一、幾個(gè)概念

 

　　1、什么是審計(jì)：信息系統(tǒng)審計(jì)來(lái)源于傳統(tǒng)的財(cái)務(wù)審計(jì)，因此審計(jì)是獨(dú)立于被審計(jì)單位的機(jī)構(gòu)和人員，對(duì)被審計(jì)單位的財(cái)政、財(cái)務(wù)收支及其有關(guān)的經(jīng)濟(jì)活動(dòng)的真實(shí)、合法和效益進(jìn)行檢查、評(píng)價(jià)、公證的一種監(jiān)督活動(dòng)。

 

　　2、什么是信息系統(tǒng)審計(jì)：信息系統(tǒng)審計(jì)又叫IT審計(jì)，也稱IT監(jiān)查，是獨(dú)立于信息系統(tǒng)本身、信息系統(tǒng)相關(guān)開發(fā)、使用人員的第三方-IT審計(jì)師采用客觀的標(biāo)準(zhǔn)對(duì)信息系統(tǒng)的策劃、開發(fā)、使用維護(hù)等相關(guān)活動(dòng)和產(chǎn)物進(jìn)行完整地、有效地檢查和評(píng)估。

 

　　3、什么是數(shù)據(jù)庫(kù)：數(shù)據(jù)庫(kù)（Database）是按照數(shù)據(jù)結(jié)構(gòu)來(lái)組織、存儲(chǔ)和管理數(shù)據(jù)的倉(cāng)庫(kù)。一般是由數(shù)據(jù)庫(kù)管理軟件來(lái)實(shí)現(xiàn)的，比如常見的數(shù)據(jù)庫(kù)管理軟件有Oracle、MySQL、Microsoft SQL Sever、DB2、Sybase等。

 

　　4、什么是數(shù)據(jù)庫(kù)審計(jì)：數(shù)據(jù)庫(kù)審計(jì)至今并沒有一個(gè)非常標(biāo)準(zhǔn)公開的定義，通常我們可以理解為針對(duì)數(shù)據(jù)庫(kù)所執(zhí)行的為達(dá)到審計(jì)目標(biāo)的一系列檢查、分析和測(cè)試活動(dòng)。

 

　　二、數(shù)據(jù)庫(kù)審計(jì)的目的

 

　　從大的方面講，現(xiàn)在數(shù)據(jù)庫(kù)審計(jì)的目的主要有兩個(gè)，一個(gè)目的是合規(guī)，第二個(gè)目的是避免或減少風(fēng)險(xiǎn)。

 

　　出于合規(guī)目的的審計(jì)，比如需要滿足薩班斯要求的海外上市公司，每年都要隨著信息系統(tǒng)審計(jì)一起對(duì)數(shù)據(jù)庫(kù)執(zhí)行審計(jì)。并為財(cái)務(wù)出具證實(shí)其財(cái)務(wù)數(shù)據(jù)是真實(shí)準(zhǔn)確的報(bào)告，并附在財(cái)務(wù)審計(jì)報(bào)告中。另外在香港上市的公司也會(huì)有相關(guān)要求，對(duì)信息系統(tǒng)中的數(shù)據(jù)進(jìn)行驗(yàn)證。

 

　　第二種就是出于自身避免或減少風(fēng)險(xiǎn)的目的執(zhí)行審計(jì)。常見的風(fēng)險(xiǎn)主要來(lái)自于以下幾個(gè)方面：第一個(gè)就是如數(shù)據(jù)的不真實(shí)、不準(zhǔn)確、不一致等等，我們可以稱之為數(shù)據(jù)風(fēng)險(xiǎn)，它對(duì)財(cái)務(wù)數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)等的真實(shí)性、準(zhǔn)確性產(chǎn)生影響，最終影響企業(yè)的聲譽(yù)和經(jīng)營(yíng)決策。第二種就是數(shù)據(jù)庫(kù)本身的中斷、死機(jī)、中病毒等，我們可以稱之為數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)，它對(duì)業(yè)務(wù)、生產(chǎn)效率產(chǎn)生影響。第三種是利用數(shù)據(jù)庫(kù)的權(quán)限職責(zé)執(zhí)行舞弊、違規(guī)等操作，給企業(yè)帶來(lái)某些財(cái)務(wù)損失的影響，我們稱為違規(guī)風(fēng)險(xiǎn)，比如法國(guó)興業(yè)銀行倒閉案，就是交易員隱瞞了對(duì)交易數(shù)據(jù)的操作引發(fā)，與第一種目的不同之處，在于這種合規(guī)還包括了對(duì)公司規(guī)定的合規(guī)。通過(guò)實(shí)施數(shù)據(jù)庫(kù)審計(jì)可以提前發(fā)現(xiàn)上述風(fēng)險(xiǎn)并采取必要的措施，將損失降低到最小或者避免損失發(fā)生。

 

　　比較常見的信息系統(tǒng)審計(jì)，是基于數(shù)據(jù)安全需要的審計(jì)，涵蓋在基于風(fēng)險(xiǎn)的審計(jì)當(dāng)中。

 

　　現(xiàn)在也有客戶提出了一些比較新的審計(jì)需求，比如數(shù)據(jù)一致性審計(jì)、數(shù)據(jù)有效性審計(jì)等。

 

　　三、數(shù)據(jù)庫(kù)審計(jì)方法

 

　　針對(duì)審計(jì)目的的不同，有多種審計(jì)方法可以使用：

 

