系统审计论文大全11篇

绪论：写作既是个人情感的抒发，也是对学术真理的探索，欢迎阅读由发表云整理的11篇系统审计论文范文，希望它们能为您的写作提供参考和启发。

篇（1）

（二）信息系统审计的目标。信息系统审计和控制联合会（ISACA）COBIT框架认为组织内部的信息系统需求三原则是：质量、成本和安全，即在保证信息系统满足组织需求的前提下，尽可能避免组织内外部风险，并减少研发和维护成本。因此信息系统审计的目标就是对组织信息系统的运行的可靠性，数据的真实性和安全性提供评价。

（三）信息系统审计的步骤。由于大多数高校内审机构在“数字化校园”开发阶段并没有参与其中。本文所述的信息系统审计专指信息系统运行维护阶段的审计。

1.审计准备阶段。信息系统审计准备阶段步骤与传统审计类似，通过从被审计单位获取相关信息系统管理的规章制度，找负责系统维护管理的工作人员座谈，实地观察等方式，完成审前调查，进行风险评估、初步确定审计重点和制定审计实施方案等工作。

2.审计实施阶段。信息系统审计在实施阶段分为两部分，分别为信息系统一般控制审计和应用控制审计。一般控制审计往往比应用控制审计更为重要，因为应用控制的有效性常常受到一般控制的影响。根据审计项目不同，审计人员可以只实施一般控制审计或者两者结合进行审计。（1）一般控制审计。一般控制审计又可以分为硬件和软件两部分，两部分的审计重点和方法有所不同，分别为：对硬件的审计通过实地观察法实施，主要有审计网络接口是否安全，是否有硬件防火墙，硬件设备存放环境是否安全，防火、防雷、防盗措施是否完备，是否装备了UPS，在硬件出现故障时是否制定了应急响应计划等。对软件的审计通过抽样、观察和面谈实施，审计重点为：一是系统管理控制，主要有系统设定的职责分离是否合理，授权管理是否充分，是否做到一个系统账户对应一个工作人员，是否确保了只有被授权的用户才能对特定资源和数据进行访问等；二是软件安全控制，主要有是否安装了杀毒软件，软件是否定时升级，未经授权的软件能否安装，是否有系统操作规范等；三是数据管理控制，主要有数据传输是否加密，系统数据是否定期备份，有无冗余备份，数据修改是否按照规定程序进行审核，向外部传输系统数据是否有身份认证，是否定期对数据质量进行检查等。（2）应用控制审计。信息系统应用控制是指为保证应用程序处理数据时按照组织流程运行，确保数据的完整性和真实性的控制，包括输入控制、处理控制、输出控制三部分。输入控制包括输入授权、数据转换和编辑校验，处理控制包括运行总数控制、计算机匹配和批处理控制，输出控制包括复核系统处理日志、审核输出文本、审核程序。对应用控制的审计，主要通过分析性复核和计算机辅助模拟的方法，审计重点为信息系统业务的控制点设置是否合理，数据处理程序最多运行数，是否有审核系统日志程序等。

3.报告阶段。内审人员根据实施阶段编制的工作底稿，出具审计报告初稿，与被审单位充分沟通后，修改审计报告，报相关层级领导审核后，签发正式审计报告。

二、高校做好信息系统审计的措施

1.转变观念，提高开展信息系统审计必要性的认识。“数字化校园”建成以后，高校内部控制环境已经悄然发生改变，内部审计要想充分发挥其独有的管理评价职能，必须迎头而上，及时开展信息系统审计。不少内审机构认为信息系统审计专业性太强，无从着手，实际上信息系统审计的核心并没有改变，还是对信息系统控制的评价，并没有超出审计人员专业知识的范畴。

2.结合实际，建立信息系统审计的体系。当前，国际上已经有比较成熟的关于信息系统审计的体系，那就是信息系统审计和控制联合会（ISACA）COBIT体系，但完全照搬肯定是不行的，在实际操作中，内审机构必须结合国情、校情，进行修订更改，出台符合自身工作实际的、具备可操作性的信息系统审计体系，以规范审计工作。

篇（2）

随着Internet的发展，各种各样的网络应用服务也层出不穷，传统的如DNS、Email、Web和FTP等，时髦的如P2P、网络证书、网络电话和软件仓库等.面对如此众多的网络服务，怎样进行有效、规范的管理?怎么确保网络应用服务的健康、有序的发展?这就是摆在各个网络信息管理员面前迫切的问题.网络信息服务审计系统可以解决这个难题，同时也是网络安全研究的一个热点.

本文结合高校的特色和网络应用的实际情况，对网络应用服务管理进行了研究，提出了采用接人控制的网络应用服务审计系统的解决方案，通过实践证明，该系统对高校的应用服务系统是一种切实有效的管理方式.

1网络服务审计

1.1什么是网络服务审计

“审计”的英文单词为“Audit"，可解释为“查账”，兼有“旁听”的涵义.由此可见，早期的审计就是审查会计账目，与会计账目密切相关.审计发展至今，早已超越了查账的范畴，涉及到对各项工作的经济性、效率性、合法性和效果性的查核，其基本目是确定被审查对象与所建立的标准之间的一致或不一致的地方.

网络服务审计是指对网络服务提供者所提供的服务是否遵守有关的法律和规章制度、是否登记备案、其服务内容是否超越所登记备案的范围、其是否已有效地达到了预期的结果等进行的检查与核查行为.

1.2网络服务审计的必要性

传统的网络服务审计可能非常耗费时间，通过对计算机逐个进行端口扫描、漏洞扫描或者镜像监听，获得所需要的信息后进行审计和核查.但如果计算机更改服务提供的端口号、用户防火墙屏蔽了端口扫描或者采用动态端口提供服务，那么就无法及时获得这些必要的信息了.

对网络信息管理员而言，如何有效的控制网络中的信息服务、如何掌握信息服务提供者所提供的服务类型是否超越所登记备案的范围、如何及时掌握统计和分析网络中信息流的动态情况等都是一个很繁琐和复杂的事情.

通过对网络应用服务的审计，能够及时获取服务提供者所提供的网络应用服务，能够及时掌握用户对信息服务的访问行为，能够及时发现有无违规的信息与访问，能够及时发现信息的泄露和敏感信息的访问等.

2网络应用服务审计系统架构

结合高校的特色和网络应用的实际情况，采用接人控制的网络应用服务审计系统由三部分组成:

2.1IEEE802.1x网络访问控制

IEEE802.Ix协议是基于端口的访问控制协议(portbasednetworkaccesscontrolprotocol)，主要解决以太网认证和访问控制方面的问题.目前很多高校校园网都采用802.ix用于对用户接入校园网的行为进行控制.

在802.1x初始状态下，以太网交换机上的所有端口处于关闭状态，只有802.1x数据包才能通过，或者只能访问GuestVLAN内的特定网络资源(如网络应用服务审计服务器)，而另外的网络数据流都被禁止.当用户进行802.lx认证时，以太网交换机将用户名和密码传送到后台的认证服务器上进行验证.如果用户名和密码通过了验证，则相应的以太网端口打开，允许用户对网络的访问，并部署AAA服务器下发的访问控制策略.

802.1x主要是解决网络接人的问题，未通过认证的用户将无法使用网络，这样可以确保接入用户的合法性.同时，当用户认证通过后，由服务审计服务器判定该用户是否安装Java数据采集控件，配合AAA服务器决定用户是否能够访问网络.

2.2Java数据采集控件

数据采集控件的实现有两种方式:一是集成到802.lx客户端中，二是单独的控件.Java由于其跨平台、跨操作系统的特性而成为首选.这样不管用户使用的是什么操作系统、使用什么软件提供服务，都能很方便的进行数据采集.

Java数据采集控件主要完成数据采集的工作，当用户第一次连接网络时，强制安装该控件.如果用户重新安装操作系统，当用户再次连接网络时，也将被强制安装该控件.

未安装数据采集控件的计算机，即使通过802.1x认证，也将只能访问服务审计服务器，而不能访问其他的网络资源.

数据采集控件负责采集计算机操作系统类型及版本、开放的端口、提供的服务和流量等信息，并上报给服务审计系统.

2.3服务审计服务器

服务审计服务器是整个系统的核心，主要有三个功能:一是和AAA服务器配合，确保所有接人网络的计算机合法性，并已安装数据采集控件.二是和Java数据采集控件通信，将数据采集控件报送的信息存储到数据库中.三是实现信息服务备案、查询管理、审计分析、实时审计和统计报表等功能.其中审计分析采用MPMF(multi-prioritymemoryfeedback)流水线处理算法}3J，其处理能力可以承载高速网络的审计处理.

2.4后台数据库服务器

数据库服务器可以采用市面上主流的大型数据库管理系统，如()racle,SQLServer,Sybase等，服务审计服务器通过ODBC/JDBC等数据访问接口来无缝地连接这些数据库系统.

同时，通过数据库复制来实现数据库的分布和同步，以使网络应用服务审计系统具备可扩展的数据处理能力，保证在网络流量日益增大的情况下系统可以可靠地运行.

3工作流程

3.1计算机接入网络

3.1.1802.lx认证

当计算机发起802.1x认证时，交换机将用户名和密码传送到后台的AAA服务器，由AAA服务器进行合法性判定.当用户未通过802.1x认证时，对网络的访问受限;当用户通过802.1x认证时，还需要由审计服务器进一步确认计算机上是否安装Java数据采集控件.

3.1.2Java数据采集控件确认

计算机通过802.1x认证后，AAA服务器通知交换机打开端口并部署相应的访问控制策略，将所有网络访问重定向到服务审计服务器.

如果计算机上已经安装Java数据采集控件，当检测到计算机网络状态已连接时，自动向服务审计服务器发出通知，告知该计算机已接入网络.服务审计服务器接到通知后，将信息记录到后台数据库服务器中，并通知AAA服务器下发新的访问控制策略，允许计算机访问其他的网络服务.

如果计算机没有安装Java数据采集控件，服务审计服务器不会收到通知，这时用户所有的访问都被重定向到服务审计服务器，而不能访问其他的网络服务川.

3.2网络应用服务审计数据采集

数据采集控件定时和服务审计服务器进行通信，将采集的信息上报服务审计服务器.服务审计服务器将这些信息记录到后台数据库服务器中，用于后续的查询、统计和审计等.

