在線客服

大數據審計論文實用13篇

時間:2023-03-24 15:20:33

引論:我們為您整理了13篇大數據審計論文范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。

大數據審計論文

篇1

英國NFI通過大數據分析,不僅發現個案問題,還對同類問題的產生原因進行分析,促使相關部門和單位完善制度,堵塞漏洞,提高公共資金的使用效率和效益。近年來,隨著我國財經制度的不斷完善和加強,違反財經紀律、違法違規的問題得到了很大遏制,國家審計在繼續查處違法違規性問題的同時,也十分注重對公共財政資金使用績效進行審計。通過大數據集中分析平臺的關聯分析查詢,能夠從整體層面高效、便捷地發現諸如公共財政資金滯留的具體環節、時間;發現公共財政資金投向不符合產業政策導向;發現財政專項資金分配在地區和部門間存在的不均衡、不合理;發現財政投入的建設項目存在的進度滯后、效益與預期不符等問題。大數據提供的證據與審計抽查相比,能夠更加全面、客觀地反映某項公共財政資金產生的整體效果和存在問題。在此基礎上提出的審計意見和建議,更加充分、準確和有針對性,更能促使相關部門和單位完善制度、落實責任、加強管理,更好地實現公共財政資金的價值。

三、如何構建審計大數據平臺

1.通過立法為建立審計大數據集中分析平臺奠定基石。英國NFI的數據收集和分析工作是依據2008年7月21日修訂的數據配比法案進行的,法律授權使英國審計委員會將數據收集、整理、分析等工作成為常態,這是審計開展大數據分析的基石。目前,我國審計法授予了審計機關在審計期間獲取被審計單位數據的權力,但是審計項目是單個開展的,各被審計單位之間的數據不能完全地相互關聯,形成了一個個數據孤島;并且,審計項目一結束,被審計單位就不愿意繼續向審計機關提供數據,難以對被審計單位進行持續的審計監督。借鑒英國的經驗,我國應當從法律層面明確屬于國家審計范圍的政府部門、企事業單位、公共機構,以及使用公共財政資金的企業、單位等應當定期向審計機關提供電子數據,為國家審計進行大數據分析創造條件,從根本上解決目前存在的數據收集難、不完整、時效性差等問題,將一個個數據“孤島”連接起來,在此基礎上進行深入的關聯、對比和分析,真正發揮信息時代大數據的強大作用。

篇2

[ 3 ] 黃鼎城,郭增艷.科學數據共享管理研究[M]北京:中國科學技術出版社,2002:36.

[ 4 ] 黃鼎城,郭增艷.科學數據共享管理研究[M]北京:中國科學技術出版社,2002:130-140.

[ 5 ] 歐盟委員會副主席Neelie Kroes:希望每個歐洲人都

參與數字化[EB/OL].[2013-10-11].http://.cn/5f00653e83b753d652a86001/20125e74/46708/6b2776df59d454584f1a526f4e3b5e2dneelie-kroes-5e0c671b6bcf4e2a6b276d324eba90fd53c24e0e-65705b575316.

[ 6 ] 劉潤達,趙輝,李大玲. 科學數據共享平臺之數據聯盟模式初探[J].中國基礎科學,2010(6):27-32.

[ 7 ] 地震科學數據共享管理辦法[EB/OL].[2013-10-11].http:///policy/gxbf.htm.

[ 8 ] 浙江建成全國首家省級地理空間數據平臺[EB/OL].[2013-10-11].http://.cn/html/2013-02/22/content_21927.htm.

篇3

1基于Spark大數據平臺日志審計系統架構設計

1.1系統設計目標和原則

本課題中日志審計系統通過對雜志收集監測設備采集模塊,并且日志記錄用戶訪問記錄,系統運行日志以及整個系統運行狀態信息。這里實現的是基于火花大數據平臺日志審計系統的設計目標和原則主要表現在傳統日志審計系統的基本功能和依賴大數據技術為整個擴展傳統的日志審計系統。這里我們知道日志信息收集后解析XML日志將大量的數據和格式變量復雜源日志信息標準化偽日志信息的規范,一般來說在合并后單位時間函數在同一IP和報警分析等處理,同時這個日志集中管理存儲在我們的一個存儲系統中,能夠有比較豐富的日志數據,實現我們的一整個全面的IT環境的審計日志。

本文探究的集中管理平臺,能夠較好地提供視圖顯示和操作更為方便的實現原理。通常來說對于集中管理平臺通過圖表清晰直觀地顯示實時分析的結果分析模塊。我們能夠對這份報告總結了歷史時期的安全狀況。同時,具體來說集中管理平臺提供的管理系統,如日志收集管理或者是我們的安全管理,還有整個用戶管理等等,在利用維持整個系統的管理功能。一般來說在對大數據技術來完成一些基本的日志審計系統的這樣一個要求。并且在對我們的日志進行一個采集系統來取代傳統的模塊。一般來說我們的日志采集系統高可用性、同時還有比較好的一個可伸縮性和可以接受各種優秀的源格式;使用大數據平臺的分析引擎日志審計系統,能夠完成我們的這個上游的日志收集日志信息標準化。

1.2系統技術架構設計

本課題中我們知道對于審計系統,一般來說關鍵就是探究由大數據平臺,同時集中管理平臺,作為一個Mysql服務器主機。具體來看大數據平臺上運行的一組服務器。另外在利用我們的大數據平臺上運行的服務器日志信息標準化以及完成我們的分析,同時能夠將整個結果存儲在數據庫中。通常來看我們數據庫只保留一天的日志信息,同時這些所有的日志信息存儲在分布式文件系統的大數據平臺。其中一些數據在數據庫中為方便安全管理人員查詢日志信息,并且我們的這個報告信息和設置。具體來看我們大數據平臺本身包含了分布式文件系統可以用作持久性存儲。倘若我們在這個查詢太古代歷史日志信息或者需要探索分析報告圖表的信息,一般來說也是需要完成的Spark大數據平臺。

安全管理審計系統通過個人電腦連接,通??纯串斍安僮飨到y的日志信息,分析,同時還有具體報告只需要查詢的數據可以保存在一個Mysql數據庫。通常來說這樣不僅有利于保護數據持久性,同時已經被證明是更長一段時間所有的數據挖掘,并防止頻繁的影響信息查詢日志分析的大數據平臺。并且我們在集中管理平臺提供了一個WEB服務,能夠利用我們的網絡查詢系統分析結果,最后完成整個的操作和管理系統等基本信息。

2系統功能架構

2.1 系統功能組成

2.1.1日志采集

本課題探究的基于Spark大數據平臺日志收集日志審計系統關鍵就在于這個可伸縮性和可用性。同時因為我們IT的現實工作環境會改變的可能性,并且一般來說不是改變更復雜的也可能是流線型的,通常來說這個具體日志收集應該根據實際監測網絡的大小,從而來以確保你占用物理資源的大小,同時利用具體增加的方便和靈活的采集能力或釋放多余的資源。一般來看我們的日志標準化基于標準化規范匹配所有的日志文件和日志信息是唯一可識別的格式。另外整個的日志標準化后的分析工作的前提下,僅僅是在實現了所有的標準化可以有效分析日志的日志格式。通常來說我們的可用性是反映在日志收集能夠接收各種各樣的方式,而不是說處理現在常見的發展云計算的企業環境。收購后的日志需要標準化日志。

2.1.2集中管理平臺

集中管理平臺提供了一個有效的訪問接口,也就是說被視為視覺層,這里也得到了最后的整個分析結果。通常來說我們的安全管理員是能夠實現審計日志的基本信息查詢,同時還可以完成我們的查詢統計查詢等功能。另外,我們是可以利用整個基本的配置,來完成終端管理,完成整個系統的某些配置信息的管理。

2.1.3日志分析

日志分析是在大數據平臺上來實現的。通常來說我們的這個日志分析主要有三種方法的分析:第一部分,也就是一個具體日志信息信息匹配分析;其次,我們的這個單位時間日志頻率分析;第三,有關于多個日志的這樣一個關聯分析。

3集中管理平臺

集中管理平臺作為日志審計系統的外部接口,課題中是對本身需要的安全保證。一般來說,我們的這個集中管理平臺安全部分作為一個關鍵在這一節中描述。使每個角色,從而能夠更好確保其業務案例系統中最小權限的功能。另外課題系統分別建立了三個角色,分別是這個安全管理員還有我們的審計管理員,以及我們的系統管理員。一般來看,對于這個傳統的雙因素登錄作為保證,能夠較好集中管理平臺使用SparkSecurity安全框架,以確保他們的安全。而且還能較好根據三權分立的思想設計的不同的角色不同的權限。并且我們的系統管理員負責系統配置相關業務,審計經理負責審計系統操作日志用戶的內部審計制度。

本課題中探究了集中管理平臺系統中非常關鍵的這樣一個作用,并且我們的集中管理平臺負責顯示整個系統的運行結果,通常情況下配置管理系統,同時在與其他功能,并且可以再具體外部系統的性能。一般來說集中管理平臺的主要部分資產管理、用戶管理、規則、管理、安全中心,日志語句。報道的集合可以配置配置文件,檢查報告已經操作日志。通常具體在安全中心是環境安全審計結果的監測系統的總體性能,并實時審計結果顯示日志審計系統。一般情況下,對于管理這些資產可以輸入或刪除日志審計系統來管理資產信息,同時具體的資產配置日志文件標準化;以及在我們用戶管理的操作用戶管理平臺,同時還需要能夠保證平臺的安全;一組規則,課題中對于規則管理是一個管理系統;同時多模塊用于實現Spring框架,Spring框架是其中一個最流行的Web框架,;另外具體相關論文不再是一些信息,因此我們這里不將集中管理平臺的實現模塊被描述為主要內容之一。

后設置不同角色的權限需要限制用戶的這樣一個集中管理平臺能夠訪問的內容是不同的,同時還不可以完成這個訪問超出他們能力的內容,一般來說是使用直接訪問URL。同時還有里利用這個Springsecurity框架,以確保我們的這個授權。通常情況下我們的Springsecurity除了授權和身份驗證功能,主要就是我們的這個身份驗證是識別用戶和角色信息。能夠較好地完成整個訪問控制也可以稱為資源訪問控制,并且還可以較為直觀是控制的表達一個URL訪問請求權限。Springsecurity當一個URL請求許可的URL和用戶身份驗證的作用之下,倘若說能夠較好符合要求離開,另外如果不符合攔截請求。通常情況下Springsecurity身份驗證和訪問控制需要通過XML配置信息。另外在這個身份驗證是指用戶身份認證,具體是驗證用戶登錄時的用戶名和密碼,驗證后的用戶名、密碼,角色和狀態的信息,如認證信息,用戶會話的認證信息已經被Sparksecurity保存存在。挺且我們的使用者在進行這個身份驗證、會話管理,除了登錄可用于訪問控制。

訪問控制的主要功能和主要步驟有:Springsecurity負荷數據庫中的數據資源,一般來看是相應的資源數據和角色關系,同時這里的這個具體操作在以下loadResourceDefine()原來來達到目的,通常情況下我們的系統第一次運行時調用這個方法需要URL和角色的鍵-值對的形式存儲記憶。另外當這個具體訪問請求送達是,這里的URL和用戶角色和資源數據對應關系能不能符合我們的角色。

4結語

網絡安全已成為全球性的這樣一個問題,目前已經是全世界各界都在關注。對于這個隱藏的安全威脅,一般來說消除系統通常采用加密、安全措施,如這個身份驗證、授權和審計,同時來達到我們的這個網絡的安全性。并且通常來看是在詳細設計的基礎上,另外我們在描述了具體的實現和測試工作內容的一部分。對于我們的水槽的采集模塊配置文件,一般這里的分析主要功能模塊的代碼和我們整個系統運行情況等。同時基于火花大數據平臺,我們的具體日志審計系統的應用做了簡單的介紹,并進行了最后的這個總結,課題中完成大數據平臺日志審計系統的發展進行了探討。另外對于詳細設計包括總體結構設計、模塊設計和數據庫設計。這里完成了整個設計的結構分為橫向和縱向兩個方面的設計。同時對于數據庫設計了數據庫的總體結構設計。

參考文獻:

[1] 朱宏.安全日志統一收集平臺的數據架構設計與實現[J].計算機安全,2010(10).

[2] 郝漩.基于Apache Flume的分布式日志收集系統設計與實現[J].軟件導刊,2014(7).

[3] 王倩,陸展,龔儉.一種基于規則的安全日志范式分析模型[J].計算機工程,1999(S1):53-55

[4] 陳世強,蔡超.審計系統中基于數據挖掘的關聯規則自動發現技術研究[J].計算機應用與軟件,2007(1).

[5] 劉芳,肖鐵軍.XML應用的基石:XML解析技術[J].計算機工程與設計,2005(10).

篇4

一、大數據的內涵及特征

1.大數據的內涵。目前,對于大數據的定義沒有統一定論,通常認為大數據是指以多元形式存在的、數量龐大且內容復雜的、需要專門的軟件與分析工具進行搜集、整理、發掘及分析的那些自許多來源匯集而來的龐大數據組??梢詮娜齻€層面解釋大數據:第一層面是理論,理論是認知的必經途徑,也是被廣泛認同和傳播的基線;第二層面是技術,技術是大數據價值體現的手段和前進的基石;第三層面是實踐,實踐是大數據的最終價值體現。

2.大數據的特征。①Volume(數據體量巨大)。據“產業信息網”相關統計,截止到2012年底,人類已生產200PB(1PB=210TB)印刷材料的數據量,歷史上全人類說過的所有的話大約是5EB(1EB=210PB)的數據量。而當前,典型個人計算機硬盤的容量為TB量級,但一些大企業的數據量已經接近EB量級,如此海量的數據對我們正確識別真實數據的能力提出了巨大的挑戰。②Variety(數據類型繁多)。相對于以往便于存儲的以文本為主的結構化數據,非結構化數據越來越多,如圖片、視頻等多類型的數據對我們的處理及分析數據的能力提出了更高要求。③Value(價值密度低)。價值密度的高低與數據總量的大小成反比。以視頻為例,連續不間斷監控過程中,可能有用的數據僅僅有一兩秒。如何通過強大的算法更迅速地對數據的價值進行“萃取”成為當今大數據背景下亟待攻克的難題。④Velocity(處理速度快)。這是大數據區分于傳統數據挖掘的最顯著特征。根據IDC的“數字宇宙”的報告顯示,全球數據預計到2020年時使用量將達到35.2ZB。在如此龐大的數據面前,高效處理數據就是企業的生命。

二、會計學專業人才培養模式

1.國外會計學專業人才培養模式。①德國的FH模式。德國推行的應用型人才培養的模式被稱為FH模式。不僅注重系統的科學知識的講授,更加注重實際應用能力的培養。尤其重視學生實踐能力的考核,將學生的培養與企業實際緊密結合。②英國“三明治”模式。英國的應用型人才培養采用了實踐與學習相交錯的“三明治”模式,即實踐環節與學習環節交替進行,課程設置與招生充分結合市場。③美國“生計教育”模式。20世紀70年代的石油危機爆發后,為解決畢業生的就業問題,美國推出了“生計教育”模式。該模式下,學生在學校不僅接受教育,而且接受技能的培訓。教學方式方法靈活、校企合作、政府支持為這一模式的主要特點。

2.國內會計學專業人才培養模式。①精英教育。我國長期推行的是精英教育,盡管精英教育飽受詬病,但就會計人才的培養來看,精英教育并非一無是處。精英教育使得學生可以獲得足夠的教育資源。教師可以和學生在課堂上進行充分的互動溝通,幫助學生培養批判的精神和能力。此外,精英教育模式下遴選出的精英通常不僅在校期間學習刻苦,在進入工作崗位后也后勁十足,發展潛力巨大,能夠將在學校培養出的良好習慣和能力運用到工作實際中。②大眾教育。隨著經濟社會的發展,我國的會計教育由精英型教育轉向了大眾化教育。這一轉變給我國的會計教育帶來了一些問題,表現在會計教育的發展嚴重滯后于會計職業界的實際,會計人才培養不能滿足市場的需求,供求出現結構性矛盾。培養目標側重于技術的培養,而忽視了通用能力的訓練;課程過分強調會計的規則性,抑制了職業判斷;教學方法上,傾向于灌輸式的教育,而缺乏必要的實踐操作。

