掃碼下載APP
及時(shí)接收最新考試資訊及
備考信息
安卓版本:8.7.41 蘋果版本:8.7.40
開發(fā)者:北京正保會(huì)計(jì)科技有限公司
應(yīng)用涉及權(quán)限:查看權(quán)限>
APP隱私政策:查看政策>
HD版本上線:點(diǎn)擊下載>
[摘要]隨著現(xiàn)代審計(jì)的發(fā)展,風(fēng)險(xiǎn)越來越成為審計(jì)工作考慮的一個(gè)中心問題。無論是傳統(tǒng)的審計(jì)風(fēng)險(xiǎn)模型還是國際注冊審計(jì)師協(xié)會(huì)發(fā)布的最新的審計(jì)風(fēng)險(xiǎn)模型都是在傳統(tǒng)的審計(jì)環(huán)境下,對于審計(jì)風(fēng)險(xiǎn)模式的界定和計(jì)量。在網(wǎng)絡(luò)經(jīng)濟(jì)條件下,原來的風(fēng)險(xiǎn)模型面臨重構(gòu)我國的注冊會(huì)計(jì)師應(yīng)采取有效措施,積極應(yīng)對新的風(fēng)險(xiǎn)。
[關(guān)鍵詞]網(wǎng)絡(luò)審計(jì);風(fēng)險(xiǎn)模型;網(wǎng)絡(luò)風(fēng)險(xiǎn);傳統(tǒng)風(fēng)險(xiǎn)
一、網(wǎng)絡(luò)經(jīng)濟(jì)環(huán)境之下審計(jì)風(fēng)險(xiǎn)模型重構(gòu)的必要性
審計(jì),作為一門社會(huì)科學(xué),是社會(huì)經(jīng)濟(jì)環(huán)境的產(chǎn)物,是與特定了歷史條件相聯(lián)系的。審計(jì)環(huán)境有外部環(huán)境和內(nèi)部環(huán)境之分,審計(jì)環(huán)境發(fā)生變化,審計(jì)本身必然要做相應(yīng)的調(diào)整。隨著我們進(jìn)入21世紀(jì),審計(jì)的內(nèi)外環(huán)境發(fā)生了明顯的變化,這些變化要求審計(jì)本身做出相應(yīng)的調(diào)整。因此審計(jì)風(fēng)險(xiǎn)模型的重構(gòu)成為當(dāng)務(wù)之急。
(一)審計(jì)外部環(huán)境的變化
1、企業(yè)經(jīng)營環(huán)境的變化
隨著電子和網(wǎng)絡(luò)技術(shù)的發(fā)展,傳統(tǒng)的店鋪式的經(jīng)營模式將越來越多的被信息化的網(wǎng)絡(luò)貿(mào)易所取代,電子商務(wù)成為商業(yè)企業(yè)主要的經(jīng)營模式。全球的網(wǎng)上銷售額2000年就已達(dá)到了3000億美元(世貿(mào)組織測定),2004年更超過7兆億美元。電子商務(wù)這種嶄新的商務(wù)模式,在我國也得到了迅猛發(fā)展:由1996年的幾萬網(wǎng)民,激增至2004年的超過1億網(wǎng)民,B2C、B2B、C2C、B2G等商務(wù)模式日益走紅,門戶站點(diǎn)風(fēng)靡全球。截至2001年12月,我國電子商務(wù)網(wǎng)站達(dá)300余家,到2004年電子商務(wù)網(wǎng)站經(jīng)過重組形成了如ebay等數(shù)家商業(yè)航母;到2004年我國的電子商務(wù)交易總額突破了4400億人民幣,2005年將激增到6200億人民幣。電子商務(wù)這種與傳統(tǒng)商業(yè)截然不同的商務(wù)操作和管理模式,使企業(yè)的經(jīng)營模式發(fā)生根本性的變革:客戶可以從網(wǎng)上了解商品,詢問價(jià)格簽訂合同,發(fā)送訂單,企業(yè)可以通過網(wǎng)絡(luò)確認(rèn)交易,出口報(bào)關(guān),發(fā)送商品(僅限于信息產(chǎn)品),傳遞發(fā)貨單,劃賬結(jié)匯等。這已經(jīng)遠(yuǎn)遠(yuǎn)超出了傳統(tǒng)審計(jì)所能涉及的領(lǐng)域。企業(yè)經(jīng)營環(huán)境是審計(jì)風(fēng)險(xiǎn)考慮的一個(gè)重要因素,是企業(yè)審計(jì)風(fēng)險(xiǎn)評(píng)價(jià)體系的開始。電子商務(wù)下的網(wǎng)絡(luò)貿(mào)易要求我們對于審計(jì)風(fēng)險(xiǎn)進(jìn)行再認(rèn)識(shí)。
2、實(shí)時(shí)報(bào)告的要求
隨著現(xiàn)代審計(jì)的發(fā)展,審計(jì)對象對于審計(jì)報(bào)告的實(shí)效性加強(qiáng),實(shí)時(shí)性審計(jì)越來越被人們所重視。但傳統(tǒng)的事后性的審計(jì)監(jiān)督所帶來的缺陷就是不能及時(shí)發(fā)現(xiàn)問題,防患于未然,而克服這一缺陷的重要措施就是開展事前和事中審計(jì)?,F(xiàn)在借助于網(wǎng)絡(luò),使審計(jì)人員能夠遠(yuǎn)程訪問被審計(jì)單位存放財(cái)務(wù)信息的計(jì)算機(jī),就可以對被審計(jì)單位的經(jīng)濟(jì)活動(dòng),進(jìn)行實(shí)時(shí)的監(jiān)督,從而可以及時(shí)發(fā)現(xiàn)問題并及時(shí)解決。此外,通過實(shí)時(shí)監(jiān)督,隨時(shí)掌握審計(jì)對象的經(jīng)濟(jì)活動(dòng)比如財(cái)務(wù)收支和資產(chǎn)負(fù)債等情況,還能夠準(zhǔn)確、及時(shí)地為決策部門提供決策信息。從而最大限度地發(fā)揮審計(jì)監(jiān)督的作用。
3、會(huì)計(jì)系統(tǒng)的變化
