前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的安全审计报告主题范文,仅供参考,欢迎阅读并收藏。
论文摘要:本文强调审计工作的安全、高效和信息化,从审计工作的现状、发展瓶颈到信息化审计的制度健全、引入主机系统安全审计、业务系统安全审计等相关管理办法、新技术或新理念和待解决的问题等方面,论述构建安全高效的审计信息化安全保障体系的措施。
审计是客观评价个人,组织、制度、程序、项目或产品。审计执行是以确定有效性和可靠性的信息,还提供了一个可内控的评估系统。审计的目标是表达人、组织、系统等的评估意见,审计人员在测试环境中进行评估工作。审计必须出示合理并基本无误的报表,通常是利用统计抽样来完成。审计也是用来考察和防止虚假数据及欺骗行为,检查、考证目标的完整性、准确性,以及检查目标是否符合既定的标准、尺度和其它审计准则。实现审计的信息化,有利于管理层迅速准确的做出决定,对于政企业发展、社会经济的进步都具有重要作用。目前,我国的审计工作尚存在性质认定模糊、工作范围过于狭窄等问题,有待进一步加强和改进。
审计的基础工作是内部审计,内审是审计监督体系中不可或缺的重要组成部分,是全面经济管理必不可少的手段,是加强任何机构内部管理的必要,推动经济管理向科学化方向发展的重要环节也是审计。因此说审计部门是其他监督部门不能代替的,促进党风廉政建设、加强对党政领导干部及管理人员的监督都可以通过审计来完成。审计应用与高新技术机构中,在防范风险中发挥着重要作用,也有助于领导层做出正确决策。
一、审计工作的现状及存在的问题
随着我国经济迅猛发展,审计监督力度不断增强,审计范围也不断扩大。当前,审计方式已由财政财务审计向效益审计发展,由账项基础审计向制度基础审计、风险基础审计发展,由事后审计向事中、事前审计发展。审计管理上建立审计质量控制体系,要求审计机关把审计管理工作前移,把质量控制体系贯穿与审计工作中。在此趋势下,传统的审计方法暴露出其效率低、审计范围小等劣势,使得完成审计任务,达到审计目标越发缺乏及时性。
(一)内部审计性质认定较为模糊。内部审计是市场经济条件下,基于加强经营管理的内在需要,也是内部审计赖以存在的客观基础。但是,现代内部审计的产生却是一个行政命令产物,强调外向。这种审计模式使人们对内部审计在性质认定上产生模糊,阻碍了内部审计的发展。内部审计很难融入经营管理中,审计工作很难正常开展,很难履行监督评价职能和开展保证咨询活动,因此就不能充分发挥其应有的内向的作用。
(二)内部审计工作范围过于狭窄。内部审计的目的在于为组织增加价值并提高组织的运作效率,其职能是监督和服务。但是,我国内部审计工作的重心局限在财务收支的真实性及合规性审计。长久以来内部审计突出了监督职能,而忽视了服务职能。内部审计认识水平、思想观念的束缚以及管理体制等诸多因素,影响和阻碍着内审作用的有效发挥。原因有会计人员知识水平、业务素质不高,也有不重视法律、法规的因素,还有监管不力、查处不严的原因。目前内部审计尚处在查错阶段,停留在调账、纠正错误上,还不能多角度、深层次分析问题,没有较国际先进的审计理念,我国内部审计的作用尚待开发。审计人员的计算机知识匮乏,不适应电算化、信息化的迅速发展。目前多数审计人员硬件知识掌握不熟练,软件知识了解也不足,因此不能有效地评估信息系统的安全性、效益性。由于计算机审计软件开发标准不同,功能也不完整,因此全面推广计算机辅助审计就有一定难度,导致审计人员的知识和审计手段滞后于信息化的发展。
二、信息化审计体系的健全
当前国家审计信息化发展的趋势是建立审计信息资源的标准化、共享化、公开化,逐步达到向现代审计方式的转变。这一趋势是随着当前科学发展、和谐社会的推进,国家确立的公共财政建设、公共服务的实施、公共产品的提供应运而生的,三个“公共”的主旨是:国家财政资金的使用更注重民生;使用重点更注重服务;使用效益更注重民意。
信息安全审计是任何机构内控、信息系统治理、安全风险控制等不可或缺的关键手段。收集并评估证据以决定一个计算机系统是否有效地做到保护资产、维护数据完整、完成目标,同时能更经济的使用资源。信息安全审计与信息安全管理密切相关,信息安全审计的主要依据是出于不同的角度提出的控制体系的信息安全管理相关的标准。这些控制体系下的信息化审计可以有效地控制信息安全,从而达到安全审计的目的,提高信息系统的安全性。由此,国际组织也制定了相关文件规范填补信息系统审计方面的某些空白。例如《信息安全管理业务规范》通过了国际标准化组织ISO的认可,正式成为国际标准。我国法律也针对信息安全审计制定出了《中华人民共和国审计法》、《国务院办公厅关利用计算机信息系统开展审计工作有关的通知》等文件,基本规范了内部审计机制,健全了内部审计机构;强调机构应加强内审工作,机构内部要形成有权就有责、用权受监督的最佳氛围;审计委员会直接对领导班子负责,其成员需具有相应的独立性,委员会成员具良好的职业操守和能力,内审人员应当具备内审人员从业资格,其工作范围不应受到人为限制。内部审计机构对审计过程中发现的重大问题,视具体情况,可以直接向审计委员会或者领导层报告。 转贴于 三、主机系统安全审计
信息技术审计,或信息系统审计,是一个信息技术基础设施控制范围内的检查。信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面做出判断的过程。
以技术划分,信息化安全审计主要分为主机审计、网络审计、应用审计、数据库审计,综合审计。简单的说获取、记录被审计主机的状态信息和敏感操作就是主机审计,主机审计可以从已有的系统审计记录中提取相关信息,并以审计规则为标准来分析判断被审计主机是否存在违规行为。总之,为了在最大限度保障安全的基础上找到最佳途径使得业务正常工作的一切行为及手段,而对计算机信息系统的薄弱环节进行检测、评估及分析,都可称作安全审计。
主机安全审计系统中事件产生器、分析器和响应单元已经分别以智能审计主机、系统中心、管理与报警处置控制台来替代。实现主机安全系统的审计包括系统安全审计、主机应用安全审计及用户行为审计。智能审计替代主机安装在网络计算机用户上,并按照设计思路监视用户操作行为,同时智能分析事件安全。从面向防护的对象可将主机安全审计系统分为系统安全审计、主机应用安全审计、用户行为审计、移动数据防护审计等方面。
四、待解决的若干问题
计算机与信息系统广泛使用,如何加强对终端用户计算机的安全管理成为一个急需解决的问题。这就需要建立一个信息安全体系,也就是建立安全策略体系、安全管理体系和安全技术体系。
保护网络设备、设施、介质,对操作系统、数据库及服务系统进行漏洞修补和安全加固,对服务器建立严格审核。在安全管理上完善人员管理、资产管理、站点维护管理、灾难管理、应急响应、安全服务、人才管理,形成一套比较完备的信息系统安全管理保障体系。
防火墙是保证网络安全的重要屏障,也是降低网络安全风险的重要因素。VPN可以通过一个公用网络建立一个临时的、安垒的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。借助专业的防DDos系统,可以有效的阻止恶意攻击。信息系统的安全需求是全方位的、系统的、整体的,需要从技术、管理等方面进行全面的安全设计和建设,有效提高信息系统的防护、检侧、响应、恢复能力,以抵御不断出现的安全威胁与风险,保证系统长期稳定可靠的运行。严格的安全管理制度,明确的安全职责划分,合理的人员角色定义,都可以在很大程度上减少网络的安全隐患。
从战略高度充分认识信息安全的重要性和紧迫性。健全安全管理组织体系,明确安全管理的相关组织、机构和职责,建立集中统一、分工协作、各司其职的安全管理责任机制。为了确保突发重大安全事件时,能得到及时的响应和支援,信息系统必须建立和逐步完善应急响应支援体系,确保整个信息系统的安全稳定运行。
参考文献:
[1]宋新月,内部审计在经济管理中的重要作用浅析[J],知识经济,2009
论文摘要:随着世界航空运输的快速发展,空中交通日趋繁忙,空管安全管理体系中安全评估与审计越来越受到民航界的关注。本文首先对空管安全管理体系进行了概述,描述了当今空管安全管理的现状及中国民航安全管理的目标和空管安全管理体系的构成,然后对空管安全审计进行了概述,最后研究了空管安全管理体系中安全审计的方法与应用。
1.空管安全管理体系概述
空管安全管理体系包括空域管理、空中交通流量管理和空中交通服务(包括空中交通管制服务)在内的系统性的安全管理问题。
