数据库审计系统(共12篇)
数据库审计系统 篇1
0 引 言
数据库作为科学研究、电子商务、金融、军事等社会各领域重要信息的载体,其重要性和价值对攻击者有极大的吸引力,同时数据库自身的弱点也使其较容易成为攻击的目标。传统的数据库安全机制以身份认证和权限控制为主,主要用于防止未授权人员的非法访问。据统计,在数据库系统实际运行中,有70%以上的危险都源于内部人员攻击,目前数据库的这种访问控制机制对内部攻击的防范能力非常有限,审计作为追查违反安全策略和确定责任个体的主要手段,显得非常必要。
目前,SQL Server 2005[1]及其之前版本自带的Default Trace和C2 Audit审计功能在一定程度上存在着审计文件格式复杂,审计记录安全难以保证,审计开启影响服务器性能,信息不够全面等弊端[2]。Default Trace 作为默认的轻量级审计,它能够收集所有的数据库级别事件、错误消息事件、全文索引以及DDL 事件,能够帮助管理员查找DDL的历史操作记录以及日志增长等信息,且不占用大量的资源,不增加系统负担,由于其不记录DML操作,不适用于安全级别较高的系统,如金融、工资系统等。而C2 Audit,它能够审计所有的服务器级别的事件,包括关闭、启动、用户登录成功、失败,以及所有的DDL、 DCL、 DML操作,比较适用于平常事务活动较少的系统[3]。由于C2 Audit几乎记录了服务器的所有活动,对于事务繁忙的应用系统,它的启动会较大地影响数据库性能,且审计数据会占用较多的磁盘空间。
本文设计与实现了一种基于中心节点的高性能数据库审计模型,与传统的审计模型相比,它有如下优点:①在收集审计数据时,可以有选择地收集实例上特定数据库及特定用户的操作,并按照指定的格式记录必要的信息,能够较好地去掉冗余,在确保得到有用信息的同时减少对应用数据库性能的影响。②将审计数据库服务器和应用数据库服务器分离,使其尽可能不影响应用数据库,且更好地实现对审计数据的权限管理,使审计记录具有更高的安全性;③采用中心节点方式对多个应用数据库进行审计监控,更易扩展;④在审计中心节点,通过分区表设计,将历史审计数据归档等方式,简化了对审计数据的管理,还提高了审计数据的查询性能。
1 系统架构
审计是记录用户对数据库的操作信息,主要用于事后追踪。本文的数据库审计系统体系结构如图1所示,主要包括应用数据库服务器、审计数据库服务器、审计客户端三个部分。在应用服务器上,通过部署跟踪,按照特定规则和格式收集审计数据并传送到审计服务器端;审计服务端为每个应用提供一个单独数据库,并采用分区表技术,实现对审计数据的存储。在审计客户端,审计人员可通过浏览器登录报表系统并根据用户名、时间等条件,查看审计结果。
2 审计数据收集
审计数据的收集是在应用数据库端实现,包括审计事件的设置、过滤,审计数据记录选择以及审计数据传输三个部分。
2.1 审计事件的设置和过滤
审计数据的收集主要是遵循两个原则:保证审计数据完整和减少数据冗余。本系统在收集审计数据时,根据上述两原则,结合SQL Server事件跟踪功能[4],设计了全局跟踪和特定跟踪,两个跟踪的事件如表1所示,全局跟踪对所有用户的特定操作都进行记录,包括了服务器级别的变更,DDL(Data Definition Language)操作以及GRD(grant/deny/revoke)等。在通常情况下,生产环境的数据库上,这类操作比较少,因此,该跟踪的运行对服务器的负担和性能影响较小;特定跟踪主要是对具有特权的用户或对某个特定数据库的DML(Data Manipulation Language)操作进行跟踪,具有特权的用户主要是DBA和临时授权用户,体现在数据库上是指服务器角色为sysadmin以及自定义的需要跟踪的用户。
审计信息数据库是预先在每一台应用服务器上配置的数据库,它包含用户和数据库信息表,并在表中包含IsAudit列。数据库中通过触发器,在新建数据库或用户时,往表中增加一条记录,缺省情况下表中的IsAudit列为0,当数据库信息较重要,或用户对数据库可能存在风险时,应用的属主可以提请求将IsAudit列设置为1。针对这两个跟踪,它的具体实现如图2所示,每个跟踪都包含两个部分,首先通过SQL Server 存储过程sp_trace_setevent将表1中的事件添加进来,然后再通过sp_trace_setfilter进行过滤,去掉对临时对象、优化对象以及更新统计信息等的审计,此外,特定跟踪通过审计信息数据库中的表进行过滤,实现了对特定对象的审计。
2.2 审计数据记录
审计系统主要用于记录何时何人何地对何种数据进行操作,它可以用四个要素进行描述:操作者、操作对象、操作时间和操作行为,操作者包括数据库的操作用户、该用户所操作的位置(终端信息如主机名,IP信息)以及通过何种工具进行操作(如SSMS,SQLCMD等),操作行为是指用户进行的操作类型如查看、修改、删除等。
本文设计的系统根据上面四个要素,并通过“sp_trace_setevent @traceid, @eventid, @columnid, @on”选择审计事件时,同时设定了每个跟踪记录所选取的列,主要如表2所示,这些列有选择地选取了重要信息,涵盖了审计所有要素,能够较好地记录审计信息。
2.3 审计应用端配置
在上面描述了应用服务器端的工作原理,要使基于中心节点的审计模型能够合理地工作,我们需要对每一台应用数据库服务器做如下配置:
● 创建审计信息数据库以及数据库信息、用户信息表。
● 创建触发器,用于实现创建数据库、用户时自动添加记录。
● 创建存储过程,用于实现创建特定跟踪和全局跟踪,以及用于检查两个跟踪的状态,并能够在跟踪出错时能够重启。
● 用SQL Server Agent部署两个作业,用于检查跟踪状态以及传送跟踪文件到审计服务器。
3 审计数据存储
在本方案中,审计数据都存储于中心节点的审计服务器中,审计数据具有两个特点:(1) 审计数据量会随着时间积累可能会变得异常庞大;(2) 历史审计数据不会有变更。基于此,我们采用了分区技术实现审计数据的存储。分区是改善大型表以及具有各种访问模式的表的可伸缩性和可管理性的有效方法,我们通过定义分区函数和分区架构来实现表的分区,其中分区函数用于确定分区的范围,分区架构用于将对象映射到一个或多个文件组[5]。分区表在存档和维护方面有较大的优势,它能够管理特定范围内的数据,可以快速地存档和替换旧数据,比较适合本方案中的审计数据。
本方案的中心节点的审计数据存储如图3所示,为每个应用系统配置一个单独的数据库,并为每个应用数据库服务器各配置审计数据和归档两张表,通过为审计人员分配相应的数据库权限,能够更好地确保审计数据的安全。此外,我们按季度对审计数据表进行分区,将每个季度的审计数据存储于不同的文件组中,并在每个季度开始时,通过定时作业来修改分区函数,即增加新分区,用于存储新季度的审计数据,然后将审计数据表中的最早季度的数据切换到归档表中,并删除最早季度的分区。
本方案中心节点采用上述存储方案,首先,较好地改善了审计数据库的可管理性和可维护性,当表和索引变得非常大时,分区可以将数据分为更小、更容易管理的单元进行维护。例如,由于历史审计数据基本不变更,我们可以只对当前季度分区的审计数据做备份。其次,分区能够在一定程度上提高查询审计数据的速度,当用户查看某个时间段的审计数据时,只需要到某个特定的分区中去扫描并返回结果,而不需要进行全表扫描[6]。此外,分区的设置能够提高转移和删除历史数据的性能,通过采用分区切换方式,只需要修改页分配单元,而不进行真正的数据转移,从而提高性能。最后,审计数据的存储真正做到的审计数据与应用数据的隔离,确保了审计安全。
4 审计客户端
审计客户端将完成审计数据的展示功能,它为用户提供直观、友好的图形界面供用户查询。当用户连接到审计客户端页面时,客户端将从审计中心服务器按照指定的条件获取审计数据并显示到用户的图形界面上,用户可以在客户端页面根据时间段、操作用户名等字段进行查询、统计和分析。
在审计客户端页面的实现方面,我们采用SQL Server Reporting Services(报表服务)[7],它是一个基于服务器的企业级报表,能够借助Web Services进行管理,并将报表用户从复杂的底层数据源分离,同时提供个性化与交互性。因此,我们通过报表向导,创建报表服务器项目,并设计审计报表的页面格式,并在设置数据源和报表查询语句中时添加特定的参数,用于实现用户的交互式查询,并最后发布报表URL。审计员通过连接到报表发布的URL,通过在报表页面输入查询参数(如时间、数据库名等),报表服务便能够地从审计数据库中获取数据并按照指定的格式在客户端页面显示,实现审计数据的查询和分析。
5 测试及结论
我们通过对本系统与数据库自带审计方案进行比较,检验本系统能否有效地记录审计信息及验证采用分区表后的性能优势。实验环境为两台硬件配置为CPU 2.0GHz,RAM 1000MB,操作系统为Microsoft windows server 2003,并按照本文所述搭建成的审计应用数据库服务器和审计服务器。
1) 在应用数据库端,具有sa权限的用户执行一次存储过程sp_helpdb,在C2审计模式下产生了22条记录,如图4所示(注:由于篇幅限制,未列出全部列)。而本系统只得到一条记录,如图5所示。
我们可以看到,在C2审计模型中,审计结果会记录存储过程执行过程中所调用的所有步骤,这些冗余信息不仅增加了审计数据量,而且对用户没有价值,而本系统只产生一行记录,用户只需指定时间或操作用户名,便可以直观地查看到期待的结果。
2) 性能方面,通过本文审计系统,产生大小为100MB,104万行的审计数据,并将该审计数据分别存入分区表和普通表。其中图6是分区表的数据情况。
在相同的情况下,分别进行全表查询,分区数据查询以及历史审计数据转移,每项执行三次,取平均值,结果如图7所示。
我们可以得出如下结论,本系统对进行某个特定季度内的数据查询,具有较大的性能优势,而且在归档17万行历史审计数据时,与无分区相比,耗时从27754ms降到17ms,性能得到显著提高。对于普通的应用服务器,一年的审计数据可能会远远多于100万行,这种情况下,分区的性能优势会更加明显。
3)在相同磁盘负荷下,我们分别在C2审计模式和基于中心节点审计模式下,在应用服务器上执行800次sp_spaceused操作,应用服务器上的磁盘队列变化形式如图8所示,可以得出结论:由于基于中心节点的数据库审计模式不记录冗余数据,其写入磁盘的数据也远远小于C2模式,因此,在应用数据库系统繁忙时,其对应用数据库的影响明显小于C2审计模式,此外,通过有选择地审计,本系统对应用系统性能的影响会更小。
6 结 语
本文在SQL Server现有审计模型的基础上设计和实现了新型的审计系统,目的在于解决现有大型数据库中遇到的审计问题,实现合理地收集、存储和展示审计信息。
数据库的审计开启会影响数据数据库性能,且随着数据库操作量的增大,这种影响会显著增大,这时必须在安全审计系统和数据库系统性能之间做出权衡。本文设计的数据库审计系统较好地解决了这种权衡,它提供有选择地审计,并采用中心节点存储审计数据,降低审计对数据库性能的影响,且简化审计数据的查询。
此外,本文可以在审计技术理论和实现方面做进一步的研究,例如审计异常的监控,审计数据的安全传输等。
参考文献
[1]Buck Woody.Administrator's Guide to SQL Server 2005[M].UnitedStates:Addison Wesley Professional,2006.
[2]齐志国,韩慧莲.基于数据库跟踪审计研究[J].机械管理开发,2008,23(1):85-88.
[3]Dinesh Asanka.Basics of C2 Auditing[OL].2004.http://www.sqlservercentral.com/articles/Monitoring/basicsofc2auditing/1547/.
[4]Haidong Ji.Using SQL Trace to Audit Database Access[OL].2002.http://www.sqlservercentral.com/articles/Administration/trace/872/.
[5]Kalen Delaney.Inside Microsoft SQL Server 2005-The Storage Engine[M].Washington:Microsoft Press,2007.
[6]Irfan Baig.Building a Partitioned Table[OL].2007.http://www.sqlservercentral.com/articles/Development/3144/.
[7]Jim Joseph.SQL Server 2005 Reporting Services标准指南[M].路晓村,王杰,译.北京:电子工业出版社,2007.
