内部审计监控范文

内部审计监控范文（精选11篇）

内部审计监控 第1篇

一、企业会计信息失真的现状

虚盈实亏、资产失真、隐瞒债务是当前企业会计信息失真的最突出的表现。通过降低成本, 少记费用等手段, 将亏损变为盈利;通过虚增销售收入, 增加当年的盈利;通过少提资产折旧、少摊费用, 人为地调节损益等手段造成会计信息失真。这些现象非常普遍, 涉及各行各业的单位, 这些问题影响和阻碍国家经济政策的制定和宏观措施的执行, 致使投资者、债权人等会计信息使用者在微观决策及政府在宏观经济决策上出现偏差, 严重影响会计信息的可信度。因而亟待根除会计信息失真这个长期寄生在企业体内的“毒瘤”。

二、会计信息失真问题内部审计监控设想

会计信息失真会严重影响会计信息的真实与可靠性。从微观角度看, 它有可能使得投资人和债权人遭受不同程度上的经济损失;从微观角度看, 它妨碍了整个社会资源的最佳配置, 严重影响市场经济的健康发展。因此, 如何对会计信息失真这一现象进行有效控制已经成为全社会共同关注的问题。具体来说, 可以从以下几个方面着手:

(一) 建立一套日臻完善的《内部审计操作细则》

从审计的角度来看, 一方面需要完善现行的会计准则, 减少企业在现行会计准则规定范围之内的会计操纵行为;另一方面要针对不同行业建立《内部审计操作细则》, 减少企业在现行会计准则规定范围之外的会计操纵行为。而这些在现行会计准则规定范围之外的会计操纵行为, 由于会计准则没有相应的规定, 从而即使在后来被发现也往往容易逃脱法律责任。基于此, 建立一套日臻完善的《内部审计操作细则》也就显得尤为必要。

(二) 大力宣传会计审计法规, 提升企业领导的法律意识

《会计法》规定“单位负责人对本单位的会计工作和会计资料的真实性、完整性负责”, 从法律角度明确了领导人的责任与义务。然而, 在实际工作中, 单位领导人主观意志正是造成会计信息失真主要原因。因此, 要防范会计信息失真, 就必须从源头上采取措施杜绝企业领导人的违法行为, 措施主要有:一是大力宣传《会计法》、《审计法》等财经法律法规, 提高企业领导者的政策水平和财经法律法规意识, 使其正确认识个人、集体与国家之间的利益关系, 自觉遵守法律法规, 抵制各种诱惑;二是提高企业领导人审计意识, 很多企业由于长期没有进行审计, 没有发现自身的问题, 导致问题像“雪球”一样越滚越大, 最后走上犯罪的道路。

(三) 建立企业内部与外部双向常态化的审计监控机制

在企业内部要通过完善内部审计制度、建立企业内部审计依法审计的工作环境、建立适合自身情况的内部控制制度。内部审计机构的设置不能与单位财务部门合署办公, 应由单位“一把手”直管, 形成工作上的相对的独立性。在企业外部要发挥政府有关部门的职能作用, 建立财政、审计、税务、金融、工商等部门组成的社会综合监督网络, 以《会计法》、《审计法》为依托, 建立起检查和处罚的联动机制, 不定期召开联席会议, 依纪依规评估企业年度效益, 从各个方面堵截违法作假的通道。通过建立企业内部与外部双向常态化的审计监控机制, 从源头控制会计信息失真行为的发生。

(四) 强化对内审人员的后续培训, 促进内部审计队伍整体素质的提升

要想在会计信息质量控制上有所作为, 内审人员首先要树立“终身学习”的理念, 提升内审人员对会计信息的分析能力。采取鼓励自学与选送培训相结合的方式, 努力培养“复合型”、“专家型”的内审“能手”。内审人员也不应一味地依赖于立法者、监管者以及外部审计人员等这些外部因素来防范会计信息失真的而带来的风险, 要切实提升内部审计自身监控能力。其次要把好内审人员进入关。人员选拔既要文凭, 又要水平, 德、能勤、绩, 全面考核。让更多品德高尚、会经营、善管理、熟悉业务、掌握现代信息技术和会计、审计等多方面知识的专业人才加入到内审队伍中来。内审人员要认真贯彻执行《《内部审计人员职业道德规范》, 加强作风建设。

(五) 创新内部审计服务职能, 防范会计信息失真风险

运用动态审计监控加强工程投资效益 第2篇

[内容摘要]：工程建设投资的内部审计是针对投资过程进行全过程监控的一种动态审计，通过强化工程建设内部控制制度的完整性、合理性，监督内控制度运作的严肃性和有效性，帮助建设单位节省建设费用，降低基建成本，提高投资效益。使问题处于萌芽状态就能被及时的发现并纠正，并可以防患未然，从而减少投资损失，保障投资项目的顺利实施，进而提高投资效益。

[主题词]：全过程　动态　监控　效益

工程建设投资的内部审计就是建设单位内部对其所属工程项目实施的、以促进工程项目改善和加强内部管理，更好地履行建设管理责任，提高项目效率为目的的一种全面的效益审计。工程建设投资的内部审计也是内部控制机制的一个重要组成部分。这涉及到工程投资项目的立项、决策、规划、设计、招标、施工、监理、概算、预算、决算的全过程审计。做好工程建设投资的内部审计工作，能堵塞管理漏洞，控制投资规模，防范投资风险，提高管理效率和效果，真正实现“增值”审计。

工程建设投资的内审经历了从无到有，从浅到深的一个发展过程，但目前大多还是以对建设项目财务审计为主，工程建设投资内审的广度，深度远未达到本身的内在标准，从本单位内部审计工程建设投资领域的实施情况看，由于许多客观条件的限制，目前工程建设投资的内审工作还可以在以下几个方面的进一步加强。

一、事前审计以建立健全工程审计规章制度为主

俗话说，没有规矩不成方圆。没有制度的管理必然没有质量和效率。现行的单位决策过程运行体制，内审部门以积极的姿态对工程投资项目的前期决策主动发挥评价、咨询职能，实际操作中往往要求对工程项目实施过程实行内审监督，因此作为开发单位必须建立健全的内审制度，保证工程内部审计工作有章可循，有据可依。并根据有关规定，结合实际制订一系列规章制度，如制定的《工程项目审签程序规定》《工程招投标内部程序规定》等制度，对工程项目投资的依据、目的、内容、范围、程序、责任追究、审计资料送审时限和方式、审计资料的承诺、审计方案的制订、审计质量的检查与控制、审计意见的征求、审计报告的提交、奖惩办法等方面的内容，做出明确的规定。如在笔者参与实施的沧浪新城太湖西路道路建设工程为例，该工程建设项目审计制度中规定，工程管理部门和财务部门对未经内部审计部门审计的工程项目，不得办理工程项目的结算业务，从而保证内部审计部门不仅要在事后扮演“医生”的角色，而且要在事前以“参谋”的角色、以“第三方”的地位，基于内部审计独立性的原则，运用“提前介入，全程跟踪、把握重点”的工作思路，保证其客观、公正的职业判断。沧浪新城太湖西路道路建设工程项目的内部审计工作在实际操作中制定的工程审计规章制度涵盖了投资项目运行的全过程，确保投资项目的规范、健康运作。在对投资项目实施全程跟踪审计的过程中，对重要环节重点关注，主动把握，采取应对策略，防患于未然，化消极因素为积极因素，保证投资项目顺利运行，从而提高管理效率和效果。再比如这了避免因建设工程合同签定不规范，造成工程结算计价难以确定的事项，本项目就制定了《工程建设合同签订制度》，制度规定由内部审计门对工程建设合同进行最后确认，从制度上防止因合同签订不规范造成对施工单位工程报价监督失效而造成工程结算价格偏高。

二、事中审计以编写的内部审计日记为纽带

在基建投资全过程审计中，事中审计的主要内容是通过内部审计人员监督工程建设投资过程的规范操作，节省建设费用，降低基建成本，提高投资效益。

在工程投资项目实施阶段的内部审计一般时间较长，对投资项目能否达到预期目标具有决定性意义。内部审计人员应当发挥主观能动作用，深入施工现场，向现场学习，为现场服务，参与施工过程中的基础等隐蔽工程验收、变更签证、有关材料认质认价、设备采购等方面的审计监督，主动搜集相关资料和进行过程监控，做到信息在第一线收集，问题在第一线解决，审计在第一线见效，需要重点把握的环节是：投资项目质量控制措施的落实；投资项目安全控制措施的落实；投资项目财务控制措施的落实。

内审工作应强化内审日记制度的执行，要求内审人员以人为单位，按时间顺序编写其反映每日实施审计全过程的书面记录，目的是加强对审计实施阶段的质量控制。审计日记制度要完善，更不能流于形式。并在形成审计工作底稿前，将审计的相关情况进行书面记录，附有用于佐证的审计证据，内审部门内部履行必要复核手续后，征求工程管理部门意见，并由工程管理部门签字盖章。这样做既可避免审计日记的无效劳动，还可以避免审计证据不被工程管理部门引起重视；同时又能及时将工程管理的不足与工程管理部门见面，避免在审计报告征求意见阶段出现较多的异议与反复，对提高审计质量、规避审计风险具有一定的作用。

词典项目质量监控的内部管理 第3篇

摘要质量监控管理历来是现代词典项目管理中的灵魂性工作，本文拟以《英汉大词典》的质量控制管理经验为例，主要从《英汉大词典》质量监控管理内部抓手和质量监控环节这两方面来探讨大中型双语词典项目的质量监控管理。文章指出，词典质量监控管理中，“内抓”之外，“外管”亦不可少。“内抓外管”式的项目质量控制管理系统建立之后，为保证系统的有效运行及各项监控措施落到实处，项目激励机制的建立是必要的。

关键词质量监控内部抓手监控环节激励机制

质量监控管理是现代词典项目管理中的灵魂性工作。本文拟以《英汉大词典》第一版(下文简称《英汉大》)的质量控制管理经验为例，主要从《英汉大》质量监控管理内部抓手和《英汉大》质量监控环节这两方面来探讨大中型双语词典项目的质量监控管理。

一、《英汉大》质量监控管理内部抓手

《英汉大词典》的质量监控内部抓手主要有三；质量研讨会、勘误警报和集思广益讨论题。

1.质量研讨会

定期召开的质量研讨会是《英汉大》词典组内重要的质量控制管理活动之一。研讨会既提供了一个总结经验教训、反思工作得失的机会，又提供了一个相互交流的平台。1987年6月15日，J字母校样送到。因“音标符号缺漏加上错误，校对进度奇慢”，陆遂建议于7月16日召开质量研讨会。此为第一次质量研讨会，会上由副主编薛诗绮作“试论双语词典的质量标准”的主题发言，另有多人发言，且不乏精辟之论：

在会上发言的还有周纪廉、姚奔、何永康等10人，有的提出晓畅可诵的“三心”、“三忌”、“三多”质量口诀；有的试论义项释文的质量专题；有的告诫要严防词典出现“荒诞派”式的错误；有的认为书的质量最终是由编写者本身的素质所决定……

