公务员期刊网 精选范文 审计最基本的特征范文

审计最基本的特征精选(九篇)

前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的审计最基本的特征主题范文,仅供参考,欢迎阅读并收藏。

审计最基本的特征

第1篇:审计最基本的特征范文

发票内容包括向购买者提品或服务的名称、日期、数量以及协议价格。每一张发票都有独一无二的流水账号码,防止发票重复或跳号。

发票的意义及作用:

1、发票具有合法性、真实性、统一性、及时性等特征,是最基本的会计原始凭证之一。

2、发票是记录经济活动内容的载体,是财务管理的重要工具。

3、发票是税务机关控制税源,征收税款的重要依据。

第2篇:审计最基本的特征范文

摘要在我国,企业内部的审计问题逐渐成为企业的重要问题,为尽可能的促进广大员工能够遵纪守法完成当前的工作,很多企业内部进行了一定的管理制度的制定,特别是近些年来,随着企业风险的增加,为更好地提高内部效益,审计工程成为不可回避的问题。针对我国这种现状,笔者总结经验,提出了一定的对策和原则。

关键词企业单位内部审计问题策略与方法

一、我国企业单位内部审计工作的本质及特征

1.企业单位内部审计工作的本质

从企业自身的发展过程来说,审计组织和单位成员是审计活动必不可少的一部分,具有一定的独立性,其中,审计活动和其他的管理活动具有一定的区别,本质上说,内部的审计活动是一项独立性很强的监督活动,而这种本质主要是经济方面的监督,这是审计最基本的职能形式,同时,这种审计活动在企业内部一般都是独立性的,是企业真正的关键所在。

2.企业单位内部审计工作的显著特征

(1)独立性特征

作为企业的审计活动,独立性是重要的方面,它是企业内部的本质特征之一,是保证工作顺利开展和进行的前提,审计的独立性主要体现在工作人员的独立性方面,同事和同事之间具有经济上的独立,这是它区别于其他职能的重要特征。

(2)权威性特征

提起审计,很多人都会想到经济纠纷,因此审计是具有一定的法律效力和权威性的,根据相关的法律要求,对宪法赋予审计组织部门的依法行使设计监督的权利进行合理的利用,同时,对于审计组织来说,在行使职权的过程中,也会受到一定的监督和国家法律的保护。

(3)公正性特征

审计是一项公正的职能,尤其是内部的审计过程,其权威性和公正性是其的核心属性,审计的公正性也是审计的基本要求,审计人员一般需要站在公立的位置,第三方的立场上,本着公正的原则,实事求是的进行检查和判断,特别是针对一些符合现实可能性的情况,要坚持自己的原则,不可有任何的偏见,公正的处理客观的事情,确保审计的合理性。

二、当前我国企业单位审计工作主要存在的问题

1.内部审计机构的设置不合理

现阶段,在我国审计部门内部没有统一的结构和合理的标准进行判断,一般来说,很多的中小企业单位对于审计机构设置建筑比较拒绝,而一些大型的企业,也没有具体的可操作的模式。在国际发展过程中,也有修订的相关文字需要,这其中还存在着很大的差距,根据规定的要求和当前的实际情况,得出结论,先接单我国内部的审计人员直接关系到内部人员的切身利益,都会受到审计部门的控制,这种控制包括人事的调动以及工资的管理等各个方面。一般意义上来说,审计人员所审计主要是内部成员,这对于本企业内部的发展具有长远的影响。

2.企业内部审计技术仍比较落后

这主要体现在两个方面:一方面,目前,企业单位内部审计所使用的技术与所采用的方法仍然较为为落伍,与现在财务人员相比较,我们的审计人员在处理各种审计数据上尚未使用运用电算化技术,而且在对企业单位的财务状况进行分析处理上仍然还是沿用以前较为传统的审计方法。另一方面,审计人员清算和盘点的过程中也过于简单化、考虑不够周全,仅仅一味地采用抽样调查的审计方法,而往往没有对抽样以外的库存是否存在问题进行考虑,这就使得在很多情况下真实误差远超过了抽样误差,导致审核数据不够真实,进而不能为企业单位的领导层的决策提供真实有效的数据依据。

3.企业单位内部审计机构的独立性缺乏

独立性是《审计法》规定行政企业单位设置内部审计机构必须坚持的原则,是内部审计最为本质的特征。但目前,企业单位内部审计机构设置与独立性的要求存在较大差距,内部审计机构大多与财务部门兼设,这种财审合一的状况不符合审计独立性的要求。在审计过程中,内审机构在本企业单位负责人的领导下开展工作,为本企业单位内部管理服务,不可避免地受本企业单位的利益限制,很难客观、公正的对审计事项发表准确、公正的审计意见。

4.企业单位内审人员业务素质偏低

内部审计人员是企业单位实施内部审计的主体,对内部审计的质量承担着最终的决定作用。从实际情况看,当前企业单位内部审计人员业务素质偏低主要体现在:1)内部审计人员不注意及时更新自身的知识储备与提高知识结构,进而缺乏当前审计工作对审计人员所应要求具有的综合审计能力与技巧;2)企业单位未定期对审计人员进行必要的专业培训和后续教育,很多审计人员已经不能再适应日益复杂的审计业务。

三、加强我国企业单位审计工作的策略与建议

坚持依法审计是审计水平不断提升的保证,因此,在审计的过程中,需要结合本单位的实际情况,根据一定的法律法规和规章制度进行合理的审计,特别是一些审计机构的地位等方面的问题,需要进行有效的核实。结合企业单位实际,制定内部审计制度,明确规定内部审计机构的地位、内部审计的工作报告制度、内部审计人员具备的条件、内部审计机构的职责与权限、内部审计工作程序、内部审计工作的管理与考评及各项审计业务的具体程序等,做到有法可依有章可循。内部审计人员只有严格执行法定的工作程序,规范操作,按照规定的审计程序开展审计工作。

四、结语

总之,审计是我国现阶段各个部门必不可少的重要组成部分,针对审计出来的问题,做好合理的解决十分重要,同时建立完善的审计体系是现阶段发展的要求,因此,在企业管理内部,首先我们需要提高工作的技能和方法,尽可能的熟悉业务,做好培训工作,其次需要我们全方位的进行合理、公正的审计,树立公平公正的意识,不断的提高整体的素质和管理的水平,为了我国的审计事业能够更快更好地发展,提高内部审计人员的业务素质,是现阶段急需解决的重要问题。

参考文献:

[1]黄娟.完善企业内部审计.合作经济与科技.2008(02).

第3篇:审计最基本的特征范文

[关键词] 文化 文化特质 审计文化

审计文化是审计部门在长期的审计实际中积累的各种物质形式、行为规范、管理制度、价值观念、职业道德等各方面的总和。我国审计事业经过20年的探索、实践,开始步入成熟期,正面临着总结经验、开拓创新、不断深化、寻求进一步发展的新阶段。此时,开展审计文化研究,探索审计文化建设规律,加大审计文化建设力度,对于全面履行审计监督职责;对于加强审计机关精神文明建设,提高审计人员政治业务素质,推动审计事业健康发展,具有重要的现实意义和深远的历史意义。

一、审计文化建设必须明确审计文化的定位

何为文化。文化是一个相当宽泛的概念,研究者见仁见智,言人人殊。据说,全世界给出的文化定义已达万种以上。对此,当代西方学者罗威勒颇有感慨:“在这个世界上,没有别的东西比文化更难捉摸。我们不能分析它,因为它的成分无穷无尽,我们不能叙述它,因为它没有固定形状。我们想用文字来范围它的意义,这正像要把空气抓在手里似的。当着我们去寻找文化时,它除了不在我们手里以外,它无所不在。”这主要是由于人们在不同层面上使用文化概念所致。据我们考察,从大的方面讲,文化至少有三个层面的意蕴:一是人类层面。这是最广义的文化概念,与之相对应的概念是“自然”。文化是相对于人而言的,离开了人,无所谓文化;离开了文化,人也便还原为动物。从这个意义上讲,世界上万事万物,只有两类:自然的、文化的;二是社会层面。与之相对应的概念是“经济”、“政治”。根据的社会结构理论,整个社会是塔形结构,经济是基础,政治在中间,文化在上层。虽然政治和文化同属上层建筑,但文化无疑是处在塔尖的位置。经济对政治和文化具有决定和制约的作用,政治和文化也对经济有着促进或阻碍的反作用。经济主要满足社会的生存需要,政治主要满足社会的组织需要,文化主要满足社会的精神需要。它们相互分工又相互协调,共同维系着社会的运转;三是精神层面,归根结底,文化是理念、是精神,核心是价值观。所谓文化的冲突、文明的冲突,实质就是价值观的冲突。但价值观是抽象的、形而上的东西,须通过某种载体才能外化出来,于是就有了形形的文化现象。人类以社会实践活动为基础而形成的生活方式及其产品,无论是物质产品、精神产品,无论是法律条文、管理制度,无论是交往礼仪、风俗习惯,无论是自然科学、社会科学,都是文化的不同表现形态。当我们说文化具有阶级性、时代性、民族性等差别时就是因为其背后的价值观这一质的规定性不同。“审计文化”概念当属第三层面,是文化大系统的一个子系统,是文化大海洋的一掬小浪花。审计文化属于一种职业文化,它是审计组织及其人员在履行法定职责、实施经济监督行为时所恪守的理念、所追求的价值、所遵循的规范、所体现的风骨、所展示的形象。

