網(wǎng)絡(luò)經(jīng)濟(jì)下的審計(jì)風(fēng)險(xiǎn)模型重構(gòu)

[摘要]隨著審計(jì)的，風(fēng)險(xiǎn)越來(lái)越成為審計(jì)工作考慮的一個(gè)中心。無(wú)論是傳統(tǒng)的審計(jì)風(fēng)險(xiǎn)模型還是國(guó)際注冊(cè)審計(jì)師協(xié)會(huì)發(fā)布的最新的審計(jì)風(fēng)險(xiǎn)模型都是在傳統(tǒng)的審計(jì)環(huán)境下，對(duì)于審計(jì)風(fēng)險(xiǎn)模式的界定和計(jì)量。在條件下，原來(lái)的風(fēng)險(xiǎn)模型面臨重構(gòu)我國(guó)的注冊(cè)師應(yīng)采取有效措施，積極應(yīng)對(duì)新的風(fēng)險(xiǎn)。　　一、網(wǎng)絡(luò)經(jīng)濟(jì)環(huán)境之下審計(jì)風(fēng)險(xiǎn)模型重構(gòu)的必要性　　審計(jì)，作為一門(mén)，是社會(huì)經(jīng)濟(jì)環(huán)境的產(chǎn)物，是與特定了條件相聯(lián)系的。審計(jì)環(huán)境有外部環(huán)境和內(nèi)部環(huán)境之分，審計(jì)環(huán)境發(fā)生變化，審計(jì)本身必然要做相應(yīng)的調(diào)整。隨著我們進(jìn)進(jìn)21世紀(jì)，審計(jì)的內(nèi)外環(huán)境發(fā)生了明顯的變化，這些變化要求審計(jì)本身做出相應(yīng)的調(diào)整。因此審計(jì)風(fēng)險(xiǎn)模型的重構(gòu)成為當(dāng)務(wù)之急�！　。ㄒ唬�審計(jì)外部環(huán)境的變化　　1、經(jīng)營(yíng)環(huán)境的變化　　隨著和網(wǎng)絡(luò)技術(shù)的發(fā)展，傳統(tǒng)的店展式的經(jīng)營(yíng)模式將越來(lái)越多的被信息化的網(wǎng)絡(luò)貿(mào)易所取代，電子商務(wù)成為貿(mào)易企業(yè)主要的經(jīng)營(yíng)模式。全球的網(wǎng)上銷(xiāo)售額2000年就已達(dá)到了3000億美元（世貿(mào)組織測(cè)定），2004年更超過(guò)7兆億美元。電子商務(wù)這種嶄新的商務(wù)模式，在我國(guó)也得到了迅猛發(fā)展：由1996年的幾萬(wàn)網(wǎng)民，激增至2004年的超過(guò)1億網(wǎng)民，B2C、B2B、C2C、B2G等商務(wù)模式日益走紅，門(mén)戶站點(diǎn)風(fēng)靡全球。截至2001年12月，我國(guó)電子商務(wù)網(wǎng)站達(dá)300余家，到2004年電子商務(wù)網(wǎng)站經(jīng)過(guò)重組形成了如ebay等數(shù)家貿(mào)易航母；到2004年我國(guó)的電子商務(wù)交易總額突破了4400億人民幣，2005年將激增到6200億人民幣。電子商務(wù)這種與傳統(tǒng)貿(mào)易截然不同的商務(wù)操縱和治理模式，使企業(yè)的經(jīng)營(yíng)模式發(fā)生根本性的變革：客戶可以從網(wǎng)上了解商品，詢問(wèn)價(jià)格簽訂合同，發(fā)送訂單，企業(yè)可以通過(guò)網(wǎng)絡(luò)確認(rèn)交易，出口報(bào)關(guān)，發(fā)送商品（僅限于信息產(chǎn)品），傳遞發(fā)貨單，劃賬結(jié)匯等。這已經(jīng)遠(yuǎn)遠(yuǎn)超出了傳統(tǒng)審計(jì)所能涉及的領(lǐng)域。企業(yè)經(jīng)營(yíng)環(huán)境是審計(jì)風(fēng)險(xiǎn)考慮的一個(gè)重要因素，是企業(yè)審計(jì)風(fēng)險(xiǎn)評(píng)價(jià)體系的開(kāi)始。電子商務(wù)下的網(wǎng)絡(luò)貿(mào)易要求我們對(duì)于審計(jì)風(fēng)險(xiǎn)進(jìn)行再熟悉�！　�2、實(shí)時(shí)報(bào)告的要求　　隨著現(xiàn)代審計(jì)的發(fā)展，審計(jì)對(duì)象對(duì)于審計(jì)報(bào)告的實(shí)效性加強(qiáng)，實(shí)時(shí)性審計(jì)越來(lái)越被人們所重視。但傳統(tǒng)的事后性的審計(jì)監(jiān)視所帶來(lái)的缺陷就是不能及時(shí)發(fā)現(xiàn)題目，防患于未然，而克服這一缺陷的重要措施就是開(kāi)展事前和事中審計(jì)�，F(xiàn)在借助于網(wǎng)絡(luò)，使審計(jì)職員能夠遠(yuǎn)程訪問(wèn)被審計(jì)單位存放財(cái)務(wù)信息的機(jī)，就可以對(duì)被審計(jì)單位的經(jīng)濟(jì)活動(dòng)，進(jìn)行實(shí)時(shí)的監(jiān)視，從而可以及時(shí)發(fā)現(xiàn)題目并及時(shí)解決。此外，通過(guò)實(shí)時(shí)監(jiān)視，隨時(shí)把握審計(jì)對(duì)象的經(jīng)濟(jì)活動(dòng)比如財(cái)務(wù)收支和資產(chǎn)負(fù)債等情況，還能夠正確、及時(shí)地為決策部分提供決策信息。從而最大限度地發(fā)揮審計(jì)監(jiān)視的作用�！　�3、會(huì)計(jì)系統(tǒng)的變化　　隨著信息技術(shù)的發(fā)展，信息化的財(cái)務(wù)會(huì)計(jì)系統(tǒng)普遍在各大企業(yè)中，傳統(tǒng)的會(huì)計(jì)模式逐漸退出歷史的舞臺(tái)，會(huì)計(jì)電算化廣泛推廣開(kāi)來(lái)。