首页 资料文库 期刊中心 杂志订阅 投稿指南 SCI期刊
美章网 精品范文 电子商务审计及其风险研究范文

电子商务审计及其风险研究范文

前言:我们精心挑选了数篇优质电子商务审计及其风险研究文章,供您阅读参考。期待这些文章能为您带来启发,助您在写作的道路上更上一层楼。

电子商务审计及其风险研究

第1篇

【关键词】电子商务审计风险;电子商务审计风险

近几年来,随着越来越多的企业运用电子商务开展经营业务活动,注册会计师在对企业进行审计时不得不考虑这些与电子商务相关的业务,然而这种新兴的电子商务审计和传统的审计有很大的不同,这种电子商务的审计存在更大的风险,注册会计师识别、评估和应对其风险有更大的困难。因此,研究电子商务审计风险的成因及其防范措施,不仅能够更好的识别、评估和应对电子商务审计风险,而且也是对我国审计理论的完善。

一、电子商务审计风险的特征

一般情况下,审计风险=重大错报风险*检查风险,由于电子商务的无纸化、电子化和网络化等特点,无论是电子商务的重大错报风险还是检查风险都比传统审计风险要高。电子商务采用的全球网络化信息系统,企业一方面面临着系统自身的风险,可能导致会计数据被篡改、破坏,另一方面面临着电脑病毒和电脑黑客的入侵,导致会计数据的丢失。这些致使电子商务重大错报风险的加大。电子合同、电子函件、电子订单的存在使注册会计师审计中对其真实性、合法性很难辨别,导致电子商务审计风险中的检查风险要比传统的检查风险要高,审计工作的难度更高。

在电子商务系统高度自动化的条件下,审计证据的充分性和适当性取决于电子商务系统控制的有效性。因此,对电子商务审计主要集中在电子商务系统交易过程和控制测试。审计对象也要从财务报表及其相关资料扩展到被审计单位的资信状况、内部控制等对财务报表产生重要影响的诸多事项上来。

二、电子商务审计风险成因分析

我国的电子商务还处于发展的初级阶段,发展水平较低,相应的电子商务审计也处于探索阶段。随着电子商务迅猛的发展,电子商务审计将成为注册会计师审计发展的重要瓶颈。因此,了解电子商务审计的风险成因对电子商务审计至关重要。

首先,我国电子商务审计环境风险因素分析。迅速发展的电子商务运营不足,致使一些电子商务部能实现,加大了电子商务风险,同时增加了电子商务审计风险。此外,我国电子商务及电子商务审计的法律体系尚不完善,这使企业和注册会计师缺少了执业标准,我国的审计准则虽然涉及了电子商务的内容,但是对电子商务审计的程序和具体的审计标准没有规定,这必然导致注册会计师在执业过程中无章可循,必然导致审计风险。另外,我国的社会信用体系还不健全,这给企业在进行电子商务中可能带来风险。

其次,电子商务审计的客体风险因素分析。一般情况下,审计风险的存在很大程度上是由于被审计单位内部的原因所导致的,电子商务审计风险的出现很大程度上也是由于企业内部出现的问题。企业对电子商务业务的内部控制不健全,导致了电子商务审计风险的大大提高。电子商务的自动化、无纸化、信息化等特点决定了,电子商务审计很大程度上是依靠控制测试而很少用到细节测试,因此企业对电子商务内部控制的设计及实施至关重要。企业内部网络安全也是导致电子商务风险的一个重要原因,网络病毒的入侵、电脑黑客的攻击等都可能篡改会计数据等,从而造成审计风险的产生。此外,参与电子商务人员的专业知识和素质也是影响电子商务风险的一个重要因素。

第三,电子商务审计主体风险因素分析。我国的电子商务起步比较晚,电子商务审计需要的人才必须掌握会计、审计等必要的财务知识外还必须掌握电子商务、计算机等新一代的知识,这需要一种复合型人才,由于我国在电子商务方面的起步比较晚,因此,这方面的人才可能会很或缺。会计师师事务所对这方面的人才进行培养不仅需要财力更需要时间。会计师事务所在遇到电子商务审计业务时可能由于缺少这方面的人才,而根据传统审计的经验来审计,从而带来个较大的审计风险。会计师事务所在对电子商务进行审计中所使用的审计软件实用性不强,通用性较弱。我国电子商务审计是最近几年才发展的,这方面的审计软件的研究开发、研究投入还较少,注册会计师在进行审计当中运用实用性不强的软件很容易带来审计风险。另外,我国近几年会计师事务所的竞争不断加大,造成了低价招揽业务。因审计收费的降低,会计事务所不得不减少审计工作、缩小审计范围,这会增加审计风险。

三、电子商务审计风险的防范

对审计风险的研究的目的就是为了有效的降低审计风险,使审计风险可以降至可以接受的水平。随着电子商务的快速发展,电子商务审计对象的无纸化、网络化、信息化日益提高,要求各方面共同努力,采取有效的措施来降低电子商务审计风险。

电子商务环境因素方面的防范措施。第一,由于我国电子商务处于发展阶段的早期,因此加强对电子商务系统的完善至关重要。给电子商务一个合理的平台,才能把电子商务审计落实的实处,把电子商务审计风险降到可以接受的底水平才不是一句空话。第二,完善电子商务法律法规和有关电子商务审计准则。电子商务的法律法规对规范电子商务起到至关重要的作用,这给了电子商务业务一个合法的标准,有利于审计人员对电子商务的合法性给予判断。完善电子商务审计准则,特别是具体的审计准则,从审计的程序和具体的操作过程都要有明确的规定,这有利于审计人员把握电子商务审计的细节,从而降低风险。最后,建设社会信用体系,社会信用体系的建立能对电子商务这种虚拟的网络交易提供安全保障,另一方面注册会计师可以更好的了解企业的信用状况。另外,加强网络的安全措施也是对电子商务正常运行不可或缺的部分。

电子商务审计对象的防范措施。第一,加强企业关于电子商务的内部控制措施。由于电子商务的自动化、信息化、网络化的程度之高,注册会计师在进行审计时,通常采用控制测试而很少采用实质性测试,这对电子商务业务的内部控制的有效性要求比较高。因此,建设有效的电子商务内部控制系统,对防范电子商务审计风险有很大的帮助。第二,加强企业内部电脑安全和参与电子商务人员的专业知识。电子商务的网络化、信息化要求企业把电脑安全措施管理好,不仅做好企业内部的网络安全,更重要的是做好电子商务网上的授权处理。企业要求做到专门的部门专门的人员来采购、管理电子商务业务。企业应加强电子商务人才的培养,不仅专门的电子商务人员懂得电子商务的内含,而且要让企业公司的各个部门如销售、采购、运输等部门了解电子商务的流程和内含,让电子商务渗透到整个企业当中,这样有利于电子商务的正确开展,减少了在运行过程中的摩擦,大大提高了效率,同时减少了电子商务的风险。

电子商务审计主体的防范措施。第一,会计师事务所培养电子商务审计的人才。电子商务审计是最近几年才发展起来的,它和传统审计有很大的不同,这就导致传统的审计方法和程序不适合电子商务审计。因此,会计师事务所必须加大电子商务审计这方面的人才培养,才能应对所接受的业务中的电子商务审计,从而减低电子商务审计风险,增加会计师事务所的业务量和审计质量。第二,会计师事务所开发实用、有效的电子商务审计软件。不同的电子商务环境造成审计对象的范围和审计方法不一样,因此在软件研究和开发的过程中要充分考虑这方面的问题,开发出不同环境下实用、有效的电子商务审计软件,这样可以在降低审计风险的同时,提高审计的质量。第三,会计师事务所做好电子商务质量控制措施。在项目组审计完毕后,会计师事务所要对所涉及的电子商务审计重点进行复核,要求对电子商务这部分的复核更严格、人才配置更优秀,要把这方面的风险控制在可以接受的范围内。

本文通过对电子商务风险的特点、风险产生的原因以及应对风险的措施的简单研究,希望对企业所涉及的电子商务业务有所帮助,同时希望拓展会计师事务所的电子商务审计业务,提高电子商务审计的效率。

参考文献:

第2篇

关键词:审计风险;风险防范;传统企业;电子商务系统

一、电子商务环境下的企业审计风险研究

在电子商务系统高度自动化的条件下,审计证据的充分性和适当性取决于电子商务系统控制的有效性。因此,对电子商务审计主要集中在电子商务系统交易过程和控制测试。审计对象也要从财务报表及其相关资料扩展到被审计单位的资信状况、内部控制等对财务报表产生重要影响的诸多事项上来。一般情况下,审计风险=重大错报风险×检查风险,由于电子商务的无纸化、电子化和网络化等特点,无论是电子商务的重大错报风险还是检查风险都比传统审计风险要高。电子商务采用的全球网络化信息系统,企业一方面面临着系统自身的风险,可能导致会计数据被篡改、破坏,另一方面面临着电脑病毒和电脑黑客的入侵,导致会计数据的丢失。这些致使电子商务重大错报风险的加大。电子合同、电子函件、电子订单的存在使注册会计师审计中对其真实性、合法性很难辨别,导致电子商务审计风险中的检查风险要比传统的检查风险要高,审计工作的难度更高。

二、电子商务环境下企业审计要素的变化

1.审计目标

在传统的审计中,审计目标主要是为了查错防弊。主要是通过对企业账目的审查来核对企业会计报表的真实性,从而分析判断企业采用的会计处理办法是否符合法律所规定的会计准则,并是否能够真实反应企业真实的经营以及财务状况。另一方面,随着信息技术的不断发展,电商企业等新兴产业的不断发展,经济活动的开放性也更强。这些新兴行业的审计目标也不断的扩展,客户服务功能的审计、电子支付审计等都成为了审计目标。

2.审计对象

纵观电子商务环境下,通过对互联网将企业的物资流、资金流与信息资源都融合在一起。经济交易的双方可以通过电子商务系统对产品的报价以及查询、电子合同的签订等经济活动都能产生相关的电子凭据。因此,在电子商务环境下,电子证据以及电子支付等均是企业审计的重要对象。

3.审计方法

现阶段,涌现了很多网络审计软件为电子商务环境下的电商企业提供了技术的支持。在数据的采集上,审计人员通过审计端口对企业会计信息的数据进行搜集。通过对计算机以及互联网络可以进行远程登录、电子函证、文件传输,以传输信息,获取相关的审计证据。在对数据的分析上,审计人员在运用审计相应的软件,准确和快速的获取信息对生成审计报告以及,都能够有效的为审计工作提高时效性。

三、电子商务环境下对审计的思考

1.加快电子商务审计法律法规的完善

对我国计算机审计的各种法律规定,计算机的审计准则都需要有制定标准的格式。需要制定有关电子商务的法律法规,把电子凭证、合同以及有法律效应的数字签名的保管都需要明确制定下来,有关电子商务与网络经济的立法都需要满足我国的国情,同时借鉴国际相关法规以及立法,能够促进我国的电子商务审计法律法规的建立以及完善,保证电子商务审计能够有法可依。

2.充分利用计算机网络审计

电子商务审计的内容主要包括电子商务系统处理和控制功能的审查,为了证实电商企业的交易事项是否合法以及安全可靠,这些都是传统的审计所没有的。首先必须利用计算机网络技术对审计单位计算机会计信息系统的应用控制进行审查,然后根据一般控制与应用控制的审查结果来决定抽查的范围与重点。通过网络对审计单位的会计数据进行手机审核时,需要对审计单位的审计人员赋予应有的审核权限,可以高效的完成审计工作。另外,对异常项目通过调查和数据分析进行测试、检查、分析与核对,这样可以达到降低审计风险的目的。

3.加快审计的电子化应用技术

随着电子商务发展的需要,对加强计算机审计实用环境的建设提出了更加长远的发展。对各级审计机关对计算机硬件的建设需要给予足够的重视,加大计算机设备系统的投资,对审计机关内部审计资料库的建设,能够有效促进审计事业的现代化发展。要让审计人员尽快参与审计软件的开发,使审计软件的使用在电子商务环境下能够具有自身的实用性,以便今后的计算机审计信息化的建设能够顺利的实施。

四、结语

在电子商务环境下,电商企业的业务流程发生了一些变化,这就需要新的机构来对企业进行有效的监督,以确保电子商务环境市场下的有序进行。同时,电子商务在另一方面也改变了企业审计的环境,迫使企业审计改进传统的审计模式,并采用先进的信息技术,优化审计流程,确保企业审计能够满足新形势的发展要求。

参考文献:

[1]王爽.浅谈网络审计的风险及其防范[J].数码世界,2005(13).

[2]王萍.网络审计的对象创新和业务创新[J].会计天地,2004(8).

[3]宋荣臻,李悦.网络审计及其方法的完善[J].科技与经济,2005(4).