如果服务审计服务器在一定时间内未收到数据采集控件的通信信息(单次通信超时为60秒，如果连续5次通信未成功，则视为通信中断)，服务审计服务器通知AAA服务器断开该用户的网络连接.

采集的审计数据一般包括下边的三个部分:

1)主机识别:连接到网络上的活动计算机的IP地址、MAC地址、802.1x用户名、交换机管理IP地址和交换机端口等数据，这些数据可以由802.1x服务提供.

2)主机描述:连接到网络上的活动计算机的操作系统、运行的网络服务及其版本信息、计算机开放的端口等数据，这些数据由Java数据采集控件提供.

3)服务描述:连接到网络上的活动计算机的哪些网络服务处于激活状态、流量是多少等数据，这些数据由Java数据采集控件和AAA服务器联合提供.

3.3网络应用服务审计

网络应用服务审计系统负责对采集到的信息进行审计，并根据预定设置，采取相应的措施.

审计可分为三个级别:高优先级、中优先级和低优先级。

高优先级审计主要用于网络中重要服务的审计，包括两个方面:一是所允许的服务运行是否正常，二是是否有未允许的服务在运行.高敏感度审计发现网络中的重要服务出现问题时，会立即以短信方式通知管理员进行处理，从而确保重要服务的正常运行.

中优先级审计主要用于网络中非重要服务的审计，也包括上述两个方面，但发现问题时，只是以告警信息或者邮件的方式提示管理员进行处理.

低优先级审计则用于网络中的大部分用户，着重于信息的收集和保存，以备非实时审计、统计分析用.

为满足高速网络中服务审计的需要，采用了MPMF流水线处理算法.MPMF算法根据审计系统的过程模型以及各个部分的特点，合理划分各个部分的层次以及优先级顺序。

3.4计算机从网络中退出

当计算机正常从网络中退出时，数据采集插件停止工作，交换机端口恢复到关闭状态.

篇（3）

相关问题的研究

（一）计算机审计系统（CAS）。随着信息技术在企业管理中的广泛使用，尤其是ERP系统的实施，企业的经营、管理及核算越来越依赖于复杂而庞大的管理信息系统。审计的对象也发生了根本变化，由纸质财务账簿转变为数据库中的电子数据（或称电子账）；同时，资本市场对审计报告真实性和及时性的要求也越来越高。无论是以加强内部控制和企业管理增值为目的的内部审计、以财务真实性和公允性鉴证为目的的社会审计，还是以真实性、合法性和效益性审查为目的的国家审计，都不可避免地会受到企业信息化的冲击与挑战。审计师必须运用IT技术手段，掌握数字化审计证据收集方法，才能胜任信息化环境下的审计工作，降低审计风险，提高审计效率。定义1计算机审计：计算机审计也称计算机辅助审计，是审计人员运用信息技术和审计知识，在被审计单位现场或者通过远程网络，对被审计单位与财政财务收支和管理财政财务收支相关的电子账目或财务数据库数据进行审计。现代审计的范围正逐步延伸，跨越了财务模块，计算机审计对象已经发展为面向整个供应链的信息系统审计，是对整个企业应用的业务数据审计。定义2计算机审计系统（CAS）：计算机审计系统是在审计过程中所采用的能够完成特定审计功能的各种应用系统的总称。计算机审计系统作为审计辅助工具，可以完成审计数据采集、整理、计算、统计、查询和报表生成等工作，为审计人员实施各种审计检查和收集审计证据提供帮助。

（二）面向服务构架（SOA）。面向服务构架（简称SOA）是一种软件架构思想，这一思想认为软件即服务，是将企业内部与外部的每一个业务功能单元封装成服务。SOA将这些服务从复杂的环境中独立出来，进行组件化封装，不同的服务之间通过标准接口相互调用。作为企业应用解决方案的基本元素，服务可以被描述、、发现及绑定，其平台是独立的、自治的，并且可以用XML编程的大型分布式互操作应用系统。图1说明了Web服务能够执行面向服务架构的模型。图1描述了Web服务的基本组成。该架构由三个参与者和三个基本操作构成。三个参与者即服务提供者（Serviceprovider）、服务请求者（Servicerequester）和服务（Servicebroker）；三个基本操作即服务（Publish）、服务查找（Find）和服务绑定（Bind）。

（三）研究动机。计算机审计系统解决了数据采集、数据预处理、数据分析、疑点管理、审计底稿撰写、审计报告生成等难题，提高了审计效率和效果，在实际工作中发挥着重要的作用。许多学者致力于将新的信息技术应用到计算机审计中，并开始探索新的计算机审计模式。廖志芳等提出了联网审计实际的三种审计组网模式，即集中式、分布式以及点到点式组网模式［2］。李世新在对XBRL和Web服务进行介绍的基础上，提出了一种基于XBRL和Web服务的网络化审计取证模式［3］。李湘蓉在研究了网络环境中计算机审计系统应具有特点的基础上，提出了一个基于本体的计算机审计系统［4］。还有学者论述了计算机审计模式及风险防范［512］。一些学者对Internet环境下的审计系统进行了研究，Chen和Sun通过对面向服务架构环境进行研究，提出了一个内部控制持续审计模型，称为协同持续性审计模型，通过对企业资源计划数据库中的数据转换组件进行封装，软件提供商可以为企业提供模式匹配服务来实时转换业务交易数据［13］。Ye和He运用Web服务的一系列组件，提出了基于Web服务的持续审计业务流程模型，用于提供有关特定业务的鉴证［14］。Internet环境下的动态信息系统具有共享资源的多样性，无统一控制的“真”分布性，基础平台的开放性和动态性，人、设备和软件的多重异构性，节点的高度自治性，链接方式的动态开放性，网络连接的多样性，使用方式的灵活性和个性化，实体行为的不可预测性。我们认为在新的动态企业信息环境下，迫切需要与之相适应的审计模式和计算机审计系统。

面向Web服务的计算机审计系统（WSCAS）体系结构

（一）系统体系结构。面向Web服务的计算机审计系统（WSCAS）是一个开放的系统，复杂的审计任务由大量解决问题的Agent承担，每一个智能Agent只能解决特指的某一类问题，关注特定任务的完成。用Webservices封装的Agent，一个服务可能涉及一个或多个Agent，这些不同功能的Agent协力合作并提供特定的服务。系统是一个开放的环境，不同的Agent不必在同一地点或属于同一公司。通过对其他Agent知识和能力的理解，这些Agent能够突破固有的智能范围，协同工作实现目标。图2是面向Web服务的计算机审计系统（WSCAS）体系结构。由于系统具有开放性，可以不断地向系统中加入新的Agent，从而使得系统的处理能力不断增强，适应性不断提高。也就是说，除了WSCAS提供的服务，其他个人和公司也可以提供审计项目管理服务、审计数据采集整理服务、审计数据分析服务、审计抽样服务、审计文档管理服务以及其他相关的计算机审计服务。通过标准的通讯协议，每一个Webservices封装的Agent可以自由选择访问其他服务。

（二）智能Agent交互。如下页图3所示，WSCAS交互系统由外部实体和审计组件两部分组成。外部实体向系统提供被审计单位的数据和模型。根据《审计法》规定，被审计单位接到审计通知书后，要向审计小组提供审计范围内以及特定时间段审计所需要的完整数据。被审计单位的数据不但包括财务数据、业务数据，还包括被审计单位的基本情况、上一次审计的结论等相关数据。被审计单位模型包括审计所需的被审计单位业务流程、相关的法律法规等系统模型，这些模型是开展审计工作的基础和判断审计疑点的依据。审计组件包括数据采集模块、审计数据分析模块、审计抽样模块和审计文档管理模块。

数据采集是审计人员从被审计单位的信息系统中提取指定范围、指定内容的业务数据并收集到审计系统中。用IT技术对电子账进行审计有两个需解决的关键问题：一是审计人员采集电子账中的电子数据，包括电子账套中的数据和信息系统数据库中的数据；二是分析审查采集到的电子数据。数据采集是对电子账数据进行实质性审查工作的第一步。数据采集是否全面、准确、客观将直接影响计算机审计的结果。若采集的数据不能客观全面地反映企业的经济业务状况，那么审计人员即使有很强的职业判断能力，也无法得出正确的审计结论，从而增加审计风险。因此数据采集在整个计算机审计过程中至关重要。数据采集的信息可以分为三类：被审计单位信息采集、财务数据采集、业务数据采集。

一是被审计单位信息采集Agent。审计业务的开展与被审计单位的企业规模、业务流程、组织结构以及相关的行业法规制度等密切相关，在审计准备阶段和审计实施阶段的初期，审计人员必须首先获得被审计单位相关信息，然后才能开展审计工作，被审计单位信息采集Agent负责此类信息点采集。二是财务数据采集Agent。财务数据采集主要采集以下两种数据：财务备份账套数据和财务数据库数据。财务账套数据是会计信息系统中经过加密后的备份电子数据，其格式不是标准的数据库格式，而是会计信息系统以其独特的方式备份数据。不同的会计信息系统财务账套数据文件的格式不同，所以WSCAS提供不同的财务账套数据采集Agent作为智能数据采集接口，完成财务备份账套数据的采集工作。财务数据库数据是保存在标准数据库中的会计数据，数据文件以标准的数据库文件格式保存，系统为各种数据库提供了相应的数据采集Agent，财务数据库中有许多表，其中和审计相关的主要数据库表为会计期间定义表、会计科目表、会计科目的设置表、凭证表等。通过数据采集Agent接口采集数据，审计人员要清楚数据库，数据库表，字段的结构、属性和含义，这样才能对数据进行采集整理，保证数据的完整性。三是业务数据采集Agent。由于审计范围的不断扩大，审计对象不再局限于财务数据，还包括许多业务数据的审计，如社会保障审计、高速公路收费审计、经济效益审计等，这些数据保存在业务数据库中，由业务数据采集Agent作为智能的采集接口，采集业务数据。

