发布时间:2023-03-23 15:12:32
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的审计数据分析论文样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
论文摘要:随着信息技术被广泛、深入地应用在会计工作中,会计工作发生了根本性的改变,不仅原有的会计数据处理流程发生了改变,会计环境也被极大地改变了,使传统的审计理念和技术面临巨大的挑战,审计人员不仅面临“进不了门,打不开账”的尴尬局面,审计理论和方法也急待改进以适应信息化的进程。
1现代审计与传统审计的共同点
计算机审计的目标与传统手工审计的目标是一致的,无论是计算机审计还是传统审计,国家审计的审计过程都必须经过审计准备、审计实施与审计报告三个阶段,通过执行检查、观察、询问、函证、重新计算、重新执行、分析程序等基本审计程序来获取充分、适当的审计证据,并将审计思路和审计过程予以记录形成审计工作底稿,作为发表审计意见的依据。
2现代审计与传统审计的差异
2.1站在新角度随着国民经济的发展,信息网络广泛普及,信息化成为经济社会发展的显著特征,各行各业普遍运用计算机和网络等信息技术进行管理,审计人员不得不面对海量的会计电子数据。在手工审计方式下,审计人员总是先分析审计对象的各个部分,再归纳、综合为整体,其思维方式是:部分一整体,这适合于数据量不大的审计对象,却很难全面把握海量数据。而计算机审计打破了手工审计思维方式,强调以系统论核心,从系统上把握审计对象,即从审计对象的整体出发,先进行系统分析,把握总体,再建立审计模型,分析数据,最后作出总体评价,其思维方式是:整体一部分一整体,计算机审计能够从宏观上和系统上把握审计对象,以扩大审计监督范围,提高审计监督能力。
2.2面临新环境计算机审计下的审计环境发生了很大的变化。一方面表现为审计人员必须利用计算机实施审计,要求审计人员能熟练操作计算机特别是相关的审计软件;另一方面由于信息技术在会计工作中的广泛、深入的应用不仅改变了原有的会计数据处理流程,还极大地改变了会计环境。信息化建设使得所有会计数据不再是纸介质的凭证、账簿及报表,而是以“比特”方式保存在磁性介质上,数据表现形式虚拟化,即审计环境数字化,审计人员所面对的已不是传统意义上的账本,而是无形的电子数据和处理这些电子数据的会计核算管理系统,而这些会计电算化软件版本各异,使得审计环境比传统手工模式下显得更为复杂。
2.3线索更复杂计算机审计环境下,传统的审计线索因会计电算化系统而中断甚至消失。在手工会计系统中,从原始凭证到记账凭证,从过账到财务报表的编制,每一步都有文字记录,都有经手人签字,其纸质业务轨迹,是重要的审计线索与审计证据的来源,审计线索十分清楚。但在会计电算化系统中,传统的账簿、相关的文字记录被磁盘和磁带取代,加上从原始数据进入计算机,到财务报表的输出,会计处理集中由计算机按程序自动完成,传统的审计线索在这里消失。而审计线索的改变,导致在电算化系统中可人为篡改数据而不留痕迹,如电算化系统数据来源、公式定义、编制结果、打印格式均采用机内文件的形式,若有人篡改公式、编制失真的财务报表,然后再将篡改的公式等予以复原,则很难判定报表数据的正确与真实性。从而使得传统审计的追踪审查已不适用,审计入手点更多的是靠判断和经验。
2.4涉及的范围更大在会计电算化信息系统中,由于会计事项由计算机按程序自动进行处理,因疏忽大意而引起的计算机或过账错误的机会大大减少了,但如果会计电算化系统的应用程序出错或被人非法篡改,后果将不堪设想。
计算机审计的另一项重要内容是对电子数据直接进行测试,即审计人员不须先将被审计单位的电子数据转换成电子账套再实施审计程序,而是摆脱传统的电子账套及其所反映的财务信息,深入到计算机信息系统的底层数据库,获取更多更广泛的数据,然后通过对底层数据的分析处理,获得大量的多种类型的有用信息。
总而言之,计算机审计的范围较传统手工审计要广泛得多、深刻得多。审计人员可以根据审计目标的需要将审计的范围和内容作出必要的扩大。
2.5审计技术更现代传统手工审计随着风险基础审计模式在实务中的广泛运用,分析性测试方法逐渐成为其核心方法。但信息技术的应用导致审计内容及审计线索的变化,要求审计人员必须革新审计技术方法,计算机审计的核心方法是数据分析方法。数据分析方法不同于传统的分析性测试仅局限于对信息的处理,它是对来自于底层的、元素性的数据进行处理,可以有多种多样的组合,在用途上可以作多种多样的拓展,从而形成多种多样的信息。因此,数据分析技术可以用于多种测试工作。在采用数据分析方法时,可使用两种计算机审计特有的新型审计工具:审计中间表方法、审计分析模型方法。审计中间表是利用被审计单位数据库中的基础电子数据,按照审计人员的审计要求,由审计人员构建,可供审计人员进行数据分析的新型审计工具。它是实现计算机审计的关键技术。审计分析模型是审计人员用于数据分析的技术工具,它是按照审计事项应该具有的时间或空间状态(例如趋势、结构、关系等),由审计人员通过设定判断和限制条件来建立起数学的或逻辑的表达式,并用于验证审计事项实际的时间或空间状态的技术方法。
2.6审计流程更长计算机审计由三阶段演变为四个阶段。传统手工审计模式中,国家审计的审计过程一般可分为审计准备、审计实施和审计报告三个阶段。但是,在引入计算机审计后,审计准备阶段与审计实施阶段的界限变得非常不清,可能是由于数据分析既像审计准备工作,又像审计实施工作。其中,主要的问题可能是审前调查的归属没有明确的限定。审前调查需要做大量的数据分析工作,而数据分析的测试属性又无法合理确定,于是有些审计人员将其划入审计准备阶段,有些审计人员则将其划入审计实施阶段。我们应当将审计过程再行细分,将其直接划分为四个阶段,即审计准备阶段、审前调查阶段、审计实施阶段和审计报告阶段。审计准备阶段与审前调查阶段的划分原则应该是,审计人员是否需要实施实际的数据分析。如果需要,就须向被审计单位出具具有法律效力的通知书,然后才能获取敏感性、实质性的数据。有了审前调查阶段,审计人员就可以名正言顺地进行数据的采集、转换、整理和分析,从而为制定审计实施方案和进行审计验证奠定坚实的基础。
长期以来,在应用信息技术(IT)过程中,人们总是过多关注其中的技术(T),而缺少对其中的信息(I)给予足够的重视,然而,当人们欣喜地看到IT使会计信息的相关性得以加强之际,又更应当为会计信息的可靠性所受到的威胁深感担忧。为此,COSO的风险管理框架、SOX法案、CIBIT等一系列IT控制规范相继出台,而国际信息系统审计与控制协会(ISACA)的诸多标准、指南和程序更是直接将焦点对准组织的信息资产的安全之上。我国《企业内部控制基本规范》和《企业内部控制应用指引18――信息系统》等规范文件的,强调信息化环境下的会计信息的安全性与可靠性,随后,财政部于2009年的《关于全面推进我国会计信息化工作的指导意见》中,提出未来5~10年会计信息化首要的工作目标,是要建立健全会计信息化法规体系和会计信息化标准体系。国内外诸多IT控制与审计制度的不断涌现,充分说明在构建会计信息化标准化体系之中,当务之急是建立会计信息的生产与传递严密的控制与审计标准体系,为此,笔者在梳理国内外信息审计基本理论的基础上,分析信息审计在会计系统中应用的必要性,进而提出会计系统应用信息审计的若干思考,以求这一工具与方法在我国会计系统中早日得以应用。
二、信息审计研究概述
对信息审计的研究,主要集中在信息审计的基本概念、基本目标及信息审计的主要内容等方面。
(一)信息审计的基本概念 目前,信息审计内涵尚未有一个被理论界认同的概念。美国信息学家D.Ellis(1993)首次将信息审计定义为:“审查已有的信息管理系统,找出问题,提供解决问题的备选方案”(任玉珍,2009),试图将信息审计与信息系统审计合二而一,以求寻找解决问题的方案。布彻南(Buchanan,1998)和吉伯(Gibb)则将信息审计界定为:“对组织信息资源和信息流进行发现、控制和评估,以实施、维护或改进组织的信息管理的过程”,这一定义将信息审计的内容确定为信息资源与信息流两大部分至今影响至深。奥那(Orna,2004)则将信息审计的对象拓展为人、文档和信息,并认为,信息审计是通过对一个组织中的人、文档等的查证,系统地检查信息产生、利用和流动的情况,进而确定其支持目标。英国信息管理协会(Aslib)拓展了信息审计的内容,指出它是参考组织的人员和已有文献,对组织的信息资源、信息流和信息需求等方面进行的系统检查,以确定其对组织目标的贡献程度。我国学者娄策勤和高策(2009)则结合当前新的信息环境和信息理论,将信息审计看作是一种管理工具,认为它是一种发现、解决组织信息管理缺陷的管理工具。黄亦西(2005)也指出,信息审计是为了充分开发信息价值,通过对组织的信息流和信息资源的调查、评估,从而识别组织的信息需求,确定组织的信息环境,并制定相应政策的过程。
必须强调的是,信息审计中的“信息”是一个广义信息的概念,包括严格意义上的信息和数据两类。笔者认为,处于IT广泛应用的今天,信息与数据的细分必不可少,它对人们研究信息审计的对象、内容和范围至关重要,因此,笔者将对应于数据审计的信息审计称为狭义信息审计,以括号注明“狭义”。而将涵盖数据、信息的审计视为广义信息审计。
(二)信息审计的基本目标 美国学者查菲(Chaffey)和伍德(Wood,2008)指出,信息审计是用来评价当前信息质量和管理行为的水平,即“是什么”的问题。它也可作为一种状态分析的工具,用以协助构建信息政策和评价信息战略的目标是否已经实现,将信息审计看成是信息质量与管理不可或缺的工具。赖茂生(2005)认为,信息审计的目的是为了实施、维护或提高组织机构的信息管理。胡善勤则从IT视角出发,指出用以记录网络上各计算机行为的信息审计,其目标有两个:一是可定期对各种网络行为进行采集、统计和分析等,发现存在的漏洞并及时修补;二是在发生安全事故后可以进行信息分析,找到事故原因,进而采取相应的措施。可见,信息审计的根本目标,主要在于提升信息质量,由于信息质量的优劣首先取决于信息资源对企业实现目标所作的贡献,故而在当前情况下,信息审计所面对的必然是企业的IT系统(如ERP系统),基于IT视角可使人们进一步明确信息审计目标,并为企业IT环境确定信息审计的内容与范围。
(三)信息审计的主要内容 随着IT应用的深入,众多学者认为,不应把信息审计看成是一种选择,而是达到确定信息资源的价值、功能和用途,以便充分开发其战略价值的必要步骤。信息审计包括信息资源和信息需求两大内容,但它是否也应包括信息流则是众说纷纭。鉴于信息流审计和信息流程重组中的众多理论和流程具有相似性,有些学者认为信息流审计不应归属于信息审计范畴之内(高策,2009)。笔者认为,处于IT应用的初始阶段,将信息流纳入信息审计的主要内容,对于企业的系统信息流程的标准化与规范化建设具有重要的意义。这是因为,信息流与企业组织流、业务流密切相关,面对网络环境,企业流程再造的本质就是实施三者的同步发展。而从企业ERP系统应用层面来看,信息资源、信息流与信息需求三者不能单独割裂开来,只有将信息流与信息需求、信息资源同步考察,才能对企业的信息管理水平加以客观地评价,并提出相应的改进意见。
信息审计对象应当涵盖信息图谱中的数据、信息和知识三个部分,但对我国企业而言,当前的数据审计与信息审计(狭义)首当其冲,只有这二者真正得以成功实施,并取得一定实效之后,知识审计才可望顺利进行,为此,笔者重点分析数据审计与信息审计(狭义)的具体内容。
从企业经营的业务内容看,信息审计的对象可细分为采购、生产、销售、会计等各子系统的数据审计与信息审计(狭义),这样才能根据各子系统的数据特点与具体内容,对各类信息资源、信息流和信息的使用提出针对性的信息管理评价意见。不难想象,那种既想获取企业信息审计的客观公正的评价意见,又不涉足各业务内容深入考察的做法,将难以实现审计目标。
三、信息审计在会计系统中的地位与作用
