引論：我們?yōu)槟砹?3篇大數(shù)據(jù)審計論文范文，供您借鑒以豐富您的創(chuàng)作。它們是您寫作時的寶貴資源，期望它們能夠激發(fā)您的創(chuàng)作靈感，讓您的文章更具深度。

篇1

英國NFI通過大數(shù)據(jù)分析，不僅發(fā)現(xiàn)個案問題，還對同類問題的產(chǎn)生原因進(jìn)行分析，促使相關(guān)部門和單位完善制度，堵塞漏洞，提高公共資金的使用效率和效益。近年來，隨著我國財經(jīng)制度的不斷完善和加強(qiáng)，違反財經(jīng)紀(jì)律、違法違規(guī)的問題得到了很大遏制，國家審計在繼續(xù)查處違法違規(guī)性問題的同時，也十分注重對公共財政資金使用績效進(jìn)行審計。通過大數(shù)據(jù)集中分析平臺的關(guān)聯(lián)分析查詢，能夠從整體層面高效、便捷地發(fā)現(xiàn)諸如公共財政資金滯留的具體環(huán)節(jié)、時間；發(fā)現(xiàn)公共財政資金投向不符合產(chǎn)業(yè)政策導(dǎo)向；發(fā)現(xiàn)財政專項(xiàng)資金分配在地區(qū)和部門間存在的不均衡、不合理；發(fā)現(xiàn)財政投入的建設(shè)項(xiàng)目存在的進(jìn)度滯后、效益與預(yù)期不符等問題。大數(shù)據(jù)提供的證據(jù)與審計抽查相比，能夠更加全面、客觀地反映某項(xiàng)公共財政資金產(chǎn)生的整體效果和存在問題。在此基礎(chǔ)上提出的審計意見和建議，更加充分、準(zhǔn)確和有針對性，更能促使相關(guān)部門和單位完善制度、落實(shí)責(zé)任、加強(qiáng)管理，更好地實(shí)現(xiàn)公共財政資金的價值。

三、如何構(gòu)建審計大數(shù)據(jù)平臺

1.通過立法為建立審計大數(shù)據(jù)集中分析平臺奠定基石。英國NFI的數(shù)據(jù)收集和分析工作是依據(jù)2008年7月21日修訂的數(shù)據(jù)配比法案進(jìn)行的，法律授權(quán)使英國審計委員會將數(shù)據(jù)收集、整理、分析等工作成為常態(tài)，這是審計開展大數(shù)據(jù)分析的基石。目前，我國審計法授予了審計機(jī)關(guān)在審計期間獲取被審計單位數(shù)據(jù)的權(quán)力，但是審計項(xiàng)目是單個開展的，各被審計單位之間的數(shù)據(jù)不能完全地相互關(guān)聯(lián)，形成了一個個數(shù)據(jù)孤島；并且，審計項(xiàng)目一結(jié)束，被審計單位就不愿意繼續(xù)向?qū)徲嫏C(jī)關(guān)提供數(shù)據(jù)，難以對被審計單位進(jìn)行持續(xù)的審計監(jiān)督。借鑒英國的經(jīng)驗(yàn)，我國應(yīng)當(dāng)從法律層面明確屬于國家審計范圍的政府部門、企事業(yè)單位、公共機(jī)構(gòu)，以及使用公共財政資金的企業(yè)、單位等應(yīng)當(dāng)定期向?qū)徲嫏C(jī)關(guān)提供電子數(shù)據(jù)，為國家審計進(jìn)行大數(shù)據(jù)分析創(chuàng)造條件，從根本上解決目前存在的數(shù)據(jù)收集難、不完整、時效性差等問題，將一個個數(shù)據(jù)“孤島”連接起來，在此基礎(chǔ)上進(jìn)行深入的關(guān)聯(lián)、對比和分析，真正發(fā)揮信息時代大數(shù)據(jù)的強(qiáng)大作用。

篇2

[ 3 ] 黃鼎城，郭增艷.科學(xué)數(shù)據(jù)共享管理研究[M]北京：中國科學(xué)技術(shù)出版社，2002：36.

[ 4 ] 黃鼎城，郭增艷.科學(xué)數(shù)據(jù)共享管理研究[M]北京：中國科學(xué)技術(shù)出版社，2002：130-140.

[ 5 ] 歐盟委員會副主席Neelie Kroes：希望每個歐洲人都

參與數(shù)字化[EB/OL].[2013-10-11].http：//.cn/5f00653e83b753d652a86001/20125e74/46708/6b2776df59d454584f1a526f4e3b5e2dneelie-kroes-5e0c671b6bcf4e2a6b276d324eba90fd53c24e0e-65705b575316.

[ 6 ] 劉潤達(dá)，趙輝，李大玲. 科學(xué)數(shù)據(jù)共享平臺之?dāng)?shù)據(jù)聯(lián)盟模式初探[J].中國基礎(chǔ)科學(xué)，2010（6）：27-32.

[ 7 ] 地震科學(xué)數(shù)據(jù)共享管理辦法[EB/OL].[2013-10-11].http：///policy/gxbf.htm.

[ 8 ] 浙江建成全國首家省級地理空間數(shù)據(jù)平臺[EB/OL].[2013-10-11].http：//.cn/html/2013-02/22/content_21927.htm.

篇3

1基于Spark大數(shù)據(jù)平臺日志審計系統(tǒng)架構(gòu)設(shè)計

1.1系統(tǒng)設(shè)計目標(biāo)和原則

本課題中日志審計系統(tǒng)通過對雜志收集監(jiān)測設(shè)備采集模塊，并且日志記錄用戶訪問記錄，系統(tǒng)運(yùn)行日志以及整個系統(tǒng)運(yùn)行狀態(tài)信息。這里實(shí)現(xiàn)的是基于火花大數(shù)據(jù)平臺日志審計系統(tǒng)的設(shè)計目標(biāo)和原則主要表現(xiàn)在傳統(tǒng)日志審計系統(tǒng)的基本功能和依賴大數(shù)據(jù)技術(shù)為整個擴(kuò)展傳統(tǒng)的日志審計系統(tǒng)。這里我們知道日志信息收集后解析XML日志將大量的數(shù)據(jù)和格式變量復(fù)雜源日志信息標(biāo)準(zhǔn)化偽日志信息的規(guī)范，一般來說在合并后單位時間函數(shù)在同一IP和報警分析等處理，同時這個日志集中管理存儲在我們的一個存儲系統(tǒng)中，能夠有比較豐富的日志數(shù)據(jù)，實(shí)現(xiàn)我們的一整個全面的IT環(huán)境的審計日志。

本文探究的集中管理平臺，能夠較好地提供視圖顯示和操作更為方便的實(shí)現(xiàn)原理。通常來說對于集中管理平臺通過圖表清晰直觀地顯示實(shí)時分析的結(jié)果分析模塊。我們能夠?qū)@份報告總結(jié)了歷史時期的安全狀況。同時，具體來說集中管理平臺提供的管理系統(tǒng)，如日志收集管理或者是我們的安全管理，還有整個用戶管理等等，在利用維持整個系統(tǒng)的管理功能。一般來說在對大數(shù)據(jù)技術(shù)來完成一些基本的日志審計系統(tǒng)的這樣一個要求。并且在對我們的日志進(jìn)行一個采集系統(tǒng)來取代傳統(tǒng)的模塊。一般來說我們的日志采集系統(tǒng)高可用性、同時還有比較好的一個可伸縮性和可以接受各種優(yōu)秀的源格式；使用大數(shù)據(jù)平臺的分析引擎日志審計系統(tǒng)，能夠完成我們的這個上游的日志收集日志信息標(biāo)準(zhǔn)化。

1.2系統(tǒng)技術(shù)架構(gòu)設(shè)計

本課題中我們知道對于審計系統(tǒng)，一般來說關(guān)鍵就是探究由大數(shù)據(jù)平臺，同時集中管理平臺，作為一個Mysql服務(wù)器主機(jī)。具體來看大數(shù)據(jù)平臺上運(yùn)行的一組服務(wù)器。另外在利用我們的大數(shù)據(jù)平臺上運(yùn)行的服務(wù)器日志信息標(biāo)準(zhǔn)化以及完成我們的分析，同時能夠?qū)⒄麄€結(jié)果存儲在數(shù)據(jù)庫中。通常來看我們數(shù)據(jù)庫只保留一天的日志信息，同時這些所有的日志信息存儲在分布式文件系統(tǒng)的大數(shù)據(jù)平臺。其中一些數(shù)據(jù)在數(shù)據(jù)庫中為方便安全管理人員查詢?nèi)罩拘畔ⅲ⑶椅覀兊倪@個報告信息和設(shè)置。具體來看我們大數(shù)據(jù)平臺本身包含了分布式文件系統(tǒng)可以用作持久性存儲。倘若我們在這個查詢太古代歷史日志信息或者需要探索分析報告圖表的信息，一般來說也是需要完成的Spark大數(shù)據(jù)平臺。

安全管理審計系統(tǒng)通過個人電腦連接，通常看看當(dāng)前操作系統(tǒng)的日志信息，分析，同時還有具體報告只需要查詢的數(shù)據(jù)可以保存在一個Mysql數(shù)據(jù)庫。通常來說這樣不僅有利于保護(hù)數(shù)據(jù)持久性，同時已經(jīng)被證明是更長一段時間所有的數(shù)據(jù)挖掘，并防止頻繁的影響信息查詢?nèi)罩痉治龅拇髷?shù)據(jù)平臺。并且我們在集中管理平臺提供了一個WEB服務(wù)，能夠利用我們的網(wǎng)絡(luò)查詢系統(tǒng)分析結(jié)果，最后完成整個的操作和管理系統(tǒng)等基本信息。

2系統(tǒng)功能架構(gòu)

2.1 系統(tǒng)功能組成

2.1.1日志采集

本課題探究的基于Spark大數(shù)據(jù)平臺日志收集日志審計系統(tǒng)關(guān)鍵就在于這個可伸縮性和可用性。同時因?yàn)槲覀僆T的現(xiàn)實(shí)工作環(huán)境會改變的可能性，并且一般來說不是改變更復(fù)雜的也可能是流線型的，通常來說這個具體日志收集應(yīng)該根據(jù)實(shí)際監(jiān)測網(wǎng)絡(luò)的大小，從而來以確保你占用物理資源的大小，同時利用具體增加的方便和靈活的采集能力或釋放多余的資源。一般來看我們的日志標(biāo)準(zhǔn)化基于標(biāo)準(zhǔn)化規(guī)范匹配所有的日志文件和日志信息是唯一可識別的格式。另外整個的日志標(biāo)準(zhǔn)化后的分析工作的前提下，僅僅是在實(shí)現(xiàn)了所有的標(biāo)準(zhǔn)化可以有效分析日志的日志格式。通常來說我們的可用性是反映在日志收集能夠接收各種各樣的方式，而不是說處理現(xiàn)在常見的發(fā)展云計算的企業(yè)環(huán)境。收購后的日志需要標(biāo)準(zhǔn)化日志。

2.1.2集中管理平臺

集中管理平臺提供了一個有效的訪問接口，也就是說被視為視覺層，這里也得到了最后的整個分析結(jié)果。通常來說我們的安全管理員是能夠?qū)崿F(xiàn)審計日志的基本信息查詢，同時還可以完成我們的查詢統(tǒng)計查詢等功能。另外，我們是可以利用整個基本的配置，來完成終端管理，完成整個系統(tǒng)的某些配置信息的管理。

2.1.3日志分析

日志分析是在大數(shù)據(jù)平臺上來實(shí)現(xiàn)的。通常來說我們的這個日志分析主要有三種方法的分析：第一部分，也就是一個具體日志信息信息匹配分析；其次，我們的這個單位時間日志頻率分析；第三，有關(guān)于多個日志的這樣一個關(guān)聯(lián)分析。

3集中管理平臺

集中管理平臺作為日志審計系統(tǒng)的外部接口，課題中是對本身需要的安全保證。一般來說，我們的這個集中管理平臺安全部分作為一個關(guān)鍵在這一節(jié)中描述。使每個角色，從而能夠更好確保其業(yè)務(wù)案例系統(tǒng)中最小權(quán)限的功能。另外課題系統(tǒng)分別建立了三個角色，分別是這個安全管理員還有我們的審計管理員，以及我們的系統(tǒng)管理員。一般來看，對于這個傳統(tǒng)的雙因素登錄作為保證，能夠較好集中管理平臺使用SparkSecurity安全框架，以確保他們的安全。而且還能較好根據(jù)三權(quán)分立的思想設(shè)計的不同的角色不同的權(quán)限。并且我們的系統(tǒng)管理員負(fù)責(zé)系統(tǒng)配置相關(guān)業(yè)務(wù)，審計經(jīng)理負(fù)責(zé)審計系統(tǒng)操作日志用戶的內(nèi)部審計制度。

本課題中探究了集中管理平臺系統(tǒng)中非常關(guān)鍵的這樣一個作用，并且我們的集中管理平臺負(fù)責(zé)顯示整個系統(tǒng)的運(yùn)行結(jié)果，通常情況下配置管理系統(tǒng)，同時在與其他功能，并且可以再具體外部系統(tǒng)的性能。一般來說集中管理平臺的主要部分資產(chǎn)管理、用戶管理、規(guī)則、管理、安全中心，日志語句。報道的集合可以配置配置文件，檢查報告已經(jīng)操作日志。通常具體在安全中心是環(huán)境安全審計結(jié)果的監(jiān)測系統(tǒng)的總體性能，并實(shí)時審計結(jié)果顯示日志審計系統(tǒng)。一般情況下，對于管理這些資產(chǎn)可以輸入或刪除日志審計系統(tǒng)來管理資產(chǎn)信息，同時具體的資產(chǎn)配置日志文件標(biāo)準(zhǔn)化；以及在我們用戶管理的操作用戶管理平臺，同時還需要能夠保證平臺的安全；一組規(guī)則，課題中對于規(guī)則管理是一個管理系統(tǒng)；同時多模塊用于實(shí)現(xiàn)Spring框架，Spring框架是其中一個最流行的Web框架，；另外具體相關(guān)論文不再是一些信息，因此我們這里不將集中管理平臺的實(shí)現(xiàn)模塊被描述為主要內(nèi)容之一。

后設(shè)置不同角色的權(quán)限需要限制用戶的這樣一個集中管理平臺能夠訪問的內(nèi)容是不同的，同時還不可以完成這個訪問超出他們能力的內(nèi)容，一般來說是使用直接訪問URL。同時還有里利用這個Springsecurity框架，以確保我們的這個授權(quán)。通常情況下我們的Springsecurity除了授權(quán)和身份驗(yàn)證功能，主要就是我們的這個身份驗(yàn)證是識別用戶和角色信息。能夠較好地完成整個訪問控制也可以稱為資源訪問控制，并且還可以較為直觀是控制的表達(dá)一個URL訪問請求權(quán)限。Springsecurity當(dāng)一個URL請求許可的URL和用戶身份驗(yàn)證的作用之下，倘若說能夠較好符合要求離開，另外如果不符合攔截請求。通常情況下Springsecurity身份驗(yàn)證和訪問控制需要通過XML配置信息。另外在這個身份驗(yàn)證是指用戶身份認(rèn)證，具體是驗(yàn)證用戶登錄時的用戶名和密碼，驗(yàn)證后的用戶名、密碼，角色和狀態(tài)的信息，如認(rèn)證信息，用戶會話的認(rèn)證信息已經(jīng)被Sparksecurity保存存在。挺且我們的使用者在進(jìn)行這個身份驗(yàn)證、會話管理，除了登錄可用于訪問控制。

訪問控制的主要功能和主要步驟有：Springsecurity負(fù)荷數(shù)據(jù)庫中的數(shù)據(jù)資源，一般來看是相應(yīng)的資源數(shù)據(jù)和角色關(guān)系，同時這里的這個具體操作在以下loadResourceDefine（）原來來達(dá)到目的，通常情況下我們的系統(tǒng)第一次運(yùn)行時調(diào)用這個方法需要URL和角色的鍵-值對的形式存儲記憶。另外當(dāng)這個具體訪問請求送達(dá)是，這里的URL和用戶角色和資源數(shù)據(jù)對應(yīng)關(guān)系能不能符合我們的角色。

4結(jié)語

網(wǎng)絡(luò)安全已成為全球性的這樣一個問題，目前已經(jīng)是全世界各界都在關(guān)注。對于這個隱藏的安全威脅，一般來說消除系統(tǒng)通常采用加密、安全措施，如這個身份驗(yàn)證、授權(quán)和審計，同時來達(dá)到我們的這個網(wǎng)絡(luò)的安全性。并且通常來看是在詳細(xì)設(shè)計的基礎(chǔ)上，另外我們在描述了具體的實(shí)現(xiàn)和測試工作內(nèi)容的一部分。對于我們的水槽的采集模塊配置文件，一般這里的分析主要功能模塊的代碼和我們整個系統(tǒng)運(yùn)行情況等。同時基于火花大數(shù)據(jù)平臺，我們的具體日志審計系統(tǒng)的應(yīng)用做了簡單的介紹，并進(jìn)行了最后的這個總結(jié)，課題中完成大數(shù)據(jù)平臺日志審計系統(tǒng)的發(fā)展進(jìn)行了探討。另外對于詳細(xì)設(shè)計包括總體結(jié)構(gòu)設(shè)計、模塊設(shè)計和數(shù)據(jù)庫設(shè)計。這里完成了整個設(shè)計的結(jié)構(gòu)分為橫向和縱向兩個方面的設(shè)計。同時對于數(shù)據(jù)庫設(shè)計了數(shù)據(jù)庫的總體結(jié)構(gòu)設(shè)計。

參考文獻(xiàn)：

[1] 朱宏.安全日志統(tǒng)一收集平臺的數(shù)據(jù)架構(gòu)設(shè)計與實(shí)現(xiàn)[J].計算機(jī)安全，2010（10）.

[2] 郝漩.基于Apache Flume的分布式日志收集系統(tǒng)設(shè)計與實(shí)現(xiàn)[J].軟件導(dǎo)刊，2014（7）.

[3] 王倩，陸展，龔儉.一種基于規(guī)則的安全日志范式分析模型[J].計算機(jī)工程，1999（S1）：53-55

[4] 陳世強(qiáng)，蔡超.審計系統(tǒng)中基于數(shù)據(jù)挖掘的關(guān)聯(lián)規(guī)則自動發(fā)現(xiàn)技術(shù)研究[J].計算機(jī)應(yīng)用與軟件，2007（1）.

[5] 劉芳，肖鐵軍.XML應(yīng)用的基石：XML解析技術(shù)[J].計算機(jī)工程與設(shè)計，2005（10）.

篇4

一、大數(shù)據(jù)的內(nèi)涵及特征

1.大數(shù)據(jù)的內(nèi)涵。目前，對于大數(shù)據(jù)的定義沒有統(tǒng)一定論，通常認(rèn)為大數(shù)據(jù)是指以多元形式存在的、數(shù)量龐大且內(nèi)容復(fù)雜的、需要專門的軟件與分析工具進(jìn)行搜集、整理、發(fā)掘及分析的那些自許多來源匯集而來的龐大數(shù)據(jù)組。可以從三個層面解釋大數(shù)據(jù)：第一層面是理論，理論是認(rèn)知的必經(jīng)途徑，也是被廣泛認(rèn)同和傳播的基線；第二層面是技術(shù)，技術(shù)是大數(shù)據(jù)價值體現(xiàn)的手段和前進(jìn)的基石；第三層面是實(shí)踐，實(shí)踐是大數(shù)據(jù)的最終價值體現(xiàn)。

2.大數(shù)據(jù)的特征。①Volume（數(shù)據(jù)體量巨大）。據(jù)“產(chǎn)業(yè)信息網(wǎng)”相關(guān)統(tǒng)計，截止到2012年底，人類已生產(chǎn)200PB（1PB=210TB）印刷材料的數(shù)據(jù)量，歷史上全人類說過的所有的話大約是5EB（1EB=210PB）的數(shù)據(jù)量。而當(dāng)前，典型個人計算機(jī)硬盤的容量為TB量級，但一些大企業(yè)的數(shù)據(jù)量已經(jīng)接近EB量級，如此海量的數(shù)據(jù)對我們正確識別真實(shí)數(shù)據(jù)的能力提出了巨大的挑戰(zhàn)。②Variety（數(shù)據(jù)類型繁多）。相對于以往便于存儲的以文本為主的結(jié)構(gòu)化數(shù)據(jù)，非結(jié)構(gòu)化數(shù)據(jù)越來越多，如圖片、視頻等多類型的數(shù)據(jù)對我們的處理及分析數(shù)據(jù)的能力提出了更高要求。③Value（價值密度低）。價值密度的高低與數(shù)據(jù)總量的大小成反比。以視頻為例，連續(xù)不間斷監(jiān)控過程中，可能有用的數(shù)據(jù)僅僅有一兩秒。如何通過強(qiáng)大的算法更迅速地對數(shù)據(jù)的價值進(jìn)行“萃取”成為當(dāng)今大數(shù)據(jù)背景下亟待攻克的難題。④Velocity（處理速度快）。這是大數(shù)據(jù)區(qū)分于傳統(tǒng)數(shù)據(jù)挖掘的最顯著特征。根據(jù)IDC的“數(shù)字宇宙”的報告顯示，全球數(shù)據(jù)預(yù)計到2020年時使用量將達(dá)到35.2ZB。在如此龐大的數(shù)據(jù)面前，高效處理數(shù)據(jù)就是企業(yè)的生命。

二、會計學(xué)專業(yè)人才培養(yǎng)模式

1.國外會計學(xué)專業(yè)人才培養(yǎng)模式。①德國的FH模式。德國推行的應(yīng)用型人才培養(yǎng)的模式被稱為FH模式。不僅注重系統(tǒng)的科學(xué)知識的講授，更加注重實(shí)際應(yīng)用能力的培養(yǎng)。尤其重視學(xué)生實(shí)踐能力的考核，將學(xué)生的培養(yǎng)與企業(yè)實(shí)際緊密結(jié)合。②英國“三明治”模式。英國的應(yīng)用型人才培養(yǎng)采用了實(shí)踐與學(xué)習(xí)相交錯的“三明治”模式，即實(shí)踐環(huán)節(jié)與學(xué)習(xí)環(huán)節(jié)交替進(jìn)行，課程設(shè)置與招生充分結(jié)合市場。③美國“生計教育”模式。20世紀(jì)70年代的石油危機(jī)爆發(fā)后，為解決畢業(yè)生的就業(yè)問題，美國推出了“生計教育”模式。該模式下，學(xué)生在學(xué)校不僅接受教育，而且接受技能的培訓(xùn)。教學(xué)方式方法靈活、校企合作、政府支持為這一模式的主要特點(diǎn)。

2.國內(nèi)會計學(xué)專業(yè)人才培養(yǎng)模式。①精英教育。我國長期推行的是精英教育，盡管精英教育飽受詬病，但就會計人才的培養(yǎng)來看，精英教育并非一無是處。精英教育使得學(xué)生可以獲得足夠的教育資源。教師可以和學(xué)生在課堂上進(jìn)行充分的互動溝通，幫助學(xué)生培養(yǎng)批判的精神和能力。此外，精英教育模式下遴選出的精英通常不僅在校期間學(xué)習(xí)刻苦，在進(jìn)入工作崗位后也后勁十足，發(fā)展?jié)摿薮螅軌驅(qū)⒃趯W(xué)校培養(yǎng)出的良好習(xí)慣和能力運(yùn)用到工作實(shí)際中。②大眾教育。隨著經(jīng)濟(jì)社會的發(fā)展，我國的會計教育由精英型教育轉(zhuǎn)向了大眾化教育。這一轉(zhuǎn)變給我國的會計教育帶來了一些問題，表現(xiàn)在會計教育的發(fā)展嚴(yán)重滯后于會計職業(yè)界的實(shí)際，會計人才培養(yǎng)不能滿足市場的需求，供求出現(xiàn)結(jié)構(gòu)性矛盾。培養(yǎng)目標(biāo)側(cè)重于技術(shù)的培養(yǎng)，而忽視了通用能力的訓(xùn)練；課程過分強(qiáng)調(diào)會計的規(guī)則性，抑制了職業(yè)判斷；教學(xué)方法上，傾向于灌輸式的教育，而缺乏必要的實(shí)踐操作。

三、大數(shù)據(jù)對會計學(xué)專業(yè)人才培養(yǎng)提出的挑戰(zhàn)

1.培養(yǎng)重點(diǎn)不明確、培養(yǎng)目標(biāo)不清晰。我國高校會計學(xué)專業(yè)人才培養(yǎng)模式的重點(diǎn)主要以理論和科研教學(xué)為主，大多課程的安排也充斥著濃濃的文學(xué)色彩，如會計學(xué)原理、審計理論等。同時，我國大多高校會計學(xué)專業(yè)人才培養(yǎng)目標(biāo)并不清晰，單一的追求學(xué)生理論知識的掌握，使得學(xué)生的實(shí)踐及應(yīng)用能力欠缺。這兩者與當(dāng)今市場對會計學(xué)專業(yè)人才的需求不對接，與當(dāng)今社會職業(yè)界對會計學(xué)專業(yè)人才的要求相差較遠(yuǎn)。