数据采集的目的是为审计分析做准备。审计数据分析是通过运用审计分析方法和分析工具，对被审计单位审计数据进行分析，发现审计线索，获取审计证据，进而形成审计结论。利用计算机的数据分析方法有：账表分析；数据查询；数据挖掘；联机处理；审计分析工具；审计疑点管理等。接下来进行具体分析。一是账表分析Agent。审计人员将采集到的财务备份数据还原成电子账，通过对被审计单位会计基础资料的检查和分析，找出审计线索，得出审计结论。账表分析Agent的主要功能包括总账审查、科目明细账审查、辅助账审查、会计科目审查、凭证审查、未记账凭证审查、日记账审查、报表审查等。二是数据查询分析Agent。审计人员根据审计经验，按照一定的审计分析模型，对从数据库中采集到的数据进行查询分析，发现审计线索，达到审计目的。数据查询分析Agent主要的查询分析方法有数值统计、重号分析、断号分析、分类分析、数据分层分析、时间分层分析等。三是数据挖掘Agent。随着信息技术的高速发展，尤其是被审计单位信息系统数据库中各种格式的业务数据急剧增长，只靠审计人员的人工阅读或简单的审计数据检索无法及时发现不同层次的审计线索。数据挖掘Agent能够从被审计单位海量的数据中挖掘出隐含的、先前未知的、对审计结论有价值的审计线索，以及能被审计人员所理解“知识”的数据处理过程。四是联机处理Agent。联机分析处理是与数据仓库密切相关的一种决策支持工具，联机处理Agent能够使审计人员从多角度对审计数据进行处理，获得对审计数据更深层次的了解，发现审计线索，实现对审计决策的支持和多维分析。五是审计分析工具Agent。除了上述一般审计分析方法外，WSCAS还提供了一个开放的、专用的审计分析工具平台，审计人员不但可以利用系统提供的审计分析工具，还可以不断充实新的审计分析服务。审计分析工具Agent可以进行单科目金额分析、对方科目分析、坏账准备计算、营业税计算、固定资产折旧计算、个人所得税计算、图表数据分析等，帮助审计人员发现审计疑点。六是审计疑点管理Agent。审计疑点管理Agent可以存储、管理并逐项落实审计分析中发现的审计疑点。

审计抽样是审计人员在实施审计的过程中，从审计对象总体中选取一定数量的样本进行测试，并根据样本测试结果推断总体特征的一种方法。审计抽样是一种能够大幅度提高工作效率、量化控制审计风险、规范审计行为、提高审计工作质量的审计技术方法。特别是在被审计单位内部控制制度健全、审计对象数量庞大且经验判断难以奏效的情况下，采用审计抽样技术审计效果显著。具体应用如下：一是抽样管理Agent。抽样管理Agent可以管理审计抽样全过程的信息，包括总体表中的数据管理、抽样方法的选择、样本表中的数据管理等。二是抽样审核Agent。抽样审核Agent对审计抽样的样本信息在审计现场进行审计核对，并将审核的结果输入系统中，输出生成抽样审核结果表供审计人员使用。三是抽样评价Agent。抽样评价Agent根据样本数据的审核结果，推断总体审计数据的情况。

审计文档管理是计算机审计过程中的一项重要内容，审计过程中的文档主要有审计底稿、审计日记、审计证据、审计报告、审计台账等。具体应用如下：一是审计底稿Agent。审计底稿Agent记录审计过程中所发现的被审计单位违纪违规问题，对审计日记、审计证据所反映的问题进行描述，汇总审计报告、审计台账等审计资料。二是审计日记Agent。审计日记Agent记录审计人员当天的审计过程，内容涉及审计分工、审计事项、审计实施步骤和方法、审计查阅的资料和数量、审计人员的专业判断和查证结果以及其他一些需要记录的情况等。三是审计证据Agent。审计证据Agent负责建立、管理和汇总审计证据。四是审计报告Agent。审计报告Agent以审计底稿为素材，生成报告提纲并形成审计小组的审计报告初稿。五是审计台账Agent。对照审计报告、审计决定等审计文书的结论，对每篇审计底稿的问题和金额进行确认，系统根据确认后的结果，由审计台账Agent自动汇总问题和处理处罚数据，生成审计台账，最终生成的审计台账参与审计报表的汇总。

面向Web服务的计算机审计系统（WSCAS）的原型开发

本文将移动Agent技术和Webservices技术结合，集成两者优势，克服各自局限性，构建面向Web服务的计算机审计系统，如图4开放Internet环境下的计算机审计服务的集成架构。为了实现系统中审计服务的统一调用，我们将各种业务逻辑封装为服务，提供标准、统一的服务接口，从而实现技术对外界透明。本文使用了Java技术开发系统功能模型，描述模型的架构和元素。

系统评价

为了验证本文所论述方法的有效性，阐明基于Web服务是如何集成工作并实现计算机审计的目标，我们用一个案例来描述服务的协同操作过程（具体见下页图5）。审计人员对企业进行财务审计，首先要明确审计任务，组成计算机审计小组，在了解被审计单位基本情况的基础上，制定计算机审计方案，确定计算机审计范围、审计重点、审计实施步骤、审计安排、审计方式、人员分工以及需要运用的计算机审计方法和审计实施注意事项等，利用WSCAS开展基于Web服务的计算机审计工作。

（1）审计项目管理Service发出审计通知书。审计小组通过系统的审计项目管理服务，向被审计单位发出审计项目通知书。

（2）被审计单位信息Service以服务的形式向系统被审计单位的基本情况信息，提供给审计小组。

（3）审计数据采集Service采集被审计单位审计数据。被审计单位信息Service按照审计小组的审计要求，将审计通知书中说明的指定时间段、指定范围的审计数据进行服务封装、注册和，提供给审计数据采集Service。审计数据采集Service首先对采集到的审计数据进行数据验证，确认采集数据的真实性、正确性和完整性，然后对数据进行预处理，这是由于被审计单位的数据来源繁杂，采集来的审计数据可能存在质量问题，不能直接进行审计数据分析，需要进行预处理。预处理包括数据转换和数据清理。数据转换是将采集来的原始数据转换成审计人员容易识别的数据格式和名称，主要包括将被审计单位的数据有效装载到WSCAS系统中，明确数据字典，标识出每张表、每个字段的含义及其关系；数据清理是整理不符合质量要求的数据，清除存在明显错误的数据，如缺失的数据、不完整的数据、不准确的数据、不一致的数据以及重复的记录等。

（4）审计数据分析Service。以审计数据采集Service输出的中间表作为审计分析的基础进行审计分析。在审计分析中，审计人员根据相关的业务处理逻辑、业务数据的勾稽关系、法律法规的规定或审计经验等，建立审计分析模型，用账表核对、指标分析、账表勾稽关系模型、业务逻辑分析模型、法律法规分析模型以及审计经验模型等方法进行总体审计数据分析，然后审计数据分析Service对审计数据进行复算、检查、核对和判断，发现审计线索，收集审计证据。

（5）审计数据抽样Service。在明确审计目标和审计对象的基础上，根据被审计单位的内部控制评价水平确定审计抽样的样本量。审计数据抽样Service选取样本并审查，评价抽样结果，并返回到审计数据分析Service。

（6）在审计数据分析和审计数据抽样过程中，审计人员记录当天审计过程、实施审计的步骤和方法、审计查阅的资料和数量、审计人员的专业判断和查证结果等，将这些情况提交到审计文档管理Service，形成审计日记。

（7）在审计数据分析过程中，审计数据分析Service将审计发现的问题作为审计疑点，发送到审计文档管理Service，审计文档管理Service负责落实审计疑点，若证实确是问题，则将该疑点作为审计证据。

（8）审计文档管理Service编制审计报告初稿，和被审计单位沟通，生成审计报告正式稿，形成审计意见。

篇（4）

随着市场经济的深入发展,企业逐步成为自主经营、自我约束、自我发展、自我完善的商品生产者和经营者。在“优胜劣汰、适者生存”的市场经济中,企业要想真正的做到“自主经营、自我约束、自我发展、自我完善”,必须要加强内部控制,建立有效、完善的内部控制制度,这样才能在一个绝对的高度上,对企业进行高瞻远瞩的控制,才能做出与时俱进的决策。

(二)内部审计是企业内部监督机制的重要组成部分

内部审计也是企业内部控制的一个重要的组成部分,是监督内部控制其他环节的主要力量。内部审计通过对控制环境和控制程序的有效性进行监督,评估企业的内部控制是否被执行,是否及时反馈有关执行结果的信息,是否帮助企业更有效地实现预期控制目标。同时,在监控过程中,内部审计可以促进控制环境的建立和改善,为改进控制制度提供建设性的意见,为企业建立健全所需要的内部控制水平服务。在内部控制的监督过程中,内部审计发挥着越来越重要的作用。

二、内部审计在防范信息系统风险中面临的问题

(一)信息系统安全管理机制不健全

企业信息系统风险的存在,很多是由于管理不善或控制不严造成的。一方面,缺乏一套统一的安全策略体系来指导安全管理工作,无法建立系统内部明确、全面的安全规范要求。从现有管理制度规范来看,主要存在的问题是可操作性差,条理不清、重叠或遗漏等;另一方面,现有安全管理制度的管理对象基本是网络系统管理员等技术部人员,管理对象没有全面涵盖所有信息系统技术相关人员,包括所有网络系统上的内部终端人员和外部人员。

(二)内部审计在信息系统风险防范中的角色缺乏独立性

内部审计的角色发生了转变。从传统的事后审计而逐渐转向事前和事中审计,主动参与内部控制系统的建立和完善。内部审计人员即承担着评价硬件和应用信息系统安全的任务,如果又同时有参与了系统的开发和实施过程,那么内部审计人员就却乏独立性。反之,如果处于对丧失独立性的担心,内部审计人员有可能会拒绝参与系统和软件的开发,那么系统开发过程中存在的风险又无法得到控制。

(三)内审部门技术力量薄弱造成对信息系统审计形成风险

审计稽核部门的技术力量薄弱,不熟悉业务系统的流程和功能,对信息系统缺乏必要的认证能力和标准。突出表现为以下几个方面:一是实施审计稽核的手段和方法没有得到及时更新,不适应信息系统管理的要求,大部分仍停留在手工审计阶段;二是审计稽核部门对计算机账务系统实施审计的依据仅依赖于被审计单位提供的打印资料或事后资料,计算机账务的真实性审计很难得到保证。

三、加强风险防范的措施和对策

(一)构建信息系统安全管理组织及规范体系

加强信息系统的自我风险评估体系,让信息系统的管理和技术人员在自身的职责范围之内正确识别和评估潜在操作风险,主要包括内控制度的查漏补缺、工作流程的整理和规范、应急预案完善和演练等。同时加强对操作人员的管理,规范操作程序。一是加强密码管理,明确规定操作人员的权限,操作员必须在规定的权限内办理业务,用户口令及密码必须专人专用,严禁公开口令及密码;二是要建立健全操作员岗位目标责任制,对网络操作人员要明确目标任务,规范操作程序,严格落实奖惩制度。三是要严格岗位设置,不相容职务进行分离。严禁系统管理人员、网络技术人员、程序开发人员和前台操作人员混岗、代岗或一人多岗。四是要加强系统内部的稽核监督检查。稽核监督应贯穿于网络操作的全过程,重点是加强对系统设计开发、内控管理制度落实、操作运行等方面的

(二)关注信息系统的稳定性、安全性和有效性审计

首先,审计人员应运用用一定的技术方法识别系统的完整性,该过程包括检查、测试、评估系统的内制,以保证系统的稳定性;其次,审计人员应评价系统存在的风险和可能产生的后果将成为审计的核心工作和基本内容,保证信息系统的安全性。应根据审计的标准和准则,评价控制环境的和IT基础设施的安全,确保系统满足组织的业务需要,保护信息资产的安全完整,以防非授权使用、泄露、修改、损坏或丢失;最后,还应鉴别信息系统的有效性。内部审计必须理解并熟悉操作环境,了解系统技术的复杂性及其对决策的影响;对来自内部的安全隐患,采用一定的方法进行系统诊断、检验、测试,评价其有效性及效率,以支持组织业务目标的实现

(三)改善内审机构,提高内审人员素质,培养信息系统审计师

为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价。信息系统审计师也称lS审计师或IT审计师,是指那些既通晓信息系统的软件和硬件(包括信息系统的开发、运营、维护、管理和安全等),又熟悉经济管理的内部审计人才。

(四)聘请专家进行协助

内部审计人员的知识、技能和经验虽然有助于信息系统的风险防御,但现实中必须承认,在企业中同时具备计算机技术和审计专业知识的人才非常短缺。再出色的内部审计人员可能面临一些系统内的专业问题却无法解决,因此有必要聘请外部专家。可以通过专家的协助测试运用其专业技能测试系统安全,进一步防范和解决信息系统风险的存在。

参考文献:

篇（5）

1）信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整,以及有效率地利用组织的资源并有效果地实现组织目标的过程(国际信息系统审计与控制协会ISACA的定义。

2）目前审计机关信息系统审计主要有两种方式,一种是将信息系统审计作为常规审计的一部分,为实现审计项目的总体目标服务,即数据审计、信息系统审计和系统内部控制审计"三位一体"的结合方式.信息系统审计和系统内部控制审计为数据审计服务,通过审计数据得出结论.另一种是独立立项的,直接审计信息系统本身的安全性、可靠性和有效性。

二、为什么要开展信息系统审计

信息系统审计作为国家审计机关的一项重要工作,是信息化发展到一定程度的必然产物。

(一)开展信息系统审计是控制审计风险的要求.近几年,审计纸质账目时,内部控制也要审计,不能假账真审.同样的道理也不能假电子数据真审,如果被审计单位运载电子数据的信息系统的安全性、可靠性和有效性出现了问题,计算机数据审计就会存在风险,系统的可信与可靠程度是数据审计得以进行的前提和最终实现的基本条件。

(二)开展信息系统审计是全面履行审计职责的要求.信息化环境下的审计,电子数据、信息系统、系统内部控制审计必须"三位一体",在审计过程中,这三项内容不能少.只有这样,我们才能完成审计署党组强调的"全面审计,突出重点"的要求,全面履行审计职责。

三、信息系统审计与常规审计之间的区别与联系

1）信息系统审计是常规审计的一部分，是以常规审计理论为理论基础的，两者之间有紧密的联系，也存在一定的区别。

2）两者的联系是：信息系统审计继承了常规审计的基本理论与方法，与常规的审计一样。在立场上，要求信息系统审计师站在独立的立场上，通过选择特定的审计对象，采用询问、检查、分析、模拟、测试等方法获得客观的审计证据，来判断其与既定标准的符合程度。在程序上，信息系统审计一般也要经过审计计划、符合性测试与实质性测试、审计报告等主要阶段来进行审计工作，实现审计目标。

3）两者的区别也比较明显，主要表现在：首先，信息系统的审计对象不同于常规审计的财务领域，而是信息系统，包括基础设施，软硬件管理，信息安全，网络管理合通信等；其次，信息系统审计提出了更多的审计法与审计程序，这都是常规审计所不具备的，比如对某软件进行审计时，要采用技术含量相当高的测试，对网络安全审计时要采用穿透性测试（模拟成黑客进行各种攻击以验证其安全性）；第三，信息系统审计不光是事后审计，主要关注系统的运行现状，在某种情况下，直接参与项目的开发或变更过程，以保证足够的控制得以顺利实施；最后，信息系统审计的咨询价值显得更高，信息化的风险很高，信息系统审计师可凭借其专门知识和实践经验，受托或主动服务于被审计单位的管理者或其业务人员，在企业信息化过程中，帮助企业建立健全内部控制制度，进行系统诊断，根据企业需求，确定信息化的目标和内容，选择合适的信息系统。

四．如何使信息系统审计与常规审计有机结合

1）在项目计划上的相结合

信息系统通过选择特定的审计对象，采用询问、检查、分析、模拟、测试等方法获得客观的审计证据，来判断其与既定标准的符合程度。在程序上，经过信息系统审计，审计项目计划、符合性测试与实质性测试、审计报告等主要阶段来进行审计工作，实现审计目标。

2）在项目实施过程中相结合

（1）全面开展对项目实施过程中电子数据的审计，包括会计电子数据和业务管理电子数据。采取的具体方法是：1.精确复核。运用计算机，对各种项目数据进行精确复核，既可以对全辖并表机构的会计报表与汇总报表进行全面复核，又可以从会计流水账逐级核对至总账，还可以将业务管理数据与会计报表数据进行复核；2.编制计算机程序进行辅助计算。可以编制计算机程序对有比例关系的项目进行计算，然后与实际记录进行比较，找出产生差异的记录；3.对一些异常会计记录和交易进行筛选和查询，为审计人员提供审计线索，主要是根据某一特征进行筛选分析，从不同角度分析可疑问题线索。

（2）以信息系统审计对项目实施时，对项目管理系统的内部控制情况进行初步的调查和评价，重点是权限管理、参数表的设置和修改控制等是否有效，被审计单位对交易录入的原始数据是否实施相应的控制，信息系统的数据流和业务流程是否吻合；3.通过系统日志等文件分析一些重大事件的原因，避免在项目实施过程中发生不可预测影响。

3）在资源配制上相结合

常规审计在我国的审计实践中，对项目资源存在的漏端很难察觉，原因主要是以下三大困难：一是审计人员难以在短时间内透彻了解被审计单位的项目存在弊病。一般来说，小型的数据管理，由专业的软件公司开发后打包在市场销售，被审计单位人员仅仅是使用者，审计人员无法获得开发设计的细节；而定制的系统多用于大型的数据管理，由软件公司或内部的开发部门根据企业的应用量身定做，这类系统技术文档和技术支持比较完善，但是由于系统过于庞大，细节设计过于复杂，审计人员在有限的审计时间内难以对系统进行评估。二是难以发现系统内的瑕疵。从表面看，常规审计的各项令人眼花缭乱审计方法无论是从开发文档还是操作手册都不会直接察觉系统的瑕疵，而且在现场审计中，审计人员一般不允许对正在运行的系统进行测试，较难识别系统的问题。三是难以评估系统瑕疵所导致的后果。在审计实践中，即使审计人员发现了常规审计存在的某些瑕疵，但是未发现该瑕疵导致的已经存在的后果，常常使得审计结论缺乏直接证据。

信息系统审计作为一种全新的审计手段和审计理念，首先，审计人员可以通过整体评价被审计单位的项目管理系统重要性的基础上，确定审计重点。其次，审计人员应用内控测试和数据审计两种方式对选定的项目管理系统进行分析，一般能迅速找出项目管理信息系统存在的瑕疵，尤其是人为舞弊的线索。第三，根据已经发现的问题，对系统进行延伸，进一步追查系统存在问题所引致财务收支失真等方面的问题。可以较好地从信息系统的角度发现舞弊问题和内控漏洞，使得审计内容不断丰富完整，较好降低审计风险。

五、在常规审计后，开展信息系统审计的意义

1）信息系统审计是未来审计发展的必然，未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展。

2）维护信息时代的市场经济秩序

篇（6）

1.开展信息系统审计审前调查审计组在审前调查阶段，专门开展了信息系统审计审前调查，调查的内容包括：信息系统承载的业务应用情况、业务应用软件、系统业务流程图和数据交互图、网络拓扑结构、主机/存储设备/操作系统/数据库系统、信息系统相关文档等。通过信息系统审计审前调查，大致了解了被审计单位的信息系统的基本情况及业务处理流程：市电子警察系统主要包括违法录入、违法修改、违法审批、法律文书管理、黑名单管理、违法统计等功能。其通过“邮政送达平台”和“银政联网平台”分别与广州市邮政局（以下简称邮局）和银行交换数据，以实现违法通知书的邮寄和罚款的缴纳。四区两市监控设备采集到的数据通过专线或3G网络传送到交警大队服务器中，通过前端审核系统对数据的有效性进行审核，审核完的有效数据上传到市交警支队的“电子警察系统”中。电子警察系统中通过审核的有效数据上传到省系统中，再上传到公安部的“六合一”平台。

2.确定审计组织模式审计组采用了市本级审计组与区县审计组上下联动、信息共享的审计组织方式，由市本级审计组负责市公安局交警支队和两个区分局交警大队的审计调查，其余的四个分局交警大队由各区县审计组分别负责。市本级审计组通过分析“电子警察系统”和“省系统”数据库，将问题数据分割后通过审计署OA系统及时发送给四区两市审计组。四区两市审计组审计分析各自的前端系统数据库，发现的审计线索也通过OA系统上传到市本级审计小组，以确定是否全市普遍存在问题。

3.确定审计重点和方法根据信息系统审计审前调查的结果，审计组决定以交通违法业务处理流程作为切入点，跟踪业务数据流向来开展信息系统审计。审计调查的重点包括四个方面：一是电子警察系统的合法性审计。因为电子警察系统的合法性决定了公安部门执法的合法性，其作出的行政处罚是否存在行政诉讼的可能。例如：执法点位有无按规定向社会公布；执法点是否按规定设置标识牌；执法点的设备是否经过验收和定期检测等，执法点的设备能否正常运行等。二是电子警察系统的有效性、完整性审计。如：违法数据是否按规定全部、及时核对录入；违法记录是否全部及时向当事人制发书面通知；超过规定时速的违法行为是否严格按规定进行处罚；有无擅自撤销处罚记录等。三是电子警察信息系统的安全性审计。如，数据上传过程中是否存在上传失败的情况；前后业务处理流程之间的数据量是否存在差异；操作系统、数据库以及应用系统访问是否存在的安全隐患等。四是电子警察系统的效益性审计。对审前调查确定的重点，审计组分别采用了不同的步骤和方法。①针对系统的合法性采取的审计方法：⑴取得目前交通“电子警察”的种类、数量及分布情况，与金盾网上向社会公布的执法点对比，检查执法点位有无全部按规定向社会公布。⑵在征询社会公众的意见的基础上，实地抽查执法点有无按规定设置标识牌；抽查指示灯号、标志线、限速指示牌等行车标志、标识是否合理；抽查交通“电子警察”测速设备，是否存在限速过低。⑶抽查交通“电子警察”设备的技术档案资料，检查所用的设备是否符合国家标准或者行业标准。⑷抽查记录，检查是否存在执罚程序不合法、未及时通知违法行为人等问题。②针对系统的有效性、完整性采取的审计方法：⑴抽查近三年广州市交通“电子警察”定期检测、保养、维护的日志、记录资料，检查设备有无定期检测、保养、维护；通过实地闯红灯和超速检查信息系统设备运行情况的有效性。⑵检查数据校验功能是否缺失。如核查决定书编号是否唯一编号、是否存在重号等。⑶通过不同系统之间数据的对比，核查系统数据完整性。一是横向比对，例如通过交警数据和邮政数据比对，违法记录是否全部及时向当事人制发书面通知，通过交警数据和银行数据比对，检查最终违章记录表中反映的已缴处罚金额总额是否与财政同一期间的非税收入金额一致；二是数据的竖向比对，例如通过四区两市的数据和支队数据比对，支队数据和省交警总队数据比对，检查系统数据在升级和迁移过程中是否发生丢失。⑷处罚撤销情况统计。审核撤销的数量、原因情况。审核撤销是否具有完整的内部控制制度，系统是否有控制手段。③针对系统的安全性采取的审计方法：⑴检查管理制度，查看系统后台记录的有关用户操作权限。⑵实地抽样查看系统操作人员对系统用户权限的管理，并运用数据审计技术和软件，对信息系统自动记录的日志进行筛选分析，检查有无未经授权的进入、非法修改删除数据等异常操作，从而判断信息系统的运行管理是否存在明显错误或者缺陷。④针对信息系统的效益性采取的审计方法：⑴通过直接发放调查问卷等方式，征询公众对广州市公安机关利用交通“电子警察”查处道路交通安全违法行为的意见，分析交通“电子警察”信息系统运行、交警执法的合理性、合法性和效益效果，提出对交通“电子警察”建设和利用的建议。⑵现场抽查交通“电子警察”设置到位情况，通过勘察、试验、拍照等取证手段，对市公安局“电子警察”项目的设置规划、分布、效益进行实地调查，重点检查有无长期在建、虚设不用、闲置浪费等低效益现象，形成绩效评价意见。⑶通过对交警执法效率提升、当地车辆保有量增长、交通事故数量及事故死亡人数变化等相关数据分析，采取量化指标反映“电子警察”取得的社会效益情况。⑷调取业务数据进行分析。如抽查监控点近三年开出罚单情况，动态分析监控点的运作情况汇报；分析近三年的事故多发地点，以及在事故多发地点设置交通“电子警察”情况。

4.项目取得的成果审计组通过开展电子警察信息系统审计，查出了以下主要问题：①部分监控设备长期没有维护，导致无法采集数据或数据失效。②部分违法数据未及时核对、录入。③区（县级市）违法数据与市局存在差异。④未在规定时限内向当事人邮寄交通违法处理通知书。⑤电子警察管理系统反映的违法处理通知书数据与邮局反映的寄出数据存在差异。⑥未及时对区县的异常数据信息进行检查、分析，导致滞纳金数据失真。⑦交警部门记录的入库金额与银行返回的金额存在差异。⑧电子警察管理系统数据上传公安部“六合一”平台时数据丢失。⑨信息系统中交通违法信息内容记载不够完整。公安交警部门对以上查出的问题高度重视，边审计边整改。其中对部分监控设备长期没有维护的问题，市交警支队已加强设备巡检、维护工作的监督力度，对未能正常使用的设备已及时排除故障；通过优化系统和设备配置、延长工作时间、抽调人员支援、将人工拍摄的非现场数据核对录入工作下放至辖区交警大队等措施，有效解决对部分违法数据未及时核对、录入的问题；对未在规定时限内向当事人邮寄交通违法处理通知书的问题，支队按不同的形成原因采取措施予以解决，对确因传送失败而未寄出通知书的，支队与邮政部门重新设计和开发统计违法数据数量功能模块，已正式启用，同时，与邮局采取每日核对数据量、对异常数据加强巡检等监管手段，确保发送数据量与邮局接收数据量一致；对未及时对区县的异常数据信息进行检查、分析，导致部分数据失实的问题，支队已在系统中对滞纳金字段值进行限制，有效解决了缴款时间滞后造成滞纳金不实的问题；对相关业务处理流程之间的数据存在差异的问题，支队正在筹建交通管理数据交换平台，将邮政、银政、电子警察、交委等数据统一通过该平台进行管理，进一步规范数据的共享与交换，同时对数据共享与交换情况进行全面监控，同时，将加强对系统操作人员的培训，提高业务和技能水平；对数据上传公安部“六合一”平台失败后没有作补救处理的问题，支队通过开发数据上传失败查询模块和安排专人跟踪数据上传情况，一旦发现数据上传失败立即进行补传，确保不因技术问题导致上传失败；对信息系统中交通违法信息内容记载不够完整的问题，支队已在新的电子警察管理平台中增加相关字段内容，逐步完善系统的设置。

二、做好信息系统审计的启示

1.做好审前调查是做好信息系统审计的必要前提。审计人员需要根据审前调查了解的行业政策、信息系统的设计、管理和维护情况，从而确定审计的范围和关注点，准备好信息系统审计的软、硬件条件。只有做好信息系统审计审前调查，才能充分评估开展信息系统审计的重要性、可行性和风险性。

2.了解信息系统业务处理流程是做好信息系统审计的主要关键。深入了解被审计单位的业务处理流程，掌握信息系统内部控制环节、数据处理环节和数据传输转移环节，以业务处理流程为切入点，就可以知道容易产生问题的环节，从而确定审计的重点，做到有的放矢。

3.合理配置审计人力资源是做好信息系统审计的有力保证。当前审计机关普遍面临信息系统审计复合型人才馈乏的困境，要在短时间内改变这一状况是不现实的。本案例中审计组配备了专长财会的审计人员和专长计算机技术的审计人员，由专长财会的审计人员负责研究行业政策，收集业务流程各环节的关注点，提出审计需求，由专长计算机技术的审计人员按需求设计计算机语言，对海量数据进行筛选，再交专长财会的审计人员对筛选结果进行分析，共同研究提出审计意见。复用审计思路的审计组织方式能使信息系统审计事半功倍。

4.采取灵活多变的审计方法是开展信息系统审计的有效途径。本案例中采取了审阅、查询、计算、分析性复核、社会调查问卷等多种方法。多种审计方法的灵活运用，可以相互印证审计事项，拓宽审计视野，扩大审计成果，加强审计的影响力。

篇（7）

二、完善内部控制审计，提高审计质量

1.扩大重点审计范围由于我国内部控制系统审计开展的时间较晚，目前还处于实施的初步阶段，特别是在当前内部控制环境对内部控制系统审计实施不利的情况下，更应该加大对重点审计范围。我国企业内部控制实施的目的是为了起到对管理者监督的作用，从而确保企业能够健康的发展，所以内部控制系统审计的审计重点需要找出内部控制制度的漏洞和不足之处，同时还要根据行业和企业规模的不同，制定不同的审计计划，同时可以将与财务报表审计相关的内部控制作为内部控制系统审计的重点范围，同时还要对其他内部控制信息加强审计。

2.吸取别国经验与创新审计方法内部控制系统审计最早由美国开始实施，所以目前各国内部控制审计准则都是以美国为范本而制定的，这就需要我们在内部控制审计实施过程中要做好吸收和借鉴工作，趋利避害，做好提前预防工作。目前经济全球化的发展步伐不断加大，但这并不意味着全球内部控制控制或是内部控制系统审计准则都要具有一致性，其实在具体实务中，企业内部控制制度都是针对企业自身的特点制定的，所以差异性较大，这就决定了企业内部控制系统审计也不可能都如出一辙。所以在目前这种情况下，我国企业内部控制系统审计需要根据我国的实际国情，制定与我国社会主义市场经济相符合的内部控制系统审计准则，这亲不仅有利于我国企业内部控制制度的健康刀菜，而且对于降低社会成本也具有积极的意义。

篇（8）

（一）人员流动渠道不畅通

审计系统由于受编制、人事管理体制及专业性质的制约，人员的录用、提拔、调离等方面都存在一定的困难与障碍，人员流动性小。虽然政府再三强调审计机关工作人员逢进必考，但现实的大环境，人事部门也难于做到严把进人关。近两年我局所进人员，基本上是乡镇领导换届安排，部分关系人员照顾性进来的，实际能胜任审计工作人员难于“走进来”，而非专业人员，相对来说又难于“走出去”。审计人员提拔、输出的极少，由审计岗位走向领导岗位的更少，人员始终处于一种自行消化状态，干部成长渠道窄。由此严重影响了审计干部向健康、向上方发展，从而影响了审计事业的推进。

