序言:寫作是分享個人見解和探索未知領(lǐng)域的橋梁,我們?yōu)槟x了8篇的審計數(shù)據(jù)分析論文樣本�����,期待這些樣本能夠為您提供豐富的參考和啟發(fā),請盡情閱讀�。
第1篇
論文摘要:隨著信息技術(shù)被廣泛、深入地應(yīng)用在會計工作中�����,會計工作發(fā)生了根本性的改變�����,不僅原有的會計數(shù)據(jù)處理流程發(fā)生了改變,會計環(huán)境也被極大地改變了��,使傳統(tǒng)的審計理念和技術(shù)面臨巨大的挑戰(zhàn)����,審計人員不僅面臨“進不了門,打不開賬”的尷尬局面�,審計理論和方法也急待改進以適應(yīng)信息化的進程。
1現(xiàn)代審計與傳統(tǒng)審計的共同點
計算機審計的目標(biāo)與傳統(tǒng)手工審計的目標(biāo)是一致的���,無論是計算機審計還是傳統(tǒng)審計����,國家審計的審計過程都必須經(jīng)過審計準(zhǔn)備�����、審計實施與審計報告三個階段��,通過執(zhí)行檢查����、觀察��、詢問、函證���、重新計算��、重新執(zhí)行�����、分析程序等基本審計程序來獲取充分��、適當(dāng)?shù)膶徲嬜C據(jù)�����,并將審計思路和審計過程予以記錄形成審計工作底稿��,作為發(fā)表審計意見的依據(jù)�。
2現(xiàn)代審計與傳統(tǒng)審計的差異
2.1站在新角度隨著國民經(jīng)濟的發(fā)展����,信息網(wǎng)絡(luò)廣泛普及,信息化成為經(jīng)濟社會發(fā)展的顯著特征����,各行各業(yè)普遍運用計算機和網(wǎng)絡(luò)等信息技術(shù)進行管理���,審計人員不得不面對海量的會計電子數(shù)據(jù)。在手工審計方式下��,審計人員總是先分析審計對象的各個部分���,再歸納����、綜合為整體���,其思維方式是:部分一整體��,這適合于數(shù)據(jù)量不大的審計對象�,卻很難全面把握海量數(shù)據(jù)����。而計算機審計打破了手工審計思維方式,強調(diào)以系統(tǒng)論核心����,從系統(tǒng)上把握審計對象,即從審計對象的整體出發(fā)�����,先進行系統(tǒng)分析���,把握總體�,再建立審計模型�,分析數(shù)據(jù),最后作出總體評價�,其思維方式是:整體一部分一整體,計算機審計能夠從宏觀上和系統(tǒng)上把握審計對象��,以擴大審計監(jiān)督范圍�,提高審計監(jiān)督能力。
2.2面臨新環(huán)境計算機審計下的審計環(huán)境發(fā)生了很大的變化�����。一方面表現(xiàn)為審計人員必須利用計算機實施審計�����,要求審計人員能熟練操作計算機特別是相關(guān)的審計軟件��;另一方面由于信息技術(shù)在會計工作中的廣泛、深入的應(yīng)用不僅改變了原有的會計數(shù)據(jù)處理流程�,還極大地改變了會計環(huán)境。信息化建設(shè)使得所有會計數(shù)據(jù)不再是紙介質(zhì)的憑證�����、賬簿及報表���,而是以“比特”方式保存在磁性介質(zhì)上��,數(shù)據(jù)表現(xiàn)形式虛擬化��,即審計環(huán)境數(shù)字化���,審計人員所面對的已不是傳統(tǒng)意義上的賬本,而是無形的電子數(shù)據(jù)和處理這些電子數(shù)據(jù)的會計核算管理系統(tǒng)���,而這些會計電算化軟件版本各異�����,使得審計環(huán)境比傳統(tǒng)手工模式下顯得更為復(fù)雜����。
2.3線索更復(fù)雜計算機審計環(huán)境下,傳統(tǒng)的審計線索因會計電算化系統(tǒng)而中斷甚至消失����。在手工會計系統(tǒng)中����,從原始憑證到記賬憑證,從過賬到財務(wù)報表的編制�����,每一步都有文字記錄�,都有經(jīng)手人簽字,其紙質(zhì)業(yè)務(wù)軌跡��,是重要的審計線索與審計證據(jù)的來源�,審計線索十分清楚。但在會計電算化系統(tǒng)中�,傳統(tǒng)的賬簿、相關(guān)的文字記錄被磁盤和磁帶取代���,加上從原始數(shù)據(jù)進入計算機�,到財務(wù)報表的輸出�,會計處理集中由計算機按程序自動完成����,傳統(tǒng)的審計線索在這里消失�。而審計線索的改變,導(dǎo)致在電算化系統(tǒng)中可人為篡改數(shù)據(jù)而不留痕跡�����,如電算化系統(tǒng)數(shù)據(jù)來源���、公式定義�、編制結(jié)果��、打印格式均采用機內(nèi)文件的形式���,若有人篡改公式�����、編制失真的財務(wù)報表���,然后再將篡改的公式等予以復(fù)原,則很難判定報表數(shù)據(jù)的正確與真實性�。從而使得傳統(tǒng)審計的追蹤審查已不適用�����,審計入手點更多的是靠判斷和經(jīng)驗�。
2.4涉及的范圍更大在會計電算化信息系統(tǒng)中�,由于會計事項由計算機按程序自動進行處理����,因疏忽大意而引起的計算機或過賬錯誤的機會大大減少了,但如果會計電算化系統(tǒng)的應(yīng)用程序出錯或被人非法篡改����,后果將不堪設(shè)想。
計算機審計的另一項重要內(nèi)容是對電子數(shù)據(jù)直接進行測試�,即審計人員不須先將被審計單位的電子數(shù)據(jù)轉(zhuǎn)換成電子賬套再實施審計程序,而是擺脫傳統(tǒng)的電子賬套及其所反映的財務(wù)信息�,深入到計算機信息系統(tǒng)的底層數(shù)據(jù)庫,獲取更多更廣泛的數(shù)據(jù)���,然后通過對底層數(shù)據(jù)的分析處理�,獲得大量的多種類型的有用信息��。
總而言之���,計算機審計的范圍較傳統(tǒng)手工審計要廣泛得多���、深刻得多�。審計人員可以根據(jù)審計目標(biāo)的需要將審計的范圍和內(nèi)容作出必要的擴大����。
2.5審計技術(shù)更現(xiàn)代傳統(tǒng)手工審計隨著風(fēng)險基礎(chǔ)審計模式在實務(wù)中的廣泛運用,分析性測試方法逐漸成為其核心方法�����。但信息技術(shù)的應(yīng)用導(dǎo)致審計內(nèi)容及審計線索的變化��,要求審計人員必須革新審計技術(shù)方法�����,計算機審計的核心方法是數(shù)據(jù)分析方法�����。數(shù)據(jù)分析方法不同于傳統(tǒng)的分析性測試僅局限于對信息的處理���,它是對來自于底層的��、元素性的數(shù)據(jù)進行處理����,可以有多種多樣的組合,在用途上可以作多種多樣的拓展�,從而形成多種多樣的信息。因此��,數(shù)據(jù)分析技術(shù)可以用于多種測試工作��。在采用數(shù)據(jù)分析方法時��,可使用兩種計算機審計特有的新型審計工具:審計中間表方法��、審計分析模型方法���。審計中間表是利用被審計單位數(shù)據(jù)庫中的基礎(chǔ)電子數(shù)據(jù),按照審計人員的審計要求���,由審計人員構(gòu)建����,可供審計人員進行數(shù)據(jù)分析的新型審計工具�。它是實現(xiàn)計算機審計的關(guān)鍵技術(shù)���。審計分析模型是審計人員用于數(shù)據(jù)分析的技術(shù)工具,它是按照審計事項應(yīng)該具有的時間或空間狀態(tài)(例如趨勢����、結(jié)構(gòu)、關(guān)系等)��,由審計人員通過設(shè)定判斷和限制條件來建立起數(shù)學(xué)的或邏輯的表達式�����,并用于驗證審計事項實際的時間或空間狀態(tài)的技術(shù)方法���。
2.6審計流程更長計算機審計由三階段演變?yōu)樗膫€階段����。傳統(tǒng)手工審計模式中�����,國家審計的審計過程一般可分為審計準(zhǔn)備�����、審計實施和審計報告三個階段。但是�,在引入計算機審計后,審計準(zhǔn)備階段與審計實施階段的界限變得非常不清�,可能是由于數(shù)據(jù)分析既像審計準(zhǔn)備工作,又像審計實施工作���。其中�,主要的問題可能是審前調(diào)查的歸屬沒有明確的限定���。審前調(diào)查需要做大量的數(shù)據(jù)分析工作�����,而數(shù)據(jù)分析的測試屬性又無法合理確定,于是有些審計人員將其劃入審計準(zhǔn)備階段���,有些審計人員則將其劃入審計實施階段�����。我們應(yīng)當(dāng)將審計過程再行細(xì)分��,將其直接劃分為四個階段����,即審計準(zhǔn)備階段、審前調(diào)查階段�����、審計實施階段和審計報告階段��。審計準(zhǔn)備階段與審前調(diào)查階段的劃分原則應(yīng)該是��,審計人員是否需要實施實際的數(shù)據(jù)分析�。如果需要,就須向被審計單位出具具有法律效力的通知書����,然后才能獲取敏感性、實質(zhì)性的數(shù)據(jù)����。有了審前調(diào)查階段,審計人員就可以名正言順地進行數(shù)據(jù)的采集����、轉(zhuǎn)換�、整理和分析�,從而為制定審計實施方案和進行審計驗證奠定堅實的基礎(chǔ)。
第2篇
長期以來���,在應(yīng)用信息技術(shù)(IT)過程中�,人們總是過多關(guān)注其中的技術(shù)(T)����,而缺少對其中的信息(I)給予足夠的重視,然而��,當(dāng)人們欣喜地看到IT使會計信息的相關(guān)性得以加強之際��,又更應(yīng)當(dāng)為會計信息的可靠性所受到的威脅深感擔(dān)憂�。為此,COSO的風(fēng)險管理框架�����、SOX法案�����、CIBIT等一系列IT控制規(guī)范相繼出臺���,而國際信息系統(tǒng)審計與控制協(xié)會(ISACA)的諸多標(biāo)準(zhǔn)�����、指南和程序更是直接將焦點對準(zhǔn)組織的信息資產(chǎn)的安全之上�����。我國《企業(yè)內(nèi)部控制基本規(guī)范》和《企業(yè)內(nèi)部控制應(yīng)用指引18――信息系統(tǒng)》等規(guī)范文件的��,強調(diào)信息化環(huán)境下的會計信息的安全性與可靠性���,隨后,財政部于2009年的《關(guān)于全面推進我國會計信息化工作的指導(dǎo)意見》中�,提出未來5~10年會計信息化首要的工作目標(biāo),是要建立健全會計信息化法規(guī)體系和會計信息化標(biāo)準(zhǔn)體系�����。國內(nèi)外諸多IT控制與審計制度的不斷涌現(xiàn)����,充分說明在構(gòu)建會計信息化標(biāo)準(zhǔn)化體系之中,當(dāng)務(wù)之急是建立會計信息的生產(chǎn)與傳遞嚴(yán)密的控制與審計標(biāo)準(zhǔn)體系�����,為此,筆者在梳理國內(nèi)外信息審計基本理論的基礎(chǔ)上����,分析信息審計在會計系統(tǒng)中應(yīng)用的必要性,進而提出會計系統(tǒng)應(yīng)用信息審計的若干思考��,以求這一工具與方法在我國會計系統(tǒng)中早日得以應(yīng)用��。
二�����、信息審計研究概述
對信息審計的研究��,主要集中在信息審計的基本概念����、基本目標(biāo)及信息審計的主要內(nèi)容等方面。
(一)信息審計的基本概念 目前�,信息審計內(nèi)涵尚未有一個被理論界認(rèn)同的概念。美國信息學(xué)家D.Ellis(1993)首次將信息審計定義為:“審查已有的信息管理系統(tǒng)�����,找出問題�����,提供解決問題的備選方案”(任玉珍��,2009)��,試圖將信息審計與信息系統(tǒng)審計合二而一��,以求尋找解決問題的方案�����。布徹南(Buchanan���,1998)和吉伯(Gibb)則將信息審計界定為:“對組織信息資源和信息流進行發(fā)現(xiàn)�、控制和評估�,以實施、維護或改進組織的信息管理的過程”����,這一定義將信息審計的內(nèi)容確定為信息資源與信息流兩大部分至今影響至深。奧那(Orna�����,2004)則將信息審計的對象拓展為人、文檔和信息�����,并認(rèn)為��,信息審計是通過對一個組織中的人���、文檔等的查證����,系統(tǒng)地檢查信息產(chǎn)生��、利用和流動的情況��,進而確定其支持目標(biāo)��。英國信息管理協(xié)會(Aslib)拓展了信息審計的內(nèi)容����,指出它是參考組織的人員和已有文獻,對組織的信息資源、信息流和信息需求等方面進行的系統(tǒng)檢查��,以確定其對組織目標(biāo)的貢獻程度��。我國學(xué)者婁策勤和高策(2009)則結(jié)合當(dāng)前新的信息環(huán)境和信息理論���,將信息審計看作是一種管理工具,認(rèn)為它是一種發(fā)現(xiàn)����、解決組織信息管理缺陷的管理工具。黃亦西(2005)也指出��,信息審計是為了充分開發(fā)信息價值�����,通過對組織的信息流和信息資源的調(diào)查����、評估,從而識別組織的信息需求����,確定組織的信息環(huán)境,并制定相應(yīng)政策的過程���。
必須強調(diào)的是��,信息審計中的“信息”是一個廣義信息的概念���,包括嚴(yán)格意義上的信息和數(shù)據(jù)兩類���。筆者認(rèn)為,處于IT廣泛應(yīng)用的今天����,信息與數(shù)據(jù)的細(xì)分必不可少,它對人們研究信息審計的對象�����、內(nèi)容和范圍至關(guān)重要�����,因此����,筆者將對應(yīng)于數(shù)據(jù)審計的信息審計稱為狹義信息審計,以括號注明“狹義”。而將涵蓋數(shù)據(jù)���、信息的審計視為廣義信息審計���。
(二)信息審計的基本目標(biāo) 美國學(xué)者查菲(Chaffey)和伍德(Wood,2008)指出�����,信息審計是用來評價當(dāng)前信息質(zhì)量和管理行為的水平����,即“是什么”的問題����。它也可作為一種狀態(tài)分析的工具,用以協(xié)助構(gòu)建信息政策和評價信息戰(zhàn)略的目標(biāo)是否已經(jīng)實現(xiàn)����,將信息審計看成是信息質(zhì)量與管理不可或缺的工具。賴茂生(2005)認(rèn)為����,信息審計的目的是為了實施、維護或提高組織機構(gòu)的信息管理。胡善勤則從IT視角出發(fā)�����,指出用以記錄網(wǎng)絡(luò)上各計算機行為的信息審計����,其目標(biāo)有兩個:一是可定期對各種網(wǎng)絡(luò)行為進行采集、統(tǒng)計和分析等����,發(fā)現(xiàn)存在的漏洞并及時修補;二是在發(fā)生安全事故后可以進行信息分析��,找到事故原因����,進而采取相應(yīng)的措施?����?梢?����,信息審計的根本目標(biāo),主要在于提升信息質(zhì)量�����,由于信息質(zhì)量的優(yōu)劣首先取決于信息資源對企業(yè)實現(xiàn)目標(biāo)所作的貢獻�,故而在當(dāng)前情況下,信息審計所面對的必然是企業(yè)的IT系統(tǒng)(如ERP系統(tǒng))����,基于IT視角可使人們進一步明確信息審計目標(biāo),并為企業(yè)IT環(huán)境確定信息審計的內(nèi)容與范圍��。
(三)信息審計的主要內(nèi)容 隨著IT應(yīng)用的深入�,眾多學(xué)者認(rèn)為���,不應(yīng)把信息審計看成是一種選擇���,而是達到確定信息資源的價值、功能和用途����,以便充分開發(fā)其戰(zhàn)略價值的必要步驟。信息審計包括信息資源和信息需求兩大內(nèi)容�,但它是否也應(yīng)包括信息流則是眾說紛紜����。鑒于信息流審計和信息流程重組中的眾多理論和流程具有相似性�,有些學(xué)者認(rèn)為信息流審計不應(yīng)歸屬于信息審計范疇之內(nèi)(高策,2009)�。筆者認(rèn)為,處于IT應(yīng)用的初始階段��,將信息流納入信息審計的主要內(nèi)容�����,對于企業(yè)的系統(tǒng)信息流程的標(biāo)準(zhǔn)化與規(guī)范化建設(shè)具有重要的意義���。這是因為�����,信息流與企業(yè)組織流��、業(yè)務(wù)流密切相關(guān)��,面對網(wǎng)絡(luò)環(huán)境����,企業(yè)流程再造的本質(zhì)就是實施三者的同步發(fā)展。而從企業(yè)ERP系統(tǒng)應(yīng)用層面來看����,信息資源、信息流與信息需求三者不能單獨割裂開來����,只有將信息流與信息需求、信息資源同步考察���,才能對企業(yè)的信息管理水平加以客觀地評價����,并提出相應(yīng)的改進意見��。
信息審計對象應(yīng)當(dāng)涵蓋信息圖譜中的數(shù)據(jù)����、信息和知識三個部分�����,但對我國企業(yè)而言���,當(dāng)前的數(shù)據(jù)審計與信息審計(狹義)首當(dāng)其沖�,只有這二者真正得以成功實施,并取得一定實效之后�����,知識審計才可望順利進行�����,為此��,筆者重點分析數(shù)據(jù)審計與信息審計(狹義)的具體內(nèi)容��。
從企業(yè)經(jīng)營的業(yè)務(wù)內(nèi)容看���,信息審計的對象可細(xì)分為采購����、生產(chǎn)����、銷售、會計等各子系統(tǒng)的數(shù)據(jù)審計與信息審計(狹義)�,這樣才能根據(jù)各子系統(tǒng)的數(shù)據(jù)特點與具體內(nèi)容�,對各類信息資源�����、信息流和信息的使用提出針對性的信息管理評價意見����。不難想象,那種既想獲取企業(yè)信息審計的客觀公正的評價意見���,又不涉足各業(yè)務(wù)內(nèi)容深入考察的做法��,將難以實現(xiàn)審計目標(biāo)�。
三��、信息審計在會計系統(tǒng)中的地位與作用
