[關鍵詞]網絡審計；風險模型；網絡風險；傳統風險

一、網絡經濟環境之下審計風險模型重構的必要性

審計，作為一門，是社會經濟環境的產物，是與特定了條件相聯系的。審計環境有外部環境和內部環境之分，審計環境發生變化，審計本身必然要做相應的調整。隨著我們進入21世紀，審計的內外環境發生了明顯的變化，這些變化要求審計本身做出相應的調整。因此審計風險模型的重構成為當務之急。

（一）審計外部環境的變化

1、經營環境的變化

隨著和網絡技術的發展，傳統的店鋪式的經營模式將越來越多的被信息化的網絡貿易所取代，電子商務成為商業企業主要的經營模式。全球的網上銷售額2000年就已達到了3000億美元（世貿組織測定），2004年更超過7兆億美元。電子商務這種嶄新的商務模式，在我國也得到了迅猛發展：由1996年的幾萬網民，激增至2004年的超過1億網民，B2C、B2B、C2C、B2G等商務模式日益走紅，門戶站點風靡全球。截至2001年12月，我國電子商務網站達300余家，到2004年電子商務網站經過重組形成了如ebay等數家商業航母；到2004年我國的電子商務交易總額突破了4400億人民幣，2005年將激增到6200億人民幣。電子商務這種與傳統商業截然不同的商務操作和管理模式，使企業的經營模式發生根本性的變革：客戶可以從網上了解商品，詢問價格簽訂合同，發送訂單，企業可以通過網絡確認交易，出口報關，發送商品（僅限于信息產品），傳遞發貨單，劃賬結匯等。這已經遠遠超出了傳統審計所能涉及的領域。企業經營環境是審計風險考慮的一個重要因素，是企業審計風險評價體系的開始。電子商務下的網絡貿易要求我們對于審計風險進行再認識。

2、實時報告的要求

隨著現代審計的發展，審計對象對于審計報告的實效性加強，實時性審計越來越被人們所重視。但傳統的事后性的審計監督所帶來的缺陷就是不能及時發現問題，防患于未然，而克服這一缺陷的重要措施就是開展事前和事中審計。現在借助于網絡，使審計人員能夠遠程訪問被審計單位存放財務信息的機，就可以對被審計單位的經濟活動，進行實時的監督，從而可以及時發現問題并及時解決。此外，通過實時監督，隨時掌握審計對象的經濟活動比如財務收支和資產負債等情況，還能夠準確、及時地為決策部門提供決策信息。從而最大限度地發揮審計監督的作用。

3、會計系統的變化

隨著信息技術的發展，信息化的財務會計系統普遍在各大企業中，傳統的會計模式逐漸退出歷史的舞臺，會計電算化廣泛推廣開來。經濟業務產生的原始憑證以電磁波信息的形式在網上傳遞并存儲于磁性介質中，會計的確認、計量、記錄和報告都集中由計算機按程序指令執行。因此審計人員面對的是企業的電算化會計信息系統和網絡賬務系統，企業的賬務系統以程序語言的形式存放于計算機中，難以對會計處理內控制度形成全面的感性認識。網絡審計面對的企業內部環境是一整套電算化會計信息系統的合理有效性、安全程度直接到審計工作的質量和效率。同時由于市場準入條件的放寬和有關商務的不健全，外部環境的不穩定因素劇增，來自企業外部經營風險凸現，原有的內控制度效果減弱，盡而增加了審計的風險。

（二）審計內部環境的變化

1、審計證據和審計線索的變化

在傳統會計中，一般由經濟業務產生紙質原始憑證，然后會計人員根據原始憑證編制記賬憑證，根據記賬憑證登記明細賬和總賬，期末再根據各賬簿編制會計報表。每一步都有文字記錄，審計線索十分清晰，審計證據主要由書面證據組成。而在交易及核算都實現網絡化的環境下，企業與外部的交易和企業內部業務處理的憑據都以電子信息的形式保存，并在網上傳遞，編制記賬憑證、登記賬簿、編制會計報表都由計算機按指定程序執行，實現會計核算自動化。因此，傳統意義上的審計證據和審計線索都將消失。

2、審計的工作方式的變化

（1）網絡改變了審計信息收集方式。

收集審計信息主要是收集審計證據，我國的《獨立審計基木準則》規定，注冊會計師在審計過程中可以采用檢查、監督、觀察、查詢及函證、計算和性復核等審計程序獲取審計證據。而在網絡環境下，幾乎所有資產都由計算機實時動態管理，企業所有的會計資料和相關資料都存放于互聯網上，審計人員就可采用網絡交談和發電子郵件等方式進行查詢和函證，也可進行檢查、觀察、計算和分析性復核。這樣與傳統審計相比，網絡審計將提高審計證據的及時性和客觀性，降低收集審計證據的成本。

（2）網絡改變了審計信息加工、傳輸和存儲模式。

傳統的審計工作主要通過檢查憑證、賬簿和報表，核對賬證、賬賬、賬表和賬簿與外來資料是否相符來加工審計信息，而在網絡環境下，隨著紙質載體的消失和網絡信息系統自身強大的核對、檢查和內部控制功能，傳統意義上的審計工作被大大簡化，只有在某種特定條件下還須由人來監盤實物庫存、實地觀察實物變動及其記錄。而且由于網絡高度的信息共享性、實時性和動態性，審計信息輸出如WEB信息發布讓市公司的報表信息的充分披露與審計有關法規的發布、審計信息存儲和檢查等都將充分利用互聯網和企業內部網進行，實現了審計工作辦公自動化。

3、審計機構的組織方式的變化

網絡審計提供了一個信息資源共享的便捷渠道，使得審計能夠從傳統的孤立的單兵式向系統性的協同式過渡。在傳統的審計過程中，各個審計組之間的信息交流和溝通是比較困難的，一個審計組掌握的全部信息很難使其他的審計組或匯總部門也都掌握。雖然將這些信息以審計報告等形式上報，由匯總部門進行匯總之后，也能提供被審計對象的比較全面的信息，但是由于審計報告中的信息都是經過個人判斷后選擇的結果，是不全面的，匯總部門也很難把握審計對象的全貌。因此，對審計對象的總體評價就可能偏離要害，審計效率不高，審計風險卻會加大。現代信息網絡技術的發展和廣泛應用，使得進行系統性的審計成為可能。

4、審計技術的變化

在網絡環境下，傳統的審計技術已不能適應的需要。在網絡審計下更多使用電子技術，從審計證據的收集到證據的處理全部在微機上進行無紙化的辦公。審計過程中更多的運用先進的財務工作軟件，審計過程中的認為因素大大減少，提高了審計意見的客觀性和獨立性。

二、網絡風險的定義及分類

審計環境的變化同時帶來了審計風險的變化。在網絡審計過程中，網絡風險是一個不可忽視的風險因素。

（一）網絡風險的含義

所謂的網絡風險是指在網絡審計過程中，審計人員及被審計單位由于采用信息化審計技術或財務會計技術，而致使審計人員對公司的財務報表發表了不恰當的審計意見。

從我們給出的定義可以看出以下幾點：

1、網絡風險涉及的對象是雙向的。他一方面涉及到被審計單位的狀況，另一方面又涉及審計部門自身的狀況，這樣使的網絡風險的決定因素非常的復雜。

2、網絡風險是直接由計算機網絡帶來的。無論是被審計單位的先進的財務信息系統還是審計部門的審計分析系統，都是以電子信息技術為基礎的，都要借助于計算機和互聯網。進而網絡風險因素更多的是由于信息技術問題帶來的風險。

3、網絡風險可以致使審計人員發表錯誤的審計意見。網絡風險直接威脅審計人員獲得的被審計單位的財務信息的真實性，失去了真實性，那么審計人員也就不可能對被審計單位的財務狀況做出正確的評價，進而形成公正、客觀的審計報告。

（二）審計風險的分類

審計風險一般分為可控風險和非可控風險。可控風險指審計人員在審計過程中可以控制的風險因素；非可控風險指審計人員在審計過程中不可以控制的風險因素。可控風險主要是針對審計單位的審計工作而言的，即可以通過自身的工作盡可能降低的風險。這種風險不是本處論述的重點。

1、不可控風險

這種風險主要是由被審計單位自身的財務信息系統或審計單位自身審計信息系統的這樣或那樣的缺陷造成的，是審計人員無能為力的因素。

（1）系統風險

這一風險是審計單位和被審計單位都無法控制的風險。

計算機系統本身具有脆弱性，這是任何一個被審計單位都不可避免的。當計算機硬件或計算機軟件、網絡本身出現故障時容易導致網絡系統審計數據丟失，甚至發生癱瘓現象。在互聯網條件下，網絡審計系統具有其分布式、開放性、遠程性實時處理的特點。這個特點既有其優越性，可以實現資源共享，使很多人受惠，但也有其缺陷性，系統的可控性、一致性、安全性較差，一旦出現故障，影響很大，且不易恢復。這樣，既不利于保守國家機密，又損害企事業單位，審計機關和審計團體的利益。

（2）黑客入侵，病毒危害風險

在網絡化系統中，計算機病毒不再靠磁盤或光盤傳播，開始通過電子郵件傳播計算機病毒。黑客的入侵也相當猖獗，主要來自社會上一些不法分子對企業、事業單位和政府機關互聯網的入侵。這種風險范圍廣，危害性大。它包括截收、仿冒、竊聽和黑客入侵。花樣繁多的病毒入侵，讓人防不勝防，隨著網絡化的迅速普及和廣泛應用，計算機病毒的傳播呈現渠道多樣化、速度快捷的特點，危害也在不斷加劇，這對網絡化審計系統資源構成很大威脅。

（3）系統關聯方道德風險

主要指關聯方非法侵入企業網絡財務軟件系統，以剽竊財務數據和知識產權、破壞系統、干擾企業正常交易等產生的風險。企業關聯方主要包括客戶、供應商、軟件開發商，也包括銀行、稅務、審計、保險財政等部門。企業與關聯方之間的通過外聯網進行業務和數據交換，這種特殊的交換關系使關聯方之間道德風險的發生成為可能，尤其是軟件開發商，他們非法入侵企業財務系統不易被發現，其危害是不容忽視的。

（4）內部人員的操作風險

操作風險主要包括操作程序不規范和操作人員防范意識不強造成的。如審計人員或會計人員缺乏安全意識和網絡安全防范措施，對于網上下載的電子郵件或會計信息資源不做安全性技術檢查、測試，或僅用個人生日或單位電話號碼作密碼，這些密碼好記也好破譯，安全性較差。另外，企業會計人員對會計數據的非法訪問、篡改、泄密和破壞等方面的風險。有資料統計，大部分非法闖入者來自內部雇員，這些通曉網絡知識的內部控制人員通過嵌入的非法舞弊程序，大量侵吞國家財富或企業資產。

三、審計過程中對網絡風險的估計、量化

通過以上的比較分析，我們不難發現在新的審計環境下，審計的風險模型確實有重構的必要性。下面是我對網絡風險的各構成要素的進一步闡述，它包括因素構成、因素的項目風險評價和綜合風險評價。網絡風險具體有6個影響因素構成，用公式表示為：網絡風險的計量=被審計單位的計算機財務會計信息系統的系統漏洞 會計信息系統的開放性 最新的病毒報告狀況 防火墻的性能 以往會計信息系統的運行狀況 審計單位自身的信息處理系統的安全性評價。

（一）被審計單位的計算機財務會計系統的系統漏洞估計

醫生治病也需要先尋病根，確定網絡系統的風險大小，首先應該知道這個系統的弱點和漏洞，其弱點和漏洞的嚴重程度是決定整個系統風險大小的一個重要方面。而一個網絡系統中的漏洞大致可以包括三種不同類型：

1、實現漏洞：所有的系統實現都不可能沒有漏洞，盡管設計可以是無懈可擊的。軟件“Bug”是最典型的漏洞，例如：著名的sen山mail程序的漏洞被許多人用來獲得系統的非授權訪問。實現漏洞在操作系統、數據庫系統中是不可避免的，并且這些漏洞還無法預測，往往只能依靠大量的使用來發現，依靠供貨商的升級和“補丁”，依靠安全專家的警告。

2、設計漏洞：攻擊者使用的另一類漏洞來源于設計階段，這一類漏洞更難發現，同時也更難彌補，因為漏洞來源于設計，軟硬件實現完全圍繞設計實現。這種漏洞是固有的，只有依靠重新設計和實現。典型例子仍是著名的sendmail程序，即使sendmail的實現無懈可擊，仍然可以利用sendmail程序反復生成郵件，從而實現拒絕服務攻擊。

3、配置漏洞：這是攻擊者最喜歡的漏洞，也是最常見的漏洞。配置漏洞來源于管理員（或用戶）錯誤的設置。許多產品制造商在產品出廠時往往為用戶設置了許多默認的參數，這些設置基于對用戶環境的充分信任，以方便新用戶的使用。但這些出廠設置可能會帶來嚴重的安全漏洞。典型的配置漏洞包括：繼續使用賬號的出廠默認參數，使用默認的文件訪問權限設置，以及開放有漏洞的服務等。

通過以上的漏洞，作為注冊師應該根據被審計單位的系統狀況對被審計單位的財務會計信息系統的安全性做出評價。此處，我設置了3個水平的評價指標：高、中和低。

高的風險，指被審計單位的財務會計系統混亂，財務軟件漏洞很多，財務系統運作混亂，不能進行相應的會計信息處理，會計信息的真實性無法保證。

中等的風險，指被審計單位擁有一套比較完善的財務會計系統，但財務軟件存在著致命性的漏洞，僅基本上能夠保證真實性的要求。

低的風險，指被審計單位擁有一套完善的財務會計系統，系統設置能夠適應業務的需要，系統中不存在明顯的、致命性的設計漏洞，能夠提供真實、客觀的財務信息。

（二）會計信息系統的開放性

會計系統的開放性指能夠接觸到會計信息系統的終端用戶的范圍。一個會計系統的終端使用者越多，那么他所面臨的網絡風險越大。在會計信息系統的開放性中值得一提的是網絡開放性問題，如果一個公司的財務系統要上網向公眾公告，那么會計系統將承受更多的網絡風險。具體的評價指標也有3個即：

高的開放性，指會計信息系統要向與Internet相連接，向公告。

中的開放性，指會計信息系統只在本單位的局域網中開放，不與Internet相連接，除了滿足公司管理的需要，不需要向社會公眾公告。

低的開放性，指會計信息系統不存在分布式的設計，不需要聯網工作，僅僅在財務部門內部使用，不向外公告。

（三）最新的病毒發布情況

病毒和黑客是機系統致命的敵人，最新的病毒發布狀況直接決定了財務信息系統在當時的風險因素的大小。如果審計期間有大規模的且非常厲害的病毒爆發，那么網絡風險就會高，也就要求審計人員做出大量的技術處理以避免病毒攻擊，確保信息的安全、可靠。具體的評價指標也有3個即：

高風險，指在審計期間出現了大量的新的對系統有致命損害的病毒，且這種病毒的防范措施尚未形成，沒有專門的殺毒軟件可以處理。

中風險，指審計期間出現一些新的毒，但這些病毒對于計算機系統的傷害并不是致命，而且采取相應的措施可以有效的避免病毒的感染。

低風險，指審計期間沒有新的病毒發布，一些常規病毒以被審計單位的技術水平完全可以應付。

（四）防火墻的性能

防火墻的性能直接決定被審計單位的財務信息安全狀況。被審計單位的防火墻性能好，則可以避免前面所說的系統開放性及最新病毒的攻擊問題，從而整體上降低財務信息系統的網絡風險。相反，則會加重前面的風險系數。防火墻的性能其實是前面提到風險的加乘系數，這個系數可能是正的亦可能是負的。如果為正，那么整體風險增加；如果為負，則整體的風險水平會因為防火墻的存在而降低。具體的評價指標有2個即：

高風險，指防火墻的性能不穩定，對于一些常規病毒的入侵無法應對，防范性能等于0.

低風險，指防火墻的性能穩定，能夠有效的防范病毒的進攻。

（五）以往會計信息系統的運行狀況

由于網絡系統問題的暴露有一個時間過程，則會計信息系統以往的運行狀況對于審計人員進行被審計單位的網絡風險水平評價具有價值。如果被審計單位的會計信息系統以往的運行狀況良好，沒有出現任何的重大錯誤，則我們可以推定在審計過程中，被審計單位的信息系統不會有重大的差錯，可以接受被審計單位信息系統的數據，進而可以降低整體的項目可接受的審計風險水平。如果被審計單位的會計信息系統在以往的工作中的表現不盡如人意，那么審計人員在對被審計單位會計信息系統的數據接受時，就要采用審慎的態度。這里我們設定的水平指標同樣有以下三種：

高風險，指被審計單位的財務信息系統以往的工作表現欠佳，曾經出現過重大會計差錯問題。

中風險，指被審計單位的財務信息系統以往的工作表現一般，曾出現這樣那樣的非重大差錯。

低風險，指被審計單位的財務信息系統以往的工作表現良好，以前沒有出現任何的非認為的系統處理錯誤。

（六）審計單位自身的信息處理系統的安全性評價

在網絡審計情況下，審計人員的審計手段更多的借助于網絡的高產品，計算機信息處理系統在各大會計事務所廣泛。同樣的審計單位同樣要面對網絡風險的沖擊。所以審計單位在對被審計單位風險進行精確評價的同時還應對自身的網絡風險水平進行系統的評價。審計單位的評價過程可以參閱前面的被審計單位的評價，此處我們不在一一重復。

（七）網絡風險各因素間的關系

網絡審計情況下的對于審計的網絡風險的總體水平評價可以采用圖表的形式加以說明：