外保管的有价证券,查阅有关保管的证明文件,需要时,向保管人函证。⑤检查被审计单位对交易性金融资产的分类是否正确,是否符合《企业会计准则第22号——金融工具确认和计量》第9条的有关要求(列报)⑥查阅有关交易性金融资产的协议、合同、董事会决议及有关出资的凭证和记录,检查交易性金融资产购入、借出或兑现的原始凭证是否完整。取得证券交易账户流水单,对照账面记
上海财经大学常任轨教职经济学学术刊物目录 Top Tier American Economic Review Econometrica Journal of Political Economy Quarterly Journal of Economics Review of Economic Studies First Tier Economic Journal Games and Economic Behavior International Economic Review Journal of Econometrics Journal of Economic Theory Journal of Finance Journal of International Economics Journal of Labor Economics Journal of Monetary Economics Journal of Public Economics Journal of the European Economic Association Rand Journal of Economics Review of Economics and Statistics Theoretical Economics Second Tier AEJ:Applied Economics AEJ:Economic Policy AEJ:Macroeconomics AEJ:Microeconomics American Journal of Agricultural Economics AEA Papers and Proceedings Brookings Papers on Economic Activity Canadian Journal of Economics Econometric Theory Economic Theory European Economic Review
此处是Logo 数据库审计系统 技术白皮书 地址: 电话: 传真: 邮编:
■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属北京所有,受到有关产权及版权法保护。任何个人、机构未经北京的书面授权许可,不得以任何方式复制或引用本文的任何内容。 ■适用性声明 文档用于撰写XX公司产品介绍、项目方案、解决方案、商业计划书等。
目录 一.产品概述 (1) 二.应用背景 (1) 2.1现状与问题 (1) 2.1.1现状 (1) 2.1.2问题 (1) 2.2需求分析 (3) 2.2.1政策需求 (3) 2.2.1.1《信息系统安全等级保护基本要求》 (3) 2.2.1.2《商业银行信息科技风险管理指引》 (3) 2.2.2技术需求 (4) 2.2.3管理需求 (4) 2.2.4性能需求 (4) 2.2.5环境与兼容性需求 (5) 2.2.6需求汇总 (5) 三.产品介绍 (5) 3.1目标 (5) 3.2产品功能 (6) 3.2.1数据库访问行为记录 (6) 3.2.2违规操作告警响应 (6) 3.2.3集中存储访问记录 (6) 3.2.4访问记录查询 (7) 3.2.5数据库安全审计报表 (7) 3.3产品部署 (7) 3.3.1旁路部署 (7) 3.3.2分布式部署 (8) 3.4产品特性 (9) 3.4.1安全便捷的部署方式 (9) 3.4.2日志检索能力 (9) 3.4.3灵活的日志查询条件 (10) 3.4.4灵活的数据库审计配置策略 (10) 3.4.5数据库入侵检测能力 (10) 3.4.6符合审计需求设计 (11) 四.用户收益 (11) 4.1对企业带来的价值 (11) 4.2全生命周期日志管理 (12) 4.3日常安全运维工作的有力工具 (12)
