信息系统审计精(共8篇)
城市连锁超市配送中心的发展需求
九十年代,我国商业、餐饮、运输等连锁行业异军突起,仅仅上海的连锁商业就出现了如联华、华联、农工商、东方超值等进十家年销售额超十亿的大型地区性连锁超市,其中象联华、华联等已经把市场拓展到江、浙、皖及其他省区。北京地区也出现了一些这样的超市集团。
正是在这样的一个环境中,杰合伟业公司为城市连锁超市配送中心及配送销售类企业提供了以客户为中心的信息系统解决方案,为客户提供应时配送交付服务,为网上销售商提供综合增值物流服务,同时降低成本,提高效率,最大程度的满足消费者的需求。
总体构成及功能
系统的逻辑结构从横向分为客户营销中心、客户联络中心、库存管理中心和配送调度中心四大模块,他们之间既紧密联系,也可相对独立动作,自成一体。
从纵向看,每个模块又可分为三个层次,即数据管理层、业务处理层和决策分析层。
数据管理层有效保存业务有关的所有原始数据,并对这些数据进行有效的分类管理。业务处理层主要支持日常业务,解决遇到的日常业务问题。其主要功能为数据采集、查询、统计及对数据的适当处理,并对业务过程监控优化。决策分析层主要为业务部门提供决策分析的支持,帮助建立计划机制及控制机制,辅助业务部门进行决策。
功能简介
1,采购管理子系统:包括六个模块,即供应商管理、合同管理、订货管理、退货管理、应付款管理和采购价格管理;
2,销售管理子系统:包括八个模块,即商品价目管理、销售管理(零售)、批发管理、促销管理、销售统计与分析、应收款管理、售后服务管理、客户关系管理(CRM);
3,库存管理子系统:包括八个模块,即入库管理、出库管理、盘点管理、库区库位管理、库存管理、库存统计和分析、退换货管理、预警控制;
4,配送管理子系统:包括六个模块,即配送优化管理(地理信息系统维护(GIS)优化模块、GPS优化模块与实时配送调度监控,动态作业管理等)、货运商管理、配送管理、运费结算、车辆信息维护、代收款管理;
5,财务管理子系统:包括三个模块,即应收帐款管理、应付帐款管理、门店收付管理;
6,决策支持子系统:包括五个模块,即采购分析决策、销售分析决策、配送分析决策、库存分析决策、成本毛利分析决策;
7,信息系统管理子系统:包括三个模块,即系统配置、数据传输、系统维护;
8,人事和绩效管理子系统:包括二个模块,即人事管理、绩效管理;
9,门店管理子系统:包括五个模块,即门店收付管理、门店销售管理、门店库存管理、门店配送管理、门店采购管理。
系统特点
充分利用CRM现代管理观念,通过对市场、客户关系的管理以及对知识的挖掘,促进企业的销售水平和服务质量,增加企业的收入。
优化调度和商业智能,综合考虑运力、路线和时间等因素,对客户订单进行合理优化,使企业充分发挥现有运力资源,并在基于客户历史消费记录的基础上,通过数据挖掘技术,主动得出客户的订货需求,提高客户的满意度。
支持现代配送类型的电子商务模式、让客户在订货时能立即确定货到的时间,并能随时查询和更改订货请求。
采用GIS/GPS/BI等高科技技术,对客户位置信息进行科学、高效的信息管理。
支持分布式应用和复杂组织结构,支持Internet,具有开放性、自动化与智能化等特点。
产品技术特点
智能性
本系统能在运行过程中自我完善,能根据不同用户的业务需要或管理需求自我组建子系统,给予使用者极大的创造空间。
安全性
系统除利用操作系统和数据库管理系统本身的安全机制外,在应用程序级还提供多种安全机制来控制不同级别用户的访问。
灵活性
系统从数据结构、子系统定义、预警指标设定到数据的查询分析及打印输出都提供了详尽灵活的解决方案。
兼容性
系统为其他的系统(如财务软件)留有接口,提供广泛的兼容性。
系统运行环境
服务器:Windows NT Server
数据库:Ms SQLserver 6.5 以上
工作站:Windows9X,Pentium 200以上,内存64M以上
一、网络审计信息系统的体系结构
通过网络进行审计的网络审计信息系统是审计中心通过网络获得被审计单位的会计信息并进行审计。审计人员就不必亲自到审计单位, 这样便可以降低审计成本并且使审计人员更好的保持独立性。网络审计系统的体系结构如图1所示。
上述模式的系统由三个部分组成:审计中心 (服务器) 、被审计单位 (客户机) 、和网络环境。客户中心在服务器端配备有大容量的存储器。被审计单位会计信息系统的所有会计信息都实时的传输到审计中心, 由审计中心统一保存, 审计中心随时对保存在本地的审计信息进行审计。由于被审计单位的所有会计信息都在审计中心, 被审计系统可以不设数据库, 有关数据库的操作都可以请求服务器来完成, 但这样可能导致服务器不堪重负, 因此被审系统最好自设数据库, 保留本端数据, 相当于做一个备份。在这种模式下, 审计中心进行审计时不需通知被审系统, 更进一步提高了会计信息审计的真实性和审计的可靠性。
二、利用网络和审计信息系统进行远程审计的步骤
第一, 数据采集。数据采集是网络审计中的一个初始环节, 是审计测试和审计抽样的数据来源的根本渠道。此环节通过以审计信息系统和被审单位的财务信息系统的对接使将被审计单位的财务数据按照通过已加密的传输通道从被审计单位的财务信息系统的接口中导入到审计部门的数据系统中从而实现数据采集。数据从被审计单位的财务信息系统转换到审计单位审计信息系统并不改变它的内容, 只是从形式上改变它在被审软件系统中的识别标志, 从而可以按照审计信息系统要求的标志为审计信息系统所识别。数据采集是网络审计系统工作的基础, 对于企业通常只需要导入科目表, 起初余额表, 凭证库表就可以生成相应的会计明细账、总账、各种报表等信息。还可将原始数据加入到相应的数据库, 以备核查和其他功能模块共享。第二, 数据整理、转换。数据清理对从被审计单位采集来的数据进行分析, 查找审计对象潜在的问题、疑点和异常情况, 并得出初步意见。主要涉及到数据的匹配与合并。通过匹配, 发现重复的对象;通过合并, 保留或生成一个完整的对象。数据清理活动的核心是近似重复对象的识别。如果两条记录在某些字段上的值相等或足够相似, 则认为这两条记录互为近似重复。我们把从被审计单位数据到审计中间表数据之间所需要的各种操作均刻画为转换操作, 在审计数据的转换过程中, 一个转换将源对象利用一种转换规则转换成一组目标对象。源对象和目标对象都是数据对象集合的元素。数据对象集中的元素能够是任何类型的数据元素, 但是典型的是表、列或表示在内存中暂存对象的模型元素。通常, 转换也可以产生一系列的临时数据。那些必须一起执行的转换被归类到相应的转换任务中。在执行时, 转换步骤是用来协调转换任务之间执行情况的控制流。每个转换步骤执行单一的转换任务, 这种转换任务既可以是从源对象利用一种转换规则转换成一组目标对象, 又可以是源对象经过多种转换规则转换成一组目标对象。第三, 数据处理。对预处理后的财务电子数据采用查询、统计、抽样、汇总、计算等技术进行分析处理。第四, 符合性测试。进行符合性测试工作按照计划安排, 依照审计程序, 对所审计对象进行符合性测试, 主要通过填表或回答问题方式完成调查表, 通过程序进行统计, 分析出符合性测试结果。第五, 实质性测试。在已做好符合性测试的基础上进行实质性测试。审计程序会自动形成各科目固定格式的审定表, 审计人员要进一步套用模板, 形成诸如现金盘点、固定资产折旧、应付福利费等的计算表。第六, 将分析和测试后的数据归档存入审计工作底稿。
三、审计信息系统进行网络审计的局限性及解决建议
1、统一会计软件数据接口标准
开发会计核算软件的厂商为了长期拥有自己的固定的用户和保证会计核算软件的安全, 对财务信息系统的数据存储格式保密, 以至该软件所含的信息不能被其他厂商调用, 从而使财务数据人为割裂, 形成数据孤岛。这些孤岛易守难攻, 大大增加了实施审计工作的难度。财务软件数据接口成为了制约审计信息系统开发使用的“瓶颈”。这个“瓶颈”就使每次审计都需要寻找不同的数据转换软件, 严重降低了审计工作效率, 也使得利用网络和审计。信息系统进行联网审计的使用范围大大缩小 (见图2) 。
统一会计软件数据接口标准可以使在审计中可以使用审计软件利用网络对各种财务信息系统的财务数据获取成为可能。有了统一的接口标准。首先, 审计软件可以向财务软件采集数据, 解决了原来财务数据不兼容而不能直接调用的问题, 而利用网络开发的网络审计信息系统就有了更广阔的空间。审计工作也将会更好地发挥其职能;其次, 可以充分利用现有的审计资源在各个审计机关之间形成一个有效的信息共享链, 许多集体和个人开发出来的经过实践证明行之有效的计算机审计小模块或计算机应用小技巧都可以在整个审计系统内共享, 避免审计资源的浪费以及重复建设, 可优化整合审计资源, 实现审计信息的有效共享。《中国财务软件数据接口标准》对审计应用软件的设计和开发方面将有巨大的推进作用。使审计信息系统联合网络进行网络审计在不久的将来将被广泛运用。它有利于审计软件的标准化、产品化, 缩短软件开发周期, 提高开发效率, 降低计算机审计工作的复杂度。
2、网络安全技术
首先, 应加强物理安全控制, 即参与系统开发和财务软件评审工作。财务软件开发时应全面考虑审计程序的嵌入, 建立一个独立的模块作为审计软件系统的“前置”来专门处理电子信息。即由前置模块来完成对输入电子信息的接收、真伪鉴别、解密、模式转换;针对发出的信息由它加密 (将标准数据模式生成电子报文并加密) 和发送。这样一来, 被审计单位的计算机网络就可以对经济业务进行实时监控, 自动完成部分审计任务。审计人员参与审计信息系统开发和财务软件审计有利于将错误扼杀在萌芽阶段。
其次, 加大逻辑安全控制, 即重点审查系统的安全控制。审计人员要着重对系统的职责分离情况、操作权限设置进行审查, 防止越权操作和计算机舞弊行为的发生, 检查被审单位的系统安全管理体制和安全保密技术, 是否设置外部访问区域, 是否建立防火墙和实时监控程序。
再次, 做好审计信息系统防病毒工作。使用计算机病毒的疫苗程序, 监督系统运行防止病毒入侵。及时升级杀毒软件。及时修补操作系统和审计信息系统的漏洞做好防病毒准备。
最后, 做好总体环境控制, 审计人员可以实施网络咨询和电子商务签证服务。可就如何选购财务软件, 如何实施有效的系统安全控制和如何改进现有的财务管理模式提供咨询服务, 并按照标准对网上商业活动的完整性、真实性和可靠性进行全面签证。
3、加强网络审计立法, 制定相关法规准则
网络审计立法是保障网络审计正常发展的保障。加强网络审计有关的立法, 使审计执业人员在开展网络审计工作时尤其是进行电子证据、电子签名、电子合同、电子货币等合法性审计时有法可依、有章可循。同时, 由于网络审计的对象、线索、方法、流程、结果等各方面相对于传统审计都发生了变化, 所以加快建立一套网络审计准则是促进网络审计的重要任务, 加强网络审计立法以指导网络审计工作实践的深入。
利用审计信息系统和网络进行审计虽然有很多的优点, 但我们也应该认识到联网审计并不能完全取代实地审计的全部。我们应该坚持网络审计和实地审计相结合。一些必须进行实地审计的工作是不能够完全被网络审计所取代的, 如取证材料的认可、现场查看, 实地盘点、询问和调查函证等, 所以网络的远程审计还必须和其他的审计方法相结合。
参考文献
[1]王学荣、张金城:网络环境下的实时自动化审计系统[J].审计与经济研究, 2001 (2) .
[2]中国软件协会财务与企业管理分会:中国财务软件数据接口标准[J].中国会计电算化, 1999 (4) .
甲法院的信息系统是2011年9月与某科技公司(以下称乙公司)签订协议实施的,审计日已运行一年半。审计中先实地观察了审判管理系统的操作过程,向立案员、立案庭长、行政庭长、执行局长等了解了系统使用的基本情况及存在的问题和不足,查阅了甲法院与乙公司签订的协议书、选择项目建设单位的原由、系统建设、运行管理、运维服务、测试评估等相关文档资料。对法院信息管理系统的总体状况有了基本了解,选择了以应用控制为重点的审计思路。
一、信息系统业务流程控制审计
对业务流程控制审计的目的是通过检查被审计单位信息系统业务活动的整个流程,发现系统业务流程中存在的问题,评价系统业务流程控制的合理性和有效性,提出审计意见和建议。
审计中采用了资料审查法,查阅甲法院和乙公司签订的协议书对建设该信息系统的硬件配置、技术要求等;采取了系统检查法,对信息系统的重要控制环节和控制点进行了实地测试。
发现协议书就硬件配置、合同价款、双方权利和义务、售后服务、违约责任等进行了明确,但对法院审判管理系统、法院办公管理系统、数据移植等项目的技术要求和要达到的标准完全没有明确,技术要求依赖于乙公司对其业务的宣传,协议内容的不完善为信息系统建设的不成熟留下了隐患。发现审判系统结案控制点设置不严,在虚假信息输入后也能结案。行政庭执行非诉执行案件要求执行款执行到位、执行局执行案件收取执行费后才能结案,但是当案件结案时限已到,而这些事项未执行到位时,若迫于其它原因需要在系统终端体现该案已结,可以在不输入收费(或执行款)发票号码、日期、金额等情况下直接结案,终端显示该案已结案,导致是否交纳相应费用、标的款是否已执行、该案是否真实结案不清楚,致使某期间的结案实际情况需要到相应庭(局)了解才能弄清楚。
二、数据输入、处理和输出控制审计
数据输入、处理和输出控制审计的目的是通过检查被审计单位信息系统数据输入、处理和输出控制的有效性,发现系统数据控制的缺失,形成数据控制评价和结论,提出审计意见和建议。
审计中采取了系统检查法,对信息系统进行了数据输入、处理、输出等信息的检查。采取了数据验证法,利用直连式数据采集方法进行数据符合性验证;利用数据库数据转换、文本转换对数据库之间的数据转换的一致性和准确性进行检查验证;通过对数据库SQL语句进行转换解析,实现对各类业务活动的计量、计费、核算、汇总等数据处理的符合性与准确性进行验证。
