[摘要]隨著現(xiàn)代審計(jì)的發(fā)展，風(fēng)險(xiǎn)越來(lái)越成為審計(jì)工作考慮的一個(gè)中心問(wèn)題。無(wú)論是傳統(tǒng)的審計(jì)風(fēng)險(xiǎn)模型還是國(guó)際注冊(cè)審計(jì)師協(xié)會(huì)發(fā)布的最新的審計(jì)風(fēng)險(xiǎn)模型都是在傳統(tǒng)的審計(jì)環(huán)境下，對(duì)于審計(jì)風(fēng)險(xiǎn)模式的界定和計(jì)量。在網(wǎng)絡(luò)經(jīng)濟(jì)條件下，原來(lái)的風(fēng)險(xiǎn)模型面臨重構(gòu)我國(guó)的注冊(cè)會(huì)計(jì)師應(yīng)采取有效措施，積極應(yīng)對(duì)新的風(fēng)險(xiǎn)。

　　[關(guān)鍵詞]網(wǎng)絡(luò)審計(jì)；風(fēng)險(xiǎn)模型；網(wǎng)絡(luò)風(fēng)險(xiǎn)；傳統(tǒng)風(fēng)險(xiǎn)

　　一、網(wǎng)絡(luò)經(jīng)濟(jì)環(huán)境之下審計(jì)風(fēng)險(xiǎn)模型重構(gòu)的必要性

　　審計(jì)，作為一門(mén)社會(huì)科學(xué)，是社會(huì)經(jīng)濟(jì)環(huán)境的產(chǎn)物，是與特定了歷史條件相聯(lián)系的。審計(jì)環(huán)境有外部環(huán)境和內(nèi)部環(huán)境之分，審計(jì)環(huán)境發(fā)生變化，審計(jì)本身必然要做相應(yīng)的調(diào)整。隨著我們進(jìn)入21世紀(jì)，審計(jì)的內(nèi)外環(huán)境發(fā)生了明顯的變化，這些變化要求審計(jì)本身做出相應(yīng)的調(diào)整。因此審計(jì)風(fēng)險(xiǎn)模型的重構(gòu)成為當(dāng)務(wù)之急。

　?。ㄒ唬徲?jì)外部環(huán)境的變化

　　1、企業(yè)經(jīng)營(yíng)環(huán)境的變化

　　隨著電子和網(wǎng)絡(luò)技術(shù)的發(fā)展，傳統(tǒng)的店鋪式的經(jīng)營(yíng)模式將越來(lái)越多的被信息化的網(wǎng)絡(luò)貿(mào)易所取代，電子商務(wù)成為商業(yè)企業(yè)主要的經(jīng)營(yíng)模式。全球的網(wǎng)上銷(xiāo)售額2000年就已達(dá)到了3000億美元（世貿(mào)組織測(cè)定），2004年更超過(guò)7兆億美元。電子商務(wù)這種嶄新的商務(wù)模式，在我國(guó)也得到了迅猛發(fā)展：由1996年的幾萬(wàn)網(wǎng)民，激增至2004年的超過(guò)1億網(wǎng)民，B2C、B2B、C2C、B2G等商務(wù)模式日益走紅，門(mén)戶(hù)站點(diǎn)風(fēng)靡全球。截至2001年12月，我國(guó)電子商務(wù)網(wǎng)站達(dá)300余家，到2004年電子商務(wù)網(wǎng)站經(jīng)過(guò)重組形成了如ebay等數(shù)家商業(yè)航母；到2004年我國(guó)的電子商務(wù)交易總額突破了4400億人民幣，2005年將激增到6200億人民幣。電子商務(wù)這種與傳統(tǒng)商業(yè)截然不同的商務(wù)操作和管理模式，使企業(yè)的經(jīng)營(yíng)模式發(fā)生根本性的變革：客戶(hù)可以從網(wǎng)上了解商品，詢(xún)問(wèn)價(jià)格簽訂合同，發(fā)送訂單，企業(yè)可以通過(guò)網(wǎng)絡(luò)確認(rèn)交易，出口報(bào)關(guān)，發(fā)送商品（僅限于信息產(chǎn)品），傳遞發(fā)貨單，劃賬結(jié)匯等。這已經(jīng)遠(yuǎn)遠(yuǎn)超出了傳統(tǒng)審計(jì)所能涉及的領(lǐng)域。企業(yè)經(jīng)營(yíng)環(huán)境是審計(jì)風(fēng)險(xiǎn)考慮的一個(gè)重要因素，是企業(yè)審計(jì)風(fēng)險(xiǎn)評(píng)價(jià)體系的開(kāi)始。電子商務(wù)下的網(wǎng)絡(luò)貿(mào)易要求我們對(duì)于審計(jì)風(fēng)險(xiǎn)進(jìn)行再認(rèn)識(shí)。

　　2、實(shí)時(shí)報(bào)告的要求

　　隨著現(xiàn)代審計(jì)的發(fā)展，審計(jì)對(duì)象對(duì)于審計(jì)報(bào)告的實(shí)效性加強(qiáng)，實(shí)時(shí)性審計(jì)越來(lái)越被人們所重視。但傳統(tǒng)的事后性的審計(jì)監(jiān)督所帶來(lái)的缺陷就是不能及時(shí)發(fā)現(xiàn)問(wèn)題，防患于未然，而克服這一缺陷的重要措施就是開(kāi)展事前和事中審計(jì)?，F(xiàn)在借助于網(wǎng)絡(luò)，使審計(jì)人員能夠遠(yuǎn)程訪(fǎng)問(wèn)被審計(jì)單位存放財(cái)務(wù)信息的計(jì)算機(jī)，就可以對(duì)被審計(jì)單位的經(jīng)濟(jì)活動(dòng)，進(jìn)行實(shí)時(shí)的監(jiān)督，從而可以及時(shí)發(fā)現(xiàn)問(wèn)題并及時(shí)解決。此外，通過(guò)實(shí)時(shí)監(jiān)督，隨時(shí)掌握審計(jì)對(duì)象的經(jīng)濟(jì)活動(dòng)比如財(cái)務(wù)收支和資產(chǎn)負(fù)債等情況，還能夠準(zhǔn)確、及時(shí)地為決策部門(mén)提供決策信息。從而最大限度地發(fā)揮審計(jì)監(jiān)督的作用。

