序言:寫作是分享個人見解和探索未知領域的橋梁,我們?yōu)槟x了8篇的審計數(shù)據(jù)分析論文樣本,期待這些樣本能夠為您提供豐富的參考和啟發(fā)�����,請盡情閱讀。
第1篇
論文摘要:隨著信息技術被廣泛�����、深入地應用在會計工作中�����,會計工作發(fā)生了根本性的改變�����,不僅原有的會計數(shù)據(jù)處理流程發(fā)生了改變�����,會計環(huán)境也被極大地改變了,使傳統(tǒng)的審計理念和技術面臨巨大的挑戰(zhàn)�����,審計人員不僅面臨“進不了門�����,打不開賬”的尷尬局面�����,審計理論和方法也急待改進以適應信息化的進程�����。
1現(xiàn)代審計與傳統(tǒng)審計的共同點
計算機審計的目標與傳統(tǒng)手工審計的目標是一致的�����,無論是計算機審計還是傳統(tǒng)審計�����,國家審計的審計過程都必須經(jīng)過審計準備�����、審計實施與審計報告三個階段�����,通過執(zhí)行檢查�����、觀察�����、詢問�����、函證�����、重新計算�����、重新執(zhí)行、分析程序等基本審計程序來獲取充分�����、適當?shù)膶徲嬜C據(jù)�����,并將審計思路和審計過程予以記錄形成審計工作底稿�����,作為發(fā)表審計意見的依據(jù)�����。
2現(xiàn)代審計與傳統(tǒng)審計的差異
2.1站在新角度隨著國民經(jīng)濟的發(fā)展�����,信息網(wǎng)絡廣泛普及�����,信息化成為經(jīng)濟社會發(fā)展的顯著特征�����,各行各業(yè)普遍運用計算機和網(wǎng)絡等信息技術進行管理�����,審計人員不得不面對海量的會計電子數(shù)據(jù)�����。在手工審計方式下�����,審計人員總是先分析審計對象的各個部分�����,再歸納�����、綜合為整體�����,其思維方式是:部分一整體,這適合于數(shù)據(jù)量不大的審計對象�����,卻很難全面把握海量數(shù)據(jù)�����。而計算機審計打破了手工審計思維方式�����,強調以系統(tǒng)論核心�����,從系統(tǒng)上把握審計對象�����,即從審計對象的整體出發(fā)�����,先進行系統(tǒng)分析�����,把握總體�����,再建立審計模型�����,分析數(shù)據(jù)�����,最后作出總體評價�����,其思維方式是:整體一部分一整體�����,計算機審計能夠從宏觀上和系統(tǒng)上把握審計對象�����,以擴大審計監(jiān)督范圍,提高審計監(jiān)督能力�����。
2.2面臨新環(huán)境計算機審計下的審計環(huán)境發(fā)生了很大的變化�����。一方面表現(xiàn)為審計人員必須利用計算機實施審計�����,要求審計人員能熟練操作計算機特別是相關的審計軟件�����;另一方面由于信息技術在會計工作中的廣泛�����、深入的應用不僅改變了原有的會計數(shù)據(jù)處理流程�����,還極大地改變了會計環(huán)境�����。信息化建設使得所有會計數(shù)據(jù)不再是紙介質的憑證�����、賬簿及報表�����,而是以“比特”方式保存在磁性介質上�����,數(shù)據(jù)表現(xiàn)形式虛擬化�����,即審計環(huán)境數(shù)字化�����,審計人員所面對的已不是傳統(tǒng)意義上的賬本�����,而是無形的電子數(shù)據(jù)和處理這些電子數(shù)據(jù)的會計核算管理系統(tǒng),而這些會計電算化軟件版本各異�����,使得審計環(huán)境比傳統(tǒng)手工模式下顯得更為復雜�����。
2.3線索更復雜計算機審計環(huán)境下�����,傳統(tǒng)的審計線索因會計電算化系統(tǒng)而中斷甚至消失�����。在手工會計系統(tǒng)中�����,從原始憑證到記賬憑證�����,從過賬到財務報表的編制�����,每一步都有文字記錄�����,都有經(jīng)手人簽字�����,其紙質業(yè)務軌跡�����,是重要的審計線索與審計證據(jù)的來源�����,審計線索十分清楚�����。但在會計電算化系統(tǒng)中�����,傳統(tǒng)的賬簿、相關的文字記錄被磁盤和磁帶取代�����,加上從原始數(shù)據(jù)進入計算機�����,到財務報表的輸出�����,會計處理集中由計算機按程序自動完成�����,傳統(tǒng)的審計線索在這里消失�����。而審計線索的改變�����,導致在電算化系統(tǒng)中可人為篡改數(shù)據(jù)而不留痕跡�����,如電算化系統(tǒng)數(shù)據(jù)來源�����、公式定義�����、編制結果�����、打印格式均采用機內文件的形式�����,若有人篡改公式�����、編制失真的財務報表�����,然后再將篡改的公式等予以復原,則很難判定報表數(shù)據(jù)的正確與真實性�����。從而使得傳統(tǒng)審計的追蹤審查已不適用�����,審計入手點更多的是靠判斷和經(jīng)驗�����。
2.4涉及的范圍更大在會計電算化信息系統(tǒng)中�����,由于會計事項由計算機按程序自動進行處理�����,因疏忽大意而引起的計算機或過賬錯誤的機會大大減少了�����,但如果會計電算化系統(tǒng)的應用程序出錯或被人非法篡改,后果將不堪設想�����。
計算機審計的另一項重要內容是對電子數(shù)據(jù)直接進行測試�����,即審計人員不須先將被審計單位的電子數(shù)據(jù)轉換成電子賬套再實施審計程序�����,而是擺脫傳統(tǒng)的電子賬套及其所反映的財務信息�����,深入到計算機信息系統(tǒng)的底層數(shù)據(jù)庫�����,獲取更多更廣泛的數(shù)據(jù)�����,然后通過對底層數(shù)據(jù)的分析處理�����,獲得大量的多種類型的有用信息�����。
總而言之�����,計算機審計的范圍較傳統(tǒng)手工審計要廣泛得多�����、深刻得多�����。審計人員可以根據(jù)審計目標的需要將審計的范圍和內容作出必要的擴大�����。
2.5審計技術更現(xiàn)代傳統(tǒng)手工審計隨著風險基礎審計模式在實務中的廣泛運用�����,分析性測試方法逐漸成為其核心方法。但信息技術的應用導致審計內容及審計線索的變化�����,要求審計人員必須革新審計技術方法�����,計算機審計的核心方法是數(shù)據(jù)分析方法�����。數(shù)據(jù)分析方法不同于傳統(tǒng)的分析性測試僅局限于對信息的處理�����,它是對來自于底層的�����、元素性的數(shù)據(jù)進行處理�����,可以有多種多樣的組合�����,在用途上可以作多種多樣的拓展�����,從而形成多種多樣的信息�����。因此�����,數(shù)據(jù)分析技術可以用于多種測試工作�����。在采用數(shù)據(jù)分析方法時�����,可使用兩種計算機審計特有的新型審計工具:審計中間表方法�����、審計分析模型方法。審計中間表是利用被審計單位數(shù)據(jù)庫中的基礎電子數(shù)據(jù)�����,按照審計人員的審計要求�����,由審計人員構建�����,可供審計人員進行數(shù)據(jù)分析的新型審計工具�����。它是實現(xiàn)計算機審計的關鍵技術�����。審計分析模型是審計人員用于數(shù)據(jù)分析的技術工具�����,它是按照審計事項應該具有的時間或空間狀態(tài)(例如趨勢�����、結構�����、關系等)�����,由審計人員通過設定判斷和限制條件來建立起數(shù)學的或邏輯的表達式�����,并用于驗證審計事項實際的時間或空間狀態(tài)的技術方法�����。
2.6審計流程更長計算機審計由三階段演變?yōu)樗膫€階段�����。傳統(tǒng)手工審計模式中�����,國家審計的審計過程一般可分為審計準備、審計實施和審計報告三個階段�����。但是�����,在引入計算機審計后�����,審計準備階段與審計實施階段的界限變得非常不清�����,可能是由于數(shù)據(jù)分析既像審計準備工作�����,又像審計實施工作�����。其中�����,主要的問題可能是審前調查的歸屬沒有明確的限定�����。審前調查需要做大量的數(shù)據(jù)分析工作�����,而數(shù)據(jù)分析的測試屬性又無法合理確定�����,于是有些審計人員將其劃入審計準備階段�����,有些審計人員則將其劃入審計實施階段�����。我們應當將審計過程再行細分,將其直接劃分為四個階段�����,即審計準備階段�����、審前調查階段�����、審計實施階段和審計報告階段�����。審計準備階段與審前調查階段的劃分原則應該是�����,審計人員是否需要實施實際的數(shù)據(jù)分析�����。如果需要�����,就須向被審計單位出具具有法律效力的通知書�����,然后才能獲取敏感性�����、實質性的數(shù)據(jù)�����。有了審前調查階段�����,審計人員就可以名正言順地進行數(shù)據(jù)的采集�����、轉換�����、整理和分析,從而為制定審計實施方案和進行審計驗證奠定堅實的基礎�����。
第2篇
長期以來�����,在應用信息技術(IT)過程中�����,人們總是過多關注其中的技術(T)�����,而缺少對其中的信息(I)給予足夠的重視�����,然而�����,當人們欣喜地看到IT使會計信息的相關性得以加強之際�����,又更應當為會計信息的可靠性所受到的威脅深感擔憂�����。為此�����,COSO的風險管理框架�����、SOX法案�����、CIBIT等一系列IT控制規(guī)范相繼出臺�����,而國際信息系統(tǒng)審計與控制協(xié)會(ISACA)的諸多標準�����、指南和程序更是直接將焦點對準組織的信息資產的安全之上。我國《企業(yè)內部控制基本規(guī)范》和《企業(yè)內部控制應用指引18――信息系統(tǒng)》等規(guī)范文件的�����,強調信息化環(huán)境下的會計信息的安全性與可靠性�����,隨后�����,財政部于2009年的《關于全面推進我國會計信息化工作的指導意見》中�����,提出未來5~10年會計信息化首要的工作目標�����,是要建立健全會計信息化法規(guī)體系和會計信息化標準體系�����。國內外諸多IT控制與審計制度的不斷涌現(xiàn)�����,充分說明在構建會計信息化標準化體系之中,當務之急是建立會計信息的生產與傳遞嚴密的控制與審計標準體系�����,為此�����,筆者在梳理國內外信息審計基本理論的基礎上�����,分析信息審計在會計系統(tǒng)中應用的必要性�����,進而提出會計系統(tǒng)應用信息審計的若干思考�����,以求這一工具與方法在我國會計系統(tǒng)中早日得以應用�����。
二�����、信息審計研究概述
對信息審計的研究�����,主要集中在信息審計的基本概念�����、基本目標及信息審計的主要內容等方面�����。
(一)信息審計的基本概念 目前�����,信息審計內涵尚未有一個被理論界認同的概念�����。美國信息學家D.Ellis(1993)首次將信息審計定義為:“審查已有的信息管理系統(tǒng)�����,找出問題,提供解決問題的備選方案”(任玉珍�����,2009)�����,試圖將信息審計與信息系統(tǒng)審計合二而一�����,以求尋找解決問題的方案�����。布徹南(Buchanan�����,1998)和吉伯(Gibb)則將信息審計界定為:“對組織信息資源和信息流進行發(fā)現(xiàn)�����、控制和評估�����,以實施�����、維護或改進組織的信息管理的過程”�����,這一定義將信息審計的內容確定為信息資源與信息流兩大部分至今影響至深�����。奧那(Orna�����,2004)則將信息審計的對象拓展為人�����、文檔和信息,并認為�����,信息審計是通過對一個組織中的人�����、文檔等的查證�����,系統(tǒng)地檢查信息產生�����、利用和流動的情況�����,進而確定其支持目標�����。英國信息管理協(xié)會(Aslib)拓展了信息審計的內容�����,指出它是參考組織的人員和已有文獻�����,對組織的信息資源�����、信息流和信息需求等方面進行的系統(tǒng)檢查�����,以確定其對組織目標的貢獻程度�����。我國學者婁策勤和高策(2009)則結合當前新的信息環(huán)境和信息理論�����,將信息審計看作是一種管理工具�����,認為它是一種發(fā)現(xiàn)、解決組織信息管理缺陷的管理工具�����。黃亦西(2005)也指出�����,信息審計是為了充分開發(fā)信息價值�����,通過對組織的信息流和信息資源的調查�����、評估�����,從而識別組織的信息需求�����,確定組織的信息環(huán)境�����,并制定相應政策的過程�����。
必須強調的是�����,信息審計中的“信息”是一個廣義信息的概念�����,包括嚴格意義上的信息和數(shù)據(jù)兩類�����。筆者認為�����,處于IT廣泛應用的今天�����,信息與數(shù)據(jù)的細分必不可少,它對人們研究信息審計的對象�����、內容和范圍至關重要�����,因此�����,筆者將對應于數(shù)據(jù)審計的信息審計稱為狹義信息審計�����,以括號注明“狹義”�����。而將涵蓋數(shù)據(jù)�����、信息的審計視為廣義信息審計�����。
(二)信息審計的基本目標 美國學者查菲(Chaffey)和伍德(Wood�����,2008)指出�����,信息審計是用來評價當前信息質量和管理行為的水平�����,即“是什么”的問題�����。它也可作為一種狀態(tài)分析的工具�����,用以協(xié)助構建信息政策和評價信息戰(zhàn)略的目標是否已經(jīng)實現(xiàn)�����,將信息審計看成是信息質量與管理不可或缺的工具。賴茂生(2005)認為�����,信息審計的目的是為了實施�����、維護或提高組織機構的信息管理�����。胡善勤則從IT視角出發(fā)�����,指出用以記錄網(wǎng)絡上各計算機行為的信息審計�����,其目標有兩個:一是可定期對各種網(wǎng)絡行為進行采集�����、統(tǒng)計和分析等�����,發(fā)現(xiàn)存在的漏洞并及時修補�����;二是在發(fā)生安全事故后可以進行信息分析�����,找到事故原因�����,進而采取相應的措施�����?����?梢?����,信息審計的根本目標,主要在于提升信息質量�����,由于信息質量的優(yōu)劣首先取決于信息資源對企業(yè)實現(xiàn)目標所作的貢獻�����,故而在當前情況下�����,信息審計所面對的必然是企業(yè)的IT系統(tǒng)(如ERP系統(tǒng))�����,基于IT視角可使人們進一步明確信息審計目標�����,并為企業(yè)IT環(huán)境確定信息審計的內容與范圍�����。
(三)信息審計的主要內容 隨著IT應用的深入,眾多學者認為�����,不應把信息審計看成是一種選擇�����,而是達到確定信息資源的價值�����、功能和用途�����,以便充分開發(fā)其戰(zhàn)略價值的必要步驟�����。信息審計包括信息資源和信息需求兩大內容�����,但它是否也應包括信息流則是眾說紛紜�����。鑒于信息流審計和信息流程重組中的眾多理論和流程具有相似性�����,有些學者認為信息流審計不應歸屬于信息審計范疇之內(高策�����,2009)�����。筆者認為�����,處于IT應用的初始階段�����,將信息流納入信息審計的主要內容�����,對于企業(yè)的系統(tǒng)信息流程的標準化與規(guī)范化建設具有重要的意義。這是因為�����,信息流與企業(yè)組織流�����、業(yè)務流密切相關�����,面對網(wǎng)絡環(huán)境�����,企業(yè)流程再造的本質就是實施三者的同步發(fā)展�����。而從企業(yè)ERP系統(tǒng)應用層面來看�����,信息資源�����、信息流與信息需求三者不能單獨割裂開來�����,只有將信息流與信息需求�����、信息資源同步考察�����,才能對企業(yè)的信息管理水平加以客觀地評價�����,并提出相應的改進意見�����。
信息審計對象應當涵蓋信息圖譜中的數(shù)據(jù)�����、信息和知識三個部分,但對我國企業(yè)而言�����,當前的數(shù)據(jù)審計與信息審計(狹義)首當其沖�����,只有這二者真正得以成功實施�����,并取得一定實效之后�����,知識審計才可望順利進行�����,為此�����,筆者重點分析數(shù)據(jù)審計與信息審計(狹義)的具體內容�����。
從企業(yè)經(jīng)營的業(yè)務內容看�����,信息審計的對象可細分為采購�����、生產�����、銷售�����、會計等各子系統(tǒng)的數(shù)據(jù)審計與信息審計(狹義)�����,這樣才能根據(jù)各子系統(tǒng)的數(shù)據(jù)特點與具體內容�����,對各類信息資源、信息流和信息的使用提出針對性的信息管理評價意見�����。不難想象�����,那種既想獲取企業(yè)信息審計的客觀公正的評價意見�����,又不涉足各業(yè)務內容深入考察的做法�����,將難以實現(xiàn)審計目標�����。
三�����、信息審計在會計系統(tǒng)中的地位與作用
