智能审计决策支持系统浅探.doc

《智能审计决策支持系统浅探.doc》由会员分享，可在线阅读，更多相关《智能审计决策支持系统浅探.doc（14页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、智能审计决策支持系统浅探智能审计决策支持系统(Intenigent Audit Decision SupportSystem，IADSS)通常简称为智能审计系统，它是在传统审计决策支持系统(Audit Decision Support System，ADSS)的基础上结合审计专家系统(Audit Expert System，AES)和数据挖掘系统(Data MiningSystem，DMS)而形成的软件系统。审计决策支持系统能够借助定量化的决策支持模型来辅助审计人员进行决策，但智能性不足；审计专家系统能模拟审计专家思维来解决非结构性的问题。但审计专家知识获取和转化困难，而且不具备自我学习的功能

2、；以神经网络为代表的数据挖掘系统具有良好的自组织、自学习和自适应能力，但其不能对自身的结论进行解释。这三种系统的优缺点恰好互补，若相互融合，则可构建一个智能审计决策支持系统。 一、审计决策支持系统(ADSS) (一)审计决策支持系统的特征 ADSS是支持审计人员进行非程序性决策的一种信息系统，具有如下三个特征：一是以处理非程序性决策为主；二是对审计人员的支持而不是代替；三是系统本身要求具有灵活性，采用联机对话方式，以便利用审计人员的经验和系统提供可供分析的信息来解决问题。 (二)审计决策支持系统的构建 ADSS的构建可按照国家经济信息系统设计应用标准化规范中的“三库一体化理论”，即由数据库、模

3、型库和方法库组成，它们彼此独立，用户系统通过三库控制系统与“三库”发生联系。数据库子系统是存储、管理、提供与维护用于审计决策支持的审计数据的ADSS基本部件，是支撑模型库子系统及方法库子系统的基础。数据库子系统由数据库、数据析取模块、数据字典、数据库管理系统及数据查询模块等部件组成。ADSS用户是依靠模型库中的审计模型进行决策，因此ADSS是由“模型驱动的”。ADSS设立模型库子系统是为了在不同的条件下，通过模型来实现对问题的动态描述，以便探索或选择令人满意的解答。模型库是ADSS中最复杂和最难实现的部分，通常可直接用于制定审计决策的模型是对应用结构性比较好的问题，其处理算法有明确规定，表现在

4、模型上，其参数值是已知的。对于非结构化的决策问题，有些参数值并不知道，需要适用数理统计等方法估计这些参数值。由于不确定性的影响，参数值估计的非真实性，以及变量之间的制约关系，用这些模型计算得出的输出一般智能辅助决策或对决策的制定提出建议。模型库管理系统的主要功能是模型的利用和维护，模型的利用包括决策问题的定义和概念模型化，从模型库中选择恰当的模型或单元模型构造具体问题的决策支持模型，以及运行模型；模型的维护包括模型的联结、修改和增删等。模型库子系统是在与ADSS其他部件交互过程中发挥作用的，与数据库子系统的交互可获得各种模型所需的数据，实现模型输入、输出和中间结果存取自动化；与方法库子系统的交

5、互可实行目标搜索、灵敏度分析和仿真运行自动化等。更主要的交互则是在人机对话子系统之间，模型的使用和维护实质上是审计人员通过人机对话子系统予以控制与操作。方法库子系统是存储、管理、调用及维护ADSS各部件要用到的通用算法、标准函数等方法的部件，方法库中的方法一般用程序方式存储。它通过对描述外部接口的程序向ADSS提供合适的环境，是计算过程实行交互式的数据存取，从数据库选择数据，从方法库中选择算法，然后将数据和算法结合起来进行计算，并以清晰地呈现方式输出结果，供决策者使用。 (三)审计决策支持系统的思路 ADSS解决问题是沿着“审计人员根据当前环境提出问题审计专家与审计人员交互理解问题审计专家抽象

6、出数学模型友据数学模型编制或调用求解软件软件运行求解问题”这一思路进行的。在该思路中，问题的求解是由“模型驱动”的，问题求解模型是随着问题环境的变化而变化，并且由于变化而重新构造模型时都离不开审计专家的辅助，这就使原本是审计人员在决策支持系统辅助下求解变成了在审计专家辅助下求解的问题，用户在求解问题的多数环节尚仍然离不开审计专家。ADSS应用中出现这种问题，其主要原因是系统的智能性不足，不能根据问题的变化作出适应性的自主调整。 二、审计专家系统(AES) (一)审计专家系统的功能 ADSS借助计算机强大的运算能力与审计人员(专家)灵活的分析和判断能力交互写作，为解决审计中的半结构化与非结构化的

