谈谈互联网企业的IT审计.pdfVIP

谈谈互联网企业的IT 审计 石 林 2014.01 2013 年，波澜不惊的中国资本市场，最炙手可热的一个板块，恐怕就是以网络游戏、电子 商务和互联网金融为代表的互联网行业了。 非常有幸，刚转行做IT 审计，就赶上了这波浪潮。2 年多的时间，我共参与了9 家网游产品 提供商、2 家网上支付平台、2 家购物网、2 家物流企业、1 家游戏平台、1 家浏览器、1 家 征婚网、1 家政网、1 家房产网、1 家云服务提供商的IT 审计或尽职调查，基本贯穿了电子 商务的整个产业链。 一、 对互联网企业的认识 1、互联网大佬都是真土豪 与2000 年靠烧钱炒作搞起来的互联网热不同，这轮互联网热是有真金白银做为支撑的。 原来比较火的主要是门户网站和搜索网站，靠的是烧钱，注重的是点击率，收入主要是内容 和广告费。 现在的互联网企业，无论是网络游戏、电子商务、网络彩票、网上征婚还是互联网金融，大 多都有比较好现金流作为支撑，企业的营收状况都非常好，一个几十人的公司都能放着几个 亿的定期存款。 去游戏公司审计，看到光着脚丫穿着拖鞋吃着方便面打着游戏的员工，说不定就是个亿万富 翁，真正的是又“土”又“豪”。 所以，面对不拘小节、不修边幅的互联网企业的领导，在制定审计策略的时候，要实质重于 形式。 2、管理粗放 很多互联网企业都是事先未料、一不小心做成功的，所以，面对着爆发式的成长，企业管理 往往跟不上节奏，内部控制比较混乱、财务核算体系不健全，经营和财务数据不完整，除了 客户使用的生产系统外，其它的应用系统建设都不够完善。 这一点，我们在做审计之前，一定要有心理准备，如果想比较透彻的把公司的财务和系统理 清，需要花费比较长的时间。 3、数据海量 相比于传统行业，互联网行业的经营和财务数据大多是由用户自动产生的，像生成订单、付 款、甚至是产品的使用，都由用户自己来操作的。由于用户群较大导致经营数据非常的庞大。 比如网络游戏，用户充值兑换成游戏币，然后使用游戏币购买道具，可能一分钟就要有好几 十条购买记录；道具的使用，像打枪、砍杀等操作，一分钟可能有几百笔道具使用记录，一 个游戏一天的数据量要超过1 个G 。 对高度信息化、数据海量的互联网企业进行审计，使用传统的方法评估收入的完整性、真实 性将无计可施、一筹莫展，必须依靠IT 审计进行内控测试和大数据分析。 二、 互联网行业常见的造假手段 (一) 用户造假 为制造繁荣景象，首先会把用户做的很多。包括但不限于以下手段： 1、故意放水 做过网站的人都会知道，如今有注册软件，可以自动注册，但这样的用户一般都是水军，所 以各网站在注册页面经常要求填写验证码等信息，以拒绝水军、只收真人。若要增加用户， 降低注册难度，水军用户就会多起来。 2、自己注册 单靠水军，用户还是不够庞大，公司可以向员工下达注册用户指标，每人多少个，等等。但 这也有限，因为自己员工还得干工作，不能整天弄这个，用注册软件，也显得不够真实，因 为现在的软件，取用户名的想象力还是一般，基本就是字母数字的排列组合，诗意和个性都 太差。 3、收买用户 这个最狠，收买真实的其他网站的用户。这就不是普通渠道了，因为别的网站人家也不会卖。 怎么办，有黑客。早年，黑客入侵成功后，干的事叫“提权”，就是获取网站控制权，恶搞 或者不恶搞一下；后来呢，他们要做的是“拖库”，就是把网站的用户名、密码、邮箱，全 部拿走。如有网站想要伪造用户，购买这些“拖库”用户，可以百万级的增加自己的用户量 ，这样风投自然会来，而黑客，卖一次大的，可能就豪车别墅都有了。 (二) 流量造假 既然繁荣，用户也很多，那么流量也必然很多才像回事。访问量造假，手法包括但不限于： 1、自然人手动或者编程刷新页面，清除或者不清除Cookie——后者较笨； 2、购买流量，由他人或黑客利用被控制的电脑（“肉鸡”）刷访问量，Cookie 和IP 都换的频 繁； 3、用软件制造访问量，并且可能破解监测工具或者统计工具的关键算法，把访客地图、访 问规律都造的有模有样。 4 、破解各大统计网站的排名程序，悍然作弊提升排名。还有可能，就是收买各大统计网站 的内部员工，轻松提升排名。 (三) 业务量造假 业务量造假，与网络无关的公司也会做，且花样繁多，IT 行业不过是换了工具和手法而已。 以广告为主要收入的网站，广告点击量就算业务量了，造假方法见前述。 广告之外的交易量，比如卖出实物、卖出虚拟商品等，都可以造假。 手段，包括但