关键词:网络;安全审计;主机审计;系统设计
1引言
随着网络与信息系统的广泛使用,网络与信息系统安全问题逐渐成为人们关注的焦点。
网与因特网之间一般采取了物理隔离的安全措施,在一定程度上保证了内部网络的安全性。然而,网络安全管理人员仍然会对所管理网络的安全状况感到担忧,因为整个网络安全的薄弱环节往往出现在终端用户。网络安全存在着“木桶”效应,单个用户计算机的安全性不足时刻威胁着整个网络的安全[1]。如何加强对终端用户计算机的安全管理成为一个急待解决的问题。
本文从系统的、整体的、动态的角度,参照国家对安全审计产品的技术要求和对部分主机审计软件的了解,结合实际的信息安全管理需求,讨论主机审计系统的设计,达到对终端用户的有效管理和控制。
2安全审计概念。
计算机网络信息系统中信息的机密性、完整性、可控性、可用性和不可否认性,简称“五性”,安全审计是这“五性”的重要保障之一[2]。
凡是对于网络信息系统的薄弱环节进行测试、评估和分析,以找到极佳途径在最大限度保障安全的基础上使得业务正常运行的一切行为和手段,都可以叫做安全审计[3]。
传统的安全审计多为“日志记录”,注重事后的审计,强调审计的威慑作用和安全事件的可核查性。随着国家信息安全政策的改变,美国首先在信息保障技术框架(IATF)中提出在信息基础设置中进行所谓“深层防御策略(Defense2in2DepthStrategy)”,对安全审计系统提出了参与主动保护和主动响应的要求[4]。这就是现代网络安全审计的雏形,突破了以往“日志记录”
等浅层次的安全审计概念,是全方位、分布式、多层次的强审计概念,符合信息保障技术框架提出的保护、检测、反应和恢复(PDRR)动态过程的要求,在提高审计广度和深度的基础上,做到对信息的主动保护和主动响应。
3主机审计系统设计。
安全审计从技术上分为网络审计、数据库审计、主机审计、应用审计和综合审计。主机审计就是获取、记录被审计主机的状态信息和敏感操作,并从已有的主机系统审计记录中提取信息,依据审计规则分析判断是否有违规行为。
一般网络系统的主机审计多采用传统的审计,系统的主机审计应采用现代综合审计,做到对信息的主动保护和主动响应。因此,网络的主机审计在设计时就应该全方位进行考虑。
3.1体系架构。
主机审计系统由控制中心、受控端、管理端等三部分组成。管理端和控制中心间为B/S架构,管理端通过浏览器访问控制中心。对于管理端,其操作系统应不限于Windows,浏览器也不是只有IE。管理端地位重要,应有一定保护措施,同时管理端和控制中心的通讯应有安全保障,可考虑隔离措施和SHTTP协议。
主机审计能够分不同的角色来使用,至少划分安全策略管理员、审计管理员、系统管理员。
安全策略管理员按照制定的监控审计策略进行实施;审计管理员负责定期审计收集的信息,根据策略判断用户行为(包括三个管理员的行为)是否违规,出审计报告;系统管理员负责分配安全策略管理员和审计管理员的权限。三员的任何操作系统有相应记录,对系统的操作互相配合,同时互相监督,既方便管理,又保证整个监控体系和系统本身的安全。控制中心是审计系统的核心,所有信息都保存在控制中心。因此,控制中心的操作系统和数据库最好是国内自己研发的。控制中心的存储空间到一定限额时报警,提醒管理员及时备份并删除信息,保证审计系统能够采集新的信息。超级秘书网
3.2安全策略管理。
不同的安全策略得到的审计信息不同。安全策略与管理策略紧密挂钩,体现安全管理意志。在审计系统上实施安全策略前,应根据安全管理思想,结合审计系统能够实现的技术途径,制定详细的安全策略,由安全员按照安全策略具体实施。如安全策略可以分部门、分小组制定并执行。安全策略越完善,审计越彻底,越能反映主机的安全状态。
Abstract: With the development and the extensive applicationof E-commerce, Network audit under the electronic business environment face many problems. The article analyses the influence of the network environment of E-commerce to traditional audit, and the present problems in our network audit, and give out the appropriate solutions.
关键词: 电子商务;传统审计;网络审计
Key words: E-business;traditional audit;network audit
中图分类号:TP393文献标识码:A文章编号:1006-4311(2010)28-0150-01
0引言
在基于电子商务和高度信息化的网络财务系统下,传统审计面临巨大的挑战。随着互联网技术的发展,财务管理系统逐渐由手工模式向网络自动模式发展,电子商务的网络环境对传统审计的影响呼唤网络审计的诞生,以电子商务为基础的网络经济和网络财务的深入发展和广泛应用,必然导致财务数据和业务数据在计算机网络系统中的高度集成,从而使得审计所需的大量原始的财务数据和其他各种证据都可从被审计单位及其相关业务单位的计算机网络系统中直接获取。这不仅为真正实用有效的网络审计创造了条件,同时也为全面高效的网络审计系统提供了更广阔的发展空间。所以应运而生出现了在网络环境下,借助大容量的信息数据库,并运用专业的审计软件对共享资源和授权资源进行实时、在线的个性化审计服务的网络审计。由于网络审计是一个新生事物,所以不可避免的会存在许多亟待解决的问题。
1电子商务环境下网络审计面临的主要问题
随着计算机网络及电子商务的迅速发展和广泛应用,我国企事业的财务系统逐步转向基于电子商务的网络形式。目前,我国基于电子商务的网络审计还存在一些亟待解决的问题。
1.1 网络审计理论欠缺当前,网络审计理论研究尚处于初级阶段,人们对网络财务及其网络审计的认识还较模糊。随着市场上相关的各种审计软件不断出现,导致了网络审计的理论研究和实践的不平衡局面。
1.2 网络审计的相关法律和审计准则不完善网络审计是我国审计领域中出现的新生事物,目前许多网络环境下与审计有关的法律问题,全世界都处在一个摸索、改进、完善的过程中。由于计算机技术发展而导致的新的审计问题还没有法律规范,如:有关涉及个人隐私权保护、网络知识产权保护、电子证据的易篡改性和无形性造成审计证据确定上的困难,电子签名而导致在法律上难以认定,电子合同的瞬间完成使得合同签订和生效时间的确定存在巨大的争议等问题的解决还处在广泛的研讨阶段,尤其是我国有关网络活动的法律法规还处在探索阶段,难以应对网络活动中所出现的新纠纷、新问题,这给审计人员客观、独立、公正的开展审计工作带来极大的不便。网络经济时代现代审计赖以存在的内部控制制度出现了新特点,对网络经济时代下日益发展的电子商务系统及随之而出现的一系列新的问题,旧有的法律法规体系和审计标准准则体系己不能完全适应、规范和指导网络经济时代审计的实践。
1.3 网络审计技术不完善网络审计作为一种网络化运营模式的存在,它需要对网络的安全性进行实时监控和维护。但是,由于审计人员的技术不熟练造成的错误或网络系统本身的脆弱性或黑客频繁地攻击,使计算机网络面临的安全问题越来越严重。此外,由于网络审计软件的技术水平不高,造成了缺乏通用的审计软件。
1.4 网络审计面临新的审计风险和审计人员的素质面临新的严峻挑战随着网络审计的产生与发展,不可避免地会产生新环境下的风险。这些风险主要表现为:信息失真引发的风险、对数据的修改不留审计线索引发的风险、内部控制评价引发的风险、审计内容难以把握引发的风险、审计动态取证引发的风险;现行软件评审机制引发的风险和内部管理人员道德风险等。此外,目前严重缺乏既懂网络技术又懂会计、审计的复合型人才。
2解决电子商务环境下网络审计面临问题的主要对策
通过以上分析,我们可以从以下几方面来解决电子商务环境下网络审计面临的问题。
2.1 加强理论研究,建立网络审计理论体系理论是实践的先导,网络审计理论的建立不仅是传统审计理论的一大飞跃,而且还有利于网络经济的健康发展。因此,建立完善的、全新的审计理论体系是非常重要的,审计人员和有关人员应该加强这一领域的研究。
2.2 要加强网络审计准则和审计立法的建设审计准则是审计工作应遵循的规范和尺度,是评价审计工作质量的权威性规则,应加快新的审计标准和准则的制定以指导网络审计工作实践的深入。网络审计立法是保障网络审计正常发展的关键性措施,应当加快网络审计立法工作的力度和进度,使人们在开展网络审计工作时有章可循。对于目前已有的相关法律法规适用于网络审计的应遵从其规定,不适应的则需要进行修改和完善。网络审计法律环境的建立,网络审计的运作将更加规范,更有保障。
2.3 要加快网络审计技术开发与创新网络审计技术主要解决的是审计软件的问题、审计接口问题以及网络审计的安全性问题和会计数据接口标准化问题。要加强审计网络系统的安全性建设;发网络审计软件;推进会计数据接口标准化和审计接口标准化工作。
2.4 要加强网络审计风险控制为了有效地降低网络审计风险,可以对相关网络系统进行实时跟踪;加强对网络系统的安全性和保密性的审计;建立审计服务信息库;参与网络财务软件的评审;实施网络咨询和电子商务签证和充分利用计算机审计软件进行辅助审计。
2.5 要大力发展网络审计人才大批精通计算机、网络及审计业务的审计人员队伍是网络审计能否得以实施的关键。针对网络审计对人才的挑战,审计人员要更新审计监督观念;系统学习审计风险方面的理论知识,掌握新的审计方法;树立竞争观念,培养创新意识,改革现有的教育和培训模式,新的观念,用新的方式、推行素质教育,实施终身教育,学研结合,教研结合,培养和造就一大批一流水平的审计人才。
参考文献:
[1]高山.浅议网络审计的挑战与对策[J].天津经济,2009,(7).
