序言:寫作是分享個(gè)人見解和探索未知領(lǐng)域的橋梁����,我們?yōu)槟x了8篇的審計(jì)數(shù)據(jù)分析論文樣本,期待這些樣本能夠?yàn)槟峁┴S富的參考和啟發(fā)���,請(qǐng)盡情閱讀���。
第1篇
論文摘要:隨著信息技術(shù)被廣泛、深入地應(yīng)用在會(huì)計(jì)工作中��,會(huì)計(jì)工作發(fā)生了根本性的改變���,不僅原有的會(huì)計(jì)數(shù)據(jù)處理流程發(fā)生了改變����,會(huì)計(jì)環(huán)境也被極大地改變了,使傳統(tǒng)的審計(jì)理念和技術(shù)面臨巨大的挑戰(zhàn)�,審計(jì)人員不僅面臨“進(jìn)不了門,打不開賬”的尷尬局面�����,審計(jì)理論和方法也急待改進(jìn)以適應(yīng)信息化的進(jìn)程��。
1現(xiàn)代審計(jì)與傳統(tǒng)審計(jì)的共同點(diǎn)
計(jì)算機(jī)審計(jì)的目標(biāo)與傳統(tǒng)手工審計(jì)的目標(biāo)是一致的�����,無論是計(jì)算機(jī)審計(jì)還是傳統(tǒng)審計(jì)�����,國家審計(jì)的審計(jì)過程都必須經(jīng)過審計(jì)準(zhǔn)備�����、審計(jì)實(shí)施與審計(jì)報(bào)告三個(gè)階段����,通過執(zhí)行檢查����、觀察�����、詢問����、函證、重新計(jì)算�、重新執(zhí)行、分析程序等基本審計(jì)程序來獲取充分�、適當(dāng)?shù)膶徲?jì)證據(jù)���,并將審計(jì)思路和審計(jì)過程予以記錄形成審計(jì)工作底稿�����,作為發(fā)表審計(jì)意見的依據(jù)�����。
2現(xiàn)代審計(jì)與傳統(tǒng)審計(jì)的差異
2.1站在新角度隨著國民經(jīng)濟(jì)的發(fā)展�����,信息網(wǎng)絡(luò)廣泛普及���,信息化成為經(jīng)濟(jì)社會(huì)發(fā)展的顯著特征�����,各行各業(yè)普遍運(yùn)用計(jì)算機(jī)和網(wǎng)絡(luò)等信息技術(shù)進(jìn)行管理����,審計(jì)人員不得不面對(duì)海量的會(huì)計(jì)電子數(shù)據(jù)�。在手工審計(jì)方式下,審計(jì)人員總是先分析審計(jì)對(duì)象的各個(gè)部分�����,再歸納�、綜合為整體,其思維方式是:部分一整體���,這適合于數(shù)據(jù)量不大的審計(jì)對(duì)象�����,卻很難全面把握海量數(shù)據(jù)�����。而計(jì)算機(jī)審計(jì)打破了手工審計(jì)思維方式���,強(qiáng)調(diào)以系統(tǒng)論核心�,從系統(tǒng)上把握審計(jì)對(duì)象����,即從審計(jì)對(duì)象的整體出發(fā),先進(jìn)行系統(tǒng)分析��,把握總體���,再建立審計(jì)模型,分析數(shù)據(jù)��,最后作出總體評(píng)價(jià)�,其思維方式是:整體一部分一整體,計(jì)算機(jī)審計(jì)能夠從宏觀上和系統(tǒng)上把握審計(jì)對(duì)象�,以擴(kuò)大審計(jì)監(jiān)督范圍���,提高審計(jì)監(jiān)督能力。
2.2面臨新環(huán)境計(jì)算機(jī)審計(jì)下的審計(jì)環(huán)境發(fā)生了很大的變化����。一方面表現(xiàn)為審計(jì)人員必須利用計(jì)算機(jī)實(shí)施審計(jì),要求審計(jì)人員能熟練操作計(jì)算機(jī)特別是相關(guān)的審計(jì)軟件���;另一方面由于信息技術(shù)在會(huì)計(jì)工作中的廣泛�、深入的應(yīng)用不僅改變了原有的會(huì)計(jì)數(shù)據(jù)處理流程���,還極大地改變了會(huì)計(jì)環(huán)境�����。信息化建設(shè)使得所有會(huì)計(jì)數(shù)據(jù)不再是紙介質(zhì)的憑證��、賬簿及報(bào)表�,而是以“比特”方式保存在磁性介質(zhì)上�����,數(shù)據(jù)表現(xiàn)形式虛擬化�����,即審計(jì)環(huán)境數(shù)字化,審計(jì)人員所面對(duì)的已不是傳統(tǒng)意義上的賬本��,而是無形的電子數(shù)據(jù)和處理這些電子數(shù)據(jù)的會(huì)計(jì)核算管理系統(tǒng)�,而這些會(huì)計(jì)電算化軟件版本各異,使得審計(jì)環(huán)境比傳統(tǒng)手工模式下顯得更為復(fù)雜���。
2.3線索更復(fù)雜計(jì)算機(jī)審計(jì)環(huán)境下��,傳統(tǒng)的審計(jì)線索因會(huì)計(jì)電算化系統(tǒng)而中斷甚至消失�。在手工會(huì)計(jì)系統(tǒng)中��,從原始憑證到記賬憑證�����,從過賬到財(cái)務(wù)報(bào)表的編制�,每一步都有文字記錄,都有經(jīng)手人簽字�,其紙質(zhì)業(yè)務(wù)軌跡,是重要的審計(jì)線索與審計(jì)證據(jù)的來源����,審計(jì)線索十分清楚。但在會(huì)計(jì)電算化系統(tǒng)中����,傳統(tǒng)的賬簿、相關(guān)的文字記錄被磁盤和磁帶取代��,加上從原始數(shù)據(jù)進(jìn)入計(jì)算機(jī)����,到財(cái)務(wù)報(bào)表的輸出,會(huì)計(jì)處理集中由計(jì)算機(jī)按程序自動(dòng)完成�����,傳統(tǒng)的審計(jì)線索在這里消失����。而審計(jì)線索的改變,導(dǎo)致在電算化系統(tǒng)中可人為篡改數(shù)據(jù)而不留痕跡���,如電算化系統(tǒng)數(shù)據(jù)來源�、公式定義����、編制結(jié)果�、打印格式均采用機(jī)內(nèi)文件的形式����,若有人篡改公式、編制失真的財(cái)務(wù)報(bào)表��,然后再將篡改的公式等予以復(fù)原��,則很難判定報(bào)表數(shù)據(jù)的正確與真實(shí)性�����。從而使得傳統(tǒng)審計(jì)的追蹤審查已不適用���,審計(jì)入手點(diǎn)更多的是靠判斷和經(jīng)驗(yàn)�����。
2.4涉及的范圍更大在會(huì)計(jì)電算化信息系統(tǒng)中�����,由于會(huì)計(jì)事項(xiàng)由計(jì)算機(jī)按程序自動(dòng)進(jìn)行處理�����,因疏忽大意而引起的計(jì)算機(jī)或過賬錯(cuò)誤的機(jī)會(huì)大大減少了�,但如果會(huì)計(jì)電算化系統(tǒng)的應(yīng)用程序出錯(cuò)或被人非法篡改�,后果將不堪設(shè)想。
計(jì)算機(jī)審計(jì)的另一項(xiàng)重要內(nèi)容是對(duì)電子數(shù)據(jù)直接進(jìn)行測(cè)試��,即審計(jì)人員不須先將被審計(jì)單位的電子數(shù)據(jù)轉(zhuǎn)換成電子賬套再實(shí)施審計(jì)程序�,而是擺脫傳統(tǒng)的電子賬套及其所反映的財(cái)務(wù)信息,深入到計(jì)算機(jī)信息系統(tǒng)的底層數(shù)據(jù)庫�,獲取更多更廣泛的數(shù)據(jù),然后通過對(duì)底層數(shù)據(jù)的分析處理����,獲得大量的多種類型的有用信息。
總而言之����,計(jì)算機(jī)審計(jì)的范圍較傳統(tǒng)手工審計(jì)要廣泛得多、深刻得多���。審計(jì)人員可以根據(jù)審計(jì)目標(biāo)的需要將審計(jì)的范圍和內(nèi)容作出必要的擴(kuò)大����。
2.5審計(jì)技術(shù)更現(xiàn)代傳統(tǒng)手工審計(jì)隨著風(fēng)險(xiǎn)基礎(chǔ)審計(jì)模式在實(shí)務(wù)中的廣泛運(yùn)用,分析性測(cè)試方法逐漸成為其核心方法�。但信息技術(shù)的應(yīng)用導(dǎo)致審計(jì)內(nèi)容及審計(jì)線索的變化,要求審計(jì)人員必須革新審計(jì)技術(shù)方法�����,計(jì)算機(jī)審計(jì)的核心方法是數(shù)據(jù)分析方法�。數(shù)據(jù)分析方法不同于傳統(tǒng)的分析性測(cè)試僅局限于對(duì)信息的處理����,它是對(duì)來自于底層的���、元素性的數(shù)據(jù)進(jìn)行處理,可以有多種多樣的組合����,在用途上可以作多種多樣的拓展,從而形成多種多樣的信息�����。因此���,數(shù)據(jù)分析技術(shù)可以用于多種測(cè)試工作���。在采用數(shù)據(jù)分析方法時(shí)�����,可使用兩種計(jì)算機(jī)審計(jì)特有的新型審計(jì)工具:審計(jì)中間表方法�、審計(jì)分析模型方法�。審計(jì)中間表是利用被審計(jì)單位數(shù)據(jù)庫中的基礎(chǔ)電子數(shù)據(jù)��,按照審計(jì)人員的審計(jì)要求����,由審計(jì)人員構(gòu)建,可供審計(jì)人員進(jìn)行數(shù)據(jù)分析的新型審計(jì)工具�。它是實(shí)現(xiàn)計(jì)算機(jī)審計(jì)的關(guān)鍵技術(shù)。審計(jì)分析模型是審計(jì)人員用于數(shù)據(jù)分析的技術(shù)工具�����,它是按照審計(jì)事項(xiàng)應(yīng)該具有的時(shí)間或空間狀態(tài)(例如趨勢(shì)�、結(jié)構(gòu)、關(guān)系等)�����,由審計(jì)人員通過設(shè)定判斷和限制條件來建立起數(shù)學(xué)的或邏輯的表達(dá)式,并用于驗(yàn)證審計(jì)事項(xiàng)實(shí)際的時(shí)間或空間狀態(tài)的技術(shù)方法�。
2.6審計(jì)流程更長計(jì)算機(jī)審計(jì)由三階段演變?yōu)樗膫€(gè)階段。傳統(tǒng)手工審計(jì)模式中���,國家審計(jì)的審計(jì)過程一般可分為審計(jì)準(zhǔn)備��、審計(jì)實(shí)施和審計(jì)報(bào)告三個(gè)階段���。但是,在引入計(jì)算機(jī)審計(jì)后���,審計(jì)準(zhǔn)備階段與審計(jì)實(shí)施階段的界限變得非常不清����,可能是由于數(shù)據(jù)分析既像審計(jì)準(zhǔn)備工作����,又像審計(jì)實(shí)施工作。其中�����,主要的問題可能是審前調(diào)查的歸屬?zèng)]有明確的限定�����。審前調(diào)查需要做大量的數(shù)據(jù)分析工作,而數(shù)據(jù)分析的測(cè)試屬性又無法合理確定��,于是有些審計(jì)人員將其劃入審計(jì)準(zhǔn)備階段�����,有些審計(jì)人員則將其劃入審計(jì)實(shí)施階段�。我們應(yīng)當(dāng)將審計(jì)過程再行細(xì)分,將其直接劃分為四個(gè)階段���,即審計(jì)準(zhǔn)備階段、審前調(diào)查階段��、審計(jì)實(shí)施階段和審計(jì)報(bào)告階段�����。審計(jì)準(zhǔn)備階段與審前調(diào)查階段的劃分原則應(yīng)該是���,審計(jì)人員是否需要實(shí)施實(shí)際的數(shù)據(jù)分析��。如果需要����,就須向被審計(jì)單位出具具有法律效力的通知書,然后才能獲取敏感性���、實(shí)質(zhì)性的數(shù)據(jù)���。有了審前調(diào)查階段,審計(jì)人員就可以名正言順地進(jìn)行數(shù)據(jù)的采集��、轉(zhuǎn)換�����、整理和分析���,從而為制定審計(jì)實(shí)施方案和進(jìn)行審計(jì)驗(yàn)證奠定堅(jiān)實(shí)的基礎(chǔ)����。
第2篇
長期以來�,在應(yīng)用信息技術(shù)(IT)過程中,人們總是過多關(guān)注其中的技術(shù)(T)�����,而缺少對(duì)其中的信息(I)給予足夠的重視,然而�,當(dāng)人們欣喜地看到IT使會(huì)計(jì)信息的相關(guān)性得以加強(qiáng)之際,又更應(yīng)當(dāng)為會(huì)計(jì)信息的可靠性所受到的威脅深感擔(dān)憂��。為此�����,COSO的風(fēng)險(xiǎn)管理框架�����、SOX法案�����、CIBIT等一系列IT控制規(guī)范相繼出臺(tái)���,而國際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)(ISACA)的諸多標(biāo)準(zhǔn)、指南和程序更是直接將焦點(diǎn)對(duì)準(zhǔn)組織的信息資產(chǎn)的安全之上��。我國《企業(yè)內(nèi)部控制基本規(guī)范》和《企業(yè)內(nèi)部控制應(yīng)用指引18――信息系統(tǒng)》等規(guī)范文件的���,強(qiáng)調(diào)信息化環(huán)境下的會(huì)計(jì)信息的安全性與可靠性���,隨后��,財(cái)政部于2009年的《關(guān)于全面推進(jìn)我國會(huì)計(jì)信息化工作的指導(dǎo)意見》中����,提出未來5~10年會(huì)計(jì)信息化首要的工作目標(biāo)����,是要建立健全會(huì)計(jì)信息化法規(guī)體系和會(huì)計(jì)信息化標(biāo)準(zhǔn)體系。國內(nèi)外諸多IT控制與審計(jì)制度的不斷涌現(xiàn)�����,充分說明在構(gòu)建會(huì)計(jì)信息化標(biāo)準(zhǔn)化體系之中��,當(dāng)務(wù)之急是建立會(huì)計(jì)信息的生產(chǎn)與傳遞嚴(yán)密的控制與審計(jì)標(biāo)準(zhǔn)體系�,為此,筆者在梳理國內(nèi)外信息審計(jì)基本理論的基礎(chǔ)上����,分析信息審計(jì)在會(huì)計(jì)系統(tǒng)中應(yīng)用的必要性,進(jìn)而提出會(huì)計(jì)系統(tǒng)應(yīng)用信息審計(jì)的若干思考����,以求這一工具與方法在我國會(huì)計(jì)系統(tǒng)中早日得以應(yīng)用�����。
二�����、信息審計(jì)研究概述
對(duì)信息審計(jì)的研究��,主要集中在信息審計(jì)的基本概念、基本目標(biāo)及信息審計(jì)的主要內(nèi)容等方面�����。
(一)信息審計(jì)的基本概念 目前�,信息審計(jì)內(nèi)涵尚未有一個(gè)被理論界認(rèn)同的概念。美國信息學(xué)家D.Ellis(1993)首次將信息審計(jì)定義為:“審查已有的信息管理系統(tǒng)��,找出問題�����,提供解決問題的備選方案”(任玉珍��,2009)�,試圖將信息審計(jì)與信息系統(tǒng)審計(jì)合二而一�,以求尋找解決問題的方案。布徹南(Buchanan�,1998)和吉伯(Gibb)則將信息審計(jì)界定為:“對(duì)組織信息資源和信息流進(jìn)行發(fā)現(xiàn)、控制和評(píng)估����,以實(shí)施、維護(hù)或改進(jìn)組織的信息管理的過程”���,這一定義將信息審計(jì)的內(nèi)容確定為信息資源與信息流兩大部分至今影響至深��。奧那(Orna�,2004)則將信息審計(jì)的對(duì)象拓展為人��、文檔和信息�,并認(rèn)為,信息審計(jì)是通過對(duì)一個(gè)組織中的人���、文檔等的查證��,系統(tǒng)地檢查信息產(chǎn)生�����、利用和流動(dòng)的情況�,進(jìn)而確定其支持目標(biāo)。英國信息管理協(xié)會(huì)(Aslib)拓展了信息審計(jì)的內(nèi)容����,指出它是參考組織的人員和已有文獻(xiàn),對(duì)組織的信息資源��、信息流和信息需求等方面進(jìn)行的系統(tǒng)檢查����,以確定其對(duì)組織目標(biāo)的貢獻(xiàn)程度。我國學(xué)者婁策勤和高策(2009)則結(jié)合當(dāng)前新的信息環(huán)境和信息理論�����,將信息審計(jì)看作是一種管理工具���,認(rèn)為它是一種發(fā)現(xiàn)�����、解決組織信息管理缺陷的管理工具����。黃亦西(2005)也指出���,信息審計(jì)是為了充分開發(fā)信息價(jià)值�����,通過對(duì)組織的信息流和信息資源的調(diào)查�、評(píng)估���,從而識(shí)別組織的信息需求���,確定組織的信息環(huán)境,并制定相應(yīng)政策的過程����。
必須強(qiáng)調(diào)的是,信息審計(jì)中的“信息”是一個(gè)廣義信息的概念��,包括嚴(yán)格意義上的信息和數(shù)據(jù)兩類。筆者認(rèn)為�,處于IT廣泛應(yīng)用的今天,信息與數(shù)據(jù)的細(xì)分必不可少���,它對(duì)人們研究信息審計(jì)的對(duì)象���、內(nèi)容和范圍至關(guān)重要,因此����,筆者將對(duì)應(yīng)于數(shù)據(jù)審計(jì)的信息審計(jì)稱為狹義信息審計(jì),以括號(hào)注明“狹義”�。而將涵蓋數(shù)據(jù)、信息的審計(jì)視為廣義信息審計(jì)���。
(二)信息審計(jì)的基本目標(biāo) 美國學(xué)者查菲(Chaffey)和伍德(Wood�,2008)指出�����,信息審計(jì)是用來評(píng)價(jià)當(dāng)前信息質(zhì)量和管理行為的水平�,即“是什么”的問題。它也可作為一種狀態(tài)分析的工具�����,用以協(xié)助構(gòu)建信息政策和評(píng)價(jià)信息戰(zhàn)略的目標(biāo)是否已經(jīng)實(shí)現(xiàn),將信息審計(jì)看成是信息質(zhì)量與管理不可或缺的工具����。賴茂生(2005)認(rèn)為�����,信息審計(jì)的目的是為了實(shí)施�����、維護(hù)或提高組織機(jī)構(gòu)的信息管理���。胡善勤則從IT視角出發(fā)�����,指出用以記錄網(wǎng)絡(luò)上各計(jì)算機(jī)行為的信息審計(jì)�����,其目標(biāo)有兩個(gè):一是可定期對(duì)各種網(wǎng)絡(luò)行為進(jìn)行采集���、統(tǒng)計(jì)和分析等�,發(fā)現(xiàn)存在的漏洞并及時(shí)修補(bǔ)�����;二是在發(fā)生安全事故后可以進(jìn)行信息分析��,找到事故原因�,進(jìn)而采取相應(yīng)的措施?�?梢?���,信息審計(jì)的根本目標(biāo),主要在于提升信息質(zhì)量��,由于信息質(zhì)量的優(yōu)劣首先取決于信息資源對(duì)企業(yè)實(shí)現(xiàn)目標(biāo)所作的貢獻(xiàn)����,故而在當(dāng)前情況下,信息審計(jì)所面對(duì)的必然是企業(yè)的IT系統(tǒng)(如ERP系統(tǒng))���,基于IT視角可使人們進(jìn)一步明確信息審計(jì)目標(biāo)�����,并為企業(yè)IT環(huán)境確定信息審計(jì)的內(nèi)容與范圍���。
(三)信息審計(jì)的主要內(nèi)容 隨著IT應(yīng)用的深入����,眾多學(xué)者認(rèn)為�����,不應(yīng)把信息審計(jì)看成是一種選擇���,而是達(dá)到確定信息資源的價(jià)值、功能和用途�����,以便充分開發(fā)其戰(zhàn)略價(jià)值的必要步驟�。信息審計(jì)包括信息資源和信息需求兩大內(nèi)容,但它是否也應(yīng)包括信息流則是眾說紛紜����。鑒于信息流審計(jì)和信息流程重組中的眾多理論和流程具有相似性�,有些學(xué)者認(rèn)為信息流審計(jì)不應(yīng)歸屬于信息審計(jì)范疇之內(nèi)(高策��,2009)��。筆者認(rèn)為���,處于IT應(yīng)用的初始階段����,將信息流納入信息審計(jì)的主要內(nèi)容���,對(duì)于企業(yè)的系統(tǒng)信息流程的標(biāo)準(zhǔn)化與規(guī)范化建設(shè)具有重要的意義���。這是因?yàn)椋畔⒘髋c企業(yè)組織流��、業(yè)務(wù)流密切相關(guān)��,面對(duì)網(wǎng)絡(luò)環(huán)境�,企業(yè)流程再造的本質(zhì)就是實(shí)施三者的同步發(fā)展。而從企業(yè)ERP系統(tǒng)應(yīng)用層面來看�,信息資源�����、信息流與信息需求三者不能單獨(dú)割裂開來�����,只有將信息流與信息需求�、信息資源同步考察�����,才能對(duì)企業(yè)的信息管理水平加以客觀地評(píng)價(jià)����,并提出相應(yīng)的改進(jìn)意見�����。
信息審計(jì)對(duì)象應(yīng)當(dāng)涵蓋信息圖譜中的數(shù)據(jù)����、信息和知識(shí)三個(gè)部分,但對(duì)我國企業(yè)而言���,當(dāng)前的數(shù)據(jù)審計(jì)與信息審計(jì)(狹義)首當(dāng)其沖�,只有這二者真正得以成功實(shí)施,并取得一定實(shí)效之后�,知識(shí)審計(jì)才可望順利進(jìn)行,為此�,筆者重點(diǎn)分析數(shù)據(jù)審計(jì)與信息審計(jì)(狹義)的具體內(nèi)容。
從企業(yè)經(jīng)營的業(yè)務(wù)內(nèi)容看���,信息審計(jì)的對(duì)象可細(xì)分為采購�、生產(chǎn)����、銷售、會(huì)計(jì)等各子系統(tǒng)的數(shù)據(jù)審計(jì)與信息審計(jì)(狹義)�,這樣才能根據(jù)各子系統(tǒng)的數(shù)據(jù)特點(diǎn)與具體內(nèi)容,對(duì)各類信息資源���、信息流和信息的使用提出針對(duì)性的信息管理評(píng)價(jià)意見�����。不難想象����,那種既想獲取企業(yè)信息審計(jì)的客觀公正的評(píng)價(jià)意見,又不涉足各業(yè)務(wù)內(nèi)容深入考察的做法��,將難以實(shí)現(xiàn)審計(jì)目標(biāo)���。
三���、信息審計(jì)在會(huì)計(jì)系統(tǒng)中的地位與作用