空管安全管理体系研究现状
安全始终是民航界的首要问题,在民航界具有重要影响的组织或国家都几乎一致地将空中交通管理系统的安全管理问题升级为一个具有现代管理学科意味的系统性安全管理问题来对待,在继承传统安全管理经验(尤其是其中所包含的安全管理文化精髓)的同时,人们已经更加重视依托现代安全管理理念、策略和科学方法(包括基于电子计算机技术的安全管理决策支持工具)去全面解决空管系统的安全管理问题。目前,还没有一个标准统一的体系来对空管单位进行安全评估和审计,各单位的标准不一,审计手段也各不相同。随着民航业的飞速发展,空中交通流量的剧增,工作压力越来越大,造成空管单位的安全隐患与日俱增。
2.空管安全审计
2.1 空管安全审计概述
空管安全审计可以让管理层有效掌握空中交通服务系统的安全状况和需要改进的缺陷,它是一种识别潜在问题的有效手段,是一项未雨绸缪的预防性安全管理活动。
作为安全管理体系的一部分,内部安全审计所体现的内部安全管理作用在于:确保运行安全风险得以识别,导致安全问题的诱因得以辨识;通过强化安全指令和程序的遵守、人力资源配置、提高人员素质和培训等,确保具有良好的安全管理体系架构;确保应对突发紧急情况的安全措施得当;确保设备性能能够满足保证安全所需;在促进安全、监测安全性能和处理安全问题方面,保证各项管理措施切实有效。
2.2空管安全审计原则
(1)安全审计的目的在于了解实际情况,不得有任何指责和惩罚方面的暗示。
(2)被审计者应当给审计者提供一切相关安全管理实证或文件,安排必要人员供审计者了解情况。
(3)安全审计应当客观地调查取证。
(4)应当在规定的时间内给被审计单位提供书面报告,阐述发现的问题并提出建议。
(5)应当向被审计单位提供有关审计结果的反馈意见。反馈意见应当突出审计中所观察到的问题,必须找出不足之处,但也要尽可能回避消极的批评。
2.3空管安全审计计划
简介:说明这是哪一项安全审计的正式文件,介绍报告的各章。
参考文件列表:列出审计中使用的所有文件依据背景:描述审计原因,说明这是正常审计还是由于特殊原因(例如:发现安全风险,观察到不安全事件等)而进行的审计。
目的:按照审计计划描述审计的目标和范围。如果在审计过程中发生了影响审计目标完成的事件,应当在此描述,并且阐述事件造成的后果。
人员:列出参加审计的人员
受审计的单位:列出受审计的单位名称
计划日期:注上当日日期
2.4在空中交通服务系统的安全审计应当遵循以下原则:
(1) 观察结果和建议的内容应与最后讨论会、审计报告草案及最终审计报告中的谈论或称述保持一致。
(2) 审计结论应当有充分的证据支撑;对观察结果和建议的阐述应当清晰简要。
(3) 观察结果应当具体明确,并客观地陈述观察结果。
(4)要应用广泛接受的航空术语而不要用缩略语和俗语。
(5)避免直接批评某个人或某个职位。
2.5审计员应当在访谈时应当遵照以下原则:
(1)聆听——让讲话的人知道你在听他讲;
(2)保持中立——不要当面表达不一致的意见,不要随意打断对方的陈述或甚至给予批评;
(3)理解不透彻时——可向对方核实,以获得对方对访谈记要的认可;
(4)使用“什么,为什么,在哪里,什么时候,谁,如何”等特殊疑问句,以引出事实情况;
(5)询问一些深入的问题,比如“假设…”,“如果…,会怎样”“请给我演示一下…”,让对方给出解释和例证。
2.6 安全审计情况的后续跟踪
(1) 后续跟踪的主要目的在于核实受审计单位是否落实了改进计划。后续跟踪可以通过对改进计划实施情况的监督来进行,也可通过随访跟踪来进行。
(2)如果进行了跟踪随访,还应当编制一份随访报告,说明改进计划的落实情况。
如果不符合规章的情况和隐患尚未消除,审计组长应当在跟踪报告中着重说明,并直接给相关空中交通服务单位的高层管理者发送一本报告副本。
(3) 审计组长应主动向所属空中交通管理机构报告阶段性的审计情况和提交审计报告、跟踪随访报告。
3.结论
本文首先对空管安全管理体系进行了概述,描述了当今空管安全管理的现状及中国民航安全管理的目标和空管安全管理体系的构成。
综上所述,本文的研究目的是如何通过有效、科学的手段对空中交通管制单位运行安全审计,找出安全隐患,通过一系列的运行管理手段,消除安全隐患,使“人─机─环境”系统中的运行关键因素有机地结合,共同作用于空管运行的各个阶段,切实提高航空安全运行质量,从而进一步完善我国民航安全运行管理,切实提高民航安全运行质量,最大限度地降低航空事故,提高空中交通管制单位的自身系统控制能力和安全管理水平。
参考文献
[1]空管在线收集整理
[2]骆慈孟.以人为本,确保飞行安全,空中交通管理, 2000.5
[13]施和平.空中交通系统安全管理.厦门大学出版社.
关键词:区块链技术;食品安全审计;信息化;框架构建
现阶段我国的食品安全依旧存在比较突出的隐患,食品安全风险的识别与防控具有复杂性、差异性等特点,食品安全治理仍存在比较大的难度。作为风险防控的重要手段,食品安全审计近几年得到快速发展,但在信息化技术水平、流程体系以及数据完备性等方面还存在较多问题,尤其是在数据获取的真实性和完整性上存在较大的难度。区块链具有去中心化、独立性、安全性与匿名性等特点,利用其智能合约、共识机制、非对称加密、分布式账本等技术,可有效保障审计数据的质量与可追溯[1],同时还有助于风险的及时捕捉、人力资源的节省以及审计效果的提升等。因此,分析探讨区块链技术在食品安全审计中的应用具有重要的现实意义。对于食品工业来说,审计与食品质量标准在食品安全的保障中起到的作用都是不可或缺的,例如:评估管理系统,获得某些食品安全和质量标准的认证,评估场所和产品的条件,确认法律合规性等等[2]。审计应用于食品安全治理,最早是在西方国家产生的,由此也逐渐衍生出一项新领域的审计———食品安全审计。国内学者将食品安全审计界定为:“一套集成本审核分析、质量管理机制考察和企业产品质量状况核算评价为一体的科学方法”[3]。该领域的研究在国内起步较晚,大致开始于在三鹿奶粉事件发生以后,并且集中在乳品行业,食品安全审计的具体实施也基本是由政府有关部门主持进行,且审计对象主要聚焦在大型企业[4]。目前,就我国已有的食品安全审计案例来看,还存在中小型企业审计不够到位、审计依据标准不够明确、审计数据不够安全可靠以及在专业审计人才与方法上存在欠缺等问题。因此,亟需新技术、新方法的引入和应用。近几年,随着区块链技术的发展,学者们开展了其在许多领域和场景应用的研究。区块链在审计领域的应用也得到了越来越多的重视,相关的研究如:基于区块链技术构建实施审计框架[5-6]、区块链技术在企业联网审计中的应用[7-8]、区块链技术在金融审计中的应用[9-11]以及区块链审计在政府治理中的应用等等[12-13]。在具体的审计模式探索中,毕秀玲等[14]提出要大力推进“审计智能+”的建设,在5G、区块链、大数据与人工智能等技术的支持下,提高审计信息化的水平。传统审计过程中所面临成本、效率、质量、安全性等问题恰恰可以通过区块链技术进行有效解决[15]。房巧玲等[16]便提出了基于双链架构的混合审计模式,即智能审计程序与人工审计程序相结合的模式。从目前已有的研究来看,还尚未见有关区块链技术在食品安全审计中应用的研究。基于此,文章首先根据区块链技术的工作原理与优势点,分三个层次构建起区块链技术在食品安全审计中应用的逻辑框架。其次结合传统审计工作,通过技术代入,进一步阐述区块链技术下的食品安全审计工作的大致流程。最后,充分考虑当前区块链技术在运用中所面临的各种问题,提出相关的建议以及未来发展的展望。
1区块链技术在食品安全审计中的应用逻辑
1.1区块链的工作原理
区块链是在一种基于分布式系统思想形成的网状结构,在这个网状结构中,信息存储上链主要有以下流程:当某个节点有新的数据信息录入,该节点将会把信息网络中的其他节点进行广播,其他节点在接收信息以后会对其内容的真实性、完整性以及可靠性进行检验,检验无误后该信息将被储存在一个区块中,经过随机Hash算法得出Hash值,该过程可以视为一种单向的加密手段,不仅可以将复杂无章的数据信息转换为固定长度的字符代码,而且其破解的困难程度也保证了数据的不可篡改性。此时,全网将基于共识机制对该区块内数据进行审查,审查通过以后该区块将被正式存入区块链的主链中,相应的数据也将被打上时间戳标记,更新复制保存到每个节点里[17],如图1所示。
1.2区块链技术在食品安全审计中应用的逻辑
