新的历史时期,财务部门处理和搜集信息的工作,集中体现了网络会计信息披露集成功能。计算机的处理功能,极大的提高了企业管理系统和会计信息的协同效率,不再局限于传统的核算功能,而是向着具有前瞻性、预测性和经营决策分析方面发展。网络将不同时间和地域内的决策流和信息流进行了集聚,并将那些专业人员的数据分析和先进的财务软件融进其中,通过一定的整合,而使管理意见更加完善和系统。在网络环境下,会计信息所呈现的状态是一种开放的、动态的,为企业管理者的实时监控提供了便利。由于所形成的动态信息更加的准确和及时,进而促进了决策者对问题的预测和分析能力的提高。通过改革信息传递的功能,而增加了社会层面的公开信息,使审计机构的操作难度降低,提高了市场竞争的公正和公平性。并实时的联系证券和银行等机构,使之成为一个有机的整体。目前,网络会计信息处理工具包含了多种渠道,如电子邮件和电子数据交换等,这种信息沟通的多元化和多渠道,使信息的沟通更加的流畅和便捷。通过简单切换不同的工具,简化了手工操作的流程,可远程进行财务审计和提交报表,这样不仅仅降低了信息处理的成本,同时还进一步优化了企业结构的划分。
二、网络会计信息披露的几种模式
1.经济事项报告模式它并非是一种单纯的财务状况报告,而是通过详实的数据,对企业的预测形式和综合经济状况重点进行关注。而该模式的信息来源,通过加入网络技术而被拓宽,在统一的一个数据库中,加入了销售和生产等一系列的经济信息,并在公开网站上传。对于决策而言,这种信息模式的效用是非常高的,但其网络安全隐患也是不可避免的存在着。并且对使用者有极高的专业要求。在此报告模式下的数据库,通过不同的形式,来维护和存储原始数据,这样因为有愈加严格的专业性,也更加降低了其安全性,无法有效保护原始数据不被泄露。
2.实时报告模式传统信息的披露手段,是固定期限的财务报告,但它却无法满足信息爆炸的需求。所以财务信息的实时显示,就是网络会计信息披露的经典模式。企业可对信息系统充分利用,在数据库内,随时随地的输入交易事件和生产经营活动,便于使用者及时查询财务状况和经营成果。这种同步报告可促进决策者的地位和信息准确度的提高,规避信息的滞后。其缺点是监管不力、突出了风险并加大了审计的难度。
3.交互式按需报告模式此种模式需要数据库对原始的信息披露进行保存,主要是对那种组织生产系统中大规模的财务报告比较适合。它将会计系统分为三个模块,利用报告生成器,报告单位向使用者提供服务。同时,它还对反馈和改进报告的的渠道进行了设置。这是一种具有灵活性和实时性的模式,利用市场的平衡和交流,使会计处理效率提升,而它所面临的问题,同样包括监管和审计。总之,企业应立足于自身的质量要求和特点,量身定做会计信息的披露模式,将各自的效用充分发挥出来,改善网络环境下存在的各种问题,最终所制定的分析模式要切实可行。
三、网络会计信息披露问题
财务信息在网上流通,安全问题是其最大的隐患。和传统的财务数据相比,网络会计信息报告的审查和监管还不完备和正规。一些企业还不加区别的在网络上置放各种财务报告,其严密性并没有经过严格的审计。而使用者对其所获得的信息的安全性和真实性,并不确信,这样会无形中降低会计信息的实用性。而从者的角度而言,网络信息会受到各个方面的冲击,如竞争对手、网络黑客等,造成了信息的失窃和非法篡改数据库等问题的出现,严重的会使企业面临瘫痪的危机。这样不仅会影响到信息质量,还会对网络系统的正常工作带来影响,无法保障系统的安全性和技术性。
四、网络环境下的会计信息系统的改进
为了正常维持企业的设备维护和网络运营,企业需要投入大量的成本,不断采用新技术和新手段,来更新软件,我们还需要进一步完善网络会计系统的配套设施。首先,对会计信息管理进行强化,对会计信息的录入过程严格进行检验和控制,分工明确、各负其责。同时,对技术安全进行强化,加强网上防护,实现一种动态的安全和数据安全。其次,利用授权式和分散式两种方法,对网络环境下会计信息数据的安全作出保障;最后,对内部人员的监督和管理进行强化,通过内部控制制度的建立和健全,防止会计信息的披露。
五、结论
知识经济时代的到来,对很多学科产生了深刻的影响,审计也不例外。知识经济对审计
的挑战主要表现为网络审计面临的挑战。那么何谓网络审计?网络审计就是基于互连网,借助现代信息技术,运用专门的方法,通过人机结合,对被审计单位进行远程审计。网络审计是对以往电算化审计的时空观的又一次突破,是现代审计在电子商务时代的新发展,也是电子商务的内在需求。
21世纪是知识经济占主导地位的时代。知识经济的到来,使整个社会经济生活都发生着深刻的变化;而网络对经济领域的影响日益巨大。网络审计亦是如此。试从网络审计产生的动因、网络时代审计的特点、审计技术等理论要素角度浅析网络审计面临的挑战与对策。
