電子審計(jì)軌跡分析(一).doc

1、電子審計(jì)軌跡分析(一 )一、我國企業(yè)會(huì)計(jì)電算化和管理信息系統(tǒng)我國企業(yè)會(huì)計(jì)電算化和管理信息系統(tǒng)的發(fā)展與我國會(huì)計(jì)軟件的發(fā)展是基本同步的。從1979 年我國在長春一汽開始進(jìn)行會(huì)計(jì)電算化系統(tǒng)開發(fā)探索始，我國的會(huì)計(jì)軟件應(yīng)用發(fā)展大致經(jīng)歷了非商品化的開發(fā)過程、單一模型會(huì)計(jì)軟件階段、核算型會(huì)計(jì)軟件、管理型會(huì)計(jì)軟件、ERP會(huì)計(jì)軟件（戰(zhàn)略型會(huì)計(jì)軟件）這五個(gè)階段。從目前應(yīng)用的廣泛性和前景看，后三種軟件較為人們所關(guān)注。電子審計(jì)軌跡分析（一） 核算型會(huì)計(jì)軟件隨著電算化的普及，財(cái)務(wù)軟件也從帳務(wù)、工資等單項(xiàng)處理，過渡到深入全面的會(huì)計(jì)核算，如往來、存貨、成本等，形成了以核算為體系的會(huì)計(jì)軟件。目前國內(nèi)主要會(huì)計(jì)軟件， 都具有這些

2、功能。但核算型會(huì)計(jì)軟件缺乏管理思想，很難與企業(yè)管理信息系統(tǒng)（ MIS）融為一體。 （二）管理型會(huì)計(jì)軟件為適應(yīng)經(jīng)濟(jì)和提高企業(yè)自身管理水平，許多企業(yè)迫切需要會(huì)計(jì)軟件能具有資金管理、核算、項(xiàng)目管理核算、財(cái)務(wù)分析、輔助決策的功能，這就形成了管理型會(huì)計(jì)軟件，管理型會(huì)計(jì)軟件突破了會(huì)計(jì)軟件只局限于會(huì)計(jì)核算的界限，向全面參予管理決策發(fā)展。 （三） ERP 會(huì)計(jì)軟件（戰(zhàn)略型會(huì)計(jì)軟件）隨著我國企業(yè)從重視內(nèi)部管理，以提高生產(chǎn)效率、降低成本為核心的生產(chǎn)管理時(shí)代，到面向市場的，以建立全面競爭優(yōu)勢為核心的新管理時(shí)代， 會(huì)計(jì)軟件從管理型發(fā)展到戰(zhàn)略型、實(shí)現(xiàn)企業(yè)內(nèi)部物流、 資金流與信息流的一體化管理，實(shí)現(xiàn)管理與決策有機(jī)統(tǒng)一，并

3、將適應(yīng)在Internet/Intranet/Extranet上，實(shí)現(xiàn)與外部資源的統(tǒng)一， 會(huì)計(jì)軟件從離散的部門級(jí)應(yīng)用走向整體的企業(yè)級(jí)應(yīng)用。企業(yè)信息化建設(shè)的一個(gè)重要階段是建設(shè)企業(yè)核心的業(yè)務(wù)管理和應(yīng)用系統(tǒng)階段。而在這個(gè)階段最有代表性的是企業(yè)內(nèi)部的資源計(jì)劃系統(tǒng)ERP。ERP是一種科學(xué)管理思想的計(jì)算機(jī)實(shí)現(xiàn)，他對(duì)產(chǎn)品研發(fā)和設(shè)計(jì)、作業(yè)控制、生產(chǎn)計(jì)劃、投入品采購、市場營銷、銷售、庫存、財(cái)務(wù)和人事等方面以及相應(yīng)的模塊組成部分， 采取集成優(yōu)化的方式進(jìn)行管理。ERP不是機(jī)械的適應(yīng)企業(yè)現(xiàn)有的流程，而是對(duì)企業(yè)流程中不合理的部分提出改進(jìn)和優(yōu)化建議，并可能導(dǎo)致組織機(jī)構(gòu)的重新設(shè)計(jì)和業(yè)務(wù)流程重組。從實(shí)際應(yīng)用分析， 我國企業(yè)電子

