内部审计报告没有固定的项目要求。基本的项目应该包括以下几方面内容:
一、审计报告的标题
审计报告的标题因审计项目和审计内容的不同而不同。例如:关于对**公司财务收支的审计报告;关于对**公司(**期间)经营(目标)结果的审计报告;关于对***任期经济责任的审计报告;关于对**公司经理**离任的审计报告;关于对**公司***问题的中期审计报告;关于对项目的专项审计调查报告;关于对拟并购**公司资产情况的审计报告;尽职调查报告;关于对**公司内部控制制度的审计报告„„。
二、审计报告的主送人
根据内部审计机构隶属关系的不同而有区别:财务总监;主管总裁(经理);总审计师(审计总监);董事长;审计委员会等。
三、审计依据、审计目标、审计范围、审计内容、审计人员、审计时间
开宗明义:根据什么进行审计?本次审计要解决什么问题?审计何时间内、何范围内、何内容?审计工作人员及审计所耗时间。这里不能罗嗦,宜高度概括但不能缺项。
四、审计出的主要问题及问题形成的原因
审计出的主要问题要根据重要性(金额大小、性质、影响程度等)原则,对问题进行排序。如:重大偏离审计目标的违法问题、违规问题、高风险问题、做假帐、上报虚假的财务报告、资产不实风险等。对所有问题都要先定性质后量化。如:虚增**年度利润300万元;职务侵占公款300万元;现金短款300元;违反投资决策程序造成投资损失300万元;私设小金库300万元等等。然后逐项描述。基本要求是:让所有收到报告的人都能读懂问题的来龙去脉。
问题形成的原因可以单独写也可写在报告里,但一定要实事求是,符合客观实际。问题的原因应该明确界定出主观原因和客观原因。主观原因的表现是:明知故犯;先犯后改、改了再犯;履查履犯。客观原因的表现是:业务流程中设为非控制重点环节;内部控制点制度空白;非常情况下发生;企业发展中的新问题。所有原因均应引申其对公司发展的影响。
五、被审计对象在审计期间就已经审计出的问题的整改行动及纠正措施
在审计期间(审计通知书发出之日起到部门审计报告定稿前)对审计发现的问题,公司已经或正在进行整改,有实际纠正行动和结果的,应该在审计报告中进行描述。肯定被审计对象对制度的维护和对审计问题的态度所做出的努力。这个信息应该通过审计报告传递到所有能读到审计报告的每位领导。
六、审计结论与审计评价
每份审计报告都要给出审计结论和审计评价。这不仅是对被审计对象履行的义务,也是体现审计独立性、权威性、客观性、决策可参照性的必要前提。也是企业设立内部审计机构的主要目标之一。内部审计不参与经营,与经营者没有直接的利益冲突关系,审计结论和审计评价必须确保独立性和权威性。
七、审计建议
国家审计这个位置是要写“审计意见”或“审计结论和处理意见”的,内部审计无执法权,如无公司文件明确规定,则没必要写成“审计意见”。“审计建议”要具备可操作性,基本要求是能够解决审计发现的问题。内部审计存在的前提是能够发现问题,内部审计的价值是如何解决已经发现了的问题,最低要求是同样的问题不能再在同一个管理中心或利润中心重复发生。
八、审计报告出具人
审计组的“审计报告”要手书审计组全体人员的名字;审计部的“审计报告”要手书审计经理的名字。这和国家审计机关的审计报告有明显的区别。
九、审计报告出具日期 打印审计报告形成日期。
十、审计报告抄送人员和部门及报告总份数及存档要求
内部审计机构的审计报告,是要按公司规定发送很多既定的领导和部门的,在审计报告最后一页的页角,按规定写清楚抄送人员和部门及需存档案的份数及总发出份数。篇2:审计报告意见类型有以下四种
无保留意见 保留意见 无法表达意见 否定意见类型
无保留意见审计报告
无保留意见的审计报告是最普通的审计报告。据国外文献统计,注册会计师出具的审计报告90%以上都是无保留意见的审计报告,我国的比例可能低一些,主要与企业的质量有关。如果注册会计师认为会计报表符合合法性与公允性,没有在审计过程中受到限制,且不存在应当调整或披露而被审计单位未予调整或披露的重要事项时,应当出具无保留意见的审计报告;在决定出具无保留意见的审计报告时,如果认为审计报告不必附加任何说明段、强调事项段或修正性用语,注册会计师应当出具标准无保留意见的审计报告,即标准审计报告。
保留意见审计报告
