引论:我们为您整理了13篇大数据审计论文范文,供您借鉴以丰富您的创作。它们是您写作时的宝贵资源,期望它们能够激发您的创作灵感,让您的文章更具深度。
篇1
英国NFI通过大数据分析,不仅发现个案问题,还对同类问题的产生原因进行分析,促使相关部门和单位完善制度,堵塞漏洞,提高公共资金的使用效率和效益。近年来,随着我国财经制度的不断完善和加强,违反财经纪律、违法违规的问题得到了很大遏制,国家审计在继续查处违法违规性问题的同时,也十分注重对公共财政资金使用绩效进行审计。通过大数据集中分析平台的关联分析查询,能够从整体层面高效、便捷地发现诸如公共财政资金滞留的具体环节、时间;发现公共财政资金投向不符合产业政策导向;发现财政专项资金分配在地区和部门间存在的不均衡、不合理;发现财政投入的建设项目存在的进度滞后、效益与预期不符等问题。大数据提供的证据与审计抽查相比,能够更加全面、客观地反映某项公共财政资金产生的整体效果和存在问题。在此基础上提出的审计意见和建议,更加充分、准确和有针对性,更能促使相关部门和单位完善制度、落实责任、加强管理,更好地实现公共财政资金的价值。
三、如何构建审计大数据平台
1.通过立法为建立审计大数据集中分析平台奠定基石。英国NFI的数据收集和分析工作是依据2008年7月21日修订的数据配比法案进行的,法律授权使英国审计委员会将数据收集、整理、分析等工作成为常态,这是审计开展大数据分析的基石。目前,我国审计法授予了审计机关在审计期间获取被审计单位数据的权力,但是审计项目是单个开展的,各被审计单位之间的数据不能完全地相互关联,形成了一个个数据孤岛;并且,审计项目一结束,被审计单位就不愿意继续向审计机关提供数据,难以对被审计单位进行持续的审计监督。借鉴英国的经验,我国应当从法律层面明确属于国家审计范围的政府部门、企事业单位、公共机构,以及使用公共财政资金的企业、单位等应当定期向审计机关提供电子数据,为国家审计进行大数据分析创造条件,从根本上解决目前存在的数据收集难、不完整、时效性差等问题,将一个个数据“孤岛”连接起来,在此基础上进行深入的关联、对比和分析,真正发挥信息时代大数据的强大作用。
篇2
[ 3 ] 黄鼎城,郭增艳.科学数据共享管理研究[M]北京:中国科学技术出版社,2002:36.
[ 4 ] 黄鼎城,郭增艳.科学数据共享管理研究[M]北京:中国科学技术出版社,2002:130-140.
[ 5 ] 欧盟委员会副主席Neelie Kroes:希望每个欧洲人都
参与数字化[EB/OL].[2013-10-11].http://.cn/5f00653e83b753d652a86001/20125e74/46708/6b2776df59d454584f1a526f4e3b5e2dneelie-kroes-5e0c671b6bcf4e2a6b276d324eba90fd53c24e0e-65705b575316.
[ 6 ] 刘润达,赵辉,李大玲. 科学数据共享平台之数据联盟模式初探[J].中国基础科学,2010(6):27-32.
[ 7 ] 地震科学数据共享管理办法[EB/OL].[2013-10-11].http:///policy/gxbf.htm.
[ 8 ] 浙江建成全国首家省级地理空间数据平台[EB/OL].[2013-10-11].http://.cn/html/2013-02/22/content_21927.htm.
篇3
1基于Spark大数据平台日志审计系统架构设计
1.1系统设计目标和原则
本课题中日志审计系统通过对杂志收集监测设备采集模块,并且日志记录用户访问记录,系统运行日志以及整个系统运行状态信息。这里实现的是基于火花大数据平台日志审计系统的设计目标和原则主要表现在传统日志审计系统的基本功能和依赖大数据技术为整个扩展传统的日志审计系统。这里我们知道日志信息收集后解析XML日志将大量的数据和格式变量复杂源日志信息标准化伪日志信息的规范,一般来说在合并后单位时间函数在同一IP和报警分析等处理,同时这个日志集中管理存储在我们的一个存储系统中,能够有比较丰富的日志数据,实现我们的一整个全面的IT环境的审计日志。
本文探究的集中管理平台,能够较好地提供视图显示和操作更为方便的实现原理。通常来说对于集中管理平台通过图表清晰直观地显示实时分析的结果分析模块。我们能够对这份报告总结了历史时期的安全状况。同时,具体来说集中管理平台提供的管理系统,如日志收集管理或者是我们的安全管理,还有整个用户管理等等,在利用维持整个系统的管理功能。一般来说在对大数据技术来完成一些基本的日志审计系统的这样一个要求。并且在对我们的日志进行一个采集系统来取代传统的模块。一般来说我们的日志采集系统高可用性、同时还有比较好的一个可伸缩性和可以接受各种优秀的源格式;使用大数据平台的分析引擎日志审计系统,能够完成我们的这个上游的日志收集日志信息标准化。
1.2系统技术架构设计
本课题中我们知道对于审计系统,一般来说关键就是探究由大数据平台,同时集中管理平台,作为一个Mysql服务器主机。具体来看大数据平台上运行的一组服务器。另外在利用我们的大数据平台上运行的服务器日志信息标准化以及完成我们的分析,同时能够将整个结果存储在数据库中。通常来看我们数据库只保留一天的日志信息,同时这些所有的日志信息存储在分布式文件系统的大数据平台。其中一些数据在数据库中为方便安全管理人员查询日志信息,并且我们的这个报告信息和设置。具体来看我们大数据平台本身包含了分布式文件系统可以用作持久性存储。倘若我们在这个查询太古代历史日志信息或者需要探索分析报告图表的信息,一般来说也是需要完成的Spark大数据平台。
安全管理审计系统通过个人电脑连接,通常看看当前操作系统的日志信息,分析,同时还有具体报告只需要查询的数据可以保存在一个Mysql数据库。通常来说这样不仅有利于保护数据持久性,同时已经被证明是更长一段时间所有的数据挖掘,并防止频繁的影响信息查询日志分析的大数据平台。并且我们在集中管理平台提供了一个WEB服务,能够利用我们的网络查询系统分析结果,最后完成整个的操作和管理系统等基本信息。
2系统功能架构
2.1 系统功能组成
2.1.1日志采集
本课题探究的基于Spark大数据平台日志收集日志审计系统关键就在于这个可伸缩性和可用性。同时因为我们IT的现实工作环境会改变的可能性,并且一般来说不是改变更复杂的也可能是流线型的,通常来说这个具体日志收集应该根据实际监测网络的大小,从而来以确保你占用物理资源的大小,同时利用具体增加的方便和灵活的采集能力或释放多余的资源。一般来看我们的日志标准化基于标准化规范匹配所有的日志文件和日志信息是唯一可识别的格式。另外整个的日志标准化后的分析工作的前提下,仅仅是在实现了所有的标准化可以有效分析日志的日志格式。通常来说我们的可用性是反映在日志收集能够接收各种各样的方式,而不是说处理现在常见的发展云计算的企业环境。收购后的日志需要标准化日志。
2.1.2集中管理平台
集中管理平台提供了一个有效的访问接口,也就是说被视为视觉层,这里也得到了最后的整个分析结果。通常来说我们的安全管理员是能够实现审计日志的基本信息查询,同时还可以完成我们的查询统计查询等功能。另外,我们是可以利用整个基本的配置,来完成终端管理,完成整个系统的某些配置信息的管理。
2.1.3日志分析
日志分析是在大数据平台上来实现的。通常来说我们的这个日志分析主要有三种方法的分析:第一部分,也就是一个具体日志信息信息匹配分析;其次,我们的这个单位时间日志频率分析;第三,有关于多个日志的这样一个关联分析。
3集中管理平台
集中管理平台作为日志审计系统的外部接口,课题中是对本身需要的安全保证。一般来说,我们的这个集中管理平台安全部分作为一个关键在这一节中描述。使每个角色,从而能够更好确保其业务案例系统中最小权限的功能。另外课题系统分别建立了三个角色,分别是这个安全管理员还有我们的审计管理员,以及我们的系统管理员。一般来看,对于这个传统的双因素登录作为保证,能够较好集中管理平台使用SparkSecurity安全框架,以确保他们的安全。而且还能较好根据三权分立的思想设计的不同的角色不同的权限。并且我们的系统管理员负责系统配置相关业务,审计经理负责审计系统操作日志用户的内部审计制度。
本课题中探究了集中管理平台系统中非常关键的这样一个作用,并且我们的集中管理平台负责显示整个系统的运行结果,通常情况下配置管理系统,同时在与其他功能,并且可以再具体外部系统的性能。一般来说集中管理平台的主要部分资产管理、用户管理、规则、管理、安全中心,日志语句。报道的集合可以配置配置文件,检查报告已经操作日志。通常具体在安全中心是环境安全审计结果的监测系统的总体性能,并实时审计结果显示日志审计系统。一般情况下,对于管理这些资产可以输入或删除日志审计系统来管理资产信息,同时具体的资产配置日志文件标准化;以及在我们用户管理的操作用户管理平台,同时还需要能够保证平台的安全;一组规则,课题中对于规则管理是一个管理系统;同时多模块用于实现Spring框架,Spring框架是其中一个最流行的Web框架,;另外具体相关论文不再是一些信息,因此我们这里不将集中管理平台的实现模块被描述为主要内容之一。
后设置不同角色的权限需要限制用户的这样一个集中管理平台能够访问的内容是不同的,同时还不可以完成这个访问超出他们能力的内容,一般来说是使用直接访问URL。同时还有里利用这个Springsecurity框架,以确保我们的这个授权。通常情况下我们的Springsecurity除了授权和身份验证功能,主要就是我们的这个身份验证是识别用户和角色信息。能够较好地完成整个访问控制也可以称为资源访问控制,并且还可以较为直观是控制的表达一个URL访问请求权限。Springsecurity当一个URL请求许可的URL和用户身份验证的作用之下,倘若说能够较好符合要求离开,另外如果不符合拦截请求。通常情况下Springsecurity身份验证和访问控制需要通过XML配置信息。另外在这个身份验证是指用户身份认证,具体是验证用户登录时的用户名和密码,验证后的用户名、密码,角色和状态的信息,如认证信息,用户会话的认证信息已经被Sparksecurity保存存在。挺且我们的使用者在进行这个身份验证、会话管理,除了登录可用于访问控制。
访问控制的主要功能和主要步骤有:Springsecurity负荷数据库中的数据资源,一般来看是相应的资源数据和角色关系,同时这里的这个具体操作在以下loadResourceDefine()原来来达到目的,通常情况下我们的系统第一次运行时调用这个方法需要URL和角色的键-值对的形式存储记忆。另外当这个具体访问请求送达是,这里的URL和用户角色和资源数据对应关系能不能符合我们的角色。
4结语
网络安全已成为全球性的这样一个问题,目前已经是全世界各界都在关注。对于这个隐藏的安全威胁,一般来说消除系统通常采用加密、安全措施,如这个身份验证、授权和审计,同时来达到我们的这个网络的安全性。并且通常来看是在详细设计的基础上,另外我们在描述了具体的实现和测试工作内容的一部分。对于我们的水槽的采集模块配置文件,一般这里的分析主要功能模块的代码和我们整个系统运行情况等。同时基于火花大数据平台,我们的具体日志审计系统的应用做了简单的介绍,并进行了最后的这个总结,课题中完成大数据平台日志审计系统的发展进行了探讨。另外对于详细设计包括总体结构设计、模块设计和数据库设计。这里完成了整个设计的结构分为横向和纵向两个方面的设计。同时对于数据库设计了数据库的总体结构设计。
参考文献:
[1] 朱宏.安全日志统一收集平台的数据架构设计与实现[J].计算机安全,2010(10).
[2] 郝漩.基于Apache Flume的分布式日志收集系统设计与实现[J].软件导刊,2014(7).
[3] 王倩,陆展,龚俭.一种基于规则的安全日志范式分析模型[J].计算机工程,1999(S1):53-55
[4] 陈世强,蔡超.审计系统中基于数据挖掘的关联规则自动发现技术研究[J].计算机应用与软件,2007(1).
[5] 刘芳,肖铁军.XML应用的基石:XML解析技术[J].计算机工程与设计,2005(10).
