前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的网络审计主题范文,仅供参考,欢迎阅读并收藏。
(-)网络会计的特点
与单机处理方式相比,网络会计的特点如下:
1.会计数据共享。网络上的每一台工作站、不仅可以使用本站点上的会计数据,还可以使用服务器中存放的有关会计数据;而服务器中的会计数据,又可以由一台或某台工作站输入和处理产生。用络上的各个工作站被授予不同的权限。对照更换中的会计数据进行该写操作。会计数据在报务器存储器中的位置不需改变,也不需复制,各工作站共享一份完整的会计数据。在网络会计系统中,会计数据共享的具体运用,集中体现为反映会计信息的时序性。例如,只要在管理者的办公室装一台工作站。授予其权限,管理者就可随时查询和掌握企业的各个时点的财务状况。
2.会计功能共享。网络上的任何一台工作站,都享有系统的全部功能。即在任何一个工作站上,都能启动和运行计算机会计系统中某一子系统并正常工作。例如,某部门要进行二级核算,只要在这个部门配备一个网络工作站,由网络管理员授予部门用户一定的权限,由财务系统的主管设置分配一个账套,确定操作员的姓名、口令和建账权限,这个操作员就可以处理本部门的全部账务。在进行必要的权限设置后,主管部门可随时对二级核算部门的账务数据进行查询。
3.会计数据分布式输入。会计数据量大,在输入过程中耗费了大量的时间,会计数据的输入速度直接影响会计数据处理的进程。在大型企业中,输入会计数据占用了极大的时间,而会计数据的处理却由于计算机的高性能而用时很少。计算机网络会计系统中会计数据输入速度和处理速度的矛盾已不明显、可以将不同部门收集的数据由各收集部门分别输入,并大大减少输入人员对数据所涉及的业务不熟悉造成的差错,进而提高了工作效率。
4.会计数据安全性要求高。在网络会计系统中,会计数据的安全性问题显得尤为突出和重要。网络环境下,系统的安全主要通过网络硬件环境和软件环境本身具有的一套安全保障机制来实现。例如,用户注册必须输入口令,对多次注册失败的非法入侵者,网络可在一段时间内暂停该工作站注册入网。
(二)网络会计的新风险
计算机网络的发展使计算机在会计中的应用日益广泛与深入,同时也使计算机网络会计系统的风险防范难度加大。计算机网络会计系统所带来的新风险主要表现在以下几个方面:
1.物理风险。物理风险主要包括:(1)计算机网络会计系统硬件选配不合适,致使网络功能发挥受阻;(2)网络工作环境电源等不合要求直接影响网络的可靠性;(3)网络设备安装不规范,导致网络运行不稳定;(4)网络设计不规范,缺少风险防范措施;(5)网络操作系统的安装、维护不善;(6)网络后理制度不健全;(7)对计算机病毒的侵蚀不重视,没有必要的防范措施等。
2.对会计信息保密性的破坏。从技术上说,任何传输线路都可能被“窃听”、对会计信息的窃听不但可以窃听信息的内容,还可以在不了解信息内容的情况下窃听信息的流量和流向、通信的频度和长度,由此推定有用的信息。对会计信息的截取还包括合法用户采用不正当的手段读取本人权限之外的信息。对会计信息保密性的破坏属于被动型的破坏,不改变会计信息的内容、形式与流向。
3.对会计信息完整性的破坏。对于计算机网络会计系统米和一会计信息完整性的破坏是系统的主要风险。一对会计信息完整性的破坏有人为和非人为的因素。非人为因素表现在通信传输中的干扰、系统硬件或软件的差错等。人为因素又包括有意和无意两种。有意者如非法对计算机网络会计系统的侵入。合法用户越权对网络内会计数据的处理以及隐藏程序对会计数据的破坏等。对会计信息完整性的破坏属于主动型破坏,可以篡改会计信息的内容、形式与流向。
4.对系统运行的干扰。对计算机网络系统运行的干扰包括合法用户不能正常访问网络的资源和有严格时间要求的服务不能得到及时的响应。影响计算机网络会计系统正常运行的因素也有人为和非人为两种。人为因素如非法占用网络资源、切断或阻塞网络通信、通过计算机病毒降低网络的性能、致使网络瘫痪等。非人为因素如灾害事故、系统锁死、系统故障等。
(三)网络会计审计的特点
由于网络会计实现了资源(硬件、软件、信息等)的通讯和共享,从而给审计工作带来了新的特点。
1.审计的地理范围扩大
在单机系统中,电算化会计工作一份集中在会计部门的一台计算机上,审计人员只需要对这台计算机的控制问题以及其中的程序、数据进行审查即可。但在网络系统中,电算化会计工作有可能并不在会计部门,而是在企业的电算化部门,而且,各个终端在地理位置上也是分散的、因此,审计人员必须到更多的地方去了解每一个终端的使用情况。
2.审计的业务范围扩大
在单机会计软件中,一般只有单纯的会计核算功能,但在网络系统中,可以实现各个业务功能之间的数据传递和共享,功能更加全面,有的甚至于形成了MIS、MRP、ERP系统。这样,会计系统和其他信息系统就存在着密切的信息传递关系。因此,审计人员必须熟悉更多的企业业务,才能理清会计数据的来龙去脉。
3.审计的频度增大
在网络系统中,由于各个部门可以随时将本部门的数据格人并进行处理,因此,数据的更新速度快。如果审计人员不能跟上系统更新的频率,不能及时调查和获取一些中间结果,就很难作出审计判断。从而使审计工作也具有了“实时”的特点。
4.审计的技术手段更离
网络系统较单机环境面临更多的安全问题,因而,与单机环境相比较所采取的内部控制更为复杂。因此,审计人员要想了解更多的控制和有关的控制制度,就必须掌握更多更先进的知识和审计技术手段。
5.审计的风险增大
在单机环境下,可以为计算机创造一个相对独立、良好的环境,防止无关人员的物理接触和非授权使用。但在网络系统中,由于各终端的分散,对各终端的控制变得很困难。因为可能会有未经授权人员利用终端访问系统。另外,网络中的传输线路、接口等都可以成为安全隐患。此外。由于在网络系统中可以由各个终端输入数据。使得输入出错率增大。如果在网络系统中处理的实时性差,又会使有些错误很快蔓延,从而使网络中的错误更难查找和纠正。
二、网络会计审计的内容及其应遵循的控制原则
1.审查计算机网络会计系统的硬件。计算机网络会计系统硬件的主要控制问题是硬件的责任性与相容性。硬件的责任性是指硬件应具有明确的控制特性,能让经授权的使用单位或人员在其授权范围内有效地使用硬件,并能预防、制止及记录非法的接触和破坏,使硬件的管理和使用的责任能明确划分。硬件的相容性是指系统内所有节点的计算机及设备,均可不经转换,即可接受或处理另一节点计算机所产生会计数据的能力。
计算机网络会计系统的硬件是否具有合理的责任区分能力,是确定系统可靠性与完整性的主要依据。审计时应对硬件的责任性与相容性进行测试。应选择适当的测试方式,并选择该方式使用的审计工具与技术,确定其是否遵循以下控制原则。
(1)制定适当的硬件责任性与相容的验收标准,使计算机网络会计系统的控制处于一定的水准之上。
(2)各节点的使用者,应保存完整的硬件使用记录,以便事后检查和明确责任。
(3)硬件所具有的各种控制特性,应充分
加以利用,以防止非法破坏。
(4)使用或改变系统内所存储的会计数据时,应事先经过允许,并记录使用或变更情况。
(5)规定设置若干备用硬件,以供紧急使用。
2.审查计算机网络会计系统的控制事项。控制分散是计算机网络会计系统的最主要问题。由于控制的分散和缺乏控制标准,使得计算机网络会计系统处理结果的正确性与完整性受到影响。审查计算机网络会计系统的控制事项,应就控制的适当性、控制标准的制定以及控制的主动性等方面进行测试。应选择适当的测试方式,并选择该方式使用的审计工具与技术进行审查,以确定其是否遵循以下控制原则。
(1)明确规定哪些业务应纳入计算机网络会计系统进行处理;对于计算机网络会计系统的建立,应制定详细的计划和进度表;每项业务在转入计算机网络会计系统时,应制定详细的转换计划。
(2)应制定详细的人员培训计划,使应用计算机网络会计系统的所有人员都能够接受适当的训练。
(3)在计算机网络会计系统正式投入使用前,应建立适当的验收标准。
(4)应建立适当的监督程序,以监督错误处理发生的次数和时间等。
(5)严禁一个工作站逾越另一工作站的处理规则,或代为输入主要指令,以避免计算机网络会计系统处理上的混淆。
(6)各工作站发出的信息,应坚持是否均含有有效的目的地址。
3.审查计算机网络会计系统的处理事项。计算机网络会计系统的处理事项,包括系统使用的应用程序、操作系统以及操作人员操作设备。这三部分的结合运用,使计算机网络会计系统的硬件能有效地运转。审查计算机网络会计系统的处理事项,应就系统处理能力的完备性与可制定性、操作人员训练的适当性等进行测试。应选择适当的测试方式,并选择该方式使用的审计工具与技术,确定其是否遵循以下控制原则。
(1)各工作站处理单位间通信的接收与传输方法、系统停顿后重新开始与恢复的步骤等,均应编成作业手册分送各处理单位。
(2)基于审核与备用的目的,从其他工作站所收到的信息,均应记入日志中,以供审查。
(3)计算机网络会计系统的各种处理要求,均应制定详细的处理计划。
(4)计算机网络会计系统信息处理的优先性应予明确,使最重要的信息与处理能优先传送或完成。
4.审查计算机网络会计系统的数据。数据定义的一致性是计算机网络会计系统的主要问题。计算机网络会计系统的各个节点之间虽然有一定的独立性,但数据的定义方式应有统一的规定,并应禁止各节点按本身的需要擅自定义。
审查计算机网络会计系统的数据,应就数据的共同使用、数据库的控制方法以及数据定义等方面进行测试。应选择适当的测试方式,并选择该方式使用的审计工具与技术,确定其是否遵循以下控制原则。
(l)为使各个工作站明确数据正确性的责任,应设定适当的锁定措施,以防止两个以上应用作业同时存取同一数据的情况发生。
(2)为提高数据的使用价值,计算机网络会计系统的任一工作站点的会计数据,应能与其他工作站点相互流通。
(3)由各工作站送出的每一信息,均应附有发送单位及该信息预期接受者的识别码。
(4)建立数据定义的统一规范,规定所有使用单位均应采用标准的数据定义,并禁止任何使用单位任意重新定义数据。
(5)计算机网会计系统内的数据库,在需要时,应能重新归并为以整个机构为范围的数据库。
(6)当共同数据需要更新时,应规定同时更新其他数据库内所有相同的数据。
5.审查计算机网络会计系统的安全事项。在网络环境下,随着处理的分散,各终端负责数据处理的人员平均技术水平将下降,对通信线路的依赖程度加重,增加了安全上的隐患。由于硬件、数据、处理以及控制的分散,计算机网络会计系统需具备的安全性,大大超过单机计算机会计系统应具备的安全标准。大量的会计信息穿梭于计算机房与其通信线路之间,因此,必须兼顾通信线路与计算机机房的安全。审查计算机网络会计系统的安全事项,应就传输线路的安全、资源指派的灵活性等方面进行测试。应选择适当的测试方式,并选择该方式使用的审计工具与技术进行审查,以确定其是否遵循以下控制原则。
(1)各工作站处理应放置于安全场所,只有经过授权批准的人员才能使用该设备。
(2)各工作站处理机,仅供该工作站经授权的应用作业使用。
