论网络化审计系统的功能设计及其风险防范,本文主要内容关键词为:风险防范论文,功能设计论文,系统论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
随着高新技术的迅猛发展,全球网络化信息化正在快速渗透到社会、经济、文化的各个领域(其中包括审计、会计领域)。中国要加紧发展网络经济,审计要实现网络化、信息化管理,研究开发网络化审计系统是当务之急。所谓网络化审计系统,是指审计机关将本级有管辖权的单位中用于财务、成本管理的计算机,用信息通讯的方式连接起来所形成的网络,并在本机关或某个网络终端上,对指定单位的会计账目、报表和数据进行审核、分析的计算机软件系统。由于网络具有的开放性以及计算机软件资源本身的缺陷,必须加强对网络化审计系统的功能设计及风险防范。
一、网络化审计系统设计原则
网络化审计系统设计是一项复杂的系统工程,它要求设计人员不仅要有丰富的计算机和网络知识,而且要通晓审计、会计、财务、经营、管理等多方面的知识和技能。因此,网络化审计系统设计小组人员的知识结构要合理,年龄结构要适当。
网络化审计系统既具有网络系统的一般功能,又具备独立的审计功能,是一个运行在网络上的高级计算机软件和多媒体操作系统,它不仅执行网络协议,负责计算机间的信息交换,对本系统网络资源进行统一管理,并对网络协议中的核算管理信息进行审计监督。因此,网络化审计系统设计必须遵循全面性、自动化、兼容性、实时性、可靠性、经济性、安全性和发展性等原则。现择要阐述之。
1.可靠性原则
可靠性是一个系统是否成熟、完善的具体标志,它要求通过网络系统的运行不仅能达到该系统设计(技术参数、经济指标)的目的,而且在非正常操作情况下,不给用户造成任何损害,包括硬件、软件和数据的安全完整。可靠性原则要求网络能达到如下要求:
能够采取复式存储方式对硬盘目录和文件分配表(FAT)进行保护。如银行电信、证券等单位每天都要处理大量数据,数据管理至关重要。因此对数据备份/恢复的安全性、完整性、高效性提出了更高的要求。
能够采用热修复(Hot Fix)及后读验证技术等互补技术对硬盘表面损坏时的数据进行自动保护。此种保护要具有稳定性、全面性和自动性。
能够采用事务跟踪系统TIS(Transaction Iracking Systerm)对数据库进行恢复。如利用磁带库技术进行实时性跟踪自动换带。
能够在硬盘驱动器损坏时,采用磁盘镜像技术对硬盘驱动器进行保护。如引进RAID技术对磁带进行镜像,就可以更好地保证数据的安全可靠,为用户再加一把电子保险锁。
能够采用磁盘保护技术,在磁盘通道或硬盘驱动器损坏时起保护作用。此种保护要求具有全面性、自动化、高性能的特点。
2.经济性原则
经济性原则既要求该系统技术先进,经济实用,又要求该系统操作方便,维修保养简单易行。
功能完善,结构合理。一套功能完善的网络化审计系统应具备电子邮件服务(E-mail)、文件传输服务(FIP)、终端仿真服务(Telnet)、资料查询服务、数据采集、数据通讯、资源共享、分布处理、交互操作、远程教育、组件安装、配置登录属性等功能,以及计算机审计软件所应具有的其他功能。功能不全是缺陷,但功能过多又造成浪费。一套好的系统应采用开放式体系结构,以业务为主线实现即插即用,并便于功能扩展和系统集成。全部系统应采取统一标准、统一规格、统一设计,做到功能一致、操作一致,同时还要注意与其他系统兼容,实现资源共享。
方便实用,便于维修。由于该系统用户多,使用频率高,操作人员技术水平不一等特点,应力求使操作简便实用,维修方便。对于人工干预较多的功能,最好提供光标走向记忆等技术。同时,界面要美观实用,色彩柔和协调,字体美观大方,图文并茂,给人以美的享受。
容易理解,性能强健。编写程序如写文章一样,不仅自己清楚,而且还要别人理解。无法使人理解的程序或不便被人阅读、分析、测试、排错、修改与使用的程序,就无法被人接受。性能强健是指系统对错误操作、错误数据录入,能够予以识别或禁止,不会因为错误操作或错误的数据输入及某些硬件故障而造成系统损坏或崩溃。
