更新时间:2024-05-21 11:03
网络审计是指审计人员基于互联网,借助现代信息技术,运用专门的方法,通过人机结合,对被审计单位的网络会计信息系统的开发过程及其本身的合规性、可靠性和有效性以及基于网络的会计信息的真实性、合法性进行远程审计。
它是对以往电算化审计的时空观的又一次突破,是现代审计在电子商务时代的新发展,也是电子商务的内在需求。
根据中国独立审计准则20号《计算机信息系统环境下的审计》的规定,网络审计的基本模式是:创建企业档案,建立审计数据库→不定期对企业的会计软件、内部控制制度进行审查→接受委托,对被审计单位利用审计软件进行网上综合审计→得出审计结论,向委托人传输审计报告→建立审计档案。 与传统的审计相比较,网上审计呈现以下特点:
网络审计的范围扩大。网络经济活动是无疆界的,对某一个企业的审计可能涉及到国内外企业。另外在网络系统中能接触到会计信息处理的人可能不仅仅是审计单位的少部分人员,能接触会计信息处理的人有可能涉及整个网络用户,出现数据错误就可能不是审计单位造成的,这样就很难确定责任人,此时再把审计范围局限在被审计单位是不合理的,因此审计范围扩大了。
对象范围增多
审计对象的范围在扩大,网络系统的设计、实施等内容也出现在审计对象中。在网络系统中其资源共享的优势使得审验中各工作站都可能同时使用一个信息来源,由各自封闭的系统向整个系统敞开、互相影响、互为前提、彼此依赖,即对网络系统的依赖性极为提高。当被审单位会计人员过于放心网络系统,而网络系统不能正常发挥其职能时,手工或单机下的信息对象的真实、正确、合法等就无从谈起。
网络经济活动多数是通过网上电子货币交易,现金的使用大为减少。这将提高审计效率,同时也大大降低违纪行为的发生。
审计信息收集可实现实时化、动态化。由于互联网的作用,审计部门随时可以对企业进行审查,从而掌握被审计单位的最新情况,可以达到对被审计单位实施动态监督。
审计风险加大。由于网络经济活动的虚拟性,会计信息无纸化、电子合同、函件、订单的真实与合法性得不到保证,交易双方的真实身份不确认,而产生欺诈行为以及网络的安全无法得到保证,交易程序的简便化,使企业信息的内部控制制度成为审计的主要基础,所有这些决定网络审计较之传统审计有较大的风险。
法律法规有待完善
网络审计是中国审计领域出现的新生事物。中国有关网络活动的法律法规还处于不断探索和完善阶段,难以完全解决网络活动中出现的所有新问题、新纠纷,这就给审计人员更好地进行审计带来了极大的不便。
安全性有待加强
在网络审计活动中,安全性、可靠性问题已成为一个非常重要的问题。由于计算机自身的局限性及黑客袭击网络网站,篡改、破坏审计数据乃至整个系统,使经营者蒙受巨大损失。2000年电脑病毒给全球造成的损失达121亿美元。在实际工作中这些问题如果处理不好,会极大地阻碍网络审计的发展。
高素质的审计人员严重缺乏
网络审计要求审计人员不仅必须对审计系统的计算机硬件、软件和处理系统有充分的了解,同时还要对审计程序所必需的电子数据处理有足够的知识,审计人员既要懂网络知识,又要精通审计理论,同时还要熟悉网络审计软件的开发、设计、维护等。而现在这样的人才非常匮乏,使得网络审计难以广泛实施,极大地阻碍了网络审计的发展。
审计线索因电磁化而减少
在传统会计系统中,会计核算程序中的每一步都在纸介质上留有文字记录及经手人签字,审计线索十分清楚。而在网络经济条件下,传统的审计线索可能完全消失。各种单据、票证和账簿等都以人眼无法直接辩识的电磁信息的形式在网上传递并存储于磁性介质中,只能通过计算机进行审查;并且这些线索还具有被无痕删改、不能永久保存等缺点。如果系统设计时考虑不周,可能到审计时才发现只留下业务处理的结果而不能追索其来源。因此,网络审计要求企业网络财务系统在设计时必须留有充分的审计线索。
审计软件不完善
审计软件是审计人员开展具体审计工作的有效工具。中国审计软件的开发尚处在开发阶段,从事审计软件开发的公司很少,并且在涉及到审计软件与财会软件的接口问题上,网络操作系统与应用系统的兼容问题上,还没有取得实质性的突破。而国外的审计软件在中国由于多种原因也得不到很好的运用,这些都极大地阻碍了我国网络审计的发展。
从规章管理制度上加强对系统的监控
