| 标题 | 网络环境下会计信息系统审计的风险及其防范 |
| 范文 | 孙立辉 [摘要]网络环境下会计信息系统审计诸多问题的研究。在我国仍处于探索阶段。本文从网络环境下会计信息系统审计固有风险、控制风险和检查风险等3方面。阐述了网络环境下会计信息系统审计的风险,并探讨了其审计风险的防范。 [关键词]会计信息系统审计;审计风险;审计风险防范 [中图分类号]F239.1[文献标识码]A[文章编号]1673-0194(2009)23-0048-03 一、网络环境下会~计信息系统审计的风险 会计信息系统审计(AIS Audit)指“通过一定的技术手段收集并评估证据,以判断一个会计信息系统是否做到安全、可靠和有效,同时又能最经济地使用资源”。这一定义既包括信息系统的外部审计的鉴证目标。即对被审计单位的会计信息系统安全性和可靠性的审查,又包含内部审计的管理目标,即不仅包括被审计会计信息系统安全性和可靠性。而且包括会计信息系统的有效性和效率性目标。 审计风险是指审计人员对审计项目发表错误意见。而使审计人员和审计组织遭受损失的可能性。会计信息系统审计的风险可理解为:审计人员不能正确运用信息系统审计技术审计相关内容,导致审计结果与客观事实不符。从而发表错误意见,给审计人员和审计组织造成损失的可能性。 在网络环境下会计信息系统审计过程中产生的风险,则称为网络环境下会计信息系统审计风险。按国际通行的审计风险模型——审计风险=固有风险×控制风险×检查风险,网络环境下会计信息系统审计风险可分为网络环境下会计信息系统审计固有风险、网络环境下会计信息系统审计控制风险和网络环境下会计信息系统审计检查风险。相对于传统审计而言,网络环境下会计信息系统审计的风险变得日益复杂化。而且更加难以控制。 (一)网络环境下会计信息系统审计的固有风险增大 网络环境下会计信息系统审计固有风险是指在不考虑会计信息系统控制规范的前提下,会计信息系统运行不安全、不可靠或有效性差及效率低下的可能性。网络环境下会计信息系统审计固有风险是从计算机系统角度分析风险因素。它源于网络环境下会计信息系统的各个组成部分,与计算机硬件质量、软件的稳定性及网络的安全性紧密相关。 1,系统资源风险 首先,任何计算机系统都存在着由于操作失误,硬件、软件、网络本身出现故障导致系统数据丢失甚至瘫痪的风险。并且在互联网/内联网结构的会计信息系统中。由于其分布式、开放性、远程实时处理的特点,系统的一致性、可控性降低,一旦出现故障,影响面更广,数据的一致性保障更难,系统恢复处理的成本更高。 其次,通信与网络的弱点。通信线路易受物理破坏,易被搭线窃听,串音易引起传导泄漏。网络规模越大,通信线路越长,这种弱点也随之增加。 第三,电磁泄漏。计算机内的信息可以通过电磁波形式泄漏出去,任何人都可借助不复杂的设备在一定区域范围内收到它而造成信息失密。 2,网络系统的安全 由于Internet的开放性特点。它没有主控机构,而且Internet的TCP/IP协议本身没有采取任何措施来保护传输内容不被窃取,因而网络用户的安全就只有靠用户自身的安全意识。由于网络系统本身的脆弱性或审计人员的技术不熟练造成的错误或黑客频繁地针对目录服务、共用网关接口程序、共享文件进行攻击,使计算机网络面临的安全性威胁主要表现为信息被截获、数据被毁。即当甲通过网络与乙通信时,如果不采取任何保密措施,其他人就有可能截获到他们的通信内容。此外,中断传输信息、篡改或伪造审计数据、计算机病毒、计算机蠕虫和逻辑炸弹等都是网络的安全性问题。 3,自然灾害构成的风险 如水、火、风的破坏,以及环境的影响,这些危害有的会损害系统设备,有的破坏数据,甚至会毁掉系统和数据。 (二)网络环境下会计信息系统审计的控制风险更难确定 网络环境下会计信息系统审计的控制风险是指被审计单位会计信息系统运行过程中,出现会计信息系统运行不安全、不可靠或有效性差及效率低下,而不能为被审计单位会计信息系统控制规范和程序化控制及时防止和发现的可能性。网络环境下会计信息系统审计控制风险的水平主要与会计信息系统规范和程序化控制设计的合理性、科学性、健全性相关。 1,内部人员道德风险 主要指企业内部人员对会计数据的非法访问、篡改、泄密和破坏等方面的风险。网络安全的最大风险仍然来自于组织内部,据统计,大部分的非法闯入者来自于内部雇员。因此,内部控制仍然是基于互联网会计信息系统控制的基础。应该注意的是,由于互联网/内联网结构本身的特殊性,其内部控制远远超出了以往计算机系统的范畴。已从会计机构内部扩展到对整个企业内部人员的控制。 2,系统关联方道德风险 主要指关联方非法侵入企业内联网。以剽窃会计信息系统中的财务数据、破坏系统、搅乱对某项特定交易或事务的记录等所产生的风险。广义地说,企业的关联方包括客户、供应商、合作伙伴、软件供应商或开发商,也包括银行、保险、税务、审计等社会部门。企业与这些关联方存在着特殊的业务和数据交换关系,过去这些企业各自的计算机系统在物理上基本是隔离的,也有部分企业与关联方之间采用专用增值网(VAN)实现电子数据交换(EDI)任务。在互联网条件下,为适应竞争发展需要,企业与关联方需建立统一的外联网(Extranet)。在外联网内,企业之间的数据查询、数据交换、服务技术可通过互联网实现(松散型关系),也可通过虚拟专用网(VPN)实现(紧密型关系)。因此,无论是从业务联系还是从网络联系上看,我们都可把外联网范围内的企业看成是一种特殊的内部关系。特殊的内部联系也使相互间道德风险的发生成为可能,尤其是像软件供应商或开发商这样的关联方,由于其对企业内联网的控制结构一清二楚,所以企业在接受网上技术支持和维护的同时,实际上也向对方敞开了会计信息系统控制的大门。 3,社会道德风险 主要是指来自社会上的不法分子对企业内联网的非法入侵和破坏,包括来自网上的信息截收、仿冒、窃听,黑客入侵,病毒破坏等。这是目前媒体报道最多的风险类型。由于互联网是一个开放的世界,没有国界和时空的限制,来自社会上的道德风险几乎不可避免。 4,外部环境因素带来的风险 (1)操作人员带来的风险。操作风险主要包括操作程序不规范和操作人员防范意识不强造成的风险。如操作人员缺乏安全意识和网络安全防范措施,对于从网上下载的电子邮件或会计信息资源不做安全性技术检查、测试:操作人员不按规范操作。随意开关机;操作人员对会计数据的非法访问、篡改、泄密和破坏等方面的风险。 (2)黑客入侵、病毒危害的风险。在网络化系统中,计算机病毒不再靠磁盘和光盘传播,开始通过电子邮件传播计算机病毒。黑客的入侵也相当猖獗,主要来自社会上一些不法分子对企事业单位和政府机关互联网的入侵。这种 风险范围广,危害性大。它包括截收、仿冒、窃听的迅速普及和广泛应用。计算机病毒的传播呈现渠道多样化、速度快捷的特点,危害也在不断加剧,这对网络环境下会计信息系统构成很大威胁。 (三)网络环境下会计信息系统审计的检查风险增加 网络环境下会计信息系统审计的检查风险是指被审计位会计信息系统运行过程中,出现会计信息系统运行不安全、不可靠或有效性差及效率低下,而未能被会计信息系统审计人员进行的实质性测试发现的可能性。网络环境下会计信息系统审计规范的完善性、审计人员自身素质水平的高低以及信息审计技术的先进性是影响网络环境下会计信息系统审计检查风险水平的重要因素。 