网络经济下的审计风险模型重构
佚名 2006-12-13
[关键词]网络审计;风险模型;网络风险;传统风险
一、网络经济环境之下审计风险模型重构的必要性
审计,作为一门,是社会经济环境的产物,是与特定了条件相联系的。审计环境有外部环境和内部环境之分,审计环境发生变化,审计本身必然要做相应的调整。随着我们进入21世纪,审计的内外环境发生了明显的变化,这些变化要求审计本身做出相应的调整。因此审计风险模型的重构成为当务之急。
(一)审计外部环境的变化
1、经营环境的变化
随着和网络技术的发展,传统的店铺式的经营模式将越来越多的被信息化的网络贸易所取代,电子商务成为商业企业主要的经营模式。全球的网上销售额2000年就已达到了3000亿美元(世贸组织测定),2004年更超过7兆亿美元。电子商务这种崭新的商务模式,在我国也得到了迅猛发展:由1996年的几万网民,激增至2004年的超过1亿网民,B2C、B2B、C2C、B2G等商务模式日益走红,门户站点风靡全球。截至2001年12月,我国电子商务网站达300余家,到2004年电子商务网站经过重组形成了如ebay等数家商业航母;到2004年我国的电子商务交易总额突破了4400亿人民币,2005年将激增到6200亿人民币。电子商务这种与传统商业截然不同的商务操作和管理模式,使企业的经营模式发生根本性的变革:客户可以从网上了解商品,询问价格签订合同,发送订单,企业可以通过网络确认交易,出口报关,发送商品(仅限于信息产品),传递发货单,划账结汇等。这已经远远超出了传统审计所能涉及的领域。企业经营环境是审计风险考虑的一个重要因素,是企业审计风险评价体系的开始。电子商务下的网络贸易要求我们对于审计风险进行再认识。
2、实时报告的要求
随着现代审计的发展,审计对象对于审计报告的实效性加强,实时性审计越来越被人们所重视。但传统的事后性的审计监督所带来的缺陷就是不能及时发现问题,防患于未然,而克服这一缺陷的重要措施就是开展事前和事中审计。现在借助于网络,使审计人员能够远程访问被审计单位存放财务信息的机,就可以对被审计单位的经济活动,进行实时的监督,从而可以及时发现问题并及时解决。此外,通过实时监督,随时掌握审计对象的经济活动比如财务收支和资产负债等情况,还能够准确、及时地为决策部门提供决策信息。从而最大限度地发挥审计监督的作用。
3、会计系统的变化
随着信息技术的发展,信息化的财务会计系统普遍在各大企业中,传统的会计模式逐渐退出历史的舞台,会计电算化广泛推广开来。经济业务产生的原始凭证以电磁波信息的形式在网上传递并存储于磁性介质中,会计的确认、计量、记录和报告都集中由计算机按程序指令执行。因此审计人员面对的是企业的电算化会计信息系统和网络账务系统,企业的账务系统以程序语言的形式存放于计算机中,难以对会计处理内控制度形成全面的感性认识。网络审计面对的企业内部环境是一整套电算化会计信息系统的合理有效性、安全程度直接到审计工作的质量和效率。同时由于市场准入条件的放宽和有关商务的不健全,外部环境的不稳定因素剧增,来自企业外部经营风险凸现,原有的内控制度效果减弱,尽而增加了审计的风险。
(二)审计内部环境的变化
1、审计证据和审计线索的变化
在传统会计中,一般由经济业务产生纸质原始凭证,然后会计人员根据原始凭证编制记账凭证,根据记账凭证登记明细账和总账,期末再根据各账簿编制会计报表。每一步都有文字记录,审计线索十分清晰,审计证据主要由书面证据组成。而在交易及核算都实现网络化的环境下,企业与外部的交易和企业内部业务处理的凭据都以电子信息的形式保存,并在网上传递,编制记账凭证、登记账簿、编制会计报表都由计算机按指定程序执行,实现会计核算自动化。因此,传统意义上的审计证据和审计线索都将消失。
2、审计的工作方式的变化
(1)网络改变了审计信息收集方式。
收集审计信息主要是收集审计证据,我国的《独立审计基木准则》规定,注册会计师在审计过程中可以采用检查、监督、观察、查询及函证、计算和性复核等审计程序获取审计证据。而在网络环境下,几乎所有资产都由计算机实时动态管理,企业所有的会计资料和相关资料都存放于互联网上,审计人员就可采用网络交谈和发电子邮件等方式进行查询和函证,也可进行检查、观察、计算和分析性复核。这样与传统审计相比,网络审计将提高审计证据的及时性和客观性,降低收集审计证据的成本。
(2)网络改变了审计信息加工、传输和存储模式。
传统的审计工作主要通过检查凭证、账簿和报表,核对账证、账账、账表和账簿与外来资料是否相符来加工审计信息,而在网络环境下,随着纸质载体的消失和网络信息系统自身强大的核对、检查和内部控制功能,传统意义上的审计工作被大大简化,只有在某种特定条件下还须由人来监盘实物库存、实地观察实物变动及其记录。而且由于网络高度的信息共享性、实时性和动态性,审计信息输出如WEB信息发布让市公司的报表信息的充分披露与审计有关法规的发布、审计信息存储和检查等都将充分利用互联网和企业内部网进行,实现了审计工作办公自动化。
3、审计机构的组织方式的变化
网络审计提供了一个信息资源共享的便捷渠道,使得审计能够从传统的孤立的单兵式向系统性的协同式过渡。在传统的审计过程中,各个审计组之间的信息交流和沟通是比较困难的,一个审计组掌握的全部信息很难使其他的审计组或汇总部门也都掌握。虽然将这些信息以审计报告等形式上报,由汇总部门进行汇总之后,也能提供被审计对象的比较全面的信息,但是由于审计报告中的信息都是经过个人判断后选择的结果,是不全面的,汇总部门也很难把握审计对象的全貌。因此,对审计对象的总体评价就可能偏离要害,审计效率不高,审计风险却会加大。现代信息网络技术的发展和广泛应用,使得进行系统性的审计成为可能。
4、审计技术的变化
在网络环境下,传统的审计技术已不能适应的需要。在网络审计下更多使用电子技术,从审计证据的收集到证据的处理全部在微机上进行无纸化的办公。审计过程中更多的运用先进的财务工作软件,审计过程中的认为因素大大减少,提高了审计意见的客观性和独立性。
二、网络风险的定义及分类
审计环境的变化同时带来了审计风险的变化。在网络审计过程中,网络风险是一个不可忽视的风险因素。
(一)网络风险的含义
所谓的网络风险是指在网络审计过程中,审计人员及被审计单位由于采用信息化审计技术或财务会计技术,而致使审计人员对公司的财务报表发表了不恰当的审计意见。
从我们给出的定义可以看出以下几点:
1、网络风险涉及的对象是双向的。他一方面涉及到被审计单位的状况,另一方面又涉及审计部门自身的状况,这样使的网络风险的决定因素非常的复杂。
2、网络风险是直接由计算机网络带来的。无论是被审计单位的先进的财务信息系统还是审计部门的审计分析系统,都是以电子信息技术为基础的,都要借助于计算机和互联网。进而网络风险因素更多的是由于信息技术问题带来的风险。
3、网络风险可以致使审计人员发表错误的审计意见。网络风险直接威胁审计人员获得的被审计单位的财务信息的真实性,失去了真实性,那么审计人员也就不可能对被审计单位的财务状况做出正确的评价,进而形成公正、客观的审计报告。
(二)审计风险的分类
审计风险一般分为可控风险和非可控风险。可控风险指审计人员在审计过程中可以控制的风险因素;非可控风险指审计人员在审计过程中不可以控制的风险因素。可控风险主要是针对审计单位的审计工作而言的,即可以通过自身的工作尽可能降低的风险。这种风险不是本处论述的重点。
1、不可控风险
这种风险主要是由被审计单位自身的财务信息系统或审计单位自身审计信息系统的这样或那样的缺陷造成的,是审计人员无能为力的因素。
(1)系统风险
这一风险是审计单位和被审计单位都无法控制的风险。
计算机系统本身具有脆弱性,这是任何一个被审计单位都不可避免的。当计算机硬件或计算机软件、网络本身出现故障时容易导致网络系统审计数据丢失,甚至发生瘫痪现象。在互联网条件下,网络审计系统具有其分布式、开放性、远程性实时处理的特点。这个特点既有其优越性,可以实现资源共享,使很多人受惠,但也有其缺陷性,系统的可控性、一致性、安全性较差,一旦出现故障,影响很大,且不易恢复。这样,既不利于保守国家机密,又损害企事业单位,审计机关和审计团体的利益。
(2)黑客入侵,病毒危害风险
在网络化系统中,计算机病毒不再靠磁盘或光盘传播,开始通过电子邮件传播计算机病毒。黑客的入侵也相当猖獗,主要来自社会上一些不法分子对企业、事业单位和政府机关互联网的入侵。这种风险范围广,危害性大。它包括截收、仿冒、窃听和黑客入侵。花样繁多的病毒入侵,让人防不胜防,随着网络化的迅速普及和广泛应用,计算机病毒的传播呈现渠道多样化、速度快捷的特点,危害也在不断加剧,这对网络化审计系统资源构成很大威胁。
(3)系统关联方道德风险
主要指关联方非法侵入企业网络财务软件系统,以剽窃财务数据和知识产权、破坏系统、干扰企业正常交易等产生的风险。企业关联方主要包括客户、供应商、软件开发商,也包括银行、税务、审计、保险财政等部门。企业与关联方之间的通过外联网进行业务和数据交换,这种特殊的交换关系使关联方之间道德风险的发生成为可能,尤其是软件开发商,他们非法入侵企业财务系统不易被发现,其危害是不容忽视的。
(4)内部人员的操作风险
操作风险主要包括操作程序不规范和操作人员防范意识不强造成的。如审计人员或会计人员缺乏安全意识和网络安全防范措施,对于网上下载的电子邮件或会计信息资源不做安全性技术检查、测试,或仅用个人生日或单位电话号码作密码,这些密码好记也好破译,安全性较差。另外,企业会计人员对会计数据的非法访问、篡改、泄密和破坏等方面的风险。有资料统计,大部分非法闯入者来自内部雇员,这些通晓网络知识的内部控制人员通过嵌入的非法舞弊程序,大量侵吞国家财富或企业资产。
三、审计过程中对网络风险的估计、量化
通过以上的比较分析,我们不难发现在新的审计环境下,审计的风险模型确实有重构的必要性。下面是我对网络风险的各构成要素的进一步阐述,它包括因素构成、因素的项目风险评价和综合风险评价。网络风险具体有6个影响因素构成,用公式表示为:网络风险的计量=被审计单位的计算机财务会计信息系统的系统漏洞 会计信息系统的开放性 最新的病毒报告状况 防火墙的性能 以往会计信息系统的运行状况 审计单位自身的信息处理系统的安全性评价。
(一)被审计单位的计算机财务会计系统的系统漏洞估计
医生治病也需要先寻病根,确定网络系统的风险大小,首先应该知道这个系统的弱点和漏洞,其弱点和漏洞的严重程度是决定整个系统风险大小的一个重要方面。而一个网络系统中的漏洞大致可以包括三种不同类型:
1、实现漏洞:所有的系统实现都不可能没有漏洞,尽管设计可以是无懈可击的。软件“Bug”是最典型的漏洞,例如:著名的sen山mail程序的漏洞被许多人用来获得系统的非授权访问。实现漏洞在操作系统、数据库系统中是不可避免的,并且这些漏洞还无法预测,往往只能依靠大量的使用来发现,依靠供货商的升级和“补丁”,依靠安全专家的警告。
2、设计漏洞:攻击者使用的另一类漏洞来源于设计阶段,这一类漏洞更难发现,同时也更难弥补,因为漏洞来源于设计,软硬件实现完全围绕设计实现。这种漏洞是固有的,只有依靠重新设计和实现。典型例子仍是著名的sendmail程序,即使sendmail的实现无懈可击,仍然可以利用sendmail程序反复生成邮件,从而实现拒绝服务攻击。
3、配置漏洞:这是攻击者最喜欢的漏洞,也是最常见的漏洞。配置漏洞来源于管理员(或用户)错误的设置。许多产品制造商在产品出厂时往往为用户设置了许多默认的参数,这些设置基于对用户环境的充分信任,以方便新用户的使用。但这些出厂设置可能会带来严重的安全漏洞。典型的配置漏洞包括:继续使用账号的出厂默认参数,使用默认的文件访问权限设置,以及开放有漏洞的服务等。
通过以上的漏洞,作为注册师应该根据被审计单位的系统状况对被审计单位的财务会计信息系统的安全性做出评价。此处,我设置了3个水平的评价指标:高、中和低。
高的风险,指被审计单位的财务会计系统混乱,财务软件漏洞很多,财务系统运作混乱,不能进行相应的会计信息处理,会计信息的真实性无法保证。
中等的风险,指被审计单位拥有一套比较完善的财务会计系统,但财务软件存在着致命性的漏洞,仅基本上能够保证真实性的要求。
低的风险,指被审计单位拥有一套完善的财务会计系统,系统设置能够适应业务的需要,系统中不存在明显的、致命性的设计漏洞,能够提供真实、客观的财务信息。
(二)会计信息系统的开放性
会计系统的开放性指能够接触到会计信息系统的终端用户的范围。一个会计系统的终端使用者越多,那么他所面临的网络风险越大。在会计信息系统的开放性中值得一提的是网络开放性问题,如果一个公司的财务系统要上网向公众公告,那么会计系统将承受更多的网络风险。具体的评价指标也有3个即:
高的开放性,指会计信息系统要向与Internet相连接,向公告。
中的开放性,指会计信息系统只在本单位的局域网中开放,不与Internet相连接,除了满足公司管理的需要,不需要向社会公众公告。
低的开放性,指会计信息系统不存在分布式的设计,不需要联网工作,仅仅在财务部门内部使用,不向外公告。
(三)最新的病毒发布情况
病毒和黑客是机系统致命的敌人,最新的病毒发布状况直接决定了财务信息系统在当时的风险因素的大小。如果审计期间有大规模的且非常厉害的病毒爆发,那么网络风险就会高,也就要求审计人员做出大量的技术处理以避免病毒攻击,确保信息的安全、可靠。具体的评价指标也有3个即:
高风险,指在审计期间出现了大量的新的对系统有致命损害的病毒,且这种病毒的防范措施尚未形成,没有专门的杀毒软件可以处理。
中风险,指审计期间出现一些新的毒,但这些病毒对于计算机系统的伤害并不是致命,而且采取相应的措施可以有效的避免病毒的感染。
低风险,指审计期间没有新的病毒发布,一些常规病毒以被审计单位的技术水平完全可以应付。
(四)防火墙的性能
防火墙的性能直接决定被审计单位的财务信息安全状况。被审计单位的防火墙性能好,则可以避免前面所说的系统开放性及最新病毒的攻击问题,从而整体上降低财务信息系统的网络风险。相反,则会加重前面的风险系数。防火墙的性能其实是前面提到风险的加乘系数,这个系数可能是正的亦可能是负的。如果为正,那么整体风险增加;如果为负,则整体的风险水平会因为防火墙的存在而降低。具体的评价指标有2个即:
高风险,指防火墙的性能不稳定,对于一些常规病毒的入侵无法应对,防范性能等于0.
低风险,指防火墙的性能稳定,能够有效的防范病毒的进攻。
(五)以往会计信息系统的运行状况
由于网络系统问题的暴露有一个时间过程,则会计信息系统以往的运行状况对于审计人员进行被审计单位的网络风险水平评价具有价值。如果被审计单位的会计信息系统以往的运行状况良好,没有出现任何的重大错误,则我们可以推定在审计过程中,被审计单位的信息系统不会有重大的差错,可以接受被审计单位信息系统的数据,进而可以降低整体的项目可接受的审计风险水平。如果被审计单位的会计信息系统在以往的工作中的表现不尽如人意,那么审计人员在对被审计单位会计信息系统的数据接受时,就要采用审慎的态度。这里我们设定的水平指标同样有以下三种:
高风险,指被审计单位的财务信息系统以往的工作表现欠佳,曾经出现过重大会计差错问题。
中风险,指被审计单位的财务信息系统以往的工作表现一般,曾出现这样那样的非重大差错。
低风险,指被审计单位的财务信息系统以往的工作表现良好,以前没有出现任何的非认为的系统处理错误。
(六)审计单位自身的信息处理系统的安全性评价
在网络审计情况下,审计人员的审计手段更多的借助于网络的高产品,计算机信息处理系统在各大会计事务所广泛。同样的审计单位同样要面对网络风险的冲击。所以审计单位在对被审计单位风险进行精确评价的同时还应对自身的网络风险水平进行系统的评价。审计单位的评价过程可以参阅前面的被审计单位的评价,此处我们不在一一重复。
(七)网络风险各因素间的关系
网络审计情况下的对于审计的网络风险的总体水平评价可以采用图表的形式加以说明: