- 相關(guān)推薦
網(wǎng)絡(luò)經(jīng)濟(jì)下的審計風(fēng)險模型重構(gòu)
[摘要]隨著審計的,風(fēng)險越來越成為審計工作考慮的一個中心。無論是傳統(tǒng)的審計風(fēng)險模型還是國際注冊審計師協(xié)會發(fā)布的最新的審計風(fēng)險模型都是在傳統(tǒng)的審計環(huán)境下,對于審計風(fēng)險模式的界定和計量。在條件下,原來的風(fēng)險模型面臨重構(gòu)我國的注冊師應(yīng)采取有效措施,積極應(yīng)對新的風(fēng)險。 一、網(wǎng)絡(luò)經(jīng)濟(jì)環(huán)境之下審計風(fēng)險模型重構(gòu)的必要性 審計,作為一門,是社會經(jīng)濟(jì)環(huán)境的產(chǎn)物,是與特定了條件相聯(lián)系的。審計環(huán)境有外部環(huán)境和內(nèi)部環(huán)境之分,審計環(huán)境發(fā)生變化,審計本身必然要做相應(yīng)的調(diào)整。隨著我們進(jìn)進(jìn)21世紀(jì),審計的內(nèi)外環(huán)境發(fā)生了明顯的變化,這些變化要求審計本身做出相應(yīng)的調(diào)整。因此審計風(fēng)險模型的重構(gòu)成為當(dāng)務(wù)之急。 (一)審計外部環(huán)境的變化 1、經(jīng)營環(huán)境的變化 隨著和網(wǎng)絡(luò)技術(shù)的發(fā)展,傳統(tǒng)的店展式的經(jīng)營模式將越來越多的被信息化的網(wǎng)絡(luò)貿(mào)易所取代,電子商務(wù)成為貿(mào)易企業(yè)主要的經(jīng)營模式。全球的網(wǎng)上銷售額2000年就已達(dá)到了3000億美元(世貿(mào)組織測定),2004年更超過7兆億美元。電子商務(wù)這種嶄新的商務(wù)模式,在我國也得到了迅猛發(fā)展:由1996年的幾萬網(wǎng)民,激增至2004年的超過1億網(wǎng)民,B2C、B2B、C2C、B2G等商務(wù)模式日益走紅,門戶站點風(fēng)靡全球。截至2001年12月,我國電子商務(wù)網(wǎng)站達(dá)300余家,到2004年電子商務(wù)網(wǎng)站經(jīng)過重組形成了如ebay等數(shù)家貿(mào)易航母;到2004年我國的電子商務(wù)交易總額突破了4400億人民幣,2005年將激增到6200億人民幣。電子商務(wù)這種與傳統(tǒng)貿(mào)易截然不同的商務(wù)操縱和治理模式,使企業(yè)的經(jīng)營模式發(fā)生根本性的變革:客戶可以從網(wǎng)上了解商品,詢問價格簽訂合同,發(fā)送訂單,企業(yè)可以通過網(wǎng)絡(luò)確認(rèn)交易,出口報關(guān),發(fā)送商品(僅限于信息產(chǎn)品),傳遞發(fā)貨單,劃賬結(jié)匯等。這已經(jīng)遠(yuǎn)遠(yuǎn)超出了傳統(tǒng)審計所能涉及的領(lǐng)域。企業(yè)經(jīng)營環(huán)境是審計風(fēng)險考慮的一個重要因素,是企業(yè)審計風(fēng)險評價體系的開始。電子商務(wù)下的網(wǎng)絡(luò)貿(mào)易要求我們對于審計風(fēng)險進(jìn)行再熟悉。 2、實時報告的要求 隨著現(xiàn)代審計的發(fā)展,審計對象對于審計報告的實效性加強(qiáng),實時性審計越來越被人們所重視。但傳統(tǒng)的事后性的審計監(jiān)視所帶來的缺陷就是不能及時發(fā)現(xiàn)題目,防患于未然,而克服這一缺陷的重要措施就是開展事前和事中審計。現(xiàn)在借助于網(wǎng)絡(luò),使審計職員能夠遠(yuǎn)程訪問被審計單位存放財務(wù)信息的機(jī),就可以對被審計單位的經(jīng)濟(jì)活動,進(jìn)行實時的監(jiān)視,從而可以及時發(fā)現(xiàn)題目并及時解決。此外,通過實時監(jiān)視,隨時把握審計對象的經(jīng)濟(jì)活動比如財務(wù)收支和資產(chǎn)負(fù)債等情況,還能夠正確、及時地為決策部分提供決策信息。從而最大限度地發(fā)揮審計監(jiān)視的作用。 