数据库审计范文
时间:2023-09-18 15:02:04
数据库审计篇1
关键词 Oracle ODBC 数据采集
当前,随着会计信息化的发展,不论是政府审计、社会审计、还是内部审计,利用计算机辅助审计已经是必不可少的手段,而审计软件又是计算机审计辅助审计必不可少的工具。尽管各个审计机构所选用的审计软件可能不一样,软件功能也可能不尽相同,但审计数据的采集是每个审计软件必不可少的步骤。数据采集是计算机辅助审计的首要前提和基础,没有数据审计软件也成为无米之炊,更就谈不上计算机辅助审计。由于被审计单位的财务系统或信息系统所使用的数据库可能不一样,如SQL Server、Oracle、Sybase、Foxpro、Access等,审计中数据的采集方法也是多种多样。国内很多大型的单位都使用Oracle作为信息系统的后台数据库,从Oracle中采集数据是很多审计人员必须解决的问题。本人在从事企业内部审计工作中,经常面对的是Oracle数据库的数据采集,几年来积累了一定的经验,下面谈谈基于Oracle数据库审计数据采集方法、步骤及优缺点。
一般说来,主要有以下两种:
一、直接法
是指在被审计单位提供Oracle数据库用户名、密码和服务器名称的前提下,直接在被审计单位Oracle数据库服务器上或通过Oracle客户端,利用ODBC连接到数据库,将所需要的数据表导出到SQL Server或Access或其他数据库中,再将导出的数据库文件拷回审计人员计算机上利用审计软件进一步转换。
其中ODBC连接Oracle数据库是关键,很多审计人员对ODBC并不了解,只知道通过它来导出数据,并不知道其原理。ODBC是Open Database Connectivity的缩写,是MICROSOFT公司提出的数据库访问接口标准,它定义了访问数据库一组规范,并提供了一组对数据库访问的标准API(应用程序编程接口),通过它可以直接操作各种数据库,因为它主要与数据库的ODBC驱动程序打交道。因此只要提供了ODBC驱动程序的数据库,都可以通过ODBC来访问和操作,而不必去熟悉众多的数据库。
1.从被审计单位中选择装有Oracle客户端的计算机,在其上安装SQL Server2000;运行“企业管理器”,新建一个数据库,数据库名字可随意,这里假设为“审计数据采集”;
2. 运行“数据转换服务―导入数据”,打开“DTS导入/导出向导”对话框,驱动程序选择 “Microsoft ODBC for Oracle”,选择已建立好的数据源DSN或新建一个,输入Oracle登陆用户名及密码,选择目标数据库为“审计数据采集”。
需要注意的是, ODBC管理器主要通过数据源来访问数据库,所以首先要配置好数据源。数据源其实就是数据的路径。它指明了正在运行的服务器(一般通过网络地址或服务器名来表示)、连接该服务器时的默认数据库、以及必要的连接信息(如端口)。有两处可能保存初始化信息的位置: Windows注册表,或DSN文件,因此数据源又分为“机器数据源”和“用户数据源”。建立数据源较简单,只要在“DTS导入/导出向导”对话框点击“新建”按钮,按提示输入Oracle服务器名称或地址等相关信息即可。
3.连接Oracle数据库成功后,在“指定表复制或查询”中选择“从源数据库中复制表和视图”,然后选择所需要的数据表进行导入操作。这样就把Oracle服务器中的数据导入到SQL Server “Oracle数据转换”数据库中。
4.导入结束后,在Oracle客户端机器的SQL Server2000安装目录中,找到“审计数据采集.mdf”和“审计数据采集.ldf”两个文件,将其拷贝到审计人员的电脑中;在审计人员的电脑中,运行“企业管理器”,选择“附加数据库”操作,并指定“审计数据采集.mdf”的路径,对“审计数据采集”数据库进行附加操作。
至此,就完成了从被审计单位的Oracle服务器中采集数据至SQL Server数据库的操作。审计人员再通过审计软件将采集成功的数据进一步转换、加工,生成所需要的数据,在审计软件的环境中进行查询、分析等审计。
除了将Oracle数据库采集到SQL Server外,另一种较常使用方法是将数据采集到Access数据库中。Access数据库是微软OFFICE组件之一,主要在单机环境中使用。将Oracle数据库采集到Access步骤基本与采集到SQL Server基本相同,首先在Access中建立一新数据库,然后建立并选择数据源,连接Oracle,选择需要的表,导入数据,完成后将数据文件拷贝回审计人员计算机进行加工处理。必须注意的是,不管是将数据采集到SQL Server还是Access,导出数据的计算机都必须安装相对应的数据库,然后利用其自带的导入工具通过ODBC导入数据。
直接取数法的优点是直接与Oracle数据库连接,可根据需要导出所需要的表,取数简单,速度快。缺点是直接连接数据库并对原始数据进行操作,易造成数据不安全,增加审计人员的风险。
二、间接法
如果不能直接连接Oracle数据库来采集数据,可以采用间接法。所谓间接法是指将被审计单位备份的dmp文件拷贝回来,在审计人员电脑上安装好的oracle软件中恢复备份数据,再利用ODBC连接到oracle数据库中采集数据。
从安全的角度讲,不管任何信息系统,数据库中数据必须定期备份,以保证数据安全。一般而言,在数据库的应用中,数据是完全独立于应用软件的,因此数据的备份通常利用数据库自身提供的备份工具,以确保数据的安全和稳定。Oracle数据库提供了数据备份的工具EXP,基本上所有使用Oracle作为后台数据库用户都会通过EXP来备份数据,备份的文件扩展名为DMP。数据备份日期一般视数据重要性而异,有的单位几天,有的每天都备份一次。因此在审计工作中,审计人员只要要求被审计单位提供最近备份的DMP数据文件,在装有Oracle数据库的计算机恢复数据,再在本机上采集数据,不必连接Oracle数据库来采集数据。下面说明将DMP备份数据恢复的具体步骤(假设已从被审计单位拷贝备份文件,文件名为CW.DMP)。
1.打开审计人员已安装好Oracle软件的企业管理器,登录后建一个表空间(表空间和数据文件大小要和备份文件大小相当),用于存放恢复文件,名字为SJQS,数据文件将放在已建好的表空间下。
2.创建用户并赋于角色和权限。表空间和数据文件建好后,再建一个用户名,名字和口令均设为SHENJI,同时指定该用户可以访问刚才所建的表空间SJQS,并赋于该用户DBA、connect、resource、EXP、imp角色,create table、create tablespace、create user系统权限,使用者组全选,默认system。
3.打开CMD,执行命令:
Imp SHENJI/ SHENJI @SJQS file=x:\ CW.DMP
执行上述命令后,正常情况下CW.DMP备份文件中所有表数据将全部导入审计人员的Oracle数据库中。如果提示出错,未执行成功的话,一般情况下是因为数据备份时是按表空间所有者的用户导出表来备份,而不是以“system”身份来备份,比如在被审计单位的机器上如果是按“zhangsan”用户名来备份,报错信息会出现“此对象由zhangsan导出,而不是当前用户”错误提示,只要将上面的imp命令改为:
Imp SHENJI/ SHENJI @SJQS file=x:\ CW.DMP fromuser =zhangsan touser= SHENJI,
回车后即可执行成功。
经以上步骤将被审计单位的数据恢复后,再按直接法的采集数据步骤,将所需要的数据表导入SQL Server或Access,再调用审计软件进行数据转换就可实现审计了。