发现前台输入数据操作见错不纠。立案系统对诉讼费的收取有三个窗口:应收受理费、预收受理费、实收受理费,若实收数小于应收数,实收窗口显示红色,表明还有诉讼费未收取。但对操作员不小心输错的数据,不能报错。如(20××)年××终字第×××号案卷反映,应收、实收受理费实际为11 884元,操作中将应收受理费输成111 884元,实收受理费11 884元,显示红色未能引起操作员注意。(20××年)××终字第×××号案卷反映,应收、实收受理费为2 300元,操作中将实收受理费录入为100元。(20××年)××终字第×××号案卷反映,应收、实收受理费7 204元,操作中将实收受理费输成100元,通过查找档案,上述二个案卷收费无误,若增设一个欠费窗口就可以很明确地知道输错、欠收事项。发现数据处理中,前后台数据未遵循一致性。在立案系统中,原告和被告是分栏信息输入的,但在后台备份数据中,这二项合并为当事人信息,没有分开。发现输出信息与输入信息不一致。汇总全年或一个阶段的立案情况,对立案的总数能准确统计,但在相应要素项中,后台数据不能显示减、免、缓交诉讼费的标识及分辨其案件,而该类案件在立案时会输入减、免、缓交诉讼费标识,要汇总核查该案件对诉讼费的减、免、缓情况需查对人工台账。
三、信息共享和业务协同审计
信息共享与业务协同审计的目的是通过检查被审计单位信息系统内、外部信息共享与业务协同,揭示共享与协同控制的缺失,形成评价和结论,提出审计意见和建议。
审计中采取了询问了解法,与信息系统管理人员沟通了解被审计单位信息系统在信息共享、业务协同等方面的情况,并延伸调查了上、下级人民法院使用信息管理系统的现状;采取了数据输入、导出、验证等方法检查了信息结果的符合性。
发现审判管理系统的信息共享和业务协同存在很大局限。立案时,系统对有一些重要要素不输入也能立案,如二审案件,在一审信息不输入的情况下也能立案,打开二审立案案件,看不到一审的立案、判决、审判法院等信息;信息系统建设单位对此的解释是:如果在本单位的一审案件,就可以获取相应信息,按我国审判上诉原则:本单位的一审案件,不在本单位进行二审;延伸了解省、县二级人民法院的审判管理系统,县人民法院只有少数单位采用了乙公司的审判管理系统,而且市、县审判系统未联网,省高级人民法院采用的是与乙公司完全不一样的审判管理系统,无法联网,该信息系统的审判信息共享和业务协同按乙公司的设计形同虚设。发现信息共享约束条件设置不合理。法院立案业务,案件号是唯一的,但导出后台数据通过SQL查询发现,同一案件的“文书标题”有几个事项时,会出现多次同一案件号;如(20××)××终字第××号案卷,有文书标题四个内容:调解书、调解协议、(20××)××终字第××号、×××号××调解书,后台数据显示该号案卷有四条记录。
出于审计风险及信息系统审计安全性考虑,没有采取工具检测等方法对该信息系统的一般控制及项目管理情况进行审计。
根据审计发现的问题,对甲法院提出了完善信息系统建设协议书、向信息系统建设单位提出法院审判的关键环节和控制点并要求按要求改进信息系统、进一步梳理和完善数据移植等方面的技术问题的建议。上述审计结果和建议得到了甲法院的认可,促进其改进信息系统,提高信息系统管理水平。
公司治理关注利益相关者权益和管理,驱动和调整IT治理。IT能够提供关键的输入,形成战略计划的一个重要组成部分,是公司治理的重要功能。
IT管理是公司的信息及信息系统的运营,确定IT目标以及实现此目标所采取的行动。是在战术层面上
•IT治理是指最高管理层(董事会)利用它来监督管理层在IT战略上的过程、结构和联系,以确保这种运营处于正确的轨道之上。是在战略层面上
•IT治理规定了整个企业IT运作的基本框架,IT管理则是在这个既定框架下驾驭企业奔向目标。
(公司治理关注利益相关者权益和管理,驱动和调整IT治理
IT能够提供关键的输入,形成战略计划的一个重要组成部分,是公司治理的重要功能。IT治理规定了整个企业IT运作的基本框架,IT管理则是在这个既定框架下驾驭企业奔向目标。)
2、信息系统审计阶段,准备阶段应该了解被审计单位哪些方面内容 P11 了解被审计系统的基本情况
(1)、调查了解被审计单位信息系统的基本情况,如信息系统的硬件配置,系统软件的选用,应用软件的范围,网络结构,系统的管理结构和职能分工、文档资料等,调查完成后将审前调查情况记录下来。
(2).提前三天送达审计通知书,要求被审计单位对所提供资料的真实性、完整性作出书面承诺,明确彼此的责任、权利和义务。
(3).初步评价被审计单位的内部控制制度,以便确定符合性测试的范围和重点。
(4).确定审计重要性、确定审计范围。
(5).分析审计风险。
(6).制定审计实施方案。在审计实施方案中除了对时间、人员、工作步骤及任务分配等方面作出安排以外,还要合理确定符合性测试、实质性测试的时间和范围,以及测试时的审计方法和测试数据。
在安排利用计算机辅助审计时,还需列出所选用的通用软件或专用软件。对于复杂的信息系统,也可聘请专家,但必须明确审计人员的责任。
3、信息系统一般控制、应用控制的区别和联系
区别:
范围:应用于一个单位信息系统全部或较大范围的内部控制。
• 对象:应为除信息系统应用程序以外的其他部分。
•基本目标:保证数据安全、保护计算机应用程序、防止系统被非法侵入、保证在意外情况下的持续运行等。
一般控制主要涉及:
–管理控制(包括部门管理、人员管理等)
–系统基础设施控制(包括物理环境、系统硬件、系统软件等)
–系统访问控制(包括系统通信控制等)
–系统网络架构控制;
–灾难恢复控制(即服务持续性控制)
应用控制是为适应各种数据处理的特殊控制要求,保证数据处理完整、准确地完成而建立的内部控制。有输入控制、处理控制、输出控制审查方法。
联系:
良好的一般控制是应用控制的基础。
如果一般控制审计结果很差,应用控制审计就没有进行的必要。
4、变更管理实施的过程
P159-1605、如何进行系统运营/维护阶段的审计?
从ISA角度,IS审计师通过审查系统运营与维护的安全性、有效性、效益性等,并对
此进行评估,提出改进意见,从而确保系统能满足企业的业务目标需求并实现其效益。
信息系统在日常运行过程中管理与维护内容主要涉及:
1、信息系统运营的管理;
2、信息系统变更管理;
3、软件配置管理;
4、项目管理;等。
6、电子数据处理系统对审计的影响?
电子数据处理系统对传统审计的影响:
(1)、对审计线索的影响:传统的审计线索缺失
EDP下:数据处理、存储电子化,不可见,难辨真伪。
(2)、对审计方法和技术的影响:技术方法复杂化
EDP下:利用计算机——审计技术变得复杂化
(3)、对审计人员的影响:知识构成要求发生变化
EDP下:会计、审计、计算机等知识和技能
(4)、对审计准则的影响:信息化下审计准则与标准的缺失
EDP下:在原有审计准则的基础上,建立一系列新的准则
(5)、对内部控制的影响:内部控制方式发生改变
传统方式下:强调对业务活动及会计活动使用授权批准和职责分工等控制程序来保证。
EDP下:数据处理根据既定的指令程序自动进行,信息的处理和存储高度集中于计算机,控制依赖于计算机信息系统,控制方式发生改变。
7、简要回答IT治理范围
P46
好的IT治理实践需要在企业全部范围内推行:
–最高管理层(董事会)
–管理者
–下层
8、信息系统访问方式及其审计方法有哪些?
