计算机风险(共12篇)
计算机风险 篇1
一、前言
计算机审计是随着信息系统和信息技术的发展而不断发展的, 计算机审计的实践经过一个由低级到高级的历史进程。从1968年美国会计师协会发表了《电子数据处理系统与审计》一书来详细地探讨了审计和电子数据处理系统的关系, 提出了一些计算机辅助审计的方法, 计算机审计开始了它的发展历程。1983年, 美国EDP审计人员协会发布了一套EDP控制标准—《EDP控制目标》, 提出了电算化系统的一系列总的控制标准, 这套标准的颁布和实施则说明计算机审计的实务发展已处于成熟阶段。我国的计算机审计从20世纪80年代末至今有二十多年的历史, 计算机审计从无到有、从简单到复杂、从局部探讨到逐步走向成熟。
计算机审计的初衷是要应对迅猛发展的企业会计管理信息化, 是为了解决审计风险加大, 审计工作效率和效果低下的难题, 然而, 在计算机审计广泛应用的近十几年里, 审计失败和审计诉讼案件却在急剧增加。一些会计师事务所因诉讼而陷入困境甚至倒闭。这些事件给我国会计师事务所和审计人员带来了沉重的甚至是毁灭性的打击。上述的事件表明, 审计风险无时不在, 而且愈演愈烈。如何在计算机环境下有效地控制不确定因素引发的审计风险及其不良后果, 期望以最大限度的安全保障, 达到最理想的审计结果, 己成为了审计理论界和实务界极为关注的课题。
传统审计风险研究己经相对成熟。而随着信息时代的到来, 传统的审计理念和方法都受到了重大的冲击, 审计风险随之加大, 特别是计算机环境下的审计风险问题越来越受到人们的关注。而与计算机审计相对应的审计准则还没有完全建立起来, 其风险研究的理论体系尚未成熟, 因此, 对计算机环境下的审计风险进行研究是十分必要和迫切的。
二、计算机审计风险
(一) 计算机审计的概念
计算机审计是在信息化环境下, 计算机科学与技术、传统审计学、管理学、行为科学、系统论、数理统计等科学相互融合、渗透而产生的一门新的审计学科。随着计算机审计在实践中的发展, 我们对它的认识也起来越深刻了:计算机审计是以被审计单位计算机信息系统和底层数据库原始数据为切入点, 在对信息系统进行检查测评的基础上, 通过对底层数据的采集、转换、清理、验证, 形成审计中间表, 并且运用查询分析、多维分析、数据挖掘等多种技术方法构建模型进行数据分析, 发现趋势、异常和错误, 把握总体、突出重点、精确延伸, 从而收集审计证据, 实现审计目标的审计方式。
计算机审计主要包括下列两个方面的内容: (1) 对包括会计电算化在内的信息系统的设计进行审计, 以及对包括在会计电算化在内的信息系统的数据处理过程和处理结果进行审计。 (2) 是审计人员利用计算机辅助审计, 即是把计算机作为工具, 将计算机及网络技术等各种手段引入审计工作, 建立审计信息系统, 帮助审计人员完成部分审计工作, 实现审计工作的办公自动化。
(二) 计算机审计风险
1、计算机审计风险的定义。
计算机审计风险是指审计人员在对被审计单位会计电算化系统进行审计后作出的审计结论与被审计事项实际情况相背离的可能性。也可以理解为审计人员不能正确合理地运用计算机审计技术, 从而导致审计结果与事实不相符, 发表不恰当的审计意见。对计算机环境下的审计风险进行研究的意义与作用主要表现在以下几个方面:
一个方面, 对建立和规范计算机审计准则提供重要的参考依据。传统审计准则已经相对完善, 而在计算机环境下, 我国目前计算机应用于经济管理的法律法规体系有欠完善, 有关计算机审计实施和控制的具体标准尚未出台, 给实际审计工作带来实质性困难和风险, 因此研究计算机审计风险很有意义。
另一个方面, 有利于审计工作者开展审计工作, 降低其审计风险。企业引进计算机信息系统和网络技术参与会计管理工作和审计人员利用计算机辅助审计工作, 改变了传统的审计工作模式, 同时也增大了审计工作者的审计风险, 因此对计算机环境下审计风险的分析和研究对规避风险十分重要。
最后, 有效地提高审计工作的质量和效率。现代审计是风险导向审计的时代, 审计工作人员在审计过程中的每一个步骤和具体程序要会考虑到风险因素, 判断其风险是否超过可容忍范围, 进而决定之后的步骤和程序, 最终达到提高审计工作质量和效率的目的。因此, 计算机环境下审计风险正确的识别和分析是提高审计工作的质量和效率的重要武器。
2、计算机审计条件下新的审计风险。
审计风险取决于重大错报风险和检查风险, 注册会计师应当实施审计程序, 评估重大错报风险, 并根据评估结果设计和实施进一步审计程序, 以控制检查风险。重大报错风险是指财务报表在审计前存在重大错报的可能性。检查风险是指某一认定存在错报, 该错报单独或连同其他错报是重大的, 但注册会计师未能发现这种错报的可能性。
在计算机审计条件下, 由于信息技术的应用, 电子化会计数据存在被滥用、篡改和丢失的可能, 手工系统中纸面上的信息易于辨认、追溯, 而在电算化系统中, 由于存储介质的改变, 一旦非法用户透过计算机系统的“防火墙”, 极易破坏和修改电子数据, 且不留痕迹;计算机病毒、电源故障、操作失误、数据处理错误和网络传输错误也会造成实际数据和电子账面数据不相符, 这些都增加了重大错报风险。
而在计算机审计条件下, 也增加了一定的检查风险。会计软件的更新换代, 使历史文件难以提取。由于软件的更新, 难以从往年账套里提取历史数据, 迫使审计师不得不从大量的文档中收集整理历史数据, 既降低了审计效率又带来了更多的检查风险。
3、计算机审计风险的成因分析
(1) 传统审计线索逐渐消失。在手工会计系统中, 从原始凭证到记账凭证、账簿记录以及财务报表的编制, 每一步都有文字记录, 都有不同的经手人签字, 审计线索十分清晰。但在会计电算化系统中, 传统的账簿没有了, 绝大部分的文字记录消失了, 会计信息大都存储在磁盘或磁带上, 因此, 肉眼所见的线索减少了。况且, 存储在磁盘上的数据很容易被修改、删除、隐匿、转移, 又无明显的痕迹, 因此, 审计人员发现错误的可能性就减少了, 而审计风险就增加了。
(2) 审计技术、方法日趋复杂。实行会计电算化后, 审计技术和方法有了很大的变化, 由于被审计单位采用的会计应用软件有的是商品化软件, 有的是自行研究开发的软件, 在功能、程序处理上都有着一定的差别, 其要求运用的审计技术和方法也不一样, 从而给审计人员的审计增加了复杂性, 审计人员如果对软件不熟悉或采用了不恰当的审计技术和方法, 必然会带来审计风险。
审计人员计算机知识的缺乏。目前, 大部分审计人员对于计算机知识普遍缺乏, 而随着会计电算化的实行, 审计的对象也更多更复杂了。因此, 审计人员除了要有专业的审计、会计知识外, 还必须掌握一定的计算机知识和应用技术, 否则, 审计人员得出的审计结论有可能偏离被审计单位会计信息系统的实际, 从而造成审计风险。
(3) 在动态中进行审计取证较难。在某些大型企业, 计算机会计信息系统是一个很大的网络系统, 每天都要进行成本和利润的结算, 进行生产动态分析, 供管理层决策参考, 因此, 系统必须一直都处于运作当中, 一旦停止工作, 将会给被审计单位造成很大的经济损失。而计人员一方面要完成审计任务, 一方面又不能妨碍和终止被审计单位会计信息系统的运作, 这样就只能在系统运作过程当中进行取证, 难度较高, 也存在着一定的审计风险。
(4) 被审计单位内控制度的不完善。在手工系统中, 内部控制测试是看得见、摸得着的, 但在经济信息系统计算机化后, 内部控制的技术和方法发生了变化, 主要表现在:一是内部控制措施由手工控制转向以计算机控制 (包括硬件和软件控制) 为主;二是计算机条件下的手工控制的内容发生了改变, 主要指手工条件下的手工控制措施在计算机条件下已经失效, 代之以新的手工措施。因此, 内部控制的技术和方法的变化使得原有的控制措施都已不适合了, 大部分控制措施都是以程序的形式建立在计算机会计信息系统中, 肉眼无法觉察, 在很大程度上依赖于计算机处理。而计算机会计信息系统的内控功能是否恰当有效会直接影响系统输出信息的真实和准确, 内控环境的复杂性以及内部控制的局限性也使舞弊行为有机可乘, 从而增加了审计风险。
(5) 缺少科学的计算机会计信息系统审计的标准和准则。对于以往手工系统的审计有诸多的审计标准和准则加以参考, 但是对于会计电算化信息系统进行审计时, 由于审计对象和审计线索等发生了变化, 审计的技术和手段也相应地发生了变化, 原来的一些标准和准则显得不适用了, 新的适用于会计电算化信息系统审计方面的标准和准则尚未出台, 因此, 也容易产生审计风险。
(6) 现行会计软件评审机制存在缺陷。现行会计软件的评审主要侧重于软件功能的构成要素及会计处理方法的合理性, 忽视了审计线索的保全性;评审侧重于会计软件运行的结果与手工一致, 忽略了对软件开发过程内部控制系统的评价;评审依赖于会计电算化专家小组及部分用户的意见, 忽视了软件的审计特征;评审的结果可能同审计人员的意见产生冲突。这些都给审计人员的工作带来了一定的困难和风险。
三、计算机环境下的审计风险的控制
只有弄清风险形成原因, 才能控制。我们可以针对上述形成风险的原因, 制定相应的控制措施, 有效地预测和控制风险, 提高计算机审计的效率。
(一) 注重计算机审计的事前和事中审计
加强计算机审计的事前和事中审计是降低计算机审计风险的有效途径之一。由于在计算机环境下审计文件的消失, 使审计风险加大, 要求审计人员对计算机审计软件数据库的设计理念和方式有深入的了解;同时, 也要对计算机处理原始数据所形成的审计线索有较好的把握, 应对事中、事前的审计文档进行深入的研究和清查。不但要注意文档的审计, 还要对计算机审计软件的设计和评估进行事前和事中审计。
由于要审计的内容大都存储在磁性介质中, 而磁性介质很容易被篡改、删除而不留下任何痕迹。因此, 对于计算机会计信息系统审计一般应采用就地审计或突击审计的方式。在进行审计时, 可以采用事先不通知操作员或程序员的情况下, 把系统中正在运行的数据拷贝出来进行审查, 以防操作员把数据篡改、删除等, 只有这样, 才能保证被审程序和数据的正确、完整性, 也才能有效地降低审计风险。
建立必要的上机操作控制和系统运行日志。建立健全上机的规章管理制度, 对系统的用户身份、操作参数和运行状态、事故类型等进行实时监控和记录, 并定期检查、评比, 做到奖罚分明。
(二) 选择恰当的审计方法与技术
审计人员可以根据被审计单位不同的会计信息系统而采取不同的审计方法和技术, 从而有效地降低审计风险。当打印文件充分且与被审计单位输入输出联系比较密切能直接核对时, 则可采用绕过计算机的审计方法, 用核对、复核、分析等审计技术当被审计单位采用实时处理, 纸质的审计线索较少且输入输出不能直接核对时, 则可采用计算机审计的方法;当被审计单位采用每时每刻都在运行的会计信息系统, 审计过程中不能终止工作时, 则可采用制度基础法, 首先对被审计单位计算机会计信息系统的一般控制和应用控制进行审查, 根据一般控制和应用控制审查的结果决定抽查的重点、范围和方法。这样, 既可以降低审计风险, 又可以减少对被审计系统正常工作的影响。
(三) 建立统一审计通用数据标准和设立审计测试预留通道
由于被审单位各操作部门计算机审计软件设计目的侧重点不同、原理不同、数据传输格式不同、语言环境不同等因素, 使所形成的电子数据格式不一, 审计难度加大。相关职能部门应尽快制定出相应的操作规范设计标准, 使会计软件的审计数据有统一的格式。同时, 审计的实时性要求在对审计软件进行测试时, 应设置审计测试预留通道, 更好维护审计数据库, 并且能直接与会计电算化软件进行数据调用, 拓展审计软件应用范围;但要注意电子数据标准和测试预留通道一定要适合本部门的计算机审计水平和业务管理的需要, 不一定强求一致, 也不可以急功近利。
(四) 积极取得被审计单位的支持和配合
在进行计算机审计时, 如果被审计单位的财务人员、操作人员不予配合, 把存在磁性介质当中以及会计信息系统中的财务数据进行加密、修改、删除、隐匿等, 则审计人员很难进行审查, 因此, 审计时应积极取得被审计单位的支持和配合, 来降低审计风险。
加强内部控制制度的审查。内部控制制度是审计的基础, 为了确定这个基础是否扎实, 即内部控制制度是否健全、有效, 审计人员就必须对被审计单位的内部控制制度进行审查。在分析和评价被审计单位电算系统内部控制制度时, 应遵循以下步骤:一是调查分析系统可能存在的错误类型和非法行为;二是明确预防或发现错误应有的内部控制;三是分析被审计单位现有的内部控制是否充分;四是分析被审单位现有的内部控制措施是否有效。只有充分审查以保证内部控制制度的完善和有效, 才能减少审计中的控制风险。
(五) 建立继续教育机制
通过教育的方法来改善目前审计从业人员的知识构成可以从根本上防范审计的内在风险。而针对审计人员知识构成的现状, 一方面应该注重引进人才, 将引进人才与自主培养结合起来, 逐步建成审计人才队伍的“金字塔”结构。另一方面, 应该完善目前的审计人员从业资格考试 (注册会计师考试) 的内容, 将有关的计算机辅助审计基本技能的要求以及信息系统审计的一般知识 (如对企业信息系统内部控制的评价) 等作为考核的一个内容, 以全面考察信息技术环境下审计人员的从业资格。
(六) 建立健全会计电算化信息系统审计的标准和准则
目前国内审计标准和准则有:1996年审计署发布的《审计机关计算机辅助审计方法》、1999年施行的中国独立审计具体准则第20号《计算机信息系统环境下的审计》、2001年国务院办公厅发布的《关于利用计算机信息系统开展审计工作有关问题的通知》、2004年审计署发布的《审计信息化工作指导意见》等。面对日益发展的计算机审计, 人们以前建立的各种计算机审计准则, 有的已不适用于会计电算化信息系统审计, 这给会计电算化信息系统审计带来了一定的风险, 需要针对新的形势制定相应的工作标准。大力加强对计算机审计的研究, 完善有关计算机审计标准和准则, 建立一系列适用于会计电算化信息系统审计的标准和准则, 它包括系统设计、开发、运行、维护等标准, 以及与其相适应的内部控制制度, 来规范计算机审计业务的发展, 降低计算机审计风险。
(七) 改进会计软件的评审机制
财政部门对会计软件独家评审的纵向评审机制, 给会计电算化信息系统审计工作带来了一定的困难和风险。因此, 需要对会计软件评审机制进行改进, 在会计软件通过财政部门评审前, 由审计机关组织专家对软件开发商进行软件开发审计, 并做出审计结论, 财政部门参考审计结论, 最终做出是否通过评审的决定。基层的审计人员只需参照审计结论来审查、评价基层用户的会计软件系统。这样就使审计人员和财政部门评审人员共同分担了评审责任和风险。
(八) 积极开发和使用电算化审计软件
随着会计电算化的普及和网络化的不断升级, 审计的难度也越来越大, 开发和使用优秀的电算化审计软件, 一方面可以提高审计的效率, 另一方面也能够有效地控制和降低审计风险。
社会的进步、技术的提高使软件要不断更新, 用旧有技术设计的软件是导致审计风险形成的主要原因。应根据新的计算机和互联网技术来提高软件的现实性和实用性, 同时要及时更换审计所需硬件设备。
(九) 加强审计主体的风险控制
实行用户分级授权管理。按照网络化审计系统需要设置审计岗位, 建立健全岗位责任制, 并通过每个用户的安全级别和身份标识来落实其职责与权限, 做到奖勤罚懒。
定期调整内部控制人员的监管权限, 避免少数人钻内控制度不严的空隙, 防止内部人的合谋串联作弊。
总之, 经济信息系统电算化的发展不仅是向审计工作提出新的挑战, 同时也为审计人员提供了新的用武之地, 为审计带来发展的新机遇。开展计算机审计时, 审计人员只有做到全面分析计算机审计风险的形成原因并认真落实其防范措施才能够提高审计的工作效率和质量, 促使电算化经济信息系统向更高目标迈进。因此, 从事审计工作的人员除了要有审计专业知识, 还要具备和熟练掌握过硬的计算机知识及丰富的实践经验, 才能开创审计工作的新局面。
摘要:随着信息时代的到来, 传统的审计理念和方法都受到了重大的冲击, 审计风险随之加大, 特别是计算机环境下的审计风险问题越来越受到人们的关注。而与计算机审计相对应的审计准则还没有完全建立起来, 其风险研究的理论体系尚未成熟, 因此, 对计算机环境下的审计风险进行研究是十分必要和迫切的。本文主要通过介绍风险和计算机环境下审计风险的概念, 成因和防范, 更深入的了解计算机环境下的审计风险问题, 并且通过加强对审计风险优化管理, 提高计算机审计对重大错报风险的评估水平, 降低计算机审计的检查风险, 从而降低计算机环境下的审计风险。
关键词:计算机环境,审计风险,控制
参考文献
[1]、李学柔, 秦荣生:《国际审计》, 中国时代经济出版社2002版。
[2]、胡明军:《浅谈如何防范计算机审计风险》, 载《中国高新技术企业》2007年第6期。
[3]、张海霞:《计算机审计风险的形成与规范》, 载《湘潮》2007第8期。
[4]、赵军: 《信息时代计算机审计的风险与防范》, 载《商业会计》2007第2期。
[5]、冯书霞, 裔传斌:《计算机审计风险的成因及对策》, 载《中国管理信息化》2006第11期。
[6]、林琳:《计算机审计风险分析及其防范对策》, 载《中国管理信息化》2005第7期 。
[7]、黄冰, 阳杰, 黄昌勇:《计算机审计风险的定量化评估模型》, 载《统计与决策》2007第4期。
[8]、庄明来、林宝玉:《会计信息化教程》, 北京师范大学出版社2007年版。
[9]、黄正健: 《计算机环境下的审计风险及防范》, 载《广东审计》2006第6期。
[10]、王新建:《计算机审计风险防范研究》, 载《科技资讯》2006第31期 。
[11]、JIA Cheng-ha“i.Computer Audit Risk:Cause and Countermeasures ”, Third Edition, Journal of Anhui Business College of Voca-tional Technology in 2007.
计算机风险 篇2
一、计算机审计面临的风险
(一)内部控制风险。计算机系统中的内部控制风险是指会计电算化系统的内部控制不严密造成的风险。在手工记账条件下,内部财务的控制机制完全是人与人之间的互相监督和控制。实现会计电算化后,这种监督和控制主要表现为人和机器的双重控制,而且以对机器的控制为主。机器控制较之制度控制存在以下几种问题:一是缺少交易轨迹,计算机的指令操作,比手工提供的可见证据少得多。数据可能直接进入计算机系统而没有相应的支持凭证。如某些联机系统中,单个的批准数据输入的书面证据可能被其他计算机程序取代;二是同类交易处理的一致性。计算机处理一律以相同的指令处理类似的经济业务,因此,虽然与手工处理的抄写错误可消除,但程序错误通常导致错误地处理所有的业务;三是缺乏职责分工。许多在手工系统中由多人分工执行的控制程序,在计算机信息系统中都被集中起来。存取计算机程序、数据和信息处理的一个人可能处于执行不可分的多种职责的位置;四是在特定方面发生错误和舞弊行为的可能性较大。由于计算机信息系统的固有限制,在系统开发、维护和执行过程中人为错误的可能性大。在缺少适当控制时,被审单位内部人员未经授权存取或不留证据地改动数据和程序的可能性将提高。此外,由于处理会计信息的人员减少,同时也降低了发现错误和误差的可能性。由于以上这些内部控制风险,造成会计信息系统存在隐患,也加大了计算机审计的难度,促使计算机审计应对被审计单位会计信息系统及计算机系统环境的安全加以检验,并采取措施防范内部控制风险。
(二)文件记录风险。这种风险是指电磁性财务数据有被篡改的可能。在电算化系统中可人为篡改数据而不留痕迹。一是计算机审计是随着会计电算化的发展而产生的,在以往的手工会计核算系统中,从原始凭证到记账凭证,从记账到报表编制,每一步都有文字记载和经办人员签名,审计线索比较清晰。而在会计电算化信息系统中,由于数据存储介质的磁性化和数据处理过程的自动化,业务数据进入计算机系统之后,由计算机按程序自动生成会计报表,即使有篡改也不会留有痕迹,比起手工系统来,电算化系统中的审计线索更隐蔽、更容易引发经济犯罪;二是在电算化系统中,会计账簿是由系统自动登记的,用户能修改的数据主要在凭证和报表中。所谓数据文件的修改,是指对未登账的凭证以及报表数据的修改,已登账的凭证是不能修改。目前电算化系统中使用的会计软件对操作人员的每次操作都有记录,但这样的记录显得过于宽泛,使得有价值的线索隐蔽其中难以发现。由于传统审计追踪审查已不适用,审计入手点更多的是靠审计人员的经验和判断。文件记录风险的产生,使得审计工作加大了工作量,增加了审计成本;也使审计风险增加。
(三)系统安全风险。对系统安全的审计是计算机会计信息系统审计的重要内容,也是审计的难点。主要包括对系统开发和应用程序的功能进行审计测试。对系统开发的审计是事前审计,审计人员要参与系统分析、调试、运行与维护等。而对系统应用程序进行审计,一是要对嵌入应用程序中的控制措施进行测试,看其是否按设计要求运行中;二是通过检查程序运算和逻辑的正确性已达到实质性测试的目的。在财务会计软件中,是通过对系统使用人员的密码和授权设置以及进入系统的身份验证功能实现的。对这些功能的审计,可通过简单的测试得出结论。由于要确定所审计的会计信息系统的安全性需要审计人员有丰富的计算机知识,因而对审计人员的计算机专业性要求很高,这也是审计人员面临的挑战。由此也产生了判断系统安全是否准确地审计风险。
二、对策
(一)针对内部控制风险,审计人员在评价会计电算化系统固有风险和控制风险时,须考虑以下事项:一是被审计单位使用的计算机信息系统是自行开发的而非外部购买,使用者是否有能力改变数据和开发报告;二是一般控制影响财务应用系统的可靠性,其影响程度取决于具体应用的范围和风险水平,计算机信息系统记录内容的性质和范围影响系统环境的复杂性和其面临的固有风险。针对被审计单位的会计信息系统特点和固有或控制风险,应询问被审计单位的主要管理人员,查阅相关文件记录,审察被审计单位的业务活动及其运行情况,考虑以前审计过程中所了解的相关情况及其变化,并进行符合性测试。通过加强对与计算机系统相关的内部控制的审计来降低计算机审计中面临的控制风险。
(二)针对文件记录风险,审计人员应当检查会计信息系统是否具有识别错误的功能,对
系统拒绝接受的错误数据,是否提供适当的控制措施,对系统拒绝接受的错误数据,是否提供适当的更正程序;复核输入、输出设计,查明是否留有审计线索并进行实质性测试。
此外,审计人员通过程序对实际会计业务的处理进行监控,判别程序处理和控制功能是否按设计要求运行。例如,审计人员可以通过输入错误数据查看更正过程以确定输入控制是
否可靠;也可以通过被审计单位正常业务处理以外的时间里亲自或监督进行,将一批处理过的业务再处理一次,比较两次处理的结果,以确定程序是否被非法篡改、处理和控制功能是否恰当有效。
计算机风险 篇3
关键词:规避风险;财务管理;防范措施
引言
信息系统作为会计信息系统控制的对象,是由计算机硬件和软件部分、应用系统、各种数据和相关人员等要素构成的。会计信息系统控制目的是在信息系统风险分析和识别控制基础上避免或减少风险危害。
为了使得会计信息系统正确的,可靠的和安全的运行,同时提高会计信息系统运行效率,就需要使用各种方法和相应的技术,对会计信息系统实施风险管理和风险规避。
1.计算机会计信息系统的简介
1.1计算机会计信息系统的定义。计算机会计信息系统将电子计算机为主的当代电子技术和信息技术应运到会计实务中,是一个运用电子计算机实现的会计信息系统。它使传统的手工会计信息系统逐渐转化为电算化会计信息系统。计算机会计信息系统将电子计算机和现代数据处理技术相结合并且运用到会计工作中,是用电子计算机代替人工记账、算账和报账,和部分代替人脑完成企业对会计信息的分析、预测、决策的过程,它的目的是使得企业财务管理水平和经济效益得以提高。
1.2 计算机会计信息系统特点