区块链作为一项颠覆性技术,在各个领域加速应用。将区块链技术应用到审计领域,这种模式被称为区块链审计。而在区块链审计的定义上,徐超等[18]提出广义和狭义之分,广义上指在审计领域应用区块链技术,而狭义上则包含了区块链审计和审计区块链这两种方式,二者的审计对象不同,具有本质上的区别。在区块链审计过程中,审计人员基于信息系统对一般控制和应用控制进行测试,通过借助发挥区块链技术的优势性,对各类业务执行自动化审计和持续审计等行为[19],具体包括:对数据的真实性、时效性以及可靠性进行审计;对系统设置、共识机制以及智能合约等进行审计;对区块链技术所涉及的系统节点等安全性进行审计[20]。事实上,区块链可以分为三个层次:协议层、应用层和访问层,它们相互独立又不可分割,构成了区块链技术在食品安全审计领域的运用逻辑,如图2所示。协议层(又称基础层)是基于共识机制展开运行的,通过共识机制来保障每个节点的数据是真实一致可靠的。在利用分布式数据存储、加密算法、网络编程以及时间戳等技术的基础上,对食品供应链上所涉及到的各个环节、各个企业的各类信息进行收集与记录,如食品生产过程中的原料配比情况、添加剂的使用量情况,食品物流环节的负责方信息、车次时间以及冷链条件情况,食品交易过程中经销商情况以及流入消费者的时间地点等信息[21]。企业彼此间的信息验证以及共识算法记账使得审计需要的众多数据信息能够公开透明、不易篡改,也有助于扩大审计工作的覆盖面。对于应用层而言,智能合约的存在使得区块链在没有人工控制以及第三方干预的情况下,能够按照网络编程出的代码进行自主运行,有助于明确执行标准,大大提高了审计的效率以及数据的收集分类等重复性工作,在预先设置的程序代码中,一旦触发相应的条件和标准,将会作出各类分析行为,这样一来,审计人员通过区块链技术就可以对食品质量安全实现实时监控、及时预测和灵活预警[22]。就访问层来看,无论是通过个人计算机(personalcom-puter,PC)端还是移动终端,借助区块链技术的可编程性采用公钥与私钥授权的机制,能够实现数据的安全独立便捷获取。同时,时间戳技术有助于保障数据的安全性,使审计工作的的可靠性和便利性能够得到进一步优化。
1.3区块链技术在食品安全审计中应用的优势
对于食品行业来说,信任机制的构建对于品牌形象的树立是十分关键的,而品牌形象的优劣将直接影响企业的生存甚至是行业的兴衰。在这种情况下,通过审计去发现问题、解决问题,并实现信息的公开、透明、可追溯将有助于信任的构建。而区块链技术在审计中运用的优势,将有效推动信任机制的形成。首先,去中心化的优势使得在整个食品供应链上所有企业都可以分别作为一个节点,分布式数据储存技术的应用,使得众多企业在信息的记录和储存上互相监督、互相利用,具有更加安全、更加便捷、更加透明的优点。同时,每个审计项目由指定的审计组执行审计,每个审计组也相当于区块链的一个节点,若干个审计组节点组成分布式节点组织结构,相当于一个分布式账本。于是审计的范围变得更加广泛,所涉及的审计对象也更加的全面而具体,不需要非得围绕核心企业实施审计,解决了审计范围的局限性问题,有助于提高食品安全审计结果的质量。其次,交易可追溯性、数据透明性的优势使得信息在供应链上变得更加可靠、真实。在供应商的选择、企业内部控制执行的有效性等等方面具有督促作用。例如,就已有的食品安全审计案例呈现的结果来看,存在如下问题:企业不能持续保持生产条件、食品安全管理制度等落实不到位、企业自身的检验能力不足、生产信息记录的不完整甚至伪造记录以及不合格品和变质食品的及时处置问题等。在区块链技术的帮助下追溯系统将会不断完善[23],对于存在的这些问题也会更加具有约束和威慑作用。在现实中,已有具体的应用案例,如2017年7月沃尔玛、京东、国际商业机器(internationalbusinessmachines,IBM)公司和清华大学共同组成了区块链联盟,在产品的地产、批号、生产厂家、到期日期以及运输细节等各种详细信息的获取上,可以实现从天数到秒数的速度提升,这将极大地提升审计实施的效率。最后,可编程性则发挥了信息技术的优势,相比于传统审计中的人工操作,信息技术的应用将会使得审计的流程更加严谨、更加快捷。食品安全审计过程中,涉及到的质量标准、规范等十分复杂,对于不同品类食品的特殊性质、不同添加剂的使用规定等所涉及的知识更加多样和复杂[24],利用计算机编程技术,则可通过代码的编写,将有关审计标准、审计法规等进行定义,在区块链中实现数据信息的智能运行。在既定的规则和协议下,区块链可以实现数据的自动采集、传递与存储,高安全性、高透明性使得审计效率大大提升。德勤会计师事务所的Rubix平台就是通过将自动化技术和区块链技术相结合,在提升工作效率的同时,又能达到降低成本等作用[25]。同样,沃尔玛也将区块链技术应用于食品供应链管理之中,并取得了一定的理想成效[26]。
2区块链技术下食品安全审计的流程
区块链技术下的食品安全审计流程是在传统审计流程的基础上,通过融入区块链技术,对审计流程进行重塑,保证审计大环节不变,即审计准备阶段、审计实施阶段以及审计报告阶段,但细节更加优化、效率更高,如图3所示。
2.1审计准备
在审计准备阶段需要先对审计信息和数据等进行预处理,通过数据的采集、传输与存储,利用区块链中各个节点所达成的共识机制,实现数据的真实性、完整性与一致性。在这个过程中,通过对被审计食品行业的相关标准、企业会计准则的选取情况、企业的性质以及监管环境等的了解,对相关获取信息进行更新记录,并利用时间戳技术,相当于会计记账中的连续编号机制,对新产生的区块做上时间标记,充分保证了数据在一定时间内是可追溯的、可验证的以及完整的。
2.2审计实施
在审计实施阶段,面对食品供应链本身的环节的多样性与复杂性,区块链应用平台会及时向各个节点的企业、账项往来银行以及其他关联方进行信息的检查与考证,并将结果进行实时反馈。在对某一生产、加工业务或者交易进行审查以后,将问题点进行汇总与分析。在审计过程中,同时需要伴随着数据清洗、数据挖掘、可视化操作、实时处理、风险识别与评估以及重要性水平的确定等技术支撑,也需要借助传感器、物联网、射频识别以及CPS/GPS等审计工具[21],因此,这将对专业人才的技术水平有着较高的要求。
2.3审计报告
在传统审计流程的收尾阶段,需要对整个审计流程所记录的工作底稿以及证据信息进行整理与汇总,并出具最终的审计报告、发表审计意见。而在区块链技术的应用下,审计人员通过对数据信息的系统建模进行智能化自主分析,并且能够做到对审计结果的实时记录、对被审计企业进行随时随地的监控,还可以根据审计主体的不同以及审计要求的变化,随时出具定制化的审计报告,大大提高了审计结果的质量以及需求度的满足程度。
3区块链技术在食品安全审计应用中面临的问题
3.1技术问题
现阶段,无论是国家、社会还是具体的个人,对于审计的水平和质量要求越来越高。监督再到上市公司的财报结果公开,处处离不开审计的参与,审计也逐渐在越来越多的领域发挥作用,例如:领导干部经济责任审计、自然资源资产审计、信息科技审计以及本文所探讨的食品安全审计等领域。在食品安全上,任何小的风险都不容忽视,这对于审计的执行是一项不小的挑战,尽管区块链技术在效率和质量等方面对食品安全审计有着很大的帮助,但在海量的信息面前,区块链的复杂度也急速增加,无论是从硬件上还是软件上,对计算机的算法处理能力、存储能力以及硬件配置有着越来越严苛的要求。因此,进一步提高硬件的可靠性以及软件的适配性是技术层面需要持续努力的方向。
3.2安全问题
区块链技术尽管有着Hash值非对称加密算法、时间戳等技术的支持,但安全性问题依旧是区块链技术在发展中不容小视的关键问题。随着黑客技术的不断进化,以往的51%攻击成本已经不再具有很强的约束性,这对于审计工作是一项不小的潜在威胁。在区块链共识机制的基础上,很多企业将自己的关键性信息乃至核心机密都进行了上链操作,而黑客的行为将会对企业们造成重大损失甚至致命冲击。这就说明不存在一劳永逸的保障,各项技术需要在不断的挑战和威胁中,始终保持高度的预警态势,在面对不法分子的各种花样攻击时,能够做出迅速、有效的反应,这就需要相关信息技术人员不断提升其专业水平和素质。
3.3监管问题
事实上,尽管区块链技术中的分布式数据储存技术使得数据的记录、存储与读取更加便捷、安全,但其却弱化了国家对于交易情况的监督,对于现有的监管体系具有一定的冲击。区块链技术还在逐渐发展走向成熟,在食品安全审计领域的应用也将处于不断探索的阶段,有关监管的法律法规仍需进一步的完善与明确,如果真的出现监管漏洞,那必然影响该技术的健康、稳定与向好发展。因此,在技术不断进步的同时,国家相关部门的法律与监管体系也要完善跟进,二者相辅相成,为技术作用的充分发挥保驾护航。