會計的價值并非來自于技術�����,而是取決于會計信息的質量�����,會計信息的增值首先是通過信息流的改善以降低資源的需求量�����,通過高質量信息的共享對決策提供支持�����。為此�����,采用信息審計以保證會計信息的高質量�����,也就使會計系統(tǒng)信息管理與控制新增了一道堅實的屏障�����。
(一)會計系統(tǒng)信息審計與財務報表審計并行不悖 財務報表審計的目標是對財務報表是否按照適用的會計準則和相關會計制度的規(guī)定編制,是否在所有重大方面公允反映被審計單位的財務狀況�����、經(jīng)營成果和現(xiàn)金流量兩大方面發(fā)表審計意見�����,以提高財務報表的可信賴程度�����。而對會計系統(tǒng)而言�����,作為IT時代的必然產物的信息審計�����,其審計對象首先是以財務為主的信息資源�����,以確保該信息資源的價值、功能和用途�����,進而實施�����、維護或改進組織的信息管理的過程�����。雖然兩者都有保證信息高質量的目標�����,但審計內容與審計方法卻大相徑庭�����。而從兩種審計的審計對象看�����,雖然都是針對企業(yè)的信息資源�����,但信息審計的范圍要寬泛得多�����,它不僅包括企業(yè)的貨幣�����、財務等定量信息�����,而且還包含企業(yè)的非貨幣�����、非財務等定性信息�����。財務報表審計必須對被審單位財務報表的會計準則和制度的遵行性�����,對財務狀況、經(jīng)營成果和現(xiàn)金流量的公允性發(fā)表審計意見�����。而信息審計則是從對企業(yè)信息資源�����、信息流程和信息需求等內容的價值�����、功能和用途加以評價�����,發(fā)表審計意見�����。前者注重企業(yè)核心信息的合規(guī)性�����,后者則注重企業(yè)信息管理質量的提升�����。從時空上來看�����,前者注重對所產生財務信息的結果進行評價�����,而后者則是對信息管理過程進行評價�����。盡管信息審計之初衷在于整個企業(yè)�����,但在我國首先在會計系統(tǒng)中加以施行�����,則是綱舉目張之舉�����。
(二)會計系統(tǒng)信息審計與信息系統(tǒng)審計異曲同工 企業(yè)信息化的實踐證明,那種認為只要企業(yè)應用信息系統(tǒng)或相應的信息技術就能實現(xiàn)信息化�����、提高企業(yè)信息管理水平的認識有失偏頗�����,企業(yè)信息化建設中的根本因素是信息資源建設問題�����。目前普遍存在的企業(yè)信息資源存量絕對值不足�����、信息需求匹配度不高�����、信息資源利用率低�����、信息資源成本高收益低等弊端�����。因此�����,信息審計的當務之急�����,是要對企業(yè)財務信息資源進行控制和評估�����,以實施�����、維護或改進企業(yè)信息管理的水平�����。
盡管有學者將信息審計對象界定為信息管理系統(tǒng)�����,但近20年來信息審計的實踐及諸多研究成果表明,審計信息管理系統(tǒng)的任務非信息系統(tǒng)審計莫屬�����,信息審計盡管與信息系統(tǒng)審計有著千絲萬縷的聯(lián)系�����,但兩者的審計目標�����、對象�����、范圍�����、內容卻有許多不同�����。Ron.Weber(1999)指出�����,信息系統(tǒng)審計的目標在于判斷被審的信息系統(tǒng)是否能夠保證信息資產的安全�����、數(shù)據(jù)的完整以及高效地利用組織的資源并有效地實現(xiàn)組織目標的過程�����,它主要通過獲取和評價所收集的證據(jù)來保證這一判斷的客觀公允性�����。信息系統(tǒng)是其審計對象�����,獲取和評價所收集的證據(jù)是其手段與方法�����。而信息審計的審計對象是數(shù)據(jù)與信息(狹義)�����,評價產生信息的被審系統(tǒng)則是其手段與方法。兩者相輔相成�����、優(yōu)勢互補的同步�����,可以從不同途徑保證會計系統(tǒng)和信息的高效與高質�����。
(三)會計系統(tǒng)信息審計與IT環(huán)境共生互動 自20世紀90年代初期以來�����,越來越多的企業(yè)流程已經(jīng)將大型信息系統(tǒng)納入其中�����。由于這一技術轉變�����,數(shù)據(jù)和信息相對于產品的重要性正在凸顯�����。目前很大一部分企業(yè)價值已經(jīng)不在資產負債表之內�����,在使用大量知識和信息的領域�����,差異越發(fā)明顯�����,以至于越來越多的人想拋棄已經(jīng)接受的簿記原則(杰普.布勒姆等�����,2008)�����?����?梢姡瑫嬒到y(tǒng)的信息資源與信息需求面臨著重新確認等問題�����,而亨茨爾(Henczel�����,2001)所提出的�����,信息審計是通過識別組織的信息需求�����,從而有效地確定組織當前信息環(huán)境的過程�����,這一將識別信息需求作為信息審計的主要內容的觀點�����,對重新認識會計系統(tǒng)的信息需求具有十分重要的意義�����。會計的發(fā)展取決于兩個因素�����,一是環(huán)境的影響�����;二是用戶對會計的信息需求�����,信息技術的飛速發(fā)展�����,促使會計系統(tǒng)與這一技術環(huán)境的共生和互動關系日趨明顯�����,而經(jīng)濟全球化的競爭態(tài)勢又驅使會計信息不能局限于眼前以財務為主的經(jīng)濟信息的支持�����。因此,會計系統(tǒng)面臨著信息資源與信息需求的信息審計�����。
會計信息要力求增值�����,無疑應當對其數(shù)據(jù)與信息的采集�����、處理與生成的基本流程逐一進行分析和提煉�����,以便求得各流程�����、工序的精益求精�����。同時,由于目前大中型企業(yè)紛紛使用ERP系統(tǒng)�����,因而使會計子系統(tǒng)與其他子系統(tǒng)的數(shù)據(jù)聯(lián)系越來越密切�����,而其會計子系統(tǒng)中的管理會計�����、內部審計等子系統(tǒng)與財務會計子系統(tǒng)的無縫連接越發(fā)凸顯�����,為此�����,針對數(shù)以萬計存儲于企業(yè)數(shù)據(jù)倉庫之中的信息資源文件重新進行梳理與管理勢在必行�����。而從審計的角度看�����,IT環(huán)境需要IT治理和IT控制�����,這是因為這一環(huán)境所帶來的系統(tǒng)�����、流程�����、技術等錯綜復雜的高風險局面�����,許多大公司由于難以應對這一高風險局面而陷入信息危機與信息犯罪的旋渦之中�����。作為信息安全保證的必備工具與方法手段�����,信息審計在當前會計系統(tǒng)的安全控制不足的狀況下尤為必要。
四�����、信息審計在會計系統(tǒng)中應用的若干思考
盡管會計系統(tǒng)相對于企業(yè)其他子系統(tǒng)具有較為嚴格的信息生產程序�����、流程和規(guī)范�����,但面對與ERP系統(tǒng)諸多子系統(tǒng)的日益交融局面�����,會計子系統(tǒng)的數(shù)據(jù)與信息的管理產生許多問題�����,如缺少對信息的集中化管理�����,致使某些有用信息過于分散而難以被決策者獲取與使用�����,又如信息過載使得信息用戶難以騰出足夠的時間從紛繁復雜的信息中選擇其所需要的信息等�����。誠如信息審計專家H. Botha和J.A.Boon所指出的�����,需要對信息審計進行更多的研究�����,在實踐中測試更多的方法�����,使信息專家能夠開發(fā)出可以放心使用的可靠信息審計方法�����。筆者認為�����,當務之急是在對信息審計的必要性取得共識的基礎上,探討會計系統(tǒng)信息審計的主體與內容�����、審計方法�����、審計頻率與審計重點等問題�����,以使信息審計在我國早日應用�����。
(一)會計系統(tǒng)信息審計的主體與內容 本質上說�����,企業(yè)信息審計是企業(yè)內部審計的一個有機組成部分�����,其規(guī)劃�����、實施�����、完善的組織協(xié)調工作主要應由企業(yè)的內部審計機構為主體加以實施�����,在聘請外部專家參與信息審計的基礎上�����,輔以企業(yè)內外部的相關審計人員來完善審計工作�����。但由于當前企業(yè)信息審計力量不足�����、缺乏專業(yè)勝任能力的人員�����,故應形成由企業(yè)內部審計人員與信息主管人員為主的專業(yè)團隊。
如前所述�����,會計系統(tǒng)的信息審計包含會計數(shù)據(jù)審計與會計信息審計(狹義)�����,從實務上看�����,前者的審計重點是會計數(shù)據(jù)的保護�����、采集�����、存儲�����、記錄和處理規(guī)范的管理�����,而后者的審計重點則是對會計系統(tǒng)所產出的財務報告和提供決策支持信息的管理�����。從理論研究內容上看�����,會計數(shù)據(jù)的審計應當研究會計數(shù)據(jù)的來源�����,數(shù)據(jù)的檢索與分析�����,以及基于信息需求而對會計憑證和賬簿等數(shù)據(jù)的采集�����、整理及記錄規(guī)則等方面的管理�����。而會計信息審計的研究重點則是與流程、選擇合適信息系統(tǒng)�����、信息獲取及使用�����、各類會計信息對相應流程的重要程度�����,以及與會計信息需求的目標相適應的信息體系的構建等�����。
(二)信息審計的審計方法 作為人造系統(tǒng)�����,會計這一應用系統(tǒng)的信息審計應以信息技術為手段�����,圍繞企業(yè)各應用子系統(tǒng)的應用過程與應用結果�����,以及系統(tǒng)安全的合理性�����、過程行為的合法性�����、結果數(shù)據(jù)的真實性�����,進行客觀�����、適時的監(jiān)測與審核�����,將各種違規(guī)�����、可疑事件及時發(fā)出警報,并提交改進信息管理的審計報告�����。
信息審計與信息系統(tǒng)審計同為內部審計的組成部分�����,但其各自的審計方法不盡相同�����,亨茨爾(Henczel�����,2001)強調信息審計是一個循環(huán)的過程�����,包括計劃�����、數(shù)據(jù)收集�����、數(shù)據(jù)分析�����、數(shù)據(jù)評價�����、建議交流以及實施這樣一個定期重復的過程�����。目前比較成熟的信息審計方法有信息地圖法�����、集成審計法�����、信息流法和亨茨爾(Henczel)法等多種(婁策勤�����、高策,2009)�����,針對會計系統(tǒng)的特點�����,筆者認為選用信息流法和亨茨爾(Henczel)法為宜�����。信息流法既重視信息資源的識別�����,又能同時對企業(yè)信息流進行分析�����,這正是目前我國會計系統(tǒng)信息審計起步伊始所必須的�����。而亨茨爾法則是在分析信息流法和集成審計法的基礎上,提出了較為科學的信息審計7大步驟�����,即計劃籌備審計計劃和準備�����,通過案例分析取得高層支持�����;數(shù)據(jù)收集通過調研建立組織信息資源數(shù)據(jù)庫�����;數(shù)據(jù)分析對收集到的數(shù)據(jù)進行標準化分析�����;數(shù)據(jù)評估進行數(shù)據(jù)判讀�����,提出建議�����;建議交流報告信息審計結果�����,交流意見�����;實施建議開展信息審計建議改革項目�����;二次審計使信息審計經(jīng)?����;?����、規(guī)律化�����。對會計系統(tǒng)而言,信息流中的電子憑證審核�����、記賬憑證形成�����、賬簿登錄�����、銀行對賬和報表編制等沿用手工會計流程的做法�����,能否符合信息管理與用戶信息需求�����,十分有必要在信息審計過程中進行重新審視與評價�����。
由于當前尚未形成標準化的信息審計方法體系�����,因此在實際中�����,許多信息審計項目多采用了傳統(tǒng)的財務審計方法�����,如成本/效益方法等�����,這給信息審計實踐造成了很大的困惑和混亂�����,有的學者主張應將財務審計人員的經(jīng)驗與信息審計實踐相融合�����,盡早開發(fā)出一套適用于信息審計方法體系(任玉珍�����,2009)。筆者認為�����,借鑒財務審計的基本方法與經(jīng)驗�����,固然是信息審計的實現(xiàn)途徑之一�����,但信息審計方法不能落入財務報表審計方法之中�����,否則將有可能影響到信息審計任務的完成�����,兩者的審計目標相去甚遠�����,因而其審計方法也必然有很大的不同�����。鑒于信息系統(tǒng)審計與信息審計所具備的諸多共性�����,借鑒日益成熟的信息系統(tǒng)審計中的信息流程審計與數(shù)據(jù)審計的方法不失為一種事半功倍的做法�����。
(三)會計系統(tǒng)信息審計的頻率與重點會計系統(tǒng)的信息審計�����,首先要明確信息用戶對會計信息需求�����,其次是要對目前可使用信息與信息用戶所需要的信息進行信息資源差異對比分析�����,進而根據(jù)當前狀況提出消除上述差異解決方案�����,并制定信息提供與信息流程再造的行動計劃。從以上的審計過程看�����,會計系統(tǒng)信息審計的頻率與該系統(tǒng)的使用狀況相聯(lián)系�����,即信息審計頻率與系統(tǒng)使用時間相對應�����,會計系統(tǒng)一旦受到升級或改進�����,信息審計就應當緊隨其后加以進行�����。然而�����,應當注意的是�����,在信息資源�����、信息流和信息需求三大信息審計內容中�����,與系統(tǒng)升級或改進聯(lián)系最緊的當屬信息流�����。因此�����,信息審計的頻率可以因審計內容而定�����,一旦會計系統(tǒng)的信息流受到改變�����,就必須對其實施審計�����,而信息資源與信息需求則可采用定期審計的方法�����,根據(jù)企業(yè)經(jīng)營決策與競爭的需求�����,定期實施會計系統(tǒng)的數(shù)據(jù)審計與信息審計(狹義)�����。
信息審計包括數(shù)據(jù)審計與信息審計(狹義)�����,對會計系統(tǒng)而言,數(shù)據(jù)審計應用研究的重點是會計數(shù)據(jù)的保護�����、采集、存儲�����、記錄和處理規(guī)范等方面�����,而其理論研究的重點則是會計數(shù)據(jù)的來源�����、會計數(shù)據(jù)的檢索與分析�����、會計憑證和賬簿等數(shù)據(jù)的作用�����,以及這些數(shù)據(jù)處理過程中的規(guī)范要求�����。而信息審計(狹義)應用研究的重點是會計系統(tǒng)所產出的財務報告和提供決策支持的信息,其理論研究的重點則是與流程�����、選擇合適信息系統(tǒng)�����、信息獲取及使用�����、各類會計信息對相應流程的重要程度�����,以及會計信息需求的目標等相關�����。
五�����、結論
疾速形成的網(wǎng)絡化與無紙化等信息化環(huán)境�����,促使會計系統(tǒng)的信息審計成為必然�����,而作為信息化助推器的信息審計�����,其審計目標�����、審計內容和審計方法等又確立了其在會計系統(tǒng)中數(shù)據(jù)與信息安全保障體系中的重要地位�����。伴隨著我國信息審計理論研究的開展�����,信息審計的成功應用可望水到渠成�����。屆時,信息審計與信息系統(tǒng)審計的并駕齊驅�����,必然為我國會計系統(tǒng)信息的可靠與相關�����、信息管理的高質與高效提供強有力的支持�����。
[本文系福建省教育廳2008年度人文社科項目“我國財務會計信息化發(fā)展方向研究”(JA08003S)階段性研究成果]
參考文獻:
[1]任玉珍:《信息審計的內容框架分析》�����,《農業(yè)網(wǎng)絡信息》2009年第7期�����。
[2]婁策勤�����、高策:《信息審計方法比較研究》�����,《圖書情報工作》2009年第1期。
[3]黃亦西:《信息審計與知識審計的比較研究》�����,《情報雜志》2005年第10期�����。
[4]賴茂生:《信息資源管理的技術方法》�����,irm.impku.edu.en/ownload/e07.pdf�����,2005-12-17�����。
[5]胡善勤:《網(wǎng)絡信息審計的設計與實現(xiàn)》�����,吉林大學2008年工學碩士論文�����。
[6]高策:《企業(yè)信息審計研究》�����,華中師范大學2009年碩士學位論文�����。
[7]戴維.查菲�����、史蒂夫.伍德著�����,趙蘋�����、陳守龍譯:《企業(yè)信息管理:用信息系統(tǒng)改進績效》�����,中國人民大學出版社2008年版。
[8][荷]杰普.布勒姆�����、梅農.范多恩�����、皮亞士.米托爾著�����,程治剛����、張翎����、張勁譯:《SOX環(huán)境下的IT治理》,東北財經(jīng)大學出版社2008年版����。
[9]Buchanan����,S. and Gibb����,F(xiàn). The information audit:an integrated strategic approach. International journal of information management,1998.
