关键词: 涉密网络;安全审计;主机审计;系统设计
1 引 言
随着网络与信息系统的广泛使用,网络与信息系统安全问题逐渐成为人们关注的焦点。
涉密网与因特网之间一般采取了物理隔离的安全措施,在一定程度上保证了内部网络的安全性。然而,网络安全管理人员仍然会对所管理网络的安全状况感到担忧,因为整个网络安全的薄弱环节往往出现在终端用户。网络安全存在着“木桶”效应,单个用户计算机的安全性不足时刻威胁着整个网络的安全[ 1 ] 。如何加强对终端用户计算机的安全管理成为一个急待解决的问题。
本文从系统的、整体的、动态的角度,参照国家对安全审计产品的技术要求和对部分主机审计软件的了解,结合实际的信息安全管理需求,讨论主机审计系统的设计,达到对终端用户的有效管理和控制。
2 安全审计概念。
计算机网络信息系统中信息的机密性、完整性、可控性、可用性和不可否认性,简称“五性”,安全审计是这“五性”的重要保障之一[2 ] 。
凡是对于网络信息系统的薄弱环节进行测试、评估和分析,以找到极佳途径在最大限度保障安全的基础上使得业务正常运行的一切行为和手段,都可以叫做安全审计[3 ] 。
传统的安全审计多为“日志记录”,注重事后的审计,强调审计的威慑作用和安全事件的可核查性。随着国家信息安全政策的改变,美国首先在信息保障技术框架( ia tf) 中提出在信息基础设置中进行所谓“深层防御策略(defense2in2dept h st rategy) ”,对安全审计系统提出了参与主动保护和主动响应的要求[4 ] 。这就是现代网络安全审计的雏形,突破了以往“日志记录”
等浅层次的安全审计概念,是全方位、分布式、多层次的强审计概念,符合信息保障技术框架提出的保护、检测、反应和恢复( pdrr) 动态过程的要求,在提高审计广度和深度的基础上,做到对信息的主动保护和主动响应。
3 主机审计系统设计。
安全审计从技术上分为网络审计、数据库审计、主机审计、应用审计和综合审计。主机审计就是获取、记录被审计主机的状态信息和敏感操作,并从已有的主机系统审计记录中提取信息,依据审计规则分析判断是否有违规行为。
一般网络系统的主机审计多采用传统的审计,涉密系统的主机审计应采用现代综合审计,做到对信息的主动保护和主动响应。因此,涉密网络的主机审计在设计时就应该全方位进行考虑。
3. 1 体系架构。
主机审计系统由控制中心、受控端、管理端等三部分组成。管理端和控制中心间为b/ s架构,管理端通过浏览器访问控制中心。对于管理端,其操作系统应不限于windows ,浏览器也不是只有ie。管理端地位重要,应有一定保护措施,同时管理端和控制中心的通讯应有安全保障,可考虑隔离措施和shttp 协议。
主机审计能够分不同的角色来使用,至少划分安全策略管理员、审计管理员、系统管理员。
安全策略管理员按照制定的监控审计策略进行实施;审计管理员负责定期审计收集的信息,根据策略判断用户行为(包括三个管理员的行为) 是否违规,出审计报告;系统管理员负责分配安全策略管理员和审计管理员的权限。三员的任何操作系统有相应记录,对系统的操作互相配合,同时互相监督,既方便管理,又保证整个监控体系和系统本身的安全。控制中心是审计系统的核心,所有信息都保存在控制中心。因此,控制中心的操作系统和数据库最好是国内自己研发的。控制中心的存储空间到一定限额时报警,提醒管理员及时备份并删除信息,保证审计系统能够采集新的信息。
3. 2 安全策略管理。
不同的安全策略得到的审计信息不同。安全策略与管理策略紧密挂钩,体现安全管理意志。在审计系统上实施安全策略前,应根据安全管理思想,结合审计系统能够实现的技术途径,制定详细的安全策略,由安全员按照安全策略具体实施。如安全策略可以分部门、分小组制定并执行。安全策略越完善,审计越彻底,越能反映主机的安全状态。
主机审计的安全策略由控制中心统一管理,策略发放采取推拉结合的方式,即由控制中心向受控端推送策略和受控端向控制中心拉策略的方式。当安全策略发生更改时,控制中心可以及时将策略发给受控端。但是,当受控端安装了防火墙时,推送方式将受阻,安全策略发送不到受控端。由受控端向控制中心定期拉策略,可以保证受控端和控制中心的通讯不会因为安装个人防火墙或其他认证保护措施而中断。联网主机(服务器、联网pc 机) 通过网络接收控制中心的管理策略向控制中心传递审计信息。单机(桌面pc 或笔记本) 通过外置磁介质(如u 盘、移动硬盘) 接收控制中心管理策略。审计信息存放在主机内,由管理员定期通过外置磁介质将审计信息传递给控制中心。所有通讯采用ssl 加密方式传输,确保数据在传输过程中不会被篡改或欺骗。
为了防止受控端脱离控制中心管理,受控端程序应由安全员统一安装在受控主机,并与受控主机的网卡地址、ip 地址绑定。该程序做到不可随意卸载,不能随意关闭审计服务,且不影响受控端的运行性能。受控端一旦安装受控程序,只有重装操作系统或由安全员卸载,才能脱离控制中心的管理。联网时自动将信息传到控制中心,以保证审计服务不会被绕过。
3. 3 审计主机范围。
涉密信息系统中的主机有联网主机、单机等。常用操作系统包括windows 98 ,windows2000 ,windows xp ,linux ,unix 等。主机审计系统的受控端支持装有不同操作系统的联网主机、单机等,实现使用同一软件解决联网机、单机、笔记本的审计问题。
根据国家有关规定,涉密信息系统划分为不同安全域。安全域可通过划分虚拟网实现,也可通过设置安全隔离设备(如防火墙) 实现。主机审计系统应考虑不同安全域中主机的管理和控制,即能够对不同网段的受控端和安装了防火墙的受控端进行控制并将信息收集到控制中心,以便统一进行审计。同时能给出简单网络拓扑,为管理人员提供方便。
3. 4 主机行为监控。
一般计算机使用人员对计算机软硬件尤其是信息安全知识了解不多,不清楚计算机的安全状态。主机审计系统的受控端软件应具有主机安全状态自检功能,主要用于检查终端的安全策略执行情况,包括补丁安装、弱口令、软件安装、杀毒软件安装等,形成检查报告,让使用人员对本机的安全状况有一个清楚的认识,从而有针对性地采取措施。自检功能可由使用人员自行开启或关闭。检查报告上传给控制中心。
主机审计系统对使用受控端主机人员的行为进行限制、监控和记录,包括对文档的修改、拷贝、打印的监控和记录,拨号上网行为的监控和记录,各种外置接口的禁止或启用(并口、串口、usb 接口等) ,对usb 设备进行分类管理,如usb 存储设备(u 盘,活动硬盘) 、usb 输入设备(usb 键盘、鼠标) 、usb2key以及自定义设备。通过分类和灵活设置,增强实用性,对受控主机添加和删除设备进行监控和记录,对未安装受控端的主机接入网络拒绝并报警,防止非法主机的接入。
主机审计系统对接入计算机的存储介质进行认证、控制和报警。做到经过认证的合法介质可以从主机拷贝信息;未通过认证的非法介质只能将信息拷入主机内,不能从主机拷出信息到介质内,否则产生报警信息,防止信息被有意或者无意从存储设备(尤其是移动存储设备) 泄漏出去。在认证时,把介质分类标识为非密、秘密、机密。当合法介质从主机拷贝信息时,判断信息密级(国家有关部门规定,涉密信息必须有密级标识) ,拒绝低密级介质拷贝高密级信息。
在认证时,把移动介质编号,编号与使用人员对应。移动介质接入主机操作时记录下移动介质编号,以便审计时介质与人对应。涉密信息被拷贝时会自动加密存储在移动介质上,加密存储在移动介质上的信息也只能在装有受控端的主机上读写,读写时自动解密。认证信息只有在移动介质被格式化时才能清除,否则无法删除。有防止系统自动读取介质内文档的功能,避免移动介质接在计算机上(无论是合法还是非法计算机) 被系统自动将所有文档读到计算机上。
3. 5 综合审计及处理措施。
要达到综合审计,主机审计系统需要通过标准接口对多种类型、多个品牌的安全产品进行管理,如主机ids、主机防火墙、防病毒软件等,将这些安全产品的日志、安全事件集中收集管理,实现日志的集中分析、审计与报告。同时,通过对安全事件的关联分析,发现潜在的攻击征兆和安全趋势,确保任何安全事件、事故得到及时的响应和处理。把主机上一个个原本分离的网络安全产品联结成一个有机协作的整体,实现主机安全管理过程实时状态监测、动态策略调整、综合安全审计、数据关联处理以及恰当及时的威胁响应,从而有效提升用户主机的可管理性和安全水平,为整体安全策略制定和实施提供可靠依据。
系统的安全隐患可以从审计报告反映出来,因此审计系统的审计报告是很重要的。审计报告应将收集到的所有信息综合审计,按要求显示并打印出来,能用图形说明问题,能按标准格式(word、html 、文本文件等) 输出。但是,审计信息数据多,直接将收集的信息分类整理形成的报告不能很好的说明问题,还应配合审计员的人工分析。这些信息可以由审计员定期从控制中心数据库备份恢复。备份的数据自动加密,恢复时自动解密。审计信息也可以删除,但是删除操作只能由审计员发起,经安全员确认后才执行,以保证审计信息的安全性、完整性。
审计系统发现问题的修复措施一般有打补丁、停止服务、升级或更换程序、去除特洛伊等后门程序、修改配置和权限、专门的解决方案等。为了保证所有主机都能得到有效地处理,通过控制中心统一向受控端发送软件升级包、软件补丁。发送时针对不同版本操作系统,由受控端自行选择是否自动执行。因为有些软件升级包、软件补丁与应用程序有冲突,会影响终端用户的工作。针对这种情况,只能采取专门的解决方案。
在复杂的网络环境中,一个涉密网往往由不同的操作系统、服务器,防火墙和入侵检测等众多的安全产品组成。网络一旦遭受攻击后,专业人员会把不同日志系统里的日志提取出来进行分析。不同系统的时间没有经过任何校准,会不必要地增加日志分析人员的工作量。系统应提供全网统一的时钟服务,将控制中心设置为标准时间,受控端在接收管理的同时,与控制中心保持时间同步,实现审计系统的时间一致性,从而提供有效的入侵检测和事后追查机制。
4 结束语
涉密系统的终端安全管理是一个非常重要的问题,也是一个复杂的问题,涉及到多方面的因素。本文从体系架构、安全策略管理、审计主机范围、主机行为监控、综合审计及处理措施等方面提出主机审计系统的设计思想,旨在与广大同行交流,共同推进主机审计系统的开发和研究,最终开发出一个全方位的符合涉密系统终端安全管理需求的系统。
参考文献:
[1 ] 网络安全监控平台技术白皮书。 北京理工大学信息安全与对抗技术研究中心,2005.
[2 ] 王雪来。 涉密计算机信息系统的安全审计。 见:中国计算机学会信息保密专业委员会论文集,13 :67 - 72.
