时间:2023-03-03 15:53:12
导语:在大数据审计论文的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
>> 基于CNKI的大数据研究现状的可视化分析 基于cite spaceⅢ对于大数据研究的可视化分析 基于卫星地图的雷电故障可视化分析 基于Cite Space的内部审计可视化分析 国际商务会话研究现状的计算机可视化分析 我国智慧档案馆研究现状与热点的可视化分析 区域发展研究现状与前沿的可视化分析 基于CiteSpace的竞争情报研究的可视化分析 基于中国知网的“和”文化研究文献的可视化分析 基于Maps API的可视化分析系统的研究与实现 基于CSSCI文献的我国翻转课堂研究的可视化分析 基于CiteSpace研究科学知识图谱的可视化分析 基于CSSCI的专利论文研究热点可视化分析卢章平 基于引文耦合的数字图书馆研究结构可视化分析 基于CSSCI的我国管理学研究热点可视化分析 基于文献计量的研究机构情报可视化分析 基于知识图谱的mashup研究可视化分析 基于Transana平台的教师专业发展可视化分析案例研究 基于知识图谱的国内高等教育管理研究可视化分析 图书情报学合著网络研究:基于CSSCI基金论文的可视化分析 常见问题解答 当前所在位置:l.
[11]Chen, C.M. CiteSpace II: Detecting and visualizing emerging trends and transient patterns in scientific literature[J]. Journal of the American Society for Information Science and Technology, 2006,57(3): 359-377.
[12]吕巾娇等. 活动理论的发展脉络与应用探析[J].现代教育技术, 2007,(01): 8-14.
[13]Xu, Y. and D. Wang. Order effect in relevance judgment[J]. Journal of the American Society for Information Science and Technology, 2008. 59(8): 1264-1275.
[14]Xu, Y.The dynamics of interactive information retrieval behavior, Part I: An activity theory perspective[J]. Journal of the American Society for Information Science and Technology, 2007,58(7): 958-970.
[15]Xu, Y.J. and C.L. Liu. The dynamics of interactive information retrieval, Part II: An empirical study from the activity theory perspective[J]. Journal of the American Society for Information Science and Technology,2007, 58(7): 987-998.
[16]侯剑华等.国际科学技术政策关键节点文献演进的可视化分析[J].科学学与科学技术管理, 2008(11): 10-14.
一、充分发挥审计教育界的智力优势
审计教育界集中了一大批审计、会计、财务管理、信息系统审计等专业的教授、学者。他们学有专长,理论功底好,学术造诣高,具有智力优势和人才优势,是推动上海审计事业科学发展的宝贵资源。要采取有效措施,充分发挥审计教育界在审计理论研究、审计学术交流、审计人才培养等方面的重要作用,为上海审计事业科学发展提供智力支持。
(一)审计理论研究方面。
一是吸收高校教师参加审计课题研究。就上海市审计局而言,目前承担的课题研究包括审计署重点科研课题、上海市科技发展基金软科学研究项目、上海市审计局审计科研课题;就上海市审计科学研究所而言,目前承担的课题研究包括上海市人民政府决策咨询研究重点课题、审计署审计科研所科研协作课题、上海市审计科学研究所课题;就上海市审计学会而言,目前承担的课题研究包括中国审计学会合作课题、上海市社会科学界联合会学会学术课题研究合作项目等。2014年,上海市审计局、上海市审计科学研究所、上海市审计学会共完成各类审计科研课题41项。开展审计课题研究,课题组成员要做到审计人员、审计科研人员、高校教授专家“三结合”,以提高课题研究水平,努力使上海审计科研工作走在全国前列。多年来,上海市审计局、浦东新区审计局、徐汇区审计局、松江区审计局等审计机关注重吸收高校教师参加审计课题研究,取得了良好效果。
二是鼓励高校教师参加社会招标审计课题研究。2014年起,上海市审计局和上海市人民政府发展研究中心联合上海市人民政府决策咨询研究审计专项课题年度招标,两年共向社会公开招标“国家审计促进政府自身建设的作用和途径研究”、“自然资源资产负债表与领导干部自然资源资产离任审计研究”、“大数据环境下的审计方式和技术创新研究”、“审计在法治政府建设中的作用和途径研究”等课题4项,共有7个高校教授专家组成的课题组参加课题投标。高校教师在社会招标审计课题研究中崭露头角。
三是特邀高校教师担任审计科研机构特约研究人员。为加强审计科研队伍建设,2008年12月和2013年3月,上海市审计科学研究所先后两届在全市审计机关聘任特约研究员37人和56人。特约研究员的主要任务是:以优化组合的方式组成课题组,承担审计署下达的重点审计科研课题研究和市审计局立项的部分重点审计科研课题研究;承担市审计科学研究所委托的其他审计科研工作。今后可根据需要,聘请高校教师担任上海市审计科学研究所特约研究员,进一步发挥高校教师在审计理论研究中的重要作用。
四是特邀高校教师参加审计课题立项评审和结题评审。目前,上海市审计局已特邀高校教授参加上海市人民政府决策咨询研究审计专项课题立项评审和上海市审计局审计科研重点课题结题评审。今后可更多地特邀高校教师参加审计课题立项评审和结题评审,以加强课题研究质量把关,促进提高审计科研水平。
(二)审计学术交流方面。
一是特邀高校教师参加审计专题研讨会或论坛。2012年12月,上海立信会计学院、浦东新区审计局联合举办“浦东审计创新论坛”,收到良好效果。2015年,中国审计学会将举办“金融审计与区域性金融稳定”等专题研讨会。同时,还将举办以“加强审计创新,完善审计制度、保障依法独立行使审计监督权”为主题的第三届全国审计青年论坛。上述专题研讨会和论坛将邀请各有关高校教学科研人员参加,以推动深化审计理论研究,加快青年审计人才培养,为审计人员和高校教学科研人员建言献策、展示风采搭建平台,促进审计事业健康持续发展。
二是鼓励高校教师参加优秀审计论文评选。为推动群众性审计理论研究,上海市审计学会坚持每两年组织开展优秀审计论文评选。在2011年至2012年优秀审计论文评选中,高校人员获奖论文有5篇,占获奖论文总数的29%;在2013年至2014年优秀审计论文评选中,高校教师获奖论文有4篇,占获奖论文总数的22%。
三是特邀高校教授举办审计学术报告会。为加强审计学术交流,2011年11月和2012年11月,上海市审计学会举办审计学术报告会,先后邀请复旦大学李若山教授、北京国家会计学院秦荣生教授作“经济发展方式转变与国家审计”、“关注云计算发展对会计、审计的挑战”学术报告。两场学术报告会作为上海市社会科学界联合会“学会学术活动月”系列活动,受到听众好评。
四是加强审计科研机构学术交流。目前,除上海市审计局设有上海市审计科学研究所外,上海国家会计学院也设有审计研究所。要加强审计科研机构之间的学术交流,充分发挥审计教育界在审计理论研究方面的优势。
(三)审计人才培养方面
一是举办审计业务培训班。2014年,依托上海立信会计学院办学条件和师资力量,浦东新区审计局在审计业务培训方面作出了探索。2015年,上海市审计局将举办“行政事业单位新财务会计制度与内部控制规范”培训班,邀请上海经济管理干部学院教授授课。为加强审计机关审计业务培训,今后上海市审计培训中心可建立高校师资库。
二是举办审计业务讲座。近年来,上海市审计局有关审计业务处分别邀请复旦大学、上海大学、南京审计学院、上海交通大学等高校教师,为审计人员作“资源环境审计研究”、“高校审计研究”、“计算机审计”、“计算机审计中级培训”等业务讲座,促进提高审计机关审计人员业务水平。
三是举办内部审计人员后续教育培训班。2014年,上海市审计培训中心邀请上海立信会计学院教授,为内部审计人员后续教育培训班学员讲授“内部控制与监督”课程,促进提高内部审计人员业务水平。
四是举办审计专业技术资格考试考前辅导班和参加高级审计师资格评审。上海市审计培训中心每年邀请南京审计学院教授,为本市审计专业技术资格考试考前辅导班学员作初、中级审计师资格考试考前辅导和高级审计师资格考试考前辅导,受到好评。同时,上海市审计局聘请高校2名教授担任上海市审计系列高级专业技术职务任职资格评审委员会委员。
二、充分发挥审计实务界的实务优势
上海审计实务界具有较为雄厚的审计力量。截止2014年底,在国家审计方面,除审计署驻上海特派员办事处外,另有上海市审计局和17个区(县)审计局,共有审计人员1 023人;在内部审计方面,全市共有内部审计机构1 626个,配备专、兼职内部审计人员5 421人;在社会审计方面,全市共有会计师事务所322家,拥有注册会计师5 830名。审计实务界的不少从业人员毕业于高校审计、会计等专业,努力报效母校是广大审计实务界人员的心愿。审计实务界要充分发挥自身优势,为高校审计专业在教学、科研、实习、就业等方面的发展提供广阔舞台,努力做审计教育界的坚强后盾,成为审计教育事业发展的重要基地。
(一)适当参与审计教育活动。高校审计专业教育旨在培养具备良好的政治思想素质和高尚的审计职业道德素养,系统掌握现代审计学基本理论及相关领域的知识和技能,具有开阔的国际视野、较强的专业实战能力、能够创造性地从事政府审计、注册会计师审计和内部审计工作的高层次应用型审计专门人才,为审计实务界补充人力资源。审计实务界拥有一大批实务经验丰富的审计人员,每年完成审计项目数以万计。他们来自审计一线,掌握审计信息和动态,了解审计实践与需求。审计实务界人员适当参与高校审计教学活动,理论联系实际,可以为审计教育注入动力,增添活力。具体参与形式包括审计实务界人员参加高校审计专业教育指导委员会或担任行业专家,为提高审计教学水平建言献策;担任研究生校外导师,指导研究生论文写作;开设研究生讲座,担任研究生暑期学校或论坛师资,传授审计知识和实务技能;参加研究生招生复试和毕业论文答辩,促进提高审计教育质量。
(二)为高校审计专业教学提供参考资料。审计实务界有着强大的审计法规库、鲜活的审计案例库和有效的审计经验库,可为高校审计专业提供教学参考资料。近几年来,上海市审计局先后编著和公开出版了《审计案例集》、《审计案例选编》;浦东新区审计局先后编著和公开出版了《画说审计》、《审计门诊》、《案说审计》。这些审计出版物深入浅出,通俗易懂,具有很强的实践性,可供高校审计专业教学参考。
(三)为高校审计专业学生提供实践基地。高校审计专业是应用性很强的学科,只有注重实践操作,学以致用,才能学有所成。审计实务界要发挥自身优势,为高校审计专业学生提供实践基地。以上海立信会计学院为例,在国家审计方面,目前浦东新区审计局、松江区审计局成为其审计专业学生实训基地或实习基地;在内部审计方面,目前上海汽车集团股份有限公司、上海市教育委员会审计中心成为其审计专业学生实践基地;在社会审计方面,目前立信会计师事务所、沪港国际咨询集团成为其审计专业学生产学研基地或实践基地。通过高校审计专业学生参与审计项目和审计机构审计人员现场带教,使高校审计专业学生接触审计实践,将所学知识转化为审计技能,为增长才干、实现就业创造条件。
