大数据审计论文范文

引言：寻求写作上的突破？我们特意为您精选了12篇大数据审计论文范文，希望这些范文能够成为您写作时的参考，帮助您的文章更加丰富和深入。

篇1

二、大数据分析是绩效审计的利器

英国NFI通过大数据分析，不仅发现个案问题，还对同类问题的产生原因进行分析，促使相关部门和单位完善制度，堵塞漏洞，提高公共资金的使用效率和效益。近年来，随着我国财经制度的不断完善和加强，违反财经纪律、违法违规的问题得到了很大遏制，国家审计在继续查处违法违规性问题的同时，也十分注重对公共财政资金使用绩效进行审计。通过大数据集中分析平台的关联分析查询，能够从整体层面高效、便捷地发现诸如公共财政资金滞留的具体环节、时间；发现公共财政资金投向不符合产业政策导向；发现财政专项资金分配在地区和部门间存在的不均衡、不合理；发现财政投入的建设项目存在的进度滞后、效益与预期不符等问题。大数据提供的证据与审计抽查相比，能够更加全面、客观地反映某项公共财政资金产生的整体效果和存在问题。在此基础上提出的审计意见和建议，更加充分、准确和有针对性，更能促使相关部门和单位完善制度、落实责任、加强管理，更好地实现公共财政资金的价值。

三、如何构建审计大数据平台

1.通过立法为建立审计大数据集中分析平台奠定基石。英国NFI的数据收集和分析工作是依据2008年7月21日修订的数据配比法案进行的，法律授权使英国审计委员会将数据收集、整理、分析等工作成为常态，这是审计开展大数据分析的基石。目前，我国审计法授予了审计机关在审计期间获取被审计单位数据的权力，但是审计项目是单个开展的，各被审计单位之间的数据不能完全地相互关联，形成了一个个数据孤岛；并且，审计项目一结束，被审计单位就不愿意继续向审计机关提供数据，难以对被审计单位进行持续的审计监督。借鉴英国的经验，我国应当从法律层面明确属于国家审计范围的政府部门、企事业单位、公共机构，以及使用公共财政资金的企业、单位等应当定期向审计机关提供电子数据，为国家审计进行大数据分析创造条件，从根本上解决目前存在的数据收集难、不完整、时效性差等问题，将一个个数据“孤岛”连接起来，在此基础上进行深入的关联、对比和分析，真正发挥信息时代大数据的强大作用。

篇2

并购创造价值，然而在并购后期企业如何将并购效益达到最佳，即如何更为有效地进行并购整合一直是并购研究的一个主要方向。同时，互联网飞速发展，大数据已悄然而至，随之而来的必然会是以大数据为依托的又一波并购浪潮。因此，研究大数据对企业并购审计活动及其风险的影响极具现实意义。

一、企业并购审计与大数据

1.企业并购。企业并购，一般指企业兼并和收购（M&A），是以目标企业控制权为标的进行交易，实现迅速规模扩张、增强竞争力的扩张型商业活动。随着我国改革开放步伐不断加快，“引进来”和“走出去”协同发展，现如今，互联网的迅速发展为中国企业创新带来了极大的动力与无限的可能，以阿里巴巴、腾讯、百度为代表的互联网企业以迅雷不及掩耳之势在我国掀起又一波并购浪潮。2.并购审计。并购审计属专项审计，即注册会计师在并购双方拟定并购计划并签订并购协议之后，为达到提高并购效率，降低并购风险，而提供的包括财务报告审计等专业服务的审计活动。由于并购审计不仅包含一般财务审计的目标，有的甚至关系到企业未来的发展，因此并购审计的目标更为复杂，内容更为丰富。3.大数据。随着云计算技术的快速普及,电子信息、互联网及移动互联网的广泛运用,数据已成为新时期的基础生活资料与市场要素。大数据具有海量化、多样化、价值高、密度低和快速化等特点,更精确地分析企业所处的行业地位、市场占有率等,使企业管理者进行管理决策更有洞察发现力及远见。

二、大数据对企业并购审计风险的影响

根据并购审计的特点以及大数据对于并购审计的影响，大数据下并购审计的风险包括四大内容：首先是大数据对企业并购审计环境的影响，其次是大数据对企业并购审计目标的影响，再次是大数据对企业并购审计内容的影响，最后是大数据对企业并购审计技术的影响。1.大数据对企业并购审计环境的影响。大数据背景下，企业的方方面都会受其影响，就企业并购活动来说，在并购准备阶段，大数据对于并购审计的影响则主要体现在企业并购环境上，例如通常来说复杂的市场环境和不断随市场变化的产品生命周期。大数据的发展对于外部环境的把握提供了极大的帮助。例如市场环境的变化可以通过对大数据的发掘分析，不仅大大提高了市场变化信息的及时性，审计过程中可通过市场大数据下行业中权威预测与评论等信息获取更具准确性的参考，同时降低审计风险。而并购企业的内部环境，如公司的管理水平、企业文化的影响程度，企业监督制度及内部控制的执行情况等内容的审计也会加大并购审计的风险。大数据时代，企业往往会建立内部的数据平台以提高生产与管理效率，在进行企业并购审计时，这些内部的大数据平台对于审计人员准确把握主并企业与目标企业的生产会计信息，充分运用职业判断降低并购审计风险起到重要的作用。2.大数据对企业并购审计目标的影响。企业并购的一大目标便是产生协同效应，然而是否能产生确是未知数，这也是并购审计风险的重要影响因素之一。企业并购并不仅是并购双方有形资产的整合重组，更重要的应是优势互补，将无形的文化与资产进行有效整合，以期企业的更大发展。因此在挑选目标企业时，大数据便能显示出其魅力。数据是一面很好的镜子，审计人员通过对主并企业和目标企业运营情况、发展特点、行业处境等影响企业并购协同效应因素的科学对比分析，寻求业务可持续发展的动力，使企业并购协同效应最大化，挖掘出并购后可达到的最大价值。3.大数据对企业并购审计内容的影响。企业并购审计的内容中，对于对方企业的评估审计关系到目标企业价值，对审计风险影响较大，因此并购审计中评估审计的内容至关重要。对目标企业的评估内容比较广,比如,需要认真分析企业财务运营状况、目标企业竞争力的强弱等；企业并购后联合风险也是并购活动中不可忽视的重要内容，其中发展战略是主并方选择并购对象和类型的基础，关系到未来企业运营状况。而大数据对于趋势与发展分析，特别是用有形数字所表现的信息分析具有不可替代的优势。4.大数据对企业并购审计技术的影响。审计技术的影响因素多指审计人员的专业素养和最新技术应用。大数据对于二者的影响颇为明显，即在信息与数据的选择中，审计人员普遍运用抽样技术，然而数据如何选取，选取之后如何解读却因人而异。但是大数据时代的来临，数据与信息获取更方便、更全面，甚至可以基于全样数据运用大数据技术进行审计分析，减少了审计抽样的风险，从而对于这一问题提供更好解决的可能。同时信息不对称问题造成很多并购活动的失败。大数据时代以其及时性与数据充分性著称，因此，在大数据日益发展的情况下，信息不对称对于并购审计风险的潜在影响不断降低。

三、大数据背景下企业并购审计风险的控制

上述风险的防范重点主要集中在提升数据处理技术、提高审计人员素质、完善政策法律环境等方面。1.注重数据安全，提升数据处理技术是核心。首先，可以根据数据性质和审计需求设置权限等级,严格控制数据访问权限，减少数据外泄的可能性。其次，大数据时代面对海量数据处理,对数据的获取与处理不仅需要Excel或审计软件，还要借助数据挖掘技术缩小数据量,然后再对数据进行分析，从而提高并购审计工作的效率，降低并购审计的风险。2.提高审计人员综合素质是关键。并购审计中审计人员的职业判断举足轻重，审计人员必须提高自身的综合素质,灵活地运用审计方法、审计工具,组合式地解决问题、应对变化。一方面要加强现有审计人员知识结构调整,另一方面要与信息技术等领域的专业人士通力合作凸显团队力量。3.完善并购法律制度环境是保障。大数据在并购审计中发挥更好的作用离不开完善的法律与制度环境。因此，进一步完善与企业并购相关法律法规，形成合理专业的业务规范是大势所趋。同时，在制定相关的会计准则时，既要借鉴国际会计领域的先进成果，也要兼顾我国国情，适合我国境内各类型的企业并购，特别是新兴的互联网企业并购。

参考文献：

[1]我国企业并购现状与成功条件的分析和思考[D].何丽.硕士论文,2010.

[2]企业并购专项审计和财务评价.[J].卢树华.现代商业,2009.5.

[3]企业并购审计风险及其防范.[J].熊梦云、彭卉.财会月刊,2013.8.

篇3

[11]Chen， C.M. CiteSpace II： Detecting and visualizing emerging trends and transient patterns in scientific literature[J]. Journal of the American Society for Information Science and Technology， 2006，57（3）： 359-377.

[12]吕巾娇等. 活动理论的发展脉络与应用探析[J].现代教育技术， 2007，（01）： 8-14.

[13]Xu， Y. and D. Wang. Order effect in relevance judgment[J]. Journal of the American Society for Information Science and Technology， 2008. 59（8）： 1264-1275.

[14]Xu， Y.The dynamics of interactive information retrieval behavior， Part I： An activity theory perspective[J]. Journal of the American Society for Information Science and Technology， 2007，58（7）： 958-970.

[15]Xu， Y.J. and C.L. Liu. The dynamics of interactive information retrieval， Part II： An empirical study from the activity theory perspective[J]. Journal of the American Society for Information Science and Technology，2007， 58（7）： 987-998.

篇4

中图分类号：G642.0 文献标志码：A 文章编号：1674-9324（2016）25-0088-02

一、大数据的内涵及特征

1.大数据的内涵。目前，对于大数据的定义没有统一定论，通常认为大数据是指以多元形式存在的、数量庞大且内容复杂的、需要专门的软件与分析工具进行搜集、整理、发掘及分析的那些自许多来源汇集而来的庞大数据组。可以从三个层面解释大数据：第一层面是理论，理论是认知的必经途径，也是被广泛认同和传播的基线；第二层面是技术，技术是大数据价值体现的手段和前进的基石；第三层面是实践，实践是大数据的最终价值体现。

2.大数据的特征。①Volume（数据体量巨大）。据“产业信息网”相关统计，截止到2012年底，人类已生产200PB（1PB=210TB）印刷材料的数据量，历史上全人类说过的所有的话大约是5EB（1EB=210PB）的数据量。而当前，典型个人计算机硬盘的容量为TB量级，但一些大企业的数据量已经接近EB量级，如此海量的数据对我们正确识别真实数据的能力提出了巨大的挑战。②Variety（数据类型繁多）。相对于以往便于存储的以文本为主的结构化数据，非结构化数据越来越多，如图片、视频等多类型的数据对我们的处理及分析数据的能力提出了更高要求。③Value（价值密度低）。价值密度的高低与数据总量的大小成反比。以视频为例，连续不间断监控过程中，可能有用的数据仅仅有一两秒。如何通过强大的算法更迅速地对数据的价值进行“萃取”成为当今大数据背景下亟待攻克的难题。④Velocity（处理速度快）。这是大数据区分于传统数据挖掘的最显著特征。根据IDC的“数字宇宙”的报告显示，全球数据预计到2020年时使用量将达到35.2ZB。在如此庞大的数据面前，高效处理数据就是企业的生命。

二、会计学专业人才培养模式

1.国外会计学专业人才培养模式。①德国的FH模式。德国推行的应用型人才培养的模式被称为FH模式。不仅注重系统的科学知识的讲授，更加注重实际应用能力的培养。尤其重视学生实践能力的考核，将学生的培养与企业实际紧密结合。②英国“三明治”模式。英国的应用型人才培养采用了实践与学习相交错的“三明治”模式，即实践环节与学习环节交替进行，课程设置与招生充分结合市场。③美国“生计教育”模式。20世纪70年代的石油危机爆发后，为解决毕业生的就业问题，美国推出了“生计教育”模式。该模式下，学生在学校不仅接受教育，而且接受技能的培训。教学方式方法灵活、校企合作、政府支持为这一模式的主要特点。

2.国内会计学专业人才培养模式。①精英教育。我国长期推行的是精英教育，尽管精英教育饱受诟病，但就会计人才的培养来看，精英教育并非一无是处。精英教育使得学生可以获得足够的教育资源。教师可以和学生在课堂上进行充分的互动沟通，帮助学生培养批判的精神和能力。此外，精英教育模式下遴选出的精英通常不仅在校期间学习刻苦，在进入工作岗位后也后劲十足，发展潜力巨大，能够将在学校培养出的良好习惯和能力运用到工作实际中。②大众教育。随着经济社会的发展，我国的会计教育由精英型教育转向了大众化教育。这一转变给我国的会计教育带来了一些问题，表现在会计教育的发展严重滞后于会计职业界的实际，会计人才培养不能满足市场的需求，供求出现结构性矛盾。培养目标侧重于技术的培养，而忽视了通用能力的训练；课程过分强调会计的规则性，抑制了职业判断；教学方法上，倾向于灌输式的教育，而缺乏必要的实践操作。

三、大数据对会计学专业人才培养提出的挑战

1.培养重点不明确、培养目标不清晰。我国高校会计学专业人才培养模式的重点主要以理论和科研教学为主，大多课程的安排也充斥着浓浓的文学色彩，如会计学原理、审计理论等。同时，我国大多高校会计学专业人才培养目标并不清晰，单一的追求学生理论知识的掌握，使得学生的实践及应用能力欠缺。这两者与当今市场对会计学专业人才的需求不对接，与当今社会职业界对会计学专业人才的要求相差较远。

2.课程设置不合理，导致无法灵活应对大数据。会计学作为一级学科，与经济学、数学、统计学等学科的交叉增添了会计学课程设置的多样及多元化。但我国会计学课程设置的本身就存在着很多问题。如过分注重理论研究，不能更好地体现会计学的实用性；课程设置的层次性不鲜明；专业课程前瞻性不够，与社会的热点及最新发展衔接脱钩；实践环节设置的相对欠缺，导致对大数据处理的应用能力受限。

3.考核制度没有得到严格执行。在我国专业人才培养模式中，会计学等各学科的结课考核方式以考试为主、结业考试以论文形式为主。因教学中研究氛围的不浓，经费支撑的不足，以及部分学生为就业等现实因素的影响造成其投放在论文上的精力不够，这都使得考核制度对会计学专业人才的培养质量的保障作用在一定程度上受到削弱，也使考核结果及论文质量受到严重影响。

4.开源课程等新型教育方式及新媒体模式对传统会计学专业人才培养模式的冲击。当今，互联网上充斥着海量的教学资源，除了各类精品课程、教学视频外，开源课程充分利用在线视频进行远程教学，为任何有意者提供学习的平台，突破了地域和时间的限制。微博等新媒体模式与移动互联网相结合，打破了教学的界限，将课堂讨论延伸到网络。吉姆.格雷指出，科学研究的方法除了基于实验、基于数学理论和基于计算模拟的三种范式外，基于数据探索的第四范式正在形成。

四、面向大数据创新会计学专业人才培养模式

1.课程设置。面向大数据，创新型会计学专业人才培养中应开设数据分析、搜索引擎系统应用、信息检索、信息处理等这些与数据的大量获得紧密联系的课程，增强学生接触数据与获得数据的可能。高校应加强对会计学相关数据库的建设以及完善图书馆信息系统，通过这样的方式对数据进行归集、整理、分类，不仅可以提高对数据的大量获取性，统一数据口径，而且有助于在数据高速产生的状态下数据的高效提取性，为后面数据的分析提供帮助。大数据的多样性特征使得我们接触到的数据的形式各式各样，相应在创新型会计学专业人才培养中课程设置也会多种多样，为大数据环境下培养复合型专业人才奠定扎实基础，可以设置专业核心课程。由于大数据的数据量虽大但价值量小的特征，因此在课程设置上应开设信息检索、数据挖掘与数据仓库等检测、分析数据价值的课程，并通过采用案例教学法、课堂模拟法、角色扮法、体验式教学法等方法，引导学生将提取出的、有价值的数据应用于中，培养学生运用数据高效解决实际问题的能力。

2.师资建设。创新型会计学专业人才培养中，师资力量是支撑学生正确获得有用及真实数据的基础。高校在会计学专业人才培养中应加大对大数据教学及运用的教师培养及经费支出的同时，组建“在线教育、实体操作与校企合作”三位一体的平台，完善具有大数据特色的师资建设。高校建设中应加强对教师大数据知识与应用的培训，与企业合作获取高效大数据平台建设及培训经费的同时，加强教师接触第一手数据的可获取性，提升教师对数据的接受性及运用能力，改变以往教学存在的偏理论、缺乏数据感的问题。另外，高校应积极引进国外先进人才，同时选派青年教师去国外高校访学、进修。高校实行创新型会计学专业人才培养模式下，应举办会计学相关教师与其他学科教师的交叉学习与培训，为实现会计学专业人才的跨专业联合培养打下基础。另外，通过建立产学研联合实验基地等项目，为教师更好的理解大数据、掌握先进方法、接触前沿性知识、运用研究成果以及未来的创新发展创造良好的平台。

3.个性化学习。创新型会计学专业人才培养中，无论课内及课外，高校教师都应该引导学生去获取更多的数据，以作为课程教学、讨论的有力支撑，做到尽可能的用数据说话。高校在寒暑期开设的相关专业模拟实习，如会计核算模拟实验、会计岗位沙盘模拟实验等，可以为学生更切身的接触数据提供便利，通过实践的反馈和思考，也可以培养学生的创新思维。大数据高速的特征加上现代开源课程等新型教育方式及新媒体模式等在线资源的冲击，使得学生接触数据的方式多样。根据学生自主选择接触数据，然后相互交流。这增加了学生的学习兴趣，而且可以激发学生的创造性。大数据的多样化特征下，高校应为学生提供相关专业学习的辅修课程，开通学生与其他学科专业教师的沟通渠道，举办“跨学科联合培养、培养复合型专业人才”的实践大赛数据分析大赛、基于大数据的数学建模大赛等。高校应为学生提供实验室、计算机机房、计算机操作系统等软硬件条件，开放式的引导学生自主参与产学研实验基地、多校联合培养项目以及国家政策引导下的大数据开发项目研究之中，为“跨学科联合培养、培养复合型专业人才”的培养目标提供实践平台和发展空间。

篇5

（一）可拓展商业语言

目前，在对会计信息化可拓展商业语言研发中，研发人员探讨的主要内容是相关技术的开发、商业语言内容与类别的采纳以及可拓展商业语言对会计信息化业务造成的影响。在经过一段时间的实践后，我们已经可以初步认识到可拓展商业语言在技术层面的突出表现，但是距离建立完善的技术体系还有一段路需要走。例如，目前的可拓展商业语言分类标准还无法完成准确表达语意的要求。因此，在可拓展商业语言的研发中，需要重视精确语言机制的构建工作，通过完成?τ诨峒葡喙?a href="lunwendata.com/thesis/List_127.html" title="应用论文" target="_blank">应用中语意的统一解释来完成可拓展商业语言的形式?。此外，在目前的可拓展商业语言研究中，主要的发展方向是通过本体与部分论的方法来实践语言的形式化。

（二）云平台构建

云平台的构建中，云会计是一种重要的表现形式，这是会计信息化的一种重要应用形式，也是企业管理中会计信息化的一个重要发展方向。云会计是指基于互联网的使用，将企业经营管理活动中的会计核算、管理以及决策功能整合于会计信息系统的一项综合互联网信息管理技术以及会计处理方法、理念的现代化管理手段，云平台的计算是云会计的基本内核。此外，云平台的构建还体现在企业财务信息资源的共享中。随着互联网技术以及互联网理念的运用，企业与企业之间、企业与公众之间的联系越来越紧密，因此，企业信息化管理中云平台构建会计信息化的研究越来越重要，企业财务信息共享的重要性越来越突出。但目前，关于企业财务信息化的资源共享的研究还只是停留在云平台应用的优势方面，对于信息共享的规则以及具体实践还没有一个明确的标准。

（三）IT 审计实施框架

云计算可以说是互联网时代的创举，可以为企业、会计审计以及政府经济政策的制定等与大数据相关的决策提供强大而有效的技术支持，但是受到云计算平台的影响，相关数据的有效性及安全性也无法得到保障，会计审计在使用这些数据时可能会存在一定的风险性。充分发挥云计算在IT审计中的优势，确保云会计的效果也是目前业内研究的重点。云平台与传统的会计服务软件存在显著的差异，以云计算为基础的IT审计不能照搬传统会计服务软件的框架，需要根据云计算的特点和IT审计的特殊性，构建全新的IT审计实施框架。必须要认识到基于云平台的会计审计的发展，应对传统的会计审计测试方法进行改进，从而降低IT审计的风险性，对AIS内部合理性进行严格的控制。会计云服务对于计算机信息技术的要求比较特殊，在会计IT审计实施框架的构建中，可以借鉴COBIT标准，密切关注流程中每一个环节，提高风险控制能力，通过IT审计框架的实施，推动会计云平台的建设和云会计的进一步发展。

二、会计准则变革和财务报告功能拓展

（一）会计准则变革的经济影响

我国于2006年颁布了一系列具体会计准则（CAS），之后具体准则又经过了两次大规模的修订，对经济社会造成的影响也比较显著。会计准则变革对变革的经济后果分析预测包括非预期效益和预期效益两个方面。首先可以从资本经营层面对会计变革的影响进行分析，明确企业投资行为在会计准则变革下作出的应对，对投资行为的影响一般属于非预期的。从经济风险管理控制角度分析非预期效应传导路径后发现，会计准则变革将会对辐射范围内的企业的投资行为产生深刻的影响，而这种针对会计准则变革的应对则是一种非预期效应。除了对投资行为的影响外，会计准则变化还会对企业的资源配置效率产生影响。相关研究表明，企业资源配置效率会受到会计准则变化的影响，资源配置效率的变化属于预期效应，且这种变革对企业的融资效率的影响要显著低于投资效率。

（二）财务报告可比性和功能拓展

“互联网+”的经济环境对于财务报告的功能范围产生了一定的影响，为了应对全新的社会经济形式，财务报告的功能也进行了拓展。会计准则对于财务报告可比性的影响是传统会计行业财务报告可比性的分析重点，而除会计准则外，其他的因素对财务报告可能造成的影响一般不会进行过多的考虑，这在一定程度上会造成财务报告可比性的偏差。需要注意的是，审计人员工作方式和审计风格的不同也会造成财务报告可比性的差别，不同的会计师事务所就同一会计工作作出的财务报告也会存在较大的区别。大数据时代下，必须要形成统一的财务报告形式和审计风格，因而相关财务监管部门需要对不同的会计师事务所的审计风格进行分析和比较，在此基础之上，结合地区财务状况和经济发展形势制定地方会计规范，对事务所的财务报告审计风格进行约束，提高不同企业、不同审计单位财务报告的可比性，进一步提高会计行业的规范性。FASB对会计财务报告的目标定位为决策有用，在“互联网+”的背景下，财务报告的功能也应当进行合理的拓展。可以将叠加模式作为财务报告期望功能的扩展模式，即在一套传统的基础财务报表之上叠加一张辅助财务报表，对基本财务报表的功能进行补充。

（三）所得税会计准则和计量属性

现阶段，我国所使用的会计准则比较复杂，会计准则资产负债表债务法对企业财务报表内容和汇报间隔进行了规定。企业需要对每个暂时性的年度财务变化状况进行追踪和记录，企业财务人员要严格按照税法和会计准则的要求对账目进行记录，这在无形中提高了企业的运营成本，企业的经济效益会受到影响。一些企业为了提高盈利，避免ST行为，采取了递延所得税的方式，这也说明我国所得税准则还是存在较大的可操纵性的，与此同时，现行的会计准则和各种计量属性实际运用中，相关问题也存在一些自相矛盾的地方。“互联网+”经济背景下，必须要对这种不完善的所得税会计准则进行改革，使其更符合经济发展的要求。为了确保会计准则改革的实效性，在修订会计准则前需要明确各计量属性的定义，对不同的计量属性的所得税会计准则之下的运用方式进行限定，确保计量属性运行的合理性和合规性。基本财务报表的计量属性一般是交易价格，或者是历史成本，现有的价值以及公允价值等都不作为财务报表中独立的计量属性，但是在实际的财务报表应用情况下，计量属性也可以作为交易价格的估价方式而存在。除了基本财务报表之外的其他财务报表的计量属性内容比较多，可以是现行成本、现值以及可变现净值，等等。

三、管理会计的改革与发展

（一）管理会计的系统信息化建设

互联网技术以及互联网理念在我国社会生产经营中的应用范围不断扩大，为了更好地适应时代需要与时代特征，管理会计必须要立足于互联网思维，积极进行信息化的系统建设。在互联网时代，由于信息的频繁交流，在网络环境中往往充?M了各种各样的信息，这些信息有的能够对企业或组织的会计处理提供十分积极的帮助，有的则是一些错误虚假的信息。因此，在“互联网+”时代的管理会计中，需要重视起对有效数据的收集与处理。通过云平台与云计算对有效信息与有效数据进行收集与处理有着十分重要的积极意义。大数据时代，一方面给予了管理会计的发展环境，不断对管理会计的信息化发展提出新要求；另一方面也需要管理会计的相关理念以及会计处理方法能够与信息化的相关理念以及技术实现结合。在企业或组织中，信息化程度越高，那么在管理活动中对于管理会计的要求也就越高，需要企业或组织的管理会计工作能够充分结合信息化。因此，管理会计系统信息化建设是企业现代化管理改革过程中的一项重要内容，企业需要立足信息技术与管理会计的有效结合，来探讨会计信息化系统的建设工作。

（二）管理会计的专业人才

目前，在企业的现代化管理中，存在着重视财务管理人员的队伍建设而忽视了管理会计的队伍建设的情况。这就导致我国企业目前管理会计的人才数量相对较少，而随着管理会计工作要求的不断提高，这一现象已经在一定程度上影响到了企业的健康持续发展。因此，应当从以下方面来实现管理会计的专业人才的建设工作。首先，应当从教育领域重视起相关专业人才的培养工作，通过在高等教育院校中提高管理会计专业培养应用型人才的要求，不断为社会提供符合实际需要的应用型管理会计专业人才。其次，在注册会计师考试中，应当提高管理会计相关知识的考核比重，以此来提高会计从业人员对于管理会计的重视，这是促进会计从业人员正确认识管理会计重要性的有效手段。最后，在企业或组织当中，应当建立起完善的培训制度，通过对会计从业人员的不断培训来提高其对管理会计的认识与掌握，从而适应企业的发展需要。

（三）管理会计理论体系构建

篇6

审计教育界集中了一大批审计、会计、财务管理、信息系统审计等专业的教授、学者。他们学有专长，理论功底好，学术造诣高，具有智力优势和人才优势，是推动上海审计事业科学发展的宝贵资源。要采取有效措施，充分发挥审计教育界在审计理论研究、审计学术交流、审计人才培养等方面的重要作用，为上海审计事业科学发展提供智力支持。

（一）审计理论研究方面。

一是吸收高校教师参加审计课题研究。就上海市审计局而言，目前承担的课题研究包括审计署重点科研课题、上海市科技发展基金软科学研究项目、上海市审计局审计科研课题;就上海市审计科学研究所而言，目前承担的课题研究包括上海市人民政府决策咨询研究重点课题、审计署审计科研所科研协作课题、上海市审计科学研究所课题;就上海市审计学会而言，目前承担的课题研究包括中国审计学会合作课题、上海市社会科学界联合会学会学术课题研究合作项目等。2014年，上海市审计局、上海市审计科学研究所、上海市审计学会共完成各类审计科研课题41项。开展审计课题研究，课题组成员要做到审计人员、审计科研人员、高校教授专家“三结合”，以提高课题研究水平，努力使上海审计科研工作走在全国前列。多年来，上海市审计局、浦东新区审计局、徐汇区审计局、松江区审计局等审计机关注重吸收高校教师参加审计课题研究，取得了良好效果。

二是鼓励高校教师参加社会招标审计课题研究。2014年起，上海市审计局和上海市人民政府发展研究中心联合上海市人民政府决策咨询研究审计专项课题年度招标，两年共向社会公开招标“国家审计促进政府自身建设的作用和途径研究”、“自然资源资产负债表与领导干部自然资源资产离任审计研究”、“大数据环境下的审计方式和技术创新研究”、“审计在法治政府建设中的作用和途径研究”等课题4项，共有7个高校教授专家组成的课题组参加课题投标。高校教师在社会招标审计课题研究中崭露头角。

三是特邀高校教师担任审计科研机构特约研究人员。为加强审计科研队伍建设，2008年12月和2013年3月，上海市审计科学研究所先后两届在全市审计机关聘任特约研究员37人和56人。特约研究员的主要任务是：以优化组合的方式组成课题组，承担审计署下达的重点审计科研课题研究和市审计局立项的部分重点审计科研课题研究;承担市审计科学研究所委托的其他审计科研工作。今后可根据需要，聘请高校教师担任上海市审计科学研究所特约研究员，进一步发挥高校教师在审计理论研究中的重要作用。

四是特邀高校教师参加审计课题立项评审和结题评审。目前，上海市审计局已特邀高校教授参加上海市人民政府决策咨询研究审计专项课题立项评审和上海市审计局审计科研重点课题结题评审。今后可更多地特邀高校教师参加审计课题立项评审和结题评审，以加强课题研究质量把关，促进提高审计科研水平。

