一级国产20岁美女毛片,久久97久久,久久香蕉网,国产美女一级特黄毛片,人体艺术美女视频,美女视频刺激,湿身美女视频

一、引言

從審計(jì)的角度，風(fēng)險(xiǎn)評(píng)估是現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的核心理念。無(wú)論是在歷史財(cái)務(wù)報(bào)表審計(jì)還是在網(wǎng)絡(luò)審計(jì)中，現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)均要求審計(jì)師在執(zhí)行審計(jì)工作過(guò)程中應(yīng)以風(fēng)險(xiǎn)評(píng)估為中心，通過(guò)對(duì)被審計(jì)單位及其環(huán)境的了解，評(píng)估確定被審計(jì)單位的高風(fēng)險(xiǎn)領(lǐng)域，從而確定審計(jì)的范圍和重點(diǎn)，進(jìn)一步?jīng)Q定如何收集、收集多少和收集何種性質(zhì)的證據(jù)，以便更有效地控制和提高審計(jì)效果及審計(jì)效率。從企業(yè)管理的角度，企業(yè)風(fēng)險(xiǎn)管理將風(fēng)險(xiǎn)評(píng)估作為其基本的要素之一進(jìn)行規(guī)范，要求企業(yè)在識(shí)別和評(píng)估風(fēng)險(xiǎn)可能對(duì)企業(yè)產(chǎn)生影響的基礎(chǔ)上，采取積極的措施來(lái)控制風(fēng)險(xiǎn)，降低風(fēng)險(xiǎn)為企業(yè)帶來(lái)?yè)p失的概率或縮小損失程度來(lái)達(dá)到控制目的。信息安全風(fēng)險(xiǎn)評(píng)估作為企業(yè)風(fēng)險(xiǎn)管理的一部分，是企業(yè)信息安全管理的基礎(chǔ)和關(guān)鍵環(huán)節(jié)。盡管如此，風(fēng)險(xiǎn)評(píng)估在網(wǎng)絡(luò)審計(jì)、歷史財(cái)務(wù)報(bào)表審計(jì)和企業(yè)信息安全管理等工作中的運(yùn)用卻不盡相同，本文在分析計(jì)算機(jī)信息系統(tǒng)環(huán)境下所有特定風(fēng)險(xiǎn)和網(wǎng)絡(luò)審計(jì)風(fēng)險(xiǎn)基本要素的基礎(chǔ)上，從風(fēng)險(xiǎn)評(píng)估中應(yīng)關(guān)注的風(fēng)險(xiǎn)范圍、風(fēng)險(xiǎn)評(píng)估的目的、內(nèi)容、程序及實(shí)施流程等內(nèi)容展開(kāi)，將網(wǎng)絡(luò)審計(jì)與歷史財(cái)務(wù)報(bào)表審計(jì)和信息安全管理的風(fēng)險(xiǎn)評(píng)估進(jìn)行對(duì)比分析，以期深化對(duì)網(wǎng)絡(luò)審計(jì)風(fēng)險(xiǎn)評(píng)估的理解。

二、網(wǎng)絡(luò)審計(jì)與歷史財(cái)務(wù)報(bào)表審計(jì)的風(fēng)險(xiǎn)評(píng)估比較

(一)審計(jì)風(fēng)險(xiǎn)要素根據(jù)美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)發(fā)布的第47號(hào)審計(jì)標(biāo)準(zhǔn)說(shuō)明中的審計(jì)風(fēng)險(xiǎn)模型，審計(jì)風(fēng)險(xiǎn)又由固有風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)和檢查風(fēng)險(xiǎn)構(gòu)成。其中，固有風(fēng)險(xiǎn)是指不考慮被審計(jì)單位相關(guān)的內(nèi)部控制政策或程序的情況下，其財(cái)務(wù)報(bào)表某項(xiàng)認(rèn)定產(chǎn)生重大錯(cuò)報(bào)的可能性；控制風(fēng)險(xiǎn)是被審計(jì)單位內(nèi)部控制未能及時(shí)防止或發(fā)現(xiàn)財(cái)務(wù)報(bào)表上某項(xiàng)錯(cuò)報(bào)或漏報(bào)的可能性；檢查風(fēng)險(xiǎn)是審計(jì)人員通過(guò)預(yù)定的審計(jì)程序未能發(fā)現(xiàn)被審計(jì)單位財(cái)務(wù)報(bào)表上存在重大錯(cuò)報(bào)或漏報(bào)的可能性。在網(wǎng)絡(luò)審計(jì)中，審計(jì)風(fēng)險(xiǎn)仍然包括固有風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)和檢查風(fēng)險(xiǎn)要素，但其具體內(nèi)容直接受計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下信息系統(tǒng)特定風(fēng)險(xiǎn)的影響。