安全风险审计范文

安全风险审计范文第1篇

关键词：网络审计　历史财务报表审计　信息安全管理　风险评估

一、引言

从审计的角度，风险评估是现代风险导向审计的核心理念。无论是在历史财务报表审计还是在网络审计中，现代风险导向审计均要求审计师在执行审计工作过程中应以风险评估为中心，通过对被审计单位及其环境的了解，评估确定被审计单位的高风险领域，从而确定审计的范围和重点，进一步决定如何收集、收集多少和收集何种性质的证据，以便更有效地控制和提高审计效果及审计效率。从企业管理的角度，企业风险管理将风险评估作为其基本的要素之一进行规范，要求企业在识别和评估风险可能对企业产生影响的基础上，采取积极的措施来控制风险，降低风险为企业带来损失的概率或缩小损失程度来达到控制目的。信息安全风险评估作为企业风险管理的一部分，是企业信息安全管理的基础和关键环节。尽管如此，风险评估在网络审计、历史财务报表审计和企业信息安全管理等工作中的运用却不尽相同，本文在分析计算机信息系统环境下所有特定风险和网络审计风险基本要素的基础上，从风险评估中应关注的风险范围、风险评估的目的、内容、程序及实施流程等内容展开，将网络审计与历史财务报表审计和信息安全管理的风险评估进行对比分析，以期深化对网络审计风险评估的理解。

二、网络审计与历史财务报表审计的风险评估比较

(一)审计风险要素根据美国注册会计师协会的第47号审计标准说明中的审计风险模型，审计风险又由固有风险、控制风险和检查风险构成。其中，固有风险是指不考虑被审计单位相关的内部控制政策或程序的情况下，其财务报表某项认定产生重大错报的可能性；控制风险是被审计单位内部控制未能及时防止或发现财务报表上某项错报或漏报的可能性；检查风险是审计人员通过预定的审计程序未能发现被审计单位财务报表上存在重大错报或漏报的可能性。在网络审计中，审计风险仍然包括固有风险、控制风险和检查风险要素，但其具体内容直接受计算机网络环境下信息系统特定风险的影响。计算机及网络技术的应用能提高企业经营活动的效率，为企业的经营管理带来很大的优越性，但同时也为企业带来了一些新的风险。这些新的风险主要表现为：(1)数据与职责过于集中化。由于手工系统中的职责分工、互相牵制等控制措施都被归并到计算机系统自动处理过程中去了，这些集中的数据库技术无疑会增加数据纵和破坏的风险。(2)系统程序易于被非法调用甚至遭到篡改。由于计算机系统有较高的技术要求，非专业人员难以察觉计算机舞弊的线索，这加大了数据被非法使用的可能性。如经过批准的系统使用人员滥用系统，或者说，企业对接近信息缺乏控制使得重要的数据或程序被盗窃等。(3)错误程序的风险，例如程序中的差错反复和差错级联、数据处理不合逻辑、甚至是程序本身存在错误等。(4)信息系统缺乏应用的审计接口，使得审计人员在审计工作中难以有效地采集或获取企业信息系统中的数据，从而无法正常开展审计工作。(5)网络系统在技术和商业上的风险，如计算机信息系统所依赖的硬件设备可能出现一些不可预料的故障，或者信息系统所依赖的物理工作环境可能对整个信息系统的运行效能带来影响等。相对应地，网络审计的固有风险主要是指系统环境风险，即财务电算化系统本身所处的环境引起的风险，它可分为硬件环境风险和软件环境风险。控制风险包括系统控制风险和财务数据风险，其中，系统控制风险是指会计电算化系统的内部控制不严密造成的风险，财务数据风险是指电磁性财务数据被篡改的可能性。检查风险包括审计软件风险和人员操作风险，审计软件风险是指计算机审计软件本身缺陷原因造成的风险，人员操作风险是指计算机审计系统的操作人员、技术人员和开发人员等在工作中由于主观或客观原因造成的风险。

(二)风险评估目的无论在网络审计还是历史财务报表审计中，风险评估只是审计的一项重要程序，贯穿于审计的整个过程。与其他审计程序紧密联系而不是一项独立的活动。尽管如此，两者所关注的风险范围则有所不同。历史财务报表审计的风险评估要求审计人员主要关注的是被审计单位的重大错报风险――财务报表在审计前存在重大错报的可能性。由于网络审计的审计对象包括被审计单位基于网络的财务信息和网络财务信息系统两类，因此审计人员关注的风险应是被审计单位经营过程中与该两类审计对象相关的风险。(1)对于与企业网络财务信息系统相关的风险，审计人员应该从信息系统生命周期的各个阶段和信息系统的各组成部分及运行环境两方面出发进行评估。信息系统生命周期是指该信息系统从产生到完成乃至进入维护的各个阶段及其活动，无论是在早期的线性开发模型中还是在更为复杂的螺旋式等模型中，一个信息系统的生命周期大都包括规划和启动、设计开发或采购、集成实现、运行和维护、废弃等五个基本阶段。由于信息系统在不同阶段的活动内容不同，企业在不同阶段的控制目标和控制行为也会有所不同，因此，审计人员的风险评估应该贯穿于信息系统的整个生命周期。信息系统的组成部分是指构成该信息系统的硬件、软件及数据等，信息系统的运行环境是指信息系统正常运行使用所依托的物理和管理平台。具体可将其分为五个层面：物理层，即信息系统运行所必备的机房、设备、办公场所、系统线路及相关环境；网络层，即信息系统所需的网络架构的安全情况、网络设备的漏洞情况、网络设备配置的缺陷情况等；系统层，即信息系统本身的漏洞情况、配置的缺陷情况；应用层，即信息系统所使用的应用软件的漏洞情况、安全功能缺陷情况；管理层，即被审计单位在该信息系统的运行使用过程中的组织、策略、技术管理等方面的情况。(2)对于与企业基于网络的财务信息相关的风险，审计人员应着重关注财务信息的重大错报风险和信息的安全风险。重大错报风险主要指被审计单位基于网络的相关财务信息存在重大错报的可能性，它是针对企业借助于网络信息系统或网络技术对有关账户、交易或事项进行确认、计量或披露而言。网络审计中关注的重大错报风险与传统审CtT的内涵基本上是一致的，审计人员在审计时应当考虑被审计单位的行业状况、经营性质、法律及监管环境、会计政策和会计方法的选用、财务业绩的衡量和评价等方面的情况对财务信息错报可能的影响。信息安全风险涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的风险，主要针对企业利用信息系统或一定的网络平台来存储、传输、披露相关财务信息而言。在审计过程中，审eta员应当主要关注相关财务信息被盗用、非法攻击或篡改及非法使用的可能性。当然，这两类风险并非完全分离的，评估时审计人员应将两者结合起来考虑。

(三)风险评估内容　广泛意义的风险评估是指考虑潜在事件对目标实现的影响程度。由于网络审计与历史财务报表审计风险评估的目的并不完全相同，因此两者在风险评估的内容上也是存在区别的。总的来说，网络审计的风险评估内容比历史财务报表审计的风险评估内容更广泛和深入。根据《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风

险》，在历史财务报表审计中，审计人员的风险评估应以了解被审计单位及其环境为内容。为识别和评价重大错报风险，审计人员了解的具体内容包括被审计单位所在行业状况、法律环境与监管环境以及其他外部因素、被审计单位的性质、被审计单位对会计政策的选择和运用、被审计单位的目标、战略以及相关经营风险、被审计单位财务业绩的衡量和评价及被审it@位的内部控制等。在网络审计中。为了识别和评估上文所述的两类风险，审计人员除了从以上方面了解被审计单位及其环境外，还应该关注其他相关的潜在事件及其影响，尤其是企业的财务信息系统及基于网络的财务信息可能面l临的威胁或存在的脆弱点。其中，威胁是指对信息系统及财务信息构成潜在破坏的可能性因素或者事件，它可能是一些如工作人员缺乏责任心、专业技能不足或恶意篡改等人为因素，也可能是一些如灰尘、火灾或通讯线路故障等环境因素。脆弱点是指信息系统及基于网络的财务信息所存在的薄弱环节，它是系统或网络财务信息本身固有的，包括物理环境、组织、过程、人员、管理、配置、硬软件及信息等各方面的弱点。一般来说，脆弱点本身不会带来损失或信息错报，威胁却总是要利用网络、系统的弱点来成功地引起破坏。因此，我们认为网络审计申风险评估的内容应包括以下几方面：(1)识别被审计单位财务信息系统及其基于网络的财务信息可能面临的威胁，并分析威胁发生的可能性；(2)识别被审计单位财务信息系统及其基于网络的财务信息可能存在的脆弱点，并分析脆弱点的严重程度；(3)根据威胁发生的可能性和脆弱点发生的严重程度，判断风险发生的可能性；(4)根据风险发生的可能性，评价风险对财务信息系统和基于网络的财务信息可能带来的影响；(5)若被审计单位存在风险防范或化解措施，审计人员在进行风险评估时还应该考虑相应措施的可行性及有效性。

(四)风险评估程序《中国注册会计师审计准则第1211-----了解被审计单位及其环境并评估重大错报风险》中要求，审计人员应当实施询问、分析程序、观察和检查等程序，以获取被审计单位的信息，进而评估被审计单位的重大错报风险。这些程序同样适用于网络审计中的风险评估。但在具体运用时网络审计中更加注重了解和分析被审计单位与信息系统及网络技术使用相关的事项。在实施询问程序时，审计人员的询问对象围绕信息系统和基于网络的财务信息可大致分为管理人员、系统开发和维护人员(或信息编制人员)、系统使用人员(或信息的内部使用人员)、系统或网络技术顾问及其他外部相关人员(如律师)等五类，分别从不同角度了解信息系统和基于网络的财务信息可能存在的威胁和脆弱点。在实施分析程序时，除了研究财务数据及与财务信息相关的非财务数据可能的异常趋势外，审计人员应格外关注对信息系统及网络的特性情况，被审计单位对信息系统的使用情况等内容的分析比较。实施观察和检查时，除执行常规程序外，审计人员应注意观察信息系统的操作使用和检查信息系统文档。除此之外，针对特定系统或网络技术风险的评估，审计人员还需要实施一些特定的程序。技术方面如IOS取样分析、渗透测试、工具扫描、安全策略分析等；管理方面如风险问卷调查、风险顾问访谈、风险策略分析、文档审核等。其中，IDS取样分析是指通过在核心网络采样监听通信数据方式，获取网络中存在的攻击和蠕虫行为，并对通信流量进行分析；渗透测试是指在获取用户授权后，通过真实模拟黑客使用的工具、方法来进行实际漏洞发现和利用的安全测试方法；工具扫描是指通过评估工具软件或专用安全评估系统自动获取评估对象的脆弱性信息，包括主机扫描、网络扫描、数据库扫描等，用于分析系统、应用、网络设备存在的常见漏洞。风险问卷调查与风险顾问访谈要求审计人员分别采用问卷和面谈的方式向有关主体了解被审计单位的风险状况，使用时关键是要明确问卷或访谈的对象情况风险策略分析要求审计人员对企业所设定的风险管理和应对策略的有效性进行分析，进而评价企业相关风险发生的概率以及可能带来的损失；文档审核是一种事前评价方法，属于前置软件测试的一部分，主要包括需求文档测试和设计文档测试。这些特定程序主要是针对被审计单位信息系统和基于网络的财务信息在网络安全风险方面进行评价，审计人员在具体使用时应结合被审计单位的业务性质选择合适的程序。