数据库审计系统 篇2
一、引言
大数据是一种重要的战略资源,在大数据环境下,世界成为一个统一的数据集合,人们用数据化思维和先进的处理技术探索海量数据之间的关系,从而构筑一个更加透明化、对称化的世界。大数据已经成为经济发展的巨大引擎,在提升产业竞争力、推动商业模式创新方面发挥出越来越重要的作用。国家审计应积极适应,全面服务经济发展需要,认真分析研究大数据对传统审计带来的挑战,创新审计思维、组织方式和技术方法,优化信息系统审计,提升审计数据分析能力,培养大数据人才,以应对大数据时代带来的深刻变革。
二、信息系统审计的基本类型
1.真实性审计
真实性审计主要是对被审计单位的信息系统以及电子数据的真实性、准确性、完整性进行的审核,为财务审计提供基础支持。面对信息系统存储、处理产生的海量数据,传统的审计技术方法已经捉襟见肘,难以实现有效地分析判断。因此,大数据环境下的审计首先必须核实被审计单位的电子数据,只有确保数据的真实和准确,才能确保根据数据进行的`审计工作的有效性。审计人员核实信息系统中数据与实际业务流程符合程度,发现信息系统使用过程中的固有弊病,能够避免对假账进行有效审核的现象,提高财务审计的准确性。
2.安全性审计
安全性审计以被审计单位电子信息系统的安全防护为主要目标,确保信息系统的安全、持久、可靠运行。随着现代信息技术的迅猛发展,企业及党政机关事业单位正面临着前所未有的网络安全威胁。为确保财务审计的合理性,审计人员应从信息系统漏洞的防护人手,采取必要的防护措施,使信息系统存储、处理产生的重要数据免于因恶意篡改,或因未授权访导致的泄漏等问题,始终处于安全状态。
3.绩效审计
绩效审计是企业财务审计的核心内容,进行绩效审计主要是确保投人与产出之间的比值小于1.绩效考核的对象不仅在于人,还在于对影响企业利润生产的主要因素的分析和审计,使企业获得直接的或间接的利润。基于大数据环境的信息系统审计使企业间接利润获取的主要途径,货币核算并不能作为企业审计的唯一内容。在企业绩效审核过程中,由于信息系统的流程复杂,且对操作人员具有较高的要求,因此如何衡量信息系统审计与成本投人之间的关系,是企业面临的主要问题。为提高信息系统的审计效率,应从系统的开发成本支出人手,降低信息系统的设计和应用管理,以降低审计系统风险。正确、合理地评价企业信息系统投资的绩效,给企业的投资者、债权人、管理者与经营人员提供专业的市场信息,能够确保企业审计的积极作用,促进审计部门的可持续发展。
三、大数据环境对信息系统审计的影响
1.庞大的数据信息影响审计效率
大数据环境除了为审计带来方便之外,繁杂的信息同时也影响了数据信息的审计。对于一些部门来说,审计信息包含了大量的文字信息、音频信息和视频图像等信息,信息处理存在一定的困难。加之一些被审计单位缺乏信息财务管理经验,在处理手段上缺乏先进性,尤其是在无关联信息处理上,更难发现问题。
2.大数据环境下的系统分布特征加大了审计难度
目前,随着分布式网络的快速发展,网络信息呈现出节点。在计算过程中,容易出现延迟,网络传输延时、不同的节点空间坐标都将给企业网络信息造成威胁。目前,企业多采取动态审计码获取的方式增加其安全系数,但与同时,这一方式也增加了审计难度。
3.审计范围增大,审计内容增多
大数据环境下,信息更新速度快,被审计单位的业务量也随之增加。另外,信息系统已经成为处理大量信息的被审计单位不可或缺的设施,为其提供管理效率化及使用便捷化。因此,审计内容不仅包括传统的审计内容,还包括被审计单位信息系统的基础设施控制与硬件控制,网络安全性能控制、系统开发、维护和控制。
4.新技术的发展对网络审计人员提出新的要求
随着网络技术的不断发展,基于云处理新技术、物联网业务大量出现,信息系统也变得更加先进和复杂。传统的审计技术已经不再适用信息系统审计的发展。也就是说,新技术对于信息系统审计人员提出了新的要求,其中包括扎实的财务信息基础、多元化的信息系统管理安全知识。但在更新发展过程中,审计人才的招聘和培养存在滞后性。如何培养专业性、复合型审计人才,提高审计项目质量值得审计机构深人研究。
四、大数据环境下信息系统审计的关键技术分析
1.基于网络基础的信息系统安全审计
安全审计是对被审计单位信息系统的监督管理行为,需要对网络信息进行实时跟踪,并提供数据记录。捕捉系统存在的安全隐患的系统信息并进行调整,并生成管理日志。针对目前情况下的先进的信息技术,开展基于大数据环境的安全审计,需要着重探索基于神经网络的安全审计技术,确保安全审训顷利开展。
2.基于大数据环境的信息系统审计证据生成技术
审计证据生成技术是指在计算机取证过程中使用信息系统整体保护措施。在确保大数据环境整体性的基础上对被审计单位数据进行有效的取证调查。其主要作用在于确保了审计原始数据的完整性,提高其安全系数。总之,审计证据生成技术尝试使用除信息系统以外的第三方公证机构,通过原始数据签名的方式来确保系统数据的完整性。
3.审计技术方案改革与完善
在传统审计基础上,实施网络审计方式,需要对相应的技术进行改进。其中包括:基于程序追踪、专家信息基础与管理控制测试矩阵相结合的审计技术,在被审计单位内部建立专业的审计信息系统,为被审计单位提供庞大的信息处理方式,并随着被审计单位发展对其进行完善。
参考文献:
[1]顾洪菲。大数据环境下审计数据分析技术方法初探[J]中国管理信息化,2015,03:45一47.
数据库审计系统 篇3
关键词:会计信息系统 审计 数据有效性 内部控制
中图分类号:G202文献标识码:A文章编号:1006-8937(2009)03-0070-02
1 数据有效性的定义
在目前的财务报表审计工作中,审计人员在了解被审计单位及其环境之后,实施控制测试程序和实质性测试程序,而在实施实质性测试的时候,会先从被审计单位的会计信息系统中采集所有与审计相关的数据,假设审计人员能够采集与被审计单位的会计信息系统中的数据完全一致。但是由于会计信息系统本身所固有的风险性,会使得其产生大量的数据不正确,或者不真实可靠,这将使审计的风险大大增加,产生事务所可能无法接受的风险,这时候就不应该继续审计工作。所以,在审计工作实施之前,应当把分析被审计单位会计信息系统所产生数据的有效性作为应当执行的程序。
数据有效性是指体现审计需求的程度。审计中利用会计信息系统所产生的数据的主要目的是为了取得审计证据,支持其关于审计事项的判断或结论。据此,我将会计信息系统的数据有效性定义为以下几个方面:可验证性、可理解性、可分析性、正确性、完整性和惟一性。
2 数据有效性的影响因素分析
会计信息系统由计算机硬件及其环境,计算机网络,系统管理软件和应用软件组成。影响被审计数据的有效性主要是会计信息系统的风险性。会计信息系统的风险是指由于各种不确定因素的影响,系统输出的会计信息与真实信息发生背离的可能性。会计信息系统既给会计工作带来了高效率,同时也带来了一些手工条件下所没有的风险。种种安全隐患在会计信息系统中突出表现在以下四个方面:
2.1 系统环境
系统环境因素主要是指会计信息系统的硬件和软件、系统开发以及自然环境等方面的因素。
2.1.1 硬件和软件
在硬件和软件方面由于硬件失灵、逻辑线路错误等而造成信息传递或处理中的失真,或由于网络软件自身的程序、后门程序、通信线路不稳定等因素都为系统的安全带来诸多隐患,使系统面临病毒和黑客的攻击。
2.1.2 系统开发
在系统开发方面,主要表现为没有按科学的方法架构网络、开发系统和设计程序,系统未经测试和调试等,而致使财务信息面临被窃取的安全隐患。
2.1.3 自然环境
在自然环境方面,火灾、水灾、风灾、地震等都有可能造成系统的安全问题。
2.2 管理制度方面
传统会计系统非常强调对业务活动的使用授权批准和职责性、正确性与合法性,在会计信息系统下,原来使用的靠账簿之间互相核对实现的差错纠正控制已经不复存在,光、电、磁介质也不同于纸张介质,它所载信息能不留痕迹地被修改和删除,使企业内部会计控制面临失效的安全隐患。因此,在会计信息系统下管理制度方面的影响要素主要包括会计信息系统的建设组织、管理制度、人员配备、内部审计机制等。
2.2.1 建设组织
在组织方面,存在职责不分、没有监督机构等问题。
2.2.2 管理制度
在管理制度方面,存在没有健全的管理制度,或者是有章不循、有规不依等问题。
2.2.3 人员配备
在人员配备方面,存在企业没有对网络会计系统以足够的重视,没有配备足够的人员,尤其是没有配备足够的系统安全人员的问题。
2.2.4 内部审计机制
在内部审计机制方面,存在没有建立有效的内部审计机制,或者建立的内部审计机制没有坚持执行等问题。
2.3 数据处理方面
在会计信息系统中,需要财务部门集中输入的记账凭证可由各部门的多台计算机同时输入。这虽然提高了整个账务处理的工作效率,也遵循了会计数据输入的及时性原则。但毕竟会计数据的数量是庞大的,数据处理会出现多种错误。一是输入环节录入错误信息,使用无效代码,击错功能键,丢失数据,重复输入,没有将数据存盘等。二是处理环节使用了错误程序,使用了错误的数据文件以及丢失数据文件和程序等。这些使会计档案面临保存失效的安全隐患。
2.4 人员素质方面
其安全隐患主要包括:
第一,人员配备方面没有配备足够的系统安全人员。使用与管理人员培训不够,业务素质偏低,容易产生错误操作,从而对计算机会计信息系统安全构成威胁;
第二,责权不明、管理混乱、安全管理制度不健全及缺乏可操作性等都可能使安全风险增强;
第三,内部人员道德风险,主要指企业内部人员对会计信息的管理不善、非法篡改、破坏和不正当泄密等,造成资料损坏或丢失,为犯罪造成可乘之机。
3 针对数据有效性的威胁,审计人员应当采取的措施
国际上知名的会计师事务所都已经意识到会计信息系统所带来的审计风险,并且让信息系统审计师协助审计小组工作。审计小组应该首先了解:会计信息系统的一般控制和应用控制,被审计单位是否配备了合格的系统安全管理人员。然后请专家(即信息系统审计师)根据审计对会计信息数据的需求,实施一定的信息系统审计方法来测试会计信息系统产生数据的有效性,以达到降低审计风险的目的。
3.1 应当了解的情况
审计人员应该了解会计信息的一般控制和应用控制。
3.1.1 一般控制
一般控制作为会计信息系统的主要控制手段之一,涉及面很广,从人员管理到计算机软硬件及运行环境的管理等,具体包括以下几个方面:
组织控制:指为保证会计信息系统责任和义务而采取的控制。具体包括:建立管理的组织机构,选择、监督、培训人员,职责分工并授权,计算机应用系统建立的组织,以及 会计信息内控制度计划、引导、管理。
系统开发与维护控制。具体包括:系统开发计划控制,编程与软件测试控制,系统维护及功能改进的控制以及日常运行管理维护,文档资料的控制。
软件与硬件的控制。具体包括:硬件系统控制,软件系统控制,网络系统控制。
安全控制。主要涉及计算机系统的环境安全、设备保护以及安全保密制度。
操作控制。主要涉及使用计算机系统的一整套管理制度,包括计算机系统操作规程和守则,上机日记,保密制度等。
3.1.2应用控制
应用控制的目的是保证计算机系统数据处理的完整性、一致性、准确性和安全性。一般分为输入控制,处理控制和输出控制。
输入控制。其目的是保证经审批的经济业务数据准确输入计算机系统。输入控制与组织控制是相辅相成的,业务审批应在电算部门之外。
处理控制。其目的是保证会计信息系统按程序设计的要求进行数据处理。一般通过计算机程序加以执行。
输出控制。其目的是保证会计信息系统处理结果能正确的输出,任何未经授权的人不能取得计算机系统内的数据。
上述介绍的是在会计信息系统环境下系统完整的内部控制体系。对一个企业来说,实际情况是,其内控往往并不能包括全部,如一些单位的应用软件是购买的,对软件的开发过程的内控实际上是无法控制的。因此,审计人员在实际测试工作中,还要针对每个企业实际情况制定具体的测试方案,进行符合性测试和实质性测试,并对其会计信息系统的内控做出评价,然后根据测试结果决定是否依赖或部分依赖会计信息系统下的内控制度制定,并制定相应的审计策略,同时对内控制度存在的重大缺陷提出管理建议。
3.2 信息系统审计师实施的主要测试方法
审计通过检查系统状态是否正常或是否符合包括系统和组织策略在内的安全需求来支持对操作的保障。
3.2.1自动工具
对安全特征的人工检查是一项费时的重要工作。自动工具使得对大型计算机系统的各种安全错误的检查成为可能。它可以用来发现各种威胁和漏洞,如不适当的访问控制、脆弱口令、缺乏完整性的系统软件,或没有及时更新和修补的软件。有两种类型的自动工具:一种是主动工具,它是通过破解系统来发现系统缺陷的工具;另一种是被动工具,它是用来检查系统和通过系统状态推断系统所存在问题的工具。
3.2.2内部控制审计
审计可以对己经部署的控制进行检查以确定它们是否有效。审计者通常会对计算机和非计算机的控制进行分析,其技术包括询问、观察、测试(包括控制本身及其数据)。审计还可以发现非法活动、错误、反常行为和法律法规的执行疏漏。
3.2.3安全检查表
计算机安全可以通过检查表的方式对系统进行审计。安全计划对系统中包括管理、操作和技术在内的主要安全要求进行概括。审计者也可以自己开发出合适形式的检查表。
3.2.4 系统日志的检查
定期对系统产生的日志进行检查可以发现安全问题,包括超越系统权限的在非正常时间内访问系统的企图。
3.2.5报警和阻断
报警子系统发现和警示非授权的操作或企图,并报知系统管理员。阻断响应则是对非授权的操作进行阻止,对非授权的操作所引起的操作结果进行恢复。
4 结语
综上所述,在会计信息系统条件下开展财务报表审计工作,必须要充分认识并考虑会计信息系统的潜在风险,并且应实施相应的审计程序,以合理保证会计信息系统产生数据的有效性,达到降低拟信赖该系统所带来的审计风险。
参考文献:
[1] 李荣梅,陈良民.企业内部控制与审计[M].经济科学出版社,2004,(8).
[2] 刘汝焯.计算机审计技术和方法[M].清华大学出版社,2004,(6).
[3] 唐勇军,时薛原.网络环境下的会计信息内部控制研究[J].财会通讯,2003,(10).
[4] 袁树民.电算化审计[M].上海财经大学出版社,1996,(6).
