信息技術(shù)在內(nèi)部審計(jì)工作中的應(yīng)用

1、信息技術(shù)在內(nèi)部審計(jì)工作中的應(yīng)用我國內(nèi)部審計(jì)發(fā)展的初期是國家要求企業(yè)建立審計(jì)制度，企業(yè)處于要我建的被動(dòng)狀態(tài)；隨著內(nèi)部審計(jì)的作用逐漸被認(rèn)識(shí)，企業(yè)從要我建的被動(dòng)狀態(tài)轉(zhuǎn)變?yōu)槲乙ǖ闹鲃?dòng)狀態(tài)。但是，我國目前內(nèi)部審計(jì)人員往往將大部分精力投入到財(cái)務(wù)數(shù)據(jù)的真實(shí)性、合法性的查證及生產(chǎn)經(jīng)營的監(jiān)督上，審計(jì)的主要職能就是查錯(cuò)防弊而不是對(duì)企業(yè)管理作出分析、評(píng)價(jià)和提出管理建議，審計(jì)的對(duì)象主要是會(huì)計(jì)報(bào)表、賬本、憑證及相關(guān)資料，其主要工作都集中在財(cái)務(wù)領(lǐng)域而未深入到管理和經(jīng)營領(lǐng)域。一、會(huì)計(jì)電算化系統(tǒng)內(nèi)部控制的要內(nèi)容1、組織與管理控制。適當(dāng)?shù)穆氊?zé)分離。這就是設(shè)置網(wǎng)絡(luò)管理中心，由網(wǎng)管中心全盤規(guī)劃合理布局，采取措施確保各工作站、終端

2、和人員之間適當(dāng)?shù)穆氊?zé)分離。優(yōu)化配置人力資源。良好的人力資源管理政策對(duì)于企業(yè)內(nèi)部控制的順利實(shí)施起著關(guān)鍵性的作用。因此要制定措施確保人力資源的合理利用。發(fā)揮內(nèi)部審計(jì)的作用。內(nèi)部審計(jì)的本質(zhì)是一種特殊的組織控制。通過內(nèi)部審計(jì)部門對(duì)會(huì)計(jì)電算化系統(tǒng)信息的質(zhì)量和完整性進(jìn)行獨(dú)立和公正地監(jiān)督與評(píng)價(jià)，有利于系統(tǒng)內(nèi)部自我約束、自我激勵(lì)機(jī)制的建立與鍵全。2、系統(tǒng)開發(fā)控制。系統(tǒng)開發(fā)控制是為保證會(huì)計(jì)電算化系統(tǒng)開發(fā)過程中各項(xiàng)活動(dòng)的合法性和有效性而設(shè)計(jì)的控制措施，它應(yīng)貫穿于系統(tǒng)規(guī)劃、系統(tǒng)分析、系統(tǒng)設(shè)計(jì)、系統(tǒng)實(shí)施和系統(tǒng)運(yùn)行測試與維護(hù)的各個(gè)階段。共主要內(nèi)容包括如下：明確開發(fā)目標(biāo)，制定項(xiàng)目管理計(jì)劃，進(jìn)行項(xiàng)目的可行性研究與分析；控制