（二）审计学术交流方面。

一是特邀高校教师参加审计专题研讨会或论坛。2012年12月，上海立信会计学院、浦东新区审计局联合举办“浦东审计创新论坛”，收到良好效果。2015年，中国审计学会将举办“金融审计与区域性金融稳定”等专题研讨会。同时，还将举办以“加强审计创新，完善审计制度、保障依法独立行使审计监督权”为主题的第三届全国审计青年论坛。上述专题研讨会和论坛将邀请各有关高校教学科研人员参加，以推动深化审计理论研究，加快青年审计人才培养，为审计人员和高校教学科研人员建言献策、展示风采搭建平台，促进审计事业健康持续发展。

二是鼓励高校教师参加优秀审计论文评选。为推动群众性审计理论研究，上海市审计学会坚持每两年组织开展优秀审计论文评选。在2011年至2012年优秀审计论文评选中，高校人员获奖论文有5篇，占获奖论文总数的29%;在2013年至2014年优秀审计论文评选中，高校教师获奖论文有4篇，占获奖论文总数的22%。

三是特邀高校教授举办审计学术报告会。为加强审计学术交流，2011年11月和2012年11月，上海市审计学会举办审计学术报告会，先后邀请复旦大学李若山教授、北京国家会计学院秦荣生教授作“经济发展方式转变与国家审计”、“关注云计算发展对会计、审计的挑战”学术报告。两场学术报告会作为上海市社会科学界联合会“学会学术活动月”系列活动，受到听众好评。

四是加强审计科研机构学术交流。目前，除上海市审计局设有上海市审计科学研究所外，上海国家会计学院也设有审计研究所。要加强审计科研机构之间的学术交流，充分发挥审计教育界在审计理论研究方面的优势。

（三）审计人才培养方面

一是举办审计业务培训班。2014年，依托上海立信会计学院办学条件和师资力量，浦东新区审计局在审计业务培训方面作出了探索。2015年，上海市审计局将举办“行政事业单位新财务会计制度与内部控制规范”培训班，邀请上海经济管理干部学院教授授课。为加强审计机关审计业务培训，今后上海市审计培训中心可建立高校师资库。

二是举办审计业务讲座。近年来，上海市审计局有关审计业务处分别邀请复旦大学、上海大学、南京审计学院、上海交通大学等高校教师，为审计人员作“资源环境审计研究”、“高校审计研究”、“计算机审计”、“计算机审计中级培训”等业务讲座，促进提高审计机关审计人员业务水平。

三是举办内部审计人员后续教育培训班。2014年，上海市审计培训中心邀请上海立信会计学院教授，为内部审计人员后续教育培训班学员讲授“内部控制与监督”课程，促进提高内部审计人员业务水平。

四是举办审计专业技术资格考试考前辅导班和参加高级审计师资格评审。上海市审计培训中心每年邀请南京审计学院教授，为本市审计专业技术资格考试考前辅导班学员作初、中级审计师资格考试考前辅导和高级审计师资格考试考前辅导，受到好评。同时，上海市审计局聘请高校2名教授担任上海市审计系列高级专业技术职务任职资格评审委员会委员。

二、充分发挥审计实务界的实务优势

上海审计实务界具有较为雄厚的审计力量。截止2014年底，在国家审计方面，除审计署驻上海特派员办事处外，另有上海市审计局和17个区（县）审计局，共有审计人员1 023人;在内部审计方面，全市共有内部审计机构1 626个，配备专、兼职内部审计人员5 421人;在社会审计方面，全市共有会计师事务所322家，拥有注册会计师5 830名。审计实务界的不少从业人员毕业于高校审计、会计等专业，努力报效母校是广大审计实务界人员的心愿。审计实务界要充分发挥自身优势，为高校审计专业在教学、科研、实习、就业等方面的发展提供广阔舞台，努力做审计教育界的坚强后盾，成为审计教育事业发展的重要基地。

（一）适当参与审计教育活动。高校审计专业教育旨在培养具备良好的政治思想素质和高尚的审计职业道德素养，系统掌握现代审计学基本理论及相关领域的知识和技能，具有开阔的国际视野、较强的专业实战能力、能够创造性地从事政府审计、注册会计师审计和内部审计工作的高层次应用型审计专门人才，为审计实务界补充人力资源。审计实务界拥有一大批实务经验丰富的审计人员，每年完成审计项目数以万计。他们来自审计一线，掌握审计信息和动态，了解审计实践与需求。审计实务界人员适当参与高校审计教学活动，理论联系实际，可以为审计教育注入动力，增添活力。具体参与形式包括审计实务界人员参加高校审计专业教育指导委员会或担任行业专家，为提高审计教学水平建言献策;担任研究生校外导师，指导研究生论文写作;开设研究生讲座，担任研究生暑期学校或论坛师资，传授审计知识和实务技能;参加研究生招生复试和毕业论文答辩，促进提高审计教育质量。

（二）为高校审计专业教学提供参考资料。审计实务界有着强大的审计法规库、鲜活的审计案例库和有效的审计经验库，可为高校审计专业提供教学参考资料。近几年来，上海市审计局先后编著和公开出版了《审计案例集》、《审计案例选编》;浦东新区审计局先后编著和公开出版了《画说审计》、《审计门诊》、《案说审计》。这些审计出版物深入浅出，通俗易懂，具有很强的实践性，可供高校审计专业教学参考。

（三）为高校审计专业学生提供实践基地。高校审计专业是应用性很强的学科，只有注重实践操作，学以致用，才能学有所成。审计实务界要发挥自身优势，为高校审计专业学生提供实践基地。以上海立信会计学院为例，在国家审计方面，目前浦东新区审计局、松江区审计局成为其审计专业学生实训基地或实习基地;在内部审计方面，目前上海汽车集团股份有限公司、上海市教育委员会审计中心成为其审计专业学生实践基地;在社会审计方面，目前立信会计师事务所、沪港国际咨询集团成为其审计专业学生产学研基地或实践基地。通过高校审计专业学生参与审计项目和审计机构审计人员现场带教，使高校审计专业学生接触审计实践，将所学知识转化为审计技能，为增长才干、实现就业创造条件。

三、充分发挥审计学会的桥梁纽带作用

上海市审计学会是本市审计科学研究的学术团体，主要涉及全市国家审计、社会审计和内部审计领域的理论和实务研究。市审计学会理事会已历经八届，现有个人会员660人，单位会员7个。市审计学会内设学术委员会和秘书处。学术委员会职责是协助秘书处组织、指导研究活动，审定研究成果;学会秘书处具体负责学会日常工作。要充分发挥市审计学会的桥梁纽带作用，为审计界“四路大军”加强审计理论研究和学术交流，共同推进审计事业科学发展搭建平台，搞好服务。

篇7

1 引言

前些年，在我国推进信息安全体系建设的工作中，各行业在信息网络边界和纵深部署大量信息安全防护产品的基础上，为了符合国家信息安全的相关政策和监管要求及便于进行一体化管理和掌握整个信息系统的安全态势，许多单位还部署了信息安全管理平台，并在信息系统安全运行和管理上发挥了重要的作用。

信息安全管理平台是网络中心必备的安全管理基础设施，是网络安全管理员遂行网络安全管理任务的必备手段，是网络安全体系结构中的一个重要技术支撑平台。为规范网络系统的安全管理，重要的信息网络都应设置信息安全管理平台（见《信息安全技术 信息系统等级保护安全设计技术要求》GB/T 24856―2009）。

近年来，随着云计算、物联网和移动互联网技术的兴起，信息网络的边界愈发模糊，系统中的虚拟化技术和设备被广泛采用，信息系统中的安全信息采集和集中审计变得更加困难。另一方面，外部的信息安全威胁，随着AET和APT技术的不断升级，也变得愈来愈凶险和难以防护。面对当前信息安全的新形式，以往的信息安全管理平台必须进行更新换代或升级改造。

搭建新一代信息安全管理平台（以下简称平台）有重要意义：（1）设计和建设新一代平台是构建自主可控信息安全体系体系顶层设计不可或缺的重要一环，以实现对重要信息系统的风险可监控、可管理、业务过程可审计，真正实现安全体系自主可控，保障体系安全；（2）引入大数据分析技术完善平台关联分析能力，增加AET和APT攻击的检测技术手段，提升信息系统安全态势感知和预警能力，可及时发现和处置重大信息安全威胁，真正实现信息安全自主可控。

2 设计目标

信息安全管理平台的设计目标是：设计一体化、开放性和具有智能防御未知威胁攻击的平台。一体化就是将多家不同类型的安全产品整合到一起，进行统一的管理配置和监控。开放性就是提供标准的接口，使第三方产品很容易整合到系统中。智能防御未知威胁攻击，就是充分利用和发挥大数据技术应用于安全态势和安全事件的深度挖掘和分析，对AET和APT进行检测和响应，构建智能化的主动防御系统。

通过信息安全管理平台，对网络系统、网络安全设备以及主要应用实施统一的安全策略、集中管理、集中审计、并通过网络安全设备间的互动，应对已知和未知的安全威胁，充分发挥网络安全防护系统的整体效能。

3 设计原则

依据GB17859-1999《计算机信息系统安全保护等级划分准则》和GB/T 20269-2006《信息安全技术 信息系统安全管理要求》，结合网络安全管理的实际需求，按以下原则设计信息安全管理平台。

（1） 标准化设计原则。为了能够与第三方厂家安全产品联动，安全管理平台需制定安全产品互联的接口标准，这个接口标准在业界应具有权威性并易于操作，便于各厂家实现。

（2）逐步扩充的原则。网络系统安全集中管理包含的内容很多，管理技术难度很大，安全管理平台的建设应选择好切入点，本着由简至繁，逐步扩充的原则进行。

（3）集中与分布的原则。许多单位网络从结构上看，呈树状的多节点分层（级）结构。这些网络具有分布广、结构复杂的特点。为此，可在各层（级）网管中心设置安全管理平台，其作用是对本级局域网进行集中安全管理；上级对下级采用分布式分级的方式进行安全管理。

4 设计要求

（1）可扩展性。信息安全管理平台的系统设计，终端采用以对象模型驱动的管理机制，对象模型用XML语言描述，可以通过定义/修改对象模型的属性（关系和操作），即插即用地扩充和管理网络终端及服务。此外，管理平台主机在性能和带宽上，应留有一定冗余度，具有管理1000～5000个对象的扩展能力。

（2）易用性。信息安全管理平台提供的所有功能，应做到操作简易，界面友好，使用方便。

（3）经济性。信息安全管理平台设计，应采用先进的、成熟的软硬件IT技术，搞好总体设计，优化软件编程，避免重复投资，提高性能价格比。

（4）稳定可靠性。信息安全管理平台设计，应重视硬件支撑设备的选型，性能上应留有空间；安全管理软件要经过充分测试，不断优化，保证系统稳定可靠运行。

（5）自身安全性。信息安全管理平台设计，要重视自身的安全性，系统应具有管理员身份和权限的双重鉴别能力，应保证数据网上传输的完整性、保密性和数据记录的真实可靠及抗抵赖性。

5 系统组成和主要功能

信息安全管理平台的基本功能是：对网络系统、安全设备、重要应用实施统一管理、统一监控、统一审计、协同防护，以充分发挥网络安全防护系统的整体作用，提高网络安全防护的等级和水平。

5.1 系统组成

信息安全管理平台由几个模块组成：人机界面模块、总控模块、安全网管模块、安全监控模块、安全审计模块、安全策略处理模块、安全模块、安全事件分析模块、安全事件响应模块、设备配置模块、平台与设备接口模块和安全管理数据库。系统的逻辑结构如图1所示。

（1）人机界面模块。面向安全管理员的操作控制界面。

（2）总控模块。总控模块控制信息安全管理平台各模块正常运转，其中包括网络通信和通信加密程序，用于保障网络间远程数据交换的安全（主要是真实性和完整性）。

（3）安全网管模块。用于显示网络拓扑并进行安全网管。

（4）安全监控模块。用于对网络主机和网络设备进行安全监控。

（5）安全审计模块。接受操作系统或下一级安全管理平台发来的安全日志；接收主机、防火墙、IDS等网络安全设备发来的报警信息；接收网络出口探针记录的网络数据流信息，存储并实时进行内容审计。安全审计的方式有三种：基于规则和特征的安全检测，基于数据流的安全检测，基于特定场景深度数据挖掘的安全检测。审计的结果：启动报警系统和产生安全态势报表。

（6）安全策略处理模块。自动将安全策略翻译成安全设备可执行的规则。

（7）安全模块。安装在网络客户机（服务器、终端）操作系统中，与安全管理平台上的安全监控模块配合使用。其作用是用于接收安全管理平台发来的监控指令和审计规则；监视客户机的工作状态；根据规则进行安全过滤和记录；将安全记录实时发回至安全管理平台。

（8）安全事件关联分析模块。将所有收集到的安全事件按其对系统安全的危害程度等级进行重要性排队，然后调阅安全专家知识库，对事件进行基于规则的实时关联分析，该模块可引入大数据的历史关联分析能力，以提升关联的可信度。最终将分析结果（关联要素）和处理规则，提交安全事件响应模块或管理员处理。

（9）安全事件响应模块。按预先制定的安全事件处理规则（应急预案）对事件自动进行安全处置。

（10）系统配置模块。对IDS/IPS、防火墙、内容监测、主机等安全系统设备或模块进行安全和审计规则的配置。

（11）平台与设备接口模块。实现信息安全管理平台与各类网络安全产品之间的标准数据交换。其流程是：各类安全产品将各自检测到的安全日志通过接口模块进行格式转换后发给平台安全事件收集模块，供安全管理平台分析处理。平台人机界面或安全事件响应模块发出的处置指令，通过接口模块发给指定的安全设备，安全设备接到指令后按相应安全策略执行；信息安全管理平台能够管理的系统和设备有：防火墙、IDS/IPS、内容监测、路由器、交换机、网络主机。

（12）安全管理数据库。安全管理数据库是安全管理平台运行的基础资源，主要存放从本级和下级网络采集来的所有安全数据（包括日志数据、设备状态数据）、安全策略数据、安全专家知识、网络拓扑连接关系、网络中所有客户机的详细地址和安全管理平台加工的各种报表数据等。

5.2 主要功能

（1）网络安全管理。在各级安全管理平台上动态显示本级局域网当前网络拓扑，根据策略，适时改变网络拓扑结构。动态显示网络设备（路由器、交换机、服务器、终端）的在线状态、参数配置，及时发现系统结构变化情况和非授权联网的情况，并予以响应。

①自动识别网络中主机的IP、机器名称和MAC地址。

②按部门对设备（交换机、路由器）、主机和人员进行管理。

③通过系统提供的智能学习功能，自动识别网络的物理拓扑结构。

④自动生成网络拓扑图（该网络的真实物理联接结构图），并能动态显示当前的网络状态，如图2所示。

⑤动态显示主机的当前状态，如合法使用（如IP和MAC地址的配对，已登记注册的合法主机）、非法使用（如IP和MAC地址随意更改） 、关机、不通或故障、未登记主机的入网使用等。