会计的价值并非来自于技术,而是取决于会计信息的质量,会计信息的增值首先是通过信息流的改善以降低资源的需求量,通过高质量信息的共享对决策提供支持。为此,采用信息审计以保证会计信息的高质量,也就使会计系统信息管理与控制新增了一道坚实的屏障。
(一)会计系统信息审计与财务报表审计并行不悖 财务报表审计的目标是对财务报表是否按照适用的会计准则和相关会计制度的规定编制,是否在所有重大方面公允反映被审计单位的财务状况、经营成果和现金流量两大方面发表审计意见,以提高财务报表的可信赖程度。而对会计系统而言,作为IT时代的必然产物的信息审计,其审计对象首先是以财务为主的信息资源,以确保该信息资源的价值、功能和用途,进而实施、维护或改进组织的信息管理的过程。虽然两者都有保证信息高质量的目标,但审计内容与审计方法却大相径庭。而从两种审计的审计对象看,虽然都是针对企业的信息资源,但信息审计的范围要宽泛得多,它不仅包括企业的货币、财务等定量信息,而且还包含企业的非货币、非财务等定性信息。财务报表审计必须对被审单位财务报表的会计准则和制度的遵行性,对财务状况、经营成果和现金流量的公允性发表审计意见。而信息审计则是从对企业信息资源、信息流程和信息需求等内容的价值、功能和用途加以评价,发表审计意见。前者注重企业核心信息的合规性,后者则注重企业信息管理质量的提升。从时空上来看,前者注重对所产生财务信息的结果进行评价,而后者则是对信息管理过程进行评价。尽管信息审计之初衷在于整个企业,但在我国首先在会计系统中加以施行,则是纲举目张之举。
(二)会计系统信息审计与信息系统审计异曲同工 企业信息化的实践证明,那种认为只要企业应用信息系统或相应的信息技术就能实现信息化、提高企业信息管理水平的认识有失偏颇,企业信息化建设中的根本因素是信息资源建设问题。目前普遍存在的企业信息资源存量绝对值不足、信息需求匹配度不高、信息资源利用率低、信息资源成本高收益低等弊端。因此,信息审计的当务之急,是要对企业财务信息资源进行控制和评估,以实施、维护或改进企业信息管理的水平。
尽管有学者将信息审计对象界定为信息管理系统,但近20年来信息审计的实践及诸多研究成果表明,审计信息管理系统的任务非信息系统审计莫属,信息审计尽管与信息系统审计有着千丝万缕的联系,但两者的审计目标、对象、范围、内容却有许多不同。Ron.Weber(1999)指出,信息系统审计的目标在于判断被审的信息系统是否能够保证信息资产的安全、数据的完整以及高效地利用组织的资源并有效地实现组织目标的过程,它主要通过获取和评价所收集的证据来保证这一判断的客观公允性。信息系统是其审计对象,获取和评价所收集的证据是其手段与方法。而信息审计的审计对象是数据与信息(狭义),评价产生信息的被审系统则是其手段与方法。两者相辅相成、优势互补的同步,可以从不同途径保证会计系统和信息的高效与高质。
(三)会计系统信息审计与IT环境共生互动 自20世纪90年代初期以来,越来越多的企业流程已经将大型信息系统纳入其中。由于这一技术转变,数据和信息相对于产品的重要性正在凸显。目前很大一部分企业价值已经不在资产负债表之内,在使用大量知识和信息的领域,差异越发明显,以至于越来越多的人想抛弃已经接受的簿记原则(杰普.布勒姆等,2008)。可见,会计系统的信息资源与信息需求面临着重新确认等问题,而亨茨尔(Henczel,2001)所提出的,信息审计是通过识别组织的信息需求,从而有效地确定组织当前信息环境的过程,这一将识别信息需求作为信息审计的主要内容的观点,对重新认识会计系统的信息需求具有十分重要的意义。会计的发展取决于两个因素,一是环境的影响;二是用户对会计的信息需求,信息技术的飞速发展,促使会计系统与这一技术环境的共生和互动关系日趋明显,而经济全球化的竞争态势又驱使会计信息不能局限于眼前以财务为主的经济信息的支持。因此,会计系统面临着信息资源与信息需求的信息审计。
会计信息要力求增值,无疑应当对其数据与信息的采集、处理与生成的基本流程逐一进行分析和提炼,以便求得各流程、工序的精益求精。同时,由于目前大中型企业纷纷使用ERP系统,因而使会计子系统与其他子系统的数据联系越来越密切,而其会计子系统中的管理会计、内部审计等子系统与财务会计子系统的无缝连接越发凸显,为此,针对数以万计存储于企业数据仓库之中的信息资源文件重新进行梳理与管理势在必行。而从审计的角度看,IT环境需要IT治理和IT控制,这是因为这一环境所带来的系统、流程、技术等错综复杂的高风险局面,许多大公司由于难以应对这一高风险局面而陷入信息危机与信息犯罪的旋涡之中。作为信息安全保证的必备工具与方法手段,信息审计在当前会计系统的安全控制不足的状况下尤为必要。
四、信息审计在会计系统中应用的若干思考
尽管会计系统相对于企业其他子系统具有较为严格的信息生产程序、流程和规范,但面对与ERP系统诸多子系统的日益交融局面,会计子系统的数据与信息的管理产生许多问题,如缺少对信息的集中化管理,致使某些有用信息过于分散而难以被决策者获取与使用,又如信息过载使得信息用户难以腾出足够的时间从纷繁复杂的信息中选择其所需要的信息等。诚如信息审计专家H. Botha和J.A.Boon所指出的,需要对信息审计进行更多的研究,在实践中测试更多的方法,使信息专家能够开发出可以放心使用的可靠信息审计方法。笔者认为,当务之急是在对信息审计的必要性取得共识的基础上,探讨会计系统信息审计的主体与内容、审计方法、审计频率与审计重点等问题,以使信息审计在我国早日应用。
(一)会计系统信息审计的主体与内容 本质上说,企业信息审计是企业内部审计的一个有机组成部分,其规划、实施、完善的组织协调工作主要应由企业的内部审计机构为主体加以实施,在聘请外部专家参与信息审计的基础上,辅以企业内外部的相关审计人员来完善审计工作。但由于当前企业信息审计力量不足、缺乏专业胜任能力的人员,故应形成由企业内部审计人员与信息主管人员为主的专业团队。
如前所述,会计系统的信息审计包含会计数据审计与会计信息审计(狭义),从实务上看,前者的审计重点是会计数据的保护、采集、存储、记录和处理规范的管理,而后者的审计重点则是对会计系统所产出的财务报告和提供决策支持信息的管理。从理论研究内容上看,会计数据的审计应当研究会计数据的来源,数据的检索与分析,以及基于信息需求而对会计凭证和账簿等数据的采集、整理及记录规则等方面的管理。而会计信息审计的研究重点则是与流程、选择合适信息系统、信息获取及使用、各类会计信息对相应流程的重要程度,以及与会计信息需求的目标相适应的信息体系的构建等。
(二)信息审计的审计方法 作为人造系统,会计这一应用系统的信息审计应以信息技术为手段,围绕企业各应用子系统的应用过程与应用结果,以及系统安全的合理性、过程行为的合法性、结果数据的真实性,进行客观、适时的监测与审核,将各种违规、可疑事件及时发出警报,并提交改进信息管理的审计报告。
信息审计与信息系统审计同为内部审计的组成部分,但其各自的审计方法不尽相同,亨茨尔(Henczel,2001)强调信息审计是一个循环的过程,包括计划、数据收集、数据分析、数据评价、建议交流以及实施这样一个定期重复的过程。目前比较成熟的信息审计方法有信息地图法、集成审计法、信息流法和亨茨尔(Henczel)法等多种(娄策勤、高策,2009),针对会计系统的特点,笔者认为选用信息流法和亨茨尔(Henczel)法为宜。信息流法既重视信息资源的识别,又能同时对企业信息流进行分析,这正是目前我国会计系统信息审计起步伊始所必须的。而亨茨尔法则是在分析信息流法和集成审计法的基础上,提出了较为科学的信息审计7大步骤,即计划筹备审计计划和准备,通过案例分析取得高层支持;数据收集通过调研建立组织信息资源数据库;数据分析对收集到的数据进行标准化分析;数据评估进行数据判读,提出建议;建议交流报告信息审计结果,交流意见;实施建议开展信息审计建议改革项目;二次审计使信息审计经常化、规律化。对会计系统而言,信息流中的电子凭证审核、记账凭证形成、账簿登录、银行对账和报表编制等沿用手工会计流程的做法,能否符合信息管理与用户信息需求,十分有必要在信息审计过程中进行重新审视与评价。
由于当前尚未形成标准化的信息审计方法体系,因此在实际中,许多信息审计项目多采用了传统的财务审计方法,如成本/效益方法等,这给信息审计实践造成了很大的困惑和混乱,有的学者主张应将财务审计人员的经验与信息审计实践相融合,尽早开发出一套适用于信息审计方法体系(任玉珍,2009)。笔者认为,借鉴财务审计的基本方法与经验,固然是信息审计的实现途径之一,但信息审计方法不能落入财务报表审计方法之中,否则将有可能影响到信息审计任务的完成,两者的审计目标相去甚远,因而其审计方法也必然有很大的不同。鉴于信息系统审计与信息审计所具备的诸多共性,借鉴日益成熟的信息系统审计中的信息流程审计与数据审计的方法不失为一种事半功倍的做法。
(三)会计系统信息审计的频率与重点会计系统的信息审计,首先要明确信息用户对会计信息需求,其次是要对目前可使用信息与信息用户所需要的信息进行信息资源差异对比分析,进而根据当前状况提出消除上述差异解决方案,并制定信息提供与信息流程再造的行动计划。从以上的审计过程看,会计系统信息审计的频率与该系统的使用状况相联系,即信息审计频率与系统使用时间相对应,会计系统一旦受到升级或改进,信息审计就应当紧随其后加以进行。然而,应当注意的是,在信息资源、信息流和信息需求三大信息审计内容中,与系统升级或改进联系最紧的当属信息流。因此,信息审计的频率可以因审计内容而定,一旦会计系统的信息流受到改变,就必须对其实施审计,而信息资源与信息需求则可采用定期审计的方法,根据企业经营决策与竞争的需求,定期实施会计系统的数据审计与信息审计(狭义)。
信息审计包括数据审计与信息审计(狭义),对会计系统而言,数据审计应用研究的重点是会计数据的保护、采集、存储、记录和处理规范等方面,而其理论研究的重点则是会计数据的来源、会计数据的检索与分析、会计凭证和账簿等数据的作用,以及这些数据处理过程中的规范要求。而信息审计(狭义)应用研究的重点是会计系统所产出的财务报告和提供决策支持的信息,其理论研究的重点则是与流程、选择合适信息系统、信息获取及使用、各类会计信息对相应流程的重要程度,以及会计信息需求的目标等相关。
五、结论
疾速形成的网络化与无纸化等信息化环境,促使会计系统的信息审计成为必然,而作为信息化助推器的信息审计,其审计目标、审计内容和审计方法等又确立了其在会计系统中数据与信息安全保障体系中的重要地位。伴随着我国信息审计理论研究的开展,信息审计的成功应用可望水到渠成。届时,信息审计与信息系统审计的并驾齐驱,必然为我国会计系统信息的可靠与相关、信息管理的高质与高效提供强有力的支持。
[本文系福建省教育厅2008年度人文社科项目“我国财务会计信息化发展方向研究”(JA08003S)阶段性研究成果]
参考文献:
[1]任玉珍:《信息审计的内容框架分析》,《农业网络信息》2009年第7期。
[2]娄策勤、高策:《信息审计方法比较研究》,《图书情报工作》2009年第1期。
[3]黄亦西:《信息审计与知识审计的比较研究》,《情报杂志》2005年第10期。
[4]赖茂生:《信息资源管理的技术方法》,irm.impku.edu.en/ownload/e07.pdf,2005-12-17。
[5]胡善勤:《网络信息审计的设计与实现》,吉林大学2008年工学硕士论文。
[6]高策:《企业信息审计研究》,华中师范大学2009年硕士学位论文。
[7]戴维.查菲、史蒂夫.伍德著,赵苹、陈守龙译:《企业信息管理:用信息系统改进绩效》,中国人民大学出版社2008年版。
[8][荷]杰普.布勒姆、梅农.范多恩、皮亚士.米托尔著,程治刚、张翎、张劲译:《SOX环境下的IT治理》,东北财经大学出版社2008年版。
[9]Buchanan,S. and Gibb,F. The information audit:an integrated strategic approach. International journal of information management,1998.
[10]Orna E.Information Strategy in Practice. Aldershol:Gower,2004.
【关键词】 大数据;企业;环境信息披露;路径
一、引言
2016年4月17日,中央电视台的一则报道震惊全国,上市公司诺普信控制的常隆化工厂的土地污染导致江苏常州外国语学校近500名学生出现身体异常。而该公司于2014年曾被诉讼并支付环境整治费。
紫金矿业等上市公司的环境污染事故仍记忆犹新,新的环境污染事故仍然层出不穷。根据环境部的统计数据显示,2003年至今,我国上市公司环境事故的发生次数呈现上升态势,其中空气污染和水污染是最严峻的领域。
2016年2月,北京公众环境研究中心公布的数据显示,我国包括中国铝业等央企在内的141家上市公司在2015年超标排放污染物,尤其是化工行业的企业数量最多。而这141家公司中只有28家公司对此进行了信息披露。而根据我国相关法律法规、政策制度,上市公司应公布包括污染物排放、资源消耗、环境管理等环境信息。
二、中国目前的企业环境信息披露制度
2015年1月1日实施的《中华人民共和国环境保护法》第55条规定,重点排污单位应当如实向社会公众披露主要污染物名称、排放量、排放浓度和总量、超标排放、污染防治设施的建设和运行情况,接受社会监督。第62条违反本法规定,未公开重点排污单位或者未如实披露环境信息的,由县级以上地方政府环境保护部门责令公开,并予以公告。
而2007年的《环境信息公开办法》和2008年《关于加强上市公司环境保护监督管理工作的指导意见》都要求企业及时、准确的公开其环境信息。2014年修订的《公开发行证券的公司信息披露内容与格式准则第2号》鼓励企业积极主动披露履行环境责任,包括公司在污染防治和控制、加强生态保护中采取的措施;属于国家环境保护部门规定的重污染行业上市公司及其子公司,应按照有关规定,披露其在报告期内的重大环境问题和环境信息整改。根据证监会的规定,新股发行审计注重对环境问题的审计,包括:在招股说明书中详细披露发行人的生产管理和投资项目符合国家环保要求,拟上市公司最近3年的环境保护投资相关费用,实际运行的环保设施和环境保护支出;生产环境是否符合国家相关环境规定,是否曾发生环境事故,治理污染设施的运行是否有效,对环境保护设施的养护和日常的污染治理是否符合相关技术规范;当拟上市公司发生环境事故或因环境问题受到处罚,是否详细披露了有关情况,其保荐机构和发行律师是否就此事件构成重大违规问题发表意见。
现行的企业环境信息披露法律法规政策规定有效的推动了我国企业,尤其是重污染上市公司的环境信息披露。对中国A股上市公司中的重污染行业企业所披露的环境信息进行分析发现,根据法律法规及相关政策规定,重污染上市公司大部分披露其环境信息,但环境信息披露中的定性描述,即文字描述较多,而定量描述偏少;主要披露的内容是环境管理和环境治理信息;对环境方面的负面信息,重污染行业上市公司均倾向于不予以披露,即存在报喜不报忧的现象;不同行业披露的环境信息的侧重点有所不同。
从上述分析可以看出,虽然我国企业环境信息披露法律法规政策规定的不断完善有利于企业环境信息披露,但环境信息披露的数量,尤其是信息披露的质量仍然距离公众期待有着较大的距离,有待进一步完善。
三、运用大数据优化企业环境信息披露的路径选择
在大数据时代,全球对数据挖掘技术越来越重视,由于数据已经成为人们生活中不可或缺的一部分,充分利用大数据时代的优势完善我国企业环境信息披露的相关制度规范成为可行的选择。在数据“多维”时代,充分利用大数据对企业的环境信息进行披露具有以下优势:第一,可靠性。以往企业披露的环境责任信息往往突出其一定时间内的某些活动,缺乏对企业生产和管理中环境责任信息的持续性描述,这导致企业环境责任信息的不连续性,而在大数据环境中可以对所有相关的数据进行整体分析,得出一个完整的信息组,更好的反应环境信息的真实性。第二,多样性。传统的环境责任信息披露中,由于数据的可能缺失,监管部门和社会公众很难对企业的环境责任活动进行识别和衡量,而在大数据时代,信息的载体和方式是多样的,可以以各种形式反映信息,有助于提供完整的企业环境责任信息内容。第三,可追溯性。在反映企业环境责任信息的路径上,由于缺乏控制机制,难以实现信息的跟踪,而在大数据时代,数据可以被记录在不同的维度,不同维度的数据之间的分析为企业环境信息提供了可追溯性。具体运用大数据优化企业环境信息披露的路径如下:
1、在借鉴国外经验的基础上运用大数据完善我国企业环境信息披露的法律体系
在运用大数据分析的基础上,借鉴国外先进经验进一步完善企业环境信息披露的法律法规。充分整合现行国内环境保护部门、国资委、财政部、审计署、证监会、证交所等各部门的数据进行数据挖掘,厘清我国环境信息披露方面存在的主要问题,结合中国具体国情,在借鉴欧美发达国家相关法律规范的基础上,在现行《环境保护法》规定的框架下,进一步规范企业环境信息披露,清晰界定企业环境信息应公开的内容,对企业环境信息公开的主体、环境信息披露义务的主体进行明确规定。建议由环境保护部门牵头,联合国资委、财政部、审计署、证监会、证交所等相关部门,对企业环境信息报告的具体实施标准或具体实施准则进行拟定,明晰界定企业环境责任报告要素及其内涵、企业环境信息报告的设计体例等,建议企业环境信息披露中应尽量使用定量性信息披露,提高企业环境信息的可靠性、可比性和利益相关者对企业环境信息的可理解性,提高企业编制环境信息报告的可操作性。
需要注意的是,在进一步完善我国企业环境信息披露的法律体系时,需要进一步强化企业环境责任信息披露制度的监督和处罚机制。以2015年的上市公司鲁抗医药因环境问题受到处罚为例,其将含有抗生素的废水排到主要河流中的行为极大的危害了公众健康,进一步恶化了我国的抗生素滥用问题,但该企业仅仅被环保部门处罚了5万元,基本未能起到惩戒作用。在以经济建设为纲的时代,企业环境信息披露及相关处罚受到忽视,但在完善国家治理体系,建设可持续发展社会的今天,借鉴国外发达国家的企业环境信息披露及处罚措施,完善诉讼体制,进一步发挥包括政府部门和非政府组织在内的监督作用,大幅强化处罚和惩戒力度是完善企业环境信息披露的必然路径选择。
2、在完善中国企业的环境技术标准基础上,建立数据集成和共享机制
环境保护部门应会同有关部门,参照西方发达国家和国际组织的环境技术标准,开发统一规范的环境信息技术标准和规范,对环境信息质量标准、监管环境信息要素及其识别与测量、环境信息呈现、标准定量分析技术的所需资源和污染的度量进行规范。制定大气、水、土壤、污染源、噪声等统一的监测标准,同时建设全国统一的环境监测信息数据平台,由环境保护部门根据环境保护法规定环境质量和其他企业环境信息,以满足公众的环境权益。
3、进一步建立和完善企业环境信息披露的数据分析系统
中国已建立了超过两千个环境监测站,监测人员近6万人。我国所有省级监测站都配备了高水平的水质分析设备能力,所有城市监测站均具备进行空气、水、噪音等环境质量的监测能力。但环境监测的信息感知系统和数据集成分析系统仍有待建设,才能充分发挥大数据的作用,有针对性的进一步完善我国的企业环境信息披露工作:首先,通过网络化、智能化、云计算等技术,构建环境监测信息感知系统,以实现各类监控设备的信息融合和共享,更有利于对未履行披露环境信息责任企业的精确惩戒;其次,环保部门应充分利用数据挖掘技术,开发有利于环境保护的环境质量分析产品,通过推动环保服务工作,使社会公众和环保组织等非盈利组织更方便的获取环境信息,了解环境动态、趋势和风险,从而更有利于发动社会力量,进一步推进企业履行其环境信息披露义务。
【参考文献】
[1] 赵萱.企业环境责任信息披露制度绩效及其影响因素实证研究[D].西南大学2015年博士论文.
[2] 李丹丹.加强引导上市公司环境责任信息披露[N].上海证券报,2015-08-01.
[3] 李军,童克难.改革创新是环保事业发展的不竭动力[N].中国环境报,2015-06-22.
[关键词] 审计费用 影响因素 实证研究
一、审计费用影响因素实证研究模型
国外从二十世纪八十年代初就开始了关于审计收费的实证研究。Simuni最早对美国审计收费的影响因素进行研究,提出了多元回归模型,认为审计收费受风险状况、损失的分担机制、会计师事务所的生产函数和会计师事务所的规模等因素影响。在我国虽然不同研究人员建立的模型都不相同,但这些模型都是在Simunic的研究模型基本上的增加或删除一些变量而建立起来的。
二、影响审计费用的因素及分析结果
1.影响审计费用的因素
(1)审计客户的规模。上市公司的规模越大,其所涉及的经济业务范围就越广,会计事项就越多,其固有风险和控制风险也可能越高,在审计时注册会计师也会增加审计事项,扩大审计测试范围,增加审计时间,以便控制可能承受的诉讼风险。
(2)审计业务的复杂程度。①子公司数代表上市公司经营的复杂性。子公司越多,审计师在进行审计时为出具审计意见所要搜集的证据也会越多。②应收账款和存货是重要的流动资产,上市公司常用它们来进行盈余管理。对于审计师而言,应收账款和存货的审计相对于其他资产而言审计方法要复杂得多,一般要采用函证或盘点的审计方法,需要耗用较多的工作量,面临较大的检查风险。应收账款和存货的比重越高,审计时所要付出的审计成本也就越大。
(3)审计风险。审计风险是指审计人员审计后发表不恰当审计意见的可能性。高审计风险将会直接导致会计师事务所支付高额诉讼费用巨额赔偿,并会使其商誉遭受严重损失。所以,审计风险是注册会计师进行审计收费决策时的重要考虑因素。研究主要使用描述经营风险的指标来衡量审计风险,包括近几年是否亏损、审计意见类型、总资产收益率、流动比率、速动比率、资产负债率等。
(4)事务所特征。主要包括事务所规模,事务所组织形式,是否提供非审计服务及审计任期。会计师事务所级差理论把不同事务所提供的服务视为存在级差的产品。会计师事务所声誉、行业专长或特殊技术、地域分布、对客户需求的回应质量以及提供非审计服务的能力都是产生级差的因素。一般认为事务所规模代表了审计质量、独立性和声誉,并可在一定程度上衡量了事务所级差。事务所规模越大,其所提供的审计服务的质量越好,级差也就越高,相应地审计收费也越高。同一审计师在向委托客户同时提供审计和非审计服务时,从每一服务所获得的知识可以向另一服务“溢出”,从而节省审计成本或非审计服务成本,提高审计和非审计服务效率,“知识溢出”所带来的好处转移给委托客户,委托客户也愿意因此支付较高的审计费用。对不同时提供非审计和审计服务的会计公司而言,不可能有“知识溢出”。因此,大多数学者认为非审计服务对审计收费会产生影响。
(5)公司性质。主要包括独立董事人数,国有股比例,公司所属行业,所处地域。上市公司支付给会计师事务所的审计收费,一般是由上市公司财务部门与会计师事务所协商一致,再报由公司董事会或股东大会批准。上市公司的独立董事人数越多,独立董事在董事会中就越有发言权。为了切实肩负起监督与指导上市公司的职责,同时减轻自身责任,在上市公司与会计师事务所签订业务约定书时,独立董事就会要求会计师事务所提供高质量的审计服务,以尽量避免上市公司向股东提供经过粉饰的财务报表,从而年报审计收费也提高。国家股比例越高内部人控制越严重,作为内部控制人的管理层在审计费用的谈判过程中所具有的谈判能力也就越强,在激烈竞争的审计市场环境下,他们会尽量降低审计费用,减少在独立审计上的花费。不同行业的经营环境、业务属性等各不相同,对于审计数量和质量的需求应该也有差别,事务所审计定价的策略会根据行业的不同而有所侧重。由于我国各地经济发展的不平衡,特别是东西部地区存在着较大的差距,各地在制定审计收费的标准上也必然会考虑到当地的经济水平。为此,地域因素作为也是影响审计收费的因素之一。
2.审计费用影响因素分析结果
在笔者所查阅的论文中,关于审计费用与公司规模关系和会计业务复杂程度的结论基本一致,即审计费用与公司自身的规模和业务复杂程度相关。然而,对于审计费用与其他因素的关系,不同的研究得出了不同的结论。对于审计费用与审计风险因素的关系,刘斌、叶建中、廖莹毅(2003),王善平、李斌(2004),夏孟余(2005)等发现风险对审计费用没有明显的影响,从而说明审计费用基本不能反映审计的潜在成本,而张继勋、陈颖、吴璇(2005)却发现审计费用与审计风险相关。对于事务所特征同审计费用的关系,研究者得出的结论也不相同。如王善平、李斌(2004)发现上市公司所聘用的事务所的规模与审计费用呈显著正相关关系,“四大”的审计收费显著高于本土事务所,并将其原因解释为是我国审计市场具有对高品牌事务所的内在需求,上市公司尤其是大规模且业绩好有良好发展前景的公司,更愿意聘请高品牌事务所并愿意支付更高的审计费用。但是,耿建新、房巧玲(2006)进行的研究却发现四大会计师务所收取的审计费用并未显著高于我国本土会计师事务所。公司性质同审计费用的关系中,刘峰等人认为独立董事人数与年度审计费用显著正相关,而上市公司注册地是否位于经济发达地区对年度审计费用的影响并不显著。张小会、王培兰对2005年沪深两市A股上市公司的研究却说明上市公司所在地显著的影响了审计费用。上市公司的行业同审计费用的关系,朱,章立军通过比较和检验处于不同行业上市公司审计费用差异,分析审计师是否在审计收费中考虑不同行业风险,得出上市公司行业分布对审计费用具有显著影响。
三、审计费用影响因素实证研究现状评价
首先,上市公司关于审计收费信息的披露还不规范。上市公司在其年报中对审计费用的披露质量不高,披露的方式千差万别,使得实证研究所依靠的数据无法满足研究者对其的质量要求,这是造成不同的论文得出的结论不一致的一个重要原因。其次,国外审计定价实证研究所选择的样本量一般都比较大,如Krishnagopal& David (2001)选择了1980年至1997年美国样本公司审计费用进行研究,而国内的研究,在样本量的选择上主要是采用一年的样本数据进行分析,在以后的研究中应收集自2001年以来上市公司年报中公布的审计费用,几年的数据,这样的分析结果更具有稳定性; 再次,在影响因素中,绝大多数的模型都研究的是市场因素而对于国家政策是否对审计费用产生影响,研究的却很少。因此在今后的研究中可以考虑国家政策对审计费用的影响。最后,我国的企业大多数属于国有控股而且股权集中,因此和国外相比对所有权结构、公司治理同审计费用的关系,国内的研究还较少。另外非审计服务对于审计业务的影响,非审计服务主要指的是管理咨询服务,随着现代企业对管理咨询服务需求的增加,事务所的非审计服务收入所占的比重越来越大,这些非审计服务对于审计费用的影响,有待于日后的进一步深入研究。
参考文献:
[1]韩厚军 周生春:中国证券市场会计师报酬研究――上市公司实证数据分析[J].管理世界,2003(2)
[2]刘 斌 叶建中 廖莹毅:我国上市公司审计收费影响因素的实证研究――深沪市2001年报的经验证据[J].审计研究,2003(1), 44~47
一、引言
随着央行业务信息化的发展,数据信息系统成为内审部门新的必须开展的审计内容。国外许多中央银行的内审部门非常重视利用信息技术开展内部审计,并且取得了较大进展。他们拥有一批熟悉COBIT、SAC等国际上通行的信息技术管理和控制标准、具有丰富专业经验的信息技术审计人员,对信息系统审计已有十余年历史。我国审计机关利用计算机进行审计探索始于20世纪90年代初,探索开发了一系列审计软件。2001年,国家审计署提出了《信息化建设总体目标和构想》,即“金审工程”,极大地推动了审计技术的发展。我国中央银行利用信息技术对业务系统进行审计起步较晚,与业务系统电子化发展相比,审计信息技术的发展很不匹配,存在明显滞后。尽管人行总行为推动审计技术信息化制订了一系列制度,如《中国人民银行计算机信息系统内审监督检查工作暂行规定》、《关于加强计算机信息系统内部审计的指导意见》、《计算机信息系统内部审计规程》,但从实际运用来看,内审部门的信息技术手段仍很落后。特别是基层央行,对业务系统的审计仍以手工为主,检查的重点停留在制度执行层面,风险洞察水平不高,严重影响了审计质量。基于这一认识,本文立足基层央行业务系统运行状况,对利用信息技术开展系统运行审计的紧迫性、面临的主要困难与问题作一剖析,试图找到一些有利于基层央行利用信息技术开展系统审计的方法与途径。
二、信息技术在内审领域运用的紧迫性
国外央行审计技术信息化的实践和我国央行业务领域信息化的现实,催生了内审信息技术建设必要性这一共识,在共同认知下,迫切需要采取措施加快审计技术信息化的发展步伐,这种紧迫性至少表现在以下几方面:
1、适用业务信息化发展的需要。近几年来,基层央行业务信息化建设已经跃上了一个新台阶,央行主持开发的计算机信息系统基本涵盖了货币政策、宏观调控、金融稳定、金融服务各个领域,逐步形成了高效、规范的信息化服务体系。信息系统的广泛运用在提高央行管理水平的同时,也潜在着较大的安全和技术风险。基层央行业务系统操作员和管理员对系统运行的先进性与安全性的认识,由于长期的接触,难免有“不识庐山真面目,只缘身在此山中”的感觉。全面了解系统的运行状况、进一步改进系统运行质量,迫切需要审计信息技术这个通道,起到“横看成岭侧成峰”的作用。
2、提高内部控制水平的需要。《中国人民银行分支机构内部控制指引》指出,内部控制包括内部控制环境、风险评估、内部控制活动、内部控制的信息及其沟通、对内部控制的监控五个要素。面对央行业务系统信息化的发展,如果没有内审技术手段信息化的快速跟进并与之匹配,以落后的内审手段碰撞先进的业务系统,就无法对业务系统运行的可靠性、保密性、连续性、完整性、风险性作出准确的评估,内审部门“对内部控制的监控”作用无法有效发挥。
3、提升内审项目质量的需要。传统的手工审计,常常要面对杂乱无章的数据,进行大量乏味的计算工作。将信息技术运用于内审工作,不仅可以帮助内审人员解决这一问题,还可设定针对性的模块开展审计,扩大审计范围;可以规范审计业务管理,如“中国人民银行内审业务管理系统”,有内审项目管理、内审职责管理、辅助计算等功能,极大地规范了审计操作。再如武汉分行推出的“内控评审系统”,可以对分支机构的内控建设水平作出综合评价,促进了基层央行内控建设;可以迫使内审人员加强对计算机知识的学习,主动熟悉业务部门应用系统的操作流程。同时,可以通过计算机网络技术,建立内审业务后续教育平台,开展远程培训,使内审人员尽快跟上信息化发展的步伐。
4、创新内审手段的需要。信息技术在内审领域的运用,可以为创新内审方式打造直接平台。审计人员利用计算机,借助有效软件开展内审工作,实现由手工方式向电子方式转变;利用接口程序直接从业务系统采集数据,进行分析整理,实现适时审计;借助网络,远程访问被审计单位的系统数据,实现远程审计。通过审计信息化,能够实现内审监督从单一性的事后审计向事前、事中、事后相结合转变,从单一的静态审计向动态与静态相结合转变,克服传统的事后审计带来的不能及时发现问题、防范于未然的缺陷。
三、央行业务系统审计面临的现状与困境
随着基层中央银行电子化运用的广泛深入,内部审计环境也发生了深刻的变化,内控机制的改变、审计线索的隐蔽、审计手段的滞后、审计风险的凸现等带来的困境与压力,无时无刻不在挑战着内审人员的智慧与勇气。
1、业务系统可审性差。随着央行内审功能定位的清晰,内审工作的审计领域逐步拓宽,审计内容也日渐丰富,但对业务系统领域的审计,却始终是“雾里看花”,成为“审计壁垒”。目前,所有业务系统几乎都没有预置审计接口与审计用户,连简单的数据查询都需要通过被审计对象才能进行,同时由于信息量大,再加上内审部门缺乏相应的技术审计手段与审计力量,用有限人工的方法查找海量电子化信息,效率太低,要想筛选出有价值的线索无异于“大海捞针”;因没有设置系统“黑匣子”,没有设置监控点,最大限度保留、记录审计线索,各项违规操作、异常操作无从查找。
2、计算机辅助审计运用不广。由于应用系统开发各自为阵,各个系统由不同的开发单位开发,所采用的开发、应用平台不同、开发语言不同,数据库不同,没有一个统一的标准的数据化接口,加上内审部门没有专用的通用审计软件,使业务系统数据采集、转换、分析困难,另外,数据采集还涉及到数据导出后的保密问题,也成了数据采集困难的因素之一。加之内审部门计算机配备不足,能熟练掌握计算机专业知识及业务知识的人员偏少,计算机辅助审计仅停留在WORD、EXCEL文字处理和电子表格处理层面,更深层次的数据筛选、数据分析、函数计算、数据统计和图形分析应用不多。3、审计服务平台搭建不力。目前,央行内审业务尚未搭建起支持信息化审计的高效的服务平台,严重滞后于信息化审计工作的发展,成为难以突破的“瓶颈”。主要表现为:一是审计依据的非电子化,给依据的查找、问题的定性带来极大的不便,许多审计人员反映,在依据查找、问题定性方面投入的工作量占整个工作量的近三分之一。二是审计依据携带不便,查找不便。目前大部分内审人员仍然使用纸质依据,有些则是上网搜索,这样所得的审计依据难以保证其权威性、全面性、有效性,容易造成审计风险。三是审计成果难以利用,没有审计结果电子档案,审计部门难以及时了解、全面掌握审计对象的基本情况及其动态。四是审计分析难以深入,不便掌握内控运行趋势和找出内控薄弱环节轨迹。五是经验交流不实时,在审计实施中容易走弯路、重复审计,增加审计成本。
4、软件开发应用介入缺位。《中国人民银行关于加强计算机信息系统内部审计工作的指导意见》规定科技部门和系统应用部门,在组织系统开发时应当将有关情况通报内审部门,应当充分考虑设置和保留必要的审计线索,重要的系统,应当设立必要的审计接口。《中国人民银行分支机构内部控制指引》也作了相似的规定。但在实际中却很难得到有效执行。一是程序设计、开发、测试阶段审计部门参予不够。在电算化环境下,计算机系统处理成了业务处理的一个重要环节,而在目前的审计实践中,对业务系统的审计却往往绕过计算机审计,未能实现穿过计算机审计,仅对业务系统的运行环境、操作员控制、制度建设与管理等方面进行审计,对业务系统自身的可靠性、可行性审计这一关键环节却无能为力;二是业务系统培训、运用,审计人员缺少参与。各个业务系统在培训推广时,内审人员很少有机会参加,相应的制度及培训资料也难以获取。
5、审计风险规避更难。手工环境下,各项数据的勾对平衡、各个科目的对转使用,都有原始的凭证、帐簿、报表,有据可查,容易“顺藤摸瓜”,审计出来的结果较为可靠。但在电算化环境下,各项业务的上机运行,数据的集中存放,凭证的上收,审计线索大为减少;纸质数据的电磁化及其容易篡改的特性以及程序的“黑箱”处理,中断了追索途径;技防的薄弱如身份识别技术大部分采用登录口令的形式,UNIX系统未安装防病毒、防入侵软件等,极有可能导致黑客的入侵、病毒的感染,从而导致程序被修改、数据被窃甚至丢失的风险,极大增加了审计风险的规避难度。
四、央行业务系统信息化审计方法与途径探讨
面对业务系统审计中的种种困难,只有把审计信息化作为传统审计向现代审计转型的突破口来抓,在更大范围内和更深层次上推进计算机审计的应用,才能及时发现不足和解决问题,杜绝因业务信息化所带来的风险。
1、深化辅助审计软件的有效应用
辅助审计软件包括Word、Excel、数据库分析管理(通常使用常用的Access数据库)、图形分析程序、通用审计软件(GAS)等。在内部审计实施过程中,计算机不能仅作为文字处理工具,而要进一步深化辅助审计软件的有效应用。
在文字处理、电子表格、数据库分析管理和图形分析四个方面,可建立符合基层央行业务特点的审计数学模型,用数学模型进行数据提取、数据筛选、数据分析、函数计算、数据统计和图形分析;可建立方便快捷的审计依据文档库,通过系统自带的搜索引擎进行资料模糊查询,以便快速对审计定性提供依据;可建立审计实施各阶段的文档模板,使各阶段文档共性部分减少手工编制。
探索开发中央银行通用审计软件(PBC-GAS)。借助通用审计软件中相应的数据接口模块在不同的业务系统中采集数据,用转换工具,把取得的数据进行转换,从而有效地转换到审计软件中,形成统一的数据格式,以便进一步审计分析。
2、建立业务系统的嵌入式审计窗口(EAM)
《中国人民银行分支机构内部控制指引》中明确要求“系统开发时应考虑监督检查的需要,必要时应预留有关审计接口”。为此,笔者建议:一是对现有的业务系统进行补丁,建立起由内部审计人员登录并提供由系统本身自动产生有操作风险或较严重误操作的记录的嵌入式审计窗口,从而增加对审计对象的介入深度和改进审计方式;二是对今后开发的业务系统,审计部门要提前介入,提供切合实际、有针对性的系统控制、程序控制和风险点控制等方面的需求报告,供开发人员研究设计,未经审计部门介入的业务系统软件,不能擅自推广应用。
嵌入式审计窗口作为系统控制、程序控制和风险点控制模块,主要针对系统操作可能导致的风险进行监测和记录。记录内容可包括金额、资金流向、摘要;时间、操作员;保密资料的打印次数;操作员密码管理情况;主管授权情况;非工作时间开机登录情况;操作员签退情况;数据备份与恢复控制情况等。EAM的应用,可成为业务系统自动监控的“黑匣子”,提高系统的可审性。同时,内审员通过网络登录可开展非现场审计,通过业务系统的动态监测可开展动态审计,具有监督频率高、信息连续性强、审计成本低、动态反映及时等特点。
3、推进技防信息化建设
技防信息化在央行重要业务系统中的应用目前仅限于对机房的监控,直接对业务系统实施技防信息化还是空白。技防信息化是通过计算机外接设备对操作员指纹、掌纹、声音、人脸、虹膜等进行图形、声音数据采集,由计算机进行生物统计,以进行身份鉴别的计算机控制方法。技防信息化可在中央银行ABS、TBS等重要业务系统中应用,如建立指纹识别系统(HSS)或脸像识别系统(FSS),并对应用系统所在的机房进行数字化动态监控。从而为内部审计提供必要的、有力的证据,尤其易对一些违规操作、非法登录、恶意破坏行为追踪认定,使责任追究落实到人。4、加快建设信息化审计网络服务平台
信息化审计网络服务平台是为内部审计工作提供全方位的服务网络系统。网络服务平台可以包括:审计人才资源、审计对象与方法、审计依据法规、风险点及控制、审计成果转化与应用等,形成一个多层面、多角度、立体式的网络服务平台。
网络服务平台要通过做好信息收集、整理工作,建立健全分层次的审计数据库,包括财务管理、国库资金管理、发行基金管理、人民币账户管理、外汇业务管理、金融统计业务管理、反洗钱管理、金融法律法规以及审计人力资源、审计工作中形成的审计结果和审计专家经验、风险点及控制等为审计服务的信息。依靠有效的内联网络,分层次地形成信息共享。
5、规避信息化审计风险
规避信息化审计风险是审计人员面临的新课题。信息化系统所固有的特性,使审计风险再所难免。如何最大限度地降低审计风险,只有靠审计人员敏锐的嗅觉、实战经验和一定的计算机应用系统分析水平。在审计实战中,一要运用电子数据易快速分类、排序、统计的特性,对电子数据进行关联、抽样分析等,以发现审计线索;二要检查业务系统的操作员分工、权限设置是否合理、严密,职责是否明确,分析密码管理机制是否安全、有效,系统各个功能模块设计是否符合央行内控要求;三要检查业务系统本身是否具有合理的安全保护措施,如容错性和系统灾难恢复机制等;四要检查被审计单位所提供的数据资料的真实性、时效性、完整性和连续性,必要时应进行复核;五要采用灵活的审计方式,如可采用就地审计或突击审计的方式,事先不通知被审单位计算机管理员,先取得备份数据,以防操作员将数据篡改、删除等。
6、加快人才培养和技术培训
李金华审计长指出:审计信息化是一场革命,审计人员不掌握计算机技术,将失去审计资格。基层央行内部审计信息化建设的发展,人才培养是最大瓶颈。当务之急是要用计算机知识武装审计人员的头脑。首先,要拓宽育人、用人视野,要有目的的选择品学兼优的业务骨干充实到内审岗位。其次,要抓好计算机审计深层次应用培训,如审计业务与通用审计软件相关的针对性培训、计算机辅助审计技术培训、常用的Excel、Access数据库中如何进行数据处理、加工统计及图形分析培训等。
课题组组长:张庭旭
课题组副组长:吕遂生
课题组成员:康登栋、李书文、康中华、王晓东、王勇
参考文献
[1]、王洪章,《中国人民银行岗位风险防范指南》,中国金融出版社,2006年。
[2]、张静,《人民银行内审理论与实务研究》,湖北人民出版社,2004年。
【论文摘要】 随着电算化在我国企业的普及,内部控制制度的完善也引起了人们更多的重视。文章在分析我国电算化下企业内部控制面临的现状的基础上,提出了加强企业内部控制的建议。
内部控制是指在企事业单位会计工作中,为了维护会计数据的准确性、可靠性,业务经营的有效性和财产的完整性而制定的各种规章制度、组织措施、管理方法、业务处理手续以及其他为防止可能发生的风险而采取的一切措施的总称。随着计算机和信息系统的发展,我国绝大多数的企业已经甩掉了手工账,实行了会计信息系统的电算化。电算化会计在数据处理的及时性和准确性方面都有着传统手工会计无可比拟的优势,但随着电算化工作的普及和深入,有关电脑系统的舞弊案件时有发生,而且涉及的金额及造成的损失往往比手工系统大得多。究其原因主要是由于电算化对传统手工会计信息系统的内部控制带来了一系列影响,内部控制由人工控制变为人和计算机共同控制,原有的内部控制已无法适应会计电算化信息系统的要求。这就迫切要求我们适应电算化会计信息系统的特点,建立和加强电算化下的内部控制体系。
一、电算化会计下企业内部控制内容
从传统的手工会计到电算化会计系统,虽然会计内部控制的目标和主要特征没变,会计核算的复式记账和借贷平衡的基本原理和方法也没有变,但由于会计信息处理方式和方法的计算机自动化,使得会计业务处理程序和工作组织发生了质的变化,由此导致会计信息系统内部控制体系也出现了些新的特点和变化。
在会计工作实现电算化以后,内部控制按照其实施方式的不同,分为组织控制和功能控制。组织控制是指通过建立规章制度、工作人员的合理分工而建立起来的内部控制。功能控制是指在会计信息系统中设计一定的功能而实现的内部控制。按实施环境的不同,内部控制又可分为应用控制和一般控制。应用控制是指运用计算机进行会计数据处理过程中所实施的内部控制。按本身的性质和实施的目的,内部控制还可分为管理控制和会计控制。管理控制是指为了保证计划、预算和定额任务的完成,提高经济效益而实施的内部控制。会计控制是指为了维护会计数据准确可靠和保护单位财产完整而实施的内部控制。
二、电算化会计下加强完善内部控制的必要性
由于电算化会计信息系统在账务处理流程和工作组织方式等许多方面与手工会计信息系统不同,又由于使用该系统存在着特有的潜在风险,电算化会计系统必须建立在科学的内部控制体系以保证会计数据的真实可靠。
1、电算化会计下授权方式的改变要求加强内部控制
在手工会计系统中,一项经济业务由发生到形成相应的账务处理信息,其经历的每一个环节都应由具有相应管理权限的有关人员审核签章后才可办理。这种传统管理方式虽然处理的速度慢,但可有效地防止作弊。然而,在电算化会计下,权限分工的主要表现为口令授权。口令不像印章那样由专人负责保管而是存放于计算机系统内,一旦口令被人偷看或窃取,便会带来巨大隐患,此种案例在现实中已发生多起。如某某会计人员被客户收买,窃取口令,非法核销客户的应收款及相关资料;销货人员窃得客户的信息将客户信息转卖给其他公司。
2、会计档案无纸化的变革要求加强内部控制
在手工方式下,会计信息以账、证、表等形式存储在不同的纸张上,增、删、修改会计凭证或会计账册都可以从各自的笔迹和印章上分清责任,因此很难不露痕迹地加以修改或伪造。但实行了电算化会计后,会计信息是以数据库文件的形式保存在磁光介质上,这种无纸张凭证和账册很容易不留痕迹地被篡改和伪造,从而给内部控制带来新的挑战。另外磁或光介质对保存环境要求高,容易损坏,一旦损坏很难恢复,这无疑对内部控制提出了更高的要求。
3、网络技术的发展也要求加强内部控制
网络技术的突飞猛进给电算化会计信息系统带来了深远的影响。目前财务软件的网络功能主要包括:远程报账、远程报表、远程审计、网上支付、网上催账、网上报税、网上采购、网上销售、网上银行等。由于网络环境具有开放性,而大量的会计信息又是通过网上传输的,这样就有可能使网络会计信息系统遭到“黑客”的攻击或“病毒”的入侵,同样可能导致会计信息被窃取或者是被蓄意篡改,这一系列的问题的解决离不开内部控制制度的完善和发展。
三、我国电算化会计内部控制面临的现状
1、复合人才的缺乏,电算化会计人员整体素质有待提高
电算化会计系统是人机结合的系统,它既需要熟悉计算机操作的财会人员,又需要精通计算机硬件维修、信息系统管理和基本财务知识的系统管理员。但我国这种复合型人才还相当匮乏,培养这一类的人才还需要一定的时间。
2、单位领导层的认识不到位,电算化工作的广度和深度有待推进
不少企业领导还没有充分认识到实施会计电算化的重要意义,没有认识到开展会计电算化是时展的必然,是管理现代化的需要。目前还有相当一部分的企业电算化会计工作还只是处于单项或者几项会计核算业务和报表汇总工作,有关工资、固定资产、销售的核算、成本的核算还没有实行电算化,全国全部实现会计电算化的企业还为数不多,企业实施电算化会计的广度和深度还不够,从而为电算化会计内部控制制度的建立和完善增加了难度。
3、会计软件不能及时升级换代,软件安全性、保密性差
不少企业认为电算化仅仅是“以机代账”,软件只需要一次投入即可,出现了只重视硬件换代,不注意软件升级的情况。从奔腾ⅱ一直到奔腾ⅳ,机型更换了几次,但财务软件仍停留在“古老”的foxbase开发的dos版上。另一方面,多数企业总是忙于开发、购买硬件和会计软件,并求得账、证、表的正确输出,却很少过问计算机系统是否安全可靠,企业以及部门的内部控制是否健全,导致会计信息的使用者对会计电算化数据的可靠性持怀疑态度。
四、加强电算化会计下企业内部控制的建议
1、加强有关组织与管理方面的控制
(1)建立适应电算化会计系统的组织机构
在实现了会计电算化后,企业应及时调整原有的组织机构,可以按会计岗位和工作职责划分为电算化会计主管、软件操作、审核记账、电算维护、电算审查、数据分析等岗位。组织机构的设置符合企业的实际情况,有利于实现企业的管理目标,同时也要考虑到成本费用的问题。
(2)建立严格的上机管理制度
基于电算化会计信息系统的安全性和保密性考虑,企业用于电算化会计系统的计算机应尽可能保证专人专用,同时企业应该建立一整套严格的上机管理制度,以保证每位工作人员只在自己的计算机上和自己的权限范围类做自己应该做的工作。一般来讲,企业对用于电算化会计系统的计算机的上机管理措施应包括轮流值班制度、上机记录制度、完善的操作手册、上机时间安排、操作日志等。
(3)切实贯彻职责分离,实行相互监督
与手工会计一样,电算化会计系统对每一项可能引起伪造的经济业务,都不能由一个人或一个部门经手到底,必须分别由几个人或几个部门承担。在电算化会计系统中,不相容的职务主要有系统开发、发展的职务与系统操作的职务;数据维护管理职务与电算审核职务;数据录入职务与审核记账职务;系统操作的职务与系统档案管理职务等。企业为防止舞弊或欺诈,应建立一整套符合职责划分原则的内部控制制度,同时还应建立职务轮换制度。
(4)加强档案管理工作
企业应该对所有会计资料及时存档并定期地对所有档案进行备份。企业使用的会计软件应具有强制备份的功能和恢复到最近状态的功能。
(5)重视内部审计功能
内部审计既是企业内部控制系统的重要组成部分,也是强化内部会计监督的制度安排。内部审计本身就是一种组织控制。通过内部审计部门对电算化会计系统信息的质量和完整性进行独立、公正地监督与评价,有利于系统内部自我约束、自我激励机制的建立与健全。
2、加强电算化会计系统实施前的有关系统开发方面的控制
这项工作主要是针对自主开发会计信息系统的企业而言的。在系统开发期间实施的控制措施主要是为了保证系统开发过程中各项活动的合法和有效,其主要内容包括:明确开发目标,进行系统可行性研究与分析;在开发的过程中始终要围绕用户需求这一宗旨确保系统开发目标的一致性,同时也要控制开发进度,监督开发质量,检查各功能模块设置的合理性,提高系统的质量。电算化会计系统的开发必须遵循国家相关部门制定的标准和规范,这样开发出来的系统才安全可靠。
在电算化会计系统正式运行过程中,如果发现会计软件存在漏洞,需要及时对其进行修改,整个修改过程必须经过周密计划和严格记录,修改过程的每一个环节都必须设置必要的控制,修改的原因应形成书面报告,电算化会计系统的操作人员不能参与软件的修改,所有与软件修改有关的记录都应该打印后存档。
3、加强电算化日常管理方面的控制
首先应制定上机操作规程,主要包括软硬件操作规程、上机操作时间等。在经济业务发生时,通过计算机的控制程序,对业务发生的合理性、合法性和完整性进行检查和控制。
其次要建立起一整套内部控制制度,以便对输入的数据进行严格的控制,保证数据输入的准确性。由于计算机处理数据的能力很强,处理速度非常快,如果输入的数据不准确,处理结果就会出现差错,影响整个系统的正常运行。因此,系统应该对输入的数据进行严格的控制,保证数据输入的准确性。数据输入控制要求输入的数据应经过必要的授权,并经有关的内部控制部门检查;同时应采用各种技术手段对输入数据的准确性进行校验,如平衡校验、二次输入校验等。另外为了防止数据在传输过程中发生错误、丢失、泄密等事故,企业应该采用各种技术手段以保证数据在传输过程中的准确、安全、可靠。
最后对系统操作的事件类型、用户身份、操作时间、系统参数和状态以及系统敏感资源进行实时监控和记录,进行必要的权限设置,以便能够对各种不同的权限进行用户识别和远程请求识别。
综上所述,会计电算化在我国企业的普及,在给会计人员带来方便快捷高效的工作方式的同时,无疑也增加了信息的安全隐患。当然,任何事物都不是完美无缺的,我们只有顺应电算化发展的潮流,建立分工明确、权责落实、操作严格的内部控制制度并切实的加以执行,这样才能充分发挥电算化会计系统的准确性和高效性,才能为企业的管理层提供准确及时的决策信息,从而实现企业价值最大化的目标。
【参考文献】
[1] 袁树民、张贵珍:会计电算化[m].上海财经大学出版社,2005.
