审计信息安全管理篇1
【关键词】保密意识审计信息安全
审计信息是审计人员在工作中运用一定的技术、方法、手段,收集加工提炼整理的业务信息,是反映和体现审计工作成果的重要载体,主要包括审计工作信息和审计项目信息,涉及银行敏感信息及经营决策管理的商业秘密。审计人员泄密风险如影随形,无时不在,审计信息保密事关银行信息安全和审计声誉。因此,审计人员肩负审计数据及信息安全的重任,牢固树立保密意识、严格履行保密职责、执行保密纪律是每个审计人员义不容辞的责任。
一、审计信息渠道
审计信息主要来源于审计管理系统及平台信息和审计业务信息收集两个方面:
第一,审计管理系统及平台信息是审计人员在实施审计项目、进行审计管理的过程中,通过审计应用系统及平台获取审计业务操作与管理的业务和数据信息,包括非现场审计系统(oaS系统)信息、审计管理信息系统(amiS系统)信息、审计知识库系统信息、任期经济责任审计信息资料库信息、总审计室信息平台等信息。
第二,审计业务信息是审计项目和日常审计工作中由各级机构提供的业务信息以及审计项目信息。业务信息包括审计机构审计计划、审计研究成果、被审计机构经营计划及业务指标、客户及其账户信息、业务管理信息等,以及通过notes邮箱、办公自动化系统(oa系统)、档案管理信息系统等收集整理的各类业务信息。审计项目信息包括审计方案、审计报告、审计模型、审计证据、审计工作底稿,以及审计过程中通过会计档案管理系统、Uaap统一报表平台、对公信贷业务流程系统(CLpm系统)、个人信贷管理系统(a+p系统)、信贷管理系统(CmiSii系统)、oDSB二期及eRpF报表查询等收集加工整理的各类信息。
二、主要问题和风险
(一)审计信息未集中管理,存在泄密的潜在风险隐患
便携式计算机是审计人员的必备工具,其中存储大量重要信息,实施审计项目按照审计方案要求分组开展,审计现场点多面广,审计资料不便于集中,审计人员注重信息资料使用忽视保密管理,对敏感及信息未经加密处理采取保密措施,形成审计信息安全隐患。一是项目实施过程中审计信息处于分散失控状态,缺乏安全管理;二是审计项目结束后,由于未明确和指定专人负责归集审计项目信息,致使审计人员未及时清理、归集移除审计项目电子信息资料,长久滞留审计人员计算机中将可能导致审计信息流失和泄密。
(二)计算机上网导致审计信息失密,造成损失形成银行声誉风险
计算机上网成为信息泄露的主要途径,计算机使用无线键盘或鼠标上网、移动存储介质与联网计算机交叉使用将会导致失泄密。一是审计人员因工作需要,有时通过互联网传送或下载工作信息,或上网查询信贷客户企业注册登记等信息,如果客户敏感信息被不法分子截获并利用,给客户带来不利影响的同时,将会导致银行声誉风险的严重后果。二是审计人员使用的计算机、U盘等磁介质若不采取保密措施,未经加密在互联网上传输行内重要数据或信息,被窃密者运用技术软件窃取,无意中将泄露银行敏感信息或商业秘密,给银行造成无可估量的损失。
(三)审计管理系统用户认证安全机制低、对客户敏感信息访问无控制
由于非现场审计系统对相关敏感数据字段未能加密,在审计项目实施过程中,审计人员登录系统可任意查询导出相关的信息及数据,存在敏感信息和商业秘密泄漏的风险。
三、审计信息安全管理措施
第一,健全制度,落实责任。为加强审计信息安全保密,对于计算机设备使用管理、审计管理系统运行管理及数据信息安全保密管理,制定信息安全管理制度,明确责任,落实保密职责。
第二,加强安全保密培训和教育,筑牢审计人员的安全和风险意识。一是要警钟长鸣,加强警示教育,做到防患于未然。二是建立信息安全的长效机制,将审计信息安全保密作为审计人员培训教育的重要内容,使之深刻认识安全无小事,牢记“失之毫厘、谬以千里”道理,始终绷紧安全保密意识的弦,严守保密纪律,自觉履行保密职责。
第三,加强审计系统用户管理,严格用户操作权限,禁止将用户口令及UKeY转借他人使用。在未开展审计项目阶段限制非现场审计系统操作用户,使用系统必须经过申请批准,以防止敏感信息泄露。搭建开放的非现场审计系统学习培训环境,提供审计人员用于学习操作非现场系统。
第四,利用管理信息平台Ftp服务器对审计重要信息进行管理,实现远程资源共享,审计人员可查询相关工作信息,本机不再保存敏感信息和数据,切实防范便携机或移动硬盘存储审计信息失泄密的风险隐患。
第五,落实安全管理责任,签订《审计岗位人员保密协议》,强化保密意识,约束审计信息保密行为。
第六,加强计算机管理,严防信息失泄密。设置屏幕保护的时间和密码,确保在长时间不使用计算机时对屏幕上和系统内的敏感信息进行安全保护。计算机做到专机专用,与互联网物理隔离,禁止通过电子邮箱或互联网传输及重要工作信息,避免移动存储介质交叉使用。
第七,应用技术手段加强信息安全管理,审计条线全员推广使用windows7(企业版)操作系统,应用全盘加密(BitLocker)功能,能够有效降低因设备物理丢失导致的审计信息泄露风险,有助于加强审计信息安全管理。
审计信息安全管理篇2
摘要:从系统的、整体的、动态的角度,参照国家对主机审计产品的技术要求和对部分主机审计软件的了解,结合实际的终端信息安全管理需求,从体系架构、安全策略管理、审计主机范围、主机行为监控、综合审计及处理措施等方面提出主机审计系统的设计思想,达到对终端用户的有效管理和控制。
关键词:网络;安全审计;主机审计;系统设计
1引言
随着网络与信息系统的广泛使用,网络与信息系统安全问题逐渐成为人们关注的焦点。
网与因特网之间一般采取了物理隔离的安全措施,在一定程度上保证了内部网络的安全性。然而,网络安全管理人员仍然会对所管理网络的安全状况感到担忧,因为整个网络安全的薄弱环节往往出现在终端用户。网络安全存在着“木桶”效应,单个用户计算机的安全性不足时刻威胁着整个网络的安全[1]。如何加强对终端用户计算机的安全管理成为一个急待解决的问题。
本文从系统的、整体的、动态的角度,参照国家对安全审计产品的技术要求和对部分主机审计软件的了解,结合实际的信息安全管理需求,讨论主机审计系统的设计,达到对终端用户的有效管理和控制。
2安全审计概念。
计算机网络信息系统中信息的机密性、完整性、可控性、可用性和不可否认性,简称“五性”,安全审计是这“五性”的重要保障之一[2]。
凡是对于网络信息系统的薄弱环节进行测试、评估和分析,以找到极佳途径在最大限度保障安全的基础上使得业务正常运行的一切行为和手段,都可以叫做安全审计[3]。
传统的安全审计多为“日志记录”,注重事后的审计,强调审计的威慑作用和安全事件的可核查性。随着国家信息安全政策的改变,美国首先在信息保障技术框架(iatF)中提出在信息基础设置中进行所谓“深层防御策略(Defense2in2DepthStrategy)”,对安全审计系统提出了参与主动保护和主动响应的要求[4]。这就是现代网络安全审计的雏形,突破了以往“日志记录”
等浅层次的安全审计概念,是全方位、分布式、多层次的强审计概念,符合信息保障技术框架提出的保护、检测、反应和恢复(pDRR)动态过程的要求,在提高审计广度和深度的基础上,做到对信息的主动保护和主动响应。
3主机审计系统设计。
安全审计从技术上分为网络审计、数据库审计、主机审计、应用审计和综合审计。主机审计就是获取、记录被审计主机的状态信息和敏感操作,并从已有的主机系统审计记录中提取信息,依据审计规则分析判断是否有违规行为。
一般网络系统的主机审计多采用传统的审计,系统的主机审计应采用现代综合审计,做到对信息的主动保护和主动响应。因此,网络的主机审计在设计时就应该全方位进行考虑。
3.1体系架构。
主机审计系统由控制中心、受控端、管理端等三部分组成。管理端和控制中心间为B/S架构,管理端通过浏览器访问控制中心。对于管理端,其操作系统应不限于windows,浏览器也不是只有ie。管理端地位重要,应有一定保护措施,同时管理端和控制中心的通讯应有安全保障,可考虑隔离措施和SHttp协议。
主机审计能够分不同的角色来使用,至少划分安全策略管理员、审计管理员、系统管理员。
安全策略管理员按照制定的监控审计策略进行实施;审计管理员负责定期审计收集的信息,根据策略判断用户行为(包括三个管理员的行为)是否违规,出审计报告;系统管理员负责分配安全策略管理员和审计管理员的权限。三员的任何操作系统有相应记录,对系统的操作互相配合,同时互相监督,既方便管理,又保证整个监控体系和系统本身的安全。控制中心是审计系统的核心,所有信息都保存在控制中心。因此,控制中心的操作系统和数据库最好是国内自己研发的。控制中心的存储空间到一定限额时报警,提醒管理员及时备份并删除信息,保证审计系统能够采集新的信息。
3.2安全策略管理。
不同的安全策略得到的审计信息不同。安全策略与管理策略紧密挂钩,体现安全管理意志。在审计系统上实施安全策略前,应根据安全管理思想,结合审计系统能够实现的技术途径,制定详细的安全策略,由安全员按照安全策略具体实施。如安全策略可以分部门、分小组制定并执行。安全策略越完善,审计越彻底,越能反映主机的安全状态。
主机审计的安全策略由控制中心统一管理,策略发放采取推拉结合的方式,即由控制中心向受控端推送策略和受控端向控制中心拉策略的方式。当安全策略发生更改时,控制中心可以及时将策略发给受控端。但是,当受控端安装了防火墙时,推送方式将受阻,安全策略发送不到受控端。由受控端向控制中心定期拉策略,可以保证受控端和控制中心的通讯不会因为安装个人防火墙或其他认证保护措施而中断。联网主机(服务器、联网pC机)通过网络接收控制中心的管理策略向控制中心传递审计信息。单机(桌面pC或笔记本)通过外置磁介质(如U盘、移动硬盘)接收控制中心管理策略。审计信息存放在主机内,由管理员定期通过外置磁介质将审计信息传递给控制中心。所有通讯采用SSL加密方式传输,确保数据在传输过程中不会被篡改或欺骗。
为了防止受控端脱离控制中心管理,受控端程序应由安全员统一安装在受控主机,并与受控主机的网卡地址、ip地址绑定。该程序做到不可随意卸载,不能随意关闭审计服务,且不影响受控端的运行性能。受控端一旦安装受控程序,只有重装操作系统或由安全员卸载,才能脱离控制中心的管理。联网时自动将信息传到控制中心,以保证审计服务不会被绕过。
3.3审计主机范围。
信息系统中的主机有联网主机、单机等。常用操作系统包括windows98,windows2000,windowsXp,Linux,Unix等。主机审计系统的受控端支持装有不同操作系统的联网主机、单机等,实现使用同一软件解决联网机、单机、笔记本的审计问题。
根据国家有关规定,信息系统划分为不同安全域。安全域可通过划分虚拟网实现,也可通过设置安全隔离设备(如防火墙)实现。主机审计系统应考虑不同安全域中主机的管理和控制,即能够对不同网段的受控端和安装了防火墙的受控端进行控制并将信息收集到控制中心,以便统一进行审计。同时能给出简单网络拓扑,为管理人员提供方便。
3.4主机行为监控。
一般计算机使用人员对计算机软硬件尤其是信息安全知识了解不多,不清楚计算机的安全状态。主机审计系统的受控端软件应具有主机安全状态自检功能,主要用于检查终端的安全策略执行情况,包括补丁安装、弱口令、软件安装、杀毒软件安装等,形成检查报告,让使用人员对本机的安全状况有一个清楚的认识,从而有针对性地采取措施。自检功能可由使用人员自行开启或关闭。检查报告上传给控制中心。
主机审计系统对使用受控端主机人员的行为进行限制、监控和记录,包括对文档的修改、拷贝、打印的监控和记录,拨号上网行为的监控和记录,各种外置接口的禁止或启用(并口、串口、USB接口等),对USB设备进行分类管理,如USB存储设备(U盘,活动硬盘)、USB输入设备(USB键盘、鼠标)、USB2KeY以及自定义设备。通过分类和灵活设置,增强实用性,对受控主机添加和删除设备进行监控和记录,对未安装受控端的主机接入网络拒绝并报警,防止非法主机的接入。