2.課程設(shè)置不合理，導(dǎo)致無法靈活應(yīng)對大數(shù)據(jù)。會計學(xué)作為一級學(xué)科，與經(jīng)濟(jì)學(xué)、數(shù)學(xué)、統(tǒng)計學(xué)等學(xué)科的交叉增添了會計學(xué)課程設(shè)置的多樣及多元化。但我國會計學(xué)課程設(shè)置的本身就存在著很多問題。如過分注重理論研究，不能更好地體現(xiàn)會計學(xué)的實(shí)用性；課程設(shè)置的層次性不鮮明；專業(yè)課程前瞻性不夠，與社會的熱點(diǎn)及最新發(fā)展銜接脫鉤；實(shí)踐環(huán)節(jié)設(shè)置的相對欠缺，導(dǎo)致對大數(shù)據(jù)處理的應(yīng)用能力受限。

3.考核制度沒有得到嚴(yán)格執(zhí)行。在我國專業(yè)人才培養(yǎng)模式中，會計學(xué)等各學(xué)科的結(jié)課考核方式以考試為主、結(jié)業(yè)考試以論文形式為主。因教學(xué)中研究氛圍的不濃，經(jīng)費(fèi)支撐的不足，以及部分學(xué)生為就業(yè)等現(xiàn)實(shí)因素的影響造成其投放在論文上的精力不夠，這都使得考核制度對會計學(xué)專業(yè)人才的培養(yǎng)質(zhì)量的保障作用在一定程度上受到削弱，也使考核結(jié)果及論文質(zhì)量受到嚴(yán)重影響。

4.開源課程等新型教育方式及新媒體模式對傳統(tǒng)會計學(xué)專業(yè)人才培養(yǎng)模式的沖擊。當(dāng)今，互聯(lián)網(wǎng)上充斥著海量的教學(xué)資源，除了各類精品課程、教學(xué)視頻外，開源課程充分利用在線視頻進(jìn)行遠(yuǎn)程教學(xué)，為任何有意者提供學(xué)習(xí)的平臺，突破了地域和時間的限制。微博等新媒體模式與移動互聯(lián)網(wǎng)相結(jié)合，打破了教學(xué)的界限，將課堂討論延伸到網(wǎng)絡(luò)。吉姆.格雷指出，科學(xué)研究的方法除了基于實(shí)驗(yàn)、基于數(shù)學(xué)理論和基于計算模擬的三種范式外，基于數(shù)據(jù)探索的第四范式正在形成。

四、面向大數(shù)據(jù)創(chuàng)新會計學(xué)專業(yè)人才培養(yǎng)模式

1.課程設(shè)置。面向大數(shù)據(jù)，創(chuàng)新型會計學(xué)專業(yè)人才培養(yǎng)中應(yīng)開設(shè)數(shù)據(jù)分析、搜索引擎系統(tǒng)應(yīng)用、信息檢索、信息處理等這些與數(shù)據(jù)的大量獲得緊密聯(lián)系的課程，增強(qiáng)學(xué)生接觸數(shù)據(jù)與獲得數(shù)據(jù)的可能。高校應(yīng)加強(qiáng)對會計學(xué)相關(guān)數(shù)據(jù)庫的建設(shè)以及完善圖書館信息系統(tǒng)，通過這樣的方式對數(shù)據(jù)進(jìn)行歸集、整理、分類，不僅可以提高對數(shù)據(jù)的大量獲取性，統(tǒng)一數(shù)據(jù)口徑，而且有助于在數(shù)據(jù)高速產(chǎn)生的狀態(tài)下數(shù)據(jù)的高效提取性，為后面數(shù)據(jù)的分析提供幫助。大數(shù)據(jù)的多樣性特征使得我們接觸到的數(shù)據(jù)的形式各式各樣，相應(yīng)在創(chuàng)新型會計學(xué)專業(yè)人才培養(yǎng)中課程設(shè)置也會多種多樣，為大數(shù)據(jù)環(huán)境下培養(yǎng)復(fù)合型專業(yè)人才奠定扎實(shí)基礎(chǔ)，可以設(shè)置專業(yè)核心課程。由于大數(shù)據(jù)的數(shù)據(jù)量雖大但價值量小的特征，因此在課程設(shè)置上應(yīng)開設(shè)信息檢索、數(shù)據(jù)挖掘與數(shù)據(jù)倉庫等檢測、分析數(shù)據(jù)價值的課程，并通過采用案例教學(xué)法、課堂模擬法、角色扮法、體驗(yàn)式教學(xué)法等方法，引導(dǎo)學(xué)生將提取出的、有價值的數(shù)據(jù)應(yīng)用于中，培養(yǎng)學(xué)生運(yùn)用數(shù)據(jù)高效解決實(shí)際問題的能力。

2.師資建設(shè)。創(chuàng)新型會計學(xué)專業(yè)人才培養(yǎng)中，師資力量是支撐學(xué)生正確獲得有用及真實(shí)數(shù)據(jù)的基礎(chǔ)。高校在會計學(xué)專業(yè)人才培養(yǎng)中應(yīng)加大對大數(shù)據(jù)教學(xué)及運(yùn)用的教師培養(yǎng)及經(jīng)費(fèi)支出的同時，組建“在線教育、實(shí)體操作與校企合作”三位一體的平臺，完善具有大數(shù)據(jù)特色的師資建設(shè)。高校建設(shè)中應(yīng)加強(qiáng)對教師大數(shù)據(jù)知識與應(yīng)用的培訓(xùn)，與企業(yè)合作獲取高效大數(shù)據(jù)平臺建設(shè)及培訓(xùn)經(jīng)費(fèi)的同時，加強(qiáng)教師接觸第一手?jǐn)?shù)據(jù)的可獲取性，提升教師對數(shù)據(jù)的接受性及運(yùn)用能力，改變以往教學(xué)存在的偏理論、缺乏數(shù)據(jù)感的問題。另外，高校應(yīng)積極引進(jìn)國外先進(jìn)人才，同時選派青年教師去國外高校訪學(xué)、進(jìn)修。高校實(shí)行創(chuàng)新型會計學(xué)專業(yè)人才培養(yǎng)模式下，應(yīng)舉辦會計學(xué)相關(guān)教師與其他學(xué)科教師的交叉學(xué)習(xí)與培訓(xùn)，為實(shí)現(xiàn)會計學(xué)專業(yè)人才的跨專業(yè)聯(lián)合培養(yǎng)打下基礎(chǔ)。另外，通過建立產(chǎn)學(xué)研聯(lián)合實(shí)驗(yàn)基地等項(xiàng)目，為教師更好的理解大數(shù)據(jù)、掌握先進(jìn)方法、接觸前沿性知識、運(yùn)用研究成果以及未來的創(chuàng)新發(fā)展創(chuàng)造良好的平臺。

3.個性化學(xué)習(xí)。創(chuàng)新型會計學(xué)專業(yè)人才培養(yǎng)中，無論課內(nèi)及課外，高校教師都應(yīng)該引導(dǎo)學(xué)生去獲取更多的數(shù)據(jù)，以作為課程教學(xué)、討論的有力支撐，做到盡可能的用數(shù)據(jù)說話。高校在寒暑期開設(shè)的相關(guān)專業(yè)模擬實(shí)習(xí)，如會計核算模擬實(shí)驗(yàn)、會計崗位沙盤模擬實(shí)驗(yàn)等，可以為學(xué)生更切身的接觸數(shù)據(jù)提供便利，通過實(shí)踐的反饋和思考，也可以培養(yǎng)學(xué)生的創(chuàng)新思維。大數(shù)據(jù)高速的特征加上現(xiàn)代開源課程等新型教育方式及新媒體模式等在線資源的沖擊，使得學(xué)生接觸數(shù)據(jù)的方式多樣。根據(jù)學(xué)生自主選擇接觸數(shù)據(jù)，然后相互交流。這增加了學(xué)生的學(xué)習(xí)興趣，而且可以激發(fā)學(xué)生的創(chuàng)造性。大數(shù)據(jù)的多樣化特征下，高校應(yīng)為學(xué)生提供相關(guān)專業(yè)學(xué)習(xí)的輔修課程，開通學(xué)生與其他學(xué)科專業(yè)教師的溝通渠道，舉辦“跨學(xué)科聯(lián)合培養(yǎng)、培養(yǎng)復(fù)合型專業(yè)人才”的實(shí)踐大賽數(shù)據(jù)分析大賽、基于大數(shù)據(jù)的數(shù)學(xué)建模大賽等。高校應(yīng)為學(xué)生提供實(shí)驗(yàn)室、計算機(jī)機(jī)房、計算機(jī)操作系統(tǒng)等軟硬件條件，開放式的引導(dǎo)學(xué)生自主參與產(chǎn)學(xué)研實(shí)驗(yàn)基地、多校聯(lián)合培養(yǎng)項(xiàng)目以及國家政策引導(dǎo)下的大數(shù)據(jù)開發(fā)項(xiàng)目研究之中，為“跨學(xué)科聯(lián)合培養(yǎng)、培養(yǎng)復(fù)合型專業(yè)人才”的培養(yǎng)目標(biāo)提供實(shí)踐平臺和發(fā)展空間。

篇5

2016年4月17日，中央電視臺的一則報道震驚全國，上市公司諾普信控制的常隆化工廠的土地污染導(dǎo)致江蘇常州外國語學(xué)校近500名學(xué)生出現(xiàn)身體異常。而該公司于2014年曾被訴訟并支付環(huán)境整治費(fèi)。

紫金礦業(yè)等上市公司的環(huán)境污染事故仍記憶猶新，新的環(huán)境污染事故仍然層出不窮。根據(jù)環(huán)境部的統(tǒng)計數(shù)據(jù)顯示，2003年至今，我國上市公司環(huán)境事故的發(fā)生次數(shù)呈現(xiàn)上升態(tài)勢，其中空氣污染和水污染是最嚴(yán)峻的領(lǐng)域。

2016年2月，北京公眾環(huán)境研究中心公布的數(shù)據(jù)顯示，我國包括中國鋁業(yè)等央企在內(nèi)的141家上市公司在2015年超標(biāo)排放污染物，尤其是化工行業(yè)的企業(yè)數(shù)量最多。而這141家公司中只有28家公司對此進(jìn)行了信息披露。而根據(jù)我國相關(guān)法律法規(guī)、政策制度，上市公司應(yīng)公布包括污染物排放、資源消耗、環(huán)境管理等環(huán)境信息。

二、中國目前的企業(yè)環(huán)境信息披露制度

2015年1月1日實(shí)施的《中華人民共和國環(huán)境保護(hù)法》第55條規(guī)定，重點(diǎn)排污單位應(yīng)當(dāng)如實(shí)向社會公眾披露主要污染物名稱、排放量、排放濃度和總量、超標(biāo)排放、污染防治設(shè)施的建設(shè)和運(yùn)行情況，接受社會監(jiān)督。第62條違反本法規(guī)定，未公開重點(diǎn)排污單位或者未如實(shí)披露環(huán)境信息的，由縣級以上地方政府環(huán)境保護(hù)部門責(zé)令公開，并予以公告。

而2007年的《環(huán)境信息公開辦法》和2008年《關(guān)于加強(qiáng)上市公司環(huán)境保護(hù)監(jiān)督管理工作的指導(dǎo)意見》都要求企業(yè)及時、準(zhǔn)確的公開其環(huán)境信息。2014年修訂的《公開發(fā)行證券的公司信息披露內(nèi)容與格式準(zhǔn)則第2號》鼓勵企業(yè)積極主動披露履行環(huán)境責(zé)任，包括公司在污染防治和控制、加強(qiáng)生態(tài)保護(hù)中采取的措施;屬于國家環(huán)境保護(hù)部門規(guī)定的重污染行業(yè)上市公司及其子公司，應(yīng)按照有關(guān)規(guī)定，披露其在報告期內(nèi)的重大環(huán)境問題和環(huán)境信息整改。根據(jù)證監(jiān)會的規(guī)定，新股發(fā)行審計注重對環(huán)境問題的審計，包括：在招股說明書中詳細(xì)披露發(fā)行人的生產(chǎn)管理和投資項(xiàng)目符合國家環(huán)保要求，擬上市公司最近3年的環(huán)境保護(hù)投資相關(guān)費(fèi)用，實(shí)際運(yùn)行的環(huán)保設(shè)施和環(huán)境保護(hù)支出;生產(chǎn)環(huán)境是否符合國家相關(guān)環(huán)境規(guī)定，是否曾發(fā)生環(huán)境事故，治理污染設(shè)施的運(yùn)行是否有效，對環(huán)境保護(hù)設(shè)施的養(yǎng)護(hù)和日常的污染治理是否符合相關(guān)技術(shù)規(guī)范;當(dāng)擬上市公司發(fā)生環(huán)境事故或因環(huán)境問題受到處罰，是否詳細(xì)披露了有關(guān)情況，其保薦機(jī)構(gòu)和發(fā)行律師是否就此事件構(gòu)成重大違規(guī)問題發(fā)表意見。

現(xiàn)行的企業(yè)環(huán)境信息披露法律法規(guī)政策規(guī)定有效的推動了我國企業(yè)，尤其是重污染上市公司的環(huán)境信息披露。對中國A股上市公司中的重污染行業(yè)企業(yè)所披露的環(huán)境信息進(jìn)行分析發(fā)現(xiàn)，根據(jù)法律法規(guī)及相關(guān)政策規(guī)定，重污染上市公司大部分披露其環(huán)境信息，但環(huán)境信息披露中的定性描述，即文字描述較多，而定量描述偏少;主要披露的內(nèi)容是環(huán)境管理和環(huán)境治理信息;對環(huán)境方面的負(fù)面信息，重污染行業(yè)上市公司均傾向于不予以披露，即存在報喜不報憂的現(xiàn)象;不同行業(yè)披露的環(huán)境信息的側(cè)重點(diǎn)有所不同。

從上述分析可以看出，雖然我國企業(yè)環(huán)境信息披露法律法規(guī)政策規(guī)定的不斷完善有利于企業(yè)環(huán)境信息披露，但環(huán)境信息披露的數(shù)量，尤其是信息披露的質(zhì)量仍然距離公眾期待有著較大的距離，有待進(jìn)一步完善。

三、運(yùn)用大數(shù)據(jù)優(yōu)化企業(yè)環(huán)境信息披露的路徑選擇

在大數(shù)據(jù)時代，全球?qū)?shù)據(jù)挖掘技術(shù)越來越重視，由于數(shù)據(jù)已經(jīng)成為人們生活中不可或缺的一部分，充分利用大數(shù)據(jù)時代的優(yōu)勢完善我國企業(yè)環(huán)境信息披露的相關(guān)制度規(guī)范成為可行的選擇。在數(shù)據(jù)“多維”時代，充分利用大數(shù)據(jù)對企業(yè)的環(huán)境信息進(jìn)行披露具有以下優(yōu)勢：第一，可靠性。以往企業(yè)披露的環(huán)境責(zé)任信息往往突出其一定時間內(nèi)的某些活動，缺乏對企業(yè)生產(chǎn)和管理中環(huán)境責(zé)任信息的持續(xù)性描述，這導(dǎo)致企業(yè)環(huán)境責(zé)任信息的不連續(xù)性，而在大數(shù)據(jù)環(huán)境中可以對所有相關(guān)的數(shù)據(jù)進(jìn)行整體分析，得出一個完整的信息組，更好的反應(yīng)環(huán)境信息的真實(shí)性。第二，多樣性。傳統(tǒng)的環(huán)境責(zé)任信息披露中，由于數(shù)據(jù)的可能缺失，監(jiān)管部門和社會公眾很難對企業(yè)的環(huán)境責(zé)任活動進(jìn)行識別和衡量，而在大數(shù)據(jù)時代，信息的載體和方式是多樣的，可以以各種形式反映信息，有助于提供完整的企業(yè)環(huán)境責(zé)任信息內(nèi)容。第三，可追溯性。在反映企業(yè)環(huán)境責(zé)任信息的路徑上，由于缺乏控制機(jī)制，難以實(shí)現(xiàn)信息的跟蹤，而在大數(shù)據(jù)時代，數(shù)據(jù)可以被記錄在不同的維度，不同維度的數(shù)據(jù)之間的分析為企業(yè)環(huán)境信息提供了可追溯性。具體運(yùn)用大數(shù)據(jù)優(yōu)化企業(yè)環(huán)境信息披露的路徑如下：

1、在借鑒國外經(jīng)驗(yàn)的基礎(chǔ)上運(yùn)用大數(shù)據(jù)完善我國企業(yè)環(huán)境信息披露的法律體系

在運(yùn)用大數(shù)據(jù)分析的基礎(chǔ)上，借鑒國外先進(jìn)經(jīng)驗(yàn)進(jìn)一步完善企業(yè)環(huán)境信息披露的法律法規(guī)。充分整合現(xiàn)行國內(nèi)環(huán)境保護(hù)部門、國資委、財政部、審計署、證監(jiān)會、證交所等各部門的數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘，厘清我國環(huán)境信息披露方面存在的主要問題，結(jié)合中國具體國情，在借鑒歐美發(fā)達(dá)國家相關(guān)法律規(guī)范的基礎(chǔ)上，在現(xiàn)行《環(huán)境保護(hù)法》規(guī)定的框架下，進(jìn)一步規(guī)范企業(yè)環(huán)境信息披露，清晰界定企業(yè)環(huán)境信息應(yīng)公開的內(nèi)容，對企業(yè)環(huán)境信息公開的主體、環(huán)境信息披露義務(wù)的主體進(jìn)行明確規(guī)定。建議由環(huán)境保護(hù)部門牽頭，聯(lián)合國資委、財政部、審計署、證監(jiān)會、證交所等相關(guān)部門，對企業(yè)環(huán)境信息報告的具體實(shí)施標(biāo)準(zhǔn)或具體實(shí)施準(zhǔn)則進(jìn)行擬定，明晰界定企業(yè)環(huán)境責(zé)任報告要素及其內(nèi)涵、企業(yè)環(huán)境信息報告的設(shè)計體例等，建議企業(yè)環(huán)境信息披露中應(yīng)盡量使用定量性信息披露，提高企業(yè)環(huán)境信息的可靠性、可比性和利益相關(guān)者對企業(yè)環(huán)境信息的可理解性，提高企業(yè)編制環(huán)境信息報告的可操作性。

需要注意的是，在進(jìn)一步完善我國企業(yè)環(huán)境信息披露的法律體系時，需要進(jìn)一步強(qiáng)化企業(yè)環(huán)境責(zé)任信息披露制度的監(jiān)督和處罰機(jī)制。以2015年的上市公司魯抗醫(yī)藥因環(huán)境問題受到處罰為例，其將含有抗生素的廢水排到主要河流中的行為極大的危害了公眾健康，進(jìn)一步惡化了我國的抗生素濫用問題，但該企業(yè)僅僅被環(huán)保部門處罰了5萬元，基本未能起到懲戒作用。在以經(jīng)濟(jì)建設(shè)為綱的時代，企業(yè)環(huán)境信息披露及相關(guān)處罰受到忽視，但在完善國家治理體系，建設(shè)可持續(xù)發(fā)展社會的今天，借鑒國外發(fā)達(dá)國家的企業(yè)環(huán)境信息披露及處罰措施，完善訴訟體制，進(jìn)一步發(fā)揮包括政府部門和非政府組織在內(nèi)的監(jiān)督作用，大幅強(qiáng)化處罰和懲戒力度是完善企業(yè)環(huán)境信息披露的必然路徑選擇。

2、在完善中國企業(yè)的環(huán)境技術(shù)標(biāo)準(zhǔn)基礎(chǔ)上，建立數(shù)據(jù)集成和共享機(jī)制

環(huán)境保護(hù)部門應(yīng)會同有關(guān)部門，參照西方發(fā)達(dá)國家和國際組織的環(huán)境技術(shù)標(biāo)準(zhǔn)，開發(fā)統(tǒng)一規(guī)范的環(huán)境信息技術(shù)標(biāo)準(zhǔn)和規(guī)范，對環(huán)境信息質(zhì)量標(biāo)準(zhǔn)、監(jiān)管環(huán)境信息要素及其識別與測量、環(huán)境信息呈現(xiàn)、標(biāo)準(zhǔn)定量分析技術(shù)的所需資源和污染的度量進(jìn)行規(guī)范。制定大氣、水、土壤、污染源、噪聲等統(tǒng)一的監(jiān)測標(biāo)準(zhǔn)，同時建設(shè)全國統(tǒng)一的環(huán)境監(jiān)測信息數(shù)據(jù)平臺，由環(huán)境保護(hù)部門根據(jù)環(huán)境保護(hù)法規(guī)定環(huán)境質(zhì)量和其他企業(yè)環(huán)境信息，以滿足公眾的環(huán)境權(quán)益。

3、進(jìn)一步建立和完善企業(yè)環(huán)境信息披露的數(shù)據(jù)分析系統(tǒng)

中國已建立了超過兩千個環(huán)境監(jiān)測站，監(jiān)測人員近6萬人。我國所有省級監(jiān)測站都配備了高水平的水質(zhì)分析設(shè)備能力，所有城市監(jiān)測站均具備進(jìn)行空氣、水、噪音等環(huán)境質(zhì)量的監(jiān)測能力。但環(huán)境監(jiān)測的信息感知系統(tǒng)和數(shù)據(jù)集成分析系統(tǒng)仍有待建設(shè)，才能充分發(fā)揮大數(shù)據(jù)的作用，有針對性的進(jìn)一步完善我國的企業(yè)環(huán)境信息披露工作：首先，通過網(wǎng)絡(luò)化、智能化、云計算等技術(shù)，構(gòu)建環(huán)境監(jiān)測信息感知系統(tǒng)，以實(shí)現(xiàn)各類監(jiān)控設(shè)備的信息融合和共享，更有利于對未履行披露環(huán)境信息責(zé)任企業(yè)的精確懲戒;其次，環(huán)保部門應(yīng)充分利用數(shù)據(jù)挖掘技術(shù)，開發(fā)有利于環(huán)境保護(hù)的環(huán)境質(zhì)量分析產(chǎn)品，通過推動環(huán)保服務(wù)工作，使社會公眾和環(huán)保組織等非盈利組織更方便的獲取環(huán)境信息，了解環(huán)境動態(tài)、趨勢和風(fēng)險，從而更有利于發(fā)動社會力量，進(jìn)一步推進(jìn)企業(yè)履行其環(huán)境信息披露義務(wù)。

【參考文獻(xiàn)】

[1] 趙萱.企業(yè)環(huán)境責(zé)任信息披露制度績效及其影響因素實(shí)證研究[D].西南大學(xué)2015年博士論文.

[2] 李丹丹.加強(qiáng)引導(dǎo)上市公司環(huán)境責(zé)任信息披露[N].上海證券報，2015-08-01.

