如何应用或实施it技术开展计算机辅助安全分析与评价
答案:1 悬赏:60 手机版
解决时间 2021-11-25 22:20
- 提问者网友:欲劫无渡
- 2021-11-24 21:41
如何应用或实施it技术开展计算机辅助安全分析与评价
最佳答案
- 五星知识达人网友:行路难
- 2021-11-24 22:37
存心舞弊的人往往运用各种手法来掩饰,对于外部与内部分析,甚至于,就公司管理当局或治理单位而言,潜在的舞弊活动往往不易被发现,再者,企业的营运与交易信息,于一定时间后,已累积到庞大的数量,因此,倘若以人工的分析角度,希望能到期望的舞弊侦测效果,其实有限。
现今大多数的企业都会利用信息系统来整合企业的经营信息以提升企业竞争能力,同时,企业营运信息皆因此记载于信息系统中。如果要了解企业的营运有关的信息内容,我们可以思考由企业的信息系统着手,例如要分析营运是否异常,除了实体文件(窗体、纪录或单据等)的检视外,亦可以尝试透过分析信息系统的交易信息进而找出端倪。
或许有人会问,如果有心要舞弊,也可以从信息系统中去修改数据,使得分析人员无法了解是否有舞弊的存在。的确,有心人士可以透过在交易信息输入信息系统前,先把交易信息修改后再输入信息系统中,此时分析人员并无法从信息系统中验证输入数据之真实性,例如:原本应交易100元,但是舞弊者将凭证改成50元,而在信息系统中亦修改成50元,对于此笔数据之真实性,将无法从信息系统的事务数据分析中得知。不过,「夜路走多,总会碰到鬼」,营运交易信息是日积月累的储存于信息系统中,舞弊者即使在每笔输入数据时,均先过滤及更改数据内容,亦无法避免”数据调整”后,所产生前后勾稽事务数据不一致的问题,或是整体交易趋势逻辑的问题。况且,由于营运信息前后,需勾稽的事务数据过于庞大而且复杂,对于如此庞大及复杂的数据数量,势必无法透过人工方式逐一检视,并且调整欲窜改的内容,而都不产生任何的数据冲突。所以由舞弊侦测的角度而言,分析人员可以透过进行信息系统的事务数据互相分析以及比对,以便发现其中交易是否有趋势异常或是交易逻辑上的异常。只是需特别注意的是,针对如此庞大数量的事务数据,无法单纯以人工检视与分析的方法进行,更遑论执行舞弊侦测作业,而针对此问题,我们可以透过计算机辅助分析工具得到解决方法。
目前常见计算机辅助分析工具(亦称之为通用分析软件)有:ACL,IDEA等,也常有人使用MS-EXCEL,MS-ACCESS、SQL或是SAS(统计分析软件),进行数据分析。当分析人员使用计算机数据分析工具执行分析作业时,需注意的是,在执行资料分析与处理的过程中,分析人员必须留下分析纪录(LOG)。实务上,在分析作业的过程中,留下分析轨迹(或称之为审计轨迹) 对于审计或分析的观点来看,都是极为重要的事情,尤其是在计算机分析与计算机审计的作业范畴中。计算机分析或计算机审计必须针对电子型态的信息进行分析与试算,加上其信息分析的范围往往非以抽样方式执行,而是以完整与庞大的计算机信息作为分析标的,因此就其分析作业证据力、有效程度或完整性,往往可能成为影响整体分析作业结果的主要因素。因此当分析作业有采用计算机辅助分析技术时,须特别留意分析证据力与分析作业之有效性与完整性。
计算机辅助分析技术可以应用的范围极广,主要执行方式,简单地来说,就是对于记载在信息系统中的信息,针对其正确性拟采以信赖时,(但是,在信赖前应当先管理信息系统环境控制评估后,并了解其控制适当后方可下此结论。)我们可以从信息系统的数据库中撷取原始数据*,且须了解信息系统中的运算与处理架构(通常是透过访谈资讯工程人员),依据信息系统对于信息的处理逻辑,利用通用分析软件,进行平行仿真的试算或分析。当我们产出试算或分析结果后,再透过信息系统本身的程序产出相关报表,与我们的试算或分析结果进行比对,针对其中差异,再次进行了解、分析与试算。