1,网络环境下会计信息系统审计规范不够完善。加大了审计的检查风险 注册会计师执行审计业务必须遵循其职业规范。注册会计师的职业规范体系包括:独立审计准则、质量控制准则、职业道德准则和职业后续教育准则。这一规范体系保证了审计人员的职业道德水平,建立起了审计的质量控制制度,并为评价审计工作的质量提供了一个权威的标准。从而降低了审计风险,确保了审计工作的“客观、独立、全面、权威”。然而,随着社会的发展,信息技术在会计领域的应用,这些标准、准则中的某些内容已不适应变化了的情况。一些新增的审计内容在审计标准和准则中缺乏相应的条款,特别是针对会计信息系统审计的相关规范更少。我国仅在1996年和1999年颁布了《审计机关计算机辅助审计办法》和《独立审计准则20号——计算机信息系统环境下的审计》两个文件,具体针对会计信息系统软件本身的审计准则几乎是空白。由于网络环境下会计信息系统审计规范不够完善,加大了审计的检查风险。 2,针对网络环境下会计信息系统审计的信息审计技术发展的相对滞后。增加了审计的检查风险 在信息技术飞速发展的强大推动力作用下,会计信息系统已从最初部门内信息集成阶段发展到了网络平台下的企业间过程集成阶段。在网络环境下,传统的信息系统审计技术,如测试数据、综合测试、平行模拟等已不再完全适合。网络环境下会计信息系统审计一方面要求动态取证,即在系统运行过程中进行审计取证,审计人员不仅要及时完成审计任务,而且还不能干扰被审计信息系统的正常工作;另一方面又不允许非经济业务的输入,因为这样会对联网的其他企业产生不良影响。这就对信息审计技术提出了新的更高的要求。 3,当前,会计信息系统审计人员的素质不高,也增加了审计的检查风险 网络环境下的会计信息系统审计要求审计师主要审计数字经济系统的设计及运行过程,审计网络的安全性与可靠性。即主要工作不是审计企业财务状况及其经营过程所取得的成果数字本身,而是审计企业财务状况及其经营过程所取得成果数字在计算机信息系统中的形成过程。因此,要求审计人员具有较高的素质,不仅要掌握财务会计知识、经济管理知识,还要掌握网络技术、计算机技术和现代通信技术。而现阶段同时具备上述各种素质的审计人员较少。审计人员执业水平不高,直接增加了网络环境下的会计信息系统审计的检查风险。 二、网络环境下会计信息系统审计风险的防范 网络环境下会计信息系统审计的固有风险和控制风险主要产生于被审计单位会计信息系统,在日常的会计信息系统审计工作中。对会计信息系统以评估为主。其正确性将影响远程计算机审计的总体风险水平。网络环境下会计信息系统审计的检查风险来源于会计信息系统审计的各个环节,控制网络环境下会计信息系统审计的检查风险是控制审计风险的重要手段。也是降低网络环境下会计信息系统审计风险的重要保证。 (一)网络环境下会计信息系统审计固有风险的防范 对被审计单位会计信息系统规范的健全性和执行情况进行测试评价,正确合理估计被审计单位会计信息系统管理上的安全性,降低网络环境下会计信息系统审计固有风险。包括审查和评估会计信息系统各项管理制度的健全性、严密性,会计信息系统各项管理制度的执行情况。会计信息系统中会计组织机构设置的合理性、有效性;人员的分工、岗位的分工是否合理。岗位之间的牵制是否充分、有效;会计信息系统硬件的可靠性、安全性;磁性化的会计信息及其存储材料的安全性:计算机系统是否具有应急恢复功能。是否建立意外事故应急恢复备份;是否安装杀毒软件,系统防火墙是否完备;机房环境的安全性等。 (二)网络环境下会计信息系统审计控制风险的防范 网络环境下会计信息系统审计控制风险防范是通过对计算机会计信息系统应用程序的审查实现的。