网络经济下的审计风险模型重构
[关键词]网络审计;风险模型;网络风险;传统风险
审计,作为一门社会科学,是社会经济环境的产物,是与特定了历史条件相联系的。审计环境有外部环境和内部环境之分,审计环境发生变化,审计本身必然要做相应的调整。随着我们进入21世纪,审计的内外环境发生了明显的变化,这些变化要求审计本身做出相应的调整。因此审计风险模型的重构成为当务之急。
(一)审计外部环境的变化
1、企业经营环境的变化
随着电子和网络技术的发展,传统的店铺式的经营模式将越来越多的被信息化的网络贸易所取代,电子商务成为商业企业主要的经营模式。全球的网上销售额2000年就已达到了3000亿美元(世贸组织测定),2004年更超过7兆亿美元。电子商务这种崭新的商务模式,在我国也得到了迅猛发展:由1996年的几万网民,激增至2004年的超过1亿网民,B2C、B2B、C2C、B2G等商务模式日益走红,门户站点风靡全球。截至2001年12月,我国电子商务网站达300余家,到2004年电子商务网站经过重组形成了如ebay等数家商业航母;到2004年我国的电子商务交易总额突破了4400亿人民币,2005年将激增到6200亿人民币。电子商务这种与传统商业截然不同的商务操作和管理模式,使企业的经营模式发生根本性的变革:客户可以从网上了解商品,询问价格签订合同,发送订单,企业可以通过网络确认交易,出口报关,发送商品(仅限于信息产品),传递发货单,划账结汇等。这已经远远超出了传统审计所能涉及的领域。企业经营环境是审计风险考虑的一个重要因素,是企业审计风险评价体系的开始。电子商务下的网络贸易要求我们对于审计风险进行再认识。
2、实时报告的要求
随着现代审计的发展,审计对象对于审计报告的实效性加强,实时性审计越来越被人们所重视。但传统的事后性的审计监督所带来的缺陷就是不能及时发现问题,防患于未然,而克服这一缺陷的重要措施就是开展事前和事中审计。现在借助于网络,使审计人员能够远程访问被审计单位存放财务信息的计算机,就可以对被审计单位的经济活动,进行实时的监督,从而可以及时发现问题并及时解决。此外,通过实时监督,随时掌握审计对象的经济活动比如财务收支和资产负债等情况,还能够准确、及时地为决策部门提供决策信息。从而最大限度地发挥审计监督的作用。
3、会计系统的变化
随着信息技术的发展,信息化的财务会计系统普遍在各大企业中应用,传统的会计模式逐渐退出历史的舞台,会计电算化广泛推广开来。经济业务产生的原始凭证以电磁波信息的形式在网上传递并存储于磁性介质中,会计的确认、计量、记录和报告都集中由计算机按程序指令执行。因此审计人员面对的是企业的电算化会计信息系统和网络账务系统,企业的账务系统以程序语言的形式存放于计算机中,难以对会计处理内控制度形成全面的感性认识。网络审计面对的企业内部环境是一整套电算化会计信息系统的合理有效性、安全程度直接影响到审计工作的质量和效率。同时由于市场准入条件的放宽和有关商务法律的不健全,外部环境的不稳定因素剧增,来自企业外部经营风险凸现,原有的内控制度效果减弱,尽而增加了审计的风险。
(二)审计内部环境的变化
1、审计证据和审计线索的变化
在传统会计中,一般由经济业务产生纸质原始凭证,然后会计人员根据原始凭证编制记账凭证,根据记账凭证登记明细账和总账,期末再根据各账簿编制会计报表。每一步都有文字记录,审计线索十分清晰,审计证据主要由书面证据组成。而在交易及核算都实现网络化的环境下,企业与外部的交易和企业内部业务处理的凭据都以电子信息的形式保存,并在网上传递,编制记账凭证、登记账簿、编制会计报表都由计算机按指定程序执行,实现会计核算自动化。因此,传统意义上的审计证据和审计线索都将消失。
2、审计的工作方式的变化
(1)网络改变了审计信息收集方式。
收集审计信息主要是收集审计证据,我国的《独立审计基木准则》规定,注册会计师在审计过程中可以采用检查、监督、观察、查询及函证、计算和分析性复核等审计程序获取审计证据。而在网络环境下,几乎所有资产都由计算机实时动态管理,企业所有的会计资料和相关资料都存放于互联网上,审计人员就可采用网络交谈和发电子邮件等方式进行查询和函证,也可进行检查、观察、计算和分析性复核。这样与传统审计相比,网络审计将提高审计证据的及时性和客观性,降低收集审计证据的成本。
(2)网络改变了审计信息加工、传输和存储模式。
传统的审计工作主要通过检查凭证、账簿和报表,核对账证、账账、账表和账簿与外来资料是否相符来加工审计信息,而在网络环境下,随着纸质载体的消失和网络信息系统自身强大的核对、检查和内部控制功能,传统意义上的审计工作被大大简化,只有在某种特定条件下还须由人来监盘实物库存、实地观察实物变动及其记录。而且由于网络高度的信息共享性、实时性和动态性,审计信息输出如WEB信息发布让市公司的报表信息的充分披露与审计有关法规的发布、审计信息存储和检查等都将充分利用互联网和企业内部网进行,实现了审计工作办公自动化。
3、审计机构的组织方式的变化
网络审计提供了一个信息资源共享的便捷渠道,使得审计能够从传统的孤立的单兵式向系统性的协同式过渡。在传统的审计过程中,各个审计组之间的信息交流和沟通是比较困难的,一个审计组掌握的全部信息很难使其他的审计组或汇总部门也都掌握。虽然将这些信息以审计报告等形式上报,由汇总部门进行汇总之后,也能提供被审计对象的比较全面的信息,但是由于审计报告中的信息都是经过个人判断后选择的结果,是不全面的,汇总部门也很难把握审计对象的全貌。因此,对审计对象的总体评价就可能偏离要害,审计效率不高,审计风险却会加大。现代信息网络技术的发展和广泛应用,使得进行系统性的审计成为可能。
4、审计技术的变化
在网络环境下,传统的审计技术已不能适应时代的需要。在网络审计下更多使用电子技术,从审计证据的收集到证据的处理全部在微机上进行无纸化的办公。审计过程中更多的运用先进的财务工作软件,审计过程中的认为因素大大减少,提高了审计意见的客观性和独立性。
二、网络风险的定义及分类
审计环境的变化同时带来了审计风险的变化。在网络审计过程中,网络风险是一个不可忽视的风险因素。
(一)网络风险的含义
所谓的网络风险是指在网络审计过程中,审计人员及被审计单位由于采用信息化审计技术或财务会计技术,而致使审计人员对公司的财务报表发表了不恰当的审计意见。
从我们给出的定义可以看出以下几点:
1、网络风险涉及的对象是双向的。他一方面涉及到被审计单位的状况,另一方面又涉及审计部门自身的状况,这样使的网络风险的决定因素非常的复杂。
2、网络风险是直接由计算机网络带来的。无论是被审计单位的先进的财务信息系统还是审计部门的审计分析系统,都是以电子信息技术为基础的,都要借助于计算机和互联网。进而网络风险因素更多的是由于信息技术问题带来的风险。
3、网络风险可以致使审计人员发表错误的审计意见。网络风险直接威胁审计人员获得的被审计单位的财务信息的真实性,失去了真实性,那么审计人员也就不可能对被审计单位的财务状况做出正确的评价,进而形成公正、客观的审计报告。
(二)审计风险的分类
审计风险一般分为可控风险和非可控风险。可控风险指审计人员在审计过程中可以控制的风险因素;非可控风险指审计人员在审计过程中不可以控制的风险因素。可控风险主要是针对审计单位的审计工作而言的,即可以通过自身的工作尽可能降低的风险。这种风险不是本处论述的重点。
1、不可控风险
这种风险主要是由被审计单位自身的财务信息系统或审计单位自身审计信息系统的这样或那样的缺陷造成的,是审计人员无能为力的因素。
(1)系统风险
这一风险是审计单位和被审计单位都无法控制的风险。
计算机系统本身具有脆弱性,这是任何一个被审计单位都不可避免的。当计算机硬件或计算机软件、网络本身出现故障时容易导致网络系统审计数据丢失,甚至发生瘫痪现象。在互联网条件下,网络审计系统具有其分布式、开放性、远程性实时处理的特点。这个特点既有其优越性,可以实现资源共享,使很多人受惠,但也有其缺陷性,系统的可控性、一致性、安全性较差,一旦出现故障,影响很大,且不易恢复。这样,既不利于保守国家机密,又损害企事业单位,审计机关和审计团体的利益。
(2)黑客入侵,病毒危害风险
在网络化系统中,计算机病毒不再靠磁盘或光盘传播,开始通过电子邮件传播计算机病毒。黑客的入侵也相当猖獗,主要来自社会上一些不法分子对企业、事业单位和政府机关互联网的入侵。这种风险范围广,危害性大。它包括截收、仿冒、窃听和黑客入侵。花样繁多的病毒入侵,让人防不胜防,随着网络化的迅速普及和广泛应用,计算机病毒的传播呈现渠道多样化、速度快捷的特点,危害也在不断加剧,这对网络化审计系统资源构成很大威胁。
(3)系统关联方道德风险
主要指关联方非法侵入企业网络财务软件系统,以剽窃财务数据和知识产权、破坏系统、干扰企业正常交易等产生的风险。企业关联方主要包括客户、供应商、软件开发商,也包括银行、税务、审计、保险财政等部门。企业与关联方之间的通过外联网进行业务和数据交换,这种特殊的交换关系使关联方之间道德风险的发生成为可能,尤其是软件开发商,他们非法入侵企业财务系统不易被发现,其危害是不容忽视的。
(4)内部人员的操作风险
操作风险主要包括操作程序不规范和操作人员防范意识不强造成的。如审计人员或会计人员缺乏安全意识和网络安全防范措施,对于网上下载的电子邮件或会计信息资源不做安全性技术检查、测试,或仅用个人生日或单位电话号码作密码,这些密码好记也好破译,安全性较差。另外,企业会计人员对会计数据的非法访问、篡改、泄密和破坏等方面的风险。有资料统计,大部分非法闯入者来自内部雇员,这些通晓网络知识的内部控制人员通过嵌入的非法舞弊程序,大量侵吞国家财富或企业资产。
三、审计过程中对网络风险的估计、量化
通过以上的比较分析,我们不难发现在新的审计环境下,审计的风险模型确实有重构的必要性。下面是我对网络风险的各构成要素的进一步阐述,它包括因素构成、因素的项目风险评价和综合风险评价。网络风险具体有6个影响因素构成,用公式表示为:网络风险的计量=被审计单位的计算机财务会计信息系统的系统漏洞 会计信息系统的开放性 最新的病毒报告状况 防火墙的性能 以往会计信息系统的运行状况 审计单位自身的信息处理系统的安全性评价。
(一)被审计单位的计算机财务会计系统的系统漏洞估计
医生治病也需要先寻病根,确定网络系统的风险大小,自然首先应该知道这个系统的弱点和漏洞,其弱点和漏洞的严重程度是决定整个系统风险大小的一个重要方面。而一个网络系统中的漏洞大致可以包括三种不同类型:
1、实现漏洞:所有的系统实现都不可能没有漏洞,尽管设计可以是无懈可击的。软件“Bug”是最典型的漏洞,例如:著名的sen山mail程序的漏洞被许多人用来获得系统的非授权访问。实现漏洞在操作系统、数据库系统中是不可避免的,并且这些漏洞还无法预测,往往只能依靠大量的使用来发现,依靠供货商的升级和“补丁”,依靠安全专家的警告。
- 上一篇:注册会计师非审计服务合理性刍议
- 下一篇:浅议审计假设