三、充分发挥审计学会的桥梁纽带作用
上海市审计学会是本市审计科学研究的学术团体,主要涉及全市国家审计、社会审计和内部审计领域的理论和实务研究。市审计学会理事会已历经八届,现有个人会员660人,单位会员7个。市审计学会内设学术委员会和秘书处。学术委员会职责是协助秘书处组织、指导研究活动,审定研究成果;学会秘书处具体负责学会日常工作。要充分发挥市审计学会的桥梁纽带作用,为审计界“四路大军”加强审计理论研究和学术交流,共同推进审计事业科学发展搭建平台,搞好服务。
(一)加强市审计学会在高校的组织建设。2008年以来,市审计学会已发展高校人员95人为市审计学会个人会员,已吸纳7所高校审计系(学院)为市审计学会单位会员。在市审计学会本届理事会86人中,高校人员9人,占10.5%;在市审计学会本届常务理事会23人中,高校教授3人,占13%;在市审计学会本届学术委员会11人中,高校教授5人,占45.5%。今后要继续大力发展高校中青年教师为市审计学会个人会员,切实加强市审计学会在高校的组织建设,发挥市审计学会的平台作用,为审计教育界加强与审计实务界的联系创造条件。
【关键词】商业银行 内部审计体系转型 研究
一、商业银行内部审计体系转型的理论基础与国际经验
(一)基本定义
商业银行内部审计是指在董事会的领导下,以独立机构和专职人员为基础,以相关法规、制度为依据,运用专业化审计技术和规范化审计流程,针对银行内部控制有效性及风险治理状况所进行的客观的监督、评价和确认、咨询活动,是银行全面风险管理体系的重要组成部分。
商业银行内部审计体系是商业银行为保证内部审计活动顺利开展而提供的相关体制、机制、制度和各种工作要素的整体,包含内部审计的管理体制、工作职能、运行机制、工作标准、工作流程以及审计技术、人员保障等有机组成部分,涵盖了内部审计从管理、思路到执行、运作的各个方面。本文所指的商业银行内部审计体系转型,是商业银行为提高内部审计效能,所采取的一系列改革、创新、调整措施,是一项综合型的系统工程,对保障商业银行内部控制有效性、加强全面风险管理将产生重要影响。
(二)商业银行内部审计体系转型的理论基础
1.转型经济学在关注国家、社会和文明发展转型的同时,也强调微观经济主体在发展中要注重转型和改革。转型经济学是20世纪80年代末90年代初,适应前苏联和东欧各国经济转型需要而发展起来的经济学研究学科,虽然其研究对象主要为体制的转型、国家或社会的转型以及文明的转型,但作为一门综合性学科,其理论涉及经济转型过程中的各种具体经济问题,包括企业的转型与改革,并把企业转型的研究领域涵盖到企业产权改革、绩效改革、组织结构、激励机制等一系列重要问题。当前我国经济正经历着市场化、现代化和国际化的深刻转型。商业银行作为金融企业的一员,要在经济新常态和信息化潮流中生存和发展,同样需要推行自身的市场化、现代化和国际化转型,而一个适应银行新的发展战略和风险控制状况的内部审计体系,对保障商业银行转型目标的实现非常重要。因此,商业银行内部审计体系的主动转型,是商业银行深化改革,实现健康可持续发展的必然选择。
2.全面风险管理理论强调企业有效识别和管理风险应覆盖企业各项活动的全过程。2004年4月,美国执业会计协会下面的柯恩委员会颁布《全面风险管理框架》(ERM框架),提出企业要确定自身的风险偏好,并有效识别和管理可能影响其发展的潜在风险,保证既定战略目标的实现,而对风险的管理应包含从战略制定到各项活动的全过程①。ERM框架适用于各种类型的企业或机构的风险管理,是贯穿整个组织的持续性的过程,用以识别、评估并确定如何应对及报告影响组织实现目标的机遇和威胁。商业银行是经营风险的特殊企业,发展中面临战略风险、信用风险、市场风险、操作风险、国别风险、科技风险、声誉风险等诸多风险,且在社会深化转型的过程中,所面对的风险的复杂化和聚集化程度也大幅上升。商业银行实施内部审计体系转型,促进内部审计与转型发展战略相适应,有助于商业银行构实施有效的全面风险管理,保障战略目标的达成。
3.银行再造理论强调银行要对传统流程进行重新思考和设计,提升银行的整体的竞争力。20世纪90年代,美国管理学家迈克尔・哈默和詹姆斯・钱皮提出企业再造理论,认为企业应以一种再生的思想对自身进行审视以打破原有分工理论的束缚,推崇流程导向。1994年,保罗・阿伦的《银行再造――存活和兴旺的蓝图》一书,将企业流程再造理论引入银行业,认为银行流程再造是“围绕流程核心的再思考和再设计,目的在于实现成本、质量、反应速度等组织绩效方面的巨大改变②”。银行再造的核心是通过对银行传统流程系统的审视和重构,调整经营策略,改变银行绩效,提升银行的整体竞争力。我国商业银行要参与国际、国内金融业竞争,必须将西方银行再造成果与我国实际相结合,通过开展具有自身特色的银行再造,提升整体竞争力。在商业银行流程再造中,风险的表现形式也会发生新的变化,必然要求建立新的内部审计体系,来帮助商业银行实现有效的内部控制,这也是商业银行加强全面风险管理的必然选择。
(三)国外商业银行的内部审计经验
国外先进商业银行的内部审计普遍独立性强,重视审计方法和技术的完善,同时十分重视审计人T的培养和选拔。根据巴塞尔委员会对国外商业银行内部审计经验的调查总结,国际银行内部审计工作正在出现一些新的趋势③:以往对于财务审计工作及财务信息可靠性和完整性的评价职责逐渐转由注册会计师等银行外部审计师来履行,内部审计的作用则是为外部审计师财务报告审计工作提供支持;对法律和监管要求的遵循情况评价职责逐步转向由独立的法律和合规职能部门来履行;首席审计执行官的主要任务在于提高内部审计部门的质量和效率,包括提高审计师的专业性以便更好地跟踪那些被审计活动,强化内部模型的审计和评估,以及更加重视风险为本的审计,以提升内审部门的质量和效率。
国外先进商业银行的以下经验也很重要:
1.必须建立良好的公司治理结构,提升审计独立性。内部审计是公司治理的重要控制和监督力量,而公司治理则为内部审计提供了控制环境和制度基础。先进商业银行的董事会普遍高度重视内部审计工作,设立专门的审计委员会,通过垂直化管理的审计组织体系,实现内部审计机构与被查机构利益的完全分离。内部审计部门直接对董事会负责,确保独立的人、财、物等审计资源配置权。同时,可以参与到商业银行经营管理的各个方面,保证了内部审计工作的独立性。
2.必须调整内部审计导向,改进审计方法和技术。当前,国外先进商业银行的内部审计已经实现向风险导向型审计思路的转型,大多以内部控制评价为基础,针对重点业务或内部控制系统风险开展审计,在审计工作中注重推行风险管理理念,同时也通过有价值的建议,帮助银行提高价值创造。在审计手段上,非常重视电子化建设,通过运用现代化信息技术,提升审计工作的效率。
3.必须重视人员综合素质,打造专业化内部审计队伍。国外商业银行一般会通过强化内部审计人员的培训及后续教育等手段,保证内部审计人员具备专业胜任能力。随着银行业务复杂化程度的提高,全面风险管理的要求越来越高,商业银行应该保证内部审计人员具备宽泛的知识结构和丰富的经验,以保持风险识别的敏锐力。同时,也要想办法增强内部审计人员考核、激励制度的针对性,以维护审计队伍的工作积极性。
二、我国商业银行内部审计体系存在的问题与转型必要性
我国商业银行内部审计工作由最初的合规审计、舞弊审计发展到现在的风险审计、管理审计、信息化审计,经历了漫长的发展阶段④。但国内商业银行开始重视并设立独立的内部审计机构,是在1995年《审计法》颁布之后,时间并不长。2006年,银监会《银行业金融机构内部审计指引》出台,商业银行内部审计的专项法规才真正确立。随着银行公司治理机制的日益健全,内部审计在商业银行全面风险管理中的地位更加重要。当前,在我国经济深化转型的大背景下,各银行纷纷加快改革创新步伐,所面临的各类风险更加复杂,而内部审计体系在运转过程中,也暴露出越来越多的缺陷和问题,影响了风险的防范和控制。
(一)内部审计体制不健全,审计独立性和权威性缺乏
很多商业银行在向现代化商业银行转型的过程中,由于治理结构不合理,对内部审计的职能定位不清晰,内部审计体制不健全,审计独立性和权威性未能得到保障。一方面,部分商业银行管理层对内部审计工作的重要性缺乏正确认识,认为内部审计部门不直接参与利润和价值的创造,没有必要配备充足的审计资源,有的内审人员与被审计单位之间甚至存在利益依附关系,难以保证审计的独立性。另一方面,部分商业银行的内部审计体系还未完全实现董事会垂直、独立管理,缺乏相应的审计资源分配权限,无法获得被审计单位的有效配合,内部审计的权威性无从保障。
(二)内部审计职能履行不充分,审计考核机制不健全
由于我国商业银行内部审计起步较晚,发展进程缓慢,加之外部经济环境因素的影响,当前,仍有很大一部分商业银行内部审计还主要停留在数据真实性审计、合规性审计阶段,以履行监督检查职能为主,而对内部审计的咨询服务职能重视不够,c国际银行业当前盛行的风险导向审计理念差距明显。同时,我国大部分商业银行审计人员参照中后台人员进行考核和发放薪酬,普遍未建立独立的薪酬绩效机制,造成人员考核与日常审计工作脱节,影响了审计队伍的稳定和审计效能的发挥。
(三)内部审计制度体系不完善,审计标准流程不规范
很多商业银行内部审计制度不系统、不完善,未形成健的内部审计制度体系;在日常审计工作中,审计人员主要依赖经验总结来制定下一步审计方案,审计工作底稿不统一、问题词条不规范,未能形成规范化的审计工作流程和审计标准,审计工作的随意性较强。参差不齐的人员素质和审计具体操作中较大程度的随意性直接影响了审计工作的效率和质量。
(四)内部审计技术落后
随着信息化和大数据时代的来临,国内商业银行纷纷加强数据化信息技术的运用,加快建立贯穿各级机构、覆盖各个业务领域的数据库和管理信息系统,推动实现数据标准统一、信息系统整合,提升经营管理工作的信息化。但这些信息技术并没有深入、有效地运用到内部审计体系。很多商业银行的内部审计部门还没有建立独立的系统数据获取渠道,以实现对运行数据的快速收集和整理分析,还没有建立专门的审计模型和审计系统以实现对风险的准确揭示、预判和对其形成原理、发展趋势的分析,造成信息系统内的数据被大量闲置、浪费,影响了内部审计工作的质量与效率。
(五)内部审计人员力量薄弱
目前我国大多数商业银行内审人员的占比为1%左右,国外商业银行一般为5%,而中国人民银行则曾经发文,要求银行类金融机构内部审计人员达到员工总数2%⑤。同时,由于很多商业银行对内部审计工作不重视,在审计人员的选拔、培养方面没有严格要求,造成审计队伍所需要的复合型人才严重缺乏,员工知识结构单一,专业胜任能力弱,而培训机制的不健全,和独立考核、激励机制的缺失,让这一问题迟迟得不到解决,与银行发展需求形成较大差距。
(六)内部审计的质量控制与成果运用不足
很多商业银行内审部门仍采用传统的手工化审计工作方式,未建立专业化的内部审计计算机平台,在审计预警、审计管理和审计作业分析等时效性上存在明显滞后。审计管理工作没有相应的信息系统进行固化,在对审计资源的统筹配置上较混乱,难以实现对审计项目节奏的实时有效控制,同时,在审计结果、审计建议的跟踪督办等方面也不及时,不利于与被审计机构间加强沟通交流,影响了审计成果的运用,有可能消弱内部审计的价值增值作用。
商业银行的内部审计体系转型,既是在我国经济深化转型大背景下,银行应对整体经济市场化、现代化、国际化转型的客观需要,也是银行克服现有困难和不足,充分发挥内部审计作为银行第三道风险防线的重要作用,积极提升内部控制有效性,加强全面风险管理能力,推动银行再造工程的重要措施,对于提升银行综合竞争力有着非常重要的意义。
三、成都农商银行内部审计体系的转型实践
成都农商银行由原成都市农村信用合作联社改制而成,于2010年挂牌开业,2011年引入战略投资者,注册资本100亿元,2015年末资产规模达6400亿元。作为一家在西部特大中心城市成立的股份制商业银行,该行近年来发展迅速,资本规模和资产规模位居全国农商银行系统前列,以其为样本,研究我国商业银行特别是中小商业银行内部审计的转型问题,有较强的借鉴意义。从2012年以来,该行按照董事会的要求,加快内部审计体系转型步伐,在管理体制、组织架构、管理模式、审计职能、技术手段、考核激励等方面实施了一系列改革和调整,取得了明显的成效。
