發布時間:2023-03-23 15:12:32
序言:寫作是分享個人見解和探索未知領域的橋梁,我們為您精選了8篇的審計數據分析論文樣本,期待這些樣本能夠為您提供豐富的參考和啟發,請盡情閱讀。
論文摘要:隨著信息技術被廣泛、深入地應用在會計工作中,會計工作發生了根本性的改變,不僅原有的會計數據處理流程發生了改變,會計環境也被極大地改變了,使傳統的審計理念和技術面臨巨大的挑戰,審計人員不僅面臨“進不了門,打不開賬”的尷尬局面,審計理論和方法也急待改進以適應信息化的進程。
1現代審計與傳統審計的共同點
計算機審計的目標與傳統手工審計的目標是一致的,無論是計算機審計還是傳統審計,國家審計的審計過程都必須經過審計準備、審計實施與審計報告三個階段,通過執行檢查、觀察、詢問、函證、重新計算、重新執行、分析程序等基本審計程序來獲取充分、適當的審計證據,并將審計思路和審計過程予以記錄形成審計工作底稿,作為發表審計意見的依據。
2現代審計與傳統審計的差異
2.1站在新角度隨著國民經濟的發展,信息網絡廣泛普及,信息化成為經濟社會發展的顯著特征,各行各業普遍運用計算機和網絡等信息技術進行管理,審計人員不得不面對海量的會計電子數據。在手工審計方式下,審計人員總是先分析審計對象的各個部分,再歸納、綜合為整體,其思維方式是:部分一整體,這適合于數據量不大的審計對象,卻很難全面把握海量數據。而計算機審計打破了手工審計思維方式,強調以系統論核心,從系統上把握審計對象,即從審計對象的整體出發,先進行系統分析,把握總體,再建立審計模型,分析數據,最后作出總體評價,其思維方式是:整體一部分一整體,計算機審計能夠從宏觀上和系統上把握審計對象,以擴大審計監督范圍,提高審計監督能力。
2.2面臨新環境計算機審計下的審計環境發生了很大的變化。一方面表現為審計人員必須利用計算機實施審計,要求審計人員能熟練操作計算機特別是相關的審計軟件;另一方面由于信息技術在會計工作中的廣泛、深入的應用不僅改變了原有的會計數據處理流程,還極大地改變了會計環境。信息化建設使得所有會計數據不再是紙介質的憑證、賬簿及報表,而是以“比特”方式保存在磁性介質上,數據表現形式虛擬化,即審計環境數字化,審計人員所面對的已不是傳統意義上的賬本,而是無形的電子數據和處理這些電子數據的會計核算管理系統,而這些會計電算化軟件版本各異,使得審計環境比傳統手工模式下顯得更為復雜。
2.3線索更復雜計算機審計環境下,傳統的審計線索因會計電算化系統而中斷甚至消失。在手工會計系統中,從原始憑證到記賬憑證,從過賬到財務報表的編制,每一步都有文字記錄,都有經手人簽字,其紙質業務軌跡,是重要的審計線索與審計證據的來源,審計線索十分清楚。但在會計電算化系統中,傳統的賬簿、相關的文字記錄被磁盤和磁帶取代,加上從原始數據進入計算機,到財務報表的輸出,會計處理集中由計算機按程序自動完成,傳統的審計線索在這里消失。而審計線索的改變,導致在電算化系統中可人為篡改數據而不留痕跡,如電算化系統數據來源、公式定義、編制結果、打印格式均采用機內文件的形式,若有人篡改公式、編制失真的財務報表,然后再將篡改的公式等予以復原,則很難判定報表數據的正確與真實性。從而使得傳統審計的追蹤審查已不適用,審計入手點更多的是靠判斷和經驗。
2.4涉及的范圍更大在會計電算化信息系統中,由于會計事項由計算機按程序自動進行處理,因疏忽大意而引起的計算機或過賬錯誤的機會大大減少了,但如果會計電算化系統的應用程序出錯或被人非法篡改,后果將不堪設想。
計算機審計的另一項重要內容是對電子數據直接進行測試,即審計人員不須先將被審計單位的電子數據轉換成電子賬套再實施審計程序,而是擺脫傳統的電子賬套及其所反映的財務信息,深入到計算機信息系統的底層數據庫,獲取更多更廣泛的數據,然后通過對底層數據的分析處理,獲得大量的多種類型的有用信息。
總而言之,計算機審計的范圍較傳統手工審計要廣泛得多、深刻得多。審計人員可以根據審計目標的需要將審計的范圍和內容作出必要的擴大。
2.5審計技術更現代傳統手工審計隨著風險基礎審計模式在實務中的廣泛運用,分析性測試方法逐漸成為其核心方法。但信息技術的應用導致審計內容及審計線索的變化,要求審計人員必須革新審計技術方法,計算機審計的核心方法是數據分析方法。數據分析方法不同于傳統的分析性測試僅局限于對信息的處理,它是對來自于底層的、元素性的數據進行處理,可以有多種多樣的組合,在用途上可以作多種多樣的拓展,從而形成多種多樣的信息。因此,數據分析技術可以用于多種測試工作。在采用數據分析方法時,可使用兩種計算機審計特有的新型審計工具:審計中間表方法、審計分析模型方法。審計中間表是利用被審計單位數據庫中的基礎電子數據,按照審計人員的審計要求,由審計人員構建,可供審計人員進行數據分析的新型審計工具。它是實現計算機審計的關鍵技術。審計分析模型是審計人員用于數據分析的技術工具,它是按照審計事項應該具有的時間或空間狀態(例如趨勢、結構、關系等),由審計人員通過設定判斷和限制條件來建立起數學的或邏輯的表達式,并用于驗證審計事項實際的時間或空間狀態的技術方法。
2.6審計流程更長計算機審計由三階段演變為四個階段。傳統手工審計模式中,國家審計的審計過程一般可分為審計準備、審計實施和審計報告三個階段。但是,在引入計算機審計后,審計準備階段與審計實施階段的界限變得非常不清,可能是由于數據分析既像審計準備工作,又像審計實施工作。其中,主要的問題可能是審前調查的歸屬沒有明確的限定。審前調查需要做大量的數據分析工作,而數據分析的測試屬性又無法合理確定,于是有些審計人員將其劃入審計準備階段,有些審計人員則將其劃入審計實施階段。我們應當將審計過程再行細分,將其直接劃分為四個階段,即審計準備階段、審前調查階段、審計實施階段和審計報告階段。審計準備階段與審前調查階段的劃分原則應該是,審計人員是否需要實施實際的數據分析。如果需要,就須向被審計單位出具具有法律效力的通知書,然后才能獲取敏感性、實質性的數據。有了審前調查階段,審計人員就可以名正言順地進行數據的采集、轉換、整理和分析,從而為制定審計實施方案和進行審計驗證奠定堅實的基礎。
長期以來,在應用信息技術(IT)過程中,人們總是過多關注其中的技術(T),而缺少對其中的信息(I)給予足夠的重視,然而,當人們欣喜地看到IT使會計信息的相關性得以加強之際,又更應當為會計信息的可靠性所受到的威脅深感擔憂。為此,COSO的風險管理框架、SOX法案、CIBIT等一系列IT控制規范相繼出臺,而國際信息系統審計與控制協會(ISACA)的諸多標準、指南和程序更是直接將焦點對準組織的信息資產的安全之上。我國《企業內部控制基本規范》和《企業內部控制應用指引18――信息系統》等規范文件的,強調信息化環境下的會計信息的安全性與可靠性,隨后,財政部于2009年的《關于全面推進我國會計信息化工作的指導意見》中,提出未來5~10年會計信息化首要的工作目標,是要建立健全會計信息化法規體系和會計信息化標準體系。國內外諸多IT控制與審計制度的不斷涌現,充分說明在構建會計信息化標準化體系之中,當務之急是建立會計信息的生產與傳遞嚴密的控制與審計標準體系,為此,筆者在梳理國內外信息審計基本理論的基礎上,分析信息審計在會計系統中應用的必要性,進而提出會計系統應用信息審計的若干思考,以求這一工具與方法在我國會計系統中早日得以應用。
二、信息審計研究概述
對信息審計的研究,主要集中在信息審計的基本概念、基本目標及信息審計的主要內容等方面。
(一)信息審計的基本概念 目前,信息審計內涵尚未有一個被理論界認同的概念。美國信息學家D.Ellis(1993)首次將信息審計定義為:“審查已有的信息管理系統,找出問題,提供解決問題的備選方案”(任玉珍,2009),試圖將信息審計與信息系統審計合二而一,以求尋找解決問題的方案。布徹南(Buchanan,1998)和吉伯(Gibb)則將信息審計界定為:“對組織信息資源和信息流進行發現、控制和評估,以實施、維護或改進組織的信息管理的過程”,這一定義將信息審計的內容確定為信息資源與信息流兩大部分至今影響至深。奧那(Orna,2004)則將信息審計的對象拓展為人、文檔和信息,并認為,信息審計是通過對一個組織中的人、文檔等的查證,系統地檢查信息產生、利用和流動的情況,進而確定其支持目標。英國信息管理協會(Aslib)拓展了信息審計的內容,指出它是參考組織的人員和已有文獻,對組織的信息資源、信息流和信息需求等方面進行的系統檢查,以確定其對組織目標的貢獻程度。我國學者婁策勤和高策(2009)則結合當前新的信息環境和信息理論,將信息審計看作是一種管理工具,認為它是一種發現、解決組織信息管理缺陷的管理工具。黃亦西(2005)也指出,信息審計是為了充分開發信息價值,通過對組織的信息流和信息資源的調查、評估,從而識別組織的信息需求,確定組織的信息環境,并制定相應政策的過程。
必須強調的是,信息審計中的“信息”是一個廣義信息的概念,包括嚴格意義上的信息和數據兩類。筆者認為,處于IT廣泛應用的今天,信息與數據的細分必不可少,它對人們研究信息審計的對象、內容和范圍至關重要,因此,筆者將對應于數據審計的信息審計稱為狹義信息審計,以括號注明“狹義”。而將涵蓋數據、信息的審計視為廣義信息審計。
(二)信息審計的基本目標 美國學者查菲(Chaffey)和伍德(Wood,2008)指出,信息審計是用來評價當前信息質量和管理行為的水平,即“是什么”的問題。它也可作為一種狀態分析的工具,用以協助構建信息政策和評價信息戰略的目標是否已經實現,將信息審計看成是信息質量與管理不可或缺的工具。賴茂生(2005)認為,信息審計的目的是為了實施、維護或提高組織機構的信息管理。胡善勤則從IT視角出發,指出用以記錄網絡上各計算機行為的信息審計,其目標有兩個:一是可定期對各種網絡行為進行采集、統計和分析等,發現存在的漏洞并及時修補;二是在發生安全事故后可以進行信息分析,找到事故原因,進而采取相應的措施。可見,信息審計的根本目標,主要在于提升信息質量,由于信息質量的優劣首先取決于信息資源對企業實現目標所作的貢獻,故而在當前情況下,信息審計所面對的必然是企業的IT系統(如ERP系統),基于IT視角可使人們進一步明確信息審計目標,并為企業IT環境確定信息審計的內容與范圍。
(三)信息審計的主要內容 隨著IT應用的深入,眾多學者認為,不應把信息審計看成是一種選擇,而是達到確定信息資源的價值、功能和用途,以便充分開發其戰略價值的必要步驟。信息審計包括信息資源和信息需求兩大內容,但它是否也應包括信息流則是眾說紛紜。鑒于信息流審計和信息流程重組中的眾多理論和流程具有相似性,有些學者認為信息流審計不應歸屬于信息審計范疇之內(高策,2009)。筆者認為,處于IT應用的初始階段,將信息流納入信息審計的主要內容,對于企業的系統信息流程的標準化與規范化建設具有重要的意義。這是因為,信息流與企業組織流、業務流密切相關,面對網絡環境,企業流程再造的本質就是實施三者的同步發展。而從企業ERP系統應用層面來看,信息資源、信息流與信息需求三者不能單獨割裂開來,只有將信息流與信息需求、信息資源同步考察,才能對企業的信息管理水平加以客觀地評價,并提出相應的改進意見。
信息審計對象應當涵蓋信息圖譜中的數據、信息和知識三個部分,但對我國企業而言,當前的數據審計與信息審計(狹義)首當其沖,只有這二者真正得以成功實施,并取得一定實效之后,知識審計才可望順利進行,為此,筆者重點分析數據審計與信息審計(狹義)的具體內容。
從企業經營的業務內容看,信息審計的對象可細分為采購、生產、銷售、會計等各子系統的數據審計與信息審計(狹義),這樣才能根據各子系統的數據特點與具體內容,對各類信息資源、信息流和信息的使用提出針對性的信息管理評價意見。不難想象,那種既想獲取企業信息審計的客觀公正的評價意見,又不涉足各業務內容深入考察的做法,將難以實現審計目標。
三、信息審計在會計系統中的地位與作用
會計的價值并非來自于技術,而是取決于會計信息的質量,會計信息的增值首先是通過信息流的改善以降低資源的需求量,通過高質量信息的共享對決策提供支持。為此,采用信息審計以保證會計信息的高質量,也就使會計系統信息管理與控制新增了一道堅實的屏障。
(一)會計系統信息審計與財務報表審計并行不悖 財務報表審計的目標是對財務報表是否按照適用的會計準則和相關會計制度的規定編制,是否在所有重大方面公允反映被審計單位的財務狀況、經營成果和現金流量兩大方面發表審計意見,以提高財務報表的可信賴程度。而對會計系統而言,作為IT時代的必然產物的信息審計,其審計對象首先是以財務為主的信息資源,以確保該信息資源的價值、功能和用途,進而實施、維護或改進組織的信息管理的過程。雖然兩者都有保證信息高質量的目標,但審計內容與審計方法卻大相徑庭。而從兩種審計的審計對象看,雖然都是針對企業的信息資源,但信息審計的范圍要寬泛得多,它不僅包括企業的貨幣、財務等定量信息,而且還包含企業的非貨幣、非財務等定性信息。財務報表審計必須對被審單位財務報表的會計準則和制度的遵行性,對財務狀況、經營成果和現金流量的公允性發表審計意見。而信息審計則是從對企業信息資源、信息流程和信息需求等內容的價值、功能和用途加以評價,發表審計意見。前者注重企業核心信息的合規性,后者則注重企業信息管理質量的提升。從時空上來看,前者注重對所產生財務信息的結果進行評價,而后者則是對信息管理過程進行評價。盡管信息審計之初衷在于整個企業,但在我國首先在會計系統中加以施行,則是綱舉目張之舉。
(二)會計系統信息審計與信息系統審計異曲同工 企業信息化的實踐證明,那種認為只要企業應用信息系統或相應的信息技術就能實現信息化、提高企業信息管理水平的認識有失偏頗,企業信息化建設中的根本因素是信息資源建設問題。目前普遍存在的企業信息資源存量絕對值不足、信息需求匹配度不高、信息資源利用率低、信息資源成本高收益低等弊端。因此,信息審計的當務之急,是要對企業財務信息資源進行控制和評估,以實施、維護或改進企業信息管理的水平。
盡管有學者將信息審計對象界定為信息管理系統,但近20年來信息審計的實踐及諸多研究成果表明,審計信息管理系統的任務非信息系統審計莫屬,信息審計盡管與信息系統審計有著千絲萬縷的聯系,但兩者的審計目標、對象、范圍、內容卻有許多不同。Ron.Weber(1999)指出,信息系統審計的目標在于判斷被審的信息系統是否能夠保證信息資產的安全、數據的完整以及高效地利用組織的資源并有效地實現組織目標的過程,它主要通過獲取和評價所收集的證據來保證這一判斷的客觀公允性。信息系統是其審計對象,獲取和評價所收集的證據是其手段與方法。而信息審計的審計對象是數據與信息(狹義),評價產生信息的被審系統則是其手段與方法。兩者相輔相成、優勢互補的同步,可以從不同途徑保證會計系統和信息的高效與高質。
(三)會計系統信息審計與IT環境共生互動 自20世紀90年代初期以來,越來越多的企業流程已經將大型信息系統納入其中。由于這一技術轉變,數據和信息相對于產品的重要性正在凸顯。目前很大一部分企業價值已經不在資產負債表之內,在使用大量知識和信息的領域,差異越發明顯,以至于越來越多的人想拋棄已經接受的簿記原則(杰普.布勒姆等,2008)。可見,會計系統的信息資源與信息需求面臨著重新確認等問題,而亨茨爾(Henczel,2001)所提出的,信息審計是通過識別組織的信息需求,從而有效地確定組織當前信息環境的過程,這一將識別信息需求作為信息審計的主要內容的觀點,對重新認識會計系統的信息需求具有十分重要的意義。會計的發展取決于兩個因素,一是環境的影響;二是用戶對會計的信息需求,信息技術的飛速發展,促使會計系統與這一技術環境的共生和互動關系日趨明顯,而經濟全球化的競爭態勢又驅使會計信息不能局限于眼前以財務為主的經濟信息的支持。因此,會計系統面臨著信息資源與信息需求的信息審計。
會計信息要力求增值,無疑應當對其數據與信息的采集、處理與生成的基本流程逐一進行分析和提煉,以便求得各流程、工序的精益求精。同時,由于目前大中型企業紛紛使用ERP系統,因而使會計子系統與其他子系統的數據聯系越來越密切,而其會計子系統中的管理會計、內部審計等子系統與財務會計子系統的無縫連接越發凸顯,為此,針對數以萬計存儲于企業數據倉庫之中的信息資源文件重新進行梳理與管理勢在必行。而從審計的角度看,IT環境需要IT治理和IT控制,這是因為這一環境所帶來的系統、流程、技術等錯綜復雜的高風險局面,許多大公司由于難以應對這一高風險局面而陷入信息危機與信息犯罪的旋渦之中。作為信息安全保證的必備工具與方法手段,信息審計在當前會計系統的安全控制不足的狀況下尤為必要。
四、信息審計在會計系統中應用的若干思考
盡管會計系統相對于企業其他子系統具有較為嚴格的信息生產程序、流程和規范,但面對與ERP系統諸多子系統的日益交融局面,會計子系統的數據與信息的管理產生許多問題,如缺少對信息的集中化管理,致使某些有用信息過于分散而難以被決策者獲取與使用,又如信息過載使得信息用戶難以騰出足夠的時間從紛繁復雜的信息中選擇其所需要的信息等。誠如信息審計專家H. Botha和J.A.Boon所指出的,需要對信息審計進行更多的研究,在實踐中測試更多的方法,使信息專家能夠開發出可以放心使用的可靠信息審計方法。筆者認為,當務之急是在對信息審計的必要性取得共識的基礎上,探討會計系統信息審計的主體與內容、審計方法、審計頻率與審計重點等問題,以使信息審計在我國早日應用。
(一)會計系統信息審計的主體與內容 本質上說,企業信息審計是企業內部審計的一個有機組成部分,其規劃、實施、完善的組織協調工作主要應由企業的內部審計機構為主體加以實施,在聘請外部專家參與信息審計的基礎上,輔以企業內外部的相關審計人員來完善審計工作。但由于當前企業信息審計力量不足、缺乏專業勝任能力的人員,故應形成由企業內部審計人員與信息主管人員為主的專業團隊。
如前所述,會計系統的信息審計包含會計數據審計與會計信息審計(狹義),從實務上看,前者的審計重點是會計數據的保護、采集、存儲、記錄和處理規范的管理,而后者的審計重點則是對會計系統所產出的財務報告和提供決策支持信息的管理。從理論研究內容上看,會計數據的審計應當研究會計數據的來源,數據的檢索與分析,以及基于信息需求而對會計憑證和賬簿等數據的采集、整理及記錄規則等方面的管理。而會計信息審計的研究重點則是與流程、選擇合適信息系統、信息獲取及使用、各類會計信息對相應流程的重要程度,以及與會計信息需求的目標相適應的信息體系的構建等。
(二)信息審計的審計方法 作為人造系統,會計這一應用系統的信息審計應以信息技術為手段,圍繞企業各應用子系統的應用過程與應用結果,以及系統安全的合理性、過程行為的合法性、結果數據的真實性,進行客觀、適時的監測與審核,將各種違規、可疑事件及時發出警報,并提交改進信息管理的審計報告。
信息審計與信息系統審計同為內部審計的組成部分,但其各自的審計方法不盡相同,亨茨爾(Henczel,2001)強調信息審計是一個循環的過程,包括計劃、數據收集、數據分析、數據評價、建議交流以及實施這樣一個定期重復的過程。目前比較成熟的信息審計方法有信息地圖法、集成審計法、信息流法和亨茨爾(Henczel)法等多種(婁策勤、高策,2009),針對會計系統的特點,筆者認為選用信息流法和亨茨爾(Henczel)法為宜。信息流法既重視信息資源的識別,又能同時對企業信息流進行分析,這正是目前我國會計系統信息審計起步伊始所必須的。而亨茨爾法則是在分析信息流法和集成審計法的基礎上,提出了較為科學的信息審計7大步驟,即計劃籌備審計計劃和準備,通過案例分析取得高層支持;數據收集通過調研建立組織信息資源數據庫;數據分析對收集到的數據進行標準化分析;數據評估進行數據判讀,提出建議;建議交流報告信息審計結果,交流意見;實施建議開展信息審計建議改革項目;二次審計使信息審計經常化、規律化。對會計系統而言,信息流中的電子憑證審核、記賬憑證形成、賬簿登錄、銀行對賬和報表編制等沿用手工會計流程的做法,能否符合信息管理與用戶信息需求,十分有必要在信息審計過程中進行重新審視與評價。
由于當前尚未形成標準化的信息審計方法體系,因此在實際中,許多信息審計項目多采用了傳統的財務審計方法,如成本/效益方法等,這給信息審計實踐造成了很大的困惑和混亂,有的學者主張應將財務審計人員的經驗與信息審計實踐相融合,盡早開發出一套適用于信息審計方法體系(任玉珍,2009)。筆者認為,借鑒財務審計的基本方法與經驗,固然是信息審計的實現途徑之一,但信息審計方法不能落入財務報表審計方法之中,否則將有可能影響到信息審計任務的完成,兩者的審計目標相去甚遠,因而其審計方法也必然有很大的不同。鑒于信息系統審計與信息審計所具備的諸多共性,借鑒日益成熟的信息系統審計中的信息流程審計與數據審計的方法不失為一種事半功倍的做法。
(三)會計系統信息審計的頻率與重點會計系統的信息審計,首先要明確信息用戶對會計信息需求,其次是要對目前可使用信息與信息用戶所需要的信息進行信息資源差異對比分析,進而根據當前狀況提出消除上述差異解決方案,并制定信息提供與信息流程再造的行動計劃。從以上的審計過程看,會計系統信息審計的頻率與該系統的使用狀況相聯系,即信息審計頻率與系統使用時間相對應,會計系統一旦受到升級或改進,信息審計就應當緊隨其后加以進行。然而,應當注意的是,在信息資源、信息流和信息需求三大信息審計內容中,與系統升級或改進聯系最緊的當屬信息流。因此,信息審計的頻率可以因審計內容而定,一旦會計系統的信息流受到改變,就必須對其實施審計,而信息資源與信息需求則可采用定期審計的方法,根據企業經營決策與競爭的需求,定期實施會計系統的數據審計與信息審計(狹義)。
信息審計包括數據審計與信息審計(狹義),對會計系統而言,數據審計應用研究的重點是會計數據的保護、采集、存儲、記錄和處理規范等方面,而其理論研究的重點則是會計數據的來源、會計數據的檢索與分析、會計憑證和賬簿等數據的作用,以及這些數據處理過程中的規范要求。而信息審計(狹義)應用研究的重點是會計系統所產出的財務報告和提供決策支持的信息,其理論研究的重點則是與流程、選擇合適信息系統、信息獲取及使用、各類會計信息對相應流程的重要程度,以及會計信息需求的目標等相關。
五、結論
疾速形成的網絡化與無紙化等信息化環境,促使會計系統的信息審計成為必然,而作為信息化助推器的信息審計,其審計目標、審計內容和審計方法等又確立了其在會計系統中數據與信息安全保障體系中的重要地位。伴隨著我國信息審計理論研究的開展,信息審計的成功應用可望水到渠成。屆時,信息審計與信息系統審計的并駕齊驅,必然為我國會計系統信息的可靠與相關、信息管理的高質與高效提供強有力的支持。
[本文系福建省教育廳2008年度人文社科項目“我國財務會計信息化發展方向研究”(JA08003S)階段性研究成果]
參考文獻:
[1]任玉珍:《信息審計的內容框架分析》,《農業網絡信息》2009年第7期。
[2]婁策勤、高策:《信息審計方法比較研究》,《圖書情報工作》2009年第1期。
[3]黃亦西:《信息審計與知識審計的比較研究》,《情報雜志》2005年第10期。
[4]賴茂生:《信息資源管理的技術方法》,irm.impku.edu.en/ownload/e07.pdf,2005-12-17。
[5]胡善勤:《網絡信息審計的設計與實現》,吉林大學2008年工學碩士論文。
[6]高策:《企業信息審計研究》,華中師范大學2009年碩士學位論文。
[7]戴維.查菲、史蒂夫.伍德著,趙蘋、陳守龍譯:《企業信息管理:用信息系統改進績效》,中國人民大學出版社2008年版。
[8][荷]杰普.布勒姆、梅農.范多恩、皮亞士.米托爾著,程治剛、張翎、張勁譯:《SOX環境下的IT治理》,東北財經大學出版社2008年版。
[9]Buchanan,S. and Gibb,F. The information audit:an integrated strategic approach. International journal of information management,1998.
[10]Orna E.Information Strategy in Practice. Aldershol:Gower,2004.
【關鍵詞】 大數據;企業;環境信息披露;路徑
一、引言
2016年4月17日,中央電視臺的一則報道震驚全國,上市公司諾普信控制的常隆化工廠的土地污染導致江蘇常州外國語學校近500名學生出現身體異常。而該公司于2014年曾被訴訟并支付環境整治費。
紫金礦業等上市公司的環境污染事故仍記憶猶新,新的環境污染事故仍然層出不窮。根據環境部的統計數據顯示,2003年至今,我國上市公司環境事故的發生次數呈現上升態勢,其中空氣污染和水污染是最嚴峻的領域。
2016年2月,北京公眾環境研究中心公布的數據顯示,我國包括中國鋁業等央企在內的141家上市公司在2015年超標排放污染物,尤其是化工行業的企業數量最多。而這141家公司中只有28家公司對此進行了信息披露。而根據我國相關法律法規、政策制度,上市公司應公布包括污染物排放、資源消耗、環境管理等環境信息。
二、中國目前的企業環境信息披露制度
2015年1月1日實施的《中華人民共和國環境保護法》第55條規定,重點排污單位應當如實向社會公眾披露主要污染物名稱、排放量、排放濃度和總量、超標排放、污染防治設施的建設和運行情況,接受社會監督。第62條違反本法規定,未公開重點排污單位或者未如實披露環境信息的,由縣級以上地方政府環境保護部門責令公開,并予以公告。
而2007年的《環境信息公開辦法》和2008年《關于加強上市公司環境保護監督管理工作的指導意見》都要求企業及時、準確的公開其環境信息。2014年修訂的《公開發行證券的公司信息披露內容與格式準則第2號》鼓勵企業積極主動披露履行環境責任,包括公司在污染防治和控制、加強生態保護中采取的措施;屬于國家環境保護部門規定的重污染行業上市公司及其子公司,應按照有關規定,披露其在報告期內的重大環境問題和環境信息整改。根據證監會的規定,新股發行審計注重對環境問題的審計,包括:在招股說明書中詳細披露發行人的生產管理和投資項目符合國家環保要求,擬上市公司最近3年的環境保護投資相關費用,實際運行的環保設施和環境保護支出;生產環境是否符合國家相關環境規定,是否曾發生環境事故,治理污染設施的運行是否有效,對環境保護設施的養護和日常的污染治理是否符合相關技術規范;當擬上市公司發生環境事故或因環境問題受到處罰,是否詳細披露了有關情況,其保薦機構和發行律師是否就此事件構成重大違規問題發表意見。
現行的企業環境信息披露法律法規政策規定有效的推動了我國企業,尤其是重污染上市公司的環境信息披露。對中國A股上市公司中的重污染行業企業所披露的環境信息進行分析發現,根據法律法規及相關政策規定,重污染上市公司大部分披露其環境信息,但環境信息披露中的定性描述,即文字描述較多,而定量描述偏少;主要披露的內容是環境管理和環境治理信息;對環境方面的負面信息,重污染行業上市公司均傾向于不予以披露,即存在報喜不報憂的現象;不同行業披露的環境信息的側重點有所不同。
從上述分析可以看出,雖然我國企業環境信息披露法律法規政策規定的不斷完善有利于企業環境信息披露,但環境信息披露的數量,尤其是信息披露的質量仍然距離公眾期待有著較大的距離,有待進一步完善。
三、運用大數據優化企業環境信息披露的路徑選擇
在大數據時代,全球對數據挖掘技術越來越重視,由于數據已經成為人們生活中不可或缺的一部分,充分利用大數據時代的優勢完善我國企業環境信息披露的相關制度規范成為可行的選擇。在數據“多維”時代,充分利用大數據對企業的環境信息進行披露具有以下優勢:第一,可靠性。以往企業披露的環境責任信息往往突出其一定時間內的某些活動,缺乏對企業生產和管理中環境責任信息的持續性描述,這導致企業環境責任信息的不連續性,而在大數據環境中可以對所有相關的數據進行整體分析,得出一個完整的信息組,更好的反應環境信息的真實性。第二,多樣性。傳統的環境責任信息披露中,由于數據的可能缺失,監管部門和社會公眾很難對企業的環境責任活動進行識別和衡量,而在大數據時代,信息的載體和方式是多樣的,可以以各種形式反映信息,有助于提供完整的企業環境責任信息內容。第三,可追溯性。在反映企業環境責任信息的路徑上,由于缺乏控制機制,難以實現信息的跟蹤,而在大數據時代,數據可以被記錄在不同的維度,不同維度的數據之間的分析為企業環境信息提供了可追溯性。具體運用大數據優化企業環境信息披露的路徑如下:
1、在借鑒國外經驗的基礎上運用大數據完善我國企業環境信息披露的法律體系
在運用大數據分析的基礎上,借鑒國外先進經驗進一步完善企業環境信息披露的法律法規。充分整合現行國內環境保護部門、國資委、財政部、審計署、證監會、證交所等各部門的數據進行數據挖掘,厘清我國環境信息披露方面存在的主要問題,結合中國具體國情,在借鑒歐美發達國家相關法律規范的基礎上,在現行《環境保護法》規定的框架下,進一步規范企業環境信息披露,清晰界定企業環境信息應公開的內容,對企業環境信息公開的主體、環境信息披露義務的主體進行明確規定。建議由環境保護部門牽頭,聯合國資委、財政部、審計署、證監會、證交所等相關部門,對企業環境信息報告的具體實施標準或具體實施準則進行擬定,明晰界定企業環境責任報告要素及其內涵、企業環境信息報告的設計體例等,建議企業環境信息披露中應盡量使用定量性信息披露,提高企業環境信息的可靠性、可比性和利益相關者對企業環境信息的可理解性,提高企業編制環境信息報告的可操作性。
需要注意的是,在進一步完善我國企業環境信息披露的法律體系時,需要進一步強化企業環境責任信息披露制度的監督和處罰機制。以2015年的上市公司魯抗醫藥因環境問題受到處罰為例,其將含有抗生素的廢水排到主要河流中的行為極大的危害了公眾健康,進一步惡化了我國的抗生素濫用問題,但該企業僅僅被環保部門處罰了5萬元,基本未能起到懲戒作用。在以經濟建設為綱的時代,企業環境信息披露及相關處罰受到忽視,但在完善國家治理體系,建設可持續發展社會的今天,借鑒國外發達國家的企業環境信息披露及處罰措施,完善訴訟體制,進一步發揮包括政府部門和非政府組織在內的監督作用,大幅強化處罰和懲戒力度是完善企業環境信息披露的必然路徑選擇。
2、在完善中國企業的環境技術標準基礎上,建立數據集成和共享機制
環境保護部門應會同有關部門,參照西方發達國家和國際組織的環境技術標準,開發統一規范的環境信息技術標準和規范,對環境信息質量標準、監管環境信息要素及其識別與測量、環境信息呈現、標準定量分析技術的所需資源和污染的度量進行規范。制定大氣、水、土壤、污染源、噪聲等統一的監測標準,同時建設全國統一的環境監測信息數據平臺,由環境保護部門根據環境保護法規定環境質量和其他企業環境信息,以滿足公眾的環境權益。
3、進一步建立和完善企業環境信息披露的數據分析系統
中國已建立了超過兩千個環境監測站,監測人員近6萬人。我國所有省級監測站都配備了高水平的水質分析設備能力,所有城市監測站均具備進行空氣、水、噪音等環境質量的監測能力。但環境監測的信息感知系統和數據集成分析系統仍有待建設,才能充分發揮大數據的作用,有針對性的進一步完善我國的企業環境信息披露工作:首先,通過網絡化、智能化、云計算等技術,構建環境監測信息感知系統,以實現各類監控設備的信息融合和共享,更有利于對未履行披露環境信息責任企業的精確懲戒;其次,環保部門應充分利用數據挖掘技術,開發有利于環境保護的環境質量分析產品,通過推動環保服務工作,使社會公眾和環保組織等非盈利組織更方便的獲取環境信息,了解環境動態、趨勢和風險,從而更有利于發動社會力量,進一步推進企業履行其環境信息披露義務。
【參考文獻】
[1] 趙萱.企業環境責任信息披露制度績效及其影響因素實證研究[D].西南大學2015年博士論文.
[2] 李丹丹.加強引導上市公司環境責任信息披露[N].上海證券報,2015-08-01.
[3] 李軍,童克難.改革創新是環保事業發展的不竭動力[N].中國環境報,2015-06-22.
[關鍵詞] 審計費用 影響因素 實證研究
一、審計費用影響因素實證研究模型
國外從二十世紀八十年代初就開始了關于審計收費的實證研究。Simuni最早對美國審計收費的影響因素進行研究,提出了多元回歸模型,認為審計收費受風險狀況、損失的分擔機制、會計師事務所的生產函數和會計師事務所的規模等因素影響。在我國雖然不同研究人員建立的模型都不相同,但這些模型都是在Simunic的研究模型基本上的增加或刪除一些變量而建立起來的。
二、影響審計費用的因素及分析結果
1.影響審計費用的因素
(1)審計客戶的規模。上市公司的規模越大,其所涉及的經濟業務范圍就越廣,會計事項就越多,其固有風險和控制風險也可能越高,在審計時注冊會計師也會增加審計事項,擴大審計測試范圍,增加審計時間,以便控制可能承受的訴訟風險。
(2)審計業務的復雜程度。①子公司數代表上市公司經營的復雜性。子公司越多,審計師在進行審計時為出具審計意見所要搜集的證據也會越多。②應收賬款和存貨是重要的流動資產,上市公司常用它們來進行盈余管理。對于審計師而言,應收賬款和存貨的審計相對于其他資產而言審計方法要復雜得多,一般要采用函證或盤點的審計方法,需要耗用較多的工作量,面臨較大的檢查風險。應收賬款和存貨的比重越高,審計時所要付出的審計成本也就越大。
(3)審計風險。審計風險是指審計人員審計后發表不恰當審計意見的可能性。高審計風險將會直接導致會計師事務所支付高額訴訟費用巨額賠償,并會使其商譽遭受嚴重損失。所以,審計風險是注冊會計師進行審計收費決策時的重要考慮因素。研究主要使用描述經營風險的指標來衡量審計風險,包括近幾年是否虧損、審計意見類型、總資產收益率、流動比率、速動比率、資產負債率等。
(4)事務所特征。主要包括事務所規模,事務所組織形式,是否提供非審計服務及審計任期。會計師事務所級差理論把不同事務所提供的服務視為存在級差的產品。會計師事務所聲譽、行業專長或特殊技術、地域分布、對客戶需求的回應質量以及提供非審計服務的能力都是產生級差的因素。一般認為事務所規模代表了審計質量、獨立性和聲譽,并可在一定程度上衡量了事務所級差。事務所規模越大,其所提供的審計服務的質量越好,級差也就越高,相應地審計收費也越高。同一審計師在向委托客戶同時提供審計和非審計服務時,從每一服務所獲得的知識可以向另一服務“溢出”,從而節省審計成本或非審計服務成本,提高審計和非審計服務效率,“知識溢出”所帶來的好處轉移給委托客戶,委托客戶也愿意因此支付較高的審計費用。對不同時提供非審計和審計服務的會計公司而言,不可能有“知識溢出”。因此,大多數學者認為非審計服務對審計收費會產生影響。
(5)公司性質。主要包括獨立董事人數,國有股比例,公司所屬行業,所處地域。上市公司支付給會計師事務所的審計收費,一般是由上市公司財務部門與會計師事務所協商一致,再報由公司董事會或股東大會批準。上市公司的獨立董事人數越多,獨立董事在董事會中就越有發言權。為了切實肩負起監督與指導上市公司的職責,同時減輕自身責任,在上市公司與會計師事務所簽訂業務約定書時,獨立董事就會要求會計師事務所提供高質量的審計服務,以盡量避免上市公司向股東提供經過粉飾的財務報表,從而年報審計收費也提高。國家股比例越高內部人控制越嚴重,作為內部控制人的管理層在審計費用的談判過程中所具有的談判能力也就越強,在激烈競爭的審計市場環境下,他們會盡量降低審計費用,減少在獨立審計上的花費。不同行業的經營環境、業務屬性等各不相同,對于審計數量和質量的需求應該也有差別,事務所審計定價的策略會根據行業的不同而有所側重。由于我國各地經濟發展的不平衡,特別是東西部地區存在著較大的差距,各地在制定審計收費的標準上也必然會考慮到當地的經濟水平。為此,地域因素作為也是影響審計收費的因素之一。
2.審計費用影響因素分析結果
在筆者所查閱的論文中,關于審計費用與公司規模關系和會計業務復雜程度的結論基本一致,即審計費用與公司自身的規模和業務復雜程度相關。然而,對于審計費用與其他因素的關系,不同的研究得出了不同的結論。對于審計費用與審計風險因素的關系,劉斌、葉建中、廖瑩毅(2003),王善平、李斌(2004),夏孟余(2005)等發現風險對審計費用沒有明顯的影響,從而說明審計費用基本不能反映審計的潛在成本,而張繼勛、陳穎、吳璇(2005)卻發現審計費用與審計風險相關。對于事務所特征同審計費用的關系,研究者得出的結論也不相同。如王善平、李斌(2004)發現上市公司所聘用的事務所的規模與審計費用呈顯著正相關關系,“四大”的審計收費顯著高于本土事務所,并將其原因解釋為是我國審計市場具有對高品牌事務所的內在需求,上市公司尤其是大規模且業績好有良好發展前景的公司,更愿意聘請高品牌事務所并愿意支付更高的審計費用。但是,耿建新、房巧玲(2006)進行的研究卻發現四大會計師務所收取的審計費用并未顯著高于我國本土會計師事務所。公司性質同審計費用的關系中,劉峰等人認為獨立董事人數與年度審計費用顯著正相關,而上市公司注冊地是否位于經濟發達地區對年度審計費用的影響并不顯著。張小會、王培蘭對2005年滬深兩市A股上市公司的研究卻說明上市公司所在地顯著的影響了審計費用。上市公司的行業同審計費用的關系,朱,章立軍通過比較和檢驗處于不同行業上市公司審計費用差異,分析審計師是否在審計收費中考慮不同行業風險,得出上市公司行業分布對審計費用具有顯著影響。
