前言:中文期刊网精心挑选了新的审计法范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
新的审计法范文1
关键词:国家审计;审计发展
国家审计活动主要指的是对于国家一定时期内的金融、财政及企业发展情况的审查和统计,这个过程不仅可以发现社会生产和经济发展中的一些问题,还能够根据现有的经济形势,为发展规划提出建议。
一、国家审计从财务审计向效益审计过渡
虽然我国的国家审计的历史不长,但是随着我国经济的快速发展,我国的国家审计活动也进行了一定的审计目标和审计方式上的调整,这使得我国国家审计活动更好地服务于现代经济发展过程中的效益审计。目前,我国的国家审计已经不仅是对财务问题的审计,而是逐渐向着效益审计的职能转变。一般来说,目前我国的国家审计主要可以分三个部分。
第一部分为财政审计,包括收入和支出,即根据现阶段的经济发展的重点和审计的主要发展侧重,对财政收入和支出的数据进行审查,实现对其来源的合法性及效益性的审计。这样就可以更加全面合理地反映财政收支状况,也能够实现财务审计目的的有效过渡。
第二部分为金融审计。所谓金融审计,就是指对现有的金融业的发展和服务状况进行全面的效益审计,对其各种金融产品的质量和收益及风险防范措施等进行审查,有效地提高绩效审计的质量。
第三部分为企业审计。所谓企业审计,就是指在国家审计的过程中,针对现有的企业的经济效益及各种资金使用的合法性和效益性的审计。这种企业审计的最大的目的在于对企业的各种行为的合法性进行监督,也对企业整体经济效益的实现情况进行审查和评估。由于我国现阶段的工作中心是经济建设,所以在国家审计的过程中,对企业发展情况的审计是有所侧重的,并且在社会主义市场经济体制不断完善和推行的过程中,需要有关部门对现有的企业的经济效益实现情况进行审计,从而更好地推动其自身经济结构的调整,实现更加快速的经济发展。
由此可见,在国家审计的过程中,不仅需要运用到专业的审计技术和手段对现有的经济情况进行分析,还要根据不同的审计内容进行专门化的审计目的的制定,这样才能更好地实现审计质量和审计水平的提高。目前,我国的国家审计不仅在目标上更加注重对各种资金使用的合法性和真实性的审查,还注重对各种企业及国有资产的经济增长方式的监督和审查,从而更好地制定完善审计措施,实现对金融和企业发展及财政管理活动的有益指导。
二、国家审计从手工操作向计算机审计过渡
随着社会主义市场经济体制的不断发展和完善,我国的经济实现了快速有序发展。这种情况下,国家审计活动中涉及的审计数据和审计项目也在不断地增加。为了保证国家审计结果的准确性和可靠性的,必须在传统审计方法的基础上,实现对审计方式和技术的完善。目前,我国的国家审计已经基本上实现了新技术的应用,但是其实际的技术水平同发达国家还存在较大的差距。这就要求有关部门必须加快对相关技术的研发和升级改造,不断提高现有审计软件的技术水平,以此来提高国家审计活动执行过程中的准确性和真实性。
目前,我国的国家审计在利用现代化的技术进行升级和改造的过程中已经实现了一些方面的技术创新,主要表现为以下几点。
首先,我国审计证据取证技术的创新。在审计的过程中,审计活动的对象就是相关的审计数据和其他形式的审计证据,所以要想提高审计水平,就必须要提高审计活动的取证技术水平。所以,有关部门应该重视对各种数据的测试软件的研发,加强对现有的数据管理系统的控制和模拟,以便更及时准确地实现数据的整理,为审计活动赢得时间的同时提高其审计的准确性和可靠性。目前,我国的国家审计活动中的数据提取已经基本上实现了计算机化,并且建立了专门的审计系统,实现了取证技术的创新。这不仅有效地提高了审计取证的效率,同时也实现了模拟系统建设。
其次,国家审计采用了网上实时审计。为了保证对审计效率的提高,我国目前的国家审计已经实现了网络实时处理,不仅可以实现对各种经济业务的联网处理,还能够有效地减少手工审计遗留的审计凭证,减少审计误差和错误的出现。因为传统的审计方式大多数采用的是手工审计,所以在审计的过程中存在审计速度过慢、审计质量无法保障等问题。而采用现代的网上审计可以实现数据的实时互通和实时处理,在提高审查效率的同时实现了对数据审计准确度的控制。
最后,我国的国家审计建立了自动化的审计专家系统。其最大的意义在于可以在国家审计活动的开展过程中,根据专家的思维活动对数据进行推理和判断,进而解决和应对各种问题。也就是说,将一些领域内的专业人员的知识和思考方式进行系统化的设计,实现对现有知识和规则的有效利用,实现对数据及各种项目的可行性的评估。这种系统主要应用于对企业的各种规划和资金使用情况的鉴别和评估中,可以较好地分析效率和汇报之间的关系,所以这种系统的应用也极大地提高了我国国家审计的技术水平。
由此可见,在国家审计的不断发展和完善过程中,相关技术的发展对于推动整个国家审计效率和质量的提升起着非常重要的作用。因此,在以后的国家审计的相关管理活动中,有关部门应该重视对审计方式和技术的研发及完善,构建更加适应现代企业和经济变化的审计形式。
三、审计服务向多维审计方向发展
充分发挥国家审计的优势和职能作用,实现宏观服务层次上的突破,是国家审计发展的又一个基本趋势。在审计立项上,由“微观―宏观―微观”的思维方式向“宏观―微观―宏观”的方式转变。在行业审计分工的基础上,实行部分专题的联合审计是国家审计的一个发展方向,这样便于发现区域性的问题。由单纯的微观审计向微观审计与宏观监控相结合转变,在微观审计过程中,注意将微观审计对象纳入宏观监控目标的坐标系中考察,揭示其发生的偏差。同时,在微观审计的基础上,做好后勤总体会成工作,充分利用审计接触面大、信息多、资料实的优势,对审计资料做出全面系统的分析,从宏观与微观的结合中得出某一时期该地区经济状态的宏观的结论。在审查财务收支的基础上,向管理体制与内控制度、风险控制的有效性审查延伸,最终达到标本兼治的目的,体现监督深度和广度上的突破。从审计形式来看,由事后审计向事前审计和事中审计并举转变,更好地发挥审计工作对经济建设的保护和建设性作用。
四、国家审计提倡以人为本
科学技术是第一生产力,高质量的审计来自高素质的审计队伍,人才是事业成功的保障。审计人员素质结构将向多元化、现代化发展,呈现适应性、效率性、超前性、整体性的发展趋势。随着各种新兴市场的形成,管理手段的日趋智能化,知识经济的挑战,审计人员的单一财会型知识结构已不能适应经济发展的要求。因此,各级审计机关都应重视审计人员素质的提高。一是要活化“存量”,提高业务素质,即抓好现职人员的专业培训,使之适应审计现代化这个发展趋势的需要,引导审计人员认真学习国家宏观经济政策和相关的经济知识,培养宏观思维意识和立体思维方法,从全局、政治、经济、社会、文化和历史的各个层次观察分析问题,使国家审计更具有权威性、宏观性和引导性。二是要提高执法水平,即在现代市场体制转变的情况下,不断加强对相关审计法规的宣传,使企业和个人认识到审计法规的约束力,并且能够在工作和管理过程中真正的践行相关的法律法规,不断提高审计活动的制度化管理水平。
综上所述,随着我国经济的快速发展,我国国家审计的水平也在不断地提高和完善。这种情况下,国家审计的具体操作方式和技术必须根据新的经济体制的变化不断地调整,根据新的经济发展趋势的变化不断转变,只有这样才能更好地为财政审计及金融审计提供有效的审计参考,实现对社会经济发展及企业未来规划的有效建议。
参考文献:
[1]朱庆国,朱益民.经济责任审计对象扩大后的对策浅探[J].审计月刊,2011(07).