(一)确立转型目标――建立“集中化、垂直化、标准化、精细化、专业化、信息化”的现代内部审计体系
1.集中化、垂直化。是指依靠内部审计机构的集中、垂直管理对内部审计资源和工作加以统筹,通过规范化的内部审计体制机制实现内部审计资源的集中管理、充分整合,充分挖掘、有效运用内部审计潜力,提升审计效能。
2.标准化、精细化。是指通^构建标准化的内部审计制度体系,规范工作流程,明确审计人员的工作职责、作业标准和管理要求,加强对审计工作的全流程管理,实现各项管理要求的标准化、精细化。
3.专业化、信息化。是指依托银行开放、智能、互联的数据信息平台,通过信息系统和技术工具的使用,实现对银行经营管理信息的全方位获取、整合、应用和共享,提升审计发现能力,扩展审计覆盖范围,实现审计效率与质量的大幅提升。
(二)确定转型思路――以风险为导向的增值型审计
有了转型目标,如何确定转型思路便成为转型的关键。成都农商银行在深入研究国际内部审计的内涵变迁与发展趋势之后,决定推行以风险为导向的增值型审计,即将风险控制和增加价值作为评价内部审计转型成效的终极目标。
1.贯彻风险导向型审计理念。风险导向审计是审计人员以规避、控制和防范审计风险为出发点,对审计风险进行系统分析、研究,确定多样化的审计战略的一种审计思路。内审部门通过风险识别,帮助管理部门规避风险,采取正确的行动来防止高级管理层。该类审计是以对风险的系统分析为出发点,对企业风险管理和内部控制制度的完整性与有效性进行独立的评价⑥。它是较之财务审计和合规审计更为先进、科学和全面的风险审计。
2.实施增值型内部审计。商业银行的目标是价值最大化。内部审计作为商业银行内控管理工作的一部分,虽然不直接参与经营活动,但可以通过提出有价值的审计建议,帮助银行降低风险,规避资产损失,增加获利机会,从而帮助商业银行增加价值创造。增值型内部审计通过大力拓展高增值的审计业务,形成有价值的审计结论和建议,帮助组织增加价值,它以利润中心作为自身定位,既记录耗费的成本,又衡量和记录为组织增加的价值⑦。将增值型审计作为内部审计体系的转型方向,有利于提升内部审计价值,在帮助银行防风险的同时提高盈利水平。
(三)转型实践――持续深入的系统工程
根据确立的转型目标与基本思路,几年来,成都农商银行内部审计体系在转型过程中采取了一系列持续深入的工作举措。
1.组织开展内部审计垂直化改革,建立垂直化的组织体系和报告路径。历时半年,完成职能上收与人员分流,于2012年6月底全面完成内部审计垂直化管理体系建设。内部审计垂直化管理后,取消了郊县支行的稽核审计部,而在总行直属的稽核审计部下设直属室和片区审计中心,统一对总行职能部门和各分支机构开展审计活动,并定期、直接向董事会汇报工作。内部审计体系包括审计制度及流程建设、人事任免、薪酬福利、工作计划以及绩效考核等均由总行统一管理,凸显了内部审计工作的独立性。
2.通过实施确认咨询服务,强化审计监督服务职能。按照“以风险为导向的增值型审计”工作思路,大力拓展内部审计职能。通过经营情况审计,反映各机构和相关业务的经营状况及风险控制情况,为管理层加强管理、优化决策提供参考;配合机构建设需求,开展相关人员经济责任审计,为机构发展与人员任用提供支持;配合内控体系建设需要,开展各领域专项审计,着重从内部控制的健全性和有效性进行评价并提出建议,促使内部控制更加完善。这些审计不仅确认了问题,强化了监督,更提出了改进建议,经过良性沟通与合作,促进了被审计对象的价值创造。
3.通过开展绩效薪酬改革,建立现代化的内部审计机制。在转型的过程中,同步开展了内部审计绩效薪酬改革。一是根据银监对内部审计人员薪酬不低于全行平均薪酬水平的制度规定,将内部审计人员从后台部门人员的360度常规考核改为独立的考核机制,使做出实绩的审计人员薪酬水平得到提升。二是研究制定了审计人员绩效考核标准,从工作过程、质量、成果、执行力和纪律等多个维度对审计人员进行综合考评,同时完善审计人员激励、晋升、评估机制,提升了审计人员的工作积极性。
4.完善内部审计制度体系,梳理规范内部审计工作流程。按照“标准化、精细化”的管理要求,推动内部审计制度建设与流程规范。一是按审计管理制度、案件防控制度、责任追究制度三个维度完善制度体系,建立新的审计工作标准;二是梳理审计工作流程,制定《内部审计实务准则》,统一计划、立项、准备、实施、报告、终结、档案管理等流程规定;同时制定审计人员行为规范,强化对审计人员的行为约束;三是制定项目时限管理、整改跟踪、审计费用管理、员工绩效考核等规范性文件,强化审计效能管理;四是在现场审计中推行“三级复核制”、审计组长负责制等规程,完善了责任机制。
5.改善内部审计方法,提升内部审计技术。一是强化对高风险业务的审计力度,持续关注重点领域、重要业务、重点环节,形成对主观故意、弄虚作假等严重违规行为持续有力的监督效应。二是设立非现场审计室,通过非现场经营数据抽样采集、分析技术的应用,建立非现场审计分析模型,为现场审计提供信息参考,提高现场审计的效率。三是建立风险监测模型并定期对重要业务领域开展监测分析,就发现的风险点和疑点有针对性地开展实地调研及审计,挖掘揭示了大量借名贷款、搭桥贷款、多头授信、抵押物悬空、资产流失、与客户发生资金借贷等隐蔽性较强的问题,有效释放了潜在风险。四是重视对董事会的审计工作汇报,加强与高级管理层和被审计单位的审计沟通,推动问题整改和风控措施的落实,并实时开展后续审计工作。
6.加强审计人才选拔培养,提升审计队伍的整体素质。一是以垂直化建设为契机,在原有内部审计队伍中全面开展考试、考核和岗位竞聘工作,对人员进行优选与岗位调整。二是在行内、行外同步开展招聘工作,补充高素质的专业人才。三是持续抓好人员培训。推行“周培训-季度专题培训-年度集中培训”的递进式培训机制,提高员工审计能力。四是以项目质量控制为基础,通过审前培训、以老带新、审后总结等办法帮助员工积累审计经验。五是鼓励员工考取各种资格证书,通过专门的激励制度对员工自学行为进行奖励。
7.建设推广稽核审计及风险预警系统,搭建现代化的审计工作平台。成都农商银行内部审计部门垂直化管理后,即启动了稽核审计及风险预警系统建设工作,并于2014年推动该系统投产上线。该系统的上线,为内部审计工作搭建了一个具备大数据处理能力的集信息采集、数据处理、风险预警、作业控制和绩效考核等功能为一体的服务平台,大大提升了审计工作的专业化水平。该平台实现了对主要风险的持续监测,能够为现场审计高效挖掘风险信息提供技术支持。同时,该平台也是现代化的审计工作管理平台,通过建立项目管理功能菜单,实现审计作业的流程化管理,还能以图表方式展现全行主要经营管理指标,可以直观地为高级管理层提供动态经营信息。
8.健全审计管理体制机制,加强审计质量控制。一是加强审计管理体制机制建设。成立审计执委会,定期或不定期就重大事项集中审议;建立审计计划管理机制,按年、按月控制审计布局,促进审计资源的有效配置;坚持每周集中汇报项目进度,督导工作进程;建立重点项目督办机制,强化对项目质量的把控。二是重视对审计结果的运用。通过下发审计意见书、建议书,督促被审计对象全面掌握审计结果,彻底整改存在的问题;通过开展整改专题培训、收集责任人整改承诺书、制定整改进度跟踪表和典型性违规问题通报等方式,督促被审计对象务实有效地落实整改措施。良好的沟通、严格的整改,有利于巩固审计成果,确保实现控制风险、增加价值的目的。
四、商业银行内部审计转型经验及启示
总结成都农商银行的经验,商业银行实施内部审计体系转型要注意把握好以下关键环节和要素。
(一)构建权责明晰的内部审计体制
独立性与客观性是内部审计工作的灵魂。构建权责明晰的内部审计体制,以保障审计的独立性和客观性,是商业银行内部审计体系转型成功的基石。当前,商业银行内部审计体系普遍存在缺乏应有的权利和地位、报告路径不明确、职能范围不恰当等问题,必须通过管理体制的重构,确立内部审计的独立地位,通过对审计资源的垂直集中管理等办法,确保内部审计机构独立地行使职能。
(二)界定符合战略的内部审计范围
界定符合战略的内部审计范围是现代化内部审计职能作用得以有效发挥的前提。我国很多商业银行存在内部审计范围过窄的问题,缺乏对资产质量、风险责任、经济效益的持续关注,不能对内部控制状况等做出有效评价和建议,更未对包括政策法规、社会环境等在内的深层次问题进行研究,导致内部审计职能发挥不充分。商业银行内部审计体系在转型中,要厘清与合规管理等内控管理部门和会计师事务所等外部第三方监督者的职能边界,但更要围绕银行的转型发展战略,按照风险导向和价值增值目的,拓展职能范围,通过确认和咨询服务,提高内部审计工作的价值贡献。
(三)建立符合内部审计特点的薪酬绩效机制
建立完善的内部审计绩效考核及薪酬制度是提升内部审计工作效能,激发审计人员内在潜能的重要手段。当前,很多商业银行未建立独立的内部审计人员薪酬绩效制度,内审人员在银行中的地位不高、薪酬不具竞争力。商业银行内部审计体系在转型中,必须组织开展薪酬绩效机制改革,建立符合审计工作特点的人员绩效考核机制,来提高其工作效率和积极性。
(四)规范统一的内部审计标准及流程
建立规范、统一、明确的内部审计标准和流程,是建设现代化内部审计体系的关键。商业银行内部审计体系在转型中,必须不断完善内部审计制度体系,规范审计标准及流程,消除管理工作随意性较强的问题,加强专业化、标准化、规范化管理,以提升审计效率和质量。
(五)提升有助于风险识别的内部审计技术
提升内部审计技术,增强风险识别能力,是建设现代化内部审计体系的重要步骤。当前,很多商业银行内部审计体系存在对现代化信息手段的建设和应用严重滞后的问题,对风险的评估和监测难以脱离数据不足的制约,对审计结果的评估和审计资源的调配也缺乏科学的数据支撑,制约了审计资源的运用和风险问题的发现。商业银行内部审计体系在转型中,必须有现代化的内部审计数据监测及信息化工作平台为支撑,充分运用信息技术,提高审计资源配置效率,确保审计结果的准确性。
(六)培养专业胜任的内部审计人员
人力资源是审计组织最核心的资源。拥有专业胜任的内部审计人员是内部审计工作质量的有效保证,是建设现代化内部审计体系的关键所在。商业银行内部审计体系转型中的关键着力点,是提升风险发现的敏锐度与风险监控防范能力,而做到这一点必须重视审计人员的培养,建立专业的内部审计队伍。
(七)实施持续的内部审计质量控制
加强内部审计质量控制是有效发挥内部审计作用,提升审计效果的必要环节。当前,很多商业银行内部审计体系存在审计资源利用率不高,审计发现的问题查而不纠甚至屡查屡犯等问题,主要原因在于对审计工作质量特别是整改质量缺乏持续控制措施。商业银行内部审计体系在转型中,必须建立内部审计质量控制机制,强化对审计结果的运用,强化对后续整改工作的跟踪,以提升内部审计的价值贡献。
注释
①Casey,Christopher.Corporate valuation,capital structure and riskmanagement: AstochasticDCF approach.European Journal of Operational Research,December 1,2001,135(2):311-325
②PaulH.Allen.ReengineeringtheBank.NewYork,Mcgraw-Hill, 1994.
③周志宇,徐华.《国际银行业内部审计的现状、趋势和启示》.《金融会计》。
④杨国芹.《商业银行内部审计研究》.华中科技大学硕士论文,2012年。
⑤郝成.《从国际比较看我国商业银行内部审计的差距与对策》,生产力研究,2008年。
⑥李冬会.《我国商业银行内部审计研究》.长春理工大学硕士论文,2005年12月。
⑦张洁.《我国农村商业银行内部审计研究》.首都经济贸易大学2008年硕士论文。
参考文献
[1]徐政旦,朱荣恩.现代内部审计实务.北京:中国审计出版社,1997.
