安全管理審計報告

前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇安全管理審計報告范文，相信會為您的寫作帶來幫助，發現更多的寫作思路和靈感。

安全管理審計報告范文第1篇

早在世紀交替之際，公司治理、風險管理以及內部控制就成為管理理論界及實務界的熱點問題。國際上關于這三方面的研究成果層出不窮，涌現出一些具有國際影響力的專業性研究報告及標準，如COSO委員會的《企業整體風險管理框架》、《較小型公司財務報告的內部控制》、銀行金融業的《新巴塞爾資本協議》等。在國際環境的影響之下，我國在公司治理、風險管理及內部控制方面的研究也取得了重大突破，相關政府機構及監管部門制定了一系列規范、標準以及指引，成為組織行為規范和監管行為規范不可或缺的指南針。

(一)銀行業頒布的有關指引中國銀行業監督管理委員會自2006年起陸續頒布了《國有商業銀行公司治理及相關監管指引》、《銀行業金融機構內部審計指引》、《商業銀行合規風險管理指引》、《銀行業金融機構信息系統風險管理指引》、《信托公司治理指引》、《商業銀行操作風險管理指引》等一系列有關治理、內部審計、風險管理的指引。特別是《銀行業金融機構內部審計指引》明確規定：(1)銀行業金融機構內部審計應履行監督、評價和咨詢之責，審查評價經營活動、風險狀況、內部控制和公司治理效果；(2)應建立董事會領導下的、垂直管理的內部審計部門，配置具有高級管理人員任職資格的首席審計執行官；(3)應按照員工總數1％的比例配備具有專業勝任能力的內部審計人員；(4)內部審計部門應建立完善非現場內部審計監測體系和內部審計操作系統、信息管理系統；(5)經董事會批準，內部審計項目可部分外包，實行合作內審制；(6)首席審計執行官和內部審計部門應建立緊密的與內部客戶(如董事會、高管層)及外部客戶(如銀監會)的溝通報告制度；(7)加強內部審計部門與合規管理部門、風險管理部門之間的協作，內部審計部門要定期獨立評估合規及風險管理職能的履行情況。

(二)保險業制定的相關規范　中國保險監督管理委員會為保險業構建良好的治理、風險管理以及內部控制制定了規范。繼2006年元月頒布《關于規范保險公司治理結構的指導意見(試行)》后，又陸續頒布了《保險公司內部審計指引》、《保險公司風險管理指引》等配套法規。值得關注的是，《保險公司內部審計指引》明確要求：(1)保險公司應當建立與其治理結構、管控模式、業務性質和規模相適應的相對獨立的內部審計體系；(2)應當設立對董事會和高管層雙重負責的審計責任人職位，審計責任人的聘解應當向保監會報告；(3)專職內部審計人員原則上應不低于公司員工總數的5‰；(4)內審部門每年應對內部控制的健全性、合理性和有效性進行全面評估，出具內部控制評估報告；(5)保險公司應向保監會提交內部審計工作報告、內部控制評估報告、審計發現的重大風險事項以及未有效整改的審計發現。

(三)國資委頒布的相關指引　國務院國有資產監督管理委員會在2005年《關于加強中央企業內部審計工作的通知》的基礎上，于2006年6月頒布了《中央企業全面風險管理指引》，以指導央企開展全面風險管理工作，促進國有資產保值增值和企業持續、健康、穩定發展。該指引強化了內部審計在企業風險管理中的作用，明確規定：(1)有條件的企業可建立風險管理的三道防線，即各有關職能部門和業務單位為第一道防線，風險管理職能部門和董事會下設的風險管理委員會為第二道防線，內部審計部門和董事會下設的審計委員會為第三道防線；(2)企業應建立內部控制審計檢查制度，要結合內控的有關要求、方法、標準與流程，確定審計檢查的對象、內容、方式和負責審計檢查的部門；(3)企業應建立重要崗位權力制衡制度，并將主要崗位作為內部審計的重點；(4)內部審計部門應至少每年一次對包括風險管理職能部門在內的各有關部門和業務單位的風險管理工作合規性和有效性進行監督評價，審計報告應直報董事會或董事會下設的風險管理委員會和審計委員會；(5)內部審計應積極參與風險管理培訓工作，以培養風險管理人才，培育風險管理文化；(6)內部審計部門是風險管理組織體系的重要組成部分，其職責履行應符合《中央企業內部審計管理暫行辦法》的有關規定。

(四)財政部、證監會及審計署出臺的相關規定財政部高度關注《薩奧法案》對內部控制建設的影響，采取了切實有效的行動。2006年2月，新修訂的《審計法》規定：依法屬于審計機關監督對象的單位，應按照國家有關規定，建立健全內部審計制度，其內部審計工作應當接受審計機關的指導和監督。隨后審計署于2007年首次就《中外內部審計準則比較研究》等五項內部審計課題公開立項，組織學術界和實務界專家展開研究。2006年7月，財政部、證監會、審計署、銀監會、保監會等五部委聯合成立了“企業內部控制標準委員會”，共同研究制定我國企業內部控制規范。2007年3月，委員會了《企業內部控制規范――基本規范》和17項具體規范的征求意見稿。隨后，企業內部控制規范體系建設取得重大突破，《企業內部控制基本規范》在2008年6月頒發。該規范明確指出：內部審計作為“內部監督”要素的核心力量，應對企業內部控制的有效性進行獨立評估，對已發現的重大內部控制缺陷有權直接向董事會及其審計委員會、監事會報告；同時，“企業應當加強內部審計工作，保證內部審計機構設置、人員配備和工作上的獨立性”，這是改善企業控制環境的重要措施。這一基本規范以及后續具體規范的出臺為我國企業加強內部控制和內部審計建設提供了基礎性、權威性指引，必將有利于提高企業的控制能力和風險防范能力，有利于改善企業的運營狀況和治理機制，有利于資本市場的持續健康發展。

