1、我国网络审计浅议提要 随着电子商务的发展,传统审计遇到空前严峻的挑战,随之而来的是网络审计,而网络审计是对传统审计时空观的一次突破,是信息化时代的内在需求。本文对我国现阶段网络审计的含义、现状、产生的原因及其发展进行概述,分析网络审计存在的问题,并提出完善建议。 关键词:网络审计;发展;问题;建议 中图分类号:F239 文献标识码:A 收录日期:2015 年 12 月 24 日 一、知识经济对审计的挑战 (一)知识经济对审计线索的影响。审计线索对审计来说是极为重要的。审计工作中,审计人员正是通过跟踪审计线索,审核有关经济业务和收集审计证据的。而审计的过程,实质上就是不断收集、鉴定和综合运用审计
2、证据的过程。在传统商务活动过程中,每笔交易都有一个完整的审计线索,交易的每一环节都有文字记录,都有经手人签字,审计线索十分清楚。审计人员可以从原始单据开始,对交易事项进行追踪,一直到报表为止;也可以从报表开始,追根寻源,一直追溯到原始单据,从而形成了顺查、逆查等审计方法。 (二)知识经济对审计内容和范围的影响。审计范围有了很大变化。在原有审计中,审计范围要根据不同的审计对象和审计目标来确定,审计范围比较狭窄、封闭。而在电子商务活动中企业会计信息系统已经成为一个宽阔开放的系统,会计信息处理处于一个开放的空间范围,涉及到交易关联方的各个方面;同时,由于其资源的共享性,能访问会计信息以及接触会计信息
3、的人可能涉及到整个网络用户,当然对涉及企业商业秘密的信息仍有所限制。网络用户尤其是使用上市公司信息的用户,出于不同的动机,可能采取恶意操作行为,增加了网上行为的控制难度。因此,承担不真实以及非法数据的责任人就不能局限于被审单位,交易双方以及相关的社会公众都将被列入审计范围。总之,电子商务活动中的任何一项审计业务,都是建立在互联网平台上的,审计活动面向网络。可见,网络审计的范围已被大大拓宽。 (三)知识经济对审计人员素质的影响。实现网络审计以后,由于审计线索、内部控制、审计内容、审计方法与技术等的改变,决定了对审计人员要求的提高。不懂计算机的审计人员,会因为审计线索的改变而无法跟踪审计,会因为不
4、懂得网络审计的特点和风险而不能审查和评价其内部控制,会因为不会使用计算机和网络系统而无法对电子商务活动进行审计。实现电子商务以后,审计工作的顺利开展,必须基于一定的计算机技能、网络知识和完备的审计理论等多方面的综合运用,这对审计人员的业务素质提出了更高的要求。在这种情况下,审计人员不仅要有丰富的审计知识,而且要掌握一定的计算机、网络、通讯、电子商务知识与技能。只有全面提高审计人员的业务素质和工作能力,才能满足网络审计工作的需要。 (四)知识经济对审计方法和技术的影响。在网络环境下,审计的对象发生了变化,大量的证据都存储在肉眼不可见的磁性介质上,对这些证据,审计人员只能利用计算机技术进行审查,即
5、把计算机当作基本的审计工具使用,迅速、有效地完成审阅、核对、分析、比较等各项审计工作,从而提高审计的效率与质量。在对网络活动进行审计时,单机系统环境下的审计方法有的已不适用。这主要表现在对网络活动进行审计时,所有测试都必须在不改变数据库或记录的要件下设计具体的测试方法。由于网络系统的持续运行,使得审计人员很难让其在某一特定时间停下来接受大规模的测试,如果测试会改变数据记录,就意味着审计人员给系统带来差错。 二、网络审计存在的问题 (一)网络审计理论研究不足。目前,市场上关于网络审计的书籍和杂志并不是很多,况且偶尔找到几本也并不是那么新颖全面。虽然网络审计实务工作有些企事业单位会涉及到,但是大家
6、对网络审计的理论知识的研究并不是很深入,也就是说实务与理论并不是同步进行的,我国现行的网络审计只是重实务而轻理论。网络审计理论研究受现行的国家制度与政策的束缚,主要强调的是监督的重要性,忽略了其他的服务职能。而且国内审计专家对网络审计的不熟悉性,他们自身还处在探索阶段,传统审计也才实行 20 多年,所以对有关网络审计的著作还很欠缺。(二)网络审计的相关法律法规不完善。虽然传统审计已经实行 20多年了,在历史的探索阶段也研究出了一些传统审计的法律法规,但是网络审计作为一个新兴的事物,毕竟与传统审计有着明显的区别,最主要的就是以网络为依托,对被审计单位实行监督。在全球经济一体化、网络高速发展的今天
7、,网络以他独有的虚拟性、广泛性、实时性改变了原来审计的主体、目标、对象、范围、线索、方法等。这些变化虽带来了方便快捷,但也使网络审计迎来了一些新的问题,带来了一些新的纷争。所以原来传统审计的相关法律法规已经不再适合如今网络环境下计算机迅速发展的网络审计。为了使审计人员客观公正独立的对被审计单位开展审计工作,我们需要建立新的法律法规来制约弥补网络审计存在的不足,从而使得网络审计更安全更有效地为人们服务,发挥审计的重要作用。 (三)网络审计面临新的审计风险 1、计算机自身的风险。计算机只是一个机器,是人们上网的一种工具,它随时可能出现问题。在硬件方面:计算机缺乏保养可能使计算机及其附属设备的元器件
8、损坏使系统无法正常工作,计算机如在使用过程中出现电路故障,也会使原始数据丢失,系统硬件设置被有意或无意篡改或系统设置文件被删除会造成系统无法启动或工作失常。 2、网络安全风险。在开放的网络上进行企业财务的处理,保证传输数据的安全成为电子商务能否普及的最重要因素之一,安全已成为电子商务发展中最大的障碍。其中诚实守信是最为重要的因素,计算机的安全主要为保密、完整。目前,公司都会把重要的文件数据加密存入软盘或磁盘方便在计算机上使用,也会把公司的财务报表等会计数据在网上公布,但是对于公司内部很多数据都是保密的,保密的隐患就是内部人员对加密文件密码的泄露或是外部人员非法盗取密码。有些不法分子出于某种动机
9、进入目标网络系统,窃取重要的财务数据和商业秘密,破坏计算机系统,使计算机处于瘫痪状态,最终使利益相关者遭受重大损失。3、传统审计线索消失的风险。在传统审计中有一个优点就是审计线索齐全,审计人员只要在一点切入,顺藤摸瓜所有的线索都可以找到,这是因为传统审计是用纸来记录往来经济的全部过程,把所有的原始凭证、记账凭证、会计报表都完好无损的保留下来,并且在每个环节中都有相关负责人的签名盖章,那样每个环节都有人负责,如果哪个环节出错,只要根据保留的单据查看负责人就可以,而不像网络审计,虽具有强大的数据处理能力。 (四)审计工作范围的责权不明确。在会计电算化下,由于计算机无法签名盖章,我们就无法了解确认每
10、个环节到底由谁负责,在网络审计时,计算机信息系统不但需要相关的会计专业人才,还需要计算机操作维护人员来共同完成。但为了方便管理,大都只要会进行计算机操作的人员就可以身兼会计人员、计算机维护人员,计算机信息系统没有使用权限,没有识别功能,而且财务人员没有对计算机设置密码,或公司密码统一化,这样使审计失去了独立性,审计工作范围的责权不明确。 (五)审计人员计算机知识的缺乏。传统审计最主要的依托就是纸张,以纸编制账簿,以纸制作报表,并且每张有效的纸上都要有相关人员的签名盖章,并保存下来。传统审计人员需要的是丰富的财会知识与工作经验,而网络审计主要就是依托强大的网络来完成的,会计凭证、会计报表、会计账
11、簿都是在网上的财务数据而已,会计核算也都是计算机自动生成。所以,审计人员必须掌握计算机的基本知识,掌握审计软件的专项运用。 三、完善网络审计的建议 (一)建立网络审计理论体系。任何实践都是以理论为基础的,每当我们做一件事情的时候,首先就要了解其相关的内容概述,然后才能开始着手做。所以要想当审计人员必须首先要有关于审计的专业知识,通过国家审计机关正式考核,才能成为正式的审计人员。目前,由于网络审计主要运用于实务操作,大家忽视了这方面的理论知识,在这方面的专家人员也不多,为了完善网络审计,国家应该重视对网络审计专业才人的培养,让他们不但在实务方面有所作为,还要大量研究网络审计的理论体系,让理论指导
12、实践,实践反作用于理论,理论与实践应该同步进行。 (二)完善网络审计准则与法律体系 1、对被审计单位制定相关准则体系。要对网络经济立法,被审计单位在进行网络经济商务活动时,应遵循一定的法律法规,买卖双方都应遵循诚实守信原则。卖家不应夸大自己的商品,不应虚抬价格,不出售劣质商品,买家也应该讲信用,在收到货物后履行付款承诺。钱货两清,互不相欠,否则双方都会有损失,有可能就要经过法律途径来解决双方的问题,在这些经营活动中就应该制定一些法律法规来制约那些不诚实守信的人,使买卖双方完成公开、公平、公正的交易。除此之外,买家与卖家的账簿也应该如实记录,虽然网络是无纸化的,但是应该把买进卖出的流程记录清楚,
13、不应擅自修改凭证的数据,妨碍以后审计人员的审计工作。 2、对审计人员制定相关准则体系。要对审计人员立法,严格控制审计人员的言行,审计人员在进行网络审计时,应遵循一定的法律法规,要客观公正、一视同仁地对待每一个被审计单位,不应徇私枉法、贪污舞弊,对外公布审计报告时要诚实,要对社会公众负责。同时,审计人员未经被审计单位许可,不可将被审计单位的商业秘密泄露给其他同行业的人,除在接受询查时不一定要经过被审计单位的许可。 3、对一些计算机不法分子制定相关准则体系。由于社会上的一些不法分子出于种种动机,对一些计算机恶意搞破坏、黑客入侵、盗取商业与金融机密、传染病毒等一些违法行为,使得计算机无法正常运行,甚
14、至全部瘫痪无法工作;使得单位的重要机密与数据都丢失了,导致一些无法挽回的错误;使得公司面临巨大损失,审计人员也无法正常审计,得不出最正确的审计报告。所以,要对这些人制定法律规范来约束制裁他们,让他们感到法律的威慑性。我们生活在一个法制的国家,所有人在法律面前都是平等的,相信他们在法律的制裁下,舆论的制约下,能及时制止自己的行为。 (三)加强网络审计风险控制 1、对于计算机自身的风险控制。计算机维护人员应常常对计算机进行全面检查,及时找出危害计算机的系统漏洞,并及时修复,防止对使用计算机的用户造成困扰,防止重要数据内容丢失。用户也要正确使用计算机,不要强制执行计算机命令,使计算机处于死机或瘫痪状
15、态。在使用计算机时要检查电路是否处于良好状态。要定期对计算机的数据进行备份,既要包括对企业日常经济活动的会计数据进行备份,还要对核算前的数据进行备份。防止计算机出现故障后,导致数据的丢失。 2、对网络安全的风险控制。在实施网络审计中,网络的开放性、公开性、动态性、共享性使得企业资产和经营的安全已无法单纯依靠企业健全的内部控制来维护。审计面临网络安全的风险,为防范该风险,计算机可以安装一些类似防火墙的高端软件,他们具有认证鉴别技术、数据加密技术、数字签名技术、入侵检测技术等,来减少计算机中毒、黑客入侵带来的损失。对于公开在网上的财务数据要多加一道不得更改的屏障。审计人员要加大对网络系统安全控制的
16、评价,检查是否严格执行计算机系统与环境安全法律法规、监测网络硬件设备与软件是否安全可靠、传输数据是否加密、是否建立实时监控程序,等等。 3、对传统审计线索消失的风险控制。由于网络审计的无纸化,使得网络审计面临线索消失的风险。审计人员应采取实地取证、网络函证、抽样统计等方法对被审计单位网络经济活动的真实性、可靠性、安全性进行签证。安装实时跟踪软件,最新掌握到被审计单位的动态信息,及时了解被审计单位的财务状况。被审计单位在网上进行的各项经济活动所存在的财务数据文件都应该留下审计线索,不得删除或者更改,以保证原始凭证的完整性与真实性,还应将数据以可以进行审计的形式进行复制存储保留。 (四)保证责任人权责明确。在公司,由于电脑可能在某些员工之间都是开放的,一台电脑可能被办公室的多个人使用,虽然是为了方便,但这样做一旦出现问题,会使责任人权责不明确,相互推卸责任,大家也无法辨别是非。所以,财务人员每个人最好独立使用一台专属电脑,然后为了保险起见都要设立一个自己的账户,并设置密码防范别人篡改数据,或盗取公司重要的商业机密,严格使用会计软件中的操作员身份检查和使用权限分配功能,做到计算机专机专用,不要使用同一口令或姓名代码。严格建立权责分工体系,对不相容的职责进行分离,会计人员、维护人员、日常操作人员不得相互兼职。