（二）机制体制不完善、不健全

基层审计机关审计任务繁重，工作压力过大是不可否认的现实，所以在日常工作中，年龄偏大点的审计人员认为自己搞审计多年有经验、有方法，同时存在“船到码头车到站”的思想，当天和尚撞天钟，完成任务就行了。而年轻刚进来的审计人员，大多凭关系进审计局，缺乏刻苦钻研、勤奋好学的精神，得过且过，应付了事，整天讨好领导，在理念和实践上无长进，形成一种“工作干好干坏无区别，干多干少无所谓”的不正确认识，这种状况的出现主要还是基层审计机关机制体制不完善、不健全，以及有关制度未能真正做到有效地贯彻执行，尚未建立健全符合现阶段审计发展的审计管理、审计教育培训等工作机制，缺乏切合实际的考核激励制度，最终导致审计人员工作态度不够认真，积极性不够高，创新意识不强的结果。

（三）学习教育不够重视

基层审计机关普遍存在业务人员少、任务重的矛盾，且大多数都是具有丰富审计经验的40～50人员，加上每年要完成的审计单位（项目）众多（如我局去年审计的单位（项目）73个，其中年度计划51个，县委、县政府临时交办22个，今年又达74个，这还不包含县委、县政府临时交办的审计项目），项目一个接一个，加之审计的程序及其繁琐，案卷整理过于繁杂，审计决定执行难度较大，审计人员长年累月奔波于审计一线，天天忙于查账、写审计报告、执行审计决定、整理审计案卷，任务的日趋繁重，及主观上缺乏足够的重视，基层审计人员在学习上更多的是采取敷衍的态度，静不下心、沉不下心去认真学习，深入思考学习新的审计方法和技巧。由于过份强调“忙”，更谈不上组织审计人员进行系统培训，最终导致审计人员综合分析、解决问题、创新等各方面能力得不到提升，运用绩效理念，计算机技术等现代审计方法无所适从。

二、对策及建议

加强基层审计队伍建设，是推动审计事业不断发展的根本保障，是新时期、新形势下社会各界对审计工作的基本要求，也是充分发挥审计保障国家经济社会健康运行的“免疫系统”功能作用的迫切需要。基层审计干部队伍建设是一项系统的工程，任重道远，需要基层审计机关及广大审计人员坚持科学发展观，树立科学审计理念，从提高认识、完善机制体制及制度、加强学习教育、优化队伍结构，提高审计质量等措施入手，不断强化队伍建设，全力打造一支适应新时代要求的高素质审计干部队伍。

（一）优化人员结构

一是立足当前实际，从现有人力资源上下功夫，努力提升审计人员的素质，从根本上解决审计队伍知识结构失衡、能力发展不均衡等问题。由于受机构编制制约，短时间内难以通过招录人员、引进专业人才的方式充实审计力量，优化审计队伍结构，根据审计队伍实际情况，通过以老带新、以强带弱、强化学习培训、强化沟通交流等方式，积极培育审计人才，促使审计人员具备丰富的业务知识、扎实的专业技能、勇于创新的精神。二是严把审计进人关，用好有限的人员编制，招录急需人才。根据审计机关工作性质及专业特点，通过设定一定的条件及标准、采用科学合理的录用方式将审计队伍中知识结构严重缺位的、审计工作急需的人才引进到审计队伍中，确保队伍整体素质及水平。三是逐步建立审计专家库。作为基层审计机关，普遍存在人才缺口，很难配齐所需的各类人才，因此上级审计机关因结合审计实际，逐步建立完善适应审计需要的审计专家库。基层审计机关可以通过聘请专业人才参与审计等的方式，缓解审计力量不足的矛盾。

（二）争取政府支持，确保审计经费

《国务院办公厅转发审计署关于机构改革中加强市、县级人民政府审计机关建设几点意见的通知》（［2000］86号）精神要求，“各级审计机关的审计经费应根据《审计法》的有关规定，列入同级预算，由本级人民政府予以保证”，据此，审计机关应主动争取政府支持，财政年度预算时充分考虑到审计工作性质、工作量、工作职能和工作成本，确保审计机关的经费，以提高审计工作服务水平和质量，切实维护审计人员廉洁审计，依法审计形象，推动我县审计事业全面科学发展。

（三）健全完善相关机制制度

一是建立完善考核激励机制。坚持以人为本理念，针对审计事业发展方向及基层审计工作特点，建立和完善基层审计机关的工作考核制度和管理办法，激发审计人员的工作积极性，有效提高审计质量。并针对审计发展形势需要及制度操作中存在的不足等，及时科学地调整考核内容，使之能够真正发挥作用，营造良好的竞争氛围。例如我局2005年制定出台的内部管理考核办法，围绕德、能、勤、绩、廉等几方面，将定量考核与定性考核相结合，以审计工作业绩为考核重点，将业绩与审计人员完成项目质量、成果运用、审计创新等相挂钩，量化考核指标。并逐年进行修订完善，不断细化考核项目。通过近年来内部考核办法的实施及修订完善，我局在调动审计人员工作积极性及提高审计质量等方面取得了显著的成效。今年，我局又将继续围绕科学发展及审计转型的要求，对考核内容进行修订完善，工作成效将不再只针对查出多少违规金额，上缴多少财政金额，而是重点关注有否解决实际问题，帮助党委、政府建立健全体制机制，维护人民切身利益等方面。

（四）强化学习教育

针对目前基层审计干部专业结构状况，要使广大审计人员充分认识到学习的重要性。当今社会正处于知识更新的新时期，就审计人员本身而言，学习是防止思想僵化，保持不断创新，持续进步的基础。就审计机关而言，加强培训，促使审计人员有计划、有目的地接受学习和教育，是提高审计干部队伍综合素质，推动审计事业科学发展的有效途径。首先，基层审计机关应营造良好的学习氛围，教育全体审计人员端正学习态度，主动协调好工作、学习、生活之间的关系，鼓励审计人员利用一切可以利用的时间，以自学为主的方式，在学习专业知识的同时，重视其他相关知识的学习，注重学习效果，切忌走过场，使广大审计人员能真正从扩大审计人员知识面和思维视野出发，培养审计人员思考问题、分析问题的能力及创新意识等。同时有针对性地选择有潜力、有钻研的审计人员进行综合培训，积极培养一人多专的“复合型”人才，解决审计应用上的困难及人才缺乏等现实问题。其次，基层审计机关应建立健全教育培训机制。根据审计发展形势及审计人员的岗位、专业、文化程度、知识结构等情况，制定中长远的培训规划和年度计划。培训内容上，应基本涵盖宏观经济、法律、审计业务、计算机、基建等知识，不断拓宽学习覆盖面。培训方式上，应注重有计划地分类、分层次培训，如按照领导、骨干、一般等不同层次对象有针对性地开展培训，也可根据审计实践需求，采取委培、代培、抽调基层人员参加上级审计项目等多种方式开展培训。培训方法上，应考虑基层审计机关的实际，防止只重形势不重效果，走过场的培训，减少“作报告”、“谈体会”等枯燥单一形式的培训，注重采取新颖、互动的培训方法，采取审计实务的操作演示、审计业务的经验交流等培训方法。如我局从今年起，每月第一星期周一各业务组长互相交流审计实施情况，也是一种很好的培训方式。

（五）加强审计质量控制

1.重视审前调查，提高审计方案编制质量。

一是审计人员在编制审计方案之前，必须做好充分的审前调查。在了解被审计单位的内设机构、人员情况、领导及分工、单位主要职能、下属单位情况、纪委等有关单位掌握的情况，以往审计情况，以及计算机环境的基础上，注重掌握重大事项如工程建设、大笔资金征管用、资产处置情况等。二是根据审前调查掌握的实际情况、重点内容等编制审计方案，重点项目应开展审计方案论证，审计组长及时根据审计方案论证会形成的意见，完善审计方案。

2.遵守规范，鼓励创新，提高审计报告撰写质量。

篇（9）

1、创新审计整改工作统计指标。根据地方经济社会发展决策需求和地方政府审计发展实际，初步确定年度审计项目查出问题所涉及的资金总额、已纠正或整改金额、针对审计进行建章立制的个数、审计整改率等。根据这几个审计统计指标，计算地方审计整改比例，为提高审计效率和效果提供决策参考。

2、审计整改工作统计指标的统计范围。在具体设计审计统计指标时，参考国家审计统计指标体系，对以下审计统计栏目的范围进行：一是审计单位名称，系指经审计通知书确认的，报告期内由审计机关独立或以审计机关为主实施审计，并出具审计报告的部门或单位名称。二是审计调查单位名称，系指经专项审计调查通知书确认的，报告期内由审计机关独立或以审计机关为主实施审计调查，并报送专项审计调查报告的部门或单位名称。三是审计资金总额，该指标从资金角度反映审计覆盖面和规模大小。具体范围为：企业，统计会计年度末资产总额；行政事业单位，统计预算资金总额；政府投资和以政府投资为主的建设项目，统计上级批准计划总投资金额数；等等。以上几个方面是指全面审计情况下的统计口径。在专项审计时，按专项资金额进行统计。四是查出问题金额，系指审计查出的“违规金额”、“损失浪费金额”、“管理不规范金额”等的合计数。五是已纠正或整改金额，系指审计决定书、审计报告发出后，被审计（调查）单位已纠正或整改的问题金额。六是查出问题个数，以审计报告中反映的问题个数为准。七是已纠正或整改问题个数。针对审计查出问题已纠正或整改的状况，要研究确定审计统计时的参考判断标准：如有关部门和单位已按要求对违规金额和管理不规范金额等全部或大部分进行了纠正或整改状况；针对管理不规范、制度不完善等问题已经建章立制的整改状况；针对违规收费等行为已经停止违法行为的状况；针对不涉及资金的管理性或其他类似问题，有关部门和单位通过会议等形式提出相关要求或在审计整改回复中表示整改的状况；等等。在具体确定参考标准时，要循序渐进地针对地方经济社会发展进程和政府审计发展实际，尤其是要从有利于领导决策角度进行研究。八是已纠正或整改率。

3、关于审计整改率。审计整改率的计算是个敏感问题，涉及到方方面面的工作。对于审计整改率的统计本身，就涉及到统计角度问题。因此，既要非常慎重地统计，又要积极稳妥地探索创新审计统计。对于审计整改工作的统计，除了要研究统计审计查出问题个数的整改状况，还要参考统计审计查出问题金额的整改状况，以达到实事求是地统计审计整改工作实际，切实为领导决策提供参考。

二、加强地方效益审计统计创新工作

经过20多年的发展，我国政府审计发展已经达到一定的水平。《审计署2003-2007发展规划》中明确提出到2007年效益审计项目达到50%的目标，同时对审计管理提出了一系列目标。这些发展目标对审计管理提出了具体要求。各地方政府审计也在积极推进效益审计工作。效益审计工作不仅涉及政府审计发展目标，而且也涉及政府审计工作进程。因此，要针对地方政府审计实际创新效益审计统计工作。

1、创新地方效益审计统计指标工作。结合审计署审计统计指标体系，根据地方政府审计特色有针对性地整合效益审计统计指标：效益审计项目数，包括以效益审计项目立项的项目数和其他类型审计项目中的效益审计子项目；效益审计项目资金总额；效益审计项目查出问题资金额；占效益审计资金额的百分比；占审计资金总额百分比。根据这几个审计统计指标，计算效益审计项目数占年度总项目数的比例，计算效益审计项目查出问题所涉及的资金总额占效益审计项目总金额的比例，计算效益审计项目查出问题所涉及的资金总额占年度所有审计项目总金额的比例，为推进全市效益审计工作提供决策参考。

2、地方效益审计统计指标创新的统计范围。根据审计署审计统计报表体系和地方效益审计特色，探索确定以下范围：一是效益审计项目，系指单独立项，或与财政收支、财务收支真实合法性审计相结合的效益审计（调查）项目的个数。二是效益审计项目资金额：指单独立项的效益审计项目总金额或审计（调查）项目中效益审计部分涉及的资金总额。三是审计查出问题金额，系指填入审计署审计统计“效益审计情况报表”内的数据。四是占效益审计资金额比例。五是占审计资金总额的比例。

在进行地方效益审计统计时，既要针对地方政府审计发展特点和发展进程，又要考虑地方政府审计目标。在涉及具体统计技术时，要考虑到经济社会和政府审计发展的宏观和微观层面的实际问题。

三、加强计算机辅助审计统计创新工作

计算机辅助审计技术是政府审计发展所必须解决的问题。计算机辅助审计在政府审计中重要性越来越强。李金华审计长在有关会议上多次强调计算机辅助审计的重要性，并多次要求大力推进计算机辅助审计。

篇（10）

【作者简介】张艳玲，渤海大学副教授，硕士；王娟，渤海大学讲师，硕士，辽宁锦州121000

【中图分类号】F239.0 【文献标识码】A 【文章编号】1004-4434（2013）02-0155-05

免疫系统论是对审计理论的创新和审计本质、职能的重新界定，石化企业作为我国国民经济的重要组成部分，其在维护国家经济安全、促进国有资产保值增值中发挥中重要作用。在国际金融危机影响尚未完全消除、国内外经济发展环境多变、市场竞争日益激烈和企业风险趋于多元的后金融危机时代。石化企业必须以免疫系统论作为新的价值取向深度推进审计文化建设，促进审计事业的创新和发展，保证企业可持续发展的实现。

一、审计文化的内涵、特点及功能

（一）审计文化的内涵

审计文化与文化之间具有密不可分的联系，审计文化是文化的重要组成部分，要了解审计文化的内涵，必须先分析文化的具体内容。关于文化的内涵，在学术界有不同观点。按照《现代俄语标准辞典》的解析：文化是指人类社会在生产中、社会生活和精神生活中所取得的成就的总和，包括物质文化和精神文化两个层面。泰勒（1992）认为，文化是一个复合整体，包括知识、信仰、艺术、道德、法律、习俗以及作为一个社会成员的人所习得的其他一切努力和习惯。还有学者认为，文化是代表一定民族特点的反映其理论思维水平的精神面貌、心理状态、思维方式和价值取向等精神成果的总和。可见，文化是一个多视角、多维度和多层面的概念。包括了物质、精神、理性和感性等多方面的涵义。也正是由于文化的复杂性，审计文化也成为了仁者见仁、智者见智的问题。但整体而言，审计文化具有自然属性和社会属性两种属性已成为普遍共识。审计文化的自然属性是审计工作中具有的属性，是共性，如审计法律法规、审计准则、审计手段和方法以及审计行为等。审计文化的自然属性决定了不同社会、不同国家的审计文化的共性。是不同国家相互交流的基础。审计文化的社会属性是审计工作中所形成的属性，是个性，其决定了不同社会、不同国家审计文化的差异性。虽然审计文化还没有形成统一、具体的概念，但学者普遍认为，审计文化是审计机关及其审计人员在履行职责、发展审计事业过程中培育形成的，被共同认可、遵循的价值观念、道德规范、行为准则、群体意识的总和。不难看出，学者对于审计文化的理解和认同，主要是集中在审计价值观、审计精神、审计心理和审计道德等在内的精神方面。

（二）审计文化的特点

经过近30年的发展，审计文化已经逐步形成了区别于其他文化的特点。（1）时代性。审计文化是时展的产物，无法脱离特定时代、特定政治、经济和社会环境的制约，随着社会经济关系的发展而变化，以适应社会经济发展对审计工作的要求，与审计工作实际现状保持协调一致。（2）系统性。审计文化包括了审计物质文化、审计制度文化和审计精神文化三个层面，三者相互关联、缺一不可。审计文化建设，不仅要注重制度、技术等有形因素，更要重视信念、价值观、道德评价等无形因素。（3）创新性。在社会经济不断发展的背景下，审计手段、审计方法、审计理论以及审计的价值观等必定要不断创新。（4）开放性。审计文化与其他文化虽有本质区别，但又相互兼容，既需要吸收先进文化的基本元素，又可以为其他文化提供借鉴和吸收。（5）科学性。审计文化具有自身的发展规律，其发展以社会经济发展水平和社会环境为基础，不能超越于经济发展水平的需要而独立存在，审计文化应与经济发展和审计工作的实际需要保持协调一致。

（三）审计文化的功能

实践证明，审计文化具有四个方面的功能。其一，凝聚功能。先进的审计文化，可以增进审计及机关人员的相互了解。团结各岗位、各领域的人员，形成共同的认知和价值观，增强企业凝聚力和忠诚度，形成促进企业发展的巨大合力。其二，激励功能。价值观和精神文化是审计文化的重要内容，其具有良好的精神感召力，有利于形成强有力的激励环境和激励机制，调动审计人员的主动性，全身心投身于审计工作，推动审计事业发展。实践证明，在某种程度上，文化的激励作用往往胜过行政命令的执行约束。其三，约束功能。审计文化的约束功能在价值观的指导下，借助道德、信念和风气发挥作用，通过心理的诱导和规范，引导人的思想和行为趋于和谐、一致。其四，教育功能。良好的审计文化有利于企业职工陶冶思想素质和道德情操，遵循正确的思想准则和行为规范。此外，审计文化还可以促使外部人员增加对审计工作的理解和配合，促使社会各界更加关注和支持审计事业。

二、免疫系统论与审计文化建设的内在机理

审计免疫系统是国家审计署审计长刘家义于2007年提出的观点，并在2008年中国审计学会五届三次理事会暨第二次理事论坛对全面深刻地阐述了免疫系统理论。免疫系统论是对审计理论的创新、审计本质和审计职能的新发展。刘家义审计长指出，审计应具有和发挥预防、揭示、抵御功能，现代国家审计就是经济社会运行的一个免疫系统。很显然，免疫系统论下的审计已经超越了传统审计中的会查账就是审计的定位，并对传统审计的监督、评价和鉴证职能进行修正及突破。免疫系统论下的审计，要做到资金管理使用的合规性、合法性、效益与效果性兼顾；既要查处问题，又要完善制度政策；在审计经济问题的同时，加强对社会、生态、环境和民生等问题的关注。对于企业而言，审计部门作为公司“免疫系统”的重要组成部分，要从审计的本质出发，发挥预警、揭示和修补抵御等“免疫”功能，同时当好经济卫士和保健医生，查错纠弊、规范管理、完善制度、堵塞漏洞，促进公司依法经营、规范管理，并不断增强抗风险能力和市场竞争力，保障公司经营管理活动安全运行和健康发展。通过分析免疫系统论和审计文化的功能与目的，两者是趋于一致的。是可以融合的。互为促进的。

（二）创新审计制度，强化审计文化建设的制度保障

篇（11）

人类作为智能化生命，一个重要特征就在于其永无止境的进取性，以自身创造的物质文明和精神文明来愉悦人世生活，促进每个人的充分自由发展，推动整个社会的进步，这是一个承传延续的生命演绎历程。作为人类文明重要组成部分的当代服饰文化理应遵循这种以人为本的人本主义精神。服饰的文化意义在于适应自然环境以满足生存需要、方便生活日用以便利身体活动、美化身姿体态以娱悦身心健康、显示社会身份以表征社会角色等。作为人体的延伸，服饰还能够表现出穿着者的长处和特点，极富魅力地表现个性、欲望和心理特征。为此，服饰设计不仅要切合现时美观大方的流行趋势，使其富有突出的个性表现力，体认穿着者的心理特征和观赏者的趋同心态，而且应将传统服饰文化融入其中，凸显其生命蕴涵和审美意蕴，将传统与时尚有机融合。惟有如此，方能真正营造出有底蕴的时尚服饰文化。

一、中国传统服饰的文化内涵

服饰是人类生活要素和人类文明的重要组成部分，它满足人们物质生活的需要，并代表着一定时期的文化。服装的款式设计、面料选用、颜色组合等，均记录着特定时期的生产力水平和社会状况，反映着人们的思想文化、宗教信仰、审美观念。

中国传统服饰文化不是一种孤立存在的文化现象，它是物质与精神的统一体，也是附着于物质载体之上的主体美的物化形态，既主张象征表意性又倡导审美愉悦性，既注重形式美的创造又崇尚情感意念的表达，使内涵意义与表现形式完美统一，以情景交融、意象统一之美来展示民族美学的生命艺术品位。f”以中国传统服饰文化中的颜色为例，其文化内涵亦随着社会的发展、时代的变迁而演变，并呈现出鲜明的阶段性、民族性和时代性审美特征。中华传统服饰文化的生活色彩浓郁，它以等级标识为主要体征，并被赋予特定的伦理意义，如商代将取于自然的青蓝、赤红、黄、白、黑五种颜色视作尊贵色彩，规定只有奴隶主和贵族阶层的着装才能使用这些颜色，且“青与赤谓之文，赤与白谓之章，白与黑谓之髓，黑与青谓之献，五彩备谓之绣”。此外，将五色与中国传统文化的认知方式相结合，与五行等相对应，构成了所谓“五方正色”的图式，并根据五行相生相克的原理推衍出“五德终始说”，将之与生命道德联系在一起，如商以金德王、尚白色，周以火德王、尚红色，秦以水德王、尚黑色等。先秦之后，到了等级森严的封建社会，服饰色彩作为政治伦理的外在形态直接被用来“别上下、明贵贱”，成为统治阶级等级差别的标志性象征，而黄色和龙纹则成为皇帝的专用色和王权的象征。在封建等级制度的高压和儒家礼教思想的双重作用下，色彩的应用已脱离自然的物质属性及其本来意义而被赋予了浓厚的政治伦理色彩。可见，中国传统服饰的文化内涵极其丰富，它出干对自然和生命的无限崇拜以及对等级标识的刻意表述而呈现出明快的色彩风格与和谐统一的心理追求，整体效果既赏心悦目又简单大方，形成了自己独特的五色体系和风格表现方式，成为中国传统服饰文化的基调。