4、化的水平不一，有的企業(yè)尚未電子化， 有的還處于或者單一模型會(huì)計(jì)軟件階段或者核算型會(huì)計(jì)軟件階段。另外，同樣是在 ERP級(jí)的企業(yè)， 其應(yīng)用水平也有較大差異， 有的只是部分甚至單一模塊的應(yīng)用，有的只是將其作為原有信息管理系統(tǒng)的補(bǔ)充，有的網(wǎng)絡(luò)管理相當(dāng)薄弱。但是，企業(yè)電子化發(fā)展的趨勢是不可逆轉(zhuǎn)的，現(xiàn)在只要有企業(yè)要建設(shè)信息化系統(tǒng)，他就會(huì)超越會(huì)計(jì)軟件發(fā)展的低級(jí)階段，而將瞄準(zhǔn)其最新的研究成果上，也就是說，一旦企業(yè)進(jìn)行電子化的再造，其涉及的領(lǐng)域?qū)⒖涨皬V泛，不僅僅是會(huì)計(jì)電算化，而是產(chǎn)、供、銷、設(shè)備、倉儲(chǔ)、運(yùn)輸、設(shè)計(jì)、質(zhì)量乃至人教勞資等企業(yè)管理的各個(gè)領(lǐng)域。目前越來越多的企業(yè)在加緊企業(yè)管理信息系統(tǒng)的建設(shè)，這從我國財(cái)務(wù)

5、及企業(yè)管理軟件開發(fā)供應(yīng)商的規(guī)模上也可反映出來。我國財(cái)務(wù)及企業(yè)管理軟件開發(fā)供應(yīng)商已涌現(xiàn)出了包括用友、金蝶、安易等一大批公司， 據(jù)用友公司介紹， 僅用友截止2000 年年初，其地區(qū)分、子公司 50 余家，代理商 500 余家，客戶服務(wù)中心100 余家，行業(yè)覆蓋率 100，用戶數(shù)約20 萬家，除此之外，還有大量上規(guī)模的企業(yè)在自行開發(fā)應(yīng)用。由此可見，企業(yè)電子審計(jì)的環(huán)境已逐步形成，且其電子化的色彩將伴隨著電子商務(wù)的產(chǎn)生和發(fā)展而變得越來越濃。二、現(xiàn)行電子審計(jì)軌跡分析審計(jì)軌跡， 是指在經(jīng)濟(jì)業(yè)務(wù)和會(huì)計(jì)制度核算中通過編碼、交叉索引和連接帳戶余額與原始交易數(shù)據(jù)的書面資料所提供的一連串的信息企業(yè)的會(huì)計(jì)系統(tǒng)應(yīng)為每筆業(yè)

6、務(wù)、每項(xiàng)經(jīng)濟(jì)活動(dòng)提供一個(gè)完整的審計(jì)軌跡。審計(jì)軌跡對(duì)企業(yè)管理當(dāng)局和審計(jì)人員都很重要，企業(yè)管理當(dāng)局可使用審計(jì)軌跡來答復(fù)客戶對(duì)有關(guān)資料的詢問或質(zhì)疑，審計(jì)人員可使用審計(jì)軌跡來驗(yàn)證和追查經(jīng)濟(jì)活動(dòng)。 沒有審計(jì)軌跡，審計(jì)工作將難以開展。在電子環(huán)境下， 那些原來審計(jì)人員常見的記帳憑證、明細(xì)帳表、科目匯總表、有個(gè)性的筆跡等有的已消失，有的發(fā)生了變化，變得更加隱藏、更加復(fù)雜， 從而加大了審計(jì)工作的難度。當(dāng)前，我國會(huì)計(jì)軟件的開發(fā)正處于從起步到形成產(chǎn)業(yè)的階段， 由于考慮到會(huì)計(jì)處理系統(tǒng)的效率和研制成本等原因，軟件開發(fā)在設(shè)計(jì)開發(fā)中， 對(duì)如何充分保留并提供審計(jì)軌跡卻未給予足夠重視。換句話說， 更加詳細(xì)地描述審計(jì)軌跡的會(huì)計(jì)軟

