电力监控系统安全评估报告篇1
关键词:电子银行安全评估;现状调研;业务流程风险识别;电子银行业务连续性管理
1、引言
电子银行的安全评估,是指金融机构在开展电子银行业务过程中,对电子银行的安全策略、内控制度、风险管理、系统安全、客户保护等方面进行的安全测试和管控能力的考察与评价。开展电子银行业务的金融机构,应根据其电子银行发展和管理的需要,至少每2年对电子银行进行一次全面的安全评估[1]。本文以国内某大型股份制银行为电子银行安全评估分析对象,提出了一种开展电子银行安全评估方法,并对该方法作了深入分析和研究;通过实践验证,该方法切实可行、达到了预期目标。
2、项目背景介绍及电子银行安全评估实施方法
本文所提出的一种安全评估方法其背景是某行的电子银行安全评估项目,分析研究的目的为以下两个方面:(1)在以监管要求及标准为依据,基于该行现有管理制度,综合参考风险库及同业实践,执行包含该行电子银行技术安全、业务操作与管理领域在内的安全评估工作,识别风险控制缺陷,提出可实施的整改建议,并出具安全评估报告;针对评估中发现的可以快速体现风险管控实效的控制措施,设计管理工具或制度,提高该行电子银行的风险管控水平,完善电子银行风险管理体系,包括:建立电子银行业务风险模型、风险评价机制,完善电子银行业务连续性管理制度;(2)通过项目实施过程中的交流和知识转移活动,协助电子银行风险管理相关人员掌握风险现状,了解风险管控要求,提高该行电子银行风险管理团队技术能力。
根据电子银行业务发展方面及现有业务重要程度分析,本项目的评估范围包括网上银行、手机银行、电子支付三个业务领域[2]。按照项目执行的时序、项目特点等综合因素,采用分阶段完成其项目。具体将评估方法分为这样四个阶段:项目计划、安全评估、风险管理优化、报告及建议,各阶段的主要工作简述如下:
(1)项目计划阶段:确定详细项目范围和制定安全评估工作计划,监管要求差距分析;(2)安全评估阶段:执行该行电子银行安全评估,包括治理、业务和科技层面;(3)风险管理优化阶段:建立电子银行业务风险模型以及风险评价机制;(4)报告及建议阶段:编制安全评估报告并提出改进建议,建立电子银行业务连续性管理机制。
本次电子银行安全评估不仅为满足监管要求,更以全面了解电子银行风险全貌为目标,因此在评估要求的设计过程中,充分参考了监管要求、该行电子银行管理制度与国内外同业最佳实践。
为全面评估电子银行风险状况,根据本次项目评估目标和评估范围,本文设计了三层评估框架,以保证电子银行安全评估的全面性,包括:治理层面、业务层面及科技层面。电子银行安全评估框架如图1所示:
图1电子银行安全评估框架
三层评估的具体执行目标为:(1)电子银行治理层面评估主要针对电子银行安全策略、内控制度建设、风险管理状况进行设计,根据框架可对治理层工作的有效性、充分性、合理性进行评估;(2)电子银行业务层面评估主要从电子银行产品的需求调研、产品设计、系统研发、投产上线到市场营销的整个生命周期流程及具体电子银行产品业务操作两个层面出发,对电子银行业务的风险进行评估;(3)电子银行科技层面评估重点关注电子银行业务相关系统的整体运营及维护情况,主要通过检查电子银行业务运营相关应用系统的部署及配置发现安全隐患。
3、项目阶段化及具体工作描述
根据上述评估方法的具体工作思路,并结合安全评估框架图,现将划分为4个阶段的相关工作具体化,各个阶段的具体工作如下所述:
3.1第一阶段具体工作描述
第一阶段是项目计划阶段,其阶段目标是了解该行电子银行业务运作方式与主要环境,制订项目详细计划与范围,并与该行成员讨论确定项目的详细实施计划和范围。对现有国内和国际监管要求、指引和参考进行收集整理,评估其对该项目的适用性,形成电子银行风险矩阵;同时,还将对各类相关资料进行前期收集和查阅,包括电子银行业务资料、电子银行系统相关资料、电子银行往期评估资料。
3.2第二阶段具体工作描述
第二阶段是安全评估阶段,治理层面评估的目标是确定评估战略机制、职责分离和制度体系化程度。首先收集电子银行发展战略、组织架构及职责分工、电子银行管理制度等资料;然后梳理电子银行制度体系,明确制度间上下层级和相互关系,尤其关注制度覆盖面的缺失或重叠,以及与其他部门相关制度的衔接;最后梳理电子银行管理组织架构,评估其完整性和职责分离有效性。在完成基础工作之后,对电子银行治理层面管理机制进行完整评估,包括电子银行战略管理机制、电子银行制度管理机制等。
业务层面评估的目标是评估重点产品的全业务风险控制情况。首先收集电子银行产品资料,访谈产品设计和管理人员,整理详细业务操作流程图,同时参考风险框架梳理业务层面风险;对于电子渠道实现传统产品的情况,重点关注电子渠道相关风险;对于电子银行创新产品的情况,全面关注产品本身和渠道相关风险;对所有产品都关注市场营销、产品研发、运行维护和自律监管等方面的风险。然后识别现有风险控制措施和控制措施类型,评估业务层面安全管理状况。
科技层面评估的目标是明确相关信息系统,并对科技管理机制进行评估。梳理出支持电子银行业务运行的信息系统,整理电子银行系统安全评估要点,并对相关系统环境进行评估[3]。
在该电子银行安全评估工作过程中,为了解电子银行安全情况,其间采用了人员访谈,资料查阅,检查风险控制执行记录、系统管理及配置情况等方法,对该行电子银行安全情况进行评估。整个评估过程分为三个步骤完成,其三个步骤的具体工作为:
(1)通过资料搜集和访谈调研全面了解现状。本次评估工作中,对电子银行业务相关部门人员进行了广泛的访谈,包括对电子银行部、信息科技部、办公室、法律合规部、风险管理部等进行访谈。通过访谈了解电子银行业务管理相关现状,评估电子银行各类安全策略、管理制度、操作手册的要求是否在日常工作中有效落实,评估人员的安全意识水平及对自身岗位职责的理解水平。在评估工作中,对该行电子银行的组织架构、人员分工、安全策略、管理制度,业务连续性计划等资料进行调阅,并查阅了涉及电子银行业务运行的科技运行标准及操作手册。通过对资料的查阅,评估该行电子银行安全策略、管理制度、操作手册等文档的完整性及设计的合理性和有效性。
(2)通过流程梳理和现场检查全面识别现存风险。具体为:梳理该行电子银行业务流程,包括电子银行产品管理生命周期和具体电子银行产品操作流程:电子银行产品管理生命周期涵盖电子银行产品的需求调研、产品设计、系统研发、投产上线、市场营销等环节;根据产品特点和重要程度,从个人电子银行业务和企业电子银行业务中选定若干业务作为评估样本,绘制业务流程图,并逐一分析业务流程中各个处理环节,相关部门、处室或岗位,涉及的记录和数据等,评估电子银行产品业务流程中是否存在安全隐患,识别具体风险点。
(3)梳理清单、确定风险,判断风险问题等级。整理风险评估结果,逐一评估风险等级。本次评估从风险发生可能性和影响程度两个方面,依据风险发生可能性与影响程度等,判断风险级别,形成评估结果。
3.3第三阶段具体工作描述
第三阶段是风险管理优化阶段,其目标是建立电子银行业务风险模型,形成业务风险评价机制。针对发现的缺陷,与该行项目组讨论对电子银行安全风险的影响程度,并确定风险等级。本阶段应全面梳理电子银行产品业务流程以及风险控制点,建立电子银行风险管理模型,并依据风险管理模型,建立电子银行业务风险评价机制。
3.4第四阶段具体工作描述
第四阶段报告及建议阶段,其目标是形成安全评估报告,分析未来趋势。本阶段应根据评估情况和各部门反馈情况编制安全评估报告,并提出切实有效的安全风险管控建议。此外,编制电子银行业务连续性管理规范制度,满足合规要求,为电子银行业务连续性管理奠定基础。
4、项目方法实施经验
在整个项目的实施过程中,业务流程图的绘制与风险点识别是整个电子银行安全评估非常关键的一环。针对这一关键点,首先应从银行现有的个人电子银行业务和企业电子银行业务中选取较为重要或具有代表性的若干业务作为评估样本,绘制水平流程图。绘制流程图时应注意包含的客体,具体如客户、营业网点柜台、各相关部门、信息科技部或外部支撑系统,各客体之间以清晰的动作节点串联起来,并在两节点中间标明信息的传递情况,清晰地反映实际的业务流程与涉及的各部门职能。
绘制流程图时可参考银行现有的业务流程相关制度,对访谈结果进行分析和梳理,在银行官网上查看演示版模拟真实业务操作流程,最具有实际意义的措施是采用切身实际去柜台办理一张储蓄卡的办法,并开通个人网银的相关功能,在其相关功能的范围内,进行网银和手机上进行相关实际操作,这样才能够真实、全面地了解业务流程并绘制出能反映实际业务流程的流程图,为进行全面风险识别奠定良好的基础。在进行风险识别时,应考虑各种风险类型,可参考本行或同业的风险库,必要时亦可召集小组成员一起进行讨论分析,力求全面识别电子银行各业务流程中的风险点,并在图中对风险点进行标识:标识的方法是在风险点处标明风险名称与风险描述。在完成风险点标识后,将其进行归纳统计,最终将业务流程所有识别出来的风险汇总形成风险矩阵和风险清单。在此基础上,对所统计的风险进行分类,判断每个风险点的风险等级、是否重要、是否紧急,并提出相应的风险控制措施。
在评估中,针对评估对象和评估要点,查阅该行电子银行风险控制相关文档记录,其查阅记录文档的范围涉及业务风险控制记录以及科技类风险控制记录。通过对风险控制记录的查阅,了解电子银行相关管控措施实施情况,除了用于评估该行的风险控制措施设计的有效性和合理性,还用于评估风险控制措施执行的有效性和及时性等方面。对该行电子银行业务相关系统配置及涉及业务系统的网络设备、安全管理设备、日志监控设备、数据库及中间件配置进行查看,查看范围涉及开发环境及运维环境。通过对信息系统管理及配置的查看,评估电子银行相关信息系统和信息环境安全控制措施的有效性。
5、项目实施总结
本文通过将电子银行安全评估框架划分为3个层面,以及按照工作的先后顺序划分为4个阶段,经过实践验证,其成功高效、顺利地完成了该行开展的电子银行安全评估工作,满足了银监会《电子银行安全评估指引》及其他相关的监管要求,并为该行或相同行业在今后的电子银行安全评估工作奠定了良好的基础,并提供了全面、细致的工作指导。
参考文献:
[1]中国银监会.电子银行安全评估指引[Z].