[2]劳伦斯.B.索耶.现代内部审计实务.北京:中国商业出版社,1990.
[3]《银行业金融机构内部审计指引》,银监发〔2006〕51号.
[4]Basel committee on Banking supervision: Internal audit in banks and the supervisor’s relationship with auditors,August2001.
[5]周冰.基于中国实践的转型经济学理论构建.学术研究,2008年3月20日.
[6]《企业风险管理――整合框架》,美国COSO委员会,方红星等译,大连:东北财经大学出版社,2005版.
【 关键词 】 数据挖掘;网络信息安全;策略
The Research on the Network Information Security Policy Based on Data Mining
Cao Zi-xi Lu Qi Xue Zhi
(Shanghai Jiao Tong University Shanghai 200240)
【 Abstract 】 With the continuous development of the internet technology, the continuous application of the Cloud Computing, the Big Data era has arrived. The Data Mining technology has brought the analysis capabilities of the data processing to a new level. In this article we studied the Data Mining and the technologies of the network information security. We proposed a network information security policy based on data mining, and improved the difficult issues of dealing with the large amount of data in network information security policy.
【 Keywords 】 dating mining; network information security;tactics
1 引言
近年来,网络技术的飞速发展,互联网上的数据以每天数千万条的速度迅速增长,数据的产生、传输、存储、访问和处理方式都发生了翻天覆地的变化。在这样的一个大背景下,数据挖掘孕育而生。另一方面,各种网络安全检测技术、设备和产品会生成大量的关于网络安全及流量的检测数据,单单依靠传统人工处理以及简单查询统计方法的数据处理模式已经无法适应新时代的需要了,如何从海量网络信息安全检测数据中挖掘发现有价值的信息,需要在网络信息安全策略中运用到数据挖掘的技术。
2 数据挖掘的相关概念
2.1 数据挖掘的定义
数据挖掘就是在一些没有规律、异构结构并且熟练庞大的数据中,通过相关的计算机方法及算法,提炼出具有不确定和未知性的信息的一种方法。数据挖掘的数据源应该是大量且真实的,所寻找出的信息应该是对我们有用的、具有价值的。理论上来说,数据量越大、越随机,数据挖掘所得到的结果就越准确、越具有代表性、越有价值,这就对数据挖掘的相关算法与技术的效率提出了很高的要求。数据挖掘是一门交叉学科,融合了数据库、人工智能、统计学、机器学习等多领域的理论与技术。数据库、人工智能与数理统计为数据挖掘的研究提供了三大技术支持。数据挖掘是将一些离散的、底层的、无序的大规模数据利用相关的技术手段提升到有序的、可接受的、有价值的知识,从而为决策提供帮助的一个过程。具体的说,数据挖掘是通过对大规模的海量数据进行分析,从中找出一些数据间的内在规律与联系。具体过程包括了数据准备、信息挖掘和结果表达三个阶段。
2.2 数据挖掘的主要任务
数据挖掘的主要任务包括有监督学习(Supervised Learning)、关联分析或频繁模式分析(Frequent Pattern Analysis)、聚类分析(Clustering Analysis)、异常检测(Anomaly Detection)等。
有监督学习包括两种形式:分类(Classification)和预测(Prediction),是指根据已知样本的大小、类型来预测新到样本。关联分析或频繁模式分析指的是找到某一事件发生时,另一事件也会发生的这样一种规律性的联系模式。聚类分析指的是将找出所有数据的一些内在规律及特征,并且按照这些特征将数据源划分成若干个数据簇。异常检测通过建立一个数据样本的范本,并将数据源中的数据与其进行比对分析,找出里面存在的异常样本。
3 网络信息安全的相关概念
3.1 网络信息安全的概念
网络信息安全问题的解决方案包括数据挖掘信息安全技术的应用和数据挖掘信息的安全的管理。管理是指根据事物发展的客观规律,通过综合运用人力资源和其他相关的资源,以便有效地实现组织目标的过程,是指在集体活动中,为了完成一定的任务,或者实现一个具体目标,针对特定的对象,遵循既定的原则,依照完善的程序,使用适当的方法,所进行的计划、组织、指挥、协调和控制的活动。比如,在网络安全控制方面,防火墙技术已被广泛应用,为了更好地发挥防火墙的安全保护作用,就必须考虑如何设置防火墙的安全策略,并对它的物理保护和访问控制进行设置。
3.2 网络信息安全的相关技术
3.2.1爬虫技术
Web 爬虫(Crawler)通常也被称为机器人(Robot)或者蜘蛛(Spider),它是一个能够自动下载网页的程序。互联网上有数以万计的网页,这些网页存在于分布在全球各地的各个服务器上。用户可以通过网页链接进行各个网页直接的切换和浏览,而爬虫正是模仿人的行为,将多个站点或者网页下载或存取,然后交给数据处理模块。
3.2.2结构化数据抽取
Web信息收取指的是从一个网页中分析目标信息。通常包括两个问题,第一个是从自然语言文本中抽取信息,第二个就是从网页的结构化数据中抽取信息。我们称抽取这种数据的程序为包装器(Wrapper),包装器有三种方法,分别是手工方法、包装器归纳、自动抽取。
3.2.3规则引擎技术
一旦数据获取了,我们就要对其进行处理和分析。常用的基于 Python 的规则引擎有几种。PyKE 是一个基于知识的专家系统,采用类似于 Prolog 的语言规范。Prolog 是一种逻辑编程语言,广泛应用于人工智能领域。Pychinko 是一个可以处理语义网的规则引擎,它可以用 RDF 来定义。Intellect 是一个基于领域描述语言(Domain Specific Language,DSL)的规则引擎,可以定义一些规则表达式,来监测网络数据。规则引擎指的是一个创建、存储和管理规则,然后执行规则并推断出其它事实的应用程序。其中的规则主要是指企业或商务业务逻辑、法律条款等。在规则引擎发展的过程中,Rete 算法和 Prolog 语言是两个重要的理论分支,多数规则引擎都是基于以上二者扩展而来的。在工业活动铸造中,发展时间较长、应用广泛的两个体系是 Clips 体系和 Prolog 体系。
4 基于数据挖掘的网络信息安全策略
4.1 安全的网络环境
安全的网络环境包括系统的安全性、防病毒和网络入侵检测、审计分析、网络备份和灾难的恢复等。具体措施如下:隔离和访问控制技术,包括物理和逻辑的隔离,可信与不可信网络的隔离,只允许有授权的用户访问网络资源;采用反病毒技术,病毒已经严重威胁到了网络的安全,它的威胁和破坏性是很难用数字估量的,建立病毒预警、病毒防护和应急机制,就显得尤其必要;网络入侵检测技术会及时对非法入侵者及恶意破坏者建立预警机制,并定期对网络系统进行安全性分析,发现并修正漏洞;分析审计,记录用户使用过程中的计算机网络系统,它不仅能够确定是谁访问了系统,还能记录系统的使用状态,确定是否有网络攻击,审计数据挖掘信息是非常重要的;网络备份和灾难恢复可以确保在最短的时间内使受到破坏的系统恢复可用。
4.2 保证数据挖掘信息安全的策略
安全的数据挖掘信息指数据挖掘信息的存储安全、传输安全和使用安全。数据挖掘信息的物理完整性,逻辑完整性和保密性组成了数据挖掘信息的存储安全;并要通过数据传输加密技术、数据完整性技术和防抵赖性技术来保证数据挖掘信息传输的安全;数据挖掘信息的使用安全是指,为防止非授权主体擅自使用资源,必须对网络中的主体进行验证。
4.3 基于数据挖掘的网络安全数据分析策略
4.3.1关联性分析
关联分析模型的含义是通过对攻击行为要素的归并和组合,结合数据挖掘相关技术,体现宏观网络上最热门的攻击行为态势。一次攻击行为中,(源地址、目的地址、攻击类型)三要素体现了攻击的本质,三要素任意指定和组合,都反应了有意义的网络攻击态势。
4.3.2 事件预测机制
事件预测机制是通过对某一事件的发展趋势进行跟踪观测,运用数据挖掘聚类算法,判断其是否会成为大规模网络事件的模型。对于大规模的网络事件,其最具代表性的特点并不是事件发生的次数,而是其扩散趋势。例如连续观测到涉及同一类木马病毒事件的IP地址数量急剧上升,可能就是一次木马网络攻击事件。
4.3.3 可控数量预测模型
可控数量预测模型是通过观察事件中受控主机状态增长数量,对事件的感染能力做出判断。受控主机状态增长指的是之前未检测到发出某类攻击的主机,通过检测被发现后的状态变化增长。例如对于某种病毒,若以前未检测到主机X受到过感染,但是在观测周期内发现了主机X已经被感染了病毒,那么对于该病毒而言,主机X就是其受控主机增长状态。
4.3.4分析处理模型
分析处理模型的作用在于对运营商的事件处理反馈进行分析,判断其对被控主机的处理能力。该模型从各运营商的被控主机、已处理主机、未处理主机以及处理效率等各方面进行综合评估,由此来分析判断运营商对其辖区内的被控主机处理能力。
4.3.5网络安全数据分析模型
网络安全数据分析模型用于观测网络特征事件的数量,判断是否存在异常。分为学习阶段和实时检测阶段两个阶段运行。学习阶段可以建立事件的判断标准,等学习阶段满足特定条件后便进入实时检测阶段。
学习阶段,先由用户给定各类安全事件的定义,统计学习阶段事件内每个时间间隔中安全事件的数量。然后以小时计数,统计单位时间内安全事件的平均数和方差,记平均数为x,方差为?滓。
实时检测阶段首次按统计当前时间间隔内各类安全事件的数量xi,再判断各安全事件数量是否异常,
xi-x
?滓0?艽xi-x
2σ0?艽xi-x
xi-x?艹3?滓0 重度异常的安全事件数量。
其中的?滓0为判断标准,在模型建立时进行配置,可以根据不同情况,重新调整该参数。最后将各类安全事件数量异常的最高值,作为当前时间间隔的安全事件数量指标值。
5 结束语
当今社会已经进入云计算和大数据时代,计算机网络的应用已经深入到人们生活和生产的各个领域,但随着计算机信息的价值和重要性越来越高,不法分子入侵网络的手段也不断地翻新,使得传统的网络安全防御技术难以应对。将数据挖掘技术应用于网络信息安全策略中,通过聚类挖掘等方法,能够发现一些潜在的威胁与漏洞,更使得该技术具有了良好的发展前景。
参考文献
[1] 朱玉全,杨鹤标,孙蕾.数据挖掘技术[M].南京:东南大学出版社,2006.11.
[2] Han J., Kamber M., 范明(译).数据挖掘: 概念与技术 [M].北京: 机械工业出版社,2001.
[3] 中华人民共和国科学技术部火炬中心“推进我国软件企业工509000质量体系认证的研究”课题组.软件企业工509000质量体系的建立和认证.清华大学出版社,2011.
[4] 刘占全.网络管理与防火墙技术.人民邮电出版社,2010.
[5] 樊成丰、林东.网络数据挖掘信息安全&PGP加密.清华大学出版社,2010.
[6] 斯帝芬P罗宾斯.管理学.中国人民大学出版社,2010.
[7] 张健.防毒杀毒一防杀计算机病毒自学教程.电子工业出版社,2010.
[8] 舒南飞.网络安全态势评估和预测的新进展.信息技术与应用学术会议论文, 2009: 56-57.
