外审员信息安全范文

时间:2023-10-12 17:33:46

导语:如何才能写好一篇外审员信息安全,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

外审员信息安全

篇1

一、开展基层央行信息安全审计的难点

1.信息系统运行环境复杂。一是随着央行电子化业务快速发展,基层央行科技工作量越来越大,目前绝大多数行人均已超过了一台电脑,所使用的各种业务信息系统达三、四十个以上,且软件系统频繁升级,各种“补丁”不断。二是目前基层央行使用的各业务系统有总行统一开发,也有自主开发的,由于各业务系统开发环境不一致,涉及操作系统、数据库多,增加了运行维护难度,并且部分设备老化严重,存在一定风险隐患。基层行科技人员除要办理自身业务工作外,还负责各部门系统安装和升级、日常管理及维护、网络安全、病毒防范、安全培训等,使得信息安全检查、系统风险评估工作较难有效开展,客观上就给基层央行信息安全内部审计带来了一定的难点。

2.部门业务系统难以适应信息安全审计需要。基层央行所使用的业务系统几乎都没有预置审计接口和审计用户,连简单的数据查询都需要通过被审计对象提取,同时由于信息量大,再加上内审部门缺乏相应的技术审计手段与审计力量,用有限的人工方法查找海量的电子化信息,不仅效率低,而且要想筛选出有价值的线索如同“大海捞针”。

3.信息安全审计技术落后。央行内部审计在信息安全审计方面除合规性审计外,还对信息系统、网络安全、机房环境开展风险导向性的事前审计,但由于基层央行现有审计技术的局限性,大多数内审人员对信息安全管理知识了解较少,开展审计时边学边审,导致审计证据较难获取,难以充分发挥信息系统审计的真正作用,大大影响了审计效果。另外,由于内审部门和人员不能及时介入系统的研发、推广、培训,导致对系统了解较少,再加上大部分系统都由总行开发,基层央行难以独立开展高质量的信息系统审计项目,从而制约了信息安全审计开展的深度和广度。

4.信息安全审计力量薄弱。目前基层央行审计人员数量和知识结构远远不能满足信息安全审计的要求,能熟练掌握计算机专业知识及业务知识的人员偏少,仅停留在简单的机械式的运用层面,更深层次的数据筛选、数据分析、函数计算、数据统计和图形分析应用不多,大多内审人员对信息安全审计的特点、方法和存在的风险缺乏深入了解和掌握,无法有效地开展相关审计工作。

二、加强基层央行信息安全审计的对策

1.建立央行信息系统审计标准与规范。结合央行实际,确立央行信息系统审计标准与规范,进一步明确信息安全审计的技术角色,强化信息系统审计的技术特色。同时,推广先进的审计技术,建立科学的信息安全审计模式。

2.提高计算机辅助审计软件的实用性、针对性。一是各业务部门在业务系统建设开发中要针对不同的审计需求,预留审计访问接口,注意把握好数据转出分析模块的设计思路,使审计中获取的电子数据可以作为审计证据使用,以降低审计风险。二是内审部门要介入业务处理系统开发、应用及相关制约机制设立的全过程,对系统业务处理的合法合规性、安全可靠性、可维护性、可审计性及制约机制的完善性进行分析、评价,尽可能地提高系统效率,降低风险。

3.强化科技管理。一是以针对性和时效性、便于操作为出发点,建立健全各项科技管理制度,做到有章可循。二是重视科技实体建设,科学合理投入资金,保证硬件设施安全。三是加强科技力量,充实科技人员,将科技管理与维护岗位分离,实现岗位互相约束、监督,强化信息安全检查、系统风险评估等工作。四是加大信息安全培训力度。通过组织开展岗位业务技能训练和业务达标活动,提升全员的整体科技素质、计算机安全意识和业务技术操作水平,逐步消除对科技人员的过分依赖。

4.改变传统审计方法。由上级行集中研发、业务及审计部门力量,统一制定资源管理、软件程序、数据完整性及系统维护等审计模型,开发信息安全审计系统,对网络安全、运行环境审计等各类风险因素进行评估,量化确定各类风险的大小,提高审计效率。

5.培养信息安全审计专业人才。一是整合人力资源,将审计业务、央行业务和计算机专业知识娴熟的复合型人才充实到内审队伍,调整知识和专业结构。二是加大对现有审计人员信息技术的培训力度,利用互联网的便利性实施网上培训,辅之以岗位练兵、以查代训、自学等方式,让内审人员及时掌握央行各类信息系统发展的趋势和信息风险的一般规律,使信息技术真正成为基层央行实施业务监督和风险控制的有力工具。三是做好现有审计系统的普及工作,使内审人员人人会操作,个个会应用,提高内审工作效率。

(作者单位:人民银行赣州市中心支行)

篇2

关键词:在线;稿件处理系统;投稿;审稿;JSP

中图分类号:TP311 文献标识码:A 文章编号:1674-7712 (2013) 06-0084-01

我国科研数量在不断增长,科技期刊编辑部的稿件数量在迅速增加,稿件管理的压力增大。传统的稿件管理模式很难应对大量稿件的信息流、资金流的管理以及关于期刊及时信息的。据有关机构统计,2010年1868种中国科技核心期刊中1105种期刊有自建网站,占中国科技核心期刊总数的59.2%。利用信息技术实现期刊管理的数字化和网络化,成为期刊发展的必然选择[1,2]。

一、系统的需求分析

总的设计原则是:系统稳定,信息安全、使用上方便、灵活、界面与言语的友好性。尤其要注意的是信息的安全问题,既要防止网站遭到黑客、病毒破坏,也要防止作者恶意大量投稿,还要满足审稿时的“双盲审”制度。实现目标是方便作者、审稿专家、编辑及管理人员的使用,基本符合原有的投稿、审稿、编辑习惯,实现编辑部内部的网络办公,提高效率,节约成本。本系统应该具有的功能需求包括:(1)或自动更新编辑部的一些日常信息。如:编辑部简介、编委会的介绍、投稿指南、学术活动、信息公告、征订启事等内容。(2)给投稿作者提供一个入口,实现在线投稿、查询、个人信息维护的功能。(3)为审稿专家提供在线审稿的功能。在线审稿数据库中的专家可以通过登陆账号和密码在线提交评审意见。查看自己的待审稿件、在审稿件和已审稿件。审稿专家的账号和密码由编辑部分配。(4)为编辑及管理人员提供的功能有:对各类信息的增、删、改、统计和查询等功能,并对统计和查询结果自动形成文档,支持打印;设置稿件模板;作者库与专家库维护;来稿登记;稿件初审;对待审稿件选择专家送审;处理专家审稿意见;将待改稿件退回作者修改;发录用通知单;从待发稿件中挑稿送出排版[3]。

二、系统功能设计

使用系统的三个主要使用者为作者用户、编辑、审稿专家用户。编辑部的基本工作流程为:作者注册作者登陆在线投稿来稿登记稿件初审(在线编辑)专家审核反馈意见处理作者修改稿件定稿录用等。通过对此流程分析,可以将系统规划为以下三个大的功能模块,具有相对独立性,但又相互关联。

(一)一般用户模块

一般用户包括主要功能包括注册用户和非注册用户。非注册用户和未登录用户只能浏览网站上的公共信息。若要在线投稿需要进行登录,第一次投稿需要进行注册。登录后用户可以进行信息浏览、在线投稿、稿件处理状态查询、个人信息维护等。

编辑及管理人员模块中要实现的功能最多,也是最复杂的。

首先进行来稿登记、录入管理。对新投稿件进行编号,发送给初审人,稿件的状态变成初审状态。接下来还需要经过编委审稿、专家外审、终审三级审核过程。审核中可以进行通过、未通过是否需要修改、退稿等处理。在编委审稿和专家外审后,若两者均判定未通过且不需要修改,则编辑发出退稿意见;若有显示未通过但可以进行修改的,编辑可根据编委和外审专家意见提出具体修改意见上传至网站,同时稿件状态变为修改。作者在网站上可以看到修改意见,修改稿件后可再次上传等待终审,若通过,编辑通过电子邮件方式发录用通知附带缴费通知。编辑模块中还要实现其他系统管理,如:作者库管理、专家库管理、栏目管理、信息。

(三)专家外审模块

首先,建立外审专家信息库,包含本刊所有专家的详细个人信息,如:姓名、性别、年龄、单位、职务、职称、专业特长、学历、联系方式、E-mall。

稿件由编辑选出专家送外审后,状态显示为外审专家审稿中。审稿专家用编辑部提供的登录信息即用户名和密码,从专家登录窗口进行登录即可进入审稿界面,显示出了需要自己审理的稿件并下载,审核后需要提交审核结果。专家可以给出:不通过,其简单理由是什么;是否需要修改选择,若需要修改,给出修改意见;通过。修改意见既可以单独形成文件上传,也可以在原文上作出批改,然后上传,系统状态会显示外审审回。

(四)后台管理

一般可由编辑或其他管理人员进行的系统管理,如:作者库管理、专家库管理、栏目管理、信息,过刊文件的上传等等。还有比较重要的工作,一般应由超级用户操作,如:给编辑和外审专家用户分配审稿权限。

三、系统实现的开发工具与关键技术

本系统运用B/S(Browser/Server)开发模式完成,用户工作界面是通过WWW浏览器来实现,极少部分事务逻辑在前端(Browser)实现,但是主要事务逻辑在服务器端(Server)实现,形成三层结构。Struts框架采用MVC(Model/View/Controller)模式,对三者都提供了相应的组件,能够实现B/S结构的软件开发。Model部分由JavaBean组成,它封装了底层的业务逻辑,包括数据库访问等;View部分采用JSP实现;Controller组件有两个部分组成――系统核心控制器、业务逻辑控制器。在数据库的设计与管理中,采用强大的OracleDatabase。在设计完成数据库的实体-联系(E-R)图基础上,应包含的基本数据库有:期刊信息、作者信息库、外审专家库、稿件信息库、稿件状态表、编辑及管理人员库、超级用户库等。

四、结束语

与传统的邮寄和电子邮件方式相比,通过该系统的应用,方便了作者、编辑、审稿人之间的交流,节省了投稿的时间,加快反馈速度、减轻编辑的工作量,提高了工作效率,同时也大大节省了纸张、邮资等办公资源,提高信息资源的利用率,向着实现投稿―采编―的一体化更加迈进一步。本系统还应在“过刊浏览及下载”的功能上进行完善,免费提供文章摘要和全文,实现科技信息的开放存取(OpenAccess,简称OA),扩大刊物影响,提高期刊的影响因子,提升办刊水平和质量。

参考文献:

[1]许育彬,杨智全,宋亚珍.关于科技期刊在线投稿系统使用的建议[J].编辑学报,2010,22(3):260-261.

篇3

关键词 互联网金融 P2P 大数据征信 信审

互联网金融自2007年出现直至2015年发展态势愈演愈烈,作为一种新兴的金融服务方式,P2P行业凭借其“短,平,快”的特点和优势获得了迅猛的发展。另一方面,P2P问题平台跑路、倒闭、兑付危机等负面新闻频出,整个行业都受到了牵连,行业发展的迅猛态势倒逼监管加快步伐。其中,作为P2P行业工作的关键环节,信审工作存在的问题及其优化受到了越来越多的关注。本文以“大数据”为研究背景,对P2P企业信审环节中的主要问题展开研究。

一、信审环节主要存在的问题

(一)资料收集阶段――渠道较少,范围较小

目前我国众多P2P企业在收集资料阶段存在信息渠道窄、信息覆盖面不全等主要问题。首先,大多P2P企业获得信息渠道相对单一,以P2P企业与借款融资企业之间的双向往来为主。其次,P2P企业信审大多参考银行传统征信函盖的资料内容与范围,信息的覆盖范围较窄,使风险评估阶段由于数据信息的局限性导致评估结果有一定的偏差性。

(二)风险评估阶段――建模初期,经验主义

风险评估方面的问题是制约P2P企业发展的重要因素。目前较多P2P企业在审核企业信用时采用以往或行业经验来定性评估受审企业的信用等级。由于不同企业在信用审核中存在行业差异性,没有统一的衡量标准,P2P企业为了了解待审企业的运营状况,先实地尽调,再根据受审企业具体问题具体分析。这就导致审核时间长、耗费的成本及人力资源较多且评估结果缺少科学性依据。

(三)数据存储阶段――疏于管理,安全性低

P2P企业都会对借款方企业的前期资料以及后期评估的信用情况进行建档存档。目前,大多P2P企业的数据存储没有专门的数据库系统,也没有设立服务器或交予第三方云服务平台托管的意识。

二、欧美的征信经验及我国的改变

说到信用审核的问题,必然要谈到近两年频繁出现的“大数据征信”了。一些欧美国家在在此方面的应用都是先于我国的。以利用“大数据”进行风险管理的ZestFiance为例,它整合分散数据,借助数据挖掘与自我开发的预测模型(包括防欺诈模型、还款能力模型等十个模型),再将预测模型的结果进行集成处理,挖掘更多传统征信覆盖不到或潜在的信用信息,并借助信用评估模型获得完整的信用评估报告。

而近些年国内有关征信方面也有了不少改变。央行将征信系统向个人及金融机构开放,个人每年可免费查询一次自己的征信报告,而金融机构只要符合相关申请条件经授权批准即可接入征信系统的接口。此外,央行在2015年1月印发的《关于做好个人征信业务准备工作的通知》中,包括芝麻信用、腾讯征信等八家企业被授权挂牌作为民营征信企业。通过对数据的挖掘和分析,各企业从不同维度综合评估,为用户建立个人的信用评分,向个人及机构提供征信服务,丰富了征信内容。这对冲破传统意义上的征信使征信多元化、数据化有着重大意义。

三、对P2P企业信审工作的建议

(一)资料收集阶段――多元化数据搜集

在收集借款方企业的审核资料过程中,可以从两方面做出多元化改善:

1.获取信息渠道多元化。这里的信息渠道是指获得借款方需审核资料的方式。在行业未来发展中,扩展信息收集渠道将成为一种趋势。如获取借款融资企业资料可通过以下几种方式:第一,申请央行征信系统的接口,获取企业法人、融资负责人、企业核心决策层等相关人员的个人征信报告;第二,向目前已开放的八家征信企业选择一家或几家支付一定服务费用,接入数据接口,获取借款融资方相关人员的信用记录及评分;第三,通过全国企业信用信息公示系统、中国裁判文书网、各地法院官网等官方网站,获取企业基本信息及企业的不诚信经营导致被事件等信息。

2.信息领域多元化。信息领域,也称信息覆盖面。正确地拓宽数据搜集的覆盖面可以为信用审核提供更多维度的信息,使最终的信用评估综合性及参考价值更高。除了传统信审所涵盖的身份信息、信贷信息、金融负债信息及公共信息外,可参考拓宽的领域有:第一,民营征信企业提供的信息。不同征信企业有不同的侧重领域,如:中诚信征信、前海征信、鹏元征信侧重金融领域;中智诚征信和北京华道征信侧重反欺诈领域;腾讯征信、芝麻信用、拉卡拉信用侧重生活场景领域,包括社交、消费等方面。第二,大数据征信视角可探知的信息。这点与上条所说民营征信企业提供的信息有交叠部分。信用信息与信贷记录具有强相关性,同时,它与通过数据挖掘方法获取的一些行为信息也有一定的联系。例如利用数据挖掘获得的搬家次数、网络点击等信息。当然,需在合法合规的前提下获取此类信息。第三,非金融日常信息。如:水电气缴纳情况、有线电视、移动电话等信息。

(二)风险评估阶段――多层次多维度综合评估

多层次的综合评估是指在建立模型的过程中,由基础模型――评估模型――信审模型 构成垂直方向上层级递进的评估模型。首先将收集的数据信息划分为多个维度,划分也可分为两种方法:一是按照信息来源分类,如:央行的征信报告、企业公共信息、民营征信机构信息等;二是按照信息的领域分类,如:验证类基础信息、金融类信息、非金融类信息。不同类别的数据与信审的相关性不同,即每一类信其次针对不同评估方面,以两类或以上的基础模型评估结果为参考,运用相应的算法建立适用的评估模型,如还款能力评估模型、还款意愿评估模型、身份验证评估模型、企业运营评估模型等。最后根据不同类型的企业及其不同的侧重点,在评估模型的基础上加上不同的权重,使用相应的规则,将评估模型整合为最终的信审模型,获得最终的信用评估报告。

(三)数据存储阶段――完善服务器

上文中提到多数P2P企业将信息安全保障集中放在网络平台的运营上,而忽视了对借款方企业信息存储的安全保障。

在长期发展中建议P2P企业在信息存储方面建立完备的数据库服务器对数据统一管理,或将其托管至第三方云服务平台;对于信息中的敏感数据采用一定的加密技术以确保信息存储的安全性。

四、结语

互联网金融P2P行业在我国仍处于初步发展阶段,其发展有无限的可能,也将会朝着网贷行业产业链的趋势发展,形成数据服务企业――征信(信审)服务企业――P2P平台服务企业交叉网状结构,将每一环节的业务细化到每一类企业。对中国征信将来的发展也抱有积极的观望态度。

(作者单位为西南交通大学经济管理学院信息管理与信息系统)

参考文献

[1] 陈初.对中国“P2P”网络融资的思考[J].人民论坛,2010(26).

[2] 王亮平. P2P网络借贷环境下我国小微企业融资需求分析[J].商场现代化,2015(Z1).

篇4

一、什么是安全播出

所谓的安全播出是指广播电视播出和传输网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行:舆论导向正确,节目内容健康:节目内容不被篡改,广播电视信号不中断,用户能正常接受广播电视节目信息。广播电视的安全播出主要包括四个方面:一是传输系统的安全。传输系统的安全主要是指各传输机构有效防范和抗击非法信号侵入,以及其他一切干扰破坏活动所应实现的安全。除了自身的有效工作外,还需要社会各方面的共同努力来保障。二是设备和人身的安全。设备和人身的安全主要是指各播出和传输机构的所有节目,在制作、播出全过程的安全这是广播电视播出机构自身正常运转所应该保证的。三是接收信号的安全。接收信号的安全主要是指广广播电视节目信号可被授权实体接收并按需求使用的特性。即广播电视用户能获取或存储所需的广播电视媒体传送的图像或声音信息。四是广播电视节目生产的安全。广播电视节目生产的安全主要是指广播电视节目的内容,这是党、国家和人民喉舌的重要组成部分,是重要的思想文化宣传阵地,承担着传播先进文化,引导社会舆论等多种任务。

二、加强广播电视安全播出的措施研究

2.1确保播出系统的安全可靠

主要做好四个方面,一是保持良好的机房环境。机房环境包括值班人员工作环境和设备运行环境,机房环境应保持清洁、通风、滤尘,播出设备摆放合理,照明设备、防火、防雷电设施要齐全、有效。二是确保播控系统安全稳定。播出部门要按“日检、周检、月检、季检、年检的要求,对相关设备、系统进行全面维护和检修,排除各类故障和隐患,并做好维护检修记录。目前我台采用的是全数字硬盘播出系统,播控设备包括播出工作站、服务器、音视频矩阵切换器、网络交换机、GP8时钟等。三是完善监听监看系统。建立完善的广播电视信号监听监看系统,随时监听监看广播电视节目的图像、声音、信号质量,及时发现信号传输过程中出现的问题四是保持发射设备良好的运行状态。发射设备因长时间处于高频大功率工作状态,其可靠性相对于整个广播电视系统而言是较低的,应定期进行保养维护,提高播出设备运行可靠性,才能保证发射系统高质量、高稳定地工作。

2.2完善各项安全播出规章制度

一是加强机房值班安全管理,建立健全各项安全播出管理制度,确保不发生人为事故。建立完善的安全播出制度和各工作岗位的操作规程,建立完备的权限操作管理程序;建立上下班交接制度、值班巡机抄表制度、重大事故报告制度、应急播出预案、月度播出工作总结制度:机房坚持24小时值班制,非机房工作人员未经批准不得进入机房,机房要有安全防范报警装置,并保证通信联络畅通。加强对自办节目的监审,做到内容有审签、传递有专人、交接有签字、播前有重审,确保节目从制作到播出各个环节的安全。二是规范播出设备检修工作,确保播出设备安全运行。对电视播出设备定期维护和保养,建立设备档案,制定一套科学化、规范化、制度化的维修管理制度。明确设备维护责任人,着重落实机房负责人、机务员责任制,使检修工作分工明确,具体任务落到实处。三是落实岗位责任制,建立安全播出奖惩机制。为切实提高安全播出水平,充分发挥广播电视安全运行管理的长效激励机制的作用,积极鼓励工作人员为安全播出工作作出更大的贡献,对年度表现突出的部门和个人给予奖励。

2.3应用网络技术构建安全播出保障体系

广电系统应建立适应广播电视网发展的安全保障体系,全面落实网络安全措施,充分利用防病毒软件、防火墙、隔离网关实时进行网络入侵检测、漏洞扫描、流量监测;建立必要的虚拟专用网络、安全隔离区;建立严=格的管理制度和科学的信息安全体制,实行专人负责制,定期升级防病毒软件、及时修复系统漏洞:强化保密意识,设定严格的系统访问机制,严禁计算机、移动存储设备在网络之间混用。

2.4打造一支高素质的技术队伍

随着广播电视事业的快速发展,播出设备也在不断更新,广播电视安全播出技术性很强,没有过硬的技术素质和熟练的业务水平,一切无从谈起,这就要求我们必须加强新技术、新知识的学习,用新技术、新知识来解决可能出现的新难题,使设备最大限度地发挥应有的功能、延长使用寿命。此外还要定期组织工作人员学习安全播出应急处置预案,使工作人员熟练掌握各种应急方案,遇到突发状况能立即进行处置。播出工作是广播电视传递党的声音、丰富人民群众精神生活、发挥舆论监督作用的最后一关,我们只有以强烈的安全意识和高度的责任心,严格遵守各项管理规定,熟练做好应急处置工作,才能真正实现安全优质播出

2.5转变工作模式加强各科室的沟通

随着计算机高速网络与多媒体技术的迅速发展与普及,电视受众对节目质量的要求也越来越高,以硬盘存储为中心的视频网络播出系统作为一种新型技术已趋于成熟,硬件和软件环境在可靠性和记录时间上都达到了实用化程度,电视播出领域由磁带播出向硬盘播出方向发展,已成为播出方式的主流,电视数字化不可逆转。各个电视台的播控技术也由手动向自动,有模拟向数字化改进。在最初简单的模拟信号手动播出方式这个阶段,在技术能力的要求上,对整体控制能力相对较少,主要体现在对整个播出系统的了解掌握程度。只要有了好的整体使用能力,在工作中仔细认真一点,就可以做好广播电视的安全播出工作。但是在运用了以视频服务器为主控的全数字多频道自动播出系统后,硬盘自动播出系统的可靠性主要决定于硬盘系统和周边设备的硬件水平以及相应的应用软件水平,人的因素不可忽视。播出、制作、节目上传、总编室都不再是独立的个体,这要求我们在思想和工作模式上都要有很大转变,相关部室之间需要加强交流沟通,各负其责,团结协作,才能实现安全优质播出。

篇5

【关键词】建筑企业;造价管理;改进

工程造价不仅影响到建筑企业在竞标竞争中的成功率,同时也会对企业自身成本管理带来影响,因此,加强和改进建筑企业造价管理意义重大。

一、加强和改进建筑企业造价管理的必要性

造价管理不仅是建筑企业获得工程或者进行施工的基本前提,同时也是企业内部推行预算管理的必要手段。从我国建筑行业的发展现实来看,加强和改进造价管理具有必要性与紧迫性。

1、应对激烈的市场竞争必须加强和改进造价管理

当前,我国建筑市场竞争激烈,一方面,建筑行业企业数量众多,2001年,我国建筑企业总数仅45893个,2009年达到70817个,特别是一些实力雄厚、大型的国有企业介入到建筑领域,使得建筑业的竞争更趋激烈。另一方面,我国建筑行业在经历了高速发展后,目前已经开始步入了一个相对稳定甚至阶段性较小的阶段,这种相对稳定的容量必然会要求数量众多的企业在竞争中谋求发展。而工程造价可以帮助建筑企业在竞标中处于优势地位,从而获取竞争优势。

