作者: 孙强
企业事业单位对财务管理、经营管理、行政管理都在走向信息化、网络化。财政、金融、税务、海关等领域信息化进程迅速推进,政府部门、国有企业等被审计单位的会计核算、财务管理、经营管理电子化日益普及,银行业监管部门面临的挑战是:在审计资源保持相当稳定的情况下,按照传统审计工作的高质量标准,去审查信息系统生成的需要分析的大量数据,几乎不可能。
审计是经济发展到一定阶段的产物,随着经济的发展,审计的外延和内涵不断发展,审计的内容也已经由原来的财务报表审计、经营审计、管理审计进一步扩大到整个信息系统,对信息系统进行审计及以计算机作为技术手段进行审计,便是其中的两种重要形式,经过几年的发展,已经形成了一套规范而行之有效的审计方法。本文主要介绍利用计算机进行审计检查监督的做法。
一、利用计算机工具检查信息系统安全
1、检查计算机通用控制
在检查计算机通用控制时,如检查系统平台的访问控制,若用手工检查,需要审计人员到现场进入操作系统,输入有关命令才可以得到操作系统访问控制的具体设置。
这种手段存在以下缺点:
† 对计算机审计人员技术要求较高,需要了解读取不同操作系统安全设置的命令及参数,而且审计必须不断跟进系统版本变化
† 检查结果不易输出,如对Windows NT的检查,只能利用屏幕拷贝方式
† 检查结果不易分析,由于检查结果可能包含大量信息,审计人员从中找出所关注的问题需要花较大工作量因此,专业计算机公司针对不同操作系统平台开发了专门的审计工具,这些工具一般包括以下功能:
† 设定参照性安全标准,既可以使用行业的一般标准,也可以根据审计机构的安全政策自行设计
† 对有关平台或网络的安全控制进行全面扫描检查,详细分析各种安全设置
† 参照安全标准进行分析评估,既可以得出量化的评分结果,也可以输出各种格式的详细报告。
在信息系统审计中,国外常用的安全审计软件有:
† Security Analyst。 KANE公司产品,用于对WindowsNT/2000平台的检查
† Rapport Audit Master。 由Rapport Software公司开发,用于检查AS/400平台安全。
† 主机平台。由于主机平台产品较昂贵,一般较少采用专门审计工具,而是利用安装在主机内的安全访问控制软件,如: MVS环境的RACF软件,CA Top-Secret软件,其主要功能是计算机安全员用于设置安全控制,也能提供较好的接口和输出工具供审计人员读取安全设置。
† 网络安全检查工具。包括ISS、CyberCop、Axent等网络安全扫描工具,除扫描网络漏洞外,还可进行仿真入侵测试。
使用专用工具的好处:
† 审计人员不必详细记忆不同平台的操作命令,减轻工作量,提高工作效率
† 系统更新换代或业界发现有新的安全问题时,只须升级有关审计工具即可
† 输出结果直观、可靠
† 使用业界普遍采用)的工具,也有助于提高审计结果的可接受程度及公信力。
另一方面,部分审计机构亦会自行开发一些审计工具,如编写UNIX Script,或利用Foxpro等编写统计分析程序,亦有助于提高审计效率。
在实际应用时,根据环境需要通常会使用多种工具的混合。如在对网上银行系统进行安全评估时,采用了Sever平台的UNIX检查工具和NT检查工具,以及网络平台的ISS Internet Scanner,并使用ISS工具对网络进行了penetration test(入侵测试)。有的机构甚至会使用ISS配合CyberCop分别扫描网络,利用不同产品的优点,进一步提高扫描结果的可靠性。
2、检查应用系统
这里对应用系统的检查定义为: 对应用系统处理过程及系统内存储的业务数据的完整性和准确性进行检查。对银行系统而言,具体检查的内容包括网上银行、银行卡系统、利息及费用核算、过账、报表输出等计算机处理过程中的关键环节。如汇丰银行,其稽核部门在这方面的计算机应用包括:
直接在主机系统编写检查程序
在通用审计软件尚未普及时,由信息系统审计人员在主机环境(测试平台)上直接开发专用审计程序,用于核对利息、数据比较、抽样证账等工作。
