审计管理信息系统技术方案.docx

审计管理信息系统技术方案.docx

《审计管理信息系统技术方案.docx》由会员分享，可在线阅读，更多相关《审计管理信息系统技术方案.docx（56页珍藏版）》请在冰豆网上搜索。

审计管理信息系统技术方案

审计管理信息系统

技术方案

2019年8月

1系统理解综述

1.1系统建设背景

近几年来随着计算机在政府审计、社会审计等外部审计工作中的逐步应用。

审计组织、审计手段和审计管理等也正在发生着重大变革。

特别是“政府金审工程”实施以来，已硕果累累：

在审计组织方式上，从审计现场的单机审计，发展到审计现场的局域网审计，以及目前正在试点实施的远程联网审计；由对被审计单位电子数据实施分散审计发展到对电子数据实施集中审计。

在审计手段上，从利用计算机检索、关联、计算等功能对电子数据进行分析，发展到利用计算机技术将审计人员的经验、技巧、方法智能化，进而利用分析性测试等先进审计方法系统分析电子数据。

在审计的客体上，从单纯审计电子数据，发展到既审计电子数据，又对与财政财务收支相关或与固定资产投资建设项目相关的数据信息等的合规性、经济性实施审计监督。

在计算机运用的范围上，实现了从利用计算机实施审计到运用计算机管理审计项目的跨越。

内部审计有别于外部审计（国家审计、社会审计），其审计的目的是对内提供服务，即为了完成组织的目标任务，其审查范围主要包括：

测评内部控制制度；通过测评找出内控制度的薄弱环节，并提出改进建议；为完善内部控制制度服务；检查单位对来自外部和内部的有关法规制度的遵守情况；对业务适当性进行审查评估；对管理活动和管理职能进行审查；审查内部财务收支活动及其会计资料等。

这就需要管理者、决策者运用崭新的思维方式和内部审计方式，把握占有相关资料，分析作业系统审计项目的各个步骤及程序，对承担该项目的审计人员进行复核。

然后根据职业判断，对被审计单位的薄弱环节去延伸、取证（二级复核），最后由决策者把握对被审计单位的总体评价（三级复核），如违法违规、财务管理问题、效益问题等。

以此推进单位内部不断改进完善内控管理，追求效益最大化。

在实际工作中，需要建立一个这样的内部审计管理信息系统：

单位内部高层管理者可实时进行审计查询，随时掌握动态，实施监控与指导；内部基层管理者可通过审计项目各个审计阶段及程序进行复核管理；通过开发建立内部审计管理信息系统，可进一步完善审计作业系统功能，满足审计业务不断发展的需要；同时为实现科学的审计管理、建立完善的审计质量控制体系提供技术保障。

审计管理信息系统是实现公司运营信息化的一个重要组成部分，实现审计管理与业务作业规范化、信息化。

审计管理信息系统面向公司本部、所属各单位二个层次，并且实现与南方电网公司的接口，适应公司审计管理的需要，覆盖审计业务全过程，系统基于自定义、可配置、可视化、智能化支持业务流程导向驱动作业模式。

1.2系统建设目标

基于公司审计信息化的需要，系统的建设目标如下：

（1）建设面向公司本部、所属各单位二个层次，并且实现与南方电网公司接口，适应公司审计管理需要的统一审计业务管理平台；

（2）实现覆盖审计业务全过程，基于自定义、可配置、可视化、智能化支持业务流程导向驱动作业模式的审计作业处理；

（3）实现公司及其所属各单位的审计机构与审计人员的统一管理；

（4）具备智能化的审计知识管理能力，有效支撑审计工作；

（5）基于公司的管理层面，提供面向所属各单位的审计业务监控平台；

2系统总体架构

2.1综述

对于内部审计管理系统功能的开发应立足于内部审计的具体管理要求而研制。

本项目的开发面向大中型企事业单位内部审计的管理信息系统，可进一步规范内部审计中间表的创建，构建趋于完整的内部审计信息系统；在数据分析中充分地用好查询分析和多维分析技术，使内部审计工作信息化向更高层面发展，由此进一步创新内部审计管理。

***公司审计管理信息系统是***公司本部和所属各单位的审计管理平台。

审计管理信息系统将采用大集中模式，公司所有用户可通过连接互联网或内部广域网，在可靠的安全技术保障下，使用浏览器、客户端进行审计管理。

2.2系统建设原则

2.2.1统一规划，加强协同原则

系统建设按照统一部署、统一规划原则。

在***公司统一领导下，统筹规划、宏观调控、组织推进、统一标准、统一开发审计管理信息系统，对所有涉及到的业务进行统一的、整体的、综合性的全面考虑，使得制定的实施方案具有很好的整体性、综合性和有序性。

2.2.2先进性、可扩展性

系统建设要采用目前主流的技术和架构，所提供的技术在近期内具有一定的先进性，并与未来的新技术具有兼容性，同时要把握住信息技术的发展和应用方向，在系统建设过程中要有前瞻性，做到可扩展，可升级，以顺应未来的发展。

系统的架构设计应采用标准化、模块化的设计方法，便于功能的升级和扩展。

系统必须基于中间件技术的多层体系结构设计、基于J2EE技术标准、遵循XML的数据标准、采用工作流引擎进行流程管理。

本系统采用B/S三层体系架构，客户端采用基于Windows的浏览器方式进行操作。

应采用SOA开发理念，采用模块化、组件化的架构，实现系统的快速开发和部署，提供WebService方式的对外接口。

服务器端要求支持HP和IBM主流的服务器，采用oracle10g数据库，以BEAWeblogic9.2为平台，最终用户界面与帮助要求全简体中文化，系统具备完善的管理、监控与维护界面。

能够实现界面的灵活定制。

以及根据不同岗位功能的需要，灵活定制界面组合。

数据库服务器和应用服务器都要求在两台服务器上实现负载均衡。

2.2.3遵循行业相关的国际和国家标准

为保障整个系统实施的安全性和规范化，在整个工程实施中严格遵循电力行业相关的国际和国家标准，同时也遵循电力工程实施方案中的相关要求和标准。

系统采用的信息分类编码、网络通信协议和数据接口标准必须严格执行南方电网公司的相关标准、国家有关标准和行业标准。

2.2.4易用性

系统设计面向最终用户，必须保证易操作、易理解、易控制；系统所出现的问题能够及时预报并迅速解决。

系统提供在线帮助便于用户学习。

2.2.5开放性

遵循国际标准，支持多种网络协议，提供开放的数据接口，实现系统间互连。

支持各种硬件平台、不同操作系统和数据库管理系统。

系统能够在不同的系统平台（如：

UNIX、Linux、Windows、WindowsVista等）上运行。

2.2.6可维护性

系统应该具有对自身的集中维护配置功能，包括集中的系统参数设置、集中的系统日志管理。

系统应具有简单、直观、方便的维护和管理手段，尽量减少维护和管理环节。

2.2.7可靠性

系统运行应稳定可靠，支持7x24小时不间断工作。

2.2.8可控性

采取的技术手段需要达到可控的目的，技术解决方案涉及的工程实施应具有可控性。

2.2.9安全性

系统应具有不同级别的安全运行管理措施，如，用户识别、口令、数据访问控制级别和范围等功能；具有防止非法访问、记录全部登录过程、提供安全日志及审计功能。

系统应具备统一且完善的安全机制，提供安全的身份认证机制和完善的加密机制，保证信息不被他人窃取。

2.2.10成熟性

系统设计应采用成熟的开发技术，并具有多家大型审计管理信息系统开发实施的成功经验。

2.3系统总体技术设计要点

本审计管理信息系统项目要能够满足***公司本部各部门及所属各单位的审计管理需要，系统完全建成后将为***公司300用户提供具有目前最先进技术的电子审计管理平台。

2.3.1基本技术要点

●审计管理信息系统能在UNIX、Linux、Windows等主流操作系统上运行；

●系统支持用户通过浏览器访问，支持Windows2000以上版本和IE6.0及以上版本；

●可以无缝集成主流Office软件，同时支持Windowsoffice2000及以上版本；

●支持用户操作界面的个性化展示；

●系统性能要求速度快、反应及时，系统响应时间小于3秒，能处理G级以上容量的数据；

●支持用户在互联网上通过安全连接使用审计管理信息系统；

●提供公文痕迹保留、手写签名等防抵赖技术等方案确保数据安全；

●支持主要的防病毒产品，如Symantec，Trend，McAfee等；

●支持WebService开发、运行；

●内置工作流引擎，支持图形化设计、管理和监控流程，开发和维护量都应尽可能小；

●可以与任何企业现有数据集成，开放性好；

●系统应具备数据错误记录和错误预警能力（通过定义各类关键指标的阀值，可以在意外情况发生时触发指定事件，实现预警和报警功能）；可具备较高的容错能力，并在出错时具备自动恢复功能。

提供有效的故障诊断及维护工具，具备数据错误记录和控制能力，具备较高的容错能力，具备完整的操作错误提示功能；

●用户使用方便，灵活，系统应追求“能批量选的不逐个选、能选的不录、能一次录的不两次录”的使用目标。

界面友好，系统的各项操作简单、易用，有联机帮助及操作提示。

2.3.2部署方式

项目建设范围包括***公司本部、所属各局及检修实验中心的审计管理信息系统。

系统采用数据集中部署的方式运行。

所有用户可通过连接互联网或内部网，在可靠的安全技术保障下，使用浏览器、客户端访问系统。

2.3.3数据的分级管理思想

审计管理，主要由数据文档构成，其间的计算部分非常少。

把数据根据不同的类别、不同的需要、不同的时间分别管理好，就是本系统的主要目的。

本系统分为三级目标管理，一级目标（主控目标），它根据业务种类的不同，分为综合管理、财务审计、基建审计、公共信息、系统支持、案例库等。

对不同的业务分类之后，二级目标对具体项目展开。

综合管理包括行政收发文、基建收发文、财务收发文、人事管理、固定资产管理等。

按年度，对每个项目进行管理。

财务审计包括财务审计与审计项目情况简报等。

按年度，对每个项目进行管理。

公共信息，对常用的法律法规进行管理。

可以及时查询及引用。

系统支持，包括本系统需要的常用数据，用户管理，报表变更、添加、修改等。

三级目标对应到具体项目的全部电子文档，图表，签名等。

这些文件可以是word文档，execl文档，图像文档，压缩文档等不同格式。

经过上面所述的三级分类之后，在输入、查阅、修改等方面，都显得方便、快捷及准确。

2.3.4系统人体功能性设计

一个系统的使用方便与否，直接关系到系统的质量及使用价值。

因此，在考虑系统的使用方便性方面，本系统设计在这些方面考虑如下：

首先，菜单结构，采用了标准的树形菜单，除了方便、直观、快捷之外，更因为这种方式，是与WINDOWS最常用的资源管理器是一致的。

也就是说，只要对资源管理程序有所了解，就可以方便的使用这个系统的菜单部分。

而资源管理器，几乎是每一个使用电脑的人，都不可避免要遇到的、且一定是了解的。

第二，所有标准的名称、代码都预先输入、设置等，这即可以减少输入的困难，也避免了出错。

比如，财务审计中的审计类别：

诸如经济责任审计、经济效益审计、财务收支审计等，都预先输入。

法规的代码等，也预先进行设置。

第三，外部文件输入时，采用选择与直接拖入两种方式，选择方式，主要针对单个文件进行处理，而直接拖入方式，则可以对一组文件进行处理，一次可以处理多达数十个文件。

而且，这两种方式，都不需要用户输入文件名，而是直接从外部文件的系统名称直接获取。

这样，不仅快速，也更准确，安全。

第四，CS与BS的工作方式。

利用传统的CS计算机程序语言，在CS模式下，完成本系统的主要工作，特别是对于内部人员来说，这种方式具有安全与快速的特性，同时也便于各种基本数据的输入与修改，对数据的追加、修改置于防火墙的保护之内。