1987年10月17日，第二次质量研讨会召开，周纪廉的中心发言给同人印象深刻：

由周纪廉中心发言，“详解”释义问题，所举例子说明，老周的确比较仔细，讲究精确，查问亦勤。陆这一段正看老周做二稿的一段，迄今已看过450条左右，未曾发现一个大错，应向他学习那种“缠劲”，不厌其烦。倘若说还有什么不足的话，例证似不够丰富，例证译文似尚有改进余地。

之后词典组还开过几次质量研讨会，对强化编写者质量意识和提高全书质量功不可没。

2.勘误警报

“每月勘误警报”的想法最早源于紧接着编委会第四次工作会议(1987年2月16日召开)之后的全组大会(1987年2月19日)。所谓“勘误警报”就是把通过质量抽查等手段发现的重大或典型错误张榜公布。“警报”由陆提供部分材料，并由专人负责贴在墙上。第一份“勘误警报”于1988年1月5日正式贴出。后“勘误警报”形成制度，原则上每月公布一次。

勘误警报主要是对错误进行纠正和评论(如出错原因探究、改正依据、如何精益求精等)。如例证“The elephant goes withyoung for two years，”被误译为“这头大象怀胎两年才分娩”，勘误警报除指出正译为“大象一般怀胎两年分娩”外，还作如此评论“原译时未注意The乃是generic(一般)用法，而goes的现在时形态正是一种truthful present(客观存在)，当指一种普遍现象”。

3.集思广益讨论题

在《英汉大》编纂期间，常发现一些由于对英文例句不理解而导致的误译。如：

今又在corkscrew[作动词用时]部发现一句：The plane cork-screwed down t0 the earth，[此例取自《韦氏国际英语词典》三版，1961]，原译“盘旋着飞向”，我想是不对的，应作“打着滚”、“螺旋状翻滚”之类意思。陆由此想到，以后把这类比较难解的句子集中起来，勘误[警报]太消极，大家都在那儿处于被动的receiving end(接受端)，不妨印成一张纸发给大家，像试题那样，只是不必缴卷，先各人分头做，过几日公布一个经慎重斟酌后的version[译法]，不是标准答案，只称作suggested version of the answers[参考译法]，这样，经过每个人积极的思考，可能会更扎实地起到作用。“集思广益讨论题”所讨论的问题覆盖面极广：

集思广益讨论题从编写稿中选取实例，引出带有普遍性的问题，如释义和例证及译文的英汉等值、难句的理解、新词及新义的选收和定名、专业词语的译名统一、设例的原则，等等。比如，1988年3月第4次“集思广益讨论题”中有这样两道题目：

其一，falsify有一个释义是to alter from the accepted rule or form，大词典释义为“搞错，误用”(正译当为：变异使用，别致地改用)；附例为A poet somett。mes falsifies accent，大词典初稿译成“诗人有时会搞错重音”(正译当为：诗人有时随意变换重音)。你以为这是一个错误，还是仅属一般有待改进的措辞失当?

其二，He could not account for the time spent away from his post，一句，下面两种译法何种与英文意思更贴切：(1)他无法解释自己职务之外的时间是如何度过的。(2)他无法解释离开工作岗位干什么去了。要不，还有更好的译法?(注：第二种译法为正译)

由此，“集思广益讨论题”和“勘误警报”双管齐下，强化质量意识。

二、《英汉大》质量监控环节

《英汉大》的高质量有赖于编委会设立的各个质量监控环节，层层监控的目的旨在纠正两类主要错误：(1)原稿错误(责任在编写组)；(2)编校差错。《英汉大》编委会所设的监控环节主要有五：质量检查小组的定期抽查，狠抓各道工序质量、增加“过目”环节，时而“瞟”定稿，发稿前“简略通看”和提高校对质量。

1.质量检查小组的定期抽查

1987年1月24日，“[陆]抽查90余条二稿和三稿成品，发现8个错误，已分别与当事人直接见面，希望能引起严重注意”。有鉴于此，同年2月16日，编委会第四次工作会议决定：“检查质量要制度化，每个月有检查，每两个月开一次全组人员会议……同年3月开始，“每月安排一两位同志抽查二稿的质量，并把抽查结果分别直接与当事人见面”。

《英汉大》开始发排之后，质量问题随着发排量的不断增大而日见突出。J字母首先发排后，编委蒋照仁查核了“参见”的设置，发现“21条中有7条见不到，参见中的措词也不统一”。第7次编委会(1987年6月30日召开)遂决定“委托卫宝瑛、郑伯康、顾浚三位同志自[1987年]7月1日起检查质量，重点在于发现稿子上的明显错误(如拼写、词性缺漏、中文翻译理解错误等等)，并与出错人直接见面”。后又设质量检验员，实行主编、副主编轮流值班制，负责质量抽查，以强化“质量第一”的观念。

2.狠抓各道工序质量、增加“过目”环节

为努力提高词典质量，编写组一是狠抓各道工序质量，如在“三道”(指《英汉大》需经过三稿后方能定稿)设卡之中，特别要求“二道”要有成品感，查证、换例等工作基本结束，这样，“三道”就可以集中在纠错、改进文字和充实内容方面。后为实现并保证“二道”的成品效果，增加了二稿与定稿之间的核对补遗(此道工序在词典组内俗称“二道半”)工序：

从具体作业来说，三稿进度依然落后，质量问题虽已采取措施狠抓，起色并不明显。有鉴于此，编委会决定：为增加一个“过目”防错纠错环节，同时保证三稿进展顺畅，且有余力增加新鲜信息，充实词条内容，从[1987年]6月起抽出一些力量，从事“二稿后校核”(“二道半”)的工作。此外，从[1987年]6月份起筹建校订及整理组，对准备发排的原稿作最后一道的校核和修订……整理工作(即编写的末道)包括整理、纠错、把关。

“过目”环节的增加可在发稿前尽量消灭错误。唯有增加工序环节，一道一道地过目，质量才有保证。

后“二道半”外，又增加了“三稿校核”(俗称“三道半”)环节。1987年4月13日第五次编委会召开，会议主题是：清醒估计形势，充分估计困难。当时的形势是：

(1)压力大——宣传带来的压力，王同亿的《英汉大学词典》(1986)和《兰登书屋词典》(作者注：该词典1984年由兰登书屋出版社所属的Ballantine Books出版，洛阳解放军外国语学院受商务印书馆委托，于1987年将该词典翻译完毕，并交由商务印书馆出版)翻译版等带来的压力；

(2)困难多——三稿跟不上，三稿后还发现错误，所以质量仍是大问题；另外，各种环节、工序和系列的巨大工作量骇人(语词、人名、语音、新词、词源、校订及整理、卷抄、编码、前言及附录、外勤、校对)；外加减员的威胁。其中最突出的困难无疑是语词方面的缺陷和错误。为校正语词方面的错误，陆当时有个想法：

(a)鉴于二道进展比较顺利，已稳过全典的一半，(b)鉴于上下卷的出书安排，(c)鉴于二稿遗留到三稿问题还比较多的事实，(d)鉴于编词典的规律是多一人过目(不是动手。是过目，即发现、纠正错误和核对)总有好处，拟从[1987年]5月份开始把语词部分的工作分成这么四种序列：(1)二稿；(2)三稿定稿，(3)三稿校核(建议的工作范围是：将梁[指梁实秋的《远东英汉大词典》，1977]、郑[指郑易里的《英华大词典》，1984]置于案头对照，若发现词条缺漏，作出判断补上；若发现义项严重欠缺或过剩，核洋典[指英美原文词典]；一应例证统统查核一遍；一应互见统统查核一遍；一应晚到的呼应联系卡统统处理一遍)。(4)通读、修改释义(非必要时不动合并或分拆或重排的大手术)；改进例证译文；适当增加新的信息和新的内容(也就是适当从大纲扩展出去，如boot条的处理)。另外，在[1987年]5月份筹建校订及整理组，负责最后一道把关、修改、核对。

“二道半”和“三稿校核”两个“过目”环节的增加对全书质量监控起到了关键性作用。

3.时而“瞟”定稿

《英汉大》开始发排之后，编委会主抓定稿质量和滞后环节。拿滞后环节来说，新词因为数量不小并起步较迟，到1987年11月已形成瓶颈，故同年11月17日召开的编委会常务小组议事会决定，陆自11月下旬起短期抽出半月转编新词词条，以暂时解决这一问题。在附加新词过程中，陆通过时而“瞟”定稿来监控质量：

时而对已定稿词条“瞟”上数眼，发现一些从数量到性质均属alaming[注：意为值得警惕]的错误：在一个中等偏小的词条内曾接二连三发现4个错；还有不少技术性方面的问题，如校样互见条目核对，两处有出入；又如习语比较集中的词条内习语排列次序失当；还有译文硬译比较多，一路再三以“或”字维持行文，致使不可卒读，如“慷慨激昂(或词藻华丽)地讲(或写、辩论等)”，譬如说能否改成“激辩”、“慷慨陈词”，绝对字数也并不增加。

4.发稿前“简略通看”

发稿前“简略通看”也是编委会监控质量的措施之一。以J字母的定稿为例：

这一段时间经同志们的努力，J字母的新词、词源已完成“合成”、插人卡箱。人名已基本完成，大部分已“合成”和插入卡箱，尚有小部分因体例有些问题，须经商定后再行“合成”和插箱；接下来再要简略地通看

一遍，检查体例、简体字、数字等问题，然后排词序、核登词表、用号码机打号码、统计J字母词条实数等……

在“简略通看”中，有编写人员发现，在审定条目day中，有习语顺序错置情况。陆因此强调，“看来在习语成堆的长条中这个问题应予特别注意”，由此加大“简略通看”中对长条目的关注力度。

5.提高校对质量

校对质量好坏直接影响成品。“读A字母版样，每页平均约有2到3处校对疏漏。没有信得过的校对，质量如何确保?”若校对这一环节的工作出现较大纰漏，“末道会使全部工作成为无用甚至有害”。当时上海译文出版社全权委托大词典编委会进行校对工作。词典组人手有限，外聘了一些校对人员，而外人的素质、能力及所能承担的工作量都是一个问题。有鉴于此，为确保校对质量，在第十三次编委会(1988年1月28日召开)上议定，校对质量把关由蒋照仁编委负责。此外，编委会还与厂方商定，由原先拟定的两个校次增加到三个校次。出版社方也强调“不要忽视校对，同一人不能重复校”。有鉴于此，词典组决议“每个校次由两个人看，一个逐字逐句对原稿，一个通读，这样三个校次能有六个人次过目，错误能少些”。

校对时发现的问题主要有以下几类：(1)错别字问题。如“波纹”错成“波汶”；“辐射”错成“辐射”；“迫不及待”错成“迫不急待”；(2)拼写错误。如children作childen；storm作strom；animalcracker作animal craker；succeed作suceed；(3)词条漏收。如hand条下漏收wash one's hands；(4)音标错误；(5)体例问题。

“谋事在人，成事在天，然而经过如此层层设防，问心基本无愧，产品质量当不致过劣。”

三、结语

词典质量监控管理中，“内抓”之外，“外管”亦不可少。事实上，在现代项目管理中，质量控制不纯粹是环节管理问题，而是复杂的系统管理问题，它至少涉及四个方面的工作：(1)质量监控意识的培养；(2)质量监控外部抓手；(3)质量监控内部管理；(4)项目激励机制的建立。本文只涉及质量监控的内部管理和项目激励机制的建立两个问题，另外两个问题将撰专文论述。

