购物车(0)
审计信息安全管理篇1
从审计的角度,风险评估是现代风险导向审计的核心理念。无论是在历史财务报表审计还是在网络审计中,现代风险导向审计均要求审计师在执行审计工作过程中应以风险评估为中心,通过对被审计单位及其环境的了解,评估确定被审计单位的高风险领域,从而确定审计的范围和重点,进一步决定如何收集、收集多少和收集何种性质的证据,以便更有效地控制和提高审计效果及审计效率。从企业管理的角度,企业风险管理将风险评估作为其基本的要素之一进行规范,要求企业在识别和评估风险可能对企业产生影响的基础上,采取积极的措施来控制风险,降低风险为企业带来损失的概率或缩小损失程度来达到控制目的。信息安全风险评估作为企业风险管理的一部分,是企业信息安全管理的基础和关键环节。尽管如此,风险评估在网络审计、历史财务报表审计和企业信息安全管理等工作中的运用却不尽相同,本文在分析计算机信息系统环境下所有特定风险和网络审计风险基本要素的基础上,从风险评估中应关注的风险范围、风险评估的目的、内容、程序及实施流程等内容展开,将网络审计与历史财务报表审计和信息安全管理的风险评估进行对比分析,以期深化对网络审计风险评估的理解。
二、网络审计与历史财务报表审计的风险评估比较
(一)审计风险要素根据美国注册会计师协会的第47号审计标准说明中的审计风险模型,审计风险又由固有风险、控制风险和检查风险构成。其中,固有风险是指不考虑被审计单位相关的内部控制政策或程序的情况下,其财务报表某项认定产生重大错报的可能性;控制风险是被审计单位内部控制未能及时防止或发现财务报表上某项错报或漏报的可能性;检查风险是审计人员通过预定的审计程序未能发现被审计单位财务报表上存在重大错报或漏报的可能性。在网络审计中,审计风险仍然包括固有风险、控制风险和检查风险要素,但其具体内容直接受计算机网络环境下信息系统特定风险的影响。计算机及网络技术的应用能提高企业经营活动的效率,为企业的经营管理带来很大的优越性,但同时也为企业带来了一些新的风险。这些新的风险主要表现为:(1)数据与职责过于集中化。由于手工系统中的职责分工、互相牵制等控制措施都被归并到计算机系统自动处理过程中去了,这些集中的数据库技术无疑会增加数据纵和破坏的风险。(2)系统程序易于被非法调用甚至遭到篡改。由于计算机系统有较高的技术要求,非专业人员难以察觉计算机舞弊的线索,这加大了数据被非法使用的可能性。如经过批准的系统使用人员滥用系统,或者说,企业对接近信息缺乏控制使得重要的数据或程序被盗窃等。(3)错误程序的风险,例如程序中的差错反复和差错级联、数据处理不合逻辑、甚至是程序本身存在错误等。(4)信息系统缺乏应用的审计接口,使得审计人员在审计工作中难以有效地采集或获取企业信息系统中的数据,从而无法正常开展审计工作。(5)网络系统在技术和商业上的风险,如计算机信息系统所依赖的硬件设备可能出现一些不可预料的故障,或者信息系统所依赖的物理工作环境可能对整个信息系统的运行效能带来影响等。相对应地,网络审计的固有风险主要是指系统环境风险,即财务电算化系统本身所处的环境引起的风险,它可分为硬件环境风险和软件环境风险。控制风险包括系统控制风险和财务数据风险,其中,系统控制风险是指会计电算化系统的内部控制不严密造成的风险,财务数据风险是指电磁性财务数据被篡改的可能性。检查风险包括审计软件风险和人员操作风险,审计软件风险是指计算机审计软件本身缺陷原因造成的风险,人员操作风险是指计算机审计系统的操作人员、技术人员和开发人员等在工作中由于主观或客观原因造成的风险。
(二)风险评估目的无论在网络审计还是历史财务报表审计中,风险评估只是审计的一项重要程序,贯穿于审计的整个过程。与其他审计程序紧密联系而不是一项独立的活动。尽管如此,两者所关注的风险范围则有所不同。历史财务报表审计的风险评估要求审计人员主要关注的是被审计单位的重大错报风险――财务报表在审计前存在重大错报的可能性。由于网络审计的审计对象包括被审计单位基于网络的财务信息和网络财务信息系统两类,因此审计人员关注的风险应是被审计单位经营过程中与该两类审计对象相关的风险。(1)对于与企业网络财务信息系统相关的风险,审计人员应该从信息系统生命周期的各个阶段和信息系统的各组成部分及运行环境两方面出发进行评估。信息系统生命周期是指该信息系统从产生到完成乃至进入维护的各个阶段及其活动,无论是在早期的线性开发模型中还是在更为复杂的螺旋式等模型中,一个信息系统的生命周期大都包括规划和启动、设计开发或采购、集成实现、运行和维护、废弃等五个基本阶段。由于信息系统在不同阶段的活动内容不同,企业在不同阶段的控制目标和控制行为也会有所不同,因此,审计人员的风险评估应该贯穿于信息系统的整个生命周期。信息系统的组成部分是指构成该信息系统的硬件、软件及数据等,信息系统的运行环境是指信息系统正常运行使用所依托的物理和管理平台。具体可将其分为五个层面:物理层,即信息系统运行所必备的机房、设备、办公场所、系统线路及相关环境;网络层,即信息系统所需的网络架构的安全情况、网络设备的漏洞情况、网络设备配置的缺陷情况等;系统层,即信息系统本身的漏洞情况、配置的缺陷情况;应用层,即信息系统所使用的应用软件的漏洞情况、安全功能缺陷情况;管理层,即被审计单位在该信息系统的运行使用过程中的组织、策略、技术管理等方面的情况。(2)对于与企业基于网络的财务信息相关的风险,审计人员应着重关注财务信息的重大错报风险和信息的安全风险。重大错报风险主要指被审计单位基于网络的相关财务信息存在重大错报的可能性,它是针对企业借助于网络信息系统或网络技术对有关账户、交易或事项进行确认、计量或披露而言。网络审计中关注的重大错报风险与传统审CtT的内涵基本上是一致的,审计人员在审计时应当考虑被审计单位的行业状况、经营性质、法律及监管环境、会计政策和会计方法的选用、财务业绩的衡量和评价等方面的情况对财务信息错报可能的影响。信息安全风险涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的风险,主要针对企业利用信息系统或一定的网络平台来存储、传输、披露相关财务信息而言。在审计过程中,审eta员应当主要关注相关财务信息被盗用、非法攻击或篡改及非法使用的可能性。当然,这两类风险并非完全分离的,评估时审计人员应将两者结合起来考虑。
(三)风险评估内容 广泛意义的风险评估是指考虑潜在事件对目标实现的影响程度。由于网络审计与历史财务报表审计风险评估的目的并不完全相同,因此两者在风险评估的内容上也是存在区别的。总的来说,网络审计的风险评估内容比历史财务报表审计的风险评估内容更广泛和深入。根据《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风
险》,在历史财务报表审计中,审计人员的风险评估应以了解被审计单位及其环境为内容。为识别和评价重大错报风险,审计人员了解的具体内容包括被审计单位所在行业状况、法律环境与监管环境以及其他外部因素、被审计单位的性质、被审计单位对会计政策的选择和运用、被审计单位的目标、战略以及相关经营风险、被审计单位财务业绩的衡量和评价及被审it@位的内部控制等。在网络审计中。为了识别和评估上文所述的两类风险,审计人员除了从以上方面了解被审计单位及其环境外,还应该关注其他相关的潜在事件及其影响,尤其是企业的财务信息系统及基于网络的财务信息可能面l临的威胁或存在的脆弱点。其中,威胁是指对信息系统及财务信息构成潜在破坏的可能性因素或者事件,它可能是一些如工作人员缺乏责任心、专业技能不足或恶意篡改等人为因素,也可能是一些如灰尘、火灾或通讯线路故障等环境因素。脆弱点是指信息系统及基于网络的财务信息所存在的薄弱环节,它是系统或网络财务信息本身固有的,包括物理环境、组织、过程、人员、管理、配置、硬软件及信息等各方面的弱点。一般来说,脆弱点本身不会带来损失或信息错报,威胁却总是要利用网络、系统的弱点来成功地引起破坏。因此,我们认为网络审计申风险评估的内容应包括以下几方面:(1)识别被审计单位财务信息系统及其基于网络的财务信息可能面临的威胁,并分析威胁发生的可能性;(2)识别被审计单位财务信息系统及其基于网络的财务信息可能存在的脆弱点,并分析脆弱点的严重程度;(3)根据威胁发生的可能性和脆弱点发生的严重程度,判断风险发生的可能性;(4)根据风险发生的可能性,评价风险对财务信息系统和基于网络的财务信息可能带来的影响;(5)若被审计单位存在风险防范或化解措施,审计人员在进行风险评估时还应该考虑相应措施的可行性及有效性。
(四)风险评估程序《中国注册会计师审计准则第1211-----了解被审计单位及其环境并评估重大错报风险》中要求,审计人员应当实施询问、分析程序、观察和检查等程序,以获取被审计单位的信息,进而评估被审计单位的重大错报风险。这些程序同样适用于网络审计中的风险评估。但在具体运用时网络审计中更加注重了解和分析被审计单位与信息系统及网络技术使用相关的事项。在实施询问程序时,审计人员的询问对象围绕信息系统和基于网络的财务信息可大致分为管理人员、系统开发和维护人员(或信息编制人员)、系统使用人员(或信息的内部使用人员)、系统或网络技术顾问及其他外部相关人员(如律师)等五类,分别从不同角度了解信息系统和基于网络的财务信息可能存在的威胁和脆弱点。在实施分析程序时,除了研究财务数据及与财务信息相关的非财务数据可能的异常趋势外,审计人员应格外关注对信息系统及网络的特性情况,被审计单位对信息系统的使用情况等内容的分析比较。实施观察和检查时,除执行常规程序外,审计人员应注意观察信息系统的操作使用和检查信息系统文档。除此之外,针对特定系统或网络技术风险的评估,审计人员还需要实施一些特定的程序。技术方面如IOS取样分析、渗透测试、工具扫描、安全策略分析等;管理方面如风险问卷调查、风险顾问访谈、风险策略分析、文档审核等。其中,IDS取样分析是指通过在核心网络采样监听通信数据方式,获取网络中存在的攻击和蠕虫行为,并对通信流量进行分析;渗透测试是指在获取用户授权后,通过真实模拟黑客使用的工具、方法来进行实际漏洞发现和利用的安全测试方法;工具扫描是指通过评估工具软件或专用安全评估系统自动获取评估对象的脆弱性信息,包括主机扫描、网络扫描、数据库扫描等,用于分析系统、应用、网络设备存在的常见漏洞。风险问卷调查与风险顾问访谈要求审计人员分别采用问卷和面谈的方式向有关主体了解被审计单位的风险状况,使用时关键是要明确问卷或访谈的对象情况风险策略分析要求审计人员对企业所设定的风险管理和应对策略的有效性进行分析,进而评价企业相关风险发生的概率以及可能带来的损失;文档审核是一种事前评价方法,属于前置软件测试的一部分,主要包括需求文档测试和设计文档测试。这些特定程序主要是针对被审计单位信息系统和基于网络的财务信息在网络安全风险方面进行评价,审计人员在具体使用时应结合被审计单位的业务性质选择合适的程序。
三、网络审计与信息安全管理的风险评估比较
(一)风险评估的目的信息安全管理中的风险评估(即信息安全风险评估)是指根据国家有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程。作为信息安全保障体系建立过程中的重要的评价方法和决策机制,信息安全风险评估是企业管理的组成部分,它具有规划、组织、协调和控制等管理的基本特征,其主要目的在于从企业内部风险管理的角度,在系统分析和评估风险发生的可能性及带来的损失的基础上,提出有针对性的防护和整改措施,将企业面临或遭遇的风险控制在可接受水平,最大限度地保证组织的信息安全。而网络审计是由独立审计人员向企业提供的一项鉴证服务,其风险评估的目的在于识别和评价潜在事件对被审计单位基于网络的财务信息的合法性、公允性以及网络财务信息系统的合规性、可靠性和有效性的影响程度,从而指导进一步审计程序。因此,两者风险评估的目的是不一样。从评估所应关注的风险范围来看,两者具有一致性,即都需要考虑与信息系统和信息相关的风险。但是,具体的关注边界则是不一样的。信息安全风险评估要评估企业资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响,它要求评估人员关注与企业整个信息系统和所有的信息相关的风险,包括实体安全风险、数据安全风险、软件安全风险、运行安全风险等。网络审计中,审计人员是对被审计单位的网络财务信息系统和基于网络的财务信息发表意见,因此,风险评估时审计人员主要关注的是与企业财务信息系统和基于网络的财务信息相关的风险,而不是与企业的整个信息系统和所有的信息相关的风险。根据评估实施者的不同,信息安全风险评估形式包括自评估和他评估。自评估是由组织自身对所拥有的信息系统进行的风险评估活动;他评估通常是由组织的上级主管机关或业务主管机关发起的,旨在依据已经颁布的法规或标准进行的具有强制意味的检查。自评估和他评估都可以通过风险评估服务机构进行咨询、服务、培训以及风险评估有关工具的提供。因此。对审计人员而言,受托执行的信息安全风险评估应当归属于管理咨询类,即属于非鉴证业务,与网络审计严格区分开来。
(二)风险评估的内容在我国国家质量监督检验检疫总局的《信息安全风险评估指南》(征求意见稿)国家标准中,它将信息安全风险评估的内容分为两部分:基本要素和相关属性,提出信息安全风险评估应围绕其基本要素展开,并充分考虑与这些基本要素相关的其他属性。其中,风险评估的基本要素包括资产、脆弱性、威胁、风险和安全措施;相关属性包括业务战略、资产价值、安全需求、安全事件、残余风险等。在此基础上的风险计算过程是:(1)对信息资产进行识别,并对资产赋值;(2)对威胁进行分析,并对威
审计信息安全管理篇2
审计的基础工作是内部审计,内审是审计监督体系中不可或缺的重要组成部分,是全面经济管理必不可少的手段,是加强任何机构内部管理的必要,推动经济管理向科学化方向发展的重要环节也是审计。因此说审计部门是其他监督部门不能代替的,促进党风廉政建设、加强对党政领导干部及管理人员的监督都可以通过审计来完成。审计应用与高新技术机构中,在防范风险中发挥着重要作用,也有助于领导层做出正确决策。
一、审计工作的现状及存在的问题
随着我国经济迅猛发展,审计监督力度不断增强,审计范围也不断扩大。当前,审计方式已由财政财务审计向效益审计发展,由账项基础审计向制度基础审计、风险基础审计发展,由事后审计向事中、事前审计发展。审计管理上建立审计质量控制体系,要求审计机关把审计管理工作前移,把质量控制体系贯穿与审计工作中。在此趋势下,传统的审计方法暴露出其效率低、审计范围小等劣势,使得完成审计任务,达到审计目标越发缺乏及时性。