這些規范的頒布，說明內部審計的建立與完善不僅是各組織提高管理水平、加強風險防控能力、促進組織目標實現的必要保障，更成為監管部門以及行業主管機構作出的強制性要求。在這一大背景下，中國內部審計協會順勢而為，于2006年提出內部審計應全面轉向以控制和風險為導向的現代管理審計；同年協會設立衛生內部審計分會、與IIA簽署《內部審計質量評估協議》；連續舉辦內部審計外部質量評估師資培訓班，并于2007年6月在中國殼牌石油化工有限公司、中廣核工程有限公司順利實施并通過了IIA質量評估組所進行的外部評估；積極指導地方協會推動人大或政府出臺有關內部審計的條例或規定；積極支持發改委、公安部、稅務總局等設立內部審計司(局)，支持大學及醫院等非盈利組織加強內部審計工作；積極動員和宣傳CIA考試。作為內部審計發展最好證明的是，三年來涌現了一大批先進的內部審計單位，不僅有先進的審計理念、審計技術，更有顯著的價值增值。強調要樹立“未病先防”、“小病早治”、“大病防變”、“病后防復”的理念，積極開展控制和風險導向審計；要全面應用信息技術，建立“問題查找模型”，揭示重要的結果偏差和控制偏差；要持續進行全面的內控與風險管理缺陷診斷和缺陷治療，以發揮內審在評估、協調、補救等方面的

咨詢功能；要以和諧增值為目標，以數字化審計為手段，以差異化的溝通、報告為方法，將內部審計打造成管理改進的牽引器、良好文化的催化劑。基于此，準則委員會于2006～2008年，在已定三批準則的基礎上，又研究制定了十項內部審計具體準則和實務指南，并分三批頒發。

二、控制自我評估等內部審計準則的頒布

2006年協會頒布了第四批內部審計具體準則。在該批準則的制定過程中，各方面專家和實務工作者對若干重要問題進行了細致、激烈的討論。

(一)控制自我評估與內部控制審計的關系　第21號準則對控制自我評估這一近年來創新的內部審計業務和技術進行了詳細規范。討論認為，該準則首先應明確定位并清晰說明與內部控制審計的關系。盡管控制自我評估的主體是組織內負責制定與執行內部控制的相關管理人員，且這一方法在實務中也適用于管理人員自行組織的管理自我評估、風險自我評估活動，但該準則是以內部審計的視角、內部審計的立場，對內審人員如何利用這種方法幫助提高審計效率、評估“軟控制”、協助管理層進行整體內部控制評估等問題進行詳細規范。因此，控制自我評估法通常是在內部控制審計展開前進行，為整體內部控制審計創造和諧環境奠定扎實基礎。內部審計人員在控制自我評估中的責任，可歸納為召集、組織、協調、記錄、督導，內部審計人員并非控制自我評估的主體，而是促進相關管理人員在控制自我評估中消除顧慮、積極主動、坦誠交流，真正形成一種既相互獨立、又緊密合作的伙伴關系。該準則還對控制自我評估的主要方法進行了規范，其別強調“專題討論會法”。準則研討會還認為“專題討論會”是控制自我評估中應用效果最好的方法，能收集到有效且豐富的信息，應在內部審計實務中加以倡導。同時，控制自我評估是一種對內部控制進行持續監督的良好方式，雖然目前在我國實務中應用尚少，但為了推動該項業務的開展，有必要在準則中對其應用頻率進行規范，準則要求控制自我評估一般每季度進行一次。

(二)內部審計獨立性與客觀性的理解　第22號準則對內部審計的獨立性與客觀性分別作出了一個比較準確的定義。重新思考內部審計的獨立性與客觀性是IIA新準則的重大變革之一，這一變革厘清了內部審計獨立性與外部審計獨立性的區別，確立了客觀性在內部審計活動中的主導地位。討論認為，準則應借鑒IIA新準則的相關內容，明確界定內部審計的獨立性與客觀性及其相互關系。實務中，要求內部審計人員保持絕對的超然獨立、始終游離于所審查的經營活動和內部控制之外是不現實的，也與其增加組織價值的宗旨相背離，但其在履行職責時必須保持客觀的態度。而為使內部審計人員保持客觀性，獨立的組織地位十分重要。客觀性是獨立性的目的，獨立性是保持客觀性的必要條件。因此，內部審計的獨立性是指內部審計機構的獨立性，是能夠為內部審計活動的開展創造良好的、無任何破壞客觀性之利益沖突的環境；內部審計的客觀性則是內部審計人員要秉持的態度和精神狀態。由于獨立性由內部審計機構的狀態所決定，故對內部審計人員執行業務來說更為重要的是“客觀性管理”。這種理念意味著內部審計人員對于客觀性的保障是一種積極、主動的過程，而不是一種只能被動接受的狀態。因此，討論意見認為，準則應特別重視對客觀性管理的規范。客觀性管理遵循“主動管理”、“積極管理”的原則，可采取以下措施進行：識別影響客觀性的因素；評估每個影響因素的嚴重性；采取措施控制“嚴重影響因素”的“嚴重影響程度”；報告客觀性受損的情況。

(三)內部審計機構與董事會或最高管理層關系的性質　第23號準則主要討論了基于內部審計機構的組織地位而闡述的內部審計機構與董事會或最高管理層的關系，即內部審計機構由于隸屬于董事會或最高管理層，而形成的協助其工作并向其報告的組織關系，具體有三種：領導與被領導；協助與被協助；報告與接受報告。基于此，準則列示了董事會或最高管理層在各類組織中的不同形態，明確了內部審計機構接受董事會或最高管理層領導、協助其工作、向其報告三方面的具體內容和方式，以實現董事會、最高管理層與內部審計在組織治理中的協同作用，促進組織治理質量的改善和提升。討論還認為，內部審計機構除向董事會或最高管理層提交日常的業務報告(即審計報告)外，還須提交審計工作報告，準則對工作報告的提交時間和內容進行了規范。為使董事會或最高管理層及時了解審計工作情況，準則要求報送工作報告的頻率為至少一年一次。審計工作報告包括兩部分：一是有關內部審計機構工作開展情況的總結和概括；二是內部審計機構的資源使用情況和業績情況。前者是為了讓董事會或最高管理層對一段時間內部審計工作涉及的經營活動、內部控制情況有總括的了解，便于其在此基礎上進行決策，改進管理；后者是對內部審計機構管理狀況的評價和匯報，有助于董事會或最高管理層了解內部審計部門的運作效率和成本效益情況。

