首页资料文库正文

网络审计范文10篇

时间：2023-03-21 02:27:53

网络审计

网络审计范文篇1



在我们跨入21世纪之际，由现代信息技术，特别是网络技术引发的全球信息化浪潮冲击着传统社会生活的每一个角落，网络化、数据化、知识化已成为时代的主旋率，一个新的时代——网络时代开始。网络时代整个社会经济的产生结构和劳动结构发生了改变，整个社会经济成为了与电子商务紧密相连的网络经济。这种全球化的、高速度、低成本、虚拟化的，不断创新的经济模型改变了传统的企业管理模式、经营模式和会计模式，与其紧密相连的审计在网络时代的创新也就成为了必然。

一、审计对象的创新——电子商务审计

以网络为基础的电子商务广义上指通过各类计算机网络进行的一切商业活动。电子商务以及低成本、高效率等特征吸引着大多数企业，企业纷纷通过建立自己的网站或网络服务公司的商业网站，拓展商贸渠道，进行网上交易、网上支付结算，并使信息网络化。企业经营活动和经营活动的信息载体的拓展也就是审计对象的拓展。另外，以电子商务为基础而形成的各种虚拟企业，构成了网络经济中经营主体的一部分，这种新型的经营主体将会被纳为审计对象。因此，网上交易审计，网上支付审计，虚拟企业的审计便构成电子商务审计的具体内容。

(一)网上交易审计。当今为了适应网络、通信和信息技术的快速发展，企事业单位都在改变自己的组织结构和运行方式，相继拓展电子商务业务。电子商务可以扩展市场，增加客户数量，并能记载反映客户对产品的偏好，通过电子商务，企业可以缩短企业运作的周期，降低商务成本。在1999年由Cahers出版公司对400家进行的调查中，52%的拥有千人以上员工的公司把网络世界视作扩大市场份额的最好志气注册会计师在审计客户传统的购产销业务之外，还必须对客户网络进行的交易即网上购销业务进行审计。进行网上交易审计时，要注意到网上交易的无纸质电子凭证、电子单据，不受空间限制，瞬时性等特征。注册会计师人员可以通过客户应用的网络系统中预留的接口，进行终端联机，通过模拟处理，评价网络系统对网上交易处理的安全审查。通过网络传递取得更可靠的审计证据，以对网上交易的完整性、存在性进行认证。从而对企业的网上交易业务的确认、计量、报告的真实性、合法性进行评价。

(二)电子支付审计。电子商务这种新的贸易方式，带动新型的支付方式的形成，电子支付是电子商务的重要组成部分。电子支付方式不同于现金、支票、汇票等纸质票据的支付结算，它是一种适应于网络的，方便、快捷、无纸化的货币结算方式。电子支付方式包括金融交易卡和数字货币。金融交易卡包括以磁卡为媒介的信用卡和IC卡(智能卡)，这种交易卡在传统的商务活动中也可以使用。数字货币则是只在网络上流通的无形货币，它是由一组数字构成的特殊信息，包括数字现金、数字支票、数字信用卡。针对电子支付手段的多样性，注册会计师人员在对电子支付进行审计时，首先要审查客户的网上交易是采用哪一种或几种电子支付手段，然后结合各种电子支付手段的特性，实施具体的审计。例如，对数字现金支付方式进行审计，数据金是一连串的数据位，连串的数据位只使用一次。审计人员可以通过网络系统中的中央清算机制审查每一笔交易(也可以进行抽样审查)，看是否有相同的数据串被多次使用。还可以通过电子钱包管理器，电子交易记录查看客户银行帐号上的收付往来数字货币帐目、清单和数据。也可以通过网上银行进行往来结算对帐，或向网上银行进行函证。安全控制是网上支付的核心问题，注册会计师应予以重视，通过对客户的网上交易的安全性控制了解了解和审查，防止因欺骗、窃听、冒用和未经授权的篡改等非法行为而致使电子货币资产遭受损失。通过电子支付的审计，以确保客户的电子货币资金资产的安全、真实、正确和完整，这实质是网上交易审计的一部分。

(三)虚拟企业的审计。网络技术的兴起，使得一些看不见、摸不着的网络企业、网上企业、国际企业以及以信息资源为主导服务的信息中介服务企业如雨后春笋般地建立和发展起来。这些形式新颖地企业都是虚拟化的，即是虚拟企业，即是虚拟企业。虚拟企业将不同地区的现有资源迅速组合成为一种没有围墙，超越空间的约束，靠电子网络手段联系，统一指标的经营主体，以最快的速度推出高制裁量、低成本的新产品。虚拟企业作为一个以盈利为目的的经营主体，在运作上同普通企业一样，必须进行网上税务注册登记并缴税(虽然目前许多国家暂缓对上网和电子商务征税)，通过网络披露虚拟企业的经营业绩、财务状况、电子货币资金流动情况，随着虚拟企业的迅速成长和发展，将会向公众发行股票成为上市公司。这样对虚拟企业的审计也就成为了必然。进行虚拟企业的审计时，要了解虚拟企业经营的网络环境、网络技术设备；结合虚拟企业的边界模糊性、存续即时性、货币计量电子化等特征；运用网络技术和审计方法相融合的手段，对虚拟公司实施网上适时性审计，以实现审计目标。(对虚拟企业适时性审计的具体审计程序还有待探讨)



二、审计技术的创新——会计信息化审计

网络经济时代，网络技术在会计领域的应用与发展，使得会计技术手段从电算化会计跨越到了会计信息化阶段。会计信息化的本质是会计与现代信息技术(主要是网络技术)相融合的一个发展过程。会计信息化系统是一个由人、电子计算机系统、网络系统、数据与程序等有机结合的一个人机交互作用的“智能型”系统。这个系统表现出集成性、简捷性、开放性、多元性、实时性等技术特征，使会计工作的重心从核算转向管理。会计的信息化必将导致会计信息化审计。会计信息化审计的本质是审计与现代信息技术(主要是网络技术)相融合的一个发展过程。其目标是通过审计与现代信息技术的有机结合，评价控制会计信息系统，实施审计监督服务，以促进经济发展和社会进步。在网络系统中，注册会计师人员通过审计客户的信息接口转换，根据授权，在网上直接调阅客户的会计信息。这些会计信息包括货币形态的信息和非货币形态的信息(如职工的招聘与下岗)；数字化信息和图形化信息(如财务分析预测的直线图)；现代化信息和未来信息等。通过对这些信息的调阅与审查，注册会计师人员便可以开展多元化的、实时的审计程序。网张世界中，我们所在的校园与纽约的距离并不比相邻的两个寝室更遥远。网络技术的应用，空间已不再是执行审诉的制约因素，这样境外审计、环境审计等就变得更加容易。网络在会计中的应用，会带来诸多安全问题，如篡改数据、信息丢失、黑客入侵、计算机病毒等，在会计信息系统中，安全性是必须考虑的核心问题。会计信息化审计应把网络会计系统的安全审计作为重点。注册会计师人员应在了解企业网络基本情况、安全控制目标、安全控制情况及潜在漏洞等基础上，对企业现存的安全控制措施进行测试。如是否有有效的口令控制，数据是否加密，职能权限的管理是否恰当，是否有持续的供电设备和有关备份设备，对计算机病毒的防范与控制措施是否得当等。在会计信息化审计技术的发展过程中，会计师事务所可以建立自己的网站，将事务所的基本情况、组织结构、业务范围、服务宗旨，客户授权的有关会计信息及对客户实施审计程序后所产生的审计信息全部都纳入会计师事务所的信息网中。会计师事务所可以通过网络获以客户，签定业务约定书，传递和送审计报告等，从而形成开放的信息化审计体系。但为了防止网上泄密和恶意攻击，会计师事务所应将信息网中的信息进行加密，实行签名机制，并设置安全系统如回收设备，防火墙技术等。使得审计职业道德准则中的保密性原则得以遵守。



网络审计范文篇2

一、局各科室（中心）工作人员负责本科室（中心）计算机网络和审计管理系统的使用与管理，做好计算机软件系统的杀毒工作，及时提供真实完整、质量较高、反映全面的数据信息，满足工作的需求。

二、各科室（中心）负责人对本科室（中心）计算机网络和审计管理系统的使用与管理负领导责任。

三、严禁上网聊天和玩游戏，严禁收看有损国家形象的网站和不健康网站。

四、严禁上网下载及安装软件，由此造成病毒侵入而引起计算机瘫痪或其他损失的，一切后果由操作者自负，并追究科室（中心）负责人责任。

五、不得使用来历不明的软盘或光盘，不得把本科室（中心）的软盘随意外借，不得使用有病毒的光盘，使用软盘或光盘之前要先查杀病毒。

六、未经许可的外来人员不得随意操作本科室（中心）计算机、审计管理系统和相关设备，不得为外单位人员拷贝软件。

网络审计范文篇3

关键词：网络会计;审计；影响

1审计重要程度的加强及风险的增大

网络会计信息系统以计算机和通信网络为基础，它对计算机系统强烈的依赖性潜伏着巨大的威胁，控制不灵、使用不当就可能造成灾难性的后果，并且存在计算机病毒和“黑客”的肆意侵袭、计算机犯罪等等都导致会计信息失真的风险。因此，审计人员不仅要对经济业务活动产生的数据是否真实、正确、合法进行审计，而且还要对网络会计系统的硬件和软件，进而对整个会计信息系统的安全性、可靠性、内部控制的健全性与有效性等方面进行审计，从而指出被审单位会计信息系统内部管理和控制上的薄弱环节，提高会计信息的可靠性和真实性，有效地利用计算机随意篡改会计数据或破坏磁性介质上的数据等舞弊行为的发生。因此，这网络会计信息系统中，审计工作的重要性远远超过以望。同时，电子商务和经贸活动的网络化使企业与外部的信息交换更为频繁、快捷，经营周期大大缩短，交易活动呈现很强的实时性。审计风险是指会计报表存在重大错报、漏报而审计后发表不恰当审计意见的可能性。理论上讲，审计风险由固有风险、控制风险、检查风险组成。电子商务环境下，审计风险日益复杂：

(1)过渡依赖网络系统。电子商务环境下，主要审计证据来自于网络，其可靠性高度依赖网络系统的可靠性和安全性，而网络系统的开放性导致审计控制风险更加难以确定。

(2)病毒与黑客风险。计算机病毒和黑客可以从地球任何一个角落攻击会计信息系统的数据，给系统造成破坏，导致固有风险增大。

(3)审计线索模糊。电子商务环境下，网络财务会计系统的设计可能使一个完整的交易轨迹只保留一段时间或设计成计算机可读性，可以人为修改数据而不留任何痕迹。因此，私人违规接触会计数据或修改数据以及接触资产而又不留下显见证据的可能性增大。审计线索的不可见性，使检查风险增大。

