IT审计没屁用之客户能不能篡改数据？

《监管规则适用指引——发行类第5号》中提到几处数据篡改的核查：

经营数据的完整性和准确性,是否存在被篡改的风险,与财务数据是否一致

重点关注是否存在过度授权,是否存在录入信息系统应用层数据或篡改信息系统后台数据库等数据造假舞弊的风险

为表述方便，下面用 A 代替财务审计，用 B 代表企业，用 C 代表IT审计。

A: 根据核查要求，我想知道客户能不能篡改数据？

C: 你想知道实质上还是形式上的？

A: 实质上的。

C: 能改。

A: 形式上的呢？

C: 结合客户信息系统访问控制、数据库日志定期审计等内控措施来看，控制有效，结合我们业财数据核对基本一致，不存在这样的风险。

A: 那能不能篡改呢？

C: 能改。

A: 尼玛。

这里我想说下，一般财审或者监管想问的是篡改数据的绝对性，

我认为当考虑超越了内部控制后，一定是可以改的。

应用层我们就不讨论了，因为受到系统权限设置和操作记录，一般来说限制性比较大。

这里我们说下数据库，数据库的管理员是具有超级权限的，什么都可以改，

有人说，这些数据之间有关联性，不好改，

其实真正专业的，熟悉系统的DBA(数据库管理员)，别人就是吃这口饭，肯定可以改，而且不会破坏单据流转的关联性。

假如这家公司信息科技管理比较好一点，留存了数据库日志（记录了所有数据库层面操作日志，要知道大部分公司日志都不留存或者留存只有几天或者几个月）

假如管理再好点，数据库日志实时保存到DBA无法访问的服务器上（数据库管理员可以修改数据，但是不能修改日志），

假如管理再好点，除DBA外的第三人，定期对数据库日志进行审计，查看其是否有违规、非授权的操作，

那么就可以做到，非授权修改了数据，能够被发现（事后控制）。

这也就是相关的内控。

但你问的是能不能改？那这就得超越内控来考虑了，

假如老板让改呢？

这还有什么不能的呢？临时权限全开给你，数据修改了，日志修改了，IT审计什么都不会知道的。

你说能不能篡改？

你说有没有这种风险？

而且这种风险不是从IT审计角度知道的，这得知道公司有没有这样的压力和动机。

这还是相关内部控制有效的情况下，要知道大部分公司日志保存都困难。

C: 公司现在数据库日志保存位置DBA可以访问，建议公司将日志存放在无访问权限的服务器上，并定期进行日志审计。

B: 这得采购一台日志服务器，巴拉巴拉，得花 xxx 的钱。我们评估下来不经济。

A: 那公司有没有修改数据。

B: 我们修改都是业务上需要的才会，不会造假篡改数据。

A: 那公司有没有能力篡改数据？

B：我们肯定能修改数据哈，服务器、数据都是我们的，我们怎么不能修改？

A: 沉默。。。。。。

B: 沉默。。。。。。

C: 沉默。。。。。。

之前有项目，监管现场检查因为客户数据库日志保留时间太短而向审计提出问题，

其实挺无语的。

除了金融机构和一些大的互联网企业，绝大部分公司这方面都没有做得很好，

都是有缺陷的。

但这又绝对不可能成为一种审计的实际性障碍。

除非监管强制性出文你内控要达到什么要求，明确的，

否则目前来看是脱离了一般性企业发展实际，

镜花水月、徒有其表，

苦了审计、IT审计和公司。

最后成了，IT审计写成缺陷吧，财务审计怎么出报告？

不写成缺陷吧，监管有又有所要求，

整改吧，又增加企业人员、储存、设备成本。

总之，IT审计没屁用。