信息安全审计报告篇1
关键词:XBRL;审计流程再造;连续审计
中图分类号:F239.省略成为可能,给审计带来一波巨大冲击。XBRL网络财务报告需要XBRL审计的支撑,如何构造基于XBRL的审计流程显得尤为重要。只有真正解决好这一问题,审计鉴证才能为XBRL网络财务报告的高效运行保驾护航,真正成为虚假会计信息的“过滤器”和利益相关者的“保护神”。因此,审计模式面临重构,审计方法和审计技术有待改善。
一、研究背景
作为一种新型的网络财务报告技术,XBRL一经出现便引起了国内外学者的广泛关注,都从不同方面对XBRL进行了探讨和研究。XBRL网络财务报告模式的发展必将对传统审计模式、审计方法和审计技术提出新的挑战和要求。作为“经济警察”,注册会计师通过会计报表审计鉴证对企业会计信息的真实性提供合理保证,是企业公司治理生态中关键的一环,对维护资本市场秩序具有重要作用。正如培根所说,没有执行制度比没有制度更可怕。近年来国内外发生的一系列重大事件如安然、世通信、银广夏、红光、科隆-德勤等无一不与审计失败有关,这恰恰从侧面反映出了审计的重要性。XBRL的出现,使得连续审计根据Rezaee的定义,连续审计是收集电子化审计证据来证明无纸化实时会计系统下财务报表是否公允表达的电子审计过程。
二、文献回顾
目前,国内外关于XBRL与审计的研究,较具代表性的有以下几个方面。Rezaee等[1]认为,随着XBRL的广泛应用,现行审计程序必须向连续审计转变。并指出:连续审计(continuousauditing),是收集电子化审计证据来证明无纸化实时会计系统下财务报表是否公允表达的电子审计过程。CiCa[2]认为,XBRL财务报告编制过程与传统的编制过程不同,必然需要增加审计程序以确保XBRL文档的可靠性。并进一步指出:当XBRL被用来生成定期财务报告时,审计人员必须关注实施XBRL的额外程序和政策,并评价分类标准的使用与数据标记的恰当性、被标记数据的真实性、信息产生过程控制的有效性;当XBRL被用来生成实时财务报告时,将需要实施控制程序来保证被标记数据的真实性,因此审计人员必须持续评价这些控制的有效性,即实时审计。wagenhofer[3]则认为,由于投资者将使用XBRL软件提取信息而不考虑信息编制的细节,那么企业将有可能不对某些不利信息进行标记或用特定标记对其进行标记,因此为了保证信息披露质量,审计人员必须验证企业是否对所有事项进行了标记;同时,如果企业进行实时报告或允许使用者接受其原始数据,审计人员将不得不将结果导向的审计程序改为连续的过程导向的审计程序。Boritz和no[4-5]认为,尽管XBRL的应用会带来很多好处,但是其一个重要缺陷就是未考虑信息质量。XBRL文档容易受到非法攻击,任何人都可以轻易地创建与篡改XBRL实例文档,从而致使XBRL报告的可靠性存在威胁,这势必影响XBRL的成功应用。因此,他们建议研究XBRL的保障机制,并提出了XRaL(eXtensibleassuranceReportingLanguage)。按Boritzandno的定义,XaRL“是基于XmL的规范,它通过公认的鉴证程序和安全技术来加强网络信息的可靠性。XaRL是XmL的一种应用,是XBRL的扩展,将有关XBRL信息可靠性的信息扩展进来。”murthy和Groomer[6]认为,基于XaRL,并借助于web服务便可实现对实时信息系统的连续审计。Boritz和no[7]进一步指出,如果没有良好的安全机制,XBRL与XaRL将不可能完全发挥作用,因此又在XaRL的基础上提出了网络财务报告服务安全机制。国内方面,张天西和高锦萍[8]深入探讨了XBRL对审计功能、审计程序和审计技术的具体影响,并认为随着XBRL的深入应用,将最终实现对实时信息系统的连续审计。
综上所述,目前国内外关于XBRL与审计的研究主要集中在XBRL财务报告的安全性及连续审计方面,并给出了有价值的建议。然而,以往研究大都停留在理论分析层面,未能结合相关技术给出基于XBRL的具体审计流程。本文将在以上研究的基础上,引入相关技术,对基于XBRL的具体审计流程进行初步探讨,以期解决其安全性问题,并实现连续审计目标。
三、XBRL网络财务报告及其对审计的影响
1.XBRL网络财务报告
XBRL的提出改变了传统的商业报告信息披露方式,影响整个商业报告信息供应链的各个方面,乃至将对会计制度、会计准则产生重大影响。XBRL是XmL在商业报告信息交换方面的应用,是一种基于互联网技术的新型企业财务报告语言,是目前应用于非结构化信息处理尤其是财务信息处理的最新技术。XBRL能够提高软件提供商、程序员和最终用户创建、交换和比较商业报告信息的能力。近年来,XBRL获得了迅速的发展,尤其作为财务信息处理的最新标准和技术,XBRL增加了公司财务报告披露的透明度,提高了财务报告信息处理的效率和能力。如今,我国的会计信息化委员会即XBRL中国组织已经成立,成功加入XBRL国际组织成为XBRL会员。2010年10月,财政部了《企业会计准则通用分类标准》及其指南。在XBRL网络财务报告及分类账模式下,企业发生的经济业务和事项首先交由企业的会计信息系统(aiS)进行加工处理;其次由工具软件据此自动生成XBRL财务报告(实例文档);最后,利益相关者借助XBRL工具对财务报告信息进行在线分析或生成个性化财务报告,并可下钻至明细信息。正如Coffin所预言的,与不同国家会计准则相异有关的问题将因XBRL迎刃而解,如分析师不再需要对依据不同国家会计准则编制的报告作调整工作,因为企业能够从同一套数据依据不同的XBRL财务报告分类标准生成符合不同准则要求的财务报告。
2.XBRL网络财务报告对审计的主要影响
获取被审计单位的电子数据即数据采集,是开展计算机审计的第一步。传统计算机审计技术主要面临两大问题:一是数据接口问题;二是数据标准化问题。由于企业使用的管理软件和财务软件种类繁多,且基于不同的操作系统、数据库、开发平台,没有统一的数据接口标准。因此,如何进行数据采集,以获取标准化的统一的企业财务数据,一直是制约传统计算机审计技术得以有效实施的首要瓶颈因素。其次,由于我国存在多种会计规范,不同企业所使用的会计科目(特别是明细科目)可能不尽相同,这样,即便获取了企业的电子数据,也只是解决了所谓的“语法”问题,而相关的“语义”问题并未得以解决。因审计系统无法自动“读懂”企业的数据含义而限制了查询、统计、分析功能的使用。对于上述第一个问题即数据接口问题,目前审计系统所采取的策略大致有两种:一种是审计系统供应商通过了解主流管理软件产品所使用的后台数据库系统、系统数据库结构、用户数据库结构等多方面信息,并把这些信息“固化”在审计系统系统中,从而实现所谓的智能采集,方便用户的使用。这就需要软件商做大量的基础性工作,甚至需要做到“逐日盯市”,紧密跟踪主流管理软件产品版本更新情况,因此工作量是巨大的,设计、运行成本较高,也在一定程度上限制了智能采集的应用范围。另一种方式是手工采集,即由用户自行采集所需的电子数据。这种方式尽管给了用户较大的自由度,但是操作相对复杂,对用户的要求较高,那就是必须熟悉管理软件的数据库结构。对于上述第二个问题即数据标准化问题,目前主要是通过数据映射(主要是科目映射)来加以解决。只有在用户电子数据与系统提供的标准数据之间建立了映射关系,电子数据才得以具备语义功能,后续的自动查询、统计、分析功能才能顺利得以实现。因此,工作量是巨大的,运行成本是较高的。
XBRL的出现,为上述问题提供了最佳(至少从目前来看是这样)解决方案,使得语法功能和语义功能同时得以实现。在XBRL技术框架内,存在XBRLGL和XBRLFR两个层次的分类标准。XBRLGL分类标准位于底层,用于规范交易层面的原始数据和分类账;XBRLFR分类标准位于上层,用于规范财务报告相关信息。由于所有企业的财务报告及分类账都遵循统一的XBRL规范和分类标准,这就使得数据接口得以标准化;同时,由于XBRL将财务报告(特别是财务报表)要素以及分类账都进行了统一“贴标”,因而也就解决了“语法”问题,这将使得审计系统能否自动识别所有报告要素,并能下钻至明细账和记账凭证,也使得审计系统预先内置的大量统计分析经验模型和专家知识库的自动执行成为可能。因此,在XBRL框架下,连续审计这一动态审计模式将有可能成为现实。
同时,由于XBRL技术是基于internet的,对internet的高度依赖将使得基于XBRL的审计模式的安全性面临挑战。党的十六届四中全会将信息安全作为国家安全的重要组成部分,明确提出“增强国家安全意识,完善国家安全战略”,并确保“国家的政治安全、经济安全、文化安全和信息安全”。作为信息安全的内容之一,网络财务报告安全是我们不得不正视的一个重要问题。不彻底解决其安全性问题,基于XBRL的审计模式将存在巨大安全隐患,由此便不可能得以广泛应用。只有将安全防范技术应用于审计流程,才能化解潜在的安全风险,降低社会应用成本,解决应用XBRL审计模式的后顾之忧。成功失败往往只在一线之间,从这种意义上说,安全性将成为决定XBRL审计模式能否得以成功应用的关键因素。
四、基于XBRL的审计流程设计
1.流程中所引入的关键技术
基于XBRL的连续审计流程必须重点加以解决的基础性问题在于动态信息获取机制和网络安全的实现。为此,本文引入了web服务技术以实现动态信息获取机制;同时,引入了数据加密技术、数字签名技术以及安全认证技术来保障网络财务报告信息安全。
(1)web服务技术。传统的网络财务报告披露模式是“拉式”的,即信息使用者必须登录相关网站自行搜寻查找所需信息。这种“拉式”的信息披露模式,显然不利于实现动态审计模式。为此,有必要引入一种“推式”的信息披露模式。在“推式”信息披露模式下,会自动响应合法的在线客户端请求并将其所需信息“推向”客户端,继而交由其应用软件进行分析处理。web服务基于HtmL和XmL,支持动态发现机制,因而可用于实现“推式”信息披露模式。web服务主要包括Soap(Simpleobjectaccessprotocol,简单对象访问协议)、wSDL(webServicesDescriptionLanguage,web服务描述语言)、UDDi(UniversalDescription,Discoveryandintegration,统一描述、发现和集成)。因此,企业可以将XBRL财务报告和分类账实例文档封装成web服务,并为审计方提供web服务的客户端程序,这样审计系统就可以在其本机在线调用web服务,获取财务报告及分类账信息,从而可以动态获取企业最新数据并使其自动流向审计系统。同时,因为XBRL实例文档是根据XBRLGL和XBRLFR分类标准生成的,这就保证了审计人员可以非常方便地获取审计所需数据并自由地进行汇总、下钻、统计查询和分析了。
(2)数据加密技术。安全性方面,必须解决两个层面的问题:数据保密问题和数据真实性完整性的验证。关于数据保密问题可以借助日益成熟的数据加密技术加以实现。由于公开密钥技术无须事先交换密钥,也无须经常变换密钥,各个用户间可以进行保密通信,在网络环境下有较大的优越性。我们知道,企业拥有会计信息的产权,公开披露的会计信息既具有私人物品属性,又具有公共物品属性,但是在会计信息被公布之前仍然属于企业的秘密资料,尚不具备公共物品属性。同时,基于XBRL的财务报告不仅仅包括财务报告,还包括了分类账甚至是原始交易数据,其中必然有一些涉及企业的商业秘密。因此,财务报告数据被公开披露之前的保密性问题至关重要。通过引入上述的非对称加密技术,可以有效地防止企业财务报告及分类账信息泄密。
(3)数字签名技术。所谓数字签名,是指利用通过某种密码运算生成的一系列符号及代码组成的电子密码对电子文件进行的签名。数字签名技术可以确认发送者身份,防止抵赖和冒名顶替;同时,可以保护电子数据文件内容的完整性和准确性,确保不被篡改。我国曾于2004年8月28日颁布了《中华人民共和国电子签名法》,其中所称的电子签名主要就是指数字签名。数据加密技术可以有效防止企业和审计方之外的第三方窃取会计信息,但是不能解决如下问题:企业否认文件是自己发送的;审计方伪造一份来自企业方的文件,或私自修改接收到的文件;他人冒充企业或审计方。通过引入数字签名技术可以有效解决上述问题。
(4)安全认证技术。在实际应用中,上述的非对称数据加密技术和数字签名技术是通过安全认证机构提供的电子认证服务加以实现的。安全认证机构(Certificateauthority,简称Ca)负责为网络用户颁发数字证书,并为证书持有者生成不同的密钥对。通过安全认证技术,既可以实现数据加密,又可以验证数字签名的真实性,从而起到保护信息安全、对外防止欺诈、对内防止否认的作用。截至目前,经主管部门授权,我国已有20余家单位获得了电子认证服务许可,这将为实现连续审计起到保驾护航的作用。依托安全认证技术,就将可以解决网络审计的数据安全问题。
2.基于XBRL的审计流程
基于以上分析,本文在考虑XBRL网络财务报告的网络安全性、连续审计内在特性和要求的基础上,构造了基于XBRL的审计流程,如图1所示。
图1基于XBRL的审计流程
第一,根据企业信息系统生成的XBRL实例文档通过安全认证机构进行加密和数字签名;第二,根据加密和数字签名后的XBRL实例文档生成XmLweb服务并在XmLweb服务注册中心进行注册;第三,审计方即XmLweb服务客户端根据授权访问企业XmLweb服务中心,获取审计所需的XBRL实例文档;第四,根据XBRL分类标准,审计系统对企业方提供的XBRL实例文档进行一致性验证;同时对企业数据进行逻辑校验,如期初余额试算平衡、期末余额试算平衡、发生额试算平衡、凭证试算平衡、账账核对、账证核对、科目账与辅助账核对、凭证科目合法性检验、基础资料完整性检验等。如有问题,可记录于工作底稿;第五,实施审计作业。基于XBRL的财务报告及分类账,既统一了数据接口标准,又使得所有数据都带有唯一的标签,因而更利于审计过程中查询统计工作的进行。同时,还可以结合相关领域研究成果制作专家库系统,如风险评估模型、舞弊识别模型等都可以应用到审计作业中。当然,无论审计模式、审计技术如何,都必须结合账实核对开展审计作业。审计作业过程中可以随时将审计内容、审计中遇到的问题及疑点在审计工作底稿进行记录,并最终根据审计工作底稿生成审计报告;第六,将审计报告通过安全认证中心进行加密和数字签名,并将加密和数字签名后的审计报告发送至企业服务器。这样,企业便可以向相关部门机构提交财务报告及审计报告。
参考文献:
[1]Rezaee,Z.,elam,R.,Sharbatoghlie,a.Continuousauditing:theauditoftheFuture[J].managerialauditingJournal,2001,16(3):150-158.