[10]Orna E.Information Strategy in Practice. Aldershol:Gower����,2004.
第3篇
【關鍵詞】 大數(shù)據(jù);企業(yè);環(huán)境信息披露;路徑
一、引言
2016年4月17日����,中央電視臺的一則報道震驚全國,上市公司諾普信控制的常隆化工廠的土地污染導致江蘇常州外國語學校近500名學生出現(xiàn)身體異常����。而該公司于2014年曾被訴訟并支付環(huán)境整治費。
紫金礦業(yè)等上市公司的環(huán)境污染事故仍記憶猶新����,新的環(huán)境污染事故仍然層出不窮。根據(jù)環(huán)境部的統(tǒng)計數(shù)據(jù)顯示����,2003年至今����,我國上市公司環(huán)境事故的發(fā)生次數(shù)呈現(xiàn)上升態(tài)勢����,其中空氣污染和水污染是最嚴峻的領域。
2016年2月����,北京公眾環(huán)境研究中心公布的數(shù)據(jù)顯示,我國包括中國鋁業(yè)等央企在內的141家上市公司在2015年超標排放污染物����,尤其是化工行業(yè)的企業(yè)數(shù)量最多����。而這141家公司中只有28家公司對此進行了信息披露。而根據(jù)我國相關法律法規(guī)����、政策制度,上市公司應公布包括污染物排放����、資源消耗����、環(huán)境管理等環(huán)境信息����。
二、中國目前的企業(yè)環(huán)境信息披露制度
2015年1月1日實施的《中華人民共和國環(huán)境保護法》第55條規(guī)定����,重點排污單位應當如實向社會公眾披露主要污染物名稱、排放量����、排放濃度和總量、超標排放����、污染防治設施的建設和運行情況,接受社會監(jiān)督����。第62條違反本法規(guī)定,未公開重點排污單位或者未如實披露環(huán)境信息的����,由縣級以上地方政府環(huán)境保護部門責令公開����,并予以公告����。
而2007年的《環(huán)境信息公開辦法》和2008年《關于加強上市公司環(huán)境保護監(jiān)督管理工作的指導意見》都要求企業(yè)及時、準確的公開其環(huán)境信息����。2014年修訂的《公開發(fā)行證券的公司信息披露內容與格式準則第2號》鼓勵企業(yè)積極主動披露履行環(huán)境責任,包括公司在污染防治和控制����、加強生態(tài)保護中采取的措施;屬于國家環(huán)境保護部門規(guī)定的重污染行業(yè)上市公司及其子公司,應按照有關規(guī)定����,披露其在報告期內的重大環(huán)境問題和環(huán)境信息整改����。根據(jù)證監(jiān)會的規(guī)定,新股發(fā)行審計注重對環(huán)境問題的審計����,包括:在招股說明書中詳細披露發(fā)行人的生產管理和投資項目符合國家環(huán)保要求����,擬上市公司最近3年的環(huán)境保護投資相關費用����,實際運行的環(huán)保設施和環(huán)境保護支出;生產環(huán)境是否符合國家相關環(huán)境規(guī)定,是否曾發(fā)生環(huán)境事故����,治理污染設施的運行是否有效,對環(huán)境保護設施的養(yǎng)護和日常的污染治理是否符合相關技術規(guī)范;當擬上市公司發(fā)生環(huán)境事故或因環(huán)境問題受到處罰����,是否詳細披露了有關情況,其保薦機構和發(fā)行律師是否就此事件構成重大違規(guī)問題發(fā)表意見����。
現(xiàn)行的企業(yè)環(huán)境信息披露法律法規(guī)政策規(guī)定有效的推動了我國企業(yè),尤其是重污染上市公司的環(huán)境信息披露����。對中國A股上市公司中的重污染行業(yè)企業(yè)所披露的環(huán)境信息進行分析發(fā)現(xiàn),根據(jù)法律法規(guī)及相關政策規(guī)定����,重污染上市公司大部分披露其環(huán)境信息����,但環(huán)境信息披露中的定性描述����,即文字描述較多,而定量描述偏少;主要披露的內容是環(huán)境管理和環(huán)境治理信息;對環(huán)境方面的負面信息����,重污染行業(yè)上市公司均傾向于不予以披露,即存在報喜不報憂的現(xiàn)象;不同行業(yè)披露的環(huán)境信息的側重點有所不同����。
從上述分析可以看出,雖然我國企業(yè)環(huán)境信息披露法律法規(guī)政策規(guī)定的不斷完善有利于企業(yè)環(huán)境信息披露����,但環(huán)境信息披露的數(shù)量,尤其是信息披露的質量仍然距離公眾期待有著較大的距離����,有待進一步完善����。
三����、運用大數(shù)據(jù)優(yōu)化企業(yè)環(huán)境信息披露的路徑選擇
在大數(shù)據(jù)時代����,全球對數(shù)據(jù)挖掘技術越來越重視,由于數(shù)據(jù)已經(jīng)成為人們生活中不可或缺的一部分����,充分利用大數(shù)據(jù)時代的優(yōu)勢完善我國企業(yè)環(huán)境信息披露的相關制度規(guī)范成為可行的選擇。在數(shù)據(jù)“多維”時代����,充分利用大數(shù)據(jù)對企業(yè)的環(huán)境信息進行披露具有以下優(yōu)勢:第一,可靠性����。以往企業(yè)披露的環(huán)境責任信息往往突出其一定時間內的某些活動,缺乏對企業(yè)生產和管理中環(huán)境責任信息的持續(xù)性描述����,這導致企業(yè)環(huán)境責任信息的不連續(xù)性,而在大數(shù)據(jù)環(huán)境中可以對所有相關的數(shù)據(jù)進行整體分析����,得出一個完整的信息組����,更好的反應環(huán)境信息的真實性����。第二,多樣性����。傳統(tǒng)的環(huán)境責任信息披露中,由于數(shù)據(jù)的可能缺失����,監(jiān)管部門和社會公眾很難對企業(yè)的環(huán)境責任活動進行識別和衡量,而在大數(shù)據(jù)時代����,信息的載體和方式是多樣的,可以以各種形式反映信息����,有助于提供完整的企業(yè)環(huán)境責任信息內容。第三����,可追溯性。在反映企業(yè)環(huán)境責任信息的路徑上����,由于缺乏控制機制,難以實現(xiàn)信息的跟蹤����,而在大數(shù)據(jù)時代,數(shù)據(jù)可以被記錄在不同的維度����,不同維度的數(shù)據(jù)之間的分析為企業(yè)環(huán)境信息提供了可追溯性。具體運用大數(shù)據(jù)優(yōu)化企業(yè)環(huán)境信息披露的路徑如下:
1����、在借鑒國外經(jīng)驗的基礎上運用大數(shù)據(jù)完善我國企業(yè)環(huán)境信息披露的法律體系
在運用大數(shù)據(jù)分析的基礎上,借鑒國外先進經(jīng)驗進一步完善企業(yè)環(huán)境信息披露的法律法規(guī)����。充分整合現(xiàn)行國內環(huán)境保護部門、國資委����、財政部����、審計署����、證監(jiān)會、證交所等各部門的數(shù)據(jù)進行數(shù)據(jù)挖掘����,厘清我國環(huán)境信息披露方面存在的主要問題,結合中國具體國情����,在借鑒歐美發(fā)達國家相關法律規(guī)范的基礎上,在現(xiàn)行《環(huán)境保護法》規(guī)定的框架下����,進一步規(guī)范企業(yè)環(huán)境信息披露,清晰界定企業(yè)環(huán)境信息應公開的內容����,對企業(yè)環(huán)境信息公開的主體、環(huán)境信息披露義務的主體進行明確規(guī)定����。建議由環(huán)境保護部門牽頭����,聯(lián)合國資委����、財政部����、審計署、證監(jiān)會����、證交所等相關部門,對企業(yè)環(huán)境信息報告的具體實施標準或具體實施準則進行擬定����,明晰界定企業(yè)環(huán)境責任報告要素及其內涵、企業(yè)環(huán)境信息報告的設計體例等����,建議企業(yè)環(huán)境信息披露中應盡量使用定量性信息披露,提高企業(yè)環(huán)境信息的可靠性����、可比性和利益相關者對企業(yè)環(huán)境信息的可理解性����,提高企業(yè)編制環(huán)境信息報告的可操作性����。
需要注意的是,在進一步完善我國企業(yè)環(huán)境信息披露的法律體系時����,需要進一步強化企業(yè)環(huán)境責任信息披露制度的監(jiān)督和處罰機制。以2015年的上市公司魯抗醫(yī)藥因環(huán)境問題受到處罰為例����,其將含有抗生素的廢水排到主要河流中的行為極大的危害了公眾健康,進一步惡化了我國的抗生素濫用問題����,但該企業(yè)僅僅被環(huán)保部門處罰了5萬元,基本未能起到懲戒作用����。在以經(jīng)濟建設為綱的時代,企業(yè)環(huán)境信息披露及相關處罰受到忽視����,但在完善國家治理體系����,建設可持續(xù)發(fā)展社會的今天����,借鑒國外發(fā)達國家的企業(yè)環(huán)境信息披露及處罰措施,完善訴訟體制����,進一步發(fā)揮包括政府部門和非政府組織在內的監(jiān)督作用����,大幅強化處罰和懲戒力度是完善企業(yè)環(huán)境信息披露的必然路徑選擇。
2����、在完善中國企業(yè)的環(huán)境技術標準基礎上,建立數(shù)據(jù)集成和共享機制
環(huán)境保護部門應會同有關部門����,參照西方發(fā)達國家和國際組織的環(huán)境技術標準,開發(fā)統(tǒng)一規(guī)范的環(huán)境信息技術標準和規(guī)范����,對環(huán)境信息質量標準����、監(jiān)管環(huán)境信息要素及其識別與測量����、環(huán)境信息呈現(xiàn)、標準定量分析技術的所需資源和污染的度量進行規(guī)范����。制定大氣、水����、土壤、污染源����、噪聲等統(tǒng)一的監(jiān)測標準,同時建設全國統(tǒng)一的環(huán)境監(jiān)測信息數(shù)據(jù)平臺����,由環(huán)境保護部門根據(jù)環(huán)境保護法規(guī)定環(huán)境質量和其他企業(yè)環(huán)境信息,以滿足公眾的環(huán)境權益����。
3����、進一步建立和完善企業(yè)環(huán)境信息披露的數(shù)據(jù)分析系統(tǒng)
中國已建立了超過兩千個環(huán)境監(jiān)測站����,監(jiān)測人員近6萬人。我國所有省級監(jiān)測站都配備了高水平的水質分析設備能力����,所有城市監(jiān)測站均具備進行空氣、水����、噪音等環(huán)境質量的監(jiān)測能力����。但環(huán)境監(jiān)測的信息感知系統(tǒng)和數(shù)據(jù)集成分析系統(tǒng)仍有待建設,才能充分發(fā)揮大數(shù)據(jù)的作用����,有針對性的進一步完善我國的企業(yè)環(huán)境信息披露工作:首先,通過網(wǎng)絡化����、智能化����、云計算等技術����,構建環(huán)境監(jiān)測信息感知系統(tǒng),以實現(xiàn)各類監(jiān)控設備的信息融合和共享����,更有利于對未履行披露環(huán)境信息責任企業(yè)的精確懲戒;其次,環(huán)保部門應充分利用數(shù)據(jù)挖掘技術����,開發(fā)有利于環(huán)境保護的環(huán)境質量分析產品,通過推動環(huán)保服務工作����,使社會公眾和環(huán)保組織等非盈利組織更方便的獲取環(huán)境信息,了解環(huán)境動態(tài)����、趨勢和風險,從而更有利于發(fā)動社會力量����,進一步推進企業(yè)履行其環(huán)境信息披露義務����。
【參考文獻】
[1] 趙萱.企業(yè)環(huán)境責任信息披露制度績效及其影響因素實證研究[D].西南大學2015年博士論文.
[2] 李丹丹.加強引導上市公司環(huán)境責任信息披露[N].上海證券報����,2015-08-01.
[3] 李軍,童克難.改革創(chuàng)新是環(huán)保事業(yè)發(fā)展的不竭動力[N].中國環(huán)境報����,2015-06-22.