另外需要注意的是,Oracle数据库目前有多个版本,高版本的数据是不能导入低版本的,因此取得被审计单位的备份文件时,需要了解其数据库版本,保证审计人员计算机上所安装的Oracle数据库要高于备份数据的版本,否则有出现导入数据失败。
数据库审计篇2
关键词:数据库技术;计算机;辅助审计;应用
中图分类号:F239 文献标识码:A 文章编号:1001-828X(2012)04-0-01
一、前言
数据库技术的主要设计思想是将分析决策所需的大量数据从传统的操作环境中分离出来,把分散的、难以访问的操作数据转换成集中统一、随时可用的信息。2011年3月,合肥市审计局在对市地税局2010年度高级预算收入情况的审计中,利用数据库技术进行计算机辅助审计,对全市地税系统137多万条业务数据,进行格式转换、查询分析等处理,利用税票微机编码的唯一性,将税务登记表与税票查询表建立关联,实现疑点税票与税务机关各分局的一一对应。对大额税票、退库税票、负数税票、删除税票和开票未入库等事项审计中,迅速确定疑点税票及延伸抽查的税务分局,提前近一半时间完成了现场实施阶段的审计任务。
二、数据库技术在审计数据采集中的应用
数据采集(Data Capture)是指审计人员为了完成审计任务,在进行计算机辅助审计时,按照审计需求从被审计单位数据库系统或其他来源收集、识别和选取电子数据的过程。目前,基于数据库技术较为流行的采集手段主要包括利用数据库“备份/恢复”功能、采用数据库工具和通过ODBC接口直接访问和转换被审计数据等。
1.数据库“备份/恢复”功能。在被审计对象数据库系统和审计人员使用的数据库系统一致的情况下,审计人员可以直接利用数据库工具的“备份/恢复”功能完成审计数据的采集。
2.ODBC接口。API(Application Programming Interface)即应用程序编程接口,是一些预先定义的函数,其目的是在无访问源码的条件下,提供访问例程和理解内部工作机制的能力。而ODBC(Open Database Connectivity)即“开放式数据库联接”是一套 API,允许在各种 RDBMS服务器上互操作的应用。ODBC是Microsoft推出的最早的整合异质数据库的数据库接口,现在已成为事实上的标准。当被审计单位使用的是异构数据库时,审计人员可以通过“开放式数据库联接”数据库访问接口直接访问被审计信息系统数据中的数据,并把数据转换成审计所需要的格式。
3.数据库其他常用工具。常用数据库工具如MS SQL Server、MS Access等,都有较强的数据导入/导出和转换功能,审计人员也可以使用这些软件来完成审计数据的采集。
总的来说,计算机辅助审计中的数据采集过程可以看成是数据库技术的数据迁移过程。
三、数据库技术在审计数据预处理中的应用
计算机辅助审计中的重要环节是审计数据预处理。由于在被审计单位采集来的数据和数据来源十分繁杂经常存在一些数据质量问题,可能直接影响审计结论的准确性,因此,完成数据采集后,必须对原始数据进行预处理,使其满足审计数据分析的需要。
审计数据预处理的内容主要包括:名称转换、数据类型转换、横向合并、空值处理、纵向合并和代码转换等。例如,对采集来的税收征收电子数据(数据表名为“税收表”)进行预处理,把税收表中实际缴纳税额里的空值变成“0”的SQL语句:
UPDATE税收表
SET 实际缴纳税额=0
WHERE 实际缴纳税额 IS NULL;
同样,采用SQL语句或数据库产品中的其他工具也可以做其他的数据预处理工作。
四、数据库技术在审计数据分析中的应用
审计数据分析在计算机辅助审计过程中的占有重要位置,通过对被审计单位取得的数据进行分析来查找可疑数据。常用的审计数据分析方法主要包括以下几个方面:
(一)审计数据的查询
审计数据查询是指审计人员凭借以往工作经验,按照一定的审计分析模型,在审计软件中采用SQL命令来分析采集来的电子数据,或通过运行各类的查询命令以预定义的格式来检测审计数据,是目前常用的数据分析处理方法。
例:对采集来的税收征收电子数据(数据表名为“税收表”)进行处理分析,检查税票数据中有无负纳税情况的SQL语句:
SELECT,实际缴纳税额
FROM 税收表
WHERE实际缴纳税额
通过运行上述SQL命令,可以很简单地查看出税收征收数据中的负纳税情况。另外,运用SQL语句的强大查询功能,通过构建更加复杂的SQL命令,还可以完成如:模糊查询、多表之间的交叉查询等复杂的数据处理工作。
(二)审计数据的数值分析
审计数据的数值分析是以具体数据值的分布情况、出现频率等为条件,对数据的字段进行分析,进而发现审计线索的一种数据分析方法。这种方法是在使用数据时不考虑具体的业务,对分析出的可疑数据,结合具体的业务进行审计判断,发现审计线索。与其他方法相比,这种数据处理方法易于发现被审计数据中的隐藏信息。
常用的数值分析方法主要有重号分析和断号分析两种。
1.重号分析,主要用来计算某个相同数值重复的次数。比如,为了判断是否有利用发票重复报销或重复使用发票、使用虚假发票的情况,就可以采用重号分析法检查其数据表中是否存在相同的发票被重复多次记账。
2.断号分析,主要针对字段值在数据记录中是否连续进行分析。如果有断点,则统计出来,否则只列出字段的最大值和最小值。
参考文献:
[1]苏剑峰.会计电算化审计系统研究[D].南京邮电大学.
[2]秦宇.会计电算化条件下的计算机审计[J].会计之友,2008(3).
[3]饶艳超,陈建勇.计算机审计教程[M].上海财经大学出版社,2011,8(1).
[4]陈伟,张金城.计算机辅助审计技术研究综述[J].计算机科学,2007.
数据库审计篇3
青岛理工大学蔡闫东刘成立
随着审计手段从过去的手工操作,发展到用计算机来辅助审计。建立审计资料数据库,充分利用审计历史资料和已有的审计成果,在当前经济责任审计工作中具有十分重要的作用。利用计算机系统,建立起大型的数据库,对相关的经济责任审计过程和结果进行分类,可以对以后的审计工作提供指导和借鉴。并且,在数据库的建设和运用的基础上形成一种长效的预警机制,可以对领导干部履行受托责任情况进行有效地监督,同时有利于我国领导干部的考核和选拔,真正实现审计的免疫功能。
一、审计前的数据库建设
(一)现实依据经济责任审计数据库之所以要在审计前建立,就是为了把大量堆积需要突击完成的工作变成阶段性、分步实施的工作和经常性的监督工作,从而弥补事后审计的不足,有效解决重复审计的弊端。这样,在审计机关接受委托开展经济责任审计工作时,既能直接调用数据库资料,又能集中人力和精力去解决其它重要问题,避免重复审计减轻工作负担,提高审计效率。
(二)建设方法针对经济责任审计的审计前数据库的建设,要加强对审计对象的管理,建立科学、完善的审计对象资料库。可以从以下四方面下手:
(1)数据库可以按照不同部门和企业建立,要能容纳客观、公正、完整、准确丰富的信息。审计部门可以与当地组织部门进行协商,请求其为审计部门适时提供纳入审计范围的各级领导干部信息,包括现任职单位、起始时限、职务等,在得到以上信息后,审计机关可以着手建立起电子数据库,及时掌握审计情况,避免以往有些经济责任审计对象重复进行审计,争取到主动权。
(2)审计机关自身可以对近几年来开展的经济责任审计项目进行归类和整理,建立起电子档案,与上述电子数据库有机结合,为下一步的审计项目制定提供重要依据。