[2]CiCa.audit&ControlimplicationsofXBRL[R].informationtechnologyadvisoryCommittee,2002.http://cica.ca/multimedia/Download_Library/Standards/Studies/english/Ci-Ca-XBRL-0502-e.pdf.
[3]wagenhofer,a.economicConsequencesofinternetFinancialReporting[J].SchmalenbachBusinessReview,2003,55(10):262-279.
[4]Boritz,J.e.,no,w.G.assuranceReportingforXBRL:XaRL(extensibleassuranceReportingLanguage)[R].intrustandDataassurancesinCapitalmarkets:theRoleoftechnologySolutions,ed.S.J.Roohani,2003.17-31.
[5]Boritz,J.e.,no,w.G.assuranceReportingforXmL-BasedinformationServices:XaRL(extensibleassuranceReportingLanguage)[J].accountingperspectives,2004,3(2):207-233.
[6]murthy,U.S.,Groomer,S.m.aContinuousauditingwebServicesmodelforXmL-BasedaccountingSystems[J].internationalJournalofaccountinginformationSystems,2004,5(2):139-163.
[7]Boritz,J.e.,no,w.G.SecurityinXmL-BasedFinancialReportingServicesontheinternet[J].Journalofaccountingandpublicpolicy,2005,24(1):11-35.
[8]张天西,高锦萍.XBRL对审计的影响研究[J].当代财经,2007,(6):101-104.
[9]Hoffman,C.,Kurt,C.,Koreto,R.J.theXmLFiles[J].Journalofaccountancy,1999,187(5):71-77.
[10]Hoffman,C.,Strand,C.XBRLessentials[m].americaninstituteofCertifiedpublicaccounting,2001.
[11]Debreceny,R.,Gray,G.L.,Rahman,a.theproductionandUseofSemanticallyRichaccountingReportsontheinternet:XmLandXBRL.international[J].JournalofaccountinginformationSystems,2001,(2):47-74.
[12]Strand,C.,mcGuire,B.,watson,L.,Hoffman,C.theXBRLpotential[J].StrategicFinance,2001,82(12):58-60.
[13]weber,R.XmL,XBRL,andtheFutureofBusinessandBusinessReporting[R].intrustandDataassurancesinCaptialmarkets:theRoleoftechnologySolutions.ResearchmonographSponsoredbypricewaterhouseCoopers,2003.3-6.
[14]Jones,a.,willis,m.theChallengeofXBRL:BusinessReportingfortheinvestor[J].BalanceSheet,2003,11(3):29-37.
信息安全审计报告篇2
一、信息系统审计的内涵
信息系统审计的内涵与财务报表审计有较大的不同。以下通过对信息系统审计的定义、目标和类型来阐述信息系统审计的内涵。
1.信息系统审计的定义。
由于信息系统审计的发展很快,因此对其始终没有一个通用的定义。下面分别介绍三种比较有代表性的定义。
(1)日本通产省情报处理开发协会信息系统审计委员会1996年对信息系统审计定义为“为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向信息系统审计对象的最高领导层,提出问题与建议的一系列活动”。该定义中强调独立性的问题。
(2)信息系统审计领域的著名专家威伯教授的定义(1999)是:“信息系统审计是收集并评估证据,以判断一个计算机系统是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济的使用资源”。
(3)信息系统审计影响最大的国际组织——国际信息系统审计和控制协会(iSaCa)的定义是:信息系统审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率的利用组织的资源并有效果的实现组织目标的过程”。该定义比威伯的更详细一些。
通过对相关信息系统审计定义的分析,本文认为,所谓的信息系统审计,是指通过对被审单位的信息系统组成部分的审查来获取和评价审计证据,由此对信息系统的安全性、可靠性、数据的完整性以及信息系统能否经济的使用组织资源并有效地实现组织目标发表审计意见。我们必须清楚的识别信息系统审计、it审计、审计工程之间的区别。一般而言,1t审计(计算机审计)包括信息系统审计和审计工程。信息系统审计的研究对象是企业的信息系统或信息资产,采用的研究方法是传统的审计方法和计算机技术等;而审计工程的研究对象是企业的电子财务和业务数据,研究方法采用计算机技术、系统工程方法和数学理论等。
2.信息系统审计的目标
审计本质上是根据审计目标对收集的证据进行分析评价并得出结论的过程。一切的审计活动都是为了实现一定的审计目标,并围绕审计目标来进行。可以说,审计目标是审计工作的“纲”。它贯穿审计活动的各个方面和审计过程的始终。
(1)真实性。信息系统中的数据要真实的反映企业的生产经营活动。要通过数字签名等一系列技术手段和保留不可更改记录、定期审计等管理手段确保数据的真实性。
(2)完整性。完整性信息不被偶然或蓄意的删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。完整性是一种面向信息的安全性,它要求保持信息的原样,即信息的正确生成、存储和传输。
(3)合法性。系统在购买、使用、开发、更新、维护、转移等过程中必须符合相关法律、法规、准则、行规以及企业内部的规定等。
(4)安全性。安全性是指信息系统在遭受各种因素破坏的情况下,仍然能够正常运行的概率。威胁信息系统安全的因素有外部和内部两种。外部主要是黑客的入侵、病毒的攻击、线路的侦听等;内部主要是被授权的用户访问和修改、删除等操作。安全性是真实性的基础之一。
(5)可靠性。可靠性是指信息系统在遭受非人因素破坏或人为差错影响的情况下仍然能够正常运行的概率。威胁信息系统可靠性的因素包括自然灾害对硬件和坏境的破坏以及误操作对软件和硬件的破坏等。可靠性也是真实性的基础之一闭。
(6)效果和效率。效果是指应用信息系统以后,企业在生产控制、管理质量、提品和服务等方面产生的变化。效率是指信息系统的应用在企业劳动生产率的提高方面所起的作用。
3.信息系统审计的类型
根据信息系统审计的定义和审计目标,我们可以将信息系统审计分为三个基本类型:
(l)信息系统的真实性审计是对传统审计的补充,防止“错”账真审。
(2)信息系统的安全性审计是对企业信息资产安全性的审核,防止由信息系统造成的经营风险。
(3)信息系统的绩效审计是对信息系统投入产出比的审核。
二、信息系统审计的特点
信息系统审计具有其独特的特点,具体特点如下:
1.信息系统审计是一个过程。它是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程,它贯穿于信息系统生命周期的全过程。
2.信息系统审计的对象具有综合性和复杂性。信息系统审计的对象是以计算机为核心的信息系统,它包含了除财务信息以外的其他与生产经营流程有关的所有信息系统,其实质是审计对象及内容的拓展。从纵向(生命周期)看,覆盖了信息系统从规划、分析、设计到维护的全生命周期的各种业务;从横向(信息系统构成)看,它包含对软硬件审计、应用程序审计、安全审计等。从这个意义看,信息系统审计拓展了传统审计的内涵,将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。
3.信息系统审计拓展了传统审计的目标。传统审计目标仅仅包括了“对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见”,《中国独立审计具体准则第20号--计算机信息系统环境下的审计》第四条也明确规定“注册会计师在计算机信息系统环境下执行会计报表审计业务,应当考虑其对审计的影响,但不应改变审计目的和范围”,由此可见eDp审计、电算化审计和计算机审计都没有改变审计的目标,但信息系统审计除了上述目标外,还包括信息资产的安全性、数据的完整性以及系统的可靠性、有效性和效率性。
4.信息系统审计是事后、事前、事中审计的结合体。注册会计师所执行的财务报表审计往往是年度审计,属于事后审计。而信息系统审计是事后、事前、事中审计兼而有之。如信息系统在开发过程中,由审计人员介入所进行的审计属于事中审计,此项审计相对于系统运行后而对其所进行的审计而言又可以看作是事前审计;信息系统运行后,对其在一定期间的运作情况所进行的审计则为事后审计。
5.信息系统审计的内容更加宽泛。信息系统审计包含了一切与信息系统有关的审计,除了整个生命周期过程及相关业务的审计外,随着信息技术的发展,还必将包括联网审计、电子商务审计、网站审计、aSp审计和XBRL审计等。
6.信息系统审计是一种基于风险基础审计的理论和方法。很多组织都能意识到技术带来的潜在好处,然而成功的组织还能够理解和管理好与采用新技术相关的很多风险。信息系统有着与生俱来的风险,这些风险用不同方式冲击着信息系统,审计者面临着审计什么、何时审计以及如何帮助信息系统的管理者管理和控制风险从而实现企业的战略目标的问题。
三、信息系统审计的过程
审计过程是审计工作从开始到结束的整个过程。信息系统审计一般可以分为计划阶段、实施阶段和报告阶段。由于信息系统审计的对象和具体业务不同,每个阶段所包括的具体内容与财务审计也不同。
1.计划阶段
计划阶段是信息系统审计过程的起点。科学合理的审计计划有利于帮助审计人员有的放矢的去调查、取证,形成正确的审计结论,实现审计目标。计划阶段的主要任务包括:调查被审单位的基本情况和内部控制;初步评价审计风险;确定重要性水平;制定审计计划。
(1)调查被审单位的基本情况,初步评价固有风险为了做好审计工作,审计人员首先应了解被审单位的基本情况。需要了解的基本情况包括:第一,被审单位的业务性质和生产经营情况。第二,被审单位的组织结构和管理水平。第三,被审单位信息系统一般情况,即信息系统的结构,所使用的软硬件和网络设施以及运行环境。第四,被审单位应用系统及其所处理的交易和事项的类型。
(2)调查被审单位信息系统内部控制,评价控制风险在计划阶段,审计人员应了解被审单位的内部控制特别是信息系统内部控制,对内部控制的健全和有效性进行评估,初步确定控制风险的大小。
