现代科技日新月异,信息技术已经渗透到人们生活的各个方面。随着信息经济的发展,许多企业的管理和会计业务将发生变革。作为履行经济监督功能的审计,为更好地向投资者、债权人、社会公众、有关组织和人员提供独立、客观、公正审计报告,应当重视信息技术给审计带来的冲击,对网络审计的种种问题进行深刻思考及探讨。
一、网络审计的产生
所谓网络审计,即按照注册会计师的执业要求,利用网络资源的共享性、快捷性和广泛性的特点,在网络上对客户的相关信息进行采集、整理、分析进而得出审计结论的过程。由于是通过网络媒体传送和接收会计信息,因而充分节约了人力和财力资源,大大提高审计效率。
(一)企业会计信息系统的电算化催生了网络审计
信息技术革命促进了企业会计电算化过程的进程,保存大量的会计信息已经不是传统模式中的纸上信息;拓展了会计计量的方法、手段及其范围;同时也要求会计信息的保存和保管更科学、更安全。会计电算化的普及提高了会计信息的时效性,也使得被审单位的内部控制制度更加复杂,对它的依赖性也更强。因此如何帮助被审单位在计算机网络下建立、健全内部控制制度以及如何对其进行评估将是注册会计师面临的现实问题。
(二)网络化审计有利于注册会计师提高审计效率
由于信息时间上的集中性,注册会计师需要在较短时间内处理大量的信息,加之跨行业或地区的公司的出现,信息的载体处于一个高度分散的状态,从而使得能联系全国以致全球的网络有了发挥之地。注册会计师执业模式的网络化使得大量的分散的信息在较短时间内得以集中整理分类,有利于注册会计师提高审计效率。
二、网络审计的模式及其特点
根据中国独立审计准则20号《计算机信息系统环境下的审计》的规定,网络审计的基本模式是:创建企业档案,建立审计数据库→不定期对企业的会计软件、内部控制制度进行审查→接受委托,对被审计单位利用审计软件进行网上综合审计→得出审计结论,向委托人传输审计报告→建立审计档案。
与传统的审计相比较,网上审计呈现以下特点:
1.网络审计的范围扩大。网络经济活动是无疆界的,对某一个企业的审计可能涉及到国内外企业。另外在网络系统中能接触到会计信息处理的人可能不仅仅是审计单位的少部分人员,能接触会计信息处理的人有可能涉及整个网络用户,出现数据错误就可能不是审计单位造成的,这样就很难确定责任人,此时再把审计范围局限在被审计单位是不合理的,因此审计范围扩大了。
2.审计对象的范围在扩大,网络系统的设计、实施等内容也出现在审计对象中。在网络系统中其资源共享的优势使得审验中各工作站都可能同时使用一个信息来源,由各自封闭的系统向整个系统敞开、互相影响、互为前提、彼此依赖,即对网络系统的依赖性极为提高。当被审单位会计人员过于放心网络系统,而网络系统不能正常发挥其职能时,手工或单机下的信息对象的真实、正确、合法等就无从谈起。
3.网络经济活动多数是通过网上电子货币交易,现金的使用大为减少。这将提高审计效率,同时也大大降低违纪行为的发生。
4.审计信息收集可实现实时化、动态化。由于互联网的作用,审计部门随时可以对企业进行审查,从而掌握被审计单位的最新情况,可以达到对被审计单位实施动态监督。
5.审计风险加大。由于网络经济活动的虚拟性,会计信息无纸化、电子合同、函件、订单的真实与合法性得不到保证,交易双方的真实身份不确认,而产生欺诈行为以及网络的安全无法得到保证,交易程序的简便化,使企业信息的内部控制制度成为审计的主要基础,所有这些决定网络审计较之传统审计有较大的风险
三、进行网络审计应注意的几个问题及其对策
(一)如何确保会计信息的安全性
会计信息系统的网络化,有利于企业在全球范围内共享信息资源,任何企业都可以随时通过网上发布信息、获取信息,因而会计信息被竞争对手非法截取或恶意修改的可能性大大增加,加之计算机病毒和网络“黑客”的侵入,使会计信息的安全性受到威胁。因此,如何确保会计信息的安全,是网络审计必须防范的首要问题。
(二)如何确保会计信息的完整性
由于会计信息主要以磁盘、磁带等磁性介质作为信息载体,缺乏交易处理应有的痕迹,会计信息很容易被删改或毁坏,加上许多财务软件、审计软件本身尚不完善,如何确保会计信息的完整性,也是网络审计必须面对的棘手问题。
(三)如何降低网络审计风险
网络技术改变了人类的生存空间,也对审计环境产生了深层次的影响。由于目前复合型审计人才尚为数不多,加上计算机故障或被审计单位舞弊等原因,使网络审计风险比传统审计风险更复杂。如何采取有效措施降低网络审计风险,避免法律诉讼,是每个注册会计师必须深思的问题。
(四)相关对策
1.从规章管理制度上加强对系统的监控。建立必要的上机操作控制和系统运行日志。建立健全上机的规章管理制度,对系统的用户身份、操作参数和运行状态、事故类型等进行实时监控和记录,并定期检查、评比,做到奖罚分明。实行用户分级授权管理。按照网络审计系统需要设置审计岗位,建立健全岗位责任制,并通过对每个用户的安全级别和身份标识来落实其职责与权限;严格轮岗制度,定期调整内部控制人员的监督权限,防止内部人的合谋串联作弊;严格计算机硬件设备管理,确保计算机硬件设备能够连续地、实时地运行,系统内部人员按各自的权限范围管理和使用计算机硬件设备,并按操作程序办事;加强系统软件开发控制,在计算机软件开发的前期,审计人员和风险管理人员要参与系统控制功能的研究和设计活动,以确保控制功能在系统内得到有效实现和健全有效;强化内部审计制度,要加强内部审计监督,要成立审计委员会,监督和控制各个工作站的日常工作,对内部控制系统薄弱的环节,加强管理与完善。
2.从安全技术上强化系统外部控制。实行识别认证和访问控制技术防止非法用户的入侵,内部网的访问采用入网控制、网络权限控制、目录级别安全控制、网络服务器的安全控制等技术;采用加密技术,提高网络系统数据的保密性,防止秘密数据被破译。加密算法的选择要结合具体应用环境和系统要求,综合考虑密钥的合理分配、加密效率与系统结合度以及投入产出分析等因素;企业内部网与互联网之间设立防火墙,使内部网与互联网互相隔离。防火墙要随时升级换代,不断提高抵御病毒入侵、杀毒能力。采用数学签名技术和公正仲裁制度,可以防止网络中进行数据交换时的否认、抵赖事件的发生,有效地解决交易双方发生纠纷的法律适用问题和公正处理双方合法权益问题。
3.加强系统外的审计监督力度。加强对系统开发的审计监督。在系统开发的各个阶段,审计人员要注意审查系统的可行性、安全性、可审性、可扩展性、经济性以及程序控制的适用性。通过审计监督,为系统的高质量提供制度保障,同时为审计人员实施网上实时审计创造良好条件。
开展网上实时审计。审计机关和审计团体与企业的计算机系统联网,并取得审计授权,就可以通过网络完成除实地盘点和现场观察外的部分审计监督任务。如果在系统开发时嵌入审计程序软件,计算机就可以实现实时跟踪审计。
加强外部网及有关中介机构的审计监督。为了保证网络财务系统和审计系统中有关数据的真实性和安全性,各企业应要求审查网上的认证机构和加数字时间戳的机构的真实性、可靠性、权威性,并要求评价因特网上各种加密技术、防火墙技术等网络安全措施的有效性。
4.建立健全网络法规。将网络化财务、审计系统的安全纳入法治化的轨道。改革开放以来,我国先后颁布《计算机系统安全规范》、《计算机病毒控制规定》等法律法规,并在《刑法》、《民法》、《民事诉讼法》等相关法律中,增加计算机信息安全方面的条款,从而为计算机信息系统的安全性提供了法律保障。不过,这些法律法规不涉及网络财务系统犯罪的领域,所以,需要制定专门的网络法,对网络系统、网络化审计系统的风险防范作出明文规定。
尽管电子商务与网络经营在我国还刚起步,但这是信息时代企业发展的方向。探索网络化条件下的审计,对促进审计跟上信息时代的步伐和促进我国电子商务和企业经营网络化的健康发展都具有积极意义。希望本文能抛砖引玉,引起大家对信息时代下的网络审计的关注。
2222