[2]许琪.信息技术时代的网络审计[J].现代经济信息,2008,(5).
[3]曾宪策.网络审计的创新及风险[J].中国审计,2004,(9).
[4]管友桥.浅议网络审计[J].财会通讯,2009,(12).
【关键词】网络审计证据;注册会计师审计;审计证据
目前,计算机信息技术的普及化和网络技术的成熟度足以支持网络信息渗透到社会生活各个方面。在审计领域,计算机审计技术也十分成熟,结合目前网络技术发展程度来看,将信息技术和网络技术引入注册会计师审计领域也是不可避免的发展趋势,注册会计师利用信息技术和网络技术环境下诞生的网络证据为审计实务服务将是注册会计师审计的发展方向。
网络审计证据在注册会计师审计中的应用,与传统审计证据的应用环境基本一致,其应用也贯穿了审计的全过程,在审计计划阶段、实施阶段和报告阶段都可以应用网络审计证据,再结合其他审计证据,可以得出审计结论、形成审计意见。
1.网络审计证据应用的背景
网络审计证据是网络审计时代的新型证据。网络信息技术含量较高,具有数字技术性、多态性、间接性、易被伪造篡改性、稳定性、易保存性、传输方式多样性等特征,所以网络审计证据也具有唯一性特征模糊,易于伪造,易于丢失,不能自证其客观真实性的缺点,因此在依据网络审计证据得出审计结论、形成审计意见时,必须结合其他类型的审计证据,谨慎评价网络审计证据的关联性和可采性。
网络审计证据的关联性是审计人员对网络上采集的与被审计单位及被审计事项相关的信息进行整理、分析而得到并使用的所有信息,关联性要求网络审计证据与被审计单位及被审计事项相关联。
网络审计证据的可采性可以从其客观性和合法性两个方面理解。客观性指网络审计证据应该具有客观存在的属性,网络审计证据的内容客观且以客观的形式存在。网络审计证据的内容具备客观性,即必须以客观事实为基础,是客观事实的反映,且必须以人们可感知的形式来反映。合法性要求网络审计证据以符合法律规定的程序来进行采集,且以符合法律规定的特定形式为网络审计证据的载体。
只有与被审计单位及被审计事项相关的信息才是有关联的,只有客观且合法的网络信息才是可采用的,只有既具有关联性又具有可采性的网络审计证据才是可以应用的。只有可以应用的网络审计证据,才能在注册会计师审计中,结合其他审计证据,作为得出审计结论、形成审计意见的依据。
2.网络审计证据在计划审计阶段的应用
在计划审计工作时,注册会计师需要进行初步业务活动、制定总体审计策略和具体审计计划。例如,在初步业务活动中,注册会计师需要确定“不存在因管理层诚信问题而可能影响注册会计师保持该项业务的意愿的事项”。管理层诚信问题在网络上被曝光的不占少数,而这些网络信息,经注册会计师职业判断后,可以结合其他审计证据成为得出审计结论、形成审计意见的依据。2011年4月26日财经网题为“双汇发展的难言之隐”的文章,文章中揭露屡失诚信的双汇发展管理层身兼实际控制人这一事实,认为这样的制度安排本身就是一种不确定因素,甚至可能带来巨大的风险,文章披露了自“瘦肉精”以来,双汇发展管理层不诚信的一系列问题。这样的网络信息对该企业的年报审计是有影响的,至于影响的程度和范围,需要结合其他审计证据加以确定。在制定总体审计策略中,注册会计师应当考虑影响审计业务的重要因素以确定工作方向,包括对重大的行业发展情况、行业法规变化、行业新的报告规定、会计准则和会计制度的变化、影响被审计单位的法律环境的变化等因素的考虑,一般来说,这些审计证据更多地是以网络审计证据的形式存在。注册会计师的审计业务涉及各行各业,注册会计师不可能对每个行业的行业发展、行业法规、被审计单位法律环境等都了如指掌,在审计计划阶段,注册会计师主要依据网络信息了解行业情况和被审计单位的环境等,这些网络信息在符合网络审计证据条件时,可以作为网络审计证据使用。
3.网络审计证据在实施审计阶段的应用
在实施风险导向审计时,注册会计师需评估财务报表的重大错报风险,设计和实施进一步审计程序以应对评估的错报风险,网络审计证据也同样在这过程中得到应用。注册会计师需了解被审计单位及其环境并评估重大错报风险,可以针对网络审计证据实施分析程序、观察和检查程序。注册会计师可以利用网络审计证据了解被审计单位所处行业的市场与竞争、生产经营的季节性和周期性、与被审计单位产品相关的生产技术、能源供应与成本、行业的关键指标和统计数据等行业状况,可以利用网络审计证据了解与被审计单位相关的会计原则和行业特定惯例、受管制行业的法规框架、税收政策、政府政策、环保要求等法律环境和监管环境,还可以了解到被审计单位的所有权结构、治理结构、组织结构、经营活动、投资活动、筹资活动、财务报告等多方面性质,被审计单位的目标、战略以及相关经营风险,被审计单位财务业绩指标的衡量和评价标准等信息。
4.网络审计证据在审计完成阶段的应用
审计完成阶段是审计的最后一个阶段,注册会计师需要汇总审计测试结果,进行更具综合性的审计工作,如评价审计中的重大发现,汇总审计差异,考虑被审计单位持续经营假设的合理性,关注或有事项和期后事项对财务报表的影响,撰写审计总结,复核审计工作底稿和出具审计报告意见类型和措辞,最后编制、致送审计报告。在这期间,网络审计证据也得到广泛的应用,尤其是在考虑被审计单位持续经营假设的合理性,关注或有事项和期后事项对财务报表的影响。
注册会计师应当对管理层在编制和列报财务报表时应用持续经营假设的适当性获取充分、适当的审计证据,并就持续经营能力是否存在重大不确定性得出结论。被审计单位在财务、经营以及其他方面存在的某些事项或情况可能导致对持续经营假设产生重大疑虑,在这三方面中,财务方面、经营方面是注册会计师专业所在,注册会计师可以利用其专业知识对已有信息进行判断进而得出结论,而其他方面涉及领域非常广泛且已有信息量非常狭隘,所以注册会计师更多地利用网络收集被审计单位在除财务和经营外的其他方面存在的可能导致对持续经营假设产生重大疑虑的事项和情况。基于对管理层诚信及管理层与审计人员配合度的考虑,被审计单位关于违反有关资本或其他法定要求、未决诉讼或监管程序可能导致无法支付索赔金额、法律法规或政府政策的变化预期会产生不利影响、发生的灾害未购买保险或保额不足等事项一般以网络审计证据的形式存在。
目前或有事项这一特定的经济现象已越来越多地存在于企业的经营活动中,或有事项主要包括未决诉讼或仲裁、债务担保、产品质量担保、承诺、亏损合同、重组义务、环境污染整治等,由于或有事项本质上属于不确定事项,所以注册会计师应当予以充分关注。结合现在的信息技术和网络技术,大部分或有事项的最新信息是以网络审计证据的形式存在。在财务报表日后发生的重大诉讼、仲裁、承诺,资产价格、税收政策、外汇汇率发生重大变化,自然灾害导致重大损失,发行股票债券、巨额举债等期后事项,大部分也是以网络审计证据的形式存在。
5.结语
网络审计证据在审计实务中的应用贯穿审计的全过程,虽然网络审计证据是新兴的、广泛的审计证据,但是由于对其研究深度和广度都比较有限,所以在初期,我们应谨慎使用网络审计证据。
网络审计证据是信息时代的产物,是审计实务和学术界必须面对的一种新兴的审计证据,我们应该规范网络审计证据在注册会计师审计中的应用,促进相关部门建立健全网络审计证据应用的规章制度,推动审计实务的发展。
参考文献
[1]中国注册会计师协会.审计[M]北京:经济科学出版社,2012:48-72.
[2]张章辉.基于IT技术的持续审计在我国应用探析[D]南昌:江西财经大学,2009:4-15.
[3]许旭东.审计查证应保持高度的职业谨慎与合理的职业判断[J]中国审计,2011:24.
