计算机辅助审计方法及单位风险的安全隐患

在地税审计中，我们按照《机辅助审计办法》对地税部门计算机中存在的及安全隐患进行了探索及。被审计单位基本情况根据湖北省审计厅统一部署，我们对下属某市2000年度税收政策执行及财务收支情况进行了就地审计，该地税部门共有干部职工287人，全系统按区划设置征收单位10个，局机关内设科室6个。全市共有纳税户4407个，其中股份制对个，国营企业146个，集团企业149个，私营企业84个，中外合资企业1个，个体经营户3980户。机关信息化建设已初规模，该局拥有计算机24台，基本实现联接，计算机及网络技术已深入到纳税征管业务工作中，数据传输、税款开票做帐已经信息化，实际操作中我们以其NOVELL网作为计算机审计的重点。计算机审计中发现的问题（一）“平面扫描”，暴露表面问题该机关内部有两个网络，一个是机关信息传递使用的NT网络操作系统，一个是安装“税收管理信息系统”的NOVELL网络操作系统。其中“税收管理信息系统”，是湖北省地方税务局计算中心按照国家税务总局提出的“以纳税申报和优质服务为基础，以计算机网络为依据，集中征收，重点稽查”的指导思想而开发的税收管理信息系统，涵盖了税务征管的各个环节。在熟悉了解被审计单位硬件、软件后，从该单位的某台计算机上直接取得其对上级地税部门2000年各类报表及工作的原始电子文档。从原始电子文档中发现审计线索，核实超范围比例多提229万元手续费的问题。（二）找准漏洞，接入网络，采集数据，揭露问题；该被审计单位的税收征管系统是运行在UCDOS环境下由FOXPRO数据库支持的小型网络系统，全局纳税资料均存储于该NOVELL，网络服务器内，整个网络由多台工作站（开税票的计算机）联接构成，多数工作站为无盘工作站，并且网络访问权限低下，只发现一台既有硬盘又装有WINDOWS95操作系统的开票工作站。如能够将服务器上的“YSJ”及“DMF”（原始数据文件）全面采集到我们自身所带的电脑笔记本，则完成对原始电子数据台帐的采集，我们采取以下步骤完成计算机辅助审计揭露问题的过程：第一步，将自带的电脑笔记本（内装WIN98系统可与WIN95系统数据互传），以直接电缆联接方式与那台带硬盘、装有WIN95的工作站相联，为进一步获取审计数据打基础。第二步，用超级用户名登入到网络服务器，下载有用审计数据文件，将YSJ及DMF的所有下载到本地硬盘，将该工作站重新转换到WINDOWS操作方式，传数据到电脑笔记本。原始电子记帐数据即全部取得，其中包含原始税票库，原始申报数据库，原始定税库，作废税票数据库，投调税登记数据库，纳税人税种认定存档数据库和税务登记数据库等，记录总数多达1万3千多条。第三步，运用数据采集软件及EXCEL软件，进行筛选、分类、汇总得到以下数据：该被审计单位数据汇总得到2000年共组织入库各项收入3804.56万元，占本级收入计划3859万元的98.8％，比上年同期增收455.7万元，增长13.6％。其中税收收入完成3669万元，占年度计划3716万元的12.9％，比上年增收437.5万元，增长98.7％。按收入级次划分，完成省级收入226.08万元，为年度计划306万元的73.9％，市级收入完成3443.16万元，占计划的11.9％。机关财务收支状况，资金来源862万元，上年结转151万元，本年收入711万元（不含提退末达52万元），其中：省局拨入199万元、本级财政157万元。支出合计775万元，其中：工资、津贴359万元，购置费47万元，其他191万元，基建支出132万元，年末结存87万元。在条件筛选中发现各种审计线索，深入核对揭露出以下问题：（1）收入真实性方面稽查局1999年征收的税款53.7万元入库不及时，于2000年5月才入库完毕。计财科调征税种85万，将城建税调为所得税65万元，屠宰税调为营业税20万元。征收局将两大型企业交纳的地方费调作房产税、土地使用税、印花税18.8万元。（2）税收政策及征管方面税款征收不平衡，存在多征、少征、漏征的。以某有限公司为例，征收局2000年征堤防费66939.01元，少征企业所得税84.9万元，漏征土地使用税、房产税、教育费附加、地方教育发展费计16.1万元。税源库数据不真实。体现在征收数据与应征收数据完全一致。查出某公司和某集团公司，纳税申报不规范，以缴代报，纳税检查结果不落实。实际应征收数应该按照申报数加上稽查数和查补数以及审计结论数据作为应征收税款的做帐依据。综观现在机发展中的最大威胁即是来自于人本身，计算机安全主要是防范人为破坏、修改。从破坏范围又分为对单机（即孤立的计算机）和的。地税系统中主要存在：（1）数据的安全性薄弱，重点体现在：1、电子数据是以标准的FOXPRO数据文件存放，无有效加密手段；2、在其内部数据传递时，采用“互联网”上的免费电子邮局进行数据交换。以上两点突出显示数据存放及传递存在不安全性和人为可修改性。初级“黑客”以“字典”猜测用户名及口令攻击数据存在的免费POPS邮局，只需半天工夫，即可将该免费邮件服务器上的所有资料和数据据为己有，后果将不可想而知。为了数据安全和合法，其解决的办法应该是建立独立的远程通讯网。（2）网络设置应趋于安全合法机关的办公网络建设时不论是什么结构，在与“互联网”接入时都应有强大的“防火墙”作保障。避免税务信息外泄，加强内部资料的加密传输。该单位的直接接入方式严重的违反了国家关于计算机信息安全的法规。应该从信息安全的角度上，加大“防火墙”建设的力度，从系统设置上遵守《审计法》关于计算机系统中留有审计数据接口的规定，这样才基本解决地税系统网络设置的安全合法问题。通过计算机辅助审计发现了地税部门一些问题及隐患，税务部门应认识到计算机在税收征管中，是为了加强税源管理、堵塞漏洞、防止税款流失的化手段。要输入真实、完整、有效的原始数据，这样才能提高税收征管水平。在当前大力提倡计算机信息化建设的环境下，计算机辅助审计应看成是对地税系统发展及提高应用计算机技术的好事。这是有助于地税信息化建设的健康发展；也体现了审计部门在高技术条件下的审计监督能力。