网络审计风险及其控制研究

网络审计风险及其控制研究

一、网络审计的定义

随着计算机技术、现代通讯技术以及网络技术迅猛发展，人类社会正在进入以网络经济为代表的知识经济时代。网络审计作为新兴的审计形式，无论在理论上还是实践上都使传统审计发生了重大变革。从狭义上讲，网络审计是指借助电子计算机先进的数据处理技术和联网技术，以磁性介质作为主要载体来存储数据以便于用网络来处理、传送、查阅这些数据，使审计工作与计算机网络组成一个有机的整体，从而提高审计的现代化水平。而广义的网络审计是指在网络环境下，借助大容量的信息数据库并运用专业审计软件对共享资源和授权资源进行实时、在线的个性化审计服务。总体来讲，网络审计是基于互联网，借助现代信息技术，使用专门的方法，通过人机结合，对被审计单位进行远程审计，它是对以往电算化审计时空观的又一次突破。

二、网络审计的特点

（一）审计空间范围加大

在网络经济的环境下，会计数据信息通过网络可以得到更大范围的传播，各利益相关者在网络上就可以对其关心的会计数据信息进行交流和分析。为了防止会计数据信息在传播过程中被篡改或删除，审计的范围也就跟随会计的脚步加大了审计的空间范围。（二）审计时效性增强

在网络环境下，会计数据信息得到迅速的传播。会计数据信息的

使用者对获得的信息就有签证的需求，网络会计的发展正满足这种要求，为使用者可以迅速做出正确的决策提供了保证。

（三）审计频率加快

网络会计使得会计数据信息传播地非常迅速，审计为了应对这种新情况，必须从传统审计和审计电算化向网络审计迈进。审计的网络化使得审计的频率得到很到的提高。

（四）审计效率提高

与传统审计和审计电算化相比，网络审计的数据信息在网络上进行传播和共享，这大大减少了审计工作人员的工作量和审计成本，审计效率得到提高。

三、网络审计存在的风险

网络审计在便利工作、准确高效和节约精力的同时，也面临着很多问题和风险，主要表现在以下三个方面：

（一）网络审计的固有风险

1.电子化会计数据容易被滥用、篡改和丢失。手工系统中，纸质介质上的信息易于辨认、追溯。而在网络环境下，由于存贮介质的改变，一旦用户非法透过计算机系统的防火墙，极易破坏和修改电子数据。计算机病毒、电源故障、操作失误、程序处理错误和网络传输故障也会造成实际数据与电子账面数据不相符，通信线路不稳定等因素增加了固有审计风险。

2.网络环境下审计线索稀缺。手工系统中，会计处理的每一步都有文字记录和经手人签名，审计线索清晰，但在计算机系统中，从

原始数据的录入到报表的自动生成，几乎不用人工干预，传统的审计线索不复存在，这为审计师追查审计线索带来了极大困难。（二）网络审计的控制风险

1.职责分工的约束机制有可能失效。手工系统下，通过建立岗位责任中心达到内部控制的目的。在计算机系统下，往往通过划分操作员的责任范围，设置权限密码实现人员分工，或通过软件设计划分若干子系统或功能模块设置不同的责任中心，而常常出现的权限设置重叠和跨责任中心越权设置情况会使内部控制措施失效。

2.网络传输和数据存贮故障或软件的不完善，有使会计数据出现异常错误的可能性。手工系统下，这种可能性几乎不存在，而在计算机系统下，这种可能性难以通过有效的内控制度消除，必须靠先进的硬、软件平台以及会计软件本身的自我保护，减少出现异常错误的几率。

3.会计软件对现金和银行存款的收付业务缺乏实时有效的控制

手段。对于企业内部发生的现金和银行存款收付业务，多数软件是通过人工填制记账凭证，从账务系统入口录入到电脑，部分软件虽通过出纳系统实时地录入，但可能与凭证数据不同步。

（三）网络审计的检查风险

1.会计软件的更新换代，增加了历史文件难以提取的可能性。对账户或交易的重大实质性测试往往离不开企业的历史数据。由于软件版本的更新、平台的迁移，难以从往年账目里提取这些历史数据。这不仅降低了审计效率而且带来了更多的检查风险。

2.内部控制主要依赖软件本身，增加了难以全面检查测试的可能性。手工系统下，对内部控制的测试看得见、摸得着，而在网络环境下，内部控制融于软件之中，肉眼无法觉察，而且多数审计师不可能完全掌握计算机网络技术，要在有限的审计时间里设计面面俱到的测试数据是不现实的。

四、网络审计风险控制

（一）加强网络系统安全性和保密性的审查

正确的网络审计应当是建立在安全、可靠的审计系统之上，如果审计程序本身有问题，审计结果的可靠性就无从保证。鉴于安全性在网络审计中的重要性，我们必须在审计软件和数据库等系统方面建立可靠的安全环境，以保证网络审计的正常开展。首先，必须有一个安全、可靠的通讯网络，以保证数据信息安全、快速地传递；其次，需要对数据库服务器建立绝对的控制权，禁止未授权客户和黑客的闯入、盗窃和破坏数据信息。另外，还需要建立稳定的安全监视和恢复功能，能够及时的做到安全警报报告以及检查跟踪，同时还能及时恢复因网络故障而丢失的信息。除此之外，还应该利用网络技术，采用防火墙、技术认证、数据加密等技术为网络审计奠定坚实的基础。

（二）开发安全、适用和先进的审计软件

审计人员在实施审计的过程中，应根据网络的特点，选择科学合理的审计技术，充分利用计算机各种审计软件，有效地降低审计风险。利用通用审计软件，通过审计接口获取充分恰当的审计证据，

减少审计风险；利用审计抽样软件进行符合性测试的属性抽样和实质性的变量抽样，推断总体特征，提高审计工作效率；利用审计专家咨询软件对特定审计事项进行重点会诊，减少审计误差，对被审计单位的网络系统进行评价，以降低审计风险。

（三）建立健全网络审计法制法规

作为一个经济服务领域，审计要充分利用和维护法律体系来指导审计工作，以维护审计的客观公正性。目前网络审计面临许多法律法规方面的不确定，主要表现为现有法律法规的不完善。而网络审计立法是保障网络审计正常发展的关键性措施。要在立足我国国情的基础上参照国际有关法律法规，制定与网络审计有关的法律规章，填补空白，使审计人员在进行网络审计工作时，尤其是在电子证据、电子签名、电子合同、电子货币等合法性审计时有法可依、有章可循。

（四）培养复合型审计人才

网络审计需要掌握并运用网络技术与审计知识的复合型人才。在审计实务工作中，这些复合型审计人员必须渗透到网络系统的设计、实施、计算机的应用程序中去，能够灵活的使用各种财会软件与审计软件，并熟练掌握二者接口的技术。因此，审计人员要从深度和广度上加强对网络审计理论的认识、理解、培训，并且积极主动地开展网络审计活动，扩展审计业务新领域，如认证业务，包括电子商务认证（web trust）、系统认证（sys trust），业绩评价（performance assessment）等以适应网络经济对审计的要求。