(四)內部審計機構管理的內容第24號準則要求企業應按照現代內部審計的理念，將內部審計機構視作能為組織提供增值服務的部門，該部門并非傳統意義上的“成本中心”，而是能夠創造價值的“利潤中心”。因此，對內部審計機構管理內容的明確界定尤為重要。準則按照管理的要素將內部審計機構管理的內容規范為：計劃編制、人力資源管理、組織協調、領導與溝通、項目業務控制。這五方面的具體內容在部門管理層面和項目管理層面都有所涉及，部門管理是內審機構運行過程中的一般性行政管理，項目管理是內部審計機構對審計項目業務工作的管理與控制。討論意見認為，準則應分別對這兩個層次的管理內容、方法及職責進行詳細規范。組織性質及治理結構的狀況對內部審計機構的體制、運行和管理有深刻的影響，討論意見要求本準則能夠適用于不同組織的內部審計機構。因此本準則將內部審計機構的組織形式概括為單層級與多層級結構，多層級組織的內部審計機構可實行集中管理制或分級管理制，也可以實行集中管理與分級管理相結合的形式。

三、“三性審計準則”的頒布

2007年協會頒布了第五批內部審計具體準則，包括25號至27號的經濟性審計準則、效果性審計準則和效率性審計準則，統稱“三性審計準則”。對組織經營活動和內部控制的經濟性審計、效果性審計和效率性審計(簡稱“三性審計”)作出規范，是我國內部審計準則建設的一大創新。早在上世紀50年代，IIA就在第二號《內部審計責任說明書》中強調了管理審計的地位，并倡導內部審計機構積極推行管理審計，為組織服務。管理審計相對于財務審計，是一種更能夠為組織增加價值的服務。隨著我國社會主義市場經濟的發展和現代企業制度的推行，企業內部審計目標逐漸由評價財務的真實合法性轉向評價經濟活動的效益性，內部審計模式也逐漸由傳統的財務審計轉向現代管理審計，如何對經營活動和內部控制的經濟性、效果性以及效率性進行科學評價成為內部審計亟需規范的問題。IIA雖在幾十年前就開始倡導管理審計，但其至今尚

未就經濟性、效果性以及效率性問題頒布專門的審計準則。中國內部審計協會組織多方專家，經過多年調研論證，最終頒布了“三性審計準則”，這是內部審計準則的重大突破，也體現了我國內部審計準則的先進性與前瞻性。

(一)“三性審計準則”充分借鑒了政府審計準則和政府審計實務中有關業績審計的思想和方法　在中國內部審計準則制定伊始， “借鑒和包容政府審計和獨立審計準則”就是準則委員會堅守的重要原則。自上世紀60年代以來，西方國家關于政府業績審計的研究層出不窮，而政府審計實務也逐漸將關注重點由受托財務責任轉向受托管理責任，業績審計的規模和范圍得以迅速擴展。業績審計的核心就是對經濟性、效果性和效率性的審計。業績審計可以尋求對被審計項目和組織的積極改進，影響政府資源配置和決策，因而它對公共受托責任的履行以及公共資源的配置發揮著重要的作用。不僅僅是政府機構，任何組織的經營活動及內部控制也都存在著經濟性、效果性和效率性問題，內部審計對這“三性”的審查和評價，有助于組織內部資源的有效配置，改善組織運營，增加組織價值。因此，在“三性審計準則”的制定過程中，充分借鑒政府審計領域中業績審計的內容、方法、技術、判斷標準等，力求為內部審計機構及人員執行管理審計提供規范的指導。

(二)“三性審計準則”與內部控制之間的關系組織經營活動及內部控制的經濟性、效果性與效率性是“三性審計”的對象。組織的經營活動是以增值為目的，通過對全部資源的優化配置而進行有效運營的方式，一般包括銷售商品、提供勞務、經營租賃、購買商品、接受勞務、廣告宣傳、推銷產品、交納稅款等活動。在《內部審計具體準則第5號――內部控制審計》中，曾對內部控制作出如下定義：內部控制是指組織內部為實現經營目標，保護資產安全完整，保證遵循國家法律法規，提高組織運營的效率及效果，而采取的各種政策和程序。內部控制貫穿于各項經營活動之中，其有效運作是保障各項經營活動按既定程序順利進行達成目標的條件。控制是管理的要素之一，組織管理者(內部審計是其重要成員)一般將控制叫作“管理控制”。管理控制是組織管理層確保資源獲取及使用。有效地實現組織目標的過程，由戰略規劃、預算、資源配置、業績衡量、考評和激勵、責任中心的分配和轉移價格等基本元素構成。管理控制的有效運作是實現組織經濟性、效果性和效率性的前提和基礎，因此“三性審計”的結果要落實，根本上需要依靠各種管理控制的方法和手段。“內部控制”與“管理控制”在內涵上并無沖突，前者主要是會計師和審計師角度對控制的理解，后者是組織管理者的用語，二者都是為確保組織以最佳方式履行指定職責，取得預期效果而制定的政策和程序。針對組織內部控制的經濟性、效果性和效率性進行審查，實質上審查的就是組織內部的管理控制，指出管理控制中存在的影響經濟性、效果性和效率性的控制偏差或控制缺陷，完善管理控制，促進組織目標的實現。同時，管理控制的有效運作，是保證整個組織實現目標、改善經營活動、促進組織資源節約的基礎。因此，內部審計領域中的“三性審計”與內部控制的關系是雙向互動的，內部控制是“三性審計”的對象，同時組織的經濟性、效果性和效率性最終需通過加強內部控制來落實。