(3)要全方位、多层次、多角度的收集领导干部受托责任的相关信息数据。把各党政机关事业单位的详细资料,比如内控制度、生产经营情况、会计报表、社会审计和审计机关审计结果等有关资料输入计算机数据库。及时掌握党政事业单位领导干部受托责任的履行状况和各项指标的变动情况,找准履行受托责任中存在的问题和失控点。多方收集领导干部在正常业务交往中发生的接待、销售、投资、担保等数据,同时集中关注领导干部在非正常业务往来中行贿、受贿关系。这方面涉及面广,关系错综复杂,信息较为隐蔽复杂,数据往往更具有公信力和爆炸性可以为确定下一步审计工作范围和重点更好的服务。
(4)数据的取得应按照审计档案管理的要求,严格采用标准的档案用资料或有效的证据资料复印件,并在形成后进行归集分类,疏理清楚。先交由审计机关的经济责任审计机构统一保管,有条件的可以微机存档、网络传送,经济责任审计工作结束后,再将相关的资料正式归档立卷。
二、数据库审计过程中的运用
(一)利用数据库进行审计在审计实施的过程中,一方面,要吸收系统论、信息论、控制论的思想,充分运用数理统计的原理及其他自然科学的若干方法,加强数理统计和抽样审计的研究推广工作,使经济责任审计的抽样技术有科学的理论依据来指导审计人员的抽样审计、数据的归类以及审计底稿的记录、存档。另一方面,要主动搜集相关信息为项目制定提供依据。运用数据库语言对被审计单位数据进行检索,判断数据反映的经济行为是否符合法律法规的规定,领导干部是否履行了自己的任内经济责任。在相关联的数据库中,各类数据往往存在勾稽关系,可以进行数据核对、验证,而且方便快捷。对数据进行多维度、多层次的挖掘,进行趋势分析、回归等手段及时发现可疑数据。在可疑数据的基础上,对相关项目进行跟踪,直到查出可能存在的问题。
(二)分析指标的建立借助计算机,用数据库对经济责任审计进行检查、验证,建立多维度的分析指标,能够保证审计工作迅速完成。为了建立一套高效灵敏的数据库指标分析体系,应遵循以下几个原则:一是规范性,即指标应尽量与国际惯例接轨,充分吸收国际上常用的分析指标;二是重要性,即选择经济意义明确并对受托责任影响较重要的指标;三是综合性,即要求分析指标具有高度的概括性;四是互补性,即指标体系内各指标能相互联系和补充,能客观全面地反映受托责任履行情况;五是特殊性,指标设计必须符合实际情况,体现一定的柔性原则。反映在具体审计实务中,分析指标应该是定性和定量相结合,定量为主,定性为辅,来综合评价领导干部的经济责任履行情况。如会计信息真实合法效益性评价指标、固定资产增值保值指标、内部控制制度建立和执行的效度指标、经济事项执行指标、经济事项决策执行指标、重大资金分配评价指标、廉洁守纪指标等等。在审计实务的具体过程中,充分利用数据库和相关分析指标等,为下一步审计结束时从整体上把握审计结论的准确性、科学性做准备。
数据库审计篇4
我局自2004年9月以后,在局领导的重视和支持下,通过全局人员的共同努力,短短一年时间,我局的计算机辅助审计项目从无到有,至目前已有90%以上的项目采用了计算机辅助审计技术,并成立了由30位审计人员组成的技术一组、技术二组,有5篇审计信息化文章被国家审计署网站录用刊登,有两篇计算机辅助审计精品案例参加了审计署计算机辅助审计专家库评选,实现了“同级审”中跨系统、跨平台的数据采集,研制成功了审计日记远程监控系统等软件,先后有广东、安徽、深圳、淄博、温州、金华等省内外十来家兄弟单位到我局考察交流审计信息化工作经验。
下面,我结合担任审计信息化技术组组长以来所做的工作,联系实际,谈谈如何搞好计算机辅助审计工作的一些做法和体会,旨在抛砖引玉、举一反三,引领更多的审计人员一起探讨此课题,共同把审计信息化工作推向前进。
一、“数据采集”是搞好计算机辅助审计的必修课
审计人员要想搞好计算机辅助审计,首先要通过数据采集这一难关,否则,隐藏在被审计单位财务或业务系统中的后台数据库,就如摆在审计人员面前的一个个迷团,看不见,摸不着,造成审计人员进不了门、打不开账的尴尬局面。所以,如何尽快总结出一套行之有效的数据采集方法,是搞好计算机辅助审计的当务之急。
根据目前财务软件系统的特点,数据采集大致有以下三种方法:
(一)直接拷贝数据库文件实现数据下载
在Windows XP或Windows 2000下运行的通用财务软件,如“小蜜蜂”、“用友”等,它们一般使用独立的数据库文件,如ACCESS、DBASE等数据库文件。遇到这样的财务软件,可以根据软件说明书,找到数据库文件的存放位置,直接将数据库文件拷贝到笔记本电脑上,再运用“AO”、“金剑”等专用审计软件进行数据分析处理。
(二)运用财务软件或专用会计软件中自带的数据导出功能实现数据下载
大多数的通用财务软件和专用会计软件都带有基本的数据导出功能,在软件的菜单中一般都能找到相应的按钮,运用相应功能,可以将查询到的批量数据,直接导出成EXCEL、ACCESS或TXT等通用格式,然后在笔记本电脑上就可以直接进行分析处理。此方法简单易用,适用于一般的审计人员,特别是不熟悉后台数据库技术的同志。
(三)运用“ODBC”技术实现跨系统、跨平台的数据采集
ODBC(Open DataBase connectivity),直译为开放式数据库互连接,是Microsoft公司提出的一种异型数据库互连的解决方案,也成了目前流行的一种数据访问标准。采用ODBC方式能够和所有遵循ODBC标准并留有ODBC接口的数据库系统互连,目前大多数流行的关系型数据库管理系统都支持ODBC标准。ODBC实际上是一个数据库访问库,它包含访问不同数据库所要求的ODBC驱动程序,如要访问Sybase,就用Sybase的ODBC驱动程序,要访问DB2数据库,就用DB2的ODBC驱动程序。总之,应用程序要访问不同类型的数据库,只要调用ODBC所支持的函数,动态链接到相应的驱动程序上即可。
审计人员如果掌握了ODBC技术,也就得到了数据采集的万能钥匙,任何复杂的数据采集都将变得非常容易。在对被审单位进行审计时,审计人员可以采用ODBC技术使被审单位信息系统中的后台数据库和审计组自带的服务器或笔记本电脑中的数据库之间通过计算机网络直接相连。根据审计要求,就可以通过这一直接连接的数据接口,在被审单位信息系统的数据库中读取规定时间段、规定范围内的审计数据。
下面,以我市财政“同级审”和丽水遂昌县原县长经济责任审计中使用SQL Server数据库管理系统访问被审单位小型机UNIX系统中Sybase数据库的实际工作经历为例,介绍一下运用ODBC技术实现跨系统、跨平台访问大型网络数据库的操作步骤及方法。
第一步:创建ODBC DSN文件
在创建数据库脚本之前,必须提供一个使应用程序定位、标识和与数据库通讯的途径。数据库驱动程序使用DSN(Data Source Name)来定位和标识特定的ODBC兼容数据库,将信息从应用程序传递给数据库。DSN包含数据库配置、用户安全和定位等信息。通过ODBC,可以选择希望创建的三种DSN类型:即用户DSN、系统DSN或文件DSN.其中用户和系统的DSN存储在Windows注册表中,并且系统DSN允许所有的用户登陆到特定的服务器上去访问数据库,用户DSN使用适当的安全身份证明限制数据库到特定用户的连接,而文件DSN用于从文本文件中获取表格,提供了对多用户的访问,并且通过复制DSN文件,可以轻易地从一个服务器转移到另一个服务器,本例中我们将使用文件DSN.
首先,要求被审单位的技术人员,在审计组自带服务器或笔记本电脑上安装好Sybase的客户端软件(Sybase Client for NT)。然后,通过在Windows的“开始”菜单打开“控制面板”,双击“ODBC”图标,然后选择“文件DSN”属性页,单击“添加”,选择数据库驱动程序,单击“下一步”,再按照下面的提示配置适用于您的数据库软件的DSN.