保留意见适用于被审计单位没有遵守国家发布的企业会计准则和相关会计制度的规定,或注册会计师的审计范围受到限制。只有当注册会计师认为会计报表就其整体而言是公允的,但还存在对会计报表产生重大影响的情形,才能出具保留意见的审计报告。如果注册会计师认为所报告的情形对会计报表产生的影响极为严重,则应出具否定意见的审计报告或无法表示意见的审计报告。因此,保留意见的审计报告被视为注册会计师在不能出具无保留意见审计报告的情况下最不严厉的审计报告。
否定意见的审计报告
只有当注册会计师确信会计报表存在重大错报和歪曲,以至会计报表不符合国家发布的企业会计准则和相关会计制度的规定,未能从整体上公允反映被审计单位的财务状况、经营成果和现金流量,注册会计师才出具否定意见的审计报告。注册会计师应当依据充分、适当的证据,进行恰当的职业判断,确信会计报表不具有合法性与公允性时,才能出具否定意见的审计报告。据文献统计,注册会计师很少出具否定意见的审计报告。
否定意见审计报告
只有当审计范围受到限制可能产生的影响非常重大和广泛,不能获取充分、适当的审计证据,以至无法确定会计报表的合法性与公允性,注册会计师才可出具无法表示意见的审计报告。无法表示意见不同于否定意见,它仅仅适用于注册会计师不能获取充分、适当的审计证据的情形。如果注册会计师发表否定意见,必须获得充分、适当的审计证据。无论无法表示意见还是否定意见,都只有在非常严重的情形下采用。篇3:审计报告
审计报告
——关于我国上市公司2012年审计报告类型统计分析及具体分析
学院:经济管理学院
班级:084102 组长:郭广慧
组员:李林璋 柳彬 冯可恒
李娜 孙嘉悉 施丹宁 陈苏娇
类型一:标准无保留意见审计报告
审计报告
毕马威华振审字第1300001 号
万科企业股份有限公司全体股东: 我们审计了后附的万科企业股份有限公司 (以下简称 “贵公司” ) 财务报表,包括2012 年12 月31 日的合并资产负债表和资产负债表,2012 年度的合并利润表和利润表、合并现金流量表和现金流量表、合并股东权益变动表和股东权益变动表以及财务报表附注。
一、管理层对财务报表的责任
编制和公允列报财务报表是贵公司管理层的责任,这种责任包括: (1) 按照中华人民共和国财政部颁布的企业会计准则的规定编制财务报表,并使其实现公允反映;(2)设计、执行和维护必要的内部控制,以使财务报表不存在由于舞弊或错误导致的重大错报。
二、注册会计师的责任
我们的责任是在执行审计工作的基础上对财务报表发表审计意见。我们按照中国注册会计师审计准则的规定执行了审计工作。中国注册会计师审计准则要求我们遵守中国注册会计师职业道德守则,计划和执行审计工作以对财务报表是否不存在重大错报获取合理保证。
审计工作涉及实施审计程序,以获取有关财务报表金额和披露的审计证据。选择的审计程序取决于注册会计师的判断,包括对由于舞弊或错误导致的财务报表重大错报风险的评估。在进行风险评估时,注册会计师考虑与财务报表编制和公允列报相关的内部控制,以设计恰当的审计程序。审计工作还包括评价管理层选用会计政策的恰当性和作出会计估计的合理性,以及评价财务报表的总体列
报。
我们相信,我们获取的审计证据是充分、适当的,为发表审计意见提供了基础。
三、审计意见
我们认为,贵公司财务报表在所有重大方面按照中华人民共和国财政部颁布的企业会计准则的规定编制,公允反映了贵公司2012 年12 月31 日的合并财务状况和财务状况以及2012 年度的合并经营成果和经营成果及合并现金流量和现金流量。 毕马威华振会计师事务所 (特殊普通合伙) 中国注册会计师 中国 北京 李婉薇
温华新
2013年2月26日
注册会计师出具的标准无保留意见审计报告是符合以下条件的:
1、财务报表已经在所有重大方面按照适用的财务报告编制基础编制,公允反映了被审计单位的财务状况、经营成果和现金流量。
2、注册会计师已经按照中国注册会计师审计准则的规定计划和实施审计工作,在审计过程中未受到限制。
3、没有必要在审计报告中增加强调事项段或其他事项段。
标准无标留意见审计报告应当以“我们认为”作为意见段的开头,并使用“在所有重大方面”、“公允反映了”等专业术语。