电力监控系统安全评估报告篇2
关键词:电网建设 限额设计 造价管理
一、做好电网规划
电网规划既是国家总体发展规划的一部分,也是电力系统规划的重要组成部分。电网建设投资巨大,大量的规划产生的待建项目,往往由于投资预算的限制,而得不到落实。许多电网项目常由于规划决策失误导致巨大的经济损失,不仅浪费了有限的投资,还失去了电网建设项目的有效投资回报。规划的浪费是最大的浪费,规划的节约是最大的节约,因此,为了有效地控制电网工程的造价,就应从规划阶段具有长远的战略思想,从经济角度和工程角度进行综合分析。
要建设强大的国家电网,就应从全局出发,用国家电网规划指导区域电网规划,根据地方电力负荷的需求进行整体布局。电网规划应优化结构,使其具有良好的供电可靠性,并且尽可能地降低输电电能损失,保证能安全地回收投资成本。全网在整体上要有良好的容载比、主变容量与配变容量比、各电压等级的线路长度比。电网规划主要包括以下内容:第一,预测未来的电源规划和负荷变化趋势,以及电力市场情况和电价水平;第二,对各种规划方案的分析和筛选,选出规划方案;第三,进行风险评估和投资分析,并估算可能的收益情况。
电网规划的一个目的是为了减少电网拥挤,而通常电网拥挤的状况可以在一定程度上通过边际节点电价反映,所以可通过计算和分析各节点之间的边际电价差来得出电网规划方案。具体步骤如下:第一,确定输电网中网络约柬情况,得到相应的规划方案;第二,根据电网在实际运行中受约束条件限制的累计时间长短,将对应的方案排序;第三,计算每种方案所需要的投资和能获得的总收益,分析其经济性;第四,将各种方案进行仿真,计算输电容量大小,确定各方案的性价比。初步确定几种电网规划方案后,应对这些方案进行技术评估,有线路路径的可行性、系统短路电流的大小、潮流分布的合理陛。此外,还应对这些方案进行经济评估,以减小投资风险,获得最大的投资回报。
二、可行性研究对工程造价的控制
1、电网建设项目可行性研究的内容和要求。电网项目可行性研究能为项目核准提供可靠的技术依据,科学、客观的编制可行性研究报告是电网建设项目工程造价控制的重要环节之一。通常电网建设工程的可行性研究报告包括这些内容:输变电工程可行性研究报告总报告、变电站工程选站及工程设想报告、电力系统一、二次接入系统报告、线路工程选线及工程设想报告、投资估算及经济评价报告、节能降耗分析报告等。可行性研究报告应满足以下要求:其一,充分对项目的必要性、系统方案进行论证分析,提出项目接入系统方案、本期规模和远景规模,同时应分析项目及方案的节能降耗效益。其二,提出影响项目规模、技术方案和投资估算的重要参数要求。其三,对新建工程站址和新建线路的路径方案进行必要的调查、现场勘测和试验工作,并进行全面技术经济比较,提出推荐意见。其四,经济评价所需的原始资料切合实际,电网电价调整需求合理、可信。其五,投资估算应能满足控制概算的要求,并和工程限额设计控制指标、通用造价进行对比分析。
2、多种技术方案比较达到技术经济的最优。可行性研究关键是对技术方案和设备选型进行分析和研究。具体包括以下方面:其一,电力系统一次方案。必须仔细论证电力系统一次方案,因为它决定了工程的总规模和技术装备水平,应论证其建设的必要性,提出接入系统方案,确定合理的工程规模和投产年限,提出技术经济合理的方案,并进行必要的电气计算,无功补偿平衡和调相调压计算,进行线路型式及导线截面选择,提出相关的电气设备参数要求。其二,电力系统二次方案。包括系统继电保护、安全稳定控制、相角测量装置、调度自动化子站、电能计量装置及电能量远方终端、系统通信、二次系统安全防护、调度数据通信网络接入设备等内容。其三,变电站或换流站站址选择。站址的确定对电网项目造价影响较大,应充分考察地理状况、土地使用情况、矿产资源、历史文物、出线条件、气象条件、站址环境、拆迁赔偿情况等。其四,变电站或换流站工程设想。主要包括:电气主接线及主要电气设备选择、电气布置、站区总体规划和总布置、建筑规模及结构设想、供排水系统、采暖通风和空气调节系统、火灾探测报警与消防系统等。其五,线路路径选择。依据变电站进出线位置、方向、电力网络结构、输电容量、电压等级、回路数、线路起止点及中间落点的位置和远近期过渡方案确定线路路径,应列出2-3个路径方案作技术经济对比分析来选择。其六,大跨越点选择及工程设想。包括:介绍跨越点位置概况、工程地质、工程水文条件及防洪影响评价情况,以及各方案对电信线路和无线电台站的影响、林木砍伐和拆迁简要情况及环境保护情况;确定跨越方式、塔高、塔头布置、导地线型式、防雷、接地方案等内容;说明铁塔材质及主要材料耗量,工程量及投资估算。
三、设计阶段对工程造价的控制
电网建设项目设计阶段的造价控制和管理是电网建设造价控制的关键环节,一个良好的设计既要能满足工作要求又能节省投资造价。近年来,随着社会用电量的高速增长,电网工程项目建设投资规模也在不断增加,投资浪费和项目“三超”现象在项目建设过程中较为普遍,许多项目忽视了工程造价控制和管理,甚至出现由于设计上的原因导致投资失控的现象。因此,设计人员一定要做好本阶段的工作,具体可从以下几个方面来完成。
1、推行限额设计。推行限额设计有利于强化设计人员的造价控制意识,促使他们进行项目全寿命费用的分析,比如:在输变电工程项目设计过程中对于主接线方案的确定和线路选线定位,以及防雷、抗冰、防冰、融冰等对运行成本影响较大设计方案的优化。使得设计人员全面分析、仔细考虑,认真权衡,努力降低工程成本,将工程造价控制在投资限额内。限额设计目标是根据可行性研究报告及其投资估算确定的,一般为工程费的90%。限额设计目标还要分解到各个单项工程,确定单项工程的投资限额。限额设计可分为目标分解与计划、目标实施、信息反馈等过程。首先应确定项目投资限额,在单项工程之间进行投资分配,确定各单项工程投资限额,再进行初步设计,并编制初步设计概算,看技术方案是否达到限额要求,达不到的重新考虑设计方案,达到的即可进行施工图设计,并编制施工图预算,使其满足限额要求即可进行工程施工。2、提高设计单位水平,切实提高设计质量。其一,实行iS09000系列质量管理体系认证。勘测设计单位应全面实行iS09000系列质量管理体系认证,使得勘测设计人员在内部审核管理约束和第三方的监督下,严格按照体系文件中的设计过程控制程序进行设计和后评价分析,不仅能有效提高设计质量,还能合理
控制工程造价成本。其二,加强设计、造价人员的管理。电网建设工程的新工艺、新方法发展和运用较快,使得工程设计、造价人员应掌握全面的专业知识,并不断补充新知识。设计单位要经常组织、造价人员进行培训、学习和考核。同时,设计人员和造价人员在实际工作中要紧密配合相互协调,既反对片面强调节约、忽视技术,又要克服重技术、轻经济、设计保守等现象。其三,健全设计单位经济责任制。设计单位应让设计人员承担相应的责任,对设计节约和浪费制定明确的奖罚标准,鼓励设计人员提高自身道德素质和业务素质,增强为业主控制投资成本的意识。其四,推行设计监理制。主管单位应制定电网工程设计监理工作职责,加强电网工程设计监理人才的培训考核和注册,并通过行政手段保证电网工程设计监理广度,使设计监理在电网工程中全面开展开来,切实提高设计质量。
四、招投标及合同价款控制
1、加强招投标的制度建设。国家电网公司除制定一般招标制度外,还应进一步制定招标技术文件来规范公司系统招投标活动、指导集中规模招标工作,如《国家电网公司招投标工作管理规定》、《国家电网公司供应商评估管理办法》等,并对下级单位的招投标制度制定情况进行检查监督。建设单位应完善关于招投标的制度建设,项目法人应依据国家电网公司的有关规定和国家招投标法,制订招投标管理办法和实施细则。
2、采用集中规模招标方式取得最大规模效益。电网建设通常规模较大,对于大宗设备物资采购应采用集中规模招标,这样不但能取得规模效益,加快资金周转,减少资金占用,还能有效减少制度执行中的缺陷,加强了廉政建设。2005年国家电网公司总部成功进行了六批项目的集中规模招标,中标金额达142亿元,包括电抗器565台、互感器3750台、变压器166台、组合电器27套、电容器70组、避雷器1750台、复合绝缘子87783支、导线25万吨、光缆7273公里等,共节约资金约14亿元,节资率9‰通过集中规模招标,能使公司以合理的价格采购到优质的产品,有效地降低了工程造价。
3、加强招标工作的指导和监督。上级电网公司应加强对下级公司集中招标工作的指导、监督和管理,实现招投标全过程的规范管理。落实招标、评标、定标三分离的原则,规范招投标和物资采购环节的各种收费,对发现的严重问题将进行通报,对招投标中的违法行为及时查处。
4、施工合同价款的确定。招投标工作主要是围绕着合同价款展开的,应按有关规定和协议条款约定的取费标准计算施工合同价款,具体根据工程预算书和中标通知书的中标价格来确定。在协议书内约定合同价款后不得擅自改变,但在适当情况下可进行调整。
五、施工环节的造价控制
建设单位应加强施工阶段的工程造价控制管理,使实际投入资金不超过合同价。在施工阶段,应从以下几个方面做好造价控制管理。
1、严格控制工程变更。工程变更是造成工程造价上升的一个重要因素。发生工程变更时,业主和相关单位都要严格按照相关要求和程序操作,任何变更都要有设计单位的通知单,并由监理工程师确认并签发才能生效,杜绝变更的随意性和主观性。
2、加强结算资料管理。业主要结合相应的合同条款、监理审核的工程量、设计单位或有咨询单位编制工程预算、承包商的资金使用计划等具体资料来进行结算。还应对各种变更费用进行严格审查,加大签证等资料的审核力度。
3、加强结算程序管理。监理首先对承包商上报的工程量进行审核,再由业主复审,由业主方的技经人员来计算工程进度款,经审计部审计后,再由公司财务部支付工程款。同时业主要逐步完善结算管理体系,加强结算时效性管理。
4、加强现场安全管理。电网建设项目施工过程中一旦发生安全事故,不仅会影响工程的质量和进度,还会造成工程造价的大幅增加。业主应加强安全生产和文明施工管理,制定安全生产和文明施工措施,预测危险点并采取预控措施,制定工程现场安全事故应急救援与处理预案,对突发事故实施应急救援并做出妥善处理。
5、加强竣工审计工作。工程项目竣工阶段做好竣工审计工作能有效杜绝计划外项目、重复多计工程价款、高套定额、高标准取费等现象的出现,控制固定资产投资规模,有效地降低工程造价。
电力监控系统安全评估报告篇3
关键词:继电保护;二次系统;在线监测;状态评估
中图分类号:F40文献标识码:a
电力系统数字化和智能化发展越来越快,继电保护二次系统在此背景下也日益复杂,电力系统的安全与稳定运行直接受到继电保护二次系统的故障影响。对于继电保护二次系统的检测与运行状态评估工作来说,电力技术人员一定要高度重视,为了保证二次系统的可靠运行,对于运行状态评估工作应该进行精确把握。目前,电力系统的设备不断增加安全需求越来越高,新的在线监测系统构建工作显得尤为必要,应该全方位的开展相关的继电保护二次系统状态评估工作,这是电力系统技术发展中的重要问题。
1当前在线监测系统的构建
继电保护二次系统在线监测系统在新的形势下显得尤为重要,下面对在线监测系统的构建就以下几个方面进行重点分析。
1.1系统概述
在原有系统的基础上,新系统中加入状态监控装置、数字录波装置和数字采集单元等,传统操作箱被智能操作箱所替代,信息传输通道则是光缆,ieC61850则是其信息传输标准,新的闭环在线监测系统就是上述方案和原有系统的组合,从而实现对于二次系统状态的在线监测。
对于在运行中的系统来说,合并单元可以就地采集模拟量,规约转换器采集相关的而保护装置接收的模拟量以及转换报告数据,而智能操作箱采集状态量,最后所有必要的数据信息都能从在线监测工作系统中获得。对于各项数据信息与模型来说,这些都是在ieC61850信息传输标准的基础上进行的,交换机进行汇总整理这些模型和信息,相关的综合监控装置以及故障录波装置接受传递数据,记录相关的数据模型,后台在接受信息以后,要想对于在线监测工作各项实时数据进行分析,可利用pLC可编程控制程序,直接实现相关的各种逻辑评估判断,以及状态检测工作。
1.2工作分析
1.2.1就地采集模拟量
合并单元和pt/Ct的端子箱合作开展进行就地采集模拟量工作,其中,前者安装于后者旁,它们都能够采集继电保护装置各种电流与电压的输入量,综合测控装置然后可以接受到ieC61850格式的数据。规约转换器可以实现数据信号的格式转换,即所有信号都能够转换到ieC61850格式。在采集所信号的同时,规约转换器的相关报告文件则是通过通信装置而生成,并作为文件进行存储,这也将是后期数据处理工作的主要依据。
1.2.2采集状态量
测控装置、保护装置的开出以及开入状态量是通过智能操作箱而进行接收,空接点是其信息采集接入的方式,这样情况下,任何保护装置的正常工作则不会在采集信号的过程中受到影响。智能操作箱一方面能够完成常规操作箱应该完成的工作,另外一方面还能够进行二次回路的监测工作。为了综合监控装置接收并分析这些信息,智能操作箱传递变位信息的方式是GooSe,这样所监测的二次回路运行的状态就能够获得。
1.2.3整合处理信息
综合测控装置主要作用就是在系统中开展数据整合处理,为了获取数据信息,通过ieC61850协议与监测系统连接,然后进行相关的整合分析。交换机会以其时钟同步功能在综合测控装置运行中为系统提供支撑。与此同时,整合处理信息的装置还包括网络故障录波分析器,这可以用来记录报文,还可以记录和分析故障电流和电压的信息。
1.2.4检测评估状态
主要通过可视化的软件以及pLC逻辑程序进行检测评估状态的实现,各种信息通过各种曲线和状态图等形式直观的在可视化系统中显现出来,同时,还可以可视化实现pLC的逻辑图呈现的保护元件的状态。这样的情况下,装置的开入与开出输入量可以呈现在线监测装置对输入与输出回路状态的检测过程,还能够借助继电器接入点对状态检修需求发出报警。
2二次系统的状态评估工作
2.1整合研究各项数据信息
系统中的电压、电流、无功、有功、直流系统、电气传感等各项数据信息通过在线监测系统进行捕捉,然后整合处理这些信息,进行二次系统是否存在传输错误的检查工作,细化分析各项数据显示的系统状态,记录问题的详细分析过程。整合分析各项数据的同时,为了保证在线监测系统的良好运行,分析重点就是以供电传输以及电能效应的相关数据,全面有效分析系统数据信息,使得电力系统继电保护装置和二次回路置得以严密的监测。
2.2结合数据信息判定系统状态
为了发现各项信息呈现出的异常运行状态,对比监测系统采集的数据与正常状态下的数据信息的工作,这些是在保证所有信息检测完成之后而进行,然后对于各项异常出现的原因进行进一步的分析,这就是为开展状态调整提供信息支撑。
2.3研究改进故障状态的措施
通过对继电保护二次系统进行检测与状态评估,若发现系统中存在着故障状态,则进一步对故障状态进行分析研究,找到故障状态产生的原因,采取相应措施,使二次系统实现安全可靠运行。具体来讲,主要是从监测数据信息展现出来的故障内部因素、外部因素,如发热、潮湿等,进而对相关二次回路进行有针对性的检查,及时准确地发现问题所在。然后,通过进一步分析也可以判断二次回路相关零部件的功能是否正常,发现其中的存在的问题,通过技术修理或更换,使二次回路恢复到良好的工作状态。当发现二次回路处于高危状态时,监测系统持续地发出危险报警,技术人员及时开展现场维修工作,使二次系统恢复至正常的运行状态。
结语
对于运行环境很复杂的继电保护二次系统来说,构建先进、可靠的在线监测系统显得尤为必要,应该及时进行检测与评估二次系统的运行状态,对于异常情况做到及时发现,明确原因后要正确地采取措施,以便问题的顺利解决,这样才能有效保证继电保护二次系统工作正常,同时使得电力系统安全稳定运行。
参考文献
[1]吴宏斌,盛继光.继电保护设备可靠性评估的数学模型及应用[J].电力系统保护与控制,2009,37(09).
电力监控系统安全评估报告篇4
关键词:中国网通公司 企业内部控制 体系研究
越来越多的中国企业登陆海外证券市场,美国证券市场是其中规模最大、最主要的。目前四大国有电信运营企业全部已经在美国上市,这些企业都要受到《萨班斯法案》条款的约束。《萨班斯法案》对海外公司和中小型美国公司的生效日期为2006年7月15日,如何完善自身内部控制体系,同时需要统一公司管理模式和业务流程,建立完整有效并与国际接轨的内部控制体系,以应对更为严格的证券市场监管已经迫在眉睫,成为这些企业要直面的课题。在海外上市的电信企业几乎都是老国有企业脱胎而来,有国有企业管理方面的通病,如基础制度设计不合理、制度执行不到位、监督控制缺位、流程环节过多导致效率低下等,在没有成功经验可以借鉴的前提下,遵从《萨班斯法案》条款的要求,迅速建立合理有效的内部监督和控制体系,通过海外证券监管机构的监管,对于提高中国企业的管理水平、企业价值的提升以及中国企业的海外声誉等,都具有非常现实的意义。
一、中国网通内部控制影响因素与框架
(一)影响部控制效果的因素
内部控制系统受固有局限的影响,首先是判断或操作失误。多数的工作都离不开执行人的主观判断和实际操作,可能因执行人员的粗心大意、精力分散、判断失误以及对指令的误解而导致设计得很完善的内部控制失效。其次是管理层的越权。内部控制系统的效果取决于负责其运行的人员。即便在有效控制的单位中,管理层也可能越过内部控制。管理层的越权是指为了不合法的目的而不遵守既定的规定和程序以获取私人的获益,或夸大企业的财务状况或合法地位。公司中层或者高级管理层成员可能会出于各种目的而越过控制制度,如增加报告中的收入来掩盖市场份额始料不及的下跌、增加报告中的赢利以符合不现实的预算、为了满足赢利计划支持与业绩相联系的分红、想掩盖对债务合同的违反或者遮盖对法规的违反。越权行为包括对银行、律师、会计或供应商有意做出不正确表达或有意地提供错误的文件,如订货单和销售发票。再次是合伙同谋。两人或更多人的合伙同谋行为会导致控制的失效,一些合伙违法的人会以控制机构不能识别的方式更改财务信息或其它的管理层的信息。如可能在一名行使重要控制职能的雇员同一位顾客,供应商或另一名雇员之间存在着同谋。在不同的部门、不同的销售人员或部门经理,可能会同谋使控制失效以使报告的结果满足预算或满足激励的目标。最后是成本效益原则。资源总是有限的,因此企业必须考虑与建立控制相关的开支和收益。在决定是否应该建立一个控制时,控制失败的风险及其对于企业潜在的影响应该和与建立一个新的控制相关的支出放在一起来考虑。关键是要找到内部控制的合适平衡。过分的控制是浪费和低效的,控制不足也带来控制失效风险。
(二)中国网通部控制框架模型
内部控制框架模型总体上应遵循CoSo报告,但应根据企业实际情况和特点,进行修改、完善、补充或局部加强。网通公司以CoSo框架为指引进行内部控制体系建设,具体包括公司层面和流程层面两部分。公司层面控制是指那些确保管理层设置在公司内部各个领域、各个业务层面的控制机制得以有效运转的机制。公司层面控制对流程、交易或实施层面的内部控制具有深刻的影响,并且为管理层提供一个机制以支持其监督和维护完善的内部控制体系。借鉴国际上通用的内部控制框架即CoSo框架,内部控制包括三个目标:经营的效率与效果、财务报告的可靠性、法律法规的遵循性;五个要素:控制环境、风-险评价、控制活动、信息与沟通及监控等;同一网络:内部控制要求覆盖到企业所有责任单位、责任人及业务活动,任何单位和个人不能游离于企业控制体系之外。根据会计科目对财务报告的影响程度和披露事项的重要性确定了与财务报告相关的业务流程,包括收入――市场、收入――网络运营维护、收入――计费、人力资源与人工成本管理、采购及支出、存货管理、固定资产及在建工程、一般会计处理和报告流程、预算管理、税务管理、资金管理、信息系统基本控制it和通信设备(计费相关)基础维护。
二、中国网通内部控制的影响要素控制分析
(一)控制环境要素控制要点
按照控制环境包括的七个要素确定控制要点,如(图1)所示。
(二)风险评估要素控制要点
首先,建立公司层面战略目标(包括经营目标、财务报告目标和遵循性目标)、战略规划(包括it战略规划)及相应的业务计划。在确定过程中通过预算咨询会方式,获得管理层及公司员工对公司目标的反馈信息。其次,通过编制3-5年规划和按年滚动调整方式,保持公司战略计划与战略目标的一致性。并通过预算调整程序,保持业务计划、预算目标与公司战略及经营环境的一致性,如预算调整程序。第三,管理层对内部风险因素,如舞弊因素、信息系统、财务(融资风险)、员工关系(包括薪酬在行业竞争性)等风险因素建立职责并进行适当的分析报告。第四,在日常管理活动通过非正式的风险评估程序,如生产经营综合分析形式,对公司面临风险因素的重要性程序及发生的可能性进行分析。最后,建立生产经营综合分析制度,管理层通过季度综合分析、月度综合分析和专题分析等生产经营分析会形式对公司生产经营状况、财务状况、预算执行情况、网络能力、计划建设、人力资源等方面进行综合分析。生产经营综合分析由财务部牵头,市场经营部、网络运维部、计划建设部、人力资源部等部门配合共同完成,为各级管理层决策提供支持,同时,对公司年度目标和经营计划的执行情况进行评估与更新。
(三)控制活动要素控制要点
首先,通过办公会议或公司领导专题办公会研究制定公司发展战略、发展规划、年度计划及其他重大决策,各部门根据公司的业务活动的特点和风险评估的结果,制定了必要的政策和程序。其次,制定明确的部门职责,对各单位的考核实行月度工作分析、季度考核和年度考核相结合的方式,不断完善绩效考核机制。第三,对各种业务活动和运营情况制定监督、检查、分析评价和通报机制,对重要事项按照“统一归口、分工负责、协调配合”的原则规定承办、督办要求。同时通过公司自检、定期上报和公司不定期抽查等方式,对执行情况定期进行通报,并纳入公司的考核体系。第四,制定业务稽核管理办法,建立业务稽核管理体系,定期对资源、业务量、营收业务、计费业务、账务业务进行稽核,对差错和问题及时纠正。第五,建立财务会计信息披露制度,要求按照集团公司统一的编制基础、编制依据、编制原则和编制方法编报财务会计报告,保障财务报告的真实性、完整性和及时
性。对期末结帐程序以及财务会计报告职能要与遵循职能相结合评估是否其与法律遵循要求的披露与准则的要求一致。第六,组织人员对年度财务报告和中期财务报告进行审核,根据审核结果对各单位年度和半年度财务决算进行考评。公司建立有关法律和遵循部门复核和确认对有关信息披露的事项政策。第七,制定信息系统的政策与程序,关注信息安全、计算机操作、变更管理及程序开发实施与维护等,企业信息化部制定了包括信息安全、计算机操作、变更管理、程序开发实施与维护等方面的政策和程序,定期审阅和更新这些政策制度,并以下发文件方式传达至员工。第八,建立敏感数据安全风险定期评估的政策与程序,各业务部门评估敏感数据的安全风险,并据此合理确立数据分类标准(包括安全等级)及其安全维护规范。系统管理员必须定期对客户数据和重要网络服务的数据进行数据备份。第九,制定针对于不同应用系统、数据库和操作系统的系统权限和访问控制的计算机网络维护规程,并定期复核,以保证各种数据的保密性、准确性、完整性和安全性。第十,法律事务部门建立法律法规文件库,设立政策法规专栏,内容包括最新法律、基本法律、工作动态、法制信息、电信法规,并定期更新,及时向管理层和员工宣告。最后,建立法律遵循事项监督制度,对公司重大决策、与合同签订、内部交易、销售实务及可疑活动等方面进行检查,对发现的违反法律行为予以监督。
(四)信息与沟通要素控制要点
首先,制定全面预算管理制度,在公司内上下级之间、同一级的各职能部门之间建立顺畅的沟通协调机制。其次,建立生产经营综合分析制度,并召开月度和季度的生产经营分析会,对公司经营计划和预算的执行情况进行评估,并对目标实际执行中出现偏差采取应对措施。第三,公司通过传真电报、通知等文件下发形式,或通过办公系统,将公司相关的政策和程序传达至各个业务分部和各职能部门。第四,制定员工岗位说明书或指导手册,对岗位职责及任职资格条件做出说明。第五,公司建立员工的投诉举报热线、电子邮箱等沟通渠道。第六,管理层应建立有效的与外部关系方的信息沟通渠道。公司可以通过国家部委和外部监管方的文件、期刊杂志、中介机构、互联网、广播、电视、公司采购及销售部门收集的市场和价格信息、外部来信来访、参加行业会议、座谈交流等渠道获取外部信息,并使这些信息在公司与客户、供应商、监管者等外部环境之间有效的传递。第七,明确规定客户投诉处理程序,建立与客户开放的和有效的沟通渠道和投诉处理机制;明确规定供应商投诉处理程序。建立与供应商开放的和有效的沟通渠道和投诉处理机制。第八,成立企业信息化领导小组或专业部门作为企业信息化工作的领导机构,负责企业信息化工作的统筹安排、协调及重大决策。第九,制定档案归档及管理制度,对文件材料(包括电子文档)的归档责任、归档办法和质量要求作出明确规定,对档案的收集整理、查阅、借阅、密级档案查阅办法作出明确要求。最后,成立保密委员会或专业部门,负责文件保密、计算机网络保密和保密技术的管理等工作。
(五)监控要素控制要点
首先,各个业务部门将生产经营数据与财务数据核对,如财务部在每月结算时进行发票核对、稽核计费系统与财务部门核对、网运部建立统计台账与会计账核对等。其次,财务部在编制会计报告前,核对账证、账账、账表是否一致,对差异情况进行调整,对账表不符属非正常原因的进行警告或通报。第三,各业务部门将生产经营数据与外部关系方数据进行核对,如业务部门与外部结算方核对、市场部进行网间结算的核对、财务部跟关联方核对关联交易和关联往来、财务部与供应商在年终函证对账。第四,制定书面的实物资产管理制度,对资产、记录及文档的接触限制。第五,通过下发年度、半年度财务会计报告的编报制度,要求各部门进行全面资产清查和债权债务核实。第六,制定有关实物盘点的流程及政策。相关部门负责对实物资产的记录、保护和定期核对。如采购与物流中心对存货、账销案存等实物资产建立备查簿,定期盘点;财务部对银行存款、现金日清月结,定期对账。第七,通过生产经营分析会的形式对生产经营活动进行综合分析,分析生产经营中出现的问题,下发经营分析通报;或者通过召开总经理办公会议和公司领导专题办公会议制定内部管理体制、听取下级单位的汇报,讨论决策重要事项。第八,通过组织内部流程质量审核,评价流程体系的适宜性、充分性和有效性,并对不适宜的部分进行调整。第九,通过效能监察等工作,检查各部门落实企业内部制度和实施管理活动的情况,发现问题,提出整改意见或建议,纠正违规违纪行为。第十,内部审计及独立第三方检查时保持其独立性与客观性,如实施审计派驻制,集团公司审计部向下派驻审计分部、大区审计处、室。各级审计机构受上级机构与驻地单位双重领导,业务以上级审计机构领导为主;分部人员任命由驻地公司推荐人选,报审计部批准认可。大区审计处人员任命由驻地公司聘任。其他人员的任命由驻地单位推荐,审计分部同意,驻地单位聘任管理。最后,执行质量保证制度并实施检查程序,保证审计工作的质量,包括工作底稿编制审核、审计报告审核、内部检查及客户调查等方式;建立重要事项报告制度。明确各级机构的报告渠道和报告方式;管理层每年对公司内部控制进行审核,对公司内部控制的重大缺陷进行分析并提出改进措施。
