首页资料文库正文

信息的鉴别与评价十篇

时间：2023-03-30 23:52:57

信息的鉴别与评价

信息的鉴别与评价篇1

论文摘要:教师教学工作评价需同时承担鉴别和促进发展双重功能，片面发挥鉴别功能的评价是不完全的，片面强调发展功能的评价也是不全面的。基于发展目标的教师教学工作综合评价，坚持促进教师发展的目标，发挥评价的多重功能;其工作机理在于坚持发展为本的指向性、评价主体的多元性、指标体系的周密性和信息分析的充分性，把握好“发展是目标”与“鉴别是手段”的关系。其实践路径为，以评价教师教学绩效为切入点，时绩效评价结果进行胜任力、努力程度以及其应用胜任力的能力三方面归因分析，进而发现关健问题，与教师一起制定改进计划，综合实现鉴别与发展双重评价功能。

在高等教育蓬勃发展的今天，在扩大高校招生规模的时代背景下，高校教学质量问题日益受到人们关注。同时，随着高校人事制度改革的推进，教师教学工作评价在高校管理中的越发重要，它既直接影响教师个人的发展，又直接影响学校管理的权威性。研究表明，我国目前高校教师教学工作评价在评价功能定位方面存在含糊、片面的问题，在评价内容、评价途径、评价结果等方面不同程度存在着简单化、信度低等问题，严重影响评价质髦。

一、基于发展目标的教师教学工作综合评价命题提出

长期以来，我国教师的教学工作评价，其结果多用于教师聘任与人事升迁决策，发挥的是鉴别功能;上世纪80年代以来，随着国外教师发展性评价理论的兴起，评价重在帮助教师发现教学问题，促进教师发展的功能受到广泛关注，并出现了发展性评价和鉴别性评价在观念及实践中的割裂倾向。在此，笔者在区别评价目标与评价功能的基础上，在协同观念的指导下提出“基于发展目标的综合评价”的命题，希望在观念上有所澄清，为实践提供较明晰的思路。

1.鉴别与发展:综合评价协同双重评价功能

所谓教师教学工作综合评价，就是通过评价过程的综合达到评价功能的综合，使评价既清晰地鉴别教师教学质量，又给教师充分的发展空间，协同鉴别和促进发展双重评价功能。

综合评价命题的提出，有利于解决发展性评价和鉴别性评价在观念及实践中的割裂问题。无论在理沦上还是实际需要中，评价的鉴别功能和促进发展功能都需要;而且鉴别功能与促进发展并非水火不相容，可以相辅相成地发挥作用。评价，简单地说就是评定价值。教师教学工作的最大价值是促进学生发展。鉴别性评价通过核定教师教学质量，为学校教师奖惩、聘任提供依据，指向为学生提供优质教学服务;发展性评价，通过促进教师专业发展，最终促进学生发展。因而，无论核定控制取向的评价，还是促进发展取向的评价，是可以殊途同归，共同促进学生发展的。目前，国内研究强调发展性评价，不应导致对鉴别性评价的全部摒弃，而应认真研究如何科学地组织评价工作，将两种评功能结合起来。片面发挥鉴别功能的评价是不完全的，片面强调发展功能的评价也是不全面的，教师教学下作评价需要同时承担两种功能。

2.促进发展:教师教学评价的目标定位

教师教学工作评价的功能有鉴别和发展两方面，其目标应明确定位于促进教师发展。促进学生发展是学校工作的终极目标，促进教师发展是教师教学评价的本位目标;鉴别只是实现目标的一种功能手段，其本身不是目的。

以发展为目标的教师评价是全球教师专业化发展的产物。教师评价，应尊重教师的专业地位和尊严，相信教师有追求专业价值的愿望，认定教师有责任并有能力对自己的教学作出判断和思考，在评价中帮助教师获得足够的信息与有用的建议，激发教师自我发展的热情。这样激发起来的内部动机比奖惩性的外部压力具有更大的激励作用，评价活动就能成为教师专业发展的有效发力点。

二、基于发展目标的教师教学综合评价作用机理探微

基于发展目标的教师教学工作综合评价，坚持促进教师发展的目标，发挥评价的多重功能，其工作机理在于坚持发展为本的指向性、评价主体的多元性、指标体系的周密性和信息分析的充分性，把握好“发展是目标”与“鉴别是手段”的关系。

1，发展为本的指向性

基于发展目标的教师教学评价，坚持以教师的发展促进学校发展和学生发展的逻辑思路，把教师提高作为学校管理的核心。

基于发展目标的教师教学评价以促进教师发展为目标，通过核定教师教学方案、过程与活动，及时为教师提供诊断反馈信息，切实帮助教师提高教学质量，积极促进教师专业发展。反对把评教活动直接与教师的利益挂钩，反对给教师分门别类，贴上不同的“标签”。评价结果对教师人事管理仅作一定参考，不作唯一参考，不凭某一次的结果下结论，而需借助累积、比较等信息分析和处理方式作判断。

2.评价主体的多元性

根据克龙巴赫的定义，教育评价是为了作出关于教育方案的决策而搜集和使用信息的过程。评价主体应该是掌握信息并能够进行有关价值判断的人，包括他评人群和教师自我。不同评价主体在力所能及的范围内各有侧重地对教师教学工作的某些方面进行评价，相互作用，有利于综合实现评价的双重功能。

教师主体参与评价能有效提高评价的信度和效度。教师是掌握信息并能够进行有关价值判断的人;教师决定理会还是不理会评价信息，决定评价功能能否发挥。在教师自我评价中，教师个人特色和风格能够得以展现，内在的教学思想能够得以解说;同时，教师得到尊重信任，自我发展的动力就更大，能自觉地把评价和发展有机地融为一体。在教师的自我评价中，应引导教师对自己的工作进行观察、追问和改进思考，而不仅是打分。近年，美国部分高校采取了一种新型教学评价方法，即“教学文件选辑法”，教师按照学校和学院导向自己制作，选辑的文件包括教师本人的教学思想和理论阐说、优良的教学产出、教学材料、搜集的他人的评价材料等。

3.才旨标体系的周密性

评价指标体系的周密，是评价结果真实和准确的保证，是评价被教师接受从而实现基于发展目标的教师综合评价功能的保障。

指标的周全性。周全的评价指标一是应全面关涉教师的课程教学和研究两大方面，课程教学至少包括教案等课前准备、课堂实施以及课后作业辅导、考试考查等环节，而不仅仅是课堂教学。二是在有量性指标的同时要有质性评价，质性评价是不可或缺的，以保证教师获得具体的意见和建议。只有量化结果的评价往往会使教师感到无所适从，它无法为教师提供明确的改进要求。获得质性评价的途径有问卷中的开放题、座谈等。三是要有评价课程的指标。研究表明，课程开设的必要性、被学生认可的重要程度等不由教师决定，却影响学生对教学的评价，评价课程的指标与评价教师教学工作的指标都应有，并须有提示语分开，以便分析评价结果。四是教师教学情况评价内容既要有绩效(果)评价，又要有胜任力与态度评价(因)，以便进行归因分析。

指标的严密性。一是不同类型课程应有不同的评价指标。清华大学和北京大学根据不同课程的性质和授课特点，将学生评教问卷分为理论类、实践类和体育类。二是评价等第应有明确描述。评价等第宜采用形容词—定义式量表，这样可以较好地减少不同评价人由于对评价等级理解的差异而产生评价误差。三是指标应尽可能行为化，是教学中可观察的教学表现，而不是对隐性因素的猜测、推断。如:“提供或推荐的教学资料有助于学生学习”较“注重引导学生课外学习”具体。四是为尽可能减小评价者的主观随意性，应设计评价者对参评情况的自我问责题，如“我的评价是否客观公正”等。

4。信，息分析的充分性

分析评价信息是得出评价结论、进行归因分析、提供合理建议的过程。信息分析不应仅是对数据进行简单加减排序，更要进行各种纵横比较，帮助教师发现根本问题，提供一些质性的意见和建议，以同时发挥评价的鉴别与促进发展双重功能。

在教师个体的纵向分析中，要区别不同成长阶段的教师情况，对照教师成长的一般阶段特征给予恰当的评价。根据评价结果进行人事决策，审慎的态度应该是借助累积的信息，而不是某个年度的信息。

在信息分析中倾听教师自己的看法和意见，组织教师和专家进行交流，有助于教师对自己的优势与不足形成深刻的认识，有利于实现促进教师发展的评价目标。

三、基于发展目标的教师教学工作综合评价路径构建

基于发展目标的教师教学综合评价以促进教师发展为目标指向，力求实现鉴别与促进发展双重功能，讲究指标的周密性等，是一项复杂的系统工作，构建清晰的实践路径十分重要。笔者以为可以遵循这样的总体路径:以评价教师教学绩效为切人点，对绩效评价结果进行胜任力、努力程度以及应用胜任力的能力三方面归因分析，进而发现关键问题，与教师一起制定改进计划，这样综合实现了鉴别与发展双重评价功能。在此，教师绩效鉴别不止于一种管理手段，更是归因分析的基础，是为促进教师发展这一评价目标服务的。具体可有这样四个阶段的工作。

1。制定评价指标体系

根据不同评价主体、不同课程类型制定相应的评价指标体系，各评价指标体系要周密，追求高信度高效度。

2。实施评价

确定评价时机，组织多主体参与评价，注重在实施评价的现场作一定的宣传与“训练”。例如，组织学生评教时要使学生能够对“什么是好的教”有恰当的理解。在量化评价的基础上，要辅以座谈等多种形式的质性评价。

3，得出评价结果

充分分析评价信息，得出对各位教师的个性化评价结果及情况分析，使教师能据此认识自我。

信息的鉴别与评价篇2

［基金项目］教育部人文社会科学研究规划项目（10YJA790182）；南京审计学院校级一般项目（NSK2009/B22）；江苏省优势学科“审计科学与技术”研究项目

［作者简介］刘国城（1978― ），男，内蒙古赤峰人，南京审计学院讲师，硕士，从事审计理论研究。

第27卷第3期2012年5月审计与经济研究JOURNAL OF AUDIT & ECONOMICSVol.27, No. 3May, 2012

［摘要］在分析中观信息系统风险与损失的成因基础上，借鉴BS7799标准，一方面从物理层次与逻辑层次两个方面研究中观信息系统固有风险的评价模式；另一方面从一般控制与应用控制两个层面探索中观信息系统内部控制的评价机制。基于BS7799标准对中观信息系统审计进行研究，旨在为IT审计师有效实施中观信息系统审计提供应用指南。

［关键词］BS7799标准；中观审计；信息系统审计；内部控制；中观信息系统；中观信息系统风险

［中图分类号］F239.4［文献标识码］A［文章编号］10044833(2012)03005007

所谓中观信息系统审计就是指审计主体依据特定的规范，运用科学系统的程序方法，对中观信息系统网络的运行规程与应用政策实施的一种监督活动，旨在增强中观经济主体特定信息网络的有效性、安全性、机密性与一致性，以保障中观信息系统的高效运行［1］。中观信息系统的审计主体即IT审计师需要重视中观信息系统审计的复杂性，且有必要借助BS7799标准，构建并完善中观信息系统审计的实施流程，优化中观信息系统审计工作，提高审计质量。之所以需要借助BS7799标准，是因为BS7799标准的众多功能可以满足中观信息系统审计工作的需求。在尚未有详细信息系统审计（以下简称“IS审计”）规范的条件下，中观信息系统审计对信息安全管理策略的需求巨大，而BS7799标准恰恰是问世较早且相对成熟的信息安全管理标准，它能够确保在计算机网络系统进行自动通信、信息处理和利用时，在各个物理位置、逻辑区域、存储和传媒介质中，较好地实现保密性、完整性、有效性与可用性，能够在信息管理与计算机科学两个层面加强信息安全管理向中观信息系统审计的理论转化，中观信息系统审计的需求与BS7799标准的功能具备整合的可行性。

一、 BS7799标准

1995年，英国贸工部制定了世界首部信息安全管理体系标准“BS77991：1995《信息安全管理实施规则》”，并作为各类组织实施信息安全管理的指南［2］，由于该标准采用建议和指导的方式编写，因而不作为认证标准使用；1998年，英国又制定了信息安全管理体系认证标准“BS77992：1998《信息安全管理体系规范》”，作为对组织信息安全管理体系进行评审认证的标准［3］；1999年，英国再次对信息安全管理体系标准进行了修订，形成“BS77991：1999”与“BS77992：1999”这一对配套标准；2000年12月，“BS77991：1999”被ISO/IEC正式采纳为国际标准“ISO/IEC17799：2000《信息技术：信息安全管理实施规则》”，此外，“BS77992：1999”也于2002年底被ISO/IEC作为蓝本修订，成为可用于认证的“ISO/IEC《信息安全管理体系规范》”；2005年，BS77991与BS77992再次改版，使得体系更为完善。BS7799标准体系包含10个管理要项、36个管理目标、127个控制目标及500多个管理要点。管理要项如今已成为组织实施信息安全管理的实用指南；安全控制目标能够帮助组织识别运作过程中影响信息安全的因素。BS77991几乎涵盖了所有的安全议题，它主要告诉IT审计师安全管理的注意事项与安全制度。BS77992详细说明了建立、实施和维护信息安全管理的要求，指出组织在实施过程中需要遵循的风险评估等级，从而识别最应该控制的对象并对自身需求进行适当控制。BS77991为信息系统提供了通用的控制措施，BS77992则为BS77991的具体实施提供了应用指南。

国外相对成熟的信息安全管理理论较多，它们各有千秋，彼此之间相互补充且有交叉。BS7799标准仅是众多信息安全管理理论中的一种，与传统审计方法相比，仅适用于IS审计范畴。然而，BS7799标准的特别之处表现在：其一，它是一部通用的信息安全管理指南，呈现了较为全面的系统安全控制措施，阐述了安全策略和优秀的、具有普遍意义的安全操作方法，能够为IT审计师开展审计工作提供全程支持；其二，它遵循“计划-行动-控制-改善方案”的风险管理思想，首先帮助IT审计师规划信息安全审计的方针和范围，其次在审计风险评估的基础上选择适当的审计方法及风险控制策略并予以实施，制定持续性管理规划，建立并运行科学的中观信息系统审计执行体系。

二、中观信息系统的风险与损失

中观信息系统风险是指成功利用中观信息系统的脆弱性或漏洞，并造成系统损害的可能性。中观信息系统风险极其庞杂且非常普遍，每个中观信息系统面临的风险都是不同的，这种风险可能是单一的，也可能是组合的［4］。中观信息系统风险包括：人员风险、组织风险、物理环境风险、信息机密性风险、信息完整性风险、系统风险、通信操作风险、设施风险、业务连续性风险、法律风险及黏合风险（见图1），它们共同构成了中观信息系统的风险体系，各种风险除具有各自的特性外，有时还可能相互作用。

中观信息系统风险的成因离不开外来威胁与系统自身的脆弱性，且风险的最终后果就是损失。图1中的“a.威胁性”是系统的“风险源”，它是由于未授权访问、毁坏、数据修改以及拒绝服务等给系统造成潜在危害的任何事件。中观信息系统的威胁来自于人为因素及非人为因素两个方面。人为因素是对中观信息系统造成威胁的决定性力量，人为因素造成威胁的主体有竞争对手、网络黑客、不满员工或正常员工。图1中的“b.脆弱性”是指在系统安全程序、管理控制、物理设计中存在的、可能被攻击者利用来获得未授权信息或破坏关键处理的弱点，由物理环境、技术问题、管理问题、法律问题四个方面组成。图1中的“d.风险承受力”是指在中观信息系统遭遇风险或受到攻击时，维持业务运行最基本的服务和保护信息资产的抵抗力、识别力、恢复力和自适应能力。