1利用网络及安全管理的漏洞窥探用户口令或电子帐号,冒充合法用户作案,篡改磁性介质记录窃取资产。
2利用网络远距离窃取企业的商业秘密以换取钱财,或利用网络传播计算机病毒以破坏企业的信息系统。
3建立在计算机网络基础上的电子商贸使贸易趋向“无纸化”,越来越多的经济业务的原始记录以电子凭证的方式存在和传递。不法之徒通过改变电子货币帐单、银行结算单及其它帐单,就有可能将公私财产的所有权进行转移。
计算机网络带来会计系统的开放与数据共享,而开放与共享的基础则是安全。企业一方面通过网络开放自己,向全世界推销自己的形象和产品,实现电子贸易、电子信息交换,但也需要守住自己的商业秘密、管理秘密和财务秘密,而其中已实现了电子化且具有货币价值的会计秘密、理财秘密是最重要的。我们有必要为它创造一个安全的环境,抵抗来自系统内外的各种干扰和威协,做到该开放的放开共享,该封闭的要让黑客无奈。
一、网络安全审计及基本要素
安全审计是一个新概念,它指由专业审计人员根据有关的法律法规、财产所有者的委托和管理当局的授权,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并作出相应评价。
没有网络安全,就没有网络世界。任何一个建立网络环境计算机会计系统的机构,都会对系统的安全提出要求,在运行和维护中也都会从自己的角度对安全作出安排。那么系统是否安全了呢?这是一般人心中无数也最不放心的问题。应该肯定,一个系统运行的安全与否,不能单从双方当事人的判断作出结论,而必须由第三方的专业审计人员通过审计作出评价。因为安全审计人员不但具有专门的安全知识,而且具有丰富的安全审计经验,只有他们才能作出客观、公正、公平和中立的评价。
安全审计涉及四个基本要素:控制目标、安全漏洞、控制措施和控制测试。其中,控制目标是指企业根据具体的计算机应用,结合单位实际制定出的安全控制要求。安全漏洞是指系统的安全薄弱环节,容易扰或破坏的地方。控制措施是指企业为实现其安全控制目标所制定的安全控制技术、配置方法及各种规范制度。控制测试是将企业的各种安全控制措施与预定的安全标准进行一致性比较,确定各项控制措施是否存在、是否得到执行、对漏洞的防范是否有效,评价企业安全措施的可依赖程度。显然,安全审计作为一个专门的审计项目,要求审计人员必须具有较强的专业技术知识与技能。
安全审计是审计的一个组成部分。由于计算机网络环境的安全将不仅涉及国家安危,更涉及到企业的经济利益。因此,我们认为必须迅速建立起国家、社会、企业三位一体的安全审计体系。其中,国家安全审计机关应依据国家法律,特别是针对计算机网络本身的各种安全技术要求,对广域网上企业的信息安全实施年审制。另外,应该发展社会中介机构,对计算机网络环境的安全提供审计服务,它与会计师事务所、律师事务所一样,是社会对企业的计算机网络系统的安全作出评价的机构。当企业管理当局权衡网络系统所带来的潜在损失时,他们需要通过中介机构对安全性作出检查和评价。此外财政、财务审计也离不开网络安全专家,他们对网络的安全控制作出评价,帮助注册会计师对相应的信息处理系统所披露信息的真实性、可靠性作出正确判断。
二、网络安全审计的程序
安全审计程序是安全监督活动的具体规程,它规定安全审计工作的具体内容、时间安排、具体的审计方法和手段。与其它审计一样,安全审计主要包括三个阶段:审计准备阶段、实施阶段以及终结阶段。
安全审计准备阶段需要了解审计对象的具体情况、安全目标、企业的制度、结构、一般控制和应用控制情况,并对安全审计工作制订出具体的工作计划。在这一阶段,审计人员应重点确定审计对象的安全要求、审计重点、可能的漏洞及减少漏洞的各种控制措施。
1了解企业网络的基本情况。例如,应该了解企业内部网的类型、局域网之间是否设置了单向存取限制、企业网与Internet的联接方式、是否建立了虚拟专用网(VPN)?
2了解企业的安全控制目标。安全控制目标一般包括三个方面:第一,保证系统的运转正常,数据的可靠完整;第二,保障数据的有效备份与系统的恢复能力;第三,对系统资源使用的授权与限制。当然安全控制目标因企业的经营性质、规模的大小以及管理当局的要求而有所差异。
3了解企业现行的安全控制情况及潜在的漏洞。审计人员应充分取得目前企业对网络环境的安全保密计划,了解所有有关的控制对上述的控制目标的实现情况,系统还有哪些潜在的漏洞。
安全审计实施阶段的主要任务是对企业现有的安全控制措施进行测试,以明确企业是否为安全采取了适当的控制措施,这些措施是否发挥着作用。审计人员在实施环节应充分利用各种技术工具产品,如网络安全测试产品、网络监视产品、安全审计分析器。
安全审计终结阶段应对企业现存的安全控制系统作出评价,并提出改进和完善的方法和其他意见。安全审计终结的评价,按系统的完善程度、漏洞的大小和存在问题的性质可以分为三个等级:危险、不安全和基本安全。危险是指系统存在毁灭性数据丢失隐患(如缺乏合理的数据备份机制与有效的病毒防范措施)和系统的盲目开放性(如有意和无意用户经常能闯入系统,对系统数据进行查阅或删改)。不安全是指系统尚存在一些较常见的问题和漏洞,如系统缺乏监控机制和数据检测手段等。基本安全是指各个企业网络应达到的目标,其大漏洞仅限于不可预见或罕预见性、技术极限性以及穷举性等,其他小问题发生时不影响系统运行,也不会造成大的损失,且具有随时发现问题并纠正的能力。
三、网络安全审计的主要测试
测试是安全审计实施阶段的主要任务,一般应包括对数据通讯、硬件系统、软件系统、数据资源以及安全产品的测试。
下面是对网络环境会计信息系统的主要测试。
1数据通讯的控制测试
数据通讯控制的总目标是数据通道的安全与完整。具体说,能发现和纠正设备的失灵,避免数据丢失或失真,能防止和发现来自Internet及内部的非法存取操作。为了达到上述控制目标,审计人员应执行以下控制测试:(1)抽取一组会计数据进行传输,检查由于线路噪声所导致数据失真的可能性。(2)检查有关的数据通讯记录,证实所有的数据接收是有序及正确的。(3)通过假设系统外一个非授权的进入请求,测试通讯回叫技术的运行情况。(4)检查密钥管理和口令控制程序,确认口令文
件是否加密、密钥存放地点是否安全。(5)发送一测试信息测试加密过程,检查信息通道上在各不同点上信息的内容。(6)检查防火墙是否控制有效。防火墙的作用是在Internet与企业内部网之间建立一道屏障,其有效性主要包括灵活性以及过滤、分离、报警等方面的能力。例如,防火墙应具有拒绝任何不准确的申请者的过滤能力,只有授权用户才能通过防火墙访问会计数据。
2硬件系统的控制测试
硬件控制测试的总目标是评价硬件的各项控制的适当性与有效性。测试的重点包括:实体安全、火灾报警防护系统、使用记录、后备电源、操作规程、灾害恢复计划等。审计人员应确定实物安全控制措施是否适当、在处理日常运作及部件失灵中操作员是否作出了适当的记录与定期分析、硬件的灾难恢复计划是否适当、是否制定了相关的操作规程、各硬件的资料归档是否完整。
3软件系统的控制测试
软件系统包括系统软件和应用软件,其中最主要的是操作系统、数据库系统和会计软件系统。总体控制目标应达到防止来自硬件失灵、计算机黑客、病毒感染、具有特权职员的各种破坏行为,保障系统正常运行。对软件系统的测试主要包括:(1)检查软件产品是否从正当途径购买,审计人员应对购买订单进行抽样审查。(2)检查防治病毒措施,是否安装有防治病毒软件、使用外来软盘之前是否检查病毒。(3)证实只有授权的软件才安装到系统里。
4数据资源的控制测试
数据控制目标包括两方面:一是数据备份,为恢复被丢失、损坏或扰的数据,系统应有足够备份;二是个人应当经授权限制性地存取所需的数据,未经授权的个人不能存取数据库。审计测试应检查是否提供了双硬盘备份、动态备份、业务日志备份等功能,以及在日常工作中是否真正实施了这些功能。根据系统的授权表,检查存取控制的有效性。
5系统安全产品的测试
随着网络系统安全的日益重要,各种用于保障网络安全的软、硬件产品应运而生,如VPN、防火墙、身份认证产品、CA产品等等。企业将在不断发展的安全产品市场上购买各种产品以保障系统的安全,安全审计机构应对这些产品是否有效地使用并发挥其应有的作用进行测试与作出评价。例如,检查安全产品是否经过认证机构或公安部部门的认征,产品的销售商是否具有销售许可证产品的安全保护功能是否发挥作用。
四、应该建立内部安全审计制度
[关键词] 计算机审计;电子数据;数据安全;保护;对策
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2013 . 15. 020
[中图分类号] F239.1 [文献标识码] A [文章编号] 1673 - 0194(2013)15-0026-03
随着企业信息化建设应用工作的不断推进,企业内部审计计算机审计工作持续开展,并产生了大量的计算机审计电子数据,这些数据涉及企业生产经营管理活动的重要内容,也是企业重要的信息资源,因此,企业计算机审计电子数据安全保护工作十分重要。加强企业计算机审计电子数据安全保护能力、降低审计人员个人携带计算机审计电子数据的安全风险,不仅是企业信息安全保护的要求,而且是企业计算机审计自身的内在要求。与此同时,随着信息化技术的不断更新换代和计算机审计环境的越发复杂,要做好计算机审计电子数据安全保护工作,就要与时俱进、不断探索研究。
