中图分类号:TP309文献标识码:A文章编号:1009-3044(2008)24-1150-02
The Application of Callback Mechanism in the Security System Log
LI Jian-hui1, DENG Zhao-hui2
(1.Yueyang Radio and TV University,Yueyang 414000,China;2.Chenzhou Vocational Technical College,Chenzhou 423000,China)
Abstract: Inside a complete information system, the diary system is an extremely important function constituent. Under it may record all behaviors which the system produces, and defers to some way to preserve. We may use the information which the diary system records for the system to carry on misprinting, the optimized system performance. In the security domain, the diary system status is more important, it is one of safe audit aspect most main tools. This article introduced adjusts callback utilization in the diary system.
Key words: systems log;call-back;lax-coupling
系统的日志记录提供了对系统活动的详细审计,这些日志用于评估、审查系统的运行环境和各种操作。对于一般情况,日志记录包括记录用户登录时间、登录地点、操作内容等项目,在一个完整的安全审计系统里面,日志系统是一个非常重要的功能组成部分。
1 问题地提出
通常,借助于面向对象的分析、设计和实现技术,开发者可以将用户的需求转换为软件系统中的模块,从而很自然地完成从需求到软件的转换。但是,在软件系统中,往往有很多模块,或者很多类共享某个行为,或者是某个行为存在于软件的各个模块中,这个行为可以看作是“横向”存在于软件之中,它所关注的是软件的各个部分的一些共有的行为,而且,这种行为在很多情况下不属于业务逻辑的一部分(如图1),系统日志的记录就属于这种行为。这种操作并不是业务逻辑调用的必须部分,但是,开发者却往往不得不在代码中显式进行调用,并承担由此带来的后果(例如,当日志记录的接口发生变化时,必须对调用代码进行修改)。这种问题,使用传统的面向对象的方法是很难解决的。本文就讨论在Delphi中如何将这些“横切面”与业务逻辑代码相分离,从而得到松耦合软件结构以及更好的性能、稳定性等方面的好处。
图1 业务逻辑示意图
2 分析问题
对于日志系统,为了得到好的程序结构,通常使用面向对象的方法,将系统日志过程封装在一个类中,这个类包含了一个系统日志的代码,例如:
TLog=class//日志类
procedure exepre(Sender: TObject);//执行业务逻辑前的系统日志
procedure exeback(Sender: TObject);//执行业务逻辑后的系统日志end;
TBusiness =class(TLog)//业务逻辑类
procedure Business (Sender: TObject);//业务逻辑
end;
……//处理业务逻辑
exeback(Sender);//处理业务逻辑后记录系统日志
end;
procedure TForm1.Button1Click(Sender: TObject);
begin
mybusiness:= TBusiness.Create();
mybusiness. Business (Memo1);//调用业务逻辑
end;
procedure TLog.exepre(Sender: TObject);
begin
TMemo(Sender).Lines. Add('业务逻辑开始')
end;
procedure TLog.exeback(Sender: TObject);
begin
TMemo(Sender).Lines. Add('业务逻辑结束')
end;
end.
通常情况下,实现日志系统的最直接的方法:创建一个类,将日志功能放在其中,并让所有需要日志功能的类继承这个类。这样的方法有如下问题:
1) 如果这个需求是后期提出的,需要修改的地方就会分散在多达数十个分散的文件中。巨大的修改量,无疑会增加出错的几率,并且加大系统维护的难度。
2) 代码混乱:软件系统中的模块可能要同时兼顾几个方面的需要。举例来说,开发者经常要同时考虑业务逻辑和日志问题,兼顾各方面的需要会导致两种实现元素同时出现,从而引起代码混乱。
3) 紧耦合:使用这种方法,我们必须在业务逻辑代码必须继承自TLog类,这就造成了业务逻辑代码同TLog类的紧耦合,这意味着,当TLog发生变化时,例如,当系统进化需要对exepre和exeback的方法进行改动时,可能会影响到所有引用代码。
3 解决方案
为了解决上述问题,考虑引入Delphi中的回调机制[1]。回调机制的基本思想就是调用者在初始化一个对象(这里的对象是泛指,包括OOP中的对象、全局函数等)时,将一些参数传递给对象,同时将一个调用者可以访问的函数地址传递给该对象。这个函数就是调用者和被调用者之间的一种通知约定,当约定的事件发生时,被调用者(一般会包含一个工作线程)就会按照回调函数地址调用该函数。如下是回调函数的一个简单实例:
1) 回调函数类型定义:
TCalcFunc=function (a:integer;b:integer):integer;
2) 按照回调函数的格式自定义函数的实现,如
function Add(a:integer;b:integer):integer
begin
result:=a+b;
end;
function Sub(a:integer;b:integer):integer
begin
result:=a-b;
end;
3) 回调的使用
function Calc(mycalc:TcalcFunc;a:integer;b:integer):integer
begin
mycalc(a,b);……………………………..③
end;
4) 下面,我们就可以在我们的程序里按照需要调用这两个函数了
c:=calc(@add,a,b);//c=a+b…………………①
c:=calc(@sub,a,b);//c=a-b………………….②
通过上面的实例我们可以看出:程序中在①②处分别两次调用了calc()函数,第一次采用add()函数的地址和两个数作为参数,第二次采用sub()函数的地址和两个数作为参数。相当于通过调用一个函数calc(),传递了不同的函数地址参数,得到了不同函数的调用。
以上是回调函数的的基本思想,如果将系统日志操作语句放在③处的上面和下面,这样在不改动业务逻辑add()、sub()函数的基础上增加了系统日志。下面将本文第一个例子采用回调机制重新改写,结果如下。
为了实现松散耦合结构,利用两个类分别实现日志功能和业务逻辑。
type
THDProcedure = procedure(Sender: TObject) of object;
TLog=class//日志类
procedure Mylog(mypro:THDProcedure;Sender: TObject);//处理系统日志
end;
TBusiness=class //业务逻辑类
…….. //处理业务逻辑
End;
procedure TForm1.FormCreate(Sender: TObject);
begin
rz:=TLog.Create();
dz:=TBusiness.Create();
end;
end.(下转第1154页)
(上接第1151页)
以上日志类和业务逻辑类的定义中,需要说明的是:
1) 回调函数类型定义:THDProcedure = procedure(Sender: TObject) of object,这个定义中的参数必须与业务逻辑类中的处理业务逻辑方法的参数一致。
2) 因为定义的回调函数不是一个普通的函数,它是业务逻辑类对象的方法,所以of object关键字是表示这个方法属于对象方法(不是类方法),也就是说这个函数类型的参数列表中将包括隐含的self参数(其中参数为对象方法中要使用的对象指针)。
3) 业务逻辑类中的处理业务逻辑方法必须声明为Published[2],否则就会发生错误,这是为什么呢?因为对象方法的地址不能简单的通过“@”符号得到,必须使用TObject.MethodAddress方法,MethodAddress 使用RTTI通过对象方法名获取一个对象方法的地址,但MethodAddress方法只能取出Published型的方法,如果没有声明为Published,则MethodAddress(对象方法名)会返回空,导致错误。
4) Routine变量是方法指针,它实际上是一对指针:第一个存储方法的地址,第二个存储方法所属的对象的引用。
通过利用回调机制的重新改写,系统主要由三个大模块组成:日志模块(Tlog类)、业务逻辑模块(Tbusiness类)和组合模块(TForm1类)。那么系统的开发包括三个清晰的开发步骤:
第一步:功能分解:本步骤中,把核心模块级和系统模块级的功能分离开来,就上述的例子来说明,即可以分解出两个功能模块:核心级的业务逻辑功能模块、系统级的日志功能模块。
第二步:功能实现:各自独立的实现这些功能模块,仍然沿用上面的例子,即实现业务逻辑处理单元和日志单元。
第三步:功能的重新组合:本步骤中,通过创建一个模块单元,一方面来指定重组的规则,另一方面则使用这些信息来构建最终系统。以上述例子说明,即指定哪些操作需要记录。
4 结论
总而言之,回调机制不仅可帮助我们解决传统方法对系统日志操作中出现的代码后期维护、代码混乱、紧耦合等问题,它还有更多的优势:
1) 系统容易扩展:由于日志功能模块和业务逻辑功能模块根本不知道彼此的存在,所以很容易通过建立新的功能模块加入新的功能,使系统易于扩展。
2) 更好的代码重用性:把每个功能实现为独立的模块,模块之间是松散耦合的。举例来说,我们可以用另外一个独立的日志写入器功能来替换当前的模块,用于把日志写入数据库,以满足不同的日志写入要求。松散藕合的实现通常意味着更好的代码重用性。
回调机制不仅仅可以在系统日志中发挥重要作用,而且它还可以运用在系统安全、模式匹配的性能分析[3-4]、验证等方面。
参考文献:
[1] Steve Teixeira,Xavier Pacheco.Delphi 5开发人员指南[M].北京:机械工业出版社,2001.