7、件的開發(fā)還需進(jìn)一步努力補(bǔ)缺。因此，國家有關(guān)部門應(yīng)盡快出臺(tái)有關(guān)制度、標(biāo)準(zhǔn)，使設(shè)計(jì)者有章可循，審計(jì)人員有標(biāo)準(zhǔn)可依。（一）應(yīng)用軟件層目前由國內(nèi)企業(yè)開發(fā)的知名財(cái)務(wù)軟件產(chǎn)品包括金蝶、用友和安易、新中大等， 其軟件產(chǎn)品也較豐富，一種較為流行的審計(jì)軌跡安排就是上機(jī)日志。各系統(tǒng)隨時(shí)對(duì)各個(gè)產(chǎn)品或模塊的每個(gè)操作員的上下機(jī)時(shí)間、操作的具體功能等情況都進(jìn)行登記， 形成上機(jī)日志， 以便使所有的操作都有所記錄、有跡可尋。由于上機(jī)日志數(shù)量龐大， 為了便于審計(jì)人員有重點(diǎn)地進(jìn)行選擇，迅速發(fā)現(xiàn)問題， 通常系統(tǒng)還會(huì)提供過濾功能， 這樣，審計(jì)人員就可以選擇那些在符合性測試中發(fā)現(xiàn)的較薄弱的內(nèi)部控制環(huán)節(jié)進(jìn)行有重點(diǎn)的實(shí)質(zhì)性測試，提高工作效

8、率。 另外，系統(tǒng)還提供了從報(bào)表到憑證和從憑證到報(bào)表的雙向查詢功能，從而建立了一條應(yīng)用程序內(nèi)的審計(jì)軌跡。（二）數(shù)據(jù)庫層1 、MicrosoftSQLServer2000MicrosoftSqlServer是企業(yè)信息管理系統(tǒng)中應(yīng)用較為廣泛的一種數(shù)據(jù)庫管理系統(tǒng)，從版本上看，其產(chǎn)品主要有SYBASESQLSERVER， MicrosoftSQLSERVER4， MicrosoftSQLSERVER6，MicrosoftSQLSERVER6.5， MicrosoftSQLSERVER7.0， MicrosoftSQLSERVER2000。微軟公司最新推出的關(guān)系型數(shù)據(jù)庫管理系統(tǒng)MicrosoftSQLSE

9、RVER2000是一個(gè)面向下一代的數(shù)據(jù)庫和數(shù)據(jù)分析系統(tǒng)，具有很高的可靠性、 可伸縮性、 可用性、可管理性等特點(diǎn)。 MicrosoftSQLSERVER2000是一種典型的具有客戶機(jī)服務(wù)器體系結(jié)構(gòu)的關(guān)系型數(shù)據(jù)庫管理系統(tǒng)，他使用TRANS ACTSQL 語句在客戶機(jī)和服務(wù)器之間傳送請(qǐng)求和回應(yīng)。MicrosoftSQLSERVER2000帶有的常用工具 包 括 SQLSERVERENTERPRISEMANAGER、SQLSERVEROUERYANALYZER、各 類向 導(dǎo) 工 具 和SQLSERVERPROFILER。其中我們?cè)趧?chuàng)建審計(jì)軌跡中可以利用的工具是SQLSERVERPROFILER。設(shè)計(jì)者

10、開發(fā) SQLSERVERPROFILER工具的目的是為了捕捉系統(tǒng)的活動(dòng)，用于分析、 診斷和審計(jì)系統(tǒng)的性能。 可以利用其跟蹤事件的功能，通過適當(dāng)?shù)脑O(shè)置來安排我們的審計(jì)軌跡。為了使用這一工具，必須創(chuàng)建一個(gè)跟蹤定義，一旦定義了跟蹤，我們就可以啟動(dòng)、停止、暫停和繼續(xù)運(yùn)行跟蹤。當(dāng)其運(yùn)行時(shí)，SQLSERVERPROFILER監(jiān)測指定服務(wù)器上的SQLSERVER事件，并且為所選的事件捕捉滿足過濾條件的指定數(shù)據(jù)。當(dāng)這種跟蹤數(shù)據(jù)被捕捉時(shí)可以交互顯示，并且將跟蹤結(jié)果存儲(chǔ)在指定的表或文件中。例如，我們可以在 TRACEPROPERTIES窗口的 GENERAL選項(xiàng)卡中指定跟蹤服務(wù)器的名稱（應(yīng)當(dāng)將其設(shè)置成財(cái)務(wù)軟件運(yùn)行

11、的數(shù)據(jù)庫服務(wù)器名），跟蹤文件保存的地點(diǎn)（應(yīng)當(dāng)是一個(gè)相對(duì)安全的地點(diǎn)），跟蹤失效的時(shí)間點(diǎn)等；在EVENTS選項(xiàng)卡中指定希望使用該跟蹤捕捉的事件（如將TSQL事件分類中的 STMTCOMPLETED事件選入，則將對(duì)已經(jīng)完成的 TRANSACT SQL語句進(jìn)行捕捉） ：在 DATACOLUMNS選項(xiàng)卡中設(shè)置需要捕捉的數(shù)據(jù)列 （如將 DATABASENAME，STARTTIME，ENDTIME，TEXT，LOGINNAME，OBJECTNAME等選入數(shù)據(jù)列，則將對(duì)語句正在其中運(yùn)行的數(shù)據(jù)庫名、事件開始的時(shí)間、事件結(jié)束的時(shí)間、當(dāng)前指定的對(duì)象名、用戶登錄系統(tǒng)的名稱、捕捉到跟蹤中的事件類的文本值等進(jìn)行捕捉）。一