2审计线索和审计方式的改变

审计线索对审计来说是极为重要的。审计工作中，审计人员正是通过跟踪审计线索，审核有关经济业务和收集审计证据的。而审计的过程，实质上就是不断收集、鉴定和综合运用审计证据的过程。在传统商务活动过程中，每笔交易都有一个完整的审计线索，交易的每一环节都有文字记录，都有经受人签字，审计线索十分清楚。审计人员可以从原始单据开始，对交易事项进行追踪，一直到报表为止，也可以从报表开始，追根寻源，一直追溯到原始单据，从而形成了顺查、逆查等审计方法。但是，在网络会计系统中，传统的单据没有了，纸质记录消失了，代之的是粗有数据处理资料的磁盘、磁带、光盘等，这些存储在磁性介质上的信息是机器可读的，它们不再是肉眼所能直接识别的了。审计所需的线索和证据完全可能由审计人员通过网络从其他有关方面获得。从而实现了审计线索、审计证据来源的多样化。

在网络世界里，企业的生产和经营的组织形式将处于多样化，并随着不同交易事项自由合成新的经营主体-虚拟企业（VirtualFirms）。虚拟企业存在于计算机网络之中，它是一种临时组成的，没有固定形态和明确空间范围的结合体。它可以随业务活动的需要，由若干相互独立的公司经过整合、重组而成，也可以随交易业务的完成而随时中指。电子商务使得虚拟企业的交易可以在瞬间完成，虚拟企业也就可能在交易完成后立即解散。网络社会的虚拟企业，其存续的时间可以很厂，长达几年或几十年，也可以很短，只存在几秒钟。故虚拟企业的快速结合与解散，要求审计工作必须随时、随地进行，实时、即时提供审计信息，而不能按照传统的审计工作要求，定期提供审计信息。

3审计内容的拓宽

在网络会计系统中，审计的监督职能并没有改变，使审计的内容发生了相应的变化。首先，网络会计系统的特点及其固有的风险决定了审计内容必须包括对网络会计系统处理和控制功能的审查，以证实其对交易事项的处理是否真实、合法及安全可靠，这是传统审计所没有的；其次，由于网络会计系统已经开发完成并投入使用后再对它进行修改优化，要比在系统设计阶段对它改过困难得多，代价也昂贵得多。因此网络会计系统的设计应有审计人员（一般是内审人员）的参加。在系统设计开发阶段，审计人员要提醒开发人员注意并监督审查下列问题：

（1）系统的功能是否恰当、完备，能否满足用户商务活动的需要；

（2）系统的数据流程、处理方法是否符合有关贸易法规；

（3）系统是否建立了恰当的程序控制，以防止或发现无意的差错或有意的舞弊。

4审计方法与技术的改进

在网络会计系统中，审计的对象发生了变化，大量的证据都存储在肉眼不可见的磁性介质上，对这些证据，审计人员只能利用计算机技术进行审查、核对、分析、比较等各项审计工作，从而提高审计的效率与质量。在对会计活动进行审计时，单机系统环境下的审计方法有的已不使用。而网络技术的发展为网络审计软件的开发提供了技术支持，为审计提供了更为便捷的审计方法与技术。具体来讲，审计方法应具有以下特点:

（1）从审计数据获取来看，审计人员可以利用审计接口软件直接获取数据，同时可以通过文件传输、远程登录、网络浏览、电子公告或新闻组等网络工具远程获取信息；

（2）从审计信息的加工处理来看，可以借助各种审计软件对获取的信息进行快速、准确地加工和处理；

（3）从审计报告阶段来讲，可以利用网络发表审计报告，提高报告的时效性，同时扩大审计报告的适用范围。

5对审计主体的相关要求

审计主体即实施审计监督的执行者，也就是审计机构和审计人员。网络系统的发展应用，使得审计人员必须渗透到网络系统的设计、实施、计算机的应用程序，甚至到每一个数据文件中去。为适应网络会计的发展，审计人员应该树立起全新的思维观念：

(1)树立创新意识。网络会计本身是创新的产物，而且远未成型，正处于不断创新和变革之中，同时也源源不断给审计人员带来了挑战。审计人员必须树立创新意识，针对网络会计带来的新情况、新问题，建立全新的审计理论和审计模式，积极探索在新的网络环境下审计目标、审计对象、审计测试、审计准则等方面的理论和方法，这既有利于解决审计面临的难题，同时也有助于推动电子商务的发展。

(2)树立竞争意识。网络会计的兴起，打破了传统的行业壁垒，同样的业务可能为多种行业共享，审计在开展此类业务时将无法享有专有权，尤其计算机网络系统鉴证等业务，其他非审计职业人员同样可以提供此类服务。同时，随着经济全球化，国外会计师事务所机构已经开始进入国内，对国内审计人员和审计机构也形成挑战。国内审计人员必须洞悉市场竞争的变化，调整竞争策略，及时掌握前沿技术，取得竞争优势。

参考文献

［1］刘峰.试论电子商务对审计的影响［J］.软科学,2002，(3).

［2］梁心杨.浅论电子商务对审计的影响［J］.河北审计,2000，(10).

网络审计范文篇4

摘要：如何有效的收集网络应用服务的基本信息，是服务审计系统的一个难点．采用接人控制的方式，在每台服务器上强制安装信息采集控件，用于对各种网络应用服务信息进行采集并上报给审计服务器进行审计，用户接入网络前必须经过应用服务的审计，从而对众多的应用服务进行有效的管理。

随着Internet的发展，各种各样的网络应用服务也层出不穷，传统的如DNS、Email、Web和FTP等，时髦的如P2P、网络证书、网络电话和软件仓库等。面对如此众多的网络服务，怎样进行有效、规范的管理?怎么确保网络应用服务的健康、有序的发展?这就是摆在各个网络信息管理员面前迫切的问题。网络信息服务审计系统可以解决这个难题，同时也是网络安全研究的一个热点。

本文结合高校的特色和网络应用的实际情况，对网络应用服务管理进行了研究，提出了采用接人控制的网络应用服务审计系统的解决方案，通过实践证明，该系统对高校的应用服务系统是一种切实有效的管理方式。

1网络服务审计

1.1什么是网络服务审计

“审计”的英文单词为“Audit"，可解释为“查账”，兼有“旁听”的涵义。由此可见，早期的审计就是审查会计账目，与会计账目密切相关。审计发展至今，早已超越了查账的范畴，涉及到对各项工作的经济性、效率性、合法性和效果性的查核，其基本目是确定被审查对象与所建立的标准之间的一致或不一致的地方。

网络服务审计是指对网络服务提供者所提供的服务是否遵守有关的法律和规章制度、是否登记备案、其服务内容是否超越所登记备案的范围、其是否已有效地达到了预期的结果等进行的检查与核查行为。

1.2网络服务审计的必要性

传统的网络服务审计可能非常耗费时间，通过对计算机逐个进行端口扫描、漏洞扫描或者镜像监听，获得所需要的信息后进行审计和核查。但如果计算机更改服务提供的端口号、用户防火墙屏蔽了端口扫描或者采用动态端口提供服务，那么就无法及时获得这些必要的信息了。

对网络信息管理员而言，如何有效的控制网络中的信息服务、如何掌握信息服务提供者所提供的服务类型是否超越所登记备案的范围、如何及时掌握统计和分析网络中信息流的动态情况等都是一个很繁琐和复杂的事情。

通过对网络应用服务的审计，能够及时获取服务提供者所提供的网络应用服务，能够及时掌握用户对信息服务的访问行为，能够及时发现有无违规的信息与访问，能够及时发现涉密信息的泄露和敏感信息的访问等。

2网络应用服务审计系统架构

结合高校的特色和网络应用的实际情况，采用接人控制的网络应用服务审计系统由三部分组成：

2.1IEEE802.1x网络访问控制

IEEE802。Ix协议是基于端口的访问控制协议(portbasednetworkaccesscontrolprotocol)，主要解决以太网认证和访问控制方面的问题。目前很多高校校园网都采用802.ix用于对用户接入校园网的行为进行控制。

在802.1x初始状态下，以太网交换机上的所有端口处于关闭状态，只有802.1x数据包才能通过，或者只能访问GuestVLAN内的特定网络资源(如网络应用服务审计服务器)，而另外的网络数据流都被禁止。当用户进行802。lx认证时，以太网交换机将用户名和密码传送到后台的认证服务器上进行验证。如果用户名和密码通过了验证，则相应的以太网端口打开，允许用户对网络的访问，并部署AAA服务器下发的访问控制策略。

802.1x主要是解决网络接人的问题，未通过认证的用户将无法使用网络，这样可以确保接入用户的合法性。同时，当用户认证通过后，由服务审计服务器判定该用户是否安装Java数据采集控件，配合AAA服务器决定用户是否能够访问网络。

2.2Java数据采集控件

数据采集控件的实现有两种方式:一是集成到802.lx客户端中，二是单独的控件。Java由于其跨平台、跨操作系统的特性而成为首选。这样不管用户使用的是什么操作系统、使用什么软件提供服务，都能很方便的进行数据采集。

Java数据采集控件主要完成数据采集的工作，当用户第一次连接网络时，强制安装该控件。如果用户重新安装操作系统，当用户再次连接网络时，也将被强制安装该控件。

未安装数据采集控件的计算机，即使通过802.1x认证，也将只能访问服务审计服务器，而不能访问其他的网络资源。

数据采集控件负责采集计算机操作系统类型及版本、开放的端口、提供的服务和流量等信息，并上报给服务审计系统。

2.3服务审计服务器

服务审计服务器是整个系统的核心，主要有三个功能:一是和AAA服务器配合，确保所有接人网络的计算机合法性，并已安装数据采集控件。二是和Java数据采集控件通信，将数据采集控件报送的信息存储到数据库中。三是实现信息服务备案、查询管理、审计分析、实时审计和统计报表等功能。其中审计分析采用MPMF(multi-prioritymemoryfeedback)流水线处理算法，其处理能力可以承载高速网络的审计处理。

2.4后台数据库服务器

数据库服务器可以采用市面上主流的大型数据库管理系统，如()racle,SQLServer,Sybase等，服务审计服务器通过ODBC/JDBC等数据访问接口来无缝地连接这些数据库系统。

同时，通过数据库复制来实现数据库的分布和同步，以使网络应用服务审计系统具备可扩展的数据处理能力，保证在网络流量日益增大的情况下系统可以可靠地运行。

3工作流程

3.1计算机接入网络

3.1.1802.lx认证

当计算机发起802.1x认证时，交换机将用户名和密码传送到后台的AAA服务器，由AAA服务器进行合法性判定。当用户未通过802.1x认证时，对网络的访问受限;当用户通过802.1x认证时，还需要由审计服务器进一步确认计算机上是否安装Java数据采集控件。