7、决策问题提供了有力的支持。但由于ADSS中计算机一方的重点还在于模型的定量计算，人机对话方式与大多数不熟悉计算机的使用者仍存在一定的距离，限制了ADSS的应用效果。作为人工智能的一个分支，专家系统在二十世纪80年代初开始进入审计人员的视野，AES是建立在管理信息系统和计算机人工智能技术基础上的一种计算机辅助审计软件系统。与普通计算机辅助审计技术不同的是，它利用人工智能的原理，借助计算机模拟人类的思维过程，对管理信息系统的数据进行计算、分析及推理，并作出相应的判断，提出审计建议及线索，以供审计人员进行进一步的重点审计，最终得出审计结论。AES能够借助计算机强大的数据分析和处理能力，帮助审计在最短

8、的时间里，做广泛详细地计算与核查，而且在面临多个结论时，能够通过排序来寻找最佳方案，减少审计人员在做出结论时出现的失误或不一致的可能性，因而可以有效地提高审计效率，降低审计风险，进而保证审计质量。 (二)审计专家系统的工作过程 AES的工作过程可分为三个阶段：初始化阶段、实质性测试阶段和完善工作底稿阶段。每一个阶段，系统会自动地根据审计人员事先所选择的要求和系统数据库中所存储的相关审计知识，分成若干个推理判断的步骤，对被审计单位的会计资料及其他相关资料进行审查，并会自动地查找出所存在地各类错误、舞弊、异常数据和变动及其他不利于企业经营的情况，再以列表或审计意见初稿的形式向审计人员列示。在每一个

9、阶段，审计人员都可以通过系统的人机对话界面对审查情况进行监控。作为一种模拟审计专家水平来解决问题的AES，必须具备组件包括：知识获取组件，它负责将审计专家经验(规则)处理，并存储在知识库中，以备推理机调用；知识表达组件，它运用各种表达法，解决内码转换问题，使信息在系统内部各部件之间得以沟通；知识库，它存储的是那些既不能用数据表示，也不能用模型方法描述的审计专家知识与经验，同时也包括一些特定问题领域的专家知识；知识库管理子系统，由一系列知识库的操作命令程序组成。是知识库操作与其他部件进行联系的桥梁；推理机是专家系统的主要部件之一，主要功能是查询和分析，它由一组具有推理策略的程序组成的，根据系统知

10、识库的数据和程序，推断出问题的可能解；解释环节，将推理机得出的结果经过解释输出，在系统的人机交互界面上，寻求审计决策人员的确认和进一步分析。AES中，知识库和推理机是核心。建立知识库的关键是如何表示知识，也就是审计经验的形式化表示，推理机用于确定不精确推理的方法。一方面，由于审计对象的复杂陸，在 +行业适用的审计经验在其他行业不一定适用，因而通常只能建立在一定范围内或行业内使用的专家系统。另一方面，对于会计的核算，大部分单位和部门是基本相同的，针对会计核算软件(特别是有标准数据接口的)电子数据的审计专家经验，特别是对于标准审计的专家经验有一定的通用性，因此，可以设计开发一个基于会计核算标准数据

11、的AES，在一定程度上实现审计的自动化和智能化。AES的弱点在于审计知识获取和转化困难，因为其需要人工地将各种审计专家知识从人类专家的头脑中或其他知识源处转换到知识库中，费时且低效；对于动态和复杂的系统，由于其推理规则是固定的，难于适应变化的情况，AES还不能从过去处理过的审计案例中继续地学习，这使得知识获取变得困难。 三、智能审计决策支持系统(IADSS) (一)智能审计决策支持系统的特点 与专家系统相比，人工智能的另一个分支，以神经网络为代表的数据挖掘系统(DMS)具有良好的自组织、自学习和自适应能力，因而特别适用于处理复杂问题和开放系统，这正好可以弥补AES的不足。同样，DMS也有其弱点

12、：数据挖掘的知识是分布在整个系统内部，对审计人员而言是个黑箱；而且其对于自己的结论不能作出合理的解释。因此，在ADSS的基础上，融入AES与DMS，可以充分发挥各自的优势，向IADSS发展。 (二)智能审计决策支持系统的构建 IADSS的结构是在传统三库ADSS的基础上增设知识库和推理机，在人机对话子系统加入自然语言处理系统(LS)，与四库之间插入问题处理系统(PPS)而构成的四库系统结构。四库系统的智能人机接口接受用自然语言或接近自然语言的方式表达的决策问题及决策目标，这较大程度地改变了人机界面的性能。决策者可以使用自然语言来提出决策问题，由LS通过语法、语义结构分析等方法转换成系统能理解的

