1、第 1 页 共 29 页信息技术与计算机审计中山大学 管理学院会 计 学 系 陈婉玲 编 制1确定安全的薄弱环节:一、内审的其他任务和职责信息或物理安全(1)系统弱点,(2)安全漏洞,(3)实施缺陷。内部审计师应识别和评价有关的威胁和薄弱环节,确定风险的大小,以便选择适当和正确的控制措施。内部审计师应使董事会、管理层和其他治理机构认识到信息安全是管理层的责任,对违背信息安全的行为应迅速向内审人员报告。2确定违反安全规定行为的处理内部审计师应定期评价本组织的信息或物理安全,评价针对可能发生的对信息系统安全的威胁所采取预防、发现和减轻的措施的有效性,提出改进意见和实施建议,确保董事会、管理层和其他
2、治理机构已被适当地知道威胁、薄弱环节和控制措施。另一个与信息安全相关的内部审计是评价系统遵守法律、法规有关隐私的规定。内部审计师应确定与隐私有关的要求,系统应遵循这些要求。3报告遵循情况在评价了系统安全情况后,内部审计人员应有尽有向董事会、审计委员会和其他治理机构提交一份报告。二、信息技术(IT)审计业务(一)计算机软件(1)系统软件负责控制与分配计算机资源,帮助计算机硬件有效工作,并使应用软件正常运行的计算机程序。(2)应用程序用于满足特定用户需要的计算机程序,如工具软件(包括字处理程序和电子表格程序等)和商业应用软件(如会计电算化和仓储控制软件包、特殊商业应用软件等)。操作系统操作系统是计
3、算机系统最主要的系统软件,它负责控制与分配计算机资源(包括CPU、输入/输出设备、存贮储器、网络等),使计算机硬件有效工作,并使应用软件正常运行,扮演着计算机硬件与应用软件之间的“接口”角色的计算机程序。不同的操作系统第 2 页 共 29 页不同的计算机系统有不同的操作系统:PC机操作系统:DOS、Windos等,服务器与工作站操作系统:Windos Sever,Linux等,大型机操作系统:IBM S/390、IBM MVS等。操作系统的功能(1)定义用户接口;(2)允许用户共享硬件;(3)允许用户共享数据;(4)使用输出输入资源及进行资源调度。(5)通知用户所有处理器、输入、输出设备或程序
4、存在的相关错误信息;(6)对出现的故障能进行恢复;(7)管理系统文件;(8)管理系统账号;(9)操作系统与程序之间进行通信等操作系统的审计要点 收集操作系统所安装平台的所有软件系统,包括操作系统、数据库、应用系统概要信息及其主要配置: 输出文件列表。记录特权用户、普通用户账号信息及其权限,缺省用户设置情况; 以管理员身份登录到系统中收集并记录各种系统信息:如主机配置、J用户环境、网络信息、口令、权限设置等; 检查并测试口令设置规则与强度。口令输入检查控制是否有效;操作系统的审计要点 检查对操作系统文件的访问控制是否适宜; 检查系统初始化环境参数的设置是否适宜; 检查用户登录环境是否受到适当的限
5、制; 检查系统缺省启动的程序,确定没有不明来历的程序被启动,确定暂时不需要的程序是否被禁止; 检查是否容许用户未经口令验证(或使用缺省的口令),直接进入系统,如系统某些缺省的用户是否有缺省的口令或空口令;操作系统的审计要点第 3 页 共 29 页 检查系统日志是否打开一保证对日志的直接访问受到限制; 检查用户账号的授权或对系统资源授权访问是否适宜; 是否有操作系统备份计划,备份设备是否就绪; 设备能力测试,当前应用环境下操作系统对内存、磁盘、网络的容量要求是否能满足;操作系统的审计要点 操作系统版本测试,补丁程序是否及时; 检查是否对出现故障的操作系统有完备的维护程序与记录。(二)系统开发及其
6、审计1. 常用的系统开发方法(1)系统生命周期法:系统生命周期法就是按系统生命周期的各个阶段划分任务,按一定的规则和步骤,有效地进行系统开发的方法。1.常用的开发方法(2)原型法: 原型法是先根据用户的最主要要求,开发出能实现系统最基本功能的一个原型,再根据用户对原型使用与评价的意见,反复修改完善原型,直至得到用户满意的最终系统为止。1.常用的开发方法(3)面向对象法:此法认为世界由各种各样的对象组成,每种对象有自己的内部状态和运动规律,不同的对象及其之间的联系和作用构成不同的系统。面向对象的系统开发方法指通过定义对象及其联系和作用而进行系统开发的方法,它包括面向对象分析、面向对象设计和面向对
7、象程序设计。面向对象法所谓对象是一个封装有数据(或称属性,即其内部状态)和操作(或称事件、方法,即其运动)的实体。具有共同特性、共同操作性质的对象的集合叫类,类又可分为子类。在定义了某类的特性后,其下的每个子类均可自动继承其属性和操作。因此,在面向对象的程序设计中,主要的任务是定义与描述对象。它可以提高编程和以后程序维护的效率。另外,由于对象有封装性,因而使信息更隐蔽。但因为封装性,当程序出现错误时,进行检查和修改可能比较困难。2.系统生命周期法()系统准备阶段:其主要任务是了解用户的要求,确定新系统的目标,对要求开发的新系统从技术上、经济上与实施上是否可行进行可行性分析。这一阶段的主要文档资
8、料是可行性研究报告。()系统分析阶段:其主要任务是在可行性分析的基础上,对原有系统进行详细调查分析,收集第 4 页 共 29 页原系统所有的文件(凭证、帐薄、报表等)样本,明确用户对系统的全部需求(包括功能、性能、安全等),根据用户需求提出新系统的逻辑模型。此阶段的主要文档资料是系统分析报告。()系统设计阶段:其主要任务是根据系统的逻辑模型进行系统的总体设计和详细设计,包括模块设计、代码设计、输入输出设计、数据文件设计、安全保密设计和处理流程设计。此阶段的主要文档资料是系统设计报告,包括系统概要设计说明书和详细设计说明书。()系统实施阶段:其主要任务是根据系统详细设计说明书用选定的程序语言或编
9、程工具编写源程序,进行程序的测试、模块的联调和系统的总调,编写出系统操作手册或用户手册,组织系统的试运行与评审。此阶段的主要文档资料包括源程序表,系统测试报告、操作手册和评审报告等。()运行维护阶段:其主要任务是正式使用系统,并且在需要时进行系统维护。此阶段的主要文档资料有系统运行日志和系统维护报告。系统生命周期法适用于开发较大型、综合、功能明确且复杂的信息系统3. 计算机信息系统开发的审计(1)审查系统开发的可行性。(2)审查系统功能的合规、合法性。(3)审查系统程序控制的恰当性。(4)审查系统的可审性(注意留下充分的审计线索)。3. 计算机信息系统开发的审计(5)审查系统测试的全面恰当性(
10、参与系统测试,审查测试数据、过程和结果)。(6)审查系统文档资料的完整性。(7)审查系统的可维护性。4信息系统的变动控制变动控制是指信息系统的任何变动(包括硬件变动和软件变动)必须经过申请、管理层的批准后才能执行,变动后的系统必须经测试(除系统维护人员外,用户代表应参与测试),并且修改相应的系统文档后才能正式投入使用。不允许任何人未经批准随意对生产程序(即正式使用的程序)进行改动,系统变动应给予以记录,留下审计线索。5终端用户计算(即终端用户开发)指系统的经商用户在没有或只有很少技术专家正式协助下,自行进行系统开发。它存在较大的风险,如:系统整体的分析功能被忽略,难以与其他系统集成和共享数据,
11、缺乏系统的标准和文档,使系统的使用与维护严重依赖开发者,缺乏监督,失去信息的一致性等等。5终端用户计算(即终端用户开发)第 5 页 共 29 页为降低终端用户计算的风险,内审人员可建议在组织内成立咨询服务为主要职能的“信息中心”,制定相应的政策、规章制度和管理用户的开发。对终端用户开发的应用程序,审计人员应评估程序的风险,对程序及其控制进行测试和审查。三数据与网络通讯1. 计算机网络计算机网络指为实现相互通讯和共享软、硬件等目的,通过通讯线路、网络接口部件连接起来计算机群。根据数据信息传输距离,计算机网络通常可分为局域网(LAN)、城域网(MAN)和广域网(WAN)。2.网络设备主要的网络设备
12、有:网卡、集线器、中继器、网桥、路由器、网关和调制调解器等。(1)网卡(NIC):使计算机与网络相连接的接口设备。(2)集线器(hub):将终端线集中的设备,以便集中后在通过高速线路接到通讯控制机。2.网络设备(3)中继器(repeater):为防止信号在传输中因衰减而失真,在线路中设置的用于放大信号强度,从而廷长通讯距离的放大设备。(4)网桥(Gatebridge):联接两个网络(一般是通讯协议相同的网络)的专用设备。以便网间能相互通讯,达到更远的地方。在Internet上已逐步被路由器取代。2.网络设备(5)网关(Gateway):联接两个通讯 协议可以不同的网络的专用设备。较网桥复杂,要