會計的價值并非來自于技術(shù)����,而是取決于會計信息的質(zhì)量,會計信息的增值首先是通過信息流的改善以降低資源的需求量���,通過高質(zhì)量信息的共享對決策提供支持。為此�����,采用信息審計以保證會計信息的高質(zhì)量,也就使會計系統(tǒng)信息管理與控制新增了一道堅實的屏障�。
(一)會計系統(tǒng)信息審計與財務(wù)報表審計并行不悖 財務(wù)報表審計的目標(biāo)是對財務(wù)報表是否按照適用的會計準(zhǔn)則和相關(guān)會計制度的規(guī)定編制,是否在所有重大方面公允反映被審計單位的財務(wù)狀況��、經(jīng)營成果和現(xiàn)金流量兩大方面發(fā)表審計意見����,以提高財務(wù)報表的可信賴程度。而對會計系統(tǒng)而言�,作為IT時代的必然產(chǎn)物的信息審計,其審計對象首先是以財務(wù)為主的信息資源����,以確保該信息資源的價值、功能和用途���,進而實施�、維護或改進組織的信息管理的過程���。雖然兩者都有保證信息高質(zhì)量的目標(biāo)��,但審計內(nèi)容與審計方法卻大相徑庭���。而從兩種審計的審計對象看�,雖然都是針對企業(yè)的信息資源���,但信息審計的范圍要寬泛得多���,它不僅包括企業(yè)的貨幣、財務(wù)等定量信息����,而且還包含企業(yè)的非貨幣、非財務(wù)等定性信息����。財務(wù)報表審計必須對被審單位財務(wù)報表的會計準(zhǔn)則和制度的遵行性,對財務(wù)狀況��、經(jīng)營成果和現(xiàn)金流量的公允性發(fā)表審計意見����。而信息審計則是從對企業(yè)信息資源、信息流程和信息需求等內(nèi)容的價值��、功能和用途加以評價,發(fā)表審計意見����。前者注重企業(yè)核心信息的合規(guī)性����,后者則注重企業(yè)信息管理質(zhì)量的提升。從時空上來看����,前者注重對所產(chǎn)生財務(wù)信息的結(jié)果進行評價,而后者則是對信息管理過程進行評價�����。盡管信息審計之初衷在于整個企業(yè)�,但在我國首先在會計系統(tǒng)中加以施行,則是綱舉目張之舉�。
(二)會計系統(tǒng)信息審計與信息系統(tǒng)審計異曲同工 企業(yè)信息化的實踐證明,那種認(rèn)為只要企業(yè)應(yīng)用信息系統(tǒng)或相應(yīng)的信息技術(shù)就能實現(xiàn)信息化�、提高企業(yè)信息管理水平的認(rèn)識有失偏頗,企業(yè)信息化建設(shè)中的根本因素是信息資源建設(shè)問題��。目前普遍存在的企業(yè)信息資源存量絕對值不足�����、信息需求匹配度不高、信息資源利用率低�����、信息資源成本高收益低等弊端�。因此,信息審計的當(dāng)務(wù)之急��,是要對企業(yè)財務(wù)信息資源進行控制和評估���,以實施���、維護或改進企業(yè)信息管理的水平。
盡管有學(xué)者將信息審計對象界定為信息管理系統(tǒng)���,但近20年來信息審計的實踐及諸多研究成果表明����,審計信息管理系統(tǒng)的任務(wù)非信息系統(tǒng)審計莫屬����,信息審計盡管與信息系統(tǒng)審計有著千絲萬縷的聯(lián)系��,但兩者的審計目標(biāo)�����、對象、范圍��、內(nèi)容卻有許多不同�����。Ron.Weber(1999)指出����,信息系統(tǒng)審計的目標(biāo)在于判斷被審的信息系統(tǒng)是否能夠保證信息資產(chǎn)的安全、數(shù)據(jù)的完整以及高效地利用組織的資源并有效地實現(xiàn)組織目標(biāo)的過程�,它主要通過獲取和評價所收集的證據(jù)來保證這一判斷的客觀公允性。信息系統(tǒng)是其審計對象�����,獲取和評價所收集的證據(jù)是其手段與方法���。而信息審計的審計對象是數(shù)據(jù)與信息(狹義)�����,評價產(chǎn)生信息的被審系統(tǒng)則是其手段與方法���。兩者相輔相成����、優(yōu)勢互補的同步�,可以從不同途徑保證會計系統(tǒng)和信息的高效與高質(zhì)。
(三)會計系統(tǒng)信息審計與IT環(huán)境共生互動 自20世紀(jì)90年代初期以來�����,越來越多的企業(yè)流程已經(jīng)將大型信息系統(tǒng)納入其中����。由于這一技術(shù)轉(zhuǎn)變,數(shù)據(jù)和信息相對于產(chǎn)品的重要性正在凸顯���。目前很大一部分企業(yè)價值已經(jīng)不在資產(chǎn)負(fù)債表之內(nèi)�����,在使用大量知識和信息的領(lǐng)域�����,差異越發(fā)明顯��,以至于越來越多的人想拋棄已經(jīng)接受的簿記原則(杰普.布勒姆等�����,2008)�����?���?梢?���,會計系統(tǒng)的信息資源與信息需求面臨著重新確認(rèn)等問題,而亨茨爾(Henczel���,2001)所提出的����,信息審計是通過識別組織的信息需求,從而有效地確定組織當(dāng)前信息環(huán)境的過程�,這一將識別信息需求作為信息審計的主要內(nèi)容的觀點,對重新認(rèn)識會計系統(tǒng)的信息需求具有十分重要的意義���。會計的發(fā)展取決于兩個因素����,一是環(huán)境的影響��;二是用戶對會計的信息需求�,信息技術(shù)的飛速發(fā)展,促使會計系統(tǒng)與這一技術(shù)環(huán)境的共生和互動關(guān)系日趨明顯���,而經(jīng)濟全球化的競爭態(tài)勢又驅(qū)使會計信息不能局限于眼前以財務(wù)為主的經(jīng)濟信息的支持��。因此��,會計系統(tǒng)面臨著信息資源與信息需求的信息審計��。
會計信息要力求增值��,無疑應(yīng)當(dāng)對其數(shù)據(jù)與信息的采集�����、處理與生成的基本流程逐一進行分析和提煉�,以便求得各流程、工序的精益求精��。同時�,由于目前大中型企業(yè)紛紛使用ERP系統(tǒng),因而使會計子系統(tǒng)與其他子系統(tǒng)的數(shù)據(jù)聯(lián)系越來越密切���,而其會計子系統(tǒng)中的管理會計�����、內(nèi)部審計等子系統(tǒng)與財務(wù)會計子系統(tǒng)的無縫連接越發(fā)凸顯,為此�����,針對數(shù)以萬計存儲于企業(yè)數(shù)據(jù)倉庫之中的信息資源文件重新進行梳理與管理勢在必行�。而從審計的角度看,IT環(huán)境需要IT治理和IT控制�����,這是因為這一環(huán)境所帶來的系統(tǒng)�、流程��、技術(shù)等錯綜復(fù)雜的高風(fēng)險局面��,許多大公司由于難以應(yīng)對這一高風(fēng)險局面而陷入信息危機與信息犯罪的旋渦之中����。作為信息安全保證的必備工具與方法手段�,信息審計在當(dāng)前會計系統(tǒng)的安全控制不足的狀況下尤為必要。
四����、信息審計在會計系統(tǒng)中應(yīng)用的若干思考
盡管會計系統(tǒng)相對于企業(yè)其他子系統(tǒng)具有較為嚴(yán)格的信息生產(chǎn)程序、流程和規(guī)范�����,但面對與ERP系統(tǒng)諸多子系統(tǒng)的日益交融局面����,會計子系統(tǒng)的數(shù)據(jù)與信息的管理產(chǎn)生許多問題,如缺少對信息的集中化管理��,致使某些有用信息過于分散而難以被決策者獲取與使用����,又如信息過載使得信息用戶難以騰出足夠的時間從紛繁復(fù)雜的信息中選擇其所需要的信息等����。誠如信息審計專家H. Botha和J.A.Boon所指出的����,需要對信息審計進行更多的研究,在實踐中測試更多的方法���,使信息專家能夠開發(fā)出可以放心使用的可靠信息審計方法��。筆者認(rèn)為�����,當(dāng)務(wù)之急是在對信息審計的必要性取得共識的基礎(chǔ)上�,探討會計系統(tǒng)信息審計的主體與內(nèi)容���、審計方法、審計頻率與審計重點等問題��,以使信息審計在我國早日應(yīng)用����。
(一)會計系統(tǒng)信息審計的主體與內(nèi)容 本質(zhì)上說��,企業(yè)信息審計是企業(yè)內(nèi)部審計的一個有機組成部分���,其規(guī)劃、實施��、完善的組織協(xié)調(diào)工作主要應(yīng)由企業(yè)的內(nèi)部審計機構(gòu)為主體加以實施�����,在聘請外部專家參與信息審計的基礎(chǔ)上�,輔以企業(yè)內(nèi)外部的相關(guān)審計人員來完善審計工作。但由于當(dāng)前企業(yè)信息審計力量不足��、缺乏專業(yè)勝任能力的人員�,故應(yīng)形成由企業(yè)內(nèi)部審計人員與信息主管人員為主的專業(yè)團隊。
如前所述����,會計系統(tǒng)的信息審計包含會計數(shù)據(jù)審計與會計信息審計(狹義),從實務(wù)上看�,前者的審計重點是會計數(shù)據(jù)的保護、采集�����、存儲、記錄和處理規(guī)范的管理���,而后者的審計重點則是對會計系統(tǒng)所產(chǎn)出的財務(wù)報告和提供決策支持信息的管理��。從理論研究內(nèi)容上看�����,會計數(shù)據(jù)的審計應(yīng)當(dāng)研究會計數(shù)據(jù)的來源����,數(shù)據(jù)的檢索與分析��,以及基于信息需求而對會計憑證和賬簿等數(shù)據(jù)的采集����、整理及記錄規(guī)則等方面的管理。而會計信息審計的研究重點則是與流程����、選擇合適信息系統(tǒng)�����、信息獲取及使用、各類會計信息對相應(yīng)流程的重要程度���,以及與會計信息需求的目標(biāo)相適應(yīng)的信息體系的構(gòu)建等���。
(二)信息審計的審計方法 作為人造系統(tǒng),會計這一應(yīng)用系統(tǒng)的信息審計應(yīng)以信息技術(shù)為手段���,圍繞企業(yè)各應(yīng)用子系統(tǒng)的應(yīng)用過程與應(yīng)用結(jié)果����,以及系統(tǒng)安全的合理性��、過程行為的合法性���、結(jié)果數(shù)據(jù)的真實性����,進行客觀�、適時的監(jiān)測與審核,將各種違規(guī)�、可疑事件及時發(fā)出警報��,并提交改進信息管理的審計報告��。
信息審計與信息系統(tǒng)審計同為內(nèi)部審計的組成部分����,但其各自的審計方法不盡相同�����,亨茨爾(Henczel���,2001)強調(diào)信息審計是一個循環(huán)的過程�,包括計劃��、數(shù)據(jù)收集�����、數(shù)據(jù)分析�、數(shù)據(jù)評價、建議交流以及實施這樣一個定期重復(fù)的過程�。目前比較成熟的信息審計方法有信息地圖法、集成審計法����、信息流法和亨茨爾(Henczel)法等多種(婁策勤、高策�,2009),針對會計系統(tǒng)的特點��,筆者認(rèn)為選用信息流法和亨茨爾(Henczel)法為宜���。信息流法既重視信息資源的識別�����,又能同時對企業(yè)信息流進行分析�����,這正是目前我國會計系統(tǒng)信息審計起步伊始所必須的�。而亨茨爾法則是在分析信息流法和集成審計法的基礎(chǔ)上��,提出了較為科學(xué)的信息審計7大步驟��,即計劃籌備審計計劃和準(zhǔn)備���,通過案例分析取得高層支持���;數(shù)據(jù)收集通過調(diào)研建立組織信息資源數(shù)據(jù)庫���;數(shù)據(jù)分析對收集到的數(shù)據(jù)進行標(biāo)準(zhǔn)化分析;數(shù)據(jù)評估進行數(shù)據(jù)判讀����,提出建議;建議交流報告信息審計結(jié)果��,交流意見���;實施建議開展信息審計建議改革項目�����;二次審計使信息審計經(jīng)?���;?����、規(guī)律化。對會計系統(tǒng)而言�,信息流中的電子憑證審核、記賬憑證形成����、賬簿登錄、銀行對賬和報表編制等沿用手工會計流程的做法����,能否符合信息管理與用戶信息需求���,十分有必要在信息審計過程中進行重新審視與評價���。
由于當(dāng)前尚未形成標(biāo)準(zhǔn)化的信息審計方法體系,因此在實際中�,許多信息審計項目多采用了傳統(tǒng)的財務(wù)審計方法,如成本/效益方法等�,這給信息審計實踐造成了很大的困惑和混亂,有的學(xué)者主張應(yīng)將財務(wù)審計人員的經(jīng)驗與信息審計實踐相融合�����,盡早開發(fā)出一套適用于信息審計方法體系(任玉珍�����,2009)。筆者認(rèn)為���,借鑒財務(wù)審計的基本方法與經(jīng)驗����,固然是信息審計的實現(xiàn)途徑之一����,但信息審計方法不能落入財務(wù)報表審計方法之中,否則將有可能影響到信息審計任務(wù)的完成�����,兩者的審計目標(biāo)相去甚遠���,因而其審計方法也必然有很大的不同�。鑒于信息系統(tǒng)審計與信息審計所具備的諸多共性���,借鑒日益成熟的信息系統(tǒng)審計中的信息流程審計與數(shù)據(jù)審計的方法不失為一種事半功倍的做法�����。
(三)會計系統(tǒng)信息審計的頻率與重點會計系統(tǒng)的信息審計���,首先要明確信息用戶對會計信息需求����,其次是要對目前可使用信息與信息用戶所需要的信息進行信息資源差異對比分析����,進而根據(jù)當(dāng)前狀況提出消除上述差異解決方案,并制定信息提供與信息流程再造的行動計劃�。從以上的審計過程看�,會計系統(tǒng)信息審計的頻率與該系統(tǒng)的使用狀況相聯(lián)系,即信息審計頻率與系統(tǒng)使用時間相對應(yīng)����,會計系統(tǒng)一旦受到升級或改進,信息審計就應(yīng)當(dāng)緊隨其后加以進行����。然而,應(yīng)當(dāng)注意的是��,在信息資源��、信息流和信息需求三大信息審計內(nèi)容中,與系統(tǒng)升級或改進聯(lián)系最緊的當(dāng)屬信息流�。因此,信息審計的頻率可以因?qū)徲媰?nèi)容而定��,一旦會計系統(tǒng)的信息流受到改變�����,就必須對其實施審計���,而信息資源與信息需求則可采用定期審計的方法����,根據(jù)企業(yè)經(jīng)營決策與競爭的需求��,定期實施會計系統(tǒng)的數(shù)據(jù)審計與信息審計(狹義)���。
信息審計包括數(shù)據(jù)審計與信息審計(狹義)��,對會計系統(tǒng)而言����,數(shù)據(jù)審計應(yīng)用研究的重點是會計數(shù)據(jù)的保護�����、采集、存儲�����、記錄和處理規(guī)范等方面��,而其理論研究的重點則是會計數(shù)據(jù)的來源�����、會計數(shù)據(jù)的檢索與分析�、會計憑證和賬簿等數(shù)據(jù)的作用,以及這些數(shù)據(jù)處理過程中的規(guī)范要求�。而信息審計(狹義)應(yīng)用研究的重點是會計系統(tǒng)所產(chǎn)出的財務(wù)報告和提供決策支持的信息�����,其理論研究的重點則是與流程�����、選擇合適信息系統(tǒng)�、信息獲取及使用�����、各類會計信息對相應(yīng)流程的重要程度��,以及會計信息需求的目標(biāo)等相關(guān)���。
五、結(jié)論
疾速形成的網(wǎng)絡(luò)化與無紙化等信息化環(huán)境�����,促使會計系統(tǒng)的信息審計成為必然���,而作為信息化助推器的信息審計����,其審計目標(biāo)���、審計內(nèi)容和審計方法等又確立了其在會計系統(tǒng)中數(shù)據(jù)與信息安全保障體系中的重要地位���。伴隨著我國信息審計理論研究的開展,信息審計的成功應(yīng)用可望水到渠成�。屆時�����,信息審計與信息系統(tǒng)審計的并駕齊驅(qū)�,必然為我國會計系統(tǒng)信息的可靠與相關(guān)���、信息管理的高質(zhì)與高效提供強有力的支持����。
[本文系福建省教育廳2008年度人文社科項目“我國財務(wù)會計信息化發(fā)展方向研究”(JA08003S)階段性研究成果]
參考文獻:
[1]任玉珍:《信息審計的內(nèi)容框架分析》���,《農(nóng)業(yè)網(wǎng)絡(luò)信息》2009年第7期����。
[2]婁策勤���、高策:《信息審計方法比較研究》�,《圖書情報工作》2009年第1期��。
[3]黃亦西:《信息審計與知識審計的比較研究》�,《情報雜志》2005年第10期���。
[4]賴茂生:《信息資源管理的技術(shù)方法》�,irm.impku.edu.en/ownload/e07.pdf,2005-12-17���。
[5]胡善勤:《網(wǎng)絡(luò)信息審計的設(shè)計與實現(xiàn)》���,吉林大學(xué)2008年工學(xué)碩士論文。
[6]高策:《企業(yè)信息審計研究》����,華中師范大學(xué)2009年碩士學(xué)位論文。
[7]戴維.查菲���、史蒂夫.伍德著�,趙蘋�、陳守龍譯:《企業(yè)信息管理:用信息系統(tǒng)改進績效》,中國人民大學(xué)出版社2008年版����。
[8][荷]杰普.布勒姆、梅農(nóng).范多恩��、皮亞士.米托爾著���,程治剛����、張翎、張勁譯:《SOX環(huán)境下的IT治理》�����,東北財經(jīng)大學(xué)出版社2008年版���。
[9]Buchanan��,S. and Gibb���,F(xiàn). The information audit:an integrated strategic approach. International journal of information management,1998.
[10]Orna E.Information Strategy in Practice. Aldershol:Gower�����,2004.