經(jīng)濟(jì)業(yè)務(wù)產(chǎn)生的原始憑證以電磁波信息的形式在網(wǎng)上傳遞并存儲(chǔ)于磁性介質(zhì)中，會(huì)計(jì)的確認(rèn)、計(jì)量、記錄和報(bào)告都集中由計(jì)算機(jī)按程序指令執(zhí)行。因此審計(jì)職員面對(duì)的是企業(yè)的電算化會(huì)計(jì)信息系統(tǒng)和網(wǎng)絡(luò)賬務(wù)系統(tǒng)，企業(yè)的賬務(wù)系統(tǒng)以程序語(yǔ)言的形式存放于計(jì)算機(jī)中，難以對(duì)會(huì)計(jì)處理內(nèi)控制度形玉成面的感性熟悉。網(wǎng)絡(luò)審計(jì)面對(duì)的企業(yè)內(nèi)部環(huán)境是一整套電算化會(huì)計(jì)信息系統(tǒng)的公道有效性、安全程度直接到審計(jì)工作的質(zhì)量和效率。同時(shí)由于市場(chǎng)準(zhǔn)進(jìn)條件的放寬和有關(guān)商務(wù)的不健全，外部環(huán)境的不穩(wěn)定因素劇增，來(lái)自企業(yè)外部經(jīng)營(yíng)風(fēng)險(xiǎn)凸現(xiàn)，原有的內(nèi)控制度效果減弱，盡而增加了審計(jì)的風(fēng)險(xiǎn)�！　。ǘ�）審計(jì)內(nèi)部環(huán)境的變化　　1、審計(jì)證據(jù)和審計(jì)線索的變化　　在傳統(tǒng)會(huì)計(jì)中，一般由經(jīng)濟(jì)業(yè)務(wù)產(chǎn)生紙質(zhì)原始憑證，然后會(huì)計(jì)職員根據(jù)原始憑證編制記賬憑證，根據(jù)記賬憑證登記明細(xì)賬和總賬，期末再根據(jù)各賬簿編制會(huì)計(jì)報(bào)表。每一步都有文字記錄，審計(jì)線索十分清楚，審計(jì)證據(jù)主要由書(shū)面證據(jù)組成。而在交易及核算都實(shí)現(xiàn)網(wǎng)絡(luò)化的環(huán)境下，企業(yè)與外部的交易和企業(yè)內(nèi)部業(yè)務(wù)處理的憑據(jù)都以電子信息的形式保存，并在網(wǎng)上傳遞，編制記賬憑證、登記賬簿、編制會(huì)計(jì)報(bào)表都由計(jì)算機(jī)按指定程序執(zhí)行，實(shí)現(xiàn)會(huì)計(jì)核算自動(dòng)化。因此，傳統(tǒng)意義上的審計(jì)證據(jù)和審計(jì)線索都將消失。　　2、審計(jì)的工作方式的變化　�。�1）網(wǎng)絡(luò)改變了審計(jì)信息收集方式�！　∈占瘜徲�(jì)信息主要是收集審計(jì)證據(jù)，我國(guó)的《獨(dú)立審計(jì)基木準(zhǔn)則》規(guī)定，注冊(cè)會(huì)計(jì)師在審計(jì)過(guò)程中可以采用檢查、監(jiān)視、觀察、查詢及函證、計(jì)算和性復(fù)核等審計(jì)程序獲取審計(jì)證據(jù)。而在網(wǎng)絡(luò)環(huán)境下，幾乎所有資產(chǎn)都由計(jì)算機(jī)實(shí)時(shí)動(dòng)態(tài)治理，企業(yè)所有的會(huì)計(jì)資料和相關(guān)資料都存放于互聯(lián)網(wǎng)上，審計(jì)職員就可采用網(wǎng)絡(luò)交談和發(fā)電子郵件等方式進(jìn)行查詢和函證，也可進(jìn)行檢查、觀察、計(jì)算和分析性復(fù)核。這樣與傳統(tǒng)審計(jì)相比，網(wǎng)絡(luò)審計(jì)將進(jìn)步審計(jì)證據(jù)的及時(shí)性和客觀性，降低收集審計(jì)證據(jù)的本錢(qián)�！　。�2）網(wǎng)絡(luò)改變了審計(jì)信息加工、傳輸和存儲(chǔ)模式�！　�傳統(tǒng)的審計(jì)工作主要通過(guò)檢查憑證、賬簿和報(bào)表，核對(duì)賬證、賬賬、賬表和賬簿與外來(lái)資料是否相符來(lái)加工審計(jì)信息，而在網(wǎng)絡(luò)環(huán)境下，隨著紙質(zhì)載體的消失和網(wǎng)絡(luò)信息系統(tǒng)自身強(qiáng)大的核對(duì)、檢查和內(nèi)部控制功能，傳統(tǒng)意義上的審計(jì)工作被大大簡(jiǎn)化，只有在某種特定條件下還須由人來(lái)監(jiān)盤(pán)實(shí)物庫(kù)存、實(shí)地觀察實(shí)物變動(dòng)及其記錄。而且由于網(wǎng)絡(luò)高度的信息共享性、實(shí)時(shí)性和動(dòng)態(tài)性，審計(jì)信息輸出如WEB信息發(fā)布讓市公司的報(bào)表信息的充分表露與審計(jì)有關(guān)法規(guī)的發(fā)布、審計(jì)信息存儲(chǔ)和檢查等都將充分利用互聯(lián)網(wǎng)和企業(yè)內(nèi)部網(wǎng)進(jìn)行，實(shí)現(xiàn)了審計(jì)工作辦公自動(dòng)化。　　3、審計(jì)機(jī)構(gòu)的組織方式的變化　　網(wǎng)絡(luò)審計(jì)提供了一個(gè)信息資源共享的便捷渠道，使得審計(jì)能夠從傳統(tǒng)的孤立的單兵式向系統(tǒng)性的協(xié)同式過(guò)渡。在傳統(tǒng)的審計(jì)過(guò)程中，各個(gè)審計(jì)組之間的信息交流和溝通是比較困難的，一個(gè)審計(jì)組把握的全部信息很難使其他的審計(jì)組或匯總部分也都把握。固然將這些信息以審計(jì)報(bào)告等形式上報(bào)，由匯總部分進(jìn)行匯總之后，也能提供被審計(jì)對(duì)象的比較全面的信息，但是由于審計(jì)報(bào)告中的信息都是經(jīng)過(guò)個(gè)人判定后選擇的結(jié)果，是不全面的，匯總部分也很難把握審計(jì)對(duì)象的全貌。