三、网络审计与信息安全管理的风险评估比较

(一)风险评估的目的信息安全管理中的风险评估(即信息安全风险评估)是指根据国家有关信息安全技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程。作为信息安全保障体系建立过程中的重要的评价方法和决策机制，信息安全风险评估是企业管理的组成部分，它具有规划、组织、协调和控制等管理的基本特征，其主要目的在于从企业内部风险管理的角度，在系统分析和评估风险发生的可能性及带来的损失的基础上，提出有针对性的防护和整改措施，将企业面临或遭遇的风险控制在可接受水平，最大限度地保证组织的信息安全。而网络审计是由独立审计人员向企业提供的一项鉴证服务，其风险评估的目的在于识别和评价潜在事件对被审计单位基于网络的财务信息的合法性、公允性以及网络财务信息系统的合规性、可靠性和有效性的影响程度，从而指导进一步审计程序。因此，两者风险评估的目的是不一样。从评估所应关注的风险范围来看，两者具有一致性，即都需要考虑与信息系统和信息相关的风险。但是，具体的关注边界则是不一样的。信息安全风险评估要评估企业资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响，它要求评估人员关注与企业整个信息系统和所有的信息相关的风险，包括实体安全风险、数据安全风险、软件安全风险、运行安全风险等。网络审计中，审计人员是对被审计单位的网络财务信息系统和基于网络的财务信息发表意见，因此，风险评估时审计人员主要关注的是与企业财务信息系统和基于网络的财务信息相关的风险，而不是与企业的整个信息系统和所有的信息相关的风险。根据评估实施者的不同，信息安全风险评估形式包括自评估和他评估。自评估是由组织自身对所拥有的信息系统进行的风险评估活动；他评估通常是由组织的上级主管机关或业务主管机关发起的，旨在依据已经颁布的法规或标准进行的具有强制意味的检查。自评估和他评估都可以通过风险评估服务机构进行咨询、服务、培训以及风险评估有关工具的提供。因此。对审计人员而言，受托执行的信息安全风险评估应当归属于管理咨询类，即属于非鉴证业务，与网络审计严格区分开来。

(二)风险评估的内容在我国国家质量监督检验检疫总局的《信息安全风险评估指南》(征求意见稿)国家标准中，它将信息安全风险评估的内容分为两部分：基本要素和相关属性，提出信息安全风险评估应围绕其基本要素展开，并充分考虑与这些基本要素相关的其他属性。其中，风险评估的基本要素包括资产、脆弱性、威胁、风险和安全措施；相关属性包括业务战略、资产价值、安全需求、安全事件、残余风险等。在此基础上的风险计算过程是：(1)对信息资产进行识别，并对资产赋值；(2)对威胁进行分析，并对威

胁发生的可能性赋值；(3)识别信息资产的脆弱性，并对弱点的严重程度赋值；(4)根据威胁和脆弱性计算安全事件发生的可能性；(5)根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失；(6)根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对组织的影响，即风险值。结合上文网络审计风险评估五个方面的内容可以看出，网络审计和信息安全风险评估在内容上有相近之处，即都需要针对信息系统和信息可能面临的威胁和存在的脆弱点进行识别。但是，信息安全管理作为企业的一项内部管理，其风险评估工作需要从两个层次展开：一是评估风险发生的可能性及其影响；二是提出防护或整改措施以控制风险。第一个层次的工作实质上是为第二层次工作服务的，其重点在第二层次。《信息安全风险评估指南》(征求意见稿)提出，企业在确定出风险水平后，应对不可接受的风险选择适当的处理方式及控制措施，并形成风险处理计划。其中，风险处理的方式包括回避风险、降低风险、转移风险、接受风险，而控制措施的选择应兼顾管理和技术，考虑企业发展战略、企业文化、人员素质，并特别关注成本与风险的平衡。网络审计的风险评估工作主要集中在第一个层次，即审计人员通过风险评估，为进一步审计中做出合理的职业判断、有效地实施网络审计程序和实现网络审计目标提供重要基础。因此，两者的评估内容是存在区别的。

(三)风险评估的程序网络审计和信息安全管理的风险评估程序基本上是一致的，除了实施询问、观察和检查、分析等常规程序外，评估人员都需要借助一些特定的评估工具对特定系统或网络技术风险进行评估。这些评估工具大致可以分为以下几类：安全管理评价系统；信息基础设施风险评估工具风险评估辅助工具。对于风险评估的具体实施，《信息安全风险评估指南》(征求意见稿)将其确定为如下流程：(1)风险评估的准备。包括确定风险评估的范围、目标，建立适当的评估小组，确定系统性的风险评估方法，获得管理者对风险评估策划的批准的内容。(2)资产识别。包括定义资产并分类、对资产赋值。(3)识别威胁。包括定义威胁并分类、对威胁赋值。(4)识别脆弱性。包括定义脆弱性并分类、对脆弱性赋值。(5)确认已有的安全措施。(6)风险识别。包括风险的计算、风险等级的判定、控制措施的选择、残余风险的评价。(7)风险评估结果记录。

安全风险审计范文第2篇

关键词：互联网金融；安全风险；安全审计；内部威胁

中图分类号：F239.0 文献标识码：A 文章编号：1008-4428（2017）01-64 -03

2014年3月第十二届全国人大第二次会议召开，总理政府工作报告提及了互联网金融。2015年3月，总理在政府工作报告中再次提及了互联网金融。当前，互联网金融获得了迅猛发展，其门槛低、交易便捷且成本低，为个人投资者及小微企业融资做出了巨大贡献。但2013年下半年以来，互联网金融公司倒闭、跑路、丑闻事件时有发生。这对审计工作提出很大挑战。由于互联网金融自身特殊性，审计机构、审计人员都面临较大风险。

一、互联网金融与信息系统风险控制审计

（一）互联网金融

互联网金融遵循“平等、开放、协作、共享”原则，将互联网、移动客户端与传统金融业务相关联，呈现低成本、易操作、高透明、高参与的特点。近几年，政府工作报告经常提及互联网金融。恒大集团副总裁刘永灼（2016）曾指出，2016年中国互联网金融行I市场规模将会达到17.8万亿，未来5年行业年均增速约为24.67%，预计2020年规模将会达到43万亿，而我国目前拥有超过1000万家传统金融机构无法覆盖的实体企业，互联网金融未来市场巨大。相比2016年，中国互联网金融行业协会曾发表研究报告指出，截止2014年年底，当时中国互联网金融规模为10万亿，P2P网贷平台1500家，半年成交额为1000亿，已超过2013年度全年成交额，P2P网贷从业人员人数39万人，服务企业超200万家，相关行业从业人数超过6000万人。第三方支付、众筹、互联网金融门户网站多元化模式逐渐形成。传统金融业为迎接互联网金融发展，建行推出“善融商务”，工行推出“融e购”，浦发银行将手机卡、银行卡、地铁卡三卡合一，交行推出基于网络应用平台的远程理财服务。与此同时，传统审计业务也发生重大转变。

（二）信息系统安全风险控制审计

根据IAASB的审计准则，现代审计风险模型为：审计风险=重大错报风险×检查风险。重大错报风险指的是在审计工作开展以前，被审单位存在的重大错误风险，这种风险与财务报表整体有关，也包括与报表认定相关的错报风险。其一，微观角度。互联网金融企业内部管理状况影响财务报表的重大错报，股权结构过于集中会使得董事会听命于大股东，治理结构的缺陷使得管理层可能会操纵财务报表。其二，宏观层次。2014年十二届全国人大二次会议将互联网金融纳入政府工作报告，但会议制定的《关于促进互联网金融健康发展的指导意见》较为宽泛，对第三方支付、P2P、众筹等相关规定过于笼统，一些处于初创阶段的互联网金融机构为获得发展，管理层可能会利用监管的空白粉饰报表，重大错报风险会因此增大。检查风险的存在与审计人员风险识别能力及业务判断能力密切相关。其一，互联网金融是多学科综合体，涉及审计、计算机、金融、统计学等行业技术知识，更新速度较快，审计人员传统知识结构无法适应互联网金融业务发展要求。其二，审计准则不能适应新业务发展，传统金融审计理论缺少互联网金融审计准则，这会造成互联网金融审计依据的缺失。

二、互联网金融信息安全风险

（一）互联网本身固有信息风险

互联网本身固有风险主要包括两种：信息安全风险、操作风险。主要表现为病毒入侵、泄露信息、黑客攻击及操作系统漏洞。在大数据云计算时代，信息数据传播速度非常快，破坏性强，影响范围广。此外，信息技术虚拟性的存在使得常规审计检测难以查出潜在风险，这些都加重了风险未知性及隐蔽性。有数据资料显示，2015年80%以上网贷公司都有过黑客攻击情况，164家P2P平台曾陷于瘫痪，数据被窃取，资产被盗用，资料被外泄，身份被盗用，客户利益受到非常大之损失。

（二）负外部性

负外部性即金融行为中，私人收益或成本向第三方溢出造成的经济效应。全球一体化使得互联网金融外部性加剧，而这种外部性影响很大，极有可能会再次引发金融危机，给世界各国经济与世界经济造成不可估量之后果。

（三）资金供需双方交易损失的风险

在互联网时代，资金供需双方不再局限于以传统金融机构为媒介，取而代之的是以互联网为代表的虚拟化中介机构。但双方信息不对称。互联网金融本身具有普惠性特点，其面向的是专业知识较为欠缺的“长尾”群体。这种群体一般风险识别能力较弱，这为互联网金融风险埋下伏笔。以P2P网贷和众筹为例，借贷双方直接依托网络发生业务联系。互联网推动了信息共享，但也有借款者为达到借款目的，刻意隐瞒不良资产或虚假信息，同时，贷款者因为自己专业知识欠缺，对信息存在误读情况。这就导致借款者处于信息优势地位，而贷款者处于信息劣势地位。道德风险的存在成为必然。资金供需之间信息不对称加剧了资金筹集运用的不确定性，加剧了金融不稳定，会引发新的金融风险。

三、互联网金融信息安全风险对审计工作之影响

（一）互联网金融相关法律法规缺位

互联网金融为新兴行业，我国政府对其监管仍处于起步阶段，国家尚缺少完善的法律法规体系，虽然我国出台了关于互联网金融企业会计处理原则与内部控制规范，但其法律基础仍是传统金融企业。互联网金融企业与传统金融企业不完全匹配，互联网金融创新性要远大于传统企业，新业务、新金融产品不断涌现，但审计人员开展审计却缺少相应的参照标准，此外，审计人员依据现有规范给出的意见，一旦客观条件发生变化，审计人员意见就有可能转为不恰当审计意见。

（二）审计线索隐蔽性使得三方审计难以开展

三方审计即官方审计、注册会计师审计以及内部审计。其一，互联网时代，审计证据及其轨迹呈现电子化网络化趋势，设计系统人员、操作员、拥有管理权限的后台管理人员、电脑黑客都有可能越过防火墙，对计算机系统进行攻击，对电子数据进行删除、修改，而且这种行为往往难以查证。这会使得审计证据的可靠性大大降低。其二，即使审计人员获取了数字化审计证据，在海量数据信息中提取审计线索也不是能在有限时间内完成的。其三，互联网金融企业系高新技术企业，业务在互联网上完成，日常资料实现电子化存储即云存储，大数据特征明显。即数据规模大、类型多样、高频动态。某些数据存储载体不再局限于肉眼可以观测到的服务器物理设备，这都增加了审计人员获取审计证据的难度。

（三）审计人员技术能力弱化

审计互联网金融企业要求审计人员具备审计、会计、计算机、金融等相关知识，如果审计人员知识结构欠缺，无疑会增加审计难度。此外，互联网金融交易都是线上操作，如何查证计算机程序是审计人员必须攻克的难题，传统审计软件在面对大数据时，暴露出其弱点：抓取证据准确性低、速度慢、处理效率偏低、误判。

四、基于威胁的互联网金融信息审计工作构想

（一）建立完善相关互联网金融审计法律法规

要积极完善互联网金融审计法律法规，明确国家金融审计在审计监督中的主导作用。在已经指导的互联网金融法律法规基础之上，针对目前政策法规的漏洞及薄弱环节，制定出针对互联网金融（如第三方支付、P2P网贷、众筹）、互联网保险（第三方保险网络平台）、互联网证券（如余额宝）、互联网混合业务（如金融咨询、比价）的审计规范。为审计工作开展创建政策依据。

（二）构建四位一体互联网金融审计体系

构建四位一体审计体系如下图所示：

图1 四位一体互联网金融审计体系构想图

政府金融审计应居于主导地位。其独立性、强制性、政策性特点决定了其在互联网金融审计中居于主导地位。其一，政府金融审计能凭借优势使得互联网金融与其他社会生产领域结合，从宏观上识别防范金融风险。其二，政府金融审计属于强制性审计，并且独立于金融系统，不仅可以对互联网金融做出客观公正评价，还可对互联网金融监管机构进行再监督。

互联网金融监督管理机构是保障。其组成人员可以包括政府审计人员、互联网金融企业代表、会计师事务所相关专家、内部审计专家。这个监督机构可以将各方信息综合，类似于自律组织，以出台规范模式来更好监督互联网金融发展。

会计师事务所审计是主力。其特点是业务广、专业强。其一，注册会计师行业储备了大量深谙会计、审计、金融、互联网知识的复合型人才，依托其专业知识可以识别潜在风险与错报。其二，注册会计师审计覆盖面广的优势可以弥补官方审计的盲区，更关注财务报告的合法性、公允性、真实性。

内部审计是核心。其特点是内向性、广泛性、及时性。相对于其他部门，其对本机构情况知根知底，可以通过及时详细信息来识别防范风险，能够形成持续性防护体系，应将内部控制设置的合理性，尤其是互联网信息的内部控制作为重点。

（三）培养复合型互联网金融审计人才

为进一步满足互联网金融发展需要，应对现有审计人员知识结构做重大调整。其一，会计师事务所应加强相关审计人员计算机能力培训，审计人员自身也应多关注互联网金融发展，多参加互联网金融讲座。其二，学校在审计课程体系建设中也应加入互联网金融案例知识。其三，注册会计师考试可以适当增加互联网金融相关内容。其四，开展互联网金融审计，也可以多借助其他专业人士知识，如风险控制专家、信息系统安全专家、网络工程师等。

五、结束语

互联网金融对审计业务提出了更高要求（下转第40页），（上接第65页）本文从互联网金融发展特点入手，通过系统论证现代风险导向互联网金融审计，提出了互联网金融系统安全风险如互联网本身固有风险、负外部性、资金供需双方信息不对称，希望通过完善法律法规，构建四位一体审计体系，培养复合型互联网金融审计人才模式，为互联网金融未来发展提供指引。

参考文献：

[1]刘国城.我国商业银行信息系统内部威胁的“知识发现”与“内控管理”[J].山东社会科学，2016，（07）.

[2]赵丹，张红英.互联网金融审计监督体系的构建及其实现路径[J]. 财会月刊， 2015，（25）.

[3]刘国城，杨丽丽.面向内部威胁的中观信息系统内控管理研究[J].计与经济研究，2014，（06）.

[4]刘国城.基于过程的电子政务云安全审计模式研究[J].新疆大学学报（哲学人文社会科学版），2016，（01）.

[5]刘国城，王会金.基于AHP和熵权的信息系统审计风险评估研究与实证分析[J].审计研究，2016，（01）.

作者简介

刘国城，男，内蒙古赤峰市人，南京审计大学会计学院副教授、博士，研究方向：审计理论与实务；

安全风险审计范文第3篇

所谓安全审计,是指评估企业安全风险以及如何应对风险措施的一个过程。这是一个人为的过程,有一群拥有相关计算机专业技能和商业知识的审计人员操作进行。作为审计的一个过程,审计人员会询问关键职员,实施漏洞评估,给现有的安全政策和控制造册,检查IT资产。很多情况下,审计很大程度上有赖于技术工具。

1　安全审计的焦点问题

(1)密码是否牢靠?

(2)网络是否有访问控制清单?

(3)访问日志是否记录了访问数据的人员?

(4)个人电脑是否经常扫描广告软件和恶意软件?

(5)谁有权访问组织中的备份存储媒介?

当然以上只是例举了一小部分问题。

审计不是一个短期的静止的过程,而是一个连续不断需要提高的过程。一些评论家说,审计的焦点应该在于评估企业现行的安全政策是否兼容一致。当然,审计不仅仅是评估兼容性问题,还有企业安全政策和控制本身。很多时候,企业一些老旧的管理规定赶不上新的技术的发展。安全审计是最有效的办法。

2　安全审计的关键流程

在实施审计之前有几步是很关键的(譬如:审计需要得到企业高层的支持),以下是审计本身实施的关键步骤:

(1)定义审计的物质范畴。划定审计的范围很关键。划定的范围之间要有一些联系,譬如数据中心局域网,或是商业相关的一些东西、财务报表等。不管采用哪种方式,审计范畴的划定有利于审计人员集中注意力在资产、规程和政策方面。

(2)划定审计的步骤范围。过于宽泛的审计步骤会延缓审计。但是过窄又会导致审计不完全,难以得出令人信服的结果。应该确定一个合适的安全审计区域。不管企业大小,都应该将主要精力放在审计的重点上。

(3)研究历史。审计中常遗忘的一个过程就是不查阅以前的审计历史。藉此我们可以把注意力放在已知的安全漏洞,及损害导致的安全事件方面,还有IT结构的企业流程的改变等等。这应该包括过去审计的评估。还有,审计人员应该将位于审计范围内的所有资产及其相关的管理规章造册编辑好。

(4)恰当的审计计划。一个详细备至的审计计划是实施有效审计的关键。包括审计内容的详细描述、关键日期、参与人员和独立机构。

(5)实施安全风险评估。一旦审计小组制定好了有效的审计计划,就可以着手开始审计的核心――风险评估。风险评估覆盖以下几个方面:

A　确认位于安全审计范围之内的资产,根据其商业价值确认优先顺序。譬如:支持命令进入程序的网络服务器就比支撑IT部门内部博客的服务器重要得多。

B　找出潜在的威胁。威胁的定义是指有可能造成资产潜在风险的因素。

C　将资产的各类漏洞编一个目录。特别是那些资产现有的漏洞及由此可能产生的风险。

D　检查现有资产是否有相应的安全控制。这些控制必须存在并且可用。如果缺少这些就应该记录下来。控制包括技术方面的。譬如防火墙;流程方面的,譬如数据备份过程;人事方面的,譬如管理相关资产的系统管理人员。

E　确认风险发生的可能性。审计小组必须给出每个风险可能导致危险的量化的可能性。风险可能性的评估表明了现有控制处置风险的能力。这些可能性应该用不同的层级来表示。

F　确定风险的潜在危害。审计人员必须再次将风险发生造成的危害量化。这种量化的评估也需要用层级表示。

G　风险评估。审计人员使用上述两个参数(可能性乘以危害)计算风险。这样根据风险评估的结果来提高处置风险的有效性。

(6)记录审计结果。这并不是说需要上述所有审计的一个详尽的结果。审计文件包括总结、审计原因、必要的升级和纠正、支持数据。审计小组还要把文件制成ppt演示文稿。

(7)提出改进意见。安全审计最终的好处就是提出相应的提高安全的建议。这些建议应该是客户可以实施的形式。

3　安全审计范畴

很多企业在确定审计范围时不需要花费什么时间。对于审计小组来说,把审计限制在实置和逻辑小组就很简单了。

更难的,也是更有价值的是划定审计区域。关键就是根据风险系数制定出优先的安全流程。譬如:有一些是不断造成非常小的风险,而身份管理就可能造成严重危害。在这一案例中,身份管理流程就应该包括在审计过程中,那些小的风险可以忽略。

许多咨询人士和分析人士似乎都对来年的安全风险有一个明确的认识。Gartner估计80%的风险集中于如下四个方面:

网络访问控制(NAC)。NAC就是检查访问网络的用户和系统的安全性。这是任何访问某个网络的用户必须面临的第一道安全检查。NAC也会检查已经进入网络的用户和系统的安全。有些情况下,NAC还会根据已知的风险或用户矫正或是应对风险。

入侵防御。入侵防御涵盖的范围远广于传统的入侵检测。实际上。这与NAC有些类似,都是防范已知的风险。入侵防御会加强政策的执行,从而将风险范围缩小到最小范围。

身份和访问管理。它控制什么人什么时候访问了什么数据。主要采取的就是授权证明。

安全风险审计范文第4篇

【关键词】 网络环境;审计风险;重大错报风险;检查风险;防范

随着网络技术和计算机技术的发展,审计已经由传统的手工审计发展到计算机审计,并进而发展到网络审计。在网络环境下,审计的对象和审计的技术手段都随之而发生改变,审计风险也随之加大。如何正确评价网络环境下的审计风险,如何降低网络环境下的审计风险是本文探讨的主题。

一、网络环境下审计风险的分析

根据新的审计准则,审计风险是指财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性。新的审计风险模型表示为:审计风险=重大错报风险×检查风险。其中,重大错报风险是指财务报表在审计前存在重大错报的可能性。这是注册会计师可以评估、认定,但是无法控制的风险水平。检查风险是指某一认定存在错报,该错报单独或连同其他错报是重大的,但注册会计师未能发现这种错报的可能性。在审计风险模型中,审计人员所能控制的只有检查风险。在网络环境下,审计风险同样取决于重大错报风险和检查风险,但是重大错报风险和检查风险却发生了较大的变化。

(一)重大错报风险

重大错报风险是由于企业本身的原因,比如会计处理过程、编制财务报表过程以及内部会计控制系统等不能发现和改正而造成重大错误的风险。在网络环境下,除了企业本身的原因会造成重大错误,还有一些外部因素可能会造成重大错误。

1. 网络本身的安全性。由于网络环境是一个开放的环境,无论企业的内部控制如何完善,仍然无法避免来自世界各地的计算机病毒、黑客等的恶意攻击。在这种开放的环境下,会计资料被非法修改、窃取或复制的可能性大大增加,会计数据的安全、完整性不是企业自身能够完全控制的,某些威胁甚至是企业从来都无法预见的。所以,在网络环境下,企业的重大错报风险明显增加。在传统的审计中,审计人员主要通过了解被审单位的内部控制来评审重大错报风险。在网络环境下,企业面临的环境复杂,审计人员在进行风险评估时不可能对企业面临的各种网络威胁都进行预测和评审。因此,如何较准确地评估重大错报风险成为网络环境下审计人员面临的一个问题。

2. 网络环境下,网上理财和自助式会计软件得到发展,会计服务机构可以通过网络为企业记账,企业也可以借助网上会计软件进行会计处理。会计服务机构的服务质量和职业道德、网上会计软件的可靠性和安全性等都会影响企业的会计活动。

(二)检查风险

检查风险是审计人员在执行审计的过程中没有检查出错误的风险,它取决于审计程序设计的合理性和执行的有效性。随着计算机和网络通信技术在会计、审计工作中的广泛应用,审计工作的效率大大提高。尤其是审计软件的广泛使用,审计人员可以方便快捷地进行凭证、账簿、报表的查询,同时可以增加抽查样本、采用抽样模型进行抽样审计,在一定程度上降低了检查风险。但是在网络环境下,审计人员在进行审计程序的设计和执行时,还会面临一些新的问题,这些新问题会大大增加审计人员的检查风险。

1. 虚拟企业的出现使得会计主体界限模糊,审计对象也变得模糊和易变。在网络环境下,一些公司为了短期目标而通过网络临时建立联盟,形成虚拟企业,它可以根据需要随时成立随时终止。在这种环境下,审计对象变得模糊。面对虚拟的、动态的审计对象,如何设计审计程序是审计人员面临的新问题。

2. 网络环境下进行审计取证的难度增大。由于磁介质逐步代替了纸介质,记账凭证、账簿等不再以书面形式反映,同时,磁介质上的数据可以不留痕迹地篡改,审计线索的逐渐消失会使审计人员面临没有原始证据的困境。其次,由于网络环境下企业的交易活动日趋复杂,审计人员不仅需要企业自身的相关数据,还需要获取企业交易关联方、银行等其他外部单位的相关数据。由于涉及到商业机密等问题,外部单位是否愿意提供数据或者是否能够提供完整的、真实的数据直接关系到审计证据的数量和质量。最后,在网络环境下,企业几乎所有的业务信息和财务信息都通过网络传输,业务活动的数据处理都是实时的,审计人员既要保证获取证据的完整性,又不能妨碍和终止被审计单位会计信息系统的运作。这时审计人员只能通过在线访问、在线查询来获取审计证据。在系统运作过程当中进行取证增加了审计人员取证的难度。审计证据获取不足将会加大审计风险。

3. 审计人员采用计算机辅助审计、网络辅助审计等方法进行审计工作时也会受到审计软件、网络安全的威胁。由于审计人员在数据采集、转换及查询等工作中越来越依赖审计软件,如果审计软件本身存在问题,就有可能影响审计结果,增加检查风险。此外,随着网络审计的开展,审计人员可以通过在线访问、在线查询等手段来获取证据,数据在传输过程中就有可能被恶意篡改或窃取,这也加大了审计人员的检查风险。

二、网络环境下审计风险的防范

由于网络环境给会计、审计工作带来了较大的冲击,根据前文对重大错报风险和检查风险的分析,笔者认为应该从宏观和微观两个方面加强对审计风险的防范。

(一)从宏观环境看

根据上文分析,在网络环境下,无论是重大错报风险还是检查风险,其产生除了企业和审计人员本身的原因外,外部环境也是导致风险产生的重要因素。因此,国家、社会及相关部门应该从以下两方面着手加强对外部环境的规范和治理,降低审计风险。

1. 宏观政策、相关法律法规的完善。(1)网络本身的安全性会大大增加审计风险,但这又不是企业或审计人员个人所能控制的。相关部门要针对当前存在的各种网络威胁,不断出台或完善有关网络安全的法律法规,尽可能地保障网络安全。(2)由于审计软件成为审计人员进行审计工作的重要工具,因此相关部门应该出台有关规范审计软件的法规政策,加强对审计软件的评审,提高审计软件本身的可靠性、安全性和稳定性。(3)由于网络环境下审计工作的取证难度加大,相关部门应该出台一些相关法律和政策,如对一些电子合同、电子货币、电子签名等电子证据的合法性的确认及使用进行立法,从政策或制度上要求与被审计单位有业务往来的其他单位提供相关原始数据,配合审计工作等,以保障审计人员的取证工作能有法可依,有据可依。

2. 财政部门、高校、会计事务所等相关单位应加强对复合型审计人才的培养。通过在高校设置相关专业和课程,在社会开设相关培训课程、开展相关认证考试等方法培养既懂信息技术又懂审计的复合型人才。尤其应该加强对已经从事审计工作的人员在信息技术方面的培训,使他们在拥有大量审计经验的基础上能充分利用信息技术更好地从事审计工作。

(二)从微观角度看,审计主体除了采取传统的降低审计风险的措施外,应充分考虑网络环境的特点,从以下几方面入手减少审计风险。

1. 审计人员进行风险评估时应加大评审范围。由于网络环境对审计风险带来了较大影响,审计人员在对风险进行评估时,应充分考虑网络环境、计算机软硬件系统、财务软件的使用、系统管理员的配置以及数据库的安全可靠性等情况。如果企业采用了记账或网上自助财务软件,审计人员还需要对记账公司的资质、网上财务软件的安全可靠性进行评估。

2. 使用可靠的审计软件。由于网络环境下,审计人员开始采用审计软件进行审计工作,某些取证、查证的过程甚至会依赖审计软件,因此有必要选择可靠性、安全性、稳定性较高的审计软件来辅助工作,减少因使用不恰当软件产生的审计风险。

3. 保证开展审计工作的网络环境是安全的。随着网络审计的开展,审计人员通过在线访问、在线查询等手段来获取证据,数据在网络传输过程中的安全显得十分重要。因此,审计人员工作的网络环境也应进行评审,要保证该网络环境的安全可靠性,尽量保证数据在传输过程中不被窃取、篡改或丢失,同时应采取有效的技术手段对获得的证据的完整性、准确性等进行验证。

4. 审计人员应该加强自身综合素质的提高,丰富自身的数据库知识、网络知识,熟练掌握审计软件和财务软件,在审计过程中能够以不变应万变,尽可能的利用现代信息技术充分获取审计证据并正确加以分析。在对网络环境、会计信息系统等进行评审时,要综合运用面谈法、流程图法、审阅法、测试法等多种审计方法,从而保证对审计风险评估的准确性和合理性。

【参考文献】

[1] 叶陈刚,吴永民.计算机系统审计:风险及其防范[J].会计之友,2008,(5).

[2] 肖明.试论计算机审计风险与防范[J].会计之友,2008,(1).

安全风险审计范文第5篇

【关键词】 国家经济安全； 金融审计； 改进对策

一、引言

金融安全是国家经济安全的基础。政府审计是国家治理的重要工具，维护国家安全是政府审计工作的最高目标，政府审计在金融审计中具有不可替代的作用。“要进一步增强忧患意识和责任意识，从更高层面、更广的范围，密切关注财政、金融、民生、国有资产、能源和资源环境等方面存在的薄弱环节和潜在风险，及时提出对策性建议，防范苗头性问题演变成趋势性问题、局部性问题演变为全局性问题，切实维护国家经济安全（刘家义，2008）。”

国家安全问题伴随着国家政权的建立而产生，在第三次科技革命和全球化经济浪潮的推动下，国家经济安全问题日益突出，并超越传统的军事安全和政治安全。国家经济安全是指在经济全球化发展条件下，一国在其经济发展过程中具备抵御国内外各种干扰、威胁、侵袭的能力，从而保证经济不受侵害，并使国民经济保持快速健康发展的一种态势（王元龙，2003）。金融在现代市场经济中处于核心地位，金融系统产生的问题很可能会迅速波及到实体经济，成为整个经济的问题；另一方面，金融全球化的发展也使得世界局部的金融问题迅速转化成为全球性的金融问题。因此金融领域的安全成为国家经济安全的首要关口。

金融审计是政府审计作用于金融领域的具体体现，金融审计的监督作用是国家宏观经济正常运行的基本保障，其对信贷资产质量的监控是防范和化解金融风险的有力保障，对违规违纪问题的防范与纠正也是金融审计维护金融秩序的基本需要。

二、影响国家经济安全的因素

影响我国国家经济安全的因素可以分为国际和国内两方面。国际因素方面，主要表现为自2008年金融危机以来，世界主要发达经济体陷入衰退，新兴经济体和发展中国家经济增速放缓；全球贸易增速下滑，贸易保护主义开始抬头，大宗商品价格高位波动，国际金融市场动荡不已；经济问题与社会问题的联动关系进一步加强，各国经济复苏和政策运用的复杂性加大；在未来一段时期内，欧洲债务危机能否有效控制并逐步缓解，发达国家就业率能否提升，主要发达经济体和新兴经济体面临政府选举……全球经济在复苏进程中的不稳定和不确定性上升。这些都对我国的金融运作和金融形势产生影响，处理不好就会影响到金融的安全。

国内方面相关的影响因素主要有：第一，宏观经济运行呈下行趋势，我国经济发展处于转型时期，发展中不平衡、不协调、不持续的问题依然比较突出。经过三十多年的高速增长后，中国经济进入了高速增长的后期，国际经济态势、国内房地产市场走势和基础设施投资状况都存在较大的不确定性，风险积累和引发的可能性增加。第二，相关的法律制度建设落后，法律的威慑力不足，监管存在真空地带，民间借贷、非法金融等问题干扰着正常的金融秩序。总理在2012年1月6日第四次全国金融工作会议上，对全国金融改革发展的八项部署中，也突出强调要加强金融基础建设，改善金融发展环境，加快制定和完善金融法律法规。第三，金融系统内部控制不健全。内部控制是国民经济安全运行的微观基础，当前商业银行存在着资金审批程序不健全，对资金使用监控不严，对贷款审查不严格，缺乏一套行之有效、较为完善的员工业绩考评和激励竞争机制，金融运作中的业务风险和道德风险问题突出。第四，地方政府债务问题突出。我国地方政府普遍存在着过度信贷举债问题，债务风险突出，如果处理不当，相关风险可能会转化为银行微观金融风险和宏观金融风险。

三、我国金融审计问题分析

我国的金融审计随着社会经济发展和金融体制改革的深化而不断变化。审计署金融审计司原司长范鹏认为，“审计署成立以来，金融审计工作从只查金融机构的财务开支，到以资产质量真实性为中心重点揭露金融机构违规经营问题，再到关注金融机构重大风险和对效益有重大影响的突出问题，共走过了三个阶段。”①审计署自2003年12月12日开始实行审计结果公告制度以来，披露的审计结果公告涉及金融领域的共有25个。各级审计机关对国有金融机构进行了深入、广泛的审计，审计了包括金融监管机构、四大国有商业银行、股份制银行、政策性银行、保险公司、资产管理公司及其他非银行金融机构等在内的单位。

从当前我国金融审计工作开展的总体情况来看，还存在诸多问题，与维护国家经济安全的要求还有差距。

首先，审计目标主要还是停留在真实性、合规性方面。从当前金融审计公告所披露的问题来看，查错防弊、促进金融机构遵守财经法纪仍是金融审计的主要目标。审计署也结合经济责任审计，组织对金融机构主要负责人实施经济责任审计，督促被审计单位整改，金融审计走的是合规性审计的路子。金融制度及体系的安全、金融机构的安全、金融财富的安全、金融运行安全以及金融发展的安全，是一个国家经济安全的重中之重。从金融审计结果公告中，我们可以看出，金融审计在打击金融犯罪、保护国有金融资产安全、维护金融市场秩序等方面发挥了极其重要的作用。但是，国家经济安全牵涉的范围较广，除了体现在打击金融犯罪方面，金融审计还应更多地将安全性作为其目标。在审计结果公告中，审计机关只是就查出的具体问题提出相应的建议，并督促被审计单位进行整改，对金融系统管理结构、经营效益等方面缺乏较为全面和客观的分析评价，更没有对一些重要问题从较为深层的原因（比如政策法规、体制制度、监督体系、社会环境等方面）进行探究，难以从金融系统的整体运行上揭露问题，无法起到标本兼治的作用。

