淺談網絡審計1
淺談網絡審計2
隨着計算機網絡的廣泛應用,網絡會計及網絡會計審計已經成爲人們關注的熱門話題。同時,它也正在極大地改變着傳統會計和傳統審計的工作方式。本文就網絡會計及網絡會計審計從特點、內容、原則及應注意的有關問題幾方面談一下個人看法。
一、網絡會計的特點、風險及其審計特點
(-)網絡會計的特點
與單機處理方式相比,網絡會計的特點如下:
1.會計數據共享。網絡上的每一臺工作站、不僅可以使用本站點上的會計數據,還可以使用服務器中存放的有關會計數據;而服務器中的會計數據,又可以由一臺或某臺工作站輸入和處理產生。用絡上的各個工作站被授予不同的權限。對照更換中的會計數據進行該寫操作。會計數據在報務器存儲器中的位置不需改變,也不需複製,各工作站共享一份完整的會計數據。在網絡會計系統中,會計數據共享的具體運用,集中體現爲反映會計資訊的時序性。例如,只要在管理者的辦公室裝一臺工作站。授予其權限,管理者就可隨時查詢和掌握企業的各個時點的財務狀況。
2.會計功能共享。網絡上的任何一臺工作站,都享有系統的全部功能。即在任何一個工作站上,都能啓動和執行計算機會計系統中某一子系統並正常工作。例如,某部門要進行二級覈算,只要在這個部門配備一個網絡工作站,由網絡管理員授予部門用戶一定的權限,由財務系統的主管設定分配一個賬套,確定操作員的姓名、口令和建賬權限,這個操作員就可以處理本部門的全部賬務。在進行必要的權限設定後,主管部門可隨時對二級覈算部門的賬務數據進行查詢。
3.會計數據分佈式輸入。會計數據量大,在輸入過程中耗費了大量的時間,會計數據的輸入速度直接影響會計數據處理的進程。在大型企業中,輸入會計數據佔用了極大的時間,而會計數據的處理卻由於計算機的高性能而用時很少。計算機網絡會計系統中會計數據輸入速度和處理速度的矛盾已不明顯、可以將不同部門收集的數據由各收集部門分別輸入,並大大減少輸入人員對數據所涉及的業務不熟悉造成的差錯,進而提高了工作效率。
4.會計數據安全性要求高。在網絡會計系統中,會計數據的安全性問題顯得尤爲突出和重要。網絡環境下,系統的安全主要透過網絡硬件環境和軟件環境本身具有的一套安全保障機制來實現。例如,用戶註冊必須輸入口令,對多次註冊失敗的非法入侵者,網絡可在一段時間內暫停該工作站註冊入網。
(二)網絡會計的新風險
計算機網絡的發展使計算機在會計中的應用日益廣泛與深入,同時也使計算機網絡會計系統的風險防範難度加大。計算機網絡會計系統所帶來的新風險主要表現在以下幾個方面:
1.物理風險。物理風險主要包括:(1)計算機網絡會計系統硬件選配不合適,致使網絡功能發揮受阻;(2)網絡工作環境電源等不合要求直接影響網絡的可靠性;(3)網絡設備安裝不規範,導致網絡執行不穩定;(4)網絡設計不規範,缺少風險防範措施;(5)網絡操作系統的安裝、維護不善;(6)網絡後理制度不健全;(7)對計算機病毒的侵蝕不重視,沒有必要的防範措施等。
2.對會計資訊保密性的破壞。從技術上說,任何傳輸線路都可能被“”、對會計資訊的不但可以資訊的內容,還可以在不瞭解資訊內容的情況下資訊的流量和流向、通信的頻度和長度,由此推定有用的資訊。對會計資訊的截取還包括合法用戶採用不正當的手段讀取本人權限之外的資訊。對會計資訊保密性的破壞屬於被動型的破壞,不改變會計資訊的內容、形式與流向。
3.對會計資訊完整性的破壞。對於計算機網絡會計系統米和一會計資訊完整性的破壞是系統的主要風險。一對會計資訊完整性的破壞有人爲和非人爲的因素。非人爲因素表現在通信傳輸中的干擾、系統硬件或軟件的差錯等。人爲因素又包括有意和無意兩種。有意者如非法對計算機網絡會計系統的侵入。合法用戶越權對網絡內會計數據的處理以及隱藏程序對會計數據的破壞等。對會計資訊完整性的破壞屬於主動型破壞,可以篡改會計資訊的內容、形式與流向。
4.對系統執行的干擾。對計算機網絡系統執行的干擾包括合法用戶不能正常訪問網絡的資源和有嚴格時間要求的服務不能得到及時的響應。影響計算機網絡會計系統正常執行的因素也有人爲和非人爲兩種。人爲因素如非法佔用網絡資源、切斷或阻塞網絡通信、透過計算機病毒降低網絡的性能、致使網絡癱瘓等。非人爲因素如災害事故、系統鎖死、系統故障等。
(三)網絡會計審計的特點
由於網絡會計實現了資源(硬件、軟件、資訊等)的通訊和共享,從而給審計工作帶來了新的特點。
1.審計的地理範圍擴大
在單機系統中,電算化會計工作一份集中在會計部門的一臺計算機上,審計人員只需要對這臺計算機的控制問題以及其中的程序、數據進行審查即可。但在網絡系統中,電算化會計工作有可能並不在會計部門,而是在企業的電算化部門,而且,各個終端在地理位置上也是分散的、因此,審計人員必須到更多的地方去了解每一個終端的使用情況。
2.審計的業務範圍擴大
在單機會計軟件中,一般只有單純的會計覈算功能,但在網絡系統中,可以實現各個業務功能之間的數據傳遞和共享,功能更加全面,有的甚至於形成了MIS、MRP、ERP系統。這樣,會計系統和其他資訊系統就存在着密切的資訊傳遞關係。因此,審計人員必須熟悉更多的企業業務,才能理清會計數據的來龍去脈。
3.審計的頻度增大
在網絡系統中,由於各個部門可以隨時將本部門的數據格人並進行處理,因此,數據的更新速度快。如果審計人員不能跟上系統更新的頻率,不能及時調查和獲取一些中間結果,就很難作出審計判斷。從而使審計工作也具有了“實時”的特點。
4.審計的技術手段更離
網絡系統較單機環境面臨更多的安全問題,因而,與單機環境相比較所採取的內部控制更爲複雜。因此,審計人員要想了解更多的控制和有關的控制制度,就必須掌握更多更先進的知識和審計技術手段。
5.審計的風險增大
在單機環境下,可以爲計算機創造一個相對獨立、良好的環境,防止無關人員的物理接觸和非授權使用。但在網絡系統中,由於各終端的分散,對各終端的控制變得很困難。因爲可能會有未經授權人員利用終端訪問系統。另外,網絡中的傳輸線路、接口等都可以成爲安全隱患。此外。由於在網絡系統中可以由各個終端輸入數據。使得輸入出錯率增大。如果在網絡系統中處理的實時性差,又會使有些錯誤很快蔓延,從而使網絡中的錯誤更難查找和糾正。
二、網絡會計審計的內容及其應遵循的控制原則
1.審查計算機網絡會計系統的硬件。計算機網絡會計系統硬件的主要控制問題是硬件的責任性與相容性。硬件的責任性是指硬件應具有明確的控制特性,能讓經授權的使用單位或人員在其授權範圍內有效地使用硬件,並能預防、制止及記錄非法的接觸和破壞,使硬件的管理和使用的責任能明確劃分。硬件的相容性是指系統內所有節點的計算機及外圍設備,均可不經轉換,即可接受或處理另一節點計算機所產生會計數據的能力。
計算機網絡會計系統的硬件是否具有合理的責任區分能力,是確定系統可靠性與完整性的主要依據。審計時應對硬件的責任性與相容性進行測試。應選擇適當的測試方式,並選擇該方式使用的審計工具與技術,確定其是否遵循以下控制原則。