篇4
一、大数据的内涵及特征
1.大数据的内涵。目前,对于大数据的定义没有统一定论,通常认为大数据是指以多元形式存在的、数量庞大且内容复杂的、需要专门的软件与分析工具进行搜集、整理、发掘及分析的那些自许多来源汇集而来的庞大数据组。可以从三个层面解释大数据:第一层面是理论,理论是认知的必经途径,也是被广泛认同和传播的基线;第二层面是技术,技术是大数据价值体现的手段和前进的基石;第三层面是实践,实践是大数据的最终价值体现。
2.大数据的特征。①Volume(数据体量巨大)。据“产业信息网”相关统计,截止到2012年底,人类已生产200PB(1PB=210TB)印刷材料的数据量,历史上全人类说过的所有的话大约是5EB(1EB=210PB)的数据量。而当前,典型个人计算机硬盘的容量为TB量级,但一些大企业的数据量已经接近EB量级,如此海量的数据对我们正确识别真实数据的能力提出了巨大的挑战。②Variety(数据类型繁多)。相对于以往便于存储的以文本为主的结构化数据,非结构化数据越来越多,如图片、视频等多类型的数据对我们的处理及分析数据的能力提出了更高要求。③Value(价值密度低)。价值密度的高低与数据总量的大小成反比。以视频为例,连续不间断监控过程中,可能有用的数据仅仅有一两秒。如何通过强大的算法更迅速地对数据的价值进行“萃取”成为当今大数据背景下亟待攻克的难题。④Velocity(处理速度快)。这是大数据区分于传统数据挖掘的最显著特征。根据IDC的“数字宇宙”的报告显示,全球数据预计到2020年时使用量将达到35.2ZB。在如此庞大的数据面前,高效处理数据就是企业的生命。
二、会计学专业人才培养模式
1.国外会计学专业人才培养模式。①德国的FH模式。德国推行的应用型人才培养的模式被称为FH模式。不仅注重系统的科学知识的讲授,更加注重实际应用能力的培养。尤其重视学生实践能力的考核,将学生的培养与企业实际紧密结合。②英国“三明治”模式。英国的应用型人才培养采用了实践与学习相交错的“三明治”模式,即实践环节与学习环节交替进行,课程设置与招生充分结合市场。③美国“生计教育”模式。20世纪70年代的石油危机爆发后,为解决毕业生的就业问题,美国推出了“生计教育”模式。该模式下,学生在学校不仅接受教育,而且接受技能的培训。教学方式方法灵活、校企合作、政府支持为这一模式的主要特点。
2.国内会计学专业人才培养模式。①精英教育。我国长期推行的是精英教育,尽管精英教育饱受诟病,但就会计人才的培养来看,精英教育并非一无是处。精英教育使得学生可以获得足够的教育资源。教师可以和学生在课堂上进行充分的互动沟通,帮助学生培养批判的精神和能力。此外,精英教育模式下遴选出的精英通常不仅在校期间学习刻苦,在进入工作岗位后也后劲十足,发展潜力巨大,能够将在学校培养出的良好习惯和能力运用到工作实际中。②大众教育。随着经济社会的发展,我国的会计教育由精英型教育转向了大众化教育。这一转变给我国的会计教育带来了一些问题,表现在会计教育的发展严重滞后于会计职业界的实际,会计人才培养不能满足市场的需求,供求出现结构性矛盾。培养目标侧重于技术的培养,而忽视了通用能力的训练;课程过分强调会计的规则性,抑制了职业判断;教学方法上,倾向于灌输式的教育,而缺乏必要的实践操作。
三、大数据对会计学专业人才培养提出的挑战
1.培养重点不明确、培养目标不清晰。我国高校会计学专业人才培养模式的重点主要以理论和科研教学为主,大多课程的安排也充斥着浓浓的文学色彩,如会计学原理、审计理论等。同时,我国大多高校会计学专业人才培养目标并不清晰,单一的追求学生理论知识的掌握,使得学生的实践及应用能力欠缺。这两者与当今市场对会计学专业人才的需求不对接,与当今社会职业界对会计学专业人才的要求相差较远。
2.课程设置不合理,导致无法灵活应对大数据。会计学作为一级学科,与经济学、数学、统计学等学科的交叉增添了会计学课程设置的多样及多元化。但我国会计学课程设置的本身就存在着很多问题。如过分注重理论研究,不能更好地体现会计学的实用性;课程设置的层次性不鲜明;专业课程前瞻性不够,与社会的热点及最新发展衔接脱钩;实践环节设置的相对欠缺,导致对大数据处理的应用能力受限。
3.考核制度没有得到严格执行。在我国专业人才培养模式中,会计学等各学科的结课考核方式以考试为主、结业考试以论文形式为主。因教学中研究氛围的不浓,经费支撑的不足,以及部分学生为就业等现实因素的影响造成其投放在论文上的精力不够,这都使得考核制度对会计学专业人才的培养质量的保障作用在一定程度上受到削弱,也使考核结果及论文质量受到严重影响。
4.开源课程等新型教育方式及新媒体模式对传统会计学专业人才培养模式的冲击。当今,互联网上充斥着海量的教学资源,除了各类精品课程、教学视频外,开源课程充分利用在线视频进行远程教学,为任何有意者提供学习的平台,突破了地域和时间的限制。微博等新媒体模式与移动互联网相结合,打破了教学的界限,将课堂讨论延伸到网络。吉姆.格雷指出,科学研究的方法除了基于实验、基于数学理论和基于计算模拟的三种范式外,基于数据探索的第四范式正在形成。
四、面向大数据创新会计学专业人才培养模式
1.课程设置。面向大数据,创新型会计学专业人才培养中应开设数据分析、搜索引擎系统应用、信息检索、信息处理等这些与数据的大量获得紧密联系的课程,增强学生接触数据与获得数据的可能。高校应加强对会计学相关数据库的建设以及完善图书馆信息系统,通过这样的方式对数据进行归集、整理、分类,不仅可以提高对数据的大量获取性,统一数据口径,而且有助于在数据高速产生的状态下数据的高效提取性,为后面数据的分析提供帮助。大数据的多样性特征使得我们接触到的数据的形式各式各样,相应在创新型会计学专业人才培养中课程设置也会多种多样,为大数据环境下培养复合型专业人才奠定扎实基础,可以设置专业核心课程。由于大数据的数据量虽大但价值量小的特征,因此在课程设置上应开设信息检索、数据挖掘与数据仓库等检测、分析数据价值的课程,并通过采用案例教学法、课堂模拟法、角色扮法、体验式教学法等方法,引导学生将提取出的、有价值的数据应用于中,培养学生运用数据高效解决实际问题的能力。
2.师资建设。创新型会计学专业人才培养中,师资力量是支撑学生正确获得有用及真实数据的基础。高校在会计学专业人才培养中应加大对大数据教学及运用的教师培养及经费支出的同时,组建“在线教育、实体操作与校企合作”三位一体的平台,完善具有大数据特色的师资建设。高校建设中应加强对教师大数据知识与应用的培训,与企业合作获取高效大数据平台建设及培训经费的同时,加强教师接触第一手数据的可获取性,提升教师对数据的接受性及运用能力,改变以往教学存在的偏理论、缺乏数据感的问题。另外,高校应积极引进国外先进人才,同时选派青年教师去国外高校访学、进修。高校实行创新型会计学专业人才培养模式下,应举办会计学相关教师与其他学科教师的交叉学习与培训,为实现会计学专业人才的跨专业联合培养打下基础。另外,通过建立产学研联合实验基地等项目,为教师更好的理解大数据、掌握先进方法、接触前沿性知识、运用研究成果以及未来的创新发展创造良好的平台。
3.个性化学习。创新型会计学专业人才培养中,无论课内及课外,高校教师都应该引导学生去获取更多的数据,以作为课程教学、讨论的有力支撑,做到尽可能的用数据说话。高校在寒暑期开设的相关专业模拟实习,如会计核算模拟实验、会计岗位沙盘模拟实验等,可以为学生更切身的接触数据提供便利,通过实践的反馈和思考,也可以培养学生的创新思维。大数据高速的特征加上现代开源课程等新型教育方式及新媒体模式等在线资源的冲击,使得学生接触数据的方式多样。根据学生自主选择接触数据,然后相互交流。这增加了学生的学习兴趣,而且可以激发学生的创造性。大数据的多样化特征下,高校应为学生提供相关专业学习的辅修课程,开通学生与其他学科专业教师的沟通渠道,举办“跨学科联合培养、培养复合型专业人才”的实践大赛数据分析大赛、基于大数据的数学建模大赛等。高校应为学生提供实验室、计算机机房、计算机操作系统等软硬件条件,开放式的引导学生自主参与产学研实验基地、多校联合培养项目以及国家政策引导下的大数据开发项目研究之中,为“跨学科联合培养、培养复合型专业人才”的培养目标提供实践平台和发展空间。
篇5
2016年4月17日,中央电视台的一则报道震惊全国,上市公司诺普信控制的常隆化工厂的土地污染导致江苏常州外国语学校近500名学生出现身体异常。而该公司于2014年曾被诉讼并支付环境整治费。
紫金矿业等上市公司的环境污染事故仍记忆犹新,新的环境污染事故仍然层出不穷。根据环境部的统计数据显示,2003年至今,我国上市公司环境事故的发生次数呈现上升态势,其中空气污染和水污染是最严峻的领域。
2016年2月,北京公众环境研究中心公布的数据显示,我国包括中国铝业等央企在内的141家上市公司在2015年超标排放污染物,尤其是化工行业的企业数量最多。而这141家公司中只有28家公司对此进行了信息披露。而根据我国相关法律法规、政策制度,上市公司应公布包括污染物排放、资源消耗、环境管理等环境信息。
二、中国目前的企业环境信息披露制度
2015年1月1日实施的《中华人民共和国环境保护法》第55条规定,重点排污单位应当如实向社会公众披露主要污染物名称、排放量、排放浓度和总量、超标排放、污染防治设施的建设和运行情况,接受社会监督。第62条违反本法规定,未公开重点排污单位或者未如实披露环境信息的,由县级以上地方政府环境保护部门责令公开,并予以公告。
而2007年的《环境信息公开办法》和2008年《关于加强上市公司环境保护监督管理工作的指导意见》都要求企业及时、准确的公开其环境信息。2014年修订的《公开发行证券的公司信息披露内容与格式准则第2号》鼓励企业积极主动披露履行环境责任,包括公司在污染防治和控制、加强生态保护中采取的措施;属于国家环境保护部门规定的重污染行业上市公司及其子公司,应按照有关规定,披露其在报告期内的重大环境问题和环境信息整改。根据证监会的规定,新股发行审计注重对环境问题的审计,包括:在招股说明书中详细披露发行人的生产管理和投资项目符合国家环保要求,拟上市公司最近3年的环境保护投资相关费用,实际运行的环保设施和环境保护支出;生产环境是否符合国家相关环境规定,是否曾发生环境事故,治理污染设施的运行是否有效,对环境保护设施的养护和日常的污染治理是否符合相关技术规范;当拟上市公司发生环境事故或因环境问题受到处罚,是否详细披露了有关情况,其保荐机构和发行律师是否就此事件构成重大违规问题发表意见。
现行的企业环境信息披露法律法规政策规定有效的推动了我国企业,尤其是重污染上市公司的环境信息披露。对中国A股上市公司中的重污染行业企业所披露的环境信息进行分析发现,根据法律法规及相关政策规定,重污染上市公司大部分披露其环境信息,但环境信息披露中的定性描述,即文字描述较多,而定量描述偏少;主要披露的内容是环境管理和环境治理信息;对环境方面的负面信息,重污染行业上市公司均倾向于不予以披露,即存在报喜不报忧的现象;不同行业披露的环境信息的侧重点有所不同。
从上述分析可以看出,虽然我国企业环境信息披露法律法规政策规定的不断完善有利于企业环境信息披露,但环境信息披露的数量,尤其是信息披露的质量仍然距离公众期待有着较大的距离,有待进一步完善。
三、运用大数据优化企业环境信息披露的路径选择
在大数据时代,全球对数据挖掘技术越来越重视,由于数据已经成为人们生活中不可或缺的一部分,充分利用大数据时代的优势完善我国企业环境信息披露的相关制度规范成为可行的选择。在数据“多维”时代,充分利用大数据对企业的环境信息进行披露具有以下优势:第一,可靠性。以往企业披露的环境责任信息往往突出其一定时间内的某些活动,缺乏对企业生产和管理中环境责任信息的持续性描述,这导致企业环境责任信息的不连续性,而在大数据环境中可以对所有相关的数据进行整体分析,得出一个完整的信息组,更好的反应环境信息的真实性。第二,多样性。传统的环境责任信息披露中,由于数据的可能缺失,监管部门和社会公众很难对企业的环境责任活动进行识别和衡量,而在大数据时代,信息的载体和方式是多样的,可以以各种形式反映信息,有助于提供完整的企业环境责任信息内容。第三,可追溯性。在反映企业环境责任信息的路径上,由于缺乏控制机制,难以实现信息的跟踪,而在大数据时代,数据可以被记录在不同的维度,不同维度的数据之间的分析为企业环境信息提供了可追溯性。具体运用大数据优化企业环境信息披露的路径如下:
1、在借鉴国外经验的基础上运用大数据完善我国企业环境信息披露的法律体系
在运用大数据分析的基础上,借鉴国外先进经验进一步完善企业环境信息披露的法律法规。充分整合现行国内环境保护部门、国资委、财政部、审计署、证监会、证交所等各部门的数据进行数据挖掘,厘清我国环境信息披露方面存在的主要问题,结合中国具体国情,在借鉴欧美发达国家相关法律规范的基础上,在现行《环境保护法》规定的框架下,进一步规范企业环境信息披露,清晰界定企业环境信息应公开的内容,对企业环境信息公开的主体、环境信息披露义务的主体进行明确规定。建议由环境保护部门牵头,联合国资委、财政部、审计署、证监会、证交所等相关部门,对企业环境信息报告的具体实施标准或具体实施准则进行拟定,明晰界定企业环境责任报告要素及其内涵、企业环境信息报告的设计体例等,建议企业环境信息披露中应尽量使用定量性信息披露,提高企业环境信息的可靠性、可比性和利益相关者对企业环境信息的可理解性,提高企业编制环境信息报告的可操作性。
需要注意的是,在进一步完善我国企业环境信息披露的法律体系时,需要进一步强化企业环境责任信息披露制度的监督和处罚机制。以2015年的上市公司鲁抗医药因环境问题受到处罚为例,其将含有抗生素的废水排到主要河流中的行为极大的危害了公众健康,进一步恶化了我国的抗生素滥用问题,但该企业仅仅被环保部门处罚了5万元,基本未能起到惩戒作用。在以经济建设为纲的时代,企业环境信息披露及相关处罚受到忽视,但在完善国家治理体系,建设可持续发展社会的今天,借鉴国外发达国家的企业环境信息披露及处罚措施,完善诉讼体制,进一步发挥包括政府部门和非政府组织在内的监督作用,大幅强化处罚和惩戒力度是完善企业环境信息披露的必然路径选择。
2、在完善中国企业的环境技术标准基础上,建立数据集成和共享机制
环境保护部门应会同有关部门,参照西方发达国家和国际组织的环境技术标准,开发统一规范的环境信息技术标准和规范,对环境信息质量标准、监管环境信息要素及其识别与测量、环境信息呈现、标准定量分析技术的所需资源和污染的度量进行规范。制定大气、水、土壤、污染源、噪声等统一的监测标准,同时建设全国统一的环境监测信息数据平台,由环境保护部门根据环境保护法规定环境质量和其他企业环境信息,以满足公众的环境权益。
3、进一步建立和完善企业环境信息披露的数据分析系统
中国已建立了超过两千个环境监测站,监测人员近6万人。我国所有省级监测站都配备了高水平的水质分析设备能力,所有城市监测站均具备进行空气、水、噪音等环境质量的监测能力。但环境监测的信息感知系统和数据集成分析系统仍有待建设,才能充分发挥大数据的作用,有针对性的进一步完善我国的企业环境信息披露工作:首先,通过网络化、智能化、云计算等技术,构建环境监测信息感知系统,以实现各类监控设备的信息融合和共享,更有利于对未履行披露环境信息责任企业的精确惩戒;其次,环保部门应充分利用数据挖掘技术,开发有利于环境保护的环境质量分析产品,通过推动环保服务工作,使社会公众和环保组织等非盈利组织更方便的获取环境信息,了解环境动态、趋势和风险,从而更有利于发动社会力量,进一步推进企业履行其环境信息披露义务。
【参考文献】
[1] 赵萱.企业环境责任信息披露制度绩效及其影响因素实证研究[D].西南大学2015年博士论文.
[2] 李丹丹.加强引导上市公司环境责任信息披露[N].上海证券报,2015-08-01.
