24周年

財(cái)稅實(shí)務(wù) 高薪就業(yè) 學(xué)歷教育
APP下載
APP下載新用戶掃碼下載
立享專屬優(yōu)惠

安卓版本:8.7.50 蘋(píng)果版本:8.7.50

開(kāi)發(fā)者:北京正保會(huì)計(jì)科技有限公司

應(yīng)用涉及權(quán)限:查看權(quán)限>

APP隱私政策:查看政策>

HD版本上線:點(diǎn)擊下載>

信息系統(tǒng)審計(jì)在國(guó)內(nèi)外銀行業(yè)的應(yīng)用

來(lái)源: 王東紅 編輯: 2005/08/16 10:00:04  字體:

  簡(jiǎn)介: 審計(jì)是經(jīng)濟(jì)發(fā)展到一定階段的產(chǎn)物,隨著經(jīng)濟(jì)的發(fā)展,審計(jì)的外延和內(nèi)涵不斷發(fā)展,審計(jì)的內(nèi)容也已經(jīng)由原來(lái)的財(cái)務(wù)報(bào)表審計(jì)、經(jīng)營(yíng)審計(jì)、管理審計(jì)進(jìn)一步擴(kuò)大到整個(gè)信息系統(tǒng),對(duì)信息系統(tǒng)進(jìn)行審計(jì)及以計(jì)算機(jī)作為技術(shù)手段進(jìn)行審計(jì),便是其中的兩種重要形式,經(jīng)過(guò)幾年的發(fā)展,已經(jīng)形成了一套規(guī)范而行之有效的審計(jì)方法。

  企業(yè)事業(yè)單位對(duì)財(cái)務(wù)管理、經(jīng)營(yíng)管理、行政管理都在走向信息化、網(wǎng)絡(luò)化。財(cái)政、金融、稅務(wù)、海關(guān)等領(lǐng)域信息化進(jìn)程迅速推進(jìn),政府部門、國(guó)有企業(yè)等被審計(jì)單位的會(huì)計(jì)核算、財(cái)務(wù)管理、經(jīng)營(yíng)管理電子化日益普及,銀行業(yè)監(jiān)管部門面臨的挑戰(zhàn)是:在審計(jì)資源保持相當(dāng)穩(wěn)定的情況下,按照傳統(tǒng)審計(jì)工作的高質(zhì)量標(biāo)準(zhǔn),去審查信息系統(tǒng)生成的需要分析的大量數(shù)據(jù),幾乎不可能。

  審計(jì)是經(jīng)濟(jì)發(fā)展到一定階段的產(chǎn)物,隨著經(jīng)濟(jì)的發(fā)展,審計(jì)的外延和內(nèi)涵不斷發(fā)展,審計(jì)的內(nèi)容也已經(jīng)由原來(lái)的財(cái)務(wù)報(bào)表審計(jì)、經(jīng)營(yíng)審計(jì)、管理審計(jì)進(jìn)一步擴(kuò)大到整個(gè)信息系統(tǒng),對(duì)信息系統(tǒng)進(jìn)行審計(jì)及以計(jì)算機(jī)作為技術(shù)手段進(jìn)行審計(jì),便是其中的兩種重要形式,經(jīng)過(guò)幾年的發(fā)展,已經(jīng)形成了一套規(guī)范而行之有效的審計(jì)方法。本文主要介紹利用計(jì)算機(jī)進(jìn)行審計(jì)檢查監(jiān)督的做法。

  一、利用計(jì)算機(jī)工具檢查信息系統(tǒng)安全

  1、檢查計(jì)算機(jī)通用控制

  在檢查計(jì)算機(jī)通用控制時(shí),如檢查系統(tǒng)平臺(tái)的訪問(wèn)控制,若用手工檢查,需要審計(jì)人員到現(xiàn)場(chǎng)進(jìn)入操作系統(tǒng),輸入有關(guān)命令才可以得到操作系統(tǒng)訪問(wèn)控制的具體設(shè)置。這種手段存在以下缺點(diǎn):

 ?。?)對(duì)計(jì)算機(jī)審計(jì)人員技術(shù)要求較高,需要了解讀取不同操作系統(tǒng)安全設(shè)置的命令及參數(shù),而且審計(jì)必須不斷跟進(jìn)系統(tǒng)版本變化

 ?。?)檢查結(jié)果不易輸出,如對(duì)Windows NT的檢查,只能利用屏幕拷貝方式

 ?。?)檢查結(jié)果不易分析,由于檢查結(jié)果可能包含大量信息,審計(jì)人員從中找出所關(guān)注的問(wèn)題需要花較大工作量

  因此,專業(yè)計(jì)算機(jī)公司針對(duì)不同操作系統(tǒng)平臺(tái)開(kāi)發(fā)了專門的審計(jì)工具,這些工具一般包括以下功能:

 ?。?)設(shè)定參照性安全標(biāo)準(zhǔn),既可以使用行業(yè)的一般標(biāo)準(zhǔn),也可以根據(jù)審計(jì)機(jī)構(gòu)的安全政策自行設(shè)計(jì)

  (2)對(duì)有關(guān)平臺(tái)或網(wǎng)絡(luò)的安全控制進(jìn)行全面掃描檢查,詳細(xì)分析各種安全設(shè)置

 ?。?)參照安全標(biāo)準(zhǔn)進(jìn)行分析評(píng)估,既可以得出量化的評(píng)分結(jié)果,也可以輸出各種格式的詳細(xì)報(bào)告。

  在信息系統(tǒng)審計(jì)中,國(guó)外常用的安全審計(jì)軟件有:

  (1)Security Analyst. KANE公司產(chǎn)品,用于對(duì)WindowsNT/2000平臺(tái)的檢查

  (2)Rapport Audit Master. 由Rapport Software公司開(kāi)發(fā),用于檢查AS/400平臺(tái)安全。

 ?。?)主機(jī)平臺(tái)。由于主機(jī)平臺(tái)產(chǎn)品較昂貴,一般較少采用專門審計(jì)工具,而是利用安裝在主機(jī)內(nèi)的安全訪問(wèn)控制軟件,如: MVS環(huán)境的RACF軟件,CA Top-Secret軟件,其主要功能是計(jì)算機(jī)安全員用于設(shè)置安全控制,也能提供較好的接口和輸出工具供審計(jì)人員讀取安全設(shè)置。

  (4)網(wǎng)絡(luò)安全檢查工具。包括ISS、CyberCop、Axent等網(wǎng)絡(luò)安全掃描工具,除掃描網(wǎng)絡(luò)漏洞外,還可進(jìn)行仿真入侵測(cè)試。

  使用專用工具的好處:

 ?。?)審計(jì)人員不必詳細(xì)記憶不同平臺(tái)的操作命令,減輕工作量,提高工作效率

 ?。?)系統(tǒng)更新?lián)Q代或業(yè)界發(fā)現(xiàn)有新的安全問(wèn)題時(shí),只須升級(jí)有關(guān)審計(jì)工具即可

  (3)輸出結(jié)果直觀、可靠

  (4)使用業(yè)界普遍采用的工具,也有助于提高審計(jì)結(jié)果的可接受程度及公信力。

  另一方面,部分審計(jì)機(jī)構(gòu)亦會(huì)自行開(kāi)發(fā)一些審計(jì)工具,如編寫(xiě)UNIX Script,或利用Foxpro等編寫(xiě)統(tǒng)計(jì)分析程序,亦有助于提高審計(jì)效率。

  在實(shí)際應(yīng)用時(shí),根據(jù)環(huán)境需要通常會(huì)使用多種工具的混合。如在對(duì)網(wǎng)上銀行系統(tǒng)進(jìn)行安全評(píng)估時(shí),采用了Sever平臺(tái)的UNIX檢查工具和NT檢查工具,以及網(wǎng)絡(luò)平臺(tái)的ISS Internet Scanner,并使用ISS工具對(duì)網(wǎng)絡(luò)進(jìn)行了penetration test(入侵測(cè)試)。有的機(jī)構(gòu)甚至?xí)褂肐SS配合CyberCop分別掃描網(wǎng)絡(luò),利用不同產(chǎn)品的優(yōu)點(diǎn),進(jìn)一步提高掃描結(jié)果的可靠性。

  2、檢查應(yīng)用系統(tǒng)

  這里對(duì)應(yīng)用系統(tǒng)的檢查定義為: 對(duì)應(yīng)用系統(tǒng)處理過(guò)程及系統(tǒng)內(nèi)存儲(chǔ)的業(yè)務(wù)數(shù)據(jù)的完整性和準(zhǔn)確性進(jìn)行檢查。對(duì)銀行系統(tǒng)而言,具體檢查的內(nèi)容包括網(wǎng)上銀行、銀行卡系統(tǒng)、利息及費(fèi)用核算、過(guò)賬、報(bào)表輸出等計(jì)算機(jī)處理過(guò)程中的關(guān)鍵環(huán)節(jié)。如匯豐銀行,其稽核部門在這方面的計(jì)算機(jī)應(yīng)用包括:

 ?。?)直接在主機(jī)系統(tǒng)編寫(xiě)檢查程序

  在通用審計(jì)軟件尚未普及時(shí),由信息系統(tǒng)審計(jì)人員在主機(jī)環(huán)境(測(cè)試平臺(tái))上直接開(kāi)發(fā)專用審計(jì)程序,用于核對(duì)利息、數(shù)據(jù)比較、抽樣證賬等工作。

 ?。?)利用PC工具編寫(xiě)檢查程序

  由于在主機(jī)開(kāi)發(fā)程序周期長(zhǎng)、耗費(fèi)較多人力資源,以及主機(jī)開(kāi)發(fā)語(yǔ)言較難掌握、用戶操作接口不夠友好等問(wèn)題,審計(jì)部門已趨向?qū)⒅饕_(kāi)發(fā)工具轉(zhuǎn)為PC,并通常會(huì)借助一些較為通用及易編程的工具,如Foxpro及ACL等。

  二、利用計(jì)算機(jī)技術(shù)輔助業(yè)務(wù)審計(jì)

  隨著計(jì)算機(jī)應(yīng)用的普及和審計(jì)素質(zhì)的提高,以及一些方便易用的軟件工具的出現(xiàn),審計(jì)機(jī)構(gòu)利用計(jì)算機(jī)輔助業(yè)務(wù)審計(jì)日趨普遍,并從傳統(tǒng)上的抽樣統(tǒng)計(jì)、核對(duì)查錯(cuò)發(fā)展到輔助效率審計(jì)。

  1、常用計(jì)算機(jī)輔助審計(jì)軟件工具

  審計(jì)軟件分為數(shù)據(jù)抽取軟件、數(shù)據(jù)分析軟件、網(wǎng)絡(luò)安全評(píng)估軟件及自我評(píng)估控制軟件等九類。

  ACL軟件作為業(yè)界比較著名的審計(jì)軟件,會(huì)計(jì)師在進(jìn)行審計(jì)時(shí),普遍使用ACL抽取數(shù)據(jù)進(jìn)行數(shù)據(jù)核對(duì)、統(tǒng)計(jì)抽樣等。

  SQL是通用的標(biāo)準(zhǔn)查詢語(yǔ)言,無(wú)論是主機(jī)的DB2還是服務(wù)器級(jí)的Sybase、Oracle,或是PC上的Forpro、Win Access,以及ACL軟件,均支持這一行業(yè)標(biāo)準(zhǔn)(即采用基本一致的編程語(yǔ)法結(jié)構(gòu))。由于其具有易學(xué)習(xí)、使用靈活、運(yùn)行效率高的特點(diǎn),以及掌握其語(yǔ)法后可很快適應(yīng)上述不同數(shù)據(jù)庫(kù)產(chǎn)品環(huán)境,因此,計(jì)算機(jī)審計(jì)人員應(yīng)普遍掌握及使用SQL編寫(xiě)審計(jì)程序。

  2、實(shí)際應(yīng)用

  現(xiàn)場(chǎng)審計(jì)

  很難詳盡描述計(jì)算機(jī)在業(yè)務(wù)審計(jì)中的應(yīng)用范圍,從了解到的有關(guān)機(jī)構(gòu)情況看,可以這么說(shuō),凡是審計(jì)過(guò)程中需要對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、分析、比較的,都可以用到計(jì)算機(jī)工具,而應(yīng)用程度及應(yīng)用效果則依賴于審計(jì)人員對(duì)其掌握及靈活使用的程度。一些外資銀行普遍要求以下做法: 由獨(dú)立審計(jì)機(jī)構(gòu)不定期從銀行所有客戶中抽選出部分,向他們發(fā)出證帳信,請(qǐng)客戶確認(rèn)信中附寄的銀行賬務(wù)資料是否正確。這項(xiàng)工作可充分發(fā)揮ACL這類通用審計(jì)軟件的作用:

  可抽取不同格式的計(jì)算機(jī)系統(tǒng)數(shù)據(jù)

  可選用多種抽樣方法

  根據(jù)抽樣結(jié)果靈活調(diào)整抽樣參數(shù)

  降低審計(jì)風(fēng)險(xiǎn)水平

  時(shí)間和成本的節(jié)約

  非現(xiàn)場(chǎng)審計(jì)