1 企业计算机审计电子数据的主要内容
企业计算机审计电子数据的主要内容包括审计人员个人计算机存储的由被审计单位提供的本单位生产运营管理报告、业务数据、财务报表等与审计项目相关的电子数据,以及参加审计项目实施过程中涉及的审计工作方案、审计实施方案、审计工作记录、审计工作底稿、审计报告等审计工作数据。
2 企业计算机审计电子数据安全保护方面存在的突出问题
企业在计算机审计电子数据安全保护方面采取了一些措施,一方面在管理上要求审计人员提高信息安全保密意识,另一方面在技术上为审计人员个人计算机安装防病毒软件等,虽然取得了一定成效,但在企业计算机审计电子数据安全保护方面尚未形成有效的体系,仍然存在以下几个方面的突出问题。
2.1 管理方面
一是数据整理与挖掘利用困难。审计数据是审计人员多年工作经验、审计知识的积累与沉淀,利用现有手段难以从数据挖掘利用的角度进一步梳理数据,无法实现数据的多维分类,无法充分进行数据价值挖掘利用。二是数据权限管理困难。数据访问与使用权限控制缺乏平台支持,难以实现更深入的权限控制,增加了管理与操作的难度和工作量。三是桌面标准化管理困难。审计工作依赖于终端设备,使用的软件不统一,给信息交流与利用带来困难,同时管理上也存在很大难度。
2.2 技术方面
一是安全性不足。现有技术手段的安全水平与审计电子数据的重要性尚有差距,不能满足审计业务对信息安全与保密的需要。其一,数据以明文传输,数据在传输过程中一旦被截获,信息容易泄露;其二,服务器上数据以明文存储,一旦服务器被入侵,入侵者可以很轻易地获取所有未加密文件;其三,终端上数据以明文方式存放,特别是正在开展的审计项目数据以明文方式存在审计人员的终端设备中,如果设备丢失或系统感染病毒,就会造成重大损失。二是权限配置与备份困难。企业邮件账号域认证初步实现访问控制,但其控制粒度尚不能满足使用需要,且配置比较繁琐。数据手工备份、同步与恢复不能满足需要。
2.3 使用方面
一是审计人员难以找到需要的信息。各单位审计人员只能查看本单位的部分共享审计资料,缺乏按关键字、审计对象、审计类型等多种方式的全面数据搜索,审计人员难以找到最适合的可参考与可借鉴的资料信息。二是尚不能完全实现审计工作与外网分离。通过上网本为审计人员提供从外网搜索资料等功能,满足了审计人员对外网大部分的需求;但审计人员出差期间,订购火车票时,需用笔记本电脑付费,而且审计人员习惯于使用终端设备,日常办公和其他方面依然和审计工作共用终端设备,未完全实现审计工作与外网的分离。
2.4 保障方面
一是终端数据清理工作量大。现阶段审计人员的终端设备数据清理工作,耗时长,工作量大,信息处负责数据清理工作的同志工作负荷重,急需通过其他手段,提高工作效率和清理效果。二是IT运维工作压力大。信息处负责企业IT设备的维护工作,各电脑终端存在操作系统不统一、审计软件与办公软件不统一、审计人员出差远程维护难等问题,造成IT运维难度大,信息处承担了很大的工作压力。终端设备容易因电脑病毒、系统漏洞、恶意网站等各种原因,造成审计数据的泄露。亟需通过新的IT手段,提高审计IT桌面安全性,降低IT维护难度,提高IT维护效率和效果。
3 目标与思路
企业计算机审计电子数据安全保护是一项系统化工作,只有明确计算机审计电子数据安全保护的主要目标,理清计算机审计电子数据安全保护的整体思路,并不断探索研究,才能持续提高计算机审计电子数据安全保护能力。
3.1 主要目标
企业计算机审计电子数据安全保护的主要目标是实行计算机审计电子数据集中统一管理、按需授权访问,降低个人携带审计电子数据意外风险;计算机审计电子数据集中管理的服务器环境,要遵照企业统一安全策略,采用相应的物理安全、网络安全、主机安全、应用安全、备份与恢复安全等技术措施,以及安全管理职责、安全管理制度、人员安全管理、系统建设管理、系统运维管理等管理措施,整体确保计算机审计电子数据安全受控。
3.2 整体思路
企业计算机审计电子数据安全保护的整体思路是依托企业信息技术统一安全保护策略,通过建立计算机审计电子数据集中管理平台,实现审计工作办公内网与外部公网分离、审计工作环境与个人计算机终端分离,逐步实现审计人员个人计算机审计电子数据按需携带向零携带转变,最终实现计算机审计电子数据实时在线与安全受控。
4 实施步骤
企业计算机审计电子数据安全保护工作是一项长期而艰巨的任务,不可能一蹴而就。在管理上,需要企业高度重视计算机审计电子数据安全保护工作,一方面要给予这项工作统一领导和各种资源的支持,另一方面审计人员要不断提高信息安全保护意识;在技术上,要与时俱进,采用先进的信息技术手段,有步骤、有计划地逐步开展。
4.1 审计数据集中管理,个人历史数据清零
利用企业现有软件硬件资源,创建审计数据集中统一管理存储空间,采用企业邮件域认证方式,按照单位审计人员授权访问;审计人员自行整理个人计算机审计电子数据,按照个人权限上传至统一管理存储区域;利用专用存储介质数据清除工具对审计人员个人计算机硬盘逐一进行清理;实现审计人员个人计算机审计电子数据集中管理,个人计算机历史审计数据清零。
4.2 审计网络环境分离,审计数据按需携带
针对审计工作以企业办公内网环境为主,需要借助企业外网查找资料的特点,为审计人员公网应用配发个人上网本;实行审计人员个人计算机在办公内网专用,个人上网本在公网环境专用;在审计项目开展前,为审计人员个人计算机装载系统软件,并按照审计项目需要装载相关审计数据;在审计项目结束后,利用专用存储介质数据检查工具对审计人员个人计算机和上网本使用情况进行检查,确保按照要求使用;实现审计工作内网应用和外网应用分离,审计数据按需携带。
4.3 审计工作环境分离,审计数据实时在线
借鉴先进技术应用实践经验,建立企业审计电子数据管理平台,采用统一的信息技术安全保护策略,通过企业邮件域认证登录个人移动办公桌面;采用云技术为审计人员呈现个人办公系统软件环境,所有审计工作将在审计电子数据管理平成,审计人员个人计算机将不再存储任何审计相关数据;利用专用存储介质数据检查工具对审计人员个人计算机和上网本定期进行数据存储检查,确保介质审计数据零存储;实现审计工作环境与个人计算机终端分离,审计数据实时在线。
5 主要成效
结合企业计算机审计工作实际,通过虚拟化等技术手段,建设审计电子数据管理平台,采取计算机审计电子数据集中管理、审计办公桌面集中管理、审计应用软件统一管理和信息安全策略集中管理等具体措施,最终实现审计工作环境分离、审计数据实时在线,从而实时有效地进行计算机审计电子数据安全保护。
5.1 实现电子数据集中管理
集中管理审计电子数据,提供数据多种分类和检索方式,审计人员根据分配的权限、关键字、文档类型、提交时间等快速定位所需文档,为深入发掘审计电子数据价值提供支撑,为审计管理和审计项目工作提供丰富有效的数据资源。审计电子数据管理平台,采用经国家相关安全部门认证的数据加密技术和手段,通过数据加密存储、加密传输、加密备份和数据访问控制机制,全面保障数据的安全性,实现数据的全生命周期管理。
5.2 实现办公桌面集中管理
采用云计算和虚拟化技术,提供标准的、灵活的、可扩展的办公桌面环境,通过集中配置和统一分配审计办公桌面,提高审计办公资源申请、配制、获取、维护与收回清理的工作效率,同时服务器、存储、网络等资源能得到更加充分的利用。审计人员可以快速获得所需办公桌面,系统严格控制,实现审计工作数据与个人本地终端完全分离,且工作状态自动保存,可从任何地点重新接入和恢复。
5.3 实现应用软件统一管理
集中管理OA系统、Office等办公软件,审计管理系统、财务辅助审计系统等审计软件,以及FMIS、ERP等其他专业软件,统一配置到审计人员办公桌面。审计人员还可以根据需要,申请所需的其他应用软件,经审批通过后集中配置、统一分配到办公桌面,满足审计人员工作需要,提高审计人员的工作效率,提升信息人员的运维水平。
5.4 实现安全策略集中部署
在虚拟桌面、办公应用、审计数据3个层级,集中部署管理防病毒软件、办公应用软件和数据加密管理软件等,通过一次性集中配置,到所有审计办公桌面,实现桌面安全、应用安全和数据安全,建立全面的审计办公和电子数据三级安全防护体系,提升审计办公和审计电子数据的安全保护能力。
6 总 结
企业计算机审计电子数据安全保护工作是一项系统工程,需要技术和管理并重,在将计算机审计电子数据安全保护纳入企业保密管理工作范畴的同时,要建立企业个人计算机审计电子数据集中管理制和个人计算机存储介质安全清理检查制,定期开展计算机审计电子数据安全检查工作,将检查结果定期予以公布,并将计算机审计电子数据安全保护工作情况纳入绩效考核,全面提高计算机审计电子数据安全保护能力,为企业内部审计计算机审计工作提供有力保障。
主要参考文献
[1]审计署企业审计司.企业计算机审计论文集[C].北京:中国时代经济出版社,2012.