[2]尚兆燕.国家审计判断绩效:实证调查和分析[J].审计与经济研究,2011(01).
新的审计法范文2
关键词:审计主题;信息审计;行为审计;财务信息审计;非财务信息审计;
作者简介:郑石桥,南京审计学院教授,博士生导师,主要从事审计理论与方法研究,联系方式zhengshiqiao@163.com;;宋夏云,南京大学博士后,主要从事政府审计理论与方法研究。;
一、引言
任何审计都是围绕一定的主题来展开的,通常将这个主题称为审计主题。事实上,审计主题也就是审计人员所要发表审计意见的直接对象,审计过程就是围绕审计主题收集证据并发表审计意见的系统过程。一般来说,审计主题可以分为两类,一是信息,也就是通常所说的认定;二是行为,也就是审计客体的作为或过程。与上述两类主题相对应,审计也可区分为信息审计和行为审计,信息审计的审计主题是信息,而行为审计的审计主题是行为(谢少敏,2006)。[1]由于这两类审计的主题不同,导致它们在许多的审计基本问题上都存在重大差异。然而,在审计学的发展过程中,主要关注了信息审计,对行为审计缺乏研究。
本文以审计主题为基础,就审计基本问题,对信息审计和行为审计进行比较,并在此基础上就审计学发展的现状和未来的展望进行思考。本文随后的内容安排如下:首先是一个简要的文献综述,梳理相关文献;在此基础上,就审计的十个基本问题,对信息审计和行为审计进行比较;然后,从信息审计和行为审计视角,分析审计学发展的现状,并展望未来的发展;最后是结论。
二、文献综述
信息审计包括财务信息审计和非财务信息审计。以财务报表为代表的财务信息审计有大量的研究文献,可以说是汗牛充栋(莫茨和夏拉夫,1990)。[2]这些研究文献大多数都是站在注册会计师审计的角度。但是,对于非财务信息审计的研究文献很少,除了借用财务信息审计方法外,非财务信息审计也有一些新方法。例如,英格兰及威尔士审计委员会要求相关国家审计机关对公共部门的绩效指标进行审计,由于这些绩效指标大多数是非财务信息,这些审计机关采用的工作方法是,不对数据本身进行审计,而是对数据产生的流程进行审计,并公布对这些流程的审计结果(Bowermna,1995)。[3]
与信息审计相比,行为审计历史源远流长,然而,对它的研究却很少(审计行为有大量的研究,但是,审计行为不是行为审计)。国外的代表性人物是日本的鸟羽至英,他认为,行为审计有如下特定问题:需要就评价标准达成共识,需要对当事人的行为优劣进行评价,因此,就评价标准达成共识是行为审计顺利进行的必要条件。通常审计人被授予较大的权限,由于评价特定行为是非的标准很难在短时间内达成共识,因此,行为审计往往授予审计人较大的权限以保证当事人接受审计结论。往往缺乏确定的审计命题,行为审计通常是责任方并没有给出具体的审计命题,需要审计人员确定审计命题。在缺乏相应的行为标准的情况下,意味着审计人员必须自己判断并决定审计对象的领域。只能提供消极保证,因为审计命题的宽泛性和模糊性,行为审计只能提供消极保证。受伦理道德的影响较大,行为审计对审计人员带来很大的心理负担,行为审计是否有所作为,与审计人员的个人素质有很大的关系(鸟羽至英,1995)。[4]国内只有谢少敏(2006)在其教材《审计学导论:审计理论入门和研究》中提到信息审计和行为审计的概念,并介绍了鸟羽至英教授的研究成果。[1]
行为审计的一个相关领域是网络用户行为审计,是指在获得网站访问基本数据的情况下,对有关数据进行统计、分析,从中发现用户访问网站的规律。针对网络用户行为审计有不少的研究文献,主要关注其中的技术(刘恒胜,2005)。[5]网络用户行为审计虽然不是本来意义上的行为审计,但是,对行为审计有一定的启发。
总体来说,非财务信息审计的研究成果缺乏,行为审计研究成果更缺乏。本最基础性的研究,就审计的十个基本问题,对信息审计和行为审计进行比较,并在此基础上就审计学发展的现状和未来的展望进行思考。
三、行为审计和信息审计的比较
行为审计和信息审计由于审计主题不同,所以,在审计的许多基本问题上都呈现差异。本文就审计动因等十个审计的基本问题,对行为审计与信息审计进行比较。
(一)审计动因
审计动因就是审计产生的原因。一般来说,审计源于委托关系、机会主义倾向和问责,在委托关系下,由于信息不对称、激励不相容和环境不确定等原因,人可能会产生机会主义倾向,如果委托人对人的这种机会主义倾向介意,就会产生问责需求,审计是适应问责需求而产生的一种独立鉴证机制,机会主义倾向是审计的动因(郑石桥和陈丹萍,2011)。[6]
然而,信息审计和行为审计由于审计主题不同,上述机会主义倾向和问责的内容不同。就信息审计来说,人的机会主义倾向主要表现为信息虚假,也就是说,人在向委托人或其他相关者提供信息时,故意弄虚作假,以达到实现其自利的目的。针对人的信息机会主义倾向,委托人的问责需求是搞清楚信息的真实状况。此时,适应这种问责需求的审计,就是对人提供的信息进行鉴证。所以,信息机会主义倾向是信息审计的动因。
就行为审计来说,人的机会主义倾向主要表现为不按委托人的期望或约定来实施特定的行为或过程。在委托关系中,委托人对人并不只是一种结果上的期望,还有行为或过程方面的期望,也就是期望或要求人按特定的方式来实施某些行为,而由于信息不对称、激励不相容和环境不确定等原因,人可能会偏离委托人的期望或要求,实际履行的行为或过程与委托人的期望或要求有差别。针对人的行为机会主义倾向,委托人的问责需求是搞清楚人行为的真实状况。此时,适应这种问责需求的审计,就是对人提供的行为(包括过程)进行鉴证。所以,行为机会主义倾向是行为审计的动因。
(二)审计目标
目标就是人们想要达到的境地或标准,审计目标是审计工作想要达到的境地或标准,它是审计工作的出发点和归宿。一般来说,审计目标可以从审计人和委托人角度来理解。
总体来说,从审计人角度来看,审计目标就是希望通过审计活动想要达到的境地或标准,具体来说,就是对委托人所关注的主题或事项发表专家意见,就是鉴证人是否存在偏离委托人期望的机会主义倾向。从委托人的角度来看,审计目标就是通过对审计意见的使用来达到一定的境地或标准,具体来说,就是通过审计意见来约束或激励人,也就是约束人的机会主义倾向,使其行为更加符合委托人的利益。
从信息审计来说,审计人视角的审计目标就是对信息的真实性(或公允性)进行鉴证,也就是对委托人关注的某些特定信息的真伪进行鉴证,并在此基础上,发表专家意见。这种鉴证的本质是鉴证人是否存在信息虚假等机会主义倾向。委托人视角的审计目标是通过对信息审计意见的使用来约束人的信息机会主义倾向,从而使得人能给委托人提供真实公允的信息。
从行为审计来说,审计人视角的审计目标就是对行为的合规性(或合法性)进行鉴证,是对委托人关注的人某些特定行为是否符合委托人的期望进行鉴证,并在此基础上,发表专家意见。审计人要实现这个目标,就需要搞清楚人究竟有哪些实际行为,并在此基础上,判断这些实际行为与委托人期望是否一致。这种鉴证的本质就是鉴证人是否存在行为机会主义倾向。委托人视角的审计目标就是通过对行为审计意见的使用来约束人的行为机会主义倾向,从而使得人不发生或很少发生偏离委托人期望的机会主义倾向。