系统访问方式:
–逻辑访问:用户通过软件方式对系统访问。
–物理访问:用户通过物理接触等方式对系统访问。
逻辑访问控制审计:
1.了解IS处理设施的技术、管理、安全环境;
2.记录逻辑访问路径,评估相关软硬件设施;
3、检查已实施的逻辑访问控制软件,查看软件的记录与报告;
4、查看组织的安全政策。
物理访问控制审计:
1、现场查看信息处理设施和异地存储设施;
2、评估物理进入的路径;
3、审核文件和记录。
9、回答恢复点目标和恢复时间目标的概念?
恢复点目标(RPO):由业务中断情况下可接受的数据损失来决定,有效量化了业务中断时可以允许丢失的数据量。
恢复时间目标(RTO): 由业务中断情况下可接受的停机时间决定,指明了灾难发生后必须对业务进行恢复的最早时间点。
10、如何进行系统安装后的审计?
新系统是在日常作业环境中稳定下来之后,需要进行安装后审计。安装后审计是对系统实际运行状况进行集中分析和评价,审计师在平时管理工作基础上进行的。安装后审计和系统评价的内容相似,但目的不同,进行的时间不同。安装后审计师在系统投入运行后定期或不定期进行的审计,其目的是确认系统目标和需求、成本效益、变更、资源利用率、内部控制、运行日志、系统改进。
11、简要回答IT治理成熟度模型
IT治理成熟度级别:0没有级别—根本没有管理程序1初始级—程序混乱,没有组织2可重复级—程序遵循某种模式3已定义级—程序已形成正式文档,已发布4已管理级—程序得到控制和评测5优化级—遵循并自动实行最佳实践
优点与作用:
• 涉及经营需求的各个方面,简单实用的方式测定差异;
• 测量治理发展程度的方法,各个成熟度的典型模式,有助于组织,对照惯例和最佳实践,发现和解释缺陷与不足,关注关键的管理方面,确定组织发展目标。
12、逻辑访问控制中的识别技术有哪些?
身份识别与验证
–“只有你知道的事情”——账号与口令
•账号的控制
•口令的控制
–“只有你拥有的东西”——令牌设备
•发送许可权的特殊消息或一次性口令的设备
–“只有你具有的特征”——生物测定技术与行为测定技术
•指纹、虹膜等
•签名等
论述题
1、信息系统审计审计目标
一般审计目标
(1)保护资产的完整性/安全性。信息系统资产包括硬件、软件、人力资源、数据文件及系统文档(文件)等。所以,保护信息系统资产的完整性成为许多组织要达到的一个重要目标,也是信息系统审计所追求的目标之一。
(2)保证数据的准确性。有效防止数据的输入、输出错误,以及非授权状态下修改信息所造成的无效操作和错误后果。
(3)提高系统的有效性。信息系统获得预期的目标
(4)提高系统的效率性。信息系统以尽可能少的资源消耗达到预期目标。系统资源主要包括机器时间、设备、系统软件、劳动力等。
(5)保证系统的合法性、合规性。信息系统及其运用必须遵守有关法律、法规和规章制度。
2、IT治理的方法?(P41)
1.积极进行治理设计
2.选择正确的时间进行IT治理设计
3.高层经理人员的参与
4.对目标有所取舍
5.制定例外处理流程
6.提供相应的激励
7.在组织的多个层面设计治理
8.加强透明度和教育
9.运用相同的机制治理多个关键资产
3、信息系统面临互联网的风险及其控制技术?(P73)
来自互联网上的安全威胁主要分为主动攻击和被动攻击
–被动攻击:监听
–主动攻击:
• 中断
• 篡改
• 伪造
互联网攻击的主要表现形式:非授权访问。
恶意攻击者一般同时采取两种方式。
4、结合信息系统分析与设计如何考虑应用控制
输入控制、处理控制、输出控制
5、论述信息系统开发过程中的风险及其控制技术?
相关风险
系统不符合用户的业务需求
项目风险
(1)项目内部
(2)和供应商之间
(3)在组织内部
(4)和外部环境之间
重要原因:缺乏必要的规则,组织没有提供必要技术基础设施和支持,即缺乏有效的软件过程管理与项目管理。
风险降低:实现安全措施,以把风险降低到一个可以接受的的级别。实际上就是力图减小威
胁发生的可能性和带来的影响。
风险承受:接受潜在的风险并继续运行信息系统。即在实施了其他风险应对措施之后,对于残留的风险组织可以选择接受。
风险规避:通过消除风险的原因和后果来规避风险。
风险转移:通过使用其他措施来补偿损失,从而转移风险。
6、结合实例,IT服务管理的内容与框架?(P149)
IT服务管理实施规划用以建立IT服务管理流程,讨论规划和实施IT服务管理的关键性问题,并对实施和提升IT服务提供全面的指导。内容包括:(1)创建清晰的战略远景和使命;(2)分析企业当前IT状况与服务状况;(3)定义期望状态并进行差距分析;(4)设定优先级并启动过程改进;(5)定义关键成功因素和关键绩效指标。
。正是如此,信息系统使审计线索发生根本性变化。
在这种情况下,国家审计则不可避免地受到信息技术迅猛发展所带来的冲击与挑战。如针对社会普遍反映“看病难、看病贵”,医疗费用大幅度攀升,卫生资源利用率低下、医疗服务显失公平等问题。传统的审计方法已无力应对,为了规避审计风险,确保审计质量,审计要及时“跟进”,只有对整个系统进行全面了解,才能把握审计对象的总体情况,才能实现审计成果最大化,确保“民生”和谐而实惠。因此,探索信息系统审计已成为当前重要的课题。
信息系统舞弊行为分析
信息系统舞弊是指信息系统或行为人利用信息系统为达到获取不当利益,或者其他不当愿望的目的,以不合规方法并采取各种隐蔽的非合法手段,去掩盖事实的行为。
信息系统舞弊的主体。信息系统舞弊主体是指舞弊行为的载体,一般分为系统和人。体现在可能是系统设计客观或主观存在漏洞,也可能是人的主观或者客观行为因素导致;有时信息系统舞弊并非单一主体行为构成,或者系统因素加人的客观行为所致,或者是系统因素加人的主观行为因素所致,或者是系统因素加人的主、客观行为因素所致。
信息系统舞弊的动机。分为有动机舞弊和无动机舞弊。有动机舞弊是指系统设计时按照业主需要在设计流程上存在主观缺陷或漏洞,或者行为人利用系统进行舞弊,人为舞弊往往是舞弊人的精心设计;无动机舞弊一般发生在系统自身不完善所致。
信息系统舞弊的类型。已突破传统单一的舞弊类型,可分为业务管理舞弊行为、财务管理舞弊行为、信息系统管理舞弊行为;也可能是三种舞弊行为的交叉。
信息系统舞弊的内容。它是舞弊类型的具体细化。1.业务方面的舞弊内容。如医疗信息系统舞弊内容常见有药品及诊疗收费项目、收费标准、收费数量三个方面。具体为系统是否存在药品超规定加价、药品多计数量,诊疗项目超收费用、多计次数,诊疗项目超规定加收、捆绑收费、肢解收费项目、重复收费、自立项目收费、应取消未取消收费、应降未降标准收费、无依据收费,医药回扣、任意减免收费等;
2.内部控制标准及管理方面舞弊行为。如系统是否存在内控漏洞和缺陷,指标是否健全,有无非法和错误处理及薄弱环节等;系统安全、可靠、合法性方面,如有无设计缺陷、程序错误,用户操作造成经济损失,灾难性恢复,有无业务数据外泄、破坏、非法修改、非法入侵及抗灾能力;