(1)系统的庞大复杂性;(2)信息的真实可靠性。计算机会计信息系统应确保存放在系统中的会计信息的真实、公允、全面、完整、安全和可靠;(3)内部控制严格。计算机会计信息系统中的数据不仅要保证其正确性,还要保证;(4)会计核算程序的规范性和程序性。
1.3 计算机会计信息系统的应用及不足
(1) 会计信息数据将会发生失真。如果会计信息系统的安全受到威胁,那么将会发生会计数据发生错误、数据将会丢失或被篡改,使信息发生失真;(2) 企业重要信息发生泄露。比如,在各种网络环境下,财务信息完全通过网络进行传递,这时将不可避免的发生财务信息被不法分子截取或泄露;(3) 计算机病毒侵袭使得系统不能正常运行。计算机病毒将会破坏计算机内部的程序、重要数据,有的甚至会破坏硬件。病毒通常会通过磁盘、光盘、网络和电子邮件进行传播。
2.我国计算机会计信息系统存在的风险
2.1 会计信息系统内在是脆弱的
( 1) 计算机的硬件存在很大风险。硬件的安全隐患大部分来自于程序设计,物理安全是最主要的表现方式;( 2) 会计软件的系统是脆弱的。计算机软件的风险一般来自于软件设计和软件工程实施中的遗留问题,一旦软件设计中发生了疏忽,则可能留下安全漏洞;安全脆弱性还体现在软件设计中不必要的冗余功能,和软件本身较大;(3) 网络和通信协议存在一定的安全风险。由于支持因特网运行的TCP/IP协议栈在设计的当初将互联互通和资源共享问题考虑了进去,从而导致了解决来自网际的安全问题无法被兼容。
2.2 计算机病毒引起的风险
(1) 从存储介质进入。
(2) 从内联网进入。内联网上的邮件系统容易给病毒大量传播的机会,而且在内联网络上传播的病毒较新,大部分是新发现的病毒。
(3) 从互联网进入。计算机病毒大部分通过互联网传播,不管用户在网上浏览网页, 还是收发电子邮件、或者是下载软件, 都比较容易使计算机染上病毒。
2.3 计算机舞弊引发的风险
(1)将会使得系统硬件发生破坏。比如不法分子蓄意对系统硬件设备进行破坏,最终导致系统运行发生中断或瘫痪;(2)使得软件系统发生破坏。不法分子威胁、攻击及舞弊的主要对象是软件系统,方法和手段是多样的,常用方法有截尾术、越级法、程序天窗、逻辑炸弹及冒名顶替等等;(3)使得重要数据发生破坏。计算机舞弊中最常用的方法就是对输入进行篡改,即在将数据输入计算机之前或者输入过程中对数据进行篡改;(4) 网络黑客。
2.4 内部控制存在的风险
( 1) 授权控制下降。 ( 2) 职责分离和监督不规范。 ( 3) 业务记录效力降低。员工在纸质凭证上进行了签字只是证明了他确实对交易进行了授权确认,但是系统的完整性、正确性和安全性影响了磁质交易记录上的操作员信息的法律效力。
3.对我国计算机会计信息系统风险的规避控制
3.1 我国的计算机会计信息系统内在的防范对策
3.1.1 完善会计软件的功能
3.1.2 加强内部审计
3.1.3 计算机舞弊引发风险的防范
不同企业对会计信息系统存在不同的安全要求,企业可以自主选择合适的操作系统平台。在会计软件的开发设计过程中,通过运用操作系统提供的信息安全技术,使信息安全得以实现。此外,要监督审计人员 ,让他们在执行审计工作的过程中查找计算机舞弊的痕迹。
3.1.4 提高应用与管理人员业务素质
企业可以通过内部培训、绩效考核、奖惩等各种方法,使会计人员的会计信息系统应用和管理人员的计算机知识、网络技术安全知识、会计理论与实务知识有所增加,并同时增强会计人员的风险防范意识,提高他们的业务素质,使得计算机会计信息系统有效正常运行.
3.2 我国计算机会计信息系统外部的防范对策
3.2.1安装防火墙和使用加密技术
(1) 企业可以通过安装防火墙,使得内联网上的企业信息系统躲过来自互联网上的攻击。防火墙具有限制网上会计信息的自由流动,从而使得网上访问变的安全。
(2)企业可以使用非对称加密机制,会计数据秘密得以保守。
3.2.2 采用数字签名技术和仲裁制度,防范来自关联方和社会道德风险
3.2.3采取多种网络安全技术,保证系统的安全性
(1)企业应当适当使用安全检测预警系统。
(2)企业应当适当采用加密技术。加密技术是最主要的网络安全技术, 它可以使得系统数据的保密性得以提高,而且能防止私密数据被破译。保秘密钥和公开密钥是加密技术的两大手段。
4.结 论
互联网技术的飞速发展,导致了计算机会计信息系统进入了一个全新的发展阶段,同时也使得目前的会计信息系统面临着巨大的挑战。网络多功能化可以让企业根据自身情况,考虑设置新的功能模块,同时随着电子技术的发展,系统也会逐步完善,发展成企业管理所期望的。
我们不可否认,会计信息系统的各种风险是客观存在的,这就要求我们积极面对各种风险,对出现的问题认真思考,进而采取正确的防范措施,只要企业进行严密监督与控制,计算机会计信息系统的风险是可以减少与控制的,会计信息系统将会运行在正确的轨道上。(作者单位:安徽财经大学)
参考文献:
[1] 王恒斌. 基于风险防控视角的会计信息系统管理[J]. 商业会计,2010,(12).
[2] 王海林. 试论会计信息系统运行阶段的风险与控制[J]. 会计之友(上旬刊),2009,(01).
计算机辅助审计风险及防范分析 篇4
关键词:计算机辅助审计,审计风险,系统环境,系统控制,内部控制
1 计算机辅助审计风险的基本模型
1.1 相关概念
1) 计算机辅助审计与手工审计一样, 同样是执行经济监督、鉴证和评价职能。其特殊性主要体现在两个方面:一是对计算机系统进行审计, 即将计算机系统作为审计的对象, 二是利用计算机辅助审计, 即将计算机作为审计的工具。概括的讲, 计算机辅助审计包括对计算机承载的数据进行检查并对承载数据的计算机进行检查。
2) 风险是指在某一特定环境下, 在某一特定时间段内, 某种损失发生的可能性。
3) 由上述计算机辅助审计与风险的定义, 我们可以这样描述计算机辅助审计风险, 即审计人员对计算机进行审计以及利用计算机进行审计时, 对实质上误报的财务数据提供不适当意见的可能性。
1.2 计算机辅助审计风险模型
按国际通用的审计风险模型, 计算机辅助审计风险可表示为
审计风险=固有风险 (IR) ×控制风险 (CR) ×检查风险 (DR) .
只是在信息化环境下, 各种风险的影响因素发生了变化。
1) 固有风险 (IR) 。
固有风险是指在不考虑计算机会计信息系统规范的前提下, 计算机会计信息系统处理数据发生错误的可能性。它包括计算机硬件环境、计算机软件环境、会计信息的保密性、会计信息的完整性、系统运行的非人为因素干扰等5个方面。
2) 控制风险 (CR) 。
控制风险是指由于被审计单位内部计算机硬件系统的应用、操作和管理规范等安全控制制度不够健全、有效, 导致无法恰当地防止、发现和及时纠正会计信息系统可能出现的各种错误风险。它包括与计算机软硬件相关的安全控制制度不健全或未能完全贯彻执行、对会计软件系统的应用测试不够严密, 采纳了潜伏某些错误的不合格系统、会计软件相应的内部控制不严密、会计电算化工作人员业务水平低、系统管理人员系统安全意识薄弱等5个方面。
3) 检查风险 (DR) 。
检查风险是指被审计单位内部计算机软硬件系统的相关安全措施未能及时防止、发现和纠正会计信息系统出现的错误, 审计人员也未能合理地运用计算机辅助审计的相关技术进行实质性测试以发现该错误的风险。它包括计算机辅助审计人员业务水平低、风险意识淡薄, 审计软件本身有缺陷、审计软件与会计软件数据格式不兼容造成数据转换风险, 审计软件不能正常升级, 计算机辅助审计软件的使用和管理制度不完善, 不健全5个方面。模型结构如图1所示。
2 计算机辅助审计风险影响因素分析
引发计算机辅助审计风险的因素众多, 主要可概括为3个方面:审计主体方面的因素, 审计客体方面的因素和审计环境方面的因素。
2.1 审计主体方面的因素
1) 审计人员的素质有待提高。计算机辅助审计是一项综合性审计, 涉及的知识面较广, 只依靠审计人员过去的知识和技能是难以胜任的。此时, 审计人员不仅要掌握审计、会计、财务方面的知识, 还需要掌握计算机硬件、会计软件、信息处理技术及网络等方面的知识。如果审计人员不同时具备这些知识, 则在审计取证的过程中, 在进行人机对话时, 很可能会出现审计人员所得与所想的会计信息存在偏差, 而这当中也可能隐藏了重要的审计线索, 从而加大了审计风险。
2) 审计人员的风险意识薄弱。与传统手工审计相比, 计算机系统下的审计风险的内容或被赋予了新的内涵, 或得到了进一步的补充, 集中表现在计算机审计风险隐蔽性强、可控性差、破坏性大等特点上。审计人员必须对此引起足够的重视。如果仅仅为了完成审计任务, 而不考虑审计风险内容及其内涵的变化, 必然会导致审计质量不高或降低审计效率。从而无法客观、公正地评价被审单位审计期间的会计报表的真实性、公允性, 加大了审计风险。
2.2 审计客体方面的因素
1) 被审单位内部控制制度不健全。在传统手工会计系统中, 内部控制通常表现为手工控制, 这种控制形式责任明确也便于审计人员的调查并做出客观评价。而在计算机系统环境下, 内部控制的内容发生了变化, 控制的方式由手工控制转变为手工控制和计算机控制相结合。手工控制主要通过设置不同人员的权限来实现, 由于现行会计软件多为商品化软件, 被审单位对程序设计缺乏足够的参与与认识, 在一定程度上会影响到被审单位在人员权限设置上的科学性。另一方面。计算机控制又受到程序设计的影响。程序审计的科学与否直接影响到计算机控制的效果。不法分子也可能通过篡改程序或嵌入非法程序来影响计算机控制的效果。企业的组织形式也会由于环境的变化而不同程度地调整。在手工会计系统中, 被审单位可以根据需要适时地、轻易地实现对内部控制制度进行修改与完善, 而在计算机系统环境下, 就难以满足这样的要求。
2) 被审单位故意隐瞒审计所需信息。审计是审计人员运用专业知识和技能, 依据审计准则对被审单位相关资料进行鉴证的过程, 因此, 在审计过程中审计人员必须取得被审单位的配合才能更好地完成审计任务, 实现审计目标。在审计取证过程中, 如果被审单位不积极提供充分的资料或隐瞒一些重要的变更事项, 如会计程序的变更、人员权限的变更等, 势必会影响到审计人员取得审计证据及对审计证据评价的客观性, 从而加大了审计风险。
2.3 审计环境方面的因素
1) 审计的内容和范围扩大。在计算机辅助审计中, 审计的内容不仅包括传统手工审计环境下的内容, 还包括对会计软件运行的评估和审核及对程序中安全控制措施的审查, 如人员权限的设置等。审计内容和范围的扩大对审计人员提出了更高的要求。
2) 审计线索隐蔽化。在传统手工审计环境下, 审计线索都是以纸介质形式存储的。其中所包含的信息是可见的, 需要时取得也较为便捷。而在计算机环境下, 会计信息中有相当一部分是存储在磁性介质中的, 它们是看不见、摸不着的, 需要时必须通过人机对话, 从计算机信息系统中调出所需会计信息, 才能加以阅读。会计信息存储的隐蔽性导致信息取得的复杂性必然会加大审计人员的审计风险。
3) 会计软件的多样化。市场中会计软件的品牌、版本众多, 审计人员不可能完全熟练地操作所有的会计软件。同时会计软件的升级, 也会影响审计人员对历史数据的提取。软件公司基于保密的考虑, 一般也不会轻易地向审计或其他外部人员透露其软件设计程序。这又会影响到审计人员对企业会计信息的生成与传递及内部控制的评估。
3 防范计算机辅助审计风险的基本对策
3.1 完善有关计算机辅助审计的标准和准则
目前审计标准和准则有:国际会计师协会于1984年公布的《国际审计准则15——电子数据处理环境下的审计》和《国际审计准则16——计算机辅助审计技术》、1996年审计署发布的《审计机关计算机辅助审计方法》、1999年施行的中国独立审计具体准则第20号《计算机信息系统环境下的审计》等。面对日益发展的计算机辅助审计, 人们以前建立的各种计算机辅助审计准则已不适合要求, 需要针对新的形势制定相应的工作标准。完善有关计算机辅助审计标准和准则, 建立一系列与新情况相适应的审计准则, 它包括系统设计、开发、运行、维护等标准, 以及相适应的内部控制制度, 来规范计算机辅助审计业务的发展, 将审计风险降低到可以接受的水平。