(3)评估审计风险,确定重要性水平。为了合理使用审计资源,有效的实现审计目标,在制定审计计划时审计人员应评估审计风险,确定重要性水平。重要性水平是指在审计事项中,能够容忍出现差错的程度和大小。
(4)编制审计计划。在对被审单位的风险进行初步评估,确定重要性水平后,审计人员应当编制审计计划。审计计划的内容应当包括:被审单位的基本情况、审计的范围和重点、审计的步骤和时间安排、审计人员分工、运用的信息系统审计方法、审计中应当注意的事项和其他内容等。
2.实施阶段
实施阶段是根据计划阶段确定的范围、重点、步骤和方法,进行有针对性的取评价,并形成审计结论的过程。主要由符合性测试和实质性测试两个阶段构成。
(1)实施符合性测试。符合性测试的目的是检查内部控制措施是否健全有效。计人员需要对被审单位的控制系统进行识别、测试和评价。测试的性质、范围和程度。为了达到这个目的,审从而确定后续的实质性控制系统识别。审计人员通过与相关人员面谈、调查问卷以及查阅信息系统和控制系统说明文件等方,识别被审单位的控制系统以及控制环境,并将调查情况记录在审计工作底稿中。
(2)实施实质性测试。实质性测试是对信息系统控制进行的详细测试,以获得这些控制在审计期间是否真实存在并合法有效的审计证据。实质性测试主要通过测试必要的数据,对信息系统达到特定的控制目标的程度进行评价。
信息安全审计报告篇3
政府审计预警机制应该由预警系统、信息系统、干预系统及反馈调节机制构成,具体构成如下图所示。
二、预警系统
(一)预警指标
在政府审计对国家经济安全信息进行分析之前,需要建立一套可靠的预警指标体系。以此为依据,方可对获得的审计信息进行标准化的评估,得出准确的结论。指标的选取必须全面精准,科学有效,从本质上认清各种经济安全问题发生的原理以及各类因素对经济安全的影响和作用。
1.指标选取的原则。
(1)覆盖全面,可靠性高。国家经济安全影响因素复杂多样,指标在构建时需要从各个方面对其进行反映,缺少某个方面极有可能导致预测结果与事实有很大偏差。因此,指标选择时必须全面覆盖各个方面,范围必须要宽。同时,指标选取时应尽可能与经济安全关系密切。通过确保指标的可靠性,防止由其他非经济因素对指标的变动造成过大影响。
(2)相互独立,突出重点。指标在选取时应保证每个预警指标的独立性,防止指标之间相互重复,相互影响,确保在数据统计时指标之间的相关性较低,能独立的反应经济安全状况。同时,不同指标对经济安全的影响程度不同,指标选取应该主次分明,重要指标重点关注,影响较小的指标尽可能忽略以精简指标体系,从而节约大量人力物力财力,提高预警效率,使每一个指标发挥出最大效用。
(3)数据规范,可测性强。指标设计时应与国际国内中央银行预警采用的指标相一致,以便审计数据的分析比较和研究,同时应参考现行的相关制度,保证与国际国内最新指标接轨。可测性就是指标的数据便于量化,可以对国家经济安全进行准确预警,主要表现在监测指标的数据可以通过相应的统计方法来获取,统计数据与国家经济安全之间的关系可以通过统计学方法进行测算。
(4)灵敏度高,实时更新。国家经济安全面临形势复杂多样,经济环境快速变化,不同指标对经济变化的敏感性不同,应该保证所选取的指标灵敏度高,对经济环境变化的细微变化能从数据上及时体现。同时要强调指标的及时更新,对金融环境和经济活动的发展应及时完善添加新的指标,对落后过时的旧指标进行过滤淘汰。
2.指标内容选取。
根据以上原则,结合现阶段经济形势,设立以下预警指标:
(1)财政金融指标。包括财政和金融两个方面的内容,从宏观层面上对经济安全进行反映。财政金融指标主要通过货币流通失控、金融机构营运风险、经济泡沫风险、政府债务风险和外汇储备风险等指标进行反映。
(2)社会人员指标。包括社会和人员两个方面的内容,对社会矛盾比较尖锐的经济问题和与人民群众联系紧密的民生问题密切关注。主要通过收入分配风险、社会保障风险、就业率等指标反映。
(3)外贸经济指标。对对外贸易经济进行评价与考查,主要通过外资风险、外贸依存度和外贸摩擦等指标反映。
(4)资源安全指标。包括与日常生活密切相关的资源,主要通过能源安全、粮食安全、水安全和生产资料安全等指标反映。
(5)生态环境指标。根据习主席“绿水青山就是金山银山”的生态指示精神,对生态环境建设加大关注力度,主要通过环境监测、污染治理、生态建设等指标反应。
(6)其他安全指标。以上指标并未包括的指标,如信息安全、国有资产安全等指标。
(二)安全等级及警级设定
预警指标确定之后,需要对数据进行分析处理,并确定经济安全危机等级。对不同程度的危机实行不同程度的判定,可以更有效的找到对应的解决办法,提高危机处理效率。通过借鉴国内外关于危机分级管理相关研究,将经济安全等级分为以下5个等级,并同时对应5个预警警级,如表1所示。
1.安全:各方面指标均显示正常状态,不存在任何安全隐患。对应的预警警级为无警级,用绿色表示。
2.比较安全:存在安全隐患,但问题影响不大,如果引发问题,造成的损失在可承受范围内,各方面维持水平较好。对应的预警警级为较轻,用蓝色表示。
3.相对安全:大部分情况下处于安全情况,但当经济中发生严重危害安全的重大事件时,有引发重大损失的可能性,但概率不高。对应的预警警级为一般,用黄色表示。
4.缺乏安全:存在大量不安全隐患,若不能及时消除,必将引发重大损失。对应预警警级为严重,用橙色表示。
5.十分不安全:危险等级达到最高等级,安全隐患达到危急的程度,随时都有可能引发重大危机。对应预警警级为特别严重,用红色表示。
三、信息系统
信息化是当今社会的鲜明主题,政府审计本身就是经济信息连续运行的一个过程,一旦脱离信息将寸步难行。因此,政府审计必须紧跟社会经济发展的步伐,时刻掌握社会最新经济动向;同时要对获得的信息进行评估处理,将最终结论提供给决策机构,以方便管理层对经济问题进行决策,充分发挥出政府审计对国家经济安全的事前维护功能,从而有效改善国民经济运行状况。
政府审计信息系统集信息收集、信息评估、信息处理为一体,根据预警系统制定的预警指标,具体问题的安全度及预警警级。
(一)信息收集
政府审计部门根据信息收集的计划去收集所需信息,在收集过程中,通常会出现计划之外的新情况、新问题,需要及时调整计划方案,在原有的基础上对信息采取补充收集以及更进一步的追踪收集;在直接调查收集信息的同时,还要通过间接手段收集资料,之后对直接资料和间接资料进行整合,如将政府审计与社会审计的结果相结合,以尽力确保审计信息的完整性、全面性、有效性。
(二)信息评估
政府审计部门对上一步收集来的审计信息采取分析活动。信息评估人员先要对审计信息进行描述,通过统计报表、调查报告、资料汇编等形式进行书面整理;之后将审计信息进行分类处理,避免遗漏审计信息并判断审计信息的重要程度,再对重要信息进一步分析;同时要对信息的真伪以及是否具有代表性进行鉴定与筛选,可以通过对信息来源以及信息本身的可靠性进行判别。
(三)信息处理
政府审计部门对评估后的信息进行处理,将分析汇总后的数据和建立的预警系统进行匹配,对各个预警指标进行计算,之后把计算所得数据与安全度和预警警级相对应,最终得出具体问题的经济安全度与预警警级。
四、干预系统
确定安全度和警级后,政府审计部门要采取相应手段对经济运行机制中的对应环节进行干预,以发挥政府审计预警效能。
(一)审计报告
在对经济信息进行分析处理后,政府审计部门应定期国家经济安全评估报告。定期报告中应包括一份对国家经济安全总体形势的判断评估,包含各方面指标的简要数据分析,最终整合得出国家整体经济安全状况;同时对国家经济安全稳定影响较大的部分指标出具详细的专项报告,呈现一个评估周期内数据的具体变化情况,并分析走势情况,预测下阶段经济安全动向;对于波动较小的指标,可以二至三个周期出具一次审计报告,以确保指标的长期性和稳定性。
同时,由于经济环境的不稳定性和复杂性,政府审计部门在遇到如金融危机等特殊情况时,应立即采取应急预案,针对受影响产生大幅度波动的指标进行深入调查,出具不定期安全评估报告,以协助政府相关部门及时出台相应措施办法,并对问题环节进一步跟踪调查,直到问题解决,指标恢复正常水平。
(二)向政府提供意见和建议
目前,政府审计面临的经济安全环境日趋多变,相应的职能机能也需要根据形势变化而变化,不仅从微观上对财务财政进行具体的检测监督,同时也要从宏观角度对国家经济安全整体进行权衡、评价、提供决策建议等。政府审计部门在出具国家经济安全总体评估概况及专项审计报告后,应根据报告数据及内容得出的结论对政府部门进行预警,根据经济安全度和预警警级,按不同优先度对政府相关部门提出解决问题和完善安全管理系统的意见和建议,并从规章制度建立角度积极敦促立法机关进行改进,提出预防措施。
(三)对相关单位部门提出改进方案
政府审计部门在向政府层面建言献策的同时,应该根据评估报告中出现问题的倾向和苗头进行预警和预防,对具体环节寻责问责,指出该单位或部门具体违规违法情况,并结合行业特殊性对其提出实用性强的整改措施及改进方案,确保该单位或部门以后不会发生类似安全问题,以提高政府效能,达到政府审计预警效果。
五、反馈调节机制
在政府审计预警机制运行过后,应对运行结果进行相应评价并与以往运行效果进行对比,从而形成反馈调节机制。通过根据实际工作情况反映并总结经验教训,在反馈调节过程中需对预警系统、信息系统、干预系统的不完善之处进行修改。预警机制可以从修订预警指标、精确预警阈值、完善安全度及警级设定等方面提高;信息系统可以从加大信息收集渠道、优化信息评估方式、提高信息处理效率等方面加强;干预系统可以从调整报告周期、参与法规制度修改、加强与部门之间联系等方面改进。
政府审计与国家经济安全二者属于相互依存、相互影响的关系,政府审计功能发挥完善,国家经济安全状况得到有效维护,形成良好的经济环境,有助于经济运行健康有序、社会和谐,反过来同样改善政府审计的内外部环境,提高审计机构工作效率,促进审计事业的快速发展。因此,作为维护国家经济安全的最前沿阵地,加大政府审计预警机制建设至关重要。
参考文献:
[1]安广实,叶凡青.基于维护国家经济安全的审计预警机制构建[J].电子科技大学学报(社科版),2011(05):59-64
[2]年志远,李丹.国家经济安全预警指标体系的构建[J].东北亚论坛,2008(06):75-76
[3]顾海兵,刘玮,周智高,刘陈杰.中国经济安全预警的指标系统[J].国家行政学院学报,2007(01):49-52
[4]李兆华,施泽军.政府审计维护国家金融安全预警体系构建及联动性分析[J].经济研究导刊,2010(02):139-140
信息安全审计报告篇4
一、项目的开发背景及公安消防部队审计现状
(一)项目开发背景
随着计算机和网络技术的快速发展,信息时代已经到来,在审计领域,会计信息化使审计信息、审计方法、审计技术发生了根本性变化,传统的审计方式和手段已不能适应会计信息电子化的形势,如何不辜负各级党委领导对审计工作的希望,切实在全面建设小康社会、全面加强部队建设等方面更好发挥审计监督作用,是摆在审计部门面前的首要课题。按照国家审计署审计信息化发展规划,审计信息化应逐步形成“预算跟踪+联网核查”的审计模式,实现审计监督的“三个转变”,即从单一事后审计转变为事后审计与事中审计相结合,从单一静态审计转变为静态审计与动态审计相结合,从单一现场审计转变为现场审计与远程审计相结合的总体要求,进一步提高审计质量和工作效率,规避审计风险,切实发挥审计部门“出效益、保廉政、促管理”作用。在此背景下,笔者认为应该把审计信息化建设纳入部队建设的重要议事日程,并提出了依托公安三级网络构建审计信息化平台的构想,通过研发审计软件推动全省消防部队审计工作的全面发展,不断加强审计监督,实现审计工作的信息化、网络化建设。
(二)公安消防部队审计现状
