網絡審計的風險及其防范

計算機與網絡技術使世界進入網絡經濟時代，以電子商務為基礎的網絡經濟及與之相適應的網絡財務的迅速發展，使企業的經營方式和管理模式發生了重大變化。隨著電子商務的應用和發展，會計信息系統將發生一場全方位、根本性的革命，而作為與會計有“血緣關系”的審計，也經歷了從傳統審計到審計電算化、再到網絡審計的兩次飛躍。網絡審計是對以往電算化審計的時空觀的又一次突破，是現代審計在電子商務時代的新發展，也是電子商務的內在需求。

一、網絡審計的風險

網絡審計是一種全新的審計模式，因此它的產生也必將帶來新的審計風險。而新的審計風險也將與傳統審計風險有著明顯的差異。其差異主要有以下兩個方面：硬軟件風險和人為風險。

網絡審計對計算機硬軟件的依賴性非常大，所以由于硬軟件問題而導致的風險機率也就相當高。硬軟件風險一是由于審計線索電子化并以磁介質為主要存儲載體而導致的審計線索模糊，使審計人員無法摸清審計軌跡，并且舞弊者或攻擊者可不留篡改痕跡的對原始數據進行非法修改和刪除，從而無法保證數據的完整性和真實性，給審計監督服務帶來了風險；二是由于在網絡審計系統的運行過程中發生斷電、死機、計算機病毒以及損壞等而導致的審計信息丟失；三是網絡審計系統的運作需要多套審計軟件的支持，一旦某個軟件發生問題就將直接導致審計風險的產生。

網絡審計是一種新興的科技含量非常高的審計模式，所以對參與網絡審計的人員素質要求也非常高，由此也將帶來一定的審計風險，這種風險叫做人為風險。人為風險一是人為地破壞系統和盜竊信息。網絡審計是以網絡作為載體的，這就為電腦黑客通過網絡對審計系統進行破壞和信息盜竊創造了條件，導致審計風險的產生；二是由于操作人員的失誤或操作不專注而導致的審計風險；三是由于內部控制失靈，導致對數據維護、系統管理和數據輸入、數據核對確認等崗位不作適當的分離，產生利用網絡的弱點故意修改數據、舞弊或竊取秘密信息等審計風險。

二、網絡審計風險的防范

(一)應用審計軟件，對相關網絡系統進行適時跟蹤。首先對被審計單位的網絡系統進行評價，并利用專用的審計對比軟件，將存放于數據庫不同地址的同一種數據進行自動比較，以形成相應的記錄文件，并對有差異的文件數據進行詳細審查；其次對被審計單位的自動檢測數據庫軟件和恢復軟件進行審查和評價；再次要對被審計單位的異常貿易，通過網絡進行預警提示，以降低審計風險。

（二）建立審計服務信息庫。網絡時代的風險觀念不同于傳統的風險觀念。因為網上交易公開化程度較高，數據被未授權人員修改的可能性很大，系統面臨的信息風險驟增。而許多企業在網上發布的財務信息經常變換，偏離會計準則要求的信息還沒有被監管部門發現就已經被替換掉，故建立一個在監管部門嚴格監控下的網上財務信息強制存檔制度就顯得尤為必要。

（三）對網絡系統的安全性和保密性進行審計。在網絡中運行，信息的安全性和保密性構成了審計的風險防范和控制的重點。首先對網絡系統職責分離情況進行審查，遵循的原則仍為不相容職責必須分離，但側重對數據的輸入、輸出，軟件開發和維護及系統程序修改或管理等之間的關系進行審查；其次對被審計單位網絡結構進行分析與評價，以確認防范黑客侵入的能力；再次對被審計單位的系統容錯處理機制、安全管理體制和安全保密技術等作深入的了解，評價其系統安全性的等級，從而有效地控制審計風險。具體可以采取以下措施：第一，實行識別認證和訪問控制技術。為了防止非法用戶的入侵，可在因特網內部采用識別認證和訪問控制技術，內部網的訪問采用入網控制、網絡權限控制、目錄級別安全控制、網絡服務器的安全控制等技術。第二，采用加密技術。數據加密技術作為主要網絡安全技術，是提高網絡系統數據的保密性，防止秘密數據被破譯的主要技術手段。加密技術一般分兩種形式：保密密鑰和公開密鑰。加密算法的選擇要結合具體應用環境和系統要求，綜合考慮密鑰的合理分配、加密效率與系統結合度以及投入產出分析等因素。第三，設立防火墻。可以考慮在企業內部網與互聯網之間設立防火墻，使內部網與互聯網互相隔離。所謂防火墻是一道進出企業內部網的通信門檻，它可以有效地阻止互聯網中的黑客非法入侵或攻擊機構的內部網。當然，防火墻要隨時升級換代，不斷提高抵御病毒入侵、殺毒能力。第四，采用數字簽名技術和公正仲裁制度。采用數字簽名技術和公正仲裁制度，可以防止網絡中進行數據交換時的否認、抵賴事件發生。仲裁制度可以有效地解決交易雙方發生糾紛的法律適用問題和公正處理雙方合法權益問題。采用數字簽名技術和公正仲裁制度，可以有效地防范來自關聯方和社會的道德風險。

（四）加強內部控制測試，降低控制風險。從手工會計發展到網絡會計，審計環境發生了巨大的變化，內部控制審計重點也發生了變化。網絡財務環境下內部控制更強調防止發生錯誤功能，審計人員可將控制風險定在最高水平制定工作計劃，再展開審計測試工作。內部控制測試應著重檢查各種管理制度是否健全、不相容職務是否分離、網絡使用是否授權、操作日志是否建立、檢查數據是否備份、應用控制制度是否建立等。

（五）樹立法制意識和風險意識，提高人員素質。首先要樹立審計人員區別于傳統審計的法制意識和風險意識，其次網絡知識更新換代異常迅速，審計人員必須定期接受相關業務培訓和在職教育，更新自身知識結構，降低審計風險。再次，還要加強網絡審計立法，網絡審計立法是保障網絡審計正常發展的關鍵性措施。改革開放以來，我國先后頒布《計算機系統安全規范》、《計算機病毒控制規定》等法律法規，并在《刑法》、《民法》、《民事訴訟法》等相關法律中，增加計算機信息安全方面的條款，從而為計算機信息系統的安全性提供了法律保障。同時，新的《會計法》已增加了有關網絡財務的內容，《電子商務法》起草工作正在加緊進行之中，但上述法規都不是針對網絡審計而發布的，不能夠滿足網絡審計的需要。因此，有必要加快網絡審計立法工作的力度和進度，使人們在開展網絡審計工作時有章可循。