掃碼下載APP
及時接收最新考試資訊及
備考信息
簡介: 審計是經(jīng)濟(jì)發(fā)展到一定階段的產(chǎn)物,隨著經(jīng)濟(jì)的發(fā)展,審計的外延和內(nèi)涵不斷發(fā)展,審計的內(nèi)容也已經(jīng)由原來的財務(wù)報表審計、經(jīng)營審計、管理審計進(jìn)一步擴(kuò)大到整個信息系統(tǒng),對信息系統(tǒng)進(jìn)行審計及以計算機(jī)作為技術(shù)手段進(jìn)行審計,便是其中的兩種重要形式,經(jīng)過幾年的發(fā)展,已經(jīng)形成了一套規(guī)范而行之有效的審計方法。
企業(yè)事業(yè)單位對財務(wù)管理、經(jīng)營管理、行政管理都在走向信息化、網(wǎng)絡(luò)化。財政、金融、稅務(wù)、海關(guān)等領(lǐng)域信息化進(jìn)程迅速推進(jìn),政府部門、國有企業(yè)等被審計單位的會計核算、財務(wù)管理、經(jīng)營管理電子化日益普及,銀行業(yè)監(jiān)管部門面臨的挑戰(zhàn)是:在審計資源保持相當(dāng)穩(wěn)定的情況下,按照傳統(tǒng)審計工作的高質(zhì)量標(biāo)準(zhǔn),去審查信息系統(tǒng)生成的需要分析的大量數(shù)據(jù),幾乎不可能。
審計是經(jīng)濟(jì)發(fā)展到一定階段的產(chǎn)物,隨著經(jīng)濟(jì)的發(fā)展,審計的外延和內(nèi)涵不斷發(fā)展,審計的內(nèi)容也已經(jīng)由原來的財務(wù)報表審計、經(jīng)營審計、管理審計進(jìn)一步擴(kuò)大到整個信息系統(tǒng),對信息系統(tǒng)進(jìn)行審計及以計算機(jī)作為技術(shù)手段進(jìn)行審計,便是其中的兩種重要形式,經(jīng)過幾年的發(fā)展,已經(jīng)形成了一套規(guī)范而行之有效的審計方法。本文主要介紹利用計算機(jī)進(jìn)行審計檢查監(jiān)督的做法。
一、利用計算機(jī)工具檢查信息系統(tǒng)安全
1、檢查計算機(jī)通用控制
在檢查計算機(jī)通用控制時,如檢查系統(tǒng)平臺的訪問控制,若用手工檢查,需要審計人員到現(xiàn)場進(jìn)入操作系統(tǒng),輸入有關(guān)命令才可以得到操作系統(tǒng)訪問控制的具體設(shè)置。這種手段存在以下缺點:
?。?)對計算機(jī)審計人員技術(shù)要求較高,需要了解讀取不同操作系統(tǒng)安全設(shè)置的命令及參數(shù),而且審計必須不斷跟進(jìn)系統(tǒng)版本變化
?。?)檢查結(jié)果不易輸出,如對Windows NT的檢查,只能利用屏幕拷貝方式
(3)檢查結(jié)果不易分析,由于檢查結(jié)果可能包含大量信息,審計人員從中找出所關(guān)注的問題需要花較大工作量
因此,專業(yè)計算機(jī)公司針對不同操作系統(tǒng)平臺開發(fā)了專門的審計工具,這些工具一般包括以下功能:
?。?)設(shè)定參照性安全標(biāo)準(zhǔn),既可以使用行業(yè)的一般標(biāo)準(zhǔn),也可以根據(jù)審計機(jī)構(gòu)的安全政策自行設(shè)計
?。?)對有關(guān)平臺或網(wǎng)絡(luò)的安全控制進(jìn)行全面掃描檢查,詳細(xì)分析各種安全設(shè)置
(3)參照安全標(biāo)準(zhǔn)進(jìn)行分析評估,既可以得出量化的評分結(jié)果,也可以輸出各種格式的詳細(xì)報告。
在信息系統(tǒng)審計中,國外常用的安全審計軟件有:
?。?)Security Analyst. KANE公司產(chǎn)品,用于對WindowsNT/2000平臺的檢查
?。?)Rapport Audit Master. 由Rapport Software公司開發(fā),用于檢查AS/400平臺安全。
?。?)主機(jī)平臺。由于主機(jī)平臺產(chǎn)品較昂貴,一般較少采用專門審計工具,而是利用安裝在主機(jī)內(nèi)的安全訪問控制軟件,如: MVS環(huán)境的RACF軟件,CA Top-Secret軟件,其主要功能是計算機(jī)安全員用于設(shè)置安全控制,也能提供較好的接口和輸出工具供審計人員讀取安全設(shè)置。
(4)網(wǎng)絡(luò)安全檢查工具。包括ISS、CyberCop、Axent等網(wǎng)絡(luò)安全掃描工具,除掃描網(wǎng)絡(luò)漏洞外,還可進(jìn)行仿真入侵測試。
