前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇审计的本质功能范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
1.1国家审计的职能主要是从封闭到开放的发展过程从古代以来,公共受托责任主要体现出专制的性质,以此为基础,国家审计的职能也相应表现出了专制的色彩。在古代,国家的审计职能是单一性的监督,逐渐发展到了包含评价的监督,但是这时候的监督是最高的统治者为了更好的来执行他的权利,巩固统治地位的一种工具。评价职能主要是用来评价官吏对于最高统治者意愿的执行情况,从而对他们进行思想上以及行为上的控制。在现代民主的制度下,现代的公共受托责任充分体现了民主的思想,国家的审计职能已经成为了推动法制以及民主的有力工具。从本质上来讲,审计的目的就是体现人民的意志,最大程度实现人民的利益。随着社会的不断发展,人民的意志不断丰富着国家审计职能的内涵,逐渐形成了审计职能的开放系统。
1.2国家审计职能的广度以及深度在不断扩展公共受托责任范围的不断扩大以及深化,推进了国家审计职能的广度以及深度的扩展,主要体现在内容和过程两个方面的扩展。从内容方面来说,主要是指在功能性职能方面的拓展,据我们所知,国家审计职能具有动态性的特点,从古代到现代,基本性的职能是监督,除此之外,国家审计的功能性职能从之前的简单的查错纠弊职能直接扩展到了现在的建设性职能、鉴证职能以及评价性职能,随着社会的不断发展,还会显现出更多的职能。
2.国家审计职能进行演化的总体框架
从历史唯物主义来讲,所有的事物发展都存在着一定的规律性,主要的问题是我发现其存在的问题。第一,国家的审计职能伴随着时间的不断变化,有了横向以及纵向的演变。本文主要来分析国家审计职能的纵向演变。审计职能是审计内在的固有的一些职能,当固有职能向现实职能进行转变时,需要特定的条件,可能只是一些小的外来因素的刺激。在审计职能中,横向的差别是相当渺小的。除此之外,从时间不断变化的角度来研究国家审计职能的演变,这就在一定程度上承认了国家的审计职能是一个动态的过程。国家的本质性职能是固定不变的,但是伴随着时间的变化会丰富它的内涵,拓展它的外延,来更好的适应社会的各种需求。所以,要站在历史发展的角度来具体研究审计职能的演变规律。第二,应该对国家的审计职能进行科学的界定。国家审计的规律是比较抽象的,来反映普遍、共性的东西。本文给出了对审计职能进行科学界定的标准:一个是将审计职能和非审计职能进行科学区分;二是确立国家审计职能时,要对所有时期的审计职能进行详细的解释。
3.国家审计职能的演变规律
首先,国家审计的本质性职能是固定不变的,换句话说,国家审计的本质性职能--监督职能不会随着社会的发展而发生变化。其次是国家审计的本质性职能的内涵在逐渐丰富,并且还在不断扩大职能的外延。虽然基本职能是固定不变的,但不等同于基本职能的内涵以及外延不能有所发展。然后是随着社会的不断发展,还能不断发现出国家审计隐藏的职能。最后,就国家审计的功能性职能而言,具有一定的发散性以及收敛性。在社会不断发展的过程中,国家审计的功能性职能会发生很大的变化。研究表明,国家审计功能性职能的发散性以及收敛性具有辩证统一的关系。
4.总结
审计本质理论的发展:审计本质经历了查账论、信息论、方法过程论、经济监督论到经济控制论的一个过程。
(一)查账论 “查账论”认为审计就是对被审计单位的账务进行检查,这是对审计最原始的认识。在审计产生初期,主要起着查帐和对会计进行监督的作用,因此审计主要作用就被认为是审查账务处理是否符合会计规范,是否真实、合理、合法。审计的对象随着实践的发展逐渐发展,经历了由账簿到报表再到原始凭证的过程。其内容和形式得到了充分的丰富和发展,审计的方法得到了极大地创新,这时候查账显然已经不是审计的全部工作内容,因而,“查账轮”失去了存在的土壤,最终被历史所淘汰。
(二)信息论 “信息论”始于20世纪60年代,并逐渐完善并形成体系。“信息论”的主要观点是认为审计就是提供利益相关者所需要的可靠并相关的信息,优化经济资源的配置效率。后期的审计“信息论”逐渐分化为信息传递论学派和信息系统论学派。“信息传递论”学派认为,投资者在投资时为了让自己的资本增值,即资本的有效配置,需要可靠而相关的信息作为决策的指南,而审计保障了这种符合标准要求的信息可靠以及有效传递;“信息系统论”则认为审计所提供的会计信息是一个整体,只有系统地进行分析才能够达到审计的目的。但只注重结果,没有体现过程,因此逐渐被方法过程论所代替。
(三)方法过程论 “方法过程论”产生于20世纪70年代,主要贡献是认为审计是一种系统的方法和过程。1973年,美国会计学会基本审计概念委员会在其出版的《基本审计概念说明》给出对审计的新的定义,认为审计是“为确定关于经济行为及经济现象的结论和所制定的标准之间的一致程度,而对与这种结论有关的证据进行客观收集、评定,并将结果传达给相关利害关系人的系统过程”。这个定义标志着查账论彻底被方法过程论代替,承认审计是一个系统的过程,这个定义在当时的经济条件下是比较中肯的审计定义,至今也有一定的指导意义。
(四)经济监督论 “经济监督论”认为审计是一项经济监督活动。“经济监督论”是由我国学者首先提出的一种关于审计本质的观点。这种观点是在我国社会主义初级阶段,以后,国家百废待兴、经济初步发展、审计处于萌芽状态的背景下产生的一种理论。在这种历史条件下,计划经济依然主导着人们的观念,市场经济处于非主流状态,监督经济运行势必成为衡量和考核计划经济完成情况的重要尺度,审计在经济生活中所扮演的角色也就主要是监督经济运行作用了。但这种观点是典型的将审计职能片面地概括为审计本质的观点。
(五)经济控制论 “经济控制论”是蔡春教授在其博士论文《审计理论结构研究》中提出的。该观点认为审计是因受托责任的履行而产生的,其目的就是为了更有效地履行受托义务的契约,达到委托方控制受托方经济活动的目的。 “经济控制论”在审计理论的发展中具有里程碑的作用,将人们对审计的认识提到了较高的层次。但笔者并不完全赞同审计就是控制经济活动的观点。其一,控制具有很强的外部性,不是审计的内在属性,容易受到外部条件的制约。其二,除了控制经济运行以外,人们也期望通过审计的咨询、纠错等职能来提供建设性意见,因此经济控制论只能说体现了审计比较核心的作用。