数据库审计系统 篇4
一、数据库审计的安全目标
按照上级行下发的关于数据库系统运行管理专项审计实施方案, 常州市中心支行逐项对照审计内容, 对数据库系统制度建设、岗位设置、账户管理、口令 (密码) 管理、权限管理、安全管理、运行维护、备份与恢复等内容开展了专项审计, 针对审计过程中发现的问题和风险隐患提出了意见和建议, 促进数据库管理系统的安全、有效运行, 达到了实施审计的安全目标。
(一) 持续审计, 警示风险。
由于信息系统安全的重要性, 近年来, 通过每年有针对性地安排中心支行信息系统安全管理专项审计项目, 不断查找问题、落实责任、警示风险, 有力地增强了被审计对象的风险防范意识。
(二) 完善措施, 着力整改。
通过建立完善的数据库安全运行管理岗位问责办法, 明确审计过程中发现的问题的具体经办人、部门负责人、分管行领导, 并落实其应承担的直接责任、主管责任或领导责任, 督促被审计对象在规定的时间内对审计过程中发现的问题及时整改, 审计部门通过建立整改台账以及开展后续跟踪检查, 保证审计效果, 进而实现信息系统数据库的长期稳定运行。
二、数据库系统运行中存在的主要问题
(一) 基础管理工作方面。
一是制度建设不到位。存在未按规定建立数据库系统运行管理和维护手册或操作规程, 未建立系统运行登记簿来对有关系统运行活动进行有效监督。二是对数据库系统和业务应用系统的管理维护均由系统管理员承担, 且未对系统管理员的相关操作活动采取具体的监督措施, 存在一定的风险隐患。
(二) 系统账户管理方面。
一是账户管理不规范。未对系统中的闲置账户实施有效控制和管理, 被检查的系统中存在系统安装时自动生成的账户, 而未根据系统账户管理要求创建普通用户账号用于处理日常事务。二是账户口令 (密码) 管理不严密。表现为系统密码设置不符合复杂性要求, 容易被不法分子侵入。三是未对重要业务数据用户权限进行严格限制。在检查数据库管理系统重要业务数据表的用户情况时发现, “select on syscomments.text”的参数为1, 未对权限设置作限制处理;数据库操作系统中“Allow rescoure limit”的参数值为0。
(三) 安全管理方面。
一是未开启数据库操作系统安全审计功能 (日志记录功能) 。由于认识不到位, 认为该项功能不开启对系统安全不会产生影响, 与上级行关于“日志备份后, 应定期清理, 并有记录”的规定不符。二是数据库网络密码不加密或数据库远程访问设置不严密。如在国库会计核算系统数据库sql advantage中运行exec sp_helpserver, 记录的参数为“no net password encryption”, “rpc security model A”, 表明数据库服务器网络密码不加密, 不提供安全机制;又如在sql advantage中运行exec sp_configure, 界面显示“Allow remote access”选项为1, 表明允许远程访问, 对数据库系统可能造成风险隐患。
产生上述问题的原因包括主观原因和客观方面。
1. 主观原因。
一是制度建设还不到位。目前, 基层央行“重创新、轻基础, 重业务、轻管理, 重操作、轻风险”的意识还普遍存在, 对内部制订相关制度规程和建立管理登记簿往往滞后。二是防范风险的意识还不强。认为人民银行数据库系统与外界不直接相通, 有防火墙进行隔离, 因而忽视了风险隐患的存在。三是系统维护员顾及系统重新配置可能带来的风险, 一般不会在生产机上进行参数更改, 由此可能造成主备机配置不一致的问题。
2. 客观原因。
数据备份与恢复是保障数据库安全的重要环节, 通过网络进行系统和数据的备份可以大大提高系统备份的有效性、可靠性和效率性, 但为了加强系统和数据安全, 又必须关闭服务器的远程服务。业务人员在主机上备份, 再手工倒入备机进行有效性检验, 这大大降低了每日备份的工作效率。另外, 由于需要业务人员频繁出入机房, 在服务器上进行操作, 又产生了针对服务器的操作风险, 两者之间存在一定矛盾。
三、实现数据库系统安全运行的途径
(一) 提高认识, 加强管理。
要进一步增强风险防范风险意识, 从系统安全角度入手, 加强系统维护管理。针对存在的问题, 要认真整改, 落实措施, 举一反三, 切实消除风险隐患。同时, 要加强对系统维护人员的培训, 认真按照人民银行总行下发的信息系统安全配置指引———数据库分册和操作系统分册等文件中的有关规定进行操作, 进而提升基层央行信息安全管理水平。
(二) 强化各项基础工作。
依据上级行规定并结合自身实际, 制订数据库系统运行管理和维护手册或操作规程, 明确管理和维护职责, 按要求对数据库系统运行进行日常监控和管理操作。建立数据库系统补丁升级登记簿, 设置相关栏目, 在安装系统补丁程序、版本升级或系统重大调整时进行备份, 并认真登记。
(三) 积极沟通, 提高效率。
数据库审计系统 篇5
目前,基层审计机关各审计组(基层审计机关一个科室一般即为一个审计组,为论述方便,下面均称审计组)的业务开展基本处于“各自为政”、“单兵作战”的状态,缺乏必要的联系和互动,审计资源的共享性差,在一定程度上影响了审计机关整体工作水平。
一、审计资源共享性差的主要表现
(一)财政预算执行审计未能发挥龙头作用
财政预算执行审计可以说是所有审计项目的“龙头”,尤其是在审计过程中采集的预算外财政专户数据库、国库支付中心数据库,经过整理、筛选之后,可能为其他审计项目提供审计思路或审计数据(传统审计方式也基本如此),如预算外财政专户数据库包括清雪费、城市居民卫生费、学杂费等各项收费记录和往来资金结算票据及行政事业性收费票据出售记录,可能是其他审计项目所需要的。但是在实际工作中,财政预算执行审计未能较好为其他审计项目提供必要资料。
(二)对违法违规问题的定性和处理处罚依据不统一
在实际工作中,各审计组对同一性质违法违规问题的定性和处理处罚,有时并不统一。此外,也经常存在这样一种情况,即对同一类被审计单位的同一种行为,有的审计组认定为违法违规问题,而有的审计组没有当作违法违规问题。
(三)财经审计法规未能有效共享
很多基层审计机关未能实现财经审计法规的统一电子化管理,而是以审计人员个体为单位,自己管理曾经查阅和积累的财经审计法规,具有很大的局限性。另外,由于学习不够、信息获取渠道不畅等原因,在财经审计法规未统一管理的情形下,有的审计人员仍在使用废止的文件却毫不知情。
(四)各审计组之间未能互相提供疑点和线索
被审计单位之间的经济活动一般存在着或多或少的联系,同类被审计单位的会计核算和经济业务也存在着可比性,但在各审计组之间未能互相提供疑点、线索和可以互相借鉴的基础信息,致使很多隐蔽的违法违规问题未能发现,或者是明知被审计单位有某种违法违规问题,但因证据不足而无法查处。目前,个别审计人员比较注重审计线索的收集,并取得了意想不到的效果,但这仅属于个人自发性的活动,未能形成审计机关内部整体效应。
(五)各审计组之间未能充分交流审计经验
经过多年的实践,每名审计人员都积累了很多行之有效的审计技巧和方法,但在实际工作中,各审计组之间未能充分交流审计经验,使审计机关的整体审计质量受到影响。尤其是目前基层审计机关出于培养审计干部和人力资源整合的目的而实行轮岗,常有不同的审计组先后审计同一类别的被审计单位,有时候审计机关也同时派出多个审计组开展某一类审计对象的审计,对同类被审计单位如医院、学校、街道办事处等,很多审计方式和技巧是通用的,在这种情况下,充分交流审计经验更为重要。
二、建设基础数据库实现资源共享的必要性
(一)是审计管理机制创新的需要
审计管理水平低是制约基层审计工作发展的一个重要因素,也是我国审计与国际现代审计的主要差距所在。创新审计管理机制,强化审计管理,首先就是要坚持“一盘棋”工作思路,对审计资源进行科学整合,最大限度地发挥审计机关的整体效能。
(二)是提高审计质量的需要
审计质量是审计工作的生命线,是审计机关赖以生存和发展的基础,通过加强共享,整合审计资源,能够促进多出精品项目,为全面提升审计工作质量打下良好的基础。
(三)是规避审计风险的需要
审计机关是执法部门,若法律法规运用不准确,势必影响审计机关的权威性和公正性。另外,会计核算中心或国库支付中心成立后,行政事业单位的违法违规问题更加隐蔽,“就账目查账目”的审计方法所形成的审计报告,有时不能全面揭示被审计单位经济活动的全貌,给审计工作带来很大风险。
(四)是提高工作效率的需要
审计工作专业性强,内容复杂,各阶段的审计工作量都比较大,而审计资源共享可以减少很多重复性的工作,提高审计工作效率。
(五)是培养年轻审计干部的需要
内容丰富的审计资源数据库,对青年审计干部来说是重要的教科书,有利于提高年轻审计干部的业务水平,为审计事业的发展提供后备力量。
三、应建设哪几个审计资源数据库
基层审计机关应按照《审计署20__至20__年审计工作发展规划》的要求,在避免重复建设的原则下,挖掘审计业务需求,建设好以下几个基础性的审计资源数据库,为审计业务开展提供良好的支撑。
(一)财经审计法规数据库
现有法律法规查询软件尽管提供了数以万计的记录,但过于庞杂和兼顾通用,多数并不适合审计机关尤其是基层审计机关,软件更新的效率有时也难尽人意,因此,根据工作实际建立一个“小而精”的财经审计法规数据库很有必要。
(二)违法违规问题定性和处理处罚依据数据库
违法违规问题定性和处理处罚依据数据库的建设,可以保证定性和处理处罚的准确性和统一性,同时也方便审计人员查询,减少审计报告阶段的工作量。
(三)审计线索数据库
审计线索数据库的.建设,使各审计组互相利用彼此在审计过程中发现的疑点、线索和其他有借鉴价值的基础信息,形成线索联动机制的整体效应,可以为查处“小金库”和其他不易发现的违法违规问题开辟一条便捷的通道。
(四)被审计单位数据库
被审计单位数据库,应列明被审计单位的经济性质、管理体制、财政财务隶属关系、执行会计制度类别、银行账户建立情况、人员编制、机构设置、下属单位、业务流程、收费情况、以前年度审计情况和发现的问题,方便审计人员在审前调查时参考使用,在编制审计方案、确定审计重点和方法时参考使用。
(五)审计经验数据库
该数据库主要管理审计方法和技巧,如某类被审计单位适用哪些特殊审计方法,需要重点审计哪些资料,常见哪些问题。通过审计经验的交流,共享审计智慧,提升审计机关整体工作水平。
(六)财政预算执行审计资料数据库
该数据库主要根据财政预算执行审计过程中采集的国库支付中心数据库、预算财政专户数据库(一般含各种行政事业性收费、非税收入记录和各种票据出售记录)生成,在全年项目开展过程中,可根据被审计单位随时筛选相关的数据,并应用在当前开展的审计项目中。
四、如何建设好审计资源数据库
(一)全员参与审计资源积累
所有审计人员应破除“私”心,要认识到共享资源是“人人为我,我为人人”的行为,是提高审计机关整体工作水平的大事,将自己掌握的审计资源无私奉献,积极参与到审计资源数据库建设中来。
(二)指定专人管理,及时更新
审计机关应指定专人管理上述几个基础数据库,根据各审计组上报的财经审计法规、违法违规问题定性和处理处罚依据、审计线索、被审计单位资料、审计方式和技巧等数据,及时动态地维护审计资源数据库,并将更新后的数据库下发给各科室,供其在审计中查阅、使用。
(三)纳入考核范围,确保数据质量。
审计机关应将审计资源数据库建设情况纳入单位年度考核中,采取奖惩结合的方式,督促和鼓励审计干部积极上报审计基础资源数据库所需信息,积累数据资产,使数据库内容不断充实和丰富。
(四)开发具有较好检索功能的管理系统
审计机关可以根据实际情况,外托或自行开发具有多种检索功能的信息管理系统来管理数据库,使审计人员在工作中能够快捷、方便地检索几个审计资源数据库中的信息并加以应用。visual foxpro、access都是比较简单的数据库管理系统,也带有较好的程序开发功能,基层审计机关可以充分利用计算机骨干人员的特长,应用这些相对简单的小型数据库管理软件开发一个适合本单位使用的管理系统,在开发过程中,应注意设计好数据结构,并精心构思多种适用的检索方式。
(五)充分利用oa和ao现有资源
数据库审计系统 篇6
【关键词】审计机关;预算执行;审计;创新
一、基层审计机关预算执行审计概述
在基层审计机关中,预算执行审计是一项重要的工作内容,有利于促进财政改革,保持经济社会稳定发展。具体来说,预算执行审计的内容包括以下几点:第一,审查预算编制是否科学合理,有没有及时对预算进行批复;第二,执行各项支出,审查支出数额是否和批复预算的数额相一致;第三,管理会议费用,控制三公经费,培养勤俭节约的精神,并审查公务接待和会议内容;第四,审查结余资金的用途和真实性,看是否满足新预算法的规定;第五,审查国有资产的合法性,检查账面记录,看各种收入的真实性,以及是否满足收支两条线的原则;第六,审查专项资金的设立是否科学合理,是否有完善的监管和绩效考核机制。新的预算政策出台后,基层审计机关中的预算执行审计工作出现了诸多问题,对于审计工作的开展形成阻碍。
二、预算执行审计中存在的问题
1. 管理制度不完善
分析预算执行审计工作,管理制度不完善表现在以下几个方面:第一,审计工作缺乏全面性,以国税、央企等审计工作为例,由于上级下级之间的授权范围受限,就会导致审计中出现真空状态。如此一来,上级部门不会关注审计工作,本级部门又没有审计权利。第二,预算体制问题,审计工作中对于增值税的收缴,在预算收入中具有较大比例,该项税收由国税部门负责征收,基层审计机构无权进行监督管理。第三,预算支出问题,收入清单是由财政部门、税收部门提供的,其中记录了乡镇税收情况,应该根据是紧急情况合理安排额度。由于审计部门没有对预算情况进行详细划分,所以容易造成审计缺位、监控缺失的情况。
2.审计方法单一
随着财政体制的改革,政府职能发生变化,同时财政的收支、结构等也发生了变化。尤其是财政管理职能加强,对于审计方式提出了更高的要求。然而,实际工作中对审计方法的调整不到位,审计工作模式难以适应时代发展需求,而且以事后监督为主;另外,监督检查质量差,难以对有效的监督手段进行利用。以查账工作为例,手工操作不仅效率低,而且还会出现人为错误。
3. 审计人员素质低
审计人员的素质高低,直接影响着审计工作的质量,当前基层审计机关审计人员的素质低,体现在两个方面:一是单位不重视人员的培训学习,用于这方面的经费较少,无法及时掌握相关技术手段,造成工作效率低、信息化水平低。二是在专业和编制的影响下,审计人员存在老龄化问题,难以及时补充新鲜血液,也不利于审计工作的创新。
三、大数据环境下预算执行审计的创新
1. 采用审计大格局模式
审计大格局模式的应用,要求做到以下三点:第一,改变组织架构,从人员构成、职责分工等方面进行重新组织,尤其加强顶层设计和统一指挥。第二,对审计阶段进行重新划分,制定科学的流程图,明确考核时间点和相关注意事项。通过对大数据进行横向比较,及时发现疑点线索,作为审计重点方向。第三,采用专业的审计调查方法,及时对疑点数据进行总结分类,将风险评估、审计抽样等结合起来,有利于提高审计效率。
2.大力推广绩效审计
绩效审计是审计工作的重要发展趋势,有利于实现审计方式的创新。具体操作时,第一,应该合理应用绩效评价体系,通过分析比较各项评价指标,明确审计工作中的不足之处。例如对不同年度的绩效目标进行比较,从而了解预算资金绩效的变化情况。第二,充分发挥数据分析的作用,从不同的维度出发,对审计工作进行分析,并遵循绩效审计的方法和要求。例如针对资金的闲置和挪用情况,绩效审计能够从不同方面发现管理制度存在的问题,并对其进行改进和完善。
3. 加强数据分析应用
大数据背景下,应该从数据的采集、分析等方面入手,开展数字化的审计工作,为现场审计进行指导,从而提高工作效率和质量。针对于此,首先应该采集数据,要求审计人员了解系统数据架构,掌握财政业务的数据表示方法,將各种基础信息熟记于心。其次,采集工商、税务、社保等数据,通过相应转换为分析工作打下基础,要求采用标准表的格式,对查询脚本进行编写,确保审计数据相互关联。最后,数据分析应该立足于全局,构建科学的分析模型,有利于及时发现审计疑点或问题。
4.加强人才队伍建设
对于基层审计机构而言,其一,要拓宽审计人员的培养渠道,不断促进信息化水平的提升,制定一套科学的人才培养方案。其二,通过教育学习的形式,开阔审计人员的视野,提高审计人员的业务技能,掌握新型的审计理念和技术方法。其三,制定合适的激励机制,用来提高审计人员的主观能动性,端正工作态度,增强责任意识,能够积极参与审计工作和培训活动。针对表现优异的员工,给予表扬和物质奖励,发挥模范带头作用。
四、结语
综上所述,在基层审计机关中,预算执行审计的内容较多,通过分析可知,审计工作中存在的问题,集中在管理制度不完善、审计方法单一、审计人员素质低三个方面。针对于此,审计方法的创新,可以从以下几点入手:第一,采用审计大格局模式;第二,大力推广绩效审计;第三,加强数据分析应用;第四,加强人才队伍建设。
参考文献:
[1] 胡三毛.浅议大数据环境下基层审计机关预算执行审计方法创新[J].金融经济(理论版),2016,(09):161-162.