第3篇

【关键词】电子商务 审计风险 审计范围

一、电子商务审计面临的挑战

(一)电子商务审计法律法规体系尚未完善

传统审计准则已经相当完善,而在电子商务环境下,有关电子商务签证的具体标准尚未出台,给电子商务企业审计带来实质性困难和风险。电子商务审计的法律依据明显不足,尽管电子商务已有一段时间的发展,但在法律方面还是一片空白。

(二)会计记录资料发生了改变

电子商务的出现,改变了财务会计信息的载体,使审计证据的形式发生了变化。在电子商务环境下,经济业务产生的原始凭证以电磁信息的形式在网上传递并储于磁性介质中,会计的确认、计量、记录和报告都集中由计算机按程序指令执行。

(三)审计范围发生变化

电子商务环境下,审计范围已扩展到传统审计内容之外,传统的报表审计内容是指被审单位特定时期内的会计报表及其他相关资料及其所反映的经济活动。电子商务环境下还需对系统硬件环境进行审查,包括各部件的兼容性,信息通道的畅通性等。

(四)审计风险加大

相对于传统商务方式下企业的内部控制而言,电子商务环境下企业的内部控制发生了巨大的变化。在电子商务环境下,由于计算机数据处理的集中性,使大部分控制作用基本失去作用,传统的会计岗位职责被打破,使得在传统交易方式下的账簿控制体系失去作用,网络环境系统建立和运行的复杂性,导致内部控制的范围也相应扩大,电子商务引起的技术性风险可能使审计风险中的固有风险和控制风险增大。

(五)审计人员的素质有待提高

大多数工作在基层的审计人员虽然都接受了一些计算机知识培训,但一般多是初级程度的培训,远不能适应计算机审计的要求。此外开发实用性和通用性较强的审计软件所需的高层次、高水平的人员也很缺乏,人才的缺乏严重制约着我国计算机审计的发展。

二、对于电子商务审计挑战的对策思考

(一)加快电子商务审计法律法规的完善

制定我国计算机审计的各种规范化、标准化文件,包括计算机审计的法律准入规定,计算机审计准则,各类审计数据库或输出数据的标准格式等。应尽快制定有关电子商务的法律法规,把电子凭证、电子合同和数字签名的法律效力和保管要求,数字认证机构的管理,电子信息与网络系统的安全等相关内容以法律法规的形式明确下来,有关电子商务与网络经济的立法要立足我国的国情,同时借鉴国际上有关示范法或其他国家的有关法规进行立法,促进我国的电子商务审计法律法规的建立和完善,保证电子商务审计的有法可依。

(二)充分利用计算机网络审计

实现电子商务以后,电子商务审计的内容包括对电子商务系统处理和控制功能的审查,以证实其对交易事项的处理是否真实、合法及安全可靠,这是传统审计所没有的。首先必须利用计算机网络技术对被审计单位计算机会计信息系统的一般控制和应用控制进行审查,然后根据一般控制和应用控制审查结果决定抽查的重点和范围,通过网络对被审计单位财会数据进行收集审核,审计人员在网上通过被审计单位赋予的审查权限,可以完成大部分审计工作,利用审计软件抽取样本,进行各种数量关系的配比分析与数据查询,对异常项目通过调查和数据分析进行测试、检查、分析与核对,这样可以达到降低审计风险的目的。

(三)加快审计的电子化应用技术

顺应电子商务发展的需要,加快计算机硬件和计算机审计使用环境的建设。从审计事业的长远发展出发,各级审计机关应对计算机硬件建设给予足够的重视,加大对计算机设备和系统的投资,着重审计机关内部局域网和审计资料库的建设,促进审计事业的现代化。要让审计人员尽快参与审计软件的开发研制,使审计软件突出实用性即具有审计特色,以便于今后计算机审计方法的应用和审计信息化建设能顺利实施。

(四)采取措施降低审计风险

审计人员要了解网络会计系统内部控制程序,系统中会计组织机构设置是否合理有效,岗位之间的牵制是否充分有效,根据自己处理传统舞弊案件的经验,运用相应的审计手段,对数据的不安全因素进行审计,审查操作人员是否通过篡改程序和数据文件导致会计数据的不真实、不可靠、不准确或以此达到某种非法目的,利用审计法规管理软件对系统合法性与合规性进行验证,利用审计接口软件获取充分、适当的审计证据,减少固有风险和控制风险,利用审计抽样软件进行符合性测试和实质性测试。审查磁性化的会计信息及其存储材料的完全性,计算机系统是否具有应急恢复功能,系统防火墙是否完备等,减少网络病毒的传播及黑客的攻击,以最大限度地降低审计的外部风险。

(五)不断提高审计人员的素质

要推动电子商务审计的发展,必须加强计算机审计人才的培养。因此审计人员应加强计算机网络知识的学习与培训,不断完善个人知识结构,进一步提高自身职业素质,以满足审计业务范围日益拓展的需要。并把计算机审计列为必修课,培养复合型审计人才,为电子商务审计的开展提供人才保障。

由以上所述可见,电子商务的出现对传统审计提出了严峻的挑战,但开展电子商务是国际大趋势所在,同时又给审计一个创新的机遇。随着我国审计法规的不断完善,审计人员素质的逐步提高,审计技术的逐渐进步,我们有理由相信,审计会对电子商务时代的到来充满信心。因此,我们必须迎接挑战,把握机遇,推动我国电子商务审计的现代化建设。

参考文献

[1]王晓东,蔡昌.电子商务环境下网络审计的初步探讨[J].中国管理信息化,2005(06).

[2]杨锐.浅析电子商务环境下审计风险[J].东北大学学报,2003(02).

[3]孙宝文,李辉.电子商务的风险管理与审计研究[J].中央财经大学学报,2003(05).

第4篇

关键词:电子商务;安全;评估;标准

中图分类号:F239 文献标志码:A 文章编号:1673-291X(2012)13-0136-02

一、电子商务安全评估概述

1.电子商务安全评估重要性电子商务安全评估是运用系统的方法,对电子商务系统、各种电子商务安全保护措施、管理机制以及结合所产生的客观效果作出是否安全的结论。由于信息技术本身有其固有的敏感性和特殊性,这就使得对企业电子商务产品是否安全,电子商务安全产品及其网络系统是否可靠,企业电子商务系统是否健壮,电子商务管理是否严格,信息风险防范的准备是否充足等方面都成为需要科学评价和证实的问题。电子商务安全系统所保护的是敏感信息,评估必须可靠、可信、可操作,并且能依赖于成熟的信息安全理论、科学的评估方法和完善的标准体系,具有令人信服的科学性和公正性。

2.电子商务安全评估内容。电子商务安全评估的主要内容有环境控制、应用安全、管理机制、远程通信安全、审计机制等五个方面的内容。环境控制分为实体的、操作系统的及管理的三个部分。应用安全包括输出输入控制、系统内部控制、责任划分、输出的用途、程序的敏感性和脆弱性、用户满意度等。管理机制包括规章制度、紧急恢复措施、人事制度(如防止工作人员调入、调离对安全的影响)等。远程通信安全包括加密、数据签名等。

二、电子商务安全

1.电子商务安全需求与隐患。在电子商务中,任何与交易有关的信息都通过网络交换,都有可能会被篡改、窃听、冒名使用或交易后否认。保证电子商务的安全需提供以下安全保护:(1)完整性保护。确保消息内容在传输和处理过程中没有被添加、删除或修改。(2)真实性保护。能对交易者身份进行鉴别,为身份的真实性提供保证。(3)机密性保护。能防止电子商务参与者的信息在存储、处理、传输过程中泄漏给未经授权的人或实体。(4)抗抵赖。抗抵赖就是为交易的双方提供证据,以解决因否认而产生的纠纷。它实际上建立了交易双方的责任机制。

电子商务面临着其系统自身的安全性问题,计算机及通信网络的安全性问题同样会蔓延到电子商务中。归结起来,电子商务中的安全患主要有其应用层、传输层、存储层和系统层等四个方面:(1)系统层安全性漏洞。电子商务系统的运作须以系统层的软硬件为基础,因此系统层的安全性漏洞将直接会造成电子商务中的安全患。(2)存储层的安全漏洞。存储层的安全漏洞包括两个方面的问题:1)意外情况造成的数据破坏。无论多么稳定的系统,意外情况总是不可避免的,电子商务系统也不例外。如果对意外情况造成的损失没有充分的估计和完备的补救措施,那么意外情祝造成的数据破坏是不可避免的。而数据破坏将对整个电子商务系统的稳定性和安全性造成威胁。2)有意人为侵害造成的破坏。电子商务起步不久,安全性措施尚不完善,是网络黑客攻击的焦点。黑客往往利用电子商务系统中的种种安全性漏洞,窃取和破坏系统数据,甚至修改系统,对整个系统的正常运作造成严重危害。因此,一个成功的电子商务系统必须能有效的防止人为侵害。(3)传输层的安全漏洞。传输层的安全漏洞包括传输过程中的数据截获电子商务系统中的数据在传输过程中可能受到截获,传输过程中的数据完整性破坏以及跨平台数据交换引起的数据丢失等三个方面的问题。(4)应用层的安全漏洞。应用层的安全漏洞包括冒充他人身份和抵赖已经做过的交易两个方面的问题。

2.电子商务安全要求与技术。电子商务安全要求主要有以下六点:(1)信息的有效性要求。电子形式贸易信息的有效性则是电子商务活动的前提。电子商务信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。一旦签订交易后,这项交易就应受到保护以防止被篡改或伪造。(2)信息的保密性要求。电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。电子商务是建立在开放的网络环境上,维护商业机密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。(3)信息的完整性要求。电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。(4)信息的不可抵赖性要求。电子商务可能直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方正是进行交易所期望的贸易方,这一问题则是保证电子商务顺利进行的关键。(5)交易身份的真实性要求。交易者身份的真实性是指交易双方确实是存在的。网上交易的双方要使交易成功,必须互相信任,确认对方真实,对商家要考虑客户是否有信誉。(6)系统的可靠性要求。电子商务系统的可靠性是指防止由于计算机失效、程序错误、传输错误、硬件故障、系统软件错误、数据库出错、计算机病毒和自然灾害所产生的潜在威胁,并加以控制和预防,确保系统安全可靠性。保证计算机系统的安全是保证电子商务系统数据传输及电子商务完整性检查的正确和可靠的根基。

通过使用以下四种电子商务安全密码技术,可以基本满足不同的电子商务安全需求。(1)完整性保护技术。完整性保护技术是用于提供消息认证的安全机制。典型的完整性保护技术是消息认证码是将利用一个带密钥的杂凑函数对消息进行计算,产生消息认证码,并将它附着在消息之后一起传给接收方,接收方在收到消息后可以重新计算消息认证码,并将其与接收到的消息认证码进行比较:如果它们相等,接收方就认为消息没有被篡改;如果它们不相等,接收方就知道消息在传输过程中被篡改了。(2)真实性保护技术。真实性保护技术用来确认某一实体所声称的身份,以对抗假冒攻击。在电子商务中,交易信息通过网络转发,可能在传输过程有一定的延迟,需要通过数据源鉴别来确认交易信息的真正来源。(3)机密性保护技术。机密性保护技术是为了防止敏感数据泄漏给那些未经授权的实体。(4)抗抵赖技术。抗抵赖技术是为了防止恶意主体事后否认所发生的事实或行为。要解决上述问题,必须在每一事件发生时,留下关于该事件的不可否认证据。当出现纠纷时,可由可信第三方验证这些留下的证据.这些证据必须具有不可伪造或防篡改的特点。

三、电子商务安全审计

(一)电子商务安全外部审计

外部审计是指审计师对公司电子商务网站的安全工作进行审计,对消费者提供数据安全、商业政策、交易完整、数据隐私等方面的审计。消费者可以通过查询这些第三方组织的网站进行了解。1998年美国注册会计师协会(AICPA)先后成立的Elliott委员会和Cohen委员会,可以对电子商务的这方面内容提供鉴证。AICPA对电子商务提供的保证服务主要分为两个方面:完整性保证系统(Integrity Assurance System):电子交易中的数据要素是各方同意达成的,并且在数据处理与存储的过程中保持其完整性,没有未经授权的修改。安全性保证系统(SecurityAssuranceSystem):交易双方的身份验证以及电子数据没有未经授权的泄漏。

(二)电子商务安全内部审计

内部审计的作用主要体现在对于电子商务公司内部系统安全和财务风险的管理上,主要包括两个方面的内容:对电子商务系统的技术审计;对电子商务公司的财务进行审计。

1.技术审计。对电子商务系统进行技术审计的主要内容有三项:(1)纪录、跟踪系统的运行状况。利用审计工具,监视和纪录系统的活动情况,如纪录用户登录账号、登录时间、登录的终端以及所访问的文件、存取操作,并放人系统日志中保存在磁盘上,使影响系统安全性的存取以及其他非法操作留下线索,以便审查。(2)检测各种安全事故。审计工具能检测和判定对系统的攻击,如多次使用非法口令登录系统的尝试,及时提供报警甚至自动处理,使系统安全管理人员能够了解系统的运行情况,及时堵住非法入侵者。审计工具还能识别合法用户的误操作等。(3)保存、维护和管理审计日志。由于审计日志记录了审计、跟踪、检测各种安全事件的结果,是查找、分析网络系统安全事件的客观依据,是重要的系统文档,必须有可靠的存储和管理机制。在现代的经济环境下对电子商务公司的财务进行审计,其审计的职能已经发生了根本性的变化。审计已经从传统的财务审计过渡到了风险审计与内部控制。因此,运用内部审计可以很好地控制风险的发生。

2.财务审计。对电子商务系统进行财务审计的主要内容有两项:(1)对电子商务风险设定非财务化监测工具,这种工具可以是数量化的,也可以是非数量化的。比如实时监测服务器访问者数量,或者使用嗅探器工具网络监视工具对公司内部网以及国际互联网出口进行监测。(2)对电子商务风险实行与商业风险并行的另外一套防范方法,但是这种防范措施要与其他风险的防范一起进入风险管理的总的成本与人员控制。

参考文献:

[1] 刘艳慧.电子商务及其安全性研究与应用[D].天津:天津大学,2008.

[2] 王铁柱,等.中国电子商务安全性分析与研究[J].河北公安警察职业学院学报,2010,(3).

第5篇

会计研究表明,提高企业的信息披露的宽泛程度和报告频率,会给企业带来经济效益,这些信息披露同样需要审计鉴证其公允和诚信。现行审计的对象是年度财务报表,而且仅限于财务信息的审计。可以预见,未来的审计对象不仅包括被审计企业的财务信息,也将包括非财务信息。甚至有学者认为,在电子商务环境下的实时审计报告模式应该披露或报告被审计企业的财务状况和经营业绩、网络财务系统的合理性及安全性、专门的财务分析系统对被审计企业未来形势进行的分析、被审计企业的重大变化及其对相关利益者产生的影响。

在电子商务环境下,企业的会计信息系统已成为网络化数据系统的一部分,企业的财务信息通过网络信息技术实现实时的披露。这样,正如世纪公司财务报表的公开披露形成了报表审计市场,实时在线的财务披露也将催生实时在线审计报告的市场。在每一项经济交易中,买卖双方都不愿意在信息不充分的情况下进行,这种经济需求是审计产生的根本条件。随着网络信息技术在财务信息披露中的广泛应用,广大的信息使用群体对企业所披露的信息的公允和诚信逐渐产生鉴证的需求。

我们从审计发生的频率、审计结果的表达形式、审计对象的信息内容和信息含量、审计报告的作用方式,以及审计报告的使用者群体等方面,将电子商务环境下的实时审计报告与传统的财务报表审计报告进行比较(见表)。

表传统审计报告与电子商务环境下的实时审计报告比较

传统报表审计报告电子商务环境下的

实时审计报告

审计频率年度实时

审计结果审计意见经济鉴证

信息内容针对财务报表信息针对使用者选定的信息

信息含量以历史信息为主导既包括历史数据,也包括大量现

现时和未来预测信息

使用范围向投资者、债权人提供向决策者提供

审计方式纠错、侦察舞弊除传统方式之外,还兼有监控

与咨询功能

通过比较我们可以知道,在审计报告的形式和内容上,以及在审计报告的编制和使用方式上,实时审计报告体现了电子商务环境对会计审计领域的重大影响,也体现出会计审计的发展是基于经济环境发展的基本前提。报表审计报告是现代企业制度和工业经济环境作用于会计信息需求的产物,电子商务环境下的实时审计报告也正是现代网络信息经济作用于现行会计信息诚信需求的产物。

五、电子商务环境下的审计风险

在任何审计环境下,审计师在制定审计计划时都要根据个人判断对审计风险进行评估。在比较简单的情形下,审计师可以根据个人判断将审计风险划分为高、中、低等档次。在复杂的情况下,审计师需要建立有效的风险模型来量化审计风险的等级。在电子商务环境下,由于信息经济环境更加复杂,需要建立有效的审计风险模型来评估审计任务中的风险程度。所有的风险评估都离不开审计师对审计程序中的某些指标进行主观性的判断。通过主观判断,审计师选择一定的风险评估方法,使自己的审计决策达到预定的有效程度。在电子商务环境下,审计师对审计风险的控制仍然离不开传统审计理论对审计风险的评估模型,即从固有风险、控制风险和检查风险三个基本要素来分析审计业务中的风险程度和法律责任。通过对这三类风险要素的理解,可以降低从事审计业务而招致损失的可能性。在电子商务环境下,会计信息受到最大的挑战就是会计记录的有效性、完整性和公正性,与之相关的审计和内部控制概念则是职责划分、信息安全和纠错技术。电子证据与传统证据的不同之处在于它们由电子商务企业的内部控制来保证有效性,它们的可用性和可靠性通常依赖于对经济交易有效性和完整性的内部控制效果。

由于在电子商务环境下信息披露错误会跨越不同的企业信息系统,因此其影响十分严重。一般情况下,固有风险与被审计企业经营系统的安全性相关,对其评估的主要范畴包括:()企业信息系统管理及经验的完整性;()企业信息系统变更情况;()可能导致企业信息系统掩饰或错报信息的异常压力;()企业经营和信息系统的性质(电子商务计划和系统的复杂和整合程度);()影响企业的行业版权所有因素(包括信息技术的适用性等);()企业供应链、技术引进、经营合作等第三方对企业信息系统控制的影响水平;()前任审计时间及其审计发现。

传统审计中的控制风险通常不容易被企业内部控制系统及时地防范、侦察和纠正。但在电子商务环境下,由于企业经济业务数据通过企业的信息系统自动地进行加工和处理,而且数据由计算机系统进行实时的反馈,因此出现控制风险的概率比较低。审计师在考虑审计任务的控制风险时,应注意企业内部控制系统的独立性和有效性,并通过系统检测证明其正常运行。

在审计风险三个基本要素中,只有检查风险是审计师能够真正控制的。电子商务环境下,审计师需要综合地考察对固有风险的评估结果以及符合性测试对控制风险的测定结论,决定对被审计企业的信息系统及其生成数据的实质性测试范围。固有风险和控制风险的程度越高,审计师就越有必要执行详细的实质性测试,来获取足够的证据和把握,将审计业务的误差控制在可容忍的范围内。

六、电子商务环境下的审计独立性

审计独立性是一切审计业务的核心。所有的审计准则都要求审计师对被审计企业保持不偏不倚的公正性,以免使审计结果的可靠性由于非技术性因素受到损害,这是对审计独立性的一个操作性界定。具体地讲,审计独立性表现为:()审计师与被审计企业保持经济意义上的独立;()审计师不能与被审计企业存在任何有损于财务报告客观性的利益关联;()审计师与被审计企业的关系或行为不得影响或参与被审计企业的管理决策。因此,无论审计环境如何变化,审计独立性原则都要求审计师在执行审计程序时保持公正的职业判断,回避令其独立性受到置疑的情况。

第6篇

Abstract: With the development and the extensive applicationof E-commerce, Network audit under the electronic business environment face many problems. The article analyses the influence of the network environment of E-commerce to traditional audit, and the present problems in our network audit, and give out the appropriate solutions.

关键词: 电子商务;传统审计;网络审计

Key words: E-business;traditional audit;network audit

中图分类号:TP393文献标识码:A文章编号:1006-4311(2010)28-0150-01

0引言

在基于电子商务和高度信息化的网络财务系统下,传统审计面临巨大的挑战。随着互联网技术的发展,财务管理系统逐渐由手工模式向网络自动模式发展,电子商务的网络环境对传统审计的影响呼唤网络审计的诞生,以电子商务为基础的网络经济和网络财务的深入发展和广泛应用,必然导致财务数据和业务数据在计算机网络系统中的高度集成,从而使得审计所需的大量原始的财务数据和其他各种证据都可从被审计单位及其相关业务单位的计算机网络系统中直接获取。这不仅为真正实用有效的网络审计创造了条件,同时也为全面高效的网络审计系统提供了更广阔的发展空间。所以应运而生出现了在网络环境下,借助大容量的信息数据库,并运用专业的审计软件对共享资源和授权资源进行实时、在线的个性化审计服务的网络审计。由于网络审计是一个新生事物,所以不可避免的会存在许多亟待解决的问题。

1电子商务环境下网络审计面临的主要问题

随着计算机网络及电子商务的迅速发展和广泛应用,我国企事业的财务系统逐步转向基于电子商务的网络形式。目前,我国基于电子商务的网络审计还存在一些亟待解决的问题。

1.1 网络审计理论欠缺当前,网络审计理论研究尚处于初级阶段,人们对网络财务及其网络审计的认识还较模糊。随着市场上相关的各种审计软件不断出现,导致了网络审计的理论研究和实践的不平衡局面。

1.2 网络审计的相关法律和审计准则不完善网络审计是我国审计领域中出现的新生事物,目前许多网络环境下与审计有关的法律问题,全世界都处在一个摸索、改进、完善的过程中。由于计算机技术发展而导致的新的审计问题还没有法律规范,如:有关涉及个人隐私权保护、网络知识产权保护、电子证据的易篡改性和无形性造成审计证据确定上的困难,电子签名而导致在法律上难以认定,电子合同的瞬间完成使得合同签订和生效时间的确定存在巨大的争议等问题的解决还处在广泛的研讨阶段,尤其是我国有关网络活动的法律法规还处在探索阶段,难以应对网络活动中所出现的新纠纷、新问题,这给审计人员客观、独立、公正的开展审计工作带来极大的不便。网络经济时代现代审计赖以存在的内部控制制度出现了新特点,对网络经济时代下日益发展的电子商务系统及随之而出现的一系列新的问题,旧有的法律法规体系和审计标准准则体系己不能完全适应、规范和指导网络经济时代审计的实践。

1.3 网络审计技术不完善网络审计作为一种网络化运营模式的存在,它需要对网络的安全性进行实时监控和维护。但是,由于审计人员的技术不熟练造成的错误或网络系统本身的脆弱性或黑客频繁地攻击,使计算机网络面临的安全问题越来越严重。此外,由于网络审计软件的技术水平不高,造成了缺乏通用的审计软件。

1.4 网络审计面临新的审计风险和审计人员的素质面临新的严峻挑战随着网络审计的产生与发展,不可避免地会产生新环境下的风险。这些风险主要表现为:信息失真引发的风险、对数据的修改不留审计线索引发的风险、内部控制评价引发的风险、审计内容难以把握引发的风险、审计动态取证引发的风险;现行软件评审机制引发的风险和内部管理人员道德风险等。此外,目前严重缺乏既懂网络技术又懂会计、审计的复合型人才。

2解决电子商务环境下网络审计面临问题的主要对策

通过以上分析,我们可以从以下几方面来解决电子商务环境下网络审计面临的问题。

2.1 加强理论研究,建立网络审计理论体系理论是实践的先导,网络审计理论的建立不仅是传统审计理论的一大飞跃,而且还有利于网络经济的健康发展。因此,建立完善的、全新的审计理论体系是非常重要的,审计人员和有关人员应该加强这一领域的研究。

2.2 要加强网络审计准则和审计立法的建设审计准则是审计工作应遵循的规范和尺度,是评价审计工作质量的权威性规则,应加快新的审计标准和准则的制定以指导网络审计工作实践的深入。网络审计立法是保障网络审计正常发展的关键性措施,应当加快网络审计立法工作的力度和进度,使人们在开展网络审计工作时有章可循。对于目前已有的相关法律法规适用于网络审计的应遵从其规定,不适应的则需要进行修改和完善。网络审计法律环境的建立,网络审计的运作将更加规范,更有保障。

2.3 要加快网络审计技术开发与创新网络审计技术主要解决的是审计软件的问题、审计接口问题以及网络审计的安全性问题和会计数据接口标准化问题。要加强审计网络系统的安全性建设;发网络审计软件;推进会计数据接口标准化和审计接口标准化工作。

2.4 要加强网络审计风险控制为了有效地降低网络审计风险,可以对相关网络系统进行实时跟踪;加强对网络系统的安全性和保密性的审计;建立审计服务信息库;参与网络财务软件的评审;实施网络咨询和电子商务签证和充分利用计算机审计软件进行辅助审计。

2.5 要大力发展网络审计人才大批精通计算机、网络及审计业务的审计人员队伍是网络审计能否得以实施的关键。针对网络审计对人才的挑战,审计人员要更新审计监督观念;系统学习审计风险方面的理论知识,掌握新的审计方法;树立竞争观念,培养创新意识,改革现有的教育和培训模式,新的观念,用新的方式、推行素质教育,实施终身教育,学研结合,教研结合,培养和造就一大批一流水平的审计人才。

参考文献:

[1]高山.浅议网络审计的挑战与对策[J].天津经济,2009,(7).