(六)免疫系统论 2008年3月31日,在中国审计学会五届三次理事会暨第二次理事论坛上,刘家义审计长第一次系统地阐述了“审计免疫系统论”,该理论的核心是认为审计的本质就是一个国家经济社会运行的免疫系统,其首要任务是保障国家安全,其最高目标是维护人民当家作主的根本利益。审计免疫系统论从审计与整个经济运行关系的角度创造性地提出了审计的本质。是将国家学说与社会经济发展的更深层次的基础上提出的对审计本质的全新认识,对审计理论和实务的发展具有跨时代的意义。
二、审计免疫系统论对审计本质的影响
审计“免疫系统论”认为在经济社会运行中,审计发挥着免疫功能,是国民经济发展的有效保障,犹如人体的免疫系统,能够预防、揭示和抵御经济社会运行中的障碍、矛盾和风险。
(一)“免疫系统”论对审计本质的创新 (1)“免疫系统”理论,是对审计本质认识的深化和创新,是在对哲学、生物学、审计学、经济学、管理学等各门学科融会贯通之后高屋建瓴的建树。从审计的发展历程来看,人们对审计的认识由表及里,逐步深入,最终发现审计之于国民经济犹如免疫系统之于人体,没有免疫系统,如同人体的大门为各种疾病的进入敞开着,而一个组织的经济活动如果没有审计,自然为舞弊、贪污、挪用、玩忽失职等各种犯罪活动大开便利之门,那么经济活动势必难以健康为继,整个经济系统就失去了得以正常运行的保障。因此,刘家义审计长提出的审计免疫系统论是对审计理论的最佳诠释,既形象地说明了审计的活动过程及作用机理,又深入地升华了审计的作用及本质。(2)“免疫系统论”是动态的审计。事物都是运动、变化和发展,审计也不例外。而前面的“查账论”、“经济监督论”、“经济控制论”和“信息系统论”等审计理论都是从静态、被动和单一的角度对审计本质的概括,而“免疫系统论”则是从动态、主动和全面的角度对审计本质的概括。正如人体的免疫系统需要不断运动才能提高免疫力一样,审计这个“免疫系统”同样也必须通过运动才能得以维系。如果审计免疫系统不在实践中相互配合、逐渐磨合、创新发展,那么免疫只能流于口号。“免疫系统论”全面、系统地回答了什么是审计、为什么审计、审计的主体是谁、怎样审计以及审计的标准是什么等一系列关于审计的问题。审计免疫系统符合中国特色社会主义下人民当家作主的宗旨,将维护国家和人民财产安全作为审计最终目标和行为准则,是在中国现有条件下对审计本质最深刻的认识。
(二)免疫系统论对审计本质的发展 (1)免疫系统论对审计本质有了很多新认识。通过对审计“免疫系统论”的深入系统的分析,笔者认为只有深刻认识审计过程的最终产品审计信息,才能够更透彻地理解审计的本质。审计实质上就是一个通过审查、评价等审计手段最终生产出审计信息的过程,并将这一最终产品输出给产品的消费者(利益相关者)。这些审计产品即审计信息是对被审计单位一定会计期间的经济活动及经济行为与法律、法规、制度等审计标准之间相符程度的审计。
(2)免疫系统论明确了审计在本质上与其他经济活动的根本区别。审计与会计是联系最紧密的,以会计为例,会计也能起到经济监督、经济控制、提供系统会计信息等作用,因此以前的理论既可以作为审计的本质也可以作为会计的本质,也就是说以前的关于审计本质的理论没有明确审计本质上与其他经济活动的区别,不足以概括审计的本质和内涵。而“免疫系统”则是审计所特有的本质,是可以将审计与其他经济活动区别开来的特性,在经济活动中,唯有审计才具有“免疫系统”的功能,因此审计“免疫系统”论更好地揭示了审计的本质。
(3)免疫系统论揭示了关于审计本质的更深层次的内容。虽然不能说“免疫系统论”就是审计的最好理论,因为随着经济的发展,理论还要在实践中逐渐发展。但是“免疫系统论”确实揭示了一些关于审计的更深层次的内容。首先,免疫系统论明确了企业的契约关系,在制度经济学中,把企业看成是一个企业的集合体,委托人和人均是契约双方的主体,委托方为了更好地监督受托方必然要通过一种机制来制衡、检验、控制人的行为以便维护自己的利益,减少人的逆向选择和道德风险,这种重要的机制从财务控制的角度就是审计,而审计免疫系统论恰好概括了这一机制,即形成一个有效的免疫系统有效降低风险和成本。其次,免疫系统论是为审计的实务提供了指南,如何更好更有效地审计,必须要从各个环节深入把关,使之 形成一个免疫系统,这样就可以抵御经济活动中的各种障碍、矛盾和风险。
(4)免疫系统论为审计理论的发展指明了方向。 可以将整个审计过程分解为“两个阶段,一种产品。“两个阶段”,即生产阶段和输出阶段,“一种产品”即审计信息。审计实务就是经过这两个阶段并生产出合格审计产品的过程。如:在审计信息的生产阶段,主要应该重点关注如何将高质量的审计信息生产出来,因此必须重点做好审计方法、审计工具、审计流程设计、审计信息的检验、审计人员的素质培训以及生产效率等问题;在审计信息的传递阶段,重点关注以什么样的的方式将哪些信息以恰当的渠道传递出去。就这一种产品审计信息而言,需要确定审计信息的性质、内容、载体和审计信息的质量。在两个不同的阶段同时发挥免疫系统的功能,才能将经济活动中的障碍、矛盾和风险消灭在萌芽状态。总之,免疫系统论为审计理论和审计实务的发展指明了方向,也为审计理论体系的构建奠定了坚实的基础。
[本文系湖北省审计厅项目“免疫系统论对审计理论与实务的影响”阶段性研究成果]
【关键词】 非财务计量工程项目信息; 非财务计量工程项目信息审计; 工程项目审计; 建设项目审计; 投资项目审计
【中图分类号】 F239.44 【文献标识码】 A 【文章编号】 1004-5937(2016)22-0121-07
一、引言
工程项目是多主体参与的经济活动,涉及多种委托关系,不同的主体有不同的利益诉求。然而,无论如何,工程项目相关的信息是各主体利益得以实现的基础。一般来说,工程项目信息可以区分为财务计量信息和非财务计量信息,在许多情形下,非财务计量信息是财务计量信息的基础。所以,从某种意义上说,非财务计量工程信息对于工程项目相关各主体的利益有重要的意义。也正是因为如此,工程项目利益相关者有激励操纵甚至虚构非财务计量工程信息,从而出现非财务计量工程信息虚假。为此,工程项目利益相关者为了各自的利益,会建立一些应对机制来治理非财务计量工程信息虚假,工程项目审计是这些应对机制的组成要素之一①。