[2] 梁莉.基层审计机关预算执行审计中存在的问题及改进意见[J].时代金融(中旬),2015,(02):209-209,216.
[3] 赵波.当前财政预算执行审计创新探析[J].现代审计与经济,2011,(06):21-23.
[4] 徐见月.分析新预算法下基层单位预算执行审计共性问题及对策[J].财会学习,2015,(17):52-53.
数据库审计系统 篇7
(一)审计概念与内容的比较
国际信息系统审计委员会(ISACA)将信息系统审计定义为:“信息系统审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率利用组织的资源并有效果地实现目标的过程”。从该定义上看,信息系统审计是通过对计算机系统合法性、可靠性、安全性和有效性的审计,对被审计信息系统做出评价。信息系统审计的客体是计算机系统,其目标是对计算机系统进行评价,以确定计算机系统的可靠程度,为进一步对计算机系统产生的数据进行审计提供保证。信息系统审计不仅包括软硬件的获取、系统规划、程序设计、运行维护等过程的审计,还包括数据完整性、安全性等审计内容。
数据式审计是以系统内部控制测评为基础,通过对电子数据的收集、转换、整理、分析和验证,来实现审计目标的审计方式。数据式审计的客体是信息系统所产生的电子数据,分为:系统环境、系统开发、系统应用和外部控制四个步骤,其中最主要的步骤是系统应用测试。通过各种方法测试,获取必要的证据,确定信息系统的各项处理功能是否有效、信息系统的控制是否健全有效以及信息系统是否得到及时正确的维护,从而判断信息系统的可靠性和有效性。目前审计机关开展的信息系统审计实践,主要集中在系统应用测试方面。
数据式审计的过程主要分为审计数据的收集、数据转换与整理和数据分析与验证三个阶段。审计数据的收集是以信息系统内部控制测评为基础,对被审计单位信息系统产生的数据进行收集的过程。数据收集是数据式审计的前提和基础,具有明确的选择性、目的性和可操作性,可以通过计算机系统终端查询下载,也可从信息系统后台数据库直接取得;数据转换与整理首先是对采集数据的选择、判断和释义,然后按照审计需求,不仅是语法层次的转换(将不同的数据结构转换成统一的数据形式),而且通过语义上的转换,将原始的数据表,通过对电子数据的收集、整理、分析,获取证据,实现审计目标。
可见,信息系统审计拓展了审计的内涵和外延,审计范围涵盖了信息系统环境、设计、开发、功能应用、系统安全等方面,显然对审计人员的能力提出了更高的要求。然而信息系统审计的目的仅仅确定信息系统是否可靠,是开展数据式审计的前提,并不直接与审计目标相关,无疑增加了审计程序和成本,对于基层审计机关来说,具有更高的要求;数据式审计是信息系统审计的延续,是直接与审计目标关联的审计方式,审计内容独立、目标明确,对基层审计机关来说更容易开展。
(二)审计过程的比较
根据信息系统审计的主要内容,信息系统审计首先要对信息系统建立的软硬件环境进行审计,其次要对信息系统的规划设计和程序开发等系统开发的内容进行审计,然后要对信息系统的运行管理与控制和功能实现等内容进行审计,最后要对信息系统的安全和其他情况进行审计。概括起来根据不同的字段含义和数据表间的关系,自由重新组合,转换成审计目的的中间表。数据转换与整理的目的在于去除干扰,提高数据质量,检查所采集数据的真实性、完整性,同时建立审计中间表,为数据分析奠定基础;数据分析主要从总体分析和个体分析两个方面入手。总体分析通过多种分析方法,把握总体和趋势,发现异常,锁定重点;个体分析针对总体分析确定的重点项目,利用法律规章的具体规定、数据间的勾稽关系、业务逻辑与流程、内外数据关联、审计经验和专业判断建立个体分析模型,内外关联,筛选分析数据。验证阶段主要通过延伸审计、外部调查等方法对分析的数据结果进行准确性验证。数据式审计的三个阶段是一个紧密联系的完整体系,其间根据不同的审计客体,运用的方法有多有少,步骤有繁有简,但三个步骤紧密结合、缺一不可。
从审计过程来看,信息系统审计涉及到信息系统的开发、运行、维护和安全各个环节和控制,不同的信息系统审计过程又不尽相同,审计步骤设计繁杂多样,对信息系统开发过程和控制环节缺乏了解的审计人员来说,掌握起来具有一定的难度。相对来说数据式审计过程则简单稳定,只要把握以数据为中心的采集、整理和分析三个阶段即可。
(三)审计方法的比较
信息系统审计的方法主要有程序流程图检查法、程序运行结果检查法、受控处理法、程序编码检查法、追踪法、系统测试软件法、日志分析法、测试数据法、嵌入审计程序法等方法。程序编码法需要一定的编程语言基础,通过索取被审计系统分析、设计资料和程序编码,审阅分析、设计资料,了解被审计系统具备的处理和控制功能,围绕审计目标选择要检查的程序,尤其要关注高度敏感、重要的、相对简单的程序,证实某一程序是否按程序说明书和逻辑流程图编写,以检查被审计系统是否按照原先的设计展开和系统的一些漏洞。测试数据法是审计人员通过设计一套交易数据,包括有效数据和无效数据,测试每一个可能的输入错误、逻辑过程和违反规定的事项,然后将测试结果跟人工核算结果进行比较,以验证程序的准确性。测试数据可以根据被审计程序控制及处理功能,设计若干虚拟的数据,也可以根据被审计单位以前月份或年度的输入数据稍加修改后利用。
数据式审计的方法主要应用在数据分析阶段。数据式审计的直接操作对象是被审计单位的原始数据,因此审计方法的主要应用是通过编写SQL查询语句或程序对数据整理后的审计中间表进行核对、检查、判断和审查,发现审计疑点,搜集审计证据。
从审计方法来看,信息系统审计对计算机专业知识的要求更高一些,所用到的审计方法大多都是计算机系统的专业测试方法,不仅要求审计人员具有一定的编程基础,而且要求审计人员掌握一些常见的软件编译方法,能看懂有关的测试结果。数据式审计只需要审计人员掌握标准化查询语句和一定的数据库知识,就能对被审计单位的电子数据进行审计分析。
二、建议
针对基层审计机关的特点,结合信息系统审计和数据式审计的分析,基层审计机关的现实选择是选择数据式审计模式,原因在于:一是信息系统审计对计算机的专业知识和技能要求更高,基层审计机关缺少具备相应专业和能力的审计人员。二是信息系统审计对人才培养的难度更大、周期更长。数据式审计只要求审计人员掌握固定程序和方法,或者掌握特定的审计软件使用方法,对于基层审计机关大部分缺少计算机专业知识的审计人员来说,利用较短的时间集中培训审计软件的使用方法和数据式审计技巧,显得更为便捷可行。笔者提几点建议:
(一)领导充分重视,营造良好的计算机审计软硬件环境
要改变传统的审计方式、方法和观念,推进计算机审计工作的开展,需要领导切实改变观念,加以重视,身体力行,发挥带头作用,重点做好以下工作:一要加大考核管理力度,将计算机审计的推广与应用作为一项硬指标落实到审计项目中;二要完善奖惩激励机制,形成计算机审计良性发展的竞争态势;三要针对本机关的实际情况,做好近远期规划,先培训人员,后引进软件,加强硬件设备的配备和软件应用的推广,做到人员水平、硬件配备和软件应用三者的平衡协调发展。
(二)积极探索人才培养模式,多途径、多方式培养计算机审计专业人才
基层审计机关人才培养要充分利用审计业务的特点和审计系统资源,多途径、有计划地培养计算机审计专业人才。同时,基层审计机关可以利用本机关的资源优势,组织一批具有计算机特长的审计人员和业务骨干,通过开展一定的计算机审计项目,培养一批具有复合能力的审计专业人才。
(三)强化数据式审计疑难集体攻关活动,推进数据式审计向纵深应用方面发展
数据库审计系统 篇8
随着计算机技术及互联网普及化应用的发展趋势, 电力行业已经完成了以业务核算为中心的信息化高速发展历程, 开始向系统管理信息化转型, 为后续的财务管理信息化应用奠定了良好的基础。电力财务信息化建设可以将财务信息进行充分共享, 但由于电力产品不可以长时间储存, 从发电、输电、配电和供电4个阶段都需要很紧密的协同处理, 必须采取统一调度、统一管理的的信息化建设模式。
ERP系统作为一种业内先进的企业管理手段, 在国家电网公司的应用已经带来管理系统上的高速革新。国家电网公司的ERP是建立在整个财务系统及行政办公系统之上, 所以, 数据库的安全性尤其需要保证, 非常有必要采用专业数据库安全防护设备进行数据库的保护和审计。
1 总体设计
1.1 关键技术
数据库审计系统可与目前电网的ERP系统以及财务系统进行有效融合, 能够对数据库使用现状进行实时的检测及评估, 根据实时的数据库网络流量构建实时的应用基准模型, 并自动指定安全策略。维护人员可以通过审查实时的检测评估报告了解目前数据库的使用状况, 灵活方便地制定数据库使用者的行为策略, 同时能够为数据库提供审计及内部使用报告, 灵活地满足各项安全性要求。
数据库审计系统以先进性、开放性、、高性能、高可用性为开发原则, 采用分布式部署、集中管理的体系结构;支持各种平台和版本下的主流数据库系统的审计;可通过Bind Variable完成基于数据库的查询;可以定义敏感数据表, 保护核心机密数据, 发现非法行为时可实时告警;审计策略可以灵活定义, 审计系统的引入不会对正常业务和数据库运行造成任何影响, 且满足权限分级的要求, 保证被审计人员无权对审计功能元进行操作、修改。
1.2 部署模式
数据库审计系统初期的部署方式采用侦听模式, 在这种方式下, 通过交换机的端口镜像将需要保护的服务器流量导入到数据库安全保护网关引擎的业务接口即可, 这种部署是对现有系统影响最小的方式。但由于数据库审计网关不在数据通路中, 无法对非法访问进行阻断。数据库审计系统部署模式如图1所示。
采用该部署方式具有以下优点。
1) 部署和维护方便。只需在核心交换机上做端口镜像即可, 系统的引入不对正常业务和正常的数据库运行造成任何影响, 同时满足权限分离的要求, 保证被审计人员无权对审计功能元进行操作、修改。
2) 故障风险小。若数据库审计系统出现故障, 整个信息系统的业务不受任何影响, 只失去数据库审计功能。
如果要对非法访问实时阻断, 可以采用在线部署的方式, 这种部署方式下, 可以实时地阻断非法的访问, 最大限度地保证核心数据库的安全性。数据库审计系统组网如图2所示。
2 数据库审计系统关键技术分析
2.1 数据库审计系统架构实现
数据库审计系统支持各种主流数据库, 包括对各种版本MS SQL Server、Oracle、Informix、DB2、Sybase的支持。整个数据库审计系统由数据风险管理、数据库活动监控和数据库实时保护模块组成。其中数据库风险管理包括数据风险评估和敏感数据发现模块;数据库活动监控模块包括数据库审计和自动生成合规报告模块;实时数据库保护包括Web应用安全、数据库安全模块。数据库审计系统总体架构如图3所示。
通过三大模块的集成, 数据库审计系统可对电网信息系统中部署有数据库的信息化平台进行有效的监控和审计, 确保数据库数据的安全。
2.2 数据库审计系统功能实现
2.2.1 详细的审计功能
对每一条数据库的访问, 审计记录要细致到每一次事务/查询的原始信息记录, 可以记录所有的关键信息, 包括数据库服务器结构、源和目的IP地址、相应内容和时间、存储内容及过程、操作指令等。
如果前台用户通过Web访问B/S架构下的应用服务器访问数据库, 还可以根据权限的不同, 审查并记录操作应用程序的用户名、操作前台程序的URL、会话访问ID、网页客户端IP地址设置等信息。对于通过SAP或Oracle EBS等C/S架构下的应用服务器的数据库访问, 可以记录最终前台用户的用户名。
为了有效地记录数据库访问操作, 审计人员需要尽可能详细地审计记录信息, 详细到准确的查询和响应属性这一级别。数据库审计记录必须将所审计数据库事务归于特定用户, 如SOX合规审计机制要求必须记录对财务报告数据的每个更改及执行此更改的用户姓名。因此, 当用户通过Web应用程序或SAP、Oracle E-Business Suite等应用服务器访问数据库时, 数据库监控系统必须可以记录最终的责任用户。
2.2.2 支持Bind Variable
目前, 业内基于数据库的查询是大部分都是通过Bind Variable操作完成的, 所以审计系统在审计过程中要记录查询过程中Bind Variable变量名称的同时, 还要记录查询过程中Bind Variable的数量值, 这样才能保证完整的审计结果。
2.2.3 自动生成审计报告
符合SOX合规性的审计解决方案为生成关键业务 (如财务) 报告时使用的数据库提供全面的数据审计和安全性, 给审计人员带来了极大的便利性。数据库安全审计网关可以使用自动生成的专用的报告来证明对关键数据库实施控制, 通过专用的符合SOX的用户评估报告, 合规性检查人员可以验证只有具有合法需求的用户才可以访问关键数据库。
2.2.4 数据库保护
数据库保护是数据库安全审计产品的重要功能, 用于保护数据库核心数据免遭非法行为的破坏和修改, 在数据库流所经过的所有通道 (包括网络、操作系统及业务系统软件等方面) 进行防护;利用防火墙、应用协议等多种手段对数据库进行全程保护;通过静态规则对数据库及相关应用系统进行预设, 并保证根据实际情况进行细微的调整。
3 数据库审计技术应用分析
数据库审计技术的成功应用, 为电力行业各个业务系统提供了报警信息查询、远程数据浏览、报表生成、历史趋势图等功能, 为电力各业务系统带来了极大的方便, 大幅提高了业务系统的工作效率, 具有十分重要的意义。