計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的應(yīng)用能提高企業(yè)經(jīng)營(yíng)活動(dòng)的效率，為企業(yè)的經(jīng)營(yíng)管理帶來(lái)很大的優(yōu)越性，但同時(shí)也為企業(yè)帶來(lái)了一些新的風(fēng)險(xiǎn)。這些新的風(fēng)險(xiǎn)主要表現(xiàn)為：(1)數(shù)據(jù)與職責(zé)過(guò)于集中化。由于手工系統(tǒng)中的職責(zé)分工、互相牽制等控制措施都被歸并到計(jì)算機(jī)系統(tǒng)自動(dòng)處理過(guò)程中去了，這些集中的數(shù)據(jù)庫(kù)技術(shù)無(wú)疑會(huì)增加數(shù)據(jù)被操縱和破壞的風(fēng)險(xiǎn)。(2)系統(tǒng)程序易于被非法調(diào)用甚至遭到篡改。由于計(jì)算機(jī)系統(tǒng)有較高的技術(shù)要求，非專業(yè)人員難以察覺(jué)計(jì)算機(jī)舞弊的線索，這加大了數(shù)據(jù)被非法使用的可能性。如經(jīng)過(guò)批準(zhǔn)的系統(tǒng)使用人員濫用系統(tǒng)，或者說(shuō)，企業(yè)對(duì)接近信息缺乏控制使得重要的數(shù)據(jù)或程序被盜竊等。(3)錯(cuò)誤程序的風(fēng)險(xiǎn)，例如程序中的差錯(cuò)反復(fù)和差錯(cuò)級(jí)聯(lián)、數(shù)據(jù)處理不合邏輯、甚至是程序本身存在錯(cuò)誤等。(4)信息系統(tǒng)缺乏應(yīng)用的審計(jì)接口，使得審計(jì)人員在審計(jì)工作中難以有效地采集或獲取企業(yè)信息系統(tǒng)中的數(shù)據(jù)，從而無(wú)法正常開(kāi)展審計(jì)工作。(5)網(wǎng)絡(luò)系統(tǒng)在技術(shù)和商業(yè)上的風(fēng)險(xiǎn)，如計(jì)算機(jī)信息系統(tǒng)所依賴的硬件設(shè)備可能出現(xiàn)一些不可預(yù)料的故障，或者信息系統(tǒng)所依賴的物理工作環(huán)境可能對(duì)整個(gè)信息系統(tǒng)的運(yùn)行效能帶來(lái)影響等。相對(duì)應(yīng)地，網(wǎng)絡(luò)審計(jì)的固有風(fēng)險(xiǎn)主要是指系統(tǒng)環(huán)境風(fēng)險(xiǎn)，即財(cái)務(wù)電算化系統(tǒng)本身所處的環(huán)境引起的風(fēng)險(xiǎn)，它可分為硬件環(huán)境風(fēng)險(xiǎn)和軟件環(huán)境風(fēng)險(xiǎn)?？刂骑L(fēng)險(xiǎn)包括系統(tǒng)控制風(fēng)險(xiǎn)和財(cái)務(wù)數(shù)據(jù)風(fēng)險(xiǎn)，其中，系統(tǒng)控制風(fēng)險(xiǎn)是指會(huì)計(jì)電算化系統(tǒng)的內(nèi)部控制不嚴(yán)密造成的風(fēng)險(xiǎn)，財(cái)務(wù)數(shù)據(jù)風(fēng)險(xiǎn)是指電磁性財(cái)務(wù)數(shù)據(jù)被篡改的可能性。檢查風(fēng)險(xiǎn)包括審計(jì)軟件風(fēng)險(xiǎn)和人員操作風(fēng)險(xiǎn)，審計(jì)軟件風(fēng)險(xiǎn)是指計(jì)算機(jī)審計(jì)軟件本身缺陷原因造成的風(fēng)險(xiǎn)，人員操作風(fēng)險(xiǎn)是指計(jì)算機(jī)審計(jì)系統(tǒng)的操作人員、技術(shù)人員和開(kāi)發(fā)人員等在工作中由于主觀或客觀原因造成的風(fēng)險(xiǎn)。

(二)風(fēng)險(xiǎn)評(píng)估目的無(wú)論在網(wǎng)絡(luò)審計(jì)還是歷史財(cái)務(wù)報(bào)表審計(jì)中，風(fēng)險(xiǎn)評(píng)估只是審計(jì)的一項(xiàng)重要程序，貫穿于審計(jì)的整個(gè)過(guò)程。與其他審計(jì)程序緊密聯(lián)系而不是一項(xiàng)獨(dú)立的活動(dòng)。盡管如此，兩者所關(guān)注的風(fēng)險(xiǎn)范圍則有所不同。歷史財(cái)務(wù)報(bào)表審計(jì)的風(fēng)險(xiǎn)評(píng)估要求審計(jì)人員主要關(guān)注的是被審計(jì)單位的重大錯(cuò)報(bào)風(fēng)險(xiǎn)——財(cái)務(wù)報(bào)表在審計(jì)前存在重大錯(cuò)報(bào)的可能性。