论文第一部分阐述网络审计产生的动因。网络信息技术的飞速发展,使得全球经济向一体化方向发展,新的经济模式迫使会计信息系统必须进行创新,而且信息技术也为管理创新提供了强有力的技术支持。作为社会中介监督服务的审计也必然随着客观环境的变化而不断创新,以全新的审计模式来打破传统审计模式的束缚,利用计算机网络技术来开展审计业务,不仅可以提高审计工作质量和工作效率,而且使审计信息资源充分共享,网络审计是审计发展的必然趋势。网络审计的诞生主要有以下动因:1.新的经济运作机制的需要。随着信息高科技的飞速发展,internet技术的不断成熟以及电子商务模式在企业中的广泛运用,使信息的处理和传递突破了时空的界限,电子商务不仅提供了集物流、资金流和信息流于一体的商务交易模式,而且其快捷、方便、高效率、高效益等特征也改变了经济的结构和运作方式。2.审计组织自身发展的需要。在网络经济时代,随着客户业务的发展,越来越需要中介服务机构提供实时化、个性化的服务,这就促使审计组织向在线实时服务为主的方向发展,充分利用网络的低成本、快捷性和跨越时空性等优势来开展业务。3.会计信息系统发展的需要。
第二部分介绍网络审计的特点。在全球信息化的趋势下,诞生了网络技术和审计相结合的高科技产物——网络审计。网络审计是在网络环境下,借助大容量的信息数据库,并运用专业的审计软件对资源共享和授权资源提供实时、在线的个性化审计服务。网络审计已呈现出传统审计无以伦比的特点和优越性:1.审计信息资源充分共享。众所周知,审计信息、审计报告是有关投资人、债权人及其它相关主体进行理性决策所必不可少的信息资源。2.审计信息数据传递网络化。网络审计能够充分利用各种现代化通讯设施,对被审计单位会计报表、经营业绩进行审计测试,形成审计结论,维护委托人和社会公众的合法权益。3.审计报告的实时性。在网络环境下审计组织通过建立网络平台,对被审计单位进行实时审计追踪,可以提高审计工作效率,强化审计工作的指向性。4.审计服务智能化。网络环境下,审计组织为委托单位提供审计服务的特征为:智能化的面向客户服务,开放式资源共享,模块化动态组合,最大限度的维护委托单位的利益。5.审计费用成本低。
一、网络审计产生的动因
首先,审计机构的自身利益驱动,促使了它不断地进行创新。根据经济学原理,一个企业的发展是以利润最大化原则去运作经营,作为中介服务的审计同样如此。如何实现利润最大化目标,不外乎通过增加服务收入,减少成本费用等方式来实现。在网络时代,随着客户服务偏好的转向,越来越需要提供实时化、个性化的服务,这就促使了审计机构向在线实时服务为主的方向发展,充分利用网络的低成本性、快捷性、跨越时空性等优势。因此审计机构会渐渐地建立起以网络为依托的审计新模式,从而更有效的服务于社会经济。
其次,随着信息高科技的飞速发展,Intranet技术的不断成熟以及电子商务模式在企业中的广泛运用,越来越使信息的处理和传递突破了时空的界限,电子商务不仅提供了集信息流、物流和资金流于一体的商务交易模式,而且处处体现出其快捷、方便、高效率、高效益的显著特征,同时也带来了经济结构和运作方式的变革。审计作为中介服务的一部分,将直接受到其服务对象交易模式的影响,企业采用了新的电子商务模式,产生了新的运作机制,势必需要产生一种新的监督机制来维护和保障市场的正常运作,体现其公平性,这一历史重任必将推动着审计进行创新,从而为网络审计的产生和发展提供了驱动力。
再次,网络经济是跨越时空的经济。全球经济一体化是它的特征之一,对于每个提供审计服务的机构而言,网络经济给它带来了机遇,使它能摆脱传统地域观念的束缚,开拓新的审计领域,同时网络经济也给它带来了挑战,全球审计服务市场的进一步开放,将使竞争更趋激烈,只有在竞争中寻求合作,才能更好的参与竞争,保持优势。因此在这种环境下势必会培育出一种新型的市场运作机制,这也是网络审计所必需的。
最后,由于审计与会计的血缘性,使它的发展受到会计制度和实务创新的影响。随着企业局域网的建立和完善,会计的无纸化,电子化进程不断加快特别是诸如网络财务、网上远程会计等新概念的提出。进一步要求与之适应的网上监督机制的建立,这在一定程度上推动着网络审计的产生和发展。
鉴于上述不同的原因,我们有理由相信,网络审计的产生和发展不仅仅只停留在理论研究上,它的产生符合网络经济的需要,目前我们讨论网络审计将具有前瞻性意义。
二、网络审计的概念
网络审计这一全新概念的推出,必将在网络经济社会中成为审计工作中最为时髦的管理运作理念,那么,什么是“网络审计”呢?它与传统桌面审计有何区别呢?它将如何有效地实施呢?这一连串的问题都将影响对网络审计概念的界定,应该说当今世界上对网络审计还只存在于理论研究,对其也没有一个统一的定义。一般来说,网络审计的定义有狭义和广义之分,其中,狭义的网络审计指借助电子计算机的先进的数据处理技术和联网技术,以磁性介质作为主要载体来存储数据以便于用网络来处理、传送、查阅这些数据,使审计工作与计算机网络组成一个有机的整体,从而提高审计的现代化水平。而广义的网络审计是指在网络环境下,借助大容量的信息数据库,并运用专业的审计软件对共享资源和授权资源进行实时、在线的个性化审计服务。为了对网络审计有个整体的了解,在此,本文统称其为“网络审计”,不加区分。下面笔者将从技术层面、管理系统、法制环境等方面来构筑网络审计的架构,以展示新型审计模式的初步框架。三、网络审计的架构设想
(一)网络审计的技术支持