(一)内部审计性质认定较为模糊。内部审计是市场经济条件下,基于加强经营管理的内在需要,也是内部审计赖以存在的客观基础。但是,现代内部审计的产生却是一个行政命令产物,强调外向性服务。这种审计模式使人们对内部审计在性质认定上产生模糊,阻碍了内部审计的发展。内部审计很难融入经营管理中,审计工作很难正常开展,很难履行监督评价职能和开展保证咨询活动,因此就不能充分发挥其应有的内向性服务的作用。
(二)内部审计工作范围过于狭窄。内部审计的目的在于为组织增加价值并提高组织的运作效率,其职能是监督和服务。但是,我国内部审计工作的重心局限在财务收支的真实性及合规性审计。长久以来内部审计突出了监督职能,而忽视了服务职能。内部审计认识水平、思想观念的束缚以及管理体制等诸多因素,影响和阻碍着内审作用的有效发挥。原因有会计人员知识水平、业务素质不高,也有不重视法律、法规的因素,还有监管不力、查处不严的原因。目前内部审计尚处在查错阶段,停留在调账、纠正错误上,还不能多角度、深层次分析问题,没有较国际先进的审计理念,我国内部审计的作用尚待开发。审计人员的计算机知识匮乏,不适应电算化、信息化的迅速发展。目前多数审计人员硬件知识掌握不熟练,软件知识了解也不足,因此不能有效地评估信息系统的安全性、效益性。由于计算机审计软件开发标准不同,功能也不完整,因此全面推广计算机辅助审计就有一定难度,导致审计人员的知识和审计手段滞后于信息化的发展。
二、信息化审计体系的健全
当前国家审计信息化发展的趋势是建立审计信息资源的标准化、共享化、公开化,逐步达到向现代审计方式的转变。这一趋势是随着当前科学发展、和谐社会的推进,国家确立的公共财政建设、公共服务的实施、公共产品的提供应运而生的,三个“公共”的主旨是:国家财政资金的使用更注重民生;使用重点更注重服务;使用效益更注重民意。
信息安全审计是任何机构内控、信息系统治理、安全风险控制等不可或缺的关键手段。收集并评估证据以决定一个计算机系统是否有效地做到保护资产、维护数据完整、完成目标,同时能更经济的使用资源。信息安全审计与信息安全管理密切相关,信息安全审计的主要依据是出于不同的角度提出的控制体系的信息安全管理相关的标准。这些控制体系下的信息化审计可以有效地控制信息安全,从而达到安全审计的目的,提高信息系统的安全性。由此,国际组织也制定了相关文件规范填补信息系统审计方面的某些空白。例如《信息安全管理业务规范》通过了国际标准化组织iso的认可,正式成为国际标准。我国法律也针对信息安全审计制定出了《中华人民共和国审计法》、《国务院办公厅关利用计算机信息系统开展审计工作有关的通知》等文件,基本规范了内部审计机制,健全了内部审计机构;强调机构应加强内审工作,机构内部要形成有权就有责、用权受监督的最佳氛围;审计委员会直接对领导班子负责,其成员需具有相应的独立性,委员会成员具良好的职业操守和能力,内审人员应当具备内审人员从业资格,其工作范围不应受到人为限制。内部审计机构对审计过程中发现的重大问题,视具体情况,可以直接向审计委员会或者领导层报告。
三、主机系统安全审计
信息技术审计,或信息系统审计,是一个信息技术基础设施控制范围内的检查。信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面做出判断的过程。
以技术划分,信息化安全审计主要分为主机审计、网络审计、应用审计、数据库审计,综合审计。简单的说获取、记录被审计主机的状态信息和敏感操作就是主机审计,主机审计可以从已有的系统审计记录中提取相关信息,并以审计规则为标准来分析判断被审计主机是否存在违规行为。总之,为了在最大限度保障安全的基础上找到最佳途径使得业务正常工作的一切行为及手段,而对计算机信息系统的薄弱环节进行检测、评估及分析,都可称作安全审计。
主机安全审计系统中事件产生器、分析器和响应单元已经分别以智能审计主机、系统中心、管理与报警处置控制台来替代。实现主机安全系统的审计包括系统安全审计、主机应用安全审计及用户行为审计。智能审计替代主机安装在网络计算机用户上,并按照设计思路监视用户操作行为,同时智能分析事件安全。从面向防护的对象可将主机安全审计系统分为系统安全审计、主机应用安全审计、用户行为审计、移动数据防护审计等方面。
四、待解决的若干问题
计算机与信息系统广泛使用,如何加强对终端用户计算机的安全管理成为一个急需解决的问题。这就需要建立一个信息安全体系,也就是建立安全策略体系、安全管理体系和安全技术体系。
保护网络设备、设施、介质,对操作系统、数据库及服务系统进行漏洞修补和安全加固,对服务器建立严格审核。在安全管理上完善人员管理、资产管理、站点维护管理、灾难管理、应急响应、安全服务、人才管理,形成一套比较完备的信息系统安全管理保障体系。
防火墙是保证网络安全的重要屏障,也是降低网络安全风险的重要因素。vpn可以通过一个公用网络建立一个临时的、安垒的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。借助专业的防ddos系统,可以有效的阻止恶意攻击。信息系统的安全需求是全方位的、系统的、整体的,需要从技术、管理等方面进行全面的安全设计和建设,有效提高信息系统的防护、检侧、响应、恢复能力,以抵御不断出现的安全威胁与风险,保证系统长期稳定可靠的运行。严格的安全管理制度,明确的安全职责划分,合理的人员角色定义,都可以在很大程度上减少网络的安全隐患。
从战略高度充分认识信息安全的重要性和紧迫性。健全安全管理组织体系,明确安全管理的相关组织、机构和职责,建立集中统一、分工协作、各司其职的安全管理责任机制。为了确保突发重大安全事件时,能得到及时的响应和支援,信息系统必须建立和逐步完善应急响应支援体系,确保整个信息系统的安全稳定运行。
参考文献:
审计信息安全管理篇3
1.2有利于实现医院审计目标,为医院审计工作的科学管理提供依据医院审计管理者可根据对医疗信息统计的数据掌握,判断医院的入院患者人数、出院人数、手术人数、转院人数、病人死亡人数以及医生在院人数等等,对整个医院的活动进行合理管理和控制,做好医院管理工作,更好的为病人服务,进而实现医院审计目标,提高审计领导者的正确决策效率。审计的精确性为领导做出的正确决策提供了最有利的依据,确保医院发展计划可行,临床科室设置科学合理,专业项目建设得到完善,进而提高医院的社会经济效益。
1.3有利于提升医院内部审计质量对于市医院在财务审计管理中存在的弊端,要采取一定的措施进行有效解决,要有规范的操作流程,利用网络经济管理有效的提升了医院内部审计的质量。在其管理控制中,要对具体部门要有一定的监督体系,确保医院审计管理工作有效落实。出纳是否做好现金出入明细账,动用现金的正规手续能否都与现金的实时走账相符,会计的核算与出纳的现金账目能否及时捋顺,定期对医院现金进行核算,最好是按每周或者是每月对医院现金进行盘库,这样能及时掌控现金的动向,及时核对现金账目与票据能否相符,这些都要在计算机网络系统中有所显示,便于日后对具体问题进行审计分析,有依据可循。
2网络经济对医院审计的管理策略
2.1运用计算机辅助审计方法
2.1.1对医院日常会计信息的审计当前的医院审计要求审计工作人员应对会计信息给予更多的分析,并利用计算机辅助审计来完成具体工作。在医院内部审计控制管理中,很多审计人员专业技能不够,对医院内部审计工作知识了解较少,业务技能不熟练,不能专业的将医院财务状况反馈给管理层人员,因此,在医院内部控制管理中要加强审计人员对计算技术的运用,对审计人员进行专业技能培训,定期对会计人员业务能力进行考察,深化审计人员运用计算机技术处理审计工作的能力。审计人员对计算机技术有了一定的掌握,使用高效的审计软件,还能在很大程度上提高医院审计效率,节省审计时间,简化繁琐的审计流程;其次,也可以借助会计电算化自带的一些功能来完成审计工作。如审计人员可以利用会计电算化中的查询过滤功能,将某些明细账反映的医疗服务金额在指定数额以上的全部记录显示出来,借此来进行分析性复核;再次,使用办公自动化软件来辅助审计工作。如可借助EXCEL表格对材料成本差异核算进行复核。
2.1.2计算机辅助审计信息管理与传递利用网络信息平台,实现资源共享,提高审计数据真实效率。过去我们往往都是通过纸质载体形式将病例及信息资料传送到患者以及义务人员手中,在很大程度上增加了医院的成本费用,还浪费人力,在网络信息平台开通后,医务人员间可以通过网络进行资源共享,完成信息交流工作,也可以将病史资料以电子形式传送到病人手中,大大节省了时间和金钱,提高工作效率。
2.1.3对医院审计管理要具有一定的针对性所谓针对性就是要抓住事物的重点,审计的重点在于一个好的技巧,当然一个好的技巧正是这些专业的统计分析者通过自己的专业知识、敏锐的洞察力及自身的综合素质才能总结出来的。审计的技巧要充分体现出当前的国家经济政策、市场动向、社会主义公有制经济的本质出发点、国家关于经济方面的法律法规新动向以上是大的方向,对于医院管理中的审计分析来说,要反映出医院领导者最为关注的问题。
2.2使用高效的医院审计软件随着网络信息时代的到来,传统的审计方法以不能满足医院管理审计分析的需要,对审计信息的统计分析也不只是单单的进行处理、对照就能满足医院管理的本质要求。在当今社会随着网络的普遍应用,医院审计工作作为一个新兴审计分析工具逐渐的代替了人工审计方法,取代了费时费力的人工审计环节。它不仅增强了医院管理的竞争力也大大的促进了社会的发展要求,所以加强管理中的信息网络管理是很有必要的。是实现资源共享的有效途径,也是医院自身发展的必然需求。此外,审计人员使用高效的审计软件,也能在很大程度上提高医院审计效率,节省审计时间,简化繁琐的审计流程。
2.3建立医院内部审计信息系统建立医院内部审计信息系统,就要以数据安全管理为原则。一个完备的数据安全管理保障体系应当有科学的安全管理原则,安全管理的基本原则主要包括:一是专人负责原则。即针对每一项与医院审计数据信息安全有关的活动都必须有专门人员负责;二是职责分离原则。不同工作职责应当由不同人员负责,保障各机构根据自身的特点制定一系列的审计管理规章制度,并对违反规定的采取惩戒措施等。三是数据库系统。建立审计信息数据备份机制,应对安全领域突发事件,防止系统发生故障时文件的丢失。目前在许多软件中可以将文件设置为“只读”状态,在这种状态下,用户只能从计算机上读取信息,而不能对其做任何修改,在计算机外存储器中,只读光盘(CD-ROM)只能供使用者读出信息而不能追加或擦除信息,一次写入式光盘(WORM)可供使用者一次写入多次读出,可以追加记录但不能擦除原来的信息。这种不可逆式记录介质可以有效地防止用户更改电子文件内容,保持审计数据的原始性和真实性。此外,医院内部审计系统的有效管理,还要加强医院审计人员以及每个工作人员的风险意识,树立风险管理观念,风险管理是审计数据真实有效管理不可分割的组成部分,树立风险管理观念,有助于唤起风险意识,有效地提示所有参与生成,管理和使用医院网络系统的人避免风险事故,承担风险责任,逐步形成与审计管理规律相适应的管理观念,同时建立风险管理体系,明确风险应对重点,有助于使审计数据得到全方位、安全、有效的保护。
审计信息安全管理篇4
审计对象是信息安全活动的核心标识载体,是描述信息安全事件不可或缺的要素,根据信息安全活动的特点,将审计对象划分为人员、时间、地点、资源4个属性。人员人员是信息安全活动产生的源头,除了广义上的人员姓名、性别、年龄等基本信息外,还需延伸到其在信息安全活动中使用的账号、令牌、证书等个人标识信息。时间时间是信息安全活动的窗口,任何信息安全活动都会产生时间戳,可用以标识信息安全活动的开始、结束及其中间过程。地点地点是信息安全活动发生的位置,不仅包括传统意义上的地理位置信息,还包括网络空间中源IP、目的IP等位置信息。资源资源是信息安全活动所依赖的先决条件,包括计算机硬件、操作系统、工具软件等一切必要的资产。
1.2审计模式维度
审计模式是综合审计的具体运用,是综合审计模型的关键集成点,根据信息安全活动的具体类型和场景,将审计模式划分为运维操作、数据库应用、网络应用、终端应用4个属性。运维操作运维工作是支撑网络和信息系统稳定运行的重要前提,但运维人员掌握着系统的高级权限,由此带来的运维风险压力也越来越大,因此必须引入运维操作审计管理机制。运维操作审计的核心是加强对运维人员账号和权限的管控,即在集中运维模式下实现运维人员与目标系统的逻辑分离,构建“运维人员主账号(集中运维账号)授权从账号(目标系统账号)目标系统”的管理架构,并对具有唯一身份标识的集中运维账号设置相应的权限,在此架构下实现精细化运维操作审计管理[3]。数据库应用在大数据时代,数据库是最具有战略性的资产,其黄金价值不言而喻,数据一旦被非法窃取,将造成难以估量的损失。运维层面的数据库安全可通过运维操作审计来实现,数据库审计的核心应是加强业务应用对数据库访问合规性的管控,建立“业务系统SQL语句数据实例返回结果”的识别监听架构,将采集到的业务系统信息、目标实例对象、SQL操作动作等信息进行基于正常操作规则的模式匹配,并对应用层访问和数据库操作请求进行多层业务关联审计,实现业务系统对数据库访问的全追溯[4]。网络应用无论数据中心内的信息系统还是办公区内的办公终端都会产生大量的网络流量,加强对网络流量的识别和分析,是发现违规行为的重要途径。网络应用审计的核心是通过网络监听技术,建立“用户(业务系统)交互对象网络流量分类识别”的管理架构,对各类网络数据包进行协议分析,其重点是要对网站访问、邮件收发、文件传输、即时通信、论坛博客、在线视频、网络游戏等典型应用进行区分和记录,达到对用户及业务系统间双向网络应用的跟踪审计[5]。终端应用终端是信息安全的最后一道防线,同时也是最薄弱的一个环节,无论是服务器还是办公机,要么是应用的发起者要么是接受者,是信息安全事件的落脚点。终端应用审计的核心是通过扫描和监控收单,建立“主机安全基线+介质数据交换”的管控架构,对终端补丁安装、防病毒软件、文件下载、文档内容的安全基线进行记录审查,并对移动存储介质与外界发生的数据交换进行跟踪记录,实现对终端各类行为审计的全覆盖。
1.3审计管理维度
综合审计管理的目的是要实现对信息安全风险的全面治理,需包括事前规划预防,事中实时监控、违规行为阻断响应,事后追踪回溯、改进保护措施,根据综合审计管理事前、事中、事后三个阶段的特点,将控制、监控、响应、保护定义为该维度的4个属性。控制指按照权限最小化原则,采取措施对一切必要的信息资产访问权限进行严格控制,仅对合法用户按需求授权的管理规则。监测指对各类交互行为进行实时监控,以便及时发现信息安全事件的管理规则。响应指对监测过程中发现的违规行为进行及时阻断、及时处理的管理规则。保护指对监测到的各类交互行为进行记录回放、并积极采取改进保护措施的管理规则。
2信息安全综合审计治理闭环管理机制
在多维信息安全综合审计模型基础之上,按照全过程的管理思路,应以综合治理为目标导向,对存在的信息安全问题进行闭环管理,研究事前、事中、事后各环节的关联关系,形成相互补充、层层递进的闭环管理机制。
