税务信息化是整个社会信息化的重要组成部分，是信息技术在税务管理工作中具体实践，我国税务信息化发展迅速，对于强化管理手段，提高税务管理水平、实现税务管理现代化有积极的推动作用。但是，信息化也是一把“双刃剑”，提供着便利的同时，也带来了税务信息安全风险，本文尝试于以内部控制理论对税务信息安全进行研究。　　一、我国税务信息面临着来自各方面的安全威胁:黑客、木马带来的网络攻击和网络盗窃，如黑客入侵导致平阳、西安等国税局网站主页被篡改，木马导致某市12万户纳税人资料被盗用;病毒传播带来的资料破坏和砸件设备破坏，如熊猫烧香病毒破坏全国税务系统计算机硬件设备超过万台;安全保卫工作马虎带来的计算机设备失窃，机房供电、温度、湿度不正常导致的服务器设备破坏则是层出不穷;地震、洪水、雷电等自然灾害以及“911”这类破坏事件酿成的惨剧和损失更是防不胜防。　　然而，对信息安全可能造成重大破坏的往往不是病毒、黑客，而是内部人员的不负责任、粗心大意，甚至内外勾结窃取和出卖信息:英国皇家税务及海关总署(HMRC)工作人员马虎大意导致2500多万人的机密信息丢失;我国工作人员内外勾结，导致CPI数据泄密;美国士兵内外勾结，导致机密的75000份国防部军事机密和250000份外交机密失窃的“维基解密”事件。这些安全事件说明了一个事实，内部管理问题是威胁税务信息安全的最重要因素，我国税务信息安全同样面临着内部管理的严峻问题。　　税务信息安全是国家经济安全的组成部分，是国家财政收入的重要保障;税务信息安全有利于保护企业商业机密和公民个人隐私，有助于维护社会和谐稳定;税务信息安全有利于提高税收管理效率、提高税收管理水平。但是我国目前对于税务信息安全不够重视，没有意识到税务信息安全隐藏的巨大风险，因此有必要加强税务信息安全的研究。　　我国当前对税务信息安全的研究远远落后于时代发展的需要，大多数学者还只是把税务信息安全当作一个信息技术问题加以研究，一味强调“机器管人、技术管人、系统管人”，忽视在税务信息安全中“人”的主体位置和主观能动性，忽视管理的重要性、工作人员安全意识和安全行为的重要性、税务信息安全文化的重要性，缺少从如何加强税务机关内部控制角度进行的研究。　　二、本文尝试于将内部控制理论引入对税务信息安全的研究，内部控制理论对于帮助企业规避风险、保护资产安全具有积极的推动作用，其对于改善企业内部管理的重要作用受到东西方一致认可。“新公共管理”理论主张采纳企业的管理方法，来提高政府部门的内部管理效率，其理论受到世界发达国家政府的推崇，税收信息安全管理是属于政府部门的内部管理范畴，同样可以引入内部控制来进行管理。　　税务信息安全的内部控制，可以理解为税务机关为保证与税务管理和业务相关信息的安全完整、正确服务于税务管理和税款征收工作而在税务部门内部采取一系列技术上和管理上的控制措施，完善的内部控制可有效减轻由于内部人员道德风险所带来的税务信息安全危害。　　本论文研究的重点问题集中在以下几个方面:建立基于内部控制的税务信息安全模型、税务信息安全的内控环境、风险评估、控制活动、内部控制的信息与沟通、监督与评价体系、以及税务信息安全内部控制的实例分析。　　研究建立基于内部控制的税务信息安全模型，重点在于:一是分析税务信息安全的政务安全属性、商务安全属性、个人安全属性的特质，界定税务信息安全的内涵;二是理清税务信息安全内部控制体系的理论基础，从内部控制相关理论、COSO委员会对内部控制组成要素和结构的经典描述、新公共管理理论、IT审计与IT治理等角度分别思考构建基于内部控制的税务信息安全模型的基本理论依据;三是从管理“人”、管理“动态”安全、定量评价税务信息安全等角度分析税务信息安全实施内部控制的必要性，从新公共管理理论、内控目标、内控环境、风险评估、控制过程等方面分析税务信息安全实施内部控制的可行性，在内部控制理论、IT审计和IT治理等理论基础上，结合税务信息安全特性，分析税务信息安全的内部控制主体、客体、控制目标及控制要素组成，构建基于内部控制的税务信息安全模型。　　研究税务信息安全的内控环境，重点是:一是整理内部控制理论中对于内控环境的研究内容，从理论上研究内控环境对于税务信息安全的重要作用，分析得出基于内部控制税务信息安全的内控环境由非技术环境和技术环境组成;二是从组织环境、制度环境、人力资源环境、文化环境等不同环境角度研究税务信息安全的非技术环境。三是从硬件设备环境、网络通信环境、软件环境、数据信息环境等不同技术角度研究税务信息安全的技术环境。　　