经过调查研究,公安消防部队主要设有公安部消防局、省总队两级审计机构,市支队没有审计机构,仅有部分专兼职审计员,存在着监督网络不健全,审计人员偏少、审计任务繁重、审计资源整合度不高的问题,计算机辅助审计和运用网络远程审计作业与管理的现代审计基本没有开展。尤其是消防部队财务信息化建设走在审计信息化建设的前列,早在十年前就开始使用会计软件进行核算与管理,而长期以来审计人员采用老式的审计查帐方法,不仅审计工作效率和质量较低,而且对审计工作风险的预见和控制程度不高,迫切需要以先进的审计信息化系统改变审计工作现状。
(三)公安消防部队审计信息化建设可行性分析
1.硬件环境
目前全国公安消防总队以上专职审计人员全部实现人手一台微机或笔记本电脑的配备,部分总队、支队专兼职审计人员实现了笔记本、台式机双配备,具备外出就地审计和在办公室远程审计的基础。尤其是近几年来,公安消防部队实施科技强警战略,加大了对基层基础设施建设的投入,各消防总队、支队硬件环境良好,拥有专用计算机机房和专用软件服务器,并且有专人负责管理,具有较高的稳定性和安全性。
2.软件和网络环境
各总队服务器软件平台主要依托windowsServer操作系统,数据库采用SQLServer2000数据库系统。单机主要采用windowsxp或windows2000操作系统。各消防总队网络运行依托公安三级网络,省、市、县网络健全,基于BS架构的办公网络系统依托三级网运行良好,各总队自行开发的基于cs架构的消防业务相关软件也在正常运行。总队级软件环境和网络环境已经十分稳定和成熟。
3.财务软件运行状况
目前公安消防部队支队级以上单位大都使用财务软件主要包括武警部队财务管理信息系统、武警消防票据管理系统、银行账户管理系统、用友nC、用友U8、事行财务软件等,其中用友nC财务软件是在各总队服务器上使用,武警部队财务管理信息系统和武警消防票据管理系统已在部局、总队、支队和独立核算的大队四级单位应用(一些大队也在使用票据管理系统)。消防部队正在对各省财务软件进行统一和规范,逐步实现以武警部队财务管理信息系统为主的财务软件运行模式,目前武警部队财务管理信息系统已经开发了部队行政经费账套、消防业务经费账套、基建经费账套,基本满足了消防部队财务工作现状。武警部队财务管理信息系统是基于SQLserver数据库设计开发的财务应用软件,对于审计所需基础数据的采集极为有利。
目前消防部队各级单位硬件软件环境配备和财务软件应用、网络运行状况,可以实现远程财务数据和业务数据采集、远程审计和联网监控等审计功能,已经具备了审计信息化建设的基本条件。
二、项目的预期目标及效益分析
(一)项目的预期目标
在金盾工程的整体规划下,全面推进信息技术在消防部队审计工作中的应用,进一步将审计人员从繁重的手工审计中解放出来,促进审计工作的规范化建设,提高审计工作效率,节约审计资源,完成审计工作机制和体制创新,更好的发挥审计监督职能作用。
(二)审计软件开发的效益
通过开发审计作业系统、审计信息管理系统和联网审计系统,实现网上审计、远程审计、远程审计指导与管理、实时监控、网上数据传输等功能,完成审计监督的“三个转变”,保证各类审计业务数据采集、传输的顺畅、有效,同时推进消防审计管理和消防审计行为的透明、规范、高效,进一步提高审计质量,规避审计风险,从源头上预防和遏制经济活动违法违纪行为,避免资金使用损失浪费,发挥预警监督和保障作用。
三、项目的主要建设内容
公安消防部队计算机审计信息系统按照审计作业系统、审计信息管理系统、联网审计系统三部分进行设计,分别满足审计工作业务、管理和联网审计的需要。
(一)审计作业系统
审计作业系统主要是为满足日常审计需要而设计的。作业系统按照审计工作开展顺序设计了审计工作流程,分别为数据采集转换、审计项目建立和审计项目作业。审计工作流程设计能够引导审计人员按照流程步骤实施审计项目,操作起来更加直观、方便、快捷。在数据采集转换上,系统提供了强大的采集转换工具,数据采集不仅支持总队、支队目前常用的财务软件,同时还提供了市面上流行的常用200余种财务软件采集接口,能够满足采集工作需要;数据转换全面支持国家标准数据的引入,以及消防部队支队以上单位目前使用的财务软件的现状,较为智能化地完成数据转换、科目库处理、分类账处理、自动生成科目余额表和会计报表,能够实现自动账证核对、账表核对、账账核对、凭证检查等功能。系统还提供了功能强大的审计查账工具和查账专家功能,审计人员可以根据业务工作需要定制各种查账方案,也可以根据实地检查需要自行设定查账条件,充分利用软件内置的计算、对比和分析功能,账务查询分析更加科学。同时作业系统具备合同审计、预算审计、固定资产审计、专项审计调查等功能,进一步拓展了审计工作范围,基本涵盖了审计工作的方方面面。对审计作业系统具体内容分别从以下三个方面进行具体说明。
1.数据的获取和数据转换设计
针对目前消防部队使用的财务软件,审计信息系统可以提供多种数据获取的方式。一是能实现联网取数(见图1),即通过公安网络实现取数接口直接连接财务软件数据库,完成取数工作;二是能实现利用定期备份的数据取数。即通过将备份数据恢复到本地计算机,再通过审计软件从本机取数;三是能够单机取数(见图2),即使用审计软件的取数工具在财务服务器上将数取出来之后利用移动存储工具拷贝到审计服务器上。四是利用智能客户端取数。即在被取数单位的机器上安装智能客户端。客户端可以按照设定的时间自动采集数据,数据采集完成后客户端将采集的数据自动上传至审计服务器。
2.审计项目的建立设计
审计项目建立是审计作业工作的一项重要内容,审计信息系统按照设计了方便实用的项目建立流程。审计人员可以按照流程顺利完成建项工作,建项过程中审计人员可以选择项目类别、项目阶段、参与项目的人员及相关职责、所需要的账套数据等。项目建立完成后所选人员可以按照不同的职责权限对项目下挂的账套数据实施审计查账。
3.审计项目作业功能设计
审计作业系统按照审计工作流程分为“审前准备阶段”、“审计实施阶段”和“审计终结阶段”。
①审计准阶段
审计准备阶段包括:“计划管理”、“项目管理”两项功能,对审计项目的开展,提供“资料准备”、“项目准备”、“历史资料查看”、“审前调查”的服务功能。
②审计实施阶段
审计实施阶段功能模块为审计人员提供了在现场作业过程中对审计对象财务数据运用“审计工具”相关功能实施分析、查询、复算等操作支持服务。同时定制了三项审计工作流程,即:“审计工作流程”、“审计程序流程”、“审计底稿流程”。审计工作流程的定制加强了对审计工作的管理,充分发挥审计软件的管理作用。
审计实施阶段的功能设置包括八个方面:即“获取资料管理”、“审计会议管理”、“审计谈话管理”、“内控测评管理”、“审计程序管理”、“工作底稿管理”、“工作底稿汇总管理”、“审计组交叉复核”
③审计终结阶段
审计终结功能模块主要提供对审计报告的制作、审计对象意见管理、审计报告呈批、审计报告批复的管理服务。
审计报告阶段的功能设置包括七个方面:即:“审计报告管理”、“征求意见管理”、“组外意见管理”、“审计报告呈批、“审计报告审批”、“审计作业结果管理”、“跟踪审计”。
(二)审计信息管理系统
审计信息管理系统主要为满足审计工作中对审计项目、审计档案、审计资源和审计业务工作的管理需要而设计的。其主要功能包括:基本信息管理、审计对象管理、业务计划管理;审计准备、审计实施、审计复核、审计终结阶段模板管理;审计档案管理管理、领导查询功能、台帐报表功能、审计支持功能、审计信息管理功能、公共信息管理、业务办公功能、网络教育功能、软件系统管理功能。以下分别说明。
基本信息:包括计划类别、审计方式、文书管理、项目类别;
审计对象:包括对象管理、行业信息;
业务计划:包括项目计划、计划列表、计划变更、备用计划、编号维护;
审计准备:包括工作方案、实施方案、审计通知书、下达项目数据;
审计实施:包括工作底稿、审计日记、其他实施文书、编号维护、提取作业数据;
审计复核:包括数据提取、复核管理、提交归档;
审计终结:包括审计报告、审计结果报告、审计报告征求意见书等;
档案管理:包括档案管理、借阅审批、可阅文档、档案案卷目录管理、档案目录分类维护;
领导查询:包括应上交、已上交、罚没查询、进度查询;
台帐报表:包括台帐录入、报表查询、设置(台帐字典、报表字典、单位信息、报表分类、报表插件);
审计支持:包括法律法规库、审计专家库、审计案例库、审计经验库、审计方法库;
审计信息管理:包括审计工作信息、审计信息通报、审计要情、大事月报、其它;
公共信息:包括公告栏、公共论坛、内部制度、通讯录、电子刊物、局内主页;
业务办公:包括未办事宜、在办事宜、已办事宜、阅件、外出代办、常用意见网络教育:提供多种培训方式,保证审计人员可以全天候,不受地域和空间限制地多层次培训。培训材料支持视频、培训文件和业务资料,实现网上远程培训教育;
网络教育:提供多种培训方式,保证审计人员可以全天候,不受地域和空间限制地多层次培训。培训材料支持视频、培训文件和业务资料,实现网上远程培训教育;
系统管理:系统配置、数据维护、数据接口、数据备份、部门定义、人员定义、流程定义、流向定义、角色定义、权限维护。
(三)联网审计系统
联网审计系统,要求实现作业的联网、审计对象的联网。实现从大队、支队到总队的财务数据联网。对于在网的财务系统可以实时的获取财物数据并进行在线的审计,对于不在线的财务数据建立报送通道,可以通过在线下达审计通知书的方式获得。
1.数据远程采集与传输
通过全国公安互联网络,公安部消防局与各省消防总队、总队与支队服务器等进行逐级网络互连,实行定期或实时采集审计需要的被审计单位或下一级单位数据,完成被审计单位数据的分配、权限管理以及加强监管的需要。
通过数据安全认证模块,保证数据采集、转输、存储的安全,数据采集仅仅采集与审计相关的账务系统数据。
2.数据转换系统
数据采集至联网审计系统中,由数据转换系统完成数据转换。数据转换不但全面支持消防部队内部使用的财务软件系统,如军财系统,还支持市面上流行的财务管理软件,如用友、金蝶、浪潮等,便于各级审计部门更好开展工作,进一步增强针对性。
3.联网审计业务基础平台
联网审计的远程取数与审计作业是全面联网审计信息化建设的基础,是实现各级审计部门管理应用的切入点。要建设一个可扩展性、功能强、标准化、高度集成的软件工作平台,满足与审计部门各类信息管理系统的互通协同、与审计作业软件数据交互的要求,为实现业务事务一体化管理模式打下基础。
架构能承载总队、支队各项业务的作业平台,整合总队现有信息资源、硬件、网络资源,建设一整套优秀的服务器及网络设备、搭建一个内部信息沟通及工作信息沟通的优秀网络。
4.审计预警监控
基于安全、经济、便捷的网络条件,建设各省对所属部队财务活动进行实时审计监控系统,实现监督的无“缝隙”。各省消防总队审计部门随时可以对所属消防支队的财务的核算执行情况进行监督,及时收集掌握被审计单位的最新会计信息和有关经济业务信息,并实时审计监督,审计的时效性将大大提高。审计从事后审计转变为实时审计,并从静态审计走向动态审计。
审计预警监控主要包括为七大功能,即:预警初始化、科目使用规范性预警、科目余额方向正确性预警、挂帐科目预警、大额支出预警、较大增幅支出预警、资产负债表预警。在获得必要权限的前提下,利用审计接口软件实施网络审计,可以完整、快速地获取被审计单位会计和经济业务数据,并作进一步的计算、分析、检查和核对,大大减少审计人员的审计工作量和审计成本,提高审计效率。
信息安全审计报告篇5
目前,现代企业经营越来越依赖信息系统,信息系统管理信息、处理业务以及存储大量的数据。也迫切需要对信息化管理现状进行全面的审计,以分析评估存在的问题,提出解决方案,完善it风险控制,保障各信息系统的规范运作,降低信息化风险,提高业务运营的经济性和有效性。it审计虽然区别于财务审计,运营审计等常规审计,但其审计方法论仍不可能脱离常规审计所用的方法论。也就是必须对审计目标,审计范围,审计计划等等均需进行清晰阐述,并在实施it审计后,出具具有充分、适当的审计证据支持的it审计报告。