2.1事前阶段
制定统一的安全审计策略,以保证信息系统的可用性、完整性和保密性为核心,实现对用户身份和访问入口的集中管理,严格权限管理,坚持用户权限最小化原则,注重将用户身份信息与网络和信息系统中的各种应用与操作行为相结合,保证审计过程与审计结果的可靠性与有效性。
2.2事中阶段
实时监测运维操作、数据库应用、网络应用和终端应用产生的数据,通过规则及时发现违规信息安全事件,做到实时响应、实时处理,并通过多个维度将各种基础审计后的安全事件有机地整合起来,做到信息安全事件的全记录、全审计。
2.3事后阶段
对各类审计数据进行标准化处理及归档入库,为安全事件的准确追踪和回溯提供有力支持。同时,对信息安全事件进行深度分析,查找事件发生的深层次原因,执行有针对性的弥补措施,并更新信息安全审计策略,形成良性的管理机制。
3信息安全综合审计系统架构设计
3.1技术架构
信息安全综合审计系统面临的一大问题就是各业务系统与网络设备运行独立,信息集成和交互程度较低,服务器、交换机、办公终端都是独立的审计对象,均会产生大量的审计数据,但又缺乏集中统一的审计数据管理视角,构建对审计数据的统一处理能力应是综合审计体系建设的核心思路,信息安全综合审计体系有效运行的关键就在于对可审计数据的采集,以及对数据分析处理的能力。因此必须在多维信息安全综合审计模型框架下,建设“原始数据收集数据标准化处理审计事件分析事件响应与展现”的全过程处理过程,实现从采集到展现的一体化综合审计系统,包括数据采集、数据处理、事件分析和事件响应4大功能模块。数据采集对网络中的数据包、主机中的重要数据的操作行为、操作系统日志、安全设备日志、网络设备日志等原始数据进行收集;数据处理将采集到的原始数据进行标准化处理,将处理后的数据变为日志,存储到数据库中,并交付“事件分析”模块;事件分析对标准化处理后的事件进行分析、汇总,同时结合人员信息做出综合判断,有选择地将分析结果发送到“事件响应”单元,并进行存储与展现;事件响应对分析后的结果做出反应的单元,可以结合其他的安全措施对事件做出中断会话、改变文件属性、限制流量等操作。
3.2业务架构
审计信息安全管理篇5
随着网络与信息系统的广泛使用,网络与信息系统安全问题逐渐成为人们关注的焦点。
涉密网与因特网之间一般采取了物理隔离的安全措施,在一定程度上保证了内部网络的安全性。然而,网络安全管理人员仍然会对所管理网络的安全状况感到担忧,因为整个网络安全的薄弱环节往往出现在终端用户。网络安全存在着“木桶”效应,单个用户计算机的安全性不足时刻威胁着整个网络的安全[ 1 ] 。如何加强对终端用户计算机的安全管理成为一个急待解决的问题。
本文从系统的、整体的、动态的角度,参照国家对安全审计产品的技术要求和对部分主机审计软件的了解,结合实际的信息安全管理需求,讨论主机审计系统的设计,达到对终端用户的有效管理和控制。
2 安全审计概念。
计算机网络信息系统中信息的机密性、完整性、可控性、可用性和不可否认性,简称“五性”,安全审计是这“五性”的重要保障之一[2 ] 。
凡是对于网络信息系统的薄弱环节进行测试、评估和分析,以找到极佳途径在最大限度保障安全的基础上使得业务正常运行的一切行为和手段,都可以叫做安全审计[3 ] 。
传统的安全审计多为“日志记录”,注重事后的审计,强调审计的威慑作用和安全事件的可核查性。随着国家信息安全政策的改变,美国首先在信息保障技术框架( ia tf) 中提出在信息基础设置中进行所谓“深层防御策略(defense2in2dept h st rategy) ”,对安全审计系统提出了参与主动保护和主动响应的要求[4 ] 。这就是现代网络安全审计的雏形,突破了以往“日志记录”
等浅层次的安全审计概念,是全方位、分布式、多层次的强审计概念,符合信息保障技术框架提出的保护、检测、反应和恢复( pdrr) 动态过程的要求,在提高审计广度和深度的基础上,做到对信息的主动保护和主动响应。
3 主机审计系统设计。
安全审计从技术上分为网络审计、数据库审计、主机审计、应用审计和综合审计。主机审计就是获取、记录被审计主机的状态信息和敏感操作,并从已有的主机系统审计记录中提取信息,依据审计规则分析判断是否有违规行为。
一般网络系统的主机审计多采用传统的审计,涉密系统的主机审计应采用现代综合审计,做到对信息的主动保护和主动响应。因此,涉密网络的主机审计在设计时就应该全方位进行考虑。
3. 1 体系架构。
主机审计系统由控制中心、受控端、管理端等三部分组成。管理端和控制中心间为b/ s架构,管理端通过浏览器访问控制中心。对于管理端,其操作系统应不限于windows ,浏览器也不是只有ie。管理端地位重要,应有一定保护措施,同时管理端和控制中心的通讯应有安全保障,可考虑隔离措施和shttp 协议。
主机审计能够分不同的角色来使用,至少划分安全策略管理员、审计管理员、系统管理员。
安全策略管理员按照制定的监控审计策略进行实施;审计管理员负责定期审计收集的信息,根据策略判断用户行为(包括三个管理员的行为) 是否违规,出审计报告;系统管理员负责分配安全策略管理员和审计管理员的权限。三员的任何操作系统有相应记录,对系统的操作互相配合,同时互相监督,既方便管理,又保证整个监控体系和系统本身的安全。控制中心是审计系统的核心,所有信息都保存在控制中心。因此,控制中心的操作系统和数据库最好是国内自己研发的。控制中心的存储空间到一定限额时报警,提醒管理员及时备份并删除信息,保证审计系统能够采集新的信息。
3. 2 安全策略管理。
不同的安全策略得到的审计信息不同。安全策略与管理策略紧密挂钩,体现安全管理意志。在审计系统上实施安全策略前,应根据安全管理思想,结合审计系统能够实现的技术途径,制定详细的安全策略,由安全员按照安全策略具体实施。如安全策略可以分部门、分小组制定并执行。安全策略越完善,审计越彻底,越能反映主机的安全状态。
主机审计的安全策略由控制中心统一管理,策略发放采取推拉结合的方式,即由控制中心向受控端推送策略和受控端向控制中心拉策略的方式。当安全策略发生更改时,控制中心可以及时将策略发给受控端。但是,当受控端安装了防火墙时,推送方式将受阻,安全策略发送不到受控端。由受控端向控制中心定期拉策略,可以保证受控端和控制中心的通讯不会因为安装个人防火墙或其他认证保护措施而中断。联网主机(服务器、联网pc 机) 通过网络接收控制中心的管理策略向控制中心传递审计信息。单机(桌面pc 或笔记本) 通过外置磁介质(如u 盘、移动硬盘) 接收控制中心管理策略。审计信息存放在主机内,由管理员定期通过外置磁介质将审计信息传递给控制中心。所有通讯采用ssl 加密方式传输,确保数据在传输过程中不会被篡改或欺骗。
为了防止受控端脱离控制中心管理,受控端程序应由安全员统一安装在受控主机,并与受控主机的网卡地址、ip 地址绑定。该程序做到不可随意卸载,不能随意关闭审计服务,且不影响受控端的运行性能。受控端一旦安装受控程序,只有重装操作系统或由安全员卸载,才能脱离控制中心的管理。联网时自动将信息传到控制中心,以保证审计服务不会被绕过。
3. 3 审计主机范围。
涉密信息系统中的主机有联网主机、单机等。常用操作系统包括windows 98 ,windows2000 ,windows xp ,linux ,unix 等。主机审计系统的受控端支持装有不同操作系统的联网主机、单机等,实现使用同一软件解决联网机、单机、笔记本的审计问题。
根据国家有关规定,涉密信息系统划分为不同安全域。安全域可通过划分虚拟网实现,也可通过设置安全隔离设备(如防火墙) 实现。主机审计系统应考虑不同安全域中主机的管理和控制,即能够对不同网段的受控端和安装了防火墙的受控端进行控制并将信息收集到控制中心,以便统一进行审计。同时能给出简单网络拓扑,为管理人员提供方便。
3. 4 主机行为监控。
一般计算机使用人员对计算机软硬件尤其是信息安全知识了解不多,不清楚计算机的安全状态。主机审计系统的受控端软件应具有主机安全状态自检功能,主要用于检查终端的安全策略执行情况,包括补丁安装、弱口令、软件安装、杀毒软件安装等,形成检查报告,让使用人员对本机的安全状况有一个清楚的认识,从而有针对性地采取措施。自检功能可由使用人员自行开启或关闭。检查报告上传给控制中心。
主机审计系统对使用受控端主机人员的行为进行限制、监控和记录,包括对文档的修改、拷贝、打印的监控和记录,拨号上网行为的监控和记录,各种外置接口的禁止或启用(并口、串口、usb 接口等) ,对usb 设备进行分类管理,如usb 存储设备(u 盘,活动硬盘) 、usb 输入设备(usb 键盘、鼠标) 、usb2key以及自定义设备。通过分类和灵活设置,增强实用性,对受控主机添加和删除设备进行监控和记录,对未安装受控端的主机接入网络拒绝并报警,防止非法主机的接入。
主机审计系统对接入计算机的存储介质进行认证、控制和报警。做到经过认证的合法介质可以从主机拷贝信息;未通过认证的非法介质只能将信息拷入主机内,不能从主机拷出信息到介质内,否则产生报警信息,防止信息被有意或者无意从存储设备(尤其是移动存储设备) 泄漏出去。在认证时,把介质分类标识为非密、秘密、机密。当合法介质从主机拷贝信息时,判断信息密级(国家有关部门规定,涉密信息必须有密级标识) ,拒绝低密级介质拷贝高密级信息。
在认证时,把移动介质编号,编号与使用人员对应。移动介质接入主机操作时记录下移动介质编号,以便审计时介质与人对应。涉密信息被拷贝时会自动加密存储在移动介质上,加密存储在移动介质上的信息也只能在装有受控端的主机上读写,读写时自动解密。认证信息只有在移动介质被格式化时才能清除,否则无法删除。有防止系统自动读取介质内文档的功能,避免移动介质接在计算机上(无论是合法还是非法计算机) 被系统自动将所有文档读到计算机上。
3. 5 综合审计及处理措施。
要达到综合审计,主机审计系统需要通过标准接口对多种类型、多个品牌的安全产品进行管理,如主机ids、主机防火墙、防病毒软件等,将这些安全产品的日志、安全事件集中收集管理,实现日志的集中分析、审计与报告。同时,通过对安全事件的关联分析,发现潜在的攻击征兆和安全趋势,确保任何安全事件、事故得到及时的响应和处理。把主机上一个个原本分离的网络安全产品联结成一个有机协作的整体,实现主机安全管理过程实时状态监测、动态策略调整、综合安全审计、数据关联处理以及恰当及时的威胁响应,从而有效提升用户主机的可管理性和安全水平,为整体安全策略制定和实施提供可靠依据。
系统的安全隐患可以从审计报告反映出来,因此审计系统的审计报告是很重要的。审计报告应将收集到的所有信息综合审计,按要求显示并打印出来,能用图形说明问题,能按标准格式(word、html 、文本文件等) 输出。但是,审计信息数据多,直接将收集的信息分类整理形成的报告不能很好的说明问题,还应配合审计员的人工分析。这些信息可以由审计员定期从控制中心数据库备份恢复。备份的数据自动加密,恢复时自动解密。审计信息也可以删除,但是删除操作只能由审计员发起,经安全员确认后才执行,以保证审计信息的安全性、完整性。
审计系统发现问题的修复措施一般有打补丁、停止服务、升级或更换程序、去除特洛伊等后门程序、修改配置和权限、专门的解决方案等。为了保证所有主机都能得到有效地处理,通过控制中心统一向受控端发送软件升级包、软件补丁。发送时针对不同版本操作系统,由受控端自行选择是否自动执行。因为有些软件升级包、软件补丁与应用程序有冲突,会影响终端用户的工作。针对这种情况,只能采取专门的解决方案。
在复杂的网络环境中,一个涉密网往往由不同的操作系统、服务器,防火墙和入侵检测等众多的安全产品组成。网络一旦遭受攻击后,专业人员会把不同日志系统里的日志提取出来进行分析。不同系统的时间没有经过任何校准,会不必要地增加日志分析人员的工作量。系统应提供全网统一的时钟服务,将控制中心设置为标准时间,受控端在接收管理的同时,与控制中心保持时间同步,实现审计系统的时间一致性,从而提供有效的入侵检测和事后追查机制。
4 结束语
涉密系统的终端安全管理是一个非常重要的问题,也是一个复杂的问题,涉及到多方面的因素。本文从体系架构、安全策略管理、审计主机范围、主机行为监控、综合审计及处理措施等方面提出主机审计系统的设计思想,旨在与广大同行交流,共同推进主机审计系统的开发和研究,最终开发出一个全方位的符合涉密系统终端安全管理需求的系统。
参考文献:
[1 ] 网络安全监控平台技术白皮书。 北京理工大学信息安全与对抗技术研究中心,2005.
审计信息安全管理篇6
一、增强国有企业信息系统的可信性
审计机关的审计目标取决于法定要求。根据《中华人民共和国审计法》的规定,审计机关对国有企业财务收支的真实、合法、效益,依法进行审计监督。显然,真实性是国有企业审计的目标之一。信息系统审计是国有企业审计的重要组成部分。国有企业审计的总体目标,决定了国有企业信息系统审计的目标。国有企业审计的真实性目标,必然要求国有企业信息系统提供真实性的信息,这意味着,审计机关的国有企业信息系统审计必须把真实性作为审计目标之一。
根据相关法律的规定,注册会计师也可以对国有企业进行审计。根据我国公司法第165条的规定,“公司应当在每一会计年度终了时编制财务会计报告,并依法经会计师事务所审计。”而且,2008年10月通过的《中华人民共和国企业国有资产法》第六十七条明确规定,“履行出资人职责的机构根据需要,可以委托会计师事务所对国有独资企业、国有独资公司的年度财务会计报告进行审计,或者通过国有资本控股公司的股东会、股东大会决议,由国有资本控股公司聘请会计师事务所对公司的年度财务会计报告进行审计,维护出资人权益。”大家知道,依据注册会计师执业审计准则的规定,会计师事务所对企业财务报表审计的目的是“提高财务报表预期使用者对财务报表的信赖程度。”①这说明,注册会计师国有企业审计的目标是要求财务报表提供的信息具有可信性。注册会计师所审计的国有企业财务报表中的信息是由国有企业的信息系统产生形成的,因而必须对信息系统进行审计。注册会计师对国有企业财务报表审计的可信性目标,决定了注册会计师对国有企业信息系统审计的可信性目标。
同样的审计对象,不同的审计主体,导致了两种不同的国有企业信息系统审计目标。从上述分析不难发现,无论是审计机关还是注册会计师对国有企业进行审计,其中对企业信息系统的审计都是不可或缺的重要组成部分。根据审计法的规定,审计机关对国有企业信息系统审计的目标是真实性。而根据注册会计师执业审计准则,对国有企业信息系统审计的目标是可信性。那么,什么是真实性?什么是可信性?这两种目标之间有什么样的联系和区别?为什么说审计机关应当把增强国有企业信息系统可信性作为审计目标呢?