13、形式。运行后，系统则以决策者能清晰理解的或制定的方式输出求解过程与结果。PPS是IADSS中最活跃的部件，它既要识别与分析问题，设计求解方案，还要为问题求解调用四库中的数据、模型、方法及知识等资源，对半结构化或非结构化问题还要触发推理机作推理或新知识的推求。在分析被审计单位海量数据和复杂经济业务的条件下，可以对被审计单位原始数据(数据池)按审计风险分析目的进行有机归并(数据泵)，利用关联规则的挖掘算法，提取其反映相关性的规则、规律和模式，并对这些规则、规律和模式进行分析和评价，有效地形成审计知识(知识库)。审计知识库既反映企业经济活动的规则，又反映审计监督的特征：并为数据挖掘进一步提供支持。需

14、要指出的是，伴随IADSS的发展，这种学习人脑思维活动的程序会日臻完善，但无论该技术如何发展，它毕竟是审计人员思维的外化，是计算机审计的高级形式，其作用不是完全替代人，而是为审计人员完成大量繁琐的线性或非线性逻辑思维过程，减轻审计人员的工作强度。 一种智能审计管理系统，其特征在于，包括在线审计子系统、账务管理子系统和事务所信息管理子系统：所述在线审计子系统包括由在线审计服务器、可根据预设权限对该在线审计服务器进行访问操作的在线审计浏览器客户端组成的后台在线审计子系统和多个分别位于各审计现场的前台在线审计子系统组成；所述在线审计浏览器客户端在所述在线审计服务器中生成会计师事务所审计项目指令或离线

15、审计指令，所述在线审计服务器向所述前台在线审计子系统发送上述审计指令；所述前台在线审计子系统根据上述审计指令采集审计现场数据，并对采集到的审计现场数据进行预处理，生成审计预处理数据，将审计预处理数据输出至所述后台在线审计子系统；所述后台在线审计子系统接收到来自各个前台在线审计子系统的审计预处理数据后，对审计预处理数据进行审计分析处理；所述账务管理子系统包括由账务管理服务器、可根据预设权限对该账务管理服务器进行访问操作的账务管理浏览器客户端组成的后台账务管理子系统组成；所述账务管理浏览器客户端在所述账务管理服务器中生成录入事务所缴费情况指令、设置收费策略指令或查询账目指令，并向所述账务管理服务器

16、发送上述指令，所述账务管理服务器向所述后台在线审计子系统发送上述指令；所述后台在线审计子系统根据上述指令采集审计现场数据，并对采集到的审计现场数据进行预处理，生成审计预处理数据，将审计预处理数据输出至所述后台账务管理子系统；所述后台账务管理子系统接收到来自各个前台账务管理子系统的审计预处理数据后，对审计预处理数据进行审计分析处理；所述事务所信息管理子系统包括由事务所信息管理服务器、可根据预设权限对该事务所信息管理服务器进行访问操作的事务所信息管理浏览器客户端组成的后台信息管理子系统组成；所述事务所信息管理浏览器客户端在所述信息管理服务器中生成会计师事务所的注册指令、管理指令、审计模板编辑指令、

17、审计权限分配指令、审计项目信息查询指令或事务所信息查询指令，并向所述事务所信息管理服务器发送所述指令；所述事务所信息管理服务器向所述后台在线审计子系统发送审计项目信息查询指令；所述后台在线审计子系统根据所述审计项目信息查询指令采集审计数据，并对采集到的审计数据进行预处理，将审计数据输出至所述后台信息管理子系统；所述后台信息管理子系统接收到来自所述后台在线审计子系统的审计数据后，对审计项目信息数据进行分析处理；所述在线审计子系统传送审计项目信息给所述账务管理子系统和事务所信息管理子系统，所述事务所信息管理子系统传送事务所资料信息给所述在线审计子系统和账务管理子系统，所述账务管理子系统传送事务所收

18、费信息给所述事务所信息管理子系统。 1、安全审计的概念CC准则（国际信息技术安全评估通用准则2.0版）中完整定义了信息系统安全审计的功能：信息系统安全审计主要指对与安全有关的活动的相关信息进行识别、记录、存储和分析；审计记录的结果用于检查网络上发生了那些与安全有关的活动，谁（哪个用户）对这个活动负责。安全审计主要是帮助安全人员审计系统的可靠性和安全性；对妨碍系统运行的明显企图及时报告给安全控制台，以便尽快采取控制措施。安全审计的一个重要的理念是：它是针对内部人员而不是针对外部的入侵者的，其作用主要是安全威慑。因为对于内部“合法”用户（授权用户）的不法行为不大可能在事前预防，也不容易在事中及时发