注册会计师作出保证,对获取万科企业股份有限公司的审计证据是充分的、适当的。在审计意见中,注册会计师确切的认为在该公司财务报表所有重大方面是按照我国会计准则编制,对财务报表进行充分的的披露,保证预期使用者能够理解重大交易事项,并且公允的反映了财务状况,保证了财务报表信息的可靠性。
类型二:带强调时段的无保留意见
审计报告
深圳世纪星源股份有限公司全体股东:
我们审计了后附的深圳世纪星源股份有限公司(以下简称世纪星源公司)
财务报表,包括2012年12月31日的合并及母公司资产负债表、2012年度的合并及母公司利润表、合并及母公司现金流量表、合并及母公司所有者权益变动表以及财务报表附注。
一、管理层对财务报表的责任 编制和公允列报财务报表是世纪星源公司管理层的责任,这种责任包括:
(1)按照企业会计准则的规定编制财务报表,并使其实现公允反映;(2)设计、执行和维护必要的内部控制,以使财务报表不存在由于舞弊或错误导致的重大错报。
二、注册会计师的责任
我们的责任是在执行审计工作的基础上对财务报表发表审计意见。我们按照中国注册会计师审计准则的规定执行了审计工作。中国注册会计师审计准则要求我们遵守中国注册会计师职业道德守则,计划和执行审计工作以对财务报表是否不存在重大错报获取合理保证。
审计工作涉及实施审计程序,以获取有关财务报表金额和披露的审计证据。选择的审计程序取决于注册会计师的判断,包括对由于舞弊或错误导致的财务报表重大错报风险的评估。在进行风险评估时,注册会计师考虑与财务报表编制和公允列报相关的内部控制,以设计恰当的审计程序,但目的并非对内部控制的有效性发表意见。审计工作还包括评价管理层选用会计政策的恰当性和作出会计估计的合理性,以及评价财务报表的总体列报。
我们相信,我们获取的审计证据是充分、适当的,为发表审计意见提供了基础。
三、审计意见
我们认为,世纪星源公司财务报表在所有重大方面按照企业会计准则的规定编制,公允反映了世纪星源公司2012年12月31日的合并及母公司财务状况以及2012年度的合并及母公司经营成果和现金流量。
四、强调事项
我们提醒财务报表使用者关注,如财务报表附注十二
(一)所述,肇庆项目投资账面价值折合人民币403170458.96元,占世纪星源公司资产的比例较大。2008年世纪星源公司与广金国际控股公司合作开发该项目,项目实际执行情况由于受到历史原因,规划调整等客观因素的影响,开发进度存在重大不确定性。本段内容不影响已发审计意见。
中审亚太事务所有限公司 中国注册会计师 李新首 曾毅凯
中国 北京 二0一三年四月二十日
注册会计师认为有必要提醒财务报表使用者关注已在财务报表中列报或披露对财务报表的使用者理解财务报表至关重要的事项,注册会计师在已获取充分、适当的审计证据证明该事项在财务报表中不存在重大错报的条件下,应当在审计报告中增加强调事项段。
带强调事项段的审计报告的格式:将强调事项段紧接在审计意见段之后;使用“强调事段”;明确提及被强调事段以及相关披露的位置,以便能够在财务报表中找到对该事项的详细描述;支出审计意见没有因该强调事项而改变。
注册会计师对世纪星源股份有限公司所做审计为带强调事段的审计报告,要求增加强调事项段的原因是:财务报表是否清楚披露可能导致对持续经营能力产生重大疑虑的事项或情况存在不确定性,并由此导致被审计单位可能无法在正常的经营过程中变现资产和清偿债务。因此注册会计师提醒财务报表使用者关注财务报表附注中对前述有关经营事项的披露。
类型三:保留意见 审计报告
国浩审字[2013]第407a0001号 海信科龙电器股份有限公司全体股东:篇4:审计报告格式
审计报告格式
一、引言
随着网络的发展,网络信息的安全越来越引起世界各国的重视,防病毒产品、防火墙、入侵检测、漏洞扫描等安全产品都得到了广泛的应用,但是这些信息安全产品都是为了防御外部的入侵和窃取。随着对网络安全的认识和技术的发展,发现由于内部人员造成的泄密或入侵事件占了很大的比例,所以防止内部的非法违规行为应该与抵御外部的入侵同样地受到重视,要做到这点就需要在网络中实现对网络资源的使用进行审计。
在当今的网络中各种审计系统已经有了初步的应用,例如:数据库审计、应用程序审计以及网络信息审计等,但是,随着网络规模的不断扩大,功能相对单一的审计产品有一定的局限性,并且对审计信息的综合分析和综合管理能力远远不够。功能完整、管理统一,跨地区、跨网段、集中管理才是综合审计系统最终的发展目标。