(三)“三性審計”的對象經濟性、效果性和效率性審計既可針對整個組織的經營活動，也可針對特定項目或特定業務。政府業績審計主要是以項目為對象，因為政府的財政撥款與結算，是針對具體項目的，判斷這些項目在資源使用過程中的經濟性、效果性及效率性，以及項目的目標是否實現，是業績審計的目的。在準則研討過程中，曾對“三性審計”的對象有著激烈的討論，有人根據政府業績審計的相關內容，認為內部審計進行的“三性審計”也是針對項目而言的，這種觀點實際上并不完整。組織的經營活動、內部控制與政府業績審計的對象并不完全相同，在企業中，各種經營活動是持續進行的，內部控制則貫穿其中。資源的投入及使用，既包括特定項目中的投入與使用，也包括日常業務中的耗費，如銷售業務不屬于特定項目，但也有廣告投入、促銷策略的運用以及銷售人員的人力投入等資源耗費問題，同樣需要對銷售業務的經濟性、效果性和效率性作出判斷。另外，從組織經營活動的全局看，也有資源的投入、使用以及產出的問題，如資本的投入、使用以及回報。因此，在內部審計的“三性審計準則”別指出，“三性審計”可以針對整個組織的經營活動，也可以針對特定項目或特定業務進行，這種觀點既借鑒了政府業績審計的內容，又充分考慮了內部審計的特點。

(四)“三性審計”評價標準的建立由于經濟性審計、效果性審計和效率性審計既可以針對整個組織的經營活動，也可以針對特定項目或特定業務，因此其審計對象非常多樣。“三性審計”不像財務報表審計，可以會計準則和會計制度為統一的評價標準，內部審計人員應當根據每一次的審計對象，選擇適當的評價標準。若組織管理層事先已針對組織的經營活動或特定項目及業務制定了標準，如計劃、預算等，則這些標準是否達到以及如何達到就是判斷該活動、項目或業務是否達成目標的依據。因此，在執行了必要的評估確認其適當性之后，管理層制定的標準通常可直接作為“三性審計”的評價標準。但審計實務中還會面臨管理層事先未制定標準的情況，準則也對此作出規定：內部審計人員應會同管理層選擇適當的評價標準，此時，“三性審計”就成了一種“商定服務”。會同管理層選擇適當的標準要充分考慮組織目標和管理層的需求，要求內部審計從管理者的角度上思考問題、作出判斷，同時發揮內部審計的專家作用，這也體現了內部審計一貫的合作、交流、服務、增值的理念。

(五)經濟性、效果性及效率性的關系和準則先后順序的安排準則研討會中，曾就“三性審計準則”是合并為一個準則規范還是分為三個準則規范進行過激烈的討論，最后采納了“三性”分開規范的意見。這主要是基于以下考慮：經濟性、效果性及效率性在組織內部審計實務中是可以分開進行的，雖然在政府業績審計中，通常是對被審項目同時進行經濟性、效果性和效率性評價，但內部審計是為組織管理層服務的，基于管理層的特定需要選擇“三性”中一個或多個方面進行審查和評價是務實的。同時，將“三性”分開，有助于針對各自不同的內容以及方法進行更為詳細的規范，這對于指導我國內部審計機構開展管理審計具有重要意義。“三性審計準則”的分立并不意味著這三者間關系的割裂，在三項準則中都明確闡述了三者之間的密切關系：經濟性衡量的是資源的投入和使用，效果性衡量的是取得的成果。效率性衡量的是投入與產出之間的對比關系。在內部審計實務中，對經濟性的衡量相對獨立，可以針對經營活動和特定項目或業務進行事前、事中以及事后審計。從邏輯上看，先投入，再產出，最后才能對投入產出進行對比，于是，在準則的編排順序上，采用“經濟性一效果性一效率性”的次序，這種次序有助于內審人員基于前面的規范理解后一個規范。但需要

說明的是，“三性”中最重要的是效果性。雖然對經濟性的評價可以單獨進行，但究其根本卻不能完全無視該經營活動、項目或業務的效果，如果沒有經濟性、效果性，當然也就無所謂效率性問題。事實上，經濟性和效率性的最終目標都是要實現好的效果性。概而言之，經濟性是前提，效率性是過程，效果性是目的。于是，第26號《效果性審計準則》是這三項準則中的重點，該準則對“效果”的規范是一個廣義的概念，除考慮組織經營活動、特定項目或業務的經濟效果(如產值、收入、利潤)之外，還考慮了其社會效果(如社會滿意度、環保效應、社會責任)。隨著社會經濟的可持續發展日益受到重視，各類組織對其社會責任的審視也愈加重要，《效果性審計準則》對評價組織社會效果的實現具有指導意義。