第3篇
【關(guān)鍵詞】 大數(shù)據(jù);企業(yè);環(huán)境信息披露;路徑
一�����、引言
2016年4月17日����,中央電視臺的一則報道震驚全國,上市公司諾普信控制的常隆化工廠的土地污染導(dǎo)致江蘇常州外國語學(xué)校近500名學(xué)生出現(xiàn)身體異常����。而該公司于2014年曾被訴訟并支付環(huán)境整治費。
紫金礦業(yè)等上市公司的環(huán)境污染事故仍記憶猶新�,新的環(huán)境污染事故仍然層出不窮。根據(jù)環(huán)境部的統(tǒng)計數(shù)據(jù)顯示��,2003年至今��,我國上市公司環(huán)境事故的發(fā)生次數(shù)呈現(xiàn)上升態(tài)勢�,其中空氣污染和水污染是最嚴(yán)峻的領(lǐng)域。
2016年2月���,北京公眾環(huán)境研究中心公布的數(shù)據(jù)顯示��,我國包括中國鋁業(yè)等央企在內(nèi)的141家上市公司在2015年超標(biāo)排放污染物����,尤其是化工行業(yè)的企業(yè)數(shù)量最多��。而這141家公司中只有28家公司對此進行了信息披露。而根據(jù)我國相關(guān)法律法規(guī)�����、政策制度���,上市公司應(yīng)公布包括污染物排放�����、資源消耗��、環(huán)境管理等環(huán)境信息����。
二��、中國目前的企業(yè)環(huán)境信息披露制度
2015年1月1日實施的《中華人民共和國環(huán)境保護法》第55條規(guī)定�,重點排污單位應(yīng)當(dāng)如實向社會公眾披露主要污染物名稱、排放量�����、排放濃度和總量�����、超標(biāo)排放、污染防治設(shè)施的建設(shè)和運行情況�����,接受社會監(jiān)督�。第62條違反本法規(guī)定�,未公開重點排污單位或者未如實披露環(huán)境信息的,由縣級以上地方政府環(huán)境保護部門責(zé)令公開�,并予以公告。
而2007年的《環(huán)境信息公開辦法》和2008年《關(guān)于加強上市公司環(huán)境保護監(jiān)督管理工作的指導(dǎo)意見》都要求企業(yè)及時����、準(zhǔn)確的公開其環(huán)境信息。2014年修訂的《公開發(fā)行證券的公司信息披露內(nèi)容與格式準(zhǔn)則第2號》鼓勵企業(yè)積極主動披露履行環(huán)境責(zé)任�,包括公司在污染防治和控制、加強生態(tài)保護中采取的措施;屬于國家環(huán)境保護部門規(guī)定的重污染行業(yè)上市公司及其子公司���,應(yīng)按照有關(guān)規(guī)定�����,披露其在報告期內(nèi)的重大環(huán)境問題和環(huán)境信息整改�����。根據(jù)證監(jiān)會的規(guī)定�,新股發(fā)行審計注重對環(huán)境問題的審計,包括:在招股說明書中詳細(xì)披露發(fā)行人的生產(chǎn)管理和投資項目符合國家環(huán)保要求����,擬上市公司最近3年的環(huán)境保護投資相關(guān)費用,實際運行的環(huán)保設(shè)施和環(huán)境保護支出;生產(chǎn)環(huán)境是否符合國家相關(guān)環(huán)境規(guī)定����,是否曾發(fā)生環(huán)境事故,治理污染設(shè)施的運行是否有效�����,對環(huán)境保護設(shè)施的養(yǎng)護和日常的污染治理是否符合相關(guān)技術(shù)規(guī)范;當(dāng)擬上市公司發(fā)生環(huán)境事故或因環(huán)境問題受到處罰��,是否詳細(xì)披露了有關(guān)情況�����,其保薦機構(gòu)和發(fā)行律師是否就此事件構(gòu)成重大違規(guī)問題發(fā)表意見���。
現(xiàn)行的企業(yè)環(huán)境信息披露法律法規(guī)政策規(guī)定有效的推動了我國企業(yè)����,尤其是重污染上市公司的環(huán)境信息披露。對中國A股上市公司中的重污染行業(yè)企業(yè)所披露的環(huán)境信息進行分析發(fā)現(xiàn)����,根據(jù)法律法規(guī)及相關(guān)政策規(guī)定,重污染上市公司大部分披露其環(huán)境信息�,但環(huán)境信息披露中的定性描述��,即文字描述較多����,而定量描述偏少;主要披露的內(nèi)容是環(huán)境管理和環(huán)境治理信息;對環(huán)境方面的負(fù)面信息,重污染行業(yè)上市公司均傾向于不予以披露���,即存在報喜不報憂的現(xiàn)象;不同行業(yè)披露的環(huán)境信息的側(cè)重點有所不同�。
從上述分析可以看出����,雖然我國企業(yè)環(huán)境信息披露法律法規(guī)政策規(guī)定的不斷完善有利于企業(yè)環(huán)境信息披露,但環(huán)境信息披露的數(shù)量�����,尤其是信息披露的質(zhì)量仍然距離公眾期待有著較大的距離,有待進一步完善����。
三、運用大數(shù)據(jù)優(yōu)化企業(yè)環(huán)境信息披露的路徑選擇
在大數(shù)據(jù)時代�����,全球?qū)?shù)據(jù)挖掘技術(shù)越來越重視�����,由于數(shù)據(jù)已經(jīng)成為人們生活中不可或缺的一部分���,充分利用大數(shù)據(jù)時代的優(yōu)勢完善我國企業(yè)環(huán)境信息披露的相關(guān)制度規(guī)范成為可行的選擇�����。在數(shù)據(jù)“多維”時代����,充分利用大數(shù)據(jù)對企業(yè)的環(huán)境信息進行披露具有以下優(yōu)勢:第一��,可靠性�����。以往企業(yè)披露的環(huán)境責(zé)任信息往往突出其一定時間內(nèi)的某些活動,缺乏對企業(yè)生產(chǎn)和管理中環(huán)境責(zé)任信息的持續(xù)性描述�,這導(dǎo)致企業(yè)環(huán)境責(zé)任信息的不連續(xù)性,而在大數(shù)據(jù)環(huán)境中可以對所有相關(guān)的數(shù)據(jù)進行整體分析�����,得出一個完整的信息組�����,更好的反應(yīng)環(huán)境信息的真實性���。第二,多樣性����。傳統(tǒng)的環(huán)境責(zé)任信息披露中,由于數(shù)據(jù)的可能缺失�����,監(jiān)管部門和社會公眾很難對企業(yè)的環(huán)境責(zé)任活動進行識別和衡量�����,而在大數(shù)據(jù)時代,信息的載體和方式是多樣的����,可以以各種形式反映信息,有助于提供完整的企業(yè)環(huán)境責(zé)任信息內(nèi)容���。第三���,可追溯性。在反映企業(yè)環(huán)境責(zé)任信息的路徑上���,由于缺乏控制機制����,難以實現(xiàn)信息的跟蹤�����,而在大數(shù)據(jù)時代���,數(shù)據(jù)可以被記錄在不同的維度��,不同維度的數(shù)據(jù)之間的分析為企業(yè)環(huán)境信息提供了可追溯性����。具體運用大數(shù)據(jù)優(yōu)化企業(yè)環(huán)境信息披露的路徑如下:
1、在借鑒國外經(jīng)驗的基礎(chǔ)上運用大數(shù)據(jù)完善我國企業(yè)環(huán)境信息披露的法律體系
在運用大數(shù)據(jù)分析的基礎(chǔ)上��,借鑒國外先進經(jīng)驗進一步完善企業(yè)環(huán)境信息披露的法律法規(guī)��。充分整合現(xiàn)行國內(nèi)環(huán)境保護部門���、國資委��、財政部����、審計署���、證監(jiān)會、證交所等各部門的數(shù)據(jù)進行數(shù)據(jù)挖掘��,厘清我國環(huán)境信息披露方面存在的主要問題��,結(jié)合中國具體國情����,在借鑒歐美發(fā)達國家相關(guān)法律規(guī)范的基礎(chǔ)上�����,在現(xiàn)行《環(huán)境保護法》規(guī)定的框架下�����,進一步規(guī)范企業(yè)環(huán)境信息披露����,清晰界定企業(yè)環(huán)境信息應(yīng)公開的內(nèi)容����,對企業(yè)環(huán)境信息公開的主體、環(huán)境信息披露義務(wù)的主體進行明確規(guī)定��。建議由環(huán)境保護部門牽頭�����,聯(lián)合國資委��、財政部、審計署���、證監(jiān)會����、證交所等相關(guān)部門���,對企業(yè)環(huán)境信息報告的具體實施標(biāo)準(zhǔn)或具體實施準(zhǔn)則進行擬定����,明晰界定企業(yè)環(huán)境責(zé)任報告要素及其內(nèi)涵�、企業(yè)環(huán)境信息報告的設(shè)計體例等,建議企業(yè)環(huán)境信息披露中應(yīng)盡量使用定量性信息披露���,提高企業(yè)環(huán)境信息的可靠性�����、可比性和利益相關(guān)者對企業(yè)環(huán)境信息的可理解性�����,提高企業(yè)編制環(huán)境信息報告的可操作性。
需要注意的是,在進一步完善我國企業(yè)環(huán)境信息披露的法律體系時���,需要進一步強化企業(yè)環(huán)境責(zé)任信息披露制度的監(jiān)督和處罰機制�����。以2015年的上市公司魯抗醫(yī)藥因環(huán)境問題受到處罰為例����,其將含有抗生素的廢水排到主要河流中的行為極大的危害了公眾健康�����,進一步惡化了我國的抗生素濫用問題�,但該企業(yè)僅僅被環(huán)保部門處罰了5萬元,基本未能起到懲戒作用��。在以經(jīng)濟建設(shè)為綱的時代����,企業(yè)環(huán)境信息披露及相關(guān)處罰受到忽視,但在完善國家治理體系�,建設(shè)可持續(xù)發(fā)展社會的今天,借鑒國外發(fā)達國家的企業(yè)環(huán)境信息披露及處罰措施�,完善訴訟體制,進一步發(fā)揮包括政府部門和非政府組織在內(nèi)的監(jiān)督作用,大幅強化處罰和懲戒力度是完善企業(yè)環(huán)境信息披露的必然路徑選擇����。
2、在完善中國企業(yè)的環(huán)境技術(shù)標(biāo)準(zhǔn)基礎(chǔ)上�,建立數(shù)據(jù)集成和共享機制
環(huán)境保護部門應(yīng)會同有關(guān)部門,參照西方發(fā)達國家和國際組織的環(huán)境技術(shù)標(biāo)準(zhǔn)�,開發(fā)統(tǒng)一規(guī)范的環(huán)境信息技術(shù)標(biāo)準(zhǔn)和規(guī)范,對環(huán)境信息質(zhì)量標(biāo)準(zhǔn)�����、監(jiān)管環(huán)境信息要素及其識別與測量�����、環(huán)境信息呈現(xiàn)���、標(biāo)準(zhǔn)定量分析技術(shù)的所需資源和污染的度量進行規(guī)范�����。制定大氣��、水����、土壤�����、污染源�、噪聲等統(tǒng)一的監(jiān)測標(biāo)準(zhǔn),同時建設(shè)全國統(tǒng)一的環(huán)境監(jiān)測信息數(shù)據(jù)平臺�����,由環(huán)境保護部門根據(jù)環(huán)境保護法規(guī)定環(huán)境質(zhì)量和其他企業(yè)環(huán)境信息�,以滿足公眾的環(huán)境權(quán)益。
3�、進一步建立和完善企業(yè)環(huán)境信息披露的數(shù)據(jù)分析系統(tǒng)
中國已建立了超過兩千個環(huán)境監(jiān)測站,監(jiān)測人員近6萬人��。我國所有省級監(jiān)測站都配備了高水平的水質(zhì)分析設(shè)備能力���,所有城市監(jiān)測站均具備進行空氣�����、水�、噪音等環(huán)境質(zhì)量的監(jiān)測能力。但環(huán)境監(jiān)測的信息感知系統(tǒng)和數(shù)據(jù)集成分析系統(tǒng)仍有待建設(shè)���,才能充分發(fā)揮大數(shù)據(jù)的作用���,有針對性的進一步完善我國的企業(yè)環(huán)境信息披露工作:首先,通過網(wǎng)絡(luò)化���、智能化�、云計算等技術(shù)���,構(gòu)建環(huán)境監(jiān)測信息感知系統(tǒng)�����,以實現(xiàn)各類監(jiān)控設(shè)備的信息融合和共享�����,更有利于對未履行披露環(huán)境信息責(zé)任企業(yè)的精確懲戒;其次��,環(huán)保部門應(yīng)充分利用數(shù)據(jù)挖掘技術(shù)�,開發(fā)有利于環(huán)境保護的環(huán)境質(zhì)量分析產(chǎn)品�����,通過推動環(huán)保服務(wù)工作,使社會公眾和環(huán)保組織等非盈利組織更方便的獲取環(huán)境信息�,了解環(huán)境動態(tài)、趨勢和風(fēng)險�,從而更有利于發(fā)動社會力量����,進一步推進企業(yè)履行其環(huán)境信息披露義務(wù)。
【參考文獻】
[1] 趙萱.企業(yè)環(huán)境責(zé)任信息披露制度績效及其影響因素實證研究[D].西南大學(xué)2015年博士論文.
[2] 李丹丹.加強引導(dǎo)上市公司環(huán)境責(zé)任信息披露[N].上海證券報����,2015-08-01.
[3] 李軍,童克難.改革創(chuàng)新是環(huán)保事業(yè)發(fā)展的不竭動力[N].中國環(huán)境報����,2015-06-22.
第4篇
[關(guān)鍵詞] 審計費用 影響因素 實證研究
一、審計費用影響因素實證研究模型
國外從二十世紀(jì)八十年代初就開始了關(guān)于審計收費的實證研究��。Simuni最早對美國審計收費的影響因素進行研究,提出了多元回歸模型,認(rèn)為審計收費受風(fēng)險狀況�、損失的分擔(dān)機制、會計師事務(wù)所的生產(chǎn)函數(shù)和會計師事務(wù)所的規(guī)模等因素影響��。在我國雖然不同研究人員建立的模型都不相同,但這些模型都是在Simunic的研究模型基本上的增加或刪除一些變量而建立起來的�。
二�����、影響審計費用的因素及分析結(jié)果
1.影響審計費用的因素
(1)審計客戶的規(guī)模����。上市公司的規(guī)模越大����,其所涉及的經(jīng)濟業(yè)務(wù)范圍就越廣,會計事項就越多�,其固有風(fēng)險和控制風(fēng)險也可能越高,在審計時注冊會計師也會增加審計事項�����,擴大審計測試范圍�,增加審計時間,以便控制可能承受的訴訟風(fēng)險���。
(2)審計業(yè)務(wù)的復(fù)雜程度�。①子公司數(shù)代表上市公司經(jīng)營的復(fù)雜性���。子公司越多���,審計師在進行審計時為出具審計意見所要搜集的證據(jù)也會越多��。②應(yīng)收賬款和存貨是重要的流動資產(chǎn)���,上市公司常用它們來進行盈余管理。對于審計師而言��,應(yīng)收賬款和存貨的審計相對于其他資產(chǎn)而言審計方法要復(fù)雜得多�����,一般要采用函證或盤點的審計方法����,需要耗用較多的工作量���,面臨較大的檢查風(fēng)險����。應(yīng)收賬款和存貨的比重越高���,審計時所要付出的審計成本也就越大��。
(3)審計風(fēng)險�����。審計風(fēng)險是指審計人員審計后發(fā)表不恰當(dāng)審計意見的可能性�。高審計風(fēng)險將會直接導(dǎo)致會計師事務(wù)所支付高額訴訟費用巨額賠償,并會使其商譽遭受嚴(yán)重?fù)p失。所以,審計風(fēng)險是注冊會計師進行審計收費決策時的重要考慮因素��。研究主要使用描述經(jīng)營風(fēng)險的指標(biāo)來衡量審計風(fēng)險���,包括近幾年是否虧損���、審計意見類型、總資產(chǎn)收益率��、流動比率�、速動比率、資產(chǎn)負(fù)債率等�����。
(4)事務(wù)所特征���。主要包括事務(wù)所規(guī)模�,事務(wù)所組織形式,是否提供非審計服務(wù)及審計任期�����。會計師事務(wù)所級差理論把不同事務(wù)所提供的服務(wù)視為存在級差的產(chǎn)品���。會計師事務(wù)所聲譽����、行業(yè)專長或特殊技術(shù)�、地域分布、對客戶需求的回應(yīng)質(zhì)量以及提供非審計服務(wù)的能力都是產(chǎn)生級差的因素�。一般認(rèn)為事務(wù)所規(guī)模代表了審計質(zhì)量���、獨立性和聲譽�����,并可在一定程度上衡量了事務(wù)所級差。事務(wù)所規(guī)模越大�,其所提供的審計服務(wù)的質(zhì)量越好,級差也就越高,相應(yīng)地審計收費也越高�。同一審計師在向委托客戶同時提供審計和非審計服務(wù)時,從每一服務(wù)所獲得的知識可以向另一服務(wù)“溢出”��,從而節(jié)省審計成本或非審計服務(wù)成本���,提高審計和非審計服務(wù)效率���,“知識溢出”所帶來的好處轉(zhuǎn)移給委托客戶,委托客戶也愿意因此支付較高的審計費用�����。對不同時提供非審計和審計服務(wù)的會計公司而言����,不可能有“知識溢出”。因此����,大多數(shù)學(xué)者認(rèn)為非審計服務(wù)對審計收費會產(chǎn)生影響。
(5)公司性質(zhì)����。主要包括獨立董事人數(shù)���,國有股比例,公司所屬行業(yè)����,所處地域。上市公司支付給會計師事務(wù)所的審計收費��,一般是由上市公司財務(wù)部門與會計師事務(wù)所協(xié)商一致�,再報由公司董事會或股東大會批準(zhǔn)。上市公司的獨立董事人數(shù)越多����,獨立董事在董事會中就越有發(fā)言權(quán)。為了切實肩負(fù)起監(jiān)督與指導(dǎo)上市公司的職責(zé)�����,同時減輕自身責(zé)任��,在上市公司與會計師事務(wù)所簽訂業(yè)務(wù)約定書時����,獨立董事就會要求會計師事務(wù)所提供高質(zhì)量的審計服務(wù)���,以盡量避免上市公司向股東提供經(jīng)過粉飾的財務(wù)報表��,從而年報審計收費也提高�����。國家股比例越高內(nèi)部人控制越嚴(yán)重���,作為內(nèi)部控制人的管理層在審計費用的談判過程中所具有的談判能力也就越強�,在激烈競爭的審計市場環(huán)境下�����,他們會盡量降低審計費用��,減少在獨立審計上的花費����。不同行業(yè)的經(jīng)營環(huán)境、業(yè)務(wù)屬性等各不相同���,對于審計數(shù)量和質(zhì)量的需求應(yīng)該也有差別��,事務(wù)所審計定價的策略會根據(jù)行業(yè)的不同而有所側(cè)重���。由于我國各地經(jīng)濟發(fā)展的不平衡�,特別是東西部地區(qū)存在著較大的差距��,各地在制定審計收費的標(biāo)準(zhǔn)上也必然會考慮到當(dāng)?shù)氐慕?jīng)濟水平����。為此,地域因素作為也是影響審計收費的因素之一���。
2.審計費用影響因素分析結(jié)果
在筆者所查閱的論文中�����,關(guān)于審計費用與公司規(guī)模關(guān)系和會計業(yè)務(wù)復(fù)雜程度的結(jié)論基本一致,即審計費用與公司自身的規(guī)模和業(yè)務(wù)復(fù)雜程度相關(guān)���。然而,對于審計費用與其他因素的關(guān)系,不同的研究得出了不同的結(jié)論。對于審計費用與審計風(fēng)險因素的關(guān)系����,劉斌、葉建中�����、廖瑩毅(2003),王善平����、李斌(2004),夏孟余(2005)等發(fā)現(xiàn)風(fēng)險對審計費用沒有明顯的影響,從而說明審計費用基本不能反映審計的潛在成本,而張繼勛��、陳穎��、吳璇(2005)卻發(fā)現(xiàn)審計費用與審計風(fēng)險相關(guān)��。對于事務(wù)所特征同審計費用的關(guān)系�����,研究者得出的結(jié)論也不相同����。如王善平、李斌(2004)發(fā)現(xiàn)上市公司所聘用的事務(wù)所的規(guī)模與審計費用呈顯著正相關(guān)關(guān)系�����,“四大”的審計收費顯著高于本土事務(wù)所,并將其原因解釋為是我國審計市場具有對高品牌事務(wù)所的內(nèi)在需求,上市公司尤其是大規(guī)模且業(yè)績好有良好發(fā)展前景的公司,更愿意聘請高品牌事務(wù)所并愿意支付更高的審計費用����。但是,耿建新��、房巧玲(2006)進行的研究卻發(fā)現(xiàn)四大會計師務(wù)所收取的審計費用并未顯著高于我國本土?xí)嫀熓聞?wù)所�����。公司性質(zhì)同審計費用的關(guān)系中��,劉峰等人認(rèn)為獨立董事人數(shù)與年度審計費用顯著正相關(guān),而上市公司注冊地是否位于經(jīng)濟發(fā)達地區(qū)對年度審計費用的影響并不顯著���。張小會、王培蘭對2005年滬深兩市A股上市公司的研究卻說明上市公司所在地顯著的影響了審計費用�。上市公司的行業(yè)同審計費用的關(guān)系,朱����,章立軍通過比較和檢驗處于不同行業(yè)上市公司審計費用差異,分析審計師是否在審計收費中考慮不同行業(yè)風(fēng)險���,得出上市公司行業(yè)分布對審計費用具有顯著影響�。