13、转换通讯协议,使协议不同的网络间能通讯。在Internet上已逐步被路由器取代。(6)路由器(Router):路由是指网络住处由源位置到目标位置传输的路径。路由器是一种能分析选择Internet上最快捷、畅通到达目的地路径的专用计算机。有些路由器还具有带宽优化和防火墙功能。2.网络设备(7)交换机(switcher):构成交换型星型网络的中心连接设备,其上每个端口共享信道。(8)调制解调器(modem):能将数字信号和模拟信号相互转换,从而且使第 6 页 共 29 页数字信号能通过传递模拟音频信号的信道传送的设备。3.网络的拓朴结构指网络中计算机连接形式。常见的拓朴结构有星型、总线型、环型和网
14、型及其组合。(1)星型:所有网上的计算机都连到中央结点上,通过中央结点与期他机联系。这种结构非中央结点的故障不会影响网络的运行,也容易扩网。(2)总线型:所有网上的计算机都连在一条公共的电缆上,按一定的规则竞争使用信道。这种结构若电缆出现故障,全网将瘫痪。3.网络的拓朴结构环型:所有网上的计算机串联起来成为一个环,并通过循环令牌来分配信道。这种结构数据在通信线路上不会发生碰撞,性能平稳,但同总线型一样,任何一点出现故障,整个网将瘫痪。网型:网上的计算机联成网状,网络中计算机间的通讯路径有多个。只有大型的计算机网络才会采用网型结构。4.网络协议指网络中计算机间互相通讯的预定规则Internet所
15、用的网络协议是TCP/IP(传输控制协议/互联网协议)。5. 数据通信数据通信是指通过通信线路传输数据、声音及影象。它要求四个不同的组件:发送方、接受方、媒介及消息。通讯媒介包括公用数据通讯网络(包括公用电话交换网络,公用数字数据网)、双绞线、同轴电缆、光纤、微波和无线电路(卫星通讯)等。对数据与网络通讯审计的重点(1)网络拓朴结构及设计;(2)重要网络通讯设备的物理性能、参数设置和环境控制;(3)网络管理员及其职责;(4)网络传输与数据安全;(5)通讯设备的接触控制等。国际互联网(Internet)国际互联网又称因特网,是通过路由器把世界各地的计算机或计算机网络连成的一个大网络。它能提供下列
16、服务:(1)远程登录(Telnet):登录到远距离的计算机上,使用其信息,可查全世界的开放资料。(2)文件传输(FTR):利用文件传输协议,可从一台计算机复制文件到另一台计算机,不管其有多远。国际互联网(Internet)(3)文件检索(Archie):它通过每隔一定的时间间隔与所有的FTP主机建立第 7 页 共 29 页连接,把这些主机存有公开文件的目录清单存入Internet Archie数据库中。用户要查找文件时,只要输入已知的文件名或用通配符,Archie可找到其存放处,给出路径。国际互联网(Internet)(4)Gopher:一种菜单驱动的Internet信息资源检索工具。它通过菜
17、单发出请求,服务系统自动与相应的主机建立连接,并完成指定的检索任务。它曾广泛应用,直到1995年才逐渐被基于超文本链接、具有图形用户界面、可显示多媒体信息的WWW环境取代。国际互联网(Internet)(5)专题讨论(news group):又称新闻组,是在Internet上建立的专题讨论,讨论内容划分小组,你可参加任一小组讨论,可阅读其中的文章,也可发表自己的意见,或针对人家的文章发表评论或作出答复。国际互联网(Internet)(6)WWW(万维网/环球网):是建立在客户机/服务器模型之上、以HTTP(超文本传输协议)为基础,能够提供面向各种Internet服务的一种友好的信息浏览系统。它
18、可以把各种类型的信息(如文本、图象、声音、动画、录象等)和服务(如News、FTP、Telnet、Gopher、e-mail等)无缝连接,提供生动的图形用户界面。用户只要提出查询要求,可完成查询;可查文、图、声等信息。国际互联网(Internet)(7)电子邮件(Email):通过Internet发送的邮件。它具有快捷、便宜,一份可同时发送给多人,可附发文章,可转寄等特点。Email的传递由简单邮件传输协议(SMTP)来完成。SMTP是TCPIP的一部分。(四)语音通讯语音通讯是指通过电话交换机(PBX)进行语音沟通,目前常用的主要有:1模拟电话,由公用电话网(PSTN)承载。2ISDN数字电
19、话,由不得综合业务数字网(ISDN)承载。3IP数字电话,由IP网承载。4无线移动电话,由蜂窝无线网承载。(四)语音通讯语音通讯的审查主要注意重要信息的保密问题(专人负责管理与维护电话设备、电话使用的政策规定等),通讯费用(设备的接触权限,防止员工个人目的使用通讯设备,通讯费的管理等)、对员工通讯的监控。(五)系统的安全与应急计划计算机信息系统的安全面临的威胁:(1)内部威胁,如软件中的错漏和安全漏洞、硬件中的缺陷、系统设计上的缺陷、对数据安全的威胁等;第 8 页 共 29 页(2)外部威胁,如信息的暴露、拒绝提供服务、计算机犯罪、计算机病毒、盗窃、静电、电压的急剧变化、自然灾害、严重事故和人