(一)真实性与可信性的基本涵义
我国审计法强调真实性,根据2010年9月颁布的中华人民共和国国家审计准则(以下简称国家审计准则)的规定,“真实性是指反映财政收支、财务收支以及有关经济活动的信息与实际情况相符合的程度。”那么,什么是真实性呢?真实性只是对财政财务收支及有关经济活动信息质量的最低要求。如果会计信息是真实的,但是不够完整或者披露不及时,仍然不能满足信息使用者的需要,甚至会导致错误的投资决策。事实上,就真实性本身而言,由于会计估计、核算方法等因素的影响,会计信息的真实性也只是相对的,而不是绝对的。所以,把真实性作为审计目标,具有一定的局限性。所谓可信性,从国际审计准则第200号(ISA200)可以看出,当编制的财务报表公允表达(presented fairly)或真实公允(true and fair)时,它才是可信性的。从字面上讲,公允(fair)或公平的要求,强调了财务报表各种使用者之间的利益平衡。从理论上讲,公允表达或真实公允的概念比真实性概念具有更多的内涵,涉及会计适当性、适当披露及审计责任等概念。在国际审计准则第200号(ISA200)中,公允表达是指财务报表是否在所有重大方面按照适用的财务报告框架编制,“公允”还意味着超出财务报告框架所要求披露范围的必要性,以及在极端情况下必须偏离财务报告框架的可能性。适用的财务报告框架,主要是指适用的会计法律法规、会计准则、会计制度等。大家知道,我国会计法强调“保证会计资料真实、完整”。根据会计法的要求,我国的财务报表不仅要具有真实性,而且还要具有完整性。总的来说,可信性并不否认真实性,真实性是可信性的必要前提之一,但真实的并不一定是可信的,可信性的内涵更加丰富,真实性是对财务信息质量的最低要求,可信性反映了对财务信息质量更高的要求。
(二)可信性目标反映了注册会计师审计发展的新阶段
一般认为,受社会需求变化、自身技术手段及审计风险等因素的影响,注册会计师审计目标的发展演变至今经历了四个阶段,即20世纪30年代之前的查错纠弊阶段、30年代中期至80年代验证会计报表真实公允阶段、80年代至90年代中期真实公允与查错纠弊并重阶段,及90年代后期以来的增强信息可信性阶段。虽然同为注册会计师审计的目标,然而从历史发展演变的角度看,真实性只是注册会计师审计的早期目标,当前注册会计师审计准则中的可信性目标反映了注册会计师审计的最新发展,是更高级发展阶段的目标。
(三)可信性目标比“真实公允”具有更加广泛的适用性
20世纪90年代后期,传统的财务报表审计成为更为广义的概念――“保证业务”(Assurance Service)的一个组成部分。我国注册会计师协会译为“鉴证业务”②。2004年国际会计师联合会了《国际保证业务框架》,2005年1月1日生效。2006年我国制定了《中国注册会计师鉴证业务基本准则》,2007年1月1日起施行。鉴证业务是指注册会计师对鉴证对象信息提出结论,以增强除责任方之外的预期使用者对鉴证对象信息信任程度的业务。鉴证对象与鉴证对象信息具有多种形式,主要包括:当鉴证对象为财务业绩或状况时(如历史或预测的财务状况、经营成果和现金流量),鉴证对象信息是财务报表;当鉴证对象为非财务业绩或状况时(如企业的运营情况),鉴证对象信息可能是反映效率或效果的关键指标;当鉴证对象为物理特征时(如设备的生产能力),鉴证对象信息可能是有关鉴证对象物理特征的说明文件;当鉴证对象为某种系统和过程时(如企业的内部控制或信息技术系统),鉴证对象信息可能是关于其有效性的认定;当鉴证对象为一种行为时(如遵守法律法规的情况),鉴证对象信息可能是对法律法规遵守情况或执行效果的声明。不难看出,传统的财务报表审计只是鉴证业务中的一种。鉴证标准随着鉴证对象的不同,也从财务报表审计中按照适用的财务报表编制框架,如编制财务报表所使用的会计准则和相关会计制度,扩展到单位内部制定的行为准则、绩效水平等方面。从其定义看,鉴证业务的目的在于增强除责任方之外的预期使用者对鉴证对象信息的信任程度。真实公允目标是针对财务报表审计的审计目标,可信性目标在概念外延上具有更加广泛的适用性。可信性目标不仅适用于对财务信息的可信性,而且还适用于非财务信息(绩效信息)的可信性。对财务报表来说,如果它是真实公允的,即在所有重大方面是按照适用的财务报表框架编制的,它就是可信性;对于其他鉴证信息来说,如果它是符合适用的鉴证标准,就是可信性的。企业内部的信息系统,现在已不仅仅是财务信息系统,还包括各种业务和管理信息系统。与此同时,为满足企业的业务需求,信息系统所提供的信息也不局限于财务信息,而且还包括许多非财务信息。所以,在国有企业信息系统审计中,把可信性作为国有企业信息系统审计的目标比真实性目标更加符合企业信息化发展的客观要求。
(四)可信性目标反映了审计理论的深化和发展
可信性不是一个孤立的术语,它是新审计理论(或一组新的相互联系的审计概念)中的一个关键性概念。随着注册会计师的业务从传统的财务报表审计发展到鉴证业务,传统的审计理论也得到了深化和发展。大家知道,审计三方关系是指审计人、被审计人、审计授权或委托人之间的关系。传统的受托责任论,即审计动因论,是建立在传统的审计三方关系之上的。然而,在我国现行的《注册会计师鉴证业务基本准则》中给出了一种新的审计三方关系,即注册会计师、责任方和预期使用者。在新的审计三方关系中,被审计人与审计授权或委托人之间责任关系的含义更加丰富,除传统的受托责任关系外还有其他种类不带委托性质的责任关系③。在新的审计三方关系中,预期使用者应包括企业所有的利益相关者,除了传统受托责任关系中的股东外,还应包括经营者、员工、顾客、供应商、债权人、潜在的投资者、监管层、竞争者等。聘请注册会计师的通常是预期使用者或其代表,但也可能是责任方。责任方、预期使用者和注册会计师三方之间的关系,可以看作是信息提供者、信息使用者和信息可信性的保证者之间的关系④。增强信息的可信性,实际上是减少了信息提供者与预期使用者之间的信息不对称,鉴于预期使用者的广泛性,在市场经济条件下,将有利于完善市场机制,提高市场资源配置效率,从而拓展了审计的社会功能。可信性不是一个空洞的概念,鉴证对象信息是否具有可信性,需要执行一定的业务程序。审计师在收集证据的基础上,依据一定的标准,检查责任方的鉴证对象信息在所有重大方面是否符合适当的标准后,才能为鉴证对象信息的可信性提供一定程度的保证,从而提供给预期使用者。鉴证业务的保证程度被细分为合理保证和有限保证,鉴证对象信息被划分为财务信息和非财务信息,其中财务信息被进一步细分为历史财务信息和预测性财务信息。可信性概念是这些新审计理论中的关键性概念之一,相比之下,真实性概念在新的审计理论中却没有相应的理论地位。
(五)可信性目标反映了国家审计的发展趋势
在世界审计组织(INTOSAI)的道德准则(Code of Ethics)中,强调了信赖(trust)、信任(confidence)、信誉(credibility)对于审计机关的至关重要性。在南非审计署1911至2011年百年纪念的纪念品和网站首页上有一句格言:“Auditing to build public confidence”,即“审计旨在建立公共信任”。我国审计署2011年7月15日印发的《审计署关于深化经济责任审计工作的指导意见》中提出,要确保经济责任审计结果的可信、可靠和可用。刘家义审计长提出,国家审计是国家治理的一个组成部分。孔子曰:“足食,足兵,民信之矣”,“民无信不立”,说明了信任、守信在国家治理中的重要性。我们知道,“诚信友爱”是构建社会主义和谐社会的基本要求之一。国家审计可以增强政府的公信力,增强整个社会的诚信。从国家治理的角度看,可信性目标比真实性目标更好地体现了国家审计在国家治理中的作用。
经过上述真实性和可信性两种审计目标含义的对比,不难发现,虽然真实性目标是国有企业审计的传统目标之一,但是可信性比真实性的涵义更为丰富,可信性目标中不但包含了真实性目标,而且可信性目标要求信息系统提供更高质量的信息。两种目标都对信息系统提供的信息质量提出了要求,国家审计对信息质量的要求不应低于注册会计师审计。因此,笔者认为,尽管现行的审计法规定了国有企业信息系统审计的真实性目标,但是,从理论上讲以及从未来发展趋势看,审计机关应当选择可信性作为国有企业信息系统审计的目标,即国有企业信息系统审计应当促进企业信息系统提供可信的信息。
二、促进国有企业信息系统的遵循性
最高审计机关国际组织(INTOSAI)在审计基本原则(ISSAI-100)中,把政府审计业务分为两大类,即合规审计(regularity audit)和绩效审计(performance audit),并制定了相应的审计执行指南,即财务审计执行指南(Implementation Guidelines on Financial Audit)、遵循审计执行指南(implementation guidelines on compliance audit)和绩效审计执行指南(Implementation Guidelines on Performance Audit)。在这个准则指南框架中,合规性审计包括了财务审计和遵循性审计。遵循性审计是指对公共部门实体的活动是否与相关法律法规及授权要求相一致的审计。在《国际审计准则第250号――财务报表审计中对法律法规的考虑》(ISA250)中,非遵循(non-compliance),是指被审计单位不履行法律法规责任或者违反法律法规的犯罪,故意地或者非故意地,与执行的法律或法规对立的行为。在COSO内部控制框架中,遵循性(compliance)作为内部控制的目标之一,是指符合适用的法律法规。由此看来,在上述准则指南中,遵循性,就是我国国家审计中的合法性。但是,在本文中,作为国有企业信息系统审计的目标之一,遵循性与合法性不同。
为满足业务需求,对信息系统提供的信息有一般性的要求,在IT治理框架COBIT4.1中,这些要求也被称之为信息标准(information criteria)。遵循性(compliance)作为其中的标准之一,是指“涉及业务流程与所需遵守的法律、法规及合同约定之间的符合程度的属性,即外部的强制要求和内部政策的遵循性。”⑤在本文中,遵循性作为国有企业信息系统审计的目标之一,采用COBIT4.1中遵循性的概念,即国有企业信息系统的设计、建设、运行和监控不仅要符合来自企业外部的强制性要求(合法性),而且还应符合国有企业内部制定的各种规定的要求。
我国审计机关对国有企业的财务收支的真实、合法和效益,依法进行审计监督。合法性是国有企业审计的审计目标之一。作为国有企业审计的重要内容,信息系统审计应当促进国有企业信息系统的合法性。那么,为什么我们要把国有企业内部制定的各种规定同时也纳入国有企业信息系统审计的目标呢?企业内部如何制定关于其信息系统的规定是企业自己的事情,似乎审计机关不应干预,但是,效益性也是国有企业审计的审计目标之一。当信息系统不符合国有企业某些内部规定的要求时就会影响到企业效益,这些内部规定,如内部控制、管理和治理等,也应纳入国有企业信息系统审计的遵循性目标范围。
三、改善国有企业信息系统的绩效性
绩效性目标是企业信息化不断发展的产物。我国企业信息化建设已经发展到了关注绩效性的阶段。绩效性目标也是IT管理和IT治理的重要内容。IT管理和IT治理的国际标准或良好实务,为开展信息系统绩效审计提供了审计标准。
(一)企业信息系统绩效性的概念
当企业信息化发展水平达到一定程度后,信息系统的绩效问题逐渐引起了人们的关注。在企业信息化的早期阶段,信息系统主要应用于企业的财务会计领域,这时人们对信息系统关注的焦点主要是信息系统的可信性和遵循性问题,相应的措施主要集中在内部控制方面,强调信息系统的一般控制和应用控制。随着企业信息化水平的不断提高,信息系统在企业中的应用范围逐渐从财务会计领域扩展到整个业务领域和管理领域,与此同时,信息系统的建设投入和运行成本显著提高。这时人们发现,大量的信息化投入并不一定能够带来预期的收益,而且还带来巨大的潜在风险,个别企业甚至因高投入造成利润下降或财务危机,有的企业因业务流程改造滞后,还会导致管理混乱。在这种情况下,人们对信息系统关注的焦点,逐渐从“投入”转向“产出”,从技术和内部控制问题转向管理和治理问题,在企业内部出现了专门的IT管理部门,IT管理和IT治理逐渐从企业的一般管理和治理中独立出来,而“绩效”是描述信息系统投入产出、管理和治理的核心概念。
信息系统的绩效性是指利用IT资源提供企业信息服务的经济性、效率性和效果性。为它的利益相关者提供价值是企业存在的基本前提。企业信息系统的目的在于利用IT资源,通过IT流程,提供企业信息服务,以满足业务需求。信息系统要实现的绩效目标必须与企业的业务需求或业务目标相一致。
(二)绩效性目标的可行性
从我国企业信息化发展阶段看,目前信息系统的绩效问题已经成为关注的焦点。2011年2月,工信部电子一所和用友软件股份有限公司联合了《2010年中国企业信息化指数调研报告》。该报告将中国企业的信息技术应用分为四个阶段,分别为基础应用阶段、关键应用阶段、扩展整合及优化升级应用阶段以及战略应用阶段,如图1所示。
该报告认为,目前我国企业信息化总体上处于由基础应用和关键应用向扩展整合与优化升级过渡阶段。报告的主要结论之一是,2010年“信息技术应用范围的变化主要体现在应用广度和深度两方面,企业基本完成了信息技术在各业务领域的应用覆盖,已逐渐开始深度关注企业业务发展需求,着力提升信息技术的应用价值。”提高信息系统的绩效,也已经成为我国企业信息化深度发展的方向。把绩效性作为国有企业信息系统审计的目标,符合我国企业信息化发展的现状,在现实中具有可行性。
(三)绩效性是IT管理和IT治理的重要内容
IT管理目的在于如何降低成本,以更好的弹性及更快的响应速度,向组织内外部顾客提供高质量的IT服务,提供顾客的满意度。IT管理的目标就是要追求信息系统的绩效性,即经济性、效率性和效果性。
信息系统的绩效性也是IT治理追求的目标之一。在IT治理国际标准ISO/IEC38500(组织的信息技术治理)中规定了“绩效”原则,即IT应适合于支持组织的目的并提供服务,服务等级和服务质量应满足当前和将来的业务要求。IT治理框架COBIT4.1有四个基本特征:以业务为中心、以流程为导向、以控制为基础、以绩效测评为驱动。在该框架中,绩效测评是IT治理的关键,并且指出,“多项调研已经表明,IT成本、价值和风险管理缺乏透明是驱动IT治理最重要的一个因素。相对于其他关注的领域,提高透明度主要通过绩效测评来实现。”⑥
(四)绩效审计的参照标准
IT管理和IT治理从企业管理和治理中独立出来,为开展单独立项的信息系统绩效审计创造了条件。就像企业审计要关注被审计单位的管理和治理那样,企业信息系统审计要关注被审计单位的IT管理和IT治理情况。IT管理和IT治理的国际标准或良好实务,则为开展信息系统绩效审计提供了审计标准,也可以作为向被审计单位提出改进建议的参照标准。常见的IT管理和IT治理国际标准有:ISO/1EC20000(信息技术――服务管理)、ITIL(信息技术基础库)、ISO/IEC38500(组织的信息技术治理)、COBIT4.1(信息及其相关技术控制目标)等。
四、维护国有企业信息系统的安全性
维护国有企业信息系统的安全,对于维护国家经济安全至关重要。随着信息技术的发展和应用,人们对信息系统安全性的认识也不断深化。正确理解信息安全的涵义,对于开展信息系统安全性审计具有重要的意义。
(一)安全性目标的重要性
根据1994年我国颁布的《中华人民共和国计算机信息系统安全保护条例》,维护计算机信息系统的安全性,就是要保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行⑦。从这里可以看出,信息系统的安全包括:信息本身的安全、系统设施设备的安全和系统运行环境的安全三个层面。就三个层面的关系而言,信息是核心,系统设施设备及其运行环境是保障,信息本身的安全是目的,系统设施设备的安全及其运行环境的安全是手段。
国有企业信息系统安全是国家信息安全和经济安全的重要组成部分。为了保护中央企业信息系统的安全稳定运行,2010年12月,公安部和国务院国有资产监督管理委员会联合颁布了《关于进一步推进中央企业信息安全等级保护工作的通知》。据统计,截至2010年5月,已有89.6%的中央企业开展了信息安全等级保护工作,中央企业总计建成投入使用的信息系统有16 092个,已定级14 539个,占比90.3%;应向公安机关备案的系统(二级及以上)有11 370个,已备案8 113个,占应备案系统的71.4%;列入2010年定级计划的有1 598个。中央企业在公安机关备案的信息系统总数约占全国信息系统备案总数的21%,第三、四级重要系统约占全国重要信息系统备案总数的30%⑧。这些数据表明,国有企业信息系统已成为国家信息安全的重要组成部分。《中华人民共和国企业国有资产法》第七条规定,“国家采取措施,推动国有资本向关系国民经济命脉和国家安全的重要行业和关键领域集中,优化国有经济布局和结构,推进国有企业的改革和发展,提高国有经济的整体素质,增强国有经济的控制力、影响力。”由于国有企业集中在国民经济命脉和国家安全的重要行业和关键领域,如电信、电力、石油、石化等重要行业,其重要信息系统已成为国家关键基础设施,是国民经济命脉之命脉,保护国有企业信息系统的安全稳定运行,对于维护国家经济安全和社会稳定具有重要的意义。
(二)信息安全概念的演变
根据我国计算机信息系统安全保护条例中的定义,计算机信息系统的安全性,包括信息本身的安全、系统设施设备的安全和支撑环境的安全。其中,信息本身的安全,即信息安全,是信息系统安全的核心和目的。那么,究竟什么是信息安全呢?
人们对信息系统安全性的认识经历了一个不断深化的发展过程。20世纪80年代美国国防部制定的《可信计算机系统评估准则TCSEC》把保密性当作信息安全的重点。20世纪90年代初由英、法、德、荷四国制定的《信息技术安全评估准则ITSEC》开始把完整性、可用性与保密性作为同等重要的因素。自此,信息安全的概念,即信息的保密性、完整性和可用性,逐渐被普遍接受。在2002年的国际标准ISO/IEC17799:2000《信息技术――信息安全管理业务规范》中明确规定,信息安全,是指保护:“保密性(confidentiality),即确保信息只能够由获得授权的人访问;完整性(integrity),即保护信息的正确性和完整性以及信息处理方法;可用性(availability),即保证经授权的用户可以访问到信息,如果需要的话,还能够访问相关资产。”然而,在2005年的该国际标准修订版即ISO/IEC17799:2005中,信息安全的定义,包括了七种安全特性:信息的保密性(confidentiality)、完整性(integrity)、可用性(availability)及其他属性,如真实性(authenticity)、责任性(accountability)、不可抵赖性(non-repudiation)、可靠性(reliability)等,而且,这种修订后的信息安全定义,被2007年的国际标准ISO/IEC27001(《信息安全管理体系――规范与使用指南》)引用。在学术界,有人认为,信息安全的特性还应进一步包括可控性(controllability)、可预测性(predictability)、可审计性(auditability)、遵循性(compliance)等。
随着信息技术的发展与应用,信息安全的内涵越来越丰富,从最初的信息保密性发展到保密性、完整性和可用性,进而又发展到相关的真实性、责任性、抗抵赖性、可靠性等。相应地,对企业信息安全的考虑,也从最初关注企业信息安全技术层面,发展到关注企业信息安全控制、管理和治理等层面。
(三)正确理解信息安全涵义需要注意的几个问题
1.信息安全与信息保密不同。从信息安全概念的涵义可以看出,信息保密与信息安全是两个不同的概念,信息安全比信息保密的涵义更加丰富。尽管我国新修订的保密法对信息系统的保密问题作出了规定,但是保密法不能代替信息安全法。目前,我国对信息安全的立法仍然比较滞后,尚无专门的信息安全法。信息安全法是国家信息安全保障体系不可或缺的组成部分。
2.微观信息安全与宏观信息安全的联系。企业信息系统的安全离不开系统运行环境的支撑,系统环境包括物理环境和社会环境。从社会环境看,主要是指有关信息安全法律法规、安全意识、人才培养等。这就是说,微观层面单个组织的信息系统安全,还离不开宏观层面国家信息安全保障体系的构建。与此同时,微观层面的信息安全是基础,没有微观层面的信息安全,也就没有宏观层面的信息安全。
3.授权管理的重要性。信息安全的概念有三个核心涵义:保密性、完整性和可用性。这三个核心涵义都涉及一个共同的要素,即“授权”。保密性意味着只有获得授权才能访问;完整性意味着没有授权不得对信息进行删除或修改;可用性意味着拥有授权者随时可以使用。这表明,授权管理是信息安全管理的一项关键内容。信息系统是一种人机系统,授权管理主要涉及对人员行为的安全管理。
4.安全性目标与遵循性、绩效性、可信性目标的联系。从信息安全的涵义可以看出,信息系统的安全性目标不同于其遵循性、绩效性和可信性目标,但是,安全性与它们之间又是相互联系的。首先,安全性必须满足遵循性的要求,信息系统的设计、运行、使用和管理可能要置于法律规定的和合同约定的安全要求的约束之下,特别是各种信息安全法律法规、保密法,以及知识产权、个人隐私权方面的法律法规;其次,信息安全没有绝对的安全,所有的信息安全都是风险可接受条件下的安全,高水平的安全保护需要大量的投入成本,因而需要在成本、收益、风险和安全之间进行权衡,即安全性与绩效性的联系;最后,在信息安全技术层面,可信计算技术是信息安全技术的一个重要研究领域,从而表明安全性与可信性之间也有内在的联系。
笔者认为,目前国际上制定的有关信息安全等级评估、信息安全风险评估、信息安全管理体系等方面的国际标准,无论是在理论概念还是在操作实务方面,对于我国审计机关开展信息系统审计都具有重要的借鉴价值。这些国际标准或良好实务可以作为审计的参照标准,同时也可以作为审计机关向被审计单位提出改进信息系统安全性建议的依据。同时,在对国有企业信息系统的安全性进行审计时,还要立足我国实际,由于我国国有企业信息系统是国民经济命脉之命脉,事关国家经济安全和社会稳定,在重视企业本身信息系统安全的同时,还应当从宏观上揭示国有企业信息系统的安全风险,维护国家经济安全。
审计信息安全管理篇7
信息系统审计师,也称IT审计师或IS审计师,是指一批专家级人士,既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全,又熟悉管理的核心要义,能够利用规范和先进的审计技术,对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。IT审计师是由“国际信息系统审计与控制协会(ISACA)”认证的。ISACA是国际上惟一的信息系统审计师专业组织。会员被称为信息系统审计师,也就是我们通常所说的IT审计师,其主要从事的工作包括:向客户提供与信息系统相关的服务,在财务审计中对被审计单位的信息系统的了解、测试和评价以及计算机辅助审计技术的运用等方面。一般的IT审计师都具备全面的计算机软硬件知识,对网络和系统安全有独特的敏感性,并且对财会和单位内部控制有深刻的理解。
随着计算机技术在管理中的广泛运用,传统的控制、管理、检查和审计技术都受到巨大的挑战,国际公司、专业咨询公司和高级管理顾问都将控制风险,特别是控制计算机环境风险和信息系统运行风险作为管理咨询和服务的重点。几乎所有的大型跨国公司,由于普遍使用大型管理信息系统,都非常重视对信息系统安全性和稳定性的控制。这就常常需要高薪聘请国际信息系统审计师(简称IT审计师)进行内部审计。因此,IT审计师已经成为全球范围最抢手的高级人才之一。
二、IT审计师的出现迎合了计算机审计的发展
计算机审计的发展一般要经过绕过计算机审计,穿过、利用计算机审计,网络审计三个阶段。其中前两个阶段属于计算机桌面审计系统。绕过计算机审计是指将计算机处理系统看作是一个“黑箱”。根据被审对象对计算机数据处理系统输入的原始数据,通过手工操作,将处理结果于计算机处理系统的输出进行对比,检查其是否一致,属于计算机审计的初级阶段。穿过计算机审计是对计算机数据处理系统进行审计,包括系统目的与功能需求是否达到,系统与系统设计是否先进、和实用,程序设计是否正确可靠,内部控制是否健全、可靠,管理制度是否严密、有效,文件资料是否齐全、完整等。利用计算机审计是为实施审计专门开发计算机程序,检验被审单位电子计算机程序的可靠性。网络审计是指综合运用计算机网络及其相关技术手段对网络经济及网络系统进行审查的新型审计,是计算机桌面审计系统发展的高级阶段。
随着目前电子商务等网络经济的发展和完善,网络审计势在必行。网络审计的模式,从审计的客体角度方面,是建立在网络基础上,对被审单位一定时期内全部或部分经济活动,特别是正在发展中的电子商务、电子、网络财务、网络会计等进行审计的计算机系统。它包括两个方面:其一是对被审系统开发过程进行审计;其二是对被审系统运行过程及其结果进行审计。目前计算机审计的发展大多还处在只是对被审系统运行结果进行审计,或进一步对被审系统运行过程进行审计,这样的审计是建立在假定被审系统安全、可靠基础上的。而实际上这种假定是否合理,是应当予以验证的,这种验证也就是要对被审系统的安全性、稳定性、有效性进行审计、检查、评价和提出改造建议。而这也正是IT审计师的主要工作,并且这部分工作也是一直上溯到被审系统开发过程的。因此,IT审计师的出现正好迎合了网络审计模式的需要。IT审计师虽然主要源于信息系统安全而产生,其主要工作也含有较高的计算机技术因素,但就发展来看,IT审计师的出现迎合了计算机审机的发展趋势,昭示着计算机审计不久将随着电子商务、网络财务等的全面展开而逐步发展到网络审计阶段,未来的IT审计师们也将成为网络审计的“主力军”。从这个角度上讲,IT审计师也是计算机审计发展的必然产物。
三、IT审计师在网络审计的重要作用
计算机审计发展到网络审计后,计算机审计的主要将包括网络安全技术与内部控制系统的审计、系统开发审计、程序审计、数据文件审计等四个部分。通过分析可以发现,这四个部分的内容,不同程度地与IT审计师相关联,IT审计师在其中将起重要的作用。
(一)网络安全技术与内部控制系统的审计
从Internet诞生起,信息和网络的安全性就成为关注的一个焦点。在Internet发展的每一个阶段,安全问题也都是基础性的、关键性的因素。对于网络审计,其首先遇到的也是网络的安全性测试问题。与安全性相应的还有网络系统的内部控制的测试问题,网络系统的内部控制包括一般控制和应用控制两个方面。一般控制包括组织控制、软件开发、硬件和系统软件控制、系统安全控制、维护控制和文档控制等方面的审查与测试。应用控制包括输入控制、处理控制、输出控制。IT审计师的主要工作就是利用标准、规范和先进的审计技术,对信息系统的安全性、稳定性和有效性进行测试、检查、评价和改造。IT审计师首先关注信息系统的安全性,没有安全就没有一切,IT审计师会采用各种来测试系统的安全性,并对来自内部和外部的安全隐患提出相应对策;IT审计师还要审查信息系统的稳定性,没有长期稳定性,信息系统就无法承担起激烈竞争的压力,IT审计师会提出一系列对策保证客户信息系统的万无一失;IT审计师还要鉴别信息系统的有效性,最安全和最稳定的系统不一定是最有效的系统,而效率不高的系统就会消耗大量的资源,一般情况下,一说到信息系统建设,大家都觉得是工程师或程序员的事,事实上,这是非常错误的观点。一个好的系统,在安全和稳定的前提下,必须最大程度符合企业经营流程的特点,经济、有效地解决问题和提供信息。要做到这一点,信息系统开发和维护过程中,就必须有大量的经营管理人员参与, 设计出最优的信息流转路径。如果不重视信息系统的有效性,其危害同样是巨大的。一方面由于其繁琐和复杂,导致内部业务人员不会用、不想用或使用不当;另一方面使用过程中的差错又会导致稳定性和安全性方面的问题。显然,要对信息系统的安全、稳定和有效进行监控,就不单纯是某类技术人员能够完成的任务,经过专业训练,经验丰富的信息系统审计师将在这一领域发挥重要的作用。信息系统审计师的突出特点就是兼通技术和管理,能够利用规范的审计手段,比较客观和冷静地分析、评价企业现有信息系统的运行,并从专业的角度提出建议。
通过以上分析我们看到,IT审计师的工作中实际上已经包含了网络安全技术与内部控制审计的内容。进一步从IT审计师的服务对象分析,IT审计师主要是为以下几类对象服务:
软件供应商。特别是经济管理类的集成软件供应商,需要信息系统审计师参与产品设计、规划和检测,并对客户现有信息系统进行评价,提出改造设想。全球所有重要的ERP和CRM产品供应商都聘请大量信息系统审计师。
管理咨询机构。20世纪90年代以后,管理咨询的重点已经逐步为提供一揽子解决方案,其中信息系统的配置,就是解决方案成功的基础。国际知名的管理咨询机构中,有50%以上的员工熟悉信息技术,其中20%拥有信息系统审计师资格。
师审计师事务所,是信息系统审计师最早的落脚点,“五大”国际会计公司超过30%的收入来自于风险管理部门。这个部门的最主要工作就是监控客户的信息系统风险和运营风险,同时为客户提供ERP或CRM的安装、维护和培训。会计师审计师事务所中传统财务报表审计也越来越离不开信息系统审计师的贡献。没有他们的工作,评估内部控制风险和固有风险将成为一句空话。人们常常看到,“五大”会计公司里,最年轻的合伙人或经理,往往都是信息系统审计师,因为这是一项年轻人的工作。
跨国公司。作为信息系统最集中的用户,跨国公司急需大量信息系统审计师,一方面参与信息化建设的过程,另一方面时刻保持对分支机构的信息监控。还有一种最新迹象表明,跨国公司内部审计部门也在大量招聘信息系统审计师,以加强内部的监督和牵制。
大型国有企业和上市公司。这些机构往往有雄厚的财力来实现管理的信息化、保证生产经营的稳定性,他们对信息系统审计师的要求和跨国公司类似。
(二)系统开发审计
系统开发过程一般分为:系统初步调查和可行性、系统详细调查和系统、系统总体设计、系统详细设计、程序编制、程序调试、系统调试、系统转换、平行操作试验、系统评审、系统维护和评价等过程。系统开发审计是事前审计,实际上是审计人员参与系统的全过程。主要监督审查下列:(1)系统的功能是否恰当、完备,能否满足用户商务活动的需要;(2)系统的数据流程、处理是否符合有关商贸法规;(3)系统是否建立了恰当的程序控制,以防止或发现无意的差错或有意的舞弊;(4)系统是否保留充分的审计线索,保证了商务系统的可审性;(5)系统的安全保密措施和管理制度是否健全,能否保证系统安全可靠地运行;(6)系统的文档资料是否全面、完整。这部分和IT审计师的工作内容实际也是相适应的。因为IT审计师正是参与一个系统分析、设计和调试运行全过程的“保健医生”,并且IT审计师最关注系统的安全、稳定、有效。
(三)程序审计和数据文件审计
应用程序是信息系统的核心,其是否遵守国家财经法规和政策,对业务的处理是否合规、合法、正确等,均体现于应用程序。可以手工对应用程序直接进行审查,也可以使用机辅助方法,也可以通过数据在程序上的运行间接测试。电算化会计信息系统中,实质性测试的对象是数据文件。对数据库或数据文件的审计主要目的是为确保数据的完整性与正确性等。对数据文件的实质性测试包括:对各账户余额和发生额直接进行检查;对会计数据进行分析性复核,旨在对数据文件进行实质性测试;测试一般控制措施或应用控制的符合性。可以使用不处理数据文件的实质性测试方法、处理实际数据文件的实质性测试方法及处理虚拟数据文件的实质性测试方法。这两部分内容没有IT审计师的技术支持,一般审计人员也难胜其任。
四、结论
由上可知,审计业务发展至今,传统财务审计工作只是审计中一个特别小的组成部分。审计师最重要工作之一,是发现被审计单位最重大的风险隐患,在认定其持续经营的基础上,再对财务报表的真实、公允性发表审计意见。如果审计师认为被审计单位的信息系统是业务运转的平台,是风险高发区,那么对信息系统的安全、稳定和有效的评价就成为审计的基础和重点。当然,对信息系统的审计和对财务事项的审计,手段有所不同,但基本的程序和原理都是一样的。同时计算机审计的主要内容均和IT审计师有重要关联,IT审计师是开展计算机审计工作的重要推动力量。因此,我们在培养高级审计人才时,应注重IT审计师知识结构,在数学体系上增设以下内容:信息系统审计程序;信息系统的管理计划和组织;技术基础和操作实务;信息资产的保护;灾难恢复和业务持续计划;业务应用系统的开发、取得、实施和维护;业务过程的评价和风险管理等。
参考:
审计信息安全管理篇8
2.部门业务系统难以适应信息安全审计需要。基层央行所使用的业务系统几乎都没有预置审计接口和审计用户,连简单的数据查询都需要通过被审计对象提取,同时由于信息量大,再加上内审部门缺乏相应的技术审计手段与审计力量,用有限的人工方法查找海量的电子化信息,不仅效率低,而且要想筛选出有价值的线索如同“大海捞针”。
