新岳乱合集目录500伦_在教室里被强h_幸福的一家1—6小说_美女mm131爽爽爽作爱

一、引言

從審計的角度，風(fēng)險評估是現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嫷暮诵睦砟?。無論是在歷史財務(wù)報表審計還是在網(wǎng)絡(luò)審計中，現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嬀髮徲嫀熢趫?zhí)行審計工作過程中應(yīng)以風(fēng)險評估為中心，通過對被審計單位及其環(huán)境的了解，評估確定被審計單位的高風(fēng)險領(lǐng)域，從而確定審計的范圍和重點，進一步?jīng)Q定如何收集、收集多少和收集何種性質(zhì)的證據(jù)，以便更有效地控制和提高審計效果及審計效率。從企業(yè)管理的角度，企業(yè)風(fēng)險管理將風(fēng)險評估作為其基本的要素之一進行規(guī)范，要求企業(yè)在識別和評估風(fēng)險可能對企業(yè)產(chǎn)生影響的基礎(chǔ)上，采取積極的措施來控制風(fēng)險，降低風(fēng)險為企業(yè)帶來損失的概率或縮小損失程度來達到控制目的。信息安全風(fēng)險評估作為企業(yè)風(fēng)險管理的一部分，是企業(yè)信息安全管理的基礎(chǔ)和關(guān)鍵環(huán)節(jié)。盡管如此，風(fēng)險評估在網(wǎng)絡(luò)審計、歷史財務(wù)報表審計和企業(yè)信息安全管理等工作中的運用卻不盡相同，本文在分析計算機信息系統(tǒng)環(huán)境下所有特定風(fēng)險和網(wǎng)絡(luò)審計風(fēng)險基本要素的基礎(chǔ)上，從風(fēng)險評估中應(yīng)關(guān)注的風(fēng)險范圍、風(fēng)險評估的目的、內(nèi)容、程序及實施流程等內(nèi)容展開，將網(wǎng)絡(luò)審計與歷史財務(wù)報表審計和信息安全管理的風(fēng)險評估進行對比分析，以期深化對網(wǎng)絡(luò)審計風(fēng)險評估的理解。

二、網(wǎng)絡(luò)審計與歷史財務(wù)報表審計的風(fēng)險評估比較

(一)審計風(fēng)險要素根據(jù)美國注冊會計師協(xié)會發(fā)布的第47號審計標準說明中的審計風(fēng)險模型，審計風(fēng)險又由固有風(fēng)險、控制風(fēng)險和檢查風(fēng)險構(gòu)成。其中，固有風(fēng)險是指不考慮被審計單位相關(guān)的內(nèi)部控制政策或程序的情況下，其財務(wù)報表某項認定產(chǎn)生重大錯報的可能性；控制風(fēng)險是被審計單位內(nèi)部控制未能及時防止或發(fā)現(xiàn)財務(wù)報表上某項錯報或漏報的可能性；檢查風(fēng)險是審計人員通過預(yù)定的審計程序未能發(fā)現(xiàn)被審計單位財務(wù)報表上存在重大錯報或漏報的可能性。在網(wǎng)絡(luò)審計中，審計風(fēng)險仍然包括固有風(fēng)險、控制風(fēng)險和檢查風(fēng)險要素，但其具體內(nèi)容直接受計算機網(wǎng)絡(luò)環(huán)境下信息系統(tǒng)特定風(fēng)險的影響。計算機及網(wǎng)絡(luò)技術(shù)的應(yīng)用能提高企業(yè)經(jīng)營活動的效率，為企業(yè)的經(jīng)營管理帶來很大的優(yōu)越性，但同時也為企業(yè)帶來了一些新的風(fēng)險。這些新的風(fēng)險主要表現(xiàn)為：(1)數(shù)據(jù)與職責(zé)過于集中化。由于手工系統(tǒng)中的職責(zé)分工、互相牽制等控制措施都被歸并到計算機系統(tǒng)自動處理過程中去了，這些集中的數(shù)據(jù)庫技術(shù)無疑會增加數(shù)據(jù)被操縱和破壞的風(fēng)險。