4结语
作为我国电子政务重要基础设施的电子政务外网,为了实现服务各级党政部门,满足各级政务部门社会管理、公共服务等方面需要的重要功能,要求具有互联网出口,并且与互联网逻辑隔离。因此,电子政务外网面临来自互联网和内部网用户两大急需解决的安全难题。
二、设计思路
本方案按照《国家电子政务外网安全保障体系总体规划建议》进行设计,规划范围以市级电子政务外网为主,以市级电子政务外网运维中心为重点,覆盖市委、市政府、市人大、市政协和多个委办局单位以及市属各个县区,根据国家电子政务外网安全保障体系的规划,市级电子政务外网安全体系包括如下三个方面的内容:
(一)安全管理体系。主要包括:按照国家安全保障体系建设标准,建设市级安全管理中心(SOC);以《国家电子政务外网安全标准指南》为标准贯彻执行国家已有安全法规标准,同时制订符合本市电子政务外网自身特点和要求的有关规定和技术规范。
(二)网络安全基础防护体系。主要包括:网络防护与隔离系统、入侵防御系统、接入认证系统、业务隔离和加密传输系统、防病毒、漏洞扫描系统等。
(三)网络信任体系。主要包括:PKI/CA系统、权限管理系统和认证授权审计系统。
三、方案设计
(一)安全管理中心。市级安全管理中心是市级电子政务外网安全的规划、实施、协调和管理机构,上联省级电子政务外网安全管理中心,把各类安全事件以标准格式上报到省中心,同时对县区管理中心下发安全策略,并接收县区的日志、事件。县级安全管理中心在市中心的授权下,具有一定的管理权限,并对县级安全策略及日志、事件进行采集和上报。市级安全管理中心也是市级网络安全设施的管理维护机构,为使安全设施能够最大限度地发挥其安全保障功能,需要建立一个良好的安全综合管理平台,以实现业务流程分析,并对业务系统在安全监控、安全审计、健康性评估等方面的运行进行有效的管控,从全局角度进行安全策略的管理,对各类安全事件作出实时的监控及响应,为管理者提供及时的运行情况报告、问题报告、事件报告、安全审计报告、健康性报告和风险分析报告,从而使决策者能及时调整安全防护策略,恰当地进行网络优化,及时地部署安全措施,消除各类安全隐患。
(二)基础防护平台建设。基础防护平台主要是以确定的安全防护模型框架为依据,结合政府业务的实际安全需求,在原有互联网安全设施基础上进行安全基础防护体系的新建或扩充、延伸与扩展。包括边界隔离与控制、身份鉴别、认证与授权、入侵检测与防御、安全审计与记录、流量监测与清洗、数据加密传输、病毒监测与防护、安全扫描与评估、安全策略集中管理、安全监控管理和安全审计管理等基础安全防护措施。最终达到提升系统的整体抗攻击能力,确保电子政务外网能够更好地支撑各类政务应用系统的运转。
(三)边界隔离与控制。防火墙是实现网络边界隔离的首选设备,防火墙是运行于软件和硬件上的,安装在特定网络边界的,实施网间访问控制的一组组件的集合。它在内部网络与外部网络之间形成一道安全保护屏障,防止非法用户访问内部网络上的资源和非法向外传递内部信息,同时也防止这类非法和恶意的网络行为破坏内部网络。它可以让用户在一个安全屏障后接入互联网,还可以把单位的公共网络服务器和企业内部网络隔开,同时也可以通过防火墙将网络中的服务器与网络逻辑分离,进行重点防护。部署防火墙能够保护一个网络不受来自另外网络的攻击。
(四)入侵检测与防御。在整体的网络安全中,依靠安全策略的指导,对信息系统防护有积极的意义。但是,无论网络防护得多么牢固,依旧不能说“网络是安全的”。因为随着技术的发展,任何防护措施都不能保证网络不出现新的安全事件,不被手段高超的人员成功入侵。在攻击与防御的较量中,实时监测处在一个核心的地位。
(五)安全审计与记录。安全审计系统记录了网络使用者的全部上网行为,是支撑网络安全事件调查的基础,是审计信息的重要来源,在电子政务外网的建设中,应当尽量延伸安全审计系统部署的范围,并采用多种的安全审计系统类型(如网络审计、主机审计、数据库审计等)扩展安全审计的层面。
(六)流量检测与清洗。流量检测与清洗服务是针对网络传输信息流类型、大小以及诸如DOS/DDOS等安全攻击行为的监控、告警和防护的一种网络安全服务。该服务对进出内部网络的业务数据流量进行实时监控,及时发现包括DOS攻击在内的异常流量。在不影响正常业务的前提下,清洗掉异常流量。有效满足各业务系统运作连续性的要求。同时该服务通过时间通告、分析报表等服务内容提升客户网络流量的可见性和安全状况的清晰性。
(七)统一病毒防护平台。根据电子政务外网省、市、县三级分布的特点,可采用多级、多种的方式进行病毒防护系统的综合部署,包括在网络边界安装硬件防病毒网关、针对特定应用布署网络防病毒系统、针对多数工作终端布署单机版病毒查杀软件等方式。
(八)终端管理。利用桌面终端管理系统,对于终端电脑从以下四方面进行进行标准化管理:
1.网络准入。通过网络边界部署的防火墙设备、网络交换机设备与终端管理服务器配合,实现终端用户的802.1x准入认证,使得所有终端用户接入电子政务外网网络必须提出申请,并对接入机器做防病毒等安全审核,在安装了准入客户端软件(Agent)并分配了用户名/密码后,才能合法接入网络并使用信息资源,开展业务工作,实现了对终端用户的有效管理。
2.网络切换。通过实现终端用户访问互联网和电子政务外网两网切换使用功能,实现对两网资源使用的严格管理,避免安全隐患的发生。
3.文件保险箱。利用“文件保险箱”功能,在终端用户处于“政务外网”访问状态时可以使用“文件保险箱”功能,并创建、修改、使用加密文件或文件夹,在终端用户处于“互联网”状态时无法使用此功能,不能创建、修改、使用加密文件或文件夹,从而保证工作文件的安全。
4.补丁管理。利用桌面系统补丁管理的功能,帮助管理员对网内基于Windows平台的系统快速部署最新的安全更新和重要功能更新。系统能检测用户已安装的补丁和需要安装的补丁,管理员能通过管理平台对桌面系统下发安装补丁的命令。补丁服务器可自动从微软网站更新补丁库,管理员负责审核是否允许补丁在终端系统安装。通过策略定制,终端系统可以自动检测、下载和安装已审核的补丁。
(九)采用2+N的业务模式。对于利用互联网接入的业务系统,必须采用VPN接入,建设互联网接入区,隔离互联网与政务外网的数据包,将互联网业务进行封装,确保互联网业务在专网的VPN通道内进行传输,对于需要与互联网联接的为公众服务的业务,通过逻辑隔离的安全防范措施,采用防火墙系统、入侵防御系统和网络防病毒系统,对互联网接入业务提供必要安全防护,保障电子政务外网的信息安全。
(十)信任体系设计。建立了基于PKI/CA公钥基础设施的数字证书认证体系。完善、推广、促进数字证书体系的发展和根据业务需要建立相应CA机构,并实现某些应用和管理需要的单点登录要求。
一、信息系统审计的内涵
信息系统审计的内涵与财务报表审计有较大的不同。以下通过对信息系统审计的定义、目标和类型来阐述信息系统审计的内涵。
1.信息系统审计的定义。
由于信息系统审计的发展很快,因此对其始终没有一个通用的定义。下面分别介绍三种比较有代表性的定义。
(1)日本通产省情报处理开发协会信息系统审计委员会1996年对信息系统审计定义为“为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向信息系统审计对象的最高领导层,提出问题与建议的一系列活动”。该定义中强调独立性的问题。
(2)信息系统审计领域的著名专家威伯教授的定义(1999)是:“信息系统审计是收集并评估证据,以判断一个计算机系统是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济的使用资源”。
(3)信息系统审计影响最大的国际组织——国际信息系统审计和控制协会(ISACA)的定义是:信息系统审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率的利用组织的资源并有效果的实现组织目标的过程”。该定义比威伯的更详细一些。
通过对相关信息系统审计定义的分析,本文认为,所谓的信息系统审计,是指通过对被审单位的信息系统组成部分的审查来获取和评价审计证据,由此对信息系统的安全性、可靠性、数据的完整性以及信息系统能否经济的使用组织资源并有效地实现组织目标发表审计意见。我们必须清楚的识别信息系统审计、IT审计、审计工程之间的区别。一般而言,1T审计(计算机审计)包括信息系统审计和审计工程。信息系统审计的研究对象是企业的信息系统或信息资产,采用的研究方法是传统的审计方法和计算机技术等;而审计工程的研究对象是企业的电子财务和业务数据,研究方法采用计算机技术、系统工程方法和数学理论等。
2.信息系统审计的目标
审计本质上是根据审计目标对收集的证据进行分析评价并得出结论的过程。一切的审计活动都是为了实现一定的审计目标,并围绕审计目标来进行。可以说,审计目标是审计工作的“纲”。它贯穿审计活动的各个方面和审计过程的始终。
(1)真实性。信息系统中的数据要真实的反映企业的生产经营活动。要通过数字签名等一系列技术手段和保留不可更改记录、定期审计等管理手段确保数据的真实性。
(2)完整性。完整性信息不被偶然或蓄意的删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。完整性是一种面向信息的安全性,它要求保持信息的原样,即信息的正确生成、存储和传输。
(3)合法性。系统在购买、使用、开发、更新、维护、转移等过程中必须符合相关法律、法规、准则、行规以及企业内部的规定等。
(4)安全性。安全性是指信息系统在遭受各种因素破坏的情况下,仍然能够正常运行的概率。威胁信息系统安全的因素有外部和内部两种。外部主要是黑客的入侵、病毒的攻击、线路的侦听等;内部主要是被授权的用户访问和修改、删除等操作。安全性是真实性的基础之一。
(5)可靠性。可靠性是指信息系统在遭受非人因素破坏或人为差错影响的情况下仍然能够正常运行的概率。威胁信息系统可靠性的因素包括自然灾害对硬件和坏境的破坏以及误操作对软件和硬件的破坏等。可靠性也是真实性的基础之一闭。
(6)效果和效率。效果是指应用信息系统以后,企业在生产控制、管理质量、提品和服务等方面产生的变化。效率是指信息系统的应用在企业劳动生产率的提高方面所起的作用。
3.信息系统审计的类型
根据信息系统审计的定义和审计目标,我们可以将信息系统审计分为三个基本类型:
(l)信息系统的真实性审计是对传统审计的补充,防止“错”账真审。
(2)信息系统的安全性审计是对企业信息资产安全性的审核,防止由信息系统造成的经营风险。
(3)信息系统的绩效审计是对信息系统投入产出比的审核。
二、信息系统审计的特点
信息系统审计具有其独特的特点,具体特点如下:
1.信息系统审计是一个过程。它是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程,它贯穿于信息系统生命周期的全过程。
2.信息系统审计的对象具有综合性和复杂性。信息系统审计的对象是以计算机为核心的信息系统,它包含了除财务信息以外的其他与生产经营流程有关的所有信息系统,其实质是审计对象及内容的拓展。从纵向(生命周期)看,覆盖了信息系统从规划、分析、设计到维护的全生命周期的各种业务;从横向(信息系统构成)看,它包含对软硬件审计、应用程序审计、安全审计等。从这个意义看,信息系统审计拓展了传统审计的内涵,将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。
3.信息系统审计拓展了传统审计的目标。传统审计目标仅仅包括了“对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见”,《中国独立审计具体准则第20号--计算机信息系统环境下的审计》第四条也明确规定“注册会计师在计算机信息系统环境下执行会计报表审计业务,应当考虑其对审计的影响,但不应改变审计目的和范围”,由此可见EDP审计、电算化审计和计算机审计都没有改变审计的目标,但信息系统审计除了上述目标外,还包括信息资产的安全性、数据的完整性以及系统的可靠性、有效性和效率性。
4.信息系统审计是事后、事前、事中审计的结合体。注册会计师所执行的财务报表审计往往是年度审计,属于事后审计。而信息系统审计是事后、事前、事中审计兼而有之。如信息系统在开发过程中,由审计人员介入所进行的审计属于事中审计,此项审计相对于系统运行后而对其所进行的审计而言又可以看作是事前审计;信息系统运行后,对其在一定期间的运作情况所进行的审计则为事后审计。
5.信息系统审计的内容更加宽泛。信息系统审计包含了一切与信息系统有关的审计,除了整个生命周期过程及相关业务的审计外,随着信息技术的发展,还必将包括联网审计、电子商务审计、网站审计、ASP审计和XBRL审计等。
6.信息系统审计是一种基于风险基础审计的理论和方法。很多组织都能意识到技术带来的潜在好处,然而成功的组织还能够理解和管理好与采用新技术相关的很多风险。信息系统有着与生俱来的风险,这些风险用不同方式冲击着信息系统,审计者面临着审计什么、何时审计以及如何帮助信息系统的管理者管理和控制风险从而实现企业的战略目标的问题。
三、信息系统审计的过程
审计过程是审计工作从开始到结束的整个过程。信息系统审计一般可以分为计划阶段、实施阶段和报告阶段。由于信息系统审计的对象和具体业务不同,每个阶段所包括的具体内容与财务审计也不同。
1.计划阶段
计划阶段是信息系统审计过程的起点。科学合理的审计计划有利于帮助审计人员有的放矢的去调查、取证,形成正确的审计结论,实现审计目标。计划阶段的主要任务包括:调查被审单位的基本情况和内部控制;初步评价审计风险;确定重要性水平;制定审计计划。
(1)调查被审单位的基本情况,初步评价固有风险为了做好审计工作,审计人员首先应了解被审单位的基本情况。需要了解的基本情况包括:第一,被审单位的业务性质和生产经营情况。第二,被审单位的组织结构和管理水平。第三,被审单位信息系统一般情况,即信息系统的结构,所使用的软硬件和网络设施以及运行环境。第四,被审单位应用系统及其所处理的交易和事项的类型。
(2)调查被审单位信息系统内部控制,评价控制风险在计划阶段,审计人员应了解被审单位的内部控制特别是信息系统内部控制,对内部控制的健全和有效性进行评估,初步确定控制风险的大小。
(3)评估审计风险,确定重要性水平。为了合理使用审计资源,有效的实现审计目标,在制定审计计划时审计人员应评估审计风险,确定重要性水平。重要性水平是指在审计事项中,能够容忍出现差错的程度和大小。
(4)编制审计计划。在对被审单位的风险进行初步评估,确定重要性水平后,审计人员应当编制审计计划。审计计划的内容应当包括:被审单位的基本情况、审计的范围和重点、审计的步骤和时间安排、审计人员分工、运用的信息系统审计方法、审计中应当注意的事项和其他内容等。
2.实施阶段
实施阶段是根据计划阶段确定的范围、重点、步骤和方法,进行有针对性的取评价,并形成审计结论的过程。主要由符合性测试和实质性测试两个阶段构成。
(1)实施符合性测试。符合性测试的目的是检查内部控制措施是否健全有效。计人员需要对被审单位的控制系统进行识别、测试和评价。测试的性质、范围和程度。为了达到这个目的,审从而确定后续的实质性控制系统识别。审计人员通过与相关人员面谈、调查问卷以及查阅信息系统和控制系统说明文件等方,识别被审单位的控制系统以及控制环境,并将调查情况记录在审计工作底稿中。
(2)实施实质性测试。实质性测试是对信息系统控制进行的详细测试,以获得这些控制在审计期间是否真实存在并合法有效的审计证据。实质性测试主要通过测试必要的数据,对信息系统达到特定的控制目标的程度进行评价。
关键词:会计内部审核;专业技术;外审;电算化安全
行业间的竞争日趋激烈,企业也需要积极地采取应对策略对竞争对手加以有效的防范并勇于参与市场竞争,加大会计成本核算和审核力度是企业减少经营成本,监督企业行为的重要途径。会计行业的审核有外部和内部两种途径,但是由于我国外部审核机制还有待完善,大多数企业更加倾向于采用企业内部审核的方法对企业会计财务情况加以控制,内部会计审核需要依靠现代化技术手段的辅助才能够得以顺利实施,为此,有必要对现阶段我国的企业内部电算化会计审核进行深入探讨。
1 加强会计内部审核的重要意义
1.1 内部会计审核结果为企业发展提供了科学参考依据
内部会计审核是企业在内部设立财务部门,聘请专业的会计人员对企业账目进行监管,控制企业内部财务状况的一种审核方式。会计内审可以通过对于财务数据的整理分析,对企业总体财务状况进行有效控制,并且对企业的经营状况做出客观的分析和反映,反映的结果可以通过审核报告的形式体现出来,这在一定程度上有利于企业及时发现账目上的问题,从而降低了企业的经营风险。