3.信息安全审计技术落后。央行内部审计在信息安全审计方面除合规性审计外,还对信息系统、网络安全、机房环境开展风险导向性的事前审计,但由于基层央行现有审计技术的局限性,大多数内审人员对信息安全管理知识了解较少,开展审计时边学边审,导致审计证据较难获取,难以充分发挥信息系统审计的真正作用,大大影响了审计效果。另外,由于内审部门和人员不能及时介入系统的研发、推广、培训,导致对系统了解较少,再加上大部分系统都由总行开发,基层央行难以独立开展高质量的信息系统审计项目,从而制约了信息安全审计开展的深度和广度。
4.信息安全审计力量薄弱。目前基层央行审计人员数量和知识结构远远不能满足信息安全审计的要求,能熟练掌握计算机专业知识及业务知识的人员偏少,仅停留在简单的机械式的运用层面,更深层次的数据筛选、数据分析、函数计算、数据统计和图形分析应用不多,大多内审人员对信息安全审计的特点、方法和存在的风险缺乏深入了解和掌握,无法有效地开展相关审计工作。
二、加强基层央行信息安全审计的对策
1.建立央行信息系统审计标准与规范。结合央行实际,确立央行信息系统审计标准与规范,进一步明确信息安全审计的技术角色,强化信息系统审计的技术特色。同时,推广先进的审计技术,建立科学的信息安全审计模式。
2.提高计算机辅助审计软件的实用性、针对性。一是各业务部门在业务系统建设开发中要针对不同的审计需求,预留审计访问接口,注意把握好数据转出分析模块的设计思路,使审计中获取的电子数据可以作为审计证据使用,以降低审计风险。二是内审部门要介入业务处理系统开发、应用及相关制约机制设立的全过程,对系统业务处理的合法合规性、安全可靠性、可维护性、可审计性及制约机制的完善性进行分析、评价,尽可能地提高系统效率,降低风险。
3.强化科技管理。一是以针对性和时效性、便于操作为出发点,建立健全各项科技管理制度,做到有章可循。二是重视科技实体建设,科学合理投入资金,保证硬件设施安全。三是加强科技力量,充实科技人员,将科技管理与维护岗位分离,实现岗位互相约束、监督,强化信息安全检查、系统风险评估等工作。四是加大信息安全培训力度。通过组织开展岗位业务技能训练和业务达标活动,提升全员的整体科技素质、计算机安全意识和业务技术操作水平,逐步消除对科技人员的过分依赖。
4.改变传统审计方法。由上级行集中研发、业务及审计部门力量,统一制定资源管理、软件程序、数据完整性及系统维护等审计模型,开发信息安全审计系统,对网络安全、运行环境审计等各类风险因素进行评估,量化确定各类风险的大小,提高审计效率。
5.培养信息安全审计专业人才。一是整合人力资源,将审计业务、央行业务和计算机专业知识娴熟的复合型人才充实到内审队伍,调整知识和专业结构。二是加大对现有审计人员信息技术的培训力度,利用互联网的便利性实施网上培训,辅之以岗位练兵、以查代训、自学等方式,让内审人员及时掌握央行各类信息系统发展的趋势和信息风险的一般规律,使信息技术真正成为基层央行实施业务监督和风险控制的有力工具。三是做好现有审计系统的普及工作,使内审人员人人会操作,个个会应用,提高内审工作效率。
审计信息安全管理篇9
第27卷第3期2012年5月审计与经济研究JOURNAL OF AUDIT & ECONOMICSVol.27, No. 3May, 2012
[摘要]在分析中观信息系统风险与损失的成因基础上,借鉴BS7799标准,一方面从物理层次与逻辑层次两个方面研究中观信息系统固有风险的评价模式;另一方面从一般控制与应用控制两个层面探索中观信息系统内部控制的评价机制。基于BS7799标准对中观信息系统审计进行研究,旨在为IT审计师有效实施中观信息系统审计提供应用指南。
[关键词]BS7799标准;中观审计;信息系统审计;内部控制;中观信息系统;中观信息系统风险
[中图分类号]F239.4[文献标识码]A[文章编号]10044833(2012)03005007
所谓中观信息系统审计就是指审计主体依据特定的规范,运用科学系统的程序方法,对中观信息系统网络的运行规程与应用政策实施的一种监督活动,旨在增强中观经济主体特定信息网络的有效性、安全性、机密性与一致性,以保障中观信息系统的高效运行[1]。中观信息系统的审计主体即IT审计师需要重视中观信息系统审计的复杂性,且有必要借助BS7799标准,构建并完善中观信息系统审计的实施流程,优化中观信息系统审计工作,提高审计质量。之所以需要借助BS7799标准,是因为BS7799标准的众多功能可以满足中观信息系统审计工作的需求。在尚未有详细信息系统审计(以下简称“IS审计”)规范的条件下,中观信息系统审计对信息安全管理策略的需求巨大,而BS7799标准恰恰是问世较早且相对成熟的信息安全管理标准,它能够确保在计算机网络系统进行自动通信、信息处理和利用时,在各个物理位置、逻辑区域、存储和传媒介质中,较好地实现保密性、完整性、有效性与可用性,能够在信息管理与计算机科学两个层面加强信息安全管理向中观信息系统审计的理论转化,中观信息系统审计的需求与BS7799标准的功能具备整合的可行性。
一、 BS7799标准
1995年,英国贸工部制定了世界首部信息安全管理体系标准“BS77991:1995《信息安全管理实施规则》”,并作为各类组织实施信息安全管理的指南[2],由于该标准采用建议和指导的方式编写,因而不作为认证标准使用;1998年,英国又制定了信息安全管理体系认证标准“BS77992:1998《信息安全管理体系规范》”,作为对组织信息安全管理体系进行评审认证的标准[3];1999年,英国再次对信息安全管理体系标准进行了修订,形成“BS77991:1999”与“BS77992:1999”这一对配套标准;2000年12月,“BS77991:1999”被ISO/IEC正式采纳为国际标准“ISO/IEC17799:2000《信息技术:信息安全管理实施规则》”,此外,“BS77992:1999”也于2002年底被ISO/IEC作为蓝本修订,成为可用于认证的“ISO/IEC《信息安全管理体系规范》”;2005年,BS77991与BS77992再次改版,使得体系更为完善。BS7799标准体系包含10个管理要项、36个管理目标、127个控制目标及500多个管理要点。管理要项如今已成为组织实施信息安全管理的实用指南;安全控制目标能够帮助组织识别运作过程中影响信息安全的因素。BS77991几乎涵盖了所有的安全议题,它主要告诉IT审计师安全管理的注意事项与安全制度。BS77992详细说明了建立、实施和维护信息安全管理的要求,指出组织在实施过程中需要遵循的风险评估等级,从而识别最应该控制的对象并对自身需求进行适当控制。BS77991为信息系统提供了通用的控制措施,BS77992则为BS77991的具体实施提供了应用指南。
国外相对成熟的信息安全管理理论较多,它们各有千秋,彼此之间相互补充且有交叉。BS7799标准仅是众多信息安全管理理论中的一种,与传统审计方法相比,仅适用于IS审计范畴。然而,BS7799标准的特别之处表现在:其一,它是一部通用的信息安全管理指南,呈现了较为全面的系统安全控制措施,阐述了安全策略和优秀的、具有普遍意义的安全操作方法,能够为IT审计师开展审计工作提供全程支持;其二,它遵循“计划-行动-控制-改善方案”的风险管理思想,首先帮助IT审计师规划信息安全审计的方针和范围,其次在审计风险评估的基础上选择适当的审计方法及风险控制策略并予以实施,制定持续性管理规划,建立并运行科学的中观信息系统审计执行体系。
二、 中观信息系统的风险与损失
中观信息系统风险是指成功利用中观信息系统的脆弱性或漏洞,并造成系统损害的可能性。中观信息系统风险极其庞杂且非常普遍,每个中观信息系统面临的风险都是不同的,这种风险可能是单一的,也可能是组合的[4]。中观信息系统风险包括:人员风险、组织风险、物理环境风险、信息机密性风险、信息完整性风险、系统风险、通信操作风险、设施风险、业务连续性风险、法律风险及黏合风险(见图1),它们共同构成了中观信息系统的风险体系,各种风险除具有各自的特性外,有时还可能相互作用。
中观信息系统风险的成因离不开外来威胁与系统自身的脆弱性,且风险的最终后果就是损失。图1中的“a.威胁性”是系统的“风险源”,它是由于未授权访问、毁坏、数据修改以及拒绝服务等给系统造成潜在危害的任何事件。中观信息系统的威胁来自于人为因素及非人为因素两个方面。人为因素是对中观信息系统造成威胁的决定性力量,人为因素造成威胁的主体有竞争对手、网络黑客、不满员工或正常员工。图1中的“b.脆弱性”是指在系统安全程序、管理控制、物理设计中存在的、可能被攻击者利用来获得未授权信息或破坏关键处理的弱点,由物理环境、技术问题、管理问题、法律问题四个方面组成。图1中的“d.风险承受力”是指在中观信息系统遭遇风险或受到攻击时,维持业务运行最基本的服务和保护信息资产的抵抗力、识别力、恢复力和自适应能力。
中观信息系统风险的产生有两种方式:一是遵循“abc”路径,这条路径形成的风险为中观信息系统“固有风险”,即假定中观信息系统中不存在内部控制制度,从而造成系统存在严重错误与不法行为的可能性。该路径的作用形式为人为因素或非人为因素是风险源,对中观信息系统构成威胁,该威胁产生后寻找并利用系统的脆弱点(假定中观信息系统对该脆弱点没有设计内控制度),当威胁成功作用于脆弱点后,就对系统进行有效攻击,进而产生中观信息系统风险。二是遵循“abPc”路径,该路径所形成的风险为中观信息系统的“控制风险”,即内部控制制度体系未能及时预防或发现系统中的某些错误或不法行为,以致中观信息系统遭受损失的可能性。与“abc”路径比较,该路径多出“P.内部控制”过程,这说明当威胁已产生并将利用系统的脆弱点时,中观经济主体已经对该脆弱点设计了内控制度体系,但是由于内部控制制度设计的不科学、不完善或没有得到有效执行,从而造成内部控制未能阻止“威胁”,致使中观信息系统形成风险。中观信息系统损失的形成遵循“cde”路径。然而,由于中观信息系统自身具有一定的风险防御能力(即“d.风险承受力”),因而并非所有风险都将造成损失。当中观信息系统识别并抵抗部分风险后,最终未能消除的风险通过对系统的负面作用,会给中观信息系统造成间接或直接的损失。
三、 中观信息系统固有风险的评价模式
图1中的“abc”路径是中观信息系统固有风险产生的路径,固有风险形成的条件是“假定不存在内部控制制度”。评价固有风险是中观信息系统审计准备阶段的一项基础工作,只有正确评价固有风险,才能合理评估审计风险,准确确定审计范围并制定审计计划[56]。笔者认为,BS7799标准之所以能够有效评价中观信息系统的固有风险,是因为BS7799标准的管理要项、管理目标,控制措施与管理要点组成了信息安全管理体系,这个体系为IT审计师确定与评价系统固有风险提供了指南[7]。BS7799标准对IT审计师评价固有风险的贡献见上表1。
(一) 物理层次的风险评价
物理层次的内容包括物理环境安全与物理环境设备[7],其中,物理环境安全包括硬件接触控制、预防灾难措施和网络环境安全;物理环境设备包括支持设施、硬件设备和网络物理环境。针对上述分类,下面对物理层次风险评价进行具体分析。
首先是物理环境安全风险评价。在评价物理环境安全风险时,可以借鉴BS7799标准A、B、D1、D3、E、G8、H5、I、J。例如,IT审计师在了解被审中观信息系统的“预防灾难措施”时,可参照“A.安全方针”,依据BS7799对“安全方针”进行阐述,了解被审系统的“信息安全方针”,关注被审系统在相关的“方针与策略”中是否估计到了系统可能遭遇的所有内外部威胁;当威胁发生时,是否有具体的安全保护规定及明确的预防措施;对于方针的执行,是否对每位员工都有所要求。假若IT审计师在审计中未找到被审系统的“安全方针”,或找到了但“安全方针”并未涉及有关“灾难预防”方面的安全措施,则IT审计师可直接认定被审系统在这方面存在固有风险。其次,物理环境设备风险评价。在评价物理环境设备风险时,可以借鉴BS7799标准A、B、C1、D、E2、E3、F6、G3、G8、H5、I、J。例如,IT审计师在了解被审系统有关“硬件设备”的情况时,可参照“C1.资产责任”。BS7799标准对“资产责任”的说明有“组织可根据运作流程与系统结构识别资产,列出清单”,“组织的管理者应该确定专人负责相关资产,防止资产的被盗、丢失与滥用”。借鉴C1的信息安全管理目标与措施,IT审计师可以关注被审单位是否列出了系统硬件设备的清单,是否有专人对资产负责。如果相关方面的管理完备,则说明“硬件设备”在责任方面不存在固有风险,IT审计师也不需要再对此方面的固有风险进行评价。再如,IT审计师在确认“硬件设备”方面的固有风险时,还可参照“E3.通用控制”。BS7799标准对“通用控制”的说明有“定期进行资产清查”,“未经授权,资产不能随便迁移”等。借鉴这一措施,IT审计师需要了解被审系统的有关资产清查记录以及资产转移登记手续,如果相关记录不完整或手续不完备,则IT审计师可直接认定“硬件设备”在控制方面存在固有风险。
(二) 逻辑层次的风险评价
逻辑层次的内容包括软件环境、系统生命周期和逻辑安全[7]。其中,软件环境包括系统软件、网络软件与应用软件;系统生命周期包括系统规划、分析、设计、编码、测试、试运行以及维护;逻辑安全包括软件与数据接触、数据加密机制、数据完整性、入侵检测、病毒与恶意代码以及防火墙。针对以上分类,下面对逻辑层次风险评价进行具体分析。
首先是软件环境风险评价。在评价软件环境风险时可以借鉴BS7799标准A、B、C1、D、E1、E3、F、G、H、I、J。例如,IT审计师在掌握被审系统有关“网络软件”的情况时,可借鉴“G2.用户访问管理”标准。BS7799对该标准的阐述包括“建立用户登记过程,对用户访问实施授权”,“对特权实行严格管理”,“对用户口令进行严格管理”等。借鉴G2下相关信息安全管理措施,IT审计师可以详细核查被审网络软件是否建立了用户注册与登记过程、被审软件的特权管理是否严格、是否要求用户秘密保守口令。假若IT审计师发现用户并未得到访问网络软件的权限却可以轻易访问网络软件,则该软件必然存在风险,IT审计师就可通过与BS7799标准比照并发表评价结论。又如,IT审计师在评价“系统软件”固有风险时,可借鉴“G5.系统访问与使用的监控”标准。该标准的阐述有“使用终端安全登陆程序来访问信息服务”,“对高风险的不活动终端采取时限措施”。IT审计师在评价“系统软件”自身风险时,可套用上述安全措施,逐项分析被审系统软件是否完全达到上述标准并作出合理的风险评价。其次是系统生命周期的风险评价。在评价系统生命周期风险时,可借鉴BS7799标准A、B、D1、D3、E、F1、F2、F3、F4、F6、F7、G、H、I、J。如IT审计师在检查被审系统的“系统设计”时,可参照“H1.系统安全要求”。H1的解释为“系统设计阶段应该充分考虑系统安全性,组织在项目开始阶段需要识别所有的安全要求,并将其作为系统设计开发不可或缺的一部分进行调整与确认”。因而,IT审计师在检查系统设计有关资料时,需要分析被审单位是否把上述解释融入系统设计中,或是否全面、有效地融入设计过程,如果被审单位考虑了诸因素,IT审计师就可以确认被审系统的设计环节在此方面不存在风险。假若IT审计师发现在系统设计阶段被审单位没有考虑到需要“引入控制”,且在系统运营期间对系统的“控制”也不够重视,则IT审计师可以作出系统自身安全及系统设计开发过程存在风险的结论。第三是逻辑安全的风险评价。在评价逻辑安全风险时,可以借鉴BS7799标准A、B、C2、D、E1、E3、F、G1、G2、G4、G5、G6、G7、G8、H、I、J。IT审计师在检查被审系统的“病毒与恶意代码”时,可借鉴“G4.网络访问控制”。BS7799对该标准的阐述有“建立并实施网络用户服务使用方针”,“从用户终端到网络服务的路径必须受到控制”以及“对外部链接的用户进行身份鉴别”等。IT审计师在审计过程中,应该关注被审系统在上述方面的执行思路与执行程度,假若被审单位对上述方面缺乏重视,则恶意用户未经授权或未受限制就能轻易访问系统,系统遭受病毒或恶意代码损害的风险会相应加大。再如,IT审计师在评价系统“数据完整性”的风险时,可借鉴“F1.操作程序与职责”。该标准的描述有“在执行作业的过程中,提供差错处理及例外情况的指导”,“进行职责分离,减少出现非授权更改与数据信息滥用的机会”等。结合上述措施,IT审计师应该关注被审单位是否通过外键、约束、规则等方式保障数据的完整性,如果被审单位没有按照上述方法操作,则被审系统将会在“数据完整性”方面存在风险。