篇6

一、研究背景與意義

（一）輸變電工程基建項(xiàng)目傳統(tǒng)內(nèi)審模式面臨挑戰(zhàn)

輸變電工程基建項(xiàng)目審計所包含的審計控制要點(diǎn)，多樣而復(fù)雜、覆蓋面廣，貫穿于工程項(xiàng)目管理的全過程。傳統(tǒng)的輸變電基建項(xiàng)目審計受限于審計資源的不足，往往僅對結(jié)算、決算環(huán)節(jié)審計內(nèi)容，委托第三方開展事后審計。因而審計介入時間滯后，不能有效開展全過程項(xiàng)目審計，無法及時杜絕項(xiàng)目管理風(fēng)險，促進(jìn)管理提升，以發(fā)揮內(nèi)部審計的監(jiān)督作用。

（二）實(shí)時審計模式是內(nèi)部審計發(fā)展的必然趨勢

隨著企業(yè)信息技術(shù)的日益發(fā)展，越來越多企業(yè)的生產(chǎn)、經(jīng)營及財務(wù)數(shù)據(jù)已實(shí)現(xiàn)在線處理，經(jīng)營數(shù)據(jù)與管理記錄的電子化發(fā)展，推動了企業(yè)內(nèi)部審計方式向?qū)崟r、在線方向演進(jìn)。企業(yè)可以通過在線計算機(jī)輔助審計系統(tǒng)，與各信息系統(tǒng)建立數(shù)據(jù)接口，從各信息系統(tǒng)中采集審計所需的數(shù)據(jù)及相關(guān)審計證據(jù)，并通過在系統(tǒng)中預(yù)設(shè)的監(jiān)控及例外報告模式，自動生成發(fā)現(xiàn)報告，提請審計人員關(guān)注。由此，傳統(tǒng)審計模式逐漸實(shí)現(xiàn)向?qū)崟r審計模式轉(zhuǎn)變。實(shí)時審計模式，是指通過ERP審計信息系統(tǒng)，集中獲取財務(wù)和經(jīng)營數(shù)據(jù)后，審計人員利用該系統(tǒng)數(shù)據(jù)處理能力強(qiáng)、分析功能強(qiáng)大、網(wǎng)絡(luò)在線運(yùn)行等特點(diǎn)，對企業(yè)經(jīng)營管理活動進(jìn)行在線審計監(jiān)督，即通過對定期獲取的財務(wù)資產(chǎn)、計劃、生產(chǎn)統(tǒng)計等生產(chǎn)經(jīng)營信息進(jìn)行綜合分析，查找審計疑點(diǎn)和問題線索。在此基礎(chǔ)上，有目標(biāo)、有重點(diǎn)地進(jìn)駐現(xiàn)場進(jìn)行審計查證與核實(shí)，及時發(fā)現(xiàn)和糾正企業(yè)經(jīng)營管理中存在的問題。通過開展日常的經(jīng)營監(jiān)控審計，可以使審計過程變得更快、更簡單、更有效，縮短了審計周期，以提供更有時效的風(fēng)險和控制風(fēng)險保證；無需擴(kuò)展資源基礎(chǔ)，就可獲取更好的審計范圍；可指導(dǎo)以月度、季度、年度為周期的審計；審計的范圍是全部審計數(shù)據(jù)，而不只是審計樣本；可對比或重新計算全部審計數(shù)據(jù)；可提高審計報告的質(zhì)量。

（三）推行實(shí)時審計模式的可行性

為了提高輸變電工程基建項(xiàng)目審計工作的質(zhì)量和審計效率，利用ERP大數(shù)據(jù)基礎(chǔ)構(gòu)建實(shí)時審計模式，是一項(xiàng)有效且可行的解決路徑。一是輸變電工程基建項(xiàng)目審計要求規(guī)范比較明確完善，其對基建項(xiàng)目工程審計的目標(biāo)、定義、審計原則、基本任務(wù)、主要審計內(nèi)容已作出明確的規(guī)定。二是隨著公司信息系統(tǒng)建設(shè)的日益完善，ERP系統(tǒng)積累了大量的業(yè)務(wù)財務(wù)數(shù)據(jù)信息，能夠支撐實(shí)時審計需要。在ERP系統(tǒng)中，基建工程的預(yù)算、成本等相關(guān)數(shù)據(jù)是工程審計的重點(diǎn)內(nèi)容，能夠充分體現(xiàn)工程全過程的預(yù)算控制和費(fèi)用執(zhí)行等情況。建立應(yīng)用實(shí)時審計模式既能提高審計效果，也能彌補(bǔ)審計資源不足，充分運(yùn)用信息化審計手段，按照“提前介入、預(yù)防為主”的思路，堅持建設(shè)資金的真實(shí)、合法審計與效益審計并重，加強(qiáng)對輸變電工程基建項(xiàng)目投資全過程的審計監(jiān)督，提高工程項(xiàng)目建設(shè)管理水平和投資效益，是一項(xiàng)富有價值的審計方式的管理創(chuàng)新實(shí)踐。

二、基于ERP環(huán)境的輸變電工程基建項(xiàng)目實(shí)時審計模式主要內(nèi)容

（一）總體思路

基于ERP環(huán)境，借鑒數(shù)學(xué)建模思維，充分運(yùn)用信息化手段、結(jié)構(gòu)化數(shù)據(jù)分析方法，構(gòu)建“審計模型、審計工具和應(yīng)用機(jī)制”三位一體的實(shí)時審計模式（見圖1），明確審計對象、審計技術(shù)和審計方法。旨在提高審計效率和效果，實(shí)現(xiàn)輸變電工程基建項(xiàng)目的全過程實(shí)時審計，提前預(yù)警、促進(jìn)整改，以降低審計風(fēng)險，推動內(nèi)審工作轉(zhuǎn)型。審計模型重點(diǎn)梳理輸變電工程基建項(xiàng)目全過程審計控制要點(diǎn)，根據(jù)重要性和可量化原則，篩選出審計控制內(nèi)容，明確審計邏輯和評價標(biāo)準(zhǔn)；審計工具，主要是根據(jù)審計邏輯評價特征，開發(fā)出可批量自動化審計的簡易操作工具，提高審計作業(yè)效率；應(yīng)用機(jī)制，主要根據(jù)內(nèi)部審計工作目標(biāo)和要求，設(shè)計審計模式的具體應(yīng)用方式。

（二）審計模型內(nèi)容

1.審計邏輯輸變電工程基建項(xiàng)目審計是財務(wù)審計與管理審計的融合，將風(fēng)險管理、內(nèi)部控制、效益的審查和評價貫穿于建設(shè)項(xiàng)目的各個環(huán)節(jié)，并與項(xiàng)目法人責(zé)任制、資本金制、招標(biāo)投標(biāo)制、合同管理制、工程監(jiān)理制執(zhí)行情況的檢查相結(jié)合，根據(jù)重要性和成本效益原則，結(jié)合實(shí)際情況和內(nèi)部審計資源狀況，采取全過程審計或者重點(diǎn)管理環(huán)節(jié)審計。圍繞輸變電工程基建項(xiàng)目立項(xiàng)階段、設(shè)計及實(shí)施準(zhǔn)備階段、實(shí)施階段、竣工決算階段全過程各環(huán)節(jié)的審計控制要點(diǎn)，基于重要性和可量化原則，結(jié)合公司內(nèi)部審計資源和實(shí)際情況，從時間、資金、數(shù)量、內(nèi)容4個維度，篩選控制要點(diǎn)和控制內(nèi)容，從準(zhǔn)確性、規(guī)范性角度定義審計評價標(biāo)準(zhǔn)，根據(jù)不同的審計對象、審計所需的資料和項(xiàng)目審計各環(huán)節(jié)的審計目標(biāo)設(shè)計不同的審計邏輯，以保證審計工作質(zhì)量和審計資源的有效配置。其中，時間維度主要審計時間控制點(diǎn)先后順序是否符合邏輯；資金或數(shù)量維度主要審計絕對值與相對值是否符合預(yù)設(shè)目標(biāo)；內(nèi)容維度主要審計是否符合公司規(guī)章制度、管理辦法和內(nèi)控規(guī)范。輸變電工程基建項(xiàng)目審計應(yīng)遵循技術(shù)經(jīng)濟(jì)審查、項(xiàng)目過程管理審查與財務(wù)審計相結(jié)合的原則，事前審計、事中審計和事后審計相結(jié)合的原則，以及各專業(yè)管理部門密切協(xié)調(diào)、合作參與的原則。根據(jù)現(xiàn)有ERP系統(tǒng)數(shù)據(jù)庫情況，設(shè)計了適用與事中審計和事后審計兩類不同應(yīng)用方式的審計邏輯，并針對每個項(xiàng)目不同類型的合同（如施工合同、勘察設(shè)計合同、監(jiān)理合同）設(shè)計了不同的審計邏輯。審計模型共構(gòu)建了43條審計邏輯，覆蓋設(shè)計及實(shí)施準(zhǔn)備、實(shí)施、竣工投產(chǎn)和決算3個階段，包含11條事中預(yù)警、32條事后審計異常事項(xiàng)提示（見圖2），運(yùn)用信息化手段進(jìn)行全面審計，采取定量與定性相結(jié)合、定量分析為主的方式，對工程建設(shè)各階段各環(huán)節(jié)的管理情況，以及質(zhì)量、進(jìn)度和投資等目標(biāo)的完成情況進(jìn)行審計評價。（1）設(shè)計及實(shí)施準(zhǔn)備階段包含8條審計邏輯，從時間邏輯順序上，重點(diǎn)檢查工程開工手續(xù)是否合法合規(guī)；從內(nèi)容符合性上，檢查合同簽訂是否符合招標(biāo)要求。（2）實(shí)施階段包括25條審計邏輯，重點(diǎn)檢查合同簽訂與招標(biāo)情況的相符性、項(xiàng)目付款進(jìn)度的合理性、項(xiàng)目付款與合同的相符性、質(zhì)保金的合規(guī)性，以及是否及時對工程物資辦理清理和退庫手續(xù)。（3）竣工投產(chǎn)和決算階段包括10條審計邏輯，重點(diǎn)檢查是否在規(guī)定時間完成暫估轉(zhuǎn)固手續(xù)、竣工結(jié)（決）算審核、工程實(shí)際投資額與批準(zhǔn)概算差異的原因分析。2.評價標(biāo)準(zhǔn)根據(jù)審計類型和審計結(jié)果狀態(tài)，設(shè)計了3種評價標(biāo)準(zhǔn)，即正常、異常、預(yù)警。其中，異常標(biāo)準(zhǔn)，是指事后執(zhí)行結(jié)果不符合審計規(guī)范，用來督促整改；預(yù)警標(biāo)準(zhǔn)，是指事中執(zhí)行結(jié)果偏離管理規(guī)定，用來預(yù)警提醒。評價標(biāo)準(zhǔn)全部用數(shù)理邏輯公式進(jìn)行檢驗(yàn)。3.數(shù)據(jù)來源應(yīng)用集中采集和隨需采集數(shù)據(jù)的方法，基于目前ERP信息系統(tǒng)現(xiàn)有的數(shù)據(jù)字段，采取線上數(shù)據(jù)與線下數(shù)據(jù)結(jié)合的方式進(jìn)行取數(shù)，以ERP信息系統(tǒng)數(shù)據(jù)為主，以線下資料如初設(shè)批復(fù)文件、中標(biāo)通知書、合同等紙質(zhì)審計資料作為線上數(shù)據(jù)的補(bǔ)充驗(yàn)證，綜合評價審計結(jié)果。本模型采用線上數(shù)據(jù)69條、線下數(shù)據(jù)40條。隨著實(shí)時審計模式的推廣和信息技術(shù)的發(fā)展，ERP系統(tǒng)所能提供的數(shù)據(jù)信息數(shù)量將隨之增加，逐步向備份采集和直聯(lián)采集轉(zhuǎn)變，審計模型所需全部的數(shù)據(jù)信息將全部可以從ERP系統(tǒng)中直接獲取，最終實(shí)現(xiàn)全面在線實(shí)時審計。

（三）審計工具介紹

應(yīng)用excel工具，對涉及的審計邏輯和評價標(biāo)準(zhǔn)開發(fā)的自動評價審計工具，主要由審計輸入信息表和審計結(jié)果輸出表構(gòu)成。審計工作人員只要在審計輸入信息表中導(dǎo)入項(xiàng)目審計字段信息，通過內(nèi)嵌自動檢驗(yàn)公式計算，就能在審計結(jié)果輸出表中看到對應(yīng)項(xiàng)目審計邏輯的審計結(jié)果狀態(tài)。1.審計輸入信息表以工程項(xiàng)目為縱向維度，以審計信息為橫向維度。審計信息源根據(jù)評價標(biāo)準(zhǔn)檢驗(yàn)公式所需的信息按照單個字段輸入。合計包含109條固定的數(shù)據(jù)字段，包括審計對象的項(xiàng)目編號、項(xiàng)目名稱、初設(shè)批復(fù)日期、開工日期、合同簽訂日期等內(nèi)容，不同類型合同的數(shù)據(jù)分別記錄于不同的數(shù)據(jù)字段中，數(shù)據(jù)字段可隨合同類型、數(shù)量的增加而增加。2.審計結(jié)果輸出表以工程項(xiàng)目為縱向維度，審計邏輯評價結(jié)果為橫向維度。對應(yīng)每條審計邏輯評價結(jié)果用Excel函數(shù)工具，在對應(yīng)單元格中自動計算審計結(jié)果，共包含43條審計邏輯結(jié)果。校驗(yàn)結(jié)果以“紅燈”、“黃燈”“、綠燈”的形式自動展示（“紅燈”表示異常、“黃燈”表示預(yù)警、“綠燈”表示正常）。審計人員和工程管理人員應(yīng)用審計工具，對“紅燈”“、黃燈”的識別，迅速發(fā)現(xiàn)審計異常點(diǎn)。

（四）應(yīng)用機(jī)制

實(shí)時審計模式的審計模型及審計工具，是針對電壓等級220千伏以上電網(wǎng)基建項(xiàng)目審計而設(shè)計的，指導(dǎo)以月度、季度、年度為周期，對輸電工程項(xiàng)目開展日常監(jiān)控和內(nèi)部審計。在項(xiàng)目過程中，內(nèi)部審計人員和工程管理人員可以利用審計模型和審計工具，對輸電工程項(xiàng)目進(jìn)行過程檢查，識別異常事項(xiàng)和預(yù)警事項(xiàng)并及時進(jìn)行整改，以防止風(fēng)險的進(jìn)一步擴(kuò)大。在工程項(xiàng)目完結(jié)后，內(nèi)部審計人員可以利用審計模型和審計工具對項(xiàng)目進(jìn)行全面審計，督促對異常項(xiàng)目進(jìn)行整改，彌補(bǔ)管理漏洞，防范外部審計風(fēng)險。

三、結(jié)論與展望

（一）實(shí)時審計模式能提高效率，推動內(nèi)審工作轉(zhuǎn)型

實(shí)時審計模式縮短了審計周期，可將原在工程竣工后才進(jìn)行的審計，轉(zhuǎn)變成以月度、季度、年度為周期的過程審計，切實(shí)做到審計關(guān)口前移，提高審計效率和質(zhì)量，降低審計成本，并為實(shí)現(xiàn)審計資源整合，拓寬審計范圍奠定基礎(chǔ)。一方面增強(qiáng)了內(nèi)部審計對工程項(xiàng)目的審計參與深度，另一方面改善了基層單位審計人員不足的狀況。實(shí)時審計模式，實(shí)現(xiàn)了對公司生產(chǎn)經(jīng)營各類風(fēng)險的及時預(yù)警和有效防范，幫助公司加強(qiáng)內(nèi)控、改善管理，使審計結(jié)果的反饋更及時，降低工程項(xiàng)目管理風(fēng)險和外部審計風(fēng)險，充分發(fā)揮內(nèi)部審計風(fēng)險控制和管理服務(wù)的職能，提升內(nèi)部審計的效用和管理決策的價值。

（二）實(shí)時審計模式具備推廣應(yīng)用價值

輸變電工程基建項(xiàng)目實(shí)時審計模式具有很強(qiáng)的靈活性、適應(yīng)性、可操作性，對審計邏輯和審計工具進(jìn)行適應(yīng)性調(diào)整，可推廣應(yīng)用至其他電壓等級和類型的電力工程項(xiàng)目內(nèi)部審計工作中。此外，實(shí)時審計模式的研究思路，也可推廣應(yīng)用至其他內(nèi)部審計項(xiàng)目上，通過分析工程審價、物資管理、招投標(biāo)管理、各類費(fèi)用管理的審計要求，可設(shè)計出相應(yīng)的審計邏輯、審計標(biāo)準(zhǔn)，開發(fā)出相應(yīng)的審計工具。

（三）實(shí)時審計模式現(xiàn)階段的局限性與展望

現(xiàn)階段ERP系統(tǒng)數(shù)據(jù)信息數(shù)量和質(zhì)量存在一定的局限性：一方面實(shí)時審計模型所需的部分?jǐn)?shù)據(jù)信息仍需要人工查找與錄入，另一方面審計模型涉及的審計邏輯還沒有全覆蓋。隨著進(jìn)一步改善并提高ERP系統(tǒng)字段信息質(zhì)量和數(shù)量，使ERP系統(tǒng)能更有效、更準(zhǔn)確地提供更多關(guān)鍵字段信息，可以使審計模型和審計工具更大地發(fā)揮作用，更好地為審計人員服務(wù)。今后可通過增加審計模型中的審計邏輯，更好地滿足內(nèi)部審計和工程管理的需要。具備條件后，可開發(fā)出嵌入ERP系統(tǒng)的在線審計工具，實(shí)現(xiàn)在線自動審計實(shí)時計算、輸出校驗(yàn)結(jié)果。

參考文獻(xiàn)：

[1]于洪波.ERP環(huán)境下在線審計方法探討[J].會計之友，2012（25）：83－88.

[2]劉萍.持續(xù)審計———信息時代我國企業(yè)內(nèi)部審計的發(fā)展趨勢[D].武漢：華中師范大學(xué)（碩士學(xué)位論文），2013.

[3]周運(yùn)香.ERP環(huán)境下審計風(fēng)險控制研究[D].成都：西南財經(jīng)大學(xué)（碩士學(xué)位論文），2010.

篇7

前些年，在我國推進(jìn)信息安全體系建設(shè)的工作中，各行業(yè)在信息網(wǎng)絡(luò)邊界和縱深部署大量信息安全防護(hù)產(chǎn)品的基礎(chǔ)上，為了符合國家信息安全的相關(guān)政策和監(jiān)管要求及便于進(jìn)行一體化管理和掌握整個信息系統(tǒng)的安全態(tài)勢，許多單位還部署了信息安全管理平臺，并在信息系統(tǒng)安全運(yùn)行和管理上發(fā)揮了重要的作用。

信息安全管理平臺是網(wǎng)絡(luò)中心必備的安全管理基礎(chǔ)設(shè)施，是網(wǎng)絡(luò)安全管理員遂行網(wǎng)絡(luò)安全管理任務(wù)的必備手段，是網(wǎng)絡(luò)安全體系結(jié)構(gòu)中的一個重要技術(shù)支撐平臺。為規(guī)范網(wǎng)絡(luò)系統(tǒng)的安全管理，重要的信息網(wǎng)絡(luò)都應(yīng)設(shè)置信息安全管理平臺（見《信息安全技術(shù) 信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》GB/T 24856―2009）。

近年來，隨著云計算、物聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)技術(shù)的興起，信息網(wǎng)絡(luò)的邊界愈發(fā)模糊，系統(tǒng)中的虛擬化技術(shù)和設(shè)備被廣泛采用，信息系統(tǒng)中的安全信息采集和集中審計變得更加困難。另一方面，外部的信息安全威脅，隨著AET和APT技術(shù)的不斷升級，也變得愈來愈兇險和難以防護(hù)。面對當(dāng)前信息安全的新形式，以往的信息安全管理平臺必須進(jìn)行更新?lián)Q代或升級改造。

搭建新一代信息安全管理平臺（以下簡稱平臺）有重要意義：（1）設(shè)計和建設(shè)新一代平臺是構(gòu)建自主可控信息安全體系體系頂層設(shè)計不可或缺的重要一環(huán)，以實(shí)現(xiàn)對重要信息系統(tǒng)的風(fēng)險可監(jiān)控、可管理、業(yè)務(wù)過程可審計，真正實(shí)現(xiàn)安全體系自主可控，保障體系安全；（2）引入大數(shù)據(jù)分析技術(shù)完善平臺關(guān)聯(lián)分析能力，增加AET和APT攻擊的檢測技術(shù)手段，提升信息系統(tǒng)安全態(tài)勢感知和預(yù)警能力，可及時發(fā)現(xiàn)和處置重大信息安全威脅，真正實(shí)現(xiàn)信息安全自主可控。

2 設(shè)計目標(biāo)

信息安全管理平臺的設(shè)計目標(biāo)是：設(shè)計一體化、開放性和具有智能防御未知威脅攻擊的平臺。一體化就是將多家不同類型的安全產(chǎn)品整合到一起，進(jìn)行統(tǒng)一的管理配置和監(jiān)控。開放性就是提供標(biāo)準(zhǔn)的接口，使第三方產(chǎn)品很容易整合到系統(tǒng)中。智能防御未知威脅攻擊，就是充分利用和發(fā)揮大數(shù)據(jù)技術(shù)應(yīng)用于安全態(tài)勢和安全事件的深度挖掘和分析，對AET和APT進(jìn)行檢測和響應(yīng)，構(gòu)建智能化的主動防御系統(tǒng)。

通過信息安全管理平臺，對網(wǎng)絡(luò)系統(tǒng)、網(wǎng)絡(luò)安全設(shè)備以及主要應(yīng)用實(shí)施統(tǒng)一的安全策略、集中管理、集中審計、并通過網(wǎng)絡(luò)安全設(shè)備間的互動，應(yīng)對已知和未知的安全威脅，充分發(fā)揮網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的整體效能。

3 設(shè)計原則

依據(jù)GB17859-1999《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》和GB/T 20269-2006《信息安全技術(shù) 信息系統(tǒng)安全管理要求》，結(jié)合網(wǎng)絡(luò)安全管理的實(shí)際需求，按以下原則設(shè)計信息安全管理平臺。

（1） 標(biāo)準(zhǔn)化設(shè)計原則。為了能夠與第三方廠家安全產(chǎn)品聯(lián)動，安全管理平臺需制定安全產(chǎn)品互聯(lián)的接口標(biāo)準(zhǔn)，這個接口標(biāo)準(zhǔn)在業(yè)界應(yīng)具有權(quán)威性并易于操作，便于各廠家實(shí)現(xiàn)。

（2）逐步擴(kuò)充的原則。網(wǎng)絡(luò)系統(tǒng)安全集中管理包含的內(nèi)容很多，管理技術(shù)難度很大，安全管理平臺的建設(shè)應(yīng)選擇好切入點(diǎn)，本著由簡至繁，逐步擴(kuò)充的原則進(jìn)行。

（3）集中與分布的原則。許多單位網(wǎng)絡(luò)從結(jié)構(gòu)上看，呈樹狀的多節(jié)點(diǎn)分層（級）結(jié)構(gòu)。這些網(wǎng)絡(luò)具有分布廣、結(jié)構(gòu)復(fù)雜的特點(diǎn)。為此，可在各層（級）網(wǎng)管中心設(shè)置安全管理平臺，其作用是對本級局域網(wǎng)進(jìn)行集中安全管理；上級對下級采用分布式分級的方式進(jìn)行安全管理。

4 設(shè)計要求

（1）可擴(kuò)展性。信息安全管理平臺的系統(tǒng)設(shè)計，終端采用以對象模型驅(qū)動的管理機(jī)制，對象模型用XML語言描述，可以通過定義/修改對象模型的屬性（關(guān)系和操作），即插即用地擴(kuò)充和管理網(wǎng)絡(luò)終端及服務(wù)。此外，管理平臺主機(jī)在性能和帶寬上，應(yīng)留有一定冗余度，具有管理1000～5000個對象的擴(kuò)展能力。

（2）易用性。信息安全管理平臺提供的所有功能，應(yīng)做到操作簡易，界面友好，使用方便。

（3）經(jīng)濟(jì)性。信息安全管理平臺設(shè)計，應(yīng)采用先進(jìn)的、成熟的軟硬件IT技術(shù)，搞好總體設(shè)計，優(yōu)化軟件編程，避免重復(fù)投資，提高性能價格比。

（4）穩(wěn)定可靠性。信息安全管理平臺設(shè)計，應(yīng)重視硬件支撐設(shè)備的選型，性能上應(yīng)留有空間；安全管理軟件要經(jīng)過充分測試，不斷優(yōu)化，保證系統(tǒng)穩(wěn)定可靠運(yùn)行。

（5）自身安全性。信息安全管理平臺設(shè)計，要重視自身的安全性，系統(tǒng)應(yīng)具有管理員身份和權(quán)限的雙重鑒別能力，應(yīng)保證數(shù)據(jù)網(wǎng)上傳輸?shù)耐暾浴⒈Ｃ苄院蛿?shù)據(jù)記錄的真實(shí)可靠及抗抵賴性。

5 系統(tǒng)組成和主要功能

信息安全管理平臺的基本功能是：對網(wǎng)絡(luò)系統(tǒng)、安全設(shè)備、重要應(yīng)用實(shí)施統(tǒng)一管理、統(tǒng)一監(jiān)控、統(tǒng)一審計、協(xié)同防護(hù)，以充分發(fā)揮網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的整體作用，提高網(wǎng)絡(luò)安全防護(hù)的等級和水平。

5.1 系統(tǒng)組成

信息安全管理平臺由幾個模塊組成：人機(jī)界面模塊、總控模塊、安全網(wǎng)管模塊、安全監(jiān)控模塊、安全審計模塊、安全策略處理模塊、安全模塊、安全事件分析模塊、安全事件響應(yīng)模塊、設(shè)備配置模塊、平臺與設(shè)備接口模塊和安全管理數(shù)據(jù)庫。系統(tǒng)的邏輯結(jié)構(gòu)如圖1所示。

（1）人機(jī)界面模塊。面向安全管理員的操作控制界面。

（2）總控模塊。總控模塊控制信息安全管理平臺各模塊正常運(yùn)轉(zhuǎn)，其中包括網(wǎng)絡(luò)通信和通信加密程序，用于保障網(wǎng)絡(luò)間遠(yuǎn)程數(shù)據(jù)交換的安全（主要是真實(shí)性和完整性）。

（3）安全網(wǎng)管模塊。用于顯示網(wǎng)絡(luò)拓?fù)洳⑦M(jìn)行安全網(wǎng)管。

（4）安全監(jiān)控模塊。用于對網(wǎng)絡(luò)主機(jī)和網(wǎng)絡(luò)設(shè)備進(jìn)行安全監(jiān)控。

（5）安全審計模塊。接受操作系統(tǒng)或下一級安全管理平臺發(fā)來的安全日志；接收主機(jī)、防火墻、IDS等網(wǎng)絡(luò)安全設(shè)備發(fā)來的報警信息；接收網(wǎng)絡(luò)出口探針記錄的網(wǎng)絡(luò)數(shù)據(jù)流信息，存儲并實(shí)時進(jìn)行內(nèi)容審計。安全審計的方式有三種：基于規(guī)則和特征的安全檢測，基于數(shù)據(jù)流的安全檢測，基于特定場景深度數(shù)據(jù)挖掘的安全檢測。審計的結(jié)果：啟動報警系統(tǒng)和產(chǎn)生安全態(tài)勢報表。

（6）安全策略處理模塊。自動將安全策略翻譯成安全設(shè)備可執(zhí)行的規(guī)則。

（7）安全模塊。安裝在網(wǎng)絡(luò)客戶機(jī)（服務(wù)器、終端）操作系統(tǒng)中，與安全管理平臺上的安全監(jiān)控模塊配合使用。其作用是用于接收安全管理平臺發(fā)來的監(jiān)控指令和審計規(guī)則；監(jiān)視客戶機(jī)的工作狀態(tài)；根據(jù)規(guī)則進(jìn)行安全過濾和記錄；將安全記錄實(shí)時發(fā)回至安全管理平臺。

