当前网络审计面临的风险

　　2 当前网络审计面临的风险
　　
　　2.1 网络审计风险概念
　　
　　张天西、吕博表认为，网络审计是互联网科技和传统审计行业碰撞所产生的新概念，而任何事物的产生必然不是一帆风顺的必然也会伴随着一些负面影响。比如可能存在下列风险，企业的信息更容易被泄漏，审计人员的工作也会被多方因素所影响，进而增加了审计工作的风险。如今网络的稳定性和安全性和有待提高，对于计算机本身而言也存在一定风险，硬件的损坏和维护不当也会造成潜在风险的诱发因素。这些因素都必须考虑在审计风险成因之内。
　　
　　邵童阐述到在网络经营条件下，某些在原有企业中存在的内部控制过程渐渐消失，取而代之的是新的内部控制，如网络登录控制、软件使用控制、权限管理控制等。缺少了完整的内部控制制度，企业经营管理的安全性也无法有效保证。计算机病毒是一把利剑，具有极大的隐蔽性，可以随时给网络化的企业带来安全上的威胁；电磁信息的修改可以不留痕迹地进行，计算机舞弊时有发生，其智能性、毁灭性的危害、易逃避法律责任的特点让人对其防不胜防。因此，建立许多全新的安全控制，是网络审计的新要求。这些控制不仅要体现在企业内部的管理制度和企业财务、审计等信息系统的程序控制方面，还要体现在外部网络及网上交易的安全控制等方面。
　　
　　网络审计和传统意义上的审计还是有些许不同的，网络审计风险是指在网络环境下审计人员通过互联网或者计算机技术从被审计单位财务系统中获取审计证据，进而运用信息技术进行风险评估发现重大错报风险，但是最终发表了不恰当的审计意见，给被审计单位和报表使用者带来不必要的麻烦。
　　
　　利用传统意义上的审计风险模型③：审计风险=固有风险*控制风险*检查风险。因此也可以在互联网环境下将网络审计风险进一步细分为：
　　
　　第一 固有风险固有风险本意是指在被审计单位的规章和控制不存在的情况下，某一个孤立的账户或者连同其他有关联的账户可能产生未知错报的出现概率。网络审计所面临的固有风险由以下几个方面构成：
　　
　　（1）物理风险 物理风险主要包括： ①被审计单位的财务信息系统所使用电脑硬件落后没有实时的更新②网络线路的传输出现错误并不能很好的发挥其效率③财务网络系统的安装并不规范。
　　
　　（2）对会计信息保密性的破坏
　　
　　因为传输线路的开放性，所以任何信息都有可能被截取的可能性。对会计信息的窃听同样也是在传输过程中的数据，对于这些数据本身就存在这被窃听的可能性。同时它还包括这样一种情况，在财务信息系统的使用者中，有一些合法的使用者采取了一些越权或者不正规的手段来获取其职权之外的重要信息和数据，本身就是对会计信息的一种破坏，并且这些重要信息和数据的破坏和泄漏并不会损坏信息本身的流向和作用具有很好的隐蔽性，这也会使审计人员的工作增加了难度。
　　
　　（3）对被审计单位数据完整性的破 坏
　　
　　对于被审计单位而言其财务信息数据本身是否完整是影响审计人员工作的重要因素之一。对于其数据的完整性的破坏客观上分为故意和非人为，其中故意的可以理解为有人员通过非法的手段比如切断网络，通过损害储存信息的服务器来达到这项目的。而非人为的情况主要包括一些系统性的风险，比如说一些不可预料到的区域性的服务器崩溃事件等等也会对企业的财务信息的完整性造成难以预估的损害。
　　
　　第二 控制风险控制风险是指对于即使存在较为完善的内部控制，但是某个项目并未被内部控制发现并及时纠正的可能性。对于传统意义上的内部控制，被审计单位可能仅仅局限于财务系统流程的完整性和规范性，然而在互联网环境下，被审计单位还必须考虑到防范可能的网络风险对本企业的危害，比如：
　　
　　（1）窃取信息。如果被审计单位的防范措施不到位或者疏忽大意，导致重要的数据以公开的形式在网上进行远距离的传送，那么对于一些别有用心的人员就可以通过一些技术手段来窃取这些重要的数据，从而使企业的数据的完整性和保密性收到损害。
　　
　　（2）对信息的不当修改。如果被审计单位对数据传输过程的保护措施不到位不完善可能造成更为严重的影响。对于信息的完整性的损害，其后果更为严重的一种形式就是黑客或者竞争对手通过窃取被审计单位的重要数进行不当的修改，删除，对重要数据进行篡改进而对企业造成严重的后果。