2、增强企业盈利能力必须加强和改进造价管理

当前,建筑业步入了低利润时代,特别是在国家采取各种措施对房地产进行调控的基础上,建筑企业的融资成本不断上升,加上物价上涨,劳动力成本的升高,一些中小型建筑企业更是可能面临生存压力,在此背景下加强和改进造价管理,能够更好的更好的了解施工工程的成本分布情况,为成本节约提供基础。

3、促进企业转型发展必须加强和改进造价管理

转变经济发展方式是当前我国经济社会发展的主题,而转方式的基础必然是要以包括建筑企业在内的企业为主体。加强和改进造价管理,不仅可以加快推动企业自身管理模式由粗放型向集约型转变,同时也可以帮助企业在发展理念、发展规划上更加注重资源节约、环境友好,最终助力企业转型发展。

二、建筑企业造价管理存在的问题

总体来看,当前我国建筑企业造价管理还存在人才素质有待提升,造价规范化程度不够,造价管理不严等方面的问题。

1、人才素质有待提升

虽然经过多年的培养我国工程造价人才数量不断增多,但获得造价工程师的人数还难以满足市场的需求。一方面,从人数上来看,我国建筑企业数量众多,且还有大量的工程咨询公司需要造价方面的人才,这就加剧了市场供不应求的局面,一些没有取得造价工程师资格的人才也进入这一领域工作,从而在整体上降低了人才素质。另一方面,从人才培养上来看,我国建筑企业存在重使用、轻培养的现象,对从事造价工作的人员的继续教育重视程度不够,难以有效的提升人才总体素质。

2、工程造价规范化化程度不够

从信息化使用手段来看,我国建筑企业工程造价有采用工程造价软件如广联达等,还有部分地区或者企业采取工程造价信息管理系统即将工程造价有关的信息收集、数据整理与加工,预测等功能集中于统一的计算机系统,但无论哪一系统都还存在规范性不够的问题。从工程造价软件来看,由于造价人员自身的理解不同,特别是对于施工现场了解不够,在进行套算时可能会存在差异,从而带来了预算(决算)结果的不统一。从信息管理系统来看,由于国家还没有颁布统一的标准,当前的信息系统开发还处于初步阶段,无论是对于数据的处理还是对于一些公共数据的共享等都还存在不足,这也导致工程造价的不规范。

3、造价管理不严

首先,造价人员自身对造价结果的管理不严,在绩效考核的模式下,工程造价人员更为关注自身的工作效率,对于造价结果是否客观、准确,缺乏严密的核算理念,从而可能给造价工作带来困扰。其次,从建筑企业对造价的管理来看,企业内部虽然多建立了二审甚至三审复合制度,但没有建立起相应的奖惩机制对复合的结果进行处罚,从而导致相关责任人责任意识不强,在复核过程中可能敷衍了事,难以提升造价管理水平。

三、加强和改进建筑企业造价管理的对策建议

加强和改进建筑企业造价管理,可以从加强培训提高造价人员专业素养,制定造价管理责任制度提高职工责任意识,积极创新大力引入信息化管理手段等方面着手。

1、加强培训提高造价人员专业素养

首先,要加强对工程造价专业知识的培训,建筑企业要不断完善继续教育管理制度,帮助工程造价人员了解、研究国家最新的法规条例,特别是,要加强工程造价人员现场培训,帮助一些缺乏实践经验的职工深入工地,了解工程造价的基础情况,形成感性认识,从而提高其业务处理能力。其次,要加强对信息化软件使用能力的培训,建筑企业除组织造价人员参加软件服务商组织的各项培训外,还要通过与软件供应商进行合作等方式来提高造价人员对各个模块的了解,特别是针对自身所属领域进行工程造价所需注意的事项进行培训,以此来提供造价人员信息软件使用能力。

2、制定造价管理责任制度提高职工责任意识

首先,要建立工程造价目标责任分解制度,要将工程造价的责任分解到具体的岗位,分解到个人,明确预算(决算)员,部门负责人相关岗位职责。其次,要建立富于激励性的目标责任管理制度,要以提高竞标成功率,降低施工成本为目标,对于造价质量高,责任意识强的职工,要给予奖金、津贴、职务等方面的奖励,对于、敷衍了事的职工,要追究其责任。

3、积极创新大力引入信息化管理手段

首先,要适应外部形式的需要积极构建工程造价信息管理系统,这一系统不仅要能够进行工程预算(决算),还要能够与建筑企业的综合管理系统进行对接,以实现企业相关责任人能够方便、快捷的了解工程造价信息,并利用造价结果对施工进行管理。其次,要不断规范信息化管理工作,要在保证企业信息安全的基础上,充分利用国家有关标准,借鉴国外的经验来搭建信息化管理平台,如搭建工程造价信息存储于资源共享平台,便于企业内部职工方便的查阅成功竞标案例信息,提高造价质量。

参考文献

篇6

关键词:地理信息;测绘环境;浅析

中图分类号:U469文献标识码: A

地理信息已经得到了广泛应用,服务于我们的生活、工作中,并带来便利。电子地图、卫星导航、遥感影像,这些地理信息产业链上的新生事物正在创造奇迹,效益已经显现。地理信息系统(GIS)集地球数字化于一身,能装下整个地球的超量信息。目前,全球GIS这一新技术产业的年增长率已达到35%以上。

一、地理信息的内涵以及地理信息产业现状

地理信息系统,英文全称为Geographic Information System,英文简称GIS,它是一种地理数据管理系统,将地理环境中的诸多要素,包括地理空间的分布情况以及相关的属性数据等,通过计算机技术的应用建立成地理数据库,并对这些要素进行数字存储和分析处理,从而高效地达到地理数据管理的目的。地理信息系统的优势在于可以可以非常迅速地对诸多地理环境要素进行分析,从而便捷地获得所要知道的信息,最终以图形的或者数据的形式表达出信息内容,从而满足科学研究以及应用教学等需要。当前,地理信息系统在我国应用广泛,在天气预报、防灾抗灾、交通管理、公安办案、环境保护以及资源利用等方面都获得了很好的应用。

地理信息产业发展经过三个阶段,一是技术跟踪与实验阶段;二是研究发展与应用阶段;三是产业形成和发展阶段。目前,由于受国际大方向发展的影响,我国地理信息产业有着一日千里的良好变化,国人已越来越强的意识到地理信息产业对于自身的日常生活有着及其重要的关联。因此,地理信息产业近年来在我国呈现出蓬勃发展的良好态势。正在成为中国乃至全球服务业中迅速崛起的战略性新兴产业,成为国家创新体系和信息化建设的重要组成部分。

“十一五”期间,我国地理信息产业年增长率超过25%,保持了高速发展态势。到2011年,我国地理信息产业从业单位超过2万家,从业人员超过40万人,总产值接近1500亿元,年均复合增长率达37.47%,一些地理信息技术与产品已达到或接近当前国际先进水平。

最近几年,在“数字中国”和“数字城市”的推波助澜下,我国各个领域几乎都不同程度地在进行地理信息相关的应用系统集成与建设。卫星导航应用与服务也是地理信息集成应用的另一个亮点,呈现出强劲的增长势头。

二、创造地理信息测绘的良好发展环境

为了进一步加强我国测绘与地理信息产业市场的规范化管理,需要制订和完善相关政策。就市场管理而言,政策的核心应该是规范测绘与地理信息产业的市场秩序,建立统一、公平、公正、有序的竞争环境,促进我国地理信息产业的快速和可持续发展。以下是几点具体措施建议。

(一)完善测绘地理信息产业市场准入管理。针对地理信息产业的市场业务活动范围较广、一些业务活动涉及使用国家保密成果的特点,建议对不同的业务活动实行不同的市场准入模式。对于从事基础地理信息数据生产、公众版地理信息产品生产和地理信息应用系统开发与集成业务活动的单位,实行单位资质管理;对于从事地理信息工程咨询与监理业务活动的单位,实行单位资质管理和从业人员执业资格管理;对于只从事地理信息产品增值加工、地理信息服务业务活动的单位,可以不要求必须取得单位质,而通过与工商行政主管部门的合作实行企业注册,业务核准和备案。