三、大數據對會計學專業人才培養提出的挑戰

1.培養重點不明確、培養目標不清晰。我國高校會計學專業人才培養模式的重點主要以理論和科研教學為主,大多課程的安排也充斥著濃濃的文學色彩,如會計學原理、審計理論等。同時,我國大多高校會計學專業人才培養目標并不清晰,單一的追求學生理論知識的掌握,使得學生的實踐及應用能力欠缺。這兩者與當今市場對會計學專業人才的需求不對接,與當今社會職業界對會計學專業人才的要求相差較遠。

2.課程設置不合理,導致無法靈活應對大數據。會計學作為一級學科,與經濟學、數學、統計學等學科的交叉增添了會計學課程設置的多樣及多元化。但我國會計學課程設置的本身就存在著很多問題。如過分注重理論研究,不能更好地體現會計學的實用性;課程設置的層次性不鮮明;專業課程前瞻性不夠,與社會的熱點及最新發展銜接脫鉤;實踐環節設置的相對欠缺,導致對大數據處理的應用能力受限。

3.考核制度沒有得到嚴格執行。在我國專業人才培養模式中,會計學等各學科的結課考核方式以考試為主、結業考試以論文形式為主。因教學中研究氛圍的不濃,經費支撐的不足,以及部分學生為就業等現實因素的影響造成其投放在論文上的精力不夠,這都使得考核制度對會計學專業人才的培養質量的保障作用在一定程度上受到削弱,也使考核結果及論文質量受到嚴重影響。

4.開源課程等新型教育方式及新媒體模式對傳統會計學專業人才培養模式的沖擊。當今,互聯網上充斥著海量的教學資源,除了各類精品課程、教學視頻外,開源課程充分利用在線視頻進行遠程教學,為任何有意者提供學習的平臺,突破了地域和時間的限制。微博等新媒體模式與移動互聯網相結合,打破了教學的界限,將課堂討論延伸到網絡。吉姆.格雷指出,科學研究的方法除了基于實驗、基于數學理論和基于計算模擬的三種范式外,基于數據探索的第四范式正在形成。

四、面向大數據創新會計學專業人才培養模式

1.課程設置。面向大數據,創新型會計學專業人才培養中應開設數據分析、搜索引擎系統應用、信息檢索、信息處理等這些與數據的大量獲得緊密聯系的課程,增強學生接觸數據與獲得數據的可能。高校應加強對會計學相關數據庫的建設以及完善圖書館信息系統,通過這樣的方式對數據進行歸集、整理、分類,不僅可以提高對數據的大量獲取性,統一數據口徑,而且有助于在數據高速產生的狀態下數據的高效提取性,為后面數據的分析提供幫助。大數據的多樣性特征使得我們接觸到的數據的形式各式各樣,相應在創新型會計學專業人才培養中課程設置也會多種多樣,為大數據環境下培養復合型專業人才奠定扎實基礎,可以設置專業核心課程。由于大數據的數據量雖大但價值量小的特征,因此在課程設置上應開設信息檢索、數據挖掘與數據倉庫等檢測、分析數據價值的課程,并通過采用案例教學法、課堂模擬法、角色扮法、體驗式教學法等方法,引導學生將提取出的、有價值的數據應用于中,培養學生運用數據高效解決實際問題的能力。

2.師資建設。創新型會計學專業人才培養中,師資力量是支撐學生正確獲得有用及真實數據的基礎。高校在會計學專業人才培養中應加大對大數據教學及運用的教師培養及經費支出的同時,組建“在線教育、實體操作與校企合作”三位一體的平臺,完善具有大數據特色的師資建設。高校建設中應加強對教師大數據知識與應用的培訓,與企業合作獲取高效大數據平臺建設及培訓經費的同時,加強教師接觸第一手數據的可獲取性,提升教師對數據的接受性及運用能力,改變以往教學存在的偏理論、缺乏數據感的問題。另外,高校應積極引進國外先進人才,同時選派青年教師去國外高校訪學、進修。高校實行創新型會計學專業人才培養模式下,應舉辦會計學相關教師與其他學科教師的交叉學習與培訓,為實現會計學專業人才的跨專業聯合培養打下基礎。另外,通過建立產學研聯合實驗基地等項目,為教師更好的理解大數據、掌握先進方法、接觸前沿性知識、運用研究成果以及未來的創新發展創造良好的平臺。

3.個性化學習。創新型會計學專業人才培養中,無論課內及課外,高校教師都應該引導學生去獲取更多的數據,以作為課程教學、討論的有力支撐,做到盡可能的用數據說話。高校在寒暑期開設的相關專業模擬實習,如會計核算模擬實驗、會計崗位沙盤模擬實驗等,可以為學生更切身的接觸數據提供便利,通過實踐的反饋和思考,也可以培養學生的創新思維。大數據高速的特征加上現代開源課程等新型教育方式及新媒體模式等在線資源的沖擊,使得學生接觸數據的方式多樣。根據學生自主選擇接觸數據,然后相互交流。這增加了學生的學習興趣,而且可以激發學生的創造性。大數據的多樣化特征下,高校應為學生提供相關專業學習的輔修課程,開通學生與其他學科專業教師的溝通渠道,舉辦“跨學科聯合培養、培養復合型專業人才”的實踐大賽數據分析大賽、基于大數據的數學建模大賽等。高校應為學生提供實驗室、計算機機房、計算機操作系統等軟硬件條件,開放式的引導學生自主參與產學研實驗基地、多校聯合培養項目以及國家政策引導下的大數據開發項目研究之中,為“跨學科聯合培養、培養復合型專業人才”的培養目標提供實踐平臺和發展空間。

篇5

2016年4月17日,中央電視臺的一則報道震驚全國,上市公司諾普信控制的常隆化工廠的土地污染導致江蘇常州外國語學校近500名學生出現身體異常。而該公司于2014年曾被訴訟并支付環境整治費。

紫金礦業等上市公司的環境污染事故仍記憶猶新,新的環境污染事故仍然層出不窮。根據環境部的統計數據顯示,2003年至今,我國上市公司環境事故的發生次數呈現上升態勢,其中空氣污染和水污染是最嚴峻的領域。

2016年2月,北京公眾環境研究中心公布的數據顯示,我國包括中國鋁業等央企在內的141家上市公司在2015年超標排放污染物,尤其是化工行業的企業數量最多。而這141家公司中只有28家公司對此進行了信息披露。而根據我國相關法律法規、政策制度,上市公司應公布包括污染物排放、資源消耗、環境管理等環境信息。

二、中國目前的企業環境信息披露制度

2015年1月1日實施的《中華人民共和國環境保護法》第55條規定,重點排污單位應當如實向社會公眾披露主要污染物名稱、排放量、排放濃度和總量、超標排放、污染防治設施的建設和運行情況,接受社會監督。第62條違反本法規定,未公開重點排污單位或者未如實披露環境信息的,由縣級以上地方政府環境保護部門責令公開,并予以公告。

而2007年的《環境信息公開辦法》和2008年《關于加強上市公司環境保護監督管理工作的指導意見》都要求企業及時、準確的公開其環境信息。2014年修訂的《公開發行證券的公司信息披露內容與格式準則第2號》鼓勵企業積極主動披露履行環境責任,包括公司在污染防治和控制、加強生態保護中采取的措施;屬于國家環境保護部門規定的重污染行業上市公司及其子公司,應按照有關規定,披露其在報告期內的重大環境問題和環境信息整改。根據證監會的規定,新股發行審計注重對環境問題的審計,包括:在招股說明書中詳細披露發行人的生產管理和投資項目符合國家環保要求,擬上市公司最近3年的環境保護投資相關費用,實際運行的環保設施和環境保護支出;生產環境是否符合國家相關環境規定,是否曾發生環境事故,治理污染設施的運行是否有效,對環境保護設施的養護和日常的污染治理是否符合相關技術規范;當擬上市公司發生環境事故或因環境問題受到處罰,是否詳細披露了有關情況,其保薦機構和發行律師是否就此事件構成重大違規問題發表意見。

現行的企業環境信息披露法律法規政策規定有效的推動了我國企業,尤其是重污染上市公司的環境信息披露。對中國A股上市公司中的重污染行業企業所披露的環境信息進行分析發現,根據法律法規及相關政策規定,重污染上市公司大部分披露其環境信息,但環境信息披露中的定性描述,即文字描述較多,而定量描述偏少;主要披露的內容是環境管理和環境治理信息;對環境方面的負面信息,重污染行業上市公司均傾向于不予以披露,即存在報喜不報憂的現象;不同行業披露的環境信息的側重點有所不同。

從上述分析可以看出,雖然我國企業環境信息披露法律法規政策規定的不斷完善有利于企業環境信息披露,但環境信息披露的數量,尤其是信息披露的質量仍然距離公眾期待有著較大的距離,有待進一步完善。

三、運用大數據優化企業環境信息披露的路徑選擇

在大數據時代,全球對數據挖掘技術越來越重視,由于數據已經成為人們生活中不可或缺的一部分,充分利用大數據時代的優勢完善我國企業環境信息披露的相關制度規范成為可行的選擇。在數據“多維”時代,充分利用大數據對企業的環境信息進行披露具有以下優勢:第一,可靠性。以往企業披露的環境責任信息往往突出其一定時間內的某些活動,缺乏對企業生產和管理中環境責任信息的持續性描述,這導致企業環境責任信息的不連續性,而在大數據環境中可以對所有相關的數據進行整體分析,得出一個完整的信息組,更好的反應環境信息的真實性。第二,多樣性。傳統的環境責任信息披露中,由于數據的可能缺失,監管部門和社會公眾很難對企業的環境責任活動進行識別和衡量,而在大數據時代,信息的載體和方式是多樣的,可以以各種形式反映信息,有助于提供完整的企業環境責任信息內容。第三,可追溯性。在反映企業環境責任信息的路徑上,由于缺乏控制機制,難以實現信息的跟蹤,而在大數據時代,數據可以被記錄在不同的維度,不同維度的數據之間的分析為企業環境信息提供了可追溯性。具體運用大數據優化企業環境信息披露的路徑如下:

1、在借鑒國外經驗的基礎上運用大數據完善我國企業環境信息披露的法律體系

在運用大數據分析的基礎上,借鑒國外先進經驗進一步完善企業環境信息披露的法律法規。充分整合現行國內環境保護部門、國資委、財政部、審計署、證監會、證交所等各部門的數據進行數據挖掘,厘清我國環境信息披露方面存在的主要問題,結合中國具體國情,在借鑒歐美發達國家相關法律規范的基礎上,在現行《環境保護法》規定的框架下,進一步規范企業環境信息披露,清晰界定企業環境信息應公開的內容,對企業環境信息公開的主體、環境信息披露義務的主體進行明確規定。建議由環境保護部門牽頭,聯合國資委、財政部、審計署、證監會、證交所等相關部門,對企業環境信息報告的具體實施標準或具體實施準則進行擬定,明晰界定企業環境責任報告要素及其內涵、企業環境信息報告的設計體例等,建議企業環境信息披露中應盡量使用定量性信息披露,提高企業環境信息的可靠性、可比性和利益相關者對企業環境信息的可理解性,提高企業編制環境信息報告的可操作性。

需要注意的是,在進一步完善我國企業環境信息披露的法律體系時,需要進一步強化企業環境責任信息披露制度的監督和處罰機制。以2015年的上市公司魯抗醫藥因環境問題受到處罰為例,其將含有抗生素的廢水排到主要河流中的行為極大的危害了公眾健康,進一步惡化了我國的抗生素濫用問題,但該企業僅僅被環保部門處罰了5萬元,基本未能起到懲戒作用。在以經濟建設為綱的時代,企業環境信息披露及相關處罰受到忽視,但在完善國家治理體系,建設可持續發展社會的今天,借鑒國外發達國家的企業環境信息披露及處罰措施,完善訴訟體制,進一步發揮包括政府部門和非政府組織在內的監督作用,大幅強化處罰和懲戒力度是完善企業環境信息披露的必然路徑選擇。

2、在完善中國企業的環境技術標準基礎上,建立數據集成和共享機制

環境保護部門應會同有關部門,參照西方發達國家和國際組織的環境技術標準,開發統一規范的環境信息技術標準和規范,對環境信息質量標準、監管環境信息要素及其識別與測量、環境信息呈現、標準定量分析技術的所需資源和污染的度量進行規范。制定大氣、水、土壤、污染源、噪聲等統一的監測標準,同時建設全國統一的環境監測信息數據平臺,由環境保護部門根據環境保護法規定環境質量和其他企業環境信息,以滿足公眾的環境權益。

3、進一步建立和完善企業環境信息披露的數據分析系統

中國已建立了超過兩千個環境監測站,監測人員近6萬人。我國所有省級監測站都配備了高水平的水質分析設備能力,所有城市監測站均具備進行空氣、水、噪音等環境質量的監測能力。但環境監測的信息感知系統和數據集成分析系統仍有待建設,才能充分發揮大數據的作用,有針對性的進一步完善我國的企業環境信息披露工作:首先,通過網絡化、智能化、云計算等技術,構建環境監測信息感知系統,以實現各類監控設備的信息融合和共享,更有利于對未履行披露環境信息責任企業的精確懲戒;其次,環保部門應充分利用數據挖掘技術,開發有利于環境保護的環境質量分析產品,通過推動環保服務工作,使社會公眾和環保組織等非盈利組織更方便的獲取環境信息,了解環境動態、趨勢和風險,從而更有利于發動社會力量,進一步推進企業履行其環境信息披露義務。

【參考文獻】

[1] 趙萱.企業環境責任信息披露制度績效及其影響因素實證研究[D].西南大學2015年博士論文.

[2] 李丹丹.加強引導上市公司環境責任信息披露[N].上海證券報,2015-08-01.