3、開發(fā)進(jìn)度監(jiān)督開發(fā)質(zhì)量，檢查各功能模塊設(shè)置的合理性及程序設(shè)計(jì)的可靠性，提高系統(tǒng)的可審性。利用計(jì)算機(jī)測試的功能，檢驗(yàn)整個(gè)系統(tǒng)的完整性，并應(yīng)對(duì)非法數(shù)據(jù)的容錯(cuò)能力、系統(tǒng)抗干擾能力和發(fā)生突發(fā)事件的應(yīng)變能力以及系統(tǒng)遭遇破壞后的恢復(fù)能力進(jìn)行重點(diǎn)測試；做好人員和設(shè)備等資源的整合配置以及初始數(shù)據(jù)的安全導(dǎo)入，保證新舊系統(tǒng)的轉(zhuǎn)換有序進(jìn)行。一旦發(fā)現(xiàn)會(huì)計(jì)電算化系統(tǒng)各類軟件可能存在安全漏洞，應(yīng)立即進(jìn)行修補(bǔ)與升級(jí)，并將所有與軟件修改有關(guān)的記錄報(bào)告及時(shí)存儲(chǔ)歸檔。3、日常操作系統(tǒng)管理控制。制定上機(jī)操作規(guī)程。主要包括軟、硬件操作規(guī)程、作業(yè)運(yùn)行規(guī)程和用機(jī)時(shí)間記錄規(guī)程等。加強(qiáng)系統(tǒng)人員的操作管理。人作為系統(tǒng)主體是會(huì)計(jì)電算化發(fā)展的基本動(dòng)

4、力和信息安全的最終防線。人員操作管理的重點(diǎn)是權(quán)限控制。系統(tǒng)管理員被賦予超級(jí)用戶管理權(quán)限，主要負(fù)責(zé)系統(tǒng)硬、軟件的管理維護(hù)和系統(tǒng)資源分配，操作人員應(yīng)按照被授予的權(quán)限嚴(yán)格作業(yè)，不得越權(quán)接觸系統(tǒng)，系統(tǒng)程序員不得進(jìn)行業(yè)務(wù)操作，以避免人為因素或操作不當(dāng)給操作系統(tǒng)帶來不必要的損失和風(fēng)險(xiǎn)。建立計(jì)算機(jī)資源訪問授權(quán)和身份認(rèn)證制度。即明確每個(gè)用戶的安全級(jí)別和身份標(biāo)識(shí)，并分別定義具體的訪問對(duì)象；建立安全稽核機(jī)制。對(duì)系統(tǒng)操作的事件類型、用戶身份、操作時(shí)間、系統(tǒng)參數(shù)和狀態(tài)以及系統(tǒng)敏感資源進(jìn)行實(shí)時(shí)監(jiān)控和記錄，進(jìn)行必要的權(quán)限設(shè)置，以便能夠?qū)Ω鞣N不同的權(quán)限進(jìn)行用戶識(shí)別和遠(yuǎn)程請(qǐng)求識(shí)別。設(shè)置安全檢測預(yù)警系統(tǒng)。即實(shí)時(shí)尋找具有網(wǎng)絡(luò)攻擊

5、特征和違反網(wǎng)絡(luò)安全策略的數(shù)據(jù)流，實(shí)時(shí)響應(yīng)和報(bào)警，阻斷非法的網(wǎng)絡(luò)鏈接，對(duì)事件涉及的主機(jī)實(shí)施進(jìn)一步跟蹤，創(chuàng)造一種漏洞檢測與實(shí)時(shí)監(jiān)控相結(jié)合的可持續(xù)改進(jìn)的安全模式。4、會(huì)計(jì)電算化系統(tǒng)安全控制。硬件設(shè)備安全控制。硬件設(shè)備安全主要涉及計(jì)算機(jī)機(jī)房環(huán)境和沒備的技術(shù)安全要求。應(yīng)制定計(jì)算機(jī)機(jī)房和設(shè)備的管理制度、崗位職責(zé)和操作規(guī)程，嚴(yán)格禁止無關(guān)人員接觸系統(tǒng)，專機(jī)專用；計(jì)算機(jī)機(jī)房應(yīng)充分滿足防火、防潮防塵、防磁和防輻射及恒溫等技術(shù)要求，關(guān)鍵性的硬件設(shè)備可采用雙系統(tǒng)備份。系統(tǒng)軟件安全控制。嚴(yán)格控制系統(tǒng)軟件的安裝與修改，對(duì)系統(tǒng)軟件進(jìn)行定期的預(yù)防性檢查，系統(tǒng)被破壞時(shí)要求系統(tǒng)軟件具備緊急響應(yīng)、強(qiáng)制備份、快速重構(gòu)和快速恢復(fù)的功能