主机审计系统对接入计算机的存储介质进行认证、控制和报警。做到经过认证的合法介质可以从主机拷贝信息;未通过认证的非法介质只能将信息拷入主机内,不能从主机拷出信息到介质内,否则产生报警信息,防止信息被有意或者无意从存储设备(尤其是移动存储设备)泄漏出去。在认证时,把介质分类标识为非密、秘密、机密。当合法介质从主机拷贝信息时,判断信息密级(国家有关部门规定,信息必须有密级标识),拒绝低密级介质拷贝高密级信息。
在认证时,把移动介质编号,编号与使用人员对应。移动介质接入主机操作时记录下移动介质编号,以便审计时介质与人对应。信息被拷贝时会自动加密存储在移动介质上,加密存储在移动介质上的信息也只能在装有受控端的主机上读写,读写时自动解密。认证信息只有在移动介质被格式化时才能清除,否则无法删除。有防止系统自动读取介质内文档的功能,避免移动介质接在计算机上(无论是合法还是非法计算机)被系统自动将所有文档读到计算机上。
3.5综合审计及处理措施。
要达到综合审计,主机审计系统需要通过标准接口对多种类型、多个品牌的安全产品进行管理,如主机iDS、主机防火墙、防病毒软件等,将这些安全产品的日志、安全事件集中收集管理,实现日志的集中分析、审计与报告。同时,通过对安全事件的关联分析,发现潜在的攻击征兆和安全趋势,确保任何安全事件、事故得到及时的响应和处理。把主机上一个个原本分离的网络安全产品联结成一个有机协作的整体,实现主机安全管理过程实时状态监测、动态策略调整、综合安全审计、数据关联处理以及恰当及时的威胁响应,从而有效提升用户主机的可管理性和安全水平,为整体安全策略制定和实施提供可靠依据。
系统的安全隐患可以从审计报告反映出来,因此审计系统的审计报告是很重要的。审计报告应将收集到的所有信息综合审计,按要求显示并打印出来,能用图形说明问题,能按标准格式(woRD、HtmL、文本文件等)输出。但是,审计信息数据多,直接将收集的信息分类整理形成的报告不能很好的说明问题,还应配合审计员的人工分析。这些信息可以由审计员定期从控制中心数据库备份恢复。备份的数据自动加密,恢复时自动解密。审计信息也可以删除,但是删除操作只能由审计员发起,经安全员确认后才执行,以保证审计信息的安全性、完整性。
审计系统发现问题的修复措施一般有打补丁、停止服务、升级或更换程序、去除特洛伊等后门程序、修改配置和权限、专门的解决方案等。为了保证所有主机都能得到有效地处理,通过控制中心统一向受控端发送软件升级包、软件补丁。发送时针对不同版本操作系统,由受控端自行选择是否自动执行。因为有些软件升级包、软件补丁与应用程序有冲突,会影响终端用户的工作。针对这种情况,只能采取专门的解决方案。
在复杂的网络环境中,一个网往往由不同的操作系统、服务器,防火墙和入侵检测等众多的安全产品组成。网络一旦遭受攻击后,专业人员会把不同日志系统里的日志提取出来进行分析。不同系统的时间没有经过任何校准,会不必要地增加日志分析人员的工作量。系统应提供全网统一的时钟服务,将控制中心设置为标准时间,受控端在接收管理的同时,与控制中心保持时间同步,实现审计系统的时间一致性,从而提供有效的入侵检测和事后追查机制。
4结束语
系统的终端安全管理是一个非常重要的问题,也是一个复杂的问题,涉及到多方面的因素。本文从体系架构、安全策略管理、审计主机范围、主机行为监控、综合审计及处理措施等方面提出主机审计系统的设计思想,旨在与广大同行交流,共同推进主机审计系统的开发和研究,最终开发出一个全方位的符合系统终端安全管理需求的系统。
参考文献:
[1]网络安全监控平台技术白皮书。北京理工大学信息安全与对抗技术研究中心,2005.
审计信息安全管理篇3
一、工作目标
2012年审计信息化工作要围绕“全面转型,提升价值年”活动,继续全面推进计算机审计工作“五个转变”,不断深化计算机技术与审计业务的融合。继续推进金审工程二期核心应用系统国产化示范项目分项目的建设,探索和实践数字化审计工作模式。继续加强审计信息化基础建设,加强信息化工作管理,提高审计工作信息化水平。
二、工作重点
2012年全市审计信息化工作要统一领导、分步实施,全面推进、突出重点,加强研究、重在应用,切实在提高工作效率和审计成效上发挥作用。
(一)深化计算机技术应用,促进计算机技术与审计业务的融合
1、继续推进数据式审计,提高审计项目中计算机技术应用的覆盖面和实施能力。深化ao运用,扩大ao联机版在大数据量审计、业务数据审计、财务数据与业务数据关联审计等项目中的应用,促进从帐套式审计向数据式审计的转变。市局将根据省厅要求,继续组织征集ao应用实例,参加省厅和审计署的ao应用实例评比。
2、继续推进联网审计系统建设和应用。市局将以国产化示范项目为依托,着力做好“联网审计监测服务子系统”的建设工作。积极开展住房公积金的联网审计分析,逐步推动其他部门和行业的联网审计工作的开展。进一步探索联网条件下新的审计模式和审计技术方法,促进由运用现场审计实施系统(ao)向运用ao和联网审计系统审计相结合转变。
3、继续推进信息系统审计。在总结去年信息系统审计经验的基础上,重点落实今年的信息系统审计项目,进一步促进由仅审数据向既审数据又审系统转变。市局将组织一次信息系统审计案例编写培训班,努力提高审计人员的案例编写能力,并按省厅要求,组织信息系统审计实例上报。
4、继续推进数据规划和审计技术方法体系建设。完成住房公积金审计数据分析系统建设,实现研究与应用相结合。积极开展对审计署尚未审计数据规划和方法体系的行业的探索与研究,系统整理适合本地区、本行业的审计事项、审计方法和审计数据结构。继续组织开展计算机审计方法、方法体系的编写上报工作,参加省厅和审计署组织的计算机审计方法、方法体系评比。
(二)积极探索审计管理数字化工作模式,努力提高审计管理水平
1、探索数字化审计质量管理系统建设。将信息技术应用到审计工作的全过程,全面落实新审计准则的各项要求,从而保证审计程序的规范、审计证据和信息资料的完整,建立数字化审计质量控制体系,提高审计工作的规范化程度。
2、按省厅要求完成统一组织项目管理系统、审计信息共享交换系统、RtX即时通讯系统等部署应用工作。开展新系统的使用培训和管理工作,要将这些新系统与已经建成的移动办公系统、视频会商系统,以及ao、oa、网站等系统结合起来综合运用,全面加强审计机关对审计项目的远程化、实时化和信息化管理。
3、加强网站建设管理,提高网站应用水平。全市各级审计机关对已经建好的审计专网网站、审计外网网站,要确实加强管理,及时更新信息资源,充实网站内容,提高网站通达率,为审计人员提供本地化、个性化的信息资源服务。要加强推行网上政务公开,发挥对外宣传窗口的作用。
(三)继续抓好计算机审计交流培训,提高审计人员的计算机应用能力
1、继续强化应用培训。积极选派技术骨干参加省厅组织的各类培训班。市局将组织ao应用案例和信息系统审计案例编写培训班,组织一期ao认证培训考试,以培训促应用,在应用中不断解决实际操作中遇到的困难,切实提高计算机审计的能力。
2、继续开展交流评比。市局已经下发了计算机审计优秀成果评比标准,全市审计机关在计算机审计项目实施过程中要认真对照执行,在应用中加大计算机审计分析的深度和广度。市局将继续组织计算机审计技术应用交流会和评选活动,开展计算机审计理论研究。市局攻关小组成员要主动发挥计算机审计技术骨干带头作用,研究解决计算机审计工作中的实际困难。
(四)强化安全意识,提高信息系统的安全保障能力
1、建立健全信息安全管理制度。全市各级审计机关要加大信息化安全保密工作的力度,认真开展信息安全自查工作,经常性检查本单位的信息安全保护工作,切实落实国家和省市信息安全工作的各项规章制度,建立健全本单位信息安全控制制度。
审计信息安全管理篇4
随着信息化时代的到来,从公安系统单位角度来讲,积极深化内部审计工作,进行内部审计信息化策略研究,提高单位自身内部管理能力具有鲜明的时代意义。本文从内部审计的概念出发,基于信息化环境的时代背景,具体就信息化环境下如何提高我国公安系统的内部审计能力提出一点思路和见解,希望助力于信息化环境下我国公安系统的内部审计工作开展。
关键词:
信息化环境下;公安;内部审计
一、信息化环境下公安内部审计及其现状解析
内部审计,从公安系统来讲是指运用规范的方法相对独立的针对系统内各项工作开展评定的活动,以达到改善公安系统运营的目标和效果。信息化环境下公安内部审计是指内部审计组织运用信息技术等方法,开展审计项目规划、实施等一系列客观活动和行为,以满足内部审计之于公安系统的防范风险、规范运营的目的。在信息化环境下公安系统内部审计具体有两方面内容:通过信息技术实施内部审计工作,也叫计算机辅助审计。公安系统内部审计组织通过信息系统作为审计的实施范围,对相应的信息系统给出的财务信息进行有效鉴别,满足信息管理的科学规范性,也叫信息系统审计。我国目前正处在信息技术高速发展的时期,科技发展日新月异,互联网、云计算、电子商务、大数据等词语充斥着人们的周围,各个行业充分享受信息时代带来的便利,信息产业及企业发展朝气蓬勃,与此同时,我国的各级行政事业单位工作模式和方法也随之变革。近年来,我国公安系统信息化建设工作正在如火如荼的进行,在享受信息化带给各项工作便捷的同时,也对公安系统内部审计工作产生了一定程度的影响。具体在内审工作的线索取证方面增加了困难,证据和线索正逐渐难以查找甚至消失。此外,审计对象的信息化对审计的工作方式和管理模式产生转变,需要根据信息化特点据此转变,在信息网络安全和相应的软件、程序的管理和控制方面增加难度,电子数据在私自改动的可能性上操作起来更方便、不易察觉,相对传统手工工作模式,舞弊行为发现的难度更大。一系列内审工作环境及内审工作对象的改变对内部审计工作人员来说都是挑战,审计人员必须在工作方式和方法上做出调整,才能更好适应信息化环境下的内部审计工作模式,更好开展公安系统内部审计工作。
二、信息化环境下如何做好公安内部审计工作
(1)加强内部审计职能,创建良好的内部审计环境。
内部审计是在单位内部进行的一种行为,信息化审计则是对系统做出常规控制评定的前提下,对程序、数据、实际处理操作等方面通过审计软件来考核系统的可行性和实际工作效率。通过对信息系统的内部控制开展审计工作,可以实时掌握内部控制状态以及对审计程序的继续进行与否做出有效的科学判断。公安系统设立的内部审计部门应保持客观公正的态度,利用科学的方式开展对财务流程的正确评价和有效监督,提高整体运行效率。首先,要有建立切实可行的内部审计制度以确保内部审计工作的操作更具规范性,更有据可循,并将其落到实处。公安系统单位要建立合理完善的内部审计相关制度,切实有效的保障公安系统单位财务管理以及日常工作的科学有序进行。其次,根据面临的外部环境变化调整修缮单位的内部审计工作制度,使之更科学合理,在评价和监督过程中及时发现公安系统单位财管运营中存在的问题,认真分析并制定有效措施合理解决。再次,要建立完善的考核评价机制,对参与相关内部审计工作的人员给予适度的奖惩,增加员工的工作责任感,调动员工良好情绪,培养财务人员对内部审计工作的认同感,将内部审计工作作为一项持之以恒的工作来做。全面推进内部审计工作使之正确实施、日趋成熟。以此来创建良好的内部审计工作环境,为公安系统内部审计工作更好开展提供平台、奠定基础。
(2)提高审计人员业务水平,规范内部审计流程。
公安系统决策者要提高对内部审计于公安系统的重要性的认识,及时组织信息化审计的专业知识培训,正确宣传内部审计的意义以及其潜在的影响。公安系统审计人员要仔细审核项目合同,做到常规控制检查和应用控制审查并行,手工工作模式、计算机系统操作、人机交互处理等几种工作模式综合运用,在不同系统间正确进行信息传递。此外,要加快信息化建设进程,使审计人员实时掌握各个分支机构的财务数据,提高审计效率。对信息系统的某一具体处理过程通过计算机系统的应用控制、程序来实现。新时代背景下,对我国公安系统的财务核算具体环节都有详细要求,要完善内部审计方案,认真分析具体情况,调整财务管理模式,避免财务管理方面带来的风险。总之,公安系统的内部审计工作是单位财务和计算机信息技术的有机结合,考验的是具体执行者的综合职业能力和真实水平,规范的内部审计流程是当代公安系统工作的高标准的重要体现。