（8）安全事件關(guān)聯(lián)分析模塊。將所有收集到的安全事件按其對系統(tǒng)安全的危害程度等級進(jìn)行重要性排隊(duì)，然后調(diào)閱安全專家知識庫，對事件進(jìn)行基于規(guī)則的實(shí)時關(guān)聯(lián)分析，該模塊可引入大數(shù)據(jù)的歷史關(guān)聯(lián)分析能力，以提升關(guān)聯(lián)的可信度。最終將分析結(jié)果（關(guān)聯(lián)要素）和處理規(guī)則，提交安全事件響應(yīng)模塊或管理員處理。

（9）安全事件響應(yīng)模塊。按預(yù)先制定的安全事件處理規(guī)則（應(yīng)急預(yù)案）對事件自動進(jìn)行安全處置。

（10）系統(tǒng)配置模塊。對IDS/IPS、防火墻、內(nèi)容監(jiān)測、主機(jī)等安全系統(tǒng)設(shè)備或模塊進(jìn)行安全和審計規(guī)則的配置。

（11）平臺與設(shè)備接口模塊。實(shí)現(xiàn)信息安全管理平臺與各類網(wǎng)絡(luò)安全產(chǎn)品之間的標(biāo)準(zhǔn)數(shù)據(jù)交換。其流程是：各類安全產(chǎn)品將各自檢測到的安全日志通過接口模塊進(jìn)行格式轉(zhuǎn)換后發(fā)給平臺安全事件收集模塊，供安全管理平臺分析處理。平臺人機(jī)界面或安全事件響應(yīng)模塊發(fā)出的處置指令，通過接口模塊發(fā)給指定的安全設(shè)備，安全設(shè)備接到指令后按相應(yīng)安全策略執(zhí)行；信息安全管理平臺能夠管理的系統(tǒng)和設(shè)備有：防火墻、IDS/IPS、內(nèi)容監(jiān)測、路由器、交換機(jī)、網(wǎng)絡(luò)主機(jī)。

（12）安全管理數(shù)據(jù)庫。安全管理數(shù)據(jù)庫是安全管理平臺運(yùn)行的基礎(chǔ)資源，主要存放從本級和下級網(wǎng)絡(luò)采集來的所有安全數(shù)據(jù)（包括日志數(shù)據(jù)、設(shè)備狀態(tài)數(shù)據(jù)）、安全策略數(shù)據(jù)、安全專家知識、網(wǎng)絡(luò)拓?fù)溥B接關(guān)系、網(wǎng)絡(luò)中所有客戶機(jī)的詳細(xì)地址和安全管理平臺加工的各種報表數(shù)據(jù)等。

5.2 主要功能

（1）網(wǎng)絡(luò)安全管理。在各級安全管理平臺上動態(tài)顯示本級局域網(wǎng)當(dāng)前網(wǎng)絡(luò)拓?fù)洌鶕?jù)策略，適時改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。動態(tài)顯示網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)、服務(wù)器、終端）的在線狀態(tài)、參數(shù)配置，及時發(fā)現(xiàn)系統(tǒng)結(jié)構(gòu)變化情況和非授權(quán)聯(lián)網(wǎng)的情況，并予以響應(yīng)。

①自動識別網(wǎng)絡(luò)中主機(jī)的IP、機(jī)器名稱和MAC地址。

②按部門對設(shè)備（交換機(jī)、路由器）、主機(jī)和人員進(jìn)行管理。

③通過系統(tǒng)提供的智能學(xué)習(xí)功能，自動識別網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)。

④自動生成網(wǎng)絡(luò)拓?fù)鋱D（該網(wǎng)絡(luò)的真實(shí)物理聯(lián)接結(jié)構(gòu)圖），并能動態(tài)顯示當(dāng)前的網(wǎng)絡(luò)狀態(tài)，如圖2所示。

⑤動態(tài)顯示主機(jī)的當(dāng)前狀態(tài)，如合法使用（如IP和MAC地址的配對，已登記注冊的合法主機(jī)）、非法使用（如IP和MAC地址隨意更改） 、關(guān)機(jī)、不通或故障、未登記主機(jī)的入網(wǎng)使用等。

⑥可以自動發(fā)現(xiàn)入侵的主機(jī)，并關(guān)閉其網(wǎng)絡(luò)連接端口。

⑦提供主機(jī)與設(shè)備端口的綁定。

⑧提供網(wǎng)絡(luò)邏輯圖（顯示設(shè)備之間的連接關(guān)系）、網(wǎng)絡(luò)拓?fù)鋱D（顯示整個網(wǎng)絡(luò)中所有設(shè)備、主機(jī)及其連接關(guān)系）和組織結(jié)構(gòu)圖（顯示該單位的組織結(jié)構(gòu)），可以方便地在三種不同的顯示方式之間切換，便于網(wǎng)絡(luò)安全管理員全面掌握和操控整個網(wǎng)絡(luò)；在網(wǎng)絡(luò)拓?fù)鋱D中可以拖動設(shè)備（交換機(jī)、路由器、集線器）改變其相對位置；進(jìn)行文字和分組標(biāo)注；改變設(shè)備與設(shè)備、設(shè)備與主機(jī)之間的連接關(guān)系；還可以由系統(tǒng)對所有設(shè)備、主機(jī)進(jìn)行自動排列。

（2）網(wǎng)絡(luò)監(jiān)控管理。安全管理平臺上的網(wǎng)絡(luò)安全管理與監(jiān)控功能，可根據(jù)制定的安全策略，對受控主機(jī)進(jìn)行安全控制。

①對受控機(jī)進(jìn)行主機(jī)屏幕監(jiān)視或控制（接管）功能。

②對受控機(jī)部分或全部文件進(jìn)行訪問控制，即對文件的訪問，不僅要通過系統(tǒng)的認(rèn)證，還必須通過網(wǎng)絡(luò)安全管理與監(jiān)控系統(tǒng)的認(rèn)證才能訪問。

③對受控機(jī)網(wǎng)絡(luò)訪問進(jìn)行通斷控制。

④對受控機(jī)無線上網(wǎng)進(jìn)行阻斷控制。

⑤對受控機(jī)的打印機(jī)、USB移動設(shè)備進(jìn)行允許和阻斷控制。

⑥對受控機(jī)的進(jìn)程進(jìn)行監(jiān)控，可以控制指定進(jìn)程的加載。

⑦對受控機(jī)的internet訪問進(jìn)行基于IP和DNS的詳細(xì)控制，提供Internet網(wǎng)絡(luò)監(jiān)控。

（3）網(wǎng)絡(luò)安全設(shè)備管理。在各級安全管理平臺上，根據(jù)安全策略，對本級局域網(wǎng)設(shè)置的防火墻、IDS/IPS等進(jìn)行參數(shù)配置，并適時監(jiān)測安全設(shè)備的運(yùn)行狀態(tài)，以便及時處理。

（4）策略執(zhí)行管理。根據(jù)安全策略生成的安全規(guī)則，通過管理平臺向所有網(wǎng)絡(luò)系統(tǒng)中安全設(shè)備和主機(jī)用戶，實(shí)現(xiàn)對網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)客戶機(jī)、安全設(shè)備及主要應(yīng)用系統(tǒng)進(jìn)行控制的目的。

安全策略處理模塊功能有：對中層安全策略提供的形式化語言進(jìn)行程序處理，輸出安全設(shè)備安全規(guī)則配置表；安全管理員通過安全管理平臺設(shè)備配置界面手工配置安全規(guī)則配置表；將安全規(guī)則配置表通過網(wǎng)絡(luò)發(fā)給安全設(shè)備并執(zhí)行；安全管理平臺也可直接對網(wǎng)絡(luò)中的受控客戶機(jī)進(jìn)行安全規(guī)則配置。

（5）審計管理。審計數(shù)據(jù)的獲取有四條渠道：各客戶機(jī)上的模塊發(fā)來的內(nèi)網(wǎng)安全事件實(shí)時報警和安全日志信息；不同廠家安全產(chǎn)品（防火墻、IDS等）發(fā)來的安全事件報警和安全日志信息；下級安全管理平臺發(fā)來的安全日志和網(wǎng)絡(luò)探針發(fā)來的網(wǎng)絡(luò)數(shù)據(jù)流信息。緊急安全事件報警信息通過安全事件分析和響應(yīng)模塊實(shí)時處理。 安全日志直接存入安全日志數(shù)據(jù)庫。網(wǎng)絡(luò)數(shù)據(jù)流存入盤陣中，供事后歷史數(shù)據(jù)關(guān)聯(lián)分析和部分實(shí)時處理。

在各級安全管理平臺上的審計管理包括：對本級局域網(wǎng)絡(luò)系統(tǒng)中的設(shè)備（包括 路由器、交換機(jī)、服務(wù)器、數(shù)據(jù)庫、客戶機(jī)）根據(jù)預(yù)先制定的審計規(guī)則產(chǎn)生的故障、訪問、配置、外設(shè)的報警信息和安全日志進(jìn)行審計；對本級局域網(wǎng)絡(luò)安全防護(hù)設(shè)備（包括 防火墻、IDS/IPS）及主要應(yīng)用系統(tǒng)等在運(yùn)行中產(chǎn)生的安全日志，進(jìn)行采集、分析；上級安全管理平臺有選擇的抽取下級的安全事件進(jìn)行審計，對嚴(yán)重的安全事件及時督促下級采取相應(yīng)措施及時整改；對本級局域網(wǎng)中的進(jìn)出口數(shù)據(jù)流進(jìn)行記錄和實(shí)時異常檢測。

審計內(nèi)容涉及十個方面。

①對受控機(jī)文件按IP地址、操作時間、操作類型、操作內(nèi)容、用戶名、機(jī)器名等進(jìn)行審計。

②對受控機(jī)進(jìn)行基于IP（源IP、目的IP）和DNS的internet訪問審計，審計內(nèi)容為源IP、目的IP、訪問時間、協(xié)議、服務(wù)和訪問內(nèi)容等。

③對受控機(jī)進(jìn)行程序和服務(wù)的安裝與卸載進(jìn)行審計，審計內(nèi)容為IP地址、操作時間、操作類型、程序（服務(wù)）名、操作用戶名等。

④對受控機(jī)進(jìn)行本地用戶登錄審計，審計內(nèi)容為IP地址、登錄時間、退出時間、登錄用戶名等。

⑤對受控機(jī)的打印機(jī)使用進(jìn)行審計，審計內(nèi)容為IP地址、打印時間、打印機(jī)名稱、文檔名稱和用戶名等。

⑥對受控機(jī)的USB移動存儲設(shè)備使用進(jìn)行審計，審計內(nèi)容為IP地址、時間、外設(shè)名稱、狀態(tài)等。

⑦對受控機(jī)的盤符狀態(tài)進(jìn)行審計，審計內(nèi)容為IP地址、時間、盤符、狀態(tài)等。

⑧對受控機(jī)的進(jìn)程狀況進(jìn)行審計，即受控機(jī)使用程序的狀況。

⑨對IDS/IPS探測到的非法入侵事件進(jìn)行審計。

⑩對網(wǎng)絡(luò)探針發(fā)來的數(shù)據(jù)流進(jìn)行審計。

安全管理員可通過系統(tǒng)隨時調(diào)閱安全日志、網(wǎng)絡(luò)狀態(tài)以及網(wǎng)絡(luò)流量等信息，并進(jìn)行統(tǒng)計查詢。這些信息是事后了解和判斷網(wǎng)絡(luò)安全事故的寶貴資料。

（6）網(wǎng)絡(luò)病毒監(jiān)控管理。在各級安全管理平臺上，建立病毒集中管理監(jiān)控機(jī)制，實(shí)現(xiàn)網(wǎng)絡(luò)病毒的監(jiān)控與管理。防病毒系統(tǒng)應(yīng)包括單機(jī)版、網(wǎng)絡(luò)版和防病毒網(wǎng)關(guān)，在信息安全管理平臺上對本級網(wǎng)絡(luò)節(jié)點(diǎn)的防病毒運(yùn)行情況進(jìn)行監(jiān)控，如防病毒庫、掃描引擎更新日期、系統(tǒng)配置等。具體實(shí)現(xiàn)：確保防病毒策略統(tǒng)一部署，統(tǒng)一實(shí)施，保證防病毒體系執(zhí)行相同的安全策略，防止出現(xiàn)病毒安全防御中的漏洞；保證系統(tǒng)管理員了解整體防病毒體系的工作狀態(tài)，從整體防控的高度掌握病毒入侵的情況，從而采取必要的措施，及時提供新的防病毒升級庫；通過信息安全管理平臺提供的信息，與防病毒廠商保持熱線聯(lián)系與技術(shù)支持。

（7）應(yīng)用系統(tǒng)監(jiān)測。信息安全建設(shè)的一個重要內(nèi)容是確保網(wǎng)上關(guān)鍵業(yè)務(wù)的可靠性、可信性、可用性。因此，對網(wǎng)上關(guān)健業(yè)務(wù)的監(jiān)測記錄非常重要，主要體現(xiàn)在四個方面：監(jiān)測記錄關(guān)鍵業(yè)務(wù)系統(tǒng)在網(wǎng)絡(luò)中會話過程，可以幫助分析有無非法插入、偽裝的業(yè)務(wù)會話；阻止偽裝的業(yè)務(wù)會話與關(guān)鍵業(yè)務(wù)交互，確保業(yè)務(wù)流程的可信性；監(jiān)測分析關(guān)鍵業(yè)務(wù)會話過程的響應(yīng)與交互時間，找出影響關(guān)鍵業(yè)務(wù)系統(tǒng)網(wǎng)上運(yùn)行效率的問題，確保業(yè)務(wù)流程的可用性；應(yīng)用系統(tǒng)的監(jiān)測主要通過內(nèi)容監(jiān)測系統(tǒng)和網(wǎng)絡(luò)探頭實(shí)現(xiàn)。

（8）安全事件處理。信息安全管理平臺上收到IDS/IPS、防火墻和網(wǎng)絡(luò)受控主機(jī)發(fā)來的安全事件時，將其打入事件隊(duì)列。事件隊(duì)列依據(jù)等級排隊(duì)后，則交給安全事件關(guān)聯(lián)分析模塊，使用專家知識或決策分析算法對事件進(jìn)行關(guān)聯(lián)分析并按預(yù)案和規(guī)則給出處置策略，然后交給安全事件響應(yīng)模塊進(jìn)行自動化智能處理或交給安全管理員處理。

6 系統(tǒng)應(yīng)用模型

（1）分布式多層次的管理結(jié)構(gòu)。由于大多數(shù)網(wǎng)絡(luò)是一個多層次的樹狀網(wǎng)絡(luò)系統(tǒng)，結(jié)構(gòu)復(fù)雜、分布范圍寬、網(wǎng)絡(luò)客戶機(jī)多，所以應(yīng)按照分布式多層次的管理結(jié)構(gòu)進(jìn)行安全管理，如圖3所示，某單位網(wǎng)絡(luò)假設(shè)三級網(wǎng)絡(luò)安全管理中心，每個中心設(shè)一臺安全管理平臺，遂行本級網(wǎng)絡(luò)的安全管理。上級管理中心通過安全管理平臺將必要的安全策略，標(biāo)準(zhǔn)和協(xié)議信息下傳給下級管理中心。上級管理中心也可通過安全管理平臺獲取下級管理中心的審計信息。如上級的安全管理平臺通過網(wǎng)絡(luò)可調(diào)看下級的網(wǎng)絡(luò)拓?fù)浜桶踩录幹脠蟾妫莆障录壍木W(wǎng)絡(luò)安全狀況。

（2）各級安全管理中心的數(shù)據(jù)傳輸模式。安全管理中心的安全數(shù)據(jù)上傳和下達(dá)采用C/S模式，一般由上級管理中心提出申請，下級管理中心回應(yīng)。因?yàn)榫陀嬎銠C(jī)網(wǎng)絡(luò)的安全防護(hù)系統(tǒng)實(shí)際運(yùn)行狀況來看，總是要求下級管理中心上報的數(shù)據(jù)多于上級管理中心向下傳達(dá)的數(shù)據(jù)。為了保證數(shù)據(jù)傳輸?shù)膶?shí)時準(zhǔn)確，以上級管理中心為Server，下級管理中心為Client。下級管理中心是多對一的數(shù)據(jù)交流模式。對于上級管理中心下傳數(shù)據(jù)，采取下級管理中心的數(shù)據(jù)庫按時輪訊的方式實(shí)現(xiàn)。

當(dāng)安全管理中心多于兩級時，數(shù)據(jù)傳輸模式如圖4所示。

（3）安全數(shù)據(jù)交換的一致性保證。為保證安全管理中心之間數(shù)據(jù)交換的一致性，采用事務(wù)提交與時間標(biāo)簽相結(jié)合的方式來實(shí)現(xiàn)。安全數(shù)據(jù)的事務(wù)提交：由于上下級之間是跨區(qū)域的遠(yuǎn)程傳輸，為保證數(shù)據(jù)的完整性，采用數(shù)據(jù)的事務(wù)提交方式來處理，每一次傳輸?shù)臄?shù)據(jù)將是一個整體事件的所有數(shù)據(jù)，這樣就能保證數(shù)據(jù)的完整性。反之，則必須重傳。為了處理重傳同步和上下級之間的一致性，我們?yōu)槊恳粋€事務(wù)加一個時間標(biāo)簽，即每次傳輸完一個事務(wù)的所有數(shù)據(jù)時同時加傳一個時間標(biāo)簽記錄。這個記錄至少應(yīng)有如下幾項(xiàng)：日期時間、事務(wù)名、該事務(wù)的記錄數(shù)。

收方當(dāng)收到這個時間標(biāo)簽后， 則表明一個事務(wù)的數(shù)據(jù)傳輸結(jié)束，則可以更新數(shù)據(jù)，同時將此時間標(biāo)簽保存下來，并回發(fā)一個確認(rèn)包。發(fā)送方如收到這個包，則認(rèn)為上級中心已更新了這個事務(wù)的數(shù)據(jù)，就從時間標(biāo)簽隊(duì)列里清除掉這個時間標(biāo)簽。

上述過程已完整地表述了異地數(shù)據(jù)一致性分布的實(shí)現(xiàn)方法，如圖5所示。

7 系統(tǒng)安全管理流程

信息安全管理平臺的安全管理貫穿整個信息系統(tǒng)運(yùn)行過程，包括事前、事中、事后等過程。

（1）信息系統(tǒng)運(yùn)行前。安全管理平臺對信息系統(tǒng)的安全管理，從實(shí)施前的安全策略的制定、風(fēng)險評估分析、系統(tǒng)安全加固以及對實(shí)施人員進(jìn)行安全訓(xùn)練就已經(jīng)開始，保證在已有的安全防護(hù)體系條件下對系統(tǒng)存在的安全隱患和將實(shí)施的安全策略心中有數(shù)。

（2）信息系統(tǒng)運(yùn)行中。在系統(tǒng)運(yùn)行過程中，對網(wǎng)絡(luò)中的各種主機(jī)、安全設(shè)備實(shí)施全程安全監(jiān)控，安全運(yùn)行日志同時進(jìn)行詳細(xì)的記錄，在系統(tǒng)發(fā)生安全事件時，根據(jù)事件等級進(jìn)行排隊(duì)，安全管理平臺實(shí)時調(diào)用相應(yīng)的事件處理機(jī)制。事件的處理機(jī)制見事件處理流程如圖6所示。

（3）信息系統(tǒng)運(yùn)行后。定期組織進(jìn)行安全自查，消除安全隱患。通過分析系統(tǒng)運(yùn)行的狀況（包括性能分析、日志跟蹤、故障出現(xiàn)概率統(tǒng)計等），提出新的安全需求，進(jìn)行技術(shù)改進(jìn)，包括系統(tǒng)升級、加固和變更管理。

（4）安全事件管理方式和處理流程。

自動處理： 將預(yù)案中的安全事件及其處理辦法（如系統(tǒng)弱點(diǎn)漏洞、惡意攻擊特征、病毒感染特征、網(wǎng)絡(luò)故障和違規(guī)操作、防火墻與IDS聯(lián)動、沙箱模擬運(yùn)行等）存入安全知識庫并形成相應(yīng)的處理規(guī)則，當(dāng)相應(yīng)事件出現(xiàn)時，系統(tǒng)將根據(jù)處理規(guī)則進(jìn)行自動處理。

人工干預(yù)處理：根據(jù)情況的需要，也可在信息安全管理平臺上按事件級別進(jìn)行人工干預(yù)處理，主要包括技術(shù)咨詢、數(shù)據(jù)恢復(fù)、系統(tǒng)恢復(fù)、系統(tǒng)加固、現(xiàn)場問題處理、跟蹤攻擊源、處理報告提交等。

遠(yuǎn)程處理：當(dāng)安全管理員從管理平臺的拓?fù)鋱D上觀察到安全事件發(fā)生時或收到下級轉(zhuǎn)交的要求協(xié)助解決的安全事件時，除了直接提供處理方案給對方外，還可以通過遠(yuǎn)程操作直接對發(fā)生安全事件的系統(tǒng)進(jìn)行診斷和處理。

決策分析處理：決策分析模塊預(yù)先收集、整理安全事件的資料，組織安全專家根據(jù)事件類型、出現(xiàn)事件的設(shè)備、事件發(fā)生的頻繁度、事件的危害程度等因素列出等級、層次并打分，列出判斷矩陣，運(yùn)用層次分析法求解判斷矩陣，分別計算出各因素的權(quán)重值，一并存入專家知識庫中。運(yùn)行時將調(diào)用專家知識庫對實(shí)時收到的系統(tǒng)安全事件進(jìn)行判斷和計算，如果是單條事件根據(jù)預(yù)案直接處置，多條事件則求出組合權(quán)重值并對事件排隊(duì)，系統(tǒng)根據(jù)事件重要程度依據(jù)預(yù)案依次處置。

安全系統(tǒng)聯(lián)動處理：安全事件響應(yīng)模塊根據(jù)安全事件關(guān)聯(lián)分析模塊發(fā)來的安全事件關(guān)聯(lián)要素調(diào)用應(yīng)急預(yù)案庫進(jìn)行安全設(shè)備聯(lián)動處理，如收到IDS檢測到某協(xié)議某端口有DDOS攻擊，依據(jù)預(yù)案將發(fā)送安全規(guī)則給總出口的防火墻，及時關(guān)閉該協(xié)議和端口。以實(shí)現(xiàn)一體化安全管理。

記錄和事后處理：信息安全管理平臺在信息系統(tǒng)運(yùn)行時收集并記錄所有的安全事件和報警信息，這些事件和信息將作為事后分析的依據(jù)。

8 關(guān)鍵技術(shù)及設(shè)計思路

一個系統(tǒng)是否先進(jìn)和實(shí)用，關(guān)鍵是系統(tǒng)的設(shè)計思想和所應(yīng)用的技術(shù)。為了使下一代信息安全管理平臺具有創(chuàng)新性，我們提出了“應(yīng)用大數(shù)據(jù)挖掘及分析技術(shù)”和“重點(diǎn)防御AET和APT”的設(shè)計思想，并且應(yīng)用了多方面的先進(jìn)技術(shù)。

在本系統(tǒng)中，采用了幾項(xiàng)技術(shù)：形式化語言翻譯技術(shù)；安全產(chǎn)品數(shù)據(jù)交換標(biāo)準(zhǔn)；安全事件決策分析技術(shù)；高性能數(shù)據(jù)采集器；安全事件的關(guān)聯(lián)分析；大數(shù)據(jù)挖掘分析；AET和APT檢測技術(shù)。

（1）安全產(chǎn)品數(shù)據(jù)交換標(biāo)準(zhǔn)。為市場上的安全產(chǎn)品（如防火墻、IDS/IPS、漏洞掃描、安全審計和防病毒產(chǎn)品等）制定數(shù)據(jù)交換標(biāo)準(zhǔn)。為此，所有安全產(chǎn)品都必須清楚地描述幾方面內(nèi)容（BNF描述法）：

：：=

：：=||

：：=|

：：=||||

：：=||||

：：=||||

：：=||||

（2）高性能數(shù)據(jù)采集器。高性能數(shù)據(jù)采集器也叫探針，是信息內(nèi)容監(jiān)測系統(tǒng)和大數(shù)據(jù)安全分析的前端設(shè)備，該設(shè)備性能的好壞直接影響系統(tǒng)的功能和性能。如法國GN Fastnet C Probe硬件設(shè)備，該設(shè)備的特點(diǎn)是：直接嵌入需要監(jiān)測的網(wǎng)絡(luò)；不損失網(wǎng)絡(luò)性能與效率，能夠適應(yīng)多種網(wǎng)絡(luò)環(huán)境，能夠采集多種協(xié)議下的數(shù)據(jù)流信息；全線速采集數(shù)據(jù)100M

利用該設(shè)備作為信息內(nèi)容監(jiān)測系統(tǒng)和大數(shù)據(jù)安全分析的數(shù)據(jù)采集設(shè)備，能夠適應(yīng)多種類型的網(wǎng)絡(luò)接口：局域網(wǎng)、企業(yè)網(wǎng)、廣域網(wǎng)、快速以太網(wǎng)等，它的高性能的數(shù)據(jù)采集能力，極大地降低了系統(tǒng)數(shù)據(jù)采集的漏包率。