3、會計系統(tǒng)的變化 隨著信息技術(shù)的發(fā)展,信息化的財務(wù)會計系統(tǒng)普遍在各大企業(yè)中,傳統(tǒng)的會計模式逐漸退出歷史的舞臺,會計電算化廣泛推廣開來。經(jīng)濟(jì)業(yè)務(wù)產(chǎn)生的原始憑證以電磁波信息的形式在網(wǎng)上傳遞并存儲于磁性介質(zhì)中,會計的確認(rèn)、計量、記錄和報告都集中由計算機(jī)按程序指令執(zhí)行。因此審計職員面對的是企業(yè)的電算化會計信息系統(tǒng)和網(wǎng)絡(luò)賬務(wù)系統(tǒng),企業(yè)的賬務(wù)系統(tǒng)以程序語言的形式存放于計算機(jī)中,難以對會計處理內(nèi)控制度形玉成面的感性熟悉。網(wǎng)絡(luò)審計面對的企業(yè)內(nèi)部環(huán)境是一整套電算化會計信息系統(tǒng)的公道有效性、安全程度直接到審計工作的質(zhì)量和效率。同時由于市場準(zhǔn)進(jìn)條件的放寬和有關(guān)商務(wù)的不健全,外部環(huán)境的不穩(wěn)定因素劇增,來自企業(yè)外部經(jīng)營風(fēng)險凸現(xiàn),原有的內(nèi)控制度效果減弱,盡而增加了審計的風(fēng)險。 (二)審計內(nèi)部環(huán)境的變化 1、審計證據(jù)和審計線索的變化 在傳統(tǒng)會計中,一般由經(jīng)濟(jì)業(yè)務(wù)產(chǎn)生紙質(zhì)原始憑證,然后會計職員根據(jù)原始憑證編制記賬憑證,根據(jù)記賬憑證登記明細(xì)賬和總賬,期末再根據(jù)各賬簿編制會計報表。每一步都有文字記錄,審計線索十分清楚,審計證據(jù)主要由書面證據(jù)組成。而在交易及核算都實現(xiàn)網(wǎng)絡(luò)化的環(huán)境下,企業(yè)與外部的交易和企業(yè)內(nèi)部業(yè)務(wù)處理的憑據(jù)都以電子信息的形式保存,并在網(wǎng)上傳遞,編制記賬憑證、登記賬簿、編制會計報表都由計算機(jī)按指定程序執(zhí)行,實現(xiàn)會計核算自動化。因此,傳統(tǒng)意義上的審計證據(jù)和審計線索都將消失。 2、審計的工作方式的變化 (1)網(wǎng)絡(luò)改變了審計信息收集方式。 收集審計信息主要是收集審計證據(jù),我國的《獨立審計基木準(zhǔn)則》規(guī)定,注冊會計師在審計過程中可以采用檢查、監(jiān)視、觀察、查詢及函證、計算和性復(fù)核等審計程序獲取審計證據(jù)。而在網(wǎng)絡(luò)環(huán)境下,幾乎所有資產(chǎn)都由計算機(jī)實時動態(tài)治理,企業(yè)所有的會計資料和相關(guān)資料都存放于互聯(lián)網(wǎng)上,審計職員就可采用網(wǎng)絡(luò)交談和發(fā)電子郵件等方式進(jìn)行查詢和函證,也可進(jìn)行檢查、觀察、計算和分析性復(fù)核。這樣與傳統(tǒng)審計相比,網(wǎng)絡(luò)審計將進(jìn)步審計證據(jù)的及時性和客觀性,降低收集審計證據(jù)的本錢。 (2)網(wǎng)絡(luò)改變了審計信息加工、傳輸和存儲模式。 傳統(tǒng)的審計工作主要通過檢查憑證、賬簿和報表,核對賬證、賬賬、賬表和賬簿與外來資料是否相符來加工審計信息,而在網(wǎng)絡(luò)環(huán)境下,隨著紙質(zhì)載體的消失和網(wǎng)絡(luò)信息系統(tǒng)自身強(qiáng)大的核對、檢查和內(nèi)部控制功能,傳統(tǒng)意義上的審計工作被大大簡化,只有在某種特定條件下還須由人來監(jiān)盤實物庫存、實地觀察實物變動及其記錄。而且由于網(wǎng)絡(luò)高度的信息共享性、實時性和動態(tài)性,審計信息輸出如WEB信息發(fā)布讓市公司的報表信息的充分表露與審計有關(guān)法規(guī)的發(fā)布、審計信息存儲和檢查等都將充分利用互聯(lián)網(wǎng)和企業(yè)內(nèi)部網(wǎng)進(jìn)行,實現(xiàn)了審計工作辦公自動化。 3、審計機(jī)構(gòu)的組織方式的變化 網(wǎng)絡(luò)審計提供了一個信息資源共享的便捷渠道,使得審計能夠從傳統(tǒng)的孤立的單兵式向系統(tǒng)性的協(xié)同式過渡。