篇6

一、研究背景與意義

(一)輸變電工程基建項目傳統內審模式面臨挑戰

輸變電工程基建項目審計所包含的審計控制要點,多樣而復雜、覆蓋面廣,貫穿于工程項目管理的全過程。傳統的輸變電基建項目審計受限于審計資源的不足,往往僅對結算、決算環節審計內容,委托第三方開展事后審計。因而審計介入時間滯后,不能有效開展全過程項目審計,無法及時杜絕項目管理風險,促進管理提升,以發揮內部審計的監督作用。

(二)實時審計模式是內部審計發展的必然趨勢

隨著企業信息技術的日益發展,越來越多企業的生產、經營及財務數據已實現在線處理,經營數據與管理記錄的電子化發展,推動了企業內部審計方式向實時、在線方向演進。企業可以通過在線計算機輔助審計系統,與各信息系統建立數據接口,從各信息系統中采集審計所需的數據及相關審計證據,并通過在系統中預設的監控及例外報告模式,自動生成發現報告,提請審計人員關注。由此,傳統審計模式逐漸實現向實時審計模式轉變。實時審計模式,是指通過ERP審計信息系統,集中獲取財務和經營數據后,審計人員利用該系統數據處理能力強、分析功能強大、網絡在線運行等特點,對企業經營管理活動進行在線審計監督,即通過對定期獲取的財務資產、計劃、生產統計等生產經營信息進行綜合分析,查找審計疑點和問題線索。在此基礎上,有目標、有重點地進駐現場進行審計查證與核實,及時發現和糾正企業經營管理中存在的問題。通過開展日常的經營監控審計,可以使審計過程變得更快、更簡單、更有效,縮短了審計周期,以提供更有時效的風險和控制風險保證;無需擴展資源基礎,就可獲取更好的審計范圍;可指導以月度、季度、年度為周期的審計;審計的范圍是全部審計數據,而不只是審計樣本;可對比或重新計算全部審計數據;可提高審計報告的質量。

(三)推行實時審計模式的可行性

為了提高輸變電工程基建項目審計工作的質量和審計效率,利用ERP大數據基礎構建實時審計模式,是一項有效且可行的解決路徑。一是輸變電工程基建項目審計要求規范比較明確完善,其對基建項目工程審計的目標、定義、審計原則、基本任務、主要審計內容已作出明確的規定。二是隨著公司信息系統建設的日益完善,ERP系統積累了大量的業務財務數據信息,能夠支撐實時審計需要。在ERP系統中,基建工程的預算、成本等相關數據是工程審計的重點內容,能夠充分體現工程全過程的預算控制和費用執行等情況。建立應用實時審計模式既能提高審計效果,也能彌補審計資源不足,充分運用信息化審計手段,按照“提前介入、預防為主”的思路,堅持建設資金的真實、合法審計與效益審計并重,加強對輸變電工程基建項目投資全過程的審計監督,提高工程項目建設管理水平和投資效益,是一項富有價值的審計方式的管理創新實踐。

二、基于ERP環境的輸變電工程基建項目實時審計模式主要內容

(一)總體思路

基于ERP環境,借鑒數學建模思維,充分運用信息化手段、結構化數據分析方法,構建“審計模型、審計工具和應用機制”三位一體的實時審計模式(見圖1),明確審計對象、審計技術和審計方法。旨在提高審計效率和效果,實現輸變電工程基建項目的全過程實時審計,提前預警、促進整改,以降低審計風險,推動內審工作轉型。審計模型重點梳理輸變電工程基建項目全過程審計控制要點,根據重要性和可量化原則,篩選出審計控制內容,明確審計邏輯和評價標準;審計工具,主要是根據審計邏輯評價特征,開發出可批量自動化審計的簡易操作工具,提高審計作業效率;應用機制,主要根據內部審計工作目標和要求,設計審計模式的具體應用方式。

(二)審計模型內容

1.審計邏輯輸變電工程基建項目審計是財務審計與管理審計的融合,將風險管理、內部控制、效益的審查和評價貫穿于建設項目的各個環節,并與項目法人責任制、資本金制、招標投標制、合同管理制、工程監理制執行情況的檢查相結合,根據重要性和成本效益原則,結合實際情況和內部審計資源狀況,采取全過程審計或者重點管理環節審計。圍繞輸變電工程基建項目立項階段、設計及實施準備階段、實施階段、竣工決算階段全過程各環節的審計控制要點,基于重要性和可量化原則,結合公司內部審計資源和實際情況,從時間、資金、數量、內容4個維度,篩選控制要點和控制內容,從準確性、規范性角度定義審計評價標準,根據不同的審計對象、審計所需的資料和項目審計各環節的審計目標設計不同的審計邏輯,以保證審計工作質量和審計資源的有效配置。其中,時間維度主要審計時間控制點先后順序是否符合邏輯;資金或數量維度主要審計絕對值與相對值是否符合預設目標;內容維度主要審計是否符合公司規章制度、管理辦法和內控規范。輸變電工程基建項目審計應遵循技術經濟審查、項目過程管理審查與財務審計相結合的原則,事前審計、事中審計和事后審計相結合的原則,以及各專業管理部門密切協調、合作參與的原則。根據現有ERP系統數據庫情況,設計了適用與事中審計和事后審計兩類不同應用方式的審計邏輯,并針對每個項目不同類型的合同(如施工合同、勘察設計合同、監理合同)設計了不同的審計邏輯。審計模型共構建了43條審計邏輯,覆蓋設計及實施準備、實施、竣工投產和決算3個階段,包含11條事中預警、32條事后審計異常事項提示(見圖2),運用信息化手段進行全面審計,采取定量與定性相結合、定量分析為主的方式,對工程建設各階段各環節的管理情況,以及質量、進度和投資等目標的完成情況進行審計評價。(1)設計及實施準備階段包含8條審計邏輯,從時間邏輯順序上,重點檢查工程開工手續是否合法合規;從內容符合性上,檢查合同簽訂是否符合招標要求。(2)實施階段包括25條審計邏輯,重點檢查合同簽訂與招標情況的相符性、項目付款進度的合理性、項目付款與合同的相符性、質保金的合規性,以及是否及時對工程物資辦理清理和退庫手續。(3)竣工投產和決算階段包括10條審計邏輯,重點檢查是否在規定時間完成暫估轉固手續、竣工結(決)算審核、工程實際投資額與批準概算差異的原因分析。2.評價標準根據審計類型和審計結果狀態,設計了3種評價標準,即正常、異常、預警。其中,異常標準,是指事后執行結果不符合審計規范,用來督促整改;預警標準,是指事中執行結果偏離管理規定,用來預警提醒。評價標準全部用數理邏輯公式進行檢驗。3.數據來源應用集中采集和隨需采集數據的方法,基于目前ERP信息系統現有的數據字段,采取線上數據與線下數據結合的方式進行取數,以ERP信息系統數據為主,以線下資料如初設批復文件、中標通知書、合同等紙質審計資料作為線上數據的補充驗證,綜合評價審計結果。本模型采用線上數據69條、線下數據40條。隨著實時審計模式的推廣和信息技術的發展,ERP系統所能提供的數據信息數量將隨之增加,逐步向備份采集和直聯采集轉變,審計模型所需全部的數據信息將全部可以從ERP系統中直接獲取,最終實現全面在線實時審計。

(三)審計工具介紹

應用excel工具,對涉及的審計邏輯和評價標準開發的自動評價審計工具,主要由審計輸入信息表和審計結果輸出表構成。審計工作人員只要在審計輸入信息表中導入項目審計字段信息,通過內嵌自動檢驗公式計算,就能在審計結果輸出表中看到對應項目審計邏輯的審計結果狀態。1.審計輸入信息表以工程項目為縱向維度,以審計信息為橫向維度。審計信息源根據評價標準檢驗公式所需的信息按照單個字段輸入。合計包含109條固定的數據字段,包括審計對象的項目編號、項目名稱、初設批復日期、開工日期、合同簽訂日期等內容,不同類型合同的數據分別記錄于不同的數據字段中,數據字段可隨合同類型、數量的增加而增加。2.審計結果輸出表以工程項目為縱向維度,審計邏輯評價結果為橫向維度。對應每條審計邏輯評價結果用Excel函數工具,在對應單元格中自動計算審計結果,共包含43條審計邏輯結果。校驗結果以“紅燈”、“黃燈”“、綠燈”的形式自動展示(“紅燈”表示異常、“黃燈”表示預警、“綠燈”表示正常)。審計人員和工程管理人員應用審計工具,對“紅燈”“、黃燈”的識別,迅速發現審計異常點。

(四)應用機制

實時審計模式的審計模型及審計工具,是針對電壓等級220千伏以上電網基建項目審計而設計的,指導以月度、季度、年度為周期,對輸電工程項目開展日常監控和內部審計。在項目過程中,內部審計人員和工程管理人員可以利用審計模型和審計工具,對輸電工程項目進行過程檢查,識別異常事項和預警事項并及時進行整改,以防止風險的進一步擴大。在工程項目完結后,內部審計人員可以利用審計模型和審計工具對項目進行全面審計,督促對異常項目進行整改,彌補管理漏洞,防范外部審計風險。

三、結論與展望

(一)實時審計模式能提高效率,推動內審工作轉型

實時審計模式縮短了審計周期,可將原在工程竣工后才進行的審計,轉變成以月度、季度、年度為周期的過程審計,切實做到審計關口前移,提高審計效率和質量,降低審計成本,并為實現審計資源整合,拓寬審計范圍奠定基礎。一方面增強了內部審計對工程項目的審計參與深度,另一方面改善了基層單位審計人員不足的狀況。實時審計模式,實現了對公司生產經營各類風險的及時預警和有效防范,幫助公司加強內控、改善管理,使審計結果的反饋更及時,降低工程項目管理風險和外部審計風險,充分發揮內部審計風險控制和管理服務的職能,提升內部審計的效用和管理決策的價值。

(二)實時審計模式具備推廣應用價值

輸變電工程基建項目實時審計模式具有很強的靈活性、適應性、可操作性,對審計邏輯和審計工具進行適應性調整,可推廣應用至其他電壓等級和類型的電力工程項目內部審計工作中。此外,實時審計模式的研究思路,也可推廣應用至其他內部審計項目上,通過分析工程審價、物資管理、招投標管理、各類費用管理的審計要求,可設計出相應的審計邏輯、審計標準,開發出相應的審計工具。

(三)實時審計模式現階段的局限性與展望

現階段ERP系統數據信息數量和質量存在一定的局限性:一方面實時審計模型所需的部分數據信息仍需要人工查找與錄入,另一方面審計模型涉及的審計邏輯還沒有全覆蓋。隨著進一步改善并提高ERP系統字段信息質量和數量,使ERP系統能更有效、更準確地提供更多關鍵字段信息,可以使審計模型和審計工具更大地發揮作用,更好地為審計人員服務。今后可通過增加審計模型中的審計邏輯,更好地滿足內部審計和工程管理的需要。具備條件后,可開發出嵌入ERP系統的在線審計工具,實現在線自動審計實時計算、輸出校驗結果。

參考文獻:

[1]于洪波.ERP環境下在線審計方法探討[J].會計之友,2012(25):83-88.

[2]劉萍.持續審計———信息時代我國企業內部審計的發展趨勢[D].武漢:華中師范大學(碩士學位論文),2013.

[3]周運香.ERP環境下審計風險控制研究[D].成都:西南財經大學(碩士學位論文),2010.

篇7

前些年,在我國推進信息安全體系建設的工作中,各行業在信息網絡邊界和縱深部署大量信息安全防護產品的基礎上,為了符合國家信息安全的相關政策和監管要求及便于進行一體化管理和掌握整個信息系統的安全態勢,許多單位還部署了信息安全管理平臺,并在信息系統安全運行和管理上發揮了重要的作用。

信息安全管理平臺是網絡中心必備的安全管理基礎設施,是網絡安全管理員遂行網絡安全管理任務的必備手段,是網絡安全體系結構中的一個重要技術支撐平臺。為規范網絡系統的安全管理,重要的信息網絡都應設置信息安全管理平臺(見《信息安全技術 信息系統等級保護安全設計技術要求》GB/T 24856―2009)。

近年來,隨著云計算、物聯網和移動互聯網技術的興起,信息網絡的邊界愈發模糊,系統中的虛擬化技術和設備被廣泛采用,信息系統中的安全信息采集和集中審計變得更加困難。另一方面,外部的信息安全威脅,隨著AET和APT技術的不斷升級,也變得愈來愈兇險和難以防護。面對當前信息安全的新形式,以往的信息安全管理平臺必須進行更新換代或升級改造。

搭建新一代信息安全管理平臺(以下簡稱平臺)有重要意義:(1)設計和建設新一代平臺是構建自主可控信息安全體系體系頂層設計不可或缺的重要一環,以實現對重要信息系統的風險可監控、可管理、業務過程可審計,真正實現安全體系自主可控,保障體系安全;(2)引入大數據分析技術完善平臺關聯分析能力,增加AET和APT攻擊的檢測技術手段,提升信息系統安全態勢感知和預警能力,可及時發現和處置重大信息安全威脅,真正實現信息安全自主可控。

2 設計目標

信息安全管理平臺的設計目標是:設計一體化、開放性和具有智能防御未知威脅攻擊的平臺。一體化就是將多家不同類型的安全產品整合到一起,進行統一的管理配置和監控。開放性就是提供標準的接口,使第三方產品很容易整合到系統中。智能防御未知威脅攻擊,就是充分利用和發揮大數據技術應用于安全態勢和安全事件的深度挖掘和分析,對AET和APT進行檢測和響應,構建智能化的主動防御系統。

通過信息安全管理平臺,對網絡系統、網絡安全設備以及主要應用實施統一的安全策略、集中管理、集中審計、并通過網絡安全設備間的互動,應對已知和未知的安全威脅,充分發揮網絡安全防護系統的整體效能。

3 設計原則

依據GB17859-1999《計算機信息系統安全保護等級劃分準則》和GB/T 20269-2006《信息安全技術 信息系統安全管理要求》,結合網絡安全管理的實際需求,按以下原則設計信息安全管理平臺。

(1) 標準化設計原則。為了能夠與第三方廠家安全產品聯動,安全管理平臺需制定安全產品互聯的接口標準,這個接口標準在業界應具有權威性并易于操作,便于各廠家實現。

(2)逐步擴充的原則。網絡系統安全集中管理包含的內容很多,管理技術難度很大,安全管理平臺的建設應選擇好切入點,本著由簡至繁,逐步擴充的原則進行。

(3)集中與分布的原則。許多單位網絡從結構上看,呈樹狀的多節點分層(級)結構。這些網絡具有分布廣、結構復雜的特點。為此,可在各層(級)網管中心設置安全管理平臺,其作用是對本級局域網進行集中安全管理;上級對下級采用分布式分級的方式進行安全管理。

4 設計要求

(1)可擴展性。信息安全管理平臺的系統設計,終端采用以對象模型驅動的管理機制,對象模型用XML語言描述,可以通過定義/修改對象模型的屬性(關系和操作),即插即用地擴充和管理網絡終端及服務。此外,管理平臺主機在性能和帶寬上,應留有一定冗余度,具有管理1000~5000個對象的擴展能力。

(2)易用性。信息安全管理平臺提供的所有功能,應做到操作簡易,界面友好,使用方便。

(3)經濟性。信息安全管理平臺設計,應采用先進的、成熟的軟硬件IT技術,搞好總體設計,優化軟件編程,避免重復投資,提高性能價格比。

(4)穩定可靠性。信息安全管理平臺設計,應重視硬件支撐設備的選型,性能上應留有空間;安全管理軟件要經過充分測試,不斷優化,保證系統穩定可靠運行。

(5)自身安全性。信息安全管理平臺設計,要重視自身的安全性,系統應具有管理員身份和權限的雙重鑒別能力,應保證數據網上傳輸的完整性、保密性和數據記錄的真實可靠及抗抵賴性。

5 系統組成和主要功能

信息安全管理平臺的基本功能是:對網絡系統、安全設備、重要應用實施統一管理、統一監控、統一審計、協同防護,以充分發揮網絡安全防護系統的整體作用,提高網絡安全防護的等級和水平。

5.1 系統組成

信息安全管理平臺由幾個模塊組成:人機界面模塊、總控模塊、安全網管模塊、安全監控模塊、安全審計模塊、安全策略處理模塊、安全模塊、安全事件分析模塊、安全事件響應模塊、設備配置模塊、平臺與設備接口模塊和安全管理數據庫。系統的邏輯結構如圖1所示。

(1)人機界面模塊。面向安全管理員的操作控制界面。

(2)總控模塊??偪啬K控制信息安全管理平臺各模塊正常運轉,其中包括網絡通信和通信加密程序,用于保障網絡間遠程數據交換的安全(主要是真實性和完整性)。

(3)安全網管模塊。用于顯示網絡拓撲并進行安全網管。

(4)安全監控模塊。用于對網絡主機和網絡設備進行安全監控。

(5)安全審計模塊。接受操作系統或下一級安全管理平臺發來的安全日志;接收主機、防火墻、IDS等網絡安全設備發來的報警信息;接收網絡出口探針記錄的網絡數據流信息,存儲并實時進行內容審計。安全審計的方式有三種:基于規則和特征的安全檢測,基于數據流的安全檢測,基于特定場景深度數據挖掘的安全檢測。審計的結果:啟動報警系統和產生安全態勢報表。

(6)安全策略處理模塊。自動將安全策略翻譯成安全設備可執行的規則。

(7)安全模塊。安裝在網絡客戶機(服務器、終端)操作系統中,與安全管理平臺上的安全監控模塊配合使用。其作用是用于接收安全管理平臺發來的監控指令和審計規則;監視客戶機的工作狀態;根據規則進行安全過濾和記錄;將安全記錄實時發回至安全管理平臺。

(8)安全事件關聯分析模塊。將所有收集到的安全事件按其對系統安全的危害程度等級進行重要性排隊,然后調閱安全專家知識庫,對事件進行基于規則的實時關聯分析,該模塊可引入大數據的歷史關聯分析能力,以提升關聯的可信度。最終將分析結果(關聯要素)和處理規則,提交安全事件響應模塊或管理員處理。

(9)安全事件響應模塊。按預先制定的安全事件處理規則(應急預案)對事件自動進行安全處置。

(10)系統配置模塊。對IDS/IPS、防火墻、內容監測、主機等安全系統設備或模塊進行安全和審計規則的配置。

(11)平臺與設備接口模塊。實現信息安全管理平臺與各類網絡安全產品之間的標準數據交換。其流程是:各類安全產品將各自檢測到的安全日志通過接口模塊進行格式轉換后發給平臺安全事件收集模塊,供安全管理平臺分析處理。平臺人機界面或安全事件響應模塊發出的處置指令,通過接口模塊發給指定的安全設備,安全設備接到指令后按相應安全策略執行;信息安全管理平臺能夠管理的系統和設備有:防火墻、IDS/IPS、內容監測、路由器、交換機、網絡主機。

(12)安全管理數據庫。安全管理數據庫是安全管理平臺運行的基礎資源,主要存放從本級和下級網絡采集來的所有安全數據(包括日志數據、設備狀態數據)、安全策略數據、安全專家知識、網絡拓撲連接關系、網絡中所有客戶機的詳細地址和安全管理平臺加工的各種報表數據等。

5.2 主要功能

(1)網絡安全管理。在各級安全管理平臺上動態顯示本級局域網當前網絡拓撲,根據策略,適時改變網絡拓撲結構。動態顯示網絡設備(路由器、交換機、服務器、終端)的在線狀態、參數配置,及時發現系統結構變化情況和非授權聯網的情況,并予以響應。

①自動識別網絡中主機的IP、機器名稱和MAC地址。

②按部門對設備(交換機、路由器)、主機和人員進行管理。

③通過系統提供的智能學習功能,自動識別網絡的物理拓撲結構。

④自動生成網絡拓撲圖(該網絡的真實物理聯接結構圖),并能動態顯示當前的網絡狀態,如圖2所示。

⑤動態顯示主機的當前狀態,如合法使用(如IP和MAC地址的配對,已登記注冊的合法主機)、非法使用(如IP和MAC地址隨意更改) 、關機、不通或故障、未登記主機的入網使用等。

⑥可以自動發現入侵的主機,并關閉其網絡連接端口。

⑦提供主機與設備端口的綁定。

⑧提供網絡邏輯圖(顯示設備之間的連接關系)、網絡拓撲圖(顯示整個網絡中所有設備、主機及其連接關系)和組織結構圖(顯示該單位的組織結構),可以方便地在三種不同的顯示方式之間切換,便于網絡安全管理員全面掌握和操控整個網絡;在網絡拓撲圖中可以拖動設備(交換機、路由器、集線器)改變其相對位置;進行文字和分組標注;改變設備與設備、設備與主機之間的連接關系;還可以由系統對所有設備、主機進行自動排列。

(2)網絡監控管理。安全管理平臺上的網絡安全管理與監控功能,可根據制定的安全策略,對受控主機進行安全控制。

①對受控機進行主機屏幕監視或控制(接管)功能。

②對受控機部分或全部文件進行訪問控制,即對文件的訪問,不僅要通過系統的認證,還必須通過網絡安全管理與監控系統的認證才能訪問。

③對受控機網絡訪問進行通斷控制。

④對受控機無線上網進行阻斷控制。

⑤對受控機的打印機、USB移動設備進行允許和阻斷控制。

⑥對受控機的進程進行監控,可以控制指定進程的加載。

⑦對受控機的internet訪問進行基于IP和DNS的詳細控制,提供Internet網絡監控。

(3)網絡安全設備管理。在各級安全管理平臺上,根據安全策略,對本級局域網設置的防火墻、IDS/IPS等進行參數配置,并適時監測安全設備的運行狀態,以便及時處理。

(4)策略執行管理。根據安全策略生成的安全規則,通過管理平臺向所有網絡系統中安全設備和主機用戶,實現對網絡設備、網絡客戶機、安全設備及主要應用系統進行控制的目的。

安全策略處理模塊功能有:對中層安全策略提供的形式化語言進行程序處理,輸出安全設備安全規則配置表;安全管理員通過安全管理平臺設備配置界面手工配置安全規則配置表;將安全規則配置表通過網絡發給安全設備并執行;安全管理平臺也可直接對網絡中的受控客戶機進行安全規則配置。

(5)審計管理。審計數據的獲取有四條渠道:各客戶機上的模塊發來的內網安全事件實時報警和安全日志信息;不同廠家安全產品(防火墻、IDS等)發來的安全事件報警和安全日志信息;下級安全管理平臺發來的安全日志和網絡探針發來的網絡數據流信息。緊急安全事件報警信息通過安全事件分析和響應模塊實時處理。 安全日志直接存入安全日志數據庫。網絡數據流存入盤陣中,供事后歷史數據關聯分析和部分實時處理。

在各級安全管理平臺上的審計管理包括:對本級局域網絡系統中的設備(包括 路由器、交換機、服務器、數據庫、客戶機)根據預先制定的審計規則產生的故障、訪問、配置、外設的報警信息和安全日志進行審計;對本級局域網絡安全防護設備(包括 防火墻、IDS/IPS)及主要應用系統等在運行中產生的安全日志,進行采集、分析;上級安全管理平臺有選擇的抽取下級的安全事件進行審計,對嚴重的安全事件及時督促下級采取相應措施及時整改;對本級局域網中的進出口數據流進行記錄和實時異常檢測。

審計內容涉及十個方面。

①對受控機文件按IP地址、操作時間、操作類型、操作內容、用戶名、機器名等進行審計。

②對受控機進行基于IP(源IP、目的IP)和DNS的internet訪問審計,審計內容為源IP、目的IP、訪問時間、協議、服務和訪問內容等。

③對受控機進行程序和服務的安裝與卸載進行審計,審計內容為IP地址、操作時間、操作類型、程序(服務)名、操作用戶名等。

④對受控機進行本地用戶登錄審計,審計內容為IP地址、登錄時間、退出時間、登錄用戶名等。

⑤對受控機的打印機使用進行審計,審計內容為IP地址、打印時間、打印機名稱、文檔名稱和用戶名等。

⑥對受控機的USB移動存儲設備使用進行審計,審計內容為IP地址、時間、外設名稱、狀態等。

⑦對受控機的盤符狀態進行審計,審計內容為IP地址、時間、盤符、狀態等。

⑧對受控機的進程狀況進行審計,即受控機使用程序的狀況。

⑨對IDS/IPS探測到的非法入侵事件進行審計。

⑩對網絡探針發來的數據流進行審計。

安全管理員可通過系統隨時調閱安全日志、網絡狀態以及網絡流量等信息,并進行統計查詢。這些信息是事后了解和判斷網絡安全事故的寶貴資料。

(6)網絡病毒監控管理。在各級安全管理平臺上,建立病毒集中管理監控機制,實現網絡病毒的監控與管理。防病毒系統應包括單機版、網絡版和防病毒網關,在信息安全管理平臺上對本級網絡節點的防病毒運行情況進行監控,如防病毒庫、掃描引擎更新日期、系統配置等。具體實現:確保防病毒策略統一部署,統一實施,保證防病毒體系執行相同的安全策略,防止出現病毒安全防御中的漏洞;保證系統管理員了解整體防病毒體系的工作狀態,從整體防控的高度掌握病毒入侵的情況,從而采取必要的措施,及時提供新的防病毒升級庫;通過信息安全管理平臺提供的信息,與防病毒廠商保持熱線聯系與技術支持。

(7)應用系統監測。信息安全建設的一個重要內容是確保網上關鍵業務的可靠性、可信性、可用性。因此,對網上關健業務的監測記錄非常重要,主要體現在四個方面:監測記錄關鍵業務系統在網絡中會話過程,可以幫助分析有無非法插入、偽裝的業務會話;阻止偽裝的業務會話與關鍵業務交互,確保業務流程的可信性;監測分析關鍵業務會話過程的響應與交互時間,找出影響關鍵業務系統網上運行效率的問題,確保業務流程的可用性;應用系統的監測主要通過內容監測系統和網絡探頭實現。

(8)安全事件處理。信息安全管理平臺上收到IDS/IPS、防火墻和網絡受控主機發來的安全事件時,將其打入事件隊列。事件隊列依據等級排隊后,則交給安全事件關聯分析模塊,使用專家知識或決策分析算法對事件進行關聯分析并按預案和規則給出處置策略,然后交給安全事件響應模塊進行自動化智能處理或交給安全管理員處理。

6 系統應用模型

(1)分布式多層次的管理結構。由于大多數網絡是一個多層次的樹狀網絡系統,結構復雜、分布范圍寬、網絡客戶機多,所以應按照分布式多層次的管理結構進行安全管理,如圖3所示,某單位網絡假設三級網絡安全管理中心,每個中心設一臺安全管理平臺,遂行本級網絡的安全管理。上級管理中心通過安全管理平臺將必要的安全策略,標準和協議信息下傳給下級管理中心。上級管理中心也可通過安全管理平臺獲取下級管理中心的審計信息。如上級的安全管理平臺通過網絡可調看下級的網絡拓撲和安全事件處置報告,掌握下級的網絡安全狀況。

(2)各級安全管理中心的數據傳輸模式。安全管理中心的安全數據上傳和下達采用C/S模式,一般由上級管理中心提出申請,下級管理中心回應。因為就計算機網絡的安全防護系統實際運行狀況來看,總是要求下級管理中心上報的數據多于上級管理中心向下傳達的數據。為了保證數據傳輸的實時準確,以上級管理中心為Server,下級管理中心為Client。下級管理中心是多對一的數據交流模式。對于上級管理中心下傳數據,采取下級管理中心的數據庫按時輪訊的方式實現。

當安全管理中心多于兩級時,數據傳輸模式如圖4所示。

(3)安全數據交換的一致性保證。為保證安全管理中心之間數據交換的一致性,采用事務提交與時間標簽相結合的方式來實現。安全數據的事務提交:由于上下級之間是跨區域的遠程傳輸,為保證數據的完整性,采用數據的事務提交方式來處理,每一次傳輸的數據將是一個整體事件的所有數據,這樣就能保證數據的完整性。反之,則必須重傳。為了處理重傳同步和上下級之間的一致性,我們為每一個事務加一個時間標簽,即每次傳輸完一個事務的所有數據時同時加傳一個時間標簽記錄。這個記錄至少應有如下幾項:日期時間、事務名、該事務的記錄數。

收方當收到這個時間標簽后, 則表明一個事務的數據傳輸結束,則可以更新數據,同時將此時間標簽保存下來,并回發一個確認包。發送方如收到這個包,則認為上級中心已更新了這個事務的數據,就從時間標簽隊列里清除掉這個時間標簽。

上述過程已完整地表述了異地數據一致性分布的實現方法,如圖5所示。

7 系統安全管理流程

信息安全管理平臺的安全管理貫穿整個信息系統運行過程,包括事前、事中、事后等過程。

(1)信息系統運行前。安全管理平臺對信息系統的安全管理,從實施前的安全策略的制定、風險評估分析、系統安全加固以及對實施人員進行安全訓練就已經開始,保證在已有的安全防護體系條件下對系統存在的安全隱患和將實施的安全策略心中有數。

(2)信息系統運行中。在系統運行過程中,對網絡中的各種主機、安全設備實施全程安全監控,安全運行日志同時進行詳細的記錄,在系統發生安全事件時,根據事件等級進行排隊,安全管理平臺實時調用相應的事件處理機制。事件的處理機制見事件處理流程如圖6所示。

(3)信息系統運行后。定期組織進行安全自查,消除安全隱患。通過分析系統運行的狀況(包括性能分析、日志跟蹤、故障出現概率統計等),提出新的安全需求,進行技術改進,包括系統升級、加固和變更管理。

(4)安全事件管理方式和處理流程。

自動處理: 將預案中的安全事件及其處理辦法(如系統弱點漏洞、惡意攻擊特征、病毒感染特征、網絡故障和違規操作、防火墻與IDS聯動、沙箱模擬運行等)存入安全知識庫并形成相應的處理規則,當相應事件出現時,系統將根據處理規則進行自動處理。

人工干預處理:根據情況的需要,也可在信息安全管理平臺上按事件級別進行人工干預處理,主要包括技術咨詢、數據恢復、系統恢復、系統加固、現場問題處理、跟蹤攻擊源、處理報告提交等。

遠程處理:當安全管理員從管理平臺的拓撲圖上觀察到安全事件發生時或收到下級轉交的要求協助解決的安全事件時,除了直接提供處理方案給對方外,還可以通過遠程操作直接對發生安全事件的系統進行診斷和處理。

決策分析處理:決策分析模塊預先收集、整理安全事件的資料,組織安全專家根據事件類型、出現事件的設備、事件發生的頻繁度、事件的危害程度等因素列出等級、層次并打分,列出判斷矩陣,運用層次分析法求解判斷矩陣,分別計算出各因素的權重值,一并存入專家知識庫中。運行時將調用專家知識庫對實時收到的系統安全事件進行判斷和計算,如果是單條事件根據預案直接處置,多條事件則求出組合權重值并對事件排隊,系統根據事件重要程度依據預案依次處置。

安全系統聯動處理:安全事件響應模塊根據安全事件關聯分析模塊發來的安全事件關聯要素調用應急預案庫進行安全設備聯動處理,如收到IDS檢測到某協議某端口有DDOS攻擊,依據預案將發送安全規則給總出口的防火墻,及時關閉該協議和端口。以實現一體化安全管理。

記錄和事后處理:信息安全管理平臺在信息系統運行時收集并記錄所有的安全事件和報警信息,這些事件和信息將作為事后分析的依據。

8 關鍵技術及設計思路

一個系統是否先進和實用,關鍵是系統的設計思想和所應用的技術。為了使下一代信息安全管理平臺具有創新性,我們提出了“應用大數據挖掘及分析技術”和“重點防御AET和APT”的設計思想,并且應用了多方面的先進技術。

在本系統中,采用了幾項技術:形式化語言翻譯技術;安全產品數據交換標準;安全事件決策分析技術;高性能數據采集器;安全事件的關聯分析;大數據挖掘分析;AET和APT檢測技術。

(1)安全產品數據交換標準。為市場上的安全產品(如防火墻、IDS/IPS、漏洞掃描、安全審計和防病毒產品等)制定數據交換標準。為此,所有安全產品都必須清楚地描述幾方面內容(BNF描述法):

::=

::=||

::=|

::=||||

::=||||

::=||||

::=||||

(2)高性能數據采集器。高性能數據采集器也叫探針,是信息內容監測系統和大數據安全分析的前端設備,該設備性能的好壞直接影響系統的功能和性能。如法國GN Fastnet C Probe硬件設備,該設備的特點是:直接嵌入需要監測的網絡;不損失網絡性能與效率,能夠適應多種網絡環境,能夠采集多種協議下的數據流信息;全線速采集數據100M

利用該設備作為信息內容監測系統和大數據安全分析的數據采集設備,能夠適應多種類型的網絡接口:局域網、企業網、廣域網、快速以太網等,它的高性能的數據采集能力,極大地降低了系統數據采集的漏包率。

(3)安全事件的關聯分析。對包含安全事件的數據流進行分析,如果是結構化數據可在基于經驗知識,人工建立的規則和模型基礎上,進行簡單的關聯:安全事件與用戶身份的關聯分析實現安全事件到“人”的定位;安全事件與系統脆弱性信息的關聯分析實現安全事件危害程度的正確評估;安全事件與威脅源關聯分析提高評估安全事件的級別和緊急程度的可信度;多個安全事件的關聯分析,聚焦安全事件的連鎖危害,提升安全事件的嚴重級別和緊急程度;泄密安全事件與身份信息的關聯實現泄密源的真正定位;安全事件自身關聯實現安全事件活動場景的全展現;安全事件與流量樣本數據關聯分析,判斷安全事件的性質(是否AET或APT攻擊)。

(4)大數據挖掘和分析。目前的大數據分析主要有兩條技術路線,一是憑借先驗知識人工建立數學模型,二是通過建立人工智能系統,使用大量樣本數據進行訓練,讓機器代替人工獲得從數據中提取知識的能力。

由于AET和APT攻擊的數據包大部是非結構化或半結構化數據,模式不明且多變,因此難以靠人工建立數據模型去挖掘其特征,只能通過人工智能和機器學習技術進行分析判斷。

應用大數據挖掘和分析新型網絡攻擊的思路:通過大數據解決方案將相關歷史數據(攻擊流量)保存下來,通過人工智能軟件來分析這些樣本并提取相應的知識,將疑似AET和APT攻擊的異常樣本知識存入專家知識庫。