关于工程项目审计有不少研究文献,其中一些文献涉及非财务计量工程信息审计,但是,总体来说,非财务计量工程信息审计的一些基础性问题还缺乏系统化的理论框架。本文从工程投资者的视角,对非财务计量工程项目信息审计的基础性问题进行理论探究,构建非财务计量工程项目信息审计基本理论框架。
随后的内容安排如下:首先是简要的文献综述;其次,基于工程投资者的视角,从理论上分析非财务计量工程信息审计的基础性问题,形成审计基本理论框架;最后是结论和启示。
二、文献综述
工程项目审计的内容较多,主要包括工程量、工程造价、工程管理、工程质量、工程绩效、工程财务收支及工程财务报表[ 1 ],上述内容涉及行为、制度、财务信息和非财务信息四类审计主题。就非财务计量工程项目信息而言,主要涉及工程量、工程造价、工程质量、工程绩效四方面内容。工程量审计一般作为工程造价的组成部分。关于工程造价审计,有不少研究文献,主要研究工程造价审计的必要性、审计方法、审计风险及存在的问题等[ 2-9 ]。关于工程质量审计,研究文献不多,主要研究工程质量审计的必要性、审计内容和审计方法[ 10-12 ]。关于工程绩效审计,主要研究工程绩效审计评价指标体系及评价方法[ 13-15 ]。
总体来说,关于非财务计量工程项目信息审计的基础性问题,尚缺乏系统化的理论框架。本文基于工程投资者的视角,从理论逻辑上分析这些基础性问题,构建非财务计量工程项目信息审计基本理论框架。
三、基本理论框架
工程项目审计包括多方面的内容,工程项目信息是其中一个方面,工程项目信息可以区分为财务计量工程项目信息和非财务计量工程项目信息,本文关注后者。同时,对于非财务计量工程项目信息审计,可以有不同的研究视角,本文从工程投资者视角,探究非财务计量工程项目信息审计的基础性问题,这些问题包括:为什么会有非财务计量工程项目信息审计――审计需求?什么是非财务计量工程项目信息审计――审计本质?希望非财务计量工程项目信息审计干什么――审计目标?非财务计量工程项目信息审计是对谁审计――审计客体?非财务计量工程项目信息审计的审计内容是什么――审计内容?非财务计量工程项目信息审计是谁来审计――审计主体?非财务计量工程项目信息审计如何审计――审计方法?非财务计量工程项目信息审计与审计环境是什么关系――审计环境?通过对上述问题的探究,形成非财务计量工程项目信息审计基本理论框架。
(一)非财务计量工程项目信息审计需求
审计需求关注为什么会有审计,非财务计量工程项目信息审计也不例外。工程项目以建筑物或构筑物为目标产出物,需要支付一定的费用、按照一定的程序、在一定的时间内完成,并应符合质量要求,是一个复杂的系统工程。就利益相关者来说,工程项目涉及三类主体,一是投资者,二是项目管理者,三是项目实施者。项目投资者为工程项目提供资金,可以是国有资金,也可以是非国有资金。项目管理者负责工程项目全过程的组织管理,一般称为建设单位。项目实施者在建设单位的组织下,具体实施工程项目,一般包括勘察设计单位、施工单位、工程监理单位②。事实上,项目投资者与建设单位形成委托关系,项目投资者是委托人,建设单位是人;建设单位与勘察设计单位、施工单位、工程监理单位之间也形成委托关系,建设单位是委托人,而勘察设计单位、施工单位、工程监理单位是人[ 16 ]。
那么,在工程项目的上述委托关系中,人能否按委托人的希望来履行其职责呢?由于人性自利和有限理性,再加上信息不对称和激励不相容,人很有可能偏离委托人的利益,从而出现机会主义行为和次优行为。建设单位具有委托人和人双重身份,作为委托人也可能因为人性自利和有限理性出现机会主义行为。工程腐败、工程造价虚假、工程质量不合格都是机会主义行为和次优行为导致的典型问题[ 17-18 ]。一般来说,无论是委托人还是人的机会主义行为和次优行为,都可以区分为四类:一是行为违规,也就是工程相关行为违反法律法规或合约;二是管理制度缺陷,也就是工程相关的管理制度存在设计缺陷或没有得到有效执行;三是财务信息虚假,也就是工程相关的财务信息失真;四是非财务计量信息虚假,也就是工程相关的非财务信息失真。上述四类问题是相互关联的,并且,各利益相关者都有可能发生。
为了应对工程项目利益相关者的机会主义行为和次优行为,高效且合作地完成工程项目,并且保证工程质量,就需要建立一定的行为规则来规范各利益相关者的行为,这些规则可以称为工程项目治理框架,主要包括:项目法人责任制、工程造价管理体制、工程质量监督体制、工程招投标制、工程监理制、工程项目审计等[ 19-24 ]。
工程项目审计是应对工程项目利益相关者机会主义行为和次优行为的治理机制之一,一般包括工程合规审计、工程制度审计、工程财务审计、非财务计量工程项目信息审计。非财务计量工程项目信息失真既可能源于利益相关者的自利,从而产生信息弄虚作假;也可能源于利益相关者的有限理性,从而产生信息错误。然而,在许多情形下,无法区分有意的弄虚作假和无意的信息错误,所以,通常需要合并起来进行治理。非财务计量工程项目信息审计是治理机制之一,这种机制最终是否出现,还基于治理信息虚假的各种机制的组合方案,如果非财务计量工程项目信息审计具有成本效益性,则该机制就会出现在应对非财务计量工程项目信息失真的机制中。
(二)非财务计量工程项目信息审计本质
审计本质关注审计是什么,非财务计量工程项目信息审计本质也不例外。非财务计量工程项目信息审计属于工程项目审计,所以,其本质不能离开工程项目审计本质,而是在工程项目审计本质的基础上,增加特有的内涵,从而显现自己的特有本质。本文先分析工程项目审计的本质,然后再分析非财务计量工程项目信息审计的本质。