篇6
一、研究背景与意义
(一)输变电工程基建项目传统内审模式面临挑战
输变电工程基建项目审计所包含的审计控制要点,多样而复杂、覆盖面广,贯穿于工程项目管理的全过程。传统的输变电基建项目审计受限于审计资源的不足,往往仅对结算、决算环节审计内容,委托第三方开展事后审计。因而审计介入时间滞后,不能有效开展全过程项目审计,无法及时杜绝项目管理风险,促进管理提升,以发挥内部审计的监督作用。
(二)实时审计模式是内部审计发展的必然趋势
随着企业信息技术的日益发展,越来越多企业的生产、经营及财务数据已实现在线处理,经营数据与管理记录的电子化发展,推动了企业内部审计方式向实时、在线方向演进。企业可以通过在线计算机辅助审计系统,与各信息系统建立数据接口,从各信息系统中采集审计所需的数据及相关审计证据,并通过在系统中预设的监控及例外报告模式,自动生成发现报告,提请审计人员关注。由此,传统审计模式逐渐实现向实时审计模式转变。实时审计模式,是指通过ERP审计信息系统,集中获取财务和经营数据后,审计人员利用该系统数据处理能力强、分析功能强大、网络在线运行等特点,对企业经营管理活动进行在线审计监督,即通过对定期获取的财务资产、计划、生产统计等生产经营信息进行综合分析,查找审计疑点和问题线索。在此基础上,有目标、有重点地进驻现场进行审计查证与核实,及时发现和纠正企业经营管理中存在的问题。通过开展日常的经营监控审计,可以使审计过程变得更快、更简单、更有效,缩短了审计周期,以提供更有时效的风险和控制风险保证;无需扩展资源基础,就可获取更好的审计范围;可指导以月度、季度、年度为周期的审计;审计的范围是全部审计数据,而不只是审计样本;可对比或重新计算全部审计数据;可提高审计报告的质量。
(三)推行实时审计模式的可行性
为了提高输变电工程基建项目审计工作的质量和审计效率,利用ERP大数据基础构建实时审计模式,是一项有效且可行的解决路径。一是输变电工程基建项目审计要求规范比较明确完善,其对基建项目工程审计的目标、定义、审计原则、基本任务、主要审计内容已作出明确的规定。二是随着公司信息系统建设的日益完善,ERP系统积累了大量的业务财务数据信息,能够支撑实时审计需要。在ERP系统中,基建工程的预算、成本等相关数据是工程审计的重点内容,能够充分体现工程全过程的预算控制和费用执行等情况。建立应用实时审计模式既能提高审计效果,也能弥补审计资源不足,充分运用信息化审计手段,按照“提前介入、预防为主”的思路,坚持建设资金的真实、合法审计与效益审计并重,加强对输变电工程基建项目投资全过程的审计监督,提高工程项目建设管理水平和投资效益,是一项富有价值的审计方式的管理创新实践。
二、基于ERP环境的输变电工程基建项目实时审计模式主要内容
(一)总体思路
基于ERP环境,借鉴数学建模思维,充分运用信息化手段、结构化数据分析方法,构建“审计模型、审计工具和应用机制”三位一体的实时审计模式(见图1),明确审计对象、审计技术和审计方法。旨在提高审计效率和效果,实现输变电工程基建项目的全过程实时审计,提前预警、促进整改,以降低审计风险,推动内审工作转型。审计模型重点梳理输变电工程基建项目全过程审计控制要点,根据重要性和可量化原则,筛选出审计控制内容,明确审计逻辑和评价标准;审计工具,主要是根据审计逻辑评价特征,开发出可批量自动化审计的简易操作工具,提高审计作业效率;应用机制,主要根据内部审计工作目标和要求,设计审计模式的具体应用方式。
(二)审计模型内容
1.审计逻辑输变电工程基建项目审计是财务审计与管理审计的融合,将风险管理、内部控制、效益的审查和评价贯穿于建设项目的各个环节,并与项目法人责任制、资本金制、招标投标制、合同管理制、工程监理制执行情况的检查相结合,根据重要性和成本效益原则,结合实际情况和内部审计资源状况,采取全过程审计或者重点管理环节审计。围绕输变电工程基建项目立项阶段、设计及实施准备阶段、实施阶段、竣工决算阶段全过程各环节的审计控制要点,基于重要性和可量化原则,结合公司内部审计资源和实际情况,从时间、资金、数量、内容4个维度,筛选控制要点和控制内容,从准确性、规范性角度定义审计评价标准,根据不同的审计对象、审计所需的资料和项目审计各环节的审计目标设计不同的审计逻辑,以保证审计工作质量和审计资源的有效配置。其中,时间维度主要审计时间控制点先后顺序是否符合逻辑;资金或数量维度主要审计绝对值与相对值是否符合预设目标;内容维度主要审计是否符合公司规章制度、管理办法和内控规范。输变电工程基建项目审计应遵循技术经济审查、项目过程管理审查与财务审计相结合的原则,事前审计、事中审计和事后审计相结合的原则,以及各专业管理部门密切协调、合作参与的原则。根据现有ERP系统数据库情况,设计了适用与事中审计和事后审计两类不同应用方式的审计逻辑,并针对每个项目不同类型的合同(如施工合同、勘察设计合同、监理合同)设计了不同的审计逻辑。审计模型共构建了43条审计逻辑,覆盖设计及实施准备、实施、竣工投产和决算3个阶段,包含11条事中预警、32条事后审计异常事项提示(见图2),运用信息化手段进行全面审计,采取定量与定性相结合、定量分析为主的方式,对工程建设各阶段各环节的管理情况,以及质量、进度和投资等目标的完成情况进行审计评价。(1)设计及实施准备阶段包含8条审计逻辑,从时间逻辑顺序上,重点检查工程开工手续是否合法合规;从内容符合性上,检查合同签订是否符合招标要求。(2)实施阶段包括25条审计逻辑,重点检查合同签订与招标情况的相符性、项目付款进度的合理性、项目付款与合同的相符性、质保金的合规性,以及是否及时对工程物资办理清理和退库手续。(3)竣工投产和决算阶段包括10条审计逻辑,重点检查是否在规定时间完成暂估转固手续、竣工结(决)算审核、工程实际投资额与批准概算差异的原因分析。2.评价标准根据审计类型和审计结果状态,设计了3种评价标准,即正常、异常、预警。其中,异常标准,是指事后执行结果不符合审计规范,用来督促整改;预警标准,是指事中执行结果偏离管理规定,用来预警提醒。评价标准全部用数理逻辑公式进行检验。3.数据来源应用集中采集和随需采集数据的方法,基于目前ERP信息系统现有的数据字段,采取线上数据与线下数据结合的方式进行取数,以ERP信息系统数据为主,以线下资料如初设批复文件、中标通知书、合同等纸质审计资料作为线上数据的补充验证,综合评价审计结果。本模型采用线上数据69条、线下数据40条。随着实时审计模式的推广和信息技术的发展,ERP系统所能提供的数据信息数量将随之增加,逐步向备份采集和直联采集转变,审计模型所需全部的数据信息将全部可以从ERP系统中直接获取,最终实现全面在线实时审计。
(三)审计工具介绍
应用excel工具,对涉及的审计逻辑和评价标准开发的自动评价审计工具,主要由审计输入信息表和审计结果输出表构成。审计工作人员只要在审计输入信息表中导入项目审计字段信息,通过内嵌自动检验公式计算,就能在审计结果输出表中看到对应项目审计逻辑的审计结果状态。1.审计输入信息表以工程项目为纵向维度,以审计信息为横向维度。审计信息源根据评价标准检验公式所需的信息按照单个字段输入。合计包含109条固定的数据字段,包括审计对象的项目编号、项目名称、初设批复日期、开工日期、合同签订日期等内容,不同类型合同的数据分别记录于不同的数据字段中,数据字段可随合同类型、数量的增加而增加。2.审计结果输出表以工程项目为纵向维度,审计逻辑评价结果为横向维度。对应每条审计逻辑评价结果用Excel函数工具,在对应单元格中自动计算审计结果,共包含43条审计逻辑结果。校验结果以“红灯”、“黄灯”“、绿灯”的形式自动展示(“红灯”表示异常、“黄灯”表示预警、“绿灯”表示正常)。审计人员和工程管理人员应用审计工具,对“红灯”“、黄灯”的识别,迅速发现审计异常点。
(四)应用机制
实时审计模式的审计模型及审计工具,是针对电压等级220千伏以上电网基建项目审计而设计的,指导以月度、季度、年度为周期,对输电工程项目开展日常监控和内部审计。在项目过程中,内部审计人员和工程管理人员可以利用审计模型和审计工具,对输电工程项目进行过程检查,识别异常事项和预警事项并及时进行整改,以防止风险的进一步扩大。在工程项目完结后,内部审计人员可以利用审计模型和审计工具对项目进行全面审计,督促对异常项目进行整改,弥补管理漏洞,防范外部审计风险。
三、结论与展望
(一)实时审计模式能提高效率,推动内审工作转型
实时审计模式缩短了审计周期,可将原在工程竣工后才进行的审计,转变成以月度、季度、年度为周期的过程审计,切实做到审计关口前移,提高审计效率和质量,降低审计成本,并为实现审计资源整合,拓宽审计范围奠定基础。一方面增强了内部审计对工程项目的审计参与深度,另一方面改善了基层单位审计人员不足的状况。实时审计模式,实现了对公司生产经营各类风险的及时预警和有效防范,帮助公司加强内控、改善管理,使审计结果的反馈更及时,降低工程项目管理风险和外部审计风险,充分发挥内部审计风险控制和管理服务的职能,提升内部审计的效用和管理决策的价值。
(二)实时审计模式具备推广应用价值
输变电工程基建项目实时审计模式具有很强的灵活性、适应性、可操作性,对审计逻辑和审计工具进行适应性调整,可推广应用至其他电压等级和类型的电力工程项目内部审计工作中。此外,实时审计模式的研究思路,也可推广应用至其他内部审计项目上,通过分析工程审价、物资管理、招投标管理、各类费用管理的审计要求,可设计出相应的审计逻辑、审计标准,开发出相应的审计工具。
(三)实时审计模式现阶段的局限性与展望
现阶段ERP系统数据信息数量和质量存在一定的局限性:一方面实时审计模型所需的部分数据信息仍需要人工查找与录入,另一方面审计模型涉及的审计逻辑还没有全覆盖。随着进一步改善并提高ERP系统字段信息质量和数量,使ERP系统能更有效、更准确地提供更多关键字段信息,可以使审计模型和审计工具更大地发挥作用,更好地为审计人员服务。今后可通过增加审计模型中的审计逻辑,更好地满足内部审计和工程管理的需要。具备条件后,可开发出嵌入ERP系统的在线审计工具,实现在线自动审计实时计算、输出校验结果。
参考文献:
[1]于洪波.ERP环境下在线审计方法探讨[J].会计之友,2012(25):83-88.
[2]刘萍.持续审计———信息时代我国企业内部审计的发展趋势[D].武汉:华中师范大学(硕士学位论文),2013.
[3]周运香.ERP环境下审计风险控制研究[D].成都:西南财经大学(硕士学位论文),2010.
篇7
前些年,在我国推进信息安全体系建设的工作中,各行业在信息网络边界和纵深部署大量信息安全防护产品的基础上,为了符合国家信息安全的相关政策和监管要求及便于进行一体化管理和掌握整个信息系统的安全态势,许多单位还部署了信息安全管理平台,并在信息系统安全运行和管理上发挥了重要的作用。
信息安全管理平台是网络中心必备的安全管理基础设施,是网络安全管理员遂行网络安全管理任务的必备手段,是网络安全体系结构中的一个重要技术支撑平台。为规范网络系统的安全管理,重要的信息网络都应设置信息安全管理平台(见《信息安全技术 信息系统等级保护安全设计技术要求》GB/T 24856―2009)。
近年来,随着云计算、物联网和移动互联网技术的兴起,信息网络的边界愈发模糊,系统中的虚拟化技术和设备被广泛采用,信息系统中的安全信息采集和集中审计变得更加困难。另一方面,外部的信息安全威胁,随着AET和APT技术的不断升级,也变得愈来愈凶险和难以防护。面对当前信息安全的新形式,以往的信息安全管理平台必须进行更新换代或升级改造。
搭建新一代信息安全管理平台(以下简称平台)有重要意义:(1)设计和建设新一代平台是构建自主可控信息安全体系体系顶层设计不可或缺的重要一环,以实现对重要信息系统的风险可监控、可管理、业务过程可审计,真正实现安全体系自主可控,保障体系安全;(2)引入大数据分析技术完善平台关联分析能力,增加AET和APT攻击的检测技术手段,提升信息系统安全态势感知和预警能力,可及时发现和处置重大信息安全威胁,真正实现信息安全自主可控。
2 设计目标
信息安全管理平台的设计目标是:设计一体化、开放性和具有智能防御未知威胁攻击的平台。一体化就是将多家不同类型的安全产品整合到一起,进行统一的管理配置和监控。开放性就是提供标准的接口,使第三方产品很容易整合到系统中。智能防御未知威胁攻击,就是充分利用和发挥大数据技术应用于安全态势和安全事件的深度挖掘和分析,对AET和APT进行检测和响应,构建智能化的主动防御系统。
通过信息安全管理平台,对网络系统、网络安全设备以及主要应用实施统一的安全策略、集中管理、集中审计、并通过网络安全设备间的互动,应对已知和未知的安全威胁,充分发挥网络安全防护系统的整体效能。
3 设计原则
依据GB17859-1999《计算机信息系统安全保护等级划分准则》和GB/T 20269-2006《信息安全技术 信息系统安全管理要求》,结合网络安全管理的实际需求,按以下原则设计信息安全管理平台。
(1) 标准化设计原则。为了能够与第三方厂家安全产品联动,安全管理平台需制定安全产品互联的接口标准,这个接口标准在业界应具有权威性并易于操作,便于各厂家实现。
(2)逐步扩充的原则。网络系统安全集中管理包含的内容很多,管理技术难度很大,安全管理平台的建设应选择好切入点,本着由简至繁,逐步扩充的原则进行。
(3)集中与分布的原则。许多单位网络从结构上看,呈树状的多节点分层(级)结构。这些网络具有分布广、结构复杂的特点。为此,可在各层(级)网管中心设置安全管理平台,其作用是对本级局域网进行集中安全管理;上级对下级采用分布式分级的方式进行安全管理。
4 设计要求
(1)可扩展性。信息安全管理平台的系统设计,终端采用以对象模型驱动的管理机制,对象模型用XML语言描述,可以通过定义/修改对象模型的属性(关系和操作),即插即用地扩充和管理网络终端及服务。此外,管理平台主机在性能和带宽上,应留有一定冗余度,具有管理1000~5000个对象的扩展能力。
(2)易用性。信息安全管理平台提供的所有功能,应做到操作简易,界面友好,使用方便。
(3)经济性。信息安全管理平台设计,应采用先进的、成熟的软硬件IT技术,搞好总体设计,优化软件编程,避免重复投资,提高性能价格比。
(4)稳定可靠性。信息安全管理平台设计,应重视硬件支撑设备的选型,性能上应留有空间;安全管理软件要经过充分测试,不断优化,保证系统稳定可靠运行。
(5)自身安全性。信息安全管理平台设计,要重视自身的安全性,系统应具有管理员身份和权限的双重鉴别能力,应保证数据网上传输的完整性、保密性和数据记录的真实可靠及抗抵赖性。
5 系统组成和主要功能
信息安全管理平台的基本功能是:对网络系统、安全设备、重要应用实施统一管理、统一监控、统一审计、协同防护,以充分发挥网络安全防护系统的整体作用,提高网络安全防护的等级和水平。
5.1 系统组成
信息安全管理平台由几个模块组成:人机界面模块、总控模块、安全网管模块、安全监控模块、安全审计模块、安全策略处理模块、安全模块、安全事件分析模块、安全事件响应模块、设备配置模块、平台与设备接口模块和安全管理数据库。系统的逻辑结构如图1所示。
(1)人机界面模块。面向安全管理员的操作控制界面。
(2)总控模块。总控模块控制信息安全管理平台各模块正常运转,其中包括网络通信和通信加密程序,用于保障网络间远程数据交换的安全(主要是真实性和完整性)。
(3)安全网管模块。用于显示网络拓扑并进行安全网管。
(4)安全监控模块。用于对网络主机和网络设备进行安全监控。
(5)安全审计模块。接受操作系统或下一级安全管理平台发来的安全日志;接收主机、防火墙、IDS等网络安全设备发来的报警信息;接收网络出口探针记录的网络数据流信息,存储并实时进行内容审计。安全审计的方式有三种:基于规则和特征的安全检测,基于数据流的安全检测,基于特定场景深度数据挖掘的安全检测。审计的结果:启动报警系统和产生安全态势报表。
(6)安全策略处理模块。自动将安全策略翻译成安全设备可执行的规则。
(7)安全模块。安装在网络客户机(服务器、终端)操作系统中,与安全管理平台上的安全监控模块配合使用。其作用是用于接收安全管理平台发来的监控指令和审计规则;监视客户机的工作状态;根据规则进行安全过滤和记录;将安全记录实时发回至安全管理平台。
(8)安全事件关联分析模块。将所有收集到的安全事件按其对系统安全的危害程度等级进行重要性排队,然后调阅安全专家知识库,对事件进行基于规则的实时关联分析,该模块可引入大数据的历史关联分析能力,以提升关联的可信度。最终将分析结果(关联要素)和处理规则,提交安全事件响应模块或管理员处理。
(9)安全事件响应模块。按预先制定的安全事件处理规则(应急预案)对事件自动进行安全处置。
(10)系统配置模块。对IDS/IPS、防火墙、内容监测、主机等安全系统设备或模块进行安全和审计规则的配置。