在网络经济时代里,电子商务的普及,虚拟企业的不断涌现,使得企业的运作机制发生了根本性改变,作为对企业经营进行监控的审计机构,同样需要建立起适应自身业务系统的集硬件平台、软件平台、网络平台和数据平台于一体的网络化操作平台,并对数据进行仓库式管理和挖掘分析。下图初步展示了网络审计的整体结构:
1.网络审计信息系统的运作
网络审计信息系统的结构是构建于计算机技术、数据库技术、Internet/Intranet等现代信息技术基础之上,旨在满足客户的信息需求,其运行机制如下:
(1)将经济事项信息通过Internet、EDI或者虚拟专用网传递到并保存在信息数据库中,这些信息包括财务信息,也包括非财务信息。
(2)通过交互式报告生成器,实现信息系统与客户和外界信息使用者之间的交流。
第一,登录授权,该功能是确认使用者的身份真伪和权限层次,以便提供不同程度的信息;
第二,报告框架,报告框架是审计机构提供信息项目的一个基本结构,为了方便客户和其他信息使用者的比较,在报告的基本部分应统一格式,而在扩展部分则可根据客户的需要灵活选择所需报告格式,制作出个性化的审计报告形式。
第三,以模块化的审计处理程序为中心,联结报告生成器和信息数据库,并对授权数据信息进行处理。在模块化的审计处理程序中存放了各种可供选择使用的审计处理软件,能提供使用不同的计量属性、计量单位、确认基础等多元化的审计处理程序,它是审计软件的组成部分,是数据信息处理的中枢,是网络审计的关键技术所在。
2.网络安全技术和机制的建立
网络审计作为一种网络化运营模式而存在,与其他行业的电子商务交易模式一样,同样需要对网络的安全性进行实时监控和维护,这也是网络审计得以产生和发展的必要技术基础。对于网络安全,首先必须具有一个安全、可靠的通信网络,以保证数据信息安全、快速传递;其次,要求对数据库服务器有绝对的控制权,禁止未授权客户和黑客的闯入、盗窃和破坏数据信息。网络审计不管从审计软件和数据库等方面都要利用安全技术,并建立起一套安全机制,以保障网络审计的安全。对于安全机制,主要包括接入管理、安全监视和安全恢复等三方面,首先对于接入管理,主要处理好身份鉴别(身份真伪和权限)和接入控制,以控制信息资源的使用;其次是安全监视,主要功能有安全报警设置、安全报警报告以及检查跟踪;最后是安全恢复,主要是及时恢复因网络故障而丢失的信息。对于安全技术而言,主要可以应用防火墙、数据认证、数据加密等技术;另外还可以将不断开发出的新型安全技术及时应用于网络审计中,如将隧道技术充分地运用于虚拟专用网(VPN)等。因此在安全的网络技术和安全机制的控制下,网络审计的产生和发展从技术层面上奠定了坚实的基础。
(二)网络审计的管理系统
在网络经济环境下,审计机构主要进行两方面的管理,即审计的质量控制管理和审计的网络风险管理。首先是审计质量控制的管理,审计质量是审计职业生存和发展的源泉,没有良好的质量控制体系作保障,审计职业将无法赢得社会的信任,质量控制还是保障审计准则得到遵守和落实的重要手段,因此,审计的质量控制管理是其他管理的基础,在管理体系中居于核心地位,它的好坏直接影响到审计工作的其他各个方面,因此在网络审计中首先必须加强审计质量的控制管理;其次,要进行网络风险管理,这是网络审计特有的管理机制,出于网络风险的特殊性,本文将另起一部分进行详细论述。
[关键词]网络审计;风险模型;网络风险;传统风险
一、网络经济环境之下审计风险模型重构的必要性
审计,作为一门社会科学,是社会经济环境的产物,是与特定了历史条件相联系的。审计环境有外部环境和内部环境之分,审计环境发生变化,审计本身必然要做相应的调整。随着我们进入21世纪,审计的内外环境发生了明显的变化,这些变化要求审计本身做出相应的调整。因此审计风险模型的重构成为当务之急。
(一)审计外部环境的变化
1、企业经营环境的变化
随着电子和网络技术的发展,传统的店铺式的经营模式将越来越多的被信息化的网络贸易所取代,电子商务成为商业企业主要的经营模式。全球的网上销售额2000年就已达到了3000亿美元(世贸组织测定),2004年更超过7兆亿美元。电子商务这种崭新的商务模式,在我国也得到了迅猛发展:由1996年的几万网民,激增至2004年的超过1亿网民,B2C、B2B、C2C、B2G等商务模式日益走红,门户站点风靡全球。截至2001年12月,我国电子商务网站达300余家,到2004年电子商务网站经过重组形成了如ebay等数家商业航母;到2004年我国的电子商务交易总额突破了4400亿人民币,2005年将激增到6200亿人民币。电子商务这种与传统商业截然不同的商务操作和管理模式,使企业的经营模式发生根本性的变革:客户可以从网上了解商品,询问价格签订合同,发送订单,企业可以通过网络确认交易,出口报关,发送商品(仅限于信息产品),传递发货单,划账结汇等。这已经远远超出了传统审计所能涉及的领域。企业经营环境是审计风险考虑的一个重要因素,是企业审计风险评价体系的开始。电子商务下的网络贸易要求我们对于审计风险进行再认识。
2、实时报告的要求
随着现代审计的发展,审计对象对于审计报告的实效性加强,实时性审计越来越被人们所重视。但传统的事后性的审计监督所带来的缺陷就是不能及时发现问题,防患于未然,而克服这一缺陷的重要措施就是开展事前和事中审计。现在借助于网络,使审计人员能够远程访问被审计单位存放财务信息的计算机,就可以对被审计单位的经济活动,进行实时的监督,从而可以及时发现问题并及时解决。此外,通过实时监督,随时掌握审计对象的经济活动比如财务收支和资产负债等情况,还能够准确、及时地为决策部门提供决策信息。从而最大限度地发挥审计监督的作用。
3、会计系统的变化
随着信息技术的发展,信息化的财务会计系统普遍在各大企业中应用,传统的会计模式逐渐退出历史的舞台,会计电算化广泛推广开来。经济业务产生的原始凭证以电磁波信息的形式在网上传递并存储于磁性介质中,会计的确认、计量、记录和报告都集中由计算机按程序指令执行。因此审计人员面对的是企业的电算化会计信息系统和网络账务系统,企业的账务系统以程序语言的形式存放于计算机中,难以对会计处理内控制度形成全面的感性认识。网络审计面对的企业内部环境是一整套电算化会计信息系统的合理有效性、安全程度直接影响到审计工作的质量和效率。同时由于市场准入条件的放宽和有关商务法律的不健全,外部环境的不稳定因素剧增,来自企业外部经营风险凸现,原有的内控制度效果减弱,尽而增加了审计的风险。
(二)审计内部环境的变化
1、审计证据和审计线索的变化
在传统会计中,一般由经济业务产生纸质原始凭证,然后会计人员根据原始凭证编制记账凭证,根据记账凭证登记明细账和总账,期末再根据各账簿编制会计报表。每一步都有文字记录,审计线索十分清晰,审计证据主要由书面证据组成。而在交易及核算都实现网络化的环境下,企业与外部的交易和企业内部业务处理的凭据都以电子信息的形式保存,并在网上传递,编制记账凭证、登记账簿、编制会计报表都由计算机按指定程序执行,实现会计核算自动化。因此,传统意义上的审计证据和审计线索都将消失。
2、审计的工作方式的变化
(1)网络改变了审计信息收集方式。
收集审计信息主要是收集审计证据,我国的《独立审计基木准则》规定,注册会计师在审计过程中可以采用检查、监督、观察、查询及函证、计算和分析性复核等审计程序获取审计证据。而在网络环境下,几乎所有资产都由计算机实时动态管理,企业所有的会计资料和相关资料都存放于互联网上,审计人员就可采用网络交谈和发电子邮件等方式进行查询和函证,也可进行检查、观察、计算和分析性复核。这样与传统审计相比,网络审计将提高审计证据的及时性和客观性,降低收集审计证据的成本。
(2)网络改变了审计信息加工、传输和存储模式。
传统的审计工作主要通过检查凭证、账簿和报表,核对账证、账账、账表和账簿与外来资料是否相符来加工审计信息,而在网络环境下,随着纸质载体的消失和网络信息系统自身强大的核对、检查和内部控制功能,传统意义上的审计工作被大大简化,只有在某种特定条件下还须由人来监盘实物库存、实地观察实物变动及其记录。而且由于网络高度的信息共享性、实时性和动态性,审计信息输出如WEB信息让市公司的报表信息的充分披露与审计有关法规的、审计信息存储和检查等都将充分利用互联网和企业内部网进行,实现了审计工作办公自动化。
3、审计机构的组织方式的变化
网络审计提供了一个信息资源共享的便捷渠道,使得审计能够从传统的孤立的单兵式向系统性的协同式过渡。在传统的审计过程中,各个审计组之间的信息交流和沟通是比较困难的,一个审计组掌握的全部信息很难使其他的审计组或汇总部门也都掌握。虽然将这些信息以审计报告等形式上报,由汇总部门进行汇总之后,也能提供被审计对象的比较全面的信息,但是由于审计报告中的信息都是经过个人判断后选择的结果,是不全面的,汇总部门也很难把握审计对象的全貌。因此,对审计对象的总体评价就可能偏离要害,审计效率不高,审计风险却会加大。现代信息网络技术的发展和广泛应用,使得进行系统性的审计成为可能。
4、审计技术的变化
在网络环境下,传统的审计技术已不能适应时代的需要。在网络审计下更多使用电子技术,从审计证据的收集到证据的处理全部在微机上进行无纸化的办公。审计过程中更多的运用先进的财务工作软件,审计过程中的认为因素大大减少,提高了审计意见的客观性和独立性。
二、网络风险的定义及分类
审计环境的变化同时带来了审计风险的变化。在网络审计过程中,网络风险是一个不可忽视的风险因素。
(一)网络风险的含义
所谓的网络风险是指在网络审计过程中,审计人员及被审计单位由于采用信息化审计技术或财务会计技术,而致使审计人员对公司的财务报表发表了不恰当的审计意见。
从我们给出的定义可以看出以下几点:
1、网络风险涉及的对象是双向的。他一方面涉及到被审计单位的状况,另一方面又涉及审计部门自身的状况,这样使的网络风险的决定因素非常的复杂。
2、网络风险是直接由计算机网络带来的。无论是被审计单位的先进的财务信息系统还是审计部门的审计分析系统,都是以电子信息技术为基础的,都要借助于计算机和互联网。进而网络风险因素更多的是由于信息技术问题带来的风险。
3、网络风险可以致使审计人员发表错误的审计意见。网络风险直接威胁审计人员获得的被审计单位的财务信息的真实性,失去了真实性,那么审计人员也就不可能对被审计单位的财务状况做出正确的评价,进而形成公正、客观的审计报告。
(二)审计风险的分类
