网络审计风险评估相关问题探索,本文主要内容关键词为:风险评估论文,网络论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、网络审计风险评估应关注的风险范围
网络审计是指审计人员基于互联网,借助现代信息技术,运用专门的方法,通过人机结合方式,对被审计单位的网络财务信息系统的开发过程及其本身的合规性、可靠性和有效性以及基于网络的财务信息的合法性、公允性进行远程审计。可以看出,网络审计的审计对象包括以下两类:一是被审计单位的网络财务信息系统;二是被审计单位基于网络的财务信息。因此,在网络审计中,审计人员关注的风险应是被审计单位经营过程中与该两类审计对象相关的风险。
对于与企业网络财务信息系统相关的风险,审计人员应该从两个角度来考虑:一是从该信息系统生命周期的各个阶段出发。信息系统生命周期是指该信息系统从产生到完成乃至进入维护的各个阶段,一个信息系统的生命周期大都包括规划和启动、设计开发或采购、集成实现、运行和维护、废弃等五个基本阶段。审计人员的风险评估应该贯穿信息系统的整个生命周期。二是从该信息系统的各组成部分及运行环境出发。信息系统的组成部分是指构成该信息系统的硬件、软件及数据等。信息系统的运行环境是指信息系统正常运行所依托的物理和管理平台,具体可将其分为五个层面来关注其风险:物理层,包括信息系统运行所必备的机房、设备、系统线路及相关环境的风险情况;网络层,包括信息系统所需的网络架构的安全情况、网络设备的漏洞情况、网络设备配置的缺陷情况等;系统层,包括信息系统本身的漏洞情况、配置的缺陷情况;应用层,包括信息系统所使用的应用软件的漏洞情况、安全功能缺陷情况;管理层,包括企业在该信息系统的运行过程中的组织、策略、技术管理等方面的风险情况。审计人员应就以上方面对被审计单位的信息系统进行全面的风险评估。
对于与企业基于网络的财务信息相关的风险,笔者认为审计人员应着重关注财务信息的重大错报风险和信息安全风险。重大错报风险指企业基于网络的相关财务信息存在重大错报的可能性,它是针对企业借助信息系统或网络技术对有关账户、交易或事项进行确认、计量或披露而言。网络审计下重大错报风险的内涵与传统审计下重大错报风险的内涵基本上是一致的,审计人员在审计时应当考虑被审计单位的所属行业状况、经营性质、法律及监管环境、会计政策和会计方法的选用、财务业绩的衡量和评价等方面的情况对财务信息错报可能产生的影响。信息安全风险涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的风险,它主要针对企业利用信息系统或一定的网络平台来存储、传输、披露相关财务信息而言。在审计过程中,审计人员应当主要关注相关财务信息被盗用、非法攻击或篡改及非法使用的可能性。
与基于网络的财务信息相关的风险和网络信息系统本身是直接相关的,部分财务信息风险实际上源自系统风险,如由于信息系统的脆弱点、信息系统面临的威胁被威胁源利用后,信息系统在对有关账户、交易或事项进行确认、计量或披露的过程中,可能会发生错报甚至使得信息被截取或篡改,从而对财务信息产生一定的负面影响,因此审计人员在评估与信息系统相关的风险和与财务信息相关的风险时,应将两者结合起来考虑。
二、网络审计风险评估的目的和内容
1.风险评估的目的。由于网络审计的目标在于审计人员通过执行审计程序来对被审计单位基于网络的财务信息的合法性、公允性以及被审计单位网络财务信息系统的合规性、可靠性和有效性发表意见,因此其风险评估的目的主要是识别和评估与企业网络财务信息系统和基于网络的财务信息相关的风险,以设计和实施进一步审计程序。网络信息系统环境下企业对经营业务数据及交易事项的确认、计量及披露都变得更加及时、迅速,这使得审计工作从事后审计转变为事前、事中审计,从静态走向了动态,此时风险评估为审计人员在进一步的审计工作中做出合理的职业判断、有效地实施网络审计程序和实现网络审计目标奠定了基础。
2.风险评估的内容。风险评估是指考虑潜在事件对目标实现的影响程度,这种考虑一般要求从事件发生的可能性和影响程度两方面展开。在网络财务中,潜在事件发生的可能性主要是指企业的信息系统及基于网络的财务信息可能面临的威胁或可能存在的脆弱点;潜在事件的影响程度主要是指那些威胁和脆弱点对信息系统或财务信息可能带来的影响情况。其中:威胁是指对信息系统及财务信息存在潜在破坏性的可能性因素或者事件,它可能是一些如工作人员缺乏责任心、专业技能不足或恶意篡改等人为因素,也可能是一些如火灾或通讯线路故障等环境因素;脆弱点是指信息系统及财务信息所存在的薄弱环节,它是系统或网络财务信息本身固有的,包括物理环境、组织、过程、人员、管理、配置、硬软件及信息等各方面的弱点。一般来说,脆弱点本身不会带来损失或信息错报,威胁却总是要利用网络、系统的弱点来成功地引起破坏。因此,我们认为网络审计中风险评估的内容应包括以下几方面:①识别被审计单位信息系统及其基于网络的财务信息可能面临的威胁,并分析威胁发生的可能性;②识别被审计单位信息系统及其基于网络的财务信息可能存在的脆弱点,并分析脆弱点的严重程度;③根据威胁发生的可能性和脆弱点发生的严重程度,判断风险发生的可能性;④根据风险发生的可能性,评价风险对信息系统和基于网络的财务信息可能带来的影响。
值得注意的是,无论是与信息系统相关的风险还是与财务信息相关的风险,企业均不可能也没有必要将之降为零,这意味着即使被审计单位实施了一定的防范措施,也会有残余风险。审计人员在对被审计单位进行风险评估时,应该考虑上一期的残余风险是否对本期造成影响以及密切关注本期的残余风险是否可能在下期诱发新的风险。
三、网络审计风险评估的程序和实施流程
1.风险评估的程序。《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》中提及,审计人员应当实施询问、分析、观察和检查等程序,以获取被审计单位的信息,进而评估被审计单位的重大错报风险。网络审计风险评估的程序与传统财务报表审计风险评估程序在一定程度上具有一致性,但是在这些程序实施的重点上,网络审计中更加注重对被审计单位与信息系统及网络技术使用相关的事项的了解和分析。在实施询问程序时,审计人员的询问对象可大致分为管理人员、系统开发和维护人员(或信息编制人员)、系统使用人员(或信息的内部使用人员)、系统或网络技术顾问及其他外部相关人员(如律师)等五类,分别从不同角度了解信息系统和基于网络的财务信息可能存在的威胁和脆弱点。在实施分析程序时,除了研究财务数据及与财务信息相关的非财务数据可能的异常趋势,审计人员应格外关注对信息系统及网络的特性情况、被审计单位对信息系统的使用情况等内容的分析比较。特性情况包括在线系统的响应时间、批处理系统的周转时间、系统的故障强度、系统故障的平均间隔时间、系统故障的平均修复时间、系统的维护周期等;使用情况包括被审计单位连接系统的持续时间、调用功能函数的次数、数据库中存取的记录数、查询次数、系统使用的费用成本等。实施观察和检查程序时,除执行常规程序外,审计人员应注意观察信息系统的操作使用和检查信息系统文档,信息系统文档生成于其生命周期的各个阶段,包括信息系统的可行性研究报告、项目开发计划、系统和数据需求说明、系统设计说明、测试计划和分析报告、开发月报及总结、维修日志等。
针对技术风险的评估,审计人员除执行询问、分析、观察和检查程序外,还需要实施一些特定的程序,如IDS取样分析、渗透测试、工具扫描、安全策略分析等。其中,IDS取样分析是指通过在核心网络采样监听通信数据的方式,获取网络中存在的攻击行为和蠕虫病毒,并对通信流量进行分析;渗透测试是指在获取用户授权后,通过真实模拟黑客使用的工具、方法来进行实际漏洞发现的安全测试方法;工具扫描是指通过评估工具软件或专用安全评估系统自动获取评估对象的脆弱性信息,包括主机扫描、网络扫描、数据库扫描等,用于分析系统、应用、网络设备存在的常见漏洞。这些特定程序主要是针对被审计单位信息系统和基于网络的财务信息在网络技术方面的安全风险进行评价,审计人员在实务中应结合被审计单位的业务性质选择合适的程序。
2.风险评估的实施流程。网络审计中风险评估的实施流程可分为以下几个阶段:①系统调研阶段。即调查并了解被审计单位信息系统的业务流程、业务战略和管理制度、主要的业务功能和要求、网络结构和网络环境、系统边界、主要的硬软件、系统和数据及其敏感性、支持和使用系统的人员等内容,以确定风险评估的范围。系统调研可以采取问卷调查和现场访谈相结合的方式进行。②制订风险评估方案。即对评估任务分工和责任、各阶段的评估工作计划、时间进度等事项进行安排。风险评估方案主要是为具体评估工作的实施提供一个总体计划,指导风险评估后续工作的进行。③识别和评估脆弱点。即对被审计单位信息系统和基于网络的财务信息在技术和管理方面可能存在的漏洞进行识别和分析。④识别和评估威胁。即识别被审计单位信息系统和基于网络的财务信息在物理层、网络层、系统层、应用层及管理层等层面所面临的各种威胁,并分析它们发生的可能性。⑤管理检查。即审计人员专门对被审计单位的总体管理措施的完备性和有效性进行评估。⑥风险评估结果分析。即审计人员根据上述各阶段工作所得到的评估结果,对信息系统及基于网络的财务信息进行综合的风险评价,得出风险评估结论。
标签:风险评估论文; 综合日志审计平台论文; 审计软件论文; 审计计划论文; 相关性分析论文; 会计与审计论文; 审计准则论文; 财务系统论文; 审计目标论文; 审计流程论文; 审计方法论文; 审计职业论文; 信息安全论文; 信息系统规划论文; 风险管理论文;