會(huì)計(jì)的價(jià)值并非來自于技術(shù),而是取決于會(huì)計(jì)信息的質(zhì)量���,會(huì)計(jì)信息的增值首先是通過信息流的改善以降低資源的需求量���,通過高質(zhì)量信息的共享對(duì)決策提供支持。為此���,采用信息審計(jì)以保證會(huì)計(jì)信息的高質(zhì)量�,也就使會(huì)計(jì)系統(tǒng)信息管理與控制新增了一道堅(jiān)實(shí)的屏障��。
(一)會(huì)計(jì)系統(tǒng)信息審計(jì)與財(cái)務(wù)報(bào)表審計(jì)并行不悖 財(cái)務(wù)報(bào)表審計(jì)的目標(biāo)是對(duì)財(cái)務(wù)報(bào)表是否按照適用的會(huì)計(jì)準(zhǔn)則和相關(guān)會(huì)計(jì)制度的規(guī)定編制����,是否在所有重大方面公允反映被審計(jì)單位的財(cái)務(wù)狀況�、經(jīng)營成果和現(xiàn)金流量兩大方面發(fā)表審計(jì)意見���,以提高財(cái)務(wù)報(bào)表的可信賴程度。而對(duì)會(huì)計(jì)系統(tǒng)而言���,作為IT時(shí)代的必然產(chǎn)物的信息審計(jì)���,其審計(jì)對(duì)象首先是以財(cái)務(wù)為主的信息資源,以確保該信息資源的價(jià)值�����、功能和用途��,進(jìn)而實(shí)施����、維護(hù)或改進(jìn)組織的信息管理的過程。雖然兩者都有保證信息高質(zhì)量的目標(biāo)���,但審計(jì)內(nèi)容與審計(jì)方法卻大相徑庭��。而從兩種審計(jì)的審計(jì)對(duì)象看�����,雖然都是針對(duì)企業(yè)的信息資源���,但信息審計(jì)的范圍要寬泛得多�����,它不僅包括企業(yè)的貨幣���、財(cái)務(wù)等定量信息,而且還包含企業(yè)的非貨幣����、非財(cái)務(wù)等定性信息。財(cái)務(wù)報(bào)表審計(jì)必須對(duì)被審單位財(cái)務(wù)報(bào)表的會(huì)計(jì)準(zhǔn)則和制度的遵行性��,對(duì)財(cái)務(wù)狀況���、經(jīng)營成果和現(xiàn)金流量的公允性發(fā)表審計(jì)意見����。而信息審計(jì)則是從對(duì)企業(yè)信息資源����、信息流程和信息需求等內(nèi)容的價(jià)值、功能和用途加以評(píng)價(jià)�,發(fā)表審計(jì)意見。前者注重企業(yè)核心信息的合規(guī)性�����,后者則注重企業(yè)信息管理質(zhì)量的提升��。從時(shí)空上來看�����,前者注重對(duì)所產(chǎn)生財(cái)務(wù)信息的結(jié)果進(jìn)行評(píng)價(jià)���,而后者則是對(duì)信息管理過程進(jìn)行評(píng)價(jià)���。盡管信息審計(jì)之初衷在于整個(gè)企業(yè),但在我國首先在會(huì)計(jì)系統(tǒng)中加以施行���,則是綱舉目張之舉��。
(二)會(huì)計(jì)系統(tǒng)信息審計(jì)與信息系統(tǒng)審計(jì)異曲同工 企業(yè)信息化的實(shí)踐證明����,那種認(rèn)為只要企業(yè)應(yīng)用信息系統(tǒng)或相應(yīng)的信息技術(shù)就能實(shí)現(xiàn)信息化、提高企業(yè)信息管理水平的認(rèn)識(shí)有失偏頗�����,企業(yè)信息化建設(shè)中的根本因素是信息資源建設(shè)問題���。目前普遍存在的企業(yè)信息資源存量絕對(duì)值不足�����、信息需求匹配度不高��、信息資源利用率低�、信息資源成本高收益低等弊端��。因此����,信息審計(jì)的當(dāng)務(wù)之急,是要對(duì)企業(yè)財(cái)務(wù)信息資源進(jìn)行控制和評(píng)估�����,以實(shí)施、維護(hù)或改進(jìn)企業(yè)信息管理的水平�。
盡管有學(xué)者將信息審計(jì)對(duì)象界定為信息管理系統(tǒng)�����,但近20年來信息審計(jì)的實(shí)踐及諸多研究成果表明�����,審計(jì)信息管理系統(tǒng)的任務(wù)非信息系統(tǒng)審計(jì)莫屬����,信息審計(jì)盡管與信息系統(tǒng)審計(jì)有著千絲萬縷的聯(lián)系,但兩者的審計(jì)目標(biāo)�、對(duì)象、范圍��、內(nèi)容卻有許多不同����。Ron.Weber(1999)指出,信息系統(tǒng)審計(jì)的目標(biāo)在于判斷被審的信息系統(tǒng)是否能夠保證信息資產(chǎn)的安全�����、數(shù)據(jù)的完整以及高效地利用組織的資源并有效地實(shí)現(xiàn)組織目標(biāo)的過程,它主要通過獲取和評(píng)價(jià)所收集的證據(jù)來保證這一判斷的客觀公允性�。信息系統(tǒng)是其審計(jì)對(duì)象,獲取和評(píng)價(jià)所收集的證據(jù)是其手段與方法�。而信息審計(jì)的審計(jì)對(duì)象是數(shù)據(jù)與信息(狹義),評(píng)價(jià)產(chǎn)生信息的被審系統(tǒng)則是其手段與方法���。兩者相輔相成����、優(yōu)勢(shì)互補(bǔ)的同步����,可以從不同途徑保證會(huì)計(jì)系統(tǒng)和信息的高效與高質(zhì)。
(三)會(huì)計(jì)系統(tǒng)信息審計(jì)與IT環(huán)境共生互動(dòng) 自20世紀(jì)90年代初期以來�,越來越多的企業(yè)流程已經(jīng)將大型信息系統(tǒng)納入其中。由于這一技術(shù)轉(zhuǎn)變�,數(shù)據(jù)和信息相對(duì)于產(chǎn)品的重要性正在凸顯。目前很大一部分企業(yè)價(jià)值已經(jīng)不在資產(chǎn)負(fù)債表之內(nèi)���,在使用大量知識(shí)和信息的領(lǐng)域���,差異越發(fā)明顯,以至于越來越多的人想拋棄已經(jīng)接受的簿記原則(杰普.布勒姆等�,2008)��?����?梢?,會(huì)計(jì)系統(tǒng)的信息資源與信息需求面臨著重新確認(rèn)等問題��,而亨茨爾(Henczel�����,2001)所提出的�,信息審計(jì)是通過識(shí)別組織的信息需求�,從而有效地確定組織當(dāng)前信息環(huán)境的過程,這一將識(shí)別信息需求作為信息審計(jì)的主要內(nèi)容的觀點(diǎn)����,對(duì)重新認(rèn)識(shí)會(huì)計(jì)系統(tǒng)的信息需求具有十分重要的意義。會(huì)計(jì)的發(fā)展取決于兩個(gè)因素���,一是環(huán)境的影響�;二是用戶對(duì)會(huì)計(jì)的信息需求�����,信息技術(shù)的飛速發(fā)展,促使會(huì)計(jì)系統(tǒng)與這一技術(shù)環(huán)境的共生和互動(dòng)關(guān)系日趨明顯���,而經(jīng)濟(jì)全球化的競爭態(tài)勢(shì)又驅(qū)使會(huì)計(jì)信息不能局限于眼前以財(cái)務(wù)為主的經(jīng)濟(jì)信息的支持�。因此���,會(huì)計(jì)系統(tǒng)面臨著信息資源與信息需求的信息審計(jì)��。
會(huì)計(jì)信息要力求增值��,無疑應(yīng)當(dāng)對(duì)其數(shù)據(jù)與信息的采集�����、處理與生成的基本流程逐一進(jìn)行分析和提煉����,以便求得各流程����、工序的精益求精。同時(shí)����,由于目前大中型企業(yè)紛紛使用ERP系統(tǒng)���,因而使會(huì)計(jì)子系統(tǒng)與其他子系統(tǒng)的數(shù)據(jù)聯(lián)系越來越密切,而其會(huì)計(jì)子系統(tǒng)中的管理會(huì)計(jì)��、內(nèi)部審計(jì)等子系統(tǒng)與財(cái)務(wù)會(huì)計(jì)子系統(tǒng)的無縫連接越發(fā)凸顯�,為此,針對(duì)數(shù)以萬計(jì)存儲(chǔ)于企業(yè)數(shù)據(jù)倉庫之中的信息資源文件重新進(jìn)行梳理與管理勢(shì)在必行���。而從審計(jì)的角度看,IT環(huán)境需要IT治理和IT控制��,這是因?yàn)檫@一環(huán)境所帶來的系統(tǒng)�、流程、技術(shù)等錯(cuò)綜復(fù)雜的高風(fēng)險(xiǎn)局面�,許多大公司由于難以應(yīng)對(duì)這一高風(fēng)險(xiǎn)局面而陷入信息危機(jī)與信息犯罪的旋渦之中。作為信息安全保證的必備工具與方法手段���,信息審計(jì)在當(dāng)前會(huì)計(jì)系統(tǒng)的安全控制不足的狀況下尤為必要�。
四�、信息審計(jì)在會(huì)計(jì)系統(tǒng)中應(yīng)用的若干思考
盡管會(huì)計(jì)系統(tǒng)相對(duì)于企業(yè)其他子系統(tǒng)具有較為嚴(yán)格的信息生產(chǎn)程序、流程和規(guī)范�,但面對(duì)與ERP系統(tǒng)諸多子系統(tǒng)的日益交融局面��,會(huì)計(jì)子系統(tǒng)的數(shù)據(jù)與信息的管理產(chǎn)生許多問題��,如缺少對(duì)信息的集中化管理��,致使某些有用信息過于分散而難以被決策者獲取與使用����,又如信息過載使得信息用戶難以騰出足夠的時(shí)間從紛繁復(fù)雜的信息中選擇其所需要的信息等���。誠如信息審計(jì)專家H. Botha和J.A.Boon所指出的����,需要對(duì)信息審計(jì)進(jìn)行更多的研究�����,在實(shí)踐中測(cè)試更多的方法����,使信息專家能夠開發(fā)出可以放心使用的可靠信息審計(jì)方法。筆者認(rèn)為��,當(dāng)務(wù)之急是在對(duì)信息審計(jì)的必要性取得共識(shí)的基礎(chǔ)上��,探討會(huì)計(jì)系統(tǒng)信息審計(jì)的主體與內(nèi)容、審計(jì)方法����、審計(jì)頻率與審計(jì)重點(diǎn)等問題,以使信息審計(jì)在我國早日應(yīng)用�。
(一)會(huì)計(jì)系統(tǒng)信息審計(jì)的主體與內(nèi)容 本質(zhì)上說,企業(yè)信息審計(jì)是企業(yè)內(nèi)部審計(jì)的一個(gè)有機(jī)組成部分�,其規(guī)劃、實(shí)施�����、完善的組織協(xié)調(diào)工作主要應(yīng)由企業(yè)的內(nèi)部審計(jì)機(jī)構(gòu)為主體加以實(shí)施���,在聘請(qǐng)外部專家參與信息審計(jì)的基礎(chǔ)上,輔以企業(yè)內(nèi)外部的相關(guān)審計(jì)人員來完善審計(jì)工作�����。但由于當(dāng)前企業(yè)信息審計(jì)力量不足���、缺乏專業(yè)勝任能力的人員����,故應(yīng)形成由企業(yè)內(nèi)部審計(jì)人員與信息主管人員為主的專業(yè)團(tuán)隊(duì)。
如前所述,會(huì)計(jì)系統(tǒng)的信息審計(jì)包含會(huì)計(jì)數(shù)據(jù)審計(jì)與會(huì)計(jì)信息審計(jì)(狹義)�����,從實(shí)務(wù)上看,前者的審計(jì)重點(diǎn)是會(huì)計(jì)數(shù)據(jù)的保護(hù)�����、采集�����、存儲(chǔ)�、記錄和處理規(guī)范的管理,而后者的審計(jì)重點(diǎn)則是對(duì)會(huì)計(jì)系統(tǒng)所產(chǎn)出的財(cái)務(wù)報(bào)告和提供決策支持信息的管理�。從理論研究內(nèi)容上看,會(huì)計(jì)數(shù)據(jù)的審計(jì)應(yīng)當(dāng)研究會(huì)計(jì)數(shù)據(jù)的來源,數(shù)據(jù)的檢索與分析�,以及基于信息需求而對(duì)會(huì)計(jì)憑證和賬簿等數(shù)據(jù)的采集、整理及記錄規(guī)則等方面的管理。而會(huì)計(jì)信息審計(jì)的研究重點(diǎn)則是與流程���、選擇合適信息系統(tǒng)�����、信息獲取及使用����、各類會(huì)計(jì)信息對(duì)相應(yīng)流程的重要程度����,以及與會(huì)計(jì)信息需求的目標(biāo)相適應(yīng)的信息體系的構(gòu)建等。
(二)信息審計(jì)的審計(jì)方法 作為人造系統(tǒng)���,會(huì)計(jì)這一應(yīng)用系統(tǒng)的信息審計(jì)應(yīng)以信息技術(shù)為手段,圍繞企業(yè)各應(yīng)用子系統(tǒng)的應(yīng)用過程與應(yīng)用結(jié)果��,以及系統(tǒng)安全的合理性�、過程行為的合法性��、結(jié)果數(shù)據(jù)的真實(shí)性���,進(jìn)行客觀、適時(shí)的監(jiān)測(cè)與審核��,將各種違規(guī)����、可疑事件及時(shí)發(fā)出警報(bào),并提交改進(jìn)信息管理的審計(jì)報(bào)告����。
信息審計(jì)與信息系統(tǒng)審計(jì)同為內(nèi)部審計(jì)的組成部分,但其各自的審計(jì)方法不盡相同�����,亨茨爾(Henczel�����,2001)強(qiáng)調(diào)信息審計(jì)是一個(gè)循環(huán)的過程�,包括計(jì)劃�����、數(shù)據(jù)收集�����、數(shù)據(jù)分析�、數(shù)據(jù)評(píng)價(jià)、建議交流以及實(shí)施這樣一個(gè)定期重復(fù)的過程���。目前比較成熟的信息審計(jì)方法有信息地圖法���、集成審計(jì)法、信息流法和亨茨爾(Henczel)法等多種(婁策勤�、高策��,2009)�����,針對(duì)會(huì)計(jì)系統(tǒng)的特點(diǎn),筆者認(rèn)為選用信息流法和亨茨爾(Henczel)法為宜�。信息流法既重視信息資源的識(shí)別,又能同時(shí)對(duì)企業(yè)信息流進(jìn)行分析���,這正是目前我國會(huì)計(jì)系統(tǒng)信息審計(jì)起步伊始所必須的���。而亨茨爾法則是在分析信息流法和集成審計(jì)法的基礎(chǔ)上,提出了較為科學(xué)的信息審計(jì)7大步驟�����,即計(jì)劃籌備審計(jì)計(jì)劃和準(zhǔn)備,通過案例分析取得高層支持����;數(shù)據(jù)收集通過調(diào)研建立組織信息資源數(shù)據(jù)庫;數(shù)據(jù)分析對(duì)收集到的數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化分析��;數(shù)據(jù)評(píng)估進(jìn)行數(shù)據(jù)判讀���,提出建議�����;建議交流報(bào)告信息審計(jì)結(jié)果��,交流意見����;實(shí)施建議開展信息審計(jì)建議改革項(xiàng)目���;二次審計(jì)使信息審計(jì)經(jīng)?��;⒁?guī)律化���。對(duì)會(huì)計(jì)系統(tǒng)而言��,信息流中的電子憑證審核����、記賬憑證形成��、賬簿登錄�、銀行對(duì)賬和報(bào)表編制等沿用手工會(huì)計(jì)流程的做法,能否符合信息管理與用戶信息需求�����,十分有必要在信息審計(jì)過程中進(jìn)行重新審視與評(píng)價(jià)���。
由于當(dāng)前尚未形成標(biāo)準(zhǔn)化的信息審計(jì)方法體系���,因此在實(shí)際中,許多信息審計(jì)項(xiàng)目多采用了傳統(tǒng)的財(cái)務(wù)審計(jì)方法���,如成本/效益方法等���,這給信息審計(jì)實(shí)踐造成了很大的困惑和混亂��,有的學(xué)者主張應(yīng)將財(cái)務(wù)審計(jì)人員的經(jīng)驗(yàn)與信息審計(jì)實(shí)踐相融合�����,盡早開發(fā)出一套適用于信息審計(jì)方法體系(任玉珍����,2009)�。筆者認(rèn)為,借鑒財(cái)務(wù)審計(jì)的基本方法與經(jīng)驗(yàn)�����,固然是信息審計(jì)的實(shí)現(xiàn)途徑之一��,但信息審計(jì)方法不能落入財(cái)務(wù)報(bào)表審計(jì)方法之中�,否則將有可能影響到信息審計(jì)任務(wù)的完成,兩者的審計(jì)目標(biāo)相去甚遠(yuǎn)��,因而其審計(jì)方法也必然有很大的不同����。鑒于信息系統(tǒng)審計(jì)與信息審計(jì)所具備的諸多共性,借鑒日益成熟的信息系統(tǒng)審計(jì)中的信息流程審計(jì)與數(shù)據(jù)審計(jì)的方法不失為一種事半功倍的做法�����。
(三)會(huì)計(jì)系統(tǒng)信息審計(jì)的頻率與重點(diǎn)會(huì)計(jì)系統(tǒng)的信息審計(jì),首先要明確信息用戶對(duì)會(huì)計(jì)信息需求����,其次是要對(duì)目前可使用信息與信息用戶所需要的信息進(jìn)行信息資源差異對(duì)比分析,進(jìn)而根據(jù)當(dāng)前狀況提出消除上述差異解決方案�,并制定信息提供與信息流程再造的行動(dòng)計(jì)劃���。從以上的審計(jì)過程看��,會(huì)計(jì)系統(tǒng)信息審計(jì)的頻率與該系統(tǒng)的使用狀況相聯(lián)系���,即信息審計(jì)頻率與系統(tǒng)使用時(shí)間相對(duì)應(yīng),會(huì)計(jì)系統(tǒng)一旦受到升級(jí)或改進(jìn)�����,信息審計(jì)就應(yīng)當(dāng)緊隨其后加以進(jìn)行����。然而,應(yīng)當(dāng)注意的是���,在信息資源���、信息流和信息需求三大信息審計(jì)內(nèi)容中�����,與系統(tǒng)升級(jí)或改進(jìn)聯(lián)系最緊的當(dāng)屬信息流�����。因此���,信息審計(jì)的頻率可以因?qū)徲?jì)內(nèi)容而定,一旦會(huì)計(jì)系統(tǒng)的信息流受到改變�,就必須對(duì)其實(shí)施審計(jì),而信息資源與信息需求則可采用定期審計(jì)的方法�����,根據(jù)企業(yè)經(jīng)營決策與競爭的需求�����,定期實(shí)施會(huì)計(jì)系統(tǒng)的數(shù)據(jù)審計(jì)與信息審計(jì)(狹義)。
信息審計(jì)包括數(shù)據(jù)審計(jì)與信息審計(jì)(狹義)�,對(duì)會(huì)計(jì)系統(tǒng)而言,數(shù)據(jù)審計(jì)應(yīng)用研究的重點(diǎn)是會(huì)計(jì)數(shù)據(jù)的保護(hù)、采集、存儲(chǔ)����、記錄和處理規(guī)范等方面,而其理論研究的重點(diǎn)則是會(huì)計(jì)數(shù)據(jù)的來源����、會(huì)計(jì)數(shù)據(jù)的檢索與分析���、會(huì)計(jì)憑證和賬簿等數(shù)據(jù)的作用,以及這些數(shù)據(jù)處理過程中的規(guī)范要求��。而信息審計(jì)(狹義)應(yīng)用研究的重點(diǎn)是會(huì)計(jì)系統(tǒng)所產(chǎn)出的財(cái)務(wù)報(bào)告和提供決策支持的信息���,其理論研究的重點(diǎn)則是與流程�、選擇合適信息系統(tǒng)�����、信息獲取及使用���、各類會(huì)計(jì)信息對(duì)相應(yīng)流程的重要程度�,以及會(huì)計(jì)信息需求的目標(biāo)等相關(guān)。
五�、結(jié)論
疾速形成的網(wǎng)絡(luò)化與無紙化等信息化環(huán)境,促使會(huì)計(jì)系統(tǒng)的信息審計(jì)成為必然����,而作為信息化助推器的信息審計(jì),其審計(jì)目標(biāo)�、審計(jì)內(nèi)容和審計(jì)方法等又確立了其在會(huì)計(jì)系統(tǒng)中數(shù)據(jù)與信息安全保障體系中的重要地位。伴隨著我國信息審計(jì)理論研究的開展�,信息審計(jì)的成功應(yīng)用可望水到渠成。屆時(shí)����,信息審計(jì)與信息系統(tǒng)審計(jì)的并駕齊驅(qū),必然為我國會(huì)計(jì)系統(tǒng)信息的可靠與相關(guān)��、信息管理的高質(zhì)與高效提供強(qiáng)有力的支持�����。
[本文系福建省教育廳2008年度人文社科項(xiàng)目“我國財(cái)務(wù)會(huì)計(jì)信息化發(fā)展方向研究”(JA08003S)階段性研究成果]
參考文獻(xiàn):
[1]任玉珍:《信息審計(jì)的內(nèi)容框架分析》��,《農(nóng)業(yè)網(wǎng)絡(luò)信息》2009年第7期�����。
[2]婁策勤、高策:《信息審計(jì)方法比較研究》����,《圖書情報(bào)工作》2009年第1期。
[3]黃亦西:《信息審計(jì)與知識(shí)審計(jì)的比較研究》���,《情報(bào)雜志》2005年第10期���。
[4]賴茂生:《信息資源管理的技術(shù)方法》,irm.impku.edu.en/ownload/e07.pdf���,2005-12-17�����。
[5]胡善勤:《網(wǎng)絡(luò)信息審計(jì)的設(shè)計(jì)與實(shí)現(xiàn)》,吉林大學(xué)2008年工學(xué)碩士論文�。
[6]高策:《企業(yè)信息審計(jì)研究》,華中師范大學(xué)2009年碩士學(xué)位論文����。
[7]戴維.查菲、史蒂夫.伍德著,趙蘋��、陳守龍譯:《企業(yè)信息管理:用信息系統(tǒng)改進(jìn)績效》�,中國人民大學(xué)出版社2008年版。
[8][荷]杰普.布勒姆�、梅農(nóng).范多恩、皮亞士.米托爾著��,程治剛���、張翎��、張勁譯:《SOX環(huán)境下的IT治理》�,東北財(cái)經(jīng)大學(xué)出版社2008年版����。
[9]Buchanan,S. and Gibb�����,F(xiàn). The information audit:an integrated strategic approach. International journal of information management����,1998.
[10]Orna E.Information Strategy in Practice. Aldershol:Gower�,2004.