1引言
随着网络与信息系统的广泛使用,网络与信息系统安全问题逐渐成为人们关注的焦点。
网与因特网之间一般采取了物理隔离的安全措施,在一定程度上保证了内部网络的安全性。然而,网络安全管理人员仍然会对所管理网络的安全状况感到担忧,因为整个网络安全的薄弱环节往往出现在终端用户。网络安全存在着“木桶”效应,单个用户计算机的安全性不足时刻威胁着整个网络的安全[1]。如何加强对终端用户计算机的安全管理成为一个急待解决的问题。
本文从系统的、整体的、动态的角度,参照国家对安全审计产品的技术要求和对部分主机审计软件的了解,结合实际的信息安全管理需求,讨论主机审计系统的设计,达到对终端用户的有效管理和控制。
2安全审计概念。
计算机网络信息系统中信息的机密性、完整性、可控性、可用性和不可否认性,简称“五性”,安全审计是这“五性”的重要保障之一[2]。
凡是对于网络信息系统的薄弱环节进行测试、评估和分析,以找到极佳途径在最大限度保障安全的基础上使得业务正常运行的一切行为和手段,都可以叫做安全审计[3]。
传统的安全审计多为“日志记录”,注重事后的审计,强调审计的威慑作用和安全事件的可核查性。随着国家信息安全政策的改变,美国首先在信息保障技术框架(IATF)中提出在信息基础设置中进行所谓“深层防御策略(Defense2in2DepthStrategy)”,对安全审计系统提出了参与主动保护和主动响应的要求[4]。这就是现代网络安全审计的雏形,突破了以往“日志记录”
等浅层次的安全审计概念,是全方位、分布式、多层次的强审计概念,符合信息保障技术框架提出的保护、检测、反应和恢复(PDRR)动态过程的要求,在提高审计广度和深度的基础上,做到对信息的主动保护和主动响应。
3主机审计系统设计。
安全审计从技术上分为网络审计、数据库审计、主机审计、应用审计和综合审计。主机审计就是获取、记录被审计主机的状态信息和敏感操作,并从已有的主机系统审计记录中提取信息,依据审计规则分析判断是否有违规行为。
一般网络系统的主机审计多采用传统的审计,系统的主机审计应采用现代综合审计,做到对信息的主动保护和主动响应。因此,网络的主机审计在设计时就应该全方位进行考虑。
3.1体系架构。
主机审计系统由控制中心、受控端、管理端等三部分组成。管理端和控制中心间为B/S架构,管理端通过浏览器访问控制中心。对于管理端,其操作系统应不限于Windows,浏览器也不是只有IE。管理端地位重要,应有一定保护措施,同时管理端和控制中心的通讯应有安全保障,可考虑隔离措施和SHTTP协议。
主机审计能够分不同的角色来使用,至少划分安全策略管理员、审计管理员、系统管理员。
安全策略管理员按照制定的监控审计策略进行实施;审计管理员负责定期审计收集的信息,根据策略判断用户行为(包括三个管理员的行为)是否违规,出审计报告;系统管理员负责分配安全策略管理员和审计管理员的权限。三员的任何操作系统有相应记录,对系统的操作互相配合,同时互相监督,既方便管理,又保证整个监控体系和系统本身的安全。控制中心是审计系统的核心,所有信息都保存在控制中心。因此,控制中心的操作系统和数据库最好是国内自己研发的。控制中心的存储空间到一定限额时报警,提醒管理员及时备份并删除信息,保证审计系统能够采集新的信息。超级秘书网
3.2安全策略管理。
审计是客观评价个人,组织、制度、程序、项目或产品。审计执行是以确定有效性和可靠性的信息,还提供了一个可内控的评估系统。审计的目标是表达人、组织、系统等的评估意见,审计人员在测试环境中进行评估工作。审计必须出示合理并基本无误的报表,通常是利用统计抽样来完成。审计也是用来考察和防止虚假数据及欺骗行为,检查、考证目标的完整性、准确性,以及检查目标是否符合既定的标准、尺度和其它审计准则。实现审计的信息化,有利于管理层迅速准确的做出决定,对于政企业发展、社会经济的进步都具有重要作用。目前,我国的审计工作尚存在性质认定模糊、工作范围过于狭窄等问题,有待进一步加强和改进。
审计的基础工作是内部审计,内审是审计监督体系中不可或缺的重要组成部分,是全面经济管理必不可少的手段,是加强任何机构内部管理的必要,推动经济管理向科学化方向发展的重要环节也是审计。因此说审计部门是其他监督部门不能代替的,促进党风廉政建设、加强对党政领导干部及管理人员的监督都可以通过审计来完成。审计应用与高新技术机构中,在防范风险中发挥着重要作用,也有助于领导层做出正确决策。
一、审计工作的现状及存在的问题
随着我国经济迅猛发展,审计监督力度不断增强,审计范围也不断扩大。当前,审计方式已由财政财务审计向效益审计发展,由账项基础审计向制度基础审计、风险基础审计发展,由事后审计向事中、事前审计发展。审计管理上建立审计质量控制体系,要求审计机关把审计管理工作前移,把质量控制体系贯穿与审计工作中。在此趋势下,传统的审计方法暴露出其效率低、审计范围小等劣势,使得完成审计任务,达到审计目标越发缺乏及时性。
(一)内部审计性质认定较为模糊。内部审计是市场经济条件下,基于加强经营管理的内在需要,也是内部审计赖以存在的客观基础。但是,现代内部审计的产生却是一个行政命令产物,强调外向性服务。这种审计模式使人们对内部审计在性质认定上产生模糊,阻碍了内部审计的发展。内部审计很难融入经营管理中,审计工作很难正常开展,很难履行监督评价职能和开展保证咨询活动,因此就不能充分发挥其应有的内向性服务的作用。
(二)内部审计工作范围过于狭窄。内部审计的目的在于为组织增加价值并提高组织的运作效率,其职能是监督和服务。但是,我国内部审计工作的重心局限在财务收支的真实性及合规性审计。长久以来内部审计突出了监督职能,而忽视了服务职能。内部审计认识水平、思想观念的束缚以及管理体制等诸多因素,影响和阻碍着内审作用的有效发挥。原因有会计人员知识水平、业务素质不高,也有不重视法律、法规的因素,还有监管不力、查处不严的原因。目前内部审计尚处在查错阶段,停留在调账、纠正错误上,还不能多角度、深层次分析问题,没有较国际先进的审计理念,我国内部审计的作用尚待开发。审计人员的计算机知识匮乏,不适应电算化、信息化的迅速发展。目前多数审计人员硬件知识掌握不熟练,软件知识了解也不足,因此不能有效地评估信息系统的安全性、效益性。由于计算机审计软件开发标准不同,功能也不完整,因此全面推广计算机辅助审计就有一定难度,导致审计人员的知识和审计手段滞后于信息化的发展。
二、信息化审计体系的健全
当前国家审计信息化发展的趋势是建立审计信息资源的标准化、共享化、公开化,逐步达到向现代审计方式的转变。这一趋势是随着当前科学发展、和谐社会的推进,国家确立的公共财政建设、公共服务的实施、公共产品的提供应运而生的,三个“公共”的主旨是:国家财政资金的使用更注重民生;使用重点更注重服务;使用效益更注重民意。
信息安全审计是任何机构内控、信息系统治理、安全风险控制等不可或缺的关键手段。收集并评估证据以决定一个计算机系统是否有效地做到保护资产、维护数据完整、完成目标,同时能更经济的使用资源。信息安全审计与信息安全管理密切相关,信息安全审计的主要依据是出于不同的角度提出的控制体系的信息安全管理相关的标准。这些控制体系下的信息化审计可以有效地控制信息安全,从而达到安全审计的目的,提高信息系统的安全性。由此,国际组织也制定了相关文件规范填补信息系统审计方面的某些空白。例如《信息安全管理业务规范》通过了国际标准化组织ISO的认可,正式成为国际标准。我国法律也针对信息安全审计制定出了《中华人民共和国审计法》、《国务院办公厅关利用计算机信息系统开展审计工作有关的通知》等文件,基本规范了内部审计机制,健全了内部审计机构;强调机构应加强内审工作,机构内部要形成有权就有责、用权受监督的最佳氛围;审计委员会直接对领导班子负责,其成员需具有相应的独立性,委员会成员具良好的职业操守和能力,内审人员应当具备内审人员从业资格,其工作范围不应受到人为限制。内部审计机构对审计过程中发现的重大问题,视具体情况,可以直接向审计委员会或者领导层报告。 转贴于 三、主机系统安全审计
