网络经济下的审计风险模型重构(3)
2017-08-04 06:51
导读:三、审计过程中对网络风险的估计、量化 通过以上的比较分析,我们不难发现在新的审计环境下,审计的风险模型确实有重构的必要性。下面是我对网络
三、审计过程中对网络风险的估计、量化 通过以上的比较分析,我们不难发现在新的审计环境下,审计的风险模型确实有重构的必要性。下面是我对网络风险的各构成要素的进一步阐述,它包括因素构成、因素的项目风险评价和综合风险评价。网络风险具体有6个影响因素构成,用公式表示为:网络风险的计量=被审计单位的计算机财务会计信息系统的系统漏洞 会计信息系统的开放性 最新的病毒报告状况 防火墙的性能 以往会计信息系统的运行状况 审计单位自身的信息处理系统的安全性评价。 (一)被审计单位的计算机财务会计系统的系统漏洞估计 医生治病也需要先寻病根,确定网络系统的风险大小,首先应该知道这个系统的弱点和漏洞,其弱点和漏洞的严重程度是决定整个系统风险大小的一个重要方面。而一个网络系统中的漏洞大致可以包括三种不同类型: 1、实现漏洞:所有的系统实现都不可能没有漏洞,尽管设计可以是无懈可击的。软件“Bug”是最典型的漏洞,例如:著名的sen山mail程序的漏洞被很多人用来获得系统的非授权访问。实现漏洞在操纵系统、数据库系统中是不可避免的,并且这些漏洞还无法猜测,往往只能依靠大量的使用来发现,依靠供货商的升级和“补丁”,依靠安全专家的警告。 2、设计漏洞:攻击者使用的另一类漏洞来源于设计阶段,这一类漏洞更难发现,同时也更难弥补,由于漏洞来源于设计,软硬件实现完全围绕设计实现。这种漏洞是固有的,只有依靠重新设计和实现。典型例子还是著名的sendmail程序,即使sendmail的实现无懈可击,仍然可以利用sendmail程序反复天生邮件,从而实现拒尽服务攻击。 3、配置漏洞:这是攻击者最喜欢的漏洞,也是最常见的漏洞。配置漏洞来源于治理员(或用户)错误的设置。很多产品制造商在产品出厂时往往为用户设置了很多默认的参数,这些设置基于对用户环境的充分信任,以方便新用户的使用。但这些出厂设置可能会带来严重的安全漏洞。典型的配置漏洞包括:继续使用账号的出厂默认参数,使用默认的文件访问权限设置,以及开放有漏洞的服务等。 通过以上的漏洞,作为注册师应该根据被审计单位的系统状况对被审计单位的财务会计信息系统的安全性做出评价。此处,我设置了3个水平的
评价指标:高、中和低。 高的风险,指被审计单位的财务会计系统混乱,财务软件漏洞很多,财务系统运作混乱,不能进行相应的会计信息处理,会计信息的真实性无法保证。 中等的风险,指被审计单位拥有一套比较完善的财务会计系统,但财务软件存在着致命性的漏洞,仅基本上能够保证真实性的要求。 低的风险,指被审计单位拥有一套完善的财务会计系统,系统设置能够适应业务的需要,系统中不存在明显的、致命性的设计漏洞,能够提供真实、客观的财务信息。 (二)会计信息系统的开放性 会计系统的开放性指能够接触到会计信息系统的终端用户的范围。一个会计系统的终端使用者越多,那么他所面临的网络风险越大。在会计信息系统的开放性中值得一提的是网络开放性题目,假如一个公司的财务系统要上网向公众公告,那么会计系统将承受更多的网络风险。具体的评价指标也有3个即: 高的开放性,指会计信息系统要向与Internet相连接,向公告。 中的开放性,指会计信息系统只在本单位的局域网中开放,不与Internet相连接,除了满足公司治理的需要,不需要向社会公众公告。 低的开放性,指会计信息系统不存在分布式的设计,不需要联网工作,仅仅在财务部分内部使用,不向外公告。 (三)最新的病毒发布情况 病毒和黑客是机系统致命的敌人,最新的病毒发布状况直接决定了财务信息系统在当时的风险因素的大小。假如审计期间有大规模的且非常厉害的病毒爆发,那么网络风险就会高,也就要求审计职员做出大量的技术处理以避免病毒攻击,确保信息的安全、可靠。具体的评价指标也有3个即: 高风险,指在审计期间出现了大量的新的对系统有致命损害的病毒,且这种病毒的防范措施尚未形成,没有专门的杀毒软件可以处理。 中风险,指审计期间出现一些新的毒,但这些病毒对于计算机系统的伤害并不是致命,而且采取相应的措施可以有效的避免病毒的感染。 低风险,指审计期间没有新的病毒发布,一些常规病毒以被审计单位的技术水平完全可以应付。 (四)防火墙的性能 防火墙的性能直接决定被审计单位的财务信息安全状况。被审计单位的防火墙性能好,则可以避免前面所说的系统开放性及最新病毒的攻击题目,从而整体上降低财务信息系统的网络风险。相反,则会加重前面的风险系数。防火墙的性能实在是前面提到风险的加乘系数,这个系数可能是正的亦可能是负的。假如为正,那么整体风险增加;假如为负,则整体的风险水平会由于防火墙的存在而降低。具体的评价指标有2个即: 高风险,指防火墙的性能不稳定,对于一些常规病毒的进侵无法应对,防范性能即是0. 低风险,指防火墙的性能稳定,能够有效的防范病毒的进攻。 (五)以往会计信息系统的运行状况 由于网络系统题目的暴露有一个时间过程,则会计信息系统以往的运行状况对于审计职员进行被审计单位的网络风险水平评价具有价值。假如被审计单位的会计信息系统以往的运行状况良好,没有出现任何的重大错误,则我们可以推定在审计过程中,被审计单位的信息系统不会有重大的差错,可以接受被审计单位信息系统的数据,进而可以降低整体的项目可接受的审计风险水平。假如被审计单位的会计信息系统在以往的工作中的表现不尽如人意,那么审计职员在对被审计单位会计信息系统的数据接受时,就要采用审慎的态度。这里我们设定的水平指标同样有以下三种: 高风险,指被审计单位的财务信息系统以往的工作表现欠佳,曾经出现过重大会计差错题目。 中风险,指被审计单位的财务信息系统以往的工作表现一般,曾出现这样那样的非重大差错。 低风险,指被审计单位的财务信息系统以往的工作表现良好,以前没有出现任何的非以为的系统处理错误。 (六)审计单位自身的信息处理系统的安全性评价 在网络审计情况下,审计职员的审计手段更多的借助于网络的高产品,计算机信息处理系统在各大会计事务所广泛。同样的审计单位同样要面对网络风险的冲击。所以审计单位在对被审计单位风险进行精确评价的同时还应对自身的网络风险水平进行系统的评价。审计单位的评价过程可以参阅前面的被审计单位的评价,此处我们不在逐一重复。 (七)网络风险各因素间的关系 网络审计情况下的对于审计的网络风险的总体水平评价可以采用图表的形式加以说明: 由排列组合的知识我们知道这里有486种组合方式。鉴于以上对于6个因素的分析结果,我们将防火墙性能和被审计单位系统漏洞两个因素的状况作为
评价网络风险的核心指标。 首先,我们从上面的分析中不难发现防火墙的性能对于会计信息系统的开放性和最新的病毒报告状况两个因素有一定的节制作用。防火墙的性能状况直接决定三个因素的整体风险水平。假如前两个因素的风险水平处于高的状态,但是由于系统的防火墙性能很好,那么前两个因素的高风险会由于防火墙的低风险而降低,进而三个因素的整体风险降低。相反,假如防火墙的性能很差,即使前两个因素的各自风险都很低,那综合风险也不会降低,甚至进步。所以防火墙的性能水平是三个风险因素的小核心。 其次,被审计单位的计算机财务会计信息系统的系统漏洞又是整个网络风险的核心。被审计单位的计算机财务会计信息系统的系统漏洞是根本性的风险因素。假如被审计单位的会计信息系统存在致命性的漏洞,那么整个系统的综合网络风险,肯定不会是很低的。 此外,审计单位的风险水平是审计单位自身可以控制的因素,是一种可控风险。 我们依据两个指标的水平状况对网络风险的486种组合进行了总体的分类,即高、中、低三档。具体的:在这486种组合方式中,我将其中含有防火墙性能和被审计单位系统漏洞两项为高风险的设定为整体的高风险;相反的情况就为低风险;其他的组合方式为中的风险。 针对不同的网络风险水平要求审计职员采取不同的措施。具体的: 高的网络风险水平意味着被审计单位的财务会计信息系统是不可信的,其数据不能采用,其要求审计职员对于被审计单位的会计记录进行具体的审查,追加审计的时间。 中等的审计风险和低的审计风险意味着被审计单位的财务信息系统基本上能够提供真实可靠的会计信息,审计职员可以全部接受,适当减少审计的时间,加速审计效率。