由于網(wǎng)絡(luò)審計(jì)的審計(jì)對(duì)象包括被審計(jì)單位基于網(wǎng)絡(luò)的財(cái)務(wù)信息和網(wǎng)絡(luò)財(cái)務(wù)信息系統(tǒng)兩類，因此審計(jì)人員關(guān)注的風(fēng)險(xiǎn)應(yīng)是被審計(jì)單位經(jīng)營(yíng)過(guò)程中與該兩類審計(jì)對(duì)象相關(guān)的風(fēng)險(xiǎn)。(1)對(duì)于與企業(yè)網(wǎng)絡(luò)財(cái)務(wù)信息系統(tǒng)相關(guān)的風(fēng)險(xiǎn)，審計(jì)人員應(yīng)該從信息系統(tǒng)生命周期的各個(gè)階段和信息系統(tǒng)的各組成部分及運(yùn)行環(huán)境兩方面出發(fā)進(jìn)行評(píng)估。信息系統(tǒng)生命周期是指該信息系統(tǒng)從產(chǎn)生到完成乃至進(jìn)入維護(hù)的各個(gè)階段及其活動(dòng)，無(wú)論是在早期的線性開(kāi)發(fā)模型中還是在更為復(fù)雜的螺旋式等模型中，一個(gè)信息系統(tǒng)的生命周期大都包括規(guī)劃和啟動(dòng)、設(shè)計(jì)開(kāi)發(fā)或采購(gòu)、集成實(shí)現(xiàn)、運(yùn)行和維護(hù)、廢棄等五個(gè)基本階段。由于信息系統(tǒng)在不同階段的活動(dòng)內(nèi)容不同，企業(yè)在不同階段的控制目標(biāo)和控制行為也會(huì)有所不同，因此，審計(jì)人員的風(fēng)險(xiǎn)評(píng)估應(yīng)該貫穿于信息系統(tǒng)的整個(gè)生命周期。信息系統(tǒng)的組成部分是指構(gòu)成該信息系統(tǒng)的硬件、軟件及數(shù)據(jù)等，信息系統(tǒng)的運(yùn)行環(huán)境是指信息系統(tǒng)正常運(yùn)行使用所依托的物理和管理平臺(tái)。具體可將其分為五個(gè)層面：物理層，即信息系統(tǒng)運(yùn)行所必備的機(jī)房、設(shè)備、辦公場(chǎng)所、系統(tǒng)線路及相關(guān)環(huán)境；網(wǎng)絡(luò)層，即信息系統(tǒng)所需的網(wǎng)絡(luò)架構(gòu)的安全情況、網(wǎng)絡(luò)設(shè)備的漏洞情況、網(wǎng)絡(luò)設(shè)備配置的缺陷情況等；系統(tǒng)層，即信息系統(tǒng)本身的漏洞情況、配置的缺陷情況；應(yīng)用層，即信息系統(tǒng)所使用的應(yīng)用軟件的漏洞情況、安全功能缺陷情況；管理層，即被審計(jì)單位在該信息系統(tǒng)的運(yùn)行使用過(guò)程中的組織、策略、技術(shù)管理等方面的情況。(2)對(duì)于與企業(yè)基于網(wǎng)絡(luò)的財(cái)務(wù)信息相關(guān)的風(fēng)險(xiǎn)，審計(jì)人員應(yīng)著重關(guān)注財(cái)務(wù)信息的重大錯(cuò)報(bào)風(fēng)險(xiǎn)和信息的安全風(fēng)險(xiǎn)。重大錯(cuò)報(bào)風(fēng)險(xiǎn)主要指被審計(jì)單位基于網(wǎng)絡(luò)的相關(guān)財(cái)務(wù)信息存在重大錯(cuò)報(bào)的可能性，它是針對(duì)企業(yè)借助于網(wǎng)絡(luò)信息系統(tǒng)或網(wǎng)絡(luò)技術(shù)對(duì)有關(guān)賬戶、交易或事項(xiàng)進(jìn)行確認(rèn)、計(jì)量或披露而言。網(wǎng)絡(luò)審計(jì)中關(guān)注的重大錯(cuò)報(bào)風(fēng)險(xiǎn)與傳統(tǒng)審CtT的內(nèi)涵基本上是一致的，審計(jì)人員在審計(jì)時(shí)應(yīng)當(dāng)考慮被審計(jì)單位的行業(yè)狀況、經(jīng)營(yíng)性質(zhì)、法律及監(jiān)管環(huán)境、會(huì)計(jì)政策和會(huì)計(jì)方法的選用、財(cái)務(wù)業(yè)績(jī)的衡量和評(píng)價(jià)等方面的情況對(duì)財(cái)務(wù)信息錯(cuò)報(bào)可能的影響。信息安全風(fēng)險(xiǎn)涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的風(fēng)險(xiǎn)，主要針對(duì)企業(yè)利用信息系統(tǒng)或一定的網(wǎng)絡(luò)平臺(tái)來(lái)存儲(chǔ)、傳輸、披露相關(guān)財(cái)務(wù)信息而言。在審計(jì)過(guò)程中，審eta員應(yīng)當(dāng)主要關(guān)注相關(guān)財(cái)務(wù)信息被盜用、非法攻擊或篡改及非法使用的可能性。當(dāng)然，這兩類風(fēng)險(xiǎn)并非完全分離的，評(píng)估時(shí)審計(jì)人員應(yīng)將兩者結(jié)合起來(lái)考慮。
