24周年

財稅實務 高薪就業(yè) 學歷教育
APP下載
APP下載新用戶掃碼下載
立享專屬優(yōu)惠

安卓版本:8.7.50 蘋果版本:8.7.50

開發(fā)者:北京正保會計科技有限公司

應用涉及權限:查看權限>

APP隱私政策:查看政策>

HD版本上線:點擊下載>

電子審計軌跡分析

來源: 杭州檢驗檢疫局·孫瑋 編輯: 2005/07/25 09:08:22  字體:
  一、我國企業(yè)會計電算化和管理信息系統(tǒng)
  我國企業(yè)會計電算化和管理信息系統(tǒng)的發(fā)展與我國會計軟件的發(fā)展是基本同步的。從1979年我國在長春一汽開始進行會計電算化系統(tǒng)開發(fā)探索始,我國的會計軟件應用發(fā)展大致經歷了非商品化的開發(fā)過程、單一模型會計軟件階段、核算型會計軟件、管理型會計軟件、ERP會計軟件(戰(zhàn)略型會計軟件)這五個階段。從目前應用的廣泛性和前景看,后三種軟件較為人們所關注。
  電子審計軌跡分析
 ?。ㄒ唬┖怂阈蜁嬡浖?BR>  隨著電算化的普及,財務軟件也從帳務、工資等單項處理,過渡到深入全面的會計核算,如往來、存貨、成本等,形成了以核算為體系的會計軟件。目前國內主要會計軟件,都具有這些功能。但核算型會計軟件缺乏管理思想,很難與企業(yè)管理信息系統(tǒng)(MIS)融為一體。
 ?。ǘ┕芾硇蜁嬡浖?BR>  為適應經濟和提高企業(yè)自身管理水平,許多企業(yè)迫切需要會計軟件能具有資金管理、核算、項目管理核算、財務分析、輔助決策的功能,這就形成了管理型會計軟件,管理型會計軟件突破了會計軟件只局限于會計核算的界限,向全面參予管理決策發(fā)展。
  (三)ERP會計軟件(戰(zhàn)略型會計軟件)
  隨著我國企業(yè)從重視內部管理,以提高生產效率、降低成本為核心的生產管理時代,到面向市場的,以建立全面競爭優(yōu)勢為核心的新管理時代,會計軟件從管理型發(fā)展到戰(zhàn)略型、實現企業(yè)內部物流、資金流與信息流的一體化管理,實現管理與決策有機統(tǒng)一,并將適應在 Internet/Intranet/Extranet上,實現與外部資源的統(tǒng)一,會計軟件從離散的部門級應用走向整體的企業(yè)級應用。企業(yè)信息化建設的一個重要階段是建設企業(yè)核心的業(yè)務管理和應用系統(tǒng)階段。而在這個階段最有代表性的是企業(yè)內部的資源計劃系統(tǒng)ERP.ERP是一種科學管理思想的計算機實現,他對產品研發(fā)和設計、作業(yè)控制、生產計劃、投入品采購、市場營銷、銷售、庫存、財務和人事等方面以及相應的模塊組成部分,采取集成優(yōu)化的方式進行管理。 ERP不是機械的適應企業(yè)現有的流程,而是對企業(yè)流程中不合理的部分提出改進和優(yōu)化建議,并可能導致組織機構的重新設計和業(yè)務流程重組。
  從實際應用分析,我國企業(yè)電子化的水平不一,有的企業(yè)尚未電子化,有的還處于或者單一模型會計軟件階段或者核算型會計軟件階段。另外,同樣是在ERP 級的企業(yè),其應用水平也有較大差異,有的只是部分甚至單一模塊的應用,有的只是將其作為原有信息管理系統(tǒng)的補充,有的網絡管理相當薄弱。但是,企業(yè)電子化發(fā)展的趨勢是不可逆轉的,現在只要有企業(yè)要建設信息化系統(tǒng),他就會超越會計軟件發(fā)展的低級階段,而將瞄準其最新的研究成果上,也就是說,一旦企業(yè)進行電子化的再造,其涉及的領域將空前廣泛,不僅僅是會計電算化,而是產、供、銷、設備、倉儲、運輸、設計、質量乃至人教勞資等企業(yè)管理的各個領域。目前越來越多的企業(yè)在加緊企業(yè)管理信息系統(tǒng)的建設,這從我國財務及企業(yè)管理軟件開發(fā)供應商的規(guī)模上也可反映出來。我國財務及企業(yè)管理軟件開發(fā)供應商已涌現出了包括用友、金蝶、安易等一大批公司,據用友公司介紹,僅用友截止2000年年初,其地區(qū)分、子公司50余家,代理商500余家,客戶服務中心100余家,行業(yè)覆蓋率100%,用戶數約20萬家,除此之外,還有大量上規(guī)模的企業(yè)在自行開發(fā)應用。由此可見,企業(yè)電子審計的環(huán)境已逐步形成,且其電子化的色彩將伴隨著電子商務的產生和發(fā)展而變得越來越濃。