审计风险一般分为可控风险和非可控风险。可控风险指审计人员在审计过程中可以控制的风险因素;非可控风险指审计人员在审计过程中不可以控制的风险因素。可控风险主要是针对审计单位的审计工作而言的,即可以通过自身的工作尽可能降低的风险。这种风险不是本处论述的重点。
1、不可控风险
这种风险主要是由被审计单位自身的财务信息系统或审计单位自身审计信息系统的这样或那样的缺陷造成的,是审计人员无能为力的因素。
(1)系统风险
这一风险是审计单位和被审计单位都无法控制的风险。
计算机系统本身具有脆弱性,这是任何一个被审计单位都不可避免的。当计算机硬件或计算机软件、网络本身出现故障时容易导致网络系统审计数据丢失,甚至发生瘫痪现象。在互联网条件下,网络审计系统具有其分布式、开放性、远程性实时处理的特点。这个特点既有其优越性,可以实现资源共享,使很多人受惠,但也有其缺陷性,系统的可控性、一致性、安全性较差,一旦出现故障,影响很大,且不易恢复。这样,既不利于保守国家机密,又损害企事业单位,审计机关和审计团体的利益。
(2)黑客入侵,病毒危害风险
在网络化系统中,计算机病毒不再靠磁盘或光盘传播,开始通过电子邮件传播计算机病毒。黑客的入侵也相当猖獗,主要来自社会上一些不法分子对企业、事业单位和政府机关互联网的入侵。这种风险范围广,危害性大。它包括截收、仿冒、窃听和黑客入侵。花样繁多的病毒入侵,让人防不胜防,随着网络化的迅速普及和广泛应用,计算机病毒的传播呈现渠道多样化、速度快捷的特点,危害也在不断加剧,这对网络化审计系统资源构成很大威胁。
(3)系统关联方道德风险
主要指关联方非法侵入企业网络财务软件系统,以剽窃财务数据和知识产权、破坏系统、干扰企业正常交易等产生的风险。企业关联方主要包括客户、供应商、软件开发商,也包括银行、税务、审计、保险财政等部门。企业与关联方之间的通过外联网进行业务和数据交换,这种特殊的交换关系使关联方之间道德风险的发生成为可能,尤其是软件开发商,他们非法入侵企业财务系统不易被发现,其危害是不容忽视的。
(4)内部人员的操作风险
操作风险主要包括操作程序不规范和操作人员防范意识不强造成的。如审计人员或会计人员缺乏安全意识和网络安全防范措施,对于网上下载的电子邮件或会计信息资源不做安全性技术检查、测试,或仅用个人生日或单位电话号码作密码,这些密码好记也好破译,安全性较差。另外,企业会计人员对会计数据的非法访问、篡改、泄密和破坏等方面的风险。有资料统计,大部分非法闯入者来自内部雇员,这些通晓网络知识的内部控制人员通过嵌入的非法舞弊程序,大量侵吞国家财富或企业资产。
三、审计过程中对网络风险的估计、量化
通过以上的比较分析,我们不难发现在新的审计环境下,审计的风险模型确实有重构的必要性。下面是我对网络风险的各构成要素的进一步阐述,它包括因素构成、因素的项目风险评价和综合风险评价。网络风险具体有6个影响因素构成,用公式表示为:网络风险的计量=被审计单位的计算机财务会计信息系统的系统漏洞会计信息系统的开放性最新的病毒报告状况防火墙的性能以往会计信息系统的运行状况审计单位自身的信息处理系统的安全性评价。
(一)被审计单位的计算机财务会计系统的系统漏洞估计
医生治病也需要先寻病根,确定网络系统的风险大小,自然首先应该知道这个系统的弱点和漏洞,其弱点和漏洞的严重程度是决定整个系统风险大小的一个重要方面。而一个网络系统中的漏洞大致可以包括三种不同类型:
1、实现漏洞:所有的系统实现都不可能没有漏洞,尽管设计可以是无懈可击的。软件“Bug”是最典型的漏洞,例如:著名的sen山mail程序的漏洞被许多人用来获得系统的非授权访问。实现漏洞在操作系统、数据库系统中是不可避免的,并且这些漏洞还无法预测,往往只能依靠大量的使用来发现,依靠供货商的升级和“补丁”,依靠安全专家的警告。
2、设计漏洞:攻击者使用的另一类漏洞来源于设计阶段,这一类漏洞更难发现,同时也更难弥补,因为漏洞来源于设计,软硬件实现完全围绕设计实现。这种漏洞是固有的,只有依靠重新设计和实现。典型例子仍是著名的sendmail程序,即使sendmail的实现无懈可击,仍然可以利用sendmail程序反复生成邮件,从而实现拒绝服务攻击。
3、配置漏洞:这是攻击者最喜欢的漏洞,也是最常见的漏洞。配置漏洞来源于管理员(或用户)错误的设置。许多产品制造商在产品出厂时往往为用户设置了许多默认的参数,这些设置基于对用户环境的充分信任,以方便新用户的使用。但这些出厂设置可能会带来严重的安全漏洞。典型的配置漏洞包括:继续使用账号的出厂默认参数,使用默认的文件访问权限设置,以及开放有漏洞的网络服务等。
通过以上的漏洞分析,作为注册会计师应该根据被审计单位的系统状况对被审计单位的财务会计信息系统的安全性做出评价。此处,我设置了3个水平的评价指标:高、中和低。
高的风险,指被审计单位的财务会计系统混乱,财务软件漏洞很多,财务系统运作混乱,不能进行相应的会计信息处理,会计信息的真实性无法保证。
中等的风险,指被审计单位拥有一套比较完善的财务会计系统,但财务软件存在着致命性的漏洞,仅基本上能够保证真实性的要求。
低的风险,指被审计单位拥有一套完善的财务会计系统,系统设置能够适应企业业务发展的需要,系统中不存在明显的、致命性的设计漏洞,能够提供真实、客观的财务信息。
(二)会计信息系统的开放性
会计系统的开放性指能够接触到会计信息系统的终端用户的范围。一个会计系统的终端使用者越多,那么他所面临的网络风险越大。在会计信息系统的开放性问题中值得一提的是网络开放性问题,如果一个公司的财务系统要上网向公众公告,那么会计系统将承受更多的网络风险。具体的评价指标也有3个即:
高的开放性,指会计信息系统要向与Internet相连接,向社会公告。
中的开放性,指会计信息系统只在本单位的局域网中开放,不与Internet相连接,除了满足公司管理的需要,不需要向社会公众公告。
低的开放性,指会计信息系统不存在分布式的设计,不需要联网工作,仅仅在财务部门内部使用,不向外公告。
(三)最新的病毒情况
病毒和黑客是计算机系统致命的敌人,最新的病毒状况直接决定了财务信息系统在当时的风险因素的大小。如果审计期间有大规模的且非常厉害的病毒爆发,那么网络风险就会高,也就要求审计人员做出大量的技术处理以避免病毒攻击,确保信息的安全、可靠。具体的评价指标也有3个即:
高风险,指在审计期间出现了大量的新的对系统有致命损害的病毒,且这种病毒的防范措施尚未形成,没有专门的杀毒软件可以处理。
中风险,指审计期间出现一些新的毒,但这些病毒对于计算机系统的伤害并不是致命,而且采取相应的措施可以有效的避免病毒的感染。
低风险,指审计期间没有新的病毒,一些常规病毒以被审计单位目前的技术水平完全可以应付。
(四)防火墙的性能
防火墙的性能直接决定被审计单位的财务信息安全状况。被审计单位的防火墙性能好,则可以避免前面所说的系统开放性及最新病毒的攻击问题,从而整体上降低财务信息系统的网络风险。相反,则会加重前面的风险系数。防火墙的性能其实是前面提到风险的加乘系数,这个系数可能是正的亦可能是负的。如果为正,那么整体风险增加;如果为负,则整体的风险水平会因为防火墙的存在而降低。具体的评价指标有2个即:
高风险,指防火墙的性能不稳定,对于一些常规病毒的入侵无法应对,防范性能等于0.
低风险,指防火墙的性能稳定,能够有效的防范病毒的进攻。
(五)以往会计信息系统的运行状况
由于网络系统问题的暴露有一个时间过程,则会计信息系统以往的运行状况对于审计人员进行被审计单位的网络风险水平评价具有参考价值。如果被审计单位的会计信息系统以往的运行状况良好,没有出现任何的重大错误,则我们可以推定在审计过程中,被审计单位的信息系统不会有重大的差错,可以接受被审计单位信息系统的数据,进而可以降低整体的项目可接受的审计风险水平。如果被审计单位的会计信息系统在以往的工作中的表现不尽如人意,那么审计人员在对被审计单位会计信息系统的数据接受时,就要采用审慎的态度。这里我们设定的水平指标同样有以下三种:
高风险,指被审计单位的财务信息系统以往的工作表现欠佳,曾经出现过重大会计差错问题。
中风险,指被审计单位的财务信息系统以往的工作表现一般,曾出现这样那样的非重大差错。
低风险,指被审计单位的财务信息系统以往的工作表现良好,以前没有出现任何的非认为的系统处理错误。
(六)审计单位自身的信息处理系统的安全性评价
在网络审计情况下,审计人员的审计手段更多的借助于网络的高科技产品,计算机信息处理系统在各大会计事务所广泛应用。同样的审计单位同样要面对网络风险的冲击。所以审计单位在对被审计单位风险进行精确评价的同时还应对自身的网络风险水平进行系统的评价。审计单位的评价过程可以参阅前面的被审计单位的评价方法,此处我们不在一一重复。
(七)网络风险各因素间的关系
网络审计情况下的对于审计的网络风险的总体水平评价可以采用图表的形式加以说明:
被审计单位的计算机财务会计信息系统的系统漏洞
会计信息系统的开放性
最新的病毒报告状况
防火墙的性能
以往会计信息系统的运行状况
审计单位自身的信息处理系统的安全性评价
高
高
高
高
高
高
中
中
中
中
中
低
低
低
低
低
低
由排列组合的知识我们知道这里有486种组合方式。鉴于以上对于6个因素的分析结果,我们将防火墙性能和被审计单位系统漏洞两个因素的状况作为评价网络风险的核心指标。
首先,我们从上面的分析中不难发现防火墙的性能对于会计信息系统的开放性和最新的病毒报告状况两个因素有一定的节制作用。防火墙的性能状况直接决定三个因素的整体风险水平。如果前两个因素的风险水平处于高的状态,但是由于系统的防火墙性能很好,那么前两个因素的高风险会因为防火墙的低风险而降低,进而三个因素的整体风险降低。相反,如果防火墙的性能很差,即使前两个因素的各自风险都很低,那综合风险也不会降低,甚至提高。所以防火墙的性能水平是三个风险因素的小核心。
其次,被审计单位的计算机财务会计信息系统的系统漏洞又是整个网络风险的核心。被审计单位的计算机财务会计信息系统的系统漏洞是根本性的风险因素。如果被审计单位的会计信息系统存在致命性的漏洞,那么整个系统的综合网络风险,肯定不会是很低的。
此外,审计单位的风险水平是审计单位自身可以控制的因素,是一种可控风险。
我们依据两个指标的水平状况对网络风险的486种组合进行了总体的分类,即高、中、低三档。具体的:在这486种组合方式中,我将其中含有防火墙性能和被审计单位系统漏洞两项为高风险的设定为整体的高风险;相反的情况就为低风险;其他的组合方式为中的风险。
针对不同的网络风险水平要求审计人员采取不同的措施。具体的:
高的网络风险水平意味着被审计单位的财务会计信息系统是不可信的,其数据不能采用,其要求审计人员对于被审计单位的会计记录进行详细的审查,追加审计的时间。
中等的审计风险和低的审计风险意味着被审计单位的财务信息系统基本上能够提供真实可靠的会计信息,审计人员可以全部接受,适当减少审计的时间,加速审计效率。
四、审计人员审计过程中对于网络风险的应对措施
(一)开发和应用审计软件对相关网络系统进行实时跟踪
网络审计是借助网络审计软件进行的,加强网络审计软件的研究与开发是发展网络审计所必需的。首先,从现在实际情况和科学性出发,选择相应的财务软件公司,利用他们在财务软件制作方面的经验开发网络审计测试软件;其次,对被审计单位的网络系统进行评价,并利用专用的审计对比软件,将存放于数据库不同地址的同一数据进行自动比较,以形成相应的记录文件,并对有差异的文件数据进行详细审查;再次,对被审计单位的自动检测数据库软件和恢复软件进行审查和评价;最后,要对被审计单位的异常贸易,通过网络进行预警提示,以降审计风险。
(二)建立审计服务信息库
审计人员可将被审计单位的有关信息,通过网络建立一个完善的大容量的信息库,把这些信息包括被审计单位的背景资料、最新动态和一些以前审计的档案信息,以便以后开展审计时查阅和运用,这样将可大大减少工作时间,提高工作效率,同时也相应地降低了审计的风险。
(三)加强对网络系统的安全性和保密性进行审查
在网络中运行,信息的安全性即可靠性和保密性构成了审计的风险防范和控制的重点。首先,对网络系统职责分离情况进行审查,遵循的原则仍为不相容职责必须分离,但侧重对数据的输入、输出,软件开发的维护及系统程序修改或管理等之间的关系处理进行审查;其次,对被审计单位网络结构进行分析与评价,以确认防范黑客侵入的能力;再次,对被审计单位的系统容错处理机制、安全管理体制和安全保密技术等作深入的了解,以评价其系统安全性的等级,从而有效地控制审计风险。
(四)加快网络审计人才的培养
大批精通网络、计算机及审计的人员队伍是网络审计能否得以实施的关键。审计人员必须经常更新自身的知识结构才能适应网络审计工作的需要。这就需要在审计人员的培养和将来的CPA资格考试中适当增加有关计算机、网络理论及操作的考察并定期对审计人员进行相关培训。
(五)制订网络审计准则
审计准则是审计工作应遵循的规范和尺度,是提评价审计工作质量的权威性规则。网络审计对象、线索、方法、流程、结果等各方面相对于传统审计都发生了变化,以往的审计标准和准则已经不能完全适用,所以应加快新的审计标准和准则的制定以指导网络审计工作实践的深入。
(六)加强网络审计立法
网络审计立法是保障网络审计正常发展的关键性措施。新的《会计法》已增加了有关网络财务的内容,《电子商务法》起草工作正在加紧进行之中,但是上述法规都不是针对网络审计而的,不能够满足网络审计的需要。因此,有必要加快网络审计立法工作的力度和进度,使人们在开展网络审计工作尤其是进行合法性审计时有法可依。
[参考文献]
[1]董刚毅。网络审计的风险和控制[J].审计理论与实践,2002,(9)。
[2]李金花。论电子商务时代的网络审计[J].河南商业高等专科学校学报,2003,(6)。
[3]夏敏。网络审计的重要性与可行性分析[J].审计天地,2003,(10)。
[4]曾宪策。网络审计的创新和风险[J].中国审计,2003,(2)。
[5]郑晓龙,林辛。浅议信息技术时代的网络审计[J].经济师,2004,(4)。
作为我国电子政务重要基础设施的电子政务外网,为了实现服务各级党政部门,满足各级政务部门社会管理、公共服务等方面需要的重要功能,要求具有互联网出口,并且与互联网逻辑隔离。因此,电子政务外网面临来自互联网和内部网用户两大急需解决的安全难题。
二、设计思路
本方案按照《国家电子政务外网安全保障体系总体规划建议》进行设计,规划范围以市级电子政务外网为主,以市级电子政务外网运维中心为重点,覆盖市委、市政府、市人大、市政协和多个委办局单位以及市属各个县区,根据国家电子政务外网安全保障体系的规划,市级电子政务外网安全体系包括如下三个方面的内容:
(一)安全管理体系。主要包括:按照国家安全保障体系建设标准,建设市级安全管理中心(SOC);以《国家电子政务外网安全标准指南》为标准贯彻执行国家已有安全法规标准,同时制订符合本市电子政务外网自身特点和要求的有关规定和技术规范。
(二)网络安全基础防护体系。主要包括:网络防护与隔离系统、入侵防御系统、接入认证系统、业务隔离和加密传输系统、防病毒、漏洞扫描系统等。
(三)网络信任体系。主要包括:PKI/CA系统、权限管理系统和认证授权审计系统。
三、方案设计