新审计准则实质性审计程序 1001 库存现金实质性审计程序 1. 核对现金日记账期末余额与总账数。 2. 监盘库存现金,编制“库存现金盘点表” 。 3. 将库存现金盘点金额与现金日记账余额进行核对,如有差异,是否要求被审计单位查明原因并作适当调整,如无法查明原因,是否要求被审计单位按管理权限取得批准后作出调整。 4. 在非资产负债表日进行盘点时,应调整至资产负债表日的金额。 5. 若有充抵库存现金的借条、未提现支票、未作报销的原始凭证,应在盘点表中注明,并作必要的调整。 6. 抽取大额现金收支原始凭证进行测试,检查内容的完整性,有无授权批准,并核对相关账户的进账情况。 7. 抽查资产负债表日前后若干天的大额现金收支凭证进行截止测试,如有跨期收支事项是否作适当调整。 8. 对于非记账本位币的现金,应检查折算汇率的正确性。 9. 针对识别的舞弊风险等特别风险,应实施追加的审计程序。(如在期末或接受期末时对现金进行监盘等) 10. 验明现金列报的恰当性。 1002 银行存款实质性审计程序 1. 实施货币资金的起步审计程序。(获取或编制银行存款明细表,并与总账和银行存款日记账核对)
2. 实施实质性分析程序。包括编制货币资金收支金额汇总 表、编制现金比率分析表等. 3. 获取银行对账单、银行存款余额调节表,并与日记账核对。查明银行存款余额差异原因,作出记录或作适当调整。 4. 检查未达账项的真实性以及资产负债表日后的进账情况,并对应于不应于资产负债表日前进账的重大事项进行调整。 5. 抽查对账单,将其与银行日记账核对,确定是否存在未入账的情况。 6. 对银行存款账户发函询证。 7. 查明大额定期存款或限定用途存款的实际情况。 8. 关注各银行存款账户余额的可收回性。在有确凿证据表明存款已经部分或全部不能收回的情况下,是否提请被审计单位作出调整。 9. 抽取大额的或有疑问的银行存款收支原始凭证进行测试,检查内容是否完整,有无授权批准,并核对相关账户的进账 情况。 10. 对非记账本位币的银行存款进行检查以确定折 算汇率的正确性。 11. 结合上年工作底稿复核银行存款账户的完整性。 12. 抽查资产负债表日前后若干天的大额银行存款收支凭证进行截止测试。 13. 列明不符合现金及现金等价物条件的银行存款。
上海财经大学关于本科生自主选择专业的暂行办法 第一条为了鼓励学生的个性发展,提高学生学习的积极性、主动性和创造性,学校允许学业成绩突出、确有专长的学生自主选择专业。学校鼓励学生转入基础学科专业、国家经济建设和社会发展急需的专业。 第二条自主选择专业是我校面向各专业一年级本科生进入二年级学习时实施的一项举措,在学生自主、自愿的基础上,学校在规定时间内,本着公平、公正、公开的原则,经过考核,统一办理学生转换专业事宜。目的在于扩大学生选择专业的自主性,充分发挥学生的学习潜力,实现学生的学习能力与专业兴趣的相互协调。 第三条转出转入专业实行双向选择,由转入专业所在院(系)择优录取。 第四条自主选择专业在一年级第二学期末实施。获准转入新专业的学生进入转入专业的二年级插班学习。学生在原专业完成一年级教学计划一般等同于完成转入专业的一年级教学计划,但应根据具体情况做适当调整。 第五条符合下列条件的,可以申请自主选择专业: 1.申请人成绩积点一般应达到3.4以上(含3.4),根据情况,每年对成绩积点要求将会 有所调整; 2.确有专长,转入新专业更有利于发挥其专长者; 3.因疾病或生理缺陷以及其他特殊原因确须转入其它专业学习者,参照《上海财经大学 本科学分制学生学籍管理实施细则》的有关规定办理。 第六条有下列情况之一的,不得申请自主选择专业: 1.入学后违纪受到处分的; 2.定向生、委培生; 3.应作退学处理的; 4.必修课程不及格或高等数学、英语成绩平均低于80分的; 5.经学校审核确认其他不适合自主选择专业的。 第七条自主选择专业按以下程序办理: 1.在同有关院(系)协商的基础上,教务处根据相关专业插班容量和全校总体情况控制 比例,拟定自主选择的专业目录与名额,经学校批准后,由教务处提前向学生公布; 2.学生个人提出申请,填写《上海财经大学学生自主选择专业申请表》,经申请学生所在 院(系)审批后连同本人成绩单及相关材料一起报送教务处,由教务处审核后送达相关转入院(系); 3.转入院(系)组织专门考核小组对申请转入学生进行综合考核后,确定转入人选,并 张榜公示; 4.教务处收到转出、转入院(系)均同意自主选择专业的学生申请及相关材料后予以初 审,报学校批准后,办理转换专业手续。 第八条学生自主选择专业后必须按照转入专业教学计划的要求,修完规定的课程和学分才能毕业。 第九条本暂行办法由教务处负责解释。 第十条本暂行办法自公布之日起实行。 (2004年3月制订;2007年7月修订)