信息技术审计,或信息系统审计,是一个信息技术基础设施控制范围内的检查。信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面做出判断的过程。
以技术划分,信息化安全审计主要分为主机审计、网络审计、应用审计、数据库审计,综合审计。简单的说获取、记录被审计主机的状态信息和敏感操作就是主机审计,主机审计可以从已有的系统审计记录中提取相关信息,并以审计规则为标准来分析判断被审计主机是否存在违规行为。总之,为了在最大限度保障安全的基础上找到最佳途径使得业务正常工作的一切行为及手段,而对计算机信息系统的薄弱环节进行检测、评估及分析,都可称作安全审计。
主机安全审计系统中事件产生器、分析器和响应单元已经分别以智能审计主机、系统中心、管理与报警处置控制台来替代。实现主机安全系统的审计包括系统安全审计、主机应用安全审计及用户行为审计。智能审计替代主机安装在网络计算机用户上,并按照设计思路监视用户操作行为,同时智能分析事件安全。从面向防护的对象可将主机安全审计系统分为系统安全审计、主机应用安全审计、用户行为审计、移动数据防护审计等方面。
四、待解决的若干问题
计算机与信息系统广泛使用,如何加强对终端用户计算机的安全管理成为一个急需解决的问题。这就需要建立一个信息安全体系,也就是建立安全策略体系、安全管理体系和安全技术体系。
保护网络设备、设施、介质,对操作系统、数据库及服务系统进行漏洞修补和安全加固,对服务器建立严格审核。在安全管理上完善人员管理、资产管理、站点维护管理、灾难管理、应急响应、安全服务、人才管理,形成一套比较完备的信息系统安全管理保障体系。
防火墙是保证网络安全的重要屏障,也是降低网络安全风险的重要因素。VPN可以通过一个公用网络建立一个临时的、安垒的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。借助专业的防DDos系统,可以有效的阻止恶意攻击。信息系统的安全需求是全方位的、系统的、整体的,需要从技术、管理等方面进行全面的安全设计和建设,有效提高信息系统的防护、检侧、响应、恢复能力,以抵御不断出现的安全威胁与风险,保证系统长期稳定可靠的运行。严格的安全管理制度,明确的安全职责划分,合理的人员角色定义,都可以在很大程度上减少网络的安全隐患。
从战略高度充分认识信息安全的重要性和紧迫性。健全安全管理组织体系,明确安全管理的相关组织、机构和职责,建立集中统一、分工协作、各司其职的安全管理责任机制。为了确保突发重大安全事件时,能得到及时的响应和支援,信息系统必须建立和逐步完善应急响应支援体系,确保整个信息系统的安全稳定运行。
参考文献:
一、引言
金融安全是国家经济安全的基础。政府审计是国家治理的重要工具,维护国家安全是政府审计工作的最高目标,政府审计在金融审计中具有不可替代的作用。“要进一步增强忧患意识和责任意识,从更高层面、更广的范围,密切关注财政、金融、民生、国有资产、能源和资源环境等方面存在的薄弱环节和潜在风险,及时提出对策性建议,防范苗头性问题演变成趋势性问题、局部性问题演变为全局性问题,切实维护国家经济安全(刘家义,2008)。”
国家安全问题伴随着国家政权的建立而产生,在第三次科技革命和全球化经济浪潮的推动下,国家经济安全问题日益突出,并超越传统的军事安全和政治安全。国家经济安全是指在经济全球化发展条件下,一国在其经济发展过程中具备抵御国内外各种干扰、威胁、侵袭的能力,从而保证经济不受侵害,并使国民经济保持快速健康发展的一种态势(王元龙,2003)。金融在现代市场经济中处于核心地位,金融系统产生的问题很可能会迅速波及到实体经济,成为整个经济的问题;另一方面,金融全球化的发展也使得世界局部的金融问题迅速转化成为全球性的金融问题。因此金融领域的安全成为国家经济安全的首要关口。
金融审计是政府审计作用于金融领域的具体体现,金融审计的监督作用是国家宏观经济正常运行的基本保障,其对信贷资产质量的监控是防范和化解金融风险的有力保障,对违规违纪问题的防范与纠正也是金融审计维护金融秩序的基本需要。
二、影响国家经济安全的因素
影响我国国家经济安全的因素可以分为国际和国内两方面。国际因素方面,主要表现为自2008年金融危机以来,世界主要发达经济体陷入衰退,新兴经济体和发展中国家经济增速放缓;全球贸易增速下滑,贸易保护主义开始抬头,大宗商品价格高位波动,国际金融市场动荡不已;经济问题与社会问题的联动关系进一步加强,各国经济复苏和政策运用的复杂性加大;在未来一段时期内,欧洲债务危机能否有效控制并逐步缓解,发达国家就业率能否提升,主要发达经济体和新兴经济体面临政府选举……全球经济在复苏进程中的不稳定和不确定性上升。这些都对我国的金融运作和金融形势产生影响,处理不好就会影响到金融的安全。
国内方面相关的影响因素主要有:第一,宏观经济运行呈下行趋势,我国经济发展处于转型时期,发展中不平衡、不协调、不持续的问题依然比较突出。经过三十多年的高速增长后,中国经济进入了高速增长的后期,国际经济态势、国内房地产市场走势和基础设施投资状况都存在较大的不确定性,风险积累和引发的可能性增加。第二,相关的法律制度建设落后,法律的威慑力不足,监管存在真空地带,民间借贷、非法金融等问题干扰着正常的金融秩序。总理在2012年1月6日第四次全国金融工作会议上,对全国金融改革发展的八项部署中,也突出强调要加强金融基础建设,改善金融发展环境,加快制定和完善金融法律法规。第三,金融系统内部控制不健全。内部控制是国民经济安全运行的微观基础,当前商业银行存在着资金审批程序不健全,对资金使用监控不严,对贷款审查不严格,缺乏一套行之有效、较为完善的员工业绩考评和激励竞争机制,金融运作中的业务风险和道德风险问题突出。第四,地方政府债务问题突出。我国地方政府普遍存在着过度信贷举债问题,债务风险突出,如果处理不当,相关风险可能会转化为银行微观金融风险和宏观金融风险。
三、我国金融审计问题分析
我国的金融审计随着社会经济发展和金融体制改革的深化而不断变化。审计署金融审计司原司长范鹏认为,“审计署成立以来,金融审计工作从只查金融机构的财务开支,到以资产质量真实性为中心重点揭露金融机构违规经营问题,再到关注金融机构重大风险和对效益有重大影响的突出问题,共走过了三个阶段。”①审计署自2003年12月12日开始实行审计结果公告制度以来,披露的审计结果公告涉及金融领域的共有25个。各级审计机关对国有金融机构进行了深入、广泛的审计,审计了包括金融监管机构、四大国有商业银行、股份制银行、政策性银行、保险公司、资产管理公司及其他非银行金融机构等在内的单位。
从当前我国金融审计工作开展的总体情况来看,还存在诸多问题,与维护国家经济安全的要求还有差距。
首先,审计目标主要还是停留在真实性、合规性方面。从当前金融审计公告所披露的问题来看,查错防弊、促进金融机构遵守财经法纪仍是金融审计的主要目标。审计署也结合经济责任审计,组织对金融机构主要负责人实施经济责任审计,督促被审计单位整改,金融审计走的是合规性审计的路子。金融制度及体系的安全、金融机构的安全、金融财富的安全、金融运行安全以及金融发展的安全,是一个国家经济安全的重中之重。从金融审计结果公告中,我们可以看出,金融审计在打击金融犯罪、保护国有金融资产安全、维护金融市场秩序等方面发挥了极其重要的作用。但是,国家经济安全牵涉的范围较广,除了体现在打击金融犯罪方面,金融审计还应更多地将安全性作为其目标。在审计结果公告中,审计机关只是就查出的具体问题提出相应的建议,并督促被审计单位进行整改,对金融系统管理结构、经营效益等方面缺乏较为全面和客观的分析评价,更没有对一些重要问题从较为深层的原因(比如政策法规、体制制度、监督体系、社会环境等方面)进行探究,难以从金融系统的整体运行上揭露问题,无法起到标本兼治的作用。
其次,审计对象亟需扩展。长期以来,金融审计除了对包括中国人民银行、银监会、证监会、保监会等监管机构加强审计力度外,审计资源主要集中在国有银行上,而对证券、保险和其他非银行金融机构而言,审计力度却不足。近两年来虽然加强了对保险、证券和资产管理公司的审计,但审计盲区仍然存在。当前我国金融业改革的不断深化,对外开放程度也日益加深,混业经营将成为金融业发展的重要特征。如果金融审计仍然停留在原审计对象上,将难以实现维护国家经济安全的战略目标。
再次,审计内容亟需深化。在金融全球化浪潮的带动下,金融业务外向型特征日益明显,比如,外币业务比较突出。金融创新是金融业的主题,金融中间业务的拓展,包括代收代付、基金托管、金融衍生业务、资产管理、投资咨询等,使得银行调整了业务结构。中资银行开始走出国门,向海外扩张。面对种种变化,金融审计却依然集中在传统业务方面,比如存款业务、贷款业务、票据业务、结算、财务管理等,对金融创新业务、国际业务都很少涉及,更未曾涉及中资银行的海外业务。金融创新不断涌现,审计内容却没有相应深化,难以深入了解金融业务中的重大风险,政府金融审计控制金融风险功能的发挥受到了极大的限制。
最后,审计问责亟需加强。审计问责制既符合法律对于建立、完善责任追究制度的要求,也有利于被审计单位及时纠正和整改审计查出的问题,遏制屡查屡犯的问题。已披露的审计结果公告在整改说明中都提到了被审计单位对责任的追究情况,对问责制落实情况实施审计始于2008年。2008年,审计署第8号审计结果公告披露了农业银行经营管理存在薄弱环节,“问责制落实不力,对违规人员责任追究不到位、处理不及时”;在对光大银行的审计中发现了“责任追究不到位,以罚代刑的现象比较突出”等问题。另外,政府金融审计对各部委审计问责的力度不够,审计结果公告只是指出各部委存在的问题并提出相关建议,各部委也没有追究相应的责任人,对于历年存在的问题,是屡查屡犯。如对“一行三会”的审计中,中国人民银行每年都存在资金账外存放支出、资金被挤占和挪用等问题,银监会、证监会和保监会均不同程度地存在虚列支出、提高开支标准、扩大开支范围等问题。对于这类问题,要加大问责力度,从深层次上分析原因,从制度上解决问题。
四、改进我国金融审计的对策
基于对当前我国金融安全和金融审计存在的问题分析,从维护国家经济安全的战略高度来看,必须改进和强化我国的金融审计工作。
(一)审计法律法规制度层面
我国现行的法律为审计维护国家经济安全提供了基本依据。《宪法》第九十一条明文规定,“国务院设立审计机关,对国务院各部门、地方各级政府的财政收支,对国家的财政金融机构和企业事业组织的财务收支,进行审计监督。”修订后的《审计法》指出,其立法目的是“为了加强国家的审计监督,维护国家财政经济秩序,提高财政资金使用效益,促进廉政建设,保障国民经济和社会健康 发展。”
但是现行的法律将政府审计的范围限于“财政、财务收支”审计,并将真实性和合法性作为财政财务收支审计的目标。因此,无论是从审计目标还是审计范围上讲,都显得较窄。《审计法》中有关“维护国家财政经济秩序”的描述,也不能适应全球化的发展和防范经济风险的要求。国家财政经济秩序只是国家经济安全的一个方面,无法代表国家经济安全。金融审计方面,只监督金融机构的资产、负债和损益,不足以评估金融领域的安全问题,应该是对整个国家的金融市场体系、金融运行体系进行评估,不仅包括金融机构的资产质量,还应当包括对国际投机资本的风险、金融机构的信用风险、金融创新产品特别是金融衍生产品的交易风险、国际金融危机对我国金融业造成的冲击、汇率波动造成的风险等方面。
(二)审计理念——审计“免疫系统”
“审计机关作为一个‘免疫系统’,能够最早地感受到病害侵蚀的风险,更早地揭示病害侵蚀带来的危害,更快地运用法定权限去抵御、查处这些病害,也能及时建议政府或相应的权力机关,运用各种政治资源、经济资源、社会资源去消灭这些病害,从而健全制度,保护国家安全”(刘家义,2008)。“免疫系统论”是新形势下创新审计理念的典范,要求审计在更大范围、更高层次上发挥作用,改变单纯财务审计的传统理念,转变以查错纠弊为主要目标的审计理念,转变只注重微观不注重宏观的思维方式,树立全面、系统、整体的审计理念。
政府审计在维护国家经济安全运行的过程中应充分发挥预防、揭示和抵御功能。从维护国家经济安全的大局考虑,在金融审计中国家审计机关要基于标本兼治的理念,在查处问题的同时,着眼于防范问题;在提出针对具体问题的整改和处理意见的同时,更要着重从问题产生的根源、从体制机制层面提出改进和完善的建议,防止问题的重复发生。
(三)审计手段——预防与跟踪审计并重
内部控制是现代企业重要的管理制度之一,内部控制制度的完善与否,关系到企业能否在变化莫测、充满风险的经济环境中生存和发展。内控机制的失灵或缺位,将会直接导致风险的失察、失控和蔓延。国际货币基金组织的研究证明,许多银行发生危机或困难的国家都存在银行内部控制制度的缺陷。因此,金融机构应加强内部控制建设,督促内部控制制度的落实与执行。从金融审计结果公告披露的问题来看,金融机构应加强内部控制制度的刚性约束,强化内部控制文化意识,健全员工激励约束机制,完善内部控制制度。
同时,在金融审计中将审计关口前移,不是单纯的事后监督,而是事前介入、事中督查,注重“防患于未然”,实施跟踪审计。对于审计中发现的问题,可以凭借跟踪优势,提前给予建议,防范问题的发生。比如对资金的跟踪审计,是以实现资金的安全有效、防范资金运行的风险为目标。国家审计机关对资金进行跟踪审计,就是沿着资金的流向、轨迹和运行情况,对资金的收、支、管、效等环节进行有效地监督,及时跟进,防范风险,最大限度地降低损失浪费的程度,提高资金使用的效率、效果。对重大金融事项实施跟踪审计,是维护金融安全的必要手段。
(四)审计重点——风险控制
由于金融本身的高风险性和金融危机的多米诺骨牌效应,金融体系安全、高效、稳健运行对经济全局的稳定和发展至关重要。因此,金融审计的重点是对金融业风险的防范与控制。金融机构内部风险控制系统的建设,关键在于建立和完善企业风险管理框架(ERM),在战略决策以及在整个企业中贯穿实施的过程,识别影响企业的潜在事件,将风险控制在企业风险偏好的范围中,并为企业目标的实现提供合理的保证。
金融审计工作要贯彻全面审计、突出重点的原则,实施风险导向审计,重点关注重大和异常的金融业务,避免审计人员陷入大量繁杂的金融业务而失去了审计目标。结合当前影响我国国家经济安全的因素,审计机关要评估金融机构的内、外部环境,对金融机构的生存能力和运行环境状况进行分析,了解其战略优势和威胁其经营目标的风险,运用分析性程序从宏观层面识别重大金融风险,准确发现金融机构在防范风险方面存在的缺陷,并提出切实可行的改进建议。在实质性测试的过程中,将审计资源向重点风险领域倾斜,对于高风险层次的风险因素进行全面详查,最大限度地强化金融机构的风险治理功能,及时发现风险、防范风险,发挥风险预警作用,促进金融系统安全运行。同时,我国的金融风险具有地域性,在制定审计计划时,要搞好审计调研,关注金融高风险区和案件频发区;在实施审计计划时,要依据各项金融业务的风险大小来确定审计的内容和重点。
【参考文献】
[1] 刘家义.在全国审计工作会议上的讲话[J].审计研究,2009(1):3-11.
[2] 汤小莉,逯颖.浅析政府审计维护国家经济安全的理论基础与现实基础[C].第五届(2010)中国管理学年会——会计与财务分会场论文集,2010.
[3] 张悦.我国政府金融审计的发展现状与对策研究[D].厦门:厦门大学硕士学位论文,2007.
[4] 刘家义.以科学发展观为指导 推动审计工作全面发展[J].审计研究,2008(3):3-9.
[5] 陈艳娇,易仁萍.金融审计免疫系统功能实现的路径研究——基于审计结果公告的实证分析[J].审计研究,2009(3):14-21.
公安审计这个词比较新颖,1992年颁布了《公安内部审计工作规定》,规定中对此给出了严格定义:“公安审计是我国审计体系的一个重要组成部分。公安审计机构在各级公安机关及其所属企业、事业单位主要领导人的直接领导下,依照国家法律、法规和政策,对本单位的财务收支及其经济效益进行审计监督,独立行使审计职权,对本单位领导人负责并报告工作,同时接受同级审计机关和上级主管部门审计机构的指导”,除了接受审计部门的审计外,公安机关内部对本单位财政收支及其经济活动的真实性、合法性、效益性进行审计就显得十分必要,这就产生了公安审计。由此可见,公安审计性质上属于部门内审。
二、文献综述
从我国的政治体制来看,国家审计是依法用权力监督制约权力的制度安排(刘家义,2012)。国家审计的功能并不是一成不变的,而是随着经济社会的变化动态发展的(Mautz and Sharaf,1961)。依据受托经济责任观的观点,经济社会的发展引起的审计所依存环境因素的变化是审计功能拓展的外部动力,而受托经济责任内在要求与时俱进的发展变化是审计功能拓展的内在依据(蔡春等,2013)。国家审计的职能具有客观性、双重性、动态性和适应性的特点,国家审计的本质性职能恒久不变,但是本质性职能的内涵却在不断丰富而外延则在不断扩大(陈太辉,2008)。
国内关于公安审计的书籍为数不多,郭影的《公安审计》(中国人民公安大学出版社,2004)是其中之一。书中具体阐述了公安审计的涵义、特征、内容、目标、方法等,并介绍了涉案财物、财经法纪、建设项目、小金库、经济责任等各类具体项目的审计,从理论到实务,全面构建了公安审计的理论体系。
相比书籍,期刊论文篇数较为可观,多数研究成果来源于公安审计人员和公安院校的人员。他们研究分析了我国公安审计的特征,总结了一些现有公安审计存在的不足,如机构不健全、人员不到位、业务素质不高、政治意识淡薄、“先离后审”现象普遍存在等(赵毅、张军谦(2003)),提出了一些创新公安审计理念的观点。刘岚(2007)指出要研发并建设公安审计工作信息化系统工程,利用信息革命实现审计技术创新;何玉荣(2011)、刘倩(2010)等认为公安审计人员应转移作风,寓服务于监督之中;吕玉明(1998)、候玉新(2012)等提出公安机关要切实加强对公安审计工作的领导与支持,把审计作为“一把手”工程,提高审计独立性,增强审计权威;黄杰(2007)认为公安审计人员要积极探索绩效审计,不仅关注钱花的对不对,更要关注钱花的值不值。
总的来说,公安审计的理论研究还稍有欠缺,但国内外发达的内部审计理论,对公安审计工作有积极的指导作用。
三、现状分析
在初步了解公安审计理论的基础上,我们则更应关注其现实工作的开展。公安审计工作起步较早,甚至可以说开启了新中国内部审计的篇章。早在1952年,公安部就设立了两个审计委员会,1984年设立了独立的审计室,2002年加挂公安部审计局的牌子,2008年又经国务院办公厅批准正式成立了公安部审计局,标志着公安审计的规范化、成熟化。
改革开放以来,在公安部党委和各地公安机关党委的正确领导下,公安审计工作取得了辉煌的成绩。全国公安审计部门在保证公安人员廉洁奉公、强化公安内部运营管理、提高公安为人民服务的水平和质量以及促进公安工作实现经济性、效率性、效果性等方面发挥了不可替代的建设性作用。比如,有数据显示,“十五”期间,全国公安审计部门共发现违规金额123.36亿元,挽回损失浪费8.76亿元,促进增收节支28.63亿元。各级公安审计部门共审计行政性收费、罚没收入511.7亿元,查出违纪违规金额12.3亿元,其中乱收费、乱罚款金额1.9亿多元,挪用、截留应交财政金额3.3亿元,私设小金库、贪污私分金额5536万元。这充分显示出公安审计发挥了实效。
2014年3月至11月,全国公安机关集中开展了史上第一次“审计整改年”活动,共梳理审计发现的问题37904个,已整改37368个,制定整改措施25276条,建立规章制度9744项,审计整改基本达到了预期目的。改革开放以来,在公安部党委和各地公安机关党委的正确领导下,公安审计工作取得了辉煌的成绩。全国公安审计部门在保证公安人员廉洁奉公、强化公安内部运营管理、提高公安为人民服务的水平和质量以及促进公安工作实现经济性、效率性、效果性等方面发挥了不可替代的建设性作用。
四、公安审计面临的挑战及加强内部控制的重要意义
然而,由于公安部门职能的特殊性,公安审计需要不断应对重重挑战。公安基层一线直接与群众相联系,直接代表了公安部门的形象,也直接影响到公安部门能否践行“人民公安为人民”的铮铮誓言。而一些民警为钱执法,吃拿要卡,以罚代管,办人情案,办关系案;或为领导执法,服从领导意志而不服从法律意志,权大于法等。这些违法乱纪、贪污腐败的现象,严重损害了公安形象,影响公安职能的履行和公安事业的发展。
通过对公安审计进行SWOT分析,并结合对公安部门的案例分析,进一步了解开展公安审计的重要性与必要性。
五、国家审计推动公安审计工作的思考与建议
国家审计作为外部监督机制,对行政事业单位内部控制的设计和运行是一个重要的外部推力,即国家审计对行政事业单位内部控制发挥推动作用。
(一)提高审计人员素质,强化公安审计队伍建设
作为审计主体,审计人员的素质对审计工作的高效实施起着至关重要的作用,人才瓶颈还是最主要的制约。IPPF(国际内部审计专业实务框架)中的“职业道德规范”部分对内部审计人员明确提出了四个最基本要求:诚信、客观、保密和胜任。公安部门业务范围的复杂性与广泛性迫切要求有一支胜任的公安审计队伍。因此,强化公安审计队伍建设显得尤为重要。
首先,公安审计涉及反腐倡廉、建立惩治预防体系,所以必须加强审计人员的思想教育,坚持党和人民的利益高于一切,树立全心全意为人民服务的思想,以保持审计队伍自身廉洁奉公,正直守法,作风端正。其次,专业胜任能力是对每一位审计人员的硬性要求。特别是“金盾工程”项目等审计任务的增多,审计外延的不断拓展,给公安审计人员在业务知识结构上带来巨大挑战,单一的审计人才已难以满足业务需要。审计人员除了需要掌握公安、财会、审计专业知识外,还需要有管理、法律、计算机、交通、消防、工程材料造价等专业领域的多元知识储备,才能高效开展审计工作。然而就目前情况来看,较少的公安审计人员承担巨大的审计业务量,更重要的是人员素质参差不齐并且缺乏专业培训。因此,必须进一步落实持证上岗和继续教育制度,加强专业培训力度;鼓励积极学习公安审计新政策新法规,加大理论学习与沟通交流,努力提高审计人员的综合业务素质。这是科学开展公安审计的前提与保证。。
(二)拓宽审计范围,强化审计职能
有关数据显示,当前我国公安机关内部审计工作量分布大致呈现为财务审计75%、经济责任审计15%和经济效益审计5%。这说明目前我国公安机关的内部审计范围仍主要局限于传统的财务审计。在这一点上,我们需要学习和借鉴国外丰富且多元化的内部审计类型,拓展传统的内部审计范围,“对整个公安管理过程的各个方面和环节进行全面审计,包括财务审计、效益审计、执法执收审计、项目风险管理审计、内部控制审计和信息处理系统的审计”。除了财务收支的真实合法性之外,财经法纪的遵循、警务资源的配置、涉案财物的管理、资金使用的效益、预决算、招投标等都应纳入审计范围,任何与公安工作有关的经济管理活动,都必须进入公安审计的视线。
(三)创新和应用最新的公安审计的技术和方法
审计范围的广泛性直接要求我们创新审计技术和方法,才能提高审计效率和效果。首先,除了传统的审阅、监盘、函证等方法外,还应采用诸如审计抽样技术、分析性复核技术、内部控制自我评估技术等基本审计技术,同时结合计算机审计、远程审计、持续审计等新型技术和方法。目前我国公安内部审计技术仍相对滞后,利用计算机和信息化手段辅助审计尚难全部实现,“据调查,有一半以上的内部审计人员不能或不完全能够应用计算机开展审计工作,这与现代电子警务的要求背道而驰”。所以公安审计部门应大力研发电子信息系统,对审计人员进行信息技术培训,大力推进公安审计信息化建设。完善审计管理系统(OA),建立健全数字化管理,使用信息系统和审计软件来开展审计业务,控制审计质量。此外,考虑到日益膨胀的信息需求,应尽快在全国范围内建立起统一的计算机网络平台,实现各种资料的全面信息化和无纸化。
(四)加大公安审计制度建设力度,推进公安审计规范化
2 利用网络远距离窃取的商业秘密以换取钱财,或利用网络传播计算机病毒以破坏企业的信息系统。
3 建立在计算机网络基础上的电子商贸使贸易趋向“无纸化”,越来越多的业务的原始记录以电子凭证的方式存在和传递。不法之徒通过改变电子货币帐单、银行结算单及其它帐单,就有可能将公私财产的所有权进行转移。
计算机网络带来会计系统的开放与数据共享,而开放与共享的基础则是安全。企业一方面通过网络开放自己,向全世界推销自己的形象和产品,实现电子贸易、电子信息交换,但也需要守住自己的商业秘密、管理秘密和财务秘密,而其中已实现了电子化且具有货币价值的会计秘密、理财秘密是最重要的。我们有必要为它创造一个安全的环境,抵抗来自系统内外的各种干扰和威协,做到该开放的放开共享,该封闭的要让黑客无奈。
一、网络安全审计及基本要素
安全审计是一个新概念,它指由专业审计人员根据有关的法规、财产所有者的委托和管理当局的授权,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并作出相应评价。
没有网络安全,就没有网络世界。任何一个建立网络环境计算机会计系统的机构,都会对系统的安全提出要求,在运行和维护中也都会从自己的角度对安全作出安排。那么系统是否安全了呢?这是一般人心中无数也最不放心的。应该肯定,一个系统运行的安全与否,不能单从双方当事人的判断作出结论,而必须由第三方的专业审计人员通过审计作出评价。因为安全审计人员不但具有专门的安全知识,而且具有丰富的安全审计经验,只有他们才能作出客观、公正、公平和中立的评价。
安全审计涉及四个基本要素:控制目标、安全漏洞、控制措施和控制测试。其中,控制目标是指企业根据具体的计算机应用,结合单位实际制定出的安全控制要求。安全漏洞是指系统的安全薄弱环节,容易被干扰或破坏的地方。控制措施是指企业为实现其安全控制目标所制定的安全控制技术、配置及各种规范制度。控制测试是将企业的各种安全控制措施与预定的安全标准进行一致性比较,确定各项控制措施是否存在、是否得到执行、对漏洞的防范是否有效,评价企业安全措施的可依赖程度。显然,安全审计作为一个专门的审计项目,要求审计人员必须具有较强的专业技术知识与技能。
安全审计是审计的一个组成部分。由于计算机网络环境的安全将不仅涉及国家安危,更涉及到企业的经济利益。因此,我们认为必须迅速建立起国家、、企业三位一体的安全审计体系。其中,国家安全审计机关应依据国家法律,特别是针对计算机网络本身的各种安全技术要求,对广域网上企业的信息安全实施年审制。另外,应该社会中介机构,对计算机网络环境的安全提供审计服务,它与会计师事务所、律师事务所一样,是社会对企业的计算机网络系统的安全作出评价的机构。当企业管理当局权衡网络系统所带来的潜在损失时,他们需要通过中介机构对安全性作出检查和评价。此外财政、财务审计也离不开网络安全专家,他们对网络的安全控制作出评价, 帮助注册会计师对相应的信息处理系统所披露信息的真实性、可靠性作出正确判断。
二、网络安全审计的程序安全
审计程序是安全监督活动的具体规程,它规定安全审计工作的具体、时间安排、具体的审计方法和手段。与其它审计一样,安全审计主要包括三个阶段:审计准备阶段、实施阶段以及终结阶段。
安全审计准备阶段需要了解审计对象的具体情况、安全目标、企业的制度、结构、一般控制和应用控制情况,并对安全审计工作制订出具体的工作计划。在这一阶段,审计人员应重点确定审计对象的安全要求、审计重点、可能的漏洞及减少漏洞的各种控制措施。
1 了解企业网络的基本情况。例如,应该了解企业内部网的类型、局域网之间是否设置了单向存取限制、企业网与Internet的联接方式、是否建立了虚拟专用网(VPN)?