（3）安全事件的關(guān)聯(lián)分析。對包含安全事件的數(shù)據(jù)流進(jìn)行分析，如果是結(jié)構(gòu)化數(shù)據(jù)可在基于經(jīng)驗(yàn)知識，人工建立的規(guī)則和模型基礎(chǔ)上，進(jìn)行簡單的關(guān)聯(lián)：安全事件與用戶身份的關(guān)聯(lián)分析實(shí)現(xiàn)安全事件到“人”的定位；安全事件與系統(tǒng)脆弱性信息的關(guān)聯(lián)分析實(shí)現(xiàn)安全事件危害程度的正確評估；安全事件與威脅源關(guān)聯(lián)分析提高評估安全事件的級別和緊急程度的可信度；多個安全事件的關(guān)聯(lián)分析，聚焦安全事件的連鎖危害，提升安全事件的嚴(yán)重級別和緊急程度；泄密安全事件與身份信息的關(guān)聯(lián)實(shí)現(xiàn)泄密源的真正定位；安全事件自身關(guān)聯(lián)實(shí)現(xiàn)安全事件活動場景的全展現(xiàn)；安全事件與流量樣本數(shù)據(jù)關(guān)聯(lián)分析，判斷安全事件的性質(zhì)（是否AET或APT攻擊）。

（4）大數(shù)據(jù)挖掘和分析。目前的大數(shù)據(jù)分析主要有兩條技術(shù)路線，一是憑借先驗(yàn)知識人工建立數(shù)學(xué)模型，二是通過建立人工智能系統(tǒng)，使用大量樣本數(shù)據(jù)進(jìn)行訓(xùn)練，讓機(jī)器代替人工獲得從數(shù)據(jù)中提取知識的能力。

由于AET和APT攻擊的數(shù)據(jù)包大部是非結(jié)構(gòu)化或半結(jié)構(gòu)化數(shù)據(jù)，模式不明且多變，因此難以靠人工建立數(shù)據(jù)模型去挖掘其特征，只能通過人工智能和機(jī)器學(xué)習(xí)技術(shù)進(jìn)行分析判斷。

應(yīng)用大數(shù)據(jù)挖掘和分析新型網(wǎng)絡(luò)攻擊的思路：通過大數(shù)據(jù)解決方案將相關(guān)歷史數(shù)據(jù)（攻擊流量）保存下來，通過人工智能軟件來分析這些樣本并提取相應(yīng)的知識，將疑似AET和APT攻擊的異常樣本知識存入專家知識庫。

大數(shù)據(jù)挖掘和分析在平臺中主要用于分析與檢測：流量異常分析，行為異常分析，內(nèi)容異常分析，日志與網(wǎng)絡(luò)數(shù)據(jù)流的關(guān)聯(lián)分析，威脅與脆弱性的關(guān)聯(lián)分析，基于正常的安全基線模型檢測異常事件。

（5）AET和APT檢測判斷技術(shù)。未知威脅最典型也是最難檢測的屬AET和APT，所以新一代信息安全管理平臺中的IDS/IPS和防火墻必須包括不斷更新的AET庫，專家知識庫中應(yīng)包括APT攻擊樣本知識，因?yàn)锳ET和APT用傳統(tǒng)的威脅攻擊特征庫根本無法比對發(fā)現(xiàn)。AET主要通過先進(jìn)的AET知識庫進(jìn)行合規(guī)性判別，其核心的先進(jìn)檢測技術(shù)主要包括“對全協(xié)議層數(shù)據(jù)流進(jìn)行解碼和規(guī)范化”，“基于規(guī)范化的逃避技術(shù)清除”，“基于應(yīng)用層數(shù)據(jù)流的特征檢測” 。

APT可以通過多種手段進(jìn)行分析檢測：收集來自IT系統(tǒng)的各種信息，如圖8所示。

基于流量統(tǒng)計的檢測。記錄關(guān)鍵節(jié)點(diǎn)的正常網(wǎng)絡(luò)通信數(shù)據(jù)包樣本，以樣本特征檢測為輔異常檢測為主，通過異常檢測發(fā)現(xiàn)未知的入侵。

沙盒分析與入侵指標(biāo)確認(rèn)。將疑似APT數(shù)據(jù)包組裝好，放入沙盒（緩存）中模擬運(yùn)行（引爆）并與入侵指標(biāo)（活動進(jìn)程、操作行為、注冊表項(xiàng)等）比對加以驗(yàn)證。

9 安全管理數(shù)據(jù)庫系統(tǒng)的設(shè)計

（1）數(shù)據(jù)組織與分類。根據(jù)信息安全管理平臺的需求，安全管理數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)內(nèi)容包括：管理信息、網(wǎng)管信息、安全審計、專家知識四類十余種數(shù)據(jù)格式。安全管理數(shù)據(jù)庫系統(tǒng)，是以四類數(shù)據(jù)為處理對象，實(shí)現(xiàn)對信息安全管理平臺數(shù)據(jù)的積累、存貯管理、更新、查詢及處理功能的數(shù)據(jù)庫應(yīng)用系統(tǒng)。經(jīng)過數(shù)據(jù)庫設(shè)計，安全管理數(shù)據(jù)庫系統(tǒng)的四類十余種數(shù)據(jù)格式，規(guī)范分解為包括10余種關(guān)系結(jié)構(gòu)的關(guān)系模型，在此基礎(chǔ)上可根據(jù)用戶應(yīng)用要求設(shè)計多種格式的審計報表。

（2）數(shù)據(jù)庫結(jié)構(gòu)框圖。通過上述信息安全管理平臺的設(shè)計思路簡介，可以大致了解新一代信息安全管理平臺的工作過程和在網(wǎng)絡(luò)安全管理上發(fā)揮的作用，我們希望早日看到擁有自主知識產(chǎn)權(quán)的國產(chǎn)信息安全管理平臺在我國重要信息系統(tǒng)的網(wǎng)絡(luò)安全管理上發(fā)揮重要的作用。

【注1】 AET（Advanced Evasion Techniques），有的文章譯為高級逃避技術(shù)、高級逃逸技術(shù)，筆者認(rèn)為譯為高級隱遁技術(shù)比較貼切，即說明采用這種技術(shù)的攻擊不留痕跡，又可躲避IDS、IPS的檢測和阻攔。

【注2】 APT（Advanced Persistent Threat）直譯為高級持續(xù)性威脅。這種威脅的特點(diǎn)，一是具有極強(qiáng)的隱蔽能力和很強(qiáng)的針對性；二是一種長期而復(fù)雜的威脅方式。它通常使用特種攻擊技術(shù)（包括高級隱遁技術(shù)）對目標(biāo)進(jìn)行長期的、不定期的探測（攻擊）。

參考文獻(xiàn)

[1] 信息安全管理平臺的設(shè)計[J].計算機(jī)安全，2003年第12期.

[2] CNGate 下一代高智能入侵防御系統(tǒng).北京科能騰達(dá)信息技術(shù)有限公司，2012年8月.

[3] 高級隱遁技術(shù)對當(dāng)前信息安全防護(hù)提出的嚴(yán)峻挑戰(zhàn)[J].計算機(jī)安全，2012年第12期.

[4] 高級隱遁攻擊的技術(shù)特點(diǎn)研究[J].計算機(jī)安全，2013年第3期.

[5] 星云多維度威脅預(yù)警系統(tǒng)V2.0.南京翰海源信息技術(shù)有限公司，2013年12月.

[6] 我國防護(hù)特種網(wǎng)絡(luò)攻擊技術(shù)現(xiàn)狀[J].信息安全與技術(shù)，2014年第5期.

[7] 大數(shù)據(jù)白皮書2014年.工業(yè)和信息化部電信研究院，2014年5月.

[8] 提高對新型網(wǎng)絡(luò)攻擊危害性的認(rèn)識 增強(qiáng)我國自主安全檢測和防護(hù)能力[J].信息安全與技術(shù)，2014年第10期.

篇8

一、互聯(lián)網(wǎng)金融概況

（一）互聯(lián)網(wǎng)金融的概念。互聯(lián)網(wǎng)金融有機(jī)結(jié)合了互聯(lián)網(wǎng)技術(shù)與傳統(tǒng)的金融功能，依托大數(shù)據(jù)和云計算在開放的互聯(lián)網(wǎng)平臺上形成的功能化金融業(yè)態(tài)及服務(wù)體系，具有普惠金融、平臺金融、信息金融和碎片金融等相異于傳統(tǒng)金融的金融模式。

（二）互聯(lián)網(wǎng)金融的實(shí)質(zhì)。從融資模式角度看，互聯(lián)網(wǎng)金融模式區(qū)別于傳統(tǒng)的金融模式，它是與銀行的間接融資和資本市場的直接融資完全不同的一種全新的融資模式，從本質(zhì)上來講它仍然是一種直接的融資模式。但是與傳統(tǒng)的直接融資模式比較的話，互聯(lián)網(wǎng)金融具有信息量大、交易成本低、效率高等特點(diǎn)。

（三）互聯(lián)網(wǎng)金融的發(fā)展現(xiàn)狀。近年來，我國互聯(lián)網(wǎng)金融業(yè)蓬勃發(fā)展，并迅速成長。在2013年之后，各類互聯(lián)網(wǎng)金融產(chǎn)品在我國大量出現(xiàn)，互聯(lián)網(wǎng)金融的業(yè)務(wù)體系也從單一向多元化發(fā)展，互聯(lián)網(wǎng)理財、互聯(lián)網(wǎng)貸款、互聯(lián)網(wǎng)保險等諸多互聯(lián)網(wǎng)金融產(chǎn)品走入人們生活之中。據(jù)螞蟻金服公布的余額寶數(shù)據(jù)顯示，截止2015年底，余額寶的規(guī)模增至6207億元，其規(guī)模已經(jīng)相當(dāng)于一家國內(nèi)中型銀行的規(guī)模。另外，互聯(lián)網(wǎng)金融綜合運(yùn)營成本低，以小微客戶為主要客戶群體，并且注重客戶體驗(yàn)，對客戶的粘性較強(qiáng)，服務(wù)范圍廣，潛在客戶群體廣闊。螞蟻金服的數(shù)據(jù)顯示，2015年余額寶用戶中，農(nóng)村地區(qū)的用戶規(guī)模同比2014激增了65%，數(shù)量占到整體的15.1%；發(fā)達(dá)城市新用戶中，外來務(wù)工人員占比上升至一半以上；90后取代80后，成為互聯(lián)網(wǎng)理財中堅力量。

互聯(lián)網(wǎng)金融的異軍突起不可謂對傳統(tǒng)商業(yè)銀行的發(fā)展提出了嚴(yán)峻的挑戰(zhàn)，同時也加速了傳統(tǒng)商業(yè)銀行的改革步伐。2015年提出的“互聯(lián)網(wǎng)+銀行”計劃，為商業(yè)銀行在互聯(lián)網(wǎng)金融這一時代大背景下的變革指明了出路。與此同時，這些改革也使商業(yè)銀行的審計面臨新的挑戰(zhàn)。

二、互聯(lián)網(wǎng)金融時代商業(yè)銀行審計現(xiàn)狀及成因

（一）風(fēng)險管理的變革帶來的審計風(fēng)險。風(fēng)險管理作為商業(yè)銀行的核心競爭力，我國商業(yè)銀行從安全控制、信息共享、流程管理等方面入手，同時利用互聯(lián)網(wǎng)大數(shù)據(jù)技術(shù)擴(kuò)寬了風(fēng)險管理的數(shù)據(jù)源，重檢并規(guī)整了內(nèi)部IT整體框架，實(shí)現(xiàn)了商業(yè)銀行對風(fēng)險管理的升級與完善。銀行也逐步從傳統(tǒng)的追求利潤的粗放經(jīng)營模式，向風(fēng)險與收益相匹配的精細(xì)化管理模式轉(zhuǎn)變。

在對銀行執(zhí)行相關(guān)審計業(yè)務(wù)時，考慮到風(fēng)險管理對商業(yè)銀行的特殊意義，要求審計人員要對銀行的風(fēng)險管理狀況和模式有整體細(xì)致的把握，評價風(fēng)險管理的有效性。因此，要求審計人員了解并熟練運(yùn)用風(fēng)險管理的相關(guān)知識和技能，這對注冊會計師的專業(yè)勝任能力提出了新的要求和挑戰(zhàn)。

風(fēng)險管理與業(yè)務(wù)經(jīng)營之間錯綜復(fù)雜的關(guān)系，以及各種風(fēng)險因素之間的相互關(guān)聯(lián)性，給注冊會計師識別和評價風(fēng)險因素帶來了困難，使得審計人員在考慮與財務(wù)報表的重大錯報相關(guān)性時難以確定相關(guān)的風(fēng)險因素。這也給評估風(fēng)險范圍和程序造成了較大的影響。

（二）金融產(chǎn)品和服務(wù)的創(chuàng)新帶來的審計風(fēng)險。為了應(yīng)對互聯(lián)網(wǎng)金融的沖擊，直銷銀行應(yīng)運(yùn)而生。《2016中國直銷銀行市場專題研究報告》顯示，截止到2016年3月1日，已有55家商業(yè)銀行推出直銷銀行服務(wù)，其中81.8%為股份制商業(yè)銀行及城市商業(yè)銀行。60%以上的直銷銀行以貨幣基金、銀行理財及存款產(chǎn)品為主要業(yè)務(wù)，成為商業(yè)銀行擴(kuò)展理財業(yè)務(wù)的主要渠道。而直銷銀行多選擇移動端及PC端作為推出渠道。

與此同時，“互聯(lián)網(wǎng)+銀行”計劃給銀行的跨業(yè)經(jīng)營提供了便利。傳統(tǒng)的銀行業(yè)務(wù)不再是商業(yè)銀行的主要業(yè)務(wù)，越來越多的銀行通過新設(shè)或者并購的方式形成子公司，涉足證券、保險、基金、融資租賃等其他金融業(yè)態(tài)。另一方面，也有越來越多的銀行成為保險公司、資產(chǎn)管理公司等的子公司。

直銷銀行等一系列創(chuàng)新產(chǎn)品和服務(wù)的監(jiān)管往往不是很明確，對于相關(guān)業(yè)務(wù)的會計處理缺乏統(tǒng)一標(biāo)準(zhǔn)，相關(guān)的信息披露也沒有明確要求。這就要求注冊會計師在不斷深入了解新產(chǎn)品，對其風(fēng)險和收益做出評價的同時，考慮如何合理運(yùn)用企業(yè)會計準(zhǔn)則的原則，對被審銀行的會計處理方案進(jìn)行判斷。

而商業(yè)銀行的跨業(yè)經(jīng)營也使審計工作的組織難度加大，對于那些控股多個金融業(yè)態(tài)的商業(yè)銀行，注冊會計師不僅要考慮被審單位業(yè)務(wù)是否符合各個行業(yè)的監(jiān)管要求，而且要考慮是否滿足《企業(yè)會計準(zhǔn)則》規(guī)范。這是對注冊會計師綜合服務(wù)能力的巨大挑戰(zhàn)，也加大了商業(yè)銀行的審計風(fēng)險。

（三）計算機(jī)信息系統(tǒng)的運(yùn)用帶來的審計風(fēng)險。“互聯(lián)網(wǎng)+銀行”的模式促進(jìn)了商業(yè)銀行計算機(jī)信息系統(tǒng)的改革與升級。為了做好資源挖掘，商業(yè)銀行充分利用大數(shù)據(jù)分析，了解客戶消費(fèi)傾向與習(xí)慣，預(yù)測客戶行為，為產(chǎn)品和服務(wù)創(chuàng)新提供更加系統(tǒng)化的支持。同時，由于商業(yè)銀行在互聯(lián)網(wǎng)金融時代大背景下，推出多種跨業(yè)業(yè)務(wù)，銀行不得不同時使用多種不同的業(yè)務(wù)處理系統(tǒng)。此外，直銷銀行多采用線上業(yè)務(wù)辦理，打破了傳統(tǒng)銀行在時間空間上的限制。民生銀行的線上客戶數(shù)據(jù)顯示，超過80%的客戶選擇通過移動終端使用民生直銷銀行，超過40%的客戶選擇在下午進(jìn)行投資理財，甚至有3%的客戶會在凌晨打理資產(chǎn)。直銷銀行的產(chǎn)生使銀行網(wǎng)點(diǎn)虛擬化，為客戶與銀行提供了便利。

傳統(tǒng)商業(yè)銀行的有非常清晰的審計線索，因?yàn)樗械慕?jīng)濟(jì)業(yè)務(wù)都用文字記錄，有憑證可查。但是互聯(lián)網(wǎng)金融時代商業(yè)銀行的資料全部實(shí)現(xiàn)了電子化及會計業(yè)務(wù)處理的程序化和自動化，傳統(tǒng)的審計線索被中斷。而多種業(yè)務(wù)系統(tǒng)的運(yùn)用，也給注冊會計師在不同系統(tǒng)之間的數(shù)據(jù)接口，選取審計對象和方法審計方法帶來了諸多困難。而計算機(jī)信息系統(tǒng)如果對一些新業(yè)務(wù)處理功能欠缺或者運(yùn)行不穩(wěn)定，這往往是財務(wù)報表存在錯報的高風(fēng)險區(qū)域。

三、互聯(lián)網(wǎng)金融時代商業(yè)銀行審計風(fēng)險防范措施

（一）提高注冊會計師的專業(yè)勝任能力同時聘請專家參與審計工作。通過以上對互聯(lián)網(wǎng)金融時代商業(yè)銀行審計業(yè)務(wù)所面臨的風(fēng)險的分析，我們可以看出，商業(yè)銀行的變革對注冊會計師的專業(yè)勝任能力提出了新的挑戰(zhàn)。商業(yè)銀行風(fēng)險管理的變革要求注冊會計師對風(fēng)險管理要有深入全面的了解，所以，審計人員應(yīng)加強(qiáng)對風(fēng)險管理有關(guān)知識的學(xué)習(xí)和研究，熟練掌握風(fēng)險管理的相關(guān)技能。注冊會計師也要在工作中對風(fēng)險管理這方面多做總結(jié)，得出經(jīng)驗(yàn)，才能在識別和評價錯報風(fēng)險時有的放矢。

商業(yè)銀行的風(fēng)險管理過程中涉及的專業(yè)知識和技能已經(jīng)超出了注冊會計師通常了解和掌握的范疇。在這樣的情況下，聘請風(fēng)險管理專家有助于審計人員對商業(yè)銀行風(fēng)險管理進(jìn)行深入的了解和評價，做出合理的錯報估計。另外，聘請專家參與審計工作時也要考慮專家的專業(yè)勝任能力和客觀性，審計組也要對聘請的專家實(shí)行嚴(yán)格管理，專家也應(yīng)遵守相關(guān)審計規(guī)范，保持職業(yè)操守，保守工作機(jī)密。

（二）采用以風(fēng)險為導(dǎo)向的審計策略。商業(yè)銀行龐雜的分支機(jī)構(gòu)和繁多的業(yè)務(wù)品種相較于其他行業(yè)而言，為注冊會計師帶來了較高的審計風(fēng)險，特別是為了應(yīng)對互聯(lián)網(wǎng)金融的沖擊，商業(yè)銀行對金融產(chǎn)品和服務(wù)進(jìn)行不斷創(chuàng)新，更是增加了審計的風(fēng)險。因此，更需要審計人員以風(fēng)險為導(dǎo)向，有針對性地對高風(fēng)險領(lǐng)域投入更多的審計資源。注冊會計師需要對商業(yè)銀行行業(yè)性的普遍風(fēng)險以及被審單位的特別風(fēng)險因素予以特別關(guān)注，以便對財務(wù)報表的高風(fēng)險區(qū)域進(jìn)行識別和評估。在審計工作中，注冊會計師除了需要關(guān)注財務(wù)報表發(fā)生重大錯報風(fēng)險進(jìn)行還要考慮合規(guī)風(fēng)險、聲譽(yù)風(fēng)險等其他可能造成重大影響的領(lǐng)域。

同時，注冊會計師要保證以風(fēng)險為導(dǎo)向的審計充分貫穿審計過程始終。審計人員要以風(fēng)險評估為前提，時刻圍繞高風(fēng)險領(lǐng)域開展工作，在開展工作過程中要全程高度保持嚴(yán)謹(jǐn)?shù)穆殬I(yè)懷疑態(tài)度，并且要根據(jù)測試結(jié)果不斷調(diào)險評估結(jié)果。在審計完成階段，注冊會計師要對所有審計發(fā)現(xiàn)結(jié)合審計風(fēng)險進(jìn)行判斷并得出適當(dāng)結(jié)論，及時就發(fā)現(xiàn)重大錯報風(fēng)險領(lǐng)域與管理層進(jìn)行溝通。

（三）配置專門的信息技術(shù)審計團(tuán)隊(duì)。計算機(jī)信息系統(tǒng)的運(yùn)用為商業(yè)銀行的審計增加了新的風(fēng)險。因此，為了能有效地開展審計工作，注冊會計師需要對銀行的計算機(jī)信息系統(tǒng)進(jìn)行全面了解，以便更好的規(guī)劃和獲取必要的審計證據(jù)。計算機(jī)信息系統(tǒng)特有的復(fù)雜性和高技術(shù)性，使得對其的了解和評價建立在相當(dāng)?shù)膶I(yè)知識積累基礎(chǔ)上。因此，在商業(yè)銀行審計團(tuán)隊(duì)中，配置專門的計算機(jī)信息系統(tǒng)審計人員，以便對銀行的計算機(jī)信息系統(tǒng)的安全性、可靠性、正確性以及相關(guān)內(nèi)部控制進(jìn)行分析和評價，配合財務(wù)審計團(tuán)隊(duì)，為審計程序的實(shí)施建立必要的基礎(chǔ)和支撐。

四、結(jié)語

商業(yè)銀行在互聯(lián)網(wǎng)金融時代體現(xiàn)出的新的形態(tài)，在對其開展審計業(yè)務(wù)時，為了規(guī)避新的審計風(fēng)險，注冊會計師可以從提高自身專業(yè)素養(yǎng)，聘請專家，采用以風(fēng)險為導(dǎo)向的審計，引入專門的信息技術(shù)審計團(tuán)隊(duì)等幾方面入手，對審計風(fēng)險加以防范。

參考文獻(xiàn)：

[1] 雷智軍.互聯(lián)網(wǎng)金融時代下完善國有商業(yè)銀行內(nèi)部審計的思考[J].中國商論，2015，33：82-84.

[2] 中國工商銀行江蘇省分行課題組，萬輝.我國商業(yè)銀行互聯(lián)網(wǎng)金融風(fēng)險管理研究[J].金融縱橫，2016，02：15-25.

[3] 陳煒，葛夢瑤.利率市場化背景下直銷銀行業(yè)務(wù)創(chuàng)新和發(fā)展策略[J].南方金融，2016，06：63-67.

[4] 盧聞齊.互聯(lián)網(wǎng)金融背景下直銷銀行發(fā)展現(xiàn)狀及未來展望[J].財經(jīng)界（學(xué)術(shù)版），2016，12：4.

[5] 武鵬，楊向榮，王曙光.商業(yè)銀行審計風(fēng)險分析[J].中國管理信息化，2010，12：55-57.

[6] 宋首文，代芊，柴若琪.互聯(lián)網(wǎng)+銀行：我國傳統(tǒng)商業(yè)銀行風(fēng)險管理新變革[J].財經(jīng)科學(xué)，2015，07：10-18.

[7] 邱峰.互聯(lián)網(wǎng)金融催生新型銀行運(yùn)作模式――直銷銀行[J].金融會計，2014，03：35-40.

[8] 王濱.互聯(lián)網(wǎng)金融發(fā)展及商業(yè)銀行應(yīng)對[J].銀行家，2014，04：94-97.

[9] 楊瑩.淺析商業(yè)銀行外部審計風(fēng)險與防范[J].財經(jīng)界（學(xué)術(shù)版），2014，12：253+255.

[10] 安明碩.試論商業(yè)銀行的審計風(fēng)險與控制[J].南京財經(jīng)大學(xué)學(xué)報，2007，01：71-73.

[11] 馮淑霞，張偉.商業(yè)銀行審計風(fēng)險的成因及對策[J].中國管理信息化（會計版），2007，08：87-88.

[12] 倪存新.對商業(yè)銀行審計專業(yè)化管理的若干思考[J].新金融，2008，12：36-39.

[13] 林毅.互聯(lián)網(wǎng)金融下直銷銀行發(fā)展研究[D].山東師范大學(xué)，2015.

[14] 徐盛鑫.審計人員何時利用專家[J].衛(wèi)生經(jīng)濟(jì)研究，1995，04：48.

