论文部分内容阅读
计算机与网络技术使世界进入网络经济时代,以电子商务为基础的网络经济及与之相适应的网络财务的迅速发展,使企业的经营方式和管理模式发生了重大变化。随着电子商务的应用和发展,会计信息系统将发生一场全方位、根本性的革命,而作为与会计有“血缘关系”的审计,也经历了从传统审计到审计电算化、再到网络审计的两次飞跃。网络审计是对以往电算化审计的时空观的又一次突破,是现代审计在电子商务时代的新发展,也是电子商务的内在需求。
一、网络审计的风险
网络审计是一种全新的审计模式,因此它的产生也必将带来新的审计风险。而新的审计风险也将与传统审计风险有着明显的差异。其差异主要有以下两个方面:硬软件风险和人为风险。
网络审计对计算机硬软件的依赖性非常大,所以由于硬软件问题而导致的风险机率也就相当高。硬软件风险一是由于审计线索电子化并以磁介质为主要存储载体而导致的审计线索模糊,使审计人员无法摸清审计轨迹,并且舞弊者或攻击者可不留篡改痕迹的对原始数据进行非法修改和删除,从而无法保证数据的完整性和真实性,给审计监督服务带来了风险;二是由于在网络审计系统的运行过程中发生断电、死机、计算机病毒以及损坏等而导致的审计信息丢失;三是网络审计系统的运作需要多套审计软件的支持,一旦某个软件发生问题就将直接导致审计风险的产生。
网络审计是一种新兴的科技含量非常高的审计模式,所以对参与网络审计的人员素质要求也非常高,由此也将带来一定的审计风险,这种风险叫做人为风险。人为风险一是人为地破坏系统和盗窃信息。网络审计是以网络作为载体的,这就为电脑黑客通过网络对审计系统进行破坏和信息盗窃创造了条件,导致审计风险的产生;二是由于操作人员的失误或操作不专注而导致的审计风险;三是由于内部控制失灵,导致对数据维护、系统管理和数据输入、数据核对确认等岗位不作适当的分离,产生利用网络的弱点故意修改数据、舞弊或窃取秘密信息等审计风险。
二、网络审计风险的防范
(一)应用审计软件,对相关网络系统进行适时跟踪。首先对被审计单位的网络系统进行评价,并利用专用的审计对比软件,将存放于数据库不同地址的同一种数据进行自动比较,以形成相应的记录文件,并对有差异的文件数据进行详细审查;其次对被审计单位的自动检测数据库软件和恢复软件进行审查和评价;再次要对被审计单位的异常贸易,通过网络进行预警提示,以降低审计风险。
(二)建立审计服务信息库。网络时代的风险观念不同于传统的风险观念。因为网上交易公开化程度较高,数据被未授权人员修改的可能性很大,系统面临的信息风险骤增。而许多企业在网上发布的财务信息经常变换,偏离会计准则要求的信息还没有被监管部门发现就已经被替换掉,故建立一个在监管部门严格监控下的网上财务信息强制存档制度就显得尤为必要。
(三)对网络系统的安全性和保密性进行审计。在网络中运行,信息的安全性和保密性构成了审计的风险防范和控制的重点。首先对网络系统职责分离情况进行审查,遵循的原则仍为不相容职责必须分离,但侧重对数据的输入、输出,软件开发和维护及系统程序修改或管理等之间的关系进行审查;其次对被审计单位网络结构进行分析与评价,以确认防范黑客侵入的能力;再次对被审计单位的系统容错处理机制、安全管理体制和安全保密技术等作深入的了解,评价其系统安全性的等级,从而有效地控制审计风险。具体可以采取以下措施:第一,实行识别认证和访问控制技术。为了防止非法用户的入侵,可在因特网内部采用识别认证和访问控制技术,内部网的访问采用入网控制、网络权限控制、目录级别安全控制、网络服务器的安全控制等技术。第二,采用加密技术。数据加密技术作为主要网络安全技术,是提高网络系统数据的保密性,防止秘密数据被破译的主要技术手段。