國際互聯網的不斷髮展,使全世界邁入了一個資訊化的時代。以高效率和低成本爲特徵的電子商務於20世紀90年代首先由美國發起並向全球推廣,它大大改變了傳統企業的經營管理模式和會計工作模式,同時也給審計帶來了新的挑戰和發展機遇,網絡審計的產生正是體現了電子商務發展的內在需求。由於經濟環境的複雜性和計算機網絡自身固有的侷限性,網絡審計不可避免地會存在一些問題,將直接導致審計人員利用網絡技術對有關資訊系統進行審計後發表不恰當的審計意見。下面是本站小編爲大家帶來的網絡時代的審計風險與防範的知識,歡迎閱讀。
一、網絡審計面臨的風險
(一) 網絡風險防範與控制任務艱鉅
從環境的角度來看其風險因素主要來自三個方面:一是由於計算機自身的侷限性所引起的。如發生網絡故障或遭自然、機械災害損壞以及不合法的操作等,會導致數據毀損或丟失;二是由於管理不善或控制不嚴等,犯罪主體對計算機設施、輸入、輸出、軟件這四個入口實施破壞,使數據受損。據統計,美國的計算機用戶在過去兩年中因病毒、間諜軟件和網絡欺詐等電腦犯罪帶來的損失超過了80億美元。64%的受訪者表示曾檢測到病毒,其中超過半數的用戶不得不格式化硬盤;三是由於“黑客”襲擊網絡,篡改、破壞審計數據乃至整個系統,使經營者蒙受巨大損失。網絡犯罪已經對各國的經濟發展和國家安全構成了現實威脅。
從審計工作的角度看,電子商務系統在使用過程中的風險越大,審計風險也越大。第一,數據高度集中於OA或ERP系統,如果對數據庫控制得不嚴格,會導致機密的數據被非法傳播,甚至被篡改而不留下任何痕跡;第二,OA系統設計的不合理,會造成對數據處理的冗餘和系統處理事務時的不確定;第三,電子商務系統主要以磁盤、磁帶、光盤等存儲介質作爲資訊載體,記錄於這些存儲介質上的資訊是肉眼不可見的,必須藉助於計算機才能以人可以理解的形式表現出來,而同一資訊可以被“翻譯”成不同的形式,利用磁性介質難以實現諸如簽字、蓋章等這些使資訊證據化的操作;第四,計算機病毒的入侵和黑客對電子商務系統的蓄意破壞等等。上述因素都可能使審計風險中的重大錯報風險增大。根據審計風險模型,審計風險=重大錯報風險×檢查風險。該模型清楚地揭示出,在檢查風險不變的情況下,重大錯報風險的增大必然使審計風險隨之增大。因此,網絡審計中重大錯報風險的防範與控制已成爲審計面臨的重要問題之一。
(二) 審計人員素質有待進一步提高
在網絡環境下,由於審計環境、審計線索、安全控制、審計內容和技術的改變,要求審計人員既要掌握會計、審計、經濟管理、法律等方面的知識,還要掌握計算機、網絡資訊系統、電子商務等方面的知識和技能;既要了解網絡環境經營和會計覈算的特點與風險,又要懂得如何利用計算機網絡進行審計。
審計署提出《資訊化建設總體目標和構想》中指出,全國審計系統已有2萬多人具備計算機初級水平,佔審計人員的25%,在審計業務、公文管理、辦公自動化方面運用計算機的水平都有較大提高。但是在註冊會計師的行業,情況並不樂觀。由於我國CPA資格考試推行較晚,到目前爲止在該項考試中還沒有涉及對計算機方面的要求,因此,絕大多數的CPA運用計算機的水平還比較低。就這方面素質而言,目前我國的審計人員尚未完全具備網絡審計的能力。
(三) 審計線索的電磁化困擾
在傳統會計系統中,會計覈算程序中的每一步都會在紙介質上留有文字記錄及簽名,審計線索十分清楚。但是電子商務中,由於採用計算機來處理與存儲,傳統的審計線索會完全消失。各種單據、票證和賬簿等都以電磁資訊的形式在網絡中傳遞並存儲於磁介質中,這些存儲在磁性介質上的資訊只能藉助於計算機來讀取。此外,原始單據被錄入計算機中之後,雖然透過人爲的控制去進行下一步的操作,但是傳統的審計線索在這裏中斷了,傳統的審計方法有的已不再適用,只能透過計算機進行審查。而且透過計算機產生的審計線索還有安全性差和不能永久儲存的缺點。如果系統設計時考慮不周,可能到審計時才發現只留下業務處理的結果而不能追索其來源。因此,網絡審計爲企業在開發審計軟件時怎樣才能保留類似於傳統審計的審計線索提出了新的需求。
(四) 審計軟件不完善
網絡審計是藉助網絡審計軟件進行的。現階段我國的軟件企業雖然比較多,但是尚未具備能與國外軟件相抗衡的競爭力。尤其在審計軟件的開發階段容易隱含一些技術問題,而在測試過程中又未能被發現,導致以後的執行中出現一系列的重複性錯誤。此外,目前還沒有一個統一的數據接口標準,也使審計軟件的投入使用遇到障礙。審計軟件還須大力加強數據管理和防破壞等功能的開發。當然,國內的軟件也有其自身的優勢,就是熟悉本土企業的業務流程及會計準則,這是國外的軟件企業所不及的。所以我們只有加大對審計軟件的調研、開發、測試的力度,使網絡審計系統更安全可靠、執行更準確、處理更及時,纔會被廣大審計人員所接受。
二、解決我國網絡審計風險的相應對策
(一)搞好網絡風險防範與控制
從環境的角度來說,主要應從以下幾個方面做起:第一,從硬件方面看,需要做到服務器的硬件維護、消防維護、日誌維護、UPS電源的維護,並且對直接操作服務器的人員進行安全檢查和操作規範化的培訓;第二,對數據安全的控制,嚴格按照權限的.分配進行對系統的操作,隨時確認數據密鑰的安全性,以防止來自Internet及內部的非法存取操作;第三,做好對系統和數據的備份工作,防止有人惡意的破壞或不可抗的外力的破壞。檢查防治病毒措施,是否安裝有殺毒軟件,防火牆之類,並嚴格控制使用外來存儲介質,等等。
從環境的角度來說,主要應從以下幾個方面做起:第一,從硬件方面看,需要做到服務器的硬件維護、消防維護、日誌維護、UPS電源的維護,並且對直接操作服務器的人員進行安全檢查和操作規範化的培訓;第二,對數據安全的控制,嚴格按照權限的分配進行對系統的操作,隨時確認數據密鑰的安全性,以防止來自Internet及內部的非法存取操作;第三,做好對系統和數據的備份工作,防止有人惡意的破壞或不可抗的外力的破壞。檢查防治病毒措施,是否安裝有殺毒軟件,防火牆之類,並嚴格控制使用外來存儲介質,等等。
從審計工作的角度來說,由於電子商務的系統特點,其廣泛使用必然造成審計風險中的重大錯報風險增大。根據審計風險模型,審計風險=重大錯報風險×檢查風險,我們可以看到,在重大錯報風險較高的情況下,審計人員只有透過擴大審計範圍、增加樣本量等措施來降低檢查風險,才能使審計風險保持在適當水平。
(二)培養網絡審計人才
一個精通網絡、計算機及審計業務的審計隊伍是網絡審計能否得以順利實施的關鍵因素。目前我國該類人才比較匱乏,需要做好審計人員和計算機人員的人力資源整合。培養網絡審計人才主要措施在於:第一,應定期對審計人員進行相關培訓,在CPA資格考試、審計專業技術職務考試中適當增加有關計算機、網絡理論及操作的測試;第二,各學校對審計、會計專業的學生,應將網絡理論及操作作爲一門主要課程,並加強實踐訓練;第三,審計組織在這方面應加大資金投入,定期對現有審計人員進行網絡知識培訓,使他們迅速適應網絡審計工作的環境;第四,審計人員應將學習網絡知識作爲一項長期任務來對待,不斷更新自身的知識結構以適應網絡審計工作的需要。
(三)完善網絡審計的取證方法
針對網絡審計線索的困擾,應完善網絡審計的取證方法。主要做法爲:第一,在統一接口的通用軟件開發後,規定各單位在會計數據檔案打印輸出的同時,以可審計的形式進行存儲保留,從而留下審計線索,以便審計人員實現有效的遠程審計;第二,審計組織要建立審計服務資訊庫。在資訊庫中錄入被審計單位存儲保留的有關經濟資訊,以便在審計時隨時調閱、查實和核對,方便收集審計證據;第三,要運用實時測試、電子函證、鉤稽關係測試等新的審計技術方法獲取證據。
(四)積極開發網絡審計軟件
網絡審計需要藉助網絡審計軟件進行,應大力開發網絡審計軟件。首先,要解決網絡審計軟件由誰開發的問題。從現實情況和科學性來說,最好選擇財務軟件公司進行開發,它在財務軟件製作方面的經驗有利於網絡審計軟件的開發;其次,要解決統一軟件接口的問題。應由國家運用行政力量制定數據接口標準,規定網絡審計軟件設計統一的數據結構、統一的輸入要求和有一定強制性的數據檔案;再次,要完善軟件的管理功能和防病毒破壞功能,防止“黑客”篡改數據等;最後,開發出的審計軟件應具有審計整理、審計分析、審計查證等功能,且可以完成審計工作底稿的製作,最終實現財務軟件與審計軟件一體化的目標。