数据库的系统管理人员在维护过程中有时需要在数据库中建立一些临时账户, 但这些账户一旦被非法人员掌握可能会被恶意利用, 由于账号存在时间不长, 系统管理员难以发现数据已遭破坏或修改。本系统具有专门针对此类问题的审计技术和保护功能, 通过管理系统将临时账户以及该账户的操作内容全程进行记录并保存, 以保证整个审计记录的完整性和安全性。
目前, 国内网络信息安全事故频发, 数据泄密、数据篡改等网络安全威胁形势严峻, 而电网信息化的各个系统都与数据库相关联, 各系统的数据库安全不容忽视, 而数据库审计系统关键性技术可对业界主流的数据库系统进行详细的审计、监控、保护, 其功能非常切合电网信息系统中数据库安全的各种安全需求, 可推广应用到电网企业发电、变电、输电、配电、通信和农电等各个业务领域的基于物联网的智能电网信息安全建设工作中去, 在智能电网信息安全建设方面蕴含巨大潜力。
4 结语
随着电网信息化建设的蓬勃发展, 数据大集中的趋势越来越明显, 云计算、桌面虚拟化等先进技术都是在数据库系统的基础上实现的, 而数据库系统作为数据信息的聚集点和信息化建设的重点保护部分, 保证数据库的安全是信息化建设平稳发展的前提。数据库审计系统切合数据库安全的各种需求, 有效地利用该系统可为电网的信息安全提供有效支撑, 助力电网企业长足发展。
参考文献
[1]GA/T 913-2010.信息安全技术数据库安全审计产品安全技术要求[S].2010.
[2]车蕾, 王晓波, 卢益清.数据库应用技术[M].北京:清华大学出版社, 2010.
[3]余祥宣.被忽视的信息安全核心地带——数据库安全[J].计算机安全, 2003 (10) :15–16.
[4]程维国, 田园, 王德强, 等.B1级安全数据库审计的设计与实现[J].计算机工程, 2004, 30 (11) :58–59.CHENG Wei-guo, TIAN Yuan, WANG De-qiang, et al.B1 level security design and implementation of database auditing[J].Computer Engineering, 2004, 30 (11) :58–59.
数据库审计系统 篇9
一、业务数据审计模型构建
在对电子警察系统信息系统处理流程合理化审计、业务流程规范化分析前,对系统数据进行抽取分析,其中非现场处理业务数据人为干预程度最低。以此来分析系统业务,以及对管理系统业务处理过程分析和检验,现构建分析模型如图1。
模型中,先通过电子警察管理信息系统非现场部分数据抽取相关业务数据中间表,如监控违法数据表、监控违法数据申请表等。进而对抽取的中间表进行数据建模验证。在验证过程中,除了系统内部数据资料外,尚需部分外部文档资料数据的支持。此两类数据经过构建数据分析模型的对比审查后,进行系统业务流程完备性验证,最后给出审计结论。由于数据的准确完整性对审计结果起着关键作用,因此,有必要对数据源进行整理。
二、业务数据整理
数据抽取前,需要调查、试审、确定实施方案,了解系统开发、管理及运行维护等基本情况,范围包括所有与系统相关的,影响系统合法、安全、可靠、完整与有效的资料与文档,确保筛选和抽取业务数据的准确性和完整性。
(一)主要功能及其逻辑概述
非现场部分业务数据包括凭证管理、简易程序、一般程序、查询统计、违法数据,现只抽取对应的审查流程部分数据,即违法数据输入、处理等部分的数据。系统数据除个别关键信息需人工核对并输入外,其余相关信息均由系统关联数据库校验并生成,业务管理相对规范,基本满足交通违法业务处理需求。
(二)数据结构及数据处理
业务系统架构采用B/S架构,后台数据库采用Orcale数据库。数据结构比较复杂,根据业务流程确定提取数据的关键表,分别提取一个年度系统主要信息表:监控违法记录表(vio_surveil),监控违法记录表_申请表 (vio_surveil_sq) 和违法行为代码表 (code_wfxw) 。运用SQL语言,进行字段选择、汉化处理,主要信息表汉化后数据结构如下。监控违法记录表:号牌种类、号牌号码、行政区划违法时间、当事人、违法行为代码、违法地址代码、决定书编号、处理时间;监控违法记录表_删除申请表:号牌种类、号牌号码、当事人、决定书编号、违法事件、违法行为、违法地点代码、罚款金额、申请原因、申请人、申请日期、审核日期、申请类别;违法行为代码表:违法行为代号、违法行为代码、代码有效时间、罚款金额。
进行数据抽取过程,抽取数据的相关代码如下:
三、分析测试
对电子警察管理系统(非现场部分)业务数据提取后,进行系统的分析测试,主要内容包括信息系统功能分析、信息系统数据处理逻辑分析、信息系统数据对比分析、数据跟踪分析四个方面,其目标是发现信息系统中存在的漏洞、功能的不足以及可能存在的非法模块。
(一)系统数据完整性验证
对系统调查和控制测试的系统分析,评价的内容主要包括信息系统安全性和信息系统包含数据的真实、完整性,在计算机数据审计开始之前完成。在系统数据业务处理流程审计过程中,除常规真实性的验证外,最主要是关注系统是否具备完整性审查。
通过对该系统业务数据的测试,发现系统的漏洞:关键字段唯一性缺乏有效约束、处罚记录数据缺失、处罚记录所记录信息表述不一致,存在重复录入等情况。
(二)数据录入校验功能验证
数据对比分析是通过掌握信息系统的数据输入和输出情况,结合数据审计筛选问题线索,最后对比分析信息系统的输入、输出数据以及问题线索,查找信息系统自身存在的问题。电子警察管理信息系统对车牌号自动识别有部分不能自动完成,需要人工输入,但是系统对车牌号这一关键字段需要有一定的校验功能,比如长度,或者首位、末尾的要求,因此需要设定规则来确保输入的完整性。由于车牌号数据有效长度一般为7位和8位,也有一些特殊车牌如“浙****警”,即最后一位为中文字的情况。因此要对输入系统的数据进行筛选,以获取对应问题线索,对输入校验功能验证的对应SQL语句分析如下:
从提取的结果来看,信息系统自控存在缺陷。审前调查及实施进程表明,被审计单位制定了一整套从数据采集录入、审核处理、系统管理等内部控制制度。管理信息系统对号牌号码输入的规范性校验,存在车牌号码输入过短、过长或纯数字等情况,甚至出现车牌号码为“无”的情况。因此,人工流程的控制与信息系统自控设计不匹配,校验功能部分缺失,只对数据是否非空进行校验。
(三)违规记录删除监控功能验证
数据追踪分析是通过选取典型数据,追踪处理结果,进而判断系统处理的功能是否正确有效的一种审计方法,内容包括:向有关人员询问或查阅系统的文档资料,了解被审计单位信息系统应有的处理和控制功能;针对系统应有的功能和数据处理特点,选取部分典型数据;跟踪数据处理过程和处理结果;分析数据处理结果的差异原因。
通过访谈法了解警察管理信息非现场违法内部审批程序的流程,并验证非现场系统对应流程的符合性;通过比对非现场违法业务数据表中SQRY(申请人员)与SHRY(审核人员)字段,查验分析是否存在申请人员和审核人员为同一人现象;通过文档查阅法和综合数据分析发现内部审批申请删除原因各异性,查看是否存在异常情况,并进行原因分析和延伸审计。
申请删除记录申请人员与审核人员可否为同一人验证:
测试过程发现,非现场违法内部审批程序的流程存在一定的不完善性,即存在未经内部审批即删除违法记录情况;并且存在申请人员和审核人员为同一人现象,且数量几乎达到市三区所有删除记录的一半,系统监控功能缺失。
四、评价与分析
对上述审计中发现的信息系统存在的问题,进行分析评估,提出对应改进措施。
完整性校验功能缺失原因:这是典型的系统设计缺陷,仅依赖了数据库对关键字的管理,系统本身没有对其加以检验。解决方法:系统应设置对记录唯一性检查程序。
数据录入正确性无法验证原因:在机器识别和人工输入共存的技术条件下,系统在设计时缺乏对数据的有效验证。对应措施:对信息系统进行完善,实现其对车牌号码进行分类控制(例如对不同的分类给予固定的掩码),以减少车牌号码输入不规范等情况的发生。
违规记录删除监控功能缺失原因:信息系统自身流程设置欠缺业务处理流程规范性约束,出现申请人即是审核人现象;欠缺对数据表的关联,未经申请删除即可对违规记录表中标识违规数据删除。对应措施:增加关键字段约束,使申请人和审核人必须是互斥;增加表数据关联,在删除申请表中未出现的,不管处于任何原因,均无法删除;对于确要删除部分数据,必须先经过删除录入流程。
五、结论
数据库审计系统 篇10
一、使用金算盘软件集团账套核算情况
我区自2007年起实行会计集中核算, 所有区级部门、街镇、学校的财务账由区财政国库集中收付核算中心统一核算, 使用的财务软件是重庆金算盘软件公司开发的金算盘8E/ER P系统 (以下简称金算盘8E) , 在具体核算时使用集团账套分部门核算, 分县级部门、街镇 (行政、总预算) 、学校四大块核算。金算盘8E的后台数据库为oracle, 版本号为9.21, 金算盘8E系统提供了两种备份方式, 一种是备份oracle格式, 其文件后缀名为dm p;另一种是备份为A ccess格式, 其文件后缀名为gdb。利用审计署金审工程服务网站下载的金算盘8E财务数据采集模板不能将财务数据采集到A O软件重建账套, 导致审计人员不能将财务数据倒入A O软件进行查询分析, 给审计查询分析设置了障碍。财务数据的采集成为能否成功推广应用A O软件的一个关键, 通过实践成功将该数据采集转换, 为我区利用计算机技术审计提供了条件。
二、采集数据存在的问题
审计人员对采集备份的access财务数据分析发现, 系统导出的access备份数据中有一张voucher表 (凭证主表) 仅有一条数据, 且导出的其他账套也存在同样的问题, 即一个账套一个会计年度仅能导出一条凭证记录, 导致该财务数据的采集不能应用金算盘8E财务数据采集模板。
三、采集数据的方法步骤
按照财务数据采集的方法之一, 从其后台数据库直接获取数据库数据来采集财务数据, 针对数据库数据采集财务数据必需获取的三张表, 即科目余额表、会计科目表和凭证表。采集三张表的方法步骤为:
一是在金算盘8E系统主菜单下选择“文件-数据导出-基础设置-账务-凭证-机构-编码”导出凭证表。
二是在金算盘8E系统主菜单下选择“文件-数据导出-基础设置-科目-机构-编码”导出会计科目表。
三是在金算盘8E系统主菜单下选择“文件-数据导出-财务管理-总分类账-账册报表-科目余额表-打印-选择输出类型 (一般选择为EX C EL) -输出文件”导出科目余额表。
需注意, 由于该系统设置是集团账下分单位核算, 采集导出的凭证表和会计科目表时要按该单位编码设置筛选, 进行数据分离, 导出该单位数据, 凭证表和会计科目表数据导出的格式文件为D A T文件, 选择EX C EL打开方式, 即可分析数据。
四、分析整理字段
(一) 整理采集的财务数据三张表
1.根据导出凭证表和会计科目表时随同导出的配置设置 (记事本) 分析表的字段含义。凭证表文件名为V oucher.dat, 共有37个字段, 其含义分别为字段1=期间、字段2=凭证日期、字段3=凭证字、字段4=凭证号、字段5=摘要、字段6=科目代码、字段7=货币代码、字段8=汇率、字段9=原币金额、字段10=借方金额、字段11=贷方金额、字段12=数量、字段13=单价、字段14=制单人、字段15=审核人、字段16=过账人、字段17=附单据数、字段18=是否已过账、字段19=模版、字段20=行号、字段21=单位 (实际为科目代码辅助码) 、字段22=部门、字段23=员工、字段24=统计、字段25=项目、字段26=付款方法、字段27=票据号、字段28=原币付款金额、字段29=凭证来源、字段30=冲销凭证的来源凭证、字段31=待打印、字段32=作废标志、字段33=错误标志、字段34=凭证册号、字段35=票据日期、字段36=来源机构、字段37=机构。
会计科目表的文件名为A ccount.dat, 共有22个字段, 其含义分别为字段1=科目代码、字段2=科目名称、字段3=科目类别、字段4=科目级次、字段5=借贷方向、字段6=数量单位、字段7=币别、字段8=科目全称、字段9=末级标志、字段10=科目性质、字段11=多币种核算标志、字段12=数量核算标志、字段13=单位核算标志、字段14=部门核算标志、字段15=员工核算标志、字段16=统计核算标志、字段17=统计核算标志、字段18=停用标志、字段19=现金流量标志、字段20=期末调汇标志、字段21=计算科目利息标志、字段22=辅助码。
科目余额表共有9个字段, 其含义分别为字段1=科目代码、字段2=科目名称、字段3=单位 (实际为科目代码辅助码) 、字段4=单位明细 (实际为科目明细) 、字段5=期初余额、字段6=借方发生额、字段7=贷方发生额、字段8=借贷方向、字段9=期末余额。
2.对三张财务数据表的必导字段赋值, 以便取舍字段, 该步操作可在EXCEL或access中完成, 同时删除不需用字段。科目余额表必导字段为科目编码、期初余额, 余额方向;会计科目表必导字段为科目编码、科目名称、余额方向;凭证表 (该方法采集的凭证表为单张凭证表) 必导字段为科目编码、摘要、凭证类型名称 (凭证表中为凭证字) 、凭证流水号 (该表中为凭证号) 、凭证日期、借方发生额、贷方发生额。