《中华人民共和国国家审计准则》指出,真实性是指反映财政收支、财务收支以及有关经济活动的信息与实际情况相符合的程度,这是对信息审计目标的规定;合法性是指财政收支、财务收支以及有关经济活动遵守法律、法规或者规章的情况,这是对行为审计目标的规定;效益性是指财政收支、财务收支以及有关经济活动实现的经济效益、社会效益和环境效益,这是在真实性和合法性审计的基础上,将鉴证后的信息或行为与一定的标准进行比较,以评价其结果或行为的优劣,既适用于信息审计,也适用于行为审计。从本质上来说,效益性是将真实的信息或真实的行为与一定的标准进行比较,评价其优劣,不是审计目标,而是评价目标,效益性不能审计,只能评价。
(三)审计主体
审计主体关注的是谁来审计。一般来说,审计主体分为政府审计、内部审计和民间审计。从技术上来说,各种审计主体都可以从事信息审计和行为审计。但是,由于这些审计主体在不同的委托关系中发挥作用,从而出现审计侧重点不同。
政府审计的主要作用领域是公共部门,这些部门的财产是公有的,所以,人产生机会主义倾向的可能性相对较大。在这种情形下,信息审计当然要做,但是,在机会主义倾向较严重的领域,行为审计的需求可能更强烈。例如,我国的财政财务收支审计是重点,而财政财务决算审计并不是重点。当然,随着公共治理的完善,行为审计需求会降低,信息审计的重要性会提升。
民间审计的主要作用领域是私营部门,这些部门的产权关系较清晰,相对于公共部门来说,私营部门的治理结构更为成熟,人产生机会主义倾向的可能性要低些。委托人对人特定行为的关注较少,主要关注的是人所产生的结果,所以,信息审计的需求较大。正因为如此,会计报表审计一直是民间审计的主要业务。当然,在特定的情形下,私营部门也可能会有行为审计的需求。例如,在审计发展的早期,对于管理层舞弊的审计是重要的审计业务,现在的内部控制审计也是这种情形。
内部审计的主要作用领域是内部委托关系。一般来说,在内部委托关系中,对于下属组织和个人是否遵守既定的行为准则较为关心,所以,行为审计是内部审计的重点业务。信息审计的需求程度与信息生产制度有关,如果组织内部的信息是集中处理的,则信息审计需求不强;如果信息是分散处理的,则信息审计需求会较强。
(四)审计客体
审计客体关注的是对谁审计,一般分为组织和个人。当审计客体是组织时,审计范围是整个组织的信息和行为,凡是属于该组织的信息和行为,都属于审计对象,超出该组织的信息和行为就不属于审计范围。一般来说,确定特定组织的信息和行为范围并不困难。当审计客体是个人时,审计范围是与特定个人有关的信息和行为,凡是属于与该特定个人相关的信息和行为,都属于审计对象,与该特定个人无关的信息和行为就不属于审计范围。一般来说,在一个组织内部,要将信息和行为明确区分与某特定个人是否相关,存在一些困难,当审计客体的职位越高,由于其影响范围越广,确定与其相关的信息和行为越是困难。所以,以组织为审计客体,行为审计和信息审计的范围较清晰,而以个人为审计客体时,行为审计和信息审计的范围存在一定的模糊性。
虽然审计客体可区分为组织和个人,但从审计主题来说,对于组织的审计,如果关注行为过多,则审计成本可能很高。所以,对于组织的审计,更多地偏向信息,而对于个人来说,行为是一个重要的审计主题。
(五)审计内容
审计内容关注的是审计什么。对于审计内容可以进行多种分类,例如,根据审计的具体事项类型,可分为舞弊审计、财务审计、合规审计、绩效审计等;而从审计主题出发,可分为信息审计和行为审计。一般来说,审计内容包括两个方面,一是审计主题,二是审计命题。审计主题就是审计人员所要发表审计意见的直接对象,而审计命题则是审计主题的分解,只有鉴证了各个具体的审计命题,才能对特定的审计主题发表审计意见。信息审计和行为审计在审计主题和审计命题方面存在重大差异。
信息审计的主题是特定信息,也就是审计客体的陈述或者认定,审计人需要就审计客体的陈述或者认定发表意见。例如,会计报表审计是典型的信息审计,其审计主题就是会计报表信息,也就是会计报表中表达的各种认定或陈述。信息审计的主题内涵丰富,需要对其进行分解,确定为一些具体的可证明的命题,这就出现了审计命题。例如,会计报表信息,要区分交易、余额、列报,分别确定它们的认定,在此基础上,根据交易、余额、列报的认定,确定具体的审计目标。这种具体审计目标,实际上就是审计命题,它是审计主题的具体分解,只有对一个个的具体审计命题进行了鉴证,才能对由它们组合而成的审计主题发表意见。一般来说,特定信息作为一个审计主题,可以基本穷尽地分解为具体的审计命题。
行为审计的主题是特定行为,审计人需要就审计客体的特定行为发表意见。例如,舞弊审计是典型的行为审计,其审计主题是审计客体的舞弊行为。要判断审计客体是否存在舞弊行为,需要对舞弊行为进行分解,这就出现了审计命题,也就是审计人需要鉴证审计客体在哪些具体方面存在舞弊。例如,将舞弊行为按不同的业务经营环节划分或者按舞弊方式分类或者按舞弊动机分类等,这些分类的结果就是具体的审计命题。一般来说,由于行为发生的时间、地点和方式非常丰富,对特定行为进行分解可能难以穷尽,也难以形成一个公认的分解体系,所以,行为审计的命题确定具有多样性、非穷尽性。对于特定的行为,不同的审计人确定的审计命题会有区别,并且无论是谁,都无法穷尽特定行为的审计命题。
(六)审计依据
审计依据是审计中的既定标准,也就是审计人对信息或行为进行鉴证的尺度或标准。信息审计和行为审计在审计依据方面存在较大的区别。
从信息审计来说,审计依据是信息应该如何收集、加工和报告的规定,是关于信息如何生产的具体规定。审计人要做的是,收集证据,判断审计客体是否按这个具体规定在生产信息,如果不按规定生产信息,还要判断其偏离程度,如果偏差超出重要性水平,就判断为信息不真实。例如,会计报表审计,主要是收集证据,判断审计客体是否按会计准则的要求进行会计处理和报告,如果发现审计客体在重大事项上存在偏离,则判断会计报表为不真实。一般来说,信息生产的具体规则可以很清晰,并且特定审计客体在一定时期遵守的特定信息生产规则具有唯一性,所以,信息审计依据的确定并不困难。
从行为审计来说,审计依据是判断人行为是否适宜的既定标准,是关于审计客体应该如何行为的具体规定。审计人要做的是,收集证据,判断审计客体是否按这个具体规定在行为,如果不按规定行为,还要判断其偏离程度,如果偏差超出重要性水平,就判断为行为不合规。例如,管理审计,本质上就是判断审计客体的管理行为是否偏离既定的管理标准。