3.1.2Java数据采集控件确认

计算机通过802.1x认证后，AAA服务器通知交换机打开端口并部署相应的访问控制策略，将所有网络访问重定向到服务审计服务器。

如果计算机上已经安装Java数据采集控件，当检测到计算机网络状态已连接时，自动向服务审计服务器发出通知，告知该计算机已接入网络。服务审计服务器接到通知后，将信息记录到后台数据库服务器中，并通知AAA服务器下发新的访问控制策略，允许计算机访问其他的网络服务。

如果计算机没有安装Java数据采集控件，服务审计服务器不会收到通知，这时用户所有的访问都被重定向到服务审计服务器，而不能访问其他的网络服务川。

3.2网络应用服务审计数据采集

数据采集控件定时和服务审计服务器进行通信，将采集的信息上报服务审计服务器。服务审计服务器将这些信息记录到后台数据库服务器中，用于后续的查询、统计和审计等。

如果服务审计服务器在一定时间内未收到数据采集控件的通信信息(单次通信超时为60秒，如果连续5次通信未成功，则视为通信中断)，服务审计服务器通知AAA服务器断开该用户的网络连接。

采集的审计数据一般包括下边的三个部分：

1)主机识别:连接到网络上的活动计算机的IP地址、MAC地址、802.1x用户名、交换机管理IP地址和交换机端口等数据，这些数据可以由802.1x服务提供。

2)主机描述:连接到网络上的活动计算机的操作系统、运行的网络服务及其版本信息、计算机开放的端口等数据，这些数据由Java数据采集控件提供。

3)服务描述:连接到网络上的活动计算机的哪些网络服务处于激活状态、流量是多少等数据，这些数据由Java数据采集控件和AAA服务器联合提供。

3.3网络应用服务审计

网络应用服务审计系统负责对采集到的信息进行审计，并根据预定设置，采取相应的措施。

审计可分为三个级别:高优先级、中优先级和低优先级。

高优先级审计主要用于网络中重要服务的审计，包括两个方面:一是所允许的服务运行是否正常，二是是否有未允许的服务在运行。高敏感度审计发现网络中的重要服务出现问题时，会立即以短信方式通知管理员进行处理，从而确保重要服务的正常运行。

中优先级审计主要用于网络中非重要服务的审计，也包括上述两个方面，但发现问题时，只是以告警信息或者邮件的方式提示管理员进行处理。

低优先级审计则用于网络中的大部分用户，着重于信息的收集和保存，以备非实时审计、统计分析用。

为满足高速网络中服务审计的需要，采用了MPMF流水线处理算法。MPMF算法根据审计系统的过程模型以及各个部分的特点，合理划分各个部分的层次以及优先级顺序。

3.4计算机从网络中退出

当计算机正常从网络中退出时，数据采集插件停止工作，交换机端口恢复到关闭状态。

当计算机非正常退出时(如突然断电、计算机死机等)，服务审计服务器在一定时间内未收到数据采集控件的通信信息(单次通信超时为60秒，如果连续5次通信未成功，则视为通信中断)，服务审计服务器通知AAA服务器断开该用户的网络连接，交换机端口恢复到关闭状态。

网络审计范文篇5

论文关键词：计算机网络；应用服务；审计系统

随着Internet的发展，各种各样的网络应用服务也层出不穷，传统的如DNS、Email、Web和FTP等，时髦的如P2P、网络证书、网络电话和软件仓库等.面对如此众多的网络服务，怎样进行有效、规范的管理?怎么确保网络应用服务的健康、有序的发展?这就是摆在各个网络信息管理员面前迫切的问题.网络信息服务审计系统可以解决这个难题，同时也是网络安全研究的一个热点.

本文结合高校的特色和网络应用的实际情况，对网络应用服务管理进行了研究，提出了采用接人控制的网络应用服务审计系统的解决方案，通过实践证明，该系统对高校的应用服务系统是一种切实有效的管理方式.

1网络服务审计

1.1什么是网络服务审计

“审计”的英文单词为“Audit"，可解释为“查账”，兼有“旁听”的涵义.由此可见，早期的审计就是审查会计账目，与会计账目密切相关.审计发展至今，早已超越了查账的范畴，涉及到对各项工作的经济性、效率性、合法性和效果性的查核，其基本目是确定被审查对象与所建立的标准之间的一致或不一致的地方.

网络服务审计是指对网络服务提供者所提供的服务是否遵守有关的法律和规章制度、是否登记备案、其服务内容是否超越所登记备案的范围、其是否已有效地达到了预期的结果等进行的检查与核查行为.

1.2网络服务审计的必要性

传统的网络服务审计可能非常耗费时间，通过对计算机逐个进行端口扫描、漏洞扫描或者镜像监听，获得所需要的信息后进行审计和核查.但如果计算机更改服务提供的端口号、用户防火墙屏蔽了端口扫描或者采用动态端口提供服务，那么就无法及时获得这些必要的信息了.

对网络信息管理员而言，如何有效的控制网络中的信息服务、如何掌握信息服务提供者所提供的服务类型是否超越所登记备案的范围、如何及时掌握统计和分析网络中信息流的动态情况等都是一个很繁琐和复杂的事情.

通过对网络应用服务的审计，能够及时获取服务提供者所提供的网络应用服务，能够及时掌握用户对信息服务的访问行为，能够及时发现有无违规的信息与访问，能够及时发现涉密信息的泄露和敏感信息的访问等.

2网络应用服务审计系统架构

结合高校的特色和网络应用的实际情况，采用接人控制的网络应用服务审计系统由三部分组成:

2.1IEEE802.1x网络访问控制

IEEE802.Ix协议是基于端口的访问控制协议(portbasednetworkaccesscontrolprotocol)，主要解决以太网认证和访问控制方面的问题.目前很多高校校园网都采用802.ix用于对用户接入校园网的行为进行控制.

在802.1x初始状态下，以太网交换机上的所有端口处于关闭状态，只有802.1x数据包才能通过，或者只能访问GuestVLAN内的特定网络资源(如网络应用服务审计服务器)，而另外的网络数据流都被禁止.当用户进行802.lx认证时，以太网交换机将用户名和密码传送到后台的认证服务器上进行验证.如果用户名和密码通过了验证，则相应的以太网端口打开，允许用户对网络的访问，并部署AAA服务器下发的访问控制策略.

802.1x主要是解决网络接人的问题，未通过认证的用户将无法使用网络，这样可以确保接入用户的合法性.同时，当用户认证通过后，由服务审计服务器判定该用户是否安装Java数据采集控件，配合AAA服务器决定用户是否能够访问网络.

2.2Java数据采集控件

数据采集控件的实现有两种方式:一是集成到802.lx客户端中，二是单独的控件.Java由于其跨平台、跨操作系统的特性而成为首选.这样不管用户使用的是什么操作系统、使用什么软件提供服务，都能很方便的进行数据采集.

Java数据采集控件主要完成数据采集的工作，当用户第一次连接网络时，强制安装该控件.如果用户重新安装操作系统，当用户再次连接网络时，也将被强制安装该控件.

未安装数据采集控件的计算机，即使通过802.1x认证，也将只能访问服务审计服务器，而不能访问其他的网络资源.

数据采集控件负责采集计算机操作系统类型及版本、开放的端口、提供的服务和流量等信息，并上报给服务审计系统.

2.3服务审计服务器

服务审计服务器是整个系统的核心，主要有三个功能:一是和AAA服务器配合，确保所有接人网络的计算机合法性，并已安装数据采集控件.二是和Java数据采集控件通信，将数据采集控件报送的信息存储到数据库中.三是实现信息服务备案、查询管理、审计分析、实时审计和统计报表等功能.其中审计分析采用MPMF(multi-prioritymemoryfeedback)流水线处理算法}3J，其处理能力可以承载高速网络的审计处理.

2.4后台数据库服务器

数据库服务器可以采用市面上主流的大型数据库管理系统，如()racle,SQLServer,Sybase等，服务审计服务器通过ODBC/JDBC等数据访问接口来无缝地连接这些数据库系统.

同时，通过数据库复制来实现数据库的分布和同步，以使网络应用服务审计系统具备可扩展的数据处理能力，保证在网络流量日益增大的情况下系统可以可靠地运行.

3工作流程

3.1计算机接入网络

3.1.1802.lx认证

当计算机发起802.1x认证时，交换机将用户名和密码传送到后台的AAA服务器，由AAA服务器进行合法性判定.当用户未通过802.1x认证时，对网络的访问受限;当用户通过802.1x认证时，还需要由审计服务器进一步确认计算机上是否安装Java数据采集控件.

3.1.2Java数据采集控件确认

计算机通过802.1x认证后，AAA服务器通知交换机打开端口并部署相应的访问控制策略，将所有网络访问重定向到服务审计服务器.

如果计算机上已经安装Java数据采集控件，当检测到计算机网络状态已连接时，自动向服务审计服务器发出通知，告知该计算机已接入网络.服务审计服务器接到通知后，将信息记录到后台数据库服务器中，并通知AAA服务器下发新的访问控制策略，允许计算机访问其他的网络服务.

如果计算机没有安装Java数据采集控件，服务审计服务器不会收到通知，这时用户所有的访问都被重定向到服务审计服务器，而不能访问其他的网络服务川.

3.2网络应用服务审计数据采集

数据采集控件定时和服务审计服务器进行通信，将采集的信息上报服务审计服务器.服务审计服务器将这些信息记录到后台数据库服务器中，用于后续的查询、统计和审计等.

如果服务审计服务器在一定时间内未收到数据采集控件的通信信息(单次通信超时为60秒，如果连续5次通信未成功，则视为通信中断)，服务审计服务器通知AAA服务器断开该用户的网络连接.

采集的审计数据一般包括下边的三个部分:

1)主机识别:连接到网络上的活动计算机的IP地址、MAC地址、802.1x用户名、交换机管理IP地址和交换机端口等数据，这些数据可以由802.1x服务提供.

2)主机描述:连接到网络上的活动计算机的操作系统、运行的网络服务及其版本信息、计算机开放的端口等数据，这些数据由Java数据采集控件提供.

3)服务描述:连接到网络上的活动计算机的哪些网络服务处于激活状态、流量是多少等数据，这些数据由Java数据采集控件和AAA服务器联合提供.

3.3网络应用服务审计

网络应用服务审计系统负责对采集到的信息进行审计，并根据预定设置，采取相应的措施.

审计可分为三个级别:高优先级、中优先级和低优先级。

高优先级审计主要用于网络中重要服务的审计，包括两个方面:一是所允许的服务运行是否正常，二是是否有未允许的服务在运行.高敏感度审计发现网络中的重要服务出现问题时，会立即以短信方式通知管理员进行处理，从而确保重要服务的正常运行.

中优先级审计主要用于网络中非重要服务的审计，也包括上述两个方面，但发现问题时，只是以告警信息或者邮件的方式提示管理员进行处理.

低优先级审计则用于网络中的大部分用户，着重于信息的收集和保存，以备非实时审计、统计分析用.

为满足高速网络中服务审计的需要，采用了MPMF流水线处理算法.MPMF算法根据审计系统的过程模型以及各个部分的特点，合理划分各个部分的层次以及优先级顺序。

3.4计算机从网络中退出

当计算机正常从网络中退出时，数据采集插件停止工作，交换机端口恢复到关闭状态.

当计算机非正常退出时(如突然断电、计算机死机等)，服务审计服务器在一定时间内未收到数据采集控件的通信信息(单次通信超时为60秒，如果连续5次通信未成功，则视为通信中断)，服务审计服务器通知AAA服务器断开该用户的网络连接，交换机端口恢复到关闭状态.

网络审计范文篇6

随着电子商务的兴起，网络经济作为一种全新的经济形态诞生并得以迅速发展。传统审计遇到了空前严重的挑战而必然的走向了网络化，网络审计在酝酿中呼之欲出。本文首先从必然性、可能性、技术支持和实现基础四个方面论述了网络审计的产生的必然性；在此基础上，创造性的提出了本文的核心理论——网络审计的构成理论，即网络审计由“对网络经济的审计、对网络系统的审计、利用网络进行审计”三部分构成；随后，又对网络审计的优势及应用中的问题进行了简要的归纳总结；最后，对促进网络审计发展提出了笔者的五项建议：(1)开发网络审计软件。(2)准备网络审计人才。(3)加快审计网络建设。(4)加强网络审计立法。（5）制定网络审计准则。

关键词

网络审计网络经济网络经营网络财务

计算机与网络技术使世界进入网络经济时代。以电子商务为基础的网络经济及与之相适应的网络财务的迅速发展不仅使企业的经营方式和管理模式发生重大变化，而且对传统审计提出了空前严重的挑战。

一、网络审计呼之欲出

1、必要性

以电子商务为基础的网络经济的诞生和高速发展及应运而生的网络财务呼唤网络审计的诞生。

近几年，以大批网络公司的成功崛起为标志，“网络”已由时髦变成了一种实务。全球的网上销售额2000年就已达到了3000亿美元（世贸组织测定），2003年将达到15000亿美元（世界货币基金组织预测）。从第一代的互联网商务（建立网站）到如今的第二代的互联网商务（把服务器与后端系统相连，实现网上订货及订单跟踪）。再到将来的第三代互联网商务（企业业务两端都实现自动化，形成实时传播的供应链）网络经济正以惊人的速度发展并引发了管理思想和会计业务等方面广泛而深刻的变革。

电子商务（E-Business或E-Commerce）是借助计算机和信息技术、网络互联技术和现代通讯技术来全面实现电子化的交易和结算的商务新模式，具有便捷、经济、高效的特点。截至2001年1月，我国电子商务网站达1500余家；互联网服务市场总体规模为53亿元，而电子商务交易总额却达到了771.6亿元。证券公司、金融结算机构、民航订票中心、信用卡发放等均已成功地进入电子商务领域，并完成了大量而又可靠的交易。据最新评比报告显示：我国电子商务能力居世界第37位。电子商务这种与传统商业截然不同的商务操作和管理模式，已经远远超出了传统审计所能涉及的领域。北京出现的全国第一起利用电子商务逃避纳税案，就从侧面反映出了传统审计面对电子商务时的无力与无奈。

Internet和电子商务的发展直接导致了网络财务的出现。确切的讲，“网络财务”是电子商务的重要组成部分，它以网络技术为基础、帮助企业实现财务与业务协同、远程报表、远程报帐及远程审计等远程处理，事中动态会计核算与在线财务管理，实现集团型企业对分支机构的集中式财务管理。据报道，中国两大财务软件公司“用友”、“金蝶”都已了自己的网络财务软件。网络财务是企业财务管理从思想观念到方式手段的一次深刻革命，传统审计也必须加快发展步伐和变革力度以适应网络经济及网络财务的发展。

2、可能性

新型公司业务信息与财务信息的高度集中使网络审计的出现成为可能。

网络经济、网络财务对网络审计而言，既是一种挑战，同时也是一种机遇，因为它即将带给传统审计一个全新的变革和飞跃。以电子商务为基础的网络经济和网络财务的深入发展和广泛应用，必然导致业务数据和财务数据在计算机网络系统中的高度集成，从而使得审计所需的大量原始的财务数据和其他各种证据都可从被审单位及其相关业务单位的计算机网络系统中直接获取。这不仅为真正有效实用的网络审计创造了条件，同时也为全面高效的网络审计系统提供了广阔的发展空间。

3、技术支持

互联网通信技术和计算机技术的深入发展给网络审计的出现提供了先进的技术支持。

我国IT产业经过十几年的发展，在硬件、软件，互联网络的开发、管理及运用方面已经拥有了比较成熟的技术，形成了一整套较为科学、先进的技术体系。

在硬件技术方面，我国嵌入式微处理器研制达到90年代末国际水平，研制出了点径为0.6纳米的世界上信息存储密度最高有机材料，运行速度为4032亿次/秒高性能超级服务器。

在软件技术方面，中国开发完成了国产计算机操作系统“中国两千”（chinese2000）。财务软件的开发已达到国际领先水平，它的开发、运用、普及和网络化都将为网络审计软件的开发提供丰富技术和经验。

在互联网技术方面，远程控制技术、保密传输技术、大型数据库技术、web技术、网络身份确认技术、防火墙技术、虚拟专用网技术、反病毒技术等都将在网络审计技术的开发与实现中产生重大作用。

4、实现基础

网络（局域网和互联网）、财务和管理软件的普及、完善及较为充足的网络操作人才为网络审计的实现奠定了坚实的基础。

据中国互联网络信息中心统计：我国截止到2000年12月31上网人数突破2250万人，预计年内将达到3500万。上网计算机892万台，互联网站点突破3万个。光缆总长度125万公里，国际线路总容量2799M，电脑拥有量全球第八。另外，我国即将启动网络战略性结构调整。在扩建完善现有的以光纤为主体的基础传输网的同时，加速建设新一代高速信息传输骨干网络和宽带高速计算机互联网。这为网络审计诞生和发展创造了有利的物质环境。

迄今为止，绝大多数的机关、单位的会计核算都实现了计算机管理，80%以上的单位使用的是国产的财务或管理软件（部分已具备了网络财务功能）。有的建立了内部网络管理和信息系统，实现了数据共享。这为网络审计软件的开发和审计网络的建设奠定了基础。

在人员方面，受过系统的计算机基础教育的大中专毕业生和受过计算机应用培训在职人员已非常普遍。这就为网络审计的普及与推广提供了充足的人力资源保障。

二，网络审计的构成

网络审计是指综合运用网络及其相关技术手段对网络经济及网络系统进行审查的新型审计。由以下三部分构成：

1、对网络经济的审计

网络经济是指在开放的互联网环境下，利用服务器来实现的各种经济活动。这种虚拟经济模式具有虚拟性、广泛性、隐蔽性、即时性等特点，与传统经济模式有显著的区别。这也是网络审计相对于传统审计而言有很大不同的根本原因。这些差别主要表现有以下四个方面。

（1）更加广泛而复杂审计对象

审计对象的本质是企业的财务收支及其有关的经营管理活动，而在电子商务中，企业的财务收支及其有关的经营管理活动的特点发生了巨大的变化，各种业务隐

性化和数字化，使舞弊行为更易发生；此外现代审计赖以存在的内部控制制度也出现了新特点，传统手段无法对新环境下的内部控制进行评价，也就无法得出正确的审计结论

传统电算化软件正在经历纵向网络化、横向与管理信息系统融合的发展历程，企业资源计划（ERP，EnterpriseResourcePlanning）和业务流程重组（BPR，BusinessProcessReengineering）等以信息技术为基础的新的管理思想的发展和应用的实施加剧了传统管理流程的变革，使审计面临的对象更加复杂。目前一种强调企业面对顾客、竞争和变化，应保持持续不断的改进的新理论“业务流程迭代”（BPI，BusinessProcessInteraction）正在全球兴起，基于Internet的ERP和BPR理论又加入了电子商务的内涵，这意味着审计面临的对象将呈现出不断变化的特点。未来企业内外资源的有效计划及其优化和执行，将是一个基于共同知识体系的全球化的应用，这就预示着审计还将面临多公司交叉的更为广阔的网络系统，网络审计的对象将空前的复杂和广泛。

（2）更先进的工具和方法

网络审计引入了以计算机为主的网络计算设备和以互联网为主的网络体系（有线网与无线网）及与之匹配兼容的网络审计软件系统。工具的不同使得网络审计除了从传统审计及计算机辅助审计那里继承来的和从网络财务那里移植来的方法外，还拥有自身所特有的方法体系。这包括实时监测，电子函证，远程审查，实时测试等具体的审计技术手段及建立网上企业信息档案库，系统开发认证制度，网络系统（功能和控制）的定期审查（年审或季审）制度等审计制度。

（3）更高素质的审计人员

网络审计工作的顺利开展是基于计算机技能、网络知识和完备的审计理论等多方面的综合运用，所以网络审计要求审计人员除了过硬的业务素质外，还须具备一定的计算机、网络、通讯、电子商务等方面的知识，掌握网络审计的理论和方法。如有必要，网络审计还需引进计算机专家等专业人员。

（4）更复杂的审计作业与报告

由于审计对象更加广泛和复杂，要求分工与协作更加深入，网络系统的认证，定期审查（年审或季审）及网上业务审计所构成的审计作业由不同的审计机构承担成为必要和可能。网络系统的认证和年审一般可由政府审计或由其委托的社会审计，或社会审计在政府审计的许可、监督下接受企业的委托进行。而网上业务审计则可由接受授权或委托的政府审计或社会审计来完成。

与审计作业相适应，由业务审计报告及其必要附件（网络系统的认定证书和定期审查报告）所构成的审计结果将由分别承担这三项审计工作的单位提供。网络系统认定书应对网络系统的定期审查和业务审计的重点给出建议，而网络系统定期审查报告则应就网络业务审计的重点给出建议。三种审计结果密切配合，共同完成对网络经济活动的审计监督、鉴证。

2、对网络系统的审计

网络审计对网络系统安全性、可靠性和准确性有很强的依赖，这就要求尽可能在网络系统投入运行前就对其进行审计。主要有以下三个方面：

(1)对系统开发的审计

网络信息系统（电子商务系统和网络会计系统等）的特点及其固有的风险决定了审计内容必须包括对网络信息系统处理和控制功能的审查，以证实其业务处理是否真实、合法及安全可靠，这是传统审计所没有的；其次，由于系统开发完成并投入使用后再修改优化，要比设计阶段困难且代价昂贵。因此，系统的设计开发应有审计人员（一般是内审人员）参与，完成后必须通过验收认证程序后方可投入运行，通用软件尤应如此。