　　3、會(huì)計(jì)系統(tǒng)的變化

　　隨著信息技術(shù)的發(fā)展，信息化的財(cái)務(wù)會(huì)計(jì)系統(tǒng)普遍在各大企業(yè)中應(yīng)用，傳統(tǒng)的會(huì)計(jì)模式逐漸退出歷史的舞臺(tái)，會(huì)計(jì)電算化廣泛推廣開(kāi)來(lái)。經(jīng)濟(jì)業(yè)務(wù)產(chǎn)生的原始憑證以電磁波信息的形式在網(wǎng)上傳遞并存儲(chǔ)于磁性介質(zhì)中，會(huì)計(jì)的確認(rèn)、計(jì)量、記錄和報(bào)告都集中由計(jì)算機(jī)按程序指令執(zhí)行。因此審計(jì)人員面對(duì)的是企業(yè)的電算化會(huì)計(jì)信息系統(tǒng)和網(wǎng)絡(luò)賬務(wù)系統(tǒng)，企業(yè)的賬務(wù)系統(tǒng)以程序語(yǔ)言的形式存放于計(jì)算機(jī)中，難以對(duì)會(huì)計(jì)處理內(nèi)控制度形成全面的感性認(rèn)識(shí)。網(wǎng)絡(luò)審計(jì)面對(duì)的企業(yè)內(nèi)部環(huán)境是一整套電算化會(huì)計(jì)信息系統(tǒng)的合理有效性、安全程度直接影響到審計(jì)工作的質(zhì)量和效率。同時(shí)由于市場(chǎng)準(zhǔn)入條件的放寬和有關(guān)商務(wù)法律的不健全，外部環(huán)境的不穩(wěn)定因素劇增，來(lái)自企業(yè)外部經(jīng)營(yíng)風(fēng)險(xiǎn)凸現(xiàn)，原有的內(nèi)控制度效果減弱，盡而增加了審計(jì)的風(fēng)險(xiǎn)。

　　（二）審計(jì)內(nèi)部環(huán)境的變化

　　1、審計(jì)證據(jù)和審計(jì)線(xiàn)索的變化

　　在傳統(tǒng)會(huì)計(jì)中，一般由經(jīng)濟(jì)業(yè)務(wù)產(chǎn)生紙質(zhì)原始憑證，然后會(huì)計(jì)人員根據(jù)原始憑證編制記賬憑證，根據(jù)記賬憑證登記明細(xì)賬和總賬，期末再根據(jù)各賬簿編制會(huì)計(jì)報(bào)表。每一步都有文字記錄，審計(jì)線(xiàn)索十分清晰，審計(jì)證據(jù)主要由書(shū)面證據(jù)組成。而在交易及核算都實(shí)現(xiàn)網(wǎng)絡(luò)化的環(huán)境下，企業(yè)與外部的交易和企業(yè)內(nèi)部業(yè)務(wù)處理的憑據(jù)都以電子信息的形式保存，并在網(wǎng)上傳遞，編制記賬憑證、登記賬簿、編制會(huì)計(jì)報(bào)表都由計(jì)算機(jī)按指定程序執(zhí)行，實(shí)現(xiàn)會(huì)計(jì)核算自動(dòng)化。因此，傳統(tǒng)意義上的審計(jì)證據(jù)和審計(jì)線(xiàn)索都將消失。

　　2、審計(jì)的工作方式的變化

　?。?）網(wǎng)絡(luò)改變了審計(jì)信息收集方式。

　　收集審計(jì)信息主要是收集審計(jì)證據(jù)，我國(guó)的《獨(dú)立審計(jì)基木準(zhǔn)則》規(guī)定，注冊(cè)會(huì)計(jì)師在審計(jì)過(guò)程中可以采用檢查、監(jiān)督、觀察、查詢(xún)及函證、計(jì)算和分析性復(fù)核等審計(jì)程序獲取審計(jì)證據(jù)。而在網(wǎng)絡(luò)環(huán)境下，幾乎所有資產(chǎn)都由計(jì)算機(jī)實(shí)時(shí)動(dòng)態(tài)管理，企業(yè)所有的會(huì)計(jì)資料和相關(guān)資料都存放于互聯(lián)網(wǎng)上，審計(jì)人員就可采用網(wǎng)絡(luò)交談和發(fā)電子郵件等方式進(jìn)行查詢(xún)和函證，也可進(jìn)行檢查、觀察、計(jì)算和分析性復(fù)核。這樣與傳統(tǒng)審計(jì)相比，網(wǎng)絡(luò)審計(jì)將提高審計(jì)證據(jù)的及時(shí)性和客觀性，降低收集審計(jì)證據(jù)的成本。

　?。?）網(wǎng)絡(luò)改變了審計(jì)信息加工、傳輸和存儲(chǔ)模式。

　　傳統(tǒng)的審計(jì)工作主要通過(guò)檢查憑證、賬簿和報(bào)表，核對(duì)賬證、賬賬、賬表和賬簿與外來(lái)資料是否相符來(lái)加工審計(jì)信息，而在網(wǎng)絡(luò)環(huán)境下，隨著紙質(zhì)載體的消失和網(wǎng)絡(luò)信息系統(tǒng)自身強(qiáng)大的核對(duì)、檢查和內(nèi)部控制功能，傳統(tǒng)意義上的審計(jì)工作被大大簡(jiǎn)化，只有在某種特定條件下還須由人來(lái)監(jiān)盤(pán)實(shí)物庫(kù)存、實(shí)地觀察實(shí)物變動(dòng)及其記錄。而且由于網(wǎng)絡(luò)高度的信息共享性、實(shí)時(shí)性和動(dòng)態(tài)性，審計(jì)信息輸出如WEB信息發(fā)布讓市公司的報(bào)表信息的充分披露與審計(jì)有關(guān)法規(guī)的發(fā)布、審計(jì)信息存儲(chǔ)和檢查等都將充分利用互聯(lián)網(wǎng)和企業(yè)內(nèi)部網(wǎng)進(jìn)行，實(shí)現(xiàn)了審計(jì)工作辦公自動(dòng)化。

