審計風險模型管理
前言:本站為你精心整理了審計風險模型管理范文,希望能為你的創作提供參考價值,我們的客服老師可以幫助你提供個性化的參考范文,歡迎咨詢。
[摘要]隨著現代審計的發展,風險越來越成為審計工作考慮的一個中心問題。無論是傳統的審計風險模型還是國際注冊審計師協會的最新的審計風險模型都是在傳統的審計環境下,對于審計風險模式的界定和計量。在網絡經濟條件下,原來的風險模型面臨重構我國的注冊會計師應采取有效措施,積極應對新的風險。
[關鍵詞]網絡審計;風險模型;網絡風險;傳統風險
一、網絡經濟環境之下審計風險模型重構的必要性
審計,作為一門社會科學,是社會經濟環境的產物,是與特定了歷史條件相聯系的。審計環境有外部環境和內部環境之分,審計環境發生變化,審計本身必然要做相應的調整。隨著我們進入21世紀,審計的內外環境發生了明顯的變化,這些變化要求審計本身做出相應的調整。因此審計風險模型的重構成為當務之急。
(一)審計外部環境的變化
1、企業經營環境的變化
隨著電子和網絡技術的發展,傳統的店鋪式的經營模式將越來越多的被信息化的網絡貿易所取代,電子商務成為商業企業主要的經營模式。全球的網上銷售額2000年就已達到了3000億美元(世貿組織測定),2004年更超過7兆億美元。電子商務這種嶄新的商務模式,在我國也得到了迅猛發展:由1996年的幾萬網民,激增至2004年的超過1億網民,B2C、B2B、C2C、B2G等商務模式日益走紅,門戶站點風靡全球。截至2001年12月,我國電子商務網站達300余家,到2004年電子商務網站經過重組形成了如ebay等數家商業航母;到2004年我國的電子商務交易總額突破了4400億人民幣,2005年將激增到6200億人民幣。電子商務這種與傳統商業截然不同的商務操作和管理模式,使企業的經營模式發生根本性的變革:客戶可以從網上了解商品,詢問價格簽訂合同,發送訂單,企業可以通過網絡確認交易,出口報關,發送商品(僅限于信息產品),傳遞發貨單,劃賬結匯等。這已經遠遠超出了傳統審計所能涉及的領域。企業經營環境是審計風險考慮的一個重要因素,是企業審計風險評價體系的開始。電子商務下的網絡貿易要求我們對于審計風險進行再認識。
2、實時報告的要求
隨著現代審計的發展,審計對象對于審計報告的實效性加強,實時性審計越來越被人們所重視。但傳統的事后性的審計監督所帶來的缺陷就是不能及時發現問題,防患于未然,而克服這一缺陷的重要措施就是開展事前和事中審計。現在借助于網絡,使審計人員能夠遠程訪問被審計單位存放財務信息的計算機,就可以對被審計單位的經濟活動,進行實時的監督,從而可以及時發現問題并及時解決。此外,通過實時監督,隨時掌握審計對象的經濟活動比如財務收支和資產負債等情況,還能夠準確、及時地為決策部門提供決策信息。從而最大限度地發揮審計監督的作用。
3、會計系統的變化
隨著信息技術的發展,信息化的財務會計系統普遍在各大企業中應用,傳統的會計模式逐漸退出歷史的舞臺,會計電算化廣泛推廣開來。經濟業務產生的原始憑證以電磁波信息的形式在網上傳遞并存儲于磁性介質中,會計的確認、計量、記錄和報告都集中由計算機按程序指令執行。因此審計人員面對的是企業的電算化會計信息系統和網絡賬務系統,企業的賬務系統以程序語言的形式存放于計算機中,難以對會計處理內控制度形成全面的感性認識。網絡審計面對的企業內部環境是一整套電算化會計信息系統的合理有效性、安全程度直接影響到審計工作的質量和效率。同時由于市場準入條件的放寬和有關商務法律的不健全,外部環境的不穩定因素劇增,來自企業外部經營風險凸現,原有的內控制度效果減弱,盡而增加了審計的風險。
(二)審計內部環境的變化
1、審計證據和審計線索的變化
在傳統會計中,一般由經濟業務產生紙質原始憑證,然后會計人員根據原始憑證編制記賬憑證,根據記賬憑證登記明細賬和總賬,期末再根據各賬簿編制會計報表。每一步都有文字記錄,審計線索十分清晰,審計證據主要由書面證據組成。而在交易及核算都實現網絡化的環境下,企業與外部的交易和企業內部業務處理的憑據都以電子信息的形式保存,并在網上傳遞,編制記賬憑證、登記賬簿、編制會計報表都由計算機按指定程序執行,實現會計核算自動化。因此,傳統意義上的審計證據和審計線索都將消失。
2、審計的工作方式的變化
(1)網絡改變了審計信息收集方式。
收集審計信息主要是收集審計證據,我國的《獨立審計基木準則》規定,注冊會計師在審計過程中可以采用檢查、監督、觀察、查詢及函證、計算和分析性復核等審計程序獲取審計證據。而在網絡環境下,幾乎所有資產都由計算機實時動態管理,企業所有的會計資料和相關資料都存放于互聯網上,審計人員就可采用網絡交談和發電子郵件等方式進行查詢和函證,也可進行檢查、觀察、計算和分析性復核。這樣與傳統審計相比,網絡審計將提高審計證據的及時性和客觀性,降低收集審計證據的成本。
(2)網絡改變了審計信息加工、傳輸和存儲模式。
傳統的審計工作主要通過檢查憑證、賬簿和報表,核對賬證、賬賬、賬表和賬簿與外來資料是否相符來加工審計信息,而在網絡環境下,隨著紙質載體的消失和網絡信息系統自身強大的核對、檢查和內部控制功能,傳統意義上的審計工作被大大簡化,只有在某種特定條件下還須由人來監盤實物庫存、實地觀察實物變動及其記錄。而且由于網絡高度的信息共享性、實時性和動態性,審計信息輸出如WEB信息讓市公司的報表信息的充分披露與審計有關法規的、審計信息存儲和檢查等都將充分利用互聯網和企業內部網進行,實現了審計工作辦公自動化。
3、審計機構的組織方式的變化
網絡審計提供了一個信息資源共享的便捷渠道,使得審計能夠從傳統的孤立的單兵式向系統性的協同式過渡。在傳統的審計過程中,各個審計組之間的信息交流和溝通是比較困難的,一個審計組掌握的全部信息很難使其他的審計組或匯總部門也都掌握。雖然將這些信息以審計報告等形式上報,由匯總部門進行匯總之后,也能提供被審計對象的比較全面的信息,但是由于審計報告中的信息都是經過個人判斷后選擇的結果,是不全面的,匯總部門也很難把握審計對象的全貌。因此,對審計對象的總體評價就可能偏離要害,審計效率不高,審計風險卻會加大。現代信息網絡技術的發展和廣泛應用,使得進行系統性的審計成為可能。
4、審計技術的變化
在網絡環境下,傳統的審計技術已不能適應時代的需要。在網絡審計下更多使用電子技術,從審計證據的收集到證據的處理全部在微機上進行無紙化的辦公。審計過程中更多的運用先進的財務工作軟件,審計過程中的認為因素大大減少,提高了審計意見的客觀性和獨立性。
二、網絡風險的定義及分類
審計環境的變化同時帶來了審計風險的變化。在網絡審計過程中,網絡風險是一個不可忽視的風險因素。
(一)網絡風險的含義
所謂的網絡風險是指在網絡審計過程中,審計人員及被審計單位由于采用信息化審計技術或財務會計技術,而致使審計人員對公司的財務報表發表了不恰當的審計意見。
從我們給出的定義可以看出以下幾點:
1、網絡風險涉及的對象是雙向的。他一方面涉及到被審計單位的狀況,另一方面又涉及審計部門自身的狀況,這樣使的網絡風險的決定因素非常的復雜。
2、網絡風險是直接由計算機網絡帶來的。無論是被審計單位的先進的財務信息系統還是審計部門的審計分析系統,都是以電子信息技術為基礎的,都要借助于計算機和互聯網。進而網絡風險因素更多的是由于信息技術問題帶來的風險。
3、網絡風險可以致使審計人員發表錯誤的審計意見。網絡風險直接威脅審計人員獲得的被審計單位的財務信息的真實性,失去了真實性,那么審計人員也就不可能對被審計單位的財務狀況做出正確的評價,進而形成公正、客觀的審計報告。
(二)審計風險的分類
審計風險一般分為可控風險和非可控風險。可控風險指審計人員在審計過程中可以控制的風險因素;非可控風險指審計人員在審計過程中不可以控制的風險因素。可控風險主要是針對審計單位的審計工作而言的,即可以通過自身的工作盡可能降低的風險。這種風險不是本處論述的重點。
1、不可控風險
這種風險主要是由被審計單位自身的財務信息系統或審計單位自身審計信息系統的這樣或那樣的缺陷造成的,是審計人員無能為力的因素。
(1)系統風險
這一風險是審計單位和被審計單位都無法控制的風險。
計算機系統本身具有脆弱性,這是任何一個被審計單位都不可避免的。當計算機硬件或計算機軟件、網絡本身出現故障時容易導致網絡系統審計數據丟失,甚至發生癱瘓現象。在互聯網條件下,網絡審計系統具有其分布式、開放性、遠程性實時處理的特點。這個特點既有其優越性,可以實現資源共享,使很多人受惠,但也有其缺陷性,系統的可控性、一致性、安全性較差,一旦出現故障,影響很大,且不易恢復。這樣,既不利于保守國家機密,又損害企事業單位,審計機關和審計團體的利益。
(2)黑客入侵,病毒危害風險
在網絡化系統中,計算機病毒不再靠磁盤或光盤傳播,開始通過電子郵件傳播計算機病毒。黑客的入侵也相當猖獗,主要來自社會上一些不法分子對企業、事業單位和政府機關互聯網的入侵。這種風險范圍廣,危害性大。它包括截收、仿冒、竊聽和黑客入侵。花樣繁多的病毒入侵,讓人防不勝防,隨著網絡化的迅速普及和廣泛應用,計算機病毒的傳播呈現渠道多樣化、速度快捷的特點,危害也在不斷加劇,這對網絡化審計系統資源構成很大威脅。
(3)系統關聯方道德風險
主要指關聯方非法侵入企業網絡財務軟件系統,以剽竊財務數據和知識產權、破壞系統、干擾企業正常交易等產生的風險。企業關聯方主要包括客戶、供應商、軟件開發商,也包括銀行、稅務、審計、保險財政等部門。企業與關聯方之間的通過外聯網進行業務和數據交換,這種特殊的交換關系使關聯方之間道德風險的發生成為可能,尤其是軟件開發商,他們非法入侵企業財務系統不易被發現,其危害是不容忽視的。
(4)內部人員的操作風險
操作風險主要包括操作程序不規范和操作人員防范意識不強造成的。如審計人員或會計人員缺乏安全意識和網絡安全防范措施,對于網上下載的電子郵件或會計信息資源不做安全性技術檢查、測試,或僅用個人生日或單位電話號碼作密碼,這些密碼好記也好破譯,安全性較差。另外,企業會計人員對會計數據的非法訪問、篡改、泄密和破壞等方面的風險。有資料統計,大部分非法闖入者來自內部雇員,這些通曉網絡知識的內部控制人員通過嵌入的非法舞弊程序,大量侵吞國家財富或企業資產。
三、審計過程中對網絡風險的估計、量化
通過以上的比較分析,我們不難發現在新的審計環境下,審計的風險模型確實有重構的必要性。下面是我對網絡風險的各構成要素的進一步闡述,它包括因素構成、因素的項目風險評價和綜合風險評價。網絡風險具體有6個影響因素構成,用公式表示為:網絡風險的計量=被審計單位的計算機財務會計信息系統的系統漏洞會計信息系統的開放性最新的病毒報告狀況防火墻的性能以往會計信息系統的運行狀況審計單位自身的信息處理系統的安全性評價。
(一)被審計單位的計算機財務會計系統的系統漏洞估計
醫生治病也需要先尋病根,確定網絡系統的風險大小,自然首先應該知道這個系統的弱點和漏洞,其弱點和漏洞的嚴重程度是決定整個系統風險大小的一個重要方面。而一個網絡系統中的漏洞大致可以包括三種不同類型:
1、實現漏洞:所有的系統實現都不可能沒有漏洞,盡管設計可以是無懈可擊的。軟件“Bug”是最典型的漏洞,例如:著名的sen山mail程序的漏洞被許多人用來獲得系統的非授權訪問。實現漏洞在操作系統、數據庫系統中是不可避免的,并且這些漏洞還無法預測,往往只能依靠大量的使用來發現,依靠供貨商的升級和“補丁”,依靠安全專家的警告。
2、設計漏洞:攻擊者使用的另一類漏洞來源于設計階段,這一類漏洞更難發現,同時也更難彌補,因為漏洞來源于設計,軟硬件實現完全圍繞設計實現。這種漏洞是固有的,只有依靠重新設計和實現。典型例子仍是著名的sendmail程序,即使sendmail的實現無懈可擊,仍然可以利用sendmail程序反復生成郵件,從而實現拒絕服務攻擊。
3、配置漏洞:這是攻擊者最喜歡的漏洞,也是最常見的漏洞。配置漏洞來源于管理員(或用戶)錯誤的設置。許多產品制造商在產品出廠時往往為用戶設置了許多默認的參數,這些設置基于對用戶環境的充分信任,以方便新用戶的使用。但這些出廠設置可能會帶來嚴重的安全漏洞。典型的配置漏洞包括:繼續使用賬號的出廠默認參數,使用默認的文件訪問權限設置,以及開放有漏洞的網絡服務等。
通過以上的漏洞分析,作為注冊會計師應該根據被審計單位的系統狀況對被審計單位的財務會計信息系統的安全性做出評價。此處,我設置了3個水平的評價指標:高、中和低。
高的風險,指被審計單位的財務會計系統混亂,財務軟件漏洞很多,財務系統運作混亂,不能進行相應的會計信息處理,會計信息的真實性無法保證。
中等的風險,指被審計單位擁有一套比較完善的財務會計系統,但財務軟件存在著致命性的漏洞,僅基本上能夠保證真實性的要求。
低的風險,指被審計單位擁有一套完善的財務會計系統,系統設置能夠適應企業業務發展的需要,系統中不存在明顯的、致命性的設計漏洞,能夠提供真實、客觀的財務信息。
(二)會計信息系統的開放性
會計系統的開放性指能夠接觸到會計信息系統的終端用戶的范圍。一個會計系統的終端使用者越多,那么他所面臨的網絡風險越大。在會計信息系統的開放性問題中值得一提的是網絡開放性問題,如果一個公司的財務系統要上網向公眾公告,那么會計系統將承受更多的網絡風險。具體的評價指標也有3個即:
高的開放性,指會計信息系統要向與Internet相連接,向社會公告。
中的開放性,指會計信息系統只在本單位的局域網中開放,不與Internet相連接,除了滿足公司管理的需要,不需要向社會公眾公告。
低的開放性,指會計信息系統不存在分布式的設計,不需要聯網工作,僅僅在財務部門內部使用,不向外公告。
(三)最新的病毒情況
病毒和黑客是計算機系統致命的敵人,最新的病毒狀況直接決定了財務信息系統在當時的風險因素的大小。如果審計期間有大規模的且非常厲害的病毒爆發,那么網絡風險就會高,也就要求審計人員做出大量的技術處理以避免病毒攻擊,確保信息的安全、可靠。具體的評價指標也有3個即:
高風險,指在審計期間出現了大量的新的對系統有致命損害的病毒,且這種病毒的防范措施尚未形成,沒有專門的殺毒軟件可以處理。
中風險,指審計期間出現一些新的毒,但這些病毒對于計算機系統的傷害并不是致命,而且采取相應的措施可以有效的避免病毒的感染。
低風險,指審計期間沒有新的病毒,一些常規病毒以被審計單位目前的技術水平完全可以應付。
(四)防火墻的性能
防火墻的性能直接決定被審計單位的財務信息安全狀況。被審計單位的防火墻性能好,則可以避免前面所說的系統開放性及最新病毒的攻擊問題,從而整體上降低財務信息系統的網絡風險。相反,則會加重前面的風險系數。防火墻的性能其實是前面提到風險的加乘系數,這個系數可能是正的亦可能是負的。如果為正,那么整體風險增加;如果為負,則整體的風險水平會因為防火墻的存在而降低。具體的評價指標有2個即:
高風險,指防火墻的性能不穩定,對于一些常規病毒的入侵無法應對,防范性能等于0.
低風險,指防火墻的性能穩定,能夠有效的防范病毒的進攻。
(五)以往會計信息系統的運行狀況
由于網絡系統問題的暴露有一個時間過程,則會計信息系統以往的運行狀況對于審計人員進行被審計單位的網絡風險水平評價具有參考價值。如果被審計單位的會計信息系統以往的運行狀況良好,沒有出現任何的重大錯誤,則我們可以推定在審計過程中,被審計單位的信息系統不會有重大的差錯,可以接受被審計單位信息系統的數據,進而可以降低整體的項目可接受的審計風險水平。如果被審計單位的會計信息系統在以往的工作中的表現不盡如人意,那么審計人員在對被審計單位會計信息系統的數據接受時,就要采用審慎的態度。這里我們設定的水平指標同樣有以下三種:
高風險,指被審計單位的財務信息系統以往的工作表現欠佳,曾經出現過重大會計差錯問題。
中風險,指被審計單位的財務信息系統以往的工作表現一般,曾出現這樣那樣的非重大差錯。
低風險,指被審計單位的財務信息系統以往的工作表現良好,以前沒有出現任何的非認為的系統處理錯誤。
(六)審計單位自身的信息處理系統的安全性評價
在網絡審計情況下,審計人員的審計手段更多的借助于網絡的高科技產品,計算機信息處理系統在各大會計事務所廣泛應用。同樣的審計單位同樣要面對網絡風險的沖擊。所以審計單位在對被審計單位風險進行精確評價的同時還應對自身的網絡風險水平進行系統的評價。審計單位的評價過程可以參閱前面的被審計單位的評價方法,此處我們不在一一重復。
(七)網絡風險各因素間的關系
網絡審計情況下的對于審計的網絡風險的總體水平評價可以采用圖表的形式加以說明:
被審計單位的計算機財務會計信息系統的系統漏洞
會計信息系統的開放性
最新的病毒報告狀況
防火墻的性能
以往會計信息系統的運行狀況
審計單位自身的信息處理系統的安全性評價
高
高
高
高
高
高
中
中
中
中
中
低
低
低
低
低
低
由排列組合的知識我們知道這里有486種組合方式。鑒于以上對于6個因素的分析結果,我們將防火墻性能和被審計單位系統漏洞兩個因素的狀況作為評價網絡風險的核心指標。
首先,我們從上面的分析中不難發現防火墻的性能對于會計信息系統的開放性和最新的病毒報告狀況兩個因素有一定的節制作用。防火墻的性能狀況直接決定三個因素的整體風險水平。如果前兩個因素的風險水平處于高的狀態,但是由于系統的防火墻性能很好,那么前兩個因素的高風險會因為防火墻的低風險而降低,進而三個因素的整體風險降低。相反,如果防火墻的性能很差,即使前兩個因素的各自風險都很低,那綜合風險也不會降低,甚至提高。所以防火墻的性能水平是三個風險因素的小核心。
其次,被審計單位的計算機財務會計信息系統的系統漏洞又是整個網絡風險的核心。被審計單位的計算機財務會計信息系統的系統漏洞是根本性的風險因素。如果被審計單位的會計信息系統存在致命性的漏洞,那么整個系統的綜合網絡風險,肯定不會是很低的。
此外,審計單位的風險水平是審計單位自身可以控制的因素,是一種可控風險。
我們依據兩個指標的水平狀況對網絡風險的486種組合進行了總體的分類,即高、中、低三檔。具體的:在這486種組合方式中,我將其中含有防火墻性能和被審計單位系統漏洞兩項為高風險的設定為整體的高風險;相反的情況就為低風險;其他的組合方式為中的風險。
針對不同的網絡風險水平要求審計人員采取不同的措施。具體的:
高的網絡風險水平意味著被審計單位的財務會計信息系統是不可信的,其數據不能采用,其要求審計人員對于被審計單位的會計記錄進行詳細的審查,追加審計的時間。
中等的審計風險和低的審計風險意味著被審計單位的財務信息系統基本上能夠提供真實可靠的會計信息,審計人員可以全部接受,適當減少審計的時間,加速審計效率。
四、審計人員審計過程中對于網絡風險的應對措施
(一)開發和應用審計軟件對相關網絡系統進行實時跟蹤
網絡審計是借助網絡審計軟件進行的,加強網絡審計軟件的研究與開發是發展網絡審計所必需的。首先,從現在實際情況和科學性出發,選擇相應的財務軟件公司,利用他們在財務軟件制作方面的經驗開發網絡審計測試軟件;其次,對被審計單位的網絡系統進行評價,并利用專用的審計對比軟件,將存放于數據庫不同地址的同一數據進行自動比較,以形成相應的記錄文件,并對有差異的文件數據進行詳細審查;再次,對被審計單位的自動檢測數據庫軟件和恢復軟件進行審查和評價;最后,要對被審計單位的異常貿易,通過網絡進行預警提示,以降審計風險。
(二)建立審計服務信息庫
審計人員可將被審計單位的有關信息,通過網絡建立一個完善的大容量的信息庫,把這些信息包括被審計單位的背景資料、最新動態和一些以前審計的檔案信息,以便以后開展審計時查閱和運用,這樣將可大大減少工作時間,提高工作效率,同時也相應地降低了審計的風險。
(三)加強對網絡系統的安全性和保密性進行審查
在網絡中運行,信息的安全性即可靠性和保密性構成了審計的風險防范和控制的重點。首先,對網絡系統職責分離情況進行審查,遵循的原則仍為不相容職責必須分離,但側重對數據的輸入、輸出,軟件開發的維護及系統程序修改或管理等之間的關系處理進行審查;其次,對被審計單位網絡結構進行分析與評價,以確認防范黑客侵入的能力;再次,對被審計單位的系統容錯處理機制、安全管理體制和安全保密技術等作深入的了解,以評價其系統安全性的等級,從而有效地控制審計風險。
(四)加快網絡審計人才的培養
大批精通網絡、計算機及審計的人員隊伍是網絡審計能否得以實施的關鍵。審計人員必須經常更新自身的知識結構才能適應網絡審計工作的需要。這就需要在審計人員的培養和將來的CPA資格考試中適當增加有關計算機、網絡理論及操作的考察并定期對審計人員進行相關培訓。
(五)制訂網絡審計準則
審計準則是審計工作應遵循的規范和尺度,是提評價審計工作質量的權威性規則。網絡審計對象、線索、方法、流程、結果等各方面相對于傳統審計都發生了變化,以往的審計標準和準則已經不能完全適用,所以應加快新的審計標準和準則的制定以指導網絡審計工作實踐的深入。
(六)加強網絡審計立法
網絡審計立法是保障網絡審計正常發展的關鍵性措施。新的《會計法》已增加了有關網絡財務的內容,《電子商務法》起草工作正在加緊進行之中,但是上述法規都不是針對網絡審計而的,不能夠滿足網絡審計的需要。因此,有必要加快網絡審計立法工作的力度和進度,使人們在開展網絡審計工作尤其是進行合法性審計時有法可依。
[參考文獻]
[1]董剛毅。網絡審計的風險和控制[J].審計理論與實踐,2002,(9)。
[2]李金花。論電子商務時代的網絡審計[J].河南商業高等專科學校學報,2003,(6)。
[3]夏敏。網絡審計的重要性與可行性分析[J].審計天地,2003,(10)。
[4]曾憲策。網絡審計的創新和風險[J].中國審計,2003,(2)。
[5]鄭曉龍,林辛。淺議信息技術時代的網絡審計[J].經濟師,2004,(4)。
[6]潘立亞。互聯網時代審計新概念-網絡審計[J].經濟師,2004,(3)。
[7]郭強華,郭望予。企業網絡審計建設與實施[J].中國管理信息化,2005,(2)。