[2]许琪.信息技术时代的网络审计[J].现代经济信息,2008,(5).

[3]曾宪策.网络审计的创新及风险[J].中国审计,2004,(9).

[4]管友桥.浅议网络审计[J].财会通讯,2009,(12).

第7篇

关键词:商业银行;电子商务;风险管理

商业银行从事金融业务面临着市场风险、信用风险、以及操作风险等,而电子商务的出现则加剧了上述各类风险发生的可能性以及风险发生之后的破坏程度。2004年以来,我国面临的网络仿冒威胁正在逐渐加大,仿冒对象主要是金融网站和电子商务网站。2005年上半年共收到网络安全事件报告65679件,超过2004年全年案件数,商业银行电子商务安全风险管理策略已成为理论与实践中必须重视的课题。

一、信息安全管理的历史演进与现阶段的特点

信息安全管理的策略大体遵循事件驱动(技术和管理脱节)-逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。

(一)以事件驱动的初级阶段时期

19世纪70年代安全主要是指物理设备和环境的安全,人与计算机之间的交互主要局限在大型计算机上的哑终端,安全问题只涉及能访问终端的少数人。安全管理策略处于初级阶段,由事件驱动,没有形成规范的管理流程。在此阶段的前期,只重视技术手段。后期开始重视管理手段,但是技术和管理之间脱节。许多组织对信息安全制定了相应的规章和制度,但组织的信息安全管理基本上还处在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。

(二)标准化时期

企业开始将安全问题作为整体考虑,形成一套较为完整的安全管理策略,其中包括了安全管理的技术手段和管理制度(或称运作管理)。几乎所有从事电子商务的企业都拥有自己的安全策略,内容也包括了技术手段、安全管理制度、人员安全教育等等,基本上形成体系,技术和管理手段综合统一,但是安全风险分析还存在不足之处。

(三)安全风险管理策略时期

随着电子商务安全管理发展到一个比较高的层次,安全管理策略也演进到安全风险管理阶段。主要特点如下:

1.安全风险管理成为主流趋势;在安全管理策略的演进过程中,技术和管理手段综合统

一、又融入了风险管理的分析、防范策略,从而安全管理进入了安全风险管理时期。西方商业银行已对安全风险管理形成共识。如安氏公司(is—One),认为信息安全问题最终将归结为风险管理问题,风险管理方法是建立良性的安全技术和管理体系的依据和基础。

2.安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。国际上关于安全风险管理的标准有巴塞尔银行监管委员会的《电子银行业务风险管理原则》、英国标准协会制订的BS7799等。各国也日益重视安全风险管理,制定了许多规范。例如美国货币监理署(OCC)的《电子银行最终规则》、香港金融管理局的《电子银行服务的安全风险管理》等。中国银行业监督管理委员也于2006年颁布了《电子银行业务管理办法》,对国内企业的电子商务安全风险管理给出了指导意见。

3.利用外部专业化机构对金融机构的安全性评估已成为大部分国家的选择。电子银行面临的安全和技术风险,在相当程度上取决于采用的信息技术的先进程度,系统的设计开发水平,以及相关设施设备及其供应商的选择等;银行依靠传统的风险管理机制已很难识别、监测、控制和管理相关风险。同样,监管机构也难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此,大部分国家都采用了依靠外部专业化机构定期对电子银行安全性进行评估的办法,加强对电子银行安全性和技术风险的管理和监管。

4.在许多国家信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。业界的IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作,从经济学的角度出发分析风险,充分衡量保持安全的代价和收益之间的关系,寻求用最小的代价实现最大的效用,在风险分析中也形成一套较为成熟的模式。

二、我国商业银行电子商务安全风险管理策略的薄弱点

(一)系统管理思想缺乏

目前的电子商务安全风险管理策略,在全局上缺乏系统论理论的指导,在实际操作中受到多种多样的安全攻击时会不可避免地出现安全漏洞,无法形成一张全面有序的安全网络。

实践中被采用的安全风险管理策略,以及作为指导意见的规则规范,如《信息安全管理实务准则》(IS017799)、《信息技术安全性评估准则》(GB/T18336.1)、巴塞尔银行监管委员会的《电子银行业务风险管理原则》,尽管提出了比较全面的安全风险管理方案,层次上也比较清晰,但是还不足以作为一个风险防范系统。实践中,电子商务组织是一个复杂的系统组织,电子商务的安全风险管理体系和过程也是个复杂的系统。系统论、控制论的思想在电子商务安全风险管理中是不可或缺的。

(二)风险分析的模型与方法不成熟,定量分析不足

电子商务模式自身的发展历史也不过20几年,在风险分析的定量技术上并不成熟;如BS7799中推荐的电子商务安全风险管理中实施风险评估时,往往将威胁发生的可能性定性划分为几个级别,将威胁所造成的影响也定性划分为1~5级,实质上是将一些按照概率发生的事件定义为不连续的几个级别,在操作上易行,但造成了度量的不精确。在进行监控和审计之后,也存在无法量化、对比的问题。

(三)忽视与原有的传统风险管理策略的结合

本质上,电子商务的安全风险无非是新兴的商业模式对传统的风险的改变,以及产生的在传统风险控制领域暂时无法明晰的新风险;现有管理策略只从信息技术的角度、或者从偏重技术的角度看待问题,站在金融领域本身来分析研究较少。这种状况导致了对电子商务安全风险管理的研究无法立足于一个比较高的层次;忽略了风险的整体性,只进行偏信息和技术的研究,导致了现有的电子商务安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言,传统金融业务的风险控制与电子商务的技术风险控制,两个方面存在脱节,同样属于商业银行的风险,存在着不同的管理策略,导致多头管理、资源浪费、机构之间的扯皮,乃至缺位管理。

(四)风险管理策略无法

依赖外部的信息安全管理行业

在发达国家,信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法,提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系,制定和引进了一批重要的信息安全管理标准、法律法规,风险评估工作得到了一定重视,但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。

(五)风险管理策略中商业银行的内部风险控制能力薄弱

我国商业银行目前均建立起统一的风险管理部门;但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距,风险控制实质上仍然分散在各个子部门;风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门;风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如,风险管理部门接受了电子交易部的风险控制报告,表面上履行的内控审核的流程,但审核作用有限,无法完成电子商务安全风险管理中的监控与审计环节。

三、商业银行的电子商务安全风险管理策略的改进建议

(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架

利用系统理论作为总体的指导思想,将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。

在商业银行电子商务安全风险控制的流程中,经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内,然后进行监控和审计;尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入,从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环,安全风险管理的有效性就上一个台阶,商业银行的安全管理水平变得到了提高。

(二)电子商务安全风险管理中定量分析中的改进思路

商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中,商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定,商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失,巴塞尔委员会制定资本要求的转换系数;在度量损失的分布时,主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来,利用现有的度量方法进行精确的风险定量分析的尝试。新晨

(三)将商业银行电子商务安全风险纳入商业银行总体风险管理范畴

将商业银行所面临的全部风险放在一个框架中考虑。传统风险管理以及电子商务安全风险管理都是风险管理系统中子系统,二者相互联系、相互影响,不可分割。尝试借鉴信用风险与操作风险度量的方法与思想,短期内将其与信用风险控制衔接,最终形成一个全面的商业银行安全风险管理框架。

第8篇

关键词:商业银行;电子商务;风险管理

商业银行从事金融业务面临着市场风险、信用风险、以及操作风险等,而电子商务的出现则加剧了上述各类风险发生的可能性以及风险发生之后的破坏程度。2004年以来,我国面临的网络仿冒威胁正在逐渐加大,仿冒对象主要是金融网站和电子商务网站。2005年上半年共收到网络安全事件报告65679件,超过2004年全年案件数,商业银行电子商务安全风险管理策略已成为理论与实践中必须重视的课题。

一、信息安全管理的历史演进与现阶段的特点

信息安全管理的策略大体遵循事件驱动(技术和管理脱节)-逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。

(一)以事件驱动的初级阶段时期

19世纪70年代安全主要是指物理设备和环境的安全,人与计算机之间的交互主要局限在大型计算机上的哑终端,安全问题只涉及能访问终端的少数人。安全管理策略处于初级阶段,由事件驱动,没有形成规范的管理流程。在此阶段的前期,只重视技术手段。后期开始重视管理手段,但是技术和管理之间脱节。许多组织对信息安全制定了相应的规章和制度,但组织的信息安全管理基本上还处在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。

(二)标准化时期

企业开始将安全问题作为整体考虑,形成一套较为完整的安全管理策略,其中包括了安全管理的技术手段和管理制度(或称运作管理)。几乎所有从事电子商务的企业都拥有自己的安全策略,内容也包括了技术手段、安全管理制度、人员安全教育等等,基本上形成体系,技术和管理手段综合统一,但是安全风险分析还存在不足之处。

(三)安全风险管理策略时期

随着电子商务安全管理发展到一个比较高的层次,安全管理策略也演进到安全风险管理阶段。主要特点如下:

1.安全风险管理成为主流趋势;在安全管理策略的演进过程中,技术和管理手段综合统一、又融入了风险管理的分析、防范策略,从而安全管理进入了安全风险管理时期。西方商业银行已对安全风险管理形成共识。如安氏公司(is—One),认为信息安全问题最终将归结为风险管理问题,风险管理方法是建立良性的安全技术和管理体系的依据和基础。

2.安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。国际上关于安全风险管理的标准有巴塞尔银行监管委员会的《电子银行业务风险管理原则》、英国标准协会制订的BS7799等。各国也日益重视安全风险管理,制定了许多规范。例如美国货币监理署(OCC)的《电子银行最终规则》、香港金融管理局的《电子银行服务的安全风险管理》等。中国银行业监督管理委员也于2006年颁布了《电子银行业务管理办法》,对国内企业的电子商务安全风险管理给出了指导意见。

3.利用外部专业化机构对金融机构的安全性评估已成为大部分国家的选择。电子银行面临的安全和技术风险,在相当程度上取决于采用的信息技术的先进程度,系统的设计开发水平,以及相关设施设备及其供应商的选择等;银行依靠传统的风险管理机制已很难识别、监测、控制和管理相关风险。同样,监管机构也难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此,大部分国家都采用了依靠外部专业化机构定期对电子银行安全性进行评估的办法,加强对电子银行安全性和技术风险的管理和监管。

4.在许多国家信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。业界的IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作,从经济学的角度出发分析风险,充分衡量保持安全的代价和收益之间的关系,寻求用最小的代价实现最大的效用,在风险分析中也形成一套较为成熟的模式。

二、我国商业银行电子商务安全风险管理策略的薄弱点

(一)系统管理思想缺乏

目前的电子商务安全风险管理策略,在全局上缺乏系统论理论的指导,在实际操作中受到多种多样的安全攻击时会不可避免地出现安全漏洞,无法形成一张全面有序的安全网络。

实践中被采用的安全风险管理策略,以及作为指导意见的规则规范,如《信息安全管理实务准则》(IS017799)、《信息技术安全性评估准则》(GB/T18336.1)、巴塞尔银行监管委员会的《电子银行业务风险管理原则》,尽管提出了比较全面的安全风险管理方案,层次上也比较清晰,但是还不足以作为一个风险防范系统。实践中,电子商务组织是一个复杂的系统组织,电子商务的安全风险管理体系和过程也是个复杂的系统。系统论、控制论的思想在电子商务安全风险管理中是不可或缺的。

(二)风险分析的模型与方法不成熟,定量分析不足

电子商务模式自身的发展历史也不过20几年,在风险分析的定量技术上并不成熟;如BS7799中推荐的电子商务安全风险管理中实施风险评估时,往往将威胁发生的可能性定性划分为几个级别,将威胁所造成的影响也定性划分为1~5级,实质上是将一些按照概率发生的事件定义为不连续的几个级别,在操作上易行,但造成了度量的不精确。在进行监控和审计之后,也存在无法量化、对比的问题。

(三)忽视与原有的传统风险管理策略的结合

本质上,电子商务的安全风险无非是新兴的商业模式对传统的风险的改变,以及产生的在传统风险控制领域暂时无法明晰的新风险;现有管理策略只从信息技术的角度、或者从偏重技术的角度看待问题,站在金融领域本身来分析研究较少。这种状况导致了对电子商务安全风险管理的研究无法立足于一个比较高的层次;忽略了风险的整体性,只进行偏信息和技术的研究,导致了现有的电子商务安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言,传统金融业务的风险控制与电子商务的技术风险控制,两个方面存在脱节,同样属于商业银行的风险,存在着不同的管理策略,导致多头管理、资源浪费、机构之间的扯皮,乃至缺位管理。

(四)风险管理策略无法依赖外部的信息安全管理行业

在发达国家,信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法,提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系,制定和引进了一批重要的信息安全管理标准、法律法规,风险评估工作得到了一定重视,但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。

(五)风险管理策略中商业银行的内部风险控制能力薄弱

我国商业银行目前均建立起统一的风险管理部门;但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距,风险控制实质上仍然分散在各个子部门;风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门;风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如,风险管理部门接受了电子交易部的风险控制报告,表面上履行的内控审核的流程,但审核作用有限,无法完成电子商务安全风险管理中的监控与审计环节。

三、商业银行的电子商务安全风险管理策略的改进建议

(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架

利用系统理论作为总体的指导思想,将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。

在商业银行电子商务安全风险控制的流程中,经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内,然后进行监控和审计;尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入,从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环,安全风险管理的有效性就上一个台阶,商业银行的安全管理水平变得到了提高。

(二)电子商务安全风险管理中定量分析中的改进思路

商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中,商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定,商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失,巴塞尔委员会制定资本要求的转换系数;在度量损失的分布时,主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来,利用现有的度量方法进行精确的风险定量分析的尝试。

(三)将商业银行电子商务安全风险纳入商业银行总体风险管理范畴

第9篇

一、大数据及电子商务解析

大数据作为信息领域全新的抽象的概念之一,提出的时间较短。实际上大数据及其应用并不是新鲜事物,在国外已经兴起很长时间,在国内也是早有应用,只不过发展得较为缓慢。一方面,国内对数据收集有着严格的管控制度,导致数据基础设施建设迟缓;另一方面,大数据的观念还没有普及,大部分大数据应用的思想只为专业人士所掌握。大数据虽然没有明确的定义,但是其4V特征却得到各方面较为一致的认可。所谓4V特征即:体量(Volume)巨大、种类多(Variety)、速度(Velocity)快、价值(Value)密度低。当今社会已进入信息时代,互联网的繁荣发展,使得在网络上可检索到数以亿计、千亿计的数据信息,这些数据量,即为大数据的一部分。大数据涉及的范围十分广泛,并不仅仅局限于网络上的信息,还包含社会各领域、各行业以及日常生活中方方面面的信息。随着经济的发展,大数据将发展成为一种“资产”,并将贯穿于各个领域行业,同时为其增创价值。电子商务一般是指主要利用Internet从事的商务活动。联合国国际贸易程序简化工作组对电子商务的定义是:采用电子形式开展商务活动,它包括在供应商、客户、政府及其他参与方之间通过任何电子工具,如EDI、Web技术、电子邮件等共享非结构化商务信息,并管理和完成在商务活动、管理活动和消费活动中的各种交易。从该定义中可看出,电子商务是使用各种电子工具从事商务活动,只不过Internet是众多电子工具中的一种。电子商务主要涉及商(Agent)、商家(Business)和消费者(Consumer)三方。电子商务按交易对象可以分为很多种类,常见的如以阿里巴巴为代表的B2B模式、以京东商城为代表的B2C模式以及以淘宝为代表的C2C模式。此外,还有企业对政府的电子商务(B2G),消费者对政府的电子商务(C2G),商、商家、消费者三者相互转化的电子商务(ABC)等。大数据处理为电子商务提供了广阔的平台,一方面大数据处理为市场营销提供便利。企业利用大数据处理,对市场进行分析,尽量达到成本最低化、效率最高化目标,在找到营销中的利润点和市场的潜在价值后,为更多客户提供所需的商品。另一方面,通过大数据处理为客户提供个性化服务。随着生活水平的提高,人们对物质需求的个性化更强,在大数据处理模式下,通过对用户的数据分析来改变过去传统商业模式的处理,从而满足用户的习惯性需求或潜在需求。

二、大数据背景下的电子商务对审计的影响

审计是由国家授权或接受委托的专职机构和人员,依照国家法规、审计准则和会计理论,运用专门的方法,对被审计单位的财政、财务收支、经营管理活动及其相关资料的真实性、正确性、合规性、合法性、效益性进行审查和监督,评价经济责任,鉴证经济业务,用以维护财经法纪、改善经营管理、提高经济效益的一项独立性的经济监督活动。审计按照执行主体分类,可以分为:内部审计、社会审计和政府审计。大数据背景下的电子商务存在着鲜明的特点,对各类审计产生了深远的影响。

(一)对内部审计的影响

科技的发展,特别是大数据处理的发展,使得电子商务的自动化、无纸化、数字化等特征更加明显。这就对企业内部审计过程造成了影响和制约。首先,相关配套法律法规不健全,这些法律法规包括会计、审计方面,也包括与电子商务有关的方方面面;其次,内审人员整体素质不适应电子商务内审工作的要求,知识结构单一的审计人员已经适应不了大数据背景下的电子商务审计;再次,审计风险复杂化程度加大,除了固有风险,审计的控制风险和检查风险更加不易掌控;最后,某些审计程序和方法不适应电子商务环境。比如,大数据的广泛应用,一是审计不仅仅局限于被审计单位证账表等单方面信息,通过大数据分析得到到全覆盖信息已经成为可能;二是应用大数据可以实现审计机关与其他部门的联合审计;三是大数据的应用,在审计范围方面可以实现由抽样审计到全面审计的转变,充分体现审计的事前监督的作用。

(二)对社会审计的影响

在社会审计中,注册会计师要通过搜集证据对被审计单位会计报告的合法性、公允性及会计处理方法的一贯性表示意见。传统会计中的会计报告是对企业财务状况和经营成果的事后反映,主要考虑了会计信息的可靠性,而相关性与及时性不足。电子商务环境下,会计信息使用者可通过获得授权等方式随时查询企业信息,使得及时性大大提高。审计人员完成审计报告的时间距离会计报告的完成时间往往间隔几个月,当信息使用者得到的滞后的审计报告时,有些信息已经过时。对于海量的数据,审计人员如何进行处理是个难题。比如,大数据处理将使电子商务数据资产化,这类资产如何进行确认、计量、记录和报告,就是摆在会计和审计人员面前的一个难题。当然,社会审计和内部审计一样,需建立健全相关的法律法规;在人员素质方面,社会审计对人才的需求更高,社会审计的某些审计程序和方法不适应电子商务环境的表现也更突出。

(三)对政府审计影响

电子商务和政府审计关联紧密的内容就是政府采购方面的审计。当前将电子商务引入政府采购、实现采购人在线直购的地区不断增多,这成为电子商务的一种新形态,同时也符合电子政务的需求。政府采购范围几乎涵盖了公共机构和部门采购活动的全部,货物,工程和服务都是政府采购的对象。政府采购采用电子商务后,可使价格趋向统一、采购过程透明、审批环节简化。政府采购规模大、品种多,产品差异化大等特点使得采用电子商务后能大大提高政府采购的效率。政采电商化在节约了时间成本的同时,还降低了财务成本。政府采购模式的变化,使得政府审计受到了很大的影响。首先,相关法律不够健全。政府采购法律中涉及电子商务的内容不够健全完备。其次,审计过程中尤其是对采购执行结果的审计,在确定审计项目、审计范围和程序方法方面都和传统审计有所区别。在知识结构方面,政府审计对审计人员的要求虽然没有像内部审计和社会审计那么高,但政府审计自身的特点也对人员素质有着独特的要求。

三、完善大数据背景下电子商务审计的对策

(一)建立健全相关法律法规

关于内部审计、社会审计和政府审计,以及电子商务相关的法律法规已经建立了很多,但详细规范电子商务和审计的法律法规少之又少。我国应该加快相关的法律法规建设,一方面,加快中国电子商务立法的步伐,并随着网络交易、信息保护、物流快递、电子支付、跨境电商、食品安全、互联网金融等一系列的电商行业相关法律法规的陆续出台,为电子商务行业的健康发展保驾护航;另一方面,制定和完善审计相关法律法规中和电子商务有关的内容。把审计的内容和电商内容以法律的形式明确下来,使得在操作上更具有可行性。另外,大数据等审计信息化建设也需要在审计领域“大数据”技术应用的相关法规建设。需要注意的问题是,大数据背景下的电子商务从空间范围来看是全球性的。电子商务的业务范围涉及全球的各个角落,这就不可避免地存在国家之间的交易和联系。制定和完善相关法律法规时一定要有国际视野,制定出既有利于电子商务发展的,又能够解决国家之间争端的法规。

(二)建设大数据平台,加快审计信息化建设步伐

大数据平台的建设应充分利用“金审工程”的建设成果,加大大数据背景下的审计研究力度。各类审计要充分利用平台上的数据,达到资源共享。应当建立企业中央数据库,得到有关电子商务方面的信息。光有数据还不够,还要有数据分析平台,通过这些平台得到电子商务方面的信息,为各类审计所用。同时也要注意各平台数据的综合运用,如政府采购中心电子商城平台与审计信息化数据库的共享与运用。

(三)加大审计人员的素质培养力度

第10篇

 

关键词:商业银行;电子商务;风险管理

    商业银行从事金融业务面临着市场风险、信用风险、以及操作风险等,而电子商务的出现则加剧了上述各类风险发生的可能性以及风险发生之后的破坏程度。2004年以来,我国面临的网络仿冒威胁正在逐渐加大,仿冒对象主要是金融网站和电子商务网站。2005年上半年共收到网络安全事件报告65679件,超过2004年全年案件数,商业银行电子商务安全风险管理策略已成为理论与实践中必须重视的课题。 

 

一、信息安全管理的历史演进与现阶段的特点 

信息安全管理的策略大体遵循事件驱动(技术和管理脱节)-逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。 

 

(一)以事件驱动的初级阶段时期 

19世纪70年代安全主要是指物理设备和环境的安全,人与计算机之间的交互主要局限在大型计算机上的哑终端,安全问题只涉及能访问终端的少数人。安全管理策略处于初级阶段,由事件驱动,没有形成规范的管理流程。在此阶段的前期,只重视技术手段。后期开始重视管理手段,但是技术和管理之间脱节。许多组织对信息安全制定了相应的规章和制度,但组织的信息安全管理基本上还处在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。 

 

(二)标准化时期 

企业开始将安全问题作为整体考虑,形成一套较为完整的安全管理策略,其中包括了安全管理的技术手段和管理制度(或称运作管理)。几乎所有从事电子商务的企业都拥有自己的安全策略,内容也包括了技术手段、安全管理制度、人员安全教育等等,基本上形成体系,技术和管理手段综合统一,但是安全风险分析还存在不足之处。 

 

    (三)安全风险管理策略时期 

随着电子商务安全管理发展到一个比较高的层次,安全管理策略也演进到安全风险管理阶段。主要特点如下: 

1.安全风险管理成为主流趋势;在安全管理策略的演进过程中,技术和管理手段综合统一、又融入了风险管理的分析、防范策略,从而安全管理进入了安全风险管理时期。西方商业银行已对安全风险管理形成共识。如安氏公司(is—One),认为信息安全问题最终将归结为风险管理问题,风险管理方法是建立良性的安全技术和管理体系的依据和基础。 

2.安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。国际上关于安全风险管理的标准有巴塞尔银行监管委员会的《电子银行业务风险管理原则》、英国标准协会制订的BS7799等。各国也日益重视安全风险管理,制定了许多规范。例如美国货币监理署(OCC)的《电子银行最终规则》、香港金融管理局的《电子银行服务的安全风险管理》等。中国银行业监督管理委员也于2006年颁布了《电子银行业务管理办法》,对国内企业的电子商务安全风险管理给出了指导意见。

3.利用外部专业化机构对金融机构的安全性评估已成为大部分国家的选择。电子银行面临的安全和技术风险,在相当程度上取决于采用的信息技术的先进程度,系统的设计开发水平,以及相关设施设备及其供应商的选择等;银行依靠传统的风险管理机制已很难识别、监测、控制和管理相关风险。同样,监管机构也难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此,大部分国家都采用了依靠外部专业化机构定期对电子银行安全性进行评估的办法,加强对电子银行安全性和技术风险的管理和监管。 

4.在许多国家信息系统审计(Is Audit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。业界的IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作,从经济学的角度出发分析风险,充分衡量保持安全的代价和收益之间的关系,寻求用最小的代价实现最大的效用,在风险分析中也形成一套较为成熟的模式。 

 

二、我国商业银行电子商务安全风险管理策略的薄弱点 

(一)系统管理思想缺乏 

目前的电子商务安全风险管理策略,在全局上缺乏系统论理论的指导,在实际操作中受到多种多样的安全攻击时会不可避免地出现安全漏洞,无法形成一张全面有序的安全网络。 

实践中被采用的安全风险管理策略,以及作为指导意见的规则规范,如《信息安全管理实务准则》(IS017799)、《信息技术安全性评估准则》(GB/T18336.1)、巴塞尔银行监管委员会的《电子银行业务风险管理原则》,尽管提出了比较全面的安全风险管理方案,层次上也比较清晰,但是还不足以作为一个风险防范系统。实践中,电子商务组织是一个复杂的系统组织,电子商务的安全风险管理体系和过程也是个复杂的系统。系统论、控制论的思想在电子商务安全风险管理中是不可或缺的。 