三、中国网通的反舞弊机制建立
从《萨班斯法案》出台背景、目的和法案内容看,主要针对的管理人员舞弊行为,特别是会计造假,而反舞弊的机制贯穿于CoSo框架的各个要素。建立良好的内部控制并认真遵循和执行,固然可以减少错弊的出现,但管理人员舞弊可以使内部控制失效或制度执行效果下降。因此,对于舞弊这种明显带有主管故意的行为,内部控制框架设计时有必要特别予以关注。反舞弊机制在内部控制报告中应当有专门的阐述。中国网通反舞弊机制主要针对内控制度的局限,应从以下几个方面着眼:首先,营造反舞弊控制环境。建立高级管理人员和员工的道德及行为准则,定期检查和复核道德守则和行为准则遵守情况,并对发现的未能遵循情形予以通报。其次,建立预防、识别公司舞弊风险的内部控制措施与程序。运用风险评估的测试方法,对舞弊风险进行评估测试。另外,管理层建立相应措施积极关注舞弊信号,对舞弊多发领域和环节设置更多的内部控制关注点。第三,建立有效投诉举报渠道。建立并畅通电话、电子邮件、信函等多种举报渠道,包括内部员工或外部供应商、客户、其他关联方等利益相关方的举报,使有关舞弊的信息得到有效传递。同时,有效举报渠道的存在也是对舞弊行为的一种威慑和控制,因为它可以使舞弊的成本和被发现的概率增加。第四,对舞弊或违法行为采取必要的措施,并建立报告渠道。对发现的可能舞弊或违法行为采取必要的跟进措施,包括调查人员的组成、实施必要的调查程序。建立对可能舞弊行为的报告渠道,将发现的内部控制中的重大缺陷或者实质性漏洞汇报给高层管理层,特别注意报告的时效性。最后,针对舞弊反映出的内部控制缺陷进行评估改进。公司管理层定期对舞弊行为情况或者可能舞弊举报情况进行汇总、分析,在此基础上重新评估内部控制,试图发现内部控制重大缺陷,并提出具体改进措施。
四、中国网通内部审计及公司治理
(一)健全以董事会为中心的公司部审计机制
公司治理包括三大机制,即决策机制、激励机制和监督约束机制,公司内部审计机制则是监督约束机制重要的核心组成部分,并对其它机制运行产生一定影响。中国网通目前内部审计机制主要为经营层服务,强调组织效率和审计独立性,总部对下属单位实行内部审计派驻制。由于在英美公司法治理体系下,不设立监事会,应选择以董事会为中心的架构改造内部审计监督机制。首先,增强董事会的审计权。增强董事会的事前、事中、事后审计权,特别是事前审计和事中审计权,需从三个方面着手:一是财务审计权,二是战略审计权,三是人绩效审计权。董事会作为治理主体必须具有这些权力。公司内部审计制度应当经董事会批准后实施,审计负责人向董事会负责并报告工作。其次,改善董事会审计信息质量。董事会拥有足够的高质量信息,才能监督、控制各个系统,完成以股东为首的利益相关者赋予的职责。由于独立董事的工作时间有限,提供给他们的信息必须简捷而准确,所以需要对各类信息及其来源进行鉴别,由审计委员会负责审查公司财务活动及相关信息,同时提供审计信息。如果审计委员会成员缺乏足够的时间和精力,审计信息质量就难以保证。通过限制审计委员会成员的兼职、强化内部审计师职责和外部审计师责任,可以使其更好地完成信息收集、审计工作,提出审计建议。再次,评价董事和董事会绩效。通过董事和董事会绩效评价,明确董事个人与董事会的集体作用及责任,可以促进董事会更有效率。对董事会与经理层绩效进行评价,是独立董事的主要职责之一。独立董事组成的审计委员会或公司治理委员会、提名委员会(均称为绩效评价委员会)代表所有利益相关者对董事和董事会绩效进行评价。绩效评价委员会根据董事的能力确定责任,如战略规划的责任、选择经营者的责任、作为监督者的责任、风险管理责任等;根据责任确定董事的相应目标,并对目标实现程度进行评价;评价结果由绩效评价委员会提交股东会。中国网通已经建立了较为完善的董事会绩效评价制度,但内部审计机制对其支撑还有待完善。
电力监控系统安全评估报告篇5
关键词:安全运维;技术支撑;信息安全
中图分类号:tp3文献标识码:a
1引言(introduction)
为进一步规范信息安全管理,提高信息安全管理水平,建设一套集“监、管、控”功能为一体的安全运维管理平台势在必行[1,2],通过对it基础设施与应用系统的集中监控,实时反映it资源的运行状况,对事件、问题、变更、配置等运维服务进行集中处理,最终实现信息资产可知、运行状态可视、服务流程可管、运维操作可控,全面提升信息安全保障能力,有效支撑业务系统的稳定运行,为运维工作提供有效技术支撑。
2it运维中存在的问题(problemsintheoperation
management)
随着it业务和规模不断在扩展,给信息中心人员的管理带来了一定程度上的难度,主要体现在以下几个方面:
一是随着网络环境的日趋复杂,传统的“来电响应式”的it运维管理模式无法及时发现潜在的网络异常及隐患,如何实现网络的事前管理和透明化监控是保障应用系统稳定运行、核心业务正常运转的关键。
二是业务系统的数量不断增多,往往是业务部门向信息中心反映系统出现问题后,运维人员才发现系统出现了故障,具有滞后性。同时无法从业务角度来审视系统的健康度,导致故障无法快速定位业务故障点,也无法通过资源的故障判断它所影响到的业务系统等。
三是缺少有效技术手段,对网络边界完整性进行监控与管理,不能及时发现私自内联与非法外联等高风险行为。对业务访问、后台运维等操作行为缺少必要的监控与审计管理技术手段。
3建设内容(thecontentoftheconstruction)
信息系统安全运维管理平台应该包括以下内容:
3.1综合监控管理子系统
综合监控管理子系统实现对it基础层的路由交换设备、安全设备、服务器、数据库、中间件、服务等以及资源关联的应用进程、端口、日志等的全面监管,帮助管理人员及时了解it架构(各类it资源)的运行情况,形成安全事件关联分析,支持策略管理,能自动或手工设定启动相关事件处理流程。
3.2安全运维服务管理子系统
运维服务管理子系统是安全管理、日常工作和服务管理的有机结合。运维服务管理子系统应基于itiL(运维管理最佳实践等)和实际管理需求,提供服务流程管理、业务资源管理、安全管理为主的综合性管理,以保障运维管理的规范化和标准化,提升日常运维管理效能。
3.2.1安全信息采集与分析
采集各种厂商、各种类型的日志信息,针对采集的各类安全要素信息,实现性能与可用性分析、配置符合性分析、安全事件分析、脆弱性分析、风险分析和宏观态势分析。其中,风险分析包括了资产价值分析、影响性分析、弱点分析、威胁分析等;宏观态势分析包括了地址熵分析、热点分析、关键安全指标分析、业务健康度分析、关键管理指标分析。可集成第三方安全管理中心软件。
(1)安全事件采集
根据前期从各种网络设备、服务器、存储、应用等对象收集的各种安全资源、对象的安全事件、安全配置、安全漏洞、资产信息等数据,进行范式化处理,把各种不同表达方式的日志转换成的统一的描述形式。
(2)安全事件分析
透过智能化的安全事件关联分析,提供基于规则的关联分析、基于情境的关联分析和基于行为的关联分析技术。
管理对象的日志量和告警事件量应在应用系统拓扑图显示;用户点击拓扑节点可以查询事件和告警信息详情;可以对一段时间内的安全事件进行行为分析,形象化地展示海量安全事件之间的关联关系,从宏观的角度来协助定位安全问题。
安全事件以可视化视图展示,具备多种展现手段,至少包括事件拓扑图、ip全球定位图、动态事件移动图、事件多维分析图、资产拓扑图等。
3.2.2安全隐患预警与处置
采用主动管理方式,能够在威胁发生之前进行事前安全管理。主要提供安全威胁预警管理、主动漏洞扫描管理、主动攻击测试等方式配合进行安全核查。
安全威胁预警管理,用户可以通过预警管理功能内部及外部的早期预警信息,并与资产进行关联,分析出可能受影响的资产,提前让用户了解业务系统可能遭受的攻击和潜在的安全隐患。
主动漏洞扫描管理,能够主动地、定期自动化地发起漏洞扫描、攻击测试等,并将扫描结果与资产进行匹配,进行资产和业务的脆弱性管理。
配合安全检查管理,够协助运维管理人员建立安全配置基线管理体系,实现资产安全配置检查工作的标准化、自动化,并将其纳入全网业务脆弱性和风险管控体系。
3.2.3告警管理
为了全面的收集各类事件告警,系统应提供所有事件告警的统一管理。
(1)告警内容
告警内容包含事件的节点、类型、级别、位置、相关业务等,帮助运维人员在收到故障报警时能够迅速了解故障相关的资源、人员、业务等信息,快速作出反应。
(2)告警处理
系统需要针对各业务系统涉及it资源环境进行实时故障处理。它能从主机和业务系统的各个环节收集事件信息,通过对这些信息的过滤、处理、关联,分递给相关人员,使得最重要的故障能够优先地被关注及处理。
告警消息能按照应用类别、消息种类、消息级别和处理岗位进行分类处理。消息种类可分为:操作系统、数据库、中间件、存储、硬件、应用、安全和网络等。
(3)告警
能对告警级别进行自定义,根据级别确定电话告警,短信告警,邮件告警的方式进行报警。
3.2.4风险管理
信息安全风险管理工作是在安全信息分析与处理功能的基础上进行信息安全风险评估、信息安全整改任务等工作。
信息安全风险评估,根据安全信息分析结果开展风险评估流程,将风险评估结果形成丰富而详细的图形及报表。
信息安全整改,将信息安全风险评估信息汇总,归并各个部门需处置的信息安全风险,进行集中处置工作并进行整改落实情况分析。
4结论(Conclusion)
建立以资产管理为基础,项目管理为纽带,以信息系统为核心,建立对it业务的全生命周期的完整管理,从状态监控、行为审计、风险评估、服务管理四个维度建立起来的一套适合安全运维工作需求的统一业务支撑平台,使得各类用户能够对系统的关联性、健康性、可用性、风险性、连续性、安全性等多维度进行精确度量、分析评估,实现事后运维向事中运维以至向事前防范的转变,最终实现信息系统的持续安全运营。
参考文献(References)
[1]景义琼.基于itiL的网络运维管理系统的设计与实现[D].复
旦大学,2010:15-18.
[2]李荣华.基于itiL的it运维管理系统的设计与实现[D].北京
邮电大学,2010:13-15.
[3]李长征.电子政务运维管理的关注因素[J].信息化建设,2009
(02):1-2.