在傳統(tǒng)的審計過程中,各個審計組之間的信息交流和溝通是比較困難的,一個審計組把握的全部信息很難使其他的審計組或匯總部分也都把握。固然將這些信息以審計報告等形式上報,由匯總部分進(jìn)行匯總之后,也能提供被審計對象的比較全面的信息,但是由于審計報告中的信息都是經(jīng)過個人判定后選擇的結(jié)果,是不全面的,匯總部分也很難把握審計對象的全貌。因此,對審計對象的總體評價就可能偏離要害,審計效率不高,審計風(fēng)險卻會加大。現(xiàn)代信息網(wǎng)絡(luò)技術(shù)的發(fā)展和廣泛應(yīng)用,使得進(jìn)行系統(tǒng)性的審計成為可能。 4、審計技術(shù)的變化 在網(wǎng)絡(luò)環(huán)境下,傳統(tǒng)的審計技術(shù)已不能適應(yīng)的需要。在網(wǎng)絡(luò)審計下更多使用電子技術(shù),從審計證據(jù)的收集到證據(jù)的處理全部在微機(jī)上進(jìn)行無紙化的辦公。審計過程中更多的運用先進(jìn)的財務(wù)工作軟件,審計過程中的以為因素大大減少,進(jìn)步了審計意見的客觀性和獨立性。 二、網(wǎng)絡(luò)風(fēng)險的定義及分類 審計環(huán)境的變化同時帶來了審計風(fēng)險的變化。在網(wǎng)絡(luò)審計過程中,網(wǎng)絡(luò)風(fēng)險是一個不可忽視的風(fēng)險因素。 (一)網(wǎng)絡(luò)風(fēng)險的含義 所謂的網(wǎng)絡(luò)風(fēng)險是指在網(wǎng)絡(luò)審計過程中,審計職員及被審計單位由于采用信息化審計技術(shù)或財務(wù)會計技術(shù),而致使審計職員對公司的財務(wù)報表發(fā)表了不恰當(dāng)?shù)膶徲嬕庖姟! 奈覀兘o出的定義可以看出以下幾點: 1、網(wǎng)絡(luò)風(fēng)險涉及的對象是雙向的。他一方面涉及到被審計單位的狀況,另一方面又涉及審計部分自身的狀況,這樣使的網(wǎng)絡(luò)風(fēng)險的決定因素非常的復(fù)雜。 2、網(wǎng)絡(luò)風(fēng)險是直接由計算機(jī)網(wǎng)絡(luò)帶來的。無論是被審計單位的先進(jìn)的財務(wù)信息系統(tǒng)還是審計部分的審計分析系統(tǒng),都是以電子信息技術(shù)為基礎(chǔ)的,都要借助于計算機(jī)和互聯(lián)網(wǎng)。進(jìn)而網(wǎng)絡(luò)風(fēng)險因素更多的是由于信息技術(shù)題目帶來的風(fēng)險。 3、網(wǎng)絡(luò)風(fēng)險可以致使審計職員發(fā)表錯誤的審計意見。網(wǎng)絡(luò)風(fēng)險直接威脅審計職員獲得的被審計單位的財務(wù)信息的真實性,失往了真實性,那么審計職員也就不可能對被審計單位的財務(wù)狀況做出正確的評價,進(jìn)而形成公正、客觀的審計報告。 (二)審計風(fēng)險的分類 審計風(fēng)險一般分為可控風(fēng)險和非可控風(fēng)險。可控風(fēng)險指審計職員在審計過程中可以控制的風(fēng)險因素;非可控風(fēng)險指審計職員在審計過程中不可以控制的風(fēng)險因素。可控風(fēng)險主要是針對審計單位的審計工作而言的,即可以通過自身的工作盡可能降低的風(fēng)險。這種風(fēng)險不是本處論述的重點。 1、不可控風(fēng)險 這種風(fēng)險主要是由被審計單位自身的財務(wù)信息系統(tǒng)或?qū)徲媶挝蛔陨韺徲嬓畔⑾到y(tǒng)的這樣或那樣的缺陷造成的,是審計職員無能為力的因素。 (1)系統(tǒng)風(fēng)險 這一風(fēng)險是審計單位和被審計單位都無法控制的風(fēng)險。 計算機(jī)系統(tǒng)本身具有脆弱性,這是任何一個被審計單位都不可避免的。當(dāng)計算機(jī)硬件或計算機(jī)軟件、網(wǎng)絡(luò)本身出現(xiàn)故障時輕易導(dǎo)致網(wǎng)絡(luò)系統(tǒng)審計數(shù)據(jù)丟失,甚至發(fā)生癱瘓現(xiàn)象。在互聯(lián)網(wǎng)條件下,網(wǎng)絡(luò)審計系統(tǒng)具有其分布式、開放性、遠(yuǎn)程性實時處理的特點。