信息系统审计在国内外银行业的应用

经济论文 相关文章 审编:阿辉 来源:编辑部

简介: 审计是经济发展到一定阶段的产物,随着经济的发展,审计的外延和内涵不断发展,审计的内容也已经由原来的财务报表审计、经营审计、管理审计进一步扩大到整个信息系统,对信息系统进行审计及以计算机作为技术手段进行审计,便是其中的两种重要形式,经过几年的发展,已经形成了一套规范而行之有效的审计方法。
企业事业单位对财务管理、经营管理、行政管理都在走向信息化、网络化。财政、金融、税务、海关等领域信息化进程迅速推进,政府部门、国有企业等被审计单位的会计核算、财务管理、经营管理电子化日益普及,银行业监管部门面临的挑战是:在审计资源保持相当稳定的情况下,按照传统审计工作的高质量标准,去审查信息系统生成的需要分析的大量数据,几乎不可能。
审计是经济发展到一定阶段的产物,随着经济的发展,审计的外延和内涵不断发展,审计的内容也已经由原来的财务报表审计、经营审计、管理审计进一步扩大到整个信息系统,对信息系统进行审计及以计算机作为技术手段进行审计,便是其中的两种重要形式,经过几年的发展,已经形成了一套规范而行之有效的审计方法。本文主要介绍利用计算机进行审计检查监督的做法。
一、利用计算机工具检查信息系统安全
1、检查计算机通用控制
在检查计算机通用控制时,如检查系统平台的访问控制,若用手工检查,需要审计人员到现场进入操作系统,输入有关命令才可以得到操作系统访问控制的具体设置。这种手段存在以下缺点:
(1)对计算机审计人员技术要求较高,需要了解读取不同操作系统安全设置的命令及参数,而且审计必须不断跟进系统版本变化
(2)检查结果不易输出,如对Windows NT的检查,只能利用屏幕拷贝方式
(3)检查结果不易分析,由于检查结果可能包含大量信息,审计人员从中找出所关注的问题需要花较大工作量
因此,专业计算机公司针对不同操作系统平台开发了专门的审计工具,这些工具一般包括以下功能:
(1)设定参照性安全标准,既可以使用行业的一般标准,也可以根据审计机构的安全政策自行设计
(2)对有关平台或网络的安全控制进行全面扫描检查,详细分析各种安全设置
(3)参照安全标准进行分析评估,既可以得出量化的评分结果,也可以输出各种格式的详细报告
在信息系统审计中,国外常用的安全审计软件有:
(1)Security Analyst. KANE公司产品,用于对WindowsNT/2000平台的检查
(2)Rapport Audit Master. 由Rapport Software公司开发,用于检查AS/400平台安全。
(3)主机平台。由于主机平台产品较昂贵,一般较少采用专门审计工具,而是利用安装在主机内的安全访问控制软件,如: MVS环境的RACF软件,CA Top-Secret软件,其主要功能是计算机安全员用于设置安全控制,也能提供较好的接口和输出工具供审计人员读取安全设置。
(4)网络安全检查工具。包括ISS、CyberCop、Axent等网络安全扫描工具,除扫描网络漏洞外,还可进行仿真入侵测试。
使用专用工具的好处:
(1)审计人员不必详细记忆不同平台的操作命令,减轻工作量,提高工作效率
(2)系统更新换代或业界发现有新的安全问题时,只须升级有关审计工具即可
(3)输出结果直观、可靠
(4)使用业界普遍采用的工具,也有助于提高审计结果的可接受程度及公信力。
另一方面,部分审计机构亦会自行开发一些审计工具,如编写UNIX Script,或利用Foxpro等编写统计分析程序,亦有助于提高审计效率。
在实际应用时,根据环境需要通常会使用多种工具的混合。如在对网上银行系统进行安全评估时,采用了Sever平台的UNIX检查工具和NT检查工具,以及网络平台的ISS Internet Scanner,并使用ISS工具对网络进行了penetration test(入侵测试)。有的机构甚至会使用ISS配合CyberCop分别扫描网络,利用不同产品的优点,进一步提高扫描结果的可靠性。
2、检查应用系统
这里对应用系统的检查定义为: 对应用系统处理过程及系统内存储的业务数据的完整性和准确性进行检查。对银行系统而言,具体检查的内容包括网上银行、银行卡系统、利息及费用核算、过账、报表输出等计算机处理过程中的关键环节。如汇丰银行,其稽核部门在这方面的

上一页 1 2 下一页

〖下载本文〗

审编推荐

审计论文 | 经济论文 | 相关文章

信息系统审计在国内外银行业的应用”相似文章