三、審計費用影響因素實證研究現狀評價
首先,上市公司關于審計收費信息的披露還不規范。上市公司在其年報中對審計費用的披露質量不高,披露的方式千差萬別,使得實證研究所依靠的數據無法滿足研究者對其的質量要求,這是造成不同的論文得出的結論不一致的一個重要原因。其次,國外審計定價實證研究所選擇的樣本量一般都比較大,如Krishnagopal& David (2001)選擇了1980年至1997年美國樣本公司審計費用進行研究,而國內的研究,在樣本量的選擇上主要是采用一年的樣本數據進行分析,在以后的研究中應收集自2001年以來上市公司年報中公布的審計費用,幾年的數據,這樣的分析結果更具有穩定性; 再次,在影響因素中,絕大多數的模型都研究的是市場因素而對于國家政策是否對審計費用產生影響,研究的卻很少。因此在今后的研究中可以考慮國家政策對審計費用的影響。最后,我國的企業大多數屬于國有控股而且股權集中,因此和國外相比對所有權結構、公司治理同審計費用的關系,國內的研究還較少。另外非審計服務對于審計業務的影響,非審計服務主要指的是管理咨詢服務,隨著現代企業對管理咨詢服務需求的增加,事務所的非審計服務收入所占的比重越來越大,這些非審計服務對于審計費用的影響,有待于日后的進一步深入研究。
參考文獻:
[1]韓厚軍 周生春:中國證券市場會計師報酬研究――上市公司實證數據分析[J].管理世界,2003(2)
[2]劉 斌 葉建中 廖瑩毅:我國上市公司審計收費影響因素的實證研究――深滬市2001年報的經驗證據[J].審計研究,2003(1), 44~47
一、引言
隨著央行業務信息化的發展,數據信息系統成為內審部門新的必須開展的審計內容。國外許多中央銀行的內審部門非常重視利用信息技術開展內部審計,并且取得了較大進展。他們擁有一批熟悉COBIT、SAC等國際上通行的信息技術管理和控制標準、具有豐富專業經驗的信息技術審計人員,對信息系統審計已有十余年歷史。我國審計機關利用計算機進行審計探索始于20世紀90年代初,探索開發了一系列審計軟件。2001年,國家審計署提出了《信息化建設總體目標和構想》,即“金審工程”,極大地推動了審計技術的發展。我國中央銀行利用信息技術對業務系統進行審計起步較晚,與業務系統電子化發展相比,審計信息技術的發展很不匹配,存在明顯滯后。盡管人行總行為推動審計技術信息化制訂了一系列制度,如《中國人民銀行計算機信息系統內審監督檢查工作暫行規定》、《關于加強計算機信息系統內部審計的指導意見》、《計算機信息系統內部審計規程》,但從實際運用來看,內審部門的信息技術手段仍很落后。特別是基層央行,對業務系統的審計仍以手工為主,檢查的重點停留在制度執行層面,風險洞察水平不高,嚴重影響了審計質量。基于這一認識,本文立足基層央行業務系統運行狀況,對利用信息技術開展系統運行審計的緊迫性、面臨的主要困難與問題作一剖析,試圖找到一些有利于基層央行利用信息技術開展系統審計的方法與途徑。
二、信息技術在內審領域運用的緊迫性
國外央行審計技術信息化的實踐和我國央行業務領域信息化的現實,催生了內審信息技術建設必要性這一共識,在共同認知下,迫切需要采取措施加快審計技術信息化的發展步伐,這種緊迫性至少表現在以下幾方面:
1、適用業務信息化發展的需要。近幾年來,基層央行業務信息化建設已經躍上了一個新臺階,央行主持開發的計算機信息系統基本涵蓋了貨幣政策、宏觀調控、金融穩定、金融服務各個領域,逐步形成了高效、規范的信息化服務體系。信息系統的廣泛運用在提高央行管理水平的同時,也潛在著較大的安全和技術風險。基層央行業務系統操作員和管理員對系統運行的先進性與安全性的認識,由于長期的接觸,難免有“不識廬山真面目,只緣身在此山中”的感覺。全面了解系統的運行狀況、進一步改進系統運行質量,迫切需要審計信息技術這個通道,起到“橫看成嶺側成峰”的作用。
2、提高內部控制水平的需要。《中國人民銀行分支機構內部控制指引》指出,內部控制包括內部控制環境、風險評估、內部控制活動、內部控制的信息及其溝通、對內部控制的監控五個要素。面對央行業務系統信息化的發展,如果沒有內審技術手段信息化的快速跟進并與之匹配,以落后的內審手段碰撞先進的業務系統,就無法對業務系統運行的可靠性、保密性、連續性、完整性、風險性作出準確的評估,內審部門“對內部控制的監控”作用無法有效發揮。
3、提升內審項目質量的需要。傳統的手工審計,常常要面對雜亂無章的數據,進行大量乏味的計算工作。將信息技術運用于內審工作,不僅可以幫助內審人員解決這一問題,還可設定針對性的模塊開展審計,擴大審計范圍;可以規范審計業務管理,如“中國人民銀行內審業務管理系統”,有內審項目管理、內審職責管理、輔助計算等功能,極大地規范了審計操作。再如武漢分行推出的“內控評審系統”,可以對分支機構的內控建設水平作出綜合評價,促進了基層央行內控建設;可以迫使內審人員加強對計算機知識的學習,主動熟悉業務部門應用系統的操作流程。同時,可以通過計算機網絡技術,建立內審業務后續教育平臺,開展遠程培訓,使內審人員盡快跟上信息化發展的步伐。
4、創新內審手段的需要。信息技術在內審領域的運用,可以為創新內審方式打造直接平臺。審計人員利用計算機,借助有效軟件開展內審工作,實現由手工方式向電子方式轉變;利用接口程序直接從業務系統采集數據,進行分析整理,實現適時審計;借助網絡,遠程訪問被審計單位的系統數據,實現遠程審計。通過審計信息化,能夠實現內審監督從單一性的事后審計向事前、事中、事后相結合轉變,從單一的靜態審計向動態與靜態相結合轉變,克服傳統的事后審計帶來的不能及時發現問題、防范于未然的缺陷。
三、央行業務系統審計面臨的現狀與困境
隨著基層中央銀行電子化運用的廣泛深入,內部審計環境也發生了深刻的變化,內控機制的改變、審計線索的隱蔽、審計手段的滯后、審計風險的凸現等帶來的困境與壓力,無時無刻不在挑戰著內審人員的智慧與勇氣。
1、業務系統可審性差。隨著央行內審功能定位的清晰,內審工作的審計領域逐步拓寬,審計內容也日漸豐富,但對業務系統領域的審計,卻始終是“霧里看花”,成為“審計壁壘”。目前,所有業務系統幾乎都沒有預置審計接口與審計用戶,連簡單的數據查詢都需要通過被審計對象才能進行,同時由于信息量大,再加上內審部門缺乏相應的技術審計手段與審計力量,用有限人工的方法查找海量電子化信息,效率太低,要想篩選出有價值的線索無異于“大海撈針”;因沒有設置系統“黑匣子”,沒有設置監控點,最大限度保留、記錄審計線索,各項違規操作、異常操作無從查找。
2、計算機輔助審計運用不廣。由于應用系統開發各自為陣,各個系統由不同的開發單位開發,所采用的開發、應用平臺不同、開發語言不同,數據庫不同,沒有一個統一的標準的數據化接口,加上內審部門沒有專用的通用審計軟件,使業務系統數據采集、轉換、分析困難,另外,數據采集還涉及到數據導出后的保密問題,也成了數據采集困難的因素之一。加之內審部門計算機配備不足,能熟練掌握計算機專業知識及業務知識的人員偏少,計算機輔助審計僅停留在WORD、EXCEL文字處理和電子表格處理層面,更深層次的數據篩選、數據分析、函數計算、數據統計和圖形分析應用不多。3、審計服務平臺搭建不力。目前,央行內審業務尚未搭建起支持信息化審計的高效的服務平臺,嚴重滯后于信息化審計工作的發展,成為難以突破的“瓶頸”。主要表現為:一是審計依據的非電子化,給依據的查找、問題的定性帶來極大的不便,許多審計人員反映,在依據查找、問題定性方面投入的工作量占整個工作量的近三分之一。二是審計依據攜帶不便,查找不便。目前大部分內審人員仍然使用紙質依據,有些則是上網搜索,這樣所得的審計依據難以保證其權威性、全面性、有效性,容易造成審計風險。三是審計成果難以利用,沒有審計結果電子檔案,審計部門難以及時了解、全面掌握審計對象的基本情況及其動態。四是審計分析難以深入,不便掌握內控運行趨勢和找出內控薄弱環節軌跡。五是經驗交流不實時,在審計實施中容易走彎路、重復審計,增加審計成本。
4、軟件開發應用介入缺位。《中國人民銀行關于加強計算機信息系統內部審計工作的指導意見》規定科技部門和系統應用部門,在組織系統開發時應當將有關情況通報內審部門,應當充分考慮設置和保留必要的審計線索,重要的系統,應當設立必要的審計接口。《中國人民銀行分支機構內部控制指引》也作了相似的規定。但在實際中卻很難得到有效執行。一是程序設計、開發、測試階段審計部門參予不夠。在電算化環境下,計算機系統處理成了業務處理的一個重要環節,而在目前的審計實踐中,對業務系統的審計卻往往繞過計算機審計,未能實現穿過計算機審計,僅對業務系統的運行環境、操作員控制、制度建設與管理等方面進行審計,對業務系統自身的可靠性、可行性審計這一關鍵環節卻無能為力;二是業務系統培訓、運用,審計人員缺少參與。各個業務系統在培訓推廣時,內審人員很少有機會參加,相應的制度及培訓資料也難以獲取。
5、審計風險規避更難。手工環境下,各項數據的勾對平衡、各個科目的對轉使用,都有原始的憑證、帳簿、報表,有據可查,容易“順藤摸瓜”,審計出來的結果較為可靠。但在電算化環境下,各項業務的上機運行,數據的集中存放,憑證的上收,審計線索大為減少;紙質數據的電磁化及其容易篡改的特性以及程序的“黑箱”處理,中斷了追索途徑;技防的薄弱如身份識別技術大部分采用登錄口令的形式,UNIX系統未安裝防病毒、防入侵軟件等,極有可能導致黑客的入侵、病毒的感染,從而導致程序被修改、數據被竊甚至丟失的風險,極大增加了審計風險的規避難度。
四、央行業務系統信息化審計方法與途徑探討
面對業務系統審計中的種種困難,只有把審計信息化作為傳統審計向現代審計轉型的突破口來抓,在更大范圍內和更深層次上推進計算機審計的應用,才能及時發現不足和解決問題,杜絕因業務信息化所帶來的風險。
1、深化輔助審計軟件的有效應用
輔助審計軟件包括Word、Excel、數據庫分析管理(通常使用常用的Access數據庫)、圖形分析程序、通用審計軟件(GAS)等。在內部審計實施過程中,計算機不能僅作為文字處理工具,而要進一步深化輔助審計軟件的有效應用。
在文字處理、電子表格、數據庫分析管理和圖形分析四個方面,可建立符合基層央行業務特點的審計數學模型,用數學模型進行數據提取、數據篩選、數據分析、函數計算、數據統計和圖形分析;可建立方便快捷的審計依據文檔庫,通過系統自帶的搜索引擎進行資料模糊查詢,以便快速對審計定性提供依據;可建立審計實施各階段的文檔模板,使各階段文檔共性部分減少手工編制。
探索開發中央銀行通用審計軟件(PBC-GAS)。借助通用審計軟件中相應的數據接口模塊在不同的業務系統中采集數據,用轉換工具,把取得的數據進行轉換,從而有效地轉換到審計軟件中,形成統一的數據格式,以便進一步審計分析。
2、建立業務系統的嵌入式審計窗口(EAM)
《中國人民銀行分支機構內部控制指引》中明確要求“系統開發時應考慮監督檢查的需要,必要時應預留有關審計接口”。為此,筆者建議:一是對現有的業務系統進行補丁,建立起由內部審計人員登錄并提供由系統本身自動產生有操作風險或較嚴重誤操作的記錄的嵌入式審計窗口,從而增加對審計對象的介入深度和改進審計方式;二是對今后開發的業務系統,審計部門要提前介入,提供切合實際、有針對性的系統控制、程序控制和風險點控制等方面的需求報告,供開發人員研究設計,未經審計部門介入的業務系統軟件,不能擅自推廣應用。
嵌入式審計窗口作為系統控制、程序控制和風險點控制模塊,主要針對系統操作可能導致的風險進行監測和記錄。記錄內容可包括金額、資金流向、摘要;時間、操作員;保密資料的打印次數;操作員密碼管理情況;主管授權情況;非工作時間開機登錄情況;操作員簽退情況;數據備份與恢復控制情況等。EAM的應用,可成為業務系統自動監控的“黑匣子”,提高系統的可審性。同時,內審員通過網絡登錄可開展非現場審計,通過業務系統的動態監測可開展動態審計,具有監督頻率高、信息連續性強、審計成本低、動態反映及時等特點。
3、推進技防信息化建設