大數據挖掘和分析在平臺中主要用于分析與檢測:流量異常分析,行為異常分析,內容異常分析,日志與網絡數據流的關聯分析,威脅與脆弱性的關聯分析,基于正常的安全基線模型檢測異常事件。

(5)AET和APT檢測判斷技術。未知威脅最典型也是最難檢測的屬AET和APT,所以新一代信息安全管理平臺中的IDS/IPS和防火墻必須包括不斷更新的AET庫,專家知識庫中應包括APT攻擊樣本知識,因為AET和APT用傳統的威脅攻擊特征庫根本無法比對發現。AET主要通過先進的AET知識庫進行合規性判別,其核心的先進檢測技術主要包括“對全協議層數據流進行解碼和規范化”,“基于規范化的逃避技術清除”,“基于應用層數據流的特征檢測” 。

APT可以通過多種手段進行分析檢測:收集來自IT系統的各種信息,如圖8所示。

基于流量統計的檢測。記錄關鍵節點的正常網絡通信數據包樣本,以樣本特征檢測為輔異常檢測為主,通過異常檢測發現未知的入侵。

沙盒分析與入侵指標確認。將疑似APT數據包組裝好,放入沙盒(緩存)中模擬運行(引爆)并與入侵指標(活動進程、操作行為、注冊表項等)比對加以驗證。

9 安全管理數據庫系統的設計

(1)數據組織與分類。根據信息安全管理平臺的需求,安全管理數據庫系統的數據內容包括:管理信息、網管信息、安全審計、專家知識四類十余種數據格式。安全管理數據庫系統,是以四類數據為處理對象,實現對信息安全管理平臺數據的積累、存貯管理、更新、查詢及處理功能的數據庫應用系統。經過數據庫設計,安全管理數據庫系統的四類十余種數據格式,規范分解為包括10余種關系結構的關系模型,在此基礎上可根據用戶應用要求設計多種格式的審計報表。

(2)數據庫結構框圖。通過上述信息安全管理平臺的設計思路簡介,可以大致了解新一代信息安全管理平臺的工作過程和在網絡安全管理上發揮的作用,我們希望早日看到擁有自主知識產權的國產信息安全管理平臺在我國重要信息系統的網絡安全管理上發揮重要的作用。

【注1】 AET(Advanced Evasion Techniques),有的文章譯為高級逃避技術、高級逃逸技術,筆者認為譯為高級隱遁技術比較貼切,即說明采用這種技術的攻擊不留痕跡,又可躲避IDS、IPS的檢測和阻攔。

【注2】 APT(Advanced Persistent Threat)直譯為高級持續性威脅。這種威脅的特點,一是具有極強的隱蔽能力和很強的針對性;二是一種長期而復雜的威脅方式。它通常使用特種攻擊技術(包括高級隱遁技術)對目標進行長期的、不定期的探測(攻擊)。

參考文獻

[1] 信息安全管理平臺的設計[J].計算機安全,2003年第12期.

[2] CNGate 下一代高智能入侵防御系統.北京科能騰達信息技術有限公司,2012年8月.

[3] 高級隱遁技術對當前信息安全防護提出的嚴峻挑戰[J].計算機安全,2012年第12期.

[4] 高級隱遁攻擊的技術特點研究[J].計算機安全,2013年第3期.

[5] 星云多維度威脅預警系統V2.0.南京翰海源信息技術有限公司,2013年12月.

[6] 我國防護特種網絡攻擊技術現狀[J].信息安全與技術,2014年第5期.

[7] 大數據白皮書2014年.工業和信息化部電信研究院,2014年5月.

[8] 提高對新型網絡攻擊危害性的認識 增強我國自主安全檢測和防護能力[J].信息安全與技術,2014年第10期.

篇8

一、互聯網金融概況

(一)互聯網金融的概念?;ヂ摼W金融有機結合了互聯網技術與傳統的金融功能,依托大數據和云計算在開放的互聯網平臺上形成的功能化金融業態及服務體系,具有普惠金融、平臺金融、信息金融和碎片金融等相異于傳統金融的金融模式。

(二)互聯網金融的實質。從融資模式角度看,互聯網金融模式區別于傳統的金融模式,它是與銀行的間接融資和資本市場的直接融資完全不同的一種全新的融資模式,從本質上來講它仍然是一種直接的融資模式。但是與傳統的直接融資模式比較的話,互聯網金融具有信息量大、交易成本低、效率高等特點。

(三)互聯網金融的發展現狀。近年來,我國互聯網金融業蓬勃發展,并迅速成長。在2013年之后,各類互聯網金融產品在我國大量出現,互聯網金融的業務體系也從單一向多元化發展,互聯網理財、互聯網貸款、互聯網保險等諸多互聯網金融產品走入人們生活之中。據螞蟻金服公布的余額寶數據顯示,截止2015年底,余額寶的規模增至6207億元,其規模已經相當于一家國內中型銀行的規模。另外,互聯網金融綜合運營成本低,以小微客戶為主要客戶群體,并且注重客戶體驗,對客戶的粘性較強,服務范圍廣,潛在客戶群體廣闊。螞蟻金服的數據顯示,2015年余額寶用戶中,農村地區的用戶規模同比2014激增了65%,數量占到整體的15.1%;發達城市新用戶中,外來務工人員占比上升至一半以上;90后取代80后,成為互聯網理財中堅力量。

互聯網金融的異軍突起不可謂對傳統商業銀行的發展提出了嚴峻的挑戰,同時也加速了傳統商業銀行的改革步伐。2015年提出的“互聯網+銀行”計劃,為商業銀行在互聯網金融這一時代大背景下的變革指明了出路。與此同時,這些改革也使商業銀行的審計面臨新的挑戰。

二、互聯網金融時代商業銀行審計現狀及成因

(一)風險管理的變革帶來的審計風險。風險管理作為商業銀行的核心競爭力,我國商業銀行從安全控制、信息共享、流程管理等方面入手,同時利用互聯網大數據技術擴寬了風險管理的數據源,重檢并規整了內部IT整體框架,實現了商業銀行對風險管理的升級與完善。銀行也逐步從傳統的追求利潤的粗放經營模式,向風險與收益相匹配的精細化管理模式轉變。

在對銀行執行相關審計業務時,考慮到風險管理對商業銀行的特殊意義,要求審計人員要對銀行的風險管理狀況和模式有整體細致的把握,評價風險管理的有效性。因此,要求審計人員了解并熟練運用風險管理的相關知識和技能,這對注冊會計師的專業勝任能力提出了新的要求和挑戰。

風險管理與業務經營之間錯綜復雜的關系,以及各種風險因素之間的相互關聯性,給注冊會計師識別和評價風險因素帶來了困難,使得審計人員在考慮與財務報表的重大錯報相關性時難以確定相關的風險因素。這也給評估風險范圍和程序造成了較大的影響。

(二)金融產品和服務的創新帶來的審計風險。為了應對互聯網金融的沖擊,直銷銀行應運而生?!?016中國直銷銀行市場專題研究報告》顯示,截止到2016年3月1日,已有55家商業銀行推出直銷銀行服務,其中81.8%為股份制商業銀行及城市商業銀行。60%以上的直銷銀行以貨幣基金、銀行理財及存款產品為主要業務,成為商業銀行擴展理財業務的主要渠道。而直銷銀行多選擇移動端及PC端作為推出渠道。

與此同時,“互聯網+銀行”計劃給銀行的跨業經營提供了便利。傳統的銀行業務不再是商業銀行的主要業務,越來越多的銀行通過新設或者并購的方式形成子公司,涉足證券、保險、基金、融資租賃等其他金融業態。另一方面,也有越來越多的銀行成為保險公司、資產管理公司等的子公司。

直銷銀行等一系列創新產品和服務的監管往往不是很明確,對于相關業務的會計處理缺乏統一標準,相關的信息披露也沒有明確要求。這就要求注冊會計師在不斷深入了解新產品,對其風險和收益做出評價的同時,考慮如何合理運用企業會計準則的原則,對被審銀行的會計處理方案進行判斷。

而商業銀行的跨業經營也使審計工作的組織難度加大,對于那些控股多個金融業態的商業銀行,注冊會計師不僅要考慮被審單位業務是否符合各個行業的監管要求,而且要考慮是否滿足《企業會計準則》規范。這是對注冊會計師綜合服務能力的巨大挑戰,也加大了商業銀行的審計風險。

(三)計算機信息系統的運用帶來的審計風險?!盎ヂ摼W+銀行”的模式促進了商業銀行計算機信息系統的改革與升級。為了做好資源挖掘,商業銀行充分利用大數據分析,了解客戶消費傾向與習慣,預測客戶行為,為產品和服務創新提供更加系統化的支持。同時,由于商業銀行在互聯網金融時代大背景下,推出多種跨業業務,銀行不得不同時使用多種不同的業務處理系統。此外,直銷銀行多采用線上業務辦理,打破了傳統銀行在時間空間上的限制。民生銀行的線上客戶數據顯示,超過80%的客戶選擇通過移動終端使用民生直銷銀行,超過40%的客戶選擇在下午進行投資理財,甚至有3%的客戶會在凌晨打理資產。直銷銀行的產生使銀行網點虛擬化,為客戶與銀行提供了便利。

傳統商業銀行的有非常清晰的審計線索,因為所有的經濟業務都用文字記錄,有憑證可查。但是互聯網金融時代商業銀行的資料全部實現了電子化及會計業務處理的程序化和自動化,傳統的審計線索被中斷。而多種業務系統的運用,也給注冊會計師在不同系統之間的數據接口,選取審計對象和方法審計方法帶來了諸多困難。而計算機信息系統如果對一些新業務處理功能欠缺或者運行不穩定,這往往是財務報表存在錯報的高風險區域。

三、互聯網金融時代商業銀行審計風險防范措施

(一)提高注冊會計師的專業勝任能力同時聘請專家參與審計工作。通過以上對互聯網金融時代商業銀行審計業務所面臨的風險的分析,我們可以看出,商業銀行的變革對注冊會計師的專業勝任能力提出了新的挑戰。商業銀行風險管理的變革要求注冊會計師對風險管理要有深入全面的了解,所以,審計人員應加強對風險管理有關知識的學習和研究,熟練掌握風險管理的相關技能。注冊會計師也要在工作中對風險管理這方面多做總結,得出經驗,才能在識別和評價錯報風險時有的放矢。

商業銀行的風險管理過程中涉及的專業知識和技能已經超出了注冊會計師通常了解和掌握的范疇。在這樣的情況下,聘請風險管理專家有助于審計人員對商業銀行風險管理進行深入的了解和評價,做出合理的錯報估計。另外,聘請專家參與審計工作時也要考慮專家的專業勝任能力和客觀性,審計組也要對聘請的專家實行嚴格管理,專家也應遵守相關審計規范,保持職業操守,保守工作機密。

(二)采用以風險為導向的審計策略。商業銀行龐雜的分支機構和繁多的業務品種相較于其他行業而言,為注冊會計師帶來了較高的審計風險,特別是為了應對互聯網金融的沖擊,商業銀行對金融產品和服務進行不斷創新,更是增加了審計的風險。因此,更需要審計人員以風險為導向,有針對性地對高風險領域投入更多的審計資源。注冊會計師需要對商業銀行行業性的普遍風險以及被審單位的特別風險因素予以特別關注,以便對財務報表的高風險區域進行識別和評估。在審計工作中,注冊會計師除了需要關注財務報表發生重大錯報風險進行還要考慮合規風險、聲譽風險等其他可能造成重大影響的領域。

同時,注冊會計師要保證以風險為導向的審計充分貫穿審計過程始終。審計人員要以風險評估為前提,時刻圍繞高風險領域開展工作,在開展工作過程中要全程高度保持嚴謹的職業懷疑態度,并且要根據測試結果不斷調險評估結果。在審計完成階段,注冊會計師要對所有審計發現結合審計風險進行判斷并得出適當結論,及時就發現重大錯報風險領域與管理層進行溝通。

(三)配置專門的信息技術審計團隊。計算機信息系統的運用為商業銀行的審計增加了新的風險。因此,為了能有效地開展審計工作,注冊會計師需要對銀行的計算機信息系統進行全面了解,以便更好的規劃和獲取必要的審計證據。計算機信息系統特有的復雜性和高技術性,使得對其的了解和評價建立在相當的專業知識積累基礎上。因此,在商業銀行審計團隊中,配置專門的計算機信息系統審計人員,以便對銀行的計算機信息系統的安全性、可靠性、正確性以及相關內部控制進行分析和評價,配合財務審計團隊,為審計程序的實施建立必要的基礎和支撐。

四、結語

商業銀行在互聯網金融時代體現出的新的形態,在對其開展審計業務時,為了規避新的審計風險,注冊會計師可以從提高自身專業素養,聘請專家,采用以風險為導向的審計,引入專門的信息技術審計團隊等幾方面入手,對審計風險加以防范。

參考文獻:

[1] 雷智軍.互聯網金融時代下完善國有商業銀行內部審計的思考[J].中國商論,2015,33:82-84.

[2] 中國工商銀行江蘇省分行課題組,萬輝.我國商業銀行互聯網金融風險管理研究[J].金融縱橫,2016,02:15-25.

[3] 陳煒,葛夢瑤.利率市場化背景下直銷銀行業務創新和發展策略[J].南方金融,2016,06:63-67.

[4] 盧聞齊.互聯網金融背景下直銷銀行發展現狀及未來展望[J].財經界(學術版),2016,12:4.

[5] 武鵬,楊向榮,王曙光.商業銀行審計風險分析[J].中國管理信息化,2010,12:55-57.

[6] 宋首文,代芊,柴若琪.互聯網+銀行:我國傳統商業銀行風險管理新變革[J].財經科學,2015,07:10-18.

[7] 邱峰.互聯網金融催生新型銀行運作模式――直銷銀行[J].金融會計,2014,03:35-40.

[8] 王濱.互聯網金融發展及商業銀行應對[J].銀行家,2014,04:94-97.

[9] 楊瑩.淺析商業銀行外部審計風險與防范[J].財經界(學術版),2014,12:253+255.

[10] 安明碩.試論商業銀行的審計風險與控制[J].南京財經大學學報,2007,01:71-73.

[11] 馮淑霞,張偉.商業銀行審計風險的成因及對策[J].中國管理信息化(會計版),2007,08:87-88.

[12] 倪存新.對商業銀行審計專業化管理的若干思考[J].新金融,2008,12:36-39.

[13] 林毅.互聯網金融下直銷銀行發展研究[D].山東師范大學,2015.

[14] 徐盛鑫.審計人員何時利用專家[J].衛生經濟研究,1995,04:48.

篇9

處于大數據時代,企業的管理者已經逐漸認識到大數據的重要性。為了推動企業管理的快速升級,就要將企業的信息數據處理系統構建起來,使企業在轉型的過程中實施智能化管理。從企業的財務管理情況來看,在數據處理上正從核算數據轉向管理數據。企業要更好地發展,就要將戰略決策制定出來,其財務數據是重要的依據。在財務會計工作中,管理會計在收集和整理海量的數據信息的過程中,還要針對所發現的問題進行分析,并提出解決策略。

二、大數據的特點

所謂的“大數據”又被稱為“巨量資料”,即所產生的數據信息量之大,已經難以使用現行的主流軟件工具有效解決了。采用大數據處理技術,就是對于大規模的數據信息要選擇在合理時間內收集,并對這些數據信息采取相應的處理方式,建立科學的管理模式,以將這些數據信息整理為具有積極效應的資訊,為企業的經營發展決策提供依據??v觀大數據的特點,主要包括以下幾個方面。其一,大數據的數據體量非常大。通常所謂的“大數據”,就是指達到10TB的大型數據集。但事實上,多數的企業數據信息用戶都會將多個大型數據集中起來而使得數據量達到了PB級。其二,大數據的數據類別非常大。大數據的數據來源多種多樣,包括數據的種類以及數據的格式變得形式多樣,已經不再局限于結構化的數據范疇,而將非結構化的數據和半結構化的數據納入其中。其三,大數據的數據處理速度是非??斓?。大數據的數據量非常龐大,而且不斷地變化,但現今,數據處理速度已經能夠及時、準確地處理這些數據。其四,大數據具有較高的真實性。隨著各種新型數據的產生,傳統的數據源已經被突破,包括企業內容、各種社交數據、交易過程中所產生的數據以及應用數據等等產生,要確保這些信息的真實可靠性,就需要企業具備信息管理能力,以提高信息的安全性。

三、大數據背景下財務會計向管理會計轉型是一種必然

1、財務會計向管理會計轉型是伴隨互聯網技術應運而生的

企業在管理工作中,往往會采用計算機網絡技術對會計數據信息進行處理。在對財務工作中所產生的信息進行快速處理時,互聯網技術的應用不僅加快了數據處理能力,而且提高了財務數據的處理質量。這就意味著財務會計在履行工作職責的同時,還要采用信息技術,同時建立系統化的管理模式,此過程中,財務會計人員需要將系統化的管理思維模式構建起來,以使得財務會計人員對企業的價值能力以深入理解,并實現財務會計向管理會計轉型。

2、財務會計難以使自身工作符合大數據的要求

大數據背景下,信息量的增加使得財務會計工作方法發生改變。特別是針對數據的種類實施管理,就可以采用分類管理的方式。根據管理會計的不同種類實施管理,還要從工作實際出發對企業的戰略發展規劃進行完善。管理會計所具備的數據管理能力,并不止于實施數據信息管理,還需要對會計數據統籌管理,以使得財務會計工作與大數據背景存在適應性。

3、財務會計向管理會計轉型是歷史的必然

企業經濟發展中做好財務會計向管理會計轉型工作是非常必要的。財務會計的基礎上而建立管理會計,可以使得企業發展中的資金運轉情況都會明確反映出來,還可以對企業的未來發展情況作出預測,并以此為參考將企業的未來經營規劃制定出來。隨著財務會計轉向管理會計,企業的會計工作采用系統化的運行方式,企業的資金運行情況被反映出來,而且不會受到有關管理原則的控制,所以,大數據背景下,管理會計改變了原有的被動管理的模式而實施了主動管理,才能夠使企業所提供財務信息充分滿足大數據背景下企業發展的要求。

四、大數據背景下財務會計向管理會計轉型的有效策略

1、企業財務人員要提高職業素質

處于大數據背景下,企業的財務會計要能夠順利地轉為管理會計,就需要財務人員具有較高的職業素質,能夠快速地轉換思維,從以記賬為主的會計人員轉變為可以創造財務價值的管理人員。基于此,企業就要對財務人員的職業培訓工作高度重視,以使得財務人員的職業技術水平有所提高。這就需要從以下幾個方面入手。其一,要注重企業財務人員的思想教育,對其管理觀念以正確引導。企業可以采用培訓的方式對財務人員予以企業經濟效益的思想觀念的引導,使財務人員能夠將注意力轉向財務問題的解決和非財務問題的解決。其二,要注重企業財務人員的會計業務培訓工作。由于財務會計和管理會計的業務范圍不同,對會計人員職業素質要求也會有所不同,就需要企業定期地開展管理會計人員的專業技術培訓工作,確保財務會計人員能夠在大數據背景下對管理會計工作充分掌握并處理好各項業務。其三,企業財務人員的培訓工作要定期總結。企業定期地開展會計業務培訓工作的同時,要對培訓總結以高度重視,以能夠針對培訓工作中所存在的問題及時發現,并采取有效的處理措施。隨著財務會計向管理會計轉型,對財務人員的綜合素質也會提出更高的要求,包括組織能力、溝通能力以及處理事務時的應變能力等等。特別是財務人員要具備人際交往能力,以使得企業的會計管理工作得以順利展開并按照企業的要求完成任務。

2、企業財務信息化建設要不斷加強

大數據背景下,信息技術是必不可少的工具。企業的財務會計要成功地轉型為管理會計,就需要采用信息化管理平臺,以確保所獲得的數據真實有效。具體實施中,對財務工作采用信息技術,就要加大信息化建設的資金投入力度,同時還要深入研究建設項目以及相關的技術,使企業的各個部門都可以通過塑造網絡環境而相互之間進行交流和信息查詢。此外,在財務信息化建設中,要注重引進高質量的信息人才。企業的財務人員也要注重自身職業素質的提高,不僅要對專業理論知識充分掌握,還要具備應用信息技術進行財務管理的技術能力,并對相關的計算機技術知識及時掌握,以提高工作效率。

3、財務人員要對財務會計的前瞻性以充分認識

長期以來,企業的財務會計所反映的都是企業過去的經濟狀況,而沒有基于企業現有的條件對其未來的運行情況進行預測。企業在會計信息處理中,對前瞻性以充分認識是非常重要的。首先,企業要將相關的管理制度制定出來,以通過現有的會計信息對未來的會計信息運行規律做出預測,并根據這些信息維護企業的資產,使得所預測的數據信息更為安全可靠。其次,企業要從經濟環境出發,根據環境變化情況挖掘出更新的數據,并對這些數據信息進行分析。企業根據這些數據信息,就可以將企業運營中所存在的潛在風險以及時發現,并將這些數據信息向信息用戶傳遞,還可以為企業管理者提供前瞻性的決策。

4、轉變財務部門的工作內容

大數據背景下,財務會計轉變管理會計是過程性的,主要是原有的財務數據核算工作內容發生了改變,而且將工作的重心落實到財務數據的管理上。隨著財務人員角色的轉變,就需要其對財務信息以充分了解的同時,還要摒棄傳統的財務數據反復核算的數據處理方式。采用大數據的處理方式,不僅使財務人員能夠對企業的資金運行情況以更好地分析,而且財務人員的工作質量和工作效率都會有所提高。所以,處于大數據背景下,將單一的財務核算轉變為綜合性的財務數據管理工作,包括財務數據信息的收集、數據的加工和處理、數據的分析和管理等等,都要納入到財務管理工作中,以使財務部門的工作系統化展開。

五、結束語

綜上所述,大數據背景下,財務會計工作中的傳統管理模式已經難以滿足企業發展需求。管理會計的應運而生,使得財務會計逐漸轉向管理會計,這是時代的要求,也是企業財務管理的必然趨勢。為了使轉型速度加快,就要采用科學合理的管理策略,以使企業的會計工作系統化展開。雖然大數據背景下財務會計向管理會計轉型是一種必然,但是,具體運行中會存在一些問題,采取相應的管理策略是非常必要的。

作者:樊春霞 單位:中國檢驗認證集團測試技術有限公司

參考文獻:

[1]袁振興,張青娜,張曉琳,等.大數據對會計的挑戰及其應對[J].會計之友,2014(32):90—92.

[2]季丹群.大數據時代對傳統制造企業管理會計的挑戰[J].財稅研究,2014(24):163—164.

[3]姚璐.大數據時代下企業管理及應用[J].科技創業月刊,2014(01):82—83.

[4]黃曼遠.淺析管理會計與財務會計的融合[D].財政部財政科學研究所,2014.

篇10

【中圖分類號】F239.227 【文獻標志碼】A 【文章編號】1673-1069(2017)04-0057-02

1 引言

目前,我國正致力于社會主義小康社會的建設,針對一些貧困地區,國家加大了扶貧力度,實施了精準扶貧政策,坦白說精準扶貧工作是一項長期性、系統性的大工程,需要各個相關政府職能部門的通力協作,才能將扶貧這項工作做好。審計機關作為其中關鍵的一環,如何在新時期轉變思路、創新方法、全力服務精準扶貧工作的開展,成為當前審計機關工作的重要內容之一。

2 開展精準扶貧政策跟蹤審計的重點內容分析

2.1 認真貫徹基本方略

2015年12月15日,“十三五”脫貧攻堅工作有關情況的新聞會召開,會上扶貧辦主任劉永福表示:脫貧攻堅的基本方略就是精準扶貧和精準脫貧。這項基本方略的實施,變革了現有的扶貧思路和方式,更為形象地來說,精準扶貧和精準脫貧就是將“輸血”轉變為“造血”,來實現貧困地區的自主脫貧。以往扶貧項目的重點放在了GDP的增長上,現在要轉變為注重脫貧的成效,也就是說要將“扶持誰”、“誰來扶”、“怎么扶”的一系列問題解決好。前文我們提到了精準扶貧政策主要涵蓋了“六個精準”和“五個一批”,其中六個精準包括對象精準、項目安排精準、資金使用精準、措施到戶精準、因村派人精準、脫貧成效精準;五個一批包括發展生產脫貧一批、易地扶貧搬遷脫貧一批、生態補償脫貧一批、發展教育脫貧一批、社會保障兜底一批。

2.2 精準扶貧、脫貧的工作方案

按照《重要政策措施分工方案》和《2016年工作要點》明確進度安排,不斷壓實責任、傳導壓力;深入推進“五個一批”,扎實開展十大扶貧行動,深化社會參與扶貧,實施好“直過民族”脫貧攻堅行動計劃;瞄準革命老區、民族地區、邊疆地區、四大集中連片特困地區最困難的地方、最貧困的群體、最迫切需要解決的問題,把解決深度貧困擺在優先位置,集中力量打攻堅戰。還要建立扶貧項目資金整合和監管機制。抓緊出臺貧困縣統籌整合使用財政涉農資金的具體意見,把管好用好扶貧資金作為最重要的任務,集中整治和查處扶貧領域的職務犯罪,防止扶貧資金“跑冒滴漏”。

3 精準扶貧政策落實跟蹤審計的必要性

3.1 是適應新常態的內在要求

當前和今后很長一段時期內我國經濟發展的大趨勢就是適應新常態、踐行新理念,在此背景下,各個政府職能部門要積極貫徹落實中央一系列重大決策部署。審計部門作為重要的基層職能機構,要深入分析新常態,深化審計重點,強化跟蹤審計精準扶貧等重大政策、方針的貫徹落實情況,將改善民生作為工作重點,提高精準扶貧的實效性[1]。在新常態的新要求下,要與時俱進,轉變思路,創新工作方法和手段,助力精準扶貧政策的有效落實,幫助貧困地區的群眾脫貧致富。

3.2 是實踐“五大發展理念”的創新要求

“五大發展理念”包括創新、開放、綠色、共享、協調,這些是新常態下的重大理論和實踐創新,我們在開展各項工作時就要根據這些理念,本著解決社會公平公正問題,遵循以人為本,踐行發展“以人民為中心”開創共同富裕道路的新局面,這也是我國社會主義小康社會的本質要求。當前我國已進入了“十三五”時期,這也是全面建設小康社會的攻堅期和收關期,扶貧攻堅應取得階段性成果。所以,全面落實精準扶貧政策跟蹤審計工作,是踐行“五大發展理念”的要求,同時也是貫徹統籌分配、堅持社會公平正義的內在要求。

3.3 是實現精準脫貧目標的保障

從頂層設計來看,精準扶貧是一項較為全面的政策,也被稱為“點穴式”扶貧,其主要內容涵蓋了“六個精準”、“五個一批”、“五個堅持”等多個層面。精準扶貧的關鍵點在于解決扶貧中的難題,突破以往扶貧的瓶頸,將扶貧具體落實到特定的困難地區、特定的困難群眾中。審計機關的工作就是要及時跟進產業扶貧措施的落實情況、扶貧資金的使用情況、幫扶跟進機制的建設等各方面的內容,只有審計工作的針對性、實效性、時效性顯著提升,才能保障整個扶貧工作成效,幫助真正貧困的群眾實現脫貧致富。

4 強化精準扶貧政策跟蹤審計的策略分析

4.1 完善精準扶貧審計新機制

在新形勢下,精準扶貧政策的跟蹤審計工作必須具備較高的時效性,這就需要完善審計新機制。具體來說,一是要對審計項目進行系統化的規劃部署,對審計項目的思路、重點、方法進行細化,提高審計方案的針對性、可操作性,確保精準扶貧政策跟蹤審計的有效落實;二是要提高審計整合工作的協調性,精準扶貧工作具有自身的特點,開展跟蹤審計時要準保把握扶貧地區的優劣勢,實現審計工作的多維度融合,針對審計工作中遇到的難點和重點實現,要做好及時溝通與協調工作,按照相關規定及時報告,強化跟蹤審計監督效能;三是全面梳理、總結、分析審計工作的經驗,以及相關的工作情況,結合新形勢、新任務、新要求,轉變跟蹤審計理念及審計方式,切實提高審計工作的效率和質量。

4.2 加強高素質、高水平??計隊伍的建設

精準扶貧政策跟蹤審計的效率和質量離不開審計隊伍的支持,審計人員應在總結經驗的基礎上,提高審計的職業化水平,引進新的技術方法,并不斷提高自身的專業技能和工作能力,積極為審計工作的順利開展貢獻力量。具體來說,審計隊伍的建設包括:一是建立健全審計干部選拔任用機制,以工作能力、學習能力為基本標準,構建能上能下的任用機制,確保干部能夠正確引導審計工作。二是加強職業化建設,優化審計教育培訓體系,建立審計專業技術資格制度,尤其是基層審計機關,需要進一步加快審計職業化建設。審計工作其實是一項涉及學科很廣的工作,包括經濟學、統計學、社會學等眾多學科,這就要求審計人員必須具備一定的基礎知識,才能做好審計工作,所以針對在職人員,必須強化教育培訓工作,努力打造一支高素質、高水平的審計隊伍。三是堅持依法文明審計,加強審計自律意識,嚴格遵守黨的政治紀律、組織紀律、廉潔紀律、群眾紀律、工作紀律和生活紀律,審慎客觀,文明規范,取信于群眾、社會、黨和政府。四是建立基于大數據的審計管理系統,高度重視跟蹤審計過程中關聯數據的分析,有機整合數據分析與實地審計工作,以精準的數據分析為基礎,制定相應的審計方案,有效提升審計水平。

4.3 加強精準扶貧的跟蹤審計監管

篇11

1.1.課題背景簡介

隨著WWW應用領域的不斷拓展,人們已不滿足于只用Web服務器瀏覽和靜態的信息,人們需要通過它發表意見、查詢數據甚至進行網上購物。原來的靜態Web頁面已經滿足不了用戶對信息服務的動態性、交互性的要求。這就迫切需要實現Web與數據庫的交互。

Web與數據庫這兩者結合意味Web數據庫將存儲和管理大量重要數據,然兒一但它們被盜用或篡改,可能會帶來巨大的政治和經濟損失?;趶V域網的Web數據庫訪問會帶來很大的安全問題。首先是數據庫的非法訪問;另一方面數據通過網絡傳輸,可能被截取、篡改。還有黑客的攻擊可能使系統癱瘓。

在動態Web不斷發展的今天,人們對其依賴性也越來越強,但由于其開放性,在設計時對與信息的保密和系統的安全考慮不完備,及人們對保護數據庫的安全意識薄弱,造成現在數據庫攻擊與破壞事件層出不窮,給人們的日常生活和經濟活動造成了很大麻煩。因此,研究網絡環境下的Web數據庫系統的安全保障已經成為了重要的課題。

1.2.課題發展現狀

目前Web技術與數據庫管理系統(DBMS)相互融合的研究已成為熱點研究方向之一。但是由于Internet本身并沒有提供任何安全機制,所以Web數據庫系統對于外界攻擊的防衛能力顯得十分脆弱,以至Web數據庫被攻擊事件屢有發生。

1.2.1.Web數據庫系統的產生與發展

隨著互聯網Internet的不斷發展,以及網上信息呈幾何級數的增加,同時由于傳統的數據庫管理系統中的數據庫資源不能被Web直接訪問,影響了數據庫資源的共享。如何將分布在Internet上的大量信息有效的管理起來,如何使現有的數據庫中的信息到Internet上,而且使的信息具有交互性、動態性和實時性,也就是將Web技術和數據庫技術想結合,開發動態的Web數據庫應用,成為當今Web技術研究的熱點所在。數據庫技術適于對大量的數據進行組織管理,Web技術擁有較好的信息途徑,這兩種技術天然的互補性決定其相互融合成為技術發展的必然趨勢。

1.2.2.Web數據庫應用系統安全威脅分析

為了讓數據庫能為處于網絡上的用戶服務而暴露在網絡中,網絡上的任何用戶都可以訪問這個數據庫,這種情況下對數據庫訪問的控制只能通過用戶控制既用戶名/密碼來進行。任何知道密碼的擁護都可以訪問,這增加了密碼保護管理的難度,同時用戶名/密碼通過Internet傳輸很容易被人竊取。

其次,數據應用放讀取的數據是通過Web傳輸,而這些數據缺乏有效的安全措施保護,從而可能被截取、篡改。

另外,Web數據庫中存儲著大量的數據信息,往往成為信息系統的關鍵,這就需要數據庫及數據庫所在的計算機能夠安全運行。數據庫放在Internet中很容易受到黑客的各種攻擊。

隨著網絡信息系統的應用,數據庫遠程訪問的安全問題日益突出。這個問題可采用網絡傳輸加密,用戶身份認證等安全措施解決。但由于日前的主

審計

用戶

Web數據庫服務器

備份

圖1數據庫安全模型

流數據的網絡傳輸部分都由數據庫廠家來完成,恰恰缺少這些安全措施,因此上述安全技術在普通的數據庫系統中難以直接應用。另外利用操作系統和數據庫管理系統提供的安全保護功能是常用的數據庫安全解決方案。但是Internet本身并沒有提供任何安全機制,只要Web站點和Internet連通,就可能被任何人訪問。

Web數據庫受到的威脅大致包括泄漏、竊取、竄改、冒充、延遲、重傳、遺失、越權存取數據、否認已收送數據及侵犯隱私權等。

1.2.3.數據庫安全結構模型

Web數據庫安全威脅涉及許多方面,我們認為安全措施應綜合考慮,具體可以采用下列技術措施:(1)安裝防火墻;(2)身份認證和數據完整性認證服務;(3)對機密敏感的數據進行加密存儲和傳輸;(4)訪問控制機制;(5)安全審計和監視追蹤技術;(6)數據庫備份與故障恢復。Web數據庫安全模型見圖5。

1.3.文獻綜述

文獻一:竇麗華,蔣慶華,等.基于Web的信息系統安全研究.北京理工大學學報.2002.6,22(3):361-363.

摘要:研究基于Web的信息系統的安全問題及如何充分并合理地利用操作系統、Web服務器和數據庫管理系統所提供的安全設置,以有效地保證信息系統的安全性.利用應用程序所具有的靈活性,可以彌補操作系統、Web服務器和數據庫管理系統的安全漏洞,結合某單位業務信息系統的案例,分別從操作系統、Web服務器、數據庫管理系統、應用程序4個方面對安全問題進行分析,同時給出了建議.

文獻二:曾愛林.基于Web的網絡數據安全體系的建立與完善.湘潭師范學院學報.2004.6,26(2):69-72.

摘要:隨著Web數據庫的應用越來越廣泛,Web數據庫的安全問題日益突出.本文從介紹幾種流行的Web數據庫訪問技術出發,針對Web數據庫的安全問題,建立一個Web數據庫安全體系的初步模型,并指出安全問題應以預防為主,應該在構建Web數據庫服務器時,及時進行漏洞檢測、風險評估,根據檢測結果,有意識地加強數據庫服務器某方面的防范措施.

文獻三:王惠琴,李明,王燕.基于Web的數據庫安全管理技術與實現.2001.4.27

(3):61-67.

摘要:隨著

Internet/Intranet

技術的發展和普及,Web數據庫已逐步取代基于傳統的

Client/Server

模式的數據庫系統,因此對于基于Web的數據庫安全管理技術的研究具有實際意義.介紹了目前常用的幾種Web數據庫的連接技術,并結合ASP技術對如何利用防火墻、身份認證、授權控制、監視跟蹤、存儲過程、審計、備份與故障恢復等技術來實現數據庫的安全管理進行了詳細的闡述.

文獻四:王燕,李明,王惠琴.Web數據庫的連接技術及安全控制.計算機工程與應用.2001.2,P126-128.

摘要:隨著

Internet/Intranet

技術的發展和普及,Web

數據庫必將逐步取代基于傳統的

Client/Server

模式的數據庫系統.對于數據庫與Web技術融合的研究具有實際意義.文章就目前常用的幾種Web數據庫的連接技術進行對比分析,并對利用ASP技術實現Web與數據庫的連接和Web數據庫系統的安全控制進行了詳細闡述.

文獻五:吳春明,鄭志強.基于Web數據庫加密研究.西南農業大學學報.2004.4,26(2):121-126.

摘要:計算機和網絡技術的廣泛應用,給信息安全提出了更高的要求,在信息系統開發設計過程中,安全性能總是被放在首要的位置,成為信息系統生存的關鍵.數據庫是基于WEB信息系統的核心組成部分,面臨來自外部和內部的雙重威脅,對其進行加密處理,是進行數據保護的有效手段.文章提出了一種基于JCE的WEB數據庫加密模型,并對模型進行了行為分析及安全性分析.

文獻六:帥兵.Web數據庫系統開發技術研究.安徽機電學院學報.2001.6,16(2):29-32.

摘要:利用Web服務器的信息服務能力和數據庫服務器的數據管理能力來構造信息服務系統已成為人們關注的熱點,其開發技術的關鍵是數據庫網關的實現.介紹了目前采用的傳統Web數據庫解決方案中數據庫網關實現幾種技術:CGI、IDC、ASP、JDBC,并分析了其缺點,提出了一種的新的Web數據庫解決方案.

文獻七:徐鋒,呂建.Web安全中的信任管理研究與進展.軟件學報.2002.13.(11):2058-2064.

摘要:信任管理是當前

Web

安全研究的熱點.介紹了信任管理思想的出現,給出了信任管理的概念和模型,并概述了幾個典型的信任管理系統和信任度評估模型.討論了當前研究存在的問題以及今后的研究方向.

文獻八:韓效鵬,官法明,等.關于Web數據庫安全性問題探討.勝利油田師范??茖W校學報.2004.12.18(4)83-85.

摘要:按照DBMS對數據庫安全管理的思想,在基于Windows環境的Web數據庫應用中,安全控制問題主要包括如何有效地對通過頁面訪問的數據庫中的數據進行保護,實現數據庫級別的分權限訪問等.在實施過程中,可使用用戶身份認證、授權控制、使用日志監視數據庫、參數化存儲過程等安全管理技術來構筑管理信息系統的安全體系.

文獻九:楊成,王恒山,張乾宇.Web數據庫在線維護方法研究.

上海理工大學學報.2003.6.27(4):40-43.

摘要:本文討論了結合互聯網數據中心(IDC)的服務器托管形式下對網站Web數據庫在線維護的形式和內容.并以上海理工大學管理學院學院網站為例,介紹了如何利用JSP動態網頁編程語言和JavaBeans來方便、快捷地實現對學院網站Web數據庫在線維護功能.

文獻十:賀紅,徐寶文.Web信息系統的安全隱患與網絡管理員對策.計算機工程與應用.2005.18,P151-153.

摘要:基于Web的信息系統安全性體系大致分為網絡系統、操作系統、Web服務器及應用程序和Web數據庫等多個層次,該文分別闡述了造成各層次安全隱患的主要原因,以及從網絡管理員的角度出發,在各安全層次上消除和減少安全隱患的實用性安全對策.

2.設計(論文)要解決的問題和擬采用的研究方法(論文框架)

2.1.Web數據庫應用系統要解決的問題

2.1.1.用戶身份認證

基于Web的數據庫應用系統中包含大量的敏感數據和機密數據,為保證系統數據在存儲時和網絡傳輸時不被未經授權的用戶訪問或解讀,可以利用用戶名來標明用戶身份,經系統鑒別用戶的合法性后,再利用口令進一步核實用戶身份。為保證口令的安全性,在口令的提交過程中,可以利用安全套接字協議(SSL),通過使用公共密鑰和對稱性加密提供非公開通信、身份驗證和消息集成。

2.1.2.授權控制

經身份認證的合法用戶根據自己的權限來訪問系統,因此用戶的授權管理機制甚為重要,其嚴密性將直接影響整個系統的安全性。在該安全體系中,可以利用Windows

NT的NTFS和DBMS的用戶角色在不同層次分別對用戶權限進行限制。

2.1.3.監視跟蹤

日志系統具有綜合數據記錄功能和自動分類檢索能力。完整的日志不僅要包括用戶的各項操作,而且還要包括網絡中數據接受的正確性、有效性及合法性的檢查結果,為日后網絡安全分析提供可靠的依據。

2.1.4.存儲過程

在基于Web的數據庫應用系統中,可通過建立參數化的存儲過程實現數據庫的訪問,這通常是增強Web安全的一個最佳方案。

2.1.5.輸出數據HTML編碼

輸出數據HTML編碼是指在將任何數據返回給用戶前應采用HTML編碼,以防止跨站點的腳本攻擊。因為攻擊一旦破壞了數據庫,便可向記錄中輸入腳本,次腳本隨后返回給用戶并在瀏覽器中執行。通過HTML編碼,可將大數腳本命令自動轉換為無害文本。

2.1.6.中間件技術

隨著網絡數據庫朝分布式方向的深入發展,加上Internet上異構數據庫的普遍存在,上述單獨的數據庫管理系統的安全管理能力越發顯示出它的局限性。因此需要有在邏輯層次位于DBMS之上能覆蓋具體差異、邏輯功能上能同意管理、同時可與用戶進行交互的中間件部分。

最基本的中間件技術有通用網關接口(CGI)、Internet數據庫連接器(IDC),Microsoft最近開發的ActiveXDataObject技術(ADO),它提供了高效率的ODBC數據庫或OLE-DB數據庫來源的鏈接功能。

基于數據庫訪問數據庫的原理如圖1所示。

2.2.研究方法

本課題采用以文獻資料法和比較研究法相結合,以文章的全面性,系統性,專業性為目標,讓讀者清楚的知道Web數據庫的含義,發展現狀,以及如何更好的保證Web數據庫的安全。

3.本課題需要重點研究的、關鍵的問題及解決的思路

本課題主要討論Web數據庫產生與發展和存在的安全性問題,重點研究Web數據庫保護的具體方法。以縱向且全面的方式分析Web數據庫的安全問題。

主要涉及內容:

1對身份認證的加密方法

2如何安全地設置Web和數據庫權限

3如何更好地對CGI應用程序進行編程

Web瀏覽器

Web服務器

中間件

Web數據庫

圖2基于中間件技術訪問數據庫

論文研究內容確定

安全解決方案的研究

研究工作總結,形成論文

Web數據庫安全性分析

文獻檢索

課題調研

4.完成本課題所必須的工作條件(如工具書、實驗設備或實驗環境條件、某類市場調研、計算機輔助設計條件等等)及解決的辦法

4.1.具備一定的實驗設備和實驗條件:

有專業知識作為基礎,有文獻資源豐富的網站,擁有自己的電腦及為實驗提供的機房,并有專業的老師進行輔導。

4.2.參考文獻:

[1].

許龍飛.基于Web的數據庫技術與應用.現代計算機,2000(2):14-15.

[2].

王國榮,朱琳杰,王偉.Active

Server

Pages&數據庫.北京:人民郵電出版社,1999:139-269.

[3].

道焰,朱世挺等.CGI技術及其安全性研究

[J].計算機系統應用,1997

(12).

[4].

周世雄編.IIS4.0超級網站速成.青島:青島出版社,1999:33-299.

[5].

蔡丹媚利用ASP輕松實現Web的動態交互訪問.計算機應用研究,1999

(2):62-63.

[6].

Arman

Danesh,Wes

Tatters著,陳卓,張知一等譯.Java

Script

1.1開發指南.清華大學出版社,1998.

[7].

宵金秀,馮沃輝,盧國旺.中文Dreamweaver3網頁設計大制作.北京:中國民航出版社,2000.5:117-130.

[8].Palo

Alto.Overview

of

Control

Network.CA

94304.

[9].張國祥.基于Apache的Web安全技術的應用研究[J].武漢理工大學學報,2004,(3).

[10].Java

2

Platform

[M].Enterprise

Edition

By

Anne

Thomas.

[11].刑春曉,潘泉,張洪才.通用Web數據庫系統體系結構研究[J].計算機工程與應用,1999.9:35(9):90-93.

[12].

[美]

Curt

Jang,Jeff

Chow

著,周志英等譯.Web網和INTRANET上的信息出版技術.電子工業出版社,1997.

[13].Gunnit

S.Khunrana等,Web數據庫的建立與管理.機械工業出版社,1997.

[14].羅明宇,等.計算機網絡安全技術[J].計算機科學,2000,(10):55-58.

[15].王英凱.證券交易系統中的數據庫安全性[J].蘭州大學學報,35:531-533.

[16].張少敏,王保義.基于Web的MIS中的數據庫安全性策略[J].華北電力技術,2002,P45-90.

[17].羅昌隆,李玲娟.基于Web的數據庫訪問技術[J].南京郵電學院學報,2001.7,P30-32.

[18].呂峰,劉曉東等.基于Web的網絡數據庫安全系統研究[J].武漢工業學院學報,2003.6,P51-54.

[19].程萬軍

張霞

劉積仁.基于擴展客體層次結構的安全數據庫策略模型[J].軟件學報,2002.9,P40-42.

[20].李建中.日新月異的數據庫研究領域——數據庫技術的回顧與展望[J].黑龍江大學自然科學學報,2002,19(2):43-52.

5.設計(論文)完成進度計劃

第1—3周:課題調研、資料收集,完成開題報告

第4—6周:結合課題開展畢業實習

第7—11周:實驗研究

第12—13周:完成論文初稿

第14—16周:完成論文終稿并答辯

6.指導教師審閱意見

指導教師(簽字):

7.教研室主任意見

教研室主任(簽字):

系(簽章)

篇12

(一)財務網絡化的發展及商務電子化推廣給審計行業帶來了新的發展思路及指導方向

計算機網絡技術不斷發展,技術不斷革新,其應用領域越來越廣。尤其現在大數據時代,借助云計算應用到審計工作,促使提高數據處理能力,審計的精確度越來越高,促使審計工作網絡化與電子化方向發展,這也是審計工作的發展趨勢?;ヂ摼W+時代的來臨,促進了電子商務產業快速發展,在新的知識經濟環境下,給審計工作人員帶來了機遇與挑戰,需要審計工作者需要提高自身審計能力,以來應變審計工作帶來的困難,加強審計工作者的素質提升,是保障審計工作順利進行基本保障。

(二)審計的現有標準和原有準則已經跟不上信息技術的快速發展

信息技術不斷發展,信息技術在審計工作的應用這是科技發展的結果,社會經濟呈現多元化發展趨勢,傳統的審計標準與現有的經濟結構,審計方式存在不協和因素,尤其信息技術在審計工作章的應用,在新的知識經濟時代,需要審計標準不斷變化,更新舊的標準,建立一個適合現代審計方式的新標準,提高審計工作者效率,借助于信息技術,促使審計工作越來越科學,準確,符合時展需要。

(三)電算化系統在審計線索上的積極應用

科技水平不斷發展,審計的方式也在不斷變化,現在經濟的格局發生變化,審計工作基本采用審計軟件進行審計,提高審計的效率,提升了審計的職能。電算化信息系統能夠通過改變與審計線索的相關因素,對審計人員在對審計對象業務的追蹤過程中造成一定程度的阻礙。會計電算化能使兩種追蹤審計線索進行有機組合,從而達到有效降低追蹤結果不準確度的效果?,F在會計都是信息化時代,會計工作離不開信息技術,審計工作與會計工作有一定關系,必須依靠信息技術手段去審計,提高審計的效率,使審計更加科學準確。

二、知識經濟時代審計創新的基本內容

(一)創新審計觀念

審計工作是一項復雜工作,審計工作者需要在工作過程中,不斷總結與提高審計的能力。在市場經濟的調節下,經濟呈現多元化發展方向,企業借助與科技手段不斷創新與發展,與傳統的經濟體制有一定的區別。審計工作者需要更新審計觀念,借助于信息技術,采用信息技術手段進行審計,可以提高審計工作的效率,也能增強審計的準確性。審計工作者更新觀念是審計工作中關鍵因素,只有理念更新,利用先進科技手段去審計,肯定能提高審計能力,增強創新意R,提高創新能力,審計工作者創新的工作,是面對復雜的審計環境下的關鍵因素,是提高審計工作者能力的主要因素,必須更新審計觀念,作為一名合格的審計工作者。

(二)行業制度和標準的創新完善

行業制度和標準需要不斷完善,這是審計工作發展需要,也是社會發展對審計工作提出新的要求,科學的標準建立,是審計工作者創新工作的前提。審計行業的監督制度應該建立在合法的基礎上,任何監管人員都不能濫用行政權力,行業內應該不斷強化提高審計監管工作人員的崗位基本素質及職業道德,同時,政府也應該實行對監管部門的權限進行制衡規范。審計部門一般是政府下的機構,現在也有三方審計部門,這是成立一種專門的審計機構,無論那種審計機構都需要有一定的監控,能更好的為審計服務,提高審計工作者的審計職能。

三、審計行業創新變革的內涵及要點

審計工作是一項重要工作,也是一項復雜工作,審計工作者必須創新的工作,提高自己的審計能力,審計工作行業的創新改革是審計工作發展需要,也是社會發展的需要,審計創新改革內涵及要點主要有以下幾點:

(一)根據現有審計行業的發展現狀,在審計工作者出現的問題,及時提出解決問題的措施,進行有目的的進行更新理念、創新工作。

(二)審計工作的行業創新應該避免過度自然的跟隨創新自身發展趨勢的隨意性和盲目性,要努力實現更多的創新價值。

(三)審計創新要在前人的基礎上,根據實際工作經驗,結合審計規律,創新去工作,讓其成果更大。

(四) 審計行業創新除了有意識地利用歷史已有的發展基礎,更應該強調一定程度的原創性,不能過度聽取別人的意見,而遺失了自己的主觀特點。

(五)創新的基本是可操作性,可適用型,在審計工作中能有所應用,否則沒有任何意義。

參考文獻:

[1]錢曉能.試論審計創新及其發展策略研究[J].知識經濟,2009(05).