基金项目:本文系四川省审计厅2011年课题《网络审计证据研究》(课题号:201103A)研究成果。
作者简介:
在网络经济时代,随着电子商务的迅猛发展,以网络财务为代表的财务管理信息系统、以企业资源计划(ERP,EnterpriseResourcePlanning)为方向的广义管理信息系统等技术和以业务流程重组(BPR,BusinessProcessReengineering)为代表的现代管理思想的高速发展及广泛应用彻底改变了传统商务的构架和流程,从而使审计面临方方面面的挑战。传统审计是由独立的专职机构或人员接受委托或授权,对国家行政、事业单位和企业单位及其他经济组织的会计报表和其他资料及其所反映的经济活动进行审查并发表意见,审计的一般目的是注册会计师对被审计单位的会计报表进行审计并发表审计意见。注册会计师的审计意见通常包括合法性和公允性两方面内容。随着互联网技术的发展,对财务管理系统逐渐由手工模式向网络自动模式发展,在自动化、无纸化、数据化的电子商务和高度信息化的网络财务系统下,面临着更多的审计问题。
1.电子商务审计理论欠缺。在我国,电子商务审计理论研究尚处于初级阶段。一个完善的,并为广大学者所接受的审计理论体系尚未完全建立起来。而市场上相关的各种审计软件不断出现,这样一来电子商务审计的理论研究和实践就出现不平衡的局面。目前的当务之急在于促进电子商务审计理论和实践的共同发展,从而保证以电子商务为代表的整个网络经济的健康有序发展。
2.电子商务审计的相关法律和审计准则不完善。电子商务审计是我国审计领域中出现的新生事物,目前许多网络环境下与审计有关的法律问题,全世界都处在摸索、改进、完善的过程中。审计作为一个维护社会经济秩序并服务于经济领域的中介活动,迫切需要一套符合自身发展规律的法律来规范,建立起一套能规范电子商务审计的审计准则,作为维护经济秩序的法律屏障。通过建立健全电子商务审计法律体系,使我国的电子商务审计的运作更加规范,更有保障,真正发挥审计经济卫士的作用。
3.电子商务审计技术不完善。审计软件是审计人员开展审计工作的有效工具。目前国产的审计软件的开发还没有形成规模,处于摸索阶段,专门从事审计软件开发的公司非常少。因此国产审计软件的开发仍走的是会计软件开发初期的老路,主要以模拟传统手工审计模式和流程进行开发,审计软件的功能比较简单,仅仅具有查账的功能,只能对未审的定期财务报表进行审计。但随着计算机技术和网络的发展,企业可以把公司的各种信息,财务报表等放在企业网页上,普通客户随时可以上网查询,了解企业的财务状况和经营成果情况,会计信息的实时性增强的同时也要求审计软件具有实时审计的功能,而这是当前国产软件所缺乏的。
4.电子商务审计面临新的审计风险。审计风险是指会计报表存在重大错报、漏报问题,而审计人员审计后发表了不恰当审计意见的可能性。随着电子商务审计的产生与发展,不可避免地会产生新环境下的风险。如对数据的修改不留审计线索、信息失真、审计动态取证风险、审计内容难以把握的风险、内部控制评价风险、内部管理人员道德风险以及现行软件评审机制引发的风险等。
二、电子商务的审计问题的解决对策探讨
1.建立电子商务审计理论体系。电子商务审计理论的建立不仅是传统审计理论的一大飞跃,而且还有利于网络经济的健康发展。因此,建立完善的、全新的审计理论体系是非常重要的,审计人员和有关人员应该加强这一领域的研究。目前,我国关于电子商务审计理论的研究基本属于一片空白,需要政府的支持和社会的关注,也有赖于专家学者的进一步研究。
2.加强电子商务审计立法和审计准则的建设。审计立法是保障电子商务审计正常发展的关键性措施。新《会计法》已增加了有关网络财务的内容,《电子商务法》起草工作正在加紧进行之中,但上述法规都不是针对电子商务审计而的,不能够满足电子商务审计的需要。因此,有必要加快电子商务审计立法工作的力度和进度,使人们在开展电子商务审计工作时有章可循。审计准则是审计工作应遵循的规范和尺度,是评价审计工作质量的权威性规则。电子商务审计对象、线索、方法、流程、结果等各方面相对于传统审计都发生了变化,以往的审计标准和准则已经不能完全适用,所以应加快新的审计标准和准则的制定以指导电子商务审计工作实践的深入。
3.加快电子商务审计技术开发与创新。电子商务审计技术主要要解决的是审计的安全性问题、审计软件的问题以及审计接口问题和会计数据接口标准化问题。进行电子商务审计,必须先进行审计网络建设,审计网络是电子商务审计得以开展的基础。我国的网络经济、网络财务研究、软件开发和发达国家相比仍很落后,因此审计网络建设不能一蹴而就,应该从易于实现的部分入手,有计划地在一段时间内逐步实现全面的电子商务审计。在电子商务审计系统中,一方面要满足系统开放性的要求,另一方面又必须保证系统的安全保密性。如何处理好这两个方面的关系,是电子商务审计信息系统设计成败的关键。由于电子商务审计系统是建立在Internet环境下的信息系统,其开放性无疑会得到满足,现在困难的是如何保证系统的安全性。目前,对网络信息系统的安全性保证主要是从系统的内部控制与信息技术这两个方面来实现的。开发电子商务审计软件,对相关网络系统进行跟踪审计。首先对被审计单位的网络系统进行评价,并利用专用的审计对比软件,将存放于数据库不同地址的同一种数据进行自动比较,以形成相应的记录文件,并对有差异的文件数据进行详细审查;其次对被审计单位的自动检测数据库软件和恢复软件进行审查和评价;再次要对被审计单位的异常贸易,通过网络进行预警提示,以降低审计风险。电子商务审计需借助审计软件进行,加强电子商务审计软件的研究与开发是发展电子商务审计所必需的。电子商务审计软件的开发可以自主开发,或与软件公司合作开发,或完全委托软件公司开发。从现在实际情况和科学性来说,最好是选择财务软件公司,它在财务软件制作方面的经验有利电子商务审计测试软件的开发。审计接口是指从被审计单位的信息系统向网络审计系统传送审计数据的规范和程序。在信息系统应用领域,接口是指在两个系统间进行信息交换的一个通道,这个通道包含两个方面的内容;一个是传送数据的格式和规范,一个是完成传送作业的程序。在系统内部各个模块之间进行数据传递,实现数据的共享比较容易解决;而在系统与系统之间要实现数据的传递与共享,往往需要开发专用的数据接口。为了实现CPA审计的网络化,就需要在被审单位信息系统与CPA审计系统之间建立起一个审计数据的传输通道--审计接口。通过审计接口获取审计数据是CPA审计实施的首要问题,也是发展电子商务审计系统的一个瓶颈。
4.电子商务审计中审计证据的获取方法的选择。在网络经济时代,电子商务审计不可能按照手工审计的模式进行审计取证。一方面,电子商务的开展和普及,使得网上经济活动得到迅猛发展,由于整个交易可能只需要敲几下键盘就可以完成,因此,企业的业务量将大大增加,企业大规模的经济业务使得哪怕是只抽取一个很小的样本,其数量也是惊人的。另一方面,新的经济活动类型也不断出现,比如,在网上购买国外某个公司的一个软件,可能只需在网上注册后,通过银行转账付款,然后就可以直接下载,这个交易过程都是数字化的,是无形的,没有传统的纸质凭证的产生。现在对这种只有电子化的会计凭证的经济活动的存在性和完整性进行审计时,如何进行取证就成为一个相当重要的问题。在电子商务审计中,传统的审计取证方法将受到严峻的考验,这就要求我们要注重对电子商务审计取证方法的研究,针对不同类型的经济活动,设计相应的审计取证方法。
5.加强电子商务审计风险控制。为了有效地降低电子商务审计风险,就必须采取相应的防范和控制措施,具体表现为:
5.1对相关网络系统进行实时跟踪。首先对被审计单位的网络系统进行评价,并利用专用的对比软件,将存放于数据库不同地址的同一种数据进行自动比较,以形成相应的记录文件,并对有差异的文件数据进行详细审查;其次对被审计单位的自动检测数据库软件和恢复软件进行审查和评价;再次要对被审计单位的异常贸易,通过网络进行预警提示,以降低审计风险。
5.2建立审计服务信息库。审计人员可将被审计单位的有关信息,通过网络建立一个完善的大容量的信息库,这些信息包括被审计单位的背景资料、最新动态和一些以前审计的档案信息,以便以后开展审计时查阅和运用,这样可以大大减少工作时间,提高工作效率,同时也相应地降低了审计的风险。
5.3加强对网络系统的安全性和保密性的审计。在电子商务审计系统中,信息的安全可靠性和保密性是审计风险防范和控制的重点。首先要对电子商务审计系统的职责分离情况进行审查,确定不相容的职责是否得到了有效的分离,尤其是对数据的输入、输出,软件开发和维护及系统程序修改或管理等之间的关系处理进行审查;其次是对被审计单位网络结构进行分析与评价,以确认防范黑客侵入的能力;再次是对被审计单位的系统容错处理机制安全管理体制和安全保密技术等作深入的了解,以评价其系统安全性的等级,从而有效地控制电子商务审计系统的风险。
5.4参与网络财务软件的评审。网络经营条件下,企业已成为Internet的一个节点,源于Web平台的网络财务软件的开发成为信息处理的根基。为了有效地防范审计检查风险和审计控制风险,审计人员应参与网络财务软件的评审。首先,应对软件的可审性进行详细的考察,如是否设置审计控制点,是否设计嵌入审计程序,是否建立审计试验系统等;其次,应重点对硬件配置的合理性、功能模块的合法性、数据文件的安全性等进行全面审查;最后,应通过数据测试,检验整个系统的完整性及内部控制的有效性,并应对非法数据的容错能力、系统抗干扰能力、发生突发事件的应变能力以及系统遭遇破坏后的恢复能力进行特别测试。由于网络财务软件在进入销售市场之前已经进行了事前审计,因此从整体上减轻了审计人员的劳动强度,提高了审计工作效率,为事中审计和事后审计打下良好基础。
5.5把握内部控制体系评价的重点。在网络化条件下,Internet/Intranet系统的开放性、分布性、动态性和共享性完全改变了过去的应用模式,拓展了系统的运行环境,从而大大地改变了传统的手工或计算机系统内部控制的内容和方法。针对目前网络公司普遍存在的安全隐患,审计人员对网络系统内部控制评价的重点应转移到系统安全控制评价上:(1)检查网络公司是否严格执行计算机系统及环境安全法规与管理制度;(2)检测网络硬件设备、网络应用软件是否可靠,用户管理权限是否设置,各种授权控制是否具有审计功能,网络传输数据的关键点是否进行加密,是否能提供可供安全审计的网络使用报告;(3)审查网络系统是否设置外部访问区域,是否建立防火墙,是否建立实时监控程序。
5.6充分利用计算机审计软件进行辅助审计。随着现代化技术与工具在网络系统的普及与运用,审计人员在实施审计的过程中,应根据网络“即时互动”的特点,选择科学合理的审计技术,充分利用通用的或专用的计算机审计软件,为客户提供优质的专业服务,有效地降低审计风险。
6.大力培养电子商务审计人才。审计人员必须经常更新自身的知识结构才能适应电子商务审计工作的需要。审计人员为了加强对经营过程中的各个环节的审查和监督,必须利用互联网络技术来建立审计专用网络,实施在线式和连续审计,对企业所进行的业务是否真实、合法,所提供的商品或劳务的信息披露是否完整、可靠,以及对网络系统是否采取足够的安全措施等进行评价。大批精通网络、计算机及审计业务的审计人员队伍是电子商务审计能否得以实施的关键。审计人员可将被审计单位的有关信息,通过网络和审计软件建立一个完善的大容量的信息库,这些信息包括被审计单位的背景资料,最新动态和一些以前审计的档案信息,以便以后开展审计时查阅和运用,这样将可大大减少工作时间,提高工作效率。此外,电子商务审计已远远超出了计算机和局域网操作的范畴,计算机与网络专家、信息系统与电子商务专家对电子商务审计参与将是必然趋势。针对电子商务审计对人才的挑战,一般可以尝试以下解决方法:
第一,系统学习审计风险方面的理论知识,掌握新的审计方法。重视从审计立项到审计结论的每一个步骤,并采取相应的风险防范措施,使每一个环节的风险减少到最低程度;
第二,更新审计监督观念。网络经济条件下审计监督的重点应从有形资产审计转移到无形资产审计,重视管理方面和社会效益的审计,强化高新技术产业的审计,并促使其快速成长;
关键词:网络环境;会计信息化;审计;风险
中图分类号:F239 文献标识码:A 文章编号:1001-828X(2013)05-0-02
一、网络环境下的审计监督问题及其可能产生的风险
1.网络环境下的会计信息使得审计的线索丢失性增加
在现行的网络环境下,传统的内部审计线索发生了本质上的变化,原始凭证由传统的手工记录每笔单据变为用电子形式来记录,计算机系统根据确认的经济业主自动编制记账凭证、登记账簿、编制报表,从而实现电算化会计的核算。网络环境下的会计计量、确认、记录和报告都由计算机程序统一执行指令,不再由专门的人员直接负责处理。因此,传统审计中的审计线索有可能会完全消失,被这种以电子信息形式表现的会计信息所取代。但是这种电子形式的会计信息要比传统的会计信息记录更容易遭到损坏。如果以网络形式的会计信息保管不利,那么在计算机里储存的会计信息很容易丢失,甚至被人恶意删除且不留痕迹。如果在设计过程中考虑不周全,审计的时候聚不能找到其来源,就无法正常的工作。
2.网络环境下的审计范围问题
审计范围是指针对特定审计对象所开展的审计实践活动在空间上所达到的广度。传统的审计主要是对被审计单位特定时期内的会计报表及其他相关资料及其所反映的经济活动的审计。在现行环境下,审计的内容不仅仅只有传统审计中的审计内容,还要有对系统的开发、系统的控制、计算机所运行的环境进行查看。在现行的网络环境下,信息系统所持有的特点和其存在的风险决定了审计的内容必须要包括对网络信息系统的控制和处理的审查,以此证实这个业务的操作方法时候有效、真实、合法。对于像软件系统审计、硬件系统审计、对外部网络和相关审计单位、审计人员组织和内部控制审计。因为网上的交易、决策都是在网络系统上进行的,所以,审计的重点要从事后审计转变为实时审计。要在各个方面评价网络交易的安全性和参数报告所存在的风险,从而使审计固有的风险加大。
3.网络环境下的审计方法问题
因为网络环境下的会计电算化改变了审计的内容和审计的环境,所以审计的方法也要有所改变。其主要的表现有当对网络环境下的会计电算化信息活动进行审计时,所有的审计测试都必须在不改变数据库或者数据记录的条件下进行。但是由于网络系统是持续运行的,因此审计人员很难再特定的时间对被审计单位进行大规模的测试,又由于系统的复杂性、高速型和实时性,让审计人员对于已经经过测试后的系统重新复原变得非常困难。
4.网络环境下会计电算化系统的特点使审计风险控制难度增强
因为网络环境下的信息系统的特点具有开发性、分散性,所以这种形式下的会计信息的保密措施难以得到完善。计算机信息系统一方面面对着系统故障、存在着电子财务数据的非法访问、泄密、篡改和破坏的风险;另一方面还要面临着被非法入侵和剽窃电子财务数据的风险、计算机黑客破坏和病毒的风险、网络化经营管理存在的计算机舞弊问题。因此,不完善的会计信息系统会给会计信息公允地客观地反映企业财务的真是状况和真实的经营成果带来负面影响,降低了企业内部审计的控制水平,增加了审计风险的控制难度。
5.网络环境下审计人员知识的局限性使审计结论难以准确
由于网络技术的提高和会计电算化知识难度的增加,一级审计人员的计算机知识水平的要求要有所提高,所以审计人员知识的局限性也成为了检查风险、评价风险的考虑因素。在现行的网络信息环境下,因为有审计环境、审计线索、审计内容、安全控制和审计技术的改变,对于欠缺计算机知识、网络技术知识和会计电算化知识的审计人员,会因为审计线索的改变而不能发现企业的风险、不能审查企业的风险,而实质性的影响了审计的测试效果和审计结论的合理性。但是现在这样的复合型人才非常匮乏,致使在网络环境下的会计信息的审计很难得到广泛的实施,这样会极大地阻碍在网络环境下会计信息审计的发展。因此加了能够提高被审计单位财务报表审计的准确性,相关的审计部门以及会计师事务所必须拥有大量的既精通财务知识又懂的如何使用计算机网络是指以及法律知识的复合型人才。
6.网络环境下的审计准则问题
网络环境下的会计电算化系统的财务审计监督让审计的对象、审计的方法、审计的线索等等各个方面都发生了变化。以前工作人员在审计中作中建立起来的一系列的审计标准和审计准则已经不能完全的适用于现在的新情况,所以现行网络环境下的审计准则需要建立出新的审计标准和审计准则,创造出新的审计实践工作。对于现行条件下正在逐步发展的会计电算化信息系统出现的一些新的问题,在审计准则中还是有许多是空白的。诸如网络审计的事前审计准组、网络审计系统的安全可靠性评价标准、网络审计人员的一般要求、网络审计系统的内部控制准则等这些准则性的问题都是空白的。因此网络环境下的审计准则问题有待提高和完善。
7.网络环境下的审计环境问题
在对传统商业活动的审查中,在法律上最具有夏利的证据就是这些记录发生的原始资料,并且用这些原始资料作为审计的依据。在手工的会计环境下,企业所有的原始凭证、所有的报表数据都是有文字记载的,每一个程序都会有专门的人员签字,整个账务系统都会以文字的性质保存下来。因此这些原始的数据如果被人故意的修改了是很容易辨别出来的,并且会很容易找到修改的线索和修改过的痕迹。所以在传统的会计核算和审计凭证都是以这些原始的记账凭证为基础的。然而在网络环境下的会计信息系统,各项业务都是由网络确认的,这些业主的原始凭证也是在网络上登记、传递、保存的。这些网上记载的数据可以被随时修改并且可能被不留痕迹的删除,这将使得现行的会计因为没有直接的实物对象而失去可靠的审计基础,从而使得审计环境中不确定的因素增加了许多。
二、网络环境下控制审计风险的相关对策
1.审计线索方面的追踪审查
在现行的网络环境下,对于会计信息的审计跟踪大部分都是以电子信息的形式存在的,而这些信息又很容易被复式、篡改或不留痕迹的删除,因此要求审计人员要对审计线索的内部控制重点关注。我们首先要再信息系统内建立完善的操作日志和追踪文件,这样对于每一个参与过这个业务的工作人员都能够查看到他们的操作记录,能够大大的提高财务的准确性和审计的真实性;其次对于需要签字的操作记录,审计机构及被审计单位要整理出其原始数据、备份原始数据,并且形成相关的数据库,这样可以让审计的每个程序都能够得到保存;最后对于被审计单位要随时采取就地审计和突击审计的方法,以此来防止操作员对被审计系统的应用程序有所改变。
2.对数据安全方面的防范控制进一步增强