其次，审计对象亟需扩展。长期以来，金融审计除了对包括中国人民银行、银监会、证监会、保监会等监管机构加强审计力度外，审计资源主要集中在国有银行上，而对证券、保险和其他非银行金融机构而言，审计力度却不足。近两年来虽然加强了对保险、证券和资产管理公司的审计，但审计盲区仍然存在。当前我国金融业改革的不断深化，对外开放程度也日益加深，混业经营将成为金融业发展的重要特征。如果金融审计仍然停留在原审计对象上，将难以实现维护国家经济安全的战略目标。

再次，审计内容亟需深化。在金融全球化浪潮的带动下，金融业务外向型特征日益明显，比如，外币业务比较突出。金融创新是金融业的主题，金融中间业务的拓展，包括代收代付、基金托管、金融衍生业务、资产管理、投资咨询等，使得银行调整了业务结构。中资银行开始走出国门，向海外扩张。面对种种变化，金融审计却依然集中在传统业务方面，比如存款业务、贷款业务、票据业务、结算、财务管理等，对金融创新业务、国际业务都很少涉及，更未曾涉及中资银行的海外业务。金融创新不断涌现，审计内容却没有相应深化，难以深入了解金融业务中的重大风险，政府金融审计控制金融风险功能的发挥受到了极大的限制。

最后，审计问责亟需加强。审计问责制既符合法律对于建立、完善责任追究制度的要求，也有利于被审计单位及时纠正和整改审计查出的问题，遏制屡查屡犯的问题。已披露的审计结果公告在整改说明中都提到了被审计单位对责任的追究情况，对问责制落实情况实施审计始于2008年。2008年，审计署第8号审计结果公告披露了农业银行经营管理存在薄弱环节，“问责制落实不力，对违规人员责任追究不到位、处理不及时”；在对光大银行的审计中发现了“责任追究不到位，以罚代刑的现象比较突出”等问题。另外，政府金融审计对各部委审计问责的力度不够，审计结果公告只是指出各部委存在的问题并提出相关建议，各部委也没有追究相应的责任人，对于历年存在的问题，是屡查屡犯。如对“一行三会”的审计中，中国人民银行每年都存在资金账外存放支出、资金被挤占和挪用等问题，银监会、证监会和保监会均不同程度地存在虚列支出、提高开支标准、扩大开支范围等问题。对于这类问题，要加大问责力度，从深层次上分析原因，从制度上解决问题。

四、改进我国金融审计的对策

基于对当前我国金融安全和金融审计存在的问题分析，从维护国家经济安全的战略高度来看，必须改进和强化我国的金融审计工作。

（一）审计法律法规制度层面

我国现行的法律为审计维护国家经济安全提供了基本依据。《宪法》第九十一条明文规定，“国务院设立审计机关，对国务院各部门、地方各级政府的财政收支，对国家的财政金融机构和企业事业组织的财务收支，进行审计监督。”修订后的《审计法》指出，其立法目的是“为了加强国家的审计监督，维护国家财政经济秩序，提高财政资金使用效益，促进廉政建设，保障国民经济和社会健康 发展。”

但是现行的法律将政府审计的范围限于“财政、财务收支”审计，并将真实性和合法性作为财政财务收支审计的目标。因此，无论是从审计目标还是审计范围上讲，都显得较窄。《审计法》中有关“维护国家财政经济秩序”的描述，也不能适应全球化的发展和防范经济风险的要求。国家财政经济秩序只是国家经济安全的一个方面，无法代表国家经济安全。金融审计方面，只监督金融机构的资产、负债和损益，不足以评估金融领域的安全问题，应该是对整个国家的金融市场体系、金融运行体系进行评估，不仅包括金融机构的资产质量，还应当包括对国际投机资本的风险、金融机构的信用风险、金融创新产品特别是金融衍生产品的交易风险、国际金融危机对我国金融业造成的冲击、汇率波动造成的风险等方面。

（二）审计理念——审计“免疫系统”

“审计机关作为一个‘免疫系统’，能够最早地感受到病害侵蚀的风险，更早地揭示病害侵蚀带来的危害，更快地运用法定权限去抵御、查处这些病害，也能及时建议政府或相应的权力机关，运用各种政治资源、经济资源、社会资源去消灭这些病害，从而健全制度，保护国家安全”（刘家义，2008）。“免疫系统论”是新形势下创新审计理念的典范，要求审计在更大范围、更高层次上发挥作用，改变单纯财务审计的传统理念，转变以查错纠弊为主要目标的审计理念，转变只注重微观不注重宏观的思维方式，树立全面、系统、整体的审计理念。

政府审计在维护国家经济安全运行的过程中应充分发挥预防、揭示和抵御功能。从维护国家经济安全的大局考虑，在金融审计中国家审计机关要基于标本兼治的理念，在查处问题的同时，着眼于防范问题；在提出针对具体问题的整改和处理意见的同时，更要着重从问题产生的根源、从体制机制层面提出改进和完善的建议，防止问题的重复发生。

（三）审计手段——预防与跟踪审计并重

内部控制是现代企业重要的管理制度之一，内部控制制度的完善与否，关系到企业能否在变化莫测、充满风险的经济环境中生存和发展。内控机制的失灵或缺位，将会直接导致风险的失察、失控和蔓延。国际货币基金组织的研究证明，许多银行发生危机或困难的国家都存在银行内部控制制度的缺陷。因此，金融机构应加强内部控制建设，督促内部控制制度的落实与执行。从金融审计结果公告披露的问题来看，金融机构应加强内部控制制度的刚性约束，强化内部控制文化意识，健全员工激励约束机制，完善内部控制制度。

同时，在金融审计中将审计关口前移，不是单纯的事后监督，而是事前介入、事中督查，注重“防患于未然”，实施跟踪审计。对于审计中发现的问题，可以凭借跟踪优势，提前给予建议，防范问题的发生。比如对资金的跟踪审计，是以实现资金的安全有效、防范资金运行的风险为目标。国家审计机关对资金进行跟踪审计，就是沿着资金的流向、轨迹和运行情况，对资金的收、支、管、效等环节进行有效地监督，及时跟进，防范风险，最大限度地降低损失浪费的程度，提高资金使用的效率、效果。对重大金融事项实施跟踪审计，是维护金融安全的必要手段。

（四）审计重点——风险控制

由于金融本身的高风险性和金融危机的多米诺骨牌效应，金融体系安全、高效、稳健运行对经济全局的稳定和发展至关重要。因此，金融审计的重点是对金融业风险的防范与控制。金融机构内部风险控制系统的建设，关键在于建立和完善企业风险管理框架（ERM），在战略决策以及在整个企业中贯穿实施的过程，识别影响企业的潜在事件，将风险控制在企业风险偏好的范围中，并为企业目标的实现提供合理的保证。

金融审计工作要贯彻全面审计、突出重点的原则，实施风险导向审计，重点关注重大和异常的金融业务，避免审计人员陷入大量繁杂的金融业务而失去了审计目标。结合当前影响我国国家经济安全的因素，审计机关要评估金融机构的内、外部环境，对金融机构的生存能力和运行环境状况进行分析，了解其战略优势和威胁其经营目标的风险，运用分析性程序从宏观层面识别重大金融风险，准确发现金融机构在防范风险方面存在的缺陷，并提出切实可行的改进建议。在实质性测试的过程中，将审计资源向重点风险领域倾斜，对于高风险层次的风险因素进行全面详查，最大限度地强化金融机构的风险治理功能，及时发现风险、防范风险，发挥风险预警作用，促进金融系统安全运行。同时，我国的金融风险具有地域性，在制定审计计划时，要搞好审计调研，关注金融高风险区和案件频发区；在实施审计计划时，要依据各项金融业务的风险大小来确定审计的内容和重点。

【参考文献】

［1］ 刘家义.在全国审计工作会议上的讲话［J］.审计研究，2009（1）：3-11.

［2］ 汤小莉，逯颖.浅析政府审计维护国家经济安全的理论基础与现实基础［C］.第五届（2010）中国管理学年会——会计与财务分会场论文集，2010.

［3］ 张悦.我国政府金融审计的发展现状与对策研究［D］.厦门：厦门大学硕士学位论文，2007.

［4］ 刘家义.以科学发展观为指导 推动审计工作全面发展［J］.审计研究，2008（3）：3-9.

［5］ 陈艳娇，易仁萍.金融审计免疫系统功能实现的路径研究——基于审计结果公告的实证分析［J］.审计研究，2009（3）：14-21.

［6］ 宋华.金融审计功能与实现机制研究［D］.成都：西南财经大学博士学位论文，2010.

［7］ 蔡春，李江涛，刘更新.政府审计维护国家经济安全的基本依据、作用机理及路径选择［J］.审计研究，2009（4）：7-11.

安全风险审计范文第6篇

一、证券公司开展信息系统内部审计面临的问题和难点

（一）中小券商IT审计环境有待改善。

《证券期货经营机构信息技术治理工作指引》要求“证券公司应建立内部IT 审计制度，至少每两年进行一次IT 审计”，但一些中小券商的IT内部审计业务开展还不够深入。首先表现为公司高层对IT内部审计认识不足、信心不足：一是对内部审计的认识依然停留在传统的财务审计领域；二是认为内部审计难以胜任，信息系统专业性强而内部审计根本不具备专业能力。其次，作为被审部门的信息技术部门因其专业性强的特点，从未接受过内部审计，因此，工作上存在抵触情绪。再次，内审部门的人员也有畏难情绪，一旦IT审计不到位，必将加大审计风险。上述情况导致其内部审计很难在该领域有效开展。

（二）信息系统审计资源限制。

IT审计人员与审计技术工具是影响信息系统审计的两个重要资源因素。内部审计准则第28号要求，IT审计人员应当通晓IT技术并掌握内控、管理和审计技能。而实际工作中，在企业具有多年IT从业经验又具备审计技能的复合型人才较为缺乏。2002年中国大陆引入注册信息系统审计师（CISA）考试培训以来，截止目前获得CISA资格的人也仅1000余人，专业人才资源的缺乏制约了券商有效开展专业的信息技术审计。

审计技术工具是影响IT审计系统质量与效果的另一个关键因素。鉴于IT审计技术性和专业性极强的特点，内部审计部门配备访问控制分析软件、系统配置分析软件、测试数据生成器、固件监测器等技术工具往往又受制于企业的财务预算限制和公司对信息技术的安排。

（三）信息系统审计标准缺乏。

COSO-ERM框架提出企业的风险管理应建立在一系列指标或标杆基础上实施事项识别、风险评估与应对。证监会2011年12月以行业标准（JR/T 0060-2010）形式颁发的《证券期货业信息系统安全等级保护基本要求》也对证券公司设置了五个等级的安全保护能力标准，券商应根据业务发展和风险控制能力制定适合本企业的风险控制等级标准。但实际工作中，还存在券商并未建立IT控制基准或基准建立没有涵盖所有系统的现象，这就造成了IT审计中缺乏标准和依据。

