摘要：與美國的上市公司被要求全面執行內部控制審計不同，我國在強制規則后經歷了自發性需求與強制性要求并存的過渡時期，隨后進入全面執行階段。過渡時期的特殊性導致我國有關內部控制審計的研究與國外對應時期存在差異，與此同時，國外發展較為成熟的內部控制審計業務又為我國內部控制審計的研究提供了參考和借鑒。文章側重強制規則后的內部控制審計的文獻研究，從影響因素和經濟后果兩方面入手，梳理國內外對應時期成果，比較國內外研究重點、方向的差異，指出相關研究的不足和未來研究的方向。

關鍵詞：內部控制審計;強制規則;影響因素;經濟后果

一、引言

繼五部委《企業內部控制基本規范》和《企業內部控制審計指引》等企業內部控制制度，規定上市公司自2011年1月1日起實施內部控制審計之后，2012年財政部、證監會的《關于2012年主板上市公司分類分批實施企業內部控制規范體系的通知》要求上市公司可分批分類執行內部控制審計，劃分出了內部控制審計強制執行的過渡階段（自2011年1月1日至2014年12月31日），與美國的SOX法案要求全面實施不同。在該階段，上市公司進行內部控制審計存在自發性需求和強制性要求，主板上市公司被分為兩部分，一部分自行選擇出具內部控制鑒證報告，另一部分必須按照規范實施內部控制審計。由于過渡階段的特殊性，強制規則后有關內部控制的研究與國外對應時期存在差異，研究內容主要分為兩類，一類是關于未被納入強制性要求范圍的自愿性內控審計行為的研究，集中于對內控審計影響因素的探討，一類是不區分自愿和強制的內部控制審計研究。從內控規范體系建立起，內部控制審計不斷規范化并越來越受到各利益相關者的重視，有關內部控制審計的文獻逐漸豐富，觀點日趨多樣，卻鮮有文獻對內部控制審計的影響因素和經濟后果進行梳理并提出建議。本文試圖從內部控制審計的影響因素和經濟后果兩個維度出發，梳理強制規則后，自發性需求與強制性要求背景下的內部控制審計研究、國內外對應時期研究重點和方向的差異，分析研究的不足之處，指出改進建議和進一步研究方向。

二、有關內部控制審計影響因素的研究

（一）有關內部控制實施影響因素的研究

美國的強制規則要求在上市公司全面推進，因此內部控制審計的實施是強制的，內部控制存在重大缺陷甚至無效的公司也必須披露其審計報告，我國的情況與之存在差異。由于過渡階段的特殊性，國內側重有關自愿性內部控制審計的研究。方紅星、戴捷（2012）在肯定披露動機影響自愿出具內控審計報告的觀點基礎上提出審計師是否愿意出具審計報告也是自愿性披露的影響因素之一，四大會計師事務所均比本土事務所表現出更高的獨立性水平和職業謹慎態度，越不愿意為有內控審計需求的公司的內部控制提供高水平的保證。其研究還證實了內控制質量高的公司接受高水平鑒證服務的主要動機是對外釋放信號和降低成本。韓彬、陳麗蓉（2015）通過對2011至2013年的主板上市公司數據進行檢驗，以競爭戰略這一新視角為切入點探索內部控制審計的自發性需求，發現成本領先戰略與自愿性內控審計之間存在顯著的正相關關系。二位學者認為內部控制審計所發揮的“補充”控制作用可以使實施成本領先戰略的企業發現內部控制的漏洞，修正內控缺陷以為成功實施戰略提供保障。此外，陳麗蓉、韓彬（2015）的實證結果表明了公司是否承擔社會責任也會影響內控審計報告的出具和披露意愿。信號傳遞動機是自愿性內部控制審計的主要影響因素。強制要求的過渡階段有關自愿出具和披露內控審計報告的實證研究一般都剔除了納入強制性要求范圍的樣本數據，因此實證結果的可信度較高。進入全面執行階段后，同國外一樣，我國不存在影響內部控制審計實施的因素。

摘要：結合信息安全等級保護三級要求，分析銀川河東機場氣象網絡配置和拓撲結構，查找現有網絡結構優缺點，對網絡進行優化。使用防火墻防病毒模塊和入侵檢測模塊對網絡進行實時監控，設置控制策略控制用戶訪問行為。采用日志系統對訪問重要設備的終端進行記錄和分析，借助審計系統審核終端用戶行為，通過設定規則拒絕非法用戶訪問。

關鍵詞：信息安全；入侵檢測；控制策略；日志系統

隨著氣象業務的不斷發展，氣象設備的數量不斷增加，氣網絡面臨較大的運行壓力，同時由于業務需求，部分氣象系統連接到互聯網，通過無線網絡接入到運行網絡中，給運行業務帶來比較大的安全風險。近年來，網絡安全越來越受到重視，信息系統安全等級三級[1，2]更是對網絡結構安全[3-5]、安全審計、訪問控制[6-8]等方面提出了進一步的要求。在這種背景下，同時結合氣象網絡安全三級等保要求，制定合理的安全策略，使用NAT[9,10]技術，隱藏內部真實地址，建立合法登錄用戶檔案，拒絕非法登錄，構建一個具有較強防護能力的防御系統。

