一、网络审计风险评估应关注的风险范围 网络审计是指审计人员基于互联网,借助现代信息技术,运用专门的方法,通过人机结合方式,对被审计单位的网络财务信息系统的开发过程及其本身的合规性、可靠性和有效性以及基于网络的财务信息的合法性、公允性进行远程审计。可以看出,网络审计的审计对象包括以下两类:一是被审计单位的网络财务信息系统;二是被审计单位基于网络的财务信息。因此,在网络审计中,审计人员关注的风险应是被审计单位经营过程中与该两类审计对象相关的风险。 对于与企业网络财务信息系统相关的风险,审计人员应该从两个角度来考虑:一是从该信息系统生命周期的各个阶段出发。信息系统生命周期是指该信息系统从产生到完成乃至进入维护的各个阶段,一个信息系统的生命周期大都包括规划和启动、设计开发或采购、集成实现、运行和维护、废弃等五个基本阶段。审计人员的风险评估应该贯穿信息系统的整个生命周期。二是从该信息系统的各组成部分及运行环境出发。信息系统的组成部分是指构成该信息系统的硬件、软件及数据等。信息系统的运行环境是指信息系统正常运行所依托的物理和管理平台,具体可将其分为五个层面来关注其风险:物理层,包括信息系统运行所必备的机房、设备、系统线路及相关环境的风险情况;网络层,包括信息系统所需的网络架构的安全情况、网络设备的漏洞情况、网络设备配置的缺陷情况等;系统层,包括信息系统本身的漏洞情况、配置的缺陷情况;应用层,包括信息系统所使用的应用软件的漏洞情况、安全功能缺陷情况;管理层,包括企业在该信息系统的运行过程中的组织、策略、技术管理等方面的风险情况。审计人员应就以上方面对被审计单位的信息系统进行全面的风险评估。 对于与企业基于网络的财务信息相关的风险,笔者认为审计人员应着重关注财务信息的重大错报风险和信息安全风险。重大错报风险指企业基于网络的相关财务信息存在重大错报的可能性,它是针对企业借助信息系统或网络技术对有关账户、交易或事项进行确认、计量或披露而言。网络审计下重大错报风险的内涵与传统审计下重大错报风险的内涵基本上是一致的,审计人员在审计时应当考虑被审计单位的所属行业状况、经营性质、法律及监管环境、会计政策和会计方法的选用、财务业绩的衡量和评价等方面的情况对财务信息错报可能产生的影响。信息安全风险涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的风险,它主要针对企业利用信息系统或一定的网络平台来存储、传输、披露相关财务信息而言。在审计过程中,审计人员应当主要关注相关财务信息被盗用、非法攻击或篡改及非法使用的可能性。 与基于网络的财务信息相关的风险和网络信息系统本身是直接相关的,部分财务信息风险实际上源自系统风险,如由于信息系统的脆弱点、信息系统面临的威胁被威胁源利用后,信息系统在对有关账户、交易或事项进行确认、计量或披露的过程中,可能会发生错报甚至使得信息被截取或篡改,从而对财务信息产生一定的负面影响,因此审计人员在评估与信息系统相关的风险和与财务信息相关的风险时,应将两者结合起来考虑。 二、网络审计风险评估的目的和内容 1.风险评估的目的。由于网络审计的目标在于审计人员通过执行审计程序来对被审计单位基于网络的财务信息的合法性、公允性以及被审计单位网络财务信息系统的合规性、可靠性和有效性发表意见,因此其风险评估的目的主要是识别和评估与企业网络财务信息系统和基于网络的财务信息相关的风险,以设计和实施进一步审计程序。网络信息系统环境下企业对经营业务数据及交易事项的确认、计量及披露都变得更加及时、迅速,这使得审计工作从事后审计转变为事前、事中审计,从静态走向了动态,此时风险评估为审计人员在进一步的审计工作中做出合理的职业判断、有效地实施网络审计程序和实现网络审计目标奠定了基础。 2.风险评估的内容。风险评估是指考虑潜在事件对目标实现的影响程度,这种考虑一般要求从事件发生的可能性和影响程度两方面展开。在网络财务中,潜在事件发生的可能性主要是指企业的信息系统及基于网络的财务信息可能面临的威胁或可能存在的脆弱点;潜在事件的影响程度主要是指那些威胁和脆弱点对信息系统或财务信息可能带来的影响情况。其中:威胁是指对信息系统及财务信息存在潜在破坏性的可能性因素或者事件,它可能是一些如工作人员缺乏责任心、专业技能不足或恶意篡改等人为因素,也可能是一些如火灾或通讯线路故障等环境因素;脆弱点是指信息系统及财务信息所存在的薄弱环节,它是系统或网络财务信息本身固有的,包括物理环境、组织、过程、人员、管理、配置、硬软件及信息等各方面的弱点。一般来说,脆弱点本身不会带来损失或信息错报,威胁却总是要利用网络、系统的弱点来成功地引起破坏。因此,我们认为网络审计中风险评估的内容应包括以下几方面:①识别被审计单位信息系统及其基于网络的财务信息可能面临的威胁,并分析威胁发生的可能性;②识别被审计单位信息系统及其基于网络的财务信息可能存在的脆弱点,并分析脆弱点的严重程度;③根据威胁发生的可能性和脆弱点发生的严重程度,判断风险发生的可能性;④根据风险发生的可能性,评价风险对信息系统和基于网络的财务信息可能带来的影响。