资源描述:
《网络系统对审计的影响论浅》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
网络系统对审计的影响论浅网络系统对审计的影响,这就给传统审计提出了新的要求,本文就网络系统对审计的影响提出一些看法。在计算机网络技术高速发展的今天,许多企业以内部网络(Intra)为手段和Intra网融为一体,使其会计信息的处理越来越数字化,和手工操作或单机运行下的会计信息的输入、传递、处理和输出有了很大差别,这就给传统审计提出了新的要求,本文就网络系统对审计的影响提出一些看法。计算机网络是通过数据传输和数据交换网,利用通信线路把分布不同地点的多台电子计算机、大容量存贮器、各种输入输出设备等互相连接在一起的一个系统。这个系统最大的特征就是资源可以共享。在这种网络系统中,各用户对所管理的不同方面负责,通过中心控制器将各自的信息进行适当交换,并可根据需要有选择地利用对方的系统进行有关操作(需授权)。有的采用联机数据输入技术,输入数据时不产生和留下原始凭证,或者采用实时文件更新技术,各原始数据在输入计算机后,立即处理,数据文件随时都在更新,而且计算机也不会随时打印信息处理结果,也就是没有输出信息。计算机网络的特征和处理会计信息的方式极大影响了传统审计,从以下几个方面我们可以窥见一斑。一、审计范围在非网络审计中,审计的范围具体说就是审计单位,而且是少部分有权力进行手工或单机运行处理会计信息的人员。审计涉及的范围较窄。网络系统之下审计范围仍然没在改变,但是其触角却延展开去,这是为什么呢?笔者认为在网络系统中能接触到会计信息处理的人可能不仅仅是审计单位的少部分人员,由于其资源的共享性,使得访问共享资源的人可能非法进入,那么能接触会计信息处理的人就有可能涉及整个网络用户,也就是说出现数据错误就可能不是审计单位造成的,这样就很难确定责任人,假如再把审计范围局限在审计单位似乎不太公平。但又为什么说审计范围不变呢?笔者认为审计范围触角延伸只是意味着审计人员考虑审计事项的思路应该拓宽,也就是要从网络角度考虑,只是审计人员没有时间也没有精力去审计网络所涉及的全部用户,更不可能去审计审计单位责任以外的其他责任人。但是应考虑到审计范围的延展是会影响审计效果的。二、审计对象 传统审计对象包括两方面的内容摘要:1、被审计单位的财务收支及其有关的经营管理活动;2、被审单位的各种作为提供财务收支及其他有关经营管理活动信息载体的会计报表和其他有关资料。在网络系统中其资源共享的优势使得系统中各工作站都可能同时使用一个信息,由各自封闭的系统向整个信息系统敞开,互相影响,互为前提,彼此依靠,也就意味着对网络系统的依靠性大为提高,比如说对于联机贸易,除了最终报告,其信息处理和存贮都具有不可见性,使得所有访问者都只能依靠系统享用最终报告。那么当被审计单位会计人员过于放心网络系统,而网络系统不能政党发挥其职能,如黑客、病毒攻击、通信技术失灵等,手工或单机下的审计对象的真实、正确、合法等就无从谈起,因此审计对象在网络系统中扩大、网络系统的设计、实施等内容也出现在审计对象中。三、审计所依据的信息网络信息安全的技术探讨,代表了一个国家的军事实力和经济实力,今天,对信息技术的控制将是领导21世纪的关键。有人说,信息安全就像茫茫宇宙中闪烁的星星一样无序,看得见摸不着,具有混沌特征。过去两个世纪来对工业技术的控制,代表了一个国家的军事实力和经济实力,今天,对信息技术的控制将是领导21世纪的关键。随着计算机技术的发展,在计算机上处理业务已由基于单机的数学运算、文件处理,基于简单连结的内部网络的内部业务处理、办公自动化等发展到基于企业复杂的内部网、企业外部网、全球互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理。在信息处理能力提高的同时,系统的连结能力也在不断的提高。但在连结信息能力、流通能力提高的同时,基于网络连接的安全问题也日益突出。本文主要从以下几个方面进行探讨。1网络的开放性带来的安全问题Inter的开放性以及其他方面因素导致了网络环境下的计算机系统存在很多安全问题。为了解决这些安全问题,各种安全机制、策略和工具被研究和应用。然而,即使在使用了现有的安全工具和机制的情况下,网络的安全仍然存在很大隐患,这些安全隐患主要可以归结为以下几点:?(1)每一种安全机制都有一定的应用范围和应用环境。防火墙是一种有效的安全工具,它可以隐蔽内部网络结构,限制外部网络到内部网络的访问。但是对于内部网络之间的访问,防火墙往往是无能为力的。因此,对于内部网络到内部网络之间的入侵行为和内外勾结的入侵行为,防火墙是很难发觉和防范的。(2)安全工具的使用受到人为因素的影响。一个安全工具能不能实现期望的效果,在很大程度上取决于使用者,包括系统管理者和普通用户,不正当的设置就会产生不安全因素。而且安全工具也存在着自身的漏洞,不及时的更新很容易被别人利用漏洞成为攻击的工具。 (3)系统的后门是传统安全工具难于考虑到的地方。防火墙很难考虑到这类安全问题,多数情况下,这类入侵行为可以堂而皇之经过防火墙而很难被察觉;比如说,众所周知的ASP源码问题,这个问题在IIS服务器4.0以前一直存在,它是IIS服务的设计者留下的一个后门,任何人都可以使用浏览器从网络上方便地调出ASP程序的源码,从而可以收集系统信息,进而对系统进行攻击。对于这类入侵行为,防火墙是无法发觉的,因为对于防火墙来说,该入侵行为的访问过程和正常的WEB访问是相似的,唯一区别是入侵访问在请求链接中多加了一个后缀。(4)只要有程序,就可能存在BUG。甚至连安全工具本身也可能存在安全的漏洞。几乎每天都有新的BUG被发现和公布出来,程序设计者在修改已知的BUG的同时又可能使它产生了新的BUG。系统的BUG经常被黑客利用,而且这种攻击通常不会产生日志,几乎无据可查。比如说现在很多程序都存在内存溢出的BUG,现有的安全工具对于利用这些BUG的攻击几乎无法防范。(5)黑客的攻击手段在不断地更新,几乎每天都有不同系统安全问题出现。然而安全工具的更新速度太慢,绝大多数情况需要人为的参与才能发现以前未知的安全问题,这就使得它们对新出现的安全问题总是反应太慢。当安全工具刚发现并努力更正某方面的安全问题时,其他的安全问题又出现了。因此,黑客总是可以使用先进的、安全工具不知道的手段进行攻击。2网络安全的防护力漏洞,导致黑客在网上任意畅行非网络系统中,审计所依据的信息是指形成审计证据的各种文字、数据以及电子计算机的磁带、磁盘、磁鼓等。这些信息主要于手工输入或键盘输入。网络系统中,审计所依据的信息完全可能通过网络中其他用户处得到,这大大削弱了非网络系统的输入控制,渠道的多样化,使审计线索也变得复杂而紊乱,加大了审计难度。四、审计主体 审计主体即实施审计监督的执行者,也就是审计机构和审计人员。网络系统的发展应用,使得审计人员必须渗透到网络系统的设计、实施、计算机的应用程序,甚至到每一个数据文件中去。《国际审计准则第15号》有关电子数据处理环境下的审计中规定摘要:在电子数据处理环境下进行审计时,审计人员应对被审计系统的计算机硬件、软件和处理系统有充分的了解,以进一步对委托审计的条件做出计划,并了解电子数据处理对内容控制的探究和评估的影响和需要采用的审计程序,包括计算机辅助审计技术的应用。审计人员还应对实施审计程序所必需的电子数据处理具有足够的知识。这无疑对当前缺乏计算机知识或把握不够全面的审计人员是个巨大的挑战,也许有人认为完全可以请计算机专家辅助审计即可,虽然这不失为一种解决之道,但是我们应熟悉到对审计人员来说是最有利的审计证据而对计算机人员来说可能再正常不过了,各自衡量同一事物的标准是完全不一样的,因为计算机专家可能不懂审计。而且审计机构和人员以外的辅助人员越多,越依靠于他们,审计人员的独立性地位、客观公正、实事求是的精神就会受到越大威胁。但尽管如此要使我们的审计人员精通计算机,在当前是很困难的。所以给我们的审计带来了许多不利影响。五、审计风险一般认为审计风险由固有风险、控制风险和检查风险组成。网络系统对审计的影响它们之间的关系是摘要:审计风险=固有风险控制风险检查风险。网络系统中资源的共享性和数据存取的灵活性,使整个系统的平安难以控制,尤其是用户的分散,数据平安控制等完全左右了控制风险和检查风险的水平。而其固有风险笔者认为在计算机辅助下是应该可以降低的。从总体上来看,审计人员对审计风险的控制难度加大,并且其控制办法也会和非网络系统下有所不同,究竟所面临的宏观环境已有很大改变。网络系统对审计的影响是极具震动性的,除了笔者所述的几个方面,还有诸如通信技术的改变等方面。如何适应新的审计环境是我们审计人员面临的重要课题,本文仅就以上内容作出分析以期对审计工作有所帮助。
