时间:2023-06-25 16:31:47
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇安全审计报告,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:山区道路;安全审计;内容;步骤
道路安全审计(Road Safely Audits,简称RSA)是从预防交通事故、降低事故产生的可能性和严重性人手,对道路项目建设的全过程,即规划、设计、施工和服务期进行全方位的安全审核,从而揭示道路发生事故的潜在危险因素及安全性能,是国际上近期兴起的以预防交通事故和提高道路交通安全为目的的一项新技术手段。其目标是:确定项目潜在的安全隐患;确保考虑了合适的安全对策;使安全隐患得以消除或以较低的代价降低其负面影响,避免道路成为事故多发路段;保障道路项目在规划、设计、施工和运营各阶段都考虑了使用者的安全需求,从而保证现已运营或将建设的道路项目能为使用者提供最高实用标准的交通安全服务。
1 道路安全审计的起源与发展
1991年,英国版的《公路安全审计指南》问世,这标志着安全审计有了系统的体系。从1991年4月起,安全审计成为英国全境主干道、高速公路建设与养护工程项目必须进行的程序,使英国成为安全审计的重要发起与发展国。而我国则是在20世纪90年代中期开始发展安全审计,主要有两个渠道:①以高等院校为主的学者通过国际学术交流与检索国外文献,从理论体系的角度引入道路安全审计的理论;②通过世界银行贷款项目的配套科研课题。在工程领域开展道路安全审计的实践。
目前,在澳大利亚、丹麦、英国、冰岛、新西兰和挪威等国已定期地执行道路安全审计,德国、芬兰、法国、意大利、加拿大、荷兰、葡萄牙、泰国以及美国正处于实验或试行阶段,其他许多国家也在就道路安全审计的引入进行检验,比如希腊等国家。国外研究表明,道路安全审计可有效地预防交通事故,降低交通事故数量及其严重度,减少道路开通后改建完善和运营管理费用,提升交通安全文化,其投资回报是15~40倍。
道路安全审计在我们道路建设中的重要性,不仅仅是在提高安全性方面,对经济性也有帮助。而山区道路的安全比起一般道路来讲,就更应该引起我们的注意,毕竟山区道路的崎岖以及地势的高低相对与一般道路对驾驶者来说是一个很大的挑战,而且其发生事故的死亡率也比其他道路高很多,因此,审计对于山区道路来说是至关重要的。
2 山区道路安全审计内容
加拿大等国家认为,在项目建设的初步设计阶段进行道路安全审计最重要、最有效,因而早期的道路安全审计主要重点是在项目建设的初步设计阶段。现世界各国都普遍认为可在已运营的道路和拟建道路项目建设期的全过程实行安全审计,即在规划或可行性研究、初步设计、施工图设计、道路通车前期(预开通)和开通服务期(后评估阶段)都有所侧重地实行审计。山区道路安全审计同样与其他道路的安全审计工作内容一样。
3 审计要素
典型的道路安全审计过程为:组建审计组+设计队介绍项目情况及提供资料+项目实施考察-安全性分析研究-编写安全审计报告+审计组介绍项目审计结果+设计队研究、编写响应报告-审计报告及响应报告共同构成项目安全文件。
整个安全审计的时间一般为两周左右。为保证安全审计的质量,审计组人员的构成至关重要。审计组的人数依项目的规模大小一般由26人组成,审计组应由不同背景、不同经历、受过培训、经验丰富、独立的人员(与设计队无直接关联)组成。审计人员一般应具备交通安全、交通工程、交通运行分析、交通心理、道路设计、道路维护、交通运营及管理、交通法律法规等方面的知识,应保证审计组人员相互间能平等、自由地交流、讨论和商议安全问题。审计人员应本着对社会(用户)负责的态度、安全第一的观点,依据道路标准规范,对项目各种设计参数、弱势用户、气候环境等的综合组合,展开道路安全审计。道路安全审计人员(审计组)与设计人员(设计队)的区别在于:设计人员需要综合考虑项目投资、土地、政治、地理、地形、环境、交通、安全等方方面面的因数,限于经验、时间的约束,对安全问题难免有所偏颇。而安全审计人员不考虑项目投资、建设背景等因数,仅仅考虑安全问题,只提安全建议,最后由设计人员决定:采纳、改进或不采纳。因而可以说道路安全审计的关键点为:它是一个正式的、独立进行的审计过程,须由有经验的、有资格的人员从事这一工作,要考虑到道路的各种用户,最重要的一点是只考虑安全问题。
安全审计报告一般应包括:设计人及审计组简述、审计过程及日期、项目背景及简况、图纸等,对确认的每一个潜在危险因素都应阐述其地点、详细特征、可能引发的事故(类型)、事故的频率及严重度评估、改进建议及该建议的可操作性(实用性)等。审计报告应易于被设计人员接受并实施。响应报告应由项目设计人员编写,其内容—般应包括:对审计报告指出的安全缺陷是否接受,如不接受应阐述理由,对每一改进建议应一一响应,采纳、部分采纳或不采纳,并阐明原因。
4 现有山区道路的安全审计
对现状山区道路进行安全审计,主要评估现状道路潜在事故危险性,同时提出改进措施以降低未来发生事故的可能性。现状道路的安全审计与新建道路相类似,也需进行上面所提到的工作,但现场调查以及评估资料及文件这两步与新建道路有所不同。此时事故资料被作为欲审计资料的重要组成部分,同时该资料也包括可能导致事故发生潜在性的一些不利因素的详细资料。
理想的关于现状道路网的安全审计应该建立在有规律的基础之上。它可以以连续几年审计的结果为基础,采用滚动式的审计方式对路网中的每条道路都进行评估。对于里程较长的道路(一般>100km),其安全审计工作可按两阶段进行,即初步审计阶段和详细审计阶段。前者主要对道路总体上进行粗略审计,给出存在的主要问题及所处位置,后者则对找到的问题进行进一步的详细分析并提出相应的改进建议。对里程较短的道路(
由于欲审计道路已修建完成并已经运营,此时现场调查就显得非常重要。不管是拟建道路或已建道路、线内工程还是线外工程,安全审计工作必须全方位细致地进行。要考虑不同道路使用者对道路安全性能的不同需求。例如:①由于坡度太大或海拔高而使得驾驶员的心理产生恐惧;②半径太小可能使得驾驶员无法在规定视距范围内看到对方;③山体的稳定性也可能会影响到驾驶员。
另外,现状山区道路的安全审计工作还要调查不同的道路类型,例如白天、黑夜、干燥、潮湿等情况对道路的影响。此外,对现有道路网络的安全审计可结合养护工作同时进行,这样可减 少相应的成本费用。
5 我国山区道路的审计现状及问题和解决方法
5.1审计现状及问题
由于目前审计这个名词在国内还算比较新鲜,国外从起步发展到现在也不过十来年的时间,各方面都只是处于实验或者是试行阶段,并没有固定的一套理论依据。而我国相对外国来说又是落后了好几年,因此我国现在总体的审计现状也就处于探索阶段,各个方面也是处于起步阶段,不可能对各个方面的审计工作做到非常的完善。而道路的审计不过是众多审计工作中的一小部分,由于其本身的“新鲜性”,又对审计人员的要求较高,西部一些贫困地区教育跟不上,审计的人才缺乏也不是没有可能,设备等亦未全部到位。山区道路安全审计工作的开展较一般道路可能要更加的困难,因为山区道路多是停山临崖,弯道又多,坡度又大等各方面因素是其工作的开展要难与一般道路;更有甚者像那些偏僻地区的山区道路,可能路面的质量都无法保证,更不要提进行什么安全审计。
5.2解决方法
要改善我国目前的这种安全审计情况,需要全国各个方面的努力与配合,不过政府要有所规定,我们民间也要有这方面的意识。笔者简单列出几项:①国家应该颁布相关的法律制度,严格要求进行安全审计;②地方政府部门要加强管理;③加强对审计人员的培训;④提高我国的教育水平和人们的交通安全意识;⑤交通安全部门要深入到偏僻的山区;⑥提高我国的经济实力。
6 结束语
山区道路的安全审计工作与其他道路的安全审计总体上应该说差不多,当然山区的那种独特的环境使得审计工作的重点可能不仅仅局限与一般的道路,不要认为山区道路的流量没有城市道路那么多而忽视它,我国是个多山的国家,山区道路对于我国各个地区的经济往来的作用不言而誉。通过安全审计,加强了全国各地交流。对于我国的经济发展有百利而无一害。国内山区道路建设的实际情况对道路安全审计进行了较为系统的分析研究并得出以下结论:
(1)道路安全审计独立于设计和标准。是以安全为核心的审计,其对象为一切与交通安全相关的工程和设施,它可分阶段、按步骤的实施,审计的结果为安全审计报告。
关键词:区块链技术;食品安全审计;信息化;框架构建
现阶段我国的食品安全依旧存在比较突出的隐患,食品安全风险的识别与防控具有复杂性、差异性等特点,食品安全治理仍存在比较大的难度。作为风险防控的重要手段,食品安全审计近几年得到快速发展,但在信息化技术水平、流程体系以及数据完备性等方面还存在较多问题,尤其是在数据获取的真实性和完整性上存在较大的难度。区块链具有去中心化、独立性、安全性与匿名性等特点,利用其智能合约、共识机制、非对称加密、分布式账本等技术,可有效保障审计数据的质量与可追溯[1],同时还有助于风险的及时捕捉、人力资源的节省以及审计效果的提升等。因此,分析探讨区块链技术在食品安全审计中的应用具有重要的现实意义。对于食品工业来说,审计与食品质量标准在食品安全的保障中起到的作用都是不可或缺的,例如:评估管理系统,获得某些食品安全和质量标准的认证,评估场所和产品的条件,确认法律合规性等等[2]。审计应用于食品安全治理,最早是在西方国家产生的,由此也逐渐衍生出一项新领域的审计———食品安全审计。国内学者将食品安全审计界定为:“一套集成本审核分析、质量管理机制考察和企业产品质量状况核算评价为一体的科学方法”[3]。该领域的研究在国内起步较晚,大致开始于在三鹿奶粉事件发生以后,并且集中在乳品行业,食品安全审计的具体实施也基本是由政府有关部门主持进行,且审计对象主要聚焦在大型企业[4]。目前,就我国已有的食品安全审计案例来看,还存在中小型企业审计不够到位、审计依据标准不够明确、审计数据不够安全可靠以及在专业审计人才与方法上存在欠缺等问题。因此,亟需新技术、新方法的引入和应用。近几年,随着区块链技术的发展,学者们开展了其在许多领域和场景应用的研究。区块链在审计领域的应用也得到了越来越多的重视,相关的研究如:基于区块链技术构建实施审计框架[5-6]、区块链技术在企业联网审计中的应用[7-8]、区块链技术在金融审计中的应用[9-11]以及区块链审计在政府治理中的应用等等[12-13]。在具体的审计模式探索中,毕秀玲等[14]提出要大力推进“审计智能+”的建设,在5G、区块链、大数据与人工智能等技术的支持下,提高审计信息化的水平。传统审计过程中所面临成本、效率、质量、安全性等问题恰恰可以通过区块链技术进行有效解决[15]。房巧玲等[16]便提出了基于双链架构的混合审计模式,即智能审计程序与人工审计程序相结合的模式。从目前已有的研究来看,还尚未见有关区块链技术在食品安全审计中应用的研究。基于此,文章首先根据区块链技术的工作原理与优势点,分三个层次构建起区块链技术在食品安全审计中应用的逻辑框架。其次结合传统审计工作,通过技术代入,进一步阐述区块链技术下的食品安全审计工作的大致流程。最后,充分考虑当前区块链技术在运用中所面临的各种问题,提出相关的建议以及未来发展的展望。
1区块链技术在食品安全审计中的应用逻辑
1.1区块链的工作原理
区块链是在一种基于分布式系统思想形成的网状结构,在这个网状结构中,信息存储上链主要有以下流程:当某个节点有新的数据信息录入,该节点将会把信息网络中的其他节点进行广播,其他节点在接收信息以后会对其内容的真实性、完整性以及可靠性进行检验,检验无误后该信息将被储存在一个区块中,经过随机Hash算法得出Hash值,该过程可以视为一种单向的加密手段,不仅可以将复杂无章的数据信息转换为固定长度的字符代码,而且其破解的困难程度也保证了数据的不可篡改性。此时,全网将基于共识机制对该区块内数据进行审查,审查通过以后该区块将被正式存入区块链的主链中,相应的数据也将被打上时间戳标记,更新复制保存到每个节点里[17],如图1所示。
1.2区块链技术在食品安全审计中应用的逻辑
区块链作为一项颠覆性技术,在各个领域加速应用。将区块链技术应用到审计领域,这种模式被称为区块链审计。而在区块链审计的定义上,徐超等[18]提出广义和狭义之分,广义上指在审计领域应用区块链技术,而狭义上则包含了区块链审计和审计区块链这两种方式,二者的审计对象不同,具有本质上的区别。在区块链审计过程中,审计人员基于信息系统对一般控制和应用控制进行测试,通过借助发挥区块链技术的优势性,对各类业务执行自动化审计和持续审计等行为[19],具体包括:对数据的真实性、时效性以及可靠性进行审计;对系统设置、共识机制以及智能合约等进行审计;对区块链技术所涉及的系统节点等安全性进行审计[20]。事实上,区块链可以分为三个层次:协议层、应用层和访问层,它们相互独立又不可分割,构成了区块链技术在食品安全审计领域的运用逻辑,如图2所示。协议层(又称基础层)是基于共识机制展开运行的,通过共识机制来保障每个节点的数据是真实一致可靠的。在利用分布式数据存储、加密算法、网络编程以及时间戳等技术的基础上,对食品供应链上所涉及到的各个环节、各个企业的各类信息进行收集与记录,如食品生产过程中的原料配比情况、添加剂的使用量情况,食品物流环节的负责方信息、车次时间以及冷链条件情况,食品交易过程中经销商情况以及流入消费者的时间地点等信息[21]。企业彼此间的信息验证以及共识算法记账使得审计需要的众多数据信息能够公开透明、不易篡改,也有助于扩大审计工作的覆盖面。对于应用层而言,智能合约的存在使得区块链在没有人工控制以及第三方干预的情况下,能够按照网络编程出的代码进行自主运行,有助于明确执行标准,大大提高了审计的效率以及数据的收集分类等重复性工作,在预先设置的程序代码中,一旦触发相应的条件和标准,将会作出各类分析行为,这样一来,审计人员通过区块链技术就可以对食品质量安全实现实时监控、及时预测和灵活预警[22]。就访问层来看,无论是通过个人计算机(personalcom-puter,PC)端还是移动终端,借助区块链技术的可编程性采用公钥与私钥授权的机制,能够实现数据的安全独立便捷获取。同时,时间戳技术有助于保障数据的安全性,使审计工作的的可靠性和便利性能够得到进一步优化。