(2)系統(tǒng)程序易于被非法調(diào)用甚至遭到篡改。由于計算機系統(tǒng)有較高的技術(shù)要求，非專業(yè)人員難以察覺計算機舞弊的線索，這加大了數(shù)據(jù)被非法使用的可能性。如經(jīng)過批準的系統(tǒng)使用人員濫用系統(tǒng)，或者說，企業(yè)對接近信息缺乏控制使得重要的數(shù)據(jù)或程序被盜竊等。(3)錯誤程序的風(fēng)險，例如程序中的差錯反復(fù)和差錯級聯(lián)、數(shù)據(jù)處理不合邏輯、甚至是程序本身存在錯誤等。(4)信息系統(tǒng)缺乏應(yīng)用的審計接口，使得審計人員在審計工作中難以有效地采集或獲取企業(yè)信息系統(tǒng)中的數(shù)據(jù)，從而無法正常開展審計工作。(5)網(wǎng)絡(luò)系統(tǒng)在技術(shù)和商業(yè)上的風(fēng)險，如計算機信息系統(tǒng)所依賴的硬件設(shè)備可能出現(xiàn)一些不可預(yù)料的故障，或者信息系統(tǒng)所依賴的物理工作環(huán)境可能對整個信息系統(tǒng)的運行效能帶來影響等。相對應(yīng)地，網(wǎng)絡(luò)審計的固有風(fēng)險主要是指系統(tǒng)環(huán)境風(fēng)險，即財務(wù)電算化系統(tǒng)本身所處的環(huán)境引起的風(fēng)險，它可分為硬件環(huán)境風(fēng)險和軟件環(huán)境風(fēng)險?？刂骑L(fēng)險包括系統(tǒng)控制風(fēng)險和財務(wù)數(shù)據(jù)風(fēng)險，其中，系統(tǒng)控制風(fēng)險是指會計電算化系統(tǒng)的內(nèi)部控制不嚴密造成的風(fēng)險，財務(wù)數(shù)據(jù)風(fēng)險是指電磁性財務(wù)數(shù)據(jù)被篡改的可能性。檢查風(fēng)險包括審計軟件風(fēng)險和人員操作風(fēng)險，審計軟件風(fēng)險是指計算機審計軟件本身缺陷原因造成的風(fēng)險，人員操作風(fēng)險是指計算機審計系統(tǒng)的操作人員、技術(shù)人員和開發(fā)人員等在工作中由于主觀或客觀原因造成的風(fēng)險。

(二)風(fēng)險評估目的無論在網(wǎng)絡(luò)審計還是歷史財務(wù)報表審計中，風(fēng)險評估只是審計的一項重要程序，貫穿于審計的整個過程。與其他審計程序緊密聯(lián)系而不是一項獨立的活動。盡管如此，兩者所關(guān)注的風(fēng)險范圍則有所不同。歷史財務(wù)報表審計的風(fēng)險評估要求審計人員主要關(guān)注的是被審計單位的重大錯報風(fēng)險——財務(wù)報表在審計前存在重大錯報的可能性。由于網(wǎng)絡(luò)審計的審計對象包括被審計單位基于網(wǎng)絡(luò)的財務(wù)信息和網(wǎng)絡(luò)財務(wù)信息系統(tǒng)兩類，因此審計人員關(guān)注的風(fēng)險應(yīng)是被審計單位經(jīng)營過程中與該兩類審計對象相關(guān)的風(fēng)險。(1)對于與企業(yè)網(wǎng)絡(luò)財務(wù)信息系統(tǒng)相關(guān)的風(fēng)險，審計人員應(yīng)該從信息系統(tǒng)生命周期的各個階段和信息系統(tǒng)的各組成部分及運行環(huán)境兩方面出發(fā)進行評估。信息系統(tǒng)生命周期是指該信息系統(tǒng)從產(chǎn)生到完成乃至進入維護的各個階段及其活動，無論是在早期的線性開發(fā)模型中還是在更為復(fù)雜的螺旋式等模型中，一個信息系統(tǒng)的生命周期大都包括規(guī)劃和啟動、設(shè)計開發(fā)或采購、集成實現(xiàn)、運行和維護、廢棄等五個基本階段。