加密技术一般分两种形式:保密密钥和公开密钥。加密算法的选择要结合具体应用环境和系统要求,综合考虑密钥的合理分配、加密效率与系统结合度以及投入产出分析等因素。第三,设立防火墙。可以考虑在企业内部网与互联网之间设立防火墙,使内部网与互联网互相隔离。所谓防火墙是一道进出企业内部网的通信门槛,它可以有效地阻止互联网中的黑客非法入侵或攻击机构的内部网。当然,防火墙要随时升级换代,不断提高抵御病毒入侵、杀毒能力。第四,采用数字签名技术和公正仲裁制度。采用数字签名技术和公正仲裁制度,可以防止网络中进行数据交换时的否认、抵赖事件发生。仲裁制度可以有效地解决交易双方发生纠纷的法律适用问题和公正处理双方合法权益问题。采用数字签名技术和公正仲裁制度,可以有效地防范来自关联方和社会的道德风险。
(四)加强内部控制测试,降低控制风险。从手工会计发展到网络会计,审计环境发生了巨大的变化,内部控制审计重点也发生了变化。网络财务环境下内部控制更强调防止发生错误功能,审计人员可将控制风险定在最高水平制定工作计划,再展开审计测试工作。内部控制测试应着重检查各种管理制度是否健全、不相容职务是否分离、网络使用是否授权、操作日志是否建立、检查数据是否备份、应用控制制度是否建立等。
(五)树立法制意识和风险意识,提高人员素质。首先要树立审计人员区别于传统审计的法制意识和风险意识,其次网络知识更新换代异常迅速,审计人员必须定期接受相关业务培训和在职教育,更新自身知识结构,降低审计风险。再次,还要加强网络审计立法,网络审计立法是保障网络审计正常发展的关键性措施。改革开放以来,我国先后颁布《计算机系统安全规范》、《计算机病毒控制规定》等法律法规,并在《刑法》、《民法》、《民事诉讼法》等相关法律中,增加计算机信息安全方面的条款,从而为计算机信息系统的安全性提供了法律保障。同时,新的《会计法》已增加了有关网络财务的内容,《电子商务法》起草工作正在加紧进行之中,但上述法规都不是针对网络审计而发布的,不能够满足网络审计的需要。因此,有必要加快网络审计立法工作的力度和进度,使人们在开展网络审计工作时有章可循。
一、网络审计的风险
网络审计是一种全新的审计模式,因此它的产生也必将带来新的审计风险。而新的审计风险也将与传统审计风险有着明显的差异。其差异主要有以下两个方面:硬软件风险和人为风险。
网络审计对计算机硬软件的依赖性非常大,所以由于硬软件问题而导致的风险机率也就相当高。硬软件风险一是由于审计线索电子化并以磁介质为主要存储载体而导致的审计线索模糊,使审计人员无法摸清审计轨迹,并且舞弊者或攻击者可不留篡改痕迹的对原始数据进行非法修改和删除,从而无法保证数据的完整性和真实性,给审计监督服务带来了风险;二是由于在网络审计系统的运行过程中发生断电、死机、计算机病毒以及损坏等而导致的审计信息丢失;三是网络审计系统的运作需要多套审计软件的支持,一旦某个软件发生问题就将直接导致审计风险的产生。
网络审计是一种新兴的科技含量非常高的审计模式,所以对参与网络审计的人员素质要求也非常高,由此也将带来一定的审计风险,这种风险叫做人为风险。人为风险一是人为地破坏系统和盗窃信息。网络审计是以网络作为载体的,这就为电脑黑客通过网络对审计系统进行破坏和信息盗窃创造了条件,导致审计风险的产生;二是由于操作人员的失误或操作不专注而导致的审计风险;三是由于内部控制失灵,导致对数据维护、系统管理和数据输入、数据核对确认等岗位不作适当的分离,产生利用网络的弱点故意修改数据、舞弊或窃取秘密信息等审计风险。
二、网络审计风险的防范