2 了解企业的安全控制目标。安全控制目标一般包括三个方面:第一,保证系统的运转正常,数据的可靠完整;第二,保障数据的有效备份与系统的恢复能力;第三, 对系统资源使用的授权与限制。当然安全控制目标因企业的经营性质、规模的大小以及管理当局的要求而有所差异。
3 了解企业现行的安全控制情况及潜在的漏洞。审计人员应充分取得企业对网络环境的安全保密计划,了解所有有关的控制对上述的控制目标的实现情况,系统还有哪些潜在的漏洞。
安全审计实施阶段的主要任务是对企业现有的安全控制措施进行测试,以明确企业是否为安全采取了适当的控制措施,这些措施是否发挥着作用。审计人员在实施环节应充分利用各种技术工具产品,如网络安全测试产品、网络监视产品、安全审计器。
安全审计终结阶段应对企业现存的安全控制系统作出评价,并提出改进和完善的方法和其他意见。安全审计终结的评价,按系统的完善程度、漏洞的大小和存在问题的性质可以分为三个等级:危险、不安全和基本安全。危险是指系统存在毁灭性数据丢失隐患(如缺乏合理的数据备份机制与有效的病毒防范措施)和系统的盲目开放性(如有意和无意用户经常能闯入系统,对系统数据进行查阅或删改)。不安全是指系统尚存在一些较常见的问题和漏洞,如系统缺乏监控机制和数据检测手段等。基本安全是指各个企业网络应达到的目标,其大漏洞仅限于不可预见或罕预见性、技术极限性以及穷举性等,其他小问题发生时不影响系统运行,也不会造成大的损失,且具有随时发现问题并纠正的能力。
三、安全审计的主要测试
测试是安全审计实施阶段的主要任务,一般应包括对数据通讯、硬件系统、软件系统、数据资源以及安全产品的测试。
下面是对网络环境信息系统的主要测试。
1 数据通讯的控制测试数据通讯控制的总目标是数据通道的安全与完整。具体说,能发现和纠正设备的失灵,避免数据丢失或失真,能防止和发现来自Internet及内部的非法存取操作。为了达到上述控制目标,审计人员应执行以下控制测试:(1)抽取一组会计数据进行传输,检查由于线路噪声所导致数据失真的可能性。(2)检查有关的数据通讯记录,证实所有的数据接收是有序及正确的。(3)通过假设系统外一个非授权的进入请求,测试通讯回叫技术的运行情况。(4)检查密钥管理和口令控制程序,确认口令文件是否加密、密钥存放地点是否安全。(5)发送一测试信息测试加密过程,检查信息通道上在各不同点上信息的。(6)检查防火墙是否控制有效。防火墙的作用是在Internet与内部网之间建立一道屏障,其有效性主要包括灵活性以及过滤、分离、报警等方面的能力。例如,防火墙应具有拒绝任何不准确的申请者的过滤能力,只有授权用户才能通过防火墙访问会计数据。
2 硬件系统的控制测试硬件控制测试的总目标是评价硬件的各项控制的适当性与有效性。测试的重点包括:实体安全、火灾报警防护系统、使用记录、后备电源、操作规程、灾害恢复计划等。审计人员应确定实物安全控制措施是否适当、在处理日常运作及部件失灵中操作员是否作出了适当的记录与定期、硬件的灾难恢复计划是否适当、是否制定了相关的操作规程、各硬件的资料归档是否完整。
3 软件系统的控制测试软件系统包括系统软件和软件,其中最主要的是操作系统、数据库系统和会计软件系统。总体控制目标应达到防止来自硬件失灵、机黑客、病毒感染、具有特权职员的各种破坏行为,保障系统正常运行。对软件系统的测试主要包括:(1)检查软件产品是否从正当途径购买,审计人员应对购买订单进行抽样审查。(2)检查防治病毒措施,是否安装有防治病毒软件、使用外来软盘之前是否检查病毒。(3)证实只有授权的软件才安装到系统里。
4 数据资源的控制测试数据控制目标包括两方面:一是数据备份,为恢复被丢失、损坏或被干扰的数据,系统应有足够备份;二是个人应当经授权限制性地存取所需的数据,未经授权的个人不能存取数据库。审计测试应检查是否提供了双硬盘备份、动态备份、业务日志备份等功能,以及在日常工作中是否真正实施了这些功能。根据系统的授权表,检查存取控制的有效性。
5 系统安全产品的测试随着网络系统安全的日益重要,各种用于保障网络安全的软、硬件产品应运而生,如VPN、防火墙、身份认证产品、CA产品等等。企业将在不断的安全产品市场上购买各种产品以保障系统的安全,安全审计机构应对这些产品是否有效地使用并发挥其应有的作用进行测试与作出评价。例如,检查安全产品是否经过认证机构或公安部部门的认征,产品的销售商是否具有销售许可证产品的安全保护功能是否发挥作用。
一、引言
金融安全是指在金融全球化条件下,一国在其金融发展过程中具备抵御国内外各种威胁、侵袭的能力,确保金融体系、金融不受侵害,使金融体系保持正常运行与发展的一种态势(王元龙,2000)。国家安全包括军事安全、政治安全和经济安全。国家经济安全又包括国家金融安全、国家经济信息安全和国家产业安全。其中,金融安全是国家经济安全的核心,经济信息安全是国家经济安全的基础环节,而产业安全是国家经济安全的基本内容。在经济全球化背景下,国家金融安全问题日益突出,如何更好地维护国家金融安全,保障国家经济正常、有效地运行是目前大多数学者关注和探讨的热点问题。然而,在我国国家金融安全保障体系中,政府审计要不要发挥作用、能不能发挥作用、怎样发挥作用?这些问题以往的研究不多。我们认为,国家金融审计具有坚实的理论基础,政府审计是国家金融安全保障体系的重要组成部分,政府审计能够维护国家金融安全。
二、政府审计和国家金融安全的关系
《中华人民共和国宪法》第九十一条规定:“国务院设立审计机关,对国务院各部门、地方各级政府的财政收支,对国家的财政金融机构和企业事业组织的财政收支,进行审计监督”。《中华人民共和国审计法》在1995年和2006年的修订中将立法的目的规定为:“为加强国家的审计监督,维护国家的财政经济秩序,提高财政资金使用效益,促进廉政建设,保障国民经济和社会健康发展。”这一规定将政府审计的服务对象直接界定为国家经济发展。
《中华人民共和国审计法》第二十一条和《中华人民共和国审计法实施条例》第十九条赋予了政府审计机关对金融机构审计的权利,审计机关对国有资本占资本总额的比例超过50%,以及国有资本占资本总额的50%(含)以下,但是国有资本投资者实质上拥有控制权的金融机构的资产、负债、损益,依法进行审计监督。一方面,通过政府审计监督和规范金融机构的经济行为,保证国家金融体系的健康发展,防止金融系统的极端情况的发生;另一方面,政府审计机关的独立监督,可以披露真实、客观的国家金融运行的信息,为国家金融管理部门的决策提供有利的信息服务。通过对政府审计中发现问题的分析,评价国家金融安全程度,发挥审计免疫功能,建议相关管理部门及时调整国家金融政策,降低金融风险,避免金融危机的发生。
现任国家审计署总审计长刘家义指出,现代政府审计作为国家的免疫系统,有责任更早地感受风险,有责任更准确地发现问题,有责任提出调动国家资源和能力去解决问题、抵御“病害”的建议,有责任在永不停留地抵御一时、一事、单个“病害”的同时,促进其健全机能、改进机制、筑牢防线。正是由于现代政府审计的这一本质的要求,决定了政府审计工作的基本职能是维护国家安全特别是国家的金融安全,保障国家的利益,保护人民的利益,促进经济社会全面、协调、可持续和谐的发展。因此,维护我国的经济安全特别是我国的金融安全是我国政府审计的主要任务。
三、政府审计维护国家金融安全的理论基础
为什么政府审计要介入国家金融安全的维护中?这一问题是做好国家金融安全审计工作的基本问题。社会契约理论认为,政府源于社会契约。社会契约指政府及其行政行为一旦存在于社会公众的期望中,就必须履行一定的权利和义务,这些权利和义务是政府与社会之间契约的结果。政府必须保障公民的政治自由和生命财产安全,维护社会的共同利益,这其中当然就包括维护国家金融安全。在经济全球化的今天,特别是要保障国家金融安全。“民主政治观”认为,民主政治是指民众享有管理国家权力的政治制度。然而,在实际的政治生活中,人民享有管理国家的权力只是一种原则,人民不可能全部参与管理国家的具体事务,只能将这种管理国家的权力交给一个机构——政府,这使得政府成为人民行使权力的主要人,由此,人民和政府之间形成了一种委托关系。人民是委托人,而掌握行政权力的政府则是受托责任人。为了确保民主政治,防止权力滥用,人民必须建立有效的监督机制,使受托实施国家行政权力的少数人的行为符合人民或国家的利益。社会契约论和受托责任观构成国家金融安全审计的理论基础。