 

(二)风险分析的模型与方法不成熟,定量分析不足 

电子商务模式自身的发展历史也不过20几年,在风险分析的定量技术上并不成熟;如BS7799中推荐的电子商务安全风险管理中实施风险评估时,往往将威胁发生的可能性定性划分为几个级别,将威胁所造成的影响也定性划分为1~5级,实质上是将一些按照概率发生的事件定义为不连续的几个级别,在操作上易行,但造成了度量的不精确。在进行监控和审计之后,也存在无法量化、对比的问题。

(三)忽视与原有的传统风险管理策略的结合 

本质上,电子商务的安全风险无非是新兴的商业模式对传统的风险的改变,以及产生的在传统风险控制领域暂时无法明晰的新风险;现有管理策略只从信息技术的角度、或者从偏重技术的角度看待问题,站在金融领域本身来分析研究较少。这种状况导致了对电子商务安全风险管理的研究无法立足于一个比较高的层次;忽略了风险的整体性,只进行偏信息和技术的研究,导致了现有的电子商务安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言,传统金融业务的风险控制与电子商务的技术风险控制,两个方面存在脱节,同样属于商业银行的风险,存在着不同的管理策略,导致多头管理、资源浪费、机构之间的扯皮,乃至缺位管理。 

第11篇

关键词:电子商务;安全审计;安全管理

中图分类号:F239文献标志码:A文章编号:1673-291X(2011)21-0097-02

一、外部审计

外部审计是指审计师对企业电子商务网站的安全工作进行审计,对消费者提供数据安全、商业政策、交易完整、数据隐私等方面的审计。

1.制度审计。在电子商务网络系统环境下,网络电子交易数据安全是关系到交易双方切身利益的关键问题,是企业计算机网络应用的最大障碍和审计的最重要问题之一。电子商务的网络数据安全措施,至少包括三个方面:一是网络数据安全技术方面的措施;二是安全管理制度(措施)的制定和实施;三是社会立法和法律保障措施。内部审计师关心的是这些措施实施的情况,通常可从如下几点进行评价:(1)审查防火墙技术、网络系统反病毒功能、数据加密措施、身份认证和授权等软件技术的应用实施情况;实施这一审查可以用模拟数据对系统的各安全关键点进行全面检查。(2)审查安全管理制度建立和施行的情况,采用面谈法、访问和实地察看法按预先给定的内控制度评价清单进行。注意检查岗位责任实施、安全日志制度。(3)审查有关计算机安全的国家法律和管理条例的执行情况。

2.选用内部审计师实施审计。内部审计师是电子商务审计最合适的专业人员。由内部审计师做电子商务内部审计业务,可为电子商务用户提供职业安全保障。

内部审计师进行电子商务审计是国际惯例。内部审计师是从事企业内部审计业务的专家,具有良好的基础背景和良好的声誉。在中国,内部审计师除了参与财务审计,还参与对管理效益和人离任内部审计和对企业计算机信息系统的实施情况审计,大量参与税务、财务和评估等咨询服务工作。

内部审计业务是按照特定的审计规范的程序执行,对内部控制与经营、业务审查和评价,内部审计师有着敏锐的专业洞察能力,这是内部审计师发展计算机网络内部审计的良好职业背景基础。

内部审计师的审计具有客观性和公正性。电子商务审计人员必须对交易的双方所提供的电子信息进行必要的审计,其审计本身应当客观、独立、公正和具有可靠的专业技术作为支撑,才能赢得网络交易的多方的信赖,同时他们必须是社会公认的权威审计业务专业人员。在计算机网络化的商务活动中,根据对交易合法性和交易信息的可靠性和安全性,是企业信息系统的内部控制制度及其对顾客提供必要的法律保障的一个重要内容,内部审计师对企业信息系统的内部控制制度设置和施行情况的审查评价,已具有特别的专长和丰富的经验。

3.安全审计系统分析。防火墙、入侵检测、防病毒网关等安全产品越来越多地应用在网络中,它们在运行过程中都会产生大量的日志信息,其中隐藏了非常重要的信息是分析网络安全运行情况的依据。安全审计系统中结合各种信息算法对这些日志数据进行分析,挖掘出其中隐藏的异常动态信息,并利用各个审计源之间的联动及时阻断各种入侵活动。同时,对进出网络内部的电子邮件和传输信息实时跟踪,进行数据截取和还原,更好的维护系统安全。

分析和审计公司电子商务网站的安全审计系统是否具有以下功能:(1)网络状态实时监控。监视网络中的各种安全设备、主机系统、数据库、进出网络内部的电子邮件和传输信息等情况,全面掌握网络活动和行为。(2)事件自动响应机制。当发生的网络行为可能威胁到系统安全并且达到预先设定的域值时,系统自动断开该用户的连接并及时向管理员发出报警信号。(3)自动生成安全信息报告。在固定时间内把系统的运行情况以报表的形式发送给管理员。通过设置合理的审计报表,管理员可以迅速、直观地浏览报表内容,了解系统的当前运行情况和资源使用情况,在减少管理员单纯人为判断和经验参与的情况下,能更好地帮助系统管理员及时采取相应措施,从而使威胁整个网络的潜在破坏最小化,提高系统的安全性能。(4)系统综合管理。虽然安全审计系统是一个独立运行的软件系统,但是它和其他安全产品如防火墙、VPN,漏洞扫描等并不会产生冲突,相反它们能够相互协调和促进、更好地起到系统安全防护的作用。

二、内部审计

内部审计的作用主要体现在对于电子商务公司内部系统安全和财务风险的管理上,主要包括两个方面的内容:对电子商务系统的技术审计;对电子商务公司的财务进行审计。

(一)技术审计

1.访问控制审计。网络访问控制包括访问权限控制和用户认证。访问权控制的审查,主要是检查是否有端口访问控制情况――进入访问端口前的用户号鉴别回应控制和特别安全保护的访问点控制。用户认证的方法一般可分三类:口令或密钥、身份鉴别(如指纹)和使用权限控制,其中最安全的认证是身份鉴别(用指纹或其他特性),但制作费用比较昂贵,其他两种方法都是最常用的用户认证法。初步审查除了解各种认证方法外,主要查各类型控制执行的情况。

2.数据加密审计。现在流行的电子商务网络系统是由至少一个计算机服务器和多台客户机联网形成的,并与外部交易有关的国内网络和国际网络系统相连结。客户机一般处理业务数据,网络数据库和软件程序库一般由服务器统一控制管理。由于网络中的数据库具有共享性,很容易受到舞弊人或黑客的修改和破坏,要确保合法的客户对网络数据库访问的便利性和网络数据的完整性,应比非网络系统增加对数据库的加密管理,相应地形成数据库的加密管理审计,其内容:一是审查服务器的数据库加密装置,服务器密码装置的密钥分配,这种审查主要了解系统管理员和相应密钥分配情况。二是审查网络端对端的加密,测试关键的网络数据在传输中的全程加密,此种加密是通过专用的软件实现的,因此,对这类的加密软件要进行特别的安全保护管理。

3.运行审计。(1)记录、跟踪系统的运行状况。利用审计工具,监视和记录系统的活动情况,如记录用户登录账号、登录时间、登录的终端以及所访问的文件、存取操作,并放人系统日志中保存在磁盘上,使影响系统安全性的存取以及其他非法操作留下线索,以便审查。(2)检测各种安全事故。审计工具能检测和判定对系统的攻击,如多次使用非法口令登录系统的尝试,及时提供报警甚至自动处理,使系统安全管理人员能够了解系统的运行情况,及时堵住非法入侵者。(3)保存、维护和管理审计日志。由于审计日志记录了审计、跟踪、检测各种安全事件的结果,是查找、分析网络系统安全事件的客观依据,是重要的系统文档,必须要有可靠的存储和管理机制。在现代的经济环境下对电子商务公司的财务进行审计,其审计的职能已经发生了根本性的变化。审计已经从传统的财务审计过渡到了风险审计与内部控制。因此,运用内部审计可以很好地控制风险的发生。

(二)财务审计

1.数据库审计。在无纸化环境下,内部审计能鉴别出已发生的经济业务及其数据的真实和可靠,这是内部审计师所面临的严峻挑战。显然,内部审计师必须开发一套电子商务内部审计专用的软件和改进传统的审计程序,来适应这种审计的需要。电子商务审计软件一定能使内部审计师在经济业务发生的时候就对它们进行测试和保留必要的审计线索,否则时过境迁,就无案可查。

2.内控制度审计。网络化的计算机信息系统不断发展,内部控制将会变得越来越重要。从前述内容可以进一步说明网络环境下的内部控制制度的重要性。可以断言,在电子商务环境下,内部审计师在监测公司内部控制制度的运转、评价这些控制以及为改进这些制度提供建议等方面,都将起到重要作用。这是因为他们必须测试这些制度以判断电子商务经济信息(含会计信息)的可靠性和经济业务处理的恰当性,并且对内部控制的状况作出全面评价。

3.披露事项审计。保证电子交易的可靠性和真实性,是任何交易的基本前提。为了增强网络上的客户或消费者的信心,电子商务网络系统必须具有如下的披露基本要求:(1)对电子商务销售的商品和服务进行披露,若含有证明商品性能和服务效果的信息,必须注明其信息来源;(2)对交易条件进行披露,如发货距离、发货时间、完成交易所需的时间、另外订单的时间、支付条件、电子结算惯例和顾客必须承担的费用、退货的程序和政策;(3)售后服务和产品技术支持;(4)客户的权利、包括投诉的程序,并应告知客户企业的经营地址、电话号码和办公时间;(5)对争议的处理,争议处理的程序,包括管理当局和请第三方中立机构处理争议问题的程序。

4.客户信息隐私保护审计。为合理保证在电子商务中保证客户私人信息的隐私权,电子商务网站必须遵循:保证客户信息不会被传送到其他网站;客户有权禁止其信息在与交易无关的场合使用和为第三方所使用;客户私人信息未经授权不准访问,客户私人信息不能随意被透露给其他的单位或个人;网站工作人员只有处理业务时方能使用客户私人信息;在存储、变更或从客户计算机上复制信息前应得到客户的许可;严禁向客户输送恶意的程序;企业信息保护的控制得到有效执行;企业若不能执行上述控制手段,应及时公告,并说明正在采取的补救措施。

参考文献:

[1]傅元略,等.企业信息化下的财务监控[M].北京:中国财政经济出版社,2003.

[2]刘艳慧.电子商务及其安全性研究与应用[D].天津:天津大学,2008.

[3]王铁柱,等.中国电子商务安全性分析与研究[J].河北公安警察职业学院学报,2010,(3).

第12篇

[关键词] 电子商务 网络审计 重新思考

随着电子商务的应用和发展,会计信息系统将发生一场全方位、根本性的革命。会计发展经历着由传统会计到会计电算化、再到会计信息化两次飞跃。而作为与会计有“血缘关系”的审计,也从传统审计到审计电算化、再到网络审计两次飞跃。网络审计就是基于互联网,借助现代信息技术,运用专门的方法,通过人机结合,对被审单位进行远程审计。电子商务环境下的审计是对以往电算化审计的时空观的又一次突破,是现代审计在电子商务时代的新发展,也是电子商务的内在需求。电子商务环境的到来所引起的整个社会的深刻变革使会计环境发生了巨大的变化,也给传统审计带来了前所未有的挑战。在这种全新的环境里,有必要对审计要素进行重新思考。

一、对审计对象的重新思考

传统审计对象包括两方面的内容:一是被审计单位的财务收支及其有关的经营管理活动;二是被审计单位的各种反映财务收支及其有关经营管理活动的会计信息资料。随着现代信息技术的发展和电子商务的兴起,企业的组织结构和经营方式等都发生了深刻的变化。电子商务的发展和虚拟公司的出现使企业可根据业务需要自由重组,瞬间即可诞生或消失,从而使会计主体变得模糊,审计对象也因此变得复杂。所以我们需要对审计对象的外延重新界定。从交易费用的角度看,审计对象的边界不清也会增加审计风险和审计费用。我们需要认识到,在电子商务环境下,审计对象具有动态性、虚拟性和适时改变性。

