文章插图
1.审计客户端 。审计客户端为系统的第一层，这一层主要是实现表示逻辑，它直接面向操作人员 。其主要功能是：提供用户操作界面，实现用户与计算机的人机互动和数据表示；向中间层的审计分析伺服器提交各类操作请求，并将处理结果反馈给用户 。这一层一般不进行业务逻辑校验，或者只作简单的校验 。2.审计分析伺服器 。审计分析伺服器为系统的中间层 。这一层主要是实现业务逻辑 。它以中间件为基础进行构建，在系统中起承上启下的作用，它接受客户端对资料库的请求，将请求提交到后台资料库中，最后将处理结果返回客户端 。审计分析伺服器对服务进程进行任务调度、负载平衡和故障恢复工作，保证了系统主机的高效运行 。在审计分析伺服器中包含系统主要的业务逻辑，使大部分的业务逻辑校验在伺服器中完成 。当业务逻辑发生变化时，只需修改伺服器端的程式即可，无须对所有的客户端进行更新，另外也降低了客户端的负载 。3.审计资料库 。审计资料库构成系统的第三层 。这一层主要负责存储数据，管理数据资源，回响数据请求，完成数据操作 。这种三层体系结构的优势非常明显 。它可以将部分或全部的业务逻辑控制安装在审计分析伺服器上，减轻了客户端的负载；只有审计分析伺服器和审计资料库直接相连，由审计分析伺服器处理客户端对审计资料库的连线请求，降低了对资料库资源的占用；数据以交易包的形式传输，网路流量小，同时客户端可以共享审计分析伺服器中的公共数据，节省频宽，提高了反应速度 。网路与安全设计金融审计信息系统的网路拓扑图如下图示：金融联网审计信息系统网路拓扑结构图

文章插图
1.金融审计信息系统的组网基于金审工程区域网路平台实现审计端与被审计端的连线，保证金融电子数据的传输安全 。2.在审计资料库与审计分析伺服器中间增加资料库透明网关，用于和国家审计信息中心的DB2资料库伺服器之间互动基础数据 。3.採用单刀双掷网路开关实现物理隔离，当被审计端资料库採集生产系统数据时从审计区域网路中脱离，确保各网段互不联通 。4.路由交换两端分别部署防火墙和PKI/CA基础设施，切断网路入侵 。数据视图设计各金融企业的信息系统都有自己的业务逻辑，而审计人员对金融企业业务流程的认识过程是循序渐进的，因此金融审计信息系统建设的数据规划既要兼顾审计资料库结构的统一，又要兼顾各金融机构各不相同的资料库原型逻辑 。要将二者统一最好的解决办法就是採用数据视图设计，把被审计单位原始资料库完整克隆到审计资料库，从资料库视图里构建栏位映射关係，审计资料库结构设计的调整只需调整视图 。用数据试图设计搭建统一的审计数据平台具有很多优点：1.不会破坏原始资料库包含的约束条件和事务流程，不会降低数据处理的效率； 2.审计资料库可以随原始资料库实时更新； 3.可以根据审计需要随时调整数据结构设计； 4. 便于审计人员与被审计单位科技人员沟通； 5.可以省略审计资料库的安全备份机制 。比如某项金融审计业务逻辑发生了变化，我们只需相应地调整视图设计，而不用去变更审计资料库的事实表 。数据分析设计1.SQL查询分析 。SQL查询分析主要包括图形化查询、索引建议、预览採集、动态汉化、EXCEL互动等功能，并能对查询结果数据透视图分析 。2.多维数据集分析 。多维数据集分析有利于总体决策，提供对汇总数据的分析功能，主要包括切片、切块、旋转、上钻、下钻等功能 。通过建立以时间、地域、客户、币种、科目、业务品种等要素为维度，以金额、数量等指标作为度量值的多维数据集模型，向决策层提供各家金融机构的财务状况和各项业务经营状况的总体情况 。3.数据挖掘分析 。数据挖掘分析是将高级智慧型计算技术套用于大量数据中，选择一种或者多种挖掘算法，从海量数据中发现潜在的、有价值的信息并建立相应模型 。这些模型可以用来预测、支持决策，主要套用于信贷欺诈的建模和预测、风险评估、执行走向分析、收益率分析等领域，从风险损失的历史数据中归纳潜在的联繫和规律，对审计重点关注对象实施定量分析和科学预测，建立预警模型，改变审计“事后审计”为“事前预测” 。4.专家经验模型分析 。专家经验模型分析是把金融审计专家经验库固化到中间层审计分析伺服器中，形成金融审计知识库 。审计人员只需调用其中的专家经验数据分析或金融数学模型，就可以实现同类型问题的自动审计 。套用价值1)满足合规性要求，顺利通过IT审计越来越多的单位面临一种或者几种合规性要求 。比如，在美国上市的公司及其下属分子公司就面临SOX法案的合规性要求;而商业银行则面临Basel协定的合规性要求;政府的行政事业单位或者国有企业则有遵循等级保护的合规性要求 。安全审计系统有助于完善组织的IT内控与审计体系，从而满足各种合规性要求，并且使组织能够顺利通过IT审计 。2)有效减少核心信息资产的破坏和泄漏对单位的业务系统来说，真正重要的核心信息资产往往存放在少数几个关键系统上(如资料库伺服器、套用伺服器等)，通过使用安全审计系统，能够加强对这些关键系统的审计，从而有效地减少对核心信息资产的破坏和泄漏 。3)追蹤溯源，便于事后追查原因与界定责任审计监控体系能够完整的诠释责任认定体系 。通过稳定而成熟的审计技术，可以建立起一个行为不可抵赖、数据可靠，完整并且强有力的责任认定体系 。通过从不同层面对支付系统中各种设备的操作和管理行为，包括本地操作和远程操作的综合审计，可以很好的将上述行为记录下来，并且长时间保存，可以达到很好的达到审计监控目的，从而有效进行责任认定 。4)实现独立审计与三权分立，完善IT内控机制从内控的角度来看，IT系统的使用权、管理权与监督权必须三权分立 。在三权分立的基础上实施内控与审计，有效地控制操作风险(包括业务操作风险与运维操作风险等) 。安全审计实现独立的审计与三权分立，完善IT内控机制 。

• 中国审计组织体系研究
• 信息系统测评技术
• 地理信息系统组成
• 管理工程：管理信息系统
• 经济学概念 国际金融市场
• 工程材料费审计
• 管理信息系统 MBA核心课程精选教材
• GIS 地理信息系统(地理信息系统(GIS))
• 风险投资与中国金融体制改革
• 社会审计準则