（四）信息系统风险的识别与评估的体系尚未建立。

在证券公司日常业务中出现的服务器宕机、通信中断、网络病毒等方方面面的风险事件，会给证券公司带来巨大损失。很多情况下，证券公司对IT风险的管理仍然停留在风险发生之后的分析与补救，没有形成一套对潜在风险开展系统化的识别与评估的方法，定期的风险识别评估机制的缺乏、审计环境基础薄弱成为开展风险导向型信息系统审计所面临的一个难点。

二、证券公司开展信息系统审计的对策

中国内部审计协会2009年1月1日正式施行的《内部审计具体准则第28号——信息系统审计》也标志着国内在内部审计领域开展的IT审计走向成熟，准则的颁布对证券公司信息系统内部审计工作具有重要的指导意义。针对证券公司信息系统审计所面临的问题和难点，本文从以下方面探讨其解决方案。

（一） 促进内部审计环境的不断改善。

内部审计效能发挥的关键取决于公司高层对内部审计的态度，为营造良好的内部审计环境应从以下三个方面入手：

1.加强内部审计准则和风险导向审计理念的宣传。证券公司高层对现代内部审计在企业全面风险管理（包括IT治理）中作用正确认识，才能使内部审计能够从公司高层获得信心支持、立项支持与财务支持，IT审计才能有效地开展。

2.内部审计应该树立主动服务意识与沟通意识。开展IT审计不只是对IT系统的检查和问题的揭示，更应该是协助公司高层，帮助信息技术部门把控IT风险，防范证券业务风险。因此沟通技巧也是有效开展IT审计的重要影响因素。内部审计部门在沟通方面，应积极主动与公司高层加强沟通以获取支持，与IT管理部门平等、协作取得IT部门的理解、配合，目的在于维护IT系统的安全运行。

3.内部审计人员不断加强信息系统学习。IT审计人员应该积极掌握和熟悉内部审计业务，具备必要的信息技术及信息系统审计的专业知识，克服畏难情绪，知难而进，树立“有为才有位”的观念。

（二） 建立并实施内部审计发展规划，化解IT资源稀缺的矛盾。

证券公司应该结合行业的发展、业务的开展和管理的需要，重新定位内部审计，建立内部审计发展规划，将审计资源稀缺问题纳入到证券公司的整体发展规划之中。

1.内部审计部门应该结合业务的发展，配备适当的IT审计人员。通过内部培养、外部引进相结合的方式发展IT审计人员，鼓励审计人员取得注册信息系统审计师职业资格，通过人员选聘、培训、技术设施配备等措施化解IT审计资源不足的矛盾。在审计部门暂时不具备IT审计能力的情况下，内部审计部门可以聘用外部专家或内审业务外包的形式开展IT审计，通过审计成果，提高内部审计的履职效能。

2.证券公司应结合业务发展和审计的需要给予必要的支持，在系统权限、专业审计工具引入、财务预算分配等方面放宽限制，确保IT审计质量和审计效果。

（三） 推动证券公司建立明确的IT控制标准。

建立并应用明确的IT控制标准作为审计依据可以提高审计的质量与效果。鉴于证券监管机构已推出《证券期货业信息系统安全等级保护基本要求（试行）》等行业规范，在物理安全、网络安全、主机系统安全、应用安全和数据安全等技术上的五个层面以及安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面已做了明确的要求，IT审计人员应在审计过程中推动公司建立适合公司自身的IT控制标准。

在企业尚未建立全面、明确的IT控制标准情况下，审计人员应当根据实际情况，结合企业战略、目标、风险偏好及成本效益等因素，采用国际通用标准与成熟实践（如COSO、COBIT、ISO27001等）作为审计的依据，同时推动IT治理层对这些标准的认可和采用。

（四） 积极探索IT审计方式，促进IT治理不断完善。

内部审计部门应结合本公司的实际，在IT审计开展初期，审计部门应加强内部审计准则和证券行业的IT监管要求的宣传，使公司从董事会、经营层到业务部充分了解IT控制规范，认识IT治理、防范IT风险的重要性。审计部门通过选派审计人员深入IT业务部门蹲点学习，开展系统的IT调研和IT自查活动等，帮助IT部门发现问题，共同探讨解决方案，提出富有成效的建议。通过转变IT审计方式与成果运用，引领、促进IT控制标准的建立，IT自我评价标准机制、IT监测机制的改进，促进IT治理的不断完善，从而为IT内部审计的有效开展创造良好的环境条件，以达到相互促进，共同发展的目的。

（五） 建立完善的信息系统审计策略。

1.建立系统化的审计实施流程。实施信息系统审计的首要任务是找出证券公司所面临的各类信息系统风险，对所有的信息系统风险进行系统地分类与识别。内部审计部门对风险的识别和评估有别于IT部门的定期风险自查式识别、评估，它是建立在IT风险评估基础上的再评估，审计中不仅关注对识别风险的控制恰当与否，还要从第三方角度发现未识别和未控制的风险，评价风险识别机制，这也正是IT审计的核心所在。

2.建立系统化的风险识别标准。我们在进行风险识别过程中，采用中国内审协会《内部审计具体准则第28号——信息系统审计》，它对信息技术风险的分类进行了规定，将各类IT风险归类为组织层面的IT风险、一般性控制层面的IT风险及业务流程层面的IT风险3个层面。

其中，组织层面风险是指IT治理、控制环境与组织框架等方面的风险；一般性控制层面的风险主要指IT基础设施与运行风险；业务流程层面风险指应用系统在业务数据输入、处理与输出过程中所产生的风险。各层面风险既有独立特征，又相互关联。

我们在对IT风险识别过程中，可以借鉴国际通用的IT风险控制的分类方法，如COSO框架的5项要素（内部环境、风险评估、控制活动、信息与沟通、监控）或是COBIT框架的4个领域（计划与组织、获取与实施、提供与支持、监控与评价）。尤其是通过将现行内部审计具体准则与COBIT相结合的方式，可以更加系统与清晰地对IT风险进行有效识别。

3.设计并运用适当的风险评估模型。风险评估过程是对已经识别的证券公司IT风险进行风险度、重要度的测量与排序。风险评估的技术与方法有很多种类，不同的风险评估方法也有不同的优势与缺陷。我们根据证券公司IT风险特点设计了“综合矩阵”评估方法，即主要针对信息系统的技术复杂性、控制水平以及可能造成的财务损害等因素在规定的范围（如根据风险高低取值10-0分）内以定性与定量相结合方式进行风险评分，并对累计分值排序，决定审计的优先级。

4.采用实用恰当的IT审计方法。在信息系统审计中，为了达到审计目的，必须收集大量存储于计算机的数据，并借助于计算机对这些数据进行分析，以得出结论。这个过程通常要运用到一些计算机辅助审计技术方法。我们以连续在线审计为例，常用的审计方法包括嵌入式审计模型（SCARF/EAM）、整体测试法（ITF）、快照、持续性与间歇性模拟（CIS）、审计钩等。目前，多数ERP软件包、操作系统和网络管理软件都提供了连续监控与连续审计工具的采样器，针对这些环境，如果适当地配置、应用相关规则、设置参数与公式，投入审计后可以获得预期的例外交易清单。我们以SCARF/EAM实现过程为例。SCARF/EAM方法是信息系统审计师在认为重要的控制点上嵌入审计模块对系统中的事务进行连续的监控，将收集的信息写入一个特殊的审计文件——SCARF主文件，可以较深入检测系统的安全性能，提高审计发现能力。

安全风险审计范文第7篇

1.电子商务对审计环境产生的重要影响

人们对审计行业的看法和态度以及通过审计结论所作出的投资决策等就是电子商务的社会环境。随着越来越多的企业不断使用电子商务进行交易，企业的经营风险与电子商务活动的有着非常紧密的联系。投资者对被投资企业的电子商务业务的关注度提升，由于这些投资者自身对这些电子商务的了解程度不够，因此特别关注注册会计师提供的企业关于电子商务业务的审计意见。电子商务对审计对象、审计方法和审计技术产生的影响。此外，电子商务对法律环境和网络环境也会产生影响，因为审计人员进行审计的过程是受到法律的保护和限制的，所有的审计程序和审计范围都要在法律规定的范围内开展。电子商务活动主要是通过互联网技术进行交易，因此对网络环境会产生一定的影响，可能会出现网络病毒或者网络黑客，可见注册会计师在对被审计单位电子商务的网络安全控制进行审计也是很必要的。

2.电子商务对审计风险产生的影响

审计风险主要包括重大错报风险和检查风险，在电子商务环境下主要是电子商务重大错报风险和检查风险，具体体现在固有风险、控制风险和检查风险这三个方面。首先，在电子商务环境下，因为交易活动都是在互联网上发生的，审计的线索会减少，也就是注册会计师寻找审计证据的突破点就减少，从而加大了审计的风险。加上电子商务环境下电子支付手段比较多样化，电子货币的使用给审计可以说是新的挑战，这些因素就加大了审计的固有风险；其次，电子商务对控制风险也会产生影响，控制风险主要是指对某类交易、账户余额或者披露的某一认定会发生错报的现象，这种错报可能是由于内部控制没有及时防止或者没有及时纠正错误而导致可能发生重大错报，主要风险包括对网络安全性风险、交易的完备性风险和系统流程的整合风险这三个方面；最后是对检查风险产生的重大影响，在电子商务环境下审计的线索、内部控制内容等都发生很大变化，因此需要更高专业胜任能力的会计师，往往对电子商务了解很多的注册会计师比较缺乏，这样在进行检查时就会收到相关限制，使检查的风险较之前有所增加，不利于企业的长远发展。

3.电子商务对审计对象、审计方法和审计技术产生的影响

审计对象也叫审计客体，是指审计行为直接或间接涉及的客观实务或者是经济行为。电子商务广泛使用审计对象首先是对电子商务环境下的电子单据进行审计，在进行审计时注册会计师要主要检查被审计单位业务流程中主要环境的结算是否准确，相关凭证是否真实可靠，进行的记录是否与凭证上的金额一致等；其次是对网络的安全性进行审计，注册会计师要对电子商务能够正常运行是否有安全隐患进行审计，具体来说要看网络所用的加密技术、所使用的杀毒软件、进行电子商务平台能否正常运行的控制系统和控制环境的构建进行审计，这样才能更好进行电子商务交易；最后是对商务环境下的电子支付进行严格的审计，注册会计师在进行审计时，应当确定被审计单位电子支付的类型和具体审计程序，保证电子支付的金额和凭证上记载的金额的真实、完整。可见，电子商务的发展对审计的客体、审计方法和审计技术产生重大影响。

二、电子商务环境下审计风险产生的原因和防范措施

1.电子商务环境下审计风险产生的原因

电子商务环境下审计风险产生的原因如下：首先，我国的电子商务运营环境存在很多弊端和不足，因为在电子商务处于快速发展时期电子商务的一些辅助业务没有跟上，给审计带来了很大风险，比如我国的物流系统发展比较慢不能满足电子商务高速发展的要求，给电子商务活动能否正常进行带来极大不便，从而制约着电子商务的发展，还有就是电子商务的竞争越来越激烈，这些竞争甚至是全球性的，而且竞争方式各种各样，我们国家与欧美等发达国家在电子商务方面存在一定的差距；其次，我国有关电子商务的相关法律法规和审计准则不够完善，一方面我国有关电子商务的基础性法律很少，2004年出台的《中华人民共和国电子签名法》可以说是对电子商务发展环境的进一步完善，但是整个电子商务的法律体系并没有建立，这样在进行电子商务交易时很多细节就没有统一的标准从而导致各部门的法规不统一，给企业的管理进行不便，另一方面我国现行的审计准则对注册会计师进行审计时的具体程序和标准没有明确规定，导致注册会计师的审计方法无法满足商务环境下的要求，带来审计风险；再次，我国的网络安全存在隐患和社会信用体系缺失，电子商务的安全问题主要有信息的造价、信息篡改和信息的盗取．信息造假主要通过病毒来对网络系统进行攻击，从而导致用户的重要信息进行泄露，然后可能会使用户收到欺骗而造成利益损失，信息篡改是指通过电脑的病毒来修改用户的信息，这样就使用户的信息泄露和失真而产生风险，信息窃取是指通过攻击用户和卖家的网站来得到对他们有利的信息。如果电子商务的这些风险不能降低，那么可能会使商务交易的相关记录和信息失真，给用户或者被审计单位都会带来很大的损失。此外，审计人员的专业胜任能力、对电子商务审计人才的确实也是导致电子商务环境审计风险产生的重要因素。

2.电子商务环境下降低审计风险的措施

对电子商务环境下进行风险防范措施主要可以从这几个方面入手：首先，对电子商务审计环境风险进行防范，要不断完善我国电子商务运营环境，不断完善电子商务的法律法规和审计准则，使注册会计师在以后的审计工作中能够有标准统一的参考，减少各种不确定性从而降低审计风险，还要完善社会信用体系，维护网络的安全，政府相关部门可以建立企业和个人信用数据库来为社会提供信用查询，对企业可以进行间接监督，对网络安全进行维护不仅涉及到企业和消费者的安全，更能使商务交易的信息受到保护，从而保证会计信息的安全可靠和完整，能够降低审计风险；其次，对电子商务审计对象风险的防范，可以鼓励企业建立完善的电子商务内部控制制度来加强对企业的控制，要提高企业电子商务人员的专业胜任能力使其能够满足电子商务的要求，还要对电子商务出现的一些新的内容进行审计；最后要提高商务审计人员的整体素质尤其是职业道德素质，只有加强对电子商务审计人员的培养，才能在出现各种审计问题的时候及时解决，并对出现的问题找到原因和解决措施，为以后的工作减少风险，也可以开发实用高效的审计软件，审计软件的好坏对审计质量产生直接影响，好的审计软件会相应的降低审计风险，给审计人员进行审计工作带来便利。从这三个方面入手能够不断提高审计的质量，降低审计风险，保证电子商务的健康长远发展。

安全风险审计范文第8篇

关键词：信息系统;内部控制;审计

中图分类号：F23文献标识码：A文章编号：1672-3198（2008）08-0236-02

1 信息化环境对内部控制及审计的影响

（1）手工会计系统中严格的控制制度在信息化环境下逐渐减弱或消失。凭证要客观反映经济业务的实质，如发现错弊，凭证会成为追查责任的依据。在信息化环境下，终端操作者把业务直接输入计算机而没有留下任何凭证。

（2）手工会计系统所具有的分工功能逐渐被归并。在手工会计系统中，不相容岗位职责分离，如记录总帐和记录明细帐的职责要分工。在信息系统中，这些分工逐渐被并入电子数据处理系统中。

（3）信息系统可以自动授权、批准。在手工会计系统中，一项经济业务都要经过相关的人员签名（或盖章），但在先进的企业资源计划（ERP）系统，直接由电子数据处理功能取得授权、批准。

（4）信息化环境下数据容易丢失、被盗窃和被篡改。在手工会计系统中，由于各项经济业务以书面记录，如果控制适当，不易丢失或被复制，即使舞弊人员篡改帐表单证也会留下痕迹。但在信息系统中，各项经济业务存储于磁介质，是肉眼不可见的，而且这些磁介质在受热、受潮或强电磁场下都会损坏。因此，存储于磁介质的信息有较大的灭失风险。

（5）磁介质的信息缺乏证明力。在手工会计系统中，信息被记录于凭证、账簿，以纸作为载体，如果改动会留下痕迹。在信息系统中，主要以磁盘、磁带等作为信息载体，如前所述，对磁介质的数据和程序修改可不留痕迹，被复制后的数据很难区分正副本，如果仅依靠磁介质载体，可能造成责任不清、真伪难辨，使审计证据缺乏法律效力。

（6）数据与责任高度集中。在手工会计系统中，许多资料被分散保存，未经授权人员很难浏览所有数据。但在信息环境下，大部分经营数据集中于电子数据处理部门，如果缺乏适当的控制，未经授权人员可能通过外部指令、甚至远程入侵系统，机密数据很可能被非法复制或篡改。

数据高度集中的主要风险是责任高度集中。在信息环境下，原始数据一经输入计算机，就由计算机按程序指令自动处理，主要责任都高度集中于电子数据处理系统。

（7）差错反复发生。在手工会计系统中，数据处理由多个人完成，一个部门或人员的差错大部分可以在下一个环节被发现并改正。在信息系统中，在某个环节发生错误很可能在短时间内使得相应的文件、账簿乃至整个系统的信息失真。如果是应用程序产生错误，计算机会反复产生错误结果。

（8）信息系统没有留下充分的审计线索。在信息化环境下，各类数据文件都存储在磁介质中，设计者如果没有考虑审计的需要，在系统中设置跟踪程序的话，很难留下有价值的审计线索，加大审计难度。

2 系统内部控制审计的重点

2.1 测评信息系统内部控制的风险

内部控制与企业的风险策略紧密联系，促成公司治理与内部控制之间良性的互动关系。通过内部审计视角，对经营中不断变化的风险因素进行观察，对管理的缺陷或失败进行快速报告，促使董事会和高级管理层做出快速反应，及时防范和纠正不正当行为，使内部审计有机地融入公司治理和风险管理过程中，发挥内部审计在管理中的作用，促进企业提高管理风险能力。

信息系统的风险管理主要指信息系统内部控制能够识别影响组织目标实现的风险并建立风险管理预警机制。审计任务是评价风险管理机制的健全性和有效性，发现可能存在的漏洞，分析这些漏洞风险，提出审计建议。重点包括：可能引发风险的因素，风险发生的概率和后果，管理风险的能力，管理风险的具体方法及效果。

在审计过程中需要使用风险分析工具。风险分析为评价内部控制提供一个量化的分析工具，计算公式是：

一定期间的风险损失额=平均风险损失×风险发生的概率

风险评估不仅重视与内部控制系统直接相关的因素，还重视环境因素，审计人员不仅依据实质性测试结果，还应该观察其审计环境形成审计结论。因此审计师在执行测试时，除了财务数据分析，还要对被审计单位的经营与战略、长期发展目标、服务与市场、经营渠道、主要客户、使用材料以及竞争环境等进行研究。

2.2 测评信息系统内部控制的健全有效性

在风险评估的基础上，从一般控制和应用控制两方面评价信息系统有关控制的健全和有效性。一般控制是对系统构成要素及数据处理环境的控制，包括组织控制、硬件和软件控制、系统安全控制、系统开发与维护控制等，是信息系统安全可靠运行和处理的前提。应用控制对具体功能模块及业务数据处理过程各环节的控制，包括输入控制、处理控制和输出控制。

评价一般控制，主要关注被审计单位的控制环境，包括经济性质和经营类型、经营理念、组织文化、组织结构、职责分工及员工胜任能力、人力资源政策及其执行等要素。审计重点关注：信息系统的内容及管理权限的集中程度、管理行为守则的健全性和有效性、管理层对逾越既定控制程序的态度、组织文化、员工操作熟练程度、系统重要岗位人员的权责及其胜任能力等等。

评价应用控制，主要评价既有控制的适当性、合法性、有效性，控制活动主要包括所有经营活动应有适当的授权、不相容职务应当分离、有效控制凭证和记录的真实性、资产和记录的接近限制、独立业务审核等。内部审计审点为：控制活动建立的适当性、对风险的识别和处理、对管理目标实现的作用、执行的有效性。

2.3 测评信息系统的安全可靠性

（1）数据通讯的控制测试。数据通讯控制的总目标是数据通道的安全与完整，是防止和纠正设备的失灵、数据丢失或失真、来自Internet及内部的非法存取。为了达到上述目标，审计人员可执行的测试有：抽取一组数据进行传输，传输结果与原文件进行比较，检查数据失真的可能性；检查有关的数据通讯记录，证实数据接收是否正确有序；用非授权的请求测试通讯回叫技术的运行情况；检查密钥管理和口令控制程序，确认口令文件是否加密、密钥是否安全；发送测试信息测试加密过程，检查信息通道上不同点上的信息；检查防火墙是否控制有效。

（2）硬件系统的控制测试。审计目标是评价硬件控制的适当性与有效性。测试的重点包括：实体安全、火灾报警防护系统、使用记录、后备系统、操作规程、容灾计划等。审计人员应检查实物安全控制措施是否适当、是否适当记录与定期分析故障，容灾计划是否适当，硬件接触是否授权，硬件资料归档是否完整等。

（3）软件系统的控制测试。软件系统包括系统软件和应用软件，最主要的是操作系统、数据库系统和会计应用软件。硬件测试目标是防止硬件失灵、黑客、病毒、超级用户的破坏等，保障系统正常运行。软件测试主要有检查软件产品是否正版，防治病毒措施是否适当，系统接触控制是否严格，软件和数据的备份是否恰当，系统操作权限划分是否合适等等。

（4）数据资源的控制测试。数据控制目标包括两方面：一是数据备份，为恢复被丢失、损坏或扰的数据，系统应有足够备份；二是未经授权的个人不能存取数据库。审计测试应检查系统的备份和安全措施是否得当有效。根据系统的授权表，检查存取控制的有效性。

（5）系统安全产品的测试。随着网络系统安全的日益重要，各种网络安全的软硬件产品应运而生，如VPN、防火墙、身份认证产品、CA产品等等。审计人员应对这些产品是否有效进行测试与评价。例如，检查安全产品是否经过认证机构或公安部部门的认证，产品的销售商是否具有销售许可证，产品的安全保护功能是否发挥作用等。

3 信息系统内部控制审计的难点

难点之一：如何确定评价标准。国际内部审计师协会的《内部审计实务标准》指出，评价控制需要遵循适当的标准。审计师首先应查明管理层制定的、用于衡量绩效的标准是否适当。如果认为已有标准不合适，内部审计师应向管理层报告，并与管理层合作制订适当的评价标准或者可以基于组织利益最大化的原则选择适当的评价标准。

难点之二：如何寻找审计线索。手工系统的审计线索主要是纸质凭证、账簿和报表等，肉眼可见。但在信息化环境下，由于引入计算工具、磁存储和网络技术，导致审计线索逐渐减少甚至消失，机内的日志文件又可删除，保存在磁盘的会计数据加以修改或删除都可以不留痕迹，这些都削弱了审计线索，减少审计过程中发现错误的机会。

为适应信息化的要求，审计必须改进和创新审计程序。首先，改进审计信息的收集方法,如在设计信息系统时，应嵌入审计信息收集程序和审计模块，审计人员可以通过专业审计软件，从信息系统中获取审计任务所要求的信息。其次，改进和创新审计程序。应用并行模拟审计技术和分析性复核程序查找审计线索和证据。

