论网络审计面临的题目及对策(2)
2017-08-26 01:53
导读:二、解决题目的对策 (一)搞好网络风险防范与控制审计,防止网络犯罪事件的发生 针对网络不安全因素带来数据毁损、丢失给经济造成的损失,主要应
二、解决题目的对策 (一)搞好网络风险防范与控制审计,防止网络犯罪事件的发生 针对网络不安全因素带来数据毁损、丢失给经济造成的损失,主要应对网络安全进行审计。具体来说,应对以下方面进行审计:第一,硬件系统的控制审计。主要是审查硬件各项控制的适当性与有效性。可通过对实体安全、火灾报警、防护系统、使用记录、后备电源、操纵规程、灾难恢复计划等进行测试。审计职员应确定实物安全控制措施是否适当;在处理日常运作及部件失灵中操纵员是否做出了适当的记录与定期;硬件的灾难恢复计划是否适当,是否制定了相关的操纵规程;各硬件的资料回档是否完整。第二,数据通讯的控制审计。主要是审查数据通道是否安全与完整。可通过抽取一组数据进行传输,检查由于线路噪声所导致数据失真的可能性;检查密钥治理和口令控制程序,确认口令文件是否加密、密钥存放地点是否安全;发送一则测试信息测试加密过程,检查信息通道上各不同点上的信息是否有安全控制。通过以上测试发现和纠正设备的失灵导致的数据丢失或失真情况,防止和发现来自Internet及内部的非法存取操纵。第三,数据资源的控制审计。一是数据备份测试,检查为恢复被丢失、损毁或被干扰的数据,系统是否有足够的备份;二是检查个人是否经授权限制性地存取所需的数据,有无未经授权的个人存取数据。并检查在日常工作中是否真正实施了这些功能。根据系统的授权表,检查存取控制的有效性。第四,软件系统的控制审计。对软件系统的测试主要是检查软件产品是否从正当途径购买;检查防治病毒措施,是否安装有防治病毒软件,使用外来软盘之前是否检查病毒;证实只有授权的软件才安装到系统里。通过软件系统控制审计应达到防止来自硬件失灵、机“黑客”、病毒感染、具有特权职员的各种破坏行为,保障系统正常运行。另外还需对系统安全产品进行审计。如检查防火墙、身份认证产品、CA产品等是否经过认证机构或公安部分的认证,产品的销售商是否具有销售许可证,产品的安全保护功能是否能发挥作用。通过以上一系列安全控制审计,发现不足和进步广大审计职员的安全防范意识,建立起安全可靠的网络审计系统。 (二)积极加强网络立法建设 搞好网络审计主要应进行两方面的立法建设。一是关于网络经济的立法题目,二是网络审计的立法题目。前者是对网络经济规范运作的规定,后者是对网络经济审计的规定。即前者是被审计单位在进行网络活动时应遵守的规定,后者是审计职员进行网络审计时应遵守的规定。网络立法是保证网络经济正常运作和网络审计正常发展的关键。对网络经济的立法,首先,应解决网络中出现的各类综合性题目,规范网络活动,使其在、法规许可范围内进行公然、公平、公正的交易,鼓励竞争,防止垄断;其次,网络的安全、保密也必须有法律保障,对计算机犯罪、计算机泄密、窃取贸易与机密等都要给予严厉的法律制裁,以逐步形成法律许可、法律保障、法律约束的网络环境。对网络审计立法,在目前我国网络审计还没有专门法规出台的情况下,要加大网络审计立法的力度和进度,要在立足我国国情的基础上参照国际有关法律法规,制定与网络审计有关的法律规章,使人们在开展网络审计工作时尤其是进行证据、电子签名、电子合同、电子货币等正当性审计时有法可依、有章可循。对目前已有的不适应网络审计的相关法律法规应及时地进行修改和完善。总之,通过网络立法建设,为网络审计建立良好的法律环境,网络审计才能得到发展,网上交易才能规范正常地运行。 (三)制定网络审计准则 审计准则是审计工作应遵循的规范和标准,是评价审计工作质量的权威性规则。由于在网络经济时审计的对象、线索、、流程、结果等各方面相对于传统审计都发生了变化,以往的审计标准和准则已经不能完全适用,所以应加快建立一套符合网络审计自身发展特性的新的审计准则———网络审计准则,以指导网络审计工作。如对网络审计职员应具备的资格、网络审计的操纵规程、相关审计技术以及证据的收集等方面做出规范;制定网络系统安全可靠性评价标准和网络系统内部控制准则;对网络审计时的业务约定书、治理层
说明书、审计报告等各种电子文档制定准则等。通过这些网络审计准则的建立,指导网络审计工作实践的深进开展,使网络审计规范运作,从而进步网络审计工作质量,终极形成客观公正的审计结果。 (四)培养网络审计人才 大批精通网络、计算机及审计业务的审计职员队伍是网络审计能否得以实施的关键。针对我国网络审计人才匮乏,不能满足未来网络审计需要的情况,国家、学校、审计组织等部分应采取措施,迅速改变这种局面。一是国家应在CPA资格、审计专业技术职务考试中适当增加有关计算机、网络及操纵的考察。并定期对审计职员进行相关
培训。二是各学校对审计、会计专业的学生,应将网络理论及操纵作为一门主要课,并加强这方面的实践练习。三是审计组织应在这方面投进一定资金,定期对现有审计职员进行网络培训,使他们迅速适应网络审计工作的需要。四是审计职员应将网络及各种知识,作为一项长期的任务来抓,必须经常更新自身的知识结构,以适应网络审计工作的需要。五是审计职员要同计算机与网络专家、信息系统与电子商务专家进行全面的联合,吸收他们参与或聘请他们做顾问,随时请教疑难题目。由于审计职员不可能都成为计算机与网络专家。因此,这种联合将是必然趋势。 (五)完善网络系统,探索网络审计取证方法 针对网络审计线索困扰题目,一是在同一接口的通用软件开发后,规定各单位在会计数据文件打印输出的同时,还应以可审计的形式进行存储保存,从而为审计工作留下审计线索,以便审计职员从被审单位正确获取各种数据,实现有效的远程审计。二是审计组织要建立审计服务信息库。通过网络及业务治理系统,在信息库中录进被审单位存储保存的有关经济信息,以便在审计时随时调阅、查实和核对,方便收集审计证据。三是要探索运用实时测试、电子函证、钩稽关系测试等新的审计技术方法获取证据。如通过实时监测检测数据处理系统得出的数据是否正确。审计职员可以任意选取部分资料,在被审计单位数据处理系统中运行,将运行结果与人工计算结果相比较,据以确定数据处理系统得出数据的正确性。通过电子函证,对往来账项进行查证,验证往来款项的真实性。通过钩稽关系测试,核对表、账、证数据的一致性。 (六)积极开发网络审计软件 网络审计是借助网络审计软件进行的,只有加大对审计软件的开发、评审、验收力度,使网络审计软件系统更安全更可靠、运行更正确、处理更及时,才会被广大审计职员所接受。开发网络审计软件,一是应解决网络审计软件由谁开发的题目。网络审计软件的开发可以是自主开发,与软件公司合作开发,完全委托软件公司开发。从现在实际情况和性来说,最好选择财务软件公司,它在财务软件制作方面的经验有利于网络审计软件的开发。不管由谁开发,应符合国家软件开发的有关规定。二是应解决软件接口同一的题目应由国家运用行政气力制定数据接口标准,要求网络会计系统软件设计一个同一数据结构、同一输进要求和有一定强制性的数据文件。三是在软件开发时,应解决软件的治理功能和防病毒破坏功能,防止“黑客”袭击、侵进、篡改数据的功能等。四是开发出的审计软件应具有审计整理、审计分析、审计查证等功能,并且可以完成审计工作底稿的制作,终极实现财会软件与审计软件一体化的目标。