第二步:配置Sybase数据库DSN文件
在“创建新数据源”对话框中,从列表框中选择“Sybase system”,然后单击“下一步”,键入DSN文件的名称“Sybase”,再单击“下一步”,最后单击“完成”创建数据源,在“Logon to Sybase”对话框中键入由被审单位提供的Sybase服务器名称(含端口号)、用户名、用户密码和数据库名称,单击“OK”。如果上述操作均没有问题的话,系统就会在Programs\Commonfiles\ODBC\Data Sources目录中创建一个Sybase.dsn文件。
第三步:下载数据
在本地SQL Server中选择导入数据,在“数据源”对话框中,从列表框选择“Sybase System”,然后在“用户/系统DSN”列表框选择上一步建立的DSN“Sybase”,单击下一步,在“目的服务器”中选定“Local”,然后在数据库中选择要导入到的数据库名称,再进行数据导入。这样,被审单位信息系统中的数据库就可以一次性地迁移到审计组服务器或笔记本电脑的SQL Server数据库管理系统中。
运用此方法,举一反三,还可以访问其他如Oracle、DB2、Informix、RDB等数据库系统。
二、“求实创新”是搞好计算机辅助审计的永久动力
计算机辅助审计必须根据审计工作的实际需求为导向,发掘一切有利于提高审计效率和审计质量、降低审计风险的新技术与新方法。同时,需要开放思想,积极发挥创新精神,多方面、多层次、多角度地探索信息化技术在审计工作各个领域中的应用,这样才能把计算机辅助审计工作搞好、搞活。
如在今年我市财政“同级审”项目中,为进一步提升计算机辅助审计应用水平,我局专项投资5万多元,为审计组配置了高性能的IBM服务器、交换机、激光打印机等先进设备,将审计一线打造成一个信息化的审计现场,大大提高了计算机辅助审计效率和办公自动化水平,收到了较好的效果。
(一)审计组所有审计人员的笔记本电脑全部联网,实现审计数据共享、打印机共享、电子数据互传等自动化办公功能。将以前单兵分散工作的传统模式转变为如今的计算机协同作战,极大的提高了审计工作效率。
(二)该平台与被审计单位的计算机中心联网,通过数据库接口技术,将2004年度全部税收征管数据、预算总会计数据、国库综合专户等后台数据库直接通过网络迁移到审计组专用服务器上进行集中处理。由于这些数据库容量大,计算复杂,以往使用笔记本电脑根本不可能对全部数据进行分析、核实,现在有了专用服务器,这些工作就变得轻松了,同时也扩大了审计的覆盖率,降低了审计风险。
(三)在本次“同级审”项目中,技术组还通过政府专网,将现场局域网与审计局内部网站相联,依托“宁波审计”网站的网上办公平台,实现了审计现场和市局领导办公决策系统的联网,局领导坐在办公室内就能随时查阅和批示审计人员在现场填写的审计日记、工作动态等资料,也可以组织专家组通过网络与现场审计人员共同会诊,初步实现了审计作业的远程控制。
数据库审计篇5
一、通过现场连接,建立审计基础数据库
审计人员在对地税征管平台有一个基本了解的前提下,现场登录“山东地税综合信息管理系统”,从而获取了“基本信息库”、“征收库”、“申报库”、“登记库”及“票证库”等基础数据库,然后存储到审计人员的移动硬盘,利用SQLserver或Access软件将数据库表导入Access数据库中,初步建立起计算机辅助审计的工作环境。随后,审计人员对获取电子数据的真实性、完整性、准确性进行检查和测试,将拷贝的地税数据与地税会计统报表、金库报表分别验证一致后,依托计算机数据处理技术实现数据共享和数据处理成果共享,再根据审计分工对相应的数据进行分析、甄别,确定审计重点,从而加快了审计数据的分析处理和传递速度,实现了与地税征收、管理、申报、登记等主体业务的全流程贯通和融合。
二、围绕审计重点,搞好数据整理分析
一是对纳税人已缴入库税款的详细数据库,采用数据筛选、分类汇总、数据关联查询、分析、对比等辅助审计方法,对所有纳税人的已入库税款分税种汇总、排序,取得全部纳税人缴纳各项税款的详细资料。二是通过对欠税原始数据库进行欠税时期筛选、数据透视分税种汇总、数据关联查询等数据处理,分清欠税期限,摸清欠税规模,全面掌握地税部门陈欠、新欠税收的增减变化趋势。三是通过取得的纳税人纳税详细资料,对税源大户进行重点抽样检查,与纳税信息进行对比,找出税收增减变动的原因,针对税款整数入库现象及对流转税和城建税的对比分析,发现异常比率,确定疑点纳税户,再手工查阅征管资料,掌握其应缴各项税额,对照已入库税额,发现少征漏征税款问题,进而审查地税部门是否征收预交税、重复税和人情税、过头税等问题。四是针对近几年各地相继出台“引税”政策、相互挖挤税源、侵占其他区域税收的问题,通过入库税票数据库,对特殊单位代码进行分析和筛选,查出未在征收税务机关登记而在其区域纳税的情况,掌握挖挤侵占其他区域税收的审计线索,维护税法的严肃性。五是通过对入库日期超过限缴日期的纳税记录的分析处理,掌握延压企业税收的规模、各税种情况,查出地税部门延期积压当期税款和人为调节税收的问题。
三、抓住审计重点,开展辅助审计
(一)对少征税收的辅助审计
通过获取的入库税票数据,确定下载数据中税款的所属期,要求与纳税单位征管资料反映的税款所属期时间相一致,再通过对入库税票数据进行分单位分税种的汇总处理,取得“重点税源户征管情况表”,并在此基础上进行抽样分析,确定少征税收审计疑点,形成“审计疑点情况表”,作为审查地税部门是否存在少征漏征税收的重要依据。具体操作步骤是:一是对数据在6万条以下的入库数据的处理。首先用Excel的“数据透视”功能,按纳税人识别码(以下简称“单位代码”)分类汇总,单位代码作为电脑识别的唯一分类标识,用以汇总纳税人缴纳各项税款的数据最为精确。而且在户管清册表中,一个单位代码也只对应一个单位名称,利用Access数据库软件,将上述已经按单位代码分类汇总的电子表格与户管清册表格,通过连接查询功能,将与单位代码一一对应的单位名称显示出来,按顺序排列在分单位分税种表格中,使审计人员能一目了然地掌握所有纳税人缴纳各项税款的情况资料,并从中发现疑点,找出问题。二是对数据量在6万条以上的入库数据处理。因为数据容量无法在一张Excel电子表格中完成,为此下载数据时应采用选择税种分段下载保存的方法完成。对用税种分段方式下载的数据量巨大的入库数据,在操作过程中要分别对分段下载的入库数据进行数据透视和连接查询,产生若干“分单位分税种汇总表”,然后在Access查询中将各个分段税种表进行连接查询,显示各表中所有税种字段,将分开的税种合并到一张“分单位分税种汇总表”中,完成“重点税源户征管情况表”的数据处理。
(二)对欠税的辅助审计
对欠税数据库,即开票未入库数据,采用划分欠税所属日期、数据透视分类汇总等计算机辅助审计方法,摸清欠税规模,分析欠税成因,真实反映欠税总体概况。下载的欠税数据库应为系统中原有的开票未入库税票数据,即从审计开始年度以前存在、至下载之日止的开票未入库税票数据。具体操作方法和步骤是:打开欠税数据表,找出审计期间内欠税期限比较长,从系统开始运行到下载日为止的开票未入库数据,用Excel的自动筛选功能,分清欠税时段,将新增欠税和以前的陈欠分开,掌握陈欠和新欠的规模,了解地税部门压欠管理水平,反映欠税突出、压欠力度不够的问题。
(三)对挖挤侵占其他区域税款的辅助审计