三�����、審計費用影響因素實證研究現(xiàn)狀評價
首先,上市公司關(guān)于審計收費信息的披露還不規(guī)范�����。上市公司在其年報中對審計費用的披露質(zhì)量不高,披露的方式千差萬別�,使得實證研究所依靠的數(shù)據(jù)無法滿足研究者對其的質(zhì)量要求,這是造成不同的論文得出的結(jié)論不一致的一個重要原因�。其次,國外審計定價實證研究所選擇的樣本量一般都比較大,如Krishnagopal& David (2001)選擇了1980年至1997年美國樣本公司審計費用進行研究,而國內(nèi)的研究,在樣本量的選擇上主要是采用一年的樣本數(shù)據(jù)進行分析����,在以后的研究中應(yīng)收集自2001年以來上市公司年報中公布的審計費用,幾年的數(shù)據(jù),這樣的分析結(jié)果更具有穩(wěn)定性; 再次,在影響因素中����,絕大多數(shù)的模型都研究的是市場因素而對于國家政策是否對審計費用產(chǎn)生影響,研究的卻很少���。因此在今后的研究中可以考慮國家政策對審計費用的影響�。最后�,我國的企業(yè)大多數(shù)屬于國有控股而且股權(quán)集中,因此和國外相比對所有權(quán)結(jié)構(gòu)��、公司治理同審計費用的關(guān)系�,國內(nèi)的研究還較少。另外非審計服務(wù)對于審計業(yè)務(wù)的影響��,非審計服務(wù)主要指的是管理咨詢服務(wù),隨著現(xiàn)代企業(yè)對管理咨詢服務(wù)需求的增加��,事務(wù)所的非審計服務(wù)收入所占的比重越來越大��,這些非審計服務(wù)對于審計費用的影響����,有待于日后的進一步深入研究。
參考文獻:
[1]韓厚軍 周生春:中國證券市場會計師報酬研究――上市公司實證數(shù)據(jù)分析[J].管理世界,2003(2)
[2]劉 斌 葉建中 廖瑩毅:我國上市公司審計收費影響因素的實證研究――深滬市2001年報的經(jīng)驗證據(jù)[J].審計研究,2003(1), 44~47
第5篇
一��、引言
隨著央行業(yè)務(wù)信息化的發(fā)展�����,數(shù)據(jù)信息系統(tǒng)成為內(nèi)審部門新的必須開展的審計內(nèi)容���。國外許多中央銀行的內(nèi)審部門非常重視利用信息技術(shù)開展內(nèi)部審計����,并且取得了較大進展�。他們擁有一批熟悉COBIT、SAC等國際上通行的信息技術(shù)管理和控制標(biāo)準(zhǔn)�、具有豐富專業(yè)經(jīng)驗的信息技術(shù)審計人員,對信息系統(tǒng)審計已有十余年歷史。我國審計機關(guān)利用計算機進行審計探索始于20世紀(jì)90年代初�,探索開發(fā)了一系列審計軟件。2001年��,國家審計署提出了《信息化建設(shè)總體目標(biāo)和構(gòu)想》��,即“金審工程”��,極大地推動了審計技術(shù)的發(fā)展���。我國中央銀行利用信息技術(shù)對業(yè)務(wù)系統(tǒng)進行審計起步較晚,與業(yè)務(wù)系統(tǒng)電子化發(fā)展相比�����,審計信息技術(shù)的發(fā)展很不匹配����,存在明顯滯后。盡管人行總行為推動審計技術(shù)信息化制訂了一系列制度���,如《中國人民銀行計算機信息系統(tǒng)內(nèi)審監(jiān)督檢查工作暫行規(guī)定》�、《關(guān)于加強計算機信息系統(tǒng)內(nèi)部審計的指導(dǎo)意見》����、《計算機信息系統(tǒng)內(nèi)部審計規(guī)程》���,但從實際運用來看,內(nèi)審部門的信息技術(shù)手段仍很落后���。特別是基層央行��,對業(yè)務(wù)系統(tǒng)的審計仍以手工為主�����,檢查的重點停留在制度執(zhí)行層面�,風(fēng)險洞察水平不高���,嚴(yán)重影響了審計質(zhì)量��?���;谶@一認(rèn)識�����,本文立足基層央行業(yè)務(wù)系統(tǒng)運行狀況,對利用信息技術(shù)開展系統(tǒng)運行審計的緊迫性�����、面臨的主要困難與問題作一剖析�����,試圖找到一些有利于基層央行利用信息技術(shù)開展系統(tǒng)審計的方法與途徑�����。
二�����、信息技術(shù)在內(nèi)審領(lǐng)域運用的緊迫性
國外央行審計技術(shù)信息化的實踐和我國央行業(yè)務(wù)領(lǐng)域信息化的現(xiàn)實��,催生了內(nèi)審信息技術(shù)建設(shè)必要性這一共識�,在共同認(rèn)知下�,迫切需要采取措施加快審計技術(shù)信息化的發(fā)展步伐,這種緊迫性至少表現(xiàn)在以下幾方面:
1���、適用業(yè)務(wù)信息化發(fā)展的需要���。近幾年來�,基層央行業(yè)務(wù)信息化建設(shè)已經(jīng)躍上了一個新臺階��,央行主持開發(fā)的計算機信息系統(tǒng)基本涵蓋了貨幣政策���、宏觀調(diào)控��、金融穩(wěn)定�����、金融服務(wù)各個領(lǐng)域����,逐步形成了高效��、規(guī)范的信息化服務(wù)體系�����。信息系統(tǒng)的廣泛運用在提高央行管理水平的同時�,也潛在著較大的安全和技術(shù)風(fēng)險?����;鶎友胄袠I(yè)務(wù)系統(tǒng)操作員和管理員對系統(tǒng)運行的先進性與安全性的認(rèn)識,由于長期的接觸�����,難免有“不識廬山真面目����,只緣身在此山中”的感覺。全面了解系統(tǒng)的運行狀況����、進一步改進系統(tǒng)運行質(zhì)量���,迫切需要審計信息技術(shù)這個通道����,起到“橫看成嶺側(cè)成峰”的作用�����。
2��、提高內(nèi)部控制水平的需要��?�!吨袊嗣胥y行分支機構(gòu)內(nèi)部控制指引》指出�,內(nèi)部控制包括內(nèi)部控制環(huán)境���、風(fēng)險評估、內(nèi)部控制活動����、內(nèi)部控制的信息及其溝通、對內(nèi)部控制的監(jiān)控五個要素��。面對央行業(yè)務(wù)系統(tǒng)信息化的發(fā)展�,如果沒有內(nèi)審技術(shù)手段信息化的快速跟進并與之匹配,以落后的內(nèi)審手段碰撞先進的業(yè)務(wù)系統(tǒng)��,就無法對業(yè)務(wù)系統(tǒng)運行的可靠性����、保密性����、連續(xù)性���、完整性�、風(fēng)險性作出準(zhǔn)確的評估�����,內(nèi)審部門“對內(nèi)部控制的監(jiān)控”作用無法有效發(fā)揮���。
3�����、提升內(nèi)審項目質(zhì)量的需要�����。傳統(tǒng)的手工審計,常常要面對雜亂無章的數(shù)據(jù)�����,進行大量乏味的計算工作。將信息技術(shù)運用于內(nèi)審工作�����,不僅可以幫助內(nèi)審人員解決這一問題���,還可設(shè)定針對性的模塊開展審計���,擴大審計范圍;可以規(guī)范審計業(yè)務(wù)管理�,如“中國人民銀行內(nèi)審業(yè)務(wù)管理系統(tǒng)”,有內(nèi)審項目管理�、內(nèi)審職責(zé)管理、輔助計算等功能��,極大地規(guī)范了審計操作��。再如武漢分行推出的“內(nèi)控評審系統(tǒng)”���,可以對分支機構(gòu)的內(nèi)控建設(shè)水平作出綜合評價��,促進了基層央行內(nèi)控建設(shè)�;可以迫使內(nèi)審人員加強對計算機知識的學(xué)習(xí),主動熟悉業(yè)務(wù)部門應(yīng)用系統(tǒng)的操作流程���。同時��,可以通過計算機網(wǎng)絡(luò)技術(shù)����,建立內(nèi)審業(yè)務(wù)后續(xù)教育平臺��,開展遠程培訓(xùn)����,使內(nèi)審人員盡快跟上信息化發(fā)展的步伐。
4��、創(chuàng)新內(nèi)審手段的需要�。信息技術(shù)在內(nèi)審領(lǐng)域的運用,可以為創(chuàng)新內(nèi)審方式打造直接平臺��。審計人員利用計算機�����,借助有效軟件開展內(nèi)審工作���,實現(xiàn)由手工方式向電子方式轉(zhuǎn)變����;利用接口程序直接從業(yè)務(wù)系統(tǒng)采集數(shù)據(jù)���,進行分析整理���,實現(xiàn)適時審計;借助網(wǎng)絡(luò)�����,遠程訪問被審計單位的系統(tǒng)數(shù)據(jù)�,實現(xiàn)遠程審計。通過審計信息化����,能夠?qū)崿F(xiàn)內(nèi)審監(jiān)督從單一性的事后審計向事前、事中��、事后相結(jié)合轉(zhuǎn)變�,從單一的靜態(tài)審計向動態(tài)與靜態(tài)相結(jié)合轉(zhuǎn)變,克服傳統(tǒng)的事后審計帶來的不能及時發(fā)現(xiàn)問題����、防范于未然的缺陷��。
三�、央行業(yè)務(wù)系統(tǒng)審計面臨的現(xiàn)狀與困境
隨著基層中央銀行電子化運用的廣泛深入��,內(nèi)部審計環(huán)境也發(fā)生了深刻的變化��,內(nèi)控機制的改變�、審計線索的隱蔽、審計手段的滯后����、審計風(fēng)險的凸現(xiàn)等帶來的困境與壓力,無時無刻不在挑戰(zhàn)著內(nèi)審人員的智慧與勇氣����。
1、業(yè)務(wù)系統(tǒng)可審性差���。隨著央行內(nèi)審功能定位的清晰�����,內(nèi)審工作的審計領(lǐng)域逐步拓寬��,審計內(nèi)容也日漸豐富�,但對業(yè)務(wù)系統(tǒng)領(lǐng)域的審計,卻始終是“霧里看花”�����,成為“審計壁壘”����。目前�,所有業(yè)務(wù)系統(tǒng)幾乎都沒有預(yù)置審計接口與審計用戶,連簡單的數(shù)據(jù)查詢都需要通過被審計對象才能進行���,同時由于信息量大���,再加上內(nèi)審部門缺乏相應(yīng)的技術(shù)審計手段與審計力量,用有限人工的方法查找海量電子化信息����,效率太低,要想篩選出有價值的線索無異于“大海撈針”����;因沒有設(shè)置系統(tǒng)“黑匣子”���,沒有設(shè)置監(jiān)控點,最大限度保留��、記錄審計線索����,各項違規(guī)操作、異常操作無從查找��。
2�、計算機輔助審計運用不廣。由于應(yīng)用系統(tǒng)開發(fā)各自為陣��,各個系統(tǒng)由不同的開發(fā)單位開發(fā)���,所采用的開發(fā)�、應(yīng)用平臺不同�、開發(fā)語言不同,數(shù)據(jù)庫不同�����,沒有一個統(tǒng)一的標(biāo)準(zhǔn)的數(shù)據(jù)化接口���,加上內(nèi)審部門沒有專用的通用審計軟件��,使業(yè)務(wù)系統(tǒng)數(shù)據(jù)采集�����、轉(zhuǎn)換�、分析困難���,另外�,數(shù)據(jù)采集還涉及到數(shù)據(jù)導(dǎo)出后的保密問題�����,也成了數(shù)據(jù)采集困難的因素之一���。加之內(nèi)審部門計算機配備不足��,能熟練掌握計算機專業(yè)知識及業(yè)務(wù)知識的人員偏少��,計算機輔助審計僅停留在WORD����、EXCEL文字處理和電子表格處理層面,更深層次的數(shù)據(jù)篩選����、數(shù)據(jù)分析、函數(shù)計算����、數(shù)據(jù)統(tǒng)計和圖形分析應(yīng)用不多。3��、審計服務(wù)平臺搭建不力���。目前��,央行內(nèi)審業(yè)務(wù)尚未搭建起支持信息化審計的高效的服務(wù)平臺�,嚴(yán)重滯后于信息化審計工作的發(fā)展�����,成為難以突破的“瓶頸”��。主要表現(xiàn)為:一是審計依據(jù)的非電子化�����,給依據(jù)的查找、問題的定性帶來極大的不便��,許多審計人員反映����,在依據(jù)查找、問題定性方面投入的工作量占整個工作量的近三分之一���。二是審計依據(jù)攜帶不便����,查找不便����。目前大部分內(nèi)審人員仍然使用紙質(zhì)依據(jù)�,有些則是上網(wǎng)搜索,這樣所得的審計依據(jù)難以保證其權(quán)威性���、全面性����、有效性���,容易造成審計風(fēng)險�����。三是審計成果難以利用�����,沒有審計結(jié)果電子檔案��,審計部門難以及時了解�����、全面掌握審計對象的基本情況及其動態(tài)�����。四是審計分析難以深入��,不便掌握內(nèi)控運行趨勢和找出內(nèi)控薄弱環(huán)節(jié)軌跡����。五是經(jīng)驗交流不實時,在審計實施中容易走彎路、重復(fù)審計����,增加審計成本。
4��、軟件開發(fā)應(yīng)用介入缺位���?��!吨袊嗣胥y行關(guān)于加強計算機信息系統(tǒng)內(nèi)部審計工作的指導(dǎo)意見》規(guī)定科技部門和系統(tǒng)應(yīng)用部門,在組織系統(tǒng)開發(fā)時應(yīng)當(dāng)將有關(guān)情況通報內(nèi)審部門,應(yīng)當(dāng)充分考慮設(shè)置和保留必要的審計線索��,重要的系統(tǒng),應(yīng)當(dāng)設(shè)立必要的審計接口�。《中國人民銀行分支機構(gòu)內(nèi)部控制指引》也作了相似的規(guī)定��。但在實際中卻很難得到有效執(zhí)行����。一是程序設(shè)計�、開發(fā)、測試階段審計部門參予不夠�。在電算化環(huán)境下,計算機系統(tǒng)處理成了業(yè)務(wù)處理的一個重要環(huán)節(jié),而在目前的審計實踐中��,對業(yè)務(wù)系統(tǒng)的審計卻往往繞過計算機審計�����,未能實現(xiàn)穿過計算機審計���,僅對業(yè)務(wù)系統(tǒng)的運行環(huán)境�、操作員控制����、制度建設(shè)與管理等方面進行審計,對業(yè)務(wù)系統(tǒng)自身的可靠性�、可行性審計這一關(guān)鍵環(huán)節(jié)卻無能為力;二是業(yè)務(wù)系統(tǒng)培訓(xùn)�、運用,審計人員缺少參與��。各個業(yè)務(wù)系統(tǒng)在培訓(xùn)推廣時�����,內(nèi)審人員很少有機會參加���,相應(yīng)的制度及培訓(xùn)資料也難以獲取��。
5����、審計風(fēng)險規(guī)避更難。手工環(huán)境下�����,各項數(shù)據(jù)的勾對平衡��、各個科目的對轉(zhuǎn)使用�,都有原始的憑證、帳簿���、報表���,有據(jù)可查,容易“順藤摸瓜”��,審計出來的結(jié)果較為可靠�����。但在電算化環(huán)境下���,各項業(yè)務(wù)的上機運行����,數(shù)據(jù)的集中存放�����,憑證的上收����,審計線索大為減少;紙質(zhì)數(shù)據(jù)的電磁化及其容易篡改的特性以及程序的“黑箱”處理����,中斷了追索途徑;技防的薄弱如身份識別技術(shù)大部分采用登錄口令的形式�,UNIX系統(tǒng)未安裝防病毒、防入侵軟件等�,極有可能導(dǎo)致黑客的入侵、病毒的感染�����,從而導(dǎo)致程序被修改、數(shù)據(jù)被竊甚至丟失的風(fēng)險�����,極大增加了審計風(fēng)險的規(guī)避難度��。
四����、央行業(yè)務(wù)系統(tǒng)信息化審計方法與途徑探討
面對業(yè)務(wù)系統(tǒng)審計中的種種困難,只有把審計信息化作為傳統(tǒng)審計向現(xiàn)代審計轉(zhuǎn)型的突破口來抓�,在更大范圍內(nèi)和更深層次上推進計算機審計的應(yīng)用,才能及時發(fā)現(xiàn)不足和解決問題�����,杜絕因業(yè)務(wù)信息化所帶來的風(fēng)險���。
1����、深化輔助審計軟件的有效應(yīng)用
輔助審計軟件包括Word��、Excel���、數(shù)據(jù)庫分析管理(通常使用常用的Access數(shù)據(jù)庫)���、圖形分析程序、通用審計軟件(GAS)等�。在內(nèi)部審計實施過程中,計算機不能僅作為文字處理工具���,而要進一步深化輔助審計軟件的有效應(yīng)用�。
在文字處理�����、電子表格�����、數(shù)據(jù)庫分析管理和圖形分析四個方面����,可建立符合基層央行業(yè)務(wù)特點的審計數(shù)學(xué)模型,用數(shù)學(xué)模型進行數(shù)據(jù)提取�����、數(shù)據(jù)篩選、數(shù)據(jù)分析����、函數(shù)計算、數(shù)據(jù)統(tǒng)計和圖形分析�;可建立方便快捷的審計依據(jù)文檔庫,通過系統(tǒng)自帶的搜索引擎進行資料模糊查詢��,以便快速對審計定性提供依據(jù)��;可建立審計實施各階段的文檔模板���,使各階段文檔共性部分減少手工編制����。
探索開發(fā)中央銀行通用審計軟件(PBC-GAS)�����。借助通用審計軟件中相應(yīng)的數(shù)據(jù)接口模塊在不同的業(yè)務(wù)系統(tǒng)中采集數(shù)據(jù)�����,用轉(zhuǎn)換工具,把取得的數(shù)據(jù)進行轉(zhuǎn)換�,從而有效地轉(zhuǎn)換到審計軟件中,形成統(tǒng)一的數(shù)據(jù)格式�,以便進一步審計分析。
2����、建立業(yè)務(wù)系統(tǒng)的嵌入式審計窗口(EAM)
《中國人民銀行分支機構(gòu)內(nèi)部控制指引》中明確要求“系統(tǒng)開發(fā)時應(yīng)考慮監(jiān)督檢查的需要����,必要時應(yīng)預(yù)留有關(guān)審計接口”。為此���,筆者建議:一是對現(xiàn)有的業(yè)務(wù)系統(tǒng)進行補丁�����,建立起由內(nèi)部審計人員登錄并提供由系統(tǒng)本身自動產(chǎn)生有操作風(fēng)險或較嚴(yán)重誤操作的記錄的嵌入式審計窗口�����,從而增加對審計對象的介入深度和改進審計方式��;二是對今后開發(fā)的業(yè)務(wù)系統(tǒng)����,審計部門要提前介入,提供切合實際����、有針對性的系統(tǒng)控制、程序控制和風(fēng)險點控制等方面的需求報告���,供開發(fā)人員研究設(shè)計���,未經(jīng)審計部門介入的業(yè)務(wù)系統(tǒng)軟件,不能擅自推廣應(yīng)用�����。
嵌入式審計窗口作為系統(tǒng)控制��、程序控制和風(fēng)險點控制模塊���,主要針對系統(tǒng)操作可能導(dǎo)致的風(fēng)險進行監(jiān)測和記錄�。記錄內(nèi)容可包括金額�����、資金流向、摘要��;時間����、操作員;保密資料的打印次數(shù)�����;操作員密碼管理情況�����;主管授權(quán)情況�;非工作時間開機登錄情況���;操作員簽退情況��;數(shù)據(jù)備份與恢復(fù)控制情況等�。EAM的應(yīng)用�,可成為業(yè)務(wù)系統(tǒng)自動監(jiān)控的“黑匣子”,提高系統(tǒng)的可審性��。同時,內(nèi)審員通過網(wǎng)絡(luò)登錄可開展非現(xiàn)場審計�,通過業(yè)務(wù)系統(tǒng)的動態(tài)監(jiān)測可開展動態(tài)審計,具有監(jiān)督頻率高���、信息連續(xù)性強�、審計成本低�、動態(tài)反映及時等特點。
3�、推進技防信息化建設(shè)
技防信息化在央行重要業(yè)務(wù)系統(tǒng)中的應(yīng)用目前僅限于對機房的監(jiān)控,直接對業(yè)務(wù)系統(tǒng)實施技防信息化還是空白���。技防信息化是通過計算機外接設(shè)備對操作員指紋�、掌紋���、聲音�、人臉�、虹膜等進行圖形、聲音數(shù)據(jù)采集���,由計算機進行生物統(tǒng)計�,以進行身份鑒別的計算機控制方法��。技防信息化可在中央銀行ABS、TBS等重要業(yè)務(wù)系統(tǒng)中應(yīng)用���,如建立指紋識別系統(tǒng)(HSS)或臉像識別系統(tǒng)(FSS)��,并對應(yīng)用系統(tǒng)所在的機房進行數(shù)字化動態(tài)監(jiān)控��。從而為內(nèi)部審計提供必要的�����、有力的證據(jù)����,尤其易對一些違規(guī)操作�����、非法登錄����、惡意破壞行為追蹤認(rèn)定�,使責(zé)任追究落實到人。4��、加快建設(shè)信息化審計網(wǎng)絡(luò)服務(wù)平臺
信息化審計網(wǎng)絡(luò)服務(wù)平臺是為內(nèi)部審計工作提供全方位的服務(wù)網(wǎng)絡(luò)系統(tǒng)。網(wǎng)絡(luò)服務(wù)平臺可以包括:審計人才資源�����、審計對象與方法�����、審計依據(jù)法規(guī)����、風(fēng)險點及控制、審計成果轉(zhuǎn)化與應(yīng)用等�����,形成一個多層面�����、多角度�、立體式的網(wǎng)絡(luò)服務(wù)平臺。
網(wǎng)絡(luò)服務(wù)平臺要通過做好信息收集��、整理工作��,建立健全分層次的審計數(shù)據(jù)庫,包括財務(wù)管理���、國庫資金管理�、發(fā)行基金管理�、人民幣賬戶管理、外匯業(yè)務(wù)管理����、金融統(tǒng)計業(yè)務(wù)管理、反洗錢管理�、金融法律法規(guī)以及審計人力資源、審計工作中形成的審計結(jié)果和審計專家經(jīng)驗���、風(fēng)險點及控制等為審計服務(wù)的信息����。依靠有效的內(nèi)聯(lián)網(wǎng)絡(luò)���,分層次地形成信息共享。
5��、規(guī)避信息化審計風(fēng)險
規(guī)避信息化審計風(fēng)險是審計人員面臨的新課題���。信息化系統(tǒng)所固有的特性���,使審計風(fēng)險再所難免��。如何最大限度地降低審計風(fēng)險�,只有靠審計人員敏銳的嗅覺��、實戰(zhàn)經(jīng)驗和一定的計算機應(yīng)用系統(tǒng)分析水平����。在審計實戰(zhàn)中,一要運用電子數(shù)據(jù)易快速分類�����、排序�����、統(tǒng)計的特性���,對電子數(shù)據(jù)進行關(guān)聯(lián)���、抽樣分析等�����,以發(fā)現(xiàn)審計線索��;二要檢查業(yè)務(wù)系統(tǒng)的操作員分工�����、權(quán)限設(shè)置是否合理��、嚴(yán)密�����,職責(zé)是否明確����,分析密碼管理機制是否安全�、有效,系統(tǒng)各個功能模塊設(shè)計是否符合央行內(nèi)控要求��;三要檢查業(yè)務(wù)系統(tǒng)本身是否具有合理的安全保護措施�����,如容錯性和系統(tǒng)災(zāi)難恢復(fù)機制等����;四要檢查被審計單位所提供的數(shù)據(jù)資料的真實性、時效性���、完整性和連續(xù)性�����,必要時應(yīng)進行復(fù)核���;五要采用靈活的審計方式,如可采用就地審計或突擊審計的方式����,事先不通知被審單位計算機管理員,先取得備份數(shù)據(jù)�,以防操作員將數(shù)據(jù)篡改、刪除等�。
6、加快人才培養(yǎng)和技術(shù)培訓(xùn)
李金華審計長指出:審計信息化是一場革命�,審計人員不掌握計算機技術(shù),將失去審計資格。基層央行內(nèi)部審計信息化建設(shè)的發(fā)展��,人才培養(yǎng)是最大瓶頸����。當(dāng)務(wù)之急是要用計算機知識武裝審計人員的頭腦。首先����,要拓寬育人、用人視野���,要有目的的選擇品學(xué)兼優(yōu)的業(yè)務(wù)骨干充實到內(nèi)審崗位��。其次�����,要抓好計算機審計深層次應(yīng)用培訓(xùn)����,如審計業(yè)務(wù)與通用審計軟件相關(guān)的針對性培訓(xùn)�����、計算機輔助審計技術(shù)培訓(xùn)、常用的Excel��、Access數(shù)據(jù)庫中如何進行數(shù)據(jù)處理���、加工統(tǒng)計及圖形分析培訓(xùn)等。
課題組組長:張庭旭
課題組副組長:呂遂生
課題組成員:康登棟�、李書文、康中華����、王曉東、王勇
參考文獻
[1]���、王洪章�����,《中國人民銀行崗位風(fēng)險防范指南》���,中國金融出版社,2006年�����。
[2]、張靜��,《人民銀行內(nèi)審理論與實務(wù)研究》���,湖北人民出版社�����,2004年��。
第6篇
【論文摘要】 隨著電算化在我國企業(yè)的普及�����,內(nèi)部控制制度的完善也引起了人們更多的重視�����。文章在分析我國電算化下企業(yè)內(nèi)部控制面臨的現(xiàn)狀的基礎(chǔ)上���,提出了加強企業(yè)內(nèi)部控制的建議。
內(nèi)部控制是指在企事業(yè)單位會計工作中���,為了維護會計數(shù)據(jù)的準(zhǔn)確性�、可靠性,業(yè)務(wù)經(jīng)營的有效性和財產(chǎn)的完整性而制定的各種規(guī)章制度����、組織措施、管理方法��、業(yè)務(wù)處理手續(xù)以及其他為防止可能發(fā)生的風(fēng)險而采取的一切措施的總稱���。隨著計算機和信息系統(tǒng)的發(fā)展,我國絕大多數(shù)的企業(yè)已經(jīng)甩掉了手工賬��,實行了會計信息系統(tǒng)的電算化�����。電算化會計在數(shù)據(jù)處理的及時性和準(zhǔn)確性方面都有著傳統(tǒng)手工會計無可比擬的優(yōu)勢�,但隨著電算化工作的普及和深入,有關(guān)電腦系統(tǒng)的舞弊案件時有發(fā)生����,而且涉及的金額及造成的損失往往比手工系統(tǒng)大得多。究其原因主要是由于電算化對傳統(tǒng)手工會計信息系統(tǒng)的內(nèi)部控制帶來了一系列影響�,內(nèi)部控制由人工控制變?yōu)槿撕陀嬎銠C共同控制,原有的內(nèi)部控制已無法適應(yīng)會計電算化信息系統(tǒng)的要求��。這就迫切要求我們適應(yīng)電算化會計信息系統(tǒng)的特點,建立和加強電算化下的內(nèi)部控制體系�。
一、電算化會計下企業(yè)內(nèi)部控制內(nèi)容
從傳統(tǒng)的手工會計到電算化會計系統(tǒng)���,雖然會計內(nèi)部控制的目標(biāo)和主要特征沒變����,會計核算的復(fù)式記賬和借貸平衡的基本原理和方法也沒有變��,但由于會計信息處理方式和方法的計算機自動化�����,使得會計業(yè)務(wù)處理程序和工作組織發(fā)生了質(zhì)的變化����,由此導(dǎo)致會計信息系統(tǒng)內(nèi)部控制體系也出現(xiàn)了些新的特點和變化。
在會計工作實現(xiàn)電算化以后�,內(nèi)部控制按照其實施方式的不同,分為組織控制和功能控制��。組織控制是指通過建立規(guī)章制度�����、工作人員的合理分工而建立起來的內(nèi)部控制。功能控制是指在會計信息系統(tǒng)中設(shè)計一定的功能而實現(xiàn)的內(nèi)部控制����。按實施環(huán)境的不同,內(nèi)部控制又可分為應(yīng)用控制和一般控制��。應(yīng)用控制是指運用計算機進行會計數(shù)據(jù)處理過程中所實施的內(nèi)部控制�����。按本身的性質(zhì)和實施的目的���,內(nèi)部控制還可分為管理控制和會計控制。管理控制是指為了保證計劃�、預(yù)算和定額任務(wù)的完成,提高經(jīng)濟效益而實施的內(nèi)部控制����。會計控制是指為了維護會計數(shù)據(jù)準(zhǔn)確可靠和保護單位財產(chǎn)完整而實施的內(nèi)部控制。
二���、電算化會計下加強完善內(nèi)部控制的必要性
由于電算化會計信息系統(tǒng)在賬務(wù)處理流程和工作組織方式等許多方面與手工會計信息系統(tǒng)不同�,又由于使用該系統(tǒng)存在著特有的潛在風(fēng)險��,電算化會計系統(tǒng)必須建立在科學(xué)的內(nèi)部控制體系以保證會計數(shù)據(jù)的真實可靠。
1����、電算化會計下授權(quán)方式的改變要求加強內(nèi)部控制
在手工會計系統(tǒng)中,一項經(jīng)濟業(yè)務(wù)由發(fā)生到形成相應(yīng)的賬務(wù)處理信息����,其經(jīng)歷的每一個環(huán)節(jié)都應(yīng)由具有相應(yīng)管理權(quán)限的有關(guān)人員審核簽章后才可辦理。這種傳統(tǒng)管理方式雖然處理的速度慢�,但可有效地防止作弊。然而���,在電算化會計下�,權(quán)限分工的主要表現(xiàn)為口令授權(quán)����。口令不像印章那樣由專人負(fù)責(zé)保管而是存放于計算機系統(tǒng)內(nèi)���,一旦口令被人偷看或竊取����,便會帶來巨大隱患�,此種案例在現(xiàn)實中已發(fā)生多起���。如某某會計人員被客戶收買,竊取口令�,非法核銷客戶的應(yīng)收款及相關(guān)資料;銷貨人員竊得客戶的信息將客戶信息轉(zhuǎn)賣給其他公司��。
2�����、會計檔案無紙化的變革要求加強內(nèi)部控制
在手工方式下����,會計信息以賬、證�、表等形式存儲在不同的紙張上��,增�、刪、修改會計憑證或會計賬冊都可以從各自的筆跡和印章上分清責(zé)任���,因此很難不露痕跡地加以修改或偽造���。但實行了電算化會計后�,會計信息是以數(shù)據(jù)庫文件的形式保存在磁光介質(zhì)上��,這種無紙張憑證和賬冊很容易不留痕跡地被篡改和偽造�,從而給內(nèi)部控制帶來新的挑戰(zhàn)。另外磁或光介質(zhì)對保存環(huán)境要求高�����,容易損壞����,一旦損壞很難恢復(fù),這無疑對內(nèi)部控制提出了更高的要求�����。
3�����、網(wǎng)絡(luò)技術(shù)的發(fā)展也要求加強內(nèi)部控制
網(wǎng)絡(luò)技術(shù)的突飛猛進給電算化會計信息系統(tǒng)帶來了深遠的影響�����。目前財務(wù)軟件的網(wǎng)絡(luò)功能主要包括:遠程報賬、遠程報表�、遠程審計、網(wǎng)上支付��、網(wǎng)上催賬�����、網(wǎng)上報稅��、網(wǎng)上采購�、網(wǎng)上銷售、網(wǎng)上銀行等���。由于網(wǎng)絡(luò)環(huán)境具有開放性��,而大量的會計信息又是通過網(wǎng)上傳輸?shù)?�,這樣就有可能使網(wǎng)絡(luò)會計信息系統(tǒng)遭到“黑客”的攻擊或“病毒”的入侵�����,同樣可能導(dǎo)致會計信息被竊取或者是被蓄意篡改,這一系列的問題的解決離不開內(nèi)部控制制度的完善和發(fā)展�。
三、我國電算化會計內(nèi)部控制面臨的現(xiàn)狀
1、復(fù)合人才的缺乏����,電算化會計人員整體素質(zhì)有待提高
電算化會計系統(tǒng)是人機結(jié)合的系統(tǒng),它既需要熟悉計算機操作的財會人員���,又需要精通計算機硬件維修���、信息系統(tǒng)管理和基本財務(wù)知識的系統(tǒng)管理員。但我國這種復(fù)合型人才還相當(dāng)匱乏�,培養(yǎng)這一類的人才還需要一定的時間。
2�、單位領(lǐng)導(dǎo)層的認(rèn)識不到位,電算化工作的廣度和深度有待推進
不少企業(yè)領(lǐng)導(dǎo)還沒有充分認(rèn)識到實施會計電算化的重要意義�,沒有認(rèn)識到開展會計電算化是時展的必然,是管理現(xiàn)代化的需要���。目前還有相當(dāng)一部分的企業(yè)電算化會計工作還只是處于單項或者幾項會計核算業(yè)務(wù)和報表匯總工作��,有關(guān)工資�、固定資產(chǎn)��、銷售的核算�����、成本的核算還沒有實行電算化,全國全部實現(xiàn)會計電算化的企業(yè)還為數(shù)不多����,企業(yè)實施電算化會計的廣度和深度還不夠,從而為電算化會計內(nèi)部控制制度的建立和完善增加了難度�。
3、會計軟件不能及時升級換代���,軟件安全性��、保密性差
不少企業(yè)認(rèn)為電算化僅僅是“以機代賬”��,軟件只需要一次投入即可�,出現(xiàn)了只重視硬件換代��,不注意軟件升級的情況�����。從奔騰ⅱ一直到奔騰ⅳ����,機型更換了幾次,但財務(wù)軟件仍停留在“古老”的foxbase開發(fā)的dos版上��。另一方面��,多數(shù)企業(yè)總是忙于開發(fā)����、購買硬件和會計軟件,并求得賬���、證�����、表的正確輸出�,卻很少過問計算機系統(tǒng)是否安全可靠���,企業(yè)以及部門的內(nèi)部控制是否健全���,導(dǎo)致會計信息的使用者對會計電算化數(shù)據(jù)的可靠性持懷疑態(tài)度。
四����、加強電算化會計下企業(yè)內(nèi)部控制的建議
1���、加強有關(guān)組織與管理方面的控制
(1)建立適應(yīng)電算化會計系統(tǒng)的組織機構(gòu)
在實現(xiàn)了會計電算化后,企業(yè)應(yīng)及時調(diào)整原有的組織機構(gòu)���,可以按會計崗位和工作職責(zé)劃分為電算化會計主管���、軟件操作、審核記賬�����、電算維護�、電算審查、數(shù)據(jù)分析等崗位���。組織機構(gòu)的設(shè)置符合企業(yè)的實際情況����,有利于實現(xiàn)企業(yè)的管理目標(biāo)����,同時也要考慮到成本費用的問題。
(2)建立嚴(yán)格的上機管理制度
基于電算化會計信息系統(tǒng)的安全性和保密性考慮����,企業(yè)用于電算化會計系統(tǒng)的計算機應(yīng)盡可能保證專人專用���,同時企業(yè)應(yīng)該建立一整套嚴(yán)格的上機管理制度����,以保證每位工作人員只在自己的計算機上和自己的權(quán)限范圍類做自己應(yīng)該做的工作。一般來講��,企業(yè)對用于電算化會計系統(tǒng)的計算機的上機管理措施應(yīng)包括輪流值班制度�����、上機記錄制度����、完善的操作手冊、上機時間安排����、操作日志等。
(3)切實貫徹職責(zé)分離�,實行相互監(jiān)督
與手工會計一樣,電算化會計系統(tǒng)對每一項可能引起偽造的經(jīng)濟業(yè)務(wù)����,都不能由一個人或一個部門經(jīng)手到底��,必須分別由幾個人或幾個部門承擔(dān)��。在電算化會計系統(tǒng)中�,不相容的職務(wù)主要有系統(tǒng)開發(fā)�����、發(fā)展的職務(wù)與系統(tǒng)操作的職務(wù)�����;數(shù)據(jù)維護管理職務(wù)與電算審核職務(wù)��;數(shù)據(jù)錄入職務(wù)與審核記賬職務(wù)��;系統(tǒng)操作的職務(wù)與系統(tǒng)檔案管理職務(wù)等����。企業(yè)為防止舞弊或欺詐,應(yīng)建立一整套符合職責(zé)劃分原則的內(nèi)部控制制度���,同時還應(yīng)建立職務(wù)輪換制度��。
(4)加強檔案管理工作
企業(yè)應(yīng)該對所有會計資料及時存檔并定期地對所有檔案進行備份�。企業(yè)使用的會計軟件應(yīng)具有強制備份的功能和恢復(fù)到最近狀態(tài)的功能。
(5)重視內(nèi)部審計功能
內(nèi)部審計既是企業(yè)內(nèi)部控制系統(tǒng)的重要組成部分��,也是強化內(nèi)部會計監(jiān)督的制度安排�。內(nèi)部審計本身就是一種組織控制。通過內(nèi)部審計部門對電算化會計系統(tǒng)信息的質(zhì)量和完整性進行獨立�、公正地監(jiān)督與評價��,有利于系統(tǒng)內(nèi)部自我約束����、自我激勵機制的建立與健全。
2�����、加強電算化會計系統(tǒng)實施前的有關(guān)系統(tǒng)開發(fā)方面的控制
這項工作主要是針對自主開發(fā)會計信息系統(tǒng)的企業(yè)而言的���。在系統(tǒng)開發(fā)期間實施的控制措施主要是為了保證系統(tǒng)開發(fā)過程中各項活動的合法和有效���,其主要內(nèi)容包括:明確開發(fā)目標(biāo),進行系統(tǒng)可行性研究與分析����;在開發(fā)的過程中始終要圍繞用戶需求這一宗旨確保系統(tǒng)開發(fā)目標(biāo)的一致性��,同時也要控制開發(fā)進度�,監(jiān)督開發(fā)質(zhì)量�����,檢查各功能模塊設(shè)置的合理性���,提高系統(tǒng)的質(zhì)量���。電算化會計系統(tǒng)的開發(fā)必須遵循國家相關(guān)部門制定的標(biāo)準(zhǔn)和規(guī)范,這樣開發(fā)出來的系統(tǒng)才安全可靠����。
在電算化會計系統(tǒng)正式運行過程中,如果發(fā)現(xiàn)會計軟件存在漏洞�,需要及時對其進行修改,整個修改過程必須經(jīng)過周密計劃和嚴(yán)格記錄��,修改過程的每一個環(huán)節(jié)都必須設(shè)置必要的控制�����,修改的原因應(yīng)形成書面報告,電算化會計系統(tǒng)的操作人員不能參與軟件的修改����,所有與軟件修改有關(guān)的記錄都應(yīng)該打印后存檔。
3�、加強電算化日常管理方面的控制
首先應(yīng)制定上機操作規(guī)程,主要包括軟硬件操作規(guī)程�、上機操作時間等。在經(jīng)濟業(yè)務(wù)發(fā)生時�����,通過計算機的控制程序�����,對業(yè)務(wù)發(fā)生的合理性�、合法性和完整性進行檢查和控制��。
其次要建立起一整套內(nèi)部控制制度����,以便對輸入的數(shù)據(jù)進行嚴(yán)格的控制,保證數(shù)據(jù)輸入的準(zhǔn)確性。由于計算機處理數(shù)據(jù)的能力很強�����,處理速度非?����??����,如果輸入的數(shù)據(jù)不準(zhǔn)確�,處理結(jié)果就會出現(xiàn)差錯,影響整個系統(tǒng)的正常運行���。因此�,系統(tǒng)應(yīng)該對輸入的數(shù)據(jù)進行嚴(yán)格的控制����,保證數(shù)據(jù)輸入的準(zhǔn)確性。數(shù)據(jù)輸入控制要求輸入的數(shù)據(jù)應(yīng)經(jīng)過必要的授權(quán)�����,并經(jīng)有關(guān)的內(nèi)部控制部門檢查;同時應(yīng)采用各種技術(shù)手段對輸入數(shù)據(jù)的準(zhǔn)確性進行校驗�����,如平衡校驗��、二次輸入校驗等����。另外為了防止數(shù)據(jù)在傳輸過程中發(fā)生錯誤、丟失�����、泄密等事故���,企業(yè)應(yīng)該采用各種技術(shù)手段以保證數(shù)據(jù)在傳輸過程中的準(zhǔn)確��、安全、可靠�����。
最后對系統(tǒng)操作的事件類型�、用戶身份、操作時間、系統(tǒng)參數(shù)和狀態(tài)以及系統(tǒng)敏感資源進行實時監(jiān)控和記錄��,進行必要的權(quán)限設(shè)置����,以便能夠?qū)Ω鞣N不同的權(quán)限進行用戶識別和遠程請求識別。
綜上所述����,會計電算化在我國企業(yè)的普及,在給會計人員帶來方便快捷高效的工作方式的同時�����,無疑也增加了信息的安全隱患�。當(dāng)然,任何事物都不是完美無缺的�����,我們只有順應(yīng)電算化發(fā)展的潮流��,建立分工明確�、權(quán)責(zé)落實、操作嚴(yán)格的內(nèi)部控制制度并切實的加以執(zhí)行��,這樣才能充分發(fā)揮電算化會計系統(tǒng)的準(zhǔn)確性和高效性,才能為企業(yè)的管理層提供準(zhǔn)確及時的決策信息�,從而實現(xiàn)企業(yè)價值最大化的目標(biāo)。
【參考文獻】
[1] 袁樹民�����、張貴珍:會計電算化[m].上海財經(jīng)大學(xué)出版社�,2005.