工程项目审计本质当然离不开审计一般的本质,是在审计一般本质的基础上,增加工程项目审计的特有内涵,从而显现工程项目审计的特有本质。一般认为,审计是以系统方法从行为和信息两个角度独立鉴证经管责任中的问题和次优问题并将结果传达给利益相关者的制度安排[ 25 ]。将审计一般的这个本质,限定于工程项目审计的特定范围,工程项目审计本质可以表述如下:工程项目审计是以系统方法从行为和信息两个角度独立鉴证工程项目经管责任中的问题和次优问题并将结果传达给利益相关者的制度安排。这里的特有内涵是工程项目经管责任中的问题和次优问题。一方面,这里的经管责任不是一般意义上的经管责任,而是工程项目特有的经管责任,包括建设单位对工程投资者的经管责任,也包括勘察设计单位、施工单位、工程监理单位对建设单位的经管责任;另一方面,这里的问题和次优问题是工程项目领域特有的,不是一般意义上的问题和次优问题,涉及行为、制度、财务信息和非财务信息这四类审计主题,相应地,工程项目审计也包括工程合规审计、工程制度审计、工程财务审计、非财务计量工程项目信息审计。工程合规审计主要关注工程相关财务收支及管理行为是否符合法律法规及合约;工程制度审计主要关注工程管理相关制度是否存在缺陷、是否得到有效执行;工程财务审计主要关注工程相关的会计报表数据是否真实;非财务计量工程项目信息审计主要关注非财务计量工程项目信息是否真实。上述四种工程项目审计业务,并不一定会同时出现。一方面,基于委托人的需求,如果委托人对于某方面的问题关注程度不高,则该方面的审计也就不会出现;另一方面,即使委托人关注某些方面的问题,而应对这些问题的治理机制包括多种类型,最终选择哪些治理机制,是基于成本效益的权衡,并不一定会选择审计机制,只有当审计机制符合成本效益原则时,才会出现,所以,审计机制用来应对工程相关的机会主义行为和次优行为,只是具有合理的可能性,并不一定具有确定性,还受到其他治理机制有效性等一些权变因素的影响。
非财务计量工程项目信息审计属于工程项目审计,其本质当然离不开工程项目审计的本质,只是增加非财务计量工程项目信息的特有内涵,从而显现其特有本质特征。根据工程项目审计本质,对于非财务计量工程项目信息审计本质,可以表述如下:非财务计量工程项目信息审计是以系统方法独立鉴证工程经管责任相关的非财务计量信息中的问题和次优问题并将结果传达给利益相关者的制度安排。这里的特殊之处是缩小了工程项目经管责任中问题和次优问题的范围,从而显现了非财务计量工程项目信息审计的特有内涵,而本质内涵的这种限定,也就确定了非财务计量工程项目信息审计的外延――关注非财务计量工程项目信息是否真实,既包括由自利导致的非财务计量工程项目信息有意弄虚作假,也包括由有限理性导致的非财务计量工程项目信息无意错误。
审计本质的另一个维度是审计功能,非财务计量工程项目信息审计也不例外。一般来说,审计具有鉴证、评价和监督三大功能,非财务计量工程项目信息审计也可以具有上述三大功能。就鉴证功能来说,主要是判断非财务计量工程项目信息与生产这些信息的规定之间是否存在重大差异,这是非财务计量工程项目信息审计本质应有的含义,所以,鉴证是非财务计量工程项目信息审计的基础。评价是在鉴证的基础上,将信息表征的绩效与适宜的标杆进行比较,以判断绩效的水准。对于非财务计量工程项目信息审计来说,许多非财务计量工程项目信息就是表征工程绩效的,可以与适宜的标杆进行比较,以确定工程绩效水准。监督主要强调对违规问题的处理处罚,只要审计委托人或法律给审计人授权,审计人当然可以对发现的非财务计量工程项目信息失真责任人进行处理处罚。所以,非财务计量工程项目信息审计完全可以具有监督功能。
(三)非财务计量工程项目信息审计目标
审计目标关注希望审计干什么,非财务计量工程项目信息审计也不例外。一般来说,审计目标区分为终极目标和直接目标,前者是审计委托人的目标,后者是审计人的目标。
就终极目标来说,委托人委托或授权审计人进行非财务计量工程项目信息审计,不是为审计而审计,而是将审计作为治理非财务计量工程项目信息失真的机制之一,而建立治理机制的目的就是预防和发现非财务计量工程项目信息失真,进而抑制非财务计量工程项目信息失真。所以,从审计委托人来说,当然希望非财务计量工程项目信息审计能发挥抑制非财务计量工程项目信息失真的作用,这是这种审计的终极目标。
当然,上述非财务计量工程项目信息审计内容是就总体而论,并不一定在每个工程项目审计中全部出现,就特定的工程项目来说,委托人可能只要求对其中某些方面的非财务计量工程项目信息进行审计。
(六)非财务计量工程项目信息审计主体
审计主体涉及谁来审计,非财务计量工程项目信息审计也不例外。审计主体的关键问题有两个,一是独立性,二是专业胜任能力。从长期来看,专业胜任能力是可以建立的,所以,审计主体选择的实质性条件是独立性。
就非财务计量工程项目信息审计来说,对于政府投资的项目,政府审计机关无疑可以作为审计主体,对各类审计客体进行审计。政府审计机关也可以委托中介机构对各类审计客体进行审计。对于非政府投资项目来说,投资者对建设单位进行审计,可以是投资者自己建设的内部审计机构,也可以是投资者委托的中介机构。根据合约,如果投资者及建设单位可以对勘察设计单位、施工单位、工程监理单位进行审计,则投资者及建设单位委托中介机构作为审计主体是没有问题的。
然而,投资者及建设单位自己建立的内部审计机构能否作为勘察设计单位、施工单位、工程监理单位的审计主体呢?就审计独立性来说,投资者及建设单位自己建立的内部审计机构能够独立于勘察设计单位、施工单位、工程监理单位,但是,投资者及建设单位有其特定的利益,勘察设计单位、施工单位、工程监理单位也有其特定的利益,并且,在不少情形下,这些单位之间的利益是零和博弈,勘察设计单位、施工单位、工程监理单位利益与投资者及建设单位的利益互为消长,投资者及建设单位自己建立的内部审计机构显然不能独立于投资者及建设单位,如果由这种机构来审计勘察设计单位、施工单位、工程监理单位,审计独立性缺乏基础。当然,即便是这样,由于工程相关的法律法规较为详细,审计依据较为清晰,在这种情形下,审计人员如果以审计证据为基础作出审计结论,也不一定能损害审计客体的利益,所以,审计依据的清晰性可以较大程度上弥补审计独立性的缺失。
(七)非财务计量工程项目信息审计方法
审计方法涉及怎么审计,在审计基本理论层面,主要关注审计取证模式,非财务计量工程项目信息审计也不例外。审计取证模式一般包括命题论证模式、数据流程模式、数据分析模式和专业测量模式[ 26 ],就非财务计量工程项目信息审计来说,上述四种模式都有可能采用。
命题论证模式将审计取证视同命题论证过程,将需要证实的审计问题作为审计命题,将大命题分解为小命题,围绕小命题来审计证据,通过对小命题的证明来验证大命题的真伪。在非财务计量工程项目信息审计中,有些情形下,存在完整的信息链,可以从上层级的信息追踪到下一层级的信息,直到最原始的记录,在这种情形下,就可以采用命题论证取证模式。例如,工程质量审计中,关注商品混凝土投入量,如果是外购的,可以从施工记录中商品混凝土投入记录追踪到商品混凝土购入合同,进而追踪到发票及发票付款记录,通过这个追踪过程,就能验证商品混凝土投入的数量。
数据流程模式的逻辑是,可靠的过程是数据质量的保证,如果数据产生过程值得依赖,则数据本身也就值得依赖。就非财务计量工程项目信息审计来说,如果某些数据是由第三方生产的,并且这些第三方的独立性和专业胜任能力都值得依赖,这种情形下,由第三方产生的数据也就值得依赖。例如,在工程监理机构具有专业胜任能力且能良好地履行其职责的情形下,其提供的信息就值得依赖。
数据分析模式是通过数据之间的关系来判断数据是否存在失真。就非财务计量工程项目信息审计来说,不少数据之间存在逻辑关系,若责任方提供的数据不存在预期的逻辑关系,则很大程度上其数据可能存在失真。例如,工程质量审计中,可以通过工程结算账、分包结算账、物资采购账、财务会计账和工程管理文档这些记录中的工程物料量,对工程物料投入情况进行检查,验证是否按设计投入工程物料。其原因是,工程结算账、分包结算账、物资采购账、财务会计账、工程管理文档中的物料数量具有逻辑关系,如果这种关系不存在,则物料投入量可能存在失真。
在非财务计量工程项目信息审计中,数据分析模式还有另外一种特殊情形,就是重新计算。当发现责任方提供的数据存在较严重的逻辑偏差或判断其存在较严重的操纵数据动机时,可以按权威机构确定的方法,对一些非财务计量工程项目信息进行重新计算,将计算结果与责任方提出的数据进行比照,以确定责任方数据的失真程度。当然,采用这种方法的前提是,双方对计算方法不存在重大分歧,并且,对于计算结果可以容忍一定的偏离。
专业测量模式是采用专业手段,对一些数据进行实地测量,重新计算,将测量得到的数据与责任方提供的数据进行比照,以判断责任方数据的真实程度。例如,在工程量审计中,经常使用实地检测方法来验证工程量究竟是多少;在工程质量审计中,可以用实体检测方法来检测建设工程是否满足国家标准或设计要求,判断是否存在工程质量缺陷[ 11 ]。
(八)非财务计量工程项目信息审计环境
审计环境理论涉及审计与环境的相互关系,包括审计环境如何影响审计以及审计如何影响审计环境,非财务计量工程项目信息审计也不例外。
就审计环境对审计的影响来说,一方面,非财务计量工程项目信息审计是否作为重要的审计内容会受到审计环境的影响,工程项目审计的内容包括工程合规审计、工程制度审计、工程财务审计和非财务计量工程项目信息审计,不同的审计环境下,对上述四类审计业务的需求程度进而重视程度也不同;另一方面,非财务计量工程项目信息审计本身又包括多项内容,例如工程量、工程造价、工程质量、工程绩效,不同的审计环境下,对上述内容也会有不同的需求程度;另外,审计环境对非财务计量工程项目信息审计方法会产生重要影响,不同的基础信息下审计取证模式不同,不同科学技术环境下能用于非财务计量工程项目信息审计取证的技术方法也不同,例如,用GPS测量土方工程量,在这种技术产生以前,是不可想象的。
就审计对审计环境的影响来说,主要路径是通过使用审计产品来影响利益相关方,进而改变利益相关方的行为。主要有三个路径:一是威慑路径,一些本身打算对非财务计量工程项目信息弄虚作假的单位,由于非财务计量工程项目信息审计的存在,这些单位放弃了这种企图,审计发挥了威慑功能;二是揭示路径,通过审计,揭示非财务计量工程项目信息失真,使得原来打算进行信息操纵的单位没有得到其预期的利益,甚至还招致损失,从而发现了一般预防和个别预防的作用,审计发挥了揭示功能;三是抵御路径,通过审计,发现非财务计量工程项目信息相关的制度缺陷,推动这些缺陷得到整改,为避免以后重复发生信息失真奠定了基础,审计发挥了抵御功能。
四、结论和启示
非财务计量工程项目信息审计是治理工程项目信息失真的机制之一,本文从理论上分析其基础性问题,提出非财务计量工程项目信息审计基本理论框架。
关于审计需求,由于自利和有限理性,工程项目相关的利益主体可能出现机会主义行为和次优行为,其中包括非财务计量工程项目信息失真。为了应对机会主义行为和次优行为,需要建立一个治理框架,审计是应对非财务计量工程项目信息失真的机制之一。
关于审计本质,非财务计量工程项目信息审计是以系统方法独立鉴证工程经管责任相关的非财务计量信息中的问题和次优问题并将结果传达给利益相关者的制度安排。
关于审计目标,非财务计量工程项目信息审计的终极目标是抑制非财务计量工程项目信息失真,直接目标是生产让审计委托人满意的审计产品,包括审计报告、审计评价报告和审计决定。
关于审计客体,非财务计量工程项目信息审计客体是非财务计量工程项目信息责任承担者,包括建设单位及其内部组织、勘察设计单位、施工单位、工程监理单位。
关于审计内容,非财务计量工程项目信息主要是指工程量、工程造价、工程质量、工程绩效。
关于审计主体,基于独立性要求,政府审计机关和中介机构是非财务计量工程项目信息审计客体。在审计依据清晰的情形下,投资者及建设单位自己建立的内部审计机构也可以作为勘察设计单位、施工单位、工程监理单位的审计主体。
关于审计方法,命题论证模式、数据流程模式、数据分析模式和专业测量模式在非财务计量工程项目信息审计中都有可能采用。
关于审计环境,一方面,审计环境通过审计需求、审计重点、审计技术等多个路径影响非财务计量工程项目信息审计;另一方面,非财务计量工程项目信息审计通过威慑、揭示和抵御三个路径发挥功能作用,进而影响审计环境。
工程领域是我国腐败问题最严重的领域之一,工程项目审计是我国重要的审计业务类型,但是,关于工程项目审计的基础性问题缺乏深入系统的研究,理论研究的这种状况,使得工程项目审计在许多情形下成为他人工作的复核,也没有找准工程项目审计在工程治理框架的定位。本文的研究启示我们,需要从工程治理整体框架中来考虑工程项目审计,对于工程项目审计也需要区分不同审计主题,只有这样,工程项目审计才能真正发展成为有理论、有操作框架的审计学成员。
【参考文献】
[1] 时现.建设项目审计[M].中国时代经济出版社,2015.
[2] 傅亚铨.工程造价真实性审计仍需加强[J].中国审计,2004(3):72.
[3] 李跃水,王延树.当前工程量清单计价中几个问题的剖析[J].建筑经济,2005(10):69-74.
[4] 高红玲.工程量清单计价模式下建设工程造价审计[J].财会研究,2005(9):62-63.
[5] 田华.工程造价审计的实施[J].中国内部审计,2012(5):64-65.
[6] 张文武.浅谈工程造价审计风险[J].财会研究,2008(3):70-71.
[7] 杨翠萍,代伟.工程量清单计价规范下工程审计的难点与对策分析[J].煤炭工程,2010(2):124-125.
[8] 周建平,蔡珉.工程造价审计中存在的问题与对策[J].会计之友,2011(2):71-72.
[9] 公彦德,徐庆阳.建设项目跟踪审计利益共赢的思维转变及方法设计[J].建筑经济,2012(8):56-59.
[10] 郑敏,陈韶君,柏露萍.工程质量审计的逻辑起点和实务框架研究[J].审计研究,2010(10):30-33.
[11] 郝云松.对投资建设项目工程质量审计的若干思考[J].审计研究,2011(6):26-30.
[12] 白崇明.工程物料投入检查方法在工程质量审计中的应用研究[J].建筑经济,2012(10):47-51.
[13] 时现.关于公共工程投资绩效审计的思考[J].审计与经济研究,2003(6):28-31.
[14] 唐建民.我国公共投资工程绩效审计指标评价体系构建[J].会计之友,2010(9):110-112.
[15] 刘爱东,赵金玲.政府投资公共工程绩效审计评价指标研究:来自问卷调查的经验证据[J].审计与经济研究,2010(5):31-38.
[16] 李善波,李跃水,吴坚生.政府投资项目模式的契约结构与风险探讨[J].建筑经济,2012(7):9-13.
[17] 狄小华,冀莹.工程腐败:形成机理与防治思路[J].理论探索,2012(4):48-51.
[18] 宋伟,徐小庆.工程建设领域腐败特点的实证研究:基于60个典型案例的分析[J].河南社会科学,2013(5):9-13.
[19] 刘瑞波.我国建设项目管理体制的回顾及改革设想[J].工程经济,1995(2):20-21.
[20] 王敏,王卓甫.建设工程项目管理体制的制度变迁研究[J].建筑经济,2007(4):5-7.
[21] 戚安邦,孙贤伟.国际工程造价管理体制的比较研究[J].南开管理评论,2000(3):56-60.
[22] 毛义华,舒晓华.中外建设工程造价计价模式的比较研究[J].数量经济技术经济研究,2002(8):117-121.
[23] 刘应宗,郭汉丁,孟俊娜.我国政府建设工程质量监督工作的转变[J].建筑经济,2002(2):17-19.
[24] 殷红春,黄宜平.多任务委托工程监理激励机制设计[J].现代财经,2006(9):43-46.
[关键词] 审计逻辑起点审计理论结构框架设想
任何一门成熟的学科,都应在总结实践成果的基础上构建一套完整、相互联系、合乎逻辑的理论框架,审计也不例外,它需要建立一个足以支撑(指导)审计实务、由各审计概念构建而成的理论框架。审计理论结构框架是我们指导和评价现行审计实务的依据,正如安德森(R.J.Anderson)所说的“审计理论的目的是提供一个合理的、首尾相应的概念结构以决定实现既定审计目标必需的审计程序。审计理论还提供一个评价与改善现行实务与程序的框架结构。”
一、审计理论结构框架研究的内容及构成要素
理论是以客观事物或研究对象的系统化理性认识。理论的功能在于解释和指导实践。审计理论具备解释、评价、改进和预测四种功能。从系统论的观点看,结构是指系统内部各组成要素之间的时间或空间上排列与组合的具体形式。审计理论作为一个系统,它由若干的组成要素组成,也有一个内在的结构即审计理论结构。在构建审计理论结构框架的过程中,需要考虑四个方面的内容:审计理论结构框架的构成要素、各要素之间的内在联系、逻辑起点的选择以及整合各要素,即排列组合形式最后形成严密的理论体系。
审计理论结构框架的构成要素主要包括:审计环境、审计本质、审计目的、审计目标、审计假设、审计概念、审计职能、审计准则、审计实务、审计技术及审计报告。理论界对审计理论结构框架的构建模式至今没有形成一个统一的结论。
二、国内外现有审计理论结构框架的逻辑起点及模式的评价
逻辑起点是建立一门学科理论体系的出发点,是该学科理论结构体系赖以推理论证的最本源性的抽象范畴。它不仅是理论结构体系的一个重要组成要素,而且对该学科其他理论要素的建立和发展以及整个理论结构体系的建立起着决定性作用。不同的逻辑起点会形成不同的理论体系。因此,构建审计理论结构框架,首先需要合理确立它的逻辑起点。
1.哲学基础起点论的审计理论框架。1961年美国罗伯特・莫茨和埃及侯赛因・A夏拉夫的《审计理论结构》(The Philosophy of Auditor)被称作审计理论研究的开山之作。他们在书中这样写道:只有从哲学基础出发才能推出审计假设,在审计假设的基础上又推出审计概念。他们以哲学为逻辑起点,提出了八项审计假设和五个基本审计概念(即证据、应有审计关注、公允表达、独立性、道德行为),构建的审计理论模式:哲学基础假设概念规则实际应用,如图1所示。
图1 哲学起点论的审计理论结构框架
莫茨和夏拉夫的最大贡献在于将深邃的哲学思想应用于审计理论研究,有力的批驳了“审计无理论”的论调,但将“哲学基础”作为审计理论结构框架的逻辑起点,显得太普遍了,无法突出审计理论自身的特点,不具备审计理论基石的作用。
2.审计目标起点论的审计理论框架。1977年安德森在《外部审计》(The External Auditing )一书中提出的审计理论结构的六个要素构成,构建的审计理论模式:审计目标公认审计准则审计概念审计假定审计技术方法审计过程。安德森的最大贡献是,以目标为基点建立审计理论结构,并将目标的要求与作用延伸到实务即“审计过程”之中,形成了首尾相应的审计理论结构。但笔者认为,审计目标起点论的不妥之处在于审计目标是审计所要达到的目的和要求,它一方面反映了客观环境的要求,但很大程度地受制于审计关系的存在,且倾向于实用主义,以此建立的审计理论体系难以揭示更高层次的审计理论,并且逻辑上也不够严密。