研究税务信息安全的风险评估，其目的在于:一是根据风险评估理论，研究风险评估在税务信息安全内部控制体系的作用，分析税务信息安全的风险评估的组成，从目标设定、税务信息资产识别、脆弱性识别、威胁识别、风险分析这几个风险评估的具体过程着手思考税务信息安全风险评估的具体内容，比较研究国际和国内对于风险评估的标准及方法，用于税务信息安全的风险评估;二是引入内部控制理论后，税务信息安全面临的风险范畴就从技术领域扩展到了组织、制度、人事和文化等非技术的管理层面，分析税务信息安全风险评估的组成，从组织风险、制度风险、人力资源风险、文化风险等角度分析税务信息安全的非技术风险，基于硬件设备、网络通信、软件、数据信息思考税务信息安全的技术风险。　　研究税务信息安全的控制活动，内容包括:根据税务信息安全风险评估得出的结果，有针对性地研究控制活动，一是对于税务信息安全面临的非技术风险，研究税务信息安全的非技术控制措施，包括:①从组织结构设置、权责分配体系着手分析组织控制措施，②从以人为本、细化责任、管理和技术并举、全面管理的角度，构建税务信息安全的制度控制措施，③从人力资源制度、人员配置、胜任能力、职业道德等方面思考人力资源控制措施，④从税务机关的信息安全文化、工作人员的信息安全意识的角度，塑造文化控制措施;二是对于税务信息安全面临的技术风险，研究税务信息安全的技术控制措施，包括:①从机房基础设施安全、计算机设备及存储设备安全角度分析硬件设备安全控制措施，②从网络的安全规划与建设、网络安全防御、网络安全监控、病毒防范等方面分析网络通信安全控制措施，③从通用软件、税务业务软件的角度研究税务软件安全控制措施，④从信息数据的采集、存储、处理、交换共享、对外发布、销毁等诸多环节上思考税务数据信息与电子文件的安全控制措施。　　研究税务信息安全的内部控制信息与沟通，重点是:一是研究信息与沟通对于税务信息安全内部控制的重要作用，分析内部控制信息质量的三方面属性:时间性、内容性和形式性，研究内部控制信息的收集与管理;二是研究税务信息安全内部控制的积极作用，沟通方式和渠道，思考如何构建完善的信息传递机制。　　研究基于内部控制的税务信息安全监督与评价体系，主要是:一是研究税务信息安全内部监督的方法，监督的实施及检查措施;二是比较分析国内外的内部控制评价标准体系，界定税务信息安全内部控制有效性的内涵，研究对于内部控制有效性中健全性和合理性的评价要求，以及税务信息安全内部控制评价的积极作用;三是研究税务信息安全内部控制评价的具体内容，包括内控环境、风险评估、控制活动、信息与沟通、监督等，根据五大类指标要素，比较研究税务信息安全内部控制评价方法。　　税务信息安全内部控制的实证分析，主要研究内容为;以某省国税局为例，从内控环境、风险评估、控制活动、信息沟通、监督等组成税务信息安全内部控制体系的要素入手，引入层次分析法(AHP)对税务信息安全的整体评价，以税务信息安全指标评价体系对该省国税局税务信息安全现状进行实证分析和定量评价，得出某省国税局信息安全状况的评估结果，找出该局在税务信息安全中存在的不足和问题，并提出进一步改进的设想和方法。　　三、本文采用理论研究与实证研究相结合，定性分析和定量分析相结合，具体运用比较分析方法、统计分析方法、案例分析方法等进行研究。根据经济学、管理学的基本原理和方法对税务信息安全的内部控制问题进行研究。采用的研究方法主要包括;历史研究与现实研究相结合探析信息安全、电子政务安全、税务信息安全的演进、共同点及独特之处;运用案例论证税务信息安全的风险威胁、应对措施的效果;理论研究和实际论证相结合阐明税务信息安全对税务信息化的重要性，内部控制对税务信息安全的必要性和可行性;比较研究和操作研究相结合探索税务机关与信息安全相关的内部控制的构建;定量论证和定性分析相结合论证税务信息安全内部控制的效应。　　总之，从理论角度来说，分析将内部控制理论引入税务信息安全研究中的必要性和可行性，研究构建基于内部控制的税务信息安全模型，站在内部控制理论的视角对税务信息安全问题进行了深入全面的研究，对于内部控制理论进行了探索性拓展，对于税收管理理论进行了创新;从实践角度来说，建立了基于内部控制的税务信息安全的量化评价模型，并分析了税务信息安全所涉及的内控环境、风险评估、控制活动、信息沟通和反馈等各个方面的评价指标;研究了对税务信息安全面对的非技术风险和技术风险数据的控制活动，对税务信息安全的制度和文化控制、税务数据信息的生产、存储、处理、销毁及各环节，尤其是信息共享和交换、信息发布的安全与应对措施进行了分析，可作为相关部门进行税务信息安全管理研究、决策和实践的指导。　　因此，以内部控制理论对税务信息安全进行研究，建立基于内部控制的税务信息安全模型，对于我国税务信息安全建设、促进税收管理现代化有着重要的实践意义。