关键词:物联网 云计算 信息安全 云密码服务 车联网
中图分类号:TN915 文献标识码:A 文章编号:1007-9416(2015)07-0000-00
“互联网+”已成为目前流行的概念,其根本原理是将互联网运用到我们的生产、生活中,通过互联网完成数据的计算、处理。而作为与我们生活有重要联系的车联网目前正的速度的发展中,因此车联网的信息安全问题也迅速成为大家关心的问题,本文即针对这个问题进行分析。
1 车联网的含义
车联网是物联网这个大概念下的一个内容,物联网的定义是,通过射频识别(RFID)、红外感应器、全球定位系统、激光扫描器等,信息传感设备,按照约定的协议,把物品与互联网连接起来,进行信息交换和通信,以实现智能化识别、定位、跟踪、监控和管理的一种网络。根据这个概念我们可以知道,车联网是通过RFID等信息传感设备将车辆的实时信息传递到云端,然后在云端进行信息的快速处理,最后将处理后的信息传递到相应的终端,从而完成车辆信息的各种使用。
2 存在的安全问题
车联网的的安全问题主要存在于两部分。一部分是采集的车辆信息的传递过程中,车辆信息包括车辆的位置信息、车辆的状态信息、而这些信息中有些是个人的隐私(例如:私家车的位置信息、车里人员信息等)如果发生泄露可能造成比较严重的后果,由于目前车辆本身不可能含有强大的数据实时计算与处理功能因此需要将数据通过互联网传递到具有强大数据功能的部分即云端,但是在传递过程中数据的一致性、保密性都存在问题。第二部分是云端的安全问题,目前所使用的云分为两种子一种是公有云,一种是私有云,其中私有云一般不公开使用所以我们在此不做讨论。而公有云主要包括Amazon的AWS、微软的WindowsAzure、platform、Google Apps与Google App Engine等这些公有云具有规模大、价格低廉、灵活、功能全面等优点也存在云用户身份管理、访问控制服务、云密码等安全问题。
3 解决方法
针对车辆信息的安全问题,由于车辆的所有性质不同分为公共汽车、私有车(个人车辆、单位车辆),其中公共汽车的车辆位置信息、车内客户信息是可以被公众合理使用的,因此这些信息的安全问题主要集中在保证信息的正确性、一致性即保证车辆的相关信息能够正确的、不被篡改,同时不被病毒感染。因此可以主要采用加密的方式,目前加密方式主要有对称方式、非对称方式这两种方式,其中对称方式由于重点在于加密算法的变化,这种方式需要经常改变的每辆车的加密算法更新的数据量比较大。采用非对称方式,只需要更新私密密钥即可以保证数据加密后的安全性,同时这种方式传递的数据量较小,而且可以在公交汽车每天回到总站后统一更新。这种方式方便快捷、数据量更新小,因此推荐采用这种加密方法。而针对私有车辆由于其车辆信息要经过云端的处理从而提供车辆的路况信息等对车主有用的信息,但是又不希望所有人均可以获得车辆的相关,基于这种情况一方面对向云端传递的数据进行加密,同时增加私人用户的许可与授权认证。通过这两部分的安全设置一方面保证数据的安全性,另一方面也保证了这些信息只有合法用户才能有效使用。
加密数据通过互联网传递到云端后也同样涉及到安全问题,首先是用户身份的供应、注销以及身份认证过程。在云环境下,实现身份联合和单点登录可以支持云中合作企业之间更加方便地共享用户身份信息和认证服务,并减少重复认证带来的运行开销,同时,通过云端身份的使用也在一定程度上保证了只有合法用户才能够使用云与车辆信息对信息的安全进一步提高。其次,由于云用户中普遍存在数据加、解密运算需求,云密码服务的出现也是十分自然的。除最典型的加、解密算法服务外,密码运算中密钥管理与分发、证书管理及分发等都可以基础类云安全服务的形式存在。云密码服务不仅为用户简化了密码模块的设计与实施,也使得密码技术的使用更集中、规范,也更易于管理。此外,对于安全事故责任的明确需要用户提供必要的相关信息,而普通用户缺乏举证能力。因此,第三方审计的作用凸显出来了。第三方提供满足审计事件的所有证据以及证据的可信度说明,同时第三方审计也从一个侧面保证了云服务商提供满足各种要求与规定的服务。通过以上几种手段从技术层面到监督层面上提供了保证云安全运行、安全使用,从而为车联网的安全使用提供了技术支持。
4 结语
车联网信息的信源(车辆)与信宿(云端)是车联网安全问题的主要方面。通过本文的分析可能看到车辆本身与云端均存在自身缺陷,从而造成车辆信息在这两个端口位置容易出现安全问题,因此,通过加密密钥管理、用户身份管理等方面在一定程度上减少了出现信息被篡改、泄露等问题,从而保证了车辆信息的安全使用。
参考文献
[1] 黄玉兰.物联网射频识别(RFID)核心技术详解[M].人民出版社,2010.
[2] 吴同.浅析物联网的安全问题[J].网络安全技术与应用,2010.
[3] 孙小红.车联网的关键技术及应用研究[J].通信技术,2013.
[4] 南春丽.车联网中RFID模型[J].计算机系统应用,2013.
[5] 黎春兰,邓仲华.论云计算的价值[A].图书与情报.2009.
[6] 冯登国.云计算安全研究[J].软件学报,2011(01):71?83.
收稿日期:2015-06-26
随着云计算技术在核电厂的推广应用,企业的信息化水平提升到新的高度。企业对信息安全可靠性、保密性、完整性产生更高的述求,信息安全的防护工作日趋紧迫。传统的信息安全防御手段无法应对新出现的威胁,因此需结合现有的信息安全体系,采取与云计算技术相结合的手段开展一系列信息安全防护工作。本文主要介绍了云计算的相关概念和体系架构,云计算技术在核电的应用,国内核电信息安全体系现状,以及基于云计算的核电信息安全体系设计。
关键词:
云计算;核电;信息安全
核电行业是很早就使用计算机实现生产自动化的企业。继个人计算机、互联网变革之后,2010年,云计算作为第三次IT浪潮的代表正在向我们走来。它将带来人类生活、生产方式和商业模式的根本性改变,成为当前全社会关注的热点。云计算的目的是将不同的IT资源(资源包括网络,服务器,存储,应用软件,服务)以服务的方式交付给用户。计算资源、存储资源、软件开发、系统测试、系统维护和各种丰富的应用服务,都将像水和电一样方便地被使用。信息实质上是一种资源,其价值在于其所能创造的机遇与利益。信息安全的目的即是保护信息的完整性、可用性及保密性等属性,以保证信息的价值。一旦信息的完整性、可用性或保密性缺失或受损,信息的价值将大打折扣。核电厂作为国防建设的重点单位,信息安全重要性尤为突出。随着云计算技术在核电厂的推广应用,信息安全的防护出现一些新的变化,本文即是针对这些新的变化进行相应的探讨,目的是提升核电厂信息安全水平。
1云计算概念和体系架构
网络通信、分布式计算及服务计算等技术的发展为云计算的实施提供了强有力的支撑。NIST指出云计算是一种以通过网络连接,便携且按需访问的可配置共享资源池的服务,计算资源将以最小的管理和交互代价快速提供给用户;同时云计算还应满足按需自助服务、广泛网络接人、高效资源共享、高弹性计算、支持度量计费等五大功能特性。根据云计算所提供服务类别的不同,云计算的服务模式可以分为软件即服务(SoftwareasaService,SaaS)、平台即服务(PlatformasaService,PaaS)和基础设施即服务(InfrastructureasaService,IaaS)。典型的云计算平台架构如下:IaaS、PaaS、SaaS在功能范围和侧重点上都存在差异,其中IaaS需要在异构资源环境下,提供按需付费、可度量资源池功能,同时要兼顾硬件资源的充分利用和用户需求的满足;PaaS不仅关注底层硬件资源的整合,还需要提供能够供租户进行开发、调试应用的平台环境;SaaS不仅需实现底层资源的充分利用,还必须通过部署一个或多个应用软件环境,为用户提供可定制化的应用服务。
2云计算技术在核电企业的应用
随着核电ERP/EAM/ECM等核心系统的构建,以及IT架构的进一步集中调整,整个核电IT系统的架构变的更为复杂。为了提升信息化水平,提高资源利用率,核电厂开展云计算相关技术研究,结合企业实际情况,遵循四化的理念来建立、提升、完善云计算平台的能力。核电企业四化包括:资源管理集约化:通过对企业计算、存储、网络资源的集中化、标准化、服务化管理实现高效、弹性的IT架构;应用交付一体化:通过软件全生命周期管理的自动化以及面向企业级应用的业务框架提高企业应用的交互能力;系统运营智能化:通过全方位的监控和时间处理,将数据植入到运营流程中,达到流程化、智能化运行的目标;运维管理自动化:通过运维作业集中管理调度与监控实现运维作业的标准化和自动化提高应用运维的效率和可管理型。
3国内核电信息安全体系现状
目前国内大部分核电企业的信息安全体系建设主要遵守《电力行业信息系统等级保护定级工作指导意见》(电监信息[2007]44号)、《信息安全等级保护管理办法》和《关于进一步推进中央企业信息安全等级保护工作的通知》(公通字[2010]70号)等,以上述办法围绕等级保护来开展信息安全体系建设。一些信息化建设水平较好的核电企业,在信息安全建设过程中逐步借鉴和参考国际国内先进的信息安全标准,主要是目前国际上应用最广泛的ISO27001信息安全管理体系。在传统的信息安全时代主要采用隔离作为安全的手段,具体分为物理隔离、内外网隔离、加密隔离,实践证明这种隔离手段针对传统IT架构能起到有效的防护。同时这种隔离为主的安全体系催生了一批以硬件销售为主的安全公司,例如各种FireWall(防火墙)、IDS/IPS(入侵检测系统/入侵防御系统)、WAF(Web应用防火墙)、UTM(统一威胁管理)、SSL网关、加密机等。在这种隔离思想下,并不需要应用提供商参与较多信息安全工作,在典型场景下是由总集成商负责应用和信息安全之间的集成,而这导致了长久以来信息安全和应用相对独立的发展,尤其在国内这两个领域的圈子交集并不大。结果,传统信息安全表现出分散割据化、对应用的封闭化、硬件盒子化的三个特征。信息安全体系的基本建设要素包括物理安全、网络安全和系统安全三个要素。(1)物理安全。物理安全主要涵盖机房安全、信息设备安全、通信线路安全等,保障信息机房的电源、温湿度、进出入的安全,保障信息化基础设施、通信线路等的运行可靠性、双链路互备等措施。(2)网络安全。互联网的安全主要以防火墙为核心,辅以IPS、防病毒网关等设备为核电构建统一的、安全的互联网出入口。内部局域网作为网络中终端数量最大、用户最多的区域,一直是网络安全防护的重点区域。首先,局域网要进行核心层、汇聚层、接入层的规划和IP地址划分,核心层要满足双机热备的要求。在网络管理中要实现网络资源的配置、网络流量监控,保障局域网络的稳定通畅。其次,终端安全管理是内部局域网安全的管理重心,建立终端管理、防病毒、移动介质等防控手段。(3)系统安全。信息系统的稳定运行是支撑核电业务连贯性的必要条件,信息系统的服务器、操作系统、数据库、系统接口等的管理有效性是实现系统安全、稳定运行的基础。系统的应用安全主要指系统中数据访问、流程审批、操作合规性等安全,主要通过用户认证、电子证书、文档加密、行为审计等手段来加以监控。
4基于云计算的信息安全体系设计