1基于信息安全的網絡整體規劃

1.1防火墻設計

本次設計目標根據氣象業務需求，對不同安全等級的網絡進行隔離，在網絡層進行安全防護部署，設置不同安全區域，每個安全區域根據安全等級進行相應的防護設置，提高網絡安全性，設計具體目標如下：（1）對氣象數據庫系統進行分層隔離保護，數據庫服務器區域設置為安全級別較高的trust區域，其他數據流根據等級設置成dmz、untrust區域。外部終端獲取數據庫數據是通過防火墻映射地址進行訪問，防火墻安全策略中設置控制策略，禁止非法用戶訪問，網絡拓撲圖如圖1所示：防火墻安全區域設置，服務器設置區域為trust區域，內網設置為dmz區域，互聯網網段為untrust區域，根據氣象網絡不同系統業務接口規劃安全區域，并設置各個區域間訪問控制策略。訪問控制設置，默認下防火墻所有區域間的安全策略動作設置為拒絕，僅允許通過策略設置放行的流量，其余均拒絕；根據業務運行變化，定期更新訪問控制策略，對控制策略進行調整優化；配置防火墻訪問控制策略，實現流量控制。升級最新的防病毒模塊和入侵檢測模塊，檢測惡意代碼。安全審計模塊，連接審計系統，對訪問服務器的用戶行為進行安全審計和監控；日志系統，連接日志系統，對訪問服務器的設備信息、用戶信息進行記錄，具體設計見表1：（2）配置思路及配置命令對防火墻USG6000進行配置，設置接口IP地址和安全區域，根據業務運行配置安全策略，放行可信用戶，禁止非法用戶。配置內部服務器，映射服務器訪問地址。配置路由器接口地址和OSPF動態協議，配置核心交換機端口鏡像以進行流量審計，配置日志輸出功能，具體配置如下：

1.2日志系統配置

摘要：結合信息安全等級保護三級要求，分析銀川河東機場氣象網絡配置和拓撲結構，查找現有網絡結構優缺點，對網絡進行優化。使用防火墻防病毒模塊和入侵檢測模塊對網絡進行實時監控，設置控制策略控制用戶訪問行為。采用日志系統對訪問重要設備的終端進行記錄和分析，借助審計系統審核終端用戶行為，通過設定規則拒絕非法用戶訪問。

關鍵詞：信息安全；入侵檢測；控制策略；日志系統

隨著氣象業務的不斷發展，氣象設備的數量不斷增加，氣網絡面臨較大的運行壓力，同時由于業務需求，部分氣象系統連接到互聯網，通過無線網絡接入到運行網絡中，給運行業務帶來比較大的安全風險。近年來，網絡安全越來越受到重視，信息系統安全等級三級[1，2]更是對網絡結構安全[3-5]、安全審計、訪問控制[6-8]等方面提出了進一步的要求。在這種背景下，同時結合氣象網絡安全三級等保要求，制定合理的安全策略，使用NAT[9,10]技術，隱藏內部真實地址，建立合法登錄用戶檔案，拒絕非法登錄，構建一個具有較強防護能力的防御系統。

1基于信息安全的網絡整體規劃

1.1防火墻設計

本次設計目標根據氣象業務需求，對不同安全等級的網絡進行隔離，在網絡層進行安全防護部署，設置不同安全區域，每個安全區域根據安全等級進行相應的防護設置，提高網絡安全性，設計具體目標如下：

（1）對氣象數據庫系統進行分層隔離保護，數據庫服務器區域設置為安全級別較高的trust區域，其他數據流根據等級設置成dmz、untrust區域。外部終端獲取數據庫數據是通過防火墻映射地址進行訪問，防火墻安全策略中設置控制策略，禁止非法用戶訪問，網絡拓撲圖如圖1所示：防火墻安全區域設置，服務器設置區域為trust區域，內網設置為dmz區域，互聯網網段為untrust區域，根據氣象網絡不同系統業務接口規劃安全區域，并設置各個區域間訪問控制策略。訪問控制設置，默認下防火墻所有區域間的安全策略動作設置為拒絕，僅允許通過策略設置放行的流量，其余均拒絕；根據業務運行變化，定期更新訪問控制策略，對控制策略進行調整優化；配置防火墻訪問控制策略，實現流量控制。升級最新的防病毒模塊和入侵檢測模塊，檢測惡意代碼。安全審計模塊，連接審計系統，對訪問服務器的用戶行為進行安全審計和監控；日志系統，連接日志系統，對訪問服務器的設備信息、用戶信息進行記錄，具體設計見表1：

摘要：審計準則是判定注冊會計師過錯的依據。風險導向審計準則對審計程序僅作原則性規定，導致只要存在會計信息重大錯報沒有被發現，注冊會計師就會被認定為存在過錯。審計準則的作用應該是合理確定注冊會計師的工作界限。審計準則應該實行規則導向，對審計程序作出明確的、具體的規定，而應用指南、問題解答和指導性案例應實現風險導向。為了保證審計準則的法律地位不被質疑，應該采用激勵的方式提高審計質量。

關鍵詞：注冊會計師；審計準則；規則導向；風險導向；審計質量

一、問題的提出

隨著我國市場經濟體制的不斷完善，市場主體在經濟交易中對會計信息的依賴逐漸增強，對審計的需求不斷增加，審計侵權責任必將成為社會各界普遍關注的問題。審計侵權責任是過錯責任，如何判定注冊會計師過錯是正確追究審計侵權責任的關鍵。對于判定注冊會計師過錯的依據問題，也就是審計準則的法律地位問題，過去曾經有過兩種截然不同的觀點。第一種觀點認為審計準則是行業協會制訂的內部自律性規則，不能作為注冊會計師注意義務的法定標準，也不能作為審計失敗的抗辯依據。第二種觀點認為審計準則是財政部制訂的法規，注冊會計師嚴格遵守了審計準則而未能發現會計信息重大錯報的，不用承擔法律責任。自從《最高人民法院關于審理涉及會計師事務所在審計業務活動中民事侵權賠償案件的若干規定》（法釋［2007］12號，以下簡稱《若干規定》）將審計準則納入法律程序范疇作為判定注冊會計師過錯的依據后，對審計準則法律地位問題的爭議似乎銷聲匿跡了。我國的審計準則分為規則導向和風險導向兩個階段。規則導向的審計準則是指財政部在2006年之前分批的《獨立審計準則》，對審計程序作了詳細、具體的規定，注冊會計師謹慎執行了規定的審計程序就必定等同于遵循了審計準則?！度舾梢幎ā分兴傅膶徲嫓蕜t是尚未實行風險導向的《獨立審計準則》，作為判定注冊會計師過錯的依據是沒有疑問的。風險導向的審計準則是2007年開始施行的審計準則。2016年1月7日，中國注冊會計師協會修訂審計報告相關準則的征求意見稿，涉及7項審計準則。這次審計準則的修訂是對風險導向審計準則的完善和國際趨同。例如本次審計準則最重要的修訂內容是要求注冊會計師在上市實體審計報告中增加關鍵審計事項，然而，

（1）哪些事項構成關鍵審計事項取決于注冊會計師的判斷；

（2）同一項關鍵審計事項，因為不同注冊會計師有不同的判斷，該事項可能在審計報告的“關鍵審計事項”中進行描述，也可能在“導致非無保留意見的事項”或“與持續經營相關的重大不確定性”中描述。本次修訂可能解決了當前審計報告信息含量低、相關性差等問題，但是不能解決風險導向審計準則無法作為判定注冊會計師過錯依據的問題。風險導向的審計準則主要規定一些審計原則、目標和方向，強調注冊會計師職業判斷，沒有明確的、可供直接操作的審計程序規定，是否還可以繼續納入法律程序范疇，并將其作為判定注冊會計師過錯的依據，值得商榷。

二、風險導向的審計準則產生的新問題

1口令安全規則

Windows2003在用戶設定系統口令時不作口令安全規則檢查，用戶為了使用方便，往往設置很簡單的口令，這樣容易造成口令安全的問題。可以專門增設口令安全規則檢查組件，在用戶設定系統口令時進行口令符合安全規則的檢查。當用戶輸入不符合規則的口令時，系統向用戶指出，并建議用戶更改，否則拒絕用戶使用簡單的口令。在進行安全規則設定時，我們可將規則進行分級，按照應用要求進行不同強度的規則劃分。不同等級強度采用不同的安全規則進行檢查。若1個用戶為系統管理員，則應設為最高級，進行最強的安全規則檢查。若用戶為1個普通用戶，可根據系統對這類用戶的安全要求作相應等級的安全規則檢查。

2口令文件保護

為了加強口令文件的安全，現在都使用了結合隨機數加密口令的方式，有效防止了預處理字典攻擊。作為進一步的改進，可以將Windows2003的口令文件管理SAM進行擴展，在創建新用戶時，采集每個用戶的生物特征信息替代上面的隨機數，將生物特征代碼與用戶口令合成，再加密生成加密數據存貯在口令文件相應位置。這樣也可防范預處理字典攻擊，同時，由于生物特征與每1個人和用戶名相對應，這樣用戶不可能否認該帳號不是他的，可提供抗抵賴證據。

3訪問控制

Window2003的訪問控制采用了自主訪問方式，具有較好的靈活性和易用性，同時有些安全組件己經實現了Bl級的部份安全要求，如安全標識功能。因此我們可以充分利用現有的安全組件，增設相應的強制訪問控制管理機制。系統首先執行強制訪問控制來檢查用戶是否擁有權限訪問1個文件組，然后再針對該組中的各個文件制定相關的訪問控制列表，進行自主訪問控制，使系統中主體對客體的訪問要同時滿足強制訪問控制和自主訪問控制檢查。

4文件管理