` 目 录 1 数据库安全现状 ......................................................... 2 数据泄密途径及原因分析 ................................................. 3 数据库审计系统概述 ..................................................... 4 数据库审计基本要求 ..................................................... 4.1 全面的数据库审计 .................................................. 4.2 简易部署 .......................................................... 4.3 业务操作实时监控回放 .............................................. 5 数据库审计系统主要功能 ................................................. 5.1 全方位的数据库审计 ................................................ 5.1.1 ................................... 多数据库系统及运行平台支持 5.1.2 ......................................... 细粒度数据库操作审计 5.2 实时回放数据库操作 ................................................ 5.3 事件精准定位 ...................................................... 5.4 事件关联分析 ...................................................... 5.5 访问工具监控 ...................................................... 5. 6 黑白名单审计 ...................................................... 5. 7 变量审计 .......................................................... 数据库审计 解决方案
1. 货币资金 2. 交易性金融资产 3. 应收票据 4. 应收账款 5. 预付款项 6. 应收利息 7. 应收股利 8. 其他应收款9. 存货 10. 可供出售金融资产 11. 持有至到期投资 12. 长期应收款 13. 长期股权投资 14. .投资性房地产 15. 固定资产 16. 在建工程 17. 工程物资 18. 固定资产清理 19. 无形资产 20. 开发支出 21. 商誉 22. 长期待摊费用 23. 递延所得税资产 二、负债类 1. 短期借款 2. 交易性金融负债 3. 应付票据 4. 应付账款 5. 预收账款 6. 应付职工薪酬 7. 应交税费 8. 应付利息 9. 应付股利 10. 其他应付款 11. 长期借款 12. 应付债券 13. 长期应付款 14. 专项应付款 15. 预计负债 16. 递延所得税负债 三、权益类 1. 实收资本(股本) 2. 资本公积 3. 盈余公积 4. 未分配利润 四、损益类 1. 营业收入 2. 营业成本 3. 营业税金及附加 4. 销售费用 5. 管理费用 6. 财务费用 7. 资产减值损失 8. 公允价值变动损益 9. 投资收益 10. 营业外收入 11. 营业外支出 12. 所得税费用