(二)进一步加强测绘与地理信息产业市场监管。除继续通过资质年审、不定期专项质量检查和专项业务检查等方式外,还通过企业注册业务核准和备案等,对地理信息产业业务活动进行监管和指导;对从事地理信息产业有关活动的人员通过注册测绘师资格年审等方式进行监管;建立健全地理信息工程技术与造价咨询及项目监理制度;逐步建立我国地理信息市场诚信行为信息管理体系,营造诚实守信的市场环境;通过进一步宣传贯彻国家法律、法规,对地理信息用户特别是政府用户使用地理信息数据、接受地理信息工程服务等进行指导。

(三)尽快建立并逐步完善测绘与地理信息行业自律机制。中国地理信息系统协会等组织应尽快制订并在全行业实施《中国地理信息行业自律公约》;从事某一类服务的地理信息企事业单位可组建相应的地理信息产业联盟,通过制订和履行联盟章程和公约,实现联盟内部的公平、正当竞争;国家有关部门积极支持建立行业自律公约的实施监督和激励机制,保障公约的贯彻实施,维护市场秩序。

(四)充分发挥行业协会在市场规范化建设中的作用。行业协会应在规范地理信息产业市场、发展地理信息产业中发挥进一步的作用。有关行业组织应积极协助政府做好有关工作,如单位资质认证培训、从业人员从业资格认证、从业人员执业资格认证培训、诚信行为信息管理、产品标准制订与评测等。

(五)税收政策。当前,测绘与地理信息市场尚处于初级阶段。特别是进入市场的一部分市场主体,过去是国有事业单位,按国家经济体制改革要求转型为自主经营、自负盈亏的经济实体或完全改制为民营股份制企业,它们对新体制还应有一个适应期,加之地理信息产业本身属于朝阳产业,需要政府的政策扶助。政府在税收方面,如所得税可在一定时间段内给予减免优惠,则将有利于这些单位减轻压力,尽早适应新的测绘与地理信息市场环境,增强自主发展的能力。

(六)强化测绘地理信息公共服务。坚持以应用为中心,切实发挥市场在资源配置中的决定性作用,协调好测绘成果保密与应用的关系,处理好公益测绘地理信息服务保障与地理信息产业的关系,深化测绘地理信息服务模式改革。以天地图、地理国情监测、应急测绘保障为抓手,加强测绘公共服务,打造测绘地理信息公益品牌。贯彻实施好《国务院办公厅关于促进地理信息产业的意见》,积极引导和扶持地理信息产业发展,推进现代地理信息市场体系建设。加快实现测绘地理信息工作从提供地理信息数据走向提供地理信息综合服务,从“幕后”走向“台前”,从基础先行走向服务决策管理全过程,实现社会效益、经济效益的最大化、最优化。

(七)实施创新驱动发展战略。建立健全测绘地理信息科技创新体系,让市场真正成为配置创新资源的力量,让企业真正成为技术创新的主体,打通从科技强到事业强、产业强的通道,完成从科学研究、实验开发到推广应用的三级跳,促进科技成果资本化、产业化。坚持抓重大、抓尖端、抓基本,持续推进基础性、系统性、前沿性技术研究和技术研发,加快建设信息化测绘技术体系,夯实事业发展的科技支撑,不断增强自主创新能力,实现科技创新由“跟跑者”向“并行者”“领跑者”的转变。

(八)加强测绘地理信息统一监管。牢固树立法治理念,改革测绘统一监管模式和手段,更好发挥政府作用,切实提升运用法治思维和法治方式深化改革、推动发展、化解矛盾的能力。结合《测绘法》修订,全面清理各类法规和规章制度,加快建成符合全面深化改革新要求的测绘地理信息政策法规体系,夯实改革发展的法律支撑。按照中央关于转变政府职能的要求,切实深化行政审批制度改革,坚持简政放权,依法行政,严格执法,把统一监管的着力点从“重事前审批”向“重事中事后监管”转变,加快形成多级联动、部门协作的网上地理信息安全监管新格局,促进测绘地理信息市场公平竞争,维护市场正常秩序,保障国家地理信息安全

三、结语

随着国家经济的快速发展,科学技术水平的不断提高,地理信息测绘也会发展的更加快速。然而目前我国的地理信心测绘市场环境还处于较为初级阶段,必须要建立健全相关的制度,严格规范市场秩序,从而保证地理信息测绘的重要作用能够得到更充分的发挥。

参考文献:

[1]龚强.关于构建测绘地理信息行业云的若干思考[J].信息技术,2013,(5).

[2]唐根林.测绘地理信息成果档案建设初探[J].档案与建设,2013,(12).

[3]陈建国.统筹协调构建统一的测绘与地理信息公共服务体系[J].地理信息世界,2013,(4).

篇7

关键词:SAP系统 风险 审计

随着现代化企业制度的建立和经济全球化的发展,企业内部控制、信息安全、风险控制越来越重要,SAP系统在企业发展中占据着重要地位。作为全球领先的ERP系统,SAP帮助企业实现价值链的高度自动化、智能化。由于SAP系统非常复杂,使得其存在一定的风险,加强其风险管控十分重要。

一、SAP风险管控点的确认分析

(一)SAP实施流程

SAP系统是一个成熟的软件系统,其需要按照软件工程的步骤进行,我们可以将其工作流程分成如下几点:项目准备流程设计和分析系统配置和实现、测试上线准备上线和维护。

SAP系统的实施过程中,实施前的一系列准备工作以及实施后都会给企业的正常经营管理工作带来一定的风险。从审计角度来说,其改变了传统的授权方式,增加了审计风险;从内控角度来说,其内控程序化可能出现会计差错的重复化,且差错很难发现;原始凭证数字化在一定程度上降低了会计信息的真实性。

(二)需求风险

SAP系统的需求风险主要包括如下内容:相关人员对SAP软件认识不深刻,缺乏认同感,忽视客户在需求分析中的作用,没有考虑到客户的优先需求,未能进行需求的动态化管理等。在SAP系统实施早期,由于忽视了各方需求等不确定性因素,那么随着时间的推移,需求越来越多,且未得到解决,那么与之相关的风险因素也就越来越大。

(三)管理风险

在SAP系统中,当有关任务的定义不够充分、实际项目的状态不明显、项目的相关负责人混淆、员工职责之间的冲突等问题时,就导致了项目管理中的风险。又如:SAP系统下会计稽核和审计监督工作由系统集成控制,一系列工作都是由系统自动完成,这样就导致许多传统审计线索消失,这就对审计工作的内容、方法造成影响,也就产生了新的审计监督管理风险。

(四)技术风险

技术风险主要是指软件技术的快速发展,SAP系统中涉及到大量最新软件技术,而企业员工未经培训会对软件的使用存在障碍,无法充分发挥SAP系统的作用。且软件技术的快速发展使得SAP系统的技术更新换代成为问题。

二、审计技术在控制SAP风险中的应用

在SAP系统下,做好风险管控工作方能充分发挥出SAP的作用,提高企业经营管理水平。从审计角度来说,要控制SAP风险,必须使审计工作参与到风险管理中来,从审计方法、审计关键点等角度加强SAP风险控制。

(一)主要流程风险点的审计识别与方法

在SAP系统的实施流程中,首先应在上线前对企业的组织架构、业务流程、会计核算方法等进行重新规划设计,这些都会对后期的审计工作造成一定的影响,必须各个部门、各个岗位、各个工作流程相互协调配合,以实现数据、业务流程、业务模块的集合,否则将会影响到企业信息的披露以及经济管理工作的顺利开展。

其次在SAP系统实施中进行风险点的审计识别。譬如:运用系统测试法对SAP系统中报表进行审阅,侦查出系统的异常情况,发现漏洞,从而采取措施堵塞漏洞。又如:通过对采购与应付账款模块的变更采购申请、采购订单等细节的审阅,分析其是否符合相关审批程序,从而发现其中存在的漏洞。在SAP系统下,职责分离是最基本的原则,一个人不能负责多个关联岗位,如:采购文件的创建人与审批人不能是同一人。因此,在审计中,不仅需要考虑到同一模块内职责的分离,还要考虑到其他相关模块的关联岗位以及系统外的手工控制活动。