会计电算化的发展带来了一个十分重要的问题就是安全性问题。为了控制审计的风险,实际的工作中可以着重注意以下几点:第一,我们可以建立身份确认系统,在网络环境下的会计电算化的审计,为其提供多重登陆体系,多重密码保护,设定专门人员有专门的操作权限;第二,可以设置防火墙系统,通过分析、判断网络上运行的数据信息,让安全的网络数据通过,截下有可能对信息有害的数据;第三,建立反病毒软件,对于电子邮件、文件传输、网络运行的程序实施拦截管理,对存在病毒的文件进行防范和查杀。
3.对内部控制方面的了解测试进一步增强
在现行的网络环境下,对审计人员的要求是不能仅仅对原有的审计范围和内容进行审计,还要对被审计单位的信息系统的内部控制制度的健全性和实施执行情况进行符合性测试,并且找到其控制的弱点。
4.对审计信息系统的开发使用进一步完善
在现行环境下的审计,可以开发出一个从审计计划开始到出审计报告的全过程的审计信息系统。这个系统要突出他的先进性,建立健全其整个过程的有效性,采用安全可靠的方法。使用先进的实用的计算机设备和功能强、兼容性强的系统软件。
5.根据会计电算化的特点制定并健全相应的审计法规
我国与电子会计信息系统相关的法律法规还不健全,很难全部解决网络环境下的经济活动中出现的新问题,这种情况为审计人员的审计工作带来了很大的困难,也增加了会计电算化审计的不确定性。由此,我们不仅要认真推动会计电算化的法律法规建设,尽快制定出相关法律法规的意见,还要对现有的审计准则对内对外的审视,要体现出网络环境下的审计特点。
6.对复合型审计人才的培养,促使审计人员队伍的综合化进一步加强
会计电算化是电子信息现代化的产物,要适应其发展,审计人员就要尽快掌握计算机网络和审计理论的专业知识。大力培养复合型会计电算化审计人才,是我国会计电算化审计发展的关键。
综上所述,在当今信息飞速发展的时代,会计信息将会继续与网络信息系统相结合,以会计电算化信息系统为主体的会计核算将成为市场的主导。由此而看,审计也会越来越多的付诸在现行的网络大环境下,这样就需要我们更为完善以网络为主体的会计信息系统和审计系统。为了这一目标的实现,需要我们尽快完善审计的监督问题,尽可能的避免审计过程中所存在的风险,建立健全完善的法律法规体系,使审计工作更加顺利。这也要求我们的审计人员尽快的提高自己的审计专业知识、计算机专业知识,成为复合型的会计电算化审计人才。只有全面的发展这些技术,提高能力,才会更快的促进我国会计电算化审计的发展。
参考文献:
[1]仝新顺,等主编.电子商务论.清华大学出版社,2010-11.
关键词 知识经济 网络审计 挑战 对策
知识经济时代的到来,对很多学科产生了深刻的影响,审计也不例外。知识经济对审计的挑战主要表现为网络审计面临的挑战。那么何谓网络审计?网络审计就是基于互连网,借助信息技术,运用专门的,通过人机结合,对被审计单位进行远程审计。网络审计是对以往电算化审计的时空观的又一次突破,是现代审计在商务时代的新,也是电子商务的内在需求。
一、知识经济对审计的挑战
(一) 知识经济对审计线索的影响
审计线索对审计来说是极为重要的。审计工作中,审计人员正是通过跟踪审计线索,审核有关经济业务和收集审计证据的。而审计的过程,实质上就是不断收集、鉴定和综合运用审计证据的过程。在传统商务活动过程中,每笔交易都有一个完整的审计线索,交易的每一环节都有文字记录,都有经手人签字,审计线索十分清楚。审计人员可以从原始单据开始,对交易事项进行追踪,一直到报表为止;也可以从报表开始,追根寻源,一直追溯到原始单据,从而形成了顺查、逆查等审计方法。但是,实现电子商务以后,传统的单据没有了,纸质记录消失了,取而代之的是存有数据处
理资料的磁盘、磁带、光盘等,这些存储在磁性介质上的信息是机器可读的,它们不再是肉眼所能直接识别的了。此外,原始单据进入机以后,中间的交易处理由计算机自动完成,传统的审计线索在这里中断、消失了,传统的审计方法,有的已不再适用了。审计线索的肉眼不可见性,一方面增加了审计调查取证的难度,另一方面也从心理上给审计人员造成了压力。
(二) 知识经济对审计内容和范围的影响
审计内容范围有了很大的变化。在原有审计中,审计范围要根据不同的审计对象和审计目标来确定,总的看来,审计范围比较狭窄、封闭。而在电子商务活动中信息系统已经成为一个宽阔开放的系统,会计信息处理处于一个开放的空间范围,涉及到交易关联方的各个方面;同时,由于其资源的共享性,能访问会计信息以及接触会计信息的人可能涉及到整个网络用户,当然,对涉及企业商业秘密的信息仍有所限制。网络用户尤其是使用上市公司信息的用户,出于不同的动机,可能采取恶意操作行为,增加了网上行为的控制难度。因此,承担不真实以及非法数据的责任人
就不能局限于被审单位,交易双方以及相关的社会公众都将被列入审计范围。总之,电子商务活动中的任何一项审计业务,都是建立在互连网平台上的,审计活动面向网络。可见,网络审计的范围已被大大拓宽。
(三) 知识经济对审计人员素质的影响
实现网络审计以后,由于审计线索、内部控制、审计内容、审计方法与技术等的改变,决定了对审计人员要求的提高。不懂得计算机的审计人员,会因为审计线索的改变而无法跟踪审计,会因为不懂得网络审计的特点和风险而不能审查和评价其内部控制,会因为不会使用计算机和网络系统而无法对电子商务活动进行审计。实现电子商务以后,审计工作的顺利开展,必须基于一定的计算机技能、网络知识和完备的审计理论等多方面的综合运用,这对审计人员的业务素质提出了更高的要求。在这种情况下,审计人员不仅要有丰富的审计知识,而且要掌握一定的计算机、网络、通讯
、电子商务知识与技能。只有全面提高审计人员的业务素质和工作能力,才能满足网络审计工作的需要。
(四)知识经济对审计方法和技术的影响
在网络环境下,审计的对象发生了变化,大量的证据都存储在肉眼不可见的磁性介质上,对这些证据,审计人员只能利用计算机技术进行审查,即把计算机当作基本的审计工具使用,迅速、有效地完成审阅、核对、、比较等各项审计工作,从而提高审计的效率与质量。在对网络活动进行审计时,单机系统环境下的审计方法有的已不适用。这主要表现在对网络活动进行审计时,所有测试都必须在不改变数据库或记录的要件下设计具体的测试方法。由于网络系统的持续运行,使得审计人员很难让其在某一特定时间停下来接受大规模的测试,如果测试会改变数据记录,就意味着
审计人员给系统带来差错。当然,可以设计能够纠正差错的测试程序,但被审单位是否允许这种改变记录的方法,令人怀疑。同时由于系统实时的特点,也使得这种改变记录的审计方法很可能产生后遗症。由于交易数据处理的高速性和处理程序的复杂性,使得审计人员很难对经过测试后的系统重新进行复原。因而,就审计方法而言,采用整体检测法及受控处理法等进行系统测试的审计方法,对审计人员审查和评价整个电子商务系统显得尤为重要。因此,在执行网络审计任务时,审计人员往往要在系统运行的同时进行审计。
(五)知识经济对审计准则的影响
网络审计使得审计对象、审计线索、审计方法等各方面都发生了变化,人们以往在审计工作中逐步建立起的一系列审计标准和准则已不完全适用于变化了的情况,需要建立新的审计标准和准则指导审计工作实践。例如,对网络审计人员的一般要求、网络审计的事前审计准则、网络审计各系统安全可靠评价标准、网络审计系统内部控制准则等。美、英、日等国都制定了有关计算机审计的审计准则。国际审计准则中,对此也有专门的条款,详细说明了计算机审计的范围、目标、程序、技术及方法。我国的《注册会计师独立审计准则》中也有涉及到计算机辅助审计的内容,但针
对日益发展的电算化会计信息系统及随之而出现的一系列新的,审计准则中尚存在许多空白。
二、知识条件下的审计对策
的诞生给审计带来了一系列的挑战。面对知识经济的巨大冲击,我们应当组织力量对未来审计进行,寻求对策,迎接挑战。
(一)针对“无纸化”,为了解决审计线索,从而更有效地审计机系统,应注意下列问题:(1)在系统设计和开发过程中必须提出审计要求,系统的各种数据文件都应留下审计线索,除应保证会计数据文件的打印输出外,还应将会计数据文件以可审计的形式进行存储保留;(2)审计人员可利用计算机方便地获取被审计单位计算机会计信息系统中的数据文件,通过必要的数据转换,使其成为审计人员可识别的数据文件形式,再进行各种数据的重新组合和处理,以达到审计目的;(3)借助于最新研究开发的跟踪软件等。
(二)由于网络审计和范围的扩大,因而要做到以下几点:1、对于审计内容,注意原有审计业务的深度,考虑更深层次的审计要求,如无形资产的计算机软件的审计等。2、注意对系统的审计,尤其要考虑以下事项(1)审查和检测系统程序;(2)审查系统本身是否合规合法;(3)对系统的内部控制制度进行评审;(4)审查是否健全了机房管理制度。3、由于网络中更多公众的参与,还应关注相关公众的审计。
(三)针对网络审计对人才的挑战,一般可以尝试以下解决:(1)系统审计风险方面的知识,掌握新的审计方法。重视从审计立项到审计结论的每一个步骤,并采取相应的风险防范措施,使每一个环节的风险减少到最低程度。(2)更新审计监督观念。入世后,审计监督的重点应从有形资产审计转移到无形资产审计,重视管理方面和效益的审计,强化高新技术产业的审计,并促使其快速成长。(3)树立竞争观念,培养创新意识。知识经济条件下,信息化技术对经济的促进作用进一步加强,应提高审计人员对信息经济的认识,树立面向经济的竞争观念,?