(11)平台与设备接口模块。实现信息安全管理平台与各类网络安全产品之间的标准数据交换。其流程是:各类安全产品将各自检测到的安全日志通过接口模块进行格式转换后发给平台安全事件收集模块,供安全管理平台分析处理。平台人机界面或安全事件响应模块发出的处置指令,通过接口模块发给指定的安全设备,安全设备接到指令后按相应安全策略执行;信息安全管理平台能够管理的系统和设备有:防火墙、IDS/IPS、内容监测、路由器、交换机、网络主机。
(12)安全管理数据库。安全管理数据库是安全管理平台运行的基础资源,主要存放从本级和下级网络采集来的所有安全数据(包括日志数据、设备状态数据)、安全策略数据、安全专家知识、网络拓扑连接关系、网络中所有客户机的详细地址和安全管理平台加工的各种报表数据等。
5.2 主要功能
(1)网络安全管理。在各级安全管理平台上动态显示本级局域网当前网络拓扑,根据策略,适时改变网络拓扑结构。动态显示网络设备(路由器、交换机、服务器、终端)的在线状态、参数配置,及时发现系统结构变化情况和非授权联网的情况,并予以响应。
①自动识别网络中主机的IP、机器名称和MAC地址。
②按部门对设备(交换机、路由器)、主机和人员进行管理。
③通过系统提供的智能学习功能,自动识别网络的物理拓扑结构。
④自动生成网络拓扑图(该网络的真实物理联接结构图),并能动态显示当前的网络状态,如图2所示。
⑤动态显示主机的当前状态,如合法使用(如IP和MAC地址的配对,已登记注册的合法主机)、非法使用(如IP和MAC地址随意更改) 、关机、不通或故障、未登记主机的入网使用等。
⑥可以自动发现入侵的主机,并关闭其网络连接端口。
⑦提供主机与设备端口的绑定。
⑧提供网络逻辑图(显示设备之间的连接关系)、网络拓扑图(显示整个网络中所有设备、主机及其连接关系)和组织结构图(显示该单位的组织结构),可以方便地在三种不同的显示方式之间切换,便于网络安全管理员全面掌握和操控整个网络;在网络拓扑图中可以拖动设备(交换机、路由器、集线器)改变其相对位置;进行文字和分组标注;改变设备与设备、设备与主机之间的连接关系;还可以由系统对所有设备、主机进行自动排列。
(2)网络监控管理。安全管理平台上的网络安全管理与监控功能,可根据制定的安全策略,对受控主机进行安全控制。
①对受控机进行主机屏幕监视或控制(接管)功能。
②对受控机部分或全部文件进行访问控制,即对文件的访问,不仅要通过系统的认证,还必须通过网络安全管理与监控系统的认证才能访问。
③对受控机网络访问进行通断控制。
④对受控机无线上网进行阻断控制。
⑤对受控机的打印机、USB移动设备进行允许和阻断控制。
⑥对受控机的进程进行监控,可以控制指定进程的加载。
⑦对受控机的internet访问进行基于IP和DNS的详细控制,提供Internet网络监控。
(3)网络安全设备管理。在各级安全管理平台上,根据安全策略,对本级局域网设置的防火墙、IDS/IPS等进行参数配置,并适时监测安全设备的运行状态,以便及时处理。
(4)策略执行管理。根据安全策略生成的安全规则,通过管理平台向所有网络系统中安全设备和主机用户,实现对网络设备、网络客户机、安全设备及主要应用系统进行控制的目的。
安全策略处理模块功能有:对中层安全策略提供的形式化语言进行程序处理,输出安全设备安全规则配置表;安全管理员通过安全管理平台设备配置界面手工配置安全规则配置表;将安全规则配置表通过网络发给安全设备并执行;安全管理平台也可直接对网络中的受控客户机进行安全规则配置。
(5)审计管理。审计数据的获取有四条渠道:各客户机上的模块发来的内网安全事件实时报警和安全日志信息;不同厂家安全产品(防火墙、IDS等)发来的安全事件报警和安全日志信息;下级安全管理平台发来的安全日志和网络探针发来的网络数据流信息。紧急安全事件报警信息通过安全事件分析和响应模块实时处理。 安全日志直接存入安全日志数据库。网络数据流存入盘阵中,供事后历史数据关联分析和部分实时处理。
在各级安全管理平台上的审计管理包括:对本级局域网络系统中的设备(包括 路由器、交换机、服务器、数据库、客户机)根据预先制定的审计规则产生的故障、访问、配置、外设的报警信息和安全日志进行审计;对本级局域网络安全防护设备(包括 防火墙、IDS/IPS)及主要应用系统等在运行中产生的安全日志,进行采集、分析;上级安全管理平台有选择的抽取下级的安全事件进行审计,对严重的安全事件及时督促下级采取相应措施及时整改;对本级局域网中的进出口数据流进行记录和实时异常检测。
审计内容涉及十个方面。
①对受控机文件按IP地址、操作时间、操作类型、操作内容、用户名、机器名等进行审计。
②对受控机进行基于IP(源IP、目的IP)和DNS的internet访问审计,审计内容为源IP、目的IP、访问时间、协议、服务和访问内容等。
③对受控机进行程序和服务的安装与卸载进行审计,审计内容为IP地址、操作时间、操作类型、程序(服务)名、操作用户名等。
④对受控机进行本地用户登录审计,审计内容为IP地址、登录时间、退出时间、登录用户名等。
⑤对受控机的打印机使用进行审计,审计内容为IP地址、打印时间、打印机名称、文档名称和用户名等。
⑥对受控机的USB移动存储设备使用进行审计,审计内容为IP地址、时间、外设名称、状态等。
⑦对受控机的盘符状态进行审计,审计内容为IP地址、时间、盘符、状态等。
⑧对受控机的进程状况进行审计,即受控机使用程序的状况。
⑨对IDS/IPS探测到的非法入侵事件进行审计。
⑩对网络探针发来的数据流进行审计。
安全管理员可通过系统随时调阅安全日志、网络状态以及网络流量等信息,并进行统计查询。这些信息是事后了解和判断网络安全事故的宝贵资料。
(6)网络病毒监控管理。在各级安全管理平台上,建立病毒集中管理监控机制,实现网络病毒的监控与管理。防病毒系统应包括单机版、网络版和防病毒网关,在信息安全管理平台上对本级网络节点的防病毒运行情况进行监控,如防病毒库、扫描引擎更新日期、系统配置等。具体实现:确保防病毒策略统一部署,统一实施,保证防病毒体系执行相同的安全策略,防止出现病毒安全防御中的漏洞;保证系统管理员了解整体防病毒体系的工作状态,从整体防控的高度掌握病毒入侵的情况,从而采取必要的措施,及时提供新的防病毒升级库;通过信息安全管理平台提供的信息,与防病毒厂商保持热线联系与技术支持。
(7)应用系统监测。信息安全建设的一个重要内容是确保网上关键业务的可靠性、可信性、可用性。因此,对网上关健业务的监测记录非常重要,主要体现在四个方面:监测记录关键业务系统在网络中会话过程,可以帮助分析有无非法插入、伪装的业务会话;阻止伪装的业务会话与关键业务交互,确保业务流程的可信性;监测分析关键业务会话过程的响应与交互时间,找出影响关键业务系统网上运行效率的问题,确保业务流程的可用性;应用系统的监测主要通过内容监测系统和网络探头实现。
(8)安全事件处理。信息安全管理平台上收到IDS/IPS、防火墙和网络受控主机发来的安全事件时,将其打入事件队列。事件队列依据等级排队后,则交给安全事件关联分析模块,使用专家知识或决策分析算法对事件进行关联分析并按预案和规则给出处置策略,然后交给安全事件响应模块进行自动化智能处理或交给安全管理员处理。
6 系统应用模型
(1)分布式多层次的管理结构。由于大多数网络是一个多层次的树状网络系统,结构复杂、分布范围宽、网络客户机多,所以应按照分布式多层次的管理结构进行安全管理,如图3所示,某单位网络假设三级网络安全管理中心,每个中心设一台安全管理平台,遂行本级网络的安全管理。上级管理中心通过安全管理平台将必要的安全策略,标准和协议信息下传给下级管理中心。上级管理中心也可通过安全管理平台获取下级管理中心的审计信息。如上级的安全管理平台通过网络可调看下级的网络拓扑和安全事件处置报告,掌握下级的网络安全状况。
(2)各级安全管理中心的数据传输模式。安全管理中心的安全数据上传和下达采用C/S模式,一般由上级管理中心提出申请,下级管理中心回应。因为就计算机网络的安全防护系统实际运行状况来看,总是要求下级管理中心上报的数据多于上级管理中心向下传达的数据。为了保证数据传输的实时准确,以上级管理中心为Server,下级管理中心为Client。下级管理中心是多对一的数据交流模式。对于上级管理中心下传数据,采取下级管理中心的数据库按时轮讯的方式实现。
当安全管理中心多于两级时,数据传输模式如图4所示。
(3)安全数据交换的一致性保证。为保证安全管理中心之间数据交换的一致性,采用事务提交与时间标签相结合的方式来实现。安全数据的事务提交:由于上下级之间是跨区域的远程传输,为保证数据的完整性,采用数据的事务提交方式来处理,每一次传输的数据将是一个整体事件的所有数据,这样就能保证数据的完整性。反之,则必须重传。为了处理重传同步和上下级之间的一致性,我们为每一个事务加一个时间标签,即每次传输完一个事务的所有数据时同时加传一个时间标签记录。这个记录至少应有如下几项:日期时间、事务名、该事务的记录数。
收方当收到这个时间标签后, 则表明一个事务的数据传输结束,则可以更新数据,同时将此时间标签保存下来,并回发一个确认包。发送方如收到这个包,则认为上级中心已更新了这个事务的数据,就从时间标签队列里清除掉这个时间标签。
上述过程已完整地表述了异地数据一致性分布的实现方法,如图5所示。
7 系统安全管理流程
信息安全管理平台的安全管理贯穿整个信息系统运行过程,包括事前、事中、事后等过程。
(1)信息系统运行前。安全管理平台对信息系统的安全管理,从实施前的安全策略的制定、风险评估分析、系统安全加固以及对实施人员进行安全训练就已经开始,保证在已有的安全防护体系条件下对系统存在的安全隐患和将实施的安全策略心中有数。
(2)信息系统运行中。在系统运行过程中,对网络中的各种主机、安全设备实施全程安全监控,安全运行日志同时进行详细的记录,在系统发生安全事件时,根据事件等级进行排队,安全管理平台实时调用相应的事件处理机制。事件的处理机制见事件处理流程如图6所示。
(3)信息系统运行后。定期组织进行安全自查,消除安全隐患。通过分析系统运行的状况(包括性能分析、日志跟踪、故障出现概率统计等),提出新的安全需求,进行技术改进,包括系统升级、加固和变更管理。
(4)安全事件管理方式和处理流程。
自动处理: 将预案中的安全事件及其处理办法(如系统弱点漏洞、恶意攻击特征、病毒感染特征、网络故障和违规操作、防火墙与IDS联动、沙箱模拟运行等)存入安全知识库并形成相应的处理规则,当相应事件出现时,系统将根据处理规则进行自动处理。
人工干预处理:根据情况的需要,也可在信息安全管理平台上按事件级别进行人工干预处理,主要包括技术咨询、数据恢复、系统恢复、系统加固、现场问题处理、跟踪攻击源、处理报告提交等。
远程处理:当安全管理员从管理平台的拓扑图上观察到安全事件发生时或收到下级转交的要求协助解决的安全事件时,除了直接提供处理方案给对方外,还可以通过远程操作直接对发生安全事件的系统进行诊断和处理。
决策分析处理:决策分析模块预先收集、整理安全事件的资料,组织安全专家根据事件类型、出现事件的设备、事件发生的频繁度、事件的危害程度等因素列出等级、层次并打分,列出判断矩阵,运用层次分析法求解判断矩阵,分别计算出各因素的权重值,一并存入专家知识库中。运行时将调用专家知识库对实时收到的系统安全事件进行判断和计算,如果是单条事件根据预案直接处置,多条事件则求出组合权重值并对事件排队,系统根据事件重要程度依据预案依次处置。
安全系统联动处理:安全事件响应模块根据安全事件关联分析模块发来的安全事件关联要素调用应急预案库进行安全设备联动处理,如收到IDS检测到某协议某端口有DDOS攻击,依据预案将发送安全规则给总出口的防火墙,及时关闭该协议和端口。以实现一体化安全管理。
记录和事后处理:信息安全管理平台在信息系统运行时收集并记录所有的安全事件和报警信息,这些事件和信息将作为事后分析的依据。
8 关键技术及设计思路
一个系统是否先进和实用,关键是系统的设计思想和所应用的技术。为了使下一代信息安全管理平台具有创新性,我们提出了“应用大数据挖掘及分析技术”和“重点防御AET和APT”的设计思想,并且应用了多方面的先进技术。
在本系统中,采用了几项技术:形式化语言翻译技术;安全产品数据交换标准;安全事件决策分析技术;高性能数据采集器;安全事件的关联分析;大数据挖掘分析;AET和APT检测技术。
(1)安全产品数据交换标准。为市场上的安全产品(如防火墙、IDS/IPS、漏洞扫描、安全审计和防病毒产品等)制定数据交换标准。为此,所有安全产品都必须清楚地描述几方面内容(BNF描述法):
::=
::=||
::=|
::=||||
::=||||
::=||||
::=||||
(2)高性能数据采集器。高性能数据采集器也叫探针,是信息内容监测系统和大数据安全分析的前端设备,该设备性能的好坏直接影响系统的功能和性能。如法国GN Fastnet C Probe硬件设备,该设备的特点是:直接嵌入需要监测的网络;不损失网络性能与效率,能够适应多种网络环境,能够采集多种协议下的数据流信息;全线速采集数据100M
利用该设备作为信息内容监测系统和大数据安全分析的数据采集设备,能够适应多种类型的网络接口:局域网、企业网、广域网、快速以太网等,它的高性能的数据采集能力,极大地降低了系统数据采集的漏包率。
(3)安全事件的关联分析。对包含安全事件的数据流进行分析,如果是结构化数据可在基于经验知识,人工建立的规则和模型基础上,进行简单的关联:安全事件与用户身份的关联分析实现安全事件到“人”的定位;安全事件与系统脆弱性信息的关联分析实现安全事件危害程度的正确评估;安全事件与威胁源关联分析提高评估安全事件的级别和紧急程度的可信度;多个安全事件的关联分析,聚焦安全事件的连锁危害,提升安全事件的严重级别和紧急程度;泄密安全事件与身份信息的关联实现泄密源的真正定位;安全事件自身关联实现安全事件活动场景的全展现;安全事件与流量样本数据关联分析,判断安全事件的性质(是否AET或APT攻击)。
(4)大数据挖掘和分析。目前的大数据分析主要有两条技术路线,一是凭借先验知识人工建立数学模型,二是通过建立人工智能系统,使用大量样本数据进行训练,让机器代替人工获得从数据中提取知识的能力。
由于AET和APT攻击的数据包大部是非结构化或半结构化数据,模式不明且多变,因此难以靠人工建立数据模型去挖掘其特征,只能通过人工智能和机器学习技术进行分析判断。
应用大数据挖掘和分析新型网络攻击的思路:通过大数据解决方案将相关历史数据(攻击流量)保存下来,通过人工智能软件来分析这些样本并提取相应的知识,将疑似AET和APT攻击的异常样本知识存入专家知识库。
大数据挖掘和分析在平台中主要用于分析与检测:流量异常分析,行为异常分析,内容异常分析,日志与网络数据流的关联分析,威胁与脆弱性的关联分析,基于正常的安全基线模型检测异常事件。
(5)AET和APT检测判断技术。未知威胁最典型也是最难检测的属AET和APT,所以新一代信息安全管理平台中的IDS/IPS和防火墙必须包括不断更新的AET库,专家知识库中应包括APT攻击样本知识,因为AET和APT用传统的威胁攻击特征库根本无法比对发现。AET主要通过先进的AET知识库进行合规性判别,其核心的先进检测技术主要包括“对全协议层数据流进行解码和规范化”,“基于规范化的逃避技术清除”,“基于应用层数据流的特征检测” 。
APT可以通过多种手段进行分析检测:收集来自IT系统的各种信息,如图8所示。
基于流量统计的检测。记录关键节点的正常网络通信数据包样本,以样本特征检测为辅异常检测为主,通过异常检测发现未知的入侵。
沙盒分析与入侵指标确认。将疑似APT数据包组装好,放入沙盒(缓存)中模拟运行(引爆)并与入侵指标(活动进程、操作行为、注册表项等)比对加以验证。
9 安全管理数据库系统的设计
(1)数据组织与分类。根据信息安全管理平台的需求,安全管理数据库系统的数据内容包括:管理信息、网管信息、安全审计、专家知识四类十余种数据格式。安全管理数据库系统,是以四类数据为处理对象,实现对信息安全管理平台数据的积累、存贮管理、更新、查询及处理功能的数据库应用系统。经过数据库设计,安全管理数据库系统的四类十余种数据格式,规范分解为包括10余种关系结构的关系模型,在此基础上可根据用户应用要求设计多种格式的审计报表。
(2)数据库结构框图。通过上述信息安全管理平台的设计思路简介,可以大致了解新一代信息安全管理平台的工作过程和在网络安全管理上发挥的作用,我们希望早日看到拥有自主知识产权的国产信息安全管理平台在我国重要信息系统的网络安全管理上发挥重要的作用。
【注1】 AET(Advanced Evasion Techniques),有的文章译为高级逃避技术、高级逃逸技术,笔者认为译为高级隐遁技术比较贴切,即说明采用这种技术的攻击不留痕迹,又可躲避IDS、IPS的检测和阻拦。
【注2】 APT(Advanced Persistent Threat)直译为高级持续性威胁。这种威胁的特点,一是具有极强的隐蔽能力和很强的针对性;二是一种长期而复杂的威胁方式。它通常使用特种攻击技术(包括高级隐遁技术)对目标进行长期的、不定期的探测(攻击)。
参考文献
[1] 信息安全管理平台的设计[J].计算机安全,2003年第12期.