通过对入库税票数据库殊单位代码进行分析、筛选等进行计算机辅助审计,查出纳税人未在征收税务机关登记而在该税务机关纳税的其他区域缴纳税款的情况,取得挖挤侵占其他区域税款的审计线索。地税系统纳税人单位代码是按区(县)局、分局等要素有规律制定的,对纳税人而言是唯一的,计算机开票的前提是必须有纳税代码。但地税部门有时对临时发生的纳税行为以“**”开头作为特别号。对此通过入库税票数据,对单位代码中的临时编码或异常编码进行筛选,分析在“空号”中征税的原因,剔除正常情况下列入“空号”入库的纳税人,即临时建筑安装队和开具完税证集中入库的个体纳税人等因素,筛选出未在征收税务机关登记,而在该税务机关纳税的其他区域税源户,取得挖挤侵占其他区域税款的审计线索。
(四)对延期积压税收的辅助审计
延期积压税收辅助审计是对入库税票数据,利用Excel的数据筛选功能,将入库日期超过限缴日期的纳税记录进行分析处理,掌握延压企业税收的规模及税种,查出地税部门延期积压当期税款,人为调节税收的问题。基本方法是(以2003、2004年度数据为例):如打开一张2004年入库税票电子表格,关注“税款所属期”和“入库日期”两个字段,正常情况下,税款所属期为2003年1-11月份税款,限缴日期(入库日期)应该为2003年1-12月。在入库税票数据中,若发现税款所属日期为2003年1-11月的税款,入库日期显示为2004年,即可断定其入库日期超过了限缴日期。具体操作步骤:
1、筛选限缴期以内的税票记录。用电子表格打开入库税票数据库,点击“数据”选项下“筛选-自动筛选”功能,每个字段右边会出现一个带箭头的复选框,在“税款所属期”字段点击复选框,选择“自定义筛选”,设置查询条件为“不包含”2003年12月“与”“不包含”2004年,点“确定”显示筛选结果。
2、筛选入库日期超过限缴日期的税票记录。在“入库日期”字段点击复选框,选择“自定义筛选”,设置查询条件为“大于”2003年12月25日,(该日期为2003年的限缴日期),点“确定”显示筛选结果。
3、剔除查补税款情况。由于查补税收入库日期滞后,在次年入库属正常现象,因此暂时应在超过限缴入库期税票记录中予以剔除。在“申报类型”字段点击复选框,选择“自定义筛选”,设置查询条件为“正常一般”与“正常代扣”,点“确定”显示筛选结果。
4、保存为另一张工作表。将上述筛选结果复制,粘贴到另一张工作表中,取名为“延压入库税票记录”。
5、处理整理“延压入库税票记录”,分析对比延压税款情况。对“延压入库税票记录”进行分单位分税种汇总,取得延压入库税款的详细情况,并与上年同期进行对比,分析延压企业及税种等情况,掌握人为调节税收进度的原因。
(五)对未按属地征管的辅助审计
运用Excel在全系统的入库税票总表中,将“市直”和“所属税务机关”两个字段的编码进行对照分析,“市直”字段由2位数的编码组成,代表纳税人的地理区域即经营地点所在区域,“所属税务机关”字段由2位数的编码组成,筛选出地理区域和征收税务机关区域不相符的纳税人,即为未按属地征管的纳税人。
(六)对漏征漏管的辅助审计
漏征漏管辅助审计的基本方法,就是通过运用Access查询,将一个年度入库数据资料和其中的正常户管资料进行对照分析(即对两表中的“纳税人识别号”进行对照),在征管清册资料中剔除“已纳税户”、“零申报户”、“注销户”、“非正常户”,筛选出既未申报又未纳税的经营户,这些既未申报,又未纳税的经营户反映出地税局对漏征漏管户的控管环节存在漏洞,具体步骤是:
1、导入数据并调整数据类型。打开Access数据库,点击“文件”选项下“获取外部数据”,导入“入库数据表”和“正常户管清册数据表”,在Access表的“设计”状态下,将两表的“纳税人代码”的数据类型调整一致,均调整为“文本”型,建立两表之间的连接查询。
2、筛选“未入库的正常户管资料”。在Access查询中,点击“查找不匹配项查询”,按照向导提示操作,先双击“户管清册数据表”,再双击“入库数据表”,下一步选择两表的匹配字段中的“纳税人代码”,点击“<=>”符号,“在查询结果中所需字段”框中选择所有字段,指定查询名称为“未入库的正常户管资料”,完成查询,并生成“未入库的正常户管情况表”,此表中已经剔除了“注销户”、“非正常户”和“已纳税户”。
3、剔除“未入库的正常户管情况表”表中“零申报户”。将已经拷贝的“零申报情况表”导入到Access表中,将“纳税人识别号”数据类型改为“文本”型,在“查找不匹配查询向导”中双击“未入库的正常户管情况表”和“零申报情况表”,选择两表的匹配字段中的“纳税人代码”,点击“<=>”符号,生成查询结果为“未申报未纳税正常户管”的资料,点击“运行”显示查询结果。
4、生成表查询。点击“查询”选项下的“生成表查询”,对上述查询结果进行查询,重新取名为“未申报未纳税正常户管情况表”,然后再运行一遍查询结果,将新表保存在Access表中。
5、初步分析。在上述表中,发现“税管员”字段名下有“非正常”户,同时还发现有“社保”户和新登记户(未确定税管员,显示为“征收所”),剔除这些非正常因素,才能初步确定漏征漏管户。
6、剔除非正常因素。新建查询,添加“未申报未纳税正常户管情况表”,双击该表中“*”,再双击“税管员”,取消显示栏中“√”标识,条件栏内输入“<>非正常”、或“<>征收所”,运行查询结果,显示相应的记录数据。
7、再做生成表查询。点击“查询”选项下的“生成表查询”,对上述查询结果进行查询,重新取名为“漏征漏管线索情况表”,然后再运行一遍查询结果,将新表保存在Access表中。
8、打印核实取证。将Access表中“漏征漏管线索情况表”导出,保存为Excel工作表,整理打印,向被审税务机关核实取证。
数据库审计篇6
一、基本概念
(一)大数据
大数据又称巨量数据,所涉及的数据量规模巨大到无法使用传统工具,在合理时间内达到撷取、管理、处理并整理成有价值的信息。大数据具有数据容量巨大、数据类型纷繁、数据价值密度低和处理速度要求快的特点。
大数据对内部审计工作具有重要影响:一是促使审计方式向连续审计转变。随着信息技术迅速发展,连续审计的重要性日益凸显,大数据技术及大数据基础使连续审计成为可能,连续审计可以降低传统审计过程中的时滞问题,降低审计错误和风险,为组织提供咨询增值服务;二是促进审计抽样向系统化、智能化和模块化发展。数据量的爆炸式增长使审计人员无法使用现行的抽样审计方法揭示舞弊行为和技术性错误。大数据时代的审计抽样算法可以对审计数据进行分析,进行数据挖掘,找出特征数据,缩小抽取样本的数量,降低审计成本、提高审计效率;利用关联规则,预测被审计单位运营风险的高低,帮助审计人员确定审计重点,实现精确打击;三是促进审计成果的转化与应用。促进对以往审计中获取的大量信息资料的汇总、归纳,从中找出内在规律、共性问题和发展趋势,通过汇总归纳宏观性和综合性较强的审计信息,为领导决策提供依据;通过对带有共性、普遍性、倾向性的问题进行挖掘,提炼出问题与数据中的关联性,可以将所有问题通过IT手段检查出来;将审计成果进行知识化留存;通过大数据技术,将问题规则化并固化到系统中,以便于计算或判断问题发展趋势、对问题进行预警等。
(二)数据挖掘技术
数据挖掘(Data Mining,DM)是一种计算机辅助技术,用于从海量的、不完全的、有噪声的、模糊的、随机的数据中抽取出潜在的、有效的、新颖的、有用的和最终可以理解的知识的过程,又称数据库知识发现(Knowledge Discover of Database,KDD)。数据挖掘即能针对特定7876数据库进行简单的检索和查询,又能进行多层次、全方位的统计、分析、综合和推理,越来越多的组织开始对记录交易活动、经营状况和市场信息的海量数据进行数据挖掘,从而获得有价值的信息,提高组织的盈利水平和竞争能力。审计人员可将具有相似性的会计数据进行聚类分组,从而发现异常账目。
二、大数据视角下的人民银行内部审计模型
根据人民银行业务实际和大数据处理要求,构建了由数据获取、数据整理、数据挖掘和审计应用四阶段构成的人民银行大数据审计模型,模型流程如图1。
图1 人民银行大数据审计模型