技防信息化在央行重要業務系統中的應用目前僅限于對機房的監控,直接對業務系統實施技防信息化還是空白。技防信息化是通過計算機外接設備對操作員指紋、掌紋、聲音、人臉、虹膜等進行圖形、聲音數據采集,由計算機進行生物統計,以進行身份鑒別的計算機控制方法。技防信息化可在中央銀行ABS、TBS等重要業務系統中應用,如建立指紋識別系統(HSS)或臉像識別系統(FSS),并對應用系統所在的機房進行數字化動態監控。從而為內部審計提供必要的、有力的證據,尤其易對一些違規操作、非法登錄、惡意破壞行為追蹤認定,使責任追究落實到人。4、加快建設信息化審計網絡服務平臺
信息化審計網絡服務平臺是為內部審計工作提供全方位的服務網絡系統。網絡服務平臺可以包括:審計人才資源、審計對象與方法、審計依據法規、風險點及控制、審計成果轉化與應用等,形成一個多層面、多角度、立體式的網絡服務平臺。
網絡服務平臺要通過做好信息收集、整理工作,建立健全分層次的審計數據庫,包括財務管理、國庫資金管理、發行基金管理、人民幣賬戶管理、外匯業務管理、金融統計業務管理、反洗錢管理、金融法律法規以及審計人力資源、審計工作中形成的審計結果和審計專家經驗、風險點及控制等為審計服務的信息。依靠有效的內聯網絡,分層次地形成信息共享。
5、規避信息化審計風險
規避信息化審計風險是審計人員面臨的新課題。信息化系統所固有的特性,使審計風險再所難免。如何最大限度地降低審計風險,只有靠審計人員敏銳的嗅覺、實戰經驗和一定的計算機應用系統分析水平。在審計實戰中,一要運用電子數據易快速分類、排序、統計的特性,對電子數據進行關聯、抽樣分析等,以發現審計線索;二要檢查業務系統的操作員分工、權限設置是否合理、嚴密,職責是否明確,分析密碼管理機制是否安全、有效,系統各個功能模塊設計是否符合央行內控要求;三要檢查業務系統本身是否具有合理的安全保護措施,如容錯性和系統災難恢復機制等;四要檢查被審計單位所提供的數據資料的真實性、時效性、完整性和連續性,必要時應進行復核;五要采用靈活的審計方式,如可采用就地審計或突擊審計的方式,事先不通知被審單位計算機管理員,先取得備份數據,以防操作員將數據篡改、刪除等。
6、加快人才培養和技術培訓
李金華審計長指出:審計信息化是一場革命,審計人員不掌握計算機技術,將失去審計資格。基層央行內部審計信息化建設的發展,人才培養是最大瓶頸。當務之急是要用計算機知識武裝審計人員的頭腦。首先,要拓寬育人、用人視野,要有目的的選擇品學兼優的業務骨干充實到內審崗位。其次,要抓好計算機審計深層次應用培訓,如審計業務與通用審計軟件相關的針對性培訓、計算機輔助審計技術培訓、常用的Excel、Access數據庫中如何進行數據處理、加工統計及圖形分析培訓等。
課題組組長:張庭旭
課題組副組長:呂遂生
課題組成員:康登棟、李書文、康中華、王曉東、王勇
參考文獻
[1]、王洪章,《中國人民銀行崗位風險防范指南》,中國金融出版社,2006年。
[2]、張靜,《人民銀行內審理論與實務研究》,湖北人民出版社,2004年。
【論文摘要】 隨著電算化在我國企業的普及,內部控制制度的完善也引起了人們更多的重視。文章在分析我國電算化下企業內部控制面臨的現狀的基礎上,提出了加強企業內部控制的建議。
內部控制是指在企事業單位會計工作中,為了維護會計數據的準確性、可靠性,業務經營的有效性和財產的完整性而制定的各種規章制度、組織措施、管理方法、業務處理手續以及其他為防止可能發生的風險而采取的一切措施的總稱。隨著計算機和信息系統的發展,我國絕大多數的企業已經甩掉了手工賬,實行了會計信息系統的電算化。電算化會計在數據處理的及時性和準確性方面都有著傳統手工會計無可比擬的優勢,但隨著電算化工作的普及和深入,有關電腦系統的舞弊案件時有發生,而且涉及的金額及造成的損失往往比手工系統大得多。究其原因主要是由于電算化對傳統手工會計信息系統的內部控制帶來了一系列影響,內部控制由人工控制變為人和計算機共同控制,原有的內部控制已無法適應會計電算化信息系統的要求。這就迫切要求我們適應電算化會計信息系統的特點,建立和加強電算化下的內部控制體系。
一、電算化會計下企業內部控制內容
從傳統的手工會計到電算化會計系統,雖然會計內部控制的目標和主要特征沒變,會計核算的復式記賬和借貸平衡的基本原理和方法也沒有變,但由于會計信息處理方式和方法的計算機自動化,使得會計業務處理程序和工作組織發生了質的變化,由此導致會計信息系統內部控制體系也出現了些新的特點和變化。
在會計工作實現電算化以后,內部控制按照其實施方式的不同,分為組織控制和功能控制。組織控制是指通過建立規章制度、工作人員的合理分工而建立起來的內部控制。功能控制是指在會計信息系統中設計一定的功能而實現的內部控制。按實施環境的不同,內部控制又可分為應用控制和一般控制。應用控制是指運用計算機進行會計數據處理過程中所實施的內部控制。按本身的性質和實施的目的,內部控制還可分為管理控制和會計控制。管理控制是指為了保證計劃、預算和定額任務的完成,提高經濟效益而實施的內部控制。會計控制是指為了維護會計數據準確可靠和保護單位財產完整而實施的內部控制。
二、電算化會計下加強完善內部控制的必要性
由于電算化會計信息系統在賬務處理流程和工作組織方式等許多方面與手工會計信息系統不同,又由于使用該系統存在著特有的潛在風險,電算化會計系統必須建立在科學的內部控制體系以保證會計數據的真實可靠。
1、電算化會計下授權方式的改變要求加強內部控制
在手工會計系統中,一項經濟業務由發生到形成相應的賬務處理信息,其經歷的每一個環節都應由具有相應管理權限的有關人員審核簽章后才可辦理。這種傳統管理方式雖然處理的速度慢,但可有效地防止作弊。然而,在電算化會計下,權限分工的主要表現為口令授權。口令不像印章那樣由專人負責保管而是存放于計算機系統內,一旦口令被人偷看或竊取,便會帶來巨大隱患,此種案例在現實中已發生多起。如某某會計人員被客戶收買,竊取口令,非法核銷客戶的應收款及相關資料;銷貨人員竊得客戶的信息將客戶信息轉賣給其他公司。
2、會計檔案無紙化的變革要求加強內部控制
在手工方式下,會計信息以賬、證、表等形式存儲在不同的紙張上,增、刪、修改會計憑證或會計賬冊都可以從各自的筆跡和印章上分清責任,因此很難不露痕跡地加以修改或偽造。但實行了電算化會計后,會計信息是以數據庫文件的形式保存在磁光介質上,這種無紙張憑證和賬冊很容易不留痕跡地被篡改和偽造,從而給內部控制帶來新的挑戰。另外磁或光介質對保存環境要求高,容易損壞,一旦損壞很難恢復,這無疑對內部控制提出了更高的要求。
3、網絡技術的發展也要求加強內部控制
網絡技術的突飛猛進給電算化會計信息系統帶來了深遠的影響。目前財務軟件的網絡功能主要包括:遠程報賬、遠程報表、遠程審計、網上支付、網上催賬、網上報稅、網上采購、網上銷售、網上銀行等。由于網絡環境具有開放性,而大量的會計信息又是通過網上傳輸的,這樣就有可能使網絡會計信息系統遭到“黑客”的攻擊或“病毒”的入侵,同樣可能導致會計信息被竊取或者是被蓄意篡改,這一系列的問題的解決離不開內部控制制度的完善和發展。
三、我國電算化會計內部控制面臨的現狀
1、復合人才的缺乏,電算化會計人員整體素質有待提高
電算化會計系統是人機結合的系統,它既需要熟悉計算機操作的財會人員,又需要精通計算機硬件維修、信息系統管理和基本財務知識的系統管理員。但我國這種復合型人才還相當匱乏,培養這一類的人才還需要一定的時間。
2、單位領導層的認識不到位,電算化工作的廣度和深度有待推進
不少企業領導還沒有充分認識到實施會計電算化的重要意義,沒有認識到開展會計電算化是時展的必然,是管理現代化的需要。目前還有相當一部分的企業電算化會計工作還只是處于單項或者幾項會計核算業務和報表匯總工作,有關工資、固定資產、銷售的核算、成本的核算還沒有實行電算化,全國全部實現會計電算化的企業還為數不多,企業實施電算化會計的廣度和深度還不夠,從而為電算化會計內部控制制度的建立和完善增加了難度。
3、會計軟件不能及時升級換代,軟件安全性、保密性差
不少企業認為電算化僅僅是“以機代賬”,軟件只需要一次投入即可,出現了只重視硬件換代,不注意軟件升級的情況。從奔騰ⅱ一直到奔騰ⅳ,機型更換了幾次,但財務軟件仍停留在“古老”的foxbase開發的dos版上。另一方面,多數企業總是忙于開發、購買硬件和會計軟件,并求得賬、證、表的正確輸出,卻很少過問計算機系統是否安全可靠,企業以及部門的內部控制是否健全,導致會計信息的使用者對會計電算化數據的可靠性持懷疑態度。
四、加強電算化會計下企業內部控制的建議
1、加強有關組織與管理方面的控制
(1)建立適應電算化會計系統的組織機構
在實現了會計電算化后,企業應及時調整原有的組織機構,可以按會計崗位和工作職責劃分為電算化會計主管、軟件操作、審核記賬、電算維護、電算審查、數據分析等崗位。組織機構的設置符合企業的實際情況,有利于實現企業的管理目標,同時也要考慮到成本費用的問題。
(2)建立嚴格的上機管理制度
基于電算化會計信息系統的安全性和保密性考慮,企業用于電算化會計系統的計算機應盡可能保證專人專用,同時企業應該建立一整套嚴格的上機管理制度,以保證每位工作人員只在自己的計算機上和自己的權限范圍類做自己應該做的工作。一般來講,企業對用于電算化會計系統的計算機的上機管理措施應包括輪流值班制度、上機記錄制度、完善的操作手冊、上機時間安排、操作日志等。
(3)切實貫徹職責分離,實行相互監督
與手工會計一樣,電算化會計系統對每一項可能引起偽造的經濟業務,都不能由一個人或一個部門經手到底,必須分別由幾個人或幾個部門承擔。在電算化會計系統中,不相容的職務主要有系統開發、發展的職務與系統操作的職務;數據維護管理職務與電算審核職務;數據錄入職務與審核記賬職務;系統操作的職務與系統檔案管理職務等。企業為防止舞弊或欺詐,應建立一整套符合職責劃分原則的內部控制制度,同時還應建立職務輪換制度。
(4)加強檔案管理工作
企業應該對所有會計資料及時存檔并定期地對所有檔案進行備份。企業使用的會計軟件應具有強制備份的功能和恢復到最近狀態的功能。
(5)重視內部審計功能
內部審計既是企業內部控制系統的重要組成部分,也是強化內部會計監督的制度安排。內部審計本身就是一種組織控制。通過內部審計部門對電算化會計系統信息的質量和完整性進行獨立、公正地監督與評價,有利于系統內部自我約束、自我激勵機制的建立與健全。
2、加強電算化會計系統實施前的有關系統開發方面的控制
這項工作主要是針對自主開發會計信息系統的企業而言的。在系統開發期間實施的控制措施主要是為了保證系統開發過程中各項活動的合法和有效,其主要內容包括:明確開發目標,進行系統可行性研究與分析;在開發的過程中始終要圍繞用戶需求這一宗旨確保系統開發目標的一致性,同時也要控制開發進度,監督開發質量,檢查各功能模塊設置的合理性,提高系統的質量。電算化會計系統的開發必須遵循國家相關部門制定的標準和規范,這樣開發出來的系統才安全可靠。
在電算化會計系統正式運行過程中,如果發現會計軟件存在漏洞,需要及時對其進行修改,整個修改過程必須經過周密計劃和嚴格記錄,修改過程的每一個環節都必須設置必要的控制,修改的原因應形成書面報告,電算化會計系統的操作人員不能參與軟件的修改,所有與軟件修改有關的記錄都應該打印后存檔。
3、加強電算化日常管理方面的控制
首先應制定上機操作規程,主要包括軟硬件操作規程、上機操作時間等。在經濟業務發生時,通過計算機的控制程序,對業務發生的合理性、合法性和完整性進行檢查和控制。
其次要建立起一整套內部控制制度,以便對輸入的數據進行嚴格的控制,保證數據輸入的準確性。由于計算機處理數據的能力很強,處理速度非常快,如果輸入的數據不準確,處理結果就會出現差錯,影響整個系統的正常運行。因此,系統應該對輸入的數據進行嚴格的控制,保證數據輸入的準確性。數據輸入控制要求輸入的數據應經過必要的授權,并經有關的內部控制部門檢查;同時應采用各種技術手段對輸入數據的準確性進行校驗,如平衡校驗、二次輸入校驗等。另外為了防止數據在傳輸過程中發生錯誤、丟失、泄密等事故,企業應該采用各種技術手段以保證數據在傳輸過程中的準確、安全、可靠。
最后對系統操作的事件類型、用戶身份、操作時間、系統參數和狀態以及系統敏感資源進行實時監控和記錄,進行必要的權限設置,以便能夠對各種不同的權限進行用戶識別和遠程請求識別。
綜上所述,會計電算化在我國企業的普及,在給會計人員帶來方便快捷高效的工作方式的同時,無疑也增加了信息的安全隱患。當然,任何事物都不是完美無缺的,我們只有順應電算化發展的潮流,建立分工明確、權責落實、操作嚴格的內部控制制度并切實的加以執行,這樣才能充分發揮電算化會計系統的準確性和高效性,才能為企業的管理層提供準確及時的決策信息,從而實現企業價值最大化的目標。
【參考文獻】
[1] 袁樹民、張貴珍:會計電算化[m].上海財經大學出版社,2005.