该步操作中需注意, 该账套是使用的集团账套, 导出的会计科目表是分县级部门、街镇 (行政、总预算) 、学校四大块的会计科目表, 可以对照该单位的科目余额表的科目情况删除不需用科目, 简化后面的操作;由于该财务软件系统在设置时采用了辅助账的核算方式, 对银行存款、暂付款 (应收账款) 、暂存款 (应付账款) 等的明细科目实际在科目余额表中字段3和凭证表中字段21中进行了反映和核算, 为此, 科目余额表中字段3=单位 (实际为科目代码辅助码) 与凭证表中字段21=单位 (实际为科目代码辅助码) 是一一对应的, 不能删除。
3.分析科目代码结构级次 (会计科目编码规则和科目长度) 后作合并字段处理。凭证表和科目余额表均有科目代码和科目代码辅助码 (即为凭证表、科目余额表字段中的单位) 进行核算。需对科目代码和科目代码辅助码合并为1个字段。
方法一:使用access查询功能进行处理。首先将凭证表和科目余额表分别导入access中, 然后使用查询功能合并字段, 合并后的字段命名为科目编码, 处理字段方法为“科目编码:IIf ([科目代码辅助码]Is N ull, [科目代码], [科目代码]+R ight ([科目代码辅助码], *) ) ”, 其中“*”表示提取科目代码辅助码的长度, 生成新凭证表和科目余额表, 导出为EX C EL。
方法二:在A O系统进行处理。首先将凭证表和科目余额表导入access或在EX C EL中, 利用其查找替换功能将“科目代码辅助码”需要保留的科目长度保留, 不需用的进行替换, 如“科目代码辅助码”为508001, 长度6, 经整体分析该套账的科目编码的规则应为3-2-3, 由于科目一级编码已为3位, 需2、3级科目明细, 为此需保留“科目代码辅助码”长度5位 (即二、三级明细科目分别为2位、3位) , 将“508001”中的“508”替换为“08”即可。其次, 待下面的几步处理完成后导入A O系统中再进行科目代码与科目代码辅助码字段的合并, 利用数据字段处理-字段合并-生成新的科目编码字段。
在access操作中需注意, 将凭证表、科目余额表中的借方发生额、贷方发生额、期初期末余额在设计视图中由文本型转化为数字型, 设置字段大小为双精度型, 小数位数为自动。在access或EX C EL中要删除科目余额表中的资产小计、负债小计、净资产小计、收入小计、支出小计、合计等行。
4.处理会计科目表, 由于会计科目表中的暂付款 (应收账款) 、暂存款 (应付账款) 等科目代码为一级或二级代码, 没有与科目余额表和凭证表中的科目代码 (科目编码) 级次一一对应, 需对会计科目表进行处理。处理方法为以科目余额表的科目编码为基础, 增加科目表中科目代码的级次, 设置增加科目代码、科目名称、余额方向, 科目代码以科目余额表中的科目编码进行设置, 科目名称以科目余额表中字段4单位明细 (实际为科目明细) 进行设置, 余额方向根据科目性质设置。
5.处理科目余额表, 科目余额表也要按科目编码级次增加相应的科目编码, 由于该科目编码已经有了末级科目编码, 需按会计科目明细级次增加相应的科目编码, 并且对科目余额表按科目编码级次汇总科目余额表。
五、将数据导入现场审计实施系统
大数据环境中的审计技术与方法 篇11
为适应大数据新常态,利用海量数据进行审计监督,审计机关必须做出一系列转变。
(一)审计方法转变。大数据审计将彻底改变以往基于抽样方法的审计模式。抽样审计模式,由于抽取样本的有限性,而忽视了大量的业务活动,无法完全发现和揭示被审计单位的重大舞弊行为,隐藏着严重的审计风险。在大数据时代,数据的跨行业、跨企业搜集和分析,可以不用随机抽样方法,而采用搜集和分析被审计单位所有数据的总体审计模式。要实现大数据环境下的总体审计模式,要求审计人员用总体审计的思维模式去分析与审计对象相关的所有数据。同时由于大数据大样本、全量分析技术的大量应用,将使审计人员不再局限于抽样样本,而是着眼于全部数据,去发现和反映问题的本质,使之更具全面性、整体性。
(二)实施方式转变。大数据时代下的信息化审计使持续性审计成为现实,审计机关可以常态化开展对被审计单位业务运营进行持续监测,定期进行风险评估和专项分析;持续审计将改变传统审计立项在前、实施在后的传统审计方式,以风险为导向,充分依赖数据,转变为先分析、后立项,让审计项目立项更加科学。对公共资金、国有资产、国有资源和领导干部履行经济责任情况实行审计全覆盖,是党中央、国务院对审计工作提出的明确要求。依托大数据,有目的的整合、分析、研究大数据,开展对大数据的监督,使审计机关对重点资金、重点单位、经济责任开展常态化的审计监督将成为可能,实现有重点、有步骤、有深度、有成效的全覆盖。
(三)组织模式转变。这就要求打破传统的以审计小组为单位分散审查的审计模式,转变为以数据为基础,坚持数据分析的思路和方法,开展数据基础式审计。要实现组织模式的转变首先是要摸清信息系统运行特点,全面了解被审计单位(项目、行业)信息系统建设运行情况,包括信息系统的数量、名称、版本、功能模块、管理部门、访问模式、数据存储等。重点开展对信息系统数据资源的调研,详细了解后台数据库的种类、版本、数据量、存储及备份方式等信息。二是紧密围绕审计工作目标,整合全体审计资源。以审计工作目标为导向,成立数据集中分析团队。对被审计单位(项目、行业)数据进行重点分析,发现数据运行和运用过程中存在的缺陷和不足,明确数据分析的思路和方法,为审计工作的顺利开展提供技术支持和数据保障。要坚持数据分析为先导的审计新模式,在分析研究的基础上,指导审计实践工作。三是加强对数据结构的研究,确定重点数据资源。对审计工作来说,大数据中的很多内容与审计无关,与审计重点无关,过分利用和采集数据就会造成审计资源的浪费。要借助采集的数据库设计文档和数据字典,掌握后台数据结构,明确重点领域数据库的范围通过采用新数据测试、代码审查、文档查阅等技术方法确定与审计业务紧密相关的核心信息资源,如重点表、重点字段、表间关联及字段含义等,为深入开展数据分析做好准备,为审计目标完成提供数据支持和保障。
二、审计技术准备
面对大数据时代给审计工作带来的挑战,必须不断更新理念、夯实基础、筹划发展,以数据为核心实现信息技术与审计业务的有机融合。
(一)数据采集。大数据环境下开展审计工作,需要将各行业各部门的各类数据整合起来,转换成为审计工作需要的大数据。审计机关要建立健全数据定期报送制度,加大数据集中力度,对获取的数据资料严格保密。适应大数据审计需要,构建国家审计数据系统和数字化审计平台,积极运用大数据技术,加大业务数据与财务数据、单位数据与行业数据以及跨行業、跨领域数据的综合比对和关联分析力度,提高运用信息化技术查核问题、评价判断、宏观分析的能力。探索建立审计实时监督系统,实施联网审计。审计大数据采集需要明确采集范围。一是充分利用现有数据平台数据资源,做好数据的及时性储备。审计机关要明确大数据采集的领域和管理数据的部门(包括机构、社会团体、企事业单位等),要求这些部门提供相应数据信息,开放数据资源。二是积极整合大数据。要充分利用“金审工程”,加快与金税、金关、金财、金盾、金宏、金保、金土、金农、金水、金质等信息系统实现跨部门、跨区域共享。三是将以往审计成果作为数据整合的基础性数据资源,充分利用各级审计机关现有的审计数据资源。在数据采集方式上可以采取联网数据共享与采集、定点采集和定期报送方式实现。
(二)数据储存。要实现大数据的有效采集,首先应完善数据储存方式。由于大数据的容量大、类型多的特点,造成审计机关采集数据储存方式难。要实现大数据的有效储存,首先应有效整合审计资源,建立多部门、多系统、跨行业的大数据审计资源,从而实现在组织架构、现场管理、数据资源、信息传递等多方面的审计大协同作业。充分利用网络优势,实现联网审计,把大数据实现无缝对接,利用审计技术和手段完成审计目标。其次加快完成审计大数据的顶层设计和统筹规划。刘家义审计长提出:将加快实施“金审三期”工程,拓展大数据技术运用,形成独特的“国家审计云”。给下一步数据储存提供了明确的方向和思路。即完成由云计算到审计云的转变。云计算系统体系的核心是资源层。“审计云”则是以审计专网为基础,依托国家审计信息资源体系建设,将云基础设施与审计信息系统、审计数据中心、审计指挥中心、国家模拟审计实验室等软硬件资源创建在审计专网防火墙之内,以供全国各级审计机关共享和利用审计专网内的资源。
(三)数据清理。数据清洗(Data cleaning)是对数据进行重新审查和校验的过程,目的在于删除重复信息、纠正存在的错误,并提供数据一致性。指发现并纠正数据文件中可识别的错误的最后一道程序,包括检查数据一致性,处理无效值和缺失值等。审计机关面临的和采集的大数据,将是数据规模庞大、增长迅速、类型繁多、结构各异的,如何将繁杂的大数据变成我们能应付的、有效的“小”数据,即构建针对特定问题的一个干净、完备的数据集,这一过程变得尤为重要。在大数据时代,若不加强数据清洗,则GlGo(垃圾进,垃圾出)现象会非常严重。对数据的清洗之后进行深度分析挖掘的过程就是审计“去粗取精、去伪存真、化零为整、见微知著”的过程。只有通过清洗与过滤得到干净完备的数据,才能通过分析与挖掘得到可以让人放心的、可用于支撑决策的审计数据基础。
数据清洗的任务是过滤那些不符合要求的数据,将过滤的结果交给实施审计的审计组。不符合要求的数据主要是有不完整的数据、错误的数据、重复的数据三大类。其中,残缺数据主要是一些应该有的信息缺失;错误数据是指因业务系统不够健全,在接收输入后没有进行判断直接写入后台数据库造成的,这类数据必须经过修正后才能被采集使用;重复数据是指重复记录和重复字段,审计数据采集时往往会出现此类问题,需要进行数据整理。数据清洗是要对于每个过滤规则认真校验,将废弃的数据过滤掉,保证数据的清洁、完整,保证审计查询结果的正确性。
(四)数据分析。数据分析是指用适当的统计分析方法对收集来的大量数据进行分析,提取有用信息和形成结论而对数据加以详细研究和概括总结的过程。依托网络化管理及云计算技术逐步将各个数据平台、各个数据中心及各级审计机关数据资源进行整合,最终建立起审计大数据环境资源平台是大数据环境下审计工作的基础,而进行大数据分析是审计成败的关键。在审计机关大数据审计顶层设计过程中,应重点关注数据分析平台建设,将取得多个部门的数据进行关联性分析,研究出有针对性的,依据不同技术水平审计人员设置不同的数据分析平台。对专家型人才可以开放一个保存数据原始面目的基础数据平台,而对于只能利用简单查询语句或者通过按键操作的普通审计人员来说,亲切、易操作、界面简单的应用数据平台可能更加能够发挥审计人员的作用。针对大数据开展审计的主要目的仍然是完成相应的审计任务,达成审计目标。通过数据分析,按照审计要求完成数据查询、趋势分析、政策执行等方面的工作,使审计工作更具效率、效果,为实现审计“全覆盖”创造有力条件,即是达到了开展大数据审计的初衷。
三、人力资源准备
面对大数据时代,要求审计人员积极应对电子数据高度集成、数据量巨大、数据结构复杂、数据类型多样的数据特征给审计工作造成的挑战。2015年2月,全国审计工作会议对大数据审计提出三点要求:数据归集要全、數据分析要深、技术手段要新。要达到这个要求,首先是人才的推动。审计机关急需培养一批懂得大数据,收集大数据,并且善于研究大数,据,深挖大数据的专家,急需培养一批懂审计、懂计算机、懂大数据的复合型审计干部。
(一)从高校毕业生中选拔一批数据管理、采集和分析专业的毕业生,作为专业性人才充实审计队伍。利用他们的专业知识和专业能力强化审计队伍大数据处理和分析能力。
(二)从专业领域聘请一批专家型人才,进入审计专家库,利用专家结合审计工作实际做好大数据审计顶层设计,建立审计分析数据平台;也可以联合高校、专业公司设计出适合专家分析、审计人员实际操作的,适应不同审计人群的数据采集、分析、审计软件。
(三)加强岗位技能培训。依托计算机审计中级培训,增加引入外部数据,开展多维总体分析、数据对比、关联关系配比分析、跨行业跨区域关联分析等学习内容强化审计人员适应大数据的能力,同时可以设立领军人才培养机制,力争多出人才,多出能够胜任大数据审计任务、达成审计目标的领军人物。
(作者单位:陕西省审计厅)
图片新闻
近日,山阳县审计局在帮扶的中村镇十八盘村召开了“养殖技术培训暨良种仔猪发放现场会”,邀请县农业部门专家对养猪技术进行了全面细致的培训指导,向78户贫困户免费发放良种仔猪78头极大的调动和激发了贫困户自主脱贫的信心和决心。
审计抽样风险控制与数据式审计 篇12
本文主题并不在于提出新理念, 而意在通过对审计抽样风险理论剖析, 重点分解其中影响审计质量的部分, 提出在数据式审计模式下可能的改进设想。
1 审计风险模型的应用理解
《中国注册会计师审计准则第1101号——财务报表审计的目标和一般原则》, 第十七条中对“审计风险”的定义:审计风险是指财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性。定义中强调审计风险构成因素的关系, (1) 重大错报的存在性, (2) 重大错报与审计意见的匹配性。就审计工作而言, 发现重大错报是其一, 对发现的重大错报的反映与处理是其二。那么这两者能否通过审计风险模型得以体现与反映?审计风险因不匹配的审计意见而生, 而审计意见能否通过审计风险模型体现?