电力监控系统安全评估报告篇6
关键字:会计信息化信息工程监理必要性实施监理
21世纪,信息技术的突飞猛进,会计这一传统职业正随着信息化社会的发展进行着深刻的变化。在信息时代,企业信息化能极大的提高企业的核心竞争力,而会计信息化是企业信息化核心的之一;社会经济的快速发展和社会分工的细化,使得企业的边界越来越模糊,会计信息更加分散;会计信息化就是要充分利用网络社会的优势及时、准确的进行会计信息采集、存储和处理,为企业管理、分析、决策提供强有力的信息支持。由于会计信息化系统是一个复杂且专业性极强的信息系统工程,为了提高和保证会计信息化建设的质量,有必要在会计信息化建设中引入中立、客观、专业的信息工程监理制度。
会计信息化和会计电算化的区别
我国从70年代末期开始引入会计电算化,信息技术在财务领域得到快速发展,由过去独立的、核算型的会计电算化,发展为现在网络化的、与其他信息系统互连的、面向管理和决策的会计信息化。会计信息化在会计电算化的基础上产生了质的飞跃。讨论会计信息化问题首先需要分清会计信息化和会计电算化的区别。
会计电算化产生于工业社会,一般作用于财务部门范围内,设计时只考虑了财务部门的需要,与业务处理和管理控制相分割的独立的信息系统;它是基于手工会计系统的基础发展而来,模拟人工业务流程,主要是为了减轻手工操作系统的重复性劳动,提高工作效率;现行的会计电算化系统由于所产生的环境束缚和理论基础,决定了它是以事务处理为主的事后核算型信息系统。
会计信息化是建立在现代信息技术环境下的会计信息系统,它充分利用计算机技术和网络技术,通过计算机网络自动、及时、准确、完整的采集、存储、处理整个企业财务信息,对外获取和披露相关信息;会计信息系统不再是信息孤岛,它是企业信息化中的非常重要的组成模块,和企业信息化中其他模块唇齿相依;会计信息化系统是从企业管理者角度来设计的,强调管理型会计模型,充分发挥会计在企业管理和决策中核心作用,使得会计工作真正从核算型会计向管理型会计转变,会计核算只是其主要职能中的次要职能;会计信息化对会计信息处理流程进行根本性的改变,它基于事件驱动模型,用集成化的方式,面向对象的方法进行设计,使其能为会计信息使用者提供准确、完整、及时、合理的会计信息。会计信息化将从两个方向发展:面向日常事务处理的基于事件驱动的企业内集成的会计信息系统;面向分析处理的智能型会计决策支持系统。
信息化工程监理的职能
信息系统工程监理是指在大型信息系统工程建设中引入第三方参与的管理机制,在业主或项目建设管理机构的授权委托下,根据项目的建设目标、业务需求和质量标准,对承建方提出的技术方案、项目管理活动以及系统设计、开发、集成和实施部署等活动进行全方位、全过程的审核、监督和控制,以保证项目在预算范围内按时按质完成,保护业主的利益,规避或降低项目的风险。信息工程监理主要有六个方面的职能:
(一)评估职能。监理方根据业主提出的系统建设的构架和需求,提出可行性评估意见;同时对承建方的资信以及提交的项目建议书和实施方案进行评估。从而保证系统建设总体方案的科学性、先进性、实用性与合理性,为项目的顺利实施打下良好的基础。
(二)审核职能。监理的审核职能主要包括两个方面。一方面在科学评估的基础上,对信息系统建设工程的合同进行审核。由于信息系统建设工程合同属于专业性很强的技术合同,不仅涉及各种技术细节,还包括业务流程、知识产权和双方的法律权责等方面。另一方面,对双方的各种开支、技术报告与资料、工程计划与组织实施方案、系统工程的结算、以及各种软硬件的型号、规格和质量等进行审核,以保证经费的合理使用、系统设备质量和工程的顺利进行。
(三)检查职能。监理的检查职能主要是在系统建设过程中检查、督促承建方严格执行合同所规定的各项要求与技术标准;检查承建方提供的软硬件设备是否符合要求,包括是否是合同规定品牌与型号、系统参数与配置是否符合要求、附件与资料是否完整等;检查与控制系统开发、安装、调试、施工的质量与进度,实行阶段性验收;按合同规定和各种技术标准对软件进行功能性、可靠性、稳定性、可维护性、兼容性等诸方面的测试;督促各种技术文档的整理;组织系统总成的测试与验收等。
(四)咨询职能。监理的咨询职能主要是为业主和承建方双方提供咨询服务。业主往往精通业务而不擅长信息技术,而承建方擅长信息技术而不熟悉业主的具体业务,所以业主和承建方在制定需求和计划以及项目实施、验收时,可能会存在许多沟通障碍,从而降低了系统实施效率。监理作为中介,可为业主提供专业的信息技术咨询服务,为承建方提供企业的业务咨询服务。
(五)协调职能。监理的协调职能可分为系统内部的协调和系统外部的协调。系统内部的协调是指在信息系统工程建设内部各种关系的协调,如内部的人际关系、内部的组织关系、内部的需求关系等。系统外部的协调是指在信息系统工程建设项目整个活动过程以外的关系协调,包括协调业主单位与承建方单位的合同关系,以及协调他们与主管部门和机构、新闻媒体、社会团体等的关系。监理在执行协调职能时应采取公平、公正、独立、守法、诚信、科学的原则。
(六)报告职能。建立项目监理的汇报制度是保证工程顺利进行的有效方法,可使工程实施处于透明可监控状态。监理单位依据所采集到的信息和资料,将定期和不定期地向业主和承建方提供监理周报、月报、书面通知和回复等监理文件,这些文件包含了监理过程中有关对项目实施的控制和管理信息。除此之外,还需提供项目可行性分析报告、评估报告、验收报告等。
会计信息化建设中建立信息系统工程监理的必要性
会计信息化系统的信息工程监理属于信息系统工程监理的一部分,但它更注重会计的专业性,需要高素质的同时精通会计和计算机信息技术两方面知识的监理人员。虽然,会计信息化系统只是企业信息化系统的组成部分之一,但有必要在信息系统工程监理中建立专门的会计信息化系统工程监理。
(一)信息系统工程监理是信息化系统建设成功的关键之一。企业信息化建设是高风险投资,pmi的一项统计数据表明:在信息化项目中,43%的项目完成后超出预算,62%的项目超期完成,58%的项目验收时达不到合同要求。信息系统工程建设具有科技含量高、涉及的领域宽广、投资大、周期长、高风险的特点;而且在信息系统工程建设中,很多业主单位在技术、能力、人员等方面的不足,对实施的难度估计不足,对实施效果期望过大,缺乏自身对信息系统工程控制能力,这必然造成系统建设过程中对于质量、进度、投资和变更等方面管理问题的出现;另一方面,对供应商而言,虽然在技术性信息管理方面一般不会出现问题,但由于系统建设必然还要大量涉及业务方面的内容,而这部分信息的管理又因为行业的不同而各有特点,因此供应商有可能在对业务信息的管理方面存在缺陷,这也会对工程建设造成很大的影响。鉴于这种在信息工程应用系统中用户和供应商双方信息的互不对称性的客观存在,根据国内外成功的经验表明:由用户委托专业的第三方监理机构,建立工程监理制度,对工程建设的全过程进行有效监督管理,使其处于严格的监控之下,可以大大的降低工程建设风险,保证工程质量、进度、投资控制目标的完成。实施信息工程监理有助于降低风险,它也是国际上风险控制的一种通行惯例。
(二)会计信息化系统是一个复杂性的系统工程。会计信息化系统是企业信息化系统的一个子系统,它是基于事件驱动模式的信息系统,即会计信息的采集、存储、处理、传输嵌入在企业业务处理系统中,或者说管理信息系统和企业的业务执行系统融为一体,在业务发生时能够实时采集详细的业务、财务信息,并且进行处理和控制,从而使会计信息化系统不仅能执行事后的统计分析评价,而且能够进行事中控制。这种系统的核心是集成,即集成业务处理和信息处理,集成财务信息和非财务信息,集成核算与管理,使会计信息系统着眼于企业全局。现代企业发展的多元化,以及企业的边界模糊化,使会计信息化系统需要把电子技术、计算机技术、网络技术、软件开发技术和通讯技术紧密地结合在一起,在业务发生时实时的、自动的跨地区、跨行业、跨部门采集详细的业务、财务信息进行存储、处理、分析和传输。正是由于会计信息系统的复杂性,为了保证工程质量,需要有第三方监理对项目进行全程咨询、监督和评估。
(三)会计信息化系统是企业经营管理的重要工具和手段。企业经营的主要目的是为了获取利润,企业财务管理的目标应该是“企业价值最大化”或者“股东财富最大化”。财务管理作为企业管理的组成部分,与经济价值或财富的保值增值有关,是关于创造财富的决策,企业生存、发展、获利的总目标离不开财务的筹资、投资以及对资金的运用管理。另一方面,财务管理目标是制定生产目标、销售目标等一系列目标的基础和前提,这使得财务管理在企业管理中处于一个核心地位,财务管理目标将从根本上反映企业的总目标。所以确立一个合理的财务管理目标对企业的长远发展有重要的意义。正因为财务管理在企业管理中是如此的重要,作为进行财务管理的工具和手段的会计信息化系统在企业信息化系统中同样具有重要作用。会计信息化系统从企业信息化系统获取、分析、回馈、会计信息时必须做到合法、真实、准确、及时、完整。会计信息化系统作为企业经营管理的重要工具和手段,为了保证企业的管理和决策获得准确、及时、完整的信息,在会计信息化建设中应引入第三方监理对项目的设计、实施和验收进行咨询、监督和测评。
(四)会计信息化系统的建设具有很强的专业性。会计信息化系统是集会计理论和实践与现代信息技术为一体的专业化的信息化系统。现代信息技术只是实现会计信息化的工具和手段。会计信息化的理论基础是现代会计理论和实践。只有具有深厚会计理论知识才能从繁杂的系统数据中获取必要的信息,剔除冗余的信息,正确处理获得的信息。另一方面会计信息化系统的现代信息技术需要整合电子技术、计算机技术、网络技术、软件开发技术和通讯技术,也具有极强的专业性。所以要求从事会计信息化建设、监理、管理的人员,不但需要精通信息技术,还要熟练掌握相关的财务理论和财务方法。由于,业主和承建者一般都只擅长于自身业务,而会计信息化工程监理方的监理工程师不但精通信息技术,还熟悉财务业务,他们可以为双方提供详细而专业的咨询、协调、评估。
会计信息化工程监理的实施
在会计信息化项目工程监理中我们一般将监理过程分为三部分:项目前期监理、项目过程监理、项目后期监理。监理的主要内容包括项目实施目标和计划的监理、项目投入资源和项目成果的监理、项目实施效益的监理。
(一)项目前期监理。在项目启动之前,就需要对会计信息化项目进行监理。在这个阶段,业主一般会对整个项目抱有较高的期望,但对项目的实施进程、项目所需的投入和实施过程中可能出现的问题和阻力没有或不是非常了解。监理方在此阶段主要为业主提供项目立项、总体计划制定、招标等方面的咨询和协助。
1.对会计信息化项目进行可行性分析,确保项目的科学性、完整性、实用性和可实施性。可行性分析是项目立项的基本保证。监理方通过对业主的会计业务的了解,研究项目的经济可行性、技术可行性、法律可行性,以及项目的实用性;提交可行性分析报告,说明项目的实现在技术、经济和社会条件方面的可行性,评述各种可能方案,并加以论证。
2.协助业主制定会计信息化总体计划、范围和目标,确保项目的总体范围和目标以及对项目的期望值合理。监理方根据“够用、实用、易于扩展、易于二次开发”的理念,对业主进行的会计信息化系统需求分析的相关内容、过程、活动进行审查,确认是否满足要求,是否符合要求,协助业主根据会计信息化系统需求分析制定会计信息化总体计划、范围和目标。
3.对会计信息化系统的招投标进行监理,维护业主利益,提高经济效益,保证项目质量。首先,监理方应协助业主对投标单位的资质和质量管理体系审查,投标单位应具备一定的软件企业资质、系统集成企业资质以及在会计信息化领域的成功经验;监理方要全程监督招标过程,维护招标过程的公开、公平、公正;监理方应协助业主与承建方之间对各种合同进行分析、谈判、协商、拟定、签署等活动,切实维护合同双方的利益,规避项目风险。
(二)项目过程监理。它主要是指在会计信息化项目的进行过程中,对项目进行监督和控制,其主要作用和任务是控制项目实施过程中投入的各种资源和达到的目标,使之达到项目实施计划的要求。
1.项目工程质量监督是监理工作的重中之重。会计信息系统建设过程是人的智力劳动过程,容易受人的主观性影响;另外,信息工程的可视性差,质量缺陷较隐蔽,故障定位比较困难,改正错误的代价大。而会计业务的特殊性对信息系统的稳定性和数据处理的准确度要求极高,所以工程质量的好坏决定了项目的成败。监理方对项目质量进行监督管理和协调,既要按照自己的质量控制体系从事监理活动,还要对承建方的质量控制体系以及业主的工程管理体系进行监督和指导,使之能在工程建设过程中得到有效的实施。在监理过程中以质量预控为重点,准确把握质量控制的关键点,对关键工序进行全程跟踪参与,做到对项目质量的事前、事中、事后控制,确定消除产生不良结果的方案。
