一、网络审计的概念和特点 1、网络审计的概念 作为一种新的审计模式,还只存在 于理论研究,对其也没有一个统一的定 义,一般来说,网络审计的定义有狭义和 广义之分,其中,狭义的网络审计指借助 电子计算机的先进的数据处理技术和联 网技术,以磁性介质作为主要载体来存 储数据以便于用网络来处理、传送、查阅 这些数据,使审计工作与计算机网络组 成一个有机的整体,从而提高审计的现 代化水平。而广义的网络审计是指在网 络环境下,借助大容量的信息数据库,并 运用专业的审计软件对共享资源和授权 资源进行实时、在线的个性化审计服 2、网络审计的特点 (1)充分利用网络的低成本性、快捷 性、跨越时空性等优势。网络审计可以提 供实时化、个性化的服务,同时审计机构 实现实时、在线的贴身服务成为这种新 的审计模式的特点,这也是网络审计较 传统审计的闪光点。 (2)摆脱传统地域观念的束缚,开拓 新的审计领域。随着网络经济给现有经 济模式带来的挑战,网络审计服务市场 的进一步扩大,将使传统竞争与网络审 计的竞争更趋激烈,只有在竞争中快速 的发展,才能更好地参与竞争,保持优 二、网络审计技术 1、了解网络系统技术 网络审计信息系统的结构是构建于 计算机技术、数据库技术、Internet/In— tranet 等现代信息技术基础之上,熟悉和 了解网络技术是网络审计人员的基础, 之后才有可能查阅各种文件如程序表、 控制流程等来审计。 2、验证处理技术 这是保证审计事务能正确执行,控 制能在系统中起作用。该技术一般分为 实际测试和性能测试,实现方法主要有: (1)数据选择审计人员根据制订 的审计标准,可以选择事务的样本来仔 细分析。样本可以是随机的,选择软件可 以扫描一批输入事务,也可以由操作系 统的事务管理部件引用,并保存在信息 数据库中。当然这些信息包括财务信息, 也包括非财务信息。 (2)测试数据这种技术是程序测 试的扩展,审计人员通过系统动作准备 处理的事务。通过某些独立的方法,可以 预见正确的结果,并与实际结果相比 较。用此方法,审计人员必须通过程序检 验被处理的测试数据。另外,还有综合测 试、跟踪和映射等方法。 (3)审计处理以模块化的审计处理程序为中心,联结报告生成器和信息数据库,并对授权数据信息进行处理。在模块化的审计处理程序中存放了各种可供选择使用的审计处理软件,能提供使用不同的计量属性、计量单位、确认基础等多元化的审计处理程序,它是审计软件的组成部分,是数据信息处理的中枢,是网络审计的关键技术所在。 (4)验证处理结果技术这种技术,审计人员把重点放在数据上,而不是对数据的处理上。这里主要考虑两个问题:一是如何选择和选取数据。将审计数据收集技术插入应用程序审计模块(此模块根据指定的标准收集数据,监视意外事件);以服务记录技术为事务(包括面向应用的工具)建立全部的审计跟踪;借用于日志恢复的备份库(如当审计跟踪时,用两个可比较的备份去检验账目是否相同);通过审计库的记录抽取设施(它允许结合属性值随机选择文件记录并放在工作文件中,以备以后分析),利用数据库管理系统的量询设施抽取用户数据。二是从数据中寻找什么?一旦收取数据后,审计人员可以检查控制信息(含检验控制总数、故障总数和其他控制信息);检查语义完整性约束;检查与无关源点的数据。 三、网络审计的风险管理 1、网络审计的风险 (1)篡改数据,不留审计线索。在网络环境中,数据的电子化并以磁介质为主要存储载体,这为舞弊者对原始数据进行非法修改和删除,且不留篡改痕迹成为可能,这将无法保证数据的完整性和真实性,给审计监督带来了风险。 (2)信息丢失。主要有三种原因:一是运行间的断电和死机等故障;二是计算机病毒破坏;三是人为的毁损。 (3)黑客侵入和数据失窃。计算机黑客为了获取重要的商业秘密、数据资源经常用IP 地址欺骗攻击网络系统。黑客伪装为源自内部主机的一个外部站点,利用一定的技术进入目标系统窃取或破坏数据。 (4)职责分离不恰当引起内控失灵。在网络环境下,如果对数据维护、系统管理和数据输入、数据核对确认等岗位不作适当的分离,就会有人利用网络的弱点故意修改数据、舞弊或窃取秘密信息从中捞取利益。 2、网络审计风险的防范和控制为了有效地降低网络审计风险,就必须采取相应的防范和控制措施,具体表现为: (1)应用审计软件,对相关网络系统进行实时跟踪。首先对被审计单位的网络系统进行评价,并利用专用的审计对比软件,将存放于数据库不同地址的同一种数据进行自动比较,以形成相应的记录文件,并对有差异的文件数据进行详细审查;其次对被审计单位的自动检测数据库软件和恢复软件进行审查和评价;再次要对被审计单位的异常贸易,通过网络进行预警提示,以降低审计风险。 (2)建立审计服务信息库。审计人员可将被审计单位的有关信息,通过网络建立一个完整的大容量的信息库,这些信息包括被审计单位的背景资料,最新动态和一些以前审计的档案信息,以便以后开展审计时查阅和运用,这将大大减少工作时间,提高工作效率,同时也相