政府履行维护国家金融安全职能时效果怎样?这需要代表人民利益的独立审计机构来评价。更为重要的是,由于存在政府“失效”、信息不对称以及行为,政府在维护国家金融安全方面往往受到很大的制约,这更需要政府审计发挥其重要作用。首先,政府失效使得有关保障国家金融安全的政策和措施得不到有效贯彻执行。其次,信息不对称使得政府难以制定有效的维护国家金融安全的政策。政府审计机关的基本职能是经济监督,并不直接参与国家金融安全决策和政策实施。但是,政府审计是整个国家金融安全保障体系中监督保证系统的重要组成部分,因此,政府审计在维护国家金融安全方面能够发挥重要作用。
四、政府审计维护国家金融安全预警机制的功能定位
政府审计维护国家金融安全预警机制的功能定位可以从宏观层面、中观层面和微观层面这三个层面进行相应的功能定位。
(一)政府审计维护国家金融安全预警机制宏观层面的功能定位
1.政府审计在宏观层面对金融系统的“免疫防御”功能
“免疫防御”也称为“抗感染免疫”,主要指机体针对外来抗原(如微生物及其毒素)侵袭的免疫保护作用。目前,对我国金融业进行业务监管,具有防范金融风险、维护金融安全职能的主要是中国人民银行、银监会、保监会、证监会四大监督机构。财政和税务部门可以对金融行业和企业进行专项业务工作检查,国家审计机关作为专门的经济监督部门对金融企业的经济活动和金融监管机构的职能履行情况进行审计监督。与其他监管部门相比,国家审计机关作为上层建筑的重要组成部分,通过法定的依法审计活动,及时发现和抵御各种违法犯罪分子的侵蚀和腐败行为,维护宏观政策的安全性和法纪规章的严肃性,维护良好的财经秩序和发展环境,从而实现“保护”国民经济健康、有序、又好又快和可持续发展的目的。因此,政府审计在宏观层面对金融系统具有系统免疫功能的优势。
2.政府审计在宏观层面对金融系统的“免疫预警”功能
政府审计对金融系统的宏观预警功能是政府审计对宏观金融运行实行全方位的监管,旨在分析研究金融与财政、物价、经济的相互关系,发挥早期预测报警功能,为制定和实施货币政策提供依据。每年的全国人民代表大会上审计署审计长都要对上年的政府审计工作做政府审计报告,将去年审计中发现的问题进行总结汇报给国务院,就政府审计中发现的重大审计问题做出具体的审计意见和审计建议,为国家制定宏观经济政策提供参考,把握国民经济的发展方向。
(二)政府审计维护国家金融安全预警机制中观层面的“免疫自稳”功能定位
“免疫自稳”是指免疫系统能及时识别、清除体内损伤或衰老的细胞,但对机体正常的细胞不发生攻击,以维持自身内环境稳定的一种生理功能。政府审计机关作为国家经济的“看门人”,有义务及时和准确地发现我国国家经济体系中的“损伤”和“衰老”的经济细胞体,并及时报告国家经济各上级部门和社会公众。《中华人民共和国审计法》和《中华人民共和国审计法实施条例》规定,政府审计有权对我国的金融机构和国有企业进行审计,并公布相应的审计结果。
(三)政府审计维护国家金融安全预警机制微观层面的“免疫监视”功能定位
“免疫监视”是指由于各种体内外因素影响,正常个体的组织细胞不断发生畸变和突变,免疫系统及时识别此类复制错误或突变细胞并将其清除,保护正常个体的系统功能。经济监督是政府审计的基本职能之一。政府审计主要通过审计、检查和监督被审计单位的经济活动在规定范围内沿着正常的轨道健康运行;检查受托经济责任人忠实履行经济责任的情况,借以揭露违法违纪行为,制止损失浪费,查明错误弊端,判断管理缺陷,追究经济责任。政府审计机关通过依法严格执行政府审计,对审计中发现的制度性缺陷和问题进行反馈,比如,问责制度、审计结果公告制度等,促进对相关制度进行创新与重构,从而促进相关管理制度的建立和完善,在更高层面上实现财政财务等财经制度的规范化和制度化。
参考文献:
[1]刘家义.以科学发展观为指导推动审计工作全面发展[J].审计研究,2008,(3).
[2]刘英来.用“免疫系统”论指导审计的科学发展[J].审计研究简报,2008,(17).
2.县级公安内部审计人员素质亟待加强。县级公安内部审计人员一般来源于部队转业干部或基层派出所内勤岗位,虽然掌握部分财会知识,但普遍存在只掌握某一方面的知识,对审计理论一知半解,对相关政策吃不准、抓不住的现象,在审计实践中碰到问题时,不是回避,就是靠现学现用,或是凭经验审计,难以发现深层次问题,导致编制的工作底稿不规范、收集的审计证据不充分、专业判断不合理、审计建议可操作性不强,从而加大了审计风险,降低了内部审计质量。
3.县级公安机关内部审计机构设置及相关内审制度亟待加强。一方面,部分县级公安机关还没有专门的内审机构,把内审机构与纪检、财务等其他相关职能部门合并综合办公,由纪检、财务部门负责人兼任内审部门的领导;内部审计人员配备不全,在审计实务中大量依靠财务人员或外聘人员实施,造成工作独立性不强,限制了审计工作的开展,难以保证审计质量。另一方面,县级公安机关内审制度缺失。虽然省、市公安机关内审机构出台了一些内部审计规章制度,但县级公安机关大多沿用上级公安机关规定,没有根据各地实际,制定具体审计实务的操作标准,导致责任不清、奖罚不明,操作程序不规范,随意性大。
4.县级公安机关内部审计质量控制评价标准与体系亟待加强。由于公安机关的特殊性,公安机关内部审计与企业内部审计有着较大的区别,不能沿用企业内部审计质量控制评价标准与体系。县级公安机关内部审计,往往以工作量的多少、查处问题的多少来衡量内审质量的高低;加之上级公安机关对下级公安机关的考核评价指标单一,不够细化,使得县级公安机关内部审计工作质量控制缺乏推动力。
县级公安机关内部审计存在的不足
1.在制定审计计划方面。审计计划是进行审计宏观控制、提高审计工作质量和整合审计资源的关键。县级公安机关审计计划的制定存在以下三个方面的不足:一是计划缺乏宏观性,不能充分体现内部审计的效率和效益。二是计划缺乏协调性,没有和被审计对象进行充分的沟通,警种部门之间配合不紧密,审计资源不能有效地整合。三是计划缺乏科学性,在计划编制之前不进行充分的调研,往往套用上级公安机关年度审计工作要点,缺乏针对性。
2.在编制审计工作底稿方面。审计工作底稿是对审计记录和审计证据经过系统整理,按照审查的每一个问题所归纳编写的专项问题说明书。县级公安机关在编制审计工作底稿方面存在不足:一是重点不突出。由于县级公安机关内审人员能力的限制,导致取证工作不完备、不严格,编制的审计工作底稿反映不出问题的症结和实质。二是内容不完整。由于缺乏细化的审计实务工作标准,影响了审计工作底稿记载事项的规范性、完整性。三填制不规范。审计工作底稿往往只有事实没有结论或只有事实结论却没有审计人员的意见,填写审计工作底稿编制人、复核人未签名或没有填制日期。
3.在撰写审计报告方面。审计报告是为公安机关主要领导决策提供依据,为发现管理漏洞,完善管理措施服务的。然而县级公安机关在审计报告方面存在以下不足:一是审计结论隐瞒和歪曲了审计过程中发现的重大事项,重点不突出,且没有对查出的问题进行准确定性,不能反映被审计对象的管理情况,不能科学界定被审计对象的管理责任。二是审计报告格式不规范,脉络不清晰。
4.在运用审计结果方面。县级公安机关对审计成果资源利用的广度、深度还远远不够。内审机构提交过审计报告后工作就基本结束了,跟踪审计与整改监督不到位,审计结论没有发挥出作用,限制了审计作用的发挥,对审计监督的效力在一定程度上打了折扣。
提高县级公安机关内部审计质量的建议
1.完善机构设置。没有完善的机构,质量控制将无从谈起。因此,上级公安机关要加强指导,督促县级公安机关建立健全内部审计机构、完善管理体制,增强内部审计的独立性,配齐配强内审力量,把素质好、业务精、能力强的人员充实到内部审计岗位上。
2.提高内审人员综合素质。内审人员综合素质的提高是内部审计质量提高的关键。县级公安机关应从以下方面着手解决:(1)加大培训力度。要把审计工作与培训结合起来,有计划地安排审计人员进行业务培训,促进审计人员更新知识,开阔视野,掌握先进的审计方法,提高业务能力。(2)大力提倡自学。要鼓励内审人员提高自学意识,积极参加职称考试或CPA等资格考试,在学习中提高理论知识水平,进而提高审计工作质量。(3)加强项目实施中的交流。在项目实施过程中,审计组成员要根据项目实施目标,加强对需要获取的重要证据、如何获取证据及证据的证明力、证据与认定事实的关系、审计意见及建议的交流。通过交流,增强彼此间业务水平和实际操作技能,在实践中改进审计工作方法,获取审计知识,提高整体素质。
3.建立健全内部审计质量控制制度。用标准化的理念建立健全各项审计制度,以标准化促进内部审计工作的制度化和规范化。(1)全面质量控制标准是搞好质量控制的根本。要建立职业道德标准、专业能力标准、工作流程标准、复核监控标准等,用质量控制标准规范内部审计工作,并在实际工作中不断完善全面质量控制标准与程序,确保所有审计工作符合独立审计准则的要求。(2)项目质量控制标准是搞好质量控制的关键。要在执行全面质量控制标准的同时加强审计项目的质量控制;根据公安机关内部审计业务特点,制定项目流程标准与关键控制点业务操作标准;对每一个业务项目都必须从头严抓,按操作程序做好每一步,在实施过程中要监督审计全过程,及时处理出现的重要问题。要严格执行复核制度,层层把关,确保符合独立审计准则的要求。
二、煤矿安全生产责任审计的基本要求
安全生产责任审计是一个新课题,还没有一个标准的模式以及规定的内容,还在实践中探讨。主要有以下几方面的基本要求:(1)煤矿安全生产责任审计工作的主要内容。要依据《中华人民共和国安全生产法》、《矿山安全法》中关于企业主要负责人必须履行的职责开展审计,如各级管理人员和各岗位的安全生产责任制的制定及贯彻落实情况;安全生产规章制度的建立和实施情况以及实施效果;安全资金是否按国家有关规定足额提取,专款专用;安全配套项目、设施是否按规定计划得到有效落实。(2)审计的组织实施。煤矿安全生产责任审计要由政府审计机关、安全监督部门和企业内部审计部门负责组织实施。每年组织审计一至两次。(3)审计结果的分类、管理和奖惩。把被审矿井划分为A、B、C、D4个类别,A类为安全矿井,B类为基本安全矿井,C类为安全较差的矿井,D类为安全不合格的矿井。煤矿安全监察机构按照煤矿安全生产审计报告审定煤矿安全程度的类别,并开展安全监察工作,对存在的问题督促煤矿整改。同时,要对煤矿安全生产责任审计类别实施动态管理。发现煤矿安全生产隐患严重,达不到审计评定类别标准或发生重大事故的,由煤矿安全监察机构予以降级处理。按照安全生产责任审计结果,国家要制定相应的奖惩政策,设计专项资金,对煤矿企业实施奖惩。通过审计,被评定为A类矿井的建议由地区煤矿安全监察机构,对煤矿及责任者予以重奖;被评定为D类矿井的予以重罚,并责令其停产整顿。
审计信息是审计人员在工作中运用一定的技术、方法、手段,收集加工提炼整理的业务信息,是反映和体现审计工作成果的重要载体,主要包括审计工作信息和审计项目信息,涉及银行敏感信息及经营决策管理的商业秘密。审计人员泄密风险如影随形,无时不在,审计信息保密事关银行信息安全和审计声誉。因此,审计人员肩负审计数据及信息安全的重任,牢固树立保密意识、严格履行保密职责、执行保密纪律是每个审计人员义不容辞的责任。
一、审计信息渠道
审计信息主要来源于审计管理系统及平台信息和审计业务信息收集两个方面:
第一,审计管理系统及平台信息是审计人员在实施审计项目、进行审计管理的过程中,通过审计应用系统及平台获取审计业务操作与管理的业务和数据信息,包括非现场审计系统(OAS系统)信息、审计管理信息系统(AMIS系统)信息、审计知识库系统信息、任期经济责任审计信息资料库信息、总审计室信息平台等信息。
第二,审计业务信息是审计项目和日常审计工作中由各级机构提供的业务信息以及审计项目信息。业务信息包括审计机构审计计划、审计研究成果、被审计机构经营计划及业务指标、客户及其账户信息、业务管理信息等,以及通过Notes邮箱、办公自动化系统(OA系统)、档案管理信息系统等收集整理的各类业务信息。审计项目信息包括审计方案、审计报告、审计模型、审计证据、审计工作底稿,以及审计过程中通过会计档案管理系统、UAAP统一报表平台、对公信贷业务流程系统(CLPM系统)、个人信贷管理系统(A+P系统)、信贷管理系统(CMISII系统)、ODSB二期及ERPF报表查询等收集加工整理的各类信息。
二、主要问题和风险
(一)审计信息未集中管理,存在泄密的潜在风险隐患
便携式计算机是审计人员的必备工具,其中存储大量重要信息,实施审计项目按照审计方案要求分组开展,审计现场点多面广,审计资料不便于集中,审计人员注重信息资料使用忽视保密管理,对敏感及信息未经加密处理采取保密措施,形成审计信息安全隐患。一是项目实施过程中审计信息处于分散失控状态,缺乏安全管理;二是审计项目结束后,由于未明确和指定专人负责归集审计项目信息,致使审计人员未及时清理、归集移除审计项目电子信息资料,长久滞留审计人员计算机中将可能导致审计信息流失和泄密。
(二)计算机上网导致审计信息失密,造成损失形成银行声誉风险
计算机上网成为信息泄露的主要途径,计算机使用无线键盘或鼠标上网、移动存储介质与联网计算机交叉使用将会导致失泄密。一是审计人员因工作需要,有时通过互联网传送或下载工作信息,或上网查询信贷客户企业注册登记等信息,如果客户敏感信息被不法分子截获并利用,给客户带来不利影响的同时,将会导致银行声誉风险的严重后果。二是审计人员使用的计算机、U盘等磁介质若不采取保密措施,未经加密在互联网上传输行内重要数据或信息,被窃密者运用技术软件窃取,无意中将泄露银行敏感信息或商业秘密,给银行造成无可估量的损失。
(三)审计管理系统用户认证安全机制低、对客户敏感信息访问无控制
由于非现场审计系统对相关敏感数据字段未能加密,在审计项目实施过程中,审计人员登录系统可任意查询导出相关的信息及数据,存在敏感信息和商业秘密泄漏的风险。
三、审计信息安全管理措施
第一,健全制度,落实责任。为加强审计信息安全保密,对于计算机设备使用管理、审计管理系统运行管理及数据信息安全保密管理,制定信息安全管理制度,明确责任,落实保密职责。
第二,加强安全保密培训和教育,筑牢审计人员的安全和风险意识。一是要警钟长鸣,加强警示教育,做到防患于未然。二是建立信息安全的长效机制,将审计信息安全保密作为审计人员培训教育的重要内容,使之深刻认识安全无小事,牢记“失之毫厘、谬以千里”道理,始终绷紧安全保密意识的弦,严守保密纪律,自觉履行保密职责。
第三,加强审计系统用户管理,严格用户操作权限,禁止将用户口令及UKEY转借他人使用。在未开展审计项目阶段限制非现场审计系统操作用户,使用系统必须经过申请批准,以防止敏感信息泄露。搭建开放的非现场审计系统学习培训环境,提供审计人员用于学习操作非现场系统。
第四,利用管理信息平台FTP服务器对审计重要信息进行管理,实现远程资源共享,审计人员可查询相关工作信息,本机不再保存敏感信息和数据,切实防范便携机或移动硬盘存储审计信息失泄密的风险隐患。
第五,落实安全管理责任,签订《审计岗位人员保密协议》,强化保密意识,约束审计信息保密行为。
第六,加强计算机管理,严防信息失泄密。设置屏幕保护的时间和密码,确保在长时间不使用计算机时对屏幕上和系统内的敏感信息进行安全保护。计算机做到专机专用,与互联网物理隔离,禁止通过电子邮箱或互联网传输及重要工作信息,避免移动存储介质交叉使用。