1.3区块链技术在食品安全审计中应用的优势
对于食品行业来说,信任机制的构建对于品牌形象的树立是十分关键的,而品牌形象的优劣将直接影响企业的生存甚至是行业的兴衰。在这种情况下,通过审计去发现问题、解决问题,并实现信息的公开、透明、可追溯将有助于信任的构建。而区块链技术在审计中运用的优势,将有效推动信任机制的形成。首先,去中心化的优势使得在整个食品供应链上所有企业都可以分别作为一个节点,分布式数据储存技术的应用,使得众多企业在信息的记录和储存上互相监督、互相利用,具有更加安全、更加便捷、更加透明的优点。同时,每个审计项目由指定的审计组执行审计,每个审计组也相当于区块链的一个节点,若干个审计组节点组成分布式节点组织结构,相当于一个分布式账本。于是审计的范围变得更加广泛,所涉及的审计对象也更加的全面而具体,不需要非得围绕核心企业实施审计,解决了审计范围的局限性问题,有助于提高食品安全审计结果的质量。其次,交易可追溯性、数据透明性的优势使得信息在供应链上变得更加可靠、真实。在供应商的选择、企业内部控制执行的有效性等等方面具有督促作用。例如,就已有的食品安全审计案例呈现的结果来看,存在如下问题:企业不能持续保持生产条件、食品安全管理制度等落实不到位、企业自身的检验能力不足、生产信息记录的不完整甚至伪造记录以及不合格品和变质食品的及时处置问题等。在区块链技术的帮助下追溯系统将会不断完善[23],对于存在的这些问题也会更加具有约束和威慑作用。在现实中,已有具体的应用案例,如2017年7月沃尔玛、京东、国际商业机器(internationalbusinessmachines,IBM)公司和清华大学共同组成了区块链联盟,在产品的地产、批号、生产厂家、到期日期以及运输细节等各种详细信息的获取上,可以实现从天数到秒数的速度提升,这将极大地提升审计实施的效率。最后,可编程性则发挥了信息技术的优势,相比于传统审计中的人工操作,信息技术的应用将会使得审计的流程更加严谨、更加快捷。食品安全审计过程中,涉及到的质量标准、规范等十分复杂,对于不同品类食品的特殊性质、不同添加剂的使用规定等所涉及的知识更加多样和复杂[24],利用计算机编程技术,则可通过代码的编写,将有关审计标准、审计法规等进行定义,在区块链中实现数据信息的智能运行。在既定的规则和协议下,区块链可以实现数据的自动采集、传递与存储,高安全性、高透明性使得审计效率大大提升。德勤会计师事务所的Rubix平台就是通过将自动化技术和区块链技术相结合,在提升工作效率的同时,又能达到降低成本等作用[25]。同样,沃尔玛也将区块链技术应用于食品供应链管理之中,并取得了一定的理想成效[26]。
2区块链技术下食品安全审计的流程
区块链技术下的食品安全审计流程是在传统审计流程的基础上,通过融入区块链技术,对审计流程进行重塑,保证审计大环节不变,即审计准备阶段、审计实施阶段以及审计报告阶段,但细节更加优化、效率更高,如图3所示。
2.1审计准备
在审计准备阶段需要先对审计信息和数据等进行预处理,通过数据的采集、传输与存储,利用区块链中各个节点所达成的共识机制,实现数据的真实性、完整性与一致性。在这个过程中,通过对被审计食品行业的相关标准、企业会计准则的选取情况、企业的性质以及监管环境等的了解,对相关获取信息进行更新记录,并利用时间戳技术,相当于会计记账中的连续编号机制,对新产生的区块做上时间标记,充分保证了数据在一定时间内是可追溯的、可验证的以及完整的。
2.2审计实施
在审计实施阶段,面对食品供应链本身的环节的多样性与复杂性,区块链应用平台会及时向各个节点的企业、账项往来银行以及其他关联方进行信息的检查与考证,并将结果进行实时反馈。在对某一生产、加工业务或者交易进行审查以后,将问题点进行汇总与分析。在审计过程中,同时需要伴随着数据清洗、数据挖掘、可视化操作、实时处理、风险识别与评估以及重要性水平的确定等技术支撑,也需要借助传感器、物联网、射频识别以及CPS/GPS等审计工具[21],因此,这将对专业人才的技术水平有着较高的要求。
2.3审计报告
在传统审计流程的收尾阶段,需要对整个审计流程所记录的工作底稿以及证据信息进行整理与汇总,并出具最终的审计报告、发表审计意见。而在区块链技术的应用下,审计人员通过对数据信息的系统建模进行智能化自主分析,并且能够做到对审计结果的实时记录、对被审计企业进行随时随地的监控,还可以根据审计主体的不同以及审计要求的变化,随时出具定制化的审计报告,大大提高了审计结果的质量以及需求度的满足程度。
3区块链技术在食品安全审计应用中面临的问题
3.1技术问题
现阶段,无论是国家、社会还是具体的个人,对于审计的水平和质量要求越来越高。监督再到上市公司的财报结果公开,处处离不开审计的参与,审计也逐渐在越来越多的领域发挥作用,例如:领导干部经济责任审计、自然资源资产审计、信息科技审计以及本文所探讨的食品安全审计等领域。在食品安全上,任何小的风险都不容忽视,这对于审计的执行是一项不小的挑战,尽管区块链技术在效率和质量等方面对食品安全审计有着很大的帮助,但在海量的信息面前,区块链的复杂度也急速增加,无论是从硬件上还是软件上,对计算机的算法处理能力、存储能力以及硬件配置有着越来越严苛的要求。因此,进一步提高硬件的可靠性以及软件的适配性是技术层面需要持续努力的方向。
3.2安全问题
区块链技术尽管有着Hash值非对称加密算法、时间戳等技术的支持,但安全性问题依旧是区块链技术在发展中不容小视的关键问题。随着黑客技术的不断进化,以往的51%攻击成本已经不再具有很强的约束性,这对于审计工作是一项不小的潜在威胁。在区块链共识机制的基础上,很多企业将自己的关键性信息乃至核心机密都进行了上链操作,而黑客的行为将会对企业们造成重大损失甚至致命冲击。这就说明不存在一劳永逸的保障,各项技术需要在不断的挑战和威胁中,始终保持高度的预警态势,在面对不法分子的各种花样攻击时,能够做出迅速、有效的反应,这就需要相关信息技术人员不断提升其专业水平和素质。
3.3监管问题
事实上,尽管区块链技术中的分布式数据储存技术使得数据的记录、存储与读取更加便捷、安全,但其却弱化了国家对于交易情况的监督,对于现有的监管体系具有一定的冲击。区块链技术还在逐渐发展走向成熟,在食品安全审计领域的应用也将处于不断探索的阶段,有关监管的法律法规仍需进一步的完善与明确,如果真的出现监管漏洞,那必然影响该技术的健康、稳定与向好发展。因此,在技术不断进步的同时,国家相关部门的法律与监管体系也要完善跟进,二者相辅相成,为技术作用的充分发挥保驾护航。
4结语
作为我国电子政务重要基础设施的电子政务外网,为了实现服务各级党政部门,满足各级政务部门社会管理、公共服务等方面需要的重要功能,要求具有互联网出口,并且与互联网逻辑隔离。因此,电子政务外网面临来自互联网和内部网用户两大急需解决的安全难题。
二、设计思路
本方案按照《国家电子政务外网安全保障体系总体规划建议》进行设计,规划范围以市级电子政务外网为主,以市级电子政务外网运维中心为重点,覆盖市委、市政府、市人大、市政协和多个委办局单位以及市属各个县区,根据国家电子政务外网安全保障体系的规划,市级电子政务外网安全体系包括如下三个方面的内容:
(一)安全管理体系。主要包括:按照国家安全保障体系建设标准,建设市级安全管理中心(SOC);以《国家电子政务外网安全标准指南》为标准贯彻执行国家已有安全法规标准,同时制订符合本市电子政务外网自身特点和要求的有关规定和技术规范。
(二)网络安全基础防护体系。主要包括:网络防护与隔离系统、入侵防御系统、接入认证系统、业务隔离和加密传输系统、防病毒、漏洞扫描系统等。
(三)网络信任体系。主要包括:PKI/CA系统、权限管理系统和认证授权审计系统。
三、方案设计
(一)安全管理中心。市级安全管理中心是市级电子政务外网安全的规划、实施、协调和管理机构,上联省级电子政务外网安全管理中心,把各类安全事件以标准格式上报到省中心,同时对县区管理中心下发安全策略,并接收县区的日志、事件。县级安全管理中心在市中心的授权下,具有一定的管理权限,并对县级安全策略及日志、事件进行采集和上报。市级安全管理中心也是市级网络安全设施的管理维护机构,为使安全设施能够最大限度地发挥其安全保障功能,需要建立一个良好的安全综合管理平台,以实现业务流程分析,并对业务系统在安全监控、安全审计、健康性评估等方面的运行进行有效的管控,从全局角度进行安全策略的管理,对各类安全事件作出实时的监控及响应,为管理者提供及时的运行情况报告、问题报告、事件报告、安全审计报告、健康性报告和风险分析报告,从而使决策者能及时调整安全防护策略,恰当地进行网络优化,及时地部署安全措施,消除各类安全隐患。
(二)基础防护平台建设。基础防护平台主要是以确定的安全防护模型框架为依据,结合政府业务的实际安全需求,在原有互联网安全设施基础上进行安全基础防护体系的新建或扩充、延伸与扩展。包括边界隔离与控制、身份鉴别、认证与授权、入侵检测与防御、安全审计与记录、流量监测与清洗、数据加密传输、病毒监测与防护、安全扫描与评估、安全策略集中管理、安全监控管理和安全审计管理等基础安全防护措施。最终达到提升系统的整体抗攻击能力,确保电子政务外网能够更好地支撑各类政务应用系统的运转。
(三)边界隔离与控制。防火墙是实现网络边界隔离的首选设备,防火墙是运行于软件和硬件上的,安装在特定网络边界的,实施网间访问控制的一组组件的集合。它在内部网络与外部网络之间形成一道安全保护屏障,防止非法用户访问内部网络上的资源和非法向外传递内部信息,同时也防止这类非法和恶意的网络行为破坏内部网络。它可以让用户在一个安全屏障后接入互联网,还可以把单位的公共网络服务器和企业内部网络隔开,同时也可以通过防火墙将网络中的服务器与网络逻辑分离,进行重点防护。部署防火墙能够保护一个网络不受来自另外网络的攻击。
(四)入侵检测与防御。在整体的网络安全中,依靠安全策略的指导,对信息系统防护有积极的意义。但是,无论网络防护得多么牢固,依旧不能说“网络是安全的”。因为随着技术的发展,任何防护措施都不能保证网络不出现新的安全事件,不被手段高超的人员成功入侵。在攻击与防御的较量中,实时监测处在一个核心的地位。
(五)安全审计与记录。安全审计系统记录了网络使用者的全部上网行为,是支撑网络安全事件调查的基础,是审计信息的重要来源,在电子政务外网的建设中,应当尽量延伸安全审计系统部署的范围,并采用多种的安全审计系统类型(如网络审计、主机审计、数据库审计等)扩展安全审计的层面。
(六)流量检测与清洗。流量检测与清洗服务是针对网络传输信息流类型、大小以及诸如DOS/DDOS等安全攻击行为的监控、告警和防护的一种网络安全服务。该服务对进出内部网络的业务数据流量进行实时监控,及时发现包括DOS攻击在内的异常流量。在不影响正常业务的前提下,清洗掉异常流量。有效满足各业务系统运作连续性的要求。同时该服务通过时间通告、分析报表等服务内容提升客户网络流量的可见性和安全状况的清晰性。
(七)统一病毒防护平台。根据电子政务外网省、市、县三级分布的特点,可采用多级、多种的方式进行病毒防护系统的综合部署,包括在网络边界安装硬件防病毒网关、针对特定应用布署网络防病毒系统、针对多数工作终端布署单机版病毒查杀软件等方式。
(八)终端管理。利用桌面终端管理系统,对于终端电脑从以下四方面进行进行标准化管理:
1.网络准入。通过网络边界部署的防火墙设备、网络交换机设备与终端管理服务器配合,实现终端用户的802.1x准入认证,使得所有终端用户接入电子政务外网网络必须提出申请,并对接入机器做防病毒等安全审核,在安装了准入客户端软件(Agent)并分配了用户名/密码后,才能合法接入网络并使用信息资源,开展业务工作,实现了对终端用户的有效管理。
2.网络切换。通过实现终端用户访问互联网和电子政务外网两网切换使用功能,实现对两网资源使用的严格管理,避免安全隐患的发生。
3.文件保险箱。利用“文件保险箱”功能,在终端用户处于“政务外网”访问状态时可以使用“文件保险箱”功能,并创建、修改、使用加密文件或文件夹,在终端用户处于“互联网”状态时无法使用此功能,不能创建、修改、使用加密文件或文件夹,从而保证工作文件的安全。
4.补丁管理。利用桌面系统补丁管理的功能,帮助管理员对网内基于Windows平台的系统快速部署最新的安全更新和重要功能更新。系统能检测用户已安装的补丁和需要安装的补丁,管理员能通过管理平台对桌面系统下发安装补丁的命令。补丁服务器可自动从微软网站更新补丁库,管理员负责审核是否允许补丁在终端系统安装。通过策略定制,终端系统可以自动检测、下载和安装已审核的补丁。
(九)采用2+N的业务模式。对于利用互联网接入的业务系统,必须采用VPN接入,建设互联网接入区,隔离互联网与政务外网的数据包,将互联网业务进行封装,确保互联网业务在专网的VPN通道内进行传输,对于需要与互联网联接的为公众服务的业务,通过逻辑隔离的安全防范措施,采用防火墙系统、入侵防御系统和网络防病毒系统,对互联网接入业务提供必要安全防护,保障电子政务外网的信息安全。
(十)信任体系设计。建立了基于PKI/CA公钥基础设施的数字证书认证体系。完善、推广、促进数字证书体系的发展和根据业务需要建立相应CA机构,并实现某些应用和管理需要的单点登录要求。
一、信息系统审计的内涵
信息系统审计的内涵与财务报表审计有较大的不同。以下通过对信息系统审计的定义、目标和类型来阐述信息系统审计的内涵。
1.信息系统审计的定义。
由于信息系统审计的发展很快,因此对其始终没有一个通用的定义。下面分别介绍三种比较有代表性的定义。
(1)日本通产省情报处理开发协会信息系统审计委员会1996年对信息系统审计定义为“为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向信息系统审计对象的最高领导层,提出问题与建议的一系列活动”。该定义中强调独立性的问题。
(2)信息系统审计领域的著名专家威伯教授的定义(1999)是:“信息系统审计是收集并评估证据,以判断一个计算机系统是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济的使用资源”。