二、对审计主体的重新思考

审计主体是审计监督的执行者,也就是审计机构和审计人员。电子商务环境下,企业的经营管理活动都是通过网络进行的,审计对象、审计线索等发生了变化,审计工作的开展也需要在网上进行,这就要求审计人员必须了解网络结构,在审计监督时深入到企业管理信息系统的设计与实施中去。关于电子数据处理环境下的审计,《国际审计准则》条款中明确规定:“在电子数据处理环境下进行审计时,审计人员应对被审计系统的计算机硬件、软件和处理系统有充分的了解,以进一步对委托审计的条件做出计划,并了解电子数据处理对内部控制的研究与评估的影响和需要采用的审计程序,包括计算机辅助审计技术的应用。”“审计人员还应对实施审计程序所必需的电子数据处理具有足够的知识。”这些无疑对传统的审计主体提出了巨大的挑战。我们的审计人员如果不懂得计算机网络就无法对电子商务活动进行审计;不了解现代信息技术,就无法对审计线索的改变进行跟踪审计;不懂得电子商务的特点和风险就不能正确地审查和评价其内部控制。所以在电子商务环境下,审计人员必须是具有一定计算机技能、网络知识和丰富审计知识的综合性人才。

三、对审计目标的重新思考

独立审计的目标是对被审计单位的会计报表的合法性、公允性及会计处理方法的一贯性发表意见。审计人员收集证据的唯一目的就在于使自己能对会计报表的合法性、公允性和一贯性表示意见并出具真实合法的审计报告。审计的主要业务是会计报表审计,发表意见的对象是会计报表及附注或附表。会计报表是企业经营状况和经营成果的反映,在电子商务环境下,它将具有及时性、实时性,同时其内容和范围都将扩大。会计报表审计是审计业务的基础,因而电子商务环境下的审计工作将向更深、更广的领域扩展,诸如企业社会责任履行状况的审计、人力资源利用状况的审计、政府调控职能实现程度的审计、顾客对企业满意程度的审计以及网络技术本身的合规性与有效性的审计等。

四、对审计范围的重新思考

传统审计中,审计范围狭窄而且封闭。电子商务环境下,企业的会计信息系统是一个开放的系统,会计信息的处理也是在一个开放的环境中进行,任何人都可以通过网络使用信息资源,那么我们就不能再把审计局限在一个狭小的范围里,我们需要对系统的安全性进行审计,需要对交易双方以及其他相关方进行审计。因而,建立在互联网上的审计范围也将大大拓宽。

五、对审计线索的重新思考

审计线索对审计来说是极为重要的,审计人员正是通过跟踪审计线索来收集审计证据、审核有关经济业务的。传统的商务活动中,交易的每一环节都有文字记录、经办人签字等,每笔交易都有详细的记载和完整的线索。审计人员可以从原始凭证开始,对交易事项进行追踪,一直到报表为止;也可以从报表开始,追根溯源,一直追溯到原始凭证,从而形成了顺查、逆查等审计方法。但是在电子商务环境下,企业实现了无纸化交易,所有商务活动都是在网上进行,所有信息都存储在磁介质上,不再有书面文字记载,会计处理方式发生了变化,审计线索也发生了质的改变。在这样一个环境下,信息的删改可能不留痕迹或痕迹不清,从而使审计调查取证的难度增大。

六、对审计内容的重新思考

审计的职能是监督。电子商务的特点及其固有风险决定了审计的内容还必须包括对电子商务系统的处理和控制功能的审查,以证实其对交易事项的处理是否真实、合法、安全可靠。所以,在电子商务系统的开发与设计过程中应有审计人员参加,对系统的功能、数据流程、处理方法、安全措施等进行审查,保证系统运行安全可靠。此外,由于电子商务系统在投入使用后还可能进行优化或二次开发等,因此在系统的整个运行过程中,也都需要审计人员的审计监督。

七、对审计方法与技术的重新思考

传统的会计信息系统是建立在使用纸、笔的基础上的,因而对会计资料的审计也只有采用手工的方法进行审阅、核对、分析、比较和函证。网络环境下,会计信息系统是以现代信息技术为支撑,它使得审计工作也必须以现代信息技术为工具,迅速、有效地完成审阅、核对、分析、比较等各项审计工作,提高了审计的效率与质量。另外,对电子商务活动进行审计时,按照传统的审计方法,所有测试需要在不改变数据库记录的条件下进行,这对于实时运行的网络系统来说是很难做到的。因此,网络环境下,需要对动态的系统进行审计,其审计方法也将变得更复杂。

八、对审计安全控制的重新思考

网络经营和电子商务的发展给企业带来了前所未有的风险。在传统的商贸活动中,企业资产和经营安全可以通过建立健全内部控制得以保证。但在网络经营条件下,企业经营和资产安全离不开连在网络上的计算机信息系统,安全不再是企业内部所能完全控制得了的。计算机病毒和黑客随时都可以威胁企业的安全,使企业在瞬间遭受巨大损失。因此,安全控制除了企业内部的管理制度控制外,还包括企业的外部网和网上交易控制。这给审计安全控制增加了新内容。如何识别、研究、审查和评价这些安全控制,是我们面临的新问题。

九、对审计立法和审计准则的重新思考

互联网的发展和电子商务的诞生使得审计对象、审计线索、审计方法等都发生了巨大的变化,人们在审计工作实践中逐步建立起来的现行一系列审计标准和审计准则也随之不完全适用了。在新的环境下,我们需要建立新的审计标准和审计准则指导审计工作实践。例如,对电子商务审计人员的一般要求、电子商务的事前审计准则、电子商务系统安全可靠性评价标准、电子商务系统内部控制准则等。此外,目前的审计立法是针对传统的审计工作制定的,它只适用于书面记录形式,对于电子签名、无形的电子证据等有关问题还没有提供相应的法律依据。因此,需要建立起与电子商务相适应的新的审计法规,使电子商务环境下的审计工作有法可依。

参考文献:

[1]许江川:电子商务对会计发展的影响[J].上海会计,2001.3

第13篇

【关键词】 电子商务; CPA; 网络鉴证

一、注册会计师是网络鉴证的不二人选

(一)CPA是鉴证业务的行家里手

网络鉴证主要是进行电子商务网站的内部控制制度测试,而内部控制制度测试一直是CPA的专长,由他们来执行该项测试其身份是非常让人信服的,且CPA对风险有着敏锐的嗅觉,不管风险是现实的还是潜在的,都难逃CPA的眼晴。

(二)CPA具有独立、公正、客观的良好形象

在传统的财务报告审计和其他鉴证服务等业务中,注册会计师始终保持着超然独立的第三方身份,不论是精神上还是经济上。据调查:有67.31%的企业认为可以接受CPA提供网络鉴证服务,这是对CPA独立、公正、客观形象的广泛认可。CPA经过长期实践的积累,其独立、公正、客观的良好形象已深入人心,不论是商家,还是消费者及管理部门,都易于接受他们出具的鉴证结果。

(三)国外网络鉴证经验和本土CPA人力资源为其提供保障

AICPA和CICA早在1997年就联合推出了网络鉴证准则,并经过不断实践探索,在2004年修改定稿的TPSC1.0已经是相当程度的成熟与合理了,它们的成熟为我国的经验借鉴提供了素材与标准。根据中注协的统计分析,在全国百强会计师事务所中,硕士及以上学历的CPA所占比重越来越大,CPA学历呈上升趋势,这为开展网络鉴证业务提供了充足的人力资源。

二、注册会计师开展网络鉴证的困难与不足

(一)宣传力度不大且各方的认识不够

当今,网络鉴证在部分发达国家受到了追捧,我国相关管理部门虽对其给予了一定的重视,但并没有进行大力宣传,这使得社会公众无法通过正常途径对网络鉴证有一个较全面和深入的了解。另外部分注册会计师对网络鉴证的知识不熟练,没有强烈的探求新知识的欲望。在此种情况下,会计师事务所不会积极地开展网络鉴证业务,电子商务网站也不会主动要求实施网络鉴证,社会公众也不会有过多的关注与议论。

(二)注册会计师的网络鉴证胜任能力受到质疑

网络鉴证是一项专业性和综合性很强的工作,它要求CPA是既懂电子商务又熟悉计算机业务和会计审计知识的复合型人才。要做好网络鉴证业务,CPA除了具备传统的会计、审计知识外,还必须懂得相关的电子商务、法律、计算机等方面的知识,否则将遭遇巨大的网络鉴证风险,鉴证结果也无说服力。据调查显示,我国在会计师事务所执业的CPA年龄与知识结构不太合理,这就导致了其对网络、电子商务等高科技产物的认识存在短视,这也会使得其对网络鉴证业务的开展缺乏兴趣,甚至避而不理,直接导致其网络鉴证的专业胜任能力不够而受到质疑。

(三)网络鉴证难度大且风险呈几何级数增加

电子商务环境下,由于交易的无纸化,导致审计证据由传统的纸质载体变成了磁性载体,审计证据在传输和保存等过程中的安全性引起了审计人员的担忧。由于网络鉴证是通过计算机来进行,在鉴证过程中不能妨碍和暂停被鉴证网站的一切活动,整个网络鉴证过程就是在一个动态的环境中取得证据的,且电子数据的极易消失性和极易破坏性,将引起CPA取证难度加大。网络信息瞬间变化多端,当浏览者看到鉴证报告时,可能其中的鉴证信息已滞后了,这就加大了CPA网络鉴证的责任。由于遭受病毒和黑客随时入侵、计算机操作人员主观意愿的影响,会使CPA从事网络鉴证的风险呈几何级数的增加。

(四)网络鉴证成本高昂

网络鉴证不同于传统审计,它要求的人力、物力和时间都多。网络鉴证除了拥有执业注册会计师外,还需要精通网络的IT精英和熟悉电子商务相关内容的专业人士,加之先进的设备和大量的人员培训等方面的大力投入,必然会使网络鉴证的成本比传统审计要高得多。网络鉴证中涉及的内容非常宽,这就要求CPA搜集更多的鉴证资料,并且在制定鉴证计划和编写工作底稿上花费更多的精力。网络鉴证要求CPA不断跟踪和及时更新原有的鉴证结果,这势必花费CPA更多的时间和精力。网络鉴证的工作时间不确定,它是根据业务的复杂程度和业务后方人员的准备程度来确定的。网络鉴证的收费很高,因而阻碍了网站主动申请开展网络鉴证的积极性。

(五)多米诺骨牌效应明显

在电子商务闭合系统里,每个交易主体都是紧密相关联的,许多交易客户联合起来结成高度集成的系统和广泛的数据联盟,在这种决策和快速交易模式条件下,各交易客户之间的相互依赖和影响逐渐增强。而计算机在数据处理上具有重复性和连续性,对于错误信息的识别能力不能百分之百,若由于系统故障、错误或遗漏而导致某个交易客户内部系统的一条信息发生错误,并被计算机重复且连续反复执行,将会对其他交易客户产生连锁反应,进而影响其他网络系统,其网络交易的多米诺骨牌效应就出现了,且无法事先预防,其交易风险大大增加。

三、大力开展注册会计师网络鉴证业务的相关对策

(一)强化各种形式的宣传和各方的认识与知晓度

中注协和政府其他管理部门应该联合起来,利用新闻和各方媒体加大对CPA开展网络鉴证的宣传力度,如在新闻中插播网络鉴证的相关知识;在某电视台开设CPA网络鉴证教育性的专题节目或以竞赛的形式来加深社会公众对其的了解与认识;由中注协组织专人在各高校开展网络鉴证的巡回讲座,提升在校学生对网络鉴证的认识;充分利用网络,在百度、谷歌等搜索引擎中增添网络鉴证的相关专业知识、问题及答案;会计师事务所应定期对其员工进行网络鉴证方面的专业知识培训,并加强与国际会计师事务所的交流与合作,营造网络鉴证之势,扩大其社会影响和提升社会知晓度。

(二)提升注册会计师开展网络鉴证业务的竞争能力

会计师事务所应加强CPA网络鉴证方面的长、短期培训,增强与各大知名国际会计师事务所的交流与合作,积极招聘知识结构符合网络鉴证业务要求的年轻注册会计师,增强注册会计师队伍开展网络鉴证的竞争能力;通过设立相适应的鉴证策略,慎重选择被鉴证网站,对网络风险保持敏锐的嗅觉,以提高风险的识别与应对能力;高校可以将计算机类专业与财经类专业进行交叉融合,专门培养一些既懂会计和审计,又懂计算机的综合性人才,提升注册会计师开展网络鉴证业务的竞争能力。

(三)探索开发网络鉴证的审计软件以降低网络鉴证风险

加强网络鉴证的软件开发,会计师事务所可以选择与财务软件公司合作,开发出实用性和通用性强的网络审计软件,该网络审计软件应与电子商务相适应,增添“有痕迹”的更改功能、及时检查和紧急备份功能,尽可能为CPA网络鉴证留下更多有用的审计线索。建立安全、可靠的网络审计系统,在该系统中可以采取多重密码登录、操作权限的设置以及安装防火墙和反病毒等软件,有效地防止审计信息外泄。将审计测试软件事先嵌入被审网站的服务器中,实现在线随机多方位的审计,实时记录审计发现的问题,防止审计线索的突然消失,降低网络鉴证的风险。

(四)积极引导以尽快出台网络鉴证法律与法规

中注协及其他管理机构应参照和借鉴AICPA和CICA、IAASB的有关网络鉴证的准则和规范,尽快制定出一套适合我国情况的网络鉴证准则和指南、实务公告,以规范和约束CPA网络鉴证业务的开展。相关管理机构应借鉴国际惯例,在考虑前瞻性的条件下制定出《电子商务法》,为电子商务的快速、健康发展提供良好环境,也为CPA开展网络鉴证业务提供重要的执业规范。各大型会计师事务所可强强联合,攻破网络鉴证中的一些难关及瓶颈,为网络鉴证扫除一些技术障碍。中注协应定期或不定期地对有资格从事网络鉴证工作的事务所进行抽查和复核,严把网络鉴证风险关。

(五)制定应急预案以防突发多米诺骨牌效应

在高度集成的电子商务系统中,其系统的脆弱性和风险性都很大,为了防止多米诺骨牌效应的发生,会计师事务所应在网络系统中建立完备的应急预案和弥补控制措施。当多米诺骨牌效应还没产生大的影响时,就要及时制止,将高风险扼杀于萌芽状态。这要求CPA积极参与到电子商务系统的设计和开发之中去,创造一个高频率控制系统的运行环境。还应特别注意被审网站与交易伙伴之间的独立性,把被审网站电子商务系统的内部控制制度作为审查和评价的重中之重。具备网络鉴证资格的CPA应联合起来建立审计委托中心,某一电子商务系统由某一审计委托中心的会计师事务所来审计,避免其他系统对该网络系统产生影响和灾难性的多米诺骨牌效应风险。

【参考文献】

[1] 冯敏红.E时代审计业务新亮点[J].商业研究,2005(11):150-152.

