企業IT管理必備數據庫審計基礎介紹

2014-11-08 22:40:24 大云網　點擊量：評論 (0)

隨著信息化的深入和普及，各行各業對信息系統的依賴性越來越強，信息系統中的數據也逐漸成為了企業的生命。數據的不準確、不真實、不一致、重復雜亂等就會影響企業的健康。于是數據審計登上了歷史舞臺，數據是由

隨著信息化的深入和普及，各行各業對信息系統的依賴性越來越強，信息系統中的數據也逐漸成為了企業的生命。數據的不準確、不真實、不一致、重復雜亂等就會影響企業的健康。于是數據審計登上了歷史舞臺，數據是由信息系統中的數據庫進行生成、保存和管理。

　　一、幾個概念

　　1、什么是審計：信息系統審計來源于傳統的財務審計，因此審計是獨立于被審計單位的機構和人員，對被審計單位的財政、財務收支及其有關的經濟活動的真實、合法和效益進行檢查、評價、公證的一種監督活動。

　　2、什么是信息系統審計：信息系統審計又叫IT審計，也稱IT監查，是獨立于信息系統本身、信息系統相關開發、使用人員的第三方-IT審計師采用客觀的標準對信息系統的策劃、開發、使用維護等相關活動和產物進行完整地、有效地檢查和評估。

　　3、什么是數據庫：數據庫（Database）是按照數據結構來組織、存儲和管理數據的倉庫。一般是由數據庫管理軟件來實現的，比如常見的數據庫管理軟件有Oracle、MySQL、Microsoft SQL Sever、DB2、Sybase等。

　　4、什么是數據庫審計：數據庫審計至今并沒有一個非常標準公開的定義，通常我們可以理解為針對數據庫所執行的為達到審計目標的一系列檢查、分析和測試活動。

　　二、數據庫審計的目的

　　從大的方面講，現在數據庫審計的目的主要有兩個，一個目的是合規，第二個目的是避免或減少風險。

　　出于合規目的的審計，比如需要滿足薩班斯要求的海外上市公司，每年都要隨著信息系統審計一起對數據庫執行審計。并為財務出具證實其財務數據是真實準確的報告，并附在財務審計報告中。另外在香港上市的公司也會有相關要求，對信息系統中的數據進行驗證。

　　第二種就是出于自身避免或減少風險的目的執行審計。常見的風險主要來自于以下幾個方面：第一個就是如數據的不真實、不準確、不一致等等，我們可以稱之為數據風險，它對財務數據、生產數據、業務數據等的真實性、準確性產生影響，最終影響企業的聲譽和經營決策。第二種就是數據庫本身的中斷、死機、中病毒等，我們可以稱之為數據庫風險，它對業務、生產效率產生影響。第三種是利用數據庫的權限職責執行舞弊、違規等操作，給企業帶來某些財務損失的影響，我們稱為違規風險，比如法國興業銀行倒閉案，就是交易員隱瞞了對交易數據的操作引發，與第一種目的不同之處，在于這種合規還包括了對公司規定的合規。通過實施數據庫審計可以提前發現上述風險并采取必要的措施，將損失降低到最小或者避免損失發生。

　　比較常見的信息系統審計，是基于數據安全需要的審計，涵蓋在基于風險的審計當中。

　　現在也有客戶提出了一些比較新的審計需求，比如數據一致性審計、數據有效性審計等。

　　三、數據庫審計方法

　　針對審計目的的不同，有多種審計方法可以使用：

　　日志分析：通過分析數據庫系統業務數據交易、操作日志，可以發現違規風險；通過分析數據庫系統自身的系統日志、事件日志、巡檢日志可以提前發現病毒、黑客攻擊、系統故障等數據庫風險。

　　風險分析：風險分析是比較通用、廣泛的一種分析方法，涵蓋了日志分析方法。主要是通過一套風險分析理論方法，比較全面的分析數據庫管理、技術方面存在哪些風險，并針對與這些風險進行審計。

　　數據核對：也叫數據驗證，主要是針對數據風險而言的，采用的方法也比較多，如重新計算、倒推法、比對法、程序分析、重新執行等，這是比較耗時、耗力的方法。比較少的單位采取這種方法，但是這是非常有價值的方法。因為數據庫最終是為數據服務的，數據不準、有問題只有兩種情況下才能知道，驗算之后或者使用過程中。

　　數據流分析：該分析方法通過利用數據的數據的生命周期，從數據的需求分析、創建、審批、變更、權限分配、更新、刪除、流轉等，分析數據存在的風險，驗證數據控制措施的有效。

　　測試：通過設置關鍵測試點，驗證數據庫對數據的管理過程是否有效，是否得到必要的控制。常見的測試方法有有效性測試、實質性測試、穿行測試等。

　　數據庫審計的方法很多，也有很多是借鑒了其它專業的方法，同時這些方法之間有些也有重疊的內容。具體的審計方法要根據具體的審計需求確定。

　　四、審計工具

　　除了我們可以采用手工的方法執行數據庫審計外，我們也可以借助一些工具提高審計效率。