证券公司计算机审计方法论文

建立一套完整贯穿审计业务的前台和后台的审计信息系统，是公司重要的内审手段。当前证券市场交易量的持续攀升考验着各式各样的交易系统，这时，IT内审被推到了关键位置。内部审计在证券公司经营管理中处于极其重要又特殊的地位，它是内部控制系统的重要组成部分，也是企业监督与评价内部控制的主要手段。下面是小编整理的《证券公司计算机审计方法论文 (精选3篇)》，仅供参考，大家一起来看看吧。

证券公司计算机审计方法论文 篇1：

中小证券公司信息系统审计的问题与对策

证券公司的业务开展和管理离不开信息系统，信息系统在证券公司经纪业务、自营投资业务、融资融券业务、客户资产管理业务以及业务清算、财务核算、风险监控、合规管理等业务活动与经营管理中广泛应用，已经成为为证券公司经营管理提供关键服务的核心资源。证券公司在获得信息技术带来的效率和收益的同时，也面临着更为严峻的风险，这种风险逐渐引起行业监管部门与公司管理者的高度重视。而现代内部审计的理念协助企业防范风险，作为企业内部控制组成的内部审计部门，如何有效的开展IT审计，通过审计促进证券公司管理IT风险、实现信息系统的安全运行和公司其他目标，是我们必须思考的问题。

一、证券公司开展信息系统内部审计面临的问题和难点

(一)中小券商IT审计环境有待改善。

《证券期货经营机构信息技术治理工作指引》要求“证券公司应建立内部IT 审计制度，至少每两年进行一次IT 审计”，但一些中小券商的IT内部审计业务开展还不够深入。首先表现为公司高层对IT内部审计认识不足、信心不足：一是对内部审计的认识依然停留在传统的财务审计领域;二是认为内部审计难以胜任，信息系统专业性强而内部审计根本不具备专业能力。其次，作为被审部门的信息技术部门因其专业性强的特点，从未接受过内部审计，因此，工作上存在抵触情绪。再次，內审部门的人员也有畏难情绪，一旦IT审计不到位，必将加大审计风险。上述情况导致其内部审计很难在该领域有效开展。

(二)信息系统审计资源限制。

IT审计人员与审计技术工具是影响信息系统审计的两个重要资源因素。内部审计准则第28号要求，IT审计人员应当通晓IT技术并掌握内控、管理和审计技能。而实际工作中，在企业具有多年IT从业经验又具备审计技能的复合型人才较为缺乏。2002年中国大陆引入注册信息系统审计师(CISA)考试培训以来，截止目前获得CISA资格的人也仅1000余人，专业人才资源的缺乏制约了券商有效开展专业的信息技术审计。

审计技术工具是影响IT审计系统质量与效果的另一个关键因素。鉴于IT审计技术性和专业性极强的特点，内部审计部门配备访问控制分析软件、系统配置分析软件、测试数据生成器、固件监测器等技术工具往往又受制于企业的财务预算限制和公司对信息技术的安排。

(三)信息系统审计标准缺乏。

COSO-ERM框架提出企业的风险管理应建立在一系列指标或标杆基础上实施事项识别、风险评估与应对。证监会2011年12月以行业标准(JR/T 0060-2010)形式颁发的《证券期货业信息系统安全等级保护基本要求》也对证券公司设置了五个等级的安全保护能力标准，券商应根据业务发展和风险控制能力制定适合本企业的风险控制等级标准。但实际工作中，还存在券商并未建立IT控制基准或基准建立没有涵盖所有系统的现象，这就造成了IT审计中缺乏标准和依据。

(四)信息系统风险的识别与评估的体系尚未建立。

在证券公司日常业务中出现的服务器宕机、通信中断、网络病毒等方方面面的风险事件，会给证券公司带来巨大损失。很多情况下，证券公司对IT风险的管理仍然停留在风险发生之后的分析与补救，没有形成一套对潜在风险开展系统化的识别与评估的方法，定期的风险识别评估机制的缺乏、审计环境基础薄弱成为开展风险导向型信息系统审计所面临的一个难点。