　　3、審計(jì)機(jī)構(gòu)的組織方式的變化

　　網(wǎng)絡(luò)審計(jì)提供了一個(gè)信息資源共享的便捷渠道，使得審計(jì)能夠從傳統(tǒng)的孤立的單兵式向系統(tǒng)性的協(xié)同式過(guò)渡。在傳統(tǒng)的審計(jì)過(guò)程中，各個(gè)審計(jì)組之間的信息交流和溝通是比較困難的，一個(gè)審計(jì)組掌握的全部信息很難使其他的審計(jì)組或匯總部門(mén)也都掌握。雖然將這些信息以審計(jì)報(bào)告等形式上報(bào)，由匯總部門(mén)進(jìn)行匯總之后，也能提供被審計(jì)對(duì)象的比較全面的信息，但是由于審計(jì)報(bào)告中的信息都是經(jīng)過(guò)個(gè)人判斷后選擇的結(jié)果，是不全面的，匯總部門(mén)也很難把握審計(jì)對(duì)象的全貌。因此，對(duì)審計(jì)對(duì)象的總體評(píng)價(jià)就可能偏離要害，審計(jì)效率不高，審計(jì)風(fēng)險(xiǎn)卻會(huì)加大。現(xiàn)代信息網(wǎng)絡(luò)技術(shù)的發(fā)展和廣泛應(yīng)用，使得進(jìn)行系統(tǒng)性的審計(jì)成為可能。

　　4、審計(jì)技術(shù)的變化

　　在網(wǎng)絡(luò)環(huán)境下，傳統(tǒng)的審計(jì)技術(shù)已不能適應(yīng)時(shí)代的需要。在網(wǎng)絡(luò)審計(jì)下更多使用電子技術(shù)，從審計(jì)證據(jù)的收集到證據(jù)的處理全部在微機(jī)上進(jìn)行無(wú)紙化的辦公。審計(jì)過(guò)程中更多的運(yùn)用先進(jìn)的財(cái)務(wù)工作軟件，審計(jì)過(guò)程中的認(rèn)為因素大大減少，提高了審計(jì)意見(jiàn)的客觀性和獨(dú)立性。

　　二、網(wǎng)絡(luò)風(fēng)險(xiǎn)的定義及分類(lèi)

　　審計(jì)環(huán)境的變化同時(shí)帶來(lái)了審計(jì)風(fēng)險(xiǎn)的變化。在網(wǎng)絡(luò)審計(jì)過(guò)程中，網(wǎng)絡(luò)風(fēng)險(xiǎn)是一個(gè)不可忽視的風(fēng)險(xiǎn)因素。

　?。ㄒ唬┚W(wǎng)絡(luò)風(fēng)險(xiǎn)的含義

　　所謂的網(wǎng)絡(luò)風(fēng)險(xiǎn)是指在網(wǎng)絡(luò)審計(jì)過(guò)程中，審計(jì)人員及被審計(jì)單位由于采用信息化審計(jì)技術(shù)或財(cái)務(wù)會(huì)計(jì)技術(shù)，而致使審計(jì)人員對(duì)公司的財(cái)務(wù)報(bào)表發(fā)表了不恰當(dāng)?shù)膶徲?jì)意見(jiàn)。

　　從我們給出的定義可以看出以下幾點(diǎn)：

　　1、網(wǎng)絡(luò)風(fēng)險(xiǎn)涉及的對(duì)象是雙向的。他一方面涉及到被審計(jì)單位的狀況，另一方面又涉及審計(jì)部門(mén)自身的狀況，這樣使的網(wǎng)絡(luò)風(fēng)險(xiǎn)的決定因素非常的復(fù)雜。

　　2、網(wǎng)絡(luò)風(fēng)險(xiǎn)是直接由計(jì)算機(jī)網(wǎng)絡(luò)帶來(lái)的。無(wú)論是被審計(jì)單位的先進(jìn)的財(cái)務(wù)信息系統(tǒng)還是審計(jì)部門(mén)的審計(jì)分析系統(tǒng)，都是以電子信息技術(shù)為基礎(chǔ)的，都要借助于計(jì)算機(jī)和互聯(lián)網(wǎng)。進(jìn)而網(wǎng)絡(luò)風(fēng)險(xiǎn)因素更多的是由于信息技術(shù)問(wèn)題帶來(lái)的風(fēng)險(xiǎn)。

　　3、網(wǎng)絡(luò)風(fēng)險(xiǎn)可以致使審計(jì)人員發(fā)表錯(cuò)誤的審計(jì)意見(jiàn)。網(wǎng)絡(luò)風(fēng)險(xiǎn)直接威脅審計(jì)人員獲得的被審計(jì)單位的財(cái)務(wù)信息的真實(shí)性，失去了真實(shí)性，那么審計(jì)人員也就不可能對(duì)被審計(jì)單位的財(cái)務(wù)狀況做出正確的評(píng)價(jià)，進(jìn)而形成公正、客觀的審計(jì)報(bào)告。

　?。ǘ徲?jì)風(fēng)險(xiǎn)的分類(lèi)

　　審計(jì)風(fēng)險(xiǎn)一般分為可控風(fēng)險(xiǎn)和非可控風(fēng)險(xiǎn)?？煽仫L(fēng)險(xiǎn)指審計(jì)人員在審計(jì)過(guò)程中可以控制的風(fēng)險(xiǎn)因素；非可控風(fēng)險(xiǎn)指審計(jì)人員在審計(jì)過(guò)程中不可以控制的風(fēng)險(xiǎn)因素。可控風(fēng)險(xiǎn)主要是針對(duì)審計(jì)單位的審計(jì)工作而言的，即可以通過(guò)自身的工作盡可能降低的風(fēng)險(xiǎn)。這種風(fēng)險(xiǎn)不是本處論述的重點(diǎn)。

　　1、不可控風(fēng)險(xiǎn)

　　這種風(fēng)險(xiǎn)主要是由被審計(jì)單位自身的財(cái)務(wù)信息系統(tǒng)或?qū)徲?jì)單位自身審計(jì)信息系統(tǒng)的這樣或那樣的缺陷造成的，是審計(jì)人員無(wú)能為力的因素。

　?。?）系統(tǒng)風(fēng)險(xiǎn)