第7篇
【 關(guān)鍵詞 】 信息安全管理;信息安全管理平臺
1 引言
前些年�����,在我國推進信息安全體系建設(shè)的工作中�,各行業(yè)在信息網(wǎng)絡(luò)邊界和縱深部署大量信息安全防護產(chǎn)品的基礎(chǔ)上,為了符合國家信息安全的相關(guān)政策和監(jiān)管要求及便于進行一體化管理和掌握整個信息系統(tǒng)的安全態(tài)勢���,許多單位還部署了信息安全管理平臺��,并在信息系統(tǒng)安全運行和管理上發(fā)揮了重要的作用��。
信息安全管理平臺是網(wǎng)絡(luò)中心必備的安全管理基礎(chǔ)設(shè)施���,是網(wǎng)絡(luò)安全管理員遂行網(wǎng)絡(luò)安全管理任務(wù)的必備手段����,是網(wǎng)絡(luò)安全體系結(jié)構(gòu)中的一個重要技術(shù)支撐平臺�����。為規(guī)范網(wǎng)絡(luò)系統(tǒng)的安全管理����,重要的信息網(wǎng)絡(luò)都應(yīng)設(shè)置信息安全管理平臺(見《信息安全技術(shù) 信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》GB/T 24856―2009)���。
近年來���,隨著云計算、物聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)技術(shù)的興起�,信息網(wǎng)絡(luò)的邊界愈發(fā)模糊,系統(tǒng)中的虛擬化技術(shù)和設(shè)備被廣泛采用����,信息系統(tǒng)中的安全信息采集和集中審計變得更加困難。另一方面��,外部的信息安全威脅���,隨著AET和APT技術(shù)的不斷升級�,也變得愈來愈兇險和難以防護。面對當(dāng)前信息安全的新形式�,以往的信息安全管理平臺必須進行更新?lián)Q代或升級改造。
搭建新一代信息安全管理平臺(以下簡稱平臺)有重要意義:(1)設(shè)計和建設(shè)新一代平臺是構(gòu)建自主可控信息安全體系體系頂層設(shè)計不可或缺的重要一環(huán)����,以實現(xiàn)對重要信息系統(tǒng)的風(fēng)險可監(jiān)控、可管理�����、業(yè)務(wù)過程可審計��,真正實現(xiàn)安全體系自主可控��,保障體系安全��;(2)引入大數(shù)據(jù)分析技術(shù)完善平臺關(guān)聯(lián)分析能力�����,增加AET和APT攻擊的檢測技術(shù)手段�,提升信息系統(tǒng)安全態(tài)勢感知和預(yù)警能力,可及時發(fā)現(xiàn)和處置重大信息安全威脅��,真正實現(xiàn)信息安全自主可控。
2 設(shè)計目標(biāo)
信息安全管理平臺的設(shè)計目標(biāo)是:設(shè)計一體化�����、開放性和具有智能防御未知威脅攻擊的平臺����。一體化就是將多家不同類型的安全產(chǎn)品整合到一起���,進行統(tǒng)一的管理配置和監(jiān)控����。開放性就是提供標(biāo)準(zhǔn)的接口��,使第三方產(chǎn)品很容易整合到系統(tǒng)中�����。智能防御未知威脅攻擊��,就是充分利用和發(fā)揮大數(shù)據(jù)技術(shù)應(yīng)用于安全態(tài)勢和安全事件的深度挖掘和分析�����,對AET和APT進行檢測和響應(yīng)���,構(gòu)建智能化的主動防御系統(tǒng)�。
通過信息安全管理平臺,對網(wǎng)絡(luò)系統(tǒng)�����、網(wǎng)絡(luò)安全設(shè)備以及主要應(yīng)用實施統(tǒng)一的安全策略���、集中管理�����、集中審計�����、并通過網(wǎng)絡(luò)安全設(shè)備間的互動����,應(yīng)對已知和未知的安全威脅�����,充分發(fā)揮網(wǎng)絡(luò)安全防護系統(tǒng)的整體效能。
3 設(shè)計原則
依據(jù)GB17859-1999《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》和GB/T 20269-2006《信息安全技術(shù) 信息系統(tǒng)安全管理要求》����,結(jié)合網(wǎng)絡(luò)安全管理的實際需求,按以下原則設(shè)計信息安全管理平臺�。
(1) 標(biāo)準(zhǔn)化設(shè)計原則��。為了能夠與第三方廠家安全產(chǎn)品聯(lián)動�,安全管理平臺需制定安全產(chǎn)品互聯(lián)的接口標(biāo)準(zhǔn),這個接口標(biāo)準(zhǔn)在業(yè)界應(yīng)具有權(quán)威性并易于操作��,便于各廠家實現(xiàn)�����。
(2)逐步擴充的原則��。網(wǎng)絡(luò)系統(tǒng)安全集中管理包含的內(nèi)容很多����,管理技術(shù)難度很大,安全管理平臺的建設(shè)應(yīng)選擇好切入點�,本著由簡至繁,逐步擴充的原則進行���。
(3)集中與分布的原則���。許多單位網(wǎng)絡(luò)從結(jié)構(gòu)上看����,呈樹狀的多節(jié)點分層(級)結(jié)構(gòu)�����。這些網(wǎng)絡(luò)具有分布廣���、結(jié)構(gòu)復(fù)雜的特點����。為此���,可在各層(級)網(wǎng)管中心設(shè)置安全管理平臺��,其作用是對本級局域網(wǎng)進行集中安全管理�;上級對下級采用分布式分級的方式進行安全管理�。
4 設(shè)計要求
(1)可擴展性。信息安全管理平臺的系統(tǒng)設(shè)計�,終端采用以對象模型驅(qū)動的管理機制��,對象模型用XML語言描述�����,可以通過定義/修改對象模型的屬性(關(guān)系和操作)�,即插即用地擴充和管理網(wǎng)絡(luò)終端及服務(wù)���。此外�����,管理平臺主機在性能和帶寬上,應(yīng)留有一定冗余度����,具有管理1000~5000個對象的擴展能力。
(2)易用性�。信息安全管理平臺提供的所有功能,應(yīng)做到操作簡易�,界面友好,使用方便���。
(3)經(jīng)濟性���。信息安全管理平臺設(shè)計���,應(yīng)采用先進的、成熟的軟硬件IT技術(shù)����,搞好總體設(shè)計,優(yōu)化軟件編程�����,避免重復(fù)投資�����,提高性能價格比��。
(4)穩(wěn)定可靠性���。信息安全管理平臺設(shè)計���,應(yīng)重視硬件支撐設(shè)備的選型,性能上應(yīng)留有空間�;安全管理軟件要經(jīng)過充分測試���,不斷優(yōu)化,保證系統(tǒng)穩(wěn)定可靠運行�。
(5)自身安全性。信息安全管理平臺設(shè)計����,要重視自身的安全性,系統(tǒng)應(yīng)具有管理員身份和權(quán)限的雙重鑒別能力���,應(yīng)保證數(shù)據(jù)網(wǎng)上傳輸?shù)耐暾?、保密性和?shù)據(jù)記錄的真實可靠及抗抵賴性�。
5 系統(tǒng)組成和主要功能
信息安全管理平臺的基本功能是:對網(wǎng)絡(luò)系統(tǒng)、安全設(shè)備�����、重要應(yīng)用實施統(tǒng)一管理�、統(tǒng)一監(jiān)控���、統(tǒng)一審計����、協(xié)同防護,以充分發(fā)揮網(wǎng)絡(luò)安全防護系統(tǒng)的整體作用�����,提高網(wǎng)絡(luò)安全防護的等級和水平��。
5.1 系統(tǒng)組成
信息安全管理平臺由幾個模塊組成:人機界面模塊��、總控模塊�、安全網(wǎng)管模塊、安全監(jiān)控模塊�、安全審計模塊、安全策略處理模塊����、安全模塊、安全事件分析模塊����、安全事件響應(yīng)模塊、設(shè)備配置模塊��、平臺與設(shè)備接口模塊和安全管理數(shù)據(jù)庫����。系統(tǒng)的邏輯結(jié)構(gòu)如圖1所示���。
(1)人機界面模塊。面向安全管理員的操作控制界面�����。
(2)總控模塊��?���?偪啬K控制信息安全管理平臺各模塊正常運轉(zhuǎn),其中包括網(wǎng)絡(luò)通信和通信加密程序����,用于保障網(wǎng)絡(luò)間遠程數(shù)據(jù)交換的安全(主要是真實性和完整性)。
(3)安全網(wǎng)管模塊��。用于顯示網(wǎng)絡(luò)拓?fù)洳⑦M行安全網(wǎng)管�。
(4)安全監(jiān)控模塊����。用于對網(wǎng)絡(luò)主機和網(wǎng)絡(luò)設(shè)備進行安全監(jiān)控。
(5)安全審計模塊�����。接受操作系統(tǒng)或下一級安全管理平臺發(fā)來的安全日志;接收主機���、防火墻���、IDS等網(wǎng)絡(luò)安全設(shè)備發(fā)來的報警信息;接收網(wǎng)絡(luò)出口探針記錄的網(wǎng)絡(luò)數(shù)據(jù)流信息����,存儲并實時進行內(nèi)容審計。安全審計的方式有三種:基于規(guī)則和特征的安全檢測�����,基于數(shù)據(jù)流的安全檢測�����,基于特定場景深度數(shù)據(jù)挖掘的安全檢測���。審計的結(jié)果:啟動報警系統(tǒng)和產(chǎn)生安全態(tài)勢報表�。
(6)安全策略處理模塊。自動將安全策略翻譯成安全設(shè)備可執(zhí)行的規(guī)則����。
(7)安全模塊。安裝在網(wǎng)絡(luò)客戶機(服務(wù)器�����、終端)操作系統(tǒng)中�����,與安全管理平臺上的安全監(jiān)控模塊配合使用�。其作用是用于接收安全管理平臺發(fā)來的監(jiān)控指令和審計規(guī)則;監(jiān)視客戶機的工作狀態(tài)�;根據(jù)規(guī)則進行安全過濾和記錄;將安全記錄實時發(fā)回至安全管理平臺���。
(8)安全事件關(guān)聯(lián)分析模塊�。將所有收集到的安全事件按其對系統(tǒng)安全的危害程度等級進行重要性排隊�,然后調(diào)閱安全專家知識庫,對事件進行基于規(guī)則的實時關(guān)聯(lián)分析�,該模塊可引入大數(shù)據(jù)的歷史關(guān)聯(lián)分析能力,以提升關(guān)聯(lián)的可信度�。最終將分析結(jié)果(關(guān)聯(lián)要素)和處理規(guī)則,提交安全事件響應(yīng)模塊或管理員處理����。
(9)安全事件響應(yīng)模塊。按預(yù)先制定的安全事件處理規(guī)則(應(yīng)急預(yù)案)對事件自動進行安全處置��。
(10)系統(tǒng)配置模塊��。對IDS/IPS��、防火墻����、內(nèi)容監(jiān)測、主機等安全系統(tǒng)設(shè)備或模塊進行安全和審計規(guī)則的配置���。
(11)平臺與設(shè)備接口模塊��。實現(xiàn)信息安全管理平臺與各類網(wǎng)絡(luò)安全產(chǎn)品之間的標(biāo)準(zhǔn)數(shù)據(jù)交換���。其流程是:各類安全產(chǎn)品將各自檢測到的安全日志通過接口模塊進行格式轉(zhuǎn)換后發(fā)給平臺安全事件收集模塊,供安全管理平臺分析處理��。平臺人機界面或安全事件響應(yīng)模塊發(fā)出的處置指令�����,通過接口模塊發(fā)給指定的安全設(shè)備,安全設(shè)備接到指令后按相應(yīng)安全策略執(zhí)行�����;信息安全管理平臺能夠管理的系統(tǒng)和設(shè)備有:防火墻��、IDS/IPS��、內(nèi)容監(jiān)測����、路由器、交換機��、網(wǎng)絡(luò)主機�。
(12)安全管理數(shù)據(jù)庫。安全管理數(shù)據(jù)庫是安全管理平臺運行的基礎(chǔ)資源���,主要存放從本級和下級網(wǎng)絡(luò)采集來的所有安全數(shù)據(jù)(包括日志數(shù)據(jù)�����、設(shè)備狀態(tài)數(shù)據(jù))����、安全策略數(shù)據(jù)、安全專家知識�����、網(wǎng)絡(luò)拓?fù)溥B接關(guān)系����、網(wǎng)絡(luò)中所有客戶機的詳細(xì)地址和安全管理平臺加工的各種報表數(shù)據(jù)等��。
5.2 主要功能
(1)網(wǎng)絡(luò)安全管理�。在各級安全管理平臺上動態(tài)顯示本級局域網(wǎng)當(dāng)前網(wǎng)絡(luò)拓?fù)洌鶕?jù)策略�����,適時改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)�����。動態(tài)顯示網(wǎng)絡(luò)設(shè)備(路由器�、交換機、服務(wù)器���、終端)的在線狀態(tài)����、參數(shù)配置,及時發(fā)現(xiàn)系統(tǒng)結(jié)構(gòu)變化情況和非授權(quán)聯(lián)網(wǎng)的情況����,并予以響應(yīng)。
①自動識別網(wǎng)絡(luò)中主機的IP���、機器名稱和MAC地址�����。
②按部門對設(shè)備(交換機�、路由器)����、主機和人員進行管理。
③通過系統(tǒng)提供的智能學(xué)習(xí)功能����,自動識別網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)。
④自動生成網(wǎng)絡(luò)拓?fù)鋱D(該網(wǎng)絡(luò)的真實物理聯(lián)接結(jié)構(gòu)圖)����,并能動態(tài)顯示當(dāng)前的網(wǎng)絡(luò)狀態(tài)�����,如圖2所示�。
⑤動態(tài)顯示主機的當(dāng)前狀態(tài)�,如合法使用(如IP和MAC地址的配對�,已登記注冊的合法主機)、非法使用(如IP和MAC地址隨意更改) ��、關(guān)機�����、不通或故障����、未登記主機的入網(wǎng)使用等。
⑥可以自動發(fā)現(xiàn)入侵的主機�����,并關(guān)閉其網(wǎng)絡(luò)連接端口�。
⑦提供主機與設(shè)備端口的綁定��。
⑧提供網(wǎng)絡(luò)邏輯圖(顯示設(shè)備之間的連接關(guān)系)��、網(wǎng)絡(luò)拓?fù)鋱D(顯示整個網(wǎng)絡(luò)中所有設(shè)備����、主機及其連接關(guān)系)和組織結(jié)構(gòu)圖(顯示該單位的組織結(jié)構(gòu))���,可以方便地在三種不同的顯示方式之間切換�����,便于網(wǎng)絡(luò)安全管理員全面掌握和操控整個網(wǎng)絡(luò)��;在網(wǎng)絡(luò)拓?fù)鋱D中可以拖動設(shè)備(交換機��、路由器�����、集線器)改變其相對位置�����;進行文字和分組標(biāo)注����;改變設(shè)備與設(shè)備、設(shè)備與主機之間的連接關(guān)系�����;還可以由系統(tǒng)對所有設(shè)備����、主機進行自動排列。
(2)網(wǎng)絡(luò)監(jiān)控管理��。安全管理平臺上的網(wǎng)絡(luò)安全管理與監(jiān)控功能���,可根據(jù)制定的安全策略,對受控主機進行安全控制����。
①對受控機進行主機屏幕監(jiān)視或控制(接管)功能。
②對受控機部分或全部文件進行訪問控制����,即對文件的訪問,不僅要通過系統(tǒng)的認(rèn)證�����,還必須通過網(wǎng)絡(luò)安全管理與監(jiān)控系統(tǒng)的認(rèn)證才能訪問。
③對受控機網(wǎng)絡(luò)訪問進行通斷控制���。
④對受控機無線上網(wǎng)進行阻斷控制�����。
⑤對受控機的打印機���、USB移動設(shè)備進行允許和阻斷控制。
⑥對受控機的進程進行監(jiān)控���,可以控制指定進程的加載�。
⑦對受控機的internet訪問進行基于IP和DNS的詳細(xì)控制�����,提供Internet網(wǎng)絡(luò)監(jiān)控����。
(3)網(wǎng)絡(luò)安全設(shè)備管理。在各級安全管理平臺上,根據(jù)安全策略�����,對本級局域網(wǎng)設(shè)置的防火墻�、IDS/IPS等進行參數(shù)配置,并適時監(jiān)測安全設(shè)備的運行狀態(tài)����,以便及時處理。
(4)策略執(zhí)行管理���。根據(jù)安全策略生成的安全規(guī)則��,通過管理平臺向所有網(wǎng)絡(luò)系統(tǒng)中安全設(shè)備和主機用戶�,實現(xiàn)對網(wǎng)絡(luò)設(shè)備���、網(wǎng)絡(luò)客戶機、安全設(shè)備及主要應(yīng)用系統(tǒng)進行控制的目的����。
安全策略處理模塊功能有:對中層安全策略提供的形式化語言進行程序處理,輸出安全設(shè)備安全規(guī)則配置表����;安全管理員通過安全管理平臺設(shè)備配置界面手工配置安全規(guī)則配置表���;將安全規(guī)則配置表通過網(wǎng)絡(luò)發(fā)給安全設(shè)備并執(zhí)行;安全管理平臺也可直接對網(wǎng)絡(luò)中的受控客戶機進行安全規(guī)則配置�����。