19、现，那么最适合的就是事后的审计了。鉴于此，安全审计系统就必须具备下面几项功能：（1）记录使用者（包括内部人员和外部人员）的行为。什么时候来的，做了那些操作，什么时候走的。（2）确定使用者的身份。最起码要确定其计算机的IP地址，审计系统一般与网络身份认证连接，确定使用者具体是谁。（3）重现使用者的“工作”过程。鉴于网络中应用协议多，调用资源的方式也多，重现过程不仅需要记录大量的现场通讯数据，而且还要重现环境。（4）审计记录数据不可更改。保证审计记录的不可修改是事后取证的关键。因为计算机存储的信息是电子化的，很容易被修改，而且可以没有修改的痕迹。2、安全审计系统在烟草信息安全系统中的地位烟草行业的

20、信息化工作正进入大集成阶段，网络信息安全更是不容忽视，为了保证集成化工作顺利推进，就必须加强对内部的监管，减少来自内部的安全威胁。归结起来，行业内部威胁集中表现在以下几个方面：（1）内部系统维护人员对业务系统的越权访问、违规操作，损害业务系统的运行安全；（2）企业重要业务数据库，被员工或系统维护人员有意或无意篡改、外泄，造成重大的经济损失；（3）员工随意通过网络共享文件夹、文件上传下载、E-mail等方式，发送重要敏感信息、业务数据，导致信息外泄事件发生；（4）员工在论坛发表敏感信息、传播非法言论，造成恶劣社会影响；虽然目前全国大部分烟草系统已经采取了一定的网络安全手段（如防火墙、入侵检测、漏

21、洞扫描等）和管理措施，但是当以上安全事件发生后，却仍然无法进行及时告警响应、准确定位事件源头，由此带来了极大的困扰和严重的信息安全隐患。现如今如何有效监控内部员工对业务系统的访问和网络行为，准确掌握网络系统的安全状态，及时发现违反安全策略的事件并实时告警、记录，同时进行安全事件定位分析，事后追查取证，已经成为行业迫切需要解决的问题。因此，一个完善的审计系统就可以帮助记录发生在重要业务系统中的各种会话和事件，包括发生在网络中、主机操作系统中，以及应用系统中的各类会话和事件。审计系统记录下来的审计信息反映了信息系统运行的基本轨迹。一方面，它可以帮助管理层和审计者审核信息系统的运行是否符合法律法规的

22、要求和组织内部制定的安全策略；另一方面，这些宝贵的审计信息在信息系统出现故障和安全事故时，能够像航空器中的“黑盒子”一样，帮助调查者深入挖掘事件背后的情报，重建事件过程，直至完全地分析定位事件的本源，并可根据这些分析部署进一步的安全措施来避免损失再次发生。3、安全审计系统在烟草行业中的应用以湖北省烟草为例，其核心业务系统是由大量的Unix/Linux服务器、Windows服务器、网络设备，以及运行其上的各种应用组成，这些应用系统包括ERP、CRM、资源管理系统、办公自动化、电子商务、知识管理系统，以及其它各种C/S或B/S应用。为保证这些业务系统安全、稳定运行，2010年在全省范围了统一部署了

23、安全运维平台，集成了福莱特公司的SA（SessionAuditor）安全审计系统。SA是一个新型的基于网络的审计系统，它提供了深入的分析和回放功能，记录了用户在一个登录会话中与所有应用交互的全过程，包括屏幕的更新、鼠标的移动与点击以及来自键盘的输入，全面覆盖管理维护活动中常用的网络协议，克服了普通审计系统无法进行事件重建与回放，不能理解加密协议的不足。SA的系统架构如图所示：图1SA系统架构图（1）访问控制 在SA上可以除了可以定制记录会话内容的审计策略，还可以根据会话的源/目的地址、目的端口进行会话访问控制。（2）会话回放 所有记录的会话都能完全真实再现地回放出来，包括加密的SSH、SFTP

24、等操作，以及WINDOWS下的远程桌面、VNC等图形操作。会话回放能精确定位到“每一帧”，可以“步进”的方式进行查看。在进度条上有会话操作者的操作频度显示，通过曲线图能轻松找到操作密集的区域进行查看。（3）智能审计用户根据自己业务的需求定制专用审计脚本，实现用户自义的内容审计规则。例如通过脚本的定制，实现猜测密码，更换用户名，删除特定的敏感字符串等等。定制审计计划使用计划任务的方式，将需要审计的内容统一纳入即时计划，当事件触发时自动执行任务计划。智能审计系统还提供审计功能模块的接口，方便进行二次开发，更加适合用户业务环境的定制与开发。（4）会话实时通知审计系统会向管理端发送新会话开始或已连接会

25、话结束的消息，为审计或系统管理人员提供了实时监控会话的能力。（5）事件实时通知实时事件包括审计事件与设备运行过程中产生的需要管理员关注的事件。事件实时通知功能让管理人员能立即发现及定位网络或系统的故障并及时排除。（6）系统运行状态实时监视管理端显示SA的实时运行状态，如CPU占用率、内存占用情况、网络流量等。运行状态实时监视让管理人员随时了解网络运行状态并根据状态调节系统配置，以适应变化的网络状态。（7）加密审计流信息的传输通道之间采用高强度的加密通信协议以保证认证及审计数据在传输过程中的安全性。4、系统应用的优势和不足在内控和安全审计的重要性与日俱增的今天，SA为烟草行业解决内部安全威胁问题

26、打开了方便之门，也为信息化的大集成之路扫除了不少的障碍。其主要优势体现在：首先，支持对Telnet、FTP、SNMP、Rlogin、Oracle、Sybase、MSSQL、POP3、SMTP以及CIFS/SMB等多种协议的审计；支持程桌面操作（WindowsRemoteDesktopProtocol）、CitrixICA、VNC等会话，能够对WINDOWS远程维护进行完全记录及回放，实现了对图形界面操作的审计；支持SSH、SFTP、SCP以及SSHPORTFORWADING会话，能够对UNIX下加密登录远程维护进行完全记录及回放。第二，采用PROXY方式克服了因为丢包而导致回话不能完整回放的的

27、问题，并支持故障BYPASS功能。第三，基于角色的访问控制系统和数据备份恢复机制，确保审计数据的保密性、完整性和可用性；完善的自身认证和加密方案，确保审计过程的保密性和完整性。第四，智能审计系统方便进行用户根据内容定制审计脚本；审计机制不可旁路、审计信息不可窜改。虽然系统具备了强大的审计追踪功能，但是系统的应用需要环境，在烟草这个大环境中，对安全审计系统的应用还不够充分，主要体现在：第一，缺乏专业的技术人员。审计信息需要专业的分析，烟草行业有IT人员，也有审计人员，却没有专业的安全审计人员，对信息缺乏专业的分析，这样也就从一定程度上削弱了系统的监管作用。第二，对管理人员的培训不够。对新上线的审

28、计系统，针对系统管理人员的培训时间较短，导致对安全审计的理解存在盲区，系统也未能全面运行。第三，针对审计结果的后续管理措施未能及时成文。安全审计从技术上为行业解决了内部忧患，但是安全审计只是起到了一个威慑的作用，真正要解决问题还得管理做保障。5、结束语安全审计从技术上为烟草行业解决了内忧问题，可以对内部违规行为进行有效的监控和管理，同时但是一个系统能否发挥作用，关键还在于系统的运用，而系统的应用还要看管理人员对系统熟悉程度。所以要发挥系统的强大功用，应该加强对系统操作人员的培训，从软硬件两方面加强对企业的内控和监管。同时，还应从管理上通过完善和优化安全管理理体系和措施来提高整体的安全管理能力与

29、监督能力，从而保障整个烟草信息网络的安全、稳健运行。日前,云南省科技奖励办公室组织项目成果鉴定委员会对“云南省地税联网审计应用系统”（以下简称“地税联网审计系统”）进行了项目成果鉴定。鉴定委员会在听取地税联网审计系统项目完成和应用情况汇报、审阅项目文档、观看系统应用演示的基础上，进行了详细质询和仔细讨论，出具了系统测试报告。鉴定委员会认为，地税联网审计系统的应用产生了较好的社会效益和经济效益，并且实现了三大创新：一是审计方式创新。依托金审工程的实施，实现了省、市、县三级地税动态采集数据、动态监测分析、动态反馈信息、动态督促整改的联网审计模式，该模式集统一采集数据、集中分析、发现疑点、分散核查、

30、远程审计等功能，突破了事后“分散式”数据审计的常规审计模式。二是审计预警模型创新。该项目实现了计算机技术与审计业务的有机结合，建立了469个动态监测审计指标和数据模型，较好地解决了地税联网审计中对各类地方税务业务常规审计的需求，改变了在地税联网审计中数据分散、缺乏预警预测分析的落后状态。三是审计智能化技术创新。该项目研发中应用的聚类知识发现、智能信息处理、关联规则数据挖掘等动态监测智能处理技术，为地税联网审计的智能化提供了有力支撑。浅析公安审计信息化系统架构与功能设计内容摘要：公安审计信息系统按照BS设计，以应用需求为指导，按照审计作业类型，以审计程序和审计内容主导审计作业，来设计作业功能框架

31、；依据审计管理要求，构建管理功能模块，实现审计管理与审计作业信息资源的同步信息交换。开发应用审计工具库技术，满足审计工作的功能需求。主题词：公安审计 信息化 结构 作业 管理 安全 中国经济搭乘全球经济快车，政府机关和企事业单位都正在充分地利用信息技术，以快速地改变它们从政或从事业务的方式。它改进或者甚至完全改变政府或企业的运作模式，这种方法就称为BE（Business Engineering业务工程）。政府部门国家审计和内部审计工作也不例外，从INTOSAI（世界审计组织最高审计机关国际组织）到CNAO（中国审计署）到CIIA（中国内部审计协会），都在努力地寻求IT审计理论与实践的突破。 一

32、、审计信息化建设总体目标和构想 江苏省2005-2010年审计信息化发展规划中确立我省审计信息化模式是：“预算跟踪联网核查”的管理审计模式，并实现审计监督的“三个转变”：即从单一事后审计转变为事后审计与事中审计相结合、从单一静态审计转变为静态审计与动态审计相结合、从单一现场审计转变为现场审计与远程审计相结合。根据这一目标任务，在充分论证江苏公安机关金盾工程建设进程和现阶段技术水平后，笔者认为，江苏公安内部审计信息化建设的总体目标任务是：在江苏省2005-2010年审计信息化发展规划的基础上，由省厅投资集中开发BS结构的审计信息管理与作业系统，建成省市县三级合一的基础性审计资源数据库和平台，省市

33、县三级所有审计机构网站管理子系统，省市县三级所有审计人员个人办公和审计作业平台，实现“系统集成+网上管理”、“远程指导+联网监控”、“预算跟踪+联网审计”的管理审计模式，全省公安审计机构和广大审计人员按照http和https协议要求，充分共享省厅服务器端应用服务器和数据服务器的主机系统，完成全省公安审计管理和所有的审计作业，基于已经建成的与审计关联的其他信息系统，实现系统集成，达到系统信息高度共享。 二、公安审计信息化系统架构 对于组织机构来说：“好的机制使坏人也不能做坏事，坏的机制使好人也不能做好事”，对于一个信息系统来说，系统的质量来自于架构，系统的灵活性来自于架构，系统的可靠性来自于架构

34、，系统的适用性来自于架构，甚至系统的开发过程、系统建设的成败都取决于系统的架构。好的架构是好的系统最重要的前提。 系统架构就是系统软件的体系结构，是说明审计信息系统的层次计算架构。审计软件架构从历史发展来看，已经从单层架构发展到多层架构，主要有以下四种类型。 （一）主机终端结构。就是单层计算体系的软件架构，从逻辑上讲就是一种中心处理模式，通俗地说就是单一计算机处理模式，即单机版软件结构。在这样的体系中，除了交互，客户端不再保存任何逻辑，计算机之间虽然可以连接，但所有终端只能接受中央处理器指令，返回处理结果，呈现给用户的都是单一计算机处理的全部功能。现实工作中的单机版审计软件，商家为了保护自身利

35、益，应用加密技术，软件只能在独立客户端操作。该架构的优点是：保证信息处理具有可靠的安全性，所有操作过程都是集中在中央处理器上进行，不存在信息同步的问题，所见即所得，数据备份和恢复简单。缺点是：网络传输负载重，客户端数量有限，无法充分利用客户端计算机资源。 （二）CS模式结构。这是一种面向数据的应用结构，即客户机-服务器两层分部式计算模式，是以数据共享为核心的多客户端系统，就是我们常说的网络版审计软件结构。这种模式下的数据存储分为客户端和服务器（包含应用服务器和数据库服务器）两部分，前者存储本地数据，后者存储全局数据。CS模式结构的优点是：可以充分地利用客户端和服务器资源，减少网络传输，提高系统

36、的运行速度，客户端的数量有显著增加，客户端可以对数据进行预处理和各种控制。缺点是：数据存储分散，存在数据同步汇总的难题，对客户端的硬件设备和网络带宽要求高，数据存储的安全性降低，需要安装客户端软件，系统同步维护和升级困难且成本高，多种因素制约了应用客户端的数量请求。 （三）BS模式结构。就是三层及以上软件架构和互联网技术的有机结合，包括了客户端浏览器-Web服务器-应用服务器-数据库服务器，多层架构的中间层为客户端请求提供了响应，为应用程序提供服务，高性能地为大量并发访问提供快速服务，能够兼容和应用不同厂商的数据库，和传统的CS结构相比有很大的优势：对客户端的设备要求不高，标准客户端用户不需要

37、安装软件及插件，使用方便，易于理解，基于http、https协议的标准瘦客户端，绝大部分处理工作是在服务器端完成，所有数据存储在数据库服务器中，确保了审计系统信息的安全，大大提高了审计系统的性能，有利于审计信息系统信息资源的共享和利用，独立出来的应用逻辑层易于软件系统的维护和升级，维护和升级成本低。缺点是，开发成本高，对用户网络资源要求高，对设计的要求和现实的复杂性高，软件开发已经达到企业级。BS结构审计软件就是我们通常意义上的审计信息系统。 （四）智能客户端模式。是BS向CS结构的变型，是应用服务器和成熟中间件的混合使用。智能客户端审计信息系统，是目前审计系统最前沿的发展方向，现阶段国内还没

38、有成熟的智能客户端模式的审计信息系统。该系统的优点是：既具有BS结构易于部署、维护和使用的好处，又具备CS结构的客户端的响应速度，兼容性和扩展性良好，能够充分地利用公安机关现有的系统信息资源，为审计工作和辅助领导决策提供支持。江苏公安机关信息化建设起步较早，目前省市县三级主干网全面建成，省-市带宽155兆、市-县带宽155兆以上，县-基层所队带宽百兆或千兆，系统资源丰富。鉴于此，为建设BS结构的江苏公安审计信息系统提供了有力的保证，目前公安审计信息系统并发访问可支持用户超过300人，除去网络延缓等因素外，典型操作界面的响应时间10秒。今年江苏公安审计信息系统正在向智能客户端方向升级。 三、江苏

39、公安审计信息系统的功能结构 OO是“面向对象”的英文Object Oriented的缩写，公安审计信息系统基于“面向对象”思想设计信息模型，真实地反映了公安审计实际工作的需要，规划公安审计系统的结构，由此产生出高质量的系统运算结果。通过模拟公安审计现实工作的过程和变化，可以自动地得到用户想要得到的系统运算产出物，通过信息交换实现公安审计和公安工作的高度统一。基于这种思想，公安审计信息系统的功能结构描述如下。 （一）按审计作业类型模拟审计技术。根据公安审计监督工作的需要，在充分解剖公安审计工作职能后，可以看出，公安审计工作的主要类型有财务收支审计、预算执行审计、绩效审计、经济责任审计、涉案财物审

40、计、财经法纪审计、公安收费审计、内控制度审计、风险控制审计、专项审计、基建投资审计、政府采购审计、合同审计、信息工程审计、公司治理审计、信息系统审计等十六种。不同的审计类型又有相对应的不同审计内容，审计系统应按审计人员的不同需求，在同一管理、协调互动的前提下，提供相应的审计作业模块，开展审计工作。同时系统应具备很强的开放性，根据审计工作的需求发展，操作者可自行添加审计作业类型，添加相关的内容，以适应未来审计工作的需要。 （二）按审计程序过程和审计内容模拟审计技术。模拟审计技术主要基于以下原则设定的：一是审计计划的统一制定、管理、执行和监控。通过系统的管理，可实现对审计计划相对于手工模式的更高效

41、的自上而下的统管模式。此外，可实现手工模式下无法做到的对计划执行情况的实时监管与统计考核。第二审前调查工作是以审计对象为载体同时反映审计对象基本情况的基础性工作。能否有效的体现并对所调查结果实施有针对性的管理并进行有效对比从而形成审计对性资料库并具备可扩展性，就成为系统效用的直接体现。第三审计分工是针对审计人员展开的，是项目工作部署的基础，同时也是实施项目工作质量考核的基础。除此外上述内容还应成为审计人员个体资料库的有效组成部分，并同审计工作质量考核及评定实施有效结合，以实现在项目过程中及项目结束后对项目组成员工作情况查询及考核的依据。下面以公安机关领导干部任期经济责任审计为例描述模拟审计技术

42、。审计工作阶段性的描述：任何一项审计工作，按照其工作流程，可分为审计准备、审计实施、审计终结和后续审计四个阶段： 审计准备阶段包括的主要内容是：经济责任审计委托、计划与立项、审前调查、方案制订、审计组和审计专业技术人员确定和分工、审计通知、被审计单位和相关人员的资料和数据准备等。 审计实施阶段包括的主要内容是：应用审计工具开展预算执行情况和决算审计、预算资金或生产经营资金以及专项资金（基金）的收入、管理和使用情况审计、债权债务的管理、国有资产的管理、使用和保值增值情况审计、重大建设、对外投资决策和经济效益情况审计、执法活动中经济责任履行情况审计、与财政财务收支、生产经营和财务管理有关的内部控制

43、制度执行情况审计、任期内与财政财务收支相关的主要经济工作目标、任务完成情况审计、遵守国家财经法规、单位财务制度和廉政规定情况审计、其他需要审计的事项的审计。 实施阶段所应用的审计方法包括：内控制度测试、审计调查、会议、谈话、分析、查询、取证、工程量计算、签证、编制审计工作底稿、汇总审计工作底稿、审计复核、法规定性、编写审计报告、征求被审计单位和人员的意见并补证等，这些审计方法，是通过调用审计工具库中的审计工具得以实现。 根据不同的审计类型、审计任务、被审计对象具体情况，一是，系统应能提供有针对性不同审计类型的工具库，根据项目的类型，审计实施阶段审计人员可直接应用该类型的工具，而并非在庞大的工具