[2] CNGate 下一代高智能入侵防御系统.北京科能腾达信息技术有限公司,2012年8月.
[3] 高级隐遁技术对当前信息安全防护提出的严峻挑战[J].计算机安全,2012年第12期.
[4] 高级隐遁攻击的技术特点研究[J].计算机安全,2013年第3期.
[5] 星云多维度威胁预警系统V2.0.南京翰海源信息技术有限公司,2013年12月.
[6] 我国防护特种网络攻击技术现状[J].信息安全与技术,2014年第5期.
[7] 大数据白皮书2014年.工业和信息化部电信研究院,2014年5月.
[8] 提高对新型网络攻击危害性的认识 增强我国自主安全检测和防护能力[J].信息安全与技术,2014年第10期.
篇8
一、互联网金融概况
(一)互联网金融的概念。互联网金融有机结合了互联网技术与传统的金融功能,依托大数据和云计算在开放的互联网平台上形成的功能化金融业态及服务体系,具有普惠金融、平台金融、信息金融和碎片金融等相异于传统金融的金融模式。
(二)互联网金融的实质。从融资模式角度看,互联网金融模式区别于传统的金融模式,它是与银行的间接融资和资本市场的直接融资完全不同的一种全新的融资模式,从本质上来讲它仍然是一种直接的融资模式。但是与传统的直接融资模式比较的话,互联网金融具有信息量大、交易成本低、效率高等特点。
(三)互联网金融的发展现状。近年来,我国互联网金融业蓬勃发展,并迅速成长。在2013年之后,各类互联网金融产品在我国大量出现,互联网金融的业务体系也从单一向多元化发展,互联网理财、互联网贷款、互联网保险等诸多互联网金融产品走入人们生活之中。据蚂蚁金服公布的余额宝数据显示,截止2015年底,余额宝的规模增至6207亿元,其规模已经相当于一家国内中型银行的规模。另外,互联网金融综合运营成本低,以小微客户为主要客户群体,并且注重客户体验,对客户的粘性较强,服务范围广,潜在客户群体广阔。蚂蚁金服的数据显示,2015年余额宝用户中,农村地区的用户规模同比2014激增了65%,数量占到整体的15.1%;发达城市新用户中,外来务工人员占比上升至一半以上;90后取代80后,成为互联网理财中坚力量。
互联网金融的异军突起不可谓对传统商业银行的发展提出了严峻的挑战,同时也加速了传统商业银行的改革步伐。2015年提出的“互联网+银行”计划,为商业银行在互联网金融这一时代大背景下的变革指明了出路。与此同时,这些改革也使商业银行的审计面临新的挑战。
二、互联网金融时代商业银行审计现状及成因
(一)风险管理的变革带来的审计风险。风险管理作为商业银行的核心竞争力,我国商业银行从安全控制、信息共享、流程管理等方面入手,同时利用互联网大数据技术扩宽了风险管理的数据源,重检并规整了内部IT整体框架,实现了商业银行对风险管理的升级与完善。银行也逐步从传统的追求利润的粗放经营模式,向风险与收益相匹配的精细化管理模式转变。
在对银行执行相关审计业务时,考虑到风险管理对商业银行的特殊意义,要求审计人员要对银行的风险管理状况和模式有整体细致的把握,评价风险管理的有效性。因此,要求审计人员了解并熟练运用风险管理的相关知识和技能,这对注册会计师的专业胜任能力提出了新的要求和挑战。
风险管理与业务经营之间错综复杂的关系,以及各种风险因素之间的相互关联性,给注册会计师识别和评价风险因素带来了困难,使得审计人员在考虑与财务报表的重大错报相关性时难以确定相关的风险因素。这也给评估风险范围和程序造成了较大的影响。
(二)金融产品和服务的创新带来的审计风险。为了应对互联网金融的冲击,直销银行应运而生。《2016中国直销银行市场专题研究报告》显示,截止到2016年3月1日,已有55家商业银行推出直销银行服务,其中81.8%为股份制商业银行及城市商业银行。60%以上的直销银行以货币基金、银行理财及存款产品为主要业务,成为商业银行扩展理财业务的主要渠道。而直销银行多选择移动端及PC端作为推出渠道。
与此同时,“互联网+银行”计划给银行的跨业经营提供了便利。传统的银行业务不再是商业银行的主要业务,越来越多的银行通过新设或者并购的方式形成子公司,涉足证券、保险、基金、融资租赁等其他金融业态。另一方面,也有越来越多的银行成为保险公司、资产管理公司等的子公司。
直销银行等一系列创新产品和服务的监管往往不是很明确,对于相关业务的会计处理缺乏统一标准,相关的信息披露也没有明确要求。这就要求注册会计师在不断深入了解新产品,对其风险和收益做出评价的同时,考虑如何合理运用企业会计准则的原则,对被审银行的会计处理方案进行判断。
而商业银行的跨业经营也使审计工作的组织难度加大,对于那些控股多个金融业态的商业银行,注册会计师不仅要考虑被审单位业务是否符合各个行业的监管要求,而且要考虑是否满足《企业会计准则》规范。这是对注册会计师综合服务能力的巨大挑战,也加大了商业银行的审计风险。
(三)计算机信息系统的运用带来的审计风险。“互联网+银行”的模式促进了商业银行计算机信息系统的改革与升级。为了做好资源挖掘,商业银行充分利用大数据分析,了解客户消费倾向与习惯,预测客户行为,为产品和服务创新提供更加系统化的支持。同时,由于商业银行在互联网金融时代大背景下,推出多种跨业业务,银行不得不同时使用多种不同的业务处理系统。此外,直销银行多采用线上业务办理,打破了传统银行在时间空间上的限制。民生银行的线上客户数据显示,超过80%的客户选择通过移动终端使用民生直销银行,超过40%的客户选择在下午进行投资理财,甚至有3%的客户会在凌晨打理资产。直销银行的产生使银行网点虚拟化,为客户与银行提供了便利。
传统商业银行的有非常清晰的审计线索,因为所有的经济业务都用文字记录,有凭证可查。但是互联网金融时代商业银行的资料全部实现了电子化及会计业务处理的程序化和自动化,传统的审计线索被中断。而多种业务系统的运用,也给注册会计师在不同系统之间的数据接口,选取审计对象和方法审计方法带来了诸多困难。而计算机信息系统如果对一些新业务处理功能欠缺或者运行不稳定,这往往是财务报表存在错报的高风险区域。
三、互联网金融时代商业银行审计风险防范措施
(一)提高注册会计师的专业胜任能力同时聘请专家参与审计工作。通过以上对互联网金融时代商业银行审计业务所面临的风险的分析,我们可以看出,商业银行的变革对注册会计师的专业胜任能力提出了新的挑战。商业银行风险管理的变革要求注册会计师对风险管理要有深入全面的了解,所以,审计人员应加强对风险管理有关知识的学习和研究,熟练掌握风险管理的相关技能。注册会计师也要在工作中对风险管理这方面多做总结,得出经验,才能在识别和评价错报风险时有的放矢。
商业银行的风险管理过程中涉及的专业知识和技能已经超出了注册会计师通常了解和掌握的范畴。在这样的情况下,聘请风险管理专家有助于审计人员对商业银行风险管理进行深入的了解和评价,做出合理的错报估计。另外,聘请专家参与审计工作时也要考虑专家的专业胜任能力和客观性,审计组也要对聘请的专家实行严格管理,专家也应遵守相关审计规范,保持职业操守,保守工作机密。
(二)采用以风险为导向的审计策略。商业银行庞杂的分支机构和繁多的业务品种相较于其他行业而言,为注册会计师带来了较高的审计风险,特别是为了应对互联网金融的冲击,商业银行对金融产品和服务进行不断创新,更是增加了审计的风险。因此,更需要审计人员以风险为导向,有针对性地对高风险领域投入更多的审计资源。注册会计师需要对商业银行行业性的普遍风险以及被审单位的特别风险因素予以特别关注,以便对财务报表的高风险区域进行识别和评估。在审计工作中,注册会计师除了需要关注财务报表发生重大错报风险进行还要考虑合规风险、声誉风险等其他可能造成重大影响的领域。
同时,注册会计师要保证以风险为导向的审计充分贯穿审计过程始终。审计人员要以风险评估为前提,时刻围绕高风险领域开展工作,在开展工作过程中要全程高度保持严谨的职业怀疑态度,并且要根据测试结果不断调险评估结果。在审计完成阶段,注册会计师要对所有审计发现结合审计风险进行判断并得出适当结论,及时就发现重大错报风险领域与管理层进行沟通。
(三)配置专门的信息技术审计团队。计算机信息系统的运用为商业银行的审计增加了新的风险。因此,为了能有效地开展审计工作,注册会计师需要对银行的计算机信息系统进行全面了解,以便更好的规划和获取必要的审计证据。计算机信息系统特有的复杂性和高技术性,使得对其的了解和评价建立在相当的专业知识积累基础上。因此,在商业银行审计团队中,配置专门的计算机信息系统审计人员,以便对银行的计算机信息系统的安全性、可靠性、正确性以及相关内部控制进行分析和评价,配合财务审计团队,为审计程序的实施建立必要的基础和支撑。
四、结语
商业银行在互联网金融时代体现出的新的形态,在对其开展审计业务时,为了规避新的审计风险,注册会计师可以从提高自身专业素养,聘请专家,采用以风险为导向的审计,引入专门的信息技术审计团队等几方面入手,对审计风险加以防范。
参考文献:
[1] 雷智军.互联网金融时代下完善国有商业银行内部审计的思考[J].中国商论,2015,33:82-84.
[2] 中国工商银行江苏省分行课题组,万辉.我国商业银行互联网金融风险管理研究[J].金融纵横,2016,02:15-25.
[3] 陈炜,葛梦瑶.利率市场化背景下直销银行业务创新和发展策略[J].南方金融,2016,06:63-67.
[4] 卢闻齐.互联网金融背景下直销银行发展现状及未来展望[J].财经界(学术版),2016,12:4.
[5] 武鹏,杨向荣,王曙光.商业银行审计风险分析[J].中国管理信息化,2010,12:55-57.
[6] 宋首文,代芊,柴若琪.互联网+银行:我国传统商业银行风险管理新变革[J].财经科学,2015,07:10-18.
[7] 邱峰.互联网金融催生新型银行运作模式――直销银行[J].金融会计,2014,03:35-40.
[8] 王滨.互联网金融发展及商业银行应对[J].银行家,2014,04:94-97.
[9] 杨莹.浅析商业银行外部审计风险与防范[J].财经界(学术版),2014,12:253+255.
[10] 安明硕.试论商业银行的审计风险与控制[J].南京财经大学学报,2007,01:71-73.
[11] 冯淑霞,张伟.商业银行审计风险的成因及对策[J].中国管理信息化(会计版),2007,08:87-88.
[12] 倪存新.对商业银行审计专业化管理的若干思考[J].新金融,2008,12:36-39.
[13] 林毅.互联网金融下直销银行发展研究[D].山东师范大学,2015.
[14] 徐盛鑫.审计人员何时利用专家[J].卫生经济研究,1995,04:48.