12、旦設(shè)置完成， 就可以運(yùn)行跟蹤了。跟蹤可以是持續(xù)運(yùn)行的， 為了不影響系統(tǒng)的性能，我們應(yīng)當(dāng)及時(shí)將相應(yīng)的跟蹤文件備份。當(dāng)然，審計(jì)人員應(yīng)當(dāng)根據(jù)被審計(jì)方的實(shí)際情況作出運(yùn)行跟蹤最佳時(shí)間的職業(yè)判斷以便提高系統(tǒng)的運(yùn)行效率。SQLSERVERPROFIIER提供了由用戶定義跟蹤事件數(shù)據(jù)的功能，但這一功能是有限的。一個(gè)更可行更靈活的方案是利用MicrosoftSQLSERVER2000提供的觸發(fā)器技術(shù)。2、ORACLE8ORACLE8數(shù)據(jù)庫從其安全性考慮， 設(shè)有多個(gè)安全層， 并且可以對(duì)各層進(jìn)行審計(jì)， 利用 ORACLE8 自帶的這種審計(jì)功能， 我們可以安排所需的財(cái)務(wù)審計(jì)軌跡。 ORACLE8具有審計(jì)發(fā)生在其內(nèi)部所

13、有動(dòng)作的能力，審計(jì)記錄可以寫入 SYS AUD的審計(jì)蹤跡，可以被審計(jì)的三種不同的操作類型包括： 注冊(cè)企圖、 對(duì)象訪問和數(shù)據(jù)庫操作， 利用其中的對(duì)對(duì)象的數(shù)據(jù)交換操作審計(jì)功能，就可以獲得相應(yīng)的審計(jì)軌跡。首先我們使數(shù)據(jù)庫允許審計(jì)，必須在 INIT.ORA文件中的 AUDITTRAIL值設(shè)為 DB（允許審計(jì)，并將審計(jì)結(jié)果寫入 SYS.AUD$表），對(duì)于特定的表（如 ACCOUNT表），我們所需要的審計(jì)軌跡主要是插入（ INSERT、刪除（ DELETE）和更新（ UPDATE）操作，可以利用以下的語句來進(jìn)行：AUDITINSERTONACCOUNTBYACCESS；AUDITUPDATEONACCOU

14、NTBYACCESS；AUDITDELETEONACCOUNTBYACCESS；上述語句指定了一個(gè)審計(jì)記錄在每次插入、 刪除和更新ACCOUNT表時(shí)寫入，審計(jì)記錄結(jié)果可以通過對(duì) DBA AUDIT OBJECT視圖的查詢進(jìn)行顯示。如果在 SYS.AUD$上儲(chǔ)存信息，就必須先保護(hù)該表，否則用戶可通過非法操作來刪除審計(jì)蹤跡，由于SYS.AUD$是存在數(shù)據(jù)庫內(nèi)的，可通過以下命令來保護(hù)該表：AUDITALLONSYSAUD$BYACCESS；而且對(duì)該表的操作只能由具有CONNECTINTERNAL能力的用戶來刪除（例如，在DBA 組中）。另外， ORACLE8的觸發(fā)器功能也是較強(qiáng)大的，如可以建立置審計(jì)

15、軌跡，并將軌跡記錄在TAB2、TAB3表中。A 和B 兩個(gè)觸發(fā)器來對(duì)TABI表設(shè)CREATTRIGGERAAFTERINSERTORUPDATEORDELETEONTAB1DECLARESTATEMENTTYPECHAR（1）；BEGINIFINSERTINGTHENSTATEMENTTYPE： =；IELSIFUPDATINGTHENSTATEMENTTYPE： = ；UELSESTATEMENTTYPE： D；ENDIF；INSERTINTOTAB2VALUES（ SYSDATE，STATEMENTTYPE,USER）；ENDA；CREATTRIGGERBBEFOREINSERTORUPD