3.资产管理及财务核算方面舞弊行为。如有无帐外资产、材料报损账实不符、收入不实以等;
4.绩效管理方面舞弊行为。如资源是否存在浪费、管理运营费用如何等内容。
信息系统舞弊的原因。宏观体制层面上,存在粗框、滞后、政策约束性不强等;法规层面上,存在宽泛、不具体,配套措施不及时等;地方制度层面上,存在缺少细化措施,考核机制不完善,道德教育机制有待加强等;另外,主客体之间存在信息不对称性现象。
信息系统舞弊的审计策略
审前精心准备。首先,审计机关要树立好信息系统审计观念,适时做好信息系统审计的学习、培训等工作;其次,需要被审计单位做好的配合工作。如准备提供系统开发说明书、操作指南、数据字典、信息管理规章制度、保密措施等文档资料,作为审计依据的部分构成要件;三是做好审前调查。审计人员要重点了解系统管理模块结构与流程,了解被审计单位业务、系统、环境等,识别并评估风险,检查是否存在足够的控制来补偿这些风险,以此确定审计目标、重点内容、审计范围等。要搜集所有与信息系统相关的纸质及电子资料,下载业务与财务数据。制定的审计实施方案尽可能翔实、便于操作;要选配精简、高效的审计组成员,能够合理搭配做好组织保障。根据审前调查结果,审计人员还要绘制系统业务流程图,初步对系统在业务与财务管理的双套电子数据进行双向交互分析。
构建审计模型。审计人员通过分析业务流程及数据特征,进一步了解审计数据管理存在舞弊的状况。首先对独立的审计方法进行分析研究,使每个审计方法要素对应信息系统舞弊审计相关问题;其次,审计人员设计计算公式或编写sql语句,配合相关法律政策,创建审计数据中间表;再之,对信息系统的特征和行为进行分类描述,把系统静态特征及动态行为表示为一个对象并对应为相关类别的一个审计模型,组成审计模型群(库)。如我们在医院业务流程图基础上,绘制审计模型图(见下图),完成审计模型的构建。把审计模型分配给审计组成员,以便实施审计时实现审计
模型共享,可以提高审计效率和质量,有效降低审计风险。
审计实施方法。在信息系统审计实施阶段,审计人员所开展的工作大概分为三个层次,即描述、测试和实证分析(即数据审计)。通过详细分析,能够发现传统审计方式下无法查到的重大问题。
1.信息系统舞弊审计采取的方法既包括一般方法,也包括应用计算机审计的方法。信息系统审计的一般方法主要用于对信息系统的了解和描述,它包括:面谈法、文档审阅法、文字描述法、表格描述法、图形描述法等。应用计算机方法一般用于对信息系统的控制测试和实证分析,它包括:数据测试法、程序审计、审计模块、代码比较、受控处理法等。
充分利用技术分析方法。借助内控测试和数据审计对选定的信息系统进行分析,将被审计单位业务数据与财务数据进行关联,排查信息系统存在的漏洞或缺陷,作出风险评价。利用技术分析方法能迅速找出信息系统存在的瑕疵,尤其是借助信息系统人为进行舞弊的线索。
2.信息系统舞弊审计关注的重点环节。(1)数据。必须使用一种能够向前、向后追踪查询单笔业务记录的方法,以便使审计人员选择重点对其进行详细检查,确认业务记录是否符合一般审计目标。如对医院会计事项信息的检查,要检查它的完整性、时效性、合规性和信息披露等方面。对信息的分析可以采用ao辅助审计,按照(如医院)审计模型和(如医疗)法规标准对数据进行汇总、分类、排序、比较和选择,并进行各种运算。(2)内部控制。主要是对(如医院)信息系统的一般控制和应用控制等两个方面的审计。一般控制审计包括组织管理的控制、数据资源管理的控制、系统环境安全管理的控制和系统运行管理控制等审计;应用控制审计它包括输入控制、处理控制、数据库控制等审计。(3)数据传输转移。有些数据需要在财务信息系统和收费系统模块或财务信息系统与业务信息系统模块之间相互转移,传递过程中很可能存在舞弊行为。因此,数据传输转移环节也是审计重点。
3.构建信息系统绩效的综合评价机制。一般信息系统审计很少对系统操作生命周期中管理收益的关注,目前尚未从绩效的角度来评价信息系统。构建信息系统绩效的综合评价机制,也是分析信息系统舞弊行为审计对策之一。
指标体系建立从以下两方面考虑。法规层面指标体系,目前如对医疗机构主要是依据卫生部颁发的《医疗机构信息系统基本功能规范》相关指标;业务层面指标体系,主要是依据被审计单位历史情况、管理职能、医院业务特点等选取相关指标。评价指标具有综合性,语言要平实,用词要公允。
信息系统舞弊审计案例实证
基本情况。2008年5月,徐州市审计局对xx医院信息系统及财务收支进行了审计。该医院所使用的信息系统由北京xx科技有限公司提供,后台数据库为sql-server2000,业务流程涉及五大类收费项目计3966项,年采购药品达4880种。审计共采集业务数据及财务备份数据账套2套,年业务数据记录量达400多万条,总量约4.8gb,信息存放表单150多张。
审计结果。根据上述分析方法,充分利用ao系统,查出上年度一系列收费、加价等违规违纪及绩效管理方面的问题,查出信息系统违纪违规金额达2200多万元,主要问题如下:药品超规定加价602.71万元;恶意刷卡支付自费项目当年达930.95万元,增加了财政负担;存在重复收取项目费用41.90万元;超标准收费138.80万元;自立项目收费12.54;商业贿赂--药品回扣13.76万元;账面收入调剂348.94元;不具备处方权医生擅自给病人开药达151.09万元等。
审计成效。案例项目审计建议6条被审计单位基本采纳予以整改,针对软件存在的控制功能等缺陷进行更新设计,清理停止收费项目,降低相关收费标准,补充新收费条目,完善系统收费编码;对功能、内控、作用等进行增修补;从设计程序、源头代码上,堵塞系统数据不真实或不准确及系统操作舞弊行为。更新设计后,促使信息系统的可靠性增强、安全性提高、效率性提升;促使该院出台了《信息系统管理办法》、《xx医院内部控制制度(试行)》等文件。
濮城油田巧用“信息技术”根治数据归整顽疾“我们对单井信息库中2400口井的常用井号与其对应的设计井号进行核实对应。我厂的生产数据与静态数据关联之后,动态技术人员就可以任意调用库中的坐标、分层等数据喽。”8月8日,中原油田采油二厂信息技术人员秦义江如是说。7月下旬,该厂借助油田信息中心在全油田范围内统一、核实井号的时机,对单井基层信息库中的设计井号字段进行了完善,此项“小举措”根除了这个厂多年来因井号不统一对应,静态数据和动态数据不能关联,数据无法共享的难题。由于新井在输入井号时使用的是汉字井号,一些诸如坐标库、井斜数据库等静态信息采用的都是汉字井号。而油藏管理区信息录入人员输入日常的油水井产量、含水等生产数据时用的是简化井号,两套数据由于井号的不一致,造成数据无法共享。因为数据归整的工作量大,组织起来困难较多等原因,该项工作一直久拖未决,并成为了多年来工作中的一个“顽疾”。7月下旬,采油二厂抓住油田信息中心统一井号之机,升级了单井基础信息库程序,从而彻底根除了此项“顽疾”。(王远程 郭焕玲)
中国石化召开《内部控制手册》宣传贯彻视频会议贯彻落实内控规范 深入实施内部控制