篇9
处于大数据时代,企业的管理者已经逐渐认识到大数据的重要性。为了推动企业管理的快速升级,就要将企业的信息数据处理系统构建起来,使企业在转型的过程中实施智能化管理。从企业的财务管理情况来看,在数据处理上正从核算数据转向管理数据。企业要更好地发展,就要将战略决策制定出来,其财务数据是重要的依据。在财务会计工作中,管理会计在收集和整理海量的数据信息的过程中,还要针对所发现的问题进行分析,并提出解决策略。
二、大数据的特点
所谓的“大数据”又被称为“巨量资料”,即所产生的数据信息量之大,已经难以使用现行的主流软件工具有效解决了。采用大数据处理技术,就是对于大规模的数据信息要选择在合理时间内收集,并对这些数据信息采取相应的处理方式,建立科学的管理模式,以将这些数据信息整理为具有积极效应的资讯,为企业的经营发展决策提供依据。纵观大数据的特点,主要包括以下几个方面。其一,大数据的数据体量非常大。通常所谓的“大数据”,就是指达到10TB的大型数据集。但事实上,多数的企业数据信息用户都会将多个大型数据集中起来而使得数据量达到了PB级。其二,大数据的数据类别非常大。大数据的数据来源多种多样,包括数据的种类以及数据的格式变得形式多样,已经不再局限于结构化的数据范畴,而将非结构化的数据和半结构化的数据纳入其中。其三,大数据的数据处理速度是非常快的。大数据的数据量非常庞大,而且不断地变化,但现今,数据处理速度已经能够及时、准确地处理这些数据。其四,大数据具有较高的真实性。随着各种新型数据的产生,传统的数据源已经被突破,包括企业内容、各种社交数据、交易过程中所产生的数据以及应用数据等等产生,要确保这些信息的真实可靠性,就需要企业具备信息管理能力,以提高信息的安全性。
三、大数据背景下财务会计向管理会计转型是一种必然
1、财务会计向管理会计转型是伴随互联网技术应运而生的
企业在管理工作中,往往会采用计算机网络技术对会计数据信息进行处理。在对财务工作中所产生的信息进行快速处理时,互联网技术的应用不仅加快了数据处理能力,而且提高了财务数据的处理质量。这就意味着财务会计在履行工作职责的同时,还要采用信息技术,同时建立系统化的管理模式,此过程中,财务会计人员需要将系统化的管理思维模式构建起来,以使得财务会计人员对企业的价值能力以深入理解,并实现财务会计向管理会计转型。
2、财务会计难以使自身工作符合大数据的要求
大数据背景下,信息量的增加使得财务会计工作方法发生改变。特别是针对数据的种类实施管理,就可以采用分类管理的方式。根据管理会计的不同种类实施管理,还要从工作实际出发对企业的战略发展规划进行完善。管理会计所具备的数据管理能力,并不止于实施数据信息管理,还需要对会计数据统筹管理,以使得财务会计工作与大数据背景存在适应性。
3、财务会计向管理会计转型是历史的必然
企业经济发展中做好财务会计向管理会计转型工作是非常必要的。财务会计的基础上而建立管理会计,可以使得企业发展中的资金运转情况都会明确反映出来,还可以对企业的未来发展情况作出预测,并以此为参考将企业的未来经营规划制定出来。随着财务会计转向管理会计,企业的会计工作采用系统化的运行方式,企业的资金运行情况被反映出来,而且不会受到有关管理原则的控制,所以,大数据背景下,管理会计改变了原有的被动管理的模式而实施了主动管理,才能够使企业所提供财务信息充分满足大数据背景下企业发展的要求。
四、大数据背景下财务会计向管理会计转型的有效策略
1、企业财务人员要提高职业素质
处于大数据背景下,企业的财务会计要能够顺利地转为管理会计,就需要财务人员具有较高的职业素质,能够快速地转换思维,从以记账为主的会计人员转变为可以创造财务价值的管理人员。基于此,企业就要对财务人员的职业培训工作高度重视,以使得财务人员的职业技术水平有所提高。这就需要从以下几个方面入手。其一,要注重企业财务人员的思想教育,对其管理观念以正确引导。企业可以采用培训的方式对财务人员予以企业经济效益的思想观念的引导,使财务人员能够将注意力转向财务问题的解决和非财务问题的解决。其二,要注重企业财务人员的会计业务培训工作。由于财务会计和管理会计的业务范围不同,对会计人员职业素质要求也会有所不同,就需要企业定期地开展管理会计人员的专业技术培训工作,确保财务会计人员能够在大数据背景下对管理会计工作充分掌握并处理好各项业务。其三,企业财务人员的培训工作要定期总结。企业定期地开展会计业务培训工作的同时,要对培训总结以高度重视,以能够针对培训工作中所存在的问题及时发现,并采取有效的处理措施。随着财务会计向管理会计转型,对财务人员的综合素质也会提出更高的要求,包括组织能力、沟通能力以及处理事务时的应变能力等等。特别是财务人员要具备人际交往能力,以使得企业的会计管理工作得以顺利展开并按照企业的要求完成任务。
2、企业财务信息化建设要不断加强
大数据背景下,信息技术是必不可少的工具。企业的财务会计要成功地转型为管理会计,就需要采用信息化管理平台,以确保所获得的数据真实有效。具体实施中,对财务工作采用信息技术,就要加大信息化建设的资金投入力度,同时还要深入研究建设项目以及相关的技术,使企业的各个部门都可以通过塑造网络环境而相互之间进行交流和信息查询。此外,在财务信息化建设中,要注重引进高质量的信息人才。企业的财务人员也要注重自身职业素质的提高,不仅要对专业理论知识充分掌握,还要具备应用信息技术进行财务管理的技术能力,并对相关的计算机技术知识及时掌握,以提高工作效率。
3、财务人员要对财务会计的前瞻性以充分认识
长期以来,企业的财务会计所反映的都是企业过去的经济状况,而没有基于企业现有的条件对其未来的运行情况进行预测。企业在会计信息处理中,对前瞻性以充分认识是非常重要的。首先,企业要将相关的管理制度制定出来,以通过现有的会计信息对未来的会计信息运行规律做出预测,并根据这些信息维护企业的资产,使得所预测的数据信息更为安全可靠。其次,企业要从经济环境出发,根据环境变化情况挖掘出更新的数据,并对这些数据信息进行分析。企业根据这些数据信息,就可以将企业运营中所存在的潜在风险以及时发现,并将这些数据信息向信息用户传递,还可以为企业管理者提供前瞻性的决策。
4、转变财务部门的工作内容
大数据背景下,财务会计转变管理会计是过程性的,主要是原有的财务数据核算工作内容发生了改变,而且将工作的重心落实到财务数据的管理上。随着财务人员角色的转变,就需要其对财务信息以充分了解的同时,还要摒弃传统的财务数据反复核算的数据处理方式。采用大数据的处理方式,不仅使财务人员能够对企业的资金运行情况以更好地分析,而且财务人员的工作质量和工作效率都会有所提高。所以,处于大数据背景下,将单一的财务核算转变为综合性的财务数据管理工作,包括财务数据信息的收集、数据的加工和处理、数据的分析和管理等等,都要纳入到财务管理工作中,以使财务部门的工作系统化展开。
五、结束语
综上所述,大数据背景下,财务会计工作中的传统管理模式已经难以满足企业发展需求。管理会计的应运而生,使得财务会计逐渐转向管理会计,这是时代的要求,也是企业财务管理的必然趋势。为了使转型速度加快,就要采用科学合理的管理策略,以使企业的会计工作系统化展开。虽然大数据背景下财务会计向管理会计转型是一种必然,但是,具体运行中会存在一些问题,采取相应的管理策略是非常必要的。
作者:樊春霞 单位:中国检验认证集团测试技术有限公司
参考文献:
[1]袁振兴,张青娜,张晓琳,等.大数据对会计的挑战及其应对[J].会计之友,2014(32):90—92.
[2]季丹群.大数据时代对传统制造企业管理会计的挑战[J].财税研究,2014(24):163—164.
[3]姚璐.大数据时代下企业管理及应用[J].科技创业月刊,2014(01):82—83.
[4]黄曼远.浅析管理会计与财务会计的融合[D].财政部财政科学研究所,2014.
篇10
【中图分类号】F239.227 【文献标志码】A 【文章编号】1673-1069(2017)04-0057-02
1 引言
目前,我国正致力于社会主义小康社会的建设,针对一些贫困地区,国家加大了扶贫力度,实施了精准扶贫政策,坦白说精准扶贫工作是一项长期性、系统性的大工程,需要各个相关政府职能部门的通力协作,才能将扶贫这项工作做好。审计机关作为其中关键的一环,如何在新时期转变思路、创新方法、全力服务精准扶贫工作的开展,成为当前审计机关工作的重要内容之一。
2 开展精准扶贫政策跟踪审计的重点内容分析
2.1 认真贯彻基本方略
2015年12月15日,“十三五”脱贫攻坚工作有关情况的新闻会召开,会上扶贫办主任刘永福表示:脱贫攻坚的基本方略就是精准扶贫和精准脱贫。这项基本方略的实施,变革了现有的扶贫思路和方式,更为形象地来说,精准扶贫和精准脱贫就是将“输血”转变为“造血”,来实现贫困地区的自主脱贫。以往扶贫项目的重点放在了GDP的增长上,现在要转变为注重脱贫的成效,也就是说要将“扶持谁”、“谁来扶”、“怎么扶”的一系列问题解决好。前文我们提到了精准扶贫政策主要涵盖了“六个精准”和“五个一批”,其中六个精准包括对象精准、项目安排精准、资金使用精准、措施到户精准、因村派人精准、脱贫成效精准;五个一批包括发展生产脱贫一批、易地扶贫搬迁脱贫一批、生态补偿脱贫一批、发展教育脱贫一批、社会保障兜底一批。
2.2 精准扶贫、脱贫的工作方案
按照《重要政策措施分工方案》和《2016年工作要点》明确进度安排,不断压实责任、传导压力;深入推进“五个一批”,扎实开展十大扶贫行动,深化社会参与扶贫,实施好“直过民族”脱贫攻坚行动计划;瞄准革命老区、民族地区、边疆地区、四大集中连片特困地区最困难的地方、最贫困的群体、最迫切需要解决的问题,把解决深度贫困摆在优先位置,集中力量打攻坚战。还要建立扶贫项目资金整合和监管机制。抓紧出台贫困县统筹整合使用财政涉农资金的具体意见,把管好用好扶贫资金作为最重要的任务,集中整治和查处扶贫领域的职务犯罪,防止扶贫资金“跑冒滴漏”。
3 精准扶贫政策落实跟踪审计的必要性
3.1 是适应新常态的内在要求
当前和今后很长一段时期内我国经济发展的大趋势就是适应新常态、践行新理念,在此背景下,各个政府职能部门要积极贯彻落实中央一系列重大决策部署。审计部门作为重要的基层职能机构,要深入分析新常态,深化审计重点,强化跟踪审计精准扶贫等重大政策、方针的贯彻落实情况,将改善民生作为工作重点,提高精准扶贫的实效性[1]。在新常态的新要求下,要与时俱进,转变思路,创新工作方法和手段,助力精准扶贫政策的有效落实,帮助贫困地区的群众脱贫致富。
3.2 是实践“五大发展理念”的创新要求
“五大发展理念”包括创新、开放、绿色、共享、协调,这些是新常态下的重大理论和实践创新,我们在开展各项工作时就要根据这些理念,本着解决社会公平公正问题,遵循以人为本,践行发展“以人民为中心”开创共同富裕道路的新局面,这也是我国社会主义小康社会的本质要求。当前我国已进入了“十三五”时期,这也是全面建设小康社会的攻坚期和收关期,扶贫攻坚应取得阶段性成果。所以,全面落实精准扶贫政策跟踪审计工作,是践行“五大发展理念”的要求,同时也是贯彻统筹分配、坚持社会公平正义的内在要求。
3.3 是实现精准脱贫目标的保障
从顶层设计来看,精准扶贫是一项较为全面的政策,也被称为“点穴式”扶贫,其主要内容涵盖了“六个精准”、“五个一批”、“五个坚持”等多个层面。精准扶贫的关键点在于解决扶贫中的难题,突破以往扶贫的瓶颈,将扶贫具体落实到特定的困难地区、特定的困难群众中。审计机关的工作就是要及时跟进产业扶贫措施的落实情况、扶贫资金的使用情况、帮扶跟进机制的建设等各方面的内容,只有审计工作的针对性、实效性、时效性显著提升,才能保障整个扶贫工作成效,帮助真正贫困的群众实现脱贫致富。
4 强化精准扶贫政策跟踪审计的策略分析
4.1 完善精准扶贫审计新机制
在新形势下,精准扶贫政策的跟踪审计工作必须具备较高的时效性,这就需要完善审计新机制。具体来说,一是要对审计项目进行系统化的规划部署,对审计项目的思路、重点、方法进行细化,提高审计方案的针对性、可操作性,确保精准扶贫政策跟踪审计的有效落实;二是要提高审计整合工作的协调性,精准扶贫工作具有自身的特点,开展跟踪审计时要准保把握扶贫地区的优劣势,实现审计工作的多维度融合,针对审计工作中遇到的难点和重点实现,要做好及时沟通与协调工作,按照相关规定及时报告,强化跟踪审计监督效能;三是全面梳理、总结、分析审计工作的经验,以及相关的工作情况,结合新形势、新任务、新要求,转变跟踪审计理念及审计方式,切实提高审计工作的效率和质量。
4.2 加强高素质、高水平??计队伍的建设
精准扶贫政策跟踪审计的效率和质量离不开审计队伍的支持,审计人员应在总结经验的基础上,提高审计的职业化水平,引进新的技术方法,并不断提高自身的专业技能和工作能力,积极为审计工作的顺利开展贡献力量。具体来说,审计队伍的建设包括:一是建立健全审计干部选拔任用机制,以工作能力、学习能力为基本标准,构建能上能下的任用机制,确保干部能够正确引导审计工作。二是加强职业化建设,优化审计教育培训体系,建立审计专业技术资格制度,尤其是基层审计机关,需要进一步加快审计职业化建设。审计工作其实是一项涉及学科很广的工作,包括经济学、统计学、社会学等众多学科,这就要求审计人员必须具备一定的基础知识,才能做好审计工作,所以针对在职人员,必须强化教育培训工作,努力打造一支高素质、高水平的审计队伍。三是坚持依法文明审计,加强审计自律意识,严格遵守党的政治纪律、组织纪律、廉洁纪律、群众纪律、工作纪律和生活纪律,审慎客观,文明规范,取信于群众、社会、党和政府。四是建立基于大数据的审计管理系统,高度重视跟踪审计过程中关联数据的分析,有机整合数据分析与实地审计工作,以精准的数据分析为基础,制定相应的审计方案,有效提升审计水平。
4.3 加强精准扶贫的跟踪审计监管
篇11
1.1.课题背景简介
随着WWW应用领域的不断拓展,人们已不满足于只用Web服务器浏览和静态的信息,人们需要通过它发表意见、查询数据甚至进行网上购物。原来的静态Web页面已经满足不了用户对信息服务的动态性、交互性的要求。这就迫切需要实现Web与数据库的交互。
Web与数据库这两者结合意味Web数据库将存储和管理大量重要数据,然儿一但它们被盗用或篡改,可能会带来巨大的政治和经济损失。基于广域网的Web数据库访问会带来很大的安全问题。首先是数据库的非法访问;另一方面数据通过网络传输,可能被截取、篡改。还有黑客的攻击可能使系统瘫痪。
在动态Web不断发展的今天,人们对其依赖性也越来越强,但由于其开放性,在设计时对与信息的保密和系统的安全考虑不完备,及人们对保护数据库的安全意识薄弱,造成现在数据库攻击与破坏事件层出不穷,给人们的日常生活和经济活动造成了很大麻烦。因此,研究网络环境下的Web数据库系统的安全保障已经成为了重要的课题。
1.2.课题发展现状
目前Web技术与数据库管理系统(DBMS)相互融合的研究已成为热点研究方向之一。但是由于Internet本身并没有提供任何安全机制,所以Web数据库系统对于外界攻击的防卫能力显得十分脆弱,以至Web数据库被攻击事件屡有发生。
1.2.1.Web数据库系统的产生与发展
随着互联网Internet的不断发展,以及网上信息呈几何级数的增加,同时由于传统的数据库管理系统中的数据库资源不能被Web直接访问,影响了数据库资源的共享。如何将分布在Internet上的大量信息有效的管理起来,如何使现有的数据库中的信息到Internet上,而且使的信息具有交互性、动态性和实时性,也就是将Web技术和数据库技术想结合,开发动态的Web数据库应用,成为当今Web技术研究的热点所在。数据库技术适于对大量的数据进行组织管理,Web技术拥有较好的信息途径,这两种技术天然的互补性决定其相互融合成为技术发展的必然趋势。
1.2.2.Web数据库应用系统安全威胁分析
为了让数据库能为处于网络上的用户服务而暴露在网络中,网络上的任何用户都可以访问这个数据库,这种情况下对数据库访问的控制只能通过用户控制既用户名/密码来进行。任何知道密码的拥护都可以访问,这增加了密码保护管理的难度,同时用户名/密码通过Internet传输很容易被人窃取。
其次,数据应用放读取的数据是通过Web传输,而这些数据缺乏有效的安全措施保护,从而可能被截取、篡改。
另外,Web数据库中存储着大量的数据信息,往往成为信息系统的关键,这就需要数据库及数据库所在的计算机能够安全运行。数据库放在Internet中很容易受到黑客的各种攻击。
随着网络信息系统的应用,数据库远程访问的安全问题日益突出。这个问题可采用网络传输加密,用户身份认证等安全措施解决。但由于日前的主
审计
防
认
数
访
用户
火
证
据
问
墙
服
加
控
Web数据库服务器
务
密
制
备份
图1数据库安全模型
流数据的网络传输部分都由数据库厂家来完成,恰恰缺少这些安全措施,因此上述安全技术在普通的数据库系统中难以直接应用。另外利用操作系统和数据库管理系统提供的安全保护功能是常用的数据库安全解决方案。但是Internet本身并没有提供任何安全机制,只要Web站点和Internet连通,就可能被任何人访问。
Web数据库受到的威胁大致包括泄漏、窃取、窜改、冒充、延迟、重传、遗失、越权存取数据、否认已收送数据及侵犯隐私权等。
1.2.3.数据库安全结构模型
Web数据库安全威胁涉及许多方面,我们认为安全措施应综合考虑,具体可以采用下列技术措施:(1)安装防火墙;(2)身份认证和数据完整性认证服务;(3)对机密敏感的数据进行加密存储和传输;(4)访问控制机制;(5)安全审计和监视追踪技术;(6)数据库备份与故障恢复。Web数据库安全模型见图5。
1.3.文献综述
文献一:窦丽华,蒋庆华,等.基于Web的信息系统安全研究.北京理工大学学报.2002.6,22(3):361-363.
