审计署
第一章 概 述
第一条 《联网审计系统》(以下简称本系统)是在国家863计划《计算机审计数据采集与处理技术》研究成果和金审工程一期试点项目的基础上,根据金审工程二期建设的需要设计构建的以联网方式获取被审计单位数据、实施审计的协同工作平台。
第二条 设计构建本系统所遵循的基本原则是:应当体现联网优势,具备实时或者亚实时采集被审计单位数据、动态预警、实时核查的功能,促进审计工作实现远程审计与现场审计相结合、动态审计与静态审计相结合、事中审计与事后审计相结合,更好地发挥审计“免疫系统”功能;确保被审计单位经济管理、生产经营所使用的信息系统(以下简称生产系统)正常运行、数据安全;严格区分被审计单位工作人员的管理操作和审计人员的审计操作,明确责任。
第三条 各级审计机关构建联网审计系统,应当遵循本规格说明书的总体方案、基本架构、安全措施、运作方式,以确保联网审计安全、有效、有序进行。
第二章 适用范围
第四条 本系统适于国家审计机关对于关系国计民生的重要行业,或者需要经常性审计的重点部门、单位开展联网审计使用。
第五条 本系统的使用,应当结合审计方式的创新,建立定期察看预警、及时分析数据、搜集整理疑点、出具建议纠正函件、督促落实整改等与经常性审计相适应的审计机制,使本系统充分发挥效益。
第六条 在本规格说明书列明的标准配置下,本系统4小时内数据采集能力为4000万条记录;单表最大数据处理能力为1亿条记录。一般查询、统计操作的平均响应时间3―5秒,特殊情况下耗时较多的操作应显示处理进度。
标准配置下的本系统适应审计署和省级审计机关开展海关、金融、部门预算执行、会计结算中心、社会保险、地税等行业部门的联网审计。市县级审计机关使用时,可适当调低配置,以降低系统建设投资,节约审计成本。
第七条 本规格说明书的名词定义如下:
(一)生产系统。被审计单位从事经济管理、生产经营正在使用的信息系统。
(二)生产经营数据。生产系统产生、运行并在持续运行中使用的数据。
(三)备份数据。被审计单位信息系统按照信息安全的要求,将生产系统产生、运行的经营管理数据定时导出另存到指定位置存放的数据。存储管理备份数据的软硬件环境称为备份系统。
(四)审计数据规划。由审计署根据国家电子政务总体规划、信息资源建设标准,对审计工作中获取的和形成的基础数据,按照审计应用、信息共享和信息交换的需求进行数据规范的规则。
(五)国家电子政务网络。国家(含地方政府)自行建设或依托电信运营商线路构建的联通上下级政府及其相关部门的专用网络。
(六)公共通信网络。中国电信、中国联通等电信运营商提供给公众使用的通信线路构建的网络。
第四章 系统总体方案
第八条 依照联网审计业务流程逻辑,本系统的总体设计方案分为数据采集、数据传输、数据整理、数据分析、审计操作与系统监控五个部分,分别在相关软件、硬件的支持下完成相应功能。参见图一:
第九条 数据采集部分由设置在被审计单位的前置服务器、符合审计目标且保证生产系统正常运行的数据采集策略组成,其作用是依据审计目标的需要、按照设定的采集周期从被审计单位备份系统中定时、持续获取数据。
第十条 数据传输部分由连通被审计单位与审计机关之间的网络、单刀双掷网络开关和定时传输策略组成,其作用是将前置服务器所获取的数据定时向审计机关传输,并且保证审计机关网络与被审计单位网络在任一时间点均不能直接联通。
第十一条 数据整理部分由设置在审计机关的数据库服务器、数据存储设备、数据清洗转换策略、依照审计目标规划的基础表和分析表、数据访问安全策略等组成,其作用是将传输至审计机关的数据按照规划的主题重新汇聚、装载、存储,为审计应用安全、快捷地提供数据。
第十二条 数据分析部分由设置在审计机关的应用服务器、根据审计人员工作经验构建的预警模型、模型构建工具、数据查询分析工具和联网审计软件服务器端组成,其作用是通过运行预警模型实现自动审计、提示疑点,响应审计人员查询分析请求,将审计人员的有效审计思路构建为新的审计模型。
第十三条 审计操作与系统监控部分由审计人员使用的计算机终端和联网审计软件客户端组成,其作用是提供人机交互的界面,实现审计人员对数据采集传输的监控、数据整理策略的管理、数据访问权限的调整、审计模型的维护、预警信息和疑点的处理,形成分析报告、建议纠正函件等文书材料,与OA、AO进行数据交互。
第五章 系统结构
第十四条 为保障实现被审计单位数据的定期、持续采集,对所采集的数据进行集中存储、集中处理、集中分析、分散核实的业务需求,本系统所设计的系统结构由数据支撑层、联网审计应用平台层、工具构件层和基于各行业审计特点的联网审计应用层组成。参见图二。
第十五条 数据支撑层。处于系统结构的最底层,它依据审计数据规划,对获取的数据资源进行组织,提供给审计应用层使用,并为不同的行业审计数据之间、上下级审计机关同一行业审计数据之间的汇聚、交互、共享提供支持。
第十六条 联网审计应用平台层。处于系统结构的中层,它为工具构件层提供了数据访问、信息安全、数据同步保障,为联网审计应用层提供了基础类服务、应用构件管理框架和基础管理控制工具。
第十七条 工具构件层。处于系统结构的中层,为审计业务流程的每一个环节提供了相应的数据采集类构件、预警类构件、加工建模类构件及管理类构件、分析展现类构件、报告类构件和管理类构件。
第十八条 联网审计应用层。处于系统结构的顶层,它在联网审计应用层和工具构件层之上,根据不同行业审计特点和业务需求,分别定制开发行业审计应用工具从而形成行业联网审计应用。
第六章 系统功能实现
第十九条 本系统实现的功能包括:数据采集功能、数据管理功能、审计预警分析功能、模型管理功能、报告管理功能、任务调度配置功能、系统管理和对外交互功能。
第二十条 数据采集功能实现:
(一)本系统可以按照审计目标的需要设定数据采集模板,有所选择地从被审计单位备份数据中定时获取数据。
(二)本系统可以根据实际情况设置采集周期,确定采集时间。
(三)本系统依被审计单位生产系统、备份系统的数据产生机制不同,采集数据可以采用全量采集或者增量采集的方式。全量采集是在每个采集周期均能以3000条/秒以上的速度,获取本年度全部数据,以覆盖的形式同步数据库服务器;增量采集是在每个采集周期只获取发生变化的数据,以追加的形式同步数据库服务器。
(四)本系统支持多台前置服务器同时采集数据,即审计机关可以在多个被审计单位、多个信息系统分别设置前置服务器;也支持一台前置服务器逐一采集多个信息系统的数据。
第二十一条 数据管理功能的实现:
(一)依照审计数据规划和计算机审计方法体系,构建基础表及分析表;按照规划的主题,对已采集到前置服务器的数据,按照设定的策略进行清洗、转换并在数据库服务器中重新汇聚、装载、存储。
(二)通过设定的采集模板,将审计需要的、不具备联网获取条件的被审计单位数据加载到数据库服务器。
(三)注册加载到数据库服务器的数据,设定数据访问权限规则。
(四)对目录管理、目录统计、统计表、业务表,搜索、自定义视图、文档等资料进行统一管理。
第二十二条 审计预警分析功能实现:
(一)在向数据库服务器加载数据过程中,系统自动按照确定的规则对数据进行比对,运行审计分析模型,自动筛选过滤审计疑点,生成审计分析结果图表,实现动态预警审计。
(二)具备SQL查询分析功能,审计人员对有访问权限的数据直接进行查询分析,如有需要,审计人员可将查询分析过程中形成的SQL语句另存复用,或者直接保存为查询模型。
(三)提供多维分析工具,运用已经建立的多维模型进行审计分析;提供ASL(审计脚本语言)分析分析工具,编辑、编译、执行ASL;提供各种指标分析工具,运用已经建立的指标模型进行审计分析。
(四)设定审计疑点和审计分析结果图表访问权限规则。
第二十三条 模型管理功能实现:
(一)提供模型构建功能,协助审计人员将审计过程中可复用的工作过程,构建保存为查询模型、ASL模型、专题模型、多维模型和指标模型等。
(二)对已经构建的模型进行增加、删除、修改等维护管理;按照审计人员自定义的规则组织模型目录结构。
(三)通过模型信息的导入、导出实现与其他联网审计系统、审计软件的模型共享。
(四)提供对模型的审核流程,审计人员构建的模型经过审核可以提升为本审计机关模型。
第二十四条 报告管理功能实现:
(一)对本系统各个审计分析模型运行、各个分析工具执行所生成的分析结果进行编辑、修改、删除。选择确定提供给审计机关领导决策参阅的数据和图表。
(二)将若干分析结果组织为一份专题报告,以便查看、提交、使用、存档。系统具有专题报告新建、修改、删除功能,赋予或者取消指定审计人员专题报告共享的功能。
(三)本系统可以对所形成的专题报告进行回放,查看专题报告的相关数据、流程和信息。可视需要将回放过程编辑为课件脱机使用。
第二十五条 任务调度配置功能实现:
(一)本系统通过工作流设定,驱动单刀双掷网络开关切换前置机的联接方向,根据联接方向确定前置机执行任务的内容。
(二)本系统通过调度控制,设定指定工作流运行的起讫时间,实现数据采集、运行预警模型等任务的定期自动执行。
第二十六条 系统管理功能实现:
(一)根据审计目标、审计组织方式、审计分工、数据所属单位、数据内容,定义、修改、删除、重命名本系统的功能角色和数据角色。
(二)具备使用权限的管理功能。
(三)具备日志管理功能。
第二十七条 对外交互功能的实现:
(一)本系统可与《现场审计实施系统》(AO)进行AO数据包、预警报告和预警方法的交互。
(二)本系统可向《审计管理系统》(OA)提供领导决策支持信息。
第七章 硬件及软件配置
第二十八条 本系统硬件环境包括:前置服务器、数据库服务器、应用服务器;存储设备;计算机终端。软件环境包括安装于服务器及计算机终端之上的系统软件及应用软件。
第二十九条 当为每个信息系统规划一台前置服务器时,确定其配置指标的主要依据是每次采集的数据量。本系统前置服务器标准配置如下表一:
| 每次采集数据量
|
服务器参考配置
|
| 100MB及以下级别
|
(1)CPU:1核CPU |
| 100MB至1GB级别
|
(1)CPU:1核CPU |
| 1GB至10GB级别
|
(1)CPU:2核CPU |
| 10GB至100GB级别
|
(1)CPU:4核CPU |
| 100GB以上级别
|
(1)CPU:8核CPU及以上 |
表一:前置服务器标准配置表
第三十条 确定本系统数据库服务器配置指标的主要依据是其管理的数据量,标准配置如下表二:
| 数据量
|
服务器参考配置
|
| 1GB以下级别
|
(1)CPU:1核CPU |
| 1GB至10GB级别
|
(1)CPU:2核CPU |
| 10GB至100GB级别
|
(1)CPU:2核CPU |
| 100GB至1TB级别
|
(1)CPU:4核CPU |
| 1TB至5TB级别
|
(1)CPU:8核CPU |
| 5TB以上级别
|
(1)CPU:16核CPU及以上 |
表二:数据库服务器配置指标表
一台前置服务器需要逐一采集多个信息系统数据的,应当适当提高配置指标。
第三十一条 确定本系统应用服务器配置指标的主要依据是连接到本系统从事联网审计的计算机终端数量,标准配置如下表三:
| 连接计算机终端数量
|
服务器参考配置
|
| 10个以下
|
(1)CPU:1核CPU |
| 10至50个
|
(1)CPU:2核CPU |
| 50至200个
|
(1)CPU:4核CPU |
| 200个以上
|
(1)CPU:8核CPU及以上 |
表三:应用服务器配置指标表
第三十二条 当本系统数据库服务器的存储管理能力不能满足系统采集、加工、管理、存储的需要时,应当增加磁盘阵列作为存储设备。确定本系统存储设备配置机型的主要依据是需要存储管理的数据量,当其存储管理的数据量超过5TB时,应当使用光交换的磁盘阵列;数据量超过5TB,推荐使用FC磁盘。
第三十三条 连接到本系统从事联网审计的计算机终端为普通台式计算机或者笔记本计算机。推荐配置指标为:处理器最低1GHZ,推荐2GHZ以上;内存最低512MB,推荐1GB以上;10/
第八章 网络环境及系统安全
第三十四条 前置机与被审计单位备份系统之间的连接速率应当≥
第三十五条 本系统以只读权限采集被审计单位备份系统中的备份数据。审计机关应当关注被审计单位提供的备份数据与生产经营数据的合理一致性。
本系统应不连接被审计单位的生产系统,不采集、分析生产经营数据。
第三十六条 本系统与被审计单位生产系统的信息系统分级保护级别应当等同。与审计机关涉密信息系统连通的本系统,不得与被审计单位非涉密备份系统连通;与审计机关非涉密信息系统连通的本系统,不得与被审计单位涉密备份系统连通。
第三十七条 与审计机关非涉密信息系统连通的本系统,应当按照国家等级保护的要求,通过单刀双掷网络开关的应用,保证物理连通的安全;通过用户名/口令方式,保证用户权限安全;通过防火墙设置,保证访问安全;通过安装运行反病毒软件实施保护,保障信息安全。
第三十八条 与被审计单位涉密生产系统实施联网时,本系统的建设应当充分考虑保密的要求,评估建设风险和应用风险,采取切实可行措施加以解决。
第三十九条 审计机关确定建设实施本系统之前,应当充分调研,确定项目建设的必要性、可行性,争取被审计单位的理解和配合。
第四十条 本系统建设实施过程中,审计机关应当与被审计单位协调解决备份系统连接权限、数据采集权限,必要时以书面形式确立。
第四十一条 本系统投入运行后,审计机关应当按照审计数据规划的要求设置数据采集内容,总结计算机审计方法,充实完善预警模型,建立适应联网审计要求的组织方式。
第十章 附 则
第四十二条 本规格说明书中的技术方案及规格指标、应用方式要求来源于审计署中央部门预算执行联网审计系统、青岛市审计局社会保险联网审计系统、南京市审计局地方税务联网审计系统的建设实施及应用的经验总结。
第四十三条 本规格说明书中涉及的技术规格指标冻结日为
第四十四条 本规格说明书的解释权归审计署计算机技术中心。(来源审计署网)