核电企业云平台承载企业的关键应用,数据作为企业的资产,其安全性需要采取相应措施加以保障,核电企业在建设云平台过程中,注重安全管理。安全管理是为了建设可靠的安全保障体系,实现应用服务及数据调用的安全认证和安全审计,主动的异常数据操作行为的监控分析、预警机制,并提供异常问题的倒查追溯能力。为了更好的保证业务之间的隔离性和安全性,核电厂从三个方面建立信息安全体系:(1)访问安全。访问安全基于身份认证和权限认证来完成。身份认证是建立统一的用户信息库,为系统提供身份认证服务,只有合法用户才能对信息化系统进行访问;权限认证主要是根据用户身份对其进行权限判断,以权限认证与统一认证相结合,为信息化系统提供方便、简单的、可靠的授权服务,从而对用户进行整体的、有效的访问控制,保护系统资源不被非法或越权访问,防止信息泄漏。(2)数据安全。数据安全是对及内部信息系统进行严格的安全防护,对计算机、数据、敏感业务系统采用认证、加密等技术手段进行控制。数据安全主要包括:数据完整性,数据保密性,备份和恢复。数据完整性:通过循环冗余校验(CRC)以及消息认证码(带密钥的Hash函数)来保证完整性。数据保密性:通过传输协议加密以及数据加密来保证保密性。备份和恢复:对重要信息进行备份,并对备份介质定期进行可用性测试。(3)操作安全。操作安全是为了防止误操作带来的风险,如删除关键数据造成系统无法正常运行。操作安全可以通过事前预防和事后补救这两方面来保证。事前预防是通过对关键操作进行多人复核,降低单人误操作机率;事后补救是通过操作日志来回滚误操作。结合云计算平台建设现状和企业实际,核电厂从云平台基础安全、云平台攻防安全、云平台运维安全等方面建设信息安全体系,构筑全方位的信息安全防护屏障。
4.1云平台基础安全
(1)网络安全。云计算平台网络分为两部分:管理平面和业务平面网络。管理平面网络主要用来管理云计算主机,业务网络主要负责传递业务系统相关数据,两者传输数据不同,访问授权也不一致,需将管理平面和业务平面网络隔离。此外,需关闭未使用的网络端口防止非法接入,回收服务器默认路由防止主动外联。(2)宿主机安全。首先要保证操作系统安全,减少系统漏洞。由于云计算操作系统大部分是基于开源平台开发,存在漏洞较多。因此进行系统定制化开发时候需将操作系统内核和组件精简,减少非必要的功能,修复相关漏洞,对主机做符合业界安全规范的配置加固,内核防提权模块加固等。(3)多租户资源隔离。云计算平台的典型场景是多租户共享,但和传统IT架构相比,原来的可信边界彻底被打破了,威胁可能直接来自于相邻租户。租户通过Hypervisor(虚拟机监视器)共享同一个物理操作系统的计算资源,在一张共享的二层网络上实现网络的区隔。攻击者一旦通过某0day漏洞实现虚拟逃逸到宿主机,攻击者就可以读取这台宿主机上所有虚拟机的内存,从而可以控制这台宿主机上的所有虚拟机。同时更致命的是,整个云平台节点间通讯的API默认都是可信的,因此可以从这台宿主机与集群消息队列交互,进而集群消息队列会被攻击者控制,最终一举攻破整个云主机集群。云服务器租户隔离从以下几个方面设计:基于VT-x技术隔离CPU;硬件辅助EPT技术隔离内存;分离设备驱动I/O模型隔离存储;交换型Vswitch,不同VM的数据包被转发到对应的虚拟端口;VM的IP、Mac地址绑定防地址欺骗及网络嗅探;物理内存、物理存储重分配前清零;用户数据打标签隔离存储。(4)数据存储安全。数据是信息系统最核心要素,数据的可靠性和安全性在信息安全中地位尤为突出,云计算平台采取了分布式存储技术,将数据分散在多个磁盘中。同一数据分别备份三份存储于磁盘中,任意部分丢失均立刻进行恢复,可靠性达99.9999%,较好保障数据安全性;为应对物理拷贝,将数据打散后即使单独拷贝磁盘出去,无系统进行数据提取、整合,无法恢复数据。
4.2云平台攻防安全
互联网攻防体系包括DDOS攻击防御、入侵防御、弱点分析和态势感知四个方面,整体架构如下:(1)DDOS攻击防御。DDOS(分布式拒绝服务),是指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,很多DOS攻击源一起攻击某台服务器就组成了DDOS攻击。DDOS攻击本质上是一种只能缓解而不能完全防御的攻击,它不像漏洞那样打个补丁解决了就是解决了,DDOS就算购买和部署了当前市场上比较有竞争力的防御解决方案也完全谈不上彻底根治。防火墙、IPS、WAF这些安全产品都号称自己有一定的抗DDOS能力,而实际上他们只针对小流量下,应用层的攻击比较有效,对于稍大流量的DDOS攻击则无济于事。结合云计算平台特点,DDoS攻击防御使用DDoS清洗系统,通过封堵大流量DDoS攻击,保障云平台可用;通过拦截应用层DDoS/CC攻击,保障业务可用。DDoS清洗系统可1秒完成检测->牵引->清洗->回注流程,全自动响应,无人值守,提高效率,降低成本;与全球信息安全防护厂商共享数据,提供最大450+Gbps防御能力,可抵御海量攻击;采用了精准的攻击检测技术,网络抖动小。本系统配置专用大数据平台,采用基于大数据分析技术可快速分析恶意IP库、恶意行为库。(2)入侵防御。入侵防御系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。传统的入侵防御系统多集中在应对4~7层的应用攻击,在应对DDoS洪水型攻击时却显得捉襟见肘,而基于云计算的入侵防御系统不但要集成的原有入侵防御产品多层的防攻击功能,更需具有专业抗DDoS攻击功能,可清洗2~4层的洪水型攻击流量,能够从而实现系统全方位的入侵防护。云计算入侵防御系统需要具备功能包括:实时网络入侵拦截,封堵恶意行为;自动木马后门检测,保护主机安全;弱点分析,可以快速分析出系统存在漏洞、弱点及时发现弱点,自动修复漏洞;具备实时扫描功能,风险随时可知。(3)网络态势感知。所谓网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。网络态势感知是指在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测最近的发展趋势。基于云计算的态势感知服务可以让企业决策者发现眼睛看不见的风险。态势感知的第一个特点是以海量数据、超强的计算为依托,让黑客攻击显影。第二个特点就是让风险可视化。有了它,没有安全技术基础的人也能看见风险的过去、现在和将来。基于云计算的态势感知系统需具备功能包括:安全数据大屏实时展示;集中安全策略管理;多维度日志关联分析;时间+空间,安全风险全局态势感知。(4)数据库审计。数据库是企业最具有战略性的资产,通常都保存着重要的商业伙伴和客户信息,这些信息需要被保护起来,以防止竞争者和其他非法者获取。面对日趋复杂的安全风险,必须部署数据库审计系统。数据库审计能够实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警,对攻击行为进行阻断。它通过对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规报告、事故追根溯源,同时加强内外部数据库网络行为记录,提高数据资产安全。基于云计算的数据库审计系统是在数据库虚机上安装数据库审计业务端程序,该程序会对该虚机上的数据库业务进行审计。另外在中控区部署统一的数据库审计管理端程序,对所有业务端程序提供集中管控。
4.3云平台安全运维
随着云计算平台的建设推进,各应用系统也进行了基于“云”的设计改造,因此必须建立一套完整的基于云计算的安全运维体系,保证各类紧急事件能够及时处理。基于云计算的安全运维体系应包括以下两个方面。(1)带外管理分离与运营平台。云平台的运维管理应与业务网络分离,同时建立运维平台和运营平台。运维平台主要供IT管理员进行云平台的运维,运营平台提供运营相关服务,包括计费、考核、流程审批等。(2)运维管理审计。InforCube运维管理审计系统涵盖多种运维协议(RDP、SSH、TELNET、FTP、SCP等)并提供操作回放检索、输入记录、标题抓取等功能,从明确人、主机、帐户各个角度,提供丰富的统计分析,帮助用户及时发现安全隐患,协助优化网络资源的使用。它能够对运维人员的访问过程进行细粒度的授权、全过程的操作记录及控制、全方位的操作审计、并支持事后操作过程回放功能,实现运维过程的“事前预防、事中控制、事后审计”,在简化运维操作的同时,全面解决云计算复杂环境下的运维安全问题,提升企业IT运维管理水平。
5结束语
云计算平台的信息安全体系建设,除了要依据上级单位的要求,参照ISO27001和信息系统安全等级保护体系开展企业信息安全建设,更重要的是要根据云平台架构特点,有针对性进行方案设计,采取更先进的技术进行安全加固。新技术的发展日新月异,相应的安全威胁手段也在改进,如仅仅按照国标和行业的标准进行安全防范,无法防范新出现的威胁。因此针对云平台的信息安全体系建设日趋紧迫。此外,在做好信息安全的技术防御之时,提高管理、加强对安全体系的审查改进是重要的落地手段。通过安全体系的设计,落实改进措施,定期实施加固,将安全体系落实到实处,才可以保障企业的信息安全。
作者:张荣斌 单位:中核核电运行管理有限公司
参考文献:
[1]梅生伟,王莹莹,陈来军等.从复杂网络视角评述智能电网信息安全研究现状及若干展望[J].高电压技术,2011,37(3):672-679.
[2]李文武,游文霞,王先培等.电力系统信息安全研究综述[J].电力系统保护与控制,2011,39(10):140-147.DOI:10.3969/j.issn.1674-3415.2011.10.026.
[3]谢迎军.信息及信息安全思辨[C].//中国电机工程学会电力通信专业委员会第九届学术会议论文集.2013:822-826.
[4]工业和信息化部信息安全协调司司长赵泽良:积极应对风险挑战维护国家信息安全[J].信息安全与通信保密,2012,(3):2-2.
[5]杜保东,杨庆明,李冰等.企业云计算信息安全方案研究[J].信息系统工程,2014,(5):67-68.
[6]汪兆成.基于云计算模式的信息安全风险评估研究[J].信息网络安全,2011,(9):56-59.DOI:10.3969/j.issn.1671-1122.2011.09.018.
[7]杨成.解析现阶段云计算的应用与信息安全[J].科技展望,2015,(20):1-2.
[8]中华人民共和国国家标准GB/T22239-2008《信息系统安全等级保护基本要求》
Abstract: With the application and popularization of fine management concept in enterprise, more and more enterprises put tax cost management into the scope of enterprise strategic management. As one of the levers of state regulation of economy, taxation by state coercive force participates in social distribution, which will inevitably affect the share of social members in national income distribution and reduce their disposable income. As an important taxpayer, the enterprise naturally becomes an important source of tax revenue. The increase of tax cost will undoubtedly affect the operation cost of enterprises. Therefore, how to optimize the tax cost of enterprises has become the focus of modern enterprise management research.