(5)審計管理��。審計數(shù)據(jù)的獲取有四條渠道:各客戶機上的模塊發(fā)來的內(nèi)網(wǎng)安全事件實時報警和安全日志信息���;不同廠家安全產(chǎn)品(防火墻��、IDS等)發(fā)來的安全事件報警和安全日志信息�;下級安全管理平臺發(fā)來的安全日志和網(wǎng)絡(luò)探針發(fā)來的網(wǎng)絡(luò)數(shù)據(jù)流信息���。緊急安全事件報警信息通過安全事件分析和響應(yīng)模塊實時處理�。 安全日志直接存入安全日志數(shù)據(jù)庫�����。網(wǎng)絡(luò)數(shù)據(jù)流存入盤陣中����,供事后歷史數(shù)據(jù)關(guān)聯(lián)分析和部分實時處理����。
在各級安全管理平臺上的審計管理包括:對本級局域網(wǎng)絡(luò)系統(tǒng)中的設(shè)備(包括 路由器��、交換機�、服務(wù)器、數(shù)據(jù)庫���、客戶機)根據(jù)預(yù)先制定的審計規(guī)則產(chǎn)生的故障����、訪問����、配置、外設(shè)的報警信息和安全日志進行審計�;對本級局域網(wǎng)絡(luò)安全防護設(shè)備(包括 防火墻、IDS/IPS)及主要應(yīng)用系統(tǒng)等在運行中產(chǎn)生的安全日志�����,進行采集�、分析;上級安全管理平臺有選擇的抽取下級的安全事件進行審計�,對嚴(yán)重的安全事件及時督促下級采取相應(yīng)措施及時整改;對本級局域網(wǎng)中的進出口數(shù)據(jù)流進行記錄和實時異常檢測���。
審計內(nèi)容涉及十個方面��。
①對受控機文件按IP地址�、操作時間�、操作類型、操作內(nèi)容����、用戶名、機器名等進行審計�。
②對受控機進行基于IP(源IP、目的IP)和DNS的internet訪問審計�,審計內(nèi)容為源IP、目的IP����、訪問時間、協(xié)議�、服務(wù)和訪問內(nèi)容等。
③對受控機進行程序和服務(wù)的安裝與卸載進行審計�,審計內(nèi)容為IP地址���、操作時間、操作類型�����、程序(服務(wù))名�、操作用戶名等。
④對受控機進行本地用戶登錄審計�����,審計內(nèi)容為IP地址�����、登錄時間�����、退出時間�����、登錄用戶名等��。
⑤對受控機的打印機使用進行審計�����,審計內(nèi)容為IP地址�����、打印時間����、打印機名稱、文檔名稱和用戶名等�。
⑥對受控機的USB移動存儲設(shè)備使用進行審計,審計內(nèi)容為IP地址��、時間�、外設(shè)名稱、狀態(tài)等�����。
⑦對受控機的盤符狀態(tài)進行審計���,審計內(nèi)容為IP地址����、時間、盤符�����、狀態(tài)等���。
⑧對受控機的進程狀況進行審計����,即受控機使用程序的狀況�����。
⑨對IDS/IPS探測到的非法入侵事件進行審計��。
⑩對網(wǎng)絡(luò)探針發(fā)來的數(shù)據(jù)流進行審計����。
安全管理員可通過系統(tǒng)隨時調(diào)閱安全日志、網(wǎng)絡(luò)狀態(tài)以及網(wǎng)絡(luò)流量等信息��,并進行統(tǒng)計查詢。這些信息是事后了解和判斷網(wǎng)絡(luò)安全事故的寶貴資料�。
(6)網(wǎng)絡(luò)病毒監(jiān)控管理。在各級安全管理平臺上��,建立病毒集中管理監(jiān)控機制�����,實現(xiàn)網(wǎng)絡(luò)病毒的監(jiān)控與管理����。防病毒系統(tǒng)應(yīng)包括單機版�、網(wǎng)絡(luò)版和防病毒網(wǎng)關(guān),在信息安全管理平臺上對本級網(wǎng)絡(luò)節(jié)點的防病毒運行情況進行監(jiān)控�����,如防病毒庫�����、掃描引擎更新日期����、系統(tǒng)配置等。具體實現(xiàn):確保防病毒策略統(tǒng)一部署�����,統(tǒng)一實施,保證防病毒體系執(zhí)行相同的安全策略�,防止出現(xiàn)病毒安全防御中的漏洞;保證系統(tǒng)管理員了解整體防病毒體系的工作狀態(tài)����,從整體防控的高度掌握病毒入侵的情況,從而采取必要的措施�����,及時提供新的防病毒升級庫���;通過信息安全管理平臺提供的信息�,與防病毒廠商保持熱線聯(lián)系與技術(shù)支持���。
(7)應(yīng)用系統(tǒng)監(jiān)測���。信息安全建設(shè)的一個重要內(nèi)容是確保網(wǎng)上關(guān)鍵業(yè)務(wù)的可靠性、可信性��、可用性。因此��,對網(wǎng)上關(guān)健業(yè)務(wù)的監(jiān)測記錄非常重要����,主要體現(xiàn)在四個方面:監(jiān)測記錄關(guān)鍵業(yè)務(wù)系統(tǒng)在網(wǎng)絡(luò)中會話過程,可以幫助分析有無非法插入�、偽裝的業(yè)務(wù)會話;阻止偽裝的業(yè)務(wù)會話與關(guān)鍵業(yè)務(wù)交互�,確保業(yè)務(wù)流程的可信性���;監(jiān)測分析關(guān)鍵業(yè)務(wù)會話過程的響應(yīng)與交互時間�,找出影響關(guān)鍵業(yè)務(wù)系統(tǒng)網(wǎng)上運行效率的問題�,確保業(yè)務(wù)流程的可用性;應(yīng)用系統(tǒng)的監(jiān)測主要通過內(nèi)容監(jiān)測系統(tǒng)和網(wǎng)絡(luò)探頭實現(xiàn)�。
(8)安全事件處理。信息安全管理平臺上收到IDS/IPS���、防火墻和網(wǎng)絡(luò)受控主機發(fā)來的安全事件時�����,將其打入事件隊列�����。事件隊列依據(jù)等級排隊后����,則交給安全事件關(guān)聯(lián)分析模塊,使用專家知識或決策分析算法對事件進行關(guān)聯(lián)分析并按預(yù)案和規(guī)則給出處置策略�,然后交給安全事件響應(yīng)模塊進行自動化智能處理或交給安全管理員處理。
6 系統(tǒng)應(yīng)用模型
(1)分布式多層次的管理結(jié)構(gòu)�����。由于大多數(shù)網(wǎng)絡(luò)是一個多層次的樹狀網(wǎng)絡(luò)系統(tǒng)��,結(jié)構(gòu)復(fù)雜�、分布范圍寬、網(wǎng)絡(luò)客戶機多���,所以應(yīng)按照分布式多層次的管理結(jié)構(gòu)進行安全管理�,如圖3所示���,某單位網(wǎng)絡(luò)假設(shè)三級網(wǎng)絡(luò)安全管理中心�,每個中心設(shè)一臺安全管理平臺���,遂行本級網(wǎng)絡(luò)的安全管理���。上級管理中心通過安全管理平臺將必要的安全策略����,標(biāo)準(zhǔn)和協(xié)議信息下傳給下級管理中心��。上級管理中心也可通過安全管理平臺獲取下級管理中心的審計信息���。如上級的安全管理平臺通過網(wǎng)絡(luò)可調(diào)看下級的網(wǎng)絡(luò)拓?fù)浜桶踩录幹脠蟾?�,掌握下級的網(wǎng)絡(luò)安全狀況��。
(2)各級安全管理中心的數(shù)據(jù)傳輸模式。安全管理中心的安全數(shù)據(jù)上傳和下達采用C/S模式�,一般由上級管理中心提出申請,下級管理中心回應(yīng)����。因為就計算機網(wǎng)絡(luò)的安全防護系統(tǒng)實際運行狀況來看,總是要求下級管理中心上報的數(shù)據(jù)多于上級管理中心向下傳達的數(shù)據(jù)��。為了保證數(shù)據(jù)傳輸?shù)膶崟r準(zhǔn)確�����,以上級管理中心為Server,下級管理中心為Client����。下級管理中心是多對一的數(shù)據(jù)交流模式。對于上級管理中心下傳數(shù)據(jù)��,采取下級管理中心的數(shù)據(jù)庫按時輪訊的方式實現(xiàn)���。
當(dāng)安全管理中心多于兩級時�,數(shù)據(jù)傳輸模式如圖4所示���。
(3)安全數(shù)據(jù)交換的一致性保證�����。為保證安全管理中心之間數(shù)據(jù)交換的一致性���,采用事務(wù)提交與時間標(biāo)簽相結(jié)合的方式來實現(xiàn)。安全數(shù)據(jù)的事務(wù)提交:由于上下級之間是跨區(qū)域的遠程傳輸�����,為保證數(shù)據(jù)的完整性,采用數(shù)據(jù)的事務(wù)提交方式來處理��,每一次傳輸?shù)臄?shù)據(jù)將是一個整體事件的所有數(shù)據(jù)�����,這樣就能保證數(shù)據(jù)的完整性����。反之,則必須重傳���。為了處理重傳同步和上下級之間的一致性��,我們?yōu)槊恳粋€事務(wù)加一個時間標(biāo)簽�,即每次傳輸完一個事務(wù)的所有數(shù)據(jù)時同時加傳一個時間標(biāo)簽記錄���。這個記錄至少應(yīng)有如下幾項:日期時間、事務(wù)名��、該事務(wù)的記錄數(shù)�。
收方當(dāng)收到這個時間標(biāo)簽后, 則表明一個事務(wù)的數(shù)據(jù)傳輸結(jié)束��,則可以更新數(shù)據(jù),同時將此時間標(biāo)簽保存下來����,并回發(fā)一個確認(rèn)包。發(fā)送方如收到這個包�,則認(rèn)為上級中心已更新了這個事務(wù)的數(shù)據(jù),就從時間標(biāo)簽隊列里清除掉這個時間標(biāo)簽��。
上述過程已完整地表述了異地數(shù)據(jù)一致性分布的實現(xiàn)方法�����,如圖5所示���。
7 系統(tǒng)安全管理流程
信息安全管理平臺的安全管理貫穿整個信息系統(tǒng)運行過程�,包括事前���、事中����、事后等過程���。
(1)信息系統(tǒng)運行前��。安全管理平臺對信息系統(tǒng)的安全管理��,從實施前的安全策略的制定�、風(fēng)險評估分析、系統(tǒng)安全加固以及對實施人員進行安全訓(xùn)練就已經(jīng)開始�����,保證在已有的安全防護體系條件下對系統(tǒng)存在的安全隱患和將實施的安全策略心中有數(shù)��。
(2)信息系統(tǒng)運行中����。在系統(tǒng)運行過程中,對網(wǎng)絡(luò)中的各種主機���、安全設(shè)備實施全程安全監(jiān)控���,安全運行日志同時進行詳細(xì)的記錄,在系統(tǒng)發(fā)生安全事件時��,根據(jù)事件等級進行排隊��,安全管理平臺實時調(diào)用相應(yīng)的事件處理機制�。事件的處理機制見事件處理流程如圖6所示。
(3)信息系統(tǒng)運行后����。定期組織進行安全自查,消除安全隱患�����。通過分析系統(tǒng)運行的狀況(包括性能分析��、日志跟蹤����、故障出現(xiàn)概率統(tǒng)計等),提出新的安全需求�����,進行技術(shù)改進����,包括系統(tǒng)升級、加固和變更管理���。
(4)安全事件管理方式和處理流程��。
自動處理: 將預(yù)案中的安全事件及其處理辦法(如系統(tǒng)弱點漏洞���、惡意攻擊特征���、病毒感染特征、網(wǎng)絡(luò)故障和違規(guī)操作���、防火墻與IDS聯(lián)動���、沙箱模擬運行等)存入安全知識庫并形成相應(yīng)的處理規(guī)則,當(dāng)相應(yīng)事件出現(xiàn)時���,系統(tǒng)將根據(jù)處理規(guī)則進行自動處理���。
人工干預(yù)處理:根據(jù)情況的需要,也可在信息安全管理平臺上按事件級別進行人工干預(yù)處理�����,主要包括技術(shù)咨詢��、數(shù)據(jù)恢復(fù)、系統(tǒng)恢復(fù)���、系統(tǒng)加固、現(xiàn)場問題處理����、跟蹤攻擊源、處理報告提交等��。
遠程處理:當(dāng)安全管理員從管理平臺的拓?fù)鋱D上觀察到安全事件發(fā)生時或收到下級轉(zhuǎn)交的要求協(xié)助解決的安全事件時���,除了直接提供處理方案給對方外����,還可以通過遠程操作直接對發(fā)生安全事件的系統(tǒng)進行診斷和處理�。
決策分析處理:決策分析模塊預(yù)先收集、整理安全事件的資料��,組織安全專家根據(jù)事件類型����、出現(xiàn)事件的設(shè)備、事件發(fā)生的頻繁度����、事件的危害程度等因素列出等級�、層次并打分����,列出判斷矩陣,運用層次分析法求解判斷矩陣���,分別計算出各因素的權(quán)重值�,一并存入專家知識庫中��。運行時將調(diào)用專家知識庫對實時收到的系統(tǒng)安全事件進行判斷和計算�����,如果是單條事件根據(jù)預(yù)案直接處置��,多條事件則求出組合權(quán)重值并對事件排隊����,系統(tǒng)根據(jù)事件重要程度依據(jù)預(yù)案依次處置。
安全系統(tǒng)聯(lián)動處理:安全事件響應(yīng)模塊根據(jù)安全事件關(guān)聯(lián)分析模塊發(fā)來的安全事件關(guān)聯(lián)要素調(diào)用應(yīng)急預(yù)案庫進行安全設(shè)備聯(lián)動處理����,如收到IDS檢測到某協(xié)議某端口有DDOS攻擊�,依據(jù)預(yù)案將發(fā)送安全規(guī)則給總出口的防火墻����,及時關(guān)閉該協(xié)議和端口。以實現(xiàn)一體化安全管理�����。
記錄和事后處理:信息安全管理平臺在信息系統(tǒng)運行時收集并記錄所有的安全事件和報警信息����,這些事件和信息將作為事后分析的依據(jù)���。
8 關(guān)鍵技術(shù)及設(shè)計思路
一個系統(tǒng)是否先進和實用�����,關(guān)鍵是系統(tǒng)的設(shè)計思想和所應(yīng)用的技術(shù)���。為了使下一代信息安全管理平臺具有創(chuàng)新性,我們提出了“應(yīng)用大數(shù)據(jù)挖掘及分析技術(shù)”和“重點防御AET和APT”的設(shè)計思想�,并且應(yīng)用了多方面的先進技術(shù)。
在本系統(tǒng)中���,采用了幾項技術(shù):形式化語言翻譯技術(shù)�����;安全產(chǎn)品數(shù)據(jù)交換標(biāo)準(zhǔn)����;安全事件決策分析技術(shù);高性能數(shù)據(jù)采集器���;安全事件的關(guān)聯(lián)分析��;大數(shù)據(jù)挖掘分析�;AET和APT檢測技術(shù)�。
(1)安全產(chǎn)品數(shù)據(jù)交換標(biāo)準(zhǔn)。為市場上的安全產(chǎn)品(如防火墻���、IDS/IPS�、漏洞掃描����、安全審計和防病毒產(chǎn)品等)制定數(shù)據(jù)交換標(biāo)準(zhǔn)。為此����,所有安全產(chǎn)品都必須清楚地描述幾方面內(nèi)容(BNF描述法):
::=
::=||
::=|
::=||||
::=||||
::=||||
::=||||
(2)高性能數(shù)據(jù)采集器����。高性能數(shù)據(jù)采集器也叫探針���,是信息內(nèi)容監(jiān)測系統(tǒng)和大數(shù)據(jù)安全分析的前端設(shè)備���,該設(shè)備性能的好壞直接影響系統(tǒng)的功能和性能�。如法國GN Fastnet C Probe硬件設(shè)備,該設(shè)備的特點是:直接嵌入需要監(jiān)測的網(wǎng)絡(luò)���;不損失網(wǎng)絡(luò)性能與效率�����,能夠適應(yīng)多種網(wǎng)絡(luò)環(huán)境���,能夠采集多種協(xié)議下的數(shù)據(jù)流信息;全線速采集數(shù)據(jù)100M
利用該設(shè)備作為信息內(nèi)容監(jiān)測系統(tǒng)和大數(shù)據(jù)安全分析的數(shù)據(jù)采集設(shè)備��,能夠適應(yīng)多種類型的網(wǎng)絡(luò)接口:局域網(wǎng)��、企業(yè)網(wǎng)、廣域網(wǎng)�、快速以太網(wǎng)等,它的高性能的數(shù)據(jù)采集能力�����,極大地降低了系統(tǒng)數(shù)據(jù)采集的漏包率���。
(3)安全事件的關(guān)聯(lián)分析�����。對包含安全事件的數(shù)據(jù)流進行分析����,如果是結(jié)構(gòu)化數(shù)據(jù)可在基于經(jīng)驗知識����,人工建立的規(guī)則和模型基礎(chǔ)上,進行簡單的關(guān)聯(lián):安全事件與用戶身份的關(guān)聯(lián)分析實現(xiàn)安全事件到“人”的定位�;安全事件與系統(tǒng)脆弱性信息的關(guān)聯(lián)分析實現(xiàn)安全事件危害程度的正確評估;安全事件與威脅源關(guān)聯(lián)分析提高評估安全事件的級別和緊急程度的可信度����;多個安全事件的關(guān)聯(lián)分析���,聚焦安全事件的連鎖危害,提升安全事件的嚴(yán)重級別和緊急程度�����;泄密安全事件與身份信息的關(guān)聯(lián)實現(xiàn)泄密源的真正定位��;安全事件自身關(guān)聯(lián)實現(xiàn)安全事件活動場景的全展現(xiàn)�;安全事件與流量樣本數(shù)據(jù)關(guān)聯(lián)分析,判斷安全事件的性質(zhì)(是否AET或APT攻擊)�。
(4)大數(shù)據(jù)挖掘和分析。目前的大數(shù)據(jù)分析主要有兩條技術(shù)路線���,一是憑借先驗知識人工建立數(shù)學(xué)模型,二是通過建立人工智能系統(tǒng)���,使用大量樣本數(shù)據(jù)進行訓(xùn)練����,讓機器代替人工獲得從數(shù)據(jù)中提取知識的能力��。