二、审计文化建设必须了解审计文化的个性特质

审计价值观,据我们理解,其最主要的个性特质应为:独立、依法、公正、进取、奉献,构成了鲜明的审计精神或曰审计理念。这种审计精神,一方面规定了审计存在的合理性,保证着审计的发展方向;一方面使审计与纪检、监察、工商、税务、财政、统计等不同文化系统明确区分开来。有着特定内涵的审计精神,来源于审计工作实践,又在实践中不断发展和完善,在其形成过程中,既吸收了中国传统审计文化中的精华,又借鉴了外国审计文化中有价值的成分,因而是具有中国特色的有时代特征的先进文化。

――独立。只有当经济发展到一定程度,所有权与经营权相分离,从而产生了经济责任时,以监督、鉴证为使命,独立于双方的审计才应运而生,因而,独立是审计文化最本质的特征。审计的独立性主要表现在四个方面:一是组织上的独立性;二是人员上的独立性;三是工作上的独立性;四是经费上的独立性。

――依法。作为专司经济监督的部门机构,依法审计是审计机关最基本的行为规范,因而也是审计文化最亮丽的特色之一。依法审计是依法行政在审计监督活动中的具体体现。这里的“依法”是从两个向度上而言的:一个向度指向审计客体,即被审计单位及其经济活动。审计机关必须依据法律、法规规定的职责、权限,履行监督职能,定期或不定期地检查被审计单位的会计账目,对照法律法规判断其是否真实、合法,是否有效益,评价其经济责任,处理处罚其违纪违规行为,做到有法必依、执法必严、违法必究。

――公正。设立审计机关,实行审计监督,是国家追求社会公平和效率的一种制度设计,而实现这一目标,则有赖于审计人员的公正执法。公正,无疑应是审计工作者履行职责时基本的价值取向。法律是保护绝大多数人利益的,因而公正的第一个含义应是严格依法办事。凡是有法可依的,审计人员在搜集审计证据,评价审计事项,处理、处罚违规行为过程中,必须以事实为根据,以法律为准绳,不能徇情枉法,更不能。惟有如此,才能真正收到保护改革者、帮助失误者、打击犯罪者的效果。

――进取。审计文化具有开拓进取的品格,具有自我完善的能力,这是特定的历史条件所决定的。从主观方面讲,我国社会主义审计制度创立时间尚短,正处于发展完善过程之中,审计的体制、审计的法制、审计的内容、审计的手段等必将随着时间的推移而不断调整和改进。从客观方面讲,我国经济和社会同样处在改革发展进程中,将不断产生对审计新的需求,客观上要求审计必须适应新的形势需要,承担新使命,扮演新角色。如领导干部经济责任审计、经济效益审计、计算机审计等,都是在历史进程中出现的新课题,如果不能与时俱进,审计将无法在时代舞台上找到自己的位置。另外,文化是与自由联系在一起的,审计人员只有不断开拓进取,努力学习,提高自身的政治业务素质,逐步认识并掌握审计工作规律,才能实现从审计的必然王国向自由王国的飞跃。可以说,审计文化就是审计人员手中从必然走向自由的火炬。

――奉献。奉献是与廉洁联系在一起的,其完整的含义应是廉洁奉公,无私奉献。一般说来,各行各业都需要奉献精神,但在审计文化系统中,奉献占有特别重要的地位,可以说,它是整个审计价值体系的道德基础。如果审计人员不能廉洁从审,就会在物欲横流中丧失自我,审计的独立性将无从谈起;如果审计人员缺乏奉献精神,就会在名缰利锁中不能自拔,依法审计、客观公正就成了一句空话。因此说,廉政是审计工作的生命线,是审计工作有效运行的必要保证。审计价值观的内核当然不止这些,我们的枚举和描述也难尽周延,但以上所述,当是审计文化的精髓所在。

三、我国当前审计文化的建设的具体构想

文化研究中的功能学派认为,文化在其最初时,以及伴随其在整个进化过程中所起的根本作用,首先在于满足人类最基本的需要。这种需要主要有两种:一种是生物性需要;一种是社会调适。美国心理学家马斯洛认为人的需要是分层次的,由低到高分别是生理需要、安全需要、归属需要、尊重需要和自我实现的需要。“当人的生理需要得到基本满足后,其他更高一级的需要就出现了,而后者是起着主导作用的。”这些论述,对于今天审计文化建设具有重要的启示意义。审计文化是社会主义先进文化的重要组成部分。因而,加强社会主义审计文化建设,满足整个社会日益增长的文化需要,是实践“三个代表”重要思想的有效途径。而实现这一目标,须坚持两个原则:一是审计文化建设要有利于审计组织目标的实现;二是审计文化建设要有有利于审计人员的全面发展。基于此,我们认为在审计文化建设中应做到以下几点:

1.文明审计是审计文化建设的核心

大力弘扬依法审计、执法为民、文明审计的核心价值理念,倡导以爱岗敬业、公正执法、规范执法、廉洁奉公为基本内容的审计人员职业道德规范,既要维护审计的严肃性,又不以监督者自居,要懂得尊重他人,杜绝以权压人、不依法办事、不按程序办事等不文明行为。使全体审计干部明确价值取向,提高精神境界,增强综合素质,把个人的价值实现与审计事业发展紧密结合起来。要以对党和国家忠诚、对人民负责、对事业追求的崇高境界,以文明、科学、守信、创新、一丝不苟、兢兢业业、精益求精的精神状态,体现出一种良好的文明素质。

2.审计制度文化建设要注重实效

审计制度体系是为保证审计组织目标的实现而设立的,审计组织目标不是一成不变的,而是随着社会需要的不断变化而随时做出调整,因此,审计制度文化建设也不是一劳永逸的。适时出台新的制度规定,定期对现有制度进行清理修订,以保证制度的先进性,才能有效适应外部环境要求和内部情况的变化。制度建设方面,一是要注意覆盖面,使各个岗位、各个环节都有规可依、有章可循;二是制度之间要相互衔接,不能彼此矛盾,让人无所适从;三是狠抓落实,注重实效。现在有些地方不是缺少制度,而是重制定,轻落实,满足于把制度印在纸上,贴在墙上或发到手中,但究竟执行得怎样,却没有保证措施,制度成了某种应景的东西,没有发挥应有的作用。要杜绝此类现象,真正把制度落到实处,我们认为,应从以下方面入手:(1)领导带头。领导干部率先垂范,会产生巨大的带动效应。(2)典型引路。树立遵守制度的模范,发挥榜样的无穷威力。(3)专职督查。设立专门机构或人员对制度执行情况及时进行督导检查,并将有关情况公之于众。(4)奖罚机制。通过奖优罚劣,发挥激励和约束两个机制,从而形成一种强有力的导向。

3.营造浓厚的审计文化氛围,既培养道德情操

注重思想政治教育和职业道德教育,使审计文化具备更深厚的底蕴。恩格斯在《〈自然辩证法〉导言》中指出,人要彻底摆脱动物界,成为真正意义上的人,必须经过“两次提升”。一次是通过一般生产,在物种关系方面把人从其余的动物中提升出来;另一次是通过一种能够有计划地生产和分配的自觉的社会生产组织的建立,在社会关系方面把人从其余的动物中提升出来。因此,审计行为文化建设要以人为本,以促进人的全面发展为依归。行为文化建设具有潜移默化的特点,是一个长期濡化、养成的过程。最近,审计长在一次审计干部培训班会议上说,搞审计是要得罪人的,从个人利益上看是要吃亏的,但是,为了党和国家、人民的利益,在审计岗位上就必须遵守职业道德,要耐得住寂寞,要严格要求自己,只有这样才能有利于党和国家的事业,才能赢得老百姓的拥护和称赞。审计文化建设要与思想政治工作结合起来,并不断加以推进。审计文化建设要为思想政治工作提供好的平台和载体,使思想政治工作更好的与审计工作相结合,渗透到审计工作的各个环节;思想政治工作为审计文化建设提供导向,使审计文化的内涵更加丰富,影响更加深远。思想教育和职业道德教育与审计工作相互作用、相互影响,为营造良好的审计文化氛围提供保障。

参考文献:

[1]胡中艾:审计学[M].大连:东北财经大学出版社,2006

第4篇:审计最基本的特征范文

关键词:建设工程项目 风险管理 审计

开展建设工程项目风险管理审计既是落实国资委关于“中央企业开展全面风险管理指引”精神的需要,也是建设工程项目安全运行的内在要求,其意义无疑是十分重大的。但建设工程项目风险管理审计是一个全新的审计课题,涉及了多个学科领域的内容,在广泛意义上,风险无处不在,但如果把建设工程项目风险管理审计搞成一个包罗万象的工作,或者演变成其它的专项审计,就失去了它本来的意义。在目前状况下,开展该项审计的一个十分重要的工作就是要理顺审计头绪,明确审计的内容和程序,因为这个问题不搞清楚,建设工程项目风险管理审计难免会荒腔走板,或者主次颠倒。

一、建设工程项目风险管理审计的内容与对象

(一)关于审计内容

建设工程项目包括了从规划、立项、设计、招投标、合同、施工、物资采购,以及竣工验收等一系列重要过程,是否每一个过程的风险问题都纳入审计的内容,或者说都作为重点审计内容,这要对项目本身情况、工程项目各个阶段的风险特征,以及风险管理审计的内在要求等方面进行认真的分析。首先,就广泛意义而言,工程项目的规划、立项这二个阶段的风险无疑是工程项目最大的风险之一,但是,这些风险不但受更高层次的发展规划和投资战略决策的约束,而且受国家宏观经济政策的制约,项目规划和立项的风险是经济发展过程中所必须面临的风险,它不由项目本身的建设或施工过程来决定,因此规划和立项本身不构成建设工程项目风险管理内部审计的内容,而是构成审计过程中需要关注的影响因子。其次,项目设计阶段对工程项目产生的主要风险是项目的设计标准问题,它影到项目的防灾抗灾能力和投资收益能力,而设计标准又主要受项目规划(地方经济发展有联系)和立项的约束,因此,项目设计标准也不构成项目风险管理审计的主要内容,但是否按标准进行设计是审计关心的主要问题。另外,项目设计在整个建设施工过程中具有较强的动态特征,所以涉及到项目设计变更和设计过程中的不确定性是审计的重要内容。