审查网络环境下会计信息系统应用程序的方法主要有:①程序代码检查法,对被审程序语句逐条加以审查,以验证程序的合法性、正确性;②阅读程序流程图法,通过阅读程序流程图来核查被审程序的控制功能是否可靠和处理逻辑是否正确;③编写审计程序测试被审程序法,审计人员或系统开发人员编写计算机审计程序,模拟被审程序的处理控制功能或截获审计证据。以检测系统处理的正确性;④利用数据审查电算化会计信息系统应用程序法,为测试程序功能而将一些实际的或模拟的业务数据输入计算机系统中,然后将输出结果与事先计算好的结果相比较,如果结果一致,说明系统功能正常,反之则有问题。 (三)网络环境下会计信息系统审计检查风险的防范 防范与控制网络环境下会计信息系统审计的检查风险。首先要完善网络环境下会计信息系统审计规范,其次要提高审计人员素质,注重先进审计技术的运用。 1,建立网络环境下会计信息系统审计操作规范,提高会计信息系统审计质量是控制和防范审计检查风险的基础 面对Internet的迅猛发展,网络犯罪和会计数据欺诈的日益猖獗。制定较为完善的法律,打击网络犯罪和经济犯罪,保证会计数据的安全性和数据的完整性势在必行。此外,建立网络环境下会计信息系统审计操作规范,加强网络环境下会计信息系统审计质量管理,使审计人员在开展审计工作时有章可循。充分运用计算机审计软件的用户身份权限和审计日志系统,建立审计责任制,使网络环境下会计信息系统审计的目标、内容、范围等得到约束和控制,使网络环境下会计信息系统审计具有规范性和科学性。促进网络环境下会计信息系统审计工作质量的提高,有效地降低网络环境下会计信息系统审计的风险。 2,提高审计人员素质。注重运用先进审计技术来实现审计目标 利用信息系统审计技术可以执行的审计程序包括:交易和余额的详细测试、分析性复核、会计信息系统一般控制的符合性测试、会计信息系统应用控制的符合性测试、串行测试等。提高计算机审计技术和开发高性能计算机审计软件是降低网络环境下会计信息系统审计检查风险的重要保证。 在网络环境下,传统的信息系统审计技术,如测试数据、综合测试、平行模拟等已不再完全适合。在实施会计信息系统审计时,审计人员只有熟练掌握各种更先进的审计技术,才能取得充分可靠的审计证据,有效执行审计,实现审计目标。目前已逐步发展成熟的先进的信息系统审计技术主要有: (1)快照(Snapshot)。快照是指当应用系统处理某一交易时,让软件对其进行“拍照”,通常是在应用系统的重要处理发生点嵌入软件,嵌入软件可捕捉交易的前映像和后映像,通过对这些映像的检验,可以对处理该交易的应用程序进行审查。 (2)追踪(Tracing)。追踪是测试数据法的一种变形,它是对应用程序的内在逻辑进行追踪测试。为了能够产生追踪的踪迹,需要对被审计的应用程序进行专门的编辑处理。这种技术通过追踪程序的执行。可以取得系统处理交易时所执行的程序指令列表,通过分析指令执行结果,可以检验程序内在逻辑的正确性。使用现场数据或测试数据。追踪技术还可对应用程序中的控制进行检验。 (3)映像(Mapping)。映像是用一个专门的软件测量包(Software Measurement Package)监控程序的执行,该软件可以对程序中每一语句执行的次数进行计数并提供有关资源利用的累计统计数。对未执行的程序语句会产生一个列表,审计人员应对未执行的语句进行分析,以确定其是否恰当。例如,一些语句可能是为处理例外业务而设,但例外业务没有执行过。有些未曾执行的语句也许是程序设计员的花招或是由于其他原因。 |
| 随便看 |
|
科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。