国家经济安全运行系统是一个复杂的人工合成系统。而审计监督系统是国家经济安全运行“免疫系统”中的重要组成部分,是该“免疫系统”中开放的子系统。它由相应的组织形式,法规制度,人、财、物等软硬件及其该系统周围的外系统主客观课件所构成。政府审计作为国家经济安全运行开放的免疫系统而存在时,其免疫应该是双向的。姑且将其取名为“免他疫”和“自免疫”。“免他疫”,是指审计监督的客体,即审计监督的对象;“自免疫”是指政府审计系统内部的组织形式、审计人员的思想理念、道德标准、专业知识等要素的组合、调整与完善。金融审计也要通过“免他疫”和“自免疫”双免疫系统,大力开展金融安全审计。
一、树立“免他疫”的科学金融审计理念,开展金融安全审计
(一)我国的金融安全概述。
金融业在市场经济体系中担负着基本的资源配置任务,是整个经济体系中的命脉部门。加强金融监管,防范金融风险,保持金融稳定,是顺利推进金融改革和发展的基础,是贯彻执行国家宏观调控政策的必要条件,是维护国家经济安全的重要保证。金融安全的主要内容包括三个方面:一是在整体上独立、基础稳固、运行健康、增长稳定、发展持续;二是在国际金融业中具有一定的自主性、防卫力和竞争力,不至于因为某些问题的演化而使整个金融业受到过大的打击和遭受过多的损失;三是能够避免或化解可能发生的局部性或全局性的金融危机。一般来说,金融危机主要有货币危机、银行危机、债务危机、经济危机甚至社会危机等形式。
现阶段我国金融安全面临的主要问题是,风险隐患较为严重,微观经济基础薄弱,金融机构内控不力,金融资产质量较差,金融机构以资抵债的能力较差,国际金融环境、金融开放影响我国金融安全等。
对我国来说,维护金融稳定和金融安全,既要妥善应对国际金融危机的变化,严密防范外来冲击,也要加强防范和化解内部风险,始终保持我国金融业的稳健运行。现阶段,我国经济金融运行中长期积累的一些突出矛盾和问题依然存在,国际国内经济金融领域又出现了一些新情况、新问题,不确定因素增加,必须采取措施切实维护金融体系稳定,主要是:要密切关注国际经济金融形势变化,防范国际金融市场动荡引发的传染性风险;继续完善宏观调控,防止经济结构不合理产生的风险;改善国际收支状况,建立健全跨境资本流动监测预警机制;改进资产市场运行机制,防范资产价格大幅波动的风险;加快推进金融改革和创新,增强金融机构风险管理能力和竞争力;加强投资风险教育,增强投资者自我保护能力等。
(二)现阶段开展金融安全审计的思路。
国家审计的本质是经济运行的“免疫系统”,用于解决影响经济发展突出矛盾,维护国家经济安全。金融审计作为国家审计的重要组成部分,也必须体现这一本质特征,在现阶段,就是要紧紧围绕十七大提出“加强和改进金融监管,防范和化解金融风险”的目标,把维护国家金融安全、防范金融风险为中心,促进金融改革的深化,作为金融审计现阶段的战略任务,这就决定了开展金融安全审计的必要性。
1.金融安全审计应着眼于促进金融业的全面、协调可持续发展
近两年来,从国内经济形势看,房地产和股票市场价格大幅波动,并通过信贷等方式,传导到金融企业,金融风险开始凸现;另一方面,世界范围看,美国次级贷款危机、粮食危机等问题,将严肃考验今后很长一段时间世界经济的发展,对我国经济和金融业的发展也将产生很大影响。为此,金融安全审计必须发挥 “免疫系统”作用,树立系统的审计理念、协作的审计理念、绩效的审计理念、创新的审计理念、依法审计的理念,促进金融业的全面、协调可持续发展,更好地服务于维护金融稳定和安全、防范金融风险和宏观调控的重大决策。
2.金融安全审计应着眼于从体制、绩效等方面发挥作用
金融安全审计应重点关注社会经济发展质量、环境和金融业制度、体制和机制的完善情况,努力推动国家宏观调控政策的落实,从宏观层面构筑金融业发展的经济基础;努力推动金融体制改革的深化和构建现代金融体系,从微观层面构筑金融业发展的制度基础。具体来说:
(1)关注国家宏观调控政策贯彻实施情况。金融安全与金融业对国家宏观政策的认识程度、执行力度息息相关,金融业越坚决、有效地执行国家宏观政策,金融安全就越有保证。为此,金融安全审计必须关注金融业贯彻落实国家宏观调控政策的情况,如20__年中央经济会议提出,严格控制货币信贷总量和投放节奏,控制高耗能、高排放和产能过剩企业贷款,抑制房地产价格过快上涨,防范股市大幅度波动等,金融审计就相应地开展国外热钱流入渠道、违规取得贷款从事房地产开发、违规发放两高行业贷款等问题的专项调查,向国家提出相关政策建议后,有效地抑制了经济过热等问题进一步发生,从而维护了金融安全。20__年的中央经济会议提出,金融业要为扩大内需服务、大力扶持中小企业贷款,金融安全审计就要转变重点,关注此方面的问题。
(2)促进金融企业的风险管理体系完善。要确保金融安全,我国金融业就必须尽快建立现代化的风险管理体系,由原来基于交易的风险合规审查,向基于收益、资产组合、风险的现代风险管理体系转变。我国金融企业目前的风险管理体系还不系统、不完整,金融安全审计要在分析金融企业风险管理体系不足的基础上,尽快推动、促进我国金融业建立健全完整的风险管理体系。
(3)对金融机构的内控、绩效进行评价。首先,要重点检查加强金融机构内部控制制度的健全和有效性,不断督促金融机构加强内部控制制度建设,完善金融安全的内部监管制度;其次,要全面评价金融机构的整体经营效益情况,并对重要项目和环节的效益情况进行具体分析,重点关注金融企业合规经营、发展质量和效益等方面情况。具体实施过程时,不但需要对金融企业经营状况、企业内部控制系统状况作出评价,还要对国家金融、货币政策的落实状况,对政策本身是否完善作出评价。
3.金融安全审计应着眼于对监管体系审计
(1)促进金融业监管体系的综合监督与协调。我国现行的金融监管组织体系是以金融行业划分的分业监管模式,银监会、证监会、保监会分别对银行业、证券业、 保险业实施监管。不同的金融监管部门由于监管范围的不同,在监管资源共享等方面,还存在着一些摩擦,所谓分业监管的功能尚未充分发挥。以次贷危机为例,在迅速发展的金融创新产品面前,基于权力分散和组织独立的监管体系并不能有效地实施功能性监管,主要表现为各监管部门对市场的监控信息是支离破碎的,即使在交流过程中也会大量流失、扭曲,调控行动的一致性更会由于权力机构固有的利益属性而失去效率,造成监管滞后。依据法律赋予的职责,政府审计在金融领域有着其他部门所没有的综合监督优势,金融安全审计要把金融业作为一个有机的整体进行监督,降低不同金融机构业务交叉时监管部门产生的较高的协调监管成本,减少多重监管制度对金融创新的阻碍,实现监管规模经济最大化。
(2)关注金融监管体系的健全与有效情况。重点关注以“一行三会”依法监管为基础的金融监管机制的监管绩效情况;以金融机构内控为基础的内部自律机制的完善;建立以政府积极支持为基础的参与协调机制情况;金融行业相互制约为基础的金融行业自制机制健全完善情况;金融同业自律机制的建立健全情况。金融安全审计,一方面,通过对监管运行的合规性、科学性和有效性进行监督和评价,可以不断促进监管体系的完善和监管职能的改进。另一方面,通过检查并向有关利害关系人提供金融监管责任履行情况的信息,促进被监管者——政府金融监督和管理部门改进工作,更好地履行金融监管经济责任。
4.金融安全审计应着眼于信息系统安全审计
从国外银行发展经验看,信息系统缺陷给金融业带来的损失,远远大于传统业务,担任世界最大衍生交易市场领导角色的法国第二大银行兴业银行30多岁的交易员热罗姆?盖维耶尔通过银行“5道安全关”,在未经授权情况下大量购买欧洲股指期货,最终给银行造成49亿欧元(约合71.4亿美元)损失的案例,就已经充分证明了这一点,金融信息系统安全审计迫在眉捷。具体来说,一是从确认金融机构数据完整性和真实性着手,针对金融机构计算机备份文件和日志文件进行审计;二是采用模拟数据法,确定计算机信息系统控制是否存在并有效执行;三是对被审计单位计算机系统的全面审计、客观评价,实现系统审计、数据分析审计结合。
三、强化“自免疫”功能,切实保障金融安全审计开展
(一)现阶段我国金融安全审计还存在很多难点。
1.金融国际化、投资多元化给审计带来难度
由于金融开放,我国金融机构逐步实现国际化,而金融机构也开始了多元化投资、混业经营的尝试,这增加了金融审计的深度、广度和难度。
2.金融安全审计还未规范化
金融安全审计是20__年才正式提出来的,目前并未有规范的审计程序和评价体系,尚须摸着石头过河,审计难度较大。
3.审计人员素质难以适应金融安全审计的需要
近几年是我国金融业发生重大变革的时期,无论是金融改革、金融制度、金融创新还是金融理念都有着日新月异的变化,金融审计人员常年在外审计,接受教育、培训严重不足,难以适应金融安全审计的需要。
(二)加强对金融安全审计的人法技建设。
1.提升金融审计人员的综合素质
金融安全审计工作质量高低在很大程度上取决于审计人员的综合素质。金融安全审计要高质量地开展,审计人员必须高度关注和掌握国内外国家宏观经济发展态势、金融体制和金融企业改革步骤情况等各种金融最新发展动态、政策,因此,重视金融审计人员素质的提高是开展金融安全审计的当务之急,特别强调审计人员具备更加专门的专业知识,使用多样化和创新的方法,能够作出深刻而中肯的金融安全判断。
2.制订金融安全审计准则、标准和审计操作指南
金融安全审计的目标,是评价金融企业和监管机构管理活动的效益、效率和效果,它要求审计人员要有严格独立性、规范性和客观性。而我国审计准则体系中关于金融安全审计方面的准则还是个空白。因此,要形成以审计法为核心、审计准则和审计操作指南为基础的既符合我国国情又体现国际惯例的金融安全审计法律法规体系。通过制订金融安全审计准则以及金融安全审计操作指南,明确国家审计机关开展金融管理金融安全审计的审计标准、原则以及执业规范和道德准则。
3.不断夯实金融安全审计的技术基础
金融安全审计没有统一标准的方法和技术,审计人员应当采取定性分析与定量方法相结合,建立评估模型,合理确定指标体系和指标的权重。为此,国家金融审计要利用现代科技手段(包括计算机、计量经济学等技术)作为金融安全审计的必要手段,以增强评估结果的真实性、可信性。
一、引言
21世纪,以计算机网络为代表的信息技术进一步迅猛发展,并不断更深入地渗透到生产、生活的各个层面。随着技术要素的渗透,计算机会计信息系统日益普及,计算机审计工作近年来蓬勃发展起来。目前的计算机审计虽然仍是桌面审计,但已逐步摆脱绕过计算机审计阶段,进入到穿过计算机审计、利用计算机审计阶段,并将随着网络经济的迅猛发展,向网络审计阶段进军。目前许多跨国公司已经开始普遍使用大型管理信息系统,但随之产生的问题是,信息系统对生产经营和管理的影响越重大,管理人员面对的经营风险和财务风险也越大。信息风险对企业生存和发展的挑战,使企业对信息系统的依赖程度越大,信息系统安全和运营隐患可能带来的伤害也就越严重。因此,信息系统必须随时置于专家的监控之下。
信息系统审计师,也称IT审计师或IS审计师,是指一批专家级人士,既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全,又熟悉经济管理的核心要义,能够利用规范和先进的审计技术,对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。IT审计师是由“国际信息系统审计与控制协会(ISACA)”认证的。ISACA是国际上惟一的信息系统审计师专业组织。会员被称为信息系统审计师,也就是我们通常所说的IT审计师,其主要从事的工作包括:向客户提供与信息系统相关的服务,在财务审计中对被审计单位的信息系统的了解、测试和评价以及计算机辅助审计技术的运用等方面。一般的IT审计师都具备全面的计算机软硬件知识,对网络和系统安全有独特的敏感性,并且对财会和单位内部控制有深刻的理解。因此,目前IT审计师已经成为全球范围最抢手的高级人才之一。