(一)安全管理中心。市级安全管理中心是市级电子政务外网安全的规划、实施、协调和管理机构,上联省级电子政务外网安全管理中心,把各类安全事件以标准格式上报到省中心,同时对县区管理中心下发安全策略,并接收县区的日志、事件。县级安全管理中心在市中心的授权下,具有一定的管理权限,并对县级安全策略及日志、事件进行采集和上报。市级安全管理中心也是市级网络安全设施的管理维护机构,为使安全设施能够最大限度地发挥其安全保障功能,需要建立一个良好的安全综合管理平台,以实现业务流程分析,并对业务系统在安全监控、安全审计、健康性评估等方面的运行进行有效的管控,从全局角度进行安全策略的管理,对各类安全事件作出实时的监控及响应,为管理者提供及时的运行情况报告、问题报告、事件报告、安全审计报告、健康性报告和风险分析报告,从而使决策者能及时调整安全防护策略,恰当地进行网络优化,及时地部署安全措施,消除各类安全隐患。
(二)基础防护平台建设。基础防护平台主要是以确定的安全防护模型框架为依据,结合政府业务的实际安全需求,在原有互联网安全设施基础上进行安全基础防护体系的新建或扩充、延伸与扩展。包括边界隔离与控制、身份鉴别、认证与授权、入侵检测与防御、安全审计与记录、流量监测与清洗、数据加密传输、病毒监测与防护、安全扫描与评估、安全策略集中管理、安全监控管理和安全审计管理等基础安全防护措施。最终达到提升系统的整体抗攻击能力,确保电子政务外网能够更好地支撑各类政务应用系统的运转。
(三)边界隔离与控制。防火墙是实现网络边界隔离的首选设备,防火墙是运行于软件和硬件上的,安装在特定网络边界的,实施网间访问控制的一组组件的集合。它在内部网络与外部网络之间形成一道安全保护屏障,防止非法用户访问内部网络上的资源和非法向外传递内部信息,同时也防止这类非法和恶意的网络行为破坏内部网络。它可以让用户在一个安全屏障后接入互联网,还可以把单位的公共网络服务器和企业内部网络隔开,同时也可以通过防火墙将网络中的服务器与网络逻辑分离,进行重点防护。部署防火墙能够保护一个网络不受来自另外网络的攻击。
(四)入侵检测与防御。在整体的网络安全中,依靠安全策略的指导,对信息系统防护有积极的意义。但是,无论网络防护得多么牢固,依旧不能说“网络是安全的”。因为随着技术的发展,任何防护措施都不能保证网络不出现新的安全事件,不被手段高超的人员成功入侵。在攻击与防御的较量中,实时监测处在一个核心的地位。
(五)安全审计与记录。安全审计系统记录了网络使用者的全部上网行为,是支撑网络安全事件调查的基础,是审计信息的重要来源,在电子政务外网的建设中,应当尽量延伸安全审计系统部署的范围,并采用多种的安全审计系统类型(如网络审计、主机审计、数据库审计等)扩展安全审计的层面。
(六)流量检测与清洗。流量检测与清洗服务是针对网络传输信息流类型、大小以及诸如DOS/DDOS等安全攻击行为的监控、告警和防护的一种网络安全服务。该服务对进出内部网络的业务数据流量进行实时监控,及时发现包括DOS攻击在内的异常流量。在不影响正常业务的前提下,清洗掉异常流量。有效满足各业务系统运作连续性的要求。同时该服务通过时间通告、分析报表等服务内容提升客户网络流量的可见性和安全状况的清晰性。
(七)统一病毒防护平台。根据电子政务外网省、市、县三级分布的特点,可采用多级、多种的方式进行病毒防护系统的综合部署,包括在网络边界安装硬件防病毒网关、针对特定应用布署网络防病毒系统、针对多数工作终端布署单机版病毒查杀软件等方式。
(八)终端管理。利用桌面终端管理系统,对于终端电脑从以下四方面进行进行标准化管理:
1.网络准入。通过网络边界部署的防火墙设备、网络交换机设备与终端管理服务器配合,实现终端用户的802.1x准入认证,使得所有终端用户接入电子政务外网网络必须提出申请,并对接入机器做防病毒等安全审核,在安装了准入客户端软件(Agent)并分配了用户名/密码后,才能合法接入网络并使用信息资源,开展业务工作,实现了对终端用户的有效管理。
2.网络切换。通过实现终端用户访问互联网和电子政务外网两网切换使用功能,实现对两网资源使用的严格管理,避免安全隐患的发生。
3.文件保险箱。利用“文件保险箱”功能,在终端用户处于“政务外网”访问状态时可以使用“文件保险箱”功能,并创建、修改、使用加密文件或文件夹,在终端用户处于“互联网”状态时无法使用此功能,不能创建、修改、使用加密文件或文件夹,从而保证工作文件的安全。
4.补丁管理。利用桌面系统补丁管理的功能,帮助管理员对网内基于Windows平台的系统快速部署最新的安全更新和重要功能更新。系统能检测用户已安装的补丁和需要安装的补丁,管理员能通过管理平台对桌面系统下发安装补丁的命令。补丁服务器可自动从微软网站更新补丁库,管理员负责审核是否允许补丁在终端系统安装。通过策略定制,终端系统可以自动检测、下载和安装已审核的补丁。
(九)采用2+N的业务模式。对于利用互联网接入的业务系统,必须采用VPN接入,建设互联网接入区,隔离互联网与政务外网的数据包,将互联网业务进行封装,确保互联网业务在专网的VPN通道内进行传输,对于需要与互联网联接的为公众服务的业务,通过逻辑隔离的安全防范措施,采用防火墙系统、入侵防御系统和网络防病毒系统,对互联网接入业务提供必要安全防护,保障电子政务外网的信息安全。
(十)信任体系设计。建立了基于PKI/CA公钥基础设施的数字证书认证体系。完善、推广、促进数字证书体系的发展和根据业务需要建立相应CA机构,并实现某些应用和管理需要的单点登录要求。