理论上,计算机辅助分析技术产出的结果,不应与信息系统产出结果有差异,但是实务上,往往因为受查标的对于信息系统相关控制并非落实完善,或是,往往于信息系统产出报表后,经过人工的调整,例如:透过信息系统产出报表后,导出成为EXCEL档案,再从EXCEL档案中进行调整。在此状况下,分析人员应跳脱信赖信息系统的信息,改认定企业的营运是实行半人工流程或全人工流程作业机制的方式,而非全自动的信息系统控制。或是,亦可能认定信息系统仅为辅助记账功能的一个工具,而非作为主要营运信息的来源,其主要营运信息的来源,就会变成半人工或人工操作为主的经营信息。计算机辅助分析技术在此处的应用,亦将成为辅助分析与左证信息系统中信息是否可信赖的判断依据,而非成为一般证实性查核的结果与依据。
*备注:原始数据,系指于信息系统中,未经编排、结构化或其他加工处理的数据。一般而言,信息系统产出的报表,均是由信息系统程序将此些原始数据进行处理与分析后产成报表,以成为营运信息。
就舞弊侦测作业中,如何采用计算机辅助分析技术作为协助,采用时机与方式在此举例说明如下:
当分析人员要了解与分析企业销售行为之真实性,简要的就人工分析的角度来说,会先从订单接收、原物料采购与验收入库、制造产品与品检入库、仓库的出货与运输与财会的发票开立等相关作业流程进行了解。同时,从人工角度,逐一抽检各阶段作业的凭证、窗体或单据等。当然,要勾稽销货真实性,一般而言,会从前端订单抽验30笔以上订单(或依据公认抽样标准笔数进行抽验),并逐一比对与分析该笔订单原料采购现况、制造流程信息与相关窗体到出货、开立发票或运输单据或报关单据等实体窗体单据进行勾稽。这是一般常见的人工查核程序,请注意,这里可能存在潜在的侦测风险。
假设查核人员在订单抽样检查前,先将全年度销售金额作一个分析,再依据金额比例取出前30大的销售交易后,再针对该些交易进营销货真实性的查核。针对此种查核程序,有些层面是查核人员在执行查核的时后必须注意的:
对于全年度销售金额的采用与认定,如何认定其正确性?信赖信息系统记载的数字吗? 是否舞弊行为仅会发生在前30大的交易行为,舞弊行为是否有可能潜藏在30大交易之外的交易? 人工查核与勾稽时间冗长,是否可能产生人工查核错误?
针对上述问题,我们可以运用计算机辅助分析技术来帮助我们澄清。在此提供一些实际作法供各位参考如下:
我们可以透过下载数据库中销售信息的原始数据,汇入通用分析软件,进行试算并将试算结果与信息系统产出之销售报表进行比对,以了解其销售金额之正确性。不过前面有提到,在信赖数据库中原始数据前,应当对于信息系统控制环境先进行评估,以确保原始数据之正确性*与完整性。 *备注:在此种过程中,我们仅能验证原始数据正确性,对于原始数据真实性仍无法从信息系统数据来验证。
以通用分析软件进行数据比对分析,透过以订单编号为主,工单编号、出货单号、报关单号与发票编号为辅,以其中各编号的数据链结,逐一分析比对是否存在相关交易信息,并针对异常信息再佐以人工查核方式进行复核。 采用计算机辅助分析技术,往往可以节省大量人工勾稽比对之时间,但是要注意,对于实体凭证之真实性,依旧需依赖人工检视与查核方可允以信赖。
经实行上述计算机辅助分析程序,我们可以了解计算机辅助分析技术运用的时机与方式。在此,仅针对计算机辅助分析技术列举了一些应用方式,但计算机辅助分析技术的运用并不仅限于适才所列举的案例。实务上,对于计算机辅助分析技术的相关运用,尚有广泛的空间,例如:
不同信息系统接口间数据抛转完整性验证。 信息系统记载信息之证确性与完整性。 采购/应付、销售/应收与其他八大循环的交易验计与记录分析等。 其他大规模数据比对以及验算的范围。
