淺談網路審計1
淺談網路審計2
隨著計算機網路的廣泛應用,網路會計及網路會計審計已經成為人們關注的熱門話題。同時,它也正在極大地改變著傳統會計和傳統審計的工作方式。本文就網路會計及網路會計審計從特點、內容、原則及應注意的有關問題幾方面談一下個人看法。
一、網路會計的特點、風險及其審計特點
(-)網路會計的特點
與單機處理方式相比,網路會計的特點如下:
1.會計資料共享。網路上的每一臺工作站、不僅可以使用本站點上的會計資料,還可以使用伺服器中存放的有關會計資料;而伺服器中的會計資料,又可以由一臺或某臺工作站輸入和處理產生。用絡上的各個工作站被授予不同的許可權。對照更換中的會計資料進行該寫操作。會計資料在報務器儲存器中的位置不需改變,也不需複製,各工作站共享一份完整的會計資料。在網路會計系統中,會計資料共享的具體運用,集中體現為反映會計資訊的時序性。例如,只要在管理者的辦公室裝一臺工作站。授予其許可權,管理者就可隨時查詢和掌握企業的各個時點的財務狀況。
2.會計功能共享。網路上的任何一臺工作站,都享有系統的全部功能。即在任何一個工作站上,都能啟動和執行計算機會計系統中某一子系統並正常工作。例如,某部門要進行二級核算,只要在這個部門配備一個網路工作站,由網路管理員授予部門使用者一定的許可權,由財務系統的主管設定分配一個賬套,確定操作員的姓名、口令和建賬許可權,這個操作員就可以處理本部門的全部賬務。在進行必要的許可權設定後,主管部門可隨時對二級核算部門的賬務資料進行查詢。
3.會計資料分散式輸入。會計資料量大,在輸入過程中耗費了大量的時間,會計資料的輸入速度直接影響會計資料處理的程序。在大型企業中,輸入會計資料佔用了極大的時間,而會計資料的處理卻由於計算機的高效能而用時很少。計算機網路會計系統中會計資料輸入速度和處理速度的矛盾已不明顯、可以將不同部門收集的資料由各收集部門分別輸入,並大大減少輸入人員對資料所涉及的業務不熟悉造成的差錯,進而提高了工作效率。
4.會計資料安全性要求高。在網路會計系統中,會計資料的安全性問題顯得尤為突出和重要。網路環境下,系統的安全主要通過網路硬體環境和軟體環境本身具有的一套安全保障機制來實現。例如,使用者註冊必須輸入口令,對多次註冊失敗的非法入侵者,網路可在一段時間內暫停該工作站註冊入網。
(二)網路會計的新風險
計算機網路的發展使計算機在會計中的應用日益廣泛與深入,同時也使計算機網路會計系統的風險防範難度加大。計算機網路會計系統所帶來的新風險主要表現在以下幾個方面:
1.物理風險。物理風險主要包括:(1)計算機網路會計系統硬體選配不合適,致使網路功能發揮受阻;(2)網路工作環境電源等不合要求直接影響網路的可靠性;(3)網路裝置安裝不規範,導致網路執行不穩定;(4)網路設計不規範,缺少風險防範措施;(5)網路作業系統的安裝、維護不善;(6)網路後理制度不健全;(7)對計算機病毒的侵蝕不重視,沒有必要的防範措施等。
2.對會計資訊保密性的破壞。從技術上說,任何傳輸線路都可能被“”、對會計資訊的不但可以資訊的內容,還可以在不瞭解資訊內容的情況下資訊的流量和流向、通訊的頻度和長度,由此推定有用的資訊。對會計資訊的擷取還包括合法使用者採用不正當的手段讀取本人許可權之外的資訊。對會計資訊保密性的破壞屬於被動型的破壞,不改變會計資訊的內容、形式與流向。
3.對會計資訊完整性的破壞。對於計算機網路會計系統米和一會計資訊完整性的破壞是系統的主要風險。一對會計資訊完整性的破壞有人為和非人為的因素。非人為因素表現在通訊傳輸中的干擾、系統硬體或軟體的差錯等。人為因素又包括有意和無意兩種。有意者如非法對計算機網路會計系統的侵入。合法使用者越權對網路內會計資料的處理以及隱藏程式對會計資料的破壞等。對會計資訊完整性的破壞屬於主動型破壞,可以篡改會計資訊的內容、形式與流向。
4.對系統執行的干擾。對計算機網路系統執行的干擾包括合法使用者不能正常訪問網路的資源和有嚴格時間要求的服務不能得到及時的響應。影響計算機網路會計系統正常執行的因素也有人為和非人為兩種。人為因素如非法佔用網路資源、切斷或阻塞網路通訊、通過計算機病毒降低網路的效能、致使網路癱瘓等。非人為因素如災害事故、系統鎖死、系統故障等。
(三)網路會計審計的特點
由於網路會計實現了資源(硬體、軟體、資訊等)的通訊和共享,從而給審計工作帶來了新的特點。
1.審計的地理範圍擴大
在單機系統中,電算化會計工作一份集中在會計部門的一臺計算機上,審計人員只需要對這臺計算機的控制問題以及其中的程式、資料進行審查即可。但在網路系統中,電算化會計工作有可能並不在會計部門,而是在企業的電算化部門,而且,各個終端在地理位置上也是分散的、因此,審計人員必須到更多的地方去了解每一個終端的使用情況。
2.審計的業務範圍擴大
在單機會計軟體中,一般只有單純的會計核算功能,但在網路系統中,可以實現各個業務功能之間的資料傳遞和共享,功能更加全面,有的甚至於形成了MIS、MRP、ERP系統。這樣,會計系統和其他資訊系統就存在著密切的資訊傳遞關係。因此,審計人員必須熟悉更多的企業業務,才能理清會計資料的來龍去脈。
3.審計的頻度增大
在網路系統中,由於各個部門可以隨時將本部門的資料格人並進行處理,因此,資料的更新速度快。如果審計人員不能跟上系統更新的頻率,不能及時調查和獲取一些中間結果,就很難作出審計判斷。從而使審計工作也具有了“實時”的特點。
4.審計的技術手段更離
網路系統較單機環境面臨更多的安全問題,因而,與單機環境相比較所採取的內部控制更為複雜。因此,審計人員要想了解更多的控制和有關的控制制度,就必須掌握更多更先進的知識和審計技術手段。
5.審計的風險增大
在單機環境下,可以為計算機創造一個相對獨立、良好的環境,防止無關人員的物理接觸和非授權使用。但在網路系統中,由於各終端的分散,對各終端的控制變得很困難。因為可能會有未經授權人員利用終端訪問系統。另外,網路中的傳輸線路、介面等都可以成為安全隱患。此外。由於在網路系統中可以由各個終端輸入資料。使得輸入出錯率增大。如果在網路系統中處理的實時性差,又會使有些錯誤很快蔓延,從而使網路中的錯誤更難查詢和糾正。
二、網路會計審計的內容及其應遵循的控制原則
1.審查計算機網路會計系統的硬體。計算機網路會計系統硬體的主要控制問題是硬體的責任性與相容性。硬體的責任性是指硬體應具有明確的控制特性,能讓經授權的使用單位或人員在其授權範圍內有效地使用硬體,並能預防、制止及記錄非法的接觸和破壞,使硬體的管理和使用的責任能明確劃分。硬體的相容性是指系統內所有節點的計算機及外圍裝置,均可不經轉換,即可接受或處理另一節點計算機所產生會計資料的能力。
計算機網路會計系統的硬體是否具有合理的責任區分能力,是確定系統可靠性與完整性的主要依據。審計時應對硬體的責任性與相容性進行測試。應選擇適當的測試方式,並選擇該方式使用的審計工具與技術,確定其是否遵循以下控制原則。
(1)制定適當的硬體責任性與相容性功能的驗收標準,使計算機網路會計系統的控制處於一定的水準之上。
(2)各節點的使用者,應儲存完整的硬體使用記錄,以便事後檢查和明確責任。
(3)硬體所具有的各種控制特性,應充分加以利用,以防止非法破壞。
(4)使用或改變系統內所儲存的會計資料時,應事先經過允許,並記錄使用或變更情況。
(5)規定設定若干備用硬體,以供緊急使用。
2.審查計算機網路會計系統的控制事項。控制分散是計算機網路會計系統的最主要問題。由於控制的分散和缺乏控制標準,使得計算機網路會計系統處理結果的正確性與完整性受到影響。審查計算機網路會計系統的控制事項,應就控制的適當性、控制標準的制定以及控制的主動性等方面進行測試。應選擇適當的測試方式,並選擇該方式使用的審計工具與技術進行審查,以確定其是否遵循以下控制原則。
(1)明確規定哪些業務應納入計算機網路會計系統進行處理;對於計算機網路會計系統的建立,應制定詳細的計劃和進度表;每項業務在轉入計算機網路會計系統時,應制定詳細的轉換計劃。
(2)應制定詳細的人員培訓計劃,使應用計算機網路會計系統的所有人員都能夠接受適當的訓練。
(3)在計算機網路會計系統正式投入使用前,應建立適當的驗收標準。
(4)應建立適當的監督程式,以監督錯誤處理髮生的次數和時間等。
(5)嚴禁一個工作站逾越另一工作站的處理規則,或代為輸入主要指令,以避免計算機網路會計系統處理上的混淆。
(6)各工作站發出的資訊,應堅持是否均含有有效的目的地址。
3.審查計算機網路會計系統的處理事項。計算機網路會計系統的處理事項,包括系統使用的應用程式、作業系統以及操作人員操作裝置。這三部分的結合運用,使計算機網路會計系統的硬體能有效地運轉。審查計算機網路會計系統的處理事項,應就係統處理能力的完備性與可制定性、操作人員訓練的適當性等進行測試。應選擇適當的測試方式,並選擇該方式使用的審計工具與技術,確定其是否遵循以下控制原則。
(1)各工作站處理單位間通訊的接收與傳輸方法、系統停頓後重新開始與恢復的步驟等,均應編成作業手冊分送各處理單位。
(2)基於稽核與備用的目的,從其他工作站所收到的資訊,均應記入日誌中,以供審查。
(3)計算機網路會計系統的各種處理要求,均應制定詳細的處理計劃。
(4)計算機網路會計系統資訊處理的優先性應予明確,使最重要的資訊與處理能優先傳送或完成。
4.審查計算機網路會計系統的資料。資料定義的一致性是計算機網路會計系統的主要問題。計算機網路會計系統的各個節點之間雖然有一定的獨立性,但資料的定義方式應有統一的規定,並應禁止各節點按本身的需要擅自定義。
審查計算機網路會計系統的資料,應就資料的共同使用、資料庫的控制方法以及資料定義等方面進行測試。應選擇適當的測試方式,並選擇該方式使用的審計工具與技術,確定其是否遵循以下控制原則。
(l)為使各個工作站明確資料正確性的責任,應設定適當的鎖定措施,以防止兩個以上應用作業同時存取同一資料的情況發生。
(2)為提高資料的使用價值,計算機網路會計系統的任一工作站點的會計資料,應能與其他工作站點相互流通。
(3)由各工作站送出的每一資訊,均應附有傳送單位及該資訊預期接受者的識別碼。
(4)建立資料定義的統一規範,規定所有使用單位均應採用標準的資料定義,並禁止任何使用單位任意重新定義資料。
(5)計算機網會計系統內的'資料庫,在需要時,應能重新歸併為以整個機構為範圍的資料庫。
(6)當共同資料需要更新時,應規定同時更新其他資料庫內所有相同的資料。
5.審查計算機網路會計系統的安全事項。在網路環境下,隨著處理的分散,各終端負責資料處理的人員平均技術水平將下降,對通訊線路的依賴程度加重,增加了安全上的隱患。由於硬體、資料、處理以及控制的分散,計算機網路會計系統需具備的安全性,大大超過單機計算機會計系統應具備的安全標準。大量的會計資訊穿梭於計算機房與其通訊線路之間,因此,必須兼顧通訊線路與計算機機房的安全。審查計算機網路會計系統的安全事項,應就傳輸線路的安全、資源指派的靈活性等方面進行測試。應選擇適當的測試方式,並選擇該方式使用的審計工具與技術進行審查,以確定其是否遵循以下控制原則。
(1)各工作站處理應放置於安全場所,只有經過授權批准的人員才能使用該裝置。
(2)各工作站處理機,僅供該工作站經授權的應用作業使用。
(3)記錄使用者的使用者口令,以有效識別使用單位,防止未經授權的人員濫用計算機網路會計系統資源。
(4)在未經授權企圖由一工作站處理單位接觸另一工作站處理單位的資料時,系統應立即中止企圖獲取資料的工作站處理機的使用。
(5)為保護機密性和敏感性資料,計算機網路會計系統應採用如回叫技術、密碼技術、特殊接觸控制等控制措施。
(6)在工作站處理單位不執行的時間,計算機網路會計系統應予關閉。
(7)各工作站的安全處理程式應作成“書面”規定,如有變化,應隨時更新,同時定期進行復核,以確定實際作業符合規定的安全目標,如遇有妨礙安全的事項,應自動載入控制報告,以便於追查。
(8)計算機網路系統的所有指令應完整地載入計算機日誌中,以使監督人員複核。
(9)建立比單機系統更完整的意外事件應變計劃,並經常測試。
三、網路會計審計應注意的幾個問題
對計算機網路會計系統的審計目的與單機會計系統審計的目的相同。但是在執行計算機網路會計系統審計時,應注意以下幾方面問題。
l、審計範圍的問題。在單機會計系統中,審計人員關注重點在於內部控制的符合性測試和資料檔案的實質性測試;而在計算機網路會計系統中,各工作站所執行的只是整個子系統中的一部分功能,任何一個工作站所提供的資訊都是日常經常活動中不可缺少的組成部分。因此,要對計算機網路會計系統作出評價,審計的範圍將涉及伺服器、工作站、傳輸介質、計算機網路會計軟體等部分。
2、審計方式的選擇。隨著計算機網路會計系統的發展,系統中的審計線索將會轉瞬即逝,為了對計算機網路會計系統進行審計,審計工作應採用線上實時審計的方式。採用這種方式,既可以及時收集審計證據,也能得出可靠的審計結論,還可以極大地提高對計算機網路會計系統審計的效率。目前應考慮審計機關的計算機系統如何及時監督被審計單位的計算機網路會計系統,這就需要被審單位的計算機網路會計系統具有相應的介面。
3、審計方法的選擇。在對計算機網路會計系統進行審計時,非網路環境下的審計方法隨著審計物件的改變而改變。主要表現在對計算機網路會計系統進行審計時,所有測試都必須在不改變資料庫或記錄的條件下設計的具體測試方法。由於網路系統的持續執行,使審計人員很難讓其在某一特定的時間停下來以接受大規模測試,如果測試的資料會改變資料記錄,就意味著審計人員可能給系統帶來差錯。因而就審計方法而言,採用受控處理法和虛擬單位法等進行系統測試的審計方法,在系統執行的同時進行審計,對審計人員審查和評價整個計算機網路會計系統顯得尤為重要。