  二、現行電子審計軌跡分析
  審計軌跡,是指在經濟業(yè)務和會計制度核算中通過編碼、交叉索引和連接帳戶余額與原始交易數據的書面資料所提供的一連串的信息企業(yè)的會計系統(tǒng)應為每筆業(yè)務、每項經濟活動提供一個完整的審計軌跡。審計軌跡對企業(yè)管理當局和審計人員都很重要,企業(yè)管理當局可使用審計軌跡來答復客戶對有關資料的詢問或質疑,審計人員可使用審計軌跡來驗證和追查經濟活動。沒有審計軌跡,審計工作將難以開展。在電子環(huán)境下,那些原來審計人員常見的記帳憑證、明細帳表、科目匯總表、有個性的筆跡等有的已消失,有的發(fā)生了變化,變得更加隱藏、更加復雜,從而加大了審計工作的難度。當前,我國會計軟件的開發(fā)正處于從起步到形成產業(yè)的階段,由于考慮到會計處理系統(tǒng)的效率和研制成本等原因,軟件開發(fā)在設計開發(fā)中,對如何充分保留并提供審計軌跡卻未給予足夠重視。換句話說,更加詳細地描述審計軌跡的會計軟件的開發(fā)還需進一步努力補缺。因此,國家有關部門應盡快出臺有關制度、標準,使設計者有章可循,審計人員有標準可依。
 ?。ㄒ唬密浖?BR>  目前由國內企業(yè)開發(fā)的知名財務軟件產品包括金蝶、用友和安易、新中大等,其軟件產品也較豐富,一種較為流行的審計軌跡安排就是上機日志。各系統(tǒng)隨時對各個產品或模塊的每個操作員的上下機時間、操作的具體功能等情況都進行登記,形成上機日志,以便使所有的操作都有所記錄、有跡可尋。由于上機日志數量龐大,為了便于審計人員有重點地進行選擇,迅速發(fā)現問題,通常系統(tǒng)還會提供過濾功能,這樣,審計人員就可以選擇那些在符合性測試中發(fā)現的較薄弱的內部控制環(huán)節(jié)進行有重點的實質性測試,提高工作效率。另外,系統(tǒng)還提供了從報表到憑證和從憑證到報表的雙向查詢功能,從而建立了一條應用程序內的審計軌跡。
 ?。ǘ祿鞂?BR>  1、Microsoft SQL Server2000 Microsoft Sql Server是企業(yè)信息管理系統(tǒng)中應用較為廣泛的一種數據庫管理系統(tǒng),從版本上看,其產品主要有SYBASE SQL SERVER, Microsoft SQL SERVER4,Microsoft SQL SERVER6,Microsoft SQL SERVER6.5,Microsoft SQL SERVER7.0,Microsoft SQL SERVER2000.微軟公司最新推出的關系型數據庫管理系統(tǒng)Microsoft SQL SERVER2000是一個面向下一代的數據庫和數據分析系統(tǒng),具有很高的可靠性、可伸縮性、可用性、可管理性等特點。Microsoft SQL SERVER2000是一種典型的具有客戶機/服務器體系結構的關系型數據庫管理系統(tǒng),他使用TRANS-ACT-SQL語句在客戶機和服務器之間傳送請求和回應。Microsoft SQL SERVER2000帶有的常用工具包括SQL SERVER ENTERPRISE MANAGER、SQL SERVER OUERY ANALYZER、各類向導工具和SQLSERVER PROFILER.其中我們在創(chuàng)建審計軌跡中可以利用的工具是SQL SERVER PROFILER.設計者開發(fā)SQL SERVER PROFILER工具的目的是為了捕捉系統(tǒng)的活動,用于分析、診斷和審計系統(tǒng)的性能??梢岳闷涓櫴录墓δ?,通過適當的設置來安排我們的審計軌跡。為了使用這一工具,必須創(chuàng)建一個跟蹤定義,一旦定義了跟蹤,我們就可以啟動、停止、暫停和繼續(xù)運行跟蹤。當其運行時,SQL SERVER PROFILER監(jiān)測指定服務器上的SQL SERVER事件,并且為所選的事件捕捉滿足過濾條件的指定數據。當這種跟蹤數據被捕捉時可以交互顯示,并且將跟蹤結果存儲在指定的表或文件中。