  非現(xiàn)場(chǎng)審計(jì)的概念在不同機(jī)構(gòu)中可能命名不同,總的來(lái)說(shuō)是強(qiáng)調(diào)利用計(jì)算機(jī)手段,‘足不出戶’,利用計(jì)算機(jī)終端遠(yuǎn)距離抽取系統(tǒng)數(shù)據(jù)進(jìn)行分析。大銀行會(huì)在計(jì)算機(jī)中心主機(jī)系統(tǒng)內(nèi)建立數(shù)據(jù)專區(qū)INC(Information Center),各操作系統(tǒng)每日批處理后將業(yè)務(wù)數(shù)據(jù)傳送到INC中;另一邊,在審計(jì)部門建立主機(jī)系統(tǒng)終端,審計(jì)人員可以通過(guò)終端,編寫(xiě)SQL程序,從上述數(shù)據(jù)庫(kù)中抽取自己需要的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析。這種方式有以下好處:

  減省審計(jì)人員外出的人力、物力及時(shí)間成本,特別適用于分行地域跨度大的機(jī)構(gòu)

  能迅速取得最新的業(yè)務(wù)數(shù)據(jù)

  數(shù)據(jù)未經(jīng)加工,來(lái)源可靠

  審計(jì)過(guò)程更具針對(duì)性和持續(xù)性

  能取得大量的、來(lái)自不同系統(tǒng)的數(shù)據(jù),便于審計(jì)人員從整體的、宏觀的角度進(jìn)行分析,有助于開(kāi)展效益和管理審計(jì)

  三、發(fā)展趨勢(shì)

  1、 計(jì)算機(jī)審計(jì)與業(yè)務(wù)審計(jì)的界線日趨模糊

  隨著銀行業(yè)務(wù)計(jì)算機(jī)化比重日趨加大,目前大企業(yè)的計(jì)算機(jī)應(yīng)用已不僅僅是過(guò)去的仿真手工階段,覆蓋范圍也不再局限于零售、結(jié)算等操作層次,而是提升到整個(gè)企業(yè)業(yè)務(wù)流程的各個(gè)方面,如ERP(企業(yè)資源計(jì)劃)、HRM(人力資源管理)、CRM(銀行信貸風(fēng)險(xiǎn)管理)。審計(jì)人員如果再不能利用計(jì)算機(jī)工具,繼續(xù)將審計(jì)局限于操作層面的檢查,將不能適應(yīng)發(fā)展的要求。相反,計(jì)算機(jī)審計(jì)人員也不但要檢查計(jì)算機(jī)本身的安全,也需要了解銀行業(yè)務(wù),以便為審計(jì)工作計(jì)算機(jī)化提供更好支持。在領(lǐng)先的國(guó)際化大銀行,這一趨勢(shì)已十分明顯,如匯豐銀行,審計(jì)人員共70多人,其中計(jì)算機(jī)審計(jì)人員已占到約一半,其中有10人專責(zé)計(jì)算機(jī)審計(jì)軟件的開(kāi)發(fā)工作。

  2、 用計(jì)算機(jī)手段向效益和管理審計(jì)發(fā)展

  商業(yè)機(jī)構(gòu)追求最大化利潤(rùn)的目標(biāo),不僅要求審計(jì)部門對(duì)安全經(jīng)營(yíng)情況進(jìn)行監(jiān)督(當(dāng)哨兵或警察),還要能提供提高經(jīng)營(yíng)效益和管理方面的意見(jiàn)(當(dāng)顧問(wèn)),提供增值服務(wù)。計(jì)算機(jī)技術(shù)的發(fā)展為審計(jì)人員達(dá)到這一目標(biāo)提供了現(xiàn)實(shí)可能。例如,現(xiàn)在不少大型企業(yè)已致力發(fā)展DW(數(shù)據(jù)倉(cāng)庫(kù)),其提供的多維數(shù)據(jù),不僅在數(shù)據(jù)量上超出一般數(shù)據(jù)庫(kù)的概念,更重要的是提供了更大時(shí)間跨度、更多系統(tǒng)聯(lián)系、更多企業(yè)外部的市場(chǎng)數(shù)據(jù),并融入專家系統(tǒng)等人工智能概念,提供更多更靈活的處理和輸出工具,審計(jì)人員將可以利用這些工具更好地發(fā)揮其“顧問(wèn)”角色。

回到頂部
折疊
網(wǎng)站地圖

Copyright © 2000 - m.galtzs.cn All Rights Reserved. 北京正保會(huì)計(jì)科技有限公司 版權(quán)所有

京B2-20200959 京ICP備20012371號(hào)-7 出版物經(jīng)營(yíng)許可證 京公網(wǎng)安備 11010802044457號(hào)