(一)数据获取。人民银行内审部门应结合辖区业务实际,积极开展风险评估工作,确定各业务风险排序,拟定审计主题,针对特定的审计目标和审计内容进行广泛而深入的审前调查,掌握审计的范围、审计的内容、审计所需的信息。根据审前调查情况,审计人员有目的性的收集和整理与审计相关的数据,服务于审计项目。该阶段审计人员在保证不影响被审计单位业务系统的平稳、持续运行前提下,采取诸如Microsoft SQL Server 2000等数据转换工具,获取、更新和维护审计相关数据。
(二)数据整理。该阶段审计人员在充分分析数据质量的情况下,运用数据库各表之间的勾稽关系,剔除垃圾数据,清理、转换、载入和验证提取的数据,建立审计数据库××,数据库中的审计数据是集成的、一致的、高质量的,便于后续审计工作的开展。数据库是面向特定审计主题的,不同被审计单位的审计主题不同,因此审计人员要为不同审计对象设计不同的数据库××,设计数据库××包括数据库××模型设计及数据处理设计,是一个循环往复、不断优化的过程,需要不断地反馈和不断地完善。该阶段审计人员主要任务是为采集到的审计数据建立一个独立与被审计单位数据库的数据库××,提供适合联机分析处理和数据挖掘的数据存储环境。
(三)数据挖掘。该阶段审计人员可以使用简单分析和多维分析工具对数据库××进行数据分析,如:采用联机分析处理的切块、切片、旋转和钻取等技术,对审计数据进行比较分析、比率分析、趋势分析等。但在海量数据情况下,审计人员必须采用诸如统计分析、决策树、人工神经网络和关联规则等数据挖掘算法,对数据库××进行数据挖掘。
1.选择数据挖掘算法。不同数据挖掘算法的思路、步骤、功能和应用领域不尽相同,审计人员应根据审计主题选择挖掘方法,以得到对审计有指导意义的知识。
2.建立数据挖掘模型。选择数据挖掘算法后,从分析数据入手,从数据库××中提取主要变量,剔除无关变量,建立适合该算法的数据挖掘模型。
3.验证数据挖掘模型。从数据库××中选取多个样本数据,对挖掘模型进行验证,确保数据挖掘模型实现既定审计目的。
4.运行数据挖掘模型。挖掘模型的运行由专业计算机工具完成,审计人员要认真评估挖掘结果,判定挖掘结果的准确性和有效性,保证挖掘结果得出正确审计结论。评估结果可能导致退回到之前的阶段,重新选择数据集合、数据挖掘算法或调整挖掘算法参数。
数据库审计篇7
[论文摘要]本文分析了信息系统环境下审计工作系统的功能特征、运作环节以及系统的构成,介绍了系统测试的方法,以期提高审计信息化水平,提高审计效率和效果。
数据库技术在审计信息管理中的广泛运用,能为审计人员充分、有效、便利地提供信息,为满足快捷决策需要奠定了基础。其主要设计思想是将分析决策所需的大量数据从传统的操作环境中分离出来,把分散的、难以访问的操作数据转换成集中统一、随时可用的信息而建立的一个大的数据库,其中存储了所有审计数据。
一、审计工作系统的功能特征
在审计工作系统中,审计数据库将信息按照主题来进行组织、管理、控制,审计系统对信息的组织、管理、控制方式一般具有以下特征:
1.一致性
不同来源的多种数据一旦进入数据库,就必须按照统一的主键和结构与编码规则重新组合,因而在审计系统中的数据信息具有一致性的特点。当业务事件发生时,所有原始数据被适当加工成标准编码的源数据,集成于一个逻辑数据库(或数据仓库),而不是重复存储于多个低耦合系统中。数据库不只记录符合会计事项定义的业务事件,而且记录管理者想要计划、控制和评价的所有业务事件,并且存储业务活动中多方面的细节信息。任何授权用户都可以通过数据库所存储的数据来定义和获取所需的有用信息,这样既能提供多种视图驱动应用所能提供的全部视图,又能避免数据重复存储和数据不一致的问题。wwW.lw881.com此外,这种体系结构还实现了信息处理的实时控制,数据库中的处理单元在业务发生时捕捉业务数据,既能执行业务规划和控制,又能校验数据的准确性和完整性。
2.时间变量
审计数据库中的数据键始终包括时间元素,数据保存的时间通常较长,具有作历史比较和趋势分析预测的长期数据基础。数据库技术是将计算机应用于数据管理而产生的一种新的技术,它仅是审计信息系统凭借的一种新的管理手段,对于数据库的基本要素和管理对象——审计信息的源数据,并不是指没有经过任何加工的原始数据,而是在原始数据的基础上,经过了类似于会计流程中的原始凭证确认、统—会计科目标准编码等加工后所形成的数据。
二、审计工作系统的运作环节
审计数据库在审计工作系统的运作过程大致有如下4个重要方面:
1.数据获取
获取企业的数据信息,记录数据信息的功能和处理过程。根据审计人员的需要,对在数据库中运算所需的数据通过一定的方式进行采集,可以得到企业完整而清晰的数据信息,选取和不断更新数据,保证数据的一致性,使审计信息系统的数据不断更新与补充,并使数据在审计信息系统内部各部件之间可以沟通;利用现有系统的信息,确定从企业数据到审计信息系统的数据模型所必需的转化/综合模式。生成审计信息数据,是进行审计工作的数据基础,类似于传统手工环境下的审计对象。审计信息系统上的财务信息不再是简单的纯文本传统财务信息,它是特定协议标准格式,如超文本格式(html)的电子报表,所有数据只要点击都可以被随意移植使用。通过网络传输而来的电子报表按照一定的协议标准格式编制,也可以转换成审计信息系统所需的数据。通过数据获取环节,把这些数据转换成审计信息系统所能识别的形式,或直接采用被审计单位所提供电子数据加工出审计信息系统想要的形式。
2.数据管理
此环节包括会计信息库和用户信息库两部分,前者主要依据数据库技术进行管理,注重于对信息的分类、组织、维护、检索等,对存储的数据建立模型,通过数据模型来对信息进行保存和管理;后者主要包括有关用户个性特征的信息,个性特征数据结构设计是这部分的关键问题,决定了个性化信息服务系统服务质量的优劣,也是实现信息服务自动化和智能化的关键。通过将各种数据装入数据管理库之中,生成必需的、能为审计人员所直接使用的数据管理库,或通过其他方法为审计人员提供查询工具,以便审计人员能方便地从数据管理库中获取所需的信息,并可以通过一定的形式将其输出。生成审计工作所需的数据管理库包含各种审计计算底稿、审定表、审计报告、管理建议书等信息的结构化数据库,并形成与其他部件进行联系的桥梁。
3.分析推理
这是审计信息系统中对信息流进行控制的核心,其主要功能是接受审计人员通过审计信息系统传来的信息需求,判断需求指向的是已存在的信息,还是不存在的信息,或者是哪一层次的信息。对已存在的信息可直接调出并通过用户浏览器予以显示,对不存在的信息需要进行记录,并判断是否经适当可行的计算或处理即可提供,如是,则进行计算处理并显示;否则,作为遗留问题提示进行特别设置处理。此环节是审计工作数据库的主要组成部分之一,可以利用采集到的数据信息,根据程序设置,推断出审计人员工作需要的可能解;提供方便的审计分析模块。
4.解释报告
审计软件可以提供审计报告生成功能,审计人员可以通过它选择具体的信息项目、类型和表达形式,主要内容包括:(1)设置报告模式。模式中列有会计系统中与要素模块相应的数据项目,模式中的项目与含有多种会计方法的对话框或序列框相联,以便审计人员选择他们需要的会计方法来处理其选择的信息项目。(2)初始选择。在生成报告时,现行的会计准则和法规作为初始选择存放在对话框架或子对话框中。如不进行任何选择,审计人员可以得到一份通用的标准的审计报告。(3)选择项目。除初始选择以外,模式报告还提供可选择项目来满足审计人员不同的信息报告要求,这些选择项目可以是会计准则和法规、会计计量和估价方法、财务信息与非财务信息的类型、报告的频率、范围、使用的语言、形式等,提供可选择项目能够增强交互性相对化特征,既能满足审计人员的特殊信息报告需要,又能减少报告使用人员的信息负担。(4)帮助功能。可以采取3种方式:自动显示专业技术概念解释;在对话框中提供环境敏感帮助;一个全面的包括如何应用更复杂的会计技术和方法的目录。帮助功能可以避免审计人员和报告使用者有限的时间被信息的多样化这种无实际意义的工作浪费,有利于及时、准确、有效地寻找有用信息,提高对信息的利用效率。