3.安全性原则
政府机关、企事业单位的行政管理、经营活动在一定范围内具有相对的保密性。有些属于国家机密,有些属于商业机密。坚持安全性原则是建立网络化审计系统的首要原则。安全性原则要求网络化审计系统为保护网络资源提供多级安全保护,其包括文件级、网络目录级、用户级的保护,以及对用户登录工作站及时间的限制。网络化审计系统应提供如下安全服务:
安全保密制度。建立健全安全保密制度,保护敏感信息或审计信息不被泄露。
验证身份。建立审计网络用户或审计网络系统的自动识别系统,防止收方或发方否认已经收发信息。
限制访问。必须按照法定程序进入审计网络系统,建立交接班制度和工作日志,记录上网时间、人员、批准、资料等内容,防止非法使用审计网络及其资源。
资料数据完整。建立必要的防范措施,防止非法修改或删除网络用户的资料,保护数据的安全完整。
二、网络化审计系统功能设计构想
网络化审计系统是将现代网络技术与计算机审计系统有机结合的一种复合型系统,它在传递信息的同时,还要进行远程控制与操作。它要保证审计人员在指定的终端上实施审计监督,如亲临现场一样。网络化审计系统应具有电子邮件服务(E-mail)、文件传输服务(FIP)、终端仿真服务(Telnet)等功能,具体有系统管理功能、网络审计功能、综合业务功能。
1.网络审计功能
账目查询功能。能够调用指定单位若干年内的账目、报表、数据,按单位、时间、科目、金额、凭证号码、摘要、关键词等条件,任意浏览、查询、审核会计资料与数据。
汇总统计功能。利用模型库使审计人员从大量繁琐的统计复核中解脱出来,并提供模型定义和链接组合运行功能,编辑审计工作底稿,以便更好地分析、决策并建立健全的资料数据库。
业务审核功能。按照系统设定的逻辑思维方式,审核有关业务的勾稽关系,会计报表、统计报表、银行账单与会计账目的对应关系是否相符,账账、账表、账实、表表中的数据是否一致,科目与报表之间的数据是否符合平衡原理,追踪非正常业务并进行提示等。
数据提取功能。利用审计网络,根据审计项目需要按照单位代码、会计年度、账表等条件,可以随时提取有关单位的账务处理数据、各种会计报表、统计报表以及辅助账目的原始数据。
比较分析功能。根据原始账目数据或结算统计数据,做出横向、纵向的收支分析比较数据表及图表,获取统计指标(报表)产生出排列数据表、相关条件下的平均值、直方图、饼图、曲线图等,并按照一定逻辑和条件参数筛选出单位、科目及数据,掌握客观、公正、科学的第一手资料。
建立数据库功能。利用数据库技术,对各单位原始数据、会计数据以及审计档案等,进行快捷有效地转换、组织、存储和提取的管理与使用。为审计人员提供审计准则、会计准则及相关的经济、法律、法规的规范化定义、辅助审计决策和审计结论的形成提供数据分析服务。
预报、预警功能。对各种经费(成本)项目输入基本参数或设置“预防”、“预警”临界线,对各单位的财务收支以及成本计划安排期间经费流向、流量进行评价,计算机可根据参数自动“预报”、“预警”,将超常数值提供给专业审计人员,为审计、咨询、决策服务。
2.系统管理功能
多用户文件管理功能。审计网络的众多用户可以在服务器上或硬盘上进行文件或目录的读/写操作,并由网络系统对这些操作及权限进行协调、控制、管理。
设备共享功能。审计网络系统用户可以共享设备、资源信息,可以有偿使用或无偿使用本系统设备。
网络安全功能。网络安全,至关重要。它要求审计网络系统能有效地阻止非法用户对网络资料的窃取、修改或破坏。
网络容错功能。审计网络系统能够防止由于操作错误、系统硬件或软件发生故障而影响网络系统运行。
网络管理功能。审计网络系统能够提供“网络管理员”,由其对网络的运行、管理和网络性能进行及时有效地监测和维护。
多协议支持功能。计算机网络的基础是网络协议,虽然ISO/OSI(国际标准化组织/开放系统互联)已被广泛接受和认可。但是,审计网络系统在协议支持标准上,应在确保安全、保密的情况下,尽可能与国际标准接轨。
网络互连功能。审计网络系统的计算机应能与内部其他网络上的计算机实现双向通信和资源共享。
3.综合业务功能
经济业务咨询功能。审计网络系统应该提供业务咨询服务,使审计人员遇到疑难问题可以随时在网络数据库中找到处理方案,或通过网络系统向上级机关请示汇报或向相关单位或专家进行业务咨询,以便帮助解决疑难问题。
法律、法规、标准、制度查询功能。依法审计是依法治国的重要组成部分。法律、法规、标准、制度是审计监督、鉴证、评价的主要法律依据和衡量是非的业务标准。因此,网络化审计系统应具备完善的“法律大全”、“百科全书”等数据库,能够提供法律、法规、标准、制度等方面的查询服务。
调查统计功能。网络化审计系统应能为各级审计机关、审计团体进行审计业务报表、审计人力资源统计、预算执行、资金支付、现金流量;事业单位的经费管理与使用;国有企业的资产、负债、损益、投入产出等进行统计调查,为各级政府、审计机关、审计团体进行宏观决策、业务指导提供快捷便利服务。
信息发布功能。主要为审计机关、审计团体发布有关审计信息服务,如审计公告、审计新闻发布会、审计工作动态、电子邮件等。
远程教学功能。网络化审计系统应当具备远程教学功能,这是网络的主要功能之一,也是实现审计现代化的重要手段。所谓现代化,首先是人员的素质现代化。审计人员特别是高级审计人员,应该通晓审计、会计、财政、金融、税收、经营管理等科学知识,同时,还要具备计算机、网络、电子商务、信息产业、安全风险等领域的知识。其次,是法治环境与生态环境、社会环境的有机结合的现代化。
三、网络化审计系统的安全风险分析
1.系统资源本身风险
计算机系统本身具有脆弱性。当计算机硬件或计算机软件、网络本身出现故障时,极易导致网络系统审计数据丢失,甚至发生瘫痪现象。在互联网条件下,网络审计系统具有其分布式、开放性、远程性实时处理的特点,这个特点既有其优越性,可以实现资源共享,使很多人受惠,但也有其缺陷性,系统的可控性、一致性、安全性较差,一旦出现故障,影响很大,且不易恢复。这样,既不利于保守国家机密,又损害企事业单位、审计机关和审计团体的利益。
2.黑客入侵,病毒危害风险
在网络化系统中,计算机病毒不再靠磁盘或光盘传播,开始通过电子邮件传播计算机病毒。黑客的入侵也相当猖獗,主要来自社会上一些不法分子对企业、事业单位和政府机关互联网的入侵。这种风险范围广,危害性大。它包括截收、仿冒、窃听和黑客入侵。花样繁多的病毒入侵,让人防不胜防,随着网络化的迅速普及和广泛应用,计算机病毒的传播呈现渠道多样化、速度快捷的特点,危害也在不断加剧,这对网络化审计系统资源构成很大威胁。
3.系统关联方道德风险
主要指关联方非法侵入企业网络财务软件系统,以剽窃财务数据和知识产权、破坏系统、干扰企业正常交易等产生的风险。企业关联方主要包括客户、供应商、软件开发商,也包括银行、税务、审计、保险、财政等部门。企业与关联方之间的通过外联网进行业务和数据交换,这种特殊的交换关系使关联方之间道德风险的发生成为可能,尤其是软件开发商,他们非法入侵企业财务系统不易被发现,其危害是不容忽视的。
4.内部人员的操作风险
操作风险主要包括操作程序不规范和操作人员防范意识不强造成的。如审计人员或会计人员缺乏安全意识和网络安全防范措施,对于网上下载的电子邮件或会计信息资源不做安全性技术检查、测试。或仅用个人生日或单位电话号码做密码,这些密码好记也好破译,安全性较差。另外,企业会计人员对会计数据的非法访问、篡改、泄密和破坏等方面的风险。有资料统计,大部分非闯入者来自内部雇员,这些通晓网络知识的内部控制人员通过嵌入的非法舞弊程序,大量鲸吞国家财富或企业资产。
四、网络化审计系统安全风险防范
1.加强系统本身的监控