16、ATEORDELETEONTAB1FOREACHROWBEGININSERTINTOTAB3VALUES（ SYSDATE，USER，NEW.ID,:NEW.RECORDER,:OLD.ID,:OLD,RECORDER）；ENDB；3、其他數(shù)據(jù)庫ACCESS、 FOXPRO等數(shù)據(jù)庫可以通過設(shè)置密碼等方式來限制訪問，但直接利用數(shù)據(jù)庫本身來設(shè)置審計(jì)軌跡是很困難的。 （三）操作系統(tǒng)層 1、 Windows2000 操作系統(tǒng) Windows2000 是微軟最近推出的操作系統(tǒng)，其覆蓋的用戶面之廣是史無前例的：從家庭用戶、商業(yè)用戶、 筆記本用戶、工作組服務(wù)器、 部門服務(wù)器到提供企業(yè)計(jì)算和安全環(huán)境的高級(jí)服務(wù)

17、器到可以提供全球聯(lián)機(jī)電子交易服務(wù)的數(shù)據(jù)中心服務(wù)器。盡管可以分為四個(gè)版本：PROFESSIONAL（專業(yè)版） 、 SERVER（服務(wù)器版） 、 ADVANCEDSERVER（高級(jí)服務(wù)器版）和DATACENTERSERVER（數(shù)據(jù)中心服務(wù)器版） ，然而內(nèi)核和界面是一樣的，區(qū)別僅在于支持的CPU 數(shù)量和某些高級(jí)功能和服務(wù)。作為單用戶多任務(wù)的內(nèi)置網(wǎng)絡(luò)功能操作系統(tǒng)，Windows2000 擁有一個(gè)健全的用戶帳戶和工作環(huán)境，利用其固有的安全機(jī)制，可以安排我們的審計(jì)軌跡。Windows2000使用 “本地安全設(shè)置”更精確地管理工作組中的用戶和資源，它將安全策略地分成兩類：帳戶策略和本地策略。其中，本地策略包

18、括審核策略、用戶權(quán)利指派和安全選項(xiàng)，其中的審核策略就是用來指定要記錄的事件類型，這些類型涉及從系統(tǒng)范圍的事件（例如用戶登錄）到指定事件（例如某用戶試圖讀取某個(gè)特定文件），這些事件包括成功事件、不成功事件或兼而有之。審核記錄寫入計(jì)算機(jī)的安全日志，通過 “事件查看器 ”我們可以獲得部分審計(jì)軌跡。為了控制各種審計(jì)軌跡文件的數(shù)量，同時(shí)為了保護(hù)重要文件（包括審計(jì)蹤跡文件）不被非法刪除、修改， Windows2000 新的 “加密文件系統(tǒng) ”（ EFS提供了一種核心文件加密技術(shù)，該技術(shù)用于在 NTFS文件系統(tǒng)卷上存儲(chǔ)已加密文件。對(duì)已加密的文件的用戶，加密是透明的。但是，試圖訪問已加密文件的入侵者將被禁止這

19、些操作。具體操作時(shí)既可以通過為文件設(shè)置加密屬性，也可以用命令行功能CIPHER加密文件。當(dāng)然，利用Windows2000 的文件和文件夾權(quán)限設(shè)置功能，也可以控制各種審計(jì)軌跡文件的數(shù)量。2、UNIX 操作系統(tǒng)從安全性來講， 普遍的觀點(diǎn)是UNIX 操作系統(tǒng)的安全性能高于Windows 操作系統(tǒng)， 正因?yàn)槿绱耍?UNIX 操作系統(tǒng)也為我們提供了獲取更多，更精確的審計(jì)軌跡的可能性。UNIX 能自動(dòng)生成很多日志文件，這些日志文件可以形成我們的審計(jì)軌跡。UNIX 的日志分為三類：（1）連接時(shí)間日志由多個(gè)程序執(zhí)行，把紀(jì)錄寫入到var log wtmp和 var run Utmp ， login 等程序更新wtmp 和 utmp 文件，使我們能夠跟蹤誰在何時(shí)登錄到系統(tǒng)。（2）進(jìn)程統(tǒng)計(jì) 由系統(tǒng)內(nèi)核執(zhí)行。 當(dāng)一個(gè)進(jìn)程終止時(shí)，為每個(gè)進(jìn)程往進(jìn)程統(tǒng)計(jì)文件（ pacct或 acct）中寫一個(gè)紀(jì)錄，進(jìn)程統(tǒng)計(jì)的目的是為系統(tǒng)中的基本服務(wù)提供命令使用統(tǒng)計(jì)。（3）錯(cuò)誤日志 由 syslogd 執(zhí)行。各種系統(tǒng)守護(hù)進(jìn)程、用戶程序和內(nèi)核通過syslog