由于信息系統(tǒng)在不同階段的活動內(nèi)容不同，企業(yè)在不同階段的控制目標和控制行為也會有所不同，因此，審計人員的風(fēng)險評估應(yīng)該貫穿于信息系統(tǒng)的整個生命周期。信息系統(tǒng)的組成部分是指構(gòu)成該信息系統(tǒng)的硬件、軟件及數(shù)據(jù)等，信息系統(tǒng)的運行環(huán)境是指信息系統(tǒng)正常運行使用所依托的物理和管理平臺。具體可將其分為五個層面：物理層，即信息系統(tǒng)運行所必備的機房、設(shè)備、辦公場所、系統(tǒng)線路及相關(guān)環(huán)境；網(wǎng)絡(luò)層，即信息系統(tǒng)所需的網(wǎng)絡(luò)架構(gòu)的安全情況、網(wǎng)絡(luò)設(shè)備的漏洞情況、網(wǎng)絡(luò)設(shè)備配置的缺陷情況等；系統(tǒng)層，即信息系統(tǒng)本身的漏洞情況、配置的缺陷情況；應(yīng)用層，即信息系統(tǒng)所使用的應(yīng)用軟件的漏洞情況、安全功能缺陷情況；管理層，即被審計單位在該信息系統(tǒng)的運行使用過程中的組織、策略、技術(shù)管理等方面的情況。(2)對于與企業(yè)基于網(wǎng)絡(luò)的財務(wù)信息相關(guān)的風(fēng)險，審計人員應(yīng)著重關(guān)注財務(wù)信息的重大錯報風(fēng)險和信息的安全風(fēng)險。重大錯報風(fēng)險主要指被審計單位基于網(wǎng)絡(luò)的相關(guān)財務(wù)信息存在重大錯報的可能性，它是針對企業(yè)借助于網(wǎng)絡(luò)信息系統(tǒng)或網(wǎng)絡(luò)技術(shù)對有關(guān)賬戶、交易或事項進行確認、計量或披露而言。網(wǎng)絡(luò)審計中關(guān)注的重大錯報風(fēng)險與傳統(tǒng)審CtT的內(nèi)涵基本上是一致的，審計人員在審計時應(yīng)當(dāng)考慮被審計單位的行業(yè)狀況、經(jīng)營性質(zhì)、法律及監(jiān)管環(huán)境、會計政策和會計方法的選用、財務(wù)業(yè)績的衡量和評價等方面的情況對財務(wù)信息錯報可能的影響。信息安全風(fēng)險涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的風(fēng)險，主要針對企業(yè)利用信息系統(tǒng)或一定的網(wǎng)絡(luò)平臺來存儲、傳輸、披露相關(guān)財務(wù)信息而言。在審計過程中，審eta員應(yīng)當(dāng)主要關(guān)注相關(guān)財務(wù)信息被盜用、非法攻擊或篡改及非法使用的可能性。當(dāng)然，這兩類風(fēng)險并非完全分離的，評估時審計人員應(yīng)將兩者結(jié)合起來考慮。
(三)風(fēng)險評估內(nèi)容　廣泛意義的風(fēng)險評估是指考慮潛在事件對目標實現(xiàn)的影響程度。由于網(wǎng)絡(luò)審計與歷史財務(wù)報表審計風(fēng)險評估的目的并不完全相同，因此兩者在風(fēng)險評估的內(nèi)容上也是存在區(qū)別的。總的來說，網(wǎng)絡(luò)審計的風(fēng)險評估內(nèi)容比歷史財務(wù)報表審計的風(fēng)險評估內(nèi)容更廣泛和深入。根據(jù)《中國注冊會計師審計準則第1211號——了解被審計單位及其環(huán)境并評估重大錯報風(fēng)