舞弊行为不会仅发生于销售行为,亦不会仅限于经营者,对于专业经理人、员工或其它第三者均有可能发生舞弊行为。因此,透过计算机辅助分析技术,进行舞弊侦测与趋势分析将可有效协助企业经营针对舞弊行为的事前的预防– 以达到「防弊兴利」的效果,或是企业经营针对舞弊行为的纠举与错误改正– 以达到「除弊兴利」的效果。在目前各界极为关注舞弊侦测议题的此时,提供此方向供各界先进参考与思考,笔者才疏学浅,如有遗漏在所难免,尚祈各界先进不吝指教。
现今大多数的企业都会利用信息系统来整合企业的经营信息以提升企业竞争能力,同时,企业营运信息皆因此记载于信息系统中。如果要了解企业的营运有关的信息内容,我们可以思考由企业的信息系统着手,例如要分析营运是否异常,除了实体文件(窗体、纪录或单据等)的检视外,亦可以尝试透过分析信息系统的交易信息进而找出端倪。
或许有人会问,如果有心要舞弊,也可以从信息系统中去修改数据,使得分析人员无法了解是否有舞弊的存在。的确,有心人士可以透过在交易信息输入信息系统前,先把交易信息修改后再输入信息系统中,此时分析人员并无法从信息系统中验证输入数据之真实性,例如:原本应交易100元,但是舞弊者将凭证改成50元,而在信息系统中亦修改成50元,对于此笔数据之真实性,将无法从信息系统的事务数据分析中得知。不过,「夜路走多,总会碰到鬼」,营运交易信息是日积月累的储存于信息系统中,舞弊者即使在每笔输入数据时,均先过滤及更改数据内容,亦无法避免”数据调整”后,所产生前后勾稽事务数据不一致的问题,或是整体交易趋势逻辑的问题。况且,由于营运信息前后,需勾稽的事务数据过于庞大而且复杂,对于如此庞大及复杂的数据数量,势必无法透过人工方式逐一检视,并且调整欲窜改的内容,而都不产生任何的数据冲突。所以由舞弊侦测的角度而言,分析人员可以透过进行信息系统的事务数据互相分析以及比对,以便发现其中交易是否有趋势异常或是交易逻辑上的异常。只是需特别注意的是,针对如此庞大数量的事务数据,无法单纯以人工检视与分析的方法进行,更遑论执行舞弊侦测作业,而针对此问题,我们可以透过计算机辅助分析工具得到解决方法。
目前常见计算机辅助分析工具(亦称之为通用分析软件)有:ACL,IDEA等,也常有人使用MS-EXCEL,MS-ACCESS、SQL或是SAS(统计分析软件),进行数据分析。当分析人员使用计算机数据分析工具执行分析作业时,需注意的是,在执行资料分析与处理的过程中,分析人员必须留下分析纪录(LOG)。实务上,在分析作业的过程中,留下分析轨迹(或称之为审计轨迹) 对于审计或分析的观点来看,都是极为重要的事情,尤其是在计算机分析与计算机审计的作业范畴中。计算机分析或计算机审计必须针对电子型态的信息进行分析与试算,加上其信息分析的范围往往非以抽样方式执行,而是以完整与庞大的计算机信息作为分析标的,因此就其分析作业证据力、有效程度或完整性,往往可能成为影响整体分析作业结果的主要因素。因此当分析作业有采用计算机辅助分析技术时,须特别留意分析证据力与分析作业之有效性与完整性。
计算机辅助分析技术可以应用的范围极广,主要执行方式,简单地来说,就是对于记载在信息系统中的信息,针对其正确性拟采以信赖时,(但是,在信赖前应当先管理信息系统环境控制评估后,并了解其控制适当后方可下此结论。)我们可以从信息系统的数据库中撷取原始数据*,且须了解信息系统中的运算与处理架构(通常是透过访谈资讯工程人员),依据信息系统对于信息的处理逻辑,利用通用分析软件,进行平行仿真的试算或分析。当我们产出试算或分析结果后,再透过信息系统本身的程序产出相关报表,与我们的试算或分析结果进行比对,针对其中差异,再次进行了解、分析与试算。
理论上,计算机辅助分析技术产出的结果,不应与信息系统产出结果有差异,但是实务上,往往因为受查标的对于信息系统相关控制并非落实完善,或是,往往于信息系统产出报表后,经过人工的调整,例如:透过信息系统产出报表后,导出成为EXCEL档案,再从EXCEL档案中进行调整。在此状况下,分析人员应跳脱信赖信息系统的信息,改认定企业的营运是实行半人工流程或全人工流程作业机制的方式,而非全自动的信息系统控制。或是,亦可能认定信息系统仅为辅助记账功能的一个工具,而非作为主要营运信息的来源,其主要营运信息的来源,就会变成半人工或人工操作为主的经营信息。计算机辅助分析技术在此处的应用,亦将成为辅助分析与左证信息系统中信息是否可信赖的判断依据,而非成为一般证实性查核的结果与依据。