3.2 努力开发实用高效的审计软件
为了给计算机辅助审计打开通道, 就必须不断研究开发审计软件。在数据采集方面, 特别需要有一种专门从事数据采集的软件, 要求这种软件能够容易访问被审计单位不同介质、不同编码、不同数据库类型的数据库, 从中采集审计所需的原始数据, 打通“瓶颈”。在数据分析方面, 在现有审计软件的功能基础上进一步开发新的分析工具。这些分析工具将面向特定的领域, 例如:针对企业审计领域的固定资产折旧审计工具和产品利润情况分析工具, 针对金融审计领域的利率检查工具等。在增加面向特定领域的分析同时, 还要增加一些基于特定方法的分析工具, 如账户分析、比较分析等。通过软件的开发和利用, 建立起自己的计算机辅助审计信息系统
3.3 提高审计人员的计算机素质
随着“金审工程”的实施, 审计署高度重视计算机辅助审计的发展和计算机辅助审计人员的培养。目前提高审计人员计算机素质可以采取以下措施:一是加强对在职人员计算机应用水平的培训;二是加快和财经类高校联合办班, 专门培养既懂计算机又懂会计和审计的复合型知识结构审计系统开发人员, 择优录取到审计队伍当中, 使他们成为计算机辅助审计的专业技术人员。
3.4 合理配置审计人员
计算机辅助审计要求高, 技术性强, 在组织审计组时, 一定要注重审计人员的合理配置, 考虑到审计专家和计算机专家的合理搭配, 选择适当数量的、能真正胜任该项审计工作的审计人员组成审计组。审计人员和计算机人员应达成以下共识:一是内部控制的程序;二是固有风险及控制风险的考虑;三是符合性测试及实质性测试程序的设计与执行。
3.5 加强对内部控制制度的审计
会计电算化与它的内部控制系统是相互作用和相互影响的。审计人员要对系统中业务事项的流向、电子数据处理用于特定的业务处理范围以及业务控制的基本结构进行审查, 同时必须识别特定的业务与内部控制关系, 了解内部控制在多大程度上确保系统中业务记录的正确性和可靠性。要对内部控制制度实施符合性测试, 主要查明内部控制制度是否制定必要的制约手续、如何办理必须的手续、由谁实施, 从而了解内部控制中可能发生的薄弱环节。
4 结 论
计算机辅助审计风险的产生是多方面的, 必须采取相应的措施, 以降低审计风险。大力加强计算机辅助审计的研究 (包括理论、技术、方法、制度等) 并大力培养复合型审计人员。
参考文献
[1]鲍钟萍.计算机审计风险的成因及应对措施[J].当代经济, 2007 (7) :122-123.
[2]黄冰, 阳杰, 黄昌勇.计算机审计风险的定量化评估模型[J].统计与决策, 2007 (4) :139-141.
[3]殷旭红.计算机审计风险的成因与防范[J].内蒙古煤炭经济, 2006 (4) :44-45.
[4]肖明.试论计算机审计风险与防范[J].会计之友, 2008 (1) :59-60.
[5]马献科.计算机环境下审计风险研究[D].广州:广东外语外贸大学, 2007.
[6]冯淑霞, 裔传斌.计算机审计风险的成因及对策[J].中国管理信息化, 2006 (11) :46-47.
计算机风险 篇5
张 鹏
摘要:在医院信息化的环境下如何规避计算机审计风险,是每个审计人所关注的课题。本文通过将医院计算机审计风险分类,提出切实可行的防范措施,使审计人员更好的运用计算机技术,提高审计效率,规避审计风险。
关键词:审计、医院、信息化、风险
随着计算机和数据库技术的广泛应用,医院信息系统(以下简称:HIS系统)已成为现代化医院的基础设施之一。几乎所有的医院业务核算都实现了HIS系统管理。审计对象发生重大变化,审计对象的信息化使得计算机审计成为必然,审计机关改变传统审计技术和方法的同时面临着计算机辅助审计下的新的审计风险。总结审计工作中产生风险的原因、找出相应对策,在以后的医院审计工作中有效规避风险、提高审计质量,是审计人员必须思考的问题之一。
一、医院计算机审计风险分类(一)医院计算机审计固有环境风险 固有环境风险是指会计电算化系统本身所处的环境引起的风险,它是从计算机信息系统的角度分析的,也是被审计单位的信息系统本身固有的,审计只能评估风险的大小,而无法控制固有环境风险,它包括软件环境风险和硬件环境风险。影响计算机审计的固有风险因素除传统审计的固有风险影响因素外还包括:(1)医院会计资料存储在计算机硬件磁性材料上,由于温度、湿度、灰尘、电压、震动造成的故障、损坏,导致审计资料改变、丢失,稳定性、安全性和保密性较差;(2)HIS系统软件本身程序设计的漏洞以及系统管理人员的技术水平达不到管理系统所必需的水平,导致的数据处理和应用错误;(3)计算机病毒的侵害,造成数据丢失。HIS信息系统的联机和数据库管理系统化,使信息系统不再是封闭的系统,病毒、黑客的入侵随时可以威胁信息系统的安全。
(二)医院计算机审计控制风险
医院计算机审计控制风险是指信息系统的内部控制不严密造成的风险。它属于审计的控制风险。实现信息化管理后,内部控制主要表现为人对人的监督、人对计算机系统的监督,而且以对HIS系统的控制为主。影响计算机审计的控制风险因素除传统审计的控制风险影响因素外还存在信息系统数据被篡改的可能。以上这些因素导致审计人员面临的环境比以往任何时候都复杂。由于审计资料的改变,在电算化系统中可人为篡改数据而不留痕迹。在HIS信息系统中,审计人员检查的数据资料,如会计凭证、收费项目、收费金额、收费数量及汇总报表大都存储在磁性介质上,且这部分信息既容易被更改、隐匿,也容易被转移、销毁或伪造。如果HIS系统被人为篡改或嵌入一些非法的程序,则计算机只会按设定程序以错误的方法处理所有业务,这样很难判定数据的正确与真实性。传统审计追踪审查已不适用,审计入手点更多的是靠自己的判断和经验。
(三)医院计算机审计检查风险
医院计算机审计检查风险是指是某审计员未能查出有关违规违纪问题可能性的风险。一是审计操作程序不规范。在审计实务中,审计人员没有严格遵循审计准则开展审计工作。譬如,审计进点以前没有对被审计单位包括内部控制制度、所处经营环境、经营状况、业务活动的性质与管理水平等基本情况做充分调查了解;没有利用分析性复核等方法对经营中存在的风险做出初步估计;没有按照审计项目计划的要求和了解到的基本情况制定可行周密的审计方案;搜集的审计证据与审计目的缺乏充分性、相关性和可靠性,并且对一些异常事项没有引起足够重视;编制的审计工作底稿格式不规范,内容不完整,记录、数据勾稽关系不清晰,结论不明确,复核工作不严密等。致使撰写的审计报告不能客观反映被审计医院的财务状况和经营成果,从而埋下了审计风险的隐患。二是审计技术方法落后造成的审计风险。医院HIS系统的数据库多为大型数据库如oracle等,这对审计人员的数据库操作技术要求较高。如果审计人员不提高自己的审计技术,仍然按照传统的审计实务操作,面对大量繁杂的会计记录,采取逐一审查凭证和账簿的方法,不仅费时费力,而且难免有所疏漏。在审计资源相对紧张的情况下,深入调查取证的过程还涉及到审计成本昂贵的问题。另一方面,在目前信息化的背景之下,信息数据通过电子介质存储,舞弊行为更为隐秘,若审计人员坚持使用对传统手工记账的查询方法,势必影响审计效率,留下风险隐患。三是审计人员的素质参差不齐造成的审计风险。审计人员不具备相应的专业知识和业务技能,在分析判断等方面出现误差,造成审计结论与事实不符。审计人员缺乏应有的敬业精神和职业道德,或由于认知上的偏见,在审计过程中不能客观公正处理和评判审计事项、或滥用职权、徇私舞弊、玩忽职守,不能如实反映或汇报问题。
二、医院计算机审计风险的防范措施(一)规范医院计算机审计程序
根据《中华人民共和国审计法》、《中华人民共和国审计法实施条例》等一些相关的法律法规,进一步完善医院计算机审计程序,从立法上规范内部审计工作程序。审计机关和审计人员在医院计算机审计实务中必须做到确保审计实施方案所定的审计步骤、审计内容实施到位,针对被审计单位的信息系统特点编制合理的、可行的审计实施方案。规范审计工作底稿的编制,要求审计人员在工作底稿上反映其专业判断的过程和工作轨迹,也就是说既要像一般审计一样记录清楚审计事项同时要详细记录医院计算机审计涉及的相关查询语句。建立指导、检查与监督制度,及时确定计算机审计工作中出现的新情况、新问题;建立分级复核制度,由审计组长或具有较高技能的审计人员对计算机审计工作底稿进行严密的层层复核。各内部审计机构和审计人员要在审计实践中积极贯彻落实,坚持依法审计,规范审计程序,时刻保持对审计风险必要的警惕性。
(二)重视审前调查的作用
审前调查,获取必要和充分的信息,保证审计数据的完整性审计实施前,应在对被审计医院进行传统调查的基础上,掌握了解HIS系统在被审计单位内的应用总体情况。然后,根据审计目标和重要性水平确定深入调查的子系统,进行全面、详细的了解。内容应包括软硬件系统、应用系统的开发情况、信息系统涉及的业务流程、有关技术文档、系统管理员的配置和系统的功能、数据库等情况。根据审前调查的内容制定切实可行的审计实施方案,提出可行的、能满足审计需要的数据采集对象及采集方法。为保证数据的准确与完整,一是获取数据时必须由被审计单位财务人员和系统管理员现场提供,并尽可能由被审计单位系统管理员操作备份导出数据,防止因审计人员不慎造成的被审计单位信息系统受损。因为被审计医院数据通常涉及被审计医院、患者的秘密或个人隐私,所以审计人员要注意保密,需用专用设备存储,专用计算机恢复、分析数据。二是检查这些数据是否有与之相配套的纸质凭证、账册和报表。同时,针对电子资料比纸质资料更容易篡改,并且难以发现篡改痕迹的实际,为降低计算机审计风险,必须建立被审计医院对所提供的电子数据的真实性、完整性负责的承诺制。
(三)完善审计软件的开发
开发和使用针对医院的专门审计软件可规范审计程序,完善审计方法。由于审计软件可按固定程序检查审计事项,可按统一方法查询被审计医院的数据库文件,故有助于审计人员对整个数据文件或选定的数据项目进行复核,有效地执行大量数据的验算、筛选、分类及汇总等工作,并能按审计人员指定的标准查找记录。在数据采集方面,特别需要专门从事数据采集的软件,以便更易访问被审计单位不同介质、不同编码、不同数据库类型的数据库,从中采集审计所需的原始数据,解决各种软件系统互不兼容的问题。在数据分析方面,面向特定的领域,开发新的更贴近审计工作实际应用的分析工具。最终将采集、整理、分析、汇总、备份等功能整理在一个软件系统中,达到完善软件的目的。所以审计软件的应用,一方面改进了审计的方法,提高了审计的效率,另一方面也有效地控制和降低了审计风险。
(四)提高审计人员素质
提高审计人员运用计算机开展医院计算机审计工作能力,增强防范计算机审计风险的意识。在被审计医院业务管理信息化的条件下,随着审计方法的改变、内部控制的改变、审计内容的改变和审计技术的改变,决定了对审计人员审计能力要求的提高。为了在信息化条件下能更好的实现医院审计监督的职能,审计人员不仅要有会计、医疗、审计理论和实务方面的知识,而且要掌握计算机数据库和电算会计方面的知识和技能,对审计人员提出了更高的要求。因此,加强审计人员应用计算机能力的培训,是解决的计算机审计风险的重要任务。优秀的审计人员必须具备良好的职业道德素质和较强的专业胜任能力,必须是综合性、复合型人才,除了具备基本的专业背景以外,还要有宏观分析能力,以及坚持不懈的后续教育。各部门、各单位、各审计协会组织应经常性地对审计人员进行职业后续教育,重视审计人员业务知识的学习和更新,不断提高审计人员综合素质,以适应审计工作发展的需要,减少人为的审计风险。
随着技术的发展,计算机、数据库和网络得到广泛应用,计算机审计工作将面临着越来越大的挑战和风险,必须通过制订完善的计算机审计标准和程序、运用先进的计算机审计技术,以及建立—支高素质的审计队伍,最大限度地防范和降低审计风险。
参考文献: 〔1〕陈哲.吉林省经济管理干部学院学报.试论我国计算机辅助审计所面临的问题及对策,2003(6)〔2〕许华.时代经贸.医院审计风险及防范对策探析,2008(6)
计算机风险 篇6
关键词 计算机金融犯罪 原因 对策
中图分类号:TP393 文献标识码:A
目前,邮储银行涉及金融计算机犯罪方面的案件逐年上升,犯罪手段也越来越向高科技、智能化方向发展。因此,防范金融计算机犯罪,维护计算机信息网络系统的正常工作秩序,是新形势下银行安全工作亟待研究的新课题。
1金融计算机犯罪的表现形式
1.1内部人员作案
通常所说最坚强的堡垒往往是从内部攻破的,金融计算机犯罪的实施主要是内外勾结、共谋作案,且越来越向智能化、年轻化方向发展。金融计算机网络犯罪的作案方式多种多样,主要有:盗取储户存款;虚设账户、转移资金;篡改银行计算机的原始帐务记录,盗取资金;窃取计算机密钥、口令等机密信息,诈骗资金;利用信用卡诈骗资金;破坏金融秩序等等。
由于金融业务都是通过内部计算机网络完成的,所以了解金融业务流程、熟悉计算机系统运行原理、对金融内部控制链上存在的漏洞和计算机程序设计上的缺陷比较清楚的内部职员,往往比其他人员更容易了解软件的“硬伤”,更容易掌握犯罪的“窍门”以达到犯罪的目的。
1.2外部环境方面
开放的网络及硬件环境与金融运行内在的安全要求形成了网络风险在网络布局方面,我们的银行业网络基本都建立在电信部门的公共通信网络上,开放的网络环境和网络协议为系统互联提供了方便,但同时也降低了系统的安全性。在硬件设施方面,由于计算机的核心芯片多依赖于进口,例如中央处理器。因此,不法分子只要具有相应的接收设备,就可以将电磁波接收,从中窃取秘密信息。
2形成金融计算机风险的主要原因
2.1制度管理缺陷
银行内部对计算机使用和制度管理方面的重视程度不够。许多银行机构对计算机的管理没有系统完整的规章制度,从口令、密码、操作规程、监督机制都未能规范操作,这就在制度上给犯罪分子留下了漏洞。同时,银行内部没有形成一套人员管理、计算机系统运行管理、事后监督管理的科学管理机制。规章制度不健全,检查不力,对重要岗位人员缺乏有效的制约机制,给内部人员作案造成可能。
2.2缺乏有效的法律保障
我国的银行法律体系还不完善,对计算机犯罪的打击力度还不够,现行法律条文对利用计算机进行金融犯罪的量刑偏轻,处罚力度不足,这些都造成了银行计算机犯罪的成本太低。我国还没有出台计算机安全保护和打击计算机犯罪的正式法律,目前只颁布了《中华人民共和国计算机系统安全保护条例》和《中华人民共和国计算机信息网络国际联网管理暂行规定》两个法规,而现行的《刑法》对计算机犯罪的规定不详细,量刑普遍偏轻,不能真正起到防止金融计算机犯罪、维护金融资产安全的作用.
2.3防范意识和能力差
不少银行领导和系统管理人员对计算机犯罪的严重危害性认识不足,防范意识低,堵截能力差,同时,计算机安全组织不健全,安全教育不到位,没有形成强有力的安全抵御防线。银行部分领导把增加利润作为工作的重心,对计算机的安全往往不予重视,“三防一保”中也很少涉及计算机安全保护。这些是导致计算机犯罪案件发生的重要原因。
3防范银行系统计算机风险的对策
3.1健全法制制度措施,为防范计算机风险提供有力保障
每家银行都需要建立一支专职管理和专门从事防范金融计算机犯罪的技术队伍,同时要处理好与当前金融体制改革的关系。有关单位可采取调整业务职责的办法,落实相应的专职组织机构。同时要经常性地对内控制度的执行情况进行检查,确保各项规章制度的贯彻落实,要进一步完善监督制约机制,建立工作人员相互监督制约机制,加强对业务系统的事前、事中和事后监督工作,将监督工作制度化、规范化、程序化。
3.2从技术层面加强防范
要开发专门的软件对计算机系统进行监控,对破坏计算机的程序进行识别和消除。加强对数据通信的加密措施,开发加密技术、防火墙技术、利用计算机识别技术及时制止计算机犯罪。机器设备在系统管理选型时一定要充分考虑其安全性、稳定性、可扩展性。银行业务系统的机器设备,宜采用集约式稳定可靠的类型,要求数据高度集中存放,各业务系统的机器设备要求采取分层管理,主机管理与业务操作严格分离,机房采取与外界隔离方式。
3.3加强管理措施,提升监管水平
确保计算机应用系统安全,要经常对计算机操作人员操作系统、密码管理稽查和监督,只允许合法用户进行合法操作,对计算机数据进行加密传输,保证密码的绝对安全,随时对计算机应用系统进行监控,发现问题及时处理。组织管理体系建设是搞好计算机安全工作的关键。定期召开安全分析会议,研究安全防范技术,找出易发问题的部位和环节,进行重点管理和监督。
参考文献
[1] 张双喜.对金融计算机犯罪的若干思考[J].科技情报开发与经济,2005(7).
[2] 郭玉强.浅谈人民银行计算机犯罪防范[J].华南金融电脑,2005.
[3] 曹士贞,房淑芬.金融计算机犯罪的特点及对策长春金融高等专科学校学报,1999(4).
[4] 舒伟权.金融系统中计算机犯罪之我见.浙江金富,2005.
[5] 杨晓峰.金融计算机犯罪现象与防范对策.华南金融电脑,2001(6).
浅谈计算机审计风险及其对策 篇7
关键词:计算机审计,审计风险,对策
李金华审计长曾经指出, “计算机审计是一场革命, 审计人员不掌握计算机, 将要失去审计的资格”。当计算机引入审计后, 审计工作效率大大提高的同时也存在着一定的风险。
一、什么是计算机审计风险
计算机审计风险是指审计人员在对被审计单位信息系统及其数据进行审计后作出的审计结论与被审计事项实际情况相背离的可能性, 也可以理解为审计人员不能正确合理地运用计算机审计技术, 从而导致审计结果与事实不相符, 发表不恰当的审计意见。
二、目前我国计算机审计存在的风险
(一) 计算机审计人员的专业胜任能力和职业道德水平参差不齐
由于现代审计已经由传统的手工审计转变为计算机审计, 它要求审计人员不仅要具备财务、经济、法律等方面的知识, 还要熟练地掌握计算机知识, 如果审计人员的素质达不到这样的要求, 就很难对会计资料反映的经济活动作出科学的判断, 审计风险也就在所难免了。同时审计风险与审计人员的职业道德、工作责任心有关, 如缺乏谨慎的工作态度和高度的责任心, 未能按照新《国家审计准则》执行公务, 擅自缩小审计范围, 简化审计程序。对职业缺乏热情也是产生审计风险的主要原因。
(二) 在计算机被引入财务工作之后, 开展审计工作的技术方法也发生了相应的改变
现在审计对象使用的财务软件品种繁多, 既有商品化软件, 又有自行开发的软件, 这样就使得审计对象采用的财务应用软件无论是在功能上, 还是在程序处理上都存在着千差万别, 对其要求运用的审计技术和方法也不一样。这就给审计工作的进行增加了很多复杂因素, 必然会带来审计风险。
(三) 在信息化环境下, 审计证据的存在形式、内容、获取的方式等与传统的纸质证据有区别
在审计取证过程中, 如果被审计单位不积极提供充分的资料, 或隐瞒一些重要的变更事项, 将会影响审计人员所取得的审计证据及其对审计证据评价的客观性, 从而加大了审计风险。
三、解决问题的对策
(一) 要推动计算机审计的发展, 必须加强人才培养力度, 全面提高审计人员的素质
一是应当加强对审计人员的职业培训和继续教育, 并对短期培训和长期培养、基本培训与高层次的培训进行统筹规划。二是在信息化环境下, 计算机审计人员需要具备的职业能力。 (1) 数据的采集和整理能力; (2) 数据的分析能力; (3) 熟练掌握审计信息系统的能力, 能够设计和实施合适的审计程序, 评价生成电子数据的信息系统的安全性、有效性和可靠性; (4) 综合归纳能力; (5) 较强的学习能力, 计算机审计人员必须随着社会的发展不断的学习。不但要学习最新的计算机知识, 还要学习相关的审计、税务、法律等方面的知识, 做到与时俱进。三是提升审计人员的职业道德, 经常开展党风廉政教育讲座, 利用制度规范、约束审计人员的行为, 防止滥用职权、徇私舞弊、玩忽职守。四是提高审计人员的风险意识、风险分析与控制能力, 从而降低审计风险。
(二) 目前在我国有两种比较常见的计算机审计方法
一是外围审计方法。 (1) 观察法; (2) 顺查法; (3) 逆查法; (4) 详查法; (5) 抽查法; (6) 审阅法。二是内部运行安全性审计方法。 (1) 应用审计软件审计法; (2) “黑盒子”法; (3) 病毒审计测试法; (4) 磁道扫描法; (5) 重新处理法; (6) 透视法。但在实际的计算机审计工作中, 要完想成每一项审计任务, 都应从被审计单位的实际情况出发。首先, 要对被审计单位的信息系统进行充分的了解;其次, 深入了解被审计单位的内控制度的完善情况;最后, 了解被审计单位信息系统的硬件与存储的配置、数据分布及备份策略。从而针对不同的会计系统使用与之相适应的审计方法和技术, 从而有效地降低审计风险。
(三) 确保获取的电子数据的真实性、完整性
为此国家立法部门加大了计算机审计方面的立法工作, 确保计算机审计有法可依。新的审计法第三十一条明确规定“审计机关有权要求被审计单位按照审计机关的规定提供运用电子计算机储存、处理的财政收支、财务收支电子数据和必要的电子计算机技术文档。被审计单位负责人对本单位提供的财务会计资料的真实性和完整性负责。”第三十二条明确规定“审计机关进行审计时, 有权检查被审计单位的会计凭证、会计账簿、财务会计报告和运用电子计算机管理财政收支、财务收支电子数据的系统, 以及其他与财政收支、财务收支有关的资料和资产, 被审计单位不得拒绝。”
(四) 审计数据的获得一般采用间接采集方式, 由被审计单位按照审计组的要求提供数据文件
审计人员不直接操作对方的财务系统, 而是在审计人员监督下, 由被审计单位技术人员对财务数据作现场备份, 以规避风险。
(五) 审计人员取得的被审计单位财务数据涉及相关工作秘密或商业秘密, 应有专人负责保管, 不得对外泄露
在审计过程中形成新的数据、文件应经常备份, 以防由于电脑或软件故障导致资料丢失而使前面工作毁与一旦。
计算机风险 篇8
BIOS (Basic Input Output System, 基本输入输出系统) 是计算机系统的一个重要组成部分, 它是固化在计算机主板上ROM芯片里的软件系统。BIOS在计算机系统中起着非常重要的作用, 它是被固化到计算机中的一组程序, 为计算机提供最基本的、最直接的硬件控制。计算机开机上电首先执行BIOS指令, 完成基础硬件和外围设备的检测及初始化, 装载为系统运行时提供的服务, 最后引导操作系统。
当今, 计算机和网络发展迅猛, 各种高新技术层出不穷, 随之而生的安全防护问题成为社会极为关心的问题。针对不同的安全威胁, 目前存在多种安全技术和相关安全产品, 如个人防火墙、防毒杀毒技术、安全应用程序、安全操作系统等。
这些传统的安全解决方案都采用外围设防的思想, 在网络边界上进行安全防范, 没有考虑内网的安全性, 忽略了计算机系统本身的安全防范。BIOS作为计算机的底层核心固件, 对计算机系统安全尤为重要。随着BIOS芯片容积的扩大和BIOS功能的扩展, BIOS在信息安全方面得到越来越多的重视。其存在的安全隐患也逐渐增多。在BIOS中提供的安全功能, 或其存在的安全隐患, 相对于存在于硬盘上, 运行于操作系统中的其他安全软件、病毒、安全漏洞来讲, 具有不易清除, 不易监控和隐蔽性强的优势。因而BIOS常常是被病毒、黑客攻击的对象。通过执行代码来修改BIOS, 从而造成BIOS或操作系统被破坏。
本文主要针对市场上主流BIOS产品, 通过软硬件手段获取主板上FLASH芯片中的BIOS映像。通过对获取的样本进行分析解剖, 研究了BIOS系统安全威胁, 描述和揭示BIOS安全威胁的来源、种类及危害并通过实验进行了验证。
1 BIOS安全威胁模型
研究组经过对BIOS安全问题的跟踪研究和分类归纳, 研究了计算机BIOS安全威胁的来源和种类。通过软硬件手段获取主板上FLASH芯片中的BIOS映像, 并对获取的样本进行分析解剖, 对计算机BIOS安全威胁模型进行了分析, 该模型描述和揭示BIOS安全威胁的来源、种类及危害, 是BIOS安全风险分析和安全检测的理论基础。BIOS安全威胁模型如图1所示。