2.信息系统安全性是会计信息系统建设中的关注焦点之一,也是信息系统监理的重点。财务信息是企业的核心机密,篡改、遗失、泄露、伪造、毁损财务信息将对企业造成不可估量的损失。但信息系统工程的安全没有绝对的只是相对的,要根据会计信息系统的特点,充分考虑系统的安全性、可用性以及投资成本的协调,制订出系统所需的安全度。监理方要确保承建方在合理的投资控制前提下,信息系统安全设计上尽可能没有漏洞;确保信息系统安全在可用性、安全性、完整性与信息系统的可维护性技术上的协调;监督承建方按技术标准施工,检查设计过程中的安全隐患和现象,加强承建方的安全意识;协助业主制定或完善信息安全管理制度和规范,督促业主加强信息安全管理的教育,使相关人员树立强烈的安全意识,严格执行安全操作和管理。
3.为了在规定时间范围内保质保量的完成会计信息系统建设,必须对项目进度进行控制。严格的进度控制有利于降低信息系统的投资风险,维护良好的项目管理秩序,使其能尽快发挥投资效益。项目监理方运用运筹学、网络计划、进度可视化等技术,完善项目控制计划,审查承建方的施工进度计划,做好各项动态控制工作,协调好各方关系,预防并处理好工期索赔,以求设计的施工进度达到计划施工进度要求。监理方用动态管理和主动预控相结合的方法对承建方实际进度情况全程跟踪监督,及时进行分析和评估,对那些出现偏差的工作采取必要措施,适时调整进度计划,以保证项目按原定进度执行。
4.对会计信息化项目投资控制的目的在于降低项目成本,提高经济效益。投资控制应坚持投资最优化、全面成本控制、动态控制以及责权利相结合的原则。监理方不能简单的把投资控制理解为使项目实际成本控制在计划投资范围内,应认识到它是与质量和进度控制同时进行的,实现投资控制的同时需要兼顾质量和进度目标。监理方应从项目的全寿命期的投资费效比来进行投资控制,立足于项目的整体经济效益。监理方应督促承建方编制项目费用计划并审核其可行性;定期审核承建方提交的工程阶段性报告和付款申请;确定工程变更引起的投资计划变更。
5.变更在信息系统建设过程中经常发生,监理方的变更控制就是评估变更风险,确保变更的合理性和正确性。由于信息技术更新速度快,以及承建方在工程实施过程中根据业主的实际情况需对技术方案做适当调整,以更好的满足业主的需求,所以一定范围内的变更能更好的实现项目目标。监理方对可能发生的变更应保持预控能力,防患于未然;对变更请求做出快速响应,以应付各种突发事件;明确变更范围,防止变更范围扩大化;所有变更应得到三方的确认;谨慎评估变更风险和效果,选择对项目总体计划冲击最小的方案。
(三)项目后期监理。项目后期监理主要是指会计信息化项目完成后,再对项目的整个实施过程进行回顾、分析和评判,考察会计信息化项目实施结果,分析项目实施的得失,对会计信息化项目实施结束后继续进行监督和控制。
1.在会计信息化工程完工后,监理方应协同业主对项目进行评估与验收,以确保实现设计目标。监理方应按照合同审查承建方提供的各种审核报告和测试报告内容;评审承建方的测试手段和流程;与业主一起组成验收委员会;根据合同和相关技术标准审核软件配置和验收测试;对所取得的测试结果与项目设计书中的各项指标进行分析、比较和评估,并出具科学的验收报告。
2.完善的售后服务是保证会计信息化系统正常、高效运行的必要条件。监理方应监督和审查业主和承建方以及其他售后服务商签订的各种售后服务合同与条款;监督承建方对系统的后续升级和改进;督促承建方按照合同规定,为业主提供相关的人员和业务培训服务,确保系统的正常运行。
会计信息化项目监理是要规范会计信息化工程,更好的促进会计信息化建设,为会计信息化和企业信息化保驾护航。要想把会计信息化项目建设好、管理好,不能采取“重实施不重规划、重测试不重评审、重结果不重过程、各管一段”的监理模式,既要有一个可行立足本企业实际兼顾长远发展的规划,也要有一套切实可行的项目管理方法,对项目从立项到验收的每个阶段都要一步一个脚印、踏踏实实按确定的计划和方案推进,对项目至始至终实施全程监理,这关系到会计信息化项目的成败。
参考文献
[1]葛乃康:《信息工程建设监理》,电子工业出版社,2002年
[2]何曙光、李钢等《信息系统工程监理研究》,《天津大学学报(社会科学版)》2004年第2期
[3]宋振晖《信息系统工程监理实施模型》,《信息技术与标准化》2004年第6期
[4]佟芳芳:《信息系统工程监理发展探讨》,《信息技术与标准化》2004年第11期
[5]信息产业部:《信息系统工程监理暂行规定》,2002年
[6]杨周南:《论会计管理信息化的iSCa模型》,中国会计学术研究网
电力监控系统安全评估报告篇7
一、电子商务系统审计的必然性和必要性
在商业活动实现网络化之前,采购是面对面或通过纸质文件进行的,有迹可查,即使是电子交易,其设备结构是专用的,一般只限于已知用户使用,任何外部用户必须是已知的、身份明确的、可追踪的;系统通常是主机结构方式,相对易于监督、控制和审计。与传统商业相比,万维网客户/服务器系统的特点是高度分散,资源共享、服务分散、顾客透明度高等,而电子商务的运作速度更快、业务循环周期更短、风险更大、更高程度地依赖于技术。电子商务系统的技术基础和市场的快速变化意味着传统的衡量方法已不再适用于企业的某些资产,财务报告不能充分提供企业的状况和价值方面的信息,特别是网络企业的无形资产,如商誉、客户忠诚度和满意程度等这些产生长期价值的关键资产。核实确认这类资产价值的困难在于缺乏足够的历史数据、合适的参照标准、先进的实践经验以及对网络的各种威胁和概率的准确估算。企业管理层以及公众都需要寻找能够用以表述网络企业的可信度、安全性及其他资产价值的方法,需要一些新的核查和审计方法,更有效地评价无形资产,如知识、品牌等。因此,电子商务系统审计就成为历史的必然。由于,电子商务的可靠性、适用性、安全性和性能等方面受到的威胁或存在的风险,都可能会影响其生存和发展。风险因素包括:商业信息的泄露、智能财产的不当使用、对版权的侵犯、对商标的侵犯、网络谣言和对信誉的损害等。因此,进行必要和客观的审计,才会使董事会、审计委员会、高级管理层对电子商务系统的安全运作和效益满意和放心。
二、网络风险和风险管理
网络风险如同自然灾害一样不可预见。风险管理的关键在于风险评估,风险评估就是要分析和衡量风险事件发生的概率及后果,引起风险的因素及其关联因素,出现风险的关键点采取什么方法能够减缓风险,风险出现造成后果如何,以及评价管理层是否履行了应有的职业审慎进行防范和控制。同时在评估中还要为各项因素设计评价比率,计算各种风险的影响后果,根据影响和后果排序,对高风险因素作进一步的分析。
通过风险评估,可以认识到潜在风险(威胁)及其影响,以便对高风险领域作一些防范、检测、控制、减缓和恢复的工作计划和安排。这些计划和安排应涵盖对各项控制成本,主要是指接受、避免、转移、监测成本的分析以及各项工作的先后次序。
三、电子商务系统审计中网站的合法性证明
网络终端用户都会关注网站是否来自一个真实的、可靠的机构,提供的信息是否准确真实,机构背景是否正当合法,个人信息的隐私权是否得到保护等。所谓隐私权是指对个人的数据/信息的搜集必须合法、公平,必须用于某一特定、公开的目的,必须取得该个人的同意并受到保护,本人必须有权进入系统进行修改或删除,信息的越域流动和将来的使用、披露必须予以安全保证和限制等。
解决这些网站合法性问题的途径之一就是由一公证机构提供可靠的证明,以使网络终端用户能对网站提供的电子商务放心。如Verisign,tRUSte,BBBonline,webtrust,Systurst等都是具有良好的信誉并且提供证明-查证服务的专业组织机构。网络终端用户可以通过查询这些公证机构的记录,获得确认被访问网站的名称、有效状态、服务器标识等信息。
四、内部审计和电子商务系统审计
美国注册会计师协会对“核实查证”的定义是“提高决策者所需要信息的质量或内容的独立性专业服务。”其审计原则是保证系统的可用性、安全性、真实完整性和持续性,建议对系统安全性和真实完整性方面存在的控制点进行检查、评价和测试。并尽量在今后采用合适的审计标准对信息技术进行审计。不同于以年度为基础的传统外部审计,电子商务的实时性要求审计人员应对其进行连续不断的评估,按特定的审核标准对已发生的交易进行追踪,而系统内设置的自动登录记录可作为相应的审计轨迹,在系统内部实施对事件监督和控制。
尽管当前许多人认为核实查证通常与外部审计人员相关,内部审计人员则在公司内部出具审计报告。然而,国际内部审计师协会对电子商务系统审计的要求则是:审计控制目标主要是审计财务报告制度、经营的效益和效率、合规性和保护财产安全等方面。审计模式应该建立在系统的可用性、容量、功能、保护和可靠性的基础上。例如,内部审计对网络企业控制水平的独立评价,使得客户了解到企业提供的数据将不会被有意或无意地滥用。再如,企业目标是建立电子商务以降低成本、提高市场占有率,那么电子商务风险是随着网络交易的增加而增加,以至于不能确保交易的安全性或分辨用户的可靠性,因此,所需要的控制就是对用户的真实性进行确认以及对通讯信息进行加密。
电子商务系统审计的成功与否在于审计人员是否掌握相关的技术知识,了解商业风险及风险管理策略,是否有现成的策略随时应付出现的风险。因此,作为一个成功内部审计人员应了解企业的业务,以服务为宗旨并努力增值,积极提高专业技能,关注系统的效率和效益,建立对电脑领域发展的职业敏感性。
电力监控系统安全评估报告篇8
公司治理的效率、效果直接依赖于许多的制度要素。这既包括审计和信息披露的质量,也包括系统对契约的监督以及对外部投资者的保护能力等。例如,在逆向选择的框架下,我们可以看到:一个更好的标准和更及时的信息披露要求将大大减轻经理人与外部投资者之间的信息不对称,从而便利了融资,降低了风险。因此,公司治理的核心问题是信息不对称性或不完全性,解决公司治理问题,最核心的是公司信息的真实、准确以及处理与传递的效率问题,而it技术在实时披露、实现透明度原则和体现监控力度上正日益成为有效的工具。2002年美国颁布的《萨班斯法案》对公众公司提出了更高的要求,法案的409条款要求上市公司必须向投资者实时披露必要的信息,包括图片、表格等信息,302、404条款要求公司应定期评价其信息系统及其内部控制的充分性来保证提供给投资者信息的准确和完整,强调公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任。因此,it治理,加强it控制,降低风险,有效地实现公司治理,成为全球关注的问题。
公司治理是建立组织各利益相关者之间的相互制衡机制,管理风险,有效实现组织目标的一系列过程及制度。内部控制制度是实现善治的制度安排之一。it治理是实现公司治理的工具。it治理不等于治理it技术,它是一个信息背景下的制度安排,包括内部控制、审计以及公司信息的披露等。it内控是内控的一个组成部分,信息时代,企业管理信息化水平日益提高,信息资产成为企业的核心价值资产,it在给企业带来竞争力的同时,也带来了极大的风险。因此利用it技术加强内部控制,并对信息系统自身加强管理控制,成为公司治理及it治理必不可少的组成部分。it内控是强化风险管理,完善信息时代公司治理的必要手段。it治理、内部控制、审计、风险管理体系等都是促进公司治理的有效工具。
SoX法案的出台,对企业的公司治理、it治理及it内控提出了更严格的要求。
一、SoX法案的要求:
1.对公司治理的要求:
(1)要求上市公司必须建立审计委员会,并对审计委员会的人员组成做出了规定,保证审计委员会的独立性,同时赋予审计委员会更多的责任:《萨班斯-奥克斯莱法》,及其紧接着全美证券交易商协会和纽约证券交易所于2003年11月又的新的公司治理最终规则详细地界定了审计委员会的职责,具体来说应包括:1)每年获取并审查独立董事提交的报告。2)与管理当局、独立审计师一起讨论经审计的公司年度财务报表和季度财务报表,包括公司在“管理当局对财务状况和经营结果的讨论和”项目中进行公告的财务事项。3)讨论公司收入公告及向分析师和评估机构的财务信息、收益指南。4)讨论风险评价、风险管理政策。5)分别与管理当局、内部审计师(或其他负责内部审计机构的人员)和独立审计师定期会面。6)与独立审计师讨论所有的审计难题以及管理当局的反应。7)制定清晰的关于聘用现任或前任独立审计师的政策。8)定期向董事会报告