需要强调的是中观信息系统固有风险的评价较为复杂。在理论研究中,本文仅选取BS7799的某些标准举例进行阐述,但在实践中,IT审计师不应只借鉴BS7799标准的单个或部分标准,就做出某方面存在“固有风险”的结论。如仅从C1看,“硬件设备”无固有风险,但从E3看,“硬件设备”确实存在固有风险。鉴于此,IT审计师应由“点”及“面”,全面借鉴BS7799标准的整个体系。只有如此,才能更科学具体地进行物理及逻辑层次的风险评价。
四、 中观信息系统内部控制的评价机制
图1中的“abPc”路径是中观信息系统控制风险产生的路径,控制风险的形成条件是“假定存在内部控制制度,但是内控制度不科学、不健全或执行不到位”,产生控制风险最主要的原因是内部控制机制失效,即“P”过程出现问题。评价内部控制是IT审计师防范审计风险的关键,也是中观信息系统审计实施阶段的一项重要工作。然而,当前我国信息系统审计方面的标准与规范仅有四项,因而IT审计师对信息系统内部控制的评价还处于摸索阶段,急需详细的流程与规范进行指导。笔者认为,BS77991《信息安全管理实施细则》与BS77992《信息安全管理体系规范》能够为IT审计师评价中观信息系统的内部控制提供思路。BS7799是一套完备的信息安全管理体系,IT审计师完全可以借鉴其体系与框架来设计中观信息系统内部控制评价流程,构建适用于中观信息系统的审计流程。BS7799标准的具体借鉴思路见表1,具体阐述如下。
(一) 一般控制的评价
1. 组织管理的内部控制评价
在评价组织管理的内控时,可借鉴BS7799标准A、B、C1、D1、D3、E、F、G、H、I、J。IT审计师可将BS7799标准体系作为信息系统组织管理内部控制的衡量标准,并以此确认被审系统组织管理内控制度的科学性与健全性。假若某中观经济主体将信息系统的部分管理活动外包,则IT审计师可借鉴BS7799中的“B3.外包控制”标准,检查外包合同的全面性与合理性。如果被审单位在外包合同中规定了信息系统的风险、承包主客体各自的系统安全控制程序,并明确规定了“哪些措施必须到位,以保证涉及外包的所有各方关注各自的安全责任”,“哪些措施用以确定与检测信息资产的完整性和保密性”,“采取哪些实物的和逻辑的控制以限制和限定授权用户对系统敏感信息的访问”以及“发生灾难时,采用怎样的策略来维持服务可用性”,则IT审计师就可确认被审系统在外包方面的控制设计具有科学性与全面性,只需再对外包控制条款的执行效果进行评价就可以得出对被审单位外包活动评价的整体结论。
2. 数据资源管理的内部控制评价
在评价数据资源管理的内控时,可以借鉴BS7799标准A、B、C、D、E1、E3、F、G、H、I、J。信息系统数据包括数据字典、权限设置、存储分配、网络地址、硬件配置与系统配置参数,系统数据资源管理有数据存放、备份、恢复等,内容相对复杂。IT审计师在评价数据资源管理的内部控制时,也需要借鉴BS7799标准体系。例如,IT审计师可借鉴“F1.操作程序与职责”或“G6.应用访问控制”评价数据资源管理。F1与G6的阐述有“识别和记录重要数据的更改”、“对数据更改的潜在影响作出评估”、“向所有相关人员传达更改数据的细节”、“数据更改不成功的恢复措施”、“控制用户的数据访问权,如对读、写、删除等进行限制”、“在系统共享中,对敏感的数据实施高级别的保护”。IT审计师在审计时,有必要根据上述思路对系统数据管理的控制制度进行深层次评价。在当前缺乏信息系统审计规范的情况下,以BS7799体系作为评价数据资源管理内部控制的指南,不失为一种好的审计策略。
3. 环境安全管理的内部控制评价
在评价环境安全管理的内控时可以借鉴BS7799标准A、B、C1、D、E、F、G、H、I、J。信息系统的环境安全管理包括物理环境安全管理与软件环境安全管理,系统环境是否安全决定着危险因素对脆弱性的攻击程度,进而决定着信息系统风险。IT审计师在审计系统环境的安全管理过程时,需要关注设备、网络、软件以及硬件等方面。在评价系统环境安全管理的内部控制时,IT审计师有必要借助上述BS7799标准体系。例如,BS7799的“E1.安全区域”标准与“E2.设备安全”标准的解释有“信息处理设施可能受到非法物理访问、盗窃、泄密等威胁,通过建立安全区域、严格进入控制等控制措施对重要的系统设施进行全面保护”,“应该对信息处理设施运作产生不良影响的环境条件加以监控,如,湿度与温度的影响”。类似上述的BS7799系列标准都为IT审计师如何确认环境安全管理的内控提供了审计指导,且其指导思路清晰、全面。IT审计师通过借鉴BS7799系列标准,可以深层次挖掘系统环境安全管理规章制度中存在的疏漏以及执行中存在的问题,从而有效评判环境安全管理的控制风险。
4. 系统运行管理的内部控制评价
在评价系统运行管理的内控时,可以借鉴BS7799标准A、B、C1、D、E1、E3、F、G、H、I、J。中观经济主体对运行系统的管理相对复杂,涉及到系统组织、系统维护、系统完善等多个方面。由于系统运行中需要管理的环节繁多,而且目前也没有规范与流程可以参考,因而,评价系统运行管理的内控也有必要借鉴上述BS7799标准体系。例如,BS7799标准“D2.设备安全”与“H5.开发与支持过程中的安全”的阐述有“信息系统操作者需要接受安全意识培训,熟悉与系统运行相关的安全职责、安全程序与故障制度”,“系统运行中,建立并实施更改控制程序”以及“对操作系统的更改进行技术评审”等方面。IT审计师采用询问、观察、检查、穿行测试等方法评审系统运行管理的内部控制,需要有上述明细的、清晰的信息安全管理规则予以指导,这些标准可以指导IT审计师了解被审系统是否有健全的运行管理规范及是否得到有效运行,借此,IT审计师可以作出全面的内控判断,进而出具正确的审计结论。
(二) 应用控制的评价
信息系统的应用控制包括输入控制、处理控制与输出控制。在评价系统输入控制、处理控制以及输出控制三者的内控时,同样有必要借鉴BS7799标准,且BS7799标准中A、B、D、E1、E3、F1、F2、F3、F4、F5、F7、G1、G2、G4、G5、G6、G7、G8、H、I、J相对应的信息安全管理目标与措施能够在IT审计师对三者进行内控评价时提供相对详尽的审计框架。为确保信息系统输入、处理与输出的信息完整、正确,中观经济主体需要加强对信息系统的应用控制。IT审计师在中观信息系统审计的过程中,需要做到对被审系统应用控制进行正确评价。
在IT审计师对应用控制的符合性测试过程中,上述BS7799标准体系可以对应用控制评价进行全程指导。例如,BS7799标准中“H2.应用系统的安全”提到“数据输入的错误,可以通过双重输入或其他输入检查侦测,建立用于响应输入错误的程序”,“已正确输入的数据可因处理错误或故意行为而被破坏,系统应有确认检查功能以探测数据的破坏”,“为确保所存储的信息相对于各种情况的处理是正确而恰当的,来自应用系统的输出数据应该得到确认”等控制策略,并提出了相对详细的控制措施。应用控制环节是信息处理的脆弱集结点,IT审计师在进行应用控制的符合性测试环节时有必要考虑周全,详尽规划。IT审计师可以遵循H2全面实施针对应用控制的审计,依照BS7799标准体系,检查被审系统对于超范围数值、数据区中的无效字符、丢失的数据、未经认可的控制数据等系统输入问题的控制措施以及应急处理能力;检查是否对系统产生的数据进行了确认,系统的批处理控制措施、平衡控制措施等,以及相关控制行为的执行力度;检查信息输出是否实施了可信性检查、一致性控制等措施,如果有相关措施,那么执行力度如何。BS7799标准体系较为全面,对于IT审计师评价系统的应用控制贡献很大,如果IT审计师能够创造性借鉴该标准,必可做好符合性测试,为实质性测试夯实基础,也定会提高审计质量。
五、 结束语
表1是笔者在分析某商业银行信息系统与某区域物流信息系统的基础上,对“BS7799标准如何应用于信息系统审计”所进行的设计,当针对其他行业时,或许需要对表1进行适当调整。不同行业、不同特性的中观经济主体在信息系统审计中运用BS7799标准时侧重点会有所不同。本文以分析中观信息系统风险为着手点,沿用BS7799标准对中观信息系统审计进行研究,旨在抛砖引玉。
参考文献:
[1]王会金,刘国城.中观经济主体信息系统审计的理论分析及实施路径探索[J].审计与经济研究,2009(5):2731.
[2]BSI.ISO/IEC17799-2000 Information technologycode of practice for information security management[S]. London:British Standards Institation,2000:179202.
[3]BSI.BS779922002 information security managementspecification for information security management systems[S]. London: British Standards Institation,2002:267280
[4]孙强.信息系统审计[M].北京:机械工业出版社,2003.
[5]刘国城,王会金.中观信息系统审计风险的理论探索与体系构架[J].审计研究,2011(2):2128.
[6]王会金.中观信息系统审计风险控制体系研究――以COBIT框架与数据挖掘技术相结合为视角[J].审计与经济研究,2012(1):1623.
[7]科飞管理咨询公司.信息安全管理概论-BS7799理解与实施[M].北京:机械工业出版社, 2002.
BS7799 Criterion and Its Application in Mesoinformation Systems Audit
LIU Guocheng
审计信息安全管理篇10
Wu Shao-jia Liao Li
(Zhaoqing Radio & Television University Guangdong Zhaoqing 526060)
【 Abstract 】 Protection of campus network security is the focus and key points on the information work, As the ongoing in-depth information security management and monitoring processes, The problems of Potential Network Information Security is exposed, You can construction out the strategy of security applies to campus Information Network System, and take effective measures solution its security problem, Improves the network operation level , Supply the information and data protection with safety measure of reached the security requirements and construction target for campus network.
【 Keywords 】 management and control; campus network; information security ; security strategy; security audit
0 引言
数字校园是推进实现我国教育信息化的重点建设目标之一,数字信息化应用在我国教育现代化的进程中起到了强大的推动力。校园网是学校数字信息化建设重要的基础设施,是学校实现数字信息化的重要组成平台,在教学支持服务、教学教务管理、科学研究、行政管理和校内外信息交流等许多方面都起到了重大作用。许多学校的工作已经完全通过信息网络系统来运转,随着信息化建设规模的扩大深入以及计算机信息网络技术的不断扩展和增强,在校园网中潜在威胁安全问题暴露无遗,校园网络安全的形势日益严峻。如何保障学校内部重要信息的安全,使得重要数据信息不被窃取,是学校信息安全工作当前要面临的首要挑战。
1 校园网信息安全需求
随着校园网应用的深入,校园网上各种信息数据急剧增加,结构性不断提高,用户对网络性能要求的不断提高,网络信息安全成为网络技术发展中一个极其关键的任务。校园网信息安全的需求概括有四个方面。
(1)用户安全:用户安全分成管理员用户安全和业务用户安全。
(2)网络硬环境安全 :网络连接安全,校园网中的子网与其他网络连接的网络安全,各个专用的业务子网的安全。
(3)网络软环境安全:即校园网的应用环境安全。
(4)传输安全:数据的传输安全,主要是指校园网内部的传输安全、校园网与公网(教科网)之间的数据传输安全以及校园网与分校区之间的数据传输安全。
校园网络系统通常只是在校内使用的教学办公网络,是一个相对封闭的局域网系统,可不考虑外来的入侵行为,所面临的风险大多始于内部,包括来自学校内部人员的威胁、非授权访问、冒充合法用户、破坏数据的完整性、数据篡改、泄漏与丢失等。众多不同的安全技术和产品,在技术上缺乏完善的综合管理平台进行统一协调管理;而在管理上则欠缺良好的安全管理体制和策略,这就直接导致了整个安全体系的薄弱,造成网络整体安全防御能力下降,无法真正达到安全要求和建设目标。因此,使用访问控制及内外网的隔离,使用内部网不同网络安全域的隔离及访问控制,使用网络安全检测。解决校园网信息安全问题的重要方法,是在校园内网中采用不同的安全产品和技术构建多层次的安全防范体系,并在这个体系中部署信息安全审计措施以监督信息系统,发现和追查信息系统中潜在的安全问题,弥补其它安全产品对信息安全管控的不足。
2 管控信息安全的策略
信息安全是高技术的对抗,信息安全问题是要通过大力发展信息安全高技术来解决。但同时必须清醒地认识到,要高效地解决信息系统的安全问题,除了从技术上下功夫外,还得依靠配套的安全管理措施来实现。一定要部署校园网安全审计与监控体系配套管理措施,对信息安全审计工作必须要坚持管理与技术并重的原则,建立和完善信息安全配套管理制度和规范,加强管理落实责任,注重通过加强管理弥补技术上的不足。
首先要建立相对独立的学校信息安全审计机构,明确管理组织内各个角色所承担的具体审计职能。在一个审计机构中具体应当包括几种角色。
审计信息安全管理篇11
随着信息技术的发展,信息系统在财务、管理领域的应用程度不断提高,功能日趋完善,其软硬件结构的复杂性和涉及领域的广泛性以及信息处理技术更新的频繁性使得审计人员难以同步把握信息系统审计的内涵和外延。从外延上看,信息系统审计主要包括两个部分,一是对信息系统主体的审计,二是对信息系统应用环境的审计,包括网络环境、使用环境、管理使用情况等。一般说来,审计信息系统本身相对容易,但审计信息系统的应用环境却存在较多不确定因素,比如某公司的信息系统通过防火墙连接到互联网,而在防火墙内还存在其它系统,其它系统是不是也在审计范围之内?