中观信息系统风险的产生有两种方式：一是遵循“abc”路径，这条路径形成的风险为中观信息系统“固有风险”，即假定中观信息系统中不存在内部控制制度，从而造成系统存在严重错误与不法行为的可能性。该路径的作用形式为人为因素或非人为因素是风险源，对中观信息系统构成威胁，该威胁产生后寻找并利用系统的脆弱点（假定中观信息系统对该脆弱点没有设计内控制度），当威胁成功作用于脆弱点后，就对系统进行有效攻击，进而产生中观信息系统风险。二是遵循“abPc”路径，该路径所形成的风险为中观信息系统的“控制风险”，即内部控制制度体系未能及时预防或发现系统中的某些错误或不法行为，以致中观信息系统遭受损失的可能性。与“abc”路径比较，该路径多出“P.内部控制”过程，这说明当威胁已产生并将利用系统的脆弱点时，中观经济主体已经对该脆弱点设计了内控制度体系，但是由于内部控制制度设计的不科学、不完善或没有得到有效执行，从而造成内部控制未能阻止“威胁”，致使中观信息系统形成风险。中观信息系统损失的形成遵循“cde”路径。然而，由于中观信息系统自身具有一定的风险防御能力（即“d.风险承受力”），因而并非所有风险都将造成损失。当中观信息系统识别并抵抗部分风险后，最终未能消除的风险通过对系统的负面作用，会给中观信息系统造成间接或直接的损失。

三、中观信息系统固有风险的评价模式

图1中的“abc”路径是中观信息系统固有风险产生的路径，固有风险形成的条件是“假定不存在内部控制制度”。评价固有风险是中观信息系统审计准备阶段的一项基础工作，只有正确评价固有风险，才能合理评估审计风险，准确确定审计范围并制定审计计划［56］。笔者认为，BS7799标准之所以能够有效评价中观信息系统的固有风险，是因为BS7799标准的管理要项、管理目标，控制措施与管理要点组成了信息安全管理体系，这个体系为IT审计师确定与评价系统固有风险提供了指南［7］。BS7799标准对IT审计师评价固有风险的贡献见上表1。

(一) 物理层次的风险评价

物理层次的内容包括物理环境安全与物理环境设备［7］，其中，物理环境安全包括硬件接触控制、预防灾难措施和网络环境安全；物理环境设备包括支持设施、硬件设备和网络物理环境。针对上述分类，下面对物理层次风险评价进行具体分析。

首先是物理环境安全风险评价。在评价物理环境安全风险时，可以借鉴BS7799标准A、B、D1、D3、E、G8、H5、I、J。例如，IT审计师在了解被审中观信息系统的“预防灾难措施”时，可参照“A.安全方针”，依据BS7799对“安全方针”进行阐述，了解被审系统的“信息安全方针”，关注被审系统在相关的“方针与策略”中是否估计到了系统可能遭遇的所有内外部威胁；当威胁发生时，是否有具体的安全保护规定及明确的预防措施；对于方针的执行，是否对每位员工都有所要求。假若IT审计师在审计中未找到被审系统的“安全方针”，或找到了但“安全方针”并未涉及有关“灾难预防”方面的安全措施，则IT审计师可直接认定被审系统在这方面存在固有风险。其次，物理环境设备风险评价。在评价物理环境设备风险时，可以借鉴BS7799标准A、B、C1、D、E2、E3、F6、G3、G8、H5、I、J。例如，IT审计师在了解被审系统有关“硬件设备”的情况时，可参照“C1.资产责任”。BS7799标准对“资产责任”的说明有“组织可根据运作流程与系统结构识别资产，列出清单”，“组织的管理者应该确定专人负责相关资产，防止资产的被盗、丢失与滥用”。借鉴C1的信息安全管理目标与措施，IT审计师可以关注被审单位是否列出了系统硬件设备的清单，是否有专人对资产负责。如果相关方面的管理完备，则说明“硬件设备”在责任方面不存在固有风险，IT审计师也不需要再对此方面的固有风险进行评价。再如，IT审计师在确认“硬件设备”方面的固有风险时，还可参照“E3.通用控制”。BS7799标准对“通用控制”的说明有“定期进行资产清查”，“未经授权，资产不能随便迁移”等。借鉴这一措施，IT审计师需要了解被审系统的有关资产清查记录以及资产转移登记手续，如果相关记录不完整或手续不完备，则IT审计师可直接认定“硬件设备”在控制方面存在固有风险。

(二) 逻辑层次的风险评价

逻辑层次的内容包括软件环境、系统生命周期和逻辑安全［7］。其中，软件环境包括系统软件、网络软件与应用软件；系统生命周期包括系统规划、分析、设计、编码、测试、试运行以及维护；逻辑安全包括软件与数据接触、数据加密机制、数据完整性、入侵检测、病毒与恶意代码以及防火墙。针对以上分类，下面对逻辑层次风险评价进行具体分析。

首先是软件环境风险评价。在评价软件环境风险时可以借鉴BS7799标准A、B、C1、D、E1、E3、F、G、H、I、J。例如，IT审计师在掌握被审系统有关“网络软件”的情况时，可借鉴“G2.用户访问管理”标准。BS7799对该标准的阐述包括“建立用户登记过程，对用户访问实施授权”，“对特权实行严格管理”，“对用户口令进行严格管理”等。借鉴G2下相关信息安全管理措施，IT审计师可以详细核查被审网络软件是否建立了用户注册与登记过程、被审软件的特权管理是否严格、是否要求用户秘密保守口令。假若IT审计师发现用户并未得到访问网络软件的权限却可以轻易访问网络软件，则该软件必然存在风险，IT审计师就可通过与BS7799标准比照并发表评价结论。又如，IT审计师在评价“系统软件”固有风险时，可借鉴“G5.系统访问与使用的监控”标准。该标准的阐述有“使用终端安全登陆程序来访问信息服务”，“对高风险的不活动终端采取时限措施”。IT审计师在评价“系统软件”自身风险时，可套用上述安全措施，逐项分析被审系统软件是否完全达到上述标准并作出合理的风险评价。其次是系统生命周期的风险评价。在评价系统生命周期风险时，可借鉴BS7799标准A、B、D1、D3、E、F1、F2、F3、F4、F6、F7、G、H、I、J。如IT审计师在检查被审系统的“系统设计”时，可参照“H1.系统安全要求”。H1的解释为“系统设计阶段应该充分考虑系统安全性，组织在项目开始阶段需要识别所有的安全要求，并将其作为系统设计开发不可或缺的一部分进行调整与确认”。因而，IT审计师在检查系统设计有关资料时，需要分析被审单位是否把上述解释融入系统设计中，或是否全面、有效地融入设计过程，如果被审单位考虑了诸因素，IT审计师就可以确认被审系统的设计环节在此方面不存在风险。假若IT审计师发现在系统设计阶段被审单位没有考虑到需要“引入控制”，且在系统运营期间对系统的“控制”也不够重视，则IT审计师可以作出系统自身安全及系统设计开发过程存在风险的结论。第三是逻辑安全的风险评价。在评价逻辑安全风险时，可以借鉴BS7799标准A、B、C2、D、E1、E3、F、G1、G2、G4、G5、G6、G7、G8、H、I、J。IT审计师在检查被审系统的“病毒与恶意代码”时，可借鉴“G4.网络访问控制”。BS7799对该标准的阐述有“建立并实施网络用户服务使用方针”，“从用户终端到网络服务的路径必须受到控制”以及“对外部链接的用户进行身份鉴别”等。IT审计师在审计过程中，应该关注被审系统在上述方面的执行思路与执行程度，假若被审单位对上述方面缺乏重视，则恶意用户未经授权或未受限制就能轻易访问系统，系统遭受病毒或恶意代码损害的风险会相应加大。再如，IT审计师在评价系统“数据完整性”的风险时，可借鉴“F1.操作程序与职责”。该标准的描述有“在执行作业的过程中，提供差错处理及例外情况的指导”，“进行职责分离，减少出现非授权更改与数据信息滥用的机会”等。结合上述措施，IT审计师应该关注被审单位是否通过外键、约束、规则等方式保障数据的完整性，如果被审单位没有按照上述方法操作，则被审系统将会在“数据完整性”方面存在风险。

需要强调的是中观信息系统固有风险的评价较为复杂。在理论研究中，本文仅选取BS7799的某些标准举例进行阐述，但在实践中，IT审计师不应只借鉴BS7799标准的单个或部分标准，就做出某方面存在“固有风险”的结论。如仅从C1看，“硬件设备”无固有风险，但从E3看，“硬件设备”确实存在固有风险。鉴于此，IT审计师应由“点”及“面”，全面借鉴BS7799标准的整个体系。只有如此，才能更科学具体地进行物理及逻辑层次的风险评价。

四、中观信息系统内部控制的评价机制

图1中的“abPc”路径是中观信息系统控制风险产生的路径，控制风险的形成条件是“假定存在内部控制制度，但是内控制度不科学、不健全或执行不到位”，产生控制风险最主要的原因是内部控制机制失效，即“P”过程出现问题。评价内部控制是IT审计师防范审计风险的关键，也是中观信息系统审计实施阶段的一项重要工作。然而，当前我国信息系统审计方面的标准与规范仅有四项，因而IT审计师对信息系统内部控制的评价还处于摸索阶段，急需详细的流程与规范进行指导。笔者认为，BS77991《信息安全管理实施细则》与BS77992《信息安全管理体系规范》能够为IT审计师评价中观信息系统的内部控制提供思路。BS7799是一套完备的信息安全管理体系，IT审计师完全可以借鉴其体系与框架来设计中观信息系统内部控制评价流程，构建适用于中观信息系统的审计流程。BS7799标准的具体借鉴思路见表1，具体阐述如下。

(一) 一般控制的评价

1. 组织管理的内部控制评价

在评价组织管理的内控时，可借鉴BS7799标准A、B、C1、D1、D3、E、F、G、H、I、J。IT审计师可将BS7799标准体系作为信息系统组织管理内部控制的衡量标准，并以此确认被审系统组织管理内控制度的科学性与健全性。假若某中观经济主体将信息系统的部分管理活动外包，则IT审计师可借鉴BS7799中的“B3.外包控制”标准，检查外包合同的全面性与合理性。如果被审单位在外包合同中规定了信息系统的风险、承包主客体各自的系统安全控制程序，并明确规定了“哪些措施必须到位，以保证涉及外包的所有各方关注各自的安全责任”，“哪些措施用以确定与检测信息资产的完整性和保密性”，“采取哪些实物的和逻辑的控制以限制和限定授权用户对系统敏感信息的访问”以及“发生灾难时，采用怎样的策略来维持服务可用性”，则IT审计师就可确认被审系统在外包方面的控制设计具有科学性与全面性，只需再对外包控制条款的执行效果进行评价就可以得出对被审单位外包活动评价的整体结论。

2. 数据资源管理的内部控制评价

在评价数据资源管理的内控时，可以借鉴BS7799标准A、B、C、D、E1、E3、F、G、H、I、J。信息系统数据包括数据字典、权限设置、存储分配、网络地址、硬件配置与系统配置参数，系统数据资源管理有数据存放、备份、恢复等，内容相对复杂。IT审计师在评价数据资源管理的内部控制时，也需要借鉴BS7799标准体系。例如，IT审计师可借鉴“F1.操作程序与职责”或“G6.应用访问控制”评价数据资源管理。F1与G6的阐述有“识别和记录重要数据的更改”、“对数据更改的潜在影响作出评估”、“向所有相关人员传达更改数据的细节”、“数据更改不成功的恢复措施”、“控制用户的数据访问权，如对读、写、删除等进行限制”、“在系统共享中，对敏感的数据实施高级别的保护”。IT审计师在审计时，有必要根据上述思路对系统数据管理的控制制度进行深层次评价。在当前缺乏信息系统审计规范的情况下，以BS7799体系作为评价数据资源管理内部控制的指南，不失为一种好的审计策略。

3. 环境安全管理的内部控制评价

在评价环境安全管理的内控时可以借鉴BS7799标准A、B、C1、D、E、F、G、H、I、J。信息系统的环境安全管理包括物理环境安全管理与软件环境安全管理，系统环境是否安全决定着危险因素对脆弱性的攻击程度，进而决定着信息系统风险。IT审计师在审计系统环境的安全管理过程时，需要关注设备、网络、软件以及硬件等方面。在评价系统环境安全管理的内部控制时，IT审计师有必要借助上述BS7799标准体系。例如，BS7799的“E1.安全区域”标准与“E2.设备安全”标准的解释有“信息处理设施可能受到非法物理访问、盗窃、泄密等威胁，通过建立安全区域、严格进入控制等控制措施对重要的系统设施进行全面保护”，“应该对信息处理设施运作产生不良影响的环境条件加以监控，如，湿度与温度的影响”。类似上述的BS7799系列标准都为IT审计师如何确认环境安全管理的内控提供了审计指导，且其指导思路清晰、全面。IT审计师通过借鉴BS7799系列标准，可以深层次挖掘系统环境安全管理规章制度中存在的疏漏以及执行中存在的问题，从而有效评判环境安全管理的控制风险。

4. 系统运行管理的内部控制评价

在评价系统运行管理的内控时，可以借鉴BS7799标准A、B、C1、D、E1、E3、F、G、H、I、J。中观经济主体对运行系统的管理相对复杂，涉及到系统组织、系统维护、系统完善等多个方面。由于系统运行中需要管理的环节繁多，而且目前也没有规范与流程可以参考，因而，评价系统运行管理的内控也有必要借鉴上述BS7799标准体系。例如，BS7799标准“D2.设备安全”与“H5.开发与支持过程中的安全”的阐述有“信息系统操作者需要接受安全意识培训，熟悉与系统运行相关的安全职责、安全程序与故障制度”，“系统运行中，建立并实施更改控制程序”以及“对操作系统的更改进行技术评审”等方面。IT审计师采用询问、观察、检查、穿行测试等方法评审系统运行管理的内部控制，需要有上述明细的、清晰的信息安全管理规则予以指导，这些标准可以指导IT审计师了解被审系统是否有健全的运行管理规范及是否得到有效运行，借此，IT审计师可以作出全面的内控判断，进而出具正确的审计结论。

(二) 应用控制的评价

信息系统的应用控制包括输入控制、处理控制与输出控制。在评价系统输入控制、处理控制以及输出控制三者的内控时，同样有必要借鉴BS7799标准，且BS7799标准中A、B、D、E1、E3、F1、F2、F3、F4、F5、F7、G1、G2、G4、G5、G6、G7、G8、H、I、J相对应的信息安全管理目标与措施能够在IT审计师对三者进行内控评价时提供相对详尽的审计框架。为确保信息系统输入、处理与输出的信息完整、正确，中观经济主体需要加强对信息系统的应用控制。IT审计师在中观信息系统审计的过程中，需要做到对被审系统应用控制进行正确评价。

在IT审计师对应用控制的符合性测试过程中，上述BS7799标准体系可以对应用控制评价进行全程指导。例如，BS7799标准中“H2.应用系统的安全”提到“数据输入的错误，可以通过双重输入或其他输入检查侦测，建立用于响应输入错误的程序”，“已正确输入的数据可因处理错误或故意行为而被破坏，系统应有确认检查功能以探测数据的破坏”，“为确保所存储的信息相对于各种情况的处理是正确而恰当的，来自应用系统的输出数据应该得到确认”等控制策略，并提出了相对详细的控制措施。应用控制环节是信息处理的脆弱集结点，IT审计师在进行应用控制的符合性测试环节时有必要考虑周全，详尽规划。IT审计师可以遵循H2全面实施针对应用控制的审计，依照BS7799标准体系，检查被审系统对于超范围数值、数据区中的无效字符、丢失的数据、未经认可的控制数据等系统输入问题的控制措施以及应急处理能力；检查是否对系统产生的数据进行了确认，系统的批处理控制措施、平衡控制措施等，以及相关控制行为的执行力度；检查信息输出是否实施了可信性检查、一致性控制等措施，如果有相关措施，那么执行力度如何。BS7799标准体系较为全面，对于IT审计师评价系统的应用控制贡献很大，如果IT审计师能够创造性借鉴该标准，必可做好符合性测试，为实质性测试夯实基础，也定会提高审计质量。

五、结束语

表1是笔者在分析某商业银行信息系统与某区域物流信息系统的基础上，对“BS7799标准如何应用于信息系统审计”所进行的设计，当针对其他行业时，或许需要对表1进行适当调整。不同行业、不同特性的中观经济主体在信息系统审计中运用BS7799标准时侧重点会有所不同。本文以分析中观信息系统风险为着手点，沿用BS7799标准对中观信息系统审计进行研究，旨在抛砖引玉。

参考文献：

［1］王会金,刘国城.中观经济主体信息系统审计的理论分析及实施路径探索［J］.审计与经济研究,2009(5):2731.

［2］BSI.ISO/IEC17799-2000 Information technologycode of practice for information security management［S］. London:British Standards Institation,2000:179202.

［3］BSI.BS779922002 information security managementspecification for information security management systems［S］. London: British Standards Institation,2002:267280

［4］孙强.信息系统审计［M］.北京:机械工业出版社,2003.

［5］刘国城,王会金.中观信息系统审计风险的理论探索与体系构架［J］.审计研究,2011(2):2128.

［6］王会金.中观信息系统审计风险控制体系研究――以COBIT框架与数据挖掘技术相结合为视角［J］.审计与经济研究，2012（1）：1623.

［7］科飞管理咨询公司.信息安全管理概论-BS7799理解与实施［M］.北京:机械工业出版社, 2002.

BS7799 Criterion and Its Application in Mesoinformation Systems Audit

LIU Guocheng

（Jinshen College of Nanjing Audit University, Nanjing 210029, China）

信息的鉴别与评价篇3

随着宽带网络和用户规模的不断增长，用户对宽带接入业务的高可用性要求不断增强，对电信运营商在IP城域、接入网络和支撑系统提出了更高的安全性要求。本文从信息安全管理的理念、方法学和相关技术入手，结合电信IP城域网，提出电信IP城域网安全管理、风险评估和加固的实践方法建议。

关键字（Keywords）：

安全管理、风险、弱点、评估、城域网、IP、AAA、DNS

1信息安全管理概述

普遍意义上，对信息安全的定义是“保护信息系统和信息，防止其因为偶然或恶意侵犯而导致信息的破坏、更改和泄漏，保证信息系统能够连续、可靠、正常的运行”。所以说信息安全应该理解为一个动态的管理过程，通过一系列的安全管理活动来保证信息和信息系统的安全需求得到持续满足。这些安全需求包括“保密性”、“完整性”、“可用性”、“防抵赖性”、“可追溯性”和“真实性”等。

信息安全管理的本质，可以看作是动态地对信息安全风险的管理，即要实现对信息和信息系统的风险进行有效管理和控制。标准ISO15408－1（信息安全风险管理和评估规则），给出了一个非常经典的信息安全风险管理模型，如下图一所示：

图一信息安全风险管理模型

既然信息安全是一个管理过程，则对PDCA模型有适用性，结合信息安全管理相关标准BS7799(ISO17799),信息安全管理过程就是PLAN-DO-CHECK-ACT（计划－实施与部署－监控与评估－维护和改进）的循环过程。

图二信息安全体系的“PDCA”管理模型

2建立信息安全管理体系的主要步骤

如图二所示，在PLAN阶段，就需要遵照BS7799等相关标准、结合企业信息系统实际情况，建设适合于自身的ISMS信息安全管理体系，ISMS的构建包含以下主要步骤：

（1）确定ISMS的范畴和安全边界

（2）在范畴内定义信息安全策略、方针和指南

（3）对范畴内的相关信息和信息系统进行风险评估

a)Planning（规划）

b)InformationGathering（信息搜集）

c)RiskAnalysis（风险分析）

uAssetsIdentification&valuation(资产鉴别与资产评估)

uThreatAnalysis（威胁分析）

uVulnerabilityAnalysis（弱点分析）

u资产/威胁/弱点的映射表

uImpact&LikelihoodAssessment（影响和可能性评估）

uRiskResultAnalysis（风险结果分析）

d)Identifying&SelectingSafeguards（鉴别和选择防护措施）

e)Monitoring&Implementation（监控和实施）

f)Effectestimation（效果检查与评估）

（4）实施和运营初步的ISMS体系

（5）对ISMS运营的过程和效果进行监控

（6）在运营中对ISMS进行不断优化

3IP宽带网络安全风险管理主要实践步骤

目前，宽带IP网络所接入的客户对网络可用性和自身信息系统的安全性需求越来越高，且IP宽带网络及客户所处的信息安全环境和所面临的主要安全威胁又在不断变化。IP宽带网络的运营者意识到有必要对IP宽带网络进行系统的安全管理，以使得能够动态的了解、管理和控制各种可能存在的安全风险。

由于网络运营者目前对于信息安全管理还缺乏相应的管理经验和人才队伍，所以一般采用信息安全咨询外包的方式来建立IP宽带网络的信息安全管理体系。此类咨询项目一般按照以下几个阶段，进行项目实践：

3.1项目准备阶段。

a)主要搜集和分析与项目相关的背景信息；

b)和客户沟通并明确项目范围、目标与蓝图；

c)建议并明确项目成员组成和分工；

d)对项目约束条件和风险进行声明；

e)对客户领导和项目成员进行意识、知识或工具培训；

f)汇报项目进度计划并获得客户领导批准等。

3.2项目执行阶段。

a)在项目范围内进行安全域划分；

b)分安全域进行资料搜集和访谈，包括用户规模、用户分布、网络结构、路由协议与策略、认证协议与策略、DNS服务策略、相关主机和数据库配置信息、机房和环境安全条件、已有的安全防护措施、曾经发生过的安全事件信息等；

c)在各个安全域进行资产鉴别、价值分析、威胁分析、弱点分析、可能性分析和影响分析，形成资产表、威胁评估表、风险评估表和风险关系映射表；

d)对存在的主要风险进行风险等级综合评价，并按照重要次序，给出相应的防护措施选择和风险处置建议。

3.3项目总结阶段

a)项目中产生的策略、指南等文档进行审核和批准；

b)对项目资产鉴别报告、风险分析报告进行审核和批准；

c)对需要进行的相关风险处置建议进行项目安排；

4IP宽带网络安全风险管理实践要点分析

运营商IP宽带网络和常见的针对以主机为核心的IT系统的安全风险管理不同，其覆盖的范围和影响因素有很大差异性。所以不能直接套用通用的风险管理的方法和资料。在项目执行的不同阶段，需要特别注意以下要点：

4.1安全目标

充分保证自身IP宽带网络及相关管理支撑系统的安全性、保证客户的业务可用性和质量。

4.2项目范畴

应该包含宽带IP骨干网、IP城域网、IP接入网及接入网关设备、管理支撑系统：如网管系统、AAA平台、DNS等。

4.3项目成员

应该得到运营商高层领导的明确支持，项目组长应该具备管理大型安全咨询项目经验的人承担，且项目成员除了包含一些专业安全评估人员之外，还应该包含与宽带IP相关的“业务与网络规划”、“设备与系统维护”、“业务管理”和“相关系统集成商和软件开发商”人员。

4.4背景信息搜集：

背景信息搜集之前，应该对信息搜集对象进行分组，即分为IP骨干网小组、IP接入网小组、管理支撑系统小组等。分组搜集的信息应包含：

a)IP宽带网络总体架构

b)城域网结构和配置

c)接入网结构和配置

d)AAA平台系统结构和配置

e)DNS系统结构和配置

f)相关主机和设备的软硬件信息

g)相关业务操作规范、流程和接口

h)相关业务数据的生成、存储和安全需求信息

i)已有的安全事故记录

j)已有的安全产品和已经部署的安全控制措施

k)相关机房的物理环境信息

l)已有的安全管理策略、规定和指南

m)其它相关

4.5资产鉴别

资产鉴别应该自顶向下进行鉴别，必须具备层次性。最顶层可以将资产鉴别为城域网、接入网、AAA平台、DNS平台、网管系统等一级资产组；然后可以在一级资产组内，按照功能或地域进行划分二级资产组，如AAA平台一级资产组可以划分为RADIUS组、DB组、计费组、网络通信设备组等二级资产组；进一步可以针对各个二级资产组的每个设备进行更为细致的资产鉴别，鉴别其设备类型、地址配置、软硬件配置等信息。

4.6威胁分析

威胁分析应该具有针对性，即按照不同的资产组进行针对性威胁分析。如针对IP城域网，其主要风险可能是：蠕虫、P2P、路由攻击、路由设备入侵等；而对于DNS或AAA平台，其主要风险可能包括：主机病毒、后门程序、应用服务的DOS攻击、主机入侵、数据库攻击、DNS钓鱼等。

4.7威胁影响分析

是指对不同威胁其可能造成的危害进行评定，作为下一步是否采取或采取何种处置措施的参考依据。在威胁影响分析中应该充分参考运营商意见，尤其要充分考虑威胁发生后可能造成的社会影响和信誉影响。

4.8威胁可能性分析

是指某种威胁可能发生的概率，其发生概率评定非常困难，所以一般情况下都应该采用定性的分析方法，制定出一套评价规则，主要由运营商管理人员按照规则进行评价。

信息的鉴别与评价篇4

关键词：免疫系统基本职能免疫职能认证职能

一、“免疫系统”与审计职能

免疫系统（Immune system）是机体保护自身的防御性结构，是人体抵御病原菌侵犯最重要的保卫系统，也是机体防卫病原体入侵最有效的武器。当第一次的感染被抑制住以后，免疫系统会把这种致病微生物的所有过程用具的记录下来。如果人体再次受到同样的致病微生物入侵，免疫系统已经清楚地知道该怎样对付他们，并能够很容易、很准确、很迅速的作出反应，将入侵之地消灭掉。免疫系统与审计的结合来自于国家审计署审计长刘家义。在2007年全国审计工作会议上审计长首次提出把审计看作为经济社会的“免疫系统”。指出人体系统与经济社会系统一样，人体有免疫系统，经济社会系统也有“免疫系统”，如人体免疫系统能够预防病害侵蚀、能够揭示病害侵蚀所带来的危害、能够抵御病害的侵蚀一样，审计作为经济社会系统的“免疫系统”，当经济社会系统运行出现问题时，审计能够较早的感知到，并能在最短的时间内对问题进行预警、揭露、抵御，从而确保国家安全。作为保障国家经济社会健康运行的“免疫系统”，首先必须充分发挥预防功能。作为一种制度安排，国家审计具有内生性的威慑作用，因此，必须加强审计监督，充分发挥其对影响经济社会健康运行的各种“病害”的抑制作用。作为依法履行监督职责的审计机关，具有独立、客观、公正、超脱、涉及社会各方面的优势，因而能够而且有责任及时发现苗头性、倾向性问题，及早感受风险，提前发出警报，起到预警作用。其次，必须充分发挥揭露功能。根据法律规定，审计的首要职责是监督，监督就必须查错纠弊。所以，审计必须查处违法违规、经济犯罪、损失浪费、奢侈铺张、损坏资源、污染环境、损害人民群众利益、危害国家安全、破坏民主法治等各种行为，并依法对这些行为进行惩戒；必须揭示体制障碍、制度缺陷、机制扭曲和管理漏洞，以保护经济社会运行的安全健康。再次，必须充分发挥抵御功能。审计不仅要揭露问题，更要对产生这些问题从微观到宏观、从个别到一般、从局部到全局、从苗头到趋势、从表象到里层，进行深层次分析、揭示和反映，调动积极因素，防止消极因素入侵整个经济社会系统，促进改革体制、健全法治、完善制度、规范机制、强化管理、防范风险，提高经济社会运行质量和绩效，增强经济社会运行的“免疫力”，推动经济社会全面协调可持续发展。审计“免疫系统”论是对审计本质认识的深化，作为“免疫系统”发挥作用的预防、揭示与抵御方式也是对审计职能的全新描述。职能也称功能，是指人、物应有的作用。系统论认为，系统的功能是指系统整体与外部环境相互联系时所能表现出来的特性和能力。审计的职能即审计的功能，是连接审计本质与目标的纽带，指审计“能够做什么”，是审计工作本质的体现，因而具有相对的稳定性和客观性。审计职能包括基本职能和具体职能。根据系统论的观点，基本职能反映审计的本质同时决定着审计的目标，可知审计基本职能是连接本质和目标的桥梁，所以确定基本职能对于构建审计概念框架和实际工作都具有重要的指导意义。需要特别指出的是，这里的审计是指审计工作而不是审计学，所以本文所述的审计职能是指审计工作的职能。

二、审计职能观点综述

（一）单职能论认为职能是相对稳定的概念，现代审计的发展仍然没有改变审计的本质，审计的职能是单一的经济监督，经济鉴证是经济监督的形式，经济评价是经济监督的方法。审计之所以成为审计，就在于它具有这种职能。古今中外的审计职能都是经济监督，离开经济监督就不称为审计。经济监督是存在于各种审计形式之中固有的内在职能。无论何种审计，都是在财产所有权与经营权分离或在实行经营管理权分权制的特定经济关系下，基于经济监督的需要而产生和发展的。单职能论还认为多职能论具有以下的缺陷：（1）多职能论没有从审计内部矛盾的构成要素和相互关系上分析审计的本质，没有充分认识到审计的特殊矛盾，混淆了审计的职能和管理的职能。（2）多职能论夸大了审计内涵和外延中的一些非本质属性对本质属性的反作用力，如认为随着审计主体的独立性程度、自身范围和内容、审计手段以及审计形式等的变化职能会变化等。这些变化只是扩大了监督的领域，提高了监督的重要性，并没有改变监督职能，不能把内涵的丰富和发展理解为职能的增加。（3）多职能论忽视了职能与作用的区别，易把两者混淆。审计职能是一个相对稳定的概念，而审计的作用则是一个相对变动的概念。（4）没有搞清职能与主体职责的相互关系，常将职责说成是职能。职责是外加的，受人们主观意志所制约；职能是内在的，不因为人们的主观意见而改变。

（二）多职能论认为现代审计的发展已经改变了审计的内涵和外延。职能不能限于一个，有关多职能论的观点也有多样，像二职能论、三职能论、四职能论等。现在最具有代表性的审计职能为经济监督、经济评价和经济鉴证。（1）经济监督。经济监督是指以一定的标准为评价依据，对被审计对象的财务收支和其他经济活动进行检查和评价，以衡量和确定其会计资料和其他资料是否正确、可靠，其所反映的财务收支和其他经济活动是否合规、合理、有效，检查被审计对象是否履行其经济责任，有无违法违纪、损失浪费等行为，追究或解除其所负经济责任，从而督促被审单位纠错防弊，遵守财经纪律，改善经营管理，提高经济效益。综观审计产生和发展的历史，审计无不表现为经济监督的活动，履行着经济监督的职能。我国的审计实践证明，越是搞活经济、搞活企业，越是需要加强审计监督。经济监督是指对经济活动的监察和督促，目的是使经济活动按照一定的标准和要求运行。经济监督作为对经济活动的控制手段，是非常重要的。但彭启发等认为将经济监督作为审计基本职能还有着一些不足之处：监督职能对国家审计来说是其行政权力的延伸，但对民间审计来说，美国会计协会（AAA）颁布的《基本审计概念说明》将其定义为“为确定关于经济行为和经济现象的结论和所制定的标准之间的一致程度，而对与这种结论有关证据进行客观收集、评定，并将结果传达给利害关系人的过程”。由此可以看出，审计的最终结果只是传达给相关利害关系人，其“传达”与“监督”意义相差甚远；审计在执业过程中要保持独立性、公正性和客观性，依据会计准则和相关执业准则的要求独立地、公允地发表审计意见。若将监督职能作为基本职能，则必然会出现审计需要维护的一个利益主体，这便出现了利益导向，至少在形式上影响审计的独立性，这与审计的独立性要求是不相符的；具有监督职能的部门或机构甚多，将监督职能作为审计的基本职能不能反映审计与其他事物的区别，即不能揭示其内在的、区别于其他事物的本质特征。此外，曹杉青认为经济监督的实施有一个基本的前提条件，就是权威性，失去权威性，监督无从谈起。一般认为，审计的经济监督职能是政府审计代表国家对财政收支和国有企业的财务收支活动进行综合监督。其认为，只有政府审计的经济监督职能最强，内部审计和民间审计的经济监督职能的实现都需要一定条件。所以得出把经济监督作为审计职能会给审计带来负面影响。（2）经济评价。经济评价是指通过审查验证，依据确实的数据和资料，对被审计单位的内部控制制度是否健全有效、经济活动及结果是否达到预期目标等进行评定。审核检查被审计单位的经济资料及其经济活动，是进行经济评价的前提。只有查明了被审计单位的客观事物真相，才能按照一定的标准进行对比分析，就能够形成各种经济评价意见。经济评价的过程，同时也是肯定成绩、发现问题的过程。彭启发等认为“从审计的历史与发展来看，评价职能一直是贯穿其中的主线；评价职能能够对现行的所有审计形式作出概括，也是现代审计向新领域不断发展的关键所在；评价是一种基于对对象的深入了解，对对象与既定标准的符合性程度的认识且对此发表意见，它可以使审计人员凭借其良好的声誉和对对象的深入了解在不同的领域开展工作”。而曹杉青认为，进行经济评价的前提条件是评价者具有评价资格与评价指标。认为政府审计主要是对国家的财政收支和企业、事业单位的财政收支、财务收支及相关的经济活动进行审计。政府审计进行经济评价，首先有评价资格，代表国家和政府；其次财政收支活动有其较为严格的评价标准。因此，政府审计对国家和企业、事业单位的财政收支活动有经济评价的职能。同样内部审计要对其内部单位进行经济评价，首先必须由单位的权利机构给予评价资格；其次，要有对经营管理活动评价的标准。如果两个条件任缺一个，内部审计的经济评价职能就不存在。因此，内部审计的经济评价职能是极为有限的。而注册会计师审计的经济评价职能表现在对内部控制制度的管理建议中，从实际情况看，注册会计师在审计过程中，可以发现被审计单位内部控制制度的制定利执行中存在的问题，但对于这些问题是否提出管理建议，要视情况而定。即要得到被审计单位的认可和理解，如果被审计单位不同意，注册会计师一般以口头提出，而不出具专门的管理建议书。但无论是以口头形式还是书面形式，提出管理建议本身就不是经济评价活动。因为注册会计师首先没有评价资格，其次管理建议也不是评价标准。它只是注册会计师根据掌握的相关知识和实践经验提出的，并且认为对被审计单位的管理活动有用的看法。因此，可以说，注册会计师审计几乎没有经济评价的职能。但这并不排除注册会计师接受进行经济评价的委托，从事经济评价活动。这样二种审计活动中，只有政府审计有经济评价的职能。通过上述分析提出，只有政府审计有经济评价的职能，其他两类审计几乎没有经济评价的职能。（3）经济鉴证。经济鉴证包括鉴定和证明，是指由专业人士对有书面载体形式的某种认定符合既定标准的程度发表专业意见，也就是对某种书面认定传递信息的质量进行报告或发表意见。经济鉴证职能是随着现代审计的发展而出现的一项职能，它不断受到人们重视而日益强化，并显示其重要作用。西方国家非常重视审计的经济鉴证职能，不少国家的法律明文规定，企业的会计报表必须经过审计人员审查鉴证之后，才能获得社会上的承认。彭启发等认为“鉴证职能不能反映审计的最新发展，鉴证最大的特点是由当事人以外的独立的第三者履行，而内部审计就不符合上述条件。虽然内部审计部门可能相对于其他部门具有一定形式上的独立性，但其实质只是一种职能划分，而某些因素必将影响审计独立性，其得出的审计结论最多只能是一种“自我鉴证”，其可靠性和客观性是极其有限的，与“鉴证”的真正含义还有相当大的差距；鉴证职能不能有效地反映审计的本质特征，也不是审计区别于其他具有经济鉴证职能部门的内在的本质特点”；《辞海》对鉴证的解释是“特指对合同的合法性、可行性和真实性进行审查、核实”；对鉴定的解释是“鉴别评定，确定优劣真伪”。而审查、核实就其本义而言是在对对象的全面审核和查验而不能有半点疏忽，这与现代审计广泛采用的抽样技术存在较大的差距。曹杉青认为进行经济鉴证活动的前提条件是鉴定者必须要有独立的身份地位，而政府审计代表国家和政府，内部审计代表内部管理机构，身份地位均不独立，只有注册会计师是独立的审计组织，因此认为，只有注册会计师审计具有经济鉴证职能，其他两种审计不具有经济鉴证的职能。同样多职能论认为单职能论存在以下缺陷：第一，单职能论忽略了审计及其只能要随着政治、经济以及审计自身的发展而发展，将固有的职能理解为固定的职能，没有用发展的眼光去看待本质和职能，没有注意到审计的某些职能要在一定条件下从潜在的职能转化为现实的职能。第二，未能全面把握审计的本质。经济监督不足以揭示和概括审计本质的全部内容，它实质上是从传统财务审计的角度得出的结论，其基点是查错纠弊，经济监督只是审计本质一个方面的反应，而效益审计则不具有监督职能，像民间审计、内部审计的其他工作，如咨询、服务等，经济监督也很难解释。本文认同多职能论，认为单职能论很难符合审计的发展，单一职能不足以概括政府审计、民间审计、内部审计等的职能。但就审计的基本职能来说，无论是多职能论中的某一职能还是单职能论都不能全面而又基本地体现审计本质。

三、基于“免疫系统”的审计基本职能

（一）认证职能美国注册会计师协会（SCAS）对认证的定义如下：“向决策制定者提供的，能改善信息质量或内涵的独立专业服务的总称”。从该定义中可以发现，注册会计师认证服务具有以下特征:第一，认证服务的用户是“决策制定者”，体现了“着眼于用户”的观点。传统的审计，是工业化大生产规模经济的产物，是一种通用化的产品。它企图通过单一的审计报告，满足大多数使用者的需求。然而随着信息市场向买方市场的转变，信息使用者的个性化需求也日益增多，通用化的产品模式再也不能适应市场的需要，因此必须着眼于用户的切实需求，提供有用性程度更高的产品。第二，认证服务的目的是改善信息的质量或内涵。信息的质量包括信息的可靠性和相关性；信息的内涵是信息表述的方式或利用信息的决策模型。第三，认证服务未对信息种类加以限制，可能涉及任何类型信息，可以是财务信息，也可以是非财务信息；可以是历史性信息，也可以是预测性的信息；可以是直接数据，也可以是相关的处理过程或信息系统(如内部控制或决策模型)。第四，CPA执行认证服务时亦应保持独立性，这对于用户给予CPA信任是十分重要的。“独立性”是CPA职业的基石和最宝贵的资产之一。由于信息提供者和决策者的利益可能不一致，所以其所提供的信息可能质量不高，不利于决策的制定。因此，决策者寻求CPA对信息加以认证以提高信息的质量，降低信息风险。显然，决策者要求CPA独立于信息提供者。第五，认证服务是CPA所提供的专业服务，需要CPA的职业判断，这是计算机软件或非专业的竞争者所无法代替的。尽管信息技术的发展加快了数据收集、分析和处理的速度，但技术是无法代替CPA的职业判断的。CPA的职业判断使得认证服务区别于简单的数据归集。第六、尽管认证服务可能会出具报告，但认证服务的目的是改善信息的质量或内涵，而不是出具报告。例如:在很多情况下，特别是涉及电子形式的数据时，出具书面报告有一定的困难。尽管报告是证明服务价值的一种方式，但是，向用户提供价值的是认证服务的本身，而不是报告。第七，认证服务预期将成为CPA职业未来发展的平台。所以SCAS的定义被有意定得很宽，以避免在目前没有预见的情况下，对认证服务的发展及其有用性造成限制。国际审计界一般认为认证服务包括鉴证和审计财务报告。《认证业务国际准则》则指出：“认证业务旨在增进关于某一对象信息的可靠性，专业审计师通过评价某个对象是否在所有重大事项方面符合适当的标准，从而提高该对象信息满足使用者预定需要的可能性。”“增进关于某一对象信息的可靠性”是三种审计共同的宗旨。“评价”是三种审计共同的职能。结合审计实践的发展，“认”是指确认，审计活动是再确认。通过对被审计者的会计信息进行再确认、评价，提出报告，揭示企业内部控制等方面的优缺点，从而保证经济信息合规，提高经济活动效益。认证既可以是书面形式的，也可以是非书面形式的；既可以是财务性质的，也可以是非财务性质的。认证职能不仅包括社会审计的鉴证职能，也包括内部审计和国家审计的确认和评价职能；不仅包括财务审计职能，也包括绩效审计职能。总之，认证包括三种含义：审核、检查；确认、报告、证明；评价。任何审计首先必须通过认证进行确认，因而，本文认同认证具有审计的基础职能。

（二）免疫职能联系实际结合发挥免疫系统的三种方式即预防、揭示、抵御，免疫职能可以概括为三种含义：防护、保健、预警；服务、建设、促进、咨询；监督、制衡。审计活动不能仅停留在监督、制衡方面，应当在强化认证的基础上，深入调查研究，充分发挥防护、保健、预警职能，及时发现社会经济运行中的风险和缺陷，发现提高经济效益和社会效益的潜力，在建设、促进、咨询等方面，搞好服务，维护委托人和受托人的产权。免疫系统论使审计活动有被动防范变为主动预防。各种审计都要预防、揭露社会经济活动中的问题，及时预警。免疫系统论使审计活动外延扩大。体现受托责任的经济活动是审计对象的核心，但是，优良的审计活动还要扩大视野，创造价值，更好地维护委托人和受托人的权益，为社会提高效益。认证职能从审计基础工作的角度经行概括，免疫职能从审计作用的角度进行概括。两者为指导审计活动提供科学的指导思想。

（三）认证与免疫职能的关系审计的基本职能是认证和免疫。没有认证，就不可能进行免疫。认证为免疫服务，是免疫的手段，及其基础和前提，因而认证是基础职能。从进行免疫的要求出发，决定如何进行认证，免疫室认证的出发点和落脚点，因而免疫职能处于主导地位。两种职能密切联系，相互渗透。审计工作从事审核、检查，属于认证，查明被审计事项的真相，然后对照一定的标准，做出被审计单位经济活动是否合规、可靠和有效的结论。从检查到评价再到做出决定以及督促决定的执行，无不体现了审计的免疫职能。“建立适当的认证免疫体系便能够实现审计的职能―认证和免疫。”基本职能是长期、广泛的审计实践的概括和抽象，受制于客观存在的社会环境、审计基本动因和审计本质，因而具有客观性。基本职能存在于事物的始终，但又随着事物的发展而有所发展。审计基本职能认证和免疫都体现审计基本动因的要求，适应维护产权的需要。本文认为，本质是固有的、不变的，基本职能是对本质的客观反映，具有客观性。系统论认为，本质是结构的描述，系统的特性首先取决于它的结构，结构的不同可以使同一类系统具有不同的功能。结构是指系统内部各类要素统一组合的秩序和方式。决定事物本质和职能的是事物的结构，是事物的内在矛盾，而职能是结构和本质的外部表现。因此作为外在表现的职能不应该是固定不变的，而是应该随着经济社会的发展而发展，应该随着人们对审计的认识而发展，只有这样职能才能更好的反应本质，更好的推动理论和实践的发展。

参考文献：

［1］李雪：《审计理论研究》，中国海洋大学出版社2009年版。

信息的鉴别与评价篇5

第一条为了规范鉴证业务的目标、业务承接和要素，确定中国注册会计师审计准则、审阅准则、其他鉴证业务准则适用的鉴证业务类型，根据《中华人民共和国注册会计师法》，制定本准则。

第二条注册会计师执行审计、审阅和其他鉴证业务时，应当遵守本准则以及依据本准则制定的中国注册会计师审计准则、审阅准则及其他鉴证业务准则。

第三条注册会计师执行鉴证业务时，应当遵守职业道德要求和会计师事务所质量控制准则。

第二章鉴证业务的定义和目标

第四条鉴证业务是指注册会计师对鉴证对象信息提出结论，以增强除责任方之外的预期使用者对鉴证对象信息信任程度的一种业务。

鉴证对象信息是对鉴证对象按照标准进行评价和计量的结果。

第五条如果鉴证对象信息没有恰当反映既定标准运用于鉴证对象的情况，鉴证对象信息可能存在错报，而且可能是重大错报。

第六条鉴证业务可以分为基于认定的业务和直接报告业务。

在基于认定的业务中，责任方对鉴证对象进行评价或计量，鉴证对象信息以责任方认定的形式被预期使用者获取，注册会计师将责任方认定作为鉴证对象。

在直接报告业务中，注册会计师直接对鉴证对象进行评价或计量，或者从责任方获取对鉴证对象评价或计量的认定，而该认定无法被预期使用者获取，预期使用者只能通过鉴证报告获取鉴证对象信息。

第七条注册会计师可以执行合理保证的鉴证业务和有限保证的鉴证业务。

合理保证的鉴证业务的目标是注册会计师将鉴证业务风险降至该业务环境下可接受的低水平，以此作为以积极方式提出结论的基础。

有限保证的鉴证业务的目标是注册会计师将鉴证业务风险降至该业务环境下可接受的水平，以此作为以消极方式提出结论的基础。

有限保证的鉴证业务的风险水平高于合理保证的鉴证业务的风险水平。

第三章业务承接

第八条在接受委托前，注册会计师应当初步了解业务环境。

业务环境包括业务约定事项、鉴证对象特征、所使用的标准、预

期使用者的需求、责任方及其环境的相关特征，以及可能对鉴证业务产生重大影响的事项、交易、条件和惯例等其他事项。

第九条在初步了解业务环境后，如果认为能够遵守独立性和专业胜任能力等相关职业道德要求，并且拟承接的鉴证业务具备下列所有特征，注册会计师才能承接该项鉴证业务：

（一）鉴证对象适当；

（二）使用的标准适当且预期使用者能够获取该标准；

（三）注册会计师能够获取充分、适当的证据以支持其结论；

（四）注册会计师的鉴证结论以书面报告形式体现；

（五）注册会计师认为该业务具有合理的目的。

第十条如果拟承接的业务不具备第九条规定的鉴证业务全部特征，注册会计师无法作为鉴证业务承接时，委托方可以将其作为非鉴证业务，以满足预期使用者的需要。

第十一条如某项业务原标准不适当，但满足下列条件之一时，仍可作为一项鉴证业务：

（一）委托方能够确认原鉴证对象的某个方面适用于原标准，注册会计师可以针对该方面执行鉴证业务，但在鉴证报告中应当说明该报告的内容并非针对原鉴证对象整体；

（二）能够选择或设计适合原鉴证对象的其他标准。

第十二条对已承接的鉴证业务，如果没有正当理由，注册会计师不应将该项业务变更为非鉴证业务，或将合理保证的鉴证业务变更为有限保证的鉴证业务。

当业务环境变化影响到预期使用者的需求，或预期使用者对该项

业务的性质存在误解时，注册会计师可以根据委托方的要求，考虑同意对该项业务予以变更。如果发生变更，注册会计师不应忽视变更前获取的证据。

第四章鉴证业务的三方关系

第十三条鉴证业务涉及的三方关系人包括注册会计师、责任方和预期使用者。

责任方与预期使用者可能是同一方，也可能不是同一方。

第十四条注册会计师是指鉴证业务的项目负责人或其所在的会计师事务所。

项目负责人是指会计师事务所中负责某项业务及其执行，并代表会计师事务所出具报告的主任会计师（或授权的副主任会计师）和其他签字注册会计师。

第十五条注册会计师可以根据第九条的规定，针对各类鉴证对象执行鉴证业务。

如果鉴证业务涉及的特殊技能和知识超出了注册会计师的能力，注册会计师可以利用专家协助执行鉴证业务。

注册会计师应当适当参与并充分了解专家所进行的工作，获取充分、适当的证据，以确信专家具有相应的技能和知识。

第十六条责任方是指下列组织或人员：

（一）在直接报告业务中，对鉴证对象负责的组织或人员；

（二）在基于认定的业务中，对鉴证对象信息负责并可能同时对该鉴证对象负责的组织或人员。

责任方可能是委托方，也可能不是委托方。

第十七条责任方通常向注册会计师提供一份书面声明，表明已经按照既定标准对鉴证对象进行了评价或计量。

在直接报告业务中，当委托方与责任方不同时，注册会计师可能无法获取此类书面声明。

第十八条预期使用者是指注册会计师向其提供鉴证报告的组织或人员。

责任方可能是预期使用者之一，但不是唯一的预期使用者。

第十九条注册会计师可以根据与委托方签订的协议或法律法规的规定明确预期使用者。

第二十条通常情况下，预期使用者或其代表应同注册会计师和责任方（如果不同则为委托方）共同确定鉴证业务条款。

不论其他人员是否参与，注册会计师都应当负责确定鉴证业务程序的性质、时间和范围，并对鉴证业务中发现的可能导致对鉴证对象信息作出重大修改的问题进行跟踪。

第二十一条当鉴证业务服务于特定的使用者，或具有特定目的时，注册会计师应当考虑在鉴证报告中注明该报告的特定使用者或特定目的。

第五章鉴证对象

第二十二条鉴证对象与鉴证对象信息具有多种表现形式，包括但不限于：

（一）当鉴证对象为财务业绩或状况时，鉴证对象信息可能通过确认、计量、列报和披露体现在财务报表中；

（二）当鉴证对象为非财务业绩或状况时，鉴证对象信息可能是反映效率或效果的关键指标；

（三）当鉴证对象表现为物理特征时，鉴证对象信息可能是有关鉴证对象物理特征的说明文件；

（四）当鉴证对象表现为某种系统和过程时，鉴证对象信息可能是关于其实施效果的认定；

（五）当鉴证对象表现为一种行为时，鉴证对象信息可能是对法律法规遵循情况或执行效果的声明。

第二十三条鉴证对象具有不同特征，可能表现为定性或定量、客观或主观、历史或预期、时点或期间。这些特征对以下方面产生影响：

（一）鉴证对象评价或计量结果的准确性；

（二）证据的说服力。

鉴证报告应当说明与预期使用者特别相关的鉴证对象特征。

第二十四条适当的鉴证对象应当同时具备以下条件：

（一）鉴证对象可以识别；

（二）不同的组织或人员对鉴证对象按照既定标准进行评价或计量的结果基本一致；

（三）注册会计师可以收集与鉴证对象有关的信息，获取充分、适当的证据，以支持其对某项鉴证业务提出适当的结论。

第六章标准

第二十五条标准是指用于评价或计量鉴证对象的基准，当涉及列报和披露时，还包括列报和披露的基准。

第二十六条注册会计师在运用职业判断对鉴证对象作出合理一致的评价或计量时，需要有适当的标准。

适当的标准应当具备下列特征：

（一）相关性：相关的标准有助于得出便于预期使用者作出决策的结论；

（二）完整性：完整的标准不应忽略业务环境中可能影响得出结论的相关因素，当涉及列报和披露时，还包括列报和披露的基准；

（三）可靠性：可靠的标准能够使能力相近的注册会计师在相似的业务环境中，对鉴证对象作出合理一致的评价或计量；

（四）中立性：中立的标准有助于得出无偏见的结论；

（五）可理解性：可理解的标准有助于得出清晰、易于理解、不会产生重大歧义的结论。

注册会计师基于自身的预期、判断和经验对鉴证对象进行评价和计量，都不构成适当的标准。

第二十七条注册会计师应当考虑运用于特定业务的标准是否

具备本准则第二十六条所述的特征，以评价该标准的适当性。

第二十八条标准应当能够为预期使用者获取，以了解鉴证对象是如何被评价或计量的。

如果确定的标准仅能被特定的预期使用者获取，或仅与特定目的相关，鉴证报告的使用也应限于这些特定的使用者或特定目的。

第七章证据

第一节职业怀疑

第二十九条注册会计师应当以职业怀疑态度计划和执行鉴证业务，获取有关鉴证对象信息是否不存在重大错报的充分、适当的证据。

注册会计师在计划和执行鉴证业务时，应当考虑重要性、鉴证业务风险以及可获取证据的数量和质量。

第三十条职业怀疑态度是指注册会计师以质疑的思维方式评价所获取证据的有效性，并对相互矛盾的证据以及引起对文件或责任方声明的可靠性产生怀疑的证据保持警觉。

第三十一条鉴证业务极少涉及鉴定文件记录的真伪，但注册会计师应当考虑用作证据信息的可靠性，包括考虑与信息生成和维护相关的控制。

第二节证据的充分性和适当性

第三十二条证据的充分性是对证据数量的衡量。证据的适当性是对证据质量的衡量，即证据的相关性和可靠性。

所需证据的数量受鉴证对象信息重大错报风险的影响，即风险越大，可能需要的证据数量越多；所需证据的数量也受证据质量的影响，即质量越高，可能需要的证据数量越少。

证据的充分性和适当性是相互关联的，但如果证据的质量存在缺陷，仅靠获取更多的证据可能无法弥补其质量缺陷。

第三十三条证据的可靠性受其来源和性质的影响，并取决于获取证据的具体环境。

注册会计师通常按照下列原则考虑证据的可靠性：

（一）从外部独立来源获取的证据比从其他来源获取的证据更可靠；

（二）内部控制有效时内部生成的证据比内部控制薄弱时内部生成的证据更可靠；

（三）直接获取的证据比间接获取或推论得出的证据更可靠；

（四）以文件记录形式存在的证据比口头形式的证据更可靠；

（五）从原件获取的证据比从传真或复印件获取的证据更可靠。

在运用上述原则评价证据的可靠性时，注册会计师应当注意可能出现的重要例外情况。

第三十四条如果针对某项认定从不同来源获取的证据或获取

的不同性质的证据能够相互印证，与该项认定相关的证据通常具有更强的说服力。

第三十五条针对一个期间的鉴证对象信息获取充分、适当的证据，通常要比针对一个时点的鉴证对象信息获取充分、适当的证据更困难。

针对过程提出的结论通常限于鉴证业务涵盖的期间，注册会计师不应对该过程是否在未来以特定方式继续发挥作用提出结论。

第三十六条注册会计师可以考虑获取证据的成本与所获取信息有用性之间的关系，但不应仅以获取证据的困难和成本为由减少不可替代的程序。

在评价证据的充分性和适当性以支持鉴证报告时，注册会计师应当运用职业判断，保持职业怀疑态度。

第三节重要性

第三十七条在确定证据收集程序的性质、时间和范围，评估鉴证对象信息是否不存在错报时，注册会计师应当考虑重要性。在考虑重要性时，注册会计师应当了解并评估哪些因素可能会影响预期使用者的决策。

注册会计师应当综合数量和性质因素考虑重要性。在某一特定业务中，评估重要性以及数量和性质因素的相对重要程度，需要注册会计师运用职业判断。

第四节鉴证业务风险

第三十八条鉴证业务风险是指在鉴证对象信息存在重大错报的情况下，注册会计师提出不恰当结论的可能性。

在直接报告业务中，如果鉴证对象信息仅体现在注册会计师的结论中，鉴证业务风险包括注册会计师不恰当地提出鉴证对象在所有重大方面遵循标准的结论。

第三十九条在合理保证的鉴证业务中，注册会计师应当将鉴证业务风险降至特定业务环境下可接受的低水平，以获取合理保证，作为以积极方式提出结论的基础。

在有限保证的鉴证业务中，由于证据收集程序的性质、时间和范围与合理保证的鉴证业务不同，其风险水平高于合理保证的鉴证业务，但注册会计师实施的证据收集程序至少应当充分，以获取有意义的保证水平，作为以消极方式提出结论的基础。

有意义的保证水平，是指注册会计师所获取的保证水平至少能够在一定程度上增强预期使用者对鉴证对象信息的信任。

第四十条鉴证业务风险通常体现为重大错报风险和检查风险。

重大错报风险是指鉴证对象信息或鉴证对象在鉴证前存在重大错报的可能性。

检查风险是指注册会计师未能发现存在的重大错报的可能性。

注册会计师对重大错报风险和检查风险的重视程度受具体业务环境的影响，特别受鉴证对象性质，以及所执行的是合理保证还是有限保证鉴证业务的影响。

第五节证据收集程序的性质、时间和范围

第四十一条证据收集程序的性质、时间和范围因业务的不同而不同。注册会计师应当清楚表达证据收集程序，并以适当的形式运用于合理保证的鉴证业务和有限保证的鉴证业务。

第四十二条在合理保证的鉴证业务中，为了能够以积极方式提出结论，注册会计师应当通过下列不断修正的、系统化的执业过程，以获取充分、适当的证据：

（一）了解鉴证对象及其他业务环境，包括了解内部控制；

（二）在了解的基础上，评估鉴证对象信息可能存在的重大错报风险；

（三）对评估的风险作出应对，包括制定总体应对措施以及确定进一步程序的性质、时间和范围；

（四）针对已识别的风险实施进一步程序，包括实施实质性程序，以及在必要时测试控制运行的有效性；

（五）评价证据的充分性和适当性。

第四十三条合理保证提供的保证水平低于绝对保证。由于下列因素的存在，将鉴证业务风险降至零几乎不可能，也不符合成本效益原则：

（一）抽查方法的应用；

（二）内部控制的固有局限性；

（三）大多数证据是说服性而非结论性的；

（四）在获取和评价证据以及由此得出结论时涉及大量判断；

（五）在某些情况下鉴证对象具有特殊性。

第四十四条合理保证的鉴证业务和有限保证的鉴证业务都需要运用鉴证技术和方法，收集充分、适当的证据。与合理保证的鉴证业务相比，有限保证的鉴证业务在证据收集程序的性质、时间、范围等方面受到有意识的限制。

第六节可获取证据的数量和质量

第四十五条可获取证据的数量和质量受下列因素的影响：

（一）鉴证对象和鉴证对象信息的特征；

（二）业务环境中除鉴证对象特征以外的其他事项。

第四十六条对任何类型的鉴证业务，如果下列情形对注册会计师的工作范围构成重大限制，阻碍注册会计师获取所需要的证据，注册会计师提出无保留结论是不恰当的：

（一）客观环境阻碍注册会计师获取所需要的证据，无法将鉴证业务风险降至适当水平；

（二）责任方或委托方施加限制，阻碍注册会计师获取所需要的证据，无法将鉴证业务风险降至适当水平。

第八章鉴证报告

第四十七条注册会计师应当出具含有鉴证结论的书面报告，该鉴证结论应当传达注册会计师就鉴证对象信息获取的保证。

注册会计师应当考虑其他的报告责任，包括在适当时与治理层沟通。

第四十八条在基于认定的业务中，注册会计师应当在鉴证报告中明确提及责任方的认定或鉴证对象和标准。

在直接报告的业务中，注册会计师应当明确提及鉴证对象和标准。

第四十九条在合理保证的鉴证业务中，注册会计师应当以积极方式提出结论，如“我们认为，根据XYZ标准，内部控制在所有重大方面是有效的。”

在有限保证的鉴证业务中，注册会计师应当以消极方式提出结论，如“基于本报告所描述的工作，我们没有注意到任何事项让我们相信，根据XYZ标准，内部控制在所有重大方面是无效的。”

第五十条对任何类型的鉴证业务，如果注册会计师的工作范围受到限制，注册会计师应当视受到限制的重大性或广泛性提出保留结论或放弃提出结论。

在某些情况下，注册会计师应当考虑解除业务约定。

第五十一条如果存在下列情形，注册会计师应当视其影响的重要性或广泛性提出保留结论或否定结论：

（一）注册会计师的结论提及责任方的认定，且该认定未在所有重大方面作出公允表达；

（二）注册会计师的结论直接提及鉴证对象和标准，且鉴证对象信息存在重大错报。

第五十二条在承接业务后，如果发现标准或鉴证对象不适当，可能误导预期使用者，注册会计师应当视其重大性或广泛性提出保留结论或否定结论。

如果发现标准或鉴证对象不适当，造成工作范围受到限制，注册会计师应当视受到限制的重大性或广泛性提出保留结论或放弃提出结论。

在某些情况下，注册会计师应当考虑解除业务约定。

第五十三条注册会计师应当在鉴证报告上签名并盖章，并由其所在会计师事务所加盖公章。

第九章附则

第五十四条司法诉讼中涉及会计、审计、税务或其他事项的鉴定业务，可能符合本准则第四条鉴证业务的定义，但注册会计师执行这些业务不必遵循本准则。

第五十五条某些业务可能符合本准则第四条鉴证业务的定义，使用者可能从业务报告的意见、观点或措辞中推测出某种程度的保证，但如果满足下列所有条件，注册会计师执行这些业务不必遵循本准则：

（一）注册会计师的意见、观点或措辞对于整个业务来说仅是附带性的；

（二）任何书面报告被严格限定为仅供报告中所提及的使用者使用；

（三）与特定预期使用者达成的书面谅解中，该业务未被确认为鉴证业务；

信息的鉴别与评价篇6

关键词：电子文件

鉴定销毁

一、电子文件鉴定销毁工作的现状

电子文件鉴定销毁工作现状不容乐观：一是可选性大，在电子文件生成之后，往往是经济、车辆容量、意识形态和其他因素，许多电子文件被保存价值的档案之前；二是档案人员很难控制电子文档识别破坏；三是破坏文件和载波被随意丢弃，留下隐患信息保密工作。

二、电子文件的鉴定

1 鉴定时间。电子文件，电子文件形成部门识别内容的电子文件归档，挑出不存档，并将持续时间对应归档。电子档案，档案的存档在形式的媒体文件或归档文件从网络做出综合评价。键来标识值的电子文档，和承运人的记录进行检查、测试，记录所需的硬件和软件环境，然后根据内容的电子文档值划分，提出托管期限保存段形成一个完整的技术环境要求。电子档案到期后，由档案部门重新鉴定，有去持续的电子文件审查鉴定，让失去价值的电子文件销毁。

2 鉴定人员。文件鉴定除了分析内容的电子文档，但也对文件记录的方式和载体性质的技术鉴定。技术评估的电子文档，从人员结构的角度来看，技术鉴定的档案工作有相当大的困难，这是档案人员的弱点。对于商务人士，更会注意到当前评估部门的利益，而忽略长期的社会需要的文件。因此，鉴定人员由档案人员、业务人员和计算机人员三者组成是理想的组合。

3 鉴定依据。保管期限表是电子文件鉴定的依据性文件。表时间根据第一机构为建立函数体清晰、工作环境的重要工作活动的主要功能，关键工作步骤，然后根据业务流程显示在生产电子文件节点，明确界定其物种组成的电子文档，结合主要的功能活动、工作的重要内容和关键步骤，将这些函数中生成、工作，和链接电子文件是有价值的作为一个文件，允许其他文件。对于一些特殊的电子文件，如程序文件进行特殊考虑。电子文件信息存储不同于纸张文件，存储具有存储密度高，成本相对较低，纸质文件存储节省空间和成本。因此，可以适当延长根据客观的持续时间的电子文档。

4 文件。持续时间根据第一桌的机构建立评价内容。评估电子文档包含三方面的内容：一是内容价值评估的电子文件。对电子文件在档案的特点，容易“迷失”，可以尝试使用“评价”功能，即根据函数确定方法的基础上，电子文档或表单之前第一次开始评估，可以通过组相关的软件系统，将不保存价值的电子文件。第二是对评估的电子文件。这是一个保证电子文件凭证价值，需要同时考虑计算机技术和电子文档管理因素，主要记录相关特征的电子文档记录检查，确认的电子文件的原始性。三是电子文件，阅读相关技术条件评价。主要来自两个方面：信息和载体，并检查完整性，完整性的信息载体。

三、电子文件的销毁

1 定时的破坏电子文档和实现者。电子文件鉴定工作决定了定时、从业者毁灭的电子文档。文件标识：如果使用一个统一的办公软件，设计时可以确定系统根据功能检验文件收集、形式通过文件确认，应该摧毁了电子文件自动删除的软件系统，如果使用办公软件没有相应的评价功能，可由档案定期批量识别的电子文件、电子文件将不被保存在时间价值毁灭；最初的评估电子文档存档中，进一步由部门档案的鉴定，剔出不统一销毁文件电子文档。评价：过期的永久保存的电子文件拘留期满后重新测试，档案部门的持续时间电子文件审查鉴定，让失去价值的电子文件销毁。

2 销毁电子文档的方法。电子文档销毁方法包括载波信息破坏和摧毁两大部分。电子文件信息是被软件系统改变状态的载体，电子文件数据的一种方法消除从承运人。这种方法适用于可重用的记录载体，如硬盘、软盘、光盘、磁带录音机可重写光盘类型等。它的优点是可重用的载体，节省资源、资金，销毁方法很简单。过程有一个视觉缺陷被摧毁，主要是通过计算机软件系统来完成工作，如果你的破坏不完全摧毁，容易留下ShixieMi未来的麻烦。电子文件的载体破坏是承运人的电子文件，连同信息销毁方法，主要适用于不可逆的书面记录载体和承运人的损坏无法修复。它是一个被完全摧毁的优势，缺点是浪费资源。从当前看，电子文档载波恢复和再生工作非常不够，也能摧毁的载体可以带来负面影响的环境问题。

电子文件的鉴定销毁只是一个很小的环节。但电子文件鉴定销毁正不正确、方法得不得当，对电子文件的管理影响重大，它的重要性必须引起重视。我们要在实践中不断探索，找准电子文件鉴定销毁工作的特点和规律，推动电子文件管理工作的健康发展。

参考文献

[1]黄项飞，加拿大档案宏观鉴定理论及其启示[J]，湖北档案，2004（1）

[2]杨冬艳，电子文件与纸质文件鉴定之比较[J]档案天地，2003（2）

[3]黄项飞电子文件鉴定三题[J]，档案与建设，2003（11）

信息的鉴别与评价篇7

【关键词】信息披露；影响因素；规则研究；内控质量

随着中外公司因为虚假列报造成公司倒闭的实例的增加，上市公司内部控制及其有效性备受质疑，内部控制信息披露问题的研究成为人们关注的焦点。萨班斯法案出台4年后，我国分别于2006年6月5日和9月28日颁布了上海证券交易所上市公司内部控制指引，使内部控制信息披露问题的研究再度提上日程。

一、国内文献综述

（一）内部控制信息披露规则研究

美国的萨班斯法案出台后，中国学术界开始了是否制定规则、强制性要求上市公司披露内部控制信息的讨论。周勤业、王啸从财务报告内部控制信息披露视角指出我国需构建包括披露内容、评价及审核标准在内的一整套披露规则。缪艳娟在分析我国上市公司内控信息披露规则存在的问题基础上，建议借鉴英美内部控制信息披露规则中的合理理念，建立一套相互衔接的内部控制信息披露规则体系。杨陈敏、邵志高针对我国内部控制信息披露缺乏硬性要求、格式和内容不详细、评价缺乏统一标准以及责任主体不完全到位等问题，提出通过借鉴美国经验完善内部控制信息披露的建议。

（二）内部控制信息披露现状及改进研究

我国强制性披露规则出台前，除金融类上市公司外，均属自愿性披露。尽管年报中的披露位置多，内容差异大，内部控制信息的提取带有较大的主观随意性，但内部控制信息披露形式化问题已达成共识。2006年中国版的萨班斯法案出台后，国内学者多以上交所内控指引、深交所内控指引为分析框架，以非金融类上市公司年报为研究对象描述内部控制信息披露现状并提出改进意见。秦冬梅按照时间顺序分析了上市公司内部控制信息披露的要求，发现2006年仅有6家上市公司按要求披露了内部控制自评报告及会计师事务所的核实意见；且内部控制信息的披露格式不一，内容简单。

（三）内部控制评价及审核研究

内部控制评价及审核是制约对外披露的内部控制信息质量的两个重要因素。

基于会计视角：周春喜利用层次分析法建立了内部会计控制多层次指标体系，讨论了模糊综合评价模型，并对内部会计控制进行综合评价，对定性指标进行定量化处理。池国华认为企业财务内部控制评价工作指引缺少对内部环境的评价，缺乏细化每一项指标的计分方法，建议将将内部环境要素纳入内部控制评价的内容之中。

基于审计视角：张龙平、朱锦余指出内部控制评价属于注册会计师的审核业务，应从内部控制评价的性质、评价标准、责任划分等方面探讨与内部控制评价相关的理论问题，为我国注册会计师相关鉴证准则的制定和实务工作提供参考。杨金、张凌云从审计视角提出了计算机信息系统内部控制评价的十大步骤，用以评价计算机系统内部控制的有效性，对其弱点进行检查，并提出内部管理建议书。

（四）内部控制信息披露影响因素研究

我国内部控制信息披露影响因素的研究主要以上市公司年报为依据，从内部治理、注册会计师审计质量角度进行研究。李明辉、何海发现内部控制信息披露与财务报告质量、公司质量之间可能存在一定的关联，高质量的公司披露内部控制信息的动力高于低质量的公司，标准无保留审计意见的公司披露情况好于非标准无保留意见的公司。林斌、饶静发现内部控制资源充裕、快速成长、设立了内审部门的上市公司以及有再融资计划的公司更愿意披露内部控制鉴证报告，而上市年限长、财务状况差、组织变革程度高及发生违规的公司则不愿意披露鉴证报告。

二、国外文献综述

（一）关于内部控制实质性缺陷披露的研究

萨班斯法案的颁布强化了上市公司的内部控制责任，对内部控制信息披露有着重要影响。Hollis等发现上市公司在按照《萨班斯法案》404条款进行披露时存在很多问题，比如组织结构的临近调整和由于不披露内部控制问题而导致较多的审计人员辞职等。Chan等通过证据表明那些按照404条款披露内部控制实质性缺陷的公司相对于其他公司有更多的盈余质量管理和更低的投资回报。

（二）关于内部控制报告及其影响的研究

Wilis认为公司管理层的内部控制报告为在年报中无法提供的内容提供了一个绝好的机会。公司可以在内部控制报告中与现有的和潜在的股东讨论公司实施的战略和公司采用的政策，从而使他们确信公司处于有效的控制之下，进而使内部控制报告增加企业价值，并且证明了良好的内部控制信息披露与股价有正相关性。Hermanso通过调查显示被调查者非常认可内部控制的重要性，并且认为内部控制能为公司的长远发展提供更好的保证。

信息的鉴别与评价篇8

[关键词] 《中国互联网年鉴》出版价值框架设计编纂组织

[中图分类号] G237 [文献标识码] A [文章编号] 1009-5853 （2017） 01-0034-05

Study on Publishing Value， Framework Design & Compiling Organization of China’s Internet Yearbook

Li Xinxiang Zeng Jingping

（Research Institute of Internet & New Media， Zhejiang University of Media and Communications， Hangzhou， 310018）

[Abstract] China’s Internet Yearbook has high publishing value，such as preservation of history，revision history，scholarship，governance promotion. In line with the principle of service for reality， complete in contents， scientific system， facilitate to access， China's Internet Yearbook could set up the columns including the annual development situation， important documents and articles， the annual development review， regional development review， major activities and the annual project， laws and regulations， advanced model， Internet memorabilia， basic data， international data， annual book and argument， the appendix and index and so on. In the aspect of compiling organization， it is necessary to do well in many aspects， such as clearing publishing ideologies， straightening out the system and mechanism， strengthening the construction of institutions and compiling team， improving the timeliness， operating the full media and full copyright， carefully selecting and writing entries， optimizing the performance， practice of social responsibility， and doing a good job in marketing.

[Key words] China’s Internet Yearbook Publishing value Framework design Compiling organization

过20余年的发展，互联网已成为驱动我国社会发展的重要力量。党的十以来，我国互联网发展更是进入新的历史时期。不无遗憾的是，我国迄今为止没有一部系统、权威、连续出版的《中国互联网年鉴》，这显然与中国互联网经济蓬勃发展、互联网治理渐趋规范、互联网研究空前活跃的现状不相匹配。可喜的是，2016年1月，中国互联网协会研究决定，授权网络文化与新媒体工作委员会组织各方面专家学者编纂出版《中国互联网年鉴》，聘任曾静平教授担任编委会主编，并授权浙江传媒学院为《中国互联网年鉴》（以下简称《年鉴》）编辑部固定常设机构[1]。本文拟从定位与出版价值、框架设计及编纂组织三个方面对《年鉴》工作展开探讨，向各级领导、专家、学者及广大读者求教，一并向社会各界诚挚发出共同开创《年鉴》事业的邀请。

1 《中国互联网年鉴》的定位与出版价值

1.1 《中国互联网年鉴》的定位

《年鉴》由中央互联网信息办公室、国家工业和信息化部主管指导、中国互联网协会主办，为系统、全面、准确、如实地记载我国互联网发展史实，全面反映我国互联网发展基本情况，集中展示我国互联网建设成就与经验，集权威性、时效性、指导性与实用性为一体，为各级政府、各类企事业单位及各个领域的互联网发展决策提供强有力的信息支持。《年鉴》不仅是一种工具书，同时也是逐年记载和反映我国互联网发展进程的编年史册。

《年鉴》是汇辑一年内中国互联网发展的重要时事、文献和统计资料，按年度连续出版的工具书。它博采众长，集辞典、手册、报告、年表、图录、书目、文摘、表谱、统计资料、指南、便览、索引于一身，具有资料权威、反映及时、连续出版、功能齐全的特点。它是蕴含丰富、查检便捷的互联网发展信息库，为与互联网有关的领导决策、开发、运营、教育、科研等活动提供多方位的服务。同时也是向国外展示我国互联网发展成就的窗口，为世界了解我国互联网概况、开展合作与交流铺路搭桥，提供信息。其读者对象是国内外互联网行业的同仁、文教学术界、科研部门、高校师生及广大网民。

1.2 《年鉴》的出版价值

中国互联网协会是由中国互联网行业及与互联网相关的企事业单位自愿结成的行业性的、全国性的、非营利性的社会组织，对此责无旁贷。经过20余年的发展与积累，互联网经济蓬勃发展需要梳理，互联网治理渐趋规范需要总结，互联网研究空前活跃需要提炼。基于此，《年鉴》具有重大的出版价值。

“存史”。记录中国互联网发展历史。《年鉴》以全面系统、丰富翔实的资料，客观真实、全面系统地记载我国互联网年度发展史实，记录中国互联网发展进程，反映我国互联网发展基本情况。

“修史”。将互联网载入国家发展史册。经过20余年的发展，互联网已成为驱动我国社会发展的重要力量。党的十以来，我国互联网发展更是进入一个新的历史时期。我国自古以来就有“盛世修史”的传统，应当把互联网这一重要发展进程载入史册。出版《年鉴》，就是要担当这一使命。

“治学”。构建互联网学科话语体系。建立起中国自己的互联网学科话语体系，是中国互联网学人不可推卸的历史责任与时代使命。编纂《年鉴》可为拓建中国特色互联网创新体系，提供有价值的文献咨鉴，从而促进互联网人才培养与学科建设。

“资政”。总结互联网发展规律。《年鉴》可系统展示我国互联网建设成就与经验，对我国互联网年度发展的利弊得失、对中国互联网产业发展进程的重大事件和重点人物作出科学评价，总结提炼中国互联网强国战略和中国特色互联网发展规律，为中国互联网事业发展提供决策参考，为世界互联网发展贡献智慧。

2 《年鉴》的基本框架

《年鉴》框架的主体结构依互联网行业的内在特点及其从属关系来确定，拟设置下述13个一级类目。根据需要，一级类目下可设立若干二级类目，并以条目为基本单位。

年度概况。总体、宏观、简要介绍中国互联网年度发展概况。

重要文献与专文。主要包括：第一，党和国家领导人有关互联网发展的重要讲话、论述；第二，国家互联网信息办公室、工业与信息化部等国家有关部委领导有关互联网发展的重要讲话、论述摘编；第三，中国互联网协会及相关高层领导有关互联网发展的重要讲话、论述摘编。

年度发展述评。对互联网发展的重要主题展开年度发展综述与评论，并对每个主题的年度机构、人物与事件作出简要盘点。内容包括：互联网技术年度述评、互联网应用创新年度述评、互联网安全年度述评、互联网政务年度述评、互联网医疗年度述评、互联网政策法规年度述评、互联网新闻信息年度述评、互联网商务应用年度述评、互联网金融年度述评、互联网投融资年度述评、互联网工业应用年度述评、互联网虚拟运营服务年度述评、互联网中小企业服务年度述评、互联网广告与营销年度述评、互联网推广与普及年度述评、互联网反垃圾信息年度述评、互联网农村信息服务年度述评、互联网科普年度述评、海峡两岸互联网交流年度述评、互联网国际交流年度述评、互联网版权年度述评、互联网影视年度述评、互联网文学年度述评、互联网出版年度述评、互联网体育年度述评、互联网音乐年度述评、互联网艺术年度述评、互联网游戏年度述评、互联网教育年度述评、互联网舆情年度述评、互联网公益年度述评、互联网学术研究年度述评（含年度机构、项目、学者、成果）、互联网行业自律年度述评、互联网组织与社团年度述评（含年度组织与社团）等，以上项目除特别注明外，均含年度机构、人物与事件产品类项。

地区发展综述。对各省（自治区、直辖市）、新疆生产建设兵团、中国香港特别行政区、中国澳门特别行政区、中国台湾地区的互联网年度发展概况展开综述。还可对包括宁波、杭州、厦门、青岛、广州、成都、南京、石家庄、沈阳、济南、武汉、西安等重点城市的互联网发展概况作综述介绍。

重大活动与年度专题。主要介绍当年互联网领域内发生的重大活动和专题性事件。以2015年为例，值得《年鉴》作专门介绍的重大活动与专题包括：世界互联网大会、中国互联网大会、中国网络视听大会、中国互联网“十三五”发展规划、中国“互联网+”战略、三网融合、传统媒体互联网转型（媒介融合）、信息经济、智能终端产业、物联网、智慧城市、电子商务、云计算、大数据等。

政策法规篇。主要刊载当年出台的涉及互联网的法律、法规、部门规章等内容。

先进典范篇。主要刊载互联网机构与人物。互联网机构包括典型互联网企业、年度互联网创业型公司等。先进人物的情况介绍包括全国互联网行业受各种奖励和表彰的先进人物以及逝世人物，有部分人物要做专条介绍。

互联网大事记。按照时间顺序对互联网年度发展作出梳理，介绍重点事件。

基础数据。一些权威数据，包括全国互联网发展水平评估、各省市互联网发展指数、全国互联网发展指数情况比较表、互联网发展指数东中西部地区差距、互联网发展指数增长最快前十名等。

国际资料。专门介绍国际互联网发展动态及相关年度报告，包括全球各国互联网发展概况与总体趋势、国际网络空间安全建设动态综述、全球跨境电子商务报告、国外电子政务发展现状、国际云计算和物联网发展启示、世界各经济体互联网程度排名等。

年度图书与论点。介绍优质互联网主题图书和优秀报刊论文、评论，前者包括新书简介、获奖书介绍、重点书介绍、专题书目等多种形式，后者主要包括互联网主题论文选粹、论文辑揽、论坛扫描、重点评论等内容。

附录。可以刊载与互联网相关的机构名录、排名，包括中国互联网百强企业名单、中国政府网站绩效评估排名、互联网管理机构名录等。

索引。编制便于内容查阅的索引，读者可以通过多种检索途径，便捷地找到自己所需的资料。

3 《中国互联网年鉴》的编纂组织

编纂出版《年鉴》具有重要的学术、出版、社会乃至经济价值，但要充分释放《年鉴》的出版价值，完成《年鉴》从框架设计到编纂出版的执行，离不开编纂组织。

3.1 明晰《年鉴》出版理念

编纂出版《年鉴》不是权宜之计，而是一项长久的系统工程。要实现《年鉴》的从0到1，并实现持续创新，离不开正确理念的指引。

第一，坚持政治的严肃性与正确性。《年鉴》的全部内容都要完全符合党和国家的路线、方针和政策。第二，坚持真实性、科学性。作为互联网编年史册的年鉴，要对历史负责，对后人负责，保证刊载的全部资料和数据都准确无误。资料内容要真实地反映我国互联网发展的本来面目，既不溢美，亦不饰非，经得起历史的检验。坚持科学性，也就是要坚持唯物辩证法，从本质上、整体上和发展上去反映中国互联网的发展。第三，坚持年鉴编纂的六项要求，即“全”“新”“精”“特”“鉴”“便”。“全”就是各个项目齐全，内容完备；“新”就是内容要新，有新鲜感；“精”就是精炼；“特”就是特色；“鉴”就是发挥鉴戒作用；“便”就是方便读者。第四，坚持质量是生命、是基础。务必高标准、严要求，一丝不苟，精益求精。第五，坚持社会效益第一，努力实现社会效益与经济及其他各种效益之间的平衡。

3.2 创新体制，理顺机制

编纂出版《年鉴》是一项具有开创性的复杂的系统工程，也是一项可持续发展的事业。只有明确参与人责权利，充分调动参与人的创造性和积极性，才可能实现永续发展。为此，编纂出版《年鉴》需要探索行政管理部门、行业协会、科研院所与出版单位等所有参与单位协同合作、协同创新的机制，探索形成一种符合现代企业制度的管理体制，构建一个具备产权清晰、权责明确、政企分开、管理科学特征的新型文化企业来独立自主地开展《年鉴》工作。只有建立了能够充分调动积极性、激发创造性的体制机制，才能吸引团结优秀人才参与其中，才能让参与其中的人橹努力工作，这项富有创新意义的工作才能成为一个伟大的事业。

3.3 加强机构与编纂队伍建设

《年鉴》主管单位是国家工业与信息化部，主办单位是中国互联网协会，编辑单位是中国互联网协会下属二级工作委员会――网络文化与新媒体工作委员会，具体执行部门是《中国互联网年鉴》编辑部。目前，《年鉴》编辑部设在网络文化与新媒体工作委员会秘书处挂靠单位――浙江传媒学院。根据工作实际需要，在北京、武汉、广州、西安等全国各地设置采编室。

编撰队伍主要包括学术委员会、撰稿委员会、编辑出版委员会三支队伍。其中，学术委员会主要承担《年鉴》的框架设计与内容审定工作，撰稿委员会主要承担内容的编写任务，编辑出版委员会则具体负责《年鉴》的组稿、编辑加工、装帧印制、发行营销、数据库与网站平台开发、经营管理等工作。通过《年鉴》，一方面汇集专家观点和研究成果，另一方面需要形成开放式办《年鉴》的格局，汇聚专家学者和业内外人士的智慧，构建高端的互联网智库。

3.4 提高《年鉴》的时效性

年鉴作为信息密集的工具书，其时效性尤为重要，这也是年鉴优于其他工具书的重要方面。如果出版周期过长，其参考价值便会降低。据刘平一研究，我国年鉴出版一般要晚10个月左右，更有甚者晚出两三年[2]。这就提示《年鉴》要切实提高时效性。按照规划，《年鉴》是按年度连续出版的工具书，出版周期为一年。力争在每年7月份公开出版上一年的《年鉴》，将出版滞后期控制在7个月。这就要求提高协同编纂效率，加快撰稿、编辑、审校、印制、出版、发行的节奏。《年鉴》刊载的内容要以动态信息为主，主要记录上一年度互联网领域发展的重大事件，同时辅以少量静态内容，补充历时性或背景性的资料。

3.5 开展全媒体与全版权运营

互联网环境下办《年鉴》，要摈弃仅仅出版纸质版本图书的狭隘模式，要以互联网的思维构建全媒体运营的格局。

从语言角度看，《年鉴》以汉语为主要语言，面向国内外公开出版。要积极创造条件开展版权输出，开拓海外市场，条件成熟时考虑出版其他语种版本。

从载体形式看，近几年内《年鉴》还是以纸张为主要载体（推出简本、平装本、精装本等不同形式），同时配以光盘。不过，在数字化环境下纸质《年鉴》应该是数字化《年鉴》的延伸，且只是《年鉴》的版本之一。为此，从一开始就要做好顶层设计与综合规划，统筹建设《年鉴》的网络平台、数据库、资源库及自身的社交媒体账号。出版纸质版、光盘版的同时，要及时开通专门的中国互联网年鉴网站、社交媒体账号乃至客户端。不仅要有图文形式的图书，还要有音视频的内容，实现网络化、数字化及大数据的形式创新，开展全媒体与全版权运营。

互联网的内涵丰富，涉及面广，一本互联网年鉴很难充分反映互联网行业的全貌。随着编纂队伍的壮大与保障条件的完善，未来还可以考虑推出分行业、分地区的系列《年鉴》，如《中国互联网年鉴・金融卷》《中国互联网年鉴・教育卷》《中国互联网年鉴・政务卷》《中国互联网年鉴・天津卷》《中国互联网年鉴・浙江卷》等。如此，可逐步形成门类齐全、能充分满足实际需要的互联网年鉴群。

3.6 精心选择条目

条目是《年鉴》内容的基本单位。总体而言，《年鉴》条目选择要遵循客观性、权威性、典型性、实用性原则。客观性原则，是指材料必须忠实于互联网发展的本来面目；权威性原则，是指材料必须来自于权威部门，结论必须是正式、公认的；典型性原则，是指在能够说明问题的众多材料中，选取那些有特色的典型资料；实用性原则，是指满足读者需要，以保证《年鉴》具有“服务当下，遗惠后人”的强大功能。

具体而言，《年鉴》条目选题要做到“大事不漏，小事不收”。凡属大事、新事、特事、热事必选，反映《年鉴》所反映的中国互联网发展的本质与主流，反映中国互联网发展年度特色、地域特色和部门（行业、学科）特色，使年鉴信息具有实用价值、鉴戒价值和史料价值。这要做到“为大事、新事、特事、热事立条”。所谓“大事”，是指代表中国互联网本质和发展主流，对中国互联网发展进程有重大影响，为社会公众普遍关心的事。所谓“新事”，是指代表中国互联网发展新阶段、新水平，昭示互联网发展方向，具有推广价值的事。所谓“特事”，是指最能代表中国互联网发展特色的事。所谓“热事”，是指在中国互联网领域发生的热点事件和热门话题。

3.7 认真撰写条目

条目的撰写直接决定着《年鉴》的质量和水平。《年鉴》条目撰写要做到：（1）主题鲜明、精炼。以正确、鲜明、深刻、集中的主题贯穿整个条目始终，统帅全篇，支配选材，布局谋篇，遣词造句，修改润色。（2）内容全面、重点突出、详略得当。条目是一个完整的信息资料体系，构成条目的内容要素不能缺少，应全面地反映主题，但不能面面俱到，要主次分明、详略得当。（3）结构严谨。从表现主题的需要出发，对材料进行周密的组织和妥善的安排，使条目成为层次清楚、线条明晰、前后一致、首尾相合的有机体。（4）语言贴切、简练朴实。用词恰如其分，造句合乎规范，语义准确明白，用最少的文字表达最多的内容，删繁就简，惜墨如金，简明流畅，质朴无华。（5）开门见山，直陈其事。切忌夸张、形容、套话、空话之类的言词，挤掉水分，增加信息量。

3.8 优化表现方式

《年鉴》栏目的调整、充实，既要保持年鉴的属性，又要突出互联网行业的特点，使《年鉴》不仅具有资料性、存史性，更体现信息性，努力做到常编常新。《年鉴》刊载的文献以综述、述评为代表的三次文献为主，同时兼顾一次文献和二次文献。《年鉴》应采用类型多样的资料，不拘泥于单一的文字，而是以条目文章为主，充分利用图表、大事记、书目、文摘、名录、照片等多种资料表现形式、兼收并蓄，以增强《年鉴》可读性。尤其是要重视图表和照片等非文字内容。图、表和文字三种形式各有所长，搭配使用，可美化版面、充实内容、扩大信息量。图片包括新闻图片和示意图，给人以鲜明的印象。表格具有眉目清晰、直观性强的优点，可以省去许多说明性的文字；表格还可以逐年积累，形成系列，具有较大的统计总结作用。未来还可以考虑采用二维码链接、音视频、虚拟现实、增强现实、3D打印、信息隐藏等新技术来呈现《年鉴》内容。

3.9 践行社会责任，做好发行营销

年鉴类出版物在我国出版市场普遍销量不佳。《年鉴》出版要实现以社会效益为先的社会效益与济效益双丰收的格局，除了在内容上下工夫外，还需要践行社会责任，做好发行营销。践行社会责任是彰显《年鉴》社会影响力的重要措施。条件成熟时可设置专项奖学金、奖教金、奖研金，以奖励互联网相关专业的优秀学子、优秀教师和研究人员。

发行营销是彰显《年鉴》社会影响力的重要保证。除了贯彻落实上述措施外，可以尝试：第一，强化总结与的年度特点、年度趋势、年度大事、年度人物，把《年鉴》变成新闻，增强社会影响力。第二，借助像世界互联网大会、中国互联网大会这样的大型活动平台，做《年鉴》的与营销策划。第三，借助广电媒体、网络平台举办《年鉴》活动等。

注释

[1]中国互联网协会协函[2016]4号《关于授权编辑出版〈中国互联网年鉴〉的函》（2016年1月7日）；中国互联网协会协函[2016]17号《关于同意常设〈中国互联网年鉴〉编辑部的复函》（2016年4月5日）。

信息的鉴别与评价篇9

摘要：由于当前中小学生信息技术技能评价方式的不足，需要我们在多元智能环境下来研究适合多元化学生主体的全面与多元的评价方式，为中小学发展学生的信息技术技能，提高学生的信息素养提供借鉴。

关键词：多元智能理论；多元智能评价观；中小学生信息技术技能；评价方式

一、多元智能理论的评价观

（一）、关于多元智能理论

基于多年来对人类潜能的大量实验研究，美国哈佛大学教授、发展心理学家加德纳在1983年出版的《智力的结构》(Frames of Mind)一书中提出了一个新的智力定义，即“智力是在某种社会或文化环境的价值标准下，个体用以解决自己遇到的真正难题或生产及创造出有效产品所需要的能力”。

根据上述新的智力定义，加德纳提出了关于智力结构的新理论——多元智力理论。这一理论认为，就其基本结构来说，智力是多元的，它不是一种能力而是一组能力，这组能力中的各种能力不是以整合的形式存在而是以相对独立的形式存在。

（二）、多元智能的学生观

根据多元智能的观点, 大多数人都具有完整的智能，但每个人的认知特征又显示出其独特性，在八种智能的各个方面每个人所拥有是不同的，八种智能的组合与操作方式各有特色。相对应的每一个学生也都具备了足以胜任日常生活的能力,而这些能力的评估,往往很难只靠学校教育中的传统纸笔测验就可以获得。每个学生的智力都是多元的，所以评价必须是全面的；不同的学生智力不同，评价就应该有差异；而且每个学生的差异不一样，评价方法也是多元的。传统评价观有着一定的局限性，每个人都有其独特的智力结构和学习方式，对所有学生采取同样的教材和教法，同样的评价标准和方法就是不合理的

加德纳倡导“以个体为中心”的多元智能学校教育理论，其有如下几项原则：

1、学校教育必须以学生为本，学校教育的每项改革必须以学生的学习和发展为最大效益；

2、所有学生都有能力学习，具有多元智能和不同的发展潜质，学校教育应为每一个学生提供均等的发展机会，建构一种可选择性的教育以适合不同学生的不同潜质、不同学习方式和不同发展需求；

3、学校教育必须以合作的方式和家庭、社区建立密切的关系，以保证学生有机会获得广泛的学习与发展经验，使学生的学习与自身的生活建立真实而完善的联系。而长期以来，我国的学校教育与评价偏重于培养和发展学生的语言和数理逻辑能力，强调语文和数理化等学科的教学，而忽视学生其他能力方面的开发培养，从而贬低了其他认知方式的重要性。因此，学生的多种智能在传统的学业方面未能受到重视，一些学生的特长难以被发现，这对于学校和社会都是巨大的人力资源损失。

（三）、基于多元学生观的多元评价观

多元智力理论为我们定位积极的学生评价观提供了一个理论的新视角——摆脱标准化测验,转变学生评价机制,对学生进行多元评价,使得学生的各种智力都得以开发。

首先，我们要明确评价学生的目的，是为了进行鉴别、选拔，还是促进学生智能的发展？传统的评价观以预定的教育目标为中心来设计、组织和实施评价，并常常使用终结性评价来判断学生的优劣，其目的就是为了对学生进行鉴别和选拔。通过学生评价，让鉴别出来的“好”学生，进一步学习，而对“差”学生，则认为没有深造的基础，进而剥夺他们进一步学习的权利。而“多元智能”理论则认为，评价学生的目的在于发展学生智能，评估有责任为学生提供有益的反馈，使学生认识自己智能的优劣，进而采取针对性措施弥补自己的劣势，发展自己的优势。由于在解决特定问题时各种智能都起一定的作用，是靠整体智能水平完成的，因此评价目的不仅要促进学生各种智能的发展，更要促进学生智能组合的整体提高。

其次，对于学生的评价，能否正确地预测学生未来的发展？传统评价主要测试学生语言智能和数学逻辑智能的发展水平，很少估计其他智能的发展，因而必然缺少科学的预见性。实际生活中，许多在校学习成绩好的学生，在踏上工作岗位后，却业绩平平；而不少当年学习成绩差的学生在事业上却成为开拓者和成功者。“多元智能”理论认为，采用适当的评价方法，在一定程度上能够预见学生未来的发展。从“多元智能”理论研究的基础看，它是从解决现实问题开始的，它探讨人类在解决实际问题中所具有的智能，并通过研究这些智能，对学生智能的发展给予恰当的预测，通过预测，为学生提供更适合自己的课程，以促进他们更好地发展。同时，“多元智能”理论还反对过早地给学生下结论。学生也许具有发展某种智能的潜能，也许还没遇到合适的环境，一旦条件成熟，学生曾经表现平凡的某种智能就有可能会迅速发展成为优势智能。

第三，多元的评价方法有哪些呢？传统的智力测验过分强调语言和数理逻辑方面的能力，只采用纸笔测试的方式，过分强调死记硬背知识，缺乏对学生理解能力、动手能力、应用能力和创造能力的客观考核。因此是片面的和局限的，它不能真实、准确地反映学生解决实际问题的能力。多元智能理论提倡，智力和教育测验应当通过多重渠道，采取多种形式，在不同的实际生活和学习情境下进行；而教师也应该从多方面观察、记录、分析和评价每个学生的优点和弱点，并以此为依据设计和采用适合学生特点的不同的课程、教材和教法，帮助学生“扬长避短”。重视学生不同侧面的智力，而且应拓展发展智力的空间，尽可能地发掘每一个人的潜在能力。当每个人都有机会挖掘自身的潜能而高效地学习时，他们必将在认知、情绪、社会甚至生理各方面展现出前所未有的积极变化。需要指出的是，多元智能理论并不是对传统教育的简单否定，而是一种扬弃。多元智能理论为我们理解智能和教育的关系提供一个新的视角。不同教育理念的渗透和整合，将为我国教育改革开辟广阔的道路。

二、现有中小学生信息技术技能的评价方式

在中小学开设信息技术必修课，是社会发展的必然要求，它为终身教育奠定了基础。所以信息技术课的开设不仅仅是为了教会学生一些计算机基础知识和操作技能，更重要的是增强学生的信息意识和创新精神，培养学生的自学能力和创新能力，增强学生独立意识和协作精神，让学生认识到信息技术的工具性和综合性,且逐渐提高收集信息、处理信息、交流信息、运用信息的实践能力。

而实际情况是在中小学信息技术教育中，强调信息技术的基础知识教学和学生对有关软件系统的学习操作，现存的明显不良倾向就是把信息技术教育理解为计算机理论知识课，或局限于引导学生操作相关软件，强调单纯的技术技能培训，视其为纯工具性的课程。在具体教学操作上出现了按学习一门学科的老办法去教，片面强化基础理论知识的传输和有关电脑软件使用方式，甚至强迫学生去记忆背诵有关概念理论，并围绕狭窄的知识点去考试，而这些考试只能考查学生知道什么，不能考查学生能做什么；只能考查一般的基本技能，不能考查学生发展的高级思维技能，忽视了对学生以后的工作、学习有重要价值的方法和能力的获得的考查。这显然没有正确理解中小学开展信息技术课的意义及其目标任务，使该门课程的教育价值未得到应有发挥。信息技术教育应是学生的创造过程和动手实践过程，其目标就是设置最佳的教学情境，通过有效教学使学生成为出色的终身学习者和未来劳动者，成为一个有信息素养的人。而信息素养，它包涵着学习和应用信息技术的意识和兴趣、信息技术的基础知识、信息能力（读取、甄别、组织、评价、运用和创造信息的能力等）和信息伦理道德观。

