审计师的安全

风险点：不具备上岗资格或者知识技术水平不足 ， 审计内容不全面 ，审计不及时 ，审计报告不完整，信息输入时病毒侵入的风险。 通过中间机进行信息输入时，可能会有含恶意代码的病毒随有用信息进入内部各单台计算机。数据丢失的风险。 各单台涉密计算机中存储的数据信息可能因各种原因损害，造成数据丢失。防护措施 针对以上可能存在的风险，制定如下防范措施。 (1) 计算机病毒与恶意代码防护 ：每台涉密计算机中必须安装正版瑞星杀毒软件，由使用人员每周进行一次病毒查杀。 综合办负责每周更新计算机病毒与恶意代码样本库，以光盘的形式下发给使用人员，由使用人员对所使用的计算机进行病毒库升级。 (2) 身份验证 所有单台涉密计算机的密码分二级共三种密码。一级密码为主机BIOS密码，由计算机安全保密管理员掌握。密码有效期为一年，满一年后计算机安全保密管理员进行更换。二级密码包括主机开机密码，操作系统密码和屏幕保护密码（操作系统密码和屏幕保护密码相同）。由计算机安全保密管理员统一设置，并配发给涉密机使用人；密码有效期为30天， 涉密机使用人不得自行更改涉密机的任何密码。⑶密码要求 主机BIOS密码和开机密码长度不能少于8个字符，操作系统密码和屏幕保护密码长度不能少于10个字符，字符中需要包括英文字母、数字和字母的大、小写。⑷技术防护 除涉密中间计算机外的所有涉密计算机，必须安装和使用国产正版瑞星杀毒软件和经国家保密部门认证合格的《XX非授权外联监管系统》和《XXUSB移动存储介质使用管理系统》进行技术处理，从技术上防止非法外联和非法拷贝。

审计风险的组成要素：

审计风险=固有风险×控制风险×检查风险可见，审计风险是由固有风险、控制风险和检查风险三个要素构成。

审计风险的防范措施：

审计风险的基本特征：

审计风险的产生与存在最有可能导致审计失败。风险一旦转化为现实的损失，其后果是相当严重的，不仅会导致经济利益流失，还会使审计机关面临行政复议、行政诉讼而被送上被告席，巨额赔偿也往往造成审计组织破产倒闭。审计风险具有客观性，但依然是可控的，审计机关可以通过识别风险，提高抵御风险的能力加以规避。 一、改善审计环境 (一)完善和健全审计法规体系，增强现有法律法规的可操作性 适应快速发展的经济形势，适时修改并制定更详细的、操作性强的审计法规，尽可能使社会经济生活中的各有关事项有法可依，提高审计工作法制化、科学化、规范化程度，降低工作中的随意性、主观性。 (二)促进被审计单位建立健全财务监督机制和内部控制制度 在企业中大力宣传和学习会计法等法律法规，建立现代企业制度，完善公司法人治理机制。根据企业体制需要，实行董事会、监事会及公司财务总监委派制和会计人员委派制。加强单位会计基础工作，明确会计人员职责权限。建立健全内部控制制度，改善控制环境，增强会计信息的可靠性、减少审计的固有风险和控制风险。 (三)加强与社会公众的联系和沟通 广泛深入宣传《审计法》及审计部门的地位、职能、作用，对一些重要的项目特别是政府、领导机关、社会舆论及人民群众关注的审计项目，审计中遇到的重大问题、普遍性及倾向性问题，及时进行汇报和通报，让包括管理部门、审计对象在内的各级领导和社会各界充分认识审计、理解审计、配合审计，消除对立，减少误解，优化审计环境，从而降低审计风险。 二、建立健全审计质量体系 (一)风险防范从接受审计任务开始 各种性质的审计组织都应尽可能去完成职责范围内且有明确目的的审计项目，不要扩大范围。美国的审计组织所要求的任务首先判断先期信息的可靠性和完成该项目的可行性后才决定是否接受任务，即用谨慎避免自陷泥潭。据调查，美国政府审计机关的审计任务90%以上是国会委员会及其成员和立法院委托的，其余任务是法律规定的，几乎没有审计部门自定项目。 (二)科学选择与设置审计风险点 集中精力和资源对最易发生审计风险的领域和关键点加以重点防范和防御，这是降低审计风险的有效做法。审计风险是一种潜在风险，如果把多年审计实践总结出来的财务错弊倾向性问题作为风险点昭然于全体审计人员，会大大降低审计风险。审计风险点对审计人员起着导向作用，它的选择和设置需要重视和谨慎。但需要注意的是审计风险点揭示的是审计活动中具有代表性的现象，而现实经济生活中的审计问题错综复杂，所涉及的审计风险各不相同，没有固定的模式，应该具体问题具体分析，经济形势发展和审计环境变化后，必须适时修改和健全已经建立的审计风险点，使这一模式真正有生命力，真正发挥防范风险的作用。 (三)严格执行审计准则，规范审计行为 审计按标准操作可以避免很多风险。一是严格执行《国家审计规范》和规定的审计程序，严把调查取证关，对收集的审计证据和合法性进行鉴定，确保审计证据合法有效。二是完善审定会、听证会等制度，实行执法过错责任追究、重大事项汇报制度、规范审计行为。三是准确运用法律法规。无论对审查出问题的性质认定，还是针对存在问题做出的处理处罚，所使用的法律法规必须准确、有效。四是实行被审计单位承诺制，以承诺书的形式要求被审计单位做出所提供资料真实、完整的承诺，不失为适度化解审计风险的必要举措。 (四)加强审计复核工作 要建立审计组组长、审计组所在部门和复核部门三级复核制度，各司其职、各负其责，层层落实复核责任。把复核的重点放在与审计处理处罚密切相关、容易引起审计复议或审计诉讼的重大事项上，严格对照有关要求提出复核意见，降低审计风险。改进复核的技术方法和手段，改变以往书面审查的单一复核方法，复核人员要有重点地深入审计一线，了解有关复核事项，特别是对于统一作出处理处罚的审计项目，要提前介入，及时要求审计人员补充证据，提高审计复核的质量，扩大审计复核覆盖面，将所有审计项目纳入复核范围，不留盲区，避免审计工作潜伏风险。不断补充和完善与审计复核相关的规章制度，提高复核的法制化、制度化、规范化，更好地发挥审计复核的作用。 三、提高审计技术程度 (一)选择恰当的审计方法 审计过程就是收集审计证据、评价审计证据的过程，收集审计证据必定要运用一定的审计技术和方法。现阶段，要根据被审计单位经济活动的特点及其内控制度情况，推广风险基础审计方法，用风险概念规划和指导审计工作。 (二)革新审计技术手段 一是充分利用现代信息和网络技术，全面开展计算机审计，发展以数据库为基础的在线实时审计，加大对审计线索电子化和网络实体审计的研究和探讨，开发新的审计程序和方法，以便获得充分、有力的审计证据，最大限度地降低审计风险。二是参与财务信息系统的设计、评审和验收，要求建立财务会计软件的审计接口和审计通用 数据通道，审查软件的合法性、安全可靠性、可审计性及可维护性等，特别是确保整个系统的可审计性。三是尽快开发审计软件。四是加快审计电算化的立法工作，针对电子数据、电子合同、电子签名、电子货币等方面的有效性、合法性、可靠性、安全性等方面做出规定，使审计电算化有法可依。 四、强化审计主体的风险控制 (一)建立审计员制度 审计员制度是审计职业制度的一种具体形式，是以审计员为核心的审计工作制度，它根据审计工作需要和审计人员所具备的专业素质水平将审计人员划分为相应等级并规定相应职权和责任，在审计中实行审计员负责制度，对整合审计人力资源，规范审计程序、提高审计质量、防范审计风险，具有极大的推进作用。 (二)增强现代审计风险意识 增强审计风险意识、规避审计风险，是现代审计事业发展的根本要求。实施审计监督的过程就是审计风险产生的过程，又是审计人员自觉或不自觉地控制审计风险的过程。要切实树立起现代风险意识和自我保护意识，正视风险，正确估量风险，认真贯彻谨慎性原则，以科学、严谨、公正、客观的工作态度，规范审计行为，尽量把风险降到最低限度。 (三)提高审计人员的综合素质 审计队伍素质的高低是防范审计风险的关键。目前审计所处的环境并不容乐观，而且随着经济的发展，审计对象的复杂程度不断提高，审计难度和风险呈攀升趋势。这对审计人员提出了更高要求。要着力保证三个方面的素质不滞后，即运用现代科技技技能不滞后，专业素质不滞后，廉洁素质不滞后。要建立职业准入制度，对进入审计机关的人员严格把关，确保达到履行职责所必需的专业胜任能力。要不断优化审计队伍知识结构、扩大知识面。注意加强后续教育，抓好跨学学科知识的培训，培养复合型人才。要注意提高审计人员分析、判断、预测经济活动的能力，增强职业关注意识。要加强审计人员的职业道德建设，增强廉洁自律意识，恪守审计规范，倡导敬业精神，提高职业道德水准，从主观上遏制审计风险的发生。

