电子数据轨迹,是指在财务核算和业务操作中通过编码、交叉索引和流程控制,连接电子操作与原始交易数据所提供的一连串的信息。信息系统应为每笔业务、每项经济活动提供一个完整的电子数据轨迹,该电子数据轨迹需要有迹可循并长期保存。 在电子环境下,那些原来审计人员常见的记账凭证、明细账表、科目汇总表、有个性的笔迹等资料有的消失,有的发生了变化,变得更加隐藏、更加复杂。如果不能针对电子数据轨迹进行分析,审计人员就不能验证和追查经济活动,信息系统审计也就失去意义。电子数据轨迹不仅对审计人员重要,对被审计单位也很重要,被审计单位可使用电子数据轨迹来答复客户对有关资料的询问或质疑。 一、电子数据轨迹分析 电子数据轨迹从信息系统构成的各个环节都有得到体现的可能,组成信息系统的商业软件都有记录功能。 (一)应用软件 财务软件:目前市场占有率较高的公司有金蝶、用友和安易、新中大等,其软件产品也较丰富。一种较为普通的电子数据轨迹就是上机日志,各系统随时对各个产品或模块的每个操作员的上下机时间、操作的具体功能等情况都进行登记,形成上机日志,以便使所有的操作都有所记录、有迹可寻。由于上机日志数量庞大,为了便于审计人员有重点地进行选择,迅速发现问题,通常系统还会提供过滤功能,这样,审计人员就可以选择那些在符合性测试中发现的较薄弱的内部控制环节进行有重点的实质性测试,提高工作效率。但是,某些被审计单位因数据空间或操作人员习惯等原因,对上机日志做清理而未备份,对审计工作带来不便。 业务软件:由于被审计单位业务千差万别且没有一个全国性的统一规范,软件采用的操作系统、数据库、表没计、流程均不一致,有的软件带日志文件,有的不带审计时只能做参考备选考虑。 (二)数据库软件 数据库软件经过多年发展,产品线十分丰富,但也给审计人员对电子数据轨迹的分析带来了难度。 1.Microsoft SQL Server2000 Microsoft Sql Server是企业信息管理系统中应用较为广泛的一种数据库管理系统,从版本上看,其产品主要有SYBASE SQLSERVER,Microsoft SQL SERVER4,Microsoft SQL SERVER6,Microsoft SQL SERVER6.5,Microsoft SQL SERVER7.0,Microsoft SQL SERVER2000,Microsoft SQL SERVER 2005。审计人员在对电子数据轨迹中可以利用的工具是SQL SERVERPROFILER,该工具的目的是为了捕捉系统的活动,用于分析、诊断和审计系统的性能可通过适当的设置来规划的电子数据轨迹。为了使用这一工具,必须创建一个跟踪定义,一旦定义了跟踪,我们就可以启动、停止、暂停和继续运行跟踪。当其运行时,SQLSERVER PROFILER监测指定服务器上的SQL SERVER事件,并且为所选的事件捕捉满足过滤条件的指定数据。当这种跟踪数据被捕捉时可以交互显示,并且将跟踪结果存储在指定的表或文件中。SQL SERVERPROFIER提供了由用户定义跟踪事件数据的功能,但这一功能是有限的。一个更可行更灵活的方案是利用Microsoft SQL SERVER2005提供的触发器技术。 但上述操作必须提前启动,如果被审计单位未启用,审计人员无法对以前操作分析。根据审计经验,如果部署信息系统时未启动该功能,被审计单位自行启用的可能性不大。 2.ORACLE8数据库从其安全性考虑,设有多个安全层,并且可以对各层进行审计,审计记录可以写入SYS.AUD$的审计踪迹,可以被审计的三种不同的操作类型包括:注册企图、对象访问和数据库操作,利用其中的对对象的数据交换操作审计功能,就可以获得相应的电子数据轨迹。 要使数据库允许审计,必须在INIT.ORA文件中的AUDITTRAIL值设为DB(允许审计,并将审计结果写入SYS.AUD$表),对于特定的表(如ACCOUNT表),我们所需要的电子数据轨迹主要是插入(INSERT)、删除(DELETE)和更新(UPDATE)操作,可以利用以下的语句来进行:AUDITINSERT ON ACCOUNT BY ACCESS; AUDIT UPDAT E ON ACCOUNT BY ACCESS; AUDIT DELETE ON ACCOUNT BY ACCESS;上述语句指定了一个审计记录在每次插入、删除和更新ACCOUNT表时写入,审计记录结果可以通过对DBA-AUDIT-OBJECT视图的查询进行显示。 如果在SYS.AUD$上储存信息,就必须先保护该表,否则用户可通过非法操作来删除电子数据踪迹,由于SYS.AUD$是存在数据库内的,可通过以下命令来保护该表:AUDIT ALL ONSYSAUD$ BY ACCESS;而且对该表的操作只能由具有CONNECT INTERNAL能力的用户来删除(例如,在DBA组中)。另外,也可以使用ORACLE的触发器。 3.其他数据库ACCESS、FOXPRO等数据库不记录日志文件,直接利用数据库本身来分析电子数据轨迹是很困难的。 (三)操作系统层 市场上分为Windonws,Linux,Unix,Unix一般用于大型、覆盖面大的单位如海关、银行等。 1.Windows是微软的操作系统,自带安全机制,它将安全策略地分成两类:账户策略和本地策略。其中,本地策略包括审核策略、用户权利指派和安全选项,其中的审核策略就是用来指定要记录的事件类型,这些类型涉及从系统范围的事件(例如用户登录)到指定事件(例如某用户试图读取某个特定文件),这些事件包括成功事件、不成功事件或兼而有之。审核记录写入计算机的安全日志,通过“事件查看器”我们可以获得部分审计轨迹。
