【中华财税网北京01/24/2002信息】 一、 网络审计的涵义 本文所指的网络审计是指以电子经济活动和网络信息系统为对象、以解决电子经 济活动的合法性、真实性和有效性及网络财务会计信息和其他信息的公允性、合法性 和一贯性为目的的经济监督、经济鉴证和经济评活动。与传统审计相比，网络审计具 有以下特点： （一）经济活动的过程发生变化导致审计内容发生变化 传统的商品购销活动需要购销双方面对面签订购销合同，在购销双方从多职能部 门的人工配合下才能完成交易，而基于国际互联网的电子购销活动过程则发生了革命 性的变化。现将电子购销过程介绍如下：（1）购货方坐在自己的计算机前通过国际 互联网查寻企业想购买的物品；（2）购货主在计算机上输入订货单，内容包括销售 方名称、购买数量、交货时间、交货地点、运输方式及收货人等信息；（3）通过电 子商务服务器与销售方联系上后，会立即得到应答，告诉顾客所购货物的单价、应付 款数、交货情况等信息；（4）购货方确认后用电子信用卡付款，输入自己的密码； （5）电子商务服务器对此信用卡号码采用某种保障算法算好后发送到相应的银行， 同时销售方也收到了经过加密的购货账单并将自己的顾客编码加放电子购货账单后， 再转到电子商务服务器上去；（6）商业银行对购买方信用卡进行确认，若有效则受 理支付转账，销货方即可按订货单的要求发货；（7）销货方留下整个交易过程中发 生往来的财务数据，并出示一份电子发标传送给购买方。到此就完成了整个交易过程。 显然，整个交易过程不需签订购销合同，不会发生应收账款及坏账损失，不必履行烦 琐的购销手续等，从而改变了审计的内容和线索。另外购销双方的内部控制也发生了 根本性的变化，审计人员应建立起电子经济活动内部控制标准，并以此标准对内部控 制进行评价。 （二）增加了新的审计领域和内容 企业在网上披露的业务信息和对客户信息的使用、保护和维护应得到企业的承诺， 并确保交易过程的真正完成，在此基础上应由审计机构进行鉴定并出具鉴证报告，由 此便产生了新的审计领域。美国和加拿大等国家已经有了网上鉴证准则，其内容包括 网上鉴证业务流程、网上鉴证主要原则、电子商务信息披露准则和网上鉴证报告等内 容。另外，审计人员不仅要对网络信息系统的结果进行审计，还要对网络信息系统的 开发过程和动行过程进行审计。 （三）审计方式和审计技术、审计知识、审计介质、审计效率的变化 众所周知，电子经济主要是在国际互联网上进行的。企业要进行电子经济活动必 须设置国际互联网站，在网站上公布本企业的基本信息和供需情况，若是上市公司还 可以公布本企业的财务会计报告，这是企业触网的最初阶段。在此阶段，企业的会计 核算体系及过程尚未在国际互联网上运行，上网的主要财务数据是根据孤立运行的财 务会计软件或手工载体得到的，但网站上可能已具备网上询价、网上采购、网上销售、 网上服务等功能。随着网络技术的发展，企业将在网络上实现会计信息系统与管理信 息系统的集成化管理，做到远程处理及在线管理，提供从财务上整体实现企业电子商 务的各项功能，并将与社会部门进行紧密的网上协调，如网上银行、网上保险、网上 报税、网上公证等。这一大影响，具体表现为：（1）由于企业会计信息在网上生成， 故对企业财务会计报告的大部分审计工作也将在网上进行，只有使用计算机辅助审计 技术才能彻底解决网络财务会计报告的审计问题。（2）由于企业实行会计信息系统与 管理信息系统的集成化管理，网上信息的综合性、时效性、复杂性等大大增强，增添 了审计的难度，对审计人员的知识、素质等方面的要求大大提高。（3）财务会计的 介质如发票、结算单据、货币形式、订货单、合同等都以电子化方式出现，使得审计 证据的形式发生根本性的变化，肉眼能见到的实物、书面证据将会减少到最低限度。 （4）由于与被审计企业有关的分支机构、业务往来单位、银行、保险、税收、海关等 都将入网并实现电子数据互换，呼为网上远程审计创造了条件，并且向有关的第三者 取证十分方便，大大缩短了取证的时间，从而提高了审计效率。 二、 电子经济活动及网络信息系统内部控制及其测试 （一） 内部控制原理 在手工操作系统环境下，企业是以工作人员的分工协作为基础，以书面文件为主 要载体对企业的方方面面实行控制的。在孤立财务会计软件信息系统环境下，企业仍 然以工作人员的分工协作作为基础进行控制，但控制载体方面已非全部是书面文件， 部分控制，但载体实现了电子化，体现在计算机的操作与处理程序及所形成的电子数 据之中。在整体管理系统未实现计算机网络管理的环境下，内部控制载体的电子化主 要体现在会计系统中。在网络信息系统吉，如果实现了管理信息系统与财务会计信息 系统的集成化管理，则而代之必然是电子化载体。实现电子化载体的内部控制是否也 以工作人员的分工协作为基础？这个问题要一分为二地看。众所周知，计算机信息系 统是由计算机程序来控制的，用来处理交易业务的计算机程序如果完全模仿手工操作 系统环境下工作人员的分工协作，则不能体现使用计算机及计算机网络的高效率，因 此计算机信息系统的使用将会使人的分工协作减少到最底限度，并朝着高度自动化方 向发展。但我们也必须看到，人类社会艰展是一个循序渐进的过程，不可以须近期或 不远的将来全面实现经济活动的高度自动化管理，理由有以下几个方面：（1）在人 口不断膨胀的今天及将来一段时期，人类面临的就业压力越来越大，这在相当程度上 制约着高度自动化的发展。（2）在对社会复杂的经济环境判断与决策方面，人脑总 是优于电脑，这方面的工作不可能完全由电脑所取代。（3）物流程序是一个客观存 在的事实，计算机程序的设计必须符合实物流程。例如，所需商品必须通过交通工具 的运输并送达指定地点，送达后要经过验收程序后才能入库，如果验收不合格还要办 理退货或退款等，类似此类计算机程序的设计将会与实物流程相同。因此，网络信息 系统环境下的内部控制的设置，在今天或不远的将来仍要适当考虑工作人员的分工协 作问题。 （二） 内部控制的内容 国际公认的计算机信息系统内部控制包括一般控制和应用控制两类。一般控制包 括：（1）电子数据处理的组织和操作的计划；（2）对系统或程序的设计、开发和变 动的记录、审核、测试和批准；（3）由制造高在设备内部所设置的控制（“硬件” 控制）；（4）对接触设备和数据文件的控制；（5）对电子数据处理系统的运行有影 响的其他数据和指令程序的控制。应用控制包括输入控制、数据处理控制和输出控制 三个方面。输入控制是指电子数据处理部门要处理的数据均得到适当的批准、确认并 转换成机器可读的形式，数据不会被遗失、隐藏、添加、复制或其他不适当的改变等。 数据处理控制是为了确保在计算机运行时，可以检查预先规定的事项，以发现、纠正 和报告某些含有错误的输入，从而保证数据处理的可靠性和正确性。数据处理控制必 须从计算机信息系统的硬件和软件两方面着手。输出控制是用以确保处理结果（如账 户、报表、磁性文件、发票、支票等）的准确性，并确保只有经过批准的人员才能得 到输出。 电子经济活动和网络信息系统的内部控制，在上述内部控制的基础上又有了新的 发展，主要表现在以下几个方面：（1）对电子贸易等电子经济活动的内部控制，包 括购销双方及银行对交易活动的授权、确认、加密及电子文件接收、签发、验正等； （2）对网上披露的业务信息或获取客户信息的控制，包括对所披露信息的真实性、 及时性的监督程序和对客户信息的使用、保护及维护措施；（3）对跨地区集团型企 业的远程处理控制，包括远程处理程序控制、分支系统安全控制等；（4）针对互联 网环境的外部安全控制，包括设置外部访问界限、建立防火墙和监控系统等。 审计人员对电子经济活动及网络信息系统的内部控制的评价步骤，一般也分为了 解内部控制，对内部控制进行符合性测试和对内部控制作出评价三个步骤，所不同的 有两个方面：（1）审计人员应掌握电子经济活动及网络信息系统内部控制的新知识， 建立起新的评价标准；（2）在外内部控制进行符合性测试时，除了要使用检查、询问、 观察等常规方法以外，还要运用数据测试和计算机程序测试等技术手段。 三、 网络审计技术探讨 计算机信息系统环境下的审计技术主要有三种形式，即手工审计技术、数据测试 技术和审计软件技术。这三种审计技术运用到网络审计中，是否与运用到非计算机信 息系统环境下及孤立的财务会计软件信息系统环境下的审计中完全相同呢？回答是否 定的，下面我们着重来探讨一下它们之间的差异。 （一） 关于手工审计技术 在孤立的财务会计软件信息系统环境下，审计人员使用手工审计技术时，只是把 计算机看成是储存和处理数据的手段，审计时首先检验输入数据然后以后工形式验算 处理过程，并将结果同计算机信息系统的输出进行对比，对发现的任何差异进行追查。 审计人员使用手工审计技术时要具备三个方面的条件，即取得非机器语言表达的原始 文件、文件按审计之需归档、输出资料必须十分详尽等。孤立的财务会计软件信息系 统环境完全可以满足这三个条件，但网络财务会计系统是否也能完全满足这三个条件 呢？下面我们来个逐条分析一下： 1、 取得非机器语言表达的原始文件。在非电子经济的交易形式下，企业往往能 获得较多的书面原始资料如书面合同、订单、支票、发票、税票、保险单、银行对账 单等，书面的原始资料是证明被审计单位财务会计报告合法性、公允性等的有力证据， 有了这些证据，被审计单位反映在孤立的财务会计软件上的会计信息可以得到比较有 力的证实，也为手工审计技术的使用创造了可行的条件。但是在电子经济的交易形式 下，交易的大部分原始资料不再以书面形式出现，而是以电子化的介质出现，如电子 发票、电子结算单据等，在这种情况下审计人员只有通过上网查询才能得到有关的原 始资料，从而使得手工审计技术的运用范围及有效性大大地减少。这些电子化的原始 资料与需要审计的财务会计报告连为一体，将它们之间进行直接对照没有多大的效果。 但是在电子经济的交易形式下也不是说不能取得任何第一手书面证据与实物证据，事 实上无论是电子经济还是非电子经济，所交易的实物流程是客观存在的过程，货物的 运输、验收、储存、生产、盘、发出等都会产生一定形式的书面证据和实物证据，这 些证据依然是手工审计技术所必需的。另外，企外的内部控制手册等也会以书面的形 式出现。 2、 文件按审计之需归档。企业保存的书面文件必须按手工审计技术的要求归档， 包括按序号归档、按类别归档、按时间归档等。对于非电子介质形式的书面文件的分 类、保管工作，无论是网络审计还是非网络审计，其基本要求是相同的。 3、 输出资料必须十分详尽。在孤立的财务会计软件信息系统坏境下使用手工审 计技术，需要从系统中输出详尽的财务会计资料。由于单一的财务会计软件所包含的 会计信息并不十分复杂，故输出会计核算资料可以做到尽可能的详尽。在网络信息时 代情况就大不相同了，由于企业可能实现会计信息系统与管理信息系统集成化管理， 信息量大且综合性强，信息之间的联系非常紧密，故要在输出网络中将尽可能详尽的 有关信息供手工审计之用，是不切合实际的，但这并不排除输出某些局部信息供审计 人员之用。 总之，在网络审计中运用手工审计技术的有效性将大减小。 （二） 关于数据测试技术 数据测试技术就是指在被审计单位计算机信息系统中，处理审计人员的测试数据 并将获得的结果同预定的结果相比较，以确定被审计单位的计算机程序能否正确地处 理所发生的有效或无效的经济事项，测试数据可以是模拟数据基经济业务抽样数据基 以前处理过的数据等。数据测试技术在测试孤立的财务会计软件时主要用来测试账务、 报表处理系统及成本核算系统，通过测试可以得出账务、报表处理系统及成本核算系 统是否有效以及有关的内容控制是否合理、健全。数据测试技术同样也可以运用于测 试网络财务会计的信息系统，但必须具备以下条件：（1）网络财务会计系统必须具 备审计接口与通道审计人员用以测试的模拟数据或其他数据进入网络财务会计信息系 统后，一旦测试完毕后就应该能够被消除，如果不能被消除就意味着这些数据将会留 在网络信息系统内，变成了真实的数据，这是绝对行不通的。（2）在网络信息系统集 成化管理的环境下，所测试的数据经过系统处理应能保证按审计人员的要求显示测试 结果或输出结果。（3）除了财会部门以外，企业的其他部门及与企业有关的机构，都 应该配合审计人员的数据测试工作。（4）用来测试的数据必须符合网络财务会计信息 系统及电子经济的特点。 （三） 关于审计软件技术 网络财务会计信息系统具有技术含量高、信息量大、处理过程复杂等特点，要想 完全依靠手工审计技术及数据测试技术来解决系统的审计问题是不可能的，只有使用 有针对性的技术含量高的审计软件才能从根本上解决审计问题。审计软件是一种专门 用于审计目的的计算机程序，高级的审计软件用来测试被审计单位的网络财务会计信 息系统应能达到以下目的： （1）能测试出网络财务会计软件的正确性、合理性。（2）能测试出网络财务会 计软件在实际操作运用时是否按照正确的方法形成会计资料和其他有关资料。比如审 计软件中可以使用浏览器调出电子购物账单进行查阅等。（3）能完成各种类型的审 计工作底稿。（4）能运用详查、抽样、分析性复核、查询等各种审计方法。（5）能 测试各项内部控制设计的合理性及实际执行情况。例如，企业从事电子经济活动要涉 及交易对方，商业银行、信用卡公司及大众公用网络等环节，主要设备包括计算机、 数据交换设备和数据通信设备等，主要原始凭证包括电子订货单、加密电子购物账单、 电子发票或收据、采用保密算法加密的国际信用卡等，审计软件应该能测试出交易的 授权、进入设备的程序、电子凭证的完整性和合规性，以及发生交易后是否能够及时 准确地记入规定的账户等方面的内容。 (3)