[2] 张继勋,陶能虹,王蕾.网络鉴证需求及注册会计师的胜任能力――基于问卷调查分析[J].审计研究,2004(3):23-26.

第14篇

1、对审计环境的影响

传统审计是在企业的手工会计信息系统环境下进行的。由经济业务产生纸性的原始凭证,会计人员根据原始凭证编制记账凭证,根据记账凭证登记明细账和总账,期末根据账簿编制报表。企业从原始凭证开始到报表的形成每一步都有文字记录,都有经手人签字,整套账务系统都有纸介质保存,以便审阅。随着Internt的普及与发展,电子商务大大地改变了企业传统的交易模式,为企业开辟了更为广阔的市场。企业可以把产品资料、销售合同样本、付款方式与折扣条件等都放到企业的网页上,客户随时都可以访问查阅。客户可以从网上了解商品,询问价格,签定合同,发送订单,甚至可以直接在网上设计自己喜欢的商品。网络技术与电子商务不仅改变了企业传统的交易模式,而且使企业内部的经营管理发生了质的变化,促使了虚拟企业的产生。这些企业只要在Internet的一个站点上租用一定的空间,经过数字认证机构的认证,即可在网上接受订单、寻找货源、进行买卖。电子商务与网络经营使企业的经济环境、组织结构、经营方式与管理模式等审计环境发生了巨大变化,审计人员必须了解和适应审计环境的改变。

2、对审计目标的影响

传统审计目标只是停留在对被审计单位财务报表的合法性、公允性上,注册会计师收集证据的唯一目的就在于使自己能够对财务报表是否在所有重大方面公允反映被审单位的财务状况、经营成果和现金流量发表意见并出具真实合法的审计报告。由于网络账务系统的共享性,投资者或有关特定信息使用者可随时通过获得授权上网查询企业的财务状况和经营成果,信息的及时性大大提高。而作为事后反映的财务报表,对投资者、信息使用者的重要性已大大降低。在信息技术飞速发展的电子商务环境下,传统审计已不适应信息时代的审计要求。

3、对审计对象的影响

审计对象的本质是企业的财务收支及其有关的经营管理活动,而在电子商务中,企业的财务收支及其有关的经营管理活动的特点发生了巨大的变化,各种业务隐性化和数字化,使舞弊行为更易发生。此外现代审计赖以存在的内部控制制度也出现了新特点,传统手段无法对新环境下的内部控制进行评价,也就无法得出正确的审计结论。网络经济时代管理思想进一步拓展,管理软件不断走向成熟,出现了企业资源计划(简称ERP)和业务流程重组(简称BPR)等以信息技术为基础的信息管理。ERP软件的应用和BPR的实施加剧了传统管理流程的变革,使审计面临的对象更加复杂,符合性测试和实质性测试的难度大大增加。计算机审计需要考虑的已不单单是财务管理信息系统,还需要考虑各种计算机管理信息系统。未来企业内外资源的有效计划及其优化和执行,将是一个基于共同知识体系的全球化的应用。新的观点认为单一企业的应用所产生的效果是非常有限的,只有群体的应用效果,才能为企业带来更大的利益。这就预示审计还将面临一种多公司交叉的更为广阔的网络系统。

4、对审计内容的影响

电子商务系统的特点及其固有风险决定了审计内容必须包括对电子商务系统处理和控制功能的审查,以证实其对交易事项的处理是否真实、合法及完全可靠,这是传统审计所没有的。为防范金融犯罪,保证电子商务和网络财务的安全可靠,加强系统内部安全控制的审计将成为审计工作者面临的又一个崭新的课题。

5、对审计方式的影响

网络经济改变了审计信息的收集方式。收集审计信息主要是收集审计证据,我国的注册会计师审计准则规定,注册会计师在审计过程中可以采用检查、监督、观察、查询及函证、计算和分析性复核等审计程序获取审计证据。而在网络环境下,几乎所有资产都由计算机实时动态管理,企业所有的会计资料和相关资料都存放于互联网上,审计人员可采用网络交谈和发电子邮件等方式进行查询和函证,也可进行检查、观察、计算和分析性复核。这与传统审计相比,一是提高了审计证据的及时性和客观性,降低了收集审计证据的成本。二是改变了审计信息加工、传输和存储模式。传统意义上的审计工作被大大简化,只有在某种特定条件下还须由人来监盘实物库存、实地观察实物变动及其记录。

6、对审计方法与技术的影响

审计方法和技术是为了实现审计目标,对被审计单位实施审计过程中所采用的各种手段,它是顺利完成审计工作,提高审计工作质量的重要保证。一方面,电子商务的出现使无纸贸易成为现实,面对这种审计线索,电子化或无书面记录经济业务的审计,没有现代信息技术的支持是不可能完成审计任务的。另一方面,众多“网上实体”、“网上银行”、远离多主体的网上合作体迅速涌现,面对这些“网上实体”,其主要的资产是知识、信息及人力资源等无形资产,它们来自于“媒体空间”,对它们的审计就必须深入到媒体空间中去,运用传统审计技术无法做到这一点。

7、对审计风险的影响

审计风险是指财务报表存在重大错报而审计人员发表不恰当审计意见的可能性。传统审计中,注册会计师主要通过评审被审计单位内部控制来确定实质性测试的性质、时间和范围,以此将审计风险降到最低。而网络经济的发展使得被审计信息由纸张为信息载体转变为磁盘、磁带等磁性介质为信息载体,记录于磁性介质上的信息是不可见的,必须借助于计算机的翻译,才能以可见和易懂的文字形式打印或显示出来。对磁性介质上的信息进行修改可以不留下任何痕迹,也难以实现诸如签字、盖章等使信息证据化的操作。这些都可使得审计风险中的固有风险和控制风险加大。网络环境下的审计业务,主要的审计证据来自于系统网络,属间接证据,其可靠性依赖于网络内部控制制度的健全有效性,审计人员仅仅通过常规的审计测试程序难以确定企业有多少重大错报以及财务报表的部分或全部认定是否真实、公允,导致审计风险难以控制。

8、对审计线索的影响

审计线索对审计来说是极为重要的。在传统会计中,一般由经济业务产生纸质原始凭证,然后会计人员根据原始凭证编制记账凭证,根据记账凭证登记明细账和总账,期末再根据各账簿编制会计报表。每一步都有文字记录,审计线索十分清晰,审计证据主要由书面证据组成。而在交易及核算都实现网络化的环境下,企业与外部的交易和企业内部业务处理的凭据都以电子信息的形式保存,并在网上传递,编制记账凭证、登记账簿、编制财务报表都由计算机按指定程序执行,实现了会计核算自动化。凭证、文件的生成方式、传递路线和传递方向都发生了变化,审计线索似乎不见了,要跟踪某项业务发生的流程也显得尤为困难。

9、对审计报告的影响

传统审计一般是在审计人员完成外勤工作后经过一段时间的整理才能编制完成审计报告。从企业财务报表报送到审计报告完稿,往往间隔几个月,时效性不强,且往往发生期后事项,必须在审计报告中加以披露。而在电子商务环境下,由于企业的会计信息随时可通过授权获取,滞后几个月的审计报告对信息使用者的用处已不大,为发挥审计报告的应有作用,必须加快审计报告的报告速度。尽管现行审计报告有四种类型,但它们关注的重点是被审计单位财务报表的整体情况,对被审单位的预测信息和明细信息披露的很少,而未来预测信息及会计明细事项在知识经济时代恰恰成为审计的重点之一。因此,对传统审计报告的期间、内容、结构还必须作出深刻的变革来适应审计环境的变化。

10、对审计立法的影响

网络经济条件下,对业务是否合法合规必须以法律为依据。但是,目前的审计法规基本上是适应传统书面记录的,网络审计将导致许多新的法规问题尚待解决。例如,电子证据的无形性和易篡改性造成了审计证据确定的困难;电子签名因不同于手工签名而导致法律上难以认定;电子合同的瞬间完成使得合同签订和生效时间的确定存在争议等等。这在一定程度上使得网络审计工作,尤其是进行合法审计时处于无法可依的局面,需要立法加以明确。

第15篇

的挑战主要表现为网络审计面临的挑战。那么何谓网络审计?网络审计就是基于互连网,借助现代信息技术,运用专门的方法,通过人机结合,对被审计单位进行远程审计。网络审计是对以往电算化审计的时空观的又一次突破,是现代审计在电子商务时代的新发展,也是电子商务的内在需求。

21世纪是知识经济占主导地位的时代。知识经济的到来,使整个社会经济生活都发生着深刻的变化;而网络对经济领域的影响日益巨大。网络审计亦是如此。试从网络审计产生的动因、网络时代审计的特点、审计技术等理论要素角度浅析网络审计面临的挑战与对策。

论文第一部分阐述网络审计产生的动因。网络信息技术的飞速发展,使得全球经济向一体化方向发展,新的经济模式迫使会计信息系统必须进行创新,而且信息技术也为管理创新提供了强有力的技术支持。作为社会中介监督服务的审计也必然随着客观环境的变化而不断创新,以全新的审计模式来打破传统审计模式的束缚,利用计算机网络技术来开展审计业务,不仅可以提高审计工作质量和工作效率,而且使审计信息资源充分共享,网络审计是审计发展的必然趋势。网络审计的诞生主要有以下动因:1.新的经济运作机制的需要。随着信息高科技的飞速发展,Internet技术的不断成熟以及电子商务模式在企业中的广泛运用,使信息的处理和传递突破了时空的界限,电子商务不仅提供了集物流、资金流和信息流于一体的商务交易模式,而且其快捷、方便、高效率、高效益等特征也改变了经济的结构和运作方式。2.审计组织自身发展的需要。在网络经济时代,随着客户业务的发展,越来越需要中介服务机构提供实时化、个性化的服务,这就促使审计组织向在线实时服务为主的方向发展,充分利用网络的低成本、快捷性和跨越时空性等优势来开展业务。3.会计信息系统发展的需要。

第二部分介绍网络审计的特点。在全球信息化的趋势下,诞生了网络技术和审计相结合的高科技产物——网络审计。网络审计是在网络环境下,借助大容量的信息数据库,并运用专业的审计软件对资源共享和授权资源提供实时、在线的个性化审计服务。网络审计已呈现出传统审计无以伦比的特点和优越性:1.审计信息资源充分共享。众所周知,审计信息、审计报告是有关投资人、债权人及其它相关主体进行理性决策所必不可少的信息资源。2.审计信息数据传递网络化。网络审计能够充分利用各种现代化通讯设施,对被审计单位会计报表、经营业绩进行审计测试,形成审计结论,维护委托人和社会公众的合法权益。3.审计报告的实时性。在网络环境下审计组织通过建立网络平台,对被审计单位进行实时审计追踪,可以提高审计工作效率,强化审计工作的指向性。4.审计服务智能化。网络环境下,审计组织为委托单位提供审计服务的特征为:智能化的面向客户服务,开放式资源共享,模块化动态组合,最大限度的维护委托单位的利益。5.审计费用成本低。

扩展阅读
推荐期刊
精品推荐