风险计算

关键词： 注会 计算 风险 学习

风险计算（精选十篇）

风险计算 篇1

在注会的学习过程中, 教材中仅给出了一些原理性的东西, 有的内容只是点到而已。如2003年的考试计算题目中考到了联合成本在分离点以前成本的分配, 运用可变现净值法求解, 大家知道该种方法是在会计学习计量资产减值 (或跌价) 时运用的方法, 但命题时却出现在试卷上。由此可见, 注会的学习不能仅满足课本上的理解, 还必须进行相应的挖深学习, 对课本上提及的公式细划、推导, 对应用的会式吃准吃透, 灵活运用, 并辅之以强化练习, 方能达到目前考试要求。

风险作为财管学习的两大主题之一, 其重要程度可想而知, 在连续3年 (2003年~2005年) 考核主观题目都会涉及。风险的学习主要分两大块:基本理论和计算。

一、基本理论

1. 风险的含义:

预期结果的不确定性, 风险不仅包括正面效应的不确定性, 还包括负面效应的不确定性, 风险这一新概念, 反映了人们对财务现象更深刻的认识, 也就是危险与机会并存。而在我们财管当中, 最为关注的是与收益相关的风险。

2. 风险 (σ) 的分类:

(1) 公司特有风险即可分散风险、非系统风险, 具体包括经营风险和财务风险。

(2) 市场风险即不可分散风险、系统风险, 用字母 (β) 表示。

在投资合理出现之后, 人们认识到多样化投资可以降低风险。在充分组合的情况下, 单项资产的风险对于决策没用, 投资人关注的只是投资组合的风险;特殊风险与决策是不相关的, 相关的只是系统风险。在投资组合理论出现以后, 风险是指投资组合的系统风险, 既不是指单个资产的风险, 也不是指投资组合的全部风险。

二、计算

1. 单项资产的风险计算:

市场预测和预期收益概率分布表计算步骤如下:第1步计算期望值 (预期值) :它反映的是随机变量取值的平均化, 在风险相同的情况下, 取报酬较高的项目, 在报酬相同的情况下, 取风险较低的项目。

第2步离散程度 (即风险大小衡量) 常用方差和标准差, 二者的关系是、傩=标准差, 此处的计算分两种情况。

A:知道概率运用公式

B:不知道概率:

在财管中使用的样本量都很大, 区分总体标准差和样本标准差从教材中来看二者没有实际意义, 但在我们考试中千万不要马虎, 不能随意应用, 只能用样本标准差, 固然该公式隐涵了诸多缺点, 但我们还是要坚持运用样本标准差。

第3步:变化系数 (标准离差率)

2. 投资组合的风险计量:

(1) 投资组合的标准差, 并不是单个证券标准差的简单加权平均。证券组合的风险不仅取决于单个证券的风险, 还取决于证券之间相关系数的大小。

计算公式:常用的是两种或三种:

两种证券:比重A1 A2

单个标准差σ1σ2

其中:rjp叫相关系数

(A1b1) 2叫方差

σ1σ2rjp叫协方差

三种证券投资组合比重:A1 A2 A3

单个标准差:σ1σ2σ3

依次类推随着证券种类增加, 方差个数占得很少, 而协方差比重在增大, 也可以这样理解, 在众多证券组合中, 我们将方差忽略不计, 只计算协方差即可。

由上面的计算式子可以看出, 证券投资组合的标准差大小, 主要取决于相关系数rjp。理论研究表明rjp求值范围在-1≤rjp≤1

rjp=1表明一种证券报酬增长与另一种证券报酬增长同比例

rjp=O表明一种证券报酬增长与另一种证券报酬增长不相关

rjp=-l表明一种证券报酬增长与另一种证券报酬减少同比例

从计算方式中可以的看出ri。值越小, 风险分数化效应越强。

(2) 系统风险的计量

(1) 回归直线法

例

要求: (1) 采用回归直线法计算甲股票的系数

(2) 公式法

(3) 加权平均法:

例:甲公司持有A, B, C三种股票, 在由上述股票组成的证券投资组合中, 各股票所占的比重分别为50, 30%和20%, 其β系数分别为2.0, 1.0和0.5。市场收益率为15%, 无风险收益率为10%。

要求:甲公司证券组合的β系数

甲公司证券组合的β系数=50%×2+30%×1+20%×0.5=1, 4

(4) 类比法:

w公司是一个商品流通企业, 拟进人前景看好的制药业, 为此w公司拟投资新建制药厂, 目前W公司的资产负债率为4 5%。N公司是一个有代表性的药业生产企业, 其β系数为0.99, 产权比率为1.5, 则w公司的β系数 () 。

解不考虑所得税:

β资产=0.99÷ (1+1.5) =0.396

β权益=0.396×1.82=0.7207

考虑所得税 (T=33%)

简述计算机网络风险的优化管理 篇2

来源：http://

信息时代，网络安全直接关系到信息能否及时获取，信息资产是否安全。网络技术的发展和应用，大大推动了人类社会的进步。网络自身的特性为信息的交流、共享创造了理想空间。

然而，正是由于网络自身的特性，计算机网络风险—直影响着网络安全。计算机网络风险的优化管理的目的就是确保通过合理步骤，以防止所有对网络安全构成威胁的事件发生。风险优化管理将风险防范到可接受的程度，最大程度保护信息及其相关资产。

1网络风险

计算机网络风险主要包括病毒、木马、网络监听、黑客攻击、恶意软件等。其中，计算机病毒是最常见也是最主要的网络风险。病毒技术的发展在某种程度上已经超过了网络技术。随着病毒技术的发展，它已经成为一种聚集了多种风险的网络威胁。第二，木马程序其实是一种远程控制程序。目前对于木马程序的查杀的难度相对比较大，很多专业的计算机病毒防护程序都不能将其有效地查杀。第三，网络监听。它是一种网络通信监测活动，是一些不法分子在目标网络上所进行的。通过网络监听不法分子可以获取目标网络用户的信息。第四，黑客攻击。黑客攻击可以分为破坏性和非破坏性两种，他们的攻击手法也多变的，而且危害相当大。最后是恶意软件也称为流氓软件。它是对破坏或者影响系统正常运行的软件的统称。2计算机网络风险优化管

理计算机网络风险优化管理包含了计算机网络屙I生的特征分析、网络风险的评估以及网络风险的防范。其目的是为确保通过合理步骤，以防止所有对网络安全构成威胁的事件发生。网络属性的特征分析是一次对计算机网络风险优化管理主循环的起始分析。这个过程分为准备阶段、信息系统调查阶段、信息安全分析以及信息系统的全面分析。计算机网络属性特征分析可以准确的确定计算机网络的属性，并为后续的网络风险评估提供了依据。网络风险的评估过程是对网络风险以及网络风险影响的识别和评价过程，通过网络风险评估提供相应的措施和建议以降低网络风险的影响，为网络风险的防范工作提供支持。网络风险的防范是控制网络风险的一个重要环节。它根据网络风险评估所提出的安全控制建议，对这些控制过程进行排序、评价甚至实现，以达到降低网络风险影响的目的。其中，网络风险防范的模式包括：网络风险防范的策略、网络风险防范的措施以及网络风险防范的实施。

通常情况下，计算机网络系统存在漏洞，以及这些漏洞被恶意攻击等隐患存在的时候就要采取相应的网络风险防范的策略，以防范故意的人为威胁所带来的风险。例如当系统存在漏洞时，可以通过保证技术的实现来降低弱点被攻击的可能性：

当遭到恶意攻击时，层次化保护、结构化设计以及管理控制都可以将网络风险最小化。

如何防范计算机审计风险 篇3

一、计算机审计风险形成的原因

（一）传统审计线索逐渐消失。在手工系统中，由原始凭证到记账凭证，由过账到财务报表的编制，每一步都有文字记录，都有经手人签字，审计线索十分清楚。审计人员进行审计，完全可以根据需要进行顺查、逆查或抽查。但在电算化会计系统中，从原始数据进入计算机，到财务报表的输出，这中间的全部会计处理集中由计算机按程序指令自动完成，传统的账薄没有了，绝大部分的文字记录消失了，传统的审计线索在这里中断了、消失了。代之的是存有会计资料的磁盘和磁带，这些磁性介质上的信息是以机器可读的形式存在的，肉眼不能识别。存储在磁盘上的数据很容易被修改、删除、隐匿、转移，又无明显的痕迹，因此，审计人员发现错误的可能性就减少了，而审计风险就增加了。

（二）会计系统内控制度的改变。在手工系统中，内部控制的测试是看得见、摸得着的，但在会计电算化信息系统中，内部控制的技术和方法发生了很大的变化，使得手工系统中的许多原有的控制措施都已不适合了。例如，在电算化会计系统中，会计信息的处理和存贮高度集中于计算机，会使手工会计系统中的某些职责分离，互相牵制的控制失效。大部分控制措施都是以程序的形式建立在计算机会计信息系统中，肉眼无法觉察，在很大程度上依赖于计算机处理。而计算机会计信息系统的内控功能是否恰当有效会直接影响系统输出信息的真实和准确，内控环境的复杂性使舞弊行为有机可乘，从而增加了审计风险。

（三）审计内容的改变。在会计电算化条件下，审让的监督职能虽然没有改变，但审计内容却发生了变化。在电算化会计信息系统中，会计事项由计算机按程序自动进行处理，如果系统的应用程序出错或被非法篡改，则计算机只会按给定的程序以同样错误的方法处理所有的有关会计事项，系统就可能被神不知，鬼不觉地嵌入非法的舞弊程序，不法分子可以利用这些舞弊程序大量侵吞企业的财物。电算化会计信息系统的特点，及其固有的风险，大大增加了审计风险。