3.审计本质起点论的审计理论框架。20世纪80年代英国审计学家汤姆・李(Tom Lee)与戴维・费林特(David Flint)两人的观点基本相似,但与以上模式均有不同。汤姆・李于1984年构建的审计理论模式:本质与目标假设概念。而弗林特于1988年构建的审计理论模式:本质与目标假设概念标准。这两个模式的共同点在于均是以审计本质和目标作为出发点。
在我国,以蔡春教授为代表研究学者们结合我国的国情,构建的审计理论模式:审计本质假设目标信息规范控制。闫金锷教授构建的审计理论模式:审计本质目标假设准则。
但是笔者认为,由于“审计本质”纯理论太强,因而造成按“审计本质”为逻辑起点的构建的理论框架结构与实际相脱节,不能正确反映审计理论对实践的指导作用,即基础的审计理论研究远远超越实践,而应用性审计理论研究又往往落后于审计实务。
此外,国内外理论界关于审计逻辑起点论的看法还有很多,如审计环境起点论和审计目的起点论的审计理论结构框架等。
三、构建我国审计理论结构框架的新设想
通过对以上各起点论的评价,笔者认为在审计理论结构框架构建过程中,不能单纯的由一种因素发挥作用。审计工作所处的审计环境(包括政治、哲学、经济、社会文化、法律、科学技术等相关知识)是客观存在的,无时无刻影响着审计理论结构框架中的其它因素,但它不是决定因素。
本文在结合归纳法和演绎法两者优点的基础上,提出了以审计本质和审计目的两个因素为逻辑起点的审计理论结构框架模型。如图2所示。
图2 审计理论结构框架
对所构建的审计理论结构分析如下:
1.将审计的社会环境纳入审计结构图中,表时审计产生于社会环境的客观需要,并且有一定的主观能动性。的双线图表明审计理论结构的各个要素都处于社会大环境中,受到外部条件的限制。之所以用“圆”的图形表示环境,说明在每一时刻上均保持相对平衡状态。审计环境主要指其所处的政治、经济、文化、科技和其他相关知识。
2.审计本质是审计最本源的东西,它伴随审计的产生而产生,但不随环境的变化而变化,有其自身的局限性,所以不能单纯以此作为逻辑起点。
3.审计目的是社会需要审计做什么。它是外化于审计主体的产物,始终围绕审计本质而发展变化,但要受到审计环境的影响。它是一个动态的变量,体现了不同历史阶段审计所担负的责任以及需要完成的任务。
将审计本质与审计目的结合起来作为逻辑起点,符合辩证法中运动与静止相结合的观点,变化中蕴含着不变的东西,不变中又体现着变化,完全符合审计工作本身和不同时代对审计理论提出的要求。符合逻辑学与认识论。审计目的和审计本质是指导和制约审计行为的决定因素,也是制定审计目标和审计准则、解释审计方法、技术和程序的依据,有助于排列其他系统组成要素。
4.审计目标是审计行为活动意欲达到的理想境地或状态,其确定是一种主观见之于客观的行为,是应审计环境的要求,同时受制于审计本质和审计目的,不能超越二者随意构造。
5.审计假设是审计理论中的基本问题。它是联系审计目标和审计概念要素的桥梁。审计假设在于对审计运行的前提条件做出限定,这种限定决定于审计目的,因而审计目的制约着审计假设。
6.审计概念贯穿于审计理论与实务的各个方面,尤其是在审计准则、程序与方法方面。如果没有一致认可的概念,就无法推动审计学科的发展交流,审计也就不成其为一门独立的学科。从审计概念延伸出去,再联系审计职能和审计准则可以推衍出审计实务理论。
7.审计准则与审计技术。如果说目标是“应干什么”,技术则是“怎么干”,那么“干得怎么样”就需要审计准则来检验。
8.审计报告是审计行为的最终成果,出具审计报告意味着CPA应承担其相应的责任。
随着计算机和计算机网络技术的不断发展,计算机及计算机网络的应用日趋广泛,同时,计算机系统也越来越多地成为攻击的对象。虽然计算机安全防范技术在不断进步和完善,但是道高一尺、魔高一丈,非法入侵计算机系统的案件还是不断地出现和增加。本文所要探讨的,是目前法律界所面临的紧迫而又棘手的问题,即如何获取非法入侵或攻击计算机系统的计算机证据。相对一般的证据而言,计算机证据具有鲜明的特点。计算机证据的收集和评价是一个法律问题,但又往往需要一定的计算机技术和其它科学技术,甚至是一些尖端的技术。对于攻击计算机系统的取证,传统的方法并不十分有效。本文将提出一种不妨称之为“预先取证”的方法,这种方法的基本观点是把审计的思想引入到计算机安全中,通过法律专家与计算机专家的紧密合作,运用计算机审计技术,为敏感的计算机系统设计出有针对性的审计系统,把计算机系统的所有活动记录在案,当计算机系统受到攻击时,这些审计记录就成为有效的计算机证据。
二、计算机证据
要理解运用计算机审计技术的必要性,需要对计算机证据的特征有一个清晰的认识。
1.什么是计算机证据
关于计算机证据的概念,目前在学理上并没有统一的认识,存在着多种观点,比较为大众所认可的有两种观点。其中一种观点认为,计算机证据为计算机产生的证据(Computer generated evidence),而另一种观点则认为计算机证据应该表述为计算机相关的证据(Computer-related evidence)。
计算机产生的证据是指计算机根据程序指令对输入计算机的数据进行处理,然后输出形成的记录文件。它的表现形式有两大类,一是直接输出到纸张或其它多媒体输出设备(如显示器、扬声器等)上;二是存储到计算机的存储设备(如磁盘、磁带、光盘)上。
计算机相关的证据可以认为是广义的计算机证据,除了计算机产生、存储的信息之外,还包括计算机模拟结果以及计算机系统的测试结果。所谓计算机模拟,是指在诉讼中利用计算机对已经发生的行为、事件或条件进行模拟,提供研究的结果,揭示事物发展的可能性。计算机系统的测试结果,是指在相同或相似的情况和条件下对计算机系统本身的可靠性进行测试,以证实计算机系统是可信的。
本文探讨的是第一种观点,把计算机证据定义为:计算机系统运行过程中产生的或存储的以其记录的内容证明案件事实的电、磁、光信息,这些信息具有多种输出表现形式。
2.计算机证据的特征
计算机证据作为一种诉讼证据,是现代计算机技术迅速发展的产物,具有十分鲜明的特征。虽然在我国的诉讼法中将计算机证据归类为视听资料,但在实质上,计算机存储的信息与录音、录像等其它视听资料存在着质的区别。