(3)记录使用者的用户口令,以有效识别使用单位,防止未经授权的人员滥用计算机网络会计系统资源。
(4)在未经授权企图由一工作站处理单位接触另一工作站处理单位的数据时,系统应立即中止企图获取数据的工作站处理机的使用。
(5)为保护机密性和敏感性数据,计算机网络会计系统应采用如回叫技术、密码技术、特殊接触控制等控制措施。
(6)在工作站处理单位不运行的时间,计算机网络会计系统应予关闭。
(7)各工作站的安全处理程序应作成“书面”规定,如有变化,应随时更新,同时定期进行复核,以确定实际作业符合规定的安全目标,如遇有妨碍安全的事项,应自动载入控制报告,以便于追查。
(8)计算机网络系统的所有指令应完整地载入计算机日志中,以使监督人员复核。
(9)建立比单机系统更完整的意外事件应变计划,并经常测试。
三、网络会计审计应注意的几个问题
对计算机网络会计系统的审计目的与单机会计系统审计的目的相同。但是在执行计算机网络会计系统审计时,应注意以下几方面问题。
l、审计范围的问题。在单机会计系统中,审计人员关注重点在于内部控制的符合性测试和数据文件的实质性测试;而在计算机网络会计系统中,各工作站所执行的只是整个子系统中的一部分功能,任何一个工作站所提供的信息都是日常经常活动中不可缺少的组成部分。因此,要对计算机网络会计系统作出评价,审计的范围将涉及服务器、工作站、传输介质、计算机网络会计软件等部分。
一、Internet对审计的影响
1.Internet改变了审计信息的收集方式。收集审计信息主要是收集审计证据。《国际审计准则——审计证据》认为获取审计证据的方法包括检查、观察、询问及函说计算、分析程序。我国《独立审计具体准则第5号——审计证据》中提到的方法与其基本相同、有检查、监盘、观察、查询及函证、计算。由于在网络条件下,所有现金、库存材料和各项固定资产等实物由计算机实时动态地进行管理,所有凭证、帐簿、报表及各种书面文件均已成为网络上的电磁信号,口头询问和函询均可从网上进行交谈和发电子给上的电磁信号,口头询问和函询均可从网上进行交谈和发电子邮件等方式,各种计算与分析都可借助计算机来进行。因此与传统的做法有很大不同,将大大增加收集审计证据的实时性、可靠性,也将大大减低审计证据收集的成本。对被审单位审计信息的收集主要分为两个方面:
首先是对被审单位内部审计信息的收集。在被审单位建立了Internet的条件下,对于内都审计机构而言,可以在审计部门安装Web服务器,或者在信息中心提供专门用于审计方面的Web服务器,通过运行后台的运行程序,从企业内部的财务、劳资、仓库、销售、生产等部门汇集到数据库服务器的各种管理数据中收集审计所需信息,建立审计数据仓库。各个部门、各个岗位只要通过浏览器和极少量的应用程序就可以输入有关数据,通过Web服务器存入到数据服务器中。外市机构则在获得必要权限条件下,可进入防火墙,并利用web服务器获取所需的审计信息。
其次是对被审单位外部审计信息伪收集。在Intranet与Internet挂接的情况下,审计部门可通过其从Internet上收集国内外有关经济、金融、财税、贸易、法律、政策等与审计有关的信息,加以存储和整理。例如依法审计是审计工作十分强调的,浩瀚的法规就可通过它收集法规制定部门在Internet上的有关法规信息。在Intranet扩展到Extranet的条件下,可以收集与被审企业有关供应商、客户的有关购、销款项结算以及应收、应作预收、预付款项等审计信息。
2.Internet改变了审计信息加工方式。在Internet条件下,随着凭证、帐簿等纸质载体的消失,以及网络信息系统本身强大的核对、检查和内部控制功能,除了在某种特定条件下还需要由人来监盘实物库存、实地观察物质的流动及其记录外,传统意义上的查帐(无论是纸面的还是电磁借号的)已无存在的必要。长期以来作为“观其会计”的审计,将为“网络审计”所代替。随着数字经济时代的数字,作为独立的专门从事经济监督、评价、鉴证活动的数字经济审计必将大大发展。所谓数字经济审计也就是掌握网络技术、计算机技术、现代通讯技术和经济管理与财务会计技术的一批审计师来从事独立的经济监督、评价和鉴证活动,其工作主要是审计数字经济系统的设计与其运行过程,审计网络的安全性与可靠性、审计数字经济系统的内部控制情况。即主要工作不是审计企业财务状况及其经营过程所取得成果的数字本身,而是审计企业财务状况及其经营过程所取提成果的数字的形成过程。
3.Internet改变了审计信息的输出、传送、存贮和检索等方式。由于网络的高度信息共事性、实时性和动态性,因此审计信息的输出,如上市公司报表信息的充分披露,与审计有关法规的,电子邮件的收发和网站信息的上载与下载,审计电子文书和统计信息的网上传送,审计信息的存贮与检索等,都可充分运用Internet和Intranet进行。在有条件的情况下,还可利用铺设光缆的专用网线来传送审计信息。这方面的应用实际上也是审计工作本身的办公自动化,与其他领域网络技术和现代通讯技术的应用是相似的。
二、网络财务与网络审计
Internet/Intranet技术力财会信息系统由核算型向管理型、决策型的转变提供了技术上极其广阔的自由空间,其标志就是网络财务的兴起。网络财务作为财务会计与计算机网络相结合的崭新概念,是指基干网络计算技术,以整合实现企业电子商务为目标,提供互联网环境下财务管理模式、财会工作方式及其各项功能,从而能够进一步实现管理的数字化,最终实现管理信息的财务管理软件系统。它是数字经济的产物。是与电子商务的出现相伴而生的。网络财务包括企业内部财务与业务的协同化:从网上采购到网上销售,从网上支付到网上货款回笼,企业与供应链的协同,网上询价、网上催帐等,以及企业同社会相关部门的协同,网上银行、网上保险、网上报税等。这显然都要进行网上审计。网络使得企业与企业、企业与客户千山万水距离之间的资金往来,变成屏幕上从某个图标到另一个图标之间的距离。企业财务管理可以延伸到地球上任何一个接点,可可顺利地实现远程报帐、远程结帐以及远程报表。同样可以实现远程查询和远程审计。网上交易和结算活动是即时的,动态会计和动态财务突破了原先会计周期的制约。使国际公认会计准则的一些重大原则面临着挑战,使基于公认会计准则和独
立审计准则进行的审计也面临挑战。网络财务的在线处理办公及网上理财也为网络审计提出了新的课题。
网络财务对审计带来影响的另一个突出表现是自助式会计软件的兴起。在这种情况下,网络审计不再局限于对被审单位经济活动的审计,而是扩大到对提供下载财务会计软件的网站以及网上为广大用户进行记帐、算帐、报帐及理财活动的那些公司,即审计客体也发生了变化。
三、网络审计的特征与开展
网络审计作为计算机桌面审计系统向网络化发展的一种新的模式包括两大领域:一是对电算化会计信息系统设计、数据处理过程和处理结果进行审计,进一步发展成为对网络财务、网络会计、电子商务、电子支付、电子结算多网络化了的各种系统的设计及其运行结果进行审计;二是作为审计工作的辅助手段。将计算机技术、信息技术、网络技术。现代通信技术应用于办公自动化的各种手段引入审计工作,建立审计信息及辅助审计的网络系统。
研究网络审计的模式,首先遇到的是网络安全性和网络系统的内部控制审计问题。这与传统审计相比,有着根本不同,必须采用专门技术。从审计模式的主体角度而言,网络审计是建立在网络基础上辅助审计的信息系统,是数字经济下的一个新生事物,在其设计过程中将会遇到许多新的问题。从审计模式的客体角度而言,对被审网络系统的审计包括对被审网络系统开发过程、运行过程、结果以及内部控制进行审计,而被审对象从桌面系统向网络系统的发展,促使了审计由桌面审计系统向网络审计系统的发展。
目前,西方发达国家已普遍实行了计算机审计,许多单位的电子数据处理系统相互联接成为企业局域网,会计师事务所或审计机关可将自己的计算机终端联至这些计算机网络上。审计时,审计人员只要在自己的终端就可调取被审单位的有关资料进行审计。即实行网上审计(由桌面走向网络),使计算机审计发展到了较高水平。不少国际性的会计公司,成立了专门机构,研究计算机审计技术,负责计算机审计实务、近年来,国际软件市场出现许多通用或专用计算机审计软件,审计软件的商品化反过来又促进计算机审计事业的发展。
关键词:网络会计;审计;影响
1 审计重要程度的加强及风险的增大
网络会计信息系统以计算机和通信网络为基础,它对计算机系统强烈的依赖性潜伏着巨大的威胁,控制不灵、使用不当就可能造成灾难性的后果,并且存在计算机病毒和“黑客”的肆意侵袭、计算机犯罪等等都导致会计信息失真的风险。因此,审计人员不仅要对经济业务活动产生的数据是否真实、正确、合法进行审计,而且还要对网络会计系统的硬件和软件,进而对整个会计信息系统的安全性、可靠性、内部控制的健全性与有效性等方面进行审计,从而指出被审单位会计信息系统内部管理和控制上的薄弱环节,提高会计信息的可靠性和真实性,有效地利用计算机随意篡改会计数据或破坏磁性介质上的数据等舞弊行为的发生。因此,这网络会计信息系统中,审计工作的重要性远远超过以望。同时,电子商务和经贸活动的网络化使企业与外部的信息交换更为频繁、快捷,经营周期大大缩短,交易活动呈现很强的实时性。审计风险是指会计报表存在重大错报、漏报而审计后发表不恰当审计意见的可能性。理论上讲,审计风险由固有风险、控制风险、检查风险组成。电子商务环境下,审计风险日益复杂:
(1)过渡依赖网络系统。电子商务环境下,主要审计证据来自于网络,其可靠性高度依赖网络系统的可靠性和安全性,而网络系统的开放性导致审计控制风险更加难以确定。
(2)病毒与黑客风险。计算机病毒和黑客可以从地球任何一个角落攻击会计信息系统的数据,给系统造成破坏,导致固有风险增大。
(3)审计线索模糊。电子商务环境下,网络财务会计系统的设计可能使一个完整的交易轨迹只保留一段时间或设计成计算机可读性,可以人为修改数据而不留任何痕迹。因此,私人违规接触会计数据或修改数据以及接触资产而又不留下显见证据的可能性增大。审计线索的不可见性,使检查风险增大。
2 审计线索和审计方式的改变
审计线索对审计来说是极为重要的。审计工作中,审计人员正是通过跟踪审计线索,审核有关经济业务和收集审计证据的。而审计的过程,实质上就是不断收集、鉴定和综合运用审计证据的过程。在传统商务活动过程中,每笔交易都有一个完整的审计线索,交易的每一环节都有文字记录,都有经受人签字,审计线索十分清楚。审计人员可以从原始单据开始,对交易事项进行追踪,一直到报表为止,也可以从报表开始,追根寻源,一直追溯到原始单据,从而形成了顺查、逆查等审计方法。但是,在网络会计系统中,传统的单据没有了,纸质记录消失了,代之的是粗有数据处理资料的磁盘、磁带、光盘等,这些存储在磁性介质上的信息是机器可读的,它们不再是肉眼所能直接识别的了。审计所需的线索和证据完全可能由审计人员通过网络从其他有关方面获得。从而实现了审计线索、审计证据来源的多样化。
在网络世界里,企业的生产和经营的组织形式将处于多样化,并随着不同交易事项自由合成新的经营主体-虚拟企业(Virtual Firms)。虚拟企业存在于计算机网络之中,它是一种临时组成的,没有固定形态和明确空间范围的结合体。它可以随业务活动的需要,由若干相互独立的公司经过整合、重组而成,也可以随交易业务的完成而随时中指。电子商务使得虚拟企业的交易可以在瞬间完成,虚拟企业也就可能在交易完成后立即解散。网络社会的虚拟企业,其存续的时间可以很厂,长达几年或几十年,也可以很短,只存在几秒钟。故虚拟企业的快速结合与解散,要求审计工作必须随时、随地进行,实时、即时提供审计信息,而不能按照传统的审计工作要求,定期提供审计信息。
3 审计内容的拓宽
在网络会计系统中,审计的监督职能并没有改变,使审计的内容发生了相应的变化。首先,网络会计系统的特点及其固有的风险决定了审计内容必须包括对网络会计系统处理和控制功能的审查,以证实其对交易事项的处理是否真实、合法及安全可靠,这是传统审计所没有的;其次,由于网络会计系统已经开发完成并投入使用后再对它进行修改优化,要比在系统设计阶段对它改过困难得多,代价也昂贵得多。因此网络会计系统的设计应有审计人员(一般是内审人员)的参加。在系统设计开发阶段,审计人员要提醒开发人员注意并监督审查下列问题:
(1)系统的功能是否恰当、完备,能否满足用户商务活动的需要;
(2)系统的数据流程、处理方法是否符合有关贸易法规;
(3)系统是否建立了恰当的程序控制,以防止或发现无意的差错或有意的舞弊。
4 审计方法与技术的改进
在网络会计系统中,审计的对象发生了变化,大量的证据都存储在肉眼不可见的磁性介质上,对这些证据,审计人员只能利用计算机技术进行审查、核对、分析、比较等各项审计工作,从而提高审计的效率与质量。在对会计活动进行审计时,单机系统环境下的审计方法有的已不使用。而网络技术的发展为网络审计软件的开发提供了技术支持,为审计提供了更为便捷的审计方法与技术。具体来讲,审计方法应具有以下特点:
(1)从审计数据获取来看,审计人员可以利用审计接口软件直接获取数据,同时可以通过文件传输、远程登录、网络浏览、电子公告或新闻组等网络工具远程获取信息;
(2)从审计信息的加工处理来看,可以借助各种审计软件对获取的信息进行快速、准确地加工和处理;
(3)从审计报告阶段来讲,可以利用网络发表审计报告,提高报告的时效性,同时扩大审计报告的适用范围。
5 对审计主体的相关要求
审计主体即实施审计监督的执行者,也就是审计机构和审计人员。网络系统的发展应用,使得审计人员必须渗透到网络系统的设计、实施、计算机的应用程序,甚至到每一个数据文件中去。为适应网络会计的发展,审计人员应该树立起全新的思维观念:
(1)树立创新意识。网络会计本身是创新的产物,而且远未成型,正处于不断创新和变革之中,同时也源源不断给审计人员带来了挑战。审计人员必须树立创新意识,针对网络会计带来的新情况、新问题,建立全新的审计理论和审计模式,积极探索在新的网络环境下审计目标、审计对象、审计测试、审计准则等方面的理论和方法,这既有利于解决审计面临的难题,同时也有助于推动电子商务的发展。
(2)树立竞争意识。网络会计的兴起,打破了传统的行业壁垒,同样的业务可能为多种行业共享,审计在开展此类业务时将无法享有专有权,尤其计算机网络系统鉴证等业务,其他非审计职业人员同样可以提供此类服务。同时,随着经济全球化,国外会计师事务所机构已经开始进入国内,对国内审计人员和审计机构也形成挑战。国内审计人员必须洞悉市场竞争的变化,调整竞争策略,及时掌握前沿技术,取得竞争优势。
参考文献
[1]刘峰.试论电子商务对审计的影响[J].软科学,2002,(3).
[2]梁心杨.浅论电子商务对审计的影响[J].河北审计,2000,(10).
在我们跨入21世纪之际,由现代信息技术,特别是网络技术引发的全球信息化浪潮冲击着传统社会生活的每一个角落,网络化、数据化、知识化已成为时代的主旋率,一个新的时代——网络时代开始。网络时代整个社会经济的产生结构和劳动结构发生了改变,整个社会经济成为了与电子商务紧密相连的网络经济。这种全球化的、高速度、低成本、虚拟化的,不断创新的经济模型改变了传统的企业管理模式、经营模式和会计模式,与其紧密相连的审计在网络时代的创新也就成为了必然。
一、审计对象的创新——电子商务审计
以网络为基础的电子商务广义上指通过各类计算机网络进行的一切商业活动。电子商务以及低成本、高效率等特征吸引着大多数企业,企业纷纷通过建立自己的网站或网络服务公司的商业网站,拓展商贸渠道,进行网上交易、网上支付结算,并使信息网络化。企业经营活动和经营活动的信息载体的拓展也就是审计对象的拓展。另外,以电子商务为基础而形成的各种虚拟企业,构成了网络经济中经营主体的一部分,这种新型的经营主体将会被纳为审计对象。因此,网上交易审计,网上支付审计,虚拟企业的审计便构成电子商务审计的具体内容。
(一)网上交易审计。当今为了适应网络、通信和信息技术的快速发展,企事业单位都在改变自己的组织结构和运行方式,相继拓展电子商务业务。电子商务可以扩展市场,增加客户数量,并能记载反映客户对产品的偏好,通过电子商务,企业可以缩短企业运作的周期,降低商务成本。在1999年由Cahers出版公司对400家进行的调查中,52%的拥有千人以上员工的公司把网络世界视作扩大市场份额的最好志气注册会计师在审计客户传统的购产销业务之外,还必须对客户网络进行的交易即网上购销业务进行审计。进行网上交易审计时,要注意到网上交易的无纸质电子凭证、电子单据,不受空间限制,瞬时性等特征。注册会计师人员可以通过客户应用的网络系统中预留的接口,进行终端联机,通过模拟处理,评价网络系统对网上交易处理的安全审查。通过网络传递取得更可靠的审计证据,以对网上交易的完整性、存在性进行认证。从而对企业的网上交易业务的确认、计量、报告的真实性、合法性进行评价。
(二)电子支付审计。电子商务这种新的贸易方式,带动新型的支付方式的形成,电子支付是电子商务的重要组成部分。电子支付方式不同于现金、支票、汇票等纸质票据的支付结算,它是一种适应于网络的,方便、快捷、无纸化的货币结算方式。电子支付方式包括金融交易卡和数字货币。金融交易卡包括以磁卡为媒介的信用卡和IC卡(智能卡),这种交易卡在传统的商务活动中也可以使用。数字货币则是只在网络上流通的无形货币,它是由一组数字构成的特殊信息,包括数字现金、数字支票、数字信用卡。针对电子支付手段的多样性,注册会计师人员在对电子支付进行审计时,首先要审查客户的网上交易是采用哪一种或几种电子支付手段,然后结合各种电子支付手段的特性,实施具体的审计。例如,对数字现金支付方式进行审计,数据金是一连串的数据位,连串的数据位只使用一次。审计人员可以通过网络系统中的中央清算机制审查每一笔交易(也可以进行抽样审查),看是否有相同的数据串被多次使用。还可以通过电子钱包管理器,电子交易记录查看客户银行帐号上的收付往来数字货币帐目、清单和数据。也可以通过网上银行进行往来结算对帐,或向网上银行进行函证。安全控制是网上支付的核心问题,注册会计师应予以重视,通过对客户的网上交易的安全性控制了解了解和审查,防止因欺骗、窃听、冒用和未经授权的篡改等非法行为而致使电子货币资产遭受损失。通过电子支付的审计,以确保客户的电子货币资金资产的安全、真实、正确和完整,这实质是网上交易审计的一部分。
(三)虚拟企业的审计。网络技术的兴起,使得一些看不见、摸不着的网络企业、网上企业、国际企业以及以信息资源为主导服务的信息中介服务企业如雨后春笋般地建立和发展起来。这些形式新颖地企业都是虚拟化的,即是虚拟企业,即是虚拟企业。虚拟企业将不同地区的现有资源迅速组合成为一种没有围墙,超越空间的约束,靠电子网络手段联系,统一指标的经营主体,以最快的速度推出高制裁量、低成本的新产品。虚拟企业作为一个以盈利为目的的经营主体,在运作上同普通企业一样,必须进行网上税务注册登记并缴税(虽然目前许多国家暂缓对上网和电子商务征税),通过网络披露虚拟企业的经营业绩、财务状况、电子货币资金流动情况,随着虚拟企业的迅速成长和发展,将会向公众发行股票成为上市公司。这样对虚拟企业的审计也就成为了必然。进行虚拟企业的审计时,要了解虚拟企业经营的网络环境、网络技术设备;结合虚拟企业的边界模糊性、存续即时性、货币计量电子化等特征;运用网络技术和审计方法相融合的手段,对虚拟公司实施网上适时性审计,以实现审计目标。(对虚拟企业适时性审计的具体审计程序还有待探讨)
二、审计技术的创新——会计信息化审计
网络经济时代,网络技术在会计领域的应用与发展,使得会计技术手段从电算化会计跨越到了会计信息化阶段。会计信息化的本质是会计与现代信息技术(主要是网络技术)相融合的一个发展过程。会计信息化系统是一个由人、电子计算机系统、网络系统、数据与程序等有机结合的一个人机交互作用的“智能型”系统。这个系统表现出集成性、简捷性、开放性、多元性、实时性等技术特征,使会计工作的重心从核算转向管理。会计的信息化必将导致会计信息化审计。会计信息化审计的本质是审计与现代信息技术(主要是网络技术)相融合的一个发展过程。其目标是通过审计与现代信息技术的有机结合,评价控制会计信息系统,实施审计监督服务,以促进经济发展和社会进步。在网络系统中,注册会计师人员通过审计客户的信息接口转换,根据授权,在网上直接调阅客户的会计信息。这些会计信息包括货币形态的信息和非货币形态的信息(如职工的招聘与下岗);数字化信息和图形化信息(如财务分析预测的直线图);现代化信息和未来信息等。通过对这些信息的调阅与审查,注册会计师人员便可以开展多元化的、实时的审计程序。网张世界中,我们所在的校园与纽约的距离并不比相邻的两个寝室更遥远。网络技术的应用,空间已不再是执行审诉的制约因素,这样境外审计、环境审计等就变得更加容易。网络在会计中的应用,会带来诸多安全问题,如篡改数据、信息丢失、黑客入侵、计算机病毒等,在会计信息系统中,安全性是必须考虑的核心问题。会计信息化审计应把网络会计系统的安全审计作为重点。注册会计师人员应在了解企业网络基本情况、安全控制目标、安全控制情况及潜在漏洞等基础上,对企业现存的安全控制措施进行测试。如是否有有效的口令控制,数据是否加密,职能权限的管理是否恰当,是否有持续的供电设备和有关备份设备,对计算机病毒的防范与控制措施是否得当等。在会计信息化审计技术的发展过程中,会计师事务所可以建立自己的网站,将事务所的基本情况、组织结构、业务范围、服务宗旨,客户授权的有关会计信息及对客户实施审计程序后所产生的审计信息全部都纳入会计师事务所的信息网中。会计师事务所可以通过网络获以客户,签定业务约定书,传递和送审计报告等,从而形成开放的信息化审计体系。但为了防止网上泄密和恶意攻击,会计师事务所应将信息网中的信息进行加密,实行签名机制,并设置安全系统如回收设备,防火墙技术等。使得审计职业道德准则中的保密性原则得以遵守。
一、引言