但CS方式的缺点，也是明显的，不可忽视的：

就是，它需要对相关的计算机安装必要的程序及控件。

为了便于查询，特别是相关领导，他们只需要看数据、报表，或仅仅对数据作极为少量的修改，如确认等，我们对这样的用户，提供了BS格式的访问方式，也即标准的互联网访问方式。

这样，即可以不安装相关控件，也可以不受地域的限制，显得十分的方便与快捷。

2.4业务功能架构

建立审计部门内部管理信息系统，形成财务审计、基建项目审计及内部审计管理硬件及应用软件网络作业平台，对组织内部审计及相关数据进行归纳分析与管理，为组织内各方实时披露相关的建设性数据及信息报表。

本信息系统内部审计综合管理、固定资产管理、内审情况统计报表等功能；内部审计财务审计管理可以从财务审计项目的审计计划、审计准备、审计实施、审计终结、审计结论执行实施等审计进度管理；内部审计公共事务管理四大模块包括公共信息、系统支持、内部审计案例库管理模块等。

见内部审计管理系统框图。

图3-1系统业务功能架构

2.5软件体系架构

2.5.1总体技术架构

随着审计信息化概念的提出和实际应用，充分利用信息技术加速建立完善内部审计管理系统，全面提升内部审计计划、统计、档案、公文以及对审计作业系统的管理水平和利用效率，已成为具有重要意义的现实性课题。

通过研究开发我们创建了以大型数据库oracle为基础，在C/S和B/S模式下工作的企、事业单位内部审计信息管理系统。

将从创建内部审计管理信息系统的构想、内部审计管理信息系统财务审计及基建审计模块简介、内部审计管理信息系统的实际应用价值、本系统的可扩展性。

从而实现“网上审计”，其主要内容包括业务流程的全面管理和审计业务的统计分析。

本系统的优点在于可以管理大量数据、可以存放大型文件且不分格式、可以通过网络访问、有很快的访问速度和多用户访问、并且有很安全的加密方法。

图3-2系统中心技术架构

***公司审计管理信息系统技术架构如上图所示：

***公司审计管理信息系统以综合信息平台为核心，总体架构分为多层实现：

应用接入层、信息门户层、综合应用层、应用服务集成层、数据集成层和数据存储层，简单介绍如下。

（1）数据存储层

系统的数据存储在数据中心中，数据中心采用综合数据库平台的数据中心架构，并推荐使用大型商用数据库OralceDB实现，用来存储系统的业务数据、流程数据、基础数据以及可能存在的准实时/实时数据。

（2）数据集成层

数据集成主要通过WebServie、ETL、JDBC、JMS等工具或其它手段，实现从现有系统获取相关数据，向审计管理信息系统数据的接入、数据处理、数据统计和共享应用。

（3）应用/流程集成层

应用流程集成层主要是各业务的流程集成，以配置、监视企业的业务活动状态。

本层通过基于企业服务总线（ESB）实现对服务的建模、调度、监控，实现新流程的开发，同时支持基于SOA方式的应用及适配器的集成。

（4）综合应用层

综合应用层是信息系统具体的业务模块的“实用化”功能。

审计管理信息系统业务主要涉及多个专业。

审计管理信息系统在综合应用层实现对上述业务的数据监视、业务流程监督、事件处理等应用功能。

（5）信息门户层

该层由EIP门户平台提供统一的访问入口（Portal），集成多种监控、指挥、分析信息的集中展示界面，建立一个跨应用、跨设备、集成的互动用户界面。

（6）应用接入层

支持PC、PDA、投影等终端设备通过企业内部网络实现本地操作，通过Internet远程实现接入及移动办公。

（7）信息安全保障体系

统一的信息安全保障体系包括认证、授权等服务，这些服务嵌入在应用基础架构中，提供了数据集成、企业门户应用和Web服务的安全性；同时考虑系统硬件平台的可靠性和系统的平台的管理员安全运维服务体系。