【 關鍵詞 】 信息安全管理;信息安全管理平臺
1 引言
前些年,在我國推進信息安全體系建設的工作中,各行業在信息網絡邊界和縱深部署大量信息安全防護產品的基礎上,為了符合國家信息安全的相關政策和監管要求及便于進行一體化管理和掌握整個信息系統的安全態勢,許多單位還部署了信息安全管理平臺,并在信息系統安全運行和管理上發揮了重要的作用。
信息安全管理平臺是網絡中心必備的安全管理基礎設施,是網絡安全管理員遂行網絡安全管理任務的必備手段,是網絡安全體系結構中的一個重要技術支撐平臺。為規范網絡系統的安全管理,重要的信息網絡都應設置信息安全管理平臺(見《信息安全技術 信息系統等級保護安全設計技術要求》GB/T 24856―2009)。
近年來,隨著云計算、物聯網和移動互聯網技術的興起,信息網絡的邊界愈發模糊,系統中的虛擬化技術和設備被廣泛采用,信息系統中的安全信息采集和集中審計變得更加困難。另一方面,外部的信息安全威脅,隨著AET和APT技術的不斷升級,也變得愈來愈兇險和難以防護。面對當前信息安全的新形式,以往的信息安全管理平臺必須進行更新換代或升級改造。
搭建新一代信息安全管理平臺(以下簡稱平臺)有重要意義:(1)設計和建設新一代平臺是構建自主可控信息安全體系體系頂層設計不可或缺的重要一環,以實現對重要信息系統的風險可監控、可管理、業務過程可審計,真正實現安全體系自主可控,保障體系安全;(2)引入大數據分析技術完善平臺關聯分析能力,增加AET和APT攻擊的檢測技術手段,提升信息系統安全態勢感知和預警能力,可及時發現和處置重大信息安全威脅,真正實現信息安全自主可控。
2 設計目標
信息安全管理平臺的設計目標是:設計一體化、開放性和具有智能防御未知威脅攻擊的平臺。一體化就是將多家不同類型的安全產品整合到一起,進行統一的管理配置和監控。開放性就是提供標準的接口,使第三方產品很容易整合到系統中。智能防御未知威脅攻擊,就是充分利用和發揮大數據技術應用于安全態勢和安全事件的深度挖掘和分析,對AET和APT進行檢測和響應,構建智能化的主動防御系統。
通過信息安全管理平臺,對網絡系統、網絡安全設備以及主要應用實施統一的安全策略、集中管理、集中審計、并通過網絡安全設備間的互動,應對已知和未知的安全威脅,充分發揮網絡安全防護系統的整體效能。
3 設計原則
依據GB17859-1999《計算機信息系統安全保護等級劃分準則》和GB/T 20269-2006《信息安全技術 信息系統安全管理要求》,結合網絡安全管理的實際需求,按以下原則設計信息安全管理平臺。
(1) 標準化設計原則。為了能夠與第三方廠家安全產品聯動,安全管理平臺需制定安全產品互聯的接口標準,這個接口標準在業界應具有權威性并易于操作,便于各廠家實現。
(2)逐步擴充的原則。網絡系統安全集中管理包含的內容很多,管理技術難度很大,安全管理平臺的建設應選擇好切入點,本著由簡至繁,逐步擴充的原則進行。
(3)集中與分布的原則。許多單位網絡從結構上看,呈樹狀的多節點分層(級)結構。這些網絡具有分布廣、結構復雜的特點。為此,可在各層(級)網管中心設置安全管理平臺,其作用是對本級局域網進行集中安全管理;上級對下級采用分布式分級的方式進行安全管理。
4 設計要求
(1)可擴展性。信息安全管理平臺的系統設計,終端采用以對象模型驅動的管理機制,對象模型用XML語言描述,可以通過定義/修改對象模型的屬性(關系和操作),即插即用地擴充和管理網絡終端及服務。此外,管理平臺主機在性能和帶寬上,應留有一定冗余度,具有管理1000~5000個對象的擴展能力。
(2)易用性。信息安全管理平臺提供的所有功能,應做到操作簡易,界面友好,使用方便。
(3)經濟性。信息安全管理平臺設計,應采用先進的、成熟的軟硬件IT技術,搞好總體設計,優化軟件編程,避免重復投資,提高性能價格比。
(4)穩定可靠性。信息安全管理平臺設計,應重視硬件支撐設備的選型,性能上應留有空間;安全管理軟件要經過充分測試,不斷優化,保證系統穩定可靠運行。
(5)自身安全性。信息安全管理平臺設計,要重視自身的安全性,系統應具有管理員身份和權限的雙重鑒別能力,應保證數據網上傳輸的完整性、保密性和數據記錄的真實可靠及抗抵賴性。
5 系統組成和主要功能
信息安全管理平臺的基本功能是:對網絡系統、安全設備、重要應用實施統一管理、統一監控、統一審計、協同防護,以充分發揮網絡安全防護系統的整體作用,提高網絡安全防護的等級和水平。
5.1 系統組成
信息安全管理平臺由幾個模塊組成:人機界面模塊、總控模塊、安全網管模塊、安全監控模塊、安全審計模塊、安全策略處理模塊、安全模塊、安全事件分析模塊、安全事件響應模塊、設備配置模塊、平臺與設備接口模塊和安全管理數據庫。系統的邏輯結構如圖1所示。
(1)人機界面模塊。面向安全管理員的操作控制界面。
(2)總控模塊。總控模塊控制信息安全管理平臺各模塊正常運轉,其中包括網絡通信和通信加密程序,用于保障網絡間遠程數據交換的安全(主要是真實性和完整性)。
(3)安全網管模塊。用于顯示網絡拓撲并進行安全網管。
(4)安全監控模塊。用于對網絡主機和網絡設備進行安全監控。
(5)安全審計模塊。接受操作系統或下一級安全管理平臺發來的安全日志;接收主機、防火墻、IDS等網絡安全設備發來的報警信息;接收網絡出口探針記錄的網絡數據流信息,存儲并實時進行內容審計。安全審計的方式有三種:基于規則和特征的安全檢測,基于數據流的安全檢測,基于特定場景深度數據挖掘的安全檢測。審計的結果:啟動報警系統和產生安全態勢報表。
(6)安全策略處理模塊。自動將安全策略翻譯成安全設備可執行的規則。
(7)安全模塊。安裝在網絡客戶機(服務器、終端)操作系統中,與安全管理平臺上的安全監控模塊配合使用。其作用是用于接收安全管理平臺發來的監控指令和審計規則;監視客戶機的工作狀態;根據規則進行安全過濾和記錄;將安全記錄實時發回至安全管理平臺。
(8)安全事件關聯分析模塊。將所有收集到的安全事件按其對系統安全的危害程度等級進行重要性排隊,然后調閱安全專家知識庫,對事件進行基于規則的實時關聯分析,該模塊可引入大數據的歷史關聯分析能力,以提升關聯的可信度。最終將分析結果(關聯要素)和處理規則,提交安全事件響應模塊或管理員處理。
(9)安全事件響應模塊。按預先制定的安全事件處理規則(應急預案)對事件自動進行安全處置。
(10)系統配置模塊。對IDS/IPS、防火墻、內容監測、主機等安全系統設備或模塊進行安全和審計規則的配置。
(11)平臺與設備接口模塊。實現信息安全管理平臺與各類網絡安全產品之間的標準數據交換。其流程是:各類安全產品將各自檢測到的安全日志通過接口模塊進行格式轉換后發給平臺安全事件收集模塊,供安全管理平臺分析處理。平臺人機界面或安全事件響應模塊發出的處置指令,通過接口模塊發給指定的安全設備,安全設備接到指令后按相應安全策略執行;信息安全管理平臺能夠管理的系統和設備有:防火墻、IDS/IPS、內容監測、路由器、交換機、網絡主機。
(12)安全管理數據庫。安全管理數據庫是安全管理平臺運行的基礎資源,主要存放從本級和下級網絡采集來的所有安全數據(包括日志數據、設備狀態數據)、安全策略數據、安全專家知識、網絡拓撲連接關系、網絡中所有客戶機的詳細地址和安全管理平臺加工的各種報表數據等。
5.2 主要功能
(1)網絡安全管理。在各級安全管理平臺上動態顯示本級局域網當前網絡拓撲,根據策略,適時改變網絡拓撲結構。動態顯示網絡設備(路由器、交換機、服務器、終端)的在線狀態、參數配置,及時發現系統結構變化情況和非授權聯網的情況,并予以響應。
①自動識別網絡中主機的IP、機器名稱和MAC地址。
②按部門對設備(交換機、路由器)、主機和人員進行管理。
③通過系統提供的智能學習功能,自動識別網絡的物理拓撲結構。
④自動生成網絡拓撲圖(該網絡的真實物理聯接結構圖),并能動態顯示當前的網絡狀態,如圖2所示。
⑤動態顯示主機的當前狀態,如合法使用(如IP和MAC地址的配對,已登記注冊的合法主機)、非法使用(如IP和MAC地址隨意更改) 、關機、不通或故障、未登記主機的入網使用等。
⑥可以自動發現入侵的主機,并關閉其網絡連接端口。
⑦提供主機與設備端口的綁定。
⑧提供網絡邏輯圖(顯示設備之間的連接關系)、網絡拓撲圖(顯示整個網絡中所有設備、主機及其連接關系)和組織結構圖(顯示該單位的組織結構),可以方便地在三種不同的顯示方式之間切換,便于網絡安全管理員全面掌握和操控整個網絡;在網絡拓撲圖中可以拖動設備(交換機、路由器、集線器)改變其相對位置;進行文字和分組標注;改變設備與設備、設備與主機之間的連接關系;還可以由系統對所有設備、主機進行自動排列。
(2)網絡監控管理。安全管理平臺上的網絡安全管理與監控功能,可根據制定的安全策略,對受控主機進行安全控制。
①對受控機進行主機屏幕監視或控制(接管)功能。
②對受控機部分或全部文件進行訪問控制,即對文件的訪問,不僅要通過系統的認證,還必須通過網絡安全管理與監控系統的認證才能訪問。
③對受控機網絡訪問進行通斷控制。
④對受控機無線上網進行阻斷控制。
⑤對受控機的打印機、USB移動設備進行允許和阻斷控制。
⑥對受控機的進程進行監控,可以控制指定進程的加載。
⑦對受控機的internet訪問進行基于IP和DNS的詳細控制,提供Internet網絡監控。
(3)網絡安全設備管理。在各級安全管理平臺上,根據安全策略,對本級局域網設置的防火墻、IDS/IPS等進行參數配置,并適時監測安全設備的運行狀態,以便及時處理。
(4)策略執行管理。根據安全策略生成的安全規則,通過管理平臺向所有網絡系統中安全設備和主機用戶,實現對網絡設備、網絡客戶機、安全設備及主要應用系統進行控制的目的。
安全策略處理模塊功能有:對中層安全策略提供的形式化語言進行程序處理,輸出安全設備安全規則配置表;安全管理員通過安全管理平臺設備配置界面手工配置安全規則配置表;將安全規則配置表通過網絡發給安全設備并執行;安全管理平臺也可直接對網絡中的受控客戶機進行安全規則配置。
(5)審計管理。審計數據的獲取有四條渠道:各客戶機上的模塊發來的內網安全事件實時報警和安全日志信息;不同廠家安全產品(防火墻、IDS等)發來的安全事件報警和安全日志信息;下級安全管理平臺發來的安全日志和網絡探針發來的網絡數據流信息。緊急安全事件報警信息通過安全事件分析和響應模塊實時處理。 安全日志直接存入安全日志數據庫。網絡數據流存入盤陣中,供事后歷史數據關聯分析和部分實時處理。
在各級安全管理平臺上的審計管理包括:對本級局域網絡系統中的設備(包括 路由器、交換機、服務器、數據庫、客戶機)根據預先制定的審計規則產生的故障、訪問、配置、外設的報警信息和安全日志進行審計;對本級局域網絡安全防護設備(包括 防火墻、IDS/IPS)及主要應用系統等在運行中產生的安全日志,進行采集、分析;上級安全管理平臺有選擇的抽取下級的安全事件進行審計,對嚴重的安全事件及時督促下級采取相應措施及時整改;對本級局域網中的進出口數據流進行記錄和實時異常檢測。
審計內容涉及十個方面。
①對受控機文件按IP地址、操作時間、操作類型、操作內容、用戶名、機器名等進行審計。
②對受控機進行基于IP(源IP、目的IP)和DNS的internet訪問審計,審計內容為源IP、目的IP、訪問時間、協議、服務和訪問內容等。
③對受控機進行程序和服務的安裝與卸載進行審計,審計內容為IP地址、操作時間、操作類型、程序(服務)名、操作用戶名等。
④對受控機進行本地用戶登錄審計,審計內容為IP地址、登錄時間、退出時間、登錄用戶名等。
⑤對受控機的打印機使用進行審計,審計內容為IP地址、打印時間、打印機名稱、文檔名稱和用戶名等。
⑥對受控機的USB移動存儲設備使用進行審計,審計內容為IP地址、時間、外設名稱、狀態等。
⑦對受控機的盤符狀態進行審計,審計內容為IP地址、時間、盤符、狀態等。
⑧對受控機的進程狀況進行審計,即受控機使用程序的狀況。
⑨對IDS/IPS探測到的非法入侵事件進行審計。
⑩對網絡探針發來的數據流進行審計。
安全管理員可通過系統隨時調閱安全日志、網絡狀態以及網絡流量等信息,并進行統計查詢。這些信息是事后了解和判斷網絡安全事故的寶貴資料。
(6)網絡病毒監控管理。在各級安全管理平臺上,建立病毒集中管理監控機制,實現網絡病毒的監控與管理。防病毒系統應包括單機版、網絡版和防病毒網關,在信息安全管理平臺上對本級網絡節點的防病毒運行情況進行監控,如防病毒庫、掃描引擎更新日期、系統配置等。具體實現:確保防病毒策略統一部署,統一實施,保證防病毒體系執行相同的安全策略,防止出現病毒安全防御中的漏洞;保證系統管理員了解整體防病毒體系的工作狀態,從整體防控的高度掌握病毒入侵的情況,從而采取必要的措施,及時提供新的防病毒升級庫;通過信息安全管理平臺提供的信息,與防病毒廠商保持熱線聯系與技術支持。
(7)應用系統監測。信息安全建設的一個重要內容是確保網上關鍵業務的可靠性、可信性、可用性。因此,對網上關健業務的監測記錄非常重要,主要體現在四個方面:監測記錄關鍵業務系統在網絡中會話過程,可以幫助分析有無非法插入、偽裝的業務會話;阻止偽裝的業務會話與關鍵業務交互,確保業務流程的可信性;監測分析關鍵業務會話過程的響應與交互時間,找出影響關鍵業務系統網上運行效率的問題,確保業務流程的可用性;應用系統的監測主要通過內容監測系統和網絡探頭實現。
(8)安全事件處理。信息安全管理平臺上收到IDS/IPS、防火墻和網絡受控主機發來的安全事件時,將其打入事件隊列。事件隊列依據等級排隊后,則交給安全事件關聯分析模塊,使用專家知識或決策分析算法對事件進行關聯分析并按預案和規則給出處置策略,然后交給安全事件響應模塊進行自動化智能處理或交給安全管理員處理。
6 系統應用模型
(1)分布式多層次的管理結構。由于大多數網絡是一個多層次的樹狀網絡系統,結構復雜、分布范圍寬、網絡客戶機多,所以應按照分布式多層次的管理結構進行安全管理,如圖3所示,某單位網絡假設三級網絡安全管理中心,每個中心設一臺安全管理平臺,遂行本級網絡的安全管理。上級管理中心通過安全管理平臺將必要的安全策略,標準和協議信息下傳給下級管理中心。上級管理中心也可通過安全管理平臺獲取下級管理中心的審計信息。如上級的安全管理平臺通過網絡可調看下級的網絡拓撲和安全事件處置報告,掌握下級的網絡安全狀況。
(2)各級安全管理中心的數據傳輸模式。安全管理中心的安全數據上傳和下達采用C/S模式,一般由上級管理中心提出申請,下級管理中心回應。因為就計算機網絡的安全防護系統實際運行狀況來看,總是要求下級管理中心上報的數據多于上級管理中心向下傳達的數據。為了保證數據傳輸的實時準確,以上級管理中心為Server,下級管理中心為Client。下級管理中心是多對一的數據交流模式。對于上級管理中心下傳數據,采取下級管理中心的數據庫按時輪訊的方式實現。
當安全管理中心多于兩級時,數據傳輸模式如圖4所示。
(3)安全數據交換的一致性保證。為保證安全管理中心之間數據交換的一致性,采用事務提交與時間標簽相結合的方式來實現。安全數據的事務提交:由于上下級之間是跨區域的遠程傳輸,為保證數據的完整性,采用數據的事務提交方式來處理,每一次傳輸的數據將是一個整體事件的所有數據,這樣就能保證數據的完整性。反之,則必須重傳。為了處理重傳同步和上下級之間的一致性,我們為每一個事務加一個時間標簽,即每次傳輸完一個事務的所有數據時同時加傳一個時間標簽記錄。這個記錄至少應有如下幾項:日期時間、事務名、該事務的記錄數。
收方當收到這個時間標簽后, 則表明一個事務的數據傳輸結束,則可以更新數據,同時將此時間標簽保存下來,并回發一個確認包。發送方如收到這個包,則認為上級中心已更新了這個事務的數據,就從時間標簽隊列里清除掉這個時間標簽。
上述過程已完整地表述了異地數據一致性分布的實現方法,如圖5所示。
7 系統安全管理流程
信息安全管理平臺的安全管理貫穿整個信息系統運行過程,包括事前、事中、事后等過程。
(1)信息系統運行前。安全管理平臺對信息系統的安全管理,從實施前的安全策略的制定、風險評估分析、系統安全加固以及對實施人員進行安全訓練就已經開始,保證在已有的安全防護體系條件下對系統存在的安全隱患和將實施的安全策略心中有數。
(2)信息系統運行中。在系統運行過程中,對網絡中的各種主機、安全設備實施全程安全監控,安全運行日志同時進行詳細的記錄,在系統發生安全事件時,根據事件等級進行排隊,安全管理平臺實時調用相應的事件處理機制。事件的處理機制見事件處理流程如圖6所示。
(3)信息系統運行后。定期組織進行安全自查,消除安全隱患。通過分析系統運行的狀況(包括性能分析、日志跟蹤、故障出現概率統計等),提出新的安全需求,進行技術改進,包括系統升級、加固和變更管理。
(4)安全事件管理方式和處理流程。
自動處理: 將預案中的安全事件及其處理辦法(如系統弱點漏洞、惡意攻擊特征、病毒感染特征、網絡故障和違規操作、防火墻與IDS聯動、沙箱模擬運行等)存入安全知識庫并形成相應的處理規則,當相應事件出現時,系統將根據處理規則進行自動處理。
人工干預處理:根據情況的需要,也可在信息安全管理平臺上按事件級別進行人工干預處理,主要包括技術咨詢、數據恢復、系統恢復、系統加固、現場問題處理、跟蹤攻擊源、處理報告提交等。
遠程處理:當安全管理員從管理平臺的拓撲圖上觀察到安全事件發生時或收到下級轉交的要求協助解決的安全事件時,除了直接提供處理方案給對方外,還可以通過遠程操作直接對發生安全事件的系統進行診斷和處理。
決策分析處理:決策分析模塊預先收集、整理安全事件的資料,組織安全專家根據事件類型、出現事件的設備、事件發生的頻繁度、事件的危害程度等因素列出等級、層次并打分,列出判斷矩陣,運用層次分析法求解判斷矩陣,分別計算出各因素的權重值,一并存入專家知識庫中。運行時將調用專家知識庫對實時收到的系統安全事件進行判斷和計算,如果是單條事件根據預案直接處置,多條事件則求出組合權重值并對事件排隊,系統根據事件重要程度依據預案依次處置。
安全系統聯動處理:安全事件響應模塊根據安全事件關聯分析模塊發來的安全事件關聯要素調用應急預案庫進行安全設備聯動處理,如收到IDS檢測到某協議某端口有DDOS攻擊,依據預案將發送安全規則給總出口的防火墻,及時關閉該協議和端口。以實現一體化安全管理。
記錄和事后處理:信息安全管理平臺在信息系統運行時收集并記錄所有的安全事件和報警信息,這些事件和信息將作為事后分析的依據。
8 關鍵技術及設計思路
一個系統是否先進和實用,關鍵是系統的設計思想和所應用的技術。為了使下一代信息安全管理平臺具有創新性,我們提出了“應用大數據挖掘及分析技術”和“重點防御AET和APT”的設計思想,并且應用了多方面的先進技術。
在本系統中,采用了幾項技術:形式化語言翻譯技術;安全產品數據交換標準;安全事件決策分析技術;高性能數據采集器;安全事件的關聯分析;大數據挖掘分析;AET和APT檢測技術。
(1)安全產品數據交換標準。為市場上的安全產品(如防火墻、IDS/IPS、漏洞掃描、安全審計和防病毒產品等)制定數據交換標準。為此,所有安全產品都必須清楚地描述幾方面內容(BNF描述法):
::=
::=||
::=|
::=||||
::=||||
::=||||
::=||||
(2)高性能數據采集器。高性能數據采集器也叫探針,是信息內容監測系統和大數據安全分析的前端設備,該設備性能的好壞直接影響系統的功能和性能。如法國GN Fastnet C Probe硬件設備,該設備的特點是:直接嵌入需要監測的網絡;不損失網絡性能與效率,能夠適應多種網絡環境,能夠采集多種協議下的數據流信息;全線速采集數據100M
利用該設備作為信息內容監測系統和大數據安全分析的數據采集設備,能夠適應多種類型的網絡接口:局域網、企業網、廣域網、快速以太網等,它的高性能的數據采集能力,極大地降低了系統數據采集的漏包率。
(3)安全事件的關聯分析。對包含安全事件的數據流進行分析,如果是結構化數據可在基于經驗知識,人工建立的規則和模型基礎上,進行簡單的關聯:安全事件與用戶身份的關聯分析實現安全事件到“人”的定位;安全事件與系統脆弱性信息的關聯分析實現安全事件危害程度的正確評估;安全事件與威脅源關聯分析提高評估安全事件的級別和緊急程度的可信度;多個安全事件的關聯分析,聚焦安全事件的連鎖危害,提升安全事件的嚴重級別和緊急程度;泄密安全事件與身份信息的關聯實現泄密源的真正定位;安全事件自身關聯實現安全事件活動場景的全展現;安全事件與流量樣本數據關聯分析,判斷安全事件的性質(是否AET或APT攻擊)。
(4)大數據挖掘和分析。目前的大數據分析主要有兩條技術路線,一是憑借先驗知識人工建立數學模型,二是通過建立人工智能系統,使用大量樣本數據進行訓練,讓機器代替人工獲得從數據中提取知識的能力。
由于AET和APT攻擊的數據包大部是非結構化或半結構化數據,模式不明且多變,因此難以靠人工建立數據模型去挖掘其特征,只能通過人工智能和機器學習技術進行分析判斷。
應用大數據挖掘和分析新型網絡攻擊的思路:通過大數據解決方案將相關歷史數據(攻擊流量)保存下來,通過人工智能軟件來分析這些樣本并提取相應的知識,將疑似AET和APT攻擊的異常樣本知識存入專家知識庫。
大數據挖掘和分析在平臺中主要用于分析與檢測:流量異常分析,行為異常分析,內容異常分析,日志與網絡數據流的關聯分析,威脅與脆弱性的關聯分析,基于正常的安全基線模型檢測異常事件。
(5)AET和APT檢測判斷技術。未知威脅最典型也是最難檢測的屬AET和APT,所以新一代信息安全管理平臺中的IDS/IPS和防火墻必須包括不斷更新的AET庫,專家知識庫中應包括APT攻擊樣本知識,因為AET和APT用傳統的威脅攻擊特征庫根本無法比對發現。AET主要通過先進的AET知識庫進行合規性判別,其核心的先進檢測技術主要包括“對全協議層數據流進行解碼和規范化”,“基于規范化的逃避技術清除”,“基于應用層數據流的特征檢測” 。
APT可以通過多種手段進行分析檢測:收集來自IT系統的各種信息,如圖8所示。
基于流量統計的檢測。記錄關鍵節點的正常網絡通信數據包樣本,以樣本特征檢測為輔異常檢測為主,通過異常檢測發現未知的入侵。
沙盒分析與入侵指標確認。將疑似APT數據包組裝好,放入沙盒(緩存)中模擬運行(引爆)并與入侵指標(活動進程、操作行為、注冊表項等)比對加以驗證。
9 安全管理數據庫系統的設計
(1)數據組織與分類。根據信息安全管理平臺的需求,安全管理數據庫系統的數據內容包括:管理信息、網管信息、安全審計、專家知識四類十余種數據格式。安全管理數據庫系統,是以四類數據為處理對象,實現對信息安全管理平臺數據的積累、存貯管理、更新、查詢及處理功能的數據庫應用系統。經過數據庫設計,安全管理數據庫系統的四類十余種數據格式,規范分解為包括10余種關系結構的關系模型,在此基礎上可根據用戶應用要求設計多種格式的審計報表。
(2)數據庫結構框圖。通過上述信息安全管理平臺的設計思路簡介,可以大致了解新一代信息安全管理平臺的工作過程和在網絡安全管理上發揮的作用,我們希望早日看到擁有自主知識產權的國產信息安全管理平臺在我國重要信息系統的網絡安全管理上發揮重要的作用。
【注1】 AET(Advanced Evasion Techniques),有的文章譯為高級逃避技術、高級逃逸技術,筆者認為譯為高級隱遁技術比較貼切,即說明采用這種技術的攻擊不留痕跡,又可躲避IDS、IPS的檢測和阻攔。
【注2】 APT(Advanced Persistent Threat)直譯為高級持續性威脅。這種威脅的特點,一是具有極強的隱蔽能力和很強的針對性;二是一種長期而復雜的威脅方式。它通常使用特種攻擊技術(包括高級隱遁技術)對目標進行長期的、不定期的探測(攻擊)。
參考文獻
[1] 信息安全管理平臺的設計[J].計算機安全,2003年第12期.