降低审计风险的重要前提是对重大错报的灵敏嗅觉在整个审计系统中得到相应的预警机制保障, 在定性的基础上加以量化控制。审计风险模型使量化审计风险成为可能, 同时, 也为量化审计工作量设计审计测试程序提供了理论基础, 只是这一模型从不同使用者角度理解存在一定的期望差距。
1.1 报表使用者角度
客观存在的审计风险由被审计单位的重大错报风险与事务所检查风险合力所致。这种划分引导报表使用者将审计风险的形成来源分解为被审单位与会计师事务所, 一方面是被审计单位自身防御系统出现问题所导致的重大错报可能, 另一方面是会计师事务所设计的审计测试程序未能发现重大错报的概率。
因此, 审计风险模型在这里是客观存在审计风险要素的诠释, 有助于报表使用者客观理解并正确区分其中蕴含的会计责任与审计责任。一旦出现审计失败, 追究法律责任时, 报表使用者可以厘清诉求对象, 就被审单位内部串通舞弊所致的重大错报与审计程序故障导致的重大错报遗漏有一个相对清晰的逻辑分析。
1.2 审计执业角度
审计风险概念本身从理论上有助于把握审计风险内涵, 但从执业角度操作指导性不强, 而审计风险模型将审计风险细化分解, 并从会计师事务所整体可接受审计风险水平与对应的检查风险来设计审计程序。
这里的审计风险是指会计师事务所可承受的、可接受的审计风险, 具体而言, 如果定为5%, 那么就意味着审计把握度控制在95%, 当然, 风险越高, 把握度越低, 审计程序设计得越粗略, 容错率越高。在民事诉讼环境相对成熟的市场中, 这里的审计风险与相应的法律责任具有相关关系, 也就是说, 会计师事务所需要权衡, 项目投入产出与可能的诉讼风险是否在可接受范围内。
1.3 审计风险模型应用均衡
不同角度理解上的偏差是对审计风险模型的偏误, 还是审计风险模型本身缺陷的不可回避性?报表使用者将审计风险模型与审计意见联系起来, 但从审计人员角度, 风险模型仅在于发现重大错报, 而最终能否与审计意见匹配还取决于其他因素, 如会计师事务所的管理体制, 合约方经营理念, 以及相关的法律环境等等。
如图1所示, 随着报表错报风险的加大, 客观存在的审计风险加大, 而从审计人员而言, 为了更好地控制审计风险在合理可接受范围内, 随着报表错报风险加重, 可接受的审计风险越低。假设M点理解为重要性水平, M点右边为重大错报风险, 随着客观存在审计风险的加大, 发现重大错报的责任加大, 要求审计人员通过降低检查风险, 使审计风险尽可能地接近可接受水平。否则, 超过可接受水平的审计风险滞留在已审报表中, 存在潜在的法律风险。
这里的检查风险也是指审计人员可接受的检查风险, ADR=AAR/MMR (ADR指可接受的检查风险) , 在测定的一定的AR条件下, 依据审计人员评估的重大错报风险水平, 得到ADR, 依据此设计实质性测试程序的深度与广度。
从模型来看, 能否将客观存在的审计风险降低至可接受的水平 (综合考虑大多数报表使用者的承受能力) , 是审计成败的决定因素。这里存在一个循环, 可接受审计风险水平基于检查风险水平的正确判断, 而这种判断又取决于其前置程序——重大错报风险的估测结果。看似环环相扣的程序设计, 但实际应用中, 由于控制测试结论对实质性程序的指向性不明, 加上抽样风险因素, 导致出现风险放大的可能, 往往控制测试并不能得到有效的执行和应有的重视。除非是直接具体的风险评估点与细节测试应对, 否则, 风险评估与控制测试往往只是审计准则框架下的“过场”, 与细节测试仍是“两张皮”, 实务中的常规武器还是埋头查账。
因此, 审计抽样风险控制在整个审计测试中非常关键, 对于合理估计与应对重大错报, 有效控制审计风险至可接受水平不仅存在审计技术衔接问题, 而且涉及在应用范围、样本选择及量化控制上如何原则把握, 灵活应变的问题。
2 抽样风险控制在审计应用中的局限
抽样推断就是依据抽自总体的样本信息, 按照一定的要求来推断总体的相关信息。根据信息所反映的现象本质, 可以分为定性的信息, 如不合格品率、失控率等, 和定量的信息, 如重量、金额等。相应地, 用于定性信息的抽样称为属性抽样 (或计数抽样) , 而用于定量信息的抽样为变量抽样 (或计量抽样) 。统计抽样以样本误差来推断总体误差的特性, 使其应用之初就与审计效率联系在一起, 同时, 我们也意识到对于审计质量, 只要控制在使用者和审计人员可接受的范围内, 就被认可, 这是科学认识论在审计技术上的发展进步。
样本规模小、审计人员经验不足、抽样方法不科学等都会造成抽样风险, 但这些原因在不同抽样风险中所起的作用是不同的, 对后续审计程序的影响程度也有不同。
本文重点讨论影响效果的两类审计抽样风险———信赖过度风险和误受风险。
2.1 抽样风险之一——信赖过度风险
2.1.1 控制测试原理分析
基于成本效益原则, 控制测试产生之初是为了减少实质性测试范围。其基本原理是通过发现内部控制制度的不足之处, 即信息生产过程的薄弱环节, 来分配审计资源, 做到有重点、有目标地审计, 确保审计结论在符合一定可靠性水平的前提下提高审计效率、降低审计成本。
这里存在一个基本假设, 投入同等人力、时间, 控制测试比实质性测试工作更经济, 审计成本更优, 如图2所示, 控制风险水平评估为A点, 实际上要更高为B点, 对审计测试而言, A点的审计成本低于B点, PP′在A点表示控制测试工作量, 而在B点表示实质性测试工作量, 在审计风险一定的条件下, 即A、B点的审计把握程度相同条件下, 由于A点的控制风险低, 内控控制能力更强, 有效内控下产生的重大错报概率更低, 有基于此, 通过控制测试验证对有效内控的预期, 从而减少实质性测试工作量, 减少对接近预期值的账户余额进行测试, 注重对例外项目进行详细审计获得审计成本优势。
2.1.2 控制测试程序应用误区
从控制测试的效度来看, 最理想的状态就是全面测试, 全时段监控, 但由于审计技术以及全社会信息化水平的局限, 一直以来, 都是以点带面的方式, 通过全年不同时期样本的执行测试, 来推断控制在全年的有效性, 这种离散型的抽样, 样本代表性尤为重要, 一方面属性抽样本身, 抽样风险不可避免, 另一方面信赖过度风险对于后续变量抽样的影响重大, 负面作用会显放大效应, 从而加剧审计意见的不恰当性。
由于控制测试一直是以提高效率为应用宗旨的, 因此, 无论是程序设计还是测试程序选择, 都服从于成本效益原则, 通常情况下, 询问、观察及检查程序都不能奏效时, 重新执行程序才会较为深入地考虑, 主因是基于后者的执行成本过高。现行控制测试往往从询问与观察开始, 对于其中发现的异常情况再选择进行检查与重新执行。对内控调查的询问大多仅停留在统一的问卷设计调查上, 效果不显性。
从审计程序本身分析来看, 穿行测试, 检查与重新执行程序, 在信息化环境与审计软件相对成熟的环境下, 完全可以实现全部数据与信息的机械化操作, 从抽样风险中解脱出来。而询问与观察程序对于异常、例外情况的发现更敏锐, 对从业人员的思维及经验要求更高, 人工作业技巧高, 无法通过大规模批量操作完成, 同时, 只要样本代表性强, 这些程序自身的风险识别功能得以发挥, 可以明确清晰地指导与定位风险区域。
因此, 实务中往往出现误区, 认为控制测试是可选程序, 减少控制测试或者干脆不做, 就可以控制信赖过度风险, 这大有掩耳盗铃之嫌, 在数字化时代下的电子商务环境里, 即使是实质性测试也存在无法应对的风险, 控制测试已不仅仅是效率工具, 更多地应承担识别风险职责, 如何有效地选择代表性样本, 如何利用信息化技术为程序选择与样本定位获得最优值是我们考虑的方向。
2.2 抽样风险之二——误受风险
2.2.1 误受风险机理
抽样结果表明账户余额不存在重大错误, 而实际上却存在重大错误的可能性为误受风险, 此时被审计单位一般不会提出异议, 但审计人员却失去了一次核对审计结论的机会, 并有可能引发潜在的诉讼而承担法律责任。
我们用图解的方式来理解误受风险机理。如图3所示, 假设审计人员接受样本均值A周围的一个区间为总体真实均值 (未知) 的适当的预测值。进一步假设, 事实上总体真实均值为B, B远小于A, 这意味着A存在着严重高估。以B为中心的曲线与以A为中心的曲线存在相交的区域, 而这相交区域中的一部分即为β风险, 即误受风险。这一部分表示, 根据从总体中选出的样本估计量, 落在错报金额的一定范围内, 因此代表了认为某一账户为正确而事实上并不正确的风险。在这一情况下, 审计人员面临的主要问题是高估。相反地, 也有可能出现低估的情况, 总体实际均值落在以A为中心的区间右方。
误受风险产生机理在于样本推断总体结论的偏误, 这种抽样误差的形成主要受2个因素影响, (1) 样本代表性, (2) 样本容量。样本代表性强, 样本容量可适当减少, 而样本容量大, 抽样误差才可尽可能减小。有效的分析程序可以提高细节测试样本代表性, 而足够容量的细节测试是保证误受风险降低到可接受水平的前提。
2.2.2 分析程序应用局限
审计分析程序, 是指审计人员通过分析和比较信息 (包括财务信息和非财务信息) 之间的关系或计算相关的比率, 以确定审计重点、获取审计证据和支持审计结论的一种审计方法。其关键在于分析以及比较, 要分析所收集数据之间可能存在的相关关系, 而且要保证搜集数据的可靠性, 并且剔除其中的不合理因素。然后利用审计人员积累的经验以及收集的合理标准, 对照分析被审计单位提供的资料以及信息, 从中发现异常的变动、不合常理的趋势或者比率。分析程序在风险信号识别上性能卓越, 广泛应用于风险评估与实质性测试程序。
遗憾的是分析程序实际应用中存在缺陷, 一方面是资料来源只能局限于被审单位信息系统内的财务数据, 另一方面是分析模型大多是建立在已知的数据信息关联关系上。这些对被审单位多年连续盈利操纵束手无策, 对于未知关联模型缺乏灵敏度, 难以发现有效线索。
借助计算机技术, 利用数据式审计模式为分析程序注入新的审计技术能量, 同时, 对机械化程度高的细节测试部分进行详细审计, 为有针对性地控制误受风险提供可操作性方案。
3 数据式审计
数据式审计产生是在企业运营以电子商务为主、ERP系统为支撑的数字化模式演进中不断发展的, 尤其是CRM及SCM与ERP的高度融合, ERPⅡ开始取代ERP, 成为新型数字化企业的主流模式。对企业内外部会计环境产生重大影响。
信息化下企业存储的主要数据是以记账凭证为主的会计数据和不能以货币计量的非会计数据所构成的“数据源”。信息源头主要是无纸化交易下的各类凭证库文件, 会计数据均以“比特”方式保存在磁性介质上, 数据虚拟度高, 这也极大地扩充了会计数据的范围, 一些非货币计量的数据 (音频、视频、图表等) , 逐步成为企业经营活动和决策时必需的“会计数据”。这些数据和原有的会计数据共同构成了企业的基础数据库。基础数据重新成为审计的重点。
数据式审计的提法已有数年, 但对于其具体的界定仍然存在争议。石爱中 (2005) 对数据式审计倾向于使用数据式系统基础审计, 将其定义为:以系统内部控制测评为基础, 通过对电子数据的收集、转换、整理、分析和验证, 来实现审计目标的审计方式。管亚梅 (2007) 数据式审计也称为信息系统审计 (IS审计) 。国际信息系统领域的权威专家Ron Weber将其定义为:收集并评价证据, 以判断一个计算机系统是否有效做到保护资产、维护数据完整、完成组织目标, 同时最经济的使用资源。
我们将近年来的相关论点总结为数据式审计是以被审计单位底层数据库原始数据为切入点, 在对信息系统内部控制测评的基础上, 通过对底层数据的采集、转换、整理、分析和验证, 形成审计中间表, 并且运用查询分析、多维分析、数据挖掘等多种技术方法构建模型进行数据分析, 发现趋势异常和错误, 把握总体、突出重点、精确延伸, 从而收集审计证据, 实现审计目标的审计方式。
4 数据式审计对审计抽样风险控制的影响