嘌艚莸姆从δ芰痛蟮ù葱碌囊馐丁;剿魇视π畔⒕玫牧榛罡咝У纳蠹颇J胶头椒ǎ姹苌蠹品缦铡#?)改革和培训模式,提高审计人员的素质和业务水平。未来知识经济的竞争是人才的竞争,要培养面向知识经济的高素质审计人才,就必须改革现有的教育和培训模式,建立面向知识经济的教育和培训模式,用新的方式、新的观念,全方位的培养和选拔人才。推行素质教育,实施终身教育;改革教育、培训方法和手段,教研结合,学研结合,以培养和造就一大批一流水平的审计人才。
(四)作为一个经济服务领域,审计应注意以下问题:(1)要充分利用和维护已有的适应于自己的维系共同利益的体系;(2)审计服务由于要处处体现其独立性,从而存在其自身的特征,因此迫切需要一套符合自身发展的法律来规范,这就需要建立起规范网络审计的审计准则。就新的审计准则而言,必须做到既有独创的一面,又有沿袭传统的一面。说它独创性的一面,主要表现在规范审计的网络信息系统为中心的一整套制度以及版本的业务约定书、管理层说明书、审计报告等电子文件的合法化,这些制度具有浓厚的网络特色,这与传统审计准则具有明显的
区别;由于网络审计在审计独立性、客观公正以及审计的职业道德等方面仍然类似于传统审计,并且有时还离不开实地审计的参与,所以在规范类似审计方面可以适当的沿袭仍适用的传统审计准则。基于上述网络审计法律环境的建立,网络审计的运作将更加规范,更有保障。
(五)迎接挑战,技术革新是关键。应注意以下方面:(1)适应知识经济的特点和要求,开发新的审计程序和方法。审计重点将由原来审计线索的审核与查找,转向系统、设计过程等。(2)充分利用信息和网络技术 ,革新审计技术手段。(3)建立健全现代信息技术下的内控制度。传统会计岗位职责的打破,内控制度复杂化,带来新的审计风险,要求建立全新的内控制度,制定更为周密的审计计划,开发更科学的测试内控制度的技术,以适应这一变化。
在网络经济的环境下,审计模式的改变,不再是简单的修补和完善,而是一次深刻的变革,这也充分体现出网络经济的特征。不管是审计的内容范围,还是法律环境,归根结蒂只有不断研究探索新的方法、新的途径,才能成为传统审计模式的重塑者,为传统审计模式的退出创造条件。
:
李志方 《网络审计模式创新初探》 《财会通讯》 2002.01
杨 静 《知识经济对审计的挑战》 《财会通讯》 2001.10
王玉春 《论电子商务时代的网络审计》 《财会与会计》 2001.07
张金城 《电子商务对审计实务的》 《财会与会计》 2000.10
21世纪是知识经济占主导地位的时代。知识经济的到来,使整个社会经济生活都发生着深刻的变化;而网络对经济领域的影响日益巨大。网络审计亦是如此。试从网络审计产生的动因、网络时代审计的特点、审计技术等理论要素角度浅析网络审计面临的挑战与对策。
论文第一部分阐述网络审计产生的动因。网络信息技术的飞速发展,使得全球经济向一体化方向发展,新的经济模式迫使会计信息系统必须进行创新,而且信息技术也为管理创新提供了强有力的技术支持。作为社会中介监督服务的审计也必然随着客观环境的变化而不断创新,以全新的审计模式来打破传统审计模式的束缚,利用计算机网络技术来开展审计业务,不仅可以提高审计工作质量和工作效率,而且使审计信息资源充分共享,网络审计是审计发展的必然趋势。网络审计的诞生主要有以下动因:
1.新的经济运作机制的需要。随着信息高科技的飞速发展,Internet技术的不断成熟以及电子商务模式在企业中的广泛运用,使信息的处理和传递突破了时空的界限,电子商务不仅提供了集物流、资金流和信息流于一体的商务交易模式,而且其快捷、方便、高效率、高效益等特征也改变了经济的结构和运作方式。
2.审计组织自身发展的需要。在网络经济时代,随着客户业务的发展,越来越需要中介服务机构提供实时化、个性化的服务,这就促使审计组织向在线实时服务为主的方向发展,充分利用网络的低成本、快捷性和跨越时空性等优势来开展业务。
3.会计信息系统发展的需要。
第二部分介绍网络审计的特点。在全球信息化的趋势下,诞生了网络技术和审计相结合的高科技产物——网络审计。网络审计是在网络环境下,借助大容量的信息数据库,并运用专业的审计软件对资源共享和授权资源提供实时、在线的个性化审计服务。网络审计已呈现出传统审计无以伦比的特点和优越性:
1.审计信息资源充分共享。众所周知,审计信息、审计报告是有关投资人、债权人及其它相关主体进行理性决策所必不可少的信息资源。
2.审计信息数据传递网络化。网络审计能够充分利用各种现代化通讯设施,对被审计单位会计报表、经营业绩进行审计测试,形成审计结论,维护委托人和社会公众的合法权益。
3.审计报告的实时性。在网络环境下审计组织通过建立网络平台,对被审计单位进行实时审计追踪,可以提高审计工作效率,强化审计工作的指向性。
4.审计服务智能化。网络环境下,审计组织为委托单位提供审计服务的特征为:智能化的面向客户服务,开放式资源共享,模块化动态组合,最大限度的维护委托单位的利益。
5.审计费用成本低。
关键词:安全审计;监控系统;系统设计;系统应用;信息网络
中图分类号:TP39;F239文献标识码:A文章编号:1003-5168(2015)08-0006-3
随着计算机技术、信息技术不断推陈出新,各类威胁到网络信息安全的因素越来越多,虽然防火墙与外部检测技术等能够在某种程度上防止网络的外部入侵,保护数据信息不受侵犯[1]。但也会因入侵技术的更新和漏洞的长期存在而无法彻底保障网络处于安全状态。因此,在现有技术的基础上,通过引入安全审计系统对用户的网络行为加以记录,对网络安全隐患给出评判具有重要的现实意义。
1网络安全审计的必要性
1.1提高企业数据安全管理绩效
近年来,我国信息化程度不断加深,尤其新媒体技术和自媒体技术的出现,企业信息的网络化、无边界化趋势越来越明显,也使得网络信息安全问题不断突显。在这种情况下,无论是企业本身还是参与网络信息提供和维护的第三方,在端口和信息通道内都加强了对信息安全策略的部署,无论是信息的控制还是数据的授权,都在大量管理制度和规则下运行。即便如此,与网络信息安全相关的各类故障还是不断出现,甚至会给企业的网络运营和实际经营都造成了消极影响。但是,当我们对信息安全漏洞进行分析和查验时发现,一些严重的信息安全问题之所以会由于不合规、不合法而给利益相关者造成经济损失,其中一个重要原因便是一些内部“合法”用户的“非法”操作。这是因为,对于一般的网络信息或者数据,借助防火墙、防病毒软件、反入侵系统等都能够解决,在一定程度上能够保证信息安全。可是一旦内部人员在缺乏监管的情况下进行违规操作,就会使在信息外部建立起来的防线无能为力[2]。一项最新的调查显示,企业内部人员是对企业网络信息进行攻击最为严重也最难防范的。在这种情况下,亟须提高企业的内部审计能力,对内部用户的误用、滥用信息行为进行审计和监管,对那些可能或者已经造成各种安全事故的人员,在要求其协助网管人员找出原因外,还对其按照相关法律法规进行严肃处理,以杜绝此类事件再次发生。
1.2提高网络运维绩效
当前,在网络环境中构建统一的安全审计平台,提高网络运维绩效,是十分必要的。在这一平台之上,能够对重要设备系统的安全信息进行统一监管,以便能够在海量数据中挖掘出有价值的信息,使信息的获取和使用更加有效。可见,提高网络信息的可靠性和真实性,借助网络信息安全审计提供网络运维管理绩效,是网络化运营需要认真思考的问题[3]。实际上,信息的安全防御是信息安全审计的一种,都是要在信息生产的源头对其进行管理和监控,并对可能对信息安全造成威胁的因素加以防范。而即便在信息源头未能做到完全的安全防范,在事后也可以借助各种技术手段及时分析安全防御系统中可能存在的各类漏洞。甚至能够在安全防御的过程中,对非法操作行为和动作进行还原,使违法、违规用户的不当操作暴露出来,为认定其非法行为提供真实有效的客观证据。因此,对网络信息进行安全审计是一项复杂的系统工程,不但要规范网络、主机以及数据库的访问行为,还要对用户的使用习惯、信息内容形成和改变进行监控和审计,以便有效地完成对各类信息的监管,提高信息质量,为企事业单位的信息运用和网络运营提供安全保障。