第4篇
[關鍵詞] 審計費用 影響因素 實證研究
一、審計費用影響因素實證研究模型
國外從二十世紀八十年代初就開始了關于審計收費的實證研究����。Simuni最早對美國審計收費的影響因素進行研究,提出了多元回歸模型,認為審計收費受風險狀況、損失的分擔機制����、會計師事務所的生產函數(shù)和會計師事務所的規(guī)模等因素影響����。在我國雖然不同研究人員建立的模型都不相同,但這些模型都是在Simunic的研究模型基本上的增加或刪除一些變量而建立起來的。
二����、影響審計費用的因素及分析結果
1.影響審計費用的因素
(1)審計客戶的規(guī)模����。上市公司的規(guī)模越大����,其所涉及的經(jīng)濟業(yè)務范圍就越廣,會計事項就越多����,其固有風險和控制風險也可能越高,在審計時注冊會計師也會增加審計事項����,擴大審計測試范圍,增加審計時間����,以便控制可能承受的訴訟風險。
(2)審計業(yè)務的復雜程度����。①子公司數(shù)代表上市公司經(jīng)營的復雜性。子公司越多����,審計師在進行審計時為出具審計意見所要搜集的證據(jù)也會越多����。②應收賬款和存貨是重要的流動資產����,上市公司常用它們來進行盈余管理。對于審計師而言����,應收賬款和存貨的審計相對于其他資產而言審計方法要復雜得多,一般要采用函證或盤點的審計方法����,需要耗用較多的工作量,面臨較大的檢查風險����。應收賬款和存貨的比重越高,審計時所要付出的審計成本也就越大����。
(3)審計風險����。審計風險是指審計人員審計后發(fā)表不恰當審計意見的可能性����。高審計風險將會直接導致會計師事務所支付高額訴訟費用巨額賠償,并會使其商譽遭受嚴重損失����。所以,審計風險是注冊會計師進行審計收費決策時的重要考慮因素。研究主要使用描述經(jīng)營風險的指標來衡量審計風險����,包括近幾年是否虧損、審計意見類型����、總資產收益率、流動比率����、速動比率、資產負債率等����。
(4)事務所特征。主要包括事務所規(guī)模,事務所組織形式����,是否提供非審計服務及審計任期。會計師事務所級差理論把不同事務所提供的服務視為存在級差的產品����。會計師事務所聲譽、行業(yè)專長或特殊技術����、地域分布、對客戶需求的回應質量以及提供非審計服務的能力都是產生級差的因素����。一般認為事務所規(guī)模代表了審計質量、獨立性和聲譽����,并可在一定程度上衡量了事務所級差。事務所規(guī)模越大����,其所提供的審計服務的質量越好,級差也就越高����,相應地審計收費也越高����。同一審計師在向委托客戶同時提供審計和非審計服務時����,從每一服務所獲得的知識可以向另一服務“溢出”����,從而節(jié)省審計成本或非審計服務成本,提高審計和非審計服務效率����,“知識溢出”所帶來的好處轉移給委托客戶,委托客戶也愿意因此支付較高的審計費用����。對不同時提供非審計和審計服務的會計公司而言,不可能有“知識溢出”����。因此,大多數(shù)學者認為非審計服務對審計收費會產生影響����。
(5)公司性質����。主要包括獨立董事人數(shù)����,國有股比例,公司所屬行業(yè)����,所處地域。上市公司支付給會計師事務所的審計收費����,一般是由上市公司財務部門與會計師事務所協(xié)商一致,再報由公司董事會或股東大會批準����。上市公司的獨立董事人數(shù)越多,獨立董事在董事會中就越有發(fā)言權����。為了切實肩負起監(jiān)督與指導上市公司的職責,同時減輕自身責任����,在上市公司與會計師事務所簽訂業(yè)務約定書時����,獨立董事就會要求會計師事務所提供高質量的審計服務����,以盡量避免上市公司向股東提供經(jīng)過粉飾的財務報表����,從而年報審計收費也提高。國家股比例越高內部人控制越嚴重����,作為內部控制人的管理層在審計費用的談判過程中所具有的談判能力也就越強,在激烈競爭的審計市場環(huán)境下����,他們會盡量降低審計費用,減少在獨立審計上的花費����。不同行業(yè)的經(jīng)營環(huán)境、業(yè)務屬性等各不相同����,對于審計數(shù)量和質量的需求應該也有差別����,事務所審計定價的策略會根據(jù)行業(yè)的不同而有所側重����。由于我國各地經(jīng)濟發(fā)展的不平衡,特別是東西部地區(qū)存在著較大的差距����,各地在制定審計收費的標準上也必然會考慮到當?shù)氐慕?jīng)濟水平。為此����,地域因素作為也是影響審計收費的因素之一。
2.審計費用影響因素分析結果
在筆者所查閱的論文中����,關于審計費用與公司規(guī)模關系和會計業(yè)務復雜程度的結論基本一致,即審計費用與公司自身的規(guī)模和業(yè)務復雜程度相關。然而,對于審計費用與其他因素的關系,不同的研究得出了不同的結論����。對于審計費用與審計風險因素的關系,劉斌����、葉建中����、廖瑩毅(2003),王善平����、李斌(2004),夏孟余(2005)等發(fā)現(xiàn)風險對審計費用沒有明顯的影響,從而說明審計費用基本不能反映審計的潛在成本,而張繼勛����、陳穎����、吳璇(2005)卻發(fā)現(xiàn)審計費用與審計風險相關。對于事務所特征同審計費用的關系����,研究者得出的結論也不相同。如王善平����、李斌(2004)發(fā)現(xiàn)上市公司所聘用的事務所的規(guī)模與審計費用呈顯著正相關關系,“四大”的審計收費顯著高于本土事務所,并將其原因解釋為是我國審計市場具有對高品牌事務所的內在需求,上市公司尤其是大規(guī)模且業(yè)績好有良好發(fā)展前景的公司,更愿意聘請高品牌事務所并愿意支付更高的審計費用����。但是,耿建新����、房巧玲(2006)進行的研究卻發(fā)現(xiàn)四大會計師務所收取的審計費用并未顯著高于我國本土會計師事務所����。公司性質同審計費用的關系中,劉峰等人認為獨立董事人數(shù)與年度審計費用顯著正相關,而上市公司注冊地是否位于經(jīng)濟發(fā)達地區(qū)對年度審計費用的影響并不顯著����。張小會、王培蘭對2005年滬深兩市A股上市公司的研究卻說明上市公司所在地顯著的影響了審計費用����。上市公司的行業(yè)同審計費用的關系,朱����,章立軍通過比較和檢驗處于不同行業(yè)上市公司審計費用差異,分析審計師是否在審計收費中考慮不同行業(yè)風險����,得出上市公司行業(yè)分布對審計費用具有顯著影響。
三、審計費用影響因素實證研究現(xiàn)狀評價
首先����,上市公司關于審計收費信息的披露還不規(guī)范。上市公司在其年報中對審計費用的披露質量不高,披露的方式千差萬別����,使得實證研究所依靠的數(shù)據(jù)無法滿足研究者對其的質量要求,這是造成不同的論文得出的結論不一致的一個重要原因。其次����,國外審計定價實證研究所選擇的樣本量一般都比較大,如Krishnagopal& David (2001)選擇了1980年至1997年美國樣本公司審計費用進行研究,而國內的研究,在樣本量的選擇上主要是采用一年的樣本數(shù)據(jù)進行分析,在以后的研究中應收集自2001年以來上市公司年報中公布的審計費用,幾年的數(shù)據(jù),這樣的分析結果更具有穩(wěn)定性; 再次����,在影響因素中,絕大多數(shù)的模型都研究的是市場因素而對于國家政策是否對審計費用產生影響����,研究的卻很少����。因此在今后的研究中可以考慮國家政策對審計費用的影響。最后����,我國的企業(yè)大多數(shù)屬于國有控股而且股權集中����,因此和國外相比對所有權結構����、公司治理同審計費用的關系,國內的研究還較少����。另外非審計服務對于審計業(yè)務的影響,非審計服務主要指的是管理咨詢服務����,隨著現(xiàn)代企業(yè)對管理咨詢服務需求的增加,事務所的非審計服務收入所占的比重越來越大����,這些非審計服務對于審計費用的影響,有待于日后的進一步深入研究����。
參考文獻:
[1]韓厚軍 周生春:中國證券市場會計師報酬研究――上市公司實證數(shù)據(jù)分析[J].管理世界,2003(2)
[2]劉 斌 葉建中 廖瑩毅:我國上市公司審計收費影響因素的實證研究――深滬市2001年報的經(jīng)驗證據(jù)[J].審計研究,2003(1), 44~47
第5篇
一、引言
隨著央行業(yè)務信息化的發(fā)展����,數(shù)據(jù)信息系統(tǒng)成為內審部門新的必須開展的審計內容����。國外許多中央銀行的內審部門非常重視利用信息技術開展內部審計����,并且取得了較大進展。他們擁有一批熟悉COBIT����、SAC等國際上通行的信息技術管理和控制標準、具有豐富專業(yè)經(jīng)驗的信息技術審計人員����,對信息系統(tǒng)審計已有十余年歷史。我國審計機關利用計算機進行審計探索始于20世紀90年代初����,探索開發(fā)了一系列審計軟件。2001年����,國家審計署提出了《信息化建設總體目標和構想》����,即“金審工程”����,極大地推動了審計技術的發(fā)展����。我國中央銀行利用信息技術對業(yè)務系統(tǒng)進行審計起步較晚,與業(yè)務系統(tǒng)電子化發(fā)展相比����,審計信息技術的發(fā)展很不匹配,存在明顯滯后����。盡管人行總行為推動審計技術信息化制訂了一系列制度,如《中國人民銀行計算機信息系統(tǒng)內審監(jiān)督檢查工作暫行規(guī)定》����、《關于加強計算機信息系統(tǒng)內部審計的指導意見》、《計算機信息系統(tǒng)內部審計規(guī)程》����,但從實際運用來看,內審部門的信息技術手段仍很落后����。特別是基層央行����,對業(yè)務系統(tǒng)的審計仍以手工為主����,檢查的重點停留在制度執(zhí)行層面,風險洞察水平不高����,嚴重影響了審計質量?���;谶@一認識,本文立足基層央行業(yè)務系統(tǒng)運行狀況����,對利用信息技術開展系統(tǒng)運行審計的緊迫性、面臨的主要困難與問題作一剖析����,試圖找到一些有利于基層央行利用信息技術開展系統(tǒng)審計的方法與途徑。
二����、信息技術在內審領域運用的緊迫性
國外央行審計技術信息化的實踐和我國央行業(yè)務領域信息化的現(xiàn)實,催生了內審信息技術建設必要性這一共識����,在共同認知下,迫切需要采取措施加快審計技術信息化的發(fā)展步伐����,這種緊迫性至少表現(xiàn)在以下幾方面:
1、適用業(yè)務信息化發(fā)展的需要����。近幾年來,基層央行業(yè)務信息化建設已經(jīng)躍上了一個新臺階����,央行主持開發(fā)的計算機信息系統(tǒng)基本涵蓋了貨幣政策、宏觀調控����、金融穩(wěn)定����、金融服務各個領域����,逐步形成了高效、規(guī)范的信息化服務體系����。信息系統(tǒng)的廣泛運用在提高央行管理水平的同時,也潛在著較大的安全和技術風險����。基層央行業(yè)務系統(tǒng)操作員和管理員對系統(tǒng)運行的先進性與安全性的認識����,由于長期的接觸,難免有“不識廬山真面目����,只緣身在此山中”的感覺。全面了解系統(tǒng)的運行狀況����、進一步改進系統(tǒng)運行質量,迫切需要審計信息技術這個通道����,起到“橫看成嶺側成峰”的作用����。
2����、提高內部控制水平的需要����。《中國人民銀行分支機構內部控制指引》指出����,內部控制包括內部控制環(huán)境、風險評估����、內部控制活動、內部控制的信息及其溝通����、對內部控制的監(jiān)控五個要素。面對央行業(yè)務系統(tǒng)信息化的發(fā)展����,如果沒有內審技術手段信息化的快速跟進并與之匹配����,以落后的內審手段碰撞先進的業(yè)務系統(tǒng)����,就無法對業(yè)務系統(tǒng)運行的可靠性、保密性����、連續(xù)性、完整性����、風險性作出準確的評估,內審部門“對內部控制的監(jiān)控”作用無法有效發(fā)揮����。
3、提升內審項目質量的需要����。傳統(tǒng)的手工審計,常常要面對雜亂無章的數(shù)據(jù)����,進行大量乏味的計算工作����。將信息技術運用于內審工作����,不僅可以幫助內審人員解決這一問題,還可設定針對性的模塊開展審計����,擴大審計范圍����;可以規(guī)范審計業(yè)務管理,如“中國人民銀行內審業(yè)務管理系統(tǒng)”����,有內審項目管理、內審職責管理����、輔助計算等功能,極大地規(guī)范了審計操作����。再如武漢分行推出的“內控評審系統(tǒng)”����,可以對分支機構的內控建設水平作出綜合評價����,促進了基層央行內控建設;可以迫使內審人員加強對計算機知識的學習����,主動熟悉業(yè)務部門應用系統(tǒng)的操作流程。同時����,可以通過計算機網(wǎng)絡技術,建立內審業(yè)務后續(xù)教育平臺����,開展遠程培訓,使內審人員盡快跟上信息化發(fā)展的步伐����。
4、創(chuàng)新內審手段的需要����。信息技術在內審領域的運用����,可以為創(chuàng)新內審方式打造直接平臺����。審計人員利用計算機,借助有效軟件開展內審工作����,實現(xiàn)由手工方式向電子方式轉變;利用接口程序直接從業(yè)務系統(tǒng)采集數(shù)據(jù)����,進行分析整理����,實現(xiàn)適時審計;借助網(wǎng)絡����,遠程訪問被審計單位的系統(tǒng)數(shù)據(jù),實現(xiàn)遠程審計����。通過審計信息化����,能夠實現(xiàn)內審監(jiān)督從單一性的事后審計向事前����、事中、事后相結合轉變����,從單一的靜態(tài)審計向動態(tài)與靜態(tài)相結合轉變,克服傳統(tǒng)的事后審計帶來的不能及時發(fā)現(xiàn)問題����、防范于未然的缺陷。
三����、央行業(yè)務系統(tǒng)審計面臨的現(xiàn)狀與困境
隨著基層中央銀行電子化運用的廣泛深入,內部審計環(huán)境也發(fā)生了深刻的變化����,內控機制的改變、審計線索的隱蔽����、審計手段的滯后����、審計風險的凸現(xiàn)等帶來的困境與壓力����,無時無刻不在挑戰(zhàn)著內審人員的智慧與勇氣。
1����、業(yè)務系統(tǒng)可審性差。隨著央行內審功能定位的清晰����,內審工作的審計領域逐步拓寬,審計內容也日漸豐富����,但對業(yè)務系統(tǒng)領域的審計����,卻始終是“霧里看花”,成為“審計壁壘”����。目前����,所有業(yè)務系統(tǒng)幾乎都沒有預置審計接口與審計用戶����,連簡單的數(shù)據(jù)查詢都需要通過被審計對象才能進行,同時由于信息量大����,再加上內審部門缺乏相應的技術審計手段與審計力量,用有限人工的方法查找海量電子化信息����,效率太低,要想篩選出有價值的線索無異于“大海撈針”����;因沒有設置系統(tǒng)“黑匣子”,沒有設置監(jiān)控點����,最大限度保留、記錄審計線索����,各項違規(guī)操作����、異常操作無從查找����。
2、計算機輔助審計運用不廣����。由于應用系統(tǒng)開發(fā)各自為陣,各個系統(tǒng)由不同的開發(fā)單位開發(fā)����,所采用的開發(fā)、應用平臺不同����、開發(fā)語言不同,數(shù)據(jù)庫不同����,沒有一個統(tǒng)一的標準的數(shù)據(jù)化接口����,加上內審部門沒有專用的通用審計軟件����,使業(yè)務系統(tǒng)數(shù)據(jù)采集����、轉換、分析困難����,另外,數(shù)據(jù)采集還涉及到數(shù)據(jù)導出后的保密問題����,也成了數(shù)據(jù)采集困難的因素之一。加之內審部門計算機配備不足����,能熟練掌握計算機專業(yè)知識及業(yè)務知識的人員偏少,計算機輔助審計僅停留在WORD����、EXCEL文字處理和電子表格處理層面,更深層次的數(shù)據(jù)篩選����、數(shù)據(jù)分析����、函數(shù)計算����、數(shù)據(jù)統(tǒng)計和圖形分析應用不多。3����、審計服務平臺搭建不力。目前����,央行內審業(yè)務尚未搭建起支持信息化審計的高效的服務平臺,嚴重滯后于信息化審計工作的發(fā)展����,成為難以突破的“瓶頸”。主要表現(xiàn)為:一是審計依據(jù)的非電子化����,給依據(jù)的查找、問題的定性帶來極大的不便,許多審計人員反映����,在依據(jù)查找����、問題定性方面投入的工作量占整個工作量的近三分之一。二是審計依據(jù)攜帶不便����,查找不便。目前大部分內審人員仍然使用紙質依據(jù)����,有些則是上網(wǎng)搜索,這樣所得的審計依據(jù)難以保證其權威性����、全面性、有效性����,容易造成審計風險。三是審計成果難以利用����,沒有審計結果電子檔案����,審計部門難以及時了解����、全面掌握審計對象的基本情況及其動態(tài)。四是審計分析難以深入����,不便掌握內控運行趨勢和找出內控薄弱環(huán)節(jié)軌跡。五是經(jīng)驗交流不實時����,在審計實施中容易走彎路、重復審計����,增加審計成本。
4����、軟件開發(fā)應用介入缺位?���!吨袊嗣胥y行關于加強計算機信息系統(tǒng)內部審計工作的指導意見》規(guī)定科技部門和系統(tǒng)應用部門,在組織系統(tǒng)開發(fā)時應當將有關情況通報內審部門����,應當充分考慮設置和保留必要的審計線索����,重要的系統(tǒng),應當設立必要的審計接口����。《中國人民銀行分支機構內部控制指引》也作了相似的規(guī)定����。但在實際中卻很難得到有效執(zhí)行。一是程序設計����、開發(fā)、測試階段審計部門參予不夠����。在電算化環(huán)境下,計算機系統(tǒng)處理成了業(yè)務處理的一個重要環(huán)節(jié)����,而在目前的審計實踐中����,對業(yè)務系統(tǒng)的審計卻往往繞過計算機審計����,未能實現(xiàn)穿過計算機審計,僅對業(yè)務系統(tǒng)的運行環(huán)境����、操作員控制、制度建設與管理等方面進行審計����,對業(yè)務系統(tǒng)自身的可靠性、可行性審計這一關鍵環(huán)節(jié)卻無能為力����;二是業(yè)務系統(tǒng)培訓、運用����,審計人員缺少參與。各個業(yè)務系統(tǒng)在培訓推廣時����,內審人員很少有機會參加����,相應的制度及培訓資料也難以獲取����。
5、審計風險規(guī)避更難����。手工環(huán)境下����,各項數(shù)據(jù)的勾對平衡、各個科目的對轉使用����,都有原始的憑證、帳簿����、報表,有據(jù)可查����,容易“順藤摸瓜”����,審計出來的結果較為可靠����。但在電算化環(huán)境下,各項業(yè)務的上機運行����,數(shù)據(jù)的集中存放,憑證的上收����,審計線索大為減少;紙質數(shù)據(jù)的電磁化及其容易篡改的特性以及程序的“黑箱”處理����,中斷了追索途徑;技防的薄弱如身份識別技術大部分采用登錄口令的形式����,UNIX系統(tǒng)未安裝防病毒、防入侵軟件等����,極有可能導致黑客的入侵����、病毒的感染����,從而導致程序被修改、數(shù)據(jù)被竊甚至丟失的風險����,極大增加了審計風險的規(guī)避難度。
四����、央行業(yè)務系統(tǒng)信息化審計方法與途徑探討
面對業(yè)務系統(tǒng)審計中的種種困難����,只有把審計信息化作為傳統(tǒng)審計向現(xiàn)代審計轉型的突破口來抓,在更大范圍內和更深層次上推進計算機審計的應用����,才能及時發(fā)現(xiàn)不足和解決問題,杜絕因業(yè)務信息化所帶來的風險����。
1����、深化輔助審計軟件的有效應用
輔助審計軟件包括Word����、Excel、數(shù)據(jù)庫分析管理(通常使用常用的Access數(shù)據(jù)庫)����、圖形分析程序、通用審計軟件(GAS)等����。在內部審計實施過程中,計算機不能僅作為文字處理工具����,而要進一步深化輔助審計軟件的有效應用。