險》，在歷史財務(wù)報表審計中，審計人員的風(fēng)險評估應(yīng)以了解被審計單位及其環(huán)境為內(nèi)容。為識別和評價重大錯報風(fēng)險，審計人員了解的具體內(nèi)容包括被審計單位所在行業(yè)狀況、法律環(huán)境與監(jiān)管環(huán)境以及其他外部因素、被審計單位的性質(zhì)、被審計單位對會計政策的選擇和運用、被審計單位的目標、戰(zhàn)略以及相關(guān)經(jīng)營風(fēng)險、被審計單位財務(wù)業(yè)績的衡量和評價及被審it@位的內(nèi)部控制等。在網(wǎng)絡(luò)審計中。為了識別和評估上文所述的兩類風(fēng)險，審計人員除了從以上方面了解被審計單位及其環(huán)境外，還應(yīng)該關(guān)注其他相關(guān)的潛在事件及其影響，尤其是企業(yè)的財務(wù)信息系統(tǒng)及基于網(wǎng)絡(luò)的財務(wù)信息可能面l臨的威脅或存在的脆弱點。其中，威脅是指對信息系統(tǒng)及財務(wù)信息構(gòu)成潛在破壞的可能性因素或者事件，它可能是一些如工作人員缺乏責(zé)任心、專業(yè)技能不足或惡意篡改等人為因素，也可能是一些如灰塵、火災(zāi)或通訊線路故障等環(huán)境因素。脆弱點是指信息系統(tǒng)及基于網(wǎng)絡(luò)的財務(wù)信息所存在的薄弱環(huán)節(jié)，它是系統(tǒng)或網(wǎng)絡(luò)財務(wù)信息本身固有的，包括物理環(huán)境、組織、過程、人員、管理、配置、硬軟件及信息等各方面的弱點。一般來說，脆弱點本身不會帶來損失或信息錯報，威脅卻總是要利用網(wǎng)絡(luò)、系統(tǒng)的弱點來成功地引起破壞。因此，我們認為網(wǎng)絡(luò)審計申風(fēng)險評估的內(nèi)容應(yīng)包括以下幾方面：(1)識別被審計單位財務(wù)信息系統(tǒng)及其基于網(wǎng)絡(luò)的財務(wù)信息可能面臨的威脅，并分析威脅發(fā)生的可能性；(2)識別被審計單位財務(wù)信息系統(tǒng)及其基于網(wǎng)絡(luò)的財務(wù)信息可能存在的脆弱點，并分析脆弱點的嚴重程度；(3)根據(jù)威脅發(fā)生的可能性和脆弱點發(fā)生的嚴重程度，判斷風(fēng)險發(fā)生的可能性；(4)根據(jù)風(fēng)險發(fā)生的可能性，評價風(fēng)險對財務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財務(wù)信息可能帶來的影響；(5)若被審計單位存在風(fēng)險防范或化解措施，審計人員在進行風(fēng)險評估時還應(yīng)該考慮相應(yīng)措施的可行性及有效性。

(四)風(fēng)險評估程序《中國注冊會計師審計準則第1211-----了解被審計單位及其環(huán)境并評估重大錯報風(fēng)險》中要求，審計人員應(yīng)當(dāng)實施詢問、分析程序、觀察和檢查等程序，以獲取被審計單位的信息，進而評估被審計單位的重大錯報風(fēng)險。這些程序同樣適用于網(wǎng)絡(luò)審計中的風(fēng)險評估。但在具體運用時網(wǎng)絡(luò)審計中更加注重了解和分析被審計單位與信息系統(tǒng)及網(wǎng)絡(luò)技術(shù)使用相關(guān)的事項。在實施詢問程序時，審計人員的詢問對象圍繞信息系統(tǒng)和基于網(wǎng)絡(luò)的財務(wù)信息可大致分為管理人員、系統(tǒng)開發(fā)和維護人員(或信息編制人員)、系統(tǒng)使用人員(或信息的內(nèi)部使用人員)、系統(tǒng)或網(wǎng)絡(luò)技術(shù)顧問及其他外部相關(guān)人員(如律師)等五類，分別從不同角度了解信息系統(tǒng)和基于網(wǎng)絡(luò)的財務(wù)信息可能存在的威脅和脆弱點。在實施分析程序時，除了研究財務(wù)數(shù)據(jù)及與財務(wù)信息相關(guān)的非財務(wù)數(shù)據(jù)可能的異常趨勢外，審計人員應(yīng)格外關(guān)注對信息系統(tǒng)及網(wǎng)絡(luò)的特性情況，被審計單位對信息系統(tǒng)的使用情況等內(nèi)容的分析比較。