(3)信息系统审计影响最大的国际组织——国际信息系统审计和控制协会(ISACA)的定义是:信息系统审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率的利用组织的资源并有效果的实现组织目标的过程”。该定义比威伯的更详细一些。
通过对相关信息系统审计定义的分析,本文认为,所谓的信息系统审计,是指通过对被审单位的信息系统组成部分的审查来获取和评价审计证据,由此对信息系统的安全性、可靠性、数据的完整性以及信息系统能否经济的使用组织资源并有效地实现组织目标发表审计意见。我们必须清楚的识别信息系统审计、IT审计、审计工程之间的区别。一般而言,1T审计(计算机审计)包括信息系统审计和审计工程。信息系统审计的研究对象是企业的信息系统或信息资产,采用的研究方法是传统的审计方法和计算机技术等;而审计工程的研究对象是企业的电子财务和业务数据,研究方法采用计算机技术、系统工程方法和数学理论等。
2.信息系统审计的目标
审计本质上是根据审计目标对收集的证据进行分析评价并得出结论的过程。一切的审计活动都是为了实现一定的审计目标,并围绕审计目标来进行。可以说,审计目标是审计工作的“纲”。它贯穿审计活动的各个方面和审计过程的始终。
(1)真实性。信息系统中的数据要真实的反映企业的生产经营活动。要通过数字签名等一系列技术手段和保留不可更改记录、定期审计等管理手段确保数据的真实性。
(2)完整性。完整性信息不被偶然或蓄意的删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。完整性是一种面向信息的安全性,它要求保持信息的原样,即信息的正确生成、存储和传输。
(3)合法性。系统在购买、使用、开发、更新、维护、转移等过程中必须符合相关法律、法规、准则、行规以及企业内部的规定等。
(4)安全性。安全性是指信息系统在遭受各种因素破坏的情况下,仍然能够正常运行的概率。威胁信息系统安全的因素有外部和内部两种。外部主要是黑客的入侵、病毒的攻击、线路的侦听等;内部主要是被授权的用户访问和修改、删除等操作。安全性是真实性的基础之一。
(5)可靠性。可靠性是指信息系统在遭受非人因素破坏或人为差错影响的情况下仍然能够正常运行的概率。威胁信息系统可靠性的因素包括自然灾害对硬件和坏境的破坏以及误操作对软件和硬件的破坏等。可靠性也是真实性的基础之一闭。
(6)效果和效率。效果是指应用信息系统以后,企业在生产控制、管理质量、提品和服务等方面产生的变化。效率是指信息系统的应用在企业劳动生产率的提高方面所起的作用。
3.信息系统审计的类型
根据信息系统审计的定义和审计目标,我们可以将信息系统审计分为三个基本类型:
(l)信息系统的真实性审计是对传统审计的补充,防止“错”账真审。
(2)信息系统的安全性审计是对企业信息资产安全性的审核,防止由信息系统造成的经营风险。
(3)信息系统的绩效审计是对信息系统投入产出比的审核。
二、信息系统审计的特点
信息系统审计具有其独特的特点,具体特点如下:
1.信息系统审计是一个过程。它是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程,它贯穿于信息系统生命周期的全过程。
2.信息系统审计的对象具有综合性和复杂性。信息系统审计的对象是以计算机为核心的信息系统,它包含了除财务信息以外的其他与生产经营流程有关的所有信息系统,其实质是审计对象及内容的拓展。从纵向(生命周期)看,覆盖了信息系统从规划、分析、设计到维护的全生命周期的各种业务;从横向(信息系统构成)看,它包含对软硬件审计、应用程序审计、安全审计等。从这个意义看,信息系统审计拓展了传统审计的内涵,将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。
3.信息系统审计拓展了传统审计的目标。传统审计目标仅仅包括了“对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见”,《中国独立审计具体准则第20号--计算机信息系统环境下的审计》第四条也明确规定“注册会计师在计算机信息系统环境下执行会计报表审计业务,应当考虑其对审计的影响,但不应改变审计目的和范围”,由此可见EDP审计、电算化审计和计算机审计都没有改变审计的目标,但信息系统审计除了上述目标外,还包括信息资产的安全性、数据的完整性以及系统的可靠性、有效性和效率性。
4.信息系统审计是事后、事前、事中审计的结合体。注册会计师所执行的财务报表审计往往是年度审计,属于事后审计。而信息系统审计是事后、事前、事中审计兼而有之。如信息系统在开发过程中,由审计人员介入所进行的审计属于事中审计,此项审计相对于系统运行后而对其所进行的审计而言又可以看作是事前审计;信息系统运行后,对其在一定期间的运作情况所进行的审计则为事后审计。
5.信息系统审计的内容更加宽泛。信息系统审计包含了一切与信息系统有关的审计,除了整个生命周期过程及相关业务的审计外,随着信息技术的发展,还必将包括联网审计、电子商务审计、网站审计、ASP审计和XBRL审计等。
6.信息系统审计是一种基于风险基础审计的理论和方法。很多组织都能意识到技术带来的潜在好处,然而成功的组织还能够理解和管理好与采用新技术相关的很多风险。信息系统有着与生俱来的风险,这些风险用不同方式冲击着信息系统,审计者面临着审计什么、何时审计以及如何帮助信息系统的管理者管理和控制风险从而实现企业的战略目标的问题。
三、信息系统审计的过程
审计过程是审计工作从开始到结束的整个过程。信息系统审计一般可以分为计划阶段、实施阶段和报告阶段。由于信息系统审计的对象和具体业务不同,每个阶段所包括的具体内容与财务审计也不同。
1.计划阶段
计划阶段是信息系统审计过程的起点。科学合理的审计计划有利于帮助审计人员有的放矢的去调查、取证,形成正确的审计结论,实现审计目标。计划阶段的主要任务包括:调查被审单位的基本情况和内部控制;初步评价审计风险;确定重要性水平;制定审计计划。
(1)调查被审单位的基本情况,初步评价固有风险为了做好审计工作,审计人员首先应了解被审单位的基本情况。需要了解的基本情况包括:第一,被审单位的业务性质和生产经营情况。第二,被审单位的组织结构和管理水平。第三,被审单位信息系统一般情况,即信息系统的结构,所使用的软硬件和网络设施以及运行环境。第四,被审单位应用系统及其所处理的交易和事项的类型。
(2)调查被审单位信息系统内部控制,评价控制风险在计划阶段,审计人员应了解被审单位的内部控制特别是信息系统内部控制,对内部控制的健全和有效性进行评估,初步确定控制风险的大小。
(3)评估审计风险,确定重要性水平。为了合理使用审计资源,有效的实现审计目标,在制定审计计划时审计人员应评估审计风险,确定重要性水平。重要性水平是指在审计事项中,能够容忍出现差错的程度和大小。
(4)编制审计计划。在对被审单位的风险进行初步评估,确定重要性水平后,审计人员应当编制审计计划。审计计划的内容应当包括:被审单位的基本情况、审计的范围和重点、审计的步骤和时间安排、审计人员分工、运用的信息系统审计方法、审计中应当注意的事项和其他内容等。
2.实施阶段
实施阶段是根据计划阶段确定的范围、重点、步骤和方法,进行有针对性的取评价,并形成审计结论的过程。主要由符合性测试和实质性测试两个阶段构成。
(1)实施符合性测试。符合性测试的目的是检查内部控制措施是否健全有效。计人员需要对被审单位的控制系统进行识别、测试和评价。测试的性质、范围和程度。为了达到这个目的,审从而确定后续的实质性控制系统识别。审计人员通过与相关人员面谈、调查问卷以及查阅信息系统和控制系统说明文件等方,识别被审单位的控制系统以及控制环境,并将调查情况记录在审计工作底稿中。
(2)实施实质性测试。实质性测试是对信息系统控制进行的详细测试,以获得这些控制在审计期间是否真实存在并合法有效的审计证据。实质性测试主要通过测试必要的数据,对信息系统达到特定的控制目标的程度进行评价。
关键词:会计内部审核;专业技术;外审;电算化安全
行业间的竞争日趋激烈,企业也需要积极地采取应对策略对竞争对手加以有效的防范并勇于参与市场竞争,加大会计成本核算和审核力度是企业减少经营成本,监督企业行为的重要途径。会计行业的审核有外部和内部两种途径,但是由于我国外部审核机制还有待完善,大多数企业更加倾向于采用企业内部审核的方法对企业会计财务情况加以控制,内部会计审核需要依靠现代化技术手段的辅助才能够得以顺利实施,为此,有必要对现阶段我国的企业内部电算化会计审核进行深入探讨。
1 加强会计内部审核的重要意义
1.1 内部会计审核结果为企业发展提供了科学参考依据
内部会计审核是企业在内部设立财务部门,聘请专业的会计人员对企业账目进行监管,控制企业内部财务状况的一种审核方式。会计内审可以通过对于财务数据的整理分析,对企业总体财务状况进行有效控制,并且对企业的经营状况做出客观的分析和反映,反映的结果可以通过审核报告的形式体现出来,这在一定程度上有利于企业及时发现账目上的问题,从而降低了企业的经营风险。
1.2 较外部审核而言,企业内部审核更具有优势
企业外部会计审核的实施主体包括政府部门和社会专业机构两部分,目前,我国的外部监督体系还存在着一些问题,首先,就政府部门监督而言,相关的法律法规不够完善,起不到对企业行为的规范作用,政府审计人员的操作还不具有专业性,职责不明确往往导致审计结果存在较大出入;其次,由于我国现行会计从业考核机制的不健全,社会上专业审计企业的资质还有待考证,审计从业人员的水平也参差不齐;再次,外部审计较内部审计的明显劣势还在于外部聘请的专业机构对于企业的经营现状无法实现充分的了解,对于企业的基本情况只能通过企业内部人员描述或者通过会计账目来获得,这就使得其审核的结果可能失去真实性和客观性,产生会计审核的偏差。
内部会计审核无论从实施主体还是实施效果来看,都具有相当大的优势,比如,由于是在企业内部设立专业审核的部门,其操作经费会大幅度降低,而且还能实现会计监管的实时性;最重要的是人员对于整个企业的生产经营状况了如指掌,大大提高了对会计账目审核的精确度和有效性。但在我国,内部审核机制也存在一些问题,例如,会计人员存在串通造假的现象,会计部门缺乏有力的监督管理;内部会计制度不够完善等等,严重影响了企业内部会计审核的质量,失去了应该有的效果。
2 如何在电算化方法的协助下有效开展企业内部会计审核工作
科技手段的引进是会计内部审核工作发展的一大飞跃,计算机的普遍使用,多样化的财务软件在为会计审核方面起到促进作用的同时,也会引发一系列的负面问题,譬如从业人员的技术水平达不到要求,会计数据存在泄漏和分工职责不明的问题等等,针对这几方面采取措施可以有效改进会计电算化所带来的问题。
2.1 注重会计审核电算化的归责性和安全性
会计电算化从很大程度上提高了数据控制的科学性和核算效率,这一点毋庸置疑,但在操作时,数据承担的泄漏风险也在同步增加,解决这一问题要从设备的安全性和工作人员的安全防范意识入手,在使用计算机和相关软件进行数据操作时,要加大设备保密性的检查力度,并对其设定保密程序,防止资料外泄;相关操作人员也要签订岗位安全性协议,遵守岗位规范。在数据分工操作时,明晰人员职责很重要,以防数据方式篡改和泄漏时无法追究责任;另外,要尽量将工作分成相互独立的若干部分,分配给不同人员完成,加强数据的安全性。
2.2 加强会计电算化人员的专业技术培训
现代会计操作设备要求工作人员具有较高的专业性和对于新知识的学习和接受能力,企业要加强对于新型的会计审核软件和程序的操作培训,相关从业人员也要积极配合,以保持企业内部会计审核队伍的先进性。
2.3 完善外部会计审核制度
建议相关部门尽快研究我国的信息系统审计制度,制定相关的法律、法规。对任何直接或间接影响财务报表或其他至关重要资料的数据或处理系统都要求审计,并可在重大信息化工程项目中试点,在总结经验教训的基础上,再逐步推广施行信息系统审计制度。在新的经济和技术环境下,注册会计师审计应考虑增加以下内容。
2.3.1 审计除了对现行企业财务报表所提供的信息进行审计外,审计还要对如分部信息、非财务信息、前瞻性信息、知识产权、创新金融工具等方面的内容进行审计。
2.3.2 更加注重对内部控制制度的研究。内部控制制度对保证会计信息的质量具有非常重要的意义。这一点同样也被我国新修订的《会计法》所重视。
2.3.3 对不确定信息的审计。由于现代财务报告中包括了如或有事项、衍生金融工具的确认、计量和信息披露和无形资产等有关内容,因此,审计就不能不对这些内容进行审计。
2.3.4 在审计报告中应增加分析性评价的意见。在审计报告中应增加分析性评价的意见,尤其是有助于评价企业收益质量的信息。
2.3.5 开展安全审计。安全审计是指审计人员对计算机网络环境及其有关活动所进行的系统审计,并进行评价的活动。现代审计必须积极开展安全审计,并将其作为审计的中心内容之一。
2.3.6 开展预测信息审计。因为现代财务报告中将大量增加有关企业未来的信息,其中包括大量的财务预测信息,而对这些预测信息必须要有相应的质量保证机制。在这方面,完全可以充分发挥注册会计师的作用。
2.3.7 开展对报表附注的审计。现在及未来,财务报表附注内容将会大大增加,因此,对这部分内容的审计也是不可避免的。应制定会计报表附注的会计和审计准则,完善法规制度,加强对会计报表附注的审计,只有这样才能使得审计的责任得以更好地完成。
2.3.8 从重视有形资产审计到重视无形资产的审计。因为在知识经济社会中,以知识、信息及人力资源为主的无形资产的信息在财务报告所披露的信息中的比重必将大大提高,这也就导致了审计的重点由重视存货等有形资产的审计向重视知识、人力资源等无形资产审计的转变。
3 结束语
科技的发展给企业的生产经营带来了极大的便利,同时也相伴有一定的风险,企业可以通过建立有效的防控机制来加以预防,更好的使之为企业服务,企业内部会计审核从目前来看是一种不错的财务监管机制,将科技手段与之相结合会带来意想不到的效果。所以,只有科学的开展企业内部会计电算化的应用,才能使企业具有更强的市场竞争力。
参考文献
[1]刘力云.审计风险与控制[M].北京:中国审计出版社,1999.
[2]朱荣恩.内部控制评价[M].北京:中国时代经济出版社,2002.
【关键词】电子政务;平台安全;建设中图分类号:TP39
文献标识码:A
文章编号:1006-0278(2015)02-112-02
一、基于安全的平台物理构架
数据安全的定义存在对立的两个层而:一是针对数据本身的安全,数据本身的安全可以通过使用独特的不为外人所知的密码算法对数据信息进行加密;二是数据防护层而的安全,它的主要方法是利用先进的储存方式对数据进行防护,目前常用的储存方式有磁盘阵列、数据备份、异地容灾等。通过对信息进行加密算法传输,并且采取先进的储存方式,一般来讲可以保证数据的安全。
在数据的处理过程中可能会出现因为电路故障引起的硬件障碍,服务中断、程序的错误进行,以及人为的错误操作,或者外部网络的黑客入侵、病毒感染等问题而导致数据丢失或者数据库受到破坏。同时不同的数据只有拥有权限的人员才能浏览,而有些不具备权限的人员进行浏览之后,可能会出现数据外泄的情况。
数据储存也应该具备安全性。一些数据库的运行是公开的,这方而的编程人员通过一些常规手段,都能够对数据库中的信息进行浏览或阅读,如果这些人中有人对数据进行了修改也是很正常的。而一旦这些信息落入了非法访问者手中,那么就会使内部信息外泄,给整个系统带来重大的威胁。
数据安全具备以下特点:
1.机密性(Confidentiality)。机密性,又称保密性,是指信息的获取需要一点的权限,不能被随意获得。在电脑程序中,网络浏览器和一些网站都有加密设置,这样的目的是为了保证用户信息的安全;2完整性(Integrity)。完整性是指数据在传送和储存的过程中,数据信息不被非法用户篡改或获取,它是信息安全的二个基本要点之一。完整性和保密性往往容易被混淆。以普通RSA对数值信息加密为例,非法用户如果没有获得授权,也能够通过保密文件的线性计算来对数值的信息进行更改。为保证信息的安全,通过散列函数和数字签名可以对文件进行保护;3可用性(Availability)。数据可用性是指数据的可读性,它的设计理念是以使用者为中心,它的重点是根据使用者的要求对产品进行相应的设计。
对信息安全的认识经历了的数据安全阶段(强调保密通信)、网络信息安全时代(强调网络环境)和信息保障时代(强调不能被动地保护,需要有保护
检测
反应
恢复四个环节)。
二、平台网络安全威胁
能够对数据的安全带来威胁的因素是五花八门的,而以下几而方而的威胁是最为普遍的:
(一)硬盘驱动器损坏
硬盘驱动器一旦损坏,通过这一驱动器运行的数据就会丢失。而设备运行过程中的损耗、运行环境的破坏和存储媒介的失效甚至是人为损害都会引起硬盘驱动器损坏。
(二)人为错误
人为操作错误的因素有可能造成系统运行参数的改变,误删除一些重要文件。
(三)黑客
黑客通过远程操作计算机可能对电脑进行一些不安全的更改,从而威胁计算机数据的安全。
(四)病毒
病毒是大家目前熟悉的一种安全威胁,病毒能够对计算机系统造成很大的破坏。这几年各种病毒的产生,是大家对于病毒的危害的理解越来越深刻,病毒的强感染性和强的传播性是其成为了威胁系统安全的主要元凶。
(五)信息窃取
信息的窃取是导致数据安全的又一大原因,因为复制、盗取等手段会对计算机的数据造成威胁。
(六)自然灾害
地震、火灾等无法预料的自然灾害会造成整个系统的覆灭,从而带来无法挽回的损失。
(七)电源故障
电力的不稳,例如突然的断电等故障会使硬盘设施中的数据丢失。
(八)磁干扰
磁性较强的东西会对计算机数据造成毁灭性的的伤害。
三、平台数据安全防护措施
电子数据安全审计是一个操作记录,主要记录的是用户在系统中进行的操作,这种做法的目的是为了在发现违规操作后,能够追查到责任人。
电子数据安全审计过程可分成二步来实现:第一步,整理用户对系统进行的操作,对操作过程进行记录;第二步,根据操作的记录分析是否存在违规行为;第三步,发现问题,采取处理措施。
电子数据安全审计工作同防火墙等手段的意义是一样的。用户在系统内的计算机上进行的所有行为包括上下机的时间,与系统内的敏感的信息。数据的接触都能够在日志文件中查找到,这一措施是为了对操作行为进行分析同时一旦发现了不安全因素便于查找并确定事故责任,这也为增强系统安全提供了预防作用。
(一)审计技术
电子数据安全审计技术可分二种:系统技术的了解,验证处理技术和处理结果的验证。
1了解系统技术。审计人员可以借助阅读相关的技术介绍和查阅程序表和控制流程来了解系统技术。
2.验证处理技术。系统指令能够正确的执行主要取决于这一技术。该技术由实际测试和性能测试两部分组成,实现方法主要有:
(1)事务选择。根据制定的审计标准的不同,审计人员可以选择不同的事务样板来进行认真的了解。样板的选择可以是随机的,也可以通过操作系统的事务管理部件自动引用。
(2)测试数据。测试数据是程序测试的扩展,系统自动生成了准备处理的事务。审计人员可以通过一些方法来预测结果的正确性,并将得出的结果与实际的结果相对比。使用这种方法的时候,审计人员必须通过系统来检验处理过的检测的数据。除了上述的方法,还可以使用事务标志、跟踪、综合测试等方法。
(3)并行仿真。审计人员主要借助某一应用程序来模拟操作系统的主要功能。将模拟出的数据和给出的实际的数据相比较。仿真的成本较高,可以通过高级语言使仿真模拟与实际的应用相接近。
(4)验证处理结果技术。在这一过程中,审计人员的工作重点不是对于数据的处理而是数据本身,这里有两个方而需要重点考虑:一是数据的选取。将审计数据收集技术结合到应用程序审计模块中,应用程序审计模块的功能是依据给定的标准来收集数据;建立全部的审计跟踪;借用于日志恢复的备份库;借助审计库的记录来抽取设施,它能够随机的选择属性值相似的文件进行记录,并将其放在工作文件中,为以后的分析提供便利;利用数据库管理系统的查询设施抽取用户数据。二是数据内容的寻找目标。一旦选定了数据,审计人员可以对控制信息进行检查;检查语义完整性约束;检查与无关源点的数据。
(二)审计范围
在整个应用系统中,审计是与其他系统独立的。审计主要涉及的范围是对操作系统和其他应用系统的审计。
对操作系统进行审计是为了检测和判定操作对系统的渗透程度并且对误操作进行识别。这一过程的基本功能为:选择审计对象;对审计的文件进行分类并且完成自动转换;对文件的系统完整性进行定时检测;对信息储存的格式和输出的媒介进行审计;报警阀值的设置与选择;对每日操作行为进行审计并对数据的安全性进行保护等。
应用程序审计子系统的主要功能是:针对被作为审计对象的应用程序的某些操作进行监控并且进行记录,对记录的记过进行分析,用以判断是否应用程序是否受到攻击并别修改,同时能够判断程序和数据的完整性;采用身份验证和口令验证等方法来保证应用程序的正常运行。
(三)审计跟踪
审计跟踪与日志恢复从本质上来讲是有区别的,但是经常可以结合在一起使用。它们的主要区别是审计跟踪能够进行记录,而日志恢复通常不对操作进行记录;但根据实际的需要,审计跟踪可以从日记恢复中得到所需要的审计信息。如果将告警功能与审计功能结合起来,那么就可以在违规的或者不合法的操作进行的当时向程序人员发出警告,以使他们能够以最快的速度做出反应,及时的采取解决的对策,使损失降到最低。审计记录所包含的内容主要有:操作进行的地点和时间;进行操作的用户;事件的类型;事件结果。
根据访问控制的类型,数据库对于审计跟踪的请求不加以限定。独立的审计跟踪保密性更强,审计人员可以对时间进行限定,但是成本比较高。
(四)审计的流程
20世纪60年代随着第二代晶体管机的出现和计算机的普及,特别是电算化之后,开始设立数据处理审计及安全办公室,出现了信息技术审计(IT审计)-EDP审计,当时称之为计算机审计,到70年代,利用计算机犯罪的案件开始出现,在上引起了强烈反响,人们开始认识到信息技术审计的必要性。进入80年代后,发达国家大力发展信息产业,加上计算机与通信相结合,使计算机的应用更加普及,同时也导致了利用计算机犯罪的比率升高,犯罪率的急剧上升引起了有关政府的极大重视,1984年日本政府公开发表了《IT审计标准》,在全日本的软件水平中增添了“IT审计师”一级的考试(在系统员考试之上的最高一级),培养从事信息技术审计的骨干队伍,信息技术审计逐步走向成熟。至20世纪90年代,信息系统向大型化、多样化及化发展,信息技术审计作为信息社会的安全对策进入普及时期。
二、信息系统审计(ISA)与信息技术审计(ITA)
信息系统审计(Information Systems Audit简称ISA)是指以某个业务应用系统为中心的审计,即对计算机信息系统的开发建设、运行环境、使用和维护、内部控制等情况进行监督、检查,并作出评价,提出意见和建议,它包括对新系统的开发审计和对现有系统的审计。而信息技术审计(Information Technology Audit简称ITA)则是侧重于对信息技术基础设施的审计,主要是对技术的安全性进行审计,重点在于网络安全和通讯安全。包括对防火墙的安全和公共密钥系统(PKI)的安全性的评价,以及对非法入侵进行检测等。在部分西方国家央行内部审计中,信息系统审计和信息技术审计有严格的区分,分别设置信息系统和信息技术审计机构,我国人民银行信息技术审计处于起步阶段,一般认为信息技术审计既包括对应用系统的审计,也包括对计算机基础设施的审计,二者是一个包含与被包含的关系,是可以通用的概念。
三、人民银行信息技术审计的发展方向
人民银行2000年开始提出信息技术审计的概念,在充分了美国、德国、英国、加拿大、荷兰、日本等国中央银行信息技术审计的基础上,2000年8月在贵阳首次召开了人民银行信息技术审计工作座谈会,以此次会议为标志,人民银行正式将信息系统安全纳入内部审计范畴,并相继开展了一系列信息系统专项审计。经过几年的探索,人民银行对信息技术审计有了明确的定位,信息技术审计逐步走向正规化、日常化。从这几年的实践来看,人民银行信息技术审计虽然引起了各级领导的高度重视,但受人员素质等各种因素的制约,信息技术审计层次较低,基本上侧重于规章制度的执行和基础设施的安全,离信息技术审计的定义相差较远,笔者认为人民银行信息技术审计应向以下几个方向发展:
1、在审计策略上向参与式审计发展。西方内部审计理念的核心是,内审人员不仅要善于发现,而且更要善于解决问题,并要将所提建议当作本部门的服务产品向管理当局积极推销,以大大提高审计的效果。而现代内部审计方式的精髓则是参与式审计,即在整个审计过程中与被审人员维持良好的关系,共同分析问题的实际情况及潜在,一起探讨改进的可行性和应采取的措施,从而加强内部控制、改善经营管理,防范和化解潜在的风险。
信息技术审计不仅仅是传统审计业务的简单扩展,它是在传统审计、信息系统管理理论、行为理论和计算机科学四个理论基础上形成的一门边缘性学科,完全依靠自身的力量完成所有审计工作是不现实的,也是不符合成本效益原则的。西方国家信息技术审计普遍采用的做法是从外部咨询机构聘请信息技术专家、安全专家以及各种具体应用系统的专家参与审计。
参与式审计主要体现在以下几个方面:(1)在审计开始时,就对被审部门抱着信任态度,与他们讨论审计目标、审计、计划采取某些审计程序和的理由,以取得他们的理解和支持;(2)征求被审部门的意见,寻求他们的合作;(3)及时与当事人讨论审计中发现的问题,共同分析改进的必要性,并探讨改进的可行措施;(4)向被审部门报告期中审计结果,其中审计报告可以是口头的,非正式的,以便及时就地解决和改正存在的问题,避免发生更大的损失;(5)提出最终审计报告时,采用建设性的语调,重点放在问题产生的原因和可能造成的影响、改进的可能性和改进措施上,被审部门已经采取的改进行动也可以包括在审计报告中,以反映他们对审计工作的积极态度。
参与式审计的基础是信任被审部门,而我国人民银行内审脱胎于原稽核部门,沿袭了传统审计的思路和模式,在审计中持着怀疑一切的态度,将自己放在了被审单位的对立面,这样既不便于内审工作的开展,也了审计的质量和效果。
2、在审计对象上向安全审计。随着机网络技术的飞速发展,在人总行司的统一部署下,人民银行系统计算机网络经过近10年的建设已初具规模,形成了以内联网为核心,纵向覆盖至县支行,横向与各机构、财政、税务及海关、外汇交易中心等单位相联的大型网络。在人民银行系统内同时存在内联网、外联网和国际互联网三套网络系统,计算机网络成为人民银行业务系统运行、信息传输的重要平台和纽带,其运行状况直接关系到资金安全和政务信息的安全。网络在加快信息传播、加大资源共享、提高办公效率的同时也成为了人民银行系统内最大的潜在风险点。