（8）技术标准体系

技术标准体系主要指进行信息集成时的业务标准体系（包括信息模型标准和信息接口标准）以及所使用的数据适配器接口标准体系。

如SOAP/XML等方式对数据对象的访问服务的命名规则、格式；基于ETL的数据库标准适配器等。

2.5.2技术开发标准体系视图

南网公司SOA信息技术架构模型之服务体系各层以及层与层之间必须遵循一定的技术标准，具体包括访问服务、数据服务、业务服务、流程服务、展现服务标准，以及贯穿各层之间的数据交换、消息传输、服务管理、服务描述、注册与发现等标准。

图3-3SOA信息技术架构模型技术开发标准体系

（1）消息传输

●HTTP：

超文本传输协议（HypertextTransferProtocol）是用于从Web服务器传输超文本到本地浏览器的传送协议。

HTTPS（SecureHypertextTransferProtocol），又称安全超文本传输协议，其安全基础是SSL，使用40位关键字作为RC4流加密算法。

●TCP/IP：

TCP/IP实际上是一组协议，它包括TCP、IP、UDP、ICMP、RIP、TELNET、FTP、SMTP、ARP、TFTP等许多协议。

●RMI-IIOP：

远程对象访问传输协议，用于JAVAEJB对象之间通信。

●SOAP：

简单对象访问协议（SimpleObjectAccessProtocol），是基于XML的在分布式的环境中交换信息的简单的协议。

●JMS：

JMS（JavaMessagingService）是Java平台上有关面向消息中间件的技术规范,是用于和面向消息的中间件相互通信的应用程序接口。

（2）数据交换层

●XML（ExtensibleMarkupLanguage）：

扩展标识语言是通用标识语言标准（SGML）的一个子集，是描述网络上的数据内容和结构的标准。

●XMLSchema为XML文档提供明确的语义限制，确保每一个XML文档都是结构完整、语义合法、内容有效的。

●SDO（服务数据对象）：

统一和简化应用程序处理数据的方式,是服务及组件之间传输的标准数据格式。

使用SDO,应用编程人员可以用一致的方法操作异构数据源,包括关系型数据库，XML数据源,Webservices和企业信息系统。

（3）访问服务

●JCA（JavaConnectorArchitecture）定义了一套标准的接口，用于让连接器把兼容的应用程序服务器无缝的整合起来，以及提供标准接口允许客户（或者应用程序服务器的应用程序主机）用一种统一的方法使用连接器。

●JDBC（JavaDataBaseConnectivity,java数据库连接）是一种用于执行SQL语句的JavaAPI，可以为多种关系数据库提供统一访问，它由一组用Java语言编写的类和接口组成。

JDBC为程序开发提供标准的接口，并为数据库厂商及第三方中间件厂商实现与数据库的连接提供了标准方法。

●专用API（ApplicationProgrammingInterface）。

（3）数据服务

SDO（服务数据对象）：

统一和简化应用程序处理数据的方式,是服务及组件之间传输的标准数据格式。

使用SDO，应用编程人员可以用一致的方法操作异构数据源，包括关系型数据库，XML数据源，Webservices和企业信息系统。

（4）业务服务

SCA（ServiceComponentArchitecture）：

即服务组件架构，它提供了一种编程模型，可以支持基于SOA的应用程序实现。

SCA是一种模型，可以支持实现服务组件的各种技术，连接服务组件的各种存取方法。

（5）流程服务

●BPEL（BusinessProcessExecutionLanguage）：

也被称为BPELWS或BPEL4WS，Web服务业务流程执行语言，它是一种可执行语言，能够与各种促使业务流程自动化的软件系统相兼容。

Web服务编制，通过说明性的方式（而不是编程的方式）表达了进行Web服务合成的需求。

此标准主要用于组织内部的业务流程管理及服务编排，BPM产品基于此规范实现。

●WS-CDL（WebServicesChoreographyDefinitionLanguage）：

Web服务编排定义语言，它定义为在多个交易伙伴之间建立形式化关系，它不要求所有被集成的端点（endpoints）都有Web服务基础设施。

此规范更多地用于组织之外的服务与流程编排。

（6）展现服务

●JSR168：

JSR168是java规范要求，主要应用在Portal软件的开发，它为创建portlet建立标准的api，它是为实现porltet、基于java的门户服务器和其他web应用程序之间的互操作性而设计的。