(三)風(fēng)險(xiǎn)評(píng)估內(nèi)容　廣泛意義的風(fēng)險(xiǎn)評(píng)估是指考慮潛在事件對(duì)目標(biāo)實(shí)現(xiàn)的影響程度。由于網(wǎng)絡(luò)審計(jì)與歷史財(cái)務(wù)報(bào)表審計(jì)風(fēng)險(xiǎn)評(píng)估的目的并不完全相同，因此兩者在風(fēng)險(xiǎn)評(píng)估的內(nèi)容上也是存在區(qū)別的。總的來(lái)說(shuō)，網(wǎng)絡(luò)審計(jì)的風(fēng)險(xiǎn)評(píng)估內(nèi)容比歷史財(cái)務(wù)報(bào)表審計(jì)的風(fēng)險(xiǎn)評(píng)估內(nèi)容更廣泛和深入。根據(jù)《中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第1211號(hào)——了解被審計(jì)單位及其環(huán)境并評(píng)估重大錯(cuò)報(bào)風(fēng)

險(xiǎn)》，在歷史財(cái)務(wù)報(bào)表審計(jì)中，審計(jì)人員的風(fēng)險(xiǎn)評(píng)估應(yīng)以了解被審計(jì)單位及其環(huán)境為內(nèi)容。為識(shí)別和評(píng)價(jià)重大錯(cuò)報(bào)風(fēng)險(xiǎn)，審計(jì)人員了解的具體內(nèi)容包括被審計(jì)單位所在行業(yè)狀況、法律環(huán)境與監(jiān)管環(huán)境以及其他外部因素、被審計(jì)單位的性質(zhì)、被審計(jì)單位對(duì)會(huì)計(jì)政策的選擇和運(yùn)用、被審計(jì)單位的目標(biāo)、戰(zhàn)略以及相關(guān)經(jīng)營(yíng)風(fēng)險(xiǎn)、被審計(jì)單位財(cái)務(wù)業(yè)績(jī)的衡量和評(píng)價(jià)及被審it@位的內(nèi)部控制等。在網(wǎng)絡(luò)審計(jì)中。為了識(shí)別和評(píng)估上文所述的兩類風(fēng)險(xiǎn)，審計(jì)人員除了從以上方面了解被審計(jì)單位及其環(huán)境外，還應(yīng)該關(guān)注其他相關(guān)的潛在事件及其影響，尤其是企業(yè)的財(cái)務(wù)信息系統(tǒng)及基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能面l臨的威脅或存在的脆弱點(diǎn)。其中，威脅是指對(duì)信息系統(tǒng)及財(cái)務(wù)信息構(gòu)成潛在破壞的可能性因素或者事件，它可能是一些如工作人員缺乏責(zé)任心、專業(yè)技能不足或惡意篡改等人為因素，也可能是一些如灰塵、火災(zāi)或通訊線路故障等環(huán)境因素。脆弱點(diǎn)是指信息系統(tǒng)及基于網(wǎng)絡(luò)的財(cái)務(wù)信息所存在的薄弱環(huán)節(jié)，它是系統(tǒng)或網(wǎng)絡(luò)財(cái)務(wù)信息本身固有的，包括物理環(huán)境、組織、過(guò)程、人員、管理、配置、硬軟件及信息等各方面的弱點(diǎn)。一般來(lái)說(shuō)，脆弱點(diǎn)本身不會(huì)帶來(lái)?yè)p失或信息錯(cuò)報(bào)，威脅卻總是要利用網(wǎng)絡(luò)、系統(tǒng)的弱點(diǎn)來(lái)成功地引起破壞。因此，我們認(rèn)為網(wǎng)絡(luò)審計(jì)申風(fēng)險(xiǎn)評(píng)估的內(nèi)容應(yīng)包括以下幾方面：(1)識(shí)別被審計(jì)單位財(cái)務(wù)信息系統(tǒng)及其基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能面臨的威脅，并分析威脅發(fā)生的可能性；(2)識(shí)別被審計(jì)單位財(cái)務(wù)信息系統(tǒng)及其基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能存在的脆弱點(diǎn)，并分析脆弱點(diǎn)的嚴(yán)重程度；(3)根據(jù)威脅發(fā)生的