为全面贯彻国家内控规范,健全完善中国石化集团公司、企业两级内控制度体系,深入实施内部控制,1月25日,中国石化《内部控制手册》(2011年版)宣传贯彻工作视频会议在总部召开。会议强调,必须坚定不移地贯彻执行内控制度,实行生产经营管理全方位控制和监督。
中国石化十分重视内控制度建设,积极开展内控工作。自2003年起,股份公司、集团公司先后在国内率先建立并实施内控制度,连续5年顺利通过外部监管的审计验证,内控工作得到财政部、国务院国资委、证监会等部委的大力支持和肯定。8年来,中国石化不断健全内控体系,建立日常管理机制,持续完善内控制度,加强内控检查与考核,企业的风险防控意识显著增强,为堵塞管理漏洞、促进企业健康发展发挥了不可替代的作用。中国石化在内控工作上创新不止,内控手册的修订是又一次重大调整。新版手册在集团公司《内部控制管理手册》和股份公司《内部控制手册》基础上修订整合,首次实现了上市、非上市内控标准的统一,为提升中国石化内控管理整体水平奠定了基础。
会议指出,中国石化的内控工作尽管起步早、发展快,但整体水平还处于“合规”的初级阶段,促进企业提升价值的作用还未完全显现,内控的有效性和高效性还需进一步增强,必须从战略和全局高度,进一步提高对内控工作的认识。
会议强调,深入实施内部控制既是进一步加强公司治理、提高公司规范化运作水平的基础性保障,又是提高自我管理水平、增强抗风险能力、做优做强企业的迫切需要。各企业要积极落实新版内控手册,健全企业内控制度,完善风险管控体系。一是明确内控组织机构,配备内控专职人员;二是认真组织实施细则修订工作;三是建立内控管理长效机制;四是认真自查测试,强化考核,提高内控执行力;五是深化内部控制,建立全面风险管理体系;六是持续开展宣传培训,培育风险控制文化。
关键词:网络信息审计系统,内容审计,模式匹配,BM算法
(一) 信息审计系统的应用模式
信息审计系统实际上是这样一种应用模式, 即数据的采集和过滤、数据的分析处理以及相应的系统响应和动作, 具体的功能模块包括用于数据采集的探针Probe, 数据过滤用的过滤器Filter以及用于数据分析处理和触发系统响应动作的分析器Analyser。信息审计系统应用模式如图1所示。
基于这种应用模式的处理流程, 可以适应很多种应用的需求, 如网络管理、分布式信息采集和挖掘、应用监管、入侵检测和信息审计等。本文就是这种应用模式在网络信息内容审计方面的一个应用。
(二) 系统设计
本系统通过预先设置的关键字, 对捕获报文的内容进行扫描匹配。当报文内容中具有关键字这样的敏感信息, 则进行报警, 产生日志, 如果是TCP协议的网络连接, 可以实时进行协议阻断。系统的软件结构由审计监控工作站和审计分析中心两部分组成, 如图2所示。
审计监控工作站主要由以下几个部分组成:1.网络报文捕获模块。模块主要进行网络报文的捕获和过滤, 并把捕获的报文递交给报文协议分析审计引擎模块。其中对报文的捕获和过滤通过调用WinPcap库来实现。2.报文协议分析审计引擎模块。模块对捕获的报文进行协议分析;用预设的关键字对TCP协议和UDP协议的报文内容进行审计;根据审计结果和审计规则调用TCP协议阻断、应用层报文重组和日志生成等模块进行相应的处理。3.TCP协议阻断模块。当对报文内容进行关键字审计违规时, 可以按用户的审计规则调用本模块阻断当前这个TCP协议的连接。它的实现方式是通过伪造一个正确的FIN报文发给通信双方。4.日志生成模块。主要生成各类日志记录写于到本地数据库中, 比如报警日志等。5.应用层报文重组模块。模块可以把应用层协议 (HTTP、FTP、SMTP、POP3等) 传递的报文进行重组还原成相应的文件, 比如把一次SMTP协议发送过程的报文重组还原成为一个Outlook的邮件文件。这样就可以更直观监控应用层协议传递的内容, 但同时会增加系统开销。6.本地查询维护模块。模块主要提供对本地数据库的日志记录和应用层报文重组形成的还原文件的查询维护。7.管理配置模块。模块主要是实现关键字、审计规则的配置和数据同步客户端的启动。它既可以在本地进行管理配置的设置, 也可以从网络接收审计分析中心下达的管理配置信息。8.数据同步客户端模块。模块主要按配置要求把本地相应的日志记录或者还原文件同步上传到审计分析中心。
审计分析中心主要由以下几个部分组成:1.数据同步服务器端模块。模块接收各个审计监控工作站同步上传的日志记录或还原文件, 再导入到中心数据库中。2.查询维护模块。模块主要提供对中心数据库的日志记录和还原文件的查询和维护。3.管理配置模块。模块可调用查询维护模块对中心数据库的数据进行查询分析和维护;另外它还可以根据自定义的协议, 对各个审计监控工作站的关键字、日志记录同步规则进行配置, 实现对各个审计监控工作站的集中管理。
本系统主要应用在对网络传输内容比较敏感的企事业单位内部, 比如政府安全部门, 军工企业等。审计监控工作站和审计分析中心都运行在操作系统为Windows2000/XP的PC机上。在企事业单位的内部局域网里, 审计监控工作站被分别部署在局域网汇聚层上的各个关键路由器或三层交换机的镜像端口上。这样它就可以对经过该设备的所有流量进行审计。多个这样的审计监控工作站协同合作, 就可以实现对整个局域网全面的信息审计。审计分析中心则被部署在内部局域网的服务器区, 与各个审计监控工作站进行数据的交互。
(三) 简化的BM算法
1. BM算法思想
给定模式串P=P1 P2…Pm, 长度为m;正文串T=T1 T2…Tn, 长度为n;模式串和正文串中可能出现字符的集合为ω, 现在我们来讨论BM算法思想。在BM算法每一轮的模式匹配中, 模式串的字符都是从右向左依次与正文串对应字符进行匹配, 如果模式串的字符全部匹配则匹配成功;否则当第一次出现模式串的字符与正文串对应字符不匹配时, 一轮匹配失败, 马上结束这一轮匹配。算法首先将模式串P与正文串T在开始位置对齐, 开始一轮模式匹配, 如果模式串匹配成功, 整个匹配结束;否则一轮匹配失败, 需要右移模式串, 开始新一轮的匹配;直到一轮匹配成功或连续进行的每一轮匹配都失败模式串连续右移越过正文串末尾时, 整个匹配也结束。
BM算法思想最重要的是如何确定一轮匹配失败时模式串的右移量, 现在我们就一般情况来讨论。如图3所示, 模式串一轮匹配失败, 假设这轮匹配是从正文串位置i开始, 匹配失败的位置在模式串的j处, 此时正文串的位置相应为i-m+j, 该位置的正文串字符Ti-m+j即为坏字符。根据已匹配的结果有子串u=Pj+1 Pj+2…Pm=Ti-m+j+1 Ti-m+j+2…Ti (当j=m时, 子串u不存在) 。此时, BM算法将按以下方式进行坏字符移动和好后缀移动的处理。
