审计报告公文格式

1 / 29审计报告公文格式审计报告文书印制说明一、 审计报告封面规格审计报告封面纸一般采用 A4 型幅面，版心尺寸为长225 毫米、宽 156 毫米。审计机关名称用全称或规范化简称，字体为长城小标宋体1 号加粗；审计报告的字体为长城小标宋体初号加粗；编号的字体为楷体 3 号；被审计单位和审计项目的字体为宋体 3 号加粗，其内容为楷体 3 号。如需标识秘密等级，用黑体 3 号字，顶格标识在版心右上角第一行，两字之间空 1 字。审计机关名称上边缘至上版心 23 毫米(至 A4 上边缘 60 毫米)。 审计机关名称上边缘至文书编号下边缘 50 毫米。审计报告四个字的下一行为编号。2 / 29审计机关名称、 审计报告 、文书编号水平位置均居中排列。 文书编号下边缘至被审计单位上边缘 80 毫米。被审计单位下空一行为审计项目 。被审计单位和审计项目至左版心 17 毫米(至 A4 左边缘 45 毫米)。二、 审计报告排版与印制规格审计报告排版与印制、用印规格按照中华人民共和国国家标准国家行政机关公文格式执行。为了消除变造审计报告的隐患，签发日期和审计机关印章移至正文之后。三、 审计报告字体颜色审计报告封面不套红印制，封面和正文字体均为黑色。3 / 29湖 北 省 审 计 厅关于执行审计报告文书格式标准及行文规则的说明根据审计署第 6 号令的要求，为了规范审计报告的文书格式和行文规则，现将省厅执行审计报告文书格式以及行文规则的有关情况进行说明，供各地参考。一、 审计报告文书格式审计报告封面1 审计报告文书封面。一是审计报告封面采用 A3型幅面，定量为 100g/的纸张。二是封面字体和格式按照审办办发XX44 号文件中“审计报告文书印制说明”的要求排版印制。 审计报告封面内附正文，封二、封三、封四无文字。2 审计报告发文字号。省厅从 4 月 1 日起， 审计报告4 / 29单独作为一个序列编号。3 “被审计单位”名称书写单位全称。4 “审计项目”书写格式一般为：项目审计的时间范围项目审计种类名称。审计报告主体审计报告内容的排版、印制、用印均按国家行政机关公文格式执行。需说明的是， 审计报告无标题和版记。二、 审计报告行文规则审计报告是审计文书的一种，主送被审计单位，发送主管部门或有关单位。向省委、省政府、审计署报送的审计情况报告，用行政文书形式上报。向省经济责任领导小组报告经济责任审计结果的仍按原行文规则办理。湖北省审计厅办公室5 / 29二四年四月六日-2-湖北省审计厅审计报告XX 年第 101 号被审计单位： 湖北省财政厅审 计 项 目： XX 年度本级预算执行及财政财务收支审计-3-附件 2“审计项目”拟写案例6 / 29例 1：对省财政厅 2002 年度本级预算执行和其他财政财务收支的审计。被审计单位：湖北省财政厅审计项目：2002 年度本级预算执行和其他财政财务收支审计例 2：对建始县 2001 至 2002 年扶贫资金和扶贫贴息贷款的审计被审计单位：建始县人民政府审计项目：2001 至 2002 年扶贫资金和扶贫贴息贷款的审计例 3：对省交通厅京珠国道主干线湖北省北段和武汉军山长江公路大桥建设项目竣工决算的审计被审计单位：湖北省交通厅7 / 29审计项目：京珠国道主干线湖北省北段和武汉军山长江公路大桥建设项目竣工决算审计-4-审计报告年第号被审计单位：审 计 项 目 ：18 / 29。、。、9 / 29 2。审计机关 3 年月日审计报告文书印制说明一、 审计报告封面规格审计报告封面纸一般采用 A4 型幅面，版心尺寸为长225 毫米、宽 156 毫米。审计机关名称用全称或规范化简称，字体为长城小标宋体1 号加粗；“审计报告”的字体为长城小标宋体初号加粗；“编号”的字体为楷体 3 号；“被审计单位”和“审计项目”的字体为宋体 3 号加粗，其内容为楷体 3 号。10 / 29如需标识秘密等级，用黑体 3 号字，顶格标识在版心右上角第一行，两字之间空 1 字。审计机关名称上边缘至上版心 23 毫米(至 A4 上边缘 60 毫米)。审计机关名称上边缘至文书编号下边缘 50 毫米。 “审计报告”四个字的下一行为编号。审计机关名称、 “审计报告” 、文书编号水平位置均居中排列。 文书编号下边缘至“被审计单位”上边缘 80 毫米。“被审计单位”下空一行为“审计项目” 。“被审计单位”和“审计项目”至左版心 17 毫米(至 A4 左边缘 45 毫米)。二、 审计报告排版与印制规格审计报告排版与印制、用印规格按照中华人民共和 4国国家标准国家行政机关公文格式执行。11 / 29为了消除变造审计报告的隐患，签发日期和审计机关印章移至正文之后。三、 审计报告字体颜色审计报告封面不套红印制，封面和正文字体均为黑色。5政府投资项目审计和土地评审报告格式? 工程结算审计报告? 建设项目竣工决算审计报告? 审计决定书? 跟踪审计阶段性报告及通报? 土地储备支出评审报告及审核意见12 / 29工程结算审核报告前言：审计依据、审计范围、方式和审计实施的起止时间、会计责任和管理责任。一、基本情况工程项目基本情况建设地点、内容、规模情况；可研、立项批复、概算情况；项目法人、资金来源情况；工程招投标情况；工程竣工验收情况；其他需要反映的基本情况。工程结算审核情况送审金额、审定金额、核减金额，分别具体说明核减、核增的内容和原因。二、审核评价意见围绕审计方案确定的审计目标和重点内容，以审计结果为13 / 29基础，逐一评价，主要表述审计结论。【规范要求：1、只对所审计的事项发表评价意见，对审计过程中未涉及、审计证据不充分、评价依据或者标准不明确以及超越审计职责范围的事项，不发表审计评价意见。2、审计评价意见要与审计结论和审计发现的问题相统一，不能自相矛盾。3、审计评价用语要准确、适当，以写实为主。 】【参考内容：建设程序的执行、建设项目内部管理制度的建立和执行、造价控制、工程质量及交工验收等，其中造价控制是核心内容。 】三、审核发现的问题及处理意见建设程序方面发现的问题造价管理方面发现的问题建筑工程质量方面发现的问题其他内部管理方面发现的问题14 / 29四、审核建议【针对审计发现的问题和项目结算中应注意的事项，提出有针对性和切实可行的建议。 】建设项目竣工决算审计报告前言：审计依据、审计范围、方式和审计实施的起止时间、会计责任和管理责任。一、基本情况建设项目基本情况参考内容：建设地点、内容、规模情况；可研、立项批复、概算情况；项目法人、资金来源情况；招投标情况；工程实施、工程质量检验、评定及竣工交付验收情况；其他需要反映的基本情况。竣工决算审计情况15 / 29包括工程审计、财务审计和绩效审计。【参考内容：1.工程结算审计情况及其结果; 2.建设项目投资完成和资产交付使用情况;3. 概算执行情况;4.建设资金的到位、使用、结余及债权债务情况；5.建设项目绩效审计情况，包括经济效益、社会效益、环境效益的内容及其适用的绩效评价标准等。 】二、审计评价意见围绕审计方案确定的审计目标和重点内容，以审计结果为基础，逐一评价，主要表述审计结论。【规范要求： 1.只对所审计的事项发表评价意见，对审计过程中未涉及、审计证据不充分、评价依据或者标准不明确以及超越审计职责范围的事项，不发表审计评价意见。2. 审计评价意见要与审计结论和审计发现的问题相统一，不能自相矛盾。3.审计评价用语要准确、适当，以写实为主。】【参考内容：1.建设程序执行情况(项目审批手续、 “一书四证”等;2.建设项目管理情况：3. 项目财务管理及会计16 / 29核算情况；4.项目决策和效益情况。应作定量和定性分析，从经济效益、社会效益、环境效益等方面作适当评价。 】三、审计发现的主要问题及处理意见【规范要求：根据核实的审计情况，简洁、明确表述问题事实，并详细引用定性法规和处理法规的文号、条款及内容，依法提出明确的处理意见。 】【参考内容：造价管理方面发现的问题建设程序方面发现的问题建筑工程质量方面发现的问题资金管理和会计核算方面发现的问题建设项目决策方面发现的问题17 / 29项目内控制度和管理方面发现的问题竣工决算审计发现需要重点披露的其他问题。 】四、审计建议【规范要求：围绕审计发现的主要问题，提出有针对性的建议；审计建议的顺序应与反映问题的顺序基本一致；审计建议应具有可操作性，便于被审计单位和其他有关单位采纳；审计建议的对象一般为被审计单位(建设单位)，如果需要被审计单位和其他有关单位共同整改的，应建议被审计单位商有关单位共同研究解决。 】【参考内容：针对本项目建设管理方面的建议，除前期建设管理方面需要改进和完善的内容外，还应包括固定资产的交付及交付使用后的设备管理、运营管理、尾工工程等。项目决策及效益方面的建议。应结合效益方面的分析评价，从建立健全科学决策机制，如何采取措施提高项目投资效18 / 29益等方面提出建议。体制、机制和制度建设方面的建议，以本项目为基础又不限于本项目。可结合项目的建设和运营，从宏观上提出一些建设性意见。 】对本次审计发现的问题，请*自收到本报告之日起 60 日内，将整改情况书面报告*。本报告及有关整改情况随后将以适当方式公告。*年*月*日审计报告格式一、引言随着网络的发展，网络信息的安全越来越引起世界各国的重视，防病毒产品、防火墙、入侵检测、漏洞扫描等安全19 / 29产品都得到了广泛的应用，但是这些信息安全产品都是为了防御外部的入侵和窃取。随着对网络安全的认识和技术的发展，发现由于内部人员造成的泄密或入侵事件占了很大的比例，所以防止内部的非法违规行为应该与抵御外部的入侵同样地受到重视，要做到这点就需要在网络中实现对网络资源的使用进行审计。在当今的网络中各种审计系统已经有了初步的应用，例如：数据库审计、应用程序审计以及网络信息审计等，但是，随着网络规模的不断扩大，功能相对单一的审计产品有一定的局限性，并且对审计信息的综合分析和综合管理能力远远不够。功能完整、管理统一，跨地区、跨网段、集中管理才是综合审计系统最终的发展目标。本文对涉密信息系统中安全审计系统的概念、内容、实现原理、存在的问题、以及今后的发展方向做出了讨论。二、什么是安全审计国内通常对计算机信息安全的认识是要保证计算机信息系统中信息的机密性、完整性、可控性、可用性和不可否认性(抗抵赖)，简称“五性” 。安全审计是这“五性”的重要20 / 29保障之一，它对计算机信息系统中的所有网络资源(包括数据库、主机、操作系统、安全设备等)进行安全审计，记录所有发生的事件，提供给系统管理员作为系统维护以及安全防范的依据。安全审计如同银行的监控系统，不论是什么人进出银行，都进行如实登记，并且每个人在银行中的行动，乃至一个茶杯的挪动都被如实的记录，一旦有突发事件可以快速的查阅进出记录和行为记录，确定问题所在，以便采取相应的处理措施。近几年，涉密系统规模不断扩大，系统中使用的设备也逐渐增多，每种设备都带有自己的审计模块，另外还有专门针对某一种网络应用设计的审计系统，如：操作系统的审计、数据库审计系统、网络安全审计系统、应用程序审计系统等，但是都无法做到对计算机信息系统全面的安全审计，另外审计数据格式不统一、审计分析规则无法统一定制也给系统的全面综合审计造成了一定的困难。如果在当前的系统条件下希望全面掌握信息系统的运行情况，就需要对每种设备的审计模块熟练操作，并且结合多种专用审计产品才能够做到。为了能够方便地对整个计算机信息系统进行审计，就需要设计综合的安全审计系统。它的目标是通过数据挖掘和数21 / 29据仓库等技术，实现在不同网络环境中对网络设备、终端、数据资源等进行监控和管理，在必要时通过多种途径向管理员发出警告或自动采取排错措施，并且能够对历史审计数据进行分析、处理和追踪。主要作用有以下几个方面：1. 对潜在的攻击者起到震慑和警告的作用;2. 对于已经发生的系统破坏行为提供有效的追究证据;3. 为系统管理员提供有价值的系统使用日志，从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞;4. 为系统管理员提供系统的统计日志，使系统管理员能够发现系统性能上的不足或需要改进和加强的地方。三、涉密信息系统安全审计包括的内容中华人民共和国计算机信息系统安全保护条例中定义的计算机信息系统，是指由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对22 / 29信息进行采集、加工、存储、传输、检索等处理的人机系统。涉密计算机信息系统(以下简称“涉密信息系统”)在计算机信息系统保密管理暂行规定中定义为：采集、存储、处理、传递、输出国家秘密信息的计算机信息系统。所以针对涉密信息系统的安全审计的内容就应该针对涉密信息系统的每一个方面，应该对计算机及其相关的和配套的设备、设施(含网络)，以及对信息的采集、加工、存储、传输和检索等方面进行审计。具体来说，应该对一个涉密信息系统中的以下内容进行安全审计：被审计资源安全审计内容网络通信系统网络流量中典型协议分析、识别、判断和记录，Telnet、HTTP、Email、FTP、网上聊天、文件共享等的检测，流量监测以及对异常流量的识别和报警、网络设备运行的监测等。重要服务器主机操作系统系统启动、运行情况，管理员登录、操作情况，系统配置更改(如注册表、配置文件、用户系统等)以及病毒或蠕虫感染、资源消耗情况的审计，硬盘、23 / 29CPU、内存、网络负载、进程、操作系统安全日志、系统内部事件、对重要文件的访问等。重要服务器主机应用平台软件重要应用平台进程的运行、Web Server、Mail Server、Lotus、Exchange Server、中间件系统、健康状况(响应时间等)等。重要数据库操作数据库进程运转情况、绕过应用软件直接操作数据库的违规访问行为、对数据库配置的更改、数据备份操作和其他维护管理操作、对重要数据的访问和更改、数据完整性等的审计。重要应用系统办公自动化系统、公文流转和操作、网页完整性、相关业务系统(包括业务系统正常运转情况、用户开设/中止等重要操作、授权更改操作、数据提交/处理/访问/发布操作、业务流程等内容)等。重要网络区域的客户机病毒感染情况、通过网络进行的文件共享操作、文件拷贝/打印操作、通过 Modem 擅自连接外网的情况、非业务异常软件的安装和运行等的审计四、安全审计系统使用的关键技术24 / 29根据在涉密信息系统中要进行安全审计的内容，我们可以从技术上分为以下几个模块：1.网络审计模块：主要负责网络通信系统的审计;2.操作系统审计模块：主要负责对重要服务器主机操作系统的审计;3.数据库审计模块：主要负责对重要数据库操作的审计;4.主机审计模块：主要负责对网络重要区域的客户机进行审计;5.应用审计模块：主要负责重要服务器主机的应用平台软件，以及重要应用系统进行审计。还需要配备一个数据库系统，负责以上审计模块生成的审计数据的存储、检索、数据分析等操作，另外，还需要设计一个统一管理平台模块，负责接收各审计模块发送的审计数据，存入数据库，以及向审计模块发布审计规则。如下图所示：25 / 29安全审计系统中应解决如下的关键技术：1.网络监听：是安全审计的基础技术之一。它应用于网络审计模块，安装在网络通信系统的数据汇聚点，通过抓取网络数据包进行典型协议分析、识别、判断和记录，Telnet、HTTP、Email、FTP、网上聊天、文件共享等的检测，流量监测以及对异常流量的识别和报警、网络设备运行的监测等，另外也可以进行数据库网络操作的审计。2.内核驱动技术：是主机审计模块、操作系统审计模块的核心技术，它可以做到和操作系统的无缝连接，可以方便的对硬盘、CPU、内存、网络负载、进程、文件拷贝/打印操作、通过 Modem 擅自连接外网的情况、非业务异常软件的安装和运行等进行审计。3.应用系统审计数据读取技术：26 / 29大多数的多用户操作系统(Windows、UNIX 等)、正规的大型软件(数据库系统等)、多数安全设备(防火墙、防病毒软件等)都有自己的审计功能，日志通常用于检查用户的登录、分析故障、进行收费管理、统计流量、检查软件运行情况和调试软件，系统或设备的审计日志通常可以用作二次开发的基础，所以如何读取多种系统和设备的审计日志将是解决操作系统审计模块、数据库审计模块、应用审计模块的关键所在。4.完善的审计数据分析技术：审计数据的分析是一个安全审计系统成败的关键，分析技术应该能够根据安全策略对审计数据具备评判异常和违规的能力，分为实时分析和事后分析：实时分析：提供或获取审计数据的设备和软件应该具备预分析能力，并能够进行第一道筛选;事后分析：统一管理平台模块对记录在数据库中的审计记录进行事后分析，包括统计分析和数据挖掘。五、安全审计系统应该注意的问题27 / 29安全审计系统的设计应该注意以下几个问题：1.审计数据的安全：在审计数据的获取、传输、存储过程中都应该注意安全问题，同样要保证审计信息的“五性” 。在审计数据获取过程中应该防止审计数据的丢失，应该在获取后尽快传输到统一管理平台模块，经过滤后存入数据库，如果没有连接到管理平台模块，则应该在本地进行存储，待连接后再发送至管理平台模块，并且应该采取措施防止审计功能被绕过;在传输过程中应该防止审计数据被截获、篡改、丢失等，可以采用加密算法以及数字签名方式进行控制;在审计数据存储时应注意数据库的加密，防止数据库溢出，当数据库发生异常时，有相应的应急措施，而且应该在进行审计数据读取时加入身份鉴别机制，防止非授权的访问。2.审计数据的获取首先要把握和控制好数据的来源，比如来