1.3提高网络信息安全性
在网络空间中,有以下安全问题值得用户关注并予以重视:①通过访问控制机制强化对网络信息进行安全审计和信息监控是十分必要的,这种做法不但能提高网络信息的安全性,还能在访问控制的作用下,限制外来用户对关键资源的访问,以保证非法用户对信息或数据的入侵,同时也能对合法用户的行为进行规范,防止因操作不当而造成破坏[4]。需要注意的,访问控制系统不但界定了访问主体还界定了访问,其目的在于检测与防止系统中的非法访问。而借助对访问控制机制的管理和设计,能在很大程度上实现对网络信息的安全审计,使网络信息处在安全状态;②虽然网络是开放的,但网络数据却具有私有性,只有在被授权的情况下才能让非用户或者原始使用者访问,否则将被控制在不可见的范围。为了实现这一点,就需要进行网络安全管理,包括网络安全审计,通过信息加密,比如加密关键字或者授权机制、访问控制等。为了提高网络信息安全水平,还要维护与检查安全日志;③提高网络信息安全性,为社会组织的网络化行为提供安全保障,除了要对现实中传输的信息进行安全审查外,对网络中传输的信息也要进行安全审计,通过对网络操作行为的监控,评判信息的安全等级,有针对性地对网络加以控制。
2信息时代网络安全审计的关键技术与监控范畴
在网络信息安全审计的过程中,为了最大限度地提高审计效果,不但需要借助多种信息、网络和计算机技术,还应进一步界定网络审计的监控范围,使网络信息安全审计能够在更为广阔的领域得到应用。
2.1网络安全审计的关键技术
在前文的分析中可知,在当前网络环境中,网络信息安全的直接威胁主要来自网络内部,要建立切实有效的监督体制,对有破坏信息安全倾向的员工进行监督,以保障信息安全。为了实现这个目标,除了要在制度上加以制约外,还应借助以下网络安全审计技术:①基于的网络安全审计技术。借助该技术构建起来的信息安全系统以网络主机为载体,以分布式方式运行。这一技术虽然能够很好地防范信息安全威胁,但是由于监视器是这一信息系统的核心模块,需要高度保护,一旦出现故障,就会引发其他转发器都陷入被动境地,无法正常提交结果;②基于数据挖掘的网络安全审计技术。数据挖掘是近几年被广泛采用的信息安全技术,以此为基础建立起来的网络安全审计系统能够借助数据挖掘技术或者大数据技术,以大量日志行为为样本,对数据中体现出来的行为进行描述、判断与比较,特征模型,并最终对用户行为特征和行为结果进行界定;③基于神经网络的审计技术。神经网络是计算机应用领域中广泛采用的技术,该关键技术的使用能够改变网络单元状态,使连接权值处在动态之中,一旦加入一个连接或者移去一个连接,就能够向管理者指示出现了事件异常,需要果断采取行动保证信息安全。单纯使用该技术所产生的作用是十分有限的。一般情况下,要将多种技术配合使用,以便能对出现的异常情况做出解释,这对确认用户或者事故责任人是有明显帮助的;④借助专家系统构建的网络安全审计技术。该技术较于其他技术能够将信息系统的控制推理独立出来,使问题的解决能够借助输入的信息。为了评估这些事实,在运行审计系统之前,需要编写规则代码,而这也恰是能够有效防范网络信息安全威胁的有效手段。
2.2网络信息安全审计的监控范畴
2.2.1信息安全审计方法。经验表明,一些网络信息安全审计系统可以借助远程登录完成对服务器的管理和对应用系统、数据库系统的记录等,用户的操作行为和操作习惯会在服务器上留下痕迹。该类安全审计一般要按照以下步骤进行:采集对被审计单位的相关信息数据,以保证数据的全面性与完整性;对采集到的数据信息进行综合分析与处理,使之能够转换成对于审计工作对应的数据形式;借助计算机审计软件完成对审计数据的复核。按照业内的经验,在网络信息安全审计的设计过程中,需要将数据采集环节作为整个审计工作的前提与基础,是其中的核心环节,否则,将无法保证数据的完整性、全面性和准确性以及及时性,后面的审计工作也就无法正常开展。一般而言,借助互联网进行审计数据的采集主要有直接读取数据和记住数据库连接件读取两种方式,它们之间具有相似性。按照这两种方式完成数据采集,一旦其中一方数据的存储格式改变,就应及时对数据采集全部存储格式进行调整。这样就会导致数据采集效率和效果受到影响,降低信息安全审计的灵活性。因此,在实际操作中,要保证数据存储格式的一致性,防止审计低效。
2.2.2信息安全审计设备。在网络信息安全审计中,只要将需要管理的网络设备(比如出口路由器、核心交换机、汇聚交换机与接入交换机等)添加到相关安全审计系统之中,就能够获得发送过来的SNMP数据包。随后,信息安全审计系统就会对数据包依据事件的等级和重要性予以分类,以便在后续的查询和使用中更加方便。实际上,网络的信息安全设备种类繁多,具体操作方法也大同小异。只要按照不同厂商设备的设置步骤和原则,开启对应的SNMP功能之后,将相关设备添加到网络中安全审计系统之后,就能够进行相关操作。当然,在这一过程中,要对串联在网络中的设备予以重点关注,要保证甚至能够允许SNMP数据包通过。由此可以看出,借助安全设备实现对网络信息的监控和审计,能够为网络信息安全提供必要保障。当然,由于监控信息会不断更新,加之由于海量数据造成的压力,要依照实际需求确定监控信息可以被记录,以便能够缩小记录范围,为信息安全审计提供更有价值、更具针对性的数据。
2.2.3信息安全审计流程。通过指派权限,设备管理员能够更为直观和真实地了解对应设备的操作过程。如果在这一过程中出现了故障,可以对应地分析和查找问题,找到解决问题的途径。此外,网络信息系统的类别较多,以不同平台或者中间件定制开发的系统也不尽相同。在这种情况下,就需要以信息手册为蓝本,在与开发人员进行沟通之后,确定开放日志接口,并将其纳入到网络信息安全审计的范畴。
3网络信息安全审计监控系统的设计与应用
3.1网络信息安全审计系统的运行设计
当前,网络信息安全审计系统经常使用两个端口,其主要任务便是对联入局域网系统的核心部位交换机与服务器进行数据和信息交换。而为了更好地收集与存放信息安全审计数据,无论是系统日志还是安全审计系统的安全管控中心,都要设在同一服务器之上。这样一来,基于网络的信息安全审计系统就能够在搜集安全审计系统内部数据的同时,按照要求从相关子系统模块中获取数据,以保证各个系统内的信息实现共享,提高信息安全审计的效率。
3.2网络信息安全审计系统的实现
网络信息安全审计系统不但是一个能够帮助企业完成内部经济管理与效益控制的系统,社会组织还能借助网络安全监控体系,实现对网络操作对象的实时监控,保证网络操作中相关文件与数据的安全。这一审计系统的工作原理为:①借助网络文件监控能够实现消息的安全传递,借助标签维护可实现对安全标签的及时、正确处理;②借助多线程技术,构建网络信息安全监控系统的驱动程序消息控制模块,实现对驱动程序的全程监视,并保证信息接收与发送过程处在安全保护之中;③借助系统程序中的文件对用户进程中的相关文件操作予以过滤、监视和拦截,以保证网络数据访问处在全面审核与严格控制之中,使网络环境中文件的安全得到保障。
3.3网络信息安全审计系统的实际应用
通常而言,网络信息安全审计系统的实际应用需要在动态管理的状态下进行。只有这样,才能在投入使用之后,完全、精准地记录用户的网上操作行为,也能对数据库服务器的运行予以全面监控。比如,一旦企业员工通过“合法手段”对业务系统的安全性造成了威胁,那么这类“非法操作”等网络行为就会被记录和禁止。这是因为用户的相关行为能够映射到网络信息安全审计系统之中,管理者能够借此对用户信息和相关操作进行快速定位,在极短的时间内就能够查出事故责任人,为信息安全运行和非法行为的处置都提供极大便利。此外,基于先进技术建立起来的网络信息安全审计系统,还可以在全局层面上监视网络安全状况,对出现的任何问题都能够予以有效把控,对那些可能造成企业重大变故或者机密、核心信息的外泄行为,能够借助网络信息实时动态监控系统做出积极反应。
参考文献:
[1]付晓坤.网络安全审计技术的运用[J].中国水运,2013(9):50-51.