⑥可以自动发现入侵的主机，并关闭其网络连接端口。

⑦提供主机与设备端口的绑定。

⑧提供网络逻辑图（显示设备之间的连接关系）、网络拓扑图（显示整个网络中所有设备、主机及其连接关系）和组织结构图（显示该单位的组织结构），可以方便地在三种不同的显示方式之间切换，便于网络安全管理员全面掌握和操控整个网络；在网络拓扑图中可以拖动设备（交换机、路由器、集线器）改变其相对位置；进行文字和分组标注；改变设备与设备、设备与主机之间的连接关系；还可以由系统对所有设备、主机进行自动排列。

（2）网络监控管理。安全管理平台上的网络安全管理与监控功能，可根据制定的安全策略，对受控主机进行安全控制。

①对受控机进行主机屏幕监视或控制（接管）功能。

②对受控机部分或全部文件进行访问控制，即对文件的访问，不仅要通过系统的认证，还必须通过网络安全管理与监控系统的认证才能访问。

③对受控机网络访问进行通断控制。

④对受控机无线上网进行阻断控制。

⑤对受控机的打印机、USB移动设备进行允许和阻断控制。

⑥对受控机的进程进行监控，可以控制指定进程的加载。

⑦对受控机的internet访问进行基于IP和DNS的详细控制，提供Internet网络监控。

（3）网络安全设备管理。在各级安全管理平台上，根据安全策略，对本级局域网设置的防火墙、IDS/IPS等进行参数配置，并适时监测安全设备的运行状态，以便及时处理。

（4）策略执行管理。根据安全策略生成的安全规则，通过管理平台向所有网络系统中安全设备和主机用户，实现对网络设备、网络客户机、安全设备及主要应用系统进行控制的目的。

安全策略处理模块功能有：对中层安全策略提供的形式化语言进行程序处理，输出安全设备安全规则配置表；安全管理员通过安全管理平台设备配置界面手工配置安全规则配置表；将安全规则配置表通过网络发给安全设备并执行；安全管理平台也可直接对网络中的受控客户机进行安全规则配置。

（5）审计管理。审计数据的获取有四条渠道：各客户机上的模块发来的内网安全事件实时报警和安全日志信息；不同厂家安全产品（防火墙、IDS等）发来的安全事件报警和安全日志信息；下级安全管理平台发来的安全日志和网络探针发来的网络数据流信息。紧急安全事件报警信息通过安全事件分析和响应模块实时处理。 安全日志直接存入安全日志数据库。网络数据流存入盘阵中，供事后历史数据关联分析和部分实时处理。

在各级安全管理平台上的审计管理包括：对本级局域网络系统中的设备（包括 路由器、交换机、服务器、数据库、客户机）根据预先制定的审计规则产生的故障、访问、配置、外设的报警信息和安全日志进行审计；对本级局域网络安全防护设备（包括 防火墙、IDS/IPS）及主要应用系统等在运行中产生的安全日志，进行采集、分析；上级安全管理平台有选择的抽取下级的安全事件进行审计，对严重的安全事件及时督促下级采取相应措施及时整改；对本级局域网中的进出口数据流进行记录和实时异常检测。

审计内容涉及十个方面。

①对受控机文件按IP地址、操作时间、操作类型、操作内容、用户名、机器名等进行审计。

②对受控机进行基于IP（源IP、目的IP）和DNS的internet访问审计，审计内容为源IP、目的IP、访问时间、协议、服务和访问内容等。

③对受控机进行程序和服务的安装与卸载进行审计，审计内容为IP地址、操作时间、操作类型、程序（服务）名、操作用户名等。

④对受控机进行本地用户登录审计，审计内容为IP地址、登录时间、退出时间、登录用户名等。

⑤对受控机的打印机使用进行审计，审计内容为IP地址、打印时间、打印机名称、文档名称和用户名等。

⑥对受控机的USB移动存储设备使用进行审计，审计内容为IP地址、时间、外设名称、状态等。

⑦对受控机的盘符状态进行审计，审计内容为IP地址、时间、盘符、状态等。

⑧对受控机的进程状况进行审计，即受控机使用程序的状况。

⑨对IDS/IPS探测到的非法入侵事件进行审计。

⑩对网络探针发来的数据流进行审计。

安全管理员可通过系统随时调阅安全日志、网络状态以及网络流量等信息，并进行统计查询。这些信息是事后了解和判断网络安全事故的宝贵资料。

（6）网络病毒监控管理。在各级安全管理平台上，建立病毒集中管理监控机制，实现网络病毒的监控与管理。防病毒系统应包括单机版、网络版和防病毒网关，在信息安全管理平台上对本级网络节点的防病毒运行情况进行监控，如防病毒库、扫描引擎更新日期、系统配置等。具体实现：确保防病毒策略统一部署，统一实施，保证防病毒体系执行相同的安全策略，防止出现病毒安全防御中的漏洞；保证系统管理员了解整体防病毒体系的工作状态，从整体防控的高度掌握病毒入侵的情况，从而采取必要的措施，及时提供新的防病毒升级库；通过信息安全管理平台提供的信息，与防病毒厂商保持热线联系与技术支持。

（7）应用系统监测。信息安全建设的一个重要内容是确保网上关键业务的可靠性、可信性、可用性。因此，对网上关健业务的监测记录非常重要，主要体现在四个方面：监测记录关键业务系统在网络中会话过程，可以帮助分析有无非法插入、伪装的业务会话；阻止伪装的业务会话与关键业务交互，确保业务流程的可信性；监测分析关键业务会话过程的响应与交互时间，找出影响关键业务系统网上运行效率的问题，确保业务流程的可用性；应用系统的监测主要通过内容监测系统和网络探头实现。

（8）安全事件处理。信息安全管理平台上收到IDS/IPS、防火墙和网络受控主机发来的安全事件时，将其打入事件队列。事件队列依据等级排队后，则交给安全事件关联分析模块，使用专家知识或决策分析算法对事件进行关联分析并按预案和规则给出处置策略，然后交给安全事件响应模块进行自动化智能处理或交给安全管理员处理。

6 系统应用模型

（1）分布式多层次的管理结构。由于大多数网络是一个多层次的树状网络系统，结构复杂、分布范围宽、网络客户机多，所以应按照分布式多层次的管理结构进行安全管理，如图3所示，某单位网络假设三级网络安全管理中心，每个中心设一台安全管理平台，遂行本级网络的安全管理。上级管理中心通过安全管理平台将必要的安全策略，标准和协议信息下传给下级管理中心。上级管理中心也可通过安全管理平台获取下级管理中心的审计信息。如上级的安全管理平台通过网络可调看下级的网络拓扑和安全事件处置报告，掌握下级的网络安全状况。

（2）各级安全管理中心的数据传输模式。安全管理中心的安全数据上传和下达采用C/S模式，一般由上级管理中心提出申请，下级管理中心回应。因为就计算机网络的安全防护系统实际运行状况来看，总是要求下级管理中心上报的数据多于上级管理中心向下传达的数据。为了保证数据传输的实时准确，以上级管理中心为Server，下级管理中心为Client。下级管理中心是多对一的数据交流模式。对于上级管理中心下传数据，采取下级管理中心的数据库按时轮讯的方式实现。

当安全管理中心多于两级时，数据传输模式如图4所示。

（3）安全数据交换的一致性保证。为保证安全管理中心之间数据交换的一致性，采用事务提交与时间标签相结合的方式来实现。安全数据的事务提交：由于上下级之间是跨区域的远程传输，为保证数据的完整性，采用数据的事务提交方式来处理，每一次传输的数据将是一个整体事件的所有数据，这样就能保证数据的完整性。反之，则必须重传。为了处理重传同步和上下级之间的一致性，我们为每一个事务加一个时间标签，即每次传输完一个事务的所有数据时同时加传一个时间标签记录。这个记录至少应有如下几项：日期时间、事务名、该事务的记录数。

收方当收到这个时间标签后， 则表明一个事务的数据传输结束，则可以更新数据，同时将此时间标签保存下来，并回发一个确认包。发送方如收到这个包，则认为上级中心已更新了这个事务的数据，就从时间标签队列里清除掉这个时间标签。

上述过程已完整地表述了异地数据一致性分布的实现方法，如图5所示。

7 系统安全管理流程

信息安全管理平台的安全管理贯穿整个信息系统运行过程，包括事前、事中、事后等过程。

（1）信息系统运行前。安全管理平台对信息系统的安全管理，从实施前的安全策略的制定、风险评估分析、系统安全加固以及对实施人员进行安全训练就已经开始，保证在已有的安全防护体系条件下对系统存在的安全隐患和将实施的安全策略心中有数。

（2）信息系统运行中。在系统运行过程中，对网络中的各种主机、安全设备实施全程安全监控，安全运行日志同时进行详细的记录，在系统发生安全事件时，根据事件等级进行排队，安全管理平台实时调用相应的事件处理机制。事件的处理机制见事件处理流程如图6所示。

（3）信息系统运行后。定期组织进行安全自查，消除安全隐患。通过分析系统运行的状况（包括性能分析、日志跟踪、故障出现概率统计等），提出新的安全需求，进行技术改进，包括系统升级、加固和变更管理。

（4）安全事件管理方式和处理流程。

自动处理： 将预案中的安全事件及其处理办法（如系统弱点漏洞、恶意攻击特征、病毒感染特征、网络故障和违规操作、防火墙与IDS联动、沙箱模拟运行等）存入安全知识库并形成相应的处理规则，当相应事件出现时，系统将根据处理规则进行自动处理。

人工干预处理：根据情况的需要，也可在信息安全管理平台上按事件级别进行人工干预处理，主要包括技术咨询、数据恢复、系统恢复、系统加固、现场问题处理、跟踪攻击源、处理报告提交等。

远程处理：当安全管理员从管理平台的拓扑图上观察到安全事件发生时或收到下级转交的要求协助解决的安全事件时，除了直接提供处理方案给对方外，还可以通过远程操作直接对发生安全事件的系统进行诊断和处理。

决策分析处理：决策分析模块预先收集、整理安全事件的资料，组织安全专家根据事件类型、出现事件的设备、事件发生的频繁度、事件的危害程度等因素列出等级、层次并打分，列出判断矩阵，运用层次分析法求解判断矩阵，分别计算出各因素的权重值，一并存入专家知识库中。运行时将调用专家知识库对实时收到的系统安全事件进行判断和计算，如果是单条事件根据预案直接处置，多条事件则求出组合权重值并对事件排队，系统根据事件重要程度依据预案依次处置。

安全系统联动处理：安全事件响应模块根据安全事件关联分析模块发来的安全事件关联要素调用应急预案库进行安全设备联动处理，如收到IDS检测到某协议某端口有DDOS攻击，依据预案将发送安全规则给总出口的防火墙，及时关闭该协议和端口。以实现一体化安全管理。

记录和事后处理：信息安全管理平台在信息系统运行时收集并记录所有的安全事件和报警信息，这些事件和信息将作为事后分析的依据。

8 关键技术及设计思路

一个系统是否先进和实用，关键是系统的设计思想和所应用的技术。为了使下一代信息安全管理平台具有创新性，我们提出了“应用大数据挖掘及分析技术”和“重点防御AET和APT”的设计思想，并且应用了多方面的先进技术。

在本系统中，采用了几项技术：形式化语言翻译技术；安全产品数据交换标准；安全事件决策分析技术；高性能数据采集器；安全事件的关联分析；大数据挖掘分析；AET和APT检测技术。

（1）安全产品数据交换标准。为市场上的安全产品（如防火墙、IDS/IPS、漏洞扫描、安全审计和防病毒产品等）制定数据交换标准。为此，所有安全产品都必须清楚地描述几方面内容（BNF描述法）：

：：=

：：=||

：：=|

：：=||||

：：=||||

：：=||||

：：=||||

（2）高性能数据采集器。高性能数据采集器也叫探针，是信息内容监测系统和大数据安全分析的前端设备，该设备性能的好坏直接影响系统的功能和性能。如法国GN Fastnet C Probe硬件设备，该设备的特点是：直接嵌入需要监测的网络；不损失网络性能与效率，能够适应多种网络环境，能够采集多种协议下的数据流信息；全线速采集数据100M

利用该设备作为信息内容监测系统和大数据安全分析的数据采集设备，能够适应多种类型的网络接口：局域网、企业网、广域网、快速以太网等，它的高性能的数据采集能力，极大地降低了系统数据采集的漏包率。

（3）安全事件的关联分析。对包含安全事件的数据流进行分析，如果是结构化数据可在基于经验知识，人工建立的规则和模型基础上，进行简单的关联：安全事件与用户身份的关联分析实现安全事件到“人”的定位；安全事件与系统脆弱性信息的关联分析实现安全事件危害程度的正确评估；安全事件与威胁源关联分析提高评估安全事件的级别和紧急程度的可信度；多个安全事件的关联分析，聚焦安全事件的连锁危害，提升安全事件的严重级别和紧急程度；泄密安全事件与身份信息的关联实现泄密源的真正定位；安全事件自身关联实现安全事件活动场景的全展现；安全事件与流量样本数据关联分析，判断安全事件的性质（是否AET或APT攻击）。

（4）大数据挖掘和分析。目前的大数据分析主要有两条技术路线，一是凭借先验知识人工建立数学模型，二是通过建立人工智能系统，使用大量样本数据进行训练，让机器代替人工获得从数据中提取知识的能力。

由于AET和APT攻击的数据包大部是非结构化或半结构化数据，模式不明且多变，因此难以靠人工建立数据模型去挖掘其特征，只能通过人工智能和机器学习技术进行分析判断。

应用大数据挖掘和分析新型网络攻击的思路：通过大数据解决方案将相关历史数据（攻击流量）保存下来，通过人工智能软件来分析这些样本并提取相应的知识，将疑似AET和APT攻击的异常样本知识存入专家知识库。

大数据挖掘和分析在平台中主要用于分析与检测：流量异常分析，行为异常分析，内容异常分析，日志与网络数据流的关联分析，威胁与脆弱性的关联分析，基于正常的安全基线模型检测异常事件。

（5）AET和APT检测判断技术。未知威胁最典型也是最难检测的属AET和APT，所以新一代信息安全管理平台中的IDS/IPS和防火墙必须包括不断更新的AET库，专家知识库中应包括APT攻击样本知识，因为AET和APT用传统的威胁攻击特征库根本无法比对发现。AET主要通过先进的AET知识库进行合规性判别，其核心的先进检测技术主要包括“对全协议层数据流进行解码和规范化”，“基于规范化的逃避技术清除”，“基于应用层数据流的特征检测” 。

APT可以通过多种手段进行分析检测：收集来自IT系统的各种信息，如图8所示。

基于流量统计的检测。记录关键节点的正常网络通信数据包样本，以样本特征检测为辅异常检测为主，通过异常检测发现未知的入侵。

沙盒分析与入侵指标确认。将疑似APT数据包组装好，放入沙盒（缓存）中模拟运行（引爆）并与入侵指标（活动进程、操作行为、注册表项等）比对加以验证。

9 安全管理数据库系统的设计

（1）数据组织与分类。根据信息安全管理平台的需求，安全管理数据库系统的数据内容包括：管理信息、网管信息、安全审计、专家知识四类十余种数据格式。安全管理数据库系统，是以四类数据为处理对象，实现对信息安全管理平台数据的积累、存贮管理、更新、查询及处理功能的数据库应用系统。经过数据库设计，安全管理数据库系统的四类十余种数据格式，规范分解为包括10余种关系结构的关系模型，在此基础上可根据用户应用要求设计多种格式的审计报表。

（2）数据库结构框图。通过上述信息安全管理平台的设计思路简介，可以大致了解新一代信息安全管理平台的工作过程和在网络安全管理上发挥的作用，我们希望早日看到拥有自主知识产权的国产信息安全管理平台在我国重要信息系统的网络安全管理上发挥重要的作用。

【注1】 AET（Advanced Evasion Techniques），有的文章译为高级逃避技术、高级逃逸技术，笔者认为译为高级隐遁技术比较贴切，即说明采用这种技术的攻击不留痕迹，又可躲避IDS、IPS的检测和阻拦。

【注2】 APT（Advanced Persistent Threat）直译为高级持续性威胁。这种威胁的特点，一是具有极强的隐蔽能力和很强的针对性；二是一种长期而复杂的威胁方式。它通常使用特种攻击技术（包括高级隐遁技术）对目标进行长期的、不定期的探测（攻击）。

参考文献

[1] 信息安全管理平台的设计[J].计算机安全，2003年第12期.

[2] CNGate 下一代高智能入侵防御系统.北京科能腾达信息技术有限公司，2012年8月.

[3] 高级隐遁技术对当前信息安全防护提出的严峻挑战[J].计算机安全，2012年第12期.

[4] 高级隐遁攻击的技术特点研究[J].计算机安全，2013年第3期.

[5] 星云多维度威胁预警系统V2.0.南京翰海源信息技术有限公司，2013年12月.

[6] 我国防护特种网络攻击技术现状[J].信息安全与技术，2014年第5期.

[7] 大数据白皮书2014年.工业和信息化部电信研究院，2014年5月.

[8] 提高对新型网络攻击危害性的认识 增强我国自主安全检测和防护能力[J].信息安全与技术，2014年第10期.

篇8

中图分类号：G648.1 文献标识码：A 文章编号：1674-098X（2016）11（c）-0072-02

改革开放以来，在科学技术快速发展的推动下，互联网、云计算及社交网络等层出不穷，使当前社会发展所接触到的数据朝着多元化的方向发展，且数据的增长速度越来越快，这意味着人们渐渐迈入了大数据时代。随着大数据时代的来临，受到社会及教育部门的广泛关注和研究，且在此种背景下，可促进高校信息化平台的构建工作能够较好地开展，同时还可推动教育改革。而高校作为培养人才的重要场所，做好学校内部信息化平台构建工作显得很有必要。

1 大数据

当代社会经济飞速发展的背景下，社会各界对大数据缺乏一个明确、统一的定义，维基百科笼统的定义成，主要由巨型的数据整合构成，这些巨型的数据已超出人们可在接受的时间内，来收集、储存及处理数据的能力，且数据的增长速度非常快，因此，将其称为大数据。

1.1 大数据时代背景下数据量快速上升

相关研究结果表明，2007年，全球网络系统的储存数据超过350 EB，如果将其换算为GB，则高达3 200亿。在所存储的数据当中，只有少量数据保存在以往的网络媒介上，如报纸、杂志以及书籍等，其他的都是数字数据[1]。

1.2 大数据时代背景下人们思维方式改变

以往的计算机水平非常低，人们只能通过随机选择的方式来研究大量数据，以利用较少的数据，得到更多有用的信息。但该种采集信息的方式所获取的信息，具有很大的局限性，只能从采集的数据中，得到事先所设计好的答案，得到的答案并不是适合在任何情况下使用，很难了解到更多深层次问题。若把计算机网络当作随机抽样对象，则很难找出一个最佳数据抽样标准；若抽样网络比较小，则利用抽样数据研究得出的结果，就很难体现网络系统的结构特性。

2 大数据时代下建设高校信息化平台中出现的问题

现阶段，高校网络服务体系建设过程中，校园办公系统和校园网属于其中非常关键的构成部分，且在网络技术、大数据技术快速发展的环境中，与大数据时展越来越近，这就使得高校内部拥有大数据的可能性逐渐提高，加强对高校信息化平台的构建非常关键，但随着建设工作越来越复杂，在建设中常常会出现很多问题，具体表现在下述方面。

2.1 信息化系统安全系数偏低

各个高校在构建信息化平台的过程中，所收集到的数据信息非常多，主要有机密数据、敏感数据以及隐私数据等，数据属于高校的一项核心资产。在大数据时代，如果数据被随意破坏或是篡改，则会对数据真实性造成非常严重的影响，从而影响数据挖掘结果在信息化平台构建中有无价值，数据一旦泄露，则会直接影响其建设效率[3]。因此，保证高校信息化平台构建过程中，各种数据信息的安全性、可靠性非常关键，这也是信息化平台构建过程中应解决的一大难题，所涉及的内容较多，如网络安全、数据权限管理、用户应用习惯及加密技术等。

2.2 信息化平台建设保障机制较差

大数据背景下，高校在进行信息化建设的过程中，常常会忽视信息化平台的稳定性以及实用性，根据单一的部门业务需求来规划及建设相应的信息化平台，这就常常会使得平台内的信息系统、软件、硬件以及数据库等互相分离，独立地支撑各种信息系统。而且，高校信息化构建因规划不够完全，造成很多顶层的设计、专业人员以及保障措施方面的投入较小，进而影响整个信息化平台建设工作的有序开展。

2.3 信息化平台系统不够集中

在大数据飞速发展的环境下，数据即资产，各高校内部的数据量非常大，由大量数据当中提取数据价值水平的高低可充分反映出各高校内部的信息化平台构建水平的高低。因以往高校对于信息化平台的构建规划并不完善，尽管构建了相关的图书馆管理系统、校园网站、一卡通系统以及教务系统等，但是每一个系统之间的数据比较分散，各个软件、硬件均独立运行，这就导致大量有用的数据难以较快汇集，从而形成单一的数据信息平台。而高校的信息化平台建设要求校园内部和信息化的系统之间实现各种数据信息共享，以便获取较多数据源，从而为高校提供可靠、真实的数据源[2]。

2.4 信息化平台建设数据准确度不够

高校经不同类型的传感器、应用系统以及感应器等数据工具来收集相关的数据，且把所收集的信息变得更加数字化，但是在采集期间，相关人员应保证所收集数据的可靠性、真实性，避免人为篡改数据。而且所收集的大量数据中，可以直接使用且价值高的数据信息相对少，且数据的结构类型较多，应把原先非结构化的数据直接转化成结构化的数据，由于数据的格式转化中会将部分的源数据当中所蕴含的各种信息丢失，从而影响整个数据收集及挖掘结果的准确性，从而削弱整个数据在高校信息化平台构建中起到的重要作用。

3 大数据时代背景下高校信息化平台建设规划

3.1 建设统一数据平台，优化配置资源

由于之前高校内部的管理人员在构建信息化平台的过程中，缺乏一定的信息化意识，对于顶层的设计未进行较好地部署及计划，这就使数据不够规范，各个业务系统在运行期间相互独立，缺乏关联。而在大数据背景下，经构建相应的云技术数据中心，于校园网络的基础之上和物联网互相融合，于全校范围内部署各种类型的数据采集器，如感应器，以快速收集设备、人员、设备、餐饮、交通及学习等方面的信息，实现信息化的系统和原有系统之间互相连通，共享各N数据信息，并将所获取的数据直接导入整个数据中心，从而实现数据化转变，以便为高校构建一个面向老师、学生提供科学管理、在线教学的信息化教学平台。

3.2 合理编排课程，促进平台建设

对于高校而言，改革教育的课程体系属于一个十分重要的环节。但在大数据时代影响下，学生的学习资源非常丰富，教育环境越来越开放，因此，构建高校信息化课程体系，可突破传统的模式，即邀请一些教学经验比较丰富的老师，随意、自由搭配课程，这种方式缺乏明确的教学目标，课程体系的系统性不强，很难提升高校的教学质量与水平。

因此，高校领导应结合学生的学习能力及自身的发展情况，并结合所处环境，收集大量的数据，对其进行科学、合理整理并分析，并对之后的发展情况做一些适宜的预测，以便了解高校学生应学习的内容，进而编订相关的学习课程，促进信息化平台建设工作的有序开展[4]。而且，在大数据环境下，高校在进行课程编订的过程中，可适当融入相应的信息化技术，且将数据分析作为重点，构建相关的数据库，以期能及时了解学生的学习进度及学习情况，从而适当调整主要课程。

3.3 更新数据系统，确保数据精准

近年来，随着大数据发展越来越迅速，在此种发展环境下，大量数据（机密、敏感及隐私数据等）的安全变更非常关键。信息安全与加密技术、网络安全、权限管理、数据识别技术以及用户认证等方面有直接联系，这就使得高校在构建信息化平台期间，应构建基于大数据的安全信息体系，主要表现为：

第一，构建数据收集设备或是数据软件监管体系，针对所收集的各种软件、设备做相应的标识和身份认证，保证所收集设备或是软件使用的安全性，同时对所收集的设备或是软件内的各项指标做相应的安全测量评估，以保证设备或是软件处于正常的运行状态，从而保证数据源的精准性。

第二，构建校园网使用设备及用户监测体系，做好用户登录认证体系，针对校园网用户或是终端所出现的数据异常情况做实时检测，以免校园网中出现不安全的用户，同时严格监管校园网内部使用情况，进一步健全网络安全管理、应急以及数据的备份等相关制度，以免高校信息化平台构建过程中出现管理制度不够健全的问题[5]。

3.4 合理规划流程，实现数据共享

目前，高校在进行信息化平台构建的过程中，需成立相应的领导小组和信息化部门，以便为信息化构建战略提供相应的保障。首先，主要由领导小组做相应的统计部署、统计规划、顶层设计等，以制定相对应的构建流程，从而为建设提供相应的保障；其次，由信息化部门积极落实各项信息化平台构建方案以及较为详细的步骤；最后，各个部门根据信息化构建方案的要求，规范化地分析及整理各个数据、师生信息以及档案等，以便为获取校园信息化数据及导入提供保障，快速解决各个信息化平台和系统之间的数据共享，从而实现数据信息统一。

4 结语

综上所述，该文从大数据定义及发展特点展开分析，进一步了解基于大数据背景下高校信息化建设工作中存在的缺陷，如信息化平台建设数据准确度不够、信息化平台系统不够集中、信息化系统安全系数偏低、信息化平台系统不够集中等，深入探究大数据视野下构建高校信息化平台的重要举措，主要包括：合理编排课程，促进平台建设、更新数据系统，确保数据精准、建设统一数据平台，优化配置资源等。经对该文进行阐述，重点凸显信息化平台构建在我国高校管理中所表现出的优势，这对于之后进一步推动大数据背景下高校信息化平台构建工作的持续开展具有重要的参考意义。

参考文献

[1] 李欣，陆虹，曹建清，等.基于信息化平台的高校科研项目协同管理模式探析[C]//2013年高校科技管理研究会学术年会论文集.2013.

[2] 杨剑钧.基于免疫系统论的高校内部审计信息化平台的构建[J].行政事业资产与财务，2015，24（31）：46，83-84.

篇9

一、商业银行内部审计体系转型的理论基础与国际经验

（一）基本定义

商业银行内部审计是指在董事会的领导下，以独立机构和专职人员为基础，以相关法规、制度为依据，运用专业化审计技术和规范化审计流程，针对银行内部控制有效性及风险治理状况所进行的客观的监督、评价和确认、咨询活动，是银行全面风险管理体系的重要组成部分。

商业银行内部审计体系是商业银行为保证内部审计活动顺利开展而提供的相关体制、机制、制度和各种工作要素的整体，包含内部审计的管理体制、工作职能、运行机制、工作标准、工作流程以及审计技术、人员保障等有机组成部分，涵盖了内部审计从管理、思路到执行、运作的各个方面。本文所指的商业银行内部审计体系转型，是商业银行为提高内部审计效能，所采取的一系列改革、创新、调整措施，是一项综合型的系统工程，对保障商业银行内部控制有效性、加强全面风险管理将产生重要影响。

（二）商业银行内部审计体系转型的理论基础

1.转型经济学在关注国家、社会和文明发展转型的同时，也强调微观经济主体在发展中要注重转型和改革。转型经济学是20世纪80年代末90年代初，适应前苏联和东欧各国经济转型需要而发展起来的经济学研究学科，虽然其研究对象主要为体制的转型、国家或社会的转型以及文明的转型，但作为一门综合性学科，其理论涉及经济转型过程中的各种具体经济问题，包括企业的转型与改革，并把企业转型的研究领域涵盖到企业产权改革、绩效改革、组织结构、激励机制等一系列重要问题。当前我国经济正经历着市场化、现代化和国际化的深刻转型。商业银行作为金融企业的一员，要在经济新常态和信息化潮流中生存和发展，同样需要推行自身的市场化、现代化和国际化转型，而一个适应银行新的发展战略和风险控制状况的内部审计体系，对保障商业银行转型目标的实现非常重要。因此，商业银行内部审计体系的主动转型，是商业银行深化改革，实现健康可持续发展的必然选择。

2.全面风险管理理论强调企业有效识别和管理风险应覆盖企业各项活动的全过程。2004年4月，美国执业会计协会下面的柯恩委员会颁布《全面风险管理框架》（ERM框架），提出企业要确定自身的风险偏好，并有效识别和管理可能影响其发展的潜在风险，保证既定战略目标的实现，而对风险的管理应包含从战略制定到各项活动的全过程①。ERM框架适用于各种类型的企业或机构的风险管理，是贯穿整个组织的持续性的过程，用以识别、评估并确定如何应对及报告影响组织实现目标的机遇和威胁。商业银行是经营风险的特殊企业，发展中面临战略风险、信用风险、市场风险、操作风险、国别风险、科技风险、声誉风险等诸多风险，且在社会深化转型的过程中，所面对的风险的复杂化和聚集化程度也大幅上升。商业银行实施内部审计体系转型，促进内部审计与转型发展战略相适应，有助于商业银行构实施有效的全面风险管理，保障战略目标的达成。

3.银行再造理论强调银行要对传统流程进行重新思考和设计，提升银行的整体的竞争力。20世纪90年代，美国管理学家迈克尔・哈默和詹姆斯・钱皮提出企业再造理论，认为企业应以一种再生的思想对自身进行审视以打破原有分工理论的束缚，推崇流程导向。1994年，保罗・阿伦的《银行再造――存活和兴旺的蓝图》一书，将企业流程再造理论引入银行业，认为银行流程再造是“围绕流程核心的再思考和再设计，目的在于实现成本、质量、反应速度等组织绩效方面的巨大改变②”。银行再造的核心是通过对银行传统流程系统的审视和重构，调整经营策略，改变银行绩效，提升银行的整体竞争力。我国商业银行要参与国际、国内金融业竞争，必须将西方银行再造成果与我国实际相结合，通过开展具有自身特色的银行再造，提升整体竞争力。在商业银行流程再造中，风险的表现形式也会发生新的变化，必然要求建立新的内部审计体系，来帮助商业银行实现有效的内部控制，这也是商业银行加强全面风险管理的必然选择。

（三）国外商业银行的内部审计经验

国外先进商业银行的内部审计普遍独立性强，重视审计方法和技术的完善，同时十分重视审计人T的培养和选拔。根据巴塞尔委员会对国外商业银行内部审计经验的调查总结，国际银行内部审计工作正在出现一些新的趋势③：以往对于财务审计工作及财务信息可靠性和完整性的评价职责逐渐转由注册会计师等银行外部审计师来履行，内部审计的作用则是为外部审计师财务报告审计工作提供支持；对法律和监管要求的遵循情况评价职责逐步转向由独立的法律和合规职能部门来履行；首席审计执行官的主要任务在于提高内部审计部门的质量和效率，包括提高审计师的专业性以便更好地跟踪那些被审计活动，强化内部模型的审计和评估，以及更加重视风险为本的审计，以提升内审部门的质量和效率。

国外先进商业银行的以下经验也很重要：

1.必须建立良好的公司治理结构，提升审计独立性。内部审计是公司治理的重要控制和监督力量，而公司治理则为内部审计提供了控制环境和制度基础。先进商业银行的董事会普遍高度重视内部审计工作，设立专门的审计委员会，通过垂直化管理的审计组织体系，实现内部审计机构与被查机构利益的完全分离。内部审计部门直接对董事会负责，确保独立的人、财、物等审计资源配置权。同时，可以参与到商业银行经营管理的各个方面，保证了内部审计工作的独立性。

2.必须调整内部审计导向，改进审计方法和技术。当前，国外先进商业银行的内部审计已经实现向风险导向型审计思路的转型，大多以内部控制评价为基础，针对重点业务或内部控制系统风险开展审计，在审计工作中注重推行风险管理理念，同时也通过有价值的建议，帮助银行提高价值创造。在审计手段上，非常重视电子化建设，通过运用现代化信息技术，提升审计工作的效率。

3.必须重视人员综合素质，打造专业化内部审计队伍。国外商业银行一般会通过强化内部审计人员的培训及后续教育等手段，保证内部审计人员具备专业胜任能力。随着银行业务复杂化程度的提高，全面风险管理的要求越来越高，商业银行应该保证内部审计人员具备宽泛的知识结构和丰富的经验，以保持风险识别的敏锐力。同时，也要想办法增强内部审计人员考核、激励制度的针对性，以维护审计队伍的工作积极性。

二、我国商业银行内部审计体系存在的问题与转型必要性

我国商业银行内部审计工作由最初的合规审计、舞弊审计发展到现在的风险审计、管理审计、信息化审计，经历了漫长的发展阶段④。但国内商业银行开始重视并设立独立的内部审计机构，是在1995年《审计法》颁布之后，时间并不长。2006年，银监会《银行业金融机构内部审计指引》出台，商业银行内部审计的专项法规才真正确立。随着银行公司治理机制的日益健全，内部审计在商业银行全面风险管理中的地位更加重要。当前，在我国经济深化转型的大背景下，各银行纷纷加快改革创新步伐，所面临的各类风险更加复杂，而内部审计体系在运转过程中，也暴露出越来越多的缺陷和问题，影响了风险的防范和控制。

（一）内部审计体制不健全，审计独立性和权威性缺乏

很多商业银行在向现代化商业银行转型的过程中，由于治理结构不合理，对内部审计的职能定位不清晰，内部审计体制不健全，审计独立性和权威性未能得到保障。一方面，部分商业银行管理层对内部审计工作的重要性缺乏正确认识，认为内部审计部门不直接参与利润和价值的创造，没有必要配备充足的审计资源，有的内审人员与被审计单位之间甚至存在利益依附关系，难以保证审计的独立性。另一方面，部分商业银行的内部审计体系还未完全实现董事会垂直、独立管理，缺乏相应的审计资源分配权限，无法获得被审计单位的有效配合，内部审计的权威性无从保障。

（二）内部审计职能履行不充分，审计考核机制不健全

由于我国商业银行内部审计起步较晚，发展进程缓慢，加之外部经济环境因素的影响，当前，仍有很大一部分商业银行内部审计还主要停留在数据真实性审计、合规性审计阶段，以履行监督检查职能为主，而对内部审计的咨询服务职能重视不够，c国际银行业当前盛行的风险导向审计理念差距明显。同时，我国大部分商业银行审计人员参照中后台人员进行考核和发放薪酬，普遍未建立独立的薪酬绩效机制，造成人员考核与日常审计工作脱节，影响了审计队伍的稳定和审计效能的发挥。

（三）内部审计制度体系不完善，审计标准流程不规范

很多商业银行内部审计制度不系统、不完善，未形成健的内部审计制度体系；在日常审计工作中，审计人员主要依赖经验总结来制定下一步审计方案，审计工作底稿不统一、问题词条不规范，未能形成规范化的审计工作流程和审计标准，审计工作的随意性较强。参差不齐的人员素质和审计具体操作中较大程度的随意性直接影响了审计工作的效率和质量。

（四）内部审计技术落后

随着信息化和大数据时代的来临，国内商业银行纷纷加强数据化信息技术的运用，加快建立贯穿各级机构、覆盖各个业务领域的数据库和管理信息系统，推动实现数据标准统一、信息系统整合，提升经营管理工作的信息化。但这些信息技术并没有深入、有效地运用到内部审计体系。很多商业银行的内部审计部门还没有建立独立的系统数据获取渠道，以实现对运行数据的快速收集和整理分析，还没有建立专门的审计模型和审计系统以实现对风险的准确揭示、预判和对其形成原理、发展趋势的分析，造成信息系统内的数据被大量闲置、浪费，影响了内部审计工作的质量与效率。

（五）内部审计人员力量薄弱

目前我国大多数商业银行内审人员的占比为1%左右，国外商业银行一般为5%，而中国人民银行则曾经发文，要求银行类金融机构内部审计人员达到员工总数2%⑤。同时，由于很多商业银行对内部审计工作不重视，在审计人员的选拔、培养方面没有严格要求，造成审计队伍所需要的复合型人才严重缺乏，员工知识结构单一，专业胜任能力弱，而培训机制的不健全，和独立考核、激励机制的缺失，让这一问题迟迟得不到解决，与银行发展需求形成较大差距。

（六）内部审计的质量控制与成果运用不足

很多商业银行内审部门仍采用传统的手工化审计工作方式，未建立专业化的内部审计计算机平台，在审计预警、审计管理和审计作业分析等时效性上存在明显滞后。审计管理工作没有相应的信息系统进行固化，在对审计资源的统筹配置上较混乱，难以实现对审计项目节奏的实时有效控制，同时，在审计结果、审计建议的跟踪督办等方面也不及时，不利于与被审计机构间加强沟通交流，影响了审计成果的运用，有可能消弱内部审计的价值增值作用。

商业银行的内部审计体系转型，既是在我国经济深化转型大背景下，银行应对整体经济市场化、现代化、国际化转型的客观需要，也是银行克服现有困难和不足，充分发挥内部审计作为银行第三道风险防线的重要作用，积极提升内部控制有效性，加强全面风险管理能力，推动银行再造工程的重要措施，对于提升银行综合竞争力有着非常重要的意义。

三、成都农商银行内部审计体系的转型实践

成都农商银行由原成都市农村信用合作联社改制而成，于2010年挂牌开业，2011年引入战略投资者，注册资本100亿元，2015年末资产规模达6400亿元。作为一家在西部特大中心城市成立的股份制商业银行，该行近年来发展迅速，资本规模和资产规模位居全国农商银行系统前列，以其为样本，研究我国商业银行特别是中小商业银行内部审计的转型问题，有较强的借鉴意义。从2012年以来，该行按照董事会的要求，加快内部审计体系转型步伐，在管理体制、组织架构、管理模式、审计职能、技术手段、考核激励等方面实施了一系列改革和调整，取得了明显的成效。

（一）确立转型目标――建立“集中化、垂直化、标准化、精细化、专业化、信息化”的现代内部审计体系

1.集中化、垂直化。是指依靠内部审计机构的集中、垂直管理对内部审计资源和工作加以统筹，通过规范化的内部审计体制机制实现内部审计资源的集中管理、充分整合，充分挖掘、有效运用内部审计潜力，提升审计效能。

2.标准化、精细化。是指通^构建标准化的内部审计制度体系，规范工作流程，明确审计人员的工作职责、作业标准和管理要求，加强对审计工作的全流程管理，实现各项管理要求的标准化、精细化。

3.专业化、信息化。是指依托银行开放、智能、互联的数据信息平台，通过信息系统和技术工具的使用，实现对银行经营管理信息的全方位获取、整合、应用和共享，提升审计发现能力，扩展审计覆盖范围，实现审计效率与质量的大幅提升。

（二）确定转型思路――以风险为导向的增值型审计

有了转型目标，如何确定转型思路便成为转型的关键。成都农商银行在深入研究国际内部审计的内涵变迁与发展趋势之后，决定推行以风险为导向的增值型审计，即将风险控制和增加价值作为评价内部审计转型成效的终极目标。

1.贯彻风险导向型审计理念。风险导向审计是审计人员以规避、控制和防范审计风险为出发点，对审计风险进行系统分析、研究，确定多样化的审计战略的一种审计思路。内审部门通过风险识别，帮助管理部门规避风险，采取正确的行动来防止高级管理层。该类审计是以对风险的系统分析为出发点，对企业风险管理和内部控制制度的完整性与有效性进行独立的评价⑥。它是较之财务审计和合规审计更为先进、科学和全面的风险审计。

2.实施增值型内部审计。商业银行的目标是价值最大化。内部审计作为商业银行内控管理工作的一部分，虽然不直接参与经营活动，但可以通过提出有价值的审计建议，帮助银行降低风险，规避资产损失，增加获利机会，从而帮助商业银行增加价值创造。增值型内部审计通过大力拓展高增值的审计业务，形成有价值的审计结论和建议，帮助组织增加价值，它以利润中心作为自身定位，既记录耗费的成本，又衡量和记录为组织增加的价值⑦。将增值型审计作为内部审计体系的转型方向，有利于提升内部审计价值，在帮助银行防风险的同时提高盈利水平。

（三）转型实践――持续深入的系统工程

根据确立的转型目标与基本思路，几年来，成都农商银行内部审计体系在转型过程中采取了一系列持续深入的工作举措。

1.组织开展内部审计垂直化改革，建立垂直化的组织体系和报告路径。历时半年，完成职能上收与人员分流，于2012年6月底全面完成内部审计垂直化管理体系建设。内部审计垂直化管理后，取消了郊县支行的稽核审计部，而在总行直属的稽核审计部下设直属室和片区审计中心，统一对总行职能部门和各分支机构开展审计活动，并定期、直接向董事会汇报工作。内部审计体系包括审计制度及流程建设、人事任免、薪酬福利、工作计划以及绩效考核等均由总行统一管理，凸显了内部审计工作的独立性。

2.通过实施确认咨询服务，强化审计监督服务职能。按照“以风险为导向的增值型审计”工作思路，大力拓展内部审计职能。通过经营情况审计，反映各机构和相关业务的经营状况及风险控制情况，为管理层加强管理、优化决策提供参考；配合机构建设需求，开展相关人员经济责任审计，为机构发展与人员任用提供支持；配合内控体系建设需要，开展各领域专项审计，着重从内部控制的健全性和有效性进行评价并提出建议，促使内部控制更加完善。这些审计不仅确认了问题，强化了监督，更提出了改进建议，经过良性沟通与合作，促进了被审计对象的价值创造。

3.通过开展绩效薪酬改革，建立现代化的内部审计机制。在转型的过程中，同步开展了内部审计绩效薪酬改革。一是根据银监对内部审计人员薪酬不低于全行平均薪酬水平的制度规定，将内部审计人员从后台部门人员的360度常规考核改为独立的考核机制，使做出实绩的审计人员薪酬水平得到提升。二是研究制定了审计人员绩效考核标准，从工作过程、质量、成果、执行力和纪律等多个维度对审计人员进行综合考评，同时完善审计人员激励、晋升、评估机制，提升了审计人员的工作积极性。

4.完善内部审计制度体系，梳理规范内部审计工作流程。按照“标准化、精细化”的管理要求，推动内部审计制度建设与流程规范。一是按审计管理制度、案件防控制度、责任追究制度三个维度完善制度体系，建立新的审计工作标准；二是梳理审计工作流程，制定《内部审计实务准则》，统一计划、立项、准备、实施、报告、终结、档案管理等流程规定；同时制定审计人员行为规范，强化对审计人员的行为约束；三是制定项目时限管理、整改跟踪、审计费用管理、员工绩效考核等规范性文件，强化审计效能管理；四是在现场审计中推行“三级复核制”、审计组长负责制等规程，完善了责任机制。

5.改善内部审计方法，提升内部审计技术。一是强化对高风险业务的审计力度，持续关注重点领域、重要业务、重点环节，形成对主观故意、弄虚作假等严重违规行为持续有力的监督效应。二是设立非现场审计室，通过非现场经营数据抽样采集、分析技术的应用，建立非现场审计分析模型，为现场审计提供信息参考，提高现场审计的效率。三是建立风险监测模型并定期对重要业务领域开展监测分析，就发现的风险点和疑点有针对性地开展实地调研及审计，挖掘揭示了大量借名贷款、搭桥贷款、多头授信、抵押物悬空、资产流失、与客户发生资金借贷等隐蔽性较强的问题，有效释放了潜在风险。四是重视对董事会的审计工作汇报，加强与高级管理层和被审计单位的审计沟通，推动问题整改和风控措施的落实，并实时开展后续审计工作。

6.加强审计人才选拔培养，提升审计队伍的整体素质。一是以垂直化建设为契机，在原有内部审计队伍中全面开展考试、考核和岗位竞聘工作，对人员进行优选与岗位调整。二是在行内、行外同步开展招聘工作，补充高素质的专业人才。三是持续抓好人员培训。推行“周培训-季度专题培训-年度集中培训”的递进式培训机制，提高员工审计能力。四是以项目质量控制为基础，通过审前培训、以老带新、审后总结等办法帮助员工积累审计经验。五是鼓励员工考取各种资格证书，通过专门的激励制度对员工自学行为进行奖励。

7.建设推广稽核审计及风险预警系统，搭建现代化的审计工作平台。成都农商银行内部审计部门垂直化管理后，即启动了稽核审计及风险预警系统建设工作，并于2014年推动该系统投产上线。该系统的上线，为内部审计工作搭建了一个具备大数据处理能力的集信息采集、数据处理、风险预警、作业控制和绩效考核等功能为一体的服务平台，大大提升了审计工作的专业化水平。该平台实现了对主要风险的持续监测，能够为现场审计高效挖掘风险信息提供技术支持。同时，该平台也是现代化的审计工作管理平台，通过建立项目管理功能菜单，实现审计作业的流程化管理，还能以图表方式展现全行主要经营管理指标，可以直观地为高级管理层提供动态经营信息。

8.健全审计管理体制机制，加强审计质量控制。一是加强审计管理体制机制建设。成立审计执委会，定期或不定期就重大事项集中审议；建立审计计划管理机制，按年、按月控制审计布局，促进审计资源的有效配置；坚持每周集中汇报项目进度，督导工作进程；建立重点项目督办机制，强化对项目质量的把控。二是重视对审计结果的运用。通过下发审计意见书、建议书，督促被审计对象全面掌握审计结果，彻底整改存在的问题；通过开展整改专题培训、收集责任人整改承诺书、制定整改进度跟踪表和典型性违规问题通报等方式，督促被审计对象务实有效地落实整改措施。良好的沟通、严格的整改，有利于巩固审计成果，确保实现控制风险、增加价值的目的。

四、商业银行内部审计转型经验及启示

总结成都农商银行的经验，商业银行实施内部审计体系转型要注意把握好以下关键环节和要素。

（一）构建权责明晰的内部审计体制

独立性与客观性是内部审计工作的灵魂。构建权责明晰的内部审计体制，以保障审计的独立性和客观性，是商业银行内部审计体系转型成功的基石。当前，商业银行内部审计体系普遍存在缺乏应有的权利和地位、报告路径不明确、职能范围不恰当等问题，必须通过管理体制的重构，确立内部审计的独立地位，通过对审计资源的垂直集中管理等办法，确保内部审计机构独立地行使职能。

（二）界定符合战略的内部审计范围

界定符合战略的内部审计范围是现代化内部审计职能作用得以有效发挥的前提。我国很多商业银行存在内部审计范围过窄的问题，缺乏对资产质量、风险责任、经济效益的持续关注，不能对内部控制状况等做出有效评价和建议，更未对包括政策法规、社会环境等在内的深层次问题进行研究，导致内部审计职能发挥不充分。商业银行内部审计体系在转型中，要厘清与合规管理等内控管理部门和会计师事务所等外部第三方监督者的职能边界，但更要围绕银行的转型发展战略，按照风险导向和价值增值目的，拓展职能范围，通过确认和咨询服务，提高内部审计工作的价值贡献。

（三）建立符合内部审计特点的薪酬绩效机制

建立完善的内部审计绩效考核及薪酬制度是提升内部审计工作效能，激发审计人员内在潜能的重要手段。当前，很多商业银行未建立独立的内部审计人员薪酬绩效制度，内审人员在银行中的地位不高、薪酬不具竞争力。商业银行内部审计体系在转型中，必须组织开展薪酬绩效机制改革，建立符合审计工作特点的人员绩效考核机制，来提高其工作效率和积极性。

（四）规范统一的内部审计标准及流程

建立规范、统一、明确的内部审计标准和流程，是建设现代化内部审计体系的关键。商业银行内部审计体系在转型中，必须不断完善内部审计制度体系，规范审计标准及流程，消除管理工作随意性较强的问题，加强专业化、标准化、规范化管理，以提升审计效率和质量。

（五）提升有助于风险识别的内部审计技术

提升内部审计技术，增强风险识别能力，是建设现代化内部审计体系的重要步骤。当前，很多商业银行内部审计体系存在对现代化信息手段的建设和应用严重滞后的问题，对风险的评估和监测难以脱离数据不足的制约，对审计结果的评估和审计资源的调配也缺乏科学的数据支撑，制约了审计资源的运用和风险问题的发现。商业银行内部审计体系在转型中，必须有现代化的内部审计数据监测及信息化工作平台为支撑，充分运用信息技术，提高审计资源配置效率，确保审计结果的准确性。

（六）培养专业胜任的内部审计人员

人力资源是审计组织最核心的资源。拥有专业胜任的内部审计人员是内部审计工作质量的有效保证，是建设现代化内部审计体系的关键所在。商业银行内部审计体系转型中的关键着力点，是提升风险发现的敏锐度与风险监控防范能力，而做到这一点必须重视审计人员的培养，建立专业的内部审计队伍。

（七）实施持续的内部审计质量控制

加强内部审计质量控制是有效发挥内部审计作用，提升审计效果的必要环节。当前，很多商业银行内部审计体系存在审计资源利用率不高，审计发现的问题查而不纠甚至屡查屡犯等问题，主要原因在于对审计工作质量特别是整改质量缺乏持续控制措施。商业银行内部审计体系在转型中，必须建立内部审计质量控制机制，强化对审计结果的运用，强化对后续整改工作的跟踪，以提升内部审计的价值贡献。

注释

①Casey，Christopher.Corporate valuation，capital structure and riskmanagement： AstochasticDCF approach.European Journal of Operational Research，December 1，2001，135（2）：311-325

②PaulH.Allen.ReengineeringtheBank.NewYork，Mcgraw-Hill， 1994.

③周志宇，徐华.《国际银行业内部审计的现状、趋势和启示》.《金融会计》。

④杨国芹.《商业银行内部审计研究》.华中科技大学硕士论文，2012年。

⑤郝成.《从国际比较看我国商业银行内部审计的差距与对策》，生产力研究，2008年。

⑥李冬会.《我国商业银行内部审计研究》.长春理工大学硕士论文，2005年12月。

⑦张洁.《我国农村商业银行内部审计研究》.首都经济贸易大学2008年硕士论文。

参考文献

[1]徐政旦，朱荣恩.现代内部审计实务.北京：中国审计出版社，1997.

[2]劳伦斯.B.索耶.现代内部审计实务.北京：中国商业出版社，1990.

[3]《银行业金融机构内部审计指引》，银监发〔2006〕51号.

[4]Basel committee on Banking supervision： Internal audit in banks and the supervisor’s relationship with auditors，August2001.

[5]周冰.基于中国实践的转型经济学理论构建.学术研究，2008年3月20日.

篇10

【Keywords】policy； audit； poverty alleviation； strategy

【中图分类号】F239.227 【文献标志码】A 【文章编号】1673-1069（2017）04-0057-02

1 引言

目前，我国正致力于社会主义小康社会的建设，针对一些贫困地区，国家加大了扶贫力度，实施了精准扶贫政策，坦白说精准扶贫工作是一项长期性、系统性的大工程，需要各个相关政府职能部门的通力协作，才能将扶贫这项工作做好。审计机关作为其中关键的一环，如何在新时期转变思路、创新方法、全力服务精准扶贫工作的开展，成为当前审计机关工作的重要内容之一。

2 开展精准扶贫政策跟踪审计的重点内容分析

2.1 认真贯彻基本方略

2015年12月15日，“十三五”脱贫攻坚工作有关情况的新闻会召开，会上扶贫办主任刘永福表示：脱贫攻坚的基本方略就是精准扶贫和精准脱贫。这项基本方略的实施，变革了现有的扶贫思路和方式，更为形象地来说，精准扶贫和精准脱贫就是将“输血”转变为“造血”，来实现贫困地区的自主脱贫。以往扶贫项目的重点放在了GDP的增长上，现在要转变为注重脱贫的成效，也就是说要将“扶持谁”、“谁来扶”、“怎么扶”的一系列问题解决好。前文我们提到了精准扶贫政策主要涵盖了“六个精准”和“五个一批”，其中六个精准包括对象精准、项目安排精准、资金使用精准、措施到户精准、因村派人精准、脱贫成效精准；五个一批包括发展生产脱贫一批、易地扶贫搬迁脱贫一批、生态补偿脱贫一批、发展教育脱贫一批、社会保障兜底一批。

2.2 精准扶贫、脱贫的工作方案

按照《重要政策措施分工方案》和《2016年工作要点》明确进度安排，不断压实责任、传导压力；深入推进“五个一批”，扎实开展十大扶贫行动，深化社会参与扶贫，实施好“直过民族”脱贫攻坚行动计划；瞄准革命老区、民族地区、边疆地区、四大集中连片特困地区最困难的地方、最贫困的群体、最迫切需要解决的问题，把解决深度贫困摆在优先位置，集中力量打攻坚战。还要建立扶贫项目资金整合和监管机制。抓紧出台贫困县统筹整合使用财政涉农资金的具体意见，把管好用好扶贫资金作为最重要的任务，集中整治和查处扶贫领域的职务犯罪，防止扶贫资金“跑冒滴漏”。

3 精准扶贫政策落实跟踪审计的必要性

3.1 是适应新常态的内在要求

当前和今后很长一段时期内我国经济发展的大趋势就是适应新常态、践行新理念，在此背景下，各个政府职能部门要积极贯彻落实中央一系列重大决策部署。审计部门作为重要的基层职能机构，要深入分析新常态，深化审计重点，强化跟踪审计精准扶贫等重大政策、方针的贯彻落实情况，将改善民生作为工作重点，提高精准扶贫的实效性[1]。在新常态的新要求下，要与时俱进，转变思路，创新工作方法和手段，助力精准扶贫政策的有效落实，帮助贫困地区的群众脱贫致富。

3.2 是实践“五大发展理念”的创新要求

“五大发展理念”包括创新、开放、绿色、共享、协调，这些是新常态下的重大理论和实践创新，我们在开展各项工作时就要根据这些理念，本着解决社会公平公正问题，遵循以人为本，践行发展“以人民为中心”开创共同富裕道路的新局面，这也是我国社会主义小康社会的本质要求。当前我国已进入了“十三五”时期，这也是全面建设小康社会的攻坚期和收关期，扶贫攻坚应取得阶段性成果。所以，全面落实精准扶贫政策跟踪审计工作，是践行“五大发展理念”的要求，同时也是贯彻统筹分配、坚持社会公平正义的内在要求。

3.3 是实现精准脱贫目标的保障

从顶层设计来看，精准扶贫是一项较为全面的政策，也被称为“点穴式”扶贫，其主要内容涵盖了“六个精准”、“五个一批”、“五个坚持”等多个层面。精准扶贫的关键点在于解决扶贫中的难题，突破以往扶贫的瓶颈，将扶贫具体落实到特定的困难地区、特定的困难群众中。审计机关的工作就是要及时跟进产业扶贫措施的落实情况、扶贫资金的使用情况、帮扶跟进机制的建设等各方面的内容，只有审计工作的针对性、实效性、时效性显著提升，才能保障整个扶贫工作成效，帮助真正贫困的群众实现脱贫致富。

4 强化精准扶贫政策跟踪审计的策略分析

4.1 完善精准扶贫审计新机制

在新形势下，精准扶贫政策的跟踪审计工作必须具备较高的时效性，这就需要完善审计新机制。具体来说，一是要对审计项目进行系统化的规划部署，对审计项目的思路、重点、方法进行细化，提高审计方案的针对性、可操作性，确保精准扶贫政策跟踪审计的有效落实；二是要提高审计整合工作的协调性，精准扶贫工作具有自身的特点，开展跟踪审计时要准保把握扶贫地区的优劣势，实现审计工作的多维度融合，针对审计工作中遇到的难点和重点实现，要做好及时沟通与协调工作，按照相关规定及时报告，强化跟踪审计监督效能；三是全面梳理、总结、分析审计工作的经验，以及相关的工作情况，结合新形势、新任务、新要求，转变跟踪审计理念及审计方式，切实提高审计工作的效率和质量。

4.2 加强高素质、高水平??计队伍的建设

精准扶贫政策跟踪审计的效率和质量离不开审计队伍的支持，审计人员应在总结经验的基础上，提高审计的职业化水平，引进新的技术方法，并不断提高自身的专业技能和工作能力，积极为审计工作的顺利开展贡献力量。具体来说，审计队伍的建设包括：一是建立健全审计干部选拔任用机制，以工作能力、学习能力为基本标准，构建能上能下的任用机制，确保干部能够正确引导审计工作。二是加强职业化建设，优化审计教育培训体系，建立审计专业技术资格制度，尤其是基层审计机关，需要进一步加快审计职业化建设。审计工作其实是一项涉及学科很广的工作，包括经济学、统计学、社会学等众多学科，这就要求审计人员必须具备一定的基础知识，才能做好审计工作，所以针对在职人员，必须强化教育培训工作，努力打造一支高素质、高水平的审计队伍。三是坚持依法文明审计，加强审计自律意识，严格遵守党的政治纪律、组织纪律、廉洁纪律、群众纪律、工作纪律和生活纪律，审慎客观，文明规范，取信于群众、社会、党和政府。四是建立基于大数据的审计管理系统，高度重视跟踪审计过程中关联数据的分析，有机整合数据分析与实地审计工作，以精准的数据分析为基础，制定相应的审计方案，有效提升审计水平。

4.3 加强精准扶贫的跟踪审计监管

篇11

一、我国审计信息化建设的必要性

1信息化是审计适应环境变化的需要

随着我国企业信息化建设的迅猛发展审计环境发生了很大变化。如：企业管理正由”实物流”价值流向信息流转变，很多企业实现了管理自动化和网络化．企业的财务管理和会计核算电算化正在普及。另外．电子商务的兴起，使得大量的经济业务通过网络进行实现了贸易无纸化。这些变化对审计的对象范围．线索以及审计程序造成很大影响．迫使审计利用现代信息技术手段，实现信息化。

2信息化是加入WTO后审计参与国际竞争的需要

加入WTO后，我国的审计行业，尤其是社会审计机构面临着激烈的竞争。审计市场竞争的关键主要在于两个方面：一是业务范围二是执业成本。目前，发达国家的会计师事务所在信息化方面已经发展到较高的水平．如AICPA和CtCA在1997年就将业务范围拓展到电子交易网站的审计．香港会计师公会也推出了“网誉认证”服务。与之相比．我国还有一定差距．如对信息系统的审计还鲜有触及。因此．要想在激烈的竞争中立于不败之地．就必须尽快实现审计信息化。

3信息化是审计自身发展变革的需要

从审计自身的发展来看，也涌动着变革的动力，主要表现在审计效率和审计风险的矛盾；中突上。传统手工审计条件下．审计人员为了提高工作效率常采用抽样审计方法．而抽样审计本身就具有一定的风险。审计信息化正是解决这一矛盾的有效途径．因为利用计算机不仅使抽样技术更科学．还能对某些重要项目进行详细审计，这就在大大提高审计效率的同时．也降低了审计风险。

二、我国审计信息化建设的现状

1审计信息化建设已经起步但仍处于较低层次

审计不实现信息化就无法适应经济发展的需要．这一观点已经引起我国政府和审计界的高度重视。2002年审计署启动了审计信息化项目金审工程的建设。两年多来．工程建设进展顺利．审计工作急需的被审计单位资料库、审计专家经验库、审计文献资料库三大数据库业已建成。可以预计，”金审工程”的建设必将使我国的审计工作发生历史性变革．必将极大地推进我国审计信息化的建设。但从目前来看．我国审计信息化的总体水平还比较低。在审计实践中．许多审计人员还是绕过计算机系统．采用手工方法进行审计．因而难以获取充分、适当的审计证据，审计质量难以保证。

2审计软件开发取得显著成果但还不够完善

我国的审计软件开发近年来取得了显著进步．特别是在审计法规检索系统．审计信息管理系统等方面取得了较大成功。基建工程预决算审计、财政预算执行审计．银行审计、海关审计等多个行业审计软件得到成功开发和推广应用。但是由于我国审计软件市场不够完善，审计软件的开发模型不像财务软件那样清晰，使得审计软件的开发难度远远大于财务软件众多的软件开发商热衷于通用性高、维护成本低的财务软件．而不轻易涉足审计软件。

3培养了一批审计人才，但整体上利用计算机审计的能力不足

随着审计信息化的多年准备和逐步发展，我国审计行业已经培养了一大批计算机审计人员．但总体上还达不到审计信息化的要求。虽然掌握了一定的计算机基础知识和审计软件的操作技能．但在根据实际工作需要编写相应的审计程序模块等较高层次的应用方面还很欠缺还离不开计算机专业人员的协助。

三、我国审计信息化建设的构想

我国的审计信息化建设应该遵循“先易后难、分步实施、逐步完善的原则．分三个层次来逐步推进。首先是要实现计算机辅助审计．其次是构建审计信息系统．第三层次是达到信息系统审计。

1计算机辅助审计

计算机辅助审计是指审计人员利用计算机设备和软件来辅助审计工作。计算机辅助审计可以使审计人员从冗长乏味的计算工作中解放出来更多地将注意力集中于那些需要专业判断的部分．从而提高审计工作效率。具体来说．计算机技术可以辅助审计人员完成以下工作：(1)数据采集与转换。利用计算机技术可以识别不同会计软件的数据格式并将其转化为通用的数据格式。(2)审计抽样。在手工条件下需要人工计算的总体容量．抽样容量及标准估计值等工作均由审计软件自动完成．因而方法更科学．结果更客观。(3)数据分析与计算。将计算机技术用于分析性审计程序．可以非常快捷、方便地得到分析结果。(4)项目管理。计算机软件可以辅助审计人员完成编制审计计划．记录审计日志、生成审计底稿、撰写审计报告、管理审计档案等工作。

2审计信息系统

审计信息系统(AIS)是在计算机辅助审计得到广泛应用的基础上．将多种审计模块集成到企业管理信息系统(MIS)中构成的一个子系统．它具有多种功能．既可以对企业的投资决策、生产经营和财务管理等进行全过程动态审计．也可用于进行经济责任审计，还可以充当企业经营管理．辅助决策的工具。

审计信息系统的构建是审计适应企业信息化的重要体现．其主要作用是：(1)将审计模块集成到企业MIS中．对经济活动进行实时监控．变事后审计为事中或事前审计。(2)对审计对象全过程监控．及时发现问题并及时纠正．变静态审计为动态审计。(3)变监督为服务．审计不再局限于监督．而是可以为企业管理提供更多的信息服务。(4)AIS与MIS的紧密结合，使审计突破了对单个对象审计的局限，实现由战术审计向战略审计转变。

3．信息系统审计

随着网络经济的出现，人们对处理和传递信息的计算机系统的安全、可靠和有效性更加关注。这就要求审计内容不能仅仅局限于系统处理的结果，而要延伸到系统本身，即对信息系统进行审计。我国目前在这方面还处于探索阶段，但是建立信息系统审计制度，开展信息系统审计已是大势所趋。

信息系统审计是运用一定的技术手段对计算机信息系统的安全性、可靠性和有效性进行审查与评价的活动，一般包括系统开发审计．系统运行审计和系统控制审计。主要作用是(1)评价系统处理流程的可靠性，提高系统的安全性。(2)验证系统信息的正确性、适当性和数据的完整性。(3)促进企业充分利用系统的各项资源提高系统运行效率。(4)提高系统的合法性，确保系统符合国家法律法规的规定。

四、我国审计信息化建设的几项措施

1提高对审计信息化的认识

要加强对审计信息化的宣传力度，提高对审计信息化重要性和必要性的认识，同时也应认识到我国开展计算机审计的时间还不长，无论是审计人员还是被审单位都有一个逐步适应的过程，不能盲从或过分依赖计算机，要有针对性、有重点地将计算机技术融入到审计中来。

2完善计算机审计规范

我国审计信息化的制度规范还不完善，尤其是多数财务软件在设计时不考虑审计的需求，导致审计软件与财务软件难以对接这对审计的效率和质量造成很大影响。因此，加强计算机审计的立法，进一步制定并完善计算机审计的制度规范显得尤为迫切。

3注重应用，在实践中提高

篇12

The Research on the Network Information Security Policy Based on Data Mining

Cao Zi-xi Lu Qi Xue Zhi

（Shanghai Jiao Tong University Shanghai 200240）

【 Abstract 】 With the continuous development of the internet technology， the continuous application of the Cloud Computing， the Big Data era has arrived. The Data Mining technology has brought the analysis capabilities of the data processing to a new level. In this article we studied the Data Mining and the technologies of the network information security. We proposed a network information security policy based on data mining， and improved the difficult issues of dealing with the large amount of data in network information security policy.

【 Keywords 】 dating mining； network information security；tactics

1 引言

近年来，网络技术的飞速发展，互联网上的数据以每天数千万条的速度迅速增长，数据的产生、传输、存储、访问和处理方式都发生了翻天覆地的变化。在这样的一个大背景下，数据挖掘孕育而生。另一方面，各种网络安全检测技术、设备和产品会生成大量的关于网络安全及流量的检测数据，单单依靠传统人工处理以及简单查询统计方法的数据处理模式已经无法适应新时代的需要了，如何从海量网络信息安全检测数据中挖掘发现有价值的信息，需要在网络信息安全策略中运用到数据挖掘的技术。

2 数据挖掘的相关概念

2.1 数据挖掘的定义

数据挖掘就是在一些没有规律、异构结构并且熟练庞大的数据中，通过相关的计算机方法及算法，提炼出具有不确定和未知性的信息的一种方法。数据挖掘的数据源应该是大量且真实的，所寻找出的信息应该是对我们有用的、具有价值的。理论上来说，数据量越大、越随机，数据挖掘所得到的结果就越准确、越具有代表性、越有价值，这就对数据挖掘的相关算法与技术的效率提出了很高的要求。数据挖掘是一门交叉学科，融合了数据库、人工智能、统计学、机器学习等多领域的理论与技术。数据库、人工智能与数理统计为数据挖掘的研究提供了三大技术支持。数据挖掘是将一些离散的、底层的、无序的大规模数据利用相关的技术手段提升到有序的、可接受的、有价值的知识，从而为决策提供帮助的一个过程。具体的说，数据挖掘是通过对大规模的海量数据进行分析，从中找出一些数据间的内在规律与联系。具体过程包括了数据准备、信息挖掘和结果表达三个阶段。

2.2 数据挖掘的主要任务

数据挖掘的主要任务包括有监督学习（Supervised Learning）、关联分析或频繁模式分析（Frequent Pattern Analysis）、聚类分析（Clustering Analysis）、异常检测（Anomaly Detection）等。

有监督学习包括两种形式：分类（Classification）和预测（Prediction），是指根据已知样本的大小、类型来预测新到样本。关联分析或频繁模式分析指的是找到某一事件发生时，另一事件也会发生的这样一种规律性的联系模式。聚类分析指的是将找出所有数据的一些内在规律及特征，并且按照这些特征将数据源划分成若干个数据簇。异常检测通过建立一个数据样本的范本，并将数据源中的数据与其进行比对分析，找出里面存在的异常样本。

3 网络信息安全的相关概念

3.1 网络信息安全的概念

网络信息安全问题的解决方案包括数据挖掘信息安全技术的应用和数据挖掘信息的安全的管理。管理是指根据事物发展的客观规律，通过综合运用人力资源和其他相关的资源，以便有效地实现组织目标的过程，是指在集体活动中，为了完成一定的任务，或者实现一个具体目标，针对特定的对象，遵循既定的原则，依照完善的程序，使用适当的方法，所进行的计划、组织、指挥、协调和控制的活动。比如，在网络安全控制方面，防火墙技术已被广泛应用，为了更好地发挥防火墙的安全保护作用，就必须考虑如何设置防火墙的安全策略，并对它的物理保护和访问控制进行设置。

3.2 网络信息安全的相关技术

3.2.1爬虫技术

Web 爬虫（Crawler）通常也被称为机器人（Robot）或者蜘蛛（Spider），它是一个能够自动下载网页的程序。互联网上有数以万计的网页，这些网页存在于分布在全球各地的各个服务器上。用户可以通过网页链接进行各个网页直接的切换和浏览，而爬虫正是模仿人的行为，将多个站点或者网页下载或存取，然后交给数据处理模块。

3.2.2结构化数据抽取

Web信息收取指的是从一个网页中分析目标信息。通常包括两个问题，第一个是从自然语言文本中抽取信息，第二个就是从网页的结构化数据中抽取信息。我们称抽取这种数据的程序为包装器（Wrapper），包装器有三种方法，分别是手工方法、包装器归纳、自动抽取。

3.2.3规则引擎技术

一旦数据获取了，我们就要对其进行处理和分析。常用的基于 Python 的规则引擎有几种。PyKE 是一个基于知识的专家系统，采用类似于 Prolog 的语言规范。Prolog 是一种逻辑编程语言，广泛应用于人工智能领域。Pychinko 是一个可以处理语义网的规则引擎，它可以用 RDF 来定义。Intellect 是一个基于领域描述语言（Domain Specific Language，DSL）的规则引擎，可以定义一些规则表达式，来监测网络数据。规则引擎指的是一个创建、存储和管理规则，然后执行规则并推断出其它事实的应用程序。其中的规则主要是指企业或商务业务逻辑、法律条款等。在规则引擎发展的过程中，Rete 算法和 Prolog 语言是两个重要的理论分支，多数规则引擎都是基于以上二者扩展而来的。在工业活动铸造中，发展时间较长、应用广泛的两个体系是 Clips 体系和 Prolog 体系。

4 基于数据挖掘的网络信息安全策略

4.1 安全的网络环境

安全的网络环境包括系统的安全性、防病毒和网络入侵检测、审计分析、网络备份和灾难的恢复等。具体措施如下：隔离和访问控制技术，包括物理和逻辑的隔离，可信与不可信网络的隔离，只允许有授权的用户访问网络资源；采用反病毒技术，病毒已经严重威胁到了网络的安全，它的威胁和破坏性是很难用数字估量的，建立病毒预警、病毒防护和应急机制，就显得尤其必要；网络入侵检测技术会及时对非法入侵者及恶意破坏者建立预警机制，并定期对网络系统进行安全性分析，发现并修正漏洞；分析审计，记录用户使用过程中的计算机网络系统，它不仅能够确定是谁访问了系统，还能记录系统的使用状态，确定是否有网络攻击，审计数据挖掘信息是非常重要的；网络备份和灾难恢复可以确保在最短的时间内使受到破坏的系统恢复可用。

4.2 保证数据挖掘信息安全的策略

安全的数据挖掘信息指数据挖掘信息的存储安全、传输安全和使用安全。数据挖掘信息的物理完整性，逻辑完整性和保密性组成了数据挖掘信息的存储安全；并要通过数据传输加密技术、数据完整性技术和防抵赖性技术来保证数据挖掘信息传输的安全；数据挖掘信息的使用安全是指，为防止非授权主体擅自使用资源，必须对网络中的主体进行验证。

4.3 基于数据挖掘的网络安全数据分析策略

4.3.1关联性分析

关联分析模型的含义是通过对攻击行为要素的归并和组合，结合数据挖掘相关技术，体现宏观网络上最热门的攻击行为态势。一次攻击行为中，（源地址、目的地址、攻击类型）三要素体现了攻击的本质，三要素任意指定和组合，都反应了有意义的网络攻击态势。

4.3.2 事件预测机制

事件预测机制是通过对某一事件的发展趋势进行跟踪观测，运用数据挖掘聚类算法，判断其是否会成为大规模网络事件的模型。对于大规模的网络事件，其最具代表性的特点并不是事件发生的次数，而是其扩散趋势。例如连续观测到涉及同一类木马病毒事件的IP地址数量急剧上升，可能就是一次木马网络攻击事件。

4.3.3 可控数量预测模型

可控数量预测模型是通过观察事件中受控主机状态增长数量，对事件的感染能力做出判断。受控主机状态增长指的是之前未检测到发出某类攻击的主机，通过检测被发现后的状态变化增长。例如对于某种病毒，若以前未检测到主机X受到过感染，但是在观测周期内发现了主机X已经被感染了病毒，那么对于该病毒而言，主机X就是其受控主机增长状态。

4.3.4分析处理模型

分析处理模型的作用在于对运营商的事件处理反馈进行分析，判断其对被控主机的处理能力。该模型从各运营商的被控主机、已处理主机、未处理主机以及处理效率等各方面进行综合评估，由此来分析判断运营商对其辖区内的被控主机处理能力。

4.3.5网络安全数据分析模型

网络安全数据分析模型用于观测网络特征事件的数量，判断是否存在异常。分为学习阶段和实时检测阶段两个阶段运行。学习阶段可以建立事件的判断标准，等学习阶段满足特定条件后便进入实时检测阶段。

学习阶段，先由用户给定各类安全事件的定义，统计学习阶段事件内每个时间间隔中安全事件的数量。然后以小时计数，统计单位时间内安全事件的平均数和方差，记平均数为x，方差为？滓。

实时检测阶段首次按统计当前时间间隔内各类安全事件的数量xi，再判断各安全事件数量是否异常，

xi-x

？滓0？艽xi-x

2σ0？艽xi-x

xi-x？艹3？滓0 重度异常的安全事件数量。

其中的？滓0为判断标准，在模型建立时进行配置，可以根据不同情况，重新调整该参数。最后将各类安全事件数量异常的最高值，作为当前时间间隔的安全事件数量指标值。

5 结束语

当今社会已经进入云计算和大数据时代，计算机网络的应用已经深入到人们生活和生产的各个领域，但随着计算机信息的价值和重要性越来越高，不法分子入侵网络的手段也不断地翻新，使得传统的网络安全防御技术难以应对。将数据挖掘技术应用于网络信息安全策略中，通过聚类挖掘等方法，能够发现一些潜在的威胁与漏洞，更使得该技术具有了良好的发展前景。

参考文献

[1] 朱玉全，杨鹤标，孙蕾.数据挖掘技术[M].南京：东南大学出版社，2006.11.

[2] Han J.， Kamber M.， 范明（译）.数据挖掘： 概念与技术 [M].北京： 机械工业出版社，2001.

[3] 中华人民共和国科学技术部火炬中心“推进我国软件企业工509000质量体系认证的研究”课题组.软件企业工509000质量体系的建立和认证.清华大学出版社，2011.

[4] 刘占全.网络管理与防火墙技术.人民邮电出版社，2010.

[5] 樊成丰、林东.网络数据挖掘信息安全&PGP加密.清华大学出版社，2010.

[6] 斯帝芬P罗宾斯.管理学.中国人民大学出版社，2010.

[7] 张健.防毒杀毒一防杀计算机病毒自学教程.电子工业出版社，2010.