二、IT审计师的出现迎合了计算机审计的发展
计算机审计的发展一般要经过绕过计算机审计,穿过、利用计算机审计和网络审计三个阶段。其中前两个阶段属于计算机桌面审计系统。绕过计算机审计是指将计算机处理系统看作是一个“黑箱”。根据被审对象对计算机数据处理系统输入的原始数据,通过手工操作,将处理结果与计算机处理系统的输出进行对比,检查其是否一致,属于计算机审计的初级阶段。穿过计算机审计是对计算机数据处理系统进行审计,包括系统目的与功能需求是否达到,系统分析与系统设计是否先进、科学和实用,程序设计是否正确可靠,内部控制是否健全、可靠,管理制度是否严密、有效,文件资料是否齐全、完整等。利用计算机审计是为实施审计专门开发电子计算机程序,检验被审单位电子计算机程序的可靠性。网络审计是指综合运用计算机网络及其相关技术手段对网络经济及网络系统进行审查的新型审计,是计算机桌面审计系统发展的高级阶段。
随着目前电子商务等网络经济的发展和完善,网络审计势在必行。从审计的客体角度方面,网络审计的模式是建立在网络基础上,对被审单位一定时期内全部或部分经济活动,特别是正在发展中的电子商务、电子金融、网络财务和网络会计等进行审计的计算机系统。它包括两个方面:其一是对被审系统开发过程进行审计;其二是对被审系统运行过程及其结果进行审计。目前计算机审计的发展大多还处在只是对被审系统运行结果进行审计,或进一步对被审系统运行过程进行审计,这样的审计是建立在假定被审系统安全、可靠基础上的。而实际上这种假定是否合理,是应当予以验证的,这种验证也就是要对被审系统的安全性、稳定性和有效性进行审计、检查、评价和提出改造建议。而这也正是IT审计师的主要工作,并且这部分工作也是一直上溯到被审系统开发过程的。因此,IT审计师的出现正好迎合了网络审计模式的需要。IT审计师虽然主要源于信息系统安全问题而产生,其主要工作也含有较高的计算机技术因素,但就发展来看,IT审计师的出现迎合了计算机审机的发展趋势,昭示着计算机审计不久将随着电子商务和网络财务等的全面展开而逐步发展到网络审计阶段,未来的IT审计师们也将成为网络审计的“主力军”。从这个角度上讲,IT审计师也是计算机审计发展的必然产物。
三、IT审计师在网络审计的重要作用
计算机审计发展到网络审计后,计算机审计的主要内容将包括网络安全技术与内部控制系统的审计、系统开发审计、应用程序审计和数据文件审计等四个部分。通过分析可以发现,这四个部分的内容,不同程度地与IT审计师相关联,IT审计师在其中将起重要的作用。
(一)网络安全技术与内部控制系统的审计
从Internet诞生起,信息和网络的安全性就成为关注的一个焦点。在Internet发展的每一个阶段,安全问题也都是基础性的、关键性的因素。对于网络审计,其首先遇到的也是网络的安全性测试问题。与安全性相应的还有网络系统内部控制的测试问题,网络系统内部控制包括一般控制和应用控制两个方面。一般控制包括组织控制、软件开发、硬件和系统软件控制、系统安全控制、维护控制和文档控制等方面的审查与测试。应用控制包括输入控制、处理控制和输出控制。IT审计师的主要工作就是利用标准、规范和先进的审计技术,对信息系统的安全性、稳定性和有效性进行测试、检查、评价和改造。IT审计师首先关注信息系统的安全性,没有安全就没有一切,IT审计师会采用各种方法来测试系统的安全性,并对来自内部和外部的安全隐患提出相应对策;IT审计师还要审查信息系统的稳定性,没有长期稳定性,信息系统就无法承担起激烈竞争的压力,IT审计师会提出一系列对策保证客户信息系统的万无一失;IT审计师还要鉴别信息系统的有效性,最安全和最稳定的系统不一定是最有效的系统,而效率不高的系统就会消耗企业大量的资源,一般情况下,一说到信息系统建设,大家都觉得是工程师或程序员的事,事实上,这是非常错误的观点。一个好的系统,在安全和稳定的前提下,必须最大程度地符合企业经营流程的特点,经济、有效地解决问题和提供信息。要做到这一点,信息系统开发和维护过程中,就必须有大量的经营管理人员参与,设计出最优的信息流转路径。如果不重视信息系统的有效性,其危害同样是巨大的。一方面由于其繁琐和复杂,导致内部业务人员不会用、不想用或使用不当;另一方面使用过程中的差错又会导致稳定性和安全性方面的问题。显然,要对信息系统的安全、稳定和有效进行监控,就不单纯是某类技术人员能够完成的任务,经过专业训练,经验丰富的信息系统审计师将在这一领域发挥重要的作用。信息系统审计师的突出特点就是兼通技术和管理,能够利用规范的审计手段,比较客观和冷静地分析、评价企业现有信息系统的运行,并从专业的角度提出建议。
通过以上分析可以看到,IT审计师的工作中实际上已经包含了网络安全技术与内部控制审计的内容。进一步从IT审计师的服务对象分析,IT审计师主要是为以下几类对象服务的:
软件供应商。特别是经济管理类的集成软件供应商,需要信息系统审计师参与产品设计、规划和检测,并对客户现有信息系统进行评价,提出改造设想。全球所有重要的ERP和CRM产品供应商都聘请大量信息系统审计师,管理咨询机构。20世纪90年代以后,管理咨询的重点已经逐步发展为提供一揽子解决方案,其中信息系统的配置,就是解决方案成功的基础。国际知名的管理咨询机构中,有50%以上的员工熟悉信息技术,其中20%拥有信息系统审计师资格。
会计师审计师事务所是信息系统审计师最早的落脚点,“五大”国际会计公司超过30%的收入来自于风险管理部门。这个部门的最主要工作就是监控客户的信息系统风险和运营风险,同时为客户提供ERP或CRM的安装、维护和培训。会计师审计师事务所中传统财务报表审计也越来越离不开信息系统审计师的贡献。没有他们的工作,评估内部控制风险和企业固有风险将成为一句空话。人们常常看到,“五大”会计公司里,最年轻的合伙人或经理,往往都是信息系统审计师,因为这是一项年轻人的工作。
跨国公司。作为信息系统最集中的用户,跨国公司急需大量信息系统审计师,一方面参与信息化建设的过程;另一方面时刻保持对分支机构的信息监控。还有一种最新迹象表明,跨国公司内部审计部门也在大量招聘信息系统审计师,以加强内部的监督和牵制。
大型国有企业和上市公司。这些机构往往有雄厚的财力来实现管理的信息化、保证生产经营的稳定性,他们对信息系统审计师的要求和跨国公司类似。
(二)系统开发审计
系统开发过程一般分为:系统初步调查和可行性研究、系统详细调查和系统分析、系统总体设计、系统详细设计、程序编制、程序调试、系统调试、系统转换、平行操作试验、系统评审、系统维护和评价等过程。系统开发审计是事前审计,实际上是审计人员参与系统的全过程。主要监督审查下列问题:1.系统的功能是否恰当、完备,能否满足用户商务活动的需要;2.系统的数据流程、处理方法是否符合有关商贸法规;3.系统是否建立了恰当的程序控制,以防止或发现无意的差错或有意的舞弊;4.系统是否保留充分的审计线索,保证了电子商务系统的可审性;5.系统的安全保密措施和管理制度是否健全,能否保证系统安全、可靠地运行;6.系统的文档资料是否全面、完整。这部分内容和IT审计师的工作内容实际也是相适应的。因为IT审计师正是参与一个系统分析、设计和调试运行全过程的“保健医生”,并且IT审计师最关注系统的安全、稳定、有效。
(三)应用程序审计和数据文件审计
应用程序是信息系统的核心,其是否遵守国家财经法规和政策,对经济业务的处理是否合规、合法、正确等,均体现于应用程序。可以手工对应用程序直接进行审查,也可以使用计算机辅助方法,还可以通过数据在程序上的运行间接测试。电算化会计信息系统中,实质性测试的对象是数据文件。对数据库或数据文件的审计主要目的是为确保数据的完整性与正确性等。对数据文件的实质性测试包括:对各账户余额和发生额直接进行检查;对会计数据进行分析性复核,旨在对数据文件进行实质性测试;测试一般控制措施或应用控制的符合性。可以使用不处理数据文件的实质性测试方法、处理实际数据文件的实质性测试方法及处理虚拟数据文件的实质性测试方法。这两部分内容没有IT审计师的技术支持,一般审计人员也难胜其任。
关键词:会计信息系统 审计 数据有效性 内部控制
一、数据有效性的定义
在目前的财务报表审计工作中,审计人员在了解被审计单位及其环境之后,实施控制测试程序和实质性测试程序,而在实施实质性测试的时候,会先从被审计单位的会计信息系统中采集所有与审计相关的数据,假设审计人员能够采集与被审计单位的会计信息系统中的数据完全一致。但是由于会计信息系统本身所固有的风险性,会使得其产生大量的数据不正确,或者不真实可靠,这将使审计的风险大大增加,产生事务所可能无法接受的风险,这时候就不应该继续审计工作。所以,在审计工作实施之前,应当把分析被审计单位会计信息系统所产生数据的有效性作为应当执行的程序。
数据有效性是指体现审计需求的程度。审计中利用会计信息系统所产生的数据的主要目的是为了取得审计证据,支持其关于审计事项的判断或结论。据此,我将会计信息系统的数据有效性定义为以下几个方面:可验证性、可理解性、可分析性、正确性、完整性和惟一性。
二、数据有效性的影响因素分析
会计信息系统由计算机硬件及其环境,计算机网络,系统管理软件和应用软件组成。影响被审计数据的有效性主要是会计信息系统的风险性。会计信息系统的风险是指由于各种不确定因素的影响,系统输出的会计信息与真实信息发生背离的可能性。会计信息系统既给会计工作带来了高效率,同时也带来了一些手工条件下所没有的风险。种种安全隐患在会计信息系统中突出表现在以下四个方面:
(一)系统环境
系统环境因素主要是指会计信息系统的硬件和软件、系统开发以及自然环境等方面的因素。
1.硬件和软件
在硬件和软件方面由于硬件失灵、逻辑线路错误等而造成信息传递或处理中的失真,或由于网络软件自身的程序、后门程序、通信线路不稳定等因素都为系统的安全带来诸多隐患,使系统面临病毒和黑客的攻击。
2.系统开发
在系统开发方面,主要表现为没有按科学的方法架构网络、开发系统和设计程序,系统未经测试和调试等,而致使财务信息面临被窃取的安全隐患。
3.自然环境
在自然环境方面,火灾、水灾、风灾、地震等都有可能造成系统的安全问题。
(二)管理制度方面
传统会计系统非常强调对业务活动的使用授权批准和职责性、正确性与合法性,在会计信息系统下,原来使用的靠账簿之间互相核对实现的差错纠正控制已经不复存在,光、电、磁介质也不同于纸张介质,它所载信息能不留痕迹地被修改和删除,使企业内部会计控制面临失效的安全隐患。因此,在会计信息系统下管理制度方面的影响要素主要包括会计信息系统的建设组织、管理制度、人员配备、内部审计机制等。
1.建设组织
在组织方面,存在职责不分、没有监督机构等问题。
2.管理制度
在管理制度方面,存在没有健全的管理制度,或者是有章不循、有规不依等问题。
3.人员配备
在人员配备方面,存在企业没有对网络会计系统以足够的重视,没有配备足够的人员,尤其是没有配备足够的系统安全人员的问题。
4.内部审计机制
在内部审计机制方面,存在没有建立有效的内部审计机制,或者建立的内部审计机制没有坚持执行等问题。
(三)数据处理方面
在会计信息系统中,需要财务部门集中输入的记账凭证可由各部门的多台计算机同时输入。这虽然提高了整个账务处理的工作效率,也遵循了会计数据输入的及时性原则。但毕竟会计数据的数量是庞大的,数据处理会出现多种错误。一是输入环节录入错误信息,使用无效代码,击错功能键,丢失数据,重复输入,没有将数据存盘等。二是处理环节使用了错误程序,使用了错误的数据文件以及丢失数据文件和程序等。这些使会计档案面临保存失效的安全隐患。
(四)人员素质方面
其安全隐患主要包括:
第一,人员配备方面没有配备足够的系统安全人员。使用与管理人员培训不够,业务素质偏低,容易产生错误操作,从而对计算机会计信息系统安全构成威胁;
第二,责权不明、管理混乱、安全管理制度不健全及缺乏可操作性等都可能使安全风险增强;
