购物车(0) 期刊中心 科普订阅 范文中心
400-808-1731期刊服务 在线咨询7X16小时在线
公务员期刊网 精选范文 网络内容审计范文

网络内容审计精选(九篇)

网络内容审计

第1篇:网络内容审计范文

关键词:审计模式;网络审计;网络经济;电子商务

一、引言

21世纪是信息化浪潮席卷全球的时代,其特征是以国际互联网为代表的计算机网络迅速发展,成为全球统一、庞大无比的国际媒体。网络时代正使企业的经营方式和管理模式发生重大变化。电子商务的成功向人们勾画出经济信息被卷入互联网所经历的无纸、快速、开放的轨迹,作为商业语言的会计信息,软件开发商开始在软件中为其设置了WEB的切入点。一旦会计信息网上安全问题被提出后,网络审计必将应运而生。

信息技术的发展以及会计电算化的普及,引致审计工作由手工审计转向计算机审计。计算机审计的研究与发展对审计理论与实务、审计方法与技术、审计线索与规程有着深远影响。在网络经济时代,计算机审计将是另一表现形式即网络审计。审计署李金华审计长曾说,在网络经济时代,如果不搞计算机审计,将会失去审计资格(吴磊,金光华:“Internet与网络审计”,《上海会计》,2002年第6期)。

二、网络对审计模式发展的影响

21世纪是信息化浪潮席卷全球的时代,网络使审计模式发展受到影响,主要包括以下几个方面:

(一)审计环境的改变

以IT技术为基础发展起来的网络经营和电子商务,使企业可以通过网络直接确认交易,出口报关,传送发货单和发票划账结汇等,从而改变了企业传统的交易模式和经营管理观念,有效减少了中间环节。在电子商务环境下,企业面对一个全新的网上空间,交易信息以光速在网上传递。其运作主要由计算机信息系统按先进的管理模式控制,经营管理走向网络化与自动化。审计人员必须了解并适应这种审计环境。

(二)审计线索的改变

在审计工作中,审计人员通过跟踪审计线索,审核有关经济业务和收集审计证据。在传统的商务活动中,每笔交易的每一个环节都有文字记录,并由经手人签字,审计线索十分清楚。审计人员可以从原始单据开始,对交易事项进行追踪,直到报表为止,也可以从报表开始,一直追溯到原始单据,形成了顺查、逆查等审计方法。在网络经营和电子商务条件下,传统的审计线索可能会完全消失。不仅记录业务的内部原始单据,如入库单、领料单等原始凭证将变成电磁化的信息,而且计算机信息系统根据确认的经济业务自动编制记账凭证,登记账簿,编制报表,整个过程全部按照既定程序自动完成,实现财务核算自动化。由此可见,网络环境下审计线索的产生与存储方式的特点与风险都与传统的审计线索有很大的不同。

(三)对审计内容的影响

在网络经济条件下,审计的监督职能并没有改变,但是审计的内容发生了相应的变化。首先,审计内容必须包括对电子商务系统处理和控制功能的审查,以证实其对交易事项的处理是否真实、合法并且安全可靠,这是传统审计所不具备的内容;其次,由于电子商务系统已经开发完成并投入使用,再对它进行修改优化,要比在系统设计阶段对它进行改进困难得多,代价也昂贵得多。因此,电子商务系统的设计阶段少不了审计人员的参与。

(四)对审计技术的影响

在手工审计条件下,对会计资料的审计一般采用审阅、核对、分析、比较和函证等方法,这些审计工作都由人工执行。在电子商务条件下,财务网络化所引起的审计环境、审计线索、安全控制及审计内容的改变,决定了审计人员还必须掌握一门必不可少的、效率更高的审计技术――计算机审计技术。在网络化条件下,缺乏纸质的审计线索,审计人员却可以使用计算机跟踪电磁性的审计线索,利用计算机可以更快速、更有效地对电磁化的信息进行抽样、检查、核对、分析、比较和计算,使得看似已消失于无形的东西变得有据可查,从而提高审计效率,扩大审计范围,提高审计质量。

三、网络审计模式

网络经济条件下的网络审计将会是一个什么的模式呢?总体说来,网络审计是审计学、计算机技术、网络技术以及通讯技术的结合,是计算机审计发展的高级阶段。从网络审计客体角度来看,它是建立在网络基础上的对被审计单位在一定时期内的部分或全部经济活动进行审计的系统;从网络主体角度,它是建立在网络基础上的辅助审计的信息系统。具体来说,主要包括以下几个方面:

(一)网络安全与内部控制审计

网络技术与电子商务的发展,推动了财务管理从桌面财务走向网络会计。在网络环境下,由于网络的开放性,一方面,提供了会计信息的共享性,通过分散工作负荷来提高会计工作的效率;另一方面,电子形式的会计信息,将会受到诸如网络故障,信息传送差错,网络计算机病毒,黑客的恶意行为和非法者入侵等潜在威胁的影响,这些都会严重威胁会计信息和数据的安全与完整,严重时可能导致会计信息系统的崩溃。因此,在网络审计中,保障会计信息和经济信息的安全性,以控制审计风险,显得比以往更加突出,并成为网络的最重要问题之一。在网络会计信息系统中,内部控制的重点、方式、内容和范围均发生了变化,作为与网络会计相对应的网络内部控制审计,必然不同于传统审计和计算机桌面审计,从而呈现出自己的特点。在有关审计准则中,控制分为两类:一般控制和应用控制。网络内部控制审计也可分为网络一般控制审计和应用控制审计,针对网络会计信息系统的特征,通过网络内部控制审计,从而评价网络会计信息系统的内部控制是否健全、有效,提示内部控制的弱点。网络一般控制审计是对网络会计信息系统的构成要素及其环境控制的审计,应针对网络信息系统的安全、分工、系统开发、编程、系统运行与维护、软件和硬件资源的保障、文档资料保管等有效控制做出合理的评价。通过深入网络信息系统对具体数据处理过程的审计,为信息系统数据处理的准确性、完整性和可靠性提供保障。

(二)网络信息系统应用程序的审计

在对一个网络化会计信息系统进行符合性和实质性测试时,由于受到计算机网络程序复杂化和自动化的影响,往往不能仅仅检验数据本身,还须对网络程序的处理和控制进行审计。网络审计中对网络信息系统应用程序的审计目标体现在两个方面:第一,程序处理过程是否与有关的标准及法规相符,如企业网络会计信息系统的运作有其特有的体系、方法和相应的规章制度,包括会计准则、财务制度、会计科目设置方法、会计假设、核算方法、固定资产折旧方法、税收政策等,审计人员应对基于网络的被审系统的程序处理过程是否遵从管理要求和现行法规制度、标准等进行独立的审查和评价;第二,考核网络系统程序对错误的检验和控制情况,如对输入网络信息,系统中的数据错误的检验和控制,会计证、账、表的试算平衡措施等,它决定了整个网络信息系统应用程序的可靠性,否则,将会给系统的运行留下隐患。为达到对网络信息系统应用程序审计目标,可运用包括符合性测试和实质性测试在内的多种测试方法,对被审网络信息系统应用程序运行过程中产生的数据的准确性、可靠性、合法性进行验证;也可运用在被审网络信息系统中设立的审计控制点,从而定时与不定时地、成批或实时地收集有关审计数据,以进行审计验证。另外,在对被审网络信息系统应用程序进行审计时,要建立审计用数据库或数据仓库。在网络审计中,对被审网络信息系统的审计,要求技术性强,知识面广,而且要求应结合被审系统的特点,采用专门的技术和方法。

(三)网络辅助审计信息系统

网络辅助审计信息系统是实现审计工作和审计管理网络化、自动化的系统。它是一个由人、机组成的能进行信息的收集、传递、存贮、加工、维护和用来进行计算机辅助审计的网络系统。网络审计辅助信息系统从总体上可分为两个部分:辅助审计网络系统和审计信息网络系统。

1、辅助审计网络系统

辅助审计网络系统是辅助审计人员对被审计对象进行审计抽样、查账、验证等的网络系统。在网络环境下,会计的凭证、账簿、报表等都是以数据文件的形式存储在计算机网络系统中,要对网络信息系统所产生的会计数据和其它有关业务数据进行评价和实质性测试,就必须对数据文件进行审计,通过辅助审计网络系统。审计机构可通过网络直接从网络会计信息系统和其它信息,系统中获得审计所需数据,或通过审计通用数据接口获取审计数据,以满足审计需要。要对复杂的网络数据库中的数据进行审计,关键是开发辅助审计网络软件。辅助审计网络系统软件包括通用网络审计软件和专用网络审计软件。通过将审计软件嵌入被审单位会计系统内,对每笔经济业务的处理情况进行远程监控,或者通过审计软件数据接口从网上获取审计数据,从而对被审单位进行审计。

2、审计信息网络系统

审计信息网络系统是帮助审计人员实现审计信息和管理网络化、自动化的系统。它通过计算机网络自动收集有关审计综合信息、审计法规信息、审计项目信息、审计内审信息等;进行有关审计信息分析;进行审计文书管理,包括审计计划、审计通知书、审计记录、审计工作底稿、审计意见书、审计报告、审计决定等的计算机自动生成与管理,户管资料、审计档案的计算机管理。有关文件的输入、修改、查询、归档、输出等,进行审计信息的统计汇总与报表编制,以反映审计结果,包括由计算机网络实现的统一规定的逐级上报的报表体系和有关审计工作的统计信息等。

审计网络是网络审计得以开展的物质载体,要进行网络审计,必须先进行审计网络建设,我国的网络经济虽然有了很大发展,但与发达国家相比还有很大差距,对网络财务研究和软件开发也才刚刚开始,不能满足网络审计发展的要求。因此,我国应加快审计网络建设,建立适合中国特色的网络审计模式。

参考文献:

1、孙雅琴.浅谈网络经济时代的会计创新[J].财务与审计,2005(1).