例如,我們可以在TRACE PROPERTIES窗口的GENERAL選項卡中指定跟蹤服務器的名稱(應當將其設置成財務軟件運行的數據庫服務器名),跟蹤文件保存的地點(應當是一個相對安全的地點),跟蹤失效的時間點等;在EVENTS選項卡中指定希望使用該跟蹤捕捉的事件(如將TSQL事件分類中的STMTCOMPLETED事件選入,則將對已經完成的TRANSACT-SQL語句進行捕捉):在DATA COLUMNS選項卡中設置需要捕捉的數據列(如將DATABASENAME,STARTTIME,ENDTIME,TEXT,LOGINNAME, OBJECTNAME等選入數據列,則將對語句正在其中運行的數據庫名、事件開始的時間、事件結束的時間、當前指定的對象名、用戶登錄系統(tǒng)的名稱、捕捉到跟蹤中的事件類的文本值等進行捕捉)。
  一旦設置完成,就可以運行跟蹤了。跟蹤可以是持續(xù)運行的,為了不影響系統(tǒng)的性能,我們應當及時將相應的跟蹤文件備份。當然,審計人員應當根據被審計方的實際情況作出運行跟蹤最佳時間的職業(yè)判斷以便提高系統(tǒng)的運行效率。
  SQL SERVER PROFIIER提供了由用戶定義跟蹤事件數據的功能,但這一功能是有限的。一個更可行更靈活的方案是利用Microsoft SQL SERVER2000提供的觸發(fā)器技術。
  2、ORACLE8 ORACLE8數據庫從其安全性考慮,設有多個安全層,并且可以對各層進行審計,利用ORACLE8自帶的這種審計功能,我們可以安排所需的財務審計軌跡。ORACLE8具有審計發(fā)生在其內部所有動作的能力,審計記錄可以寫入SYS.AUD$的審計蹤跡,可以被審計的三種不同的操作類型包括:注冊企圖、對象訪問和數據庫操作,利用其中的對對象的數據交換操作審計功能,就可以獲得相應的審計軌跡。
  首先我們使數據庫允許審計,必須在INIT.ORA文件中的AUDITTRAIL值設為DB(允許審計,并將審計結果寫入SYS.AUD$表),對于特定的表(如ACCOUNT表),我們所需要的審計軌跡主要是插入(INSERT、刪除(DELETE)和更新(UPDATE)操作,可以利用以下的語句來進行:AUDIT INSERT ON ACCOUNT BY ACCESS;AUDIT UPDAT E ON ACCOUNT BY ACCESS;AUDIT DELETE ON ACCOUNT BY ACCESS;上述語句指定了一個審計記錄在每次插入、刪除和更新ACCOUNT表時寫入,審計記錄結果可以通過對DBA-AUDIT-OBJECT視圖的查詢進行顯示。
  如果在SYS.AUD$上儲存信息,就必須先保護該表,否則用戶可通過非法操作來刪除審計蹤跡,由于SYS.AUD$是存在數據庫內的,可通過以下命令來保護該表:AUDIT ALL ON SYSAUD$ BY ACCESS;而且對該表的操作只能由具有CONNECT INTERNAL能力的用戶來刪除(例如,在DBA組中)。
  另外,ORACLE8的觸發(fā)器功能也是較強大的,如可以建立A和B兩個觸發(fā)器來對TABI表設置審計軌跡,并將軌跡記錄在TAB2、TAB3表中。
  CREAT TRIGGER A AFTER INSERT OR UPDATE OR DELETE ON TAB1 DECLARE STATEMENTTYPE CHAR(1);BEGIN IF INSERTING THEN STATEMENTTYPE:=‘I’;ELSIF UPDATING THEN STATEMENTTYPE:=‘U’;ELSE STATEMENTTYPE:“D‘;END IF;INSERT INTO TAB2 VALUES(SYSDATE,STATEMENTTYPE, USER);END A;CREAT TRIGGER B BEFORE INSERT OR UPDATE OR DELETE ON TAB1 FOR EACH ROW BEGIN INSERT INTO TAB3 VALUES(SYSDATE,USER,NEW.ID,: NEW.RECORDER,:OLD.ID,:OLD,RECORDER);END B;3、其他數據庫ACCESS、FOXPRO等數據庫可以通過設置密碼等方式來限制訪問,但直接利用數據庫本身來設置審計軌跡是很困難的。