因此，中小学信息技术教育绝非纯工具色彩意义上的课程，要求学生掌握的信息技术技能也不仅是学生对各种操作系统理解，而是培养素质能力以适应创新的社会，对于学生的评价决不能只局限于重结果不重过程的书面作业和考试。

三、多元智能理论环境下中小学生生信息技术技能评价

那么什么样的信息技术技能评价方式才是科学全面的呢，又有哪些基本原则呢？体现在多元智能方面的主要是：评价要多元化

多元化评价就是从多方面以各种不同方式对学生进行多次评价。这种多元化评价表现为1.评价内容的全面化。对一个学生的各种智力因素全面评价，如探索的积极性，操作技能，新颖的设计能力、审美能力、组织能力等等。2.评价的多次化。由于中小学生各方面的能力均有待于发展，其表现具有不确定性。由于每次课程学习的内容不同，每次课的项目设计计划不同，学生智力因素的不同，再加上学生主观上的因素，那么每个学生在每个活动项目上的表现不会完全一致。所以，为了让每个学生都有充分的机会表现其各自的学习方式和学习能力，就应该增加评价的次数。 3.评价方式的多样化。对学生学习过程中的书面作业、实践作业、项目制作、课题讨论、小型调查研究等各种形式进行考评。总之，考评的多元化才能为学生和教师提供较为客观的反映。

现有的一些从学生多元智能出发，相对于传统的评价方法比较全面而合理的评价学生信息技术技能的方式如下：

1. 表现性评价

表现性评价是一种多元化的评定方式，利用构建反应题、作品选等形式评定学生的学习，促使他们在学习过程中，不仅要掌握信息技术的基础知识和基本操作技能，而且要通过获取、辨别、分析、处理信息提高自己的信息素养。

在信息技术课程中应用表现性评定考查学生，可以采取纸笔测试和评定电子作品集两种形式。评定的内容要根据教学大纲及本校的条件而定，一般情况下，纸笔测试包括选择（单选、多选）、填空、简答等。而电子作品是指所有应用信息技术开发的作品。例如，演示文稿、制作的网页、编制的小软件等都属于电子作品，是教师和学生在一定教育目标的指导下自己进行创新思维和问题解决的学习活动，并运用信息技术表达的成果汇集。电子作品集收集的作品是能代表学生自己水平的平时作业，包括草稿、修改稿和最终的作品，要求学生完成作品后，进行自我评价，并说明选择该作品的理由。电子作品集是学生根据所学的信息技术知识，综合运用各种能力如创新能力、实践能力等的成果。学生电子作品集的评定是纸笔测试的延伸，使用它能更全面地评价学生，能对他们今后的工作和学习产生积极影响。

电子作品集的评定一般根据教育评价的专业知识、评价目的、电子作品构成、学生年龄特征、前人的研究成果等制定，设计出不同的等级。电子作品是学生能力的集中体现，因此要采用分析型评分。这种评分能指出学生在哪方面能力突出，哪方面尚需提高。在分析型评分中，每一条标准都被单独评定，分别记分，它提供给教师的是学生表现的各个侧面。

表现性评定是一种全新的评定方式，它代表了一种全新的评价理念，在教育教学中的应用将给整个的教育带来变革，但是表现性评定尚有许多领域需要进一步地研究和探索。然而，在信息技术课程中的应用带给教师和学生的积极影响将是不可低估的。

2. 综合性评价

综合性评价重视对学生动手操作能力和创新能力的考查，不像传统的学科考试那样只是重视知识的记忆、理解和简单应用。在对学生进行综合评价时，重视学生学习的过程，是不是发挥了他们的智力特长，是不是对于其他弱势智能也有一定的促进和提高。

综合性评价有这么一些原则：强调评价对教学的激励，诊断和促进作用，弱化评价的选拔和甄别功能；发挥教师在评价中的主导作用，同时创造条件调动学生参与到教学评价中来。信息技术的评价不仅要注重教师在评价中的主导作用，还要尽量调动学生参与评价，通过自评、小组互评及教师评价，引导学生学会自我总结和自我反思，学会欣赏他人的作品，学会接受他人的意见，学会交流与沟通等等智力能力；评价应关注个体差异，鼓励学生的创造实践。信息技术教学评价应以人为本，充分关注学生个体间的差异，充分调动和激发学生的创作热情。在评价过程中，不能仅仅重视知识的记忆和积累，更要鼓励学生开展作品创作，在完成作品的过程中培养学生的设计、规划和创造智能；信息技术教学评价应当贯穿于整个教学过程之中，不应当仅仅是一个结论性的评价。信息技术教学的目标分为知识与技能、过程与方法、情感态度与价值观等，多元的教学评价就应该全面地对以上诸方面进行评价。

四、充分运用多元智能评价观的关键是评价观念的转变

根据多元智能理论，在对信息技术技能的评价中，评价功能上，要以促进学生发展为目标，学生要掌握的不仅仅是课堂上老师操作示范的软件运用，而是自己探索如何去学习运用；在评价手段上，要多一些评价的标准，不同的学生智力偏重不同，就不能按一种标准来要求所有学生，要使不同智力的学生，发挥自己的智力特长；还有评价时要注重过程、实际应用与学生体验，要注重学生实践能力与创新精神，而不是会考，期中考等等一些书面的要求。

多元智能的评价是一个动态的整体的过程，它不仅发生在教育教学活动之后，而且也伴随和贯穿于教育教学活动的每一个环节。在新课程改革中，评价应更多地关注评价对象在各个时期的表现和进步状况，通过关注“过程”而促进“结果”的提高。这种转变有利于改变我国中小学课程评价主体单一的现状，加强各类评价主体之间的互动，可以使评价信息的来源更丰富，从而使评价结果更加全面、真实，也有利于促进中小学生的自我发展能力和个人合作能力的发展。

五、结语

随着知识经济对人的基本素质要求的不断提高，对学生的评价不再局限于传统教育所特别重视的语言与数理逻辑能力，而更强调能力的多元性，重视知行统一，重视实践与创造。20世纪90年代以来，随着我国素质教育的推行，学生评价的范围也日益拓宽。鉴于此，本文探索了多元智能环境下，对中小学信息技术技能的评价的新方式，希望对于中小学的信息技术的评价观念具有一定的借鉴意义。

参考文献

1、梁亦明.中学信息技术可过程性评价的探索[J].

信息的鉴别与评价篇10

【关键词】内部控制鉴证; 问题; 对策

一、引言

近年来,企业内部控制日益受到重视,2008年6月28日,财政部、证监会、审计署、银监会、保监会联合了《企业内部控制基本规范》。执行本规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。这部被专家称作中国版萨法的颁布,意味着中国企业内部控制规范体系建设将取得重大进展。但由于企业在内部控制设计层面、执行层面都存在一定的问题,而内部控制鉴证不仅可以帮助企业完善内部控制建设,同时也有利于监管部门从企业外部对其内部控制进行监督,从而规范资本市场运作,保护投资者利益。随着资本市场的发展,利益相关者对内部控制鉴证业务的需求将呈现扩大趋势。

五部委就若干配套指引向社会公开征求意见,其中即包括中国注册师协会制定的《企业内部控制鉴证指引(征求意见稿)》(以下简称“鉴证指引”)。由于该指引尚处于征求意见稿阶段,有些问题还存在分歧,企业和相关单位在开展内部控制鉴证工作时仍存在很多障碍。

二、内部控制鉴证发展的制度背景

(一)内部控制鉴证在美国的发展

21世纪初,安然、世通等舞弊事件的发生,极大地动摇了投资者对资本市场的信心。为强化上市公司的责任,美国国会于2002年7月《萨班斯―奥克斯利法案》的302和404条款规定,公司首席执行官、首席财务官或类似职务者必须书面声明对内控设计和执行的有效性负责,并要求随定期报告一同对外披露管理层对内部控制的评价报告,该报告还需经注册会计师鉴证。这标志着美国公司管理层的内部控制报告由以前的自愿性披露改为强制性披露。

美国公众公司会计监管委员会(PCAOB)于2004年3月审计准则第2号《与财务报表审计结合进行的财务报告内部控制审计》(AS2),就鉴证财务报告、内部控制评估报告作出详尽规定,并提出了将两者整合鉴证的理念。至此,现代审计也全面走进财务报告鉴证与内部控制鉴证并重的新时代。自AS2实施以来,PCAOB一直密切关注其进展情况,关注结果显示,AS2的部分条款存在问题,于是,PCAOB于2007年审计准则第5号《与财务报表审计整合的财务报告内部控制审计》(AS5)取代AS2。AS5的主要目标是要求审计师能够将审计资源重点投向高风险领域,同时力求内部控制重大缺陷在导致报表重大错报前被发现。

(二)内部控制鉴证在中国的发展

中国对内部控制开展鉴证最初来自于证监会的要求。在2001年以前,内部控制鉴证业务的需求主要局限在拟公开发行证券的商业银行、保险公司和证券公司等金融领域,而后证监会以信息披露内容与格式的形式要求,将对内部控制鉴证扩大到了在境内申请首次公开发行股票并上市的公司以及申请发行新股的上市公司范围。

从上世纪90年代后期起,我国相关证券和金融监管法规开始要求聘请会计师事务所对相关企业内部控制进行独立鉴证或评价。2002年2月,为了规范注册会计师执行内部控制审核业务,明确工作要求,保证执业质量,中国注册会计师协会颁布了《内部控制审核指导意见》。当时理论界和实务界以及管理当局在内部控制鉴证性质界定、评价标准、评价内容以及评价涉及的时间范围等方面都存在较大争议。《指导意见》虽然在技术层面对内部控制鉴证给予了指导,但距离监管层、投资者对内部控制鉴证的本质需求还有差距。

从2002年至今,我国证券金融监管法规已有了很大的变化,内部控制规范建设也取得重大进展,特别是《企业内部控制鉴证指引》(征求意见稿)的颁布,对注册会计师进行内部控制鉴证提出更高要求的同时,也为内部控制鉴证提供了操作层面的规范指南。

三、上市公司内部控制鉴证的现状及问题

(一)上市公司内部控制鉴证披露现状

社会公众对上市公司内部控制鉴证具有强烈的需求,上市公司内部控制鉴证有助于帮助预期使用者作出经济决策;有助于证券监管部门的监督和管理;有助于增强财务报告的可靠性并防止企业重大舞弊等。

目前我国监管机构要求上市公司披露内控信息,而对内部控制鉴证报告未作强制性披露要求(IPO公司除外),即我国上市公司内部控制鉴证报告仍属于自愿披露范畴。据林斌、饶静(2009)统计,2007年沪深两市有186家A股上市公司自愿披露了内控鉴证报告,而且审计师出具的内控审核评价意见均为无保留意见,认为被审单位与财务报表相关的内部控制在所有重大方面是有效的;同时发现质量越好的公司越有动力通过对外披露鉴证报告向市场传递其优质的信号。

(二)开展内部控制鉴证存在的问题

中国在加强内部控制建设、开展内部控制鉴证的过程中存在很多问题和障碍,对这些问题的正确认识有助于相关执行者改进和完善内部控制鉴证工作,使其更好地发挥保障作用,进而避免财务舞弊事件的发生。目前开展内部控制鉴证存在的问题主要表现在以下几方面:

1.内部控制鉴证规范的法律级次低。《公司法》和《证券法》没有明确要求公司建立有效的内部控制及其鉴证制度。目前,证监会主要通过规范性文件的形式要求进行内部控制评价,如《公开发行证券的公司信息披露编报规则》和《公开发行证券的公司信息披露内容与格式准则》,2006年上海和深圳证券交易所分别《上市公司内部控制指引》,要求从2006年年度报告起披露管理层关于内部控制的自我评价报告,并由会计师事务所发表评价意见。

2.内部控制鉴证标准缺失。中国从20世纪90年代末开始推行企业内部控制制度。由于条块划分和行业限制,不同的监管部门出台了不同的内部控制监管规则,对内部控制的定义和内容的规定也各不相同。直到2006年7月15日,财政部、国资委、证监会、审计署、银监会、保监会联合发起成立企业内部控制标准委员会,才开始制定中国规范统一的内部控制标准体系。而笔者认为,《企业内部控制鉴证指引》只是一般性指导意见,将其作为注册会计师广泛实施上市公司内部控制鉴证业务的执业准则还有待商榷。内部控制鉴证首先需要一套评价标准,中国到现在还没有形成一套内部控制鉴证的标准体系,严重制约着中国内部控制鉴证的发展。

3.内部控制信息披露机制不健全。中国内部控制信息披露机制尚不完善,目前中国大多数公司属于自愿披露内部控制鉴证报告,由于中国大部分上市公司不要求强制披露内部控制信息,所以对内部控制信息进行鉴证就缺乏必要的动力与强制性。要提高资本市场的透明度,就必须强制内部控制信息的披露,同时强制进行内部控制鉴证。

4.内部控制鉴证工作环境较差。企业内部控制鉴证是在经济发展过程中产生的,也必然会受到经济环境的影响,这就加大了内部控制鉴证的执业难度。现在中国内部控制鉴证的法律体系尚不完善,如审计执法、取证的强制措施规定较少;经济处罚权受到相应法律、法规的约束;此外,注册会计师相关执业能力有限也给内部控制鉴证工作带来了一定的困难。

四、上市公司完善内部控制鉴证的举措

基于目前国际经济危机的大环境,结合中国内部控制鉴证的现状和问题,笔者现对完善中国内部控制鉴证业务的具体举措提出建议:

(一)确立内部控制鉴证制度法律法规地位

针对相关内部控制鉴证制度法律级次较低的现状,应当在借鉴国外立法和实践经验的基础上,尽快制定强制实行内部控制鉴证的法律法规,或者在相关法律法规如《公司法》和《证券法》中对管理层报告内部控制,以及会计师事务所针对管理层关于财务报告内部控制有效性评价实施鉴证等提出明确要求。

(二)建立内部控制鉴证业务的执业准则

随着《基本规范》的正式,以此为纲领的中国企业内部控制的标准框架将逐步建立起来,尽管《鉴证指引》目前尚存在不尽成熟完善之处,但这仅是发展中的过程。未来经征集各方意见修正的《鉴证指引》的实施,必将成为中国注册会计师内部控制鉴证业务快速发展的重要推动力量。

(三)规范内部控制鉴证报告的披露

随着中国上市公司内部控制体系建设的不断完善,应该强制要求所有上市公司披露内控报告及其鉴证报告,以使利益相关者能够借助该报告判断公司的管理情况和财务报告质量,同时督促上市公司强化内部控制并借以减少重大财务错弊。其他非上市公司,可由其投资者、债权人等利益相关者决定是否对外提供内控报告和注册会计师的独立审核意见。

(四)提升注册会计师相关执业能力

随着内控报告鉴证业务的不断深入开展和完善,注册会计师需要不断提高自身素质,更好地进行内控报告的鉴证工作。目前,国内会计师事务所还缺乏评估内控制度的专门人才。因此,会计师事务所要加强员工的继续教育培训,审计人员应深化对内控报告鉴证业务的执业内容以及评价标准的掌握,学习国外开展该项业务的先进经验,不断增强自身的专业素质。

【参考文献】

[1] 谭宪才,谢刚.我国内部控制鉴证业务的发展及思考[J].中国总会计师,2009(4).

[2] 唐宇,陈广垒.美国内部控制鉴证制度的演变及其对我国的启示[J].新理财,2007(11).

[3] 林斌,饶静.上市公司为什么自愿披露内部鉴证报告?[J].会计研究,2009(2):45-52