20、为的差错等。为加强系统的安全,必须建立一系列的安全控制,这些控制包括一般控制和应用控制。1.一般控制(general control)一般控制指对信息系统的构成要素和环境实施的控制,包括组织控制、硬件与系统软件控制、系统安全控制、系统开发与维护控制。(1) 组织控制最基本的要求是程序员与系统维护人员不能负责业务的处理,不能操作已正式投入使用的系统。1.一般控制(2)硬件与系统软件控制:硬件控制指确保硬件运行正确的控制,包括:奇偶校验、重复处理、回波检验等。系统软件控制指编写在系统软件中,为提高系统安全而设立的控制,包括:错误的处理、程序保护、数据文件保护、系统接触控制等。(3)信息与物理的安全
21、控制接触控制:控制只有经授权的人才能接触系统的硬件、软件和数据文件。具体控制措施有:机房上锁、机器上锁、机房设置门卫, 使用开机口令,上网要登录(检查用户名、密码),系统采用密码权限控制,目录与文件加密等。(3)信息与物理的安全控制后备控制:系统的硬件(对不能停止工作的系统)、软件和数据文件要备份,要制定系统的应急计划。在大量数据输入后或较长时间的处理前要及时备份有关文件,重要的数据要留三代,平常应根据组织的具体情况进行系统数据的日、周、旬或月备份。备份文件至少要有一份保管在机房以外的地方。(3)信息与物理的安全控制应急计划(又叫灾难补救计划)指预先制定的,万一系统出现灾难性损毁时的应急措施和
22、利用后备的硬件、软件、数据文件恢复系统的计划。制定应急计划应首先对组织经营的环境进行风险分析,然后才是分析恢复策略(如哪些是最主要、要最先恢复的功能等);应急计划应包括系统备份和重新启动的程序;检验应急计划有效性的方法是对它进行测试;当组织结构与经营发生变化时,应急计划要相应改变。第 9 页 共 29 页()信息与物理的安全控制环境安全控制:*电源的控制:机房要设置不间断电源,保证电源安全稳定。*其他环境控制:机房要有防火、防水、防尘、防电磁干扰,防静电和良好的接地装置。保证计算机工作环境在一定的温度、湿度。()信息与物理的安全控制计算机病毒与黑客的防范控制*计算机病毒:又简称病毒,是一些能隐
23、藏在合法程序里、能自我复制的、在其寄附的程序执行到某些阶段便能获得执行控制权的程序段。这些程序因能以自我复制的方式而通过计算机网络或磁盘传播出去,就像病毒一样可以传染。计算机病毒计算机病毒发作时,有些通过不断自我复制,占用了系统的时间和空间,使系统运行速度变慢,磁盘空间无端减少;有些会破坏或删除系统的文件,破坏系统引导区、硬盘分区表,使系统出现一些古怪的现象、无端死机或无法启动,甚至破坏硬件。病毒传播的主要途径有通过接触受感染的磁带、磁盘、光盘,通过网络,通过电子邮件,通过浏览网页或下载文件等。防治病毒的主要控制措施不使用盗版软件、不让外来磁带、磁盘、光盘接触系统、使用防病毒工具(软、硬件),
24、若无必要,系统不要直接连到Internet上,若要与外部网联接,要使用防火墙。黑客(Hacker)黑客一般指利用计算机网络对别人的计算机进行攻击、破坏等违法活动的人。黑客利用其掌握的计算机技术,通过网络或破译人家的密码、或利用人家系统的漏洞,进入人家的信息系统,或窃取信息,或进行破坏,或向人家的网络发送大量垃圾信息或虚假服务请求,造成网络堵塞,使正常的服务无法提供。随着Internet的发展,黑客的攻击已成为网络化信息系统重要的安全威胁。黑客的防范黑客的防范:一要检查系统的漏洞,发现漏洞立即打补丁,二要充分利用防火墙,三对阻塞性的攻击,要对虚假信息采取有的屏蔽措施。()信息与物理的安全控制第
25、10 页 共 29 页防火墙(firewall):防火墙是指置于一个单位内部网与外部网之间,用于防止外部访问者入侵系统的软件或软硬件组合。防火墙一般分过滤型和代理服务器型。过滤型防火墙通过截获要进入本单位内部网的信息包,检查其源地址、目的地址、路由和数据内容等特性,过滤出可疑的东西,拒绝一切未经授权的信息与访问的企图。防火墙(续)代理服务器型防火墙不允许外部信息直接进入内部网,而只能到达代理服务器,数据通过时代理服务器要求要完成准确的注册与鉴定,对访问提供控制与过滤作用,从而提高内部网的安全性。要注意的是:任何一种防火墙都不能绝对保证内部网的安全。(4)系统的开发与维护控制 系统开发前应进行可
26、行性研究。系统的设计应有用户的代表和内审人员的参加。系统的检测应有用户代表和内审人员的参加,经验测满意的新系统,要经过与原系统并行试运行一定时期,并经过审批才能正式投入使用。系统正式投入运行以前,应按规范要求编制好系统的文档资料。(4)系统的开发与维护控制已正式投入运行的系统,若要进行维护改进,必须经申请、批准后才能修改,修改后必须经严格的检测、并作好文档记录后才能正式投入使用。 2. 应用控制(Application control)应用控制指针对计算机信息系统的各应用(即子系统或功能模块)的敏感环节和控制要求,为各子系统的输入、处理和输出完整准确而建立的控制。包括输入控制、处理控制和输出控
27、制。(1)输入控制输入控制是为防止非法数据输入系统,使合法数据能完整、准确地输入系统的控制。只有经授权的人才能进行输入操作,要按规定输入真实的数据,输入操作要作记录,输入数据要经核对才能处理。由计算机对输入的数据进行检验,以防止和发现数据输入的错误。凡被计算机发现的错误,应由操作员检查,由出错的人改正后重新向系统提交。常见的计算机检验技术(1)业务数点计与控制总数核对。(2)代码的有效性检验。第 11 页 共 29 页(3)顺序检验。(4)平衡检验。(5)合理性检验(又称极限检验)。(6)完整性检验。 (7)数据类型、长度、符号等检验(又称格式检验)。(2)处理控制处理控制的目标是保证已输入的
28、数据能完整、准确地按既定原则处理。 控制只有经批准的人才能执行数据处理操作,并要作好操作记录。由计算机对处理条件进行检验,保证满足条件才能处理。由计算机对处理结果进行检验,加强处理结果的正确性。(3)输出控制输出控制的目标是要保证系统能准确、完整地输出经处理的资料,输出资料及时送到经授权的人手中,未经批准的人不能接触输出资料。 控制只有经批准的人才能执行输出操作,并要作好操作记录。打印输出的资料要进行登记,并经有关人员检查后签章才送出使用或按要求归档保管。 应建立输出资料的传递、签收与保管制度,未经批准的人不得接触系统的输出资料。(六)数据库数据库是可存贮大量数据的仓库。它由数据库管理系统创建
29、与维护。数据库的有层次型数据库、网状型数据库和关系型数据库。关系型数据库可有多个数据表,每一个数据表是一张二维表,其一行叫一个记录,一列叫一个字段,表与表之间可以通过关键字建立关联。数据库管理系统(DBMS)数据库管理系统有创建、访问和维护数据库的功能,能协助应用程序组织、控制和使用有关数据。数据库管理系统包括:(1)数据定义语言:用于描述数据库的结构。(2)数据操作语言:用于进行信息访问,可为满足用户开发应用程序的需要。典型的数据操作语言是结构化查询语言(SQL)。(3)数据字典:保存数据库中数据表结构的定义,包括字段名、类型、长度、小数位、存贮位置等。数据库的审计对数据库的审计,审计师应评
30、价:*数据库的设计、*数据库的访问(确定其访问是否有恰当控制)、*数据库的管理(数据库的安全级别、*数据库的操作权限、*数据库的备份恢复(其一致性与可靠性等)。第 12 页 共 29 页(七)数据中心运行数据中心运行是指信息系统的运行。数据中心运行控制包括系统运行的管理、计算机操作、数据输入输出、系统有效运行的监控、程序变更和问题处理等。对数据中心运行的审计主要包括网络操作控制的审计、信息系统操作的审计、紧急状况处理审计和问题处理报告的审计。(八)web基础设施web基础设施是指构成以Internet为基础的电子商务应用的中间层基础设施运行在操作平台上的网络服务器和应用服务器。这些基础设施是面
31、向用户的,如果其性能不良,会影响终端用户的工作效率,也会影响网络服务提供商的形象,因此,web基础设施应有有效的管理。现在,国际上不少国家和地区的注册会计师已开展对有关电子商务网站的“网誉认证”业务,其工作就包括对web基础设施的审计,审查后可发给认证书。 对web基础设施的审计要点内部审计师对web基础设施的审计要点包括: 关注应用服务器和为其提供数据的网络服务器,确保它们保持最佳的性能和可用性。 确定组织是否了解网络环境中的关键部分,管理员能否快速识别web基础设施的故障、及时发出警报,并实现故障的自动纠正。 检查组织能否获得web基础设施的实时状态数据。(九)软件许可软件许可控制是指控制