(一) 货币资金审计说明 1. 明细账汇总与总账、报表核对一致。 2. 监盘现金,取得现金盘点表。 3. 编制银行存款明细表,银行存款明细账与银行对账单调节相符。 4. 函证银行存款,回函确认无误。 5. 测试原始凭证,未见异常。 审计结论:经审计无调整事项,余额可以确认。 (二) 交易性金融资产审计说明 1. 明细账汇总与总账、报表核对一致。 2. 编制交易性资产明细表。 3. 获取交易中心结算作证,与账务核对处理。 4. 测试原始凭证,未见异常。 (三) 应收票据审计说明 1. 明细账汇总与总账、报表核对一致。 2. 检查年末应收票据原件。 3. 应收票据均为中国网通(集团)天津市分公司开出,无贴现情况。 4. 测试原始凭证,未见异常。 审计结论经审计无调整事项,余额可以确认。 (四) 应收账款审计说明 1. 明细账汇总与总账、报表核对一致。 2. 编制其他应收款明细表,检查发生额记余额,分析应收账款账龄。 3. 函证大额应收款,回函确认无误。 4. 坏账准备均为以前年度计提,本年度增减为分公司并账转账及款项收回形成。 5. 测试原始凭证,未见异常。 审计结论1、经审计无调整事项,余额可以确认。 (五) 预付账款审计说明 1. 明细账汇总与总账、报表核对一致。 2. 测试原始凭证,未见异常。 审计结论1、经审计无调整事项,余额可以确认。
上海财经大学博士生导师名录 2012年1月 序号 姓名 学院 专业 导师类别 1 陈晓和 财经研究所 国防经济 专职博导 2 曹建华 财经研究所 能源经济与环境政策 专职博导 3 吴方卫 财经研究所 农业经济管理 专职博导 4 许庆 财经研究所 农业经济管理 专职博导 5 张锦华 财经研究所 农业经济管理 专职博导 6 张祥建 财经研究所 区域经济学 专职博导 7 刘乃全 财经研究所 区域经济学 专职博导 8 豆建民 财经研究所 区域经济学 专职博导 9 张学良 财经研究所 区域经济学 专职博导 10 周仲飞 法学院 法律金融学 专职博导 11 郑少华 法学院 法律金融学 专职博导 12 张军旗 法学院 法律经济学 专职博导 13 马洪 法学院 法律经济学 专职博导 14 张圣翠 法学院 法律经济学 专职博导 15 刘水林 法学院 法律经济学 专职博导 16 单飞跃 法学院 法律经济学 专职博导 17 王全兴 法学院 法律经济学 专职博导 18 单海玲 法学院 法律经济学 专职博导 19 王士如 法学院 法律经济学 专职博导 20 廖益新 法学院 法律经济学 专职博导 21 张淑芳 法学院 法律经济学 专职博导 22 蒋洪 公共经济与管理学院财政学 专职博导 23 丛树海 公共经济与管理学院财政学 专职博导 24 刘小兵 公共经济与管理学院财政学 专职博导 25 刘小川 公共经济与管理学院财政学 专职博导 26 黄天华 公共经济与管理学院财政学 专职博导 27 姚玲珍 公共经济与管理学院房地产经济学 专职博导 28 王洪卫 公共经济与管理学院房地产经济学 专职博导 29 李华 公共经济与管理学院公共经济政策学 专职博导 30 杨翠迎 公共经济与管理学院公共经济政策学 专职博导 31 牛铭实 公共经济与管理学院公共经济政策学 专职博导 32 俞卫 公共经济与管理学院公共经济政策学 专职博导 33 王峰 公共经济与管理学院公共经济政策学 专职博导 34 杨宏星 公共经济与管理学院公共经济政策学 专职博导 35 耿曙 公共经济与管理学院公共经济政策学 专职博导 36 唐敏 公共经济与管理学院公共经济政策学 专职博导 37 王克强 公共经济与管理学院国民经济学 专职博导 38 陈云 公共经济与管理学院技术经济及管理 专职博导 39 胡怡建 公共经济与管理学院税收学 专职博导
北信源数据库审计系统 VRV DBAS产品简介 北京北信源软件股份有限公司 2012年04月 1
版权声明 本手册的所有内容,其版权属于北京北信源软件股份有限公司(以下简称北信源公司)所有,未经北信源许可,任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾向或其他暗示。 商标声明 本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。 产品声明 本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异,由此可能产生的差异为正常现象,相关问题请咨询北信源公司技术服务人员。 免责声明 若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,北信源公司及其员工均不承担任何责任。 2
目录 1.产品优势(ADVANTAGE) (4) 2.产品概述(PRODUCT SUMMARY) (5) 3.系统架构(SYSTEM ARCHITECTURE) (6) 4.产品功能(PRODUCT FUNCTIONS) (7) 5.典型应用(TYPICAL APPLICATIONS) (15) 6.产品规格(PRODUCT SPECIFICATION) (16) 3