三、审计工作系统的组成及内容
1.审计项目管理部分
通过建立审计项目管理组件,对每一个被审计项目的各方面情况进行记录并生成电子档案,可以让审计人员更方便地查阅、了解被审计单位的情况,让审计项目的新进人员可以更快熟悉工作;可以建立审计质量控制系统,明确审计人员的工作职责。
2.审计法规管理部分
可以自动检查有关处理是否合法合规,能完成法规资料的录入、修改、删除、检索、打印等功能。检索功能不仅可以为用户按各种条件查找审计法规的目录,而且可以根据目录查找法规全文,可以按要求摘要其中的内容并打印输出。审计法规数据库也可以单独成为一个软件,现已成功地应用于审计工作第一线,是我国目前开发和应用较成功的专项审计软件之一。
3.审计操作管理部分
审计操作管理的功能:(1)参考功能。提供计算机审计中常用的工具、手段、可使用的审计程序,其主要内容有:审计环境建立、查询、抽样、汇总与计算、排序与分类、财务与效益分析、编制与输出工作底稿、打印各类审计文件等。(2)图像处理功能。通过对图像显示参数的设置,可以使审计结果以图表的形式表达出来,可以让内部审计人员直观地了解被审计单位的情况。(3)底稿处理功能。能完成审计工作底稿及有关参数和数据的增、删、改等维护工作。针对计算机系统还能自动查找、计算、输入底稿所需数据,并按格式打印,针对手工系统则可以提示审计人员输入有关数据,并进行计算性复核。
4.专用程序管理部分
对于一些需要对外报送资料的项目,尤其是需要送交政府部门的项目,有的政府部门可能提供了单独的审计软件,或者需要单独配备专用的审计功能,以满足政府部门的数据需要。还有的审计项目因数据量大,牵涉面广,并且各被审计单位的情况又不尽一致,为了对这些项目进行有效的审计,也需要针对每个项目的不同情况,单独配备专用的审计功能,以满足审计工作的要求。
四、审计工作系统的测试方法
1.现场交易选择测试数据
对被审计单位的现场交易作标记输入到应用程序中,把带标记的交易当作测试数据。采用这种方法,应用程序中必须有特定的计算机程序能够识别出带标记的交易,并且使这些交易既要更新应用系统的主文件,同时也要更新做检测用的虚拟实体。现场交易作标记选择和识别带记号的交易测试数据有多种策略:第一,在源文件中或屏幕布局中包含一个专门的标识字段,用来表示一笔交易既为正常交易又为带记号交易。由审计人员来选择确定对哪些现场交易作标记,所选交易的特征可以与测试数据的设计相一致,也可以根据制定的抽样计划进行选择。第二,在应用系统的程序中嵌入审计软件模块,利用审计软件来选择交易并给交易加标记使其成为带记号交易。第三,在应用系统中嵌入抽样程序,抽样程序具有根据抽样计划给交易作标记,并使其成为带记号交易的功能。不论采用何种策略,应用系统中必须有相应的处理程序,专门处理带标记的交易。
2.自行设计测试数据
自行设计测试数据是将测试数据与现场交易数据一同输入应用系统。采用这种方法,审计人员应当根据所要使用的测试数据特征设计并创建测试数据。自行设计测试数据的优点是覆盖面广,可全面测试系统;但设计和建立测试数据要花费一定的时间和费用。笔者认为,应用程序进行检测时,首先要在应用程序的文件中建立一个虚拟实体,并让应用程序处理该实体的审计测试数据。如果应用程序是工资系统,可在其数据库中建立一个虚拟的职员资料库;如果应用程序是存货系统,可在其数据库中建立一个虚拟的存货项目。将带标记的实际数据或模拟数据一同输入应用程序和审计软件进行处理,通过将应用程序对数据处理的结果同审计软件处理的结果进行比较,可确定应用程序的处理和控制功能是否恰当、可靠。当应用程序非常庞大或复杂时,全面追踪通过系统的不同执行路径会有一定难度,审计人员对交易进行审查时,可以在应用系统的重要处理发生点嵌入软件,当交易通过不同处理点时,嵌入软件可捕捉交易的过程。为证实不同关键点的处理,审计人员使用软件捕捉交易的前后过程,通过检验前后过程及其变换,评价交易处理的真实性、准确性和完整性。
主要参考文献
[1]waynemoreanddavidhendrey.itauditrenewal[j].internalauditor,l999,(4):17.
[2]peterosenwald.tobeornottobe[j].accountancy,1999,(8):21.
数据库审计篇8
关键词:Oracle数据库;安全性;策略
中图分类号:TP311文献标识码:A 文章编号:1009-3044(2010)21-6058-02
随着社会信息化进程的加速,数据库系统得到了广泛应用,它们担负着存储和管理信息的任务,集中存放了大量数据,因此数据库的安全性受到人们的广泛关注。
所谓数据库的安全性是指数据库的任何部分都不允许受到恶意侵害或未经授权的存取或修改。其主要内涵包括三个方面:1) 保密性,即不允许未授权的用户存取信息。2) 完整性,即只允许被授权用户修改数据。3) 可用性,即不应拒绝已授权用户对数据的存取访问。
数据库系统受到的威胁主要有:对数据库的不正确访问,引起数据库数据的错误;为了某种目的,故意破坏数据库,使其不能恢复;非法访问不该访问的数据库信息,且又不留痕迹;用户通过网络进行数据库访问时,有可能受到各种技术的攻击;未经授权非法修改数据库数据,使其失去真实性;硬件毁坏;自然灾害;磁干扰等。为了保护数据库的安全,目前常用的数据库安全技术主要有用户认证、访问控制、信息流控制、推理控制、数据库加密等,其中应用最广也最为有效的是访问控制技术。
1 Oracle 10g数据库的安全体系结构
Oracle数据库的安全级别为C2级,其安全原理基于最小特权,此原则认为用户只应该具有完成其任务所必需的特权,而不应该具有更多的特权。Oracle 10g数据库的安全性可以被分为3个层次:
1)系统安全性:指在系统级上控制访问和使用数据库的机制。包括有效的用户名及其口令、用户是否被授权连接到数据库、用户是否有足够的磁盘空间来存放用户模式对象、用户的资源限制、是否启动了数据库的审计功能、用户可以进行那些系统操作等。
2)数据库安全性:指在实体级上控制访问和使用数据库的机制。包括用户可以存取的方案对象及在该对象上可以进行那些操作等,即用户必须具备存取该实体的权限。
3)网络安全性:Oracle 10g数据库主要是面向网络提供服务的。其网络传输的安全至关重要,包括登陆助手、目录管理、标签安全性等集成工具。Oracle通过分发Wallet、数字证书、SSL安全套接字和数字密钥的办法来确保网络数据传输的安全性。
在Oracle的安全体系结构中,连接到数据库的用户有普通用户和数据库管理员用户两类。普通用户主要是通过各种应用程序和查询工具连接,使用数据库账户和口令来验证,必要时可实施Oracle高级数据加密技术;数据库管理员用户用sys、system或具有dba权限的账户连接,登录系统时需采用口令文件验证或操作系统验证。
作为连接到数据库的账户,必须首先是数据库中的用户,该用户只有在数据库中拥有必要的角色和权限,才能被数据库认可并可在数据库中进行相应的活动。在每个模式下,存储的核心是数据库的表。对于常规表,Oracle支持三个级别的安全性:表级、行级和列级。表级的安全性由表的拥有者通过表级授权来控制其他用户;行级的安全性可通过视图来实现;列级的安全性可直接定义在表上,也可以通过视图定义表的垂直投影子集来实现。在很多情况下,一个表中存储了分别属于多个部门或个人的不同安全级别的数据,此时单纯使用视图很难从根本上解决此类安全问题,同时,用户也可使用特殊工具绕过视图直接去访问表。对此,Oracle采用了虚拟私有数据库VPD和标签安全OLS两项技术来实现有关行级数据的保护。这样一来,不论用户采用何种工具访问数据库,均受到VPD和OLS的制约,从而达到了按行访问的目的。
