网络审计是指审计人员基于互联网,借助现代信息技术,运用专门的方法,通过人机结合,对被审计单位的网络会计信息系统的开发过程及其本身的合规性、可靠性和有效性以及基于网络的会计信息的真实性、合法性进行远程审计。
网络审计是指审计机关与被审计单位进行网络互联后,在对被审计单位财政财务管理相关信息系统进行测评和高效率的数据采集与分析的基础上,对被审计单位财政财务收支的真实、合法、效益进行实时、远程检查监督的行为。
网络安全审计从审计级别上可分为3种类型:系统级审计、应用级审计和用户级审计。
系统级审计主要针对系统的登入情况、用户识别号、登入尝试的日期和具体时间、退出的日期和时间、所使用的设备、登入后运行程序等事件信息进行审查。典型的系统级审计日志还包括部分与安全无关的信息,如系统操作、费用记账和网络性能。这类审计却无法跟踪和记录应用事件,也无法提供足够的细节信息。
网络审计的范围扩大。网络经济活动是无疆界的,对某一个企业的审计可能涉及到国内外企业。另外在网络系统中能接触到会计信息处理的人可能不仅仅是审计单位的少部分人员,能接触会计信息处理的人有可能涉及整个网络用户,出现数据错误就可能不是审计单位造成的,这样就很难确定责任人,此时再把审计范围局限在被审计单位是不合理的,因此审计范围扩大了。
审计对象的范围在扩大,网络系统的设计、实施等内容也出现在审计对象中。在网络系统中其资源共享的优势使得审验中各工作站都可能同时使用一个信息来源,由各自封闭的系统向整个系统敞开、互相影响、互为前提、彼此依赖,即对网络系统的依赖性极为提高。当被审单位会计人员过于放心网络系统,而网络系统不能正常发挥其职能时,手工或单机下的信息对象的真实、正确、合法等就无从谈起。
建立必要的上机操作控制和系统运行日志。建立健全上机的规章管理制度,对系统的用户身份、操作参数和运行状态、事故类型等进行实时监控和记录,并定期检查、评比,做到奖罚分明。实行用户分级授权管理。按照网络审计系统需要设置审计岗位,建立健全岗位责任制,并通过对每个用户的安全级别和身份标识来落实其职责与权限;严格轮岗制度,定期调整内部控制人员的监督权限,防止内部人的合谋串联作弊;严格计算机硬件设备管理,确保计算机硬件设备能够连续地、实时地运行,系统内部人员按各自的权限范围管理和使用计算机硬件设备,并按操作程序办事;加强系统软件开发控制,在计算机软件开发的前期,审计人员和风险管理人员要参与系统控制功能的研究和设计活动,以确保控制功能在系统内得到有效实现和健全有效;强化内部审计制度,要加强内部审计监督,要成立审计委员会,监督和控制各个工作站的日常工作,对内部控制系统薄弱的环节,加强管理与完善。