因此，對(duì)審計(jì)對(duì)象的總體評(píng)價(jià)就可能偏離要害，審計(jì)效率不高，審計(jì)風(fēng)險(xiǎn)卻會(huì)加大。現(xiàn)代信息網(wǎng)絡(luò)技術(shù)的發(fā)展和廣泛應(yīng)用，使得進(jìn)行系統(tǒng)性的審計(jì)成為可能。　　4、審計(jì)技術(shù)的變化　　在網(wǎng)絡(luò)環(huán)境下，傳統(tǒng)的審計(jì)技術(shù)已不能適應(yīng)的需要。在網(wǎng)絡(luò)審計(jì)下更多使用電子技術(shù)，從審計(jì)證據(jù)的收集到證據(jù)的處理全部在微機(jī)上進(jìn)行無(wú)紙化的辦公。審計(jì)過(guò)程中更多的運(yùn)用先進(jìn)的財(cái)務(wù)工作軟件，審計(jì)過(guò)程中的以為因素大大減少，進(jìn)步了審計(jì)意見(jiàn)的客觀性和獨(dú)立性。　　二、網(wǎng)絡(luò)風(fēng)險(xiǎn)的定義及分類(lèi)　　審計(jì)環(huán)境的變化同時(shí)帶來(lái)了審計(jì)風(fēng)險(xiǎn)的變化。在網(wǎng)絡(luò)審計(jì)過(guò)程中，網(wǎng)絡(luò)風(fēng)險(xiǎn)是一個(gè)不可忽視的風(fēng)險(xiǎn)因素。　�。ㄒ唬┚W(wǎng)絡(luò)風(fēng)險(xiǎn)的含義　　所謂的網(wǎng)絡(luò)風(fēng)險(xiǎn)是指在網(wǎng)絡(luò)審計(jì)過(guò)程中，審計(jì)職員及被審計(jì)單位由于采用信息化審計(jì)技術(shù)或財(cái)務(wù)會(huì)計(jì)技術(shù)，而致使審計(jì)職員對(duì)公司的財(cái)務(wù)報(bào)表發(fā)表了不恰當(dāng)?shù)膶徲?jì)意見(jiàn)�！　�從我們給出的定義可以看出以下幾點(diǎn)：　　1、網(wǎng)絡(luò)風(fēng)險(xiǎn)涉及的對(duì)象是雙向的。他一方面涉及到被審計(jì)單位的狀況，另一方面又涉及審計(jì)部分自身的狀況，這樣使的網(wǎng)絡(luò)風(fēng)險(xiǎn)的決定因素非常的復(fù)雜�！　�2、網(wǎng)絡(luò)風(fēng)險(xiǎn)是直接由計(jì)算機(jī)網(wǎng)絡(luò)帶來(lái)的。無(wú)論是被審計(jì)單位的先進(jìn)的財(cái)務(wù)信息系統(tǒng)還是審計(jì)部分的審計(jì)分析系統(tǒng)，都是以電子信息技術(shù)為基礎(chǔ)的，都要借助于計(jì)算機(jī)和互聯(lián)網(wǎng)。進(jìn)而網(wǎng)絡(luò)風(fēng)險(xiǎn)因素更多的是由于信息技術(shù)題目帶來(lái)的風(fēng)險(xiǎn)�！　�3、網(wǎng)絡(luò)風(fēng)險(xiǎn)可以致使審計(jì)職員發(fā)表錯(cuò)誤的審計(jì)意見(jiàn)。網(wǎng)絡(luò)風(fēng)險(xiǎn)直接威脅審計(jì)職員獲得的被審計(jì)單位的財(cái)務(wù)信息的真實(shí)性，失往了真實(shí)性，那么審計(jì)職員也就不可能對(duì)被審計(jì)單位的財(cái)務(wù)狀況做出正確的評(píng)價(jià)，進(jìn)而形成公正、客觀的審計(jì)報(bào)告。　�。ǘ�）審計(jì)風(fēng)險(xiǎn)的分類(lèi)　　審計(jì)風(fēng)險(xiǎn)一般分為可控風(fēng)險(xiǎn)和非可控風(fēng)險(xiǎn)�？煽仫L(fēng)險(xiǎn)指審計(jì)職員在審計(jì)過(guò)程中可以控制的風(fēng)險(xiǎn)因素；非可控風(fēng)險(xiǎn)指審計(jì)職員在審計(jì)過(guò)程中不可以控制的風(fēng)險(xiǎn)因素。可控風(fēng)險(xiǎn)主要是針對(duì)審計(jì)單位的審計(jì)工作而言的，即可以通過(guò)自身的工作盡可能降低的風(fēng)險(xiǎn)。這種風(fēng)險(xiǎn)不是本處論述的重點(diǎn)�！　�1、不可控風(fēng)險(xiǎn)　　這種風(fēng)險(xiǎn)主要是由被審計(jì)單位自身的財(cái)務(wù)信息系統(tǒng)或?qū)徲?jì)單位自身審計(jì)信息系統(tǒng)的這樣或那樣的缺陷造成的，是審計(jì)職員無(wú)能為力的因素。　�。�1）系統(tǒng)風(fēng)險(xiǎn)　　這一風(fēng)險(xiǎn)是審計(jì)單位和被審計(jì)單位都無(wú)法控制的風(fēng)險(xiǎn)�！　∮�(jì)算機(jī)系統(tǒng)本身具有脆弱性，這是任何一個(gè)被審計(jì)單位都不可避免的。當(dāng)計(jì)算機(jī)硬件或計(jì)算機(jī)軟件、網(wǎng)絡(luò)本身出現(xiàn)故障時(shí)輕易導(dǎo)致網(wǎng)絡(luò)系統(tǒng)審計(jì)數(shù)據(jù)丟失，甚至發(fā)生癱瘓現(xiàn)象。在互聯(lián)網(wǎng)條件下，網(wǎng)絡(luò)審計(jì)系統(tǒng)具有其分布式、開(kāi)放性、遠(yuǎn)程性實(shí)時(shí)處理的特點(diǎn)。這個(gè)特點(diǎn)既有其優(yōu)越性，可以實(shí)現(xiàn)資源共享，使很多人沾恩，但也有其缺陷性，系統(tǒng)的可控性、一致性、安全性較差，一旦出現(xiàn)故障，影響很大，且不易恢復(fù)。