　　
　　（3）黑客攻击
　　
　　对于网络黑客对企业的攻击一直以来都是人们所关注的。对于黑客攻击企业的财务财务网络系统可以说是屡见不鲜从国外黑客对索尼公司的财务系统攻击导致其财务报表无法正常出具到国内前几年的“网银大盗”的攻击时间都可以看出，黑客的攻击对于企业而言也是一个重要的潜在因素，而企业对于这方面的控制防范措施还有待提高。
　　
　　第三 检查风险传统意义上的检查风险是指对于审计人员而言一些高风险的项目或者连同其他的账户是存在较高风险的，但是这些账户即使在审计人员实施了实质性的审计程序之后仍然没有被发现，其主要责任就落在了审计人员身上。因为现代信息技术的加入可以说为审计人员所承受的检查风险产生了深刻的影响，优点就是他扩大了审计范围，对于审计证据的搜集更加的高效和公正，对于数据的分析也更为可靠。缺点就是主观上因为审计人员对于审计专业之外信息技术了解不甚充分，客观上审计信息技术本身的不成熟以及对网络的大量倚重使得审计人员的检查风险增加。
　　
　　除此之外，传统的理论认为，在审计风险模型之中，对于固有风险和控制风险而言审计人员是不可改变的这些都是客观存在的，但是审计人员可以因此来确定进一步审计程序的细节比如审计程序的方法选择，在期中还是期末，实质性程序还是综合性程序。这些都有助于将可接受的检查风险将至最低。因此，在网络会计环境下固有风险和控制风险大大增加，审计人员要保证审计质量，控制审计总体风险，唯一可能的途径就是尽量的将检查风险降低，可以说这对于审计人员而言是一个十足的挑战。
　　
　　2.2 网络审计风险的种类
　　
　　王綮灏对网络审计风险分类的观点为被审计单位而言本身其财务信息系统就存在缺陷、财务信息系统公开的特点、网络病毒的蔓延、防范措施是否完善、对系统的日常维护和检修①。网络审计风险大体上有以下几类：
　　
　　2.2.1 系统性风险
　　
　　不管对于审计人员还是被审计单位而言系统风险都可以是说是不可控因素。在计算机应用到审计工作的前期，系统风险主要表现为计算机硬件的设施位置损坏，比如某项硬件设施本身就存在缺陷而这种缺陷却又无法在短时间内进行修复和弥补，进而对审计工作造成了一定的风险。然而在互联网因素影响之下，网络审计系统所具备的包容性，范围扩大性，超距性等特点具有得天独厚的优势，不管是被审计单位还是审计人员都能从中受益，然而由于网络系统的操纵与控制较差，网络安全也是一个值得关注的地方，一旦网络运行出现问题，网络安全受到威胁，其影响具有广泛性，不可预计性，这样不仅使重要资料受损还会为审计人员的工作带来未知的风险。
　　 　　
　　2.2.2 黑客引发的病毒危害风险
　　
　　在电子计算机技术应用到审计工作的初期，对于病毒的危害还仅仅是防范可能的通过介质传播，比如磁盘和 U 盘等等。然而随着网络的普及和参与程度的提高，传统意义上的病毒不再单单通过介质而是通过邮件甚至更为隐蔽的方式传播。特别是在较为开放的互联网环境的当下黑客的危害也日益显现出来，这对于网络审计的安全也构成了新兴且严重的威胁。
　　
　　2014 年国内企业网站安全漏洞评估在 2014 年 360 安全中心对国内进行企业网站安全性调查中有如下结果，调查对企业样本为 90 万，其中存在安全漏洞的企业有 60 万个，而有 26.9 万个企业的财务信息系统则存在更加危险的高危漏洞。这些漏洞存在的风险就是极容易被黑客所利用并借此侵入企业内部网站系统，窃取重要的信息对审计工作造成较大的危害。
　　
　　在 2014 年着名的影视业巨头索尼影视公司遭到黑客的攻击①，索尼公司的财务信息系统和公司的主要服务器都因此受到大规模影响，因此公司的财务报表因无法按期完成，给审计人员带来了意料之外的风险，这可以说是当下黑客攻击对审计工作带来影响的体现。黑客影响财务工作：
　　
　　2.2.3 内部人员的操作风险
　　
　　被审计单位内部员工操作不规范而产生的风险主要是由于其缺乏必要的风险意识和警惕性。
　　
　　例如如果被审计单位内部人员的风险意识不足，对于网络环境的警惕性不够，认为网络上的下载和传输都是安全的，以至于出现在网站上下载传输一些存在风险的软件和未知的邮件等等。同时对于被审计单位而言日常的维护和检查也略有不足，即使有类似的内部控制但是人员还是过于疏忽比如密码的设置并不规范，安全性的维护和检修不能做到位。除此之外，因为网络的开放性，被审计单位的人员有时也会利用系统控制漏洞对财务信息进行不合规的访问和篡改甚至泄漏。而在审计抽样的限制之下，审计人员很难选择全体抽样的检测方法，这对于企业内部人员的舞弊提供了有利条件，对于审计人员而言他们的权限很可能受到限制，对于审计证据的获得也增加了难度。
　　
　　2.3 网络审计风险特征
　　
　　（1）具有动态实时性
　　
　　因为互联网的高效和便捷，几乎所有的企业都建设了网络沟通渠道。不管对于财务数据，行政资料，人事资料等等都可以在片刻之间完成远距离的传输。然而，这给审计人员的审计取证工作带来了困难：审计人员既要保质保量的完成同时被审计单位的财务信息数据还处于一个实时更新的过程，审计人员不能因为审计工作而使被审计单位的正常业务停止。
　　
　　（2）不可量化性以及不确定性
　　
　　对于网络审计风险，网络上的相关数据都是实时变化，自由流动的，并不是以纸质或者实物形态所存在，对于审计人员只能通过对网络审计风险的构成要素加以衡量和评估。尤其对于因为审计客户的实物，软件，网络等是否出现相关漏洞的风险同样难以以一个既定的标准去评判其安全性和可靠性。
　　
　　如果出现审计失败的事件，不管是对注册会计师行业还是审计人员个人，都会有负面的社会影响，如可信度的降低，形象的毁损，或者引发诉讼等。但是因为审计工作的成果是建立在多方不确定因素共同的基础之上的，所以即便出现了预估的情况，其造成的经济损失的严重程度也无法计算。而承担的责任也很难落实到个人；但是，不可否认的是这种不确定性又是基于互联网本身的特点，这就是对未知的风险的一种体现。在互联网下，信息的流通速度快的难以想象，大部分业务的开展甚至于行业的发觉都取决于商业模式和有时只是对数据的归类和分析。任何一个微小的信息在特定人群看来都可能是改变世界的重要资讯。在如此多变的网络信息条件下，风险也因为不确定因素的增多而加大。
　　
　　（3）客观不可改变性及不可控性
　　
　　网络审计的存在基础，就是基于当下日益普及的计算机技术和互联网技术。正是在现代技术的帮助下，审计人员才能通过数据库和分析模型的设立，运用新型的决策分析法对客户的财务数据等相关信息做量化处理，经过有效的统计、分析论证，编制审计工作底稿，辅助形成审计决策和结论。所以随之而产生的风险也是不可直根于当下的互联网。所以只要应用互联网技术网络审计风险就不可能消失，只能降低到一个可接受的水平，这也再次印证了审计风险不随技术的进步而降低，审计人员所具备专业技能也必须随之更新，它是不可能降低至零的，在当下网络审计的风险也是如此。
　　
　　除此之外，在传统的审计模式中审计风险虽说也具有客观存在性，同时也是存在于审计流程的环节之中，但由于其审计环境、审计主体以及数据信息是现实固定的，因而可以通过审计人员的自身努力和社会的密切配合而适当控制；对于网络审计而言虽然经过充分共享的信息资源虽然大大提高了信息数据的使用效率，降低了有关审计成本，然而审计人员所依托的信息库的安全性却难以得到很好的维护，除此之外在加上未知的实物风险，技术类风险，客观因素的影响和人为因素的威胁，尤其是对于被审计单位而言是否其管理层存在道德风险，这些都是审计人员在计划工作前期所必需考量的，同时这些未知因素却不能单单通过审计程序所控制和减少。
　　
　　（4）防范的难度增加
　　
　　在以往的审计工作中审计证据和审计线索大多都存储在纸质的文件档案之中，方便保存也为了供审计人员和核查人员的查阅和调取。但是互联网环境下，海量的数据都存贮在大型的云端服务器之上。因此审计人员必须通过互联网或者在局域网访问服务器的方式获取真实的财务信息数据。因为数字信息化的数据被修改过之后是无法通过肉眼直接辨别的，所以一旦发生精通系统漏洞的舞弊人员或者串通舞弊对数据进行隐蔽的修改，所造成的后果也是难以预测且难以发现的，这就要求审计人员识别并发现此类的信息，这无疑又增加了审计工作的难度。