　　這一風(fēng)險(xiǎn)是審計(jì)單位和被審計(jì)單位都無(wú)法控制的風(fēng)險(xiǎn)。

　　計(jì)算機(jī)系統(tǒng)本身具有脆弱性，這是任何一個(gè)被審計(jì)單位都不可避免的。當(dāng)計(jì)算機(jī)硬件或計(jì)算機(jī)軟件、網(wǎng)絡(luò)本身出現(xiàn)故障時(shí)容易導(dǎo)致網(wǎng)絡(luò)系統(tǒng)審計(jì)數(shù)據(jù)丟失，甚至發(fā)生癱瘓現(xiàn)象。在互聯(lián)網(wǎng)條件下，網(wǎng)絡(luò)審計(jì)系統(tǒng)具有其分布式、開(kāi)放性、遠(yuǎn)程性實(shí)時(shí)處理的特點(diǎn)。這個(gè)特點(diǎn)既有其優(yōu)越性，可以實(shí)現(xiàn)資源共享，使很多人受惠，但也有其缺陷性，系統(tǒng)的可控性、一致性、安全性較差，一旦出現(xiàn)故障，影響很大，且不易恢復(fù)。這樣，既不利于保守國(guó)家機(jī)密，又損害企事業(yè)單位，審計(jì)機(jī)關(guān)和審計(jì)團(tuán)體的利益。

　?。?）黑客入侵，病毒危害風(fēng)險(xiǎn)

　　在網(wǎng)絡(luò)化系統(tǒng)中，計(jì)算機(jī)病毒不再靠磁盤(pán)或光盤(pán)傳播，開(kāi)始通過(guò)電子郵件傳播計(jì)算機(jī)病毒。黑客的入侵也相當(dāng)猖獗，主要來(lái)自社會(huì)上一些不法分子對(duì)企業(yè)、事業(yè)單位和政府機(jī)關(guān)互聯(lián)網(wǎng)的入侵。這種風(fēng)險(xiǎn)范圍廣，危害性大。它包括截收、仿冒、竊聽(tīng)和黑客入侵?；臃倍嗟牟《救肭?，讓人防不勝防，隨著網(wǎng)絡(luò)化的迅速普及和廣泛應(yīng)用，計(jì)算機(jī)病毒的傳播呈現(xiàn)渠道多樣化、速度快捷的特點(diǎn)，危害也在不斷加劇，這對(duì)網(wǎng)絡(luò)化審計(jì)系統(tǒng)資源構(gòu)成很大威脅。

　?。?）系統(tǒng)關(guān)聯(lián)方道德風(fēng)險(xiǎn)

　　主要指關(guān)聯(lián)方非法侵入企業(yè)網(wǎng)絡(luò)財(cái)務(wù)軟件系統(tǒng)，以剽竊財(cái)務(wù)數(shù)據(jù)和知識(shí)產(chǎn)權(quán)、破壞系統(tǒng)、干擾企業(yè)正常交易等產(chǎn)生的風(fēng)險(xiǎn)。企業(yè)關(guān)聯(lián)方主要包括客戶(hù)、供應(yīng)商、軟件開(kāi)發(fā)商，也包括銀行、稅務(wù)、審計(jì)、保險(xiǎn)財(cái)政等部門(mén)。企業(yè)與關(guān)聯(lián)方之間的通過(guò)外聯(lián)網(wǎng)進(jìn)行業(yè)務(wù)和數(shù)據(jù)交換，這種特殊的交換關(guān)系使關(guān)聯(lián)方之間道德風(fēng)險(xiǎn)的發(fā)生成為可能，尤其是軟件開(kāi)發(fā)商，他們非法入侵企業(yè)財(cái)務(wù)系統(tǒng)不易被發(fā)現(xiàn)，其危害是不容忽視的。

　?。?）內(nèi)部人員的操作風(fēng)險(xiǎn)

　　操作風(fēng)險(xiǎn)主要包括操作程序不規(guī)范和操作人員防范意識(shí)不強(qiáng)造成的。如審計(jì)人員或會(huì)計(jì)人員缺乏安全意識(shí)和網(wǎng)絡(luò)安全防范措施，對(duì)于網(wǎng)上下載的電子郵件或會(huì)計(jì)信息資源不做安全性技術(shù)檢查、測(cè)試，或僅用個(gè)人生日或單位電話(huà)號(hào)碼作密碼，這些密碼好記也好破譯，安全性較差。另外，企業(yè)會(huì)計(jì)人員對(duì)會(huì)計(jì)數(shù)據(jù)的非法訪(fǎng)問(wèn)、篡改、泄密和破壞等方面的風(fēng)險(xiǎn)。有資料統(tǒng)計(jì)，大部分非法闖入者來(lái)自?xún)?nèi)部雇員，這些通曉網(wǎng)絡(luò)知識(shí)的內(nèi)部控制人員通過(guò)嵌入的非法舞弊程序，大量侵吞國(guó)家財(cái)富或企業(yè)資產(chǎn)。

　　三、審計(jì)過(guò)程中對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的估計(jì)、量化

　　通過(guò)以上的比較分析，我們不難發(fā)現(xiàn)在新的審計(jì)環(huán)境下，審計(jì)的風(fēng)險(xiǎn)模型確實(shí)有重構(gòu)的必要性。下面是我對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的各構(gòu)成要素的進(jìn)一步闡述，它包括因素構(gòu)成、因素的項(xiàng)目風(fēng)險(xiǎn)評(píng)價(jià)和綜合風(fēng)險(xiǎn)評(píng)價(jià)。網(wǎng)絡(luò)風(fēng)險(xiǎn)具體有6個(gè)影響因素構(gòu)成，用公式表示為：網(wǎng)絡(luò)風(fēng)險(xiǎn)的計(jì)量=被審計(jì)單位的計(jì)算機(jī)財(cái)務(wù)會(huì)計(jì)信息系統(tǒng)的系統(tǒng)漏洞 會(huì)計(jì)信息系統(tǒng)的開(kāi)放性 最新的病毒報(bào)告狀況 防火墻的性能 以往會(huì)計(jì)信息系統(tǒng)的運(yùn)行狀況 審計(jì)單位自身的信息處理系統(tǒng)的安全性評(píng)價(jià)。

