一、概_述(网络审计)

网络审计李文贵syswenwen@126.com1关于课程的几点说明：–课堂纪律–课程安排–课程考试–课程基本介绍参考书籍:•胡克瑾.IT审计(第二版).电子工业出版社.2004年版•2004.计算机信息系统控制与审计.北京大学出版社.2002年版•审计署计算机审计中级培训系列教材••金审工程服务网站第一章计算机审计概述一、审计取证的三种模式第一节计算机审计概述账项基础审计制度基础审计风险基础审计计算机审计产生二、计算机审计的内涵一系列概念：计算机审计、网络审计、信息系统审计、IT审计、电子数据处理审计、审计电算化●审计电算化：侧重审计人员在审计中对计算机技术的应用；●信息系统审计、电子数据处理审计、IT审计：侧重审计人员对以计算机为核心的信息系统及其数据进行综合的检查、评价，以找出错弊，排除故障；●计算机审计、网络审计：包括以上两类概念的含义。但其中，网络审计又是计算机审计较为高级的一个阶段。计算机审计：以被审计单位计算机信息系统和底层数据库原始数据为切入点，在对信息系统进行检查测评的基础上，通过对底层数据的采集、转换、清理、验证，形成审计中间表，并运用查询分析、多维分析、数据挖掘等多种技术和方法构建模型进行数据分析，发现趋势、异常和错误，把握总体、突出重点、精确延伸，从而收集审计证据，实现审计目标的审计方式。三、计算机审计的产生（一）产生的必然性1、计算机技术的产生与发展2、会计电算化的广泛应用3、提高审计效率的要求（二）计算机审计发展的一些具体事件1、美国（AICPA及其他相关机构的行动）•1968年，美国执业会计师协会发表了《电子数据处理系统与审计》，书中提出审计与电子数据处理系统的关系；•1973年，美国产权基金公司因计算机舞弊而倒闭，AICPA为此成立了一个特别委员会，研究当时的审计标准是否适用于计算机系统；•1974年，AICPA在颁布的《审计标准说明书第3号》中提出，审计人员在审计中应对计算机系统的内控予以评价；•1978年，AICPA的计算机服务执行委员会发表了《计算机辅助审计技术》一书，详细介绍如何利用计算机进行辅助审计；•1984年，AICPA颁布《审计标准说明书第48号》取代第3号，指出审计人员仅仅评价系统的内控是不够的，还应充分考虑计算机的影响。同时提出了审查电算化财务报表的基本程序和方法。其他机构的行动:•1966年，世界上第一个计算机审计组织成立——EDP（ElectronicDataProcessing）审计师协会。•1974年以后，美国商务部下属的国家标准局（NBS），陆续颁布了《里联邦信息处理标准丛书》对计算机环境下的安全与风险管理、数码编码标准等提出一系列指南，极大地促进了电算化会计和审计的发展；•1981年，美国审计总署（GAO）颁布了《政府组织审计标准》，规定了对计算机系统进行审计时的检查与评价标准及审计人员在系统开发过程中的地位，要求所有联邦总检查官遵循这些标准；•1984年，EDP审计师协会发布了一套EDP控制标准《EDP控制的目标》，提出了电算化系统中的一系列控制标准。2、其他国家或组织•1970年，加拿大执业会计师协会（CICA）颁布了《计算机控制和工作指南》；•1984年，加拿大审计标准委员会颁布了《EDP环境下的审计——一般原则》；•1984年，国际审计实务委员会公布了《国际审计准则15——电子数据处理环境下的审计》（现为1013号）.3、中国•从20世纪80年代末开始发展•1991年，审计署组织专家对全国审计系统研制开发的九项计算机审计软件进行技术鉴定，全部通过；•1993年，审计署发布了《审计署关于计算机审计的暂行规定》；•1996年底，审计署颁布了《审计机关计算机审计辅助审计办法》，明确了计算机辅助审计的内容与范围等；•2000年，审计署在南京特派办召开名为“审计之光”的全国审计系统计算机开发应用成果演示会。•1999年，财政部颁布了《独立审计准则第20号——计算机信息系统环境下的审计》；•2006年，财政部颁布了《中国注册会计师审计准则第1633号——电子商务对财务报表审计的影响》。（三）系统的阶段划分1、绕过计算机审计（auditingaroundthecomputer)实质：避开计算机数据处理系统，将计算机处理系统看作是一个“黑箱”，根据被审计对象计算机数据处理系统输入的原始数据，通过手工操作，将处理结果与计算机处理系统的输出进行对比，验证其是否一致。其本质上还不算真正的计算机审计。2、穿过计算机审计（AuditingThroughtheComputer）实质：对计算机数据处理系统进行审计。3、利用计算机审计（AuditingWiththeComputer）实质：采用为实施审计业务而专门开发的电子计算机程序，来对被审计单位的电子计算机程序的可靠性进行试验的方法。▲一般地，现代计算机审计是穿过计算机审计和利用计算机审计的相互结合，由此衍生出许多计算机审计方法。四、计算机审计的特征•以系统论为指导：以“结果审计”为主转向“过程审计”为主•审计取证的切入点是信息系统和基层电子数据：审计线索的“可视性”向“不可视性”的转化审计取证的实时性和动态性•创建审计中间表，构建审计信息系统：审计技术的复杂性和审计数据的各异性•构建模型进行数据分析五、计算机审计的基本框架（一）计算机审计的对象被审计单位的财政财务收支及有关的经济活动。（二）计算机审计的作业模式1、现场单机审计模式2、现场网络审计模式3、远程网上审计模式（三）计算机审计方式的改变尤其是网络对传统审计工作方式的影响：三个方面1、网络改变传统审计方式的第一个表现是改变了审计信息的收集方式。数据库服务器Web服务器防火墙工作站审计信息Internet条件下审计信息收集示意图2、网络改变传统审计方式的第二个表现是改变了审计信息的加工方式。3、网络改变传统审计方式的第三个表现是改变了审计信息的输出、传送、存储和检索的方式。（四）计算机审计技术与方法广泛深入采用计算机辅助技术（CAAT）（五）计算机审计质量控制模型为使具体审计项目按已确定的审计实施方案顺利进行，保证审计目标的实现而采取的策略、程序、组织和具体技术与方法等。一般由四个步骤构成：定义标准、获取业务运作信息、以标准评价业务、纠正或改进。在质量控制中，可将计算机审计划分为三个过程：审计准备、审计实施和审计完成。在实施具体的控制策略时，又进一步细分出设计流程及业务任务。（六）计算机审计的流程•开展审前调查，获取必要和充分的信息，对被审计单位的信息系统进行初步评价，考虑其信息系统的合法性、可靠性、安全性和有效性；•采集数据，全面收集资料，撰写数据采集报告；•对采集的数据进行转换、清理和验证，并撰写转换、清理和验证工作报告；•构建系统和类别分析模型，把握总体，锁定重点；•针对审计重点，建立个体分析模型，进行筛选分析，形成数据分析报告；•进一步的审计取证。（七）计算机审计的任务除保持传统审计的一些任务外，增加了以下内容：1、评价与审查信息系统的安全性2、评价信息系统提供的财务及其他信息的公允性、真实性与正确性3、审查与防止计算机的舞弊4、评价计算机系统防错控制5、评价信息系统处理与输出数据的保密性6、审查与评价信息系统的效率性7、审查与评价信息系统的效益性8、评价与鉴证主要管理者第二节网络审计概述一、网络审计的概念网络审计是计算机审计较为高级的一个阶段，是计算机审计目前最主要的表现形式。包含两个方面的含义：1、从审计对象来看，网络审计是对被审计单位的网络财会信息系统和基于网络的经济活动，如电子商务、电子金融等，以及反映这些活动的财会信息进行审计。2、从审计手段来看，网络审计是对利用计算机网络及通信技术辅助审计人员进行的审计。二、网络审计的特点网络审计与现有的审计模式相比，具有以下特点：1、实时性与动态性；2、需要强大的技术支持；3、安全性成为首要因素。三、网络审计的要素1、掌握审计知识和计算机网络技术的审计人员；包括：具有网络审计资格证书的注册会计师和具有网络审计资格的信息系统审计师，即IT审计师；2、网络审计信息系统；构建于计算机技术、数据库技术、Internet/Intranet等现代信息技术基础之上，包括计算机硬件平台、软件平台、数据库平台和操作平台的信息系统。3、网络审计管理机构；包括：网络审计质量控制管理和网络审计风险管理。4、网络审计安全机制；接入管理：处理好身份鉴别和接入控制安全监视：安全报警设置、安全报警报告及检查跟踪安全恢复：及时恢复因网络故障而丢失的信息5、网络审计准则与法律体系。规范和指导工作；明确责任和义务。第三节电子商务与网络审计一、电子商务的简介电子商务（e-business或e-commerce）是利用计算机网络所进行的商务交易和商务服务活动的总称。其重要表现形式是商务交易和商务服务活动不再依靠纸面文件以及单据的传送，而是借助于计算机技术和信息技术、网络互联技术和现代通讯技术来全面实现电子化的交易和结算过程。其显著特点是：1、电子商务大大地改变了企业的交易模式。2、使得企业内部经营管理发生了质的变化。二、电子商务环境对审计的影响1、电子商务环境下，审计环境发生了巨大变化；2、电子商务环境下，审计线索发生了巨大变化；3、电子商务环境下，审计风险更大且更复杂；4、电子商务虽未改变审计的监督职能，但改变了审计内容；5、电子商务环境下，对网络系统安全性、可靠性和准确性进行审计是关键性的。复习思考题1、你怎么理解计算机审计的含义？与网络审计、IT审计、审计电算化等概念有区别吗？2、计算机技术的发展为传统审计带来了哪些影响？3、计算机审计与传统审计在目标上是否存在区别？4、电子商务为审计带来的影响有哪些？