(3)建立网络管理模式,提高公安系统员工整体素质。
公安系统工作内容涉及面广、对技术水平要求高、有较大复杂性,其工作的顺利开展更需要先进的信息技术来作支撑。在提高政府工作职能的政治背景下,我国目前对公安系统工作提出了更高的要求,因此在公安系统内部各环节各流程普及计算机信息系统,采用先进实用的审计软件,推行信息化管理模式。加快网络信息建设,可以有效的节约成本、高效工作,提高公安系统的内部审计实践性,增大审计工作的透明度,利于实施有效监督,规范核算流程,精准审核数据,利于实现自动化管理。任何好的环境需要人去维护和保持,好的制度都要人去完善和推行,培养建立一支素质过硬的具有公民责任心的内部审计队伍,并通过积极主动的学习和培训提高业务能力,在全信息系统范围内加强科室沟通和相互监督工作。具体包括信息系统管理、维护和使用等科室,涉及网络管理、系统管理、数据库管理、软硬件维护等专业人员。从源头上杜绝滋生腐败,让公职人员秉承为民为公的思想宗旨,加大主观能动性,具有创新精神,才能全面推进我国的现代化管理进程。在各级行政单位深入理解我国目前的时代背景意义的同时,正确认识这种客观现实和潜在的风险,让新发展的理念变成现实。
三、结束语
在信息化环境下,我国公安系统单位较以往来比较,工作方向、工作内容、工作核心等都发生新的变化,内部审计管理工作应以适应信息化环境下的工作模式入手进行开展,更新观念,转换思维,创新工作思路和工作方法,一切从新入手。完善内部审计制度建设是我国公安系统单位的合理开展工作的关键环节,降低审计风险,确保数据的安全、准确,在公安系统范围内加强内部审计的工作宣传,树立信息安全意识和促进监督管理工作实施。通过重视内部审计的基础工作,加强内部审计等方面的各项职能,建立完整流畅的内部审计制度体系,才能使我国公安系统整体向信息化迈进,紧跟时代,进而提高单位自身的内部管理能力,更有效的发挥公安系统自身的各项职能,更好的适应信息化环境,为信息化环境下的社会长治久安助力。
作者:曹洪单位:东兴市边防大队
审计信息安全管理篇5
[关键词]计算机审计;电子数据;数据安全;保护;对策
doi:10.3969/j.issn.1673-0194.2013.15.020
[中图分类号]F239.1[文献标识码]a[文章编号]1673-0194(2013)15-0026-03
随着企业信息化建设应用工作的不断推进,企业内部审计计算机审计工作持续开展,并产生了大量的计算机审计电子数据,这些数据涉及企业生产经营管理活动的重要内容,也是企业重要的信息资源,因此,企业计算机审计电子数据安全保护工作十分重要。加强企业计算机审计电子数据安全保护能力、降低审计人员个人携带计算机审计电子数据的安全风险,不仅是企业信息安全保护的要求,而且是企业计算机审计自身的内在要求。与此同时,随着信息化技术的不断更新换代和计算机审计环境的越发复杂,要做好计算机审计电子数据安全保护工作,就要与时俱进、不断探索研究。
1企业计算机审计电子数据的主要内容
企业计算机审计电子数据的主要内容包括审计人员个人计算机存储的由被审计单位提供的本单位生产运营管理报告、业务数据、财务报表等与审计项目相关的电子数据,以及参加审计项目实施过程中涉及的审计工作方案、审计实施方案、审计工作记录、审计工作底稿、审计报告等审计工作数据。
2企业计算机审计电子数据安全保护方面存在的突出问题
企业在计算机审计电子数据安全保护方面采取了一些措施,一方面在管理上要求审计人员提高信息安全保密意识,另一方面在技术上为审计人员个人计算机安装防病毒软件等,虽然取得了一定成效,但在企业计算机审计电子数据安全保护方面尚未形成有效的体系,仍然存在以下几个方面的突出问题。
2.1管理方面
一是数据整理与挖掘利用困难。审计数据是审计人员多年工作经验、审计知识的积累与沉淀,利用现有手段难以从数据挖掘利用的角度进一步梳理数据,无法实现数据的多维分类,无法充分进行数据价值挖掘利用。二是数据权限管理困难。数据访问与使用权限控制缺乏平台支持,难以实现更深入的权限控制,增加了管理与操作的难度和工作量。三是桌面标准化管理困难。审计工作依赖于终端设备,使用的软件不统一,给信息交流与利用带来困难,同时管理上也存在很大难度。
2.2技术方面
一是安全性不足。现有技术手段的安全水平与审计电子数据的重要性尚有差距,不能满足审计业务对信息安全与保密的需要。其一,数据以明文传输,数据在传输过程中一旦被截获,信息容易泄露;其二,服务器上数据以明文存储,一旦服务器被入侵,入侵者可以很轻易地获取所有未加密文件;其三,终端上数据以明文方式存放,特别是正在开展的审计项目数据以明文方式存在审计人员的终端设备中,如果设备丢失或系统感染病毒,就会造成重大损失。二是权限配置与备份困难。企业邮件账号域认证初步实现访问控制,但其控制粒度尚不能满足使用需要,且配置比较繁琐。数据手工备份、同步与恢复不能满足需要。
2.3使用方面
一是审计人员难以找到需要的信息。各单位审计人员只能查看本单位的部分共享审计资料,缺乏按关键字、审计对象、审计类型等多种方式的全面数据搜索,审计人员难以找到最适合的可参考与可借鉴的资料信息。二是尚不能完全实现审计工作与外网分离。通过上网本为审计人员提供从外网搜索资料等功能,满足了审计人员对外网大部分的需求;但审计人员出差期间,订购火车票时,需用笔记本电脑付费,而且审计人员习惯于使用终端设备,日常办公和其他方面依然和审计工作共用终端设备,未完全实现审计工作与外网的分离。
2.4保障方面
一是终端数据清理工作量大。现阶段审计人员的终端设备数据清理工作,耗时长,工作量大,信息处负责数据清理工作的同志工作负荷重,急需通过其他手段,提高工作效率和清理效果。二是it运维工作压力大。信息处负责企业it设备的维护工作,各电脑终端存在操作系统不统一、审计软件与办公软件不统一、审计人员出差远程维护难等问题,造成it运维难度大,信息处承担了很大的工作压力。终端设备容易因电脑病毒、系统漏洞、恶意网站等各种原因,造成审计数据的泄露。亟需通过新的it手段,提高审计it桌面安全性,降低it维护难度,提高it维护效率和效果。
3目标与思路
企业计算机审计电子数据安全保护是一项系统化工作,只有明确计算机审计电子数据安全保护的主要目标,理清计算机审计电子数据安全保护的整体思路,并不断探索研究,才能持续提高计算机审计电子数据安全保护能力。
3.1主要目标
企业计算机审计电子数据安全保护的主要目标是实行计算机审计电子数据集中统一管理、按需授权访问,降低个人携带审计电子数据意外风险;计算机审计电子数据集中管理的服务器环境,要遵照企业统一安全策略,采用相应的物理安全、网络安全、主机安全、应用安全、备份与恢复安全等技术措施,以及安全管理职责、安全管理制度、人员安全管理、系统建设管理、系统运维管理等管理措施,整体确保计算机审计电子数据安全受控。
3.2整体思路
企业计算机审计电子数据安全保护的整体思路是依托企业信息技术统一安全保护策略,通过建立计算机审计电子数据集中管理平台,实现审计工作办公内网与外部公网分离、审计工作环境与个人计算机终端分离,逐步实现审计人员个人计算机审计电子数据按需携带向零携带转变,最终实现计算机审计电子数据实时在线与安全受控。
4实施步骤
企业计算机审计电子数据安全保护工作是一项长期而艰巨的任务,不可能一蹴而就。在管理上,需要企业高度重视计算机审计电子数据安全保护工作,一方面要给予这项工作统一领导和各种资源的支持,另一方面审计人员要不断提高信息安全保护意识;在技术上,要与时俱进,采用先进的信息技术手段,有步骤、有计划地逐步开展。
4.1审计数据集中管理,个人历史数据清零
利用企业现有软件硬件资源,创建审计数据集中统一管理存储空间,采用企业邮件域认证方式,按照单位审计人员授权访问;审计人员自行整理个人计算机审计电子数据,按照个人权限上传至统一管理存储区域;利用专用存储介质数据清除工具对审计人员个人计算机硬盘逐一进行清理;实现审计人员个人计算机审计电子数据集中管理,个人计算机历史审计数据清零。
4.2审计网络环境分离,审计数据按需携带
针对审计工作以企业办公内网环境为主,需要借助企业外网查找资料的特点,为审计人员公网应用配发个人上网本;实行审计人员个人计算机在办公内网专用,个人上网本在公网环境专用;在审计项目开展前,为审计人员个人计算机装载系统软件,并按照审计项目需要装载相关审计数据;在审计项目结束后,利用专用存储介质数据检查工具对审计人员个人计算机和上网本使用情况进行检查,确保按照要求使用;实现审计工作内网应用和外网应用分离,审计数据按需携带。
4.3审计工作环境分离,审计数据实时在线
借鉴先进技术应用实践经验,建立企业审计电子数据管理平台,采用统一的信息技术安全保护策略,通过企业邮件域认证登录个人移动办公桌面;采用云技术为审计人员呈现个人办公系统软件环境,所有审计工作将在审计电子数据管理平成,审计人员个人计算机将不再存储任何审计相关数据;利用专用存储介质数据检查工具对审计人员个人计算机和上网本定期进行数据存储检查,确保介质审计数据零存储;实现审计工作环境与个人计算机终端分离,审计数据实时在线。
5主要成效
结合企业计算机审计工作实际,通过虚拟化等技术手段,建设审计电子数据管理平台,采取计算机审计电子数据集中管理、审计办公桌面集中管理、审计应用软件统一管理和信息安全策略集中管理等具体措施,最终实现审计工作环境分离、审计数据实时在线,从而实时有效地进行计算机审计电子数据安全保护。
5.1实现电子数据集中管理
集中管理审计电子数据,提供数据多种分类和检索方式,审计人员根据分配的权限、关键字、文档类型、提交时间等快速定位所需文档,为深入发掘审计电子数据价值提供支撑,为审计管理和审计项目工作提供丰富有效的数据资源。审计电子数据管理平台,采用经国家相关安全部门认证的数据加密技术和手段,通过数据加密存储、加密传输、加密备份和数据访问控制机制,全面保障数据的安全性,实现数据的全生命周期管理。
5.2实现办公桌面集中管理
采用云计算和虚拟化技术,提供标准的、灵活的、可扩展的办公桌面环境,通过集中配置和统一分配审计办公桌面,提高审计办公资源申请、配制、获取、维护与收回清理的工作效率,同时服务器、存储、网络等资源能得到更加充分的利用。审计人员可以快速获得所需办公桌面,系统严格控制,实现审计工作数据与个人本地终端完全分离,且工作状态自动保存,可从任何地点重新接入和恢复。
5.3实现应用软件统一管理
集中管理oa系统、office等办公软件,审计管理系统、财务辅助审计系统等审计软件,以及FmiS、eRp等其他专业软件,统一配置到审计人员办公桌面。审计人员还可以根据需要,申请所需的其他应用软件,经审批通过后集中配置、统一分配到办公桌面,满足审计人员工作需要,提高审计人员的工作效率,提升信息人员的运维水平。
5.4实现安全策略集中部署
在虚拟桌面、办公应用、审计数据3个层级,集中部署管理防病毒软件、办公应用软件和数据加密管理软件等,通过一次性集中配置,到所有审计办公桌面,实现桌面安全、应用安全和数据安全,建立全面的审计办公和电子数据三级安全防护体系,提升审计办公和审计电子数据的安全保护能力。
6总结
企业计算机审计电子数据安全保护工作是一项系统工程,需要技术和管理并重,在将计算机审计电子数据安全保护纳入企业保密管理工作范畴的同时,要建立企业个人计算机审计电子数据集中管理制和个人计算机存储介质安全清理检查制,定期开展计算机审计电子数据安全检查工作,将检查结果定期予以公布,并将计算机审计电子数据安全保护工作情况纳入绩效考核,全面提高计算机审计电子数据安全保护能力,为企业内部审计计算机审计工作提供有力保障。
主要参考文献
[1]审计署企业审计司.企业计算机审计论文集[C].北京:中国时代经济出版社,2012.
审计信息安全管理篇6
一、项目的开发背景及公安消防部队审计现状
(一)项目开发背景
随着计算机和网络技术的快速发展,信息时代已经到来,在审计领域,会计信息化使审计信息、审计方法、审计技术发生了根本性变化,传统的审计方式和手段已不能适应会计信息电子化的形势,如何不辜负各级党委领导对审计工作的希望,切实在全面建设小康社会、全面加强部队建设等方面更好发挥审计监督作用,是摆在审计部门面前的首要课题。按照国家审计署审计信息化发展规划,审计信息化应逐步形成“预算跟踪+联网核查”的审计模式,实现审计监督的“三个转变”,即从单一事后审计转变为事后审计与事中审计相结合,从单一静态审计转变为静态审计与动态审计相结合,从单一现场审计转变为现场审计与远程审计相结合的总体要求,进一步提高审计质量和工作效率,规避审计风险,切实发挥审计部门“出效益、保廉政、促管理”作用。在此背景下,笔者认为应该把审计信息化建设纳入部队建设的重要议事日程,并提出了依托公安三级网络构建审计信息化平台的构想,通过研发审计软件推动全省消防部队审计工作的全面发展,不断加强审计监督,实现审计工作的信息化、网络化建设。
(二)公安消防部队审计现状
经过调查研究,公安消防部队主要设有公安部消防局、省总队两级审计机构,市支队没有审计机构,仅有部分专兼职审计员,存在着监督网络不健全,审计人员偏少、审计任务繁重、审计资源整合度不高的问题,计算机辅助审计和运用网络远程审计作业与管理的现代审计基本没有开展。尤其是消防部队财务信息化建设走在审计信息化建设的前列,早在十年前就开始使用会计软件进行核算与管理,而长期以来审计人员采用老式的审计查帐方法,不仅审计工作效率和质量较低,而且对审计工作风险的预见和控制程度不高,迫切需要以先进的审计信息化系统改变审计工作现状。
(三)公安消防部队审计信息化建设可行性分析
1.硬件环境
目前全国公安消防总队以上专职审计人员全部实现人手一台微机或笔记本电脑的配备,部分总队、支队专兼职审计人员实现了笔记本、台式机双配备,具备外出就地审计和在办公室远程审计的基础。尤其是近几年来,公安消防部队实施科技强警战略,加大了对基层基础设施建设的投入,各消防总队、支队硬件环境良好,拥有专用计算机机房和专用软件服务器,并且有专人负责管理,具有较高的稳定性和安全性。
2.软件和网络环境
各总队服务器软件平台主要依托windowsServer操作系统,数据库采用SQLServer2000数据库系统。单机主要采用windowsxp或windows2000操作系统。各消防总队网络运行依托公安三级网络,省、市、县网络健全,基于BS架构的办公网络系统依托三级网运行良好,各总队自行开发的基于cs架构的消防业务相关软件也在正常运行。总队级软件环境和网络环境已经十分稳定和成熟。
3.财务软件运行状况
目前公安消防部队支队级以上单位大都使用财务软件主要包括武警部队财务管理信息系统、武警消防票据管理系统、银行账户管理系统、用友nC、用友U8、事行财务软件等,其中用友nC财务软件是在各总队服务器上使用,武警部队财务管理信息系统和武警消防票据管理系统已在部局、总队、支队和独立核算的大队四级单位应用(一些大队也在使用票据管理系统)。消防部队正在对各省财务软件进行统一和规范,逐步实现以武警部队财务管理信息系统为主的财务软件运行模式,目前武警部队财务管理信息系统已经开发了部队行政经费账套、消防业务经费账套、基建经费账套,基本满足了消防部队财务工作现状。武警部队财务管理信息系统是基于SQLserver数据库设计开发的财务应用软件,对于审计所需基础数据的采集极为有利。
目前消防部队各级单位硬件软件环境配备和财务软件应用、网络运行状况,可以实现远程财务数据和业务数据采集、远程审计和联网监控等审计功能,已经具备了审计信息化建设的基本条件。
二、项目的预期目标及效益分析
(一)项目的预期目标
在金盾工程的整体规划下,全面推进信息技术在消防部队审计工作中的应用,进一步将审计人员从繁重的手工审计中解放出来,促进审计工作的规范化建设,提高审计工作效率,节约审计资源,完成审计工作机制和体制创新,更好的发挥审计监督职能作用。
(二)审计软件开发的效益
通过开发审计作业系统、审计信息管理系统和联网审计系统,实现网上审计、远程审计、远程审计指导与管理、实时监控、网上数据传输等功能,完成审计监督的“三个转变”,保证各类审计业务数据采集、传输的顺畅、有效,同时推进消防审计管理和消防审计行为的透明、规范、高效,进一步提高审计质量,规避审计风险,从源头上预防和遏制经济活动违法违纪行为,避免资金使用损失浪费,发挥预警监督和保障作用。
三、项目的主要建设内容
公安消防部队计算机审计信息系统按照审计作业系统、审计信息管理系统、联网审计系统三部分进行设计,分别满足审计工作业务、管理和联网审计的需要。
(一)审计作业系统
审计作业系统主要是为满足日常审计需要而设计的。作业系统按照审计工作开展顺序设计了审计工作流程,分别为数据采集转换、审计项目建立和审计项目作业。审计工作流程设计能够引导审计人员按照流程步骤实施审计项目,操作起来更加直观、方便、快捷。在数据采集转换上,系统提供了强大的采集转换工具,数据采集不仅支持总队、支队目前常用的财务软件,同时还提供了市面上流行的常用200余种财务软件采集接口,能够满足采集工作需要;数据转换全面支持国家标准数据的引入,以及消防部队支队以上单位目前使用的财务软件的现状,较为智能化地完成数据转换、科目库处理、分类账处理、自动生成科目余额表和会计报表,能够实现自动账证核对、账表核对、账账核对、凭证检查等功能。系统还提供了功能强大的审计查账工具和查账专家功能,审计人员可以根据业务工作需要定制各种查账方案,也可以根据实地检查需要自行设定查账条件,充分利用软件内置的计算、对比和分析功能,账务查询分析更加科学。同时作业系统具备合同审计、预算审计、固定资产审计、专项审计调查等功能,进一步拓展了审计工作范围,基本涵盖了审计工作的方方面面。对审计作业系统具体内容分别从以下三个方面进行具体说明。
1.数据的获取和数据转换设计
针对目前消防部队使用的财务软件,审计信息系统可以提供多种数据获取的方式。一是能实现联网取数(见图1),即通过公安网络实现取数接口直接连接财务软件数据库,完成取数工作;二是能实现利用定期备份的数据取数。即通过将备份数据恢复到本地计算机,再通过审计软件从本机取数;三是能够单机取数(见图2),即使用审计软件的取数工具在财务服务器上将数取出来之后利用移动存储工具拷贝到审计服务器上。四是利用智能客户端取数。即在被取数单位的机器上安装智能客户端。客户端可以按照设定的时间自动采集数据,数据采集完成后客户端将采集的数据自动上传至审计服务器。
2.审计项目的建立设计
审计项目建立是审计作业工作的一项重要内容,审计信息系统按照设计了方便实用的项目建立流程。审计人员可以按照流程顺利完成建项工作,建项过程中审计人员可以选择项目类别、项目阶段、参与项目的人员及相关职责、所需要的账套数据等。项目建立完成后所选人员可以按照不同的职责权限对项目下挂的账套数据实施审计查账。
3.审计项目作业功能设计
审计作业系统按照审计工作流程分为“审前准备阶段”、“审计实施阶段”和“审计终结阶段”。
①审计准阶段
审计准备阶段包括:“计划管理”、“项目管理”两项功能,对审计项目的开展,提供“资料准备”、“项目准备”、“历史资料查看”、“审前调查”的服务功能。
②审计实施阶段
审计实施阶段功能模块为审计人员提供了在现场作业过程中对审计对象财务数据运用“审计工具”相关功能实施分析、查询、复算等操作支持服务。同时定制了三项审计工作流程,即:“审计工作流程”、“审计程序流程”、“审计底稿流程”。审计工作流程的定制加强了对审计工作的管理,充分发挥审计软件的管理作用。
审计实施阶段的功能设置包括八个方面:即“获取资料管理”、“审计会议管理”、“审计谈话管理”、“内控测评管理”、“审计程序管理”、“工作底稿管理”、“工作底稿汇总管理”、“审计组交叉复核”
③审计终结阶段
审计终结功能模块主要提供对审计报告的制作、审计对象意见管理、审计报告呈批、审计报告批复的管理服务。
审计报告阶段的功能设置包括七个方面:即:“审计报告管理”、“征求意见管理”、“组外意见管理”、“审计报告呈批、“审计报告审批”、“审计作业结果管理”、“跟踪审计”。
(二)审计信息管理系统
审计信息管理系统主要为满足审计工作中对审计项目、审计档案、审计资源和审计业务工作的管理需要而设计的。其主要功能包括:基本信息管理、审计对象管理、业务计划管理;审计准备、审计实施、审计复核、审计终结阶段模板管理;审计档案管理管理、领导查询功能、台帐报表功能、审计支持功能、审计信息管理功能、公共信息管理、业务办公功能、网络教育功能、软件系统管理功能。以下分别说明。
基本信息:包括计划类别、审计方式、文书管理、项目类别;
审计对象:包括对象管理、行业信息;
业务计划:包括项目计划、计划列表、计划变更、备用计划、编号维护;
审计准备:包括工作方案、实施方案、审计通知书、下达项目数据;
审计实施:包括工作底稿、审计日记、其他实施文书、编号维护、提取作业数据;
审计复核:包括数据提取、复核管理、提交归档;
审计终结:包括审计报告、审计结果报告、审计报告征求意见书等;
档案管理:包括档案管理、借阅审批、可阅文档、档案案卷目录管理、档案目录分类维护;
领导查询:包括应上交、已上交、罚没查询、进度查询;
台帐报表:包括台帐录入、报表查询、设置(台帐字典、报表字典、单位信息、报表分类、报表插件);
审计支持:包括法律法规库、审计专家库、审计案例库、审计经验库、审计方法库;
审计信息管理:包括审计工作信息、审计信息通报、审计要情、大事月报、其它;
公共信息:包括公告栏、公共论坛、内部制度、通讯录、电子刊物、局内主页;
业务办公:包括未办事宜、在办事宜、已办事宜、阅件、外出代办、常用意见网络教育:提供多种培训方式,保证审计人员可以全天候,不受地域和空间限制地多层次培训。培训材料支持视频、培训文件和业务资料,实现网上远程培训教育;
网络教育:提供多种培训方式,保证审计人员可以全天候,不受地域和空间限制地多层次培训。培训材料支持视频、培训文件和业务资料,实现网上远程培训教育;
系统管理:系统配置、数据维护、数据接口、数据备份、部门定义、人员定义、流程定义、流向定义、角色定义、权限维护。
(三)联网审计系统
联网审计系统,要求实现作业的联网、审计对象的联网。实现从大队、支队到总队的财务数据联网。对于在网的财务系统可以实时的获取财物数据并进行在线的审计,对于不在线的财务数据建立报送通道,可以通过在线下达审计通知书的方式获得。
1.数据远程采集与传输
通过全国公安互联网络,公安部消防局与各省消防总队、总队与支队服务器等进行逐级网络互连,实行定期或实时采集审计需要的被审计单位或下一级单位数据,完成被审计单位数据的分配、权限管理以及加强监管的需要。
通过数据安全认证模块,保证数据采集、转输、存储的安全,数据采集仅仅采集与审计相关的账务系统数据。
2.数据转换系统
数据采集至联网审计系统中,由数据转换系统完成数据转换。数据转换不但全面支持消防部队内部使用的财务软件系统,如军财系统,还支持市面上流行的财务管理软件,如用友、金蝶、浪潮等,便于各级审计部门更好开展工作,进一步增强针对性。
3.联网审计业务基础平台
联网审计的远程取数与审计作业是全面联网审计信息化建设的基础,是实现各级审计部门管理应用的切入点。要建设一个可扩展性、功能强、标准化、高度集成的软件工作平台,满足与审计部门各类信息管理系统的互通协同、与审计作业软件数据交互的要求,为实现业务事务一体化管理模式打下基础。
架构能承载总队、支队各项业务的作业平台,整合总队现有信息资源、硬件、网络资源,建设一整套优秀的服务器及网络设备、搭建一个内部信息沟通及工作信息沟通的优秀网络。
4.审计预警监控
基于安全、经济、便捷的网络条件,建设各省对所属部队财务活动进行实时审计监控系统,实现监督的无“缝隙”。各省消防总队审计部门随时可以对所属消防支队的财务的核算执行情况进行监督,及时收集掌握被审计单位的最新会计信息和有关经济业务信息,并实时审计监督,审计的时效性将大大提高。审计从事后审计转变为实时审计,并从静态审计走向动态审计。
审计预警监控主要包括为七大功能,即:预警初始化、科目使用规范性预警、科目余额方向正确性预警、挂帐科目预警、大额支出预警、较大增幅支出预警、资产负债表预警。在获得必要权限的前提下,利用审计接口软件实施网络审计,可以完整、快速地获取被审计单位会计和经济业务数据,并作进一步的计算、分析、检查和核对,大大减少审计人员的审计工作量和审计成本,提高审计效率。
审计信息安全管理篇7
关键词:电子商务;安全审计;安全管理
中图分类号:F239文献标志码:a文章编号:1673-291X(2011)21-0097-02
一、外部审计
外部审计是指审计师对企业电子商务网站的安全工作进行审计,对消费者提供数据安全、商业政策、交易完整、数据隐私等方面的审计。
1.制度审计。在电子商务网络系统环境下,网络电子交易数据安全是关系到交易双方切身利益的关键问题,是企业计算机网络应用的最大障碍和审计的最重要问题之一。电子商务的网络数据安全措施,至少包括三个方面:一是网络数据安全技术方面的措施;二是安全管理制度(措施)的制定和实施;三是社会立法和法律保障措施。内部审计师关心的是这些措施实施的情况,通常可从如下几点进行评价:(1)审查防火墙技术、网络系统反病毒功能、数据加密措施、身份认证和授权等软件技术的应用实施情况;实施这一审查可以用模拟数据对系统的各安全关键点进行全面检查。(2)审查安全管理制度建立和施行的情况,采用面谈法、访问和实地察看法按预先给定的内控制度评价清单进行。注意检查岗位责任实施、安全日志制度。(3)审查有关计算机安全的国家法律和管理条例的执行情况。
2.选用内部审计师实施审计。内部审计师是电子商务审计最合适的专业人员。由内部审计师做电子商务内部审计业务,可为电子商务用户提供职业安全保障。
内部审计师进行电子商务审计是国际惯例。内部审计师是从事企业内部审计业务的专家,具有良好的基础背景和良好的声誉。在中国,内部审计师除了参与财务审计,还参与对管理效益和人离任内部审计和对企业计算机信息系统的实施情况审计,大量参与税务、财务和评估等咨询服务工作。
内部审计业务是按照特定的审计规范的程序执行,对内部控制与经营、业务审查和评价,内部审计师有着敏锐的专业洞察能力,这是内部审计师发展计算机网络内部审计的良好职业背景基础。
内部审计师的审计具有客观性和公正性。电子商务审计人员必须对交易的双方所提供的电子信息进行必要的审计,其审计本身应当客观、独立、公正和具有可靠的专业技术作为支撑,才能赢得网络交易的多方的信赖,同时他们必须是社会公认的权威审计业务专业人员。在计算机网络化的商务活动中,根据对交易合法性和交易信息的可靠性和安全性,是企业信息系统的内部控制制度及其对顾客提供必要的法律保障的一个重要内容,内部审计师对企业信息系统的内部控制制度设置和施行情况的审查评价,已具有特别的专长和丰富的经验。
3.安全审计系统分析。防火墙、入侵检测、防病毒网关等安全产品越来越多地应用在网络中,它们在运行过程中都会产生大量的日志信息,其中隐藏了非常重要的信息是分析网络安全运行情况的依据。安全审计系统中结合各种信息算法对这些日志数据进行分析,挖掘出其中隐藏的异常动态信息,并利用各个审计源之间的联动及时阻断各种入侵活动。同时,对进出网络内部的电子邮件和传输信息实时跟踪,进行数据截取和还原,更好的维护系统安全。
分析和审计公司电子商务网站的安全审计系统是否具有以下功能:(1)网络状态实时监控。监视网络中的各种安全设备、主机系统、数据库、进出网络内部的电子邮件和传输信息等情况,全面掌握网络活动和行为。(2)事件自动响应机制。当发生的网络行为可能威胁到系统安全并且达到预先设定的域值时,系统自动断开该用户的连接并及时向管理员发出报警信号。(3)自动生成安全信息报告。在固定时间内把系统的运行情况以报表的形式发送给管理员。通过设置合理的审计报表,管理员可以迅速、直观地浏览报表内容,了解系统的当前运行情况和资源使用情况,在减少管理员单纯人为判断和经验参与的情况下,能更好地帮助系统管理员及时采取相应措施,从而使威胁整个网络的潜在破坏最小化,提高系统的安全性能。(4)系统综合管理。虽然安全审计系统是一个独立运行的软件系统,但是它和其他安全产品如防火墙、Vpn,漏洞扫描等并不会产生冲突,相反它们能够相互协调和促进、更好地起到系统安全防护的作用。
二、内部审计
内部审计的作用主要体现在对于电子商务公司内部系统安全和财务风险的管理上,主要包括两个方面的内容:对电子商务系统的技术审计;对电子商务公司的财务进行审计。
(一)技术审计
1.访问控制审计。网络访问控制包括访问权限控制和用户认证。访问权控制的审查,主要是检查是否有端口访问控制情况――进入访问端口前的用户号鉴别回应控制和特别安全保护的访问点控制。用户认证的方法一般可分三类:口令或密钥、身份鉴别(如指纹)和使用权限控制,其中最安全的认证是身份鉴别(用指纹或其他特性),但制作费用比较昂贵,其他两种方法都是最常用的用户认证法。初步审查除了解各种认证方法外,主要查各类型控制执行的情况。
2.数据加密审计。现在流行的电子商务网络系统是由至少一个计算机服务器和多台客户机联网形成的,并与外部交易有关的国内网络和国际网络系统相连结。客户机一般处理业务数据,网络数据库和软件程序库一般由服务器统一控制管理。由于网络中的数据库具有共享性,很容易受到舞弊人或黑客的修改和破坏,要确保合法的客户对网络数据库访问的便利性和网络数据的完整性,应比非网络系统增加对数据库的加密管理,相应地形成数据库的加密管理审计,其内容:一是审查服务器的数据库加密装置,服务器密码装置的密钥分配,这种审查主要了解系统管理员和相应密钥分配情况。二是审查网络端对端的加密,测试关键的网络数据在传输中的全程加密,此种加密是通过专用的软件实现的,因此,对这类的加密软件要进行特别的安全保护管理。
3.运行审计。(1)记录、跟踪系统的运行状况。利用审计工具,监视和记录系统的活动情况,如记录用户登录账号、登录时间、登录的终端以及所访问的文件、存取操作,并放人系统日志中保存在磁盘上,使影响系统安全性的存取以及其他非法操作留下线索,以便审查。(2)检测各种安全事故。审计工具能检测和判定对系统的攻击,如多次使用非法口令登录系统的尝试,及时提供报警甚至自动处理,使系统安全管理人员能够了解系统的运行情况,及时堵住非法入侵者。(3)保存、维护和管理审计日志。由于审计日志记录了审计、跟踪、检测各种安全事件的结果,是查找、分析网络系统安全事件的客观依据,是重要的系统文档,必须要有可靠的存储和管理机制。在现代的经济环境下对电子商务公司的财务进行审计,其审计的职能已经发生了根本性的变化。审计已经从传统的财务审计过渡到了风险审计与内部控制。因此,运用内部审计可以很好地控制风险的发生。
(二)财务审计
1.数据库审计。在无纸化环境下,内部审计能鉴别出已发生的经济业务及其数据的真实和可靠,这是内部审计师所面临的严峻挑战。显然,内部审计师必须开发一套电子商务内部审计专用的软件和改进传统的审计程序,来适应这种审计的需要。电子商务审计软件一定能使内部审计师在经济业务发生的时候就对它们进行测试和保留必要的审计线索,否则时过境迁,就无案可查。
2.内控制度审计。网络化的计算机信息系统不断发展,内部控制将会变得越来越重要。从前述内容可以进一步说明网络环境下的内部控制制度的重要性。可以断言,在电子商务环境下,内部审计师在监测公司内部控制制度的运转、评价这些控制以及为改进这些制度提供建议等方面,都将起到重要作用。这是因为他们必须测试这些制度以判断电子商务经济信息(含会计信息)的可靠性和经济业务处理的恰当性,并且对内部控制的状况作出全面评价。
3.披露事项审计。保证电子交易的可靠性和真实性,是任何交易的基本前提。为了增强网络上的客户或消费者的信心,电子商务网络系统必须具有如下的披露基本要求:(1)对电子商务销售的商品和服务进行披露,若含有证明商品性能和服务效果的信息,必须注明其信息来源;(2)对交易条件进行披露,如发货距离、发货时间、完成交易所需的时间、另外订单的时间、支付条件、电子结算惯例和顾客必须承担的费用、退货的程序和政策;(3)售后服务和产品技术支持;(4)客户的权利、包括投诉的程序,并应告知客户企业的经营地址、电话号码和办公时间;(5)对争议的处理,争议处理的程序,包括管理当局和请第三方中立机构处理争议问题的程序。
4.客户信息隐私保护审计。为合理保证在电子商务中保证客户私人信息的隐私权,电子商务网站必须遵循:保证客户信息不会被传送到其他网站;客户有权禁止其信息在与交易无关的场合使用和为第三方所使用;客户私人信息未经授权不准访问,客户私人信息不能随意被透露给其他的单位或个人;网站工作人员只有处理业务时方能使用客户私人信息;在存储、变更或从客户计算机上复制信息前应得到客户的许可;严禁向客户输送恶意的程序;企业信息保护的控制得到有效执行;企业若不能执行上述控制手段,应及时公告,并说明正在采取的补救措施。
参考文献:
[1]傅元略,等.企业信息化下的财务监控[m].北京:中国财政经济出版社,2003.
[2]刘艳慧.电子商务及其安全性研究与应用[D].天津:天津大学,2008.
[3]王铁柱,等.中国电子商务安全性分析与研究[J].河北公安警察职业学院学报,2010,(3).
审计信息安全管理篇8
论文摘要:内部控制是社会经济发展到一定阶段的产物,其内容在不断的发展与变化,而内部审计是内部监督机制的重要组成部分。目前计算机信息系统已在企业中广泛使用,而在内部审计过程中如何加强计算机信息系统的风险防范,是企业内部控制过程中迫切需要解决的问题。
企业信息系统化的运用,原来的手工控制则变为手工与电脑控制相结合或全部由电脑自动进行控制。计算机信息系统的广泛使用,与技术管理相对薄弱和稽核监督的长期空白已形成了尖锐的矛盾。信息系统风险控制能力差的现状,迫切需要我们加强风险管理和监控。
一、发挥内部审计作用,加强企业内部控制
(一)企业应加强内部控制
随着市场经济的深入发展,企业逐步成为自主经营、自我约束、自我发展、自我完善的商品生产者和经营者。在“优胜劣汰、适者生存”的市场经济中,企业要想真正的做到“自主经营、自我约束、自我发展、自我完善”,必须要加强内部控制,建立有效、完善的内部控制制度,这样才能在一个绝对的高度上,对企业进行高瞻远瞩的控制,才能做出与时俱进的决策。
(二)内部审计是企业内部监督机制的重要组成部分
内部审计也是企业内部控制的一个重要的组成部分,是监督内部控制其他环节的主要力量。内部审计通过对控制环境和控制程序的有效性进行监督,评估企业的内部控制是否被执行,是否及时反馈有关执行结果的信息,是否帮助企业更有效地实现预期控制目标。同时,在监控过程中,内部审计可以促进控制环境的建立和改善,为改进控制制度提供建设性的意见,为企业建立健全所需要的内部控制水平服务。在内部控制的监督过程中,内部审计发挥着越来越重要的作用。
二、内部审计在防范信息系统风险中面临的问题
(一)信息系统安全管理机制不健全
企业信息系统风险的存在,很多是由于管理不善或控制不严造成的。一方面,缺乏一套统一的安全策略体系来指导安全管理工作,无法建立系统内部明确、全面的安全规范要求。从现有管理制度规范来看,主要存在的问题是可操作性差,条理不清、重叠或遗漏等;另一方面,现有安全管理制度的管理对象基本是网络系统管理员等技术部人员,管理对象没有全面涵盖所有信息系统技术相关人员,包括所有网络系统上的内部终端人员和外部人员。
(二)内部审计在信息系统风险防范中的角色缺乏独立性
内部审计的角色发生了转变。从传统的事后审计而逐渐转向事前和事中审计,主动参与内部控制系统的建立和完善。内部审计人员即承担着评价硬件和应用信息系统安全的任务,如果又同时有参与了系统的开发和实施过程,那么内部审计人员就却乏独立性。反之,如果处于对丧失独立性的担心,内部审计人员有可能会拒绝参与系统和软件的开发,那么系统开发过程中存在的风险又无法得到控制。
(三)内审部门技术力量薄弱造成对信息系统审计形成风险
审计稽核部门的技术力量薄弱,不熟悉业务系统的流程和功能,对信息系统缺乏必要的认证能力和标准。突出表现为以下几个方面:一是实施审计稽核的手段和方法没有得到及时更新,不适应信息系统管理的要求,大部分仍停留在手工审计阶段;二是审计稽核部门对计算机账务系统实施审计的依据仅依赖于被审计单位提供的打印资料或事后资料,计算机账务的真实性审计很难得到保证。
三、加强风险防范的措施和对策
(一)构建信息系统安全管理组织及规范体系
加强信息系统的自我风险评估体系,让信息系统的管理和技术人员在自身的职责范围之内正确识别和评估潜在操作风险,主要包括内控制度的查漏补缺、工作流程的整理和规范、应急预案完善和演练等。同时加强对操作人员的管理,规范操作程序。一是加强密码管理,明确规定操作人员的权限,操作员必须在规定的权限内办理业务,用户口令及密码必须专人专用,严禁公开口令及密码;二是要建立健全操作员岗位目标责任制,对网络操作人员要明确目标任务,规范操作程序,严格落实奖惩制度。三是要严格岗位设置,不相容职务进行分离。严禁系统管理人员、网络技术人员、程序开发人员和前台操作人员混岗、代岗或一人多岗。四是要加强系统内部的稽核监督检查。稽核监督应贯穿于网络操作的全过程,重点是加强对系统设计开发、内控管理制度落实、操作运行等方面的
(二)关注信息系统的稳定性、安全性和有效性审计
首先,审计人员应运用用一定的技术方法识别系统的完整性,该过程包括检查、测试、评估系统的内制,以保证系统的稳定性;其次,审计人员应评价系统存在的风险和可能产生的后果将成为审计的核心工作和基本内容,保证信息系统的安全性。应根据审计的标准和准则,评价控制环境的和it基础设施的安全,确保系统满足组织的业务需要,保护信息资产的安全完整,以防非授权使用、泄露、修改、损坏或丢失;最后,还应鉴别信息系统的有效性。内部审计必须理解并熟悉操作环境,了解系统技术的复杂性及其对决策的影响;对来自内部的安全隐患,采用一定的方法进行系统诊断、检验、测试,评价其有效性及效率,以支持组织业务目标的实现
(三)改善内审机构,提高内审人员素质,培养信息系统审计师
为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价。信息系统审计师也称lS审计师或it审计师,是指那些既通晓信息系统的软件和硬件(包括信息系统的开发、运营、维护、管理和安全等),又熟悉经济管理的内部审计人才。
(四)聘请专家进行协助
内部审计人员的知识、技能和经验虽然有助于信息系统的风险防御,但现实中必须承认,在企业中同时具备计算机技术和审计专业知识的人才非常短缺。再出色的内部审计人员可能面临一些系统内的专业问题却无法解决,因此有必要聘请外部专家。可以通过专家的协助测试运用其专业技能测试系统安全,进一步防范和解决信息系统风险的存在。
审计信息安全管理篇9
关键词:高校;内部审计;信息化
abstract:thevastmajorityofcollegesanduniversitieshaveimplementedthecurrentnetworkoffice,butthelowlevelofinternalauditinformation.thisarticlefromtheuniversityauditmanagementandimplementationofbusinesstwoaspectstoexplorethedevelopmentofinformationtechnologyandinternalauditcollegeapplicationmode.ononehandtheinternalauditdepartmentasaninternalcontrolandmanagement,interventionalconductaffairsofficenetworksystems,businessmanagement,ontheotherhandwithprofessionalauditingbusinesssoftwaresystems,financialsystemsthroughthedatainterfacesoftwareanddocking,inordertoachievefinancialincome,budgetmanagementthingtheaudit,toidentifyproblems,toachievemodernizationofuniversitymanagementandauditservices.
Keywords:college;internalaudit;information
中图分类号:文献标识码:a文章编号:2095-2104(2013)
一、高校内部审计信息化的涵义
刘家义审计长曾经指出:审计信息化建设包括两部分内容,一是审计实施信息化,二是审计管理信息化。高校内部审计信息化同样具有实施审计业务服务和审计管理两种功能,是高校网络办公整体环节的一个有机组成部分,是指在高校内部实施管理和业务审计中,借助电子计算机高速传递功能和先进的数据处理技术和网络技术,以磁性介质作为主要载体来存储数据,以便于用网络来处理、传送、查阅这些数据,使审计工作与计算机网络组成一个有机的整体,从而提高审计的现代化水平。
二、高校网络办公环境下审计的特点
(一)提高审计信息使用率
在网络环境下,审计信息通过网络,审计信息网络化、透明化,将提高审计信息的使用效率,降低有关审计信息的搜索、等待、联络成本。信息使用者通过访问学校审计站点,搜寻自己所需要的审计信息、资料,同时也可以了解到审计项目的最新动态,突破了地域、时空的限制,最大限度地实现审计信息资源的共享,提高审计信息的使用效率。
(二)节约审计劳力资源、降低审计费用,节约成本
审计能够充分利用网络的快捷及现代化的通讯设施,与被审计单位、被审计人对话、不必拘泥空间条件,特别在调查问卷方面,不需要调动大量人力、物力、消耗过多时间,从而得出较科学的结果。在审计工作中,所有的审计程序,如审计公告,座谈安排、工作进展、结果公示等信息以及审计证据的获得,审计测试结果及审计结论的形成等均可在网上进行,最大范围的实现无纸化审计,降低资源消耗,同时也改变审计工作方式。学校日常业务中有关审计信息数据的传递均可通过网络进行,审计人员可以以获得尽可能充分、及时的审计数据资料,保证审计工作的正常开展。
网络时代的审计工作,由于采用了信息技术和科学的审计方法,因而在信息收集、人员安排和资源耗费等方面发生了巨大变化,审计费用将大幅度降低,主要表现在以下几个方面:一是减轻了审计人员对审计信息的搜寻成本、等待成本,以及与其他有关单位、个人的联络费用;二是节约了有关审计人员的人力,减轻了劳动强度,三是节约了发生在审计工作中的能源、资源,包括商品流、信息流、资金流、人员流的耗费。
(三)审计业务信息化使得审计流程更加规范合理
在审计信息化环境下审计业务工作的实施通过业务软件公式化流程,杜绝了手工作业中人为的偷懒、越权、简单草率等因素。在实际工作中,存在审计证据,资料收集等方面滞后、意见反馈超时等情况,在网络审计流程中有确切的时间记录、操作规范限制等实时控制,非专业人员很难变更,更容易区分职责、审计过程、结果更加真实可信。
(四)高校审计信息化可促进内部控制管理更加完善。
高校内审业务信息化水平越高,审计地位越高,审计功能越强大,审计发挥的作用就越大。特别是信息化程度较高,内部控制管理水平高,已经实现了审计软件与财务数据对接,做到实时审计的高校,更加强化了审计的监督职能,肯定了内部审计的地位及其发挥的作用,使事后审计真正做到事先、事中审计,极大地提高了审计管理职能,使高校内部控制管理更加完善。
(五)缩短审计报告期。
高校内部审计通过建立网络平台,对被审计单位进行实时审计追踪,可以提高审计工作效率,强化审计工作的指向性。审计报告实时系统的运用,能够加速审计监督工作的运行速度,缩短审计结论、审计报告的生成周期,同时,审计实时报告系统应用于日常审计工作中,可以实现随时根据所输入的审计数据信息资料,进行有关审计抽样、审计测试,形成审计结论,生成审计报告,实现了审计信息的实时追踪,便于为决策者及时提供信息。
三、高校内部审计信息化运行模式
高校内部审计信息化建设的关键点是软件平台系统的设计。各高校在此方面都有过不断的尝试和创新设计,软件设计方面耗时长、资金投入较大,必须要有持之以恒的决心,一方面要强化信息网络的开发、更新和维护,追踪先进的信息处理技术,把握信息技术发展的最新动态,并且根据审计业务发展需要适时予以更新换代。另一方面要进一步规范审计业务流程。构建一个高校审计管理的核心软件和综合平台,不断强化核心平台的数据库功能,为各业务软件提供数据采集、存储、信息查询与交换等服务。
高校内部审计信息化系统是搭建在校园网络信息门户总体框架下的一个基础的信息平台。在校园网络信息门户下与教学教务、科研管理、学工管理、人事管理等管理系统平行运行,各司其职。内部审计信息平台主要包括:审计管理信息系统、数据采集转换系统、远程联网审计系统、现场作业工具系统等四个业务应用模块。高校内审在校园信息门户这个总框架的统领下,与其他内部机构平行运行,并独立运用系统软件,通过界面部署,权限授权、结构布控和单点登陆等操作运行审计管理系统、远程联网审计系统、现场作业系统,行使内审职权,完成审计工作任务,并将审计作业过程中一系列的计划、组织、交流、意见反馈、结果、工作评价等等通过平台展现、公示。
当然,这个复杂、庞大的系统工程需要一定的资金投入,很多高校受困于资金、技术、人力等因素,内部审计信息系统功能开发还远不到位,内部审计的完全信息化还需要一个漫长的努力过程,而万事开头难,只要起步就会有发展,好过望洋兴叹。
四、高校内审信息化的风险与防范管理
高校内部审计信息化的产生与发展,必然会产生网络新环境下的审计风险,除了传统审计意义上的审计风险,网络环境下审计信息化风险更多了安全防范等意义上的风险,这种风险不仅指网络信息安全防范风险,也指审计人员利用网络技术对有关信息系统进行审计后,意见表达不当的可能性。
(一)审计信息化人为的审计风险
1.人为篡改审计数据,难寻审计线索。在信息化审计环境中,数据的电子存储以磁介质为主要载体,这就使得非法分子和别有用心的黑客对审计资料原始数据进行篡改、修饰、删除成为可能,并且电子信息的篡改难觅痕迹,一旦出现这些问题,无法保证审计的数据的真实性、完整性,审计结果不真实,失信于公众,为审计工作增加更大的风险,审计将失去的监督的公正性。
2.审计信息保存的不安全性。主要表现在:信息在运行过程中由于断电原因的丢失、由于机器运行故障方面的丢失、由于病毒破坏或者操作者误操作等情况造成的信息无保存。
3.职责分工不当,内部控制不到位。网络信息化时代,如果对审计原始信息数据录入工作、数据系统管理工作、数据系统具体操作、系统的维护、数据核对确认等岗位不作科学严谨的分工,就会有人利用信息化审计的弱点故意篡改数据、舞弊或窃取秘密信息从中获取不义之财。
4.计算机黑客的专业入侵。在网络世界,电脑黑客入侵的事件时有发生,出于各种不可告人的目的,黑客们为了自身利益不择手段地侵入电脑获取各的重要的机密和数据资源,黑客经常用的办法有:获取口令、放置木马程序、网页欺骗、电子邮件攻击等技术方法,进入目标系统窃取或破坏数据。
(二)审计信息化风险的防范和控制
为了有效地降低网络审计风险,针对以上风险,必须采取以下相应的防范和控制措施,具体表现为:
1.应用专业审计软件,对相关网络系统进行实时跟踪
利用专用的软件对被审计单位的网络系统进行检测,对比、评价。主要是把存放在数据库不同地址的同一种数据进行对比、比较,得到相应的记录文件,再对有差异的文件数据进行详细审查,然后对被审计单位的自动检测数据库软件和恢复软件进行审查、检测和评价。最后要对被审计单位的异常情况,通过网络进行预警提示,以降低审计风险。
2.建立审计信息库及时、安全地存储数据
审计人员可将被审计单位的有关信息,通过网络建立一个完善的大容量的信息库,这些信息包括被审计单位的背景资料,最新动态和一些以前审计的档案信息,以便以后开展审计时查阅和运用,这样将可大大减少工作时间,提高工作效率,同时也相应地降低了审计的风险。
对于审计中形成的重要数据资料养成安全存储的良好习惯,不仅注意完成审计项目资料的存储,也要注意审计过程中资料的备份、存储,以利于防范不安全因素,保存审计成果,避免不必要的损失。
3.加强内部控制管理,职责分离
严格遵循不相容职责必须分离的原则,经常对职责分离管理的科学性及具体实施情况进行检查。重点检查数据的输入、数据输出,系统软件开发、维护及系统程序修改、管理等人员之间的职责的相容和不相容关系处理情况,做到不相容关系人员必须分离。
4.加强对网络系统的安全性和保密性的审计。
在信息化审计时代,信息的安全性、可靠性和保密性构成了审计的风险防范和控制的重点。对被审计单位网络结构进行经常性的分析与评价,建立强大的防火墙系统以防范黑客侵人并且常给电脑做体检、杀毒、系统维护等工作,让网络风险降到最低。另外,对被审计单位的系统容错处理机制,安全管理体制和安全保密技术等作深入的了解,以评价其系统安全性的等级,从而有效地控制审计风险。
五、结束语
如今在网络高速飞转的信息化时代,审计模式的改变将是一次深刻的革命,高校内审的信息化发展程度已明显落后于与之血亲关联的财务电算化,网络时代不进则退,内部审计所面临的不仅仅是之上所述的几项难题,有关审计信息化的法律、法规、审计准则的制定、实施等等相对滞后。高校内部审计信息化发展的落后现状令人堪忧。计算机的智能化、网络的普及化、传输的极速化、审计业务的实时化和法制化等方面,对审计发展具有不可低估的拉动作用,将会成为传统审计模式的重塑者,同时也为传统审计模式的退出创造了条件。总之,高校内部审计信息化理论研究和实践发展才刚刚起步,需要长期关注及不断地努力、投入,这个过程任重道远,对所有的审计人员而言,时不我待,需要不断地加强学习、更新知识,不仅是业务知识,还包括审计电算化知识等等。
参考文献
[1]刘建芳.高校内部审计信息化建设研究.湖南大学.硕士.2009(4).1-73
[2]何岸.高校内部审计信息化建设问题研究.湘潭大学.硕士.2006(5).1-52
审计信息安全管理篇10
[关键词]信息系统审计;it审计;真实性审计;安全性审计;绩效审计;电子商务;电子数据处理;计算机审计
[中图分类号]F239.1[文献标识码]a[文章编号]16728750(2012)01004506
一、引言
信息系统审计最早可以追溯到20世纪60年代,当时称为电子数据处理(electronicDataprocessing,eDp)审计,主要针对财务软件中的数据进行审计。美国执业会计师协会于1968年出版了《电子数据处理系统与审计》,次年在洛杉矶成立了电子数据处理审计师协会(electronicDataprocessingauditorassociation,eDpaa),1994年,电子数据处理审计师协会更名为信息系统审计与控制协会(informationSystemauditandControlassociation,iSaCa),电子数据处理审计也改为信息系统审计(informationSystemaudit,iSa),审计的内容从电子财务数据审核拓展到整个信息系统本身。当时企业的信息系统都是一个个的“信息孤岛”,没有来自外部的威胁,因此信息系统审计在企业管理中职能和作用仍然是相当有限的。
石勇等分析了网络环境下政府信息系统审计,认为网络环境不仅对政府信息系统审计,而且对社会信息系统审计、企业内部信息系统审计都产生了巨大影响[1]。互联网导致现代意义上的信息系统审计的产生,信息系统审计的外延大大拓展,其内涵也越来越丰富,从而极大地提升了信息系统审计在企业管理中的作用,改变了其与财务审计之间的关系[2]。许多研究者常常分不清计算机审计与信息系统审计的区别,这不利于信息系统审计研究的开展。庄明来认为,无论是产生与发展,还是基本概念、审计目标、审计内容,抑或是适用准则与采用的审计技术,二者都有着很大的区别,它们在我国审计发展过程中都有自己特定的地位与作用[3]。本文从分析网络对信息系统审计的影响入手,阐述信息系统审计的内涵,以期真正将二者区分开。
二、信息系统审计的职能和地位
(一)企业的生存与发展越来越依赖信息系统
与“信息孤岛”时期的信息系统在企业经营管理活动中的作用完全不同,在互联网时代,企业的经营管理活动越来越依靠信息系统,信息系统的安全与可靠也越来越重要,企业信息系统的安全问题已经不仅仅关系到企业的生存与发展,而且更关系到国家经济的安全。
由财政部会同证监会、审计署、银监会、保监会联合的《企业内部控制基本规范》之《企业内部控制应用指引第18号――信息系统》中明确指出,现代企业的运营越来越依赖信息系统[4]。比如航空公司的网上订票系统、银行的资金实时结算系统等,如果没有信息系统的支撑,业务开展就将举步维艰、难以为继;还有一些新兴产业,其商业模式完全依赖于信息系统,如新浪、网易、百度等各种网络公司,阿里巴巴和卓越等各种电子商务公司,假如没有信息系统,这些企业将失去生存的空间。
据GartnerGroup公司的调查,在经历大型灾难而导致信息系统停运的企业中,至少有40%的公司再也没有恢复运营,而剩下的企业中,也有三分之一在两年内破产。英国特许管理协会关于企业危机事件的调查显示,企业最普遍面对的危机事件中失去信息系统位居第一。由此可见,企业的业务已经越来越多地依赖于信息系统,信息系统审计的重要性也越来越突出。
(二)保护网络环境下企业的信息资产和信息系统安全
20世纪末,互联网技术迅速普及,电子商务彻底改变了企业信息系统的“孤岛”状况,企业在享受电子商务的便捷、高效、低成本的同时,负面影响也不断显现,比如一个病毒可以使远隔千里的企业遭殃[5]。这时候,我们才发现企业的经营风险不仅仅来自传统市场风险、金融风险、技术风险、自然灾害等,互联网也成为企业经营风险的重要来源之一。
《2009年中国计算机病毒疫情调查技术分析报告》显示,2009年计算机病毒感染率为70.51%,较2008年有所下降,但仍然维持在比较高的水平,其中多次感染病毒的比率为42.71%[6]。这种情况与我国计算机病毒主要以木马病毒为主有关。潜伏性、隐蔽性是木马病毒的特征,病毒制造者和传播者在巨大利益的驱使下,或利用木马病毒技术进行网络盗窃、网络诈骗,或通过互联网贩卖病毒和木马。这些形式的网络犯罪活动明显增多,严重威胁企业信息系统安全,制约了企业业务的健康发展。
密码和账号被盗、受到远程控制、系统(网络)无法使用、浏览器配置被修改是计算机病毒造成的主要破坏后果。其中,“密码、账号被盗”选项是自2006年以后病毒破坏性调查新增加的项目,以更准确地反映病毒破坏性的变化情况。调查结果显示,用户密码、账号被盗的比例呈上升趋势,2009年密码被盗占调查总数的27.14%,比2008年增长了8.44%,位居当年计算机病毒造成的主要危害的首位。如图1和图2所示[6]。
图12009年计算机病毒造成破坏的后果图22009年计算机病毒造成的主要危害由此可见,网络世界潜伏着各种危险因素,威胁着企业信息系统的安全,随时可能导致系统中断、个人信息泄密或者数据被破坏等后果,危及企业生存,损害消费者利益,进而对整个国家的经济安全和信息安全造成严重影响。因此,保护企业的信息资产和信息系统安全已经成为信息系统审计师最主要的职能之一。
(三)信息系统审计成为外部审计不可或缺的一环
自2001年以来,美国的安然、世界通信、默克制药和法国的威旺迪等国际大公司相继曝出假账丑闻,而且愈演愈烈。这些丑闻严重打击了投资者的信心,欧美股市不断创历史新低。
从1990年到2000年,安然公司的销售收入从59亿美元上升到1008亿美元,净利润从2.02亿美元上升到9.79亿美元。1999年,安然公司创建了基于互联网的全球商品交易平台“安然在线”,提供从电和天然气现货到复杂衍生品的1500多种商品。在不到一年时间内,“安然在线”发展成为年交易规模近2000亿美元的全球最大的电子商务交易平台。安然公司从一家名不见经传的普通天然气经销商,逐步发展成为世界上最大的天然气采购商和出售商、世界最大的电力交易商、世界领先的能源批发商,在全球拥有3000多家子公司和世界最大的电子商务交易平台,被评为最具创新精神的公司,然而,安然公司利用复杂的关联企业网,通过电子商务交易平台进行虚假的关联交易,形成虚假利润,误导公众,抬高股价,最终导致了泡沫破灭,公司破产、股民巨亏,而公司的高管却通过抛售股票获得巨额收益。电子交易的特点是虚拟化、无纸化、匿名、支付手段电子化,信息流、物资流和资金流是完全分离的,操作过程隐蔽性强,复杂度高,增加了审计取证的难度,交易的真实性无法按照传统方法审核,安达信公司没有针对电子交易这一新生事物采取相应对策,造成对电子数据真实性审计的缺失,导致对财务报告真实性的审计失去了意义,这又进一步助长了安然公司的舞弊行为,以致泡沫越来越大。
安然事件不仅造成了公司破产,更导致了公众对审计产生信任危机。为了挽回公众对资本市场的信心,美国国会和政府通过了萨班斯法案(SoX法案),规范企业电子数据的保存、审计和责任等问题,赋予了信息系统审计前所未有的功能定位。正如国际会计联合会会长梅尔所指出的:“会计师将不得不对实际上通过计算机报告的财务信息承担责任。”目前,一些大的会计师事务所都成立了独立的风险管理部门,专门从事信息系统审计工作。
(四)信息系统审计师成为内部控制的主要参与者
2008年,法国第二大银行兴业银行的交易员杰罗姆•凯维埃尔(JeromeKerviel)进行的未经授权的交易导致该行损失49亿欧元,这几乎等于该银行一年的总收入。这是历史上单个交易员造成的最大一笔损失。凯维埃尔闯过了银行信息系统设置的五道关卡,动用的资金超过500亿欧元,这一数字超过了兴业银行当时的市值,远远超过了他的权限。他还利用信息系统隐瞒他所进行的违规交易,规避内部审计,因而在2007年末之前这些行为一直没有被发现。
在风险较高的金融衍生品市场中,兴业银行凭借严格的风险控制管理能力长时间位居头把交椅,即使在2007年夏天的金融市场动荡期,行业杂志仍然给予它最高评级。可是,兴业银行的一整套严格成熟的风险控制机制并没有与银行的信息系统很好地衔接,从而让凯维埃尔钻了空子。
兴业银行事件提醒了人们,当企业的许多内部控制机制已经程序化、数字化、虚拟化以后,内部控制与信息系统已经成为相互融合的一个整体,这是内部控制面临的新问题。我国的《企业内部控制应用指引第18号――信息系统》做了这样的阐述:“信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。”[4]该定义非常准确地描述了信息系统与内部控制的关系。内部控制建设问题更多地变成了信息系统建设问题,对内部控制的审计更多地变成了对信息系统的审计,因此,信息系统审计师应该参与企业内部控制的修订,向决策层提供咨询,从信息系统入手加强业务风险控制体系的建设和管理,以帮助企业协调信息系统控制与业务风险控制。
三、信息系统审计的三种基本类型
根据前面的分析,我们发现网络环境下的信息系统所面临的问题与“信息孤岛”时期不可同日而语,其外延不断拓展,内涵也越来越丰富,信息系统审计成为现代企业不可或缺的管理职能。信息系统审计的内容以信息系统为中心,企业的持续能力和容灾能力是企业信息系统安全性的综合体现;企业的信息基础设施是企业信息系统安全的物质基础;网络架构、通讯设备与技术等是信息系统安全的结构基础;操作系统是信息系统安全的软件基础;数据库系统的安全可靠直接影响信息系统中数据的安全与真实;财务软件影响财务审计的真实性,电子商务软件影响交易的真实性,其他的应用软件影响企业业务数据的真实性。图3反映了信息系统审计的内容及其相互之间的关系。信息系统审计内容丰富,相互之间关系复杂,因此,信息系统审计的类型和目标也一定是丰富多样的。审计目标将在下一节分析,这里笔者提出了现代信息系统审计应当包括真实性审计、安全性审计和绩效审计等三种不同的基本类型[7]。
图3信息系统审计的内容及相互关系
(一)真实性审计
真实性审计的主要目标是审核企业信息系统和电子数据的真实性、完整性、合法性,为财务审计提供依据。
安然公司虚构交易量是通过电子商务平台实现的,可是这些电子数据是否真实地反映了实际情况,财务审计的方法和手段已经无能为力了。因此,信息系统审计的作用就是审核企业计算机系统所提供的数据,只有保证计算机系统中的数据是真实、完整、合法的,基于这些数据之上的财务审计才能是真实而有效的,也才能防止“假账真审”现象的出现,为财务审计保驾护航。因此,真实性审计属于财务审计的必要组成部分,二者相互印证,共同承担审计职能。
(二)安全性审计
安全性审计的主要目标是审查企业信息系统和电子数据的安全性、可靠性、可用性、保密性,既要预防来自互联网对信息系统的威胁,也要预防来自企业内部对信息系统的危害。现代企业的风险不仅来自市场、财务,也来自互联网和信息系统自身。来自互联网的病毒、木马、黑客等可以中断企业的正常业务,甚至导致企业破产。与此同时,来自企业信息系统自身的漏洞也可能给企业造成伤害,甚至造成毁灭性打击,例如凯维埃尔利用信息系统的缺陷等越权进入系统,进行违规操作导致百年银行几乎破产。可见,信息资产已经成为企业最重要的资产之一,审计师仅为投资者、债权人、经营者提供财务风险鉴证是不够的,他们还需要为企业的信息系统和信息系统安全提供审计服务。
安全性审计是真实性审计的基础与前提,很难想象一个在安全方面存在严重问题和缺陷的信息系统,它提供的数据会真实可靠。安全性审计也是一种专门审计事项,它向投资人、债权人、经营者提供信息资产安全方面的审计和咨询服务。
(三)绩效审计
信息系统的绩效审计是对企业在信息系统方面的投入产出比的审核。信息系统为企业创造的经济效益不是直接的,难以简单地用货币进行核算,因而如何衡量信息系统的贡献是十分复杂而困难的事情,而且,信息化应用项目实施也非常复杂,耗费的时间长、投入大,但是成功率又比较低,因此常常被称为“投资黑洞”。但是虽然面临种种困难,企业仍然必须不断地推广应用信息技术,以提升自身的核心竞争力,正因如此,企业在投资信息系统、管理信息系统的开发和应用、评价信息系统的使用效果等方面需要加强风险控制、监督和评价工作,这些都是信息系统绩效审计面临的挑战。正确、合理地评价企业信息系统投资的绩效,给企业的投资者、债权人、经营者、管理者等提供决策参考,这是信息系统绩效审计的主要作用。
信息系统绩效审计属于绩效审计的范畴,只是信息系统绩效审计的对象是信息系统本身,其中对信息系统使用效果的评价是关键,也是难点。
四、信息系统审计的目标
由图3可知,信息系统审计的目标也应当是多元的。笔者认为信息系统审计的目标应该包括真实性、完整性、合法性、安全性、可用性、可靠性、保密性、效果、效率和效益等。三种基本的信息系统审计类型既相互区别,又具有一定的关联,它们都有着各自不同的审计目标。图4反映了信息系统审计的基本类型与审计目标之间的对应关系。
图4信息系统审计的基本类型与审计目标的对应关系
真实性完整性合法性安全性可用性可靠性保密性效果效率效益信息系
统审计真实性审计√√√安全性审计√√√√绩效审计√√√真实性是指信息系统中的数据要如实地反映企业的实际生产经营活动,可以通过一系列技术手段来确保数据的真实性,如数字签名、时间戳、不可否认协议、不可修改存储装置等。对真实性的破坏,可能来自企业高层的舞弊行为,例如通过财务软件故意做假账或通过电子商务系统虚构交易等达到虚增或虚减利润的目的;还可能来自企业的中层或基层员工的舞弊行为,例如通过非法访问或修改信息等手段,达到非法牟利目的;还可能来自企业外部,如黑客入侵、病毒破坏等,达到商业秘密外泄、删改企业信息等目的。
完整性是指信息系统中的数据不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。在信息系统中,数据与元数据是存放在不同地方的,数据的逻辑地址与物理地址也不一样,因此设备故障、误码、人为攻击、计算机病毒等都会破坏数据完整性。在信息系统中,数据完整性是数据真实性的基础。
合法性是指购买、使用、开发、维护信息系统的过程以及信息系统里的数据在生产、加工、修改、转移、删除等处理过程中,必须符合相关法律、法规、准则、行规以及企业内部的规定。
安全性是指信息系统在遭受各种人为因素破坏的情况下仍然能正常运行的概率。威胁信息系统安全性的因素可能来自信息系统和企业的外部,如黑客入侵、病毒攻击、线路侦听、木马、非法用户访问等;也可能来自企业和信息系统的内部,如授权用户的越权访问、修改、删除等操作。
可靠性是指信息系统在遭受非人为因素破坏或误操作情况下仍然能正常运行的概率。威胁信息系统可靠性的因素包括自然灾害对硬件和环境的破坏,误操作对软件和硬件的破坏,以及设备故障、软件故障等。与安全性不同,可靠性所指的破坏因素是非人为的,安全性所指的破坏因素是人为的。
保密性是指防止信息系统中的数据泄漏给非授权用户的特性。常用的保密技术包括防侦收、信息加密、物理隔离等。与安全性不同,保密性是防止信息系统中信息的外泄,安全性是防止外界对信息系统的入侵。
可用性也是信息系统安全性的一个重要指标,它是指信息可被授权实体访问并按需求使用的特性,即信息系统在提供服务时允许被使用的属性,或者是信息系统在部分受损或需要降级使用时,仍能为用户提供有效服务的属性。信息系统最基本的功能是提供服务,而用户的需求是信息系统的可用性。可用性还体现在身份识别与确认、远程控制、数据跟踪等方面。由于数据的访问与数据存储介质、显示介质、软件版本等有关,无法访问的数据也无真实安全可言,因此可用性还体现在数据访问方面。
效果是指信息系统在企业生产管理应用中产生的效果,即信息系统的应用使企业在生产、管理、产品、服务、财务、人力管理等方面得到改善和提升,如减少了产生时间,提高了资金周转速度,降低了库存,增加了服务质量,扩大了产品种类等。
效率是指信息系统在应用后对提高企业劳动生产率所作的贡献,如人均生产率的提升。
效益是指信息系统的投入产出比,通过同行业类别等方法,核算信息系统的投入与产出的比率,得到信息系统的效益值。
由此可见,“三效”是绩效审计的目标。效益是可以用货币核算的,而效果和效率需要采用其他方法进行评价。对于安全性审计而言,安全与保密是从人为角度看,可靠性是从技术层面看,可用性是信息系统的特有性质。而真实性审计的目标是真实、合法和完整,完整性也是信息系统的特性。
五、结语
信息技术的发展、安然舞弊事件的发生以及萨班斯法出台等一系列因素促成了现代信息系统审计的产生,分析这些变化对信息系统审计的影响之后,我们提出了三种基本的信息系统审计类型,从这三种类型入手分析审计目标,而不是反过来,这种研究视角可以帮助我们更好地认识与把握信息系统审计的发展规律。
参考文献:
[1]石勇,崔超,赵晓光.网络环境下政府信息系统审计研究[J].财会通讯,2010(8):117118.
[2]陈耿.信息系统审计专业建设与人才培养研究[J].中国科教创新导刊,2010(35):194196.
[3]庄明来.计算机审计与信息系统审计之比较[J].会计之友,2010(2):8285.
[4]财政部,证监会,审计署,等.企业内部控制基本规范[S].2008.
[5]徐瑾.基于信息化环境下数据式审计的特征与实施路径[J].审计与经济研究,2009(1):5055.
[6]国家计算机病毒应急处理中心.2009年中国计算机病毒疫情调查技术分析报告[R].2009.
[7]陈耿,王万军.信息系统审计[m].北京:清华大学出版社,2010.
theFunctionandtheKindsofinformationSystemauditininternet
CHenGeng