32、不用盗版软件。使用盗版软件一方面违反版权法,另一方面容易感染病毒,组织应防止使用盗版软件。防止使用盗版软件的方法就是要建立软件使用许可制度,要教育员工增强版权意识,保存购买软件的使用许可证据,定期对每台机上的软件进行审查,把软件的序列号与销售商给序列号比较,发现非法使用的情况;正版软件的安装盘应有专人保管,可以为备份复制保管,但不能用于其他未经许可的计算机。软件许可的审计(1)检查软件购买与使用的政策是否完备,(2)软件是否有专人保管,软件的发放是否有恰当的控制,(3)收集用户使用的所有软件的清单,收集授权安装使用的软件清单,对软件的许可进行持续的检查,(4)对违反软件许可的行为如何处罚和纠正
33、。三、审计方法计算机审计工具和技术(一)嵌入审计模块嵌入审计模块是集成于应用系统的,用于持续监控系统的重要或敏感环节运行程序模块。它对系统的处理进行实时动态的监控,对出现的异常情况记录在审计文件中,或对有关的交易打上标记,以便以后进行审查跟踪。嵌入审计模块技术适用于处理大量数据的计算机信息系统。(一)嵌入审计模块嵌入审计模块需要进行精心设计,以能实现在恰当的处理环节实行监控、截取数据,又尽量不降低系统的性能。要嵌入审计模块需要审计人员在系统分析阶段就向系统开发人员明确提出需求,进入系统的整体设计中。对嵌入的第 13 页 共 29 页审计模块,要注意审计规则参数和审计文件的保护。(二)数据提取技
34、术被审单位的数据一般存放在其大型机、小型机或网络服务器上,为了不扰乱被审单位系统的运行及其数据库,也为了不占用被审系统的资源,审计人员通常不直接用审计软件处理被审系统的数据,而是把被审数据提取到自己的或专门的PC机上,再利用电子表格软件、数据库管理系统或审计软件对被审数据进行审计处理。(二)数据提取技术数据提取的具体方法视具体系统而定, 常用的方法是利用通用审计软件的数据提取功能,定义所需的数据,然后把相应的数据复制到指定的PC机上;另一种数据提取的方法是利用ODBC(开放式数据互联)。通过数据提取技术实现离线审计的优点是可防止对被审单位系统和数据库的扰乱,有较高的安全性,但其缺点是数据可能缺
35、乏完整性和及时性,因而可能影响到审计的结果。(三)通用审计软件(GAS)通用审计软件是指具有常用的计算机审计功能、能直接访问多种数据库及多种平台的文件、能在多个单位审计中辅助审计人员执行审计任务的计算机软件。通用审计软件主要用来检测数据文件的。然而,它有时也被用于测试系统的控制和程序。 通用审计软件的功能表(1)分类(排序),例:将采购定单按金额从最高到最低顺序排列,以便审计人员能检查是否遵循了所有超过一定金额的采购都要进行有力的讨价还价过程的要求。(2)比较,例将所有的赊销与经批准的顾客主文件进行比较以确保已执行了信用检查。(3)合并,例将A分部的库存文件和B分部的库存文件进行合并以便能产生
36、存货项目的随机样本来进行测试。(4) 更新,例在测试发票开单程序中增加对每一顾客适用的折扣条款。(5)生成和保存,例复制被证实的贷款样本以便第二次要求时可用。通用审计软件的功能表(6) 汇总功能,例合计所有指定存货号的销售并编制所有这些销售的汇总记录。(7)数学函数,例进行重新计算和小计。(8)抽取,例抽取所有相关的业务,并对它们进行小计以便复查(9)条件操作,例仅选取那些超过设定金额的维修费用进行测试。(10)抽样,例计算样本量、选取样本、评价总体。(11) 报表书写,例生成一个存货帐龄分析表,以评估其过时性。(12) 数据管理,例编辑检验输入数据。(13)统计程序,例执行各种统计分析。通用
37、审计软件通用审计软件有容易使用,只需要审计人员具有有限的计算机知识,并不要求有编程方面的专业知识,适用性强等优点,是目前最广泛使用的计算机审计审计工具。 国外著名的通用审计软件有ACL(Audit Command Language)和第 14 页 共 29 页IDEA(Interactive Data Extraction and Analysis)。 国内的通用审计软件有:中望软件公司的审易软件、中普软件公司的中岳软件、通审软件公司的通审2000、审计之星、金剑软件等。湖北电力的内审机构与软件公司合作开发的“审计直通车”,是针对内审而开发的通用审计软件。 电子表格分析电子表格软件(如EXCE
38、L、LOTUS等)具有电子表格、数据库管理和统计图表等功能,而且可以进行宏编程,可以和数据库及其他计算机应用连接,其本身的多个表格和表格间也可以互链,还内置了许多分析函数,尤其是其特有的财务函数,审计人员可以利用这些功能辅助对电子资料进行审计处理。电子表格的单元可以填写公式,由计算机自动完成相应的计算,单元间可通过链接实现数据的同步修改。 电子表格分析可利用EXCEL辅助执行的审计工作: 利用EXCEL辅助审计程序表的编制。 利用EXCEL辅助编制某些项目的审计表格。 利用EXCEL辅助试算工作底稿与调整后会计报表的编制。 利用EXCEL辅助编制集团公司的合并报表。 利用EXCEL辅助进行分析
39、性复核。 利用EXCEL的财务函数辅助审计。利用电子表格软件辅助审计,是一种成本低、效率高、灵活方便、实用有效的计算机辅助审计技术。 自动化工作底稿自动化工作底稿是指在计算机审计中,审计人员利用计算机辅助进行风险评估、审计计划安排和各种审计处理中自动生成工作底稿,跟踪、归纳发现的问题,辅助编制审计报告等。自动化工作底稿一般可利用通用审计软件(如Audit Assistant)或一些商业化软(如LOTUS Notes,MS Office等)实现。四、信息技术(IT)(一)控制框架 (如:SAC,COBIT) 1. COBIT(Control Objectives for Information
40、and related Technology) COBIT是目前国际上通用的信息系统审计的标准,由信息系统审计与控制协会在1996年公布。这是一个在国际上公认的、权威的安全与信息技术管理和控制的标准,目前已经更新至第三版。它在商业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。该标准体系已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。1. COBIT COBIT将IT过程,IT资源与企业的策略与目标(准则)联系起来,形成一个三维的体系结构。(1)IT准则维集中反映了企业的战略目标,主要从质量、成本、时间、资源利用率、系统
41、效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性;第 15 页 共 29 页(2)IT资源主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源,这是IT治理过程的主要对象;1. COBIT(3)IT过程维则是在IT准则的指导下,对信息及相关资源进行规划与处理,从信息技术 I规划与组织、采集与实施、交付与支持、监控等四个方面确定了34个信息技术处理过程,每个处理过程还包括更加详细的控制目标和审计方针对IT处理过程进行评估。COBIT信息技术的控制目标(1)有效性(Effectiveness)是指信息与商业过程相关,并以及时、准确、一致和可行的方式传送。(2)高效性(E
42、fficiency)关于如何最佳(最高产和最经济)利用资源来提供信息。(3)机密性(Confidentiality)涉及对敏感信息的保护,以防止未经授权的披露(4)完整性(Integrity)涉及信息的精确性和完全性,以及与商业评价和期望相一致COBIT信息技术的控制目标(5)可用性(Availability)指在现在和将来的商业处理需求中,信息是可用的。还指对必要的资源和相关性能的维护。(6)符合性(Compliance)遵守商业运作过程中必须遵守的法律、法规和契约条款,如外部强制商业标准。(7)信息可靠性(Reliability of Information)为管理者的日常经营管理以及履行
43、财务报告责任提供适当的信息。信息技术控制目标中定义的信息技术资源*数据(Data)指最广义(例如,表面的和内在的)的对象,包括结构化和非结构化、图表、声音等等。*应用系统(Application Systems)人工程序和电脑程序的总和。*技术(Technology)包括硬件、操作系统、数据库管理系统、网络、多媒体等等。*设备(Facilities)用来存放和支持信息系统的一切资源。*人员(People)包括用来计划、组织、获取、传送、支持和监控信息系统和服务所需要的人员技能、意识和生产力。1. COBITCOBIT是一个非常有用的工具,也非常易于理解和实施,可以帮助在管理层、IT审计之间交流
44、的鸿沟上搭建桥梁,提供了彼此之间沟通的共同语言。 COBIT的优点 通过实施COBIT,增加了管理层对控制的感知及支持。 COBIT使IT管理工作简易并量化,减轻对复杂信息系统管理工作的难度,并且可以应用在每天都在发生的各种新问题中。 COBIT提供了一种国际通用的IT管理及问题解决方案 。 COBIT有助于提高信息系统审计师的影响力。第 16 页 共 29 页 COBIT框架可以帮助决定过程责任,提高IT治理水平 。2. SAC(Systems Assurance and Control)Sac的概念在1977年由国际内审协会第一次明确提出,当时SAC是指系统审计与控制( systems a
45、udittability and control)。1991年和1994由国际内审研究基金会进行较大更新后,SAC是指系统鉴证与控制(systems assurance and control)。SAC已成为IT审计师在信息技术安全、控制与审计领域中的重要指南。2. SAC在新版本中,“可审计性”(auditability)一词已被“鉴证”(assurance)替代。这是因为我们逐渐认识到,在电子商务时代,随着互联网技术的飞速发展,系统中的控制及相互依赖性已经没有组织与地理位置的限制,普遍存在于各种组织中。在组织内部及与业务伙伴的合作中,要保证对信息系统有足够的控制,以保护系统的安全性、可审计
46、性。2. SAC SAC通过提供及时更新的信息,帮助我们理解、监测、评估及降低技术风险。SAC检查业务系统各个组成部分的风险,包括客户、竞争对手、监管部门及合作伙伴。 新版本SAC的一个重要特征就是提出的eSAC控制模型。建立此模型有利于讨论在电子商务环境中的目标、风险及减轻威胁造成的风险的措施三者的关系。目前有许多不同的风险与控制模型,任何一种模型都有其特定的适用对象及范围,组织必须进行合理剪裁,以适合组织的实际情况。eSAC模型可以较好地反映快速变化的技术环境及电子商务模式所带来的风险,并给出如何管理这些风险的建议。eSAC控制模型 从目标到结果需要建立合理的控制环境,包括系统运营的效果与
47、效率,财务与管理的报告,法律、法规的遵循,对信息资产的保护。 控制的效果要用与电子商务相关的各种控制属性来描述,如可用性、实际能力、机能性、可保护性、责任性,这些属性都可被称作业务鉴证目标,为人们正确看待各种控制提供了更广宽而准确的框架。对任何业务的控制都可以通过这些控制属性的组合来实现。 eSAC控制模型 要实现有效控制,需要利用各种资源,如人员(people)、技术(technology)、流程(processes)、投资(investment)、沟通(communication)。 影响内部控制环境的外部因素主要有两种,如与外部实体(供应商、合作伙伴、代理商)之间的交互作用及相互依赖性,
48、外部市场力量(如客户、竞争对手、监管者、共同体、股东)和不断变化的环境对内部控制的影响。eSAC控制模型 椭圆形区域表示动态的控制内外部环境,为保证控制环境相对稳定和可控,就必须对环境进行监测与预测,使相关风险被控制在一个组织可以接受的水平。(二) 局域网、虚拟专用网和广域网 根据数据信息传输的距离,计算机网络通常可分为局域网(LAN)、城域网第 17 页 共 29 页(MAN)和广域网(WAN)。 1局域网:指范围在几公里以内的网络。网的拓扑结构有总线型、环型和星型等。 2城域网:指在一个城市范围内操作的网络,或者是物理上使用城市基础电信设施的网络。 3广域网/远程网:是一种以连接主机系统为
49、目的,跨越广阔的地理范围,普遍利用公共电信设施和少数专用线路进行高速数据交换和信息共享的计算机网络。网的拓扑结构多呈网状。 (二) 局域网、虚拟专用网和广域网4虚拟专用网(VAN):又称增值网,它是专用的、多通道、只传递数据,由第三方管理,多用户使用的网络。所谓增值是由于第三方提供远程通讯和计算机服务,用户只须付租金,不必投资于网络设备与软件,也不必进行网络管理,便可得到可靠的网络服务,使用户在通讯上得到外加的价值。网络实际上是多用户的,但对每个通道(频道)来说,每个用户是专用的,故又称虚拟专用网。(三)电子资金转账所谓电子资金转账是指通过银行计算机网络进行资金的转账和划拨。由于信息技术的发展,现金和票据流动逐步被以计算机网络为媒体的“电子数据流动”所取代,大量的资金在银行的计算机网络中高速在各行之间进行着转账、划拨。这种以电子数据形式存储在计算机中,并通过银行计算机网络来流动的