对于某些行为审计来说,可能存在明确的审计依据。例如,舞弊审计、财务收支审计、合规审计等。然而,对于某些行为审计来说,审计依据的确定是行为审计的一个困难之处(鸟羽至英,1995)。[4]对于许多特定行为来说,什么是“既定标准”可能难以达成共识。以管理审计为例,确定什么是适宜的管理行为,其关键是确定管理应该怎么做。而对管理应该怎么做要达成共识可能较为困难。例如,对于特定的组织来说,究竟集权是适宜的,还是分权是适宜的,可能难以有一个一致的认识。也许正是因为审计依据方面存在的问题,管理审计的发展遇到了困难。
(七)审计程序
审计程序是获得审计证据的具体方法,不同于审计步骤。在我国,由于文字表述的原因,审计程序也有审计步骤的意思。但是,从本意上来说,审计程序是审计方法,而不是审计步骤。
从审计程序的成熟性来看,信息审计可区分为财务信息审计和非财务信息审计。财务信息审计过程中可以采用审阅、询问、监盘、观察、调查、重新计算、重新执行、分析性程序等审计程序来获取审计证据。非财务信息审计程序,一方面可以借用财务信息审计的一些程序,例如,分析性程序和重新计算;另一方面,还需要一些非财务信息审计的新方法。例如,英格兰及威尔士审计委员会要求相关国家审计机关对公共部门的绩效指标进行审计,由于这些绩效指标大多数是非财务信息,这些审计机关采用的工作方法是,不对数据本身进行审计,而是对数据产生的流程进行审计,并公布对这些流程的审计结果(Bowermna,1995)。[3]此外,还可以采用专家委托和实验法。但是,总体来说,相对于财务信息审计程序,非财务信息审计程序还远未成熟,对于许多非财务信息,还没有适宜的审计程序。
关于行为审计程序,可以借用财务信息审计程序,例如审阅、询问、观察、调查等;也发展了一些成熟的专门方法,例如,重新执行和穿行测试。同时,行为审计的新方法还在不断出现,例如,调查问卷、设立意见箱、公布联系电话、座谈会、走访有关单位等。但是,总体来说,相对于信息审计特别是财务信息审计,行为审计程序还远未成熟,对于许多行为,还没有适宜的审计程序。
(八)审计取证模式
审计程序有多种,每种程序各有其利弊,审计模式是审计程序的组合,不同的审计程序组合就产生不同的审计模式,不同的审计模式适用于不同的审计环境,具有不同的审计效率和效果。
从审计技术逻辑来说,信息审计属于命题论证型方法,从基本命题中引出一组可观察命题,通过证明可观察命题进而证明基本命题的方法。这里的论证方法就是前面提到的审计程序,如果已经有成熟的审计程序及其组合,就会出现审计模式。财务信息审计程序及其组合就比较成熟,先后出现了账项基础审计、制度基础审计、风险基础审计、现代风险导向审计这些审计模式。而非财务信息审计,由于其审计程序并不成熟,所以,尚未形成有效的非财务信息审计模式。
行为审计的技术逻辑属于事实发现型,但由于行为审计的命题具有多样性、非穷尽性,到目前为止,行为审计的程序还在发展之中,并未有成熟的审计程序及其组合,所以,也未能形成有效的行为审计模式。
(九)审计结论
审计结论是审计人对特定审计主题给出的专业意见,实际上,也就是审计人就特定信息或行为与既定标准之间的符合程度发表的鉴证意见。
由于审计命题、审计程序和审计模式等方面的差异,财务信息审计、非财务信息审计和行为审计在审计结论方面存在较大的差异。财务信息审计由于具有清晰且可穷尽的审计命题,审计程序相对成熟,并且出现了各种有效的审计模式,所以,一般采用合理保证的方式发表审计意见。对于使用者来说,这种审计意见的价值较大。对于非财务信息审计来说,审计命题的确定虽然可以借鉴财务信息审计的程序和模式,但是,其本身还是具有自己的特征。同时,审计程序和审计模式还不成熟,所以,还未出现以合理保证的方式发表意见的非财务信息审计。对于行为审计来说,由于审计命题具有多样性、非穷尽性,同时,行为审计的程序还在发展之中,也未形成有效的行为审计模式,所以,一般采用有限保证的方式发表审计意见。对于使用者来说,这种审计意见的价值较低,甚至还存在审计期望差。
(十)审计职业判断
无论何种审计都存在职业判断,但是,信息审计和行为审计在职业判断方面存在较大差异,行为审计中的职业判断比信息审计更多且更困难。例如,信息审计特别是财务信息审计,能按一定的逻辑结构确定审计命题,而行为审计命题的确定则需要更多的职业判断;选择既定标准需要职业判断;信息审计的审计依据一般较为明确,而许多行为审计则需要审计人根据职业判断来选择审计依据;信息审计特别是财务信息审计程序和模式都较为成熟,应用这种程序和模式获取审计证据需要职业判断,但是,相对于行为审计的审计程序和模式不成熟来说,信息审计取证中的职业判断要少些;根据审计证据对审计主题与既定标准之间的相符程度做出判断,信息审计由于既定标准清晰,所以,做出这种判断的主观成分就少些。而行为审计在做出这种判断时,主观成分就较多。
四、关于审计学的发展
以上就审计的十个基本问题,对信息审计与行为审计进行了比较。两种审计在这些方面的差异,势必影响审计学的发展。尽管审计历史很悠久,但是,发展到目前为止,主要的审计业务类型并不多,主要包括:舞弊审计、财务收支审计、会计报表审计、合规审计、绩效审计、内部控制审计/管理审计等等,针对不同的审计业务类型,都形成了相应的专业审计学。各专业审计学的审计主题归纳如表1所示。
在专业审计学中,会计报表审计有较为成熟的审计实务(具体体现为相关审计准则),与之相一致,会计报表审计学也较为成熟。大多数的所谓审计学,其实就是会计报表审计学。例如,被全球审计学界奉为“圣经”的《蒙哥马利审计学》、代表英国最高水平的《迪克西审计学》以及世界各国广为采用的阿伦斯的《审计学:一种整合方法》,实质上都是会计报表审计学。绩效审计实务在美国等发达国家开展较多,技术和方法也较为成熟(具体体现为相关审计准则),与之相一致,绩效审计学也较为成熟。舞弊审计、财务收支审计、合规审计虽然产生时间较早,但是从各国及国际审计组织的审计准则可以看出,并未形成公认的审计实务,凭经验审计的成分很多,所以,这些门类的专业审计也不成熟。内部控制审计/管理审计虽然有一定的历史,一些国家和国际审计组织也颁布了审计准则,但是,这些准则都是原则导向的,职业判断的成分很大。这也在一定程度上说明,这些审计的实务还较多地处于凭经验审计的阶段,与之相一致,这些领域的专业审计学也不成熟。
除了各类专业审计学,还有定位于各类审计共同基础的审计理论。目前,比较公认的审计理论著作包括:莫茨和夏拉夫的《审计哲学》、安德森的《外部审计:概念和技术》、尚德尔的《审计理论:评估、调查和判断》、汤姆·李的《公司审计:概念与实务》、弗林特的《审计哲学和原理导论》(蔡春,2001)。[7]事实上,这些经典的审计理论著作,基本上都以会计报表审计为背景来研究审计基本概念和基本问题,本质上是会计报表审计理论。
通过上述分析我们发现,以信息特别是财务信息为主题的专业审计学及审计理论发展较为成熟,而以行为为主题的专业审计学及审计理论则不成熟。
以信息为主题的专业审计学及审计理论存在的主要问题是,已经发展起来的审计程序和技术主要是针对会计报表的,也就是说,是以财务信息为主要对象,而对于非财务信息的审计程序和技术,各国及国际审计组织的审计准则缺乏相关规则,这表明,非财务信息审计并没有成熟的程序和技术。