在文字處理����、電子表格、數(shù)據(jù)庫分析管理和圖形分析四個方面,可建立符合基層央行業(yè)務特點的審計數(shù)學模型����,用數(shù)學模型進行數(shù)據(jù)提取、數(shù)據(jù)篩選����、數(shù)據(jù)分析、函數(shù)計算����、數(shù)據(jù)統(tǒng)計和圖形分析;可建立方便快捷的審計依據(jù)文檔庫����,通過系統(tǒng)自帶的搜索引擎進行資料模糊查詢,以便快速對審計定性提供依據(jù)����;可建立審計實施各階段的文檔模板,使各階段文檔共性部分減少手工編制����。
探索開發(fā)中央銀行通用審計軟件(PBC-GAS)����。借助通用審計軟件中相應的數(shù)據(jù)接口模塊在不同的業(yè)務系統(tǒng)中采集數(shù)據(jù)����,用轉換工具����,把取得的數(shù)據(jù)進行轉換,從而有效地轉換到審計軟件中����,形成統(tǒng)一的數(shù)據(jù)格式,以便進一步審計分析����。
2、建立業(yè)務系統(tǒng)的嵌入式審計窗口(EAM)
《中國人民銀行分支機構內部控制指引》中明確要求“系統(tǒng)開發(fā)時應考慮監(jiān)督檢查的需要����,必要時應預留有關審計接口”。為此����,筆者建議:一是對現(xiàn)有的業(yè)務系統(tǒng)進行補丁,建立起由內部審計人員登錄并提供由系統(tǒng)本身自動產生有操作風險或較嚴重誤操作的記錄的嵌入式審計窗口����,從而增加對審計對象的介入深度和改進審計方式����;二是對今后開發(fā)的業(yè)務系統(tǒng)����,審計部門要提前介入,提供切合實際����、有針對性的系統(tǒng)控制、程序控制和風險點控制等方面的需求報告����,供開發(fā)人員研究設計,未經(jīng)審計部門介入的業(yè)務系統(tǒng)軟件����,不能擅自推廣應用。
嵌入式審計窗口作為系統(tǒng)控制����、程序控制和風險點控制模塊,主要針對系統(tǒng)操作可能導致的風險進行監(jiān)測和記錄����。記錄內容可包括金額、資金流向����、摘要;時間����、操作員;保密資料的打印次數(shù)����;操作員密碼管理情況;主管授權情況����;非工作時間開機登錄情況;操作員簽退情況����;數(shù)據(jù)備份與恢復控制情況等。EAM的應用����,可成為業(yè)務系統(tǒng)自動監(jiān)控的“黑匣子”����,提高系統(tǒng)的可審性����。同時,內審員通過網(wǎng)絡登錄可開展非現(xiàn)場審計����,通過業(yè)務系統(tǒng)的動態(tài)監(jiān)測可開展動態(tài)審計,具有監(jiān)督頻率高����、信息連續(xù)性強、審計成本低����、動態(tài)反映及時等特點。
3����、推進技防信息化建設
技防信息化在央行重要業(yè)務系統(tǒng)中的應用目前僅限于對機房的監(jiān)控,直接對業(yè)務系統(tǒng)實施技防信息化還是空白����。技防信息化是通過計算機外接設備對操作員指紋����、掌紋����、聲音����、人臉、虹膜等進行圖形����、聲音數(shù)據(jù)采集,由計算機進行生物統(tǒng)計����,以進行身份鑒別的計算機控制方法。技防信息化可在中央銀行ABS����、TBS等重要業(yè)務系統(tǒng)中應用,如建立指紋識別系統(tǒng)(HSS)或臉像識別系統(tǒng)(FSS)����,并對應用系統(tǒng)所在的機房進行數(shù)字化動態(tài)監(jiān)控����。從而為內部審計提供必要的����、有力的證據(jù),尤其易對一些違規(guī)操作����、非法登錄、惡意破壞行為追蹤認定����,使責任追究落實到人。4����、加快建設信息化審計網(wǎng)絡服務平臺
信息化審計網(wǎng)絡服務平臺是為內部審計工作提供全方位的服務網(wǎng)絡系統(tǒng)。網(wǎng)絡服務平臺可以包括:審計人才資源����、審計對象與方法、審計依據(jù)法規(guī)����、風險點及控制����、審計成果轉化與應用等����,形成一個多層面、多角度����、立體式的網(wǎng)絡服務平臺����。
網(wǎng)絡服務平臺要通過做好信息收集、整理工作����,建立健全分層次的審計數(shù)據(jù)庫,包括財務管理����、國庫資金管理、發(fā)行基金管理����、人民幣賬戶管理����、外匯業(yè)務管理����、金融統(tǒng)計業(yè)務管理、反洗錢管理����、金融法律法規(guī)以及審計人力資源、審計工作中形成的審計結果和審計專家經(jīng)驗����、風險點及控制等為審計服務的信息。依靠有效的內聯(lián)網(wǎng)絡����,分層次地形成信息共享。
5����、規(guī)避信息化審計風險
規(guī)避信息化審計風險是審計人員面臨的新課題。信息化系統(tǒng)所固有的特性����,使審計風險再所難免����。如何最大限度地降低審計風險����,只有靠審計人員敏銳的嗅覺、實戰(zhàn)經(jīng)驗和一定的計算機應用系統(tǒng)分析水平����。在審計實戰(zhàn)中,一要運用電子數(shù)據(jù)易快速分類����、排序����、統(tǒng)計的特性,對電子數(shù)據(jù)進行關聯(lián)����、抽樣分析等,以發(fā)現(xiàn)審計線索����;二要檢查業(yè)務系統(tǒng)的操作員分工����、權限設置是否合理����、嚴密,職責是否明確����,分析密碼管理機制是否安全、有效����,系統(tǒng)各個功能模塊設計是否符合央行內控要求;三要檢查業(yè)務系統(tǒng)本身是否具有合理的安全保護措施����,如容錯性和系統(tǒng)災難恢復機制等;四要檢查被審計單位所提供的數(shù)據(jù)資料的真實性����、時效性、完整性和連續(xù)性����,必要時應進行復核����;五要采用靈活的審計方式����,如可采用就地審計或突擊審計的方式,事先不通知被審單位計算機管理員����,先取得備份數(shù)據(jù),以防操作員將數(shù)據(jù)篡改����、刪除等。
6����、加快人才培養(yǎng)和技術培訓
李金華審計長指出:審計信息化是一場革命����,審計人員不掌握計算機技術,將失去審計資格?���;鶎友胄袃炔繉徲嬓畔⒒ㄔO的發(fā)展����,人才培養(yǎng)是最大瓶頸����。當務之急是要用計算機知識武裝審計人員的頭腦。首先����,要拓寬育人、用人視野����,要有目的的選擇品學兼優(yōu)的業(yè)務骨干充實到內審崗位。其次����,要抓好計算機審計深層次應用培訓,如審計業(yè)務與通用審計軟件相關的針對性培訓����、計算機輔助審計技術培訓、常用的Excel����、Access數(shù)據(jù)庫中如何進行數(shù)據(jù)處理����、加工統(tǒng)計及圖形分析培訓等����。
課題組組長:張庭旭
課題組副組長:呂遂生
課題組成員:康登棟、李書文����、康中華、王曉東����、王勇
參考文獻
[1]、王洪章����,《中國人民銀行崗位風險防范指南》,中國金融出版社����,2006年����。
[2]����、張靜����,《人民銀行內審理論與實務研究》,湖北人民出版社����,2004年。
第6篇
【論文摘要】 隨著電算化在我國企業(yè)的普及����,內部控制制度的完善也引起了人們更多的重視。文章在分析我國電算化下企業(yè)內部控制面臨的現(xiàn)狀的基礎上����,提出了加強企業(yè)內部控制的建議。
內部控制是指在企事業(yè)單位會計工作中����,為了維護會計數(shù)據(jù)的準確性、可靠性����,業(yè)務經(jīng)營的有效性和財產的完整性而制定的各種規(guī)章制度����、組織措施����、管理方法、業(yè)務處理手續(xù)以及其他為防止可能發(fā)生的風險而采取的一切措施的總稱����。隨著計算機和信息系統(tǒng)的發(fā)展,我國絕大多數(shù)的企業(yè)已經(jīng)甩掉了手工賬����,實行了會計信息系統(tǒng)的電算化。電算化會計在數(shù)據(jù)處理的及時性和準確性方面都有著傳統(tǒng)手工會計無可比擬的優(yōu)勢����,但隨著電算化工作的普及和深入,有關電腦系統(tǒng)的舞弊案件時有發(fā)生����,而且涉及的金額及造成的損失往往比手工系統(tǒng)大得多。究其原因主要是由于電算化對傳統(tǒng)手工會計信息系統(tǒng)的內部控制帶來了一系列影響����,內部控制由人工控制變?yōu)槿撕陀嬎銠C共同控制,原有的內部控制已無法適應會計電算化信息系統(tǒng)的要求����。這就迫切要求我們適應電算化會計信息系統(tǒng)的特點,建立和加強電算化下的內部控制體系����。
一、電算化會計下企業(yè)內部控制內容
從傳統(tǒng)的手工會計到電算化會計系統(tǒng)����,雖然會計內部控制的目標和主要特征沒變,會計核算的復式記賬和借貸平衡的基本原理和方法也沒有變����,但由于會計信息處理方式和方法的計算機自動化,使得會計業(yè)務處理程序和工作組織發(fā)生了質的變化����,由此導致會計信息系統(tǒng)內部控制體系也出現(xiàn)了些新的特點和變化。
在會計工作實現(xiàn)電算化以后����,內部控制按照其實施方式的不同����,分為組織控制和功能控制����。組織控制是指通過建立規(guī)章制度、工作人員的合理分工而建立起來的內部控制����。功能控制是指在會計信息系統(tǒng)中設計一定的功能而實現(xiàn)的內部控制。按實施環(huán)境的不同����,內部控制又可分為應用控制和一般控制。應用控制是指運用計算機進行會計數(shù)據(jù)處理過程中所實施的內部控制����。按本身的性質和實施的目的,內部控制還可分為管理控制和會計控制����。管理控制是指為了保證計劃、預算和定額任務的完成����,提高經(jīng)濟效益而實施的內部控制����。會計控制是指為了維護會計數(shù)據(jù)準確可靠和保護單位財產完整而實施的內部控制����。
二����、電算化會計下加強完善內部控制的必要性
由于電算化會計信息系統(tǒng)在賬務處理流程和工作組織方式等許多方面與手工會計信息系統(tǒng)不同,又由于使用該系統(tǒng)存在著特有的潛在風險����,電算化會計系統(tǒng)必須建立在科學的內部控制體系以保證會計數(shù)據(jù)的真實可靠。
1����、電算化會計下授權方式的改變要求加強內部控制
在手工會計系統(tǒng)中,一項經(jīng)濟業(yè)務由發(fā)生到形成相應的賬務處理信息����,其經(jīng)歷的每一個環(huán)節(jié)都應由具有相應管理權限的有關人員審核簽章后才可辦理。這種傳統(tǒng)管理方式雖然處理的速度慢����,但可有效地防止作弊����。然而����,在電算化會計下,權限分工的主要表現(xiàn)為口令授權����。口令不像印章那樣由專人負責保管而是存放于計算機系統(tǒng)內����,一旦口令被人偷看或竊取,便會帶來巨大隱患����,此種案例在現(xiàn)實中已發(fā)生多起。如某某會計人員被客戶收買����,竊取口令,非法核銷客戶的應收款及相關資料����;銷貨人員竊得客戶的信息將客戶信息轉賣給其他公司����。
2����、會計檔案無紙化的變革要求加強內部控制
在手工方式下,會計信息以賬����、證����、表等形式存儲在不同的紙張上,增����、刪、修改會計憑證或會計賬冊都可以從各自的筆跡和印章上分清責任����,因此很難不露痕跡地加以修改或偽造。但實行了電算化會計后����,會計信息是以數(shù)據(jù)庫文件的形式保存在磁光介質上����,這種無紙張憑證和賬冊很容易不留痕跡地被篡改和偽造����,從而給內部控制帶來新的挑戰(zhàn)。另外磁或光介質對保存環(huán)境要求高����,容易損壞,一旦損壞很難恢復����,這無疑對內部控制提出了更高的要求。
3����、網(wǎng)絡技術的發(fā)展也要求加強內部控制
網(wǎng)絡技術的突飛猛進給電算化會計信息系統(tǒng)帶來了深遠的影響。目前財務軟件的網(wǎng)絡功能主要包括:遠程報賬����、遠程報表、遠程審計����、網(wǎng)上支付����、網(wǎng)上催賬����、網(wǎng)上報稅、網(wǎng)上采購����、網(wǎng)上銷售、網(wǎng)上銀行等����。由于網(wǎng)絡環(huán)境具有開放性����,而大量的會計信息又是通過網(wǎng)上傳輸?shù)模@樣就有可能使網(wǎng)絡會計信息系統(tǒng)遭到“黑客”的攻擊或“病毒”的入侵����,同樣可能導致會計信息被竊取或者是被蓄意篡改,這一系列的問題的解決離不開內部控制制度的完善和發(fā)展����。
三����、我國電算化會計內部控制面臨的現(xiàn)狀
1����、復合人才的缺乏,電算化會計人員整體素質有待提高
電算化會計系統(tǒng)是人機結合的系統(tǒng)����,它既需要熟悉計算機操作的財會人員,又需要精通計算機硬件維修����、信息系統(tǒng)管理和基本財務知識的系統(tǒng)管理員。但我國這種復合型人才還相當匱乏����,培養(yǎng)這一類的人才還需要一定的時間。
2����、單位領導層的認識不到位,電算化工作的廣度和深度有待推進
不少企業(yè)領導還沒有充分認識到實施會計電算化的重要意義����,沒有認識到開展會計電算化是時展的必然����,是管理現(xiàn)代化的需要����。目前還有相當一部分的企業(yè)電算化會計工作還只是處于單項或者幾項會計核算業(yè)務和報表匯總工作,有關工資����、固定資產、銷售的核算����、成本的核算還沒有實行電算化,全國全部實現(xiàn)會計電算化的企業(yè)還為數(shù)不多����,企業(yè)實施電算化會計的廣度和深度還不夠����,從而為電算化會計內部控制制度的建立和完善增加了難度。
3����、會計軟件不能及時升級換代����,軟件安全性����、保密性差
不少企業(yè)認為電算化僅僅是“以機代賬”,軟件只需要一次投入即可����,出現(xiàn)了只重視硬件換代,不注意軟件升級的情況����。從奔騰ⅱ一直到奔騰ⅳ,機型更換了幾次����,但財務軟件仍停留在“古老”的foxbase開發(fā)的dos版上。另一方面����,多數(shù)企業(yè)總是忙于開發(fā)、購買硬件和會計軟件����,并求得賬����、證����、表的正確輸出,卻很少過問計算機系統(tǒng)是否安全可靠����,企業(yè)以及部門的內部控制是否健全,導致會計信息的使用者對會計電算化數(shù)據(jù)的可靠性持懷疑態(tài)度����。
四、加強電算化會計下企業(yè)內部控制的建議
1����、加強有關組織與管理方面的控制
(1)建立適應電算化會計系統(tǒng)的組織機構
在實現(xiàn)了會計電算化后,企業(yè)應及時調整原有的組織機構����,可以按會計崗位和工作職責劃分為電算化會計主管����、軟件操作����、審核記賬����、電算維護、電算審查����、數(shù)據(jù)分析等崗位。組織機構的設置符合企業(yè)的實際情況����,有利于實現(xiàn)企業(yè)的管理目標,同時也要考慮到成本費用的問題����。
(2)建立嚴格的上機管理制度
基于電算化會計信息系統(tǒng)的安全性和保密性考慮,企業(yè)用于電算化會計系統(tǒng)的計算機應盡可能保證專人專用����,同時企業(yè)應該建立一整套嚴格的上機管理制度,以保證每位工作人員只在自己的計算機上和自己的權限范圍類做自己應該做的工作。一般來講����,企業(yè)對用于電算化會計系統(tǒng)的計算機的上機管理措施應包括輪流值班制度、上機記錄制度����、完善的操作手冊、上機時間安排����、操作日志等。
(3)切實貫徹職責分離����,實行相互監(jiān)督
與手工會計一樣,電算化會計系統(tǒng)對每一項可能引起偽造的經(jīng)濟業(yè)務����,都不能由一個人或一個部門經(jīng)手到底,必須分別由幾個人或幾個部門承擔����。在電算化會計系統(tǒng)中,不相容的職務主要有系統(tǒng)開發(fā)����、發(fā)展的職務與系統(tǒng)操作的職務����;數(shù)據(jù)維護管理職務與電算審核職務����;數(shù)據(jù)錄入職務與審核記賬職務����;系統(tǒng)操作的職務與系統(tǒng)檔案管理職務等。企業(yè)為防止舞弊或欺詐����,應建立一整套符合職責劃分原則的內部控制制度,同時還應建立職務輪換制度����。
(4)加強檔案管理工作
企業(yè)應該對所有會計資料及時存檔并定期地對所有檔案進行備份。企業(yè)使用的會計軟件應具有強制備份的功能和恢復到最近狀態(tài)的功能����。
(5)重視內部審計功能
內部審計既是企業(yè)內部控制系統(tǒng)的重要組成部分,也是強化內部會計監(jiān)督的制度安排����。內部審計本身就是一種組織控制����。通過內部審計部門對電算化會計系統(tǒng)信息的質量和完整性進行獨立����、公正地監(jiān)督與評價,有利于系統(tǒng)內部自我約束����、自我激勵機制的建立與健全。
2����、加強電算化會計系統(tǒng)實施前的有關系統(tǒng)開發(fā)方面的控制
這項工作主要是針對自主開發(fā)會計信息系統(tǒng)的企業(yè)而言的。在系統(tǒng)開發(fā)期間實施的控制措施主要是為了保證系統(tǒng)開發(fā)過程中各項活動的合法和有效����,其主要內容包括:明確開發(fā)目標,進行系統(tǒng)可行性研究與分析����;在開發(fā)的過程中始終要圍繞用戶需求這一宗旨確保系統(tǒng)開發(fā)目標的一致性,同時也要控制開發(fā)進度����,監(jiān)督開發(fā)質量����,檢查各功能模塊設置的合理性����,提高系統(tǒng)的質量����。電算化會計系統(tǒng)的開發(fā)必須遵循國家相關部門制定的標準和規(guī)范,這樣開發(fā)出來的系統(tǒng)才安全可靠。
在電算化會計系統(tǒng)正式運行過程中,如果發(fā)現(xiàn)會計軟件存在漏洞����,需要及時對其進行修改,整個修改過程必須經(jīng)過周密計劃和嚴格記錄����,修改過程的每一個環(huán)節(jié)都必須設置必要的控制����,修改的原因應形成書面報告,電算化會計系統(tǒng)的操作人員不能參與軟件的修改�����,所有與軟件修改有關的記錄都應該打印后存檔。
3�����、加強電算化日常管理方面的控制
首先應制定上機操作規(guī)程����,主要包括軟硬件操作規(guī)程、上機操作時間等��。在經(jīng)濟業(yè)務發(fā)生時��,通過計算機的控制程序�����,對業(yè)務發(fā)生的合理性���、合法性和完整性進行檢查和控制����。
其次要建立起一整套內部控制制度�����,以便對輸入的數(shù)據(jù)進行嚴格的控制,保證數(shù)據(jù)輸入的準確性�����。由于計算機處理數(shù)據(jù)的能力很強�����,處理速度非?���??���,如果輸入的數(shù)據(jù)不準確,處理結果就會出現(xiàn)差錯�����,影響整個系統(tǒng)的正常運行�����。因此,系統(tǒng)應該對輸入的數(shù)據(jù)進行嚴格的控制����,保證數(shù)據(jù)輸入的準確性。數(shù)據(jù)輸入控制要求輸入的數(shù)據(jù)應經(jīng)過必要的授權�����,并經(jīng)有關的內部控制部門檢查����;同時應采用各種技術手段對輸入數(shù)據(jù)的準確性進行校驗,如平衡校驗�����、二次輸入校驗等��。另外為了防止數(shù)據(jù)在傳輸過程中發(fā)生錯誤����、丟失、泄密等事故����,企業(yè)應該采用各種技術手段以保證數(shù)據(jù)在傳輸過程中的準確����、安全�、可靠。
最后對系統(tǒng)操作的事件類型����、用戶身份、操作時間�、系統(tǒng)參數(shù)和狀態(tài)以及系統(tǒng)敏感資源進行實時監(jiān)控和記錄,進行必要的權限設置����,以便能夠對各種不同的權限進行用戶識別和遠程請求識別。
綜上所述����,會計電算化在我國企業(yè)的普及���,在給會計人員帶來方便快捷高效的工作方式的同時���,無疑也增加了信息的安全隱患。當然�����,任何事物都不是完美無缺的,我們只有順應電算化發(fā)展的潮流�����,建立分工明確�����、權責落實����、操作嚴格的內部控制制度并切實的加以執(zhí)行,這樣才能充分發(fā)揮電算化會計系統(tǒng)的準確性和高效性����,才能為企業(yè)的管理層提供準確及時的決策信息,從而實現(xiàn)企業(yè)價值最大化的目標����。
【參考文獻】
[1] 袁樹民、張貴珍:會計電算化[m].上海財經(jīng)大學出版社�����,2005.