2、许强,谢浩.计算机审计面临的问题及对策[J].河北财会,2006(4).

3、齐鲁豫.如何保证计算机审计的质量[J].中国内部审计,2005(10).

4、王敏入.试论电子商务时代的网络审计[J].湖北财经高等专科学校学报,2005(5).

5、詹姆斯・A・霍尔.信息系统审计与鉴证[M].人民出版社,2005:176-183.

6、刘波.网络审计创新[J].财会审计,2005(12).

7、杨文军.互联网技术与网络审计的发展[J].科学之友,2005(11).

第2篇:网络内容审计范文

关键词:网络审计 历史财务报表审计 信息安全管理 风险评估

一、引言

从审计的角度,风险评估是现代风险导向审计的核心理念。无论是在历史财务报表审计还是在网络审计中,现代风险导向审计均要求审计师在执行审计工作过程中应以风险评估为中心,通过对被审计单位及其环境的了解,评估确定被审计单位的高风险领域,从而确定审计的范围和重点,进一步决定如何收集、收集多少和收集何种性质的证据,以便更有效地控制和提高审计效果及审计效率。从企业管理的角度,企业风险管理将风险评估作为其基本的要素之一进行规范,要求企业在识别和评估风险可能对企业产生影响的基础上,采取积极的措施来控制风险,降低风险为企业带来损失的概率或缩小损失程度来达到控制目的。信息安全风险评估作为企业风险管理的一部分,是企业信息安全管理的基础和关键环节。尽管如此,风险评估在网络审计、历史财务报表审计和企业信息安全管理等工作中的运用却不尽相同,本文在分析计算机信息系统环境下所有特定风险和网络审计风险基本要素的基础上,从风险评估中应关注的风险范围、风险评估的目的、内容、程序及实施流程等内容展开,将网络审计与历史财务报表审计和信息安全管理的风险评估进行对比分析,以期深化对网络审计风险评估的理解。

二、网络审计与历史财务报表审计的风险评估比较

(一)审计风险要素根据美国注册会计师协会的第47号审计标准说明中的审计风险模型,审计风险又由固有风险、控制风险和检查风险构成。其中,固有风险是指不考虑被审计单位相关的内部控制政策或程序的情况下,其财务报表某项认定产生重大错报的可能性;控制风险是被审计单位内部控制未能及时防止或发现财务报表上某项错报或漏报的可能性;检查风险是审计人员通过预定的审计程序未能发现被审计单位财务报表上存在重大错报或漏报的可能性。在网络审计中,审计风险仍然包括固有风险、控制风险和检查风险要素,但其具体内容直接受计算机网络环境下信息系统特定风险的影响。计算机及网络技术的应用能提高企业经营活动的效率,为企业的经营管理带来很大的优越性,但同时也为企业带来了一些新的风险。这些新的风险主要表现为:(1)数据与职责过于集中化。由于手工系统中的职责分工、互相牵制等控制措施都被归并到计算机系统自动处理过程中去了,这些集中的数据库技术无疑会增加数据纵和破坏的风险。(2)系统程序易于被非法调用甚至遭到篡改。由于计算机系统有较高的技术要求,非专业人员难以察觉计算机舞弊的线索,这加大了数据被非法使用的可能性。如经过批准的系统使用人员滥用系统,或者说,企业对接近信息缺乏控制使得重要的数据或程序被盗窃等。(3)错误程序的风险,例如程序中的差错反复和差错级联、数据处理不合逻辑、甚至是程序本身存在错误等。(4)信息系统缺乏应用的审计接口,使得审计人员在审计工作中难以有效地采集或获取企业信息系统中的数据,从而无法正常开展审计工作。(5)网络系统在技术和商业上的风险,如计算机信息系统所依赖的硬件设备可能出现一些不可预料的故障,或者信息系统所依赖的物理工作环境可能对整个信息系统的运行效能带来影响等。相对应地,网络审计的固有风险主要是指系统环境风险,即财务电算化系统本身所处的环境引起的风险,它可分为硬件环境风险和软件环境风险。控制风险包括系统控制风险和财务数据风险,其中,系统控制风险是指会计电算化系统的内部控制不严密造成的风险,财务数据风险是指电磁性财务数据被篡改的可能性。检查风险包括审计软件风险和人员操作风险,审计软件风险是指计算机审计软件本身缺陷原因造成的风险,人员操作风险是指计算机审计系统的操作人员、技术人员和开发人员等在工作中由于主观或客观原因造成的风险。

(二)风险评估目的无论在网络审计还是历史财务报表审计中,风险评估只是审计的一项重要程序,贯穿于审计的整个过程。与其他审计程序紧密联系而不是一项独立的活动。尽管如此,两者所关注的风险范围则有所不同。历史财务报表审计的风险评估要求审计人员主要关注的是被审计单位的重大错报风险――财务报表在审计前存在重大错报的可能性。由于网络审计的审计对象包括被审计单位基于网络的财务信息和网络财务信息系统两类,因此审计人员关注的风险应是被审计单位经营过程中与该两类审计对象相关的风险。(1)对于与企业网络财务信息系统相关的风险,审计人员应该从信息系统生命周期的各个阶段和信息系统的各组成部分及运行环境两方面出发进行评估。信息系统生命周期是指该信息系统从产生到完成乃至进入维护的各个阶段及其活动,无论是在早期的线性开发模型中还是在更为复杂的螺旋式等模型中,一个信息系统的生命周期大都包括规划和启动、设计开发或采购、集成实现、运行和维护、废弃等五个基本阶段。由于信息系统在不同阶段的活动内容不同,企业在不同阶段的控制目标和控制行为也会有所不同,因此,审计人员的风险评估应该贯穿于信息系统的整个生命周期。信息系统的组成部分是指构成该信息系统的硬件、软件及数据等,信息系统的运行环境是指信息系统正常运行使用所依托的物理和管理平台。具体可将其分为五个层面:物理层,即信息系统运行所必备的机房、设备、办公场所、系统线路及相关环境;网络层,即信息系统所需的网络架构的安全情况、网络设备的漏洞情况、网络设备配置的缺陷情况等;系统层,即信息系统本身的漏洞情况、配置的缺陷情况;应用层,即信息系统所使用的应用软件的漏洞情况、安全功能缺陷情况;管理层,即被审计单位在该信息系统的运行使用过程中的组织、策略、技术管理等方面的情况。(2)对于与企业基于网络的财务信息相关的风险,审计人员应着重关注财务信息的重大错报风险和信息的安全风险。重大错报风险主要指被审计单位基于网络的相关财务信息存在重大错报的可能性,它是针对企业借助于网络信息系统或网络技术对有关账户、交易或事项进行确认、计量或披露而言。网络审计中关注的重大错报风险与传统审CtT的内涵基本上是一致的,审计人员在审计时应当考虑被审计单位的行业状况、经营性质、法律及监管环境、会计政策和会计方法的选用、财务业绩的衡量和评价等方面的情况对财务信息错报可能的影响。信息安全风险涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的风险,主要针对企业利用信息系统或一定的网络平台来存储、传输、披露相关财务信息而言。在审计过程中,审eta员应当主要关注相关财务信息被盗用、非法攻击或篡改及非法使用的可能性。当然,这两类风险并非完全分离的,评估时审计人员应将两者结合起来考虑。

(三)风险评估内容 广泛意义的风险评估是指考虑潜在事件对目标实现的影响程度。由于网络审计与历史财务报表审计风险评估的目的并不完全相同,因此两者在风险评估的内容上也是存在区别的。总的来说,网络审计的风险评估内容比历史财务报表审计的风险评估内容更广泛和深入。根据《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风

险》,在历史财务报表审计中,审计人员的风险评估应以了解被审计单位及其环境为内容。为识别和评价重大错报风险,审计人员了解的具体内容包括被审计单位所在行业状况、法律环境与监管环境以及其他外部因素、被审计单位的性质、被审计单位对会计政策的选择和运用、被审计单位的目标、战略以及相关经营风险、被审计单位财务业绩的衡量和评价及被审it@位的内部控制等。在网络审计中。为了识别和评估上文所述的两类风险,审计人员除了从以上方面了解被审计单位及其环境外,还应该关注其他相关的潜在事件及其影响,尤其是企业的财务信息系统及基于网络的财务信息可能面l临的威胁或存在的脆弱点。其中,威胁是指对信息系统及财务信息构成潜在破坏的可能性因素或者事件,它可能是一些如工作人员缺乏责任心、专业技能不足或恶意篡改等人为因素,也可能是一些如灰尘、火灾或通讯线路故障等环境因素。脆弱点是指信息系统及基于网络的财务信息所存在的薄弱环节,它是系统或网络财务信息本身固有的,包括物理环境、组织、过程、人员、管理、配置、硬软件及信息等各方面的弱点。一般来说,脆弱点本身不会带来损失或信息错报,威胁却总是要利用网络、系统的弱点来成功地引起破坏。因此,我们认为网络审计申风险评估的内容应包括以下几方面:(1)识别被审计单位财务信息系统及其基于网络的财务信息可能面临的威胁,并分析威胁发生的可能性;(2)识别被审计单位财务信息系统及其基于网络的财务信息可能存在的脆弱点,并分析脆弱点的严重程度;(3)根据威胁发生的可能性和脆弱点发生的严重程度,判断风险发生的可能性;(4)根据风险发生的可能性,评价风险对财务信息系统和基于网络的财务信息可能带来的影响;(5)若被审计单位存在风险防范或化解措施,审计人员在进行风险评估时还应该考虑相应措施的可行性及有效性。

(四)风险评估程序《中国注册会计师审计准则第1211-----了解被审计单位及其环境并评估重大错报风险》中要求,审计人员应当实施询问、分析程序、观察和检查等程序,以获取被审计单位的信息,进而评估被审计单位的重大错报风险。这些程序同样适用于网络审计中的风险评估。但在具体运用时网络审计中更加注重了解和分析被审计单位与信息系统及网络技术使用相关的事项。在实施询问程序时,审计人员的询问对象围绕信息系统和基于网络的财务信息可大致分为管理人员、系统开发和维护人员(或信息编制人员)、系统使用人员(或信息的内部使用人员)、系统或网络技术顾问及其他外部相关人员(如律师)等五类,分别从不同角度了解信息系统和基于网络的财务信息可能存在的威胁和脆弱点。在实施分析程序时,除了研究财务数据及与财务信息相关的非财务数据可能的异常趋势外,审计人员应格外关注对信息系统及网络的特性情况,被审计单位对信息系统的使用情况等内容的分析比较。实施观察和检查时,除执行常规程序外,审计人员应注意观察信息系统的操作使用和检查信息系统文档。除此之外,针对特定系统或网络技术风险的评估,审计人员还需要实施一些特定的程序。技术方面如IOS取样分析、渗透测试、工具扫描、安全策略分析等;管理方面如风险问卷调查、风险顾问访谈、风险策略分析、文档审核等。其中,IDS取样分析是指通过在核心网络采样监听通信数据方式,获取网络中存在的攻击和蠕虫行为,并对通信流量进行分析;渗透测试是指在获取用户授权后,通过真实模拟黑客使用的工具、方法来进行实际漏洞发现和利用的安全测试方法;工具扫描是指通过评估工具软件或专用安全评估系统自动获取评估对象的脆弱性信息,包括主机扫描、网络扫描、数据库扫描等,用于分析系统、应用、网络设备存在的常见漏洞。风险问卷调查与风险顾问访谈要求审计人员分别采用问卷和面谈的方式向有关主体了解被审计单位的风险状况,使用时关键是要明确问卷或访谈的对象情况风险策略分析要求审计人员对企业所设定的风险管理和应对策略的有效性进行分析,进而评价企业相关风险发生的概率以及可能带来的损失;文档审核是一种事前评价方法,属于前置软件测试的一部分,主要包括需求文档测试和设计文档测试。这些特定程序主要是针对被审计单位信息系统和基于网络的财务信息在网络安全风险方面进行评价,审计人员在具体使用时应结合被审计单位的业务性质选择合适的程序。

三、网络审计与信息安全管理的风险评估比较

(一)风险评估的目的信息安全管理中的风险评估(即信息安全风险评估)是指根据国家有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程。作为信息安全保障体系建立过程中的重要的评价方法和决策机制,信息安全风险评估是企业管理的组成部分,它具有规划、组织、协调和控制等管理的基本特征,其主要目的在于从企业内部风险管理的角度,在系统分析和评估风险发生的可能性及带来的损失的基础上,提出有针对性的防护和整改措施,将企业面临或遭遇的风险控制在可接受水平,最大限度地保证组织的信息安全。而网络审计是由独立审计人员向企业提供的一项鉴证服务,其风险评估的目的在于识别和评价潜在事件对被审计单位基于网络的财务信息的合法性、公允性以及网络财务信息系统的合规性、可靠性和有效性的影响程度,从而指导进一步审计程序。因此,两者风险评估的目的是不一样。从评估所应关注的风险范围来看,两者具有一致性,即都需要考虑与信息系统和信息相关的风险。但是,具体的关注边界则是不一样的。信息安全风险评估要评估企业资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响,它要求评估人员关注与企业整个信息系统和所有的信息相关的风险,包括实体安全风险、数据安全风险、软件安全风险、运行安全风险等。网络审计中,审计人员是对被审计单位的网络财务信息系统和基于网络的财务信息发表意见,因此,风险评估时审计人员主要关注的是与企业财务信息系统和基于网络的财务信息相关的风险,而不是与企业的整个信息系统和所有的信息相关的风险。根据评估实施者的不同,信息安全风险评估形式包括自评估和他评估。自评估是由组织自身对所拥有的信息系统进行的风险评估活动;他评估通常是由组织的上级主管机关或业务主管机关发起的,旨在依据已经颁布的法规或标准进行的具有强制意味的检查。自评估和他评估都可以通过风险评估服务机构进行咨询、服务、培训以及风险评估有关工具的提供。因此。对审计人员而言,受托执行的信息安全风险评估应当归属于管理咨询类,即属于非鉴证业务,与网络审计严格区分开来。

(二)风险评估的内容在我国国家质量监督检验检疫总局的《信息安全风险评估指南》(征求意见稿)国家标准中,它将信息安全风险评估的内容分为两部分:基本要素和相关属性,提出信息安全风险评估应围绕其基本要素展开,并充分考虑与这些基本要素相关的其他属性。其中,风险评估的基本要素包括资产、脆弱性、威胁、风险和安全措施;相关属性包括业务战略、资产价值、安全需求、安全事件、残余风险等。在此基础上的风险计算过程是:(1)对信息资产进行识别,并对资产赋值;(2)对威胁进行分析,并对威

胁发生的可能性赋值;(3)识别信息资产的脆弱性,并对弱点的严重程度赋值;(4)根据威胁和脆弱性计算安全事件发生的可能性;(5)根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失;(6)根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。结合上文网络审计风险评估五个方面的内容可以看出,网络审计和信息安全风险评估在内容上有相近之处,即都需要针对信息系统和信息可能面临的威胁和存在的脆弱点进行识别。但是,信息安全管理作为企业的一项内部管理,其风险评估工作需要从两个层次展开:一是评估风险发生的可能性及其影响;二是提出防护或整改措施以控制风险。第一个层次的工作实质上是为第二层次工作服务的,其重点在第二层次。《信息安全风险评估指南》(征求意见稿)提出,企业在确定出风险水平后,应对不可接受的风险选择适当的处理方式及控制措施,并形成风险处理计划。其中,风险处理的方式包括回避风险、降低风险、转移风险、接受风险,而控制措施的选择应兼顾管理和技术,考虑企业发展战略、企业文化、人员素质,并特别关注成本与风险的平衡。网络审计的风险评估工作主要集中在第一个层次,即审计人员通过风险评估,为进一步审计中做出合理的职业判断、有效地实施网络审计程序和实现网络审计目标提供重要基础。因此,两者的评估内容是存在区别的。

第3篇:网络内容审计范文

[关键词]学校;网络安全;审计

doi:10.3969/j.issn.1673 - 0194.2016.04.041

[中图分类号]F239.1;TP393.18 [文献标识码]A [文章编号]1673-0194(2016)04-00-02

随着我国互联网技术的快速发展,基础的网络设施得到进一步完善,互联网在各企事业单位中得到充分利用。近几年,学校投入大量人力、物力、财力进行信息化建设,利用网络来管理校园工作、信息,提高了学校的工作效率。在信息系统快速发展的同时,网络管理的安全问题日益突出。因为学校的工作人员除了利用网络办公外,还有利用网络购物等一些与办公无关的行为,这之间可能有意无意地泄露了学校的机密,学校很难追查是谁泄密的。因此,如果对网络不进行监管,网络安全问题将成为学校的效率的杀手,并给学校带来很多麻烦。

1 网络审计功能特性概述

1.1 机器分组管理

网络审计可以实现对局域网内IP地址和机器名的搜索,并对搜索到的机器信息进行分组管理。自动分组功能可实现对指定IP段机器的自动分组,可生成多级树形结构的组织架构,针对不同级别来进行分组管理。

1.2 上网人员控制

网络审计支持12种认证和识别方式,包括邮箱认证、AD域认证、本地Web认证等,可以设定部分或全部机器须用账号上网,通过对账号的分组管理,可实现在同一机器上不同用户具有不同的上网活动权限。

1.3 丰富的策略分配机制

网络审计支持针对组织全局和部分的控制,支持对组织内用户账号、IP、MAC、分组的策略分配根据上网人员的账号或机器及上机范围来对其网络活动权限进行控制。

1.4 全系列娱乐应用封堵

网络审计系统支持对魔兽世界、QQ游戏等近百个市场上主流的网络游戏,大智慧、指南针等二十几个财经股票软件,以及MSN、QQ等常用的即时通讯工具进行实时的封堵,保障组织人员的工作学习效率。

1.5 针对关键字的封堵控制

网络审计支持针对内容关键字的各种应用封堵,包括文件传输、远程登陆、邮件收发、即时通讯等,支持针对用户名的关键字模糊匹配,支持对文件传输的文件类型以及文件内容关键字进行封堵控制,支持邮件内容、标题、附件名、附件内容以及发送、抄送、暗送的地址进行关键字封堵,保障组织内部的敏感信息不外泄。

1.6 URL地址关键字过滤

根据上网请求,对URL中的关键字进行智能模糊匹配过滤,与关键字匹配的网址将被限制访问。

1.7 流量封堵控制

网络审计支持对用户的日、周、月流量进行上网控制,支持对上行、下行流量进行分别统计控制,用户在每日、周、月流量限额用完后将无法正常上网,控制组织内用户的外网访问流量。

1.8 用户自定义协议控制

对于系统未知的协议类型和网络应用,用户可根据自己的需要,添加相应的协议特征实现对自定义协议的审计和控制。

1.9 审计网络行为

系统的网络数据包通过捕获来分析,不仅可以还原完整原始信息协议,还可以准确地记录关键信息的网络访问。网络审计系统支持几乎所有的网络行为的审计,能识别所有常用网络协议的应用,支持对几乎所有网络搜索引擎关键字的审计,支持对网页登录、聊天工具登录、网络游戏登录等应用登录的账号审计。

1.10 深度内容审计

网络审计系统可获取邮件、论坛发帖、聊天记录等所有内容,支持所有Web邮件、SMTP/POP3邮件的内容和附件审计,支持对热点论坛、博客、微博的发帖、留言等的内容及附件审计,支持对网页聊天室、MSN、飞信等聊天工具的聊天内容审计。

1.11 敏感信息告警

网络审计系统可设置行为报警策略和内容关键字审计策略,对触发敏感信息的网络行为进行行为告警处理,对触发敏感内容关键字的论坛发帖、网络聊天、邮件收发等行为进行相应报警处理,支持邮箱和短信的报警方式。

1.12 报表统计与数据分析

网络审计系统支持对用户、行为、关键字、流量及趋势等的数据统计,生成报表及数据分析和展示。通过数据的柱形统计图清晰明了地展现出组织内用户的网络行为情况,IT决策人员通过图形情况了解用户上网行为趋势、了解组织带宽利用分布,可以提出整改网络带宽方案作为参考之用。

2 网络审计部署概述

网络审计系统部署通过分布式部署和串接部署这两种方式进行灵活的结合,如果在不同的网络的环境,可以实现不同的管理模式以及不同的目的控制。下面简单地介绍3种典型的部署方案及其示意图。

2.1 单台旁路铜纤镜像

第一种部署方案是单台旁路铜纤镜像,用户的交换机必须对端口镜像进行支持,它们之间的连接必须以铜缆为介质,这是它的适用环境。该方案主要用于简单的学校和企业的二层和三层网络,审计设备主要是从交换机的镜像端口获取数据,并且该方案旁路部署接入的是最有代表的方案。该方案对原有网络的性能没有影响,而且部署简单、容易维护,如图1所示。

图1 单台旁路铜纤镜像

2.2 单台旁路光纤镜像

第二种部署方案是单台旁路光纤镜像,它适用的环境是用户的交换机必须支持端口的镜像,它们之间必须以光纤作为介质来连接。该方案是审计设备使用光纤作为介质来用于端口镜像最典型的方案,它主要用在学校及企业的二层或三层网络上,和第一种方案一样都是通过镜像端口来获取数据,获取的数据要使用相应的协议对它进行还原分析。该方案部署方便且简单,维护也非常容易,对原来的网络没有影响,如图2所示。

2.3 光纤网络双链路分光

第三种部署方案是光纤网络双链路分光,用户使用的交换机不能用来做端口镜像,必须具备2个或以上,并且独立的物理网络,还有就是在一个逻辑的网络中,使用具有核心功能的两台交换机建立一个均衡或热备的网络,通过上面描述的条件才能使用该方案。该方案是在对千兆线路解决的情况下,交换机不能做端口镜像的时候采用的分光的方案,该分光器采用双向的链路对两组分别进行分光,然后使用4个光口捕获审计数据,并对获得的数据进行还原及更深层次地分析。该方案使用一台审计设备可以同时捕获一个很冗余或两个不通的网络数据,此方案是光纤部署最典型的方案,如图3所示。

图2 单台旁路光纤镜像

图3 光纤网络双链路分光

3 结 语

本文介绍了网络审计系统的功能特性及其部署方式,网络审计系统主要包括上网人的控制、全面的网络行为审计、深度内容审计、敏感信息告警等功能;部署方式主要介绍了单台旁路铜纤镜像、单台旁路光纤镜像及光纤网络双链路分光等三种部署方式。学校安装审计系统和使用设计系统,能帮助管理人员对学校上网的人员进行审计、记录及分析,使管理员有针对性地对网络进行管理。

主要参考文献

[1]郝占军.网络流量分析与预测模型研究[D].兰州:西北师范大学,2011.

[2]凌波,柳景超,张志祥.基于Windows终端信息过滤的网络访问控制研究[J].计算机工程与设计,2011(1).

[3]邓小榕,陈龙,王国胤.安全审计数据的综合审计分析方法[J].重庆邮电学院学报:自然科学版,2005(5).

第4篇:网络内容审计范文

一、网络审计的风险

网络审计是一种全新的审计模式,因此它的产生也必将带来新的审计风险。而新的审计风险也将与传统审计风险有着明显的差异。其差异主要有以下两个方面:硬软件风险和人为风险。

网络审计对计算机硬软件的依赖性非常大,所以由于硬软件问题而导致的风险机率也就相当高。硬软件风险一是由于审计线索电子化并以磁介质为主要存储载体而导致的审计线索模糊,使审计人员无法摸清审计轨迹,并且舞弊者或攻击者可不留篡改痕迹的对原始数据进行非法修改和删除,从而无法保证数据的完整性和真实性,给审计监督服务带来了风险;二是由于在网络审计系统的运行过程中发生断电、死机、计算机病毒以及损坏等而导致的审计信息丢失;三是网络审计系统的运作需要多套审计软件的支持,一旦某个软件发生问题就将直接导致审计风险的产生。

网络审计是一种新兴的科技含量非常高的审计模式,所以对参与网络审计的人员素质要求也非常高,由此也将带来一定的审计风险,这种风险叫做人为风险。人为风险一是人为地破坏系统和盗窃信息。网络审计是以网络作为载体的,这就为电脑黑客通过网络对审计系统进行破坏和信息盗窃创造了条件,导致审计风险的产生;二是由于操作人员的失误或操作不专注而导致的审计风险;三是由于内部控制失灵,导致对数据维护、系统管理和数据输入、数据核对确认等岗位不作适当的分离,产生利用网络的弱点故意修改数据、舞弊或窃取秘密信息等审计风险。

二、网络审计风险的防范

(一)应用审计软件,对相关网络系统进行适时跟踪。首先对被审计单位的网络系统进行评价,并利用专用的审计对比软件,将存放于数据库不同地址的同一种数据进行自动比较,以形成相应的记录文件,并对有差异的文件数据进行详细审查;其次对被审计单位的自动检测数据库软件和恢复软件进行审查和评价;再次要对被审计单位的异常贸易,通过网络进行预警提示,以降低审计风险。

(二)建立审计服务信息库。网络时代的风险观念不同于传统的风险观念。因为网上交易公开化程度较高,数据被未授权人员修改的可能性很大,系统面临的信息风险骤增。而许多企业在网上的财务信息经常变换,偏离会计准则要求的信息还没有被监管部门发现就已经被替换掉,故建立一个在监管部门严格监控下的网上财务信息强制存档制度就显得尤为必要。

(三)对网络系统的安全性和保密性进行审计。在网络中运行,信息的安全性和保密性构成了审计的风险防范和控制的重点。首先对网络系统职责分离情况进行审查,遵循的原则仍为不相容职责必须分离,但侧重对数据的输入、输出,软件开发和维护及系统程序修改或管理等之间的关系进行审查;其次对被审计单位网络结构进行分析与评价,以确认防范黑客侵入的能力;再次对被审计单位的系统容错处理机制、安全管理体制和安全保密技术等作深入的了解,评价其系统安全性的等级,从而有效地控制审计风险。具体可以采取以下措施:第一,实行识别认证和访问控制技术。为了防止非法用户的入侵,可在因特网内部采用识别认证和访问控制技术,内部网的访问采用入网控制、网络权限控制、目录级别安全控制、网络服务器的安全控制等技术。第二,采用加密技术。数据加密技术作为主要网络安全技术,是提高网络系统数据的保密性,防止秘密数据被破译的主要技术手段。加密技术一般分两种形式:保密密钥和公开密钥。加密算法的选择要结合具体应用环境和系统要求,综合考虑密钥的合理分配、加密效率与系统结合度以及投入产出分析等因素。第三,设立防火墙。可以考虑在企业内部网与互联网之间设立防火墙,使内部网与互联网互相隔离。所谓防火墙是一道进出企业内部网的通信门槛,它可以有效地阻止互联网中的黑客非法入侵或攻击机构的内部网。当然,防火墙要随时升级换代,不断提高抵御病毒入侵、杀毒能力。第四,采用数字签名技术和公正仲裁制度。采用数字签名技术和公正仲裁制度,可以防止网络中进行数据交换时的否认、抵赖事件发生。仲裁制度可以有效地解决交易双方发生纠纷的法律适用问题和公正处理双方合法权益问题。采用数字签名技术和公正仲裁制度,可以有效地防范来自关联方和社会的道德风险。

第5篇:网络内容审计范文

关键词 知识经济 网络审计 挑战 对策

知识经济时代的到来,对很多学科产生了深刻的影响,审计也不例外。知识经济对审计的挑战主要表现为网络审计面临的挑战。那么何谓网络审计?网络审计就是基于互连网,借助信息技术,运用专门的,通过人机结合,对被审计单位进行远程审计。网络审计是对以往电算化审计的时空观的又一次突破,是现代审计在商务时代的新,也是电子商务的内在需求。

一、知识经济对审计的挑战

(一) 知识经济对审计线索的影响

审计线索对审计来说是极为重要的。审计工作中,审计人员正是通过跟踪审计线索,审核有关经济业务和收集审计证据的。而审计的过程,实质上就是不断收集、鉴定和综合运用审计证据的过程。在传统商务活动过程中,每笔交易都有一个完整的审计线索,交易的每一环节都有文字记录,都有经手人签字,审计线索十分清楚。审计人员可以从原始单据开始,对交易事项进行追踪,一直到报表为止;也可以从报表开始,追根寻源,一直追溯到原始单据,从而形成了顺查、逆查等审计方法。但是,实现电子商务以后,传统的单据没有了,纸质记录消失了,取而代之的是存有数据处

理资料的磁盘、磁带、光盘等,这些存储在磁性介质上的信息是机器可读的,它们不再是肉眼所能直接识别的了。此外,原始单据进入机以后,中间的交易处理由计算机自动完成,传统的审计线索在这里中断、消失了,传统的审计方法,有的已不再适用了。审计线索的肉眼不可见性,一方面增加了审计调查取证的难度,另一方面也从心理上给审计人员造成了压力。

(二) 知识经济对审计内容和范围的影响

审计内容范围有了很大的变化。在原有审计中,审计范围要根据不同的审计对象和审计目标来确定,总的看来,审计范围比较狭窄、封闭。而在电子商务活动中信息系统已经成为一个宽阔开放的系统,会计信息处理处于一个开放的空间范围,涉及到交易关联方的各个方面;同时,由于其资源的共享性,能访问会计信息以及接触会计信息的人可能涉及到整个网络用户,当然,对涉及企业商业秘密的信息仍有所限制。网络用户尤其是使用上市公司信息的用户,出于不同的动机,可能采取恶意操作行为,增加了网上行为的控制难度。因此,承担不真实以及非法数据的责任人

就不能局限于被审单位,交易双方以及相关的社会公众都将被列入审计范围。总之,电子商务活动中的任何一项审计业务,都是建立在互连网平台上的,审计活动面向网络。可见,网络审计的范围已被大大拓宽。

(三) 知识经济对审计人员素质的影响

实现网络审计以后,由于审计线索、内部控制、审计内容、审计方法与技术等的改变,决定了对审计人员要求的提高。不懂得计算机的审计人员,会因为审计线索的改变而无法跟踪审计,会因为不懂得网络审计的特点和风险而不能审查和评价其内部控制,会因为不会使用计算机和网络系统而无法对电子商务活动进行审计。实现电子商务以后,审计工作的顺利开展,必须基于一定的计算机技能、网络知识和完备的审计理论等多方面的综合运用,这对审计人员的业务素质提出了更高的要求。在这种情况下,审计人员不仅要有丰富的审计知识,而且要掌握一定的计算机、网络、通讯

、电子商务知识与技能。只有全面提高审计人员的业务素质和工作能力,才能满足网络审计工作的需要。

(四)知识经济对审计方法和技术的影响

在网络环境下,审计的对象发生了变化,大量的证据都存储在肉眼不可见的磁性介质上,对这些证据,审计人员只能利用计算机技术进行审查,即把计算机当作基本的审计工具使用,迅速、有效地完成审阅、核对、、比较等各项审计工作,从而提高审计的效率与质量。在对网络活动进行审计时,单机系统环境下的审计方法有的已不适用。这主要表现在对网络活动进行审计时,所有测试都必须在不改变数据库或记录的要件下设计具体的测试方法。由于网络系统的持续运行,使得审计人员很难让其在某一特定时间停下来接受大规模的测试,如果测试会改变数据记录,就意味着

审计人员给系统带来差错。当然,可以设计能够纠正差错的测试程序,但被审单位是否允许这种改变记录的方法,令人怀疑。同时由于系统实时的特点,也使得这种改变记录的审计方法很可能产生后遗症。由于交易数据处理的高速性和处理程序的复杂性,使得审计人员很难对经过测试后的系统重新进行复原。因而,就审计方法而言,采用整体检测法及受控处理法等进行系统测试的审计方法,对审计人员审查和评价整个电子商务系统显得尤为重要。因此,在执行网络审计任务时,审计人员往往要在系统运行的同时进行审计。

(五)知识经济对审计准则的影响

网络审计使得审计对象、审计线索、审计方法等各方面都发生了变化,人们以往在审计工作中逐步建立起的一系列审计标准和准则已不完全适用于变化了的情况,需要建立新的审计标准和准则指导审计工作实践。例如,对网络审计人员的一般要求、网络审计的事前审计准则、网络审计各系统安全可靠评价标准、网络审计系统内部控制准则等。美、英、日等国都制定了有关计算机审计的审计准则。国际审计准则中,对此也有专门的条款,详细说明了计算机审计的范围、目标、程序、技术及方法。我国的《注册会计师独立审计准则》中也有涉及到计算机辅助审计的内容,但针

对日益发展的电算化会计信息系统及随之而出现的一系列新的,审计准则中尚存在许多空白。

二、知识条件下的审计对策

的诞生给审计带来了一系列的挑战。面对知识经济的巨大冲击,我们应当组织力量对未来审计进行,寻求对策,迎接挑战。

(一)针对“无纸化”,为了解决审计线索,从而更有效地审计机系统,应注意下列问题:(1)在系统设计和开发过程中必须提出审计要求,系统的各种数据文件都应留下审计线索,除应保证会计数据文件的打印输出外,还应将会计数据文件以可审计的形式进行存储保留;(2)审计人员可利用计算机方便地获取被审计单位计算机会计信息系统中的数据文件,通过必要的数据转换,使其成为审计人员可识别的数据文件形式,再进行各种数据的重新组合和处理,以达到审计目的;(3)借助于最新研究开发的跟踪软件等。

(二)由于网络审计和范围的扩大,因而要做到以下几点:1、对于审计内容,注意原有审计业务的深度,考虑更深层次的审计要求,如无形资产的计算机软件的审计等。2、注意对系统的审计,尤其要考虑以下事项(1)审查和检测系统程序;(2)审查系统本身是否合规合法;(3)对系统的内部控制制度进行评审;(4)审查是否健全了机房管理制度。3、由于网络中更多公众的参与,还应关注相关公众的审计。

(三)针对网络审计对人才的挑战,一般可以尝试以下解决:(1)系统审计风险方面的知识,掌握新的审计方法。重视从审计立项到审计结论的每一个步骤,并采取相应的风险防范措施,使每一个环节的风险减少到最低程度。(2)更新审计监督观念。入世后,审计监督的重点应从有形资产审计转移到无形资产审计,重视管理方面和效益的审计,强化高新技术产业的审计,并促使其快速成长。(3)树立竞争观念,培养创新意识。知识经济条件下,信息化技术对经济的促进作用进一步加强,应提高审计人员对信息经济的认识,树立面向经济的竞争观念,?

嘌艚莸姆从δ芰痛蟮ù葱碌囊馐丁;剿魇视π畔⒕玫牧榛罡咝У纳蠹颇J胶头椒ǎ姹苌蠹品缦铡#?)改革和培训模式,提高审计人员的素质和业务水平。未来知识经济的竞争是人才的竞争,要培养面向知识经济的高素质审计人才,就必须改革现有的教育和培训模式,建立面向知识经济的教育和培训模式,用新的方式、新的观念,全方位的培养和选拔人才。推行素质教育,实施终身教育;改革教育、培训方法和手段,教研结合,学研结合,以培养和造就一大批一流水平的审计人才。

(四)作为一个经济服务领域,审计应注意以下问题:(1)要充分利用和维护已有的适应于自己的维系共同利益的体系;(2)审计服务由于要处处体现其独立性,从而存在其自身的特征,因此迫切需要一套符合自身发展的法律来规范,这就需要建立起规范网络审计的审计准则。就新的审计准则而言,必须做到既有独创的一面,又有沿袭传统的一面。说它独创性的一面,主要表现在规范审计的网络信息系统为中心的一整套制度以及版本的业务约定书、管理层说明书、审计报告等电子文件的合法化,这些制度具有浓厚的网络特色,这与传统审计准则具有明显的

区别;由于网络审计在审计独立性、客观公正以及审计的职业道德等方面仍然类似于传统审计,并且有时还离不开实地审计的参与,所以在规范类似审计方面可以适当的沿袭仍适用的传统审计准则。基于上述网络审计法律环境的建立,网络审计的运作将更加规范,更有保障。

(五)迎接挑战,技术革新是关键。应注意以下方面:(1)适应知识经济的特点和要求,开发新的审计程序和方法。审计重点将由原来审计线索的审核与查找,转向系统、设计过程等。(2)充分利用信息和网络技术 ,革新审计技术手段。(3)建立健全现代信息技术下的内控制度。传统会计岗位职责的打破,内控制度复杂化,带来新的审计风险,要求建立全新的内控制度,制定更为周密的审计计划,开发更科学的测试内控制度的技术,以适应这一变化。

在网络经济的环境下,审计模式的改变,不再是简单的修补和完善,而是一次深刻的变革,这也充分体现出网络经济的特征。不管是审计的内容范围,还是法律环境,归根结蒂只有不断研究探索新的方法、新的途径,才能成为传统审计模式的重塑者,为传统审计模式的退出创造条件。

李志方 《网络审计模式创新初探》 《财会通讯》 2002.01

杨 静 《知识经济对审计的挑战》 《财会通讯》 2001.10

王玉春 《论电子商务时代的网络审计》 《财会与会计》 2001.07

张金城 《电子商务对审计实务的》 《财会与会计》 2000.10

第6篇:网络内容审计范文

一、网络审计的局限

1.非法篡改数据,不留痕迹。无纸化交易和财务处理自动化,使得各类信息存储在磁盘或光盘上,舞弊者可以非法修改或删除原始数据,而不留有篡改的痕迹,使数据的完整性和真实性无法保证。

2.计算机黑客和病毒侵入。计算机黑客和病毒不受时空限制地威胁着网络化企业的安全,有时甚至给企业带来巨大的损失。黑客出于各种动机,欺骗性地进入目标网络系统,窃取重要的数据资料和商业秘密,破坏关键数据,使网络系统处于瘫痪状态。

3.电子商务系统存在安全隐患。在电子商务条件下,交易双方通过网络进行商务活动,但目前在法律、会计上对交易双方身份的确认有不完善之处。更重要的是,交易的货币结算一般是以数字货币与网上虚拟银行方式进行,数字货币的出现也产生了许多通过网络进行的金融犯罪和各种舞弊行为。因此,如何保证电子商务的真实性、收支结算的安全性成为电子商务系统亟待解决的问题。网络环境下,如果数据维护、系统管理和数据输入、数据核对等岗位不作适当的分离,就会有人利用网络的弱点故意修改数据、舞弊或窃取企业机密。越不健全的内部控制制度,审计的风险就越大。

二、克服网络审计局限的对策

1、应用审计软件,对相关网络系统进行实时跟踪。首先,对被审计单位的网络系统进行评价,并利用专用的审计对比软件,将存放干数据库不同地址的同一种数据进行自动比较,以形成相应的记录文件,并对有差异的文件数据进行详细审查,其次,对被审计单位的自动检测数据库软件和恢复软件进行审查和评价;再次,要对被审计电位的异常贸易,通过网络进行预警提示,以降低审计风险。

2、加强对网络系统的安全性和保密性进行审计。在网络中运行的信息安全性(即可靠性)和保密性构成了审计的风险防范和控制的重点。首先,对网络系统职责分离情况进行审查,遵循的原则仍为不相容职责必须分离,但侧重对数据的输入、输出,软件开发和维护及系统程序修改或管理等之间的关系处理进行审查;其次,对被审计单位网络结构进行分析与评价,以确认防范黑客侵入的能力;再次,对被审计单位的系统容错处理机制,安全管理体制和安全保密技术等作深入的了解,以评价其系统安全性的等级,从而有效地控制审计风险。

3、加强内部控制测试,降低控制风险。从手工会计发展到网络会计,审计环境发生了巨大的变化,内部控制审计重点也发生了变化。网络财务环境下内部控制更强调防止发生错误功能,审计人员可将控制风险定在最高水平制定工作计划,再展开审计测试工作。内部控制测试应着重检查各种管理制度是否健全、不相容职务是否分离、网络使用是否授权、操作日志是否建立、检查数据是否备份、应用控制制度是否建立等。

4、树立法制意识和风险意识,提高人员素质。网络审计是一种新兴的审计模式,因此首先要树立审计人员区别于传统审计的法制意识和风险意识;其次,网络知识更新换代异常迅速,审计人员必须定期接受相关业务培训和在职教育,更新自身知识结构,降低审计风险。

5、加强网络审计立法。网络审计立法是保障网络审计正常发展的关键性措施。有必要加快网络审计立法工作的力度和进度,使人们在开展网络审计工作时有章可循。如对电子证据、电子签名、电子合同、电子货币等网络经济工具的合法性及其使用规定,都需要立法来加以明确,使得网络审计工作尤其是进行合法性审计时有法可依。另外,对干目前已有的相关法律法规适用于网络审计的应遵从其规定,不适应的需进行修改和完善。

三、实行网络审计应注意的问题

网络的诞生给审计带来了一系列的挑战。面对知识经济的巨大冲击,我们应当组织力量对未来审计进行研究,寻求对策,迎接挑战。

1、针对“无纸化”,为了解决审计线索问题,从而更有效地审计计算机会计系统,应注意下列问题:1)在系统设计和开发过程中必须提出审计要求,系统的各种数据文件都应留下审计线索,除应保证会计数据文件的打印输出外,还应将会计数据文件以可审计的形式进行存储保留;(2)审计人员可利用计算机方便地获取被审计单位计算机会计信息系统中的数据文件,通过必要的数据转换,使其成为审计人员可识别的数据文件形式,再进行各种数据的重新组合和处理,以达到审计目的;(3)借助于最新研究开发的跟踪软件等。

2、由于网络审计内容和范围的扩大,因而要做到以下几点:1、对于审计内容,注意原有审计业务的深度发展,考虑更深层次的审计要求,如无形资产的计算机软件的审计等。2、注意对系统的审计,尤其要考虑以下事项(1)审查和检测系统程序;(2)审查系统本身是否合规合法;(3)对系统的内部控制制度进行评审;(4)审查是否健全了机房管理制度。3、由于网络中更多公众的参与,还应关注相关公众的审计。

3、针对网络审计对人才的挑战,一般可以尝试以下解决方法:(1)系统学习审计风险方面的理论知识,掌握新的审计方法。重视从审计立项到审计结论的每一个步骤,并采取相应的风险防范措施,使每一个环节的风险减少到最低程度。

(2)更新审计监督观念。人世后,审计监督的重点应从有形资产审计转移到无形资产审计,重视管理方面和社会效益的审计,强化高新技术产业的审计,并促使其快速成长。(3)树立竞争观念,培养创新意识。知识经济条件下,科学信息化技术对经济的促进作用进一步加强,应提高审计人员对信息经济的认识,树立面向经济的竞争观念,

4、作为一个经济服务领域,审计应注意以下问题:(1)要充分利用和维护已有的适应于自己的维系共同利益的法律体系;(2)审计服务由于要处处体现其独立性,从而存在其自身的特征,因此迫切需要一套符合自身发展规律的法律来规范,这就需要建立起规范网络审计的审计准则。就新的审计准则而言,必须做到既有独创的一面,又有沿袭传统的一面。说它独创性的一面,主要表现在规范审计企业的网络信息系统为中心的一整套制度以及电子版本的业务约定书、管理层说明书、审计报告等电子文件的合法化,这些制度具有浓厚的网络特色,这与传统审计准则具有明显的

区别;由于网络审计在审计独立性、客观公正以及审计的职业道德等方面仍然类似干传统审计,并且有时还离不开实地审计的参与,所以在规范类似审计方面可以适当的沿袭仍适用的传统审计准则。基于上述网络审计法律环境的建立,网络审计的运作将更加规范,更有保障。

第7篇:网络内容审计范文

一、联网审计的涵义和特点

联网审计,是审计机构或人员通过计算机远程访问、调用被审计单位的财务会计资料、业务数据资料及其所反映的经济活动,按照一定的程序,利用辅助审计工具实时检查和评价相关资料及其所反映的经济活动的真实性、合法性、效益性以及内部控制的健全性、有效性,帮助企业加强风险管理,增加组织价值,从而实现组织目标的独立性经济监督和评价活动。联网审计具有以下特点:

1.信息资源的共享性。一个被审单位的信息分布在各个部门,各个部门联系在一起组成一个单位的内部信息网。在网络审计方式下,审计人员可以凭借计算机对会计信息进行实时控制,随时查阅各种会计信息。另外,通过网络审计人员还可以随时获得外部区域性、政策性的信息,避免了由于信息闭塞而造成的判断错误,有利于降低审计风险。

2.信息采集和处理的准确性。联网审计模式在信息采集和整理方面不会产生因人为失误而造成的损失,被单位信息与审计部门共享,所以不存在人工采集方式下的抄错、误看、漏掉的可能性,在一定程度上减轻了审计人员的执业风险,提高了审计工作效率。

3.信息获取的主动性。在网络系统中,审计人员通过与审计对象进行信息接口转换,根据授权,在网上就可以直接调阅会计信息。通过对这些信息的调阅与审查,审计人员便可以开展多元化的、实时的审计程序。由于网络技术的应用,空间已不再是执行审计的制约因素,这样境外审计、环境审计等就变得更加容易。

4.提高了审计的工作效率,节省了审计成本。网络审计通过网络可以充分发挥计算机高速准确及运用审计软件的优势,对大量的网络财务数据和业务数据进行检索、查询、追踪、转化、抽取、比较、归类、合并、统计、打印和编制工作底稿,最后完成审计工作报告。网络审计与传统审计相比提高了审计效率,降低了审计成本。

二、联网审计的局限性

与传统审计相比联网审计在多个方面发生了变化,这些变化也使联网审计带有了一定的局限性。

1.审计技术方法的局限性

联网审计主要通过远程取证来完成审计,主要的审计取证工作通过计算机来完成。由于计算机的使用,引入了一些新的审计方法,如EAM、通用审计软件(GAS)等,这些审计技术方法能够有效的提高审计覆盖面、提高审计效率。但是,联网审计模式下,传统审计中的一些常用方法,如询问法,观察法、盘点法在联网审计中将不再适用。而这些方法在审计中的地位非常重要。因此,审计师应该慎重选择审计方法。

2.沟通形式发生变化

传统审计过程中,审计人员与被审计单位有关人员的沟通是必不可少的,有经验的审计人员也能够从沟通交谈中发现审计线索。联网审计模式下,这种面对面的沟通将大大减少,取而代之的是电子邮件、电话等通讯手段。沟通形式的改变,对信息的交流效率和准确性带来了一定影响。审计人员要慎重选择沟通方式,以及通过对信息交流结果的确认。

3.内部控制的被动依赖

首先,审计基础数据需要内部控制来保证。联网审计模式下,审计的主要资料来源是从被审计单位信息系统采集的原始数据。而这些数据的真实性主要是依赖于被审计单位的内部控制。换言之,如果没有健全的内部控制制度来保证数据信息的真实性,那么审计工作都将建立虚假信息之上,带来极大的审计风险。

其次,对被审计单位内部控制的依赖是“被动依赖”。现场审计模式下,审计人员可以通过对被审计单位的内部控制进行测试,根据测试结果来依赖对内部控制的依赖程度。这种依赖可以称之为“主动依赖”。而在联网审计模式下,对内部控制的测试强度和频率很难得到保证。而实质性检查不可能达到穷尽所有业务的程度。因此,审计人员不得不“被动依赖”被审计单位的内部控制制度。

4.技术复杂性增加

现代联网审计主要是借助信息技术完成。为了保证审计过程的顺利完成,审计人员对审计过程完成的各个环节。如数据采集、传输、分析,有足够的了解,审计师需要对网络、软件、硬件、数据库等方面有一定的掌握。这些技术因素往往超出传统审计人员的知识范围,需要对审计人员进行培训,补充知识。

三、发展联网审计应采取的对策及建议

1.制定联网审计准则

审计准则是审计工作应遵循的规范和尺度,是评价审计工作质量的权威性规则。联网审计对象、线索、方法、流程、结果等各方面相对于传统审计都发生了变化,以往的审计标准和准则已经不能完全适用,所以应加快新的审计标准和准则的制定以指导联网审计工作实践的深入。如对联网审计人员的一般要求、网络系统安全可靠性评价标准、网络系统内部控制准则等。

2.加快审计网络建设

审计网络是联网审计得以开展的物质载体,因此要进行联网审计就必须先进行审计网络建设。我国的网络经济虽然有了很大的发展,但和发达国家相比仍很落后,网络财务研究和软件开发也才刚刚开始,因此审计网络建设不可能一蹴而就。我国应该从某些易于实现的部分入手,有计划地在一段时间内逐步实现全面的网络审计;从政府、社会审计单位或经济较发达的地区开始,逐步试验、推广。

3.开发审计信息系统

联网审计的实施,要求开发一个可以实现审计计划到报告全过程的信息系统。这一系统的建设要求突出先进性,可采用网络技术、数字技术的先进手段,采取安全可靠的措施,配置先进实用的计算机设备和功能强、可兼容的系统软件。首先,要开发通用审计软件。可以是自主开发也可由财务软件开发公司完成,但都要遵循一个前提,即制定好会计软件数据接口标准。只有这样,开发出来的通用审计软件才能从被审单位准确获取各种数据,实现有效的远程审计。其次,要建立审计服务信息库。通过网络及业务管理系统,录入被审单位的有关信息,建立一个完善的大容量的信息库,以便在审计时可以随时调阅和使用,提高审计效率。第三,为节约耗费,审计网络建设可考虑采用虚拟专用网络技术。

第8篇:网络内容审计范文

关键词:电子商务;安全技术;网络;审计

引言

步入21世纪,信息化浪潮席卷全球。电子商务在其推动下迅猛发展。网络与社会经济的密切结合,逐步改变了生产和劳动结构。甚至有人预言,在不久的将来,网络经济将在整体社会经济中占主导地位。因此,讨论与经济形态密切相关的网络审计,对审计人员而言也变得更有意义了。

一、电子商务环境与网络审计

电子商务E-ComTnerce是网络经济的基础,其特点是不在依靠面对面交易以及纸质单据传送,而借助于电子网络技术和现代通讯来全面实现自动化交易和结算。电子商务的出现,改变了企业现有的商务操作模式和管理方法:而企业通过建立公司局域网(INIRANIYT),通过外联网(EXTRANET)或互联网(Intemet),将自己与关联企业、上游供应商、客户联系起来,形成更广泛的信息系统。它允许企业利用更广泛的外部和市场资源,把产、供、销符环节集成在这个大的电子商务圈中。随着电子商务的兴起,传统的审计模式越来越无法适应:审计环境、审计内容、审计方式等方面也随之产生一系列的重大变化,从而也促成了网络审计的诞生。本文探讨的正是以电子商务为审计对象,以网络为媒介和被审计单位信息载体与传播方式的网络审计。

二、网络审计较传统审计的创新

(一)审计环境的创新

1 改变了企业的交易方式

传统的商务活动中,有纸质的原始凭证记录交易。会计人员遵循原始凭证――记账凭证――明细账和总账――会计报表的手工方式进行操作。企业的一切经济活动都有经手人签名,整套账以纸介质有序保存,方便查阅,也不易删改。电子商务大大改变了企业的交易模式。企业在线供货信息与广告招揽顾客,顾客在线订购,欠款随时转结;凭证、账簿也可由计算机系统自动生成。这样,交易的纸记录消失了,取而代之的是以电子数据的形式记载和传递的虚拟凭证、账簿以及报表。

2 改变了企业的运作方式

电子商务不仅改变了企业传统的交易模式,而且使企业内部的运作方式发生了质的变化。随着网络财务和电子商务的广泛应用,业务数据和财务数据都将在计算机系统中集成,使审计工作的大量原始业务数据和各种证据都可以从被审计单位机器相关业务单位的计算机系统中直接获取,这不仅为真正有效实用的计算机审计创造了条件,同时为全面高效的网络审计提供了广阔的发展空间。

3 改变了审计的法律环境

我国目前基本形成了以《中华人民共和国会计法》为中心,国家统一的会计规章制度为辅助的企业审计法规体系,各行各业的会计处理都有相应的准则为指导。可以说,传统审计面对的是相对有序的外部环境。而网络时代,传统企业纷纷开展电子商务,参与竞争,甚至出现无办公场地、无企业实体、无产品实体的“三无”虚拟企业。新的《会计法》增加了关于网络财会的内容。不过,与之对应的“网络审计”在准则和立法方面还存在滞后性。

(二)审计内容的创新

除外部交易的原始凭证无纸化外,企业内部业务的审计线索也发生了质的变化。由于内部原始单据变为电磁化信息,计算机信息系统根据确认的经济业务自动编制记账凭证、登记账簿、编制报表,实行财会核算自动化,会计的确认、记录和报告都由计算机按程序指令执行,各项处理没有直接责任人。而电磁化的会计信息,既可能被不留痕迹地删改,也可能完全无记录或被夸大地记录下来。如果被审计单位的系统存在设计缺陷,审计线索可能无法被追索到。即使系统留有充分的审计线索,其产生与存储方式、特地与风险都与传统的审计线索有重大区别,从而大大增加审计风险性。

(三)审计手段的创新

网络审计改变了会计信息的利用加工方式,作为审计人员,面对网络交易,其审计手段也随之做出相应变动。

1 审计人员在获取审计信息时,对内,在取得权限后可以进入被审计单位的内部网,直接查看内部会计信息。在获取进一步的权限后,还可以直接复制、传送重要信息。对外,审计人员可以访问与客户有往来的供货商、购货商,提供相关服务的银行、税务所、工商局等部门的网站,收集相关的经济信息和金融、财税、法律政策。

2 审计人员可以利用独立审计软件或企业内部系统会计平台的强大功能,检查、核对凭证。

3 计算功能:输入正确的公式,根据政策变动的情况下及时调整公式。

4 分析性复合的数据也可在计算机中显示其趋势走向,还可以自动计算相关数据以助于分析。

三、网络审计存在的问题之对策

目前的网络审计环境还不完善:政府、企业未全面上网,更无健全的法律法规来保障电子商务的正常进行。就审计人员而言,网络审计需要的是对会计、审计、计算机技术特别是网络安全技术运用娴熟的专业人士,要求既要博学又要专业。此外,由于电子商务催谷了在线支付交易方式以及数字货币的诞生。如何对它们进行审计,对审计工作者而言,也是一项具有挑战的课题。

(一)相关对策

1 全面提高审计人员素质

实现电子商务后,由于审计信息的收集、审计手段与信息输出方式等的进步,对审计人员的要求也大大提高了。不懂得计算机技术的审计人员,会因为会计信息的改变而无法跟踪追查,会因为不懂得电子商务的特点和风险而不能审查和评价其内部控制,会因为不会使用习惯软件而无法开展工作。因此,审计人员不仅要丰富自己的专业知识,更要掌握一定的科学技术,能满足电子商务环境下审计工作的基本需要。

2 制定修改审计标准和准则

建立新的审计标准和准则指导工作时间。例如,对电子商务环境下审计人员的一般要求以及电子商务系统的内部控制准则等,使审计人员做到有法可依。

3 对网络审计工作实行专项立法

电子证据的无形性和易篡改性造成了审计证据确定的困难;电子签名因不同于手书签名几导致法律上的难以认定;电子合同的瞬间完成使合同签订和生效时间的确认存在争议,等等。这些都在一定程度上使审计工作尤其是合法性审计工作处于无法可依的局面。而补充性的法律条例并不一定能很好地说明问题。因此,最理想的情况是对网络审计实行专项立法。如,对企业使用自行设计的软件的立法约束。除了指定软件设计条例外,在软件设计好后,相关部门还需选取各种类型的数据,特别是极端数据如销售为零甚至负销售额来测试软件的逻辑正确性。确保其系统的稳定可靠。对于有网络订购业务的企业还必须对其订单号的连续性作出规定等。若测试员或审计人员发现连续两次订单号第一次是200871,第二次忽然变为198865,则可以断定该企业的电子商务系统存在缺陷及隐匿销售的风险。针对以上种种,以有专项立法

予以严格监管为上。

4 网络审计的核心问题。操作系统的缺陷、专业应用软件的漏洞以及网络安全本身的问题,都将会给审计工作者带来前所未有的考验。可以说,网络审计的核心问题是如何同时确保审计的效率和安全性。下面将予以单独讨论。

四、网络审计的核心问题:如何构建安全的网络审计

安全的网络审计有赖于安全机制的建立与技术手段的辅助。网络审计的安全机制,主要包括介入管理、安全监视和安全恢复等三方面接入管理主要处理好身份鉴别和接入控制,以控制信息的利用。安全监视包括安全报警设置、报警报告以及检查跟踪。安全恢复是指有专人或专项制度监控网络流量,留意异常情况,并及时备份数据以助系统恢复到安全状态。对于网络安全技术而言,主要可以运用专网、访问控制、数据认证、加密等。当网络审计发展到一定阶段,可以尝试建立一个像军用网、教育网那样独立于INTERNET之外,但又与之有接口相连的审计专用网络。而在当今基本依托于互联网的实务操作中,审计人员必须提高警觉,防范以下各种可能的风险。

1 专业应用软件风险

专业应用软件包括电子商务平台和财会、审计软件等。按来源可分两类,一是独立软件,即由企业以外的独立公司开发的,如用友。二是由被审计单位提出申请,在审计人员监督下自行研制或向软件公司定制的。独立审计软件公开发售,其漏洞和不完善之处也是面向公众的。比如,笔者根据对教学版金蝶软件的实际操作发现,一旦取得计算机管理员和会计系统管理员双重权限。理论上是可以抹杀或篡改部分审计痕迹的。这类漏洞若被别有用心之人利用,将会给审计工作带来极大风险。而企业独立设计或定制软件,审计人员很可能从未接触过。既然不熟悉其运用方式,对其违规舞弊的防范更是无可谈起了。所以,在实际工作中,除了要求企业严格限制管理员权限,定期备份数据外,审计人员须多接触财会软件和电子商务系统,增强自身的专业基本功。

2 电子商务系统风险

首先,在系统的设计开发阶段,审计人员应该注意检查以下问题:

1)系统可行性;

2)经营业务和财会处理功能的合法性和正确性;

3)系统是否建立了恰当的程序控制,防止无意的差错或有意的舞弊;

4)系统的可审计性,是否留下了充分的审计轨迹;

5)系统测试的全面性和恰当性;

6)系统文档资料的完整性。

其次,在电子商务系统运行后,审计内容必须增加对其处理和控制功能的审查,以证实其对交易事项的处理是否真实、合法及安全可靠。比如对于有在线交易的企业。审计人员可以连续发起两次交易看其订单号是否连续等。

3 操作系统风险

当今流行的各电子商务公司的操作平台,不论是WINDOWS系列还是Mac:等,其存在安全漏洞、后门等不完善处屡见不鲜。这些漏洞一旦不及时弥补,很可能造成系统的崩溃或内部资料的泄露。审计人员工作时,可以核对企业是否有定期维护其操作系统,及时下载补丁更新。

4 企业内部控制风险

如被审计企业职责分离不当,易引起内控失灵。对此,审计人员要格外注意:被审计单位有无将数据维护、系统管理、输入、核对等岗位分离,是否明确了各人的操作范围,以利相互监督。

第9篇:网络内容审计范文

在计算机网络技术高速发展的今天,许多企业以内部网络(Intranet)为手段和Intranet网融为一体,使其会计信息的处理越来越数字化,和手工操作或单机运行下的会计信息的输入、传递、处理和输出有了很大差别,这就给传统审计提出了新的要求,本文就网络系统对审计的影响提出一些看法。

计算机网络是通过数据传输和数据交换网,利用通信线路把分布不同地点的多台电子计算机、大容量存贮器、各种输入输出设备等互相连接在一起的一个系统。这个系统最大的特征就是资源可以共享。在这种网络系统中,各用户对所管理的不同方面负责,通过中心控制器将各自的信息进行适当交换,并可根据需要有选择地利用对方的系统进行有关操作(需授权)。有的采用联机数据输入技术,输入数据时不产生和留下原始凭证,或者采用实时文件更新技术,各原始数据在输入计算机后,立即处理,数据文件随时都在更新,而且计算机也不会随时打印信息处理结果,也就是没有输出信息。

计算机网络的特征和处理会计信息的方式极大影响了传统审计,从以下几个方面我们可以窥见一斑。

一、审计范围

在非网络审计中,审计的范围具体说就是审计单位,而且是少部分有权力进行手工或单机运行处理会计信息的人员。审计涉及的范围较窄。网络系统之下审计范围仍然没在改变,但是其触角却延展开去,这是为什么呢?笔者认为在网络系统中能接触到会计信息处理的人可能不仅仅是审计单位的少部分人员,由于其资源的共享性,使得访问共享资源的人可能非法进入,那么能接触会计信息处理的人就有可能涉及整个网络用户,也就是说出现数据错误就可能不是审计单位造成的,这样就很难确定责任人,假如再把审计范围局限在审计单位似乎不太公平。但又为什么说审计范围不变呢?笔者认为审计范围触角延伸只是意味着审计人员考虑审计事项的思路应该拓宽,也就是要从网络角度考虑,只是审计人员没有时间也没有精力去审计网络所涉及的全部用户,更不可能去审计审计单位责任以外的其他责任人。但是应考虑到审计范围的延展是会影响审计效果的。

二、审计对象

传统审计对象包括两方面的内容摘要:1、被审计单位的财务收支及其有关的经营管理活动;2、被审单位的各种作为提供财务收支及其他有关经营管理活动信息载体的会计报表和其他有关资料。在网络系统中其资源共享的优势使得系统中各工作站都可能同时使用一个信息来源,由各自封闭的系统向整个信息系统敞开,互相影响,互为前提,彼此依靠,也就意味着对网络系统的依靠性大为提高,比如说对于联机贸易,除了最终报告,其信息处理和存贮都具有不可见性,使得所有访问者都只能依靠系统享用最终报告。那么当被审计单位会计人员过于放心网络系统,而网络系统不能政党发挥其职能,如黑客、病毒攻击、通信技术失灵等,手工或单机下的审计对象的真实、正确、合法等就无从谈起,因此审计对象在网络系统中扩大、网络系统的设计、实施等内容也出现在审计对象中。

三、审计所依据的信息来源

非网络系统中,审计所依据的信息是指形成审计证据的各种文字、数据以及电子计算机的磁带、磁盘、磁鼓等。这些信息主要来源于手工输入或键盘输入。网络系统中,审计所依据的信息完全可能通过网络中其他用户处得到,这大大削弱了非网络系统的输入控制,来源渠道的多样化,使审计线索也变得复杂而紊乱,加大了审计难度。

四、审计主体

审计主体即实施审计监督的执行者,也就是审计机构和审计人员。网络系统的发展应用,使得审计人员必须渗透到网络系统的设计、实施、计算机的应用程序,甚至到每一个数据文件中去。《国际审计准则第15号》有关电子数据处理环境下的审计中规定摘要:“在电子数据处理环境下进行审计时,审计人员应对被审计系统的计算机硬件、软件和处理系统有充分的了解,以进一步对委托审计的条件做出计划,并了解电子数据处理对内容控制的探究和评估的影响和需要采用的审计程序,包括计算机辅助审计技术的应用。”“审计人员还应对实施审计程序所必需的电子数据处理具有足够的知识”。这无疑对当前缺乏计算机知识或把握不够全面的审计人员是个巨大的挑战,也许有人认为完全可以请计算机专家辅助审计即可,虽然这不失为一种解决之道,但是我们应熟悉到对审计人员来说是最有利的审计证据而对计算机人员来说可能再正常不过了,各自衡量同一事物的标准是完全不一样的,因为计算机专家可能不懂审计。而且审计机构和人员以外的辅助人员越多,越依靠于他们,审计人员的独立性地位、客观公正、实事求是的精神就会受到越大威胁。但尽管如此要使我们的审计人员精通计算机,在当前是很困难的。所以给我们的审计带来了许多不利影响。

五、审计风险

相关热门标签
相关文章阅读
精选范文推荐
相关期刊推荐