（四）审计技术、方法日趋复杂。在手工会计处理的条件下，审计可根据具体情况进行顺查、逆查或抽查。审查一般采用审阅、核对、分析、比较、调查和证实等方法。所有审查工作都是由人工完成的。在会计电算化条件下，会计的特点决定了审计的内容和技术的改变。虽然人工的各种审查技术仍是很重要的，但计算机辅助审计是必不可少的审计技术。因为即使系统的全部账表都要硬盘拷贝，利用计算机还是可以比手工更迅速、更有效地完成审阅、核对、分析、比较等各项审查工作。例如，计算机可以帮助审计人员审阅账务文件，找出满足指定条件的会计记录；可以对众多的会计事项进行统计抽样，以便审计员对抽出样本进一步审查；还可以根据系统所记录的会计资料计算出各种财务比率、变化率和进行各种分析比较等等。审计人员如果不熟悉电算化会计软件的特点和风险而不能识别和审查其内部控制；如果不懂得利用计算机审计技术和方法进行审计，必然会带来审计风险。

（五）审计人员计算机知识的缺乏。目前，大部分审计人员对于计算机知识普遍缺乏，而随着会计电算化的实行，审计的对象也更多更复杂了。因此，审计人员除了要有专业的审计、会计知识外，还必须掌握一定的计算机知识和应用技术，否则，审计人员作出的审计结论有可能偏离被审计单位会计信息系统的实际，从而造成审计风险。

（六）现行会计软件评审机制存在缺陷。现行会计软件的评审主要侧重于软件功能的构成要素及会计处理方法的合理性，忽视了审计线索的保全性；评审侧重于会计软件运行的结果与手工一致，忽略了对软件开发过程内部控制系统的评价；评审依赖于会计电算化专家小组及部分用户的意见，忽视了软件的审计特征；评审的结果可能同审计人员的意见产生冲突。这些都给审计人员的工作带来了一定的困难和风险。

二、计算机审计风险的防范

（一）加强对会计电算化系统内部控制的审计。一方面是企业的内部控制能在多大程度上确保会计电算化系统中会计记录的正确性和可靠性?熏如输入、输出的授权控制?熏业务处理的审核等。另一方面是内部控制的有效执行能在多大程度上保护资产的完整性?熏通过以上两方面的评价?熏可以判断企业内部控制系统能在何种程度上防止或发现会计报表中的错误及经营过程的舞弊。

（二）加强对会计电算化系统程序审计。会计电算化系统的核心就是会计软件?熏会计软件程序质量的高低?熏直接决定了会计电算化系统整体水平的高低?熏在这部分里主要审计会计软件程序对数据进行处理和控制的及时性、正确性和可靠性?熏以及程序的纠错能力和容错能力。会计软件程序的审计可采用通过计算机审计的方法及利用计算机辅助审计中的数据转换功能的方法来完成。

（三）选择恰当的审计技术与方法。审计人员可以根据被审计单位不同的系统而采取不同的审计方法和技术，从而有效地降低审计风险。当打印文件充分且与被审计单位输入输出联系比较密切能直接核对时，则可采用绕过计算机的审计方法，用核对、复核、分析等审计技术；当被审计单位采用实时处理，纸质的审计线索较少且输入输出不能直接核对时，审计人员可采用抽查原始凭证与机内凭证相对比?熏抽查打印日记帐和机内日记帐相核对等方法?熏同时利用计算机辅助审计软件的功能来完成审计?熏从而降低审计风险。

（四）改进会计软件的评审机制。财政部门对会计软件的独家评审机制，给会计电算化信息系统审计工作带来了一定的困难和风险。因此，需要对会计软件评审机制进行改进，在会计软件通过财政评审前，由审计机关组织专家对软件开发商进行软件开发审计，并作出审计结论，财政部门参考审计结论，最终作出是否通过评审的决定，基层的审计人员也只需参照审计结论来审查、评价基层用户的会计软件系统。这样就使审计人员和财政部门评审人员共同分担了评审责任和风险。

如何化解云计算的潜在风险 篇4

以动态运算技术为核心,以“服务合约”为其主要拓展模式的云计算,已经成为当今信息技术产业发展的重点。但如今云计算服务的安全性已经成为制约其发展的主要问题,特别是在提供云服务的Google、微软、Amazon等公司出现信息安全性故障以后,其安全性尤为令人担忧。IDC曾经对244位IT主管或CIO们做过一项调查,了解他们对于企业内部署云计算的看法,结果显示安全性以74.6%的关注率排在第一位,成为他们最关心的问题。对于信息数据安全级别高的行业,如金融行业、政府部门、军工行业等,对于云服务更是望而却步。本文意在探讨化解云计算潜在的风险的方案,并对一些完善云服务安全性的技术问题作进一步的阐述。

1 云计算应用现状

云计算的特点及优势主要体现在“云”上,即将各种应用服务以及计算任务完全的分配到“云”中,进而除去了各种应用系统自身的条件限制,使其按需获得相应的计算力、存储窄间和各种软件服务,实现对数据的处理、存储以及软件应用等服务。“云服务”是指以云计算为基础的应用。

SAAS与平台即服务。SAAS所指的是软件即服务,其对于用户以及软件服务商来说都有益处。用户无需购买服务器或软件授权即可通过云计算享受到软件服务,即用户通过网络浏览器就可以对软件进行应用;此时软件提供商也无需在拓展软件授权以及专属服务器上投入大量的资金以及研发力量。平台即服务是从SAAS发展而来的,其服务最大的优势就在于,用户无需受到自身计算机的开发能力制约,而可以基于云计算提供的开发环境来开发自己的程序,并可以将开发完成的程序通过“云”对接到互联网用户群中。

实用计算。实用计算是为整个网络用户所提供的是一个虚拟化的数据资源中心,其可以实现对现有存储设备以及计算能力的集中化管理。

网络服务。云计算中的“云”即指广阔的互联网空间,因此其所提供的网络服务也是全面的,包括分散的商业服务,以及专有的API服务。API服务可以有助于让程序开发者更多的面向对基于互联网应用的开发。

MSP(管理服务供应商)。此种服务面向的客户群体主要是IT企业,其主要应用于保证网络中数据信息传输的安全性以及对应用程序的监控等。

商业服务平台和云计算集成。商业服务平台实现了终端用户与服务商的共同交流,其是SAAS和MSP的合并;集成意是指对同类服务商的集合,这种终端用户可以按需通过云平台选择自己信赖的服务商。

2 云计算的重要特点

2.1 虚拟化技术

目前与计算平台最大的特点就是虚拟化技术,其技术核心在于利用软件实现对对硬件资源的虚拟化管理,切换以及应用,虚拟化平台是终端用户享受虚拟化资源服务的对接平台,且由于云计算的运行速度较快,用户在调用资源时,与操作本地计算机没有太大的区别。另外,用户在享用虚拟化资源时并不会占用本地计算机的资源,也无需担心有与软件的漏洞而计算机系统受到攻击等问题的发生。

2.2 快速部署弹性扩容

动态运算模式时云计算主要的技术特征,云计算平台的计算能力可以根据用户的增减而动态收缩,实现了较高的资源利用率,能够真正做到按市场需求完善空间容量。云计算弹性资源调度的特性,能够实现资源的对接性,即资源是不会随着用户的增多而枯竭。

2.3 高可靠性

云计算服务具有高可靠性,其存在数据多副本容错机制以及计算机节点同构可互换等。即云计算在实现分布式计算时,当有新的资源加入到数据中心,云平台会根据策略实现对资源计算节点的自动分配,计算任务会自动分配到高性能的计算节点上,计算节点上的计算任务可以根据自身的性能来转移,有效地保证了计算任务顺利的完成。

2.4 按需服务

云计算本身就是一个虚拟化的数据资源共享中心,用户根据自身需要调用资源共享中心相应的内容,用户也仅需要支付自己所占用的云资源,对于云计算平台来说,其可以根据按需分配的原则,实现对资源分布式管理,云服务中的空分共享和时分共享是提高资源利用率两种方式。相关应用信息表明,虚拟化后空分共享服务器可在原有利用率基础上提高50%以上。

3 云计算存在的风险

云计算最关键的技术在于虚拟化技术的实现,云计算最主要的功能也实现于资源的虚拟化和服务化,云计算的虚拟化是构成数据共享中心的核心,也是促使网络异构资源实现共享化、标准化、平台化的核心。这些功能的实现明显地简化了对资源的配置与管理,按需分配的共享化原则也是提高资源利用率的核心,这也是云计算弹性灵活的数据管理模式巨大优势的真实体现。但是云计算应用范围的扩大,其安全问题也成为其用户最关心的问题。2009年3月份谷歌公司用户的数据信息泄露事件的发生,同年2月份和7月份,亚马逊所发生云存储服务中断的事件等都令人们对云服务倍感忧心。云计算平台的安全性之所以难以控制是因为其规模性强,且面对的用户群较多。云服务的安全性主要包括几个方面。

(1)服务器规模性过大,安全措施保障起来较复杂。云计算中不仅需要维护类似传统服务器中主机的安全、网络安全等,还有其独有的虚拟机的安全。

(2)数据安全。云计算为用户提供的最主要的功能就是对数据的存储运算以及软件应用,其中数据信息安全决定着用户的隐私权,云计算中往往就是因为来自不同地方的数据都共享存储在资源池中,因此其安全性比较难保证,数据安全问题主要包括数据的安全、共享安全,传输安全等。