（2）对内部网络功能与控制的审计

包括硬件系统的审计，软件系统的审计，人员组织及内部控制系统的审计。应对此实行突击检查与定期审查制度相结合的，以保证内部网络的安全性、可靠性和准确性。

鉴于电算化审计已对这方面有过丰富的和深入的研究、探讨，本文在此不再赘述。

（3）对外部网及相关单位的审计

为了保证网络业务的真实性和安全性，必然要求审查如网上的认证机构、加数字时间戳的机构、网上银行或电子货币发行单位的真实、可靠性；评价各种Internet上加密技术、防火墙技术等网络安全控制措施的有效性。所有这些都由每个单位组织审查和评价是不实际，也是不必要的。但可以由有关部门或机构进行审计、评价或鉴定，并出具报告，供有关人员参考。

3、借助网络进行审计

网络审计当然应该包括审计自身的网络化，即审计本身的电子商务化，这是网络审计与传统审计相区别的根本特征。

（1）借助网络开展业务

网络审计机构的业务活动大部分将在网上开展，包括在本企业网站上进行形象塑造、信息披露、服务咨询、同业交流、委托或授权、资金划拨、审计结果报送等。

（2）借助网络进行项目管理和实施

网络审计机构在网上接受委托或授权，并取得登录密码及其他相关权限后，就可以在任何地方借助网络进行项目管理和实施，完成除实地盘点和观察外的大部分审计工作。

审计项目负责人可以在网上制定审计计划，给各审计人员(不同地点)分配审计任务；在网上复核助理人员的工作底稿，并对助理人员给予指示与帮助；随时了解审计项目进展情况，指导和协调各审计人员的工作；从网上审计档案库调动有关审计档案，作为参考或证据；草拟和签发审计报告。

审计人员可以通过网络审查远距离外的计算机信息系统功能；调用系统的审计功能或使用审计软件对系统的磁性经济与会计信息进行抽样、审查、核对和分析；向被审计单位的银行、客户和供应商等进行电子函证；在网上复制有关文件或数据等审计证据、编写工作底稿；

如在系统开发时嵌入了审计程序，计算机还可以自动对经济业务进行实时的监控，自动完成部分审计任务。

（3）借助网络进行多单位、跨时空作业

网络审计使得多单位联合审计项目的实施成为可能，主管单位在网上对各单位进行分工、管理，领导与协调。而实施单位则通过网络与协作单位进行联系协调、资料传输与调用，向主管单位报送工作信息、审计进度，接受指导和协调等。

网络审计的三个构成部分具有以下关系：

网络经济作为网络审计的肇因和对象使得对网络的审计成为网络审计构成中的当然主体及主导部分；对网络系统的审计是网络审计的不可或缺的构成部分，是对网络经济审计的前提和必要支持；利用网络进行审计是网络审计的主要特征和衡量网络审计成熟程度的主要尺度。

网络审计是对传统审计和计算机辅助审计的一次巨大的飞跃和深刻变革，是对新兴网络经济进行审计的主要手段，也是将来审计发展的主要方向。

三、网络审计的优势及应用中存在的问题>

1、网络审计的优势

在面对日益先进和复杂的审计环境和对象，借助计算机和互联网的先进技术来开展审计工作无疑是不得不采取也是最优越的解决方法。

（1）网络审计具有多单位联合作业的协调优势

网络审计所面对的是比以前更加广泛和复杂的网络经济活动，审计的具体内容除了企业的经济活动和财务纪录以外还包括其使用的系统网络及外部网络，相关企业的审计。所以，除非三类审计机构进一步分工协作，否则很难有效的完成审计任务。

其次，对每个网络企业进行审计时都需要对其外部网络系统及对网络提供财务、保密、身份标识、电子货币等技术和服务的网络公司进行审计。这就没有必要对每个企业审计时都重复进行，进一步分工协作成为必要。

再次，由于网络、计算机，现代通讯技术再审计中的运用使得多单位协作、联合审计成为可能。

多单位联合审计中各单位优势互补，分工协作，使得审计资源得到更广泛而有效配置和运用，从而使审计能力大大提高。

（2）网络审计具有跨时空作业的便捷优势

网络审计借助网络、计算机、现代通信技术使得远程审计与就地审计相结合，当前审计与以前审计、后续审计相结合跨时空作业成为可能。而网络经济的无边界性的和复杂性使得跨时空审计成为必要。

跨时空作业使审计单位能够综合调用、管理机构内外的资源完成审计项目，将原本复杂繁重的审计任务改变成简单、方便、快捷的审计作业。

（3）网络审计具有隐秘的优势

网络的存在使得审计工作也可以在不通知被审计人的情况下开展，使得被审计人来不及也不可能应付审计检查，从而减少了审计工作的阻力，提高了审计效率和质量。

审计机构在接受委托人或授权人的委托或授权后即可通过网络直接进入被审计单位的网络信息系统，开展审计工作并完成审计报告。

网络审计的隐秘性使得突击审计的重要性和有效性得以提高。

（4）网络审计具有准确高效的优势

网络审计通过网络可以充分发掘和发挥计算机高速准确的优势及审计软件的专业的优势，对海量的网络财务数据和业务数据进行检索、查询、追踪、转化、抽取、比较、归类、合并、统计、打印和编制工作底稿，完成工作报告。联网计算的实现使得网络审计具有了准确高效的特点。

2、网络审计应用中存在的问题

（1）对网络安全性，可靠性的极大依赖

网络审计借助计算机网络等对网上经济活动及其纪录进行审计，就必然要对网络的安全性、可靠性、准确性产生依赖。目前网络犯罪已呈现出国际性的发展趋势，计算机病毒借助网络广泛传播已是司空见惯，2000年电脑病毒给全球造成的损失达121亿美元。网络安全立法还处于初始发展阶段。不仅如此，网络的即时性使得网络系统内部的漏洞或错误会无限制的复制。可以通过加强对网络系统审计来保证网络经营与网络财务的安全。

（2）审计线索的电磁化困境。

在手工会计系统中，会计核算程序中的每一步都在纸介质上留有文字记录及经手人签字，审计线索十分清楚。

网络经济条件下，传统的审计线索可能完全消失。各种单据，票证和账簿等都以人眼无法直接辨识的电磁信息的形式在网上传递并存储于磁性介质中，只能通过计算机进行审查；并且这些线索还具有被无痕删改、不能永久保存等缺点。如果系统设计时考虑不周，可能到审计时才发现只留下业务处理的结果而不能追索其来源。因此，网络审计要求企业网络财务系统在设计时必须留有充分的审计线索。

（3）实时性的挑战

网络审计具有很强的实时性。由于网络系统是持续运行的，所以停下来接受大规模的测试非常困难，这就要求审计人员执行网络审计任务与系统运行的同时进行。所以，应加强这方面审计技术的研究已提高实时审计的可操作性、有效性和准确性。

（4）要求企业建立更好的安全控制

电子商务与网络经营条件下，企业原有的内部控制的某些过程消失后，又出现了一些新的内部控制内容，如软件使用控制，网络登录控制等。但是，企业资产和经营的安全已无法单纯依靠健全的内部控制来保证。

计算机病毒和黑客攻击随时都可以从地球上的任何地方给网络化企业的安全带来威胁；电磁信息可以删改且不留痕迹；网络化经营管理中的计算机舞弊具有智能性、隐蔽性和危害严重性、易逃避法律责任的特点。

因此，网络审计要求建立许多全新的安全控制。这些控制不仅包括企业内部的管理制度和企业信息系统的程序控制，还包括外部网络及网上交易的安全控制。

（5）要求更切实完备的法律法规和准则规范

网络的出现和广泛应用对传统审计产生了强烈的冲击。旧有的审计标准准则体系和法律法规体系已不能完全适应、指导和规范网络审计的实践。网络本身的虚拟性、实时性、广泛性要求比传统审计更加切实可行，更加完备的标准准则和法律法规的保证。

四、促进网络审计发展的五项建议

1、开发网络审计软件

网络审计借助网络审计软件进行的，加强网络审计软件的研究与开发是发展网络审计所必需的。

网络审计软件的开发可以是自主开发，与软件公司合作开发，完全委托软件公司开发。从现在实际情况和科学性来说，最好选择财务软件公司，它在财务软件制作方面的经验有利网络审计测试软件的开发。

2、准备网络审计人才

大批精通网络、计算机及审计业务的审计人员队伍是网络审计能否得以实施的关键。虽然我国有充足的计算机操作应用人才的储备，但是软件的快速更新使得旧有的知识必然遭到淘汰，且网络审计已远远超出了计算机和局域网操作的范畴；此外，被审计单位财务及管理信息系统的日益复杂也是对审计人员之的一种挑战。审计人员必须经常更新自身的知识结构才能适应网络审计工作的需要。这就需要在将来的CPA资格考试中适当增加有关计算机、网络理论及操作的考察。定期对审计人员进行相关培训。

但是，注册会计师不可能都成为计算机与网络专家。因此，计算机与网络专家、信息系统与电子商务专家对网络审计参与将是必然趋势。

3、加快审计网络建设

审计网络是网络审计得以开展的物质载体，因此要进行网络审计，必须先进行审计网络建设。一些单位已建立了本单位的网站或局域网，并进行了一些网络应用如：网上审计信息、单位介绍、经验交流等，但还没有发挥出网络的真正优势。

我国的网络经济虽然有了很大的发展，和发达国家相比仍很落后，我国电子商务的销售总额仅相当于美国著名电子商务公司亚马逊销售总额的十分之一。而对网络财务研究和软件开发也才刚刚开始，因此审计网络建设不会也不能一蹴而就的。应该从

某些易于实现的部分入手，有计划地在一段时间内逐步实现全面的网络审计；从大型的政府或社会审计单位开始，从经济较发达的地区开始，逐步试验、推广。

审计网络适于采用虚拟专用网络技术，而无须耗费大量的人力物力铺设专用网络。

4、加强网络审计立法

网络审计立法是保障网络审计正常发展的关键性措施。

新的《会计法》已增加了有关网络财务的内容，《电子商务法》起草工作正在加紧进行之中，但上述法规都不是针对网络审计而的，不能够满足网络审计的需要。因此，有必要加快网络审计立法工作的力度和进度，使人们在开展网络审计工作时有章可循。

如对电子证据，电子签名，电子合同，电子货币等网络经济工具的合法性及其使用规定，都需要立法来加以明确，使得网络审计工作尤其是进行合法性审计时有法可依。

另外，对于目前已有的相关法律法规适用于网络审计的应遵从其规定，不适应的需进行修改和完善。

5、制订网络审计准则

审计准则是审计工作应遵循的规范和尺度，是评价审计工作质量的权威性规则。

网络审计对象、线索、方法，流程、结果等各方面相对于传统审计都发生了变化，以往的审计标准和准则已经不能完全适用，所以应加快新的审计标准和准则的制定以指导网络审计工作实践的深入。如对网络审计人员的一般要求，网络系统安全可靠性评价标准，网络系统内部控制准则等。

参考文献

[1]刘彬，审计入“网”初探《中国会计电算化》，2000年6月。

网络审计范文篇7

关键词：财务审计；现代网络技术；安全风险

企业财务审计是获取企业业务活动、经济活动实施状况的主要途径，可判断活动措施是否具备合法可行，保障企业合法经营。在“

互联网+”时代，现代网络技术的出现，为企业财务审计提供更丰富的理论参考资料，以及更高效的操作工具，需审计人员合理应用现网络技术，发挥其优势，强化企业经营成效。目前集团企业财务管理涉及各个业务部门，各专业关键数据信息也分散在专业系统中，为更好的开展财务审计，从业务发起到财务核算结束，应用信息化手段网络技术，提取同一业务财务数据、业务流程，应用审计模型，提示业务管理风险，发现目前存在的问题提出管理建议，在信息安全的前提下，为审计人员不断提升审计质效。

一、企业财务审计中现代网络技术的作用

在企业财务审计工作中，基于现代网络技术的财务软件程序，是审计人员应用的主要工具，显著提升财务审计工作成效。细化来说，企业财务审计中现代网络技术的作用体现在以下几方面。第一，全面获取财务信息。在现代网络技术支持下，企业财务审计人员可利用网络数据共享优势，获取更为全面的财务信息，基于企业内部业务系统，整合企业各项业务数据与相关会计信息；基于大数据平台，获取企业外部相关的有价值信息，为企业财务审计提供充足参考资料，使审计结果更有价值。例如，基于现代网络技术，集团企业可构建财务共享中心，整合集团及子公司的各项财务数据，为财务审计提供诸多便利。第二，拓展财务审计内容。在传统的企业财务审计工作中，审计人员结合审计对象与审计目标设定审计内容，具有较大的局限性，审计空间狭窄。现代网络技术的应用，拓展了财务审计内容，打破时间和空间的局限，财务审计人员可开展更为开放的财务审计，业务内容与信息交互更为丰富。第三，提高财务审计效率。传统财务审计工作由审计人员人工处理财务信息，信息处理效率低，且易出现偏差，影响财务审计工作成效。现代网络技术为财务审计人员提供处理工具，由计算机软件替代人工，完成数据录入、数据计算与数据输出等操作，显著提升财务审计效率。在财务审计效率提升的同时，企业财务审计频率随之增加，企业可定期组织审计人员开展财务审计工作，评估企业生产经营的实际状况，为企业战略决策提供指导。第四，提升审计人员素养。现代网络技术不仅带来了财务审计工具，也为财务审计人员获取审计相关理论提供便利，有助于财务审计人员素养的提升。在企业财务审计工作中，企业管理者可通过现代网络技术对财务审计人员实施专项培训，指导其利用最新财务审计方法与工具开展相关工作，持续提升财务审计工作水平。例如，某企业利用现代网络技术，构建基于深度学习的财务审计理论系统，可通过深度学习技术获取互联网中关于财务审计的各项理论知识，并对其进行分类，整合为问答题库，企业财务审计人员可根据工作需求，以问答方式获取财务审计相关知识，显著提升财务审计人员专业性。

二、企业财务审计中现代网络技术的应用现状

通过上述分析可知，在企业财务审计工作中，现代网络技术的应用从多方面强化审计成效，为企业提供便利。但在企业财务审计执行中，因企业缺乏对现代网络技术的正确认识，以及企业财务审计专业人才的缺乏，使现代网络技术的应用受到限制。细化来说，企业财务审计中现代网络技术的应用存在如下问题。

（一）网络应用缺乏支撑

在企业财务审计工作中，要想发挥现代网络技术的应用，需企业配置完善的软硬件设施，构建企业财务审计平台，为财务审计人员提供技术支撑，方可发挥现代网络技术作用，强化企业财务审计成效。但在实际工作中，部分企业的现代网络技术应用缺乏支撑，单纯将计算机软件用于财务审计工作的某个环节，并未融入到企业财务审计的全过程，使现代网络技术的应用存在碎片化问题，导致企业财务审计工作环节存在质量参差，影响各个工作节点间的顺畅衔接，降低企业财务审计效率与质量。

（二）网络安全风险较高

在现代网络技术应用背景下，企业财务审计相关的数据信息均存储于互联网中，利用互联网实现信息交互，大大提高了企业财务审计的网络安全风险，主要体现在以下三方面。第一，网络病毒风险，在企业财务审计软硬件系统中，虽然设置一定防御机制，如防火墙等，但仍存在一定漏洞，为不法分子提供网络攻击的机会，使企业财务审计平台受到网络病毒侵袭，导致企业重要财务数据泄露或丢失，降低企业财务管理安全性。第二，数据录入风险，虽然企业财务审计平台可与企业各项业务系统或财务管理系统连接，自动获取相关财务信息，但仍有部分财务数据需人工录入，使数据安全受人为因素影响，一旦某个数据输入存在偏差，将会影响整个财务审计结果，引发经济损失。第三，数据可靠性低，在企业利用现代网络技术传输财务数据的过程中，可能因干扰或网络攻击，出现数据丢失、篡改数据或伪造数据等问题，降低数据可靠性，影响企业财务审计结果。

（三）审计人员素养偏低

在现代网络技术应用中，企业财务审计人员是技术应用与落实的主体，其专业素养与信息素养直接关系到现代网络技术作用的发挥与否。在部分企业中，未设置专门的岗位开展财务审计工作，由财务部门安排职工负责，在财务审计方面缺乏专业认识，不能遵循科学财务审计理论开展工作。即使部分企业设置专门的财务审计岗位，也未能根据财务审计最新要求，对财务审计人员实施有效培训，使财务审计人员不能合理应用现代网络技术，阻碍现代网络技术在企业财务审计工作中的落实。

三、企业财务审计中现代网络技术的应用建议

针对企业财务审计中现代网络技术的应用不足，本文认为企业应从现代网络技术应用工具、环境与人员三方面入手，为现代网络技术的应用提供软硬件支撑，创造安全网络应用环境，培养一支综合型财务审计队伍，切实落实网络财务审计工作，更好地为企业生产经营服务。

（一）构建网络财务审计平台

对于网络应用缺乏支撑的问题，建议企业构建网络财务审计平台，从软件和硬件两方面为网络财务审计的落实提供支持，以便现代网络技术的科学应用。以某企业为例，管理者从以下两方面，构建网络财务审计平台，支撑现代网络技术的应用。1.构建FMS财务管理系统在FMS财务管理系统中，管理者根据企业财务审计流程，设计系统的各项功能，以便财务审计工作可在系统中线上完成，提高企业财务审计效率。细化来说，FMS财务管理系统将企业财务审计划分为以下五个模块。第一，需求接收模块。在财务审计工作开展前，财务审计人员会编制财务审计需求清单，分别下发给相关部门，部门负责人在接收到需求清单后，根据实际工作内容，对财务审计内容进行分类，调整部分内容，与财务审计人员进行沟通与协商，共同制定最终的财务审计需求清单。在该过程中，部门与财务审计人员间的信息传递与交流均在FMS财务管理系统中实施。第二，审计组织模块。财务审计部门负责人根据最终形成的财务审计需求清单，明确财务审计工作需求，选拔合适人员组成财务审计工作小组。第三，计划制定模块。在明确财务审计组织后，应用WBS分解法，明确财务审计的工作量与重要节点，在FMS财务管理系统中向财务审计工作小组与各个部门通知任务完成时间，协调企业各个部门，积极配合财务审计工作。第四，审计入场模块。在审计工作开始后，财务审计工作小组利用FMS财务管理系统开展数据处理，工作流程如下：备份测试→业会项测试→接口测试→上传数据→下传数据→差异数据。从企业各项信息系统数据库中备份财务审计所需数据，开展业会项脚本与数据等内容的测试；再对不同系统间的接口进行测试，确保财务数据准确无误传输；将备份数据上传与下传，便于应用财务审计软件处理；最后根据审计结果开展差异分析，明确差异类型，并根据实际状况进行解释，完成财务审计工作。第五，审计总结模块。在财务审计工作完成后，开展审计总结，分析企业财务活动存在的缺陷，并结合企业现状提出相应整改方案，在FMS财务管理系统中公示，要求相关部门根据尽早落实整改方案，提高企业财务活动效益。结合上述案例可知，企业将FMS财务管理系统作为网络审计平台，协助财务审计人员高效有序开展财务审计工作。企业管理者应提高对系统平台的重视，根据企业财务审计工作流程，构建网络平台，有效应用现代网络技术。2.创新财务审计模型在应用网络平台开展财务审计工作时，企业可利用现代网络技术创新构建财务审计模型，利用互联网自主完成财务审计，减少财务审计人员的工作量，规避人为因素对财务审计的影响，凸显现代网络技术优势。以某企业为例，引进人工神经网络技术，以企业财务变化数据作为人工神经网络的输入量，自主开展财务审计工作，定量定性分析企业财务数据，提高财务审计有效性。

（二）加强网络财务审计管理

对于现代网络技术应用中存在的网络安全风险问题，建议企业加强网络财务审计管理工作，从制度建设、硬件投入、安全培训三方面着手，全面提升网络财务审计工作的安全性，为现代网络技术的应用创造良好环境。在制度建设方面，企业根据财务审计人员工作内容，制定网络财务审计安全责任，将现代网络技术的应用安全责任落实到具体岗位与具体人员，显著提升财务审计人员对网络安全的重视，警示其规范网络财务审计操作，避免因财务审计人员的懈怠或放松，引发网络安全事故，导致企业财务数据丢失或篡改。同时，企业根据网络财务审计工作流程，制定电子化审计流程审核制度，对现代网络技术的应用环节进行复核，确保企业网络财务审计工作规范、安全开展。在硬件投入方面，企业根据网络财务审计工作需求，配置先进硬件设备，能够有效抵御网络攻击，显著提升网络财务审计的安全性。以某企业为例，为财务审计人员配置专用笔记本电脑、录音笔、数码相机等设备，分别安装专属防火墙、杀毒软件，并通过身份识别技术、加密算法，保障硬件设备与相关数据安全。同时，企业部署IBM服务器与专属财务云，为财务信息传输搭建专属信道，规避外界干扰与网络攻击，提高现代网络技术的应用安全性。在安全培训方面，企业针对网络财务审计工作存在的网络安全风险，对财务审计人员实施安全培训，向财务审计人员介绍网络财务审计面临的网络安全风险及其影响，提高财务审计人员的重视。同时，向财务审计人员讲解网络财务审计安全防护软件的操作应用要点，指导财务审计人员有效应用安全防护软件，在财务审计工作中保障数据安全，规避网络安全风险。