四、信息系統審計等內部審計準則的頒布

2008年協會頒布了第六批內部審計具體準則，即第28號信息系統審計準則、第29號后續教育準則，此外還了第3號審計報告實務指南。

(一)信息系統審計準則的背最、定位及核心方法　20世紀中后期所興起的信息革命浪潮以前所未有之勢沖擊著企業經營的方方面面，無論企業所處的經營環境還是經營方式和管理手段無不發生著翻天覆地的變化，從會計電算化、管理信息系統(MIS)、企業資源規劃(ERP)、客戶關系管理(CRM)到電子商務(EC)，充分顯示企業各項經營活動普遍趨于信息化，經營管理趨于網絡化與自動化，信息技術已成為企業運行的基礎平臺。隨之而來的是如何開展信息系統審計成為亟待解決的問題。進入新世紀后，IIA更加重視信息系統審計工作，陸續相關指南和報告，如2006年底的《基于風險的信息系統控制評價指南》(簡稱GAIT)，即提供了一套原則和方法，要求內部審計人員從信息系統控制評價人手，介入IT審計，幫助管理層識別關鍵風險因素、揭示重要控制缺陷，以合理評價內部控制信息系統的效率性和效果性。在內部審計領域，關于信息系統審計最全面、最先進的指南則是《全球信息系統審計指南》(GlobalTechnoIogyAuditGuide，簡稱GTAG)，是IIA為首席審計執行官、審計委員會、高級管理層提供的IT審計指南，內容深入淺出，便于及時了解有關信息系統管理、控制或安全方面的問題。從管理者的視角關注信息系統的風險與控制，并用特定方法解釋IT控制及審計實務。GTAG還提供了快速解決最新IT問題的機制。從2005年第一號GTAG起至今，IIA已了ll項信息系統審計指南。在此背景下，準則委員會決定借鑒IIA指南的精神、技術和方法，結合我國信息技術應用的實際情況，制定信息系統審計準則。

關于信息系統審計的定位。在準則討論過程中，大家都特別強調要準確說明信息系統審計的定位。信息系統審計不是信息化環境下利用計算機技術的審計，不是為建立和運行“問題查找模型”、以高效搜尋經營管理中可能存在問題的非現場審計系統，也不單指通常所說的信息技術審計。信息系統審計涵蓋兩部分內容：一是對信息系統本身的審計，二是對信息系統所涉及的內部控制及流程的審計。這意味著信息系統審計不僅要對信息系統的功能進行審計，還要對信息系統的安全性、可靠性、數據準確性和完整性，信息系統的立項與采購、設計與開發、測試與驗收、運行與維護等，以及對具體業務流程中所涉及的信息系統內部控制的設計與執行、效果與效率進行檢查和評價。這一定位明確界定了信息系統審計的范圍。信息系統審計定位的落實，取決于合理的審計組織方式。信息系統審計可作為獨立的審計項目實施，也可作為綜合性審計項目的組成部分實施。前者的審計目標可以關注系統本身的可靠性、穩定性和安全性，如系統開發審計、系統安全管理審計；也可以對與系統直接相關的其他信息技術管理環節給于關注，如信息技術投資審計、系統外包管理的審計。在綜合性內部審計項目像財務審計、內部控制審計、合規審計、經濟責任審計中，由于組織的運營、管理及核算需依托信息系統，因此，需對涉及的信息系統進行審計。

關于信息系統審計的核心方法。準則強調信息系統審計中風險導向審計法的貫穿。由于信息系統具有技術性強、涉及面廣的特點，對組織各方面的運作起著基礎支撐作用，信息技術相關的風險將直接影響組織運轉的方方面面。因此，在審計過程中不論是計劃或是實施以及后續審計都需要緊緊圍繞風險的評估來進行。準則要求充分結合信息系統的特點，選擇適當方法，在三大層面――組織層面、一般性控制層面以及業務流程層面進行風險評估，并根據風險評估結果將審計的內容和范圍涵蓋到高風險領域，對相應的信息技術內部控制設計及執行的有效性進行測試。

(二)后續教育準則的背景、內容與方式IIA一向重視內部審計人員的后續教育，2007年12月頒布的“全球核心知識”(CBOK2006)，以及同期修訂的內審人員專業勝任能力框架，就是對后續教育有重大影響的調查報告或研究報告，尤其是CBOK，就內審人員遵循準則和職業道德規范、所用的審計工具和技術、應具有的知識與技能、審計的作業與型態等進行了廣泛調查。中國內部審計協會也高度重視內審人員的后續教育問題，專門設立了培訓委員會，十多年來舉辦了大量不同層次、不同種類的培訓工作，并取得較好的效果。在許多大型組織，內部審計部門采取了靈活多樣的后續教育方式，如課堂教育、網絡課程學習、視頻會議、參加職業資格考試、現場示范、正式的導師制、業務交叉培訓、職業組織培訓等，并對培訓計劃的有效性進行評估。在此背景下，準則委員會決定制定內部審計人員的后續教育準則。

關于后續教育的內容。本準則規定內部審計人員進行后續教育的內容，除涉及法律法規、內審準則及職業道德規范、內審理論與實務外，還特別突出從事管理審計時需要的信息技術、公司治理、內部控制、風險管理等相關專業知識與技能。培養復合型內審人才是準則討論過程中非常強調的，這也是根據準則制定的基本原則之一――充分考慮財務審計與管理審計的結合作出的要求。準則還特別將后續教育的內容在內部審計機構負責人、審計項目負責人和審計助理人員三個層次加以區分，以突出重點、按需施教。這是充分考慮了我國內審實務狀況而作出的安排。

關于后續教育的方式。自學以及接受培訓的方式在西方國家都很普遍，但考慮現實中內部審計人員參加后續教育的動力尚不足，“缺什么學什么、學什么用什么”的急功近利型教育比較嚴重，準則討論中一致認為，應當更加側重于接受培訓(控制型)的方式。鑒于此，準則規定內部審計人員接受培訓是后續教育的主要方式，自學是后續教育的重要補充方式。培訓形式有：IIA及亞內審聯合會舉辦的專業會議及訓練課；中國內審協會舉辦的專業會議、實地經驗交流及訓練課；中內協與省內協認可的有關大專院校的專業課程進修；各級內審協會舉辦的專題培訓班；內部審計機構開展的、經相關內審協會評估確認的技術培訓工作。