建立必要的上机操作控制和系统运行日志。建立健全上机的规章管理制度,对系统的用户身份、操作参数和运行状态、事故类型等进行实时监控和记录,并定期检查、评比,做到奖罚分明。实行用户分级授权管理。按照网络审计系统需要设置审计岗位,建立健全岗位责任制,并通过对每个用户的安全级别和身份标识来落实其职责与权限;严格轮岗制度,定期调整内部控制人员的监督权限,防止内部人的合谋串联作弊;严格计算机硬件设备管理,确保计算机硬件设备能够连续地、实时地运行,系统内部人员按各自的权限范围管理和使用计算机硬件设备,并按操作程序办事;加强系统软件开发控制,在计算机软件开发的前期,审计人员和风险管理人员要参与系统控制功能的研究和设计活动,以确保控制功能在系统内得到有效实现和健全有效;强化内部审计制度,要加强内部审计监督,要成立审计委员会,监督和控制各个工作站的日常工作,对内部控制系统薄弱的环节,加强管理与完善。
从安全技术上强化系统外部控制
实行识别认证和访问控制技术防止非法用户的入侵,内部网的访问采用入网控制、网络权限控制、目录级别安全控制、网络服务器的安全控制等技术;采用加密技术,提高网络系统数据的保密性,防止秘密数据被破译。加密算法的选择要结合具体应用环境和系统要求,综合考虑密钥的合理分配、加密效率与系统结合度以及投入产出分析等因素;企业内部网与互联网之间设立防火墙,使内部网与互联网互相隔离。防火墙要随时升级换代,不断提高抵御病毒入侵、杀毒能力。采用数学签名技术和公正仲裁制度,可以防止网络中进行数据交换时的否认、抵赖事件的发生,有效地解决交易双方发生纠纷的法律适用问题和公正处理双方合法权益问题。
加强系统外的审计监督力度
加强对系统开发的审计监督。在系统开发的各个阶段,审计人员要注意审查系统的可行性、安全性、可审性、可扩展性、经济性以及程序控制的适用性。通过审计监督,为系统的高质量提供制度保障,同时为审计人员实施网上实时审计创造良好条件。
开展网上实时审计。审计机关和审计团体与企业的计算机系统联网,并取得审计授权,就可以通过网络完成除实地盘点和现场观察外的部分审计监督任务。如果在系统开发时嵌入审计程序软件,计算机就可以实现实时跟踪审计。
加强外部网及有关中介机构的审计监督。为了保证网络财务系统和审计系统中有关数据的真实性和安全性,各企业应要求审查网上的认证机构和加数字时间戳的机构的真实性、可靠性、权威性,并要求评价因特网上各种加密技术、防火墙技术等网络安全措施的有效性。
建立健全网络法规
将网络化财务、审计系统的安全纳入法治化的轨道。改革开放以来,中国先后颁布《计算机系统安全规范》、《计算机病毒控制规定》等法律法规,并在《刑法》、《民法》、《民事诉讼法》等相关法律中,增加计算机信息安全方面的条款,从而为计算机信息系统的安全性提供了法律保障。不过,这些法律法规不涉及网络财务系统犯罪的领域,所以,需要制定专门的网络法,对网络系统、网络化审计系统的风险防范作出明文规定。
尽管电子商务与网络经营在我国还刚起步,但这是信息时代企业发展的方向。探索网络化条件下的审计,对促进审计跟上信息时代的步伐和促进中国电子商务和企业经营网络化的健康发展都具有积极意义。希望本文能抛砖引玉,引起大家对信息时代下的网络审计的关注。
天融信网络审计
TopAudit-Net是高性能专业网络行为审计产品,支持多维细粒度网络行为和流量审计分析,基于多核平台,采用云审计、量子云存储等多项独特技术及专利,旁路部署,支持多点多级和集中管理,引领业界技术发展趋势,成功客户遍布政府、能源、电信、军工等行业,是规范网络行为、合规审计的最佳实践。
·高性能的抓包分析能力
独特的无丢失数据采集技术,4Gbps超高抓包性能(达到业内同类产品4倍以上),强大的包重组和流重组能力,深层次数据挖掘分析,无遗漏记录网络行为的每一个细节;
·All-in-one设计单台设备完成审计与分析工作
专业的一体化硬件设计,所有功能尽在BOX,易于部署和使用,简约而不简单;
·多网口抓包
可扩展至多达24个抓包端口,一台设备可解决全网网络行为探测需求;
·灵活多维度统计分析
自定义多维度统计场景设计,多角度多粒度统计结果可视展示,以及统计报表上卷下钻,使得网络行为分析得心应手;
·
应用协议自识别
支持近200种应用协议的自动识别,包括P2P下载、股票软件等,细化审计粒度;
·强大的URL分类和攻击检测规则库
天融信网络审计内置强大的URL分类库,及时发现不良言论、暴力类、毒品类、色情类、游戏类等访问行为;
内置攻击检测规则库,及时发现攻击行为;
·
实名审计
通过用户信息的自动收集或导入,实现审计结果与自然人相对应,审计记录更具价值和实用性;