*备注:原始数据,系指于信息系统中,未经编排、结构化或其他加工处理的数据。一般而言,信息系统产出的报表,均是由信息系统程序将此些原始数据进行处理与分析后产成报表,以成为营运信息。
就舞弊侦测作业中,如何采用计算机辅助分析技术作为协助,采用时机与方式在此举例说明如下:
当分析人员要了解与分析企业销售行为之真实性,简要的就人工分析的角度来说,会先从订单接收、原物料采购与验收入库、制造产品与品检入库、仓库的出货与运输与财会的发票开立等相关作业流程进行了解。同时,从人工角度,逐一抽检各阶段作业的凭证、窗体或单据等。当然,要勾稽销货真实性,一般而言,会从前端订单抽验30笔以上订单(或依据公认抽样标准笔数进行抽验),并逐一比对与分析该笔订单原料采购现况、制造流程信息与相关窗体到出货、开立发票或运输单据或报关单据等实体窗体单据进行勾稽。这是一般常见的人工查核程序,请注意,这里可能存在潜在的侦测风险。
假设查核人员在订单抽样检查前,先将全年度销售金额作一个分析,再依据金额比例取出前30大的销售交易后,再针对该些交易进营销货真实性的查核。针对此种查核程序,有些层面是查核人员在执行查核的时后必须注意的:
对于全年度销售金额的采用与认定,如何认定其正确性?信赖信息系统记载的数字吗? 是否舞弊行为仅会发生在前30大的交易行为,舞弊行为是否有可能潜藏在30大交易之外的交易? 人工查核与勾稽时间冗长,是否可能产生人工查核错误?
针对上述问题,我们可以运用计算机辅助分析技术来帮助我们澄清。在此提供一些实际作法供各位参考如下:
我们可以透过下载数据库中销售信息的原始数据,汇入通用分析软件,进行试算并将试算结果与信息系统产出之销售报表进行比对,以了解其销售金额之正确性。不过前面有提到,在信赖数据库中原始数据前,应当对于信息系统控制环境先进行评估,以确保原始数据之正确性*与完整性。 *备注:在此种过程中,我们仅能验证原始数据正确性,对于原始数据真实性仍无法从信息系统数据来验证。
以通用分析软件进行数据比对分析,透过以订单编号为主,工单编号、出货单号、报关单号与发票编号为辅,以其中各编号的数据链结,逐一分析比对是否存在相关交易信息,并针对异常信息再佐以人工查核方式进行复核。 采用计算机辅助分析技术,往往可以节省大量人工勾稽比对之时间,但是要注意,对于实体凭证之真实性,依旧需依赖人工检视与查核方可允以信赖。
经实行上述计算机辅助分析程序,我们可以了解计算机辅助分析技术运用的时机与方式。在此,仅针对计算机辅助分析技术列举了一些应用方式,但计算机辅助分析技术的运用并不仅限于适才所列举的案例。实务上,对于计算机辅助分析技术的相关运用,尚有广泛的空间,例如:
不同信息系统接口间数据抛转完整性验证。 信息系统记载信息之证确性与完整性。 采购/应付、销售/应收与其他八大循环的交易验计与记录分析等。 其他大规模数据比对以及验算的范围。
舞弊行为不会仅发生于销售行为,亦不会仅限于经营者,对于专业经理人、员工或其它第三者均有可能发生舞弊行为。因此,透过计算机辅助分析技术,进行舞弊侦测与趋势分析将可有效协助企业经营针对舞弊行为的事前的预防– 以达到「防弊兴利」的效果,或是企业经营针对舞弊行为的纠举与错误改正– 以达到「除弊兴利」的效果。在目前各界极为关注舞弊侦测议题的此时,提供此方向供各界先进参考与思考,笔者才疏学浅,如有遗漏在所难免,尚祈各界先进不吝指教。
我要举报
如以上回答内容为低俗、色情、不良、暴力、侵权、涉及违法等信息,可以点下面链接进行举报!
点此我要举报以上问答信息
大家都在看
推荐资讯