44、库中挑选适合的工具。二是，审计人员可根据系统提供的根据该项目类型设置的“审计程序”及其工作流程展开审计工作。以实现在流程化、导向化作业的前提下，对审计工作的监管与考核，达到在项目结束后，乃至项目进行中对项目的考核同步进行的效果。三是，系统应提供对审计作业起辅助、支持作用的功能，如同大法规库相联接的“针对性法规的底稿自动导入”功能，从而实现工作底稿制作的有据可依、规范、高效。四是，项目统计功能的同步展开，根据项目开展情况，系统应能随时自动统计项目相关数据，如项目台帐，使管理层可随时了解、掌控各开展项目、结束项目的统计结果，以便于对全面审计工作的调整。 审计终结阶段包括的主要内容是：审计报告呈批、

45、出具审计结果报告或审计决定、审计结果抄送相关部门和人员、审计项目归档。 项目终结后，一是，各项目的统计资料、档案资料应完成自动汇总，并产生汇总结果。二是，系统应支持在项目终结过程中的流痕性文档传输。三是，项目归档应自动灵活的体现各项目的不同特性，从各方面对不同类型的档案实施记录，以便于后期对档案的多维查询。四是，根据公安审计特性，对于审计对象财务数据的管理极为重要，因此，系统应能对该项目所采用的财务数据进行有效备份或管理性销毁。 后续审计阶段包括的主要内容是：对被审计单位执行审计意见或审计决定等情况进行跟踪审计。应能实现针对审计对象的整体性管理模式，对审计对象的跟踪情况及其记录，应同审计对象库

46、相结合，使审计对象库实现同步更新。 审计系统中的审计作业部分是在充分了解各阶段工作需求的基础上，确定相应的需求逻辑关系，审计信息技术应用的原动力是审计业务需求，根据业务阶段需求，进行分模块设计建设，按照树状结构分层展开，实现按照审计程序和审计内容主导审计业务，达到信息化建设与业务功能需求的高度一致，在规范审计工作流程的同时，起到导向作用，使不会审计的人会审计。审计人员能根据各自的审计任务，可以自行添加和删减审计内容，生成个性化的审计程序和经典的审计程序内容，方便以后审计工作调用，提高以后的审计工作效率。同时每一阶段审计工作所应用的审计方法，通过调用功能强大的审计工具库中的审计工具，实现自由组合

47、，使会审计的人如虎添翼，达到审计工作的更高目标。 （三）按审计管理类型模拟审计管理技术。按照审计管理的需要，构建审计管理功能模块结构：人员管理：实现省、市、县三级公安审计人员相关信息的管理；人员考核：与审计作业关联，实现省、市、县三级公安审计人员网上德、能、勤、绩、廉的考核管理；人员培训：实现省、市、县三级公安审计人员的网上后续教育管理和远程审计培训；审计专家管理：实现全省范围内审计专家的聘任和考评，实现审计专家在线参与审计项目，进行在线审计咨询和在线服务；机构管理：实现省、市、县三级公安审计机构相关信息管理；机构考核：与审计作业关联，自动实现省对市、市对县公安审计机构工作考核和审计项目作业的

48、审计风险管理；计划管理：与审计作业关联，自动实现省、市、县三级公安机构审计计划和计划执行情况的管理；对象管理：分层建立审计对象数据库，自动实现省、市、县三级公安审计对象历史数据的管理；报表台账管理：与审计作业关联，自动实现省、市、县三级公安审计机构审计数据统计，生成审计台账和相关报表的管理功能；公文管理：实现省、市、县三级公安审计机构行政公文和审计作业公文的管理，按照审计立卷归档规范要求，自动形成审计作业档案和审计文书档案，方便查阅利用；项目管理：与审计作业关联，自动实现省、市、县三级公安审计机构审计项目的同步管理；信息成果共享管理：实现公安审计系统与公安机关财务、国有资产管理、档案管理、人事管理、违法违纪案件管理、法规管理、警务平台等系统的对接，实现跨系统信息的采集、交互、审计成果共享；审计信息网站管理：省、市、县三级公安审计机构全部建成公安审计信息网，公安审计机构利用公安审计信息网宣传审计工作、交流审计工作、指挥审计工作、管理审计工作、监督审计工作，公安审计人员利用审计网络进行审计理论研讨，获取最新审计信息；法规管理：建立国家法律法规库和地方规章制度库，与公