第三,内部人员道德风险,主要指企业内部人员对会计信息的管理不善、非法篡改、破坏和不正当泄密等,造成资料损坏或丢失,为犯罪造成可乘之机。
三、针对数据有效性的威胁审计人员应当采取的措施
国际上知名的会计师事务所都已经意识到会计信息系统所带来的审计风险,并且让信息系统审计师协助审计小组工作。审计小组应该首先了解:会计信息系统的一般控制和应用控制,被审计单位是否配备了合格的系统安全管理人员。然后请专家(即信息系统审计师)根据审计对会计信息数据的需求,实施一定的信息系统审计方法来测试会计信息系统产生数据的有效性,以达到降低审计风险的目的。
(一)应当了解的情况
审计人员应该了解会计信息的一般控制和应用控制。
1.一般控制
一般控制作为会计信息系统的主要控制手段之一,涉及面很广,从人员管理到计算机软硬件及运行环境的管理等,具体包括以下几个方面:
(1)组织控制
指为保证会计信息系统责任和义务而采取的控制。具体包括:建立管理的组织机构,选择、监督、培训人员,职责分工并授权,计算机应用系统建立的组织,以及会计信息内控制度计划、引导、管理。
(2)系统开发与维护控制
具体包括:系统开发计划控制,编程与软件测试控制,系统维护及功能改进的控制以及日常运行管理维护,文档资料的控制。
(3)软件与硬件的控制
具体包括:硬件系统控制,软件系统控制,网络系统控制。
(4)安全控制
主要涉及计算机系统的环境安全、设备保护以及安全保密制度。
(5)操作控制
主要涉及使用计算机系统的一整套管理制度,包括计算机系统操作规程和守则,上机日记,保密制度等。
2.应用控制
应用控制的目的是保证计算机系统数据处理的完整性、一致性、准确性和安全性。一般分为输入控制,处理控制和输出控制。
(1)输入控制
其目的是保证经审批的经济业务数据准确输入计算机系统。输入控制与组织控制是相辅相成的,业务审批应在电算部门之外。
(2)处理控制
其目的是保证会计信息系统按程序设计的要求进行数据处理。一般通过计算机程序加以执行。
政府审计作为维护国家安全的“免疫系统”,对资源环境给予了极大关注。2003 年,审计署成立环境审计协调领导机构,指导从资源环境视角开展专业审计;2008 年出台审计工作五年规划,明确将资源环境审计列为六大审计类型之一;2009 年又《关于加强资源环境审计工作的意见》,指导资源环境审计实践。面对严峻的水资源形势,政府绩效审计进行了积极探索与实践,水环境绩效审计和用水绩效审计成效显著。审计署多次组织对重要流域治污情况进行审计,刘慧博(2004)提出水污染治理资金审计的方法,白春节(2009)对城区内河污染治理绩效审计进行探索,宁雅楠(2006)提出建立用水审计体系的思路。城市水安全内涵丰富,包含自然、生态、经济、人文多重属性,需要对相互关联的水资源开发利用各个环节进行全面审计和绩效评价。本文从城市水安全的内涵出发,根据绩效审计的功能和特点分析二者的耦合性,探索绩效审计维护城市水安全的实现机制与路径选择。
一、开展城市水安全政府绩效审计的原理分析
根据城市水安全的制约因素,可以将其定义为这样一种状态:既能满足城市用水主体的用水需求,又能满足社会、经济、生态和环境可持续发展的要求,同时又能避免涉水灾害。城市水安全内涵丰富,包括四种属性:一是自然属性,即水资源的质、量、存在形态及其时空分布特征;二是生态环境属性,生态环境是水存在的载体,水是生态环境中最活跃的因素;三是社会经济属性,水与社会经济相互影响、相互制约;四是人文属性,指城市居民对涉水灾害、水资源分配公平性的感受(赖武荣,2010)。
不同国家对绩效审计称呼不同,但本质基本相同,即对活动的经济性、效率性和效果性进行审计(简称“3E”审计)。随着经济和社会的发展,绩效审计的内涵又得到了扩充,增加了“环境性”和“公平性”两个维度,发展到“5E”审计。从政府绩效审计的发展趋势来看,越来越关注资源环境问题,对城市水安全的评价和维护是其法定职责和功能拓展。随着城市水资源形势的日益严峻,公众资源环境与民主意识的增强,更加关注全过程监控和行为实施效果评价,因此实施城市水安全绩效审计成为必然要求。
1.水资源绩效审计是政府审计的法定职责。审计署制定的《2008 ~ 2012 年审计工作发展规划》指出:“审计机关将以落实节约资源和保护环境基本国策为目标,维护资源环境安全,发挥审计在促进节能减排措施落实以及在资源管理与环境保护中的积极作用。”《关于加强资源环境审计工作的意见》要求对水资源的开发利用、污染防治、保护治理情况和重点生态建设工程等开展审计。2011 年刘家义审计长在全国审计工作会议上提出要强化资源和环境保护的审计监督,促进经济发展方式转变。水资源为全民所有,各种衍生水产品也具有“公共产品”的属性,政府审计是重要的宏观调控手段和高层次经济监督方式,开展水资源绩效审计与时俱进地体现了政府审计的本质职能。
2.关注城市水安全是绩效审计的功能拓展。政府绩效审计产生的根本动因是受托公共责任。随着社会环境的变迁,政府公共受托责任的内涵不断拓展。面对日益严峻的城市水资源短缺、水环境恶化等问题,维护城市水安全和社会可持续发展成为公共受托责任的一项重要内容,政府绩效审计的范围必然延伸到城市水资源领域。绩效审计已广泛运用于水利建设和水污染治理项目,初步形成了评价体系和工作模式,进一步要求向水资源的开发、供给、利用等方面延伸。而且城市水资源的开发、调配、供给、利用、治理以及保护涉及政府多个职能部门及相关企业,关系极为复杂。因此,城市水资源绩效审计必须拓展绩效评价的内容,改进审计技术和方法,形成新的绩效审计模式
3.开展绩效审计是维护城市水安全的内在要求。水质和水量关系居民的饮水安全,用水价格影响居民的生活支出,水环境的优劣和水灾害的发生频率对居民的物质和精神生活有重要影响。关注民生、保障民生是政府审计的一个重要理念,对水资源的来源、供给和水环境的治理进行绩效审计,有利于保障居民的切身利益,维护社会稳定。基于城市水安全的社会经济属性,水资源绩效审计有利于促进城市全面协调发展。胡锦涛总书记指出要“促进人与自然的和谐,实现经济发展和人口、资源、环境相协调”。随着经济的发展,城市生态破坏、水环境污染、水资源的短缺等问题日益突出。绩效审计通过分析经济发展与资源短缺和破坏之间的矛盾,提出科学的意见和建议,为政府的宏观决策和单位内部管理提供依据,促进社会全面可持续发展。
4.审计绩效评价与城市水安全评价存在职能重叠。水安全评价是建立城市水安全保障体系的基础,绩效评价是城市水资源绩效审计的关键环节,二者都至关重要,而且在评价内容、评价方法和指标体系的设计方面存在职能重叠。水安全评价体系应该包括水供需安全、生态环境安全、社会经济安全、害防治安全及管理安全五个方面。根据水资源生态链,绩效评价应该包括水资源管理绩效评价、环保资金绩效评价、水资源开发利用和治理项目绩效评价、供水系统绩效评价等。由此可见,二者都需要对水资源的管理体系、生态环境状况、经济效益和社会效益进行评价。在评价方法上,二者都强调综合运用统计学、工程学、环境学、管理学的知识,从定性和定量的角度进行评价,具体包括层次分析法、模糊数学分析法、PSR(压力—状态—响应)模型法、平衡计分卡评价法等。
二、政府绩效审计维护城市水安全的实现机制
实现机制是政府绩效审计发生作用的方式与路径,是在目标分解的基础上,将绩效审计功能与城市水安全内涵适配的过程,具体可分为三个层次:宏观层面的再监督评价机制、中观层面的调控协调机制、微观层面的监督、纠正和修复机制,基本框架与关系如图1所示:
1.宏观层面:水资源制度、政策和规则的再评价监督机制。为了保障水资源 的可持续发展及社会的全面协调发展,国家往往利用法律、行政等手段进行约束、规制和引导。绩效审计维护城市水安全的功能在宏观层面主要表现为再监督评价机制,评价对象为水资源相关制度、政策和规则制定的科学性和执行的有效性。按照弗里曼(Freeman,1989)等人的观点,制度评价可分为制订前的需求评价、执行中的过程评价和执行后的结果评价。首先要深入分析城市水资源状况,把握其焦点、难点问题,评价现有制度安排、政策和法规供给的充分性,是否存在规制空白和漏洞;其次要评价制度、政策和法规是否得到有效执行,是否存在有令不行的现象,执行中是否遇到障碍或存在缺陷;最后是评价制度、政策和法规执行的效果,是否具有导向性、约束力和公平性。目前,绩效审计在全面监测水资源生态链各个环节的基础上,要重点关注城市水资源短缺、用水浪费、水污染等突出问题,对取水许可、有偿使用、排污许可等制度安排,水污染防治、城市供水、节约用水等法律法规,水资源管理、水价调节、产业结构调整、水利建设和污染治理等政策的制定和执行进行评价。
2.中观层面:城市水资源管理体系的调控协调机制。对水资源开发利用合法合规性的日常监管,属于水利、城管等相关职能部门的法定职责,政府审计一般不直接参与水资源管理,而是对水资源管理体系进行再监督和评价。因此,绩效审计在中观层面上表现为一种调控与协调机制。目前我国城市水资源管理普遍呈现“多龙管水”的特点,水利开发、供水、排水、节水、防洪、污水处理等涉水事务的管理职能,分别由水利、城管、城建、环保等不同部门承担。部门分割的水资源管理体系有利于职责划分和相互牵制,但不利于沟通协调,会影响行政效率。政府绩效审计应该在职能部门专业监管的基础上,对重点项目、资金和单位进行抽样或专项审计,揭露水资源管理工作中存在的监管失灵和监管真空等问题。在评价水资源管理绩效的基础上,确立一种各机构互相协调合作的机制,如联席会议制度,互通情况和资源共享。以水资源高效配置、利用为目标,提出水资源管理体制改革的建议。
3.微观层面:涉水项目与利益主体的监督、纠正和修复机制。在微观层面,绩效审计主要履行对水资源开发、保护和治理项目,水资源供给系统的监督、纠错和修复职能。合理的水资源开发是水量安全的重要保障,有效的水资源保护和治理是居民饮水安全和生存环境的重要保障,政府投入大量资金用于水资源开发、保护和治理项目。绩效审计在总体评价城市水资源供需平衡、水环境的基础上,具体评价水资源开发、保护和治理项目的可行性,监督项目资金使用的合理合规性,跟踪审计项目的实施效果,及时发现和纠正低效行为或违法违规问题。
供水系统绩效审计有助于保障各类用水的水质、水量、水压,同时提高节水和环保效益。主要从两个方面来实施:一是通过对供水企业的水源工程、制水系统、引水输水系统、供水服务系统、水质监测系统等方面的审计来评价供水状况;二是从分质供水、分类供水、供水定价机制等方面来评价供水管理绩效和节水环保效益。
三、政府绩效审计维护城市水安全的路径选择
政府绩效审计要有效发挥在维护城市水安全中的监督、评价、调控、纠正及修复作用,必须依赖一定的路径。根据城市水安全的现实需求和政府绩效审计的现状,应从审计工作组织、审计评价体系、审计保障机制、审计结果运用等方面加以完善,具体实施路径如下:
1.创新绩效审计组织模式。城市水资源绩效审计的组织模式包括审计的领导体制、组织结构和运行机制。鉴于水资源的重要性、复杂性和专业性,领导体制上要保障审计的权威性和独立性,组织结构上要保障审计力量的充足性和专业性,运行机制上要体现多方力量的合作与协调性。
(1)领导机制的设计。由国家审计机关为主导对城市水资源进行审计监督与绩效评价,适应了国家利益的需要。水资源审计涉及面广、技术性强、时间跨度长,对审计的权威性要求比较高,而且社会效益大于经济效益,只有国家审计机关才能胜任。
(2)组织结构的设计。包括审计机构的存在形式、隶属关系、经费来源、人员配备、工作方式、责任归属等。审计机关应设立专门的资源环境审计处,下设水资源审计办公室,人员结构多元化,融合审计、财务、水利、计算机等方面的专业人才,并加强审计人员的后续教育,提高其识别和解决新问题的能力。
(3)运行机制的设计。城市水资源绩效审计应该建立利益相关者的合作联盟,关键包括两点:一是以国家审计为主导,同时借助内部审计和民间审计的力量,实现内外合璧的高效监督;二是建立审计部门与政府、水利部门、环保部门、城管部门等相关利益者的合作与协调机制,审计工作的开展可采用常规项目、重大项目与临时项目相结合的方式。创新型城市水资源审计组织模式如图2 所示:
2.构建科学的绩效审计评价体系。由于水安全涉及资源、环境、经济和社会多个因素,关系政府、企业、居民多方利益主体,绩效审计综合评价体系是多层次、定量与定性相结合的。具体可分为三个层次,如下页表所示。
(1)职能指标测量政府水资源管理绩效,首先表现在水资源法规政策的完善程度和执行效率,可用法规政策数目、执行率、功效来衡量;其次是水资源管理效率问题,可从服务质量、公众满意度等角度评价。
(2)效益指标测量城市水资源开发、利用和治理成效以及对经济、社会、生态发展的影响和贡献。经济效益反映水资源投入产出比,可用用水产出系数、居民收入、用水结构等指标测量;社会效益反映水资源的社会影响,可从水资源供需平衡、社会公平性、节水状况、洪涝灾害等方面评价;生态效益反映水资源开发利用对生态环境的影响,可从水污染状况和治理状况两个方面设计指标。
(3)可持续性指标测量水资源的承载能力,包括水资源可开发利用率、已用水资源比重、水资源循环利用率、代际补偿系数等。
3.建立健全相关法律法规。主要从水资源法规与水资源绩效审计法规两个方面加以完善。在水资源开发、利用、保护和治理方面,要建立健全城市水资源管理法规,填补水资源交易制度的法律空白,健全水环境保护法律体系。在水资源绩效审计立法方面,从指导性和操作性两个层面入手。一方面,通过修改《审计法》等相关法律,将资源绩效审计置于常规审计准则之下,明 确审计机关在资源绩效审计中的地位、权力和责任。另一方面,建立起一套层次清晰、易于操作、纲目兼备的审计规范,制定相应的工作程序、方法,使水资源绩效审计的范围、内容、程序和方法等制度化、规范化,以便为审计人员开展审计工作提供具体指南。
4.创新绩效审计技术与方法。城市水资源网络结构复杂、数据庞大,应充分利用计算机辅助审计,从了解被审计单位信息化建设入手,采集、筛选、整理、分析数据,不仅能提高审计效率,也能及时发现问题,保障审计效果。鉴于审计对象广泛,关系网复杂,审计工作必须深入实践。审计部门可以利用网络平台、信箱、信访、收集人大提案等方式广泛征集社会各界意见,把握民众的真正需求和水安全中的突出问题,作为审计工作的重点。对被审计对象、相关政府职能部门进行审前调查,形成审计的基本思路与计划,编制科学的审计实施方案。加强互动,增强审计的透明度和威信力。可以吸收民众代表为特约审计员,全程参与和了解水资源绩效审计工作的实施情况,为群众答疑解惑;及时向审计机关反馈民众意见和建议,真正实现关注民生;还可以监督检查审计人员的审计执法行为及廉洁自律情况。
5.强化绩效审计结果的运用。审计结果的运用是绩效审计工作功能的最终体现,它直接关系到绩效审计在城市水资源监管中发挥作用的大小、社会影响力和可持续发展。
(1)审计结果运用的主要途径。因为城市水安全关系社会可持续发展和国家安全,审计结果最重要的运用途径是为政府宏观决策做参考。审计机关归纳提炼出城市水资源管理和运行中存在的突出矛盾和制约瓶颈,以信息专报的形式报送党委、政府,促使其从体制、机制上研究解决方案和调整措施,保障政府决策的科学性、可行性和前瞻性,维护城市水安全。其次是被审计单位及其上级主管部门对审计结果的运用。对审计结果报告中反映的问题,被审计单位应认真分析、查找原因,不断完善内部管理制度和内部控制机制,提高水资源开发、供给和lunwenshop.com 北京写作治理的效率和效果。上级主管部门应在职权范围内进行调查处理,根据问题性质、情节轻重和责任大小,追究相关人员的责任,督促检查整改情况,并对突出或共性问题制定相应的管理和监督措施。
【关键词】会计电算化;内部审计;信息技术的应用
我国内部审计发展的初期是国家要求企业建立审计制度,企业处于‘要我建’的被动状态;随着内部审计的作用逐渐被认识,企业从‘要我建’的被动状态转变为‘我要建’的主动状态。但是,我国目前内部审计人员往往将大部分精力投入到财务数据的真实性、合法性的查证及生产经营的监督上,审计的主要职能就是查错防弊而不是对企业管理作出分析、评价和提出管理建议,审计的对象主要是会计报表、账本、凭证及相关资料,其主要工作都集中在财务领域而未深入到管理和经营领域。
一、会计电算化系统内部控制的主要内容
1、组织与管理控制。⑴适当的职责分离。这就是设置网络管理中心,由网管中心全盘规划合理布局,采取措施确保各工作站、终端和人员之间适当的职责分离。⑵优化配置人力资源。良好的人力资源管理政策对于企业内部控制的顺利实施起着关键性的作用。因此要制定措施确保人力资源的合理利用。⑶发挥内部审计的作用。内部审计的本质是一种特殊的组织控制。通过内部审计部门对会计电算化系统信息的质量和完整性进行独立和公正地监督与评价,有利于系统内部自我约束、自我激励机制的建立与键全。
2、系统开发控制。系统开发控制是为保证会计电算化系统开发过程中各项活动的合法性和有效性而设计的控制措施,它应贯穿于系统规划、系统分析、系统设计、系统实施和系统运行测试与维护的各个阶段。共主要内容包括如下:⑴明确开发目标,制定项目管理计划,进行项目的可行性研究与分析;控制开发进度监督开发质量,检查各功能模块设置的合理性及程序设计的可靠性,提高系统的可审性。⑵利用计算机测试的功能,检验整个系统的完整性,并应对非法数据的容错能力、系统抗干扰能力和发生突发事件的应变能力以及系统遭遇破坏后的恢复能力进行重点测试;做好人员和设备等资源的整合配置以及初始数据的安全导入,保证新旧系统的转换有序进行。⑶一旦发现会计电算化系统各类软件可能存在安全漏洞,应立即进行修补与升级,并将所有与软件修改有关的记录报告及时存储归档。
3、日常操作系统管理控制。⑴制定上机操作规程。主要包括软、硬件操作规程、作业运行规程和用机时间记录规程等。⑵加强系统人员的操作管理。人作为系统主体是会计电算化发展的基本动力和信息安全的最终防线。人员操作管理的重点是权限控制。系统管理员被赋予超级用户管理权限,主要负责系统硬、软件的管理维护和系统资源分配,操作人员应按照被授予的权限严格作业,不得越权接触系统,系统程序员不得进行业务操作,以避免人为因素或操作不当给操作系统带来不必要的损失和风险。⑶建立计算机资源访问授权和身份认证制度。即明确每个用户的安全级别和身份标识,并分别定义具体的访问对象;⑷建立安全稽核机制。对系统操作的事件类型、用户身份、操作时间、系统参数和状态以及系统敏感资源进行实时监控和记录,进行必要的权限设置,以便能够对各种不同的权限进行用户识别和远程请求识别。⑸设置安全检测预警系统。即实时寻找具有网络攻击特征和违反网络安全策略的数据流,实时响应和报警,阻断非法的网络链接,对事件涉及的主机实施进一步跟踪,创造一种漏洞检测与实时监控相结合的可持续改进的安全模式。
4、会计电算化系统安全控制。⑴硬件设备安全控制。硬件设备安全主要涉及计算机机房环境和没备的技术安全要求。应制定计算机机房和设备的管理制度、岗位职责和操作规程,严格禁止无关人员接触系统,专机专用;计算机机房应充分满足防火、防潮防尘、防磁和防辐射及恒温等技术要求,关键性的硬件设备可采用双系统备份。⑵系统软件安全控制。严格控制系统软件的安装与修改,对系统软件进行定期的预防性检查,系统被破坏时要求系统软件具备紧急响应、强制备份、快速重构和快速恢复的功能。⑶会计信息安全控制。会计信息安全的基础是密码学。按加密和解密算法所用的密钥是否相同,将密码分为对称密钥密码体制和非对称密钥密码体制。后者在信息安全管理方面得到了广泛的应用。如通信线路上的数据流加密,数据库中的数据文件加密,访问者的身份认证,数字签名等。除密码学之外,模式识别的方法也在网络信息安全方面得到应用。如指纹识别、面容识别在身份认证中具有很好的作用。⑷系统入侵防范控制。为了防止非法用户对会计电算化系统的入侵,应采取设置防火墙,身份认证和授权管理等安全技术,用以限制外界对主机操作系统的访问;用以隔离应用系统与外界访问区域之间的联系,限制外界穿过访问区域对网络应用系统服务器尤其是对会计数据库系统的非法访问;加强原有的基于帐户和口令的控制,提供授权访问控制和用户身份识别。⑸交易安全控制。为了保证交易者的交易信息不被他人窃取或破译,主要应采取数字加密、数字认证等核心技术。
5、应用控制。应用控制是指在会计电算化系统的数据输入、通讯、处理和输出环节所采用的控制程序和措施。⑴输入控制。输入控制的重点在于建立适当的授权和审批机制,并对输入数据的准确性进行校验,如总数控制校验、平衡校验、科目代码校验和逻辑关系测试等。⑵通讯控制。通讯控制的重点在于批量控制,业务时序控制、数据编码控制与发放和接收的标识控制等。⑶处理控制。处理控制的重点在于处理过程的现场控制、数据有效性检测、预留审计线索控制和错误纠正控制等。⑷数据输出控制。输出控制的重点在于数据稽核控制,授权输出控制和打印程序控制等。
二、信息技术对内部审计的影响
随着信息技术的发展,利用计算机从事经营管理越来越多地被企业接受,会计电算化给财务管理带来了便利同时,也给内部审计工作增添了新的审计内容,具体来讲包括以下几个方面:
1、会计电算化系统内部控制制度的审计
会计电算化系统内部控制制度是制约会计电算化核算的行为规范,是保证会计电算化系统可靠性和准确性的关键。对会计电算化系统内部控制制度的审计主要包括两个方面:一是审查电算化的内部控制制度是否完善健全;二是测试已建立的内部控制制度的执行过程和执行结果。
2、会计电算化硬件的审计
会计电算化硬件指计算机随机配备的为防止硬件运行失灵的一些控制功能。如为防止计算机数据丢失或损坏,服务器配备双硬盘,实时对计算机的数据映射到备份硬盘中;为防止硬件运算出错,很多计算机配备了重复处理校验功能,常见的有冗余校验等。
3、会计电算化软件审计
主要是了解软件系统所需要达到的目标和实现的功能,了解计算机输出的内容和格式。包括审查财务软件是否通过财政部门或其他有关部门的鉴定、评审;审查财会软件的设计是否符合现行财政法规和会计核算制度;审查会计科目设置的科学性、合理性;审查会计电算化系统输出的格式和内容是否满足管理部门和其他部门的要求;审查软件是否具有应变能力,能否适应外界环境的变化;审查电算化软件是否操作方便、简单易学。
4、系统安全性、保密性的审计
主要是对保证计算机系统运转的连续性和导致系统资源损失的种种干扰因素所采取的各种控制手段的审计。包括:⑴接触控制。只有经过批准的财会人员才能接触电脑系统的软件、硬件和数据文件,如采用机房、加锁、口令控制等多种方法。⑵后备控制。对重要的系统硬件、软件配置后备设备,对数据文件进行备份,在系统资科毁损的情况下能及时恢复处理功能。⑶环境安全控制。如计算机房应配有防火、防尘、不间断电源、稳压设备等。⑷保密性控制。会计信息作为单位十分重要的商业秘密,必须有保密控制,包括会计人员上机操作权限的分配、联网后有关财会信息的安全等。
三、对开展会计电算化系统审计的一些建议
1、会计电算化审计,除了要求审计人员懂得会计、审计知识,还应懂得计算机硬件、软件知识,两者结和起来,并对被审计单位的会计信息系统达到全面的了解,这样才能完成审计任务。审计机构必须加大培训力度,提高审计人员的计算机知识和技术水平。
2、审计机构的领导要从思想重视会计电算化审计工作,从自身开始扫除计算机盲。应积极添置计算机设备,从硬件和软件两方面满足审计工作的需要。
3、审计师和软件工程师应加强合作,尽快研制开发出适合本单位内部审计工作要求的审计软件,并在审计实践中逐步完善。
4、要加强会计电算化审计的理论研究,制定会计电算化审计的标堆和发展规范。
参考文献:
[1]彭志国,刘琳.企业内部控制与全面风险管理[M].中国时代经济出版社,2008.
一、数据有效性的定义
在目前的财务报表审计工作中,审计人员在了解被审计单位及其环境之后,实施控制测试程序和实质性测试程序,而在实施实质性测试的时候,会先从被审计单位的会计信息系统中采集所有与审计相关的数据,假设审计人员能够采集与被审计单位的会计信息系统中的数据完全一致。但是由于会计信息系统本身所固有的风险性,会使得其产生大量的数据不正确,或者不真实可靠,这将使审计的风险大大增加,产生事务所可能无法接受的风险,这时候就不应该继续审计工作。所以,在审计工作实施之前,应当把分析被审计单位会计信息系统所产生数据的有效性作为应当执行的程序。
数据有效性是指体现审计需求的程度。审计中利用会计信息系统所产生的数据的主要目的是为了取得审计证据,支持其关于审计事项的判断或结论。据此,我将会计信息系统的数据有效性定义为以下几个方面:可验证性、可理解性、可分析性、正确性、完整性和惟一性。
二、数据有效性的影响因素分析
会计信息系统由计算机硬件及其环境,计算机网络,系统管理软件和应用软件组成。影响被审计数据的有效性主要是会计信息系统的风险性。会计信息系统的风险是指由于各种不确定因素的影响,系统输出的会计信息与真实信息发生背离的可能性。会计信息系统既给会计工作带来了高效率,同时也带来了一些手工条件下所没有的风险。种种安全隐患在会计信息系统中突出表现在以下四个方面:
(一)系统环境
系统环境因素主要是指会计信息系统的硬件和软件、系统开发以及自然环境等方面的因素。
1.硬件和软件
在硬件和软件方面由于硬件失灵、逻辑线路错误等而造成信息传递或处理中的失真,或由于网络软件自身的程序、后门程序、通信线路不稳定等因素都为系统的安全带来诸多隐患,使系统面临病毒和黑客的攻击。
2.系统开发
在系统开发方面,主要表现为没有按科学的方法架构网络、开发系统和设计程序,系统未经测试和调试等,而致使财务信息面临被窃取的安全隐患。
3.自然环境
在自然环境方面,火灾、水灾、风灾、地震等都有可能造成系统的安全问题。
(二)管理制度方面
传统会计系统非常强调对业务活动的使用授权批准和职责性、正确性与合法性,在会计信息系统下,原来使用的靠账簿之间互相核对实现的差错纠正控制已经不复存在,光、电、磁介质也不同于纸张介质,它所载信息能不留痕迹地被修改和删除,使企业内部会计控制面临失效的安全隐患。因此,在会计信息系统下管理制度方面的影响要素主要包括会计信息系统的建设组织、管理制度、人员配备、内部审计机制等。
1.建设组织
在组织方面,存在职责不分、没有监督机构等问题。
2.管理制度
在管理制度方面,存在没有健全的管理制度,或者是有章不循、有规不依等问题。
3.人员配备
在人员配备方面,存在企业没有对网络会计系统以足够的重视,没有配备足够的人员,尤其是没有配备足够的系统安全人员的问题。
4.内部审计机制
在内部审计机制方面,存在没有建立有效的内部审计机制,或者建立的内部审计机制没有坚持执行等问题。
(三)数据处理方面
在会计信息系统中,需要财务部门集中输入的记账凭证可由各部门的多台计算机同时输入。这虽然提高了整个账务处理的工作效率,也遵循了会计数据输入的及时性原则。但毕竟会计数据的数量是庞大的,数据处理会出现多种错误。一是输入环节录入错误信息,使用无效代码,击错功能键,丢失数据,重复输入,没有将数据存盘等。二是处理环节使用了错误程序,使用了错误的数据文件以及丢失数据文件和程序等。这些使会计档案面临保存失效的安全隐患。
(四)人员素质方面
其安全隐患主要包括:
第一,人员配备方面没有配备足够的系统安全人员。使用与管理人员培训不够,业务素质偏低,容易产生错误操作,从而对计算机会计信息系统安全构成威胁;
第二,责权不明、管理混乱、安全管理制度不健全及缺乏可操作性等都可能使安全风险增强;
第三,内部人员道德风险,主要指企业内部人员对会计信息的管理不善、非法篡改、破坏和不正当泄密等,造成资料损坏或丢失,为犯罪造成可乘之机。
三、针对数据有效性的威胁审计人员应当采取的措施
国际上知名的会计师事务所都已经意识到会计信息系统所带来的审计风险,并且让信息系统审计师协助审计小组工作。审计小组应该首先了解:会计信息系统的一般控制
[1] [2] [3]
和应用控制,被审计单位是否配备了合格的系统安全管理人员。然后请专家(即信息系统审计师)根据审计对会计信息数据的需求,实施一定的信息系统审计方法来测试会计信息系统产生数据的有效性,以达到降低审计风险的目的。
(一)应当了解的情况
审计人员应该了解会计信息的一般控制和应用控制。
.一般控制
一般控制作为会计信息系统的主要控制手段之一,涉及面很广,从人员管理到计算机软硬件及运行环境的管理等,具体包括以下几个方面:
()组织控制
指为保证会计信息系统责任和义务而采取的控制。具体包括:建立管理的组织机构,选择、监督、培训人员,职责分工并授权,计算机应用系统建立的组织,以及会计信息内控制度计划、引导、管理。 ()系统开发与维护控制
具体包括:系统开发计划控制,编程与软件测试控制,系统维护及功能改进的控制以及日常运行管理维护,文档资料的控制。
()软件与硬件的控制
具体包括:硬件系统控制,软件系统控制,网络系统控制。
()安全控制
主要涉及计算机系统的环境安全、设备保护以及安全保密制度。
()操作控制
主要涉及使用计算机系统的一整套管理制度,包括计算机系统操作规程和守则,上机日记,保密制度等。
.应用控制
应用控制的目的是保证计算机系统数据处理的完整性、一致性、准确性和安全性。一般分为输入控制,处理控制和输出控制。
()输入控制
其目的是保证经审批的经济业务数据准确输入计算机系统。输入控制与组织控制是相辅相成的,业务审批应在电算部门之外。
()处理控制
其目的是保证会计信息系统按程序设计的要求进行数据处理。一般通过计算机程序加以执行。
()输出控制
其目的是保证会计信息系统处理结果能正确的输出,任何未经授权的人不能取得计算机系统内的数据。 上述介绍的是在会计信息系统环境下系统完整的内部控制体系。对一个企业来说,实际情况是,其内控往往并不能包括全部,如一些单位的应用软件是购买的,对软件的开发过程的内控实际上是无法控制的。因此,审计人员在实际测试工作中,还要针对每个企业实际情况制定具体的测试方案,进行符合性测试和实质性测试,并对其会计信息系统的内控做出评价,然后根据测试结果决定是否依赖或部分依赖会计信息系统下的内控制度制定,并制定相应的审计策略,同时对内控制度存在的重大缺陷提出管理建议。
(二)信息系统审计师实施的主要测试方法
审计通过检查系统状态是否正常或是否符合包括系统和组织策略在内的安全需求来支持对操作的保障。
.自动工具
对安全特征的人工检查是一项费时的重要工作。自动工具使得对大型计算机系统的各种安全错误的检查成为可能。它可以用来发现各种威胁和漏洞,如不适当的访问控制、脆弱口令、缺乏完整性的系统软件,或没有及时更新和修补的软件。有两种类型的自动工具:一种是主动工具,它是通过破解系统来发现系统缺陷的工具;另一种是被动工具,它是用来检查系统和通过系统状态推断系统所存在问题的工具。
.内部控制审计
审计可以对己经部署的控制进行检查以确定它们是否有效。审计者通常会对计算机和非计算机的控制进行分析,其技术包括询问、观察、测试(包括控制本身及其数据)。审计还可以发现非法活动、错误、反常行为和法律法规的执行疏漏。
.安全检查表
计算机安全可以通过检查表的方式对系统进行审计。安全计划对系统中包括管理、操作和技术在内的主要安全要求进行概括。审计者也可以自己开发出合适形式的检查表。
.系统日志的检查
定期对系统产生的日志进行检查可以发现安全问题,包括超越系统权限的在非正常时间内访问系统的企图。
.报警和阻断
报警子系统发现和警示非授权的操作或企图,并报知系统管理员。阻断响应则是对非授权的操作进行阻止,对非授权的操作所引起的操作结果进行恢复。
四、小结
综上所述,在会计信息系统条件下开展财务报表审计工作,必须要充分认识并考虑会计信息系统所潜在的风险,并且实施相应的审计程序,以合理保证会计信息系统产生数据的有效性,达到降低拟信赖该系统所带来的审计风险。
李荣梅,陈良民.企业内部控制与审计[M].经济科学出版社,,().
刘汝焯.计算机审计技术和方法[M].清华大学出版社,,().
唐勇军,时薛原.网络环境下的会计信息内部控制研究[J].财会通讯,,().
购物车(0)