数据式审计以其先进的信息技术平台, 灵便的理念支撑, 为审计抽样风险控制带来了新希望, 就提高抽样样本及扩充样本容量方面, 具有难以抗拒的优势。
4.1 控制信赖过度风险, 设计连续审计方案
降低信赖过度风险最有效的方法, 就是提高抽样样本的代表性, 关键在于正确定位系统控制风险点, 改进“盲人摸象”式的控制测试。
4.1.1 还原控制测试程序的风险定位功能
目前, 重大错报风险评估来自于风险评估程序和控制测试, 两者测试目的都是为实质性程序提供依据。从审计执业角度而言, 信赖过度风险无疑是审计质量的劲敌, 我们难以探测被审单位串通舞弊的可能, 但强化审计程序设计与风险识别能力是击败被审计单位的机会主义心理的有力武器。因此, 加强职业谨慎, 在测试程序的设计上下功夫, 是控制测试程序自身保有可能的前提。
样本代表性主要取决于抽样方法, 样本容量等因素。实质性测试中应用统计抽样, 样本代表性取决于总体中对于重大错报可能的定位与筛选, 如果风险评估程序可以直接定位, 那么样本选择代表性具有唯一性, 如果审计程序需要经过层层测试, 间接到达细节测试, 此时样本代表性取决于前置程序的科学性。如前所述, 提高控制测试的效度, 减少信赖过度风险, 是降低误受风险的重要前提。因此, 利用高度信息化集成手段, 还原控制测试本身局部风险定位功能, 结合整体风险评估程序的结果, 有效锁定实质性测试范围, 可以提高样本代表性, 相对减少抽样风险。
4.1.2 设计连续审计方案
连续审计对于控制测试有效样本选取十分有利, 由高度自动化的程序来完成全时段、全过程的重新执行与检查程序, 通过数据的孤立点分析, 导出内控可能存在漏洞的异常报告, 然后, 再相应地展开询问与观察程序, 此时, 属性抽样样本代表性提高, 抽样风险大大降低, 而询问与观察程序已不再仅仅是测试控制有效性, 而更多地赋予风险识别功能, 审计从业者可以从大量的机械检查工作中脱离出来, 对询问与观察程序的设计与适用进行更具可行、效度更高的运用研究。
从原理上来讲, 连续审计 (CA) , 在信息系统高度自动化, 会计数据结构可自动、安全高效转换的环境下, 是指在信息系统中安装具有记录功能的程序模块, 持续监控, 按照审计人员事先设定的抽样条件参数, 对符合条件的数据自动采样, 并记录或标记于审计文件中, 进行有选择性地、全时段系统监控, 目前, 连续审计技术实现方案有嵌入测试法 (Embedded Test Facility Approach) 和数字代理 (Digital Agent) 模式, 各模式都有其适用范围, 也存在一定的应用不足, 但其自动化的数据建模与分析功能大大减少了人工测试工作, 使得审计人员集中于连续审计系统鉴定与风险点识别。
4.2 控制误受风险, 利用OLAP与数据挖掘技术, 提高样本代表性
从审计抽样机理来看, 审计抽样风险产生源于样本的代表性差, 从理论上讲提高样本的代表性是缩小抽样误差的最佳途径。实际上, 总体特征通过审计抽样了解和估计, 既使完成对样本的测试后, 也无法确切地知道样本是否具有代表性。提高细节测试样本代表性必须从样本选择的起点进行有效设计, 重点考虑以下2点。
4.2.1 强化分析程序中的数据挖掘功能
数据挖掘无疑可有效弥补现行分析程序的缺陷, 这一技术发现知识是隐含的、事先未知的、潜在的有用的信息, 其建立在强大网络资源与高度信息化基础上, 可以更有效地发挥分析程序能量, 提高异常信号识别的灵敏度, 有效定位风险点, 从而提高样本代表性。
4.2.1. 1 数据挖掘技术
数据挖掘就能从大型数据库的相关数据集合中抽取出来有价值的知识、规则或高层的信息, 并从不同的角度显示, 从而使大型数据库作为一个丰富而可靠的资源为知识归纳服务。按功能分主要有以下几种:关联规则;分类规则;聚类规则;异类分析;趋势分析。其中关联规则挖掘是关联知识发现的最常用方法。
关联知识 (Association) 反映一个事件和其他事件之间的依赖或关联。数据库中的数据关联是现实世界中事物联系的表现。数据库作为一种结构化的数据组织形式, 利用其依附的数据模型可能刻画了数据间的关联 (如关系数据库的主键和外键) 。但是, 数据之间的关联是复杂的, 不仅是上面所说的依附在数据模型中的关联, 大部分是蕴藏的。关联知识挖掘的目的就是找出数据库中隐藏的关联信息。关联可分为简单关联、时序 (Time Series) 关联、因果关联、数量关联等。这些关联并不总是事先知道的, 而是通过数据库中数据的关联分析获得的, 因而对商业决策具有新价值。
聚类分析是数据挖掘的目标之一。通过聚类技术可以对源数据库中的记录划分为一系列有意义的子集, 进而实现对数据的分析。聚类和分类技术不同, 前者在特定的类标识下寻求新元素属于哪个类, 而后者则是通过对数据的分析比较生成新的类标识。
演变分析是指由历史的和当前的数据产生的并能推测未来数据趋势。统计学中的回归方法等可以通过历史数据直接产生对未来数据预测的连续值。因而这些预测型知识已经蕴藏在诸如趋势曲线等输出形式中。
4.2.1. 2 利用数据挖掘技术的分析程序
数据挖掘技术与分析程序具有相似的风险信号识别功能, 在数据审计模式下, 数据挖掘可充分发挥并延伸分析程序功能, 增强审计程序的不可预见性。
由于不同行业, 不同背景, 不同组织模式与经营特色的企业, 都有着自身发展的路径与特征, 数据挖掘技术作为一种深层次的数据分析技术, 不仅能对被审计单位的历史数据进行查询, 而且能够找出大量历史数据之间的潜在联系和规律。对审计数据进行孤立点的发现、关联规则的提取、神经网络的应用, 以及构建决策树来提取数据间隐含的知识。可以很好地弥补分析程序的不足, 可以运用到审计预警中, 建立审计分析模型, 帮助审计人员确定审计重点、发现审计线索, 从而降低审计风险。
4.2.2 利用OLAP, 延伸细节测试的外部取证
4.2.2. 1 跨行业数据仓库建立, 实现对账平台开放
函证、监盘程序历经审计模式变化, 始终是账实相符核查中不可取代的部分, 也是众多造假案例频频出镜的高风险领域, 一直是审计测试中水火交融的战场, 从账面到实物的抽样, 以抽样分层等技术简化处理样本选择, 同时, 缺乏抽样执行过程中的有效监控, 都是目前该部分取证的致命缺陷。而局限于被审单位信息系统内部的核对, 由于程序外延性不足, 证据断点重重, 往往使审计失策于中间环节。例如, 函证依赖于函询单位的回函, 而函询单位的核对过程并未验证, 也缺乏系统核对信息证据, 被函询方决定了函证程序的成败, 而大量的函证替代程序又回到了被审单位信息系统内部取证, 陷入死胡同。
因此, 必须突破单位内部信息系统, 在整个社会供产销环节构建共享统一的信息系统平台完成对账, 实现相关账务来往信息的全面机械核对, 结合核对结果, 最终确定资产检查的样本选择, 实现账实相符的大平台审计。这需要强大的信息技术网络以及完善的数据仓库后台支持。
联机分析处理技术 (On-Line Analytical Processing, 简称OLAP) , 目前对于海量数据处理所采取的主要方法, 是针对决策问题的联机数据访问和分析, 最基本、最核心的特征就是从多个角度分析数据, 也称为多维分析。OLAP一般以数据仓库作为基础, 即从数据仓库中抽取详细数据的一个子集并经过必要的聚集存储到OLAP存储器中供前端分析工具读取。
数据式审计中业务流程中, 最主要的环节是对基础数据库中各种类型的数据进行分析, 从中找出疑点, 从而确定审计的重点, 联机分析处理技术为数据分析提供了强有力的审计分析工具, 为同行业、跨行业的数据仓库与对账平台建立提供了技术支撑, 同时, 审计系统与社会对账系统之间的数据沟通问题, 随着XBRL的出现而有望解决。目前XBRL国际组织已经发布了XBRL财务报表分类标准 (XBRL for Financial Statement) 和XBRL分类账标准 (XBRL for General Ledger) , 预期未来将发展以XBRL为基础的财务信息供应链。未来XBRL分类标准的应用主要有:管理报表分类标准 (XBRL for Financial Statement) , 报税单分类标准 (XBRL for Tax Returns) , 认证报告分类标准 (XBRL for Assurance Services (Audit) Schedules) 、认证服务工作底稿分类标准 (XBRL for Assurance Services Working Papers) , 会计法规分类标准 (XBRL for Authoritative Literature) , 经营报告分类标准 (XBRL for Business Reporting) 等。
4.2.2. 2 实现机械化程序的详细审计, 有效控制抽样样本容量
按照概率统计的一般原理, 样本测试规模过小, 有可能会产生更大的样本估计风险;反过来样本测试规模较大, 由此会在一定程度上提高估计精度, 相应地也就能降低样本推断风险。但测试样本也不可能无限增大, 否则就达不到抽样审计的目的。
审计抽样的应用本意是为了提高效率, 同时, 也是无法实现详细审计的一种妥协。数据式审计的最大特点就是对电子数据的直接利用, 在进行数据采集时, 深入被审计单位计算机信息系统的底层数据库, 获取更多、更广泛的内部数据, 通过对这些数据的分析处理, 并结合从相关单位和部门采集的外部数据的关联分析, 得到大量的多种类型的有用信息。可以实现对机械性程度高的细节测试, 如重新计算、文件检查等进行详细审计, 从而获取孤立点分析, 利用数据挖掘关联规则对关联度强, 异动频率高的部分, 重点进行账实相符核查程序设计, 可以有效降低误受风险, 减少审计技术自身不确定性。
5 结语
现代审计在自身完善的重重困惑中上下求索, 也在不同时代的技术更迭中寻找新的发展优势, 云计算平台、信息技术都为审计应用瓶颈提供了可突破的模式, 我们希望审计抽样风险控制在数据式审计设计下不再是条条框框而束之高阁, 而是实实在在进入审计实务中的灵活应用工具, 为提高审计效率、审计产品质量开辟新天地。
数据式审计融合数据挖掘技术与联机分析技术在社会循环体系中大有应用推广之势, 无论是审计逻辑起点还是程序设计顺序都与现行审计体系存在很大的差异, 同时, 专家系统工程与法律制度完善也是无法回避的问题, 我们必须研究与思考这一审计模式所带来的系统性影响。
摘要:审计抽样风险是审计基础理论中重要的研究领域, 但因技术手段局限, 导致其应用仅作为曲高和寡的框架, 抽样风险成为转嫁法律责任的有力托辞, 也是一直以来拉大审计期望差距的主因。借助信息化集成技术平台建设, 运用数据式审计理念, 审计抽样能够得到灵便有效的应用, 抽样风险也可以控制在科学合理的水平。
关键词:审计抽样风险,数据式审计,信息化技术
参考文献
[1]石爱中.初释数据式审计[J].审计研究, 2005 (4) .
[2]管亚梅.我国推进数据式审计的发展策略思考[J].经济纵横, 2007 (8) .
[3]桑果.数据式审计的分析模型探析[J].南京审计学院学报, 2008 (5) .
[4]黄昌勇, 阳杰.论连续审计的概念框架[J].南京财经大学学报, 2007 (4) .
[5]辜飞南, 李若山, 徐林倩丽.现代中国审计学[M].北京:中国时代经济出版社, 2002.
[6]陈伟.联网审计——技术方法与绩效评价[M].北京:清华大学出版社, 2011.
[7]Roger S Debreceny, Glen L Gray.Data Mining Journal Entries for Fraud Detection:An Exploratory Study[J].International Journal of Accounting Information Systems, 2010 (11) :157–181.