隨著信息技術(shù)的發(fā)展,信息化的財(cái)務(wù)會(huì)計(jì)系統(tǒng)普遍在各大企業(yè)中應(yīng)用,傳統(tǒng)的會(huì)計(jì)模式逐漸退出歷史的舞臺(tái),會(huì)計(jì)電算化廣泛推廣開來。經(jīng)濟(jì)業(yè)務(wù)產(chǎn)生的原始憑證以電磁波信息的形式在網(wǎng)上傳遞并存儲(chǔ)于磁性介質(zhì)中,會(huì)計(jì)的確認(rèn)、計(jì)量、記錄和報(bào)告都集中由計(jì)算機(jī)按程序指令執(zhí)行。因此審計(jì)人員面對的是企業(yè)的電算化會(huì)計(jì)信息系統(tǒng)和網(wǎng)絡(luò)賬務(wù)系統(tǒng),企業(yè)的賬務(wù)系統(tǒng)以程序語言的形式存放于計(jì)算機(jī)中,難以對會(huì)計(jì)處理內(nèi)控制度形成全面的感性認(rèn)識(shí)。網(wǎng)絡(luò)審計(jì)面對的企業(yè)內(nèi)部環(huán)境是一整套電算化會(huì)計(jì)信息系統(tǒng)的合理有效性、安全程度直接影響到審計(jì)工作的質(zhì)量和效率。同時(shí)由于市場準(zhǔn)入條件的放寬和有關(guān)商務(wù)法律的不健全,外部環(huán)境的不穩(wěn)定因素劇增,來自企業(yè)外部經(jīng)營風(fēng)險(xiǎn)凸現(xiàn),原有的內(nèi)控制度效果減弱,盡而增加了審計(jì)的風(fēng)險(xiǎn)。
?。ǘ徲?jì)內(nèi)部環(huán)境的變化
1、審計(jì)證據(jù)和審計(jì)線索的變化
在傳統(tǒng)會(huì)計(jì)中,一般由經(jīng)濟(jì)業(yè)務(wù)產(chǎn)生紙質(zhì)原始憑證,然后會(huì)計(jì)人員根據(jù)原始憑證編制記賬憑證,根據(jù)記賬憑證登記明細(xì)賬和總賬,期末再根據(jù)各賬簿編制會(huì)計(jì)報(bào)表。每一步都有文字記錄,審計(jì)線索十分清晰,審計(jì)證據(jù)主要由書面證據(jù)組成。而在交易及核算都實(shí)現(xiàn)網(wǎng)絡(luò)化的環(huán)境下,企業(yè)與外部的交易和企業(yè)內(nèi)部業(yè)務(wù)處理的憑據(jù)都以電子信息的形式保存,并在網(wǎng)上傳遞,編制記賬憑證、登記賬簿、編制會(huì)計(jì)報(bào)表都由計(jì)算機(jī)按指定程序執(zhí)行,實(shí)現(xiàn)會(huì)計(jì)核算自動(dòng)化。因此,傳統(tǒng)意義上的審計(jì)證據(jù)和審計(jì)線索都將消失。
2、審計(jì)的工作方式的變化
?。?)網(wǎng)絡(luò)改變了審計(jì)信息收集方式。
收集審計(jì)信息主要是收集審計(jì)證據(jù),我國的《獨(dú)立審計(jì)基木準(zhǔn)則》規(guī)定,注冊會(huì)計(jì)師在審計(jì)過程中可以采用檢查、監(jiān)督、觀察、查詢及函證、計(jì)算和分析性復(fù)核等審計(jì)程序獲取審計(jì)證據(jù)。而在網(wǎng)絡(luò)環(huán)境下,幾乎所有資產(chǎn)都由計(jì)算機(jī)實(shí)時(shí)動(dòng)態(tài)管理,企業(yè)所有的會(huì)計(jì)資料和相關(guān)資料都存放于互聯(lián)網(wǎng)上,審計(jì)人員就可采用網(wǎng)絡(luò)交談和發(fā)電子郵件等方式進(jìn)行查詢和函證,也可進(jìn)行檢查、觀察、計(jì)算和分析性復(fù)核。這樣與傳統(tǒng)審計(jì)相比,網(wǎng)絡(luò)審計(jì)將提高審計(jì)證據(jù)的及時(shí)性和客觀性,降低收集審計(jì)證據(jù)的成本。
?。?)網(wǎng)絡(luò)改變了審計(jì)信息加工、傳輸和存儲(chǔ)模式。
傳統(tǒng)的審計(jì)工作主要通過檢查憑證、賬簿和報(bào)表,核對賬證、賬賬、賬表和賬簿與外來資料是否相符來加工審計(jì)信息,而在網(wǎng)絡(luò)環(huán)境下,隨著紙質(zhì)載體的消失和網(wǎng)絡(luò)信息系統(tǒng)自身強(qiáng)大的核對、檢查和內(nèi)部控制功能,傳統(tǒng)意義上的審計(jì)工作被大大簡化,只有在某種特定條件下還須由人來監(jiān)盤實(shí)物庫存、實(shí)地觀察實(shí)物變動(dòng)及其記錄。而且由于網(wǎng)絡(luò)高度的信息共享性、實(shí)時(shí)性和動(dòng)態(tài)性,審計(jì)信息輸出如WEB信息發(fā)布讓市公司的報(bào)表信息的充分披露與審計(jì)有關(guān)法規(guī)的發(fā)布、審計(jì)信息存儲(chǔ)和檢查等都將充分利用互聯(lián)網(wǎng)和企業(yè)內(nèi)部網(wǎng)進(jìn)行,實(shí)現(xiàn)了審計(jì)工作辦公自動(dòng)化。
3、審計(jì)機(jī)構(gòu)的組織方式的變化
網(wǎng)絡(luò)審計(jì)提供了一個(gè)信息資源共享的便捷渠道,使得審計(jì)能夠從傳統(tǒng)的孤立的單兵式向系統(tǒng)性的協(xié)同式過渡。在傳統(tǒng)的審計(jì)過程中,各個(gè)審計(jì)組之間的信息交流和溝通是比較困難的,一個(gè)審計(jì)組掌握的全部信息很難使其他的審計(jì)組或匯總部門也都掌握。雖然將這些信息以審計(jì)報(bào)告等形式上報(bào),由匯總部門進(jìn)行匯總之后,也能提供被審計(jì)對象的比較全面的信息,但是由于審計(jì)報(bào)告中的信息都是經(jīng)過個(gè)人判斷后選擇的結(jié)果,是不全面的,匯總部門也很難把握審計(jì)對象的全貌。因此,對審計(jì)對象的總體評(píng)價(jià)就可能偏離要害,審計(jì)效率不高,審計(jì)風(fēng)險(xiǎn)卻會(huì)加大?,F(xiàn)代信息網(wǎng)絡(luò)技術(shù)的發(fā)展和廣泛應(yīng)用,使得進(jìn)行系統(tǒng)性的審計(jì)成為可能。
