《计算机辅助审计技术》课程论文题目:电子审计证据获取的风险分析与控制对策姓名:王贞学号: 07010527 院(系):信息科学学院专业:计算机南京审计学院2013年12月20 日电子审计证据获取的风险分析与控制对策07010527 07IAEP班王贞【摘要】随着IT的快速发展,计算机审计的应用日趋广泛,电子审计证据也应运而生并被推上了审计证据舞台。
但电子审计证据的易损性、多态性等特性都给电子审计证据的获取带来了新的风险。
目前,对电子审计证据在获取方面的风险控制也越来越引起重视。
因此,本文主要以电子审计证据的特性为切入点,针对它的特性探究电子审计证据的风险,进而针对风险找出风险控制点,就如何降低电子审计证据获取的风险提出控制对策。
【关键词】电子审计证据;证据获取;风险分析;控制对策The Risk Analysis of Obtaining Electronic Audit Evidence andControl MeasuresAbstract:Along with the rapid development of IT, the application of IT auditing is wider increasingly, so the electronic audit evidence comes into being, and is brought to the stage of the audit evidence. But electronic audit evidence has the vulnerability, polymorphism and other characteristics, all of these characteristics bring the new risks to obtaining the electronic audit evidence .At present, more and more attention is paid to the risk controlling of obtaining the electronic audit evidence. Therefore, this paper mainly takes the characteristics of electronic audit evidence as a breakthrough point, explores the existing risks in obtaining the electronic evidence for characteristics and then discovers the risk control points in view of the risks,proposes control measures on how to reduce the risk of obtaining electronic audit evidence.Key words:electronic audit evidence obtain evidence risk analysis control measures目录摘要 (i)Abstract: (ii)引言 (1)一、电子审计证据的特性分析 (1)(一)电子审计证据具有高科技性 (1)(二)电子审计证据具有精准性 (2)(三)电子审计证据具有易损性 (2)(四)电子审计证据具有多态性 (2)(五)电子审计证据具有人机结合性 (3)二、电子审计证据的风险分析 (3)(一)获取电子审计证据的失真风险 (4)(二)获取电子审计证据的不足风险 (5)(三)获取电子审计证据的泄密风险 (5)三、获取电子审计证据的风险控制对策 (6)(一)技术层面 (6)(二)环境层面 (9)(三)人员层面 (10)(四)法律法规层面 (11)结论 (11)参考文献 (12)致谢 (13)引言审计,是指有目的、有计划地收集审计证据、鉴定审计证据并做出判断的过程。
而审计证据,是指审计人员在审计过程中,围绕审计目标和依照法定程序和方法而获得的经过核实用以证明审计事项真相并保证审计意见和审计决定正确所依据的资料,是连接审计目标和审计报告的纽带,更是审计工作的基础和核心。
审计人员所取得的审计证据可以按其外形特征分为实物证据、书面证据、口头证据、视听或电子证据、鉴定和勘验证据和环境证据。
随着IT(Information Technology,以软件、硬件、网络、通讯、信息处理、人工智能以及多媒体为核心的信息技术)的发展日益迅速,信息系统的整合日益突显,审计环境也日益复杂,科学技术和审计技术方法的发展,电子审计证据也应运而生,登上了电子审计证据的舞台。
目前,电子审计证据以电子技术依托,以数字化的形式存在多种载体,得到越来越多的重视。
它的准确性和表现形式多样性等优点不仅大大提高了审计工作效率和质量,更促进了审计文档和审计项目质量监督的规范化。
但电子审计证据的特性也使得它的获取难度增加,这更要求审计人员要不断更新和补充新知识,从而提高审计取证的能力。
能否针对电子审计证据的特性,采取新的控制点获取符合审计质量要求的电子审计证据,是审计人员面临的新挑战。
因而对于电子审计证据的获取,在其风险控制方面的关注是必要也是必需的。
因此本文主要以电子审计证据的特性为切入点,分析电子审计证据的特性,针对它的特性探究电子审计证据存在的风险,有的放矢,进而针对风险找出在获取过程中的风险控制点,就如何降低电子审计证据获取的风险提出控制对策。
一、电子审计证据的特性分析目前对于电子审计证据尚无权威的定义,有定义它为任何生成的、传递的、经过处理的、记录的、以及/或者是以电子形式保存的被审计人员以来用以支持审计报告内容的信息。
电子审计证据的来源广泛,如系统日志,反病毒软件日志,电子邮件,操作系统文件等都可以作为电子审计证据。
笔者认为分析电子审计证据所具有的特性,有助于我们找出它潜在的风险性,降低在电子审计证据获取过程中的风险。
(一)电子审计证据具有高科技性电子审计证据的高科技性主要体现在:它的产生、储存和传输,都必须借助于计算机技术、存储技术、网络技术等,离开了相应技术设备,就无法保存和传输。
从定义也可见:电子审计证据主要是以IT技术为依托,凭借电子计算机作为物质信息的载体,存储的介质如磁盘或光电介质等,它的获取和重现必须依赖于这些高科技产品的介质。
这些不同于普通的审计证据。
例如:反病毒软件日志、电子邮件、数据库文件、Web浏览器历史记录等等,这些信息可以成为电子审计证据。
(二)电子审计证据具有精准性电子审计证据的精准性,顾名思义是指它掌握和反映客观事实及信息的高度准确性。
电子审计证据的产生是以IT技术为依托,因而能避免普通审计证据的一些弊端,如容易受书写笔误、恶意行为等主观因素的影响,正是如此,电子审计证据受主观因素的影响更小,除了基础数据外是由人工进行输入,排除后续搜集过程中人为的蓄意干预外,信息的处理到最后电子审计证据的产生,完全是由计算机按照既定的编码规则运行产生的,其精确性也就越强,丝毫不会受情绪、经验等主观因素的影响,这也就决定了电子审计证据具有较强的证明力,能准确地反映和储存审计事项的完整过程及其中的各个细节,具有高度的精确性。
例如:审计人员可以利用数据查询,在通用软件(如MS Access)中利用SQL语句来迅速而准确的找到可以作为电子审计证据的数据信息,不会有所遗漏。
(三)电子审计证据具有易损性前文提到电子审计证据主要是以IT技术为依托,凭借电子计算机作为物质信息的载体。
利用计算机获取的电子审计证据,由于存储在在磁性介质上,诸如磁盘、光盘、CDE 等磁性、光学、半导体材料等,虽然减少了审计证据获取和存储过程中的成本,而且可使用性强,但是其存储介质上的数据文件大部分具有可擦性,且容易受到外界因素比如磁场、电源电压等影响而出现丢失、损坏等现象。
电子审计证据不同于普通的纸质审计证据,如纸张资料,对于单纯的书面证据的伪造或变造,如刮、擦、涂、改等,经审查或鉴定是能够发现的,但在计算机环境下伪造或变造,其修改不留痕迹,隐蔽性很强,几乎无法发现。
此外,计算机储存的电子审计证据也会因人为删改、病毒感染、物理破坏、不可抗力等原因灭失。
由于网络和通讯的便捷性,使得被审计对象在获得消息或收到通知后就有可能在现场取证前迅速地将相关内容删除或移除相关连接,致使审计人员无法获得充分和完整的电子审计证据。
(四)电子审计证据具有多态性电子审计证据具有多态性,主要表现在此类证据在计算机屏幕上的表现形式是多样的, 不同形态的输出资料的证明力都来源于同一计算机存储信息本身,如应用多媒体技术,则更使电子审计证据集文本、图形、图像、动画、音频及视频等为一体,几乎囊括了了所有传统审计证据的类型。
它输出到计算机的外部设备上则与普通的证据极其类似,如打印到纸张上或以计算机缩微胶卷的形式输出,这些都显示了它的多态性,这一特性也是电子审计证据所特有的。
(五)电子审计证据具有人机结合性所谓的人机结合性,是指在审计人员获取的电子审计证据从有不同的计算机操作人员参与的被审单位计算机上得到,例如系统管理人员和维护人员、程序设计人员、数据处理人员等。
由于计算机证据是在人机行为交互式影响下形成的,其可能出现的问题就存在人、机双方面。
在计算机中生成的相关文件和记录都是在人的操作下完成的,不同权限的操作人员将产生不同的数据文件和记录,也可以对已有的数据文件进行不同程度的修改和删除。
他们在不同程度上都可能影响计算机系统的运转,影响的层次和程度与这些人员的工作性质相关。
图1.1 电子审计证据的特性以上主要分析了电子审计证据的特性,笔者认为只有对电子审计证据的这些特性进行深入分析,才能更好的了解它的风险,做好对它的风险分析,帮助确定风险以使审计过程中能够确定控制降低风险。
二、电子审计证据的风险分析国际标准化组织(ISO)在其发布的“IT安全管理指南”中将风险定义为:“特定的威胁利用资产的脆弱性而导致资产损失或伤害的可能性。
”主要包含三个要素:威胁和脆弱性、影响、可能性。
在电子审计证据的获取中,笔者认为应基于上述电子审计证据的特性,分析电子审计证据的风险,才能更好地发现电子审计证据的一些薄弱点和缺点,找到风险控制的对策。
通过前文对电子审计证据的特性分析,笔者认为:可以将电子审计证据的风险归纳为三点风险:失真风险、不足风险、泄密风险。
(一)获取电子审计证据的失真风险电子审计证据的失真风险主要是指它反映信息丧失真实性,不能有效的反映审计事实。
第一、电子审计证据的高科技性,使得它以计算机系统为依托,将磁盘、磁带、光盘等存储介质作为信息载体,记录于这些存储介质上,但这些信息证据必须借助于计算机才能将编码进行“翻译”进行输入输出的处理,若在“翻译”过程中数据编码的转换出现问题,那么电子审计证据的也就会出现失真。