第3篇
【關(guān)鍵詞】 大數(shù)據(jù);企業(yè);環(huán)境信息披露;路徑
一���、引言
2016年4月17日��,中央電視臺(tái)的一則報(bào)道震驚全國���,上市公司諾普信控制的常隆化工廠的土地污染導(dǎo)致江蘇常州外國語學(xué)校近500名學(xué)生出現(xiàn)身體異常。而該公司于2014年曾被訴訟并支付環(huán)境整治費(fèi)�。
紫金礦業(yè)等上市公司的環(huán)境污染事故仍記憶猶新,新的環(huán)境污染事故仍然層出不窮���。根據(jù)環(huán)境部的統(tǒng)計(jì)數(shù)據(jù)顯示��,2003年至今�,我國上市公司環(huán)境事故的發(fā)生次數(shù)呈現(xiàn)上升態(tài)勢(shì)�����,其中空氣污染和水污染是最嚴(yán)峻的領(lǐng)域���。
2016年2月,北京公眾環(huán)境研究中心公布的數(shù)據(jù)顯示���,我國包括中國鋁業(yè)等央企在內(nèi)的141家上市公司在2015年超標(biāo)排放污染物���,尤其是化工行業(yè)的企業(yè)數(shù)量最多��。而這141家公司中只有28家公司對(duì)此進(jìn)行了信息披露����。而根據(jù)我國相關(guān)法律法規(guī)�、政策制度,上市公司應(yīng)公布包括污染物排放����、資源消耗、環(huán)境管理等環(huán)境信息���。
二�����、中國目前的企業(yè)環(huán)境信息披露制度
2015年1月1日實(shí)施的《中華人民共和國環(huán)境保護(hù)法》第55條規(guī)定����,重點(diǎn)排污單位應(yīng)當(dāng)如實(shí)向社會(huì)公眾披露主要污染物名稱��、排放量、排放濃度和總量��、超標(biāo)排放�、污染防治設(shè)施的建設(shè)和運(yùn)行情況,接受社會(huì)監(jiān)督���。第62條違反本法規(guī)定�����,未公開重點(diǎn)排污單位或者未如實(shí)披露環(huán)境信息的���,由縣級(jí)以上地方政府環(huán)境保護(hù)部門責(zé)令公開,并予以公告����。
而2007年的《環(huán)境信息公開辦法》和2008年《關(guān)于加強(qiáng)上市公司環(huán)境保護(hù)監(jiān)督管理工作的指導(dǎo)意見》都要求企業(yè)及時(shí)、準(zhǔn)確的公開其環(huán)境信息�����。2014年修訂的《公開發(fā)行證券的公司信息披露內(nèi)容與格式準(zhǔn)則第2號(hào)》鼓勵(lì)企業(yè)積極主動(dòng)披露履行環(huán)境責(zé)任����,包括公司在污染防治和控制���、加強(qiáng)生態(tài)保護(hù)中采取的措施;屬于國家環(huán)境保護(hù)部門規(guī)定的重污染行業(yè)上市公司及其子公司���,應(yīng)按照有關(guān)規(guī)定,披露其在報(bào)告期內(nèi)的重大環(huán)境問題和環(huán)境信息整改����。根據(jù)證監(jiān)會(huì)的規(guī)定,新股發(fā)行審計(jì)注重對(duì)環(huán)境問題的審計(jì)�,包括:在招股說明書中詳細(xì)披露發(fā)行人的生產(chǎn)管理和投資項(xiàng)目符合國家環(huán)保要求,擬上市公司最近3年的環(huán)境保護(hù)投資相關(guān)費(fèi)用�,實(shí)際運(yùn)行的環(huán)保設(shè)施和環(huán)境保護(hù)支出;生產(chǎn)環(huán)境是否符合國家相關(guān)環(huán)境規(guī)定,是否曾發(fā)生環(huán)境事故���,治理污染設(shè)施的運(yùn)行是否有效����,對(duì)環(huán)境保護(hù)設(shè)施的養(yǎng)護(hù)和日常的污染治理是否符合相關(guān)技術(shù)規(guī)范;當(dāng)擬上市公司發(fā)生環(huán)境事故或因環(huán)境問題受到處罰���,是否詳細(xì)披露了有關(guān)情況����,其保薦機(jī)構(gòu)和發(fā)行律師是否就此事件構(gòu)成重大違規(guī)問題發(fā)表意見。
現(xiàn)行的企業(yè)環(huán)境信息披露法律法規(guī)政策規(guī)定有效的推動(dòng)了我國企業(yè)��,尤其是重污染上市公司的環(huán)境信息披露�����。對(duì)中國A股上市公司中的重污染行業(yè)企業(yè)所披露的環(huán)境信息進(jìn)行分析發(fā)現(xiàn)���,根據(jù)法律法規(guī)及相關(guān)政策規(guī)定�����,重污染上市公司大部分披露其環(huán)境信息�,但環(huán)境信息披露中的定性描述���,即文字描述較多���,而定量描述偏少;主要披露的內(nèi)容是環(huán)境管理和環(huán)境治理信息;對(duì)環(huán)境方面的負(fù)面信息,重污染行業(yè)上市公司均傾向于不予以披露�����,即存在報(bào)喜不報(bào)憂的現(xiàn)象;不同行業(yè)披露的環(huán)境信息的側(cè)重點(diǎn)有所不同。
從上述分析可以看出����,雖然我國企業(yè)環(huán)境信息披露法律法規(guī)政策規(guī)定的不斷完善有利于企業(yè)環(huán)境信息披露,但環(huán)境信息披露的數(shù)量����,尤其是信息披露的質(zhì)量仍然距離公眾期待有著較大的距離���,有待進(jìn)一步完善��。
三����、運(yùn)用大數(shù)據(jù)優(yōu)化企業(yè)環(huán)境信息披露的路徑選擇
在大數(shù)據(jù)時(shí)代�����,全球?qū)?shù)據(jù)挖掘技術(shù)越來越重視����,由于數(shù)據(jù)已經(jīng)成為人們生活中不可或缺的一部分,充分利用大數(shù)據(jù)時(shí)代的優(yōu)勢(shì)完善我國企業(yè)環(huán)境信息披露的相關(guān)制度規(guī)范成為可行的選擇��。在數(shù)據(jù)“多維”時(shí)代,充分利用大數(shù)據(jù)對(duì)企業(yè)的環(huán)境信息進(jìn)行披露具有以下優(yōu)勢(shì):第一��,可靠性�。以往企業(yè)披露的環(huán)境責(zé)任信息往往突出其一定時(shí)間內(nèi)的某些活動(dòng),缺乏對(duì)企業(yè)生產(chǎn)和管理中環(huán)境責(zé)任信息的持續(xù)性描述���,這導(dǎo)致企業(yè)環(huán)境責(zé)任信息的不連續(xù)性����,而在大數(shù)據(jù)環(huán)境中可以對(duì)所有相關(guān)的數(shù)據(jù)進(jìn)行整體分析�,得出一個(gè)完整的信息組,更好的反應(yīng)環(huán)境信息的真實(shí)性����。第二,多樣性�����。傳統(tǒng)的環(huán)境責(zé)任信息披露中��,由于數(shù)據(jù)的可能缺失�,監(jiān)管部門和社會(huì)公眾很難對(duì)企業(yè)的環(huán)境責(zé)任活動(dòng)進(jìn)行識(shí)別和衡量,而在大數(shù)據(jù)時(shí)代�,信息的載體和方式是多樣的�,可以以各種形式反映信息�����,有助于提供完整的企業(yè)環(huán)境責(zé)任信息內(nèi)容�。第三,可追溯性���。在反映企業(yè)環(huán)境責(zé)任信息的路徑上,由于缺乏控制機(jī)制���,難以實(shí)現(xiàn)信息的跟蹤����,而在大數(shù)據(jù)時(shí)代���,數(shù)據(jù)可以被記錄在不同的維度����,不同維度的數(shù)據(jù)之間的分析為企業(yè)環(huán)境信息提供了可追溯性���。具體運(yùn)用大數(shù)據(jù)優(yōu)化企業(yè)環(huán)境信息披露的路徑如下:
1�����、在借鑒國外經(jīng)驗(yàn)的基礎(chǔ)上運(yùn)用大數(shù)據(jù)完善我國企業(yè)環(huán)境信息披露的法律體系
在運(yùn)用大數(shù)據(jù)分析的基礎(chǔ)上����,借鑒國外先進(jìn)經(jīng)驗(yàn)進(jìn)一步完善企業(yè)環(huán)境信息披露的法律法規(guī)。充分整合現(xiàn)行國內(nèi)環(huán)境保護(hù)部門�、國資委、財(cái)政部�����、審計(jì)署���、證監(jiān)會(huì)��、證交所等各部門的數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘�,厘清我國環(huán)境信息披露方面存在的主要問題�,結(jié)合中國具體國情,在借鑒歐美發(fā)達(dá)國家相關(guān)法律規(guī)范的基礎(chǔ)上��,在現(xiàn)行《環(huán)境保護(hù)法》規(guī)定的框架下��,進(jìn)一步規(guī)范企業(yè)環(huán)境信息披露����,清晰界定企業(yè)環(huán)境信息應(yīng)公開的內(nèi)容�,對(duì)企業(yè)環(huán)境信息公開的主體�、環(huán)境信息披露義務(wù)的主體進(jìn)行明確規(guī)定。建議由環(huán)境保護(hù)部門牽頭�����,聯(lián)合國資委���、財(cái)政部�����、審計(jì)署、證監(jiān)會(huì)���、證交所等相關(guān)部門����,對(duì)企業(yè)環(huán)境信息報(bào)告的具體實(shí)施標(biāo)準(zhǔn)或具體實(shí)施準(zhǔn)則進(jìn)行擬定����,明晰界定企業(yè)環(huán)境責(zé)任報(bào)告要素及其內(nèi)涵��、企業(yè)環(huán)境信息報(bào)告的設(shè)計(jì)體例等���,建議企業(yè)環(huán)境信息披露中應(yīng)盡量使用定量性信息披露,提高企業(yè)環(huán)境信息的可靠性���、可比性和利益相關(guān)者對(duì)企業(yè)環(huán)境信息的可理解性��,提高企業(yè)編制環(huán)境信息報(bào)告的可操作性�����。
需要注意的是�����,在進(jìn)一步完善我國企業(yè)環(huán)境信息披露的法律體系時(shí)��,需要進(jìn)一步強(qiáng)化企業(yè)環(huán)境責(zé)任信息披露制度的監(jiān)督和處罰機(jī)制����。以2015年的上市公司魯抗醫(yī)藥因環(huán)境問題受到處罰為例�,其將含有抗生素的廢水排到主要河流中的行為極大的危害了公眾健康,進(jìn)一步惡化了我國的抗生素濫用問題���,但該企業(yè)僅僅被環(huán)保部門處罰了5萬元����,基本未能起到懲戒作用。在以經(jīng)濟(jì)建設(shè)為綱的時(shí)代�,企業(yè)環(huán)境信息披露及相關(guān)處罰受到忽視,但在完善國家治理體系��,建設(shè)可持續(xù)發(fā)展社會(huì)的今天��,借鑒國外發(fā)達(dá)國家的企業(yè)環(huán)境信息披露及處罰措施�����,完善訴訟體制����,進(jìn)一步發(fā)揮包括政府部門和非政府組織在內(nèi)的監(jiān)督作用����,大幅強(qiáng)化處罰和懲戒力度是完善企業(yè)環(huán)境信息披露的必然路徑選擇。
2�����、在完善中國企業(yè)的環(huán)境技術(shù)標(biāo)準(zhǔn)基礎(chǔ)上,建立數(shù)據(jù)集成和共享機(jī)制
環(huán)境保護(hù)部門應(yīng)會(huì)同有關(guān)部門����,參照西方發(fā)達(dá)國家和國際組織的環(huán)境技術(shù)標(biāo)準(zhǔn),開發(fā)統(tǒng)一規(guī)范的環(huán)境信息技術(shù)標(biāo)準(zhǔn)和規(guī)范����,對(duì)環(huán)境信息質(zhì)量標(biāo)準(zhǔn)、監(jiān)管環(huán)境信息要素及其識(shí)別與測(cè)量��、環(huán)境信息呈現(xiàn)�����、標(biāo)準(zhǔn)定量分析技術(shù)的所需資源和污染的度量進(jìn)行規(guī)范���。制定大氣���、水、土壤�、污染源、噪聲等統(tǒng)一的監(jiān)測(cè)標(biāo)準(zhǔn)�,同時(shí)建設(shè)全國統(tǒng)一的環(huán)境監(jiān)測(cè)信息數(shù)據(jù)平臺(tái),由環(huán)境保護(hù)部門根據(jù)環(huán)境保護(hù)法規(guī)定環(huán)境質(zhì)量和其他企業(yè)環(huán)境信息����,以滿足公眾的環(huán)境權(quán)益����。
3���、進(jìn)一步建立和完善企業(yè)環(huán)境信息披露的數(shù)據(jù)分析系統(tǒng)
中國已建立了超過兩千個(gè)環(huán)境監(jiān)測(cè)站����,監(jiān)測(cè)人員近6萬人����。我國所有省級(jí)監(jiān)測(cè)站都配備了高水平的水質(zhì)分析設(shè)備能力,所有城市監(jiān)測(cè)站均具備進(jìn)行空氣�、水、噪音等環(huán)境質(zhì)量的監(jiān)測(cè)能力����。但環(huán)境監(jiān)測(cè)的信息感知系統(tǒng)和數(shù)據(jù)集成分析系統(tǒng)仍有待建設(shè),才能充分發(fā)揮大數(shù)據(jù)的作用�����,有針對(duì)性的進(jìn)一步完善我國的企業(yè)環(huán)境信息披露工作:首先�,通過網(wǎng)絡(luò)化、智能化���、云計(jì)算等技術(shù)����,構(gòu)建環(huán)境監(jiān)測(cè)信息感知系統(tǒng)��,以實(shí)現(xiàn)各類監(jiān)控設(shè)備的信息融合和共享�����,更有利于對(duì)未履行披露環(huán)境信息責(zé)任企業(yè)的精確懲戒;其次�,環(huán)保部門應(yīng)充分利用數(shù)據(jù)挖掘技術(shù),開發(fā)有利于環(huán)境保護(hù)的環(huán)境質(zhì)量分析產(chǎn)品��,通過推動(dòng)環(huán)保服務(wù)工作�����,使社會(huì)公眾和環(huán)保組織等非盈利組織更方便的獲取環(huán)境信息��,了解環(huán)境動(dòng)態(tài)�、趨勢(shì)和風(fēng)險(xiǎn),從而更有利于發(fā)動(dòng)社會(huì)力量,進(jìn)一步推進(jìn)企業(yè)履行其環(huán)境信息披露義務(wù)��。
【參考文獻(xiàn)】
[1] 趙萱.企業(yè)環(huán)境責(zé)任信息披露制度績效及其影響因素實(shí)證研究[D].西南大學(xué)2015年博士論文.
[2] 李丹丹.加強(qiáng)引導(dǎo)上市公司環(huán)境責(zé)任信息披露[N].上海證券報(bào)����,2015-08-01.
[3] 李軍,童克難.改革創(chuàng)新是環(huán)保事業(yè)發(fā)展的不竭動(dòng)力[N].中國環(huán)境報(bào)���,2015-06-22.
第4篇
[關(guān)鍵詞] 審計(jì)費(fèi)用 影響因素 實(shí)證研究
一、審計(jì)費(fèi)用影響因素實(shí)證研究模型
國外從二十世紀(jì)八十年代初就開始了關(guān)于審計(jì)收費(fèi)的實(shí)證研究��。Simuni最早對(duì)美國審計(jì)收費(fèi)的影響因素進(jìn)行研究,提出了多元回歸模型,認(rèn)為審計(jì)收費(fèi)受風(fēng)險(xiǎn)狀況�����、損失的分擔(dān)機(jī)制、會(huì)計(jì)師事務(wù)所的生產(chǎn)函數(shù)和會(huì)計(jì)師事務(wù)所的規(guī)模等因素影響�����。在我國雖然不同研究人員建立的模型都不相同,但這些模型都是在Simunic的研究模型基本上的增加或刪除一些變量而建立起來的���。
二��、影響審計(jì)費(fèi)用的因素及分析結(jié)果
1.影響審計(jì)費(fèi)用的因素
(1)審計(jì)客戶的規(guī)模���。上市公司的規(guī)模越大,其所涉及的經(jīng)濟(jì)業(yè)務(wù)范圍就越廣��,會(huì)計(jì)事項(xiàng)就越多���,其固有風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)也可能越高��,在審計(jì)時(shí)注冊(cè)會(huì)計(jì)師也會(huì)增加審計(jì)事項(xiàng)�����,擴(kuò)大審計(jì)測(cè)試范圍�,增加審計(jì)時(shí)間�,以便控制可能承受的訴訟風(fēng)險(xiǎn)���。
(2)審計(jì)業(yè)務(wù)的復(fù)雜程度��。①子公司數(shù)代表上市公司經(jīng)營的復(fù)雜性����。子公司越多,審計(jì)師在進(jìn)行審計(jì)時(shí)為出具審計(jì)意見所要搜集的證據(jù)也會(huì)越多�。②應(yīng)收賬款和存貨是重要的流動(dòng)資產(chǎn)�����,上市公司常用它們來進(jìn)行盈余管理��。對(duì)于審計(jì)師而言�����,應(yīng)收賬款和存貨的審計(jì)相對(duì)于其他資產(chǎn)而言審計(jì)方法要復(fù)雜得多�,一般要采用函證或盤點(diǎn)的審計(jì)方法,需要耗用較多的工作量����,面臨較大的檢查風(fēng)險(xiǎn)��。應(yīng)收賬款和存貨的比重越高�,審計(jì)時(shí)所要付出的審計(jì)成本也就越大。
(3)審計(jì)風(fēng)險(xiǎn)。審計(jì)風(fēng)險(xiǎn)是指審計(jì)人員審計(jì)后發(fā)表不恰當(dāng)審計(jì)意見的可能性�����。高審計(jì)風(fēng)險(xiǎn)將會(huì)直接導(dǎo)致會(huì)計(jì)師事務(wù)所支付高額訴訟費(fèi)用巨額賠償,并會(huì)使其商譽(yù)遭受嚴(yán)重?fù)p失���。所以,審計(jì)風(fēng)險(xiǎn)是注冊(cè)會(huì)計(jì)師進(jìn)行審計(jì)收費(fèi)決策時(shí)的重要考慮因素��。研究主要使用描述經(jīng)營風(fēng)險(xiǎn)的指標(biāo)來衡量審計(jì)風(fēng)險(xiǎn)����,包括近幾年是否虧損�、審計(jì)意見類型�、總資產(chǎn)收益率、流動(dòng)比率���、速動(dòng)比率、資產(chǎn)負(fù)債率等。
(4)事務(wù)所特征�����。主要包括事務(wù)所規(guī)模����,事務(wù)所組織形式�,是否提供非審計(jì)服務(wù)及審計(jì)任期���。會(huì)計(jì)師事務(wù)所級(jí)差理論把不同事務(wù)所提供的服務(wù)視為存在級(jí)差的產(chǎn)品��。會(huì)計(jì)師事務(wù)所聲譽(yù)���、行業(yè)專長或特殊技術(shù)����、地域分布、對(duì)客戶需求的回應(yīng)質(zhì)量以及提供非審計(jì)服務(wù)的能力都是產(chǎn)生級(jí)差的因素����。一般認(rèn)為事務(wù)所規(guī)模代表了審計(jì)質(zhì)量����、獨(dú)立性和聲譽(yù)��,并可在一定程度上衡量了事務(wù)所級(jí)差。事務(wù)所規(guī)模越大�,其所提供的審計(jì)服務(wù)的質(zhì)量越好�,級(jí)差也就越高���,相應(yīng)地審計(jì)收費(fèi)也越高��。同一審計(jì)師在向委托客戶同時(shí)提供審計(jì)和非審計(jì)服務(wù)時(shí),從每一服務(wù)所獲得的知識(shí)可以向另一服務(wù)“溢出”���,從而節(jié)省審計(jì)成本或非審計(jì)服務(wù)成本�,提高審計(jì)和非審計(jì)服務(wù)效率��,“知識(shí)溢出”所帶來的好處轉(zhuǎn)移給委托客戶��,委托客戶也愿意因此支付較高的審計(jì)費(fèi)用�。對(duì)不同時(shí)提供非審計(jì)和審計(jì)服務(wù)的會(huì)計(jì)公司而言,不可能有“知識(shí)溢出”����。因此�����,大多數(shù)學(xué)者認(rèn)為非審計(jì)服務(wù)對(duì)審計(jì)收費(fèi)會(huì)產(chǎn)生影響�。
(5)公司性質(zhì)��。主要包括獨(dú)立董事人數(shù)��,國有股比例���,公司所屬行業(yè),所處地域����。上市公司支付給會(huì)計(jì)師事務(wù)所的審計(jì)收費(fèi)��,一般是由上市公司財(cái)務(wù)部門與會(huì)計(jì)師事務(wù)所協(xié)商一致,再報(bào)由公司董事會(huì)或股東大會(huì)批準(zhǔn)�。上市公司的獨(dú)立董事人數(shù)越多��,獨(dú)立董事在董事會(huì)中就越有發(fā)言權(quán)��。為了切實(shí)肩負(fù)起監(jiān)督與指導(dǎo)上市公司的職責(zé)�����,同時(shí)減輕自身責(zé)任,在上市公司與會(huì)計(jì)師事務(wù)所簽訂業(yè)務(wù)約定書時(shí)����,獨(dú)立董事就會(huì)要求會(huì)計(jì)師事務(wù)所提供高質(zhì)量的審計(jì)服務(wù)�,以盡量避免上市公司向股東提供經(jīng)過粉飾的財(cái)務(wù)報(bào)表���,從而年報(bào)審計(jì)收費(fèi)也提高。國家股比例越高內(nèi)部人控制越嚴(yán)重����,作為內(nèi)部控制人的管理層在審計(jì)費(fèi)用的談判過程中所具有的談判能力也就越強(qiáng),在激烈競爭的審計(jì)市場(chǎng)環(huán)境下����,他們會(huì)盡量降低審計(jì)費(fèi)用�,減少在獨(dú)立審計(jì)上的花費(fèi)��。不同行業(yè)的經(jīng)營環(huán)境���、業(yè)務(wù)屬性等各不相同�����,對(duì)于審計(jì)數(shù)量和質(zhì)量的需求應(yīng)該也有差別,事務(wù)所審計(jì)定價(jià)的策略會(huì)根據(jù)行業(yè)的不同而有所側(cè)重���。由于我國各地經(jīng)濟(jì)發(fā)展的不平衡�,特別是東西部地區(qū)存在著較大的差距�����,各地在制定審計(jì)收費(fèi)的標(biāo)準(zhǔn)上也必然會(huì)考慮到當(dāng)?shù)氐慕?jīng)濟(jì)水平。為此���,地域因素作為也是影響審計(jì)收費(fèi)的因素之一����。
2.審計(jì)費(fèi)用影響因素分析結(jié)果
在筆者所查閱的論文中����,關(guān)于審計(jì)費(fèi)用與公司規(guī)模關(guān)系和會(huì)計(jì)業(yè)務(wù)復(fù)雜程度的結(jié)論基本一致,即審計(jì)費(fèi)用與公司自身的規(guī)模和業(yè)務(wù)復(fù)雜程度相關(guān)。然而,對(duì)于審計(jì)費(fèi)用與其他因素的關(guān)系,不同的研究得出了不同的結(jié)論。對(duì)于審計(jì)費(fèi)用與審計(jì)風(fēng)險(xiǎn)因素的關(guān)系����,劉斌���、葉建中��、廖瑩毅(2003),王善平、李斌(2004),夏孟余(2005)等發(fā)現(xiàn)風(fēng)險(xiǎn)對(duì)審計(jì)費(fèi)用沒有明顯的影響,從而說明審計(jì)費(fèi)用基本不能反映審計(jì)的潛在成本���,而張繼勛����、陳穎、吳璇(2005)卻發(fā)現(xiàn)審計(jì)費(fèi)用與審計(jì)風(fēng)險(xiǎn)相關(guān)�����。對(duì)于事務(wù)所特征同審計(jì)費(fèi)用的關(guān)系,研究者得出的結(jié)論也不相同�。如王善平�����、李斌(2004)發(fā)現(xiàn)上市公司所聘用的事務(wù)所的規(guī)模與審計(jì)費(fèi)用呈顯著正相關(guān)關(guān)系,“四大”的審計(jì)收費(fèi)顯著高于本土事務(wù)所,并將其原因解釋為是我國審計(jì)市場(chǎng)具有對(duì)高品牌事務(wù)所的內(nèi)在需求,上市公司尤其是大規(guī)模且業(yè)績好有良好發(fā)展前景的公司,更愿意聘請(qǐng)高品牌事務(wù)所并愿意支付更高的審計(jì)費(fèi)用。但是,耿建新����、房巧玲(2006)進(jìn)行的研究卻發(fā)現(xiàn)四大會(huì)計(jì)師務(wù)所收取的審計(jì)費(fèi)用并未顯著高于我國本土?xí)?jì)師事務(wù)所�����。公司性質(zhì)同審計(jì)費(fèi)用的關(guān)系中,劉峰等人認(rèn)為獨(dú)立董事人數(shù)與年度審計(jì)費(fèi)用顯著正相關(guān),而上市公司注冊(cè)地是否位于經(jīng)濟(jì)發(fā)達(dá)地區(qū)對(duì)年度審計(jì)費(fèi)用的影響并不顯著���。張小會(huì)����、王培蘭對(duì)2005年滬深兩市A股上市公司的研究卻說明上市公司所在地顯著的影響了審計(jì)費(fèi)用��。上市公司的行業(yè)同審計(jì)費(fèi)用的關(guān)系���,朱����,章立軍通過比較和檢驗(yàn)處于不同行業(yè)上市公司審計(jì)費(fèi)用差異�,分析審計(jì)師是否在審計(jì)收費(fèi)中考慮不同行業(yè)風(fēng)險(xiǎn),得出上市公司行業(yè)分布對(duì)審計(jì)費(fèi)用具有顯著影響����。
三���、審計(jì)費(fèi)用影響因素實(shí)證研究現(xiàn)狀評(píng)價(jià)
首先,上市公司關(guān)于審計(jì)收費(fèi)信息的披露還不規(guī)范�����。上市公司在其年報(bào)中對(duì)審計(jì)費(fèi)用的披露質(zhì)量不高,披露的方式千差萬別,使得實(shí)證研究所依靠的數(shù)據(jù)無法滿足研究者對(duì)其的質(zhì)量要求,這是造成不同的論文得出的結(jié)論不一致的一個(gè)重要原因�����。其次��,國外審計(jì)定價(jià)實(shí)證研究所選擇的樣本量一般都比較大,如Krishnagopal& David (2001)選擇了1980年至1997年美國樣本公司審計(jì)費(fèi)用進(jìn)行研究,而國內(nèi)的研究,在樣本量的選擇上主要是采用一年的樣本數(shù)據(jù)進(jìn)行分析����,在以后的研究中應(yīng)收集自2001年以來上市公司年報(bào)中公布的審計(jì)費(fèi)用,幾年的數(shù)據(jù),這樣的分析結(jié)果更具有穩(wěn)定性; 再次,在影響因素中����,絕大多數(shù)的模型都研究的是市場(chǎng)因素而對(duì)于國家政策是否對(duì)審計(jì)費(fèi)用產(chǎn)生影響�����,研究的卻很少���。因此在今后的研究中可以考慮國家政策對(duì)審計(jì)費(fèi)用的影響�。最后,我國的企業(yè)大多數(shù)屬于國有控股而且股權(quán)集中,因此和國外相比對(duì)所有權(quán)結(jié)構(gòu)�、公司治理同審計(jì)費(fèi)用的關(guān)系���,國內(nèi)的研究還較少�����。另外非審計(jì)服務(wù)對(duì)于審計(jì)業(yè)務(wù)的影響����,非審計(jì)服務(wù)主要指的是管理咨詢服務(wù),隨著現(xiàn)代企業(yè)對(duì)管理咨詢服務(wù)需求的增加����,事務(wù)所的非審計(jì)服務(wù)收入所占的比重越來越大�,這些非審計(jì)服務(wù)對(duì)于審計(jì)費(fèi)用的影響,有待于日后的進(jìn)一步深入研究。
參考文獻(xiàn):
[1]韓厚軍 周生春:中國證券市場(chǎng)會(huì)計(jì)師報(bào)酬研究――上市公司實(shí)證數(shù)據(jù)分析[J].管理世界,2003(2)
[2]劉 斌 葉建中 廖瑩毅:我國上市公司審計(jì)收費(fèi)影響因素的實(shí)證研究――深滬市2001年報(bào)的經(jīng)驗(yàn)證據(jù)[J].審計(jì)研究,2003(1), 44~47
第5篇
一����、引言
隨著央行業(yè)務(wù)信息化的發(fā)展�����,數(shù)據(jù)信息系統(tǒng)成為內(nèi)審部門新的必須開展的審計(jì)內(nèi)容����。國外許多中央銀行的內(nèi)審部門非常重視利用信息技術(shù)開展內(nèi)部審計(jì)����,并且取得了較大進(jìn)展�����。他們擁有一批熟悉COBIT�����、SAC等國際上通行的信息技術(shù)管理和控制標(biāo)準(zhǔn)����、具有豐富專業(yè)經(jīng)驗(yàn)的信息技術(shù)審計(jì)人員����,對(duì)信息系統(tǒng)審計(jì)已有十余年歷史�����。我國審計(jì)機(jī)關(guān)利用計(jì)算機(jī)進(jìn)行審計(jì)探索始于20世紀(jì)90年代初,探索開發(fā)了一系列審計(jì)軟件�。2001年�,國家審計(jì)署提出了《信息化建設(shè)總體目標(biāo)和構(gòu)想》��,即“金審工程”,極大地推動(dòng)了審計(jì)技術(shù)的發(fā)展。我國中央銀行利用信息技術(shù)對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行審計(jì)起步較晚�����,與業(yè)務(wù)系統(tǒng)電子化發(fā)展相比,審計(jì)信息技術(shù)的發(fā)展很不匹配,存在明顯滯后。盡管人行總行為推動(dòng)審計(jì)技術(shù)信息化制訂了一系列制度��,如《中國人民銀行計(jì)算機(jī)信息系統(tǒng)內(nèi)審監(jiān)督檢查工作暫行規(guī)定》、《關(guān)于加強(qiáng)計(jì)算機(jī)信息系統(tǒng)內(nèi)部審計(jì)的指導(dǎo)意見》�、《計(jì)算機(jī)信息系統(tǒng)內(nèi)部審計(jì)規(guī)程》���,但從實(shí)際運(yùn)用來看���,內(nèi)審部門的信息技術(shù)手段仍很落后�。特別是基層央行,對(duì)業(yè)務(wù)系統(tǒng)的審計(jì)仍以手工為主,檢查的重點(diǎn)停留在制度執(zhí)行層面��,風(fēng)險(xiǎn)洞察水平不高,嚴(yán)重影響了審計(jì)質(zhì)量����?����;谶@一認(rèn)識(shí)���,本文立足基層央行業(yè)務(wù)系統(tǒng)運(yùn)行狀況��,對(duì)利用信息技術(shù)開展系統(tǒng)運(yùn)行審計(jì)的緊迫性、面臨的主要困難與問題作一剖析,試圖找到一些有利于基層央行利用信息技術(shù)開展系統(tǒng)審計(jì)的方法與途徑。
二、信息技術(shù)在內(nèi)審領(lǐng)域運(yùn)用的緊迫性
國外央行審計(jì)技術(shù)信息化的實(shí)踐和我國央行業(yè)務(wù)領(lǐng)域信息化的現(xiàn)實(shí),催生了內(nèi)審信息技術(shù)建設(shè)必要性這一共識(shí)����,在共同認(rèn)知下���,迫切需要采取措施加快審計(jì)技術(shù)信息化的發(fā)展步伐����,這種緊迫性至少表現(xiàn)在以下幾方面:
1��、適用業(yè)務(wù)信息化發(fā)展的需要���。近幾年來�,基層央行業(yè)務(wù)信息化建設(shè)已經(jīng)躍上了一個(gè)新臺(tái)階,央行主持開發(fā)的計(jì)算機(jī)信息系統(tǒng)基本涵蓋了貨幣政策、宏觀調(diào)控���、金融穩(wěn)定�����、金融服務(wù)各個(gè)領(lǐng)域�����,逐步形成了高效����、規(guī)范的信息化服務(wù)體系。信息系統(tǒng)的廣泛運(yùn)用在提高央行管理水平的同時(shí)���,也潛在著較大的安全和技術(shù)風(fēng)險(xiǎn)。基層央行業(yè)務(wù)系統(tǒng)操作員和管理員對(duì)系統(tǒng)運(yùn)行的先進(jìn)性與安全性的認(rèn)識(shí)��,由于長期的接觸�����,難免有“不識(shí)廬山真面目��,只緣身在此山中”的感覺�。全面了解系統(tǒng)的運(yùn)行狀況、進(jìn)一步改進(jìn)系統(tǒng)運(yùn)行質(zhì)量,迫切需要審計(jì)信息技術(shù)這個(gè)通道����,起到“橫看成嶺側(cè)成峰”的作用���。
2��、提高內(nèi)部控制水平的需要��?���!吨袊嗣胥y行分支機(jī)構(gòu)內(nèi)部控制指引》指出����,內(nèi)部控制包括內(nèi)部控制環(huán)境、風(fēng)險(xiǎn)評(píng)估��、內(nèi)部控制活動(dòng)����、內(nèi)部控制的信息及其溝通����、對(duì)內(nèi)部控制的監(jiān)控五個(gè)要素。面對(duì)央行業(yè)務(wù)系統(tǒng)信息化的發(fā)展�,如果沒有內(nèi)審技術(shù)手段信息化的快速跟進(jìn)并與之匹配,以落后的內(nèi)審手段碰撞先進(jìn)的業(yè)務(wù)系統(tǒng),就無法對(duì)業(yè)務(wù)系統(tǒng)運(yùn)行的可靠性��、保密性、連續(xù)性����、完整性、風(fēng)險(xiǎn)性作出準(zhǔn)確的評(píng)估�,內(nèi)審部門“對(duì)內(nèi)部控制的監(jiān)控”作用無法有效發(fā)揮。
3�、提升內(nèi)審項(xiàng)目質(zhì)量的需要。傳統(tǒng)的手工審計(jì),常常要面對(duì)雜亂無章的數(shù)據(jù)��,進(jìn)行大量乏味的計(jì)算工作。將信息技術(shù)運(yùn)用于內(nèi)審工作,不僅可以幫助內(nèi)審人員解決這一問題���,還可設(shè)定針對(duì)性的模塊開展審計(jì),擴(kuò)大審計(jì)范圍�;可以規(guī)范審計(jì)業(yè)務(wù)管理�����,如“中國人民銀行內(nèi)審業(yè)務(wù)管理系統(tǒng)”�,有內(nèi)審項(xiàng)目管理�����、內(nèi)審職責(zé)管理、輔助計(jì)算等功能,極大地規(guī)范了審計(jì)操作�����。再如武漢分行推出的“內(nèi)控評(píng)審系統(tǒng)”���,可以對(duì)分支機(jī)構(gòu)的內(nèi)控建設(shè)水平作出綜合評(píng)價(jià)�,促進(jìn)了基層央行內(nèi)控建設(shè)�����;可以迫使內(nèi)審人員加強(qiáng)對(duì)計(jì)算機(jī)知識(shí)的學(xué)習(xí),主動(dòng)熟悉業(yè)務(wù)部門應(yīng)用系統(tǒng)的操作流程���。同時(shí),可以通過計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)��,建立內(nèi)審業(yè)務(wù)后續(xù)教育平臺(tái)�����,開展遠(yuǎn)程培訓(xùn)���,使內(nèi)審人員盡快跟上信息化發(fā)展的步伐。
4���、創(chuàng)新內(nèi)審手段的需要���。信息技術(shù)在內(nèi)審領(lǐng)域的運(yùn)用��,可以為創(chuàng)新內(nèi)審方式打造直接平臺(tái)���。審計(jì)人員利用計(jì)算機(jī)�����,借助有效軟件開展內(nèi)審工作���,實(shí)現(xiàn)由手工方式向電子方式轉(zhuǎn)變��;利用接口程序直接從業(yè)務(wù)系統(tǒng)采集數(shù)據(jù),進(jìn)行分析整理�����,實(shí)現(xiàn)適時(shí)審計(jì)��;借助網(wǎng)絡(luò)�,遠(yuǎn)程訪問被審計(jì)單位的系統(tǒng)數(shù)據(jù)����,實(shí)現(xiàn)遠(yuǎn)程審計(jì)��。通過審計(jì)信息化����,能夠?qū)崿F(xiàn)內(nèi)審監(jiān)督從單一性的事后審計(jì)向事前、事中�����、事后相結(jié)合轉(zhuǎn)變,從單一的靜態(tài)審計(jì)向動(dòng)態(tài)與靜態(tài)相結(jié)合轉(zhuǎn)變,克服傳統(tǒng)的事后審計(jì)帶來的不能及時(shí)發(fā)現(xiàn)問題���、防范于未然的缺陷��。
三���、央行業(yè)務(wù)系統(tǒng)審計(jì)面臨的現(xiàn)狀與困境
隨著基層中央銀行電子化運(yùn)用的廣泛深入���,內(nèi)部審計(jì)環(huán)境也發(fā)生了深刻的變化,內(nèi)控機(jī)制的改變�����、審計(jì)線索的隱蔽�、審計(jì)手段的滯后��、審計(jì)風(fēng)險(xiǎn)的凸現(xiàn)等帶來的困境與壓力�����,無時(shí)無刻不在挑戰(zhàn)著內(nèi)審人員的智慧與勇氣�����。
1��、業(yè)務(wù)系統(tǒng)可審性差�����。隨著央行內(nèi)審功能定位的清晰,內(nèi)審工作的審計(jì)領(lǐng)域逐步拓寬��,審計(jì)內(nèi)容也日漸豐富����,但對(duì)業(yè)務(wù)系統(tǒng)領(lǐng)域的審計(jì)�,卻始終是“霧里看花”�,成為“審計(jì)壁壘”��。目前���,所有業(yè)務(wù)系統(tǒng)幾乎都沒有預(yù)置審計(jì)接口與審計(jì)用戶����,連簡單的數(shù)據(jù)查詢都需要通過被審計(jì)對(duì)象才能進(jìn)行,同時(shí)由于信息量大��,再加上內(nèi)審部門缺乏相應(yīng)的技術(shù)審計(jì)手段與審計(jì)力量,用有限人工的方法查找海量電子化信息����,效率太低�����,要想篩選出有價(jià)值的線索無異于“大海撈針”;因沒有設(shè)置系統(tǒng)“黑匣子”,沒有設(shè)置監(jiān)控點(diǎn)�,最大限度保留、記錄審計(jì)線索,各項(xiàng)違規(guī)操作���、異常操作無從查找���。
2、計(jì)算機(jī)輔助審計(jì)運(yùn)用不廣。由于應(yīng)用系統(tǒng)開發(fā)各自為陣���,各個(gè)系統(tǒng)由不同的開發(fā)單位開發(fā),所采用的開發(fā)���、應(yīng)用平臺(tái)不同、開發(fā)語言不同�����,數(shù)據(jù)庫不同���,沒有一個(gè)統(tǒng)一的標(biāo)準(zhǔn)的數(shù)據(jù)化接口��,加上內(nèi)審部門沒有專用的通用審計(jì)軟件,使業(yè)務(wù)系統(tǒng)數(shù)據(jù)采集��、轉(zhuǎn)換���、分析困難����,另外��,數(shù)據(jù)采集還涉及到數(shù)據(jù)導(dǎo)出后的保密問題����,也成了數(shù)據(jù)采集困難的因素之一����。加之內(nèi)審部門計(jì)算機(jī)配備不足��,能熟練掌握計(jì)算機(jī)專業(yè)知識(shí)及業(yè)務(wù)知識(shí)的人員偏少����,計(jì)算機(jī)輔助審計(jì)僅停留在WORD、EXCEL文字處理和電子表格處理層面��,更深層次的數(shù)據(jù)篩選���、數(shù)據(jù)分析、函數(shù)計(jì)算�����、數(shù)據(jù)統(tǒng)計(jì)和圖形分析應(yīng)用不多���。3、審計(jì)服務(wù)平臺(tái)搭建不力����。目前��,央行內(nèi)審業(yè)務(wù)尚未搭建起支持信息化審計(jì)的高效的服務(wù)平臺(tái)�����,嚴(yán)重滯后于信息化審計(jì)工作的發(fā)展��,成為難以突破的“瓶頸”。主要表現(xiàn)為:一是審計(jì)依據(jù)的非電子化,給依據(jù)的查找���、問題的定性帶來極大的不便���,許多審計(jì)人員反映�����,在依據(jù)查找���、問題定性方面投入的工作量占整個(gè)工作量的近三分之一�����。二是審計(jì)依據(jù)攜帶不便��,查找不便���。目前大部分內(nèi)審人員仍然使用紙質(zhì)依據(jù)����,有些則是上網(wǎng)搜索�����,這樣所得的審計(jì)依據(jù)難以保證其權(quán)威性、全面性��、有效性�����,容易造成審計(jì)風(fēng)險(xiǎn)�。三是審計(jì)成果難以利用�����,沒有審計(jì)結(jié)果電子檔案���,審計(jì)部門難以及時(shí)了解、全面掌握審計(jì)對(duì)象的基本情況及其動(dòng)態(tài)����。四是審計(jì)分析難以深入,不便掌握內(nèi)控運(yùn)行趨勢(shì)和找出內(nèi)控薄弱環(huán)節(jié)軌跡����。五是經(jīng)驗(yàn)交流不實(shí)時(shí)���,在審計(jì)實(shí)施中容易走彎路��、重復(fù)審計(jì)���,增加審計(jì)成本��。
4�、軟件開發(fā)應(yīng)用介入缺位?���!吨袊嗣胥y行關(guān)于加強(qiáng)計(jì)算機(jī)信息系統(tǒng)內(nèi)部審計(jì)工作的指導(dǎo)意見》規(guī)定科技部門和系統(tǒng)應(yīng)用部門,在組織系統(tǒng)開發(fā)時(shí)應(yīng)當(dāng)將有關(guān)情況通報(bào)內(nèi)審部門,應(yīng)當(dāng)充分考慮設(shè)置和保留必要的審計(jì)線索�����,重要的系統(tǒng),應(yīng)當(dāng)設(shè)立必要的審計(jì)接口��。《中國人民銀行分支機(jī)構(gòu)內(nèi)部控制指引》也作了相似的規(guī)定���。但在實(shí)際中卻很難得到有效執(zhí)行�。一是程序設(shè)計(jì)、開發(fā)��、測(cè)試階段審計(jì)部門參予不夠��。在電算化環(huán)境下,計(jì)算機(jī)系統(tǒng)處理成了業(yè)務(wù)處理的一個(gè)重要環(huán)節(jié)����,而在目前的審計(jì)實(shí)踐中,對(duì)業(yè)務(wù)系統(tǒng)的審計(jì)卻往往繞過計(jì)算機(jī)審計(jì)����,未能實(shí)現(xiàn)穿過計(jì)算機(jī)審計(jì),僅對(duì)業(yè)務(wù)系統(tǒng)的運(yùn)行環(huán)境�����、操作員控制���、制度建設(shè)與管理等方面進(jìn)行審計(jì)��,對(duì)業(yè)務(wù)系統(tǒng)自身的可靠性��、可行性審計(jì)這一關(guān)鍵環(huán)節(jié)卻無能為力���;二是業(yè)務(wù)系統(tǒng)培訓(xùn)�、運(yùn)用��,審計(jì)人員缺少參與���。各個(gè)業(yè)務(wù)系統(tǒng)在培訓(xùn)推廣時(shí)����,內(nèi)審人員很少有機(jī)會(huì)參加��,相應(yīng)的制度及培訓(xùn)資料也難以獲取�。
5、審計(jì)風(fēng)險(xiǎn)規(guī)避更難。手工環(huán)境下�����,各項(xiàng)數(shù)據(jù)的勾對(duì)平衡、各個(gè)科目的對(duì)轉(zhuǎn)使用����,都有原始的憑證��、帳簿�����、報(bào)表����,有據(jù)可查,容易“順藤摸瓜”�����,審計(jì)出來的結(jié)果較為可靠�。但在電算化環(huán)境下����,各項(xiàng)業(yè)務(wù)的上機(jī)運(yùn)行���,數(shù)據(jù)的集中存放,憑證的上收���,審計(jì)線索大為減少���;紙質(zhì)數(shù)據(jù)的電磁化及其容易篡改的特性以及程序的“黑箱”處理,中斷了追索途徑;技防的薄弱如身份識(shí)別技術(shù)大部分采用登錄口令的形式��,UNIX系統(tǒng)未安裝防病毒���、防入侵軟件等��,極有可能導(dǎo)致黑客的入侵�����、病毒的感染��,從而導(dǎo)致程序被修改����、數(shù)據(jù)被竊甚至丟失的風(fēng)險(xiǎn)�,極大增加了審計(jì)風(fēng)險(xiǎn)的規(guī)避難度。
四���、央行業(yè)務(wù)系統(tǒng)信息化審計(jì)方法與途徑探討
面對(duì)業(yè)務(wù)系統(tǒng)審計(jì)中的種種困難���,只有把審計(jì)信息化作為傳統(tǒng)審計(jì)向現(xiàn)代審計(jì)轉(zhuǎn)型的突破口來抓���,在更大范圍內(nèi)和更深層次上推進(jìn)計(jì)算機(jī)審計(jì)的應(yīng)用,才能及時(shí)發(fā)現(xiàn)不足和解決問題��,杜絕因業(yè)務(wù)信息化所帶來的風(fēng)險(xiǎn)��。
1�����、深化輔助審計(jì)軟件的有效應(yīng)用
輔助審計(jì)軟件包括Word、Excel�����、數(shù)據(jù)庫分析管理(通常使用常用的Access數(shù)據(jù)庫)��、圖形分析程序、通用審計(jì)軟件(GAS)等。在內(nèi)部審計(jì)實(shí)施過程中��,計(jì)算機(jī)不能僅作為文字處理工具����,而要進(jìn)一步深化輔助審計(jì)軟件的有效應(yīng)用�����。
在文字處理、電子表格、數(shù)據(jù)庫分析管理和圖形分析四個(gè)方面��,可建立符合基層央行業(yè)務(wù)特點(diǎn)的審計(jì)數(shù)學(xué)模型���,用數(shù)學(xué)模型進(jìn)行數(shù)據(jù)提取����、數(shù)據(jù)篩選�����、數(shù)據(jù)分析����、函數(shù)計(jì)算、數(shù)據(jù)統(tǒng)計(jì)和圖形分析�;可建立方便快捷的審計(jì)依據(jù)文檔庫�,通過系統(tǒng)自帶的搜索引擎進(jìn)行資料模糊查詢��,以便快速對(duì)審計(jì)定性提供依據(jù)��;可建立審計(jì)實(shí)施各階段的文檔模板,使各階段文檔共性部分減少手工編制�。
探索開發(fā)中央銀行通用審計(jì)軟件(PBC-GAS)。借助通用審計(jì)軟件中相應(yīng)的數(shù)據(jù)接口模塊在不同的業(yè)務(wù)系統(tǒng)中采集數(shù)據(jù)��,用轉(zhuǎn)換工具����,把取得的數(shù)據(jù)進(jìn)行轉(zhuǎn)換,從而有效地轉(zhuǎn)換到審計(jì)軟件中���,形成統(tǒng)一的數(shù)據(jù)格式���,以便進(jìn)一步審計(jì)分析。
2��、建立業(yè)務(wù)系統(tǒng)的嵌入式審計(jì)窗口(EAM)
《中國人民銀行分支機(jī)構(gòu)內(nèi)部控制指引》中明確要求“系統(tǒng)開發(fā)時(shí)應(yīng)考慮監(jiān)督檢查的需要,必要時(shí)應(yīng)預(yù)留有關(guān)審計(jì)接口”��。為此,筆者建議:一是對(duì)現(xiàn)有的業(yè)務(wù)系統(tǒng)進(jìn)行補(bǔ)丁�,建立起由內(nèi)部審計(jì)人員登錄并提供由系統(tǒng)本身自動(dòng)產(chǎn)生有操作風(fēng)險(xiǎn)或較嚴(yán)重誤操作的記錄的嵌入式審計(jì)窗口,從而增加對(duì)審計(jì)對(duì)象的介入深度和改進(jìn)審計(jì)方式;二是對(duì)今后開發(fā)的業(yè)務(wù)系統(tǒng)��,審計(jì)部門要提前介入,提供切合實(shí)際、有針對(duì)性的系統(tǒng)控制����、程序控制和風(fēng)險(xiǎn)點(diǎn)控制等方面的需求報(bào)告�����,供開發(fā)人員研究設(shè)計(jì)�����,未經(jīng)審計(jì)部門介入的業(yè)務(wù)系統(tǒng)軟件�����,不能擅自推廣應(yīng)用。
嵌入式審計(jì)窗口作為系統(tǒng)控制��、程序控制和風(fēng)險(xiǎn)點(diǎn)控制模塊,主要針對(duì)系統(tǒng)操作可能導(dǎo)致的風(fēng)險(xiǎn)進(jìn)行監(jiān)測(cè)和記錄。記錄內(nèi)容可包括金額�、資金流向、摘要���;時(shí)間�、操作員;保密資料的打印次數(shù)����;操作員密碼管理情況����;主管授權(quán)情況;非工作時(shí)間開機(jī)登錄情況���;操作員簽退情況��;數(shù)據(jù)備份與恢復(fù)控制情況等����。EAM的應(yīng)用,可成為業(yè)務(wù)系統(tǒng)自動(dòng)監(jiān)控的“黑匣子”,提高系統(tǒng)的可審性。同時(shí),內(nèi)審員通過網(wǎng)絡(luò)登錄可開展非現(xiàn)場(chǎng)審計(jì)�����,通過業(yè)務(wù)系統(tǒng)的動(dòng)態(tài)監(jiān)測(cè)可開展動(dòng)態(tài)審計(jì)�����,具有監(jiān)督頻率高、信息連續(xù)性強(qiáng)����、審計(jì)成本低、動(dòng)態(tài)反映及時(shí)等特點(diǎn)����。
3、推進(jìn)技防信息化建設(shè)
技防信息化在央行重要業(yè)務(wù)系統(tǒng)中的應(yīng)用目前僅限于對(duì)機(jī)房的監(jiān)控,直接對(duì)業(yè)務(wù)系統(tǒng)實(shí)施技防信息化還是空白��。技防信息化是通過計(jì)算機(jī)外接設(shè)備對(duì)操作員指紋����、掌紋����、聲音�����、人臉����、虹膜等進(jìn)行圖形��、聲音數(shù)據(jù)采集,由計(jì)算機(jī)進(jìn)行生物統(tǒng)計(jì)�,以進(jìn)行身份鑒別的計(jì)算機(jī)控制方法����。技防信息化可在中央銀行ABS、TBS等重要業(yè)務(wù)系統(tǒng)中應(yīng)用,如建立指紋識(shí)別系統(tǒng)(HSS)或臉像識(shí)別系統(tǒng)(FSS),并對(duì)應(yīng)用系統(tǒng)所在的機(jī)房進(jìn)行數(shù)字化動(dòng)態(tài)監(jiān)控����。從而為內(nèi)部審計(jì)提供必要的�、有力的證據(jù)��,尤其易對(duì)一些違規(guī)操作�����、非法登錄��、惡意破壞行為追蹤認(rèn)定�����,使責(zé)任追究落實(shí)到人�����。4��、加快建設(shè)信息化審計(jì)網(wǎng)絡(luò)服務(wù)平臺(tái)
信息化審計(jì)網(wǎng)絡(luò)服務(wù)平臺(tái)是為內(nèi)部審計(jì)工作提供全方位的服務(wù)網(wǎng)絡(luò)系統(tǒng)。網(wǎng)絡(luò)服務(wù)平臺(tái)可以包括:審計(jì)人才資源�����、審計(jì)對(duì)象與方法、審計(jì)依據(jù)法規(guī)�、風(fēng)險(xiǎn)點(diǎn)及控制���、審計(jì)成果轉(zhuǎn)化與應(yīng)用等����,形成一個(gè)多層面、多角度�、立體式的網(wǎng)絡(luò)服務(wù)平臺(tái)��。
網(wǎng)絡(luò)服務(wù)平臺(tái)要通過做好信息收集��、整理工作����,建立健全分層次的審計(jì)數(shù)據(jù)庫,包括財(cái)務(wù)管理、國庫資金管理�����、發(fā)行基金管理、人民幣賬戶管理�、外匯業(yè)務(wù)管理�����、金融統(tǒng)計(jì)業(yè)務(wù)管理�����、反洗錢管理、金融法律法規(guī)以及審計(jì)人力資源、審計(jì)工作中形成的審計(jì)結(jié)果和審計(jì)專家經(jīng)驗(yàn)��、風(fēng)險(xiǎn)點(diǎn)及控制等為審計(jì)服務(wù)的信息。依靠有效的內(nèi)聯(lián)網(wǎng)絡(luò)���,分層次地形成信息共享。
5�����、規(guī)避信息化審計(jì)風(fēng)險(xiǎn)
規(guī)避信息化審計(jì)風(fēng)險(xiǎn)是審計(jì)人員面臨的新課題����。信息化系統(tǒng)所固有的特性,使審計(jì)風(fēng)險(xiǎn)再所難免��。如何最大限度地降低審計(jì)風(fēng)險(xiǎn)���,只有靠審計(jì)人員敏銳的嗅覺�、實(shí)戰(zhàn)經(jīng)驗(yàn)和一定的計(jì)算機(jī)應(yīng)用系統(tǒng)分析水平����。在審計(jì)實(shí)戰(zhàn)中�����,一要運(yùn)用電子數(shù)據(jù)易快速分類��、排序���、統(tǒng)計(jì)的特性�����,對(duì)電子數(shù)據(jù)進(jìn)行關(guān)聯(lián)����、抽樣分析等�����,以發(fā)現(xiàn)審計(jì)線索�;二要檢查業(yè)務(wù)系統(tǒng)的操作員分工�����、權(quán)限設(shè)置是否合理�����、嚴(yán)密�����,職責(zé)是否明確,分析密碼管理機(jī)制是否安全����、有效�����,系統(tǒng)各個(gè)功能模塊設(shè)計(jì)是否符合央行內(nèi)控要求����;三要檢查業(yè)務(wù)系統(tǒng)本身是否具有合理的安全保護(hù)措施���,如容錯(cuò)性和系統(tǒng)災(zāi)難恢復(fù)機(jī)制等���;四要檢查被審計(jì)單位所提供的數(shù)據(jù)資料的真實(shí)性���、時(shí)效性�����、完整性和連續(xù)性�����,必要時(shí)應(yīng)進(jìn)行復(fù)核�����;五要采用靈活的審計(jì)方式�����,如可采用就地審計(jì)或突擊審計(jì)的方式���,事先不通知被審單位計(jì)算機(jī)管理員�����,先取得備份數(shù)據(jù)��,以防操作員將數(shù)據(jù)篡改����、刪除等����。
6、加快人才培養(yǎng)和技術(shù)培訓(xùn)
李金華審計(jì)長指出:審計(jì)信息化是一場(chǎng)革命�,審計(jì)人員不掌握計(jì)算機(jī)技術(shù),將失去審計(jì)資格?����;鶎友胄袃?nèi)部審計(jì)信息化建設(shè)的發(fā)展,人才培養(yǎng)是最大瓶頸。當(dāng)務(wù)之急是要用計(jì)算機(jī)知識(shí)武裝審計(jì)人員的頭腦。首先,要拓寬育人���、用人視野,要有目的的選擇品學(xué)兼優(yōu)的業(yè)務(wù)骨干充實(shí)到內(nèi)審崗位�����。其次��,要抓好計(jì)算機(jī)審計(jì)深層次應(yīng)用培訓(xùn)�����,如審計(jì)業(yè)務(wù)與通用審計(jì)軟件相關(guān)的針對(duì)性培訓(xùn)�����、計(jì)算機(jī)輔助審計(jì)技術(shù)培訓(xùn)��、常用的Excel��、Access數(shù)據(jù)庫中如何進(jìn)行數(shù)據(jù)處理����、加工統(tǒng)計(jì)及圖形分析培訓(xùn)等。
課題組組長:張庭旭
課題組副組長:呂遂生
課題組成員:康登棟���、李書文、康中華���、王曉東��、王勇
參考文獻(xiàn)
[1]�����、王洪章�����,《中國人民銀行崗位風(fēng)險(xiǎn)防范指南》�����,中國金融出版社���,2006年。
[2]���、張靜,《人民銀行內(nèi)審理論與實(shí)務(wù)研究》,湖北人民出版社����,2004年��。
第6篇
【論文摘要】 隨著電算化在我國企業(yè)的普及�,內(nèi)部控制制度的完善也引起了人們更多的重視�。文章在分析我國電算化下企業(yè)內(nèi)部控制面臨的現(xiàn)狀的基礎(chǔ)上,提出了加強(qiáng)企業(yè)內(nèi)部控制的建議����。
內(nèi)部控制是指在企事業(yè)單位會(huì)計(jì)工作中���,為了維護(hù)會(huì)計(jì)數(shù)據(jù)的準(zhǔn)確性、可靠性�����,業(yè)務(wù)經(jīng)營的有效性和財(cái)產(chǎn)的完整性而制定的各種規(guī)章制度��、組織措施�����、管理方法�����、業(yè)務(wù)處理手續(xù)以及其他為防止可能發(fā)生的風(fēng)險(xiǎn)而采取的一切措施的總稱。隨著計(jì)算機(jī)和信息系統(tǒng)的發(fā)展��,我國絕大多數(shù)的企業(yè)已經(jīng)甩掉了手工賬��,實(shí)行了會(huì)計(jì)信息系統(tǒng)的電算化��。電算化會(huì)計(jì)在數(shù)據(jù)處理的及時(shí)性和準(zhǔn)確性方面都有著傳統(tǒng)手工會(huì)計(jì)無可比擬的優(yōu)勢(shì)����,但隨著電算化工作的普及和深入,有關(guān)電腦系統(tǒng)的舞弊案件時(shí)有發(fā)生���,而且涉及的金額及造成的損失往往比手工系統(tǒng)大得多�����。究其原因主要是由于電算化對(duì)傳統(tǒng)手工會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制帶來了一系列影響��,內(nèi)部控制由人工控制變?yōu)槿撕陀?jì)算機(jī)共同控制��,原有的內(nèi)部控制已無法適應(yīng)會(huì)計(jì)電算化信息系統(tǒng)的要求�。這就迫切要求我們適應(yīng)電算化會(huì)計(jì)信息系統(tǒng)的特點(diǎn)��,建立和加強(qiáng)電算化下的內(nèi)部控制體系。
一����、電算化會(huì)計(jì)下企業(yè)內(nèi)部控制內(nèi)容
從傳統(tǒng)的手工會(huì)計(jì)到電算化會(huì)計(jì)系統(tǒng)����,雖然會(huì)計(jì)內(nèi)部控制的目標(biāo)和主要特征沒變,會(huì)計(jì)核算的復(fù)式記賬和借貸平衡的基本原理和方法也沒有變����,但由于會(huì)計(jì)信息處理方式和方法的計(jì)算機(jī)自動(dòng)化,使得會(huì)計(jì)業(yè)務(wù)處理程序和工作組織發(fā)生了質(zhì)的變化��,由此導(dǎo)致會(huì)計(jì)信息系統(tǒng)內(nèi)部控制體系也出現(xiàn)了些新的特點(diǎn)和變化�����。
在會(huì)計(jì)工作實(shí)現(xiàn)電算化以后����,內(nèi)部控制按照其實(shí)施方式的不同,分為組織控制和功能控制���。組織控制是指通過建立規(guī)章制度���、工作人員的合理分工而建立起來的內(nèi)部控制�。功能控制是指在會(huì)計(jì)信息系統(tǒng)中設(shè)計(jì)一定的功能而實(shí)現(xiàn)的內(nèi)部控制��。按實(shí)施環(huán)境的不同�����,內(nèi)部控制又可分為應(yīng)用控制和一般控制。應(yīng)用控制是指運(yùn)用計(jì)算機(jī)進(jìn)行會(huì)計(jì)數(shù)據(jù)處理過程中所實(shí)施的內(nèi)部控制����。按本身的性質(zhì)和實(shí)施的目的�,內(nèi)部控制還可分為管理控制和會(huì)計(jì)控制�����。管理控制是指為了保證計(jì)劃��、預(yù)算和定額任務(wù)的完成,提高經(jīng)濟(jì)效益而實(shí)施的內(nèi)部控制�。會(huì)計(jì)控制是指為了維護(hù)會(huì)計(jì)數(shù)據(jù)準(zhǔn)確可靠和保護(hù)單位財(cái)產(chǎn)完整而實(shí)施的內(nèi)部控制。
二�、電算化會(huì)計(jì)下加強(qiáng)完善內(nèi)部控制的必要性
由于電算化會(huì)計(jì)信息系統(tǒng)在賬務(wù)處理流程和工作組織方式等許多方面與手工會(huì)計(jì)信息系統(tǒng)不同��,又由于使用該系統(tǒng)存在著特有的潛在風(fēng)險(xiǎn),電算化會(huì)計(jì)系統(tǒng)必須建立在科學(xué)的內(nèi)部控制體系以保證會(huì)計(jì)數(shù)據(jù)的真實(shí)可靠���。
1、電算化會(huì)計(jì)下授權(quán)方式的改變要求加強(qiáng)內(nèi)部控制
在手工會(huì)計(jì)系統(tǒng)中,一項(xiàng)經(jīng)濟(jì)業(yè)務(wù)由發(fā)生到形成相應(yīng)的賬務(wù)處理信息��,其經(jīng)歷的每一個(gè)環(huán)節(jié)都應(yīng)由具有相應(yīng)管理權(quán)限的有關(guān)人員審核簽章后才可辦理。這種傳統(tǒng)管理方式雖然處理的速度慢����,但可有效地防止作弊�。然而���,在電算化會(huì)計(jì)下�����,權(quán)限分工的主要表現(xiàn)為口令授權(quán)?��?诹畈幌裼≌履菢佑蓪H素?fù)責(zé)保管而是存放于計(jì)算機(jī)系統(tǒng)內(nèi),一旦口令被人偷看或竊取,便會(huì)帶來巨大隱患,此種案例在現(xiàn)實(shí)中已發(fā)生多起。如某某會(huì)計(jì)人員被客戶收買�,竊取口令�,非法核銷客戶的應(yīng)收款及相關(guān)資料�;銷貨人員竊得客戶的信息將客戶信息轉(zhuǎn)賣給其他公司���。
2、會(huì)計(jì)檔案無紙化的變革要求加強(qiáng)內(nèi)部控制
在手工方式下,會(huì)計(jì)信息以賬、證、表等形式存儲(chǔ)在不同的紙張上���,增��、刪��、修改會(huì)計(jì)憑證或會(huì)計(jì)賬冊(cè)都可以從各自的筆跡和印章上分清責(zé)任��,因此很難不露痕跡地加以修改或偽造���。但實(shí)行了電算化會(huì)計(jì)后����,會(huì)計(jì)信息是以數(shù)據(jù)庫文件的形式保存在磁光介質(zhì)上,這種無紙張憑證和賬冊(cè)很容易不留痕跡地被篡改和偽造��,從而給內(nèi)部控制帶來新的挑戰(zhàn)。另外磁或光介質(zhì)對(duì)保存環(huán)境要求高,容易損壞���,一旦損壞很難恢復(fù)��,這無疑對(duì)內(nèi)部控制提出了更高的要求����。
3��、網(wǎng)絡(luò)技術(shù)的發(fā)展也要求加強(qiáng)內(nèi)部控制
網(wǎng)絡(luò)技術(shù)的突飛猛進(jìn)給電算化會(huì)計(jì)信息系統(tǒng)帶來了深遠(yuǎn)的影響���。目前財(cái)務(wù)軟件的網(wǎng)絡(luò)功能主要包括:遠(yuǎn)程報(bào)賬��、遠(yuǎn)程報(bào)表�����、遠(yuǎn)程審計(jì)�����、網(wǎng)上支付�����、網(wǎng)上催賬�、網(wǎng)上報(bào)稅�����、網(wǎng)上采購�、網(wǎng)上銷售、網(wǎng)上銀行等。由于網(wǎng)絡(luò)環(huán)境具有開放性,而大量的會(huì)計(jì)信息又是通過網(wǎng)上傳輸?shù)?�,這樣就有可能使網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)遭到“黑客”的攻擊或“病毒”的入侵,同樣可能導(dǎo)致會(huì)計(jì)信息被竊取或者是被蓄意篡改,這一系列的問題的解決離不開內(nèi)部控制制度的完善和發(fā)展�。
三�����、我國電算化會(huì)計(jì)內(nèi)部控制面臨的現(xiàn)狀
1、復(fù)合人才的缺乏�,電算化會(huì)計(jì)人員整體素質(zhì)有待提高
電算化會(huì)計(jì)系統(tǒng)是人機(jī)結(jié)合的系統(tǒng)����,它既需要熟悉計(jì)算機(jī)操作的財(cái)會(huì)人員���,又需要精通計(jì)算機(jī)硬件維修��、信息系統(tǒng)管理和基本財(cái)務(wù)知識(shí)的系統(tǒng)管理員。但我國這種復(fù)合型人才還相當(dāng)匱乏����,培養(yǎng)這一類的人才還需要一定的時(shí)間����。
2、單位領(lǐng)導(dǎo)層的認(rèn)識(shí)不到位��,電算化工作的廣度和深度有待推進(jìn)
不少企業(yè)領(lǐng)導(dǎo)還沒有充分認(rèn)識(shí)到實(shí)施會(huì)計(jì)電算化的重要意義���,沒有認(rèn)識(shí)到開展會(huì)計(jì)電算化是時(shí)展的必然��,是管理現(xiàn)代化的需要�。目前還有相當(dāng)一部分的企業(yè)電算化會(huì)計(jì)工作還只是處于單項(xiàng)或者幾項(xiàng)會(huì)計(jì)核算業(yè)務(wù)和報(bào)表匯總工作,有關(guān)工資���、固定資產(chǎn)��、銷售的核算、成本的核算還沒有實(shí)行電算化�����,全國全部實(shí)現(xiàn)會(huì)計(jì)電算化的企業(yè)還為數(shù)不多���,企業(yè)實(shí)施電算化會(huì)計(jì)的廣度和深度還不夠�,從而為電算化會(huì)計(jì)內(nèi)部控制制度的建立和完善增加了難度。
3�、會(huì)計(jì)軟件不能及時(shí)升級(jí)換代�,軟件安全性��、保密性差
不少企業(yè)認(rèn)為電算化僅僅是“以機(jī)代賬”����,軟件只需要一次投入即可�,出現(xiàn)了只重視硬件換代�����,不注意軟件升級(jí)的情況。從奔騰ⅱ一直到奔騰ⅳ�����,機(jī)型更換了幾次���,但財(cái)務(wù)軟件仍停留在“古老”的foxbase開發(fā)的dos版上����。另一方面,多數(shù)企業(yè)總是忙于開發(fā)����、購買硬件和會(huì)計(jì)軟件��,并求得賬�����、證�、表的正確輸出�����,卻很少過問計(jì)算機(jī)系統(tǒng)是否安全可靠��,企業(yè)以及部門的內(nèi)部控制是否健全,導(dǎo)致會(huì)計(jì)信息的使用者對(duì)會(huì)計(jì)電算化數(shù)據(jù)的可靠性持懷疑態(tài)度�。
四、加強(qiáng)電算化會(huì)計(jì)下企業(yè)內(nèi)部控制的建議
1����、加強(qiáng)有關(guān)組織與管理方面的控制
(1)建立適應(yīng)電算化會(huì)計(jì)系統(tǒng)的組織機(jī)構(gòu)
在實(shí)現(xiàn)了會(huì)計(jì)電算化后��,企業(yè)應(yīng)及時(shí)調(diào)整原有的組織機(jī)構(gòu)�����,可以按會(huì)計(jì)崗位和工作職責(zé)劃分為電算化會(huì)計(jì)主管���、軟件操作、審核記賬、電算維護(hù)、電算審查�����、數(shù)據(jù)分析等崗位�����。組織機(jī)構(gòu)的設(shè)置符合企業(yè)的實(shí)際情況��,有利于實(shí)現(xiàn)企業(yè)的管理目標(biāo)��,同時(shí)也要考慮到成本費(fèi)用的問題。
(2)建立嚴(yán)格的上機(jī)管理制度
基于電算化會(huì)計(jì)信息系統(tǒng)的安全性和保密性考慮,企業(yè)用于電算化會(huì)計(jì)系統(tǒng)的計(jì)算機(jī)應(yīng)盡可能保證專人專用�����,同時(shí)企業(yè)應(yīng)該建立一整套嚴(yán)格的上機(jī)管理制度,以保證每位工作人員只在自己的計(jì)算機(jī)上和自己的權(quán)限范圍類做自己應(yīng)該做的工作����。一般來講���,企業(yè)對(duì)用于電算化會(huì)計(jì)系統(tǒng)的計(jì)算機(jī)的上機(jī)管理措施應(yīng)包括輪流值班制度、上機(jī)記錄制度�����、完善的操作手冊(cè)、上機(jī)時(shí)間安排����、操作日志等��。
(3)切實(shí)貫徹職責(zé)分離��,實(shí)行相互監(jiān)督
與手工會(huì)計(jì)一樣,電算化會(huì)計(jì)系統(tǒng)對(duì)每一項(xiàng)可能引起偽造的經(jīng)濟(jì)業(yè)務(wù)�����,都不能由一個(gè)人或一個(gè)部門經(jīng)手到底��,必須分別由幾個(gè)人或幾個(gè)部門承擔(dān)���。在電算化會(huì)計(jì)系統(tǒng)中���,不相容的職務(wù)主要有系統(tǒng)開發(fā)����、發(fā)展的職務(wù)與系統(tǒng)操作的職務(wù)����;數(shù)據(jù)維護(hù)管理職務(wù)與電算審核職務(wù)��;數(shù)據(jù)錄入職務(wù)與審核記賬職務(wù);系統(tǒng)操作的職務(wù)與系統(tǒng)檔案管理職務(wù)等�����。企業(yè)為防止舞弊或欺詐�,應(yīng)建立一整套符合職責(zé)劃分原則的內(nèi)部控制制度��,同時(shí)還應(yīng)建立職務(wù)輪換制度���。
(4)加強(qiáng)檔案管理工作
企業(yè)應(yīng)該對(duì)所有會(huì)計(jì)資料及時(shí)存檔并定期地對(duì)所有檔案進(jìn)行備份�����。企業(yè)使用的會(huì)計(jì)軟件應(yīng)具有強(qiáng)制備份的功能和恢復(fù)到最近狀態(tài)的功能����。
(5)重視內(nèi)部審計(jì)功能
內(nèi)部審計(jì)既是企業(yè)內(nèi)部控制系統(tǒng)的重要組成部分��,也是強(qiáng)化內(nèi)部會(huì)計(jì)監(jiān)督的制度安排。內(nèi)部審計(jì)本身就是一種組織控制。通過內(nèi)部審計(jì)部門對(duì)電算化會(huì)計(jì)系統(tǒng)信息的質(zhì)量和完整性進(jìn)行獨(dú)立、公正地監(jiān)督與評(píng)價(jià)�,有利于系統(tǒng)內(nèi)部自我約束�、自我激勵(lì)機(jī)制的建立與健全��。
2���、加強(qiáng)電算化會(huì)計(jì)系統(tǒng)實(shí)施前的有關(guān)系統(tǒng)開發(fā)方面的控制
這項(xiàng)工作主要是針對(duì)自主開發(fā)會(huì)計(jì)信息系統(tǒng)的企業(yè)而言的��。在系統(tǒng)開發(fā)期間實(shí)施的控制措施主要是為了保證系統(tǒng)開發(fā)過程中各項(xiàng)活動(dòng)的合法和有效�,其主要內(nèi)容包括:明確開發(fā)目標(biāo),進(jìn)行系統(tǒng)可行性研究與分析����;在開發(fā)的過程中始終要圍繞用戶需求這一宗旨確保系統(tǒng)開發(fā)目標(biāo)的一致性,同時(shí)也要控制開發(fā)進(jìn)度���,監(jiān)督開發(fā)質(zhì)量,檢查各功能模塊設(shè)置的合理性����,提高系統(tǒng)的質(zhì)量。電算化會(huì)計(jì)系統(tǒng)的開發(fā)必須遵循國家相關(guān)部門制定的標(biāo)準(zhǔn)和規(guī)范��,這樣開發(fā)出來的系統(tǒng)才安全可靠����。
在電算化會(huì)計(jì)系統(tǒng)正式運(yùn)行過程中,如果發(fā)現(xiàn)會(huì)計(jì)軟件存在漏洞,需要及時(shí)對(duì)其進(jìn)行修改�����,整個(gè)修改過程必須經(jīng)過周密計(jì)劃和嚴(yán)格記錄���,修改過程的每一個(gè)環(huán)節(jié)都必須設(shè)置必要的控制,修改的原因應(yīng)形成書面報(bào)告,電算化會(huì)計(jì)系統(tǒng)的操作人員不能參與軟件的修改,所有與軟件修改有關(guān)的記錄都應(yīng)該打印后存檔��。
3、加強(qiáng)電算化日常管理方面的控制
首先應(yīng)制定上機(jī)操作規(guī)程,主要包括軟硬件操作規(guī)程�����、上機(jī)操作時(shí)間等�。在經(jīng)濟(jì)業(yè)務(wù)發(fā)生時(shí)�,通過計(jì)算機(jī)的控制程序���,對(duì)業(yè)務(wù)發(fā)生的合理性�、合法性和完整性進(jìn)行檢查和控制�����。
其次要建立起一整套內(nèi)部控制制度��,以便對(duì)輸入的數(shù)據(jù)進(jìn)行嚴(yán)格的控制���,保證數(shù)據(jù)輸入的準(zhǔn)確性。由于計(jì)算機(jī)處理數(shù)據(jù)的能力很強(qiáng)�����,處理速度非常快���,如果輸入的數(shù)據(jù)不準(zhǔn)確�����,處理結(jié)果就會(huì)出現(xiàn)差錯(cuò)�����,影響整個(gè)系統(tǒng)的正常運(yùn)行��。因此���,系統(tǒng)應(yīng)該對(duì)輸入的數(shù)據(jù)進(jìn)行嚴(yán)格的控制�����,保證數(shù)據(jù)輸入的準(zhǔn)確性���。數(shù)據(jù)輸入控制要求輸入的數(shù)據(jù)應(yīng)經(jīng)過必要的授權(quán)�����,并經(jīng)有關(guān)的內(nèi)部控制部門檢查��;同時(shí)應(yīng)采用各種技術(shù)手段對(duì)輸入數(shù)據(jù)的準(zhǔn)確性進(jìn)行校驗(yàn)��,如平衡校驗(yàn)�����、二次輸入校驗(yàn)等���。另外為了防止數(shù)據(jù)在傳輸過程中發(fā)生錯(cuò)誤�����、丟失����、泄密等事故,企業(yè)應(yīng)該采用各種技術(shù)手段以保證數(shù)據(jù)在傳輸過程中的準(zhǔn)確、安全���、可靠。
最后對(duì)系統(tǒng)操作的事件類型、用戶身份����、操作時(shí)間��、系統(tǒng)參數(shù)和狀態(tài)以及系統(tǒng)敏感資源進(jìn)行實(shí)時(shí)監(jiān)控和記錄��,進(jìn)行必要的權(quán)限設(shè)置��,以便能夠?qū)Ω鞣N不同的權(quán)限進(jìn)行用戶識(shí)別和遠(yuǎn)程請(qǐng)求識(shí)別�����。
綜上所述���,會(huì)計(jì)電算化在我國企業(yè)的普及,在給會(huì)計(jì)人員帶來方便快捷高效的工作方式的同時(shí),無疑也增加了信息的安全隱患����。當(dāng)然,任何事物都不是完美無缺的��,我們只有順應(yīng)電算化發(fā)展的潮流��,建立分工明確��、權(quán)責(zé)落實(shí)�、操作嚴(yán)格的內(nèi)部控制制度并切實(shí)的加以執(zhí)行�,這樣才能充分發(fā)揮電算化會(huì)計(jì)系統(tǒng)的準(zhǔn)確性和高效性����,才能為企業(yè)的管理層提供準(zhǔn)確及時(shí)的決策信息����,從而實(shí)現(xiàn)企業(yè)價(jià)值最大化的目標(biāo)�。
【參考文獻(xiàn)】
[1] 袁樹民�、張貴珍:會(huì)計(jì)電算化[m].上海財(cái)經(jīng)大學(xué)出版社�,2005.
第7篇
【 關(guān)鍵詞 】 信息安全管理���;信息安全管理平臺(tái)
1 引言
前些年�,在我國推進(jìn)信息安全體系建設(shè)的工作中,各行業(yè)在信息網(wǎng)絡(luò)邊界和縱深部署大量信息安全防護(hù)產(chǎn)品的基礎(chǔ)上,為了符合國家信息安全的相關(guān)政策和監(jiān)管要求及便于進(jìn)行一體化管理和掌握整個(gè)信息系統(tǒng)的安全態(tài)勢(shì)�����,許多單位還部署了信息安全管理平臺(tái)�����,并在信息系統(tǒng)安全運(yùn)行和管理上發(fā)揮了重要的作用��。
信息安全管理平臺(tái)是網(wǎng)絡(luò)中心必備的安全管理基礎(chǔ)設(shè)施���,是網(wǎng)絡(luò)安全管理員遂行網(wǎng)絡(luò)安全管理任務(wù)的必備手段��,是網(wǎng)絡(luò)安全體系結(jié)構(gòu)中的一個(gè)重要技術(shù)支撐平臺(tái)�����。為規(guī)范網(wǎng)絡(luò)系統(tǒng)的安全管理,重要的信息網(wǎng)絡(luò)都應(yīng)設(shè)置信息安全管理平臺(tái)(見《信息安全技術(shù) 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》GB/T 24856―2009)���。
近年來����,隨著云計(jì)算�����、物聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)技術(shù)的興起�����,信息網(wǎng)絡(luò)的邊界愈發(fā)模糊�����,系統(tǒng)中的虛擬化技術(shù)和設(shè)備被廣泛采用��,信息系統(tǒng)中的安全信息采集和集中審計(jì)變得更加困難���。另一方面,外部的信息安全威脅�����,隨著AET和APT技術(shù)的不斷升級(jí)�,也變得愈來愈兇險(xiǎn)和難以防護(hù)��。面對(duì)當(dāng)前信息安全的新形式���,以往的信息安全管理平臺(tái)必須進(jìn)行更新?lián)Q代或升級(jí)改造��。
搭建新一代信息安全管理平臺(tái)(以下簡稱平臺(tái))有重要意義:(1)設(shè)計(jì)和建設(shè)新一代平臺(tái)是構(gòu)建自主可控信息安全體系體系頂層設(shè)計(jì)不可或缺的重要一環(huán),以實(shí)現(xiàn)對(duì)重要信息系統(tǒng)的風(fēng)險(xiǎn)可監(jiān)控��、可管理��、業(yè)務(wù)過程可審計(jì)�����,真正實(shí)現(xiàn)安全體系自主可控,保障體系安全;(2)引入大數(shù)據(jù)分析技術(shù)完善平臺(tái)關(guān)聯(lián)分析能力�,增加AET和APT攻擊的檢測(cè)技術(shù)手段,提升信息系統(tǒng)安全態(tài)勢(shì)感知和預(yù)警能力,可及時(shí)發(fā)現(xiàn)和處置重大信息安全威脅��,真正實(shí)現(xiàn)信息安全自主可控�����。
2 設(shè)計(jì)目標(biāo)
信息安全管理平臺(tái)的設(shè)計(jì)目標(biāo)是:設(shè)計(jì)一體化���、開放性和具有智能防御未知威脅攻擊的平臺(tái)����。一體化就是將多家不同類型的安全產(chǎn)品整合到一起����,進(jìn)行統(tǒng)一的管理配置和監(jiān)控�����。開放性就是提供標(biāo)準(zhǔn)的接口���,使第三方產(chǎn)品很容易整合到系統(tǒng)中�。智能防御未知威脅攻擊����,就是充分利用和發(fā)揮大數(shù)據(jù)技術(shù)應(yīng)用于安全態(tài)勢(shì)和安全事件的深度挖掘和分析���,對(duì)AET和APT進(jìn)行檢測(cè)和響應(yīng),構(gòu)建智能化的主動(dòng)防御系統(tǒng)。
通過信息安全管理平臺(tái)��,對(duì)網(wǎng)絡(luò)系統(tǒng)、網(wǎng)絡(luò)安全設(shè)備以及主要應(yīng)用實(shí)施統(tǒng)一的安全策略、集中管理、集中審計(jì)��、并通過網(wǎng)絡(luò)安全設(shè)備間的互動(dòng),應(yīng)對(duì)已知和未知的安全威脅��,充分發(fā)揮網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的整體效能��。
3 設(shè)計(jì)原則
依據(jù)GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》和GB/T 20269-2006《信息安全技術(shù) 信息系統(tǒng)安全管理要求》����,結(jié)合網(wǎng)絡(luò)安全管理的實(shí)際需求,按以下原則設(shè)計(jì)信息安全管理平臺(tái)����。
(1) 標(biāo)準(zhǔn)化設(shè)計(jì)原則�����。為了能夠與第三方廠家安全產(chǎn)品聯(lián)動(dòng),安全管理平臺(tái)需制定安全產(chǎn)品互聯(lián)的接口標(biāo)準(zhǔn)��,這個(gè)接口標(biāo)準(zhǔn)在業(yè)界應(yīng)具有權(quán)威性并易于操作����,便于各廠家實(shí)現(xiàn)��。
(2)逐步擴(kuò)充的原則���。網(wǎng)絡(luò)系統(tǒng)安全集中管理包含的內(nèi)容很多����,管理技術(shù)難度很大��,安全管理平臺(tái)的建設(shè)應(yīng)選擇好切入點(diǎn),本著由簡至繁���,逐步擴(kuò)充的原則進(jìn)行�����。
(3)集中與分布的原則���。許多單位網(wǎng)絡(luò)從結(jié)構(gòu)上看,呈樹狀的多節(jié)點(diǎn)分層(級(jí))結(jié)構(gòu)��。這些網(wǎng)絡(luò)具有分布廣��、結(jié)構(gòu)復(fù)雜的特點(diǎn)��。為此�,可在各層(級(jí))網(wǎng)管中心設(shè)置安全管理平臺(tái),其作用是對(duì)本級(jí)局域網(wǎng)進(jìn)行集中安全管理����;上級(jí)對(duì)下級(jí)采用分布式分級(jí)的方式進(jìn)行安全管理�。
4 設(shè)計(jì)要求
(1)可擴(kuò)展性。信息安全管理平臺(tái)的系統(tǒng)設(shè)計(jì)���,終端采用以對(duì)象模型驅(qū)動(dòng)的管理機(jī)制�����,對(duì)象模型用XML語言描述���,可以通過定義/修改對(duì)象模型的屬性(關(guān)系和操作),即插即用地?cái)U(kuò)充和管理網(wǎng)絡(luò)終端及服務(wù)。此外,管理平臺(tái)主機(jī)在性能和帶寬上����,應(yīng)留有一定冗余度�,具有管理1000~5000個(gè)對(duì)象的擴(kuò)展能力��。
(2)易用性���。信息安全管理平臺(tái)提供的所有功能���,應(yīng)做到操作簡易�,界面友好,使用方便�����。
(3)經(jīng)濟(jì)性���。信息安全管理平臺(tái)設(shè)計(jì)�����,應(yīng)采用先進(jìn)的��、成熟的軟硬件IT技術(shù)����,搞好總體設(shè)計(jì)�����,優(yōu)化軟件編程��,避免重復(fù)投資��,提高性能價(jià)格比�����。
(4)穩(wěn)定可靠性��。信息安全管理平臺(tái)設(shè)計(jì)��,應(yīng)重視硬件支撐設(shè)備的選型����,性能上應(yīng)留有空間���;安全管理軟件要經(jīng)過充分測(cè)試�,不斷優(yōu)化,保證系統(tǒng)穩(wěn)定可靠運(yùn)行����。
(5)自身安全性�。信息安全管理平臺(tái)設(shè)計(jì),要重視自身的安全性�����,系統(tǒng)應(yīng)具有管理員身份和權(quán)限的雙重鑒別能力,應(yīng)保證數(shù)據(jù)網(wǎng)上傳輸?shù)耐暾?���、保密性和?shù)據(jù)記錄的真實(shí)可靠及抗抵賴性。
5 系統(tǒng)組成和主要功能
信息安全管理平臺(tái)的基本功能是:對(duì)網(wǎng)絡(luò)系統(tǒng)、安全設(shè)備、重要應(yīng)用實(shí)施統(tǒng)一管理��、統(tǒng)一監(jiān)控�、統(tǒng)一審計(jì)、協(xié)同防護(hù)���,以充分發(fā)揮網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的整體作用�,提高網(wǎng)絡(luò)安全防護(hù)的等級(jí)和水平。
5.1 系統(tǒng)組成
信息安全管理平臺(tái)由幾個(gè)模塊組成:人機(jī)界面模塊��、總控模塊、安全網(wǎng)管模塊���、安全監(jiān)控模塊�、安全審計(jì)模塊��、安全策略處理模塊、安全模塊�、安全事件分析模塊����、安全事件響應(yīng)模塊�、設(shè)備配置模塊、平臺(tái)與設(shè)備接口模塊和安全管理數(shù)據(jù)庫���。系統(tǒng)的邏輯結(jié)構(gòu)如圖1所示。
(1)人機(jī)界面模塊���。面向安全管理員的操作控制界面���。
(2)總控模塊�??偪啬K控制信息安全管理平臺(tái)各模塊正常運(yùn)轉(zhuǎn),其中包括網(wǎng)絡(luò)通信和通信加密程序����,用于保障網(wǎng)絡(luò)間遠(yuǎn)程數(shù)據(jù)交換的安全(主要是真實(shí)性和完整性)����。
(3)安全網(wǎng)管模塊�。用于顯示網(wǎng)絡(luò)拓?fù)洳⑦M(jìn)行安全網(wǎng)管���。
(4)安全監(jiān)控模塊。用于對(duì)網(wǎng)絡(luò)主機(jī)和網(wǎng)絡(luò)設(shè)備進(jìn)行安全監(jiān)控。
(5)安全審計(jì)模塊����。接受操作系統(tǒng)或下一級(jí)安全管理平臺(tái)發(fā)來的安全日志���;接收主機(jī)、防火墻����、IDS等網(wǎng)絡(luò)安全設(shè)備發(fā)來的報(bào)警信息;接收網(wǎng)絡(luò)出口探針記錄的網(wǎng)絡(luò)數(shù)據(jù)流信息,存儲(chǔ)并實(shí)時(shí)進(jìn)行內(nèi)容審計(jì)。安全審計(jì)的方式有三種:基于規(guī)則和特征的安全檢測(cè)�����,基于數(shù)據(jù)流的安全檢測(cè)���,基于特定場(chǎng)景深度數(shù)據(jù)挖掘的安全檢測(cè)。審計(jì)的結(jié)果:啟動(dòng)報(bào)警系統(tǒng)和產(chǎn)生安全態(tài)勢(shì)報(bào)表��。
(6)安全策略處理模塊����。自動(dòng)將安全策略翻譯成安全設(shè)備可執(zhí)行的規(guī)則����。
(7)安全模塊���。安裝在網(wǎng)絡(luò)客戶機(jī)(服務(wù)器����、終端)操作系統(tǒng)中��,與安全管理平臺(tái)上的安全監(jiān)控模塊配合使用��。其作用是用于接收安全管理平臺(tái)發(fā)來的監(jiān)控指令和審計(jì)規(guī)則���;監(jiān)視客戶機(jī)的工作狀態(tài);根據(jù)規(guī)則進(jìn)行安全過濾和記錄����;將安全記錄實(shí)時(shí)發(fā)回至安全管理平臺(tái)��。
(8)安全事件關(guān)聯(lián)分析模塊�����。將所有收集到的安全事件按其對(duì)系統(tǒng)安全的危害程度等級(jí)進(jìn)行重要性排隊(duì),然后調(diào)閱安全專家知識(shí)庫��,對(duì)事件進(jìn)行基于規(guī)則的實(shí)時(shí)關(guān)聯(lián)分析��,該模塊可引入大數(shù)據(jù)的歷史關(guān)聯(lián)分析能力,以提升關(guān)聯(lián)的可信度��。最終將分析結(jié)果(關(guān)聯(lián)要素)和處理規(guī)則���,提交安全事件響應(yīng)模塊或管理員處理。
(9)安全事件響應(yīng)模塊�����。按預(yù)先制定的安全事件處理規(guī)則(應(yīng)急預(yù)案)對(duì)事件自動(dòng)進(jìn)行安全處置。
(10)系統(tǒng)配置模塊����。對(duì)IDS/IPS�、防火墻���、內(nèi)容監(jiān)測(cè)、主機(jī)等安全系統(tǒng)設(shè)備或模塊進(jìn)行安全和審計(jì)規(guī)則的配置�����。
(11)平臺(tái)與設(shè)備接口模塊���。實(shí)現(xiàn)信息安全管理平臺(tái)與各類網(wǎng)絡(luò)安全產(chǎn)品之間的標(biāo)準(zhǔn)數(shù)據(jù)交換�����。其流程是:各類安全產(chǎn)品將各自檢測(cè)到的安全日志通過接口模塊進(jìn)行格式轉(zhuǎn)換后發(fā)給平臺(tái)安全事件收集模塊�����,供安全管理平臺(tái)分析處理���。平臺(tái)人機(jī)界面或安全事件響應(yīng)模塊發(fā)出的處置指令����,通過接口模塊發(fā)給指定的安全設(shè)備���,安全設(shè)備接到指令后按相應(yīng)安全策略執(zhí)行����;信息安全管理平臺(tái)能夠管理的系統(tǒng)和設(shè)備有:防火墻�、IDS/IPS�、內(nèi)容監(jiān)測(cè)����、路由器���、交換機(jī)�、網(wǎng)絡(luò)主機(jī)。
(12)安全管理數(shù)據(jù)庫。安全管理數(shù)據(jù)庫是安全管理平臺(tái)運(yùn)行的基礎(chǔ)資源�,主要存放從本級(jí)和下級(jí)網(wǎng)絡(luò)采集來的所有安全數(shù)據(jù)(包括日志數(shù)據(jù)��、設(shè)備狀態(tài)數(shù)據(jù))����、安全策略數(shù)據(jù)��、安全專家知識(shí)�����、網(wǎng)絡(luò)拓?fù)溥B接關(guān)系����、網(wǎng)絡(luò)中所有客戶機(jī)的詳細(xì)地址和安全管理平臺(tái)加工的各種報(bào)表數(shù)據(jù)等。
5.2 主要功能
(1)網(wǎng)絡(luò)安全管理��。在各級(jí)安全管理平臺(tái)上動(dòng)態(tài)顯示本級(jí)局域網(wǎng)當(dāng)前網(wǎng)絡(luò)拓?fù)?,根?jù)策略,適時(shí)改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)���。動(dòng)態(tài)顯示網(wǎng)絡(luò)設(shè)備(路由器、交換機(jī)��、服務(wù)器�����、終端)的在線狀態(tài)��、參數(shù)配置����,及時(shí)發(fā)現(xiàn)系統(tǒng)結(jié)構(gòu)變化情況和非授權(quán)聯(lián)網(wǎng)的情況���,并予以響應(yīng)���。
①自動(dòng)識(shí)別網(wǎng)絡(luò)中主機(jī)的IP、機(jī)器名稱和MAC地址。
②按部門對(duì)設(shè)備(交換機(jī)、路由器)、主機(jī)和人員進(jìn)行管理�����。
③通過系統(tǒng)提供的智能學(xué)習(xí)功能���,自動(dòng)識(shí)別網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)����。
④自動(dòng)生成網(wǎng)絡(luò)拓?fù)鋱D(該網(wǎng)絡(luò)的真實(shí)物理聯(lián)接結(jié)構(gòu)圖)�����,并能動(dòng)態(tài)顯示當(dāng)前的網(wǎng)絡(luò)狀態(tài),如圖2所示�����。
⑤動(dòng)態(tài)顯示主機(jī)的當(dāng)前狀態(tài)�,如合法使用(如IP和MAC地址的配對(duì),已登記注冊(cè)的合法主機(jī))、非法使用(如IP和MAC地址隨意更改) ����、關(guān)機(jī)�����、不通或故障��、未登記主機(jī)的入網(wǎng)使用等���。
⑥可以自動(dòng)發(fā)現(xiàn)入侵的主機(jī)��,并關(guān)閉其網(wǎng)絡(luò)連接端口。
⑦提供主機(jī)與設(shè)備端口的綁定����。
⑧提供網(wǎng)絡(luò)邏輯圖(顯示設(shè)備之間的連接關(guān)系)�����、網(wǎng)絡(luò)拓?fù)鋱D(顯示整個(gè)網(wǎng)絡(luò)中所有設(shè)備�、主機(jī)及其連接關(guān)系)和組織結(jié)構(gòu)圖(顯示該單位的組織結(jié)構(gòu))����,可以方便地在三種不同的顯示方式之間切換���,便于網(wǎng)絡(luò)安全管理員全面掌握和操控整個(gè)網(wǎng)絡(luò)��;在網(wǎng)絡(luò)拓?fù)鋱D中可以拖動(dòng)設(shè)備(交換機(jī)、路由器、集線器)改變其相對(duì)位置;進(jìn)行文字和分組標(biāo)注�;改變?cè)O(shè)備與設(shè)備�����、設(shè)備與主機(jī)之間的連接關(guān)系;還可以由系統(tǒng)對(duì)所有設(shè)備�、主機(jī)進(jìn)行自動(dòng)排列���。
(2)網(wǎng)絡(luò)監(jiān)控管理�。安全管理平臺(tái)上的網(wǎng)絡(luò)安全管理與監(jiān)控功能,可根據(jù)制定的安全策略����,對(duì)受控主機(jī)進(jìn)行安全控制����。
①對(duì)受控機(jī)進(jìn)行主機(jī)屏幕監(jiān)視或控制(接管)功能�����。
②對(duì)受控機(jī)部分或全部文件進(jìn)行訪問控制����,即對(duì)文件的訪問,不僅要通過系統(tǒng)的認(rèn)證�����,還必須通過網(wǎng)絡(luò)安全管理與監(jiān)控系統(tǒng)的認(rèn)證才能訪問��。
③對(duì)受控機(jī)網(wǎng)絡(luò)訪問進(jìn)行通斷控制��。
④對(duì)受控機(jī)無線上網(wǎng)進(jìn)行阻斷控制�。
⑤對(duì)受控機(jī)的打印機(jī)�、USB移動(dòng)設(shè)備進(jìn)行允許和阻斷控制。
⑥對(duì)受控機(jī)的進(jìn)程進(jìn)行監(jiān)控���,可以控制指定進(jìn)程的加載�。
⑦對(duì)受控機(jī)的internet訪問進(jìn)行基于IP和DNS的詳細(xì)控制,提供Internet網(wǎng)絡(luò)監(jiān)控�����。
(3)網(wǎng)絡(luò)安全設(shè)備管理���。在各級(jí)安全管理平臺(tái)上����,根據(jù)安全策略�,對(duì)本級(jí)局域網(wǎng)設(shè)置的防火墻、IDS/IPS等進(jìn)行參數(shù)配置����,并適時(shí)監(jiān)測(cè)安全設(shè)備的運(yùn)行狀態(tài),以便及時(shí)處理��。
(4)策略執(zhí)行管理����。根據(jù)安全策略生成的安全規(guī)則,通過管理平臺(tái)向所有網(wǎng)絡(luò)系統(tǒng)中安全設(shè)備和主機(jī)用戶��,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)客戶機(jī)�����、安全設(shè)備及主要應(yīng)用系統(tǒng)進(jìn)行控制的目的����。
安全策略處理模塊功能有:對(duì)中層安全策略提供的形式化語言進(jìn)行程序處理,輸出安全設(shè)備安全規(guī)則配置表�;安全管理員通過安全管理平臺(tái)設(shè)備配置界面手工配置安全規(guī)則配置表;將安全規(guī)則配置表通過網(wǎng)絡(luò)發(fā)給安全設(shè)備并執(zhí)行����;安全管理平臺(tái)也可直接對(duì)網(wǎng)絡(luò)中的受控客戶機(jī)進(jìn)行安全規(guī)則配置。
(5)審計(jì)管理���。審計(jì)數(shù)據(jù)的獲取有四條渠道:各客戶機(jī)上的模塊發(fā)來的內(nèi)網(wǎng)安全事件實(shí)時(shí)報(bào)警和安全日志信息����;不同廠家安全產(chǎn)品(防火墻���、IDS等)發(fā)來的安全事件報(bào)警和安全日志信息�����;下級(jí)安全管理平臺(tái)發(fā)來的安全日志和網(wǎng)絡(luò)探針發(fā)來的網(wǎng)絡(luò)數(shù)據(jù)流信息��。緊急安全事件報(bào)警信息通過安全事件分析和響應(yīng)模塊實(shí)時(shí)處理�。 安全日志直接存入安全日志數(shù)據(jù)庫�����。網(wǎng)絡(luò)數(shù)據(jù)流存入盤陣中���,供事后歷史數(shù)據(jù)關(guān)聯(lián)分析和部分實(shí)時(shí)處理�����。
在各級(jí)安全管理平臺(tái)上的審計(jì)管理包括:對(duì)本級(jí)局域網(wǎng)絡(luò)系統(tǒng)中的設(shè)備(包括 路由器����、交換機(jī)����、服務(wù)器、數(shù)據(jù)庫�����、客戶機(jī))根據(jù)預(yù)先制定的審計(jì)規(guī)則產(chǎn)生的故障、訪問����、配置、外設(shè)的報(bào)警信息和安全日志進(jìn)行審計(jì)�;對(duì)本級(jí)局域網(wǎng)絡(luò)安全防護(hù)設(shè)備(包括 防火墻、IDS/IPS)及主要應(yīng)用系統(tǒng)等在運(yùn)行中產(chǎn)生的安全日志�����,進(jìn)行采集����、分析;上級(jí)安全管理平臺(tái)有選擇的抽取下級(jí)的安全事件進(jìn)行審計(jì)�,對(duì)嚴(yán)重的安全事件及時(shí)督促下級(jí)采取相應(yīng)措施及時(shí)整改;對(duì)本級(jí)局域網(wǎng)中的進(jìn)出口數(shù)據(jù)流進(jìn)行記錄和實(shí)時(shí)異常檢測(cè)����。
審計(jì)內(nèi)容涉及十個(gè)方面。
①對(duì)受控機(jī)文件按IP地址�、操作時(shí)間、操作類型�����、操作內(nèi)容、用戶名����、機(jī)器名等進(jìn)行審計(jì)�����。
②對(duì)受控機(jī)進(jìn)行基于IP(源IP���、目的IP)和DNS的internet訪問審計(jì)�����,審計(jì)內(nèi)容為源IP�、目的IP����、訪問時(shí)間、協(xié)議����、服務(wù)和訪問內(nèi)容等。
③對(duì)受控機(jī)進(jìn)行程序和服務(wù)的安裝與卸載進(jìn)行審計(jì)��,審計(jì)內(nèi)容為IP地址、操作時(shí)間�����、操作類型���、程序(服務(wù))名���、操作用戶名等。
④對(duì)受控機(jī)進(jìn)行本地用戶登錄審計(jì)��,審計(jì)內(nèi)容為IP地址��、登錄時(shí)間����、退出時(shí)間、登錄用戶名等���。
⑤對(duì)受控機(jī)的打印機(jī)使用進(jìn)行審計(jì)�����,審計(jì)內(nèi)容為IP地址���、打印時(shí)間����、打印機(jī)名稱�����、文檔名稱和用戶名等��。
⑥對(duì)受控機(jī)的USB移動(dòng)存儲(chǔ)設(shè)備使用進(jìn)行審計(jì)����,審計(jì)內(nèi)容為IP地址��、時(shí)間�����、外設(shè)名稱�、狀態(tài)等。
⑦對(duì)受控機(jī)的盤符狀態(tài)進(jìn)行審計(jì)���,審計(jì)內(nèi)容為IP地址�、時(shí)間、盤符�����、狀態(tài)等���。
⑧對(duì)受控機(jī)的進(jìn)程狀況進(jìn)行審計(jì)�����,即受控機(jī)使用程序的狀況��。
⑨對(duì)IDS/IPS探測(cè)到的非法入侵事件進(jìn)行審計(jì)�����。
⑩對(duì)網(wǎng)絡(luò)探針發(fā)來的數(shù)據(jù)流進(jìn)行審計(jì)����。
安全管理員可通過系統(tǒng)隨時(shí)調(diào)閱安全日志����、網(wǎng)絡(luò)狀態(tài)以及網(wǎng)絡(luò)流量等信息,并進(jìn)行統(tǒng)計(jì)查詢。這些信息是事后了解和判斷網(wǎng)絡(luò)安全事故的寶貴資料���。
(6)網(wǎng)絡(luò)病毒監(jiān)控管理�����。在各級(jí)安全管理平臺(tái)上����,建立病毒集中管理監(jiān)控機(jī)制���,實(shí)現(xiàn)網(wǎng)絡(luò)病毒的監(jiān)控與管理。防病毒系統(tǒng)應(yīng)包括單機(jī)版����、網(wǎng)絡(luò)版和防病毒網(wǎng)關(guān),在信息安全管理平臺(tái)上對(duì)本級(jí)網(wǎng)絡(luò)節(jié)點(diǎn)的防病毒運(yùn)行情況進(jìn)行監(jiān)控���,如防病毒庫���、掃描引擎更新日期、系統(tǒng)配置等�����。具體實(shí)現(xiàn):確保防病毒策略統(tǒng)一部署,統(tǒng)一實(shí)施�,保證防病毒體系執(zhí)行相同的安全策略,防止出現(xiàn)病毒安全防御中的漏洞��;保證系統(tǒng)管理員了解整體防病毒體系的工作狀態(tài)�,從整體防控的高度掌握病毒入侵的情況,從而采取必要的措施�,及時(shí)提供新的防病毒升級(jí)庫;通過信息安全管理平臺(tái)提供的信息�����,與防病毒廠商保持熱線聯(lián)系與技術(shù)支持�。
(7)應(yīng)用系統(tǒng)監(jiān)測(cè)。信息安全建設(shè)的一個(gè)重要內(nèi)容是確保網(wǎng)上關(guān)鍵業(yè)務(wù)的可靠性��、可信性����、可用性。因此��,對(duì)網(wǎng)上關(guān)健業(yè)務(wù)的監(jiān)測(cè)記錄非常重要�����,主要體現(xiàn)在四個(gè)方面:監(jiān)測(cè)記錄關(guān)鍵業(yè)務(wù)系統(tǒng)在網(wǎng)絡(luò)中會(huì)話過程,可以幫助分析有無非法插入�����、偽裝的業(yè)務(wù)會(huì)話���;阻止偽裝的業(yè)務(wù)會(huì)話與關(guān)鍵業(yè)務(wù)交互�����,確保業(yè)務(wù)流程的可信性�����;監(jiān)測(cè)分析關(guān)鍵業(yè)務(wù)會(huì)話過程的響應(yīng)與交互時(shí)間,找出影響關(guān)鍵業(yè)務(wù)系統(tǒng)網(wǎng)上運(yùn)行效率的問題�����,確保業(yè)務(wù)流程的可用性���;應(yīng)用系統(tǒng)的監(jiān)測(cè)主要通過內(nèi)容監(jiān)測(cè)系統(tǒng)和網(wǎng)絡(luò)探頭實(shí)現(xiàn)����。
(8)安全事件處理。信息安全管理平臺(tái)上收到IDS/IPS���、防火墻和網(wǎng)絡(luò)受控主機(jī)發(fā)來的安全事件時(shí)�,將其打入事件隊(duì)列���。事件隊(duì)列依據(jù)等級(jí)排隊(duì)后�����,則交給安全事件關(guān)聯(lián)分析模塊�����,使用專家知識(shí)或決策分析算法對(duì)事件進(jìn)行關(guān)聯(lián)分析并按預(yù)案和規(guī)則給出處置策略����,然后交給安全事件響應(yīng)模塊進(jìn)行自動(dòng)化智能處理或交給安全管理員處理���。
6 系統(tǒng)應(yīng)用模型
(1)分布式多層次的管理結(jié)構(gòu)�����。由于大多數(shù)網(wǎng)絡(luò)是一個(gè)多層次的樹狀網(wǎng)絡(luò)系統(tǒng)�,結(jié)構(gòu)復(fù)雜、分布范圍寬�、網(wǎng)絡(luò)客戶機(jī)多,所以應(yīng)按照分布式多層次的管理結(jié)構(gòu)進(jìn)行安全管理��,如圖3所示�,某單位網(wǎng)絡(luò)假設(shè)三級(jí)網(wǎng)絡(luò)安全管理中心,每個(gè)中心設(shè)一臺(tái)安全管理平臺(tái)����,遂行本級(jí)網(wǎng)絡(luò)的安全管理。上級(jí)管理中心通過安全管理平臺(tái)將必要的安全策略��,標(biāo)準(zhǔn)和協(xié)議信息下傳給下級(jí)管理中心�����。上級(jí)管理中心也可通過安全管理平臺(tái)獲取下級(jí)管理中心的審計(jì)信息����。如上級(jí)的安全管理平臺(tái)通過網(wǎng)絡(luò)可調(diào)看下級(jí)的網(wǎng)絡(luò)拓?fù)浜桶踩录幹脠?bào)告��,掌握下級(jí)的網(wǎng)絡(luò)安全狀況����。
(2)各級(jí)安全管理中心的數(shù)據(jù)傳輸模式���。安全管理中心的安全數(shù)據(jù)上傳和下達(dá)采用C/S模式,一般由上級(jí)管理中心提出申請(qǐng)��,下級(jí)管理中心回應(yīng)��。因?yàn)榫陀?jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)系統(tǒng)實(shí)際運(yùn)行狀況來看���,總是要求下級(jí)管理中心上報(bào)的數(shù)據(jù)多于上級(jí)管理中心向下傳達(dá)的數(shù)據(jù)�。為了保證數(shù)據(jù)傳輸?shù)膶?shí)時(shí)準(zhǔn)確��,以上級(jí)管理中心為Server�,下級(jí)管理中心為Client。下級(jí)管理中心是多對(duì)一的數(shù)據(jù)交流模式����。對(duì)于上級(jí)管理中心下傳數(shù)據(jù),采取下級(jí)管理中心的數(shù)據(jù)庫按時(shí)輪訊的方式實(shí)現(xiàn)��。
當(dāng)安全管理中心多于兩級(jí)時(shí)�,數(shù)據(jù)傳輸模式如圖4所示。
(3)安全數(shù)據(jù)交換的一致性保證����。為保證安全管理中心之間數(shù)據(jù)交換的一致性����,采用事務(wù)提交與時(shí)間標(biāo)簽相結(jié)合的方式來實(shí)現(xiàn)�。安全數(shù)據(jù)的事務(wù)提交:由于上下級(jí)之間是跨區(qū)域的遠(yuǎn)程傳輸,為保證數(shù)據(jù)的完整性��,采用數(shù)據(jù)的事務(wù)提交方式來處理�����,每一次傳輸?shù)臄?shù)據(jù)將是一個(gè)整體事件的所有數(shù)據(jù)���,這樣就能保證數(shù)據(jù)的完整性�。反之�����,則必須重傳��。為了處理重傳同步和上下級(jí)之間的一致性��,我們?yōu)槊恳粋€(gè)事務(wù)加一個(gè)時(shí)間標(biāo)簽����,即每次傳輸完一個(gè)事務(wù)的所有數(shù)據(jù)時(shí)同時(shí)加傳一個(gè)時(shí)間標(biāo)簽記錄。這個(gè)記錄至少應(yīng)有如下幾項(xiàng):日期時(shí)間����、事務(wù)名、該事務(wù)的記錄數(shù)��。
收方當(dāng)收到這個(gè)時(shí)間標(biāo)簽后�, 則表明一個(gè)事務(wù)的數(shù)據(jù)傳輸結(jié)束,則可以更新數(shù)據(jù)�,同時(shí)將此時(shí)間標(biāo)簽保存下來,并回發(fā)一個(gè)確認(rèn)包�����。發(fā)送方如收到這個(gè)包����,則認(rèn)為上級(jí)中心已更新了這個(gè)事務(wù)的數(shù)據(jù),就從時(shí)間標(biāo)簽隊(duì)列里清除掉這個(gè)時(shí)間標(biāo)簽�����。
上述過程已完整地表述了異地?cái)?shù)據(jù)一致性分布的實(shí)現(xiàn)方法����,如圖5所示�����。
7 系統(tǒng)安全管理流程
信息安全管理平臺(tái)的安全管理貫穿整個(gè)信息系統(tǒng)運(yùn)行過程�,包括事前�、事中、事后等過程�。
(1)信息系統(tǒng)運(yùn)行前。安全管理平臺(tái)對(duì)信息系統(tǒng)的安全管理�,從實(shí)施前的安全策略的制定、風(fēng)險(xiǎn)評(píng)估分析��、系統(tǒng)安全加固以及對(duì)實(shí)施人員進(jìn)行安全訓(xùn)練就已經(jīng)開始�����,保證在已有的安全防護(hù)體系條件下對(duì)系統(tǒng)存在的安全隱患和將實(shí)施的安全策略心中有數(shù)�。
(2)信息系統(tǒng)運(yùn)行中。在系統(tǒng)運(yùn)行過程中�,對(duì)網(wǎng)絡(luò)中的各種主機(jī)、安全設(shè)備實(shí)施全程安全監(jiān)控��,安全運(yùn)行日志同時(shí)進(jìn)行詳細(xì)的記錄,在系統(tǒng)發(fā)生安全事件時(shí)���,根據(jù)事件等級(jí)進(jìn)行排隊(duì)��,安全管理平臺(tái)實(shí)時(shí)調(diào)用相應(yīng)的事件處理機(jī)制。事件的處理機(jī)制見事件處理流程如圖6所示���。
(3)信息系統(tǒng)運(yùn)行后�。定期組織進(jìn)行安全自查��,消除安全隱患��。通過分析系統(tǒng)運(yùn)行的狀況(包括性能分析���、日志跟蹤���、故障出現(xiàn)概率統(tǒng)計(jì)等),提出新的安全需求�����,進(jìn)行技術(shù)改進(jìn)�����,包括系統(tǒng)升級(jí)、加固和變更管理�����。
(4)安全事件管理方式和處理流程���。
自動(dòng)處理: 將預(yù)案中的安全事件及其處理辦法(如系統(tǒng)弱點(diǎn)漏洞��、惡意攻擊特征����、病毒感染特征���、網(wǎng)絡(luò)故障和違規(guī)操作�、防火墻與IDS聯(lián)動(dòng)����、沙箱模擬運(yùn)行等)存入安全知識(shí)庫并形成相應(yīng)的處理規(guī)則,當(dāng)相應(yīng)事件出現(xiàn)時(shí)��,系統(tǒng)將根據(jù)處理規(guī)則進(jìn)行自動(dòng)處理�。
人工干預(yù)處理:根據(jù)情況的需要�,也可在信息安全管理平臺(tái)上按事件級(jí)別進(jìn)行人工干預(yù)處理�����,主要包括技術(shù)咨詢��、數(shù)據(jù)恢復(fù)�、系統(tǒng)恢復(fù)、系統(tǒng)加固��、現(xiàn)場(chǎng)問題處理�����、跟蹤攻擊源�、處理報(bào)告提交等��。
遠(yuǎn)程處理:當(dāng)安全管理員從管理平臺(tái)的拓?fù)鋱D上觀察到安全事件發(fā)生時(shí)或收到下級(jí)轉(zhuǎn)交的要求協(xié)助解決的安全事件時(shí)��,除了直接提供處理方案給對(duì)方外����,還可以通過遠(yuǎn)程操作直接對(duì)發(fā)生安全事件的系統(tǒng)進(jìn)行診斷和處理。
決策分析處理:決策分析模塊預(yù)先收集���、整理安全事件的資料����,組織安全專家根據(jù)事件類型、出現(xiàn)事件的設(shè)備��、事件發(fā)生的頻繁度����、事件的危害程度等因素列出等級(jí)、層次并打分�,列出判斷矩陣,運(yùn)用層次分析法求解判斷矩陣�,分別計(jì)算出各因素的權(quán)重值,一并存入專家知識(shí)庫中����。運(yùn)行時(shí)將調(diào)用專家知識(shí)庫對(duì)實(shí)時(shí)收到的系統(tǒng)安全事件進(jìn)行判斷和計(jì)算,如果是單條事件根據(jù)預(yù)案直接處置�,多條事件則求出組合權(quán)重值并對(duì)事件排隊(duì),系統(tǒng)根據(jù)事件重要程度依據(jù)預(yù)案依次處置�����。
安全系統(tǒng)聯(lián)動(dòng)處理:安全事件響應(yīng)模塊根據(jù)安全事件關(guān)聯(lián)分析模塊發(fā)來的安全事件關(guān)聯(lián)要素調(diào)用應(yīng)急預(yù)案庫進(jìn)行安全設(shè)備聯(lián)動(dòng)處理����,如收到IDS檢測(cè)到某協(xié)議某端口有DDOS攻擊���,依據(jù)預(yù)案將發(fā)送安全規(guī)則給總出口的防火墻,及時(shí)關(guān)閉該協(xié)議和端口���。以實(shí)現(xiàn)一體化安全管理���。
記錄和事后處理:信息安全管理平臺(tái)在信息系統(tǒng)運(yùn)行時(shí)收集并記錄所有的安全事件和報(bào)警信息,這些事件和信息將作為事后分析的依據(jù)��。
8 關(guān)鍵技術(shù)及設(shè)計(jì)思路
一個(gè)系統(tǒng)是否先進(jìn)和實(shí)用���,關(guān)鍵是系統(tǒng)的設(shè)計(jì)思想和所應(yīng)用的技術(shù)。為了使下一代信息安全管理平臺(tái)具有創(chuàng)新性����,我們提出了“應(yīng)用大數(shù)據(jù)挖掘及分析技術(shù)”和“重點(diǎn)防御AET和APT”的設(shè)計(jì)思想,并且應(yīng)用了多方面的先進(jìn)技術(shù)�。
在本系統(tǒng)中,采用了幾項(xiàng)技術(shù):形式化語言翻譯技術(shù)�����;安全產(chǎn)品數(shù)據(jù)交換標(biāo)準(zhǔn);安全事件決策分析技術(shù)�����;高性能數(shù)據(jù)采集器��;安全事件的關(guān)聯(lián)分析��;大數(shù)據(jù)挖掘分析��;AET和APT檢測(cè)技術(shù)��。
(1)安全產(chǎn)品數(shù)據(jù)交換標(biāo)準(zhǔn)��。為市場(chǎng)上的安全產(chǎn)品(如防火墻�����、IDS/IPS���、漏洞掃描���、安全審計(jì)和防病毒產(chǎn)品等)制定數(shù)據(jù)交換標(biāo)準(zhǔn)。為此�����,所有安全產(chǎn)品都必須清楚地描述幾方面內(nèi)容(BNF描述法):
::=
::=||
::=|
::=||||
::=||||
::=||||
::=||||
(2)高性能數(shù)據(jù)采集器。高性能數(shù)據(jù)采集器也叫探針��,是信息內(nèi)容監(jiān)測(cè)系統(tǒng)和大數(shù)據(jù)安全分析的前端設(shè)備���,該設(shè)備性能的好壞直接影響系統(tǒng)的功能和性能����。如法國GN Fastnet C Probe硬件設(shè)備���,該設(shè)備的特點(diǎn)是:直接嵌入需要監(jiān)測(cè)的網(wǎng)絡(luò)����;不損失網(wǎng)絡(luò)性能與效率���,能夠適應(yīng)多種網(wǎng)絡(luò)環(huán)境,能夠采集多種協(xié)議下的數(shù)據(jù)流信息�����;全線速采集數(shù)據(jù)100M
利用該設(shè)備作為信息內(nèi)容監(jiān)測(cè)系統(tǒng)和大數(shù)據(jù)安全分析的數(shù)據(jù)采集設(shè)備�,能夠適應(yīng)多種類型的網(wǎng)絡(luò)接口:局域網(wǎng)��、企業(yè)網(wǎng)���、廣域網(wǎng)、快速以太網(wǎng)等�,它的高性能的數(shù)據(jù)采集能力,極大地降低了系統(tǒng)數(shù)據(jù)采集的漏包率����。
(3)安全事件的關(guān)聯(lián)分析。對(duì)包含安全事件的數(shù)據(jù)流進(jìn)行分析�,如果是結(jié)構(gòu)化數(shù)據(jù)可在基于經(jīng)驗(yàn)知識(shí),人工建立的規(guī)則和模型基礎(chǔ)上�����,進(jìn)行簡單的關(guān)聯(lián):安全事件與用戶身份的關(guān)聯(lián)分析實(shí)現(xiàn)安全事件到“人”的定位��;安全事件與系統(tǒng)脆弱性信息的關(guān)聯(lián)分析實(shí)現(xiàn)安全事件危害程度的正確評(píng)估�;安全事件與威脅源關(guān)聯(lián)分析提高評(píng)估安全事件的級(jí)別和緊急程度的可信度;多個(gè)安全事件的關(guān)聯(lián)分析�����,聚焦安全事件的連鎖危害�����,提升安全事件的嚴(yán)重級(jí)別和緊急程度;泄密安全事件與身份信息的關(guān)聯(lián)實(shí)現(xiàn)泄密源的真正定位����;安全事件自身關(guān)聯(lián)實(shí)現(xiàn)安全事件活動(dòng)場(chǎng)景的全展現(xiàn);安全事件與流量樣本數(shù)據(jù)關(guān)聯(lián)分析�,判斷安全事件的性質(zhì)(是否AET或APT攻擊)。
(4)大數(shù)據(jù)挖掘和分析���。目前的大數(shù)據(jù)分析主要有兩條技術(shù)路線�,一是憑借先驗(yàn)知識(shí)人工建立數(shù)學(xué)模型����,二是通過建立人工智能系統(tǒng),使用大量樣本數(shù)據(jù)進(jìn)行訓(xùn)練���,讓機(jī)器代替人工獲得從數(shù)據(jù)中提取知識(shí)的能力���。