(1)制定適當的硬件責任性與相容性功能的驗收標準,使計算機網絡會計系統的控制處於一定的水準之上。
(2)各節點的使用者,應儲存完整的硬件使用記錄,以便事後檢查和明確責任。
(3)硬件所具有的各種控制特性,應充分加以利用,以防止非法破壞。
(4)使用或改變系統內所存儲的會計數據時,應事先經過允許,並記錄使用或變更情況。
(5)規定設定若干備用硬件,以供緊急使用。
2.審查計算機網絡會計系統的控制事項。控制分散是計算機網絡會計系統的最主要問題。由於控制的分散和缺乏控制標準,使得計算機網絡會計系統處理結果的正確性與完整性受到影響。審查計算機網絡會計系統的控制事項,應就控制的適當性、控制標準的制定以及控制的主動性等方面進行測試。應選擇適當的測試方式,並選擇該方式使用的審計工具與技術進行審查,以確定其是否遵循以下控制原則。
(1)明確規定哪些業務應納入計算機網絡會計系統進行處理;對於計算機網絡會計系統的建立,應制定詳細的計劃和進度表;每項業務在轉入計算機網絡會計系統時,應制定詳細的轉換計劃。
(2)應制定詳細的人員培訓計劃,使應用計算機網絡會計系統的所有人員都能夠接受適當的訓練。
(3)在計算機網絡會計系統正式投入使用前,應建立適當的驗收標準。
(4)應建立適當的監督程序,以監督錯誤處理髮生的次數和時間等。
(5)嚴禁一個工作站逾越另一工作站的處理規則,或代爲輸入主要指令,以避免計算機網絡會計系統處理上的混淆。
(6)各工作站發出的資訊,應堅持是否均含有有效的目的地址。
3.審查計算機網絡會計系統的處理事項。計算機網絡會計系統的處理事項,包括系統使用的應用程序、操作系統以及操作人員操作設備。這三部分的結合運用,使計算機網絡會計系統的硬件能有效地運轉。審查計算機網絡會計系統的處理事項,應就係統處理能力的完備性與可制定性、操作人員訓練的適當性等進行測試。應選擇適當的測試方式,並選擇該方式使用的審計工具與技術,確定其是否遵循以下控制原則。
(1)各工作站處理單位間通信的接收與傳輸方法、系統停頓後重新開始與恢復的步驟等,均應編成作業手冊分送各處理單位。
(2)基於審覈與備用的目的,從其他工作站所收到的資訊,均應記入日誌中,以供審查。
(3)計算機網絡會計系統的各種處理要求,均應制定詳細的處理計劃。
(4)計算機網絡會計系統資訊處理的優先性應予明確,使最重要的資訊與處理能優先傳送或完成。
4.審查計算機網絡會計系統的數據。數據定義的一致性是計算機網絡會計系統的主要問題。計算機網絡會計系統的各個節點之間雖然有一定的獨立性,但數據的定義方式應有統一的規定,並應禁止各節點按本身的需要擅自訂。
審查計算機網絡會計系統的數據,應就數據的共同使用、數據庫的控制方法以及數據定義等方面進行測試。應選擇適當的測試方式,並選擇該方式使用的審計工具與技術,確定其是否遵循以下控制原則。
(l)爲使各個工作站明確數據正確性的責任,應設定適當的鎖定措施,以防止兩個以上應用作業同時存取同一數據的情況發生。
(2)爲提高數據的使用價值,計算機網絡會計系統的任一工作站點的會計數據,應能與其他工作站點相互流通。
(3)由各工作站送出的每一資訊,均應附有發送單位及該資訊預期接受者的識別碼。
(4)建立數據定義的統一規範,規定所有使用單位均應採用標準的數據定義,並禁止任何使用單位任意重新定義數據。
(5)計算機網會計系統內的'數據庫,在需要時,應能重新歸併爲以整個機構爲範圍的數據庫。
(6)當共同數據需要更新時,應規定同時更新其他數據庫內所有相同的數據。
5.審查計算機網絡會計系統的安全事項。在網絡環境下,隨着處理的分散,各終端負責數據處理的人員平均技術水平將下降,對通信線路的依賴程度加重,增加了安全上的隱患。由於硬件、數據、處理以及控制的分散,計算機網絡會計系統需具備的安全性,大大超過單機計算機會計系統應具備的安全標準。大量的會計資訊穿梭於計算機房與其通信線路之間,因此,必須兼顧通信線路與計算機機房的安全。審查計算機網絡會計系統的安全事項,應就傳輸線路的安全、資源指派的靈活性等方面進行測試。應選擇適當的測試方式,並選擇該方式使用的審計工具與技術進行審查,以確定其是否遵循以下控制原則。
(1)各工作站處理應放置於安全場所,只有經過授權批准的人員才能使用該設備。
(2)各工作站處理機,僅供該工作站經授權的應用作業使用。
(3)記錄使用者的用戶口令,以有效識別使用單位,防止未經授權的人員濫用計算機網絡會計系統資源。
(4)在未經授權企圖由一工作站處理單位接觸另一工作站處理單位的數據時,系統應立即中止企圖獲取數據的工作站處理機的使用。
(5)爲保護機密性和敏感性數據,計算機網絡會計系統應採用如回叫技術、密碼技術、特殊接觸控制等控制措施。
(6)在工作站處理單位不執行的時間,計算機網絡會計系統應予關閉。
(7)各工作站的安全處理程序應作成“書面”規定,如有變化,應隨時更新,同時定期進行復核,以確定實際作業符合規定的安全目標,如遇有妨礙安全的事項,應自動載入控制報告,以便於追查。
(8)計算機網絡系統的所有指令應完整地載入計算機日誌中,以使監督人員複覈。
(9)建立比單機系統更完整的意外事件應變計劃,並經常測試。
三、網絡會計審計應注意的幾個問題
對計算機網絡會計系統的審計目的與單機會計系統審計的目的相同。但是在執行計算機網絡會計系統審計時,應注意以下幾方面問題。
l、審計範圍的問題。在單機會計系統中,審計人員關注重點在於內部控制的符合性測試和數據檔案的實質性測試;而在計算機網絡會計系統中,各工作站所執行的只是整個子系統中的一部分功能,任何一個工作站所提供的資訊都是日常經常活動中不可缺少的組成部分。因此,要對計算機網絡會計系統作出評價,審計的範圍將涉及服務器、工作站、傳輸介質、計算機網絡會計軟件等部分。
2、審計方式的選擇。隨着計算機網絡會計系統的發展,系統中的審計線索將會轉瞬即逝,爲了對計算機網絡會計系統進行審計,審計工作應採用在線實時審計的方式。採用這種方式,既可以及時收集審計證據,也能得出可靠的審計結論,還可以極大地提高對計算機網絡會計系統審計的效率。目前應考慮審計機關的計算機系統如何及時監督被審計單位的計算機網絡會計系統,這就需要被審單位的計算機網絡會計系統具有相應的接口。
3、審計方法的選擇。在對計算機網絡會計系統進行審計時,非網絡環境下的審計方法隨着審計對象的改變而改變。主要表現在對計算機網絡會計系統進行審計時,所有測試都必須在不改變數據庫或記錄的條件下設計的具體測試方法。由於網絡系統的持續執行,使審計人員很難讓其在某一特定的時間停下來以接受大規模測試,如果測試的數據會改變數據記錄,就意味着審計人員可能給系統帶來差錯。因而就審計方法而言,採用受控處理法和虛擬單位法等進行系統測試的審計方法,在系統執行的同時進行審計,對審計人員審查和評價整個計算機網絡會計系統顯得尤爲重要。