从内涵上看,信息系统审计主要是对信息系统的安全性和可靠性进行评估、评价。安全性、可靠性是一个比较广泛的概念,以系统安全性为例,它包括:ISO开放系统互连安全体系结构、TCP/IP安全体系、开放系统互连的安全管理、安全服务和功能配置;系统安全涉及的信息安全技术包括:密码技术、访问控制技术、机密性和完整性保护技术、数字签名技术、抗抵赖技术、预(报)警机制、公证技术、防火墙技术、漏洞检测技术、网络隔离技术、计算机病毒防范等。由于信息技术本身的限制性,绝大部分信息系统本身均存在安全性问题(如防护级别最高、防护技术最好的美国国防部也常有被攻击的情况)。
把握不准信息系统审计的外延和内涵,就难以解决以下三个问题:一是难以解决审计力量与审计任务之间的矛盾,难以控制审计风险,即不该审的审了,该审的却未审;二是由于绝大部分信息系统本身均存在安全性问题,信息系统审计很容易演变成“信息系统是否存在问题源自于审计人员的技术水平,而不是系统本身的安全性和可靠性”,即,绝大部分信息系统均存在不安全、不可靠因素,就看审计人员能否发现由于信息系统的安全性问题是绝对的,而审计人员的视角和技术水平是相对的,信息系统审计的成果部分取决于审计人员对信息系统审计内容的把握程度;三是由于审计需要大量的证据支撑,对于未造成损失但信息系统存在不安全隐患的问题难以定性,即便是造成了损失,也难以界定这些损失与信息系统不安全、不可靠因素之间联系。
因此,审计部门应根据“全面审计、突出重点”及“先易后难”、“先系统本身后系统环境”的原则,参照国家信息技术部的有关标准,界定信息系统工作的外延和内涵,将信息系统审计的主要方向定在:被审计单位的信息系统的安全性、可靠性是否达到应有的水平或标准,而不是系统是否有安全性和可靠性问题。
二、信息系统审计评价标准很难确定
信息系统安全审计,涉及会计信息处理自动化、表示代码化、信息处理与存储集中化、内部控制程序化等诸多广泛、复杂的计算机专业技术环节,其技术性较高。而我国信息系统审计正处于起步阶段,对审计机关如何开展信息系统审计尚在积极探索中,因此,目前尚没有一个完整的、成熟的具有示范作用的审计案例,也缺少具备实际指导意义的相关信息系统审计准则和操作指南。
近年来,国家安全部门相继出台了多个安全标准,例如公安部出台的《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息安全等级保护管理办法》,还有相应的安全技术规范《信息安全技术 信息系统通用安全技术要求》(GB/T20271-2006)、《信息安全技术 网络基础安全技术要求》(GB/T20270-2006)、《信息安全技术 操作系统安全技术要求》(GB/T20272-2006)、《信息安全技术 数据库管理系统安全技术要求》(GB/T20273-2006)、《信息安全技术 服务器技术要求》、《信息安全技术 终端计算机系统安全等级技术要求》(GA/T671-2006)等技术标准。但在实际操作中,这些标准在可操作性上还有待提高,一是信息系统安全等级的确定,缺乏一个等级认定的部门,目前是由各个单位自己定级报送,会存在低报等级风险;二是等级要求没有量化和详细解释,等级认定存在困难。这些都给具体的审计实务工作带来极大的困难。
因此建议审计部门及时组织总结实践经验,规范信息系统安全审计的有关概念、审计内容、工作流程和技术方法、形成信息系统安全审计准则、操作指南或实务公告的准则体系,这是信息系统安全审计得以健康发展的基础。
三、信息系统审计缺乏相应的人才
我国目前尚缺乏既熟悉审计业务又掌握计算机技术同时了解国内标准信息系统流程的复合型人才,进行信息系统审计所涉及的知识面非常广,涉及会计、审计、管理和计算机等知识,而进行信息系统安全性审计主要从系统总体安全、系统运行安全、数据中心安全、硬件设备安全和网络安全情况五个方面来进行,每个方面都涉及不同的知识点。当对系统总体安全进行审计时,则要求审计人员具有系统总体分析、系统设计和系统安全分析的知识;当对系统运行进行审计时,则要求审计人员具有系统运行管理、系统维护和系统安全管理的知识;当对数据中心安全进行审计时,则要求审计人员具有工程建设、数据中心安全维护和灾备等知识;当对硬件设备安全进行审计时,则要求审计人员具有设备采购、设备维护和设备安全分析等知识;当对网络安全情况进行审计时,则要求审计人员具有网络安全分析和网络防范等知识。但在当前情况下,审计人员能够掌握上述某一方面的知识都已经难能可贵,更不用说要掌握所有的知识面。
建议审计部门加强对审计人员理论培训,并组织审计人员进行实践,通过实践经验来巩固理论知识,培养出更多的信息系统审计复合型人才和相应的专业性人才。
四、信息系统审计需要相应的法规支持和成果考核标准
我们通常依据《中华人民共和国审计法》、《中华人民共和国审计法实施条例》及《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》(〔2001〕88号)的规定:“被审计单位应当按照审计机关的要求,提供与财政收支、财务收支有关的电子数据和必要的计算机技术文档等资料”,要求被审计单位提供电子数据,开展电子数据式审计工作。但开展信息系统安全审计的方法、步骤要求我们必须获取被审计单位信息系统底层数据库的数据字典、程序开发文档、甚至程序源代码等核心文档已经高级管理用户的权限。但事实上大多数被审计单位也不掌握这些核心文档,软件开发公司又以知识产权应收保护为由拒绝提供文档。特别是要求SAP、Oracle等国外软件开发商提供开发文档非常困难。因此,应出台更为明确的法规以支持信息系统安全审计工作。其次,信息系统审计的实施需要耗费大量的人力物力,在目前审计机关工作繁重的背景下,开展此项工作需要审计工作方案以及考评指标的支撑。因此,审计相关部门应该考虑把信息系统审计纳入年初审计工作计划,并出台相应的考评标准。
五、信息系统审计自身风险较大
审计信息安全管理篇12
(一)进一步完善审计信息化基础网络。在现有网络平台基础上,依托国家电子政务外网,配合省审计厅、市审计局实施完成省、市、县(市、区)三级审计专网的系统整合和网络安全建设,建立一套以审计专网为基础的联系市审计局及重点被审计对象的立体化网络框架。完善网络安全系统,建设全市审计信息系统综合监管运行平台,通过信息采集、数据分析、监管预警,保障审计网络和应用系统的安全运行。
(二)稳步推进审计信息中心建设。配合市审计局做好审计视频会商系统的延伸覆盖,建设审计署、省、市及我市四级审计机关双向互联的视频会商系统。融合审计管理、审计视频会商、异地协同作业、信息等几大系统功能,构建具备统计、分析、评价、预警、展示等功能为一体的审计信息中心,服务于领导决策、重大问题会审以及紧急事件指挥调度。提高决策指挥的有效性、及时性、便捷性,为审计机关构建一个信息丰富、展现灵活、指挥有效的审计信息操作平台。
(三)积极配合筹建审计数据中心。参照省、市两级建设“审计数据交换和处理中心”的要求,建立我市具有数据采集、共享、交换、管理等功能的县级审计数据交换中心,实现与省、市审计数据中心的资源共享。力争到2014年底前,积累形成一定规模的审计管理和审计业务(包括政府预算执行、税收、金融、企业、固定资产投资、社会保障、外资运用、农业与资源环保、经济责任等审计内容)数据库资源。
(四)稳步推进联网审计软件的扩展。按照省审计厅在全省范围内逐步推广对财政、税务、社保、公积金等重要行业实行联网审计的要求,结合我市实际,在原有联网审计基础上积极推进各种形式的联网审计。针对财政预算执行、国库集中支付、政府采购、税收征管、社保基金等全省统一信息管理系统和数据大集中环境,配合省审计厅、市审计局探索省、市、县(市、区)三级审计机关联动的联网审计组织模式。
(五)积极探索信息系统审计。在审计项目实施过程中,应充分关注被审计单位信息系统的可靠性和安全性,积极探索开展信息系统审计,评价电子数据的真实性、完整性以及系统的合规性、安全性,避免“假账真审”,降低审计风险,促进被审计单位的信息安全。
(六)加快审计信息化队伍建设。建立优秀人才引进机制,将更多高素质人才充实到审计信息化队伍中,继续加大培训力度,整合现有各类审计信息化人才。“十二五”末,全市审计机关内部要基本构建完成包括审计信息化领军人才、骨干人才、应用人才在内较为完备的审计信息化人才队伍。
三、措施要求
审计信息安全管理篇13
会计信息化审计主要是指通过网络、信息通讯以及电子计算机技术,实现在组织实施审计业务、开展审计业务管理的监督、评估以及咨询的全过程。依据国际企业内部审计师协会所的《全球技术审计指南》,审计信息化主要包含了信息技术控制、信息技术审计以及信息技术漏洞管理等内容。企业内部审计信息化相对来说是一个较为笼统的概念,相对来说,计算机审计技术是会计信息化审计的技术支撑。所谓计算机审计技术是在信息网络化环境下,计算机科学与传统审计学、管理科学、系统论、数理统计等多学科融合产生的新的审计技术科学。它是以审计对象的信息系统和底层数据库为工作平台,在确保信息系统和数据库安全性的基础上,对采集的审计数据进行统计、转换、分析后形成审计中间表,通过实用查询、数据挖掘等多种信息技术搭建审计模型,进而对审计数据进行合规性检查、安全审计和趋势分析,实现审计目标的审计技术方法。
2企业内部审计技术优势和面临的挑战
2.1企业内部审计信息化优势
企业内部审计基于审计对象信息化的现实,审计信息化已然成为必然选择,整体来说,企业内部审计信息化强化了审计人员之间的协作优势,提高了审计的效率,与此同时会计信息化审计使审计具有连续性优势,突破了原由时空限制,此外,企业内部审计信息化提高了对审计资源的利用程度,提高了精确性。由于计算机审计技术的革新应用,有助于进一步规范审计工作流程,拓展了审计的范围,实现了网络现场审计,也能够实现网上实时审计。
2.2企业内部审计技术改进的困境
企业内部审计技术应用上存在着两个层面的突出问题:第一,应用基础以及应用效率问题。当前,虽然国内一些大型企业集团已经意识到了企业内部审计信息系统改进的重要性,并已进行了卓有成效的企业自我审计各项革新。但是整体来说,我国企业内部审计信息化起步较晚,很多企业自身信息化基础较为薄弱,特别是企业对于信息化的重视程度会严重受到经营发展等因素的极大影响,导致企业内部审计技术应用条件不足,这是信息化程度的客观问题。与此同时还存在着大量的企业内部审计工作人员能力素养问题,缺乏专业的高端人才,限制了企业审计特别是财务价值识别和应用程度。即便是进行了信息化技术的改进,使用了相应的审计软件,但是实际的工作形同虚设,应用效率过低,内部审计能力有待进一步的提升。第二,应用风险问题。技术革新本身来说就是一把双刃剑,企业内部审计信息化也是如此,我们既要看到它与传统审计带来的前所未有的重要作用,也要看到其应用过程同样也潜在着审计风险问题。比如信息化系统技术缺陷,一旦被不法分子利用,极容易造成企业核心数据的泄露、篡改甚至是不可恢复的严重后果。信息化系统软件安全可靠性成为影响国内企业内部审计信息化的一个重要的影响因素,信息化系统审计作业管理控制、核查、审计管理机制不健全以及计算机违法犯罪行为等都是需要考虑的审计风险问题。此外,国家相关法律法规比如关于网络信息安全、知识产权保护等方面的立法缺失也是造成应用风险的重要影响因素之一。
3网络环境下企业内部审计技术创新应用
3.1应用数据处理技术,提升审计工作效率
先进技术的应用,对于审计工作而言,最为明显的效用主要体现在审计工作效率的提升方面。为此,我们可以在企业内部审计中引入数据处理技术,以此来提升审计工作效率。其作用发挥步骤包括,进行被审计对象的信息系统数据采集工作,然后将采集数据的分析和理解转换为审计软件所需要的数据形式,进行数据处理,最后通过相关审计系统软件方法分析进而发现审计线索,实现对审计数据的数据分析与处理技术。就其功能而言,具体来说包含审计数据的采集技术、审计数据的清理技术、审计数据的转换技术以及诸如数据挖掘、数据仓库、数据库、联机分析等技术和方法的数据分析技术等四项技术方法,并且具体到每一个方面,也有很多步骤和技术方法等能力要求,比如数据采集技术上首先要明确数据库的类型和操作系统环境,然后通过数据库制定,将数据搬到审计工作区,通过网络型数据库的数据获取方法进行格式的转化。
3.2应用信息系统审计技术,保障审计工作数据安全
虽然在现代化技术的作用下,当前我国企业内部审计工作基本已经实现了无纸化办公,但受计算机网络技术自身特点的影响,也导致企业内部审计工作必须面临一定的网络安全风险。为确保企业内部审计工作秩序的有效实施,我们需要借助信息系统审计技术的应用,来防止网络安全问题的产生,确保审计工作数据安全性、准确性、完整性。对此,我们要从两个方面进行工作改进。第一,信息系统审计安全控制。要对审计数据等重要系统文件进行必要的权限管理,特别是网络权限管理的及时更新和密码维护;在此基础上,确保审计数据的质量,是够存在恶意篡改等,严格审计安全控制流程和操作规范。第二,信息系统安全审计的测试方法。通常使用的方法有如下两种,其一,追踪法(Tracing),是对程序逻辑关系以及代码执行和程序执行状态的审计分析技术。其二,测试数据法。其中测试数据法是最常用的审计方法,也是系统进行内部管理常用方法之一。具体操作首先是设计测试用数据,然后把数据输入到系统中去,对比系统处理结果与预先结果。测试数据法细分可以分为黑盒测试和白盒测试,采用测试数据法的安全审计范围较为广泛,比如程序控制点审计、对数据的有效无效检查、对系统记录合计等的审计核查等等。
4结束语
本文重点从我国企业内部审计信息化也就是技术层面探讨了内部审计的工作创新。对此,我们既要看到我国企业与国外企业内部审计信息化的不同,真正认识到企业内部审计信息化发展面临的困境。既要从内部审计信息系统建设出发,又要从内部管理制度建设出发,重视企业审计人才的发展,特别是管理审计高端人才的引、用、留。最大程度地加快企业内部审计的信息化建设,最大限度地提升对于大数据技术等的应用使用能力,实现企业财务管理工作的长足可持续发展。
参考文献