[2] CNGate 下一代高智能入侵防御系統.北京科能騰達信息技術有限公司,2012年8月.
[3] 高級隱遁技術對當前信息安全防護提出的嚴峻挑戰[J].計算機安全,2012年第12期.
[4] 高級隱遁攻擊的技術特點研究[J].計算機安全,2013年第3期.
[5] 星云多維度威脅預警系統V2.0.南京翰海源信息技術有限公司,2013年12月.
[6] 我國防護特種網絡攻擊技術現狀[J].信息安全與技術,2014年第5期.
[7] 大數據白皮書2014年.工業和信息化部電信研究院,2014年5月.
[8] 提高對新型網絡攻擊危害性的認識 增強我國自主安全檢測和防護能力[J].信息安全與技術,2014年第10期.
[9] CNGate-SIEM 安全信息事件管理平臺.北京科能騰達信息技術有限公司,2015年6月.
(沈陽大學經濟學院,遼寧沈陽110041)
摘 要:地方財政收入質量的評價的核心問題是指標評價體系的構建,這個體系應包括合法性指標、合理性指標和真實性指標三個部分,運用這些指標對沈陽的財政收入評價的結果對遼寧乃至全國的財政收入質量情況分析都有一定的意義。沈陽財政收入存在著總量、構成及執法方式不合理等情況,應采取加強地方財源建設,適當減輕工商企業的稅費,預防和化解地方財政風險,減少稅收執法中的隨意性,打擊財政收入“注水”現象等措施。
關鍵詞 :地方財政收入質量;評價指標;構建;運用
中圖分類號:F812文獻標志碼:A文章編號:1000-8772(2014)22-0103-02
收稿日期:2014-05-19
基金項目:論文為2014年度遼寧省社科聯遼寧經濟社會發展立項課題“地方財政收入質量評價指標體系的構建及優化研究——以遼寧為例”(主持人沈陽大學李忠華,項目批號2014lslktzilljj-02)”的系列階段性成果(1)。
作者簡介:李忠華(1965-),男,吉林九臺人,教授,碩士生導師,研究方向:稅收理論與實務;霍奕彤(1988-),女,吉林吉林人,在讀研究生,研究方向:稅收理論與實務。
所謂的財政收入質量是指財政收入的合法性、合理性和真實性,以及財政職能在組織收入中實現的程度。有關地方財政收入質量評問題的研究成果很多,但對于能夠指導實踐的仍顯不足,應研究構建全新的地方財政收入質量的評價指標評價體系,以供實際部門使用。本文從合法性、合理性和真實性三個方面構建這個指標體系,并以沈陽為例進行分析評價,最后提出相應的建議。
一、地方財政收入質量評價的必要性
(一)財政收入的質量是政府管理和服務質量的保證
合法性收入下的生活才是高質量的。近年來,我省經濟運行態勢良好,收入質量不斷改善。這與我省一直堅持依法治稅、嚴格征管、應收盡收有著密切的聯系,從而確保了財政收入的平穩增長。具體體現在兩具方面:一是積極培植財源,促進稅收收入平穩較快增長。二是強化非稅收入管理,提高財政收入質量。繼續加大對收費項目的清理整頓力度,取消不合法的行政事業性收費項目,嚴禁違規越權設立收費項目。
(二)財政收入的取得方式影響著經濟社會發展
近些年來,地方政府的非稅收入增加較多,并快于稅收的增加,使得地方財政收入與地方可用財力不同步。因為非稅收入大都在財政上列收列支,有專項用途,真正體現在地方政府財力上用于正常支出的部分并不多。由此造成地方財政收入的增長并未帶來地方實際可用財力的同步增長。這種看起來很可觀的地方財政收入的“量”,由于沒有較好的“質”,并沒有使地方財政困難狀態得以改善。許多地方的收費收入快速增長,甚至出現了收費收入增長超過稅收收入增長的不正常現象。收費收入的過度擴張嚴重地抑制了稅收收入的正常增長。
(三)政府取得財政收入的執法行為具有導向效應
政府行為對私人具有導向效應。主要是通過稅收,稅收是對居民收入分配之后的再分配,比如企業和個人的所得稅,就是在個人勞動所得和企業經營利潤分配的基礎上,在進行一次由政府參與并主導的分配。政府的稅收收的多,個人或企業實際收入就少,反之亦然,從而對國民收入有影響。另外政策導向性的分配,比如對一些鼓勵的行業給予財政補貼或者稅收優惠,而對于限制性的則征收高稅率,收取相關行政性費用等。
二、地方財政收入質量評價指標體系的構建
就地方財政收入質量評價體系指標而言,目標不同,指標也會有一些差別,但總體而言應從合法性、合理性、真實性三個維度來構建這個指標體系。具體包括:一是合法性分析。如有無“收過頭稅”、“有稅下征”、“寅吃卯糧”、“應退不退”、“應減不減”等。二是合理性分析。包括規模分析(財政收入總量)構成分析(如財政收入占GDP比重、稅收占財政收入的比例、主稅收入占稅收收入的比例等)趨勢分析(如稅收增長率、財政收入增長率、財政收入增長彈性等)效果分析(如稅收收入產業比率、稅收收入行業比率等)等指標。三是真實性分析:如有無財政“空轉”和“買稅”等。
這些指標在本文中分析運用是以遼寧省沈陽市2011年的數據為基礎,進行分析評價,以便發現存在的問題,并提出相應的建議。
三、地方財政收入質量評價指標的運用——以沈陽市為例
(一)總量分析及趨勢分析
依據沈陽市統計局2011年12月《沈陽統計月報》的數據,2011年沈陽市地方稅收約占稅收總收入40%,稅收約占財政總收入85%,所以,沈陽財政負擔率約為24%(8.2%÷40%÷85%)左右,較比同期副省級城市沈陽偏高。大部分地區稅收彈性都超過了2,大東區更是11,平均稅收彈性2.1,這個比例在副省級城市中相對偏高。
(二)稅收收入構成比例分析
依據沈陽市地稅局2011年《稅收收入分行業分稅種統計月報總表》的情況看,2011年沈陽市大部分地區非稅收入比例都超過20%,全市24.2%,這個比例較比同期副省級城市相對偏高。
(三)稅收產業構成比例分析
還是依據沈陽市地稅局2011年《稅收收入分行業分稅種統計月報總表》的情況看,2011年沈陽市大部分地區“房地產+建筑業”稅收占比都超過40%,有的區如于洪、東陵達到60%以上,地方稅收過于依賴房地產及相關產業。
(四)第三產業稅負增長情況分析
依據遼寧省地方稅務統計,遼寧省地方稅務局,2007-2010年的統計數據分析,2011年沈陽市第三產業稅收增長有限,特別是代表第三產業方向的現代服務業稅收所占比重沒有明顯提升,交通運輸、金融和現代信息略有下降,租憑和現代商業略有上升。
(五)行業稅負情況分析
2011年,沈陽市裝備制造業中的電氣機械及器材制造業、儀器儀表及文化辦公用機械制造業、金屬制品業、交通運輸設備制造業、專業設備制造業五個行業工業增加值分別為1.19%、2.18%、12.56%、14.82%、13.57%,稅收增長率分別為12.84%、18.75%、69.62%、58.43%、24.83%,稅收彈性分別為10.80、8.59、5.54、3.94、1.83,而全國裝備制造業行業平均工業產值增長率、稅收增長率、稅收彈性分別為12.47%、36.27%、2.91。
四、結論及建議
(一)加強地方財源建設是提高地方財政收入質量之本
2012年,中央財政收入占總收入比重47%。而在事權下移的情況下地方財政捉襟見肘,網民有“中央財政喜氣洋洋,省市財政勉勉強強,縣級財政拆東墻補西墻,鄉鎮財政哭爹喊娘”的順口溜。應加強地方財源建設。減少對非稅收入和土地財政的過度依賴。
(二)“輕徭薄賦,休養生息”是提高地方財政收入質量之源
在古代,我國有“輕徭薄賦,休養生息”之說,西方經濟學中著名的拉弗曲線,演示著稅收與經濟良性發展的關系。012年,我國財政收入占GDP比重22.57%,如果加上政府預算外收入、體制外收入,許多人估計30%左右,而發展中國家平均20%-25%。所以,應適當降低財政收入占GDP比重。
(三)預防和化解地方財政風險是提高地方財政收入質量的重要措施
2012年,我國地方本級收入61077億元,地方本級財政支出106947億元,收支差額為45870億元。另據來自審計暑的資料,9個省會城市本級政府負有償還責任的債務率已超過100%,最高達189%。省會城市中債務壓力排名最高的10個為:高京、成都、廣州、合肥、昆明、長沙、武漢、哈爾濱、西安和蘭州。所以應采取措施,加強地方財政風險的監督與控制。
(四)規范執法,減少執法隨意性是提高地方財政收入質量的必然選擇
賦稅,以法律法規做依據。實際中仍存在多種不依法征稅情形。包括征過頭稅、寅吃卯糧、應退不退,應優惠不優惠等。如焦點訪談報的四川某地向當地農民強征房產稅。河北河間稅務所按納稅人電費強征稅(每度電征0.9元),稅款可直接存在個人銀行卡。山東某地稅務機關直接將稅收任務轉包納稅務師事務所等。尤其對基層稅務機關一些不依法、超標準隨意征收,吃、拿、卡、要的現象應采取強有力的措施進行治理,以源頭預防為主,防管結合。
參考文獻:
[1]申益維.遼寧省財政收入結構優化研究[D].遼寧大學,2013:23-28.
[2]彎海川.地方財政收入優化與區域經濟發展[M].東北財經大學出版社,2011:235—240.
[3]遼寧省地方稅務局,遼寧省地方稅務統計,2007-2010年.
