浅谈网络审计

浅谈网络审计

浅谈网络审计1

简介:21世纪是一个全新的。互联网的出现,带来了IT产业以及全球经济和的重大变革,其中对的是最直接和深远的。一方面,随着网络财务、商务、电子货币等新兴交易方式的兴起,企业效益获得了明显提升;另一方面,新的企业形式——‘虚拟企业’的产生,成为互联网下企业竞争的主要气力。然而,它的产生和对被誉为经济“看门人”的传统审计带来了巨大冲击,于是网络审计便应运而生并成为未来审计发展的趋势。  一、 引

浅谈网络审计2

  随着计算机网络的广泛应用,网络会计及网络会计审计已经成为人们关注的热门话题。同时,它也正在极大地改变着传统会计和传统审计的工作方式。本文就网络会计及网络会计审计从特点、内容、原则及应注意的有关问题几方面谈一下个人看法。

  一、网络会计的特点、风险及其审计特点

  (-)网络会计的特点

  与单机处理方式相比,网络会计的特点如下:

  1.会计数据共享。网络上的每一台工作站、不仅可以使用本站点上的会计数据,还可以使用服务器中存放的有关会计数据;而服务器中的会计数据,又可以由一台或某台工作站输入和处理产生。用络上的各个工作站被授予不同的权限。对照更换中的会计数据进行该写操作。会计数据在报务器存储器中的位置不需改变,也不需复制,各工作站共享一份完整的会计数据。在网络会计系统中,会计数据共享的具体运用,集中体现为反映会计信息的时序性。例如,只要在管理者的办公室装一台工作站。授予其权限,管理者就可随时查询和掌握企业的各个时点的财务状况。

  2.会计功能共享。网络上的任何一台工作站,都享有系统的全部功能。即在任何一个工作站上,都能启动和运行计算机会计系统中某一子系统并正常工作。例如,某部门要进行二级核算,只要在这个部门配备一个网络工作站,由网络管理员授予部门用户一定的权限,由财务系统的主管设置分配一个账套,确定操作员的姓名、口令和建账权限,这个操作员就可以处理本部门的全部账务。在进行必要的权限设置后,主管部门可随时对二级核算部门的账务数据进行查询。

  3.会计数据分布式输入。会计数据量大,在输入过程中耗费了大量的时间,会计数据的输入速度直接影响会计数据处理的进程。在大型企业中,输入会计数据占用了极大的时间,而会计数据的处理却由于计算机的高性能而用时很少。计算机网络会计系统中会计数据输入速度和处理速度的矛盾已不明显、可以将不同部门收集的数据由各收集部门分别输入,并大大减少输入人员对数据所涉及的业务不熟悉造成的差错,进而提高了工作效率。

  4.会计数据安全性要求高。在网络会计系统中,会计数据的安全性问题显得尤为突出和重要。网络环境下,系统的安全主要通过网络硬件环境和软件环境本身具有的一套安全保障机制来实现。例如,用户注册必须输入口令,对多次注册失败的非法入侵者,网络可在一段时间内暂停该工作站注册入网。

  (二)网络会计的新风险

  计算机网络的发展使计算机在会计中的应用日益广泛与深入,同时也使计算机网络会计系统的风险防范难度加大。计算机网络会计系统所带来的新风险主要表现在以下几个方面:

  1.物理风险。物理风险主要包括:(1)计算机网络会计系统硬件选配不合适,致使网络功能发挥受阻;(2)网络工作环境电源等不合要求直接影响网络的可靠性;(3)网络设备安装不规范,导致网络运行不稳定;(4)网络设计不规范,缺少风险防范措施;(5)网络操作系统的安装、维护不善;(6)网络后理制度不健全;(7)对计算机病毒的侵蚀不重视,没有必要的防范措施等。

  2.对会计信息保密性的破坏。从技术上说,任何传输线路都可能被“”、对会计信息的不但可以信息的内容,还可以在不了解信息内容的情况下信息的流量和流向、通信的频度和长度,由此推定有用的信息。对会计信息的截取还包括合法用户采用不正当的手段读取本人权限之外的信息。对会计信息保密性的破坏属于被动型的破坏,不改变会计信息的内容、形式与流向。

  3.对会计信息完整性的破坏。对于计算机网络会计系统米和一会计信息完整性的破坏是系统的主要风险。一对会计信息完整性的破坏有人为和非人为的因素。非人为因素表现在通信传输中的干扰、系统硬件或软件的差错等。人为因素又包括有意和无意两种。有意者如非法对计算机网络会计系统的侵入。合法用户越权对网络内会计数据的处理以及隐藏程序对会计数据的破坏等。对会计信息完整性的破坏属于主动型破坏,可以篡改会计信息的内容、形式与流向。

  4.对系统运行的干扰。对计算机网络系统运行的干扰包括合法用户不能正常访问网络的资源和有严格时间要求的服务不能得到及时的响应。影响计算机网络会计系统正常运行的因素也有人为和非人为两种。人为因素如非法占用网络资源、切断或阻塞网络通信、通过计算机病毒降低网络的性能、致使网络瘫痪等。非人为因素如灾害事故、系统锁死、系统故障等。

  (三)网络会计审计的特点

  由于网络会计实现了资源(硬件、软件、信息等)的通讯和共享,从而给审计工作带来了新的特点。

  1.审计的地理范围扩大

  在单机系统中,电算化会计工作一份集中在会计部门的一台计算机上,审计人员只需要对这台计算机的控制问题以及其中的程序、数据进行审查即可。但在网络系统中,电算化会计工作有可能并不在会计部门,而是在企业的电算化部门,而且,各个终端在地理位置上也是分散的、因此,审计人员必须到更多的地方去了解每一个终端的使用情况。

  2.审计的业务范围扩大

  在单机会计软件中,一般只有单纯的会计核算功能,但在网络系统中,可以实现各个业务功能之间的数据传递和共享,功能更加全面,有的甚至于形成了MIS、MRP、ERP系统。这样,会计系统和其他信息系统就存在着密切的信息传递关系。因此,审计人员必须熟悉更多的企业业务,才能理清会计数据的来龙去脉。

  3.审计的频度增大

  在网络系统中,由于各个部门可以随时将本部门的数据格人并进行处理,因此,数据的更新速度快。如果审计人员不能跟上系统更新的频率,不能及时调查和获取一些中间结果,就很难作出审计判断。从而使审计工作也具有了“实时”的特点。

  4.审计的技术手段更离

  网络系统较单机环境面临更多的安全问题,因而,与单机环境相比较所采取的内部控制更为复杂。因此,审计人员要想了解更多的控制和有关的控制制度,就必须掌握更多更先进的知识和审计技术手段。

  5.审计的风险增大

  在单机环境下,可以为计算机创造一个相对独立、良好的环境,防止无关人员的物理接触和非授权使用。但在网络系统中,由于各终端的分散,对各终端的控制变得很困难。因为可能会有未经授权人员利用终端访问系统。另外,网络中的传输线路、接口等都可以成为安全隐患。此外。由于在网络系统中可以由各个终端输入数据。使得输入出错率增大。如果在网络系统中处理的实时性差,又会使有些错误很快蔓延,从而使网络中的错误更难查找和纠正。

  二、网络会计审计的内容及其应遵循的控制原则

  1.审查计算机网络会计系统的硬件。计算机网络会计系统硬件的主要控制问题是硬件的责任性与相容性。硬件的责任性是指硬件应具有明确的控制特性,能让经授权的使用单位或人员在其授权范围内有效地使用硬件,并能预防、制止及记录非法的接触和破坏,使硬件的管理和使用的责任能明确划分。硬件的相容性是指系统内所有节点的计算机及外围设备,均可不经转换,即可接受或处理另一节点计算机所产生会计数据的能力。

  计算机网络会计系统的硬件是否具有合理的责任区分能力,是确定系统可靠性与完整性的主要依据。审计时应对硬件的责任性与相容性进行测试。应选择适当的测试方式,并选择该方式使用的审计工具与技术,确定其是否遵循以下控制原则。

  (1)制定适当的硬件责任性与相容性功能的验收标准,使计算机网络会计系统的控制处于一定的水准之上。

  (2)各节点的使用者,应保存完整的硬件使用记录,以便事后检查和明确责任。

  (3)硬件所具有的各种控制特性,应充分加以利用,以防止非法破坏。

  (4)使用或改变系统内所存储的会计数据时,应事先经过允许,并记录使用或变更情况。

  (5)规定设置若干备用硬件,以供紧急使用。

  2.审查计算机网络会计系统的控制事项。控制分散是计算机网络会计系统的最主要问题。由于控制的分散和缺乏控制标准,使得计算机网络会计系统处理结果的正确性与完整性受到影响。审查计算机网络会计系统的控制事项,应就控制的适当性、控制标准的制定以及控制的主动性等方面进行测试。应选择适当的测试方式,并选择该方式使用的审计工具与技术进行审查,以确定其是否遵循以下控制原则。

  (1)明确规定哪些业务应纳入计算机网络会计系统进行处理;对于计算机网络会计系统的建立,应制定详细的计划和进度表;每项业务在转入计算机网络会计系统时,应制定详细的转换计划。

  (2)应制定详细的人员培训计划,使应用计算机网络会计系统的所有人员都能够接受适当的训练。

  (3)在计算机网络会计系统正式投入使用前,应建立适当的验收标准。

  (4)应建立适当的监督程序,以监督错误处理发生的次数和时间等。

  (5)严禁一个工作站逾越另一工作站的处理规则,或代为输入主要指令,以避免计算机网络会计系统处理上的混淆。

  (6)各工作站发出的信息,应坚持是否均含有有效的目的地址。

  3.审查计算机网络会计系统的处理事项。计算机网络会计系统的处理事项,包括系统使用的应用程序、操作系统以及操作人员操作设备。这三部分的结合运用,使计算机网络会计系统的硬件能有效地运转。审查计算机网络会计系统的处理事项,应就系统处理能力的完备性与可制定性、操作人员训练的适当性等进行测试。应选择适当的测试方式,并选择该方式使用的审计工具与技术,确定其是否遵循以下控制原则。

  (1)各工作站处理单位间通信的接收与传输方法、系统停顿后重新开始与恢复的步骤等,均应编成作业手册分送各处理单位。

  (2)基于审核与备用的目的,从其他工作站所收到的信息,均应记入日志中,以供审查。

  (3)计算机网络会计系统的各种处理要求,均应制定详细的处理计划。

  (4)计算机网络会计系统信息处理的优先性应予明确,使最重要的信息与处理能优先传送或完成。

  4.审查计算机网络会计系统的数据。数据定义的一致性是计算机网络会计系统的主要问题。计算机网络会计系统的各个节点之间虽然有一定的独立性,但数据的定义方式应有统一的规定,并应禁止各节点按本身的需要擅自定义。

  审查计算机网络会计系统的数据,应就数据的共同使用、数据库的控制方法以及数据定义等方面进行测试。应选择适当的测试方式,并选择该方式使用的审计工具与技术,确定其是否遵循以下控制原则。

  (l)为使各个工作站明确数据正确性的责任,应设定适当的锁定措施,以防止两个以上应用作业同时存取同一数据的情况发生。

  (2)为提高数据的使用价值,计算机网络会计系统的任一工作站点的会计数据,应能与其他工作站点相互流通。

  (3)由各工作站送出的每一信息,均应附有发送单位及该信息预期接受者的识别码。

  (4)建立数据定义的统一规范,规定所有使用单位均应采用标准的数据定义,并禁止任何使用单位任意重新定义数据。

  (5)计算机网会计系统内的'数据库,在需要时,应能重新归并为以整个机构为范围的数据库。

  (6)当共同数据需要更新时,应规定同时更新其他数据库内所有相同的数据。

  5.审查计算机网络会计系统的安全事项。在网络环境下,随着处理的分散,各终端负责数据处理的人员平均技术水平将下降,对通信线路的依赖程度加重,增加了安全上的隐患。由于硬件、数据、处理以及控制的分散,计算机网络会计系统需具备的安全性,大大超过单机计算机会计系统应具备的安全标准。大量的会计信息穿梭于计算机房与其通信线路之间,因此,必须兼顾通信线路与计算机机房的安全。审查计算机网络会计系统的安全事项,应就传输线路的安全、资源指派的灵活性等方面进行测试。应选择适当的测试方式,并选择该方式使用的审计工具与技术进行审查,以确定其是否遵循以下控制原则。

  (1)各工作站处理应放置于安全场所,只有经过授权批准的人员才能使用该设备。

  (2)各工作站处理机,仅供该工作站经授权的应用作业使用。

  (3)记录使用者的用户口令,以有效识别使用单位,防止未经授权的人员滥用计算机网络会计系统资源。

  (4)在未经授权企图由一工作站处理单位接触另一工作站处理单位的数据时,系统应立即中止企图获取数据的工作站处理机的使用。

  (5)为保护机密性和敏感性数据,计算机网络会计系统应采用如回叫技术、密码技术、特殊接触控制等控制措施。

  (6)在工作站处理单位不运行的时间,计算机网络会计系统应予关闭。

  (7)各工作站的安全处理程序应作成“书面”规定,如有变化,应随时更新,同时定期进行复核,以确定实际作业符合规定的安全目标,如遇有妨碍安全的事项,应自动载入控制报告,以便于追查。

  (8)计算机网络系统的所有指令应完整地载入计算机日志中,以使监督人员复核。

  (9)建立比单机系统更完整的意外事件应变计划,并经常测试。

  三、网络会计审计应注意的几个问题

  对计算机网络会计系统的审计目的与单机会计系统审计的目的相同。但是在执行计算机网络会计系统审计时,应注意以下几方面问题。

  l、审计范围的问题。在单机会计系统中,审计人员关注重点在于内部控制的符合性测试和数据文件的实质性测试;而在计算机网络会计系统中,各工作站所执行的只是整个子系统中的一部分功能,任何一个工作站所提供的信息都是日常经常活动中不可缺少的组成部分。因此,要对计算机网络会计系统作出评价,审计的范围将涉及服务器、工作站、传输介质、计算机网络会计软件等部分。

  2、审计方式的选择。随着计算机网络会计系统的发展,系统中的审计线索将会转瞬即逝,为了对计算机网络会计系统进行审计,审计工作应采用在线实时审计的方式。采用这种方式,既可以及时收集审计证据,也能得出可靠的审计结论,还可以极大地提高对计算机网络会计系统审计的效率。目前应考虑审计机关的计算机系统如何及时监督被审计单位的计算机网络会计系统,这就需要被审单位的计算机网络会计系统具有相应的接口。

  3、审计方法的选择。在对计算机网络会计系统进行审计时,非网络环境下的审计方法随着审计对象的改变而改变。主要表现在对计算机网络会计系统进行审计时,所有测试都必须在不改变数据库或记录的条件下设计的具体测试方法。由于网络系统的持续运行,使审计人员很难让其在某一特定的时间停下来以接受大规模测试,如果测试的数据会改变数据记录,就意味着审计人员可能给系统带来差错。因而就审计方法而言,采用受控处理法和虚拟单位法等进行系统测试的审计方法,在系统运行的同时进行审计,对审计人员审查和评价整个计算机网络会计系统显得尤为重要。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 yyfangchan@163.com (举报时请带上具体的网址) 举报,一经查实,本站将立刻删除