第7篇
【 關鍵詞 】 信息安全管理;信息安全管理平臺
1 引言
前些年�,在我國推進信息安全體系建設的工作中,各行業(yè)在信息網(wǎng)絡邊界和縱深部署大量信息安全防護產品的基礎上�����,為了符合國家信息安全的相關政策和監(jiān)管要求及便于進行一體化管理和掌握整個信息系統(tǒng)的安全態(tài)勢�,許多單位還部署了信息安全管理平臺,并在信息系統(tǒng)安全運行和管理上發(fā)揮了重要的作用�����。
信息安全管理平臺是網(wǎng)絡中心必備的安全管理基礎設施����,是網(wǎng)絡安全管理員遂行網(wǎng)絡安全管理任務的必備手段,是網(wǎng)絡安全體系結構中的一個重要技術支撐平臺����。為規(guī)范網(wǎng)絡系統(tǒng)的安全管理���,重要的信息網(wǎng)絡都應設置信息安全管理平臺(見《信息安全技術 信息系統(tǒng)等級保護安全設計技術要求》GB/T 24856―2009)����。
近年來,隨著云計算���、物聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)技術的興起����,信息網(wǎng)絡的邊界愈發(fā)模糊�����,系統(tǒng)中的虛擬化技術和設備被廣泛采用��,信息系統(tǒng)中的安全信息采集和集中審計變得更加困難�����。另一方面����,外部的信息安全威脅,隨著AET和APT技術的不斷升級����,也變得愈來愈兇險和難以防護����。面對當前信息安全的新形式����,以往的信息安全管理平臺必須進行更新?lián)Q代或升級改造。
搭建新一代信息安全管理平臺(以下簡稱平臺)有重要意義:(1)設計和建設新一代平臺是構建自主可控信息安全體系體系頂層設計不可或缺的重要一環(huán)���,以實現(xiàn)對重要信息系統(tǒng)的風險可監(jiān)控�、可管理����、業(yè)務過程可審計,真正實現(xiàn)安全體系自主可控�����,保障體系安全��;(2)引入大數(shù)據(jù)分析技術完善平臺關聯(lián)分析能力����,增加AET和APT攻擊的檢測技術手段,提升信息系統(tǒng)安全態(tài)勢感知和預警能力�,可及時發(fā)現(xiàn)和處置重大信息安全威脅,真正實現(xiàn)信息安全自主可控�����。
2 設計目標
信息安全管理平臺的設計目標是:設計一體化�、開放性和具有智能防御未知威脅攻擊的平臺。一體化就是將多家不同類型的安全產品整合到一起����,進行統(tǒng)一的管理配置和監(jiān)控。開放性就是提供標準的接口����,使第三方產品很容易整合到系統(tǒng)中。智能防御未知威脅攻擊�,就是充分利用和發(fā)揮大數(shù)據(jù)技術應用于安全態(tài)勢和安全事件的深度挖掘和分析,對AET和APT進行檢測和響應��,構建智能化的主動防御系統(tǒng)���。
通過信息安全管理平臺�����,對網(wǎng)絡系統(tǒng)�����、網(wǎng)絡安全設備以及主要應用實施統(tǒng)一的安全策略����、集中管理、集中審計����、并通過網(wǎng)絡安全設備間的互動,應對已知和未知的安全威脅����,充分發(fā)揮網(wǎng)絡安全防護系統(tǒng)的整體效能。
3 設計原則
依據(jù)GB17859-1999《計算機信息系統(tǒng)安全保護等級劃分準則》和GB/T 20269-2006《信息安全技術 信息系統(tǒng)安全管理要求》�����,結合網(wǎng)絡安全管理的實際需求��,按以下原則設計信息安全管理平臺�����。
(1) 標準化設計原則�。為了能夠與第三方廠家安全產品聯(lián)動���,安全管理平臺需制定安全產品互聯(lián)的接口標準,這個接口標準在業(yè)界應具有權威性并易于操作�����,便于各廠家實現(xiàn)���。
(2)逐步擴充的原則。網(wǎng)絡系統(tǒng)安全集中管理包含的內容很多����,管理技術難度很大,安全管理平臺的建設應選擇好切入點����,本著由簡至繁,逐步擴充的原則進行��。
(3)集中與分布的原則��。許多單位網(wǎng)絡從結構上看���,呈樹狀的多節(jié)點分層(級)結構����。這些網(wǎng)絡具有分布廣、結構復雜的特點�����。為此�,可在各層(級)網(wǎng)管中心設置安全管理平臺,其作用是對本級局域網(wǎng)進行集中安全管理����;上級對下級采用分布式分級的方式進行安全管理。
4 設計要求
(1)可擴展性�。信息安全管理平臺的系統(tǒng)設計,終端采用以對象模型驅動的管理機制�,對象模型用XML語言描述,可以通過定義/修改對象模型的屬性(關系和操作)�,即插即用地擴充和管理網(wǎng)絡終端及服務。此外���,管理平臺主機在性能和帶寬上�����,應留有一定冗余度����,具有管理1000~5000個對象的擴展能力。
(2)易用性���。信息安全管理平臺提供的所有功能�����,應做到操作簡易,界面友好��,使用方便����。
(3)經(jīng)濟性。信息安全管理平臺設計���,應采用先進的����、成熟的軟硬件IT技術�����,搞好總體設計,優(yōu)化軟件編程��,避免重復投資�����,提高性能價格比�����。
(4)穩(wěn)定可靠性�。信息安全管理平臺設計,應重視硬件支撐設備的選型���,性能上應留有空間���;安全管理軟件要經(jīng)過充分測試,不斷優(yōu)化�,保證系統(tǒng)穩(wěn)定可靠運行。
(5)自身安全性�����。信息安全管理平臺設計,要重視自身的安全性����,系統(tǒng)應具有管理員身份和權限的雙重鑒別能力,應保證數(shù)據(jù)網(wǎng)上傳輸?shù)耐暾?、保密性和?shù)據(jù)記錄的真實可靠及抗抵賴性。
5 系統(tǒng)組成和主要功能
信息安全管理平臺的基本功能是:對網(wǎng)絡系統(tǒng)��、安全設備���、重要應用實施統(tǒng)一管理�����、統(tǒng)一監(jiān)控、統(tǒng)一審計����、協(xié)同防護,以充分發(fā)揮網(wǎng)絡安全防護系統(tǒng)的整體作用�����,提高網(wǎng)絡安全防護的等級和水平����。
5.1 系統(tǒng)組成
信息安全管理平臺由幾個模塊組成:人機界面模塊��、總控模塊��、安全網(wǎng)管模塊��、安全監(jiān)控模塊�����、安全審計模塊�����、安全策略處理模塊��、安全模塊�����、安全事件分析模塊���、安全事件響應模塊、設備配置模塊�����、平臺與設備接口模塊和安全管理數(shù)據(jù)庫。系統(tǒng)的邏輯結構如圖1所示�����。
(1)人機界面模塊�����。面向安全管理員的操作控制界面����。
(2)總控模塊?���?偪啬K控制信息安全管理平臺各模塊正常運轉��,其中包括網(wǎng)絡通信和通信加密程序�,用于保障網(wǎng)絡間遠程數(shù)據(jù)交換的安全(主要是真實性和完整性)。
(3)安全網(wǎng)管模塊���。用于顯示網(wǎng)絡拓撲并進行安全網(wǎng)管��。
(4)安全監(jiān)控模塊����。用于對網(wǎng)絡主機和網(wǎng)絡設備進行安全監(jiān)控。
(5)安全審計模塊��。接受操作系統(tǒng)或下一級安全管理平臺發(fā)來的安全日志��;接收主機�����、防火墻�����、IDS等網(wǎng)絡安全設備發(fā)來的報警信息�����;接收網(wǎng)絡出口探針記錄的網(wǎng)絡數(shù)據(jù)流信息���,存儲并實時進行內容審計��。安全審計的方式有三種:基于規(guī)則和特征的安全檢測����,基于數(shù)據(jù)流的安全檢測,基于特定場景深度數(shù)據(jù)挖掘的安全檢測�。審計的結果:啟動報警系統(tǒng)和產生安全態(tài)勢報表。
(6)安全策略處理模塊���。自動將安全策略翻譯成安全設備可執(zhí)行的規(guī)則�。
(7)安全模塊���。安裝在網(wǎng)絡客戶機(服務器�����、終端)操作系統(tǒng)中�����,與安全管理平臺上的安全監(jiān)控模塊配合使用���。其作用是用于接收安全管理平臺發(fā)來的監(jiān)控指令和審計規(guī)則��;監(jiān)視客戶機的工作狀態(tài)����;根據(jù)規(guī)則進行安全過濾和記錄�;將安全記錄實時發(fā)回至安全管理平臺��。
(8)安全事件關聯(lián)分析模塊�。將所有收集到的安全事件按其對系統(tǒng)安全的危害程度等級進行重要性排隊,然后調閱安全專家知識庫��,對事件進行基于規(guī)則的實時關聯(lián)分析�����,該模塊可引入大數(shù)據(jù)的歷史關聯(lián)分析能力���,以提升關聯(lián)的可信度���。最終將分析結果(關聯(lián)要素)和處理規(guī)則,提交安全事件響應模塊或管理員處理����。
(9)安全事件響應模塊。按預先制定的安全事件處理規(guī)則(應急預案)對事件自動進行安全處置����。
(10)系統(tǒng)配置模塊�����。對IDS/IPS�����、防火墻��、內容監(jiān)測����、主機等安全系統(tǒng)設備或模塊進行安全和審計規(guī)則的配置����。
(11)平臺與設備接口模塊。實現(xiàn)信息安全管理平臺與各類網(wǎng)絡安全產品之間的標準數(shù)據(jù)交換�����。其流程是:各類安全產品將各自檢測到的安全日志通過接口模塊進行格式轉換后發(fā)給平臺安全事件收集模塊����,供安全管理平臺分析處理。平臺人機界面或安全事件響應模塊發(fā)出的處置指令,通過接口模塊發(fā)給指定的安全設備����,安全設備接到指令后按相應安全策略執(zhí)行�;信息安全管理平臺能夠管理的系統(tǒng)和設備有:防火墻、IDS/IPS�、內容監(jiān)測、路由器����、交換機、網(wǎng)絡主機����。
(12)安全管理數(shù)據(jù)庫。安全管理數(shù)據(jù)庫是安全管理平臺運行的基礎資源�����,主要存放從本級和下級網(wǎng)絡采集來的所有安全數(shù)據(jù)(包括日志數(shù)據(jù)���、設備狀態(tài)數(shù)據(jù))�����、安全策略數(shù)據(jù)����、安全專家知識、網(wǎng)絡拓撲連接關系����、網(wǎng)絡中所有客戶機的詳細地址和安全管理平臺加工的各種報表數(shù)據(jù)等。
5.2 主要功能
(1)網(wǎng)絡安全管理�����。在各級安全管理平臺上動態(tài)顯示本級局域網(wǎng)當前網(wǎng)絡拓撲����,根據(jù)策略,適時改變網(wǎng)絡拓撲結構����。動態(tài)顯示網(wǎng)絡設備(路由器、交換機���、服務器�、終端)的在線狀態(tài)����、參數(shù)配置��,及時發(fā)現(xiàn)系統(tǒng)結構變化情況和非授權聯(lián)網(wǎng)的情況���,并予以響應�。
①自動識別網(wǎng)絡中主機的IP、機器名稱和MAC地址���。
②按部門對設備(交換機��、路由器)�����、主機和人員進行管理����。
③通過系統(tǒng)提供的智能學習功能����,自動識別網(wǎng)絡的物理拓撲結構。
④自動生成網(wǎng)絡拓撲圖(該網(wǎng)絡的真實物理聯(lián)接結構圖)�,并能動態(tài)顯示當前的網(wǎng)絡狀態(tài)�,如圖2所示�。
⑤動態(tài)顯示主機的當前狀態(tài),如合法使用(如IP和MAC地址的配對����,已登記注冊的合法主機)、非法使用(如IP和MAC地址隨意更改) �����、關機�����、不通或故障���、未登記主機的入網(wǎng)使用等�����。
⑥可以自動發(fā)現(xiàn)入侵的主機����,并關閉其網(wǎng)絡連接端口����。
⑦提供主機與設備端口的綁定����。
⑧提供網(wǎng)絡邏輯圖(顯示設備之間的連接關系)���、網(wǎng)絡拓撲圖(顯示整個網(wǎng)絡中所有設備����、主機及其連接關系)和組織結構圖(顯示該單位的組織結構)�����,可以方便地在三種不同的顯示方式之間切換��,便于網(wǎng)絡安全管理員全面掌握和操控整個網(wǎng)絡�����;在網(wǎng)絡拓撲圖中可以拖動設備(交換機�����、路由器��、集線器)改變其相對位置���;進行文字和分組標注�;改變設備與設備�����、設備與主機之間的連接關系�����;還可以由系統(tǒng)對所有設備����、主機進行自動排列。
(2)網(wǎng)絡監(jiān)控管理�。安全管理平臺上的網(wǎng)絡安全管理與監(jiān)控功能,可根據(jù)制定的安全策略����,對受控主機進行安全控制。
①對受控機進行主機屏幕監(jiān)視或控制(接管)功能�����。
②對受控機部分或全部文件進行訪問控制,即對文件的訪問����,不僅要通過系統(tǒng)的認證,還必須通過網(wǎng)絡安全管理與監(jiān)控系統(tǒng)的認證才能訪問�。
③對受控機網(wǎng)絡訪問進行通斷控制。
④對受控機無線上網(wǎng)進行阻斷控制�。
⑤對受控機的打印機、USB移動設備進行允許和阻斷控制����。
⑥對受控機的進程進行監(jiān)控,可以控制指定進程的加載����。
⑦對受控機的internet訪問進行基于IP和DNS的詳細控制�,提供Internet網(wǎng)絡監(jiān)控。
(3)網(wǎng)絡安全設備管理�。在各級安全管理平臺上,根據(jù)安全策略����,對本級局域網(wǎng)設置的防火墻、IDS/IPS等進行參數(shù)配置����,并適時監(jiān)測安全設備的運行狀態(tài)���,以便及時處理。
(4)策略執(zhí)行管理���。根據(jù)安全策略生成的安全規(guī)則��,通過管理平臺向所有網(wǎng)絡系統(tǒng)中安全設備和主機用戶����,實現(xiàn)對網(wǎng)絡設備���、網(wǎng)絡客戶機���、安全設備及主要應用系統(tǒng)進行控制的目的。
安全策略處理模塊功能有:對中層安全策略提供的形式化語言進行程序處理�����,輸出安全設備安全規(guī)則配置表����;安全管理員通過安全管理平臺設備配置界面手工配置安全規(guī)則配置表��;將安全規(guī)則配置表通過網(wǎng)絡發(fā)給安全設備并執(zhí)行�;安全管理平臺也可直接對網(wǎng)絡中的受控客戶機進行安全規(guī)則配置��。
(5)審計管理�����。審計數(shù)據(jù)的獲取有四條渠道:各客戶機上的模塊發(fā)來的內網(wǎng)安全事件實時報警和安全日志信息��;不同廠家安全產品(防火墻����、IDS等)發(fā)來的安全事件報警和安全日志信息;下級安全管理平臺發(fā)來的安全日志和網(wǎng)絡探針發(fā)來的網(wǎng)絡數(shù)據(jù)流信息�。緊急安全事件報警信息通過安全事件分析和響應模塊實時處理。 安全日志直接存入安全日志數(shù)據(jù)庫����。網(wǎng)絡數(shù)據(jù)流存入盤陣中����,供事后歷史數(shù)據(jù)關聯(lián)分析和部分實時處理。
在各級安全管理平臺上的審計管理包括:對本級局域網(wǎng)絡系統(tǒng)中的設備(包括 路由器�����、交換機、服務器�����、數(shù)據(jù)庫��、客戶機)根據(jù)預先制定的審計規(guī)則產生的故障����、訪問、配置����、外設的報警信息和安全日志進行審計;對本級局域網(wǎng)絡安全防護設備(包括 防火墻����、IDS/IPS)及主要應用系統(tǒng)等在運行中產生的安全日志,進行采集��、分析�����;上級安全管理平臺有選擇的抽取下級的安全事件進行審計,對嚴重的安全事件及時督促下級采取相應措施及時整改�;對本級局域網(wǎng)中的進出口數(shù)據(jù)流進行記錄和實時異常檢測。
審計內容涉及十個方面�。
①對受控機文件按IP地址、操作時間����、操作類型、操作內容�����、用戶名���、機器名等進行審計�����。
②對受控機進行基于IP(源IP�、目的IP)和DNS的internet訪問審計���,審計內容為源IP、目的IP、訪問時間����、協(xié)議、服務和訪問內容等����。
③對受控機進行程序和服務的安裝與卸載進行審計,審計內容為IP地址����、操作時間、操作類型�、程序(服務)名、操作用戶名等����。
④對受控機進行本地用戶登錄審計,審計內容為IP地址��、登錄時間����、退出時間、登錄用戶名等����。
⑤對受控機的打印機使用進行審計�,審計內容為IP地址��、打印時間��、打印機名稱��、文檔名稱和用戶名等��。
⑥對受控機的USB移動存儲設備使用進行審計�����,審計內容為IP地址����、時間、外設名稱�����、狀態(tài)等�。
⑦對受控機的盤符狀態(tài)進行審計,審計內容為IP地址����、時間����、盤符�、狀態(tài)等�����。
⑧對受控機的進程狀況進行審計��,即受控機使用程序的狀況�����。
⑨對IDS/IPS探測到的非法入侵事件進行審計��。
⑩對網(wǎng)絡探針發(fā)來的數(shù)據(jù)流進行審計�����。
安全管理員可通過系統(tǒng)隨時調閱安全日志���、網(wǎng)絡狀態(tài)以及網(wǎng)絡流量等信息����,并進行統(tǒng)計查詢。這些信息是事后了解和判斷網(wǎng)絡安全事故的寶貴資料��。
(6)網(wǎng)絡病毒監(jiān)控管理����。在各級安全管理平臺上,建立病毒集中管理監(jiān)控機制����,實現(xiàn)網(wǎng)絡病毒的監(jiān)控與管理。防病毒系統(tǒng)應包括單機版�、網(wǎng)絡版和防病毒網(wǎng)關,在信息安全管理平臺上對本級網(wǎng)絡節(jié)點的防病毒運行情況進行監(jiān)控�,如防病毒庫、掃描引擎更新日期����、系統(tǒng)配置等。具體實現(xiàn):確保防病毒策略統(tǒng)一部署��,統(tǒng)一實施�����,保證防病毒體系執(zhí)行相同的安全策略,防止出現(xiàn)病毒安全防御中的漏洞����;保證系統(tǒng)管理員了解整體防病毒體系的工作狀態(tài),從整體防控的高度掌握病毒入侵的情況��,從而采取必要的措施����,及時提供新的防病毒升級庫�;通過信息安全管理平臺提供的信息,與防病毒廠商保持熱線聯(lián)系與技術支持�����。
(7)應用系統(tǒng)監(jiān)測���。信息安全建設的一個重要內容是確保網(wǎng)上關鍵業(yè)務的可靠性�����、可信性�、可用性�。因此����,對網(wǎng)上關健業(yè)務的監(jiān)測記錄非常重要����,主要體現(xiàn)在四個方面:監(jiān)測記錄關鍵業(yè)務系統(tǒng)在網(wǎng)絡中會話過程,可以幫助分析有無非法插入����、偽裝的業(yè)務會話;阻止偽裝的業(yè)務會話與關鍵業(yè)務交互�����,確保業(yè)務流程的可信性�����;監(jiān)測分析關鍵業(yè)務會話過程的響應與交互時間�����,找出影響關鍵業(yè)務系統(tǒng)網(wǎng)上運行效率的問題�,確保業(yè)務流程的可用性;應用系統(tǒng)的監(jiān)測主要通過內容監(jiān)測系統(tǒng)和網(wǎng)絡探頭實現(xiàn)。
(8)安全事件處理�����。信息安全管理平臺上收到IDS/IPS���、防火墻和網(wǎng)絡受控主機發(fā)來的安全事件時�����,將其打入事件隊列�。事件隊列依據(jù)等級排隊后����,則交給安全事件關聯(lián)分析模塊��,使用專家知識或決策分析算法對事件進行關聯(lián)分析并按預案和規(guī)則給出處置策略����,然后交給安全事件響應模塊進行自動化智能處理或交給安全管理員處理。
6 系統(tǒng)應用模型
(1)分布式多層次的管理結構����。由于大多數(shù)網(wǎng)絡是一個多層次的樹狀網(wǎng)絡系統(tǒng),結構復雜、分布范圍寬�����、網(wǎng)絡客戶機多�����,所以應按照分布式多層次的管理結構進行安全管理�����,如圖3所示�����,某單位網(wǎng)絡假設三級網(wǎng)絡安全管理中心���,每個中心設一臺安全管理平臺���,遂行本級網(wǎng)絡的安全管理。上級管理中心通過安全管理平臺將必要的安全策略����,標準和協(xié)議信息下傳給下級管理中心。上級管理中心也可通過安全管理平臺獲取下級管理中心的審計信息。如上級的安全管理平臺通過網(wǎng)絡可調看下級的網(wǎng)絡拓撲和安全事件處置報告�,掌握下級的網(wǎng)絡安全狀況。
(2)各級安全管理中心的數(shù)據(jù)傳輸模式�。安全管理中心的安全數(shù)據(jù)上傳和下達采用C/S模式,一般由上級管理中心提出申請�,下級管理中心回應。因為就計算機網(wǎng)絡的安全防護系統(tǒng)實際運行狀況來看��,總是要求下級管理中心上報的數(shù)據(jù)多于上級管理中心向下傳達的數(shù)據(jù)���。為了保證數(shù)據(jù)傳輸?shù)膶崟r準確�,以上級管理中心為Server���,下級管理中心為Client�����。下級管理中心是多對一的數(shù)據(jù)交流模式。對于上級管理中心下傳數(shù)據(jù)����,采取下級管理中心的數(shù)據(jù)庫按時輪訊的方式實現(xiàn)。
當安全管理中心多于兩級時��,數(shù)據(jù)傳輸模式如圖4所示。
(3)安全數(shù)據(jù)交換的一致性保證���。為保證安全管理中心之間數(shù)據(jù)交換的一致性���,采用事務提交與時間標簽相結合的方式來實現(xiàn)。安全數(shù)據(jù)的事務提交:由于上下級之間是跨區(qū)域的遠程傳輸����,為保證數(shù)據(jù)的完整性,采用數(shù)據(jù)的事務提交方式來處理�,每一次傳輸?shù)臄?shù)據(jù)將是一個整體事件的所有數(shù)據(jù),這樣就能保證數(shù)據(jù)的完整性�����。反之�,則必須重傳。為了處理重傳同步和上下級之間的一致性�,我們?yōu)槊恳粋€事務加一個時間標簽,即每次傳輸完一個事務的所有數(shù)據(jù)時同時加傳一個時間標簽記錄���。這個記錄至少應有如下幾項:日期時間����、事務名、該事務的記錄數(shù)�����。
收方當收到這個時間標簽后����, 則表明一個事務的數(shù)據(jù)傳輸結束,則可以更新數(shù)據(jù)�����,同時將此時間標簽保存下來����,并回發(fā)一個確認包。發(fā)送方如收到這個包�����,則認為上級中心已更新了這個事務的數(shù)據(jù)�����,就從時間標簽隊列里清除掉這個時間標簽�����。
上述過程已完整地表述了異地數(shù)據(jù)一致性分布的實現(xiàn)方法�����,如圖5所示�����。
7 系統(tǒng)安全管理流程
信息安全管理平臺的安全管理貫穿整個信息系統(tǒng)運行過程����,包括事前、事中��、事后等過程�。
(1)信息系統(tǒng)運行前。安全管理平臺對信息系統(tǒng)的安全管理�����,從實施前的安全策略的制定����、風險評估分析�、系統(tǒng)安全加固以及對實施人員進行安全訓練就已經(jīng)開始����,保證在已有的安全防護體系條件下對系統(tǒng)存在的安全隱患和將實施的安全策略心中有數(shù)。
(2)信息系統(tǒng)運行中�����。在系統(tǒng)運行過程中��,對網(wǎng)絡中的各種主機�����、安全設備實施全程安全監(jiān)控����,安全運行日志同時進行詳細的記錄,在系統(tǒng)發(fā)生安全事件時�,根據(jù)事件等級進行排隊,安全管理平臺實時調用相應的事件處理機制�����。事件的處理機制見事件處理流程如圖6所示�。
(3)信息系統(tǒng)運行后。定期組織進行安全自查�,消除安全隱患。通過分析系統(tǒng)運行的狀況(包括性能分析�、日志跟蹤、故障出現(xiàn)概率統(tǒng)計等)����,提出新的安全需求,進行技術改進���,包括系統(tǒng)升級���、加固和變更管理。
(4)安全事件管理方式和處理流程�����。
自動處理: 將預案中的安全事件及其處理辦法(如系統(tǒng)弱點漏洞�、惡意攻擊特征、病毒感染特征����、網(wǎng)絡故障和違規(guī)操作、防火墻與IDS聯(lián)動���、沙箱模擬運行等)存入安全知識庫并形成相應的處理規(guī)則�����,當相應事件出現(xiàn)時�����,系統(tǒng)將根據(jù)處理規(guī)則進行自動處理����。
人工干預處理:根據(jù)情況的需要,也可在信息安全管理平臺上按事件級別進行人工干預處理�����,主要包括技術咨詢�����、數(shù)據(jù)恢復����、系統(tǒng)恢復、系統(tǒng)加固、現(xiàn)場問題處理��、跟蹤攻擊源��、處理報告提交等�。
遠程處理:當安全管理員從管理平臺的拓撲圖上觀察到安全事件發(fā)生時或收到下級轉交的要求協(xié)助解決的安全事件時�,除了直接提供處理方案給對方外,還可以通過遠程操作直接對發(fā)生安全事件的系統(tǒng)進行診斷和處理����。
決策分析處理:決策分析模塊預先收集、整理安全事件的資料����,組織安全專家根據(jù)事件類型、出現(xiàn)事件的設備�、事件發(fā)生的頻繁度、事件的危害程度等因素列出等級�、層次并打分,列出判斷矩陣���,運用層次分析法求解判斷矩陣����,分別計算出各因素的權重值,一并存入專家知識庫中�����。運行時將調用專家知識庫對實時收到的系統(tǒng)安全事件進行判斷和計算�����,如果是單條事件根據(jù)預案直接處置����,多條事件則求出組合權重值并對事件排隊,系統(tǒng)根據(jù)事件重要程度依據(jù)預案依次處置����。
安全系統(tǒng)聯(lián)動處理:安全事件響應模塊根據(jù)安全事件關聯(lián)分析模塊發(fā)來的安全事件關聯(lián)要素調用應急預案庫進行安全設備聯(lián)動處理,如收到IDS檢測到某協(xié)議某端口有DDOS攻擊�,依據(jù)預案將發(fā)送安全規(guī)則給總出口的防火墻,及時關閉該協(xié)議和端口����。以實現(xiàn)一體化安全管理。
記錄和事后處理:信息安全管理平臺在信息系統(tǒng)運行時收集并記錄所有的安全事件和報警信息���,這些事件和信息將作為事后分析的依據(jù)�����。
8 關鍵技術及設計思路
一個系統(tǒng)是否先進和實用��,關鍵是系統(tǒng)的設計思想和所應用的技術�。為了使下一代信息安全管理平臺具有創(chuàng)新性,我們提出了“應用大數(shù)據(jù)挖掘及分析技術”和“重點防御AET和APT”的設計思想��,并且應用了多方面的先進技術���。
在本系統(tǒng)中,采用了幾項技術:形式化語言翻譯技術�����;安全產品數(shù)據(jù)交換標準�����;安全事件決策分析技術�����;高性能數(shù)據(jù)采集器����;安全事件的關聯(lián)分析���;大數(shù)據(jù)挖掘分析;AET和APT檢測技術�。
(1)安全產品數(shù)據(jù)交換標準。為市場上的安全產品(如防火墻��、IDS/IPS�����、漏洞掃描�、安全審計和防病毒產品等)制定數(shù)據(jù)交換標準。為此�,所有安全產品都必須清楚地描述幾方面內容(BNF描述法):
::=
::=||
::=|
::=||||
::=||||
::=||||
::=||||
(2)高性能數(shù)據(jù)采集器。高性能數(shù)據(jù)采集器也叫探針�,是信息內容監(jiān)測系統(tǒng)和大數(shù)據(jù)安全分析的前端設備,該設備性能的好壞直接影響系統(tǒng)的功能和性能�����。如法國GN Fastnet C Probe硬件設備�����,該設備的特點是:直接嵌入需要監(jiān)測的網(wǎng)絡;不損失網(wǎng)絡性能與效率��,能夠適應多種網(wǎng)絡環(huán)境�����,能夠采集多種協(xié)議下的數(shù)據(jù)流信息�;全線速采集數(shù)據(jù)100M
利用該設備作為信息內容監(jiān)測系統(tǒng)和大數(shù)據(jù)安全分析的數(shù)據(jù)采集設備,能夠適應多種類型的網(wǎng)絡接口:局域網(wǎng)�����、企業(yè)網(wǎng)���、廣域網(wǎng)、快速以太網(wǎng)等�,它的高性能的數(shù)據(jù)采集能力,極大地降低了系統(tǒng)數(shù)據(jù)采集的漏包率�����。
(3)安全事件的關聯(lián)分析����。對包含安全事件的數(shù)據(jù)流進行分析�����,如果是結構化數(shù)據(jù)可在基于經(jīng)驗知識����,人工建立的規(guī)則和模型基礎上�,進行簡單的關聯(lián):安全事件與用戶身份的關聯(lián)分析實現(xiàn)安全事件到“人”的定位;安全事件與系統(tǒng)脆弱性信息的關聯(lián)分析實現(xiàn)安全事件危害程度的正確評估����;安全事件與威脅源關聯(lián)分析提高評估安全事件的級別和緊急程度的可信度;多個安全事件的關聯(lián)分析�,聚焦安全事件的連鎖危害,提升安全事件的嚴重級別和緊急程度�;泄密安全事件與身份信息的關聯(lián)實現(xiàn)泄密源的真正定位;安全事件自身關聯(lián)實現(xiàn)安全事件活動場景的全展現(xiàn)�����;安全事件與流量樣本數(shù)據(jù)關聯(lián)分析����,判斷安全事件的性質(是否AET或APT攻擊)。
(4)大數(shù)據(jù)挖掘和分析��。目前的大數(shù)據(jù)分析主要有兩條技術路線,一是憑借先驗知識人工建立數(shù)學模型�,二是通過建立人工智能系統(tǒng),使用大量樣本數(shù)據(jù)進行訓練����,讓機器代替人工獲得從數(shù)據(jù)中提取知識的能力。
由于AET和APT攻擊的數(shù)據(jù)包大部是非結構化或半結構化數(shù)據(jù)�����,模式不明且多變�����,因此難以靠人工建立數(shù)據(jù)模型去挖掘其特征�����,只能通過人工智能和機器學習技術進行分析判斷��。