●WSRP（WebServicesforRemotePortlets）：

它定义了如何利用基于SOAP的Web服务在门户应用程序中生成标记片断的规范。

通过定义一组公共接口，WSRP允许门户在它们的页面中显示远程运行的portlet。

●HTML（HyperTextMark-upLanguage）即超文本标记语言或超文本链接标示语言，是WWW的描述语言。

●JSP（JavaServerPages），是一种动态网页技术标准，JSP将网页逻辑与网页设计和显示分离，由HTML代码和嵌入其中的Java代码所组成，支持可重用的基于组件的设计。

JSP页面是跨平台的，即能在Windows下运行，也能在Linux等其他操作系统上运行。

●AJAX（AsynchronousJavaScriptandXML）：

是一种创建交互式网页应用的网页开发技术。

AJAX仅向服务器发送并取回必需的数据，它使用SOAP或其它一些基于XML的webservice接口，并在客户端采用JavaScript处理来自服务器的响应。

（7）服务管理

●WSDM（WebServicesDistributedManagement）：

分布式Web服务管理标准。

●WS-Security：

WS-Security描述通过消息完整性、消息机密性和单独消息认证，提供保护质量的SOAP消息传递增强。

这些机制可以用于提供多种安全模型和加密技术。

它是构建在现有安全技术的基础之上的，提供一种工业标准来保证Webservices消息的安全性。

●WS-Reliability：

WS-Reliability是一个针对开放的、可靠的Web服务讯息递交的技术规范，包括担保递交、复制讯息排除和讯息分类等，使各种Web服务之间得以进行更可靠的讯息传递。

●WS-Transaction：

用来解决传统的多个Web服务消费的事务完整性问题。

（8）服务描述、注册与发现

●WSDL：

Web服务描述语言，它从句法层面对Web服务的功能进行描述，包括4个不同的粒度：

数据类型（Datatype）、消息（Message）、方法（Operation）和访问端口（PortType）。

WSDL只提供了Web服务的接口描述，对服务的行为约束和属性描述缺乏进一步的支持。

●UDDI：

UDDI注册内容包括Web服务的技术模型和业务模型，本身可扩展，目前主要用于Web服务的注册和查找。

上述技术开发标准也是审计管理信息系统所遵循的。

这个遵循表现在三个方面：

一、审计管理信息系统的整体设计体现了分层设计的理念。

从服务设计上、数据格式、数据通讯协议基础、开发标准等，分别遵循了服务UDDI注册与服务管理、数据通讯的HTTP/SOAP访问协议、数据格式XML标准、展现的JS168/JS170技术标准等。

二、审计管理信息系统使用的综合架构平台，其中涉及的数据库、企业服务总线中间件、报表中间件和门户中间件，都符合上述标准。

如ESB队服务的管理就是通过UDDI注册实现的；BPM产品的使用是遵循BPEL语言的；ETL的应用是使用了TCP/IP通讯和JDBC、SDO规范、BeaWeblogicPortal完全是符合JS168、WSRP标准的。

三、审计管理信息系统二次开发的部分的符合性。

审计管理信息系统开发的部分，分为前台和后台，后台对数据库的访问是使用SDO、JDBC等技术方式的；前台则使用HTM、JSP等进行执行。

业务的开发可以封装成不同的Web服务，通过UDDI注册在同一的ESB服务总线上。

2.5.3基于Web服务的开发设计原则

2.5.3.1服务开发原则

（一）业务驱动原则：

系统服务的开发由业务驱动，从业务需求出发，由业务目标和需求推动服务的设计、开发和测试。

（二）遵循标准