常用审计方法范例(3篇)
常用审计方法范文篇1
一、深化预算执行审计,必须明确两法提出的新要求
《中华人民共和国审计法》、《中华人民共和国各级人民代表大会常务委员会监督法》对预算执行审计提出四个方面的新要求。
一是对预算执行审计时限提出新要求。修订后的《审计法》第四条规定:“国务院和县级以上地方人民政府每年向本级人民代表大会常务委员会提出审计机关对预算执行和其他财政收支的审计工作报告,但没有明确何时提出报告。”在过去的实践中,地方各级人大常委会规定提出报告的时间不一,有早有迟。早的在二、三月份,这样造成审计机关当年预算执行审计的时间很短,很多事项难以审深审透,审计工作报告质量受到影响。晚的安排在第四季度,从而使预算执行审计的作用得不到充分发挥,达不到通过预算执行审计促进搞好预算管理的目的。新颁布的《监督法》重视这一实际,在报告时间上作了科学安排。《监督法》第十五条规定:“国务院应当在每年六月,将上一年度的中央决算草案提请全国人民代表大会常务委员会审查和批准;县级以上地方各级人民政府应当在每年六月至九月期间,将上一年度的本级决算草案提请本级人民代表大会常务委员会审查和批准。”第十九条规定:“常务委员会每年审查和批准决算的同时,听取和审议本级人民政府提出的审计机关关于上一年度预算执行和其他财政收支的审计工作报告。”也就是说,国务院的审计工作报告必须在每年六月提出,地方人民政府的审计工作报告必须在每年六月至九月间提出。这种对审计工作报告提出时间的规定,实际上也是对预算执行审计时限的规定,各级审计机关在报告提出之前必须完成预算执行审计工作。《监督法》作出这条规定,既为预算执行审计实施留出了比较多的时间,有利于保证预算执行审计必要的覆盖面和审计质量,又使预算执行审计能在人大审查批准决算时发挥应有的作用,有利于促进加强和改进财政管理。
二是对预算执行审计内容提出新要求。《监督法》除在第十七条对预算调整、重点支出调减的审查批准作出原则规定外,根据这些年各级人大常委会在预算执行监督方面进行的探索和积累的经验,按照突出重点、增强实效的要求,在同《预算法》、《审计法》和全国人大常委会《关于加强中央预算审查监督的决定》、《关于加强经济工作监督的决定》相衔接的基础上,明确“常委会对决算草案和预算执行情况报告,重点审查下列内容:(1)预算收支平衡情况;(2)重点支出安排和资金到位情况;(3)预算超收收入的安排和使用情况;(4)部门预算制度建立和执行情况;(5)向下级财政转移支付情况;(6)本级人民代表大会关于批准预算的决议执行情况。”同时,区别中央与地方的不同情况,明确“全国人民代表大会常务委员会还应当重点审查国债余额情况;县级以上各级人民代表大会常务委员会还应当重点审查上级财政补助资金的安排和使用情况。”这里讲的是人大常委会对决算草案和预算执行情况报告重点审查的内容,实际上也就是规定了预算执行审计的重点内容。作出这样的规定,既有利于突出预算执行审计重点,又有利于做到预算执行审计更好地为人大加强对财政的监督服务。
三是对预算执行审计效率提出新要求。针对以往国家审计很少讲审计成本,审计实施时间过长的情况,《审计法》第三十八条规定:“审计机关应当提高审计工作效率。”这条规定不仅同样适用于预算执行审计工作,而且是对预算执行审计工作提出更高的要求。
四是对预算执行审计工作报告提出新要求。两法对预算执行审计工作报告从三个层次上提出要求。首先是对审计工作报告的内容提出新要求。《审计法》第四条规定:“预算执行审计工作报告应当重点报告对预算执行的审计情况。”这是对预算执行审计工作报告的内容进行规范,要求我们必须围绕预算执行报告预算执行审计情况,而不能把预算执行审计工作报告变成包罗万象的一般审计工作报告。其次是在落实审计工作报告的审议意见和决议的力度上提出新要求。《审计法》第四条明确:“必要时,人民代表大会常务委员会可以对审计工作报告作出决议。”这一条还规定:“国务院和县级以上地方人民政府应当将审计工作报告提出的问题的纠正情况和处理结果向本级人民代表大会常务委员会报告。”《监督法》第二十条规定:人大常委会对“预算执行审计工作报告的审议意见交由本级人民政府研究处理。人民政府应当将研究处理情况向常务委员会提出书面报告。常务委员会认为必要时,可以对审计工作报告作出决议;本级人民政府应当在决议规定的期限内,将执行决议的情况向常务委员会报告。”这体现了一旦启动监督程序就一抓到底的立法思想,也表明两法更加注重预算执行审计的效果。再者是对审计工作报告的处理提出新要求。《监督法》第二十条第二款规定:“人大常委会听取的审计工作报告及审议意见,人民政府对审议意见研究处理情况或有执行决议情况的报告,向本级人民代表大会通报并向社会公布。”这条规定是要求增强预算执行审计的透明度。
二、深化预算执行审计,必须形成乘势而上的新思路
在两法对预算执行审计提出新要求的情况下,我们必须调整工作思路,使之既与之相适应,又能推进预算执行审计的不断深入开展。可以这样说,确立新思路,是深化预算执行审计的必然选择。而要做到这一点,现在看来主要应解决好五个方面的问题。
第一,关于确立预算执行审计目标。刚开始我们把预算执行审计目标确定为“摸清家底,揭露问题,促进管理”,后来又确定为“促进规范管理、建立公共财政框架”,这在当时都起到了积极的作用,但现在看来这种目标带有明显的阶段性特征,在新的形势下需要调整和充实。根据两法的规定,我们应当将预算执行审计的目标定格为“促进实现依法理财,规范财政分配行为,提高资金使用效益,不断改进财政管理”。确定这样的目标,一则体现与时俱进的精神,二则符合现实情况和长远要求,三则有利于充分发挥预算执行审计的作用。
第二,关于构建预算执行审计体系。我们曾经提出预算执行审计要“以检查预算执行情况为主线,以对财税等部门组织和参与预算执行情况的审计为重点,以部门预算执行情况审计为基础,以预算外资金审计为补充”,这一体系基本上是可行的,在实际工作中也起到了引导作用。根据两法的规定,以及后来我们强调以支出为重点,现在可以提出构建“以检查预算执行情况为主线,以对财税等部门组织和参与组织预算执行情况审计为主导,以部门预算执行情况审计为基础,以重大支出、财政转移支付和补助资金以及预算超收收入的安排和使用情况审计为重点,以预算外资金审计为补充”预算执行审计工作体系。构建这样的体系,要求审计机关重点关注五个方面:一要关注预算安排的合理性。特别要重视对专项资金预算安排情况的检查,了解在财政资金分配中财政权力行使的规范性,看其有无滥用权力的问题;二要关注预算内容的完整性。目前不少地方未将接受上级转移支付资金列入预算,财政预算超收收入的安排和使用也不很规范,造成这部分资金失去人大监督。审计机关要按照《监督法》的要求,既要加强对这部分资金安排和使用情况的检查,又要促进完整反映预算;三要关注预算收支的平衡性。《预算法》规定:“中央政府预算不列赤字;地方各级预算按照量入为出、收支平衡的原则编制,不列赤字。”但地方政府为了解决推进城市化、统筹城乡经济社会发展、满足社会公共需求中的资金缺口,又不直接违反法律规定,纷纷建立各种形式的投融资公司进行举债。为此,审计机关要在关注预算内资金平衡的基础上,以全部政府性资金为主线开展审计,真正把政府性资金、政府性负债纳入审计视野,使法律规定落到实处;四要关注预算资金使用的效益性。加大对财政资金使用效益的审计力度,揭示资金闲置而没有发挥效益或使用效益不高、损失浪费等问题;五要关注预算执行的刚性。预算一经人大常委会批准,就要得到严格执行。但目前未经法定程序,自行调整预算、各预算科目之间的资金相互调剂的情况比较普遍,这既有一定的客观原因,也有人为的因素。怎么样对待和处理这个问题,我们应该研究提出积极性的审计意见,以切实加以解决。
第三,关于突出预算执行审计重点。预算执行审计,顾名思义是指对预算安排的财政收支执行情况的审计。从两方面的审计内容看,支出是重点。这在前面已经提到。现在的问题是怎么去突出这个重点?笔者以为,以支出为重点,就必须沿着资金的流向去开展工作,按照“财政资金到哪里,就审计到哪里”的思路,坚持从财政部门分配和拨付预算资金情况的审计入手,延伸审计部门、单位和有关方面使用预算资金情况,突出对专项资金、转移支付和补助资金管理和使用及效果情况的审计,并加强分析研究,提出积极性的审计意见。这三方面的审计工作要形成一个链条,一环扣一环,力求把情况调查清楚。只有这样,才能保证在审计结束后做到审计工作报告重点突出对预算执行的审计情况。
第四,关于提高预算执行审计效率。这是一个新问题,过去我们很少研究,现在看来也非解决不可。怎么解决?笔者觉得首先应该分析一下提出审计效率问题的原因:从外部讲,主要是因为我们现在现场实施审计的时间太长;从内部讲,我们确实也需要加强审计效能建设。在明确这一点的前提下,我们要研究怎么去提高审计效率,缩短在现场实施审计的时间。现在看来,提高审计效率关键是提高审计人员素质,培养审计人员的现代审计理念,帮助审计人员掌握现代审计技术、方法。具体地讲,一要加强审前分析,在进行多维分析、把握总体的基础上明确审计主攻方向;二要在审计实施过程中切实体现突出重点的方针,做到始终围绕重点开展工作;三要切实推进包括审计技术规范、技术标准、技术方法、技术手段在内的审计技术进步,突出抓好计算机审计在预算执行审计中的应用。既要把计算机作为一个工具,发挥其辅助审计的作用;又要把计算机作为一个系统,实现必要的联网审计;还要把计算机作为一个对象,开展对被审计单位计算机数据处理系统和软件的审计。
第五,关于凸现预算执行审计效应。预算执行审计应当对规范财政资金的运行、促进提高财政资金使用效益起到很好作用,但现在一些问题屡查屡犯确实对这项工作产生负面影响。当然,现在人们所说的屡查屡犯与实际情况的屡查屡犯不完全相同。由于审计机关每年确定的审计对象不同,而每年查出的问题有些相同,这不能叫屡查屡犯,只能认为是查出同一类型问题。如果同一被审计对象,每年都查出同样的问题,才应该认定为屡查屡犯。但无论是哪种情况,审计都应当起到威慑作用。现在的情况是我们的威慑作用还不够。解决这个问题,迫切需要建立三方面的制度:一是督查制度,即对被审计单位查出问题的纠正和整改情况进行跟踪督查,并要加大这方面的工作力度;二是公告制度,即将预算执行审计工作报告向社会公布,同时向社会公告各项审计结果。这样可以促进搞好整改工作,落实人大常委会审议意见和决议;三是问责制度,即实行对预算执行审计所查出问题的问责,并视情况追究责任人的责任,以起到惩戒威慑作用。如此从制度上保证预算执行审计发挥作用,其效果才能凸现,才能产生良好的社会反响。
三、深化预算执行审计,必须采取切实有效的新举措
(一)加强统筹谋划,坚持逆向思维,从需要出发安排审计项目。现在有些地方预算执行审计工作搞得不怎么好,责任不在审计人员,也不在审计机关的各个业务部门,主要是因为领导没有好好统筹谋划。统筹谋划是搞好预算执行审计的关键,也是先决条件,特别是在《审计法》明确提出预算执行审计工作报告应当重点报告对预算执行的审计情况的要求后更应当做到这一点。古人云:“凡事预则立,不预则废。”这说明计划或者说策划是很重要的。对预算执行审计我们要采取逆向思维的方法来策划,也就是说要从实现预算执行审计的目标、做好最后的审计工作报告来考虑和安排工作,研究确定审计项目计划,并抓好计划的执行。这样,才不至于在审计结束时总感到还有什么没有做好,或者差了什么,使报告的内容不丰富,不能满足政府和人大的要求。
(二)加强组织协调,坚持整合审计资源,实行一体化审计。《监督法》对审计工作报告时限的规定给预算执行审计留下较多的时间,这对我们组织好预算执行审计比较有利。我们在作好计划的基础上,应该围绕预算执行组织开展各方面的审计,在预算执行审计这个大框架下整合审计力量,做好各自的工作,做到一切着眼于突出预算执行审计这个主题,一切融入预算执行审计的内容,一切充分考虑满足预算执行审计的要求。也就是说,要实现各个方面、全部财政性资金一体化审计。这样,才能既保证预算执行审计具有一定的覆盖面,又使预算执行审计内容丰富、形成整体效应。
常用审计方法范文
所谓两种监督模式”,是指人大财经监督与政府审计监督。长期以来,这两种监督主体各自按照不同的运行方式独立运行,形成了迥然不同的监督模式。在国家政治、经济和社会生活中发挥了重要作用,但目前监督力量分散,在一定程度上影响和制约了监督工作的质量和效果。对此,人大常委会财经工委与审计机关根据各自监督模式的优劣现状,力求取优去劣、取长补短,从而,加强人大财经监督与政府审计监督模式的对接。一、着力探寻两种监督模式对接的有效途径在实际工作中,人大财经监督不是孤立进行的,需要多种监督形式的综台运用,尤其需要审计部门的配台和参与。在目前向立法型审计模式过渡的过程中,必须坚持与时俱进、开拓创新的精神,研究和探索两种监督模式实现对接的有效途径,提高人大监督与审计监督的整体效果。近几年来,我们从客观实际出发,以维护经济秩序、规范经济行为、促进经济发展为宗旨,以财经法律法规为依据,以两种监督模式为互补,努力寻求人大财经监督与政府审计监督两种监督模式实现对接的有效途径:1、加强监督程序和监督手段的对接。具体说,就是要依托审计部门的帮助和支持,延伸人大财经监督,提高监督质量和效果。如,南县人大常委会财经工委的具体作法是:一是充分利用审计监督手段。对一些专业性很强的问题,委托审计部门依法进行审计。比如,财政预决算专业性非常强,一般人难以看懂,也难以从复杂的报表数字中发现问题。人大通过审计部门对上一年财政预算执行及其他财政收支情况进行审计的过程,及时发现违反财经法纪、浪费国家资财、挪用财政专项资金、侵占国有资产等问题,进而监督查处,使人大财经监督既能有的放矢,又能提高实效。二是组织重点审计和调查。对一些涉及财政监督方面的重要审计意见,人大代表建议、批评和意见,群众关心的热点、难点问题,与审计机关联合组织调查,并委托审计部门组织对重点项目、重点资金和重点领域依法审计。对发现和掌握的违规违纪案件,及时转送和督促政府有关部门依照相关程序严肃查处。同时,对典型案件,还通过新闻媒体曝光,形成舆论压力,推动反腐败斗争深入开展。三是积极开展审计执法检查。人大财经工委每年结合预算执行性的实际,开展审计执法检查,督促政府及审计部门加大对违纪违规问题的查处力度,维护时常经济秩序,维护国家法律的尊严。2、加强监督力量和活动阵地的对接。从现实情况看,人大机关和审计部门现有人员的知识结构和专业机构存在一定的互补性,如何有效的调动好、利用好,对于强化财经监督和审计监督都将会起到积极的推进作用。鉴于此,我们两家,一方面,充分利用各自的人力资源和物质条件,联合开展活动。每年人大财经部门和政府审计部门在研究工作计划时,都坚持互通情况,尽量在工作内容和时间安排上协调同步,通过优化人力配置,实现监督工作的对接和双赢。有时,双方还联合组织有关财经法律法规和财税审业务知识方面的讲座、培训,进一步提高法制水平和业务能力,更好地为实施监督工作服务。另一方面,利用各种宣传阵地,扩大监督工作的社会影响。与市县报刊、县电视台等新闻媒体一起开辟专栏,宣传和反映实施财经监督和审计监督工作情况、实际效果,给人们一个观察、了解的视窗。同时,人大机关和审计部门自办的刊物、资料,也及时反映这方面的信息,扩大监督工作的社会影响。3、加强监督信息和监督资料的对接。为了加强人大财经部门与政府审计部门的对口联系,双方要套结有关工作链条”,以保持正常的工作联系。一是抓好信息反馈。审计部门作为行政执法机关,专门从事审计监督工作,将平时掌握的经济生活和预算执行的大量情况和线索,及时、主动地向人大反馈。人大财经工委又及时将审计部门反馈的信息通过收集、整理、加工,提供给人大代表和常委会组成人员,使他们结合审计议题,分析和研究一些深层次问题,提出有针对性和建设性的审议意见。同时,人大财经工委也将平时调查了解的有关信息,及时反馈给审计部门,以保持监督信息的畅通和有效对接。二是搞好资料传递。对人大财经工委和政府审计部门双方各自形成的调研成果、审计报告、情况通报等资料,通过一定的制度和方式及时传递,使双方保持相互沟通和交流。三是加强活动联系。每年年初,人大财经工委通过邀请审计部门参加对口联系会议等形式,通报上年工作情况和新的一年人大财经监督工作的重点、主要活动安排等情况。审计部门除经常向人大汇报工作外,每年还适时邀请人大代表、常委会委员视察、指导审计执法和监督工作。二、切实把握两种监督模式对接的重点环节审计监督是国家监督制度的重要组成部分,是保证财政预算健康运行的有效监督形式。坚持人大财经监督与政府审计监督的有机结合,实现两种监督模式的对接,必须把握以下重点环节:1、找准对接的切入点。切入点,就是要支持审计部门依法履行职责。审计的基本职能就是监督,就是检查被审计单位在经济活动中是否授权或既定目标履行经济责任,有无弄虚作假、违法违规、损失浪费等行为,并督促其采取措施在正常轨道上运行。审计的目的是为了保障财政、财务收支真实、合法和效益。作为人大来讲,就是要认真宣传贯彻审计法,特别是要认真贯彻新修改的《审计法》,切实加强对审计法律在本行政区域内贯彻实施情况的检查监督,并把审计监督与人大财经监督有机揉合,做到协同运作、相互促进,既不干预正常的审计执法行为,又能支持审计部门依法行使职权,真正做到寓监督于支持之中。如,近两年来,南县人大常委会正在找这个切入点,大力支持审计机关依法行使职权,并收到了一定的效果。2、探寻对接的结合点。结合点,就是要借助审计监督手段强化人大财经监督。在审计监督中,审计的对象或客体是财政、财务收支,它与人大财经监督的主要内容基本吻合。每年人大常委会都要审查和批准财政决算,监督财政预算执行情况,审计部门也要对财政决算进行审计监督。这两种不同层面的监督,对规范财政收支行为起到了积极的推动作用。但就监督而言,目前仍是程序性的比较多。我们解决这个问题的有效办法是:对审计出来的问题和常委会组成人员的审议意见,以交办函的形式交政府整改,并要求政府限期报告整改结果。我县近几年人大工作的实践证明,这样做既有刊于推动被审计单位和部门落实审议决定,解决实际问题,严肃财经纪律,又能更好地树立人大权威,使人大常委会对财政预算的审查监督逐步由程序性向实质性转变。#p#分页标题#e#3、抓好对接的着力点。着力点,就是要建立健全财经审计制度。从严格意义上讲,目前人大在审查预决算方面还缺乏强有力的检查监督手段。有的地方对预算只审不查,使得审查”变成了审议”。尽管各级人大为提高预算监督质量而提前介入”,但因财政预算专业性强、内容宠杂,常常感到无从下手,监督的深度、力度都受到了一定的影响。从近几年我县的实践来看,人大对预算执行情况的监督离不开审计手段的运用,这是由审计的功能、性质和地位所决定的。人大建立健全财经审计制度,既能保证国家财政收入足额及时入库,控制和监督财政支出,又能判断和检验财政活动成果的真实性。人大借助于审计部门运用的现代审计手段,实施对同级政府预算执行和财政收支活动的审查,客观上起到了两种监督模式对接的作用和效果。4、重视对接的关节点。关节点,就是要逐步理顺审计领导体制。我国现行的审计领导体制是审计部门在同级政府首长和上一级审计部门的领导下,负责本行政区域内的审计工作,履行审计监督职能。这样就形成了政府部门监督政府的状况(审计机关实际上是政府的内审机构),极易受到行政干预,影响审计执法的独立性,特别是进行同级审”时,审计机关只能先向同级政府报告审计结果,经政府对有关问题筛选后,再向同级人大常委会报告能够反映的问题”,这就影响了审计执法的真实性和严肃性。因此,各级人大机关要积极呼吁全国人大常委会修改宪法和审计法,将审计部门作为权力机关实施监督的职能部门,并列入人大序列,加大审计对财政预算的监督力度,推进人大财经监督与审计监督的有效运行。三、充分发挥审计机关的职能作用实现两种监督模式对接后,各级人大常委会务必发挥审计机关的重要作用,强化对政府财政经济的监督。首先,要发挥同级审”的明镜”作用,强化对财政预算执行的监督。所谓同级审”,就是对同级财政预算执行情况进行审计,这是国家审计的永恒课题,也是审计机关为同级人大常委会审议、监督财政提供科学依据的重要使命。如,南县人大常委会每年在审议、批准同级财政决算之前,其财经工委按照《南县财政预算审查监督办法》的有关规定,督促审计机关对财政部门批复预算的情况、预算执行中的调整情况和预算执行中收支变化的情况、预算收入的征收、缴库、退库情况、财政专项拨款、上级财政专项补贴的拨付与使用情况进行审计,并听取他们的审计结果报告,还就审计的力度与深度提出初审意见,以增强同级审”和人大常委会审议财政预算执行的实效。其次,发挥经济责任审计的眼睛”作用,强化对财经权力的监督。经济责任审计的全称为领导干部任期经济责任审计,即对行政事业单位、国有工商企业等主要负责人进行离任或任中审计的一项制度,也是对财经权力制约与监督的一项重要措施。近两年,南县人大财经工委一是根据县人大常委会的意图,委托审计机关对政府财经序列组成单位将要任免的主要负责人进行离任或任前审计,为人大常委会的人事任免把好出口关”和入口关”。二是在县人大常委会组织述职评议前,人大财经工委遵照人大常委会党组的要求,委托审计机关对有关县直单位的主要负责人进行任中经济责任审计。如,前年和去年,南县人大常委会组织省市县三级人大代表分别对县农业局、建设局、国土资源局和计生局的主要负责人进行了述职评议。评议前,人大财经工委还根据人大常委会的意见,委托审计机关对上述单位的主要负责人进行了任中经济责任审计,为人大的述职评议提供了确凿的事实依据。再次,发挥基建审计的卫士”作用,强化对国家财产的监护。基建审计是社会极为关注的一个重要课题,随着人大财经监督模式与政府监督模式的对接,南县的基建审计工作正在不断加强。2004年,南县人大常委会采纳了财经工委的建议,委托审计机关对新县政府办公大楼的造价及其财务收支情况进行了审计,共审减建设资金700多万元。2005年7月,南县人大常委会听取县审计机关《关于国家建设项目审计情况汇报》后,责成县政府召开常委会议制定、出台了一个《南县国家建设项目审计暂行办法》,这既为南县的基建审计提供了工作指南,又为南县的审计执法人员监护国家财产提供了有力武器。
常用审计方法范文
关键词:数据库审计;三层架构;应用审计
随着全球信息化建设的加快,信息系统的安全运行已经被提到非常重要的日程上来,医院HIS等各种系统中数据库的重要性日渐显著。常德市第一人民医院信息化经过多年的建设,在医院的科研,教学,管理工作中发挥了巨大的作用,医院使用方正HIS系统,终端使用客户端程序直接访问中间件服务器,然后中间层服务器再访问后台HIS数据库服务器。根据常德市第一人民医院信息系统建设和运行的现状,本设计数据库审计系统的范围主要包括SQL数据库审计、oracle数据库审计、sybase、三层架构数据库审计等方面。
三层网络结构是采用层次化架构的三层网络,采用层次化模型设计,就是把比较复杂的网络设计划分为几个层次,每个层次着重于特定的某些功能,即可使大问题化为一些小问题。这个设计的网络有三个层次:核心层、汇聚层、接入层。
1系统目标
数据库审计的目标在于记录每一次数据操作的信息,以便进行事后审查,即当数据访问操作发生时,记录什么人、什么时候、什么地方、对什么数据进行了什么操作的信息。分析归纳后,将对数据库系统的数据方位操作表示为:操作者、操作对象、操作时间、操作内容。数据库审计系统的目的即能够对即将被审计的数据部署审计,当被审计数据发生操作时,随之实现对操作者、操作内容等信息的自动记录,并且提供对于这些信息的查询、统计等等功能。此外对于有着不同安全要求的数据对象,又划分成记录操作和不记录操作数据两种[4]。
2系统的分析与设计
依据系统的目标,审计系统的功能主要包括:实现审计功能,当被审计数据加载后,实时记录对审计目标的各种操作信息;实现对审计功能的管理,包括对被审计对象的功能配置、用户管理、审计范围等;实现对审计数据的管理,如审计结果数据的查询、管理等。
对大多数据库的应用系统,都设计实现了各自系统的用户管理,以此来实现应用系统的用户管理与认证。当用户通过应用系统对数据库的数据进行操作时,审计信息中的操作时间、操作对象、操作内容信息等等,通过在数据库系统中编写捕获程序可获得,而操作者的用户信息由于应用系统的不同而不同,则需要应用系统实现对操作者信息的记录。因此在系统设计当中,对审计信息的记录分为数据库审计和应用系统审计[5]。
2.1数据库审计的功能是在对数据库操作发生时,捕获并记录与操作相关的人、地点、时间、对象、行为等信息,在数据库中,对数据库操作的时间、对象、行为的记录可借助系统抓包,捕获、分析来实现。
2.2应用审计审计的目的是为了得到操作者、操作内容、操作时间、等信息,但在3层架构用户无法由抓包中直接取得。应用审计是审计系统在应用系统中实施的其中一部分,它的功能主要是记录应用系统用户的操作者的信息。因为现在的应用系统大多使用B/S架构或者C/S架构,所以它需要通过各自在使用这两类架构的应用系统上去完成。在C/S架构的应用系统中,用户通过该系统客户端连接到数据库,由客户端取得该用户的信息。在B/S架构的应用系统中,用户在浏览器会话期间,应用系统可以根据用户的绘画信息得到操作者信息。
2.3数据库审计和应用审计的数据关联,在数据审计和应用审计各自实现了对审计要素中不同内容的记录后,还必须把数据库审计记录的数据操作信息和应用审计记录操作者信息关联起来,以便系统能根据操作信息得到执行这个操作的唯一的操作者信息。
会话是数据库服务器对于数据库连接进行记录的一种方法,在会话包含的一些信息当中,会话标识符是数据库为每次数据库连接分配的唯一的编号,它具有唯一的标识数据库会话的作用,不仅可以被数据库审计记录,并且还能被应用审计记录。会话标识符的唯一性可以保证这种对应关系的唯一性。因此在该审计系统的设计中采取该方法实现两个审计之间的数据关联。
3技术分析
目前,常见的审计方法主要有:数据库自身审计、常规的审计系统。但是业界常用的数据库自身审计存在缺陷,无法满足医疗系统的审计要求。而简单的审计系统,虽然捕获了非法统方的数据,但由于无法及时的阻断;更不能对非法统方进行现场的取证,定位犯罪份子,从根本上阻止非法统方行为,阻断非法统方这条灰色产业链。
综上所述,审计系统的防统方专版与其他的数据库审计产品功能对比如下:数据库自身审计、普通的审计系统、防统方专版;数据库自身审计对管理员的要求很高,不方便使用;审计的日志可人为删除,使丧失了审计的中立性和不可篡改性原则;占用服务器的资源,影响业务系统的运行;各种数据库系统的审计信息的格式比较复杂,不统一,难以集中审计,影响审计效果;不是专门针对医院的防止非法统方;没有业界常见业务的统方规则库;只能做到记录操作的日志,却不能进行深度的分析与挖掘;不能真正的实现统方行为的阻断;无法提供"犯罪"现场的录像取证,追查犯罪份子;报表复杂不易操作;无法提供监察模块为监察人员查阅,专门针对统方事件的审计;内置业界常见的业务系统统方规则库,操作简单;实现对三层网络架构数据库服务器的操作进行审计;能阻断并提供现场录像取证;提供深度的挖掘功能,灵活的调整系统的规则库;报表丰富且明了、易懂;部署简单不影响现有系统。
4结论
本文设计的数据库审计系统,解决了应用系统向结合的数据库操作的设计问题,实现了记录操作者、操作时间、操作地点、操作内容的关键功能。
常德市第一人民医院大多采用多个应用系统共用数据库服务器的架构,本文设计的审计系统对这种信息系统具有比较明显的优势,表现如下:审计系统蚕蛹数据库审计和引用审计分离的结构,使得系统具有更好的扩展性,对于应用系统来说,加载对该系统的审计仅需添加引用审计的代码;审计系统与审计库审计是共同的,由于审计系统的统一性,可运用统一的分析方法依据审计信息对一些安全事件进行分析,也便于将多个应用系统的安全事件关联起来确定非法操作来源。数据库审计是信息系统审计的一个重要环节,除此之外还有入侵检测审计、主机审计、网络安全审计等等,他们共同构成信息系统的审计体系。
参考文献:
[1]袁宗福,等.计算机网络技术与应用[M].人民邮电出版社,2010.
[2]陆云帆.基于oracle的数据库设计[M].机械工业出版社,2011.
[3]王珊,等.数据库系统概论[M].4版.高等教育出版社,2006.