6、。會(huì)計(jì)信息安全控制。會(huì)計(jì)信息安全的基礎(chǔ)是密碼學(xué)。按加密和解密算法所用的密鑰是否相同，將密碼分為對(duì)稱密鑰密碼體制和非對(duì)稱密鑰密碼體制。后者在信息安全管理方面得到了廣泛的應(yīng)用。如通信線路上的數(shù)據(jù)流加密，數(shù)據(jù)庫中的數(shù)據(jù)文件加密，訪問者的身份認(rèn)證，數(shù)字簽名等。除密碼學(xué)之外，模式識(shí)別的方法也在網(wǎng)絡(luò)信息安全方面得到應(yīng)用。如指紋識(shí)別、面容識(shí)別在身份認(rèn)證中具有很好的作用。系統(tǒng)入侵防范控制。為了防止非法用戶對(duì)會(huì)計(jì)電算化系統(tǒng)的入侵，應(yīng)采取設(shè)置防火墻，身份認(rèn)證和授權(quán)管理等安全技術(shù)，用以限制外界對(duì)主機(jī)操作系統(tǒng)的訪問；用以隔離應(yīng)用系統(tǒng)與外界訪問區(qū)域之間的聯(lián)系，限制外界穿過訪問區(qū)域?qū)W(wǎng)絡(luò)應(yīng)用系統(tǒng)服務(wù)器尤其是對(duì)會(huì)計(jì)數(shù)據(jù)庫系

7、統(tǒng)的非法訪問；加強(qiáng)原有的基于帳戶和口令的控制，提供授權(quán)訪問控制和用戶身份識(shí)別。交易安全控制。為了保證交易者的交易信息不被他人竊取或破譯，主要應(yīng)采取數(shù)字加密、數(shù)字認(rèn)證等核心技術(shù)。5、應(yīng)用控制。應(yīng)用控制是指在會(huì)計(jì)電算化系統(tǒng)的數(shù)據(jù)輸入、通訊、處理和輸出環(huán)節(jié)所采用的控制程序和措施。輸入控制。輸入控制的重點(diǎn)在于建立適當(dāng)?shù)氖跈?quán)和審批機(jī)制，并對(duì)輸入數(shù)據(jù)的準(zhǔn)確性進(jìn)行校驗(yàn)，如總數(shù)控制校驗(yàn)、平衡校驗(yàn)、科目代碼校驗(yàn)和邏輯關(guān)系測試等。通訊控制。通訊控制的重點(diǎn)在于批量控制，業(yè)務(wù)時(shí)序控制、數(shù)據(jù)編碼控制與發(fā)放和接收的標(biāo)識(shí)控制等。處理控制。處理控制的重點(diǎn)在于處理過程的現(xiàn)場控制、數(shù)據(jù)有效性檢測、預(yù)留審計(jì)線索控制和錯(cuò)誤糾正控制等

8、。數(shù)據(jù)輸出控制。輸出控制的重點(diǎn)在于數(shù)據(jù)稽核控制，授權(quán)輸出控制和打印程序控制等。二、信息技術(shù)對(duì)內(nèi)部審計(jì)的影響隨著信息技術(shù)的發(fā)展，利用計(jì)算機(jī)從事經(jīng)營管理越來越多地被企業(yè)接受，會(huì)計(jì)電算化給財(cái)務(wù)管理帶來了便利同時(shí)，也給內(nèi)部審計(jì)工作增添了新的審計(jì)內(nèi)容，具體來講包括以下幾個(gè)方面：1、會(huì)計(jì)電算化系統(tǒng)內(nèi)部控制制度的審計(jì)會(huì)計(jì)電算化系統(tǒng)內(nèi)部控制制度是制約會(huì)計(jì)電算化核算的行為規(guī)范，是保證會(huì)計(jì)電算化系統(tǒng)可靠性和準(zhǔn)確性的關(guān)鍵。對(duì)會(huì)計(jì)電算化系統(tǒng)內(nèi)部控制制度的審計(jì)主要包括兩個(gè)方面：一是審查電算化的內(nèi)部控制制度是否完善健全；二是測試已建立的內(nèi)部控制制度的執(zhí)行過程和執(zhí)行結(jié)果。 2、會(huì)計(jì)電算化硬件的審計(jì)會(huì)計(jì)電算化硬件指計(jì)算機(jī)隨機(jī)

