论网络审计面临的问题及对策

网络审计是指审计人员利用网络资源的共享性、快捷性和广泛性的特点，在网络上对客户的相关信息进行采集、整理、查证、分析，进而得出审计结论的过程。随着计算机在会计上的广泛应用和网络的普及，网络审计在我国实务中已开始实施和初现雏形，并表现出其跨时空作业、准确高效、大幅度降低费用等多种优势。但由于经济环境的复杂性及计算机网络自身固有的局限性，也使网络审计遇到了许多棘手的问题，这些问题不解决，必然影响网络审计的正常有效运行。下面就我国网络审计中面临的问题及对策谈些自己的认识。

一、网络审计面临的问题

（一）网络审计风险防范与控制任务艰巨

在网络审计中，风险防范与控制已成为一个非常重要的问题。其风险因素主要来自三个方面：一是由于计算机自身的局限性所引起的。如发生链路故障或遭自然、机械灾害损坏，以及不合法的操作等，所导致的数据毁损或丢失。二是由于管理不善或控制不严等，犯罪主体对计算机设施、输入、输出、软件这四个入口实施破坏，使数据受损。如据搜狐网站2005年12月25日公布的资料显示，美国一年因计算机犯罪所造成的损失高达75亿美元。而且目前这个数字还在呈上升趋势。我国从1986年开始每年出现至少几起或几十起，近几年利用计算机犯罪的案件每年以30%的速度递增，其中金融行业发案率占案件的61%，平均每起金额达几十万元，每年造成的直接经济损失近亿元。三是由于“黑客”袭击网络网站，篡改、破坏审计数据乃至整个系统，使经营者蒙受巨大损失。据中国科学院网络安全专家许榕生介绍，当今世界上，平均每20秒钟就有一起“黑客”事件发生，仅在美国每年造成的经济损失就超过100亿美元，而我国的经济损失也不在少数。网络犯罪已经对各国的经济发展和国家安全构成了现实威胁。因此，网络审计中风险的防范与控制已成为审计面临的重要问题之一。

（二）法律法规有待完善

网络的出现和广泛应用对传统审计产生了强烈的冲击。旧有的审计法律法规体系和准则体系已不能完全指导和规范网络审计的实践以及完全解决网络活动中出现的所有新情况、新问题和新纠纷。网络本身的虚拟性、实时性、广泛性要求更加切实可行、更加完备的新的审计法律法规和准则体系作保证。如电子证据的无形性和易篡改性造成了审计证据确定的困难，电子签名因不同于手书签名而导致法律上难以确定，电子合同的瞬间完成使得合同的签订与生效时间的确定存在争议等。而与之相适应的新的法规准则未完全建立，这就给审计人员进行网络审计带来了极大的不便。

（三）审计人员素质有待进一步提高

实现网络审计以后，由于审计环境、审计线索、安全控制、审计目标、审计对象等方面的变化，决定了对审计人员的要求更高。为了在网络环境下更好地执行审计监督、鉴证和评价任务，审计人员不仅应具备丰富的会计、财务和审计知识与技能，熟悉相关财经法规，还应具备计算机、网络、信息系统、Internet和电子商务等多方面的知识与技能。而现在这样的人才非常匮乏，使得网络审计难以广泛实施，极大地阻碍了网络审计的发展。

（四）审计线索的电磁化困扰

在手工会计系统中，会计核算程序中的每一步都在纸介质上留有文字记录及经手人签字，审计线索十分清楚。实现电子商务以后，审计线索的储存与处理将发生较大的变化。传统的审计线索可能完全消失。各种单据、票证和账簿等都以电磁信息的形式在网上传递并存储于磁性介质中，这些存储在磁性介质上的信息是机器可读的，它们不再是肉眼所能直接识别的。此外，原始单据进入计算机以后，中间的交易处理由计算机自动完成，传统的审计线索在这里中断、消失了，传统的审计方法，有的已不再适用，只能通过计算机进行审查；并且这些线索还具有被无痕删改、不能永久保存等缺点。如果系统设计时考虑不周，可能到审计时才发现只留下业务处理的结果而不能追索其来源。因此，网络审计要求企业网络财务系统在设计时必须留有充分的审计线索。