[2]趙登攀.試論網絡時代的審計創新[J].現代審計與經濟,2009(04).

[3]張益明.試論知識經濟和審計創新[J].事業財會,2001(02).

篇13

一、奔福德定律及國外的應用

奔福德定律是由美國數學家、天文學家塞蒙?紐卡姆(Simon Newcomb)在1881年首次發現的。在1881年的一天,他在使用對數表做計算時,突然注意到對數表的第一頁要比其他頁更為破舊。奇怪的現象激發了他的研究興趣,當時他所能得到的唯一解釋是人們對小數字的計算量要大于對大數字的計算量。經過大量的統計分析,他發現了許多類型的數字都很好地符合這樣的規律:以1為第一位數的隨機數要比以2為第一位數的隨機數出現的概率要大,而以2為第一位數的隨機數又比以3為第一位數的隨機數出現的概率要大,以此類推。當時紐卡姆關注這一數學現象完全是出于好奇,并沒有對這一定律做出任何解釋。由于當時的人們對這一規律的運用缺乏興趣,這一發現很快就被人們忘卻了。

到了1938年,美國通用電器(GE)的物理學家弗瑞克?奔福德(Frank Benford)注意到了同樣的現象。他收集并驗證了總數為20 229個數字,其中包括籃球比賽的數字、河流的長度、湖泊的面積、各個城市的人口分布數字、在某一雜志里出現的所有數字,利用了概率的數理統計思維,發現在這些數字中,整數1在數字中第一位出現的概率大約為30%,整數2在數字中第一位出現的概率大約為17%,整數3在數字第一位出現的概率約為12%,而8和9在數字中第一位出現的概率約為5%和4%。這一規律因此也被人們稱為“第一位數分布規律”。弗瑞克?奔福德并推導了奔福德定律的數學表達式,即數字的第一位上各個非0數字出現的概率表達如下:

其中:n=1,2,3,…,9;p(n)代表數值的概率,lg為以10為底的常用對數符號。

根據上式,數字第一位上出現1至9的數值依次代入上式,得結果如表1所示。

奔福德定律從產生后就引起人們的廣泛關注,后人對此定律進行了大量的擴展研究,取得比較典型成就的有數學家Pinkham,他研究并證明了奔福德定律不受度量單位的影響,使得人們合理解釋了不同國家不同貨幣計量工具下的財務數據均可以采用奔福德定律進行數值分析,而對奔福德定律的證明直到1996年才由Hill給出了嚴謹的數學證明,從理論上滿意地解釋奔福德定律的正確性。

半個世紀過去后,有人開始關注這一定律在財務領域的應用。1988年,Carslaw首次把奔福德定律應用到會計領域,他提出了一個有趣的假設:當公司的凈利潤剛好低于心理預期邊界時,管理者會傾向于想辦法讓這些數字剛好“上線”,因為他們都想報告出更高的收入數據來。Carslaw通過實證研究驗證了這一假設。Thomas于1989年在美國一些公司的財務數據中發現了同樣的現象。1996年,Nigrini開發了對財務數據進行奔福德定律測試的計算機軟件,首先把奔福德定律系統、廣泛地應用到舞弊審計領域。Nigrini將這種舞弊審計的技術方法稱為數值分析技術。這一軟件在實際審計應用中取得了相當好的效果,例如利用這一技術成功地識別出美國旅游度假公司的財務舞弊案。在審查納稅舞弊時,奔福德定律也發揮了很大的作用。Nigrini被邀請參與了幾個國家的稅收審查,他設計的軟件甚至還被用來審查比爾?克林頓的納稅情況。由于這些案例的成功,奔福德定律在美國和歐洲國家引起了廣泛的關注,同時也得到了許多集團企業、政府部門、上市公司、專業機構以及世界著名的審計師事務所的重視。

二、奔福德定律在我國應用的現狀

目前,國內對奔福德定律的介紹和研究極少,實踐上也沒有得到應用。筆者多次檢索了中國期刊網、萬方論文及期刊數據庫等文獻數據庫,關于奔福德定律的文章很少,只有幾篇,如由馮郁和丁國勇所寫的《班福法則及其審計應用》(審計理論與實踐2003第12期)文中將Benford's Law譯為班福法則,該論文簡要介紹了這一定律的內容,并通過一組實際財務數據來顯示和驗證該定律的正確性;張蘇彤所寫的《奔福德定律:一種舞弊審計的數值分析方法》(中國注冊會計師2005第11期)利用2003年1 394家上市公司的主要財務數據進行了奔福德定律的驗證性測試,張蘇彤和康智慧所寫的《信息時代舞弊審計新工具――奔福德定律及其來自中國上市公司的實證測試》(審計研究 2007第3期)進一步對2006年1447家上市公司的主要財務數據與奔福德理論值進行相關系數的驗證性測試,并從相關系數的角度得出了財務舞弊公司的主要財務數據與奔福德理論值相關性較差的結論;王福生、李勛和孫遜所寫《奔福德定律及其在審計中的應用研究》(財會通訊 2007第3期)、《奔福德定律在審計領域的應用》(財會月刊2007 第3期)闡述了奔福德理論在審計領域應用的成果、適用性以及優缺點,并借助于某股份公司的財務數據驗證奔福德定律在舞弊識別上的有效性等等。我國這些文獻大多是在對奔福德定律做理論上的驗證性測試,在審計實務界還沒有展開。2008年10月筆者利用注冊會計師后續教育培訓一周的時間對一百多名注冊會計師進行過調查,99%以上的人對奔福德定律一無所知,他們在審計實務中大部分沿用常用的審計技術方法,如檢查、監盤、觀察、查詢、函證、計算以及分析程序,對于統計抽樣技術在審計實務中也應用很少,對抽樣的選擇主要還是依賴于注冊會計師的執業經驗??偟膩碚f,國內對奔福德定律的理論研究從深度和廣度上來說都遠遠不及國外同行,在審計實務中也沒有得到有效的應用,我國在這方面有必要借鑒國外的經驗,將奔福德定律的數值分析技術融入我國的審計實務中。

三、我國利用奔福德定律的必要性和可行性分析

(一)我國利用奔福德定律的必要性分析

首先,我國是一個發展中國家,上市公司在我國企業中所占的比重較少,絕大多數企業屬于中小企業,中小企業占全國企業總數達到了99.8%,中小企業由于自身固有的局限性和外界環境的影響,其財務核算與管理的控制比較薄弱,財務舞弊現象較為普遍,對中小企業審計的風險較大。而我國對中小企業的審計現狀是數量遠遠超過上市公司,但審計的收費卻遠遠低于上市公司,很多中小規模會計師事務所為了生存不得不受制于成本效益原則,對中小企業的審計不可能象上市公司那樣做到很詳細,如確認資產很有效的監盤程序,在對中小企業年度審計中就很難做到位,有的注冊會計師根本不監盤,對存貨及固定資產的確認往往簡單地依企業賬面數確認,有的注冊會計師只象征性地抽查一兩個品名,因而在對中小企業審計中我們很有必要引進先進而又有效率的審計技術方法,來提高審計質量,降低審計風險。

其次,我國在審計領域中如果引進奔福德定律的數值分析技術,可以完善我國現有審計方法體系,給財務舞弊的識別方法增添一項新的審計技術,提高現有審計水平,將有助于我國經濟的健康發展。

(二)我國利用奔福德定律的可行性分析

從理論上來說,大部分財務數據符合奔福德定律所揭示的分布規律,奔福德定律的數值分析技術識別財務舞弊已經在國外得到認可,在國內有關文獻也已經利用奔福德定律對有關的財務數據進行了驗證性的測試,測試結果是企業如果沒有進行財務舞弊,財務數據的分析數值與奔福德理論值是趨于一致的,如果企業的財務數據的分析數值與奔福德理論值出現偏差,預警人們企業可能存在財務舞弊。

從技術層面上說,我國大部分企業已經采用會計電算化進行賬務處理,審計人員對企業的財務數據很容易獲取,只需要從企業賬套中引出財務數據,形成EXCEL文檔,然后對數據進行整理,形成審計人員所需要的一串數據,再利用EXCEL中的數據公式進行處理,操作簡單易行,這也是奔福德定律的一大優點。下面以某單位的應收賬款賬戶的數據來詳細說明具體操作步驟:

1.整理數據。從賬套中引出應收賬款明細賬形成EXCEL文檔,打開文檔對數據進行整理,通過篩選功能去掉文檔中“上年結轉”、“本期合計”、“本年累計”所對應的數據,留下全年應收賬款每筆發生額的數據,選中借方發生額作為分析對象(假設借方發生額的數據在D列,共有數據7500個)。

2.截取數據的首位數。在空白的E列第一行輸入第一位首字的公式:LEFT(D1,1),將E列第一行選中,利用EXCEL填充柄功能將鼠標拖到E列的第7500行,這樣電腦就會自動把D列所有數據的第一位數字取出來存放在E列上。

3.計算每個首位數字的個數。在F列第一行輸入EXCEL條件計數公式:COUNTIF(D1:D7500,1),在F列第二行輸入:COUNTIF(D1:D7500,2),依次類推,直到在F列第九行輸入:COUNTIF(D1:D7500,9)。

4.計算每個首位數字在總數據中所占的概率。在H列第一行輸入公式:F1/7500,利用EXCEL填充柄的功能將鼠標拖到H列的第9行,首位數字所占的概率就會顯示出來。

5.比較數據。將H列所得到的首位數字的概率與奔福德定律中的概率數據進行比較,從而得出結論。

從審計的工作程序上看,利用奔福德數值分析技術形成的結論,一樣可以打印形成審計書面工作底稿,作為審計程序的一部分,為評估重大錯報風險提供信息來源。

四、利用奔福德定律在審計中的案例分析

在2007年度審計中,筆者曾經選擇企業資產均在6 000千萬以上,收入過億的生產和商貿兩個行業的六家中小企業的財務數據利用奔福德定律進行分析,本文選擇某皮革制造有限公司2007年度的真實財務數據進行說明。

審計過程中首先筆者對該單位的財務數據進行分析程序,對資產負債表進行結構百分比分析發現應收賬款占總資產36.69%,應付賬款占總資產38.08%,對利潤表進行比較百分比分析收入比上年增長11.4%,而銷售費用比上年增長117.98%,從重要性角度筆者又選擇了應收賬款、應付賬款以及銷售費用進行奔福德數值分析,模糊查找財務舞弊的跡象。

首先,對4 875筆應收賬款借方發生額的第一位數字出現的概率與奔福德定律相比較,具體數據如表2所示。

由表2中數據產生的柱狀圖如圖1所示。

從表2和圖1可以得出,2007年度應收賬款的發生額第一位數字出現的概率與奔福德定律相似,呈下降趨勢,經過比較不排除有會計舞弊的可能性,但從模糊查找角度看,應收賬款舞弊的可能性不大,當然在審計過程中對交易額超過審計重要性的發生額還需要進一步審核。

其次,對3 932筆應付賬款的第一位數字出現的概率與奔福德定律相比較,具體數據如表3所示。

由表3中數據產生的柱狀圖如圖2所示。

從表3和圖2可以得出,2007年度應付賬款的發生額第一位數字出現的概率與奔福德規定律相似,呈下降趨勢,經過比較不排除有財務舞弊的可能性,但從模糊查找角度看,應付賬款舞弊的可能性不大,當然在審計過程中還是對交易額超過審計重要性的發生額需要進一步審核。

最后對1 382筆銷售費用發生額的第一位數字出現的概率與奔福德定律相比較,具體數據如表4所示。

由表4中數據產生的柱狀圖如圖3所示。

從表4和圖3可以看出在數字1和數字9這兩位數字出現的概率高于奔福德定律,其他幾位數字出現的概率數值較接近,數字從2至8出現的概率基本是遞減趨勢,在數字1 和9處出現較大反差,針對每一位數字是1和9的數據進行分析,發現從7月份開始老板本人每月報銷加油費和路橋費幾十萬元,每筆數據不是一萬多就是九千多,懷疑老板報銷銷售費用可能有舞弊行為。對銷售費用的路橋費明細進行詳細審查,發現老板本人來報銷路橋費用以9為開頭的數字大部分發票票據來源來自于杭州的定額運輸發票,對應銷售情況來看,全年銷往杭州的收入為829 152.60元,而列示了運往杭州1 796 360.00元運輸費用,運輸費用遠大于銷售收入,這是不合常理的。經查詢,原來老板的兒子在杭州開有一零售皮革店面,是定額征收的,大部分是不開票銷售的,商品是從該皮革公司發出的,由杭州某運輸公司負責托運。由此可見,借助于奔福德數字定律可以幫助人們提供財務舞弊線索。

五、奔福德定律在審計應用中注意事項

審計中應用奔福德定律時需要注意以下幾點:一是注意運用這一定律的限制性條件,并不是所有的數據類型都適合奔福德定律。二是數據樣本要有足夠的量,樣本越大,結果越可靠。經驗表明,樣本量在10 000以上的數據一般與理論值吻合很好,在1 000至10 000之間吻合較好,在200至1 000之間差距較大,但也有相當參考意義,樣本量在200以下的,一般就不適用奔福德定律了。三是數據檢測的結果如果不符合奔福德定律的概率分布,只能說明存在財務舞弊的可能性,不能說明一定存在財務舞弊,因而審計人員還應以此為線索,追根尋源,查找舞弊存在的有力證據。四是如果數據檢測結果符合奔福德定律的概率分布,并不意味著一定不存在財務舞弊。尤其當數據總量非常大的時候,如果舞弊數據發生次數不多,它們就會淹沒在大樣本的規律之中。在大樣本的情況下,審計人員還應該考慮分層進行測試分析。分層進行測試的形式可以依企業不同情況進行分類,可以按企業的供貨商、購貨商進行分層,也可以根據不同購貨地區、銷售地區進行分層。這種分層測試均可以通過計算機的操作功能快速而方便地完成。

【參考文獻】

[1] 張蘇彤.奔福德定律:一種舞弊審計的數值分析方法[J].中國注冊會計師,2005(11).

[2] 馮郁,丁國勇.班福法則及其審計應用[J].審計理論與實踐,2003(12)

91综合网人人