总体来说,已经发展起来的审计学,主要是财务信息审计学,非财务信息审计学及行为审计学还处于幼稚阶段,是今后需要大力发展的领域。
五、结论
根据审计主题,审计可区分为信息审计和行为审计。本文就审计的十个基本问题,对信息审计和行为审计进行比较,并在此基础上就审计学发展的现状和未来的展望进行思考。
关于审计动因,信息机会主义倾向是信息审计的动因,行为机会主义倾向是行为审计的动因。
关于审计目标,审计人视角的信息审计目标是对信息的真实性(或公允性)进行鉴证,这种鉴证的本质是鉴证人是否存在信息虚假等机会主义倾向。委托人视角的信息审计目标是通过对信息审计意见的使用来约束人的信息机会主义倾向,从而使得人能给委托人提供真实公允的信息。审计人视角的行为审计目标是对行为的合规性(或合法性)进行鉴证,这种鉴证的本质就是鉴证人是否存在行为机会主义倾向。委托人视角的审计目标是通过对行为审计意见的使用来约束人的行为机会主义倾向,从而使得人不发生或很少发生偏离委托人期望的机会主义倾向。
关于审计主体,审计主体分为政府审计、内部审计和民间审计。从技术上来说,各种审计主体都可以从事信息审计和行为审计。但是,由于这些审计主体在不同的委托关系中发挥作用,从而导致审计侧重点不同。
关于审计客体,审计客体关注的是对谁审计,一般分为组织和个人。以组织为审计客体,行为审计和信息审计的范围较清晰,而以个人为审计客体时,行为审计和信息审计的范围存在一定的模糊性。对于组织的审计,更多地偏向信息,而对于个人来说,行为是一个重要的审计主题。
关于审计内容,审计内容可分为审计主题和审计命题二个层面。信息审计和行为审计在审计主题和审计命题方面存在重大差异。信息审计的主题是特定信息,可以基本穷尽地分解为具体的审计命题。行为审计的主题是特定行为,其命题确定具有多样性、非穷尽性,对于特定的行为,不同的审计人确定的审计命题会有区别,并且无论是谁,都无法穷尽特定行为的审计命题。
关于审计依据,信息审计和行为审计在审计依据方面存在较大的区别。从信息审计来说,信息生产的具体规则可以很清晰,并且特定审计客体在一定时期遵守的特定信息生产规则具有唯一性,所以,信息审计依据的确定并不困难。从行为审计来说,有些行为审计可能存在明确的审计依据,而有些行为审计的审计依据的确定较困难。
关于审计程序,财务信息审计过程中可以采用审阅、询问、监盘、观察、调查、重新计算、重新执行、分析性程序等审计程序来获取审计证据。非财务信息审计程序,一方面可以借用财务信息审计的一些程序,另一方面还需要一些非财务信息审计新方法。总体来说,相对于财务信息审计程序,非财务信息审计程序还远未成熟,对于许多非财务信息,还没有适宜的审计程序。行为审计程序,可以借用财务信息审计程序,同时,行为审计的新方法还在不断出现。总体来说,相对于信息审计特别是财务信息审计,行为审计程序还远未成熟,对于许多行为还没有适宜的审计程序。
关于审计取证模式,从审计技术逻辑来说,信息审计属于命题论证型方法,财务信息审计先后出现了账项基础审计、制度基础审计、风险基础审计、现代风险导向审计这些审计模式。而非财务信息审计,由于其审计程序并不成熟,所以,也未能形成有效的非财务信息审计模式。行为审计的技术逻辑属于事实发现型,而由于行为审计的命题具有多样性、非穷尽性,到目前为止,行为审计的程序还在发展之中,并未有成熟的审计程序及其组合,所以,也未能形成有效的行为审计模式。
关于审计结论,由于审计命题、审计程序和审计模式等方面的差异,财务信息审计、非财务信息审计和行为审计在审计结论方面存在较大的差异。财务信息审计一般采用合理保证的方式发表审计意见;而对于非财务信息审计来说,还未出现以合理保证的方式发表意见的非财务信息审计;行为审计一般采用有限保证的方式发表审计意见。
新的审计法范文3
一、加大跟踪审计力度,确保中省市决策部署全面落实
一要抓好中、省政策措施落实跟踪审计。认真开展对稳增长、促改革、调结构、惠民生、防风险各项政策措施落实情况的跟踪审计,同时关注行政审批、简政放权、放管结合等改革推进情况,切实发挥好政策落实“督查员”的作用,确保政令畅通和各项政策措施落实到位。二要抓好市委、市政府决策部署的跟踪审计。紧紧围绕市委、市政府重大部署、重点工作开展审计,坚决制止和纠正乱作为、假作为、不作为等问题,坚决制止和纠正有令不行、有禁不止和上有政策、下有对策等行为,为实现“三市”目标保驾护航。三要抓好重大项目落地、重点资金保障等情况的跟踪审计。加大对财政金融、产业发展、资源资产、社会民生等领域和行业政策措施执行情况的监督检查力度,推进经济结构调整、发展方式转变和实体经济加快发展,力求实现调速不减势、量增质更优。
二、加强财政资金审计,提升公共资金管理水平
一要围绕深化改革加强审计监督。加大对预算管理情况的审计力度,推动政府所有收支纳入预算管理,健全财力与事权相匹配的运行机制,促进财政支出结构优化,确保政府财力重点投向重要领域和薄弱环节;加强对地税部门组织税收、税源企业纳税以及非税收入的审计监督,提升财源建设水平,促进财政增收,提高财政保障能力。二要围绕提升效益加强审计监督。抓好财政沉淀资金审计清查,不让财政资金“趴在账面上睡觉”,更不允许资金跑冒滴漏和被挤占挪用,尽量减少财政沉淀资金。关注各级财政资金该投未投、该用未用、使用绩效低下等问题,加大成因和结构分析,促进存量资金尽快落实到项目、发挥效益。三要围绕防控风险加强审计监督。充分发挥审计监督的经济发展“安全员”作用,密切关注各级政府财政风险状况。特别对政府性债务、金融等方面的薄弱环节和风险隐患,要及时提出针对性建议,防止风险交互叠加,坚决防范大范围区域性风险。同时,要持续加大全市执行中央八项规定精神、国务院“约法三章”要求等方面的审计,促进厉行节约、杜绝铺张浪费,降低行政成本,推动廉洁高效政府建设。
三、抓好投资项目审计,推进政府投资效益最大化
一要强化全程监督。各级审计机关要把政府投资项目审计摆上重中之重的位置,严格执行《陕西省国家建设项目审计条例》,坚持财务收支审计和预算执行、决算审计并重,强化项目投资全过程、全方位、全覆盖跟踪监督,切实规范投资行为。二要注重提高效益。紧扣投资结构、投资规模、投资计划下达等关键环节,对项目建设的经济性、效益性和效果性进行评价,并延伸到审计施工、监理等与投资活动有关的部门和单位,特别对粗放管理、乱铺摊子,以及高估冒算、截留挪用、铺张浪费、跑冒滴漏等问题要勇于揭示,确保有限的资金用在最急需的地方。三要严查违法行为。抓住项目审批、招投标、物资采购、土地征用、工程质量等关键环节,查深查透、查准查实,着力查处乱上建设项目、工程超概普遍、招投标弄虚作假、违规转包分包和项目建设中挤占挪用、偷工减料、损失浪费等违纪违规行为,确保政策执行、资金使用不打折扣、不出偏差。
四、狠抓民生项目审计,让人民群众更好分享发展成果