当用户连接数据库时还需要通过系统概要文件对用户所使用的资源进行限制,如访问时间、登陆次数、占用CPU时间等。
2 Oracle 10g数据库应用系统的安全策略设计
数据库安全十分重要,但安全管理需要成本,过分的安全还会影响效率,因此,很多时候需要数据库管理员在性能、时间和安全之间进行折中,从而制定出一个适合特定应用的、灵活的安全策略。在设计Oracle10g数据库应用系统的安全策略时应从以下几个方面着手:
2.1 建立Oracle 10g数据库的安全机制及实施计划
在设计数据库过程中,首先规划表空间和数据库的模式,包括表和子程序对象、用户的类型、这些用户需要使用哪些数据以及需要什么样的权限。然后,通过由表和用户构成的对象/用户权限CRUD关联矩阵来明确与对象权限以及表与表空间的对应关系。
根据上述规划,可以在数据库中按照下列顺序创建模式及对象并授权:
1)创建用于存储用户及其所属对象的表空间。
2)在相应的表空间上创建用户,指定其默认的表空间并授予用户相应的角色和系统权限。
3)由用户创建各种所需要的数据库对象,并按照对象/用户权限CRUD关联矩阵为不同的用户授予对象权限。
4)尽可能地使用同义词和视图来存取数据,以减少用户对表的直接存取。
2.2 Oracle 10g数据库内部的管理策略
Oracle数据库系统安全管理的首要任务就是为每一个用户创建相应的数据库账号,任何用户对数据库的任何操作都必须强制通过系统安全设置检查后方能实施。在创建用户时,必须使用安全参数对用户进行限制,数据库用户的安全参数包括用户名和口令、用户默认表空间、临时表空间、用户存储空间限制以及用户资源文件限制等。
1)口令管理。数据库系统安全依赖于口令,应使用较复杂的口令,系统以加密方式将口令存储在数据字典中。Oracle 10g通过概要文件对口令进行管理,通常可在概要文件中启用口令复杂性函数来校验口令,该函数脚本在文件utlpwdmg.sql中,也可根据需要创建口令规则更为复杂的函数。
2)权限管理。Oracle数据库安全管理机制主要是通过权限进行设置,通过权限设置防止非授权的数据库存取、非授权的对具体对象的存取,只有通过权限的认证才可以存取数据库中的数据。
对用户授予权限时应本着授予最少权限的原则,特别是要谨慎授予带有with admin option的权限。同时要限制授予数据库对象用户使用对象权限和system权限的数量以及使用具有sys权限的连接。特别不能授予一般用户具有any的权限。
3)角色管理。Oracle 10g通过角色大大简化了权限的管理,减轻了系统管理的开销,减少了系统的安全漏洞。在实际应用中,根据部门和企业的安全政策、操作规则划分出不同的数据库角色。在创建角色时,可以为角色设置安全性。角色的安全性通过为角色设置口令字进行保护,只有提供正确的口令字才允许修改或设置角色;通过设置角色的生效或失效实现系统权限的可用或不可用,从而弥补了系统的权限没有失效或生效的属性。
4)资源管理
可通过使用概要文件限制每个用户登录的次数、限制连接会话、CPU使用时间和逻辑读等,可通过使用默认的概要文件,也可通过create profile命令单独创建自己的概要文件来实现。
5)审计策略
Oracle 10g数据库审计具有审计发生在数据库内部的所有操作的能力,有三种不同的审计类型:权限审计、语句审计和方案对象审计。
在默认情况下,数据库的审计功能是关闭的。在必要的时候,数据库管理员可以有选择地灵活使用这些审计方法,对用户监视,防止用户对数据库进行非法操作,以确保数据库的安全;同时尽可能将审计事件的数量控制在合理的范围内,以节省系统资源。
审计记录可以写入SYS.AUD$表或操作系统的审计跟踪中。要注意保护审计记录,否则,用户可通过非法操作来删除其审计踪迹。Oracle 10g提供了两个SQL脚本来管理与审计有关的数据字典视图:CATAUDIT.SQL和CATNDAUD.SQL。数据字典包含与审计有关的两类视图:第一类确定哪些项目被审计,第二类建立在审计表上,表示从各种角度的审计记录。
2.3 网络数据通信的管理
1)采取各种措施保证网络的安全,如避免未经授权的网络访问,包括保护网络中的软件以及路由器等;对网络传输的数据进行加密;使用防火墙,将数据库服务器置于防火墙保护之下;检查网络有效的IP地址。
2)检查SSL。SSL是互联网安全通信的标准协议,它提供了数据集成数据机密的机制,支持安全认证和加密。在检查SSL时应注意以下几点:应确保配置文件使用正确的SSL端口号;应确保SSL模式下通信双方的一致性;要保证为tnsnames.ora和listener.ora文件中ADDRESS参数的protocol值指定tcp;服务器应支持客户端密码和证书密钥算法。
3)sqlnet.ora文件。在服务器端的sqlnet.ora文件中添加tcp.invited.nodes和tcp.uninvited.nodes参数可决定哪些客户机允许和不允许与服务器连接:
tcp.validnode_checking=yes
tcp.invited_nodes=(|name, |name)
tcp.excluded_nodes=(|name, |name)
4)监听器的使用。在默认情况下,监听器没有设置口令。此时,远程客户机可以通过监听控制器获得监听器的状态信息。因此,应设置监听器的口令,并限制其权限,使其不能在数据库或Oracle服务器地址空间中读写文件。
在listener.ora参数文件中,让admin_restrictions_=on可阻止在运行期间其他任何连接所做的有关监听器的修改。
除了设置口令外,还应更改数据库的端口号,对默认的端口号1521或不使用的端口应全部封锁住。
5)在数据库初始化参数文件init.中添加参数:remote_os_authent=false,以此严格限制远程客户端的连接。另外,不允许操作系统用户或Oracle数据库用户更改默认文件和目录的权限。
2.4 其他安全措施
Oracle数据库除上述基本的安全控制外,还另外提供了一些高级的安全性特性,如虚拟专用数据库(VPD)、标签安全、数据库加密、精细粒度审计(FGA)、N-tier用户验证支持等。它们分别用于加强数据库安全的不同部分,其中虚拟专用数据库和标签安全用于控制用户仅仅存取数据库中数据的某一个子集。数据库加密是一种主动的信息安全防范措施,只对数据库中机密程度较高的数据进行加密,可使用Oracle提供的系统包dbms_obfuscation_toolkit对其进行加密。精细粒度审计(FGA)特性用于监控/追踪用户的各种数据库操作,N-tier用户验证支持则使数据库可以通过诸如Kerberos或令牌卡等外部机制来取得第三方认证授权。
在Oracle_Home\bin目录下的wrap.exe封装程序可加密PL/SQL源代码,加密后的应用程序不能编辑也不能被实施逆向工程。此外,定期进行数据库备份工作,以便在意外情况发生后,可以利用备份数据来恢复数据库,也是保证Oracle数据库系统安全的一个重要措施。
参考文献:
[1] 萨师煊,王珊.数据库系统概论[M].高等教育出版社,2000.
[2] 贾代平.Oracle DBA核心技术解析[M].电子工业出版社,2006.
[3] 任树华.Oracle 10g应用指导与案例精讲[M].机械工业出版社,2007.