4、審計(jì)技術(shù)的變化
在網(wǎng)絡(luò)環(huán)境下,傳統(tǒng)的審計(jì)技術(shù)已不能適應(yīng)時(shí)代的需要。在網(wǎng)絡(luò)審計(jì)下更多使用電子技術(shù),從審計(jì)證據(jù)的收集到證據(jù)的處理全部在微機(jī)上進(jìn)行無紙化的辦公。審計(jì)過程中更多的運(yùn)用先進(jìn)的財(cái)務(wù)工作軟件,審計(jì)過程中的認(rèn)為因素大大減少,提高了審計(jì)意見的客觀性和獨(dú)立性。
二、網(wǎng)絡(luò)風(fēng)險(xiǎn)的定義及分類
審計(jì)環(huán)境的變化同時(shí)帶來了審計(jì)風(fēng)險(xiǎn)的變化。在網(wǎng)絡(luò)審計(jì)過程中,網(wǎng)絡(luò)風(fēng)險(xiǎn)是一個(gè)不可忽視的風(fēng)險(xiǎn)因素。
?。ㄒ唬┚W(wǎng)絡(luò)風(fēng)險(xiǎn)的含義
所謂的網(wǎng)絡(luò)風(fēng)險(xiǎn)是指在網(wǎng)絡(luò)審計(jì)過程中,審計(jì)人員及被審計(jì)單位由于采用信息化審計(jì)技術(shù)或財(cái)務(wù)會(huì)計(jì)技術(shù),而致使審計(jì)人員對公司的財(cái)務(wù)報(bào)表發(fā)表了不恰當(dāng)?shù)膶徲?jì)意見。
從我們給出的定義可以看出以下幾點(diǎn):
1、網(wǎng)絡(luò)風(fēng)險(xiǎn)涉及的對象是雙向的。他一方面涉及到被審計(jì)單位的狀況,另一方面又涉及審計(jì)部門自身的狀況,這樣使的網(wǎng)絡(luò)風(fēng)險(xiǎn)的決定因素非常的復(fù)雜。
2、網(wǎng)絡(luò)風(fēng)險(xiǎn)是直接由計(jì)算機(jī)網(wǎng)絡(luò)帶來的。無論是被審計(jì)單位的先進(jìn)的財(cái)務(wù)信息系統(tǒng)還是審計(jì)部門的審計(jì)分析系統(tǒng),都是以電子信息技術(shù)為基礎(chǔ)的,都要借助于計(jì)算機(jī)和互聯(lián)網(wǎng)。進(jìn)而網(wǎng)絡(luò)風(fēng)險(xiǎn)因素更多的是由于信息技術(shù)問題帶來的風(fēng)險(xiǎn)。
3、網(wǎng)絡(luò)風(fēng)險(xiǎn)可以致使審計(jì)人員發(fā)表錯(cuò)誤的審計(jì)意見。網(wǎng)絡(luò)風(fēng)險(xiǎn)直接威脅審計(jì)人員獲得的被審計(jì)單位的財(cái)務(wù)信息的真實(shí)性,失去了真實(shí)性,那么審計(jì)人員也就不可能對被審計(jì)單位的財(cái)務(wù)狀況做出正確的評(píng)價(jià),進(jìn)而形成公正、客觀的審計(jì)報(bào)告。
?。ǘ徲?jì)風(fēng)險(xiǎn)的分類
審計(jì)風(fēng)險(xiǎn)一般分為可控風(fēng)險(xiǎn)和非可控風(fēng)險(xiǎn)??煽仫L(fēng)險(xiǎn)指審計(jì)人員在審計(jì)過程中可以控制的風(fēng)險(xiǎn)因素;非可控風(fēng)險(xiǎn)指審計(jì)人員在審計(jì)過程中不可以控制的風(fēng)險(xiǎn)因素。可控風(fēng)險(xiǎn)主要是針對審計(jì)單位的審計(jì)工作而言的,即可以通過自身的工作盡可能降低的風(fēng)險(xiǎn)。這種風(fēng)險(xiǎn)不是本處論述的重點(diǎn)。
1、不可控風(fēng)險(xiǎn)
這種風(fēng)險(xiǎn)主要是由被審計(jì)單位自身的財(cái)務(wù)信息系統(tǒng)或?qū)徲?jì)單位自身審計(jì)信息系統(tǒng)的這樣或那樣的缺陷造成的,是審計(jì)人員無能為力的因素。
?。?)系統(tǒng)風(fēng)險(xiǎn)
這一風(fēng)險(xiǎn)是審計(jì)單位和被審計(jì)單位都無法控制的風(fēng)險(xiǎn)。
計(jì)算機(jī)系統(tǒng)本身具有脆弱性,這是任何一個(gè)被審計(jì)單位都不可避免的。當(dāng)計(jì)算機(jī)硬件或計(jì)算機(jī)軟件、網(wǎng)絡(luò)本身出現(xiàn)故障時(shí)容易導(dǎo)致網(wǎng)絡(luò)系統(tǒng)審計(jì)數(shù)據(jù)丟失,甚至發(fā)生癱瘓現(xiàn)象。在互聯(lián)網(wǎng)條件下,網(wǎng)絡(luò)審計(jì)系統(tǒng)具有其分布式、開放性、遠(yuǎn)程性實(shí)時(shí)處理的特點(diǎn)。這個(gè)特點(diǎn)既有其優(yōu)越性,可以實(shí)現(xiàn)資源共享,使很多人受惠,但也有其缺陷性,系統(tǒng)的可控性、一致性、安全性較差,一旦出現(xiàn)故障,影響很大,且不易恢復(fù)。這樣,既不利于保守國家機(jī)密,又損害企事業(yè)單位,審計(jì)機(jī)關(guān)和審計(jì)團(tuán)體的利益。
?。?)黑客入侵,病毒危害風(fēng)險(xiǎn)
在網(wǎng)絡(luò)化系統(tǒng)中,計(jì)算機(jī)病毒不再靠磁盤或光盤傳播,開始通過電子郵件傳播計(jì)算機(jī)病毒。黑客的入侵也相當(dāng)猖獗,主要來自社會(huì)上一些不法分子對企業(yè)、事業(yè)單位和政府機(jī)關(guān)互聯(lián)網(wǎng)的入侵。這種風(fēng)險(xiǎn)范圍廣,危害性大。它包括截收、仿冒、竊聽和黑客入侵?;臃倍嗟牟《救肭郑屓朔啦粍俜?,隨著網(wǎng)絡(luò)化的迅速普及和廣泛應(yīng)用,計(jì)算機(jī)病毒的傳播呈現(xiàn)渠道多樣化、速度快捷的特點(diǎn),危害也在不斷加劇,這對網(wǎng)絡(luò)化審計(jì)系統(tǒng)資源構(gòu)成很大威脅。
(3)系統(tǒng)關(guān)聯(lián)方道德風(fēng)險(xiǎn)
主要指關(guān)聯(lián)方非法侵入企業(yè)網(wǎng)絡(luò)財(cái)務(wù)軟件系統(tǒng),以剽竊財(cái)務(wù)數(shù)據(jù)和知識(shí)產(chǎn)權(quán)、破壞系統(tǒng)、干擾企業(yè)正常交易等產(chǎn)生的風(fēng)險(xiǎn)。企業(yè)關(guān)聯(lián)方主要包括客戶、供應(yīng)商、軟件開發(fā)商,也包括銀行、稅務(wù)、審計(jì)、保險(xiǎn)財(cái)政等部門。企業(yè)與關(guān)聯(lián)方之間的通過外聯(lián)網(wǎng)進(jìn)行業(yè)務(wù)和數(shù)據(jù)交換,這種特殊的交換關(guān)系使關(guān)聯(lián)方之間道德風(fēng)險(xiǎn)的發(fā)生成為可能,尤其是軟件開發(fā)商,他們非法入侵企業(yè)財(cái)務(wù)系統(tǒng)不易被發(fā)現(xiàn),其危害是不容忽視的。
(4)內(nèi)部人員的操作風(fēng)險(xiǎn)
操作風(fēng)險(xiǎn)主要包括操作程序不規(guī)范和操作人員防范意識(shí)不強(qiáng)造成的。如審計(jì)人員或會(huì)計(jì)人員缺乏安全意識(shí)和網(wǎng)絡(luò)安全防范措施,對于網(wǎng)上下載的電子郵件或會(huì)計(jì)信息資源不做安全性技術(shù)檢查、測試,或僅用個(gè)人生日或單位電話號(hào)碼作密碼,這些密碼好記也好破譯,安全性較差。另外,企業(yè)會(huì)計(jì)人員對會(huì)計(jì)數(shù)據(jù)的非法訪問、篡改、泄密和破壞等方面的風(fēng)險(xiǎn)。有資料統(tǒng)計(jì),大部分非法闖入者來自內(nèi)部雇員,這些通曉網(wǎng)絡(luò)知識(shí)的內(nèi)部控制人員通過嵌入的非法舞弊程序,大量侵吞國家財(cái)富或企業(yè)資產(chǎn)。
三、審計(jì)過程中對網(wǎng)絡(luò)風(fēng)險(xiǎn)的估計(jì)、量化
通過以上的比較分析,我們不難發(fā)現(xiàn)在新的審計(jì)環(huán)境下,審計(jì)的風(fēng)險(xiǎn)模型確實(shí)有重構(gòu)的必要性。下面是我對網(wǎng)絡(luò)風(fēng)險(xiǎn)的各構(gòu)成要素的進(jìn)一步闡述,它包括因素構(gòu)成、因素的項(xiàng)目風(fēng)險(xiǎn)評(píng)價(jià)和綜合風(fēng)險(xiǎn)評(píng)價(jià)。網(wǎng)絡(luò)風(fēng)險(xiǎn)具體有6個(gè)影響因素構(gòu)成,用公式表示為:網(wǎng)絡(luò)風(fēng)險(xiǎn)的計(jì)量=被審計(jì)單位的計(jì)算機(jī)財(cái)務(wù)會(huì)計(jì)信息系統(tǒng)的系統(tǒng)漏洞 會(huì)計(jì)信息系統(tǒng)的開放性 最新的病毒報(bào)告狀況 防火墻的性能 以往會(huì)計(jì)信息系統(tǒng)的運(yùn)行狀況 審計(jì)單位自身的信息處理系統(tǒng)的安全性評(píng)價(jià)。
?。ㄒ唬┍粚徲?jì)單位的計(jì)算機(jī)財(cái)務(wù)會(huì)計(jì)系統(tǒng)的系統(tǒng)漏洞估計(jì)
醫(yī)生治病也需要先尋病根,確定網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)大小,自然首先應(yīng)該知道這個(gè)系統(tǒng)的弱點(diǎn)和漏洞,其弱點(diǎn)和漏洞的嚴(yán)重程度是決定整個(gè)系統(tǒng)風(fēng)險(xiǎn)大小的一個(gè)重要方面。而一個(gè)網(wǎng)絡(luò)系統(tǒng)中的漏洞大致可以包括三種不同類型:
1、實(shí)現(xiàn)漏洞:所有的系統(tǒng)實(shí)現(xiàn)都不可能沒有漏洞,盡管設(shè)計(jì)可以是無懈可擊的。軟件“Bug”是最典型的漏洞,例如:著名的sen山mail程序的漏洞被許多人用來獲得系統(tǒng)的非授權(quán)訪問。實(shí)現(xiàn)漏洞在操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)中是不可避免的,并且這些漏洞還無法預(yù)測,往往只能依靠大量的使用來發(fā)現(xiàn),依靠供貨商的升級(jí)和“補(bǔ)丁”,依靠安全專家的警告。
2、設(shè)計(jì)漏洞:攻擊者使用的另一類漏洞來源于設(shè)計(jì)階段,這一類漏洞更難發(fā)現(xiàn),同時(shí)也更難彌補(bǔ),因?yàn)槁┒磥碓从谠O(shè)計(jì),軟硬件實(shí)現(xiàn)完全圍繞設(shè)計(jì)實(shí)現(xiàn)。這種漏洞是固有的,只有依靠重新設(shè)計(jì)和實(shí)現(xiàn)。典型例子仍是著名的sendmail程序,即使sendmail的實(shí)現(xiàn)無懈可擊,仍然可以利用sendmail程序反復(fù)生成郵件,從而實(shí)現(xiàn)拒絕服務(wù)攻擊。
