《电子审计轨迹分析(一)》由会员分享,可在线阅读,更多相关《电子审计轨迹分析(一)(5页珍藏版)》请在金锄头文库上搜索。
1、电子审计轨迹分析(一)一、我国企业会计电算化和管理信息系统我国企业会计电算化和管理信息系统的发展与我国会计软件的发展是基本同步的。从1979年我国在长春一汽起先进行会计电算化系统开发探究始,我国的会计软件应用发展大致经验了非商品化的开发过程、单一模型会计软件阶段、核算型会计软件、管理型会计软件、ERP会计软件(战略型会计软件)这五个阶段。从目前应用的广泛性和前景看,后三种软件较为人们所关注。电子审计轨迹分析(一)核算型会计软件随着电算化的普及,财务软件也从帐务、工资等单项处理,过渡到深化全面的会计核算,如往来、存货、成本等,形成了以核算为体系的会计软件。目前国内主要会计软件,都具有这些功能。但
2、核算型会计软件缺乏管理思想,很难与企业管理信息系统(MIS)融为一体。(二)管理型会计软件为适应经济和提高企业自身管理水平,很多企业迫切须要会计软件能具有资金管理、核算、项目管理核算、财务分析、协助决策的功能,这就形成了管理型会计软件,管理型会计软件突破了会计软件只局限于会计核算的界限,向全面参予管理决策发展。(三)ERP会计软件(战略型会计软件)随着我国企业从重视内部管理,以提高生产效率、降低成本为核心的生产管理时代,到面对市场的,以建立全面竞争优势为核心的新管理时代,会计软件从管理型发展到战略型、实现企业内部物流、资金流与信息流的一体化管理,实现管理与决策有机统一,并将适应在Interne
3、t/Intranet/Extranet上,实现与外部资源的统一,会计软件从离散的部门级应用走向整体的企业级应用。企业信息化建设的一个重要阶段是建设企业核心的业务管理和应用系统阶段。而在这个阶段最有代表性的是企业内部的资源支配系统ERP。ERP是一种科学管理思想的计算机实现,他对产品研发和设计、作业限制、生产支配、投入品选购、市场营销、销售、库存、财务和人事等方面以及相应的模块组成部分,实行集成优化的方式进行管理。ERP不是机械的适应企业现有的流程,而是对企业流程中不合理的部分提出改进和优化建议,并可能导致组织机构的重新设计和业务流程重组。从实际应用分析,我国企业电子化的水平不一,有的企业尚未电
4、子化,有的还处于或者单一模型会计软件阶段或者核算型会计软件阶段。另外,同样是在ERP级的企业,其应用水平也有较大差异,有的只是部分甚至单一模块的应用,有的只是将其作为原有信息管理系统的补充,有的网络管理相当薄弱。但是,企业电子化发展的趋势是不行逆转的,现在只要有企业要建设信息化系统,他就会超越会计软件发展的低级阶段,而将瞄准其最新的探讨成果上,也就是说,一旦企业进行电子化的再造,其涉及的领域将空前广泛,不仅仅是会计电算化,而是产、供、销、设备、仓储、运输、设计、质量乃至人教劳资等企业管理的各个领域。目前越来越多的企业在加紧企业管理信息系统的建设,这从我国财务及企业管理软件开发供应商的规模上也可
5、反映出来。我国财务及企业管理软件开发供应商已涌现出了包括用友、金蝶、安易等一大批公司,据用友公司介绍,仅用友截止2000年年初,其地区分、子公司50余家,代理商500余家,客户服务中心100余家,行业覆盖率100,用户数约20万家,除此之外,还有大量上规模的企业在自行开发应用。由此可见,企业电子审计的环境已逐步形成,且其电子化的色调将伴随着电子商务的产生和发展而变得越来越浓。二、现行电子审计轨迹分析审计轨迹,是指在经济业务和会计制度核算中通过编码、交叉索引和连接帐户余额与原始交易数据的书面资料所供应的一连串的信息企业的会计系统应为每笔业务、每项经济活动供应一个完整的审计轨迹。审计轨迹对企业管理
