【文章內(nèi)容簡(jiǎn)介】 會(huì)影響數(shù)據(jù)庫(kù)本身的性能、數(shù)據(jù)庫(kù)日志文件本身存在被篡改的風(fēng)險(xiǎn)，難于體現(xiàn)審計(jì)信息的真實(shí)性。伴隨著數(shù)據(jù)庫(kù)信息價(jià)值以及可訪問(wèn)性提升，使得數(shù)據(jù)庫(kù)面對(duì)來(lái)自內(nèi)部和外部的安全風(fēng)險(xiǎn)大大增加，如違規(guī)越權(quán)操作、惡意入侵導(dǎo)致機(jī)密信息竊取泄漏，但事后卻無(wú)法有效追溯和審計(jì)。傳統(tǒng)數(shù)據(jù)庫(kù)安全方案缺陷傳統(tǒng)的審計(jì)方案，或多或少存在一些缺陷，主要表現(xiàn)在以下兩個(gè)方面。傳統(tǒng)網(wǎng)絡(luò)安全方案：依靠傳統(tǒng)的網(wǎng)絡(luò)防火墻及入侵保護(hù)系統(tǒng)(IPS)，在網(wǎng)絡(luò)中檢查并實(shí)施數(shù)據(jù)庫(kù)訪問(wèn)控制策略。但是網(wǎng)絡(luò)防火墻只能實(shí)現(xiàn)對(duì)IP地址、端口及協(xié)議的訪問(wèn)控制，無(wú)法識(shí)別特定用戶的具體數(shù)據(jù)庫(kù)活動(dòng)(比如：某個(gè)用戶使用數(shù)據(jù)庫(kù)客戶端刪除某張數(shù)據(jù)庫(kù)表)。而 IPS雖然可以依賴特征庫(kù)有限阻止數(shù)據(jù)庫(kù)軟件已知漏洞的攻擊，但他同樣無(wú)法判別具體的數(shù)據(jù)庫(kù)用戶活動(dòng)，更談不上細(xì)粒度的審計(jì)。因此，無(wú)論是防火墻，還是 IPS都不能解決數(shù)據(jù)庫(kù)特權(quán)濫用等問(wèn)題?；谌罩臼占桨福盒枰獢?shù)據(jù)庫(kù)軟件本身開啟審計(jì)功能，通過(guò)采集數(shù)據(jù)庫(kù)系統(tǒng)日志信息的方法形成審計(jì)報(bào)告，這樣的審計(jì)方案受限于數(shù)據(jù)庫(kù)的審計(jì)日志功能和訪問(wèn)控制功能，在審計(jì)深度、審計(jì)響應(yīng)的實(shí)時(shí)性方面都難以獲得很好的審計(jì)效果。同時(shí)，開啟數(shù)據(jù)庫(kù)審計(jì)功能，一方面會(huì)增加數(shù)據(jù)庫(kù)服務(wù)器的資源消耗，嚴(yán)重影響數(shù)據(jù)庫(kù)性能。另一方面審計(jì)信息的真實(shí)性、完整性也無(wú)法保證。其他諸如應(yīng)用程序修改、數(shù)據(jù)源觸發(fā)器、統(tǒng)一認(rèn)證系統(tǒng)授權(quán)等等方式，均只能記錄有限的信息，更加無(wú)法提供細(xì)料度的數(shù)據(jù)庫(kù)操作審計(jì)。數(shù)據(jù)庫(kù)審計(jì)數(shù)據(jù)庫(kù)審計(jì)概念審計(jì)，英文稱之為“audit”，檢查、驗(yàn)證目標(biāo)的準(zhǔn)確性和完整性，用以防止虛假數(shù)據(jù)和欺騙行為，以及是否符合既定的標(biāo)準(zhǔn)、標(biāo)竿和其它審計(jì)原則。審計(jì)概念最早用于財(cái)務(wù)系統(tǒng)，主要是獲取金融體系和金融記錄的公司或企業(yè)的財(cái)務(wù)報(bào)表的相關(guān)信息。隨著科技信息技術(shù)的發(fā)展，大部份的企業(yè)、機(jī)構(gòu)和組織的財(cái)務(wù)系統(tǒng)都運(yùn)行在信息系統(tǒng)上面，所以信息手段成為財(cái)務(wù)審計(jì)的一種技術(shù)的同時(shí)，財(cái)務(wù)審計(jì)也帶動(dòng)了通用信息系統(tǒng)的審計(jì)。審計(jì)已開始包括信息技術(shù)審計(jì)。信息技術(shù)審計(jì)，是一個(gè)信息技術(shù)(IT)基礎(chǔ)設(shè)施控制范圍內(nèi)的檢查。