由于AET和APT攻擊的數(shù)據(jù)包大部是非結(jié)構(gòu)化或半結(jié)構(gòu)化數(shù)據(jù)���,模式不明且多變���,因此難以靠人工建立數(shù)據(jù)模型去挖掘其特征����,只能通過人工智能和機器學(xué)習(xí)技術(shù)進行分析判斷�。
應(yīng)用大數(shù)據(jù)挖掘和分析新型網(wǎng)絡(luò)攻擊的思路:通過大數(shù)據(jù)解決方案將相關(guān)歷史數(shù)據(jù)(攻擊流量)保存下來,通過人工智能軟件來分析這些樣本并提取相應(yīng)的知識���,將疑似AET和APT攻擊的異常樣本知識存入專家知識庫����。
大數(shù)據(jù)挖掘和分析在平臺中主要用于分析與檢測:流量異常分析��,行為異常分析�,內(nèi)容異常分析,日志與網(wǎng)絡(luò)數(shù)據(jù)流的關(guān)聯(lián)分析�����,威脅與脆弱性的關(guān)聯(lián)分析�,基于正常的安全基線模型檢測異常事件。
(5)AET和APT檢測判斷技術(shù)。未知威脅最典型也是最難檢測的屬AET和APT�,所以新一代信息安全管理平臺中的IDS/IPS和防火墻必須包括不斷更新的AET庫,專家知識庫中應(yīng)包括APT攻擊樣本知識��,因為AET和APT用傳統(tǒng)的威脅攻擊特征庫根本無法比對發(fā)現(xiàn)����。AET主要通過先進的AET知識庫進行合規(guī)性判別,其核心的先進檢測技術(shù)主要包括“對全協(xié)議層數(shù)據(jù)流進行解碼和規(guī)范化”���,“基于規(guī)范化的逃避技術(shù)清除”�,“基于應(yīng)用層數(shù)據(jù)流的特征檢測” �。
APT可以通過多種手段進行分析檢測:收集來自IT系統(tǒng)的各種信息,如圖8所示��。
基于流量統(tǒng)計的檢測���。記錄關(guān)鍵節(jié)點的正常網(wǎng)絡(luò)通信數(shù)據(jù)包樣本�����,以樣本特征檢測為輔異常檢測為主,通過異常檢測發(fā)現(xiàn)未知的入侵����。
沙盒分析與入侵指標(biāo)確認(rèn)�。將疑似APT數(shù)據(jù)包組裝好�,放入沙盒(緩存)中模擬運行(引爆)并與入侵指標(biāo)(活動進程、操作行為��、注冊表項等)比對加以驗證�。
9 安全管理數(shù)據(jù)庫系統(tǒng)的設(shè)計
(1)數(shù)據(jù)組織與分類。根據(jù)信息安全管理平臺的需求�����,安全管理數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)內(nèi)容包括:管理信息�����、網(wǎng)管信息�、安全審計、專家知識四類十余種數(shù)據(jù)格式����。安全管理數(shù)據(jù)庫系統(tǒng),是以四類數(shù)據(jù)為處理對象�����,實現(xiàn)對信息安全管理平臺數(shù)據(jù)的積累、存貯管理�����、更新���、查詢及處理功能的數(shù)據(jù)庫應(yīng)用系統(tǒng)�。經(jīng)過數(shù)據(jù)庫設(shè)計�����,安全管理數(shù)據(jù)庫系統(tǒng)的四類十余種數(shù)據(jù)格式�,規(guī)范分解為包括10余種關(guān)系結(jié)構(gòu)的關(guān)系模型,在此基礎(chǔ)上可根據(jù)用戶應(yīng)用要求設(shè)計多種格式的審計報表�����。
(2)數(shù)據(jù)庫結(jié)構(gòu)框圖��。通過上述信息安全管理平臺的設(shè)計思路簡介�����,可以大致了解新一代信息安全管理平臺的工作過程和在網(wǎng)絡(luò)安全管理上發(fā)揮的作用��,我們希望早日看到擁有自主知識產(chǎn)權(quán)的國產(chǎn)信息安全管理平臺在我國重要信息系統(tǒng)的網(wǎng)絡(luò)安全管理上發(fā)揮重要的作用�。
【注1】 AET(Advanced Evasion Techniques),有的文章譯為高級逃避技術(shù)�、高級逃逸技術(shù),筆者認(rèn)為譯為高級隱遁技術(shù)比較貼切�����,即說明采用這種技術(shù)的攻擊不留痕跡��,又可躲避IDS�����、IPS的檢測和阻攔�。
【注2】 APT(Advanced Persistent Threat)直譯為高級持續(xù)性威脅。這種威脅的特點��,一是具有極強的隱蔽能力和很強的針對性����;二是一種長期而復(fù)雜的威脅方式。它通常使用特種攻擊技術(shù)(包括高級隱遁技術(shù))對目標(biāo)進行長期的���、不定期的探測(攻擊)�����。
參考文獻
[1] 信息安全管理平臺的設(shè)計[J].計算機安全��,2003年第12期.
[2] CNGate 下一代高智能入侵防御系統(tǒng).北京科能騰達信息技術(shù)有限公司�����,2012年8月.
[3] 高級隱遁技術(shù)對當(dāng)前信息安全防護提出的嚴(yán)峻挑戰(zhàn)[J].計算機安全���,2012年第12期.
[4] 高級隱遁攻擊的技術(shù)特點研究[J].計算機安全�����,2013年第3期.
[5] 星云多維度威脅預(yù)警系統(tǒng)V2.0.南京翰海源信息技術(shù)有限公司�,2013年12月.
[6] 我國防護特種網(wǎng)絡(luò)攻擊技術(shù)現(xiàn)狀[J].信息安全與技術(shù)����,2014年第5期.
[7] 大數(shù)據(jù)白皮書2014年.工業(yè)和信息化部電信研究院,2014年5月.
[8] 提高對新型網(wǎng)絡(luò)攻擊危害性的認(rèn)識 增強我國自主安全檢測和防護能力[J].信息安全與技術(shù)���,2014年第10期.
[9] CNGate-SIEM 安全信息事件管理平臺.北京科能騰達信息技術(shù)有限公司����,2015年6月.
第8篇
(沈陽大學(xué)經(jīng)濟學(xué)院,遼寧沈陽110041)
摘 要:地方財政收入質(zhì)量的評價的核心問題是指標(biāo)評價體系的構(gòu)建���,這個體系應(yīng)包括合法性指標(biāo)、合理性指標(biāo)和真實性指標(biāo)三個部分����,運用這些指標(biāo)對沈陽的財政收入評價的結(jié)果對遼寧乃至全國的財政收入質(zhì)量情況分析都有一定的意義。沈陽財政收入存在著總量���、構(gòu)成及執(zhí)法方式不合理等情況�����,應(yīng)采取加強地方財源建設(shè)���,適當(dāng)減輕工商企業(yè)的稅費,預(yù)防和化解地方財政風(fēng)險����,減少稅收執(zhí)法中的隨意性,打擊財政收入“注水”現(xiàn)象等措施��。
關(guān)鍵詞 :地方財政收入質(zhì)量�����;評價指標(biāo);構(gòu)建��;運用
中圖分類號:F812文獻標(biāo)志碼:A文章編號:1000-8772(2014)22-0103-02
收稿日期:2014-05-19
基金項目:論文為2014年度遼寧省社科聯(lián)遼寧經(jīng)濟社會發(fā)展立項課題“地方財政收入質(zhì)量評價指標(biāo)體系的構(gòu)建及優(yōu)化研究——以遼寧為例”(主持人沈陽大學(xué)李忠華����,項目批號2014lslktzilljj-02)”的系列階段性成果(1)。
作者簡介:李忠華(1965-)�����,男���,吉林九臺人�,教授����,碩士生導(dǎo)師,研究方向:稅收理論與實務(wù)�;霍奕彤(1988-),女����,吉林吉林人�,在讀研究生�,研究方向:稅收理論與實務(wù)。
所謂的財政收入質(zhì)量是指財政收入的合法性����、合理性和真實性,以及財政職能在組織收入中實現(xiàn)的程度�����。有關(guān)地方財政收入質(zhì)量評問題的研究成果很多����,但對于能夠指導(dǎo)實踐的仍顯不足���,應(yīng)研究構(gòu)建全新的地方財政收入質(zhì)量的評價指標(biāo)評價體系����,以供實際部門使用�。本文從合法性、合理性和真實性三個方面構(gòu)建這個指標(biāo)體系��,并以沈陽為例進行分析評價�����,最后提出相應(yīng)的建議。
一��、地方財政收入質(zhì)量評價的必要性
(一)財政收入的質(zhì)量是政府管理和服務(wù)質(zhì)量的保證
合法性收入下的生活才是高質(zhì)量的�。近年來,我省經(jīng)濟運行態(tài)勢良好����,收入質(zhì)量不斷改善。這與我省一直堅持依法治稅���、嚴(yán)格征管����、應(yīng)收盡收有著密切的聯(lián)系�,從而確保了財政收入的平穩(wěn)增長。具體體現(xiàn)在兩具方面:一是積極培植財源��,促進稅收收入平穩(wěn)較快增長��。二是強化非稅收入管理����,提高財政收入質(zhì)量��。繼續(xù)加大對收費項目的清理整頓力度�����,取消不合法的行政事業(yè)性收費項目��,嚴(yán)禁違規(guī)越權(quán)設(shè)立收費項目����。
(二)財政收入的取得方式影響著經(jīng)濟社會發(fā)展
近些年來��,地方政府的非稅收入增加較多����,并快于稅收的增加�,使得地方財政收入與地方可用財力不同步。因為非稅收入大都在財政上列收列支�,有專項用途,真正體現(xiàn)在地方政府財力上用于正常支出的部分并不多����。由此造成地方財政收入的增長并未帶來地方實際可用財力的同步增長。這種看起來很可觀的地方財政收入的“量”,由于沒有較好的“質(zhì)”�����,并沒有使地方財政困難狀態(tài)得以改善����。許多地方的收費收入快速增長,甚至出現(xiàn)了收費收入增長超過稅收收入增長的不正?�,F(xiàn)象�����。收費收入的過度擴張嚴(yán)重地抑制了稅收收入的正常增長���。
(三)政府取得財政收入的執(zhí)法行為具有導(dǎo)向效應(yīng)
政府行為對私人具有導(dǎo)向效應(yīng)����。主要是通過稅收��,稅收是對居民收入分配之后的再分配����,比如企業(yè)和個人的所得稅�����,就是在個人勞動所得和企業(yè)經(jīng)營利潤分配的基礎(chǔ)上�,在進行一次由政府參與并主導(dǎo)的分配�����。政府的稅收收的多���,個人或企業(yè)實際收入就少���,反之亦然,從而對國民收入有影響��。另外政策導(dǎo)向性的分配�����,比如對一些鼓勵的行業(yè)給予財政補貼或者稅收優(yōu)惠����,而對于限制性的則征收高稅率�����,收取相關(guān)行政性費用等。
二���、地方財政收入質(zhì)量評價指標(biāo)體系的構(gòu)建
就地方財政收入質(zhì)量評價體系指標(biāo)而言����,目標(biāo)不同�,指標(biāo)也會有一些差別,但總體而言應(yīng)從合法性��、合理性�、真實性三個維度來構(gòu)建這個指標(biāo)體系。具體包括:一是合法性分析���。如有無“收過頭稅”�����、“有稅下征”���、“寅吃卯糧”、“應(yīng)退不退”��、“應(yīng)減不減”等。二是合理性分析���。包括規(guī)模分析(財政收入總量)構(gòu)成分析(如財政收入占GDP比重�、稅收占財政收入的比例��、主稅收入占稅收收入的比例等)趨勢分析(如稅收增長率��、財政收入增長率�、財政收入增長彈性等)效果分析(如稅收收入產(chǎn)業(yè)比率、稅收收入行業(yè)比率等)等指標(biāo)����。三是真實性分析:如有無財政“空轉(zhuǎn)”和“買稅”等。
這些指標(biāo)在本文中分析運用是以遼寧省沈陽市2011年的數(shù)據(jù)為基礎(chǔ)�,進行分析評價,以便發(fā)現(xiàn)存在的問題��,并提出相應(yīng)的建議�。
三、地方財政收入質(zhì)量評價指標(biāo)的運用——以沈陽市為例
(一)總量分析及趨勢分析
依據(jù)沈陽市統(tǒng)計局2011年12月《沈陽統(tǒng)計月報》的數(shù)據(jù)����,2011年沈陽市地方稅收約占稅收總收入40%���,稅收約占財政總收入85%�,所以,沈陽財政負(fù)擔(dān)率約為24%(8.2%÷40%÷85%)左右���,較比同期副省級城市沈陽偏高�����。大部分地區(qū)稅收彈性都超過了2�����,大東區(qū)更是11�,平均稅收彈性2.1��,這個比例在副省級城市中相對偏高���。
(二)稅收收入構(gòu)成比例分析
依據(jù)沈陽市地稅局2011年《稅收收入分行業(yè)分稅種統(tǒng)計月報總表》的情況看�����,2011年沈陽市大部分地區(qū)非稅收入比例都超過20%����,全市24.2%,這個比例較比同期副省級城市相對偏高����。
(三)稅收產(chǎn)業(yè)構(gòu)成比例分析
還是依據(jù)沈陽市地稅局2011年《稅收收入分行業(yè)分稅種統(tǒng)計月報總表》的情況看,2011年沈陽市大部分地區(qū)“房地產(chǎn)+建筑業(yè)”稅收占比都超過40%���,有的區(qū)如于洪�、東陵達到60%以上���,地方稅收過于依賴房地產(chǎn)及相關(guān)產(chǎn)業(yè)����。
(四)第三產(chǎn)業(yè)稅負(fù)增長情況分析
依據(jù)遼寧省地方稅務(wù)統(tǒng)計��,遼寧省地方稅務(wù)局���,2007-2010年的統(tǒng)計數(shù)據(jù)分析���,2011年沈陽市第三產(chǎn)業(yè)稅收增長有限,特別是代表第三產(chǎn)業(yè)方向的現(xiàn)代服務(wù)業(yè)稅收所占比重沒有明顯提升�����,交通運輸��、金融和現(xiàn)代信息略有下降��,租憑和現(xiàn)代商業(yè)略有上升�����。
(五)行業(yè)稅負(fù)情況分析
2011年�,沈陽市裝備制造業(yè)中的電氣機械及器材制造業(yè)、儀器儀表及文化辦公用機械制造業(yè)�、金屬制品業(yè)、交通運輸設(shè)備制造業(yè)���、專業(yè)設(shè)備制造業(yè)五個行業(yè)工業(yè)增加值分別為1.19%���、2.18%、12.56%����、14.82%、13.57%�����,稅收增長率分別為12.84%、18.75%����、69.62%、58.43%����、24.83%,稅收彈性分別為10.80�、8.59、5.54�����、3.94����、1.83,而全國裝備制造業(yè)行業(yè)平均工業(yè)產(chǎn)值增長率��、稅收增長率����、稅收彈性分別為12.47%、36.27%、2.91��。
四����、結(jié)論及建議
(一)加強地方財源建設(shè)是提高地方財政收入質(zhì)量之本
2012年���,中央財政收入占總收入比重47%�。而在事權(quán)下移的情況下地方財政捉襟見肘��,網(wǎng)民有“中央財政喜氣洋洋�����,省市財政勉勉強強��,縣級財政拆東墻補西墻�����,鄉(xiāng)鎮(zhèn)財政哭爹喊娘”的順口溜��。應(yīng)加強地方財源建設(shè)��。減少對非稅收入和土地財政的過度依賴。
(二)“輕徭薄賦����,休養(yǎng)生息”是提高地方財政收入質(zhì)量之源
在古代,我國有“輕徭薄賦�����,休養(yǎng)生息”之說�����,西方經(jīng)濟學(xué)中著名的拉弗曲線�,演示著稅收與經(jīng)濟良性發(fā)展的關(guān)系。012年����,我國財政收入占GDP比重22.57%,如果加上政府預(yù)算外收入��、體制外收入�,許多人估計30%左右,而發(fā)展中國家平均20%-25%�。所以,應(yīng)適當(dāng)降低財政收入占GDP比重���。
(三)預(yù)防和化解地方財政風(fēng)險是提高地方財政收入質(zhì)量的重要措施
2012年��,我國地方本級收入61077億元�,地方本級財政支出106947億元,收支差額為45870億元���。另據(jù)來自審計暑的資料����,9個省會城市本級政府負(fù)有償還責(zé)任的債務(wù)率已超過100%�,最高達189%���。省會城市中債務(wù)壓力排名最高的10個為:高京����、成都�、廣州、合肥��、昆明��、長沙��、武漢、哈爾濱���、西安和蘭州�。所以應(yīng)采取措施�,加強地方財政風(fēng)險的監(jiān)督與控制。
(四)規(guī)范執(zhí)法�����,減少執(zhí)法隨意性是提高地方財政收入質(zhì)量的必然選擇
賦稅��,以法律法規(guī)做依據(jù)�����。實際中仍存在多種不依法征稅情形�����。包括征過頭稅�����、寅吃卯糧�����、應(yīng)退不退,應(yīng)優(yōu)惠不優(yōu)惠等�。如焦點訪談報的四川某地向當(dāng)?shù)剞r(nóng)民強征房產(chǎn)稅。河北河間稅務(wù)所按納稅人電費強征稅(每度電征0.9元)��,稅款可直接存在個人銀行卡�����。山東某地稅務(wù)機關(guān)直接將稅收任務(wù)轉(zhuǎn)包納稅務(wù)師事務(wù)所等�。尤其對基層稅務(wù)機關(guān)一些不依法、超標(biāo)準(zhǔn)隨意征收�,吃����、拿、卡�、要的現(xiàn)象應(yīng)采取強有力的措施進行治理,以源頭預(yù)防為主����,防管結(jié)合。
參考文獻:
[1]申益維.遼寧省財政收入結(jié)構(gòu)優(yōu)化研究[D].遼寧大學(xué)��,2013:23-28.
[2]彎海川.地方財政收入優(yōu)化與區(qū)域經(jīng)濟發(fā)展[M].東北財經(jīng)大學(xué)出版社,2011:235—240.
[3]遼寧省地方稅務(wù)局�,遼寧省地方稅務(wù)統(tǒng)計,2007-2010年.