可能性和脆弱點(diǎn)發(fā)生的嚴(yán)重程度，判斷風(fēng)險(xiǎn)發(fā)生的可能性；(4)根據(jù)風(fēng)險(xiǎn)發(fā)生的可能性，評(píng)價(jià)風(fēng)險(xiǎn)對(duì)財(cái)務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能帶來(lái)的影響；(5)若被審計(jì)單位存在風(fēng)險(xiǎn)防范或化解措施，審計(jì)人員在進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)還應(yīng)該考慮相應(yīng)措施的可行性及有效性。

(四)風(fēng)險(xiǎn)評(píng)估程序《中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第1211-----了解被審計(jì)單位及其環(huán)境并評(píng)估重大錯(cuò)報(bào)風(fēng)險(xiǎn)》中要求，審計(jì)人員應(yīng)當(dāng)實(shí)施詢問(wèn)、分析程序、觀察和檢查等程序，以獲取被審計(jì)單位的信息，進(jìn)而評(píng)估被審計(jì)單位的重大錯(cuò)報(bào)風(fēng)險(xiǎn)。這些程序同樣適用于網(wǎng)絡(luò)審計(jì)中的風(fēng)險(xiǎn)評(píng)估。但在具體運(yùn)用時(shí)網(wǎng)絡(luò)審計(jì)中更加注重了解和分析被審計(jì)單位與信息系統(tǒng)及網(wǎng)絡(luò)技術(shù)使用相關(guān)的事項(xiàng)。在實(shí)施詢問(wèn)程序時(shí)，審計(jì)人員的詢問(wèn)對(duì)象圍繞信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息可大致分為管理人員、系統(tǒng)開(kāi)發(fā)和維護(hù)人員(或信息編制人員)、系統(tǒng)使用人員(或信息的內(nèi)部使用人員)、系統(tǒng)或網(wǎng)絡(luò)技術(shù)顧問(wèn)及其他外部相關(guān)人員(如律師)等五類，分別從不同角度了解信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能存在的威脅和脆弱點(diǎn)。在實(shí)施分析程序時(shí)，除了研究財(cái)務(wù)數(shù)據(jù)及與財(cái)務(wù)信息相關(guān)的非財(cái)務(wù)數(shù)據(jù)可能的異常趨勢(shì)外，審計(jì)人員應(yīng)格外關(guān)注對(duì)信息系統(tǒng)及網(wǎng)絡(luò)的特性情況，被審計(jì)單位對(duì)信息系統(tǒng)的使用情況等內(nèi)容的分析比較。實(shí)施觀察和檢查時(shí)，除執(zhí)行常規(guī)程序外，審計(jì)人員應(yīng)注意觀察信息系統(tǒng)的操作使用和檢查信息系統(tǒng)文檔。除此之外，針對(duì)特定系統(tǒng)或網(wǎng)絡(luò)技術(shù)風(fēng)險(xiǎn)的評(píng)估，審計(jì)人員還需要實(shí)施一些特定的程序。技術(shù)方面如IOS取樣分析、滲透測(cè)試、工具掃描、安全策略分析等；管理方面如風(fēng)險(xiǎn)問(wèn)卷調(diào)查、風(fēng)險(xiǎn)顧問(wèn)訪談、風(fēng)險(xiǎn)策略分析、文檔審核等。其中，IDS取樣分析是指通過(guò)在核心網(wǎng)絡(luò)采樣監(jiān)聽(tīng)通信數(shù)據(jù)方式，獲取網(wǎng)絡(luò)中存在的攻擊和蠕蟲(chóng)行為，并對(duì)通信流量進(jìn)行分析；滲透測(cè)試是指在獲取用戶授權(quán)后，通過(guò)真實(shí)模擬黑客使用的工具、方法來(lái)進(jìn)行實(shí)際漏洞發(fā)現(xiàn)和利用的安全測(cè)試方法；工具掃描是指通過(guò)評(píng)估工具軟件或?qū)Ｓ冒踩u(píng)估系統(tǒng)自動(dòng)獲取評(píng)估對(duì)象的脆弱性信息，包括主機(jī)掃描、網(wǎng)絡(luò)掃描、數(shù)據(jù)庫(kù)掃描等，用于分析系統(tǒng)、應(yīng)用、網(wǎng)絡(luò)設(shè)備存在的常見(jiàn)漏洞。風(fēng)險(xiǎn)問(wèn)卷調(diào)查與風(fēng)險(xiǎn)顧問(wèn)訪談要求審計(jì)人員分別采用問(wèn)卷和面談的方式向有關(guān)主體了解被審計(jì)單位的風(fēng)險(xiǎn)狀況，使用時(shí)關(guān)鍵是要明確問(wèn)卷或訪談的對(duì)象情況風(fēng)險(xiǎn)策略分析要求審計(jì)人員對(duì)企業(yè)所設(shè)定的風(fēng)險(xiǎn)管理和應(yīng)對(duì)策略的有效性進(jìn)行分析，進(jìn)而評(píng)價(jià)企業(yè)相關(guān)風(fēng)險(xiǎn)發(fā)生的概率以及可能帶來(lái)的損失；文檔審核是一種事前評(píng)價(jià)方法，屬于前置軟件測(cè)試的一部分，主要包括需求文檔測(cè)試和設(shè)計(jì)文檔測(cè)試。這些特定程序主要是針對(duì)被審計(jì)單位信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)方面進(jìn)行評(píng)價(jià)，審計(jì)人員在具體使用時(shí)應(yīng)結(jié)合被審計(jì)單位的業(yè)務(wù)性質(zhì)選擇合適的程序。

三、網(wǎng)絡(luò)審計(jì)與信息安全管理的風(fēng)險(xiǎn)評(píng)估比較

(一)風(fēng)險(xiǎn)評(píng)估的目的信息安全管理中的風(fēng)險(xiǎn)評(píng)估(即信息安全風(fēng)險(xiǎn)評(píng)估)是指根據(jù)國(guó)家有關(guān)信息安全技術(shù)標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行科學(xué)評(píng)價(jià)的過(guò)程。作為信息安全保障體系建立過(guò)程中的重要的評(píng)價(jià)方法和決策機(jī)制，信息安全風(fēng)險(xiǎn)評(píng)估是企業(yè)管理的組成部分，它具有規(guī)劃、組織、協(xié)調(diào)和控制等管理的基本特征，其主要目的在于從企業(yè)內(nèi)部風(fēng)險(xiǎn)管理的角度，在系統(tǒng)分析和評(píng)估風(fēng)險(xiǎn)發(fā)生的可能性及帶來(lái)的損失的基礎(chǔ)上，提出有針對(duì)性的防護(hù)和整改措施，將企業(yè)面臨或遭遇的風(fēng)險(xiǎn)控制在可接受水平，最大限度地保證組織的信息安全。而網(wǎng)絡(luò)審計(jì)是由獨(dú)立審計(jì)人員向企業(yè)提供的一項(xiàng)鑒證服務(wù)，其風(fēng)險(xiǎn)評(píng)估的目的在于識(shí)別和評(píng)價(jià)潛在事件對(duì)被審計(jì)單位基于網(wǎng)絡(luò)的財(cái)務(wù)信息的合法性、公允性以及網(wǎng)絡(luò)財(cái)務(wù)信息系統(tǒng)的合規(guī)性、可靠性和有效性的影響程度，從而指導(dǎo)進(jìn)一步審計(jì)程序。因此，兩者風(fēng)險(xiǎn)評(píng)估的目的是不一樣。從評(píng)估所應(yīng)關(guān)注的風(fēng)險(xiǎn)范圍來(lái)看，兩者具有一致性，即都需要考慮與信息系統(tǒng)和信息相關(guān)的風(fēng)險(xiǎn)。但是，具體的關(guān)注邊界則是不一樣的。信息安全風(fēng)險(xiǎn)評(píng)估要評(píng)估企業(yè)資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來(lái)判斷安全事件一旦發(fā)生對(duì)組織造成的影響，它要求評(píng)估人員關(guān)注與企業(yè)整個(gè)信息系統(tǒng)和所有的信息相關(guān)的風(fēng)險(xiǎn)，包括實(shí)體安全風(fēng)險(xiǎn)、數(shù)據(jù)安全風(fēng)險(xiǎn)、軟件安全風(fēng)險(xiǎn)、運(yùn)行安全風(fēng)險(xiǎn)等。網(wǎng)絡(luò)審計(jì)中，審計(jì)人員是對(duì)被審計(jì)單位的網(wǎng)絡(luò)財(cái)務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息發(fā)表意見(jiàn)，因此，風(fēng)險(xiǎn)評(píng)估時(shí)審計(jì)人員主要關(guān)注的是與企業(yè)財(cái)務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息相關(guān)的風(fēng)險(xiǎn)，而不是與企業(yè)的整個(gè)信息系統(tǒng)和所有的信息相關(guān)的風(fēng)險(xiǎn)。根據(jù)評(píng)估實(shí)施者的不同，信息安全風(fēng)險(xiǎn)評(píng)估形式包括自評(píng)估和他評(píng)估。