目前人民银行系统正在运行的计算机系统共有二十多个,涉及支付结算,金融服务以及办公自动化等各个方面,在这种情况下,处于起步阶段的信息技术审计以各个业务应用系统为中心有其合理性:一是审计人员对各业务系统缺乏了解,对各系统还需要一个熟悉的过程,以系统为中心的审计有助于审计人员全面系统地了解业务系统的情况;二是计算机专业人员的缺乏,使以安全性为中心目标的信息技术审计难以有效开展;三是目前对计算机业务应用系统的监督检查环节还很薄弱,对于保证控制的各项制度措施不能很好地贯彻执行,合规性审计在一定时期内将是信息技术审计的主要。但是随着信息技术审计工作的不断开展,审计人员经验的丰富和技术的提高,信息技术审计应该走出以系统为中心的审计,向以保证组织网络与信息的安全方向发展,充分发挥信息技术审计技术性、专业性特点。
3、在审计内容上向系统开发审计发展。信息系统之所以风险较高,是因为它不仅涉及数据的安全和保护,而且涉及计算机网络的一致性和适用性,涉及系统建立和开发过程中的巨额资金流出。应用系统的开发不仅在开发阶段要花费大量的人力、物力和财力,而且对已经完成了的应用系统进行修改也将花费大量的时间和资金,相对传统业务审计而言,对信息系统仅仅进行事后审计意义不大,所以,内审部门对系统开发应在项目计划阶段就要介入,对其开况进行全过程审计监督。
对系统开况进行审计关键是要求内审人员“一开始就介入”。通过提前介入,内审部门对项目的概算、项目的必要性、招投标情况、建设工期执行情况、系统的“可审计性”等进行监督,保证系统的合理投资、合理设计开发和有效运行,及早发现系统在风险控制、质量保证和成本效益等方面存在的问题,避免走弯路,防止出现浪费和损失。同时,通过提前介入,也将信息系统的开发、购买、重大修改、委托运营、转让和退出使用等管理工作置于内审的有效监督之下。
在西方各国,一般要求信息系统管理部门在进行系统开发、购买、转让、重大修改和退出使用时要通知内审部门,内审部门根据系统的重要性决定审计的方式,可以要求提供相关资料,也可以派人参与开发过程,对于大型系统一般成立由财务审计人员和信息技术审计人员共同组成的联合工作组进行新系统开发审计。目前人民银行正准备进行应用系统开发审计的尝试。
4、在审计重点上向风险导向型审计发展。信息技术审计不同于我们以往的业务审计,以往的业务审计往往以发现已经发生的损失,已经实施的舞弊和违规为目的,属于以损失为基础的审计;而信息技术审计则具有一定的事前性,其目的在于发现潜在的风险和可能发生的损失。这种目的上的变化要求信息技术审计不可能以损失为基础,而应该以风险为基础,因此,信息技术审计部门必须借鉴风险评估的,由对系统运行的合规性审计逐渐转变为风险导向型审计:根据系统风险评估结果,确定审计计划,根据对固有风险和控制风险的测算,确定审计重点、制定审计方案。这种以风险为基础的审计也是当前国际审计界通行的观念和做法,也是今后我国审计的发展方向。
关键字:信息技术 内部审计 风险评估
信息化拉近了人与人的距离,提高了工作效率,造就了方便的生活方式。计算机信息技术代在很多方面替代人进行工作,节约了生产成本,提高了工作效率,因而加快建设企业信息化的发展,引进信息化技术到企业内部审计工作中,可以有效的节约资源和缩减成本,提高办事效率。另一方面,计算机行业是高科技行业,具有较高的风险性,所以如何引进信息技术任然需要谨慎。
一、信息技术的安全性和公正性
(一)信息技术的安全性
要为企业设计一款软件为内部审计服务,必须要进行深思熟虑,首先要从其需求方面入手。企业需要怎样的功能,企业的规模需要哪种性能的软件(根据企业人数要求软件可以承受的用户并发数),这两项是最基本的硬性要求。然后就是软件的安全性,这里主要是指软件对企业信息的保密性,软件采用何种形式的编码方法,以何种协议传输信息,防火墙设计是否能够有效的抵御黑客进攻都关系到整个企业的信息资料安全。确定了可行的、可信的、可靠的软件才能进行投放。
(二)信息技术的公正性
较之人而言,计算机是没有“感情”的,从而也规避了“腐败”现象的发生。将审查后的数据输入电脑,计算机服务器终端会根据软件系统设计好的程序运行计算实际的数据,在软件质量良好的情况下可以保证所得到的报表、审计报告的真实性。这对公司企业的人员管理和评审也是非常公正的。
二、会计信息化及其对企业内部审计的意义
(一)信息化环境下企业内部审计对象的特点
(1)随着网络技术的快速发展,企业之间的电子商务平台将会得到很大的发展空间。为企业的发展和创新开拓广泛的新局面,其中最明显的变化就是企业的经营管理模式和信息披露的模式。经过发展和改变后,不少的企业可以将自己的产品以及交易信息和销售的合同公布在互联网上进行交易。这样的改变不仅不会让消费者的受到时间和空间的限制,同时还能够查阅资料对产品有进一步的了解,再决定是否购买。企业通过互联网的交易形式不仅能够达到提高效率的目的,同时还能够降低成本,扩大企业的利润空间。
(2)建立在网络环境基础下的会计信息系统被称之为网络会计。网络会计与传统会计的区别很大,主要是体现在以下两个的特点:一是网络会计的会计信息是无纸化和自动化,采用网络沟通的方式去实现交易,相比传统的会计信息系统更加的节约资源。二是会计信息披露更充分、更及时。
(二)会计信息化对会计内部审计的意义
随着互联网的快速发展,传统的审计方式将逐渐被网络在线实施的网络审计模式所取代。而这样的审计模式就能满足审计人员不用出门就可以完成审计工作的要求。
(1)网络审计技术更先进:审计人员不仅可以通过网络系统和审计的对象进行沟通、交换信息,并且可以直接在网上进行会计信息的查阅。由于网络技术的发展与应用,空间已经不会造成执行审计的制约因素,这样更方便审计人员开展工作。
(2)网络系统能够充分的发挥计算机的高速运转与审计软件的优势,同时间还能对网络的财务数据以及业务数据进行统计、处理,最后完成审计工作的报告。与传统的审计相比,网络审计在高效率完成工作的同时还能达到节约能源以及提高准确率的目的。
三、信息化环境下完善企业内部审计的对策及建议
(一)提高审计风险的防范能力
因为网络系统的运作,导致信息的载体由低介质转变成磁性介质。但由于磁性介质在受到高温和磁性物质的因素下容易受到影响,造成磁性介质的磁性消失。因此,档案的保存还有很大的风险。通过信息技术导致这种储存媒体的方式经常受到访问和滥用,造成了审计风险的增加。因此,必须建立一个有监管部门严格监控的网络财务信息进行强制性的存档制度,这样不仅可以避免网上的财务信息遭到披露,同时还能提高工作的效率、减低审计的风险。制定的风险防范制度其中主要包括了网络管理的规定、会计核算的软件运行管理等。
(二)加强对会计信息系统内部控制制度的审计
在会计信息系统中,内部的控制制度要求应该更为严格,否则制度一旦失控,将会给企业带来无法挽回的后果。因此,必须对内部控制的制度加强,内部的控制制度在加强后,能够促进企业建立一个完善的内部控制的制度体系,已达到保证会计资料真实性的目的。通过内部控制的制度审计,能够避免错误和重大违纪事项的发生,同时还能提高工作的质量以及效率。
四、结束语
随着网络技术的发展,导致信息化环境给企业内部的审计工作的内容和环境带来翻天覆地的变化,造成对内部审计的极大影响。通过加内部审计的风险防范制度,将会计信息化的内部审计与内部的控制制度以及安全审计向结合,将其作为中心内容,达到更加有效的、安全的性的在会计信息化的环境下开展审计工作的目的。
参考文献:
[1]马睿.信息化环境下企业内部审计思考[J].商场现代化,2007,(33):347-348
[2]单石奇.企业信息化环境下内部审计工作的思考[J].江汉石油职工大学学报,2008,21(1):47-49
一、 高速公路的特点
任何事物的诞生和发展在不同程度上具有一定的特殊性和它本身所具的局限性。公路的发展与社会经济发展是互动的,社会的发展,经济的腾飞必须有完备的交通运输作为基础,而交通运输的进一步发展,又依赖于经济的支持和促进。高速公路在这方面体现得更加明显。据日本世纪1983年对一些在导产业中的自动装置、测量元件、数控设备、电子计算机、集成电路等五个行业的461个厂家调查,由于高速公路的建成,其原材料和零件有92%是汽车运输,成品运出94%是靠汽车。高速公路在全世界的飞速发展是有其自身原因的。公路运输本身具有机动灵活、适应性强、“门对门”服务、量大面广等特点,但普通公路也存在线型标准低、路面质量不高、车速低、混合交通相互干扰大、开放式管理造成侧向行人与非机动车等干扰、事故多、安全性差等到缺点,而高速公路与普通公路相比既有像设计指标量上的区别,又有像管理这样质上的区别。
1、高速公路对交通实施限制,不仅能做汽车专用,而且对某些机动车(如:农用车、装载危险品等特殊货物的车辆等)也作了限制;
2、高速公路根据普通公路中间无分隔带,对向车辆在行驶中超车、占道的客观现象,不仅在对向车道中间设有较宽的中央分隔带,还对同向车道也严格划分,真正做到分道行驶,提供一个宽敞的行使环境。
3、高速公路采用全封闭、全立交,路段两侧均设置禁入栅,交叉口全立交,避免横向穿越,使车速的提高和安全有了保证。
4、高速公路除道路本身的设施质量较好外,还设有许多附属设施,如:安全设施(防撞护栏、反光标志等)、监控设施、紧急电话和服务区等。这些高质量的设施使车辆快速、安全、舒适地行驶有了充分保障,另一方面也使公路所适应的运输距离变得越来越长。
正是因为以上几项特点,致使车辆司机在思想上有一定的放松,行驶速度过快,遇到紧急情况又不能很好的处理,容易引起交通安全事故。
二、 高速公路的设计依据
设计车速是公路设计的最基本的设计依据。它决定了公路几何线形的各要素,并能使其相互协调。为使设计车速的确定更具有科学性和合理性,通常在不同车型、不同道路特征条件下采用统计学的方法分析确定。
根据高速公路的运营要求与交通需求的变化和确定设计车速的原则,我国《公路工程技术标准》(TJT001—97)规定:高速公路一般选用120km/h的计算行车速度,当受条件限制时,可选用不着100或80的计算行车速度。与以前的技术标准不同,现行技术标准中高速公路的设计车速不再与地形直接相关,设计人员可根据交通量、交通组成和性质,结合地区、地形特点,考虑技术和经济条件,选定合理的计算行车速度。对于高速公路来说,其设计依据不单是设计车速,还与设计车型、交通量、通行能力与服务水平及地形地貌等相关方面有关。
三、 高速公路交通安全
交通事故是一种世界性的公害,据红十字与红新月联合会不久前的数据:全世界每年死于道路交通事故的人数达50万人,另有1000~1500万人受伤。道路交通事故给家庭、集体和国家都会带来巨大的损失,成为世界性的严重社会问题。预计至2020年,交通事故将成为继心血管病和精神压力症之后造成人类非正常死亡的第三大直接原因。
高速公路事故状况:由于工业化国家的道路运输发展与我国相比相对超前,因此,一些国家的道路事故已度过了高峰期,目前呈逐年下降趋势。而在我国,道路交通事故数、伤亡人数和直接损失一直呈上升趋势,近年来,我国机动车数量大约以每年15%的速度增加,而交通事故数量也基本上同步上升,如果我们不再采取有效措施遏制这种势头,随着我国社会化汽车程度越来越高,道路交通事故将会不断上升。
由于高速公路具有:线形指标高;路面质量好;全封闭,无行人和慢车干扰;交通安全设施齐全等特点。因此,在理论上和国外的实际情况来讲,高速公路的交通事故情况要比普通公路好得多,国外高速公路发生的交通事故数量平均约为一般公路的30%~51%,高速公路交通事故死亡人数平均约为一般公路的43%~76%。表1是国际路联(IRF)公布的1995年的公路事故状况。
世界主要工业国的高速公路事故状况
国
家 美 国 德 国 法 国 意大利 日 本
高速公路总里程(KM) 52582 11190 6317 6397 5908
交通量(亿车公里) 3594 1809 543 696 634
事故数(起) 53081 25500 2161 10880 6761
事故死亡(人) 2691 978 310 745 354
事故率(起/亿车公里) 15.3 14.1 4.2 16.0 10.7
死亡率(人/亿车公里) 0.75 0.54 0.57 1.07 0.56
近期对甘肃省某高速公路和同地域的旧国道G109线的交通安全事故进行了细致的调查研究,具体调查情况如下表:
甘肃某高速与同地域G109线的事故比较表
事故数
(起) 死 亡
(人) 受 伤
(人) 公路里程(km) 事故率
(人/km) 死亡率
(人/km) 受伤率
(人/km)
某高速 108 15 49 156 0.692 0.096 0.314
旧G109线 86 31 86 374 0.232 0.083 0.230
全部公路 194 46 90 530 0.366 0.087 0.544
通过对以上数据的分析,不难看出高速公路由于的事故率、死亡率、受伤率都要高于普通公路。那么是什么原因造成这种客观现象qiqi8.cn/的呢?正是由于高速公路在我国历史时间比较短,驾驶员和车辆的适应性比较低,另外,高速公路的规划、设计和管理水平都有一个逐步发展的过程。
四、 交通事故的原因分析
通常情况下交通事故主要是由人、车、路三种因素引起的。在以往的交通事故统计中,70%以上是由人的因素造成,20%以上是由车辆的因素引起,由道路条件不良为直接原因而引起的在很大程度上不超过10%。但是,有些资料证实往往由于道路线形组合不佳,在一定程度上给驾驶员造成一个行驶条件不可靠的感觉,产生心理上的紧张,从而成为交通事故的间接原因之一,这样的例子不只是少数。因而,这就有必要引起设计者的高度警觉,在设计中不能忽视道路平、纵、横线形组合不良的影响,以杜绝一切可以促使不安全性的任何因素。研究者统计资料指出,如果包括直接原因和间接原因在内,由于道路条件不良促使产生的交通事故率可能达到30%。
从保证行车安全的角度考虑,好的道路条件就意味着对线形整体强调连贯性、均匀性和渐变性的要求。以下是专家们总结出各种可能造成驾驶员产生心理紧张或造成困难行驶条件而影响行车的高速公路线形组合。
1、在顺畅的道路上线形条件突然变坏
顺直路段前方遇到较窄桥梁或隘口,长下坡路段前遇上急转弯等都属于这种情况。此时,驾驶员由于在长距离舒适状态下易产生麻痹思想,或是由于连续下坡的加速作用,以较高速临近危险地点而不减速,道路条件变化时驾驶员没有及时改变行驶状态,事故往往由此产生。当前面遇上急转弯时,驾驶员需要较大的力气旋转车轮,并以较大的角速度转弯,这些都容易使驾驶员工作增加困难,并且汽车转向时拥有的时间有限,往往就会引起道路交通事故。
2、路段前面的视距不足,视野不畅
弯道内侧的边坡阻挡、绿化过量以及凸形竖曲线与平曲线配合不当,都会造成视距不足或视野不畅。纵断面上引起视距不足往往更容易忽视,它较平面线形视距不足更容易引起交通事故。如果在前视方向不能看到纵断面线形上的凹处,只有在最后靠近该凹处时才能看的见在凹处的汽车或其它特殊事物,则会造成措手不及。在凹形竖曲线上方如有跨线桥,视距则不可避免地会因跨线结构物的限制而受到影响。在长下坡上因车速提高而需要更长的刹车距,在前面遇到外形欠佳等阻遏时要注意到需要更长的安全视距作保证。在气象条件差的地区,还要注意多雨、雾、雪等特殊情况可能造成的视距或视野欠佳。在高速公路两侧有进出、口道时需注意有良好的视距和视野。
3、在平纵横三个剖面中,各个不同剖面上或各个不同路段上所能保证的车速不相适应或过多变化。
大半经平曲线路段的纵面上设置了小半径竖曲线,顺直路段上出现不规则的横断面或过窄的路肩都属于这种情况。为更好地检查线形质量,最好能绘制沿线的营运车速图。这种车速图可以根据线形平、纵、横的各要素,按专门测定的研究成果预估营运车速值绘成。道路事故集中的地方往往就是相应于营运车速变化比较大的地点,或是某一路段的某一剖面要素不当而造成的。因而在设置线形时,应能消灭营运车速特低的路段,或是使路段之间的车速尽可能地平衡。从原则上讲,要求平面和纵面线形上的要素作这样的配合,即驾驶员只要通过油门踏板就能减低至合适的行车速度而不许要换档或刹车。
更好的一种方法是对某些路段选定多个方案,然后对每个方案进行安全率评价,然后选定安全率最高的以优化线形。但这需要专门的安全率评价研究,安全率的定量指标往往与营运车速关系最大,通过测定与研究,可以获得安全率的量化指标,否则只能做定性分析。
4、线形容易使驾驶员迷失方向,或被某些假象所迷惑。
由于不适宜的交通岛或是高出路面的路缘石、挡土墙等沿路设施,无法看到清晰导向的路面上的路缘带,如沿线护栏不规则,中央分割带的突然变化等。这些情况可以在连续的透视图上仔细观察,对凡是容易迷惑驾驶员的任何因素都应予以改进。
竖曲线和平曲线的组合不当往往也会造成某些假象而迷惑驾驶员。例如,在凸形竖曲线的顶部设反向平曲线的拐点,线形将失去诱导视线的作用,除了有挖方边坡情况外,犹如行车闯入空中一样,感到不安,而且到达顶点附近才发现线形向相反方向转弯,此时急打方向盘往往会造成危险。
5、在小半径弯道上合成坡度过大,路面滑移,造成行车不安全
为了防止汽车的横向滑移,应将设置超高的曲线半径与纵向坡度控制在适当范围,特别在冰雪严重的区,必须加以复核,着重qiqi8.cn/注意下坡道上的危险性,要尽可能排除陡坡于小半经平曲线的组合。
6、回旋曲线和竖曲线重叠,促使在汽车上产生复杂的动力作用,导致较高的事故率
由回旋曲线产生的横向加速度,随行驶时间变化而有所增减;同时,在纵断面竖曲线部分上行车,也同样产生加速度变化。如果缓和曲线和竖曲线重叠起来,则当高速行驶时,横向和纵向加速度是在时刻变化中交错进行,动力作用较为复杂,容易应起事故,设计时应尽量避免这种组合。
交通事故如同疾病一样,也需要采取“治疗”和“预防”相结合的方式。以往我国在交通安全方面主要针对现有道路已发生事故且事故集中的位置进行鉴别和整治,这种对发生问题的道路进行“治疗”的方法在过去的几十年中一直被世界各国采用,并取得了明显的效果,但这毕竟是“亡羊补牢”的办法。为了达到“防患于未然”就应在高速公路规划设计时作好道路线形设计,从根本上给驾驶员提供一个安全、舒适的硬件系统。
五、 高速公路安全审计
为了更好地作好安全保障,将安全事故隐患消灭在萌芽状态,尽可能在事故发生前解决的问题不应留到事故发生后解决,能在设计阶段解决的问题不应留到道路建成后解决。因此,为了早期消除道路的不安全因素。随之产生了道路安全审计,道路安全审计是对处于规划、设计、施工及营运中的道路工程项目、交通工程项目或任何与道路用户有关的工程项目正式地进行安全检查,以发现项目潜在的安全隐患。它是由一个独立的、经专门训练的、具有相当经验的检查小组按有关规范实施,并提出被检查项目的事故可能性和安全性能方面的审计报告。早在1990年,英国运输部就决定对所有新建高速公路和汽车专用公路项目必须接受由独立机构负责的安全审计。1992年以后澳大利亚、新西兰等国也相继开始应用这项技术,澳大利亚在1994年完成了《道路安全审计指南》。目前已经应用道路安全审计技术的国家还有亚洲的马来西亚、欧洲的丹麦、荷兰等,其他一些国家也在考虑应用这项技术。我国交通部也已立项对道路安全审计进行研究,并已编制实施了《公路工程项目安全性评价指南》。公路工程项目安全性评价指南(JTG/B05―2004)实施指南中华人民共和国交通部公告第22号―关于《公路项目安全性评价指南》(JTG/B05―2004)的公告 《公路项目安全性评价指南》(JTG/B05―2004)及条文说明、公路工程安全设施设计技术规范、公路工程道路安全调查与分析评价标准、道路事故多发位置的鉴别指标与方法、公路工程安全运行优化设计与改造、道路安全评价及实施、道路安全常用系统分析方法和事故模型、道路安全信息系统数据库创新设计与GIS新技术应用等。
六、 高速公路的交通安全设施
一条高速公路除了有良好的线形设计外,为保证高速公路行车安全,通常在高速公路两侧及中央设置交通安全设施,如:护栏qiqi8.cn/(有的称护栅)、桥梁护栏、隔离设施、防眩设施、视线诱导设施、防噪声设施、照明设施及交通标志和交通标线等安全设施。通过这些安全设施的设置,不同程度从影响人、车辆等因素方面,有效地预防和防止了交通事故的发生率。
七、 结语
以上几点是笔者参考几位专家的著作,并结合个人多年参加高速公路施工管理的实践,谈了一些自己的体会,高速公路是社会经济发展的新生事物,其总体发展势头是非常良好的,但局部问题也不少,文中有不足或值得商榷的地方,望各位同仁批评指正。
参考文献
1 高速公路规划与设计.北京:人民交通出版社.1998
2 张廷楷编著.高速公路线形设计.上海:同济大学出版社,1997
文章编号:1004-4194(2015)07-122-02
大数据是以云计算为基础,通过信息存储、分享和挖掘,将大量、高速、多变的终端数据存储下来并分析计算,寻求解决问题的有效方法。随着军队信息化建设的不断推进,未来军事经济活动都将以数据信息流的形式展现和保存,产生的数据量增长迅速,数据种类和格式日渐丰富。面对一个个数量庞大、种类繁杂的数据信息源,审计机关不仅要具备对海量数据的采集和存储的能力,更重要的是能够迅速分析和挖掘数据,从中找出审计线索、发现问题、寻求对策。
一、大数据的定义与特征
根据维基百科的定义,大数据是指无法在可承受的时间范围内用常规软件工具进行捕捉、管理和处理的数据集合。对于大数据,美国著名的顾能公司给出了这样的定义:是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。随着大数据研究的深入,大数据概念的内涵和外延不断地产生变化,业界对其定义尚未完全统一。目前主流的定义基本是从大数据的特征出发,试图通过阐述和归纳这些特征来给出大数据的定义,其中比较有代表性的是4V。大数据的4个“V”有四个层面:一是数据体量巨大。从TB级别,跃升到PB级别。二是数据类型繁多。包括网络日志、视频、图片、地理位置等信息。三是处理速度快。1秒定律,可从各种类型的数据中快速获得高价值的信息,这一点也是和传统的数据挖掘技术有着本质的不同。四是只要合理利用数据并对其进行正确、准确的分析,将会带来很高的价值回报。业界将其归纳为4个“V”――Volume(数据体量大)、Variety(数据类型繁多)、Velocity(处理速度快)、Value(价值密度低)。大数据分析相比于传统的数据仓库应用,具有数据量大、查询分析复杂等特点,强调将数据结合到业务流程和决策过程中,部分类型的数据必须实时分析才能对业务产生价值。
二、大数据背景给军队审计数据分析带来的机遇和挑战
(一)大数据背景给军队审计数据分析带来的机遇
1.军队审计数据分析的认同感大为增强。军队审计部门作为综合性的经济监督部门,一直秉承数据说话的传统。审计报告中无论是综合评价,还是揭示问题,无一不是以数据为支撑的。在大数据背景下,海量数据离散地存储于不同信息系统中。可充分利用数据仓库、联机分析、数据挖掘和数据可视化等技术,对这些数据进行关联并深度挖掘分析,科学评估经费的使用情况和法规的实施效果,从而得出客观的审计结论。所有这一切都将得到各级党委和被审计单位的高度认同,从而进一步提升军队审计自身的地位。
2.军队审计数据分析所需的基础数据的获取将变得更为便利。在破除了军队内部协同思想理念上的障碍后,随着大数据技术发展,跨越系统、跨越平台、跨越数据流结构的技术将使军队内部纵向、横向部门得以流畅协同。军队审计部门不再需要“点对点”地与被审计单位进行联网,在内部局域网设定的许可权限内,可以直接查询和利用相关数据信息,极大地节约了审计成本;同时由于利用大数据技术,数据处理及分析响应时间将大幅减少,审计工作的效率将明显提高,可以同时对多个类别、多种领域的数据进行分析、处理。
3.军队审计数据分析将有助于提高党委决策的科学性和准确性,推动预测预警和应急响应机制建设,更加有效地规范军事经济活动。审计人员可以通过对历年海量数据的统计分析,挖掘出军事经济活动的特点规律,对各类违规违纪行为进行总结归纳,为党委建章立制提供参考依据;同时还能科学地评估管理规章的执行效果,从而帮助各级党委不断发现问题、整改落实。随着审计分析的进一步深化,审计分析将超越传统的数据分析方法,不但是对纯数据可以进行分析挖掘,对财务账表、报告等都可以进行深度挖掘、人工智能。
(二)大数据背景给军队审计数据分析带来的挑战
大数据在给军队审计信息化带来机遇的同时,也带来前所未有的挑战:一是实现资源统一规划和使用,必须以数据编码和信息标准统一、相互之间兼容互联为前提。由于目前缺乏制度依据,部门间横向协同难,原有的“信息孤岛”将给审计机关获取审计数据以及进行持续化审计造成困难。二是面对数量庞大、种类繁杂的数据信息源,审计机关不仅要具备对海量数据的采集和存储的能力,更重要的是能够迅速分析和挖掘数据,从传统的“经验依赖”转化为“数据依赖”,审计人员的数据驾驭能力将受到考验。三是审计业务流程大多以数据信息形式展现,资金流向更多体现为数据信息流的交换,使得违规违纪行为更加隐蔽和多样,微小的数据变动就可能造成经济损失。以往仅限于重点人员和财务的审计已经不能满足需要,抽样分析以及单一的财务账目分析也难以发现微小数据异常,这就要求审计机关对审计对象进行全面覆盖。四是审计机关作为军事经济运行安全的免疫系统,不仅要对已存在的问题进行查处和修补,还要对潜在的风险进行及时的揭示和抵御,更要通过大数据这个金矿,从更高层面、更全范围、更广视角为上级党委提供系统性、综合性、前瞻性的审计建议。
三、大数据背景下军队审计数据分析的策略
(一)明确工作目标导向,实施数据基础式审计
传统的以审计组划分的分散式审计模式已不能适应大数据背景下审计数据分析工作要求。首先,当前军队审计工作要建立健全制度、整合审计资源,结合审计人员的专业理论素养、实践工作经验、数据处理能力等因素,着手组建数据集中分析模式团队。其次,明确审计工作目标导向,按照“总体全面分析、重点业务分析、重点事项分析”逐层递进的思路,以系统全面的数据信息源为基础,坚持“面向业务需求、指导审计实践、推动数据分析”的原则开展审计数据分析工作。最后,要理清军队审计数据分析的工作思路,运用信息系统实施数据基础式审计方法,全面分析被审计单位在经济活动中存在的问题与不足,为军队审计工作的顺利开展提供数据支撑和技术保证。
(二)研判后台数据结构,掌握重点数据资源
在大数据时代,军事经济数据将呈现指数增长,挖掘重点及敏感数据审计的难度日益加大。做好审计数据的掘取、存储、处理与应用,对提高审计效率、实现分析结果的精准化具有重要作用。通过检查被审计单位内部控制制度,审查单位内部对不同业务数据的使用管理是否到位,数据库管理和安全操作制度是否完善,重点领域数据库常态监管措施是否严格,移动设备安全使用规程是否执行;依据数据库设计文档和数据注释等媒介,研究论证后台数据结构,确定重点、敏感信息数据库范围;采取穿行测试法、重新执行法、代码审查法、文档审查法等技术手段深入挖掘,切实掌握重点事项、信息、账表和报告间的勾稽关系。
(三)运用挖掘型分析技术,开展数据深度分析
目前军队审计中应用较多的是查询型分析和验证型分析,无法满足深刻揭示军事经济活动内在规律的现实需要,必须要引入挖掘型分析技术。挖掘型分析是利用数据仓库和数据挖掘工具进行的审计分析,主要有分类、回归分析、聚类、关联规则等方法。运用挖掘型数据分析技术,首先要做好审计数据的分类、存储、快速调用等工作,整合分析数据资源,搭建云数据存储平台,完善数据整理和研判机制,实现重点数据库间的兼容互联,共享审计云平台服务器运算能力资源。其次,要研发数据审计方法和分析工具,运用移动办公、云计算等技术对海量数据进行远程分析,深度分析审计疑点及问题线索,进而实现数据分析结果的精确化。
一、引言
我国于2011年7月1日开始实施的《社会保险法》规定了两个逐步实现,一是基本养老保险资金应逐步实现全国统筹,二是其他社会保险资金应逐步实现省级统筹。社会保险资金在保证真实完整的基础上,按照政府要求进行投资运营实现保值增值。随着全国社保基金理事会受托投资运营的社保资金规模越来越大,对社保资金实现保值增值的要求愈发强烈,社保资金审计在社保资金管理中发挥的监管和督促作用不断增大。
二、我国社会保险资金审计的现状
(一)因社保资金会计核算方面的缺失造成对其监管困难
目前,我国基本养老保险制度实行的是社会统筹与个人账户两者相结合的“部分累积制”模式。而我国《社会保险基金会计制度》要求社保基金的会计核算实行收付实现制。收付实现制造成应收未收的欠缴款项不能在表内反映,债权债务的账面数与实际数存在偏差,导致隐性债务成本和信息披露不足。两种不同的基金类型要求有各自的核算基础,采用同一套会计模式管理,造成社会保险会计理论与实务相矛盾;而在同一套会计模式下由一个部门披露,也往往使得相关数据大相径庭。
(二)审计的方式手段不适应审计环境的要求
随着社保资金审计环境及目标的变化,以及社保资金庞大的资金规模,繁多的运行环节,高重复、短时效的管理等特点,使得其运行管理深度依赖计算机信息系统。近年来“金保工程”在社保资金领域逐渐普及,而“金审工程”的发展则相对缓慢,虽然也取得了一些成效,但限于硬件与软件的缺乏,多数地方社保审计部门不能充分利用计算机技术提高审计效率。特别是软件开发不足存在的问题,影响社保审计工作的正常开展,曾出现社保专项基金审计软件与基金数据库不兼容的现象。
(三)社保资金监督机制不够健全影响审计效果
社保资金监督机制不健全,首先表现在预算控制尚不完善;其次表现在一些社保机构内部控制薄弱,如有些部门未分离控制不相容职务,未形成有效的“内部牵制”,某些部门在处理重大资金时无视集体决策,以个别领导的意见决定;再次传统的社保资金审计模式集中关注国家审计,而忽视注册会计师审计和内部审计在社保资金监管方面的作用;最后除在网上公布全国社会保险基金年度会计报表外,还没有专门的披露制度。
(四)社保资金管理不力影响全面审计的实施
一些政策在基金管理部门难以深入落实,具体措施不适合社保资金健康发展的要求。社保资金的各个环节存在不同程度的不足。如资金筹集环节,各地区各单位征缴的范围、基数、标准存在很大差异。由于社保机构软件不足,专业人员匮乏等,难以收集真实完整的第一手社保信息,再加上其他环节的管理缺乏,影响了社保工作的全局。
(五)社保资金审计人员综合素养不高影响审计质量和水平
现有审计人员综合素养不能适应社保资金审计的需要,审计内容与对象的复杂性与审计力量薄弱相矛盾。实践证明,审计人员若想实现高质量的审计目标,离不开“高理论、精专业、熟技能、高品质”,四者皆备才能发现更多的违规违法问题,进而做出精准判断和深度分析,并出具高精准的审计报告。而现状是审计人员首先在对政策理解及理论学习、分析问题解决问题的能力方面远远达不到社保资金审计的要求,其次对现代审计技术的有限了解制约着审计业务质量和效率的提高。
三、加强社会保险资金审计的对策研究
社保审计是保证社会保险资金正常运转的“免疫系统”,笔者认为,要加强社保资金审计应重点从以下方面入手:
(一)加强社保资金会计核算和财务管理,推进社保审计工作顺利进行
改进社保资金会计的基本方法是实现两种资金的分账管理和分别核算,并以此为基点,建立两套会计制度。会计制度设计时,还应考虑各级政府间的社会保险责任,避免责任缺失及混乱的情况。实行权责发生制是个人账户基金核算的发展要求。在具体核算中应该把现收现付制和权责发生制结合起来,对当月实际实现收付的项目采用现收现付制,对当月未实现收付的项目采用权责发生制,联合反映社保资金收支、权益和资产负债的实际状况。
(二)改进审计方式和手段,发挥社保审计功效
在风险导向审计的基础上,还应把预算审计、经济责任审计相结合,实现全面审计。具体应做到:
1.报表审计与专项审计相结合。报表审计主要是查错纠弊;专项审计则是审查社保资金是否落实到位,实现专款专用。合理结合两项审计,不仅可以整合审计资源,还关系到国家审计监督工作的大局。
2.经办机构审计和延伸审计相结合。职工所在单位及其个人的支付是社会保险基金筹集的主要途径。在对社会保险资金筹集的审计过程中,只有拓宽对支付对象的审计,才能找出单位是否有偷漏瞒报社保资金行为的线索。
3.上级审计与同级审计相结合。将上级审与同级审结合起来可以了解社会保险资金在各个环节的落实情况,建立健全现行社保资金审计的制约监督机制。
4.真实安全审计与效益效果审计相结合。真实安全是审计的切入点。当前,我国社保资金管理对保值增值的需求强烈,效益效果审计成为现代审计工作的新要求。5.传统审计方法与计算机联网审计相结合。审计人员应运用社保审计分析系统,建立“联网取数、集中分析、发现疑点、分别核实”的社保审计模式。实现三个结合:一是快速采集与准确转换相结合,显著提高数据处理效率;二是实时监控与动态预警相结合,第一时间洞悉并审计违规事件;三是远程审计与现场审计相结合,不必去现场便可确定审计重点、锁定疑点线索。此外,还应从单一行业联网审计扩展到多行业联网审计,实现跨级层、跨行业、跨险种数据之间的三大关联,从单纯的数据审计到数据审计与系统审计相结合。
(三)建立健全社保资金审计监督机制,完善社保资金内部控制
首先,应继续统一和完善社会保险预算制度,使社保资金保持收支均衡。其次,建立健全社会保险资金的内部控制制度,加强其财务管理和会计核算,保持资金安全完整,以便实现保值增值。再次,建立以国家审计为主,以注册会计师审计和内部审计为辅的审计模式。社保审计应继续发挥国家审计的主导作用,以内部审计为基点,通过社会审计有利补充前两者的不足,加快审计总目标的实现。最后,还应切实抓好审计项目立项,积极推进审计结果公开,增强社会保险资金审计的透明度和公开度,改变重审计而轻整改的现状,有效落实审计整改并通过新闻媒体予以公开,充分利用社会力量监督审计工作整改情况。
(四)规范社保基金管理审计的内容,开展全面审计
社会保险资金管理审计主要包括三个阶段,即筹集、支付、管理和运营阶段。
1.筹集阶段。重点审查社会保险经办机构是否依据政策要求逐步扩大社保的覆盖范围,及时足额筹集;各缴费单位是否存在偷逃、漏缴、转移或瞒报资金收入的情况;征缴基数和比例是否合乎规定;是否擅自对企业社保减缓免等。
2.支付阶段。重点审查社保经办机构是否及时、足额分配;是否存在截留、拖欠;是否达到专款专用;是否存在违规套取、虚列开支、挤占转挪、虚报冒领资金的情况;是否实现了专款专用。
3.管理运营阶段。重点审查各项社会保险基金的安全和保值增值。审查社保各相关部门内部控制制度是否薄弱;财务管理和会计核算系统是否健全;是否能够揭示显性损失和隐性损失;是否实现安全运营,是否采用有效的保值增值方法;是否存在资金安全隐患等。
(五)全面提高社保资金审计人员素质,保证社保审计工作的质量
审计人员高精准的专业素质是顺利完成社保审计的重要前提,审计人员应在多方面提高自身素质。一是组织政策理论学习,提高审计人员对政策的把握度,丰富理论知识;二是增加审计人员计算机联网审计的培训。在审计技术方法上,不仅要掌握计算机硬件、软件和处理系统的知识,还要深入学习电子数据影响内部控制和审计程序的途径,最终全面更新传统方法,实现向计算机联网审计的转变。
四、小结
在社保资金审计中,社会保险的公平性也是一个不容忽视的问题。只有实现了公平,社保审计“免疫系统”功能才能真正得到发挥。在具体审计中,审计人员还应从社会保险制度的制定和执行方面进行分析,并通过分析、对比实际取得的审计数据,得出某个制度在某个方面是否实现公平的判断。
计算机审计是一门理论性和操作性都很强的课程,它要求学生具有独立分析判断问题的能力以及具有处理实际问题技能[1]。在审计实务过程中,需要多种综合技能对被审信息进行专业判断,其分析途径具有不确定性和不唯一性。此外,随着审计范畴的不断外延,审计涉及的知识领域也越来越广泛,理论课程中所讲授的基础知识是分散和广泛的,导致学生对所学的审计知识感到零散难学。而实践课部分由于缺乏高仿真的审计环境,部分高校的实践课程甚至沦为了某种审计软件的培训,过于注重单一软件使用的训练,而忽视了对课程相关知识融会贯通的综合能力培养。审计实务教学还面临着实习的业务范围较狭窄,不能纵观全局。此外,跨学科发展力度也显不足,财经类审计专业的学生仅停留在通过计算机二级考试的水平,对软件设计和信息安全等较专业的知识点了解甚少。
为此,该文提出在计算机审计课程的教学活动中强化体验式实践,结合支架教学理论来构建基于审计实务仿真的学习平台,强化实践教学的体验式学习。通过信息化手段来构建高度仿真的审计环境,并在系统中引入对抗竞争,利用多种激励手段来强化学生的体验感,激发自主学习意愿[2]。学生在审计信息化学习平台中通过个人阐述、团队点评等多种方式来相互促进对较抽象的理论知识的理解。
2 构造审计信息化学习平台
审计信息化学习平台的设计包括模拟审计实务环境的模拟和自主学习平台两部分内容,两者的结构关系如图1。学习平台的构造基于以下几个方面:
2.1 创建审计仿真情景,提供以目标任务为驱动的学习环境
学习平台利用信息化手段将抽象的课程内容融入审计实务的仿真环境,提供与学习内容相关的任务目标和审计背景,以目标任务为驱动、以审计背景为基础来激发学生按需的对知识进行自主学习的动力。对完成审计任务所需的学习内容的支撑上,将课堂的教学内容和与课下的相关学习资源按照目标任务需求来设计,强化学习资源的针对性和启发性。并按审计主体设计国家审计、内部审计和注册会计师审计三种类型的审计实务场景,来适应不同教学对象的使用。并利用信息技术来实现实时智能交互,环境系统根据学生的状态来动态调整阶段目标,有利于学生主动探索式学习。在学习资源的支撑上,通过按场景和阶段提供相关内容外,还通过人工智能技术来模仿座谈会和相关人员询问时的场景来间接提供帮助,激发学生的学习兴趣。
2.2 自主学习与协同分工策略相结合
强化学生的自主按需学习,使学生通过完成审计目标任务的过程来掌握相关知识点。此外,学习平台中同时强调团队协助,鼓励学生之间开展协作任务,通过目标任务来组建审计工作小组,小组成员按审计任务分工。通过分工合作和互相讨论,强化学生个体在团队中的认同感;同时通过共享团队的思维成果,取长补短,能够获得对知识更全面和正确的理解。
2.3 建立团队任务
团队任务的设计从简单的脑力激荡到复杂的策略问题都有涉及。结合审计特点,该文沿袭McGrath与Hollingshead(1994)的研究方法设计,要求学生完成群组项目,这个项目发展的过程被分为四项活动:1)审计方案的初步构想;2)选择适当的完成方法;3)讨论协商方案的进行;4)执行方案。在第一个活动中的成员必须以脑力激荡的方式找出审计项目的方向,并且设定团队的目标。第二个活动是团队在期中提出完整的审计方案计划书,内容包含审计项目的进行方式、组员的工作分派与协调,以及项目自我检查的时程设定。第三个任务是收集审计项目所需的资料以及与其他成员互动讨论,或是监督项目进行的工作等。最后是在期末完成审计项目执行、撰写报告,以及上台解说报告。这种在成员之间形成的相互影响、相互促进的团队,具有弥补个体独立学习的社会感不足的功能;建立目标任务共同体有利于使学生在完成目标任务后而建立自尊和归属感,以及人际间的交流沟通能力的强化[3-4]。
2.4 发挥教师的调节与主导作用
教师的调节与主导作用直接影响着学习平台的实施效果,它是“支架”能否充分发挥最大作用的关键。教师通过支持、引导、监控、调节和评价等手段,依据学生的个人任务和群组任务的完成进度情况来调节教学内容。教师通过与学生的交互和进度报告来分析各个团队的不足,并间接帮助学生进行目标任务的合理分解与最优重组,鼓励学生团队间的协作,引导学生主动发现问题所在并应用所学知识来自主解决。通过智能算法对团队完成的阶段任务进行实时评估,并以公告、奖励等方式来强化不同团队间的竞争意识。团队成员们能够在相同的价值观与规范中,提升团队合作的效率。利用合理有效的目标评价方法,使评价能对学生学习情况的监控起到外部激励作用。这种作用的最终目的是实现学生能在学习中进行有效的自我监控和自我调节,尤其是在自主学习的环境下学生能产生持续的主观能动性。所以平台的核心是要通过教师、团队及任务反馈来支持学生自我调节、自我监控的学习,并诱导学生选择适合的学习策略,并随学习情况不断调整,最终掌握知识提高能力。
审计项目的设计是教学活动的重要环节,完成任务的过程不仅是对理论知识的应用,更是对实际审计方法的训练和审计判别能力的培养,它包括分析能力、综合及解决问题能力、协作能力等。通过这种仿真审计项目的方式可以弥补课堂教学中对实践应用能力培养的不足,有利于加深对理论知识的理解,启发学生深入思考,敢于创新,达到理论指导实践,实践再提升理论的良性循环。信息化教学平台以“支架”理论为基础,以审计项目为导向[5],以综合培养学生的知识和技能为目标进行建构设计,其建构方法如图2 所示。
3 教学实施
3.1 明确教学目标
明确教学目标首先要结合学校和本专业的人才培养整体目标,《计算机审计》课程教学目标要和本专业人才培养目标相一致。国内高校对《计算机审计》课程教学目标的定位主要包括三个层次:应用型、实施性、开发型。通过审计实践中发现,由于目前审计软件多是工具式的软件,当审计软件没有提供某种功能时,往往需要审计人员自行设计一些小程序来提高审计效率。因此,我校计算机专业(计算机审计方向)指定的培养目标是以培养高级的应用型审计人才为 主。按照专业培养目标,明确了《计算机审计》课程教学目标:高级应用型计算机审计人才,即具有熟练实施和一定开发能力的计算机审计人才。
3.2 对实践教学内容设计
结合审计实务的需求,依据教学进程把学科知识点按逻辑关系贯穿到教学的各个阶段,并以此来设计实验教学内容。比如将销售与收款循环、购货与付款循环、生产与仓储循环、筹资与投资循环、货币资金循环这五大循环作为财务报表审计分析的主线进行知识点设置。在系统安全审计分析中涉及到主机安全、网络安全、数据库安全、环境安全等审计点的关键技术设置。
3.2.1 根据知识点设计实践中的审计点
根据《计算机审计》课程知识点分布,可以发现审计实践过程中前后具有较强的逻辑连贯性。所以为培养学生发现问题、分析问题和解决问题的能力,在实践过程中要根据知识点来设置学习平台中的审计问题点。审计问题点设置注意三点原则:①必然性,学生在随后的学习过程中能够验证所发现的审计问题;②可逆性,通过审计发现的问题能够推导出问题最初所在的根源;③逻辑连贯性,将多个问题小的审计发现关联起来后,将导致更大的审计发现。例如职责分离不明确、网络安全缺少行为监控、补偿性控制失效,这些问题的累加将可能导致银行欺诈案的发生。
3.2.2 根据知识点分类设置主题讨论
围绕某一类型的知识点进行深入的主题讨论。讨论主题设计原则:一则根据审计实务操作的进程和涉及知识点类型进行由浅入深的引入型主题;二则主题的设置具有较强的逻辑性和关联性;三则主题要贴合教学重点和难点的分布;并体现审计实务过程中的真实情况。讨论主题在系统资料中并没有直接答案,正确结论的是要通过学生逐步深入思考而后所领悟得出的。根据审计实务各阶段的知识类型来设计讨论主题。比如被审计系统的收费算法的合理性检查方案上可以引入讨论主题:用测试数据法、平行模拟法、受控处理法,还是别的什么方法?通过主题讨论引导学生思考,如:平行模拟法中程序如何编写,受控处理法中控制条件如何设计,如何利用立体科目以及如何利用钩稽关系进行辅助核算等。
优秀的讨论主题能够激发学生的学习兴趣、并能够有效的训练和培养学生发现、分析、解决问题的能力,并形成良好的团队精神。
3.3 教学流程
教学过程中,按照审计实务的过程进行仿真。首先,教师进行审计项目的基本背景介绍,然后通过学习和收集信息来形成审计实施规划并公开“海选”竞争审计组长;并由教师最终确定每组的组长,然后由组长挑选组员按每组4人的配置成立审计组。小组分好后,利用学习平台开展小组竞争,通过竞争来提高学习动力,发展学习兴趣。审计实践中通过学习平台来跟踪完整的审计日记、审计发现、审计底稿、审计取证单等规范文档,并通过BBS子版块的形式开展每组的内部交流,每次集中讨论都可邀请教师参加进行旁听或者进行适当的引导。审计过程中的检查节点如:实施方案、审计发现问题、审计问题落实、审计报告形成、审计成果汇报等环节都将进行多组间的综合评价。评价将围绕着团队奖励、个人责任和平等的成功机会这三个方面进行开展。
4 学习评价子系统的设置
学习评价作为学习平台的反馈调节机制,是教学环节中必不可少的一环。通过评价系统提供的学生学习过程和审计任务的阶段成果数据进行综合分析和反馈;通过评价系统可以对学习过程的各个环节进行有效的监督控制和价值判断。此外,自主评价模块能让学生及时了解当前阶段学习和发展存在的优势与不足,通过不断调整来改进学习方法提高学习效率,使学习进入良性循环。优秀的评价系统是保证学习平台中学习质量和效率的有效措施,是学习平台设计的重要组成部分[6]。在学习平台中,针对学生不同的个性学习需求并进行综合评估,学习评价系统的设计遵循如下几个方面:
1)将学习评价系统作为一种监控手段,来调节和控制不同层次不同阶段学习任务
部分学生在学习中会存在一定的心理困难,例如孤独、焦虑、迷茫等等。此外,自主学习环境相对自由松散,对学生的自我控制能力提出了更高的要求。在没有一定的外部控制条件下,一些自我控制能力较差的学生,会造成学习质量和效率的下降。针对这种情况,学习平台利用情绪识别模块并结合在线任务的激励和团队间的认同感来进行学习的综合评价,将评价作为学习平台监控的一种外部手段,让学生感受通过到学习平台获得的成就感,并乐于接受引导和帮助。同时,评价系统按阶段给学生提出有针对性的反馈意见,强化学生的自我管理意识和自信心,使学习的兴趣能长期保持。
2)实施综合评价,对学习效果进行全方位的价值判断
评价标准多角度:实施多角度评价标准,综合学生的各方面的能力进行评价。评价角度不仅关注知识技能的掌握,也关注学生能力、情感、态度、协作精神等方面,从更深程度上关注学生的个性发展,依据每个学生的特点进行评价,有利于学生个性的发展。
评价构成多元化:评价内容中不仅有教师评价,还扩展了自我评价、同组同学评价、和异组同学评价综合构成。这种多元化摒弃了以往学生只是被动地接受评价的情况,从主观上调动了学生的学习主动性。将自我评价、团队互评和教师评价有机结合起来,从不同层次、不同角度给学生做出更全面、客观的评价。
评价信息利用的多角度:评价信息的处理方式可以分为定性分析和定量分析两种。两种方式各有所长:定性分析更适宜面向过程,帮助被评价者改进不足;定量分析适宜总结结果,得出比较。因此评价信息也通过多角度的解读其评价特性,反馈到学习平台的各个调节阶段。
评价方法多元化:学习评价是一种面向结果又是一种面向过程的评判,但更应注重衡量与分析学生的学习过程,综合形成性评价和总结性评价,以得到较准确的评价。形成性评价是对学习过程的及时反馈,总结性评价是对学习结果的综合评定。
3) 注重形成性评价
①互信息为基础进行准确评价
利用系统交互功能,学生可以通过同步和异步方式与教师或团队间进行学习内容、学习方法、最近的审计线索等内容的交流。而学习平台则通过收集用户的交互信息,了解个体学生状态和团队进展程度,综合分析后形成准确度较高的指导性评价意见。学生 通过评价意见,可以清楚的知道自己学习中存在的问题和团队的整体情况。此外,将评价功能与系统交互功能融合,使评价成为交流平台的一部分,是评级内容更容易被学生接受。
②用趋势分析的评价功能
趋势分析是一种目前使用较多的评价方式,其合理性已经得到了普遍的认可。它是一种充分利用了信息化的优势,面向学习过程和学生发展的评价手段。趋势分析通过图形化的结点记录的学生学习过程,是将学习过程、学习结果及学习变化的集合体,它可以直观展现学生的学习经历、探索过程、取得的进步、存在的问题等诸多方面。学习平台的趋势分析模块运用回归分析法、指数平滑法等方法来对学生学习状态和发展趋势进行分析预测,并对可能的发展结果给出评价。
4)教学方案设计
合理的教学方案是学习平台的成功关键,教学方案的设计主要考虑教学内容、审计任务仿真情景、激励和对抗的评分点等。
①仿真情景设置
环境的仿真度对于学生的实践行为有很大的影响。在教学活动中, 需要创造一个让学生充分参与的环境。环境分为硬环境和软环境:硬环境就是通过图片、语言、空间的布局来塑造一个真实审计任务的工作氛围;软环境是一种很难看到,但可以感知的环境,比如团队氛围、精神等。
在能力培养环节中,需要创造一个真实、信任、合作、竞争的环境。环境的构建要有利于进行完成目标任务所需的团队协助。其次,同时利用学习平台的信息化手段,对团队的名次和任务完成进度进行实时展现,并产生阶段性简报,让学生增加对团队的凝聚力和认同感。最后,在目标任务的安排上,除了考虑个人任务外,还要安排团队任务。团队任务既可以整合多方面知识以解决问题,同时也增强了团队的合作意识。
②组间对抗的引入
对抗是一种竞争,通过竞争可以利用学生的集体荣誉感来提高学习效率。在目标任务的完成过程中,需要刻意营造一种对抗的机制,通过适度的竞争压力让学生自发产生竞争意识并从中获得成就感。
③合理的激励机制激励是诱发学习的直接动力。在学生完成审计目标任务的过程中,结合目标任务的特点,并按相关知识点多寡与难度设定相应的积分或成绩奖励,来调动学生的兴趣并使之获得强烈的成就感。奖励的设计覆盖面要广,如最快进步、最佳团队、最佳分享、最有价值等;还可以将激励范围从课堂延伸至全校乃至全国,如针对审计方法开设校级、国家级专业专项竞赛。
5 结束语
为提高审计课程教学效果,在深入研究支架式教学理论的基础上,利用信息化手段将建构主义的支架式教学模式融入审计信息化学习平台的构造中。以审计任务仿真为基础,以准确、多元的评价为核心,以信息网络为工具的自主学习平台的建设,有利于提高学生探究式的学习能力和培养团队间的协作精神。这种教学模式在我校的计算机审计课堂中取得了良好的教学效果,有必要在更大的领域进行推广。
参考文献:
[1] 陈伟. 计算机辅助审计实验教学探析[J].中国管理信息化,2009(1):100-103.
.电化教育研究,2011(9):68-74.
[3] 高洁.个体高效率网络学习的支持服务策略分析[J]. 中国教育技术装备,2011(15):149-151.
[4] 李运福,傅钢善.网络学习中反思性学习及模型研究[J].现代教育技术,2012,22(2):99-102.