　?。ㄒ唬┍粚徲?jì)單位的計(jì)算機(jī)財(cái)務(wù)會(huì)計(jì)系統(tǒng)的系統(tǒng)漏洞估計(jì)

　　醫(yī)生治病也需要先尋病根，確定網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)大小，自然首先應(yīng)該知道這個(gè)系統(tǒng)的弱點(diǎn)和漏洞，其弱點(diǎn)和漏洞的嚴(yán)重程度是決定整個(gè)系統(tǒng)風(fēng)險(xiǎn)大小的一個(gè)重要方面。而一個(gè)網(wǎng)絡(luò)系統(tǒng)中的漏洞大致可以包括三種不同類(lèi)型：

　　1、實(shí)現(xiàn)漏洞：所有的系統(tǒng)實(shí)現(xiàn)都不可能沒(méi)有漏洞，盡管設(shè)計(jì)可以是無(wú)懈可擊的。軟件“Bug”是最典型的漏洞，例如：著名的sen山mail程序的漏洞被許多人用來(lái)獲得系統(tǒng)的非授權(quán)訪(fǎng)問(wèn)。實(shí)現(xiàn)漏洞在操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)中是不可避免的，并且這些漏洞還無(wú)法預(yù)測(cè)，往往只能依靠大量的使用來(lái)發(fā)現(xiàn)，依靠供貨商的升級(jí)和“補(bǔ)丁”，依靠安全專(zhuān)家的警告。

　　2、設(shè)計(jì)漏洞：攻擊者使用的另一類(lèi)漏洞來(lái)源于設(shè)計(jì)階段，這一類(lèi)漏洞更難發(fā)現(xiàn)，同時(shí)也更難彌補(bǔ)，因?yàn)槁┒磥?lái)源于設(shè)計(jì)，軟硬件實(shí)現(xiàn)完全圍繞設(shè)計(jì)實(shí)現(xiàn)。這種漏洞是固有的，只有依靠重新設(shè)計(jì)和實(shí)現(xiàn)。典型例子仍是著名的sendmail程序，即使sendmail的實(shí)現(xiàn)無(wú)懈可擊，仍然可以利用sendmail程序反復(fù)生成郵件，從而實(shí)現(xiàn)拒絕服務(wù)攻擊。

　　3、配置漏洞：這是攻擊者最喜歡的漏洞，也是最常見(jiàn)的漏洞。配置漏洞來(lái)源于管理員（或用戶(hù)）錯(cuò)誤的設(shè)置。許多產(chǎn)品制造商在產(chǎn)品出廠(chǎng)時(shí)往往為用戶(hù)設(shè)置了許多默認(rèn)的參數(shù)，這些設(shè)置基于對(duì)用戶(hù)環(huán)境的充分信任，以方便新用戶(hù)的使用。但這些出廠(chǎng)設(shè)置可能會(huì)帶來(lái)嚴(yán)重的安全漏洞。典型的配置漏洞包括：繼續(xù)使用賬號(hào)的出廠(chǎng)默認(rèn)參數(shù)，使用默認(rèn)的文件訪(fǎng)問(wèn)權(quán)限設(shè)置，以及開(kāi)放有漏洞的網(wǎng)絡(luò)服務(wù)等。

　　通過(guò)以上的漏洞分析，作為注冊(cè)會(huì)計(jì)師應(yīng)該根據(jù)被審計(jì)單位的系統(tǒng)狀況對(duì)被審計(jì)單位的財(cái)務(wù)會(huì)計(jì)信息系統(tǒng)的安全性做出評(píng)價(jià)。此處，我設(shè)置了3個(gè)水平的評(píng)價(jià)指標(biāo)：高、中和低。

　　高的風(fēng)險(xiǎn)，指被審計(jì)單位的財(cái)務(wù)會(huì)計(jì)系統(tǒng)混亂，財(cái)務(wù)軟件漏洞很多，財(cái)務(wù)系統(tǒng)運(yùn)作混亂，不能進(jìn)行相應(yīng)的會(huì)計(jì)信息處理，會(huì)計(jì)信息的真實(shí)性無(wú)法保證。

　　中等的風(fēng)險(xiǎn)，指被審計(jì)單位擁有一套比較完善的財(cái)務(wù)會(huì)計(jì)系統(tǒng)，但財(cái)務(wù)軟件存在著致命性的漏洞，僅基本上能夠保證真實(shí)性的要求。

　　低的風(fēng)險(xiǎn)，指被審計(jì)單位擁有一套完善的財(cái)務(wù)會(huì)計(jì)系統(tǒng)，系統(tǒng)設(shè)置能夠適應(yīng)企業(yè)業(yè)務(wù)發(fā)展的需要，系統(tǒng)中不存在明顯的、致命性的設(shè)計(jì)漏洞，能夠提供真實(shí)、客觀的財(cái)務(wù)信息。

　　（二）會(huì)計(jì)信息系統(tǒng)的開(kāi)放性

　　會(huì)計(jì)系統(tǒng)的開(kāi)放性指能夠接觸到會(huì)計(jì)信息系統(tǒng)的終端用戶(hù)的范圍。一個(gè)會(huì)計(jì)系統(tǒng)的終端使用者越多，那么他所面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)越大。在會(huì)計(jì)信息系統(tǒng)的開(kāi)放性問(wèn)題中值得一提的是網(wǎng)絡(luò)開(kāi)放性問(wèn)題，如果一個(gè)公司的財(cái)務(wù)系統(tǒng)要上網(wǎng)向公眾公告，那么會(huì)計(jì)系統(tǒng)將承受更多的網(wǎng)絡(luò)風(fēng)險(xiǎn)。具體的評(píng)價(jià)指標(biāo)也有3個(gè)即：

　　高的開(kāi)放性，指會(huì)計(jì)信息系統(tǒng)要向與Internet相連接，向社會(huì)公告。

　　中的開(kāi)放性，指會(huì)計(jì)信息系統(tǒng)只在本單位的局域網(wǎng)中開(kāi)放，不與Internet相連接，除了滿(mǎn)足公司管理的需要，不需要向社會(huì)公眾公告。

　　低的開(kāi)放性，指會(huì)計(jì)信息系統(tǒng)不存在分布式的設(shè)計(jì)，不需要聯(lián)網(wǎng)工作，僅僅在財(cái)務(wù)部門(mén)內(nèi)部使用，不向外公告。

　?。ㄈ┳钚碌牟《景l(fā)布情況

　　病毒和黑客是計(jì)算機(jī)系統(tǒng)致命的敵人，最新的病毒發(fā)布狀況直接決定了財(cái)務(wù)信息系統(tǒng)在當(dāng)時(shí)的風(fēng)險(xiǎn)因素的大小。如果審計(jì)期間有大規(guī)模的且非常厲害的病毒爆發(fā)，那么網(wǎng)絡(luò)風(fēng)險(xiǎn)就會(huì)高，也就要求審計(jì)人員做出大量的技術(shù)處理以避免病毒攻擊，確保信息的安全、可靠。具體的評(píng)價(jià)指標(biāo)也有3個(gè)即：

　　高風(fēng)險(xiǎn)，指在審計(jì)期間出現(xiàn)了大量的新的對(duì)系統(tǒng)有致命損害的病毒，且這種病毒的防范措施尚未形成，沒(méi)有專(zhuān)門(mén)的殺毒軟件可以處理。

　　中風(fēng)險(xiǎn)，指審計(jì)期間出現(xiàn)一些新的毒，但這些病毒對(duì)于計(jì)算機(jī)系統(tǒng)的傷害并不是致命，而且采取相應(yīng)的措施可以有效的避免病毒的感染。

　　低風(fēng)險(xiǎn)，指審計(jì)期間沒(méi)有新的病毒發(fā)布，一些常規(guī)病毒以被審計(jì)單位目前的技術(shù)水平完全可以應(yīng)付。

　　（四）防火墻的性能

　　防火墻的性能直接決定被審計(jì)單位的財(cái)務(wù)信息安全狀況。被審計(jì)單位的防火墻性能好，則可以避免前面所說(shuō)的系統(tǒng)開(kāi)放性及最新病毒的攻擊問(wèn)題，從而整體上降低財(cái)務(wù)信息系統(tǒng)的網(wǎng)絡(luò)風(fēng)險(xiǎn)。相反，則會(huì)加重前面的風(fēng)險(xiǎn)系數(shù)。防火墻的性能其實(shí)是前面提到風(fēng)險(xiǎn)的加乘系數(shù)，這個(gè)系數(shù)可能是正的亦可能是負(fù)的。如果為正，那么整體風(fēng)險(xiǎn)增加；如果為負(fù)，則整體的風(fēng)險(xiǎn)水平會(huì)因?yàn)榉阑饓Φ拇嬖诙档?。具體的評(píng)價(jià)指標(biāo)有2個(gè)即：

　　高風(fēng)險(xiǎn)，指防火墻的性能不穩(wěn)定，對(duì)于一些常規(guī)病毒的入侵無(wú)法應(yīng)對(duì)，防范性能等于0.

　　低風(fēng)險(xiǎn)，指防火墻的性能穩(wěn)定，能夠有效的防范病毒的進(jìn)攻。

　?。ㄎ澹┮酝鶗?huì)計(jì)信息系統(tǒng)的運(yùn)行狀況

　　由于網(wǎng)絡(luò)系統(tǒng)問(wèn)題的暴露有一個(gè)時(shí)間過(guò)程，則會(huì)計(jì)信息系統(tǒng)以往的運(yùn)行狀況對(duì)于審計(jì)人員進(jìn)行被審計(jì)單位的網(wǎng)絡(luò)風(fēng)險(xiǎn)水平評(píng)價(jià)具有參考價(jià)值。如果被審計(jì)單位的會(huì)計(jì)信息系統(tǒng)以往的運(yùn)行狀況良好，沒(méi)有出現(xiàn)任何的重大錯(cuò)誤，則我們可以推定在審計(jì)過(guò)程中，被審計(jì)單位的信息系統(tǒng)不會(huì)有重大的差錯(cuò)，可以接受被審計(jì)單位信息系統(tǒng)的數(shù)據(jù)，進(jìn)而可以降低整體的項(xiàng)目可接受的審計(jì)風(fēng)險(xiǎn)水平。如果被審計(jì)單位的會(huì)計(jì)信息系統(tǒng)在以往的工作中的表現(xiàn)不盡如人意，那么審計(jì)人員在對(duì)被審計(jì)單位會(huì)計(jì)信息系統(tǒng)的數(shù)據(jù)接受時(shí)，就要采用審慎的態(tài)度。這里我們?cè)O(shè)定的水平指標(biāo)同樣有以下三種：

　　高風(fēng)險(xiǎn)，指被審計(jì)單位的財(cái)務(wù)信息系統(tǒng)以往的工作表現(xiàn)欠佳，曾經(jīng)出現(xiàn)過(guò)重大會(huì)計(jì)差錯(cuò)問(wèn)題。

　　中風(fēng)險(xiǎn)，指被審計(jì)單位的財(cái)務(wù)信息系統(tǒng)以往的工作表現(xiàn)一般，曾出現(xiàn)這樣那樣的非重大差錯(cuò)。

　　低風(fēng)險(xiǎn)，指被審計(jì)單位的財(cái)務(wù)信息系統(tǒng)以往的工作表現(xiàn)良好，以前沒(méi)有出現(xiàn)任何的非認(rèn)為的系統(tǒng)處理錯(cuò)誤。

　　（六）審計(jì)單位自身的信息處理系統(tǒng)的安全性評(píng)價(jià)

　　在網(wǎng)絡(luò)審計(jì)情況下，審計(jì)人員的審計(jì)手段更多的借助于網(wǎng)絡(luò)的高科技產(chǎn)品，計(jì)算機(jī)信息處理系統(tǒng)在各大會(huì)計(jì)事務(wù)所廣泛應(yīng)用。同樣的審計(jì)單位同樣要面對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的沖擊。所以審計(jì)單位在對(duì)被審計(jì)單位風(fēng)險(xiǎn)進(jìn)行精確評(píng)價(jià)的同時(shí)還應(yīng)對(duì)自身的網(wǎng)絡(luò)風(fēng)險(xiǎn)水平進(jìn)行系統(tǒng)的評(píng)價(jià)。審計(jì)單位的評(píng)價(jià)過(guò)程可以參閱前面的被審計(jì)單位的評(píng)價(jià)方法，此處我們不在一一重復(fù)。