二、证券公司开展信息系统审计的对策

中国内部审计协会2009年1月1日正式发布施行的《内部审计具体准则第28号——信息系统审计》也标志着国内在内部审计领域开展的IT审计走向成熟，准则的颁布对证券公司信息系统内部审计工作具有重要的指导意义。针对证券公司信息系统审计所面临的问题和难点，本文从以下方面探讨其解决方案。

(一) 促进内部审计环境的不断改善。

内部审计效能发挥的关键取决于公司高层对内部审计的态度，为营造良好的内部审计环境应从以下三个方面入手：

1.加强内部审计准则和风险导向审计理念的宣传。证券公司高层对现代内部审计在企业全面风险管理(包括IT治理)中作用正确认识，才能使内部审计能够从公司高层获得信心支持、立项支持与财务支持，IT审计才能有效地开展。

2.内部审计应该树立主动服务意识与沟通意识。开展IT审计不只是对IT系统的检查和问题的揭示，更应该是协助公司高层，帮助信息技术部门把控IT风险，防范证券业务风险。因此沟通技巧也是有效开展IT审计的重要影响因素。内部审计部门在沟通方面，应积极主动与公司高层加强沟通以获取支持，与IT管理部门平等、协作取得IT部门的理解、配合，目的在于维护IT系统的安全运行。

3.内部审计人员不断加强信息系统学习。IT审计人员应该积极掌握和熟悉内部审计业务，具备必要的信息技术及信息系统审计的专业知识，克服畏难情绪，知难而进，树立“有为才有位”的观念。

(二) 建立并实施内部审计发展规划，化解IT资源稀缺的矛盾。

证券公司应该结合行业的发展、业务的开展和管理的需要，重新定位内部审计，建立内部审计发展规划，将审计资源稀缺问题纳入到证券公司的整体发展规划之中。

1.内部审计部门应该结合业务的发展，配备适当的IT审计人员。通过内部培养、外部引进相结合的方式发展IT审计人员，鼓励审计人员取得注册信息系统审计师职业资格，通过人员选聘、培训、技术设施配备等措施化解IT审计资源不足的矛盾。在审计部门暂时不具备IT审计能力的情况下，内部审计部门可以聘用外部专家或内审业务外包的形式开展IT审计，通过审计成果，提高内部审计的履职效能。

2.证券公司应结合业务发展和审计的需要给予必要的支持，在系统权限、专业审计工具引入、财务预算分配等方面放宽限制，确保IT审计质量和审计效果。

(三) 推动证券公司建立明确的IT控制标准。

建立并应用明确的IT控制标准作为审计依据可以提高审计的质量与效果。鉴于证券监管机构已推出《证券期货业信息系统安全等级保护基本要求(试行)》等行业规范，在物理安全、网络安全、主机系统安全、应用安全和数据安全等技术上的五个层面以及安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面已做了明确的要求，IT审计人员应在审计过程中推动公司建立适合公司自身的IT控制标准。

在企业尚未建立全面、明确的IT控制标准情况下，审计人员应当根据实际情况，结合企业战略、目标、风险偏好及成本效益等因素，采用国际通用标准与成熟实践(如COSO、COBIT、ISO27001等)作为审计的依据，同时推动IT治理层对这些标准的认可和采用。

(四) 积极探索IT审计方式，促进IT治理不断完善。

内部审计部门应结合本公司的实际，在IT审计开展初期，审计部门应加强内部审计准则和证券行业的IT监管要求的宣传，使公司从董事会、经营层到业务部充分了解IT控制规范，认识IT治理、防范IT风险的重要性。审计部门通过选派审计人员深入IT业务部门蹲点学习，开展系统的IT调研和IT自查活动等，帮助IT部门发现问题，共同探讨解决方案，提出富有成效的建议。通过转变IT审计方式与成果运用，引领、促进IT控制標准的建立，IT自我评价标准机制、IT监测机制的改进，促进IT治理的不断完善，从而为IT内部审计的有效开展创造良好的环境条件，以达到相互促进，共同发展的目的。

(五) 建立完善的信息系统审计策略。

1.建立系统化的审计实施流程。实施信息系统审计的首要任务是找出证券公司所面临的各类信息系统风险，对所有的信息系统风险进行系统地分类与识别。内部审计部门对风险的识别和评估有别于IT部门的定期风险自查式识别、评估，它是建立在IT风险评估基础上的再评估，审计中不仅关注对识别风险的控制恰当与否，还要从第三方角度发现未识别和未控制的风险，评价风险识别机制，这也正是IT审计的核心所在。