一般来说,实现全面的it审计,应当从审计对象的整个生命周期领域、审计对象及组织层次来开展。
一.it审计范围
进行it审计的对象包括但不限于以下领域:1.管理组织与制度;2.项目管理流程规范性,包括应用系统的开发、测试与上线管理;3.基础设施及运维管理;4.信息安全管理;
it审计涉及的应用系统包括但不限于以下领域:1.生产系统;2.营销系统;3.办公自动化系统;
it审计涉及的组织层次包括但不限于以下领域:1.高层决策者;2.中层管理者;3.技术部门员工;4.业务部门员工。
二.it审计具体实施
eLC(entitylevelcontrol)控制。关注客户在it治理方面的相关组织架构是否合理,管理制度是不是健全,具体的审计程序就是获取客户的组织结构图,及一些比较虚的总纲类的书面管理制度如《it管理制度》等等。
系统开发和变更。关注系统开发和系统后续变更实施中的控制,具体的审计程序首先就是获取系统开发及变更相关的管理制度,该文原载于中国社会科学院文献信息中心主办的《环球市场信息导报》杂志http://总第522期2013年第39期-----转载须注名来源如调阅《系统开发制度》《系统变更管理制度》,二是关注系统开发过程的合理性,如是否经过了需求提出、可行性研究、领导层审批,系统上线之前是否经过了充分的测试,获取一些内控痕迹和表单,如《××系统需求报告》、《××系统可行性报告》、《××系统立项审批单》、《××系统单元测试报告》、《××系统集成测试报告》、《××系统上线审批单》,《变更审批单》,采取抽样后穿行测试。
操作系统及数据库控制。关注操作系统和数据库的控制,如登录时密码控制强度、敏感操作的权限分配、日志的保存。
应用系统控制。关注应用系统控制的合理性。如银行使用的综合业务系统(有的叫核心业务系统)、国际结算系统、大小额系统、信贷管理系统等等,关注其安全配置和用户权限。
接口控制与信息安全。关注其数据准确性、完整性、以及组织级的网络管理的相关制度,如防火墙的架构,内外网分离程度等。
三.it审计依据
it审计依据的来源基本上业界都有很充分的理论依据以及最佳实践,以下it控制标准、法律法规、行业最佳实践都可作为it审计的依据。
it标准、规范及最佳实践;企业内控框架-CoSo;it治理-CoBit、iSo38500;it规划与架构设计-Zachman、toGaF、Fea;it应用系统开发与运维-软件开发规范、Cmmi、iSo9126;it基础设施生命周期管理-网络、主机、安全等设备管理规范;it服务管理-itiL、iSo20000;it项目控制-pmp、prince2、项目监理规范;信息安全管理-iSo27001、iSo27002;业务连续性计划-BS25999、anSi/nFpa1600;it应用控制-输入控制、处理控制及输出控制;it资源协同-eai、Soa、共享中心等……
目前,信息系统的正常运行已经成为银行业务正常运营的最基本条件之一,信息科技在有力提升银行核心竞争力的同时,信息科技风险也愈发突出和集中,信息科技风险控制已成为银行业风险管理的重要内容,而it审计作为银行业风险管理体系的重要组成部分,其重要性和必要性已经日益得到银行业管理层的关注。
it与其他如财务审计等不同之处,主要在于审计框架是否全面。审计过程仍遵循常规审计步骤,包括审计策划、审计准备、审计对象调查、实施审计、审计发现复核及沟通、审计报告六大步骤。
信息安全审计报告篇6
关键词:审计报告公共物品产权审计关系审计基金
一、引言
近年来,关于会计信息产权的研究日益深入,相关的研究成果逐渐增多且越发成熟。但是相关的研究文献中单独涉及审计报告产权的研究甚少,可以说是凤毛麟角。之所以大部分研究会计信息产权的文献并未特别提及审计报告,其中很重要一个原因是多数学者将审计报告作为会计信息的一个组成部分。如杜兴强(1998)认为,审计报告是会计信息的一部分,原因在于审计报告虽不直接产生会计信息,但它增加了企业提供会计信息的可信赖性。再者由于对多数投资者而言,他们购买一个公司的证券一个重要原因就是相信该公司财务报告的高质量,而审计报告有助于肯定或否定这一结论。然而,笔者认为,虽然审计报告不可能离开会计报表单独存在,但是它也具有自身的独特之处。首先,它所提供的信息是单一而不可分的,它所针对的是会计报表的表达,而不像会计报表所提供的信息那样丰富多彩,每个报表信息使用者可从中各取所需。其次,审计报告的供求机制也不同于会计信息。审计报告由注册会计师(Cpa)提供,其初始产权归Cpa所有,企业需通过支付审计费用来购买其产权;而会计信息则是由管理层生产,在现阶段其产权归公司所有。所以,本文在此基础上,通过分析现阶段审计报告产权属性,重构一种新的审计关系模式,力图为消除其公共物品属性带来的消极后果提供一种新的思路。
二、审计报告的资产属性与产权安排
(一)审计报告资产属性的演进历程
在不同的产权制度下审计报告具有不同的资产属性。自现代审计于18世纪诞生以来,随着企业组织形式的发展,审计报告资产属性的发展也经历了两个阶段。
现代审计的产生根源于所有权与经营权的分离。在有限责任公司制的产权结构下,公司的所有权掌握在一小部分人手中,两权的分离程度还十分有限,主要表现在股东人数有上限规定,且公司高管往往具有股东身份。Cpa在完成公司所有者的审计委托后将审计报告直接呈交给股东,审计报告主要为数量有限的股东所享有,其他外部各方无权过问。在这种情况下,审计报告的产权还只是简单的小范围的个人产权集合形式,具有俱乐部物品的特征。
随着资本市场的逐步发展和企业经营活动的日益复杂,所有权与经营权进一步分离,股份有限公司制的产权结构得以产生并不断健全。其中,在上市交易的股份公司中,股权已脱离企业而单独存在,股权交易使得股东经常处于变动状态,以至很难辨明公司的股东是哪些人,最终形成所谓的委托者“虚位”。在此种情况下,任何人都有可能成为公司的股东(潜在投资者),因而他们也都有权获得公司的审计报告。从这个意义上来讲,审计报告已演变成公共物品。
以上审计报告资产属性的演进历程表明,公共物品并非其天然和本质属性,而是特定历史阶段下制度安排的产物。
(二)审计报告公共物品属性的解析
在产权经济学看来,公共物品具有三个特征:一是不可分性,即消费者只能在保持物品完整性的前提下,由众多消费者共同享受,而不能将其分割为可以计价的单位供市场出售;二是非竞争性,即消费者的增加不会引起该物品生产成本的增加,也不会减少任何一个人对该物品的消费量,某个人对一种公共物品的消费并不妨碍其他人对该物品的享受;三是非排他性,即一个人对某种公共物品的消费,并不排斥其他人对该物品的同时消费,且人们不能根据某个人是否支付了费用来决定他的消费价格。
现阶段的审计报告已具备了公共物品的三种特征。首先,审计报告是Cpa对公司会计报表总体表达是否合理、公允所发表的意见书,其传达的Cpa的意见是单一明确且不可分割的,只能是无保留、保留或拒绝表示其中一个,而不可能同时传达多个信息或模糊信息,使用者不可能分而用之。究其原因,可知是审计报告的本质使然。这表明审计报告具有不可分性。其次,现阶段的审计报告由企业或股东向其他需求者免费提供(审计关系异化的表现)。任何一个使用者对审计报告的使用都不会引起对审计报告的“损耗”或是减少其他使用者的效用,而且企业支付给Cpa的审计费用(审计报告的生产成本)也不会因为审计报告使用者人数的增加而增加。这说明审计报告具有了非竞争性。最后,审计报告可由众多使用者同时使用,而且由于广大的潜在投资者的存在以及企业的免费提供,使其消费价格实际上无法确定。这成为审计报告非排他性的表现。
(三)审计报告的产权安排
针对审计报告的公共物品属性,存在两种形式的产权安排,即正常审计关系模式下的产权安排和异化审计关系模式下的产权安排。
在正常的审计三角关系中,Cpa接受股东委托对管理层提供的财务报表进行审计并发表意见后,由委托人即股东支付相应的报酬,而股东则根据经审计师验证过的财务报表来评价管理层完成受托责任的情况并作出进一步的决策。正如审计报告的称呼所指,审计报告由Cpa向全体股东呈送,其产权归全体股东共同所有,并由其提供给其他需求者无偿使用。由于股东作为一个特定的团体,存在一定的入会门槛,排除了股东以外的人对审计报告产权的拥有。因此,这种情况下的审计报告产权就具有了俱乐部产权的特征。
在异化的审计关系中,股东大会根据管理层的推荐选聘Cpa,同时由于股东对公司经营事务的远离以及不完善的公司治理结构的普遍存在,管理层所推荐的Cpa往往都能通过股东大会的批准,从而使原本处于被审计地位的管理层通过层层“关隘”,最终在实质上拥有对审计师的选聘权。审计报告的生产实际掌握在管理层手中,审计报告的生产成本由公司承担,而其他需求者(包括股东)都将免费使用。此时,审计报告的产权已然归上市公司所有,成为了一项法人产权。
三、审计报告公共物品属性的后果分析
(一)审计质量难以提高
审计报告具有公共物品的非排他性。新制度经济学认为,产权的非排他性是产生外部性和“搭便车”的主要根源。共有产权下,由于共同体内的每一成员都有权平均分享共同体所具有的权利,如果对他使用共有权利的监察和谈判成本不为零,则他在最大化地追求个人价值时,由此产生的成本就可能有部分让共同体内的其他成员承担。且一个共有权利的所有者也无法排除其他人来分享他努力的果实,所有成员要达成一个最优行动的谈判成本也可能非常之高,因而,共有产权导致了很大的外部性,其中公共产权所导致的外部性最大。另外,由于一个人对公共物品的使用效用并不会减少其他人的使用效用,因此,公共物品会引发“搭便车”现象,每个人都不愿意为使用公共物品而支付费用。
在现行审计关系的制度安排下,审计报告总是在公司或股东与Cpa进行产权交易后提供给债权人、政府、潜在投资者等需求方使用。由于审计费用由公司或股东承担,其他使用者因无偿使用而纷纷“搭便车”。公司或股东作为信息提供者无法补偿所消耗的信息生产成本(审计费用),最多只会提供边际收益等于边际成本这一点的信息量,没有动力要求Cpa提供高质量的审计报告[1]。因此,笔者认为审计报告具有的非排他性造成的外部性和大量的“搭便车”行为是导致审计质量不高的重要根源。
(二)审计合谋频繁发生
从产权理论角度来说,审计的产生是企业的所有者为保护自己置于公共领域的会计信息产权不受管理当局的侵犯,而向独立第三方寻求监督检查管理层,以保证信息的真实性(武丽,2005)。理论上来说,所有者应当对该独立第三方进行监督,从而保证所获得的审计报告的可靠性。然而,在现行异化的审计关系模式中,股东、债权人、政府和潜在投资者等审计报告的使用者并不直接从Cpa手中获得审计报告,而由管理层转交。这种与初始产权交易的远离,使原本在双方之间已经存在的信息不对称更加严重,导致使用者所承担的监督成本大幅增加。作为理性的经济人,使用者在权衡利弊之后,很可能放弃对Cpa和管理层的监督权。同时,由于审计报告产权的模糊,产权主体权责边界界定不清,导致大部分审计报告使用者的权利与责任的不对称,各主体对审计报告无偿使用所引发的“搭便车”行为使得使用者没有足够的动力对Cpa实施有效监督。
在监督成本增加和监督动力丧失的情况下,在审计合谋博弈中Cpa选择合谋的机会主义动机就很可能转化为机会主义行为,从而诱发审计合谋,导致Cpa与管理层或控股股东共同攫取置于公共领域的会计信息产权(武丽,2005)。
综上可知,审计报告公共物品属性带来的外部性是导致诸多不良后果的主要原因,而现行的两种产权安排却无法消除这种影响。德姆塞茨认为,产权的一个主要功能是引导人们实现将外部性较大内在化的激励。这可从两个方面来看,一是产权能够减少不确定性和降低交易费用,二是产权能够将外部性内部化。这为我们通过新的产权安排来消除审计报告产权的外部性提供了理论依据。同时,由上述审计报告属性发展的历程可见,公共物品属性并非审计报告的“本来面目”。这为我们通过产权安排改变审计报告公共物品属性提供了可能性。