1.2 较外部审核而言,企业内部审核更具有优势
企业外部会计审核的实施主体包括政府部门和社会专业机构两部分,目前,我国的外部监督体系还存在着一些问题,首先,就政府部门监督而言,相关的法律法规不够完善,起不到对企业行为的规范作用,政府审计人员的操作还不具有专业性,职责不明确往往导致审计结果存在较大出入;其次,由于我国现行会计从业考核机制的不健全,社会上专业审计企业的资质还有待考证,审计从业人员的水平也参差不齐;再次,外部审计较内部审计的明显劣势还在于外部聘请的专业机构对于企业的经营现状无法实现充分的了解,对于企业的基本情况只能通过企业内部人员描述或者通过会计账目来获得,这就使得其审核的结果可能失去真实性和客观性,产生会计审核的偏差。
内部会计审核无论从实施主体还是实施效果来看,都具有相当大的优势,比如,由于是在企业内部设立专业审核的部门,其操作经费会大幅度降低,而且还能实现会计监管的实时性;最重要的是人员对于整个企业的生产经营状况了如指掌,大大提高了对会计账目审核的精确度和有效性。但在我国,内部审核机制也存在一些问题,例如,会计人员存在串通造假的现象,会计部门缺乏有力的监督管理;内部会计制度不够完善等等,严重影响了企业内部会计审核的质量,失去了应该有的效果。
2 如何在电算化方法的协助下有效开展企业内部会计审核工作
科技手段的引进是会计内部审核工作发展的一大飞跃,计算机的普遍使用,多样化的财务软件在为会计审核方面起到促进作用的同时,也会引发一系列的负面问题,譬如从业人员的技术水平达不到要求,会计数据存在泄漏和分工职责不明的问题等等,针对这几方面采取措施可以有效改进会计电算化所带来的问题。
2.1 注重会计审核电算化的归责性和安全性
会计电算化从很大程度上提高了数据控制的科学性和核算效率,这一点毋庸置疑,但在操作时,数据承担的泄漏风险也在同步增加,解决这一问题要从设备的安全性和工作人员的安全防范意识入手,在使用计算机和相关软件进行数据操作时,要加大设备保密性的检查力度,并对其设定保密程序,防止资料外泄;相关操作人员也要签订岗位安全性协议,遵守岗位规范。在数据分工操作时,明晰人员职责很重要,以防数据方式篡改和泄漏时无法追究责任;另外,要尽量将工作分成相互独立的若干部分,分配给不同人员完成,加强数据的安全性。
2.2 加强会计电算化人员的专业技术培训
现代会计操作设备要求工作人员具有较高的专业性和对于新知识的学习和接受能力,企业要加强对于新型的会计审核软件和程序的操作培训,相关从业人员也要积极配合,以保持企业内部会计审核队伍的先进性。
2.3 完善外部会计审核制度
建议相关部门尽快研究我国的信息系统审计制度,制定相关的法律、法规。对任何直接或间接影响财务报表或其他至关重要资料的数据或处理系统都要求审计,并可在重大信息化工程项目中试点,在总结经验教训的基础上,再逐步推广施行信息系统审计制度。在新的经济和技术环境下,注册会计师审计应考虑增加以下内容。
2.3.1 审计除了对现行企业财务报表所提供的信息进行审计外,审计还要对如分部信息、非财务信息、前瞻性信息、知识产权、创新金融工具等方面的内容进行审计。
2.3.2 更加注重对内部控制制度的研究。内部控制制度对保证会计信息的质量具有非常重要的意义。这一点同样也被我国新修订的《会计法》所重视。
2.3.3 对不确定信息的审计。由于现代财务报告中包括了如或有事项、衍生金融工具的确认、计量和信息披露和无形资产等有关内容,因此,审计就不能不对这些内容进行审计。
2.3.4 在审计报告中应增加分析性评价的意见。在审计报告中应增加分析性评价的意见,尤其是有助于评价企业收益质量的信息。
2.3.5 开展安全审计。安全审计是指审计人员对计算机网络环境及其有关活动所进行的系统审计,并进行评价的活动。现代审计必须积极开展安全审计,并将其作为审计的中心内容之一。
2.3.6 开展预测信息审计。因为现代财务报告中将大量增加有关企业未来的信息,其中包括大量的财务预测信息,而对这些预测信息必须要有相应的质量保证机制。在这方面,完全可以充分发挥注册会计师的作用。
2.3.7 开展对报表附注的审计。现在及未来,财务报表附注内容将会大大增加,因此,对这部分内容的审计也是不可避免的。应制定会计报表附注的会计和审计准则,完善法规制度,加强对会计报表附注的审计,只有这样才能使得审计的责任得以更好地完成。
2.3.8 从重视有形资产审计到重视无形资产的审计。因为在知识经济社会中,以知识、信息及人力资源为主的无形资产的信息在财务报告所披露的信息中的比重必将大大提高,这也就导致了审计的重点由重视存货等有形资产的审计向重视知识、人力资源等无形资产审计的转变。
3 结束语
科技的发展给企业的生产经营带来了极大的便利,同时也相伴有一定的风险,企业可以通过建立有效的防控机制来加以预防,更好的使之为企业服务,企业内部会计审核从目前来看是一种不错的财务监管机制,将科技手段与之相结合会带来意想不到的效果。所以,只有科学的开展企业内部会计电算化的应用,才能使企业具有更强的市场竞争力。
参考文献
[1]刘力云.审计风险与控制[M].北京:中国审计出版社,1999.
[2]朱荣恩.内部控制评价[M].北京:中国时代经济出版社,2002.
【关键词】电子政务;平台安全;建设中图分类号:TP39
文献标识码:A
文章编号:1006-0278(2015)02-112-02
一、基于安全的平台物理构架
数据安全的定义存在对立的两个层而:一是针对数据本身的安全,数据本身的安全可以通过使用独特的不为外人所知的密码算法对数据信息进行加密;二是数据防护层而的安全,它的主要方法是利用先进的储存方式对数据进行防护,目前常用的储存方式有磁盘阵列、数据备份、异地容灾等。通过对信息进行加密算法传输,并且采取先进的储存方式,一般来讲可以保证数据的安全。
在数据的处理过程中可能会出现因为电路故障引起的硬件障碍,服务中断、程序的错误进行,以及人为的错误操作,或者外部网络的黑客入侵、病毒感染等问题而导致数据丢失或者数据库受到破坏。同时不同的数据只有拥有权限的人员才能浏览,而有些不具备权限的人员进行浏览之后,可能会出现数据外泄的情况。
数据储存也应该具备安全性。一些数据库的运行是公开的,这方而的编程人员通过一些常规手段,都能够对数据库中的信息进行浏览或阅读,如果这些人中有人对数据进行了修改也是很正常的。而一旦这些信息落入了非法访问者手中,那么就会使内部信息外泄,给整个系统带来重大的威胁。
数据安全具备以下特点:
1.机密性(Confidentiality)。机密性,又称保密性,是指信息的获取需要一点的权限,不能被随意获得。在电脑程序中,网络浏览器和一些网站都有加密设置,这样的目的是为了保证用户信息的安全;2完整性(Integrity)。完整性是指数据在传送和储存的过程中,数据信息不被非法用户篡改或获取,它是信息安全的二个基本要点之一。完整性和保密性往往容易被混淆。以普通RSA对数值信息加密为例,非法用户如果没有获得授权,也能够通过保密文件的线性计算来对数值的信息进行更改。为保证信息的安全,通过散列函数和数字签名可以对文件进行保护;3可用性(Availability)。数据可用性是指数据的可读性,它的设计理念是以使用者为中心,它的重点是根据使用者的要求对产品进行相应的设计。
对信息安全的认识经历了的数据安全阶段(强调保密通信)、网络信息安全时代(强调网络环境)和信息保障时代(强调不能被动地保护,需要有保护
检测
反应
恢复四个环节)。
二、平台网络安全威胁
能够对数据的安全带来威胁的因素是五花八门的,而以下几而方而的威胁是最为普遍的:
(一)硬盘驱动器损坏
硬盘驱动器一旦损坏,通过这一驱动器运行的数据就会丢失。而设备运行过程中的损耗、运行环境的破坏和存储媒介的失效甚至是人为损害都会引起硬盘驱动器损坏。
(二)人为错误
人为操作错误的因素有可能造成系统运行参数的改变,误删除一些重要文件。
(三)黑客
黑客通过远程操作计算机可能对电脑进行一些不安全的更改,从而威胁计算机数据的安全。
(四)病毒
病毒是大家目前熟悉的一种安全威胁,病毒能够对计算机系统造成很大的破坏。这几年各种病毒的产生,是大家对于病毒的危害的理解越来越深刻,病毒的强感染性和强的传播性是其成为了威胁系统安全的主要元凶。
(五)信息窃取
信息的窃取是导致数据安全的又一大原因,因为复制、盗取等手段会对计算机的数据造成威胁。
(六)自然灾害