實施觀察和檢查時，除執(zhí)行常規(guī)程序外，審計人員應(yīng)注意觀察信息系統(tǒng)的操作使用和檢查信息系統(tǒng)文檔。除此之外，針對特定系統(tǒng)或網(wǎng)絡(luò)技術(shù)風(fēng)險的評估，審計人員還需要實施一些特定的程序。技術(shù)方面如IOS取樣分析、滲透測試、工具掃描、安全策略分析等；管理方面如風(fēng)險問卷調(diào)查、風(fēng)險顧問訪談、風(fēng)險策略分析、文檔審核等。其中，IDS取樣分析是指通過在核心網(wǎng)絡(luò)采樣監(jiān)聽通信數(shù)據(jù)方式，獲取網(wǎng)絡(luò)中存在的攻擊和蠕蟲行為，并對通信流量進行分析；滲透測試是指在獲取用戶授權(quán)后，通過真實模擬黑客使用的工具、方法來進行實際漏洞發(fā)現(xiàn)和利用的安全測試方法；工具掃描是指通過評估工具軟件或?qū)Ｓ冒踩u估系統(tǒng)自動獲取評估對象的脆弱性信息，包括主機掃描、網(wǎng)絡(luò)掃描、數(shù)據(jù)庫掃描等，用于分析系統(tǒng)、應(yīng)用、網(wǎng)絡(luò)設(shè)備存在的常見漏洞。風(fēng)險問卷調(diào)查與風(fēng)險顧問訪談要求審計人員分別采用問卷和面談的方式向有關(guān)主體了解被審計單位的風(fēng)險狀況，使用時關(guān)鍵是要明確問卷或訪談的對象情況風(fēng)險策略分析要求審計人員對企業(yè)所設(shè)定的風(fēng)險管理和應(yīng)對策略的有效性進行分析，進而評價企業(yè)相關(guān)風(fēng)險發(fā)生的概率以及可能帶來的損失；文檔審核是一種事前評價方法，屬于前置軟件測試的一部分，主要包括需求文檔測試和設(shè)計文檔測試。這些特定程序主要是針對被審計單位信息系統(tǒng)和基于網(wǎng)絡(luò)的財務(wù)信息在網(wǎng)絡(luò)安全風(fēng)險方面進行評價，審計人員在具體使用時應(yīng)結(jié)合被審計單位的業(yè)務(wù)性質(zhì)選擇合適的程序。

三、網(wǎng)絡(luò)審計與信息安全管理的風(fēng)險評估比較

(一)風(fēng)險評估的目的信息安全管理中的風(fēng)險評估(即信息安全風(fēng)險評估)是指根據(jù)國家有關(guān)信息安全技術(shù)標準，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學(xué)評價的過程。作為信息安全保障體系建立過程中的重要的評價方法和決策機制，信息安全風(fēng)險評估是企業(yè)管理的組成部分，它具有規(guī)劃、組織、協(xié)調(diào)和控制等管理的基本特征，其主要目的在于從企業(yè)內(nèi)部風(fēng)險管理的角度，在系統(tǒng)分析和評估風(fēng)險發(fā)生的可能性及帶來的損失的基礎(chǔ)上，提出有針對性的防護和整改措施，將企業(yè)面臨或遭遇的風(fēng)險控制在可接受水平，最大限度地保證組織的信息安全。而網(wǎng)絡(luò)審計是由獨立審計人員向企業(yè)提供的一項鑒證服務(wù)，其風(fēng)險評估的目的在于識別和評價潛在事件對被審計單位基于網(wǎng)絡(luò)的財務(wù)信息的合法性、公允性以及網(wǎng)絡(luò)財務(wù)信息系統(tǒng)的合規(guī)性、可靠性和有效性的影響程度，從而指導(dǎo)進一步審計程序。因此，兩者風(fēng)險評估的目的是不一樣。從評估所應(yīng)關(guān)注的風(fēng)險范圍來看，兩者具有一致性，即都需要考慮與信息系統(tǒng)和信息相關(guān)的風(fēng)險。但是，具體的關(guān)注邊界則是不一樣的。信息安全風(fēng)險評估要評估企業(yè)資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響，它要求評估人員關(guān)注與企業(yè)整個信息系統(tǒng)和所有的信息相關(guān)的風(fēng)險，包括實體安全風(fēng)險、數(shù)據(jù)安全風(fēng)險、軟件安全風(fēng)險、運行安全風(fēng)險等。網(wǎng)絡(luò)審計中，審計人員是對被審計單位的網(wǎng)絡(luò)財務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財務(wù)信息發(fā)表意見，因此，風(fēng)險評估時審計人員主要關(guān)注的是與企業(yè)財務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財務(wù)信息相關(guān)的風(fēng)險，而不是與企業(yè)的整個信息系統(tǒng)和所有的信息相關(guān)的風(fēng)險。根據(jù)評估實施者的不同，信息安全風(fēng)險評估形式包括自評估和他評估。自評估是由組織自身對所擁有的信息系統(tǒng)進行的風(fēng)險評估活動；他評估通常是由組織的上級主管機關(guān)或業(yè)務(wù)主管機關(guān)發(fā)起的，旨在依據(jù)已經(jīng)頒布的法規(guī)或標準進行的具有強制意味的檢查。自評估和他評估都可以通過風(fēng)險評估服務(wù)機構(gòu)進行咨詢、服務(wù)、培訓(xùn)以及風(fēng)險評估有關(guān)工具的提供。因此。對審計人員而言，受托執(zhí)行的信息安全風(fēng)險評估應(yīng)當(dāng)歸屬于管理咨詢類，即屬于非鑒證業(yè)務(wù)，與網(wǎng)絡(luò)審計嚴格區(qū)分開來。
(二)風(fēng)險評估的內(nèi)容在我國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布的《信息安全風(fēng)險評估指南》(征求意見稿)國家標準中，它將信息安全風(fēng)險評估的內(nèi)容分為兩部分：基本要素和相關(guān)屬性，提出信息安全風(fēng)險評估應(yīng)圍繞其基本要素展開，并充分考慮與這些基本要素相關(guān)的其他屬性。其中，風(fēng)險評估的基本要素包括資產(chǎn)、脆弱性、威脅、風(fēng)險和安全措施；相關(guān)屬性包括業(yè)務(wù)戰(zhàn)略、資產(chǎn)價值、安全需求、安全事件、殘余風(fēng)險等。在此基礎(chǔ)上的風(fēng)險計算過程是：(1)對信息資產(chǎn)進行識別，并對資產(chǎn)賦值；(2)對威脅進行分析，并對威

脅發(fā)生的可能性賦值；(3)識別信息資產(chǎn)的脆弱性，并對弱點的嚴重程度賦值；(4)根據(jù)威脅和脆弱性計算安全事件發(fā)生的可能性；(5)根據(jù)脆弱性的嚴重程度及安全事件所作用的資產(chǎn)的價值計算安全事件造成的損失；(6)根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失，計算安全事件一旦發(fā)生對組織的影響，即風(fēng)險值。結(jié)合上文網(wǎng)絡(luò)審計風(fēng)險評估五個方面的內(nèi)容可以看出，網(wǎng)絡(luò)審計和信息安全風(fēng)險評估在內(nèi)容上有相近之處，即都需要針對信息系統(tǒng)和信息可能面臨的威脅和存在的脆弱點進行識別。但是，信息安全管理作為企業(yè)的一項內(nèi)部管理，其風(fēng)險評估工作需要從兩個層次展開：一是評估風(fēng)險發(fā)生的可能性及其影響；二是提出防護或整改措施以控制風(fēng)險。