自評(píng)估是由組織自身對(duì)所擁有的信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估活動(dòng)；他評(píng)估通常是由組織的上級(jí)主管機(jī)關(guān)或業(yè)務(wù)主管機(jī)關(guān)發(fā)起的，旨在依據(jù)已經(jīng)頒布的法規(guī)或標(biāo)準(zhǔn)進(jìn)行的具有強(qiáng)制意味的檢查。自評(píng)估和他評(píng)估都可以通過(guò)風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)進(jìn)行咨詢、服務(wù)、培訓(xùn)以及風(fēng)險(xiǎn)評(píng)估有關(guān)工具的提供。因此。對(duì)審計(jì)人員而言，受托執(zhí)行的信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)當(dāng)歸屬于管理咨詢類，即屬于非鑒證業(yè)務(wù)，與網(wǎng)絡(luò)審計(jì)嚴(yán)格區(qū)分開(kāi)來(lái)。
(二)風(fēng)險(xiǎn)評(píng)估的內(nèi)容在我國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布的《信息安全風(fēng)險(xiǎn)評(píng)估指南》(征求意見(jiàn)稿)國(guó)家標(biāo)準(zhǔn)中，它將信息安全風(fēng)險(xiǎn)評(píng)估的內(nèi)容分為兩部分：基本要素和相關(guān)屬性，提出信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)圍繞其基本要素展開(kāi)，并充分考慮與這些基本要素相關(guān)的其他屬性。其中，風(fēng)險(xiǎn)評(píng)估的基本要素包括資產(chǎn)、脆弱性、威脅、風(fēng)險(xiǎn)和安全措施；相關(guān)屬性包括業(yè)務(wù)戰(zhàn)略、資產(chǎn)價(jià)值、安全需求、安全事件、殘余風(fēng)險(xiǎn)等。在此基礎(chǔ)上的風(fēng)險(xiǎn)計(jì)算過(guò)程是：(1)對(duì)信息資產(chǎn)進(jìn)行識(shí)別，并對(duì)資產(chǎn)賦值；(2)對(duì)威脅進(jìn)行分析，并對(duì)威

脅發(fā)生的可能性賦值；(3)識(shí)別信息資產(chǎn)的脆弱性，并對(duì)弱點(diǎn)的嚴(yán)重程度賦值；(4)根據(jù)威脅和脆弱性計(jì)算安全事件發(fā)生的可能性；(5)根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用的資產(chǎn)的價(jià)值計(jì)算安全事件造成的損失；(6)根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失，計(jì)算安全事件一旦發(fā)生對(duì)組織的影響，即風(fēng)險(xiǎn)值。結(jié)合上文網(wǎng)絡(luò)審計(jì)風(fēng)險(xiǎn)評(píng)估五個(gè)方面的內(nèi)容可以看出，網(wǎng)絡(luò)審計(jì)和信息安全風(fēng)險(xiǎn)評(píng)估在內(nèi)容上有相近之處，即都需要針對(duì)信息系統(tǒng)和信息可能面臨的威脅和存在的脆弱點(diǎn)進(jìn)行識(shí)別。但是，信息安全管理作為企業(yè)的一項(xiàng)內(nèi)部管理，其風(fēng)險(xiǎn)評(píng)估工作需要從兩個(gè)層次展開(kāi)：一是評(píng)估風(fēng)險(xiǎn)發(fā)生的可能性及其影響；二是提出防護(hù)或整改措施以控制風(fēng)險(xiǎn)。第一個(gè)層次的工作實(shí)質(zhì)上是為第二層次工作服務(wù)的，其重點(diǎn)在第二層次?！缎畔踩L(fēng)險(xiǎn)評(píng)估指南》(征求意見(jiàn)稿)提出，企業(yè)在確定出風(fēng)險(xiǎn)水平后，應(yīng)對(duì)不可接受的風(fēng)險(xiǎn)選擇適當(dāng)?shù)奶幚矸绞郊翱刂拼胧?，并形成風(fēng)險(xiǎn)處理計(jì)劃。其中，風(fēng)險(xiǎn)處理的方式包括回避風(fēng)險(xiǎn)、降低風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)、接受風(fēng)險(xiǎn)，而控制措施的選擇應(yīng)兼顧管理和技術(shù)，考慮企業(yè)發(fā)展戰(zhàn)略、企業(yè)文化、人員素質(zhì)，并特別關(guān)注成本與風(fēng)險(xiǎn)的平衡。網(wǎng)絡(luò)審計(jì)的風(fēng)險(xiǎn)評(píng)估工作主要集中在第一個(gè)層次，即審計(jì)人員通過(guò)風(fēng)險(xiǎn)評(píng)估，為進(jìn)一步審計(jì)中做出合理的職業(yè)判斷、有效地實(shí)施網(wǎng)絡(luò)審計(jì)程序和實(shí)現(xiàn)網(wǎng)絡(luò)審計(jì)目標(biāo)提供重要基礎(chǔ)。因此，兩者的評(píng)估內(nèi)容是存在區(qū)別的。

(三)風(fēng)險(xiǎn)評(píng)估的程序網(wǎng)絡(luò)審計(jì)和信息安全管理的風(fēng)險(xiǎn)評(píng)估程序基本上是一致的，除了實(shí)施詢問(wèn)、觀察和檢查、分析等常規(guī)程序外，評(píng)估人員都需要借助一些特定的評(píng)估工具對(duì)特定系統(tǒng)或網(wǎng)絡(luò)技術(shù)風(fēng)險(xiǎn)進(jìn)行評(píng)估。這些評(píng)估工具大致可以分為以下幾類：安全管理評(píng)價(jià)系統(tǒng)；信息基礎(chǔ)設(shè)施風(fēng)險(xiǎn)評(píng)估工具風(fēng)險(xiǎn)評(píng)估輔助工具。對(duì)于風(fēng)險(xiǎn)評(píng)估的具體實(shí)施，《信息安全風(fēng)險(xiǎn)評(píng)估指南》(征求意見(jiàn)稿)將其確定為如下流程：(1)風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備。包括確定風(fēng)險(xiǎn)評(píng)估的范圍、目標(biāo)，建立適當(dāng)?shù)脑u(píng)估小組，確定系統(tǒng)性的風(fēng)險(xiǎn)評(píng)估方法，獲得管理者對(duì)風(fēng)險(xiǎn)評(píng)估策劃的批準(zhǔn)的內(nèi)容。(2)資產(chǎn)識(shí)別。包括定義資產(chǎn)并分類、對(duì)資產(chǎn)賦值。(3)識(shí)別威脅。包括定義威脅并分類、對(duì)威脅賦值。(4)識(shí)別脆弱性。包括定義脆弱性并分類、對(duì)脆弱性賦值。(5)確認(rèn)已有的安全措施。(6)風(fēng)險(xiǎn)識(shí)別。包括風(fēng)險(xiǎn)的計(jì)算、風(fēng)險(xiǎn)等級(jí)的判定、控制措施的選擇、殘余風(fēng)險(xiǎn)的評(píng)價(jià)。(7)風(fēng)險(xiǎn)評(píng)估結(jié)果記錄。

(四)風(fēng)險(xiǎn)評(píng)估流程網(wǎng)絡(luò)審計(jì)中風(fēng)險(xiǎn)評(píng)估的實(shí)施流程可分為以下階段：首先，系統(tǒng)調(diào)研階段。即調(diào)查并了解被審計(jì)單位信息系統(tǒng)的相關(guān)內(nèi)容，以確定風(fēng)險(xiǎn)評(píng)估的范圍。其次，制定風(fēng)險(xiǎn)評(píng)估方案。即對(duì)評(píng)估任務(wù)分工和責(zé)任、評(píng)估各階段的工作計(jì)劃、時(shí)間進(jìn)度等事項(xiàng)進(jìn)行安排。第三，識(shí)別和評(píng)估脆弱點(diǎn)。即對(duì)被審計(jì)單位網(wǎng)絡(luò)財(cái)務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息在技術(shù)和管理方面可能存在的漏洞進(jìn)行識(shí)別和分析。第四，識(shí)別和評(píng)估威脅。即對(duì)被審計(jì)單位網(wǎng)絡(luò)財(cái)務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息在物理層、系統(tǒng)層、應(yīng)用層、網(wǎng)絡(luò)層及管理層所面臨的各種威脅，并分析它們發(fā)生的可能性。第五，管理檢查。即審計(jì)人員專門(mén)對(duì)被審計(jì)單位的總體管理措施的完備性和有效性進(jìn)行評(píng)估。最后，風(fēng)險(xiǎn)評(píng)估結(jié)果分析。即審計(jì)人員根據(jù)上述各階段實(shí)施所得到的評(píng)估結(jié)果，對(duì)信息系統(tǒng)及基于網(wǎng)絡(luò)的財(cái)務(wù)信息進(jìn)行綜合的風(fēng)險(xiǎn)評(píng)價(jià)，得出風(fēng)險(xiǎn)評(píng)估的結(jié)論。