3、配置漏洞:這是攻擊者最喜歡的漏洞,也是最常見的漏洞。配置漏洞來源于管理員(或用戶)錯(cuò)誤的設(shè)置。許多產(chǎn)品制造商在產(chǎn)品出廠時(shí)往往為用戶設(shè)置了許多默認(rèn)的參數(shù),這些設(shè)置基于對用戶環(huán)境的充分信任,以方便新用戶的使用。但這些出廠設(shè)置可能會(huì)帶來嚴(yán)重的安全漏洞。典型的配置漏洞包括:繼續(xù)使用賬號(hào)的出廠默認(rèn)參數(shù),使用默認(rèn)的文件訪問權(quán)限設(shè)置,以及開放有漏洞的網(wǎng)絡(luò)服務(wù)等。
通過以上的漏洞分析,作為注冊會(huì)計(jì)師應(yīng)該根據(jù)被審計(jì)單位的系統(tǒng)狀況對被審計(jì)單位的財(cái)務(wù)會(huì)計(jì)信息系統(tǒng)的安全性做出評(píng)價(jià)。此處,我設(shè)置了3個(gè)水平的評(píng)價(jià)指標(biāo):高、中和低。
高的風(fēng)險(xiǎn),指被審計(jì)單位的財(cái)務(wù)會(huì)計(jì)系統(tǒng)混亂,財(cái)務(wù)軟件漏洞很多,財(cái)務(wù)系統(tǒng)運(yùn)作混亂,不能進(jìn)行相應(yīng)的會(huì)計(jì)信息處理,會(huì)計(jì)信息的真實(shí)性無法保證。
中等的風(fēng)險(xiǎn),指被審計(jì)單位擁有一套比較完善的財(cái)務(wù)會(huì)計(jì)系統(tǒng),但財(cái)務(wù)軟件存在著致命性的漏洞,僅基本上能夠保證真實(shí)性的要求。
低的風(fēng)險(xiǎn),指被審計(jì)單位擁有一套完善的財(cái)務(wù)會(huì)計(jì)系統(tǒng),系統(tǒng)設(shè)置能夠適應(yīng)企業(yè)業(yè)務(wù)發(fā)展的需要,系統(tǒng)中不存在明顯的、致命性的設(shè)計(jì)漏洞,能夠提供真實(shí)、客觀的財(cái)務(wù)信息。
?。ǘ?huì)計(jì)信息系統(tǒng)的開放性
會(huì)計(jì)系統(tǒng)的開放性指能夠接觸到會(huì)計(jì)信息系統(tǒng)的終端用戶的范圍。一個(gè)會(huì)計(jì)系統(tǒng)的終端使用者越多,那么他所面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)越大。在會(huì)計(jì)信息系統(tǒng)的開放性問題中值得一提的是網(wǎng)絡(luò)開放性問題,如果一個(gè)公司的財(cái)務(wù)系統(tǒng)要上網(wǎng)向公眾公告,那么會(huì)計(jì)系統(tǒng)將承受更多的網(wǎng)絡(luò)風(fēng)險(xiǎn)。具體的評(píng)價(jià)指標(biāo)也有3個(gè)即:
高的開放性,指會(huì)計(jì)信息系統(tǒng)要向與Internet相連接,向社會(huì)公告。
中的開放性,指會(huì)計(jì)信息系統(tǒng)只在本單位的局域網(wǎng)中開放,不與Internet相連接,除了滿足公司管理的需要,不需要向社會(huì)公眾公告。
低的開放性,指會(huì)計(jì)信息系統(tǒng)不存在分布式的設(shè)計(jì),不需要聯(lián)網(wǎng)工作,僅僅在財(cái)務(wù)部門內(nèi)部使用,不向外公告。
?。ㄈ┳钚碌牟《景l(fā)布情況
病毒和黑客是計(jì)算機(jī)系統(tǒng)致命的敵人,最新的病毒發(fā)布狀況直接決定了財(cái)務(wù)信息系統(tǒng)在當(dāng)時(shí)的風(fēng)險(xiǎn)因素的大小。如果審計(jì)期間有大規(guī)模的且非常厲害的病毒爆發(fā),那么網(wǎng)絡(luò)風(fēng)險(xiǎn)就會(huì)高,也就要求審計(jì)人員做出大量的技術(shù)處理以避免病毒攻擊,確保信息的安全、可靠。具體的評(píng)價(jià)指標(biāo)也有3個(gè)即:
高風(fēng)險(xiǎn),指在審計(jì)期間出現(xiàn)了大量的新的對系統(tǒng)有致命損害的病毒,且這種病毒的防范措施尚未形成,沒有專門的殺毒軟件可以處理。
中風(fēng)險(xiǎn),指審計(jì)期間出現(xiàn)一些新的毒,但這些病毒對于計(jì)算機(jī)系統(tǒng)的傷害并不是致命,而且采取相應(yīng)的措施可以有效的避免病毒的感染。
低風(fēng)險(xiǎn),指審計(jì)期間沒有新的病毒發(fā)布,一些常規(guī)病毒以被審計(jì)單位目前的技術(shù)水平完全可以應(yīng)付。
?。ㄋ模┓阑饓Φ男阅?/p>
防火墻的性能直接決定被審計(jì)單位的財(cái)務(wù)信息安全狀況。被審計(jì)單位的防火墻性能好,則可以避免前面所說的系統(tǒng)開放性及最新病毒的攻擊問題,從而整體上降低財(cái)務(wù)信息系統(tǒng)的網(wǎng)絡(luò)風(fēng)險(xiǎn)。相反,則會(huì)加重前面的風(fēng)險(xiǎn)系數(shù)。防火墻的性能其實(shí)是前面提到風(fēng)險(xiǎn)的加乘系數(shù),這個(gè)系數(shù)可能是正的亦可能是負(fù)的。如果為正,那么整體風(fēng)險(xiǎn)增加;如果為負(fù),則整體的風(fēng)險(xiǎn)水平會(huì)因?yàn)榉阑饓Φ拇嬖诙档?。具體的評(píng)價(jià)指標(biāo)有2個(gè)即:
高風(fēng)險(xiǎn),指防火墻的性能不穩(wěn)定,對于一些常規(guī)病毒的入侵無法應(yīng)對,防范性能等于0.
低風(fēng)險(xiǎn),指防火墻的性能穩(wěn)定,能夠有效的防范病毒的進(jìn)攻。
?。ㄎ澹┮酝鶗?huì)計(jì)信息系統(tǒng)的運(yùn)行狀況
由于網(wǎng)絡(luò)系統(tǒng)問題的暴露有一個(gè)時(shí)間過程,則會(huì)計(jì)信息系統(tǒng)以往的運(yùn)行狀況對于審計(jì)人員進(jìn)行被審計(jì)單位的網(wǎng)絡(luò)風(fēng)險(xiǎn)水平評(píng)價(jià)具有參考價(jià)值。如果被審計(jì)單位的會(huì)計(jì)信息系統(tǒng)以往的運(yùn)行狀況良好,沒有出現(xiàn)任何的重大錯(cuò)誤,則我們可以推定在審計(jì)過程中,被審計(jì)單位的信息系統(tǒng)不會(huì)有重大的差錯(cuò),可以接受被審計(jì)單位信息系統(tǒng)的數(shù)據(jù),進(jìn)而可以降低整體的項(xiàng)目可接受的審計(jì)風(fēng)險(xiǎn)水平。如果被審計(jì)單位的會(huì)計(jì)信息系統(tǒng)在以往的工作中的表現(xiàn)不盡如人意,那么審計(jì)人員在對被審計(jì)單位會(huì)計(jì)信息系統(tǒng)的數(shù)據(jù)接受時(shí),就要采用審慎的態(tài)度。這里我們設(shè)定的水平指標(biāo)同樣有以下三種:
高風(fēng)險(xiǎn),指被審計(jì)單位的財(cái)務(wù)信息系統(tǒng)以往的工作表現(xiàn)欠佳,曾經(jīng)出現(xiàn)過重大會(huì)計(jì)差錯(cuò)問題。
中風(fēng)險(xiǎn),指被審計(jì)單位的財(cái)務(wù)信息系統(tǒng)以往的工作表現(xiàn)一般,曾出現(xiàn)這樣那樣的非重大差錯(cuò)。
低風(fēng)險(xiǎn),指被審計(jì)單位的財(cái)務(wù)信息系統(tǒng)以往的工作表現(xiàn)良好,以前沒有出現(xiàn)任何的非認(rèn)為的系統(tǒng)處理錯(cuò)誤。
?。徲?jì)單位自身的信息處理系統(tǒng)的安全性評(píng)價(jià)
在網(wǎng)絡(luò)審計(jì)情況下,審計(jì)人員的審計(jì)手段更多的借助于網(wǎng)絡(luò)的高科技產(chǎn)品,計(jì)算機(jī)信息處理系統(tǒng)在各大會(huì)計(jì)事務(wù)所廣泛應(yīng)用。同樣的審計(jì)單位同樣要面對網(wǎng)絡(luò)風(fēng)險(xiǎn)的沖擊。所以審計(jì)單位在對被審計(jì)單位風(fēng)險(xiǎn)進(jìn)行精確評(píng)價(jià)的同時(shí)還應(yīng)對自身的網(wǎng)絡(luò)風(fēng)險(xiǎn)水平進(jìn)行系統(tǒng)的評(píng)價(jià)。審計(jì)單位的評(píng)價(jià)過程可以參閱前面的被審計(jì)單位的評(píng)價(jià)方法,此處我們不在一一重復(fù)。
?。ㄆ撸┚W(wǎng)絡(luò)風(fēng)險(xiǎn)各因素間的關(guān)系
網(wǎng)絡(luò)審計(jì)情況下的對于審計(jì)的網(wǎng)絡(luò)風(fēng)險(xiǎn)的總體水平評(píng)價(jià)可以采用圖表的形式加以說明:
被審計(jì)單位的計(jì)算機(jī)財(cái)務(wù)會(huì)計(jì)信息系統(tǒng)的系統(tǒng)漏洞 |
會(huì)計(jì)信息系統(tǒng)的開放性 |
最新的病毒報(bào)告狀況 |
防火墻的性能 |
以往會(huì)計(jì)信息系統(tǒng)的運(yùn)行狀況 |
審計(jì)單位自身的信息處理系統(tǒng)的安全性評(píng)價(jià) |
高 |
高 |
高 |
高 |
高 |
高 |
中 |
中 |
中 |
|
中 |
中 |
低 |
低 |
低 |
低 |
低 |
低 |
由排列組合的知識(shí)我們知道這里有486種組合方式。鑒于以上對于6個(gè)因素的分析結(jié)果,我們將防火墻性能和被審計(jì)單位系統(tǒng)漏洞兩個(gè)因素的狀況作為評(píng)價(jià)網(wǎng)絡(luò)風(fēng)險(xiǎn)的核心指標(biāo)。
首先,我們從上面的分析中不難發(fā)現(xiàn)防火墻的性能對于會(huì)計(jì)信息系統(tǒng)的開放性和最新的病毒報(bào)告狀況兩個(gè)因素有一定的節(jié)制作用。防火墻的性能狀況直接決定三個(gè)因素的整體風(fēng)險(xiǎn)水平。如果前兩個(gè)因素的風(fēng)險(xiǎn)水平處于高的狀態(tài),但是由于系統(tǒng)的防火墻性能很好,那么前兩個(gè)因素的高風(fēng)險(xiǎn)會(huì)因?yàn)榉阑饓Φ牡惋L(fēng)險(xiǎn)而降低,進(jìn)而三個(gè)因素的整體風(fēng)險(xiǎn)降低。相反,如果防火墻的性能很差,即使前兩個(gè)因素的各自風(fēng)險(xiǎn)都很低,那綜合風(fēng)險(xiǎn)也不會(huì)降低,甚至提高。所以防火墻的性能水平是三個(gè)風(fēng)險(xiǎn)因素的小核心。
其次,被審計(jì)單位的計(jì)算機(jī)財(cái)務(wù)會(huì)計(jì)信息系統(tǒng)的系統(tǒng)漏洞又是整個(gè)網(wǎng)絡(luò)風(fēng)險(xiǎn)的核心。被審計(jì)單位的計(jì)算機(jī)財(cái)務(wù)會(huì)計(jì)信息系統(tǒng)的系統(tǒng)漏洞是根本性的風(fēng)險(xiǎn)因素。如果被審計(jì)單位的會(huì)計(jì)信息系統(tǒng)存在致命性的漏洞,那么整個(gè)系統(tǒng)的綜合網(wǎng)絡(luò)風(fēng)險(xiǎn),肯定不會(huì)是很低的。
此外,審計(jì)單位的風(fēng)險(xiǎn)水平是審計(jì)單位自身可以控制的因素,是一種可控風(fēng)險(xiǎn)。
我們依據(jù)兩個(gè)指標(biāo)的水平狀況對網(wǎng)絡(luò)風(fēng)險(xiǎn)的486種組合進(jìn)行了總體的分類,即高、中、低三檔。具體的:在這486種組合方式中,我將其中含有防火墻性能和被審計(jì)單位系統(tǒng)漏洞兩項(xiàng)為高風(fēng)險(xiǎn)的設(shè)定為整體的高風(fēng)險(xiǎn);相反的情況就為低風(fēng)險(xiǎn);其他的組合方式為中的風(fēng)險(xiǎn)。
針對不同的網(wǎng)絡(luò)風(fēng)險(xiǎn)水平要求審計(jì)人員采取不同的措施。具體的:
高的網(wǎng)絡(luò)風(fēng)險(xiǎn)水平意味著被審計(jì)單位的財(cái)務(wù)會(huì)計(jì)信息系統(tǒng)是不可信的,其數(shù)據(jù)不能采用,其要求審計(jì)人員對于被審計(jì)單位的會(huì)計(jì)記錄進(jìn)行詳細(xì)的審查,追加審計(jì)的時(shí)間。
中等的審計(jì)風(fēng)險(xiǎn)和低的審計(jì)風(fēng)險(xiǎn)意味著被審計(jì)單位的財(cái)務(wù)信息系統(tǒng)基本上能夠提供真實(shí)可靠的會(huì)計(jì)信息,審計(jì)人員可以全部接受,適當(dāng)減少審計(jì)的時(shí)間,加速審計(jì)效率。
四、審計(jì)人員審計(jì)過程中對于網(wǎng)絡(luò)風(fēng)險(xiǎn)的應(yīng)對措施
?。ㄒ唬╅_發(fā)和應(yīng)用審計(jì)軟件對相關(guān)網(wǎng)絡(luò)系統(tǒng)進(jìn)行實(shí)時(shí)跟蹤
網(wǎng)絡(luò)審計(jì)是借助網(wǎng)絡(luò)審計(jì)軟件進(jìn)行的,加強(qiáng)網(wǎng)絡(luò)審計(jì)軟件的研究與開發(fā)是發(fā)展網(wǎng)絡(luò)審計(jì)所必需的。首先,從現(xiàn)在實(shí)際情況和科學(xué)性出發(fā),選擇相應(yīng)的財(cái)務(wù)軟件公司,利用他們在財(cái)務(wù)軟件制作方面的經(jīng)驗(yàn)開發(fā)網(wǎng)絡(luò)審計(jì)測試軟件;其次,對被審計(jì)單位的網(wǎng)絡(luò)系統(tǒng)進(jìn)行評(píng)價(jià),并利用專用的審計(jì)對比軟件,將存放于數(shù)據(jù)庫不同地址的同一數(shù)據(jù)進(jìn)行自動(dòng)比較,以形成相應(yīng)的記錄文件,并對有差異的文件數(shù)據(jù)進(jìn)行詳細(xì)審查;再次,對被審計(jì)單位的自動(dòng)檢測數(shù)據(jù)庫軟件和恢復(fù)軟件進(jìn)行審查和評(píng)價(jià);最后,要對被審計(jì)單位的異常貿(mào)易,通過網(wǎng)絡(luò)進(jìn)行預(yù)警提示,以降審計(jì)風(fēng)險(xiǎn)。
(二)建立審計(jì)服務(wù)信息庫
審計(jì)人員可將被審計(jì)單位的有關(guān)信息,通過網(wǎng)絡(luò)建立一個(gè)完善的大容量的信息庫,把這些信息包括被審計(jì)單位的背景資料、最新動(dòng)態(tài)和一些以前審計(jì)的檔案信息,以便以后開展審計(jì)時(shí)查閱和運(yùn)用,這樣將可大大減少工作時(shí)間,提高工作效率,同時(shí)也相應(yīng)地降低了審計(jì)的風(fēng)險(xiǎn)。
?。ㄈ┘訌?qiáng)對網(wǎng)絡(luò)系統(tǒng)的安全性和保密性進(jìn)行審查
在網(wǎng)絡(luò)中運(yùn)行,信息的安全性即可靠性和保密性構(gòu)成了審計(jì)的風(fēng)險(xiǎn)防范和控制的重點(diǎn)。首先,對網(wǎng)絡(luò)系統(tǒng)職責(zé)分離情況進(jìn)行審查,遵循的原則仍為不相容職責(zé)必須分離,但側(cè)重對數(shù)據(jù)的輸入、輸出,軟件開發(fā)的維護(hù)及系統(tǒng)程序修改或管理等之間的關(guān)系處理進(jìn)行審查;其次,對被審計(jì)單位網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行分析與評(píng)價(jià),以確認(rèn)防范黑客侵入的能力;再次,對被審計(jì)單位的系統(tǒng)容錯(cuò)處理機(jī)制、安全管理體制和安全保密技術(shù)等作深入的了解,以評(píng)價(jià)其系統(tǒng)安全性的等級(jí),從而有效地控制審計(jì)風(fēng)險(xiǎn)。
(四)加快網(wǎng)絡(luò)審計(jì)人才的培養(yǎng)
大批精通網(wǎng)絡(luò)、計(jì)算機(jī)及審計(jì)的人員隊(duì)伍是網(wǎng)絡(luò)審計(jì)能否得以實(shí)施的關(guān)鍵。審計(jì)人員必須經(jīng)常更新自身的知識(shí)結(jié)構(gòu)才能適應(yīng)網(wǎng)絡(luò)審計(jì)工作的需要。這就需要在審計(jì)人員的培養(yǎng)和將來的CPA資格考試中適當(dāng)增加有關(guān)計(jì)算機(jī)、網(wǎng)絡(luò)理論及操作的考察并定期對審計(jì)人員進(jìn)行相關(guān)培訓(xùn)。
?。ㄎ澹┲朴喚W(wǎng)絡(luò)審計(jì)準(zhǔn)則
審計(jì)準(zhǔn)則是審計(jì)工作應(yīng)遵循的規(guī)范和尺度,是提評(píng)價(jià)審計(jì)工作質(zhì)量的權(quán)威性規(guī)則。網(wǎng)絡(luò)審計(jì)對象、線索、方法、流程、結(jié)果等各方面相對于傳統(tǒng)審計(jì)都發(fā)生了變化,以往的審計(jì)標(biāo)準(zhǔn)和準(zhǔn)則已經(jīng)不能完全適用,所以應(yīng)加快新的審計(jì)標(biāo)準(zhǔn)和準(zhǔn)則的制定以指導(dǎo)網(wǎng)絡(luò)審計(jì)工作實(shí)踐的深入。
?。┘訌?qiáng)網(wǎng)絡(luò)審計(jì)立法
網(wǎng)絡(luò)審計(jì)立法是保障網(wǎng)絡(luò)審計(jì)正常發(fā)展的關(guān)鍵性措施。新的《會(huì)計(jì)法》已增加了有關(guān)網(wǎng)絡(luò)財(cái)務(wù)的內(nèi)容,《電子商務(wù)法》起草工作正在加緊進(jìn)行之中,但是上述法規(guī)都不是針對網(wǎng)絡(luò)審計(jì)而發(fā)布的,不能夠滿足網(wǎng)絡(luò)審計(jì)的需要。因此,有必要加快網(wǎng)絡(luò)審計(jì)立法工作的力度和進(jìn)度,使人們在開展網(wǎng)絡(luò)審計(jì)工作尤其是進(jìn)行合法性審計(jì)時(shí)有法可依。
[參考文獻(xiàn)]
[1]董剛毅。網(wǎng)絡(luò)審計(jì)的風(fēng)險(xiǎn)和控制[J].審計(jì)理論與實(shí)踐,2002,(9)。
[2]李金花。論電子商務(wù)時(shí)代的網(wǎng)絡(luò)審計(jì)[J].河南商業(yè)高等專科學(xué)校學(xué)報(bào),2003,(6)。
[3]夏 敏。網(wǎng)絡(luò)審計(jì)的重要性與可行性分析[J].審計(jì)天地,2003,(10)。
[4]曾憲策。網(wǎng)絡(luò)審計(jì)的創(chuàng)新和風(fēng)險(xiǎn)[J].中國審計(jì),2003,(2)。
[5]鄭曉龍,林辛。淺議信息技術(shù)時(shí)代的網(wǎng)絡(luò)審計(jì)[J].經(jīng)濟(jì)師,2004,(4)。
[6]潘立亞?;ヂ?lián)網(wǎng)時(shí)代審計(jì)新概念-網(wǎng)絡(luò)審計(jì)[J].經(jīng)濟(jì)師,2004,(3)。
[7]郭強(qiáng)華,郭望予。企業(yè)網(wǎng)絡(luò)審計(jì)建設(shè)與實(shí)施[J].中國管理信息化,2005,(2)。
安卓版本:8.7.41 蘋果版本:8.7.40
開發(fā)者:北京正保會(huì)計(jì)科技有限公司
應(yīng)用涉及權(quán)限:查看權(quán)限>
APP隱私政策:查看政策>
HD版本上線:點(diǎn)擊下載>
官方公眾號(hào)
微信掃一掃
官方視頻號(hào)
微信掃一掃
官方抖音號(hào)
抖音掃一掃
Copyright © 2000 - galtzs.cn All Rights Reserved. 北京正保會(huì)計(jì)科技有限公司 版權(quán)所有
京B2-20200959 京ICP備20012371號(hào)-7 出版物經(jīng)營許可證 京公網(wǎng)安備 11010802044457號(hào)