(3)应用服务的安全。云计算平台最主要的是以提供服务为主,其上面的任何资源可以为用户所用,由于其提供的服务范围比较广泛,因此所应该控制的安全问题也较多,如安全单点登录、身份认证、信任模型等。

(4)安全管理与监控。由于云计算是一个集约化、规模化的平台,其上面不仅包括终端客户,另外还包括服务供应商,两者的安全性都需要进行管理,进而这就需要两者能够相互监管,共同维护云计算的安全。

4 从技术的角度分析云计算所潜在的风险

4.1 潜在性的数据传输风险

当处于典型的云计算的应用的环境时,物理的安全边界将逐渐的被逻辑的安全边界所取代。为了确保终端用户到云计算数据中心的传输通道的安全性能,在云的边界云服务供应商应当将防火墙、VPN等安全产品部署在其内,并且还应当依靠防毒软件、入侵监测或保护IPS等安全组件去扫描、分析并过滤接入的数据流,从而使云接入的安全性能得到提升。而在云计算的应用领域,云服务提供商能够凭借反垃圾邮件、Web过滤等手段去净化数据流,从而让它转变成可控制的具有极大的安全性的数据流。

4.2 潜在性的数据存储风险

为了实现计算运行效率、可用性能及可扩展等各个方面的经济效益,一般情况下云计算会采用租户模式的手段,从而实现用户之间的数据的混合存储。在云计算刚被设计出来的时候它所采取的是“数据标记”之类的技术从而实现对非法访问混合数据的阻止的目的。但是由于应用程序仍然存在着漏洞,因此它不能彻底的阻止数据的非法访问。为此广大用户终端应当高度警惕云服务提供商、邻居“租户”以及某类应用对敏感数据的窃用,并提升信息数据的安全意识,对加密的数据信息保持高度的重视。

4.3 身份管理与访问控制存在着风险

身份管理与访问控制在多租户共享的云环境中依旧是云安全的最大挑战之一。即使很多企业能在缺乏良好的身份管理与访问控制的前提下使用某些云计算服务,但是数据机密性有着较高要求的金融业则不会去采用云计算服务。因此,为了在云环境中控制云服务的访问并保证业务运作方法与审计相符合,企业应当对具有可信度的用户配置文件及其规则信息进行创建。然而在管理用户的配置文件和授权的过程中,我们也应当注意审计时间、告警、日志等记录、对数据隐私策略的需求进行评估、在对用户配置文件实行维护时应将访问管理特权实现最小化、对用户的配置信息及策略进行有效识别、对数据类型和访问控制模型的服务的适当与否进行严格审查等内容。如2009年微软已经请Veri Sign公司为其Window Azure平台提供基于云计算的安全和认证服务。

4.4 对虚拟化技术的潜在风险的防范

由于数据资料会在数据中心的虚拟机上运行,而虚拟机之间又会形成相互攻击的局面,因而造成了系统的不可控制的结局。此外,由于虚拟机会跑动,因此管理我们的资料也形成了一种无法控制的局面。比方说传统方式上对于资料中心的设计方法是利用防火墙为主资料中心,但是现在处在云计算时代,一旦虚拟机会跑动防火墙就会失效,同时也会使虚拟机内的资料无法让人类控制。因此我们有必要去在虚拟机内做防火墙和IDS等防范措施,并且将虚拟机内的资料加以解密加密,从而有效划分虚拟环境的隔离以及对虚拟机的状态进行监控。

5 总结

目前,虽然云计算还存在着许多技术上、政策上、标准上等多方面的问题,但它依旧取得了长足化的发展,也的的确确的代表着未来信息技术的发展趋势并为人们构建了新的IT行业的发展蓝图。而云计算的不断完善与发展,特别是对安全问题的完好解决,让我们意识到云计算它所具备的广阔的发展前景。

摘要：随着云计算技术的快速发展和更广泛应用,云计算的潜在风险越来越受到关注。文章介绍了云计算的应用现状及重要特点,分析了云计算存在的风险,从技术的角度对云计算的潜在风险进行分析。

关键词：云计算,云安全,风险

参考文献

[1]刘楷华,李雄.云计算的安全模型和策略分析[J].电脑知识与技术,2011(8).

[2]冯登国,张敏,张妍等.云计算安全研究[J].软件学报,2011,22(1).

[3]谢四江,冯雁.浅析云计算与信息安全.北京电子科技学院学报,2008,(12)

浅谈计算机审计面临的风险及对策 篇5

一、计算机审计面临的风险

（一）内部控制风险。计算机系统中的内部控制风险是指会计电算化系统的内部控制不严密造成的风险。在手工记账条件下，内部财务的控制机制完全是人与人之间的互相监督和控制。实现会计电算化后，这种监督和控制主要表现为人和机器的双重控制，而且以对机器的控制为主。机器控制较之制度控制存在以下几种问题：一是缺少交易轨迹，计算机的指令操作，比手工提供的可见证据少得多。数据可能直接进入计算机系统而没有相应的支持凭证。如某些联机系统中，单个的批准数据输入的书面证据可能被其他计算机程序取代；二是同类交易处理的一致性。计算机处理一律以相同的指令处理类似的经济业务，因此，虽然与手工处理的抄写错误可消除，但程序错误通常导致错误地处理所有的业务；三是缺乏职责分工。许多在手工系统中由多人分工执行的控制程序，在计算机信息系统中都被集中起来。存取计算机程序、数据和信息处理的一个人可能处于执行不可分的多种职责的位置；四是在特定方面发生错误和舞弊行为的可能性较大。由于计算机信息系统的固有限制，在系统开发、维护和执行过程中人为错误的可能性大。在缺少适当控制时，被审单位内部人员未经授权存取或不留证据地改动数据和程序的可能性将提高。此外，由于处理会计信息的人员减少，同时也降低了发现错误和误差的可能性。由于以上这些内部控制风险，造成会计信息系统存在隐患，也加大了计算机审计的难度，促使计算机审计应对被审计单位会计信息系统及计算机系统环境的安全加以检验，并采取措施防范内部控制风险。

（二）文件记录风险。这种风险是指电磁性财务数据有被篡改的可能。在电算化系统中可人为篡改数据而不留痕迹。一是计算机审计是随着会计电算化的发展而产生的，在以往的手工会计核算系统中，从原始凭证到记账凭证，从记账到报表编制，每一步都有文字记载和经办人员签名，审计线索比较清晰。而在会计电算化信息系统中，由于数据存储介质的磁性化和数据处理过程的自动化，业务数据进入计算机系统之后，由计算机按程序自动生成会计报表，即使有篡改也不会留有痕迹，比起手工系统来，电算化系统中的审计线索更隐蔽、更容易引发经济犯罪；二是在电算化系统中，会计账簿是由系统自动登记的，用户能修改的数据主要在凭证和报表中。所谓数据文件的修改，是指对未登账的凭证以及报表数据的修改，已登账的凭证是不能修改。目前电算化系统中使用的会计软件对操作人员的每次操作都有记录，但这样的记录显得过于宽泛，使得有价值的线索隐蔽其中难以发现。由于传统审计追踪审查已不适用，审计入手点更多的是靠审计人员的经验和判断。文件记录风险的产生，使得审计工作加大了工作量，增加了审计成本；也使审计风险增加。

（三）系统安全风险。对系统安全的审计是计算机会计信息系统审计的重要内容，也是审计的难点。主要包括对系统开发和应用程序的功能进行审计测试。对系统开发的审计是事前审计，审计人员要参与系统分析、调试、运行与维护等。而对系统应用程序进行审计，一是要对嵌入应用程序中的控制措施进行测试，看其是否按设计要求运行中；二是通过检查程序运算和逻辑的正确性已达到实质性测试的目的。在财务会计软件中，是通过对系统使用人员的密码和授权设置以及进入系统的身份验证功能实现的。对这些功能的审计，可通过简单的测试得出结论。由于要确定所审计的会计信息系统的安全性需要审计人员有丰富的计算机知识，因而对审计人员的计算机专业性要求很高，这也是审计人员面临的挑战。由此也产生了判断系统安全是否准确地审计风险。

二、对策

（一）针对内部控制风险，审计人员在评价会计电算化系统固有风险和控制风险时，须考虑以下事项：一是被审计单位使用的计算机信息系统是自行开发的而非外部购买，使用者是否有能力改变数据和开发报告；二是一般控制影响财务应用系统的可靠性，其影响程度取决于具体应用的范围和风险水平，计算机信息系统记录内容的性质和范围影响系统环境的复杂性和其面临的固有风险。针对被审计单位的会计信息系统特点和固有或控制风险，应询问被审计单位的主要管理人员，查阅相关文件记录，审察被审计单位的业务活动及其运行情况，考虑以前审计过程中所了解的相关情况及其变化，并进行符合性测试。通过加强对与计算机系统相关的内部控制的审计来降低计算机审计中面临的控制风险。

（二）针对文件记录风险，审计人员应当检查会计信息系统是否具有识别错误的功能，对

系统拒绝接受的错误数据，是否提供适当的控制措施，对系统拒绝接受的错误数据，是否提供适当的更正程序；复核输入、输出设计，查明是否留有审计线索并进行实质性测试。

此外，审计人员通过程序对实际会计业务的处理进行监控，判别程序处理和控制功能是否按设计要求运行。例如，审计人员可以通过输入错误数据查看更正过程以确定输入控制是

否可靠；也可以通过被审计单位正常业务处理以外的时间里亲自或监督进行，将一批处理过的业务再处理一次，比较两次处理的结果，以确定程序是否被非法篡改、处理和控制功能是否恰当有效。

降低计算机网络风险的方法探析 篇6

关键词 计算机网络 网络可靠性 局域网络 服务器机群 防火墙系统

中图分类号：TP393 文献标识码：A

0 引言

计算机网络能够始终如一地可靠工作，不受干扰和破坏，可靠性日益成为计算机网络不同使用层次用户共同关心的核心问题，可靠性也成为计算机网络的基本要求。探讨高可靠计算机网络的设计准则，解决计算机网络的可靠性设计和建设问题，确保计算机网络能够可靠地正常运行，具有较高的理论和现实意义。

1计算机网络概述

计算机网络是计算机技术与通信技术紧密结合的产物，是通过数据通信系统把分布在不同地理区域，具有独立功能的计算机，通过功能完善的网络软件实现数据通信、资源共享和协同工作的一种计算机系统。近年来，计算机网络正在朝高可靠性和多综合业务的方向发展。在计算机网络发展的进程中，一个重要里程碑就是 20 世纪 80 年代出现的计算机局域网络（local area network，LAN）它使得一个或几个单位的个人计算机、工作站、数据和语音通信设备、控制设备和安全设备连接起来，互相共享资源和交换信息。1980 年 2 月美国电气和电子工程师学会组织颁布的 IEEE 802 系列标准，对局域网的发展和普及起到了巨大的推动作用。本文对可靠性的论述主要针对计算机局域网展开。

2 计算机网络的可靠性设计准则

英国电气工程师学会曾发表论文指出：“在提供通信的英国天网系统的设计研制中，中心课题首先是可靠性”。计算机网络是应用系统的基础，实现了单位内部各部门间以及与外单位的信息联系，网络系统在任何时间、任何地点发生的一故障，都能直接给上述应用带来灾难性的损失，其可靠性直接关系到应用的好坏，解决好可靠性问题已成为计算机网络正常运行的前提。计算机网络的可靠性设计准则是对设计实施过程中的工程经验进行充分总结，使之条理化、系统化、科学化，成为计算机网络规范化设计和建设过程所必须遵循的要求和原则。

（1）提高计算机网络的任务可靠性通常采用余度设计和容错技术，具体表现为网络中的各台计算机可以通过网络彼此互为后备机，一旦某台计算机出现故障，故障机的任务便可由其它计算机代为处理，避免了单机无后备使用情况下，某台计算机故障导致网络系统瘫痪的现象，从而保证了计算机网络的可靠性。

（2）提高计算机网络可靠性要综合考量新技术的采用。既要考虑主干网络技术的发展，不至于在短时期内被淘汰，确保系统具有较长的生命周期，最大限度地满足业务发展的需要；又要实施合理的继承性，谨慎使用新技术，降低风险，使计算机网络的设计具备良好的兼容和扩充能力，能够实现高可靠网络的平滑升级。

（3）提高计算机网络的可靠性要求统筹考虑全寿命周期费用，尽可能地降低网络系统的造价，使后期的运行、维护费用降至最少，力求使系统达到最佳的性价比。计算机网络主要软、硬件设备应采用广泛应用且具有良好性能价格比的产品，充分考虑保护网络的建设投资。

（4）提高计算机网络的可靠性，应根据现有的实际条件，在设计中选择质量优秀、有良好声誉的网络产品，并且所用的网络产品都应满足可靠性设计指标要求，严格遵守计算机网络的相关规范，所有器件及子系统均需满足最新、最高的国内外标准。

（5）提高计算机网络的可靠性，还需要对运行中的网络进行定期人工/自动的检查维护。现代计算机网络具有较大的规模和较高的异构程度，需要尽量避免由于网络线路中断以及设备故障等原因造成的网络系统瘫痪。但是发生故障又在所难免，所以只有及时发现计算机网络故障，具有方便的故障恢复措施、远程监控、配置的能力，才可以保证计算机网络时刻达到规定的可靠性指标，保证整个网络系统具有强大的功能、优越的性能和工作任务可靠性，使计算机网络真正具有较高的系统可靠性。

3结束语

计算机网络是当今世界公认的主流技术；是国家实现现代化的基础设施；是企业信息化的重要途径。可靠性是规模大、异构程度高的现代计算机网络的根本要求，从工程实践中总结的可靠性设计准则，可以指导建设高可靠的计算机网络，保证网络运行中免受干扰，克服因为线路中断以及局部故障导致整个计算机网络瘫痪的缺陷，具备方便的故障恢复措施和全方位的监控配置能力。对计算机网络可靠性进行的深入探讨，有助于促进我国计算机网络设计水平的提高。

参考文献[1] 汪新民，耿红琴.网络工程实用教程[M].北京：北京大学出版社，2008.

[2] 罗跃川.计算机网络教程[M].北京：经济科学出版社，2007.

审计的计算机化风险及其应对 篇7

一、计算机审计风险的含义及特点

1. 计算机审计风险的含义

计算机审计是以被审计单位计算机信息系统和底层数据库原始数据为切入点, 在对信息系统进行检查测评的基础上, 通过对底层数据的采集、转换、清理、验证, 形成审计中间表, 并且运用查询分析、多维分析、数据挖掘等多种技术方法构建模型进行数据分析, 发现趋势、异常和错误, 把握总体、突出重点、精确延伸, 从而收集审计证据, 实现审计目标的审计方式。从企业计算机系统业务与信息流程来看, 风险包括三个方面:一是业务流程风险;二是信息流程风险;三是系统资源风险。前两种风险在非计算机系统中也是有可能发生的, 系统资源风险却是计算机环境下特有的, 包括计算机系统开发和运行中发生的错误, 存取控制失灵、数据丢失和系统损毁、计算机操作人员行为失当等。

2. 计算机审计风险的特点

审计电算化给审计工作模式 (如审计信息收集方式、审计工作重点以及审计信息的输出、传送、贮存方式等) 带来质的变化, 极大提高了审计工作的质量和效率, 为审计提供了前所未有的发展机遇。但是, 由于应用信息技术, 审计环境及其工具发生了重要变化, 使计算机环境下审计风险的出现埋下了隐患。根据审计风险产生的因素, 可将计算机环境下的审计风险分为重大错报风险和检查风险。

(1) 重大错报风险。重大错报风险是指被审计对象在审计前存在重大错报的可能性。这是审计人员可以评估、认定, 但没有办法人为改变的风险。在计算机环境下的审计风险主要具有以下特点: (1) 数据安全性面临威胁, 致使会计信息失真风险升高。在计算机会计中, 大部分的数据是以机器可读的形式存放在磁盘、磁带或光盘上, 一旦磁盘、磁带或光盘出现故障, 数据就无法读出。另外, 存储在磁性介质和光盘上的会计信息, 如果没有适当的防范措施, 易被篡改、复制。同时, 磁性介质在受热、受潮、弯曲和强的电磁场下都会被损坏, 而且无法实现诸如签字、盖章等使信息证据化的操作, 使其信息缺乏公信力。 (2) 电算化信息系统内部控制风险上升。在手工会计中, 许多会计资料分散保存在企业各个责任部门, 没有经过授权批准的人很难接触全部文件。但在计算机环境中, 全部的会计数据都高度集中于电子数据处理部门, 信息容易泄露。且在手工会计中, 由经济业务产生原始凭证, 根据原始凭证填制记账凭证, 接着登记账簿, 再到会计报表, 每一步都有文字记录, 也有经手人负责, 内部控制是看得见、摸得着的。但在计算机会计中, 从经济业务数据进入计算机到会计报表的输出都由计算机按照程序指令自动完成, 内部控制融汇于软件之间。

(2) 检查风险。检查风险是指某一认定存在错报, 该错报单独或连同其他错报是重大的, 但审计人员未能发现这种错报的可能性。 (1) 审计线索缺乏。传统的手工会计系统, 审计线索包括凭证、日记账、分类账和报表等。审计人员可通过各种审计方法, 检查和确定其是否正确反映了被审计单位的经济业务, 检查其财务活动是否合法。而在电算化条件下, 审计人员追查审计线索更为困难。且会计软件的更新换代、版本升级, 增加了从往年账套里提取历史数据的难度, 既降低了审计效率又带来了更多的检查风险。 (2) 审计取证困难。目前会计电算化软件繁多, 这些软件基本上符合财政部颁发的《会计核算软件基本功能规范》。但其功能模块的划分、数据库文件的设置、数据处理系统的复杂性、文件记录和系统操作的非规范化, 使得在审计时要求运用的审计技术和方法也不一样, 增加了审计的复杂性。被审计单位的数据文件结构也各有差异, 特别是一些大型的业务数据库, 如税收、社保、医院等信息系统, 各数据文件的字段及其关联结构极其复杂, 使得审计人员在搜集审计证据时十分棘手, 极大增加了审计工作量。 (3) 审计软件不完善。一是审计软件种类少;二是由于有些被审计单位使用的财务软件在开发过程中未能为审计工作预留合理的接口, 会计软件与审计软件的数据交换困难, 给审计工作带来极大的障碍;三是审计软件升级措施相对滞后, 影响审计效率和审计质量。 (4) 审计人员相关技术有待提高。大部分审计人员普遍缺乏高层次的计算机系统设计、程序编译检测技能, 无法有效分析和掌握被审计单位的数据系统结构。 (5) 审计取证动态化。审计人员一方面要完成审计任务, 一方面又不能妨碍和终止被审计单位会计信息系统的运作, 这样就只能在系统运作这一动态过程中进行取证, 难度较高, 也存在一定的审计风险。

二、计算机审计风险的评估

1. 重大错报风险评估

审计人员除了仍从下列方面了解被审计及其环境:行业状况, 法律环境与监管环境以及其他外部因素;被审计单位的性质;被审计单位对会计政策的选择和运用;被审计单位的目标、战略以及相关经验风险;被审计单位财务业绩的衡量和评价;被审计单位的内部控制。在计算机环境下, 更应该添加以下步骤:

(1) 资产清查。即调查清楚被审单位计算机会计系统的全部资产。 (1) 硬件设备。包括:主机、键盘、显示器、终端、工作站、打印机、磁盘驱动器、接口电路板、调制解调器等计算机会计系统主要硬件装备, 还有一些辅助设备, 如电压稳定器, 空调等。 (2) 系统软件。包括:源程序、目标程序、工具软件、操作系统、数据库管理系统、语言处理程序、维护与诊断程序等。 (3) 应用软件。包括:会计软件取得方式 (购买的商品化软件或单位自行开发的软件) 、版本、软件的主要功能、模块结构、业务处理流程。 (4) 数据。包括:硬盘上存储的数据、软盘上存储的数据、光盘上存储的数据、打印数据、更新日志、审查记录等。 (5) 人员。主要是计算机会计系统或特定程序运行所需的人员, 包括:系统分析员、系统设计员、程序员、操作员、审核员、系统主管等。 (6) 文档。包括:系统的操作手册、维护手册、系统和程序的框图等。列出计算机会计系统的全部资产清单, 某些单位可能对硬件进行了定期的统计, 而对那些不明确的资产 (如会计数据) 并没有进行定期统计调查。根据了解的情况, 决定需要测试的项目;是否需要聘请计算机专家参加系统的审计;准备采用哪些计算机审计技术;是在被审计单位计算机上进行审计, 还是在审计人员自己的计算机上进行审计;被审计单位的计算机与审计人员的计算机是否兼容等。

(2) 确定资产的脆弱性。列出计算机会计系统全部资产的清单相对容易一些, 因为许多资产是一种具体有形可识别的物体。而风险分析的下一步就是要确定这些资产的脆弱性。这一步需预测那些资产可能会发生什么样的损害, 这些损害来自何方。防范计算机会计信息失真的三个基本目标是保证会计数据的完整性、可用性和秘密性。任何一种构成对这三要素的损害均是一种脆弱性。在考虑各种可能的脆弱性与威胁性时, 可以从以下几个方面来考虑: (1) 实体安全。系统资产安全保护规章、制度的完备性;资产存取控制的可靠性;资产存放环境的安全保护的可靠性;责任人员对其资产安全规定的熟悉程度;审计间隔时间等。 (2) 软件安全。软件安全保护的规章、制度的完备性;程序文件存取控制的可靠性;系统中对软件安全保护的实施情况;责任人员对软件安全规定的熟悉程度;对系统新程序的开发和对旧程序的维护管理;系统维护是否遵循系统的标准化步骤;系统是否满足用户需求;审计间隔时间等。 (3) 数据安全。数据安全保护的规章、制度的完备性;数据存取控制的可靠性;系统中数据文件安全保护的实施情况, 有无防护病毒、反盗窃措施;责任人员对其数据安全规定的熟悉程度;对敏感和关键数据的特别保护程度 (如是否有专人管理、密码等) ;对敏感和关键数据的修改是否经过审批;审计间隔时间等。 (4) 系统运行安全保护规章、制度的完备性;系统运行控制的可靠性;责任人员对系统运行操作安全规定的熟悉程度;对系统运行是否实行分级口令操作管理;系统运行的复杂程度;出现意外事故的恢复速度;审计间隔时间等。

(3) 预计风险发生的可能性, 确定风险发生的频率。发生频率取决于现有防范措施的有效性以及发生攻击的概率。实际上是不可能预计某一风险发生的频率, 但可以有方法估计某一风险发生的概率。一般按照下列方法进行估计: (1) 根据对一般目标的观测值来估计。例如, 人们无法知道某一特定的房屋什么时候会发生火灾。然而, 保险公司在收集了大量的有关火灾数据的情况下, 通过对收集数据的分析, 他们可以预测在1年内, 将有几栋房子发生火灾, 评均的损失为多少。同样对其他的自然灾害也有类似数据。保险公司也有关于人生保险、失业保险等方面的数据, 制造业也有关于机器寿命的数据。同样对计算机会计系统的元件寿命、自然灾害与实体灾害发生概率也会有类似的数据。所以通过这些一般的数据来估计。 (2) 根据对特定计算机会计系统的观测值来估计。例如, 硬件失灵率、访问次数、数据文件的大小等可通过操作系统自动记录, 可用从某一特定系统中局部记录下的数据来估计全局的值。 (3) 在某一特定周期内估计风险发生的次数。例如, 可很方便地从系统维护人员那里理解到系统硬件在一年内失灵次数, 通过特定时间内发生次数来估计在一般时间周期内发生的频率。

2. 检查风险评估

检查风险一般来自以下几方面: (1) 由于实质性测试采用抽样技术时, 仅测试一定审计对象的总体中的部分项目, 而不是测试总体的全部项目, 所以, 就存在样本性质不能反映总体性质的可能性; (2) 审计人员因工作失误而选择和运用了不适宜或无效的审计程序, 而未能发现各种错误或不法行为; (3) 因审计人员假设观察和推论等思维导致错误发表的审计意见与特定审计对象相背离。在三种检查风险中, 第一种属于抽样风险, 即实质性测试未能发现重大错误或不法行为的风险;第二、三种属于非抽样风险, 即分析性审计程序未能风险重大差错或不法行为的风险。

将计算机引入审计, 在一定程度上给抽样风险问题的解决提供了可能。首先这要从计算机抽样审计与手工抽样审计的区别说起。计算机抽样审计与原手工抽样审计的基本步骤保持不变, 但对于数据来源、数据处理、底稿输出和结果评价等方面, 由于计算机处理的特定, 两者有一定差异。在数据来源上, 计算机抽样审计一般是借助于计算机和相应的抽样软件从被审计单位数据文件中抽取样本, 而非原手工抽样从纸质的原始凭证、记账凭证以及账本中抽取所需样本。对于原先在手工抽样中, 需人工计算总体容量、抽样容量以及标准差估计值等工作, 在计算机抽样审计中, 随机数表和结果评价表均由计算机专用程序自动提供, 而且随机数表比以往随机数表具有更大的容量和更科学的随机性, 系统支持对各种抽样工作底稿、评价表的打印和查询等功能。因此, 在计算机抽样审计中一般仅考虑抽样审计的有关参数输入或抽样方法的选择以及选择审计总体文件的转换等, 抽样工作一般由计算机抽样审计系统自动完成。

常用抽样法有:判断抽样、统计抽样。判断抽样是审计人员根据工作经验和具体审查项目, 首先做出样本选择条件或样本量的判断, 然后从总体中选出满足条件的样本, 或随机选择指定数量的样本, 对样本进行仔细的审查, 最后以样本的审查结果判断总体的特征。由于判断抽样的可靠性主要取决于审计人员的经验和判断能力, 其抽样风险是难以估计和控制的, 而统计抽样却可以克服这一缺点。统计抽样是运用概率论和数理统计的原理, 按审计人员要求的精确度和可靠程度确定样本量, 并按随机方式选取样本, 通过对样本的审查结果来判断总体情况的审计抽样方法。在手工条件下, 计算样本量是相当繁琐的, 仅计算标准差这一项工作量就相当大, 不仅要占用较多的计算时间, 而且容易出错, 这也是手工条件下较少采用统计抽样的原因之一。但在计算机审计条件下, 这个问题可以迎刃而解, 大大节约人力物力时间成本, 降低抽样风险, 从而在一定程度上降低检查风险。又或者审计可以放弃抽样审计, 利用计算机技术可以对大量数据进行全方位的详细审计, 而不存在抽样审计风险。

三、计算机审计风险的应对

1. 注重对被审计单位的了解

审计人员应了解被审计单位所使用的会计软件, 弄清它的版本、处理业务的过程等。在计算机数据审计的基础上, 开展系统审计, 尤其要加强对财务会计信息系统应用软件的审计, 检查评估在合法性、正确性、安全性、功能等方面是否符合要求。审计人员应建立审计服务信息库, 将被审计单位的有关信息通过网络建立一个完善的大容量信息库。这些信息包括被审计单位的背景资料, 最新动态和一些以前审计的档案信息, 以便日后开展审计时查阅和运用, 这样既减少工作时间、提高工作效率, 同时也相应降低了审计的风险。

2. 加强对电算化信息系统内部控制的审计

被审计单位健全的电算化信息系统内部控制是审计人员能够运用计算机审计技术及防范计算机审计风险的基础和前提。在电算化信息系统中, 主要通过建立电算化软件管理制度、电算化岗位责任制度、上机操作管理制度以及电算化信息档案管理制度等保证会计信息的真实性与正确性。在利用被审计单位的电算化信息系统时, 审计人员要围绕信息系统内部控制的五要素, 即内部环境、风险评估、信息与沟通、控制活动、监督检查五方面对被审计单位的信息系统内部控制的有效性作出评价。这样有助于审计人员在审计过程中对被审计单位固有风险和控制风险作出合理的评估, 并以此为基础将计算机审计风险控制在一个可接受的水平上。

3. 因地制宜地改进计算机审计方法

为降低因选用不恰当的审计方法和技术所引发的计算机审计风险, 审计人员可以根据被审计单位不同的系统而采取不同的审计方法和技术。由于要审计的内容大部分存储在磁性介质中, 因此可以采用就地审计或突击审计的方式。待条件成熟时, 根据针对各审计对象的不同特征编制审计检查程序进行联网审计, 将事后的审计监督与事前事中的监督结合起来, 使审计风险降到最低。当打印文件充分且与被审计单位输入输出联系比较密切能直接核对时, 则可采用核对、复核、分析等审计技术;当被审计单位采用实时处理, 纸质的审计线索较少且输入输出不能直接核对时, 则可采用计算机审计的方法;当被审计单位会计信息系统不能中断工作时, 则可采用制度基础法, 对被审计单位计算机会计信息系统的一般控制和应用控制审查的结果决定抽查的重点、范围和方法。

4. 积极取得被审计单位的支持和配合

如果被审计单位的财务人员、操作人员不予配合, 把存在磁性介质中以及会计信息系统中的财务数据进行加密、修改、删除、隐匿等, 审计人员很难进行审查。因此, 审计时应积极取得被审计单位的支持和配合, 降低审计风险。

5. 保证审计数据的完整性

为保证审计数据的完整和准确, 审计人员在审计时必须认真检查审计单位所提供的数据是否真实, 是否属于审计时间范围内的财务数据, 是否属于结账后的数据, 财务数据是否有纸质账册、报表相配套。同时, 审计人员获得的财务数据时必须由被审计单位财务人员对财务数据做现场备份。

6. 积极采取多种措施培养具有复合型知识结构的审计人员

审计部门应加强对审计人员计算机应用技术、数据处理技术和网络知识的培训;审计人员也应该主动学习财会专业知识和计算机相关知识, 提高自己的综合素质, 以更好地适应审计环境的变化。

7. 建立健全会计电算化信息系统审计的标准和准则

各国已经建立了一系列的审计标准和准则, 如审计人员标准、现场审计标准、审计报告标准、职业道德规范、审计效果衡量标准、财务审计标准、经济效益审计准则等。但是, 由于审计审计环境发生变化, 审计对象、审计线索、审计方法及审计手段也受到影响而发生变化, 原有的审计标准和准则有的已经不适用于会计电算化信息系统审计, 目前, 关于信息系统审计方面的法规和标准还不多, 这给信息系统审计带来一定的风险, 有关部门应采取有效措施, 加强对计算机审计的研究, 尽快制定出适合会计电算化系统审计的标准和准则, 并力求使会计软件行业标准及数据格式统一。要加快财务软件数据交换接口标准的制定和执行, 财务软件在设计时应按审计机关的要求预留有审计接口, 以方便审计数据采集, 以此来降低计算机审计的风险。

8. 开发和推广计算机审计软件

应对被审计单位信息化的快速发展, 使用先进的审计软件, 一方面可以提高审计的效率, 另一方面也能够有效控制和降低审计风险。利用计算机审计软件的开发政策上的优惠, 加大对审计软件的研发和投入.

参考文献

[1].陈丹萍.数据挖掘模式下的审计风险决策研究.中国社会出版社, 2007:24-30.

[2].金光华.计算机审计实务.中国时代经济出版社, 2002:149-158.

[3].马青山.社会保障计算机审计实务.山东大学出版社, 2006:211-26.

计算机网络风险及安全策略 篇8

伴随我国网络技术的快速发展, 计算机网络的应用已经深入并影响到人们的生产、生活。计算机网络在给我们带来方便的同时, 其自身的一些缺陷也不可避免, 导致计算机网络很容易受到网络不法分子、黑客的攻击, 不仅给网络用户造成巨大损失, 严重情况下, 导致整个网络系统的瘫痪。因此, 加强计算机网络安全知识的学习, 了解计算机网络容易受到的影响因素, 同时根据这些风险去采取科学、有效的防范策略具有十分重要与迫切的现实意义。

1 影响计算机网络安全的主要因素分析

鉴于计算机网络由多种设备组成, 影响网络信息系统的不安全性因素, 易言之, 计算机网络安全面临的风险也是多方面。既有垃圾邮件、恶意扫描、拒绝服务、黑客的非法闯入也有地址欺骗、病毒入侵、电子商务攻击以及数据“窃听”等。综合概括主要有以下几方面: (1) 计算机网络硬件系统的内在缺陷:硬件设备极易遭受破坏甚至盗窃。一些电子设备还没有较强的安全存取控制功能, 同时, 数据或信息需要在主机和终端或者主机间, 网络间通过通信线路进行传送, 而在传送的过程中, 这些数据或信息很容易被截取。 (2) 计算机网络软件系统的内在缺陷。软件指的是应用程序设计语言写成的机器可以处理的程序, 假如篡改此种程序, 并破坏软件, 就会使系统功能受到损害, 加之, 某些数据库存储的资料具有很大的价值, 一旦破坏, 势必造成重大损失。软件系统通常由数据库、应用软件以及系统软件组成。 (3) 人为因素。主要包括系统管理员安全配置不当、技术素质不高、网络用户安全意识差以及人为的恶意攻击、违法犯罪行为等。 (4) 环境因素。主要有自然灾害:雷电、灰尘、水灾、电磁脉冲、火灾以及有害气体等, 不但会破坏数据、损坏设备, 严重的话能够破坏整个系统;辅助保障系统:主要是指空调、水和电等不正常或者中断, 从而影响系统的运行。 (5) 数据输出部分。数据经处理后能转换成可被阅读的文档, 这些文档在输出的过程中, 信息很容易被窃取和泄露。 (6) 数据输入部分。通过输入设备, 数据输入系统进行处理, 有可能造成假数据的输入或者一定程度上加大篡改数据的可能性。

2 计算机网络的安全策略探讨

2.1 计算机网络的物理安全防护对策。

物理安全策略通常是指保护通信线路、服务器以及计算机网络系统等各种硬件设备。对硬件设施的破坏主要来源于人为因素和自然环境因素, 因此, 在使用网络的过程中, 用户应进行身份认证, 确保是本人授权的情况下进行的计算机操作。同时, 改善并加强计算机网络系统的工作环境, 建立健全计算机网络系统的管理制度以及相关的规章制度, 并且加强网络安全管理, 最大程度上避免网络系统遭到破坏, 从而保证网络系统的正常运行。

2.2 常用的计算机网络安全防范技术

2.2.1 计算机网络加密技术。

杜绝非授权的用户入网或者进行窃听, 从而有效地确保网络遭受恶意软件的攻击, 这是计算机网络加密技术的优势, 因此, 推广网络加密技术能够有效的加强网络系统的安全性。计算机网络加密技术主要有以下三个常用的方法: (1) 节点加密。节点加密禁止消息以明文形式存在于网络节点中, 其首先解密收到的消息, 其次通过另一个不同的密钥进行加密, 需要说明的是此程序需要在节点上的一个安全模块中进行。节点加密旨在加密并保护源节点至目的节点间的传输链路; (2) 端点加密。其旨在加密与保护源端用户至目的端用户的数据; (3) 链路加密。链路加密, 亦称在线加密, 指的是传输数据只在物理层前的数据链路层进行加密。而传送路径上的各台节点机是接收方, 且在各节点机内, 信息均要被解密与再加密, 依次进行, 直至到达目的地。链路加密旨在确保网络节点间链路信息的安全性。

2.2.2 网络防火墙技术。

防火墙, 顾名思义, 是一种内部网络屏障, 对外部不安全影响因素进行阻挡, 防止外部网络用户非授权访问。其是一种计算机软件与硬件的结合, 使得Intranet (内联网) 同Internet (互联网) 间建立起Security Gateway (安全网关) , 进而有效的避免非法用户入侵内部网络。作为一个有效的计算机网络安全技术之一, 防火墙能够将安全区域同风险区域间的连接进行隔离。其组成表示如下:网关+安全策略+过滤器=防火墙。 (1) 应用层网关级防火墙。易言之, 代理型防火墙。过滤路由器和代理服务器构成代理型防火墙, 其工作原理是结合了过滤路由器与软件代理技术。通过Internet连接, 过滤路由器严格筛选出所需数据, 再通过网络终端传输至代理服务器。由于代理型防火墙的安全系统较高, 因此受到了网络专家的一致好评。 (2) 包过滤防火墙。作为防火墙的初级产品, 包过滤防火墙技术以网络分包传输技术为依据, 工作于网络层能够在路由器上实现包过滤。以“包”为单位进行网络数据的传输, 数据可被分成数据包, 各数据包又涵盖某些特定信息。倘若数据包同过滤表中的规则相一致时, 数据包将允许通过, 反之, 则禁止数据包通过。 (3) 动态包过滤防火墙。易言之, 监测型防火墙。作为新一代产品, 监测型防火墙的优点包括:可伸缩性、高效性、安全性高以及易扩展性等。

2.2.3 计算机网络病毒防范技术。

网络环境中, 计算机病毒的破坏力与威胁性难以估量, 仅以爱虫病毒、CIH病毒就能证明计算机网络倘若不受到足够的重视, 其带来的重大损失的程度有多大。计算机网络防病毒技术主要有以下三种技术: (1) 预防病毒技术。这种技术通过本身常驻系统内存, 能够取得控制系统的优先权, 从而判断并监视病毒是否存在于计算机系统之中, 有效避免计算机系统受到病毒的入侵和破坏。预防病毒技术主要有系统监控和读写控制, 引导区保护以及加密可执行程序等手段。 (2) 检测病毒技术。此技术可谓一种侦测技术, 主要是基于计算机病毒特征, 进行的判断, 诸如, 文件长度、关键词以及自身的检验等等。检测病毒是当前防范病毒的支柱, 但是, 近些年, 病毒也在时刻的变化, 且其数目也在日益增多, 给识别古怪代码串的进程带来了一定的难度, 所以, 新防病毒技术应集病毒检测、集中式管理以及多层数据保护等各种功能于一体, 从而形成能够稳定的检测计算机病毒的多层次防御体系。 (3) 消除病毒技术。此技术防范病毒主要是通过分析计算机病毒, 从而开发出具有特定功能的软件, 即清除病毒程序且恢复原文件。鉴于病毒主要攻击应用程序、网上资源, 且通常附着在信息共享的网络介质中, 所以, 需要在网关上设做好设防工作, 并在网络入口进行实时查杀病毒, 从而确保计算机网络安全运行。

3 结束语

作为一个综合性话题, 网络安全牵涉到诸多的方面, 例如:使用、管理及技术等, 不仅包括物理与逻辑的技术措施, 而且也有计算机网络自身问题, 并且对于风险的防范, 一种技术并不是全能的, 仅能针对一方面的问题进行解决, 所以, 需要我们相关的从业人员认识到计算机网络安全防范的迫切性, 完善系统的开发过程, 系统测试做到严谨, 综合实施防御策略同时加强网络管理队伍的整体素质, 保密政策做到严格, 安全策略做到明晰, 从而确保信息、数据的正确和完整, 给计算机网络提供更强大的安全服务。

摘要：结合笔者多年从事计算机相关工作经验, 分析了当前影响计算机网络安全的主要因素及其面临的风险, 同时着重提出了网络安全对策, 旨在加强计算机网络安全维护工作, 最大程度上避免网络安全事故的产生。

关键词：计算机,网络风险,安全对策

参考文献

[1]霍燕斌.浅议计算机信息安全所面临的威胁以及防范技术[J].计算机光盘软件与应用, 2012, (01) :29-30+48.

[2]杨科伟.浅谈目前我国计算机网络安全存在的突出问题及对策分析[J].科技致富向导, 2011, (32) :42.

计算机审计风险成因及其防范对策 篇9

一、计算机审计风险形成的原因

(一) 传统审计线索缺乏

在传统手工账务处理系统中, 由原始凭证到记账凭证, 由登账到财务报表的编制, 每一步都有文字记录, 都有经手人签字, 审计线索十分清楚。审计人员进行审计, 可以根据需要进行顺查、逆查或抽查。但在电算化会计信息系统中, 从原始数据进入计算机, 到财务报表的输出, 其中间的数据处理的全过程全部由计算机按程序指令自动完成, 传统账簿的缺失, 即传统的审计线索中断了。虽然管理部门从管理的角度出发, 保留一部分审计线索, 但这些有限的审计线索, 无论在形式上还是在内容上都与手工系统情况下有很大不同, 审计线索保存在磁性介质上, 这些磁性介质上的信息是以机器可读的形式存在的, 不能识别, 且存储在磁盘上的数据很容易被修改、删除、隐匿、转移, 又无明显的痕迹, 因此, 审计人员发现错误的可能性减少, 难度增大, 审计风险增加。

(二) 会计系统内部控制技术和方法的改变

测试被审单位的内部控制制度的健全性和有效性是现代审计的一大特征, 内部控制制度的恰当与否直接影响会计信息的真实性和准确性。在手工会计系统中, 内部控制的实施主要体现在两个方面:一是按经济业务的性质对工作人员进行适当的职责分离, 各职责岗位之间互相牵制, 不易出现错误和舞弊;二是在会计账务处理程序上, 除要保证会计凭证、账薄、报表按一定程序由不同人员记录、编制外, 还要做到账账核对、账实核对、账证核对、账表核对, 从而在很大程度上保证了经济业务处理的合理性和合法性。但在电算化会计信息系统中, 由于处理工具、信息载体、会计组织都发生了根本的变化, 使得手工会计系统中原有的很多控制措施都已失去意义。电算化会计和手工会计相比, 内部控制环境更复杂, 甚至有些环境因素超过制度的有效控制能力;建立严格的内部控制的成本要高得多;对内部控制的评价更为困难。内部控制的更大局限性使计算机舞弊有机可乘, 增加了计算机审计风险。

(三) 电算化条件下审计内容和范围的变化

在会计电算化条件下, 审计的监督职能虽然没有改变, 但审计内容却发生了变化。除了手工审计的内容外, 还包括对会计软件运行的评估和审核及对程序中安全控制措施的审查, 如人员权限的设置、系统应用程序的处理功能是否符合会计制度和财经法纪的规定、能否正确完成各项业务的处理、程序控制是否恰当有效等。另外, 除对电算化会计信息系统进行事后审计、监督其合法性和正确性外, 还提倡在系统的设计开发阶段, 审计人员要对系统的开发进行事前和事中审计。审计内容和范围的扩大对审计人员提出了更高的要求, 从而加大了计算机审计的风险。

(四) 审计技术、方法的日趋复杂

不同单位的业务规模和性质不同, 会计软件的获得途径不同、功能不同、程序处理的步骤和内容不同、数据存储的方式不同, 所有这些不同, 都决定了计算机审计风险的产生是多方面的, 因此, 审计技术的复杂性就必然会产生计算机审计风险。

(五) 会计软件评审机制存在的缺陷

我国会计软件从无到有、从单一业务处理到集成业务处理、从会计核算走向会计管理, 取得了巨大成就但也有其不足, 特别是针对审计, 表现在下面两个方面:一是很多会计软件不具备双向查询功能。在对电算化会计信息系统的审计中, 会计软件应允许审计人员按照凭证一明细账 (日记账) 一总账一报表的顺序进行双向查询, 同时还应允许分别对日记账、明细账、总账的期初余额、本期发生额和期末余额进行双向查询。但是目前我国绝大多数的会计软件的查询设计都是单向的, 可以实现如由总账查询明细账, 由明细账查询凭证等过程, 但当需要反问查询时往往很困难。二是会计软件不预留审计测试通道。在审计过程中, 审计人员为证实业务处理的实际过程、方法, 往往需要进行测试, 既虚拟一笔业务输入会计软件, 检查其结果与预期结果是否相符, 这种方法可以有效地验证核算过程是否与设计一致。但是如果审计人员不能及时消除这些测试的影响, 就可能导致会计软件系统数据的混乱。恰当的解决方法是在软件设计时为以后的审计测试留下通道, 既方便审计人员的随时测试, 也不会造成对整个系统数据的影响。因此, 会计软件评审机制的缺陷加大了计算机审计风险。

二、计算机审计风险防范对策

(一) 传统方法与现代手段相结合, 保证审计数据的完整性、正确性, 降低审计风险

在审计的实施中, 可以要求被审计单位将审计时间范围内的账务资料打印出来, 同时, 随意抽取一台操作终端, 进入账务系统, 和打印出来的账务资料进行核对, 通过账账核对、账证核对, 确定其提供账务资料的真实性、完整性。这样既可以把传统的审计线索与现代手段相结合, 保证审计数据的完整性和正确性, 又可以从源头上降低审计风险发生的可能性。

(二) 测评内部控制制度的健全性, 找到审计突破口

召开被审计单位的人员交流座谈会, 收集被审计单位的有关资料, 加强对内部控制制度的审计。审计人员要对系统中业务事项的流向、电子数据处理用于特定的业务处理范围以及业务控制的基本结构进行审查, 同时必须识别特定的业务与内部控制的关系, 了解内部控制在多大程度上确保系统中业务记录的正确性和可靠性。通过测评被审计单位的电算化操作是否合规, 岗位职责设置是否欠缺, 内部牵制措施是否得当, 找出管理中存在的薄弱环节, 确定审计突破口, 抓住审计的重点。这样不仅对审计的实施能起到事半功倍的效果, 还有利于降低因审计疏漏而产生的重大风险。

(三) 选择恰当的审计方法技术与合理的审计方式

审计人员可以根据被审计单位不同的会计信息系统而采取不同的审计方法和技术, 从而有效地降低审计风险。当打印的账务资料充分且与被审计单位输入输出联系比较密切能核对相符时, 则可采用绕过计算机的审计方法, 用核对、复核、分析等审计技术;当被审计单位采用实时处理, 纸质的审计线索较少且输入输出不能直接核对时, 则可采用计算机审计的方法;当被审计单位采用每时每刻都在运行的会计信息系统, 审计过程中不能终止工作时, 则可采用制度基础法, 首先对被审计单位计算机会计信息系统的一般控制和应用控制进行审查, 根据一般控制和应用控制审查的结果决定抽查的重点、范围和方法, 这样, 既可以降低审计风险, 又可以减少对被审计系统正常工作的影响。由于要审计的内容大都存储在磁性介质中, 而磁性介质很容易被篡改、删除而不留下任何痕迹。因此, 对于计算机会计信息系统审计一般应采用就地审计或突击审计的方式。在进行审计时, 可以采用事先不通知操作员或程序员的情况下, 把系统中正在运行的数据拷贝出来进行审查, 以防操作员把数据篡改、删除等, 只有这样, 才能保证被审程序和数据的正确、完整性, 也才能有效地降低审计风险。

(四) 加强审计人员的培训学习, 提高审计人员的素质, 降低计算机审计风险

应定期对审计人员进行培训, 强化审计人员后续教育准则的实施和执行, 强化审计机构和审计人员的风险意识。不断更新审计人员的知识结构, 提高他们的技术水平和职业判断能力。在新的审计环境下, 尤其要加强计算机应用技术、数据处理技术的培训, 大力加强计算机审计的研究 (包括理论、技术、方法、制度等) , 培养复合型的审计人才, 以更好地适应审计环境变化, 出色地完成审计任务。

(五) 改进会计软件的评审机制, 规范计算机审计程序, 加强计算机审计法制化建设

财政部门对会计软件独家评审的纵向评审机制, 给会计电算化信息系统审计工作带来了一定的困难和风险。因此, 应对会计软件评审机制进行改进, 在会计软件通过财政部门评审前, 由审计机关组织专家对软件开发商进行软件开发审计, 并做出审计结论, 财政部门参考审计结论, 最终做出是否通过评审的决定。基层的审计人员只需参照审计结论来审查、评价基层用户的会计软件系统。这样就使审计人员和财政部门评审人员共同分担了评审责任和风险。规范计算机审计程序, 加强计算机审计法制化建设, 这是控制和规避计算机审计风险的基础。尽管我国针对计算机审计出台了《审计机关计算机辅助审计方法》《计算机信息系统环境下的审计》等审计标准和准则, 但社会环境是不断变化的, 必须根据社会环境的变化对规范计算机审计的审计准则适时地进行修订。只有进一步规范计算机审计程序, 加强计算机审计法制化建设, 使审计人员开展计算机审计工作时有法可依、有章可循, 才能有利于他们更好地开展计算机审计工作。

参考文献

[1]郭宗文:《计算机审计技术与方法》, 清华大学出版社2004年版。

对计算机审计风险防范的初探 篇10

1 计算机审计风险的成因分析

任何风险的产生都是由于信息不对称引起的, 计算机审计风险也不例外, 它主要是由于审计人员在运用计算机技术进行审计的过程中, 不能全面、准确地获得被审计单位的真实信息而导致得出的审计结论与被审计单位的事实相背离。我们认为计算机审计风险成因可以从审计客体、审计人员素质、审计环境三方面进行分析。

1.1 从审计客体分析

1.1.1 被审计单位电算化信息系统内控制度的缺陷给计算机审计带来的风险

在手工系统中, 内部控制的测试是看得见、摸得着的, 但在会计电算化信息系统中, 内部控制的设置发生了很大的变化, 大部分控制措施都是以程序的形式固定在计算机会计信息系统中, 肉眼无法觉察, 在很大程度上依赖于计算机处理。但计算机程序设置的内控制度执行是否到位, 关键还在于人员实际操作时是否执行到位, 如果人员操作不规范, 内控制度照样形同虚设, 存在着较大的风险。近年来, 我们在对路桥区镇街道财政组的会计电算化内部控制调查中发现, 虽然镇街道所使用的会计电算化系统软件本身都设置有明确的内部分工及授权机制, 但在实际操作时, 基本上都是由一个会计人员完成电算化会计软件的操作全过程, 电算化系统中的各操作人员实际操作过程中没有权限的限制, 任何一个操作员都可以不经授权进入电算化系统的任何模块。有的镇街道甚至连前台的操作密码都没有设置, 数据库基本上都没有设置密码, 一个稍微懂点数据库知识的外人, 无须任何授权就能长驱直入地进入到其数据库中, 数据库的安全性极差。电算化会计信息系统内控功能的虚设使得舞弊行为有机可乘, 从而增加了审计风险。

1.1.2 被审计单位电算化信息系统基础工作的薄弱给计算机审计带来的风险

在对财务数据的审计工作中, 我们常发现有些被审计单位的会计人员常将数笔不同类型的原始凭证发生额汇总合并为一笔账输入电算化信息系统中;对通过开立现金支票支付的款项, 不通过“现金”科目过渡, 在电算化信息系统中反映为“银行存款”科目支出;将一些不合规大额支出, 不分款项性质, 均罗列在“其他”明细科目等, 在这些不规范的记账信息里面, 都极有可能隐藏了重要的审计线索。对这些明细反映不全面、不真实的电子会计信息, 审计人员如果过分地依赖计算机进行分析处理, 而不附加复杂细致的手工审核, 就很可能造成审计人员实际所得与被审计单位真实的会计信息存在偏差, 从而加大了审计风险。

1.2 从审计人员素质分析

1.2.1 审计人员计算机专业知识深度不够

目前被审计单位电算化信息系统已日益普及, 因此, 专业审计人员既需要具备丰富的审计专业知识, 也需有专业的计算机知识, 特别是要掌握数据库的处理技术。不仅要掌握通用审计软件的应用操作, 还应当能够根据审计对象的个体差异, 及时编写出各种小程序小模块来弥补审计软件的不足。但目前大部分审计人员只掌握了计算机操作系统的初步应用能力, 高层次的计算机系统设计、程序编译检测技能普遍缺乏, 从而不能有效分析和掌握被审计单位的数据系统结构。因此, 在运用计算机审计技术进行取证时, 很可能出现审计人员实际所得的会计信息与所预期的存在较大偏差, 从而加大了审计风险。

1.2.2 审计人员的计算机审计风险防范意识不强

计算机系统下的审计风险与传统手工审计相比, 内容更广、更深, 集中表现在计算机审计风险隐蔽性强、可控性差、破坏性大等特点上。审计人员必须对此引起足够的重视, 如果仅仅为了完成审计任务, 而不考虑审计风险内容及其内涵的变化, 对所发现的各项疑点没有进行必要的复查, 完全依赖计算机所运行的结果, 就很难保证审计工作的质量, 从而无法客观真实地评价被审计单位审计期间财务及业务收支情况, 加大了审计风险。

1.3 从审计环境分析

1.3.1 被审计单位电算化信息系统软件的多样化

目前, 被审计单位所使用的财务及业务数据信息化软件版本不一, 在功能、程序处理上都有着一定的差别, 其要求运用的审计技术和方法也不一样, 从而给审计人员的审计增加了复杂性, 审计人员如果对软件不熟悉或采用了不当的审计技术和方法, 必然会带来审计风险。在实际工作中, 我们发现被审计单位的会计电算化软件大都是自行采购的商品化软件, 数据文件结构也各有差异。特别是一些大型的业务数据库, 如税收、社保、医院等信息系统, 各数据文件的字段及其关联结构极其复杂, 即使能够打开被审计单位的数据库, 但如果不对其数据结构有相当的熟悉程度, 获得的常常只是被审计对象的部分信息, 很难掌握被审计单位的业务信息全貌, 极易导致形成审计风险。

1.3.2 审计线索隐蔽化

手工方式下的审计线索主要是纸质凭证、账簿和报表等相关资料, 审计线索明显可见, 而在会计电算化方式下, 由于计算工具、存储介质和网络技术的引入, 导致审计线索有逐渐减少甚至消失的趋势。这是因为在会计电算化方式下, 会计数据一进入凭证系统, 就在计算机会计系统内不受人工干预的情况下自动进入下一数据流程。与此同时, 机内的日志文件又可删除, 保存在磁性介质中的会计数据也可以人为不留痕迹地加以修改或删除, 这些都削弱了审计线索, 减少了审计过程中发现错误的机会。电子信息存储的隐蔽性导致信息获取的复杂性, 必然会加大审计人员的审计风险。

2 防范和降低计算机审计风险的途径

2.1 要加强对电算化信息系统内控制度的审计

被审计单位健全的电算化信息系统内控制度是审计人员能够运用计算机审计技术及防范计算机审计风险的基础和前提。在电算化信息系统中, 主要通过建立电算化软硬件管理制度、电算化岗位责任制度、上机操作管理制度以及电算化信息档案管理制度等保证会计信息的真实性与正确性。在利用被审计单位的电算化信息系统时, 审计人员要围绕信息系统内部控制的五要素, 即控制环境、风险评估过程、信息系统与沟通、控制活动、对控制的监督五方面对被审计单位的信息系统内部控制的有效性作出评价。这样有助于审计人员在审计过程中对被审计单位固有风险和控制风险作出合理的评估, 并以此为基础将计算机审计风险控制在一个可接受的水平上。

2.2 要因地制宜地改进计算机审计方法

由于要审计的内容大都存储在磁性介质中, 而磁性介质很容易被篡改、删除而不留下任何痕迹。因此, 在对被审计单位计算机会计信息系统审计时应采用就地审计或突击审计的方式。在进行审计时, 可以采用事先不通知操作员或程序员的情况下, 把系统中正在运行的数据拷贝出来进行审查, 以防操作员把数据篡改、删除等。待条件成熟时, 可以根据针对各审计对象的不同特征编制审计检查程序进行联网审计, 将事后的审计监督与事前事中的监督结合起来, 使审计风险降到最低。

2.3 积极取得被审计单位的支持和配合

在进行计算机审计时, 如果被审计单位的财务人员、操作人员不予配合, 把存在磁性介质中以及会计信息系统中的财务数据进行加密、修改、删除、隐匿等, 审计人员很难进行审查, 因此, 审计时应积极取得被审计单位的支持和配合, 降低审计风险。

2.4 积极采取多种措施培养具有复合型知识结构的审计人员