使用專用工具的好處:
?。?)審計人員不必詳細(xì)記憶不同平臺的操作命令,減輕工作量,提高工作效率
?。?)系統(tǒng)更新?lián)Q代或業(yè)界發(fā)現(xiàn)有新的安全問題時,只須升級有關(guān)審計工具即可
?。?)輸出結(jié)果直觀、可靠
(4)使用業(yè)界普遍采用的工具,也有助于提高審計結(jié)果的可接受程度及公信力。
另一方面,部分審計機(jī)構(gòu)亦會自行開發(fā)一些審計工具,如編寫UNIX Script,或利用Foxpro等編寫統(tǒng)計分析程序,亦有助于提高審計效率。
在實際應(yīng)用時,根據(jù)環(huán)境需要通常會使用多種工具的混合。如在對網(wǎng)上銀行系統(tǒng)進(jìn)行安全評估時,采用了Sever平臺的UNIX檢查工具和NT檢查工具,以及網(wǎng)絡(luò)平臺的ISS Internet Scanner,并使用ISS工具對網(wǎng)絡(luò)進(jìn)行了penetration test(入侵測試)。有的機(jī)構(gòu)甚至?xí)褂肐SS配合CyberCop分別掃描網(wǎng)絡(luò),利用不同產(chǎn)品的優(yōu)點,進(jìn)一步提高掃描結(jié)果的可靠性。
2、檢查應(yīng)用系統(tǒng)
這里對應(yīng)用系統(tǒng)的檢查定義為: 對應(yīng)用系統(tǒng)處理過程及系統(tǒng)內(nèi)存儲的業(yè)務(wù)數(shù)據(jù)的完整性和準(zhǔn)確性進(jìn)行檢查。對銀行系統(tǒng)而言,具體檢查的內(nèi)容包括網(wǎng)上銀行、銀行卡系統(tǒng)、利息及費(fèi)用核算、過賬、報表輸出等計算機(jī)處理過程中的關(guān)鍵環(huán)節(jié)。如匯豐銀行,其稽核部門在這方面的計算機(jī)應(yīng)用包括:
?。?)直接在主機(jī)系統(tǒng)編寫檢查程序
在通用審計軟件尚未普及時,由信息系統(tǒng)審計人員在主機(jī)環(huán)境(測試平臺)上直接開發(fā)專用審計程序,用于核對利息、數(shù)據(jù)比較、抽樣證賬等工作。
?。?)利用PC工具編寫檢查程序
由于在主機(jī)開發(fā)程序周期長、耗費(fèi)較多人力資源,以及主機(jī)開發(fā)語言較難掌握、用戶操作接口不夠友好等問題,審計部門已趨向?qū)⒅饕_發(fā)工具轉(zhuǎn)為PC,并通常會借助一些較為通用及易編程的工具,如Foxpro及ACL等。
二、利用計算機(jī)技術(shù)輔助業(yè)務(wù)審計
隨著計算機(jī)應(yīng)用的普及和審計素質(zhì)的提高,以及一些方便易用的軟件工具的出現(xiàn),審計機(jī)構(gòu)利用計算機(jī)輔助業(yè)務(wù)審計日趨普遍,并從傳統(tǒng)上的抽樣統(tǒng)計、核對查錯發(fā)展到輔助效率審計。
1、常用計算機(jī)輔助審計軟件工具
審計軟件分為數(shù)據(jù)抽取軟件、數(shù)據(jù)分析軟件、網(wǎng)絡(luò)安全評估軟件及自我評估控制軟件等九類。
ACL軟件作為業(yè)界比較著名的審計軟件,會計師在進(jìn)行審計時,普遍使用ACL抽取數(shù)據(jù)進(jìn)行數(shù)據(jù)核對、統(tǒng)計抽樣等。
SQL是通用的標(biāo)準(zhǔn)查詢語言,無論是主機(jī)的DB2還是服務(wù)器級的Sybase、Oracle,或是PC上的Forpro、Win Access,以及ACL軟件,均支持這一行業(yè)標(biāo)準(zhǔn)(即采用基本一致的編程語法結(jié)構(gòu))。由于其具有易學(xué)習(xí)、使用靈活、運(yùn)行效率高的特點,以及掌握其語法后可很快適應(yīng)上述不同數(shù)據(jù)庫產(chǎn)品環(huán)境,因此,計算機(jī)審計人員應(yīng)普遍掌握及使用SQL編寫審計程序。
2、實際應(yīng)用
現(xiàn)場審計
很難詳盡描述計算機(jī)在業(yè)務(wù)審計中的應(yīng)用范圍,從了解到的有關(guān)機(jī)構(gòu)情況看,可以這么說,凡是審計過程中需要對業(yè)務(wù)數(shù)據(jù)進(jìn)行統(tǒng)計、分析、比較的,都可以用到計算機(jī)工具,而應(yīng)用程度及應(yīng)用效果則依賴于審計人員對其掌握及靈活使用的程度。一些外資銀行普遍要求以下做法: 由獨(dú)立審計機(jī)構(gòu)不定期從銀行所有客戶中抽選出部分,向他們發(fā)出證帳信,請客戶確認(rèn)信中附寄的銀行賬務(wù)資料是否正確。這項工作可充分發(fā)揮ACL這類通用審計軟件的作用:
可抽取不同格式的計算機(jī)系統(tǒng)數(shù)據(jù)
可選用多種抽樣方法
根據(jù)抽樣結(jié)果靈活調(diào)整抽樣參數(shù)
降低審計風(fēng)險水平
時間和成本的節(jié)約
非現(xiàn)場審計
非現(xiàn)場審計的概念在不同機(jī)構(gòu)中可能命名不同,總的來說是強(qiáng)調(diào)利用計算機(jī)手段,‘足不出戶’,利用計算機(jī)終端遠(yuǎn)距離抽取系統(tǒng)數(shù)據(jù)進(jìn)行分析。大銀行會在計算機(jī)中心主機(jī)系統(tǒng)內(nèi)建立數(shù)據(jù)專區(qū)INC(Information Center),各操作系統(tǒng)每日批處理后將業(yè)務(wù)數(shù)據(jù)傳送到INC中;另一邊,在審計部門建立主機(jī)系統(tǒng)終端,審計人員可以通過終端,編寫SQL程序,從上述數(shù)據(jù)庫中抽取自己需要的數(shù)據(jù)進(jìn)行統(tǒng)計分析。這種方式有以下好處:
減省審計人員外出的人力、物力及時間成本,特別適用于分行地域跨度大的機(jī)構(gòu)
能迅速取得最新的業(yè)務(wù)數(shù)據(jù)
數(shù)據(jù)未經(jīng)加工,來源可靠
審計過程更具針對性和持續(xù)性
能取得大量的、來自不同系統(tǒng)的數(shù)據(jù),便于審計人員從整體的、宏觀的角度進(jìn)行分析,有助于開展效益和管理審計
三、發(fā)展趨勢
1、 計算機(jī)審計與業(yè)務(wù)審計的界線日趨模糊
隨著銀行業(yè)務(wù)計算機(jī)化比重日趨加大,目前大企業(yè)的計算機(jī)應(yīng)用已不僅僅是過去的仿真手工階段,覆蓋范圍也不再局限于零售、結(jié)算等操作層次,而是提升到整個企業(yè)業(yè)務(wù)流程的各個方面,如ERP(企業(yè)資源計劃)、HRM(人力資源管理)、CRM(銀行信貸風(fēng)險管理)。審計人員如果再不能利用計算機(jī)工具,繼續(xù)將審計局限于操作層面的檢查,將不能適應(yīng)發(fā)展的要求。相反,計算機(jī)審計人員也不但要檢查計算機(jī)本身的安全,也需要了解銀行業(yè)務(wù),以便為審計工作計算機(jī)化提供更好支持。在領(lǐng)先的國際化大銀行,這一趨勢已十分明顯,如匯豐銀行,審計人員共70多人,其中計算機(jī)審計人員已占到約一半,其中有10人專責(zé)計算機(jī)審計軟件的開發(fā)工作。
2、 用計算機(jī)手段向效益和管理審計發(fā)展
商業(yè)機(jī)構(gòu)追求最大化利潤的目標(biāo),不僅要求審計部門對安全經(jīng)營情況進(jìn)行監(jiān)督(當(dāng)哨兵或警察),還要能提供提高經(jīng)營效益和管理方面的意見(當(dāng)顧問),提供增值服務(wù)。計算機(jī)技術(shù)的發(fā)展為審計人員達(dá)到這一目標(biāo)提供了現(xiàn)實可能。例如,現(xiàn)在不少大型企業(yè)已致力發(fā)展DW(數(shù)據(jù)倉庫),其提供的多維數(shù)據(jù),不僅在數(shù)據(jù)量上超出一般數(shù)據(jù)庫的概念,更重要的是提供了更大時間跨度、更多系統(tǒng)聯(lián)系、更多企業(yè)外部的市場數(shù)據(jù),并融入專家系統(tǒng)等人工智能概念,提供更多更靈活的處理和輸出工具,審計人員將可以利用這些工具更好地發(fā)揮其“顧問”角色。
安卓版本:8.7.50 蘋果版本:8.7.50
開發(fā)者:北京正保會計科技有限公司
應(yīng)用涉及權(quán)限:查看權(quán)限>
APP隱私政策:查看政策>
HD版本上線:點擊下載>
官方公眾號
微信掃一掃
官方視頻號
微信掃一掃
官方抖音號
抖音掃一掃
Copyright © 2000 - galtzs.cn All Rights Reserved. 北京正保會計科技有限公司 版權(quán)所有
京B2-20200959 京ICP備20012371號-7 出版物經(jīng)營許可證 京公網(wǎng)安備 11010802044457號