根据前面的分析,这里可以对建设工程项目风险作如下定义:它是指建设工程项目从设计、招投标、合同、物资采购、施工、竣工验收等这一系列过程中,由于未来的不确定性对项目的质量、工期、事故责任体系和防灾体系的安全目标的影响以及由此引起的法律责任。这个定义包含了下列几个要点:第一,有限时期;风险发生在项目从设计到竣工验收整个建设施工期间,它不包括项目规划、立项和交付使用这三个阶段。第二,包括了纯粹风险和机会风险;在大部份的文献中,把风险定义为损失的不确定性,排除了机会风险,这与国资委的关于风险的定义有很大出入。第三,强调的是不确定性;对于确定性的损失或收益,就不能再当成风险问题。第四,约束目标的有限性;一方面,每个工程项目从不同的视角出发会有不同的目标,另一方面,对于一个建设工程项目,风险无处不在,无时不在,上述定义将风险约束于建设工程项目的质量、工期、事故责任和防灾四个基本目标,尽管这四个目标之间会有一定的因果关系和交叉关系,但这样定义仍然是有意义的,它不仅反映了建设工程项目自身的特征,也使风险管理审计目标更趋明确。第五,重视法律责任所产生的风险问题;法律责任贯穿了整个工程项目的建设周期。

(二)关于审计对象

首先,要分清风险管理与风险管理审计的区别,也就是说审计的对象是风险还是风险的管理。由于审计本身就具有管理职能,如果不能准确区分风险管理与风险管理审计,难免会使工作重复低效乃至于d俎代疱。按照国资委在“中央企业全面风险管理指引”的第十条要求,具备条件的企业可建立风险管理三道防线,即各有关职能部门和业务单位为第一道防线;风险管理职能部门和董事会下设的风险管理委员会为第二道防线;内部审计部门和董事会下设的审计委员会为第三道防线。由此可以看出,风险管理是内部审计部门自身承担的工作之一。内部审计部门从事风险管理,区别在于内部审计是对风险管理的职能部门和业务单位所从事的风险管理工作进行监督和评价,或者说内部审计更强调的是,对这些职能部门和业务单位的风险管理工作中的不确定性进行管理,从这个意义上说,风险管理审计是风险管理的风险管理。因此,风险管理与风险管理审计是同一管理过程在不同层次上的反映。

其次,要注意建设工程项目风险管理审计与建设工程项目审计的区别。建设工程项目审计是对工程项目管理全过程经济活动的真实性、合法性和效益性进行监督、评价和审核;它强调的是真实性、合法性和效益性问题,关注的对象是项目建设过程的中各项经济活动。而建设工程项目风险管理审计强调的是管理活动的充分性、存在性和有效性问题,关注对象是各项经济活动不确定性的管理,以及管理的不确定性问题,它要回答两个问题:一是对项目的不确定性问题是否进行了管理、管理是否充分;二是该项管理自身存在的不确定性是否会导致管理无效。

根据前面的分析,可以作出如下定义:建设工程项目风险管理审计是对建设工程项目从设计到竣工验收整个过程中,以保障项目的质量安全、工期安全、事故责任安全和防灾能力安全为目标,对各种经济活动的不确定性问题管理的存在性、充分性,以及由于该管理活动的不确定性而产生的管理的有效性问题进行监督、评价和审核。

二、建设工程项目安全风险控制与内部审计目标

建设工程项目具有投资大、建设周期长、专业性强、风险影响面广等特点,涉及土建、安装、信息化与通讯、调试等子项目,对这类项目进行风险管理是一个十分复杂的系统工程,因此,对内部审计而言,要想通过审计及时并准确地发现风险管理中存在的问题,提出有价值的建议和意见,而在审计过程中又要避免将风险管理审计脱变为一般意义上的审计,这将对内部审计人员提出十分严峻的挑战,从这个意义上说,必须要明确二个问题:第一是项目风险管理的审计目标;第二是项目风险管理的审计框架。

安全是建设工程项目风险管理的中心目标,从风险管理的角度看,安全目标约束于下列三个子目标:一是由质量和工期引起的建设项目投资安全风险;二是由施工过程中引起的事故责任安全风险;三是由自然灾害引起的防灾安全风险。这里,各种政治、经济和社会因素导致的风险、立项和设计导致的风险并没有被包括在安全目标的约束条件中,这是因为,政治、经济和社会风险必然会通过质量和工期等途径的传导,从而引起投资安全风险;又如前面所述,立项与设计风险它本身不由项目建设施工过程来决定,因此这些风险因素如果被纳入到风险管理的安全目约束条件中,有可能使风险管理审计演变成包罗一切的审计,进而造成了什么都审,但什么都没有审好的情形。

受投资安全风险、事故责任安全风险和防灾安全风险约束的工程项目安全风险是建设工程项目风险管理的内在要求,这也是风险管理审计区别于建设工程项目其它审计的最基本的逻辑关系。因而,围绕安全这个中心目标,紧紧抓做项目建设过程中的风险和风险管理不确定性这两个基本内容,建设工程项目内部审计目标必然是:内部审计人员要围绕工程项目的投资安全、事故责任安全和防灾安全这个中心,通过对职能部门和业务单位风险管理活动的存在性、充分性和有效性进行监督、评价和审核,及时、准确地向企业管理当局报告有关信息,适时地对从设计到竣工验收全过程各个环节的风险管理措施和控制缺陷提出建设性的意见和改进措施,协助管理人员更有效地管理和控制各种风险,并帮助企业相关部门和单位有效地担当起责任。

三、建设工程项目风险管理内部审计框架

目前,对于建设工程项目风险管理,审计什么,如何审计等等,这些问题往往与项目的常规审计和风险管理职能交织在一起,如果不能很好的设计其审计框架,难免将使建设工程项目审计失去其本来的价值。因此,在设计其审计框架时要遵循下面的指导思想:

第一,建设工程项目风险管理审计要体现综合性管理审计的性质,既要反映L险管理的本质要求,还要突出建设工程项目的内在特征,同时还要突出重点,有所为,有所不为。

第二,要以便于审计人员实际操作为基本设计目标。

第三,要为企业建立全面风险管理体系提供导向服务。

从前面的定义分析中可以看出,建设工程项目风险管理审计包括二个最基本的要求,一是对职能部门和各业务单位的风险管理活动的存在性、充分性进行监督、评价和审核,它主要考察这些部门和单位对待风险的态度;二是职能部门和业务单位的管理活动本身也具有不确定性,这种不确定性可能会导致一个构建良好的风险管理体系失效,必须对风险管理活动自身的风险进行监督、评价和审核,它主要考察这些部门和单位管理风险的能力。

通过对相关文献的研究和前面提出的三个指导思想,本文将审计框架设计成由目标、项目流程和风险管理构成的一个三维结构模型,每一个维度由若干个审计元素构成:

目标维(Z轴)是一组由四个审计元素构成的集合:

{质量安全,工期安全,事故责任安全,防灾安全};

项目维(Y轴)是由建设施工流程的六个审计元素构成的集合:

{设计,招投标,合同,施工,物资采购,竣工验收};

风险管理维(X轴)是由风险管理的七个审计元素构成的集合:

{环境,风险识别,风险评估,风险处置,信息沟通,内部控制,监督改进};

从上面的结构模型可以看出,各个审计元素在空间坐标系中构成了一个复杂的审计网络,网络中的每一个结点都构成了一个审计对象,为了便于实际运用,将三维结构模型划分为审计模块、审计单元和审计点三个层次:

审计模块。目标维中的四个审计元素(安全子目标)构成了四个审计模块:质量安全模块,工期安全模块,事故责任安全模块,防灾安全模块。

审计单元。审计单元是审计模块的基本构成单位,它是项目维和风险管理维中两两元素构成的一个集合。这样,每一审计模块下面都有6×7=42个审计单元,全部四个审计模块共包括了4×42=168个审计单元。如{招投标,风险评估}、{物资采购,风险评估}就是各个审计模块其中的二个审计单元。

审计点。项目维和风险管理维中的各个审计元素,都可以再分解为若干个作业点和控制点,它们的两两组合就是审计点,如在{招投标,风险评估}这个单元中,招投标又是由标底、开标、评标、定标等一系列作业点组成;而风险评估也是可能是由形成多个控制点,如专家评估、业务部门评估及审计评估等,作业点与控制点两两对应就构成了一系列审计点。审计点是审计框架的最小单位和审计模块(单元)的基本单位。

项目风险管理审计框架的价值在于,首先,它从项目安全的角度明晰了审计目标;其次,它通过对建设周期和风险约束状态的分析,为项目风险管理审计界定了明确的审计范围;第三,它从建设项目的三个维度出发,把项目风险管理审计划分为三个清晰的层次,为审计人员厘清审计思路、找准审计要点提供了可供依据的审计路径;最后,这一框架为风险管理职能部门和业务单位绘制了一张全面的风险控制图,使风险管理人员在最大程度上避免不必要的重大疏忽和遗漏。

四、工程项目风险管理审计的思路与路径

前面构建的项目风险管理审计框架由4大审计模块、168个审计单元、以及成千上万个审计点构成,要对每个审计单元和每个审计点都进行审计既无可能,也无必要,特别是像大型基础设施如电网建设这种类型的工程项目通常集成了多个不同专业的子项目,通常会包括土建工程、安装工程、信息工程、调试等子项目,使电网建设工程项目风险管理审计工作更趋复杂。同时必须看到,项目风险管理审计具有综合性审计的性质,但它不是全能审计,项目风险管理审计应当遵循它内在的要求和逻辑关系。因此,如何运用审计框架,提高审计效率是个必须要解决好的问题,这需要在框架的基础上设计审计的思路和路径:

首先,根据审计的时间点来决定项目风险审计框架的运用,并编制审计方案。由于建设工程项目的建设周期长,在不同时间段上的风险形式与特c具有较大的差异。事前审计、事中审计和事后审计要根据不同阶段的风险状况,对框架中的审计模块、单元及审计点进行筛选,抓做主要矛盾并在审计方案上要区别开来。

其次,要对项目风险进行预估。风险预估考验审计人员的专业判断能力,风险管理审计的专业判断需要根据风险管理审计的重要性问题,依照风险管理原则、方法,按风险管理目标的要求,运用专业方法对机构风险的范围、识别、评析、管理和处理方法等方面进行查证与鉴别,对风险管理及处理方法的合理性和有效性作出评价,捕捉风险征兆。缺乏风险预估的情况下筛选审计框架中的内容可能会导致重大审计风险的出现。在风险预估之前,审计人员要做好知识和信息二个准备,知识准备包括审计专业知识和工程专业知识,信息准备包括各种历史档案和前期审计调查内容等。

第三,要对风险进行分级分类处理。在风险预估后紧接着要根据风险管理的目标和要求对风险进行分级分类,风险分级可用风险发生的频率和危害程度为主要指标,将风险分为若干个等级;风险分类比较复杂一些,选取的指标不同,分类的差异很大,一般可按风险处置方式分类,如分为自留风险,规避风险、转移风险等;也可以项目的分部工程或单位工程把风险分为土建工程风险、安装工程风险、信息工程风险等。风险分类指标的选取无一定之规,但要紧扣目标。

风险进行分级分类的重要作用之一是在控制审计风险的同时,能够将审计框架中的审计数目最大程度地缩减下来。

第四,在运用项目风险管理审计框架时,可采取“自上而下”或“自下而上”的审计路径进行,所谓“自上而下”的审计路径,是指根据风险预估和分级分类后,先确定主要的审计模块,然后向下进一步确定审计单元和审计点;反之就是“自下而上”的审计路径。两种不同的审计路径反映了两种不同的审计思想,前者重视不同风险的相互作用,审计思想重在“面”上的控制,后者则关注重大的和关键的风险点,审计思想重在“点”上的控制。

最后,撰写审计报告要围绕项目安全这个中心,从风险管理职能部门和业务单位对待风险的态度和管理风险的能力这两个方面开展监督和评价,实际上,风险管理的存在性和充分性反映的是一个态度问题,而有效性反映了能力问题。

五、风险处置的审计

风险处置是风险管理流程其中的一个重要环节,由于我国开展风险管理的时间不长,企业在开展风险管理时更多的注意内部控制问题,或者把风险管理等同于内部控制,因此内部审计的重心往往也在内部控制方面,虽然出现这种情况可以追溯到相当多的合理成份,但如果不重视风险处置环节的审计,则风险管理审计与其它的常规审计就会出现趋同现象,浪费了审计资源,从这个意义上说,风险处置的审计是风险管理审计的主要内容。国资委的《中央企业全面风险管理指引》第二十六条,具体提出了风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等七个措施。这里将建设工程项目风险处置措施归为风险规避、风险自留和工程保险三个类型,内部审计人员要对这三种类型要作出如下评价:

第一,对采取某类风险处置措施的依据作出评价;

第二,对采用某类风险处置措施的具体方式作出评价;

第三、对采用某类风险处置措施的影响作出评价。

由于信息不对称,保险公司在承保工程项目风险的意愿受到很大的制约,可能会造成保险合同不公平现象,在可能的情况下,由保险经纪公司承揽工程保险中介服务的情况会成为常态,因此,将保险经纪服务也要纳入审计的范围。另一方面,风险管理的内部审计报告能很好地起到信息沟通作用,也为保险人和被保险对象之间搭建相对公平的平台。

上面关于建设工程项目风险管理审计是从它的一般属性上展开论述的,具体到不同的项目,其风险点的重要性排列会有差别,风险管理的目标也不尽相同,因此在审计的程序和方法上要有所区别,但其基本的审计框架是可以相互套用的,有一点需要注意的是,对某些工程项目,如电力工程项目、水利工程项目等,一旦出现风险事件发生,则有可能就是社会风险事件,理所当然地要提高风险管理目标的约束条件,在项目风险管理审计框架中的目标模块就要有相应的调整。

在审计实践中,往往遇到的情况是十分复杂的,在一个项目的风险管理审计前,对各种可能的情况事先作出估计,同时制订周密完整的审计方案和计划是审计工作成功的重要保证。

参考文献:

[1]国资委“中央企业全面风险管理指引”,2006年发

[2]美国coso制定.企业风险管理――整合框架[M].东北财经大学出版社,2005

[3]卓继民.现代企业风险管理审计[M].中国时代经济出版社,2005

[4]谭丽丽.固定资产投资控制与内部审计[M].中国计划出版社,2002

[5]蔡春,赵莎.现代风险导向审计论[M]中国时代经济出版社,2006

第5篇:审计最基本的特征范文

关键词:基层医疗卫生机构;会计制度;会计信息

中图分类号:F230文献标志码:A文章编号:1673-291X(2014)16-0172-02

《基层医疗卫生机构会计制度》(财会[2010]26号),由中华人民共和国财政部颁布,并于2011年7月1日起在全国基层医疗卫生机构正式实施。该制度顺应了中国社会主义市场经济的发展及医疗卫生体制改革和深化的需要,对于提高基层医疗卫生机构的会计核算质量和经营管理水平,增强基层医疗卫生机构会计信息的真实性、准确性、及时性和可靠性,促进中国基层医疗卫生机构的有序、健康、和谐发展等方面具有重要的现实意义。

一、颁布独立的《基层医疗卫生机构会计制度》的必要性

《基层医疗卫生机构会计制度》颁布前,中国基层医疗卫生机构会计核算执行的是与公立医院相同的《医院会计制度》(财会字[1998]58号,以下简称“原制度”)。原制度在基层医疗卫生机构施行以来,在规范会计行为,保证会计信息的真实、完整,提高会计信息质量等方面发挥了积极作用。根据国家最新的医改方案,今后基本医疗和公共卫生服务将作为公共产品来提供,《基层医疗卫生机构会计制度》是以基层医疗卫生体制改革政策和方案为依据,并结合基层医疗卫生机构的现实状况,本着“突出基层医疗公益性、体现多渠道补偿机制、适应转变运行机制、强化财政资金预算管理、简化会计核算体系”的基本思路予以制定。因此,在实施基层医疗卫生体制改革后,基层医疗卫生机构与公立医院将产生显著差异:一是成本补偿机制差异。基层医疗卫生机构以财政安排的基本公共卫生服务经费作为成本补偿的主要来源,而公立医院一般是自收自支,没有类似的成本补偿机制或者财政资金所占比例较低。二是预算管理模式差异。由于基层医疗卫生机构以财政资金作为成本补偿的主要来源,加强预算管理、执行全面反映财政预算资金执行效率和效果的预算会计是其会计核算的主要目标,而公立医院的财政资金比例较低,相对于基层医疗卫生机构来说,更应该加强财务会计核算管理。三是业务活动内容差异。相对于医院的综合性医疗服务活动来说,基层医疗卫生机构的业务活动较为简单,主要包括基本医疗和公共卫生服务两块业务,在成本核算、财务分析等方面,对基层医疗卫生机构的要求明显低于公立医院。四是内部会计机构差异。由于基层医疗卫生机构普遍规模较小,业务单一,会计机构设置简单,会计人员数量少,知识及能力结构有别于公立医院,核算能力较为薄弱,需要简化可行的会计制度。

鉴于上述差异,原制度已经无法满足基层医疗卫生机构改革后有关收支核算、加强预算管理和简化会计核算等方面的客观要求;为此,财政部印发了《基层医疗卫生机构会计制度》。

二、《基层医疗卫生机构会计制度》的适用范围

《基层医疗卫生机构会计制度》具有通俗易懂、核算简便、易于掌握等显著特点,它不仅考虑了简化核算的需要和基层医疗卫生机构的实际情况,而且也考虑到各地基层医疗卫生机构财务管理和会计核算水平的差异,同时也遵循了一般会计核算的原则,它适用于中华人民共和国境内由政府举办的独立核算的城市社区卫生服务中心(站)、乡镇卫生院等基层医疗卫生机构。企业事业单位、社会团体及其他社会组织举办的非营利性基层医疗卫生机构参照执行。

三、《基层医疗卫生机构会计制度》所体现出来的基本特征

1.公益性。公益性是指基本医疗和公共卫生服务的普遍可及性和普遍可负担性。所谓普遍可及性,指的是城乡居民能够很方便地看病就诊,即解决“看病难”的问题;所谓普遍可负担性,指的是城乡居民能够以可承受的价格看病,也就是解决“看病贵”的问题。

2.非营利性。非营利性是指基层医疗卫生服务机构是为社会公众利益服务而设立运营的,不以营利为目的,其收支、结余不能用于投资者回报,也不能为其职工变相分配,所有利润和盈余只能投入到机构的再发展中,用于购买设备、引进技术、开展新的服务项目或向公众提供低成本的医疗卫生服务。

3.财政性。财政性是指基层医疗卫生服务机构以财政资金作为成本补偿的主要来源,与国家财政在资金领拨、政策法规及预算管理等方面存在着非常紧密的联系。

4.专用性。专用性是指基层医疗卫生服务机构的资金具有特定的来源,必须按照指定的用途和列支范围使用,不得挪作他用,这一特征有利于保证基层医疗卫生服务机构经营活动的持续健康发展。