這樣，既不利于守舊***，又損害企事業(yè)單位，審計(jì)機(jī)關(guān)和審計(jì)團(tuán)體的利益�！　。�2）黑客進(jìn)侵，病毒危害風(fēng)險(xiǎn)　　在網(wǎng)絡(luò)化系統(tǒng)中，計(jì)算機(jī)病毒不再靠磁盤(pán)或光盤(pán)傳播，開(kāi)始通過(guò)電子郵件傳播計(jì)算機(jī)病毒。黑客的進(jìn)侵也相當(dāng)猖獗，主要來(lái)自社會(huì)上一些不法分子對(duì)企業(yè)、事業(yè)單位和政府機(jī)關(guān)互聯(lián)網(wǎng)的進(jìn)侵。這種風(fēng)險(xiǎn)范圍廣，危害性大。它包括截收、仿冒、***和黑客進(jìn)侵�；�樣繁多的病毒進(jìn)侵，讓人防不勝防，隨著網(wǎng)絡(luò)化的迅速普及和廣泛應(yīng)用，計(jì)算機(jī)病毒的傳播呈現(xiàn)渠道多樣化、速度快捷的特點(diǎn)，危害也在不斷加劇，這對(duì)網(wǎng)絡(luò)化審計(jì)系統(tǒng)資源構(gòu)成很大威脅�！　。�3）系統(tǒng)關(guān)聯(lián)方道德風(fēng)險(xiǎn)　　主要指關(guān)聯(lián)方非法侵進(jìn)企業(yè)網(wǎng)絡(luò)財(cái)務(wù)軟件系統(tǒng)，以剽竊財(cái)務(wù)數(shù)據(jù)和知識(shí)產(chǎn)權(quán)、破壞系統(tǒng)、干擾企業(yè)正常交易等產(chǎn)生的風(fēng)險(xiǎn)。企業(yè)關(guān)聯(lián)方主要包括客戶、供給商、軟件開(kāi)發(fā)商，也包括銀行、稅務(wù)、審計(jì)、保險(xiǎn)財(cái)政等部分。企業(yè)與關(guān)聯(lián)方之間的通過(guò)外聯(lián)網(wǎng)進(jìn)行業(yè)務(wù)和數(shù)據(jù)交換，這種特殊的交換關(guān)系使關(guān)聯(lián)方之間道德風(fēng)險(xiǎn)的發(fā)天生為可能，尤其是軟件開(kāi)發(fā)商，他們非法進(jìn)侵企業(yè)財(cái)務(wù)系統(tǒng)不易被發(fā)現(xiàn)，其危害是不容忽視的�！　。�4）內(nèi)部職員的操縱風(fēng)險(xiǎn)　　操縱風(fēng)險(xiǎn)主要包括操縱程序不規(guī)范和操縱職員防范意識(shí)不強(qiáng)造成的。如審計(jì)職員或會(huì)計(jì)職員缺乏安全意識(shí)和網(wǎng)絡(luò)安全防范措施，對(duì)于網(wǎng)上下載的電子郵件或會(huì)計(jì)信息資源不做安全性技術(shù)檢查、測(cè)試，或僅用個(gè)人生日或單位電話號(hào)碼作密碼，這些密碼好記也好破譯，安全性較差。另外，企業(yè)會(huì)計(jì)職員對(duì)會(huì)計(jì)數(shù)據(jù)的非法訪問(wèn)、篡改、泄密和破壞等方面的風(fēng)險(xiǎn)。有資料統(tǒng)計(jì)，大部分非法闖進(jìn)者來(lái)自內(nèi)部雇員，這些通曉網(wǎng)絡(luò)知識(shí)的內(nèi)部控制職員通過(guò)嵌進(jìn)的非法舞弊程序，大量侵吞國(guó)家財(cái)富或企業(yè)資產(chǎn)。　　三、審計(jì)過(guò)程中對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的估計(jì)、量化　　通過(guò)以上的比較分析，我們不難發(fā)現(xiàn)在新的審計(jì)環(huán)境下，審計(jì)的風(fēng)險(xiǎn)模型確實(shí)有重構(gòu)的必要性。下面是我對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的各構(gòu)成要素的進(jìn)一步闡述，它包括因素構(gòu)成、因素的項(xiàng)目風(fēng)險(xiǎn)評(píng)價(jià)和綜合風(fēng)險(xiǎn)評(píng)價(jià)。網(wǎng)絡(luò)風(fēng)險(xiǎn)具體有6個(gè)影響因素構(gòu)成，用公式表示為：網(wǎng)絡(luò)風(fēng)險(xiǎn)的計(jì)量=被審計(jì)單位的計(jì)算機(jī)財(cái)務(wù)會(huì)計(jì)信息系統(tǒng)的系統(tǒng)漏洞 會(huì)計(jì)信息系統(tǒng)的開(kāi)放性 最新的病毒報(bào)告狀況 防火墻的性能 以往會(huì)計(jì)信息系統(tǒng)的運(yùn)行狀況 審計(jì)單位自身的信息處理系統(tǒng)的安全性評(píng)價(jià)�！　。ㄒ唬┍粚徲�(jì)單位的計(jì)算機(jī)財(cái)務(wù)會(huì)計(jì)系統(tǒng)的系統(tǒng)漏洞估計(jì)　　醫(yī)生治病也需要先尋病根，確定網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)大小，首先應(yīng)該知道這個(gè)系統(tǒng)的弱點(diǎn)和漏洞，其弱點(diǎn)和漏洞的嚴(yán)重程度是決定整個(gè)系統(tǒng)風(fēng)險(xiǎn)大小的一個(gè)重要方面。而一個(gè)網(wǎng)絡(luò)系統(tǒng)中的漏洞大致可以包括三種不同類(lèi)型：　　1、實(shí)現(xiàn)漏洞：所有的系統(tǒng)實(shí)現(xiàn)都不可能沒(méi)有漏洞，盡管設(shè)計(jì)可以是無(wú)懈可擊的。軟件“Bug”是最典型的漏洞，例如：著名的sen山mail程序的漏洞被很多人用來(lái)獲得系統(tǒng)的非授權(quán)訪問(wèn)。實(shí)現(xiàn)漏洞在操縱系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)中是不可避免的，并且這些漏洞還無(wú)法猜測(cè)，往往只能依靠大量的使用來(lái)發(fā)現(xiàn)，依靠供貨商的升級(jí)和“補(bǔ)丁”，依靠安全專(zhuān)家的警告�！　�2、設(shè)計(jì)漏洞：攻擊者使用的另一類(lèi)漏洞來(lái)源于設(shè)計(jì)階段，這一類(lèi)漏洞更難發(fā)現(xiàn)，同時(shí)也更難彌補(bǔ)，由于漏洞來(lái)源于設(shè)計(jì)，軟硬件實(shí)現(xiàn)完全圍繞設(shè)計(jì)實(shí)現(xiàn)。這種漏洞是固有的，只有依靠重新設(shè)計(jì)和實(shí)現(xiàn)。典型例子還是著名的sendmail程序，即使sendmail的實(shí)現(xiàn)無(wú)懈可擊，仍然可以利用sendmail程序反復(fù)天生郵件，從而實(shí)現(xiàn)拒盡服務(wù)攻擊�！　�3、配置漏洞：這是攻擊者最喜歡的漏洞，也是最常見(jiàn)的漏洞。配置漏洞來(lái)源于治理員（或用戶）錯(cuò)誤的設(shè)置。很多產(chǎn)品制造商在產(chǎn)品出廠時(shí)往往為用戶設(shè)置了很多默認(rèn)的參數(shù)，這些設(shè)置基于對(duì)用戶環(huán)境的充分信任，以方便新用戶的使用。但這些出廠設(shè)置可能會(huì)帶來(lái)嚴(yán)重的安全漏洞。典型的配置漏洞包括：繼續(xù)使用賬號(hào)的出廠默認(rèn)參數(shù)，使用默認(rèn)的文件訪問(wèn)權(quán)限設(shè)置，以及開(kāi)放有漏洞的服務(wù)等�！　⊥ㄟ^(guò)以上的漏洞，作為注冊(cè)師應(yīng)該根據(jù)被審計(jì)單位的系統(tǒng)狀況對(duì)被審計(jì)單位的財(cái)務(wù)會(huì)計(jì)信息系統(tǒng)的安全性做出評(píng)價(jià)。此處，我設(shè)置了3個(gè)水平的評(píng)價(jià)指標(biāo)：高、中和低�！　「叩娘L(fēng)險(xiǎn)，指被審計(jì)單位的財(cái)務(wù)會(huì)計(jì)系統(tǒng)混亂，財(cái)務(wù)軟件漏洞很多，財(cái)務(wù)系統(tǒng)運(yùn)作混亂，不能進(jìn)行相應(yīng)的會(huì)計(jì)信息處理，會(huì)計(jì)信息的真實(shí)性無(wú)法保證�！　≈械鹊娘L(fēng)險(xiǎn)，指被審計(jì)單位擁有一套比較完善的財(cái)務(wù)會(huì)計(jì)系統(tǒng)，但財(cái)務(wù)軟件存在著致命性的漏洞，僅基本上能夠保證真實(shí)性的要求�！　〉偷娘L(fēng)險(xiǎn)，指被審計(jì)單位擁有一套完善的財(cái)務(wù)會(huì)計(jì)系統(tǒng)，系統(tǒng)設(shè)置能夠適應(yīng)業(yè)務(wù)的需要，系統(tǒng)中不存在明顯的、致命性的設(shè)計(jì)漏洞，能夠提供真實(shí)、客觀的財(cái)務(wù)信息�！　。ǘ�）會(huì)計(jì)信息系統(tǒng)的開(kāi)放性　　會(huì)計(jì)系統(tǒng)的開(kāi)放性指能夠接觸到會(huì)計(jì)信息系統(tǒng)的終端用戶的范圍。一個(gè)會(huì)計(jì)系統(tǒng)的終端使用者越多，那么他所面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)越大。在會(huì)計(jì)信息系統(tǒng)的開(kāi)放性中值得一提的是網(wǎng)絡(luò)開(kāi)放性題目，假如一個(gè)公司的財(cái)務(wù)系統(tǒng)要上網(wǎng)向公眾公告，那么會(huì)計(jì)系統(tǒng)將承受更多的網(wǎng)絡(luò)風(fēng)險(xiǎn)。具體的評(píng)價(jià)指標(biāo)也有3個(gè)即：　　高的開(kāi)放性，指會(huì)計(jì)信息系統(tǒng)要向與Internet相連接，向公告。　　中的開(kāi)放性，指會(huì)計(jì)信息系統(tǒng)只在本單位的局域網(wǎng)中開(kāi)放，不與Internet相連接，除了滿足公司治理的需要，不需要向社會(huì)公眾公告。　　低的開(kāi)放性，指會(huì)計(jì)信息系統(tǒng)不存在分布式的設(shè)計(jì)，不需要聯(lián)網(wǎng)工作，僅僅在財(cái)務(wù)部分內(nèi)部使用，不向外公告�！　。ㄈ�）最新的病毒發(fā)布情況　　病毒和黑客是機(jī)系統(tǒng)致命的敵人，最新的病毒發(fā)布狀況直接決定了財(cái)務(wù)信息系統(tǒng)在當(dāng)時(shí)的風(fēng)險(xiǎn)因素的大小。假如審計(jì)期間有大規(guī)模的且非常厲害的病毒爆發(fā)，那么網(wǎng)絡(luò)風(fēng)險(xiǎn)就會(huì)高，也就要求審計(jì)職員做出大量的技術(shù)處理以避免病毒攻擊，確保信息的安全、可靠。具體的評(píng)價(jià)指標(biāo)也有3個(gè)即：　　高風(fēng)險(xiǎn)，指在審計(jì)期間出現(xiàn)了大量的新的對(duì)系統(tǒng)有致命損害的病毒，且這種病毒的防范措施尚未形成，沒(méi)有專(zhuān)門(mén)的殺毒軟件可以處理�！　≈酗L(fēng)險(xiǎn)，指審計(jì)期間出現(xiàn)一些新的毒，但這些病毒對(duì)于計(jì)算機(jī)系統(tǒng)的傷害并不是致命，而且采取相應(yīng)的措施可以有效的避免病毒的感染�！　〉惋L(fēng)險(xiǎn)，指審計(jì)期間沒(méi)有新的病毒發(fā)布，一些常規(guī)病毒以被審計(jì)單位的技術(shù)水平完全可以應(yīng)付�！　。ㄋ模┓阑饓Φ男阅堋　》阑饓Φ男阅苤苯記Q定被審計(jì)單位的財(cái)務(wù)信息安全狀況。被審計(jì)單位的防火墻性能好，則可以避免前面所說(shuō)的系統(tǒng)開(kāi)放性及最新病毒的攻擊題目，從而整體上降低財(cái)務(wù)信息系統(tǒng)的網(wǎng)絡(luò)風(fēng)險(xiǎn)。相反，則會(huì)加重前面的風(fēng)險(xiǎn)系數(shù)。防火墻的性能實(shí)在是前面提到風(fēng)險(xiǎn)的加乘系數(shù)，這個(gè)系數(shù)可能是正的亦可能是負(fù)的。假如為正，那么整體風(fēng)險(xiǎn)增加；假如為負(fù)，則整體的風(fēng)險(xiǎn)水平會(huì)由于防火墻的存在而降低。具體的評(píng)價(jià)指標(biāo)有2個(gè)即：　　高風(fēng)險(xiǎn)，指防火墻的性能不穩(wěn)定，對(duì)于一些常規(guī)病毒的進(jìn)侵無(wú)法應(yīng)對(duì)，防范性能即是0.　　低風(fēng)險(xiǎn)，指防火墻的性能穩(wěn)定，能夠有效的防范病毒的進(jìn)攻�！　。ㄎ澹┮酝鶗�(huì)計(jì)信息系統(tǒng)的運(yùn)行狀況　　由于網(wǎng)絡(luò)系統(tǒng)題目的暴露有一個(gè)時(shí)間過(guò)程，則會(huì)計(jì)信息系統(tǒng)以往的運(yùn)行狀況對(duì)于審計(jì)職員進(jìn)行被審計(jì)單位的網(wǎng)絡(luò)風(fēng)險(xiǎn)水平評(píng)價(jià)具有價(jià)值。假如被審計(jì)單位的會(huì)計(jì)信息系統(tǒng)以往的運(yùn)行狀況良好，沒(méi)有出現(xiàn)任何的重大錯(cuò)誤，則我們可以推定在審計(jì)過(guò)程中，被審計(jì)單位的信息系統(tǒng)不會(huì)有重大的差錯(cuò)，可以接受被審計(jì)單位信息系統(tǒng)的數(shù)據(jù)，進(jìn)而可以降低整體的項(xiàng)目可接受的審計(jì)風(fēng)險(xiǎn)水平。假如被審計(jì)單位的會(huì)計(jì)信息系統(tǒng)在以往的工作中的表現(xiàn)不盡如人意，那么審計(jì)職員在對(duì)被審計(jì)單位會(huì)計(jì)信息系統(tǒng)的數(shù)據(jù)接受時(shí)，就要采用審慎的態(tài)度。這里我們?cè)O(shè)定的水平指標(biāo)同樣有以下三種：　　高風(fēng)險(xiǎn)，指被審計(jì)單位的財(cái)務(wù)信息系統(tǒng)以往的工作表現(xiàn)欠佳，曾經(jīng)出現(xiàn)過(guò)重大會(huì)計(jì)差錯(cuò)題目�！　≈酗L(fēng)險(xiǎn)，指被審計(jì)單位的財(cái)務(wù)信息系統(tǒng)以往的工作表現(xiàn)一般，曾出現(xiàn)這樣那樣的非重大差錯(cuò)�！　〉惋L(fēng)險(xiǎn)，指被審計(jì)單位的財(cái)務(wù)信息系統(tǒng)以往的工作表現(xiàn)良好，以前沒(méi)有出現(xiàn)任何的非以為的系統(tǒng)處理錯(cuò)誤。　�。�六）審計(jì)單位自身的信息處理系統(tǒng)的安全性評(píng)價(jià)　　在網(wǎng)絡(luò)審計(jì)情況下，審計(jì)職員的審計(jì)手段更多的借助于網(wǎng)絡(luò)的高產(chǎn)品，計(jì)算機(jī)信息處理系統(tǒng)在各大會(huì)計(jì)事務(wù)所廣泛。同樣的審計(jì)單位同樣要面對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的沖擊。所以審計(jì)單位在對(duì)被審計(jì)單位風(fēng)險(xiǎn)進(jìn)行精確評(píng)價(jià)的同時(shí)還應(yīng)對(duì)自身的網(wǎng)絡(luò)風(fēng)險(xiǎn)水平進(jìn)行系統(tǒng)的評(píng)價(jià)。審計(jì)單位的評(píng)價(jià)過(guò)程可以參閱前面的被審計(jì)單位的評(píng)價(jià)，此處我們不在逐一重復(fù)�！　。ㄆ撸┚W(wǎng)絡(luò)風(fēng)險(xiǎn)各因素間的關(guān)系　　網(wǎng)絡(luò)審計(jì)情況下的對(duì)于審計(jì)的網(wǎng)絡(luò)風(fēng)險(xiǎn)的總體水平評(píng)價(jià)可以采用圖表的形式加以說(shuō)明：　　由排列組合的知識(shí)我們知道這里有486種組合方式。鑒于以上對(duì)于6個(gè)因素的分析結(jié)果，我們將防火墻性能和被審計(jì)單位系統(tǒng)漏洞兩個(gè)因素的狀況作為評(píng)價(jià)網(wǎng)絡(luò)風(fēng)險(xiǎn)的核心指標(biāo)�！　∈紫龋�我們從上面的分析中不難發(fā)現(xiàn)防火墻的性能對(duì)于會(huì)計(jì)信息系統(tǒng)的開(kāi)放性和最新的病毒報(bào)告狀況兩個(gè)因素有一定的節(jié)制作用。防火墻的性能狀況直接決定三個(gè)因素的整體風(fēng)險(xiǎn)水平。假如前兩個(gè)因素的風(fēng)險(xiǎn)水平處于高的狀態(tài)，但是由于系統(tǒng)的防火墻性能很好，那么前兩個(gè)因素的高風(fēng)險(xiǎn)會(huì)由于防火墻的低風(fēng)險(xiǎn)而降低，進(jìn)而三個(gè)因素的整體風(fēng)險(xiǎn)降低。相反，假如防火墻的性能很差，即使前兩個(gè)因素的各自風(fēng)險(xiǎn)都很低，那綜合風(fēng)險(xiǎn)也不會(huì)降低，甚至進(jìn)步。所以防火墻的性能水平是三個(gè)風(fēng)險(xiǎn)因素的小核心。　　其次，被審計(jì)單位的計(jì)算機(jī)財(cái)務(wù)會(huì)計(jì)信息系統(tǒng)的系統(tǒng)漏洞又是整個(gè)網(wǎng)絡(luò)風(fēng)險(xiǎn)的核心。被審計(jì)單位的計(jì)算機(jī)財(cái)務(wù)會(huì)計(jì)信息系統(tǒng)的系統(tǒng)漏洞是根本性的風(fēng)險(xiǎn)因素。假如被審計(jì)單位的會(huì)計(jì)信息系統(tǒng)存在致命性的漏洞，那么整個(gè)系統(tǒng)的綜合網(wǎng)絡(luò)風(fēng)險(xiǎn)，肯定不會(huì)是很低的�！　〈送猓瑢徲�(jì)單位的風(fēng)險(xiǎn)水平是審計(jì)單位自身可以控制的因素，是一種可控風(fēng)險(xiǎn)�！　∥覀円罁�(jù)兩個(gè)指標(biāo)的水平狀況對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的486種組合進(jìn)行了總體的分類(lèi)，即高、中、低三檔。具體的：在這486種組合方式中，我將其中含有防火墻性能和被審計(jì)單位系統(tǒng)漏洞兩項(xiàng)為高風(fēng)險(xiǎn)的設(shè)定為整體的高風(fēng)險(xiǎn)；相反的情況就為低風(fēng)險(xiǎn)；其他的組合方式為中的風(fēng)險(xiǎn)。　　針對(duì)不同的網(wǎng)絡(luò)風(fēng)險(xiǎn)水平要求審計(jì)職員采取不同的措施。具體的：　　高的網(wǎng)絡(luò)風(fēng)險(xiǎn)水平意味著被審計(jì)單位的財(cái)務(wù)會(huì)計(jì)信息系統(tǒng)是不可信的，其數(shù)據(jù)不能采用，其要求審計(jì)職員對(duì)于被審計(jì)單位的會(huì)計(jì)記錄進(jìn)行具體的審查，追加審計(jì)的時(shí)間�！　≈械鹊膶徲�(jì)風(fēng)險(xiǎn)和低的審計(jì)風(fēng)險(xiǎn)意味著被審計(jì)單位的財(cái)務(wù)信息系統(tǒng)基本上能夠提供真實(shí)可靠的會(huì)計(jì)信息，審計(jì)職員可以全部接受，適當(dāng)減少審計(jì)的時(shí)間，加速審計(jì)效率。　　四、審計(jì)職員審計(jì)過(guò)程中對(duì)于網(wǎng)絡(luò)風(fēng)險(xiǎn)的應(yīng)對(duì)措施　�。ㄒ唬╅_(kāi)發(fā)和應(yīng)用審計(jì)軟件對(duì)相關(guān)網(wǎng)絡(luò)系統(tǒng)進(jìn)行實(shí)時(shí)跟蹤　　網(wǎng)絡(luò)審計(jì)是借助網(wǎng)絡(luò)審計(jì)軟件進(jìn)行的，加強(qiáng)網(wǎng)絡(luò)審計(jì)軟件的與開(kāi)發(fā)是發(fā)展網(wǎng)絡(luò)審計(jì)所必須的。首先，從現(xiàn)在實(shí)際情況和性出發(fā)，選擇相應(yīng)的財(cái)務(wù)軟件公司，利用他們?cè)谪?cái)務(wù)軟件制作方面的經(jīng)驗(yàn)開(kāi)發(fā)網(wǎng)絡(luò)審計(jì)測(cè)試軟件；其次，對(duì)被審計(jì)單位的網(wǎng)絡(luò)系統(tǒng)進(jìn)行評(píng)價(jià)，并利用專(zhuān)用的審計(jì)對(duì)比軟件，將存放于數(shù)據(jù)庫(kù)不同地址的同一數(shù)據(jù)進(jìn)行自動(dòng)比較，以形成相應(yīng)的記錄文件，并對(duì)有差異的文件數(shù)據(jù)進(jìn)行具體審查；再次，對(duì)被審計(jì)單位的自動(dòng)檢測(cè)數(shù)據(jù)庫(kù)軟件和恢復(fù)軟件進(jìn)行審查和評(píng)價(jià)；最后，要對(duì)被審計(jì)單位的異常貿(mào)易，通過(guò)網(wǎng)絡(luò)進(jìn)行預(yù)警提示，以降審計(jì)風(fēng)險(xiǎn)�！　。ǘ�）建立審計(jì)服務(wù)信息庫(kù)　　審計(jì)職員可將被審計(jì)單位的有關(guān)信息，通過(guò)網(wǎng)絡(luò)建立一個(gè)完善的大容量的信息庫(kù)，把這些信息包括被審計(jì)單位的背景資料、最新動(dòng)態(tài)和一些以前審計(jì)的檔案信息，以便以后開(kāi)展審計(jì)時(shí)查閱和運(yùn)用，這樣將可大大減少工作時(shí)間，進(jìn)步工作效率，同時(shí)也相應(yīng)地降低了審計(jì)的風(fēng)險(xiǎn)�！　。ㄈ�）加強(qiáng)對(duì)網(wǎng)絡(luò)系統(tǒng)的安全性和保密性進(jìn)行審查　　在網(wǎng)絡(luò)中運(yùn)行，信息的安全性即可靠性和保密性構(gòu)成了審計(jì)的風(fēng)險(xiǎn)防范和控制的重點(diǎn)。首先，對(duì)網(wǎng)絡(luò)系統(tǒng)職責(zé)分離情況進(jìn)行審查，遵循的原則仍為不相容職責(zé)必須分離，但側(cè)重對(duì)數(shù)據(jù)的輸進(jìn)、輸出，軟件開(kāi)發(fā)的維護(hù)及系統(tǒng)程序修改或治理等之間的關(guān)系處理進(jìn)行審查；其次，對(duì)被審計(jì)單位網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行分析與評(píng)價(jià)，以確認(rèn)防范黑客侵進(jìn)的能力；再次，對(duì)被審計(jì)單位的系統(tǒng)容錯(cuò)處理機(jī)制、安全治理體制和安全保密技術(shù)等作深進(jìn)的了解，以評(píng)價(jià)其系統(tǒng)安全性的等級(jí)，從而有效地控制審計(jì)風(fēng)險(xiǎn)。　�。ㄋ模┘涌炀W(wǎng)絡(luò)審計(jì)人才的培養(yǎng)　　大批精通網(wǎng)絡(luò)、計(jì)算機(jī)及審計(jì)的職員隊(duì)伍是網(wǎng)絡(luò)審計(jì)能否得以實(shí)施的關(guān)鍵。審計(jì)職員必須經(jīng)常更新自身的知識(shí)結(jié)構(gòu)才能適應(yīng)網(wǎng)絡(luò)審計(jì)工作的需要。這就需要在審計(jì)職員的培養(yǎng)和將來(lái)的CPA資格中適當(dāng)增加有關(guān)計(jì)算機(jī)、網(wǎng)絡(luò)及操縱的考察并定期對(duì)審計(jì)職員進(jìn)行相關(guān)培訓(xùn)。　�。ㄎ澹┲朴喚W(wǎng)絡(luò)審計(jì)準(zhǔn)則　　審計(jì)準(zhǔn)則是審計(jì)工作應(yīng)遵循的規(guī)范和標(biāo)準(zhǔn)，是提評(píng)價(jià)審計(jì)工作質(zhì)量的權(quán)威性規(guī)則。網(wǎng)絡(luò)審計(jì)對(duì)象、線索、方法、流程、結(jié)果等各方面相對(duì)于傳統(tǒng)審計(jì)都發(fā)生了變化，以往的審計(jì)標(biāo)準(zhǔn)和準(zhǔn)則已經(jīng)不能完全適用，所以應(yīng)加快新的審計(jì)標(biāo)準(zhǔn)和準(zhǔn)則的制定以指導(dǎo)網(wǎng)絡(luò)審計(jì)工作實(shí)踐的深進(jìn)�！　。�六）加強(qiáng)網(wǎng)絡(luò)審計(jì)立法　　網(wǎng)絡(luò)審計(jì)立法是保障網(wǎng)絡(luò)審計(jì)正常發(fā)展的關(guān)鍵性措施。新的《會(huì)計(jì)法》已增加了有關(guān)網(wǎng)絡(luò)財(cái)務(wù)的，《商務(wù)法》起草工作正在加緊進(jìn)行之中，但是上述法規(guī)都不是針對(duì)網(wǎng)絡(luò)審計(jì)而發(fā)布的，不能夠滿足網(wǎng)絡(luò)審計(jì)的需要。因此，有必要加快網(wǎng)絡(luò)審計(jì)立法工作的力度和進(jìn)度，使人們?cè)陂_(kāi)展網(wǎng)絡(luò)審計(jì)工作尤其是進(jìn)行正當(dāng)性審計(jì)時(shí)有法可依。　　[參考]　　[1]董剛毅。網(wǎng)絡(luò)審計(jì)的風(fēng)險(xiǎn)和控制[J].審計(jì)理論與實(shí)踐，2002，（9）�！　�[2]李金花。論電子商務(wù)的網(wǎng)絡(luò)審計(jì)[J].河南貿(mào)易高等專(zhuān)科學(xué)校學(xué)報(bào)，2003，（6）�！　�[3]夏　敏。網(wǎng)絡(luò)審計(jì)的重要性與可行性分析[J].審計(jì)天地，2003，（10）�！　�[4]曾憲策。網(wǎng)絡(luò)審計(jì)的創(chuàng)新和風(fēng)險(xiǎn)[J].審計(jì)，2003，（2）�！　�[5]鄭曉龍，林辛。淺議信息技術(shù)時(shí)代的網(wǎng)絡(luò)審計(jì)[J].師，2004，（4）。　　[6]潘立亞。互聯(lián)網(wǎng)時(shí)代審計(jì)新概念-網(wǎng)絡(luò)審計(jì)[J].經(jīng)濟(jì)師，2004，（3）�！　�[7]郭強(qiáng)華，郭看予。企業(yè)網(wǎng)絡(luò)審計(jì)建設(shè)與實(shí)施[J].中國(guó)治理信息化，2005，（2）。

【網(wǎng)絡(luò)經(jīng)濟(jì)下的審計(jì)風(fēng)險(xiǎn)模型重構(gòu)】相關(guān)文章：

現(xiàn)行審計(jì)風(fēng)險(xiǎn)模型的缺陷與重構(gòu)03-21

審計(jì)風(fēng)險(xiǎn)模型探討03-23

試論審計(jì)風(fēng)險(xiǎn)模型的改良03-20

審計(jì)風(fēng)險(xiǎn)模型的演進(jìn)及應(yīng)用03-07

從審計(jì)風(fēng)險(xiǎn)模型的改進(jìn)看風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)在我國(guó)的運(yùn)用12-08

從審計(jì)風(fēng)險(xiǎn)模型的改進(jìn)論風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的戰(zhàn)略調(diào)整03-21

淺論傳統(tǒng)審計(jì)的缺陷及現(xiàn)代審計(jì)風(fēng)險(xiǎn)模型的應(yīng)用11-16

淺談審計(jì)風(fēng)險(xiǎn)模型的改進(jìn)及實(shí)施障礙03-02

基于戰(zhàn)略系統(tǒng)的審計(jì)風(fēng)險(xiǎn)模型研究03-04

淺談審計(jì)風(fēng)險(xiǎn)模型的改進(jìn)與實(shí)施障礙03-22