網絡審計

它是對以往電算化審計的時空觀的又一次突破，是現代審計在電子商務時代的新發展，也是電子商務的內在需求。

根據中國獨立審計準則20號《計算機信息系統環境下的審計》的規定，網絡審計 ^[1]  的基本模式是：創建企業檔案，建立審計數據庫→不定期對企業的會計軟件、內部控制制度進行審查→接受委託，對被審計單位利用審計軟件進行網上綜合審計→得出審計結論，向委託人傳輸審計報告→建立審計檔案。 與傳統的審計相比較，網上審計呈現以下特點：

網絡審計的範圍擴大。網絡經濟活動是無疆界的，對某一個企業的審計可能涉及到國內外企業。另外在網絡系統中能接觸到會計信息處理的人可能不僅僅是審計單位的少部分人員，能接觸會計信息處理的人有可能涉及整個網絡用户，出現數據錯誤就可能不是審計單位造成的，這樣就很難確定責任人，此時再把審計範圍侷限在被審計單位是不合理的，因此審計範圍擴大了。

對象範圍增多

審計對象的範圍在擴大，網絡系統的設計、實施等內容也出現在審計對象中。在網絡系統中其資源共享的優勢使得審驗中各工作站都可能同時使用一個信息來源，由各自封閉的系統向整個系統敞開、互相影響、互為前提、彼此依賴，即對網絡系統的依賴性極為提高。當被審單位會計人員過於放心網絡系統，而網絡系統不能正常發揮其職能時，手工或單機下的信息對象的真實、正確、合法等就無從談起。

網絡經濟活動多數是通過網上電子貨幣交易，現金的使用大為減少。這將提高審計效率，同時也大大降低違紀行為的發生。

審計信息收集可實現實時化、動態化。由於互聯網的作用，審計部門隨時可以對企業進行審查，從而掌握被審計單位的最新情況，可以達到對被審計單位實施動態監督。

審計風險加大。由於網絡經濟活動的虛擬性，會計信息無紙化、電子合同、函件、訂單的真實與合法性得不到保證，交易雙方的真實身份不確認，而產生欺詐行為以及網絡的安全無法得到保證，交易程序的簡便化，使企業信息的內部控制制度成為審計的主要基礎，所有這些決定網絡審計較之傳統審計有較大的風險。

法律法規有待完善

網絡審計是中國審計領域出現的新生事物。中國有關網絡活動的法律法規還處於不斷探索和完善階段，難以完全解決網絡活動中出現的所有新問題、新糾紛，這就給審計人員更好地進行審計帶來了極大的不便。

安全性有待加強

在網絡審計活動中，安全性、可靠性問題已成為一個非常重要的問題。由於計算機自身的侷限性及黑客襲擊網絡網站，篡改、破壞審計數據乃至整個系統，使經營者蒙受巨大損失。2000年電腦病毒給全球造成的損失達121億美元。在實際工作中這些問題如果處理不好，會極大地阻礙網絡審計的發展。

高素質的審計人員嚴重缺乏

網絡審計 ^[1]  要求審計人員不僅必須對審計系統的計算機硬件、軟件和處理系統有充分的瞭解，同時還要對審計程序所必需的電子數據處理有足夠的知識，審計人員既要懂網絡知識，又要精通審計理論，同時還要熟悉網絡審計軟件的開發、設計、維護等。而現在這樣的人才非常匱乏，使得網絡審計 ^[2]  難以廣泛實施，極大地阻礙了網絡審計的發展。

審計線索因電磁化而減少

在傳統會計系統中，會計核算程序中的每一步都在紙介質上留有文字記錄及經手人簽字，審計線索十分清楚。而在網絡經濟條件下，傳統的審計線索可能完全消失。各種單據、票證和賬簿等都以人眼無法直接辯識的電磁信息的形式在網上傳遞並存儲於磁性介質中，只能通過計算機進行審查；並且這些線索還具有被無痕刪改、不能永久保存等缺點。如果系統設計時考慮不周，可能到審計時才發現只留下業務處理的結果而不能追索其來源。因此，網絡審計要求企業網絡財務系統在設計時必須留有充分的審計線索。

審計軟件不完善

審計軟件是審計人員開展具體審計工作的有效工具。中國審計軟件的開發尚處在開發階段，從事審計軟件開發的公司很少，並且在涉及到審計軟件與財會軟件的接口問題上，網絡操作系統與應用系統的兼容問題上，還沒有取得實質性的突破。而國外的審計軟件在中國由於多種原因也得不到很好的運用，這些都極大地阻礙了我國網絡審計的發展。

從規章管理制度上加強對系統的監控

建立必要的上機操作控制和系統運行日誌。建立健全上機的規章管理制度，對系統的用户身份、操作參數和運行狀態、事故類型等進行實時監控和記錄，並定期檢查、評比，做到獎罰分明。實行用户分級授權管理。按照網絡審計系統需要設置審計崗位，建立健全崗位責任制，並通過對每個用户的安全級別和身份標識來落實其職責與權限；嚴格輪崗制度，定期調整內部控制人員的監督權限，防止內部人的合謀串聯作弊；嚴格計算機硬件設備管理，確保計算機硬件設備能夠連續地、實時地運行，系統內部人員按各自的權限範圍管理和使用計算機硬件設備，並按操作程序辦事；加強系統軟件開發控制，在計算機軟件開發的前期，審計人員和風險管理人員要參與系統控制功能的研究和設計活動，以確保控制功能在系統內得到有效實現和健全有效；強化內部審計制度，要加強內部審計監督，要成立審計委員會，監督和控制各個工作站的日常工作，對內部控制系統薄弱的環節，加強管理與完善。

從安全技術上強化系統外部控制

實行識別認證和訪問控制技術防止非法用户的入侵，內部網的訪問採用入網控制、網絡權限控制、目錄級別安全控制、網絡服務器的安全控制等技術；採用加密技術，提高網絡系統數據的保密性，防止秘密數據被破譯。加密算法的選擇要結合具體應用環境和系統要求，綜合考慮密鑰的合理分配、加密效率與系統結合度以及投入產出分析等因素；企業內部網與互聯網之間設立防火牆，使內部網與互聯網互相隔離。防火牆要隨時升級換代，不斷提高抵禦病毒入侵、殺毒能力。採用數學簽名技術和公正仲裁製度，可以防止網絡中進行數據交換時的否認、抵賴事件的發生，有效地解決交易雙方發生糾紛的法律適用問題和公正處理雙方合法權益問題。

加強系統外的審計監督力度

加強對系統開發的審計監督。在系統開發的各個階段，審計人員要注意審查系統的可行性、安全性、可審性、可擴展性、經濟性以及程序控制的適用性。通過審計監督，為系統的高質量提供製度保障，同時為審計人員實施網上實時審計創造良好條件。

開展網上實時審計。審計機關和審計團體與企業的計算機系統聯網，並取得審計授權，就可以通過網絡完成除實地盤點和現場觀察外的部分審計監督任務。如果在系統開發時嵌入審計程序軟件，計算機就可以實現實時跟蹤審計。

加強外部網及有關中介機構的審計監督。為了保證網絡財務系統和審計系統中有關數據的真實性和安全性，各企業應要求審查網上的認證機構和加數字時間戳的機構的真實性、可靠性、權威性，並要求評價因特網上各種加密技術、防火牆技術等網絡安全措施的有效性。

建立健全網絡法規

將網絡化財務、審計系統的安全納入法治化的軌道。改革開放以來，中國先後頒佈《計算機系統安全規範》、《計算機病毒控制規定》等法律法規，並在《刑法》、《民法》、《民事訴訟法》等相關法律中，增加計算機信息安全方面的條款，從而為計算機信息系統的安全性提供了法律保障。不過，這些法律法規不涉及網絡財務系統犯罪的領域，所以，需要制定專門的網絡法，對網絡系統、網絡化審計系統的風險防範作出明文規定。

儘管電子商務與網絡經營在我國還剛起步，但這是信息時代企業發展的方向。探索網絡化條件下的審計，對促進審計跟上信息時代的步伐和促進中國電子商務和企業經營網絡化的健康發展都具有積極意義。希望本文能拋磚引玉，引起大家對信息時代下的網絡審計的關注。

天融信網絡審計

TopAudit-Net是高性能專業網絡行為審計產品，支持多維細粒度網絡行為和流量審計分析，基於多核平台，採用雲審計、量子云存儲等多項獨特技術及專利，旁路部署，支持多點多級和集中管理，引領業界技術發展趨勢，成功客户遍佈政府、能源、電信、軍工等行業，是規範網絡行為、合規審計的最佳實踐。

·高性能的抓包分析能力

獨特的無丟失數據採集技術，4Gbps超高抓包性能（達到業內同類產品4倍以上），強大的包重組和流重組能力，深層次數據挖掘分析，無遺漏記錄網絡行為的每一個細節；

·All-in-one設計單台設備完成審計與分析工作

專業的一體化硬件設計，所有功能盡在BOX，易於部署和使用，簡約而不簡單；

·多網口抓包

可擴展至多達24個抓包端口，一台設備可解決全網網絡行為探測需求；

·靈活多維度統計分析

自定義多維度統計場景設計，多角度多粒度統計結果可視展示，以及統計報表上卷下鑽，使得網絡行為分析得心應手；

·

應用協議自識別

支持近200種應用協議的自動識別，包括P2P下載、股票軟件等，細化審計粒度；

·強大的URL分類和攻擊檢測規則庫

天融信網絡審計內置強大的URL分類庫，及時發現不良言論、暴力類、毒品類、色情類、遊戲類等訪問行為；

內置攻擊檢測規則庫，及時發現攻擊行為；

·

實名審計

通過用户信息的自動收集或導入，實現審計結果與自然人相對應，審計記錄更具價值和實用性；