這個特點既有其優(yōu)越性,可以實現(xiàn)資源共享,使很多人沾恩,但也有其缺陷性,系統(tǒng)的可控性、一致性、安全性較差,一旦出現(xiàn)故障,影響很大,且不易恢復(fù)。這樣,既不利于守舊***,又損害企事業(yè)單位,審計機(jī)關(guān)和審計團(tuán)體的利益。 (2)黑客進(jìn)侵,病毒危害風(fēng)險 在網(wǎng)絡(luò)化系統(tǒng)中,計算機(jī)病毒不再靠磁盤或光盤傳播,開始通過電子郵件傳播計算機(jī)病毒。黑客的進(jìn)侵也相當(dāng)猖獗,主要來自社會上一些不法分子對企業(yè)、事業(yè)單位和政府機(jī)關(guān)互聯(lián)網(wǎng)的進(jìn)侵。這種風(fēng)險范圍廣,危害性大。它包括截收、仿冒、***和黑客進(jìn)侵。花樣繁多的病毒進(jìn)侵,讓人防不勝防,隨著網(wǎng)絡(luò)化的迅速普及和廣泛應(yīng)用,計算機(jī)病毒的傳播呈現(xiàn)渠道多樣化、速度快捷的特點,危害也在不斷加劇,這對網(wǎng)絡(luò)化審計系統(tǒng)資源構(gòu)成很大威脅。 (3)系統(tǒng)關(guān)聯(lián)方道德風(fēng)險 主要指關(guān)聯(lián)方非法侵進(jìn)企業(yè)網(wǎng)絡(luò)財務(wù)軟件系統(tǒng),以剽竊財務(wù)數(shù)據(jù)和知識產(chǎn)權(quán)、破壞系統(tǒng)、干擾企業(yè)正常交易等產(chǎn)生的風(fēng)險。企業(yè)關(guān)聯(lián)方主要包括客戶、供給商、軟件開發(fā)商,也包括銀行、稅務(wù)、審計、保險財政等部分。企業(yè)與關(guān)聯(lián)方之間的通過外聯(lián)網(wǎng)進(jìn)行業(yè)務(wù)和數(shù)據(jù)交換,這種特殊的交換關(guān)系使關(guān)聯(lián)方之間道德風(fēng)險的發(fā)天生為可能,尤其是軟件開發(fā)商,他們非法進(jìn)侵企業(yè)財務(wù)系統(tǒng)不易被發(fā)現(xiàn),其危害是不容忽視的。 (4)內(nèi)部職員的操縱風(fēng)險 操縱風(fēng)險主要包括操縱程序不規(guī)范和操縱職員防范意識不強(qiáng)造成的。如審計職員或會計職員缺乏安全意識和網(wǎng)絡(luò)安全防范措施,對于網(wǎng)上下載的電子郵件或會計信息資源不做安全性技術(shù)檢查、測試,或僅用個人生日或單位電話號碼作密碼,這些密碼好記也好破譯,安全性較差。另外,企業(yè)會計職員對會計數(shù)據(jù)的非法訪問、篡改、泄密和破壞等方面的風(fēng)險。有資料統(tǒng)計,大部分非法闖進(jìn)者來自內(nèi)部雇員,這些通曉網(wǎng)絡(luò)知識的內(nèi)部控制職員通過嵌進(jìn)的非法舞弊程序,大量侵吞國家財富或企業(yè)資產(chǎn)。 三、審計過程中對網(wǎng)絡(luò)風(fēng)險的估計、量化 通過以上的比較分析,我們不難發(fā)現(xiàn)在新的審計環(huán)境下,審計的風(fēng)險模型確實有重構(gòu)的必要性。下面是我對網(wǎng)絡(luò)風(fēng)險的各構(gòu)成要素的進(jìn)一步闡述,它包括因素構(gòu)成、因素的項目風(fēng)險評價和綜合風(fēng)險評價。網(wǎng)絡(luò)風(fēng)險具體有6個影響因素構(gòu)成,用公式表示為:網(wǎng)絡(luò)風(fēng)險的計量=被審計單位的計算機(jī)財務(wù)會計信息系統(tǒng)的系統(tǒng)漏洞 會計信息系統(tǒng)的開放性 最新的病毒報告狀況 防火墻的性能 以往會計信息系統(tǒng)的運行狀況 審計單位自身的信息處理系統(tǒng)的安全性評價。 (一)被審計單位的計算機(jī)財務(wù)會計系統(tǒng)的系統(tǒng)漏洞估計 醫(yī)生治病也需要先尋病根,確定網(wǎng)絡(luò)系統(tǒng)的風(fēng)險大小,首先應(yīng)該知道這個系統(tǒng)的弱點和漏洞,其弱點和漏洞的嚴(yán)重程度是決定整個系統(tǒng)風(fēng)險大小的一個重要方面。而一個網(wǎng)絡(luò)系統(tǒng)中的漏洞大致可以包括三種不同類型: 1、實現(xiàn)漏洞:所有的系統(tǒng)實現(xiàn)都不可能沒有漏洞,盡管設(shè)計可以是無懈可擊的。軟件“Bug”是最典型的漏洞,例如:著名的sen山mail程序的漏洞被很多人用來獲得系統(tǒng)的非授權(quán)訪問。實現(xiàn)漏洞在操縱系統(tǒng)、數(shù)據(jù)庫系統(tǒng)中是不可避免的,并且這些漏洞還無法猜測,往往只能依靠大量的使用來發(fā)現(xiàn),依靠供貨商的升級和“補(bǔ)丁”,依靠安全專家的警告。 2、設(shè)計漏洞:攻擊者使用的另一類漏洞來源于設(shè)計階段,這一類漏洞更難發(fā)現(xiàn),同時也更難彌補(bǔ),由于漏洞來源于設(shè)計,軟硬件實現(xiàn)完全圍繞設(shè)計實現(xiàn)。這種漏洞是固有的,只有依靠重新設(shè)計和實現(xiàn)。典型例子還是著名的sendmail程序,即使sendmail的實現(xiàn)無懈可擊,仍然可以利用sendmail程序反復(fù)天生郵件,從而實現(xiàn)拒盡服務(wù)攻擊。 3、配置漏洞:這是攻擊者最喜歡的漏洞,也是最常見的漏洞。配置漏洞來源于治理員(或用戶)錯誤的設(shè)置。很多產(chǎn)品制造商在產(chǎn)品出廠時往往為用戶設(shè)置了很多默認(rèn)的參數(shù),這些設(shè)置基于對用戶環(huán)境的充分信任,以方便新用戶的使用。但這些出廠設(shè)置可能會帶來嚴(yán)重的安全漏洞。典型的配置漏洞包括:繼續(xù)使用賬號的出廠默認(rèn)參數(shù),使用默認(rèn)的文件訪問權(quán)限設(shè)置,以及開放有漏洞的服務(wù)等。 通過以上的漏洞,作為注冊師應(yīng)該根據(jù)被審計單位的系統(tǒng)狀況對被審計單位的財務(wù)會計信息系統(tǒng)的安全性做出評價。此處,我設(shè)置了3個水平的評價指標(biāo):高、中和低。 高的風(fēng)險,指被審計單位的財務(wù)會計系統(tǒng)混亂,財務(wù)軟件漏洞很多,財務(wù)系統(tǒng)運作混亂,不能進(jìn)行相應(yīng)的會計信息處理,會計信息的真實性無法保證。 中等的風(fēng)險,指被審計單位擁有一套比較完善的財務(wù)會計系統(tǒng),但財務(wù)軟件存在著致命性的漏洞,僅基本上能夠保證真實性的要求。 低的風(fēng)險,指被審計單位擁有一套完善的財務(wù)會計系統(tǒng),系統(tǒng)設(shè)置能夠適應(yīng)業(yè)務(wù)的需要,系統(tǒng)中不存在明顯的、致命性的設(shè)計漏洞,能夠提供真實、客觀的財務(wù)信息。 (二)會計信息系統(tǒng)的開放性 會計系統(tǒng)的開放性指能夠接觸到會計信息系統(tǒng)的終端用戶的范圍。一個會計系統(tǒng)的終端使用者越多,那么他所面臨的網(wǎng)絡(luò)風(fēng)險越大。在會計信息系統(tǒng)的開放性中值得一提的是網(wǎng)絡(luò)開放性題目,假如一個公司的財務(wù)系統(tǒng)要上網(wǎng)向公眾公告,那么會計系統(tǒng)將承受更多的網(wǎng)絡(luò)風(fēng)險。具體的評價指標(biāo)也有3個即: 高的開放性,指會計信息系統(tǒng)要向與Internet相連接,向公告。 中的開放性,指會計信息系統(tǒng)只在本單位的局域網(wǎng)中開放,不與Internet相連接,除了滿足公司治理的需要,不需要向社會公眾公告。 低的開放性,指會計信息系統(tǒng)不存在分布式的設(shè)計,不需要聯(lián)網(wǎng)工作,僅僅在財務(wù)部分內(nèi)部使用,不向外公告。 (三)最新的病毒發(fā)布情況 病毒和黑客是機(jī)系統(tǒng)致命的敵人,最新的病毒發(fā)布狀況直接決定了財務(wù)信息系統(tǒng)在當(dāng)時的風(fēng)險因素的大小。假如審計期間有大規(guī)模的且非常厲害的病毒爆發(fā),那么網(wǎng)絡(luò)風(fēng)險就會高,也就要求審計職員做出大量的技術(shù)處理以避免病毒攻擊,確保信息的安全、可靠。具體的評價指標(biāo)也有3個即: 高風(fēng)險,指在審計期間出現(xiàn)了大量的新的對系統(tǒng)有致命損害的病毒,且這種病毒的防范措施尚未形成,沒有專門的殺毒軟件可以處理。 中風(fēng)險,指審計期間出現(xiàn)一些新的毒,但這些病毒對于計算機(jī)系統(tǒng)的傷害并不是致命,而且采取相應(yīng)的措施可以有效的避免病毒的感染。 低風(fēng)險,指審計期間沒有新的病毒發(fā)布,一些常規(guī)病毒以被審計單位的技術(shù)水平完全可以應(yīng)付。 (四)防火墻的性能 防火墻的性能直接決定被審計單位的財務(wù)信息安全狀況。被審計單位的防火墻性能好,則可以避免前面所說的系統(tǒng)開放性及最新病毒的攻擊題目,從而整體上降低財務(wù)信息系統(tǒng)的網(wǎng)絡(luò)風(fēng)險。相反,則會加重前面的風(fēng)險系數(shù)。防火墻的性能實在是前面提到風(fēng)險的加乘系數(shù),這個系數(shù)可能是正的亦可能是負(fù)的。假如為正,那么整體風(fēng)險增加;假如為負(fù),則整體的風(fēng)險水平會由于防火墻的存在而降低。具體的評價指標(biāo)有2個即: 高風(fēng)險,指防火墻的性能不穩(wěn)定,對于一些常規(guī)病毒的進(jìn)侵無法應(yīng)對,防范性能即是0. 低風(fēng)險,指防火墻的性能穩(wěn)定,能夠有效的防范病毒的進(jìn)攻。 (五)以往會計信息系統(tǒng)的運行狀況 由于網(wǎng)絡(luò)系統(tǒng)題目的暴露有一個時間過程,則會計信息系統(tǒng)以往的運行狀況對于審計職員進(jìn)行被審計單位的網(wǎng)絡(luò)風(fēng)險水平評價具有價值。假如被審計單位的會計信息系統(tǒng)以往的運行狀況良好,沒有出現(xiàn)任何的重大錯誤,則我們可以推定在審計過程中,被審計單位的信息系統(tǒng)不會有重大的差錯,可以接受被審計單位信息系統(tǒng)的數(shù)據(jù),進(jìn)而可以降低整體的項目可接受的審計風(fēng)險水平。假如被審計單位的會計信息系統(tǒng)在以往的工作中的表現(xiàn)不盡如人意,那么審計職員在對被審計單位會計信息系統(tǒng)的數(shù)據(jù)接受時,就要采用審慎的態(tài)度。這里我們設(shè)定的水平指標(biāo)同樣有以下三種: 高風(fēng)險,指被審計單位的財務(wù)信息系統(tǒng)以往的工作表現(xiàn)欠佳,曾經(jīng)出現(xiàn)過重大會計差錯題目。 中風(fēng)險,指被審計單位的財務(wù)信息系統(tǒng)以往的工作表現(xiàn)一般,曾出現(xiàn)這樣那樣的非重大差錯。 低風(fēng)險,指被審計單位的財務(wù)信息系統(tǒng)以往的工作表現(xiàn)良好,以前沒有出現(xiàn)任何的非以為的系統(tǒng)處理錯誤。 (六)審計單位自身的信息處理系統(tǒng)的安全性評價 在網(wǎng)絡(luò)審計情況下,審計職員的審計手段更多的借助于網(wǎng)絡(luò)的高產(chǎn)品,計算機(jī)信息處理系統(tǒng)在各大會計事務(wù)所廣泛。同樣的審計單位同樣要面對網(wǎng)絡(luò)風(fēng)險的沖擊。所以審計單位在對被審計單位風(fēng)險進(jìn)行精確評價的同時還應(yīng)對自身的網(wǎng)絡(luò)風(fēng)險水平進(jìn)行系統(tǒng)的評價。審計單位的評價過程可以參閱前面的被審計單位的評價,此處我們不在逐一重復(fù)。 (七)網(wǎng)絡(luò)風(fēng)險各因素間的關(guān)系 網(wǎng)絡(luò)審計情況下的對于審計的網(wǎng)絡(luò)風(fēng)險的總體水平評價可以采用圖表的形式加以說明: 由排列組合的知識我們知道這里有486種組合方式。鑒于以上對于6個因素的分析結(jié)果,我們將防火墻性能和被審計單位系統(tǒng)漏洞兩個因素的狀況作為評價網(wǎng)絡(luò)風(fēng)險的核心指標(biāo)。 首先,我們從上面的分析中不難發(fā)現(xiàn)防火墻的性能對于會計信息系統(tǒng)的開放性和最新的病毒報告狀況兩個因素有一定的節(jié)制作用。防火墻的性能狀況直接決定三個因素的整體風(fēng)險水平。假如前兩個因素的風(fēng)險水平處于高的狀態(tài),但是由于系統(tǒng)的防火墻性能很好,那么前兩個因素的高風(fēng)險會由于防火墻的低風(fēng)險而降低,進(jìn)而三個因素的整體風(fēng)險降低。相反,假如防火墻的性能很差,即使前兩個因素的各自風(fēng)險都很低,那綜合風(fēng)險也不會降低,甚至進(jìn)步。所以防火墻的性能水平是三個風(fēng)險因素的小核心。 其次,被審計單位的計算機(jī)財務(wù)會計信息系統(tǒng)的系統(tǒng)漏洞又是整個網(wǎng)絡(luò)風(fēng)險的核心。被審計單位的計算機(jī)財務(wù)會計信息系統(tǒng)的系統(tǒng)漏洞是根本性的風(fēng)險因素。假如被審計單位的會計信息系統(tǒng)存在致命性的漏洞,那么整個系統(tǒng)的綜合網(wǎng)絡(luò)風(fēng)險,肯定不會是很低的。 此外,審計單位的風(fēng)險水平是審計單位自身可以控制的因素,是一種可控風(fēng)險。 我們依據(jù)兩個指標(biāo)的水平狀況對網(wǎng)絡(luò)風(fēng)險的486種組合進(jìn)行了總體的分類,即高、中、低三檔。具體的:在這486種組合方式中,我將其中含有防火墻性能和被審計單位系統(tǒng)漏洞兩項為高風(fēng)險的設(shè)定為整體的高風(fēng)險;相反的情況就為低風(fēng)險;其他的組合方式為中的風(fēng)險。 針對不同的網(wǎng)絡(luò)風(fēng)險水平要求審計職員采取不同的措施。具體的: 高的網(wǎng)絡(luò)風(fēng)險水平意味著被審計單位的財務(wù)會計信息系統(tǒng)是不可信的,其數(shù)據(jù)不能采用,其要求審計職員對于被審計單位的會計記錄進(jìn)行具體的審查,追加審計的時間。 中等的審計風(fēng)險和低的審計風(fēng)險意味著被審計單位的財務(wù)信息系統(tǒng)基本上能夠提供真實可靠的會計信息,審計職員可以全部接受,適當(dāng)減少審計的時間,加速審計效率。 四、審計職員審計過程中對于網(wǎng)絡(luò)風(fēng)險的應(yīng)對措施 (一)開發(fā)和應(yīng)用審計軟件對相關(guān)網(wǎng)絡(luò)系統(tǒng)進(jìn)行實時跟蹤 網(wǎng)絡(luò)審計是借助網(wǎng)絡(luò)審計軟件進(jìn)行的,加強(qiáng)網(wǎng)絡(luò)審計軟件的與開發(fā)是發(fā)展網(wǎng)絡(luò)審計所必須的。首先,從現(xiàn)在實際情況和性出發(fā),選擇相應(yīng)的財務(wù)軟件公司,利用他們在財務(wù)軟件制作方面的經(jīng)驗開發(fā)網(wǎng)絡(luò)審計測試軟件;其次,對被審計單位的網(wǎng)絡(luò)系統(tǒng)進(jìn)行評價,并利用專用的審計對比軟件,將存放于數(shù)據(jù)庫不同地址的同一數(shù)據(jù)進(jìn)行自動比較,以形成相應(yīng)的記錄文件,并對有差異的文件數(shù)據(jù)進(jìn)行具體審查;再次,對被審計單位的自動檢測數(shù)據(jù)庫軟件和恢復(fù)軟件進(jìn)行審查和評價;最后,要對被審計單位的異常貿(mào)易,通過網(wǎng)絡(luò)進(jìn)行預(yù)警提示,以降審計風(fēng)險。 (二)建立審計服務(wù)信息庫 審計職員可將被審計單位的有關(guān)信息,通過網(wǎng)絡(luò)建立一個完善的大容量的信息庫,把這些信息包括被審計單位的背景資料、最新動態(tài)和一些以前審計的檔案信息,以便以后開展審計時查閱和運用,這樣將可大大減少工作時間,進(jìn)步工作效率,同時也相應(yīng)地降低了審計的風(fēng)險。 (三)加強(qiáng)對網(wǎng)絡(luò)系統(tǒng)的安全性和保密性進(jìn)行審查 在網(wǎng)絡(luò)中運行,信息的安全性即可靠性和保密性構(gòu)成了審計的風(fēng)險防范和控制的重點。首先,對網(wǎng)絡(luò)系統(tǒng)職責(zé)分離情況進(jìn)行審查,遵循的原則仍為不相容職責(zé)必須分離,但側(cè)重對數(shù)據(jù)的輸進(jìn)、輸出,軟件開發(fā)的維護(hù)及系統(tǒng)程序修改或治理等之間的關(guān)系處理進(jìn)行審查;其次,對被審計單位網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行分析與評價,以確認(rèn)防范黑客侵進(jìn)的能力;再次,對被審計單位的系統(tǒng)容錯處理機(jī)制、安全治理體制和安全保密技術(shù)等作深進(jìn)的了解,以評價其系統(tǒng)安全性的等級,從而有效地控制審計風(fēng)險。 (四)加快網(wǎng)絡(luò)審計人才的培養(yǎng) 大批精通網(wǎng)絡(luò)、計算機(jī)及審計的職員隊伍是網(wǎng)絡(luò)審計能否得以實施的關(guān)鍵。審計職員必須經(jīng)常更新自身的知識結(jié)構(gòu)才能適應(yīng)網(wǎng)絡(luò)審計工作的需要。這就需要在審計職員的培養(yǎng)和將來的CPA資格中適當(dāng)增加有關(guān)計算機(jī)、網(wǎng)絡(luò)及操縱的考察并定期對審計職員進(jìn)行相關(guān)培訓(xùn)。 (五)制訂網(wǎng)絡(luò)審計準(zhǔn)則 審計準(zhǔn)則是審計工作應(yīng)遵循的規(guī)范和標(biāo)準(zhǔn),是提評價審計工作質(zhì)量的權(quán)威性規(guī)則。網(wǎng)絡(luò)審計對象、線索、方法、流程、結(jié)果等各方面相對于傳統(tǒng)審計都發(fā)生了變化,以往的審計標(biāo)準(zhǔn)和準(zhǔn)則已經(jīng)不能完全適用,所以應(yīng)加快新的審計標(biāo)準(zhǔn)和準(zhǔn)則的制定以指導(dǎo)網(wǎng)絡(luò)審計工作實踐的深進(jìn)。 (六)加強(qiáng)網(wǎng)絡(luò)審計立法 網(wǎng)絡(luò)審計立法是保障網(wǎng)絡(luò)審計正常發(fā)展的關(guān)鍵性措施。新的《會計法》已增加了有關(guān)網(wǎng)絡(luò)財務(wù)的,《商務(wù)法》起草工作正在加緊進(jìn)行之中,但是上述法規(guī)都不是針對網(wǎng)絡(luò)審計而發(fā)布的,不能夠滿足網(wǎng)絡(luò)審計的需要。因此,有必要加快網(wǎng)絡(luò)審計立法工作的力度和進(jìn)度,使人們在開展網(wǎng)絡(luò)審計工作尤其是進(jìn)行正當(dāng)性審計時有法可依。 [參考] [1]董剛毅。網(wǎng)絡(luò)審計的風(fēng)險和控制[J].審計理論與實踐,2002,(9)。 [2]李金花。論電子商務(wù)的網(wǎng)絡(luò)審計[J].河南貿(mào)易高等專科學(xué)校學(xué)報,2003,(6)。 [3]夏 敏。網(wǎng)絡(luò)審計的重要性與可行性分析[J].審計天地,2003,(10)。 [4]曾憲策。網(wǎng)絡(luò)審計的創(chuàng)新和風(fēng)險[J].審計,2003,(2)。 [5]鄭曉龍,林辛。淺議信息技術(shù)時代的網(wǎng)絡(luò)審計[J].師,2004,(4)。 [6]潘立亞。互聯(lián)網(wǎng)時代審計新概念-網(wǎng)絡(luò)審計[J].經(jīng)濟(jì)師,2004,(3)。 [7]郭強(qiáng)華,郭看予。企業(yè)網(wǎng)絡(luò)審計建設(shè)與實施[J].中國治理信息化,2005,(2)。【網(wǎng)絡(luò)經(jīng)濟(jì)下的審計風(fēng)險模型重構(gòu)】相關(guān)文章:
現(xiàn)行審計風(fēng)險模型的缺陷與重構(gòu)03-21
審計風(fēng)險模型探討03-23
試論審計風(fēng)險模型的改良03-20
審計風(fēng)險模型的演進(jìn)及應(yīng)用03-07
從審計風(fēng)險模型的改進(jìn)看風(fēng)險導(dǎo)向?qū)徲嬙谖覈倪\用12-08
從審計風(fēng)險模型的改進(jìn)論風(fēng)險導(dǎo)向?qū)徲嫷膽?zhàn)略調(diào)整03-21
淺論傳統(tǒng)審計的缺陷及現(xiàn)代審計風(fēng)險模型的應(yīng)用11-16
淺談審計風(fēng)險模型的改進(jìn)及實施障礙03-02