1.产品优势(Advantage) 采用分体式组件化设计 VRV-DBAS采用分体式组件化的设计理念,将整个系统划分为五大模块,各模块之间采用低耦合的方式进行设计,可以有效的对模块进行功能划分,各模块之间互不影响,同时又可以协同工作。采用分体式组件化的设计方式不仅可以合理利用系统资源,避免系统自身资源瓶颈,使得整个系统能以最优的性能运行,同时还可以方便的对整个系统进行扩展,最大化的满足使用者的需求。 海量数据离线审计 大容量的数据库系统通常会有海量的数据操作,这就要求数据库审计系统有大容量的存储空间以方便随时检索历史的操作记录。VRV-DBAS充分考虑了实际使用中的系统环境,采用高压缩比的文件型审计日志备份技术,使审计日志能够方便地长期保存,并且能够在事后随时按需导入进行解析查询。通常情况下,采用高压缩日志备份技术可以节约95%左右的存储空间。 细粒度审计结果分析 VRV-DBAS不仅支持针对SQL命令(如:Select、Insert、Delete、Create、Drop 等)以及存储过程的执行进行细粒度审计和分析,同时可以记录详细的用户行为信息,包括登录的时间、机器名、用户名、IP/MAC地址、客户端程序名以及数据库名等信息,对数据库操作维护命令、存储过程进行审计,可对查询,新增,修改,删除,授权等行为进行监控。另外,VRV-DBAS还可以深度解析数据库操作内容,准确解析出语句中的表名,操作方式及操作内容,并根据表名和操作方式进行归类和统计分析。 零风险并行部署 VRV-DBAS采用旁路监听部署的方式,部不需要对现有网络拓扑进行任何改变,只需要在交换机上将访问数据库的流量镜向或采用TAP分流监听,使数据库审计引擎能够监听到用户通过交换机与数据库进行通讯的所有操作,工作时不影 4
现金及银行存款 审计步骤及程序 1. 分析性复核程序 a. 比较现金及银行存款余额,检查是否有异常。 b. 分析现金及银行存款期初及期末余额变动情况,并向管理层询问,以 确定现金及银行存款的变动是否与公司的业务情况相符。 2. 实质性测试程序-总体 a. 将报表数,总账数与明细账数合计数核对 3. 函证银行存款余额并检查收支的正确截止 a. 核对银行对帐单,并向所有银行发函; b. 编制询证函控制表;将回函情况登记于控制表中; c. 如在审计报告日仍未收到回函,执行替代程序,如取得并检查银行存款调节表等; 4. 取得并检查银行存款余额调节表 a. 检查调节表中未达账项的真实性;以及资产负债表日后的进账情况; 对超过应调整的错报或漏报水平的应于资产负债表日之前进账的应作相应的调 整。 5. 测试受限制的银行存款 a. 检查的定期存款或限定用途的银行存款,并做出相应的记录,考虑在 财务报表上的披露; b. 询问公司的银行账户用途及结构 c. 询问是否有外部的店铺现金收入未及时统计,如某部门单独开立银行 账号,但在公司的报表中却反映为其他应收款中的备用金等。 d. 询问是否有在证券公司,信托投资公司等的存款 e. 询问是否有不属于公司的账户,如职工上缴的住房基金,养老基金等 f. 询问是否有以个人名义开立的账户 6. 盘点现金 a. 如果库存现金余额重大(超过应调整的错报或漏报水平),须在岀纳 员和公司会计主管人员在场的情况下盘点现金;编制库存现金盘点表;注明借 条、未提现支票等,做出必要的调整; 7. 计算现金及银行存款中的外币余额折算 a. 用中国人民银行的期末汇率重新折算现金及银行存款中的外币余额, 以确定外币存款余额计价是否正确;(cash reasonableness test) 8. 检查现金及银行存款在财务报表上的披露 a. 披露定期存款质押担保; b. 披露存期三个月以上的定期存款以及受限制的银行存款; Others:
360数据库审计系统产品白皮书
目录 1.产品概述 (3) 2.产品特点 (3) 2.1专业的数据库审计 (3) 2.2业务操作实时回放 (3) 2.3事件精准定位 (4) 2.4事件关联分析 (4) 2.5访问工具监控 (4) 2.6黑白名单审计 (5) 2.7变量审计 (5) 2.8关注字段值提取 (5) 2.9丰富完善的报表报告 (5) 3.产品价值 (5) 3.1未知数据库资产发现 (5) 3.2敏感数据信息管理 (6) 3.3数据库安全事件预警 (6) 3.4数据库安全事件追溯 (6) 3.5辅助用户数据库访问策略制定 (6) 3.6满足用户合规需求 (6) 4.主要功能 (6)
1.产品概述 360数据库审计系统是针对网络访问数据库的操作行为进行细粒度分析的安全设备,它可提供实时监控、违规响应、历史行为回溯等操作分析功能,是满 足数据库风险管理和内控要求、提升内部安全监管,保障数据库安全的有效手段。 2.产品特点 2.1专业的数据库审计 360数据库审计系统能够对业务网络中的各种数据库进行全方位的安全审计,具体包括: 1)数据访问审计:记录所有对保护数据的访问信息,包括文件操作、数据库执行SQL语句或存储过程等。系统审计所有用户对关键数据的访问行为,防止外部黑客入侵访问和内部人员非法获取敏感信息 2)数据变更审计:统计和查询所有被保护数据的变更记录,包括核心业务数据库表结构、关键数据文件的修改操作等等,防止外部和内部人员非法篡改重要的业务数据 3)用户操作审计:统计和查询所有用户的登录成功和失败尝试记录,记录所有用户的访问操作和用户配置信息及其权限变更情况,可用于事故和故障的追踪和诊断 4)违规访问行为审计:记录和发现用户违规访问。支持设定用户黑白名单,以及定义复杂的合规规则,支持告警 2.2业务操作实时回放 360数据库审计系统产品能对访问数据库操作进行实时、详细的监控和审计,包括各种登录命令、数据操作指令、网络操作指令,并审计操作结果,支持过程回放,真实地展现用户的操作。
新审计准则实质性审计程序1001库存现金实质性审计程序 1.核对现金日记账期末余额与总账数。 2.监盘库存现金,编制“库存现金盘点表”。 3.将库存现金盘点金额与现金日记账余额进行核对,如有差异,是否要求被审计单位查明原因并作适当调整,如无法查明原因,是否要求被审计单位按管理权限取得批准后作出调整。 4.在非资产负债表日进行盘点时,应调整至资产负债表日的金额。 5.若有充抵库存现金的借条、未提现支票、未作报销的原始凭证,应在盘点表中注明,并作必要的调整。 6.抽取大额现金收支原始凭证进行测试,检查内容的完整性,有无授权批准,并核对相关账户的进账情况。 7.抽查资产负债表日前后若干天的大额现金收支凭证进行截止测试,如有跨期收支事项是否作适当调整。 8.对于非记账本位币的现金,应检查折算汇率的正确性。 9.针对识别的舞弊风险等特别风险,应实施追加的审计程序。(如在期末或接受期末时对现金进行监盘等) 10.验明现金列报的恰当性。
1002银行存款实质性审计程序 1.实施货币资金的起步审计程序。(获取或编制银行存款明细表,并与总账和银行存款日记账核对) 2.实施实质性分析程序。包括编制货币资金收支金额汇总表、编制现金比率分析表等. 3.获取银行对账单、银行存款余额调节表,并与日记账核对。查明银行存款余额差异原因,作出记录或作适当调整。 4.检查未达账项的真实性以及资产负债表日后的进账情况,并对应于不应于资产负债表日前进账的重大事项进行调整。 5.抽查对账单,将其与银行日记账核对,确定是否存在未入账的情况。 6.对银行存款账户发函询证。 7.查明大额定期存款或限定用途存款的实际情况。 8.关注各银行存款账户余额的可收回性。在有确凿证据表明存款已经部分或全部不能收回的情况下,是否提请被审计单位作出调整。 9.抽取大额的或有疑问的银行存款收支原始凭证进行测试,检查内容是否完整,有无授权批准,并核对相关账户的进账情况。 10.对非记账本位币的银行存款进行检查以确定折
单项选择题(共 2 题) 1 在我国,审计署干部培训中心与信息系统审计与控制协会合作,在哪 年正式推出注册信息考试与培训()。 2002年 2001年 2000年 2003年 2 下列各项不属于信息系统审计的目标的是()。 系统的及时性 系统的安全性 系统的可靠性 系统的有效性 多选题(共 2 题) 3 下列各项属于信息系统的资源的有()。 系统文档 数据文件 消耗性材料 硬件 软件 4 下列各项属于信息审计与控制协会发布的息系统审计准则的内容的有 ()。 信息技术管治 前期工作 审计报告 审计联合性 职业道德和标准
判断题(共 2 题) 5 数据的可靠性是指数据真实、准确和合理。() 错误 正确 6 CISA成为信息系统审计发展的重要标志。() 正确 错误 单项选择题(共 2 题) 1下列不属于获取审计证据的主要方法是()。 监督 重新执行 询问和访谈 函证 2下列关于计算机辅助审计技术说法错误的是()。 映像是用专门的软件测量包监控程序的执行 嵌入审计程序是在应用程序中嵌入审计模块,用于采集审计所需的信息 平行模拟是指审计人员复制被审计应用程序的功能与特点 综合测试需要在应用系统中建立一个虚拟实体,测试数据被认为是该实体数据多选题(共 2 题) 3下列各项属于获取审计证据的主要方法的有()。 分析 审核 函证 观察 监督