地震、火灾等无法预料的自然灾害会造成整个系统的覆灭,从而带来无法挽回的损失。
(七)电源故障
电力的不稳,例如突然的断电等故障会使硬盘设施中的数据丢失。
(八)磁干扰
磁性较强的东西会对计算机数据造成毁灭性的的伤害。
三、平台数据安全防护措施
电子数据安全审计是一个操作记录,主要记录的是用户在系统中进行的操作,这种做法的目的是为了在发现违规操作后,能够追查到责任人。
电子数据安全审计过程可分成二步来实现:第一步,整理用户对系统进行的操作,对操作过程进行记录;第二步,根据操作的记录分析是否存在违规行为;第三步,发现问题,采取处理措施。
电子数据安全审计工作同防火墙等手段的意义是一样的。用户在系统内的计算机上进行的所有行为包括上下机的时间,与系统内的敏感的信息。数据的接触都能够在日志文件中查找到,这一措施是为了对操作行为进行分析同时一旦发现了不安全因素便于查找并确定事故责任,这也为增强系统安全提供了预防作用。
(一)审计技术
电子数据安全审计技术可分二种:系统技术的了解,验证处理技术和处理结果的验证。
1了解系统技术。审计人员可以借助阅读相关的技术介绍和查阅程序表和控制流程来了解系统技术。
2.验证处理技术。系统指令能够正确的执行主要取决于这一技术。该技术由实际测试和性能测试两部分组成,实现方法主要有:
(1)事务选择。根据制定的审计标准的不同,审计人员可以选择不同的事务样板来进行认真的了解。样板的选择可以是随机的,也可以通过操作系统的事务管理部件自动引用。
(2)测试数据。测试数据是程序测试的扩展,系统自动生成了准备处理的事务。审计人员可以通过一些方法来预测结果的正确性,并将得出的结果与实际的结果相对比。使用这种方法的时候,审计人员必须通过系统来检验处理过的检测的数据。除了上述的方法,还可以使用事务标志、跟踪、综合测试等方法。
(3)并行仿真。审计人员主要借助某一应用程序来模拟操作系统的主要功能。将模拟出的数据和给出的实际的数据相比较。仿真的成本较高,可以通过高级语言使仿真模拟与实际的应用相接近。
(4)验证处理结果技术。在这一过程中,审计人员的工作重点不是对于数据的处理而是数据本身,这里有两个方而需要重点考虑:一是数据的选取。将审计数据收集技术结合到应用程序审计模块中,应用程序审计模块的功能是依据给定的标准来收集数据;建立全部的审计跟踪;借用于日志恢复的备份库;借助审计库的记录来抽取设施,它能够随机的选择属性值相似的文件进行记录,并将其放在工作文件中,为以后的分析提供便利;利用数据库管理系统的查询设施抽取用户数据。二是数据内容的寻找目标。一旦选定了数据,审计人员可以对控制信息进行检查;检查语义完整性约束;检查与无关源点的数据。
(二)审计范围
在整个应用系统中,审计是与其他系统独立的。审计主要涉及的范围是对操作系统和其他应用系统的审计。
对操作系统进行审计是为了检测和判定操作对系统的渗透程度并且对误操作进行识别。这一过程的基本功能为:选择审计对象;对审计的文件进行分类并且完成自动转换;对文件的系统完整性进行定时检测;对信息储存的格式和输出的媒介进行审计;报警阀值的设置与选择;对每日操作行为进行审计并对数据的安全性进行保护等。
应用程序审计子系统的主要功能是:针对被作为审计对象的应用程序的某些操作进行监控并且进行记录,对记录的记过进行分析,用以判断是否应用程序是否受到攻击并别修改,同时能够判断程序和数据的完整性;采用身份验证和口令验证等方法来保证应用程序的正常运行。
(三)审计跟踪
审计跟踪与日志恢复从本质上来讲是有区别的,但是经常可以结合在一起使用。它们的主要区别是审计跟踪能够进行记录,而日志恢复通常不对操作进行记录;但根据实际的需要,审计跟踪可以从日记恢复中得到所需要的审计信息。如果将告警功能与审计功能结合起来,那么就可以在违规的或者不合法的操作进行的当时向程序人员发出警告,以使他们能够以最快的速度做出反应,及时的采取解决的对策,使损失降到最低。审计记录所包含的内容主要有:操作进行的地点和时间;进行操作的用户;事件的类型;事件结果。
根据访问控制的类型,数据库对于审计跟踪的请求不加以限定。独立的审计跟踪保密性更强,审计人员可以对时间进行限定,但是成本比较高。
(四)审计的流程
20世纪60年代随着第二代晶体管机的出现和计算机的普及,特别是电算化之后,开始设立数据处理审计及安全办公室,出现了信息技术审计(IT审计)-EDP审计,当时称之为计算机审计,到70年代,利用计算机犯罪的案件开始出现,在上引起了强烈反响,人们开始认识到信息技术审计的必要性。进入80年代后,发达国家大力发展信息产业,加上计算机与通信相结合,使计算机的应用更加普及,同时也导致了利用计算机犯罪的比率升高,犯罪率的急剧上升引起了有关政府的极大重视,1984年日本政府公开发表了《IT审计标准》,在全日本的软件水平中增添了“IT审计师”一级的考试(在系统员考试之上的最高一级),培养从事信息技术审计的骨干队伍,信息技术审计逐步走向成熟。至20世纪90年代,信息系统向大型化、多样化及化发展,信息技术审计作为信息社会的安全对策进入普及时期。
二、信息系统审计(ISA)与信息技术审计(ITA)
信息系统审计(Information Systems Audit简称ISA)是指以某个业务应用系统为中心的审计,即对计算机信息系统的开发建设、运行环境、使用和维护、内部控制等情况进行监督、检查,并作出评价,提出意见和建议,它包括对新系统的开发审计和对现有系统的审计。而信息技术审计(Information Technology Audit简称ITA)则是侧重于对信息技术基础设施的审计,主要是对技术的安全性进行审计,重点在于网络安全和通讯安全。包括对防火墙的安全和公共密钥系统(PKI)的安全性的评价,以及对非法入侵进行检测等。在部分西方国家央行内部审计中,信息系统审计和信息技术审计有严格的区分,分别设置信息系统和信息技术审计机构,我国人民银行信息技术审计处于起步阶段,一般认为信息技术审计既包括对应用系统的审计,也包括对计算机基础设施的审计,二者是一个包含与被包含的关系,是可以通用的概念。
三、人民银行信息技术审计的发展方向
人民银行2000年开始提出信息技术审计的概念,在充分了美国、德国、英国、加拿大、荷兰、日本等国中央银行信息技术审计的基础上,2000年8月在贵阳首次召开了人民银行信息技术审计工作座谈会,以此次会议为标志,人民银行正式将信息系统安全纳入内部审计范畴,并相继开展了一系列信息系统专项审计。经过几年的探索,人民银行对信息技术审计有了明确的定位,信息技术审计逐步走向正规化、日常化。从这几年的实践来看,人民银行信息技术审计虽然引起了各级领导的高度重视,但受人员素质等各种因素的制约,信息技术审计层次较低,基本上侧重于规章制度的执行和基础设施的安全,离信息技术审计的定义相差较远,笔者认为人民银行信息技术审计应向以下几个方向发展:
1、在审计策略上向参与式审计发展。西方内部审计理念的核心是,内审人员不仅要善于发现,而且更要善于解决问题,并要将所提建议当作本部门的服务产品向管理当局积极推销,以大大提高审计的效果。而现代内部审计方式的精髓则是参与式审计,即在整个审计过程中与被审人员维持良好的关系,共同分析问题的实际情况及潜在,一起探讨改进的可行性和应采取的措施,从而加强内部控制、改善经营管理,防范和化解潜在的风险。
信息技术审计不仅仅是传统审计业务的简单扩展,它是在传统审计、信息系统管理理论、行为理论和计算机科学四个理论基础上形成的一门边缘性学科,完全依靠自身的力量完成所有审计工作是不现实的,也是不符合成本效益原则的。西方国家信息技术审计普遍采用的做法是从外部咨询机构聘请信息技术专家、安全专家以及各种具体应用系统的专家参与审计。
参与式审计主要体现在以下几个方面:(1)在审计开始时,就对被审部门抱着信任态度,与他们讨论审计目标、审计、计划采取某些审计程序和的理由,以取得他们的理解和支持;(2)征求被审部门的意见,寻求他们的合作;(3)及时与当事人讨论审计中发现的问题,共同分析改进的必要性,并探讨改进的可行措施;(4)向被审部门报告期中审计结果,其中审计报告可以是口头的,非正式的,以便及时就地解决和改正存在的问题,避免发生更大的损失;(5)提出最终审计报告时,采用建设性的语调,重点放在问题产生的原因和可能造成的影响、改进的可能性和改进措施上,被审部门已经采取的改进行动也可以包括在审计报告中,以反映他们对审计工作的积极态度。