现代社会发展对信息的依赖越来越大，没有各种信息的支持，社会就不能前进和发展。由于审计职业的特殊性，审计人员往往经常出差到异地工作，笔记本电脑已经成为审计人员随身携带的必备工具;笔记本数据的安全又成为审计人员实现计算机数据安全的关键。笔者从 " 硬件 " 、 " 软件 " 以及 " 制度 " 三方面谈谈该如何实现计算机数据的安全。笔记本电脑，应从整体上制订集体的安全方案，至于个人应根据自身的情况加以区别，但都应包括防盗、防止系统崩溃、防止黑客攻击和病毒感染以及数据备份，认证加密等。一、 “软”环境应放在安全意识的首位从软件以及相关配置方面，是电脑操作者最关注的事，也是与其最密切相关的。审计人员的笔记本电脑应设置 BIOS 开机密码、硬盘密码，并且使用加密软件对重要数据进行加密保护外，还要安装防病毒和防火墙软件，或者将机密数据保存在移动硬盘、优盘或者刻录到光盘等存储介质上加以备份，以防不测。具体应注意以下几个方面：(一)从开机开始，检查笔记本电脑的安全防护性能是否完备。这其中又应设置开机密码，且开机密码应经常更换和无规律可循。(二)如有可能要设置硬盘锁定密码，确保笔记本电脑被盗后其中所存储的重要数据不会落入他人之手。大多数笔记本电脑采用密码机制对数据提供基本的保护措施，所以，最简单的措施是设置开机密码。但只设置开机密码还不能保证数据的安全性，因为窃密人可以将硬盘拆卸下来拿到另外一台计算机上读取原始数据，所以，还要设置硬盘锁定密码，这样，该笔记本电脑在每次启动时都必须使用密码对硬盘解密，这样一来即使窃密人将硬盘拔插到另外一台计算机上也很难读取原始数据。(三)笔记本电脑所使用的操作系统应具有较好的稳定性，同时应使用具有安全防护性能的操作系统，最好在笔记本上安装Windows2000 作为操作系统平台，并将分区设置为 NTFS 格式，然后设置登录密码，并确保在不使用时处于登录前状态，以防止他人乘机窃取笔记本电脑上的机密信息。(四)对笔记本电脑中所存储的重要文件采用加密存放的方式进行保护。由于盗窃者攻击破坏手段的不断发展，仅仅依靠密码并不足以阻止经验丰富的窃密人擦除系统配置信息 ( 包括密码在内 ) ，而后侵入系统，进而获取其中存放的机密信息。所以，要切实保护笔记本电脑中存储的机密数据的安全，最好使用磁盘加密程序，如 ISS Limited 公司出品的 iProtect ，至少对于最重要的数据要采取以上保护措施(当然也不要对所有对象都加密，这样会降低计算机性能)。(五)时常进行数据备份，以防在万一丢失笔记本电脑的情况下减小损失。为预防意外，应对笔记本电脑上的数据存有备份，这样即使笔记本电脑丢失，仍能保证信息不至于丢失，将损失降至最低。(六)使用数据恢复软件，减少误删除所带来的影响，建议使用 Final Data 以上版本。同时对于重要数据要作到彻底的删除，市场上相关软件也较多，另外新版的杀毒软件有许多也拥有上述功能，可以加以发掘使用。二、硬件方面是实现数据安全的捷径如果可能，可以考虑通过购买相关的硬件提高审计人员笔记本电脑整体的安全性，防盗和防泄密。其中电脑防盗锁简单实用，成为首选。电脑防盗锁是专门为保护电脑而设计的。通常笔记本电脑身上都会有一个被称为 "Security Slot (安全接口) " 的椭圆形防盗锁孔，旁边有一个锁形标志，这是 Kensington 公司的专利标志，现在已经成为电脑业界的标准，目前市场上主流的笔记本产品、 PDA 、投影仪等都有这种防盗锁孔。我们常用的笔记本电脑用的防盗锁有线缆锁和扣式锁两种。线缆锁相对比较便宜且耐用，扣式锁功能较多但价格较高。如果审计人员经常在人多的场所使用笔记本电脑，存在意外泄密的可能性，会对计算机数据的安全带来一定的威胁，可以选配防泄密滤镜。它是一块暗色的塑料屏幕，将它用胶带粘在液晶屏后就只有笔记本正前方的人才能看见屏幕上的内容，而旁边的人只能看见黑屏，从而防止了信息泄露。对于高级用户，除了上述措施外，建议选购带有安全解决方案、 IC 智能卡、指纹识别系统等产品。当然，移动办公的安全防护是一个系统工程，也是一个体系，不但包含信息在存储过程中的安全保护，还包括信息在传输流转过程中的安全防护问题，单是针对移动办公中的笔记本电脑的信息安全问题，也有很多方面还需要进一步引起重视。三、安全意识必须通过制度和相应的规则上加以规范信息安全在于保证信息的保密性、完整性、可用性三种属性不被破坏。目前，我国的信息安全管理主要依靠传统的管理方式与技术手段来实现，传统的管理模式缺乏现代的系统管理思想，用于管理现代信息往往不适用，而技术手段又有其局限性。保护信息安全，国际公认最有效的方式是采用系统的方法(管理+技术)，即确定信息安全管理方针和范围，在风险分析的基础上选择适宜的控制目标与方式来进行控制。我们在制订部门信息安全制度或规则时，具体可以考虑具体研究 BS7799 。 BS7799 是英国标准协会( British Standards Institution ，简称 BSI )制订的信息安全管理体系标准，它包括两部分，其第一部分《信息安全管理实施规则》于 2000 年底已经被国际标准化组织( ISO )纳入世界标准，编号为 ISO/IEC17799 。BS7799 广泛地涵盖了所有的信息安全议题，如安全方针的制定、责任的归属、风险的评估、定义与强化安全参数及访问控制，甚至包含防病毒的相关策略等，其中对于信息安全，特别是计算机数据安全有明确的规定。 BS7799 已经成为国际公认的信息安全实施标准，适用于各种产业与组织。审计人员要重视安全的教育，提高安全防范意识。计算机保密防范必须以法律法规为依据。