电子审计证据的使用风险及策略

2013-04-29 00:26恽含
职业·下旬 2013年9期
关键词:风险策略

恽含

摘 要:随着信息技术的发展,电子商务的交易量在逐年增加。在这种情况下,审计方法产生了很大变化。審计电子化早已成为全球审计工作的发展方向,新型的审计证据——电子审计证据应运而生。但作为新型的审计证据,电子审计证据在我国的使用仍处于起步阶段,且面临诸多风险。本文就电子审计证据在使用中所面临的风险进行分析,并就如何顺应科技发展,利用先进科技安全、有效地使用电子审计证据给出了对策。

关键词:电子审计证据 风险 策略 先进科技

一、电子审计证据的含义

目前,对电子审计证据并没有确切的定义。一般来说,电子审计证据为审计人员在审计过程中,为形成审计意见而获取的以信息技术为依托、以数字形式存在的审计证据。

二、电子审计证据所面临的风险

1.失真风险

首先,电子审计证据以信息系统为依托,将磁盘、光盘、U盘等介质作为存储载体,将电子证据记录于其中,但这些电子证据必须通过计算机对编码进行“翻译”,才能完成输入输出处理,如果在“翻译”即数据编码转换的过程中出现问题,将会导致电子审计证据丧失其证明力;且由于磁性介质的可擦性,致使电子审计证据存在被篡改的风险。所以,为保证电子审计证据的真实性,我们需要信息技术甚至尖端技术的支持。另外,来自网络或存储介质的病毒、计算机故障等潜在风险,也将损害电子审计证据的真实性。

其次,人机交互行为也是导致电子审计证据失真的一大原因。在传统获取审计证据的过程中,审计人员从原始单据开始,一直到会计报表为止,进行顺查或反向的逆查。实现计算机处理后,各种数据经人工输入后,后续处理均由计算机自主完成,其编制、生成、存储记账凭证、登记账簿、编制报表都在磁性介质上进行,且这些信息仅计算机可读,非传统的、肉眼可见的纸质单据,这样可能影响其真实性。

2.易损风险

电子审计证据不易保存。作为电子审计证据使用的电子数据全部储存在计算机或磁性介质中,若计算机损坏、磁性介质丢失或遭黑客袭击等,便存在各种数据信息丢失或被人为破坏的可能。

3.泄密风险

随着电子审计证据对磁性介质、计算机系统和网络的依赖性增强,用来储存数据的磁性介质体积日益缩小,而其容量则愈来愈大。一个小小的U盘,其容量已从1G迅速增大到32G、64G,甚至更大。一家被审计单位,乃至整个行业的信息数据都存储在很小的介质上,便增加了泄密、遗失的风险。在信息系统下,员工通过划分不同的功能模块或者设置权限来实现分工和管理。如果某些实施信息犯罪的人员越权或通过不法途径获取口令或密码,便可轻易窃取想要的数据,也增加了泄密的风险。

三、电子审计证据的使用策略

1.制定有效的法律法规及安全措施

随着信息技术的飞速发展,在信息系统中弄虚作假也愈发容易,此时相应法律法规的制定显得愈加重要。在完善法律法规的同时,我们还应采取安全措施以保证审计证据的真实性。为确保在审计工作中获取的电子审计证据在被获取前没有遭到修改,并能够 客观真实地反映审计内容,需要建立起相应的数据保护机制、网络安全机制、数据存储机制,并为其立法,确保所有被审计单位的电子交易数据和财务数据都是在统一且规范的法律法规和处理流程下完成。比如,我们可以使用SSL协议来确保通过网络传输数据的安全性;利用数据加密技术可以隐藏被传送的数据,保证数据不会因处于网络环境而被截取及窃听。当电子审计证据通过网络或磁性介质,最终经审计人员搜集到审计单位后,也要在数据转换的同时进行数据验证,再将其安全储存,以确保在审计单位的各项处理中,审计证据没有遭到修改或出现损失。

2.对企业信息系统开发制定统一标准

在企业开发自身信息系统时,应以国家统一标准来要求和规范财务系统的开发。其中,更要统一软件的数据库类型和编码结构,既方便同类型被审计单位的横向对比,也防止被审计单位人员以所用财务软件不同为由,遗失、修改甚至破坏电子审计证据。此外,实时监控在电子审计证据的使用中还不够及时,这就要求被审计单位在使用自身ERP系统时,保留数据处理的痕迹,保证每笔交易有迹可循,弥补实时监控的不足,确保在事后能查到每笔交易的信息及情况。

3.形成电子审计证据印证体系

大量的电子证据伴随着会计信息系统的发展产生,使得其作为电子审计证据的证明力不容忽视。而在审计工作中,审计证据是否具有证明力,往往依靠审计人员的一种经验判断。所以,当电子证据作为审计证据使用时,必须借助其他力量对电子审计证据进行鉴别和分析。由于一个审计项目由多人合作完成,所以在电子审计证据的使用过程中,需要将较为分散的电子审计证据进行有机结合,完成整理、分析、判断,综合归纳,从而构成一个电子印证体系。电子审计证据不仅要保证自身的证明力,还要与传统审计证据相互印证,以确保其证明力。同时,在使用过程中同样要进行综合分析,在对相关审计内容进行分析的基础上,该审计项目主要负责人还需对重要的电子审计证据进行可靠性、相关性和充分性等方面的再分析、再评估,从而确定最终使用的电子审计证据。电子印证体系的形成还能够帮助审计人员及时发现电子审计证据是否存在问题,通过分析原因,提出修正措施和审计建议。

4.注重运用先进科学技术

电子审计证据的获取依赖于信息技术的发展,获取方式更是与信息技术联系紧密,只有将先进科学技术融入到电子审计证据的获取过程中,电子审计证据的发展才不会处于被动地位。

(1)电子签名。在计算机环境中,文档签署形式已发生了很大变化,出现了电子签名。电子签名是利用密码技术对电子文件进行数据形式签名,它并不是简单地将手写签名数字图像化,它是一种代码,它能验证在传输过程中是否有人对文件原文进行改动,也可用来作为许可意见的确认,同时识别签发者本身。由于电子数据具有容易迁移这个特性,因此电子签名和数据文件本身必须各自独立。审计人员在认定电子签名是否可靠、是否可供使用的同时,需要对其是否被认证、完整性如何、有无授权加以

考虑。

《中华人民共和国电子签名法》中明确规定:“电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。”“数据电文是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。”“根据法律规定,可靠的电子签名与手写签名或者盖章具有同等的法律效力。”

用密码、指纹、声音,甚至视网膜结构等作为电子签名,将更为普遍,电子审计证据的证明力也会随着电子签名技术的运用和发展逐渐增强。

(2)密码技术。按体制来分,密码算法可分为对称密码算法(又称单钥密码算法)和非对称密码算法(又称双钥密码算法、公开钥密码算法)两类。

对称密码算法的特点是公钥(加密)和私钥(解密)钥密是一样的,或两者可以互相推出对方来。对称密码算法要求通信双方在进行通信之前,必须共同确定一个秘密钥密。该算法的保密性依赖于钥密的保密性,和加密算法不存在相关性,即得到密文以及加、解密算法想要破解密文是不可行的。因此,钥密的生成、分发、保存、废弃等过程将关系到整个系统的安全。

非对称密码算法采用不一样的公钥钥匙(加密)和私钥钥匙(解密),且能够使数字签名更加容易实现。因此,最适用于电子商务环境。非对称密码算法通常被用来加密关键性的、核心的机密数据,而对称密码算法通常被用来加密大量的数据。在实际应用中,二者可取长补短,形成混合加密系统,即用对称密码算法加密文件,用非对称密码算法加密“加密文件”的钥密(会话密钥)。

(3)添加水印技术。随着多媒体技术在电子审计证据中的应用,为保证多媒体形式的电子审计证据的证明力,数字水印技术的运用愈加重要。数字水印(digital- watermarking)是将机密信息——水印(watermark)嵌入原本的数据中,用以证明多媒体作品的归属问题。数字水印有很多种,而具有拷贝保护功能的数字水印便可运用到电子审计证据中。

拷贝保护的数字水印的目的是将合法接收者的信息标识出来,用以对流通数据的非法拷贝进行监控和跟踪。此类数字水印在每个不同的拷贝中嵌入不一样的水印,一般叫做“数字指纹”。此类数字水印的应用在音频、视频的CD及DVD中较为普遍,若想将其应用于电子审计证据中,仍需增强其抵抗恶意攻击以及编码高手篡改的能力。

5.提高审计人员技能

电子审计证据的使用建立在信息系统之上,这就要求审计人员不仅具有过硬的财务知识与审计方面的技能,還要对信息系统有所了解。应对审计人员进行信息系统应用与识别信息造假等方面技能的培训,从而提高审计人员对电子审计证据的使用能力。

参考文献:

[1]夏敏霞.浅谈会计电算化下的计算机审计[J].中国科技信息,2011(14).

[2]鲍忠萍.计算机审计风险的成因及应对措施[J].当代经济,2008(13).

[3]陈伟.云计算环境下的联网审计实现方法探析[J].审计研究,2012(3).

[4]张利华.风险导向审计下电子证据的获取思路[J].审计月刊,2006(13).

[5]陈祖信,徐琪琳.电子审计证据的质量控制[J].审计月刊,2006(8).

[6]黄映芬.信息系统环境下审计证据的可靠性探析[J].审计月刊,2009(4).

[7]钟齐整,罗宏科.会计电算化对审计工作的巨大影响[J].商场现代化,2007(11).

[8]柴建华.获取审计证据应注意三点[J].湖北审计,1996(5).

[9]许存格.提高审计证据证明力的途径分析[J].商业会计,2012(4).

(作者单位:北京物资学院)

猜你喜欢
风险策略
基于“选—练—评”一体化的二轮复习策略
求初相φ的常见策略
例谈未知角三角函数值的求解策略
我说你做讲策略
高中数学复习的具体策略
我国P2P网络借贷的风险和监管问题研究
浅析应收账款的产生原因和对策
中国经济转型的结构性特征、风险与效率提升路径
互联网金融的风险分析与管理
企业纳税筹划风险及防范措施