高校审计数据安全初探

作者简介:
姚蕾 姜洪海 吴冬海 薛静 东北林业大学审计处

原文出处:
现代审计与会计

内容提要:


期刊代号:V3
分类名称:审计文摘
复印期号:2011 年 01 期

关 键 词:

字号:

      一、计算机审计数据采集安全因素

      所谓数据采集是指在审前调查提出数据需求之后,按照审计目标和数据需求,采用一定的工具和技术方法,对被审计单位信息系统的数据库(文件)进行采集的工作。

      准确完整的数据是计算机审计的重要基础,没有准确完整的数据就无法保证数据分析的质量和审计结果的正确性。如果采集到的数据打不开或不完整,那么一切审计软件也就发挥不了其应有的功能。如果采集到的数据都是假的,那么不管分析多么准确透彻,其最终结果也是不可靠的,所以审计数据采集的安全在计算机审计中发挥着重要的作用。在数据采集阶段的安全因素主要表现在以下两点:

      1.真实性。是指采集到的数据必须是被审计单位计算机系统中存储或备份的数据,未经蓄意修改、删除、增加等操作,能准确反映财务、业务真实情况的原始数据。

      2.完整性。是指在选择性的基础上采集的数据应是完整的,未发生数据的非法篡改、丢失或增加。

      二、数据采集真实性策略

      要保证采集的数据真实可靠,未经被审计单位人为改动,应做好以下几点:

      1.采集数据应在双方的共同监督下进行。数据的采集应取得被审计单位的同意或有关机关的批准。应在审计人员的监督之下,按照数据需求说明书的要求,由被审计单位的技术人员直接从系统中下载电子数据,以保证数据来源可靠、数据真实。如果必须由审计人员来采集数据,一定要得到被审计单位的授权并在一定的权限范围内操作,在双方共同监督下进行,确保操作没有损害被审计单位的操作系统。笔者单位目前使用的是中普审计软件,能够采集80余种财务软件的数据,还可制定特殊财务软件数据采集接口,直接读取各种财务软件导出的科目汇总表及凭证分录数据(格式为Excel)。笔者单位审计数据的主要采集方式为在被审计单位的财务服务器上采集,采集时若被审计单位同意在其机器上安装数据采集工具,则安装数据采集工具,该工具在不影响被审计单位系统的任何设置,保证被审计单位系统的正常运行的情况下对数据是只读取,不会修改数据,更不会影响被审计单位的操作系统。若被审计单位不同意对该服务器直接操作,审计人员采取直接拷贝的方法,即将Access、SQLServer、Paradox等数据库文件拷贝到审计人员的计算机上后再用采集工具采集。

      2.审计人员应对采集的数据进行真实性验证。在数据采集的同时或之后,审计组可以采用各种技术方法对采集的数据真实性进行验证,保证数据的真实可靠。例如对SQL Server数据库中数据进行真实性验证,可以在企业管理器中找到所需的数据库,查询其属性,查看数据库的创建日期是否与预期的相同,若不一致,则可对被审计单位提供的数据真实性提出质疑。也可以通过在查询分析器中输入相关命令(如EXEC sp_helpdb等)了解所有数据库和基本表的基本信息。查看被审计单位提供的表是否在相应的数据库中,进一步查看这些表的创建日期,通过以上操作并结合审前调查的结果,来分析判断数据的真实性。以上数据验证工作也应在双方共同监督之下,由被审计单位技术人员在信息系统上操作执行。

      3.注重对基础数据的保存备份。审计人员应保存一份基础数据作为备份,另外复制一份或几份进行数据的转换、清理和分析,同时要求被审计单位对采集的数据进行备份,以便被审计单位对审计人员提供的数据分析结果产生疑义时进行验证核实。

      4.采集数据前后都应保证被审计单位应用系统能正常运行。在采集数据前应注意让被审计单位的技术人员运行应用系统,确保被审计单位的应用系统本身是正常的,采集数据后,当场让同一技术人员运行应用系统,以保证数据的采集并没有影响应用系统的正常运行,没有造成被审计单位应用系统和操作系统的损坏,以降低审计风险。

      三、数据采集完整性策略

      要保证数据采集的完整性,不仅要使用正确合理的数据采集工具和采集方法,而且要进行数据完整性的验证。数据采集的基本方法:

      1.直接拷贝。对于单机数据库系统,数据的采集可直接拷贝数据库文件。如Access数据库、vfp数据库,可直接拷贝被审计单位的数据库文件。

      2.利用审计软件。对于大部分常用财务软件和数据库系统,用审计软件进行数据的采集,这是目前主流的采集方法,高效且安全。它又有两种采集方式,一种是在服务器端直接安装采集工具。另一种是远程数据采集方式,即在被采集单位和学校的网络系统中,任何一台客户机上安装数据采集工具,可直接采集该单位财务服务器上的数据。这种方式避免了到现场数据采集的各种麻烦,而同在服务器上的采集效果是完全相同的,且数据可做到最大限度的实时化采集。

      3.利用软件自身的导出功能。利用软件自身的导出、导入、备份和还原等功能进行数据的采集。例如Access数据库可利用导出功能将本身的数据转化为Excel、dBase、FoxPro、文本文件等,也可利用导入功能将其他格式文件导入Access中。SQLServer数据库可利用导入导出功能实现与其他数据库的互相转化,同时也可利用自身的备份数据库、分离数据库的功能实现对数据的采集。笔者单位使用的中普软件提供了对财务、业务数据的采集功能,其中对财务数据的采集提供了目前市场上流行的绝大多数财务软件的转化模板。业务数据可采集的数据库的类型有Access、Excel、DB2、dbase、SQL Server、Oracle、Sybase及ODBC数据源等,给数据的采集带来了很大的方便。

      在采集数据同时或之后应及时对数据的完整性进行验证。首先,采集数据之前应在被审计单位的数据库环境中打开采集的数据库。确定所需的表是否在此数据库中,同时应记录下每张表的记录条数、所需的重要字段、统计的一些数据,如某些货币类型字段的金额总和等。其次,在数据采集之后导入到审计软件或SQL Server中,进行一些验证性的数据分析。看所需的表以及重要字段是否都在,统计每张表的记录条数或金额总和是否与先前记录的信息一致,如果不一致,说明采集的数据不完整,应查明原因。最后,可从数据的经济含义出发进行验证,比如从经济总量与分量的核对、借贷平衡等方面验证。如利用审计软件数据采集功能将被审计单位的财务数据导入到审计软件账套中,可利用审计软件的资产负债表审查功能生成资产负债表,查看借贷是否平衡,并与纸质资料的相关指标进行核对是否一致,若不平衡或不一致,应查明原因是数据不完整还是数据本身就存在问题。

相关文章: