关注计算机网络系统安全防范审计风险——计算机系统审计案例,本文主要内容关键词为:计算机网络论文,计算机系统论文,安全防范论文,案例论文,风险论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
审计的发展在相当程度上得益于技术的进步,计算机技术的发展和普及,也使得计算机系统审计这一课题日益引起人们的关注。这些年我们在计算机技术应用于审计方面做了大量的工作,取得了许多宝贵的经验。与此同时,针对计算机技术本身的审计课题也在不断地探索和实践,在许许多多的审计实践项目中,初级阶段的计算机系统审计往往成为内控符合性测试或者审计数据采集程序中的一个环节、一个步骤,更多地以辅助性角色出现,帮助审计人员评价项目的总体风险或者作为实现计算机辅助审计的工具。
本文中所讨论的计算机审计案例,是某审计项目中应用AO计算机辅助审计程序中的一个衍生产品,它不但使AO辅助审计顺利实现了数据采集、数据转换、数据分析工作,而且在验证被审计单位计算机网络系统的安全性方面也进行了一些有益的探索和尝试,现将有关审计情况介绍如下:
一、发现审计线索
该案例产生的灵感来自于AO数据采集过程中发现的可疑线索:1、计算机室的2名工作人员不是该单位的正式员工而是某公司的雇员;2、审计数据采集方案的操作人员不是计算机室的2名员工,而是另找了一个职员进入计算机室主机房操作;3、由于财务核算系统服务器运行速度比较慢,该执行人员在主机房内另一台非财务核算系统的计算机上执行了有关工作程序;4、从非财务核算系统的计算机上登录财务核算系统服务器数据库的时候,执行人员使用默认的账户并且没有输入密码便成功进入了财务数据库并进行了相关操作。
由此,我们感觉该单位的计算机网络系统可能存在安全隐患。为了合理评估该安全隐患的严重性和对审计工作质量的影响程度,我们以微软公司发布的网络安全指引、SQL Server联机丛书、Windows 2000 Server联机丛书、用友财务软件手册等技术资料为基础,尝试对计算机网络安全进行验证。
二、具体审计方法
(一)取得该单位《机房管理制度》,实地观察存放服务器和备份数据的电脑机房情况,观察的重点包括:是否有无关人员进入机房、无关人员进入机房是否严格执行了登记制度、机房是否实行了有效的安全措施例如密码锁、如果有密码锁但机房门是否经常保持关闭状态、值班人员短暂离开机房是否有锁上机房等安全措施的细节。
(二)与分管计算机和财务的领导、财务部门和计算机房的具体工作人员进行面谈,了解该单位在会计核算、财务管理和计算机应用方面的组织架构和职能设置、管理制度和实际做法。
(三)认真学习微软公司网站上发布的网络安全指引、SQL服务器联机丛书、用友财务软件手册等技术资料,设计调查问卷,与相关工作人员一起按步骤地对有关计算机系统在审计时点的现状和他们目前的实际工作情况进行了核对和记录。调查问卷的内容包括:
1、内部办公网络与外网(internet)的隔离情况:
2、内部办公网络的组织结构
3、内部办公网络物理安全性
4、财务核算系统的组织结构
5、网络系统防火墙与权限设置
6、财务核算系统权限设置
三、审计发现问题
通过以上工作,审计组认为该单位计算机网络系统存在以下安全隐患:
(一)财务核算系统已并入内网连成一个计算机统一网络,但没有采取逻辑访问控制措施进行逻辑隔离,造成内网用户都可以访问财务核算服务器;
(二)财务核算系统使用的数据库系统启用了混合登录模式,设置了系统默认的“SA”管理员账户而未设置密码,造成该数据库可以被内网任何用户以管理员身份登录,该权限可以读取、修改、删除数据库内所有的数据;
(三)财务核算系统使用的数据库系统未启用审核机制,计算机系统未能对登录数据库并读取、修改、删除数据的行为进行监督记录,造成内部控制的监督职能失效;
(四)服务器机房没有设置严格的进入控制措施,没有设置人员进出登记,仅由机房值班人员负责看守。
四、审计效果及启示
审计组将计算机网络系统可能存在重大安全隐患情况与被审计单位进行了充分的沟通,被审计单位对此高度重视,立即进行整改,及时制订了《财务会计计算机系统安全保护工作规定》,对计算机网络系统的人员管理、权限设置、密码设置、系统维护等方面作了详细规定。
通过这个案例,我们得到以下启示:
(一)审计应关注计算机网络系统安全性的风险问题。会计电算化的应用本应有利于实现会计工作的内部控制和风险管理,但如果思想认识停留在传统财务工作的内部控制理念上,未能掌握计算机网络系统对内部控制的要求,则可能形成新的风险。关注计算机网络系统安全性的风险评估,一方面促进被审计单位清晰了解和重视计算机网络系统的安全隐患和风险,确保财务信息的完整、真实及其他信息的安全;另一方面有助于规避审计风险,保证审计工作质量。
(二)有必要在审计内容、审计程序、被审计单位责任方面增加计算机系统安全的有关内容。审计署6号令《审计机关审计项目质量控制办法(试行)》第十四条规定,审计风险评估是审计实施方案的主要内容之一。在实际工作中,审计风险评估目前主要关注到财务数据抽样风险、审计覆盖面风险、审计对象选择风险、审计重点判断风险等,鲜有评估计算机系统风险对审计工作的影响;此外,被审计单位承诺的会计责任,也缺乏对其提供的电子数据真实完整性责任的表述。我们认为,利用计算机实施辅助审计的项目,应充分考虑计算机系统安全的因素,并将其视同被审计单位的会计责任予以承诺,提高计算机辅助审计工作的质量和效果,防范审计风险。
标签:网络系统论文; 审计风险论文; 计算机网络系统论文; 审计质量论文; 会计与审计论文; 审计方法论文; 电脑论文; 数据库论文;