本文对涉密信息系统中安全审计系统的概念、内容、实现原理、存在的问题、以及今后的发展方向做出了讨论。
二、什么是安全审计
国内通常对计算机信息安全的认识是要保证计算机信息系统中信息的机密性、完整性、可控性、可用性和不可否认性(抗抵赖),简称“五性”。安全审计是这“五性”的重要保障之一,它对计算机信息系统中的所有网络资源(包括数据库、主机、操作系统、安全设备等)进行安全审计,记录所有发生的事件,提供给系统管理员作为系统维护以及安全防范的依据。安全审计如同银行的监控系统,不论是什么人进出银行,都进行如实登记,并且每个人在银行中的行动,乃至一个茶杯的挪动都被如实的记录,一旦有突发事件可以快速的查阅进出记录和行为记录,确定问题所在,以便采取相应的处理措施。
近几年,涉密系统规模不断扩大,系统中使用的设备也逐渐增多,每种设备都带有自己的审计模块,另外还有专门针对某一种网络应用设计的审计系统,如:操作系统的审计、数据库审计系统、网络安全审计系统、应用程序审计系统等,但是都无法做到对计算机信息系统全面的安全审计,另外审计数据格式不统
一、审计分析规则无法统一定制也给系统的全面综合审计造成了一定的困难。如果在当前的系统条件下希望全面掌握信息系统的运行情况,就需要对每种设备的审计模块熟练操作,并且结合多种专用审计产品才能够做到。 为了能够方便地对整个计算机信息系统进行审计,就需要设计综合的安全审计系统。它的目标是通过数据挖掘和数据仓库等技术,实现在不同网络环境中对网络设备、终端、数据资源等进行监控和管理,在必要时通过多种途径向管理员发
出警告或自动采取排错措施,并且能够对历史审计数据进行分析、处理和追踪。主要作用有以下几个方面: 1.对潜在的攻击者起到震慑和警告的作用; 2.对于已经发生的系统破坏行为提供有效的追究证据; 3.为系统管理员提供有价值的系统使用日志,从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞; 4.为系统管理员提供系统的统计日志,使系统管理员能够发现系统性能上的不足或需要改进和加强的地方。
三、涉密信息系统安全审计包括的内容
《中华人民共和国计算机信息系统安全保护条例》中定义的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。涉密计算机信息系统(以下简称“涉密信息系统”)在《计算机信息系统保密管理暂行规定》中定义为:采集、存储、处理、传递、输出国家秘密信息的计算机信息系统。所以针对涉密信息系统的安全审计的内容就应该针对涉密信息系统的每一个方面,应该对计算机及其相关的和配套的设备、设施(含网络),以及对信息的采集、加工、存储、传输和检索等方面进行审计。
具体来说,应该对一个涉密信息系统中的以下内容进行安全审计: 被审计资源安全审计内容
重要服务器主机操作系统系统启动、运行情况,管理员登录、操作情况,系统配置更改(如注册表、配置文件、用户系统等)以及病毒或蠕虫感染、资源消耗情况的审计,硬盘、cpu、内存、网络负载、进程、操作系统安全日志、系统内部事件、对重要文件的访问等。
重要服务器主机应用平台软件重要应用平台进程的运行、web server、mail server、lotus、exchange server、中间件系统、健康状况(响应时间等)等。
重要数据库操作数据库进程运转情况、绕过应用软件直接操作数据库的违规访问行为、对数据库配置的更改、数据备份操作和其他维护管理操作、对重要数据的访问和更改、数据完整性等的审计。
重要应用系统办公自动化系统、公文流转和操作、网页完整性、相关业务系统(包括业务系统正常运转情况、用户开设/中止等重要操作、授权更改操作、数据提交/处理/访问/发布操作、业务流程等内容)等。
重要网络区域的客户机病毒感染情况、通过网络进行的文件共享操作、文件拷贝/打印操作、通过modem擅自连接外网的情况、非业务异常软件的安装和运行等的审计
四、安全审计系统使用的关键技术