利用PC工具编写检查程序
由于在主机开发程序周期长、耗费较多人力资源,以及主机开发语言较难掌握、用户操作接口不够友好等问题,审计部门已趋向将主要开发工具转为PC,并通常会借助一些较为通用及易编程的工具,如Foxpro及ACL等。
二、利用计算机技术辅助业务审计
随着计算机应用的普及和审计素质的提高,以及一些方便易用的软件工具的出现,审计机构利用计算机辅助业务审计日趋普遍,并从传统上的抽样统计、核对查错发展到辅助效率审计。
1、常用计算机辅助审计软件工具
审计软件分为数据抽取软件、数据分析软件、网络安全评估软件及自我评估控制软件等九类。
ACL软件作为业界比较著名的审计软件,会计师在进行审计时,普遍使用ACL抽取数据进行数据核对、统计抽样等。
SQL是通用的标准查询语言,无论是主机的DB2还是服务器级的Sybase、Oracle,或是PC上的Forpro、Win Access,以及ACL软件,均支持这一行业标准(即采用基本一致的编程语法结构)。由于其具有易学习、使用灵活、运行效率高的特点,以及掌握其语法后可很快适应上述不同数据库产品环境,因此,计算机审计人员应普遍掌握及使用SQL编写审计程序。
2、实际应用
现场审计
很难详尽描述计算机在业务审计中的应用范围,从了解到的有关机构情况看,可以这么说,凡是审计过程中需要对业务数据进行统计、分析、比较的,都可以用到计算机工具,而应用程度及应用效果则依赖于审计人员对其掌握及灵活使用的程度。一些外资银行普遍要求以下做法: 由独立审计机构不定期从银行所有客户中抽选出部分,向他们发出证帐信,请客户确认信中附寄的银行账务资料是否正确。
这项工作可充分发挥ACL这类通用审计软件的作用:
† 可抽取不同格式的计算机系统数据
† 可选用多种抽样方法
† 根据抽样结果灵活调整抽样参数
† 降低审计风险水平
† 时间和成本的节约
非现场审计
非现场审计的概念在不同机构中可能命名不同,总的来说是强调利用计算机手段,‘足不出户’,利用计算机终端远距离抽取系统数据进行分析。大银行会在计算机中心主机系统内建立数据专区INC(Information Center),各操作系统每日批处理后将业务数据传送到INC中;另一边,在审计部门建立主机系统终端,审计人员可以通过终端,编写SQL程序,从上述数据库中抽取自己需要的数据进行统计分析。这种方式有以下好处:
† 减省审计人员外出的人力、物力及时间成本,特别适用于分行地域跨度大的机构
† 能迅速取得最新的业务数据
† 数据未经加工,来源可靠
† 审计过程更具针对性和持续性
† 能取得大量的、来自不同系统的数据,便于审计人员从整体的、宏观的角度进行分析,有助于开展效益和管理审计
三、发展趋势
1、计算机审计与业务审计的界线日趋模糊
随着银行业务计算机化比重日趋加大,目前大企业的计算机应用已不仅仅是过去的仿真手工阶段,覆盖范围也不再局限于零售、结算等操作层次,而是提升到整个企业业务流程的各个方面,如ERP(企业资源计划)、HRM(人力资源管理)、CRM(银行信贷风险管理)。审计人员如果再不能利用计算机工具,继续将审计局限于操作层面的检查,将不能适应发展的要求。相反,计算机审计人员也不但要检查计算机本身的安全,也需要了解银行业务,以便为审计工作计算机化提供更好支持。在领先的国际化大银行,这一趋势已十分明显,如汇丰银行,审计人员共70多人,其中计算机审计人员已占到约一半,其中有10人专责计算机审计软件的开发工作。
2、用计算机手段向效益和管理审计发展
商业机构追求最大化利润的目标,不仅要求审计部门对安全经营情况进行监督(当哨兵或警察),还要能提供提高经营效益和管理方面的意见(当顾问),提供增值服务。计算机技术的发展为审计人员达到这一目标提供了现实可能。例如,现在不少大型企业已致力发展DW(数据仓库),其提供的多维数据,不仅在数据量上超出一般数据库的概念,更重要的是提供了更大时间跨度、更多系统联系、更多企业外部的市场数据,并融入专家系统等人工智能概念,提供更多更灵活的处理和输出工具,审计人员将可以利用这些工具更好地发挥其“顾问”角色。