摘要:研究基于Web的信息系统的安全问题及如何充分并合理地利用操作系统、Web服务器和数据库管理系统所提供的安全设置,以有效地保证信息系统的安全性.利用应用程序所具有的灵活性,可以弥补操作系统、Web服务器和数据库管理系统的安全漏洞,结合某单位业务信息系统的案例,分别从操作系统、Web服务器、数据库管理系统、应用程序4个方面对安全问题进行分析,同时给出了建议.
文献二:曾爱林.基于Web的网络数据安全体系的建立与完善.湘潭师范学院学报.2004.6,26(2):69-72.
摘要:随着Web数据库的应用越来越广泛,Web数据库的安全问题日益突出.本文从介绍几种流行的Web数据库访问技术出发,针对Web数据库的安全问题,建立一个Web数据库安全体系的初步模型,并指出安全问题应以预防为主,应该在构建Web数据库服务器时,及时进行漏洞检测、风险评估,根据检测结果,有意识地加强数据库服务器某方面的防范措施.
文献三:王惠琴,李明,王燕.基于Web的数据库安全管理技术与实现.2001.4.27
(3):61-67.
摘要:随着
Internet/Intranet
技术的发展和普及,Web数据库已逐步取代基于传统的
Client/Server
模式的数据库系统,因此对于基于Web的数据库安全管理技术的研究具有实际意义.介绍了目前常用的几种Web数据库的连接技术,并结合ASP技术对如何利用防火墙、身份认证、授权控制、监视跟踪、存储过程、审计、备份与故障恢复等技术来实现数据库的安全管理进行了详细的阐述.
文献四:王燕,李明,王惠琴.Web数据库的连接技术及安全控制.计算机工程与应用.2001.2,P126-128.
摘要:随着
Internet/Intranet
技术的发展和普及,Web
数据库必将逐步取代基于传统的
Client/Server
模式的数据库系统.对于数据库与Web技术融合的研究具有实际意义.文章就目前常用的几种Web数据库的连接技术进行对比分析,并对利用ASP技术实现Web与数据库的连接和Web数据库系统的安全控制进行了详细阐述.
文献五:吴春明,郑志强.基于Web数据库加密研究.西南农业大学学报.2004.4,26(2):121-126.
摘要:计算机和网络技术的广泛应用,给信息安全提出了更高的要求,在信息系统开发设计过程中,安全性能总是被放在首要的位置,成为信息系统生存的关键.数据库是基于WEB信息系统的核心组成部分,面临来自外部和内部的双重威胁,对其进行加密处理,是进行数据保护的有效手段.文章提出了一种基于JCE的WEB数据库加密模型,并对模型进行了行为分析及安全性分析.
文献六:帅兵.Web数据库系统开发技术研究.安徽机电学院学报.2001.6,16(2):29-32.
摘要:利用Web服务器的信息服务能力和数据库服务器的数据管理能力来构造信息服务系统已成为人们关注的热点,其开发技术的关键是数据库网关的实现.介绍了目前采用的传统Web数据库解决方案中数据库网关实现几种技术:CGI、IDC、ASP、JDBC,并分析了其缺点,提出了一种的新的Web数据库解决方案.
文献七:徐锋,吕建.Web安全中的信任管理研究与进展.软件学报.2002.13.(11):2058-2064.
摘要:信任管理是当前
Web
安全研究的热点.介绍了信任管理思想的出现,给出了信任管理的概念和模型,并概述了几个典型的信任管理系统和信任度评估模型.讨论了当前研究存在的问题以及今后的研究方向.
文献八:韩效鹏,官法明,等.关于Web数据库安全性问题探讨.胜利油田师范专科学校学报.2004.12.18(4)83-85.
摘要:按照DBMS对数据库安全管理的思想,在基于Windows环境的Web数据库应用中,安全控制问题主要包括如何有效地对通过页面访问的数据库中的数据进行保护,实现数据库级别的分权限访问等.在实施过程中,可使用用户身份认证、授权控制、使用日志监视数据库、参数化存储过程等安全管理技术来构筑管理信息系统的安全体系.
文献九:杨成,王恒山,张乾宇.Web数据库在线维护方法研究.
上海理工大学学报.2003.6.27(4):40-43.
摘要:本文讨论了结合互联网数据中心(IDC)的服务器托管形式下对网站Web数据库在线维护的形式和内容.并以上海理工大学管理学院学院网站为例,介绍了如何利用JSP动态网页编程语言和JavaBeans来方便、快捷地实现对学院网站Web数据库在线维护功能.
文献十:贺红,徐宝文.Web信息系统的安全隐患与网络管理员对策.计算机工程与应用.2005.18,P151-153.
摘要:基于Web的信息系统安全性体系大致分为网络系统、操作系统、Web服务器及应用程序和Web数据库等多个层次,该文分别阐述了造成各层次安全隐患的主要原因,以及从网络管理员的角度出发,在各安全层次上消除和减少安全隐患的实用性安全对策.
2.设计(论文)要解决的问题和拟采用的研究方法(论文框架)
2.1.Web数据库应用系统要解决的问题
2.1.1.用户身份认证
基于Web的数据库应用系统中包含大量的敏感数据和机密数据,为保证系统数据在存储时和网络传输时不被未经授权的用户访问或解读,可以利用用户名来标明用户身份,经系统鉴别用户的合法性后,再利用口令进一步核实用户身份。为保证口令的安全性,在口令的提交过程中,可以利用安全套接字协议(SSL),通过使用公共密钥和对称性加密提供非公开通信、身份验证和消息集成。
2.1.2.授权控制
经身份认证的合法用户根据自己的权限来访问系统,因此用户的授权管理机制甚为重要,其严密性将直接影响整个系统的安全性。在该安全体系中,可以利用Windows
NT的NTFS和DBMS的用户角色在不同层次分别对用户权限进行限制。
2.1.3.监视跟踪
日志系统具有综合数据记录功能和自动分类检索能力。完整的日志不仅要包括用户的各项操作,而且还要包括网络中数据接受的正确性、有效性及合法性的检查结果,为日后网络安全分析提供可靠的依据。
2.1.4.存储过程
在基于Web的数据库应用系统中,可通过建立参数化的存储过程实现数据库的访问,这通常是增强Web安全的一个最佳方案。
2.1.5.输出数据HTML编码
输出数据HTML编码是指在将任何数据返回给用户前应采用HTML编码,以防止跨站点的脚本攻击。因为攻击一旦破坏了数据库,便可向记录中输入脚本,次脚本随后返回给用户并在浏览器中执行。通过HTML编码,可将大数脚本命令自动转换为无害文本。
2.1.6.中间件技术
随着网络数据库朝分布式方向的深入发展,加上Internet上异构数据库的普遍存在,上述单独的数据库管理系统的安全管理能力越发显示出它的局限性。因此需要有在逻辑层次位于DBMS之上能覆盖具体差异、逻辑功能上能同意管理、同时可与用户进行交互的中间件部分。
最基本的中间件技术有通用网关接口(CGI)、Internet数据库连接器(IDC),Microsoft最近开发的ActiveXDataObject技术(ADO),它提供了高效率的ODBC数据库或OLE-DB数据库来源的链接功能。
基于数据库访问数据库的原理如图1所示。
2.2.研究方法
本课题采用以文献资料法和比较研究法相结合,以文章的全面性,系统性,专业性为目标,让读者清楚的知道Web数据库的含义,发展现状,以及如何更好的保证Web数据库的安全。
3.本课题需要重点研究的、关键的问题及解决的思路
本课题主要讨论Web数据库产生与发展和存在的安全性问题,重点研究Web数据库保护的具体方法。以纵向且全面的方式分析Web数据库的安全问题。
主要涉及内容:
1对身份认证的加密方法
2如何安全地设置Web和数据库权限
3如何更好地对CGI应用程序进行编程
Web浏览器
Web服务器
中间件
Web数据库
图2基于中间件技术访问数据库
论文研究内容确定
安全解决方案的研究
研究工作总结,形成论文
Web数据库安全性分析
文献检索
课题调研
4.完成本课题所必须的工作条件(如工具书、实验设备或实验环境条件、某类市场调研、计算机辅助设计条件等等)及解决的办法
4.1.具备一定的实验设备和实验条件:
有专业知识作为基础,有文献资源丰富的网站,拥有自己的电脑及为实验提供的机房,并有专业的老师进行辅导。
4.2.参考文献:
[1].
许龙飞.基于Web的数据库技术与应用.现代计算机,2000(2):14-15.
[2].
王国荣,朱琳杰,王伟.Active
Server
Pages&数据库.北京:人民邮电出版社,1999:139-269.
[3].
道焰,朱世挺等.CGI技术及其安全性研究
[J].计算机系统应用,1997
(12).
[4].
周世雄编.IIS4.0超级网站速成.青岛:青岛出版社,1999:33-299.
[5].
蔡丹媚利用ASP轻松实现Web的动态交互访问.计算机应用研究,1999
(2):62-63.
[6].
Arman
Danesh,Wes
Tatters著,陈卓,张知一等译.Java
Script
1.1开发指南.清华大学出版社,1998.
[7].
宵金秀,冯沃辉,卢国旺.中文Dreamweaver3网页设计大制作.北京:中国民航出版社,2000.5:117-130.
[8].Palo
Alto.Overview
of
Control
Network.CA
94304.
[9].张国祥.基于Apache的Web安全技术的应用研究[J].武汉理工大学学报,2004,(3).
[10].Java
2
Platform
[M].Enterprise
Edition
By
Anne
Thomas.
[11].刑春晓,潘泉,张洪才.通用Web数据库系统体系结构研究[J].计算机工程与应用,1999.9:35(9):90-93.
[12].
[美]
Curt
Jang,Jeff
Chow
著,周志英等译.Web网和INTRANET上的信息出版技术.电子工业出版社,1997.
[13].Gunnit
S.Khunrana等,Web数据库的建立与管理.机械工业出版社,1997.
[14].罗明宇,等.计算机网络安全技术[J].计算机科学,2000,(10):55-58.
[15].王英凯.证券交易系统中的数据库安全性[J].兰州大学学报,35:531-533.
[16].张少敏,王保义.基于Web的MIS中的数据库安全性策略[J].华北电力技术,2002,P45-90.
[17].罗昌隆,李玲娟.基于Web的数据库访问技术[J].南京邮电学院学报,2001.7,P30-32.
[18].吕峰,刘晓东等.基于Web的网络数据库安全系统研究[J].武汉工业学院学报,2003.6,P51-54.
[19].程万军
张霞
刘积仁.基于扩展客体层次结构的安全数据库策略模型[J].软件学报,2002.9,P40-42.
[20].李建中.日新月异的数据库研究领域——数据库技术的回顾与展望[J].黑龙江大学自然科学学报,2002,19(2):43-52.
5.设计(论文)完成进度计划
第1—3周:课题调研、资料收集,完成开题报告
第4—6周:结合课题开展毕业实习
第7—11周:实验研究
第12—13周:完成论文初稿
第14—16周:完成论文终稿并答辩
6.指导教师审阅意见
指导教师(签字):
年
月
日
7.教研室主任意见
教研室主任(签字):
系(签章)
年
月
篇12
(一)财务网络化的发展及商务电子化推广给审计行业带来了新的发展思路及指导方向
计算机网络技术不断发展,技术不断革新,其应用领域越来越广。尤其现在大数据时代,借助云计算应用到审计工作,促使提高数据处理能力,审计的精确度越来越高,促使审计工作网络化与电子化方向发展,这也是审计工作的发展趋势。互联网+时代的来临,促进了电子商务产业快速发展,在新的知识经济环境下,给审计工作人员带来了机遇与挑战,需要审计工作者需要提高自身审计能力,以来应变审计工作带来的困难,加强审计工作者的素质提升,是保障审计工作顺利进行基本保障。
(二)审计的现有标准和原有准则已经跟不上信息技术的快速发展
信息技术不断发展,信息技术在审计工作的应用这是科技发展的结果,社会经济呈现多元化发展趋势,传统的审计标准与现有的经济结构,审计方式存在不协和因素,尤其信息技术在审计工作章的应用,在新的知识经济时代,需要审计标准不断变化,更新旧的标准,建立一个适合现代审计方式的新标准,提高审计工作者效率,借助于信息技术,促使审计工作越来越科学,准确,符合时展需要。
(三)电算化系统在审计线索上的积极应用
科技水平不断发展,审计的方式也在不断变化,现在经济的格局发生变化,审计工作基本采用审计软件进行审计,提高审计的效率,提升了审计的职能。电算化信息系统能够通过改变与审计线索的相关因素,对审计人员在对审计对象业务的追踪过程中造成一定程度的阻碍。会计电算化能使两种追踪审计线索进行有机组合,从而达到有效降低追踪结果不准确度的效果。现在会计都是信息化时代,会计工作离不开信息技术,审计工作与会计工作有一定关系,必须依靠信息技术手段去审计,提高审计的效率,使审计更加科学准确。
二、知识经济时代审计创新的基本内容
(一)创新审计观念
审计工作是一项复杂工作,审计工作者需要在工作过程中,不断总结与提高审计的能力。在市场经济的调节下,经济呈现多元化发展方向,企业借助与科技手段不断创新与发展,与传统的经济体制有一定的区别。审计工作者需要更新审计观念,借助于信息技术,采用信息技术手段进行审计,可以提高审计工作的效率,也能增强审计的准确性。审计工作者更新观念是审计工作中关键因素,只有理念更新,利用先进科技手段去审计,肯定能提高审计能力,增强创新意R,提高创新能力,审计工作者创新的工作,是面对复杂的审计环境下的关键因素,是提高审计工作者能力的主要因素,必须更新审计观念,作为一名合格的审计工作者。
(二)行业制度和标准的创新完善
行业制度和标准需要不断完善,这是审计工作发展需要,也是社会发展对审计工作提出新的要求,科学的标准建立,是审计工作者创新工作的前提。审计行业的监督制度应该建立在合法的基础上,任何监管人员都不能滥用行政权力,行业内应该不断强化提高审计监管工作人员的岗位基本素质及职业道德,同时,政府也应该实行对监管部门的权限进行制衡规范。审计部门一般是政府下的机构,现在也有三方审计部门,这是成立一种专门的审计机构,无论那种审计机构都需要有一定的监控,能更好的为审计服务,提高审计工作者的审计职能。
三、审计行业创新变革的内涵及要点
审计工作是一项重要工作,也是一项复杂工作,审计工作者必须创新的工作,提高自己的审计能力,审计工作行业的创新改革是审计工作发展需要,也是社会发展的需要,审计创新改革内涵及要点主要有以下几点:
(一)根据现有审计行业的发展现状,在审计工作者出现的问题,及时提出解决问题的措施,进行有目的的进行更新理念、创新工作。
(二)审计工作的行业创新应该避免过度自然的跟随创新自身发展趋势的随意性和盲目性,要努力实现更多的创新价值。
(三)审计创新要在前人的基础上,根据实际工作经验,结合审计规律,创新去工作,让其成果更大。
(四) 审计行业创新除了有意识地利用历史已有的发展基础,更应该强调一定程度的原创性,不能过度听取别人的意见,而遗失了自己的主观特点。
(五)创新的基本是可操作性,可适用型,在审计工作中能有所应用,否则没有任何意义。
参考文献:
[1]钱晓能.试论审计创新及其发展策略研究[J].知识经济,2009(05).
[2]赵登攀.试论网络时代的审计创新[J].现代审计与经济,2009(04).
[3]张益明.试论知识经济和审计创新[J].事业财会,2001(02).
篇13
一、奔福德定律及国外的应用
奔福德定律是由美国数学家、天文学家塞蒙・纽卡姆(Simon Newcomb)在1881年首次发现的。在1881年的一天,他在使用对数表做计算时,突然注意到对数表的第一页要比其他页更为破旧。奇怪的现象激发了他的研究兴趣,当时他所能得到的唯一解释是人们对小数字的计算量要大于对大数字的计算量。经过大量的统计分析,他发现了许多类型的数字都很好地符合这样的规律:以1为第一位数的随机数要比以2为第一位数的随机数出现的概率要大,而以2为第一位数的随机数又比以3为第一位数的随机数出现的概率要大,以此类推。当时纽卡姆关注这一数学现象完全是出于好奇,并没有对这一定律做出任何解释。由于当时的人们对这一规律的运用缺乏兴趣,这一发现很快就被人们忘却了。
到了1938年,美国通用电器(GE)的物理学家弗瑞克・奔福德(Frank Benford)注意到了同样的现象。他收集并验证了总数为20 229个数字,其中包括篮球比赛的数字、河流的长度、湖泊的面积、各个城市的人口分布数字、在某一杂志里出现的所有数字,利用了概率的数理统计思维,发现在这些数字中,整数1在数字中第一位出现的概率大约为30%,整数2在数字中第一位出现的概率大约为17%,整数3在数字第一位出现的概率约为12%,而8和9在数字中第一位出现的概率约为5%和4%。这一规律因此也被人们称为“第一位数分布规律”。弗瑞克・奔福德并推导了奔福德定律的数学表达式,即数字的第一位上各个非0数字出现的概率表达如下:
其中:n=1,2,3,…,9;p(n)代表数值的概率,lg为以10为底的常用对数符号。
根据上式,数字第一位上出现1至9的数值依次代入上式,得结果如表1所示。
奔福德定律从产生后就引起人们的广泛关注,后人对此定律进行了大量的扩展研究,取得比较典型成就的有数学家Pinkham,他研究并证明了奔福德定律不受度量单位的影响,使得人们合理解释了不同国家不同货币计量工具下的财务数据均可以采用奔福德定律进行数值分析,而对奔福德定律的证明直到1996年才由Hill给出了严谨的数学证明,从理论上满意地解释奔福德定律的正确性。
半个世纪过去后,有人开始关注这一定律在财务领域的应用。1988年,Carslaw首次把奔福德定律应用到会计领域,他提出了一个有趣的假设:当公司的净利润刚好低于心理预期边界时,管理者会倾向于想办法让这些数字刚好“上线”,因为他们都想报告出更高的收入数据来。Carslaw通过实证研究验证了这一假设。Thomas于1989年在美国一些公司的财务数据中发现了同样的现象。1996年,Nigrini开发了对财务数据进行奔福德定律测试的计算机软件,首先把奔福德定律系统、广泛地应用到舞弊审计领域。Nigrini将这种舞弊审计的技术方法称为数值分析技术。这一软件在实际审计应用中取得了相当好的效果,例如利用这一技术成功地识别出美国旅游度假公司的财务舞弊案。在审查纳税舞弊时,奔福德定律也发挥了很大的作用。Nigrini被邀请参与了几个国家的税收审查,他设计的软件甚至还被用来审查比尔・克林顿的纳税情况。由于这些案例的成功,奔福德定律在美国和欧洲国家引起了广泛的关注,同时也得到了许多集团企业、政府部门、上市公司、专业机构以及世界著名的审计师事务所的重视。
二、奔福德定律在我国应用的现状
目前,国内对奔福德定律的介绍和研究极少,实践上也没有得到应用。笔者多次检索了中国期刊网、万方论文及期刊数据库等文献数据库,关于奔福德定律的文章很少,只有几篇,如由冯郁和丁国勇所写的《班福法则及其审计应用》(审计理论与实践2003第12期)文中将Benford's Law译为班福法则,该论文简要介绍了这一定律的内容,并通过一组实际财务数据来显示和验证该定律的正确性;张苏彤所写的《奔福德定律:一种舞弊审计的数值分析方法》(中国注册会计师2005第11期)利用2003年1 394家上市公司的主要财务数据进行了奔福德定律的验证性测试,张苏彤和康智慧所写的《信息时代舞弊审计新工具――奔福德定律及其来自中国上市公司的实证测试》(审计研究 2007第3期)进一步对2006年1447家上市公司的主要财务数据与奔福德理论值进行相关系数的验证性测试,并从相关系数的角度得出了财务舞弊公司的主要财务数据与奔福德理论值相关性较差的结论;王福生、李勋和孙逊所写《奔福德定律及其在审计中的应用研究》(财会通讯 2007第3期)、《奔福德定律在审计领域的应用》(财会月刊2007 第3期)阐述了奔福德理论在审计领域应用的成果、适用性以及优缺点,并借助于某股份公司的财务数据验证奔福德定律在舞弊识别上的有效性等等。我国这些文献大多是在对奔福德定律做理论上的验证性测试,在审计实务界还没有展开。2008年10月笔者利用注册会计师后续教育培训一周的时间对一百多名注册会计师进行过调查,99%以上的人对奔福德定律一无所知,他们在审计实务中大部分沿用常用的审计技术方法,如检查、监盘、观察、查询、函证、计算以及分析程序,对于统计抽样技术在审计实务中也应用很少,对抽样的选择主要还是依赖于注册会计师的执业经验。总的来说,国内对奔福德定律的理论研究从深度和广度上来说都远远不及国外同行,在审计实务中也没有得到有效的应用,我国在这方面有必要借鉴国外的经验,将奔福德定律的数值分析技术融入我国的审计实务中。
三、我国利用奔福德定律的必要性和可行性分析
(一)我国利用奔福德定律的必要性分析
首先,我国是一个发展中国家,上市公司在我国企业中所占的比重较少,绝大多数企业属于中小企业,中小企业占全国企业总数达到了99.8%,中小企业由于自身固有的局限性和外界环境的影响,其财务核算与管理的控制比较薄弱,财务舞弊现象较为普遍,对中小企业审计的风险较大。而我国对中小企业的审计现状是数量远远超过上市公司,但审计的收费却远远低于上市公司,很多中小规模会计师事务所为了生存不得不受制于成本效益原则,对中小企业的审计不可能象上市公司那样做到很详细,如确认资产很有效的监盘程序,在对中小企业年度审计中就很难做到位,有的注册会计师根本不监盘,对存货及固定资产的确认往往简单地依企业账面数确认,有的注册会计师只象征性地抽查一两个品名,因而在对中小企业审计中我们很有必要引进先进而又有效率的审计技术方法,来提高审计质量,降低审计风险。
其次,我国在审计领域中如果引进奔福德定律的数值分析技术,可以完善我国现有审计方法体系,给财务舞弊的识别方法增添一项新的审计技术,提高现有审计水平,将有助于我国经济的健康发展。
(二)我国利用奔福德定律的可行性分析
从理论上来说,大部分财务数据符合奔福德定律所揭示的分布规律,奔福德定律的数值分析技术识别财务舞弊已经在国外得到认可,在国内有关文献也已经利用奔福德定律对有关的财务数据进行了验证性的测试,测试结果是企业如果没有进行财务舞弊,财务数据的分析数值与奔福德理论值是趋于一致的,如果企业的财务数据的分析数值与奔福德理论值出现偏差,预警人们企业可能存在财务舞弊。
从技术层面上说,我国大部分企业已经采用会计电算化进行账务处理,审计人员对企业的财务数据很容易获取,只需要从企业账套中引出财务数据,形成EXCEL文档,然后对数据进行整理,形成审计人员所需要的一串数据,再利用EXCEL中的数据公式进行处理,操作简单易行,这也是奔福德定律的一大优点。下面以某单位的应收账款账户的数据来详细说明具体操作步骤:
1.整理数据。从账套中引出应收账款明细账形成EXCEL文档,打开文档对数据进行整理,通过筛选功能去掉文档中“上年结转”、“本期合计”、“本年累计”所对应的数据,留下全年应收账款每笔发生额的数据,选中借方发生额作为分析对象(假设借方发生额的数据在D列,共有数据7500个)。
2.截取数据的首位数。在空白的E列第一行输入第一位首字的公式:LEFT(D1,1),将E列第一行选中,利用EXCEL填充柄功能将鼠标拖到E列的第7500行,这样电脑就会自动把D列所有数据的第一位数字取出来存放在E列上。
3.计算每个首位数字的个数。在F列第一行输入EXCEL条件计数公式:COUNTIF(D1:D7500,1),在F列第二行输入:COUNTIF(D1:D7500,2),依次类推,直到在F列第九行输入:COUNTIF(D1:D7500,9)。
4.计算每个首位数字在总数据中所占的概率。在H列第一行输入公式:F1/7500,利用EXCEL填充柄的功能将鼠标拖到H列的第9行,首位数字所占的概率就会显示出来。
5.比较数据。将H列所得到的首位数字的概率与奔福德定律中的概率数据进行比较,从而得出结论。
从审计的工作程序上看,利用奔福德数值分析技术形成的结论,一样可以打印形成审计书面工作底稿,作为审计程序的一部分,为评估重大错报风险提供信息来源。
四、利用奔福德定律在审计中的案例分析
在2007年度审计中,笔者曾经选择企业资产均在6 000千万以上,收入过亿的生产和商贸两个行业的六家中小企业的财务数据利用奔福德定律进行分析,本文选择某皮革制造有限公司2007年度的真实财务数据进行说明。
审计过程中首先笔者对该单位的财务数据进行分析程序,对资产负债表进行结构百分比分析发现应收账款占总资产36.69%,应付账款占总资产38.08%,对利润表进行比较百分比分析收入比上年增长11.4%,而销售费用比上年增长117.98%,从重要性角度笔者又选择了应收账款、应付账款以及销售费用进行奔福德数值分析,模糊查找财务舞弊的迹象。
首先,对4 875笔应收账款借方发生额的第一位数字出现的概率与奔福德定律相比较,具体数据如表2所示。
由表2中数据产生的柱状图如图1所示。
从表2和图1可以得出,2007年度应收账款的发生额第一位数字出现的概率与奔福德定律相似,呈下降趋势,经过比较不排除有会计舞弊的可能性,但从模糊查找角度看,应收账款舞弊的可能性不大,当然在审计过程中对交易额超过审计重要性的发生额还需要进一步审核。
其次,对3 932笔应付账款的第一位数字出现的概率与奔福德定律相比较,具体数据如表3所示。
由表3中数据产生的柱状图如图2所示。
从表3和图2可以得出,2007年度应付账款的发生额第一位数字出现的概率与奔福德规定律相似,呈下降趋势,经过比较不排除有财务舞弊的可能性,但从模糊查找角度看,应付账款舞弊的可能性不大,当然在审计过程中还是对交易额超过审计重要性的发生额需要进一步审核。
最后对1 382笔销售费用发生额的第一位数字出现的概率与奔福德定律相比较,具体数据如表4所示。
由表4中数据产生的柱状图如图3所示。
从表4和图3可以看出在数字1和数字9这两位数字出现的概率高于奔福德定律,其他几位数字出现的概率数值较接近,数字从2至8出现的概率基本是递减趋势,在数字1 和9处出现较大反差,针对每一位数字是1和9的数据进行分析,发现从7月份开始老板本人每月报销加油费和路桥费几十万元,每笔数据不是一万多就是九千多,怀疑老板报销销售费用可能有舞弊行为。对销售费用的路桥费明细进行详细审查,发现老板本人来报销路桥费用以9为开头的数字大部分发票票据来源来自于杭州的定额运输发票,对应销售情况来看,全年销往杭州的收入为829 152.60元,而列示了运往杭州1 796 360.00元运输费用,运输费用远大于销售收入,这是不合常理的。经查询,原来老板的儿子在杭州开有一零售皮革店面,是定额征收的,大部分是不开票销售的,商品是从该皮革公司发出的,由杭州某运输公司负责托运。由此可见,借助于奔福德数字定律可以帮助人们提供财务舞弊线索。
五、奔福德定律在审计应用中注意事项
审计中应用奔福德定律时需要注意以下几点:一是注意运用这一定律的限制性条件,并不是所有的数据类型都适合奔福德定律。二是数据样本要有足够的量,样本越大,结果越可靠。经验表明,样本量在10 000以上的数据一般与理论值吻合很好,在1 000至10 000之间吻合较好,在200至1 000之间差距较大,但也有相当参考意义,样本量在200以下的,一般就不适用奔福德定律了。三是数据检测的结果如果不符合奔福德定律的概率分布,只能说明存在财务舞弊的可能性,不能说明一定存在财务舞弊,因而审计人员还应以此为线索,追根寻源,查找舞弊存在的有力证据。四是如果数据检测结果符合奔福德定律的概率分布,并不意味着一定不存在财务舞弊。尤其当数据总量非常大的时候,如果舞弊数据发生次数不多,它们就会淹没在大样本的规律之中。在大样本的情况下,审计人员还应该考虑分层进行测试分析。分层进行测试的形式可以依企业不同情况进行分类,可以按企业的供货商、购货商进行分层,也可以根据不同购货地区、销售地区进行分层。这种分层测试均可以通过计算机的操作功能快速而方便地完成。
【参考文献】
[1] 张苏彤.奔福德定律:一种舞弊审计的数值分析方法[J].中国注册会计师,2005(11).
[2] 冯郁,丁国勇.班福法则及其审计应用[J].审计理论与实践,2003(12)