四、审计关系模式重构:从产权安排的角度
(一)来自“科斯的灯塔”的启发
在科斯之前,传统经济学家普遍认为作为公共物品的灯塔必须由政府提供,因为私营灯塔是无从收费或无利可图的。科斯在1974年发表的《经济学上的灯塔》中第一个以事实为根据反驳了这一观点。科斯发现,在1610—1675年间,在英国私人投资建造了至少10个灯塔。在当时的灯塔制度下,私人投资灯塔必须向政府申请许可证,获得向船只收费的授权。该申请还须由许多船主签名,表示愿意支付过路费,而过路费的多少则由船的大小及航程经过的灯塔数来定。虽然到了1842年后,英国的灯塔又全收归公有,但这至少证明了灯塔私人生产是可能的。“科斯的灯塔”为在审计关系模式重构中审计报告产权安排和政府介入提供了启发。
1.审计报告的生产可由私人(Cpa)提供,各使用者成立一个俱乐部式的机构并通过交纳一定信息使用费来获取入会资格;审计报告由Cpa生产出来后其产权由Cpa转让给俱乐部,并由俱乐部提供给需求方,从而改变审计报告的公共物品属性。在这一关系模式中,审计报告的初始产权归Cpa所有,通过由俱乐部购买其产权,终极产权归需求方的形式促使Cpa提供高质量的审计服务并由此加强对Cpa的监督,防止需求方因与产权交易的远离而导致有效监督的缺失。[2]
2.由于私人收费的客观限制,需要一定程度上的政府介入。主要表现在:由政府发起并组织俱乐部日常运转;入会费的收取经政府批准并借助政府帮助收取;同时,俱乐部日常运转的费用除可在入会费中支取外,政府也有义务提供,一方面政府是审计报告的需求方理应交纳一定的入会费,另一方面也可作为其履行政府职能的支出。
(二)审计关系模式的设计:审计基金模式
1.审计基金模式概述
审计基金模式下,审计基金是由各审计报告需求者组成的一个俱乐部,俱乐部成员包括:股东、债权人、政府、客户、供应商、潜在投资者与管理层[3]。审计报告由审计基金向Cpa购买,而后直接交给已经交纳一定入会费的俱乐部成员使用。此时,审计报告产权是一种俱乐部产权,归俱乐部成员共同所有。
首先,对股东和潜在投资者的收费可通过股票交易所采取每笔股票交易中根据交易金额向交易双方收取一定比例的审计费用。由于股票市场上成交金额大,且实行双向收费,因此可以保证审计收费的充足性。根据2005年沪深股市成交总额和上市公司审计市场收费总额,经过笔者测算(即便不考虑后面的收费来源)对股东的收费比例约为交易额的1‰[4]。这个比例对股东和潜在投资者来说应该不算沉重。其次,管理人员可以从他们的薪金报酬中按一定比例扣除作为俱乐部入会费。再次,政府可以在审计基金成立之初以及运行过程中以专款拨出的形式作为其入会费。最后,对于其他需求者采取的交费方式可以灵活多样,在他们需要审计服务时向审计基金购买。
2.审计基金的组织结构及其运行
(1)审计基金的组织结构
对于审计基金的定位,考虑到其应该保持的独立性,宜将其界定为一个非盈利组织,由负责保障资本市场健康运转、维持投资者信心的证监会和负责对审计师行业进行管理、对审计领域较熟悉的中注协共同推选代表成立。审计基金内部可设立管理层负责基金的日常工作和执行审计委托、支付审计费用。针对不同行业的实际情况,审计基金内部组织结构可以进一步细化,按照行业在管理层下设立若干个部门,分别负责某一行业上市公司的审计委托中对事务所的资格审查并关注该行业的发展状况,为专家确定标底提供帮助。
(2)审计基金的运行机制
审计基金模式下的审计委托方式可借鉴公开招投标的方式进行。首先,审计基金各行业分部可根据中注协掌握的各事务所规模、人员配置、以往表现等情况对参与本行业竞标的事务所的资格和胜任能力进行审查,严格市场准入门槛。然后,基金管理层按照行业推选专家组成若干专家组,每次可从中随机抽取部分专家来确定该行业各上市公司审计费用的标底。此时,基金中各行业分部可依据其掌握的该行业的基本情况和动态为专家确定标底提供帮助。最后由专家组确定中标的事务所,并由基金管理层与其签订审计业务约定书。各中标事务所在完成审计工作后,应将审计报告提交给审计基金管理层,由其支付审计费用。管理层通过各种媒体将审计报告最终转交给信息使用者。
考虑到审计成本因素,笔者认为不宜进行过于频繁的招标,同时又为了防止审计师与客户因长期合作而影响独立性,可将每次招标的间隔期控制在3年左右。并可规定一家事务所对同一公司连任不得超过2次,以防止事务所与该公司应长期交往而产生“感情”。
(3)审计基金的监督机制
一个良好的组织结构应该包含较为完善的内外部监督机制。对审计基金的监督也可分为内部和外部监督。首先,可在基金内部设立监事会,由其对基金管理层和各行业分部在审计委托、付费过程中是否合规、尽责进行监督制衡。监事会成员可由证监会另行指派人员或推选一部分外部专业人士担任。其次,外部监督可引入国家审计,由审计总署定期或不定期地对审计基金的使用情况进行审计监督,并将审计结果进行公告。
(三)对审计基金模式的评价
作为为改变目前审计委托人与被审计单位合一现象而设计的制度,审计基金模式有自己的突出优点。第一,它设置了一个独立的审计委托机构,解决了因委托人虚拟化所导致的审计委托关系异化问题,改变了审计师对被审计单位在经济利益上依赖的现状,从而使审计师不受制于人,其独立性得以保障;第二,由于采用了较为公正的招投标方式选聘事务所,各事务所站在同一位置展开竞争,因此有望解决我国事务所在业务承接中长期存在的行业垄断、地区垄断问题,加强事务所之间的竞争;第三,在这种审计关系模式下,由于审计师获得的正常效用有了保障,当被审计单位管理层实施舞弊时,其选择与审计师合谋的收买成本也会增加,从而减少审计合谋发生的可能性[5]。
俗话说,“尺有所长,寸有所短”。当然,这种审计关系模式还存在一些缺陷。首先,由于审计费用的来源主要转向审计报告需求者收取,其中很大一部分要股东承担,这无疑会增大公司的融资成本,对公司筹资规模,甚至投资决策都会产生一定影响。其次,由于基金规模较大,如果出现通货膨胀,将会产生大量的货币贬值损失。所以是否需要运用基金进行投资,从而实现其保值增值,也是一个尚待解决的问题[6]。
五、小结
作为一种新的审计关系模式,审计基金模式具有独特的优点,但由于收费对象的变化,涉及到相关者的利益分配变化,也可能受到一部分人的反对。不过笔者认为,改革总是会带来阵痛,虽然以往的许多研究对提高审计质量、治理审计合谋提出了各种建议,但是都还不够彻底,而这种通过重构审计关系从根本上改变审计报告公共物品属性来消除其消极影响的方法,则从另一种角度提出了建议,为从根本上提高审计质量和治理审计合谋提供了新的思路。
参考文献:
[1]R.科斯、a.阿尔钦、D.诺斯.2003.财产权利与制度变迁——产权学派与新制度学派译文集.上海三联书店
[2]蔡柏良.2004.从产权角度看滋生会计信息造假的成因与治理.商业会计,4
[3]杜兴强.1998.会计信息的产权问题研究.会计研究,7
[4]杜兴强.2002.会计信息产权的逻辑及其博弈.会计研究,2
[5]王雄元.2003.试论产权基础会计的俱乐部模式.财会月刊,a4
信息安全审计报告篇7
关键词: 涉密网络;安全审计;主机审计;系统设计
1 引 言
随着网络与信息系统的广泛使用,网络与信息系统安全问题逐渐成为人们关注的焦点。
涉密网与因特网之间一般采取了物理隔离的安全措施,在一定程度上保证了内部网络的安全性。然而,网络安全管理人员仍然会对所管理网络的安全状况感到担忧,因为整个网络安全的薄弱环节往往出现在终端用户。网络安全存在着“木桶”效应,单个用户计算机的安全性不足时刻威胁着整个网络的安全[ 1 ] 。如何加强对终端用户计算机的安全管理成为一个急待解决的问题。
本文从系统的、整体的、动态的角度,参照国家对安全审计产品的技术要求和对部分主机审计软件的了解,结合实际的信息安全管理需求,讨论主机审计系统的设计,达到对终端用户的有效管理和控制。
2 安全审计概念。
计算机网络信息系统中信息的机密性、完整性、可控性、可用性和不可否认性,简称“五性”,安全审计是这“五性”的重要保障之一[2 ] 。
凡是对于网络信息系统的薄弱环节进行测试、评估和分析,以找到极佳途径在最大限度保障安全的基础上使得业务正常运行的一切行为和手段,都可以叫做安全审计[3 ] 。
传统的安全审计多为“日志记录”,注重事后的审计,强调审计的威慑作用和安全事件的可核查性。随着国家信息安全政策的改变,美国首先在信息保障技术框架( ia tf) 中提出在信息基础设置中进行所谓“深层防御策略(defense2in2dept h st rategy) ”,对安全审计系统提出了参与主动保护和主动响应的要求[4 ] 。这就是现代网络安全审计的雏形,突破了以往“日志记录”
等浅层次的安全审计概念,是全方位、分布式、多层次的强审计概念,符合信息保障技术框架提出的保护、检测、反应和恢复( pdrr) 动态过程的要求,在提高审计广度和深度的基础上,做到对信息的主动保护和主动响应。
3 主机审计系统设计。
安全审计从技术上分为网络审计、数据库审计、主机审计、应用审计和综合审计。主机审计就是获取、记录被审计主机的状态信息和敏感操作,并从已有的主机系统审计记录中提取信息,依据审计规则分析判断是否有违规行为。
一般网络系统的主机审计多采用传统的审计,涉密系统的主机审计应采用现代综合审计,做到对信息的主动保护和主动响应。因此,涉密网络的主机审计在设计时就应该全方位进行考虑。
3. 1 体系架构。
主机审计系统由控制中心、受控端、管理端等三部分组成。管理端和控制中心间为b/ s架构,管理端通过浏览器访问控制中心。对于管理端,其操作系统应不限于windows ,浏览器也不是只有ie。管理端地位重要,应有一定保护措施,同时管理端和控制中心的通讯应有安全保障,可考虑隔离措施和shttp 协议。
主机审计能够分不同的角色来使用,至少划分安全策略管理员、审计管理员、系统管理员。
安全策略管理员按照制定的监控审计策略进行实施;审计管理员负责定期审计收集的信息,根据策略判断用户行为(包括三个管理员的行为) 是否违规,出审计报告;系统管理员负责分配安全策略管理员和审计管理员的权限。三员的任何操作系统有相应记录,对系统的操作互相配合,同时互相监督,既方便管理,又保证整个监控体系和系统本身的安全。控制中心是审计系统的核心,所有信息都保存在控制中心。因此,控制中心的操作系统和数据库最好是国内自己研发的。控制中心的存储空间到一定限额时报警,提醒管理员及时备份并删除信息,保证审计系统能够采集新的信息。
3. 2 安全策略管理。
不同的安全策略得到的审计信息不同。安全策略与管理策略紧密挂钩,体现安全管理意志。在审计系统上实施安全策略前,应根据安全管理思想,结合审计系统能够实现的技术途径,制定详细的安全策略,由安全员按照安全策略具体实施。如安全策略可以分部门、分小组制定并执行。安全策略越完善,审计越彻底,越能反映主机的安全状态。
主机审计的安全策略由控制中心统一管理,策略发放采取推拉结合的方式,即由控制中心向受控端推送策略和受控端向控制中心拉策略的方式。当安全策略发生更改时,控制中心可以及时将策略发给受控端。但是,当受控端安装了防火墙时,推送方式将受阻,安全策略发送不到受控端。由受控端向控制中心定期拉策略,可以保证受控端和控制中心的通讯不会因为安装个人防火墙或其他认证保护措施而中断。联网主机(服务器、联网pc 机) 通过网络接收控制中心的管理策略向控制中心传递审计信息。单机(桌面pc 或笔记本) 通过外置磁介质(如u 盘、移动硬盘) 接收控制中心管理策略。审计信息存放在主机内,由管理员定期通过外置磁介质将审计信息传递给控制中心。所有通讯采用ssl 加密方式传输,确保数据在传输过程中不会被篡改或欺骗。
为了防止受控端脱离控制中心管理,受控端程序应由安全员统一安装在受控主机,并与受控主机的网卡地址、ip 地址绑定。该程序做到不可随意卸载,不能随意关闭审计服务,且不影响受控端的运行性能。受控端一旦安装受控程序,只有重装操作系统或由安全员卸载,才能脱离控制中心的管理。联网时自动将信息传到控制中心,以保证审计服务不会被绕过。