参与式审计的基础是信任被审部门,而我国人民银行内审脱胎于原稽核部门,沿袭了传统审计的思路和模式,在审计中持着怀疑一切的态度,将自己放在了被审单位的对立面,这样既不便于内审工作的开展,也了审计的质量和效果。
2、在审计对象上向安全审计。随着机网络技术的飞速发展,在人总行司的统一部署下,人民银行系统计算机网络经过近10年的建设已初具规模,形成了以内联网为核心,纵向覆盖至县支行,横向与各机构、财政、税务及海关、外汇交易中心等单位相联的大型网络。在人民银行系统内同时存在内联网、外联网和国际互联网三套网络系统,计算机网络成为人民银行业务系统运行、信息传输的重要平台和纽带,其运行状况直接关系到资金安全和政务信息的安全。网络在加快信息传播、加大资源共享、提高办公效率的同时也成为了人民银行系统内最大的潜在风险点。
目前人民银行系统正在运行的计算机系统共有二十多个,涉及支付结算,金融服务以及办公自动化等各个方面,在这种情况下,处于起步阶段的信息技术审计以各个业务应用系统为中心有其合理性:一是审计人员对各业务系统缺乏了解,对各系统还需要一个熟悉的过程,以系统为中心的审计有助于审计人员全面系统地了解业务系统的情况;二是计算机专业人员的缺乏,使以安全性为中心目标的信息技术审计难以有效开展;三是目前对计算机业务应用系统的监督检查环节还很薄弱,对于保证控制的各项制度措施不能很好地贯彻执行,合规性审计在一定时期内将是信息技术审计的主要。但是随着信息技术审计工作的不断开展,审计人员经验的丰富和技术的提高,信息技术审计应该走出以系统为中心的审计,向以保证组织网络与信息的安全方向发展,充分发挥信息技术审计技术性、专业性特点。
3、在审计内容上向系统开发审计发展。信息系统之所以风险较高,是因为它不仅涉及数据的安全和保护,而且涉及计算机网络的一致性和适用性,涉及系统建立和开发过程中的巨额资金流出。应用系统的开发不仅在开发阶段要花费大量的人力、物力和财力,而且对已经完成了的应用系统进行修改也将花费大量的时间和资金,相对传统业务审计而言,对信息系统仅仅进行事后审计意义不大,所以,内审部门对系统开发应在项目计划阶段就要介入,对其开况进行全过程审计监督。
对系统开况进行审计关键是要求内审人员“一开始就介入”。通过提前介入,内审部门对项目的概算、项目的必要性、招投标情况、建设工期执行情况、系统的“可审计性”等进行监督,保证系统的合理投资、合理设计开发和有效运行,及早发现系统在风险控制、质量保证和成本效益等方面存在的问题,避免走弯路,防止出现浪费和损失。同时,通过提前介入,也将信息系统的开发、购买、重大修改、委托运营、转让和退出使用等管理工作置于内审的有效监督之下。
在西方各国,一般要求信息系统管理部门在进行系统开发、购买、转让、重大修改和退出使用时要通知内审部门,内审部门根据系统的重要性决定审计的方式,可以要求提供相关资料,也可以派人参与开发过程,对于大型系统一般成立由财务审计人员和信息技术审计人员共同组成的联合工作组进行新系统开发审计。目前人民银行正准备进行应用系统开发审计的尝试。
4、在审计重点上向风险导向型审计发展。信息技术审计不同于我们以往的业务审计,以往的业务审计往往以发现已经发生的损失,已经实施的舞弊和违规为目的,属于以损失为基础的审计;而信息技术审计则具有一定的事前性,其目的在于发现潜在的风险和可能发生的损失。这种目的上的变化要求信息技术审计不可能以损失为基础,而应该以风险为基础,因此,信息技术审计部门必须借鉴风险评估的,由对系统运行的合规性审计逐渐转变为风险导向型审计:根据系统风险评估结果,确定审计计划,根据对固有风险和控制风险的测算,确定审计重点、制定审计方案。这种以风险为基础的审计也是当前国际审计界通行的观念和做法,也是今后我国审计的发展方向。
关键字:信息技术 内部审计 风险评估
信息化拉近了人与人的距离,提高了工作效率,造就了方便的生活方式。计算机信息技术代在很多方面替代人进行工作,节约了生产成本,提高了工作效率,因而加快建设企业信息化的发展,引进信息化技术到企业内部审计工作中,可以有效的节约资源和缩减成本,提高办事效率。另一方面,计算机行业是高科技行业,具有较高的风险性,所以如何引进信息技术任然需要谨慎。
一、信息技术的安全性和公正性
(一)信息技术的安全性
要为企业设计一款软件为内部审计服务,必须要进行深思熟虑,首先要从其需求方面入手。企业需要怎样的功能,企业的规模需要哪种性能的软件(根据企业人数要求软件可以承受的用户并发数),这两项是最基本的硬性要求。然后就是软件的安全性,这里主要是指软件对企业信息的保密性,软件采用何种形式的编码方法,以何种协议传输信息,防火墙设计是否能够有效的抵御黑客进攻都关系到整个企业的信息资料安全。确定了可行的、可信的、可靠的软件才能进行投放。
(二)信息技术的公正性
较之人而言,计算机是没有“感情”的,从而也规避了“腐败”现象的发生。将审查后的数据输入电脑,计算机服务器终端会根据软件系统设计好的程序运行计算实际的数据,在软件质量良好的情况下可以保证所得到的报表、审计报告的真实性。这对公司企业的人员管理和评审也是非常公正的。
二、会计信息化及其对企业内部审计的意义
(一)信息化环境下企业内部审计对象的特点
(1)随着网络技术的快速发展,企业之间的电子商务平台将会得到很大的发展空间。为企业的发展和创新开拓广泛的新局面,其中最明显的变化就是企业的经营管理模式和信息披露的模式。经过发展和改变后,不少的企业可以将自己的产品以及交易信息和销售的合同公布在互联网上进行交易。这样的改变不仅不会让消费者的受到时间和空间的限制,同时还能够查阅资料对产品有进一步的了解,再决定是否购买。企业通过互联网的交易形式不仅能够达到提高效率的目的,同时还能够降低成本,扩大企业的利润空间。
(2)建立在网络环境基础下的会计信息系统被称之为网络会计。网络会计与传统会计的区别很大,主要是体现在以下两个的特点:一是网络会计的会计信息是无纸化和自动化,采用网络沟通的方式去实现交易,相比传统的会计信息系统更加的节约资源。二是会计信息披露更充分、更及时。
(二)会计信息化对会计内部审计的意义
随着互联网的快速发展,传统的审计方式将逐渐被网络在线实施的网络审计模式所取代。而这样的审计模式就能满足审计人员不用出门就可以完成审计工作的要求。
(1)网络审计技术更先进:审计人员不仅可以通过网络系统和审计的对象进行沟通、交换信息,并且可以直接在网上进行会计信息的查阅。由于网络技术的发展与应用,空间已经不会造成执行审计的制约因素,这样更方便审计人员开展工作。
(2)网络系统能够充分的发挥计算机的高速运转与审计软件的优势,同时间还能对网络的财务数据以及业务数据进行统计、处理,最后完成审计工作的报告。与传统的审计相比,网络审计在高效率完成工作的同时还能达到节约能源以及提高准确率的目的。
三、信息化环境下完善企业内部审计的对策及建议
(一)提高审计风险的防范能力
因为网络系统的运作,导致信息的载体由低介质转变成磁性介质。但由于磁性介质在受到高温和磁性物质的因素下容易受到影响,造成磁性介质的磁性消失。因此,档案的保存还有很大的风险。通过信息技术导致这种储存媒体的方式经常受到访问和滥用,造成了审计风险的增加。因此,必须建立一个有监管部门严格监控的网络财务信息进行强制性的存档制度,这样不仅可以避免网上的财务信息遭到披露,同时还能提高工作的效率、减低审计的风险。制定的风险防范制度其中主要包括了网络管理的规定、会计核算的软件运行管理等。
(二)加强对会计信息系统内部控制制度的审计
在会计信息系统中,内部的控制制度要求应该更为严格,否则制度一旦失控,将会给企业带来无法挽回的后果。因此,必须对内部控制的制度加强,内部的控制制度在加强后,能够促进企业建立一个完善的内部控制的制度体系,已达到保证会计资料真实性的目的。通过内部控制的制度审计,能够避免错误和重大违纪事项的发生,同时还能提高工作的质量以及效率。
四、结束语
随着网络技术的发展,导致信息化环境给企业内部的审计工作的内容和环境带来翻天覆地的变化,造成对内部审计的极大影响。通过加内部审计的风险防范制度,将会计信息化的内部审计与内部的控制制度以及安全审计向结合,将其作为中心内容,达到更加有效的、安全的性的在会计信息化的环境下开展审计工作的目的。
参考文献:
[1]马睿.信息化环境下企业内部审计思考[J].商场现代化,2007,(33):347-348
[2]单石奇.企业信息化环境下内部审计工作的思考[J].江汉石油职工大学学报,2008,21(1):47-49