刍议网络审计风险及防范对策
国际互联网的不断发展,使全世界迈入了一个信息化的时代。以高效率和低成本为特征的电子商务于20世纪90年代首先由美国发起并向全球推广,它大大改变了传统企业的经营管理模式和会计工作模式,同时也给审计带来了新的挑战和发展机遇,网络审计的产生正是体现了电子商务发展的内在需求。由于经济环境的复杂性和计算机网络自身固有的局限性,网络审计不可避免地会存在一些问题,将直接导致审计人员利用网络技术对有关信息系统进行审计后发表不恰当的审计意见。
一、网络审计面临的风险
(一) 网络风险防范与控制任务艰巨
从环境的角度来看其风险因素主要来自三个方面:一是由于计算机自身的局限性所引起的。如发生网络故障或遭自然、机械灾害损坏以及不合法的操作等,会导致数据毁损或丢失;二是由于管理不善或控制不严等,犯罪主体对计算机设施、输入、输出、软件这四个入口实施破坏,使数据受损。据统计,美国的计算机用户在过去两年中因病毒、间谍软件和网络欺诈等电脑犯罪带来的损失超过了80亿美元。64%的受访者表示曾检测到病毒,其中超过半数的用户不得不格式化硬盘;三是由于“黑客”袭击网络,篡改、破坏审计数据乃至整个系统,使经营者蒙受巨大损失。网络犯罪已经对各国的经济发展和国家安全构成了现实威胁。
从审计工作的角度看,电子商务系统在使用过程中的风险越大,审计风险也越大。第一,数据高度集中于OA或ERP系统,如果对数据库控制得不严格,会导致机密的数据被非法传播,甚至被篡改而不留下任何痕迹;第二,OA系统设计的不合理,会造成对数据处理的冗余和系统处理事务时的不确定;第三,电子商务系统主要以磁盘、磁带、光盘等存储介质作为信息载体,记录于这些存储介质上的信息是肉眼不可见的,必须借助于计算机才能以人可以理解的形式表现出来,而同一信息可以被“翻译”成不同的形式,利用磁性介质难以实现诸如签字、盖章等这些使信息证据化的操作;第四,计算机病毒的入侵和黑客对电子商务系统的蓄意破坏等等。上述因素都可能使审计风险中的重大错报风险增大。根据审计风险模型,审计风险=重大错报风险×检查风险。该模型清楚地揭示出,在检查风险不变的情况下,重大错报风险的增大必然使审计风险随之增大。因此,网络审计中重大错报风险的防范与控制已成为审计面临的重要问题之一。
(二) 审计人员素质有待进一步提高
在网络环境下,由于审计环境、审计线索、安全控制、审计内容和技术的改变,要求审计人员既要掌握会计、审计、经济管理、法律等方面的知识,还要掌握计算机、网络信息系统、电子商务等方面的知识和技能;既要了解网络环境经营和会计核算的特点与风险,又要懂得如何利用计算机网络进行审计。
审计署提出《信息化建设总体目标和构想》中指出,全国审计系统已有2万多人具备计算机初级水平,占审计人员的25%,在审计业务、公文管理、办公自动化方面运用计算机的水平都有较大提高。但是在注册会计师的行业,情况并不乐观。由于我国CPA资格考试推行较晚,到目前为止在该项考试中还没有涉及对计算机方面的要求,因此,绝大多数的CPA运用计算机的水平还比较低。就这方面素质而言,目前我国的审计人员尚未完全具备网络审计的能力。
(三) 审计线索的电磁化困扰
在传统会计系统中,会计核算程序中的每一步都会在纸介质上留有文字记录及签名,审计线索十分清楚。但是电子商务中,由于采用计算机来处理与存储,传统的审计线索会完全消失。各种单据、票证和账簿等都以电磁信息的形式在网络中传递并存储于磁介质中,这些存储在磁性介质上的信息只能借助于计算机来读取。此外,原始单据被录入计算机中之后,虽然通过人为的控制去进行下一步的操作,但是传统的审计线索在这里中断了,传统的审计方法有的已不再适用,只能通过计算机进行审查。而且通过计算机产生的审计线索还有安全性差和不能永久保存的缺点。如果系统设计时考虑不周,可能到审计时才发现只留下业务处理的结果而不能追索其来源。因此,网络审计为企业在开发审计软件时怎样才能保留类似于传统审计的审计线索提出了新的需求。
(四) 审计软件不完善
网络审计是借助网络审计软件进行的。现阶段我国的软件企业虽然比较多,但是尚未具备能与国外软件相抗衡的竞争力。尤其在审计软件的开发阶段容易隐含一些技术问题,而在测试过程中又未能被发现,导致以后的运行中出现一系列的重复性错误。此外,目前还没有一个统一的数据接口标准,也使审计软件的投入使用遇到障碍。审计软件还须大力加强数据管理和防破坏等功能的开发。当然,国内的软件也有其自身的优势,就是熟悉本土企业的业务流程及会计准则,这是国外的软件企业所不及的。所以我们只有加大对审计软件的调研、开发、测试的力度,使网络审计系统更安全可靠、运行更准确、处理更及时,才会被广大审计人员所接受。
二、解决我国网络审计风险的相应对策
(一)搞好网络风险防范与控制
从环境的角度来说,主要应从以下几个方面做起:第一,从硬件方面看,需要做到服务器的硬件维护、消防维护、日志维护、UPS电源的维护,并且对直接操作服务器的人员进行安全检查和操作规范化的培训;第二,对数据安全的控制,严格按照权限的分配进行对系统的操作,随时确认数据密钥的安全性,以防止来自Internet及内部的非法存取操作;第三,做好对系统和数据的备份工作,防止有人恶意的破坏或不可抗的外力的破坏。检查防治病毒措施,是否安装有杀毒软件,防火墙之类,并严格控制使用外来存储介质,等等。
从审计工作的角度来说,由于电子商务的系统特点,其广泛使用必然造成审计风险中的重大错报风险增大。根据审计风险模型,审计风险=重大错报风险×检查风险,我们可以看到,在重大错报风险较高的情况下,审计人员只有通过扩大审计范围、增加样本量等措施来降低检查风险,才能使审计风险保持在适当水平。
(二)培养网络审计人才
一个精通网络、计算机及审计业务的审计队伍是网络审计能否得以顺利实施的关键因素。目前我国该类人才比较匮乏,需要做好审计人员和计算机人员的人力资源整合。培养网络审计人才主要措施在于:第一,应定期对审计人员进行相关培训,在CPA资格考试、审计专业技术职务考试中适当增加有关计算机、网络理论及操作的测试;第二,各学校对审计、会计专业的学生,应将网络理论及操作作为一门主要课程,并加强实践训练;第三,审计组织在这方面应加大资金投入,定期对现有审计人员进行网络知识培训,使他们迅速适应网络审计工作的环境;第四,审计人员应将学习网络知识作为一项长期任务来对待,不断更新自身的知识结构以适应网络审计工作的需要。
(三)完善网络审计的取证方法
针对网络审计线索的困扰,应完善网络审计的取证方法。主要做法为:第一,在统一接口的通用软件开发后,规定各单位在会计数据文件打印输出的同时,以可审计的形式进行存储保留,从而留下审计线索,以便审计人员实现有效的远程审计;第二,审计组织要建立审计服务信息库。在信息库中录入被审计单位存储保留的有关经济信息,以便在审计时随时调阅、查实和核对,方便收集审计证据;第三,要运用实时测试、电子函证、钩稽关系测试等新的审计技术方法获取证据。
(四)积极开发网络审计软件
网络审计需要借助网络审计软件进行,应大力开发网络审计软件。首先,要解决网络审计软件由谁开发的问题。从现实情况和科学性来说,最好选择财务软件公司进行开发,它在财务软件制作方面的经验有利于网络审计软件的开发;其次,要解决统一软件接口的问题。应由国家运用行政力量制定数据接口标准,规定网络审计软件设计统一的数据结构、统一的输入要求和有一定强制性的数据文件;再次,要完善软件的管理功能和防病毒破坏功能,防止“黑客”篡改数据等;最后,开发出的审计软件应具有审计整理、审计分析、审计查证等功能,且可以完成审计工作底稿的制作,最终实现财务软件与审计软件一体化的目标。