1.1 BIOS安全威胁来源
BIOS安全威胁来源主要有两种。第一种安全威胁来自BIOS自身。由于BIOS自身扩充功能设计障碍可能导致本地计算机硬件、磁盘数据或系统软件造成损害, 但不会被远程恶意者所利用, 如图1中的 (1) 。第二种安全威胁来自BIOS外部, 外部恶意者利用BIOS配置漏洞和设计缺陷, 通过网络实施对本地计算机的侵入或破坏, 如图1中的 (2, 3, 4) 。
1.2 BIOS安全威胁种类及危害
1.2.1 BIOS功能障碍
主板厂商从BIOS厂商处获取授权BIOS源代码后, 会根据主板采用的芯片组情况, 对BIOS源代码进行修改, 定制满足自身主板要求的BIOS。主板厂商为了增强自身主板的特点, 也会在BIOS中集成一些自身开发或其他第三方开发的BIOS功能模块。这些功能模块不属于BIOS标准功能, 在实际使用中由于硬件或软件兼容性问题, 可能对计算机造成一定的功能障碍或一定程度的破坏。如集成在BIOS中的防引导扇区病毒模块会造成某些分区软件的失败, 造成LINUX操作系统装载软件失败;而集成的磁盘恢复精灵模块在某些情况下会造成硬盘恢复失败和数据丢失。这种类型的BIOS安全风险是由内及外的。该类威胁如图1中 (1) 所示。
1.2.2 BIOS配置漏洞
利用本地计算机BIOS配置漏洞, 远程计算机通过网络使用软件可以对本地计算机的某些BIOS选项设置, 进而配合使用工具软件完成对本地计算机的远程存取和控制。由于BIOS的这些功能配置漏洞深入硬件底层, 远程攻击者甚至可以在本地计算机关机的情况下, 在特殊时段, 通过工具软件开启本地计算机, 不知不觉完成对本地计算机的存储访问。但这种威胁不会危及BIOS自身的芯片和代码安全。该类威胁如图1中 (2) 所示。
1.2.3 BIOS物理攻击
不使用特殊烧录设备的情况下, 使用软件手段提升主机板写入电压, 可以对存储BIOS的FLASH芯片进行读写。远程计算机或网络向本地计算机植入病毒, 利用BIOS的FLASH芯片这一特点, 可以直接改写或擦除FLASH芯片存储的内容导致计算机不能正常启动, 甚至可以造成主机板部分电路或芯片的物理损坏。CIH病毒是这种物理攻击的典型案例。这种物理攻击的实现, 在W I N D O W S系列操作系统下都可以通过采用设备驱动程序的编写方法, 进入RING0级特权模式实施。这种安全威胁是由外及内的。该类威胁如图1中的 (3) 所示。
1.2.4 BIOS木马
BIOS木马是指隐藏在BIOS芯片中的木马程序。主机板提供的BIOS芯片一般为256KB、512KB或1024KB, 而BIOS二进制代码并没有完全占用这些空间。
据我们的研究统计结果表明, BIOS二进制代码一般只占用FLASH芯片60~70%的空间, 往往FLASH芯片会剩余几十KB到几百KB的空间。恶意攻击者将木马包装成合法的BIOS功能模块, 利用WINDOWS或LINUX下的BIOS读写工具软件, 向BIOS芯片中植入木马。植入BIOS的木马能够反向释放到操作系统中运行。BIOS木马能完成普通木马具备的所有功能, 同时又具备普通木马所不能比拟的优势, 如抗硬盘重分区、抗硬盘格式化、抗操作系统重装, 甚至更换硬盘都不会对其产生影响。而我们在实验中也成功地实现了这一技术。该类威胁如图1中的 (4) 所示。
2 实验分析研究
我们在建立BIOS安全威胁模型的过程中, 我们使用具有AWARD BIOS的联想台式机做了局域网远程开机与BIOS木马两个实验来说明BIOS安全威胁模型。
2.1 局域网远程开机实验
目前, 市面上销售的主板基本上都具有网络唤醒功能, 支持局域网远程开机。当知道被唤醒的计算机MAC地址后, 通过另外一台计算机执行相应的软件, 向网络上发出含有该地址的特殊数据包。此时, 被唤醒的计算机虽然处于关机状态, 但是其内部网卡控制芯片通过专用连线所送来的电流, 仍然可以接收和处理网络上的数据包。因此控制芯片通过检查数据包内的MAC地址, 就可确认自己就是该数据包的收件者, 然后通过专用连线发出开机信号, 通知主板开机启动。
我们使用覃茂藩编写的软件网络唤醒V041对局域网内的计算机进行了远程开机的实验。该软件扫描获取整个局域网内已联机的所有计算机 (开着机的) 的信息, 包括主机名、IP地址、MAC地址、工作组、共享资源等, 如图2所示。
关闭局域网内的一台计算机, 注意需要连接好电源与网线, 使用该软件对其远程开机。这个实验很容易操作, 也就是说黑客可以很容易地扫描到你的MAC地址, 在你关机后远程开启你的计算机进而攻击你的计算机, 可见如果开启这个功能很危险。
2.2 BIOS木马实验
我们使用的BIOS木马是标准的AWARD ISA模块, 可以直接插入到AWARD BIOS映像文件中, 具体操作步骤如下:
(1) 利用Award_Win Flash读取BIOS内容, 并另存为awdbios.bin, 为了以防万一, 将此文件备份。注意文件名长度需在8个字符以内, 否则进行第2步的操作时可能会报错。
(2) 利用CBROM解包上一步得到的BIOS文件包awdbios.bin, 在命令行方式下进入你的cbrom所在目录, 使用命令“cbrom.exeawdbios.bin/d”命令得到图3的结果。我们可以清楚地看到BIOS内的各个功能模块的信息, 以及所占的存储空间, 如图3所示。
(3) 将标准ISA模块木马MODULE.ROM插入到BIOS中, 利用如下命令进行:“cbrom awdbios.bin/isa MODULE.ROM”, 得到的文件即为带木马的BIOS文件。输入“cbromnewbios.bin/d”查看新得到的BIOS模块信息, 如图4所示。
比较图3与图4, 我们可以清楚地看到植入的木马模块。当再次计算机启动时, BIOS芯片中的程序自动释放木马到系统中运行。运行木马的计算机, 将会被运行该木马控制台的远程计算机所控制, 导致计算机存储设备中的内容泄密, 或被其他远程计算机控制或破坏。
3 结束语
本文所介绍的BIOS安全威胁模型描述和揭示了BIOS安全威胁的来源、种类及危害, 是BIOS安全风险分析和安全检测的理论基础。基于BIOS安全威胁模型, 可以进一步探讨和研究可行的BIOS安全检查的原理和技术方法。
参考文献
[1]陈文钦.BIOS研发技术剖析.北京:清华大学出版社.2001.
[2]http://developer.intel.com/technology/efi/.
[3]徐宁, 徐云蜂.基于USBKEY的BIOS和系统安全增强技术.计算机工程与科学.2006.
计算机网络安全风险及控制措施 篇9
关键词:计算机,网络安全风险,控制
计算机网络安全, 也就是网络系统中各软硬件不被破坏, 数据不被恶意更改或窃取, 以保证信息的安全性。信息网络在不断发展的同时, 也暴露出各种网络安全问题。怎样强化网络风险管理, 采取相应的防范对策, 这是现行各行业信息网络安全行业必须解决的问题。
1 计算机网络安全的概念
计算机网络安全主要包括“网络安全”与“信息安全”两方面内容。“网络安全”与“信息安全”, 即避免网络内硬件、软件及信息资源被非法使用。网络安全防范重点不再局限于硬件安全, 而是涉及物理、链路、网络、系统及应用安全等多方面。网络物理安全, 以整个网络系统安全为基础;链路传输安全, 重点在于保证网络传输数据的真实性、机密性;网络结构安全, 主要体现为内部、外部网络互联时面临的安全威胁;系统安全, 即网络操作与应用系统安全;管理安全, 即通过制定和执行安全管理制度, 来防范安全风险。
2 计算机网络主要的风险来源
2.1 网络系统存在缺陷
网络系统最大的安全隐患, 主要由网络结构设备及网络系统缺陷引起。一般, 网络结构多为集线型及星型等混合型, 各结构节点处用到了交换机、集线器等不同的网络设施。受自身技术限制, 各网络设备通常会给计算机网络系统造成程度不一的安全风险。另外, 网络技术相对较为开放, 且可实现资源共享, 这就使网络安全性成为其最大的攻击弱点, 加上计算机TCP/IP协议的不安全因素, 导致网络系统面临数据截取及拒绝服务等安全风险。
2.2 计算机病毒
计算机病毒, 是执行性较强的程序代码, 它有着明显的可传染性、潜伏性及破坏性等特点。病毒能够储存、隐藏在计算机各类可执行程序及相关数据文件中, 很难被察觉。出发后便能取得控制系统的基本权限。计算机病毒大多通过自动复制、传送文件以及自动运行程序等方式实现传播与触发。计算机一旦触发病毒, 很可能影响整个系统的运行效率, 严重时还将破坏甚至删除系统文件, 篡改并丢失数据, 给系统带来无法弥补的损失。
2.3 黑客攻击
黑客, 主要指通过特殊途径进入他人服务器, 伺机非法操控、破坏他人网络或窃取相关资料的人员。网络信息系统存在某种缺陷, 黑客往往会利用该缺陷来进入和攻击系统。网络攻击手段有多种, 大体表现为程序中植入木马、网站控制权以及口令攻击等等, 特洛伊木马程序技术, 在黑客攻击中最为常见。它在普通运行程序中植入操作代码, 并根据用户的网络系统来打开该程序, 试图控制他人电脑。
3 计算机网络安全防范策略
3.1 及时安装漏洞补丁程序
现阶段, 很多黑客与病毒利用软件漏洞来入侵网络用户, 如震荡波病毒, 运用Windows内LSASS存在的缓冲区漏洞来攻击网络用户, 攻击波病毒通过RPC漏洞进行攻击等。所以, 为更好地处理漏洞程序引发的安全问题, 我们就必须及时安装COPS、tiger漏洞补丁程序或扫描软件, 并安装360安全卫士及瑞星等系统防护软件, 全面扫描漏洞并加以补丁。此外, 应安装过滤型、监测型等防火墙, 用以保护内部网络互联设备, 并监控监视网络运行, 避免外部网络用户非法入侵和破坏网络系统。
3.2 合理运用各种常用技术
3.2.1 文件加密技术
文件加密技术, 即避免关键信息及相关数据被恶意窃取或破坏, 提升信息系统及其数据保密性的防范手段。根据不同的用途, 我们可将文件加密技术划分为数据传输加密、数据存储加密以及数据完整性鉴别三大类技术。
(1) 数据传输加密。通常用于加密传输中数据流, 如有线路与端-端加密等。
(2) 数据存储加密。该技术可分为密文存储加密与存取控制加密两类, 均可减少存储过程中的数据失密。
(3) 数据完整性鉴别。涉及口令、身份及密钥等诸多方面, 通过验证数据内容、介入信息传送及存取等, 可保证数据的可靠性。
3.2.2 入侵检测技术
入侵检测技术, 将统计技术、网络通信技术及密码学等结合起来, 可达到全面监控网络与计算机系统之目标。作为主动性较强的防范技术, 它可采集系统内及各网络资源中的相关信息, 并从中发现网络侵入及攻击行为, 用以判断网络或计算机系统是否被滥用。一旦觉察到系统被恶意入侵, 可提醒用户采取相应的措施, 以防范网络风险。例如, 记录或自动报警, 请求防火墙切断网络连接;或是判断系统操作动作是否处于正常轨道等。
3.3 认真执行安全管理制度
设计安全管理体制, 这是保证计算机网络安全的前提;与此同时, 我们还必须认真培养安全管理意识强的网管队伍, 通过对用户设置相应的资源使用权限及口令, 来对用户名与口令实行加密存储或传输, 并运用用户使用记录与分析等方式来维护系统安全。此外, 应逐步强化计算机信息网络安全的管理力度, 重视安全技术建设, 提升使用及管理人员的防范意识, 在保证计算机网络使用安全的基础上, 为广大用户谋利益。
4 结论
现代社会, 信息网络技术得到了全方位发展, 网络攻击手段的日益使网络犯罪成为可能。电子信息截获、篡改甚至删除等行为, 对计算机使用者带来了巨大的威胁。只有科学设计计算机安全规划, 采取相应的计算机控制策略, 才能维护系统的运行安全, 实现其最大化效益。
参考文献
[1]卢宪雨.浅析云环境下可能的网络安全风险[J].计算机光盘软件与应用, 2012 (10) .