在此,我们仅讨论计算机证据最本质的特征,即计算机证据的脆弱性。计算机证据的脆弱性指计算机信息很容易被修改,并且修改后不会留下任何痕迹。计算机数据处理技术有一个优点历来是为人们所称道的,这就是不留痕迹的修改。但这个为人所称道的优点却成为困扰计算机安全专家和法律专家的棘手问题。例如,当怀疑一个嫌疑人篡改了计算机系统的数据时,如何证明数据确实被改动过,被改动的是哪一些数据,是什么时候修改的,是通过什么途径修改的,等等。
对于书证的伪造或变造,利用已经成熟的检验技术是能够比较容易地发现其伪造或变造部分的;对于录音、录像等其它视听资料的删节、剪接所造成的失实,也是可以鉴定查清的,在科学技术不断发展的今天,声纹鉴定技术也已经相当成熟了。
从本质上看,计算机证据与文书证据有着天壤之别。即使是录音、录像等视听证据,与计算机证据也有着本质的区别。在电子技术领域,录音、录像资料是对声音、图像的记载,记录的是模拟信号;而计算机信息是用二进制数据表示的,即所谓的数字信号。连续变化的物理量之间的任何变化,在理论上说都是可以再现的;但是非连续的数字信号却不具有这种特性。
计算机数据的载体是电脉冲和磁性材料等,如果计算机系统被窃听或非法复制,对计算机的数据表示几乎没有影响;如果计算机数据被改变了,从物理表示上,也只是集成电路的电子矩阵正负电平或磁性材料磁体的方向发生了变化,如果不做数据的互相对照,这种物理的变化用户是根本感觉不到的。
3.计算机证据的证据价值
在我国诉讼法和证据学理论中,承认计算机产生和存储的信息可以独立发挥证明案件事实的作用。但是一个计算机证据是否具有证明力,取决于它是否具有相关性和客观性。所谓相关性,是指证据与案件事实之间有着某种逻辑的联系。所谓客观性,是指证据来源于客观事实本身,不是任何猜测、幻想、梦境和虚构的内容,而且没有被篡改过,这是证据首要的本质的属性。
也就是说,计算机证据要完成其证据的使命,必须被证实是真实可靠的。但是,由于计算机数据的脆弱性(修改后不留痕迹),要想在计算机系统被攻击之后收集到真实可靠的攻击证据,其难度是相当大的。因此,为了保证在计算机系统被攻击后能够获取有效的证据,最有效的方法是对计算机系统的所有活动实施监视和记录,当计算机系统受到攻击时,这些记录就成为计算机证据。计算机审计技术的运用使这种设想成为现实。
三、计算机审计技术
1.计算机审计概述
计算机审计技术就是在计算机系统中模拟社会的审计工作,对计算机系统的活动进行监视和记录的一种安全技术,运用计算机审计技术的目的就是让对计算机系统的各种访问留下痕迹,使计算机犯罪行为留下证据。计算机审计技术的运用形成了计算机审计系统,计算机审计系统可以用硬件和软件两种方式实现。计算机系统完整的审计功能一般由操作系统层次的审计系统和应用软件层次的审计系统共同完成,两者互相配合、互为补充。
计算机审计系统应该具有监视功能和检测功能。监视功能是指审计系统通过监视对计算机系统的所有操作,为入侵计算机系统的犯罪侦破和犯罪审理提供线索和证据,一个良好的审计系统还可以协助发现潜在的入侵者;检测功能是指审计系统能够检测程序的真实性、完整性和可靠性,判断程序是否已被篡改、是否处于正常的运行状态中。
独立性是审计工作的本质特征,计算机审计的独立性具体体现在以下两个方面:(1)不管是在操作系统中还是在应用软件中,审计系统都应作为一个独立的子系统而存在。(2)设立工作独立、行为自主的计算机系统审计员。审计员是特殊的计算机系统(安全)管理员,只有它才能控制、管理、使用审计系统。审计员的行为不受任何其它计算机用户的控制和干扰,包括计算机系统(安全)管理员。
审计系统把对计算机系统的所有活动以文件形式保存在存储设备上,形成系统活动的监视记录。监视记录是系统活动的真实写照,是搜寻潜在入侵者的依据,也是入侵行为的有力证据。监视记录本身被实施最严密的保护。在保护监视记录的问题上,应该坚持独立性的原则,即只有审计员才能访问监视记录。
目前常用的操作系统包括网络操作系统如NetWare、Windows NT、UNLX等,均提供了审计功能。操作系统提供的是面向整个系统的审计功能,不足之处是不可能考虑到各种应用软件的具体情况,不能很好地满足各种客户的需要。操作系统的审计功能既成定局,难以改变,但计算机用户可以根据应用软件的特点和自身的需要,设计出有针对性的应用软件审计系统。下面将介绍一种应用软件审计系统的设计思想。
2.应用软件审计系统的设计思想
虽然本文所探讨的是证据的问题,但是有些功能(例如报警功能以及一些与分析潜在入侵者相关的功能)是审计系统所必备的,下面也一块列举。
(1)监视记录的设计
监视记录的内容包括:用户标识;(在网络上使用时)使用软件的设备地址;使用软件的起止时间;调用的子程序及调用子程序的起止时间;访问的硬件设备及访问的起止时间;使用软件过程中访问的文件和目录,访问的类型(创建、打开、关闭、读、写、拷贝、删除、重命名、运行等)以及访问的起止时间;针对文件数据的操作,包括读、增、删、改、复制等操作以及操作对象在文件中的具置;对软件参数的修改。
对于每一项活动,监视记录还应该记录该项活动成功还是失败,活动引发者对于该项活动的有关授权状态,地址空间的使用情况。
(2)监视模块的设计
设计的监视功能包括:
①监视整个应用软件的活动,并提供详细的监视记录,使所有活动留下线索。
②允许选择特定的监视对象,这项功能可以在现有证据不充分的情况下,令审计员可以实施重点监视,更深入、详细的取证。特定的监视对象可以是文件、目录、打印机、磁盘、计算机、用户等。
③在一定程度上检测和判定对系统的入侵和入侵企图,提供报警信息并能实施必要的应急措施。例如,如果发现某个用户连续多次不成功进入系统或某个敏感子程序,应立即向安全控制台报警,甚至锁住该用户的帐号等待进一步的调查。
④提供对监视记录的以任何项目为关键字的查询及各种组合查询,多方面满足审计员的审查需要。
⑤报警参数管理。审计员可以通过报警参数管理功能,设置需要实时报警的事项。
⑥监视记录文件的维护。随着时间的推移,监视记录文件会不断地膨胀,因此,有必要提供对监视记录文件的各种维护处理,如转存、拷贝等。
(3)检测模块的设计