(二)注重会计核算方法维护的审计

SAP系统按照事前制定的规则运转,规则的制定对于系统运转和企业管理具有关键性影响作用。若系统中的会计核算方法、折旧方法、费用摊提方法、成本系数分配等在规则中存在差错,那么最后生成的财务报表也将存在很大错误。所以,需要注重对会计核算方法维护的审计,由计算机程序进行会计事项的自动化处理,减少计算、过账的错误。

(三)做好数据转化的审计

SAP系统中的原始凭证、记账凭证、会计报表等在同一个数据库中,数据的转化中若出现错误,那么就会导致原始数据的错误或销毁。且许多会计信息需要手工录入,因此存在人为改变会计信息的嫌疑。在审计中,需要关注获取信息的完整性,通过掌握业务流程以及外部环境,非集成凭证、会计报表的产生过程和结果,分析会计信息的准确性。另外,SAP系统与财务报表之间可能存在差额,通过审计查清差额产生的原因,并进行针对性处理。

三、结束语

综上所述,在SAP系统下,企业的审计工作与传统审计工作模式相差较大,结合SAP的风险点有助于我们掌握审计工作关键点,在审前、审中、审后做好质量控制,将审计工作贯穿于SAP系统实施流程的各个环节中,从系统的上线前、实施中分析组织架构、业务流程的设计运行、系统维护、数据库准确性等进行系统化、规范化的审计,发现系统中存在的风险漏洞,并采取有效的措施应对,提高SAP系统的安全性,充分发挥其在企业管理中的作用。

参考文献:

[1]汤驰.基于SAP平台的企业内部风险管控策略研究[D].华中科技大学,2011

[2]栗建新.ERP系统在企业风险导向审计中的应用[J].合作经济与科技,2015,(3):173-174

[3]王如涛.信息系统环境下内部控制与企业风险管理[J].时代经贸,2012,(11):113-114

[4]陈婉玲.建立我国 IT 审计准则的探讨[J].广东审计,2006(6):17-22

[5]董霞.会计信息系统审计研究[D]. 天津财经大学硕士论文,2003

[6]邓少灵.企业 IT 审计的框架[J].中国审计,2002(1):58-60

篇8

关键词:大数据;会计师事务所;审计风险

一、引言

“大数据”,即大量的数据集,信息系统的多样化使存储数据的成本越来越低,数据的收集以指数形式不断地在增长。“大数据”的“大”已经远远超过了传统数据库所能收集、存储和分析的能力。GartnerResearch(2014)将大数据定义为“大容量、高速度、高质量”的信息资产。此外,中国人民大学孟小锋(2013)曾提到过,“大数据”的“数据”已经不是仅像传统数据库作为处理对象对待,而是作为资源来解决诸多问题。近年,在大数据的推动下,协同创造、虚拟服务等新型应用模式持续拓展着人类创造和利用信息的广度与深度,我们的时代步入“第三次工业革命”时代[1]。各行业都被这股新鲜血液充斥并发生颠覆式变化。而审计作为众多数据密集型行业之一,在大数据的背景之下无疑会发生巨大变革。秦荣生(2013)对大数据时代的会计、审计发展趋势做了研究。

他主要对大数据影响会计、审计发展趋势的六个方面进行了剖析,提出在大数据环境下,现行审计技术、方法相比之下略效率低下、实施困难,我们的审计人员是时候对现行的审计技术、方法进行更新[2]。但没有结合现在的会计师事务所来对审计工作进行研究。龙子午,王云鹏(2016)则对大数据时代CPA审计风险与审计质量做了探究,提出大数据结合云计算、物联网和移动互联网形成的这一革命性优势会促进CPA行业审计风险的有效降低[3],提高审计质量。但是其忽略了审计风险降低的同时,会出现其他新的风险。本文结合作为审计主体的会计师事务所在大数据背景下发生的变化,对变化下审计风险降低的同时带来新的审计风险做了相应研究。

二、大数据背景下会计师事务所的“新”审计

(一)审计抽样方式的变化

传统审计数据的庞大和获取难度、分析数据的困难,使得审计人员大多用随机抽样的方式审计,根据经验重点选择样本,然后根据样本情况确定总体性质。这在一定程度上能扩大审计范围、提升效率、保证审计工作的准确性。而大数据要求的是放弃对随机样本的统计,改为获取全体数据,无限制的数字化存储是大数据的典型特征。因此,大数据背景下事务所的审计抽样方式会向总体审计变革,会计师事务所用大数据技术来对海量的数据进行搜集和分析处理,审计的抽样方法逐渐被总体审计方法取代,使事务所的审计工作发生革命性改变。

(二)持续审计将成为趋势

传统审计简单来说就是企业编制完财务报表后交由会计师进行抽查样本审计,这是一种事后审计。暂不说事后审计这种方式耗费时间,工作效率不高,审计风险的增加也是一大隐患。大数据背景下,数据的收集和处理有了更完整的技术来支撑,持续审计将成为审计的趋势。这一趋势的必然性在于它的及时性,促使被审单位及时纠正问题,降低风险;其次是程序自动化。

(三)事务所的“咨询业务”有效性大大提升

“咨询”是会计师事务所出现的一种新兴业务,在没有大数据的年代就开始了,但那时的咨询重要性极小,而在大数据背景下,这种“人的智力服务”变得越发重要,依靠大数据咨询的效率和精确度也逐步提高,会计师事务所的咨询服务会发生一些变化。

三、大数据时代会计师事务所“新”审计的风险

(一)信息系统的风险

大数据时代,计算机的硬件或者软件出现故障的时候,又或者像最近遭遇的全球性勒索病毒那样,计算机一旦罢工或者被病毒感染,会计信息系统的数据往往面临丢失的风险,甚至瘫痪,审计会遭很大的阻碍,毕竟计算机系统是“新”审计的载体。在“新”审计中,数据不容有误,一个数据被恶意篡改或无意修改,都会造成审计结果的偏差,影响审计质量,直接导致审计失败。而电子数据易于修改,不留痕迹,这又是审计工作的一个重要风险。

(二)审计人员技术水平不够高

虽然大数据的收集相对容易,但在数据的搜集后,处理大量的数据再加以提取有用的信息却并非易事。尤其是对财务报表和审计的控制方面增加了挑战,所以审计人员的技术水平也是一大风险。会计师事务所的审计人员大多是财务相关专业出身,进行审计技术培训的时候学习的是SQLSERVER,而有些单位用的数据库是ORACLE,如若我们会计师事务所的审计人员没有熟悉掌握ORACLE,对采集回来的大量数据无法进行分析和处理,而只能依靠外部人员、或者通过转换数据库格式来继续分析。出现这种情形时,如果选择获取外部人员的帮助,会存在数据保密的风险;如果选择转换为熟悉的数据库格式,则将存在数据丢失的风险。

(三)竞争风险

现行审计市场基本被国际上的四大会计师事务所或者国内几家大型事务所包揽,虽也有一些小型事务所有少数上市公司的审计业务,但相比前者也微乎其微,可以明确会计师事务所市场上,小会计师事务所的竞争尤为激烈。与四大相比,它们在规模、资源、技术等方面存在一定的差距,但其与同级之间的差距不大明显。大数据背景下,审计资料储存在“云”中,事务所可用少量的资金投入换取更多的审计数据,如此便有机会提高工作效率和审计质量,以及事务所的声誉,既有利于中小规模的事务所增强自身竞争力,也有利于国内事务所做大做强。因此,在如此激烈的竞争中,如何站住脚跟也是如今会计师事务所面临的风险。