（五）审计软件不完善

审计软件是审计人员开展具体审计工作的有效工具。目前我国审计软件的开发尚处在开发阶段，从事审计软件开发的公司很少，并且在涉及审计软件与财会软件的接口问题上，网络操作系统与应用系统的兼容问题上，还没有取得实质性的突破。而国外的审计软件在我国由于多种原因也得不到很好的运用，这些都极大地阻碍了我国网络审计的发展。

二、解决问题的对策

（一）搞好网络风险防范与控制审计，防止网络犯罪事件的发生

针对网络经济不安全因素带来数据毁损、丢失给经济造成的损失，主要应对网络安全进行审计。具体来说，应对以下方面进行审计：*9，硬件系统的控制审计。主要是审查硬件各项控制的适当性与有效性。可通过对实体安全、火灾报警、防护系统、使用记录、后备电源、操作规程、灾害恢复计划等进行测试。审计人员应确定实物安全控制措施是否适当；在处理日常运作及部件失灵中操作员是否做出了适当的记录与定期分析；硬件的灾难恢复计划是否适当，是否制定了相关的操作规程；各硬件的资料归档是否完整。第二，数据通讯的控制审计。主要是审查数据通道是否安全与完整。可通过抽取一组会计数据进行传输，检查由于线路噪声所导致数据失真的可能性；检查密钥管理和口令控制程序，确认口令文件是否加密、密钥存放地点是否安全；发送一则测试信息测试加密过程，检查信息通道上各不同点上的信息是否有安全控制。通过以上测试发现和纠正设备的失灵导致的数据丢失或失真情况，防止和发现来自Internet及内部的非法存取操作。第三，数据资源的控制审计。一是数据备份测试，检查为恢复被丢失、损毁或被干扰的数据，系统是否有足够的备份；二是检查个人是否经授权限制性地存取所需的数据，有无未经授权的个人存取数据。并检查在日常工作中是否真正实施了这些功能。根据系统的授权表，检查存取控制的有效性。第四，软件系统的控制审计。对软件系统的测试主要是检查软件产品是否从正当途径购买；检查防治病毒措施，是否安装有防治病毒软件，使用外来软盘之前是否检查病毒；证实只有授权的软件才安装到系统里。通过软件系统控制审计应达到防止来自硬件失灵、计算机“黑客”、病毒感染、具有特权职员的各种破坏行为，保障系统正常运行。另外还需对系统安全产品进行审计。如检查防火墙、身份认证产品、CA产品等是否经过认证机构或公安部门的认证，产品的销售商是否具有销售许可证，产品的安全保护功能是否能发挥作用。通过以上一系列安全控制审计，发现不足和提高广大审计人员的安全防范意识，建立起安全可靠的网络审计系统。

（二）积极加强网络立法建设

搞好网络审计主要应进行两方面的立法建设。一是关于网络经济的立法问题，二是网络审计的立法问题。前者是对网络经济规范运作的规定，后者是对网络经济审计的规定。即前者是被审计单位在进行网络活动时应遵守的规定，后者是审计人员进行网络审计时应遵守的规定。网络立法是保证网络经济正常运作和网络审计正常发展的关键。对网络经济的立法，首先，应解决网络中出现的各类综合性问题，规范网络活动，使其在法律、法规许可范围内进行公开、公平、公正的交易，鼓励竞争，防止垄断；其次，网络的安全、保密也必须有法律保障，对计算机犯罪、计算机泄密、窃取商业与金融机密等都要给予严厉的法律制裁，以逐步形成法律许可、法律保障、法律约束的网络环境。对网络审计立法，在目前我国网络审计还没有专门法规出台的情况下，要加大网络审计立法的力度和进度，要在立足我国国情的基础上参照国际有关法律法规，制定与网络审计有关的法律规章，使人们在开展网络审计工作时尤其是进行电子证据、电子签名、电子合同、电子货币等合法性审计时有法可依、有章可循。对目前已有的不适应网络审计的相关法律法规应及时地进行修改和完善。总之，通过网络立法建设，为网络审计建立良好的法律环境，网络审计才能得到发展，网上交易才能规范正常地运行。

（三）制定网络审计准则

审计准则是审计工作应遵循的规范和尺度，是评价审计工作质量的权威性规则。由于在网络经济时审计的对象、线索、方法、流程、结果等各方面相对于传统审计都发生了变化，以往的审计标准和准则已经不能完全适用，所以应加快建立一套符合网络审计自身发展特性的新的审计准则———网络审计准则，以指导网络审计工作。如对网络审计人员应具备的资格、网络审计的操作规程、相关审计技术以及证据的收集等方面做出规范；制定网络系统安全可靠性评价标准和网络系统内部控制准则；对网络审计时的业务约定书、管理层说明书、审计报告等各种电子文档制定准则等。通过这些网络审计准则的建立，指导网络审计工作实践的深入开展，使网络审计规范运作，从而提高网络审计工作质量，最终形成客观公正的审计结果。

（四）培养网络审计人才

大批精通网络、计算机及审计业务的审计人员队伍是网络审计能否得以实施的关键。针对我国网络审计人才匮乏，不能满足未来网络审计需要的情况，国家、学校、审计组织等部门应采取措施，迅速改变这种局面。一是国家应在CPA资格考试、审计专业技术职务考试中适当增加有关计算机、网络理论及操作的考察。并定期对审计人员进行相关培训。二是各学校对审计、会计专业的学生，应将网络理论及操作作为一门主要课，并加强这方面的实践训练。三是审计组织应在这方面投入一定资金，定期对现有审计人员进行网络培训教育，使他们迅速适应网络审计工作的需要。四是审计人员应将学习网络及各种知识，作为一项长期的任务来抓，必须经常更新自身的知识结构，以适应网络审计工作的需要。五是审计人员要同计算机与网络专家、信息系统与电子商务专家进行全面的联合，吸收他们参与或聘请他们做顾问，随时请教疑难问题。因为审计人员不可能都成为计算机与网络专家。因此，这种联合将是必然趋势。

（五）完善网络系统，探索网络审计取证方法

针对网络审计线索困扰问题，一是在统一接口的通用软件开发后，规定各单位在会计数据文件打印输出的同时，还应以可审计的形式进行存储保留，从而为审计工作留下审计线索，以便审计人员从被审单位准确获取各种数据，实现有效的远程审计。二是审计组织要建立审计服务信息库。通过网络及业务管理系统，在信息库中录入被审单位存储保留的有关经济信息，以便在审计时随时调阅、查实和核对，方便收集审计证据。三是要探索运用实时测试、电子函证、钩稽关系测试等新的审计技术方法获取证据。如通过实时监测检测数据处理系统得出的数据是否正确。审计人员可以任意选取部分资料，在被审计单位数据处理系统中运行，将运行结果与人工计算结果相比较，据以确定数据处理系统得出数据的正确性。通过电子函证，对往来账项进行查证，验证往来款项的真实性。通过钩稽关系测试，核对表、账、证数据的一致性。

（六）积极开发网络审计软件

网络审计是借助网络审计软件进行的，只有加大对审计软件的开发、评审、验收力度，使网络审计软件系统更安全更可靠、运行更准确、处理更及时，才会被广大审计人员所接受。开发网络审计软件，一是应解决网络审计软件由谁开发的问题。网络审计软件的开发可以是自主开发，与软件公司合作开发，完全委托软件公司开发。从现在实际情况和科学性来说，*4选择财务软件公司，它在财务软件制作方面的经验有利于网络审计软件的开发。不管由谁开发，应符合国家软件开发的有关规定。二是应解决软件接口统一的问题应由国家运用行政力量制定数据接口标准，要求网络会计系统软件设计一个统一数据结构、统一输入要求和有一定强制性的数据文件。三是在软件开发时，应解决软件的管理功能和防病毒破坏功能，防止“黑客”袭击、侵入、篡改数据的功能等。四是开发出的审计软件应具有审计整理、审计分析、审计查证等功能，并且可以完成审计工作底稿的制作，最终实现财会软件与审计软件一体化的目标。