9、配備的為防止硬件運(yùn)行失靈的一些控制功能。如為防止計(jì)算機(jī)數(shù)據(jù)丟失或損壞，服務(wù)器配備雙硬盤，實(shí)時(shí)對(duì)計(jì)算機(jī)的數(shù)據(jù)映射到備份硬盤中；為防止硬件運(yùn)算出錯(cuò)，很多計(jì)算機(jī)配備了重復(fù)處理校驗(yàn)功能，常見的有冗余校驗(yàn)等。3、會(huì)計(jì)電算化軟件審計(jì)主要是了解軟件系統(tǒng)所需要達(dá)到的目標(biāo)和實(shí)現(xiàn)的功能，了解計(jì)算機(jī)輸出的內(nèi)容和格式。包括審查財(cái)務(wù)軟件是否通過財(cái)政部門或其他有關(guān)部門的鑒定、評(píng)審；審查財(cái)會(huì)軟件的設(shè)計(jì)是否符合現(xiàn)行財(cái)政法規(guī)和會(huì)計(jì)核算制度；審查會(huì)計(jì)科目設(shè)置的科學(xué)性、合理性；審查會(huì)計(jì)電算化系統(tǒng)輸出的格式和內(nèi)容是否滿足管理部門和其他部門的要求；審查軟件是否具有應(yīng)變能力，能否適應(yīng)外界環(huán)境的變化；審查電算化軟件是否操作方便、簡單易學(xué)。

10、4、系統(tǒng)安全性、保密性的審計(jì)主要是對(duì)保證計(jì)算機(jī)系統(tǒng)運(yùn)轉(zhuǎn)的連續(xù)性和導(dǎo)致系統(tǒng)資源損失的種種干擾因素所采取的各種控制手段的審計(jì)。包括：接觸控制。只有經(jīng)過批準(zhǔn)的財(cái)會(huì)人員才能接觸電腦系統(tǒng)的軟件、硬件和數(shù)據(jù)文件，如采用機(jī)房、加鎖、口令控制等多種方法。后備控制。對(duì)重要的系統(tǒng)硬件、軟件配置后備設(shè)備，對(duì)數(shù)據(jù)文件進(jìn)行備份，在系統(tǒng)資科毀損的情況下能及時(shí)恢復(fù)處理功能。環(huán)境安全控制。如計(jì)算機(jī)房應(yīng)配有防火、防塵、不間斷電源、穩(wěn)壓設(shè)備等。保密性控制。會(huì)計(jì)信息作為單位十分重要的商業(yè)秘密，必須有保密控制，包括會(huì)計(jì)人員上機(jī)操作權(quán)限的分配、聯(lián)網(wǎng)后有關(guān)財(cái)會(huì)信息的安全等。三、對(duì)開展會(huì)計(jì)電算化系統(tǒng)審計(jì)的一些建議1、會(huì)計(jì)電算化審計(jì)，除了要求審計(jì)人員懂得會(huì)計(jì)、審計(jì)知識(shí)，還應(yīng)懂得計(jì)算機(jī)硬件、軟件知識(shí)，兩者結(jié)和起來，并對(duì)被審計(jì)單位的會(huì)計(jì)信息系統(tǒng)達(dá)到全面的了解，這樣才能完成審計(jì)任務(wù)。審計(jì)機(jī)構(gòu)必須加大培訓(xùn)力度，提高審計(jì)人員的計(jì)算機(jī)知識(shí)和技