[2]张文颖.探讨网络安全中安全审计与监控系统的设计与实现[J].电脑知识与技术,2013(16):37-38.
[3]伍闽敏.建设企业计算机网络安全审计系统的必要性及其技术要求[J].信息安全与技术,2011(12):34-36.
[关键词]学校;网络安全;审计
doi:10.3969/j.issn.1673 - 0194.2016.04.041
[中图分类号]F239.1;TP393.18 [文献标识码]A [文章编号]1673-0194(2016)04-00-02
随着我国互联网技术的快速发展,基础的网络设施得到进一步完善,互联网在各企事业单位中得到充分利用。近几年,学校投入大量人力、物力、财力进行信息化建设,利用网络来管理校园工作、信息,提高了学校的工作效率。在信息系统快速发展的同时,网络管理的安全问题日益突出。因为学校的工作人员除了利用网络办公外,还有利用网络购物等一些与办公无关的行为,这之间可能有意无意地泄露了学校的机密,学校很难追查是谁泄密的。因此,如果对网络不进行监管,网络安全问题将成为学校的效率的杀手,并给学校带来很多麻烦。
1 网络审计功能特性概述
1.1 机器分组管理
网络审计可以实现对局域网内IP地址和机器名的搜索,并对搜索到的机器信息进行分组管理。自动分组功能可实现对指定IP段机器的自动分组,可生成多级树形结构的组织架构,针对不同级别来进行分组管理。
1.2 上网人员控制
网络审计支持12种认证和识别方式,包括邮箱认证、AD域认证、本地Web认证等,可以设定部分或全部机器须用账号上网,通过对账号的分组管理,可实现在同一机器上不同用户具有不同的上网活动权限。
1.3 丰富的策略分配机制
网络审计支持针对组织全局和部分的控制,支持对组织内用户账号、IP、MAC、分组的策略分配根据上网人员的账号或机器及上机范围来对其网络活动权限进行控制。
1.4 全系列娱乐应用封堵
网络审计系统支持对魔兽世界、QQ游戏等近百个市场上主流的网络游戏,大智慧、指南针等二十几个财经股票软件,以及MSN、QQ等常用的即时通讯工具进行实时的封堵,保障组织人员的工作学习效率。
1.5 针对关键字的封堵控制
网络审计支持针对内容关键字的各种应用封堵,包括文件传输、远程登陆、邮件收发、即时通讯等,支持针对用户名的关键字模糊匹配,支持对文件传输的文件类型以及文件内容关键字进行封堵控制,支持邮件内容、标题、附件名、附件内容以及发送、抄送、暗送的地址进行关键字封堵,保障组织内部的敏感信息不外泄。
1.6 URL地址关键字过滤
根据上网请求,对URL中的关键字进行智能模糊匹配过滤,与关键字匹配的网址将被限制访问。
1.7 流量封堵控制
网络审计支持对用户的日、周、月流量进行上网控制,支持对上行、下行流量进行分别统计控制,用户在每日、周、月流量限额用完后将无法正常上网,控制组织内用户的外网访问流量。
1.8 用户自定义协议控制
对于系统未知的协议类型和网络应用,用户可根据自己的需要,添加相应的协议特征实现对自定义协议的审计和控制。
1.9 审计网络行为
系统的网络数据包通过捕获来分析,不仅可以还原完整原始信息协议,还可以准确地记录关键信息的网络访问。网络审计系统支持几乎所有的网络行为的审计,能识别所有常用网络协议的应用,支持对几乎所有网络搜索引擎关键字的审计,支持对网页登录、聊天工具登录、网络游戏登录等应用登录的账号审计。
1.10 深度内容审计
网络审计系统可获取邮件、论坛发帖、聊天记录等所有内容,支持所有Web邮件、SMTP/POP3邮件的内容和附件审计,支持对热点论坛、博客、微博的发帖、留言等的内容及附件审计,支持对网页聊天室、MSN、飞信等聊天工具的聊天内容审计。
1.11 敏感信息告警
网络审计系统可设置行为报警策略和内容关键字审计策略,对触发敏感信息的网络行为进行行为告警处理,对触发敏感内容关键字的论坛发帖、网络聊天、邮件收发等行为进行相应报警处理,支持邮箱和短信的报警方式。
1.12 报表统计与数据分析
网络审计系统支持对用户、行为、关键字、流量及趋势等的数据统计,生成报表及数据分析和展示。通过数据的柱形统计图清晰明了地展现出组织内用户的网络行为情况,IT决策人员通过图形情况了解用户上网行为趋势、了解组织带宽利用分布,可以提出整改网络带宽方案作为参考之用。
2 网络审计部署概述
网络审计系统部署通过分布式部署和串接部署这两种方式进行灵活的结合,如果在不同的网络的环境,可以实现不同的管理模式以及不同的目的控制。下面简单地介绍3种典型的部署方案及其示意图。
2.1 单台旁路铜纤镜像
第一种部署方案是单台旁路铜纤镜像,用户的交换机必须对端口镜像进行支持,它们之间的连接必须以铜缆为介质,这是它的适用环境。该方案主要用于简单的学校和企业的二层和三层网络,审计设备主要是从交换机的镜像端口获取数据,并且该方案旁路部署接入的是最有代表的方案。该方案对原有网络的性能没有影响,而且部署简单、容易维护,如图1所示。
图1 单台旁路铜纤镜像
2.2 单台旁路光纤镜像
第二种部署方案是单台旁路光纤镜像,它适用的环境是用户的交换机必须支持端口的镜像,它们之间必须以光纤作为介质来连接。该方案是审计设备使用光纤作为介质来用于端口镜像最典型的方案,它主要用在学校及企业的二层或三层网络上,和第一种方案一样都是通过镜像端口来获取数据,获取的数据要使用相应的协议对它进行还原分析。该方案部署方便且简单,维护也非常容易,对原来的网络没有影响,如图2所示。
2.3 光纤网络双链路分光
第三种部署方案是光纤网络双链路分光,用户使用的交换机不能用来做端口镜像,必须具备2个或以上,并且独立的物理网络,还有就是在一个逻辑的网络中,使用具有核心功能的两台交换机建立一个均衡或热备的网络,通过上面描述的条件才能使用该方案。该方案是在对千兆线路解决的情况下,交换机不能做端口镜像的时候采用的分光的方案,该分光器采用双向的链路对两组分别进行分光,然后使用4个光口捕获审计数据,并对获得的数据进行还原及更深层次地分析。该方案使用一台审计设备可以同时捕获一个很冗余或两个不通的网络数据,此方案是光纤部署最典型的方案,如图3所示。
图2 单台旁路光纤镜像
图3 光纤网络双链路分光
3 结 语
本文介绍了网络审计系统的功能特性及其部署方式,网络审计系统主要包括上网人的控制、全面的网络行为审计、深度内容审计、敏感信息告警等功能;部署方式主要介绍了单台旁路铜纤镜像、单台旁路光纤镜像及光纤网络双链路分光等三种部署方式。学校安装审计系统和使用设计系统,能帮助管理人员对学校上网的人员进行审计、记录及分析,使管理员有针对性地对网络进行管理。
主要参考文献
[1]郝占军.网络流量分析与预测模型研究[D].兰州:西北师范大学,2011.
[2]凌波,柳景超,张志祥.基于Windows终端信息过滤的网络访问控制研究[J].计算机工程与设计,2011(1).
[3]邓小榕,陈龙,王国胤.安全审计数据的综合审计分析方法[J].重庆邮电学院学报:自然科学版,2005(5).
购物车(0)