2.建立系统化的风险识别标准。我们在进行风险识别过程中，采用中国内审协会《内部审计具体准则第28号——信息系统审计》，它对信息技术风险的分类进行了规定，将各类IT风险归类为组织层面的IT风险、一般性控制层面的IT风险及业务流程层面的IT风险3个层面。

其中，组织层面风险是指IT治理、控制环境与组织框架等方面的风险;一般性控制层面的风险主要指IT基础设施与运行风险;业务流程层面风险指应用系统在业务数据输入、处理与输出过程中所产生的风险。各层面风险既有独立特征，又相互关联。

我们在对IT风险识别过程中，可以借鉴国际通用的IT风险控制的分类方法，如COSO框架的5项要素(内部环境、风险评估、控制活动、信息与沟通、监控)或是COBIT框架的4个领域(计划与组织、获取与实施、提供与支持、监控与评价)。尤其是通过将现行内部审计具体准则与COBIT相结合的方式，可以更加系统与清晰地对IT风险进行有效识别。

3.设计并运用适当的风险评估模型。风险评估过程是对已经识别的证券公司IT风险进行风险度、重要度的测量与排序。风险评估的技术与方法有很多种类，不同的风险评估方法也有不同的优势与缺陷。我们根据证券公司IT风险特点设计了“综合矩阵”评估方法，即主要针对信息系统的技术复杂性、控制水平以及可能造成的财务损害等因素在规定的范围(如根据风险高低取值10-0分)内以定性与定量相结合方式进行风险评分，并对累计分值排序，决定审计的优先级。

4.采用实用恰当的IT审计方法。在信息系统审计中，为了达到审计目的，必须收集大量存储于计算机的数据，并借助于计算机对这些数据进行分析，以得出结论。这个过程通常要运用到一些计算机辅助审计技术方法。我们以连续在线审计为例，常用的审计方法包括嵌入式审计模型(SCARF/EAM)、整体测试法(ITF)、快照、持续性与间歇性模拟(CIS)、审计钩等。目前，多数ERP软件包、操作系统和网络管理软件都提供了连续监控与连续审计工具的采样器，针对这些环境，如果适当地配置、应用相关规则、设置参数与公式，投入审计后可以获得预期的例外交易清单。我们以SCARF/EAM实现过程为例。SCARF/EAM方法是信息系统审计师在认为重要的控制点上嵌入审计模块对系统中的事务进行连续的监控，将收集的信息写入一个特殊的审计文件——SCARF主文件，可以较深入检测系统的安全性能，提高审计发现能力。

(作者单位：西部证券股份有限公司)

作者：吴晓凤

证券公司计算机审计方法论文 篇2：

证券风险防范与IT内审

建立一套完整贯穿审计业务的前台和后台的审计信息系统，是公司重要的内审手段。

当前证券市场交易量的持续攀升考验着各式各样的交易系统，这时，IT内审被推到了关键位置。

内部审计在证券公司经营管理中处于极其重要又特殊的地位，它是内部控制系统的重要组成部分，也是企业监督与评价内部控制的主要手段。设立内部审计部门是企业建立自我约束和监督机制的一种措施，是提高核心竞争力以及确保资产保值增值的内在需要，也是公司内部对权力进行监督和制约的需要。

建立一套完整的贯穿审计业务的前台和后台的审计信息系统，是公司重要的内审手段。实践表明，信息技术应用于证券公司内部审计方面，起到了强有力的工具作用。今天，我们逐渐发现，作为内审手段的IT技术本身，鉴于在公司经营和风险中所处的位置，也需要内审，这是证券市场不断变化的形势下的一个全新话题。

2000年后，随着集中交易的全面普及，经纪业务的风险转化为技术风险，技术系统对公司交易、经营变得空前重要。由此，催生了两个前所未有的概念，即系统灾备和IT内审。目的在于，从看得见的系统和无形的制度两个不同的角度上，保证技术乃至交易手段的正常运转。本文将论及后者，即证券公司的IT内审。