應用大數(shù)據(jù)挖掘和分析新型網(wǎng)絡攻擊的思路:通過大數(shù)據(jù)解決方案將相關歷史數(shù)據(jù)(攻擊流量)保存下來���,通過人工智能軟件來分析這些樣本并提取相應的知識,將疑似AET和APT攻擊的異常樣本知識存入專家知識庫�����。
大數(shù)據(jù)挖掘和分析在平臺中主要用于分析與檢測:流量異常分析,行為異常分析�,內容異常分析,日志與網(wǎng)絡數(shù)據(jù)流的關聯(lián)分析�����,威脅與脆弱性的關聯(lián)分析����,基于正常的安全基線模型檢測異常事件。
(5)AET和APT檢測判斷技術�����。未知威脅最典型也是最難檢測的屬AET和APT����,所以新一代信息安全管理平臺中的IDS/IPS和防火墻必須包括不斷更新的AET庫,專家知識庫中應包括APT攻擊樣本知識����,因為AET和APT用傳統(tǒng)的威脅攻擊特征庫根本無法比對發(fā)現(xiàn)。AET主要通過先進的AET知識庫進行合規(guī)性判別�����,其核心的先進檢測技術主要包括“對全協(xié)議層數(shù)據(jù)流進行解碼和規(guī)范化”,“基于規(guī)范化的逃避技術清除”�����,“基于應用層數(shù)據(jù)流的特征檢測” ����。
APT可以通過多種手段進行分析檢測:收集來自IT系統(tǒng)的各種信息,如圖8所示����。
基于流量統(tǒng)計的檢測。記錄關鍵節(jié)點的正常網(wǎng)絡通信數(shù)據(jù)包樣本�����,以樣本特征檢測為輔異常檢測為主����,通過異常檢測發(fā)現(xiàn)未知的入侵�����。
沙盒分析與入侵指標確認。將疑似APT數(shù)據(jù)包組裝好���,放入沙盒(緩存)中模擬運行(引爆)并與入侵指標(活動進程�����、操作行為��、注冊表項等)比對加以驗證��。
9 安全管理數(shù)據(jù)庫系統(tǒng)的設計
(1)數(shù)據(jù)組織與分類�����。根據(jù)信息安全管理平臺的需求�����,安全管理數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)內容包括:管理信息�����、網(wǎng)管信息�����、安全審計����、專家知識四類十余種數(shù)據(jù)格式。安全管理數(shù)據(jù)庫系統(tǒng)�,是以四類數(shù)據(jù)為處理對象,實現(xiàn)對信息安全管理平臺數(shù)據(jù)的積累����、存貯管理、更新����、查詢及處理功能的數(shù)據(jù)庫應用系統(tǒng)。經(jīng)過數(shù)據(jù)庫設計����,安全管理數(shù)據(jù)庫系統(tǒng)的四類十余種數(shù)據(jù)格式,規(guī)范分解為包括10余種關系結構的關系模型�,在此基礎上可根據(jù)用戶應用要求設計多種格式的審計報表。
(2)數(shù)據(jù)庫結構框圖�����。通過上述信息安全管理平臺的設計思路簡介,可以大致了解新一代信息安全管理平臺的工作過程和在網(wǎng)絡安全管理上發(fā)揮的作用����,我們希望早日看到擁有自主知識產權的國產信息安全管理平臺在我國重要信息系統(tǒng)的網(wǎng)絡安全管理上發(fā)揮重要的作用��。
【注1】 AET(Advanced Evasion Techniques)�����,有的文章譯為高級逃避技術�、高級逃逸技術,筆者認為譯為高級隱遁技術比較貼切����,即說明采用這種技術的攻擊不留痕跡,又可躲避IDS��、IPS的檢測和阻攔�����。
【注2】 APT(Advanced Persistent Threat)直譯為高級持續(xù)性威脅�����。這種威脅的特點,一是具有極強的隱蔽能力和很強的針對性����;二是一種長期而復雜的威脅方式。它通常使用特種攻擊技術(包括高級隱遁技術)對目標進行長期的���、不定期的探測(攻擊)��。
參考文獻
[1] 信息安全管理平臺的設計[J].計算機安全���,2003年第12期.
[2] CNGate 下一代高智能入侵防御系統(tǒng).北京科能騰達信息技術有限公司,2012年8月.
[3] 高級隱遁技術對當前信息安全防護提出的嚴峻挑戰(zhàn)[J].計算機安全����,2012年第12期.
[4] 高級隱遁攻擊的技術特點研究[J].計算機安全,2013年第3期.
[5] 星云多維度威脅預警系統(tǒng)V2.0.南京翰海源信息技術有限公司��,2013年12月.
[6] 我國防護特種網(wǎng)絡攻擊技術現(xiàn)狀[J].信息安全與技術�����,2014年第5期.
[7] 大數(shù)據(jù)白皮書2014年.工業(yè)和信息化部電信研究院����,2014年5月.
[8] 提高對新型網(wǎng)絡攻擊危害性的認識 增強我國自主安全檢測和防護能力[J].信息安全與技術�����,2014年第10期.
[9] CNGate-SIEM 安全信息事件管理平臺.北京科能騰達信息技術有限公司�����,2015年6月.
第8篇
(沈陽大學經(jīng)濟學院,遼寧沈陽110041)
摘 要:地方財政收入質量的評價的核心問題是指標評價體系的構建�����,這個體系應包括合法性指標�����、合理性指標和真實性指標三個部分���,運用這些指標對沈陽的財政收入評價的結果對遼寧乃至全國的財政收入質量情況分析都有一定的意義�。沈陽財政收入存在著總量�����、構成及執(zhí)法方式不合理等情況�����,應采取加強地方財源建設,適當減輕工商企業(yè)的稅費�����,預防和化解地方財政風險����,減少稅收執(zhí)法中的隨意性,打擊財政收入“注水”現(xiàn)象等措施��。
關鍵詞 :地方財政收入質量���;評價指標����;構建���;運用
中圖分類號:F812文獻標志碼:A文章編號:1000-8772(2014)22-0103-02
收稿日期:2014-05-19
基金項目:論文為2014年度遼寧省社科聯(lián)遼寧經(jīng)濟社會發(fā)展立項課題“地方財政收入質量評價指標體系的構建及優(yōu)化研究——以遼寧為例”(主持人沈陽大學李忠華����,項目批號2014lslktzilljj-02)”的系列階段性成果(1)��。
作者簡介:李忠華(1965-),男����,吉林九臺人,教授��,碩士生導師����,研究方向:稅收理論與實務�;霍奕彤(1988-),女�����,吉林吉林人�����,在讀研究生���,研究方向:稅收理論與實務�����。
所謂的財政收入質量是指財政收入的合法性�����、合理性和真實性�����,以及財政職能在組織收入中實現(xiàn)的程度�����。有關地方財政收入質量評問題的研究成果很多���,但對于能夠指導實踐的仍顯不足����,應研究構建全新的地方財政收入質量的評價指標評價體系����,以供實際部門使用。本文從合法性�����、合理性和真實性三個方面構建這個指標體系,并以沈陽為例進行分析評價�����,最后提出相應的建議���。
一�、地方財政收入質量評價的必要性
(一)財政收入的質量是政府管理和服務質量的保證
合法性收入下的生活才是高質量的����。近年來,我省經(jīng)濟運行態(tài)勢良好�,收入質量不斷改善��。這與我省一直堅持依法治稅��、嚴格征管�����、應收盡收有著密切的聯(lián)系�����,從而確保了財政收入的平穩(wěn)增長。具體體現(xiàn)在兩具方面:一是積極培植財源�,促進稅收收入平穩(wěn)較快增長。二是強化非稅收入管理�,提高財政收入質量。繼續(xù)加大對收費項目的清理整頓力度���,取消不合法的行政事業(yè)性收費項目��,嚴禁違規(guī)越權設立收費項目����。
(二)財政收入的取得方式影響著經(jīng)濟社會發(fā)展
近些年來�����,地方政府的非稅收入增加較多���,并快于稅收的增加���,使得地方財政收入與地方可用財力不同步。因為非稅收入大都在財政上列收列支�����,有專項用途,真正體現(xiàn)在地方政府財力上用于正常支出的部分并不多����。由此造成地方財政收入的增長并未帶來地方實際可用財力的同步增長。這種看起來很可觀的地方財政收入的“量”���,由于沒有較好的“質”�����,并沒有使地方財政困難狀態(tài)得以改善����。許多地方的收費收入快速增長�,甚至出現(xiàn)了收費收入增長超過稅收收入增長的不正常現(xiàn)象����。收費收入的過度擴張嚴重地抑制了稅收收入的正常增長���。
(三)政府取得財政收入的執(zhí)法行為具有導向效應
政府行為對私人具有導向效應���。主要是通過稅收����,稅收是對居民收入分配之后的再分配�,比如企業(yè)和個人的所得稅,就是在個人勞動所得和企業(yè)經(jīng)營利潤分配的基礎上����,在進行一次由政府參與并主導的分配。政府的稅收收的多��,個人或企業(yè)實際收入就少���,反之亦然��,從而對國民收入有影響�����。另外政策導向性的分配�����,比如對一些鼓勵的行業(yè)給予財政補貼或者稅收優(yōu)惠��,而對于限制性的則征收高稅率�����,收取相關行政性費用等�。
二、地方財政收入質量評價指標體系的構建
就地方財政收入質量評價體系指標而言�����,目標不同�,指標也會有一些差別,但總體而言應從合法性��、合理性�、真實性三個維度來構建這個指標體系。具體包括:一是合法性分析�����。如有無“收過頭稅”����、“有稅下征”、“寅吃卯糧”����、“應退不退”、“應減不減”等�。二是合理性分析。包括規(guī)模分析(財政收入總量)構成分析(如財政收入占GDP比重��、稅收占財政收入的比例��、主稅收入占稅收收入的比例等)趨勢分析(如稅收增長率�、財政收入增長率、財政收入增長彈性等)效果分析(如稅收收入產業(yè)比率��、稅收收入行業(yè)比率等)等指標�。三是真實性分析:如有無財政“空轉”和“買稅”等。
這些指標在本文中分析運用是以遼寧省沈陽市2011年的數(shù)據(jù)為基礎�����,進行分析評價�,以便發(fā)現(xiàn)存在的問題,并提出相應的建議�����。
三����、地方財政收入質量評價指標的運用——以沈陽市為例
(一)總量分析及趨勢分析
依據(jù)沈陽市統(tǒng)計局2011年12月《沈陽統(tǒng)計月報》的數(shù)據(jù)���,2011年沈陽市地方稅收約占稅收總收入40%,稅收約占財政總收入85%����,所以,沈陽財政負擔率約為24%(8.2%÷40%÷85%)左右�����,較比同期副省級城市沈陽偏高���。大部分地區(qū)稅收彈性都超過了2����,大東區(qū)更是11�����,平均稅收彈性2.1�,這個比例在副省級城市中相對偏高。
(二)稅收收入構成比例分析
依據(jù)沈陽市地稅局2011年《稅收收入分行業(yè)分稅種統(tǒng)計月報總表》的情況看�,2011年沈陽市大部分地區(qū)非稅收入比例都超過20%�����,全市24.2%,這個比例較比同期副省級城市相對偏高�����。
(三)稅收產業(yè)構成比例分析
還是依據(jù)沈陽市地稅局2011年《稅收收入分行業(yè)分稅種統(tǒng)計月報總表》的情況看���,2011年沈陽市大部分地區(qū)“房地產+建筑業(yè)”稅收占比都超過40%��,有的區(qū)如于洪����、東陵達到60%以上�,地方稅收過于依賴房地產及相關產業(yè)。
(四)第三產業(yè)稅負增長情況分析
依據(jù)遼寧省地方稅務統(tǒng)計��,遼寧省地方稅務局�,2007-2010年的統(tǒng)計數(shù)據(jù)分析,2011年沈陽市第三產業(yè)稅收增長有限�����,特別是代表第三產業(yè)方向的現(xiàn)代服務業(yè)稅收所占比重沒有明顯提升,交通運輸����、金融和現(xiàn)代信息略有下降,租憑和現(xiàn)代商業(yè)略有上升���。
(五)行業(yè)稅負情況分析
2011年�,沈陽市裝備制造業(yè)中的電氣機械及器材制造業(yè)����、儀器儀表及文化辦公用機械制造業(yè)、金屬制品業(yè)���、交通運輸設備制造業(yè)�、專業(yè)設備制造業(yè)五個行業(yè)工業(yè)增加值分別為1.19%�、2.18%、12.56%���、14.82%�、13.57%�,稅收增長率分別為12.84%、18.75%、69.62%�����、58.43%�、24.83%,稅收彈性分別為10.80����、8.59�����、5.54�����、3.94�、1.83,而全國裝備制造業(yè)行業(yè)平均工業(yè)產值增長率����、稅收增長率、稅收彈性分別為12.47%����、36.27%�、2.91����。
四、結論及建議
(一)加強地方財源建設是提高地方財政收入質量之本
2012年���,中央財政收入占總收入比重47%��。而在事權下移的情況下地方財政捉襟見肘�����,網(wǎng)民有“中央財政喜氣洋洋����,省市財政勉勉強強�����,縣級財政拆東墻補西墻�����,鄉(xiāng)鎮(zhèn)財政哭爹喊娘”的順口溜。應加強地方財源建設����。減少對非稅收入和土地財政的過度依賴。
(二)“輕徭薄賦����,休養(yǎng)生息”是提高地方財政收入質量之源
在古代,我國有“輕徭薄賦�,休養(yǎng)生息”之說,西方經(jīng)濟學中著名的拉弗曲線����,演示著稅收與經(jīng)濟良性發(fā)展的關系����。012年,我國財政收入占GDP比重22.57%�,如果加上政府預算外收入、體制外收入����,許多人估計30%左右,而發(fā)展中國家平均20%-25%����。所以�����,應適當降低財政收入占GDP比重�����。
(三)預防和化解地方財政風險是提高地方財政收入質量的重要措施
2012年�����,我國地方本級收入61077億元���,地方本級財政支出106947億元,收支差額為45870億元����。另據(jù)來自審計暑的資料,9個省會城市本級政府負有償還責任的債務率已超過100%����,最高達189%。省會城市中債務壓力排名最高的10個為:高京���、成都�����、廣州�、合肥、昆明����、長沙、武漢�、哈爾濱、西安和蘭州����。所以應采取措施,加強地方財政風險的監(jiān)督與控制�����。
(四)規(guī)范執(zhí)法����,減少執(zhí)法隨意性是提高地方財政收入質量的必然選擇
賦稅�����,以法律法規(guī)做依據(jù)。實際中仍存在多種不依法征稅情形�����。包括征過頭稅�����、寅吃卯糧�����、應退不退��,應優(yōu)惠不優(yōu)惠等�。如焦點訪談報的四川某地向當?shù)剞r民強征房產稅。河北河間稅務所按納稅人電費強征稅(每度電征0.9元)����,稅款可直接存在個人銀行卡。山東某地稅務機關直接將稅收任務轉包納稅務師事務所等�����。尤其對基層稅務機關一些不依法、超標準隨意征收����,吃、拿���、卡��、要的現(xiàn)象應采取強有力的措施進行治理����,以源頭預防為主��,防管結合�。
參考文獻:
[1]申益維.遼寧省財政收入結構優(yōu)化研究[D].遼寧大學,2013:23-28.
[2]彎海川.地方財政收入優(yōu)化與區(qū)域經(jīng)濟發(fā)展[M].東北財經(jīng)大學出版社�����,2011:235—240.
[3]遼寧省地方稅務局���,遼寧省地方稅務統(tǒng)計,2007-2010年.