审计作为一种独立性的经济监督活动,是国家经济运行的免疫系统。随着信息技术的发展,组织的运行越来越依赖于信息技术。信息化环境下信息技术不但成为审计的对象,同时也成为审计的工具。为了适应我国审计信息化建设的需要,审计署已经成功开展了“金审工程”一期和二期的建设工作。同时,为了更好地实现审计工作“从单一的事后审计变为事后审计与事中审计相结合,从单一的静态审计变为静态审计与动态审计相结合,从单一的现场审计变为现场审计与远程审计相结合”这三个转变,国家审计署还成功开展了相关课题研究,探索了适合我国国情的联网审计实施方案。云计算技术的出现为今后开展联网审计提供了机遇,因此,研究云计算环境下的联网审计具有重要意义。本文结合云计算技术的研究与应用现状,研究云计算环境下的联网审计实现方法。
二、研究云计算环境下联网审计的必要性
(一)联网审计的特点
联网审计是指审计机关与被审计单位进行网络互连后,在对被审计单位财政财务管理相关信息系统进行测评和高效率的数据采集与分析的基础上,对被审计单位财政财务收支的真实、合法、效益进行实时、远程检查监督的行为,是一种“全新的审计理念与审计模式”(王刚,2005)。联网审计的原理如图1所示(国家863计划审计署课题组,2006;王智玉,2010)。从图1可以看出,联网审计在技术实现上主要分成四个部分:
1.数据采集:主要是完成对被审计单位电子数据的采集。目前,联网审计数据采集的实现是通过在被审计单位数据库服务器端放置一台称之为“数据采集前置机”的服务器,通过安装在“数据采集前置机”中的审计数据采集软件完成联网审计的数据采集工作。
2.数据传输:把采集来的电子数据通过网络传输到审计单位,以供审计分析使用。
3.数据存储:对于采集到的电子数据采取一定的方式进行存储。
4.数据分析处理:主要是对采集来的电子数据进行分析处理,发现审计线索。
基于以上分析,我国正在研究与实施的联网审计也可以看成是面向数据的联网审计,其原理可以看成是一个基于对采集来的审计数据进行分析,获取审计证据的过程。概括来说,我国的联网审计主要有以下特点:
1.联网审计环境下,审计数据被采集过来集中存储,数据量大,需要可扩展的数据存储设施。
2.某一行业的数据集中,为数据的比较分析提供了基础,数据信息全面,隐藏的或未知的信息较多,采集来的大量数据为审计数据分析提供了基础。为了能做到事中审计,或者是实时审计,需要强大、高效的数据处理设施。
3.在联网审计的各个环节,影响数据真实性和完整性的因素很多,为了能得到正确、可靠的审计证据,必须保证被采集来的数据是真实的和完整的,以减少审计风险。
(二)云计算的原理及特点
云计算是基于互联网的相关服务的增加、使用和交付模式,通常涉及通过互联网来提供动态、易扩展、且经常是虚拟化的资源。云计算包括的三个层次的服务模式如下:软件服务(SoftwareasaService,SaaS):为很多用户提供应用软件服务,用户不需要日常的IT操作人员。平台服务(PlatformasaService,PaaS):为很多用户提供运行应用软件的环境,用户需要维护自己的应用软件。设施服务(InfrastructureasaService,IaaS):为很多用户提供运行应用软件的环境,用户需要有自己的技术人员,如系统管理员、数据库人员、开发人员等。
概括来说,使用云计算主要具有以下优点(Armbrust等,2010):
1.可提供动态变化的计算环境。云计算平台能够按需对服务进行配置和管理,可以支持多种不同类型不同需求的应用;云平台能够根据需要分配资源,具有可伸缩性,对业务具有灵活性。
2.数据存储能力强大。云计算平台可提供海量存储环境,能够按需进行数据存取,支持海量数据管理和存储业务。
3.减少成本。使用云计算能够极大地提高硬件利用率,并能够在极短时间内升级到巨大容量,而不需要用户自己频繁地投资构建新的基础设施、培训新员工,不需要频繁地升级软件,从而减少成本。
4.具有强大、高效的数据处理能力。云计算在处理用户需要的信息计算处理时可将庞大的计算处理程序拆分成无数个子程序,然后将这些子程序交给由多部服务器组成的庞大系统进行搜索及计算分析,最后直接将处理结果回传给用户,这一过程可在极短时间内完成,因此具有强大、高效的数据处理能力。
5.能够提供专业、高效和相对安全的数据存储。好的云计算供应商能够提供专业、高效和相对安全的数据存储,用户运用云计算技术将数据存储在云平台中,相对于自己管理数据存储,能在一定程度上消除因各种安全问题导致数据丢失的顾虑。
然而,由于云计算环境下,所有软硬件以及电子数据都依托于云计算供应商,用户对这些软硬件以及数据失去控制。因此,不论什么样的云计算模式,都具有可控制性差的缺点,本文第四部分将分析应用云计算技术存在的风险。
(三)云计算技术的发展为开展联网审计提供了机遇
云计算技术的发展为开展联网审计提供了机遇,主要表现为以下四个方面:
1.云计算技术在一定程度上可以降低联网审计的实施与运行成本
针对目前联网审计的实施方法,联网审计的成本可分成一次性成本和经常性成本两部分(陈伟和尹平,2007;尹平和陈伟,2008)。一次性成本是指联网审计系统开发和执行的初始投资,主要包括:硬件成本、软件成本、人员培训费用、场地成本;经常性成本是指在联网审计系统整个生命周期内反复出现的运行和维护成本,主要包括:人员成本、硬件维护成本、软件维护成本、耗材成本、风险控制费用、其它费用等。现有的信息技术手段造成目前的联网审计模式实施与运行成本较高,这影响了我国联网审计的进一步发展。一般来说,采用云计算技术则没有任何基建投资,没有硬件购置成本、没有需要管理的软件许可证或升级、不需要雇佣新的员工或咨询人员,也不用承担机房空间、电力以及人力等成本。因此,采用云计算技术实现联网审计在一定程度上可以降低联网审计的实施与运行成本。
2.计算技术的应用使得研究云计算环境下的联网审计成为必然
近年来,云计算的概念已经普遍被人们接受,越来越多的信息系统将运行在云计算平台上,在我国“十二五”规划中云计算技术是重点发展的新一代信息技术。将来会有更多的被审计单位开始采用云计算平台运行自己的应用系统,这使得云计算平台成为审计单位的审计对象,因此,研究云计算环境下的联网审计将成为我国开展联网审计的一个重要部分。
3.政府信息化建设为开展云计算环境下的联网审计提供了机遇
近年来,各地政府投入了大量的资金用于信息化建设,有些政府已经建设了自己的云平台,在我国“十二五”规划中云计算技术是重点发展的新一代信息技术,这为开展云计算环境下的联网审计提供了机遇。
4.用云计算技术能更好地满足联网审计环境下海量数据分析的需要
为了更好地满足联网审计环境下海量数据分析的需要,应该充分利用新的信息技术提高审计效率,而云计算的出现为解决这一问题提供了机遇。
(四)云计算环境下联网审计方面的研究不多
云计算成为目前学术界研究的热点问题,一些国际重要学术会议,如2011IEEEInternationalConferenceonSystems,Man,andCybernetics等,还专门设立了关于云计算研究的专题。Armbrust等(2010)对云计算的研究情况进行了综述,国内学术界关于云计算方面的研究多集中在云技术本身的研究,如黄汝维等人(2011)针对云计算中的隐私保护问题,提出了支持隐私保护的云计算模型,并设计了一种支持隐私保护的基于矩阵和向量运算的可计算加密方案;李强等(2011)针对云计算基础设施中大规模虚拟机的放置问题,提出了云计算中虚拟机放置的自适应管理框架,提出了带应用服务级目标约束的虚拟机放置多目标优化遗传算法,用于制定框架中的虚拟机放置策略。国内外关于云计算在审计领域的研究与应用较少,Ernst和Young(2009)和Luann(2009)分析了云计算给审计带来的风险。尽管国内外已有较多的关于持续审计和联网审计方面的研究(Rezaee等,2002;Debreceny,2005;Du和Roohani,2006;Chou等,2007;国家863计划审计署课题组,2006;王智玉,2010;陈伟等,2008,2011;RutgersAccountingWeb,2012),但国内外尚缺少关于云计算环境下联网审计方面的研究。
三、云计算环境下的联网审计实现方法
基于目前我国联网审计的实现原理,本节从被审计单位使用云平台、审计单位使用云平台、审计单位和被审计单位都使用云平台这三种情况出发,研究云计算环境下适合我国联网审计特点的联网审计实现方法。审计单位在应用云计算技术时,至于采用SaaS、PaaS还是IaaS,将由审计单位根据自己的实际情况和需要来决定。
(一)被审计单位使用云平台
在这种情况下,由于被审计单位在云平台上运行自己的应用系统,存储自己的电子数据,审计单位在对被审计单位实施联网审计时,将被迫开展云计算环境下的联网审计。在这种情况下审计单位可采用的两种可行的联网审计实现方法如下。
1.审计部门可以借助被审计单位使用的云平台安装审计数据采集软件,完成联网审计的数据采集工作,然后把采集到的被审计数据传输到审计单位的数据存储系统中去,供审计人员分析处理,从而发现审计线索,获得审计证据。其原理如图2所示。审计单位也可以在自己的数据库服务器端安装运行数据采集软件,通过网络远程采集被审计单位云平台中的电子数据。
2.在条件许可的情况下,审计单位也可以借助被审计单位使用的云平台,运行审计数据分析软件,根据审计单位的审计请求,直接利用云平台强大的计算能力完成对被审计单位的审计数据分析,发现审计线索,获得审计证据,并把审计证据返回给审计端,从而完成联网审计的审计工作。其原理如图3所示。
(二)审计单位使用云平台
目前一些地方已建成用于电子政务的云计算平台,这为审计单位应用云计算技术提供了机遇。在这种情况下,审计单位利用云平台提供的平台服务和设施服务,把从被审计单位采集来的电子数据存储在云平台中,然后可以借助云平台提供的软件服务对采集来的电子数据进行分析取证。其原理如图4和图5所示。
(三)审计单位和被审计单位都采用云平台
在这种情况下,审计单位和被审计单位都采用云平成自己的工作。审计单位和被审计单位可能采用同一个云平台供应商,也可能采用不同的云平台供应商。其原理如图6和图7所示。
四、云计算环境下实施联网审计存在的风险
云计算环境下的联网审计可以充分利用云计算的优势,但在实际的应用中,应充分认识云计算给联网审计带来的风险,本节从基于云平台整体控制与应用控制的视角、基于云平台选择的视角、基于云平台服务的视角这三个方面出发,分析云计算环境下实施联网审计存在的风险。
(一)基于云平台整体控制与应用控制的视角
云计算环境下,审计单位和被审计单位所有软硬件以及电子数据都依托于云计算供应商,审计单位和被审计单位对这些软硬件以及数据失去控制。因此,云平台的整体控制与应用控制是风险控制的关键。基于云平台的整体控制与应用控制的视角,存在的主要风险包括:
1.灾难恢复与业务持续
云计算环境下,云计算供应商的灾难恢复与业务持续策略对联网审计有着重要的影响,主要表现为:云计算供应商如何考虑灾难恢复计划(DisasterRecoveryPlan)与业务持续计划(BusinessContinuityPlan)?审计单位和被审计单位的数据是否有备份?当发生灾难事故时,审计单位和被审计单位如何访问自己的备份数据?数据恢复的时间有多长?
2.数据安全问题
云计算环境下,审计单位和被审计单位的数据存储、传输和处理都由云供应商管理。所使用信息系统的物理控制和逻辑控制取决于云计算供应商,审计单位和被审计单位缺少对数据的物理控制。另外,审计单位和被审计单位对云计算供应商的工作人员情况缺少了解,有时候云计算供应商内部恶意或者是善意的工作人员可能会滥用权力访问审计单位和被审计单位的数据及应用系统。这会产生以下风险:在云计算供应方,谁可以访问你的数据?云计算供应商对自己的工作人员采取了哪些控制措施?云计算供应商如何管理自己的工作人员?云计算供应商是否具有职责分离控制措施?
3.数据隔离问题
云计算环境下,多个用户之间共享计算环境,缺少隔离,特别是公用云,一个应用系统可能会影响其他应用系统。云计算供应商如何保证审计单位和被审计单位的数据不被其他用户看到?数据如何加密?密钥如何管理?
4.数据完整性问题
云计算环境下,特别是公共云时,所有软硬件以及数据都依托于云计算供应商,有可能缺少防范数据修改的控制措施,不正确的访问控制或弱加密会导致各种数据风险,不能有效检测数据的修改。另外,云计算供应商采取的不正确的加密方法也会造成对审计单位和被审计单位数据的破坏,这都会影响审计单位和被审计单位数据的完整性。
5.监管规范问题
审计单位和被审计单位所采用的云计算平台是否有政府监管?是否符合相应的监管规范?是否有第三方审计或认正?被审计单位应用云平台是否会影响执行SOX(Sarbanes-OxleyAct)等。
(二)基于云平台选择的视角
目前,云计算供应商的数目繁多,许多传统的服务供应商也更名为云计算供应商。因此,审计单位和被审计单位在采用云计算开展联网审计时如何选择合适的云平台非常重要,审计单位和被审计单位应该根据自己的服务需求,尝试多个云供应商的基础设施,测试应用程序,选择最佳云供应商。关于云平台的选择,存在的主要风险分析如下:
1.经营状况
云计算供应商持续发展能力不确定。审计单位和被审计单位选择云计算供应商时应该考虑:云计算供应商的经营状况如何?如果云计算供应商破产,可能会造成数据的丢失,因此,如果云计算供应商破产,审计单位和被审计单位如何收回自己的数据?
2.服务水平协议(SLA)
服务水平协议(SLA)是一种衡量云供应商服务平台舒适度的方法。审计单位采用云计算技术开展联网审计时,要确保自己的服务水平协议(SLA)有一些保护条款。万一出现服务中断,云供应商能提供优厚的回报补偿。
3.性能
由于地理位置和云平台架构的不同,云供应商供应的应用程序性能结果也不同,因此,审计单位在选择云供应商时应该考虑云平台的地理位置和实际架构。
4.安全与保障
在选择云供应商时有没有考虑这些云供应商采取什么保障措施来保护客户的数据。
5.数据的存储与归属
云计算环境下,所有软硬件以及数据都依托于云计算供应商,审计单位和被审计单位不清楚自己的数据会被存储在什么地方,甚至都不知道数据位于哪个国家,也许会被存储在国外。因此,审计单位和被审计单位采用云计算开展联网审计时有没有考虑:自己的数据是如何被保护的?这些数据的存放地点在哪里?数据的归属问题?如果审计单位或被审计单位需要更换云计算供应商时,自己的数据是否可以转移到另一家云计算供应商。因此,审计单位和被审计单位采用云计算开展联网审计时,如果缺少数据存储与归属方面的考虑,将会给将来的联网审计运行造成潜在风险。
(三)基于云平台服务的视角
关于云平台的服务,存在的主要风险主要有:
1.服务支持
审计单位和被审计单位在使用云平台时,有没有考虑遇到了问题应该如何联系云供应商?联系哪些人?
2.服务可靠性
审计单位和被审计单位使用的云平台网络连接是否可靠?数据传输是否可靠?当网络出现故障时,云计算服务会出现中断,这会影响服务的可靠性。特别是对于一些规模小的审计单位和被审计单位在使用云平台时,由于采用较慢的因特网接口,相比于使用自己内部的软件平台,使用云计算平台速度会较慢。另外,审计单位和被审计单位对云计算供应商的灾难恢复过程依赖性强。
3.云平台的友好性
云平台的友好性是指审计单位和被审计单位选择的云平台的操作界面容易使用,人机交互性好,审计单位和被审计单位在使用云平台时,有没有考虑:云平台界面操作起来是否方便?云平台操作是否容易学习?云平台是否能防止审计单位和被审计单位用户的输入错误?审计单位和被审计单位用户的输入错误是否会对联网审计系统造成破坏?
关键词: 涉密网络;安全审计;主机审计;系统设计
1 引 言
随着网络与信息系统的广泛使用,网络与信息系统安全问题逐渐成为人们关注的焦点。
涉密网与因特网之间一般采取了物理隔离的安全措施,在一定程度上保证了内部网络的安全性。然而,网络安全管理人员仍然会对所管理网络的安全状况感到担忧,因为整个网络安全的薄弱环节往往出现在终端用户。网络安全存在着“木桶”效应,单个用户计算机的安全性不足时刻威胁着整个网络的安全[ 1 ] 。如何加强对终端用户计算机的安全管理成为一个急待解决的问题。
本文从系统的、整体的、动态的角度,参照国家对安全审计产品的技术要求和对部分主机审计软件的了解,结合实际的信息安全管理需求,讨论主机审计系统的设计,达到对终端用户的有效管理和控制。
2 安全审计概念。
计算机网络信息系统中信息的机密性、完整性、可控性、可用性和不可否认性,简称“五性”,安全审计是这“五性”的重要保障之一[2 ] 。
凡是对于网络信息系统的薄弱环节进行测试、评估和分析,以找到极佳途径在最大限度保障安全的基础上使得业务正常运行的一切行为和手段,都可以叫做安全审计[3 ] 。
传统的安全审计多为“日志记录”,注重事后的审计,强调审计的威慑作用和安全事件的可核查性。随着国家信息安全政策的改变,美国首先在信息保障技术框架( IA TF) 中提出在信息基础设置中进行所谓“深层防御策略(Defense2in2Dept h St rategy) ”,对安全审计系统提出了参与主动保护和主动响应的要求[4 ] 。这就是现代网络安全审计的雏形,突破了以往“日志记录”
等浅层次的安全审计概念,是全方位、分布式、多层次的强审计概念,符合信息保障技术框架提出的保护、检测、反应和恢复( PDRR) 动态过程的要求,在提高审计广度和深度的基础上,做到对信息的主动保护和主动响应。
3 主机审计系统设计。
安全审计从技术上分为网络审计、数据库审计、主机审计、应用审计和综合审计。主机审计就是获取、记录被审计主机的状态信息和敏感操作,并从已有的主机系统审计记录中提取信息,依据审计规则分析判断是否有违规行为。
一般网络系统的主机审计多采用传统的审计,涉密系统的主机审计应采用现代综合审计,做到对信息的主动保护和主动响应。因此,涉密网络的主机审计在设计时就应该全方位进行考虑。
3. 1 体系架构。
主机审计系统由控制中心、受控端、管理端等三部分组成。管理端和控制中心间为B/ S架构,管理端通过浏览器访问控制中心。对于管理端,其操作系统应不限于Windows ,浏览器也不是只有IE。管理端地位重要,应有一定保护措施,同时管理端和控制中心的通讯应有安全保障,可考虑隔离措施和SHTTP 协议。
主机审计能够分不同的角色来使用,至少划分安全策略管理员、审计管理员、系统管理员。
安全策略管理员按照制定的监控审计策略进行实施;审计管理员负责定期审计收集的信息,根据策略判断用户行为(包括三个管理员的行为) 是否违规,出审计报告;系统管理员负责分配安全策略管理员和审计管理员的权限。三员的任何操作系统有相应记录,对系统的操作互相配合,同时互相监督,既方便管理,又保证整个监控体系和系统本身的安全。控制中心是审计系统的核心,所有信息都保存在控制中心。因此,控制中心的操作系统和数据库最好是国内自己研发的。控制中心的存储空间到一定限额时报警,提醒管理员及时备份并删除信息,保证审计系统能够采集新的信息。
3. 2 安全策略管理。
不同的安全策略得到的审计信息不同。安全策略与管理策略紧密挂钩,体现安全管理意志。在审计系统上实施安全策略前,应根据安全管理思想,结合审计系统能够实现的技术途径,制定详细的安全策略,由安全员按照安全策略具体实施。如安全策略可以分部门、分小组制定并执行。安全策略越完善,审计越彻底,越能反映主机的安全状态。
主机审计的安全策略由控制中心统一管理,策略发放采取推拉结合的方式,即由控制中心向受控端推送策略和受控端向控制中心拉策略的方式。当安全策略发生更改时,控制中心可以及时将策略发给受控端。但是,当受控端安装了防火墙时,推送方式将受阻,安全策略发送不到受控端。由受控端向控制中心定期拉策略,可以保证受控端和控制中心的通讯不会因为安装个人防火墙或其他认证保护措施而中断。联网主机(服务器、联网PC 机) 通过网络接收控制中心的管理策略向控制中心传递审计信息。单机(桌面PC 或笔记本) 通过外置磁介质(如U 盘、移动硬盘) 接收控制中心管理策略。审计信息存放在主机内,由管理员定期通过外置磁介质将审计信息传递给控制中心。所有通讯采用SSL 加密方式传输,确保数据在传输过程中不会被篡改或欺骗。
为了防止受控端脱离控制中心管理,受控端程序应由安全员统一安装在受控主机,并与受控主机的网卡地址、IP 地址绑定。该程序做到不可随意卸载,不能随意关闭审计服务,且不影响受控端的运行性能。受控端一旦安装受控程序,只有重装操作系统或由安全员卸载,才能脱离控制中心的管理。联网时自动将信息传到控制中心,以保证审计服务不会被绕过。[ hi138\Com]
3. 3 审计主机范围。
涉密信息系统中的主机有联网主机、单机等。常用操作系统包括Windows 98 ,Windows2000 ,Windows XP ,Linux ,Unix 等。主机审计系统的受控端支持装有不同操作系统的联网主机、单机等,实现使用同一软件解决联网机、单机、笔记本的审计问题。
根据国家有关规定,涉密信息系统划分为不同安全域。安全域可通过划分虚拟网实现,也可通过设置安全隔离设备(如防火墙) 实现。主机审计系统应考虑不同安全域中主机的管理和控制,即能够对不同网段的受控端和安装了防火墙的受控端进行控制并将信息收集到控制中心,以便统一进行审计。同时能给出简单网络拓扑,为管理人员提供方便。
3. 4 主机行为监控。
一般计算机使用人员对计算机软硬件尤其是信息安全知识了解不多,不清楚计算机的安全状态。主机审计系统的受控端软件应具有主机安全状态自检功能,主要用于检查终端的安全策略执行情况,包括补丁安装、弱口令、软件安装、杀毒软件安装等,形成检查报告,让使用人员对本机的安全状况有一个清楚的认识,从而有针对性地采取措施。自检功能可由使用人员自行开启或关闭。检查报告上传给控制中心。
主机审计系统对使用受控端主机人员的行为进行限制、监控和记录,包括对文档的修改、拷贝、打印的监控和记录,拨号上网行为的监控和记录,各种外置接口的禁止或启用(并口、串口、USB 接口等) ,对USB 设备进行分类管理,如USB 存储设备(U 盘,活动硬盘) 、USB 输入设备(USB 键盘、鼠标) 、USB2KEY以及自定义设备。通过分类和灵活设置,增强实用性,对受控主机添加和删除设备进行监控和记录,对未安装受控端的主机接入网络拒绝并报警,防止非法主机的接入。
主机审计系统对接入计算机的存储介质进行认证、控制和报警。做到经过认证的合法介质可以从主机拷贝信息;未通过认证的非法介质只能将信息拷入主机内,不能从主机拷出信息到介质内,否则产生报警信息,防止信息被有意或者无意从存储设备(尤其是移动存储设备) 泄漏出去。在认证时,把介质分类标识为非密、秘密、机密。当合法介质从主机拷贝信息时,判断信息密级(国家有关部门规定,涉密信息必须有密级标识) ,拒绝低密级介质拷贝高密级信息。
在认证时,把移动介质编号,编号与使用人员对应。移动介质接入主机操作时记录下移动介质编号,以便审计时介质与人对应。涉密信息被拷贝时会自动加密存储在移动介质上,加密存储在移动介质上的信息也只能在装有受控端的主机上读写,读写时自动解密。认证信息只有在移动介质被格式化时才能清除,否则无法删除。有防止系统自动读取介质内文档的功能,避免移动介质接在计算机上(无论是合法还是非法计算机) 被系统自动将所有文档读到计算机上。
3. 5 综合审计及处理措施。
要达到综合审计,主机审计系统需要通过标准接口对多种类型、多个品牌的安全产品进行管理,如主机IDS、主机防火墙、防病毒软件等,将这些安全产品的日志、安全事件集中收集管理,实现日志的集中分析、审计与报告。同时,通过对安全事件的关联分析,发现潜在的攻击征兆和安全趋势,确保任何安全事件、事故得到及时的响应和处理。把主机上一个个原本分离的网络安全产品联结成一个有机协作的整体,实现主机安全管理过程实时状态监测、动态策略调整、综合安全审计、数据关联处理以及恰当及时的威胁响应,从而有效提升用户主机的可管理性和安全水平,为整体安全策略制定和实施提供可靠依据。
系统的安全隐患可以从审计报告反映出来,因此审计系统的审计报告是很重要的。审计报告应将收集到的所有信息综合审计,按要求显示并打印出来,能用图形说明问题,能按标准格式(WORD、HTML 、文本文件等) 输出。但是,审计信息数据多,直接将收集的信息分类整理形成的报告不能很好的说明问题,还应配合审计员的人工分析。这些信息可以由审计员定期从控制中心数据库备份恢复。备份的数据自动加密,恢复时自动解密。审计信息也可以删除,但是删除操作只能由审计员发起,经安全员确认后才执行,以保证审计信息的安全性、完整性。
审计系统发现问题的修复措施一般有打补丁、停止服务、升级或更换程序、去除特洛伊等后门程序、修改配置和权限、专门的解决方案等。为了保证所有主机都能得到有效地处理,通过控制中心统一向受控端发送软件升级包、软件补丁。发送时针对不同版本操作系统,由受控端自行选择是否自动执行。因为有些软件升级包、软件补丁与应用程序有冲突,会影响终端用户的工作。针对这种情况,只能采取专门的解决方案。
在复杂的网络环境中,一个涉密网往往由不同的操作系统、服务器,防火墙和入侵检测等众多的安全产品组成。网络一旦遭受攻击后,专业人员会把不同日志系统里的日志提取出来进行分析。不同系统的时间没有经过任何校准,会不必要地增加日志分析人员的工作量。系统应提供全网统一的时钟服务,将控制中心设置为标准时间,受控端在接收管理的同时,与控制中心保持时间同步,实现审计系统的时间一致性,从而提供有效的入侵检测和事后追查机制。
4 结束语
涉密系统的终端安全管理是一个非常重要的问题,也是一个复杂的问题,涉及到多方面的因素。本文从体系架构、安全策略管理、审计主机范围、主机行为监控、综合审计及处理措施等方面提出主机审计系统的设计思想,旨在与广大同行交流,共同推进主机审计系统的开发和研究,最终开发出一个全方位的符合涉密系统终端安全管理需求的系统。
参考文献
[1 ] 网络安全监控平台技术白皮书。 北京理工大学信息安全与对抗技术研究中心,2005.
[2 ] 王雪来。 涉密计算机信息系统的安全审计。 见:中国计算机学会信息保密专业委员会论文集,13 :67 - 72.
随着计算机网络的发展,传统的事后审计、就地审计方式将逐渐被在线实时的网络审计模式所取代。这一审计模式拓展了审计时空,使得审计人员足不出户就可以对被审单位进行远程审计,使传统审计的时空向更为广阔的信息化电子时空拓展,从而变定时实地审计为实时远程审计,变事后审计为‘事前、事中审计,变静态审计为动态审计,既提高了审计效率也使审计的监督作用得到了加强,与传统审计相比,网络审计模式具有如下新特点:
1、审计技术更加先进。在网络系统中,审计人员通过与审计对象进行信息接口转换,根据授权,在网上就可以直接调阅会计信息。通过对这些信息的调阅与审查,审计人员便可以开展多元化的、实时的审计程序。由于网络技术的应用,空间已不再是执行审计的制约因素,这样境外审计、环境审计等就变得更加容易。
2、审诗信息的内容更加丰富。网络的应用使被审计单位的会计信息系统成为一个开放性系统,审计部门可以通过网络主动获取会计信息,还可以对与审计对象有业务联系的各单位会计资料进行查询、分析,使审计的信息来源更直接,内容更丰富。
3、审计工作具有更准确高效的优势。网络审计通过网络可以充分发挥计算机高速准确及运用审计软件的优势,对大量的网络财务数据和业务数据进行检索、查询、追踪、转化、抽取、比较、归类、合并、统计、打印和编制工作底稿,最后完成审计工作报告。网络审计与传统审计相比降低了审计成本,据高审计效率,具有更准确高效的特点。
4、审计过程可保持隐秘性。审计机构接受委托人或授权人的委托或授权后,在不通知被审计对象的情况下,可通过网络直接进科被审计单位的网络信息系统开展审计,从而提高了审计质量。网络审计的隐蔽性使得突击审计成为可能。
二、制约网络审计发展的几个因素
我国十分重视加强网络信息化建设,近年来把电子政务建设作为国家信息化工作的重点,以政府先行,带动国民经济和社会发展信息化,取得了令人瞩目的成就。在国家信息化的推动下,网络审计取得长足发展,但总的来说还是处于摸索阶段,存在不少问题,制约我国网络审计发展的主要因素有:
1、财务网络体系及审计部门网络化建设发展不平衡。
财务网络体系的建立及审计部门网络化,是实现网络审计模式的最基本条件。目前,政府、企业的网络建设在地区之间、层级之间、行业之间存在较大差异,网络信息化领先和后进地方的差距日益拉大,网络信息化建设的阶段与地域发展不平衡,因此,各地财务网络体系发展不平衡。各地审计部门的网络化建设发展同样不平衡,部分地方审计机关由于客观环境、人员技术等原因制约审计网络系统建设发展,在一些行业审计领域受到被审计对象信息化程度不高、自身思想认识不足等主客观方面的影响,至今仍停留在手工审计阶段。
2、会计信息系统的网络化和开放性威胁着网络审计的安全。
会计信息系统的网络化和开放性,使得会计信息资源在极大的范围内得以共享和交流,但同时会计信息被竞争对手非法截取或恶意修改的可能性大大增加,加之计算机病毒和网络“黑客”的侵入,使会计信息的安全性受到威胁,这无疑将审计工作置于一种被动的风险之中。例如,存放子主机内的会计信息被他人非法拷贝和篡改;会计数据在传输过程中被截取和恶,意修改;计算机病毒和网络黑客的肆意侵袭,会威胁会计数据,的安全,严重时可能导致系统的全线崩溃等。在网络审计中,审计人员对审计风险控制的难度加大,实施的审计风险控制措施也发生根本性变化。在实际工作中这些问题如果处理不好,会极大地阻碍网络审计的发展。
3、网络审计的相关法律法规和准则仍有待完善。
网络的出现和广泛应用对传统审计产生了强烈的冲击,网络审计是审计领域出现的新生事物,旧有的法律法规体系和审计标准准则体系已不能完全适应、指导和规范网络审计的实践。目前,我国有关网络活动的法律法规还处于不断探索和完善阶段,难以完全解决网络活动中出现的所有新问题、新纠纷,这就给审计人员进行网络审计带来了极大的不便。
关键词:网络审计;电子商务;内部控制
中图分类号:F239 文献标识码:A 文章编号:1003-3890(2008)01-0065-04
一、网络审计及其社会背景
随着网络经济时代的到来,网络信息技术引发的全球信息化浪潮迅速改变着人类的传统社会生活,日益渗透到人们的工作、生活、学习和娱乐之中。在网络环境下,电子商务的大规模发展,使得企业的经营模式、管理模式和会计模式都发生了重大的变化,使得信息的处理和传递突破了时空的限制。电子商务集信息流、资金流、物流于一体的商务交易模式处处体现出高效、快捷的显著特点。它的高速发展及广泛应用彻底改变了传统商务的架构和流程,从本质和表象两方面深刻影响着审计的对象和环境,使审计的对象逐步呈现隐性化、数字化、网络化的新特征。新的模式必然带来新的运作机制,而新的运作机制又势必需要一种新的监督机制来维护和保障市场的正常运行。网络经济的发展以及会计电算化的实现,无疑使被誉为“经济看门人”的审计遭遇了空前严峻的挑战,引致审计工作由传统的手工审计向新兴的网络审计变革。
网络审计一般来说,有广义和狭义之分。广义的网络审计是指在网络环境下,借助大容量的信息数据库,运用专业的审计软件对共享资源和授权资源进行实时、在线的个性化审计服务。而狭义的网络审计则是指借助电子计算机的先进数据处理技术和联网技术,以磁性介质作为主要载体来存储数据以便于用网络来处理、传送、查阅这些数据,使审计工作与计算机网络组成一个有机的整体,从而提高审计的现代化水平。笔者着重从狭义网络审计的角度来探讨网络审计的发展问题。网络审计要求审计人员借助现代网络信息技术,运用专门的审计方法,对被审计单位的会计信息系统进行整体审计工作。它是对以往电算化审计的又一次突破,是现代审计在电子商务时代的新发展,也是电子商务发展的必然趋势。
二、网络审计的优势及其应用中存在的问题
(一)网络审计的优势
1. 拓展审计空间。在网络会计环境下,由于会计信息系统的开放性和网络化,使得会计信息资源在极大的范围内得以交流和共享。利用网络会计系统,可实现各业务之间数据的传递和共享,使得会计系统和其他信息系统的信息传递关系更为密切。由于网络、计算机、现代通信技术在审计中的运用,审计空间得到拓展,摆脱了传统地域观念的束缚,开拓了新的审计领域。随着网络经济给现有经济模式带来的挑战,网络审计服务市场也随之进一步扩大。网络的应用使被审计单位的会计信息系统成为一个开放的系统,审计部门可以通过网络主动获取会计信息,还可以对与审计对象有业务联系的各单位会计资料进行查询、分析,使审计信息的来源更直接,内容更丰富。审计人员可以充分利用网络所特有的先进信息技术,共享网络数据信息资源,从而使审计资源得到更广泛而有效的配置和运用。
2. 提高审计效率。网络审计通过互联网、计算机与审计软件可以充分发挥其快捷、高效、准确的优势。审计部门在获得相关授权后,可利用审计接口随时对被审计单位进行审查,准确快速地获取被审计单位的经济业务数据,及时全面地收集掌握被审计单位的最新会计信息,审计的时效性大大提高。审计从事后审计转变为实时审计,并从静态走向动态。
3. 降低审计成本。网络审计与传统审计相比在提高审计效率的同时,更降低了审计成本。利用网络收集审计信息、审计证据,大大节约了审计人员的搜寻成本、联系费用等,利用计算机进行分析、复核,大大减轻了审计人员的劳动强度,节省了人力、物力。
除此之外,网络审计的优势还表现在很多方面。例如审计机构在获得相关授权后,即可通过网络直接进入被审计单位的网络信息系统,开展审计工作,使得被审计单位无法事先做好应付审计检查的准备,减少了审计工作的阻力,提高了审计效率和质量。
(二)网络审计应用中存在的有关问题
1. 被审计单位内部控制问题。内部控制是任何企业和事业单位进行有效管理和经营的基础,无论该单位的会计资料是手工处理还是计算机处理,内部控制都是必不可少的。而现代审计是以系统为基础的审计,即注册会计师要对会计系统的内部控制进行审查和评价,以其作为制定审计方案和决定抽查范围的依据。实现会计电算化后,现代会计信息系统的特殊性更需要加强内部控制制度。授权、批准控制是一种常见的、基础的内部控制。在手工会计系统中,对于一项经济业务的每个环节都要经过某些具有相应权限人员的审核和签章。计算机网络的集成化处理使传统手工会计中制单、审核、记账等不相容岗位相互牵制制度的效力逐步削弱,传统的组织控制功能减弱。随着会计电算化系统所产生的会计信息的日益增多,如果没有健全的内部控制制度,就很难保证会计信息收集、传递和处理的及时、准确。为了系统的安全可靠,保证系统处理、存储会计信息的准确完整,必须考虑现代会计信息系统的特点,针对其固有的风险,建立新的适合其的内部控制制度。
2. 被审计单位信息风险问题。网络审计的信息风险越来越成为审计工作中必须要考虑的一个中心问题。网络审计借助计算机和网络对电子商务经济活动及其相关信息进行审计,则必然对网络的安全性、可靠性、准确性产生极大的依赖。无论是被审计单位的财务信息系统还是审计部门的审计分析系统,均以电子信息技术为基础,借助于计算机和互联网实现,因此审计环境变化带来的信息安全风险更多的是由于信息技术问题引起的风险。(1)网络系统的弱点和漏洞直接影响着信息安全风险的大小。一个网络系统中的漏洞大致包括实现漏洞、设计漏洞、配置漏洞三种类型。在审计过程中注册会计师应通过对以上漏洞进行分析并根据被审计单位的系统状况对被审计单位的财务会计信息系统的安全性作出评价。(2)会计信息系统的开放性也成为影响信息安全的一大重要因素。会计信息系统的开放性指能够接触到会计信息系统的终端用户的范围。一个会计信息系统的终端使用者越多,那么它所面临的网络风险也越大。尤其是计算机联机实施系统的出现和使用,将使会计业务或数据在发生的同时即可实时地记录和处理,信息使用者可通过联机的方式直接进入企业的管理信息系统,及时、有效地选取、分析自己所需要的信息,满足其决策需要。信息网络这种开放式、分布式的特点,在大规模计算和资源共享等方面有着无可匹敌的优势,但其在安全性、可靠性方面面临着极大的威胁。(3)被审计单位防火墙性能的优劣也成为审计风险的评判标准之一。如果被审计单位的防火墙性能良好,则可以避免会计信息系统开放性及黑客病毒攻击等问题,从而从整体上降低财务信息系统的网络审计风险。因此,如何确保审计信息的安全性已然成为网络审计必须面对的棘手问题。
3. 审计单位自身安全问题。在网络审计环境下,注册会计师在关注被审计单位安全状况的同时,对审计单位自身的信息处理系统进行安全性评价也成为审计工作中不可忽视的一个重要方面。由于网络风险涉及的对象是双向的,一方面涉及被审计单位的状况,另一方面又涉及审计部门的自身状况,这样就使得网络风险的决定因素十分复杂。在网络审计环境下,审计人员的审计手段更多地借助于网络技术,计算机信息处理系统在审计过程中得以广泛应用,这使得审计人员及审计单位同样面临着网络风险的冲击。所以审计单位在对被审计单位风险进行精确评价的同时还应对自身的网络风险水平进行系统的评价。这是传统审计工作中所不存在的问题。
综上所述,网络审计在其应用过程中确实存在着一些问题。除了以上提及的三方面外,其应用过程中存在的问题还表现在其他一些方面。例如审计人员的专业素质不高,网络审计相关的法律法规和准则制度的不完善等等,都成为了网络审计发展路上的“绊脚石”。
三、促进网络审计发展的相关建议
(一)加强被审计单位的内部控制系统
在网络财务软件中,会计信息的处理和存储高度集中于计算机系统,企业的信息系统控制的安全可靠必然成为网络审计中审计风险防范和控制的重点。网络环境下手工会计处理系统中的某些职责分工、权限分离、相互制约、相互联系的内部控制制度失效,为保证网络财务软件处理和存储会计信息完整准确,必须建立适应网络特性的网络财务系统的控制程序和方法。在新信息系统的开发阶段,审计人员应参与系统的开发和财务软件的评审工作,出具系统开发审计报告,对系统的可靠性、效率性、内部控制的适当性、系统开发的成本效益性等作出评价。将错误消灭在萌芽阶段。同时,在设计开发过程中,还可以考虑在被审计单位的计算机系统中嵌入审计程序。这些程序可以执行审计监督,建立审计跟踪文件,记录符合指定条件的会计事项及其操作处理的有关信息,以便日后审计人员跟踪追查。除了在新信息系统的开发阶段应改进内控之外,在财务软件的运用阶段完善相应的内控制度更为重要。例如可在网络财务软件的使用中划分管理权限,防止越权操作和计算机舞弊行为的发生。此外,可采取一些相应的措施。如在账务处理过程中要求会计人员留下每笔经济业务的详细记录,而不能只留下更新后的当前余额;设置网络财务软件自动记录操作人员的使用情况,包括进入与退出系统的时间及进行的操作等;要求将所有维护和改进系统的内容、时间等记录在案;除应保证会计数据文件的打印输出外,还应将会计数据文件以可审计的形式进行存储保留。
(二)加快网络审计软件的开发与审计网络的建设
信息安全风险是网络审计中必须要考虑的一个中心问题。要从根本上解决这个问题,完善相应的审计软件开发和审计网络建设是关键。首先应加快中国网络审计软件的开发与应用。网络审计是借助网络审计软件进行的,加强网络审计软件的研究与开发是发展网络审计重要举措。提高中国网络审计软件的质量和实用性,要求软件开发人员深入到审计工作实践中去,同时网络审计软件的分析设计也应有经验丰富的审计人员参加。加快会计审计软件行业标准的制订,建立统一的数据格式和外部接口,开发出来的通用审计软件能使审计人员从被审计单位准确及时地获取各种数据,实现有效的远程审计。加强使用者与开发者之间的交流与沟通,使开发者能广泛地收集使用者的反馈意见,更好地总结出审计的算法模型,不断优化升级审计软件。应加快中国审计网络的建设进程。网络审计面临的不再是传统的交易模式和经营管理理念,而是全新的网络空间。审计网络是网络审计得以开展的物质载体,审计人员只有通过互联网进行网络审计,才能随时捕捉审计信息,及时提供审计信息。因此要发展网络审计,必须先建设审计网络,建立审计信息数据库。通过网络管理系统,录入被审计单位的背景资料、行业动态和以前年度审计资料等相关信息,建立一个完善的大容量的信息数据库并不断更新,为以后年度审计随时调阅使用提供便利,提高审计信息的真实性及审计的效率。
(三)提高网络审计人才素质
培养精通网络、计算机及审计业务的审计人员队伍是网络审计发展的关键。由于网络审计已远远超出了计算机和局域网的运用范畴,加上被审计单位的财务及管理信息系统的日益复杂,构成了对审计人员的全新挑战。在现阶段,审计人员必须经常更新自身的知识结构,才能适应网络审计工作的需要。通过不断学习和参加培训,提高创新能力和对信息技术的使用能力,从而提高自身的价值。注册会计师不仅要转变观念,充分认识和利用网络的优势,更要精通网络技术,不断提高网络审计技能,确保网络审计的高效率和高质量。中国可以考虑在将来的CPA资格考试中适当增加有关计算机、网络的理论及操作知识的考核,并在从业人员的后续教育中强制加入相关内容。以国际注册信息系统审计师(CISA)资格考试为参考,通过培训和考试,培养具备较高深的计算机软硬件和网络知识、信息系统审计技术的较高层次的IT审计人才。另一方面,加快引进高层次的计算机专业人才,改善现有审计人员的组织结构也是非常有效的途径之一。因为注册会计师不可能人人都成为计算机与网络的专家。所以,计算机与网络专家、信息系统与电子商务专家参与网络审计将是必然趋势。
(四)完善中国网络审计的法律法规与准则制度
加强网络审计立法,制定相关法律法规与准则制度。网络审计立法是保障网络审计正常发展的关键性措施。加强与电子商务、网络经济相关的立法,要在立足中国国情的基础上借鉴国际上相关示范法或其他国家相关法律法规,制定与网络审计有关的法律规章,使人们在开展网络审计工作时有法可依、有章可循。中国应尽快制订有关电子商务的法律、法规,把电子凭证、电子合同和数字签名的法律效力及保管要求,数字认证机构的管理,电子信息与网络系统的安全等相关问题以法律法规的形式明确下来。另一方面,进一步完善与网络审计有关的审计准则与审计标准的制定。由于网络审计的对象、线索、方法、流程、结果等各方面较传统审计都发生了变化,以往的审计标准和准则已经不能完全适用。因此对目前已有的不适应网络审计的相关法律法规应及时地进行修改和补充,如在法律法规上确定审计机构和审计人员有权审查被审计单位的信息系统功能与安全措施,加快建立一套符合网络经济发展特征的新审计准则体系,以促进网络审计的健康发展。
参考文献:
[1]舒海霞.网络审计论[J].企业研究,2006,(8).
[2]王萍.网络审计的对象创新和业务创新[J].会计天地,2004,(8).
[3]邱晓娜.对推动我国网络审计发展的思考[J].审计与理财,2006,(5).
[4]宋荣臻,李悦.网络审计及其方法的完善[J].科技与经济,2005,(4).
[5]张强.未来发展的网络审计[J].现代审计与经济,2005,(7).
[6]张霆军.浅析网络审计结构及发展对策[J].交通科技与经济,2006,(5).
[7]王新建.计算机审计风险防范研究[J].科技资讯,2006,(31).
随着信息技术的不断发展,网络已经融入到人们生产生活的方方面面。企业财务审计与现代网络技术的结合,除了改变了原有的传统的审计方式,提高了审计工作的效率之外,也对企业财务审计工作的开展提出了新的挑战。本文主要是就现代网络技术在企业财务审计中的应用研究进行阐述,并提出相应的建议。
关键词:
现代网络技术;企业财务审计;网络审计
随着科技与生产生活的不断靠近,人们越来越能够感受到科技在生活中的重要性了。而在企业的发展运行中,科技特别是网络技术的力量就变得更加不容忽视。网络技术虽然能够在一定程度上提高企业财务审计工作的效率和质量,但是由于网络的开放性和共享性,其在企业财务审计的应用中往往会存在一定的风险性。因此,在应用过程中进一步的防范措施就成为了不少企业关注的重点。
一、企业财务审计工作与网络技术结合——变革与机遇
所谓的企业财务审计就是对企业的经济运行状况的监督和控制,对于企业的经济计划,审计部门必须要切实地进行检查,认真地分析其可行性,同时还要认真核查其是否与相关法律相违背,如果一旦出现违法现象,审计部门必须要及时地制止相关经济计划的开展和实施。从而保证企业经济的正常运行和发展。而网络技术和企业财务审计的结合,则为企业的财务审计工作打开了一个崭新的局面。网络,作为一个开放的平台,人们可以自由在上面进行资源的分享和获取,而正是这种开放性,在很大程度上加大了审计工作的范围,从而增强了企业审计工作的有效性。同时,网络审计因为其便捷性,能够让工作人员的交流变得更加的快速,工作人员可以随时随地获得自己需要的相关数据和资料,从而提高了审计工作的效率。另外,网络审计还可以及时地掌握企业相关的财务状况,避免了传统审计方式中的漏洞,从而使审计工作更加有效。综上所述,网络技术在企业财务审计中的运用对于企业来说是一次变革的机遇,但是由于网络的开放和不稳定性,这次机遇又会隐藏着一系列的风险。因此,企业一定要善于把握网络技术与审计工作结合的力度,让其为企业带来效率的同时,也要有效地防范其风险性。促进企业的稳定发展。
二、网络技术在企业财务审计中运用的优势
1.网络本身的开放和共享众所周知,网络最大的特点就是其共享和开放性,任何人在任何地点都能够在网络上得到或者分享相应的资源。网络的这一特点也就成就了其快速和便捷的特性。相关的审计工作人员就可以通过网络对企业的财务状况进行实时的监控,从而保证企业审计工作的时效性。
2.增强了审计工作业务的开放性在传统的审计工作中,由于审计方式的落后,其业务范围主要是由单一的审计对象所决定的。但是随着网络审计的不断发展,企业审计工作的业务范围也有了相当程度上的扩大。
3.能够随时随地进行审查传统的审计方式中,由于其主要依赖于手工,往往很难做到对企业的财务状况做到实时的监控。而现代网络技术的应用就实现了这一点,工作人员可以随时随时地利用计算机等媒介对企业得到财务状况进行监控,保证企业财务的正常运行。
三、网络审计的不安全性
1.网络病毒的威胁虽然说网络审计对于提高审计的工作效率,时效性和业务的广度有着非常明显的促进作用.但是由于网络本身的开放性和不稳定性,其中必然会存在着一些潜在的威胁。首先,最为明显的就是病毒,现代社会不法分子猖獗,再加上企业之间的竞争十分激烈,这就难免会有一些企业为了达到经济效益而做出一些违背法律和行业道德的事。其中最为常见的就是利用黑客进行入侵,盗取对手企业的商业机密。当然除此之外,由于电脑病毒的入侵造成的系统崩溃,数据丢失也是必须要严加防范的。因为一旦造成了数据的丢失,那麽企业的经济损失势必是无法估量的。
2.数据可信度降低在传统的手工审计时代,财务部门的数据都是经过审计部门的步步检查的,并且每一步都会有相关的负责人,一旦出现任何纰漏,就能够迅速地找到相应的责任人。数据的可信度有着相当程度上的保证。而在网络审计当中,虽然工作效率和时效性等都有了很大程度上的提高。但是由于数据没有办法得到层层审批,所以就很容易出现数据的篡改和伪造的情况。因此就造成了数据可信度降低的问题。
3.数据录入的问题虽然是利用网络技术进行审计工作,但是操作的主体还是人。特别是在数据的输入这一部分,如果录入人员的工作素养不够或者是受到一些外界的干扰,就非常容易造成数据输入的错误。如果数据输入的错误一旦造成,其造成的企业损失往往是难以估量的。
四、如何正确处理网络审计的风险
1.网络审计制度的建立任何系统想要顺利的运行,其保障制度的建立必然是不可缺少的.因此想要网络审计顺利地开展下去,网络审计制度的建立势必是不能够忽视的。在现代企业中,为了提高企业的运行效率。许多企业都会倾向于将各部门的职责进行明确的分工。因此,企业内部的工作部门往往都会看上去独立于对方,但是实际上他们之间往往存在着千丝万缕的关系。因为在企业中,只有保证了各部门之间的相互合作,企业才能够顺利的运行起来。因此,企业在制定网络审计制度的时候,一定要将财务部门和企业内的其他部门紧密的联系起来。
2.重视审计人员的素质提高在一个企业中,人力资源是最为重要和最为核心的资源。因此,要提高企业审计工作的效率和质量,审计人员才是最为关键的因素。首先,企业在选拔相关人员时,一定要注重人员的专业性和经验性,尽可能的选择专业性和经验性较强的员工。另外,在工作期间,也要适时地为与员工提供相应的能力提高的机会。类似于相关的培训和经验交流的机会。同时为了激发员工工作的积极性,合理的奖惩制度也是必须的。适当的物质奖励可以充分的调动起工作人员工作的积极性。总而言之,人力资源对于一个企业来说是最为重要的,要想提高一个企业的效益,首先要注重对其工作人员素养的提高。
3.加强对黑客的防御力度前面就有提到过,由于网络自身的开放性和不稳定性,再加上现代社会中,企业之间的恶性竞争十分激烈,黑客的入侵是企业最为担心的问题。因此,为了尽量避免企业机密的外泄,严格的黑客防御系统是非常有必要的。首先,企业应该配备较为可靠的软硬件系统,同时要注意对重要数据的认证,避免人为的恶意篡改。同时,在重要的机密文件方面,不仅要加强其保密性,还要做好文件的备份工作,防止文件的不慎丢失。
4.重视原始数据的保存原始数据指的是没有经过专业处理的数据,虽然它并不会直接地运用于审计工作中。但是由于它是较为原始的资料,所以对于这类数据一定要加强其保存力度,为以后数据的调整提供保障。
5.完善审计的程序审计工作的开展如果要提高效率,程序的完善必然是不可缺少的。首先,审计工作要具有针对性,只有针对性的工作,才能够切实高效地完成审计的目标。同时也要加强审计单位的权限设置,一旦发现问题,必须要第一时间进行处理。另外,采用有效地手段进行帐目的核实对于审计工作来说也是非常重要的,同时在审计监督方面也要加紧,对于企业的经济计划和财务状况,审计部门一定要切实地进行监督,以保证其合法性。
五、总结
综上所述,随着网络技术的不断发展,人们在生活的方方面面都能够感受到科技的力量。而随着企业竞争的不断增强,为了够提高企业的运行效率,网络技术和企业运营的结合便应运而生。以本文中网络审计为例,将信息技术和传统的审计相结合,不仅提高审计部门的工作效率,而且还拓宽了审计业务的广度。但是,在网络技术为审计工作带来便利的同时,由于网络本身的不稳定性和不安全性,加强网络审计的安全性工作就变得尤为重要了。因此,网络审计对于企业的发展既是机遇也是挑战。
参考文献:
[1]王会金.试论现代社会经济特征下的企业财务审计[J].审计与经济研究,2002,17(6):15-18
[2]李雪.简析现代网络技术在企业财务审计中的应用[J].中国经贸,2011,(12):200.