[2]袁也婷, 刘冲.浅谈计算机网络安全技术与防范策略[J].华章, 2011 (15) .
计算机风险 篇10
一、公安计算机信息安全存在的风险
1、系统存在漏洞的软件
很多计算机都存在一定的安全隐患,这些隐患造成了一些不法分子进行破环的主要突进,利用计算机的漏洞对公安计算机信息的盗取、篡改数据等,或者是很多的信息软件上本身就存在一定的安全漏洞,直接造成了信息的安全。
2、黑客利用漏洞进行入侵
网络结构的不完善、信息的不稳定、保密工作不强化导致黑客很容易就入侵系统,甚至还将公安系统与外界系统进行相连接,使得公安内部的网络信息不安全。
3、网络通讯不安全
当公安部门在进行信息传递时,在这个过程中,不仅要保证信息传输的稳定性和流畅性,还要保证信息安全的送达和不被人盗窃。但是,目前公安部门缺少这样的专业设备,并且对于这些设备的筛选上没有严谨性。
二、公安计算机信息安全存在的主要问题
1、缺乏网络安全意识
首先,某些公安部门的工作人员对于网络意识的安全性不足,很多的公安部门的人员对于计算机的操作不是很熟练,并且对于计算机的知识也了解的比较少,这就是造成公安网络信息安全隐患的原因之一。其次,很多基础单位的非公安部门的工作人员在没有经过系统的训练和正式的审批下可以随意的使用公安网络系统,并且统治性比较差,这样对于公安信息网络使用的纪律性和严厉性受到了削减,因此也给公安信息系统带来了不少隐患;其三,计算机的运行系统在出现问题后没有得到及时的维修或者是进行定期的保修;最后,公安信息的保密系统不严谨,缺少相应的保护措施,比如电脑、文件等没有设置密码,或者是其他人员可以很容易的随意操作公安信息系统。[1]
2、“一机多用”问题时有发生
很多的公安部门的工作人员缺乏一定的保密意识,对于无线wifi或者是公用网络等没有进行防备,也没有考虑到手机、电脑、笔记本等用同样的网络会造成什么样的危害,对于自己的电脑信息或者是U盘信息等也是随意的在不同的电脑上或者是在不同的网络下浏览。“一机多用”的问题对于公安计算机信息存在着极大的安全隐患,这会导致不法分子能够很容易的查阅公安信息,并且可以很容易的进行破坏。
3、电脑经常遭受病毒入侵
遭受病毒入侵有以下三个原因:其一,公安部门的工作人员在办公电脑上随意的进行安插未知软件,并且对U盘、硬盘等没有进行合理的使用。其次,很多的电脑上都没有安装专业的杀毒软件,或者是对公安部门的电脑系统的防火墙没有进行特别的处理,使得一些病毒入侵;并且公安部门的工作人员对于这些问题也没有进行合理的处理。最后,对于电脑发生故障或者是添加新的设备时也没有按照规定的程序进行修理安装,甚至直接请外界工作人员进行维护,使得公安信息系统容易遭受外来人员的侵入。
4、存在计算机违规保密现象
对于相关的报告和某些的检查上在公安计算机信息上的保密措施上不是很完善,比如公安人员把某些绝密信息保存在电脑上,并且没有用在专业的保存信息的计算机上,也没有任何的保密措施,最多的就是在电脑开机上加锁,这是导致信息丢失的主要原因。
三、公安计算机信息安全的应对措施
1、公安计算机信息安全系统的完善措施
想要公安信息系统得到一定的保障,就需要对公安计算机信息安全系统进行完善。
首先,在公安计算记的使用中可以建立严格的安全标准体系,并且要求全体员工严格执行;其次,要对公安部门的信息管理人员的思想进行正确的引导,并且制定相应的运用标准,对于信息的收取、传输等都要有严格的标准,对于信息一定要有保密的决心;最后,实行公安计算机信息安全的风险评估制度,对于信息的风险要有准确的把握,以此在出现问题时可以做到及时正确的处理。
2、公安计算机信息安全的技术措施
公安计算机的信息安全技术可以通过技术的提高、改革或者是增加防护系统等来进行完善。其一,对于公安计算机信息的访问可以以实名制进行验证,通过指纹、验证或者是密码来使得双方可以进行信息交流,或者使用者能够获取相应的信息。
其二,对于公安计算机信息的防火墙得过要进行严密的布置,可以找专业人士进行整体的控制和管理,并且可以让专业的工作人员进行实时控制,以便于出现什么问题可以及时的解决,也能够防止信息系统遭受到黑客的攻击;[2]
其三,对于出现的一些不寻常的问题,应该进行时刻的关注,比如有发现没有被防火墙系统阻止在外的人员、没有经过正确的授权就进入到信息系统、在公安信息系统中进行违规的操作、有不明人员进入等行为都要进行严密的分析和阻止,并且及时采取相应的防范措施;
其四,公安计算机信息管理系统要有一个完整的体系,比如技术人员的管理,要对信息系统的每一个环节都有专业的人员进行监管,形成一套合理规范的系统;
其五,对于公安计算机的IP地址要进行防护以免被窃取,对于IP地址要进行隐藏,也这序言专业的人员进行维护;
最后,对于计算机的网络问题等应该要有所完善,对计算机的病毒要进行一定的研究,并且要采取相应的技术对策,比如安装有效的杀毒软件等,以此来保护公安计算机信息的安全;[3]
总之,公安计算机信息不管是对于公安部门来说很重要,对于我们每一个公民的人身安全等都很重要,是维护社会安全的信息之一。因此,为了公安部门的工作更加的有效,更好地为人民服务,在技术发展的同时,也要对公安计算机的信息安全等进行深入的研究,并且采取相应的措施。
参考文献
[1]赵雪.浅谈计算机网络的信息安全及防护策略[J];才智;2011年09期
[2]刘武.新形势下的公安信息安全保密工作[J];湖南农机;2013年09期
计算机风险 篇11
关键词 计算机系统;金融风险;技术;防范体系
中图分类号 TP 文献标识码 A 文章编号 1673-9671-(2010)112-0166-01
1 造成金融计算机风险的主要原因
1)金融部门计算机安全防范技术更新滞后。随着计算机技术的高速发展,应用程序也在不断开拓或更换版本,而基层单位往往缺乏及时的更新、维护和升级,应用程序版本新老混杂。这就造成了基层单位对应用软件的功能理解不全面、不深刻,有时出现操作差错,造成数据丢失等现象,这些问题的存在给犯罪分子浑水摸鱼提供了机会。同时,计算机安全防范技术远远落后于计算机技术的发展。为了加快计算机的普及速度,使更多的非专业人员能操作和使用计算机,在计算机语言向自然语言过渡中,使得计算机的操作日益简单化,安全防范技术落后于计算机技术的发展,增加了计算机犯罪的机会。在计算机网络系统中,银行账户可以通过计算机数据的形式来表示,资金流动也只需要利用电子信号的传递和计算机系统数据的改变来完成。对于熟悉计算机技术的人员来说,想利用计算机作案是较容易的。
2)金融部门对计算机使用和管理不够。许多金融机构对计算机的管理没有系统完整的规章制度,从口令、密码、操作规程、监督机制都未能规范操作,这就在制度上给犯罪分子留下了漏洞。一是领导重视不够。金融部门部分领导把增加利润作为工作的重心,对计算机的安全往往不予重视,“三防一保”中也很少涉及计算机安全保护。二是思想上重视不够。金融部门的各级机构都不能充分认识计算机安全在业务工作中的重要性,认为利用计算机犯罪离自己身边还比较遥远,没必要防范。三是内部管理混乱,分工不明确,计算机操作或管理人员与账务处理人员混岗。
2 防范金融计算机犯罪的对策与措施
2.1 强化金融从业人员的安全意识
金融电子化系统是一个人机结合的系统,人的素质决定了系统动作的好坏,也决定了犯罪防范工作的难易。金融电子化系统的安全问题在一定程度上依赖于工作人员的自觉性和自我约束能力。由于与手工处理方式不一样,计算机业务处理是不留痕迹的,这无形之中会给犯罪分子以可乘之机。而目前金融部门操作计算机的以年轻人居多,有的操作人员头脑活跃,思想不成熟,很容易促成内部合作或内外勾结犯下大案。综合近几年我国金融队伍建设的情况,确实存在重业务而忽视道德教育的现象。从目前的情况看,无论是技术防范还是法律制裁都很难从根本上控制高技术犯罪,因为促使这类犯罪的诱惑很大,富于挑战性而又有利可图。根本途径是帮助计算机操作人员树立正确的人生观、价值观和世界观。这就要求加强思想教育、法制教育和革命传统教育,加强政治理论学习,提高思想觉悟和政治素质,提高金融从业人员的职业道德水平。
2.2 健全安全内控制度,形成防范体系
1)加强金融系统内控制度和监督制约机制的建设和落实。内控制度建设在防范金融计算机犯罪过程中极度重要,要针对不同业务、岗位的特点制定出一整套切实可行的规章制度,用来规范不同技术岗位从业人员的行为。且规章制度要随着实际工作的变化和技术的发展不断修改和完善,才能成为真正行之有效的规章制度;同时,要狠抓内控制度的贯彻落实,建立一套切实可行而又高效的监督制约机制。要经常性地对内控制度的执行情况进行检查,确保各项规章制度的贯彻落实,要进一步完善监督制约机制,建立工作人员相互监督制约机制,加强对业务系统的事前、事中和事后监督工作,将监督工作制度化、规范化、程序化。
2)强化制约机制,严格分工界限和密码管理制度。要坚决杜绝一人多岗、交叉代岗的现象发生,这种现象的出现会大大削弱监督制约机制,使不法分子有可乘之机。计算机操作人员、会计财务人员不可混岗;计算机工作人员不得参与账务处理。同时,要严格执行保密程序,要制定严格的密码管理制度,所有的密码都必须定期更换。用户密码不得以原码的形式存储在计算机中,以防被犯罪分子窃取后以合法的身份进入业务系统,给业务系统造成危害。计算机从业人员不得随意泄露自己的密码,更不能相互使用密码,不得使用非法获取的密码,人离机时必须退出系统。
3)加强金融计算机安全防范技术的研究。提高系统的安全性计算机的不安全原因是由于计算机系统本身硬件特别是软件方面的脆弱性所致。因此,加强计算机安全技术方面的研究与开发,提高计算机安全系数是预防计算机犯罪的根本所在。计算机安全防范已经是一个国际性的问题,迫切需要专家学者从各方面研究解决这一问题的方法。计算机厂商也应从硬件软件的设置中,加强计算机安全防范措施。在编制和设计计算机程序时要严格按照规定进行,建立严密的责任制,建立编制和设计人员相互制约、相互监督机制,防止有人弄虚作假;在具体操作中,保证计算机同步自动记录,防止删除、修改、中途拦截和非法使用行为。要开发专门的软件对计算机系统进行监控,对破坏计算机的程序进行识别和消除。加强对数据通信的加密措施,开发加密技术、防火墙技术、滤波技术,利用计算机识别技术及时制止计算机犯罪。大力加强安全技防的研究,逐步建立起现代的金融计算机技术防范体系。
4)健全法律法规,建立金融计算机安全的法律屏障。对一切犯罪行为来说,仅仅依靠教育防范是远远不够的,针对已经发生的金融计算机犯罪,必须依靠法律予以严厉打击。金融电子化的发展,为法学界提出了很多新的法律问题,在金融计算机犯罪的责任认定和适用法律上还存在一些争议和空白,这势必造成犯罪分子的侥幸心理。因此,我们要加快立法步伐,尽快建立起能适应金融电子化发展、保障银行计算机安全的可操作的法律法规,加大对犯罪分子的打击力度。
5)加强计算机的稽查监管力度。对计算机应用系统实行经常性的稽查监督,是防范金融计算机犯罪的重要措施。确保计算机应用系统安全,要经常对计算机操作人员操作系统、密码管理稽查和监督,只允许合法用户进行合法操作,对计算机数据进行加密传输,保证密码的绝对安全,随时对计算机应用系统进行监控,发现问题及时处理。真正确保计算机系统安全,使计算机更好地为金融业的发展服务。
3 结语
当前计算机系统已经完全融入到金融业务工作的各个方面,因此,在对金融机构其他风险加强监控的同时,也要对计算机系统的风险给予充分的重视。借鉴国内外成熟经验,进一步完善金融机构计算机系统风险控制系统和加强制度建设。计算机系统的应用部门,要充分保证金融系统现行的规章制度的严格贯彻执行。无论是内部稽核部门还是具体的业务部门,其监督检查人员都必须是独立的,不能既是应用操作人员又是监督人员,只有这样才能保证监督的有效性,监督部门及其人员才能真正发挥监督作用。计算机技术的发展,技术和设备的更新速度都非常快,加大引进和培养人才机制,有利于完善金融系统的人才结构。
参考文献
[1]吕宪锐.金融风险模型的计算机实践[D].2006.