第一個層次的工作實質(zhì)上是為第二層次工作服務(wù)的，其重點在第二層次?！缎畔踩L(fēng)險評估指南》(征求意見稿)提出，企業(yè)在確定出風(fēng)險水平后，應(yīng)對不可接受的風(fēng)險選擇適當(dāng)?shù)奶幚矸绞郊翱刂拼胧?，并形成風(fēng)險處理計劃。其中，風(fēng)險處理的方式包括回避風(fēng)險、降低風(fēng)險、轉(zhuǎn)移風(fēng)險、接受風(fēng)險，而控制措施的選擇應(yīng)兼顧管理和技術(shù)，考慮企業(yè)發(fā)展戰(zhàn)略、企業(yè)文化、人員素質(zhì)，并特別關(guān)注成本與風(fēng)險的平衡。網(wǎng)絡(luò)審計的風(fēng)險評估工作主要集中在第一個層次，即審計人員通過風(fēng)險評估，為進一步審計中做出合理的職業(yè)判斷、有效地實施網(wǎng)絡(luò)審計程序和實現(xiàn)網(wǎng)絡(luò)審計目標提供重要基礎(chǔ)。因此，兩者的評估內(nèi)容是存在區(qū)別的。

(三)風(fēng)險評估的程序網(wǎng)絡(luò)審計和信息安全管理的風(fēng)險評估程序基本上是一致的，除了實施詢問、觀察和檢查、分析等常規(guī)程序外，評估人員都需要借助一些特定的評估工具對特定系統(tǒng)或網(wǎng)絡(luò)技術(shù)風(fēng)險進行評估。這些評估工具大致可以分為以下幾類：安全管理評價系統(tǒng)；信息基礎(chǔ)設(shè)施風(fēng)險評估工具風(fēng)險評估輔助工具。對于風(fēng)險評估的具體實施，《信息安全風(fēng)險評估指南》(征求意見稿)將其確定為如下流程：(1)風(fēng)險評估的準備。包括確定風(fēng)險評估的范圍、目標，建立適當(dāng)?shù)脑u估小組，確定系統(tǒng)性的風(fēng)險評估方法，獲得管理者對風(fēng)險評估策劃的批準的內(nèi)容。(2)資產(chǎn)識別。包括定義資產(chǎn)并分類、對資產(chǎn)賦值。(3)識別威脅。包括定義威脅并分類、對威脅賦值。(4)識別脆弱性。包括定義脆弱性并分類、對脆弱性賦值。(5)確認已有的安全措施。(6)風(fēng)險識別。包括風(fēng)險的計算、風(fēng)險等級的判定、控制措施的選擇、殘余風(fēng)險的評價。(7)風(fēng)險評估結(jié)果記錄。

(四)風(fēng)險評估流程網(wǎng)絡(luò)審計中風(fēng)險評估的實施流程可分為以下階段：首先，系統(tǒng)調(diào)研階段。即調(diào)查并了解被審計單位信息系統(tǒng)的相關(guān)內(nèi)容，以確定風(fēng)險評估的范圍。其次，制定風(fēng)險評估方案。即對評估任務(wù)分工和責(zé)任、評估各階段的工作計劃、時間進度等事項進行安排。第三，識別和評估脆弱點。即對被審計單位網(wǎng)絡(luò)財務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財務(wù)信息在技術(shù)和管理方面可能存在的漏洞進行識別和分析。第四，識別和評估威脅。即對被審計單位網(wǎng)絡(luò)財務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財務(wù)信息在物理層、系統(tǒng)層、應(yīng)用層、網(wǎng)絡(luò)層及管理層所面臨的各種威脅，并分析它們發(fā)生的可能性。第五，管理檢查。即審計人員專門對被審計單位的總體管理措施的完備性和有效性進行評估。最后，風(fēng)險評估結(jié)果分析。即審計人員根據(jù)上述各階段實施所得到的評估結(jié)果，對信息系統(tǒng)及基于網(wǎng)絡(luò)的財務(wù)信息進行綜合的風(fēng)險評價，得出風(fēng)險評估的結(jié)論。