3. 3 审计主机范围。
涉密信息系统中的主机有联网主机、单机等。常用操作系统包括windows 98 ,windows2000 ,windows xp ,linux ,unix 等。主机审计系统的受控端支持装有不同操作系统的联网主机、单机等,实现使用同一软件解决联网机、单机、笔记本的审计问题。
根据国家有关规定,涉密信息系统划分为不同安全域。安全域可通过划分虚拟网实现,也可通过设置安全隔离设备(如防火墙) 实现。主机审计系统应考虑不同安全域中主机的管理和控制,即能够对不同网段的受控端和安装了防火墙的受控端进行控制并将信息收集到控制中心,以便统一进行审计。同时能给出简单网络拓扑,为管理人员提供方便。
3. 4 主机行为监控。
一般计算机使用人员对计算机软硬件尤其是信息安全知识了解不多,不清楚计算机的安全状态。主机审计系统的受控端软件应具有主机安全状态自检功能,主要用于检查终端的安全策略执行情况,包括补丁安装、弱口令、软件安装、杀毒软件安装等,形成检查报告,让使用人员对本机的安全状况有一个清楚的认识,从而有针对性地采取措施。自检功能可由使用人员自行开启或关闭。检查报告上传给控制中心。
主机审计系统对使用受控端主机人员的行为进行限制、监控和记录,包括对文档的修改、拷贝、打印的监控和记录,拨号上网行为的监控和记录,各种外置接口的禁止或启用(并口、串口、usb 接口等) ,对usb 设备进行分类管理,如usb 存储设备(u 盘,活动硬盘) 、usb 输入设备(usb 键盘、鼠标) 、usb2key以及自定义设备。通过分类和灵活设置,增强实用性,对受控主机添加和删除设备进行监控和记录,对未安装受控端的主机接入网络拒绝并报警,防止非法主机的接入。
主机审计系统对接入计算机的存储介质进行认证、控制和报警。做到经过认证的合法介质可以从主机拷贝信息;未通过认证的非法介质只能将信息拷入主机内,不能从主机拷出信息到介质内,否则产生报警信息,防止信息被有意或者无意从存储设备(尤其是移动存储设备) 泄漏出去。在认证时,把介质分类标识为非密、秘密、机密。当合法介质从主机拷贝信息时,判断信息密级(国家有关部门规定,涉密信息必须有密级标识) ,拒绝低密级介质拷贝高密级信息。
在认证时,把移动介质编号,编号与使用人员对应。移动介质接入主机操作时记录下移动介质编号,以便审计时介质与人对应。涉密信息被拷贝时会自动加密存储在移动介质上,加密存储在移动介质上的信息也只能在装有受控端的主机上读写,读写时自动解密。认证信息只有在移动介质被格式化时才能清除,否则无法删除。有防止系统自动读取介质内文档的功能,避免移动介质接在计算机上(无论是合法还是非法计算机) 被系统自动将所有文档读到计算机上。
3. 5 综合审计及处理措施。
要达到综合审计,主机审计系统需要通过标准接口对多种类型、多个品牌的安全产品进行管理,如主机ids、主机防火墙、防病毒软件等,将这些安全产品的日志、安全事件集中收集管理,实现日志的集中分析、审计与报告。同时,通过对安全事件的关联分析,发现潜在的攻击征兆和安全趋势,确保任何安全事件、事故得到及时的响应和处理。把主机上一个个原本分离的网络安全产品联结成一个有机协作的整体,实现主机安全管理过程实时状态监测、动态策略调整、综合安全审计、数据关联处理以及恰当及时的威胁响应,从而有效提升用户主机的可管理性和安全水平,为整体安全策略制定和实施提供可靠依据。
系统的安全隐患可以从审计报告反映出来,因此审计系统的审计报告是很重要的。审计报告应将收集到的所有信息综合审计,按要求显示并打印出来,能用图形说明问题,能按标准格式(word、html 、文本文件等) 输出。但是,审计信息数据多,直接将收集的信息分类整理形成的报告不能很好的说明问题,还应配合审计员的人工分析。这些信息可以由审计员定期从控制中心数据库备份恢复。备份的数据自动加密,恢复时自动解密。审计信息也可以删除,但是删除操作只能由审计员发起,经安全员确认后才执行,以保证审计信息的安全性、完整性。
审计系统发现问题的修复措施一般有打补丁、停止服务、升级或更换程序、去除特洛伊等后门程序、修改配置和权限、专门的解决方案等。为了保证所有主机都能得到有效地处理,通过控制中心统一向受控端发送软件升级包、软件补丁。发送时针对不同版本操作系统,由受控端自行选择是否自动执行。因为有些软件升级包、软件补丁与应用程序有冲突,会影响终端用户的工作。针对这种情况,只能采取专门的解决方案。
在复杂的网络环境中,一个涉密网往往由不同的操作系统、服务器,防火墙和入侵检测等众多的安全产品组成。网络一旦遭受攻击后,专业人员会把不同日志系统里的日志提取出来进行分析。不同系统的时间没有经过任何校准,会不必要地增加日志分析人员的工作量。系统应提供全网统一的时钟服务,将控制中心设置为标准时间,受控端在接收管理的同时,与控制中心保持时间同步,实现审计系统的时间一致性,从而提供有效的入侵检测和事后追查机制。
4 结束语
涉密系统的终端安全管理是一个非常重要的问题,也是一个复杂的问题,涉及到多方面的因素。本文从体系架构、安全策略管理、审计主机范围、主机行为监控、综合审计及处理措施等方面提出主机审计系统的设计思想,旨在与广大同行交流,共同推进主机审计系统的开发和研究,最终开发出一个全方位的符合涉密系统终端安全管理需求的系统。
参考文献:
[1 ] 网络安全监控平台技术白皮书。 北京理工大学信息安全与对抗技术研究中心,2005.
[2 ] 王雪来。 涉密计算机信息系统的安全审计。 见:中国计算机学会信息保密专业委员会论文集,13 :67 - 72.
信息安全审计报告篇8
一、对传统财务报告模式的分析
传统的财务报告模式是以三大财务报表(资产负债表、损益表、现金流量表)及其附注为主干,年报和中报为主要形式的分期财务报告模式。在这种模式下,企业会计以财务报告为内容、资产报告为核心、财务报表为主要表现形式对企业的资产使用。经营收益、现金流量状况财务信息进行确认表述和披露。这种传统的报告模式基本能适应工业经济时代经济发展的要求,能起到对经济的反映和监督作用,但是随着经济的发展,传统会计报告模式已经不适应知识经济特别是网络经济时代人们对会计信息的需求。
首先,由于企业经营活动的连续性,其会计信息的产生必然是连续不间断的,但是由于受到技术手段和信息生产成本、传输成本的限制,传统的会计报告模式只能以中报、年报等分期的形式来提供,这样,会计信息的披露只能是间断的。生产运动的连续性和财务信息披露的间断性之间的矛盾,使得会计信息的及时性受到了严重的挑战,其结果是:一方面当用户看到财务报告时,许多会计信息已是“遥远的历史”,从而失去了决策的相关性,而在网络时代,由干企业产品生产周期的缩短,企业原有市场份额或竞争优势可能在较短的时间内消失殆尽,加上衍生金融工具的广泛运用,一些表面财务状况良好的企业都有可能在短期内出现财务困难,甚至破产清算,以巴林银行破产案为例,1995年2月巴林银行因投机日经期货指数失败而宣布破产,而此时,巴林银行连1994年度的财务报告都尚未完成。在此环境下,传统财务报告模式的局限性可见一斑;另一方面,由于占信息优势的人可以利用信息披露的时间间隔进行内幕交易,造成投资者之间的信息不对称,破坏了证券市场信息公开、公平、公正的基本原则,损害了中小投资者的利益,同时使得证券市场的有效性大打折扣。这一点,从我国证券市场上很多庄股在中报年报公布前后的反常走势即可得到印证。
其次,网络经济的到来,使得传统财务报告模式下单纯用货币计量提供的会计信息越来越不能满足信息使用者的要求,信息使用者们期望财务报告能够提供更多的面向未来的非货币信息,这些信息对于信息使用者的投资决策有着重要的参考价值。如:人力资源信息、企业外部环境、地理环境等等,如果单纯用货币计量。这些信息都只能排除在财务报告之外。因此,必须改进计量手段,扩大财务报告的信息容量,增加非货币化的信息,为使用者提供完整、全面的财务信息。
二、实时财务报告系统的实现及特点
企业要实现网上实时财务报告系统,首先要在企业内部局域网(intranet)中实现企业的会计信息系统和管理信息系统的信息集成,这可以通过建立企业的中心数据库或称信息中心来实现,各信息子系统用户在终端上对企业经营活动和会计信息的记录,都将会在中心数据库中做出添加记录、更新记录、修改记录等操作;其次是将企业内部局域网(intranet)与国际互联网(internet)相连,建立自己的网站,网站中安装实时财务报告系统,而实时财务报告系统中所用到数据信息刚来源于企业内部局域网的中心数据库。这样就可以实现企业内部局域网和国际互联网上企业的网站之间的数据共享和同步更新。实时财务报告信息由网站技术人员对数据库信息进行网页化处理后上传到网站上供用户浏览,同时用户也可根据需求自己定制所需信息,通过asp(activeseverpages)等动态页面生成技术即时生成所需的财务信息页面。这样的网络实时财务系统具有以下的特点:
(1)信息提供的及时性。在信息高速公路上,由于企业网站上的财务信息直接来源于企业内部局域网中的中心数据库,这样,在任何时点,信息使用者都可以从网络上获得企业最新的财务报告,而不必等到一个会计期间结束后才可获得,即信息使用者可以实时了解到企业财务信息的变化情况,企业经营活动的延续性和信息披露的滞后性的矛盾也将不复存在。
(2)信息提供的全面性。随着网络经济的飞速发展,会计信息使用者已经不再满足于仅仅了解企业过去的财务信息,他们还要了解企业未来的以及非财务的信息。实时财务报告系统可以提供全方位的财务信息和非财务信息,既要对传统财务报告中涉及到但没有详细披露的财务信息作进一步的丰富充实,比如金融工具及无形资产、人力资源等信息,又要对传统财务报告中没有涉及到的非财务信息作出披露,这些非财务信息主要包括:经营业绩信息、前瞻性信息、背景信息等等。这些信息对于信息使用者评价企业过去,了解现在和预测企业未来是非常有用的。
(3)信息提供的多样性;在企业未来的网上实时财务报告系统中,将是一个精美多彩的多媒体界面,提供的信息形式也将是多种多样,在企业网站的超文本(html)格式的网页上,既有文本格式的文字信息和各种图片信息可供浏览,也有pdf格式的年报中报供下载,甚至可以提供视频流和音频流信息,比如,公司的介绍、重大财务活动可以以视频新闻的形式,一目了然,可听可视。
(4)信息分析的便利性。网上实时财务报告系统所提供的财务信息数据,可以被随意移植使用分析,并且可以直接使用网站上提供的财务分析软件加工出所需的财务分析指标,并且企业同期和历史的财务资料数据或同行业资料、表中某一数据所相关的其他数据,也可以按需求调出供分析使用。网上的实时财务报告系统,超越了传统财务报告披露方式在分析便利性上的局限性。
三、面临的问题
(1)网络实时财务报告系统在系统安全上的风险
财务报告系统的网络实时,实现了会计信息资源的共享,但同时也将自身暴露于风险之中,这些风险主要来自于企业内部的计算机舞弊的风险和网上黑客的恶意攻击。要对网上实时财务报告系统提供足够的安全保障,无疑应当从企业内部和外部双管齐下。首先要从制度上入手,在企业内部必须加强网络化电算化条件下的内部控制,加强用户权限管理,对输入、处理、输出环节要设定特定的控制程序。其次要从网络软硬件设备入手,在企业内部局域网(intranet)和国际互联网(internet)中安装设置防火墙(firewall),建立虚拟专网(vpn)系统,保存详细的系统操作日志,设计授权和身份认证(ca)系统等。
信息安全审计报告篇9
关键词:社会责任社会责任会计信息信息披露
1我国企业社会责任会计信息披露的内容