(2)增加高管人员及董事会的责任:CeosandCFos必须保证财务报告真实,要求发行人的Ceo和CFo保证定期报告没有对重大事件的不真实表述,也没有遗漏必须披露的重大事件,并保证财务报告在所有重大方面都公允反映了发行人的财务状况和经营成果。在此基础上,法案单独规定了对管理人员证明财务报告时失职的刑事处罚。Ceo和CFo如果知道定期报告不符合上述要求但仍然做出保证的,将判处不超过100万美元的罚款,或是不超过10年的监禁,或是二者同罚;如果是蓄意做出书面保证的,将判处不超过500万的罚款,或是不超过20年的监禁,或是二者同罚。
2.萨班斯法案对内控的要求:
(1)法案302要求:公司管理层设计所需的内部控制,并保证首席官员能知道该公司及其合并报表子公司的所有重大信息,尤其是报告期内的重大信息;评价公司的内部控制在签署报告前90天内的有效性;在该定期报告中他们上述评价的结论。
(2)法案404节要求:编制的年度报告中包括内部控制报告,包括:强调公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任;发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价
3.萨班斯对审计师的要求:增加了审计师对信息系统的审计,要求审计师必须了解业务如何穿过系统,而不是绕过系统。审计师必须了解业务流程,评价it控制与一般控制的设计及效果。评价it控制设计效果,确定这些控制设计是否适当地实现相关目标。实施it控制执行效果测试。
二、对上市电信运营商的挑战
萨班斯法案对高管严格的法律处罚令其中许多公司的最高管理层都如坐针毡、夜不能寐。美国有多达5000家大中型公众公司在2004年11月15日后结束的财政年度中紧张异常,这而对于公司治理尚不完善的电信企业领导来说,更是意味着要承担重大国际法律责任的风险。公司治理决定企业的兴衰,企业的兴衰决定国家的兴衰,因此公司治理建设不能出现任何重大失误。
我国电信企业在公司治理制度在股份制改造过程逐步,中国网通借美国上市契机建立了新型的公司治理结构,董事长与Ceo分离,在董事会下设4个委员会:审计委员会、战略规划委员会、公司治理委员会和薪酬委员会。2005年3月7日,在京召开的中国电信集团实业工作会议明确:经过3年左右的时间,逐步规范法人治理结构。由于我们的企业处于转型的特定时期,公司治理水平与日、美等发达国家有一定的差距。信息产业部电信研究院公布的《中国电信业国际竞争力发展报告(2004年)》显示,我国电信业国际竞争力在全世界主要国家和地区中(共33个国家和地区)排名第14位,然而细细看来,却发现了很多隐忧。报告将国际竞争力解析为3大竞争力:环境竞争力、市场竞争力和企业竞争力,其中企业竞争力排名27,企业竞争力指数包括“技术创新”、“生产率”和“公司治理结构”,排名分别为18、28和21.不难看出,目前我国电信企业的公司治理水平。要成为电信强国,环境竞争力、市场竞争力和企业竞争力三者缺一不可,因此,我国目前距离电信强国还有较大差距。从分析要素来看,法律和制度框架、政府效率,以及企业技术创新、公司治理结构等“软件”能力偏弱,单条腿走路。我国几大运营商中虽然已经有中国移动和中国电信进入了财富500强,虽然几大运营商均已上市实现了公司化治理,但由于脱胎于老的国有企业,因此公司管理能力和治理结构仍有待提高。因此,提高企业竞争力,就应该从改善公司治理结构做起。
三、运用信息化手段,完善公司治理
1.完善公司治理机制。我国电信运营商需要健全公司内部治理的规则和程序、建立公司的合法守规管理、完善约束与激励机制、加强公司的内部控制体系以及建立公司的风险管理与控制机制。虽然在现有的公司治理结构中,有些公司也有审计委员会、独立董事等监督机制,但这些人员的任职资格、发挥作用的程度、以及职责定位等都需要进一步改进。
2、利用信息技术,完善公司治理的监控体系。公司治理是一种对公司管理和运营进行监督和控制的体系。其核心是在所有权和经营权分离的条件下,解决好所有者和经营者的利益不一致而产生的委托-关系。由于委托人(所有者)和人(经营者)是不同的利益主体,委托人(所有者)与人(经营者)相比处于信息劣势的情况下,必然有成本或激励问题的产生。为完善公司治理,必须重视委托与之间的信息不对称问题,通过对公司重要信息有效的传递、鉴别和处理,使成本最小化,提高企业的经营绩效。萨班斯法案强化公司治理要求的目的也是提高上市公司透明度,提高公布信息的质量,加强信息披露,从而保护投资者的利益。
在市场中,信息交换是否充分,是否对称,直接关系到市场经济是否公平、是否有效。为了保证信息公平、公开,人们设立了一系列内外部机制。独立董事担任的审计委员会,公司聘请的会计师事务所都层层对公司财务信息的真实性、准确性、及时性进行审核、这些约束与激励机制的有效性取决于公司信息真实与准确性和处理与传递效率的问题。在这点上,it技术正成为日益有效的工具。
萨班斯302、404、以及409等条款对公司的要求,使得it在公司治理机制中的作用日益凸现。由于信息技术不以人们的意志为转移地在各类组织中的普遍,it在各类组织中的多层次、横纵向嵌入,正在改变着组织的业务流程,进而改变组织的结构、组织的管理及公司治理;特别是电信对it的依赖性非常大,没有相应it治理机制的公司治理,使无法满足萨班斯的严格要求的。由于it治理已成为完善公司治理的重要手段,成为实现it与业务的匹配管理、it价值贡献管理、it风险管理、it绩效管理等的重要保证,花旗银行等美国大企业已经引进或正在引进it治理机制。
国资委连续举办的旨在推动企业建立全面风险管理系统,进一步完善公司治理机制的企业全面风险管理培训上,也提到在公司董事会层面建立it治理委员会,建立it治理机制,完善信息的公司治理,促进现有公司治理制度安排的有效执行。但由于信息技术在治理方面所具有的复杂性,完善it治理机制,构建符合萨班斯要求、适应时代的公司治理机制任重道远。
构建it内控系统的思路
(1)不能因耗时且成本高昂就摒弃原有的it控制而另搞一套。SeC管制条款复杂,为了满足萨班斯法案的要求,大多数企业需要调整其员工观念和企业文化,通常也需要对it系统和其处理流程作一些改进,改进的内容包括其控制设计、控制文件、控制文件的保留,以及it控制的评估等方面。这是一个循序渐进的过程,不能将原有的一切推倒重来。
(2)要选择好内控框架。法案并没有规定公司必须选择什么样的内控框架,需要企业自己抉择。国际上比较有名的内控模式有英国的Cadbury、美国的CoSo和加拿大的CoCo,它们从不同的角度剖析公司的经营管理活动,为营造良好的内控框架提供了一系列的趋于一致的政策和建议。第2号审计标准依据CoSo制定的内部控制框架制订,在“管理层用于开展其评估的框架”一节中,明确管理层要依据一个适宜且公认的由专家群体遵照应有的程序制定的控制框架,来评估公司财务报告内部控制的有效性。SeC对该标准的认同等于从另外一个侧面承认CoSo框架。CoSo认为内控是由企业董事会、经理层和其他员工实施的,为营运的效率效果、财务报告的可靠性及相关法令的遵循性等目标的达成提供合理保证的过程。内控框架的构成要素包括控制环境、风险评估、控制活动、信息和沟通、监督五个方面。这套得到了包括SeC、公司管理者、投资者、债权人及专家学者的普遍认可,国外许多公司都依据这个框架建立了内控系统,我国公司也可以按CoSo建立内控框架,逐步与国际管理模式接轨。通过引入CoSo内控要素,形成一个相互联系、综合作用的控制整体,使单纯的控制活动与企业环境、管理目标及控制风险相结合,形成一套不断改进、自我完善的内控机制。
但是很明显,SeC所推荐的CoSo控制框架有助于遵循萨班斯法案,虽然它针对的是内部控制,但没有对it控制目标和相关控制活动提出具体的要求与限制。由于CoSo框架缺少对it内部控制的内容,所以单独以CoSo为构建it内部控制的框架显然是不合适的。CoBit为管理it风险与it控制提供了一个综合性的框架,是另外一个被国际认可的业内标准,由4大部分、34个it处理流程、318个详细控制目标组成。CoBit也涉及企业经营、萨班斯法案遵循等方面的控制。但在萨班斯法案要求下,我们只考虑应用CoBit中与财务报告相关的控制。
因此Cobit与CoSo结合作为构建it内部控制框架,将是两种国际标准优势互补。同时在确定控制点、控制程序、留下相应审计轨迹时,也可以BS15000以及iSo17799等一些国际标准,这些标准都是it运营、安全方面可审计的一套标准管理控制体系。
(3)要建立一套自评估机制,确保内部控制系统的持续有效
从来看,企业的发展阶段和管理状况,以及外部环境的变化都是决定企业内控系统建立和运行有效的前提。任何内部控制系统都只是在一个特定的历史阶段有效,管理层对内部控制有效性的声明,要求公司必须建立一套自我评价机制,评价内部控制系统设计、执行是否有效,以支持管理层的声明。同时自我评估机制也可以帮助公司发现控制弱的区域,以及控制漏洞,及时审势度势,弥补内控系统的缺陷,确保内部控制系统持续有效。这也是萨班斯法案所要求的。
控制自我评估(CSa)是指企业内部为实现目标、控制风险而对内部控制系统的有效性和恰当性实施自我评估的。国际内部审计师协会(iia)在1996年的报告中了CSa的三个基本特征:关注业务的过程和控制的成效;由管理部门和职员共同进行;用结构化的方法开展自我评估。CSa最早出现在20世纪80年代末期,但其最主要的发展是在90年代,特别是在1992年CoSo报告公布之后。CoSo报告首次把内部控制从原来自上而下财务模式的平面结构发展为更具弹性的企业整体模式的立体框架。传统的内控评价方法只能用来评价诸如财务报告,资产与记录的接触、使用与传递,授权授信,岗位分离,数据处理与信息传递等的“硬控制”。在新的内部控制模式下,迫切需要评价包括公司治理,高层经营理念与管理风格,职业道德,诚实品质,胜任能力,风险评估等的“软控制”。在这种情况下,作为一种既可以用来评价传统的硬控制,又可以用来评价非正式控制即软控制的机制,CSa得到了普遍的信赖。
图1自评估流程(略)
如图1所示,自评人员首先选择要评审的内控流程,然后对其设计的健全性进行评价,如果健全,则测试其运行的有效性,最后综合设计测试和运行测试,评价内控系统的健全性和有效性。如果设计测试结果为不健全,则直接进行内控系统的评价,而不再进行运行的有效性测试。
内控系统设计测试是指为了确定被审计单位内控政策和程序设计是否合理、恰当和完善进行的测试。健全的标准即设计合理、恰当和完善,能有效保证信息的机密性、完整性和可用性。运行有效性测试是指,为了确定被审计单位的内控政策和程序在实际工作中是否得到贯彻执行,并发挥应有的作用而进行的测试。有效的标准即内控政策和程序在实际工作中得到了贯彻执行并发挥了应有的作用。
为了帮助评估控制设计,图2(略)提供了一个it控制设计与运行有效性模型,它将依赖于企业所达到的状态、阶段,我们认为有必要花时间来改进控制程序的设计和有效性。
图2显示了企业中存在的控制可靠性的各种等级。就建立内部控制目标而言,一些企业可能愿意接受等级不高于3的it内部控制。然而,考虑到萨班斯法案要求的“外部审计师应就控制出具独立的证据”这一要求,对一些关键性的控制活动,控制的可靠性则不能低于3等级。
控制运行的有效性评估。一旦控制设计的评估结果认为内部控制设计适当,就需要对其和以后的运行是否有效予以测试,而该测试由控制负责人及内部控制程序管理团队来进行。
一般而言,有些控制(如一般控制)程序是其他控制程序(如应用控制)的基础,企业组织对这些控制的测试范围应更广、频率更高。判断测试范围是否恰当时,组织应该考虑it控制是如何财务信息披露与报告过程的。
一些企业利用外部服务机构所提供的外包服务,这也应该视为企业整个经营职责的一部分,在整个it内部控制程序中应予以考虑。
电力监控系统安全评估报告篇9
1、现代内部控制理论概述
内部控制起源于审计和管理的需要,管理的需要及保证资产安全和会计信息真实是内部控制发展的主要动力。内部控制经历了4个发展阶段:①内部牵制阶段,以查错防弊为目的;②内部控制制度阶段,将内部控制分为会计控制和管理控制;③内部控制结构阶段,将内部控制分为控制环境、会计系统、控制程序;④内部控制整体框架阶段,将内部控制分为控制环境、风险评估、控制活动、信息和交流、监督5个相互联系的部分。内部控制理论由简单的岗位内部牵制向结构化的内控机制发展,并进一步发展成将企业环境、业务过程和管理有机结合的综合控制系统,其演变过程可以说是各方利益集团共同作用的结果。
以按照美国权威审计机构CoSo为代表的现代内部控制理论将内部控制定义为“由企业董事会、管理层和其他员工制定和实施的,旨在为经营的效果和效率、财务报告的可靠性以及相关法律法规的遵循性等目标提供合理保证的过程”,其整体框架由控制环境、风险评估、控制活动、信息与沟通、监控五项要素构成。每个要素均承载三个目标:经营目标、财务报告目标、合规性目标。