四、《基层医疗卫生机构会计制度》建设必须要遵循的原则

1.《基层医疗卫生机构会计制度》仍要遵循会计核算的一般原则。会计核算的一般原则是进行会计核算的指导思想和衡量会计工作成败的标准。会计核算的一般原则有十三条:即客观性原则、实质重于形式原则、相关性原则、一贯性原则、可比性原则、及时性原则、明晰性原则、权责发生制原则、配比原则、历史成本原则、划分收益性支出与资本性支出的原则、谨慎性原则、重要性原则,这十三条原则可以简单归纳为三类:一类是衡量会计质量的一般原则,一类是确认和计量的一般原则,一类是起修正作用的一般原则。这些会计核算的一般原则是中国会计核算工作应遵循的最基本的原则性规范,是对中国会计核算工作的基本要求,因此,《基层医疗卫生机构会计制度》的建设仍要遵循以上会计核算的一般原则。

2.《基层医疗卫生机构会计制度》应在兼顾核算全面完整和简便易用的基础上尽可能简化会计核算体系。由于基层医疗卫生机构经营规模小,财务人员数量少,财务机构设置和经济业务都较为简单,再加上国家取消了药品加成的相关政策规定进而全面实施国家基本药物“零差率”销售制度,所以《基层医疗卫生机构会计制度》应本着成本效益的原则,在会计科目的设置、会计核算的流程、财务报告的设计和编制等方面尽可能简化。

五、《基层医疗卫生机构会计制度》实施效果分析

1.《基层医疗卫生机构会计制度》的实施,有效地促进了中国基层医疗卫生机构的健康和可持续发展,提高了会计和审计工作的可操作性。基层医疗卫生机构是中国经济社会发展的重要主体。贯彻落实科学发展观,提高医疗安全质量,实现健康、可持续发展,是中国一贯坚持的指导方针。《基层医疗卫生机构会计制度》的制定、颁布与实施,始终贯彻了这一重要原则。新颁布的《基层医疗卫生机构会计制度》相对来说比较全面和完善,明确地规范了收入、支出等的种类和范围。

2.《基层医疗卫生机构会计制度》的实施,统一了财务报告的格式、编制内容和编制要求,提升了基层医疗卫生机构会计信息的质量。财务报告是反映基层医疗卫生机构某一特定日期的财务状况和某一会计期间的收支等情况的书面文件。它所反映出来的会计信息是决策者进行决策的重要依据之一,因此,会计信息最基本的质量特征就是决策的有用性,会计信息的质量直接关系到决策者的决策及后果,会计信息的真实性和可靠性是保证信息使用者作出正确决策的基本前提和条件。基层医疗卫生机构财务报告中的数据均以《基层医疗卫生机构会计制度》的规范执行为前提,对外提供的财务报告应由单位负责人和主管会计工作的负责人、会计机构负责人(会计主管人员)签名并盖章,并对财务报告的真实性和完整性负责;此外,《基层医疗卫生机构会计制度》中所规定的财务报告体系:一方面要求反映基层医疗卫生机构全面真实的经营状况,强调了对财务指标与财务信息的运用,增强了会计信息的可比性,有利于基层医疗卫生机构管理者做到心中有数,做好内部管理和内部控制;另一方面也有利于加强外部监督,如审计监督、行政监督、舆论监督和社会监督等。

3.《基层医疗卫生机构会计制度》的实施,对中国基层医疗卫生机构会计人员的综合技能提出了新的要求,促使了会计人员职业道德和专业技术素质的全面提升。中国基层医疗卫生机构传统的会计人员在会计核算当中所扮演的角色,充其量只不过是一个简单地进行经济业务活动的确认、计量和报告的执行者,对参与单位的经营管理方面是极其被动的,其只要按照会计法规、准则、制度和管理者的要求,把单位的一套账、一套报表做出来即可,而对于医疗卫生支出的控制、财务预算的编制、投资决策的分析等都与会计人员无关,而创造新的有利于单位经营管理的会计方法和技术更是与财务人员无关,然而《基层医疗卫生机构会计制度》中的会计已经超越了传统会计核算的范畴,将会计的职能扩展延伸到会计的预测、评价、分析、决策、会计的管理与控制上。

4.《基层医疗卫生机构会计制度》的实施,提高了基层医疗卫生机构负责人的守法意识和会计水平。《基层医疗卫生机构会计制度》实施之前,基层医疗卫生机构负责人往往想当然的认为会计上面的事情自己说了算,因此授意、指使、强令会计机构、会计人员及其他人员按照他的意愿办理业务的现象比比皆是,审计一旦出了问题则以自己不懂会计为理由一推了之,减轻和逃避自己的责任。如今《基层医疗卫生机构会计制度》的颁布实施促使了基层医疗卫生机构负责人的遵纪守法意识,使其更加注重合法、合规经营和管理,也更加懂得了对自己负责、对单位负责和对法律负责。

《基层医疗卫生机构会计制度》的颁布实施对中国的基层医疗卫生机构有着极为重大而深远的意义,它丰富和完善了中国的会计制度体系,有效地规范了基层医疗卫生机构的会计行为,促进了基层医疗卫生机构的快速健康发展。但是它本身还不完善,在具体实施的过程中还存在诸多问题,这就需要中国加快对其进行研究和修订完善的步伐。基层广大会计工作者也要发挥自身的积极作用,对《基层医疗卫生机构会计制度》的建设做出自己力所能及的贡献。

参考文献:

[1]中华人民共和国财政部.基层医疗卫生机构会计制度[Z].财会[2010]26号,2010-12-29.

[2]中华人民共和国财政部、卫生部.医院会计制度[Z].财会字[1998]58号,1998-11-17.

[3]中华人民共和国财政部.企业会计准则――基本准则[Z].财政部令第33号,2006-02-15.

第6篇:审计最基本的特征范文

论文摘要:要保护好自己的网络不受攻击,就必须对攻击方法、攻击原理、攻击过程有深入的、详细的了解,只有这样才能更有效、更具有针对性的进行主动防护。下面就对攻击方法的特征进行分析,来研究如何对攻击行为进行检测与防御。

反攻击技术的核心问题是如何截获所有的网络信息。目前主要是通过两种途径来获取信息,一种是通过网络侦听的途径来获取所有的网络信息,这既是进行攻击的必然途径,也是进行反攻击的必要途径;另一种是通过对操作系统和应用程序的系统日志进行分析,来发现入侵行为和系统潜在的安全漏洞。

一、攻击的主要方式

对网络的攻击方式是多种多样的,一般来讲,攻击总是利用“系统配置的缺陷”,“操作系统的安全漏洞”或“通信协议的安全漏洞”来进行的。到目前为止,已经发现的攻击方式超过2000种,其中对绝大部分攻击手段已经有相应的解决方法,这些攻击大概可以划分为以下几类:

(一)拒绝服务攻击:一般情况下,拒绝服务攻击是通过使被攻击对象(通常是工作站或重要服务器)的系统关键资源过载,从而使被攻击对象停止部分或全部服务。目前已知的拒绝服务攻击就有几百种,它是最基本的入侵攻击手段,也是最难对付的入侵攻击之一,典型示例有SYN Flood攻击、Ping Flood攻击、Land攻击、WinNuke攻击等。

(二)非授权访问尝试:是攻击者对被保护文件进行读、写或执行的尝试,也包括为获得被保护访问权限所做的尝试。

(三)预探测攻击:在连续的非授权访问尝试过程中,攻击者为了获得网络内部的信息及网络周围的信息,通常使用这种攻击尝试,典型示例包括SATAN扫描、端口扫描和IP半途扫描等。

(四)可疑活动:是通常定义的“标准”网络通信范畴之外的活动,也可以指网络上不希望有的活动,如IP Unknown Protocol和Duplicate IP Address事件等。

(五)协议解码:协议解码可用于以上任何一种非期望的方法中,网络或安全管理员需要进行解码工作,并获得相应的结果,解码后的协议信息可能表明期望的活动,如FTU User和Portmapper Proxy等解码方式。

二、攻击行为的特征分析与反攻击技术

入侵检测的最基本手段是采用模式匹配的方法来发现入侵攻击行为,要有效的进反攻击首先必须了解入侵的原理和工作机理,只有这样才能做到知己知彼,从而有效的防止入侵攻击行为的发生。下面我们针对几种典型的入侵攻击进行分析,并提出相应的对策。

(一)Land攻击

攻击类型:Land攻击是一种拒绝服务攻击。

攻击特征:用于Land攻击的数据包中的源地址和目标地址是相同的,因为当操作系统接收到这类数据包时,不知道该如何处理堆栈中通信源地址和目的地址相同的这种情况,或者循环发送和接收该数据包,消耗大量的系统资源,从而有可能造成系统崩溃或死机等现象。

检测方法:判断网络数据包的源地址和目标地址是否相同。

反攻击方法:适当配置防火墙设备或过滤路由器的过滤规则就可以防止这种攻击行为(一般是丢弃该数据包),并对这种攻击进行审计(记录事件发生的时间,源主机和目标主机的MAC地址和IP地址)。

(二)TCP SYN攻击

攻击类型:TCP SYN攻击是一种拒绝服务攻击。

攻击特征:它是利用TCP客户机与服务器之间三次握手过程的缺陷来进行的。攻击者通过伪造源IP地址向被攻击者发送大量的SYN数据包,当被攻击主机接收到大量的SYN数据包时,需要使用大量的缓存来处理这些连接,并将SYN ACK数据包发送回错误的IP地址,并一直等待ACK数据包的回应,最终导致缓存用完,不能再处理其它合法的SYN连接,即不能对外提供正常服务。

检测方法:检查单位时间内收到的SYN连接否收超过系统设定的值。

反攻击方法:当接收到大量的SYN数据包时,通知防火墙阻断连接请求或丢弃这些数据包,并进行系统审计。

(三)TCP/UDP端口扫描

攻击类型:TCP/UDP端口扫描是一种预探测攻击。

攻击特征:对被攻击主机的不同端口发送TCP或UDP连接请求,探测被攻击对象运行的服务类型。

检测方法:统计外界对系统端口的连接请求,特别是对21、23、25、53、80、8000、8080等以外的非常用端口的连接请求。

反攻击方法:当收到多个TCP/UDP数据包对异常端口的连接请求时,通知防火墙阻断连接请求,并对攻击者的IP地址和MAC地址进行审计。

对于某些较复杂的入侵攻击行为(如分布式攻击、组合攻击)不但需要采用模式匹配的方法,还需要利用状态转移、网络拓扑结构等方法来进行入侵检测。

三、入侵检测系统的几点思考

入侵检测系统存在一些亟待解决的问题,主要表现在以下几个方面:

(一)如何识别“大规模的组合式、分布式的入侵攻击”目前还没有较好的方法和成熟的解决方案。从Yahoo等著名ICP的攻击事件中,我们了解到安全问题日渐突出,攻击者的水平在不断地提高,加上日趋成熟多样的攻击工具,以及越来越复杂的攻击手法,使入侵检测系统必须不断跟踪最新的安全技术。

(二)网络入侵检测系统通过匹配网络数据包发现攻击行为,入侵检测系统往往假设攻击信息是明文传输的,因此对信息的改变或重新编码就可能骗过入侵检测系统的检测,因此字符串匹配的方法对于加密过的数据包就显得无能为力。

(三)网络设备越来越复杂、越来越多样化就要求入侵检测系统能有所定制,以适应更多的环境的要求。

(四)对入侵检测系统的评价还没有客观的标准,标准的不统一使得入侵检测系统之间不易互联。入侵检测系统是一项新兴技术,随着技术的发展和对新攻击识别的增加,入侵检测系统需要不断的升级才能保证网络的安全性。

(五)采用不恰当的自动反应同样会给入侵检测系统造成风险。入侵检测系统通常可以与防火墙结合在一起工作,当入侵检测系统发现攻击行为时,过滤掉所有来自攻击者的IP数据包,当一个攻击者假冒大量不同的IP进行模拟攻击时,入侵检测系统自动配置防火墙将这些实际上并没有进行任何攻击的地址都过滤掉,于是造成新的拒绝服务访问。

(六)对IDS自身的攻击。与其他系统一样,IDS本身也存在安全漏洞,若对IDS攻击成功,则导致报警失灵,入侵者在其后的行为将无法被记录,因此要求系统应该采取多种安全防护手段。

总之,入侵检测系统作为网络安全关键性测防系统,具有很多值得进一步深入研究的方面,有待于我们进一步完善,为今后的网络发展提供有效的安全手段。

第7篇:审计最基本的特征范文

关键词:网络攻击防御入侵检测系统

反攻击技术的核心问题是如何截获所有的网络信息。目前主要是通过两种途径来获取信息,一种是通过网络侦听的途径来获取所有的网络信息,这既是进行攻击的必然途径,也是进行反攻击的必要途径;另一种是通过对操作系统和应用程序的系统日志进行分析,来发现入侵行为和系统潜在的安全漏洞。

一、攻击的主要方式

对网络的攻击方式是多种多样的,一般来讲,攻击总是利用“系统配置的缺陷”,“操作系统的安全漏洞”或“通信协议的安全漏洞”来进行的。到目前为止,已经发现的攻击方式超过2000种,其中对绝大部分攻击手段已经有相应的解决方法,这些攻击大概可以划分为以下几类:

(一)拒绝服务攻击:一般情况下,拒绝服务攻击是通过使被攻击对象(通常是工作站或重要服务器)的系统关键资源过载,从而使被攻击对象停止部分或全部服务。目前已知的拒绝服务攻击就有几百种,它是最基本的入侵攻击手段,也是最难对付的入侵攻击之一,典型示例有SYNFlood攻击、PingFlood攻击、Land攻击、WinNuke攻击等。

(二)非授权访问尝试:是攻击者对被保护文件进行读、写或执行的尝试,也包括为获得被保护访问权限所做的尝试。

(三)预探测攻击:在连续的非授权访问尝试过程中,攻击者为了获得网络内部的信息及网络周围的信息,通常使用这种攻击尝试,典型示例包括SATAN扫描、端口扫描和IP半途扫描等。

(四)可疑活动:是通常定义的“标准”网络通信范畴之外的活动,也可以指网络上不希望有的活动,如IPUnknownProtocol和DuplicateIPAddress事件等。

(五)协议解码:协议解码可用于以上任何一种非期望的方法中,网络或安全管理员需要进行解码工作,并获得相应的结果,解码后的协议信息可能表明期望的活动,如FTUUser和PortmapperProxy等解码方式。

二、攻击行为的特征分析与反攻击技术

入侵检测的最基本手段是采用模式匹配的方法来发现入侵攻击行为,要有效的进反攻击首先必须了解入侵的原理和工作机理,只有这样才能做到知己知彼,从而有效的防止入侵攻击行为的发生。下面我们针对几种典型的入侵攻击进行分析,并提出相应的对策。

(一)Land攻击

攻击类型:Land攻击是一种拒绝服务攻击。

攻击特征:用于Land攻击的数据包中的源地址和目标地址是相同的,因为当操作系统接收到这类数据包时,不知道该如何处理堆栈中通信源地址和目的地址相同的这种情况,或者循环发送和接收该数据包,消耗大量的系统资源,从而有可能造成系统崩溃或死机等现象。

检测方法:判断网络数据包的源地址和目标地址是否相同。

反攻击方法:适当配置防火墙设备或过滤路由器的过滤规则就可以防止这种攻击行为(一般是丢弃该数据包),并对这种攻击进行审计(记录事件发生的时间,源主机和目标主机的MAC地址和IP地址)。

(二)TCPSYN攻击

攻击类型:TCPSYN攻击是一种拒绝服务攻击。

攻击特征:它是利用TCP客户机与服务器之间三次握手过程的缺陷来进行的。攻击者通过伪造源IP地址向被攻击者发送大量的SYN数据包,当被攻击主机接收到大量的SYN数据包时,需要使用大量的缓存来处理这些连接,并将SYNACK数据包发送回错误的IP地址,并一直等待ACK数据包的回应,最终导致缓存用完,不能再处理其它合法的SYN连接,即不能对外提供正常服务。

检测方法:检查单位时间内收到的SYN连接否收超过系统设定的值。

反攻击方法:当接收到大量的SYN数据包时,通知防火墙阻断连接请求或丢弃这些数据包,并进行系统审计。

(三)TCP/UDP端口扫描

攻击类型:TCP/UDP端口扫描是一种预探测攻击。

攻击特征:对被攻击主机的不同端口发送TCP或UDP连接请求,探测被攻击对象运行的服务类型。

检测方法:统计外界对系统端口的连接请求,特别是对21、23、25、53、80、8000、8080等以外的非常用端口的连接请求。

反攻击方法:当收到多个TCP/UDP数据包对异常端口的连接请求时,通知防火墙阻断连接请求,并对攻击者的IP地址和MAC地址进行审计。

对于某些较复杂的入侵攻击行为(如分布式攻击、组合攻击)不但需要采用模式匹配的方法,还需要利用状态转移、网络拓扑结构等方法来进行入侵检测。

三、入侵检测系统的几点思考

入侵检测系统存在一些亟待解决的问题,主要表现在以下几个方面:

(一)如何识别“大规模的组合式、分布式的入侵攻击”目前还没有较好的方法和成熟的解决方案。从Yahoo等著名ICP的攻击事件中,我们了解到安全问题日渐突出,攻击者的水平在不断地提高,加上日趋成熟多样的攻击工具,以及越来越复杂的攻击手法,使入侵检测系统必须不断跟踪最新的安全技术。

(二)网络入侵检测系统通过匹配网络数据包发现攻击行为,入侵检测系统往往假设攻击信息是明文传输的,因此对信息的改变或重新编码就可能骗过入侵检测系统的检测,因此字符串匹配的方法对于加密过的数据包就显得无能为力。

(三)网络设备越来越复杂、越来越多样化就要求入侵检测系统能有所定制,以适应更多的环境的要求。

(四)对入侵检测系统的评价还没有客观的标准,标准的不统一使得入侵检测系统之间不易互联。入侵检测系统是一项新兴技术,随着技术的发展和对新攻击识别的增加,入侵检测系统需要不断的升级才能保证网络的安全性。

(五)采用不恰当的自动反应同样会给入侵检测系统造成风险。入侵检测系统通常可以与防火墙结合在一起工作,当入侵检测系统发现攻击行为时,过滤掉所有来自攻击者的IP数据包,当一个攻击者假冒大量不同的IP进行模拟攻击时,入侵检测系统自动配置防火墙将这些实际上并没有进行任何攻击的地址都过滤掉,于是造成新的拒绝服务访问。

(六)对IDS自身的攻击。与其他系统一样,IDS本身也存在安全漏洞,若对IDS攻击成功,则导致报警失灵,入侵者在其后的行为将无法被记录,因此要求系统应该采取多种安全防护手段。

总之,入侵检测系统作为网络安全关键性测防系统,具有很多值得进一步深入研究的方面,有待于我们进一步完善,为今后的网络发展提供有效的安全手段。

第8篇:审计最基本的特征范文

一、攻击的主要方式

对网络的攻击方式是多种多样的,一般来讲,攻击总是利用“系统配置的缺陷”,“操作系统的安全漏洞”或“通信协议的安全漏洞”来进行的。到目前为止,已经发现的攻击方式超过2000种,其中对绝大部分攻击手段已经有相应的解决方法,这些攻击大概可以划分为以下几类:

(一)拒绝服务攻击:一般情况下,拒绝服务攻击是通过使被攻击对象(通常是工作站或重要服务器)的系统关键资源过载,从而使被攻击对象停止部分或全部服务。目前已知的拒绝服务攻击就有几百种,它是最基本的入侵攻击手段,也是最难对付的入侵攻击之一,典型示例有SYNFlood攻击、PingFlood攻击、Land攻击、WinNuke攻击等。

(二)非授权访问尝试:是攻击者对被保护文件进行读、写或执行的尝试,也包括为获得被保护访问权限所做的尝试。

(三)预探测攻击:在连续的非授权访问尝试过程中,攻击者为了获得网络内部的信息及网络周围的信息,通常使用这种攻击尝试,典型示例包括SATAN扫描、端口扫描和IP半途扫描等。

(四)可疑活动:是通常定义的“标准”网络通信范畴之外的活动,也可以指网络上不希望有的活动,如IPUnknownProtocol和DuplicateIPAddress事件等。

(五)协议解码:协议解码可用于以上任何一种非期望的方法中,网络或安全管理员需要进行解码工作,并获得相应的结果,解码后的协议信息可能表明期望的活动,如FTUUser和PortmapperProxy等解码方式。

二、攻击行为的特征分析与反攻击技术

入侵检测的最基本手段是采用模式匹配的方法来发现入侵攻击行为,要有效的进反攻击首先必须了解入侵的原理和工作机理,只有这样才能做到知己知彼,从而有效的防止入侵攻击行为的发生。下面我们针对几种典型的入侵攻击进行分析,并提出相应的对策。

(一)Land攻击

攻击类型:Land攻击是一种拒绝服务攻击。

攻击特征:用于Land攻击的数据包中的源地址和目标地址是相同的,因为当操作系统接收到这类数据包时,不知道该如何处理堆栈中通信源地址和目的地址相同的这种情况,或者循环发送和接收该数据包,消耗大量的系统资源,从而有可能造成系统崩溃或死机等现象。

检测方法:判断网络数据包的源地址和目标地址是否相同。

反攻击方法:适当配置防火墙设备或过滤路由器的过滤规则就可以防止这种攻击行为(一般是丢弃该数据包),并对这种攻击进行审计(记录事件发生的时间,源主机和目标主机的MAC地址和IP地址)。

(二)TCPSYN攻击

攻击类型:TCPSYN攻击是一种拒绝服务攻击。

攻击特征:它是利用TCP客户机与服务器之间三次握手过程的缺陷来进行的。攻击者通过伪造源IP地址向被攻击者发送大量的SYN数据包,当被攻击主机接收到大量的SYN数据包时,需要使用大量的缓存来处理这些连接,并将SYNACK数据包发送回错误的IP地址,并一直等待ACK数据包的回应,最终导致缓存用完,不能再处理其它合法的SYN连接,即不能对外提供正常服务。

检测方法:检查单位时间内收到的SYN连接否收超过系统设定的值。

反攻击方法:当接收到大量的SYN数据包时,通知防火墙阻断连接请求或丢弃这些数据包,并进行系统审计。

(三)TCP/UDP端口扫描

攻击类型:TCP/UDP端口扫描是一种预探测攻击。

攻击特征:对被攻击主机的不同端口发送TCP或UDP连接请求,探测被攻击对象运行的服务类型。

检测方法:统计外界对系统端口的连接请求,特别是对21、23、25、53、80、8000、8080等以外的非常用端口的连接请求。

反攻击方法:当收到多个TCP/UDP数据包对异常端口的连接请求时,通知防火墙阻断连接请求,并对攻击者的IP地址和MAC地址进行审计。

对于某些较复杂的入侵攻击行为(如分布式攻击、组合攻击)不但需要采用模式匹配的方法,还需要利用状态转移、网络拓扑结构等方法来进行入侵检测。

三、入侵检测系统的几点思考

入侵检测系统存在一些亟待解决的问题,主要表现在以下几个方面:

(一)如何识别“大规模的组合式、分布式的入侵攻击”目前还没有较好的方法和成熟的解决方案。从Yahoo等著名ICP的攻击事件中,我们了解到安全问题日渐突出,攻击者的水平在不断地提高,加上日趋成熟多样的攻击工具,以及越来越复杂的攻击手法,使入侵检测系统必须不断跟踪最新的安全技术。

(二)网络入侵检测系统通过匹配网络数据包发现攻击行为,入侵检测系统往往假设攻击信息是明文传输的,因此对信息的改变或重新编码就可能骗过入侵检测系统的检测,因此字符串匹配的方法对于加密过的数据包就显得无能为力。

(三)网络设备越来越复杂、越来越多样化就要求入侵检测系统能有所定制,以适应更多的环境的要求。

(四)对入侵检测系统的评价还没有客观的标准,标准的不统一使得入侵检测系统之间不易互联。入侵检测系统是一项新兴技术,随着技术的发展和对新攻击识别的增加,入侵检测系统需要不断的升级才能保证网络的安全性。

(五)采用不恰当的自动反应同样会给入侵检测系统造成风险。入侵检测系统通常可以与防火墙结合在一起工作,当入侵检测系统发现攻击行为时,过滤掉所有来自攻击者的IP数据包,当一个攻击者假冒大量不同的IP进行模拟攻击时,入侵检测系统自动配置防火墙将这些实际上并没有进行任何攻击的地址都过滤掉,于是造成新的拒绝服务访问。

第9篇:审计最基本的特征范文

【关键词】审计假设;审计假设涵义;审计假设内容

审计假设是审计理论体系的基石。但是现今审计假设问题的研究尚未取得足以形成基石的成果,进而影响了审计理论体系的建立,导致审计理论滞后于审计实践的发展。本文从研究分析对假设涵义的不同理解以及哪一种假设涵义更适用于解释审计假设的角度,揭示审计假设的涵义及其形成,以期对审计假设的形成和审计假设的构成以新的、更具说服力的解释。

一、对假设及审计假设的不同理解

对假设的不同理解主要有三种:

第一,假设即假说。人们在自然科学的研究中经常运用假说。

假说及其验证是自然科学发展所采取的一种形式。在自然科学的研究中,常常要先提出对客观事物本质或规律的假定说明,再通过试验验证假定说明是否成立。因为科学研究对象的本质和规律往往是内在的,不直接显露的,人们对研究对象本质与规律的认识必然是一个渐进的过程,这个过程概括地说,就是提出假说,验证假说,验证失败,再提出新的假说进行再验证的过程。假说是未知向已知过渡的中介和桥梁,而得以验证的假说则转化为理论学说。如天文学研究历史上哥白尼创立的“日心说”,当时是假说,甚至被认为是歪理邪说,经后来的研究证明是正确的,是真理,从而使人们正确认识了太阳系运行的规律。

第二,假设即公理或定理。这种假设的解释多借助于对数学公理或定理作用的理解。如几何公理:两条平行直线永远不相交。 如几何定理:三角形的三个内角和等于180度等。人们可以依据三角形内角和等于180度的定理,直接推算任何三角形的内角和。公理或定理的特点是人们不需再证明它,可直接作为推理的既定基础和依据。所以有时人们认为假设既然是用作推理基础的,当然也像公理或定理一样是不用证明的、直接的推理前提。

第三,假设是人们活动的基本前提。《辞海》(1989年版)对假设的解释是假使;假定。 杨时展教授(1985)将假设界定为人们进行工作的前提,假设决定着工作的方向、方法,决定着工作或不工作。假设变了,工作的方法、方向就得变。 根据这些解释,对假设涵义的第三种理解可以进一步表述为:人们在进行某种活动之前,对活动对象及与活动有关联的各种环境、条件状况的预设或者判断,这种预设和判断为人们即将实施的行动提供引导。

关于审计假设的涵义,几种代表性的观点如下:

李学柔、秦荣生(2002)认为,审计假设是认识和推理的基础,是未经证明就认为天经地义的判断。审计假设是演绎审计其他命题的出发点,是“天经地义”、“理所当然”,无需解释的。

刘力云(1993)认为,审计假设是人们以已有的事实和科学原理为依据,对未知的事物或规律性人为地进行推测和论断,具有推测的性质。审计假设由于对未知的某种现象或某种规律性只是猜想,尚未达到确切可靠的认识,因而有待于验证,不断修改、补充和更新,从而更正确地反映客观的现实。

刘华(2005)认为,审计假设是人们针对审计实践归纳总结出来的,审计工作的基本特征和前提。

美国注册会计师协会的审计假设定义为,基本假设来源于政治、经济环境和工商企业的思想习惯,虽然这些基本假定为数不多,但它们却是原则的依据。

人们对假设本身涵义有各种不同的理解,而在审计假设的研究中,许多学者都从各自对假设的理解出发,解释审计假设的涵义,并没有分析运用对假设的何种理解才能正确解释审计假设,导致对审计假设内涵和外延的界定众说纷纭、看法各异,尚未形成为审计学界广泛认可的、科学的审计假设定义。因此,要揭示审计假设的内涵,深入分析假设的哪种涵义更适于界定和解释审计假设尤为必要。

二、假设涵义的进一步分析

前述对假设的前两种理解都不适合用于解释审计假设的涵义。

首先,审计是一种实践活动而不是科学研究活动,不存在提出假说然后验证假说的过程。审计仅仅是采用一定的方法获取证明被审计单位会计信息是否真实、合规的证据,然后依据证据所反映的结果作出结论、发表审计意见。因此,用假说定义或解释审计假设是不恰当的。