各级审计机关一定要以守住民生保障底线为己任,不折不扣地抓好实施,坚持循着资金流向走,从政策要求、预算安排、资金拨付一直追踪到项目、追踪到个人,从严从细审计和查处截留挪用、侵占骗取、弄虚作假等违纪违规行为,确保各项惠民政策不折不扣落到实处。在此工作的基础上,各级审计机关要进一步加强对“三农”、教育、卫生、文化、社会保障等重点民生项目和资金的审计监督,跟踪检查相关政策贯彻落实情况,着力揭示和反映落实政策不到位、政策目标未实现以及资金分配、管理方面存在的问题,确保民生资金不被“鲸吞蚕食”,确保党和政府对人民群众的关心、保障落到实处。
五、强化经济责任审计,切实规范权力运行
一要“应审尽审”。坚持任中和离任审计相结合,推进党政领导干部同步审计。对重点地区、重点部门、重点单位和关键岗位领导干部任期内至少审计一次,及时发现问题,防止“带病上岗”。二要明确重点。根据不同类别的领导干部,探索各有侧重的审计内容、方法和标准,主要把领导干部贯彻落实中省市重大政策措施情况、任期举债、“三公”经费及楼堂馆所建设等方面公共财政资金的使用情况,以及民生改善、科技创新、自然资源资产等内容纳入经济责任审计范畴,严肃查处违纪违规行为。三要拓展领域。要完善经济责任审计制度体系,把依法行政、改进作风作为审计重要内容,严肃查处随意决策、挥霍浪费、顶风违纪的单位和个人,促进各级领导干部依法作为、主动作为、有效作为。
六、加强成果转化运用,提升审计监督水平
一要服务科学决策。各级审计机关对人民群众普遍关注的热点、重点和难点问题,对经济领域存在的带有普遍性、倾向性和苗头性问题,要注意从政策、制度等方面积极向政府提出审计建议,为领导决策提供科学依据。二要服务完善机制。对审计过程中发现的问题,各级审计机关既要督促相关方面认真整改,更要善于举一反三、防微杜渐、亡羊补牢,有效消除制度“空挡”和“漏洞”,切实把审计监督过程转化为建章立制、规范和制约权力运行的过程,努力做到审计一个单位、规范一类项目、完善一批制度。三要服务社会监督。要坚持和完善审计结果公告制度,提高审计工作的开放度和透明度,让权力在阳光下运行,接受社会各界的监督,真正把审计资源转化为发展资源、把审计成果转化为服务成果,不断增强审计工作的权威性和严肃性。
七、强化组织保障,推动审计工作再上新台阶
新的审计法范文4
在经济发展的过程中,我国的企业不断扩大自己的规模,企业内部的管理层面越来越多,管理机制也越来越复杂,为了保证企业在经济方面的正常运行,渐渐形成了企业会计审计制度。所以,企业会计审计是经济发展的必然产物。企业会计审计现已发展成为企业会计工作中必不可少的一部分,不仅可以有效地提高企业管理者的管理水平,提高企业的经济效益,还可以有效的强化企业内部的互相监督机制。但是,目前我们国家的企业会计审计仍然存在一些不足,为了避免影响企业的正常运行,我们必须要采取有效的改善措施,以减少不必要的损失。
一、当前会计审计存在的问题分析
(一)会计审计体制不够完善
完善的会计审计体制可以有效的促进企业的会计审计工作的正常开展,不断督促企业的管理人员自觉地履行自己的职责。但是,目前我们国家的部分企业采用的是内部审计和企业管理双轨并行的管理方式,在这种管理方式下,企业内部的审计部门是为企业的管理者服务的,大大降低了会计审计在企业运行中的监督作用。
(二)会计审计的独立性不强
由于我们国家的大部分企业的会计审计人员是由企业的管理者直接领导管理的,在这种运行方式下,企业的会计审计人员既要监督企业的管理者,又要接受企业管理者的管理,在一定程度上会影响审计工作的正常开展,降低会计审计的独立性和实用性。
(三)内部审计所采用的方法和手段不合理
企业的发展目标是随着时代的发展不断变化的,但是我们国家的大部分企业的内部审计一直采用的是查错防弊的审计方法,并没有根据企业的发展目标的变化及时调整内部审计所采用的方法和手段,再加上企业内部审计水平的局限性的影响,最终导致企业的内部审计机制无法达到管理与技术合二为一的理想状态,严重时还会影响企业的经济效益审计目标的卖现。
(四)会计审计工作人员的综合素质参差不齐
目前我们国家具有会计审计资格的人员的综合素质参差不齐,工作人员的整体素质不高。大部分会i+审计工作者対会计审计的基础知识的理解不够深刻,业务实践能力比较差,无法独立的完成繁琐的会计审计工作,从而影响了企业的会计审计工作的工作效率.
二、当前企业会计审计完善策略
(一)完善企业内部的会计审计体系机制
完善企业内部的会计审计机制,我们不仅要提高会计审计部门在企业中的地位,还应该利用互联网技术建立透明的会计结算中心,以便于企业的管理者及时监督各个部门的工作。另外,政府还应该加大对企业会计审计工作的监督力度,鼓励企业建立完善的会计审计机制。
(二)保证会计审计部门的独立性
会计审计可以有效的约束企业内部各个工作人员的经济行为,是企业管理体制中必不可少的一部分,而独立性是会计审计工作正常开展的重要保障。所以,企业的管理人员应该要保证企业的会计审计部门在企业内部的独立性,以不断提高会计审计部门的权威,进而提高会计审计工作的真实性和有效性。
(三)更新观念,着力实现从查错纠弊向为优化企业内控管理服务的转变
目前,我国大部分内部审计机构和人员往往将工作精力放在查错纠弊上,其主要工作都集中在财务领域,而未深入到企业内部控制和整个经营活动领域。但是,要想从根本上杜绝舞弊行为的发生,就必须从促进企业完善和优化内控管理着手,注重开展制度基础导向审计和风险导向审计,努力在促进企业内部控制建设上下功夫。通过审计发现企业在内部控制制度建设和实际执行方面存在的问题,提出加强和完善内部控制的建议,最终实现促进企业内部控制系统得到加强和优化的目标。随着科学技术的发展,计算机系统和网络信息技术逐渐被应用于各个工作领域。为了提高企业内部的会计审计工作的工作效率和工作质量,会计审计部门应该学会与时俱进,学会将会计审计与先进的科学技术相融合,不断规范企业内部的会计审计的工作流程和工作方法。
(四)加强对会计审计工作人员的培养以提高其综合素质
为了保证企业内部的会计审计工作的质量和效率,企业管理人员应该对持证上岗的会计工作人员进行定期培训,以提高他们对专业知识的理解能力和实践能力,进而提高他们的综合素质,争取让每位会计工作人员都可以在工作中独当一面。
三、结语
内部审计是企业经营管^的重要链条,是领导科学决策的参谋助手,是经济运行的卫士,特别是随着企业改革和发展的不断深入,内部会计审计的作用越来越明显。这就要求内审不仅要通过传统的财务收支、资产负债等审计方式为企业服务,还要与时俱进、不断创新,根据实际情况采取多种方式进行审计,同时还应该采用现代先进的审计模式,不断提高企业的会计审计工作的工作质量和工作效率,以不断提高企业的经济效益和市场竞争力。
参考文献:
[1]姚刚.内部控制审计制度研究:一种新的内部控制审计观及其实现[D].财政部财政科学研究所,2012.