[2]张双喜.加强计算机安全管理防范金融科技风险[J].山西科技,2005,2.
计算机犯罪与金融风险的防范措施 篇12
1. 计算机金融犯罪的特征
金融行业的计算机犯罪行为主要包括计算机信息窃取、信息篡改和破坏以及非法的数据输入等, 也包括通过非法修改软件来榨取受害人金钱, 破坏相关金融机构的运作秩序。从目前的计算机金融犯罪案件来看, 犯罪手段通常技术含量高, 隐蔽性强, 并往往是内部人员为主谋, 具体来说其犯罪特征有以下几点:
1.1 性和隐蔽性强
多数计算机金融犯罪份子都曾经接受过专业的金融学和计算机学教育, 具备相当水准的专业技术, 并且实施犯罪前都经过周密预谋和策划, 主要通过互联网直接或间接向计算机内输入非法的指令, 篡改他人银行帐户信, 实施对财产的贪污、诈骗和破坏等行为。并且计算机金融犯罪的操作过程往往隐蔽性较强, 犯罪分子在对程序和数据进行操作时不受时间和地点等限制, 在犯罪后其信息载体也往往不会被损坏, 不易被识别和发现, 警方在侦查中也很难发现和追踪犯罪证据。
1.2 法多样
随着计算机网络的迅速发展, 各类金融计算机犯罪分子也得到了更为广阔的施展平台, 采取多样化的高技术作案手段。如通过接入网络连接到大型金融机构的大型主机, 窃取金融机密、发布虚假金融信息、散播病毒甚至调拨资金等犯罪活动, 不断的翻新手法和花样。
1.3 难、后果严重
和传统金融犯罪相比, 计算机金融犯罪所造成的后果和影响大得多, 犯罪分子一旦入侵成功就可以轻易的窃取巨款, 只要能成功侵入系统不仅可以盗取1万, 甚至可盗取千万上亿。而且犯罪后对于罪犯的查获和犯罪定性十分困难, 由于计算机需要处理的数据十分庞大, 检验程序复杂;只要作案者具备专业计算机知识就可以很快毁灭证据;以上多方面原因, 使得计算机金融犯罪活动侦查和证据收集十分困难。即便抓住犯罪嫌疑人, 由于网络本身的虚拟性使得网络犯罪在定罪和量刑上比较复杂。
2. 计算机金融犯罪的产生原因
2.1 的诱惑
由于金融机构的计算机中存储着大量的信息资料, 这些信息的表现形式虽然只是枯燥数据罗列, 却往往体现着金钱财富的积聚, 这些富于经济价值的信息和数据自然成为犯罪嫌疑人严重最具诱惑力的财产, 从而促使金融犯罪分子铤而走险, 运用专业金融计算机知识来诈骗和盗抢财富。
2.2 安全管理技术存在空白
计算机应用技术虽然迅猛发展, 但仍然存在一部分空白地带, 这导致犯罪分子们有恃无恐, 也使得全世界大部分的金融机构都不同程度上存在着对计算机犯罪的恐慌。同时, 由于银行管理意识与管理方式还没能适应现代化信息技术的发展速度, 信息管理方法也就相对的落后。并且由于计算机技术本身仍处于发展阶段, 因此其系统多少也存在着一定脆弱性和瑕疵, 也给犯罪分子以可乘之机。
2.3 境有待整顿
信息时代的金融犯罪较传统的犯罪定义已经有了新的发展, 因此需要对法律概念进行全新定义和规范。然而目前在我国的立法层面, 计算机犯罪问题定义仍然相对笼统、更新也不及时, 缺乏对日新月异发展中的网络技术的针对性, 影响了法律威慑力发挥;在司法层面, 对于高新网络技术所带来的新的犯罪问题, 相关的办案机构和人员受到信息技术的局限, 在对犯罪分子进行制裁中采用的司法手段相对滞后, 也使得办案人员无法及时抓捕犯罪分子, 影响办案的实效性和准确性。
3. 计算机金融犯罪的防范措施
金融业社会经济运行的关键部门和主动脉, 具备独特的经济和财富功能, 也是各种各样犯罪分子觊觎的重要对象。随着网络技术等高科技技术的快速发展, 犯罪分子在实施犯罪时的方式和手段也在不断变化, 其所带来的危害也日趋严重。因此金融机构在对计算机进行安全管理和犯罪防范时应该从人员的管理模式、信息发展水平、规章制度以及防范设施多角度进行。
3.1 全管理
计算机技术是现代高新技术, 作为金融机构的管理者应该具备相应的现代意识和管理水准, 据资料统计表明, 计算机金融事故和犯罪案件的产生原因中, 因为管理者本身的管理不善导致案件发生的在六成左右。因为计算机的安全管理需要从技术、管理及法制等方面来开展:首先在逻辑层应该加强技术防范, 包括做好各项加密措施, 做好安全核心工作;其次在物理层应该加强计算机实体安全的保护, 减少脆弱的地方, 避免来自外界的物理伤害;再次在人事层方面由于犯罪主体多数来自内部, 因此必须在激发机构工作人员聪明才智、提高工作效力的基础上, 加强对权限的制约, 这也是目前加强安全管理最重要的层次;最后在经营管理层面必须采用科学严谨的模式来预防各种金融犯罪。
3.2 章, 堵住漏洞
目前我国的金融机构普遍存在着计算机安全管理方面的问题, 因此必须采取必要措施制定系统的金融机构机房管理制度, 软件硬件管理制度, 以及数据备份制度等等, 并且由于金融电子化具备一定特点, 因此需要结合以往手工作业时期实行的具有成效的管理思想, 强化和细化金融管理, 具体来说, 首先应该在金融业务的处理上做好分工工作。金融业务的授权和业务的执行职务应该彻底分离;同时此项金融业务的执行操作与审查操作职务也应该相互分离。如在银行中, 对于电子联行业务需设置五个不同岗位包括:系统管理人员、录入人员、复核人员、业务员以及事后的监督员, 其次是各职能部门需要相对独立, 做好明确分工, 防止权责不明问题的出现。这样一来, 不仅可以实现对业务的互相监督和制约, 如果出现问题也可以缩小查找范围, 减少问题解决时间。再次相关业务的工作人员可视情况实行职务轮换制, 要求工作人员定期的更换操作密码, 并进行保密。另外还应该对金融业务处理人员的业务执行定期业务复核, 以便随时发现问题, 解决问题。最后还应该加强专用设备、机具, 尤其是磁记录、刻录设备、银行卡制作机等的管理, 限制以上工具的使用权限, 建立使用登记制。不断的提高和更新网上银行等新型金融服务方式的安防技术标准。
3.3 术安全防范水平
金融计算机的安全问题正越来越多引起各方面的高度重视, 一方面, 日新月异的国内外信息产业, 正不断地推出最新的安全技术作为依托, 从计算机硬件设备、系统软件、网络通讯等多方面入手, 更新换代计算机应用系统的安全防范技术;另一方面, 各金融机构也是不惜代价, 投入巨资, 全面提升各自计算机应用系统的安全防范功能, 建立相对全面的“六防”安全体系, 即:“防火墙、防病毒、防黑客、防篡改、防克隆、防患于未然”加强法治观念、倡导健康文明的财富观。我国已经实施了《中华人民共和国计算机信息系统安全保护条例》这样的行政法规, 修订后的《刑法》也增加了有关惩治计算机犯罪的条款, 标志着我国计算机信息系统安全保护工作开始走向法制化、规范化的现代化轨道, 惩治计算机犯罪开始有法可依。人类社会发展到了二十一世纪的信息时代, 规范人们的社会行为, “法制”当然是必不可少, 但“法治”显得更有必要, 全社会急需要确立一种良性和谐的价值取向和科学平衡的发展观, 需要营造一种公平、公开, 正义、诚实、依法办事的法治氛围和文化价值观, 倡导和树立遵纪守法、廉洁自律、依法致富的现代文明风尚。金融从业人员, 天天都与身边的金钱财富打交道, 更需要调整好心态, 经得住诱惑。
3.4 主, 打击为辅
在目前社会主义市场经济条件下, 金融机构应该依法开拓新的经营领域和市场, 提供安全的新产品和新服务。在激烈的市场竞争中, 金融机构无法避免的面对着多样的金融风险和多层次内患外忧, 因此金融机构必须始终保持危机意识、保持必要的防范意识, 常备一套应付临时危机的处理办法。面对着这些由于信息网络技术普带来的计算机金融犯罪问题, 除了需要及时斩断潜在威胁、坚决打击犯罪外;更应该重视在日常的实际应用中, 及时发现系统技术存在的缺陷和制度管理中的漏洞, 将这些缺陷和漏洞带来的风险保持在最低限度。全面分析和识别金融机构应用业务中的各类风险, 找出其其形成原因, 并在机构制度层面建立一整套防范控制体系, 建立起集预警、监控与应付于一体的管理机制。
参考文献
[1]肖建光.加强防范金融计算机犯罪[J].海南金融.2010 (1) .
[2]郝学农.金融业计算机犯罪特点和防范[J].工作论坛.2009 (5) .
【计算机风险】推荐阅读:
计算机审计风险06-11
银行计算机风险10-31
计算机安全风险防范08-28
计算机审计风险分析12-21
计算机网络风险05-21
职业危害风险计算论文12-08
流动性风险的计算05-31
计算机网络风险与防范07-14
计算机计算06-11