建立必要的上机操作控制和系统运行日志。建立健全上机的规章管理制度,对系统的用户身份、操作参数和运行状态、事故类型等进行实时监控和记录,并定期检查、评比,做到奖罚分明。
实行用户分级授权管理。按照网络化审计系统需要设置审计岗位,建立健全岗位责任制,并通过每个用户的安全级别和身份标识来落实其职责与权限,做到奖勤罚懒。
严格轮岗制度。定期调整内部控制人员的监管权限,避免少数人钻内控制度不严的空隙,防止内部人的合谋串联作弊。
严格计算机硬件设备管理。确保计算机硬件设备能够连续地、实时地运行,主要是指非计算机人员严禁使用计算机,系统内部人员按各自的权限范围管理和使用计算机硬件设备,并按操作程序办事。
加强系统软件开发控制。在计算机软件开发的前期,审计人员和风险管理人员要参与系统控制功能的研究和设计活动,以确保控制功能在系统内得到有效实现和健全有效。
强化内部审计制度。内部审计是内部控制的重要组成部分。内部控制可分为制度控制、应用技术控制和监督检查控制三个方面。实行内部控制制度,就要加强内部审计监督,要成立审计委员会,监督和控制各个工作站的日常工作,对内部控制系统薄弱的环节,加强管理与完善。
2.采取多种网络安全技术,强化系统外部控制
实行识别认证和访问控制技术。为了防止非法用户的入侵,可在因特网内部采用识别认证和访问控制技术,内部网的访问采用入网控制、网络权限控制、目录级别安全控制、网络服务器的安全控制等技术。
采用加密技术。数据加密技术作为主要网络安全技术,是提高网络系统数据的保密性,防止秘密数据被破译的主要技术手段。加密技术一般分两种形式:保密密钥和公开密钥。加密算法的选择要结合具体应用环境和系统要求,综合考虑密钥的合理分配、加密效率与系统结合度以及投入产出分析等因素。
设立防火墙。可以考虑在企业内部网与互联网之间设立防火墙,使内部网与互联网互相隔离。所谓防火墙是一道进出企业内部网的通信门槛,它可以有效地阻止互联网中的黑客非法入侵或攻击机构的内部网。当然,防火墙要随时升级换代,不断提高抵御病毒入侵、杀毒能力。
采用数字签名技术和公正仲裁制度。采用数字签名技术和公正仲裁制度,可以防止网络中进行数据交换时的否认、抵赖事件的发生。仲裁制度可以有效地解决交易双方发生纠纷的法律适用问题和公正处理双方合法权益问题。采用数字签名技术和公正仲裁制度,可以有效地防范来自关联方和社会的道德风险。
3.加强系统外的审计监督力度
加强对系统开发的审计监督。在系统开发的各个阶段,审计人员要注意审查系统的可行性、安全性、可审性、可扩展性、经济性以及程序控制的适用性。通过审计监督,为系统的高质量提供制度保障,同时为审计人员实施网上实时审计创造良好条件。
开展网上实时审计。审计机关和审计团体与企业的计算机系统联网,并取得审计授权,就可以通过网络完成除实地盘点和现场观察外的部分审计监督任务。如果在系统开发时嵌入审计程序软件,计算机就可以实现实时跟踪审计。
加强外部网及有关中介机构的审计监督。为了保证网络财务系统和审计系统中有关数据的真实性和安全性,各企业应要求审查网上的认证机构、加数字时间戳的机构的真实性、可靠性和权威性,并要求评价因特网上各种加密技术、防火墙技术等网络安全措施的有效性。
4.建立健全网络法规
将网络化财务、审计系统的安全纳入法治化的轨道。改革开放以来,我国先后颁布《计算机系统安全规范》、《计算机病毒控制规定》等法律法规,并在《刑法》、《民法》、《民事诉讼法》等相关法律中,增加计算机信息安全方面的条款,从而为计算机信息系统的安全性提供了法律保障。不过,这些法律法规不涉及网络财务系统犯罪的领域,所以,需要制定专门的网络法,对网络系统、网络化审计系统的风险防范作出明文规定。
标签:网络系统论文; 审计软件论文; 审计计划论文; 安全审计论文; 会计与审计论文; 审计准则论文; 管理审计论文; 审计目的论文; 信息安全论文; 风险防范论文;