四、大数据时代会计师事务所应对风险的措施

(一)加强对信息系统的审计

既然是“新”审计的载体,信息系统的安全性、可靠性就显得尤为重要。专业人员必须明确信息系统运行特点,包括数据库的种类、版本、数据量、存储及备份方式等信息,能够及时处理突发状况,以信息安全防护为首要目的,定期和不定期地排查系统漏洞。另外,要完善大数据信息安全体系,培养大数据安全审计专业人才也是当务之急。当年美国“9.11”事件中国贸大厦的轰然倒塌,其中的德意志银行就是因为建立了异地数据灾备中心从而在一定时间内恢复运营;而相比之下,BankNewYork就因为没有建立灾备中心而在数月后因数据的丢失被迫破产清盘。大数据时代的审计是以信息系统为基础工作,涉及的数据广,因此在“新”审计工作中最好实行灾难备份这一措施,防止意外后果。

(二)加大、加强、加深对审计人员的培训

大数据时代会计师事务所审计人员的整体素质不高,员工的在职培训不足,业务知识及相关技能水平适应不了发展的需要,是形成审计风险的内在原因。审计人员的综合素质对会计师事务所的发展有重大影响,因此我们应该注重对审计人员各方面的培训。第一,加大对审计人员计算机能力的培训。大数据时代的审计是要在计算机技术的支持上完成的,审计人员必须具备相关计算机能力,掌握数据库等知识,利用大数据技术进行审计,才能降低因技能而出现的风险。第二,加强审计人员的职业道德意识。审计工作有审计工作的职业道德,会计师事务所的每一个员工都应该有员工的职业道德,大数据传播速度极快,如果审计人员将数据传送到“云”上,可能发生难以预测的后果。因此,对职业道德操守和原则的严格要求是很有必要的。

(三)深化大事务所与小事务所之间的合作

现在社会中的会计师事务所有大规模与小规模之分。但也并不是大规模的会计师事务所就一定比小规模的事务所好。“大”的核心是强,“小”的精髓是专。实践表明,只有让会计师事务所在市场中逐渐做强做大,才可以在多元化服务、人员素质、风险承受、质量控制等方面得到显著提升[4]。如果大型事务所“大而不强”,即使面子上好看,可能也会丢了“里子”。不管是站在大型会计师事务所的角度还是小型事务所的角度,深化彼此合作都是一种双赢。

参考文献:

[1]维克托•迈尔一舍恩伯格,肯尼思•库克耶.大数据时代:生活、工作与思维的大变革[M].盛杨燕,周涛,译.杭州:浙江人民出版社,2013.

[2]秦荣生.大数据时代的会计、审计发展趋势[J].会计之友,2014(32):81-84.

[3]龙子午,王云鹏.大数据时代对CPA审计风险与审计质量的影响探究[J].会计之友,2016(8):112-114.

篇9

1 利用网络及安全管理的漏洞窥探用户口令或帐号,冒充合法用户作案,篡改磁性介质记录窃取资产。

2 利用网络远距离窃取的商业秘密以换取钱财,或利用网络传播计算机病毒以破坏企业的信息系统。

3 建立在计算机网络基础上的电子商贸使贸易趋向“无纸化”,越来越多的业务的原始记录以电子凭证的方式

存在和传递。不法之徒通过改变电子货币帐单、银行结算单及其它帐单,就有可能将公私财产的所有权进行转移。

计算机网络带来会计系统的开放与数据共享,而开放与共享的基础则是安全。企业一方面通过网络开放自己,向全世界推销自己的形象和产品,实现电子贸易、电子信息交换,但也需要守住自己的商业秘密、管理秘密和财务秘密,而其中已实现了电子化且具有货币价值的会计秘密、理财秘密是最重要的。我们有必要为它创造一个安全的环境,抵抗来自系统内外的各种干扰和威协,做到该开放的放开共享,该封闭的要让黑客无奈。

一、网络安全审计及基本要素

安全审计是一个新概念,它指由专业审计人员根据有关的法规、财产所有者的委托和管理当局的授权,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并作出相应评价。

没有网络安全,就没有网络世界。任何一个建立网络环境计算机会计系统的机构,都会对系统的安全提出要求,在运行和维护中也都会从自己的角度对安全作出安排。那么系统是否安全了呢?这是一般人心中无数也最不放心的。应该肯定,一个系统运行的安全与否,不能单从双方当事人的判断作出结论,而必须由第三方的专业审计人员通过审计作出评价。因为安全审计人员不但具有专门的安全知识,而且具有丰富的安全审计经验,只有他们才能作出客观、公正、公平和中立的评价。

安全审计涉及四个基本要素:控制目标、安全漏洞、控制措施和控制测试。其中,控制目标是指企业根据具体的计算机应用,结合单位实际制定出的安全控制要求。安全漏洞是指系统的安全薄弱环节,容易扰或破坏的地方。控制措施是指企业为实现其安全控制目标所制定的安全控制技术、配置及各种规范制度。控制测试是将企业的各种安全控制措施与预定的安全标准进行一致性比较,确定各项控制措施是否存在、是否得到执行、对漏洞的防范是否有效,评价企业安全措施的可依赖程度。显然,安全审计作为一个专门的审计项目,要求审计人员必须具有较强的专业技术知识与技能。

安全审计是审计的一个组成部分。由于计算机网络环境的安全将不仅涉及国家安危,更涉及到企业的经济利益。因此,我们认为必须迅速建立起国家、、企业三位一体的安全审计体系。其中,国家安全审计机关应依据国家法律,特别是针对计算机网络本身的各种安全技术要求,对广域网上企业的信息安全实施年审制。另外,应该社会中介机构,对计算机网络环境的安全提供审计服务,它与会计师事务所、律师事务所一样,是社会对企业的计算机网络系统的安全作出评价的机构。当企业管理当局权衡网络系统所带来的潜在损失时,他们需要通过中介机构对安全性作出检查和评价。此外财政、财务审计也离不开网络安全专家,他们对网络的安全控制作出评价,帮助注册会计师对相应的信息处理系统所披露信息的真实性、可靠性作出正确判断。

二、网络安全审计的程序

安全审计程序是安全监督活动的具体规程,它规定安全审计工作的具体、时间安排、具体的审计方法和手段。与其它审计一样,安全审计主要包括三个阶段:审计准备阶段、实施阶段以及终结阶段。

安全审计准备阶段需要了解审计对象的具体情况、安全目标、企业的制度、结构、一般控制和应用控制情况,并对安全审计工作制订出具体的工作计划。在这一阶段,审计人员应重点确定审计对象的安全要求、审计重点、可能的漏洞及减少漏洞的各种控制措施。

1 了解企业网络的基本情况。例如,应该了解企业内部网的类型、局域网之间是否设置了单向存取限制、企业网与Internet的联接方式、是否建立了虚拟专用网(VPN)?

2 了解企业的安全控制目标。安全控制目标一般包括三个方面:第一,保证系统的运转正常,数据的可靠完整;第二,保障数据的有效备份与系统的恢复能力;第三,对系统资源使用的授权与限制。当然安全控制目标因企业的经营性质、规模的大小以及管理当局的要求而有所差异。

3 了解企业现行的安全控制情况及潜在的漏洞。审计人员应充分取得企业对网络环境的安全保密计划,了解所有有关的控制对上述的控制目标的实现情况,系统还有哪些潜在的漏洞。

安全审计实施阶段的主要任务是对企业现有的安全控制措施进行测试,以明确企业是否为安全采取了适当的控制措施,这些措施是否发挥着作用。审计人员在实施环节应充分利用各种技术工具产品,如网络安全测试产品、网络监视产品、安全审计器。

安全审计终结阶段应对企业现存的安全控制系统作出评价,并提出改进和完善的方法和其他意见。安全审计终结的评价,按系统的完善程度、漏洞的大小和存在问题的性质可以分为三个等级:危险、不安全和基本安全。危险是指系统存在毁灭性数据丢失隐患(如缺乏合理的数据备份机制与有效的病毒防范措施)和系统的盲目开放性(如有意和无意用户经常能闯入系统,对系统数据进行查阅或删改)。不安全是指系统尚存在一些较常见的问题和漏洞,如系统缺乏监控机制和数据检测手段等。基本安全是指各个企业网络应达到的目标,其大漏洞仅限于不可预见或罕预见性、技术极限性以及穷举性等,其他小问题发生时不影响系统运行,也不会造成大的损失,且具有随时发现问题并纠正的能力。