其次,审计实践活动也不存在以假设为基础进行推理的过程。 所以,用公理或者定理解释审计假设也说不通。

上述对假设的第三种理解为:人们在进行某种实践活动之前,

对活动对象及与活动有关联的各种环境、条件状况的预设或者判断,这种预设和判断为人们即将实施的行动提供指导。审计是一种实践活动,所以这第三种理解应该最适合于解释审计假设。下面对这种理解作进一步的分析。

(一)人们总以一定假设为前提来决策或实施某种活动

人们的活动一般会受到一些基本因素的引导和制约。第一,行动的目标,即实施某种行动的目的;第二,行动的对象,即对谁、对什么实施行动;第三,行动的主体,即行为人自身的状况;第四,行动将面临的环境。 人们进行任何活动都为实现一定的目标,所以目标是既定的。在目标明确以后,如何采取行动,则要考虑另外三个基本因素,对这三个方面的基本因素状况进行假设,以这些假设作为引导行动的根据。

对行为环境的假设――如,早上上班,预计天可能会下雨,出门时决定带上雨具;对行为实施对象的假设――如,预计上班高峰期路上会堵车,决定提早在高峰期到来之前出门;再如,预期某种股票的价格会上涨,决定买入;预期黄金的市场价格可能会下跌,决定出手等。对自身能力的假设――如,早上下雪了,路比较滑,感觉自己的车技不行,而改坐公共汽车。再如,认为自己的专业知识、相关知识已经达到一定水平,决定报考研究生或者报考公务员;认为自己的能力比较强,准备竞争更高的职位等。反之,所谓 “没有金刚钻别揽瓷器活”,如果觉得自己不具备相应的能力会选择放弃。

(二)人们在实施某种行动之前为什么要进行假设

假设的对象首先是相对于人们主观意志的客观事物,而客观事物又往往呈现出不同的各种各样的状态,可能呈现A状态,也可能呈现B状态、C状态。在不同的时间和空间条件下,呈现的状态是不确定的。如,阴天,未来的天气会呈现两种不同的状态,下雨和不下雨,人们在外出时要在未来的这两种情况中作出选择,即要假设未来是下雨还是不下雨,然后决定行动。人们在实施行动前,往往必须在行动对象、行动环境的不确定性中作出选择,预期事物的发展会是其中的哪一种状态,然后以此为前提,采取相应的行动,以达到预期的目的。其次,人们在行动之前,有时还要对自身的状况进行假设,如前述的因考研究生、考公务员而对自身知识、能力水平的估计等。因为人们往往对自己的“能力、水平”也并不都完全清楚。

(三)人们依据什么进行假设

哈耶克(1967)指出:“我们在自己的演绎过程中,不必遵从假设或未知到已知和可观察的路线,而是――如习惯上视为正常的方法――遵从熟悉到未知的路线。” 可见,人们是依据长期实践经验总结和积累的结果或结论进行预设和判断的,这种预设或判断往往是活动对象或者活动环境的一种“常态”。在这种“常态”下,被以往的经验证明是正确或者可行的做法、方式便形成了“惯例”,人们会自觉不自觉地遵从。如,经过实践人们认识到,阴天时下雨的概率增加,阴天下雨成为一种“常态”,所以在阴天时,人们外出往往习惯性的带上雨具。这便是哈耶克所说的“遵从熟悉到未知的路线”。但是阴天不等于下雨,亦可能不下雨,从这个意义上说,阴天会下雨是假设,依据此假设,人们出门决定带上雨具。

人们对自身状况的判断、假设也同样要考虑自己平时的一般状态。如某人平时每天都健身 1个小时,是因为他经过实践觉得锻炼1小时比较适合于自己,所以不会在某一天突然增加到2小时。

(四)假设的作用

作为行动前提的假设,其作用在于对人们的行为加以约束和引导。如: 假设天会下雨,人们外出会带上雨具,或者不出门。再如会计的持续经营假设,引导企业以不断的持续经营状态为前提进行日常的会计核算,对企业经营的财务状况和经营成果进行及时的数量描述,以向会计信息的需求者提供及时、相关的会计信息。当然,一个企业总有一天是要废业的,而废业时则采用另外一种核算方式。

三、对审计假设涵义和内容的理解

审计活动是一种实践活动,审计活动一般会也要受到一些基本因素,如审计目标;审计对象;审计主体等的引导和制约。审计有既定的目标引导审计活动的开展、实施。在目标既定的情况下,决定采取行动之前亦要对审计对象、审计主体自身状况作出预先的设定和判断,明确在何种前提下展开审计活动才能实现既定目标,以指导和约束具体的审计行为。这种预先的设定和判断即是审计假设。所以审计假设可定义为:在审计目标的引导下,为指导和约束具体审计活动的实施而设定的前提。审计假设的形成是审计人员长期审计实践的结晶,是审计行为的“惯例”。

(一)存在错弊假设

审计是以会计及相关信息为对象的认证活动,其目标是认定会计信息的真实性和合规性。 企业的会计及相关信息是由企业内部的会计信息系统收集、加工、生成和提供的,这个过程是发生在企业内部的过程,外界并不清楚这个过程是如何进行的。企业的经营管理者掌握着会计信息加工、生成的控制权,因此经营管理者的行为会直接影响生成的会计信息是否真实、合规。 在利益驱动下经营管理者会采取有利于自己的行动。主要表现在两方面:其一,会有意通过对会计信息进行控制使之有利于自己。如粉饰经营业绩,进而增加在薪酬问题上与企业所有者博弈的砝码。其二,当经营风险、财务风险来临而又无法有效应对时,经营管理者会利用会计信息控制权来操纵会计信息,通过会计信息造假来掩盖经营或财务危机。

另外,会计核算过程中也会因技术性差错导致会计信息的错误。所以企业会计信息存在错弊是一个基本的判断,审计人员以假设企业会计信息存在错弊为前提组织实施审计工作,才会保持应有的职业谨慎、小心从事进而查出可能存在的问题,实现证实会计信息是否真实、合规的审计目标。如果以会计信息可信为假设,则审计失去存在的前提。所以存在错弊是审计首要的、基本的假设。审计特别是民间审计的产生即以会计信息存在错弊为动因,长期的审计实践亦以会计信息存在错弊为前提。

(二)存在证据假设

在审计实施过程中,审计人员要收集记录企业各种经济业务的原始凭据,了解经济活动的原始状态,以验证会计报表信息、被审计事项信息是否如实地反映了经济活动的真实情况、是否按会计准则的规定编制,进而作出审计结论、发表意见。而收集审计证据就要以存在证据为前提,然后运用审计固有的方法获取这些证据。如果获得了证据,就依证据所证明的情况作出审计结论。所以,审计人员是以存在能够证明会计信息真实、合规与否的证据为前提来实施审计的,取证是审计的基本实践活动。如果没有证据或无法取得证据,审计就无从实施,也就无法发表审计意见。

(三)控制局限假设

企业提供的会计信息是在其内部控制制度运行下生成的,所以内部控制会对会计信息产生直接的影响。但是企业的内部控制再完善、严密,也只能对员工舞弊起到控制作用,而对管理舞弊不起作用。 另外,内部控制不可能做到十分完善和严密,会有缺陷。所以在实践中,审计人员以内部控制有局限为前提对其进行测试。如果前提是企业的内部控制是完善有效的,内部控制的评价就没有必要了。

(四)审计成本有限假设

从审计主体的角度看,审计资源和审计实施的时间都是有限的,对于一个具体的审计项目不可能无限制的投入资源和时间。所以审计活动要受到审计成本和审计时间的约束, 要求审计机构和审计人员以审计成本和审计实施的时间有限为前提来安排审计计划、指导和实施审计活动。

四、审计假设的作用

总的说,审计假设对审计活动起到引导和约束的作用。

(一)存在错弊假设是审计的最基本假设

审计行为均以此假设作为基本前提、基本引导,如审计准则的制定、审计策略的拟定、审计程序和审计方法的选择等等,都以此假设为前提。

(二)存在证据假设为搜集审计证据的范围确定了空间界限和

时间界限,即已经发生并存在证据的会计及相关信息

不可验证的会计信息,不能获取证据的会计信息,审计人员不可做结论,只能放弃表示审计意见。对于尚未发生的交易、事项,审计人员不可做肯定的结论。

(三)控制局限假设

由于内部控制与会计信息生成有密切的联系,内部控制有问题会影响会计信息的真实性、合规性。 所以审计过程不能仅仅审查会计信息资料,要对内部控制进行必要的测试,采用相应的方法找出其不足和缺欠,进而提出完善的建议。另外,对内部控制不足和有缺欠的部分所控制形成的会计信息可作为重点审查。

(四)成本有限假设的作用,体现在审计实务中审计计划的编制、重要性的确定、审计方法特别是抽样方法采用等方面

因为审计资源、审计时间是有限的,所以对审计对象要有重点、有选择的实施审计。如采用抽样方法,以样本的审查代替总体的审查,既可以达到审计的目的又可以节省审计成本。

【参考文献】

[1] 辞海编辑委员会.辞海[M].上海:上海辞书出版社,1990.

[2] 扬时展.中国会计学会.中国会计研究文献摘编审计卷[M].第1版.大连:东北财经大学出版社,2002.

[3] 李学柔,秦荣生. 国际审计[M].第1版.北京:中国时代经济出版社,2002.

[4] 刘力云.中国会计学会.中国会计研究文献摘编审计卷[M].第1版.大连:东北财经大学出版社,2002.

[5] 刘华.审计理论与案例[M].第1版.上海:复旦大学出版社,2005.