(三)審計報告實務指南中的新理念和新技術　上世紀90年代以來，內部審計職業界的專業人士經歷了世界范圍內經營方式的重大變革。在時代的潮涌中，內部審計人員通過收集與分析企業經營、財務、風險狀況等信息并發表評價意見和建議，承擔著為組織防弊、興利和增值的使命。《薩奧法案》的頒布，使得作為溝通主要模式的內部審計報告比以往顯得更為重要。“除了認真組織和清晰撰寫之外，審計報告必須連接財務要點，使相關的專業信息塊彼此相連，并把這些信息塊與潛在的風險、公司整體運營及治理相聯系。自動化水平的提高和外包的增加更加強了這種關系。”值得關注的是：信息技術正在改變著審計報告的形式和生成方式。“軟件奇才正在發明自動收集、復核和存儲數據的綜合方法，并改變著審計程序，以前人工的、事后檢查的方法正在向自動化的、防護性的方法轉變”，于是，傳統的內部審計報告將變得更加具有預防性并實現更高程度的自動化。《薩奧法案》是程序自動化和報告自動化的催化劑。在此背景下，僅有審計報告的具體準則是不夠的，人們期望制定審計報告的實務指南。

(1)以相互關聯及綜合性的思維方式組織和編寫審計報告。相互關聯及綜合性思維是內部審計中唯一無法自動化或外包的方面。這種高層次的思維可被定義為三種能力：了解模式、綜合各部分并識別其中的重要要素；概括給定事實，綜合幾個領域的知識并得出結論；比較并區分各種觀點，在合理討論的基礎上進行選擇，驗證證據的價值。內部審計人員收集數據、分析不同類型數據之間的關系以提出結論或建議的過程是歸納性的，而撰寫一份滿足各方需要的書面報告則是演繹性的，即報告應從結論或主要信息的一般性陳述演繹到特定的支持性數據。相互關聯及綜合性思維就是要將“從具體到一般”的審計邏輯流程與讀者期望的“從一般到具體”的閱讀報告流程實現有機融合，生成一份使讀者能快速閱讀、直奔主題、相信自己擁有充分信息的審計報告。

(2)全面借鑒IIA提出的有效內部審計報告的新原則。2006年，IIA根據《薩奧法案》對審計報告的要求以及新涌現的軟件合成格式，提出了有效內部審計報告需遵循的五項新的原則：將最重要的信息和最緊要的事情放在首位；堅持使用簡單、清晰、不會混淆的措辭；不要過分強調某些內容，有節制地使用大寫字母、下劃線、斜體和黑體字；合理運用留白，不要將太多數據擠在一個小區域中；使用人們容易理解的標題和術語。審計報告實務指南在堅持客觀性、完整性、清晰性、及時性、實用性、建設性、重要性等七項基本原則的過程中，全面消化吸收了IIA提出的五項新原則。

(3)審計報告可以使用計算機軟件自動編制。本指南第八條要求，審計報告可以手工編制，也可以使用計算機軟件自動編制。之所以這樣規定，是因為“審計報告所采用的形式一直在變，長篇大論已經過時，把復雜數據壓縮成表格和公告板的形式正在流行，全自動化的審計報告正成為一種趨勢”。自動生成報告有以下優勢：一是有助于更好地執行《薩奧法案》的要求。從IT的觀點看，《薩奧法案》的主要影響是對公司數據完整性的保護更為關注。遵循《薩奧法案》，要求識別受法規約束的數據，并明確數據管理的政策，以保證這些政策得以遵循時相關數據即符合法律要求。二是準確且快速的信息傳遞、簡明的目錄和對重要事項的完整概括能很好地滿足管理層的需求。三是自動收集數據并直接將其輸入報告文件，能保留完整的審計軌跡，從而加大了毀壞文件和實施舞弊的難度。四是自動化系統的大量使用，使得內審人員可隨時獲取特定時期的所有數據，并定期測試數據、列示異常情況，從而大大提升了內部審計人員的能力。五是自動編制審計報告，使得內審人員能事先發現需要預防的問題，而不僅僅是在事后發現需要記錄的問題。六是自動化程序可以讓內審人員及時獲得更多數據，從而對信息作出更全面、更穩健的分析，這有助于識別機會、風險、重大差誤，有助于增加內部審計的價值。

(4)“審計發現”不只是發現負面問題、消極事實，還要發現良好實踐、積極表現。內部審計人員要利用多種渠道將審計對象的良好實踐向董事會、高管層以及組織內部其他階層報告或宣傳。所謂“良好實踐”是指通過不斷改進管理、優化流程，降低成本，提高效率或質量，完善內部控制和風險管理，在本公司或同行中屬于創新、創優的值得推廣的實踐經驗。對審計發現的描述還要適度注意維護被審單位或被審人的尊嚴和形象，同時通過對審計發現的分級分類，將能整改和不能整改的區分開、風險大和風險小的區分開、高管層重視和不重視的區分開，以便采取適當的改進措施。

(5)審計建議的提出要力避與公司文化發生沖突、要權衡公司核心價值與高管層的風險偏好及管理風格、要關注問題背后的系統性問題。為此，本指南將審計建議歸納為兩大類型：現有系統運行良好，無需改變；現有系統需要全部或局部改變。后者包括：改進的方案設計；方案實施的要求；方案實施效果的預計；未實施此方案的后果分析。

(6)高度重視中期審計報告的價值。中期審計報告也稱“審計備忘錄”，是內部審計人員在現場工作過程中就某些領域的重大審計發現、向被審計單位適當層次管理人員出具的書面文件。在完成某一領域工作后，內審人員可能會發現一些重大不規范行為，甚至是重大控制缺陷，如果放任這些不良狀況繼續存在和蔓延、一味地等待現場工作結束后在終結審計報告中提出，將會給組織帶來更大的不利影響和損失。內部審計人員應該根據組織適當管理層的要求和內部審計工作的需要、適時地編寫中期審計報告，及時指出發現的問題并提出改進建議，供被審計單位慎重考慮，以便采取有效的糾正措施，這樣可大大提高審計報告的效果。本指南列舉了需要編制并報送中期審計報告的六種情況，并規范了中期審計報告的兩種格式：基本格式與備忘格式。相對于終結審計報告而言，中期審計報告更為簡短精練。當然，中期審計報告不能取代終結審計報告，不具有終結審計報告的效力，但中期審計報告能夠為終結審計報告的編制提供依據。