信息系統(tǒng)審計(jì)是一個(gè)通過(guò)收集和評(píng)價(jià)審計(jì)證據(jù)，對(duì)信息系統(tǒng)是否能夠保護(hù)資產(chǎn)的安全、維護(hù)數(shù)據(jù)的完整、使被審計(jì)單位的目標(biāo)得以有效地實(shí)現(xiàn)、使組織的資源得到高效地使用等方面做出判斷的過(guò)程。數(shù)據(jù)庫(kù)審計(jì)作為信息安全審計(jì)的重要組成部分，同時(shí)也是數(shù)據(jù)庫(kù)管理系統(tǒng)安全性重要的一部分。通過(guò)審計(jì)功能，凡是與數(shù)據(jù)庫(kù)安全性相關(guān)的操作均可被記錄下來(lái)。只要檢測(cè)審計(jì)記錄，系統(tǒng)安全員便可掌握數(shù)據(jù)庫(kù)被使用狀況。例如，檢查庫(kù)中實(shí)體的存取模式，監(jiān)測(cè)指定用戶的行為。審計(jì)系統(tǒng)可以跟蹤用戶的全部操作，這也使審計(jì)系統(tǒng)具有一種威懾力，提醒用戶安全使用數(shù)據(jù)庫(kù)。數(shù)據(jù)庫(kù)審計(jì)立法《薩班斯奧克斯利法案(2002 SarbanesOxley Act)》的第302條款和第404條款中，強(qiáng)調(diào)通過(guò)內(nèi)部控制加強(qiáng)公司治理，包括加強(qiáng)與財(cái)務(wù)報(bào)表相關(guān)的IT系統(tǒng)內(nèi)部控制，其中，IT系統(tǒng)內(nèi)部控制就是面向具體的業(yè)務(wù)，它是緊密圍繞信息安全審計(jì)這一核心的?！镀髽I(yè)內(nèi)部控制規(guī)范基本規(guī)范的內(nèi)部審計(jì)機(jī)制》，中國(guó)的薩班斯法案，提出健全內(nèi)部審計(jì)機(jī)構(gòu)、加強(qiáng)內(nèi)部審計(jì)監(jiān)督是營(yíng)造守法、公平、正直的內(nèi)部環(huán)境的重要保證。企業(yè)應(yīng)當(dāng)加強(qiáng)內(nèi)部審計(jì)工作，在企業(yè)內(nèi)部形成有權(quán)必有責(zé)、用權(quán)受監(jiān)督的良好氛圍。ISO7498《信息處理系統(tǒng)開放系統(tǒng)互連——基本參考模型》第二部分安全體系結(jié)構(gòu)在“安全服務(wù)與安全機(jī)制的一般描述”中指出安全審計(jì)跟蹤提供了一種不可忽視的安全機(jī)制，它的潛在價(jià)值在于經(jīng)事后的安全審計(jì)得以檢測(cè)和調(diào)查安全的漏洞。安全審計(jì)就是對(duì)系統(tǒng)的記錄與行為進(jìn)行獨(dú)立的品評(píng)考查, 目的是測(cè)試系統(tǒng)的控制是否恰當(dāng), 保證與既定策略和操作堆積的協(xié)調(diào)一致, 有助于作出損害評(píng)估, 以及對(duì)在控制、, 分析和報(bào)告從安全審計(jì)跟蹤中得來(lái)的信息。這種日志記錄或記錄被認(rèn)為是一種安全機(jī)制并在本條中予以描述, 而把分析和報(bào)告視為一種安全管理功能。《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)數(shù)據(jù)庫(kù)管理技術(shù)要求》是計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)技術(shù)要求系列標(biāo)準(zhǔn)之一，詳細(xì)說(shuō)明了計(jì)算機(jī)信息系統(tǒng)為實(shí)現(xiàn)GB17859所提出的安全等級(jí)保護(hù)要求對(duì)數(shù)據(jù)庫(kù)管理系統(tǒng)的安全技術(shù)要求，以及確保這些安全技術(shù)所實(shí)現(xiàn)的安全功能達(dá)到其應(yīng)有的安全性而采取的保證措施。其在 “數(shù)據(jù)庫(kù)安全審計(jì)”中明確要求：數(shù)據(jù)庫(kù)管理系統(tǒng)的安全審計(jì)應(yīng)建立獨(dú)立的安全審計(jì)系統(tǒng)。定義與數(shù)據(jù)庫(kù)安全相關(guān)的審計(jì)事件。設(shè)置專門的安全審計(jì)員。設(shè)置專門用于存儲(chǔ)數(shù)據(jù)庫(kù)系統(tǒng)審計(jì)數(shù)據(jù)的安全審計(jì)庫(kù)。提供適用于數(shù)據(jù)庫(kù)系統(tǒng)的安全審計(jì)設(shè)置、分析和查閱的工具。明御數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)明御數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)是杭州安恒信息技術(shù)有限公司結(jié)合多年數(shù)據(jù)庫(kù)安全的理論和實(shí)踐經(jīng)驗(yàn)積累的基礎(chǔ)上，結(jié)合各類法令法規(guī)對(duì)數(shù)據(jù)庫(kù)審計(jì)的要求，自主研發(fā)完成的業(yè)界首創(chuàng)細(xì)粒度審計(jì)、精準(zhǔn)化行為回溯、全方位風(fēng)險(xiǎn)控制的數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品。以獨(dú)立硬件審計(jì)的工作模式，靈活的審計(jì)策略配置，解決企業(yè)核心數(shù)據(jù)庫(kù)面臨的“越權(quán)使用、權(quán)限濫用、權(quán)限盜用”等安全威脅，滿足各類法令法規(guī)對(duì)數(shù)據(jù)庫(kù)審計(jì)的要求，廣泛適用于“政府、金融、運(yùn)營(yíng)商、公安、能源、稅務(wù)、工商、社保、交通、衛(wèi)生、教育、電子商務(wù)及企業(yè)”等所有使用數(shù)據(jù)庫(kù)的各個(gè)行業(yè)。支持Oracle、MSSQL Server、DBSybase、Informix等業(yè)界主流數(shù)據(jù)庫(kù)，提升數(shù)據(jù)庫(kù)運(yùn)行監(jiān)控的透明度，降低人工審計(jì)成本，真正實(shí)現(xiàn)數(shù)據(jù)庫(kù)運(yùn)行可視化、日常操作可監(jiān)控、危險(xiǎn)操作可控制、所有行為可審計(jì)、安全事件可追溯。主要功能明御數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)主要的功能模塊包括“靜態(tài)審計(jì)、實(shí)時(shí)監(jiān)控與風(fēng)險(xiǎn)控制、動(dòng)態(tài)審計(jì)(全方位、細(xì)粒度)、審計(jì)報(bào)表、安全事件回放、綜合管理”。數(shù)據(jù)庫(kù)靜態(tài)審計(jì)代替繁瑣的手工檢查,預(yù)防安全事件的發(fā)生。明御TM數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)依托其權(quán)威性的數(shù)據(jù)庫(kù)安全規(guī)則庫(kù)，自動(dòng)完成對(duì)幾百種不當(dāng)?shù)臄?shù)據(jù)庫(kù)不安全配置、潛在弱點(diǎn)、數(shù)據(jù)庫(kù)用戶弱口令、數(shù)據(jù)庫(kù)軟件補(bǔ)丁、數(shù)據(jù)庫(kù)潛藏木馬等等靜態(tài)審計(jì)，通過(guò)靜態(tài)審計(jì)，可以為后續(xù)的動(dòng)態(tài)防護(hù)與審計(jì)的安全策略設(shè)置提供有力的依據(jù)。實(shí)時(shí)監(jiān)控與風(fēng)險(xiǎn)控制：明御數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)可保護(hù)業(yè)界主流的數(shù)據(jù)庫(kù)系統(tǒng)，防止受到特權(quán)濫用、已知漏洞攻擊、人為失誤等等的侵害。當(dāng)用戶與數(shù)據(jù)庫(kù)進(jìn)行交互時(shí)，可自動(dòng)根據(jù)預(yù)設(shè)置的風(fēng)險(xiǎn)控制策略，結(jié)合對(duì)數(shù)據(jù)庫(kù)活動(dòng)的實(shí)時(shí)監(jiān)控信息，進(jìn)行特征檢測(cè)及審計(jì)規(guī)則檢測(cè)，任何嘗試的攻擊或違反審計(jì)規(guī)則的操作都會(huì)被檢測(cè)到并實(shí)時(shí)阻斷或告警。數(shù)據(jù)庫(kù)動(dòng)態(tài)審計(jì)：明御數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)基于“數(shù)據(jù)捕獲→應(yīng)用層數(shù)據(jù)分析→監(jiān)控、審計(jì)和響應(yīng)” 的模式提供各項(xiàng)安全功能，使得它的審計(jì)功能大大優(yōu)于基于日志收集的審計(jì)系統(tǒng)，通過(guò)收集一系列極其豐富的審計(jì)數(shù)據(jù)，結(jié)合細(xì)粒度的審計(jì)規(guī)則、以滿足對(duì)敏感信息的特殊保護(hù)需求。數(shù)據(jù)庫(kù)動(dòng)態(tài)審計(jì)可以徹底擺脫數(shù)據(jù)庫(kù)的黑匣子狀態(tài)，提供4W(who/when/where/what)審計(jì)數(shù)據(jù)。通過(guò)實(shí)時(shí)監(jiān)測(cè)并智能地分析、還原各種數(shù)據(jù)庫(kù)操作，解析數(shù)據(jù)庫(kù)的登錄、注銷、插入、刪除、存儲(chǔ)過(guò)程的執(zhí)行等操作，還原SQL操作語(yǔ)句。跟蹤數(shù)據(jù)庫(kù)訪問(wèn)過(guò)程中的所有細(xì)節(jié)，包括用戶名、數(shù)據(jù)庫(kù)操作類型、所訪問(wèn)的數(shù)據(jù)庫(kù)表名、字段名、操作執(zhí)行結(jié)果、數(shù)據(jù)庫(kù)操作的內(nèi)容取值等。審計(jì)報(bào)表：明御數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)內(nèi)嵌功能強(qiáng)大的報(bào)表模塊，除了按安全經(jīng)驗(yàn)、行業(yè)需求分類的預(yù)定義固定格式報(bào)表外，管理員還可以利用報(bào)表自定義功能生成定制化的報(bào)告。報(bào)告模塊同時(shí)支持Word、Excel、PowerPoint、Pdf格式的數(shù)據(jù)導(dǎo)出。安全事件回放允許安全管理員提取歷史數(shù)據(jù)，對(duì)過(guò)去某一時(shí)段的事件進(jìn)行回放，真實(shí)展現(xiàn)當(dāng)時(shí)的完整操作過(guò)程，便于分析和追溯系統(tǒng)安全問(wèn)題。綜合管理：明御數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)提供WEBbase的管理頁(yè)面，數(shù)據(jù)庫(kù)安全管理員在不需要安裝任何客戶端軟件的情況下，基于標(biāo)準(zhǔn)的瀏覽器即可完成對(duì)DASDBAuditor 的相關(guān)配置管理，主要包括“審計(jì)對(duì)象管理、系統(tǒng)管理、用戶管理、功能配置、風(fēng)險(xiǎn)查詢”等。審計(jì)特點(diǎn)獨(dú)立審計(jì)模式：作為一個(gè)網(wǎng)絡(luò)安全設(shè)備，明御數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)審計(jì)數(shù)據(jù)通過(guò)網(wǎng)絡(luò)完全獨(dú)立地采集，這使得數(shù)據(jù)庫(kù)維護(hù)或開發(fā)小組，安全審計(jì)小組的工作進(jìn)行適當(dāng)?shù)姆蛛x。審計(jì)工作不影響數(shù)據(jù)庫(kù)的性能、穩(wěn)定性或日常管理流程。審計(jì)結(jié)果獨(dú)立存儲(chǔ)于DASDBAuditor自帶的存儲(chǔ)空間中，避免了數(shù)據(jù)庫(kù)特權(quán)用戶或惡意入侵?jǐn)?shù)據(jù)庫(kù)服務(wù)器用戶，干擾審計(jì)信息的公正性。靈活的動(dòng)態(tài)審計(jì)規(guī)則：明御數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)使用審計(jì)引擎對(duì)所有的數(shù)據(jù)庫(kù)活動(dòng)、數(shù)據(jù)庫(kù)服務(wù)器遠(yuǎn)程操作進(jìn)行實(shí)時(shí)的、動(dòng)態(tài)的審計(jì)。全方位、細(xì)粒度審計(jì)分析：實(shí)時(shí)監(jiān)控來(lái)自各個(gè)層面的所有數(shù)據(jù)庫(kù)活動(dòng)，包括SQL操作、ftp操作、telnet操作。提供對(duì)潛在危險(xiǎn)活動(dòng)(如：DDL類操作、DML類操作)的重要審計(jì)優(yōu)化視圖。精細(xì)到表、字段、記錄內(nèi)容的細(xì)粒度審計(jì)策略，實(shí)現(xiàn)對(duì)敏感信息的精細(xì)監(jiān)控。零風(fēng)險(xiǎn)部署：明御數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)可在不改變現(xiàn)有的網(wǎng)絡(luò)體系結(jié)構(gòu)(包括：路由器、防火墻、應(yīng)用層負(fù)載均衡設(shè)備、應(yīng)用服務(wù)器等)的情況下快速部署。完備的自身安全：物理保護(hù):關(guān)鍵部件采用冗余配置(如：冗余電源、內(nèi)置硬盤RAID等)。掉電保護(hù)：設(shè)備掉電(如電源被不慎碰掉)時(shí)，網(wǎng)絡(luò)流量將會(huì)直接貫通。系統(tǒng)故障保護(hù)：內(nèi)置監(jiān)測(cè)模塊準(zhǔn)實(shí)時(shí)地監(jiān)測(cè)設(shè)備自身的健康狀況。不間斷的管理保護(hù)：在進(jìn)行策略配置情況下，能保持網(wǎng)絡(luò)的連接和保護(hù)。不丟包：基于硬件加速的接口卡，在高速環(huán)境下實(shí)現(xiàn)100%數(shù)據(jù)包捕獲。冗余部署：在具備冗余體系結(jié)構(gòu)的環(huán)境中，支持ActiveActive或ActiveStandby部署配置。第三篇：淺談事業(yè)單位內(nèi)部審計(jì)現(xiàn)狀及其發(fā)展淺談事業(yè)單位內(nèi)部審計(jì)現(xiàn)狀及其發(fā)展摘要：事業(yè)單位內(nèi)部審計(jì)工作規(guī)范化建設(shè)是加強(qiáng)審計(jì)管理的重要環(huán)節(jié),是規(guī)范事業(yè)單位財(cái)務(wù)制度的重要措施。本文對(duì)目前事業(yè)單位內(nèi)部審計(jì)工作中存在的問(wèn)題進(jìn)行了探討,并結(jié)合實(shí)踐提出切實(shí)的合理化建議。關(guān)鍵詞：事業(yè)單位；內(nèi)部審計(jì)；現(xiàn)狀與發(fā)展事業(yè)單位內(nèi)部審計(jì)作為一種經(jīng)濟(jì)活動(dòng)由來(lái)已久,隨著社會(huì)化再生產(chǎn)的開展和管理要求的不斷提高,內(nèi)部審計(jì)也經(jīng)歷了一個(gè)由淺入深、由簡(jiǎn)單到復(fù)雜、由初級(jí)到高級(jí)的發(fā)展歷程。現(xiàn)代西方內(nèi)部審計(jì)已不再僅僅局限于單位的財(cái)務(wù)和會(huì)計(jì)問(wèn)題,其工作范圍已經(jīng)延伸到經(jīng)濟(jì)管理領(lǐng)域的各個(gè)方面。近年來(lái),隨著內(nèi)部審計(jì)活動(dòng)廣泛深入地發(fā)展,現(xiàn)代內(nèi)部審計(jì)的職能范圍等一直處在演變之中,它推動(dòng)了內(nèi)部審計(jì)實(shí)務(wù)科學(xué)理性地向前發(fā)展。但在目前內(nèi)部審計(jì)工作實(shí)踐中,內(nèi)部審計(jì)的作用沒(méi)有得到應(yīng)有的發(fā)揮。特別是事業(yè)單位的內(nèi)部審計(jì)工作顯得相對(duì)滯后,亟待我們尋找存在的問(wèn)題,探索解決的對(duì)策。一、目前事業(yè)單位內(nèi)部審計(jì)工作中存在的問(wèn)題（一）對(duì)事業(yè)單位內(nèi)部審計(jì)的認(rèn)識(shí)不到位一方面，人們通常認(rèn)為事業(yè)單位不具有生產(chǎn)功能，不存在成本費(fèi)用核算，更無(wú)營(yíng)業(yè)活動(dòng)，因此，沒(méi)有開展內(nèi)部審計(jì)的必要。內(nèi)部結(jié)果便導(dǎo)致內(nèi)部審計(jì)工作難以引起足夠的重視。另一方面，對(duì)相關(guān)法規(guī)貫徹不及時(shí)，認(rèn)識(shí)不到位，沒(méi)有認(rèn)識(shí)到內(nèi)審工作的法定性、必要性和緊迫性。(二)事業(yè)單位審計(jì)規(guī)范體系不完善,事業(yè)單位現(xiàn)行內(nèi)部審計(jì)制度的立、改、廢滯后于事業(yè)單位形勢(shì)發(fā)展建立健全內(nèi)部審計(jì)制度,用制度規(guī)范審計(jì)行為,是內(nèi)部審計(jì)業(yè)內(nèi)追求的重要目標(biāo)。目前,事業(yè)單位內(nèi)部審計(jì)工作主要執(zhí)行依據(jù)是國(guó)家審計(jì)法規(guī)制定的規(guī)章制度和審計(jì)協(xié)會(huì)制定的內(nèi)部審計(jì)準(zhǔn)則等,各事業(yè)單位內(nèi)部審計(jì)部門在實(shí)踐中探索出許多有益的經(jīng)驗(yàn),在此基礎(chǔ)上應(yīng)形成規(guī)章制度。另外,審計(jì)制度要有前瞻性、保持穩(wěn)定性,但也要適應(yīng)形勢(shì)發(fā)展的需要及時(shí)予以修訂或補(bǔ)充,因其針對(duì)建設(shè)期間的項(xiàng)目管理帶有局限性，已不適應(yīng)現(xiàn)在及未來(lái)的工程相關(guān)審計(jì)實(shí)務(wù)的需要,所以,有必要對(duì)此類審計(jì)制度進(jìn)行梳理、修訂,保留成功經(jīng)驗(yàn)部分、去除不適用內(nèi)容、增加審計(jì)管理新理念。及時(shí)對(duì)現(xiàn)行內(nèi)部審計(jì)制度進(jìn)行修訂、增補(bǔ)的工作應(yīng)引起內(nèi)部審計(jì)部門的重視。（三）內(nèi)部審計(jì)機(jī)構(gòu)的獨(dú)立性和客觀性不夠 獨(dú)立性是內(nèi)部審計(jì)的基本特征之一目前，我國(guó)內(nèi)部審計(jì)機(jī)構(gòu)大都是單位的內(nèi)設(shè)機(jī)構(gòu)，基本上都處于管理層之下，在單位負(fù)責(zé)人的領(lǐng)導(dǎo)下開展工作。因此，在審計(jì)過(guò)程中，不可避免地受本單位的利益和相關(guān)人員利益的制約，審計(jì)工作的獨(dú)立性、客觀性及權(quán)威性，都得不到保障。（四）內(nèi)部審計(jì)人員的專業(yè)水平有待進(jìn)一步提高審計(jì)人員素質(zhì)的高低決定了審計(jì)能否客觀，公正及權(quán)威?！秶?guó)際內(nèi)部審計(jì)師協(xié)會(huì)內(nèi)部審計(jì)標(biāo)準(zhǔn)說(shuō)明》規(guī)定，從事審計(jì)的工作人員應(yīng)具備財(cái)務(wù)、會(huì)計(jì)、企業(yè)管理、統(tǒng)計(jì)、計(jì)算機(jī)、概率、線性規(guī)劃、審計(jì)、工程、法律等專業(yè)知識(shí)，還應(yīng)有足夠的經(jīng)驗(yàn)和良好的審計(jì)職業(yè)道德。但目前我國(guó)內(nèi)部審計(jì)人員素質(zhì)總體偏低，據(jù)統(tǒng)計(jì)部門