　?。ㄆ撸┚W(wǎng)絡(luò)風(fēng)險(xiǎn)各因素間的關(guān)系

　　網(wǎng)絡(luò)審計(jì)情況下的對(duì)于審計(jì)的網(wǎng)絡(luò)風(fēng)險(xiǎn)的總體水平評(píng)價(jià)可以采用圖表的形式加以說(shuō)明：

　　由排列組合的知識(shí)我們知道這里有486種組合方式。鑒于以上對(duì)于6個(gè)因素的分析結(jié)果，我們將防火墻性能和被審計(jì)單位系統(tǒng)漏洞兩個(gè)因素的狀況作為評(píng)價(jià)網(wǎng)絡(luò)風(fēng)險(xiǎn)的核心指標(biāo)。

　　首先，我們從上面的分析中不難發(fā)現(xiàn)防火墻的性能對(duì)于會(huì)計(jì)信息系統(tǒng)的開(kāi)放性和最新的病毒報(bào)告狀況兩個(gè)因素有一定的節(jié)制作用。防火墻的性能狀況直接決定三個(gè)因素的整體風(fēng)險(xiǎn)水平。如果前兩個(gè)因素的風(fēng)險(xiǎn)水平處于高的狀態(tài)，但是由于系統(tǒng)的防火墻性能很好，那么前兩個(gè)因素的高風(fēng)險(xiǎn)會(huì)因?yàn)榉阑饓Φ牡惋L(fēng)險(xiǎn)而降低，進(jìn)而三個(gè)因素的整體風(fēng)險(xiǎn)降低。相反，如果防火墻的性能很差，即使前兩個(gè)因素的各自風(fēng)險(xiǎn)都很低，那綜合風(fēng)險(xiǎn)也不會(huì)降低，甚至提高。所以防火墻的性能水平是三個(gè)風(fēng)險(xiǎn)因素的小核心。

　　其次，被審計(jì)單位的計(jì)算機(jī)財(cái)務(wù)會(huì)計(jì)信息系統(tǒng)的系統(tǒng)漏洞又是整個(gè)網(wǎng)絡(luò)風(fēng)險(xiǎn)的核心。被審計(jì)單位的計(jì)算機(jī)財(cái)務(wù)會(huì)計(jì)信息系統(tǒng)的系統(tǒng)漏洞是根本性的風(fēng)險(xiǎn)因素。如果被審計(jì)單位的會(huì)計(jì)信息系統(tǒng)存在致命性的漏洞，那么整個(gè)系統(tǒng)的綜合網(wǎng)絡(luò)風(fēng)險(xiǎn)，肯定不會(huì)是很低的。

　　此外，審計(jì)單位的風(fēng)險(xiǎn)水平是審計(jì)單位自身可以控制的因素，是一種可控風(fēng)險(xiǎn)。

　　我們依據(jù)兩個(gè)指標(biāo)的水平狀況對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的486種組合進(jìn)行了總體的分類(lèi)，即高、中、低三檔。具體的：在這486種組合方式中，我將其中含有防火墻性能和被審計(jì)單位系統(tǒng)漏洞兩項(xiàng)為高風(fēng)險(xiǎn)的設(shè)定為整體的高風(fēng)險(xiǎn)；相反的情況就為低風(fēng)險(xiǎn)；其他的組合方式為中的風(fēng)險(xiǎn)。

　　針對(duì)不同的網(wǎng)絡(luò)風(fēng)險(xiǎn)水平要求審計(jì)人員采取不同的措施。具體的：

　　高的網(wǎng)絡(luò)風(fēng)險(xiǎn)水平意味著被審計(jì)單位的財(cái)務(wù)會(huì)計(jì)信息系統(tǒng)是不可信的，其數(shù)據(jù)不能采用，其要求審計(jì)人員對(duì)于被審計(jì)單位的會(huì)計(jì)記錄進(jìn)行詳細(xì)的審查，追加審計(jì)的時(shí)間。

　　中等的審計(jì)風(fēng)險(xiǎn)和低的審計(jì)風(fēng)險(xiǎn)意味著被審計(jì)單位的財(cái)務(wù)信息系統(tǒng)基本上能夠提供真實(shí)可靠的會(huì)計(jì)信息，審計(jì)人員可以全部接受，適當(dāng)減少審計(jì)的時(shí)間，加速審計(jì)效率。

　　四、審計(jì)人員審計(jì)過(guò)程中對(duì)于網(wǎng)絡(luò)風(fēng)險(xiǎn)的應(yīng)對(duì)措施

　?。ㄒ唬╅_(kāi)發(fā)和應(yīng)用審計(jì)軟件對(duì)相關(guān)網(wǎng)絡(luò)系統(tǒng)進(jìn)行實(shí)時(shí)跟蹤

　　網(wǎng)絡(luò)審計(jì)是借助網(wǎng)絡(luò)審計(jì)軟件進(jìn)行的，加強(qiáng)網(wǎng)絡(luò)審計(jì)軟件的研究與開(kāi)發(fā)是發(fā)展網(wǎng)絡(luò)審計(jì)所必需的。首先，從現(xiàn)在實(shí)際情況和科學(xué)性出發(fā)，選擇相應(yīng)的財(cái)務(wù)軟件公司，利用他們?cè)谪?cái)務(wù)軟件制作方面的經(jīng)驗(yàn)開(kāi)發(fā)網(wǎng)絡(luò)審計(jì)測(cè)試軟件；其次，對(duì)被審計(jì)單位的網(wǎng)絡(luò)系統(tǒng)進(jìn)行評(píng)價(jià)，并利用專(zhuān)用的審計(jì)對(duì)比軟件，將存放于數(shù)據(jù)庫(kù)不同地址的同一數(shù)據(jù)進(jìn)行自動(dòng)比較，以形成相應(yīng)的記錄文件，并對(duì)有差異的文件數(shù)據(jù)進(jìn)行詳細(xì)審查；再次，對(duì)被審計(jì)單位的自動(dòng)檢測(cè)數(shù)據(jù)庫(kù)軟件和恢復(fù)軟件進(jìn)行審查和評(píng)價(jià)；最后，要對(duì)被審計(jì)單位的異常貿(mào)易，通過(guò)網(wǎng)絡(luò)進(jìn)行預(yù)警提示，以降審計(jì)風(fēng)險(xiǎn)。

　　（二）建立審計(jì)服務(wù)信息庫(kù)

　　審計(jì)人員可將被審計(jì)單位的有關(guān)信息，通過(guò)網(wǎng)絡(luò)建立一個(gè)完善的大容量的信息庫(kù)，把這些信息包括被審計(jì)單位的背景資料、最新動(dòng)態(tài)和一些以前審計(jì)的檔案信息，以便以后開(kāi)展審計(jì)時(shí)查閱和運(yùn)用，這樣將可大大減少工作時(shí)間，提高工作效率，同時(shí)也相應(yīng)地降低了審計(jì)的風(fēng)險(xiǎn)。

　?。ㄈ┘訌?qiáng)對(duì)網(wǎng)絡(luò)系統(tǒng)的安全性和保密性進(jìn)行審查

　　在網(wǎng)絡(luò)中運(yùn)行，信息的安全性即可靠性和保密性構(gòu)成了審計(jì)的風(fēng)險(xiǎn)防范和控制的重點(diǎn)。首先，對(duì)網(wǎng)絡(luò)系統(tǒng)職責(zé)分離情況進(jìn)行審查，遵循的原則仍為不相容職責(zé)必須分離，但側(cè)重對(duì)數(shù)據(jù)的輸入、輸出，軟件開(kāi)發(fā)的維護(hù)及系統(tǒng)程序修改或管理等之間的關(guān)系處理進(jìn)行審查；其次，對(duì)被審計(jì)單位網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行分析與評(píng)價(jià)，以確認(rèn)防范黑客侵入的能力；再次，對(duì)被審計(jì)單位的系統(tǒng)容錯(cuò)處理機(jī)制、安全管理體制和安全保密技術(shù)等作深入的了解，以評(píng)價(jià)其系統(tǒng)安全性的等級(jí)，從而有效地控制審計(jì)風(fēng)險(xiǎn)。

　?。ㄋ模┘涌炀W(wǎng)絡(luò)審計(jì)人才的培養(yǎng)

　　大批精通網(wǎng)絡(luò)、計(jì)算機(jī)及審計(jì)的人員隊(duì)伍是網(wǎng)絡(luò)審計(jì)能否得以實(shí)施的關(guān)鍵。審計(jì)人員必須經(jīng)常更新自身的知識(shí)結(jié)構(gòu)才能適應(yīng)網(wǎng)絡(luò)審計(jì)工作的需要。這就需要在審計(jì)人員的培養(yǎng)和將來(lái)的CPA資格考試中適當(dāng)增加有關(guān)計(jì)算機(jī)、網(wǎng)絡(luò)理論及操作的考察并定期對(duì)審計(jì)人員進(jìn)行相關(guān)培訓(xùn)。

　　（五）制訂網(wǎng)絡(luò)審計(jì)準(zhǔn)則

　　審計(jì)準(zhǔn)則是審計(jì)工作應(yīng)遵循的規(guī)范和尺度，是提評(píng)價(jià)審計(jì)工作質(zhì)量的權(quán)威性規(guī)則。網(wǎng)絡(luò)審計(jì)對(duì)象、線(xiàn)索、方法、流程、結(jié)果等各方面相對(duì)于傳統(tǒng)審計(jì)都發(fā)生了變化，以往的審計(jì)標(biāo)準(zhǔn)和準(zhǔn)則已經(jīng)不能完全適用，所以應(yīng)加快新的審計(jì)標(biāo)準(zhǔn)和準(zhǔn)則的制定以指導(dǎo)網(wǎng)絡(luò)審計(jì)工作實(shí)踐的深入。

　?。┘訌?qiáng)網(wǎng)絡(luò)審計(jì)立法

　　網(wǎng)絡(luò)審計(jì)立法是保障網(wǎng)絡(luò)審計(jì)正常發(fā)展的關(guān)鍵性措施。新的《會(huì)計(jì)法》已增加了有關(guān)網(wǎng)絡(luò)財(cái)務(wù)的內(nèi)容，《電子商務(wù)法》起草工作正在加緊進(jìn)行之中，但是上述法規(guī)都不是針對(duì)網(wǎng)絡(luò)審計(jì)而發(fā)布的，不能夠滿(mǎn)足網(wǎng)絡(luò)審計(jì)的需要。因此，有必要加快網(wǎng)絡(luò)審計(jì)立法工作的力度和進(jìn)度，使人們?cè)陂_(kāi)展網(wǎng)絡(luò)審計(jì)工作尤其是進(jìn)行合法性審計(jì)時(shí)有法可依。

　　[參考文獻(xiàn)]

　　[1]董剛毅。網(wǎng)絡(luò)審計(jì)的風(fēng)險(xiǎn)和控制[J].審計(jì)理論與實(shí)踐，2002，（9）。

　　[2]李金花。論電子商務(wù)時(shí)代的網(wǎng)絡(luò)審計(jì)[J].河南商業(yè)高等專(zhuān)科學(xué)校學(xué)報(bào)，2003，（6）。

　　[3]夏　敏。網(wǎng)絡(luò)審計(jì)的重要性與可行性分析[J].審計(jì)天地，2003，（10）。

　　[4]曾憲策。網(wǎng)絡(luò)審計(jì)的創(chuàng)新和風(fēng)險(xiǎn)[J].中國(guó)審計(jì)，2003，（2）。

　　[5]鄭曉龍，林辛。淺議信息技術(shù)時(shí)代的網(wǎng)絡(luò)審計(jì)[J].經(jīng)濟(jì)師，2004，（4）。

　　[6]潘立亞?；ヂ?lián)網(wǎng)時(shí)代審計(jì)新概念-網(wǎng)絡(luò)審計(jì)[J].經(jīng)濟(jì)師，2004，（3）。

　　[7]郭強(qiáng)華，郭望予。企業(yè)網(wǎng)絡(luò)審計(jì)建設(shè)與實(shí)施[J].中國(guó)管理信息化，2005，（2）。