【 关键词 】 信息安全管理;信息安全管理平台
1 引言
前些年,在我国推进信息安全体系建设的工作中,各行业在信息网络边界和纵深部署大量信息安全防护产品的基础上,为了符合国家信息安全的相关政策和监管要求及便于进行一体化管理和掌握整个信息系统的安全态势,许多单位还部署了信息安全管理平台,并在信息系统安全运行和管理上发挥了重要的作用。
信息安全管理平台是网络中心必备的安全管理基础设施,是网络安全管理员遂行网络安全管理任务的必备手段,是网络安全体系结构中的一个重要技术支撑平台。为规范网络系统的安全管理,重要的信息网络都应设置信息安全管理平台(见《信息安全技术 信息系统等级保护安全设计技术要求》GB/T 24856―2009)。
近年来,随着云计算、物联网和移动互联网技术的兴起,信息网络的边界愈发模糊,系统中的虚拟化技术和设备被广泛采用,信息系统中的安全信息采集和集中审计变得更加困难。另一方面,外部的信息安全威胁,随着AET和APT技术的不断升级,也变得愈来愈凶险和难以防护。面对当前信息安全的新形式,以往的信息安全管理平台必须进行更新换代或升级改造。
搭建新一代信息安全管理平台(以下简称平台)有重要意义:(1)设计和建设新一代平台是构建自主可控信息安全体系体系顶层设计不可或缺的重要一环,以实现对重要信息系统的风险可监控、可管理、业务过程可审计,真正实现安全体系自主可控,保障体系安全;(2)引入大数据分析技术完善平台关联分析能力,增加AET和APT攻击的检测技术手段,提升信息系统安全态势感知和预警能力,可及时发现和处置重大信息安全威胁,真正实现信息安全自主可控。
2 设计目标
信息安全管理平台的设计目标是:设计一体化、开放性和具有智能防御未知威胁攻击的平台。一体化就是将多家不同类型的安全产品整合到一起,进行统一的管理配置和监控。开放性就是提供标准的接口,使第三方产品很容易整合到系统中。智能防御未知威胁攻击,就是充分利用和发挥大数据技术应用于安全态势和安全事件的深度挖掘和分析,对AET和APT进行检测和响应,构建智能化的主动防御系统。
通过信息安全管理平台,对网络系统、网络安全设备以及主要应用实施统一的安全策略、集中管理、集中审计、并通过网络安全设备间的互动,应对已知和未知的安全威胁,充分发挥网络安全防护系统的整体效能。
3 设计原则
依据GB17859-1999《计算机信息系统安全保护等级划分准则》和GB/T 20269-2006《信息安全技术 信息系统安全管理要求》,结合网络安全管理的实际需求,按以下原则设计信息安全管理平台。
(1) 标准化设计原则。为了能够与第三方厂家安全产品联动,安全管理平台需制定安全产品互联的接口标准,这个接口标准在业界应具有权威性并易于操作,便于各厂家实现。
(2)逐步扩充的原则。网络系统安全集中管理包含的内容很多,管理技术难度很大,安全管理平台的建设应选择好切入点,本着由简至繁,逐步扩充的原则进行。
(3)集中与分布的原则。许多单位网络从结构上看,呈树状的多节点分层(级)结构。这些网络具有分布广、结构复杂的特点。为此,可在各层(级)网管中心设置安全管理平台,其作用是对本级局域网进行集中安全管理;上级对下级采用分布式分级的方式进行安全管理。
4 设计要求
(1)可扩展性。信息安全管理平台的系统设计,终端采用以对象模型驱动的管理机制,对象模型用XML语言描述,可以通过定义/修改对象模型的属性(关系和操作),即插即用地扩充和管理网络终端及服务。此外,管理平台主机在性能和带宽上,应留有一定冗余度,具有管理1000~5000个对象的扩展能力。
(2)易用性。信息安全管理平台提供的所有功能,应做到操作简易,界面友好,使用方便。
(3)经济性。信息安全管理平台设计,应采用先进的、成熟的软硬件IT技术,搞好总体设计,优化软件编程,避免重复投资,提高性能价格比。
(4)稳定可靠性。信息安全管理平台设计,应重视硬件支撑设备的选型,性能上应留有空间;安全管理软件要经过充分测试,不断优化,保证系统稳定可靠运行。
(5)自身安全性。信息安全管理平台设计,要重视自身的安全性,系统应具有管理员身份和权限的双重鉴别能力,应保证数据网上传输的完整性、保密性和数据记录的真实可靠及抗抵赖性。
5 系统组成和主要功能
信息安全管理平台的基本功能是:对网络系统、安全设备、重要应用实施统一管理、统一监控、统一审计、协同防护,以充分发挥网络安全防护系统的整体作用,提高网络安全防护的等级和水平。
5.1 系统组成
信息安全管理平台由几个模块组成:人机界面模块、总控模块、安全网管模块、安全监控模块、安全审计模块、安全策略处理模块、安全模块、安全事件分析模块、安全事件响应模块、设备配置模块、平台与设备接口模块和安全管理数据库。系统的逻辑结构如图1所示。
(1)人机界面模块。面向安全管理员的操作控制界面。
(2)总控模块。总控模块控制信息安全管理平台各模块正常运转,其中包括网络通信和通信加密程序,用于保障网络间远程数据交换的安全(主要是真实性和完整性)。
(3)安全网管模块。用于显示网络拓扑并进行安全网管。
(4)安全监控模块。用于对网络主机和网络设备进行安全监控。
(5)安全审计模块。接受操作系统或下一级安全管理平台发来的安全日志;接收主机、防火墙、IDS等网络安全设备发来的报警信息;接收网络出口探针记录的网络数据流信息,存储并实时进行内容审计。安全审计的方式有三种:基于规则和特征的安全检测,基于数据流的安全检测,基于特定场景深度数据挖掘的安全检测。审计的结果:启动报警系统和产生安全态势报表。
(6)安全策略处理模块。自动将安全策略翻译成安全设备可执行的规则。
(7)安全模块。安装在网络客户机(服务器、终端)操作系统中,与安全管理平台上的安全监控模块配合使用。其作用是用于接收安全管理平台发来的监控指令和审计规则;监视客户机的工作状态;根据规则进行安全过滤和记录;将安全记录实时发回至安全管理平台。
(8)安全事件关联分析模块。将所有收集到的安全事件按其对系统安全的危害程度等级进行重要性排队,然后调阅安全专家知识库,对事件进行基于规则的实时关联分析,该模块可引入大数据的历史关联分析能力,以提升关联的可信度。最终将分析结果(关联要素)和处理规则,提交安全事件响应模块或管理员处理。
(9)安全事件响应模块。按预先制定的安全事件处理规则(应急预案)对事件自动进行安全处置。
(10)系统配置模块。对IDS/IPS、防火墙、内容监测、主机等安全系统设备或模块进行安全和审计规则的配置。
(11)平台与设备接口模块。实现信息安全管理平台与各类网络安全产品之间的标准数据交换。其流程是:各类安全产品将各自检测到的安全日志通过接口模块进行格式转换后发给平台安全事件收集模块,供安全管理平台分析处理。平台人机界面或安全事件响应模块发出的处置指令,通过接口模块发给指定的安全设备,安全设备接到指令后按相应安全策略执行;信息安全管理平台能够管理的系统和设备有:防火墙、IDS/IPS、内容监测、路由器、交换机、网络主机。
(12)安全管理数据库。安全管理数据库是安全管理平台运行的基础资源,主要存放从本级和下级网络采集来的所有安全数据(包括日志数据、设备状态数据)、安全策略数据、安全专家知识、网络拓扑连接关系、网络中所有客户机的详细地址和安全管理平台加工的各种报表数据等。
5.2 主要功能
(1)网络安全管理。在各级安全管理平台上动态显示本级局域网当前网络拓扑,根据策略,适时改变网络拓扑结构。动态显示网络设备(路由器、交换机、服务器、终端)的在线状态、参数配置,及时发现系统结构变化情况和非授权联网的情况,并予以响应。
①自动识别网络中主机的IP、机器名称和MAC地址。
②按部门对设备(交换机、路由器)、主机和人员进行管理。
③通过系统提供的智能学习功能,自动识别网络的物理拓扑结构。
④自动生成网络拓扑图(该网络的真实物理联接结构图),并能动态显示当前的网络状态,如图2所示。
⑤动态显示主机的当前状态,如合法使用(如IP和MAC地址的配对,已登记注册的合法主机)、非法使用(如IP和MAC地址随意更改) 、关机、不通或故障、未登记主机的入网使用等。
⑥可以自动发现入侵的主机,并关闭其网络连接端口。
⑦提供主机与设备端口的绑定。
⑧提供网络逻辑图(显示设备之间的连接关系)、网络拓扑图(显示整个网络中所有设备、主机及其连接关系)和组织结构图(显示该单位的组织结构),可以方便地在三种不同的显示方式之间切换,便于网络安全管理员全面掌握和操控整个网络;在网络拓扑图中可以拖动设备(交换机、路由器、集线器)改变其相对位置;进行文字和分组标注;改变设备与设备、设备与主机之间的连接关系;还可以由系统对所有设备、主机进行自动排列。
(2)网络监控管理。安全管理平台上的网络安全管理与监控功能,可根据制定的安全策略,对受控主机进行安全控制。
①对受控机进行主机屏幕监视或控制(接管)功能。
②对受控机部分或全部文件进行访问控制,即对文件的访问,不仅要通过系统的认证,还必须通过网络安全管理与监控系统的认证才能访问。
③对受控机网络访问进行通断控制。
④对受控机无线上网进行阻断控制。
⑤对受控机的打印机、USB移动设备进行允许和阻断控制。
⑥对受控机的进程进行监控,可以控制指定进程的加载。
⑦对受控机的internet访问进行基于IP和DNS的详细控制,提供Internet网络监控。
(3)网络安全设备管理。在各级安全管理平台上,根据安全策略,对本级局域网设置的防火墙、IDS/IPS等进行参数配置,并适时监测安全设备的运行状态,以便及时处理。
(4)策略执行管理。根据安全策略生成的安全规则,通过管理平台向所有网络系统中安全设备和主机用户,实现对网络设备、网络客户机、安全设备及主要应用系统进行控制的目的。
安全策略处理模块功能有:对中层安全策略提供的形式化语言进行程序处理,输出安全设备安全规则配置表;安全管理员通过安全管理平台设备配置界面手工配置安全规则配置表;将安全规则配置表通过网络发给安全设备并执行;安全管理平台也可直接对网络中的受控客户机进行安全规则配置。
(5)审计管理。审计数据的获取有四条渠道:各客户机上的模块发来的内网安全事件实时报警和安全日志信息;不同厂家安全产品(防火墙、IDS等)发来的安全事件报警和安全日志信息;下级安全管理平台发来的安全日志和网络探针发来的网络数据流信息。紧急安全事件报警信息通过安全事件分析和响应模块实时处理。 安全日志直接存入安全日志数据库。网络数据流存入盘阵中,供事后历史数据关联分析和部分实时处理。
在各级安全管理平台上的审计管理包括:对本级局域网络系统中的设备(包括 路由器、交换机、服务器、数据库、客户机)根据预先制定的审计规则产生的故障、访问、配置、外设的报警信息和安全日志进行审计;对本级局域网络安全防护设备(包括 防火墙、IDS/IPS)及主要应用系统等在运行中产生的安全日志,进行采集、分析;上级安全管理平台有选择的抽取下级的安全事件进行审计,对严重的安全事件及时督促下级采取相应措施及时整改;对本级局域网中的进出口数据流进行记录和实时异常检测。
审计内容涉及十个方面。
①对受控机文件按IP地址、操作时间、操作类型、操作内容、用户名、机器名等进行审计。
②对受控机进行基于IP(源IP、目的IP)和DNS的internet访问审计,审计内容为源IP、目的IP、访问时间、协议、服务和访问内容等。
③对受控机进行程序和服务的安装与卸载进行审计,审计内容为IP地址、操作时间、操作类型、程序(服务)名、操作用户名等。
④对受控机进行本地用户登录审计,审计内容为IP地址、登录时间、退出时间、登录用户名等。
⑤对受控机的打印机使用进行审计,审计内容为IP地址、打印时间、打印机名称、文档名称和用户名等。
⑥对受控机的USB移动存储设备使用进行审计,审计内容为IP地址、时间、外设名称、状态等。
⑦对受控机的盘符状态进行审计,审计内容为IP地址、时间、盘符、状态等。
⑧对受控机的进程状况进行审计,即受控机使用程序的状况。
⑨对IDS/IPS探测到的非法入侵事件进行审计。
⑩对网络探针发来的数据流进行审计。
安全管理员可通过系统随时调阅安全日志、网络状态以及网络流量等信息,并进行统计查询。这些信息是事后了解和判断网络安全事故的宝贵资料。
(6)网络病毒监控管理。在各级安全管理平台上,建立病毒集中管理监控机制,实现网络病毒的监控与管理。防病毒系统应包括单机版、网络版和防病毒网关,在信息安全管理平台上对本级网络节点的防病毒运行情况进行监控,如防病毒库、扫描引擎更新日期、系统配置等。具体实现:确保防病毒策略统一部署,统一实施,保证防病毒体系执行相同的安全策略,防止出现病毒安全防御中的漏洞;保证系统管理员了解整体防病毒体系的工作状态,从整体防控的高度掌握病毒入侵的情况,从而采取必要的措施,及时提供新的防病毒升级库;通过信息安全管理平台提供的信息,与防病毒厂商保持热线联系与技术支持。
(7)应用系统监测。信息安全建设的一个重要内容是确保网上关键业务的可靠性、可信性、可用性。因此,对网上关健业务的监测记录非常重要,主要体现在四个方面:监测记录关键业务系统在网络中会话过程,可以帮助分析有无非法插入、伪装的业务会话;阻止伪装的业务会话与关键业务交互,确保业务流程的可信性;监测分析关键业务会话过程的响应与交互时间,找出影响关键业务系统网上运行效率的问题,确保业务流程的可用性;应用系统的监测主要通过内容监测系统和网络探头实现。
(8)安全事件处理。信息安全管理平台上收到IDS/IPS、防火墙和网络受控主机发来的安全事件时,将其打入事件队列。事件队列依据等级排队后,则交给安全事件关联分析模块,使用专家知识或决策分析算法对事件进行关联分析并按预案和规则给出处置策略,然后交给安全事件响应模块进行自动化智能处理或交给安全管理员处理。
6 系统应用模型
(1)分布式多层次的管理结构。由于大多数网络是一个多层次的树状网络系统,结构复杂、分布范围宽、网络客户机多,所以应按照分布式多层次的管理结构进行安全管理,如图3所示,某单位网络假设三级网络安全管理中心,每个中心设一台安全管理平台,遂行本级网络的安全管理。上级管理中心通过安全管理平台将必要的安全策略,标准和协议信息下传给下级管理中心。上级管理中心也可通过安全管理平台获取下级管理中心的审计信息。如上级的安全管理平台通过网络可调看下级的网络拓扑和安全事件处置报告,掌握下级的网络安全状况。
(2)各级安全管理中心的数据传输模式。安全管理中心的安全数据上传和下达采用C/S模式,一般由上级管理中心提出申请,下级管理中心回应。因为就计算机网络的安全防护系统实际运行状况来看,总是要求下级管理中心上报的数据多于上级管理中心向下传达的数据。为了保证数据传输的实时准确,以上级管理中心为Server,下级管理中心为Client。下级管理中心是多对一的数据交流模式。对于上级管理中心下传数据,采取下级管理中心的数据库按时轮讯的方式实现。
当安全管理中心多于两级时,数据传输模式如图4所示。
(3)安全数据交换的一致性保证。为保证安全管理中心之间数据交换的一致性,采用事务提交与时间标签相结合的方式来实现。安全数据的事务提交:由于上下级之间是跨区域的远程传输,为保证数据的完整性,采用数据的事务提交方式来处理,每一次传输的数据将是一个整体事件的所有数据,这样就能保证数据的完整性。反之,则必须重传。为了处理重传同步和上下级之间的一致性,我们为每一个事务加一个时间标签,即每次传输完一个事务的所有数据时同时加传一个时间标签记录。这个记录至少应有如下几项:日期时间、事务名、该事务的记录数。
收方当收到这个时间标签后, 则表明一个事务的数据传输结束,则可以更新数据,同时将此时间标签保存下来,并回发一个确认包。发送方如收到这个包,则认为上级中心已更新了这个事务的数据,就从时间标签队列里清除掉这个时间标签。
上述过程已完整地表述了异地数据一致性分布的实现方法,如图5所示。
7 系统安全管理流程
信息安全管理平台的安全管理贯穿整个信息系统运行过程,包括事前、事中、事后等过程。
(1)信息系统运行前。安全管理平台对信息系统的安全管理,从实施前的安全策略的制定、风险评估分析、系统安全加固以及对实施人员进行安全训练就已经开始,保证在已有的安全防护体系条件下对系统存在的安全隐患和将实施的安全策略心中有数。
(2)信息系统运行中。在系统运行过程中,对网络中的各种主机、安全设备实施全程安全监控,安全运行日志同时进行详细的记录,在系统发生安全事件时,根据事件等级进行排队,安全管理平台实时调用相应的事件处理机制。事件的处理机制见事件处理流程如图6所示。
(3)信息系统运行后。定期组织进行安全自查,消除安全隐患。通过分析系统运行的状况(包括性能分析、日志跟踪、故障出现概率统计等),提出新的安全需求,进行技术改进,包括系统升级、加固和变更管理。
(4)安全事件管理方式和处理流程。
自动处理: 将预案中的安全事件及其处理办法(如系统弱点漏洞、恶意攻击特征、病毒感染特征、网络故障和违规操作、防火墙与IDS联动、沙箱模拟运行等)存入安全知识库并形成相应的处理规则,当相应事件出现时,系统将根据处理规则进行自动处理。
人工干预处理:根据情况的需要,也可在信息安全管理平台上按事件级别进行人工干预处理,主要包括技术咨询、数据恢复、系统恢复、系统加固、现场问题处理、跟踪攻击源、处理报告提交等。
远程处理:当安全管理员从管理平台的拓扑图上观察到安全事件发生时或收到下级转交的要求协助解决的安全事件时,除了直接提供处理方案给对方外,还可以通过远程操作直接对发生安全事件的系统进行诊断和处理。
决策分析处理:决策分析模块预先收集、整理安全事件的资料,组织安全专家根据事件类型、出现事件的设备、事件发生的频繁度、事件的危害程度等因素列出等级、层次并打分,列出判断矩阵,运用层次分析法求解判断矩阵,分别计算出各因素的权重值,一并存入专家知识库中。运行时将调用专家知识库对实时收到的系统安全事件进行判断和计算,如果是单条事件根据预案直接处置,多条事件则求出组合权重值并对事件排队,系统根据事件重要程度依据预案依次处置。
安全系统联动处理:安全事件响应模块根据安全事件关联分析模块发来的安全事件关联要素调用应急预案库进行安全设备联动处理,如收到IDS检测到某协议某端口有DDOS攻击,依据预案将发送安全规则给总出口的防火墙,及时关闭该协议和端口。以实现一体化安全管理。
记录和事后处理:信息安全管理平台在信息系统运行时收集并记录所有的安全事件和报警信息,这些事件和信息将作为事后分析的依据。
8 关键技术及设计思路
一个系统是否先进和实用,关键是系统的设计思想和所应用的技术。为了使下一代信息安全管理平台具有创新性,我们提出了“应用大数据挖掘及分析技术”和“重点防御AET和APT”的设计思想,并且应用了多方面的先进技术。
在本系统中,采用了几项技术:形式化语言翻译技术;安全产品数据交换标准;安全事件决策分析技术;高性能数据采集器;安全事件的关联分析;大数据挖掘分析;AET和APT检测技术。
(1)安全产品数据交换标准。为市场上的安全产品(如防火墙、IDS/IPS、漏洞扫描、安全审计和防病毒产品等)制定数据交换标准。为此,所有安全产品都必须清楚地描述几方面内容(BNF描述法):
::=
::=||
::=|
::=||||
::=||||
::=||||
::=||||
(2)高性能数据采集器。高性能数据采集器也叫探针,是信息内容监测系统和大数据安全分析的前端设备,该设备性能的好坏直接影响系统的功能和性能。如法国GN Fastnet C Probe硬件设备,该设备的特点是:直接嵌入需要监测的网络;不损失网络性能与效率,能够适应多种网络环境,能够采集多种协议下的数据流信息;全线速采集数据100M
利用该设备作为信息内容监测系统和大数据安全分析的数据采集设备,能够适应多种类型的网络接口:局域网、企业网、广域网、快速以太网等,它的高性能的数据采集能力,极大地降低了系统数据采集的漏包率。
(3)安全事件的关联分析。对包含安全事件的数据流进行分析,如果是结构化数据可在基于经验知识,人工建立的规则和模型基础上,进行简单的关联:安全事件与用户身份的关联分析实现安全事件到“人”的定位;安全事件与系统脆弱性信息的关联分析实现安全事件危害程度的正确评估;安全事件与威胁源关联分析提高评估安全事件的级别和紧急程度的可信度;多个安全事件的关联分析,聚焦安全事件的连锁危害,提升安全事件的严重级别和紧急程度;泄密安全事件与身份信息的关联实现泄密源的真正定位;安全事件自身关联实现安全事件活动场景的全展现;安全事件与流量样本数据关联分析,判断安全事件的性质(是否AET或APT攻击)。
(4)大数据挖掘和分析。目前的大数据分析主要有两条技术路线,一是凭借先验知识人工建立数学模型,二是通过建立人工智能系统,使用大量样本数据进行训练,让机器代替人工获得从数据中提取知识的能力。
由于AET和APT攻击的数据包大部是非结构化或半结构化数据,模式不明且多变,因此难以靠人工建立数据模型去挖掘其特征,只能通过人工智能和机器学习技术进行分析判断。
应用大数据挖掘和分析新型网络攻击的思路:通过大数据解决方案将相关历史数据(攻击流量)保存下来,通过人工智能软件来分析这些样本并提取相应的知识,将疑似AET和APT攻击的异常样本知识存入专家知识库。
大数据挖掘和分析在平台中主要用于分析与检测:流量异常分析,行为异常分析,内容异常分析,日志与网络数据流的关联分析,威胁与脆弱性的关联分析,基于正常的安全基线模型检测异常事件。
(5)AET和APT检测判断技术。未知威胁最典型也是最难检测的属AET和APT,所以新一代信息安全管理平台中的IDS/IPS和防火墙必须包括不断更新的AET库,专家知识库中应包括APT攻击样本知识,因为AET和APT用传统的威胁攻击特征库根本无法比对发现。AET主要通过先进的AET知识库进行合规性判别,其核心的先进检测技术主要包括“对全协议层数据流进行解码和规范化”,“基于规范化的逃避技术清除”,“基于应用层数据流的特征检测” 。
APT可以通过多种手段进行分析检测:收集来自IT系统的各种信息,如图8所示。
基于流量统计的检测。记录关键节点的正常网络通信数据包样本,以样本特征检测为辅异常检测为主,通过异常检测发现未知的入侵。
沙盒分析与入侵指标确认。将疑似APT数据包组装好,放入沙盒(缓存)中模拟运行(引爆)并与入侵指标(活动进程、操作行为、注册表项等)比对加以验证。
9 安全管理数据库系统的设计
(1)数据组织与分类。根据信息安全管理平台的需求,安全管理数据库系统的数据内容包括:管理信息、网管信息、安全审计、专家知识四类十余种数据格式。安全管理数据库系统,是以四类数据为处理对象,实现对信息安全管理平台数据的积累、存贮管理、更新、查询及处理功能的数据库应用系统。经过数据库设计,安全管理数据库系统的四类十余种数据格式,规范分解为包括10余种关系结构的关系模型,在此基础上可根据用户应用要求设计多种格式的审计报表。
(2)数据库结构框图。通过上述信息安全管理平台的设计思路简介,可以大致了解新一代信息安全管理平台的工作过程和在网络安全管理上发挥的作用,我们希望早日看到拥有自主知识产权的国产信息安全管理平台在我国重要信息系统的网络安全管理上发挥重要的作用。
【注1】 AET(Advanced Evasion Techniques),有的文章译为高级逃避技术、高级逃逸技术,笔者认为译为高级隐遁技术比较贴切,即说明采用这种技术的攻击不留痕迹,又可躲避IDS、IPS的检测和阻拦。
【注2】 APT(Advanced Persistent Threat)直译为高级持续性威胁。这种威胁的特点,一是具有极强的隐蔽能力和很强的针对性;二是一种长期而复杂的威胁方式。它通常使用特种攻击技术(包括高级隐遁技术)对目标进行长期的、不定期的探测(攻击)。
参考文献
[1] 信息安全管理平台的设计[J].计算机安全,2003年第12期.
[2] CNGate 下一代高智能入侵防御系统.北京科能腾达信息技术有限公司,2012年8月.
[3] 高级隐遁技术对当前信息安全防护提出的严峻挑战[J].计算机安全,2012年第12期.
[4] 高级隐遁攻击的技术特点研究[J].计算机安全,2013年第3期.
[5] 星云多维度威胁预警系统V2.0.南京翰海源信息技术有限公司,2013年12月.
[6] 我国防护特种网络攻击技术现状[J].信息安全与技术,2014年第5期.
[7] 大数据白皮书2014年.工业和信息化部电信研究院,2014年5月.
[8] 提高对新型网络攻击危害性的认识 增强我国自主安全检测和防护能力[J].信息安全与技术,2014年第10期.
[9] CNGate-SIEM 安全信息事件管理平台.北京科能腾达信息技术有限公司,2015年6月.
(沈阳大学经济学院,辽宁沈阳110041)
摘 要:地方财政收入质量的评价的核心问题是指标评价体系的构建,这个体系应包括合法性指标、合理性指标和真实性指标三个部分,运用这些指标对沈阳的财政收入评价的结果对辽宁乃至全国的财政收入质量情况分析都有一定的意义。沈阳财政收入存在着总量、构成及执法方式不合理等情况,应采取加强地方财源建设,适当减轻工商企业的税费,预防和化解地方财政风险,减少税收执法中的随意性,打击财政收入“注水”现象等措施。
关键词 :地方财政收入质量;评价指标;构建;运用
中图分类号:F812文献标志码:A文章编号:1000-8772(2014)22-0103-02
收稿日期:2014-05-19
基金项目:论文为2014年度辽宁省社科联辽宁经济社会发展立项课题“地方财政收入质量评价指标体系的构建及优化研究——以辽宁为例”(主持人沈阳大学李忠华,项目批号2014lslktzilljj-02)”的系列阶段性成果(1)。
作者简介:李忠华(1965-),男,吉林九台人,教授,硕士生导师,研究方向:税收理论与实务;霍奕彤(1988-),女,吉林吉林人,在读研究生,研究方向:税收理论与实务。
所谓的财政收入质量是指财政收入的合法性、合理性和真实性,以及财政职能在组织收入中实现的程度。有关地方财政收入质量评问题的研究成果很多,但对于能够指导实践的仍显不足,应研究构建全新的地方财政收入质量的评价指标评价体系,以供实际部门使用。本文从合法性、合理性和真实性三个方面构建这个指标体系,并以沈阳为例进行分析评价,最后提出相应的建议。
一、地方财政收入质量评价的必要性
(一)财政收入的质量是政府管理和服务质量的保证
合法性收入下的生活才是高质量的。近年来,我省经济运行态势良好,收入质量不断改善。这与我省一直坚持依法治税、严格征管、应收尽收有着密切的联系,从而确保了财政收入的平稳增长。具体体现在两具方面:一是积极培植财源,促进税收收入平稳较快增长。二是强化非税收入管理,提高财政收入质量。继续加大对收费项目的清理整顿力度,取消不合法的行政事业性收费项目,严禁违规越权设立收费项目。
(二)财政收入的取得方式影响着经济社会发展
近些年来,地方政府的非税收入增加较多,并快于税收的增加,使得地方财政收入与地方可用财力不同步。因为非税收入大都在财政上列收列支,有专项用途,真正体现在地方政府财力上用于正常支出的部分并不多。由此造成地方财政收入的增长并未带来地方实际可用财力的同步增长。这种看起来很可观的地方财政收入的“量”,由于没有较好的“质”,并没有使地方财政困难状态得以改善。许多地方的收费收入快速增长,甚至出现了收费收入增长超过税收收入增长的不正常现象。收费收入的过度扩张严重地抑制了税收收入的正常增长。
(三)政府取得财政收入的执法行为具有导向效应
政府行为对私人具有导向效应。主要是通过税收,税收是对居民收入分配之后的再分配,比如企业和个人的所得税,就是在个人劳动所得和企业经营利润分配的基础上,在进行一次由政府参与并主导的分配。政府的税收收的多,个人或企业实际收入就少,反之亦然,从而对国民收入有影响。另外政策导向性的分配,比如对一些鼓励的行业给予财政补贴或者税收优惠,而对于限制性的则征收高税率,收取相关行政性费用等。
二、地方财政收入质量评价指标体系的构建
就地方财政收入质量评价体系指标而言,目标不同,指标也会有一些差别,但总体而言应从合法性、合理性、真实性三个维度来构建这个指标体系。具体包括:一是合法性分析。如有无“收过头税”、“有税下征”、“寅吃卯粮”、“应退不退”、“应减不减”等。二是合理性分析。包括规模分析(财政收入总量)构成分析(如财政收入占GDP比重、税收占财政收入的比例、主税收入占税收收入的比例等)趋势分析(如税收增长率、财政收入增长率、财政收入增长弹性等)效果分析(如税收收入产业比率、税收收入行业比率等)等指标。三是真实性分析:如有无财政“空转”和“买税”等。
这些指标在本文中分析运用是以辽宁省沈阳市2011年的数据为基础,进行分析评价,以便发现存在的问题,并提出相应的建议。
三、地方财政收入质量评价指标的运用——以沈阳市为例
(一)总量分析及趋势分析
依据沈阳市统计局2011年12月《沈阳统计月报》的数据,2011年沈阳市地方税收约占税收总收入40%,税收约占财政总收入85%,所以,沈阳财政负担率约为24%(8.2%÷40%÷85%)左右,较比同期副省级城市沈阳偏高。大部分地区税收弹性都超过了2,大东区更是11,平均税收弹性2.1,这个比例在副省级城市中相对偏高。
(二)税收收入构成比例分析
依据沈阳市地税局2011年《税收收入分行业分税种统计月报总表》的情况看,2011年沈阳市大部分地区非税收入比例都超过20%,全市24.2%,这个比例较比同期副省级城市相对偏高。
(三)税收产业构成比例分析
还是依据沈阳市地税局2011年《税收收入分行业分税种统计月报总表》的情况看,2011年沈阳市大部分地区“房地产+建筑业”税收占比都超过40%,有的区如于洪、东陵达到60%以上,地方税收过于依赖房地产及相关产业。
(四)第三产业税负增长情况分析
依据辽宁省地方税务统计,辽宁省地方税务局,2007-2010年的统计数据分析,2011年沈阳市第三产业税收增长有限,特别是代表第三产业方向的现代服务业税收所占比重没有明显提升,交通运输、金融和现代信息略有下降,租凭和现代商业略有上升。
(五)行业税负情况分析
2011年,沈阳市装备制造业中的电气机械及器材制造业、仪器仪表及文化办公用机械制造业、金属制品业、交通运输设备制造业、专业设备制造业五个行业工业增加值分别为1.19%、2.18%、12.56%、14.82%、13.57%,税收增长率分别为12.84%、18.75%、69.62%、58.43%、24.83%,税收弹性分别为10.80、8.59、5.54、3.94、1.83,而全国装备制造业行业平均工业产值增长率、税收增长率、税收弹性分别为12.47%、36.27%、2.91。
四、结论及建议
(一)加强地方财源建设是提高地方财政收入质量之本
2012年,中央财政收入占总收入比重47%。而在事权下移的情况下地方财政捉襟见肘,网民有“中央财政喜气洋洋,省市财政勉勉强强,县级财政拆东墙补西墙,乡镇财政哭爹喊娘”的顺口溜。应加强地方财源建设。减少对非税收入和土地财政的过度依赖。
(二)“轻徭薄赋,休养生息”是提高地方财政收入质量之源
在古代,我国有“轻徭薄赋,休养生息”之说,西方经济学中著名的拉弗曲线,演示着税收与经济良性发展的关系。012年,我国财政收入占GDP比重22.57%,如果加上政府预算外收入、体制外收入,许多人估计30%左右,而发展中国家平均20%-25%。所以,应适当降低财政收入占GDP比重。
(三)预防和化解地方财政风险是提高地方财政收入质量的重要措施
2012年,我国地方本级收入61077亿元,地方本级财政支出106947亿元,收支差额为45870亿元。另据来自审计暑的资料,9个省会城市本级政府负有偿还责任的债务率已超过100%,最高达189%。省会城市中债务压力排名最高的10个为:高京、成都、广州、合肥、昆明、长沙、武汉、哈尔滨、西安和兰州。所以应采取措施,加强地方财政风险的监督与控制。
(四)规范执法,减少执法随意性是提高地方财政收入质量的必然选择
赋税,以法律法规做依据。实际中仍存在多种不依法征税情形。包括征过头税、寅吃卯粮、应退不退,应优惠不优惠等。如焦点访谈报的四川某地向当地农民强征房产税。河北河间税务所按纳税人电费强征税(每度电征0.9元),税款可直接存在个人银行卡。山东某地税务机关直接将税收任务转包纳税务师事务所等。尤其对基层税务机关一些不依法、超标准随意征收,吃、拿、卡、要的现象应采取强有力的措施进行治理,以源头预防为主,防管结合。
参考文献:
[1]申益维.辽宁省财政收入结构优化研究[D].辽宁大学,2013:23-28.
[2]弯海川.地方财政收入优化与区域经济发展[M].东北财经大学出版社,2011:235—240.
[3]辽宁省地方税务局,辽宁省地方税务统计,2007-2010年.