（三）注重财务审计人员培养

对于财务审计人员素养低问题，建议企业注重财务审计人员的培训，针对现代网络技术的落实要点，对财务审计人员进行专项信息素养强化培训，使财务审计人员明确现代网络技术的重要性、应用方式与应用要点，指导其游刃有余地利用现代网络工具开展企业财务审计工作。以某企业为例，通过工作制度调整、人员专项培训等措施，构建一支优秀财务审计工作队伍。在工作制度调整方面，企业将现代网络技术应用相关内容纳入企业财务审计工作制度中，督促财务审计人员灵活应用现代网络技术开展相关工作，为现代网络技术的落实提供制度保障。例如，企业制定《审计电子数据采集使用管理规程》等规章制度，指导财务审计人员利用现代网络技术采集各项财务审计数据，规范管理各项数据信息，使财务审计工作更为高效有序。在人员专项培训方面，企业根据现代网络技术应用方式，实施网络财务审计培训，培养兼备审计素养与信息素养的人才，创新开展企业财务审计工作。从审前角度入手，实施财政与税收等网络财务审计内容的培训；从审中角度入手，实施计算机审计、AO系统、OA系统、ERP系统、审计辅助系统等操作培训，并鼓励企业财务审计人员参与计算机审计中级考核，取得相关资格证书，强化财务审计人员专业能力。通过上述人员专项培训，该企业的财务审计人员可灵活转换电子财务数据，根据不同财务审计项目，编制SQL语句开展分析工作，准确评估企业财务数据体现的问题。

四、结语

综上所述，在企业财务审计中，现代网络技术具有全面获取财务信息，拓展财务审计内容，提高财务审计效率，提升审计人员素养的作用。现代网络技术应用面临缺乏技术支撑、安全风险高、人员素养低的问题，企业需构建网络财务审计平台，加强网络财务审计管理，注重财务审计人员培养，从工具、环境、人员三个角度有效应用现代网络技术，更好地发挥其作用。

参考文献：

[1]钱瑞祥.论网络技术在企业财务审计中的应用[J].中国商界，2020（04）：111-113.

[2]石健碧.现代网络技术在企业财务审计中的应用研究[J].财富生活，2020(02)：139-140.

[3]孙刚，吕娜.网络信息技术在电力企业财务审计中的运用分析[J].价值工程，2019，38（32）：45-46.

[4]谢玉华.网络模式下的企业财务审计工作探讨[J].现代营销（信息版），2019（10）：39.

[5]张文娟.关于现代网络技术在企业财务审计中的运用探究[J].财经界，2019（18）：139-140.

[6]张念珍.我国集团企业财务管理信息化的问题及对策研究[D].太原理工大学，2013.

[7]朱子健.试析数据分析在企业财务管理中的作用[J].海峡科技与产业，2019（01）：192-194.

[8]钱玲.大数据时代的到来对企业财务工作的影响[J].安徽地质，2015（01）：52-55.

网络审计范文篇8

一、网络时代的审计风险类型

（1）电子数据被非法拷贝、篡改和删除。在网络环境中，数据的电子化并以磁介质为主要存储载体，这为舞弊者或攻击者对原始数据进行非法修改和删除，且不留篡改痕迹成为可能，这将无法保证数据的完整性和真实性，给审计监督带来了风险。

（2）审计线索减少或消失。主要有四种原因：一是运行间的断电和死机等故障；二是计算机病毒破坏；三是人为的毁损，四是程序处理错误或网络传输信息故障。

（3）黑客入侵和数据失窃。计算机黑客为了获取重要的商业秘密、数据资源，经常用IP地址欺骗攻击网络系统。黑客伪装为源自内部主机的一个外部站点，利用一定的技术进入目标系统窃取或破坏数据。

（4）权限职责分离不恰当引起内控失灵。在网络环境下，如果对数据维护、系统管理和数据输入、数据核对确认等岗位不作适当的分离，就会有人利用网络的弱点故意修改数据、舞弊或窃取秘密信息从中捞取利益。

二、网络时代的审计风险防范

1、应用审计软件，对相关网络系统进行实时跟踪。首先对被审计单位的网络系统进行评价，并利用专用的审计对比软件，将存放于数据库不同地址的同一种数据进行自动比较，以形成相应的记录文件，并对有差异的文件数据进行详细审查；其次对被审计单位的自动检测数据库软件和恢复软件进行审查和评价；再次要对被审计单位的异常贸易，通过网络进行预警提示，以降低审计风险。

2、建立审计服务信息库。审计人员可将被审计单位的有关信息，通过网络建立一个完善的大容量的信息库，这些信息包括被审计单位的背景资料，最新动态和一些以前审计的档案信息，以便以后开展审计时查阅和运用，这样将可大大减少工作时间，提高工作效率，同时也相应地降低了审计的风险。

3、加强对网络系统的安全性和保密性进行审计。在网络中运行，信息的安全性即可靠性和保密性构成了审计的风险防范和控制的重点。首先对网络系统职责分离情况进行审查，遵循的原则仍为不相容职责必须分离，但侧重对数据的输入、输出，软件开发和维护及系统程序修改或管理等之间的关系处理进行审查；其次对被审计单位网络结构进行分析与评价，以确认防范黑客侵入的能力；再次对被审计单位的系统容错处理机制，安全管理体制和安全保密技术等作深入的了解，以评价其系统安全性的等级，从而有效地控制审计风险。

4、加强内外部安全控制机制，配备可靠的硬件设备。如增加防火墙设备，增加数据加密及路由加密设备，增加备份硬盘等；建立安全的运行环境，为会计系统建立一个相对开放且安全级别较高的专用局域网，合理设置多层加密关口和防火墙，以防范黑客侵入的能力；对网络系统职责进行分离，确保网络系统的安全性和保密性。

网络审计范文篇9

关键词：网络视角；小型企业；审计风险控制

一、基于网络视角下小型企业审计风险控制的现状

网络信息技术的高速发展必然给社会市场经济带来冲击，因此财务管理在小型企业里发挥的作用逐渐重要起来。许多小型企业对企业内部的审计环节愈发关注，不断对企业内部审计的风险控制进行加强，并为此制订了许多针对性的解决措施。一般情况下，小型企业要统筹性的将各个部门的作用发挥到最大，并使各部门之间彼此影响。行政部门应充当指挥协调的作用，对财务部门做出的财务活动报告，审计部门应进行报告分析，最后根据报告综合性分析企业的的风险并得出风险评估报告，再根据报告得出的预测对存在的风险给出相应的风险控制方案。管理层人员根据得出的风控方案与企业的经济活动相结合在一定程度上对财务管理采取整改方案。

二、基于网络视角下小型企业在审计风险控制中存在的问题

(一）网络化管理系统的运用不足。一般情况下，小型企业没有单独设立财务管理部门而是将其置于企业内部管理中。网络化技术高速发展的背景下，网络化管理系统能够给企业的管理问题带来许多方便之处。然而小型企业却忽略了将网络化管理系统运用到企业管理中的问题。基于网络模式下的网络管理系统，通过网络实时数据共享的方式，对经济数据进行及时的获取，能够为企业的经济活动数据带来实时性的信息，为风险控制方案的制定提供有效的数据。风险控制需要对时时刻刻处在动态变化的经济数据进行实时的数据分析与计算评估，小型企业却没有建立一个能够有效对此问题进行解决的有效网络化管理系统。因此，小型企业由于数据获取的实时性问题对审计风险控制产生了阻碍。（二)对外进行错误的会计信息披露。有些小型企业为提高本企业进行筹资活动的优势，在会计信息上做出了一些不符合实际的错误性信息披露。这些企业在进行财务管理时，通过运用会计法规中存在的争议性条例，忽略本企业所存在的风险与实际问题，使用不当的财务管理行为，进行错误的会计信息披露。通过这种方式对外界进行假的信息披露，而提升企业对外的企业发展形象。一些小型企业对外披露虚假信息大多是通过在交易过程中编制虚假的单据、凭证而造成的。通过对单据的造假行为，以提升本企业的销售额从而对外营造出本企业营业效果处于良好的状态。企业在销售和采购环节对单据的更改性较为容易，因此许多小型企业便在这些环节上采取了造假的行为。通过这些对单据造假的行为，对外披露企业虚假的会计信息，使外界无法真正了解企业真实的营业及财务情况。（三）存在的财务舞弊行为。许多小型企业在财务上存在舞弊行为，其目的大多是为了对外争取更大的筹资资本吸引更多的投资行为，以解决企业在资金运作中存在的问题或是扩大企业的营业规模的问题。但这些财务和营业中的舞弊行为营造出的企业的良好状况会使投资者在投资过程中受到欺骗，对投资的资金造成损失。根据可靠的数据显示，被检查出的所有存在舞弊行为的小型企业中，有多于50%的企业持续超过三年在企业经营过程中存在舞弊行为，这项数据的结果表明，许多存在舞弊行为的小型企业大多都会存在较长的持续时期。通过调查这些存在舞弊行为的小型企业，可以大致总结出舞弊行为大多存在于财务报告、重大事项披露、交易合同等环节中。虽然我国在整治舞弊问题上一直都非常重视，但存在舞弊行为的小型企业还是层出不穷。更甚者还有许多小型企业借助私人账户在监管问题上的漏洞，通过私人账户而进行交易以吸引投资者进行投资，从而达到虚增企业销售的造假行为。

三、对网络视角下小型企业在审计风险控制中存在的问题进行解决

（一）在小型企业中引进网络化管理系统。小型企业的内部管理结构比较简单，没有更为精准的结构划分体制。网络化的管理系统在运用信息化技术的基础上，能够为小型企业的审计风险控制提供有效的帮助。将网络化管理系统运用到小型企业的内部管理中，建立网络管理体系。通过这种网络化的方式，不仅能够提高对企业所使用数据的安全性监控，还能够及时的对企业所需要的财务信息进行及时的获取。在对所需数据进行获取的同时能够实时的对其监控，以保证其信息的准确性，从而为审计和财务管理活动的运行提供帮助。在小型企业审计的风险控制活动中运用网络化管理，财务系统可对财务数据进行实时的获取和审查，使企业的经济活动减少虚假行为的存在，优化企业内部的审计风险控制环境。除此之外，企业还可以与其它风控机构进行合作，再借助网络化系统的辅助，不断加强审计的风险控制。（二）完善监管系统，保证会计信息的真实性。基于互联网发展的背景下，对网络监管系统进行完善，在网络监管系统中引进小型企业关于财务状况和经济交易信息的相关数据。通过网络对其进行实时的追踪与观察，以提高小型企业会计信息的真实性和准确性。在此方式的基础上，在网络化管理系统中引入更多会计法规的相关条例与规定，对存在问题的信息和数据及时发现，同时采取有效的阻止措施，及时对存在问题的企业进行审查与会计信息披露，减少小型企业在会计中存在差错而隐含的风险。（三）加强小型企业的财务管理。得益于网络化的发展，能够对企业的审计工作建立更为综合性的网络平台，利用这种平台对企业的财务行为进行监管，减少企业中存在的舞弊行为。对相关的会计、财务、管理等相关人员进行诚信体系的建立，从而进一步对从业人员的财务行为进行了有效的约束。通过这种网络平台对财务行为和相应的从业人员进行有效监控，减少了企业在财务管理中的舞弊行为，加强了小型企业审计的风险控制。

在市场经济不断发展的影响下，我国小型企业一定程度上得到了发展，其数量和规模都在不断增加。然而，与之发展过程一同出现的还有小型企业财务管理上的问题，从而对投资者和企业的营业效果都造成了影响。本篇文章通过对小型企业审计中的风险控制情况进行现状分析，对小型企业中存在的问题进行总结。在以互联网高速发展的背景下，对小型企业审计风险控制的问题进行有效的解决。通过采取一系列的措施，改善小型企业的财务管理状况，在保证了投资者们的利益的情况下，同时促进我国经济的透明性和稳定性发展。

参考文献：

[1]王喆,薛晨峰.浅议小型企业内部审计风险控制[J].现代商业,2012(02):239.

[2]焦亚娟.浅议小型企业审计风险控制[J].现代商业,2011(27):225-226.

网络审计范文篇10

1利用网络及安全管理的漏洞窥探用户口令或电子帐号,冒充合法用户作案,篡改磁性介质记录窃取资产。

2利用网络远距离窃取企业的商业秘密以换取钱财,或利用网络传播计算机病毒以破坏企业的信息系统。

3建立在计算机网络基础上的电子商贸使贸易趋向“无纸化”,越来越多的经济业务的原始记录以电子凭证的方式存在和传递。不法之徒通过改变电子货币帐单、银行结算单及其它帐单,就有可能将公私财产的所有权进行转移。

计算机网络带来会计系统的开放与数据共享,而开放与共享的基础则是安全。企业一方面通过网络开放自己,向全世界推销自己的形象和产品,实现电子贸易、电子信息交换,但也需要守住自己的商业秘密、管理秘密和财务秘密,而其中已实现了电子化且具有货币价值的会计秘密、理财秘密是最重要的。我们有必要为它创造一个安全的环境,抵抗来自系统内外的各种干扰和威协,做到该开放的放开共享,该封闭的要让黑客无奈。

一、网络安全审计及基本要素

安全审计是一个新概念,它指由专业审计人员根据有关的法律法规、财产所有者的委托和管理当局的授权,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并作出相应评价。

没有网络安全,就没有网络世界。任何一个建立网络环境计算机会计系统的机构,都会对系统的安全提出要求,在运行和维护中也都会从自己的角度对安全作出安排。那么系统是否安全了呢?这是一般人心中无数也最不放心的问题。应该肯定,一个系统运行的安全与否,不能单从双方当事人的判断作出结论,而必须由第三方的专业审计人员通过审计作出评价。因为安全审计人员不但具有专门的安全知识,而且具有丰富的安全审计经验,只有他们才能作出客观、公正、公平和中立的评价。

安全审计涉及四个基本要素:控制目标、安全漏洞、控制措施和控制测试。其中,控制目标是指企业根据具体的计算机应用,结合单位实际制定出的安全控制要求。安全漏洞是指系统的安全薄弱环节,容易被干扰或破坏的地方。控制措施是指企业为实现其安全控制目标所制定的安全控制技术、配置方法及各种规范制度。控制测试是将企业的各种安全控制措施与预定的安全标准进行一致性比较,确定各项控制措施是否存在、是否得到执行、对漏洞的防范是否有效,评价企业安全措施的可依赖程度。显然,安全审计作为一个专门的审计项目,要求审计人员必须具有较强的专业技术知识与技能。

安全审计是审计的一个组成部分。由于计算机网络环境的安全将不仅涉及国家安危,更涉及到企业的经济利益。因此,我们认为必须迅速建立起国家、社会、企业三位一体的安全审计体系。其中,国家安全审计机关应依据国家法律,特别是针对计算机网络本身的各种安全技术要求,对广域网上企业的信息安全实施年审制。另外,应该发展社会中介机构,对计算机网络环境的安全提供审计服务,它与会计师事务所、律师事务所一样,是社会对企业的计算机网络系统的安全作出评价的机构。当企业管理当局权衡网络系统所带来的潜在损失时,他们需要通过中介机构对安全性作出检查和评价。此外财政、财务审计也离不开网络安全专家,他们对网络的安全控制作出评价,帮助注册会计师对相应的信息处理系统所披露信息的真实性、可靠性作出正确判断。

二、网络安全审计的程序

安全审计程序是安全监督活动的具体规程,它规定安全审计工作的具体内容、时间安排、具体的审计方法和手段。与其它审计一样,安全审计主要包括三个阶段:审计准备阶段、实施阶段以及终结阶段。

安全审计准备阶段需要了解审计对象的具体情况、安全目标、企业的制度、结构、一般控制和应用控制情况,并对安全审计工作制订出具体的工作计划。在这一阶段,审计人员应重点确定审计对象的安全要求、审计重点、可能的漏洞及减少漏洞的各种控制措施。

1了解企业网络的基本情况。例如,应该了解企业内部网的类型、局域网之间是否设置了单向存取限制、企业网与Internet的联接方式、是否建立了虚拟专用网(VPN)?

2了解企业的安全控制目标。安全控制目标一般包括三个方面:第一,保证系统的运转正常,数据的可靠完整;第二,保障数据的有效备份与系统的恢复能力;第三,对系统资源使用的授权与限制。当然安全控制目标因企业的经营性质、规模的大小以及管理当局的要求而有所差异。

3了解企业现行的安全控制情况及潜在的漏洞。审计人员应充分取得目前企业对网络环境的安全保密计划,了解所有有关的控制对上述的控制目标的实现情况,系统还有哪些潜在的漏洞。

安全审计实施阶段的主要任务是对企业现有的安全控制措施进行测试,以明确企业是否为安全采取了适当的控制措施,这些措施是否发挥着作用。审计人员在实施环节应充分利用各种技术工具产品,如网络安全测试产品、网络监视产品、安全审计分析器。

安全审计终结阶段应对企业现存的安全控制系统作出评价,并提出改进和完善的方法和其他意见。安全审计终结的评价,按系统的完善程度、漏洞的大小和存在问题的性质可以分为三个等级:危险、不安全和基本安全。危险是指系统存在毁灭性数据丢失隐患(如缺乏合理的数据备份机制与有效的病毒防范措施)和系统的盲目开放性(如有意和无意用户经常能闯入系统,对系统数据进行查阅或删改)。不安全是指系统尚存在一些较常见的问题和漏洞,如系统缺乏监控机制和数据检测手段等。基本安全是指各个企业网络应达到的目标,其大漏洞仅限于不可预见或罕预见性、技术极限性以及穷举性等,其他小问题发生时不影响系统运行,也不会造成大的损失,且具有随时发现问题并纠正的能力。

三、网络安全审计的主要测试

测试是安全审计实施阶段的主要任务,一般应包括对数据通讯、硬件系统、软件系统、数据资源以及安全产品的测试。

下面是对网络环境会计信息系统的主要测试。

1数据通讯的控制测试

数据通讯控制的总目标是数据通道的安全与完整。具体说,能发现和纠正设备的失灵,避免数据丢失或失真,能防止和发现来自Internet及内部的非法存取操作。为了达到上述控制目标,审计人员应执行以下控制测试:(1)抽取一组会计数据进行传输,检查由于线路噪声所导致数据失真的可能性。(2)检查有关的数据通讯记录,证实所有的数据接收是有序及正确的。(3)通过假设系统外一个非授权的进入请求,测试通讯回叫技术的运行情况。(4)检查密钥管理和口令控制程序,确认口令文件是否加密、密钥存放地点是否安全。(5)发送一测试信息测试加密过程,检查信息通道上在各不同点上信息的内容。(6)检查防火墙是否控制有效。防火墙的作用是在Internet与企业内部网之间建立一道屏障,其有效性主要包括灵活性以及过滤、分离、报警等方面的能力。例如,防火墙应具有拒绝任何不准确的申请者的过滤能力,只有授权用户才能通过防火墙访问会计数据。

2硬件系统的控制测试

硬件控制测试的总目标是评价硬件的各项控制的适当性与有效性。测试的重点包括:实体安全、火灾报警防护系统、使用记录、后备电源、操作规程、灾害恢复计划等。审计人员应确定实物安全控制措施是否适当、在处理日常运作及部件失灵中操作员是否作出了适当的记录与定期分析、硬件的灾难恢复计划是否适当、是否制定了相关的操作规程、各硬件的资料归档是否完整。

3软件系统的控制测试

软件系统包括系统软件和应用软件,其中最主要的是操作系统、数据库系统和会计软件系统。总体控制目标应达到防止来自硬件失灵、计算机黑客、病毒感染、具有特权职员的各种破坏行为,保障系统正常运行。对软件系统的测试主要包括:(1)检查软件产品是否从正当途径购买,审计人员应对购买订单进行抽样审查。(2)检查防治病毒措施,是否安装有防治病毒软件、使用外来软盘之前是否检查病毒。(3)证实只有授权的软件才安装到系统里。

4数据资源的控制测试

数据控制目标包括两方面:一是数据备份,为恢复被丢失、损坏或被干扰的数据,系统应有足够备份;二是个人应当经授权限制性地存取所需的数据,未经授权的个人不能存取数据库。审计测试应检查是否提供了双硬盘备份、动态备份、业务日志备份等功能,以及在日常工作中是否真正实施了这些功能。根据系统的授权表,检查存取控制的有效性。

5系统安全产品的测试

随着网络系统安全的日益重要,各种用于保障网络安全的软、硬件产品应运而生,如VPN、防火墙、身份认证产品、CA产品等等。企业将在不断发展的安全产品市场上购买各种产品以保障系统的安全,安全审计机构应对这些产品是否有效地使用并发挥其应有的作用进行测试与作出评价。例如,检查安全产品是否经过认证机构或公安部部门的认征,产品的销售商是否具有销售许可证产品的安全保护功能是否发挥作用。

四、应该建立内部安全审计制度