五、上述具體準則的重大進展

三年來的這十項具體準則和實務指南，其重要特點就是在治理和咨詢方面有了重大進展。

(一)治理方面　第23號準則對于內部審計機構與治理層之間的關系作出了詳細、清晰的說明。該準則明確提出內部審計機構與董事會、最高管理層在組織治理中的協同作用，共同建立并維護良好的治理。IIA在《薩奧法案》后，就明確提出董事會、高級管理層、內部審計以及外部審計是構成治理的四大基礎，這四方面的協調與合作能夠促進良好的公司治理。因此，23號準則秉承了國際準則的這一理念，充分借鑒國際準則中的相關內容，厘清了內部審計機構與治理層之間的領導與被領導、協助與被協助、報告與接受報告的關系。IIA在1999年的內部審計定義中，強調了客觀性這一屬性，并在后續實務公告中對“獨立性”和“客觀性”作出了明確定位。

安全管理審計報告范文第2篇

[關鍵詞] 計算機審計；電子數據；數據安全；保護；對策

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2013 . 15. 020

[中圖分類號] F239.1 [文獻標識碼] A [文章編號] 1673 - 0194（2013）15-0026-03

隨著企業信息化建設應用工作的不斷推進，企業內部審計計算機審計工作持續開展，并產生了大量的計算機審計電子數據，這些數據涉及企業生產經營管理活動的重要內容，也是企業重要的信息資源，因此，企業計算機審計電子數據安全保護工作十分重要。加強企業計算機審計電子數據安全保護能力、降低審計人員個人攜帶計算機審計電子數據的安全風險，不僅是企業信息安全保護的要求，而且是企業計算機審計自身的內在要求。與此同時，隨著信息化技術的不斷更新換代和計算機審計環境的越發復雜，要做好計算機審計電子數據安全保護工作，就要與時俱進、不斷探索研究。

1 企業計算機審計電子數據的主要內容

企業計算機審計電子數據的主要內容包括審計人員個人計算機存儲的由被審計單位提供的本單位生產運營管理報告、業務數據、財務報表等與審計項目相關的電子數據，以及參加審計項目實施過程中涉及的審計工作方案、審計實施方案、審計工作記錄、審計工作底稿、審計報告等審計工作數據。

2 企業計算機審計電子數據安全保護方面存在的突出問題

企業在計算機審計電子數據安全保護方面采取了一些措施，一方面在管理上要求審計人員提高信息安全保密意識，另一方面在技術上為審計人員個人計算機安裝防病毒軟件等，雖然取得了一定成效，但在企業計算機審計電子數據安全保護方面尚未形成有效的體系，仍然存在以下幾個方面的突出問題。

2.1 管理方面

一是數據整理與挖掘利用困難。審計數據是審計人員多年工作經驗、審計知識的積累與沉淀，利用現有手段難以從數據挖掘利用的角度進一步梳理數據，無法實現數據的多維分類，無法充分進行數據價值挖掘利用。二是數據權限管理困難。數據訪問與使用權限控制缺乏平臺支持，難以實現更深入的權限控制，增加了管理與操作的難度和工作量。三是桌面標準化管理困難。審計工作依賴于終端設備，使用的軟件不統一，給信息交流與利用帶來困難，同時管理上也存在很大難度。

2.2 技術方面

一是安全性不足。現有技術手段的安全水平與審計電子數據的重要性尚有差距，不能滿足審計業務對信息安全與保密的需要。其一，數據以明文傳輸，數據在傳輸過程中一旦被截獲，信息容易泄露；其二，服務器上數據以明文存儲，一旦服務器被入侵，入侵者可以很輕易地獲取所有未加密文件；其三，終端上數據以明文方式存放，特別是正在開展的審計項目數據以明文方式存在審計人員的終端設備中，如果設備丟失或系統感染病毒，就會造成重大損失。二是權限配置與備份困難。企業郵件賬號域認證初步實現訪問控制，但其控制粒度尚不能滿足使用需要，且配置比較繁瑣。數據手工備份、同步與恢復不能滿足需要。

2.3 使用方面

一是審計人員難以找到需要的信息。各單位審計人員只能查看本單位的部分共享審計資料，缺乏按關鍵字、審計對象、審計類型等多種方式的全面數據搜索，審計人員難以找到最適合的可參考與可借鑒的資料信息。二是尚不能完全實現審計工作與外網分離。通過上網本為審計人員提供從外網搜索資料等功能，滿足了審計人員對外網大部分的需求；但審計人員出差期間，訂購火車票時，需用筆記本電腦付費，而且審計人員習慣于使用終端設備，日常辦公和其他方面依然和審計工作共用終端設備，未完全實現審計工作與外網的分離。

2.4 保障方面

一是終端數據清理工作量大。現階段審計人員的終端設備數據清理工作，耗時長，工作量大，信息處負責數據清理工作的同志工作負荷重，急需通過其他手段，提高工作效率和清理效果。二是IT運維工作壓力大。信息處負責企業IT設備的維護工作，各電腦終端存在操作系統不統一、審計軟件與辦公軟件不統一、審計人員出差遠程維護難等問題，造成IT運維難度大，信息處承擔了很大的工作壓力。終端設備容易因電腦病毒、系統漏洞、惡意網站等各種原因，造成審計數據的泄露。亟需通過新的IT手段，提高審計IT桌面安全性，降低IT維護難度，提高IT維護效率和效果。

3 目標與思路

企業計算機審計電子數據安全保護是一項系統化工作，只有明確計算機審計電子數據安全保護的主要目標，理清計算機審計電子數據安全保護的整體思路，并不斷探索研究，才能持續提高計算機審計電子數據安全保護能力。

3.1 主要目標

企業計算機審計電子數據安全保護的主要目標是實行計算機審計電子數據集中統一管理、按需授權訪問，降低個人攜帶審計電子數據意外風險；計算機審計電子數據集中管理的服務器環境，要遵照企業統一安全策略，采用相應的物理安全、網絡安全、主機安全、應用安全、備份與恢復安全等技術措施，以及安全管理職責、安全管理制度、人員安全管理、系統建設管理、系統運維管理等管理措施，整體確保計算機審計電子數據安全受控。

3.2 整體思路

企業計算機審計電子數據安全保護的整體思路是依托企業信息技術統一安全保護策略，通過建立計算機審計電子數據集中管理平臺，實現審計工作辦公內網與外部公網分離、審計工作環境與個人計算機終端分離，逐步實現審計人員個人計算機審計電子數據按需攜帶向零攜帶轉變，最終實現計算機審計電子數據實時在線與安全受控。

4 實施步驟

企業計算機審計電子數據安全保護工作是一項長期而艱巨的任務，不可能一蹴而就。在管理上，需要企業高度重視計算機審計電子數據安全保護工作，一方面要給予這項工作統一領導和各種資源的支持，另一方面審計人員要不斷提高信息安全保護意識；在技術上，要與時俱進，采用先進的信息技術手段，有步驟、有計劃地逐步開展。

4.1 審計數據集中管理，個人歷史數據清零

利用企業現有軟件硬件資源，創建審計數據集中統一管理存儲空間，采用企業郵件域認證方式，按照單位審計人員授權訪問；審計人員自行整理個人計算機審計電子數據，按照個人權限上傳至統一管理存儲區域；利用專用存儲介質數據清除工具對審計人員個人計算機硬盤逐一進行清理；實現審計人員個人計算機審計電子數據集中管理，個人計算機歷史審計數據清零。

4.2 審計網絡環境分離，審計數據按需攜帶

針對審計工作以企業辦公內網環境為主，需要借助企業外網查找資料的特點，為審計人員公網應用配發個人上網本；實行審計人員個人計算機在辦公內網專用，個人上網本在公網環境專用；在審計項目開展前，為審計人員個人計算機裝載系統軟件，并按照審計項目需要裝載相關審計數據；在審計項目結束后，利用專用存儲介質數據檢查工具對審計人員個人計算機和上網本使用情況進行檢查，確保按照要求使用；實現審計工作內網應用和外網應用分離，審計數據按需攜帶。

4.3 審計工作環境分離，審計數據實時在線

借鑒先進技術應用實踐經驗，建立企業審計電子數據管理平臺，采用統一的信息技術安全保護策略，通過企業郵件域認證登錄個人移動辦公桌面；采用云技術為審計人員呈現個人辦公系統軟件環境，所有審計工作將在審計電子數據管理平成，審計人員個人計算機將不再存儲任何審計相關數據；利用專用存儲介質數據檢查工具對審計人員個人計算機和上網本定期進行數據存儲檢查，確保介質審計數據零存儲；實現審計工作環境與個人計算機終端分離，審計數據實時在線。

5 主要成效

結合企業計算機審計工作實際，通過虛擬化等技術手段，建設審計電子數據管理平臺，采取計算機審計電子數據集中管理、審計辦公桌面集中管理、審計應用軟件統一管理和信息安全策略集中管理等具體措施，最終實現審計工作環境分離、審計數據實時在線，從而實時有效地進行計算機審計電子數據安全保護。

5.1 實現電子數據集中管理

集中管理審計電子數據，提供數據多種分類和檢索方式，審計人員根據分配的權限、關鍵字、文檔類型、提交時間等快速定位所需文檔，為深入發掘審計電子數據價值提供支撐，為審計管理和審計項目工作提供豐富有效的數據資源。審計電子數據管理平臺，采用經國家相關安全部門認證的數據加密技術和手段，通過數據加密存儲、加密傳輸、加密備份和數據訪問控制機制，全面保障數據的安全性，實現數據的全生命周期管理。

5.2 實現辦公桌面集中管理

采用云計算和虛擬化技術，提供標準的、靈活的、可擴展的辦公桌面環境，通過集中配置和統一分配審計辦公桌面，提高審計辦公資源申請、配制、獲取、維護與收回清理的工作效率，同時服務器、存儲、網絡等資源能得到更加充分的利用。審計人員可以快速獲得所需辦公桌面，系統嚴格控制，實現審計工作數據與個人本地終端完全分離，且工作狀態自動保存，可從任何地點重新接入和恢復。

5.3 實現應用軟件統一管理

集中管理OA系統、Office等辦公軟件，審計管理系統、財務輔助審計系統等審計軟件，以及FMIS、ERP等其他專業軟件，統一配置到審計人員辦公桌面。審計人員還可以根據需要，申請所需的其他應用軟件，經審批通過后集中配置、統一分配到辦公桌面，滿足審計人員工作需要，提高審計人員的工作效率，提升信息人員的運維水平。

5.4 實現安全策略集中部署

在虛擬桌面、辦公應用、審計數據3個層級，集中部署管理防病毒軟件、辦公應用軟件和數據加密管理軟件等，通過一次性集中配置，到所有審計辦公桌面，實現桌面安全、應用安全和數據安全，建立全面的審計辦公和電子數據三級安全防護體系，提升審計辦公和審計電子數據的安全保護能力。

6 總 結

企業計算機審計電子數據安全保護工作是一項系統工程，需要技術和管理并重，在將計算機審計電子數據安全保護納入企業保密管理工作范疇的同時，要建立企業個人計算機審計電子數據集中管理制和個人計算機存儲介質安全清理檢查制，定期開展計算機審計電子數據安全檢查工作，將檢查結果定期予以公布，并將計算機審計電子數據安全保護工作情況納入績效考核，全面提高計算機審計電子數據安全保護能力，為企業內部審計計算機審計工作提供有力保障。

主要參考文獻

[1]審計署企業審計司.企業計算機審計論文集[C].北京：中國時代經濟出版社，2012.