根据在涉密信息系统中要进行安全审计的内容,我们可以从技术上分为以下几个模块: 1.网络审计模块:主要负责网络通信系统的审计; 2.操作系统审计模块:主要负责对重要服务器主机操作系统的审计; 3.数据库审计模块:主要负责对重要数据库操作的审计; 4.主机审计模块:主要负责对网络重要区域的客户机进行审计; 5.应用审计模块:主要负责重要服务器主机的应用平台软件,以及重要应用系统进行审计。
还需要配备一个数据库系统,负责以上审计模块生成的审计数据的存储、检索、数据分析等操作,另外,还需要设计一个统一管理平台模块,负责接收各审计模块发送的审计数据,存入数据库,以及向审计模块发布审计规则。如下图所示:
安全审计系统中应解决如下的关键技术: 1.网络监听: 2.内核驱动技术:
是主机审计模块、操作系统审计模块的核心技术,它可以做到和操作系统的无缝连接,可以方便的对硬盘、cpu、内存、网络负载、进程、文件拷贝/打印操作、通过modem擅自连接外网的情况、非业务异常软件的安装和运行等进行审计。 3.应用系统审计数据读取技术:
大多数的多用户操作系统(windows、unix等)、正规的大型软件(数据库系统等)、多数安全设备(防火墙、防病毒软件等)都有自己的审计功能,日志通常用于检查用户的登录、分析故障、进行收费管理、统计流量、检查软件运行情况和调试软件,系统或设备的审计日志通常可以用作二次开发的基础,所以如何读取多种系统和设备的审计日志将是解决操作系统审计模块、数据库审计模块、应用审计模块的关键所在。 4.完善的审计数据分析技术:
审计数据的分析是一个安全审计系统成败的关键,分析技术应该能够根据安全策略对审计数据具备评判异常和违规的能力,分为实时分析和事后分析:
实时分析:提供或获取审计数据的设备和软件应该具备预分析能力,并能够进行第一道筛选; 事后分析:统一管理平台模块对记录在数据库中的审计记录进行事后分析,包括统计分析和数据挖掘。
五、安全审计系统应该注意的问题
安全审计系统的设计应该注意以下几个问题: 1.审计数据的安全:
在审计数据的获取、传输、存储过程中都应该注意安全问题,同样要保证审计信息的“五性”。在审计数据获取过程中应该防止审计数据的丢失,应该在获取后尽快传输到统一管理平台模块,经过滤后存入数据库,如果没有连接到管理平台模块,则应该在本地进行存储,待连接后再发送至管理平台模块,并且应该采取措施防止审计功能被绕过;在传输过程中应该防止审计数据被截获、篡改、丢失等,可以采用加密算法以及数字签名方式进行控制;在审计数据存储时应注意数据库的加密,防止数据库溢出,当数据库发生异常时,有相应的应急措施,而且应该在进行审计数据读取时加入身份鉴别机制,防止非授权的访问。 2.审计数据的获取
首先要把握和控制好数据的来源,比如来自网络的数据截取;来自系统、网络、防火墙、中间件等系统的日志;通过嵌入模块主动收集的系统内部信息;通过网络主动访问获取的信息;来自应用系统或安全系统的审计数据等。有数据源的要积极获取;没有数据源的要设法生成数据。对收集的审计数据性质也要分清哪些是已经经过分析和判断的数据,哪些是没有分析的原始数据,要做出不同的处理。
另外,应该设计公开统一的日志读取api,使应用系统或安全设备开发时,就可以将审计日志按照日志读取api的模式进行设计,方便日后的审计数据获取。 3.管理平台分级控制
由于涉密信息系统的迅速发展,系统规模也在不断扩大,所以在安全审计设计的初期就应该考虑分布式、跨网段,能够进行分级控制的问题。也就是说一个涉密信息系统中可能存在多个统一管理平台,各自管理一部分审计模块,管理平台之间是平行关系或上下级关系,平级之间不能互相管理,上级可以向下级发布审计规则,下级根据审计规则向上级汇报审计数据。这样能够根据网络规模及安全域的划分灵活的进行扩充和改变,也有利于整个安全审计系统的管理,减轻网络的通信负担。 4.易于升级维护
安全审计系统应该采用模块设计,这样有利于审计系统的升级和维护。
专家预测,安全审计系统在2003年是最热门的信息安全技术之一。国内很多信息安全厂家都在进行相关技术的研究,有的已经推出了成型的产品,另一方面,相关的安全审计标准也在紧锣密鼓的制定当中,看来一个安全审计的春天已经离我们越来越近了。 但是信息系统的安全从来都是一个相对的概念,只有相对的安全,而没有绝对的安全。