关键词: 税收成本;税收管理;成本优化
Key words: tax cost;tax administration;cost optimization
中图分类号:F275 文献标识码:A 文章编号:1006-4311(2017)17-0013-02
1 企业税收成本构成
企业缴纳的各种税款意味着资金从企业流出,相应减少了企业的利润,因此税收应作为成本来对待。企业的税收成本不仅包括依法应缴纳的各种税款,还包括为完成纳税过程所发生的各种服务成本、缴纳税款造成的资金流出企业所带来的利息支出、以及发生违反税法等法律法规行为受到司法行政部门的各种罚款的总额[1]。
1.1 税收实体成本
税收实体成本是指依照税法法律及相关法规规定企业应缴纳的各种税款的总额。现阶段企业应缴纳的各种税款主要包括:增值税、企业所得税、城市维护建设税、教育费附加、地方教育附加、印花税、房产税、车船使用税、消费税、资源税、关税以及土地增值税等。税收实体成本是企业按规定必须缴纳的,是企业义不容辞的义务。在企业不违反税法等相关法律法规的情况下,是企业税收成本的重要组成部分。
1.2 税收服务成本
税收服务成本是指企业为完成税款的缴纳所发生的一系列费用的总和。具体包括:企业为缴纳税款所专设或兼职的办税人员的工资、保险及各项福利费,为向专职税务咨询机构进行纳税咨询或税务所发生的相关服务费用,为办税人员所专门建造或租赁的办公场所的费用,办税人员缴纳税款所发生的交通费以及为完成纳税工作所发生各种培训M用等,为缴纳税款所购买的电脑、打印机、以及金税盘、税控机、发票簿等的费用,以及为应对各级税务部门的辅导和检查所发生的费用等。
1.3 税收财务成本
税收财务成本是指企业缴纳税款占用资金所造成的利息支出。企业缴纳各种税款势必会使一部分资金流出企业,这一部分流出资金所增加的企业利息耗费及把该部分资金用于其他投资的机会成本即为税收的财务成本。企业缴纳的税款越多,税收的财务成本越高。
1.4 税收处罚成本
税收处罚成本是指企业有意或无意违反税法相关法律法规,受到税务、司法等机关的处罚所发生的成本。税收处罚成本具体包括企业晚交税款被税务机关处罚的税收滞纳金,企业偷税、漏税被税务、司法机关处以的罚金和罚款。
2 企业税收成本的影响因素
2.1 影响企业税收成本的外部因素
影响企业税收成本的外部因素主要包括宏观的经济运行环境、国家对税收的相关政策、国家的宏观经济调控手段等。宏观的经济运行环境是所有企业运行的外在环境,对所有企业是平等的,不可选择,只能被动地接受。国家对税收的相关政策也对企业的税收有重要影响。例如一个阶段内国家出台税收的相关优惠措施以及减免税政策,只要企业符合相关政策要求,就将对企业产生有利的影响。国家有时也会用税收手段调控经济运行[2]。例如,国家为了限制某些高污染、高耗能产业的出口,会采取增加出口关税;对一些具有高附加值提倡类企业会给与税收优惠等政策。
2.2 影响企业税收成本的内部因素
结合税收成本的构成内容,影响企业税收成本的内部因素主要分为以下四种:
2.2.1 税收实体成本的影响因素
税收实体成本对企业来说是刚性的,企业只能遵照相关政策,按照相应的税率和税种进行税收的计提和缴纳[3]。企业要积极关注政府的相关税收优惠政策,看企业是否符合相关条件,在符合的条件下,按照规定进行操作。
2.2.2 税收服务成本影响因素
税收服务成本受税收实体成本的影响。在一定的业务量范围内,税收服务成本一定,超过了一定业务量范围,税收服务成本将增加。税收服务成本与办税人员的工作效率负相关,办税人员工作效率越高,税收服务成本越低。此外,税收服务成本还受到税收咨询业务和税收接待工作的影响。税收咨询业务越复杂,税收服务成本越高。企业税收接待工作标准越高,税收服务成本越高[4]。
2.2.3 税收财务成本影响因素
税收财务成本主要受企业缴纳税款金额大小的影响,企业缴纳的税款金额越大,企业税收的财务成本越高。同时企业税收财务成本受到企业税收筹划水平的影响,企业的税收筹划水平越高,企业对资金的统筹规划越合理,税收的财务成本将越低。
2.2.4 税收处罚成本影响因素
税收处罚成本的影响因素主要有办税人员的素质和企业对税法及相关法律政策的遵从程度。企业办税人员的素质越高,出现税收滞纳金的情况越少,税收处罚成本越低,反之,越高。企业对税法及相关法律政策的遵从度越高,因出现偷税、漏税的现象而被相关机关处以的罚金及罚款也越少,税收处罚成本越低,反之,越高。
3 企业税收成本优化措施
企业的税收成本优化是一系列连续的过程,包括事前计划、事中控制、事后评估等一套完整的程序。因此,企业的税收成本优化应站在企业战略管理的高度,在符合国家法律及税收法规的前提下,根据税收成本的构成及相应的影响因素,进行合理优化。
3.1 事前计划
事前计划是企业为达到税收成本优化的目的,所进行的一系列准备工作。税收实体成本的优化,企业要积极关注国家税收相关优惠政策,尽量创造条件争取享受最优税率标准符合规定操作,比如,对于某项优惠措施,条件许可可以争取高新技术企业申报办理,享受企业所得税的优惠税率及研发费用的加计扣除;税收服务成本的优化,企业要制定合理的税务人员工资标准,提高税务人员的办税效率,制定合理的税务机关检查招待标准;税收财务成本的优化,企业要做好资金预算工作,合理安排税收资金的缴纳时间,使企业推迟交税或避免交税;税收处罚成本的优化,企业要积极做好高素质税务人员的培养和储备工作。建立规范科学高效的内部流程流转制度。
3.2 事中控制
事中控制是企业税收非常重要节点,不能仅停留在财务人员业务处理,要提高企业全体人员对税收成本的认识,变少数人为多数人对税收成本管理,增加他们对税收成本观念的认知;加强企业全员对税收方面知识的宣导,特别是涉税票据的取得要及时有效,规范合法;建立企业内部审计机制,定期对企业的纳税核算,纳税申报,税款缴纳加强控制,进一步降低涉税盲区,更好地实现企业的税收缴纳。加强涉税相关人员的业务培训,及时掌握最新的税收政策,把握最新税收动态,通过对税务风险防范能力的提高,降低企业的税收成本;充分利用专业的税务中介服务,发挥专业的中介机构作用。加强税收管理创新结合大数据信息化管理分析相P指标数据进行分析评估和决策。
3.3 事后评估
事后评估是对企业税收成本优化更好的把握。之前所做的很多工作都是为更好地满足企业税收成本优化的有效落地,因此建立评估机制显得尤为重要。大数据的运用,使企业申报的税收数据都无处遁形。加强税企沟通协调,开展更多的自查自纠,努力提高自觉纳税,主动及时地依法申报缴纳税款,降低有意或无意违法税收法规而受到的处罚。强化内部审计对报送税务资料的分析复核,把发现的问题解决在被税务机关检查之前。建立行之有效的税企沟通机制,对企业税收成本遵从具有较大的运用空间,降低企业税收成本起到一定的促进作用。
综上所述,企业税收成本的优化需要企业全体人员的参与重视,需要各个部门的协调配合,注重细节的把握,建立健全规范可行的企业流程机制,创新思维和手段,扬长避短,通过降低企业成本,使企业在激烈的市场竞争中取得相对优势,提高产品竞争力,实现企业的长远持续发展,创造更多的综合效益。
参考文献:
[1]李健.企业税收成本的构成及优化[J].温州职业技术学院学报,2005(3).
[2]徐俊发.有关降低我国企业税收成本方法的探讨[J].中国总会计师,2006(8).
关键词:保险专业硕士;实践导师;激励机制
中图分类号:G643 文献标志码:A 文章编号:1674-9324(2016)41-0056-02
一、问题的提出
2009年,教育部颁布了《关于做好全日制硕士专业学位研究生培养工作的若干意见》,2010年1月,国务院学位委员会第27会议审议通过了包括金融硕士等在内的19种硕士专业学位设置方案,截止到2015年底,我国的硕士专业学位已有40种类别。专业硕士研究生主要是针对社会特定职业领域的需要,培养具有较强职业素养与专业能力的高层次应用型人才,所以在培养方式上注重实践环节的锻炼。为提高专业硕士研究生的理论和实践能力,各高校在专业硕士的培养上普遍采用“双导师制”,即校内理论导师与校外实践导师相结合的培养模式,一般采用两年制,第一学年在校内学习理论知识,第二学年进行实践学习和毕业论文设计。在这其中,与传统学术型硕士最大的区别便是至少有半年时间在校外进行实践学习和实践导师的指导,所以说专业硕士的培养与实践导师的作用密不可分。安徽财经大学作为首批具有专业硕士学位授权点的高校单位之一,早在2010年就开始了专业硕士的招生和培养工作,也率先开展了“双导师制”培养模式,但实践导师发挥的作用却比较有限,究其原因还是对实践导师的激励机制不够完善,本文基于此进行如下阐述。
二、本文研究的理论依据
1.马斯洛需求理论。心理学家马斯洛提出,人类的需要按照其发生的先后次序可分为五个等级:生理需要、安全需要、社交的需要、尊重的需要、自我实现的需要。只有在低层次的需要得到满足以后人们才会去追求高层次的需要。
2.赫兹伯格“双因素论”。美国心理学家赫兹伯格于20世纪50年代提出,又称“激励因素―保健因素”理论。保健因素指的是工作环境中诸如组织政策、工作条件、人际关系、地位、安全和生活条件等外界因素,此类因素的满足会消除人们不满,反之则会招致不满的发生。激励因素则是令员工感到满意的因素,多属工作本身内含的诸如成就、认可、晋升、工作中的成长、责任感等,这些东西如果能得到满足,则可提高员工满意度,激发员工的工作热情。
3.费罗姆“期望理论”。美国著名学者费罗姆提出,激励作用大小取决于两大因素:一是人对激励因素所能实现的可能大小的期望;二是激励因素对其本人的效价,即激励力量=期望利率×目标效价。目标越明确越具体,激励效果也就更显著。
三、保险专业硕士实践导师的作用
1.有利于培养创新型实践高素质人才。专业硕士实践导师的产生是基于研究生教育改革大背景下的重要举措。引进校外实践导师,与校内导师相结合,开辟“双导师制”,有利于拓宽研究生的学术视野和实践能力。实践导师的建立是对传统研究生教育的一种创新,它调动了校外的企业资源,为学生提供了实践创新的平台,将理论研究切实落实到生产建设中去,在实践中创新工作方式和理论研究,有利于培养创新型实践高素质人才,满足国家的人才发展需要。
2.有利于完善现有研究生导师队伍架构。高校发展需要高素质的全方位、多方向的教学和科研队伍,现有的研究生导师因为教学空间局限、思维方式较为传统等因素,研究方向和指导方式往往较为单一,长此以往必将致使整个高校学术水平的倒退。实践导师的存在恰恰能弥补现有导师架构的不足,他们能将先进的企业管理和发展理念带到高校和研究生中来,为学术研究提供与时俱进的发展方向,增强科研的实用性,明确理论的指向性。
3.有利于促进研究生教育的创新发展。随着我国研究生招生规模的扩大和经济社会的快速发展,原有的导师数量和指导水平就显得远远不够,大大制约研究生的培养质量。研究生教育要想得到发展就必须拓宽教育方式和培养模式。实践导师的加入促进了研究生教育向企业实践层面拓展,即提高了导师数量,又保证了指导的实用性,而且拓展了研究生教育的固有思维,是对传统教学指导方式的突破和创新。
四、安徽财经大学实践导师基本情况及存在问题
1.基本情况。安徽财经大学作为安徽省内老牌高校,在2010年率先开展了专业硕士的招生工作,与此同时建立“双导师制”培养模式。截止到2015年12月底,我校全日制专业硕士开设专业主要包括金融硕士(MF)、保险硕士(MI)、应用统计硕士(M.A.S)、税务硕士(MT)、国际商务硕士(MIB)、会计硕士(MPAcc)、资产评估硕士(MV)、旅游管理硕士(MTA)、法律硕士(JM)、审计硕士(MAud)等在内的10个专业。我校专业硕士累计招生规模达1200余人,毕业人数1000余人,平均在校人数300人左右;与此同时,我校专业硕士校内导师163人,校外导师约350人左右。校内导师与实践导师的数量与各专业的招生人数有关。由于经济金融的发展以及我校会计和金融的悠久办学历史和过硬的教学质量,在近些年的招生占比中一直位列前茅,会计硕士和金融硕士一般年均招生80人和40人,相应的这两个专业的校内导师一般为31人和28人左右,校外实践导师与现有招生人数相持平,相比庞大的招生规模,校内导师的师资力量远远不够,校外导师很好地补充了校内师资力量的不足,拓展了硕士研究生教育方式,提高了研究生实践能力和教育质量。
我校实践导师在社会地位、地域分布、所在行业等方面体现着硕士实践导师的共性和学校学科的独特性。首先,实践导师来自于企业或地方政府等社会机构,一般是企业中高层管理人员、地方政府等社会机构担任处级以上职务或具有高级专业技术职务人员等,他们有较丰富的实际工作经验和一定的学术造诣,工作内容或研究方向与所指导的硕士研究生所在的二级学科的研究方向基本一致。其次,实践导师工作单位一般位于本地或本省,以方便师生间的交流与沟通,当然随着交通和信息技术的发展,已将实践导师的范围到江浙等周边城市,一线发达城市北上广等领域也有所分布。最后,我校实践导师一般是现有专业领域的行业精英,涉及到金融、会计、保险、法律、财政、旅游等诸多领域,且随着互联网和大数据的发展,实践导师还发展到大数据和电子商务领域,紧跟时展潮流,把握时代脉搏,充分体现了实践的真谛。
2.存在问题及原因。我校自2010年实行专业硕士招生与培养以来,实践导师的数量和质量都得到了很大提高,但是实践导师在专业硕士的培养过程中发挥的作用极其有限,很大一部分学生与实践导师之间并没有很好地沟通和交流,相应的也没有得到专业指导和实践锻炼,实践导师资源大大被浪费。如何激发实践导师的工作积极性是专业硕士研究生培养中的一项重大难题。从现代激励理论中,可以简要概括导致实践导师激励不足的原因主要有以下几个方面。
(1)学校对实践导师需求层次把握不够。马斯洛需求理论告诉我们,人们在满足了生理、安全、社交等低层次需求之后便开始追求尊重、自我实现等高层次需求。实践导师一般来自各领域的精英,一般的低层次需求早已满足,出任学校导师一般是希望获得育人成才的尊重感和自我价值实现感。我校在实践导师的聘任、评估、激励、和反馈各环节都缺少相应的制度规范,不仅没有提供基本的物质报酬,而且对于实践导师的心理需求和精神激励都存在严重缺陷。
(2)专业硕士对实践导师作用认识不足。对于大多数专业硕士研究生而言,实践导师只是一个名字而已,他们在研究方向、论文写作甚至是在工作选择中主要依赖的还是校内导师。一方面是校内导师较为专业,能在学业生涯中提出较有针对性的建议,另一方面因为授课等原因,校内导师离学生较近,利于沟通。而实践导师一般在企业或者单位,工作较为繁忙、擅长领域各不相同而且思维习惯与学校大有不同,所以造成交流和沟通上的诸多不便。学生一般很少与实践导师联系,只有在学校强制要求的情况下,才会硬着头皮去联系,而实践导师由于工作繁忙很少主动联系学生,这对师生关系的交流和培养是不利的。
(3)校企之间建设缺乏科学的合作机制。实践导师一般来源于各个企业的科学技术骨干和高级管理人才,是各个行业领域的精英人才,在企业中起着举足轻重的地位。他们出任学校实践导师有的只是一个社会兼职或者学校挂名而已,自己的主业还是在企业或者公司,对指导学生缺乏动力。实践导师若想发挥作用,必须建立长期有效的校企合作机制,结合学校指导效果评估工作绩效,约束导师指导行为。但是目前我校在实践基地建设、校企合作等方面严重缺乏科学合理的共赢发展机制,这也是导致实践导师激励不足的一个重要外在原因。
五、安徽财经大学专业硕士实践导师激励措施
1.完善学校内在评估与外在激励机制。首先,我校在实践导师问题上应该完善目前的导师聘任和评估机制,在源头上筛选负责任的具有专业知识背景的实践导师,及时更新淘汰实践导师队伍。目前安徽财经大学的实践导师管理暂行办法还是2009年提出的,只是对实践导师的任职条件、职责、权利、遴选和聘任、考核及管理提出了大概要求,没有具体的跟进措施,在导师质量和渠道来源上参差不齐,导师评估和激励措施未完善,权利和职责未明晰。我校应制定明确具体的实践导师聘任制度,将流程落实到实处,本着本人自愿申请的原则,学院、研究生处层层把关,对实践导师的指导能力、学术造诣、社会影响力等进行综合评估,遴选出优秀且富有责任感的实践导师,而且要签订聘任合同,事先告知其权利和义务,并且在官网上公布实践导师聘用名单。
其次,学校应该在研究生处设置专人专岗和专项资金,负责各学院实践导师和学生实践活动的对接工作。启用对学校工作熟悉且社会经验丰富的专人来负责专业硕士实践导师的安排工作,联系和安排学生进企业实习,导师进学校讲座交流,完善实践导师聘任和评估机制,定期接收学生反馈等等,为打造安财专业硕士的实践特色,培养符合社会需要的创新人才提供一个良好的内部系统。
目前我校专业硕士实践导师基本是零报酬,虽然他们不在乎一般的物质报酬,但更高层次的精神需求也没有得到满足。我校应该利用专项资金和人力资源调动他们的积极性,设定科学合理的报酬体系,为他们开设课程或专题讲座或企业实践提供物质保障,使得劳有所得,劳有所获。其次,根据赫兹伯格“双因素论”,学校更应该注重人才的管理艺术,定期进行导师反馈,给予实践导师充足的尊重和社会荣誉。学校应该每年定期举办实践导师聘任和优秀实践导师授予仪式,以物质和荣誉的方式共同激励,同时还提供了机会,加强了校企之间以及导师和学生之间的交流合作。
2.正向激励与反向激励相结合。激励分为正向和反向,正向激励为鼓励和支持,而反向激励则是惩罚和淘汰,换言之,是一种约束机制。要想充分发挥实践导师的作用,就必须采用正向激励与反向惩罚相结合的机制。学生对导师指导满意度进行评价,学院对实践指导打分,学校根据学生评价、学院评价和企业反馈综合评估实践导师的指导效果,对积极参与指导的实践导师给与物质和精神奖励,延长聘用期限,给予优秀实践导师表彰;对懈怠和不负责任者提前解除聘用合同,以此来督促和约束实践导师的指导行为。
3.导师激励措施与企业绩效管理接轨。根据费罗姆的“期望理论”我们知道,实践导师缺乏积极性的一个重要原因是激励措施没有与他们工作直接挂钩,不能带来目标效价,只有在校企密切合作的基础上,将实践导师的指导评价直接与他们在企业的绩效相挂钩才能激发他们的指导积极性。学校应该加强实践基地建设,加强校企以及政府之间的合作,与实习基地签订实践协议,将实践导师的指导成绩与企业业绩和职位升迁相挂钩,指导合格者可以在企业绩效评估和职称考核中加分,除此之外,合格以及优秀的实习基地和机构单位可以提升企业的社会责任感,可以获得更多的政府支持。
4.加强专业硕士的实践管理制度。实践导师作用的发挥光靠激励实践导师还是不够的,所谓交流指导是相互的,只有受众也即我们专业硕士充分体会到实践导师的重要性,才能主动去挖掘和利用实践导师这一丰富资源。学校要联合各学院制定完善的专业硕士实践管理制度,将专硕实践活动以及具体工作流程以制度的形式落实。学校应将学生实践学分计入培养管理的一部分,实践期间要确定适当,既不耽误校内理论学习,又不耽误最终的工作寻找和毕业论文设计,一般定在专业硕士第一学年末的6月-11月比较合适。在这期间既具备了一般的理论知识储备,又能够在实习实践中寻找工作方向和毕业论文选题方向,还能够为最终工作的选择提供实习经验,而且充分利用了暑假的时间,一举多得。专硕实践锻炼的最后评价除了写实践总结报告之外,还应进行实践答辩,结合校内和校外导师共同评价该学生的实践成绩,将实践的效用最大化。除此之外,专业硕士毕业论文设计应与实践相结合,建议以实践调研报告、案例分析等具有实际效用的论文形式进行写作,促使学生主动与实践导师进行交流,沟通心得,获得就业必备的工作技能和专业知识。将专业硕士的培养过程与实践导师紧密联合,防止只挂名没有实际指导的行为发生,才能促进研究生教育的质的发展。
六、结语
实践导师是专业硕士研究生教育过程中的一大创新,在人才培养和导师队伍建设中都有着很重要的作用,将实践导师效用最大化发挥,需要学校学院、企业导师以及专硕学生的共同努力。只有将内在激励与外在激励相结合、正向激励与反向激励共同作用才能促使实践导师在德、能、勤、绩各方面的共同进步,才能将实践导师资源最大化发挥。
参考文献:
[1]李阿利.建立研究生导师有效激励机制的系统思考[J].学位与研究生教育,2005,(10):24-28.
[2]李占华,罗英姿.高校研究生导师队伍建设的思考――研究生培养机制改革背景下[J].学园(教育科研),2012,(24):29-30.
[3]郑刚.全日制专业学位研究生导师队伍建设的探索与实践――以扬州大学为例[J].学位与研究生教育,2014,(11):10-14.
Research on Incentive Mechanism Construction of Practice Instructors in Master's Degree of Insurance
-An Case Study of Master's Degree of Insurance in Anhui University of Finance and Economics
LI Jia-ming
(Insurance Department, School of Finance, Anhui University of Finance and Economics, Bengbu, Anhui 233030,China)
1.MTI“翻译项目管理”课程构建
2.战略项目管理情境对项目权力配置的影响研究——基于战略权变视角
3.项目管理技术在国家审计项目管理中的应用
4.领导干部需要具备现代项目管理的理念和知识
5.风险分担对工程项目管理绩效影响的实证研究
6.翻译项目管理与职业译员训练
7.我国IT项目管理研究及应用策略
8.项目管理信息化框架和模型研究
9.工程项目管理模式及演进机理分析
10.初始信任、柔性合同和工程项目管理绩效:一个中介传导模型的实证分析
11.项目管理的发展及成熟度分析
12.企业项目管理能力的研究
13.建筑企业组织项目管理成熟度模型研究
14.四种项目管理成熟度模型的比较研究
15.教师培训项目管理导图——以“国培计划”短期集中培训项目为例
16.项目管理的多维度集成创新模式研究
17.翻译项目管理流程介绍
18.基于WSR方法论的项目管理系统分析
19.基于多层次灰色理论的房地产项目管理成熟度模型构建与应用研究
20.企业项目管理成熟度模型的构建与应用研究
21.工程项目管理模式决策研究综述
22.企业战略管理与项目管理耦合研究
23.治理对公共项目管理绩效改善的实证研究——以企业型代建项目为例
24.合同柔性与项目管理绩效改善实证研究:信任的影响
25.建设企业多项目管理中的资源调度问题研究
26.企业集权度与项目管理成熟度匹配关系研究
27.基于BIM的工程项目管理沙盘模拟实践教学研究
28.基于成熟度的科研项目管理评测及改进研究
29.基于战略视角的企业项目管理模式研究
30.基于OPM3的组织项目管理能力体系建设的研究
31.政府投资大型复杂项目总体项目管理框架研究
32.多项目管理组织结构及其评价
33.不完全契约视角下工程项目风险分担与项目管理绩效影响关系实证研究
34.中国工程项目管理体系探讨
35.多项目管理探究
36.项目管理在制药企业新药研发中的应用探讨
37.中国农村扶贫项目管理效率的定量分析
38.基于物元分析法的施工项目管理绩效评价模型
39.新产品研发项目管理模式的应用
40.项目管理成熟度模型及其应用研究
41.协同产品开发环境下项目管理系统的研究
42.项目管理与项目治理的辨析
43.大数据挖掘在工程项目管理中的应用
44.中外项目管理模式比较研究
45.关键链项目管理方法综述
46.项目管理中的人和组织因素研究现状综述
47.面向科研院所的科研项目整合管理体系研究
48.软件项目管理最新研究综述
49.项目管理的研究现状与研究前景
50.工程项目管理中应对不确定性的机制研究
51.并行建设工程项目管理模式研究
52.建设工程项目管理信息化发展问题研究
53.项目管理中BIM技术的应用与推广
54.浅论“项目—矩阵”复合式项目管理组织结构模式
55.论项目管理的知识体系
56.神舟飞船项目管理成熟度模型研究
57.国内外现代项目管理学科体系的发展
58.全生命周期项目管理成熟度模型研究
59.“大学生创新创业训练计划”项目管理探索与实践
60.项目管理成熟度模型(PMMM)研究与应用
61.项目管理办公室:概念、发展历程与职能
62.初始信任对工程项目管理绩效的影响研究:合同柔性、合同刚性的中介作用
63.汽车研发中的现代化项目管理
64.借鉴现代项目管理理论 提升科研项目管理水平
65.项目管理研究综述
66.项目管理技术在汽车产品开发中的应用探讨
67.风险分担对工程项目管理绩效的影响研究——基于社会资本的调节效应
68.科研项目管理成熟度模型及其应用研究
69.项目管理理论及其架构
70.基于项目管理视角的高校协同创新团队组织结构分析与设计
71.人力资源管理在项目管理中的有效应用
72.项目管理与项目组织研究结构与分析
73.农民有效参与对农地整治项目绩效的影响效应研究——基于项目管理行为的中介效应分析
74.项目管理中的知识管理问题
75.基于平衡计分卡的项目管理绩效评价模型研究
76.创业教育导向下电子商务专业项目管理课程的实践教学设计
77.我国政府投资项目管理新机制的实践与创新研究
78.基于项目管理的高校图书馆服务创新
79.关键链多项目管理中能力约束缓冲大小研究
80.项目组合管理在企业项目管理中的应用研究
81.全生命周期项目管理思想在我国政府投资项目中的应用研究
82.国内外项目管理研究的理论、框架及其进展
83.项目管理理论综述
84.中国项目管理发展的热点和趋势研究
85.基于中国传统的项目管理研究
86.项目管理知识体系的比较分析
87.项目管理的最新进展
88.缓冲估计与关键链项目管理
89.项目管理发展综述
90.BIM在施工总承包项目管理中的应用价值探索
91.基于关键链方法的多项目管理
92.从组织行为学视角看项目管理中的人力资源管理
93.项目管理的研究前沿
94.建筑信息模型(BIM)技术在城市轨道交通项目管理中的应用与探索
95.工程项目管理理论与实践新进展综述
96.信任改善大型工程项目管理绩效的研究框架——基于情景模拟的行为实验
97.论项目管理在市场营销实践中的应用
98.公共项目管理绩效改善路径研究