篇9

處于大數(shù)據(jù)時代，企業(yè)的管理者已經(jīng)逐漸認(rèn)識到大數(shù)據(jù)的重要性。為了推動企業(yè)管理的快速升級，就要將企業(yè)的信息數(shù)據(jù)處理系統(tǒng)構(gòu)建起來，使企業(yè)在轉(zhuǎn)型的過程中實(shí)施智能化管理。從企業(yè)的財務(wù)管理情況來看，在數(shù)據(jù)處理上正從核算數(shù)據(jù)轉(zhuǎn)向管理數(shù)據(jù)。企業(yè)要更好地發(fā)展，就要將戰(zhàn)略決策制定出來，其財務(wù)數(shù)據(jù)是重要的依據(jù)。在財務(wù)會計工作中，管理會計在收集和整理海量的數(shù)據(jù)信息的過程中，還要針對所發(fā)現(xiàn)的問題進(jìn)行分析，并提出解決策略。

二、大數(shù)據(jù)的特點(diǎn)

所謂的“大數(shù)據(jù)”又被稱為“巨量資料”，即所產(chǎn)生的數(shù)據(jù)信息量之大，已經(jīng)難以使用現(xiàn)行的主流軟件工具有效解決了。采用大數(shù)據(jù)處理技術(shù)，就是對于大規(guī)模的數(shù)據(jù)信息要選擇在合理時間內(nèi)收集，并對這些數(shù)據(jù)信息采取相應(yīng)的處理方式，建立科學(xué)的管理模式，以將這些數(shù)據(jù)信息整理為具有積極效應(yīng)的資訊，為企業(yè)的經(jīng)營發(fā)展決策提供依據(jù)。縱觀大數(shù)據(jù)的特點(diǎn)，主要包括以下幾個方面。其一，大數(shù)據(jù)的數(shù)據(jù)體量非常大。通常所謂的“大數(shù)據(jù)”，就是指達(dá)到10TB的大型數(shù)據(jù)集。但事實(shí)上，多數(shù)的企業(yè)數(shù)據(jù)信息用戶都會將多個大型數(shù)據(jù)集中起來而使得數(shù)據(jù)量達(dá)到了PB級。其二，大數(shù)據(jù)的數(shù)據(jù)類別非常大。大數(shù)據(jù)的數(shù)據(jù)來源多種多樣，包括數(shù)據(jù)的種類以及數(shù)據(jù)的格式變得形式多樣，已經(jīng)不再局限于結(jié)構(gòu)化的數(shù)據(jù)范疇，而將非結(jié)構(gòu)化的數(shù)據(jù)和半結(jié)構(gòu)化的數(shù)據(jù)納入其中。其三，大數(shù)據(jù)的數(shù)據(jù)處理速度是非常快的。大數(shù)據(jù)的數(shù)據(jù)量非常龐大，而且不斷地變化，但現(xiàn)今，數(shù)據(jù)處理速度已經(jīng)能夠及時、準(zhǔn)確地處理這些數(shù)據(jù)。其四，大數(shù)據(jù)具有較高的真實(shí)性。隨著各種新型數(shù)據(jù)的產(chǎn)生，傳統(tǒng)的數(shù)據(jù)源已經(jīng)被突破，包括企業(yè)內(nèi)容、各種社交數(shù)據(jù)、交易過程中所產(chǎn)生的數(shù)據(jù)以及應(yīng)用數(shù)據(jù)等等產(chǎn)生，要確保這些信息的真實(shí)可靠性，就需要企業(yè)具備信息管理能力，以提高信息的安全性。

三、大數(shù)據(jù)背景下財務(wù)會計向管理會計轉(zhuǎn)型是一種必然

1、財務(wù)會計向管理會計轉(zhuǎn)型是伴隨互聯(lián)網(wǎng)技術(shù)應(yīng)運(yùn)而生的

企業(yè)在管理工作中，往往會采用計算機(jī)網(wǎng)絡(luò)技術(shù)對會計數(shù)據(jù)信息進(jìn)行處理。在對財務(wù)工作中所產(chǎn)生的信息進(jìn)行快速處理時，互聯(lián)網(wǎng)技術(shù)的應(yīng)用不僅加快了數(shù)據(jù)處理能力，而且提高了財務(wù)數(shù)據(jù)的處理質(zhì)量。這就意味著財務(wù)會計在履行工作職責(zé)的同時，還要采用信息技術(shù)，同時建立系統(tǒng)化的管理模式，此過程中，財務(wù)會計人員需要將系統(tǒng)化的管理思維模式構(gòu)建起來，以使得財務(wù)會計人員對企業(yè)的價值能力以深入理解，并實(shí)現(xiàn)財務(wù)會計向管理會計轉(zhuǎn)型。

2、財務(wù)會計難以使自身工作符合大數(shù)據(jù)的要求

大數(shù)據(jù)背景下，信息量的增加使得財務(wù)會計工作方法發(fā)生改變。特別是針對數(shù)據(jù)的種類實(shí)施管理，就可以采用分類管理的方式。根據(jù)管理會計的不同種類實(shí)施管理，還要從工作實(shí)際出發(fā)對企業(yè)的戰(zhàn)略發(fā)展規(guī)劃進(jìn)行完善。管理會計所具備的數(shù)據(jù)管理能力，并不止于實(shí)施數(shù)據(jù)信息管理，還需要對會計數(shù)據(jù)統(tǒng)籌管理，以使得財務(wù)會計工作與大數(shù)據(jù)背景存在適應(yīng)性。

3、財務(wù)會計向管理會計轉(zhuǎn)型是歷史的必然

企業(yè)經(jīng)濟(jì)發(fā)展中做好財務(wù)會計向管理會計轉(zhuǎn)型工作是非常必要的。財務(wù)會計的基礎(chǔ)上而建立管理會計，可以使得企業(yè)發(fā)展中的資金運(yùn)轉(zhuǎn)情況都會明確反映出來，還可以對企業(yè)的未來發(fā)展情況作出預(yù)測，并以此為參考將企業(yè)的未來經(jīng)營規(guī)劃制定出來。隨著財務(wù)會計轉(zhuǎn)向管理會計，企業(yè)的會計工作采用系統(tǒng)化的運(yùn)行方式，企業(yè)的資金運(yùn)行情況被反映出來，而且不會受到有關(guān)管理原則的控制，所以，大數(shù)據(jù)背景下，管理會計改變了原有的被動管理的模式而實(shí)施了主動管理，才能夠使企業(yè)所提供財務(wù)信息充分滿足大數(shù)據(jù)背景下企業(yè)發(fā)展的要求。

四、大數(shù)據(jù)背景下財務(wù)會計向管理會計轉(zhuǎn)型的有效策略

1、企業(yè)財務(wù)人員要提高職業(yè)素質(zhì)

處于大數(shù)據(jù)背景下，企業(yè)的財務(wù)會計要能夠順利地轉(zhuǎn)為管理會計，就需要財務(wù)人員具有較高的職業(yè)素質(zhì)，能夠快速地轉(zhuǎn)換思維，從以記賬為主的會計人員轉(zhuǎn)變?yōu)榭梢詣?chuàng)造財務(wù)價值的管理人員。基于此，企業(yè)就要對財務(wù)人員的職業(yè)培訓(xùn)工作高度重視，以使得財務(wù)人員的職業(yè)技術(shù)水平有所提高。這就需要從以下幾個方面入手。其一，要注重企業(yè)財務(wù)人員的思想教育，對其管理觀念以正確引導(dǎo)。企業(yè)可以采用培訓(xùn)的方式對財務(wù)人員予以企業(yè)經(jīng)濟(jì)效益的思想觀念的引導(dǎo)，使財務(wù)人員能夠?qū)⒆⒁饬D(zhuǎn)向財務(wù)問題的解決和非財務(wù)問題的解決。其二，要注重企業(yè)財務(wù)人員的會計業(yè)務(wù)培訓(xùn)工作。由于財務(wù)會計和管理會計的業(yè)務(wù)范圍不同，對會計人員職業(yè)素質(zhì)要求也會有所不同，就需要企業(yè)定期地開展管理會計人員的專業(yè)技術(shù)培訓(xùn)工作，確保財務(wù)會計人員能夠在大數(shù)據(jù)背景下對管理會計工作充分掌握并處理好各項(xiàng)業(yè)務(wù)。其三，企業(yè)財務(wù)人員的培訓(xùn)工作要定期總結(jié)。企業(yè)定期地開展會計業(yè)務(wù)培訓(xùn)工作的同時，要對培訓(xùn)總結(jié)以高度重視，以能夠針對培訓(xùn)工作中所存在的問題及時發(fā)現(xiàn)，并采取有效的處理措施。隨著財務(wù)會計向管理會計轉(zhuǎn)型，對財務(wù)人員的綜合素質(zhì)也會提出更高的要求，包括組織能力、溝通能力以及處理事務(wù)時的應(yīng)變能力等等。特別是財務(wù)人員要具備人際交往能力，以使得企業(yè)的會計管理工作得以順利展開并按照企業(yè)的要求完成任務(wù)。

2、企業(yè)財務(wù)信息化建設(shè)要不斷加強(qiáng)

大數(shù)據(jù)背景下，信息技術(shù)是必不可少的工具。企業(yè)的財務(wù)會計要成功地轉(zhuǎn)型為管理會計，就需要采用信息化管理平臺，以確保所獲得的數(shù)據(jù)真實(shí)有效。具體實(shí)施中，對財務(wù)工作采用信息技術(shù)，就要加大信息化建設(shè)的資金投入力度，同時還要深入研究建設(shè)項(xiàng)目以及相關(guān)的技術(shù)，使企業(yè)的各個部門都可以通過塑造網(wǎng)絡(luò)環(huán)境而相互之間進(jìn)行交流和信息查詢。此外，在財務(wù)信息化建設(shè)中，要注重引進(jìn)高質(zhì)量的信息人才。企業(yè)的財務(wù)人員也要注重自身職業(yè)素質(zhì)的提高，不僅要對專業(yè)理論知識充分掌握，還要具備應(yīng)用信息技術(shù)進(jìn)行財務(wù)管理的技術(shù)能力，并對相關(guān)的計算機(jī)技術(shù)知識及時掌握，以提高工作效率。

3、財務(wù)人員要對財務(wù)會計的前瞻性以充分認(rèn)識

長期以來，企業(yè)的財務(wù)會計所反映的都是企業(yè)過去的經(jīng)濟(jì)狀況，而沒有基于企業(yè)現(xiàn)有的條件對其未來的運(yùn)行情況進(jìn)行預(yù)測。企業(yè)在會計信息處理中，對前瞻性以充分認(rèn)識是非常重要的。首先，企業(yè)要將相關(guān)的管理制度制定出來，以通過現(xiàn)有的會計信息對未來的會計信息運(yùn)行規(guī)律做出預(yù)測，并根據(jù)這些信息維護(hù)企業(yè)的資產(chǎn)，使得所預(yù)測的數(shù)據(jù)信息更為安全可靠。其次，企業(yè)要從經(jīng)濟(jì)環(huán)境出發(fā)，根據(jù)環(huán)境變化情況挖掘出更新的數(shù)據(jù)，并對這些數(shù)據(jù)信息進(jìn)行分析。企業(yè)根據(jù)這些數(shù)據(jù)信息，就可以將企業(yè)運(yùn)營中所存在的潛在風(fēng)險以及時發(fā)現(xiàn)，并將這些數(shù)據(jù)信息向信息用戶傳遞，還可以為企業(yè)管理者提供前瞻性的決策。

4、轉(zhuǎn)變財務(wù)部門的工作內(nèi)容

大數(shù)據(jù)背景下，財務(wù)會計轉(zhuǎn)變管理會計是過程性的，主要是原有的財務(wù)數(shù)據(jù)核算工作內(nèi)容發(fā)生了改變，而且將工作的重心落實(shí)到財務(wù)數(shù)據(jù)的管理上。隨著財務(wù)人員角色的轉(zhuǎn)變，就需要其對財務(wù)信息以充分了解的同時，還要摒棄傳統(tǒng)的財務(wù)數(shù)據(jù)反復(fù)核算的數(shù)據(jù)處理方式。采用大數(shù)據(jù)的處理方式，不僅使財務(wù)人員能夠?qū)ζ髽I(yè)的資金運(yùn)行情況以更好地分析，而且財務(wù)人員的工作質(zhì)量和工作效率都會有所提高。所以，處于大數(shù)據(jù)背景下，將單一的財務(wù)核算轉(zhuǎn)變?yōu)榫C合性的財務(wù)數(shù)據(jù)管理工作，包括財務(wù)數(shù)據(jù)信息的收集、數(shù)據(jù)的加工和處理、數(shù)據(jù)的分析和管理等等，都要納入到財務(wù)管理工作中，以使財務(wù)部門的工作系統(tǒng)化展開。

五、結(jié)束語

綜上所述，大數(shù)據(jù)背景下，財務(wù)會計工作中的傳統(tǒng)管理模式已經(jīng)難以滿足企業(yè)發(fā)展需求。管理會計的應(yīng)運(yùn)而生，使得財務(wù)會計逐漸轉(zhuǎn)向管理會計，這是時代的要求，也是企業(yè)財務(wù)管理的必然趨勢。為了使轉(zhuǎn)型速度加快，就要采用科學(xué)合理的管理策略，以使企業(yè)的會計工作系統(tǒng)化展開。雖然大數(shù)據(jù)背景下財務(wù)會計向管理會計轉(zhuǎn)型是一種必然，但是，具體運(yùn)行中會存在一些問題，采取相應(yīng)的管理策略是非常必要的。

作者:樊春霞 單位:中國檢驗(yàn)認(rèn)證集團(tuán)測試技術(shù)有限公司

參考文獻(xiàn):

[1]袁振興,張青娜,張曉琳,等.大數(shù)據(jù)對會計的挑戰(zhàn)及其應(yīng)對[J].會計之友,2014(32):90—92.

[2]季丹群.大數(shù)據(jù)時代對傳統(tǒng)制造企業(yè)管理會計的挑戰(zhàn)[J].財稅研究,2014(24):163—164.

[3]姚璐.大數(shù)據(jù)時代下企業(yè)管理及應(yīng)用[J].科技創(chuàng)業(yè)月刊,2014(01):82—83.

[4]黃曼遠(yuǎn).淺析管理會計與財務(wù)會計的融合[D].財政部財政科學(xué)研究所,2014.

篇10

【中圖分類號】F239.227 【文獻(xiàn)標(biāo)志碼】A 【文章編號】1673-1069（2017）04-0057-02

1 引言

目前，我國正致力于社會主義小康社會的建設(shè)，針對一些貧困地區(qū)，國家加大了扶貧力度，實(shí)施了精準(zhǔn)扶貧政策，坦白說精準(zhǔn)扶貧工作是一項(xiàng)長期性、系統(tǒng)性的大工程，需要各個相關(guān)政府職能部門的通力協(xié)作，才能將扶貧這項(xiàng)工作做好。審計機(jī)關(guān)作為其中關(guān)鍵的一環(huán)，如何在新時期轉(zhuǎn)變思路、創(chuàng)新方法、全力服務(wù)精準(zhǔn)扶貧工作的開展，成為當(dāng)前審計機(jī)關(guān)工作的重要內(nèi)容之一。

2 開展精準(zhǔn)扶貧政策跟蹤審計的重點(diǎn)內(nèi)容分析

2.1 認(rèn)真貫徹基本方略

2015年12月15日，“十三五”脫貧攻堅工作有關(guān)情況的新聞會召開，會上扶貧辦主任劉永福表示：脫貧攻堅的基本方略就是精準(zhǔn)扶貧和精準(zhǔn)脫貧。這項(xiàng)基本方略的實(shí)施，變革了現(xiàn)有的扶貧思路和方式，更為形象地來說，精準(zhǔn)扶貧和精準(zhǔn)脫貧就是將“輸血”轉(zhuǎn)變?yōu)椤霸煅保瑏韺?shí)現(xiàn)貧困地區(qū)的自主脫貧。以往扶貧項(xiàng)目的重點(diǎn)放在了GDP的增長上，現(xiàn)在要轉(zhuǎn)變?yōu)樽⒅孛撠毜某尚В簿褪钦f要將“扶持誰”、“誰來扶”、“怎么扶”的一系列問題解決好。前文我們提到了精準(zhǔn)扶貧政策主要涵蓋了“六個精準(zhǔn)”和“五個一批”，其中六個精準(zhǔn)包括對象精準(zhǔn)、項(xiàng)目安排精準(zhǔn)、資金使用精準(zhǔn)、措施到戶精準(zhǔn)、因村派人精準(zhǔn)、脫貧成效精準(zhǔn)；五個一批包括發(fā)展生產(chǎn)脫貧一批、易地扶貧搬遷脫貧一批、生態(tài)補(bǔ)償脫貧一批、發(fā)展教育脫貧一批、社會保障兜底一批。

2.2 精準(zhǔn)扶貧、脫貧的工作方案

按照《重要政策措施分工方案》和《2016年工作要點(diǎn)》明確進(jìn)度安排，不斷壓實(shí)責(zé)任、傳導(dǎo)壓力；深入推進(jìn)“五個一批”，扎實(shí)開展十大扶貧行動，深化社會參與扶貧，實(shí)施好“直過民族”脫貧攻堅行動計劃；瞄準(zhǔn)革命老區(qū)、民族地區(qū)、邊疆地區(qū)、四大集中連片特困地區(qū)最困難的地方、最貧困的群體、最迫切需要解決的問題，把解決深度貧困擺在優(yōu)先位置，集中力量打攻堅戰(zhàn)。還要建立扶貧項(xiàng)目資金整合和監(jiān)管機(jī)制。抓緊出臺貧困縣統(tǒng)籌整合使用財政涉農(nóng)資金的具體意見，把管好用好扶貧資金作為最重要的任務(wù)，集中整治和查處扶貧領(lǐng)域的職務(wù)犯罪，防止扶貧資金“跑冒滴漏”。

3 精準(zhǔn)扶貧政策落實(shí)跟蹤審計的必要性

3.1 是適應(yīng)新常態(tài)的內(nèi)在要求

當(dāng)前和今后很長一段時期內(nèi)我國經(jīng)濟(jì)發(fā)展的大趨勢就是適應(yīng)新常態(tài)、踐行新理念，在此背景下，各個政府職能部門要積極貫徹落實(shí)中央一系列重大決策部署。審計部門作為重要的基層職能機(jī)構(gòu)，要深入分析新常態(tài)，深化審計重點(diǎn)，強(qiáng)化跟蹤審計精準(zhǔn)扶貧等重大政策、方針的貫徹落實(shí)情況，將改善民生作為工作重點(diǎn)，提高精準(zhǔn)扶貧的實(shí)效性[1]。在新常態(tài)的新要求下，要與時俱進(jìn)，轉(zhuǎn)變思路，創(chuàng)新工作方法和手段，助力精準(zhǔn)扶貧政策的有效落實(shí)，幫助貧困地區(qū)的群眾脫貧致富。

3.2 是實(shí)踐“五大發(fā)展理念”的創(chuàng)新要求

“五大發(fā)展理念”包括創(chuàng)新、開放、綠色、共享、協(xié)調(diào)，這些是新常態(tài)下的重大理論和實(shí)踐創(chuàng)新，我們在開展各項(xiàng)工作時就要根據(jù)這些理念，本著解決社會公平公正問題，遵循以人為本，踐行發(fā)展“以人民為中心”開創(chuàng)共同富裕道路的新局面，這也是我國社會主義小康社會的本質(zhì)要求。當(dāng)前我國已進(jìn)入了“十三五”時期，這也是全面建設(shè)小康社會的攻堅期和收關(guān)期，扶貧攻堅應(yīng)取得階段性成果。所以，全面落實(shí)精準(zhǔn)扶貧政策跟蹤審計工作，是踐行“五大發(fā)展理念”的要求，同時也是貫徹統(tǒng)籌分配、堅持社會公平正義的內(nèi)在要求。

3.3 是實(shí)現(xiàn)精準(zhǔn)脫貧目標(biāo)的保障

從頂層設(shè)計來看，精準(zhǔn)扶貧是一項(xiàng)較為全面的政策，也被稱為“點(diǎn)穴式”扶貧，其主要內(nèi)容涵蓋了“六個精準(zhǔn)”、“五個一批”、“五個堅持”等多個層面。精準(zhǔn)扶貧的關(guān)鍵點(diǎn)在于解決扶貧中的難題，突破以往扶貧的瓶頸，將扶貧具體落實(shí)到特定的困難地區(qū)、特定的困難群眾中。審計機(jī)關(guān)的工作就是要及時跟進(jìn)產(chǎn)業(yè)扶貧措施的落實(shí)情況、扶貧資金的使用情況、幫扶跟進(jìn)機(jī)制的建設(shè)等各方面的內(nèi)容，只有審計工作的針對性、實(shí)效性、時效性顯著提升，才能保障整個扶貧工作成效，幫助真正貧困的群眾實(shí)現(xiàn)脫貧致富。

4 強(qiáng)化精準(zhǔn)扶貧政策跟蹤審計的策略分析

4.1 完善精準(zhǔn)扶貧審計新機(jī)制

在新形勢下，精準(zhǔn)扶貧政策的跟蹤審計工作必須具備較高的時效性，這就需要完善審計新機(jī)制。具體來說，一是要對審計項(xiàng)目進(jìn)行系統(tǒng)化的規(guī)劃部署，對審計項(xiàng)目的思路、重點(diǎn)、方法進(jìn)行細(xì)化，提高審計方案的針對性、可操作性，確保精準(zhǔn)扶貧政策跟蹤審計的有效落實(shí)；二是要提高審計整合工作的協(xié)調(diào)性，精準(zhǔn)扶貧工作具有自身的特點(diǎn)，開展跟蹤審計時要準(zhǔn)保把握扶貧地區(qū)的優(yōu)劣勢，實(shí)現(xiàn)審計工作的多維度融合，針對審計工作中遇到的難點(diǎn)和重點(diǎn)實(shí)現(xiàn)，要做好及時溝通與協(xié)調(diào)工作，按照相關(guān)規(guī)定及時報告，強(qiáng)化跟蹤審計監(jiān)督效能；三是全面梳理、總結(jié)、分析審計工作的經(jīng)驗(yàn)，以及相關(guān)的工作情況，結(jié)合新形勢、新任務(wù)、新要求，轉(zhuǎn)變跟蹤審計理念及審計方式，切實(shí)提高審計工作的效率和質(zhì)量。

4.2 加強(qiáng)高素質(zhì)、高水平??計隊(duì)伍的建設(shè)

精準(zhǔn)扶貧政策跟蹤審計的效率和質(zhì)量離不開審計隊(duì)伍的支持，審計人員應(yīng)在總結(jié)經(jīng)驗(yàn)的基礎(chǔ)上，提高審計的職業(yè)化水平，引進(jìn)新的技術(shù)方法，并不斷提高自身的專業(yè)技能和工作能力，積極為審計工作的順利開展貢獻(xiàn)力量。具體來說，審計隊(duì)伍的建設(shè)包括：一是建立健全審計干部選拔任用機(jī)制，以工作能力、學(xué)習(xí)能力為基本標(biāo)準(zhǔn)，構(gòu)建能上能下的任用機(jī)制，確保干部能夠正確引導(dǎo)審計工作。二是加強(qiáng)職業(yè)化建設(shè)，優(yōu)化審計教育培訓(xùn)體系，建立審計專業(yè)技術(shù)資格制度，尤其是基層審計機(jī)關(guān)，需要進(jìn)一步加快審計職業(yè)化建設(shè)。審計工作其實(shí)是一項(xiàng)涉及學(xué)科很廣的工作，包括經(jīng)濟(jì)學(xué)、統(tǒng)計學(xué)、社會學(xué)等眾多學(xué)科，這就要求審計人員必須具備一定的基礎(chǔ)知識，才能做好審計工作，所以針對在職人員，必須強(qiáng)化教育培訓(xùn)工作，努力打造一支高素質(zhì)、高水平的審計隊(duì)伍。三是堅持依法文明審計，加強(qiáng)審計自律意識，嚴(yán)格遵守黨的政治紀(jì)律、組織紀(jì)律、廉潔紀(jì)律、群眾紀(jì)律、工作紀(jì)律和生活紀(jì)律，審慎客觀，文明規(guī)范，取信于群眾、社會、黨和政府。四是建立基于大數(shù)據(jù)的審計管理系統(tǒng)，高度重視跟蹤審計過程中關(guān)聯(lián)數(shù)據(jù)的分析，有機(jī)整合數(shù)據(jù)分析與實(shí)地審計工作，以精準(zhǔn)的數(shù)據(jù)分析為基礎(chǔ)，制定相應(yīng)的審計方案，有效提升審計水平。

4.3 加強(qiáng)精準(zhǔn)扶貧的跟蹤審計監(jiān)管

篇11

1.1．課題背景簡介

隨著WWW應(yīng)用領(lǐng)域的不斷拓展,人們已不滿足于只用Web服務(wù)器瀏覽和靜態(tài)的信息,人們需要通過它發(fā)表意見、查詢數(shù)據(jù)甚至進(jìn)行網(wǎng)上購物。原來的靜態(tài)Web頁面已經(jīng)滿足不了用戶對信息服務(wù)的動態(tài)性、交互性的要求。這就迫切需要實(shí)現(xiàn)Web與數(shù)據(jù)庫的交互。

Web與數(shù)據(jù)庫這兩者結(jié)合意味Web數(shù)據(jù)庫將存儲和管理大量重要數(shù)據(jù)，然兒一但它們被盜用或篡改，可能會帶來巨大的政治和經(jīng)濟(jì)損失。基于廣域網(wǎng)的Web數(shù)據(jù)庫訪問會帶來很大的安全問題。首先是數(shù)據(jù)庫的非法訪問；另一方面數(shù)據(jù)通過網(wǎng)絡(luò)傳輸，可能被截取、篡改。還有黑客的攻擊可能使系統(tǒng)癱瘓。

在動態(tài)Web不斷發(fā)展的今天，人們對其依賴性也越來越強(qiáng)，但由于其開放性，在設(shè)計時對與信息的保密和系統(tǒng)的安全考慮不完備，及人們對保護(hù)數(shù)據(jù)庫的安全意識薄弱，造成現(xiàn)在數(shù)據(jù)庫攻擊與破壞事件層出不窮，給人們的日常生活和經(jīng)濟(jì)活動造成了很大麻煩。因此，研究網(wǎng)絡(luò)環(huán)境下的Web數(shù)據(jù)庫系統(tǒng)的安全保障已經(jīng)成為了重要的課題。

1.2．課題發(fā)展現(xiàn)狀

目前Web技術(shù)與數(shù)據(jù)庫管理系統(tǒng)(DBMS)相互融合的研究已成為熱點(diǎn)研究方向之一。但是由于Internet本身并沒有提供任何安全機(jī)制，所以Web數(shù)據(jù)庫系統(tǒng)對于外界攻擊的防衛(wèi)能力顯得十分脆弱，以至Web數(shù)據(jù)庫被攻擊事件屢有發(fā)生。

1.2.1．Web數(shù)據(jù)庫系統(tǒng)的產(chǎn)生與發(fā)展

隨著互聯(lián)網(wǎng)Internet的不斷發(fā)展，以及網(wǎng)上信息呈幾何級數(shù)的增加，同時由于傳統(tǒng)的數(shù)據(jù)庫管理系統(tǒng)中的數(shù)據(jù)庫資源不能被Web直接訪問，影響了數(shù)據(jù)庫資源的共享。如何將分布在Internet上的大量信息有效的管理起來，如何使現(xiàn)有的數(shù)據(jù)庫中的信息到Internet上，而且使的信息具有交互性、動態(tài)性和實(shí)時性，也就是將Web技術(shù)和數(shù)據(jù)庫技術(shù)想結(jié)合，開發(fā)動態(tài)的Web數(shù)據(jù)庫應(yīng)用，成為當(dāng)今Web技術(shù)研究的熱點(diǎn)所在。數(shù)據(jù)庫技術(shù)適于對大量的數(shù)據(jù)進(jìn)行組織管理，Web技術(shù)擁有較好的信息途徑，這兩種技術(shù)天然的互補(bǔ)性決定其相互融合成為技術(shù)發(fā)展的必然趨勢。

1.2.2．Web數(shù)據(jù)庫應(yīng)用系統(tǒng)安全威脅分析

為了讓數(shù)據(jù)庫能為處于網(wǎng)絡(luò)上的用戶服務(wù)而暴露在網(wǎng)絡(luò)中，網(wǎng)絡(luò)上的任何用戶都可以訪問這個數(shù)據(jù)庫，這種情況下對數(shù)據(jù)庫訪問的控制只能通過用戶控制既用戶名/密碼來進(jìn)行。任何知道密碼的擁護(hù)都可以訪問，這增加了密碼保護(hù)管理的難度，同時用戶名/密碼通過Internet傳輸很容易被人竊取。

其次，數(shù)據(jù)應(yīng)用放讀取的數(shù)據(jù)是通過Web傳輸，而這些數(shù)據(jù)缺乏有效的安全措施保護(hù)，從而可能被截取、篡改。

另外，Web數(shù)據(jù)庫中存儲著大量的數(shù)據(jù)信息，往往成為信息系統(tǒng)的關(guān)鍵，這就需要數(shù)據(jù)庫及數(shù)據(jù)庫所在的計算機(jī)能夠安全運(yùn)行。數(shù)據(jù)庫放在Internet中很容易受到黑客的各種攻擊。

隨著網(wǎng)絡(luò)信息系統(tǒng)的應(yīng)用，數(shù)據(jù)庫遠(yuǎn)程訪問的安全問題日益突出。這個問題可采用網(wǎng)絡(luò)傳輸加密，用戶身份認(rèn)證等安全措施解決。但由于日前的主

審計

防

認(rèn)

數(shù)

訪

用戶

火

證

據(jù)

問

墻

服

加

控

Web數(shù)據(jù)庫服務(wù)器

務(wù)

密

制

備份

圖1數(shù)據(jù)庫安全模型

流數(shù)據(jù)的網(wǎng)絡(luò)傳輸部分都由數(shù)據(jù)庫廠家來完成，恰恰缺少這些安全措施，因此上述安全技術(shù)在普通的數(shù)據(jù)庫系統(tǒng)中難以直接應(yīng)用。另外利用操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)提供的安全保護(hù)功能是常用的數(shù)據(jù)庫安全解決方案。但是Internet本身并沒有提供任何安全機(jī)制，只要Web站點(diǎn)和Internet連通，就可能被任何人訪問。

Web數(shù)據(jù)庫受到的威脅大致包括泄漏、竊取、竄改、冒充、延遲、重傳、遺失、越權(quán)存取數(shù)據(jù)、否認(rèn)已收送數(shù)據(jù)及侵犯隱私權(quán)等。

1.2.3．?dāng)?shù)據(jù)庫安全結(jié)構(gòu)模型

Web數(shù)據(jù)庫安全威脅涉及許多方面，我們認(rèn)為安全措施應(yīng)綜合考慮，具體可以采用下列技術(shù)措施：(1)安裝防火墻；(2)身份認(rèn)證和數(shù)據(jù)完整性認(rèn)證服務(wù)；(3)對機(jī)密敏感的數(shù)據(jù)進(jìn)行加密存儲和傳輸；(4)訪問控制機(jī)制；(5)安全審計和監(jiān)視追蹤技術(shù)；(6)數(shù)據(jù)庫備份與故障恢復(fù)。Web數(shù)據(jù)庫安全模型見圖5。

1.3．文獻(xiàn)綜述

文獻(xiàn)一：竇麗華，蔣慶華，等.基于Web的信息系統(tǒng)安全研究.北京理工大學(xué)學(xué)報.2002.6，22(3)：361-363.

摘要：研究基于Web的信息系統(tǒng)的安全問題及如何充分并合理地利用操作系統(tǒng)、Web服務(wù)器和數(shù)據(jù)庫管理系統(tǒng)所提供的安全設(shè)置，以有效地保證信息系統(tǒng)的安全性.利用應(yīng)用程序所具有的靈活性，可以彌補(bǔ)操作系統(tǒng)、Web服務(wù)器和數(shù)據(jù)庫管理系統(tǒng)的安全漏洞，結(jié)合某單位業(yè)務(wù)信息系統(tǒng)的案例，分別從操作系統(tǒng)、Web服務(wù)器、數(shù)據(jù)庫管理系統(tǒng)、應(yīng)用程序4個方面對安全問題進(jìn)行分析，同時給出了建議.

文獻(xiàn)二：曾愛林.基于Web的網(wǎng)絡(luò)數(shù)據(jù)安全體系的建立與完善.湘潭師范學(xué)院學(xué)報.2004.6，26(2)：69-72.

摘要：隨著Web數(shù)據(jù)庫的應(yīng)用越來越廣泛，Web數(shù)據(jù)庫的安全問題日益突出.本文從介紹幾種流行的Web數(shù)據(jù)庫訪問技術(shù)出發(fā)，針對Web數(shù)據(jù)庫的安全問題，建立一個Web數(shù)據(jù)庫安全體系的初步模型，并指出安全問題應(yīng)以預(yù)防為主,應(yīng)該在構(gòu)建Web數(shù)據(jù)庫服務(wù)器時，及時進(jìn)行漏洞檢測、風(fēng)險評估,根據(jù)檢測結(jié)果，有意識地加強(qiáng)數(shù)據(jù)庫服務(wù)器某方面的防范措施.

文獻(xiàn)三：王惠琴，李明，王燕.基于Web的數(shù)據(jù)庫安全管理技術(shù)與實(shí)現(xiàn).2001.4.27

(3)：61-67.

摘要：隨著

Internet/Intranet

技術(shù)的發(fā)展和普及,Web數(shù)據(jù)庫已逐步取代基于傳統(tǒng)的

Client/Server

模式的數(shù)據(jù)庫系統(tǒng),因此對于基于Web的數(shù)據(jù)庫安全管理技術(shù)的研究具有實(shí)際意義.介紹了目前常用的幾種Web數(shù)據(jù)庫的連接技術(shù)，并結(jié)合ASP技術(shù)對如何利用防火墻、身份認(rèn)證、授權(quán)控制、監(jiān)視跟蹤、存儲過程、審計、備份與故障恢復(fù)等技術(shù)來實(shí)現(xiàn)數(shù)據(jù)庫的安全管理進(jìn)行了詳細(xì)的闡述.

文獻(xiàn)四：王燕，李明，王惠琴.Web數(shù)據(jù)庫的連接技術(shù)及安全控制.計算機(jī)工程與應(yīng)用.2001.2，P126-128.

摘要：隨著

Internet/Intranet

技術(shù)的發(fā)展和普及，Web

數(shù)據(jù)庫必將逐步取代基于傳統(tǒng)的

Client/Server

模式的數(shù)據(jù)庫系統(tǒng).對于數(shù)據(jù)庫與Web技術(shù)融合的研究具有實(shí)際意義.文章就目前常用的幾種Web數(shù)據(jù)庫的連接技術(shù)進(jìn)行對比分析，并對利用ASP技術(shù)實(shí)現(xiàn)Web與數(shù)據(jù)庫的連接和Web數(shù)據(jù)庫系統(tǒng)的安全控制進(jìn)行了詳細(xì)闡述.

文獻(xiàn)五：吳春明，鄭志強(qiáng).基于Web數(shù)據(jù)庫加密研究.西南農(nóng)業(yè)大學(xué)學(xué)報.2004.4，26(2)：121-126.

摘要：計算機(jī)和網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用，給信息安全提出了更高的要求,在信息系統(tǒng)開發(fā)設(shè)計過程中，安全性能總是被放在首要的位置，成為信息系統(tǒng)生存的關(guān)鍵.數(shù)據(jù)庫是基于WEB信息系統(tǒng)的核心組成部分,面臨來自外部和內(nèi)部的雙重威脅，對其進(jìn)行加密處理，是進(jìn)行數(shù)據(jù)保護(hù)的有效手段.文章提出了一種基于JCE的WEB數(shù)據(jù)庫加密模型，并對模型進(jìn)行了行為分析及安全性分析.

文獻(xiàn)六：帥兵.Web數(shù)據(jù)庫系統(tǒng)開發(fā)技術(shù)研究.安徽機(jī)電學(xué)院學(xué)報.2001.6，16(2)：29-32.

摘要：利用Web服務(wù)器的信息服務(wù)能力和數(shù)據(jù)庫服務(wù)器的數(shù)據(jù)管理能力來構(gòu)造信息服務(wù)系統(tǒng)已成為人們關(guān)注的熱點(diǎn)，其開發(fā)技術(shù)的關(guān)鍵是數(shù)據(jù)庫網(wǎng)關(guān)的實(shí)現(xiàn).介紹了目前采用的傳統(tǒng)Web數(shù)據(jù)庫解決方案中數(shù)據(jù)庫網(wǎng)關(guān)實(shí)現(xiàn)幾種技術(shù)：CGI、IDC、ASP、JDBC，并分析了其缺點(diǎn)，提出了一種的新的Web數(shù)據(jù)庫解決方案.

文獻(xiàn)七：徐鋒，呂建.Web安全中的信任管理研究與進(jìn)展.軟件學(xué)報.2002.13.(11)：2058-2064.

摘要：信任管理是當(dāng)前

Web

安全研究的熱點(diǎn).介紹了信任管理思想的出現(xiàn),給出了信任管理的概念和模型，并概述了幾個典型的信任管理系統(tǒng)和信任度評估模型.討論了當(dāng)前研究存在的問題以及今后的研究方向.

文獻(xiàn)八：韓效鵬，官法明，等.關(guān)于Web數(shù)據(jù)庫安全性問題探討.勝利油田師范專科學(xué)校學(xué)報.2004.12.18(4)83-85.

摘要：按照DBMS對數(shù)據(jù)庫安全管理的思想，在基于Windows環(huán)境的Web數(shù)據(jù)庫應(yīng)用中，安全控制問題主要包括如何有效地對通過頁面訪問的數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行保護(hù)，實(shí)現(xiàn)數(shù)據(jù)庫級別的分權(quán)限訪問等.在實(shí)施過程中，可使用用戶身份認(rèn)證、授權(quán)控制、使用日志監(jiān)視數(shù)據(jù)庫、參數(shù)化存儲過程等安全管理技術(shù)來構(gòu)筑管理信息系統(tǒng)的安全體系.

文獻(xiàn)九：楊成，王恒山，張乾宇.Web數(shù)據(jù)庫在線維護(hù)方法研究.

上海理工大學(xué)學(xué)報.2003.6.27(4)：40-43.

摘要：本文討論了結(jié)合互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)的服務(wù)器托管形式下對網(wǎng)站W(wǎng)eb數(shù)據(jù)庫在線維護(hù)的形式和內(nèi)容.并以上海理工大學(xué)管理學(xué)院學(xué)院網(wǎng)站為例，介紹了如何利用JSP動態(tài)網(wǎng)頁編程語言和JavaBeans來方便、快捷地實(shí)現(xiàn)對學(xué)院網(wǎng)站W(wǎng)eb數(shù)據(jù)庫在線維護(hù)功能.

文獻(xiàn)十：賀紅，徐寶文.Web信息系統(tǒng)的安全隱患與網(wǎng)絡(luò)管理員對策.計算機(jī)工程與應(yīng)用.2005.18，P151-153.

摘要：基于Web的信息系統(tǒng)安全性體系大致分為網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)、Web服務(wù)器及應(yīng)用程序和Web數(shù)據(jù)庫等多個層次，該文分別闡述了造成各層次安全隱患的主要原因，以及從網(wǎng)絡(luò)管理員的角度出發(fā)，在各安全層次上消除和減少安全隱患的實(shí)用性安全對策.

2．設(shè)計(論文)要解決的問題和擬采用的研究方法（論文框架）

2.1．Web數(shù)據(jù)庫應(yīng)用系統(tǒng)要解決的問題

2.1.1．用戶身份認(rèn)證

基于Web的數(shù)據(jù)庫應(yīng)用系統(tǒng)中包含大量的敏感數(shù)據(jù)和機(jī)密數(shù)據(jù)，為保證系統(tǒng)數(shù)據(jù)在存儲時和網(wǎng)絡(luò)傳輸時不被未經(jīng)授權(quán)的用戶訪問或解讀，可以利用用戶名來標(biāo)明用戶身份，經(jīng)系統(tǒng)鑒別用戶的合法性后，再利用口令進(jìn)一步核實(shí)用戶身份。為保證口令的安全性，在口令的提交過程中，可以利用安全套接字協(xié)議（SSL），通過使用公共密鑰和對稱性加密提供非公開通信、身份驗(yàn)證和消息集成。

2.1.2．授權(quán)控制

經(jīng)身份認(rèn)證的合法用戶根據(jù)自己的權(quán)限來訪問系統(tǒng)，因此用戶的授權(quán)管理機(jī)制甚為重要，其嚴(yán)密性將直接影響整個系統(tǒng)的安全性。在該安全體系中，可以利用Windows

NT的NTFS和DBMS的用戶角色在不同層次分別對用戶權(quán)限進(jìn)行限制。

2.1.3．監(jiān)視跟蹤

日志系統(tǒng)具有綜合數(shù)據(jù)記錄功能和自動分類檢索能力。完整的日志不僅要包括用戶的各項(xiàng)操作，而且還要包括網(wǎng)絡(luò)中數(shù)據(jù)接受的正確性、有效性及合法性的檢查結(jié)果，為日后網(wǎng)絡(luò)安全分析提供可靠的依據(jù)。

2.1.4．存儲過程

在基于Web的數(shù)據(jù)庫應(yīng)用系統(tǒng)中，可通過建立參數(shù)化的存儲過程實(shí)現(xiàn)數(shù)據(jù)庫的訪問，這通常是增強(qiáng)Web安全的一個最佳方案。

2.1.5．輸出數(shù)據(jù)HTML編碼

輸出數(shù)據(jù)HTML編碼是指在將任何數(shù)據(jù)返回給用戶前應(yīng)采用HTML編碼，以防止跨站點(diǎn)的腳本攻擊。因?yàn)楣粢坏┢茐牧藬?shù)據(jù)庫，便可向記錄中輸入腳本，次腳本隨后返回給用戶并在瀏覽器中執(zhí)行。通過HTML編碼，可將大數(shù)腳本命令自動轉(zhuǎn)換為無害文本。

2.1.6．中間件技術(shù)

隨著網(wǎng)絡(luò)數(shù)據(jù)庫朝分布式方向的深入發(fā)展，加上Internet上異構(gòu)數(shù)據(jù)庫的普遍存在，上述單獨(dú)的數(shù)據(jù)庫管理系統(tǒng)的安全管理能力越發(fā)顯示出它的局限性。因此需要有在邏輯層次位于DBMS之上能覆蓋具體差異、邏輯功能上能同意管理、同時可與用戶進(jìn)行交互的中間件部分。

最基本的中間件技術(shù)有通用網(wǎng)關(guān)接口(CGI)、Internet數(shù)據(jù)庫連接器(IDC)，Microsoft最近開發(fā)的ActiveXDataObject技術(shù)(ADO)，它提供了高效率的ODBC數(shù)據(jù)庫或OLE-DB數(shù)據(jù)庫來源的鏈接功能。

基于數(shù)據(jù)庫訪問數(shù)據(jù)庫的原理如圖1所示。

2.2．研究方法

本課題采用以文獻(xiàn)資料法和比較研究法相結(jié)合，以文章的全面性，系統(tǒng)性，專業(yè)性為目標(biāo)，讓讀者清楚的知道Web數(shù)據(jù)庫的含義，發(fā)展現(xiàn)狀，以及如何更好的保證Web數(shù)據(jù)庫的安全。

3．本課題需要重點(diǎn)研究的、關(guān)鍵的問題及解決的思路

本課題主要討論Web數(shù)據(jù)庫產(chǎn)生與發(fā)展和存在的安全性問題，重點(diǎn)研究Web數(shù)據(jù)庫保護(hù)的具體方法。以縱向且全面的方式分析Web數(shù)據(jù)庫的安全問題。

主要涉及內(nèi)容：

1對身份認(rèn)證的加密方法

2如何安全地設(shè)置Web和數(shù)據(jù)庫權(quán)限

3如何更好地對CGI應(yīng)用程序進(jìn)行編程

Web瀏覽器

Web服務(wù)器

中間件

Web數(shù)據(jù)庫

圖2基于中間件技術(shù)訪問數(shù)據(jù)庫

論文研究內(nèi)容確定

安全解決方案的研究

研究工作總結(jié)，形成論文

Web數(shù)據(jù)庫安全性分析

文獻(xiàn)檢索

課題調(diào)研

4．完成本課題所必須的工作條件(如工具書、實(shí)驗(yàn)設(shè)備或?qū)嶒?yàn)環(huán)境條件、某類市場調(diào)研、計算機(jī)輔助設(shè)計條件等等)及解決的辦法

4.1．具備一定的實(shí)驗(yàn)設(shè)備和實(shí)驗(yàn)條件：

有專業(yè)知識作為基礎(chǔ)，有文獻(xiàn)資源豐富的網(wǎng)站，擁有自己的電腦及為實(shí)驗(yàn)提供的機(jī)房，并有專業(yè)的老師進(jìn)行輔導(dǎo)。

4.2．參考文獻(xiàn)：

[1].

許龍飛.基于Web的數(shù)據(jù)庫技術(shù)與應(yīng)用.現(xiàn)代計算機(jī)，2000（2）：14-15.

[2].

王國榮，朱琳杰，王偉.Active

Server

Pages&數(shù)據(jù)庫.北京：人民郵電出版社，1999：139-269.

[3].

道焰，朱世挺等.CGI技術(shù)及其安全性研究

[J].計算機(jī)系統(tǒng)應(yīng)用，1997

(12).

[4].

周世雄編.IIS4.0超級網(wǎng)站速成.青島：青島出版社，1999：33-299.

[5].

蔡丹媚利用ASP輕松實(shí)現(xiàn)Web的動態(tài)交互訪問.計算機(jī)應(yīng)用研究，1999

（2）：62-63.

[6].

Arman

Danesh，Wes

Tatters著，陳卓，張知一等譯.Java

Script

1.1開發(fā)指南.清華大學(xué)出版社，1998.

[7].

宵金秀，馮沃輝，盧國旺.中文Dreamweaver3網(wǎng)頁設(shè)計大制作.北京：中國民航出版社，2000.5：117-130.

[8].Palo

Alto.Overview

of

Control

Network.CA

94304.

[9].張國祥.基于Apache的Web安全技術(shù)的應(yīng)用研究[J].武漢理工大學(xué)學(xué)報，2004，(3).

[10].Java

2

Platform

[M].Enterprise

Edition

By

Anne

Thomas.

[11].刑春曉，潘泉，張洪才.通用Web數(shù)據(jù)庫系統(tǒng)體系結(jié)構(gòu)研究[J].計算機(jī)工程與應(yīng)用，1999.9：35(9)：90-93.

[12].

[美]

Curt

Jang，Jeff

Chow

著，周志英等譯.Web網(wǎng)和INTRANET上的信息出版技術(shù).電子工業(yè)出版社，1997.

[13].Gunnit

S.Khunrana等，Web數(shù)據(jù)庫的建立與管理.機(jī)械工業(yè)出版社，1997.

[14].羅明宇，等.計算機(jī)網(wǎng)絡(luò)安全技術(shù)[J].計算機(jī)科學(xué)，2000，(10)：55-58.

[15].王英凱.證券交易系統(tǒng)中的數(shù)據(jù)庫安全性[J].蘭州大學(xué)學(xué)報，35：531-533.

[16].張少敏，王保義.基于Web的MIS中的數(shù)據(jù)庫安全性策略[J].華北電力技術(shù)，2002，P45-90.

[17].羅昌隆，李玲娟.基于Web的數(shù)據(jù)庫訪問技術(shù)[J].南京郵電學(xué)院學(xué)報，2001.7，P30-32.

[18].呂峰，劉曉東等.基于Web的網(wǎng)絡(luò)數(shù)據(jù)庫安全系統(tǒng)研究[J].武漢工業(yè)學(xué)院學(xué)報，2003.6，P51-54.

[19].程萬軍

張霞

劉積仁.基于擴(kuò)展客體層次結(jié)構(gòu)的安全數(shù)據(jù)庫策略模型[J].軟件學(xué)報，2002.9，P40-42.

[20].李建中.日新月異的數(shù)據(jù)庫研究領(lǐng)域——數(shù)據(jù)庫技術(shù)的回顧與展望[J].黑龍江大學(xué)自然科學(xué)學(xué)報，2002，19(2)：43-52.

