评价网 > 科教论文 > 经济学毕业论文 > 审计论文 > 正文

信息系统审计在国内外银行业的应用

2017-08-19 04:46 简介：　审计是到一定阶段的产物，随着经济的发展，审计的外延和内涵不断发展，审计的也已经过原来的财务报表审计、经营审计、治理审计进一步扩大到整个信息系统，对信息系统进行审计及以机作为技术手段进行审计，便是其中的两种重要形式，经过几年的发展，已经形成了一套规范而行之有效的审计。　　事业单位对财务治理、经营治理、行政治理都在走向信息化、化。财政、、税务、海关等领域信息化进程迅速推进，政府部分、国有企业等被审计单位的核算、财务治理、经营治理化日益普及，银行业监管部分面临的挑战是：在审计资源保持相当稳定的情况下，按照传统审计工作的高质量标准，往审查信息系统天生的需要的大量数据，几乎不可能。　　审计是经济发展到一定阶段的产物，随着经济的发展，审计的外延和内涵不断发展，审计的内容也已经过原来的财务报表审计、经营审计、治理审计进一步扩大到整个信息系统，对信息系统进行审计及以计算机作为技术手段进行审计，便是其中的两种重要形式，经过几年的发展，已经形成了一套规范而行之有效的审计方法。本文主要先容利用计算机进行审计检查监视的做法。　　一、利用计算机工具检查信息系统安全　　1、检查计算机通用控制　　在检查计算机通用控制时，如检查系统平台的访问控制，若用手工检查，需要审计职员到现场进进操纵系统，输进有关命令才可以得到操纵系统访问控制的具体设置。这种手段存在以下缺点：　　（1）对计算机审计职员技术要求较高，需要了解读取不同操纵系统安全设置的命令及参数，而且审计必须不断跟进系统版本变化　　（2）检查结果不易输出，如对Windows NT的检查，只能利用屏幕拷贝方式　　（3）检查结果不易分析，由于检查结果可能包含大量信息，审计职员从中找出所关注的需要花较大工作量　　因此，专业计算机公司针对不同操纵系统平台开发了专门的审计工具，这些工具一般包括以下功能：　　（1）设定参照性安全标准，既可以使用行业的一般标准，也可以根据审计机构的安全政策自行设计　　（2）对有关平台或网络的安全控制进行全面扫描检查，具体分析各种安全设置　　（3）参照安全标准进行分析评估，既可以得出量化的评分结果，也可以输出各种格式的具体报告。　　在信息系统审计中，国外常用的安全审计软件有：　　（1）Security Analyst. KANE公司产品，用于对WindowsNT/2000平台的检查　　（2）Rapport Audit Master. 由Rapport Software公司开发，用于检查AS/400平台安全。　　（3）主机平台。由于主机平台产品较昂贵，一般较少采用专门审计工具，而是利用安装在主机内的安全访问控制软件，如： MVS环境的RACF软件，CA Top-Secret软件，其主要功能是计算机安全员用于设置安全控制，也能提供较好的接口和输出工具供审计职员读取安全设置。　　（4）网络安全检查工具。包括ISS、CyberCop、Axent等网络安全扫描工具，除扫描网络漏洞外，还可进行仿真进侵测试。　　使用专用工具的好处：　　（1）审计职员不必具体记忆不同平台的操纵命令，减轻工作量，进步工作效率　　（2）系统更新换代或业界发现有新的安全题目时，只须升级有关审计工具即可　　（3）输出结果直观、可靠　　（4）使用业界普遍采用的工具，也有助于进步审计结果的可接受程度及公信力。　　另一方面，部分审计机构亦会自行开发一些审计工具，如编写UNIX Script，或利用Foxpro等编写统计分析程序，亦有助于进步审计效率。　　在实际时，根据环境需要通常会使用多种工具的混合。如在对网上银行系统进行安全评估时，采用了Sever平台的UNIX检查工具和NT检查工具，以及网络平台的ISS Internet　Scanner，并使用ISS工具对网络进行了penetration test（进侵测试）。有的机构甚至会使用ISS配合CyberCop分别扫描网络，利用不同产品的优点，进一步进步扫描结果的可靠性。