　　日志分析：通過(guò)分析數(shù)據(jù)庫(kù)系統(tǒng)業(yè)務(wù)數(shù)據(jù)交易、操作日志，可以發(fā)現(xiàn)違規(guī)風(fēng)險(xiǎn)；通過(guò)分析數(shù)據(jù)庫(kù)系統(tǒng)自身的系統(tǒng)日志、事件日志、巡檢日志可以提前發(fā)現(xiàn)病毒、黑客攻擊、系統(tǒng)故障等數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)。

 

　　風(fēng)險(xiǎn)分析：風(fēng)險(xiǎn)分析是比較通用、廣泛的一種分析方法，涵蓋了日志分析方法。主要是通過(guò)一套風(fēng)險(xiǎn)分析理論方法，比較全面的分析數(shù)據(jù)庫(kù)管理、技術(shù)方面存在哪些風(fēng)險(xiǎn)，并針對(duì)與這些風(fēng)險(xiǎn)進(jìn)行審計(jì)。

 

　　數(shù)據(jù)核對(duì)：也叫數(shù)據(jù)驗(yàn)證，主要是針對(duì)數(shù)據(jù)風(fēng)險(xiǎn)而言的，采用的方法也比較多，如重新計(jì)算、倒推法、比對(duì)法、程序分析、重新執(zhí)行等，這是比較耗時(shí)、耗力的方法。比較少的單位采取這種方法，但是這是非常有價(jià)值的方法。因?yàn)閿?shù)據(jù)庫(kù)最終是為數(shù)據(jù)服務(wù)的，數(shù)據(jù)不準(zhǔn)、有問(wèn)題只有兩種情況下才能知道，驗(yàn)算之后或者使用過(guò)程中。

 

　　數(shù)據(jù)流分析：該分析方法通過(guò)利用數(shù)據(jù)的數(shù)據(jù)的生命周期，從數(shù)據(jù)的需求分析、創(chuàng)建、審批、變更、權(quán)限分配、更新、刪除、流轉(zhuǎn)等，分析數(shù)據(jù)存在的風(fēng)險(xiǎn)，驗(yàn)證數(shù)據(jù)控制措施的有效。

 

　　測(cè)試：通過(guò)設(shè)置關(guān)鍵測(cè)試點(diǎn)，驗(yàn)證數(shù)據(jù)庫(kù)對(duì)數(shù)據(jù)的管理過(guò)程是否有效，是否得到必要的控制。常見的測(cè)試方法有有效性測(cè)試、實(shí)質(zhì)性測(cè)試、穿行測(cè)試等。

 

　　數(shù)據(jù)庫(kù)審計(jì)的方法很多，也有很多是借鑒了其它專業(yè)的方法，同時(shí)這些方法之間有些也有重疊的內(nèi)容。具體的審計(jì)方法要根據(jù)具體的審計(jì)需求確定。

 

　　四、審計(jì)工具

 

　　除了我們可以采用手工的方法執(zhí)行數(shù)據(jù)庫(kù)審計(jì)外，我們也可以借助一些工具提高審計(jì)效率。

 

　　市面上常見的數(shù)據(jù)庫(kù)審計(jì)工具都是針對(duì)與數(shù)據(jù)操作行為、數(shù)據(jù)庫(kù)管理行為、安全的審計(jì)工具，主要的品牌有漢邦、復(fù)旦光華、國(guó)都興業(yè)、三零鷹眼、帕拉迪、啟明星辰、綠盟、思福迪、網(wǎng)御神州等。這些產(chǎn)品主要功能有：

 

　　· 支持Ms SQL、Oracle、DB2、Sybase、MySQL等主流的數(shù)據(jù)庫(kù)管理系統(tǒng)；

 

　　· 支持對(duì)標(biāo)準(zhǔn)SQL語(yǔ)句的審計(jì)；

 

　　· 可以審計(jì)登陸的用戶、源IP、目的IP，更深入的可以記錄用戶的操作等；

 

　　· 支持語(yǔ)句和內(nèi)容的還原；

 

　　· 支持?jǐn)?shù)據(jù)庫(kù)流量的統(tǒng)計(jì)、超限報(bào)警等功能；

 

　　· 可以根據(jù)預(yù)定規(guī)則阻斷SQL語(yǔ)句的數(shù)據(jù)墻功能；

 

　　· 安裝方式有橋接、旁路、網(wǎng)關(guān)模式，有些可以安裝主機(jī)代理（Agent），實(shí)現(xiàn)對(duì)主機(jī)數(shù)據(jù)的審計(jì)；

 

　　· 都具備直觀、簡(jiǎn)潔的報(bào)表生成功能。

 

　　通過(guò)上述的功能描述，我們不難看出，這些工具只實(shí)現(xiàn)了數(shù)據(jù)庫(kù)審計(jì)的部分功能，而像ACL、IDEA等這樣專業(yè)的財(cái)務(wù)審計(jì)工具又無(wú)法滿足信息系統(tǒng)審計(jì)的需要，因此很長(zhǎng)一段時(shí)間是需要財(cái)務(wù)審計(jì)工具、數(shù)據(jù)庫(kù)審計(jì)工具和手工審計(jì)才能完成一個(gè)比較全面數(shù)據(jù)庫(kù)審計(jì)項(xiàng)目。

 

　　五、小結(jié)

 

　　數(shù)據(jù)庫(kù)審計(jì)對(duì)于審計(jì)行業(yè)來(lái)說(shuō)，還是比較新的審計(jì)需求，而且不同的廠家、不同的事務(wù)所、不同的客戶對(duì)數(shù)據(jù)庫(kù)審計(jì)的認(rèn)知也是多種多樣，存在一定的分歧，無(wú)論如何，至少客戶開始認(rèn)識(shí)到數(shù)據(jù)庫(kù)審計(jì)的價(jià)值了，這是一個(gè)非常好的現(xiàn)象。