5．設(shè)計(論文)完成進(jìn)度計劃

第1—3周：課題調(diào)研、資料收集，完成開題報告

第4—6周：結(jié)合課題開展畢業(yè)實(shí)習(xí)

第7—11周：實(shí)驗(yàn)研究

第12—13周：完成論文初稿

第14—16周：完成論文終稿并答辯

6．指導(dǎo)教師審閱意見

指導(dǎo)教師(簽字)：

年

月

日

7．教研室主任意見

教研室主任(簽字)：

系(簽章)

年

月

篇12

（一）財務(wù)網(wǎng)絡(luò)化的發(fā)展及商務(wù)電子化推廣給審計行業(yè)帶來了新的發(fā)展思路及指導(dǎo)方向

計算機(jī)網(wǎng)絡(luò)技術(shù)不斷發(fā)展，技術(shù)不斷革新，其應(yīng)用領(lǐng)域越來越廣。尤其現(xiàn)在大數(shù)據(jù)時代，借助云計算應(yīng)用到審計工作，促使提高數(shù)據(jù)處理能力，審計的精確度越來越高，促使審計工作網(wǎng)絡(luò)化與電子化方向發(fā)展，這也是審計工作的發(fā)展趨勢。互聯(lián)網(wǎng)+時代的來臨，促進(jìn)了電子商務(wù)產(chǎn)業(yè)快速發(fā)展，在新的知識經(jīng)濟(jì)環(huán)境下，給審計工作人員帶來了機(jī)遇與挑戰(zhàn)，需要審計工作者需要提高自身審計能力，以來應(yīng)變審計工作帶來的困難，加強(qiáng)審計工作者的素質(zhì)提升，是保障審計工作順利進(jìn)行基本保障。

（二）審計的現(xiàn)有標(biāo)準(zhǔn)和原有準(zhǔn)則已經(jīng)跟不上信息技術(shù)的快速發(fā)展

信息技術(shù)不斷發(fā)展，信息技術(shù)在審計工作的應(yīng)用這是科技發(fā)展的結(jié)果，社會經(jīng)濟(jì)呈現(xiàn)多元化發(fā)展趨勢，傳統(tǒng)的審計標(biāo)準(zhǔn)與現(xiàn)有的經(jīng)濟(jì)結(jié)構(gòu)，審計方式存在不協(xié)和因素，尤其信息技術(shù)在審計工作章的應(yīng)用，在新的知識經(jīng)濟(jì)時代，需要審計標(biāo)準(zhǔn)不斷變化，更新舊的標(biāo)準(zhǔn)，建立一個適合現(xiàn)代審計方式的新標(biāo)準(zhǔn)，提高審計工作者效率，借助于信息技術(shù)，促使審計工作越來越科學(xué)，準(zhǔn)確，符合時展需要。

（三）電算化系統(tǒng)在審計線索上的積極應(yīng)用

科技水平不斷發(fā)展，審計的方式也在不斷變化，現(xiàn)在經(jīng)濟(jì)的格局發(fā)生變化，審計工作基本采用審計軟件進(jìn)行審計，提高審計的效率，提升了審計的職能。電算化信息系統(tǒng)能夠通過改變與審計線索的相關(guān)因素，對審計人員在對審計對象業(yè)務(wù)的追蹤過程中造成一定程度的阻礙。會計電算化能使兩種追蹤審計線索進(jìn)行有機(jī)組合，從而達(dá)到有效降低追蹤結(jié)果不準(zhǔn)確度的效果。現(xiàn)在會計都是信息化時代，會計工作離不開信息技術(shù)，審計工作與會計工作有一定關(guān)系，必須依靠信息技術(shù)手段去審計，提高審計的效率，使審計更加科學(xué)準(zhǔn)確。

二、知識經(jīng)濟(jì)時代審計創(chuàng)新的基本內(nèi)容

（一）創(chuàng)新審計觀念

審計工作是一項(xiàng)復(fù)雜工作，審計工作者需要在工作過程中，不斷總結(jié)與提高審計的能力。在市場經(jīng)濟(jì)的調(diào)節(jié)下，經(jīng)濟(jì)呈現(xiàn)多元化發(fā)展方向，企業(yè)借助與科技手段不斷創(chuàng)新與發(fā)展，與傳統(tǒng)的經(jīng)濟(jì)體制有一定的區(qū)別。審計工作者需要更新審計觀念，借助于信息技術(shù)，采用信息技術(shù)手段進(jìn)行審計，可以提高審計工作的效率，也能增強(qiáng)審計的準(zhǔn)確性。審計工作者更新觀念是審計工作中關(guān)鍵因素，只有理念更新，利用先進(jìn)科技手段去審計，肯定能提高審計能力，增強(qiáng)創(chuàng)新意R，提高創(chuàng)新能力，審計工作者創(chuàng)新的工作，是面對復(fù)雜的審計環(huán)境下的關(guān)鍵因素，是提高審計工作者能力的主要因素，必須更新審計觀念，作為一名合格的審計工作者。

（二）行業(yè)制度和標(biāo)準(zhǔn)的創(chuàng)新完善

行業(yè)制度和標(biāo)準(zhǔn)需要不斷完善，這是審計工作發(fā)展需要，也是社會發(fā)展對審計工作提出新的要求，科學(xué)的標(biāo)準(zhǔn)建立，是審計工作者創(chuàng)新工作的前提。審計行業(yè)的監(jiān)督制度應(yīng)該建立在合法的基礎(chǔ)上，任何監(jiān)管人員都不能濫用行政權(quán)力，行業(yè)內(nèi)應(yīng)該不斷強(qiáng)化提高審計監(jiān)管工作人員的崗位基本素質(zhì)及職業(yè)道德，同時，政府也應(yīng)該實(shí)行對監(jiān)管部門的權(quán)限進(jìn)行制衡規(guī)范。審計部門一般是政府下的機(jī)構(gòu)，現(xiàn)在也有三方審計部門，這是成立一種專門的審計機(jī)構(gòu)，無論那種審計機(jī)構(gòu)都需要有一定的監(jiān)控，能更好的為審計服務(wù)，提高審計工作者的審計職能。

三、審計行業(yè)創(chuàng)新變革的內(nèi)涵及要點(diǎn)

審計工作是一項(xiàng)重要工作，也是一項(xiàng)復(fù)雜工作，審計工作者必須創(chuàng)新的工作，提高自己的審計能力，審計工作行業(yè)的創(chuàng)新改革是審計工作發(fā)展需要，也是社會發(fā)展的需要，審計創(chuàng)新改革內(nèi)涵及要點(diǎn)主要有以下幾點(diǎn)：

（一）根據(jù)現(xiàn)有審計行業(yè)的發(fā)展現(xiàn)狀，在審計工作者出現(xiàn)的問題，及時提出解決問題的措施，進(jìn)行有目的的進(jìn)行更新理念、創(chuàng)新工作。

（二）審計工作的行業(yè)創(chuàng)新應(yīng)該避免過度自然的跟隨創(chuàng)新自身發(fā)展趨勢的隨意性和盲目性，要努力實(shí)現(xiàn)更多的創(chuàng)新價值。

（三）審計創(chuàng)新要在前人的基礎(chǔ)上，根據(jù)實(shí)際工作經(jīng)驗(yàn)，結(jié)合審計規(guī)律，創(chuàng)新去工作，讓其成果更大。

（四） 審計行業(yè)創(chuàng)新除了有意識地利用歷史已有的發(fā)展基礎(chǔ)，更應(yīng)該強(qiáng)調(diào)一定程度的原創(chuàng)性，不能過度聽取別人的意見，而遺失了自己的主觀特點(diǎn)。

（五）創(chuàng)新的基本是可操作性，可適用型，在審計工作中能有所應(yīng)用，否則沒有任何意義。

參考文獻(xiàn)：

[1]錢曉能.試論審計創(chuàng)新及其發(fā)展策略研究[J].知識經(jīng)濟(jì)，2009（05）.

[2]趙登攀.試論網(wǎng)絡(luò)時代的審計創(chuàng)新[J].現(xiàn)代審計與經(jīng)濟(jì)，2009（04）.

[3]張益明.試論知識經(jīng)濟(jì)和審計創(chuàng)新[J].事業(yè)財會，2001（02）.

篇13

一、奔福德定律及國外的應(yīng)用

奔福德定律是由美國數(shù)學(xué)家、天文學(xué)家塞蒙?紐卡姆（Simon Newcomb）在1881年首次發(fā)現(xiàn)的。在1881年的一天，他在使用對數(shù)表做計算時，突然注意到對數(shù)表的第一頁要比其他頁更為破舊。奇怪的現(xiàn)象激發(fā)了他的研究興趣，當(dāng)時他所能得到的唯一解釋是人們對小數(shù)字的計算量要大于對大數(shù)字的計算量。經(jīng)過大量的統(tǒng)計分析，他發(fā)現(xiàn)了許多類型的數(shù)字都很好地符合這樣的規(guī)律：以1為第一位數(shù)的隨機(jī)數(shù)要比以2為第一位數(shù)的隨機(jī)數(shù)出現(xiàn)的概率要大，而以2為第一位數(shù)的隨機(jī)數(shù)又比以3為第一位數(shù)的隨機(jī)數(shù)出現(xiàn)的概率要大，以此類推。當(dāng)時紐卡姆關(guān)注這一數(shù)學(xué)現(xiàn)象完全是出于好奇，并沒有對這一定律做出任何解釋。由于當(dāng)時的人們對這一規(guī)律的運(yùn)用缺乏興趣，這一發(fā)現(xiàn)很快就被人們忘卻了。

到了1938年，美國通用電器（GE）的物理學(xué)家弗瑞克?奔福德（Frank Benford）注意到了同樣的現(xiàn)象。他收集并驗(yàn)證了總數(shù)為20 229個數(shù)字，其中包括籃球比賽的數(shù)字、河流的長度、湖泊的面積、各個城市的人口分布數(shù)字、在某一雜志里出現(xiàn)的所有數(shù)字，利用了概率的數(shù)理統(tǒng)計思維，發(fā)現(xiàn)在這些數(shù)字中，整數(shù)1在數(shù)字中第一位出現(xiàn)的概率大約為30％，整數(shù)2在數(shù)字中第一位出現(xiàn)的概率大約為17％，整數(shù)3在數(shù)字第一位出現(xiàn)的概率約為12%，而8和9在數(shù)字中第一位出現(xiàn)的概率約為5％和4％。這一規(guī)律因此也被人們稱為“第一位數(shù)分布規(guī)律”。弗瑞克?奔福德并推導(dǎo)了奔福德定律的數(shù)學(xué)表達(dá)式，即數(shù)字的第一位上各個非0數(shù)字出現(xiàn)的概率表達(dá)如下：

其中：n=1，2，3，…，9；p（n）代表數(shù)值的概率，lg為以10為底的常用對數(shù)符號。

根據(jù)上式，數(shù)字第一位上出現(xiàn)1至9的數(shù)值依次代入上式，得結(jié)果如表1所示。

奔福德定律從產(chǎn)生后就引起人們的廣泛關(guān)注，后人對此定律進(jìn)行了大量的擴(kuò)展研究，取得比較典型成就的有數(shù)學(xué)家Pinkham，他研究并證明了奔福德定律不受度量單位的影響，使得人們合理解釋了不同國家不同貨幣計量工具下的財務(wù)數(shù)據(jù)均可以采用奔福德定律進(jìn)行數(shù)值分析，而對奔福德定律的證明直到1996年才由Hill給出了嚴(yán)謹(jǐn)?shù)臄?shù)學(xué)證明，從理論上滿意地解釋奔福德定律的正確性。

半個世紀(jì)過去后，有人開始關(guān)注這一定律在財務(wù)領(lǐng)域的應(yīng)用。1988年，Carslaw首次把奔福德定律應(yīng)用到會計領(lǐng)域，他提出了一個有趣的假設(shè)：當(dāng)公司的凈利潤剛好低于心理預(yù)期邊界時，管理者會傾向于想辦法讓這些數(shù)字剛好“上線”，因?yàn)樗麄兌枷雸蟾娉龈叩氖杖霐?shù)據(jù)來。Carslaw通過實(shí)證研究驗(yàn)證了這一假設(shè)。Thomas于1989年在美國一些公司的財務(wù)數(shù)據(jù)中發(fā)現(xiàn)了同樣的現(xiàn)象。1996年，Nigrini開發(fā)了對財務(wù)數(shù)據(jù)進(jìn)行奔福德定律測試的計算機(jī)軟件，首先把奔福德定律系統(tǒng)、廣泛地應(yīng)用到舞弊審計領(lǐng)域。Nigrini將這種舞弊審計的技術(shù)方法稱為數(shù)值分析技術(shù)。這一軟件在實(shí)際審計應(yīng)用中取得了相當(dāng)好的效果，例如利用這一技術(shù)成功地識別出美國旅游度假公司的財務(wù)舞弊案。在審查納稅舞弊時，奔福德定律也發(fā)揮了很大的作用。Nigrini被邀請參與了幾個國家的稅收審查，他設(shè)計的軟件甚至還被用來審查比爾?克林頓的納稅情況。由于這些案例的成功，奔福德定律在美國和歐洲國家引起了廣泛的關(guān)注，同時也得到了許多集團(tuán)企業(yè)、政府部門、上市公司、專業(yè)機(jī)構(gòu)以及世界著名的審計師事務(wù)所的重視。

二、奔福德定律在我國應(yīng)用的現(xiàn)狀

目前，國內(nèi)對奔福德定律的介紹和研究極少，實(shí)踐上也沒有得到應(yīng)用。筆者多次檢索了中國期刊網(wǎng)、萬方論文及期刊數(shù)據(jù)庫等文獻(xiàn)數(shù)據(jù)庫，關(guān)于奔福德定律的文章很少，只有幾篇，如由馮郁和丁國勇所寫的《班福法則及其審計應(yīng)用》（審計理論與實(shí)踐2003第12期）文中將Benford's Law譯為班福法則，該論文簡要介紹了這一定律的內(nèi)容，并通過一組實(shí)際財務(wù)數(shù)據(jù)來顯示和驗(yàn)證該定律的正確性；張?zhí)K彤所寫的《奔福德定律：一種舞弊審計的數(shù)值分析方法》（中國注冊會計師2005第11期）利用2003年1 394家上市公司的主要財務(wù)數(shù)據(jù)進(jìn)行了奔福德定律的驗(yàn)證性測試，張?zhí)K彤和康智慧所寫的《信息時代舞弊審計新工具――奔福德定律及其來自中國上市公司的實(shí)證測試》（審計研究 2007第3期）進(jìn)一步對2006年1447家上市公司的主要財務(wù)數(shù)據(jù)與奔福德理論值進(jìn)行相關(guān)系數(shù)的驗(yàn)證性測試，并從相關(guān)系數(shù)的角度得出了財務(wù)舞弊公司的主要財務(wù)數(shù)據(jù)與奔福德理論值相關(guān)性較差的結(jié)論；王福生、李勛和孫遜所寫《奔福德定律及其在審計中的應(yīng)用研究》（財會通訊 2007第3期）、《奔福德定律在審計領(lǐng)域的應(yīng)用》（財會月刊2007 第3期）闡述了奔福德理論在審計領(lǐng)域應(yīng)用的成果、適用性以及優(yōu)缺點(diǎn)，并借助于某股份公司的財務(wù)數(shù)據(jù)驗(yàn)證奔福德定律在舞弊識別上的有效性等等。我國這些文獻(xiàn)大多是在對奔福德定律做理論上的驗(yàn)證性測試，在審計實(shí)務(wù)界還沒有展開。2008年10月筆者利用注冊會計師后續(xù)教育培訓(xùn)一周的時間對一百多名注冊會計師進(jìn)行過調(diào)查，99%以上的人對奔福德定律一無所知，他們在審計實(shí)務(wù)中大部分沿用常用的審計技術(shù)方法，如檢查、監(jiān)盤、觀察、查詢、函證、計算以及分析程序，對于統(tǒng)計抽樣技術(shù)在審計實(shí)務(wù)中也應(yīng)用很少，對抽樣的選擇主要還是依賴于注冊會計師的執(zhí)業(yè)經(jīng)驗(yàn)。總的來說，國內(nèi)對奔福德定律的理論研究從深度和廣度上來說都遠(yuǎn)遠(yuǎn)不及國外同行，在審計實(shí)務(wù)中也沒有得到有效的應(yīng)用，我國在這方面有必要借鑒國外的經(jīng)驗(yàn)，將奔福德定律的數(shù)值分析技術(shù)融入我國的審計實(shí)務(wù)中。

三、我國利用奔福德定律的必要性和可行性分析

（一）我國利用奔福德定律的必要性分析

首先，我國是一個發(fā)展中國家，上市公司在我國企業(yè)中所占的比重較少，絕大多數(shù)企業(yè)屬于中小企業(yè)，中小企業(yè)占全國企業(yè)總數(shù)達(dá)到了99.8%，中小企業(yè)由于自身固有的局限性和外界環(huán)境的影響，其財務(wù)核算與管理的控制比較薄弱，財務(wù)舞弊現(xiàn)象較為普遍，對中小企業(yè)審計的風(fēng)險較大。而我國對中小企業(yè)的審計現(xiàn)狀是數(shù)量遠(yuǎn)遠(yuǎn)超過上市公司，但審計的收費(fèi)卻遠(yuǎn)遠(yuǎn)低于上市公司，很多中小規(guī)模會計師事務(wù)所為了生存不得不受制于成本效益原則，對中小企業(yè)的審計不可能象上市公司那樣做到很詳細(xì)，如確認(rèn)資產(chǎn)很有效的監(jiān)盤程序，在對中小企業(yè)年度審計中就很難做到位，有的注冊會計師根本不監(jiān)盤，對存貨及固定資產(chǎn)的確認(rèn)往往簡單地依企業(yè)賬面數(shù)確認(rèn)，有的注冊會計師只象征性地抽查一兩個品名，因而在對中小企業(yè)審計中我們很有必要引進(jìn)先進(jìn)而又有效率的審計技術(shù)方法，來提高審計質(zhì)量，降低審計風(fēng)險。

其次，我國在審計領(lǐng)域中如果引進(jìn)奔福德定律的數(shù)值分析技術(shù)，可以完善我國現(xiàn)有審計方法體系，給財務(wù)舞弊的識別方法增添一項(xiàng)新的審計技術(shù)，提高現(xiàn)有審計水平，將有助于我國經(jīng)濟(jì)的健康發(fā)展。

（二）我國利用奔福德定律的可行性分析

從理論上來說，大部分財務(wù)數(shù)據(jù)符合奔福德定律所揭示的分布規(guī)律，奔福德定律的數(shù)值分析技術(shù)識別財務(wù)舞弊已經(jīng)在國外得到認(rèn)可，在國內(nèi)有關(guān)文獻(xiàn)也已經(jīng)利用奔福德定律對有關(guān)的財務(wù)數(shù)據(jù)進(jìn)行了驗(yàn)證性的測試，測試結(jié)果是企業(yè)如果沒有進(jìn)行財務(wù)舞弊，財務(wù)數(shù)據(jù)的分析數(shù)值與奔福德理論值是趨于一致的，如果企業(yè)的財務(wù)數(shù)據(jù)的分析數(shù)值與奔福德理論值出現(xiàn)偏差，預(yù)警人們企業(yè)可能存在財務(wù)舞弊。

從技術(shù)層面上說，我國大部分企業(yè)已經(jīng)采用會計電算化進(jìn)行賬務(wù)處理，審計人員對企業(yè)的財務(wù)數(shù)據(jù)很容易獲取，只需要從企業(yè)賬套中引出財務(wù)數(shù)據(jù)，形成EXCEL文檔，然后對數(shù)據(jù)進(jìn)行整理，形成審計人員所需要的一串?dāng)?shù)據(jù)，再利用EXCEL中的數(shù)據(jù)公式進(jìn)行處理，操作簡單易行，這也是奔福德定律的一大優(yōu)點(diǎn)。下面以某單位的應(yīng)收賬款賬戶的數(shù)據(jù)來詳細(xì)說明具體操作步驟：

1.整理數(shù)據(jù)。從賬套中引出應(yīng)收賬款明細(xì)賬形成EXCEL文檔，打開文檔對數(shù)據(jù)進(jìn)行整理，通過篩選功能去掉文檔中“上年結(jié)轉(zhuǎn)”、“本期合計”、“本年累計”所對應(yīng)的數(shù)據(jù)，留下全年應(yīng)收賬款每筆發(fā)生額的數(shù)據(jù)，選中借方發(fā)生額作為分析對象（假設(shè)借方發(fā)生額的數(shù)據(jù)在D列，共有數(shù)據(jù)7500個）。

2.截取數(shù)據(jù)的首位數(shù)。在空白的E列第一行輸入第一位首字的公式：LEFT（D1，1），將E列第一行選中，利用EXCEL填充柄功能將鼠標(biāo)拖到E列的第7500行，這樣電腦就會自動把D列所有數(shù)據(jù)的第一位數(shù)字取出來存放在E列上。

3.計算每個首位數(shù)字的個數(shù)。在F列第一行輸入EXCEL條件計數(shù)公式：COUNTIF（D1：D7500，1），在F列第二行輸入：COUNTIF（D1：D7500，2），依次類推，直到在F列第九行輸入：COUNTIF（D1：D7500，9）。

4.計算每個首位數(shù)字在總數(shù)據(jù)中所占的概率。在H列第一行輸入公式：F1/7500，利用EXCEL填充柄的功能將鼠標(biāo)拖到H列的第9行，首位數(shù)字所占的概率就會顯示出來。

5.比較數(shù)據(jù)。將H列所得到的首位數(shù)字的概率與奔福德定律中的概率數(shù)據(jù)進(jìn)行比較，從而得出結(jié)論。

從審計的工作程序上看，利用奔福德數(shù)值分析技術(shù)形成的結(jié)論，一樣可以打印形成審計書面工作底稿，作為審計程序的一部分，為評估重大錯報風(fēng)險提供信息來源。

四、利用奔福德定律在審計中的案例分析

在2007年度審計中，筆者曾經(jīng)選擇企業(yè)資產(chǎn)均在6 000千萬以上，收入過億的生產(chǎn)和商貿(mào)兩個行業(yè)的六家中小企業(yè)的財務(wù)數(shù)據(jù)利用奔福德定律進(jìn)行分析，本文選擇某皮革制造有限公司2007年度的真實(shí)財務(wù)數(shù)據(jù)進(jìn)行說明。

審計過程中首先筆者對該單位的財務(wù)數(shù)據(jù)進(jìn)行分析程序，對資產(chǎn)負(fù)債表進(jìn)行結(jié)構(gòu)百分比分析發(fā)現(xiàn)應(yīng)收賬款占總資產(chǎn)36.69%，應(yīng)付賬款占總資產(chǎn)38.08%，對利潤表進(jìn)行比較百分比分析收入比上年增長11.4%，而銷售費(fèi)用比上年增長117.98%，從重要性角度筆者又選擇了應(yīng)收賬款、應(yīng)付賬款以及銷售費(fèi)用進(jìn)行奔福德數(shù)值分析，模糊查找財務(wù)舞弊的跡象。

首先，對4 875筆應(yīng)收賬款借方發(fā)生額的第一位數(shù)字出現(xiàn)的概率與奔福德定律相比較，具體數(shù)據(jù)如表2所示。

由表2中數(shù)據(jù)產(chǎn)生的柱狀圖如圖1所示。

從表2和圖1可以得出，2007年度應(yīng)收賬款的發(fā)生額第一位數(shù)字出現(xiàn)的概率與奔福德定律相似，呈下降趨勢，經(jīng)過比較不排除有會計舞弊的可能性，但從模糊查找角度看，應(yīng)收賬款舞弊的可能性不大，當(dāng)然在審計過程中對交易額超過審計重要性的發(fā)生額還需要進(jìn)一步審核。

其次，對3 932筆應(yīng)付賬款的第一位數(shù)字出現(xiàn)的概率與奔福德定律相比較，具體數(shù)據(jù)如表3所示。

由表3中數(shù)據(jù)產(chǎn)生的柱狀圖如圖2所示。

從表3和圖2可以得出，2007年度應(yīng)付賬款的發(fā)生額第一位數(shù)字出現(xiàn)的概率與奔福德規(guī)定律相似，呈下降趨勢，經(jīng)過比較不排除有財務(wù)舞弊的可能性，但從模糊查找角度看，應(yīng)付賬款舞弊的可能性不大，當(dāng)然在審計過程中還是對交易額超過審計重要性的發(fā)生額需要進(jìn)一步審核。

最后對1 382筆銷售費(fèi)用發(fā)生額的第一位數(shù)字出現(xiàn)的概率與奔福德定律相比較，具體數(shù)據(jù)如表4所示。

由表4中數(shù)據(jù)產(chǎn)生的柱狀圖如圖3所示。

從表4和圖3可以看出在數(shù)字1和數(shù)字9這兩位數(shù)字出現(xiàn)的概率高于奔福德定律，其他幾位數(shù)字出現(xiàn)的概率數(shù)值較接近，數(shù)字從2至8出現(xiàn)的概率基本是遞減趨勢，在數(shù)字1 和9處出現(xiàn)較大反差，針對每一位數(shù)字是1和9的數(shù)據(jù)進(jìn)行分析，發(fā)現(xiàn)從7月份開始老板本人每月報銷加油費(fèi)和路橋費(fèi)幾十萬元，每筆數(shù)據(jù)不是一萬多就是九千多，懷疑老板報銷銷售費(fèi)用可能有舞弊行為。對銷售費(fèi)用的路橋費(fèi)明細(xì)進(jìn)行詳細(xì)審查，發(fā)現(xiàn)老板本人來報銷路橋費(fèi)用以9為開頭的數(shù)字大部分發(fā)票票據(jù)來源來自于杭州的定額運(yùn)輸發(fā)票，對應(yīng)銷售情況來看，全年銷往杭州的收入為829 152.60元，而列示了運(yùn)往杭州1 796 360.00元運(yùn)輸費(fèi)用，運(yùn)輸費(fèi)用遠(yuǎn)大于銷售收入，這是不合常理的。經(jīng)查詢，原來老板的兒子在杭州開有一零售皮革店面，是定額征收的，大部分是不開票銷售的，商品是從該皮革公司發(fā)出的，由杭州某運(yùn)輸公司負(fù)責(zé)托運(yùn)。由此可見，借助于奔福德數(shù)字定律可以幫助人們提供財務(wù)舞弊線索。

五、奔福德定律在審計應(yīng)用中注意事項(xiàng)

審計中應(yīng)用奔福德定律時需要注意以下幾點(diǎn)：一是注意運(yùn)用這一定律的限制性條件，并不是所有的數(shù)據(jù)類型都適合奔福德定律。二是數(shù)據(jù)樣本要有足夠的量，樣本越大，結(jié)果越可靠。經(jīng)驗(yàn)表明，樣本量在10 000以上的數(shù)據(jù)一般與理論值吻合很好，在1 000至10 000之間吻合較好，在200至1 000之間差距較大，但也有相當(dāng)參考意義，樣本量在200以下的，一般就不適用奔福德定律了。三是數(shù)據(jù)檢測的結(jié)果如果不符合奔福德定律的概率分布，只能說明存在財務(wù)舞弊的可能性，不能說明一定存在財務(wù)舞弊，因而審計人員還應(yīng)以此為線索，追根尋源，查找舞弊存在的有力證據(jù)。四是如果數(shù)據(jù)檢測結(jié)果符合奔福德定律的概率分布，并不意味著一定不存在財務(wù)舞弊。尤其當(dāng)數(shù)據(jù)總量非常大的時候，如果舞弊數(shù)據(jù)發(fā)生次數(shù)不多，它們就會淹沒在大樣本的規(guī)律之中。在大樣本的情況下，審計人員還應(yīng)該考慮分層進(jìn)行測試分析。分層進(jìn)行測試的形式可以依企業(yè)不同情況進(jìn)行分類，可以按企業(yè)的供貨商、購貨商進(jìn)行分層，也可以根據(jù)不同購貨地區(qū)、銷售地區(qū)進(jìn)行分層。這種分層測試均可以通過計算機(jī)的操作功能快速而方便地完成。

【參考文獻(xiàn)】

［1］ 張?zhí)K彤.奔福德定律：一種舞弊審計的數(shù)值分析方法［J］.中國注冊會計師，2005（11）.

［2］ 馮郁，丁國勇.班福法則及其審計應(yīng)用［J］.審計理論與實(shí)踐，2003（12）