新的审计法范文5
根据相关统计机构提供的数据,目前有60%以上的网络人侵和破坏是来自网络内部的,因为网络内部的人员对于自己的网络更加熟悉,而且有一定的授权,掌握一定的密码,又位于防火墙的后端,进行入侵或破坏更加得心应手。一个内部人员不必掌握很多黑客技术就能够对系统造成重大的损失。因此信息安全审计的功能越发受到重视。
对于一个信息系统而言,信息安全审计究竟要实现怎样的功能,要实现到怎样的程度,目前大多数的单位并未真正理解,不少单位对于信息安全审计的认识还停留在日志记录的层次。一些信息安全测评认证标准可以为我们提供一定的借鉴。
1998年,国际标准化组织(ISO)和国际电工委员会(IEC)发表了《信息技术安全性评估通用准则2.0版》(IS0/IEC15408),简称CC准则或CC标准。CC准则是信息技术安全性通用评估准则,用来评估信息系统或者信息产品的安全性。在CC准则中,对网络安全审计定义了一套完整的功能,如:安全审计自动响应、安全审计事件生成、安全审计分析、安全审计浏览、安全审计事件存储、安全审计事件选择等。
TCSEC(TrustedComputerSystemEvaluationCriteria)准则俗称橙皮书,是美国国防部的一个准则,用于评估自动信息数据处理系统产品的安全措施的有效性。它定义了一些基本的安全需求,如:policy、accountability、assurance等。accountability提出了“安全审计”的基本要求,包括:审计信息必须被有选择地保留和保护,与安全有关的活动能够被追溯到负责方,系统应能够选择记录与安全有关的信息,以便将审计的开销降到最小,并可以进行有效的分析。
计算机信息系统安全保护等级划分准则中,定义了五个级别:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。从第二个级别开始就需要基本的审计功能,越高的级别对于审计的要求也越高。第二级别的审计要求就包括:计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录,并能阻止非授权的用户对它访问或破坏。
具体来说,计算机信息系统可信计算基应能记录下述事件:使用身份鉴别机制;将客体引人用户地址空间(例如:打开文件、程序初始化);删除客体;由操作员、系统管理员或系统安全管理员实施的动作,以及其他与系统安全有关的事件。对于每一事件,其审计记录包括:事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件,审计记录包含请求的来源(例如:终端标识符);对于客体引人用户地址空间的事件及客体删除事件,审计记录包含客体名。对不能由计算机信息系统可信计算基独立分辨的审计事件,审计机制提供审计记录接口,可由授权主体调用。
从上面可以看出,很多的国际规范以及国内的安全规定中都将安全审计放在重要的位置,而安全审计并不像许多用户所理解的只是“日志记录”的功能。目前绝大部分的操作系统、网络设备、网管系统都有不同程度的日志记录功能,但是实际上这些日志并不能保障系统的安全,也无法满足事件的侦察和取证应用。各类测评认证标准为我们实现完整的信息安全审计提供了指导,但是如何建设审计系统则需要在这些原则的指导下,具体问题具体分析,根据系统状况、自身安全需求以及当前技术的支持程度来定制审计系统。
2重要领域信息系统面临的安全挑战
随着信息技术的迅速发展,许多单位和部门对信息系统的依赖性日益严重,尤其是一些重要领域(如电子政务、金融、证券等)的信息系统,一旦出现问题将带来巨大的损失。重要领域的信息系统将面临来自外部或内部的各种攻击,包括基于侦听、截获、窃取、破译、业务流量分析、电磁信息提取等技术的被动攻击和基于修改、伪造、破坏、冒充、病毒扩散等技术的主动攻击。
信息系统面临的安全威胁来自多个方面。首先,目前大部分信息系统选用的系统本身存在着安全隐患,如网络硬件设备(服务器、网络设备等)和操作平台(操作系统、数据库系统、通用软件系统等)存在弱点和漏洞。应用软件系统的脆弱性、应用系统的BUG、代码错误、不安全代码的执行模式、不安全设计、网络的脆弱性、网络协议的开放性(TCP/IP协议栈)、系统的相互依赖性都会导致网络的安全风险。此外,安全设计本身的不完备性、网络安全管理人员对系统漏洞的置若罔闻都会使攻击行为得以成功。因此,信息系统的安全方案中要综合考虑网络系统的安全配置、正常运行、安全操作、应急响应、安全审计等问题。
3重要领域信息系统中的信息安全审计需求
在重要领域信息系统的众多安全问题中,内部的安全违规问题尤其值得重视。内部人员违规一般有两种形式:一种是内部人员的违规操作,造成的后果是影响系统的安全;另一种是有目的地窃取资源。
最近几年网络安全领域主要强调的是如何防范外部人侵,如怎么建网关、建防火墙、实现内外网的物理隔离等,但是堡垒最容易从内部攻破,信息最容易从内部丢失。解决内部人员违规的一个重要手段是对重要领域信息系统实行高强度的安全审计。所谓的强审计不是简单的“日志记录“,而是增强的、全方位、多层次、分布式的安全审计,覆盖网络系统、操作系统、各类应用系统(如\^1)、£-11^1、]\(^£3^(;11&1^、081^)等,对各种未授权或非法的活动实时报警、阻断等。
安全强审计与一般的安全审计相比在以下几个方面得到增强:信息收集能力;信息分析能力;适应性;防绕过特性;信息保护特性;审计深度和针对性;规范化、标准化和开放性。
在重要领域信息系统中,信息安全审计的重点如下:
(1)网络通信系统
重要领域信息系统的普遍特点是网络流量一般不是很高,但是网上传输的可能是机密或敏感的信息,因此除了需要具备一般企业内部网所需要的人侵检测功能之外,还需要具备以下审计功能,以发现内部网络上的违规行为:对网络流量中典型协议分析、识别、判断和记录;对了61賊、1111?、£-11^1、1^?、网上聊天、文件共享操作的还原和记录;对网络流量进行监测以及对异常流量的识别和报警;对网络设备运行进行持续的监测。
⑵重要服务器
重要领域信息系统中,重要服务器是信息的集中点,需要对其进行增强的审计,以保护信息资源,对以下事件的审计是最基础的安全审计功能:服务器系统启动、运行情况;管理员登录、操作情况;系统配置更改(如注册表、配置文件、用户系统等);病毒或蠕虫感染情况;资源消耗情况;硬盘、CPU、内存、网络负载、进程等;操作系统安全日志;系统内部事件;对重要文件的访问。
(3)应用平台
仅仅对服务器系统层次的审计还是不够的,因为目前大量重要领域信息系统的应用平台在权限控制方面还有一定的缺陷,因此存在通过应用平台进行违规操作的可能性,例如:直接操作数据库的行为。因此,应用平台层次的安全审计也是必须的,审计内容包括:重要应用平台进程的运行;Web服务器、Mail服务器、Lotus、Exchange服务器、中间件系统;各个平台的健康状况;重要数据库的操作;数据库的进程;绕过应用软件直接操作数据库的违规访问行为;数据库配置的更改操作;数据备份操作和其他维护管理操作;对重要数据的访问和更改操作。
(4)重要应用系统
由于不少重要领域信息系统中已经建立了一系列的应用业务系统,因此对于一般的操作人员来说,业务系统是最主要的人机界面,对于有高安全需求的重要领域信息系统来说,还需要加强应用系统层次的审计。如对于电子政务系统,针对以下应用系统的审计是最基本的:办公自动化系统、公文流转和操作、网站系统、相关政务业务系统。
⑶重要网络区域的客户机
在一般的信息系统中,对客户机的审计通常不是必要的。但是对于一些安全级别较高的信息系统的重要网络区域,针对客户机的审计还是必要的,主要审计以下内容:病毒感染情况;通过网络进行的文件共享操作;文件拷贝、打印操作;通过Modem擅自连接外网的情况;非业务异常软件的安装和运行。
重要领域信息系统中的安全审计系统建设的要点
在重要领域信息系统中,一个较为全面的审计系统需要关注以下几点:
(1)数据的来源
审计系统如何获取所需的数据通常是最关键的,数据一般来源于以下几种方式:来自网络数据截获,如各类网络监听型的人侵检测和审计系统;来自系统、网络、防火墙、中间件等系统的日志(通常通过文件、syslog、SNMP、OPSE等机制获取日志);通过嵌入模块,主动收集系统内部事件;通过网络主动访问,获取信息(如扫描,HTTP访问等);来自应用系统、安全系统的审计接口。
在重要领域信息系统中的安全审计系统的建设中,尤其需要考虑强制获取数据的机制,即:有数据源的,通过审计系统来获取;无数据源的,要设法生成数据,进行审计。这也是强审计和一般的日志收集系统的区别之一。目前,各类wrapper技术是强制生成审计数据源的有效手段之一。
另外,在数据源方面,还需要关注所收集数据的性质,有些数据是已经经过分析和判断的数据,有些数据是未分析的原始数据,不同的数据要采用不同的处理机制。此外在很多系统中可能需要根据实际情况定制数据转化的功能。