人类创造的世界是一个文化的王国，文化伴随着人类生命的进程而发展，并在社会的进步中发挥着巨大作用。服饰文化是人类物质文明和精神文明的统一。一方面，服饰是文化重要的构成要素，文化的发展刺激着人们对服饰的需求;另一方面，人们对服饰的需求又丰富了文化的内涵，把文化对自然的改造与人的自身培养及生命审美联系在了一起，最终促进了社会的发展。著名人类学家佛朗慈·波阿斯在《原始艺术》中指出:“追求艺术表现和优雅的外观，是人类的共性。可以说，在古代社会中，许多人已经感觉到美化生活的必要，他们的意识，要比文明了的后代敏锐得多，强烈得多。在人类历史的演变进程中，服装对于人类已不仅仅限于遮体御寒，还能满足人们在其他方面的心理需要和生命体认，如中国古代的北方游牧民族的猎手用猎物的牙齿、蹄爪、羽毛或尾巴装饰在自己衣物上，以显示其英勇无敌或地位崇高。随着经济社会的发展，人们衣服的质料、颜色、式样及附属装饰越来越与整个社会心态和个性心理相呼应，服饰本身作为一种信息符号，能够传达时代风尚、文化特色以及个人的文化教养、知识水平、风度气质与社会角色方面的信息。衣服被视为人的“第二皮肤”，它能够反映出一个人尤其是女性的个性和心理状态。美国服装学家布兰奇·佩尼在(世界服装史》中写道:“将一种鲜花戴在头上，或者以酸梅果汁把双唇染上红色的第一位姑娘，必定有她自己的审美观点……女性服装的质料、色彩、缝制以及与服装相匹配的佩饰能够加强女性自身身份及在特定场合的自信心、风度、竞争力量。

二、中国传统服饰的审美意蕴

1.适中、和谐的“情理美”

中国传统服饰的含蓄婉约与中国人和平、知足、中庸的取向相一致。儒家“中庸”之“中”、华夏“中国”之“中”，皆强调“不过分而和谐”，这在中国传统服饰文化中有明显体现。中国传统民族服装既不像西服那般可精确勾勒人体，又不同于古希腊、古罗马那样用一块布随意地披挂或缠裹于身上，而是采取“半适体”的样式，即倡导一种包藏又不局限人体的若即若离的含蓄美。究其原因，“平和性情”自古以来就作为一种美德为中华民族的先辈所推崇，所谓“人生但须果腹耳，此外尽属奢靡”，追求幸福的真谛是“精神快乐休闲，胜干物质进步”。这反映在服饰文化中就是讲究随意、闲适、和谐，没有过分的突出、夸张和刻意的造型，于恬淡之中给人一种含蓄、平和而神秘的美感。中国传统服装的制作者(裁缝)在设计和制作服装的过程中凭借直觉与经验，于“适体”中呈现的是一种含蓄的“情理美”，而非西方那种以数理为基础的精确到尺寸的“理性美”。

2.追求意境的“含蓄美”

“含蓄”属中国传统文学艺术美的范畴，这一手法通常将作者的情感表达寓于作品的形象和意境之中，以达到启发联想、耐人回味之艺术效果，彰显“情中有景，景外含情”的艺术境界。这类似于中国画中的写意手法，即不豺着于对事物的客观再现，而强调欣赏某种朦胧的含蓄美，在虚实关系上偏重于对“虚”的张扬。引入到服饰文化的艺术创作中，就是设计者特别注重“不着迹象、超逸灵动”之美，不刻意追求数字上的精确性或纯形式的客观美感，而是崇尚用无穷的意象美含蓄地表现情感。如用宽衣大袍、中规中矩的样式或写实与变体相结合的动物、几何纹样、花草枝、藤蔓纹等具有抽象和寓意的服饰图案来传达一种与政治或伦理的关联意向。

汉初之“袍”被作为礼服，一般多为大袖，袖口部分收紧缩小，紧窄部分为“祛”，袖身宽大部分为“袂”，所谓“张袂成荫”就是形象化的描述;而魏晋时期的“竹林七贤”，其画像人物皆穿着宽敞的衣衫，衫领敞开，袒露胸怀，或赤足，或散发，无羁放荡，张扬着崇尚虚无、轻蔑礼法的人生品性，给世人以高山流水般随性自然的审美意境。中国传统的女性服装旗袍，是传统服饰文化与现代时尚设计完美结合的典范，它造型完美、结构适体、内外和谐，是兼收并蓄中西服饰特色的近代中国女性的标准服装，是中华服饰文化的代表，在女装舞台上有着不可替代的重要地位。旗袍的设计表面上不温不火，实质上内涵丰富、意蕴幽远，达到了形式与内容的完美融通。光滑的质感和简洁的造型表现出流畅明快的线条与和谐一体的气韵，展示出东方女子温柔、典雅之美。这种气韵不仅展于外表，而且沉于内心。穿上旗袍，既能衬托出东方女性优美的身段，又能显示出其幽雅的心境和悠闲的生活节奏，充分展示出中国传统服饰的含蓄美，呈现出一种宛若自然生命律动的朦胧佳境。

三、中国服饰文化的承传拓展

1.继承:拓展传统服饰文化的基础

中国素有“衣冠王国”的美誉。纵观华夏服饰文明的发展史可知，“谐调”、“统一”是中国传统服饰文化的真谛。自中国服饰文化诞生伊始，就遵循着理物取暖与审美表现、标识显示与象征表达、个性突出与喜庆吉祥相结合的制作原则，以最大限度地达到服饰与自然、服饰与社会、服饰与人群的和谐统一，而情景交融、意象统一更是中国传统服饰文化最珍贵的审美品质。比如，作为中国传统服饰文化的基本元素，“标示突出文化”同主要应用于人们在生产和生活中对等级尊卑、行业职别、年龄性别的标示和意念表达上，从原始部落首领与狩猎功臣的服饰标示到封建帝王的官服标示，从文官武官的服饰标示到现代军装、职业装、晚礼服的服饰标示等，均彰显着其“标示突出文化”的审美底蕴。当然，中国传统服饰文化承载着传统儒家中庸观，受政治因素的影响颇深;而20世纪中期的“绿色”服装覆盖全国，“军干装”及其灰色基调也使中国服饰呈现简单划一的窘况。然而，中国传统服饰文化中占数千年发展主流的是“谐调”、“统一”的服饰文化，理应将之发扬光大，诸如以原色表现为主的大气而豪放的色彩文化，以追求内涵意义与表现形式圆满统一并最大限度地达到服饰与自然、社会、人群协调一致的完美原则，以民俗吉祥意象为特征的表现形式等，现代中国的服饰文化都应予以承传拓展。

2.创新:传统与时尚的完美融通

在当代中国，传统服饰与时尚设计的审美融通对提高服装的文化附加值、满足时尚消费需求、缔造民族特色品牌、开拓国内外市场具有特殊意义。全球化时代的服装产业竞争日趋激烈，各国服装设计师在服装设计中都很注重对本国传统文化元素的借用，以张扬本国服饰文化和民族特色。目前，中国现代服装设计整体上还存在着设计理念落后、创意不够、没能把传统服饰文化的精髓融入现代服装设计之中等问题;加之国外品牌纷纷涌入，国内又缺乏与之抗衡的品牌，使中国的服装设计在国内、国际竞争中均处于不利地位，严重影响了中国服装业的进一步发展。所以，当务之急是在借鉴传统文化符号的基础上，将传统与时尚有机地融合在一起，将之从表面符号的简单借用提升到对服饰文化内涵的审美体认与表征阴，创立自己的服装品牌，发展中国传统元素与现代时尚设计和谐融通的、具有中国特色的服饰文化。

实现传统服饰文化与现代时尚设计的完美融通，实质就是一种在继承传统服饰文化基础上的创新。这种创新首先须领会传统文化，否则创新就是无本之木、无源之水，即设计师要在精神文化层面上把握中国传统服饰文化的精神理念，将我国传统文化元素与各种时尚理念、理论资源加以整合，把传统服饰文化中的实用价值、文化价值和审美价值创造性地融入现代服装设计，丰富其文化蕴意，提升产品的文化附加值，防止对传统元素符号化、表面化的简单组合或图解式、猎奇式的样品展览。好的服装设计创意是设计师在把握了传统服饰文化理念之后，结合时尚理念和设计原则，对传统文化积累、消化并感悟的一种自然情感表述，而不是现买现卖、照猫画虎。河南“丙戌年黄帝故里拜祖大典”活动中展示的服装就非常具有文化价值。拜祖服装系列大多采用的是中性的流行色系列，颜色迥异、面料粗朴，以金色缎带镶边;纽扣的设计则采用盘扣样式，其金属材质与服装面料及服装的金边质地形成细腻的对比;袖口翻边采用缎织纹路，既有古朴特点又有现代的工艺形式。整个设计将传统元素与时尚设计完美结合，加之祭祖大典本身的特殊意义，可谓形式与内容完全融合在一起，取得了极佳的艺术效果。所以，当代中国的时尚服饰设计应该分析研究传统服饰的配色及制作规律，理解、感悟传统服饰文化的深厚、博大与凝重，并使之巧妙地运用到现代服装设计中来，加之挑花、刺绣、蜡染、扎染、手绘、编织、织花、抽纱等现代工艺，并结合时代流行趋势与时代特征，将继承传统与探索创新有机结合，这样才能创造出既有时代感又有民族神韵的服装。