分清内容和要求

随着证券公司集中交易系统的建设完成，证券行业的证券业务系统、办公系统、财务系统等全部依赖信息系统平台的支撑，信息系统的安全性、有效性、合理性对于公司的生存与发展变得至关重要。IT内审，就是公司审计人员收集并评估证据，以判断一个计算机信息系统的合规性、安全性、可靠性和有效性。其中合规性主要是指计算机信息系统和相关设计的物理安全、逻辑安全以及相关数据文件和信息的安全。可靠性是指系统运行稳定、易于维护，和处理系统的及时、准确和完整。有效性是关于人力、财力和计算机软硬件系统的充分利用。合规性就是指计算机信息系统内部开发或者系统运行管理和使用维护等是否符合有关法规、规章、和规范。

IT内审的依据

证券公司应建立一套完整的内部评审体系。

IT内审评估体系可另设，也可先在稽核部门增设此功能。甚至可以每年通过外聘的审计事务所对公司信息系统进行审计。

此体系应该隔断与信息部门的建设、立项等事项的一切人事联系，更不可有外部人员兼职于其中。它将独立地以定期或不定期审计的方式运作，以便发现问题的苗头，及时提出预警。

证券信息系统建设必须进行项目立项申请，在立项申请前必须出具项目的可行性报告，并组织相关部门及行业专家对项目进行评估后，才开始进行项目建设，并根据公司采购招标流程进行信息系统设备的采购。

证券信息系统运行的内审，在集中交易后更显出积极意义。集中交易使证券公司所有的营业部到交易所的交易成为“华山一条路”，而“墨菲定理”揭示出，这样的架构肯定存在出问题的必然性。那么，抓住这种必然性的规律，将损失减到最小，就是对系统运行内审的重大任务。

如何看待IT内审成本

显而易见，IT内审的成本会增加IT的总投入。这个成本在完全没有事故隐患的情况下会被看作是一种浪费，但“完全没有事故隐患”是不存在的，特别对“天量”级别交易量下的证券集中交易而言。据悉，美国空军一架战机设计中，安全弹射系统占20%的费用，而且将严重地降低其空中格斗性能，但设计者坚持认为，这部分投入从整体看是合理的。这种概念有助于我们正确看待IT内审的成本。

当然，降低成本永远是经营管理者关注的问题。实施IT内部审计，公司降低信息系统风险、提高信息系统效率是其收益，内部审计人员的薪酬等是其成本，只有当收益大于成本时，建立内部审计才是经济的。对于规模相对较大的企业，建立完善的内部审计体系无疑是理性的，对于中小企业而言，可以将IT审计外包给会计与审计服务中介。

IT内审审什么

对于证券公司的IT内审，更加侧重对系统安全性、可靠性的审计。企业首先要确定一个审计的对象。这个审计的对象就是包括总部及下属各营业部使用的计算机系统、网络系统，还有信息技术基础设施和环境。

审计工作主要包括计算机信息系统开发审计、内部控制功能审计、系统运行管理审计、计算机基础设施管理审计、科技综合管理审计等几方面。开发审计主要包括系统开发计划和立项的管理、可行性分析、开发组织管理、开发过程控制、委托开发的管理、系统需求、系统分析、系统设计、数据迁移、系统试运行等方面的审计。对系统运行管理的审计主要是包括有关制度的建设、岗位设置和人员管理、系统运行的环境、系统软硬件的管理、网络和通信的管理、口令的管理、数据输入和输出的管理、病毒防范的管理、防灾和应急的管理、系统维护升级和废止的管理。对于系统内部功能的审计主要包括系统访问控制、权限控制、系统安全策略和系统功能的设置、数据输入输出控制、数据传输控制、数据库控制、日志文件控制、数据备份和恢复的控制等功能。

对计算机基础设施的管理审计主要包括计算机机房管理、网络管理和个人办公计算机管理。对于计算机机房管理的审计主要是机房的门禁系统、空调系统、防灾系统的管理情况，还有机房管理制度的建立健全情况，相关设备的维护情况。对网络管理的审计主要包括网络整体结构设计合理性、网络安全防护能力、持续稳定运行能力、网络管理、网络维护、网络制度和措施的建立健全和执行情况。对于个人办公用计算机的管理和审计主要是系统的配置、维护和适用。

对科技综合管理情况的审计主要包括对计划的管理、对资金的管理、对设备的管理、对外包服务的管理、还有计算机安全的管理。

开展计算机系统内部审计工作，除了要运用审计的一般性方法和手段以外，还要根据审计工具的特殊性，结合实际情况，在审计的各个阶段探索并运用一系列特有的技术方法和手段。审前准备充分运用问卷、调查、走访等方法，了解和掌握准备要审计的信息系统的有关基本情况，主要包括业务的内容和流程、有关制度的要求、系统的基本功能、系统基本控制的主要机制、系统运行的总体情况以及存在的主要问题。

在开展上述工作的基础上，还要通过绘制流程图等方法，对审计系统的固有风险进行初步分析，并对其内部控制机制进行一个初步的评估，以确定审计的重点。然后拟定详细、具体可操作的审计实施方案，明确审计内容和重点。

信息中心是信息系统建设和运行维护的主体，对内审工作的顺利进行与否起着关键的作用。信息中心在IT内审中可以根据财务部门或其他相关部门的需要，提供审计过程中的相关审计资料和数据。由于信息中心对信息系统的实际情况最为了解，最能提出信息系统整个流程中的风险点，IT内审人员可以从信息部门选拔，但他们必须任职于内审部门方可开展工作。

当前，证券市场交易量的持续攀升考验着各式各样的交易系统，给证券信息技术带来最直接的需求都是同样的“扩容、扩容、再扩容”，以应付投资者越来越高的要求。扩容的进程扰乱了本来有序进行的证券信息系统建设，为了让火车顺利前进，有人要修轮子有人要换轮子，目的都是相同的。置身于这股潮流之中，更需要我们有冷静的头脑，在与技术系统、硬件软件纠缠不清的忙碌中，如何慎重思考IT制度的重要性，从而将IT内部审计真正推上它应有的位置。

链接:IT内审在国际上的发展

目前在国际上，信息系统审计的业务已经超出了为财务报表审计提供服务的范围，与信息安全相关的防火墙审计、安全诊断、信息技术认证以及与ERP相关的新型咨询业务不断涌现。

在大型会计公司内部，信息系统审计部门已经成为一个独立的对外提供多种服务的部门。为财务报表审计提供服务只占信息系统审计部门业务很小的一部分。未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展，这已成为国外会计、审计界的一个共识。

在国外，随着IT审计业务的成倍增长，信息系统审计师已经成为全球范围最抢手的高级人才，其地位正在不断提高。这些人才一般应具备全面的计算机软硬件知识，对网络和系统安全有独特的敏感性，对电子商务、财务会计和企业内部控制有较深的理解。

作者：马光悌

证券公司计算机审计方法论文 篇3：

审计发展的主要方向

【摘 要】随着电子商务的兴起,网络经济作为一种全新的经济形态诞生并得以迅速发展。传统审计遇到了空前严重的挑战而必然的走向了网络化,网络审计在酝酿中呼之欲出。

【关键词】网络审计 必要性 优势 局限 对策

国家审计署审计长说过:“开展计算机审计是一场革命。如果不搞计算机审计,我们将失去审计资格”在当今网络经济时代,计算机审计的主要表现形式就是网络审计。网络审计就是基于互连网,借助现代信息技术,运用专门的方法,通过人机结合,对被审计单位进行审计。证券公司、金融结算机构、民航订票中心、信用卡发放等均已成功地进入电子商务领域,并完成了大量而又可靠的交易。中国两大财务公司“”、“”都已发布了自己的网络财务。以电子商务为基础的网络经济及网络财务的迅速发展使企业的经营方式和管理模式发生了重大变化,对传统审计产生了重大影响。

根据中国独立审计准则20号《计算机信息系统环境下的审计》的规定,网络审计的基本模式是:创建企业档案;建立审计数据库、不定期对企业的会计、内部控制制度进行审查、接受委托;对被审计单位利用审计进行网上综合审计、得出审计结论;向委托人传输审计报告、建立审计档案。

1 网络审计产生的必然性

以电子商务为基础的网络经济的诞生和高速发展及应运而生的网络财务呼唤网络审计的诞生。

电子商务是借助计算机和信息技术、网络互联技术和现代通讯技术来全面实现电子化的交易和结算的商务新模式,具有便捷、经济、高效的特点。证券公司、金融结算机构、民航订票中心、信用卡发放等均已成功地进入电子商务领域,并完成了大量而又可靠的交易。电子商务这种与传统商业截然不同的商务操作和管理模式,已经远远超出了传统审计所能涉及的领域。北京出现的全国第一起利用电子商务逃避纳税案,就从侧面反映出了传统审计面对电子商务时的无力与无奈。

Internet和电子商务的发展直接导致了网络财务的出现。确切的讲,“网络财务”是电子商务的重要组成部分,它以网络技术为基础、帮助企业实现财务与业务协同、远程报表、远程报账及远程审计等远程处理,事中动态会计核算与在线财务管理,实现集团型企业对分支机构的集中式财务管理。据报道,中国两大财务软件公司“用友”、“金蝶”都已发布了自己的网络财务软件。网络财务是企业财务管理从思想观念到方式手段的一次深刻革命,传统审计也必须加快发展步伐和变革力度以适应网络经济及网络财务的发展。

2 网络审计的优势与特点

2.1 审计空间得到拓展

在网络会计环境下,由于会计信息系统的开放性和网络化,使得会计信息资源在极大的范围内得以交流和共享;会计信息涉及到交易关联方的各个方面,同时能访问会计信息的用户可能涉及整个网上用户。因此,为了防止信息的使用者采取恶意操纵行为,破坏和更改会计数据,以及会计数据在传输过程中被截留和篡改等行为,应将审计空间范围扩大到交易关联方以及网上有关信息用户。

2.2 审计时效性得到保障

在网络环境下,由于经营的网络化、虚拟化,使得企业的经营风险加剧,广大投资者、客户及有关部门(工商、银行、税务部门)对会计信息的披露不再满足于年度报表和季节报表,他们渴望及时获取相关会计信息和业务信息以做出决策。而通过网络审计,可满足这种需求。审计部门随时对企业进行审查,及时收集掌握被审计单位的最新会计信息和有关经济业务信息,并向有关各方发布,审计的时效性大大提高。审计从事后审计转变为实时审计,并从静态走向动态。

2.3 审计业务进一步扩大

利用网络会计系统,实现了各业务之间数据的传递和共享,会计系统和其他信息系统的信息传递关系更为密切。这就要求审计人员必须熟悉更多的企业财务及其他业务知识,才能理清各种数据的来龙去脉。

2.4 审计频度进一步增强

在网络会计系统下,由于各部门可以随时将本部门的数据输入进行处理,因此数据更新速度快。

2.5 审计技术更趋先进

网络会计处于庞大的网络系统中,面临着更多安全,审计人员想要了解更多的控制信息和有关的控制制度,就必须掌握更多更先进的知识和审计技术手段。

3 网络审计的局限

3.1 对网络安全性、可靠性的极大依赖

网络审计是借助计算机网络等对网上经济活动及其纪录进行审计,就必然要对网络的安全性、可靠性、准确性产生依赖。

3.2 审计线索的电磁化困境

在网络经济条件下,传统文字记录及经手人签字的审计线索可能完全消失,各种单据、票证和账簿等都以人眼无法直接辨识的电磁信息的形式在网上传递并存储于磁性介质中,只能通过计算机进行审查;并且这些线索还具有被无痕删改、不能永久保存等缺点。如果系统设计时考虑不周,可能到审计时才发现只留下业务处理的结果而不能追索其来源。因此,网络审计要求企业网络财务系统在设计时必须能够多年保留充分的审计线索。

3.3 实时性的挑战

网络审计具有很强的实时性。由于网络系统是持续运行的,所以停下来接受大规模的测试非常困难,这就要求审计人员执行网络审计任务与系统运行同时进行。

3.4 要求建立更好的安全控制

在商务与经营条件下,企业原有的内部控制的某些过程消失后,又出现了一些新的内部控制,如软件使用控制、网络登录控制等。但是,企业资产和经营的安全已无法单纯依靠健全的内部控制来保证。机病毒和黑客攻击随时都可以从地球上的任何地方给网络化企业的安全带来威胁;电磁信息可以删改且不留痕迹;网络化经营管理中的计算机舞弊具有智能性、危害严重性、易逃避责任的特点。因此,网络审计要求建立许多全新的安全控制。

3.5 要求更切实完备的法律法规和准则规范

网络的出现和广泛对传统审计产生了强烈的冲击。旧有的审计标准准则体系和法律法规体系已不能完全适应、指导和规范网络审计的实践。网络本身的虚拟性、实时性、广泛性要求比传统审计更加切实可行、更加完备的标准准则和法律法规的保证。

4 克服网络审计局限的对策

4.1 开发网络审计软件

网络审计借助网络审计软件进行的,加强网络审计软件的研究与开发是发展网络审计所必需的。

网络审计软件的开发可以是自主开发,与软件公司合作开发,完全委托软件公司开发。从现在实际情况和科学性来说,最好选择财务软件公司,它在财务软件制作方面的经验有利网络审计测试软件的开发。

4.2 准备网络审计人才

大批精通网络、计算机及审计业务的审计人员队伍是网络审计能否得以实施的关键。审计人员必须经常更新自身的知识结构才能适应网络审计工作的需要。这就需要在将来的CPA资格考试中适当增加有关计算机、网络理论及操作的考察。定期对审计人员进行相关培训。

4.3 加快审计网络建设

审计网络是网络审计得以开展的物质载体,因此要进行网络审计,必须先进行审计网络建设。一些单位已建立了本单位的网站或局域网,并进行了一些网络应用如:网上发布审计信息、单位介绍、经验交流等,但还没有发挥出网络的真正优势。

我国的网络经济虽然有了很大的发展,和发达国家相比仍很落后,我国电子商务的销售总额仅相当于美国著名电子商务公司亚马逊销售总额的十分之一。而对网络财务研究和软件开发也才刚刚开始,因此审计网络建设不会也不能一蹴而就的。应该从某些易于实现的部分入手,有计划地在一段时间内逐步实现全面的网络审计;从大型的政府或社会审计单位开始,从经济较发达的地区开始,逐步试验、推广。

4.4 加强系统外的审计监督力度

加强对系统开发的审计监督。在系统开发的各个阶段,审计人员要注意审查系统的可行性、安全性、可审性、可扩展性、性以及程序控制的适用性。通过审计监督,为系统的高质量提供制度保障件。审计机关和审计团体与企业的计算机系统联网,并取得审计授权,就可以通过网络完成除实地盘点和现场观察外的部分审计监督任务。如果在系统开发时嵌入审计程序软件,计算机就可以实现实时跟踪审计。

为了保证网络财务系统和审计系统中有关数据的真实性和安全性,各企业应要求审查网上的认证机构和加数字时间戳的机构的真实性、可靠性、权威性,并要求评价因特网上各种加密技术、防火墙技术等网络安全措施的有效性。

4.5 加强网络审计立法

网络审计立法是保障网络审计正常发展的关键性措施。 新的《会计法》已增加了有关网络财务的内容,《电子商务法》起草工作正在加紧进行之中,但上述法规都不是针对网络审计而发布的,不能够满足网络审计的需要。因此,有必要加快网络审计立法工作的力度和进度, 使人们在开展网络审计工作时有章可循。

4.6 制订网络审计准则

审计准则是审计工作应遵循的规范和尺度,是评价审计工作质量的权威性规则。

网络审计对象、线索、方法,流程、结果等各方面相对于传统审计都发生了变化,以往的审计标准和准则已经不能完全适用,所以应加快新的审计标准和准则的制定以指导网络审计工作实践的深入。如对网络审计人员的一般要求,网络系统安全可靠性评价标准,网络系统内部控制准则等。

参考文献:

[1] 刘彬,审计入“网”初探《中国会计电算化》,2000年6月。

[2] 孙昌言、韩杰,网络经济时代审计面临的挑战,《财务与会计》,2000年第10期。

[3] 张金城,电子商务对审计实务的影响,《财务与会计》,2000年第10期。

[4] 吴磊 金光华,Internet 与网络审计,《上海会计》,2002年第6期。

作者：谷春增