4下列各项属于计算机辅助审计技术的有()。 嵌入审计程序 间断审计 实用软件 测试数据 平行模拟 判断题(共 2 题) 5函证是指审计人员间接从第三方(被询证者)获取书面答复。()错误 正确 6嵌入审计程序是在应用程序中嵌入审计模块,用于采集审计所需的信息。()正确 错误 单项选择题(共 2 题) 1下列关于获取审计证据方法中的分析说法错误的是()。 可以取得操作系统层、数据库管理层和应用系统层的系统运行记录 分析是指审计人员对相关资料进行系统分析 可以分析不同数据之间的内在关系,评价其合理性,以发现问题 分析是获取审计证据最重要的方法 2下列不属于获取审计证据的主要方法是()。 重新执行 监督 询问和访谈 函证 判断题(共 2 题)
慧眼数据库审计系统产品白皮书(V3.0) 国都兴业信息审计系统技术(北京)有限公司 二〇一四年
版权声明 本技术白皮书是对国都兴业信息审计系统技术(北京)有限公司慧眼数据库审计系统产品的描述。与内容相关的权利归国都兴业信息审计系统技术(北京)有限公司所有。白皮书中的任何内容未经本公司许可,不得转印、复制。本资料将定期更新,如欲索取最新资料,请访问本公司网站:https://www.doczj.com/doc/a415541405.html, 您的意见或建议请发至:china@https://www.doczj.com/doc/a415541405.html, 公司联系方式: 国都兴业信息审计系统技术(北京)有限公司 北京市海淀区东北旺西路8号中关村软件园10号楼106室 邮政编码100193 106 Great Road Building, Zhongguancun Software Park, 8 Dongbeiwang Western RD, Haidian District, Beijing 100193, P.R.China 电话(Tel): +86-10-82585166 传真(Fax): +86-10-82825363 电子信箱: china@https://www.doczj.com/doc/a415541405.html,
公司简介 国都兴业信息审计系统技术(北京)有限公司创建于1998年,公司总部设立于北京中关村软件园,是最优秀的信息系统审计解决方案、产品和服务提供商,具有强大的自主研发实力,是通过ISO9001:2000质量管理体系认证的北京市高新技术企业。国都兴业致力于提升用户掌控信息系统风险的能力,在信息系统的安全性、可靠性、合规性等方面提供全面的IT审计解决方案和服务,开发和销售专业的IT审计产品,解决用户对信息系统监测、评估和控制管理等方面的各项需求。 国都兴业是国内信息系统审计领域最具技术创新和产品研发实力的企业,是国内最早研发生产网络应用监控审计类产品的知名企业。国都兴业推出的“慧眼”信息审计系列产品,能够针对IT基础设施、信息安全、网络应用、数据库应用以及业务操作等方面,提供全方位地实时监测和审计,被广泛地应用于企业内部控制、企业风险管理、信息系统安全保障等方面。“慧眼数据库审计系统”连续两年入选中央国家机关网络安全产品协议供货商名录,通过国家、公安部、涉密、军队等信息安全产品认证,并被授予“2008年度最值得信赖品牌奖”。 国都兴业拥有来自军队、科研机构、国内知名院校的专家与学者组成的研发团队,拥有与国家信息技术安全研究中心(N&A)共同组建的网络安全监控技术实验室,在为政府、军队、金融、电信、能源、医疗、教育等行业提供了完善的网络安全解决方案和服务的同时,还承担了多项国家、军队科研攻关项目的研究工作。 国都兴业以雄厚的技术实力、优秀的产品和优质的服务获得业界的广泛认可,荣获“中国信息化建设30周年杰出贡献单位奖”、“中国信息化建设30周年杰出贡献人物奖”,入选北京信息安全服务平台2008年度运维支持单位,并圆满完成2008年奥运网络安全评估与保障任务,被授予“共铸网络利剑,携手平安奥运”的嘉奖。 国都兴业将秉承“诚信、兴业、自信、创新”的企业精神,致力于成为最优秀的IT审计企业、最值得客户信赖的企业、最吸引优秀人才的企业,为“提升企业驾驭IT的能力,创造信息系统新价值”而不懈努力!
。 北京中船信息科技有限公司 北京思福迪信息技术有限公司 2011年03月05日 数据库审计产品 测试方案
数据库审计产品测试方案 目录 一、测试目的 (4) 二、测试原则 (4) 三、测试环境 (6) 3.1测试对象 (6) 3.2测试地点 (6) 3.3测试时间 (6) 3.4测试人员 (6) 3.5测试环境 (6) 3.6测试拓扑示意图 (6) 3.7测试准备 (6) 四、测试项目 (8) 4.1产品收集功能测试 (8) 4.1.1日志收集能力测试 (8) 4.1.2日志过滤 (10) 4.1.3日志收集的安全性 (11)
4.1.4日志收集的标准化 (12) 4.2产品存储功能测试 (13) 4.2.1日志导出及备份 (13) 4.2.2存储使用监控 (14) 4.2.3存储安全防护 (15) 4.3产品的查询功能测试 (16) 4.3.1多条件组合查询 (16) 4.3.2自定义安全事件查询 (17) 4.4产品的报表功能测试 (18) 4.4.1报表结果可视化展现 (18) 4.4.2报表导出格式 (19) 4.4.3报表权限 (20) 4.5产品自身管理及防护功能测试 (21) 五、测试结论 (24) 参考标准 (24)
一、测试目的 本次测试的主要目的,是测试和验证数据库审计产品的各项功能和性能指标能否满足客户的实际需求。 二、测试原则 在本次测试过程中,将根据客观、公正、公平的原则,按统一的标准,从客户的业务需求和实际环境出发,对参加测试的厂商的产品进行有重点、有针对性的测试。为此,在测试过程中应坚持以下原则: ●测试环境一致原则 本次测试,不同厂家的产品,其测试环境保持一致,即使用相同的网络环境,采用统一的测试工具,设置统一的测试参数进行测试。在一个产品测试完,下一产品测试前,恢复测试环境的初始状态。 ●测试内容一致原则 针对不同厂家产品采用相同的测试内容进行测试。并且测试内容一旦确定,所有参加测试的产品必须按其内容逐项进行测试。 ●代表性原则
IT审计 概述: IT审计是分为:信息技术一般控制审计(ITGC)和应用层面控制审计(ITAC)1,ITAC(支持财审做对一些对具体余额的认定进行审计) ITAC即针对某一个应用软件的控制,例如对于银行来说,就有银行利息的计算软件。那么审计这个计算过程对不对,就是ITAC了。IT审计员会在系统中查看这个程序的源代码,看看利息是不是用借款乘以利率算出来的,另外,也会在系统中生成一个存款,然后看看系统计算的对不对。 2,ITGC(IT一般控制) 但是我们知道,我们只能在一年中某已一个点来测试ITAC,如何保证在过去的一个财年内这个软件计算过程都是对的呢?这就需要ITGC是不是有效的,如果这个程序没有被乱篡改,所有的程序变更都事先得到了许可和授权,这个程序出问题的时候可以得到及时有效的解决,也就是ITGC有效的情况下,IT审计员就可以得出这个利率计算过程是有效的。 ITGC内容(可以先不看): (1)ELC(entity level control)控制。 就是看看客户在IT治理方面的相关组织架构是否合理,书面的管理制度是不是健全,具体的审计程序就是获取客户的组织结构图,及一些比较虚的总纲类的书面管理制度如《IT 管理制度》等等。 (2)系统开发和变更。 就是关注系统开发和系统后续小变更中的一些控制,具体的审计程序就是获取系统开发及变更相关的管理制度典型的如《系统开发制度》《系统变更管理制度》等来看一看,再看系统
开发是否经过了需求提出、可行性研究、领导层审批,系统上线之前是不是经过了充分的测试,获取一些内控痕迹和表单,如《××系统需求报告》、《××系统可行性报告》、《××系统立项审批单》、《××系统单元测试报告》、《××系统集成测试报告》、《××系统上线审批单》,然后变更方面比较重要的就是《变更审批单》,这个一般来说还要进行抽样,而上面的开发流程一般来说做一两个穿行测试就行了。 (3)操作系统及数据库控制。 这一块呢具体就是看操作系统和数据库登录是不是要密码,然后把登录界面截个屏作为审计证据K进底稿里,蛮弱智的。然后呢就是调出操作系统及数据库中的一些安全配置,如密码复杂度的要求,密码是不是强制一个月改一次,对系统的敏感操作是否有日志记录,日志是否有人去复核,再者就是看用户权限管理是否按照基于角色来进行权限分配。现在商用方面操作系统用得比较多的是win2000,LINUX,UNIX,银行AIX用得比较多,数据库就是SAP,ORACLE,SQL server等,银行DB2用得也比较多。审计的时候呢,对于安全配置,就是输入一些命令,调出相关配置,四大像安永会有团队专门设计脚本,只要放到客户机器上那么一跑,结果自动就出来了,高度傻瓜式,流程化机械化,IT审计师的可替代性更强了,价值更低了。再就是把所有用户的权限列表拉出来,看是不是合理合规,后点关注超级管理员的权限。 (4)应用系统控制。 关注点同操作系统及数据库。不过应用系统千变万化,比如银行里面比较大的应用系统就有综合业务系统(有的叫核心业务系统)、国际结算系统、大小额系统、信贷管理系统等等等等。但万变不离其综,这些系统做ITGC思路都是一样的,就看安全配置和用户权限。如果要支持财审进行ITAC的审计,则要具体情况具体分析设计,因此个人认为ITAC的审计是IT审计师能体现自身经验与价值的地方,光做ITGC是没有前途的