6、当局和审计人员都很重要,企业管理当局可运用审计轨迹来答复客户对有关资料的询问或质疑,审计人员可运用审计轨迹来验证和追查经济活动。没有审计轨迹,审计工作将难以开展。在电子环境下,那些原来审计人员常见的记帐凭证、明细帐表、科目汇总表、有特性的笔迹等有的已消逝,有的发生了改变,变得更加隐藏、更加困难,从而加大了审计工作的难度。当前,我国会计软件的开发正处于从起步到形成产业的阶段,由于考虑到会计处理系统的效率和研制成本等缘由,软件开发在设计开发中,对如何充分保留并供应审计轨迹却未赐予足够重视。换句话说,更加具体地描述审计轨迹的会计软件的开发还需进一步努力补缺。因此,国家有关部门应尽快出台有关制度、标准
7、,使设计者有章可循,审计人员有标准可依。(一)应用软件层目前由国内企业开发的知名财务软件产品包括金蝶、用友和安易、新中大等,其软件产品也较丰富,一种较为流行的审计轨迹支配就是上机日志。各系统随时对各个产品或模块的每个操作员的上下机时间、操作的具体功能等状况都进行登记,形成上机日志,以便使全部的操作都有所记录、有迹可寻。由于上机日志数量浩大,为了便于审计人员有重点地进行选择,快速发觉问题,通常系统还会供应过滤功能,这样,审计人员就可以选择那些在符合性测试中发觉的较薄弱的内部限制环节进行有重点的实质性测试,提高工作效率。另外,系统还供应了从报表到凭证和从凭证到报表的双向查询功能,从而建立了一条应用
8、程序内的审计轨迹。(二)数据库层1、MicrosoftSQLServer2000MicrosoftSqlServer是企业信息管理系统中应用较为广泛的一种数据库管理系统,从版本上看,其产品主要有SYBASESQLSERVER,MicrosoftSQLSERVER4,MicrosoftSQLSERVER6,MicrosoftSQLSERVER6.5,MicrosoftSQLSERVER7.0,MicrosoftSQLSERVER2000。微软公司最新推出的关系型数据库管理系统MicrosoftSQLSERVER2000是一个面对下一代的数据库和数据分析系统,具有很高的牢靠性、可伸缩性、可用性、可
9、管理性等特点。MicrosoftSQLSERVER2000是一种典型的具有客户机服务器体系结构的关系型数据库管理系统,他运用TRANSACTSQL语句在客户机和服务器之间传送恳求和回应。MicrosoftSQLSERVER2000带有的常用工具包括SQLSERVERENTERPRISEMANAGER、SQLSERVEROUERYANALYZER、各类向导工具和SQLSERVERPROFILER。其中我们在创建审计轨迹中可以利用的工具是SQLSERVERPROFILER。设计者开发SQLSERVERPROFILER工具的目的是为了捕获系统的活动,用于分析、诊断和审计系统的性能。可以利用其跟踪事务
10、的功能,通过适当的设置来支配我们的审计轨迹。为了运用这一工具,必需创建一个跟踪定义,一旦定义了跟踪,我们就可以启动、停止、暂停和接着运行跟踪。当其运行时,SQLSERVERPROFILER监测指定服务器上的SQLSERVER事务,并且为所选的事务捕获满意过滤条件的指定数据。当这种跟踪数据被捕获时可以交互显示,并且将跟踪结果存储在指定的表或文件中。例如,我们可以在TRACEPROPERTIES窗口的GENERAL选项卡中指定跟踪服务器的名称(应当将其设置成财务软件运行的数据库服务器名),跟踪文件保存的地点(应当是一个相对平安的地点),跟踪失效的时间点等;在EVENTS选项卡中指定希望运用该跟踪捕
11、获的事务(如将TSQL事务分类中的STMTCOMPLETED事务选入,则将对已经完成的TRANSACTSQL语句进行捕获):在DATACOLUMNS选项卡中设置须要捕获的数据列(如将DATABASENAME,STARTTIME,ENDTIME,TEXT,LOGINNAME,OBJECTNAME等选入数据列,则将对语句正在其中运行的数据库名、事务起先的时间、事务结束的时间、当前指定的对象名、用户登录系统的名称、捕获到跟踪中的事务类的文本值等进行捕获)。一旦设置完成,就可以运行跟踪了。跟踪可以是持续运行的,为了不影响系统的性能,我们应当刚好将相应的跟踪文件备份。当然,审计人员应当依据被审计方的实际
12、状况作出运行跟踪最佳时间的职业推断以便提高系统的运行效率。SQLSERVERPROFIIER供应了由用户定义跟踪事务数据的功能,但这一功能是有限的。一个更可行更敏捷的方案是利用MicrosoftSQLSERVER2000供应的触发器技术。2、ORACLE8ORACLE8数据库从其平安性考虑,设有多个平安层,并且可以对各层进行审计,利用ORACLE8自带的这种审计功能,我们可以支配所需的财务审计轨迹。ORACLE8具有审计发生在其内部全部动作的实力,审计记录可以写入SYSAUD的审计踪迹,可以被审计的三种不同的操作类型包括:注册企图、对象访问和数据库操作,利用其中的对对象的数据交换操作审计功能,
13、就可以获得相应的审计轨迹。首先我们使数据库允许审计,必需在INIT.ORA文件中的AUDITTRAIL值设为DB(允许审计,并将审计结果写入SYS.AUD$表),对于特定的表(如ACCOUNT表),我们所须要的审计轨迹主要是插入(INSERT、删除(DELETE)和更新(UPDATE)操作,可以利用以下的语句来进行:AUDITINSERTONACCOUNTBYACCESS;AUDITUPDATEONACCOUNTBYACCESS;AUDITDELETEONACCOUNTBYACCESS;上述语句指定了一个审计记录在每次插入、删除和更新ACCOUNT表时写入,审计记录结果可以通过对DBAAUDI
14、TOBJECT视图的查询进行显示。假如在SYS.AUD$上储存信息,就必需先爱护该表,否则用户可通过非法操作来删除审计踪迹,由于SYS.AUD$是存在数据库内的,可通过以下吩咐来爱护该表:AUDITALLONSYSAUD$BYACCESS;而且对该表的操作只能由具有CONNECTINTERNAL实力的用户来删除(例如,在DBA组中)。另外,ORACLE8的触发器功能也是较强大的,如可以建立A和B两个触发器来对TABI表设置审计轨迹,并将轨迹记录在TAB2、TAB3表中。CREATTRIGGERAAFTERINSERTORUPDATEORDELETEONTAB1DECLARESTATEMENTT
15、YPECHAR(1);BEGINIFINSERTINGTHENSTATEMENTTYPE:=I;ELSIFUPDATINGTHENSTATEMENTTYPE:=U;ELSESTATEMENTTYPE:D;ENDIF;INSERTINTOTAB2VALUES(SYSDATE,STATEMENTTYPE,USER);ENDA;CREATTRIGGERBBEFOREINSERTORUPDATEORDELETEONTAB1FOREACHROWBEGININSERTINTOTAB3VALUES(SYSDATE,USER,NEW.ID,:NEW.RECORDER,:OLD.ID,:OLD,RECORDER
16、);ENDB;3、其他数据库ACCESS、FOXPRO等数据库可以通过设置密码等方式来限制访问,但干脆利用数据库本身来设置审计轨迹是很困难的。(三)操作系统层1、Windows2000操作系统Windows2000是微软最近推出的操作系统,其覆盖的用户面之广是史无前例的:从家庭用户、商业用户、笔记本用户、工作组服务器、部门服务器到供应企业计算和平安环境的高级服务器到可以供应全球联机电子交易服务的数据中心服务器。尽管可以分为四个版本:PROFESSIONAL(专业版)、SERVER(服务器版)、ADVANCEDSERVER(高级服务器版)和DATACENTERSERVER(数据中心服务器版),然而内核和界面是一样的,区分仅在于支持的CPU数量和某些高级功能和服务。作为单用户多任务的内置网络功能操作系统,Windows2000拥有一个健全的用户帐户和工作环境,利用其固有的平安机制,可以支配我们的审计轨迹。