三、安全审计的主要测试

测试是安全审计实施阶段的主要任务,一般应包括对数据通讯、硬件系统、软件系统、数据资源以及安全产品的测试。

下面是对网络环境信息系统的主要测试。

1 数据通讯的控制测试

数据通讯控制的总目标是数据通道的安全与完整。具体说,能发现和纠正设备的失灵,避免数据丢失或失真,能防止和发现来自Internet及内部的非法存取操作。为了达到上述控制目标,审计人员应执行以下控制测试:(1)抽取一组会计数据进行传输,检查由于线路噪声所导致数据失真的可能性。(2)检查有关的数据通讯记录,证实所有的数据接收是有序及正确的。(3)通过假设系统外一个非授权的进入请求,测试通讯回叫技术的运行情况。(4)检查密钥管理和口令控制程序,确认口令文件是否加密、密钥存放地点是否安全。(5)发送一测试信息测试加密过程,检查信息通道上在各不同点上信息的。(6)检查防火墙是否控制有效。防火墙的作用是在Internet与内部网之间建立一道屏障,其有效性主要包括灵活性以及过滤、分离、报警等方面的能力。例如,防火墙应具有拒绝任何不准确的申请者的过滤能力,只有授权用户才能通过防火墙访问会计数据。

2 硬件系统的控制测试

硬件控制测试的总目标是评价硬件的各项控制的适当性与有效性。测试的重点包括:实体安全、火灾报警防护系统、使用记录、后备电源、操作规程、灾害恢复计划等。审计人员应确定实物安全控制措施是否适当、在处理日常运作及部件失灵中操作员是否作出了适当的记录与定期、硬件的灾难恢复计划是否适当、是否制定了相关的操作规程、各硬件的资料归档是否完整。

3 软件系统的控制测试

软件系统包括系统软件和软件,其中最主要的是操作系统、数据库系统和会计软件系统。总体控制目标应达到防止来自硬件失灵、机黑客、病毒感染、具有特权职员的各种破坏行为,保障系统正常运行。对软件系统的测试主要包括:(1)检查软件产品是否从正当途径购买,审计人员应对购买订单进行抽样审查。(2)检查防治病毒措施,是否安装有防治病毒软件、使用外来软盘之前是否检查病毒。(3)证实只有授权的软件才安装到系统里。

4 数据资源的控制测试

数据控制目标包括两方面:一是数据备份,为恢复被丢失、损坏或扰的数据,系统应有足够备份;二是个人应当经授权限制性地存取所需的数据,未经授权的个人不能存取数据库。审计测试应检查是否提供了双硬盘备份、动态备份、业务日志备份等功能,以及在日常工作中是否真正实施了这些功能。根据系统的授权表,检查存取控制的有效性。

5 系统安全产品的测试

随着网络系统安全的日益重要,各种用于保障网络安全的软、硬件产品应运而生,如VPN、防火墙、身份认证产品、CA产品等等。企业将在不断的安全产品市场上购买各种产品以保障系统的安全,安全审计机构应对这些产品是否有效地使用并发挥其应有的作用进行测试与作出评价。例如,检查安全产品是否经过认证机构或公安部部门的认征,产品的销售商是否具有销售许可证产品的安全保护功能是否发挥作用。

四、应该建立内部安全审计制度

篇10

【关键词】企业;内部审计;独立性

随着我国现代企业的发展,上市公司财务造假案件屡见不鲜,我国国内市场经济秩序受到了极大的影响。一桩桩金融犯罪案件的发生,反映了当下我国企业内部审计制度的薄弱,也让内部审计的职能与独立性越来越受到人们的关注与讨论。要想彻底地改善上市公司违法乱纪的现象,仅仅依靠国家和社会方面的审计力量肯定是不够的,还必须要公司自身建立行之有效的自我监督制度,而内部审计是内部审计的核心,就是这一约束制度的重要环节之一,是能够公正客观进行内部审计工作并且使内部审计充分发挥监督作用的重要前提。

一、我国内部审计缺乏独立性的现状分析

1.法律法规不健全

我国的内部审计工作没有专门、具体的法律规范,没有统一的内部审计准则。 虽然我国已颁发了针对国家审计的《审计法》,针对社会审计的《注册会计师法》,但是针对内部审计的只有审计署颁发的 《审计署关于内部审计工作的规定》,并未上升到法律的高度。 而酝酿很久的《内部审计法》迟迟未能出台。这导致内部审计与国家审计、社会审计地位上的巨大差异,在根本上制约了内部审计的独立性。产生了两种后果:内部审计人员地位没有得到应有的重视,其合法权益得不到有效保护。由于没有具体可操作的部门、行业规章制度,缺乏相关配套指导措施,内部审计人员在实际工作中往往无章可循,无法可依,可操作性较差。

2.企业内部审计机构独立性不强

(1)内部审计机构隶属问题。我国内部审计不是单独机构,而是附儆谄渌部门。级别低、依附其它部门,使内审机构的独立性受到很大限制。

(2)公司领导层不重视。很多企业的领导层都缺乏对内部审计机构的重视,导致内部审计机构权利架空、形同虚设,丧失了独立性。

(3)企业内机构之间的利益牵制。内审机构涉及到与其所属部门之间的相关利益,使其审计工作的开展饱受压力,削弱了其审计独立性。

3.企业内部审计技术手段落后

现阶段,我国大部分企业的内部审计工作多采取手工查账的方式,审计方法单一,工作效率低、准确性低,存在“审计死角”。内部审计部门的资料收集、样本采集多依赖于其他部门的协助,不利于保持内部审计工作的独立性。而反观大的经济环境,我们已逐渐迈入大数据时代,要想保持内部审计的独立性和高质量,适应不断发生变化的内部审计风险和内部审计工作重点,企业理应不断更新内部审计手段与工具,采用数字信息分析方法,降低审计工作的风险与成本。

二、企业内部审计独立性缺失解决方案

1.完善独立审计立法体系,加强法制建设

正如古语所言: “无规矩,不方圆。”切实、有效的法律依据是加强我国内部审计独立性的工作基础。因此,当下的首要任务就是加快制定关于内部审计的专门的基本法,对内部审计的职能、机构设置、权利及工作人员的职责与权限进行明确的规定与约束;制定标准化的内部审计工作程序与方法;对内部审计评估结论的编制与出具进行清晰、明确的规定。有了专门的法律法规的制定与颁布,企业的内部审计工作才有切实的、可依赖的法律环境和清晰、明确的工作方向;才能保障内部审计机构在企业居于合法的法律地位;才能为内部审计工作独立、客观地开展提供有效的法律依据;才能保证企业内部的各生产、经营环节都得到全面、客观的内部审计评估与监督。

2.合理设置企业内部审计机构,保证其独立性

首先,要完善内部审计管理机制。部门的级别越高,其保持独立性的能力越强。要想保持内部审计机构的独立性,就要提高其所属管理层级别,使其处于与其职能相匹配的位置。其次,企业领导层要增强内部审计意识,重视内审机构建设。企业的领导层首先要充分认识到内部审计的职能、含义及其对公司未来发展的深远意义,这样才能对内部审机构给予一定的重视,对其工作给予更多的支持。最后,企业的审计委员会应发挥相应作用,而不是空有摆设,丧失实权。由审计委员会对内部审计机构进行工作的统筹与安排,使内部审计机构更加公正、客观、独立地完成监督、审查工作。

3.推动内部审计技术手段多样化、信息化发展

企业内部审计部门要定期对审计工具和技术进行更新;要建立内部审计信息化团队,培养高素质、复合型内部审计信息技术人才,优化内部审计人力资源配置;要建立相应的责任岗位机制,防范信息风险,保证信息安全。同时,还应与国内外内部审计精英团队加强合作,探讨保持内部审计独立性的应对方案,承担更多社会责任。

三、结语

在我国社会主义市场经济快速发展的进程中,国家正在逐步完善关于内部审计的法律体系建设,我国当代企业更加重视内部审计在企业中的“重要角色”,也更加关注提高内部审计独立性的重要意义。只有国家与企业“里应外合”,切实加强内部审计独立性,使企业的内部审计充分发挥审查、监督的职能,才能实现企业的价值增值和长远发展。

参考文献: