網絡審計風險的防范

［摘 要］ 本文在界定網絡審計風險概念的基礎上，分析了網絡審計風險的產生原因，并在此基礎上提出了防范網絡審計風險的具體對策。

［關鍵詞］ 網絡審計風險；成因；防范措施

［中圖分類號］F239.1［文獻標識碼］A［文章編號］1673-0194（2007）03-0072-02

網絡審計是網絡技術與審計相結合的產物，是對傳統審計的重大突破，代表了未來審計模式的發展方向。而伴隨網絡審計所產生的新的審計風險將是審計人員所面臨的巨大挑戰。本文旨在通過對網絡審計風險的涵義及產生原因的分析，以尋求防范網絡審計風險的具體對策，從而有效地提高審計質量。

一、網絡審計風險的涵義

在網絡經濟下，由于審計目標向多元化發展，審計范圍進一步擴展，傳統審計風險的概念已不能完全概括審計實踐活動中存在的風險，因此對新環境下的審計風險即網絡審計風險進行定義已迫在眉睫。但在對網絡審計風險進行界定之前，首先要明確兩個相關的概念，即網絡審計和審計風險。

所謂網絡審計是指審計人員基于互聯網，借助現代信息技術，運用專門的方法，通過人機結合，在某個網絡終端上對被審計單位的網絡會計信息系統的開發過程及其本身的合規性、可靠性和有效性以及基于網絡的會計信息的真實性、合法性進行的遠程審計。

審計風險是指被審計單位的會計報表存在重大錯報或漏報，而審計人員審計后發表不恰當審計意見的可能性。

在對網絡審計和審計風險概念進行分析的基礎上，筆者認為：網絡審計風險是指在網絡系統環境下，審計人員利用網絡技術對被審計單位的網絡會計信息系統的開發過程及其本身的合規性、可靠性和有效性以及基于網絡的會計信息的真實性、合法性進行遠程審計后，發表不恰當審計意見的可能性。

二、網絡審計風險的成因

網絡審計是一種全新的審計模式，它的產生必將帶來新的審計風險。與傳統審計相比，網絡環境下的審計對象更加復雜，審計內容更加廣泛，對審計技術也提出了更高的要求。相應地，網絡審計風險也不再僅僅是傳統審計下的被審計單位內部控制風險，網絡經濟的全球化、虛擬化及網絡本身的安全性也給審計帶來了新的風險。由此可見，網絡審計風險的成因更加復雜。具體表現在以下幾方面：

１． 網絡本身的安全性所帶來的審計風險

網絡審計是借助計算機網絡等對基于網絡的會計信息的真實性、合法性進行的審計，勢必對網絡的安全控制有嚴格要求。但眾所周知的是，目前的網絡技術并不完善，網絡本身的安全性不可避免地會給審計帶來額外的風險，最明顯的是計算機病毒和黑客攻擊隨時都可以從地球上的任何地方給網絡化企業的安全帶來威脅。例如：對系統的可用性進行攻擊；對程序的保密性進行攻擊；對程序的完整性進行攻擊等。這些由于網絡安全性所帶來的風險無形中加大了網絡審計的風險。

2． 審計證據的動態取證所帶來的審計風險

在網絡環境下，企業幾乎所有的業務信息和財務信息都通過網絡傳輸，業務活動的數據處理都是實時的，這就給審計人員的審計取證工作帶來了困難：一方面審計人員要完成審計取證工作，另一方面又不能妨礙和終止被審計單位會計信息系統的運作。這時審計人員只能通過在線訪問、在線查詢來獲取審計證據。而在系統運作過程當中進行取證，本身難度就很高，同時這部分無紙化審計線索的真實性、完整性、可靠性也難以保證，從而加大了審計風險。

3． 傳統審計線索消失所帶來的審計風險

在傳統審計中，審計證據都以紙介質的形式保存，審計線索十分清晰。而在網絡審計中，所有的審計證據都存儲在磁介質上，審計人員只能通過在線訪問或查詢的方式獲取無紙化審計線索。由于存儲在磁性介質上的無紙化審計線索存在容易被無痕跡刪改、不易保存的缺點，一旦熟悉系統設計和運行的管理人員作弊 ，或是黑客們透過計算機系統的防火墻，不留痕跡地破壞和修改電子數據后，那么審計證據的真實性、完整性和可靠性將會大打折扣，這勢必會加大審計風險。

4． 內部控制制度設計不恰當及制度失靈所帶來的審計風險

在網絡審計中，一旦被審計單位的內部控制制度設計，如軟件使用控制、網絡登錄控制等等有關權限層次、數據輸入的人機結合控制等設計不科學，就會給網絡審計帶來安全性風險。如果內部控制中的職責分離不恰當而引起內部控制失靈，就會導致對數據維護、系統管理和數據輸入、數據核對確認等崗位發揮不了相互牽制的作用，產生利用網絡的弱點故意修改數據、舞弊或竊取商業機密等審計風險。

５． 審計人員綜合業務能力欠缺所帶來的審計風險

網絡審計是一種新興的科技含量非常高的審計模式，因此對審計人員的綜合素質提出了更高的要求和標準。因為網絡審計的客體具有動態性、虛擬性和時效性，這就要求審計人員不僅要具備會計、審計等知識，還應了解計算機管理、網絡維護、電子商務等方面的知識。審計人員上述任何一種能力的缺失，都會加大審計風險。

三、網絡審計風險的防范措施

我們對審計風險研究的一個最重要目的是防范和控制審計風險，尤其在網絡審計模式下，這一目的顯得更為重要和迫切。在網絡審計中，審計人員對審計風險控制的難度加大，實施的審計風險防范措施也將發生根本性變化。本文擬從教育（education）、管理（enforcement）、技術（engineering）3個角度（即“3e”原則）提出網絡審計風險防范的具體措施。

1． 教育

網絡審計的復雜性要求審計人員應該是一種復合型、全方位人才，不僅要具備一定的法律知識、現代審計理論和審計技能，還要具備一定的現代信息技術、計算機網絡知識和電子商務理論，并能熟練地從事計算機硬件、軟件的操作和維護。在審計實務工作中，審計人員必須滲透到網絡系統的設計、實施、計算機的應用程序中去，能夠靈活地使用各種會計軟件與審計軟件，并熟練掌握二者接口的技術。因此，審計人員要從深度和廣度上加強對網絡審計理論的認識和理解，熟練掌握網絡審計技術，提高網絡運用和審計能力，從而規避網絡審計風險。

2． 管理

加強網絡審計立法，為網絡審計創造良好的法律環境。目前網絡審計面臨許多法律法規方面的不確定，主要表現為現有法律法規的不完善。而網絡審計立法是保障網絡審計正常發展的關鍵性措施。要在立足我國國情的基礎上參照國際有關法律法規，制定與網絡審計有關的法律規章，填補空白，使審計人員在進行網絡審計時有法可依、有章可循。同時，由于網絡審計的審計對象、審計線索、審計方法和審計流程等方面相對于傳統審計發生了變化，以往的審計標準和準則已經不能適應，應加快建立一套符合網絡審計特點的新的審計標準和準則——網絡審計準則，包括對網絡審計人員的職業要求、網絡系統安全性評價標準和網絡經濟工具的合法性及其使用規定等，這些要求、標準和準則在指導和規范網絡審計實踐工作的同時，也保證了審計質量，從而控制了審計風險。

3． 技術

首先，創新網絡審計技術與方法。在審計技術方面，一是要發展電子函證技術，使傳統的函證工作得到進一步發展，由相關企業通過互聯網發送郵件，使審計人員及時得到回函。二是采用現代信息技術，審計作為主要以會計信息為對象的社會經濟活動，客觀上要求采用現代信息技術，進行針對性審計，加快信息處理速度，提高審計質量。三是采取實時跟蹤技術，無形化的網絡會計客觀上要求進行適時審計，否則時過境遷，審計可能無據可查。實現遠程適時審計，這樣審計人員就不必到被審計單位進行現場審計，而是通過網絡進行遠程審計，及時發現被審計單位的舞弊行為。

其次，加強網絡系統的安全控制。一是要建立認證機制，網絡審計必須保證只有授權審計單位的合法操作人員才能調用被審計單位的授權審計資料、使用審計數據處理系統。二是采用數據加密技術，以免數據被非法截取。三是建立審計數據處理系統的防火墻，采用防火墻可以對審計系統的安全決策進行集中控制，使所有進出網絡的信息都能通過這個唯一的檢查點，形成信息進出網絡的一道保護關口。四是入侵檢測技術，主動防御黑客對審計數據處理系統的攻擊。

最后，建立風險預警管理機制。網絡的虛擬性和開放性使審計人員在執行業務時審計風險加大，建立完善的風險預警管理機制，審計人員可以通過風險感知與辨識，對被審計單位在網絡經濟條件下的交易事項和會計信息系統進行風險評價與度量，對可能的審計風險做出準確的判斷，并以此作為基礎合理地使用多種管理方法和技術對臨近或正在發生作用的審計風險實行有效控制，達到風險預警機制對審計風險管理的目的。

主要參考文獻

［1］ 傅元略.電子商務環境下的審計風險及其控制［J］.中國審計，2000，（1）：34-35.

［2］ 陳方林. 論網絡化審計系統的功能設計及其風險防范［J］. 廣東商學院學報，2001，（3）:42-47.

［3］ 孫寶文.電子商務的風險管理與審計研究［J］.中央財經大學學報，2003，（5）:78-82.

［4］ 劉劍民.網絡審計發展中的問題與建議［J］. 財會通訊：綜合版， 2005，（5）:48.

［5］ 呂凡. 網絡環境下的審計風險及其對策探討［J］. 審計月刊， 2003，（9）:28-29.