“内抓外管”式的项目质量控制管理系统建立之后，为保证系统的有效运行及各项监控措施落到实处，项目激励机制的建立是必要的。项目激励和项目人员行为之间的正态促动关系是现代项目管理研究的热点问题。《英汉大》编纂过程中，主要采取以下五种项目激励措施：(1)经济杠杆激励；(2)工作认可激励；(3)士气激励；(4)荣誉激励；(5)自我激励。项目激励的前提是实行民主管理。“要求别人参与，首先就得实行民主，让大家了解情况。切忌编委会成为关了门的、排他性很强的俱乐部。”《英汉大》的质量监控内部管理之所以成功，在很大程度上得益于《英汉大》项目激励机制的建立。

农机检测实验室内部监控研究 第4篇

一、内部监控的时机

首先,内部监控活动是一种定期实施的技术活动,应该对每一个检测项目进行监控。一般情况下,在以下情况发生时,应及时安排检测结果的监控活动。对新开展项目试运行结果的监督;对新上岗人员的考核;顾客投诉涉及的项目和参数结果的校核;重要测量设备变更或改造后投入使用;重要检测结果的校核(如仲裁检定、能力验证、现场考核试验等)。

二、内部监控的频次

检测的内部监控是确保实验室报告准确、可靠的措施之一,相当于工程对产品质量的抽检。内部监控频次应结合实验室往年检测结果的准确程度及变化趋势,同时应考虑监控成本等因素,一般出现下列情况下应增加监控的频次,当实验室统计的检测结果持续单方向变化时;实验室设施与环境条件变化较大时;测量设备使用环境较为恶劣时;测量设备发生变化,如修理、更新时;检测人员新上岗或转岗时;检测的规程、规范、标准发生变化时。

三、内部监控的种类及结果评价方法

1. 方法比对

可以采用不同的方法来对相同样品的检测结果进行监控。

采用En值判定法,即

式中:

y1、y2是采用方法1和方法2的测量结果;

U1、U2是采用方法1和方法2时的测量结果的扩展不确定度。

当|En|≤1时,认为比对结果满意;

当|En|>1时,认为比对结果不满意。

2. 设备比对

可以采用不同的设备对同一样品进行检测,监控检测结果的准确性。

(1)两台(套)设备比对法

分别用两台(套)测量设备对同样品进行检测,采用En值判定法,即

式中:

y1、y2是采用设备1和设备2的测量结果;

U1、U2是采用设备1和设备2时的测量结果的扩展不确定度。

注意:当两台(套)的测量设备溯源到同一计量标准时,它们之间具有相关性,当相关性比较弱时可以忽略不计,当相关性较强时,在不确定度评定中需考虑。

3. 多台(套)设备比对法

当实验室具有两台以上的可以测量相同参数的测量设备时,可以按实验室间比对的方法来对结果进行监控与评价,可以将准确度等级较高或测量不确定度较小的测量设备的检测结果或以一台测量设备多次测量平均值作为指定值。采用的方法为Z比数法:

式中:

x为设备的测量值;

X为指定值;

S为所有测量值的标准差;

当|Z|≤2时,认为测量结果满意:

当2<|Z|<3时,认为测量结果可疑,应查找原因;

当|z|≥3,认为测量结果不满意。

如果利用四分位数稳健统计方法处理结果时:

其中IQR为四分位距;

备注:四分位数(Quartile),即统计学中,把所有数值由小到大排列并分成四等份,处于三个分割点位置的得分就是四分位数。可通过EXCEL(插入-函数-Quartile计算得到),可不排序;第一四分位数(Q1),又称“较小四分位数”,等于该样本中所有数值由小到大排列后第25%的数字。Q1的位置=(n+1)/4;第二四分位数(Q2),又称“中位数”,等于该样本中所有数值由小到大排列后第50%的数字。Q2的位置=(n+1)/2;第三四分位数(Q3),又称“较大四分位数”,等于该样本中所有数值由小到大排列后第75%的数字。Q3的位置=3(n+1)/4;第三四分位数与第一四分位数的差距又称四分位距。

例如:当序|Z|≤2时,认为测量结果满意:

当2<|Z|<3时,认为测量结果可疑,应查找原因;

当|Z|≥3认为测量结果不满意。

如相应专业标准规定了测试结果允许差,可按标准规定评定。

△为标准中规定的允许差。

若|Z|≤1则判定实验室的结果为满意,否则判定为不满意。

4. 人员比对

由不同的检测人员,采用同一台测量设备对同一样品进行检测。采En用值判定法,即:

式中:

y1、y2采用方法1和方法2的测量结果;

U1、U2分别为不同人员测量时扣除由系统效应造成的标准不确定度分量后的扩展不确定度。

当|En|≤1时,认为比对结果满意;

当|En|>1时,认为比对结果不满意。

5. 留样再试

对性能较为稳定的样品,在首次检测后,过一段时间后使用同一台设备进行重新检测。采En用值判定法,即:

式中:

y1、y2是前后两次的测量结果;

U1、U2分别为扣除由系统效应造成的标准不确定度分量后的扩展不确定度。

当|En|≤1时,认为比对结果满意;

当|En|>1时,认为比对结果不满意。

6. 利用样品不同检测项目间的相关性进行分析

对同一样品不同检测项目间相关性进行分析,可以得出相关检测项目间的经验公式,从而可以间接地用一个检测项目的量值来核查另一个参数量值的准确程度,通常采取不同检测项目间存在线性关系检验方法,用直线方程y=ax+b其中斜率a、截距b以及相关系数r可用最小二乘法求得,具体计算可通过EXCEL实现(函数曲线值与观测值之差的平方和最小)。

内部审计监控 第5篇

一、内部评级监测体系的设计目标

商业银行建设内部评级监测体系的目标是，实现自动、及时、全面、自诊断地监测内部评级体系运行情况，包括监测内部评级体系中模型、模型支持体系运行情况，及时发现并诊断内部评级体系运行中存在的问题，为后续实施改进措施如深入验证、模型优化、应用流程修正等提供依据和支持。监测体系应当实现监测活动的自动化。内部评级模型监测体系要以IT系统和数据集市为核心载体，以人工监测和判断为辅助手段，大幅度减少监测过程中的大量的人工投入和重复性工作，实现内部评级体系的批量化、自动化监测，同时实现监测的及时性。内部评级监测体系应当是一个覆盖多维度、全流程、分段负责的完整体系。该体系不仅要监测模型本身的表现，还要监测影响到内部评级模型运行的多种因素，如前端基础源数据的质量、模型变量波动情况、变量，后端模型支持体系中的模型使用情况等，使监控体系能准确发现、定位模型运行过程中存在的问题环节，并采取相应的管理行动。此外，一个设计良好的内部评级监测体系，还应具有自动化实现和替代大部分投产后定量化验证功能及问题初步自诊断功能。具体来说，内部评级模型监测体系不仅要能实现各类指标的自动化监测，还要能按照一系列内置的专家规则，最大限度判断模型存在问题以及可能的原因，为全面、深入验证和诊断问题提供支持。

二、监测体系的运行职责

内部评级模型生产、投产前验证、应用、投产后验证的完整生命周期涉及的几类最基本的角色包括：模型设计主体、验证主体、内部评级流程与政策制定主体、模型应用主体。内部评级体系已经深入应用到银行业务流程中，涉及信贷业务多个环节，因此，内部评级体系的监测职能也须由多个部门/机构组成、分段承担不同的监测职能。具体来说，模型设计主体、模型应用主体、应用政策制定部门以及具体使用内部评级模型的银行分支机构，分别承担各自环节的监控。首先，作为内部评级模型设计主体(一般是商业银行的风险管理部门)，要承担内部评级体系监测的牵头责任和部分具体责任。牵头责任体现在该部门要设计好全行内部评级体系监测的框架，让内评体系各主体明确各自角色、各司其职，保障内部评级体系的顺畅运作，组织每个部门对各自负责流程环节运行情况开展监控。部分具体责任指模型设计主体要具体负责内部评级模型的部分监测工作。内部评级模型设计主体是内部评级监测体系的核心组成部分之一。其次，模型应用政策制定部门、模型应用部门和银行分支机构也要承担各自业务组合、各自流程环节的内部评级体系使用情况的监测责任。银行内部评级应用的实践显示，模型的表现不仅与模型设计是否合理有关，很大程度上更取决于模型应用政策设计是否合理，模型应用是否恰当等因素，因此，各流程负责主体理当承担起该环节监测的责任。如评级推翻管理部门要负责评级推翻情况的监测，一旦出现评级推翻率大幅上升，必须通知模型监测和验证团队、模型开发团队以及模型应用部门。IT部门要牵头监控IT系统的稳定性、安全性，并确保数据传输的质量;零售业务条线要对零售申请评分卡的自动通过率进行监测。银行分支机构的对应条线，要对该分支机构的资产组合内部评级体系运行情况进行监测，并对业务数据真实性、完整性负责。再次，在模型开发团队和模型验证团队中，开发团队应承担内部评级模型的主要责任，验证团队拥有独立的监测和验证职能，以确保验证的独立性，并及时根据监测情况，决定是否开展投产后验证。两个团队的基础设施如风险数据集市、验证算法等可以在经过独立审核后共享。最后，银行应当明确监测信息的汇总和报告职责。在模型新上线或调整、优化时，开发团队需要将模型信息反馈到模型验证主体，并将部分数据更新到数据集市。模型投入到使用后，各监测主体要把日常监测结果反馈给模型监控牵头部门(包括模型设计主体、验证团队)。模型使用部门要把模型使用情况定期发送给模型开发团队、模型验证团队，以开展汇总分析。

三、内部评级监测体系的内容框架

监测体系主要监测内部评级模型以及内部评级模型支持体系的运行情况。模型部分主要监测模型和风险参数情况;模型支持体系部分主要监测保障模型的各类支持条件运作情况，如模型输入的数据质量、模型输出的结果、模型应用的情况等。需要注意的是，很多在模型监测环节发现的问题，实际上根源在模型应用、管理中。因此，内部评级监测体系必须要以模型监测结果为出发点，以内部评级支持体系监测为辅助，建立逐层剥笋式的监测结果诊断、分析模式，才能找到内部评级体系存在的问题根源。具体来说，监测体系应包括如下内容。1.要设计好反映内部评级体系整体运行情况的仪表盘监测体系需要设计内部评级体系整体分布的概览展示功能，给出具体模型的模型风险等级状态，供管理人员对各模型运行状态进行整体把握和判断。监测维度包括内部评级模型应用敞口的类别、模型类别、模型名称、模型统一编号、模型适用领域，模型风险等级等信息(红黄绿灯)，并对模型的总数、问题模型数量进行统计。2.要把内部评级模型的监测作为核心内部评级模型监测的核心是监控模型的区分能力、准确性(审慎性)和稳定性。其主要目的是通过定量的手段，及时发现模型运行状态，并对所估计的风险参数是否符合监管和内部要求进行监控。模型区分能力是信用风险评级模型最重要的能力之一，也是模型应用部门和分支机构最关注的内容。通俗讲，内部评级体系的区分能力指的是能有效区分客户/债项的风险的能力。良好的区分能力，意味着内部评级结果为高评分、高评级的客户对应的是低风险的客户。在统计上，一般采用KS值、AR值、AUC系数、ROC曲线等统计指标来衡量模型的区分能力。一般来说，这两个指标越高，模型区分能力越好。模型的准确性有多种理解。一般来说，模型准确性主要包括模型输出的风险参数量化准确性、模型本身的准确性。对实施内部评级初级法的银行，主要监测风险参数违约概率PD的准确性，比较每个等级下内评法估计的PD与实际违约率PD之间差异程度。在零售内部评级中，要同时监测债项PD/LGD/EAD和实际结果的差异。由于监管机构更关注风险参数估计的审慎性，还需要单独对审慎性开展监测。从统计结果上看，一般采用二项检验、正态检验等方法进行准确性(审慎性)的定量监测。另外，内部评级模型本身的准确性，一般纳入到区分能力部分进行监测。稳定性指的是，当内部评级模型的客户群发生漂移时，内部评级模型区分能力和风险参数值保持相对稳定。区分能力的稳定性要通过监测连续几个时间点的区分能力指标来评估。风险参数的稳定性要在客户群没有发生剧烈变化时保持相对稳定。除了监测模型本身能力和风险参数稳定性外，还需要综合考察内评应用客户群体的稳定性，才能更具前瞻性地预测可能的冲击对模型稳定性造成的影响。从定量监测技术上看，模型本身能力的稳定性和风险参数的稳定性可以通过考察时间轴上的区分能力指标、风险参数指标的波动程度来实现，而客户群体的稳定性监测可以通过评级迁徙、群体稳定性指数PSI等指标来实现。除了在上述三大主要维度对模型开展监测以外，针对某些内部评级模型，还有一些专项监测需求。如在建模时形成的零售分池结构，随着客户群的变化，原来分池结构下的客户群体可能发生了较大变化，因此要对零售分池是否仍然满足池内同质性和池间异质性开展监测;将具有特定的监管要求的资本计量风险参数纳入到监测范畴;零售风险领域需要对是否存在成熟性效应、成熟性效应调节因子进行监测。在零售评分卡与分池、非零售评级等领域对模型输出的结果如集中度等进行监测等。3.要建立内部评级支持体系监测这部分内容是银行内部体系监测中相对薄弱的环节。内部评级支持体系包括内部评级体系的治理架构、模型的使用政策和流程、数据、IT系统、模型应用、模型开发和应用文档等。其中，模型的使用政策和流程、数据、模型应用情况均可纳入内部评级监测体系中，而这些监测内容中，最主要的是模型应用情况。通过对应用情况的监控，可以评估应用政策和流程设计的.合理性、政策和流程执行的有效性，以便有针对性地对评级政策和流程进行及时重检。具体来说，模型应用情况包括分支机构/客户经理对模型输入信息的录入、发起评级评分、调整、推翻、认定等环节。以非零售评级应用为例，在评级之前的信息录入环节，需要监控录入信息的准确性。如可以对客户评级信息的定性指标分布进行监测，通过分布合理性判断客户经理提供的信息是否正确。否则，一旦录入错误信息，将导致输出错误的模型结果，给客户真实风险判断、授信审批决策带来极大的风险。在后端评级中，要对评级发起、评级调整、评级推翻、评级审定环节进行监测，以实现对区域、分行、模型、各流程不同环节控制的有效性以及评级流程设计的合理性。在评级发起环节，需要监测评级覆盖率，以统计因没有及时发起评级而导致客户评级出现真空期的情况，或者因客户评级发起及时性不足导致客户评级结果和客户真实情况发生偏离的情况。通过定量信息监控模型可以监控使用人员是否使用错误的模型发起评级，导致对客户风险判断失误，以及模型使用人员是否为了规避信贷政策准入要求，采用错误的行业、模型发起评级;在评级调整环节，需要监控特例调整政策的使用频率分布、是否执行评级调整、评级调整有效性等要素，以诊断特例调整政策的使用频度、特例调整政策的有效性等;在评级推翻环节，需要监控评级推翻率总体水平、不同区域/分行模型的评级推翻率、向上推翻比率、向下推翻比率等要素;在评级审定环节，需要监控评级审定和系统评级、调整后评级的偏离情况。零售内评体系主要监测评分卡的自动审批通过率、人工挑选政策有效性、人工审批政策效果等，以实现对评分流程设计合理性和执行有效性的监督。模型支持体系主要监控关键定义(如违约定义、违约损失定义)的应用情况，监控是否存在应当判定为违约的客户，没有及时判定为违约;不应该判定为违约的客户，被误判为违约的情况。

四、内部评级监测体系的IT系统和数据体系

内部评级监测需要依赖一系列的工具和基础设施，其中最主要的基础设施是监控IT系统和数据集市。没有IT系统和数据集市的支持，监控体系的主要功能将无法实现。1.监测体系依赖于完备、高质量的数据体系要基于全行数据仓库和数据集市，建立完整的内部评级监测和验证数据集市，并依托该集市建立监测IT系统，开展自动化的模型验证与监测。该集市至少要包括模型输出结果(如评级/评分结果)、客户表现情况(如是否违约、评级中间变量、评级原始信息、人工调整情况等)完整维度的信息。在此基础上，要形成模型关键信息登记表，对内部评级模型的关键变量、变量从前台业务流程系统到后台风险数据集市流转进行全面的记录，以确保监控体系中的信息与业务流程中的数据信息一致。2.内部评级监控IT体系内部评级监控IT体系主要由三部分构成：一是依托监测和验证数据集市，建立自动监测模块，实现整个内部评级体系的形象化展示和灵活报表查询功能，实现监控功能的集中化、自动化、批量化;二是基于风险数据集市的模型开发和数据挖掘平台(如模型实验室)实现手动监控功能，可以随时根据管理需要动态开展信息挖掘、监测分析，满足监控的特色、应急功能需求;三是设立内嵌在评级评分业务流程系统中的内部评级监测模块，为业务条线、分支机构提供查看实时监测分析结果的渠道。上述IT系统可满足前中后台、不同时效要求的监控功能，形成完备的内部评级监控IT体系。其中，基于内部评级体系的监测IT系统是整个监控体系的核心。3.在监控体系中建立监控信息汇总和反馈机制针对一些分支机构在应用模型过程中反馈的非结构化数据(如评级推翻管理部门的评级推翻具体案例信息、模型应用部分的分支机构人工反馈信息等)，要在IT系统中提供反馈、汇总和信息保存的环境。4.设定模型风险判定规则，并预留专家调整入口基于上述数据和信息，在内部评级监控系统中设定模型风险判定规则，并预留专家调整入口，实现模型风险等级判定以信息系统中的判定规则为主、辅助人工判断的模式。

五、内部评级监测体系的应用模式

内部评级监测是内部评级模型生命周期管理活动的一个环节。根据模型监控结果，可以开展模型问题诊断、提出后续管理行动等，设计良好的监测体系，可实现模型投产后的部分验证功能，大幅减轻验证的人工投入。监控结果应用主要包括以下内容。一是，根据监控结果形成初步诊断结论。首先根据模型监测结果开展模型风险等级分类，根据模型监测结果、模型应用情况监测结果等支持体系信息，以及其他定量分析和定性判断信息，将内部评级模型按照模型风险高低分为红、黄、绿灯三类。红灯类代表模型在运行过程中出现了重大缺陷，已经无法正常发挥功能，如模型区分能力连续一段时间低于底线，所估计的风险参数和实际情况出现严重偏离等;黄灯类代表模型基本功能满足要求，但是存在一些瑕疵。如客户群体稳定性偶尔出现一些波动，但基本不影响模型区分能力等;绿灯类表示模型运行状态良好，无明显的瑕疵。二是，对模型监控结果进行抽丝剥茧式的诊断分析，找到模型表现不好的真正原因。银行在内部评级监控中发现的问题，往往背后有一系列错综复杂的原因，大体可分为两类：一类是模型设计问题，如建模方法不合适，当采用绝对值作为变量进行建模，在经济环境变化幅度较大情况下，可能导致模型应用后客户群漂移以及模型区分能力迅速下降的情况;或建模方法基本合理，但部分指标设计不佳，难以互相印证、核实，带来客户经理误用、乱用模型的安全隐患。另一类是模型应用问题，此类问题在模型应用的各环节都有可能存在，如前文提到的信息录入环节的虚假财务报表，虚高定性指标打分等;评级发起环节的未及时发起评级，采用错误的行业、模型发起评级，规避对客户的信贷政策准入要求;评级调整环节的未严格按照特例调整要求进行调整;评级推翻环节的评级推翻率过高等。上述情况都可能对客户真实风险判断产生误导。三是，根据监控和诊断结果，采取有针对性的管理行动。模型风险监控结果为红灯的，要根据诊断的原因，明确内评体系各负责主体部门的责任，并交由各主体立即采取整改措施。对于模型本身的问题，应尽快优化模型，在开发时预留了备份模型的，尽快研究备份模型切换;对于风险参数估计不审慎问题，要定期根据监管要求进行调整;对于评级管理和评级流程环节的问题，要采取有针对性的管理措施，通过软约束(以文件形式制定规范)和硬约束(通过IT系统实现硬控制)等方式，调整管理流程;对于由于信贷政策和评级结果挂钩严格等原因导致的问题，要由有关部门共同讨论模型应用政策是否需要修订。模型风险监控结果为黄灯的，模型开发和监测团队要加强监控，关注产生波动的某些变量和整体客户群体的漂移，提前对模型可能发生的变化开展预警。一个设计良好的内部评级监控体系，应当能监控模型运行各环节中发生的大部分问题。对于诸如内部评级系统的稳定性评估、内部信息源系统数据质量评估等难以用监控体系量化分析的模块，以及一些无法用监控体系应对的突发状况等，可采取投产后验证，对模型运行情况进行专题验证和诊断分析。

六、有关建议

内部审计监控 第6篇

关键词:监控体系;集中支付;资金安全

建立以国库单一账户为体系的公共财政框架是我国财政改革的方向。目前，大部分地区都相继成立了不同形式的会计核算中心和国库集中支付中心。会计集中核算是对所有行政事业单位的财务收支实行“集中管理、统一开户、分户核算”；国库集中支付是以“建立国库单一账户体系，资金缴拨以国库集中收付”为主要形式的财政资金管理制度。因而中心管理着数量庞大的资金，资金安全问题显得尤为突出。特别是2008年12月24日，湖北潜江市发生了国库资金安全事故,反映了国库支付中心制度不健全、岗位设置不合理、监控体系不完善等漏洞,造成国库大量资金流失，给国家和人民造成了难以弥补的损失，引起了各级政府和财政部门的高度重视。资金安全是会计集中核算和国库集中支付的生命线，是国库工作的重中之重。本人结合工作实际，就如何加强会计集中核算，保证资金安全运行做一探讨。

一、事前预警:加强队伍建设，建立完善的规章制度

1.加强对会计人员的培训，增强会计人员的职业道德和法律意识

以《会计法》为准绳，新的会计制度和会计法规为依据，结合工作中出现的新问题、新情况，定期和不定期对会计人员进行业务知识和法律知识的培训，加强工作责任感，增强法律意识，时时敲响资金安全的警钟。同时加强警示教育，搜集财政金融部门有关资金安全的典型案例，组织中心员工对案例进行剖析，以吸取教训，把不健康的思想消灭在萌芽状态。

2.建立各种规章，构建国库资金规范、安全、高效运行体系

随着国库集中支付改革的深入，支付的范围越来越广，支付的资金量也日益增大。必须制定一系列规章制度，让国库资金在制度构建的安全通道里运行，使“自觉行为、道德约束”变成“强制行为、制度约束”。灌云县国库支付中心在运行几年的实践中，先后制定了《灌云县会计核算中心报账规范》、《灌云县国库支付中心资金支付规范》、《灌云县会计核算中心操作流程》、《内部控制和岗位支出审核制度》、《业务考核制度》、《业务考核办法》、《业务考核实施细则》等等。使中心每个岗位、每个人在办理业务时有章可循，有据可依。因而责任主体明确、责任层次清晰、责任追究严格，做到把日常工作程序化，隐形工作显性化，内部运行制度化，风险防

范全员化。

二、事中控制:科学设岗，互相制约，把好报账支付环节的每一关

1.预算单位从申请国库用款计划到核算中心报账，再到支付中心支付的过程，就是国库资金流动过程。

在资金流动过程中，岗位设置是否合理，相应措施是否跟得上，对办理业务和资金支付过程能否起到互相监督、互相配合，是资金支付过程中重要一环。

中心在岗位设置和资金流动过程中，始终以资金安全作为主线。在借鉴有关经验基础上，进行周密安排，在实践中进一步完善，使不兼容岗位分离，不同岗位操作口令严格分开，密码定期更换。印、鉴、票、证分开专人保管。大厅式办公，流水线作业，使核算、支付工作既相互配合，又互相约束，保证了国库集中支付资金安全高效运行。

中心共设统管会计、总账会计、支付初审会计、支付复核会计、资金总会计、清算会计、事后监督会计、网管员、档案员、中心主任共十个岗位。

统管会计和总账会计主要是负责原始发票的审核和业务处理。原始发票首先由统管会计初审，包括发票是否规范、审批手续是否齐全、收支金额是否正确，附件是否配套等等，符合报账规范后，再由总账会计复核，转账和报账中有单张发票超过一万元的必须有中心主任审核，每一环节都必须有本人亲自签名，不得以印代签。这样就形成了预算单位预留印章、领导签名、报账员签名、统管会计签名、总账会计签名、主任签名的完整的中心内部传递凭证。

2.支付中心设置支付初审会计，支付复核会计，资金总会计，清算会计，事后监督会计。

支付初审会计。根据核算中心手续齐全的内部传递凭证录入支付申请；审核与打印支付复核会计录入的支付令并盖章。即《财政直接（授权）支付申请书》。

支付复核会计。审核支付初审会计的支付申请，录入支付令。根据每日支付令及时做好账务处理，日清月结。

资金总会计。审核资金会计开具的银行票据和支付令，确保票据内容与中心内部传递凭证内容完全相符。加盖国库支付中心和有关领导预留印鉴。

在实践中，考虑到与银行结算票据传递环节可能存在的漏洞，在岗位设置上，我们特别增设了资金清算岗位和事后监督岗位。

(1)清算岗位

①在将票据送交银行前，进一步核对中心内部传递凭证与《财政直接（授权）支付申请书》。包括收款人名称、银行账号、开户银行、实际支付金额、签章等内容是否正确齐全。

②每天业务终了，分预算类型打印《财政直接支付明细表》。确保中心支出笔数、支出金额、划款凭证与银行核对正确无误。

(2)资金事后监督岗位

①到代理银行领取前一工作日《财政支付凭证》回单和《财政直接支付明细表》、《银行划款凭证》。

②重点核对《财政支付凭证》与《支付明细表》的业务笔数是否相同，《银行划款凭证》的总金额与《支付明细表》的总金额是否相当。

③将《支付凭证》回单分发给统管会计，统管会计根据和回单一致的原始凭证及时做账。

这样通过层层设防，环环相扣，堵塞资金链上每个环节可能存在的漏洞和隐患，确保财政资金的安全运行。去年底，湖北潜江发生12.24大案，潜江市财政局国库支付中心出纳员樊红分两次相继转走国库资金580万元，在短短时间内被刷卡消费，大肆挥霍。给国家和政府造成了不可估量的损失，这是血的教训。如果岗位设置严密，制度管理严格，就不可能一路绿灯，一人转出如此大数额资金。如果事后监督到位，及时做账、对账，也能及时发现问题。亡羊补牢，未为晚矣。

三、事后监督:多策并举,全方位监控,进一步保证资金安全

在工作中，一般重视原始凭证的审核、《支付申请书》开具的各个环节，而容易忽视票据结算后的监督。加强事后监督，能及时发现问题，采取补救措施，追回不该流失的资金。

1.及时做账 业务办理的第二天，统管会计在收到银行回单时，及时核对业务的真实性，金额是否相符等，及时做账，做到日清月结。

2.及时对账 核算中心统管会计每星期一与银行对账，与支付中心对账。

3.定期组织互审 通过互审，达到技术上取长补短，业务上互相监督，业务口径上高度统一，堵塞了潜在漏洞，进一步促进了工作。

4.实行岗位轮换 定期实行岗位轮换，一方面能克服一直从事某个岗位、某项业务，对某一单位报账而产生麻痹思想，放松警惕等不利因素；另一方面，使每个职工熟悉不同岗位的不同业务和环节，使每个人都能在不同岗位得

到锻炼，成为多面手、全面手，全面提高职工的业务水平，提高单位的整体素质。

四、结束语

涉密网络内部安全监控管理系统设计 第7篇

随着信息技术的飞速发展和网络建设的不断深入,现代社会对信息网络的依赖度越来越高,许多单位和部门建立了内部局域网,实现了办公自动化,但在网络给工作带来便利的同时,网络信息安全问题也越来越突出。涉密信息、内部敏感内容在网络上流转,存在严重的安全隐患,受到了普遍关注。目前,人们把大部分的财力、物力放在来自外网的攻击上,但FBI和CSI对484家公司进行的网络安全专项调查结果显示:超过85%的安全威胁来自单位内部,其中16%来自内部未授权的存取,14%来自专利信息被窃取,12%来自内部人员的欺骗,只有5%是来自黑客的攻击[1];在损失金额上,由内部人员泄密导致的损失高达60,565,000美元,是黑客所造成损失的16倍,病毒所造成损失的12倍。这组数据充分说明了内部人员泄密的严重危害,可以说任何会操作电脑的内部人士都是潜在的内网安全威胁。目前,各级各类涉密网络外部信息安全防护程度较高,综合采取防火墙、多重安全网关、网闸、入侵检测、密码加密、物理隔离等技术方法,较好的实现了对来自外部入侵的安全防护,但是内部监管问题依然严重存在,目前流行的“企盾”等监控软件主要实现了应用层的监控管理,存在一定缺陷,如何采取技术手段强化涉密网络内部安全监控与管理,是当前信息安全领域需要研究解决的一个热点问题。

1 涉密网络内部存在的信息安全隐患

目前,信息网络安全已经得到了各行业、各部门的高度重视,采取了有力的措施,但是由于缺乏有效的信息安全内部监控管理措施,在相对安全的情况下,仍存在一些不安全因素,主要表现在以下几个方面。

1.1 随意接入涉密网,窃取秘密信息

由于绝大多数涉密信息网络没有安装专业的监控管理系统,可以采取使用涉密网络IP地址的方法,将个人计算机终端随意接入涉密网,复制网络内的各种涉密信息,影响内部涉密信息安全。

1.2 计算机在涉密网和互联网之间交替使用

为方便使用,工作用的涉密计算机“一机跨两网”,根据工作需要,将涉密计算机在涉密网络和国际互联网之间交替使用,造成涉密计算机内信息被互联网嗅探工具探测并截获。

1.3 使用移动存储设备,造成信息外泄

随着移动存储载体的广泛使用,个人工作或学习中使用的移动存储设备(U盘、移动硬盘等),在涉密网主机上随意复制信息,再接入互联网等其他非密网络计算机终端,造成涉密信息外流;甚至外来人员故意使用移动存储设备,从涉密计算机上随意复制信息,造成涉密信息外泄。

1.4 随意使用外部设备,导致信息泄露

涉密网络中使用的计算机外部设备,若使用管理不当,也会成为泄露秘密信息的途径。比如,涉密计算机外接的打印机,如果不进行监控管理,可随意打印涉密文档资料,也极易造成涉密信息外泄。

因此,为加强涉密网络内部信息安全管理,必须对涉密网络的软、硬件进行有效的管理防护,对网络运行进行严密的监控审计,对网络接入和个人网络行为进行授权和访问控制,达到安全防护的目的,防止外部人员蓄意非法进入和内部人员出于各种动机导致的涉密信息外泄。

2 涉密网络内部安全监控管理系统设计

2.1 系统总体设计

按照涉密信息网络建设总体要求和安全管理需求,综合运用网络信息安全技术对涉密网络和主机采用监视、控制、审计等安全防护手段,统筹考虑可能出现的各种信息泄密途径,对计算机的软硬件资源、文件系统等进行集中监控与管理。采取事前预防、事中监控、事后审计的管理方法,进行严格的管理、监控、审计,实现对整个网络和终端的实时管理与控制。功能结构如图1所示。

2.1.1 安全管理系统

完成对网络内的各种设备、接入网络的主机软硬件资源进行统一管理和控制,对网络用户进行认证和注册,使用户按照自己的身份、权限进行正常办公和访问,控制非法用户进入网内。包括主机管理、网络管理和硬件管理。通过系统的管理功能,达到控制网络内部开放的目的,使得局域网内的涉密信息不被非法盗取,确保网络内部的安全运行。

2.1.2 安全监控系统

对网络各级节点的运行状态、终端用户行为等进行实时监视,并对发现的违规操作或非法行为采取相应的控制措施。主要包括实时报警、网络监控、服务监控等。通过监控系统的监控功能,使网络管理人员能够准确定位事件发生的地点、机器、人员,及时发现网络内部的信息安全隐患和非法用户的违规行为,及时采取有效措施,消除安全隐患,阻止非法用户或内部人员的窃密行为。

2.1.3 安全审计系统

主要对系统管理、监控所涉及的内容进行实时记录,将主机的行为活动进行记录并由客户端上传到服务器的数据库内,以备对用户的行为进行事后追查。

2.2 涉密网络内部安全监控管理系统实现的功能

该系统要既能够使现有的信息网络发挥正常功能和作用,同时能够实现对网络及其使用状况的监控管理,综合运用信息安全技术,采用监视、控制、审计等安全防护手段,统筹考虑可能出现的各种信息内部泄密途径,实现对涉密信息网络和涉密计算机的软硬件资源、文件系统进行集中的监控与管理。

2.2.1 对内网计算机进行安全管理

实现内网计算机的统一管理,计算机必须进行注册才能成为内网合法计算机,所有联网的计算机都处在系统的网络监控管理范围之内,通过本系统对网络连接情况、计算机软硬件资源使用情况、安全审计记录、使用权限、共享资源等进行有效的监督和管理。通过管理,使网内计算机的对内、对外访问权限处于管控之中,使其网络地址、可访问网络资源等由系统设定和指定,个人无法自行修改。

2.2.2 对主机非法接入进行安全控制管理

任何其它非注册计算机接入内网均视为违规,通过网络控制功能可对违规接入的计算机采取阻断或隔离等响应措施。系统能够及时对危害网络及网内主机的信息安全、对网络信息安全造成威胁的行为进行报警。

2.2.3 对计算机接口、输入输出设备进行统一管理

系统能够管理控制硬件设备包括所有的计算机接口(USB设备、串口、并口、RJ45等)和外设(光驱、键盘、鼠标、刻录机、打印机、扫描仪、传真机、红外设备等)的使用或禁用,并能够对打印机、扫描仪、传真机、移动存储设备等外挂硬件设备进行登记管理。系统能够通过配置安全策略,控制计算机外部设备及接口的使用。系统可关闭和开放输入/输出设备,并对设备的使用情况进行记录。

2.2.4 对移动存储设备进行注册使用

系统可对移动存储设备(U盘、移动硬盘等)实行注册使用制,对本单位使用的各种各类移动存储设备进行统一注册管理,凡在网内或脱网机器上使用的存储设备必须经过注册,不注册不能使用,注册后不能在网络以外的计算机上使用,达到双向隔离的目的,避免移动存储设备在管控以外的计算机上使用,堵塞移动存储设备相互复制造成涉密信息外外泄的漏洞。

2.2.5 对网络行为和内网计算机进行监控

系统能够对网络各级节点的运行状态、终端用户行为进行实时监视,并对发现的违规操作或非法行为采取必要的控制措施。主要包括实时报警、网络监控、服务监控等。通过监控功能,网络管理人员能够及时发现网络内部的信息安全隐患和非法用户的窃密行为,及时采取有效措施,消除安全隐患,阻止非法用户或内部人员的窃密行为。

2.2.6 对网络运行情况和计算机操作进行审计

系统可对系统管理、监控所涉及的内容进行实时记录,将涉密计算机的行为活动进行记录、审计,并由客户端上传到服务器的数据库内,协助网络管理人员对网络安全问题进行定期分析,做出网络安全情况报告和备案,以备对用户的行为进行事后追查。

3 主机非法接入安全控制管理功能的实现

本小节主要介绍主机非法接入安全控制管理功能的实现。为更好的保护网络,防止主机非法接入网络,首先要考虑各种产生非法接入的情况[2]:

(1)只修改IP地址。通过比较用户注册信息库中IP-MAC对应表,发现非法的IP地址,进而阻止其接入网络;

(2)成对修改IP-MAC地址。分两种情况:一是合法用户未接入网内,非法用户盗用其IP和MAC地址,由于没有注册,盗用者将被发现;或者非法用户盗取合法用户帐号和密码,但账户信息与IP、MAC不对应,可检测出非法用户;二是合法用户已接入涉密网内,非法用户修改其IP和MAC地址与合法用户的相同,此时两个用户的IP和MAC地址重复,比较登录时间并阻断后登录的用户。

针对以上情况,设计并实现了内网防非法接入监控子系统,其逻辑结构如图2所示。主要是结合用户认证和IP-MAC绑定技术,按照三个步骤实现系统功能。

第一步:采用身份特征匹配方法实现入网用户的身份验证,将用户名、密码、用户终端IP、MAC地址等四元素绑定,采用DES对称加密算法[3]加密,发送到认证主机,利用查询统计的办法对绑定特征进行查询,若通过认证则正常登录;若未通过认证,分两种情况:若用户名、密码不匹配,则将其添加到非法日志库中,进入第三步,若用户终端IP、MAC地址不匹配,则进入第二步。

第二步:使用Libnet开发包[4],构造ARP请求包,请求获得目的IP的MAC地址,使用WinPcap捕获ARP回应包,分析ARP回应包得到目标主机的IP地址和MAC地址,然后进入第三步。

第三步:若非法信息由第一个步骤产生,则发送报警信息到监控台并记录非法信息到日志库中供日后审计;若非法信息由第二个步骤产生,则采用ARP欺骗的方式立即阻断此主机与网络的连接,然后发送报警信息到监控台并记录非法信息。(如图2)

4 结束语

针对涉密网络和涉密主机可能出现的各种内部信息泄密途径,本文综合运用信息安全技术,采用监视、控制、审计等安全防护手段,对计算机的软硬件资源、文件系统进行集中的监控与管理,采取事前预防、事中监控、事后审计的管理方法,实现了对网络和终端的实时管理与控制,满足了涉密网络建设总体要求和安全管理需要。

参考文献

[1]马世敏.基于可信计算机的内网监控系统的研究与实现.硕士学位论文.电子科技大学.2012

[2]王雷.主动式网络安全监控系统的设计与实现.硕士学位论文.南京航空航天大学.2007

[3]石志国,贺也平,赵悦.信息安全概论.清华大学出版社. 2007.06

ERP环境下日常经营监控审计尝试 第8篇

近年来, 无论审计理论届还是实务界都开始越来越关注持续审计即日常经营监控审计的实践应用, 日常经营监控审计日益成为内部审计发展的一个新方向, 企业ERP系统中的业务和交易需要快速有效的审计, 日常经营监控审计由此应运而生, 日常经营监控审计被作为一种新的审计模式, 得到充分重视和推广。

二、日常经营监控审计即持续审计的表现形式

国际内部审计师协会 (IIA) 2005年对持续审计的定义是:“在一些被审计事项发生的同时亦或是发生时间不久, 由专业的内部审计人员提交与此相关的审计报告, 根据被审事项作出书面保证的一种过程和方法。”

日常经营监控审计成为持续审计的一种表现形式, 即是ERP环境下一种新的审计模式, 它是由内部审计人员在相关事项发生的同时或稍后进行审计的一种审计类型。日常经营监控审计将传统的集中审计转变为日常动态跟踪审计, 是对传统审计工作方式的改革。

三、W企业ERP环境下开展日常经营监控审计的背景

W企业SAP/R3系统2004年8月上线运行, ERP系统实施给内部审计带来新的挑战和要求, 不仅在会计科目、会计凭证、会计账簿、会计报表、会计档案等会计核算方法上产生变化、而且在业务流程和内部控制制度建立执行上也产生重大变化, 传统的集中审计方式难以实现对W企业的全面覆盖, 因此, 内部审计目标和范围、审计方式和技术、审计线索方面也需要随之改变。

因为企业规模和信息化进程等方面限制, W企业并没有立即上ERP业务审计信息系统, 而是借助SAP/3系统本身所具有的功能, 开展在线、实时审计, 即日常经营监控审计, 将传统例行的集中审计转变为有利于企业经营管理决策的日常经营监控审计, 使内部审计工作由事后监督变为事前和事中的过程控制。

四、W企业ERP环境下日常经营监控审计实践应用

由于SAP/R3系统拥有强大的查询功能, 内部审计更多地利用SAP R/3的查询功能, 只要登录SAP R/3系统并有相应的管理权限, 就可以在线获取数据实施审计, 可利用其先进的系统资源和数据共享优势, 从系统上及时查询、检索、整理、下载和打印审计所需要的各种数据和资料, 使内部审计工作由事后监督评价变为事中监督控制。通过对SAP/R3系统本身所生成的系统报表的对比分析, 比如:通过对事业部和地区经营业绩分析性复核、对收入成本费用科目按月进行分析性复核, 查明异常数据和指标。从而, 日常经营监控审计将原来的集中审计转变为日常动态跟踪审计, 出具实时审计报告, 让管理层迅捷准确掌握企业运营状况, 为管理层提供决策依据, 以下列举W企业日常经营监控审计的几个实例。

1. 对财务报表的分析性复核日常经营监控审计

通过ERP系统实时在线获取经营数据后, 运用分析性复核实时掌握企业的经营状况及其变动趋势, 对本年各月资产、负债、所有者权益、收入、成本、费用的构成及变化进行分析, 对比其变动趋势, 查找异常变动情况导致的因素;对比分析连续三年的各月上述会计要素指标的变动趋势, 查明异常变动情况引起的原因, 并出具实时审计报告。比如, 对应收账款的趋势变动分析控制, 进行有效防止逾期应收账款的发生, 有效规避风险。

2. 对事业部和地区经营业绩的日常经营监控审计

通过ERP系统实时在线获取各事业部各地区的业绩数据, 对营业额、成本、毛利进行综合分析, 查找审计疑点和问题线索。比如, 实时查询毛利在50%以上和5%以下的销售订单的正确性, 分析数据异常产生的原因, 在此基础上来进行重点核查, 及时发现系统中销售订单前端存在的问题, 实现经营业绩的动态监控。

3. 对出租资产的日常经营监控审计

W企业的主要业务之一为客户提供仪器租赁服务, 出租资产占全部资产的90%以上, 对出租资产的管理和日常经营监控审计相当重要, 通过实时实地盘存数量与ERP系统数据进行对比、分析来查看企业账实相符性, 通过ERP系统实时关注出租资产的动态变化, 实时关注资产的出租率和回收率, 对资产折旧方法、折旧年限、资产报废、资产处理等跟踪抽检, 出具实时审计报告, 实时关注租赁仪器资产减值风险, 以最大程度提高资产的出租率、缩短回收期。

4. 对分公司子公司日常经营监控审计

通过SAP R/3系统自动对账事务代码实时查询公司间交易, 关注公司间资金往来数据, 因为系统数据实时在线共享, 实时查询各分公司、子公司财务凭证、财务账簿和财务报表等, 并进行分析性复核, 有必要时可以随时调阅异地分公司、子公司的原始凭证, 大大节约异地分公司子公司出差成本, 解决了内部审计普遍面临的成本较高的问题。及时对异常变动的分公司、子公司的各项指标做出分析, 就发现的异常和问题, 出具实时审计报告。

五、结语

W企业在ERP环境下推行的日常经营监控审计是在实时环境或接近实时环境下, 借助ERP系统在交易发生后不久, 内部审计人员能够及时检查到异常交易和事项, 尽可能确保企业的经营活动和财务活动的正确性, 并且能够持续地监控经营活动中存在的异常, 出具实时审计报告, 本文只是根据W企业的具体情况对日常经营监控审计作一些初步的尝试, 为同行们提供一些参考和借鉴。

摘要：企业ERP系统中的业务和交易需要快速有效的审计, 持续审计即日常经营监控审计应运而生, 本文就W企业在ERP环境下日常经营监控审计的背景、日常经营监控审计实例、出具实时审计报告三方面进行介绍。

关键词：ERP环境,在线审计,实时审计,持续审计,日常经营监控审计

参考文献

[1]蒋小花.ERP环境下在线审计实践探索.财会月刊.2014/21.

[2]于洪波.ERP环境下在线审计方法探讨.2012/25.

内部审计监控 第9篇

1 关于投资预警系统

在对相关信息收集的基础上建立起投资预警系统, 通过分析采集信息得出投资项目可能出现风险的根本性因素, 发现其潜在风险, 并发出预警信号来实现企业投资风险控制。

1.1 预警系统分类

从企业投资预警过程的关联结构分为集中型、分散型、分层型预警系统;从企业投资预警力度上分为刚性、柔性、弹性预警系统;从投资过程的信息反馈上分为开环式、闭环式、组合式预警系统;从企业投资的随机程度分为程序性、自动型预警系统;从投资过程中预警系统运行模式上分为自动型、非自动型。我国企业传统的投资预警系统属于一种集中化、程序化的非自动刚性的、开环式投资预警系统。其理论基础计划经济理论, 其特征是通过指令性计划推动投资预警系统运行, 靠政府调节机制来调节和控制各类投资检测预警点的行为。

1.2 投资预警系统的功能

企业要实现企业投资活动中风险的预防和控制, 就要通过相关信息的采集, 从中分析导致投资项目出现风险的根本性因素, 以定性、定量相结合的方式发现投资中潜在风险并发出预警信号。企业投资预警系统作为投资运行的标杆, 其功能分为多种: (1) 信息收集功能。收集大量相关投资项目的各方面信息, 例如与企业相关的产业政策、国内外市场竞争状况、行业发展趋势、企业自身的各方面信息等, 将得出的信息进行分析比较来判断预警的必要性; (2) 监视监测功能。通过对采集到的信息和数据进行横纵向对比后预警系统来判定市场是否景气及动向, 若出现危害投资效益的系统预警系统中预设的关键因素, 预警系统及时发出预警信号, 使投资者早做预防和调整投资对策; (3) 危机控制功能。投资风险预警系统功能是否健全, 不但可以抢在风险发生前发出警报, 还能及时找出导致投资状况恶化的根源, 以便决策者能在危机发生前提前制定出有效的应对措施, 尽量减低风险和减低发生风险所带来的损失。

2 企业投资风险预警系统的内容

企业投资预警系统主要分为两大内容:预警源分析和警兆识别。企业在投资过程中导致风险发生的根本因素称之为预警源。在投资过程中, 企业将一些相关的关键因素控制在一定程度上就是

开滦集团公司财务部张晓玲

非常成功的, 因为这些关键因素异常将可能导致企业投资整体上失败。总体上讲, 企业投资风险预警源分为以下几种:

战略性预警源。基于企业所制动的发展战略不充分等原因可能使投资风险出现, 比如说企业运营多元化发展、片面注重规模效应而盲目加大投资规模、选择不当的并购模式等。

决策性预警源。因为企业的盲目化投资引起决策失误导致出现风险因素, 如对投资项目缺乏严谨科学论证、内外投资环境评估不充分、决策者自身的因素等。

投资管理型预警源。由于企业对投资项目控制能力薄弱、混乱的管理机制造成投资风险出现。比如对投资项目前期准备不充分、项目建设时间较长、资金准备不足、项目建成后不能马上见效益等。

外部预警源。企业外部因素对企业产生的威胁因素。如替代品对市场的压制、消费者消费变换差异等。

市场型警源。给所有企业都能带来的风险, 这种风险特点在于不能为主观意志控制。如经济萧条、通胀压力、汇率变动、金融海啸、战争等因素。

不同的企业所面对的各种因素各不相同, 因此在企业实际运作中可参考以上的警源并结合预警对象的特点和发展规律尽享监测, 准确给出发生预警的根源。

辨识企业投资中的警兆。企业投资过程中发生投资风险时先兆称为警兆。所有的风险在发生前都会有其对应的先兆, 预警系统就根据这些异常遵循一定得原则进行捕捉。具体通过定性分析和定量分析来实现对企业投资风险的控制。

所谓定性分析, 就是对决策相关项目从决策开始打投入运营等几个方面的定性描述判断是否出现警兆。定性分析内容应包括以下几点:企业投资前是否有具体的投资实施计划书;进行投资项目决策前是否经过了详细的风险评估;项目实施控制力力度是否强有力;投资过程中分工是否明显和合理;相关的制度和定期财务检查是否在严格遵守和执行等。如果上述问题没有肯定回答, 警兆则视为已经产生, 预警系统应立即发出预警警报。所谓定量分析就是警兆的发生与否通过精确的数据计算来确定。分析企业投资风险指标就是定量分析的主要内容。通过定量分析所建立的投资风险项目是否有潜在风险来确定警兆的存在与否。

预警指标体系的进行应具体遵循六大原则: (1) 重要性原则, 所选的指标能对投资效益有重大影响; (2) 灵敏性优先, 所选的指标能够快速灵敏准确的反映投资项目的运营情况; (3) 指标超前, 所选的指标能先于投资项目变化发生; (4) 稳定性, 选择出来的预警指标变化状况进行不同状态划分, 标准是能保持相对稳定; (5) 时效性, 所选的指标能定期进行监测, 从时间上反映投资项目运营状况; (6) 可行性, 所选的指标要符合企业实际情况, 以便获得相关统计数据和资料进行动态连续对比。

参考文献

[1]佘廉.企业预警管理论[M].河北科学技术出版社, 1999.

[2]徐向阳, 谷和平, 刘景韬.技术经济学[M].东南大学出版社, 1998.

[3]刘庆志, 赵青春, 国凤兰.关于企业财务预警系统的探讨[J].经济师, 2003, (8) .

[4]王健, 屠新署.证券组合的临界线决策.中国人民大学书报资料中心“复印资料”F63投资与证券, 1998 (6) .

内部审计监控 第10篇

在某些特殊行业,内网信息安全至关重要。虽然互联网被禁止接入,且制定了系列的安全保密规定并采取了一定的技术措施,但大多侧重于解决网间安全传输,对终端用户在信息安全防护、网络操作行为、访问控制、病毒防护等方面仍缺乏有效地监控审计和防护手段。因此,网络终端信息安全监控审计系统的研究十分必要。

2 系统架构

以提高内网终端信息安全监控审计为根本出发点,注重终端信息安全防护功能。在网络监控方面,提供网段扫描、网络监控、流量监控等功能,依托Win Pcap底层驱动,实现对网络数据包监听、捕获、过滤、分析,使网络管理员能够及时掌握终端用户的各种行为,查找网络中可能存在的安全隐患,实现对不安全行为进行审计、分析、判断和记录;在终端信息防护方面,通过建立对符合群体用户信息安全防护要求的IPSec安全访问控制策略,采用屏蔽不安全的端口连接等主动防御措施,实现对网络终端不安全端口的管理控制;在上网主机管理方面,利用.NET的DNS类的方法,通过对指定网段的扫描,实现在线主机的智能发现,从而实现对上网主机的管理,堵塞内网非法接入管理漏洞,拒绝不安全主机上网;在病毒防护方面,通过对常见木马病毒攻击端口的安全策略设置,实现对常见网络病毒的一键防护功能。

3 功能实现

分网络管理员和终端用户两个版本。对于终端用户,禁止对网段进行扫描、监控,确保网络运行安全。

3.1 终端信息管理

集成计算机管理常用的各类工具,包括漏洞补丁升级、安全设置等,便于及时掌握内网终端信息安全状况。由于与因特网物理隔绝集成的漏洞补丁升级程序,基于WSUS服务器实现操作系统补丁自动升级。

3.2 端口管理

远程控制软件,对终端的控制是通过端口实现的,病毒、木马、黑客等常利用这些端口入侵,因此,对端口的管理是做好终端信息安全防护的基础性工作。

3.2.1 端口扫描

通过向目标主机的TCP/IP服务端口发送探测数据包,并记录目标主机的响应情况,来分析、判断服务端口开关状态,从而得知端口提供的服务或信息。技术实现上采用全开扫描方式,即通过完整的TCP连接探查端口的扫描方式,其优点是不需要任何权限,系统中的任何用户都有权力使用这个调用,缺点是速度慢,但可以通过多线程技术提高扫描速度。

3.2.2 关闭漏洞端口

制定符合内网用户信息安全防护要求的IPSec安全访问控制策略,对常见木马病毒等攻击端口设计了严格的禁止策略,实现对终端用户在不同应用范围内的动态防护和对常见网络病毒等的一键保护。技术实现上基于IPsec规则,从内网实际应用出发,结合行业法规要求和经验做法,对各类内网专用系统占用的端口进行了梳理分类,设计了针对端口管理的安全访问策略并添加到现有的IPSec安全策略数据库,通过设置规则进行数据包的筛选,屏蔽不安全的端口连接,实现对端口的管理功能。

3.3 网络信息监控审计

采用Win Pcap底层驱动技术,实现在Windows平台下对网络数据包的监听、捕获。通过对其可编程过滤器的二次开发,实现捕获主机通信数据包和网络负载、主机间的数据交换量等信息。主要由监控驱动、网段扫描、网络监控和流量监控4部分组成。

3.3.1 网段扫描

在.NET环境下,首先通过DNS类的Get Host Name方法获取机器名,再利用Get Host By Name方法获取指定DNS主机名的DNS信息,得到本地主机的IP地址表,并进行远程查询其上网合法性,避免非法连接。同时,得到主机所属网段地址,对网段内的主机地址采用0-255循环编号的方式进行地址搜索,利用Dns.Get Host By Address方法获得在线主机的IP地址,从而实现对网段内在线主机的智能发现。为了提高扫描速度,程序在设计时,引入了多线程并发扫描的技术,通过Thread类实现了创建和控制线程,极大地提高了扫描效率。

3.3.2 网络监控

对网段扫描后,网络管理人员可以根据需要选择监控对象,通过捕获、分析被监控主机的网络数据包,实时显示用户访问网络的操作行为和网络数据包的收发状态,并对其进行合法性审计,实现网络监控审计功能。

技术实现上,主要采用基于报文结构格式的监控技术实现。根据以太网数据传输机制,要监听到流经网卡的不属于自己主机的数据,必须绕过系统正常工作的处理机制,直接访问网络底层。将网卡工作模式置于混杂模式,操作系统直接访问数据链路层,截获相关数据,由应用程序而非上层协议对数据过滤处理,实现监听流经网卡的所有数据。通过对流经终端网络设备的数据包侦听、捕获,实时获得本机访问网络的源IP地址、源端口号、目的IP地址、目的端口、协议类型、数据包长度、内容、MAC地址等信息,并对其进行分析审计,对判断为不安全的数据包直接在底层丢弃,对判断为合法的数据包则向上层提交,从而实现对网络信息的监控审计功能。

3.3.3 流量监控

实现对在线主机网络设备收/发到的数据包流量进行实时采集。通过观测数据包传输速率、报文长度等信息,网络管理员能够及时掌握在线主机的网络使用情况和网络带宽资源的利用情况;对产生的异常数据包流量进行监控,能够及时暴露出主机存在的网络安全隐患,便于网络管理人员对在线主机的运行状态进行监控、管理。

4 结语

系统集计算机管理、端口管理、网络信息管理、网络监控审计和网络病毒防护等多项功能于一体,综合提升了终端的信息安全防护能力,有效地解决了目前内网终端在信息安全监控审计方面存在的问题,对提高内网的整体安全防护水平有较大的促进作用,对一些特殊行业的网络终端信息安全防护起到一定的借鉴作用。

参考文献

[1]卿斯汉,刘文清,温红予.操作系统安全.清华大学出版社,2004.

内部审计监控 第11篇

近年来,在幼儿园数量稳步提升的同时,越来越多的人关注到了幼儿园教育质量的提升不可或缺。 园所数量增加和规模扩大需要以质量的发展为依托。没有质量的保证,盲目追求园所数量和规模,对幼儿来说未必是一件有意义的事情。为此,《国家中长期教育改革和发展规划纲(2010-2020)》提出“把提高质量作为教育改革发展的核心任务”。对于质量的重视,政府和学者们开始研制幼儿园教育质量的保障措施,幼儿园教育质量的监控就是其中十分重要的保障措施之一。然而,目前我国幼儿园教育质量监控的主体还比较单一,主要是以政府监控为主,而欧美各国第三方教育机构的监控作用占有较大比重,他们都是幼儿园之外的监控,是一种从外向内看的视角。在“元”研究日益兴盛的今天,我们需要对教育质量进行“元”研究,这就需要我们在进行幼儿园教育质量监控的时候有一种内视角。比如, 以幼儿园自身为监控主体进行的自我监控,我们称之为教育质量的“内部监控”。它是受控主体对自身质量的一种微观把握,是主体反思精神的集中体现, 从一定意义上说它也是幼儿园教育质量的重要体现。我们不应该仅仅关注教育质量的具体呈现,质量体对自身质量的把握也应该是我们观察幼儿园教育质量的一部分。进行幼儿园教育质量监控的内部转向,可以提升幼儿园的质量意识。同时对彰显幼儿主体性,促进幼儿教师专业化,优化整合幼儿园管理与组织,生成幼儿园质量文化均有重要现实意义。

一、彰显幼儿主体性

幼儿是幼儿教育中最重要的一个主体,也是幼儿教育工作的最终指向。在幼儿园教育质量的内部监控中,应该充分重视每一位幼儿自身的体验与感受,倾听幼儿的主体性表达。

幼儿园教育质量外部监控将幼儿园视为去情景化的抽象个体,更多的是一种量的关注,总体的把握。外部监控很少能花费大量的时间和人力去关注广大幼儿的现实需求,更多的是从理论及理性角度来透视幼儿园教育质量。幼儿园教育质量内部监控将有效弥补幼儿园教育质量外部监控的不足,完善幼儿教育质量的监控体系建设,更加关注幼儿园本身及其特殊性,能够有利于幼儿主体性的体现。一方面,幼儿园教育质量内部监控关注每一位幼儿园的儿童。幼儿教师和园所领导是幼儿园教育质量内部监控的主体,他们的活动场域均在幼儿园内部,在地理范畴上与幼儿的活动场域具有一致性。他们了解幼儿的饮食起居,了解幼儿的情感诉求,了解幼儿的智育及社会性的发展。尤其是幼儿教师,他们可以全面关注每一位幼儿,关注每一位幼儿的成长。 在进行教育质量内部监控的过程中,教师可以深入考察,抓住幼儿生活的每一个细节进行有效分析,提出具体的改进建议,对幼儿进行有差别的教育,让幼儿在园中感受高品质的教育与生活。另一方面,幼儿园教育质量的内部监控关注幼儿的自主表达。幼儿是幼儿园教育质量的直接承受者,对教育质量可以说有很重要的发言权。但是由于幼儿的语言及思维发展还不是很成熟,他们的感受往往在教育质量监控中受到忽视。但是,我们可以通过其他方式让幼儿表达在幼儿园中的感受,幼儿的语言是多元的, 并不局限于口头表达。

在幼儿园教育质量内部监控的过程中,我们必须充分关注每一位幼儿及其表达。英国教育家克拉克和莫斯创立的马赛克研究方法,是很好的展现幼儿表达的方法,有利于我们对幼儿进行观点采择。 克拉克提出组合使用传统研究方法(如观察、访谈) 和以“参与式工具”(如让幼童使用相机拍照、旅行和绘图、画画、角色扮演等)的使用为特征的新方法,并称其为“马赛克方法”,以解决幼童参与研究的方法难题[1]。全美幼教协会近年来强调“记录”和“让学习看得见”[2],教师可以用照片的方式记录幼儿的活动, 并访问幼儿的想法,组建档案袋。澳大利亚在进行幼儿园认证的过程中,会编制一些幼儿问卷。这些方式都是幼儿园教育质量内部监控的有效方式,也是幼儿彰显主体性的重要方式。

二、促进幼儿教师专业化

幼儿园教育质量的内部监控将幼儿教师纳入质量监控的主体,充分发挥幼儿教师的积极性。幼儿教师参与幼儿园教育质量内部监控的各个过程,这将有利于提高幼儿教师对高质量的认识,提升问题的发现意识,以及问题的解决能力,促进幼儿教师的专业化发展。

幼儿教师是直接接触幼儿的监控主体,对质量的了解可以在微观层面上提供重要质量参数,促使幼儿园教育质量监控更加科学、全面。与此同时,监控的过程可以说是幼儿教师的学习过程,对幼儿教师专业性发展有莫大的帮助。首先,在幼儿园教育质量内部监控开始阶段,需要对教师进行专门化的监控培训。在幼儿园教育质量监控中,应该为幼儿教师提供专业发展的机会,在幼儿教师承担监控任务之前对其进行相应的指导。其次,在幼儿园教育质量内部监控的过程中,呈现给幼儿教师一个巨大矛盾场。幼儿园教育质量内部监控可以说是一个理论与实践相互激荡的过程,也是一个观察、分析、反思的综合过程。著名美国学者波斯纳认为:教师的成长=经验+反思。经验与反思都是在一定的场景中发生的,场景的性质决定经验的效果和反思的深刻性,决定成长的速度和质量,经验在富有挑战性的场景中才会迅速发生,反思也只能在观念的冲击下才会更加有效[3]。幼儿园质量内部监控给了教师一个复杂与矛盾的场景,让幼儿教师在实际的教学与监控中提高对经验的获取,并让幼儿教师意识到所倡导的理论与所采用的理论之间的差异,在巨大的冲突中增强反思的深刻性。最后,需要在教育质量内部监控的过程中,培养幼儿教师发现问题和解决问题的能力。教师在头脑中带着质量框架去对幼儿园的各个方面进行审视,去分析事实与质量框架之间的切合度。在发现问题的过程中既能做出一定的改正,还能巩固质量框架的理论内涵。在分析与反思的过程中探寻自己的心智模式,进行必要的修正。 改善心智模式专注于以开放的方式,体认我们认知方面的不足。[4]当然这一过程也就是对自己所采用理论的修正过程,而且是一个永无止境的过程。幼儿园教育质量内部监控的过程在关注最低合格的同时,更关注于追求卓越。计划——行动——检查—— 改进,这样一个PDCA循环是循环往复、螺旋上升的。幼儿园教育质量内部监控有效利用了幼儿教师这一资源优势,在加强监控、提升质量的过程中带动教师专业化的发展,幼儿教师的专业发展反过来又促进幼儿园教育质量的提升,在幼儿园内部形成一个良性的动态循环圈。幼儿园中各监控主体在这一过程中相互滋养、取长补短,在专业化的过程中共荣共生。

三、优化整合幼儿园管理与组织

幼儿园教育质量内部监控是幼儿园的一项重要工作,必将牵涉到幼儿园的组织与管理,需要调整组织结构以及优化幼儿园管理。幼儿园教育质量内部监控将推进组织结构的扁平化发展,加强园所内信息传递与共享。管理责任落实到具体个人,担负起幼儿园教育质量保障的重任。

在全面质量管理理论“全方面、全过程、全员”思想的影响下,可以将教育质量分为输入质量、输出质量和结果质量。输入质量作为一种硬性质量具有客观性与外在性,包括结构质量、取向质量、劳动环境质量。而输出质量是直接面向家长与幼儿,具有实质性,包括过程质量和与家庭的关系。输入质量对输出质量的影响是20%~50%,研究结果显示,管理与组织的不同,也就是各种框架条件是怎么利用的, 可能会使教育过程达到不同的优质程度。[5]输入质量对输出质量的影响并不是线性函数,而是动态转换。管理和组织可以说是两者的中间转换机制,对幼儿园的教育质量产生重大影响。在幼儿园教育质量内部监控的过程中,幼儿园自身逐渐向学习型组织发展,客观上也要求幼儿园组织结构的改善升级。

目前,我国幼儿园主要还是沿用传统金字塔式的组织结构,是一种高度控制的权威型组织。这种组织结构不利于将个体视为完成组织目的的工具及手段,不利于个人与组织的融合,无法有效唤起组织成员的奉献精神,亦无法形成组织的共启愿景。将组织结构推向扁平化可以拉近领导层与员工之间的心理距离,增强组织的民主力量,有效地将组织成员纳入到结构中来,让个人与组织有机结合,增强两者之间的生命连接,激发组织成员的创造热情。在推进扁平化组织的同时,园所领导应该进行管理方面的学习,加强对幼儿园的科学、民主管理。幼儿园教育质量内部监控需要对输入质量和输出质量进行全方位细致的监控,在现实与设想之间形成结构性张力,促使管理与组织的优化整合。幼儿园教育质量内部监控将成为幼儿园组织结构改善,管理优化重塑的重要突破口之一。

四、生成园所质量文化

文化作为一种软实力,在当今社会越来越受到人们重视。幼儿园教育质量内部监控是一种全员参加,全过程监控,全方面关照的体系,在监控过程中需要充分发动幼儿园内各种要素,在相互影响、相互交融的过程中生成质量文化。

幼儿园教育质量的外部监控是政府组织或以第三方机构定期对幼儿园教育质量进行监控。这是一种点监控,间断性的监控,并且时间精力有限,只能是宏观上的把握,无法深入幼儿园发展进程及对幼儿园质量的内部原因进行有效分析。幼儿园教育质量的内部监控作为一种常态化的、全天候的监控,有力地弥补了幼儿园教育质量外部监控的不足,可以防止突击应付检查,弄虚作假。幼儿教师长期的坚持,园所管理的改进,这将为幼儿园的质量文化建设提供肥沃的土壤,促进质量文化生根发芽。

幼儿园质量文化将以潜移默化的独特方式对处于其中的文化受体产生影响。幼儿园作为一个社会组织,培育自身的组织文化,建构独立的组织品格, 对于幼儿园的长远发展必将起到精神引领的作用。因此,要想在未来立于高质量幼儿教育之林,幼儿园组织文化的培育势在必行。幼儿园园内各主体积极主动地参与幼儿园教育质量内部监控,对各自思想认识和实践活动会产生积极的促进作用。各主体精诚合作,园内关系友好发展,就会进一步强化组织的内聚力。在幼儿园教育质量内部监控的过程中,园领导充分发挥管理职能,协调各方关系;幼儿教师积极主动,在理论和实践上有所进步;后勤人员为教育质量内部监控提供积极保障,各司其职。在幼儿园教育质量内部监控的过程中,磨合幼儿园中每个人心中追求的高质量愿景,并在进一步的融合中形成组织的共同愿景,成为组织寻求的方向。有了衷心渴望实现的目标,大家会努力学习、追求卓越,不是因为他们被要求这样做,而是因为衷心想要如此[6]。 在这个过程中组织的质量文化应运而生,成为组织的向心力。质量文化一旦形成将超越个体,对幼儿园产生深远持久的影响。每一个幼儿园的个体或以后进入幼儿园的个体都会浸润在此种质量文化之中,深受其陶冶。质量文化必将成为幼儿园追求高品质、高质量的不竭动力之源。

程友伟