  (三)操作系統(tǒng)層
  1、Windows2000操作系統(tǒng)Windows2000是微軟最近推出的操作系統(tǒng),其覆蓋的用戶面之廣是史無前例的:從家庭用戶、商業(yè)用戶、筆記本用戶、工作組服務器、部門服務器到提供企業(yè)計算和安全環(huán)境的高級服務器到可以提供全球聯(lián)機電子交易服務的數據中心服務器。盡管可以分為四個版本:PROFESSIONAL(專業(yè)版)、 SERVER(服務器版)、ADVANCED SERVER(高級服務器版)和DATACENTER SERVER(數據中心服務器版),然而內核和界面是一樣的,區(qū)別僅在于支持的CPU數量和某些高級功能和服務。作為單用戶多任務的內置網絡功能操作系統(tǒng),Windows2000擁有一個健全的用戶帳戶和工作環(huán)境,利用其固有的安全機制,可以安排我們的審計軌跡。
  Windows2000使用“本地安全設置”更精確地管理工作組中的用戶和資源,它將安全策略地分成兩類:帳戶策略和本地策略。其中,本地策略包括審核策略、用戶權利指派和安全選項,其中的審核策略就是用來指定要記錄的事件類型,這些類型涉及從系統(tǒng)范圍的事件(例如用戶登錄)到指定事件(例如某用戶試圖讀取某個特定文件),這些事件包括成功事件、不成功事件或兼而有之。審核記錄寫入計算機的安全日志,通過“事件查看器”我們可以獲得部分審計軌跡。
  為了控制各種審計軌跡文件的數量,同時為了保護重要文件(包括審計蹤跡文件)不被非法刪除、修改,Windows2000新的“加密文件系統(tǒng)” (EFS提供了一種核心文件加密技術,該技術用于在NTFS文件系統(tǒng)卷上存儲已加密文件。對已加密的文件的用戶,加密是透明的。但是,試圖訪問已加密文件的入侵者將被禁止這些操作。具體操作時既可以通過為文件設置加密屬性,也可以用命令行功能CIPHER加密文件。當然,利用Windows2000的文件和文件夾權限設置功能,也可以控制各種審計軌跡文件的數量。
  2、UNIX操作系統(tǒng)從安全性來講,普遍的觀點是UNIX操作系統(tǒng)的安全性能高于Windows操作系統(tǒng),正因為如此,UNIX操作系統(tǒng)也為我們提供了獲取更多,更精確的審計軌跡的可能性。UNIX能自動生成很多日志文件,這些日志文件可以形成我們的審計軌跡。
  UNIX的日志分為三類:
 ?。?)連接時間日志-由多個程序執(zhí)行,把紀錄寫入到/var/log/wtmp和/var/run/Utmp,login等程序更新wtmp和utmp文件,使我們能夠跟蹤誰在何時登錄到系統(tǒng)。
 ?。?)進程統(tǒng)計-由系統(tǒng)內核執(zhí)行。當一個進程終止時,為每個進程往進程統(tǒng)計文件(pacct或acct)中寫一個紀錄,進程統(tǒng)計的目的是為系統(tǒng)中的基本服務提供命令使用統(tǒng)計。
 ?。?)錯誤日志-由syslogd執(zhí)行。各種系統(tǒng)守護進程、用戶程序和內核通過syslog向文件/var/log/messages報告值得注意的事件。另外有許多UNIX程序創(chuàng)建日志,像HTTP和FTP這樣提供網絡服務的服務器也保持詳細的日志。
  這三類日志中,連接時間日志是我們從中發(fā)現審計軌跡的最重要的一類,其中的utmp、wtmp和lastlog日志文件是多數重用UNIX日志子系統(tǒng)的關鍵-保持用戶登錄進入和退出的紀錄。有關當前登錄用戶的信息記錄在文件utmp中:登錄進入和退出紀錄在文件wtmp中:最后一次登錄文件可以用 lastlog命令察看。數據交換、關機和重起也記錄在wtmp文件中,所有的紀錄都包含時間戳。
  另外,一旦啟動進程統(tǒng)計子系統(tǒng),UNIX可以跟蹤每個用戶運行的每條命令,從中也可以建立我們的審計軌跡。
 ?。ㄋ模┚W絡環(huán)境(網絡安全)
  電子數據是通過計算機網絡進行傳輸的,傳輸的數據是否準確和安全,涉及計算機網絡技術的可靠性和網絡系統(tǒng)的安全管理問題。計算機網絡技術已經基本成熟,但網絡上的數據傳遞的安全仍然是一個重要的問題,需要審計人員關注的是系統(tǒng)數據的安全評價問題。
  對等網絡雖然具有廉價、易于建立、運行和維護等優(yōu)點,但對于企業(yè)級的聯(lián)網選擇來說,這絕對不是一個最佳選擇,由于網絡中每臺計算機地位均等,要對整個網絡進行管理就缺乏手段,同樣要設置有效的審計軌跡就較為困難了。
  對企業(yè)來說,客戶機一服務器網絡是一種較好的選擇,通過服務器上的網絡管理軟件或應用軟件,是可以設置審計軌跡的。另外,利用網絡的其他外部設備,如路由器,也可以安排相應的審計軌跡。
  三、電子審計軌跡標準的設想
 ?。ㄒ唬密浖?BR>  首先,應設置相應的安全訪問控制,記錄各種訪問,尤其是數據更改、刪除和新增的記錄必須保留。其次,從報表審計角度,必須提供從憑證到報表數據和從報表數據到憑證以及憑證與憑證之間的查詢工具。最后,各種電子憑證必須具備防抵賴、防偽造和可追溯性,如可采用可靠的電子簽名來代替原有的手簽。
  (二)數據庫層、操作系統(tǒng)層和網絡環(huán)境
  在這些層面,主要是考慮安全訪問控制,必須嚴禁各種非法的未經授權的數據訪問,必須記錄數據更改、刪除和新增的操作,同時應能自動保護記錄審計軌跡的文件。
  (三)保護審計軌跡
  1、從硬件上保護審計軌跡一旦系統(tǒng)投入運行,如出于某種原因需要對某些設備更換、更改布局、更改設置或升級,必須將其對審計軌跡的影響納入產品選擇或更改的考核范圍。
  2、從軟件上保護審計軌跡必須進行系統(tǒng)開發(fā)審計,系統(tǒng)開發(fā)審計是對被審單位的會計電算化系統(tǒng)的開發(fā)、修改及日常維護過程的審計。對系統(tǒng)開發(fā)進行審計的主要目的是確保開發(fā)經過授權,開發(fā)過程遵循正確的標準,修改部分在使用前經過充分的測試和記錄。系統(tǒng)開發(fā)審計的內容:系統(tǒng)開發(fā)審計包括應用程序開發(fā)審計、程序修改審計和系統(tǒng)維護及記錄審計。其中,應將審計軌跡的保護作為審計的一項重要內容。
  3、從網絡應用上保護審計軌跡應加強網絡安全管理,保護審計軌跡。安全管理是網絡管理中極其重要的內容,它涉及法規(guī)、人事、設備、技術、環(huán)境等諸多因素,是一項難度很大的工作;單就技術性方面的管理而言,依據OSI安全體系結構,可分為:系統(tǒng)安全管理、安全服務管理和特定的安全機制管理。其中,后兩類管理分別是針對涉及某種特定、具體的安全服務與安全機制的管理;而系統(tǒng)安全管理則又包括總體安全策略的管理(維護與修改)、事件處理管理、安全審計管理、安全恢復管理以及與其他兩類安全管理的交互和協(xié)調。
  (四)內部控制制度
  1、職責分離除傳統(tǒng)的業(yè)務執(zhí)行、記錄、批準職能分離外,程序設計、系統(tǒng)維護、業(yè)務操作和內部審計各類職責也應分離。
  2、內部審計除傳統(tǒng)審計業(yè)務外,還應設置系統(tǒng)安全審計、系統(tǒng)開發(fā)審計等崗位。
  3、制定各種規(guī)章制度包括數據接觸制度、數據儲存、備份與更改制度、程序設計與更改制度、系統(tǒng)管理與維護制度和各種內部審計制度。
  展望未來,隨著計算機技術在各個領域的廣泛應用,應該說電子審計是大勢所趨,電子審計軌跡是我們必須面對的一大課題。建立、保護、再現審計軌跡是我們每一個審計工作者的職責,而消除、破壞、隱藏審計軌跡又是每一個企圖提供虛假信息者必須考慮的手段,這一對矛盾的發(fā)展,必將推動對電子審計軌跡的研究。眾所周知,可以用日新月異來描繪計算機技術的發(fā)展,因此,對電子審計軌跡的研究也將是一項不斷發(fā)展的工作,有待于我們持續(xù)地研究。

實務學習指南

回到頂部
折疊
網站地圖

Copyright © 2000 - m.galtzs.cn All Rights Reserved. 北京正保會計科技有限公司 版權所有

京B2-20200959 京ICP備20012371號-7 出版物經營許可證 京公網安備 11010802044457號