由于AET和APT攻擊的數(shù)據(jù)包大部是非結(jié)構(gòu)化或半結(jié)構(gòu)化數(shù)據(jù)�,模式不明且多變,因此難以靠人工建立數(shù)據(jù)模型去挖掘其特征�����,只能通過人工智能和機(jī)器學(xué)習(xí)技術(shù)進(jìn)行分析判斷。
應(yīng)用大數(shù)據(jù)挖掘和分析新型網(wǎng)絡(luò)攻擊的思路:通過大數(shù)據(jù)解決方案將相關(guān)歷史數(shù)據(jù)(攻擊流量)保存下來�����,通過人工智能軟件來分析這些樣本并提取相應(yīng)的知識(shí)���,將疑似AET和APT攻擊的異常樣本知識(shí)存入專家知識(shí)庫�。
大數(shù)據(jù)挖掘和分析在平臺(tái)中主要用于分析與檢測(cè):流量異常分析���,行為異常分析��,內(nèi)容異常分析�����,日志與網(wǎng)絡(luò)數(shù)據(jù)流的關(guān)聯(lián)分析��,威脅與脆弱性的關(guān)聯(lián)分析�����,基于正常的安全基線模型檢測(cè)異常事件�����。
(5)AET和APT檢測(cè)判斷技術(shù)���。未知威脅最典型也是最難檢測(cè)的屬AET和APT��,所以新一代信息安全管理平臺(tái)中的IDS/IPS和防火墻必須包括不斷更新的AET庫�����,專家知識(shí)庫中應(yīng)包括APT攻擊樣本知識(shí)�,因?yàn)锳ET和APT用傳統(tǒng)的威脅攻擊特征庫根本無法比對(duì)發(fā)現(xiàn)�����。AET主要通過先進(jìn)的AET知識(shí)庫進(jìn)行合規(guī)性判別�,其核心的先進(jìn)檢測(cè)技術(shù)主要包括“對(duì)全協(xié)議層數(shù)據(jù)流進(jìn)行解碼和規(guī)范化”,“基于規(guī)范化的逃避技術(shù)清除”��,“基于應(yīng)用層數(shù)據(jù)流的特征檢測(cè)” �����。
APT可以通過多種手段進(jìn)行分析檢測(cè):收集來自IT系統(tǒng)的各種信息,如圖8所示��。
基于流量統(tǒng)計(jì)的檢測(cè)���。記錄關(guān)鍵節(jié)點(diǎn)的正常網(wǎng)絡(luò)通信數(shù)據(jù)包樣本,以樣本特征檢測(cè)為輔異常檢測(cè)為主�����,通過異常檢測(cè)發(fā)現(xiàn)未知的入侵���。
沙盒分析與入侵指標(biāo)確認(rèn)����。將疑似APT數(shù)據(jù)包組裝好�����,放入沙盒(緩存)中模擬運(yùn)行(引爆)并與入侵指標(biāo)(活動(dòng)進(jìn)程��、操作行為�����、注冊(cè)表項(xiàng)等)比對(duì)加以驗(yàn)證。
9 安全管理數(shù)據(jù)庫系統(tǒng)的設(shè)計(jì)
(1)數(shù)據(jù)組織與分類���。根據(jù)信息安全管理平臺(tái)的需求����,安全管理數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)內(nèi)容包括:管理信息��、網(wǎng)管信息����、安全審計(jì)、專家知識(shí)四類十余種數(shù)據(jù)格式�。安全管理數(shù)據(jù)庫系統(tǒng),是以四類數(shù)據(jù)為處理對(duì)象��,實(shí)現(xiàn)對(duì)信息安全管理平臺(tái)數(shù)據(jù)的積累����、存貯管理、更新���、查詢及處理功能的數(shù)據(jù)庫應(yīng)用系統(tǒng)��。經(jīng)過數(shù)據(jù)庫設(shè)計(jì)��,安全管理數(shù)據(jù)庫系統(tǒng)的四類十余種數(shù)據(jù)格式�����,規(guī)范分解為包括10余種關(guān)系結(jié)構(gòu)的關(guān)系模型����,在此基礎(chǔ)上可根據(jù)用戶應(yīng)用要求設(shè)計(jì)多種格式的審計(jì)報(bào)表����。
(2)數(shù)據(jù)庫結(jié)構(gòu)框圖。通過上述信息安全管理平臺(tái)的設(shè)計(jì)思路簡介��,可以大致了解新一代信息安全管理平臺(tái)的工作過程和在網(wǎng)絡(luò)安全管理上發(fā)揮的作用����,我們希望早日看到擁有自主知識(shí)產(chǎn)權(quán)的國產(chǎn)信息安全管理平臺(tái)在我國重要信息系統(tǒng)的網(wǎng)絡(luò)安全管理上發(fā)揮重要的作用。
【注1】 AET(Advanced Evasion Techniques)�����,有的文章譯為高級(jí)逃避技術(shù)�����、高級(jí)逃逸技術(shù),筆者認(rèn)為譯為高級(jí)隱遁技術(shù)比較貼切�,即說明采用這種技術(shù)的攻擊不留痕跡,又可躲避IDS����、IPS的檢測(cè)和阻攔。
【注2】 APT(Advanced Persistent Threat)直譯為高級(jí)持續(xù)性威脅���。這種威脅的特點(diǎn)�,一是具有極強(qiáng)的隱蔽能力和很強(qiáng)的針對(duì)性����;二是一種長期而復(fù)雜的威脅方式。它通常使用特種攻擊技術(shù)(包括高級(jí)隱遁技術(shù))對(duì)目標(biāo)進(jìn)行長期的�、不定期的探測(cè)(攻擊)。
參考文獻(xiàn)
[1] 信息安全管理平臺(tái)的設(shè)計(jì)[J].計(jì)算機(jī)安全����,2003年第12期.
[2] CNGate 下一代高智能入侵防御系統(tǒng).北京科能騰達(dá)信息技術(shù)有限公司,2012年8月.
[3] 高級(jí)隱遁技術(shù)對(duì)當(dāng)前信息安全防護(hù)提出的嚴(yán)峻挑戰(zhàn)[J].計(jì)算機(jī)安全���,2012年第12期.
[4] 高級(jí)隱遁攻擊的技術(shù)特點(diǎn)研究[J].計(jì)算機(jī)安全�����,2013年第3期.
[5] 星云多維度威脅預(yù)警系統(tǒng)V2.0.南京翰海源信息技術(shù)有限公司���,2013年12月.
[6] 我國防護(hù)特種網(wǎng)絡(luò)攻擊技術(shù)現(xiàn)狀[J].信息安全與技術(shù)����,2014年第5期.
[7] 大數(shù)據(jù)白皮書2014年.工業(yè)和信息化部電信研究院�����,2014年5月.
[8] 提高對(duì)新型網(wǎng)絡(luò)攻擊危害性的認(rèn)識(shí) 增強(qiáng)我國自主安全檢測(cè)和防護(hù)能力[J].信息安全與技術(shù)�����,2014年第10期.
[9] CNGate-SIEM 安全信息事件管理平臺(tái).北京科能騰達(dá)信息技術(shù)有限公司�,2015年6月.
第8篇
(沈陽大學(xué)經(jīng)濟(jì)學(xué)院�����,遼寧沈陽110041)
摘 要:地方財(cái)政收入質(zhì)量的評(píng)價(jià)的核心問題是指標(biāo)評(píng)價(jià)體系的構(gòu)建�,這個(gè)體系應(yīng)包括合法性指標(biāo)、合理性指標(biāo)和真實(shí)性指標(biāo)三個(gè)部分����,運(yùn)用這些指標(biāo)對(duì)沈陽的財(cái)政收入評(píng)價(jià)的結(jié)果對(duì)遼寧乃至全國的財(cái)政收入質(zhì)量情況分析都有一定的意義�。沈陽財(cái)政收入存在著總量��、構(gòu)成及執(zhí)法方式不合理等情況�����,應(yīng)采取加強(qiáng)地方財(cái)源建設(shè)�����,適當(dāng)減輕工商企業(yè)的稅費(fèi)�,預(yù)防和化解地方財(cái)政風(fēng)險(xiǎn),減少稅收?qǐng)?zhí)法中的隨意性��,打擊財(cái)政收入“注水”現(xiàn)象等措施����。
關(guān)鍵詞 :地方財(cái)政收入質(zhì)量;評(píng)價(jià)指標(biāo)�;構(gòu)建;運(yùn)用
中圖分類號(hào):F812文獻(xiàn)標(biāo)志碼:A文章編號(hào):1000-8772(2014)22-0103-02
收稿日期:2014-05-19
基金項(xiàng)目:論文為2014年度遼寧省社科聯(lián)遼寧經(jīng)濟(jì)社會(huì)發(fā)展立項(xiàng)課題“地方財(cái)政收入質(zhì)量評(píng)價(jià)指標(biāo)體系的構(gòu)建及優(yōu)化研究——以遼寧為例”(主持人沈陽大學(xué)李忠華����,項(xiàng)目批號(hào)2014lslktzilljj-02)”的系列階段性成果(1)。
作者簡介:李忠華(1965-),男�,吉林九臺(tái)人,教授��,碩士生導(dǎo)師�����,研究方向:稅收理論與實(shí)務(wù)����;霍奕彤(1988-),女��,吉林吉林人��,在讀研究生����,研究方向:稅收理論與實(shí)務(wù)�。
所謂的財(cái)政收入質(zhì)量是指財(cái)政收入的合法性、合理性和真實(shí)性�,以及財(cái)政職能在組織收入中實(shí)現(xiàn)的程度。有關(guān)地方財(cái)政收入質(zhì)量評(píng)問題的研究成果很多����,但對(duì)于能夠指導(dǎo)實(shí)踐的仍顯不足�,應(yīng)研究構(gòu)建全新的地方財(cái)政收入質(zhì)量的評(píng)價(jià)指標(biāo)評(píng)價(jià)體系�,以供實(shí)際部門使用。本文從合法性��、合理性和真實(shí)性三個(gè)方面構(gòu)建這個(gè)指標(biāo)體系����,并以沈陽為例進(jìn)行分析評(píng)價(jià),最后提出相應(yīng)的建議�����。
一����、地方財(cái)政收入質(zhì)量評(píng)價(jià)的必要性
(一)財(cái)政收入的質(zhì)量是政府管理和服務(wù)質(zhì)量的保證
合法性收入下的生活才是高質(zhì)量的。近年來�����,我省經(jīng)濟(jì)運(yùn)行態(tài)勢(shì)良好��,收入質(zhì)量不斷改善�。這與我省一直堅(jiān)持依法治稅、嚴(yán)格征管、應(yīng)收盡收有著密切的聯(lián)系���,從而確保了財(cái)政收入的平穩(wěn)增長���。具體體現(xiàn)在兩具方面:一是積極培植財(cái)源,促進(jìn)稅收收入平穩(wěn)較快增長���。二是強(qiáng)化非稅收入管理��,提高財(cái)政收入質(zhì)量����。繼續(xù)加大對(duì)收費(fèi)項(xiàng)目的清理整頓力度��,取消不合法的行政事業(yè)性收費(fèi)項(xiàng)目��,嚴(yán)禁違規(guī)越權(quán)設(shè)立收費(fèi)項(xiàng)目����。
(二)財(cái)政收入的取得方式影響著經(jīng)濟(jì)社會(huì)發(fā)展
近些年來���,地方政府的非稅收入增加較多��,并快于稅收的增加����,使得地方財(cái)政收入與地方可用財(cái)力不同步。因?yàn)榉嵌愂杖氪蠖荚谪?cái)政上列收列支�,有專項(xiàng)用途,真正體現(xiàn)在地方政府財(cái)力上用于正常支出的部分并不多��。由此造成地方財(cái)政收入的增長并未帶來地方實(shí)際可用財(cái)力的同步增長�����。這種看起來很可觀的地方財(cái)政收入的“量”����,由于沒有較好的“質(zhì)”,并沒有使地方財(cái)政困難狀態(tài)得以改善���。許多地方的收費(fèi)收入快速增長���,甚至出現(xiàn)了收費(fèi)收入增長超過稅收收入增長的不正常現(xiàn)象����。收費(fèi)收入的過度擴(kuò)張嚴(yán)重地抑制了稅收收入的正常增長�����。
(三)政府取得財(cái)政收入的執(zhí)法行為具有導(dǎo)向效應(yīng)
政府行為對(duì)私人具有導(dǎo)向效應(yīng)���。主要是通過稅收,稅收是對(duì)居民收入分配之后的再分配����,比如企業(yè)和個(gè)人的所得稅,就是在個(gè)人勞動(dòng)所得和企業(yè)經(jīng)營利潤分配的基礎(chǔ)上��,在進(jìn)行一次由政府參與并主導(dǎo)的分配���。政府的稅收收的多��,個(gè)人或企業(yè)實(shí)際收入就少�����,反之亦然�����,從而對(duì)國民收入有影響�����。另外政策導(dǎo)向性的分配��,比如對(duì)一些鼓勵(lì)的行業(yè)給予財(cái)政補(bǔ)貼或者稅收優(yōu)惠����,而對(duì)于限制性的則征收高稅率���,收取相關(guān)行政性費(fèi)用等��。
二����、地方財(cái)政收入質(zhì)量評(píng)價(jià)指標(biāo)體系的構(gòu)建
就地方財(cái)政收入質(zhì)量評(píng)價(jià)體系指標(biāo)而言��,目標(biāo)不同����,指標(biāo)也會(huì)有一些差別,但總體而言應(yīng)從合法性����、合理性���、真實(shí)性三個(gè)維度來構(gòu)建這個(gè)指標(biāo)體系。具體包括:一是合法性分析��。如有無“收過頭稅”�����、“有稅下征”����、“寅吃卯糧”、“應(yīng)退不退”��、“應(yīng)減不減”等����。二是合理性分析。包括規(guī)模分析(財(cái)政收入總量)構(gòu)成分析(如財(cái)政收入占GDP比重��、稅收占財(cái)政收入的比例�、主稅收入占稅收收入的比例等)趨勢(shì)分析(如稅收增長率、財(cái)政收入增長率�、財(cái)政收入增長彈性等)效果分析(如稅收收入產(chǎn)業(yè)比率、稅收收入行業(yè)比率等)等指標(biāo)�����。三是真實(shí)性分析:如有無財(cái)政“空轉(zhuǎn)”和“買稅”等����。
這些指標(biāo)在本文中分析運(yùn)用是以遼寧省沈陽市2011年的數(shù)據(jù)為基礎(chǔ),進(jìn)行分析評(píng)價(jià)���,以便發(fā)現(xiàn)存在的問題��,并提出相應(yīng)的建議����。
三�����、地方財(cái)政收入質(zhì)量評(píng)價(jià)指標(biāo)的運(yùn)用——以沈陽市為例
(一)總量分析及趨勢(shì)分析
依據(jù)沈陽市統(tǒng)計(jì)局2011年12月《沈陽統(tǒng)計(jì)月報(bào)》的數(shù)據(jù)�,2011年沈陽市地方稅收約占稅收總收入40%,稅收約占財(cái)政總收入85%���,所以���,沈陽財(cái)政負(fù)擔(dān)率約為24%(8.2%÷40%÷85%)左右���,較比同期副省級(jí)城市沈陽偏高。大部分地區(qū)稅收彈性都超過了2�,大東區(qū)更是11,平均稅收彈性2.1��,這個(gè)比例在副省級(jí)城市中相對(duì)偏高���。
(二)稅收收入構(gòu)成比例分析
依據(jù)沈陽市地稅局2011年《稅收收入分行業(yè)分稅種統(tǒng)計(jì)月報(bào)總表》的情況看�,2011年沈陽市大部分地區(qū)非稅收入比例都超過20%�����,全市24.2%�����,這個(gè)比例較比同期副省級(jí)城市相對(duì)偏高�。
(三)稅收產(chǎn)業(yè)構(gòu)成比例分析
還是依據(jù)沈陽市地稅局2011年《稅收收入分行業(yè)分稅種統(tǒng)計(jì)月報(bào)總表》的情況看,2011年沈陽市大部分地區(qū)“房地產(chǎn)+建筑業(yè)”稅收占比都超過40%�,有的區(qū)如于洪、東陵達(dá)到60%以上�,地方稅收過于依賴房地產(chǎn)及相關(guān)產(chǎn)業(yè)。
(四)第三產(chǎn)業(yè)稅負(fù)增長情況分析
依據(jù)遼寧省地方稅務(wù)統(tǒng)計(jì),遼寧省地方稅務(wù)局�,2007-2010年的統(tǒng)計(jì)數(shù)據(jù)分析,2011年沈陽市第三產(chǎn)業(yè)稅收增長有限����,特別是代表第三產(chǎn)業(yè)方向的現(xiàn)代服務(wù)業(yè)稅收所占比重沒有明顯提升,交通運(yùn)輸�����、金融和現(xiàn)代信息略有下降��,租憑和現(xiàn)代商業(yè)略有上升��。
(五)行業(yè)稅負(fù)情況分析
2011年�,沈陽市裝備制造業(yè)中的電氣機(jī)械及器材制造業(yè)、儀器儀表及文化辦公用機(jī)械制造業(yè)、金屬制品業(yè)��、交通運(yùn)輸設(shè)備制造業(yè)��、專業(yè)設(shè)備制造業(yè)五個(gè)行業(yè)工業(yè)增加值分別為1.19%�����、2.18%���、12.56%��、14.82%�����、13.57%����,稅收增長率分別為12.84%�����、18.75%���、69.62%�����、58.43%�、24.83%����,稅收彈性分別為10.80、8.59、5.54�、3.94、1.83����,而全國裝備制造業(yè)行業(yè)平均工業(yè)產(chǎn)值增長率、稅收增長率��、稅收彈性分別為12.47%��、36.27%��、2.91���。
四、結(jié)論及建議
(一)加強(qiáng)地方財(cái)源建設(shè)是提高地方財(cái)政收入質(zhì)量之本
2012年���,中央財(cái)政收入占總收入比重47%��。而在事權(quán)下移的情況下地方財(cái)政捉襟見肘���,網(wǎng)民有“中央財(cái)政喜氣洋洋,省市財(cái)政勉勉強(qiáng)強(qiáng)�,縣級(jí)財(cái)政拆東墻補(bǔ)西墻,鄉(xiāng)鎮(zhèn)財(cái)政哭爹喊娘”的順口溜。應(yīng)加強(qiáng)地方財(cái)源建設(shè)�。減少對(duì)非稅收入和土地財(cái)政的過度依賴。
(二)“輕徭薄賦�,休養(yǎng)生息”是提高地方財(cái)政收入質(zhì)量之源
在古代,我國有“輕徭薄賦����,休養(yǎng)生息”之說,西方經(jīng)濟(jì)學(xué)中著名的拉弗曲線���,演示著稅收與經(jīng)濟(jì)良性發(fā)展的關(guān)系����。012年���,我國財(cái)政收入占GDP比重22.57%�,如果加上政府預(yù)算外收入���、體制外收入����,許多人估計(jì)30%左右���,而發(fā)展中國家平均20%-25%����。所以,應(yīng)適當(dāng)降低財(cái)政收入占GDP比重�����。
(三)預(yù)防和化解地方財(cái)政風(fēng)險(xiǎn)是提高地方財(cái)政收入質(zhì)量的重要措施
2012年���,我國地方本級(jí)收入61077億元���,地方本級(jí)財(cái)政支出106947億元,收支差額為45870億元���。另據(jù)來自審計(jì)暑的資料,9個(gè)省會(huì)城市本級(jí)政府負(fù)有償還責(zé)任的債務(wù)率已超過100%����,最高達(dá)189%。省會(huì)城市中債務(wù)壓力排名最高的10個(gè)為:高京����、成都��、廣州���、合肥、昆明����、長沙、武漢��、哈爾濱�����、西安和蘭州��。所以應(yīng)采取措施�,加強(qiáng)地方財(cái)政風(fēng)險(xiǎn)的監(jiān)督與控制。
(四)規(guī)范執(zhí)法��,減少執(zhí)法隨意性是提高地方財(cái)政收入質(zhì)量的必然選擇
賦稅����,以法律法規(guī)做依據(jù)。實(shí)際中仍存在多種不依法征稅情形�����。包括征過頭稅、寅吃卯糧�����、應(yīng)退不退��,應(yīng)優(yōu)惠不優(yōu)惠等�。如焦點(diǎn)訪談報(bào)的四川某地向當(dāng)?shù)剞r(nóng)民強(qiáng)征房產(chǎn)稅。河北河間稅務(wù)所按納稅人電費(fèi)強(qiáng)征稅(每度電征0.9元)���,稅款可直接存在個(gè)人銀行卡����。山東某地稅務(wù)機(jī)關(guān)直接將稅收任務(wù)轉(zhuǎn)包納稅務(wù)師事務(wù)所等��。尤其對(duì)基層稅務(wù)機(jī)關(guān)一些不依法�、超標(biāo)準(zhǔn)隨意征收�,吃、拿�、卡、要的現(xiàn)象應(yīng)采取強(qiáng)有力的措施進(jìn)行治理���,以源頭預(yù)防為主����,防管結(jié)合。
參考文獻(xiàn):
[1]申益維.遼寧省財(cái)政收入結(jié)構(gòu)優(yōu)化研究[D].遼寧大學(xué)�����,2013:23-28.
[2]彎海川.地方財(cái)政收入優(yōu)化與區(qū)域經(jīng)濟(jì)發(fā)展[M].東北財(cái)經(jīng)大學(xué)出版社���,2011:235—240.
[3]遼寧省地方稅務(wù)局��,遼寧省地方稅務(wù)統(tǒng)計(jì)�����,2007-2010年.