(一)应用审计软件,对相关网络系统进行适时跟踪。首先对被审计单位的网络系统进行评价,并利用专用的审计对比软件,将存放于数据库不同地址的同一种数据进行自动比较,以形成相应的记录文件,并对有差异的文件数据进行详细审查;其次对被审计单位的自动检测数据库软件和恢复软件进行审查和评价;再次要对被审计单位的异常贸易,通过网络进行预警提示,以降低审计风险。
(二)建立审计服务信息库。网络时代的风险观念不同于传统的风险观念。因为网上交易公开化程度较高,数据被未授权人员修改的可能性很大,系统面临的信息风险骤增。而许多企业在网上发布的财务信息经常变换,偏离会计准则要求的信息还没有被监管部门发现就已经被替换掉,故建立一个在监管部门严格监控下的网上财务信息强制存档制度就显得尤为必要。
(三)对网络系统的安全性和保密性进行审计。在网络中运行,信息的安全性和保密性构成了审计的风险防范和控制的重点。首先对网络系统职责分离情况进行审查,遵循的原则仍为不相容职责必须分离,但侧重对数据的输入、输出,软件开发和维护及系统程序修改或管理等之间的关系进行审查;其次对被审计单位网络结构进行分析与评价,以确认防范黑客侵入的能力;再次对被审计单位的系统容错处理机制、安全管理体制和安全保密技术等作深入的了解,评价其系统安全性的等级,从而有效地控制审计风险。具体可以采取以下措施:第一,实行识别认证和访问控制技术。为了防止非法用户的入侵,可在因特网内部采用识别认证和访问控制技术,内部网的访问采用入网控制、网络权限控制、目录级别安全控制、网络服务器的安全控制等技术。第二,采用加密技术。数据加密技术作为主要网络安全技术,是提高网络系统数据的保密性,防止秘密数据被破译的主要技术手段。加密技术一般分两种形式:保密密钥和公开密钥。加密算法的选择要结合具体应用环境和系统要求,综合考虑密钥的合理分配、加密效率与系统结合度以及投入产出分析等因素。第三,设立防火墙。可以考虑在企业内部网与互联网之间设立防火墙,使内部网与互联网互相隔离。所谓防火墙是一道进出企业内部网的通信门槛,它可以有效地阻止互联网中的黑客非法入侵或攻击机构的内部网。当然,防火墙要随时升级换代,不断提高抵御病毒入侵、杀毒能力。第四,采用数字签名技术和公正仲裁制度。采用数字签名技术和公正仲裁制度,可以防止网络中进行数据交换时的否认、抵赖事件发生。仲裁制度可以有效地解决交易双方发生纠纷的法律适用问题和公正处理双方合法权益问题。采用数字签名技术和公正仲裁制度,可以有效地防范来自关联方和社会的道德风险。
(四)加强内部控制测试,降低控制风险。从手工会计发展到网络会计,审计环境发生了巨大的变化,内部控制审计重点也发生了变化。网络财务环境下内部控制更强调防止发生错误功能,审计人员可将控制风险定在最高水平制定工作计划,再展开审计测试工作。内部控制测试应着重检查各种管理制度是否健全、不相容职务是否分离、网络使用是否授权、操作日志是否建立、检查数据是否备份、应用控制制度是否建立等。
(五)树立法制意识和风险意识,提高人员素质。首先要树立审计人员区别于传统审计的法制意识和风险意识,其次网络知识更新换代异常迅速,审计人员必须定期接受相关业务培训和在职教育,更新自身知识结构,降低审计风险。再次,还要加强网络审计立法,网络审计立法是保障网络审计正常发展的关键性措施。改革开放以来,我国先后颁布《计算机系统安全规范》、《计算机病毒控制规定》等法律法规,并在《刑法》、《民法》、《民事诉讼法》等相关法律中,增加计算机信息安全方面的条款,从而为计算机信息系统的安全性提供了法律保障。同时,新的《会计法》已增加了有关网络财务的内容,《电子商务法》起草工作正在加紧进行之中,但上述法规都不是针对网络审计而发布的,不能够满足网络审计的需要。因此,有必要加快网络审计立法工作的力度和进度,使人们在开展网络审计工作时有章可循。