网络安全性下的内部控制审计
摘要:以计算机网络为代表的信息技术的迅猛发展,标志着知识经济的到来,同时对传统审计模式带来巨大冲击。但是从Internet诞生起,信息和网络的安全就成为人们关注的一个焦点。因此,围绕网络安全性下的内部控制审计显出日益重要的地位和作用。
关键词:网络安全;内部控制审计;控制测试
从Internet诞生起,信息和网络的安全就成为人们关注的一个焦点。可以说在Internet发展的每一个阶段,安全问题都是一个基础性的、关键性的发展因素。随着计算机在人类生活各个领域中的广泛应用,计算机病毒也在不断产生和传播,计算机网络被不断非法入侵,重要情报资料被窃,甚至由此造成网络系统的瘫痪等,已给各个国家以及众多公司造成巨大的经济损失,甚至危害到国家及地区的安全。2000年2月,Ya-hoo!、eBay、CNN等国外著名的网站相继受到黑客的攻击,使得网络安全问题也日益凸显。作为全球使用范围最大的信息网,Internet自身协议的开放性极大地方便了各种计算机的连接,使得信息资源的共享变得十分容易,然而由于早期协议设计上对安全问题的忽视,诸如非授权访问、冒充合法用户、破坏数据完整、线路窃听、传播病毒等等使得基于Internet的电子商务常常变得十分脆弱。那么网络安全的目标是什么呢?主要是三个中心目标,即保密性,保护数据不受非授权操作的破坏;完整性,保证非授权操作不能修改数据;有效性,保证非授权操作不能获取系统被保护的信息或网络资源。作为网络审计的主要任务,就是对被审对象所处网络的安全性进行审计,对被审计单位计算机网络系统,抗病毒和非法侵入的能力,预防计算机舞弊与犯罪的能力,强化系统内部控制以及对可能带来的企业经营风险的评估等。同时,网络密封集中审计工作本身信息的互联网化,也要求保证通信过程中的严格的保密性与安全性。因此,为保证网络安全性的内部控制审计越来越被提到议事日程上来。
一、对计算机信息系统环境下的内部控制进行了解、审查及风险评估
(一)计算机环境下的内部控制调查1·获取客户计算机环境下的“验收申请材料”,如电子计算机会计核算审批记分表、会计电算化管理制度、系统操作人员内部分工一览表。
2·获取客户计算机环境下的“操作日志”,该文件可能是以手工登记,或计算机自动记录或打印输出,通过对操作日志的审阅,可以确定客户在日常业务处理流程中部分非常规现象
。
3·观察客户的计算机部门业务活动和内部控制的执行情况。
4·设计模拟数据进行穿行测试,以便弄清控制措施是否已经得到执行。设计的数据既要有代表性,又不能过于复杂,不然会造成系统紊乱,从而无法达到预期效果。
(二)对计算机环境下的控制风险的考虑如果客户的计算机系统非常重要,如主要的会计业务活动以计算机处理时,注册会计师还应考虑计算机系统特征对控制风险评价的影响包括:1·缺乏交易处理轨迹;
2·同类交易的处理流程具有一致性;
3·缺乏职责分工;
4·可能发生错误或违规行为;
5·交易授权、执行与手工处理存在差异;
6·其他内部控制依赖于计算机处理;
7·为加强管理监督提供了潜能;
8·为利用计算机辅助审计技术提供了潜能。从以上特征中,不难看出,风险的客观存在需要相应的内部控制。例如,缺乏交易处理轨迹可以通过操作日志进行日常记录,同时也可以安排特定的人员进行监督,对于某些错误的修正在操作日志上所表示的时间及模块可以给专业人员的监督提供依据;再如,传统手工环境下的内部控制是建立在不相容职能相分离及相应职责分工的基础上,采用计算机后,业务人员大大减少,给一人身兼多职带来了可能,但主管人员既可以运用软件本身提供的约束监督,也可以通过恰当的人员分工安排做到相互监督。因此针对这些出现的新特征,注册会计师既需要正确对待,又不能完全认为带来的新风险是不可降低的。在审计工作中,注册会计师应该设计出一整套研究、评价内部控制措施的实际情况。
(三)计算机环境下符合性测试程序的设计与执行注册会计师在制定和实施审计程序时,应当充分考虑计算机环境对审计程序的性质、时间和范围可能产生的影响,以便将审计风险降低至可接受的水平。在符合性测试阶段,应该设计专门的审计计程序可以利用传统的方法,也可考虑利用客户的计算机系统。从某种程度上来说,后者更具有深远意义。与审计相关的数据可能在计算机内仅存在一定时间或仅以机器可读形式存在,注册会计师应对审计时间及数据复制、留存等作出合理安排。注册会计师在设计符合性测试程序时,可以考虑以下几个方面:
1·商品化软件是否通过省级以上财政部门评审,若软件未通过评审,将意味着注册会计师将冒更大的审计风险。
2·客户的计算机系统取代手工处理会计业务是否通过市级以上财政部门验收,未经验收的计算机系统所取得的会计资料不能作为审计对象。
3·客户的财会人员是否取得省财政厅统一组织的“会计电算化知识培训合格证”,并专门从事会计电算化工作。
4·操作人员的权限是否实行分离,并做到不相容的职责分离。每个操作人员具有各自口令,并由系统主管控制。在计算机系统中,程序的设计、计算机的操作、数据的保管是三个基本不相容职务,必须加以分离;另外,记帐凭证的输入与审核也是不相容职务。5·客户的计算机系统是否单独为会计业务活动服务,若其他部门和人员也可以操作计算机从事其他工作,相应将增大审计风险。
6·输入记帐凭证是否具有金额自动平衡校验的功能。
7·发现已登记入账的记账凭证有错,是否采用凭证更正法(负数或补充)更正;月末结帐后,是否仍可以更正以前月份的错误,修改记账凭证错误后是否留有书面记录。
8·未经审核的记账凭证是否登记正式帐簿。
9·是否及时做好备份,备份后的磁盘是否单独存放,年度终了,结帐时是否必须由软件强制进行会计基础数据的备份工作。
10·是否利用软件自动完成会计报表格式和公式的定义及自动生成工作,会计报表自动生成公式是否经常变动。对于设计出的符合性测试程序,在实际执行时,首先要对客户的计算机系统做初步了解:是单用户版,还是网络版;是整体替代手工,还是单个版块;以及该财务软件的概况,还可以考虑使用客户的计算机系统丰富的查询功能来评价内部控制的执行效果。这些测试程序既可以是在对客户调查时的“副产品”,也可以是注册会计师事先计划安排的,或是注册会计师为支持进一步降低控制风险的初步评价水平进行的,或是为下一步的实质性测试服务。
二、网络安全审计控制测试测试是安全审计实施阶段的主要任务,一般应包括对数据通讯、硬件系统、软件系统、数据资源以及安全产品的测试。
(一)数据通讯的控制测试数据通讯控制的总目标是数据通道的安全与完整。具体说,能发现和纠正设备的失灵,避免数据丢失或失真,能防止和发现来自Internet及内部的非法存取操作。为了达到上述控制目标,审计人员应执行以下控制测试:
1·抽取一组会计数据进行传输,检查由于线路噪音所导致数据失真的可能性。
2·检查有关的数据通讯记录,证实所有的数据接收是有序及正确的。
3·通过假设系统外一个非授权的进入请求,测试通讯回叫技术的运行情况。
4·检查密匙管理和口令控制程序,确认口令文件是否加密、密匙存放地点是否安全。
5·发送测试信息加密过程,检查信息通道上在各不同点上信息的内容。
6·检查防火墙是否控制有效。防火墙的作用是在Internet与企业内部网之间建立一道屏障,其有效性主要包括灵活性以及过滤、分离、报警等方面的能力。
(二)硬件系统的控制测试硬件系统的控制测试的总目标是评价硬件的各项控制的适当性与有效性。测试的重点包括:实体安全、火灾报警防护系统、使用记录、后备电源、操作规程、灾害恢复计划等。审计人员应确定实物安全控制措施是否适当、在处理日常运作及部件失灵中操作员是否作出了适当的记录与定期分析、硬件的灾难恢复计划是否适当、是否制定了相关的操作规程、各硬件的资料归档是否完整。
(三)软件系统的控制测试软件系统包括系统软件和应用软件,其中最主要的是操作系统、数据库系统和会计软件系统。总体控制目标应达到防止来自硬件失灵、计算机黑客、病毒感染、具有特权职员的各种破坏行为,保障系统正常运行。
(四)数据资源的控制测试数据控制目标包括两方面:一是数据备份,为恢复被丢失、损坏或被干扰的数据,系统应有足够备份;二是个人应当经授权限制性的存取所需的数据,未经授权的个人不能存取数据库。审计测试应检查是否提供了双硬盘备份、动态备份、业务日志备份等功能,以及在日常工作中是否真正实施了这些根据系统的授权表,检查存取控制的有效性。
(五)系统安全产品的测试随着网络系统安全的日益重要,各种用于保障网络安全的软、硬件产品应运而生,如VPN、防火墙、身份认证产品、CA产品等。企业将在不断发展的安全产品市场上购买各种产品以保障系统的安全,安全审计机构应对这些产品是否有效地使用并发挥其应有的作用进行测试与评价。
参考文献:
〔1〕 金光华.网络审计〔M〕.立信会计出版社,2000,(8):67-75.
〔2〕 陈 杰,黄正瑞.网络环境下会计系统的安全审计〔J〕.审计研究,2000,(1).