企业管理人员、审计人员在经营管理实践中将现代内部控制理论运用于会计信息系统,已经形成了较为完善的自我监督和行为调整的会计内部控制框架。
2、电算化会计信息系统内部控制的特性
在电算化条件下,会计信息系统的内部控制问题异常严峻:
2.1基于计算机存储器的数据管理方式,使会计数据泄漏和损失的风险因计算机软硬件系统的脆弱性而成倍放大。计算机软硬件系统发生故障时,数据的完整性将取决于备份的时效;而地震、洪水、建筑物倒塌等自然灾害也将造成无法挽回的数据损失。甚至商业软件加密卡的丢失和损坏都会给系统造成灾难,同时给企业带来巨大经济损失。
2.2信息化常常使业务流程和财务流程整合在软件系统中,包含许多不成文规则的手工方式的权限控制就必须重新分配。如果电算化下的控制模式没有充分挖掘出手工方式下诸多的隐含规则,将造成电算化会计信息系统内部控制的漏洞。
2.3电算化条件下,技术人员尤其是系统管理人员的控制问题变得非常突出。极端情况下,系统管理人员可能造成极其毁坏或者全部系统崩溃的危险。
2.4操作权限划分和登陆密码保护尤其重要。各级操作权限的随意设定,密码的泄露以及忘记,都会造成损失。
由此可见,随着会计信息化的进程,手工会计系统原有的内部控制已不能适应电子数据处理的新特点,不能有效地降低电算化会计信息系统特有的风险,为了系统的安全可靠和系统处理与存贮的会计信息准确完整,必须研究建立电算化会计信息系统的内部控制框架。
3、电算化会计信息系统的内部控制框架
按照现代内部控制理论,电算化会计信息系统的内部控制框架由控制环境、风险评估、控制活动、信息和交流、监督5个相互联系的部分组成。
3.1控制环境
内部控制的环境是控制系统中其他要素的基础,控制环境是各种因素共同作用的结果,可以增加或减少具体控制政策和程序的实施效果。换言之,控制环境决定着组织的整体风格,左右着组织中各成员的控制意识。
控制环境具体包含以下因素:诚信的原则和道德价值观、雇员品质和能力保证、管理哲学和经营风格、组织结构、董事会和审计委员会、责任分配与授权、人力资源政策和程序。
现实中会计信息造假案此起彼伏,股市人气涣散,造成这类事件的原因很多,而内部控制环境的缺陷是每个事件的共性原因。会计信息化(电算化)带来了会计工作方式和业务处理流程的改变,也可能引起会计内部控制环境各因素的变化。因此,企业必须在开展会计信息化工作的同时重视内部控制环境建设,优化企业纪律与架构,塑造企业文化,提高企业职工的控制意识。
3.2风险评估
每个企业都面临着来自内部和外部的不同奉献,这些风险都必须加以评估。风险评估的先决条件是制定目标。风险评估就是一个确认、分析和管理企业实现目标过程中可能发生的风险的过程。会计信息系统的风险评估应该包括三个步骤:
第一,明确系统目标。电算化会计信息系统的目标服务于企业整体目标,包括营运目标—包括绩效和获利目标及资产保全目标;财务报告目标—防止报送不真实的财务报告;合规性目标—企业经营活动应遵循国家相关的法律法规。
电力监控系统安全评估报告篇10
【关键词】内部审计;作用;发展方向
2008年5月,财政部等五部委共同制定了被称为中国的“萨班斯法案”的《企业内部控制基本规范》。规范第十五条明确规定:企业应当加强内部审计工作,保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督,对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷,应当按照企业内部审计工作程序进行报告;对监督检查中发现的内部控制重大缺陷,有权直接向董事会及其审计委员会、监事会报告。此规范的颁布,是中国内部审计发展的一个重要里程碑,为加强经济管理,提高资产管理水平,实现内部近期经济目标,发挥了积极作用。笔者拟结合具体实际,就内部审计的作用及发展方向等问题做些简要探讨。
一、内部审计的涵义
国际内部审计师协会对内部审计职能有如下明确定义:“内部审计是一项独立的、客观的保证和咨询活动,其目的在于为组织增加价值并提高组织的运作效率。”可见,内部审计深入到经营管理的全过程去了解掌握具体情况,及时的发现和处理问题,防范和化解企业所面临的风险是本职工作的要求。内部审计通过经常性的调查、分析、评估和预测,弄清问题产生的原因或未来影响,及时向管理当局提出解决或防范的建议,或随时接受他们的咨询,可以帮助企业改善风险管理,增加企业价值。从控制论的角度说,内部审计不是原来意义上的监督,而是一种控制。控制包含监督,监督只是控制的一大要素和控制过程中的一项职能。所以,用控制代替监督更能准确的解释内部审计的本质。并且,这种控制是以服务为导向的。内部审计的宗旨就是服务于企业的经营管理,帮助实现预期的发展目标。不讲服务,内部审计就没有存在的必要和可能,服务意识必须贯穿于内部审计监督、评价、控制的全过程。正如内部审计协会在其的《内部审计责任书》中认为的,内部审计是在组织内检查各种业务活动以向管理部门提供服务的独立评价活动,是一种通过计量和评价其他控制的有效性来发挥作用的控制。
二、内部审计的作用
(一)识别经营风险的作用
作为安徽电力公司下属企业--XX供电公司,2008年度采用风险分析的方法制定年度审计计划,根据风险分析的结果将风险大的项目纳入年度计划,强化企业的风险管理,降低风险损失,实现经济平安。首先,审计部门在调查阶段设计了涵盖全部风险测试点的调查表,调查表设计了监督模块、重点审计环节以及认为该环节风险等级是高中低。根据各部门反馈的调查表,充分分析,统计得分,确定审计风险点,并形成审计评估报告。对热点问题及管理薄弱的环节开展审计调查,为领导决策提供有价值的信息。内部审计在改制企业建立健全现代企业制度中,通过拓展审计领域,开展风险导向审计,深入调查内部控制和经营管理的现状,根据内部控制测试结果,识别企业主要的内部控制和经营过程存在的风险,找出薄弱环节和经营不善之处,提出改进措施,进而指导和帮助企业进行风险管理,降低风险水平。
(二)监控经营全过程的作用
XX供电公司在2006年启用合同管理系统,内部审计部门参与合同会签,大修、技改、基建、采购等合同由基层生产部门根据生产需要将合同草本上传至合同管理系统,经过生产管理部门、纪检部门会签后,由审计部门对合同的发生事由、金额、是否招标、生产厂家的资质等进行审核,一旦发现不符合内部控制程序时,一律退回合同,审核无误后继续进行合同流转。合同管理系统让内部审计部门参与了公司日常业务的管理,并对公司的管理过程进行监督,杜绝了公司采购等风险,对金额的审查也最大限度的节约了企业的资源。XX供电公司通过在企业改制过程中进行初步审计、界定审计、审核评估报告和终结审计,对改制方案执行全过程的合法、合规性进行监督检查,全过程监控,改制分流中可能出现的问题和风险。
(三)评价内部控制的作用
内部控制是管理现代化的必然产物,而内部控制的产生和发展,促使审计工作从详细审计发展成为以测试内部控制为基础的抽样审计。查账人员在进行审计时,首先要研究与评价企业的内部控制,这是现代审计的重要特征。2007年,安徽省电力公司以《iia内部审计实务标准》和《中国内部审计准则》为依据,组织公司系统内部审计人员,共同开发的“内控评价体系”项目成果,通过对评价项目及内容细化,将内部控制评价理论与市级供电公司的业务实际相结合,建立一套有安徽电力公司特色的内控评价标准和评价方法。2007年对公司电费管理风险情况进行了内部控制评价测试,本次测试内容主要涉及电费管理业务流程、营销miS数据的风险管理情况、抄核收的风险管理、电费资金的安全管理、发票管理以及电价执行情况。利用内部控制评价体系对公司关键点进行测评,围绕内部控制的薄弱环节,提出改进建议,使之日趋完善,运作更加有效。规范各项业务应具有的内控标准,为全面提高公司的管理水平,增强企业的竞争力构建了平台。为公司及时、有效地降低经济风险,防止了公司资产的流失。
三、内部审计的发展趋势
传统的审计方式,主要是内部审计人员通过翻阅财务账簿及相关报表,面对一年甚至几年的财务凭证及账簿报表,由于审计期间的长短及审计人员的素质,不可能做到对企业的经营状况及财务收支情况有准确的评价,一般都是查错纠弊,查找财务人员账务处理是否合适,财务报表是否准确等。随着中国经济的发展,越来越大的数据量,要求审计人员必须转变审计思路及审计方式,这样才能对企业提供更客观准确的评价,才能实际解决管理上问题。
(一)在审计内容上,由传统的财务审计为主逐步向风险管理审计和绩效审计为主发展
随着企业规模的不断扩大经营领域不断延伸管理层次和管理幅度也不断加大,从而不可避免地会造成信息传递和管理制度的滞后以及某些方面的缺陷。如何防范经营和投资风险如何降低企业成本使企业在市场竞争中处于有利地位.如何加强财务核算和财务管理提高企业经济效益这些都需要内部审计工作重点逐步转移到经营管理审计和经济效益审计以及咨询服务上来。内部审计必须从传统的查错防弊的财务审计向管理审计、经营审计绩效审计以及咨询业务方向发展。2008年安徽省电力公司在由传统的财务审计为主逐步向以内部控制和风险管理审计为主转变做了以下探索和实践:以广泛开展审计调查为切入点,推动内部审计发展。公司引入风险管理的理念,开展经营风险评估,围绕企业“四重一大”(即重大决策、重要事项、重要环节、重大风险、大额资金)等领域,积极开展专项审计调查。2008年安徽省电力公司根据经营风险评估情况,计划内共安排了废旧物资处置管理、物资采购招投标管理、电价执行、电费发票管理、县公司农维费管理及小型基建项目管理六个专项审计调查。同时根据公司领导要求,适时增加了县公司线损管理、应收电热费余额管理、营销业扩报装、关联方交易及自营工程人工费定额管理等五项调查。努力使内部审计围绕领导关注的重点、经营管理的难点和群众关心的热点问题开展,发挥内部审计增值服务的功能。
(二)在审计方式上,由事后审计向事前及事中审计发展
随着管理水平的提高,内审的作用将不仅限于事后监督,更多的是事前预防与事中控制,它将对企业内部控制进行全过程、全方位的监督和评价。安徽省电力公司以2006年课题研究成果《安徽省市级供电公司内部控制评价体系》为基础,广泛开展内部控制评价工作。上半年安排十七个市级供电公司集中使用该体系开展内部控制评价工作,共计发现内部控制重大缺陷和漏洞50个,发现可能形成小金库的源头5个,提出建议和意见101条,有效地化解了经营风险。同时还将内控评价与日常审计工作有机地结合起来,在省公司2008年开展的届中经济责任审计项目中,运用内部控制评价,积极查找被审计单位的风险点、关键点和失控点。共查找出风险环节(点)862个,其中无内控制度25个、内控制度需完善121个、内控制度有瑕疵264个(内控制度瑕疵是指内控制度未能得到不折不扣、到边到角和始终如一地执行),目前已完善和新制定的制度有123个。该改举措最大限度的规避了企业经营风险,成功实现了审计方式由事后监督转向事前控制。
(三)在审计手段上,由手工方式向信息化方向发展
内部审计要适应企业信息化建设,本身就需要信息化。即建立在企业信息化环境基础上,运用信息化技术方法开展内部审计工作。当前,最迫切的就是按照国家电网公司和省公司的统一部署,加快SG186工程中的审计信息系统建设。可以说,内部审计信息化将是内审工作的革命性变革,是传统内部审计向现代内部审计转变的重要标志。正如李金华审计长指出的“审计信息化是一场革命,能不能在这场革命中掌握主动权,直接关系今后审计事业的发展”。2009年安徽省电力公司将全力推动企业资源计划系统(eRp)建设。审计人员应积极参与eRp的实施,了解eRp内在结构、内部控制、关键控制点等,对eRp环境下的经营管理风险进行分析,有助于将来制定审计计划和审计程序,为顺利地开展内审工作,向全面开展信息系统审计奠定基础。反之,如果内部审计没有全面深入参与信息化建设过程,等信息化实施完成后,仅面对信息化运行的数字化结果,内部审计管理职能的实现是难以想象的。
面对内部审计在风险管理过程中所担负的职责,为适应这一更高要求,内部审计人员要不断学习和创新。只有跟上时代的步伐和国际内审的发展趋势,以新观念、新视野、新思维,把握新机遇,迎接新挑战,不断前进,内部审计才能在现代企业风险管理过程中发挥作用,从而为实现企业目标做出应有的贡献。
参考文献
[1]李智芳,张运琴.从内部审计定义的演进看我国内部审计的发展.内蒙古科技与经济.2007(1)
[2]刘明朝.浅谈现代企业中内部审计的重要性.知识经济.2007(11)
[3]宋义灵.强化内部审计完善企业管理--浅议如何加强内部审计在企业管理中的作用.时代金融.2006(11)