国外审计动态Word下载.docx
- 文档编号:19819921
- 上传时间:2023-01-10
- 格式:DOCX
- 页数:10
- 大小:24.64KB
国外审计动态Word下载.docx
《国外审计动态Word下载.docx》由会员分享,可在线阅读,更多相关《国外审计动态Word下载.docx(10页珍藏版)》请在冰豆网上搜索。
美国审计署已评估即将成为可能的传染病快速诊断技术,以及纳米制造业在人类健康方面的应用。
目前该署正在调查人工智能对卫生保健的影响。
●国土安全。
美国审计署已检查保护铁路客车的爆炸物侦测技术,以及生物统计学在边境安全的应用。
二、关注网络安全
联邦机构和国家重要基础设施,如能源、运输系统、通信和金融服务系统等,都依靠网络信息系统和电子数据,来运营、处理、维护和报告基本信息。
美国审计署在网络安全方面做了以下工作:
●重要基础设施保护。
美国审计署致力于保护国家重要基础设施,包括金融市场、通讯行业、国家领空系统、电网、石油和天然气输送管道等领域。
●联邦信息系统。
美国审计署评估关键联邦机构如国税局和国土安全部的网络安全。
●隐私。
新兴技术如物联网和人工智能带来个人隐私泄露风险,私营部门通过社交媒体、政府项目(如联邦学生援助和医疗保险)来收集和运用个人信息。
美国审计署评估联邦应对这些风险、保护个人隐私的工作。
3、审查联邦科技项目的管理
美国审计署评价联邦研发管理和协调工作,包括对科技设备(如大型太空望远镜和科学考察船)和新兴技术(如合成生物学和量子计算技术)的投资。
●国防。
美国审计署审查复杂武器系统如哥伦比亚级弹道导弹潜艇、军事空间系统和边境安全工程的技术准备情况评估和工程执行整体情况。
●太空。
美国审计署评价联邦用来维护和监督公共通讯的军事和民用卫星的程序工作。
美国审计署评价各种各样新兴的和成熟的技术应用,包括再生能源、民用核能以及危险废弃物地点的清理等。
●核能。
美国审计署评价核武器和导弹以及装载和传送它们的飞机和军舰等的维护管理的工作程序、基础设施、技术准备情况和运营情况。
美国审计署评价应对新型传染病的新技术,如能在位于或靠近患者的地理位置附近,就可同时诊断多种传染病的技术。
该署还评价人类健康、疾病防疫和卫生保健等方面的新技术的影响。
●科学和创新。
美国审计署评价工作程序以促进创新,如审查联邦对高级制造业协会的资助,还评价联邦知识产权的保护政策和基金。
4、进行趋势研究
在美国审计署的战略规划中,也已阐述了即将改变人类社会的五项新兴技术和科学前沿。
在今后的工作中,美国审计署将关注这些新科技。
(一)基因编辑。
该技术用来制造特定的和策划的新品、删除或改变遗传物质。
它包括:
●预防、治疗或治愈医学难题。
●创造非计划中的和无法预料的人类基因变化。
(二)人工智能和自动化。
人工智能将会:
●生产能执行更复杂任务更智慧的机器。
●通过减少工作机会损害就业市场,同时又创造新的要求新技能的工作机会。
虽然人工智能的应用不断发展,但在未来20年内,美国审计署预料不会出现能媲美人类智慧的人工智能技术。
(三)量子信息技术。
该技术运用原子或分子的反应来获得和处理信息,这是现在的计算机系统无法做到的。
量子信息技术将会彻底改进信息的获取、处理和传递情况。
(四)智力/虚拟现实。
●人机接口:
该技术将人脑与外部装置连接起来,例如创造能帮助视力缺失或听觉障碍人士的可植入变体,这样的研究一直在进行着。
●虚拟现实:
通过某个装置,例如智能手机上的照相机,将数字影像添加到对真实世界的反映中去。
这是娱乐、教育和卫生保健等行业的新趋势。
(五)加密货币和区块链。
加密货币,即非政府发行的虚拟币,这种货币是价值的数字化代表,它们用一个叫区块链的公共账户在线运营和核实交易。
加密货币试图:
●从匿名和低交易成本中获益。
●增加障碍,使洗钱和其他金融犯罪难以察觉。
区块链则将:
●重塑金融业。
●随着量子信息科学的分支——量子计算技术的发展而产生较多安全缺陷。
5、相关关键问题的实例
(1)《信息技术管理的最佳实务和领先实务》。
美国审计署发表的《信息技术管理的最佳实务和领先实务》主要内容如下:
信息技术(IT)管理要求在IT战略规划、事业架构、IT投资管理和信息安全等方面夯实基础。
1.IT战略规划。
IT技术的发展不断改变政府机构工作方式,导致政府机构亟需对如何管理IT进行战略规划。
各机构应该:
(1)以文件形式记录IT战略规划过程,至少包括以下两点:
●全机构IT资源的职责和义务。
●该机构定义信息需求的方法,研发满足这些需求的战略、系统和功能。
(2)以文件形式记录该机构将其IT管理的运行和决策与其他组织工作进行整合的过程。
这些组织工作包括组织规划、预算、财务管理、人力资源管理和程序决策等等。
(3)将信息安全管理过程与战略和运作过程进行整合。
(4)创立一个承担所有IT相关开支及结果的机制。
(5)准备一份全机构范围的IT战略规划,该规划至少应该:
●描述IT活动及相关资源怎样帮助该机构完成使命和任务。
●识别出一个主要IT收购事项或该事项任何时期或其增长情况严重偏离原定的成本、绩效和计划目标的情况。
(6)保障IT战略规划支持该机构的总体战略规划且利于实现机构使命,主要通过以下两点实现:
●描述IT怎样支持战略目标和程序目标。
●判断实施《联邦信息安全现代化法案》(FISMA)要求的信息安全程序规划所需要的资源和时限。
(7)有一个备有证明文件的目标过程,主要用来:
●发展IT目标以支持机构需求。
●比照这些目标,衡量业绩。
●为实现这些目标分配任务和职责。
(8)设立目标,该目标至少应提出IT怎样有利于:
●工作产出能力。
●效率。
●效果。
●为公众服务(如果适用的情况下)。
(9)设立IT绩效考核以证明IT怎样朝着机构的宗旨和战略目标发展。
(10)每年酌情阐述运用IT改进机构工作和服务所取得的成就。
这应是预算申请书的内容之一。
(11)以本机构IT管理过程为基准,将其与类似公共组织和私营组织的IT管理过程和/或这些组织的成本、速度、生产率以及产出和结果质量的过程相比较。
2.事业架构。
事业架构(EA)指的是一个定义明确的组织蓝图,它解释业务工作和IT软硬件的关系。
有效运用事业架构能提供清晰、综合的组织画像,包括现状分析、设立的目标以及本组织实现目标的路线图。
成功的组织都在改变或更新系统时运用事业架构。
各机构应该完成《事业架构管理完整的框架》里所描述的步骤,包括:
(1)培养事业架构意识。
●提高对于事业架构价值的认识。
(2)建立事业架构制度保障机制和导向。
●通过在政策上为事业架构发展打基础,确保管理者们拥有此架构,以筑牢事业架构工作的基础。
●通过事业架构执行委员会建立领导机制,批准事业架构目标,积极扩大业务范围,任命和授权给首席架构师。
●建立管理概念,考核绩效和维护责任。
(3)为事业架构发展和应用创造管理的基础。
●成立承担事业架构日常工作的办公室,确保它们的领导地位、资金来源、必备的办公条件和人力资本。
●研究管理和执行事业架构工作所必需的核心计划和流程。
(4)研究最重要的事业架构是怎样的。
●在事业架构研发中吸引利益相关者的参与,实施人力资本计划。
●整合已有的资源和工具,实施事业架构管理计划和待办事项,以达到完善的架构为目标。
●运用可行的工具、计划和安排,来开发部分架构。
●向执行委员会评价和报告业绩。
●及时识别和指出事业架构发展的风险。
(5)为达到结果目标而实施和运用最重要的事业架构。
●获得执行委员会对事业架构的支持。
●运用核准的事业架构来指导和约束资本投资选择和控制决策——如运用事业架构来识别潜在的重复和重叠,报告新投资的选择。
●向执行委员会评价和报告不同因素,包括事业架构产出的质量、投资的适应性、下级架构的序列以及结果和效果。
(6)在制度变革中发展和推动事业架构及其运用。
●将事业架构的范围推广到全组织;
保障其在组织内全系统一体化。
●持续保持架构产出力,获得领导同意对组织事业架构进行重要变革。
●对架构产出力,由独立第三方进行客观评价,将评价结果向首席架构师和执行委员会报告。
(7)持续改进事业架构及其运用,以实现组织最优化。
●聚集于持续改进事业架构系列产品的质量,改进控制其发展、维护、使用的人员、过程和工具。
3.IT投资管理。
IT项目能显著改善组织绩效,但也可能耗资不菲、有一定的风险甚至是徒劳的。
通过实际的高效的IT投资管理,机构可以最大化IT投资价值,减少IT采购风险。
正如《高效的IT投资管理指南》中阐述的,各机构应该:
(1)培养意识。
●提高对专业投资管理的重要性的认识。
(2)打好基础。
●成立投资审查委员会,明确其成员资格、政策、工作、任务、职责和权力。
●对于每个项目,研究交易的具体情况,明确该IT项目的关键发起人、客户(或最终使用者)以及商业需求。
●规定一个过程,组织可用它来选择新的IT建议书和复选进行中的项目。
●对照成本和进度的期望值、预期收益和风险,来监控项目。
(3)研究一个完整的投资组合。
●明确标准,该标准决定哪项投资将包含在投资组合之中,它可以包括如成本、收益、进度和风险等数量因素或质量因素。
●运用该标准来为投资组合选择适当的投资。
●将投资组合绩效因素,加入到组织的控制过程活动中来考虑,以评估该组合。
●为从过去的投资和行动中吸取教训,检查IT项目,比较其实际的和估计的结果。
(4)改进过程。
●评估投资组合绩效,改进现有的IT投资管理过程和IT投资组合未来的绩效。
●分析和管理用高值替代者来替换IT投资和资产。
(5)IT对战略结果的影响力。
●优化用来开拓IT决策的投资管理过程,以提高IT投资管理价值。
●为IT投资,学习和实施其他组织的最佳实务。
●运用IT来革新和改变工作过程,推动组织开发新的更好的方法来完成任务。
4.信息安全。
联邦机构广泛依靠IT系统和电子数据来完成使命,这些系统和数据的安全,是必需保护数据在重要工作中免受干扰、破坏、欺诈以及敏感信息的不当暴露。
2014年的《联邦信息安全现代化法案》(FISMA)有助于保障机构有充分的安全保护。
●定期评估由未授权的接触、使用、泄露、破坏、修改或毁坏信息及信息系统导致的风险和损失的大小。
●在信息安全工作中,开发能成本高效地减少贯穿每个系统生命周期信息安全风险的基于风险的政策和规程。
●通过给次级信息系统的网络、设施、系统或系统组(假如适用的话)提供充足的安全,来开发次级系统安全计划。
●培训全体人员包括承包商、运行维护信息系统及其资产的其他使用者,提高他们的安全意识。
●随风险水平变化或不少于一年一次的频率来测试和评估信息安全政策、规程和实务。
●设计一个过程,它是计划、实施、评价和记录用来弥补信息安全政策、规程和实务等缺陷的纠正措施的。
●设立一个规程,它是在实质损害发生之前,可运用自动化工具等,侦测、报告和反映安全事件,减轻相关风险,通知并咨询信息安全事件中心和其他实体包括执法机关及其他相关官员,如果有必要的话。
●制定计划和规程,保障支持信息系统运作和资产的持续运营,测试该计划以保证其正常工作。
●开发、维护并每年更新主要信息系统的目录。
(2)确保涉及美国国家安全利益的有效技术保护——高风险问题。
国防部每年花费数十亿美元,研发和采购保持美军优势的复杂技术。
正因如此,美国政府有一个程序组合,用来判断和保护被视作对美国利益攸关的技术。
正如《2017年高风险领域更新》中阐述的,技术优势对美军战略极为重要,国防部每年花费数十亿美元来研发和采购复杂技术,为战斗中或执行其他任务的作战人员提供有利条件。
其中很多技术也出售或转让给外国客户,以提升美国经济、外交和国家安全利益。
这些技术也可从在美国研发和制造它们的外资企业中购得。