坏字符移动定义坏字符Ti-m+j在子串P1P2…Pm-ı中最后出现的位置的值为k。当一轮匹配失败的位置不是在P的最后一个字符时, 如果坏字符Ti-m+j在子串P1P2…Pm-ı中没有出现 (则k=0) , 此时坏字符移动如图3所示, 模式串P右移跳过坏字符Ti-m+j, 在它的下一个位置对齐, 模式串的右移量为j=j–k;如果坏字符Ti-m+j在子串Pı…Pm-ı中最后出现的位置在j的左边 (则k≠0且k
当一轮匹配失败的位置在P最后一个字符时, 此时j=m, 坏字符Ti-m+j也就是Ti。如果坏字符Ti在子串P1P2…Pm-ı中没有出现 (则k=0) , 此时坏字符移动让模式串P右移跳过Ti, 在Ti+1处对齐, 模式串的右移量为m=j-k;否则坏字符Ti在子串P1P2…Pm-ı中出现 (则k≠0) , 此时坏字符移动让模式串P右移, 使子串P1P2…Pm-ı中最后出现的Ti与坏字符Ti对齐, 模式串的右移量为m–k=j-k。所以当一轮匹配失败的位置在P最后一个字符时, 坏字符移动的模式串右移量为j-k。
(2) 好后缀移动
好后缀移动只在子串u存在时才进行。它先从匹配失败的位置j往前, 在P中找前导字符等于Ti-m+j的子串u。存在这样的子串u, 则好后缀移动如图6所示。如果不存在这样的子串u, 则在子串u的后缀中找与模式串P的前缀相同的最长子串v。存在这样的v, 则好后缀移动如图7所示。否则不存在这样的u和v, 好后缀移动如图8所示, 整个模式串右移滑过当前位置, 在Ti+1处对齐, 再开始新的一轮模式串匹配。
综合上面的分析, 当一轮匹配失败时, 模式串的右移量是这样获得:当失败的位置在模式串最后一个字符时, BM算法只进行坏字符移动, 模式串右移量为j-k;当失败的位置不在模式串最后一个字符时, 模式串右移量为坏字符移动的右移量Max (j-k, 1) 和好后缀移动的右移量的最大值。
2. BM算法的简化
从上面的分析, 传统的BM算法还是很复杂的, 尤其是好后缀移动。但在本系统的实际应用环境中, 根据对系统常用的关键字集及中文特点的分析, 我们认为可以抛弃如图6那样的好后缀移动。因为在我们常设的关键字中, 例如“可行性分析”, 出现相同的字或词组的概率非常小;而且这些关键字绝大部分都是3~6个字, 比较短。所以当匹配失败时, 我们认为出现如图6那样的好后缀的概率很小, 可以不考虑这种好后缀移动。
另外在实际的网络流量中, 正文串和模式串中可能出现字符的集合ω的空间至少包括26个英文字母的大小写、数字0~9及标点符号等。在中文环境下, ω的空间则更大。因为ω的空间比较大, 模式串匹配失败时, 如图7和图8那样产生两个字符或两个字符以上的子串u的概率也是非常小的 (假设ω空间大小为100, 则这个概率为1-0.99-0.01*0.99=0.0001) , 所以也可以不考虑这类情况。那么, 在系统实际应用中, 我们可以只考虑匹配失败位置在模式串的最后一个字符和倒数第二个字符时两种情况, 好后缀移动就只在后一种情况时才进行。此时子串u只有一个字符, 如图7和图8那样的好后缀移动就类似于匹配失败在模式串最后一个字符的坏字符移动。因此, 此时如图7和图8这样的好后缀移动是可以借助坏字符移动方式来实现。
基于上面的分析, 在系统的实际应用中, 对传统的BM算法进行了简化, 不再另外进行如图6、7、8这样的好后缀移动, 并且改进坏字符移动的判断位置。简化的BM算法思想是这样:当模式串P的一轮从正文串T位置i起“返前”的从右向左的匹配失败时, 因为模式串至少右移一位, 那么我们就以正文串位置i+1的字符Ti+1来判断模式串下次匹配右移距离;当模式串P中没有字符Ti+1, 模式串则右移越过Ti+1在字符Ti+2处对齐;当P中有Ti+1字符, 模式串则右移, 让P中最后出现的Ti+1与正文串i+1位置的字符Ti+1对齐;再开始模式串新一轮从右向左的匹配, 直到一轮模式匹配成功或连续进行的每一轮匹配都失败模式串连续右移越过正文串末尾时, 整个匹配也结束。
简化的BM算法实现依赖一个辅助的坏字符移动表bm[]。对于任意字符x, 其值属于集合Σ→{0, 1, 2, ···, 255}。对于模式串P, bm[x]的定义如下:
其中bm[x]定义中的k是字符x在P中最后出现的位置的值。当模式串P的一轮从正文串T位置i起“返前”的从右向左的匹配失败时, 下一轮匹配模式串的右移量可以直接通过bm[Ti+1]获得。
3. 算法分析比较
当一轮匹配失败的位置在模式串最后一个字符时, 传统的BM算法以Ti来判断模式串右移量;而简化的BM算法以字符Ti+1来判断模式串右移量, 在理论上, 这可以带来多一步的位移。当坏字符出现在倒数第二位时, 传统的BM算法需要以字符Ti-1获得坏字符移动的距离和以字符Ti获得好后缀移动的距离, 再取两者的最大值作为模式串右移的距离;而简化的BM算法只一次以字符Ti+1来判断模式串右移量, 在理论上, Ti+1比Ti-1和Ti可获得更大的步长, 而且它比传统的BM算法至少还少了一次坏字符移动量和好后缀移动量取最大值的比较。
通过对随机捕获网络报文进行大量的测试, 发现简化的BM算法的审计速度比传统的BM算法普遍能提高3%~10%。下面是我们用广西建设职业技术学院主页上学院简介对算法做的一个测试。根据文献的测量数据, 互联网上的平均IP分组长度为404.5字节。去掉IP分组头部和TCP或UDP报文头部, 实际报文内容平均长度不会大于380个字节。我们取稍坏一点情况, 用学院简介的前400个字节来进行测试。测试PC的CPU为Celeron2.93G, 内存为1G, 操作系统为Windows XP。表1给出了具体的测试数据。
从实验的测试数据我们可以看到, 在字符比较总次数和匹配时间开销上, 简化BM算法比传统BM算法都要理想。而且我们可以发现匹配失败的位置都是发生在模式串的倒数两位。
(四) 结束语
本文介绍了信息审计系统的应用模式。按照这种应用模式, 设计了一个应用于内容审计的网络信息审计系统。文中对常用于内容审计的BM算法进行了深入分析, 再结合系统的应用环境和特点, 对BM算法进行了简化。实验证明这样的简化可以提高系统的审计速度。因为BM算法是单模式的匹配算法, 那么模式匹配的总时间随着关键字的增多而线性增长。根据有关文献的分析结果, 在峰值流量为100Mbps的网络环境里, 当我们的关键字超过20个时, 审计监控工作站的审计速度就会产成比较大的丢包率。本系统下一步的工作就是结合对多模式匹配算法的研究, 提高系统在多关键字审计时的速度。
参考文献
[1]Boyer R S, Moore J S.A Fast String Searching Algorithm[J].Communications of ACM, 1977, 20 (10) :762-772.
[2]Agilent Technologies.JTC003Mixed Packet Size Throughput[EB/OL].http://advanced.comms.agilent.com/n2x/docs/journal/JTC_003.html.
摘 要 伴随着科技进步和企业管理理念的发展,越来越多的组织更加依赖于信息技術。与此同时,对信息系统审计的研究和实践也正不断发生着变化。笔者认为,信息系统审计有其自身的特点,是审计的新领域,与传统审计相对独立,应从组织的整体风险控制、价值实现以及整个审计体系的角度来重新认识。
关键词 信息系统 信息技术 审计内容 策略
伴随着科技进步和企业管理理念的发展,以计算机技术、通信技术以及网络技术为主要内容的信息技术在社会各行业的管理中正发挥着越来越重要的作用。无论是企事业单位,还是政府公共服务机构,都越来越依赖于信息系统。信息系统的可靠性、有效性和效率性影响着组织的正常运转。
与此同时,对信息系统审计的研究和实践也正不断发生着变化。从计算机辅助审计到面向系统数据的审计,再到对应用系统的审计,信息系统的审计范围和领域不断扩大。目前,对信息系统审计的认识受到较多传统审计的影响,不少研究人员认为信息系统条审计是传统审计的补充和延伸,是为传统审计提供支撑和服务的。但笔者认为,信息系统审计有其自身的特点,是审计的新领域,对信息系统审计的认识和研究要从企业整体风险控制、价值实现以及整个审计体系的角度来重新认识。
一、信息系统审计的内容
从信息系统在组织中所处地位以及信息系统的开发、运行和维护过程分析,信息系统审计应包括对IT治理结构审计等9个方面的主要内容。
1.对IT治理结构与实施的审计。信息技术过去被认为仅仅是企业组织战略的强化器,而现在被认为是组织战略的重要组成部分,越来越受到管理层的关注。通过有效使用安全、可靠的信息和适用的技术,IT治理有助于企业获得成功。因此,在对信息系统审计中,审计人员应首先关注组织的IT治理机构,判断组织是否做到了IT与业务的融合,并保持目标一致。
2.对系统开发过程的审计。传统的系统开发生命周期法(SDLC)仍是目前大多数系统开发的首选方式。审计人员的职责是参与全过程的监督和评价。
3.对系统和运行的审计。信息系统的运行承担了计算机系统软件、硬件的日常支持工作。
4.对应用控制的审计。审计人员应通过对重要应用程序组件和贯穿系统的事务流的识别,审核系统中的事务进入点、处理点和输出点,以发现控制弱点。一般可以通过审核用户活动报告和违例报告,以及通过平行作业、整体测试等方法来实现对应用控制的审计。
5.对系统安全策略的审计。随着组织对信息系统的依赖性越来越强,信息安全问题正变得日益突出,信息资产比传统资产更容易受到损害。一般而言,为了有效保护信息资产,组织需要建立信息安全管理的一些要素,关键的有:高级管理层的承诺与支持、信息安全政策与程序、组织、安全意识与教育、监督与符合性审核、应急处理与响应。
6.对逻辑访问控制的审计。逻辑访问控制是通过一定的技术方法去控制用户可以利用什么样的信息,可以运行什么样的程序,可以修改什么样的数据。这些控制可以内置在操作系统中,通过单独的访问控制软件进行调用;也可以内置在应用系统、数据库系统和网络控制设施(实时性能监测)中。
7.对物理访问控制的审计。物理访问的暴露可能使企业的业务资源面临非授权访问,导致组织受损。组织一般通过使用胸牌、内存卡、门锁、生物测定设备等限制人员进出机房和数据中心等敏感区域。
8.对环境控制的审计。环境风险可能来自自然灾害,还可能来自电力故障、设备故障、温度、湿度、静电、恐怖袭击等方面。
9.业务连续性计划的审计。业务连续性计划(BCP)是组织为避免关键业务功能中断,减少业务风险而建立的一个控制过程。一般包括对支持组织关键功能的人力、物力需求和关键功能所需的最小级别服务水平的连续性保证。BCP的目标就是要把组织的剩余风险和因意外事件产生的风险降到组织可接受的程度。BCP主要包括灾难恢复计划、作业计划和重建计划。
二、信息系统审计的策略
1.评估现有审计人员的专业胜任能力,补充完善审计人力资源。“知己知彼”才能有效开展审计项目。前面着重阐述的是审计对象,是“彼”,面对新的审计领域,审计人员自身也需要客观审视“己”的专业胜任能力。目前,我国内审人员绝大多数来自财务和审计专业,从事IT开发和管理的人员凤毛麟角,接受过信息系统审计培训的人员也极少。从9个方面的审计内容看,仅在对IT治理结构和实施以及环境控制审计两个方面,目前的审计人员能够基本胜任,其余7个方面都不能完全胜任。这是开展信息系统审计的最大障碍,因此,尽快补充新的审计人力资源是当务之急。
补充完善审计人力资源的途径有两个:一是直接招聘有信息系统背景的审计人员;二是签订信息系统审计业务外包协议。两种途径各有利弊,审计部门负责人可以视具体情况灵活掌握。
2.对现有信息系统的再认识。信息系统是个大系统、大概念,其中包含了众多小的应用系统。以某市通信公司为例,该公司除了使用了上级统一开发的MSS、CRM、综合营帐系统和物资管理系统等之外,又结合自身管理需要陆续开发了增值业务系统、中间渠道管理系统等20多个小型管理应用系统。
要对如此庞杂的系统进行审计,审计人员须要对整个信息系统进行有效的归类整理,划清生产系统、管理系统和支撑系统等的界限,分析系统与系统之间的相互联系,识别核心系统与非核心系统,为下一步具体实施审计奠定良好的基础。
3.制定信息系统审计的长期规划。信息系统审计的内容繁杂,专业技术性强,有效实施审计不可能“全面开花”,一蹴而就。制定长期规划十分必要。与其他长期规划制定工作类似,信息系统审计的长期规划要与组织的价值目标相一致,需要明确审计的最终目的和任务。规划时间一般为5年,规划期内各年的主要任务和重点工作清楚,并对完成规划所需的人力资源、物质资源等有科学的测算。
4.确定中短期审计目标和重点审计领域。中短期审计目标就是将长期规划具体化,主要明确今后2到3年内的具体审计项目。这些项目的确定需要注意以下几个原则:
(1)与组织中短期的经营管理目标一致。
(2)符合长期规划的步骤。
(3)内容具体,可操作性强。
(4)有相应的考核评价体系。
同时,在具体实施中短期审计计划过程中,要注意量力而行,对暂时不能完成的长期规划任务,要及时反馈,适时修订。
5.协调好自审与业务外包的关系。考虑到人力资源成本、管理专业化以及人类认知的固有局限性,目前国际上通行的信息系统审计方式是采用审计人员与外聘专家共同工作的方式。彼此发挥自身优势,取长补短。笔者认为,在信息系统审计中,一般不宜采取完全外包的方式,这不利于审计人员专业素质的提升,也不利于组织信息安全管理。通常,在信息系统审计开展的初期,外包审计的范围可稍大一些,之后,应逐步降低,并保持在适当的比例水平。
6.建立良好的沟通渠道。同传统审计一样,“沟通”在信息系统审计中也显得十分重要。良好的外部沟通有利于审计人员更为全面地认识信息系统的内在控制过程,有利于审计目标与管理目标的结合,有利于审计结果的落实和执行。
另外,还需要做好审计人员的内部沟通,实现审计信息共享。一方面,信息系统审计人员要注意搜集在其他财务审计项目中发现的异常而又暂时难以解决的信息系统方面的问题,提高信息系统审计的针对性和实用性;同时,信息系统审计人员还应将可信赖的信息系统及时反馈给财务审计人员,以减少他们相应的测试工作量,提高审计工作效率,实现整体审计目标。
参考文献:
[1]陈婉玲.COBIT及其在信息系统控制与审计中的应用.审计研究.2006.(131).
[2]刘宝岭.信息系统审计实务手册.北京金领前程信息服务中心.2006.
【信息系统审计精】推荐阅读:
信息系统审计模板04-15
审计信息管理系统11-15
信息管理与信息系统简历12-05
信息系统分析详细总结(信息系统分析与设计6,7章)11-24
内部信息系统10-10
纪委信息系统12-29
旅游信息管理与信息系统总结复习11-26
信息系统可研报告05-29
护理管理信息系统06-11
