概述网络审计(1)

1、网络审计网络审计1关于课程的几点说明：关于课程的几点说明：课堂纪律课堂纪律课程安排课程安排课程考试课程考试课程基本介绍课程基本介绍参考书籍参考书籍: 胡克瑾胡克瑾 .IT审计审计(第二版第二版) .电子工业出版社电子工业出版社 . 2004年版年版 2004. 计算机信息系统控制与审计计算机信息系统控制与审计. 北京大学出版社北京大学出版社 . 2002年版年版 审计署计算机审计中级培训系列教材审计署计算机审计中级培训系列教材 金审工程服务网站金审工程服务网站一、审计取证的三种模式一、审计取证的三种模式账项基础审计制度基础审计风险基础审计 计算机审计产生二、计算机审计的内涵二、计算机审计的内涵

2、 一系列概念：计算机审计、网络审计、信息系统审计、一系列概念：计算机审计、网络审计、信息系统审计、IT审计、审计、 电子数据处理审计、审计电算化电子数据处理审计、审计电算化 审计电算化：侧重审计人员在审计中对计算机技术的应用；审计电算化：侧重审计人员在审计中对计算机技术的应用； 信息系统审计、电子数据处理审计、信息系统审计、电子数据处理审计、 IT审计：侧重审计人审计：侧重审计人员对以计算机为核心的信息系统及其数据进行综合的检查、评员对以计算机为核心的信息系统及其数据进行综合的检查、评价，以找出错弊，排除故障；价，以找出错弊，排除故障； 计算机审计、网络审计：包括以上两类概念的含义。计算机审计

3、、网络审计：包括以上两类概念的含义。 但其中，网络审计又是计算机审计较为但其中，网络审计又是计算机审计较为高级高级的一个阶段。的一个阶段。计算机审计：计算机审计： 以被审计单位计算机信息系统和底层数据库原始数据为切入点，以被审计单位计算机信息系统和底层数据库原始数据为切入点，在对信息系统进行检查测评的基础上，通过对底层数据的采集、在对信息系统进行检查测评的基础上，通过对底层数据的采集、转换、清理、验证，形成审计中间表，并运用查询分析、多维转换、清理、验证，形成审计中间表，并运用查询分析、多维分析、数据挖掘等多种技术和方法构建模型进行数据分析，发分析、数据挖掘等多种技术和方法构建模型进行数据分析

4、，发现趋势、异常和错误，把握总体、突出重点、精确延伸，从而现趋势、异常和错误，把握总体、突出重点、精确延伸，从而收集审计证据，实现审计目标的审计方式。收集审计证据，实现审计目标的审计方式。三、计算机审计的产生三、计算机审计的产生（一）产生的必然性（一）产生的必然性 1、计算机技术的产生与发展、计算机技术的产生与发展 2、会计电算化的广泛应用、会计电算化的广泛应用 3、提高审计效率的要求、提高审计效率的要求（二）计算机审计发展的一些具体事件（二）计算机审计发展的一些具体事件1、美国（、美国（AICPA及其他相关机构的行动）及其他相关机构的行动）1968年，美国执业会计师协会发表了年，美国执业会计

5、师协会发表了电子数据处理系统与审计电子数据处理系统与审计，书中提出审计与电子数据处理系统的关系；书中提出审计与电子数据处理系统的关系；1973年，美国产权基金公司因计算机舞弊而倒闭，年，美国产权基金公司因计算机舞弊而倒闭，AICPA为此成立了为此成立了一个特别委员会，研究当时的审计标准是否适用于计算机系统；一个特别委员会，研究当时的审计标准是否适用于计算机系统；1974年，年，AICPA在颁布的在颁布的审计标准说明书第审计标准说明书第3号号中提出，审计人员中提出，审计人员在审计中应对计算机系统的内控予以评价；在审计中应对计算机系统的内控予以评价；1978年，年，AICPA的计算机服务执行委员会

6、发表了的计算机服务执行委员会发表了计算机辅助审计技计算机辅助审计技术术一书，详细介绍如何利用计算机进行辅助审计；一书，详细介绍如何利用计算机进行辅助审计；1984年，年，AICPA颁布颁布审计标准说明书第审计标准说明书第48号号取代第取代第3号，指出审计号，指出审计人员仅仅评价系统的内控是不够的，还应充分考虑计算机的影响。同人员仅仅评价系统的内控是不够的，还应充分考虑计算机的影响。同时提出了审查电算化财务报表的基本程序和方法。时提出了审查电算化财务报表的基本程序和方法。其他机构的行动其他机构的行动:1966年，世界上第一个计算机审计组织成立年，世界上第一个计算机审计组织成立EDP（Electr

7、onic Data Processing ）审计师协会。）审计师协会。1974年以后，美国商务部下属的国家标准局（年以后，美国商务部下属的国家标准局（NBS），陆续颁布了），陆续颁布了里联邦信息处理标准丛书里联邦信息处理标准丛书对计算机环境下的对计算机环境下的 安全与风险管理、安全与风险管理、数码编码标准等提出一系列指南，极大地促进了电算化会计和审计的数码编码标准等提出一系列指南，极大地促进了电算化会计和审计的发展；发展；1981年，美国审计总署（年，美国审计总署（GAO）颁布了）颁布了政府组织审计标准政府组织审计标准，规，规定了对计算机系统进行审计时的检查与评价标准及审计人员在系统开定了对计

8、算机系统进行审计时的检查与评价标准及审计人员在系统开发过程中的地位，要求所有联邦总检查官遵循这些标准；发过程中的地位，要求所有联邦总检查官遵循这些标准；1984年，年，EDP审计师协会发布了一套审计师协会发布了一套EDP控制标准控制标准EDP控制的目控制的目标标，提出了电算化系统中的一系列控制标准。，提出了电算化系统中的一系列控制标准。2、其他国家或组织、其他国家或组织1970年，加拿大执业会计师协会（年，加拿大执业会计师协会（CICA）颁布了）颁布了计算机控制和工计算机控制和工作指南作指南；1984年，加拿大审计标准委员会颁布了年，加拿大审计标准委员会颁布了EDP环境下的审计环境下的审计一一

9、般原则般原则；1984年，国际审计实务委员会公布了年，国际审计实务委员会公布了国际审计准则国际审计准则15电子数电子数据处理环境下的审计据处理环境下的审计（现为（现为1013号）号）.3、中国、中国从从20世纪世纪80年代末开始发展年代末开始发展1991年，审计署组织专家对全国审计系统研制开发的九项计算机审计软年，审计署组织专家对全国审计系统研制开发的九项计算机审计软件进行技术鉴定，全部通过；件进行技术鉴定，全部通过；1993年，审计署发布了年，审计署发布了审计署关于计算机审计的暂行规定审计署关于计算机审计的暂行规定；1996年底，审计署颁布了年底，审计署颁布了审计机关计算机审计辅助审计办法审

10、计机关计算机审计辅助审计办法，明确，明确了计算机辅助审计的内容与范围等；了计算机辅助审计的内容与范围等；2000年，审计署在南京特派办召开名为年，审计署在南京特派办召开名为“审计之光审计之光”的全国审计系统计的全国审计系统计算机开发应用成果演示会。算机开发应用成果演示会。1999年，财政部颁布了年，财政部颁布了独立审计准则第独立审计准则第20号号计算机信息系统环境计算机信息系统环境下的审计下的审计；2006年，财政部颁布了年，财政部颁布了中国注册会计师审计准则第中国注册会计师审计准则第1633号号电子商电子商务对财务报表审计的影响务对财务报表审计的影响。（三）系统的阶段划分（三）系统的阶段划分

11、1、绕过计算机审计（、绕过计算机审计（auditing around the computer) 实质实质：避开计算机数据处理系统，将计算机处理系统看作是一个：避开计算机数据处理系统，将计算机处理系统看作是一个“黑箱黑箱”，根据被审计对象计算机数据处理系统输入的原始数据，通，根据被审计对象计算机数据处理系统输入的原始数据，通过手工操作，将处理结果与计算机处理系统的输出进行对比，验证其过手工操作，将处理结果与计算机处理系统的输出进行对比，验证其是否一致。是否一致。 其本质上还不算真正的计算机审计。其本质上还不算真正的计算机审计。2、穿过计算机审计（、穿过计算机审计（Auditing Throug

12、h the Computer） 实质实质：对计算机数据处理系统进行审计。：对计算机数据处理系统进行审计。3、利用计算机审计（、利用计算机审计（Auditing With the Computer） 实质实质：采用为实施审计业务而专门开发的电子计算机程序，来对被：采用为实施审计业务而专门开发的电子计算机程序，来对被审计单位的电子计算机程序的可靠性进行试验的方法。审计单位的电子计算机程序的可靠性进行试验的方法。 一般地，现代计算机审计是穿过计算机审计和利用计算机审计的相一般地，现代计算机审计是穿过计算机审计和利用计算机审计的相互结合，由此衍生出许多计算机审计方法。互结合，由此衍生出许多计算机审计方

13、法。四、计算机审计的特征四、计算机审计的特征以系统论为指导：以系统论为指导： 以以“结果审计结果审计”为主转向为主转向“过程审计过程审计”为主为主审计取证的切入点是信息系统和基层电子数据：审计取证的切入点是信息系统和基层电子数据： 审计线索的审计线索的“可视性可视性”向向“不可视性不可视性”的转化的转化 审计取证的实时性和动态性审计取证的实时性和动态性创建审计中间表，构建审计信息系统：创建审计中间表，构建审计信息系统： 审计技术的复杂性和审计数据的各异性审计技术的复杂性和审计数据的各异性构建模型进行数据分析构建模型进行数据分析 五、计算机审计的基本框架五、计算机审计的基本框架（一）计算机审计的

14、对象（一）计算机审计的对象 被审计单位的财政财务收支及有关的经济活动。被审计单位的财政财务收支及有关的经济活动。（二）计算机审计的作业模式（二）计算机审计的作业模式 1、现场单机审计模式、现场单机审计模式 2、现场网络审计模式、现场网络审计模式 3、远程网上审计模式、远程网上审计模式（三）计算机审计方式的改变（三）计算机审计方式的改变 尤其是网络对传统审计工作方式的影响：三个方面尤其是网络对传统审计工作方式的影响：三个方面1、网络改变传统审计方式的第一个表现是改变了审计信息的、网络改变传统审计方式的第一个表现是改变了审计信息的收收集方式集方式。数据库服务器数据库服务器Web服务器服务器防火墙防

15、火墙工作站工作站审计信息审计信息Internet 条件下审计信息收集示意图 2、网络改变传统审计方式的第二个表现是改变了审计信息的、网络改变传统审计方式的第二个表现是改变了审计信息的加工方式。加工方式。 3、网络改变传统审计方式的第三个表现是改变了审计信息的、网络改变传统审计方式的第三个表现是改变了审计信息的输出、传送、存储和检索的方式。输出、传送、存储和检索的方式。（四）计算机审计技术与方法（四）计算机审计技术与方法 广泛深入采用计算机辅助技术（广泛深入采用计算机辅助技术（CAAT）（五）计算机审计质量控制模型（五）计算机审计质量控制模型 为使具体审计项目按已确定的审计实施方案顺利进行，保证

16、为使具体审计项目按已确定的审计实施方案顺利进行，保证审计目标的实现而采取的策略、程序、组织和具体技术与方法审计目标的实现而采取的策略、程序、组织和具体技术与方法等。一般由四个步骤构成：定义标准、获取业务运作信息、以等。一般由四个步骤构成：定义标准、获取业务运作信息、以标准评价业务、纠正或改进。标准评价业务、纠正或改进。 在质量控制中，可将计算机审计划分为三个过程：审计准备、在质量控制中，可将计算机审计划分为三个过程：审计准备、审计实施和审计完成。在实施具体的控制策略时，又进一步细审计实施和审计完成。在实施具体的控制策略时，又进一步细分出设计流程及业务任务。分出设计流程及业务任务。（六）计算机审

17、计的流程（六）计算机审计的流程 开展审前调查，获取必要和充分的信息，对被审计单位的信开展审前调查，获取必要和充分的信息，对被审计单位的信息系统进行初步评价，考虑其信息系统的合法性、可靠性、息系统进行初步评价，考虑其信息系统的合法性、可靠性、安全性和有效性；安全性和有效性； 采集数据，全面收集资料，撰写数据采集报告；采集数据，全面收集资料，撰写数据采集报告； 对采集的数据进行转换、清理和验证，并撰写转换、清理和对采集的数据进行转换、清理和验证，并撰写转换、清理和验证工作报告；验证工作报告； 构建系统和类别分析模型，把握总体，锁定重点；构建系统和类别分析模型，把握总体，锁定重点； 针对审计重点，建

18、立个体分析模型，进行筛选分析，形成数针对审计重点，建立个体分析模型，进行筛选分析，形成数据分析报告；据分析报告； 进一步的审计取证。进一步的审计取证。（七）计算机审计的任务（七）计算机审计的任务 除保持传统审计的一些任务外，增加了以下内容：除保持传统审计的一些任务外，增加了以下内容： 1、评价与审查信息系统的安全性、评价与审查信息系统的安全性 2、评价信息系统提供的财务及其他信息的公允性、真实性与、评价信息系统提供的财务及其他信息的公允性、真实性与正确性正确性 3、审查与防止计算机的舞弊、审查与防止计算机的舞弊 4、评价计算机系统防错控制、评价计算机系统防错控制 5、评价信息系统处理与输出数据

19、的保密性、评价信息系统处理与输出数据的保密性 6、审查与评价信息系统的效率性、审查与评价信息系统的效率性 7、审查与评价信息系统的效益性、审查与评价信息系统的效益性 8、评价与鉴证主要管理者、评价与鉴证主要管理者一、网络审计的概念一、网络审计的概念 网络审计是计算机审计较为高级的一个阶段，是计算机审网络审计是计算机审计较为高级的一个阶段，是计算机审计目前最主要的表现形式。包含两个方面的含义：计目前最主要的表现形式。包含两个方面的含义：1、从审计对象来看，网络审计是对被审计单位的网络财会信息、从审计对象来看，网络审计是对被审计单位的网络财会信息系统和基于网络的经济活动，如电子商务、电子金融等，以

20、系统和基于网络的经济活动，如电子商务、电子金融等，以及反映这些活动的财会信息进行审计。及反映这些活动的财会信息进行审计。2、从审计手段来看，网络审计是对利用计算机网络及通信技术、从审计手段来看，网络审计是对利用计算机网络及通信技术辅助审计人员进行的审计。辅助审计人员进行的审计。二、网络审计的特点二、网络审计的特点 网络审计与现有的审计模式相比，具有以下特点：网络审计与现有的审计模式相比，具有以下特点：1、实时性与动态性；、实时性与动态性；2、需要强大的技术支持；、需要强大的技术支持；3、安全性成为首要因素。、安全性成为首要因素。三、网络审计的要素三、网络审计的要素1、掌握审计知识和计算机网络技

21、术的审计人员；、掌握审计知识和计算机网络技术的审计人员； 包括：包括：具有网络审计资格证书的注册会计师具有网络审计资格证书的注册会计师和和具有网络审计具有网络审计资格的信息系统审计师，即资格的信息系统审计师，即IT审计师审计师；2、网络审计信息系统；、网络审计信息系统； 构建于计算机技术、数据库技术、构建于计算机技术、数据库技术、Internet/Intranet等现代等现代信息技术基础之上，包括计算机硬件平台、软件平台、数据信息技术基础之上，包括计算机硬件平台、软件平台、数据库平台和操作平台的信息系统。库平台和操作平台的信息系统。3、网络审计管理机构；、网络审计管理机构； 包括：网络审计质量

22、控制管理和网络审计风险管理。包括：网络审计质量控制管理和网络审计风险管理。4、网络审计安全机制；、网络审计安全机制； 接入管理：处理好身份鉴别和接入控制接入管理：处理好身份鉴别和接入控制 安全监视：安全报警设置、安全报警报告及检查跟踪安全监视：安全报警设置、安全报警报告及检查跟踪 安全恢复：及时恢复因网络故障而丢失的信息安全恢复：及时恢复因网络故障而丢失的信息5、网络审计准则与法律体系。、网络审计准则与法律体系。 规范和指导工作；明确责任和义务。规范和指导工作；明确责任和义务。一、电子商务的简介一、电子商务的简介 电子商务（电子商务（e-business或或e-commerce）是利用计算机网）是利用计算机网络所进行的商务交易和商务服务活动的总称。其重要表现形络所进行的商务交易和商务服务活动的总称。其重要表现形式是商务交易和商务服务活动不再