此外,这些技术也是未经允许的交易如偷窃、间谍活动、逆向工程和非法出口的目标。
为识别和保护对美国利益攸关的技术,美国政府有一套程序组合,包括出口控制,即规范出口,保障物品和信息以符合美国利益的方式转让;
还包括一系列非出口控制程序,如下所示:
●外国军售程序。
●反贿赂措施。
●国家工业安全程序,监督政府承包商处理分类信息,包括那些与重要技术有关的机密。
这些程序和活动由众多利益不同的联邦机构承担,包括国防部、商务部、国土安全部、司法部、国务院和财政部。
这些程序制定于数十年前,已无法应对在平衡国家安全关系和经济利益上的日渐增多的挑战。
当机构着手应对这些挑战时,不可或缺的是在非出口控制方面的程序和活动上的额外领导力和协调机制,以及其他工作,用来判断有助于提升美国利益的战略变革。
在确保涉及美国安全的技术保护这一高风险问题上,美国审计署先后出具了五份关键报告,提出相关建议并实时公布建议的执行状况。
该署还公布了一份高风险清单、十六份相关报告、一份多媒体报告,都涉及这个技术保护专题。
(3)核不扩散。
美国和其他国家面临的最严重威胁之一,是核武器、用于核武器的物质或某些高风险放射源,从世界不同地方的糟糕安保条件的库存或设施中被偷盗的可能。
为应对这类威胁,美国能源部的国家核安全管理局执行全球核不扩散计划。
美国国家核安全管理局(NNSA),是美国能源部内的独立组织机构。
该局通过其核不扩散防御办公室,执行全球范围的核不扩散计划。
这些年度综合预算近20亿美元的计划和其他工作,主要包括:
保护全球的核和放射性物质;
减少核走私风险和大规模杀伤性武器相关的物质、技术和知识的传播;
支持侦查核扩散的研究和技术开发工作;
处理过量的武器用核物质和放射源。
表1显示了美国国家核安全管理局的核不扩散计划及其主要活动。
除美国国家核安全管理局外,其他联邦机构包括美国国土安全部通过国内核探测办公室、美国国防部通过“合作减少威胁计划”以及减少威胁防卫办公室、美国国务院通过其下级国际安全和不扩散局的各种计划和活动,来支持类似核不扩散活动和工作,反击核走私。
表1:
NNSA的核不扩散计划及其主要功能
计划
主要功能
核物质管理
和最小化
该计划包括将国内和国际民用研究的反应堆和类似设施向非武器用的核物质转变的工作;
搬迁、加固、处置全球居民区的过量核物质;
处置美国和俄罗斯多余的武器级钚。
全球核物质安全
该计划有几个次级计划,包括与盟国改进核物质在存放和运输过程中的安全;
保护国内外放射性物质源头和处理孤立的和废弃的放射源;
与外国政府合作以改进他们阻止、侦破、封锁违法交易核与放射性物质的能力。
不扩散与武装控制
该计划的次级计划提供一系列不扩散政策和技术支持,包括支持不扩散和武装控制协定的谈判、实施和监督;
与外国政府合作,加强其出口控制系统;
维护国际核安保管理体制。
防卫核不扩散的研发
该计划包括一个次级计划,研究侦测国外核武器计划和支持武装控制协定确认的技术。
还有一个次级计划是研究和建设基于空间的传感器,用于核试验协定的监控;
并研究提高核爆取证能力。
不扩散建设
该计划监督美国处置34吨多余的武器级钚的关键设施的建设。
在核不扩散这一专题上,美国审计署公布了三十二份关键报告,提出相关建议并实时公布建议的执行状况。
该署还公布了一份高风险清单、二十六份相关报告、四份多媒体报告,都涉及这一专题。
资料来源:
美国审计署官方网站
编译:
审计署审计科研所卢益群
报:
署领导。
送:
各省、自治区、直辖市和计划单列市、新疆生产建设兵团审计厅(局),
署机关各单位、各派出审计局、各特派员办事处、各直属单位,中央
纪委国家监委驻审计署纪检监察组,南京审计大学。
发:
本所所领导、各处,存档。
共印40份
编辑:
纪晗审核:
杜光宇签发:
姜江华
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 国外 审计 动态