难点之三：如何降低审计风险。审计风险由固有风险、控制风险和检查风险组成。在信息环境下，首先是由于机器故障、操作失误、程序处理和网络传输故障、计算机病毒和黑客攻击等存在的可能性，使得内部审计固有风险的变数增加。其次是控制风险复杂化。再次，检查风险复杂化。

降低审计风险必须从以下三个方面着手：

（1）降低固有风险。首先，加强信息环境下的网络安全，确保信息的真实完整。通过配置可靠的硬件设备，采用先进的加密算法，建立安全性高的局域网，确保信息安全，降低会计和业务数据被盗用、篡改和丢失的可能性。其次，完善系统设计，留下清晰的审计线索。

（2）降低控制风险。首先，完善内部控制，通过操作员职责分离、授权，要求用户定期修改自己的密码，通过软件设计分若干功能模块设置不同责任中心（岗位）。其次，依靠先进的网络和软硬件平台减少数据异常。再次，加强企业与银行之间的合作，保障电子支付安全。

（3）降低检查风险。面对新的审计环境，审计人员应掌握相关信息技术，学会利用计算机和优良的审计软件，采用更有效审计程序和审计方法，降低检查风险。

难点之四：如何评价系统内部控制。审计评价是审计对事实的客观反映，主要从控制环境、风险管理、控制活动、信息与沟通、监督等方面着手，评价被审单位内控的有效性，需遵循以下原则：

（1）不拘泥格式，承前启后。评价结果要与前期的审计评价和外部审计评价相结合，不能出现相互抵触和矛盾的结论。

（2）要避轻就重，客观反映。内控制度没有标准，在评价内控制度时，实是事求，多提有建设性建议，披露审计发现的问题要重点突出、层次分明、逻辑严密、理据充分。

安全风险审计范文第9篇

关键词：金融业 科技风险 审计 必要性

一、前言

金融业是国家经济发展的重要支持力量，金融业的管理质量不但关系到金融行业自身的健康发展，还关系到金融业能否对实体经济实现有力支撑。在这一背景下，金融业如何提高管理效益，有效降低经营风险，成为了重要工作内容。随着信息系统在金融业中的广泛应用，随之而来的科技风险也在逐渐累积。为了保证金融业能够有效化解科技风险，积极开展科技风险审计是提高金融业发展质量的重要手段。为此，我们应明确金融业科技风险审计的意义和必要性，在内部审计工作中积极推动科技风险审计全面开展。

二、金融业科技风险审计的背景

在金融业发展中，为了有效降低信息化系统应用带来的科技风险，国家银监会根据金融业的发展现状，制定了《商业银行信息科技风险管理管理指引》这一具体办法，旨在规范金融业科技风险审计工作，为金融业科技风险审计提出具体要求和指导，保证金融业科技风险审计工作的整体质量满足实际需要。

之所以制定这一管理办法，主要是基于金融业的发展现状而提出的。随着计算机技术的应用，金融业的运行方式已经从传统的手工记账向信息化系统应用转变。虽然信息化系统相对传统的手工记账等会计管理方式具有明显的优点，但是由于其系统相对复杂，管理节点多，系统本身的风险和管理风险同时存在，如不对这一科技风险引起足够的重视，任其自由发展的话，不但会危害金融管理系统的有效性，同时也会影响金融业的健康发展。为此，在金融业中积极开展科技风险审计工作，成为了保证金融业健康稳定发展的必要措施，不但使金融业的信息系统能够高效运行，同时也降低了科技风险，有效满足了金融业发展需要。

三、金融业科技风险审计的意义

随着商业银行信息化建设工作不断推进，计算机网络规模和应用范围逐步扩大，信息科技的作用已经从业务支持逐步走向与业务的融合。同时，信息化在给银行业带来发展和效益的同时，其所形成的风险与传统金融操作风险的内涵发生了根本性变化。信息科技风险评价审计是防范银行业信息科技风险的有效措施。通过评价审计，可以发现信息系统中潜在的安全隐患，了解并认识当前所面临的信息科技风险；可以了解现有安全措施与《管理指引》要求的差距；可以使管理层的信息安全建设决策有据可依。对审计发现的安全问题进行整改，并实施相应安全措施，达到提高信息系统安全性的目的。同时，银行机构进行内部审计或参与外部审计，可以提高内部人员对信息安全的认识，提高员工的安全技术水平。由此可见，在金融业积极开展科技风险审计是符合金融业发展需求，对金融业的发展具有重要的促进作用，对降低金融业的科技风险也有较大的影响。为此，在金融业发展中，必须坚持科技风险审计工作，提高金融业发展质量。

四、金融业科技风险审计的必要性

从金融业的发展来看，科技风险审计工作是保障金融业系统有效运行的重要手段，是金融业工作的重要内容之一。目前来看，在金融业中开展科技风险审计是十分必要的，其必要性主要表现在以下几个方面：

（一）科技风险审计是提高金融业整体管理效益的必要手段

对于金融业而言，积极开展科技风险审计，可以实现对经营管理过程的有效监督，能够对金融业的整个管理体系形成强有力的控制，并为金融业整体效益的提高提供有力支持。

（二）科技风险审计是降低金融业经营管理风险的必要方法

由于金融业信息化系统在运行中存在一定的风险和漏洞，只有积极开展科技风险审计工作，才能保证金融业经营管理风险得到进一步降低，从而达到保障金融业有序运行的目的。

（三）科技风险审计是保证金融业持续健康发展的必要措施

基于科技风险审计的重要作用，在金融业发展中积极开展科技风险审计，对金融业的持续健康发展提供了有力的支持，保证了金融业发展的整体质量。所以，我们应将科技风险审计作为保证金融业持续健康发展的重要措施。

五、结束语

通过本文的分析可知，在金融业发展过程中，科技风险审计是保证金融业持续健康发展的重要手段和措施。为此，我们应认识到在金融业中开展科技风险审计的重要作用和必要性，应在金融业工作中将科技风险审计工作作为基础工作来开展，保证科技风险审计工作取得实效，满足金融业发展需要，为金融业发展提供有力支撑。

参考文献：

[1]王小红，宋玉，晁军宁.CPA审计意见视角的财务动机关注域研究――来自我国股票市场的经验证据[N].西安工程大学学报；2010年03期

[2]侯景波.股份制商业银行风险治理机制研究[D].吉林大学；2011年

[3]周代聪.会计师事务所内部治理与审计质量关系研究[D].安徽工业大学；2011年

[4]王胤宇.法律责任制度安排对审计质量影响的实证研究[D].西南财经大学；2010年

[5]张亚军.CPA审计质量主要影响因素研究[J].现代商贸工业；2011年13期

安全风险审计范文第10篇

一、网络审计的风险

网络审计是一种全新的审计模式，因此它的产生也必将带来新的审计风险。而新的审计风险也将与传统审计风险有着明显的差异。其差异主要有以下两个方面：硬软件风险和人为风险。

网络审计对计算机硬软件的依赖性非常大，所以由于硬软件问题而导致的风险机率也就相当高。硬软件风险一是由于审计线索电子化并以磁介质为主要存储载体而导致的审计线索模糊，使审计人员无法摸清审计轨迹，并且舞弊者或攻击者可不留篡改痕迹的对原始数据进行非法修改和删除，从而无法保证数据的完整性和真实性，给审计监督服务带来了风险；二是由于在网络审计系统的运行过程中发生断电、死机、计算机病毒以及损坏等而导致的审计信息丢失；三是网络审计系统的运作需要多套审计软件的支持，一旦某个软件发生问题就将直接导致审计风险的产生。

网络审计是一种新兴的科技含量非常高的审计模式，所以对参与网络审计的人员素质要求也非常高，由此也将带来一定的审计风险，这种风险叫做人为风险。人为风险一是人为地破坏系统和盗窃信息。网络审计是以网络作为载体的，这就为电脑黑客通过网络对审计系统进行破坏和信息盗窃创造了条件，导致审计风险的产生；二是由于操作人员的失误或操作不专注而导致的审计风险；三是由于内部控制失灵，导致对数据维护、系统管理和数据输入、数据核对确认等岗位不作适当的分离，产生利用网络的弱点故意修改数据、舞弊或窃取秘密信息等审计风险。

二、网络审计风险的防范

(一)应用审计软件，对相关网络系统进行适时跟踪。首先对被审计单位的网络系统进行评价，并利用专用的审计对比软件，将存放于数据库不同地址的同一种数据进行自动比较，以形成相应的记录文件，并对有差异的文件数据进行详细审查；其次对被审计单位的自动检测数据库软件和恢复软件进行审查和评价；再次要对被审计单位的异常贸易，通过网络进行预警提示，以降低审计风险。

（二）建立审计服务信息库。网络时代的风险观念不同于传统的风险观念。因为网上交易公开化程度较高，数据被未授权人员修改的可能性很大，系统面临的信息风险骤增。而许多企业在网上的财务信息经常变换，偏离会计准则要求的信息还没有被监管部门发现就已经被替换掉，故建立一个在监管部门严格监控下的网上财务信息强制存档制度就显得尤为必要。

（三）对网络系统的安全性和保密性进行审计。在网络中运行，信息的安全性和保密性构成了审计的风险防范和控制的重点。首先对网络系统职责分离情况进行审查，遵循的原则仍为不相容职责必须分离，但侧重对数据的输入、输出，软件开发和维护及系统程序修改或管理等之间的关系进行审查；其次对被审计单位网络结构进行分析与评价，以确认防范黑客侵入的能力；再次对被审计单位的系统容错处理机制、安全管理体制和安全保密技术等作深入的了解，评价其系统安全性的等级，从而有效地控制审计风险。具体可以采取以下措施：第一，实行识别认证和访问控制技术。为了防止非法用户的入侵，可在因特网内部采用识别认证和访问控制技术，内部网的访问采用入网控制、网络权限控制、目录级别安全控制、网络服务器的安全控制等技术。第二，采用加密技术。数据加密技术作为主要网络安全技术，是提高网络系统数据的保密性，防止秘密数据被破译的主要技术手段。加密技术一般分两种形式：保密密钥和公开密钥。加密算法的选择要结合具体应用环境和系统要求，综合考虑密钥的合理分配、加密效率与系统结合度以及投入产出分析等因素。第三，设立防火墙。可以考虑在企业内部网与互联网之间设立防火墙，使内部网与互联网互相隔离。所谓防火墙是一道进出企业内部网的通信门槛，它可以有效地阻止互联网中的黑客非法入侵或攻击机构的内部网。当然，防火墙要随时升级换代，不断提高抵御病毒入侵、杀毒能力。第四，采用数字签名技术和公正仲裁制度。采用数字签名技术和公正仲裁制度，可以防止网络中进行数据交换时的否认、抵赖事件发生。仲裁制度可以有效地解决交易双方发生纠纷的法律适用问题和公正处理双方合法权益问题。采用数字签名技术和公正仲裁制度，可以有效地防范来自关联方和社会的道德风险。

（四）加强内部控制测试，降低控制风险。从手工会计发展到网络会计，审计环境发生了巨大的变化，内部控制审计重点也发生了变化。网络财务环境下内部控制更强调防止发生错误功能，审计人员可将控制风险定在最高水平制定工作计划，再展开审计测试工作。内部控制测试应着重检查各种管理制度是否健全、不相容职务是否分离、网络使用是否授权、操作日志是否建立、检查数据是否备份、应用控制制度是否建立等。