目前,企业社会责任会计信息披露的内容尚无统一标准,“全球契约”提出了包括人权、劳工、环境等十项基本原则,不同国家对社会责任会计信息披露内容规定也各具特色。基于利益相关者理论、可持续发展理论和社会契约理论,我国企业社会责任会计信息披露内容应包括以下五个方面:一是企业收益。市场经济体制下企业管理目标为追求利益最大化,这项内容是社会责任会计信息披露的一个重要部分。二是环境与资源。减少环境污染、节约社会资源是企业应该重点履行的社会责任。三是社会公益。社会公益不仅包括企业对社会和所在地区的福利,而且包括对国家的贡献。如对希望工程捐款;对公众提供医疗保健服务;对所在地区社会保险、医疗卫生、文化教育等事业给予的支持力度;为社区提供的就业岗位数量;企业在生产经营过程中遵守国家法律法规及主动纳税情况等。四是人力资源。人力资源管理主要包括人力资源开发和利用两个方面。人力资源开发应该披露员工培训支出信息;人力资源利用应披露为改善员工工作环境、薪酬待遇所做的努力,员工生产安全问题的投入,员工失业安置等方面。五是产品安全。产品安全方面的信息不仅关系到消费者的自身利益,还关系到企业的长期生存和发展,有利于提升企业的认知度。
2我国企业社会责任会计信息披露存在的问题及案例分析
2.1我国企业社会责任会计信息披露存在的问题
①披露形式单一缺少独立会计科目。我国企业社会责任报告的披露包括采用财务报告形式披露和运用专门的社会责任报告形式披露。财务报告披露是运用会计的程序和方法在财务报表中进行披露,但没有设立专项社会责任相关会计科目。采用专门的社会责任报告披露的,大多为采用附注的形式对社会责任履行情况进行告知和评价。这两种披露形式均不利于社会责任会计信息使用者获取有效信息。②披露的内容不够规范。由于我国会计信息披露制度还不够完善,缺乏统一的会计信息披露准则,大多数公司仅采用文字叙述的方式对社会责任报告进行披露,披露内容各不相同,企业之间不具有可比性。而且大部分披露也仅披露其履行社会责任做出的努力,并未披露给社会带来的负面效应。③缺少独立第三方对社会责任报告的审计。我国目前社会责任报告尚处于初步发展阶段,尚未形成真正的社会责任报告规范,大部分社会责任会计信息披露以自愿为主,没有形成独立第三方进行审计的制度。也因如此,企业自主公布的社会责任会计信息的真实性和可靠性尚有待考察。
2.2案例分析――中国平安2012企业社会责任报告
2.2.1案例介绍
中国平安保险(集团)股份有限公司(以下简称“中国平安”)是中国第一家股份制保险企业,自2004年开始以企业公民报告的形式披露企业在履行社会责任方面所做的努力,是我国披露社会责任会计信息较早的企业。中国平安社会责任报告披露的内容较为全面,而且从2009年开始在企业社会责任报告中提供了第三方的审验声明,在我国企业当中处于先进水平,其提供的企业社会责任报告极具代表性。为确保公司社会责任管理工作的可持续性,中国平安于2011年成立了CSR绩效非正式工作小组,通过制定《企业社会责任信息报告制度》明确工作小组各层级职责,规范CSR信息报告流程,有效提升企业社会责任管理。中国平安2012社会责任报告主体部分主要包括股东、客户、员工、环境和社会以及合作伙伴五个方面,具体如表1所示。同时,2012年中国平安由安永华明会计师事务所出具了《企业社会责任独立鉴证报告》,对其社会责任报告的实质性和回应性做出了鉴定。
2.2.2案例分析结论
中国平安属于行业中发展较好、社会责任会计信息披露较全面的企业,但通过对中国平安社会责任报告的详细分析,仍发现其中存在一些较为突出的问题。一是虽然社会责任报告所涵盖的内容比较充分,但是披露内容缺少统一的会计科目,不利于信息使用者做出合理的决策。二是只在公司网站上进行了披露,披露渠道较为单一,对于不常使用网络的信息使用者造成一定的困难。三是披露的内容不够规范,仅用个别指标来反映社会责任的履行情况,指标不够全面,并且由于缺乏统一标准,很难与其他企业进行比较,这些问题在一定程度上制约其社会责任会计信息披露的质量。
3完善我国企业社会责任会计信息披露的对策
3.1增强企业社会责任意识
首先,建立专门的社会责任管理机构,负责监管企业社会责任实施,处理社会责任事故,管理社会责任报告编制事宜等。其次,建立社会责任履行情况的奖惩机制,根据履行社会责任的情况对企业进行奖罚。最后,加强对企业的鼓励和引导,促使企业将社会责任理念主动纳入企业文化体系,增强全员社会责任感,促使企业自愿、积极地披露真实可靠的社会责任会计报告。
3.2开展社会责任会计理论研究
社会责任会计信息理论的完善程度直接决定着实务操作水平。国家应努力培养高素质的会计人才,促进领军人物的交流与合作,借鉴国外先进的研究成果,建立专门的研究机构,解决社会责任会计理论和实践中的难题,逐步建立适合我国国情的社会责任会计理论体系。
3.3制定社会责任会计准则及相应的指南
为进一步规范企业社会责任会计信息披露情况,财政部门应尽快制定社会责任准则及其应用指南,明确规定企业社会责任披露的内容和披露方式,逐步实现社会责任会计信息披露的具体化、规范化。一是对不同行业的社会责任履行情况进行调研,结合不同的行业特色,制定各行业社会责任披露指南。二是在指南中明确社会责任强制性披露信息和自愿性披露信息。自愿性披露中,可提出一些参照性意见。
3.4构建社会责任会计信息披露评价指标体系
目前,我国尚未建立起社会责任会计信息披露评价指标体系,应借鉴国外经验,并根据社会责任会计信息披露的五大内容制定适合我国情况的企业社会责任会计信息披露评价指标体系,具体如表2所示。
3.5加强独立第三方对社会责任的审计工作
相关政府部门应制定适合国情的社会责任报告审计标准,以提高社会责任报告的可靠性,并严格按照标准对企业社会责任会计信息加以验证。标准中应明确社会责任会计信息的审计主体、审计对象和审计范围,设定合理的审计程序和审计方法,对社会责任报告的真实性和可靠性做出客观的评价并出具社会责任审计报告。为确保有关人员对社会责任报告正确评价,要求社会责任鉴证人员同时具备审计和社会责任相关知识。
参考文献:
[1]高茜.我国企业社会责任会计信息披露的问题及对策[J].企业导报,2013,07:146-147.
[2]万寿义,刘威,李笑雪.企业社会责任会计信息披露的影响因素研究――基于我国沪市a股的实证检验[J].会计之友,2013,21:23-31.
[3]乔森,贾金荣.我国企业社会责任会计信息披露指标体系研究[J].财会通讯,2013,24:18-20.
[4]万寿义,张佳伟.企业社会责任会计信息披露问题研究[J].现代管理科学,2010,06:20-22.
信息安全审计报告篇10
防火墙、Utm、防病毒软件、防后门、防蠕虫各种安全技术和产品层出不穷,但是他们只能防范外部安全问题,对于企业组织中内部人员所造成的严重攻击,这些是无能为力的,此时,网络安全审计系统的作用就显得尤为重要。
通过使用网络安全审计系统,可以将管理人员从繁杂、枯燥的it内审中解放出来,最大程度上降低it内审工作的工作量、以满足组织机构内外部合规性要求、全面体现管理者对业务系统信息资源的全局把控和调度能力。
决策部门在系统的帮助下可以寻找到治理业务系统的决策依据,并且定夺治理业务系统的先后顺序,以及重要紧急程度等等一系列审计工作。
为什么需要面向业务的信息安全审计?
面向业务的信息安全审计系统,顾名思义,是对用户业务的安全审计,与用户的各项应用业务有密切的关系,是信息安全审计系统中重要的组成部分,它从用户的业务安全角度出发,思考和分析用户的网络业务中存在的脆弱和风险。
我们不妨先看两个鲜活的案例。不久前,中国青年报报道,上海一电脑高手,方某今年25岁,学的是计算机专业,曾是某超市分店资讯组组长。方某利用职务之便,设计非法软件程序,进入超市业务系统,即超市收银系统的数据库,通过修改超市收银系统的数据库数据信息,每天将超市的销售记录的20%营业款自动删除,并将收入转存入自己的账户。从2004年6月至2005年8月期间,方某等人截留侵吞超市3家门店营业款共计397万余元之多。
程某31岁,是X公司资深软件研发工程师,从2005年2月,他由a地运营商系统进入B地运营商的业务系统――充值中心数据库,获得最高系统权限,根据“已充值”的充值卡显示的18位密码破解出对应的34位密钥,然后把“已充值”状态改为“未充值”,并修改其有效日期,激活了已经使用过的充值卡。他把面值300元的充值密码以281.5到285元面值不等价格在网上售出,非法获利380万。
通过上述两个案例,我们不难发现,内部人员,包括内部员工或者提供第三方it支持的维护人员等,他们利用职务之便,违规操作导致的安全问题日益频繁和突出,这些操作都与客户的业务息息相关。虽然防火墙、防病毒、入侵检测系统、防病毒、内网安全管理等常规的安全产品可以解决大部分传统意义上的网络安全问题,但是,对于这类与业务息息相关的操作行为、违规行为的安全问题,必须要有强力的手段来防范和阻止,这就是针对业务的信息安全审计系统所能够带给我们的价值。
用户需求
事实上,一项针对业务系统的审计产品的评价手段有很多,理论上讲,有从审计准确精确度人手做评价的,也有从审计行为的广度入手做评价的,可是,无论以什么方式评价一款针对业务系统的审计产品,从审计行为的结果一报告来评价是比较科学的。比如,我们以银行的业务为例,银行的业务主页有银行传统业务、银行中间业务、电子银行业务三大类业务,第一类业务,是银行传统业务,主要包括了会计业务,即主要受理对公业务、面向工商客户、以转账业务为主等;出纳业务,即包括了受理现金业务等;对私业务、还有授信业务,即包括了工商客户和个人客户贷款的发放和收回逾期、呆账、呆滞账务的处理和追溯等。第二类,银行的中间业务包括了:代收、电信公司的各类费用;代付企业的工资、基金购买、银行承兑等业务;第三类,电子银行业务主要包括了:网上银行、电话银行等,他们都是银行作为电子商务中资金流的一方,所有的这些业务都有大量的后台it信息支撑系统作为支撑。
技术视野
业务网络审计系统是基于应用层内容十本技术衍生出的一种强化it风险管理的应用模式,它需要对应用层的协议、网络行为等信息进行解析、识别、判断、记录、呈现,以达到监控违规网络行为、降低it操作风险的目的。
显然,一个针对业务系统的审计必须承担鉴证、保护和证明三方面的作用,从技术角度看,审计系统需要审计的信息量人,采集的数据量多,比如对基本网络应用协议审计进行详细的实时监控、审计,并可以对操作过程进行回放,对各类操作系统也需要审计,同时,还有一些oa操作的审计,在这些庞杂的信息量下,如果系统呈现的信息缺失、失真或错误,往往会给用户轻则带来决策失误,重则带来安全事件无法追究的窘境。由于报告成为了取证、追查、建立制度的重要依据,报告应该越细越好,因此,报告的细粒度就成为业务网络审计系统发展的必然。
政策推动
随着中国国际化程度的日益提高,国内许多规范也正在顺应国际化的趋势上发展,以SoX法案为例,在美上市的中资企业如中国移动集团公司以及下属分公司就面临着该法案的合规性要求,而商业银行同样也面临Basel协议的合规性要求,政府的行政事业单位或者国有企业则有遵循等级保护的合规性要求。
从2001年起,政府、电信业、金融业、大企业等都已经先后制定了相关的法律法规,这些规范、文件的出台,是对it合规建设的必然选择,不得不让面向业务的审计系统应该向这些法律法规的“合规性要求”方向发展,这些也促成了报告在审计系统中扮演的角色。
面向业务的信息安全审计,正在被越来越多的行业和机构所重视,它代表着由传统信息安全向业务信息安全领域纵深发展的必然的趋势。
当今信息安全领域,我们已经不能简单地认为,只要有防火墙、iDS、ipS、内网管理等系统的上线就可以解决网络安全问题,我们更不能简单地认为,由于各类业务系统应用在安全防护下就不会有任何安全风险。事实上,正是面向业务的信息系统安全审计系统开启了我们从传统安全领域向业务安全领域思考的一扇窗户,它把我们理解的信息安全思路引向了一个更加贴合业务应用、更加贴合业务管理的角度来看待信息安全。