(2)审计系统的分析机制
审计系统需具备评判异常、违规的能力,一个没有分析机制的审计系统虽然理论上可以获取和记录所有的信息,但实际上在需要多层次审计的环境中是不能发挥作用的。审计系统的分析机制通常包括:实时分析,提供或获取数据的设备/软件应具备预分析能力,并能够进行第一道筛选;事后分析,维护审计数据的机构对审计记录的事后分析,事后分析通常包括统计分析和数据挖掘两种技术。对于重要领域的信息系统来说,两方面的分析机制都是需要的,一般情况下审计系统都应具备实时分析能力,如果条件允许,也应具备事后分析的能力。
⑶与原有系统的关系
通常一般企业构建安全审计系统时,仅仅采用一些入侵检测系统就满足需求了,与原有系统关系不大。但是在重要领域信息系统中,需要实现多层次多角度的安全强审计,因此审计系统必然和原有的系统有一定的关系。通常,审计系统与原有系统的关系包括:完全透明型,原有系统根本察觉不到审计系统的存在;松散嵌入型,基本上不改变原有系统;紧密嵌人型,需要原有系统的平台层和部分应用做出较大改变;一体化设计,系统设计之初就考虑审计功能,所有模块都有与审计系统的接口。
如何在实现审计的同时确保原有系统的正常运转是审计系统构建的关键,要尽量做到最小修改和影响系统性能最小。
(4)如何保证审计功能不被绕过
有了安全审计的措施,必然会有各类绕过审计系统的手段。而在重要领域的信息系统中,审计系统如果被轻易绕过将导致严重的后果。所以在建设审计系统时,需要充分考虑审计系统的防绕特性。通常可以采用以下手段增强审计系统的防绕性:通过技术手段保证的强制审计,如网络监听和wrapper机制;通过不同审计数据的相互印证,发现绕过审计系统的行为;通过对审计记录的一致性检查,发现绕过审计系统的行为;采用相应的管理手段,从多角度保证审计措施的有力贯彻。
(5)对审计数据的有效利用
如果光建立一个审计系统,而缺乏对审计数据的深度利用将无法发挥审计系统的作用。可以考虑以下的措施:根据需求,进行二次开发,对审计数据进行深人的再分析,可以充分利用成熟的分析系统,实现关联分析、异常点分析、宏观决策支持等高层审计功能;对审计系统中安全事件建立相应的处理流程,并加强对事件处理的审计与评估;根据审计数据,对不同的安全部件建立有效的响应与联动措施;针对审计记录,有目的地进行应急处理以及预案和演习;建立相应的管理机制,实现技术和管理的有机结合。
新的审计法范文6
关键词:审慎监管 金融创新 金融服务
一、后危机时代的金融创新
危机后(Post-crisis),研究者们对金融创新更加关注。对风险忽略会导致创新证券产品的过度发行,投资者的乐观态度提升了金融中间机构的金融创新能力和销售他们的创新产品销售的能力。在这种情况下,存在的风险是投资者没有意识到风险的存在,但是金融中间机构却没有足够的资产流动性来满足将来可预期事件的高的货币需求。一旦风险显现,投资者反应过度而且会一起放弃对于传统有价证券的错误替代的金融产品而逃往安全的金融地带。金融创新是一个连续的、动态的过程。金融创新能够与新的金融产品或者金融服务联系起来,创造出新的金融技术,新的分销渠道或者新的商业模式。金融创新的一个显著特征是它增加了可销售性(marketability),可以把给定公司的各种资产转化为各种投资机会。某些环境下,金融中间机构会通过金融创新盈利而投资者会亏损,因为投资者会价格一跌就卖掉资产。这种结果是基于如下假设的:金融机构了解他们销售的产品的风险预测,但是却故意错误地把产品卖给了投资者。这个是经典是机构责任问题(principalagent problem)和信息不对称问题(information asymmetries)。如果投资者和中间机构全都忽视创新产品的风险,那么他们都会受到损失。基于这个事实,审慎监管就起到关键的作用,不仅能够极大限制金融创新产品,而且能够管理和控制风险。
二、审慎监管
20 世纪70 年代末由英格兰银行编写的库克委员会(Cooke Committee,现巴塞尔银行监督委员会的前身) 一份未公开的工作文件中提及了“宏观审慎”( Macro-Prudential) 这一概念,主要强调与宏观经济方向有关的调控与监管。20 世纪80 年代中期,国际清算银行( BIS) 的公开文件正式使用宏观审慎监管一词,强调把宏观审慎监管作为支持和维护整个金融系统安全稳定的一项政策。Blunden 在一次演讲中突出了应该用一种系统的方法来控制单个银行微观审慎的行为。
1997 年,亚洲金融危机爆发后,世界银行和国际货币基金组织等逐步认识到宏观审慎监管的重要性,并提出了金融稳定评估规划,帮助成员国分析其金融体系中的脆弱性和所需的改革,但对于宏观审慎监管的研究并未取得进展。在2007 年以美国次贷危机为发端的全球金融危机爆发后,宏观审慎政策的重要性得到了前所未有的关注。在2009 年召开的各种国际会议上,宏观审慎监管被多次提及,G20 伦敦金融峰会了《加强监管和提高透明度》的报告中,将加强宏观审慎监管列为25 项建议中首要4 条建议,宏观审慎监管的重要性日益被国际社会所认同。因此,宏观审慎监管进入了一个里程碑式的发展阶段。
三、金融创新与审慎监管相联系
金融创新与审慎监管的相互联系,前者会因为后者的原因而产生欺骗效应。监管套利行为(Regulatory arbitrage)是近来金融创新被批判的原因之一。监管套利行为和短期利润(short-run profits)是被认为金融创新的主要的负面的影响。至少在过去的十年间,这两个效应提高了少数人的福利,损害了多数人的利益。有时金融创新很简单的就能够脱离开审慎监管的范围。非银行机构是很活跃的,在使用风险很大的金融工具时,而且不必遵从只有银行才遵守的相关的资本充足率以及资本流动性的要求,因此扭曲了行业竞争并且在世界经济范围内创造巨大的杠杆,在某种程度上是因为当代金融系统所造成的相互联系。
审慎监管能够限制金融创新的范围和创新速度。有效的金融中间媒介作用在经济下降时也起着作用,因此更加高级的审慎监管标准的在金融部门的功能上会有比较小的影响,包括金融创新。重要的是,审慎监管会使得金融创新再定位到其初始的情况,在全社会中发挥其管理风险和分配资本的有价值的作用。从长远来看,设计合理的审慎监管和适当的刺激机制可以延迟,但是最后会提高金融创新的质量。从金融媒介角度来看,金融服务提供者会依据成本理念和开始再一次进行金融创新的竞争。在比较先进的经济制度中,监管者被指责因为他们没有能够理解衍生品市场或者对冲基金的管理方式。危机的后果是美国证券交易管理委员会(SEC)建立了新的部门来处理金融创新。这样做是希望能够提高SEC在评价风险和筛选复杂金融工具的经验。
针对于一国国内的情况来说,可以采取很多措施来建立一个支持的监管制度,来惩罚欺骗和激励具有良好功能结构的金融创新。除此之外,系统还可以建立有效的和加快的危机管理和失败的金融制度改。
审慎监管的管理规则不能也不应该是静态的,因为系统的风险是动态的和易变的。一个反映灵敏的规章制度有动态的一面,它需要密切进行观察和定期的考察规章制度的适用情况,为的是保证目标仍然持续时间有效以及在开始的时候为了达到这个目标而制定的政策还能够实现目标的实现,需要连续的对监管策略进行考察并且不断调整监管机构,以保证金融部门的服务有效的自由竞争和重要的合理的公共政策目标的实现。这种连续的考察对处理市场失真和市场运行故障是个保证。另外,监管者严格的监管并且相应地改变组织结构来更好地反映金融市场的改革是很重要的。
最后,金融市场规律和金融创新之间的积极的关系已经被证实。从政府角度出发的比较严格的监管不会形成金融市场的障碍,而是需要应用于市场的所有的金融活动个体。那么,金融市场在这种独立的和复杂的模式下不断得到进化和改良。尽管金融市场规律的有效性已经从宏观审慎监管的角度遭到了质疑,但是它仍然不失为一种政策工具,对于其功能的改进也一直被关注和进行着。
参考文献:
[1]J. Lerner and P. Tufano, ‘The Consequences of Financial Innovation: A Counterfactual Research Agenda’, NBER Working Paper No 16780, February 2011, p. 6
[2] F. Allen and D. Gale, Financial Innovation and Risk Sharing (MIT Press, 1994)
[3] N. Gennaioli; A. Schleifer; and R. Vishny, ‘Neglected Risks, Financial Innovation, and Financial Fragility’,NBER Working Paper 16068
