电子商务审计及其风险研究大全11篇
时间:2023-06-25 16:10:35
电子商务审计及其风险研究篇(1)
随着电子商务平台建设的日渐完善,电子商务经济逐步成为我国经济发展的重要组成部分,电子商务环境下的审计也越来越受到相关部门的重视。目前,我国对于新兴事物的审计制度建设还不完善,对于由此产生的风险及防范研究更是少之又少。因此,充分了解电子商务环境下的审计制度以及可能产生的风险因素,对于进一步加强电子商务经济规范建设具有重要的指导意义。
一、电子商务环境下的审计与审计风险特征
电子商务是随着现代网络技术不断完善而出现的产物,是结合电子支付方式、网络商贸、数据处理等技术的综合型新兴贸易方式,具有不同于传统贸易的无纸化性、多样性、隐蔽性、动态性等特点。因此,电子商务环境下的审计也因电子商务的特性而具有区别于传统审计的特性。
(一)电子商务环境下的审计特征
传统审计主要包括对被审计单位财务报表以及与此相关的一些会计凭证、交易往来合同等,电子商务环境下的审计除此之外,还包括因电子商务交易而产生的电子发票、回款单、支付凭证等。具体来说,主要包括:被审计单位获取相关会计信息以外的资料,如被审计单位的战略计划、内部控制制度以及同类单位的相关数据;被审计单位内部控制安全性相关的电子商务信息;注册会计师在进行审计时根据被审计单位提供的现有资料得出的其他相关信息。会计信息与其他相关信息共同构成电子商务环境下的审计资料,只有这些信息完整才能保证审计结果的准确性。
1、电子商务环境下的审计信息具有易破坏性。电子商务环境下所有相关的审计信息都转为电子信息,相关的取数、存储以及汇总加工等都通过计算机完成,一旦中间步骤有人工操作不当之处,就会导致整个数据信息有误且很难被发现。因此,注册会计师在提取相关数据信息时要对最终呈现的数据做合理性和完整性分析,减少因操作不当带来的信息错误。同时,因为电子数据缺乏原始纸质凭证做基础,电子数据被篡改比较容易,进一步加大了审计信息的易破坏性。
2、电子商务环境下的审计信息具有动态性。由于电子商务平台24小时在线服务,在这一实时过程中,电子商务信息处于动态传输中,为注册会计师提取审计信息提供了难度。注册会计师不能因为提取审计信息而认为静止电子商务信息的传输,这样很可能破坏原有的电子商务信息。而为了保证注册会计师提取的电子信息准确完整,职能通过电子商务在线实时数据访问实现,进一步加大审计的风险。
3、电子商务环境下的网络安全难以控制。电子商务环境下,作为交易平台的网络环境具有开放性和数据实时变化性,如何保证网络安全是保证审计基础数据准确性的基础。针对目前计算机病毒和黑客技术的日益更新,电子商务的网络安全正受到各方的威胁,因此,建立完善的网络安全控制系统是保证电子商务环境下审计信息准确性的重要基础,也是保证电子商务有序进行的重要保障。
(二)电子商务环境下的审计风险特征
电子商务环境下的审计风险,是指在电子商务环境下的财务报表存在重大错误而使注册会计师发表不恰当审计意见的可能性。审计风险具体来说,主要包括两大部分,即重大报错风险和检查风险。电子商务环境下的审计风险同样包括该两大部分,其中重大报错风险是指在电子商务环境下可能存在的与电子商务有关的财务报表错误,是在审计开始之前就存在的风险;而检查风险是指在发生电子商务有关的审计过程中,发现的与被审计单位有关的经济活动存在不合规问题,该报错可能与前期的重大报错风险有关,也有可能是单独存在的风险。
1、电子商务环境下的审计风险具有客观性。电子商务环境下的审计风险与传统模式下的审计风险,同样是一种不确定性的客观存在,该风险不以注册会计师的意志而转移,是每个被审计企业都存在的固有风险。该风险由企业内部控制的缺陷、电子商务本身具有的特性以及其他外部条件所决定。同时由于审计以抽样调查为主,样本的偏差可能导致整体审计推断结果有误差,进一步导致审计风险的客观存在。
2、电子商务环境下的审计风险具有普遍性。审计风险涉及审计工作的各个方面,发生在整个审计过程之中。在会计师事务所承接审计业务阶段,如果对被审计单位的状况不够了解,可能面临不良资产的风险;在审计业务前期准备过程中,如果没有充分了解被审计单位并制作符合被审计单位自身业务特点的审计方案,则可能导致最终出具的审计结论有失偏颇的风险;在审计业务实施阶段,如果没有准确收集被审计单位的电子信息,并进行甄别和判断,可能发生错误的审计判断,加大被审计单位的审计风险。3、电子商务环境下的审计风险具有部分可控性。虽然审计风险存在客观性和普遍性,但审计风险同样具有部分可控性。注册会计师在接手某个审计业务时,可以在充分了解被审计单位的相关信息基础上,执行全面完善的审计计划,准确甄别收集的审计信息,制定合理的审计程序,将认为可控部分的审计风险降到最低。
二、电子商务环境下审计风险的国内外研究动态
电子商务环境下的审计风险研究在国内外都属于探索阶段,相关理论体系尚未完善。国外的研究重点主要集中在电子商务环境下审计风险产生的原因,国内的研究重点相对来说全面一些,不仅分析了电子商务环境下审计风险产生的原因,而且针对不同的风险点提出了相应的防范措施。
(一)国内研究动态
刘强(2009)在《电子商务对财务报表审计的影响》中提出,电子商务环境下的财务报表审计将面临巨大的冲击,主要包括电子商务环境对于传统财务环境的挑战,因审计对象和范围的无限扩大而产生的界定问题,以及由此产生的一系列审计风险。对此,张倩在《我国电子商务环境下的审计风险防范》中指出,针对电子商务环境下风险的信息化与不确定性,应该及时把握电子商务的政策动态,正确区分传统经济下的审计风险与电子商务环境下的审计风险,有针对性地提出关于审计环境、审计对象、审计主体以及审计客体的风险防范措施。针对于电子商务环境下的审计风险,李俊杰(2010)在《电子商务审计探析》中做了详细的分析,他将电子商务环境下的审计风险分为电子商务固有的风险、传统环境下的审计风险以及电子商务环境下的综合审计风险,并通过对电子商务特有的国际化、信息化及无纸化等特点进行针对性的分析,提出防范风险应从把握网络安全审计以及完善电子数据分析等方面着手。
(二)国外研究动态
国外对于电子商务环境下的审计风险研究,主要集中在产生风险的原因上,包括对被审计单位的内部控制不合理、电子商务本身存在的无纸化、信息化、支付方式多样化等特征,以及传统审计模式无法适应电子商务交易模式的多边性。Harkness通过研究传统审计模式下电子商务的交易风险,总结出电子商务模式下的风险主要集中在审计线索的变化、审计技术的更新速度慢以及审点的多边性。
三、电子商务环境下的风险分析
(一)审计环境产生的风险
1、我国电子商务运营环境不规范。我国电子商务的发展随着互联网的不断推进而得到迅猛发展,各方数据表明,中国的电子商务规模已处于国际前列。但与电子商务相关的一些辅助业务却没能跟上。一方面,作为电子商务基础的物流系统还不能满足现有发展迅猛的电子商务市场,极大制约了电子商务业务的进一步扩张。现有的电子商务模式下,大部分实物都以物流系统为辅助,但目前的物流系统存在配送人员专业化程度低、管理体制不完善以及售后服务维权机制不健全等,导致物流系统建设缺乏竞争力。另一方面,电子商务的信息系统建设还无法满足日渐发展的电子商务市场。电子商务竞争中,各企业的竞争力主要集中在产品信息的收集、顾客需求信息的收集以及产品质量和配送效率上,而这些的基础都在于信息系统的建设。在这方面上,我国与世界发达国家的水平还存在差距。
2、相关法律法规和审计准则不完善。我国对于电子商务的立法最早于2004年出台了《中华人民共和国电子签名法》,首次对新兴贸易进行了法律规范,也对电子商务模式下的审计提供了法律基础。但我国在电子商务相关的法律建设上起步较晚,还存在诸多不足之处。一方面,我国出台了电子签名法,但有关电子商务完整的法律体系建设还未完善,导致电子商务在细节处理上没有一个统一的标准,造成企业在处理问题上的混乱。另一方面,我国现行的审计准则只适用于传统模式下的审计,对于新兴的电子商务审计尚未做明确规定,导致注册会计师在进行电子商务审计时无相关法律法规做参考,审计结论存在一定的偏差。
(二)审计对象产生的风险
1、企业内部控制不健全。传统模式下,企业的内部控制主要以手工为主,包括对工作人员的工作行为、业务处理是否得当以及经济业务规范等进行控制,而电子商务环境下的内部控制在此基础上还要对网络信息系统建设、计算机运行风险等多方面进行控制,这从专业性上提出了更高的要求,且具有一定的不可控性。此外,传统模式下的业务审批需要多层的人工审核,并按职责分工确保对每一层次的审批做到记录规范、准确,审计部门可以随时调取相关审批流程记录,而在电子商务模式下,内部审批的控制都以计算机程序自动设定而完成,缺乏人为的主观可调整性。同时,由于我国缺乏电子商务所需的专业人才,在电子商务管理上存在诸多漏洞,尤其对于电子商务购销业务中的发票开具与保管,导致账面混乱等现象时有发生。
2、从业人员专业素质有待提高。由于我国电子商务处于刚起步阶段,具有电子商务专业的人才较少,电子商务业务的从业人员素质参差不齐,且大部分属于兼职人员。因此,现有的电子商务从业人员无法适应对专业度要求越来越高的网络化电子商务需求。一方面,专业素质不足的电子商务从业人员无法对国际贸易中的产品进行准确认知,无法通过外语与外商进行准确的交流和贸易协商,也无法对日益更新的电子商务交易系统进行熟练操作,导致电子商务企业交易无法顺利进行。另一方面,传统的兼职型电子商务从业人员已经无法满足现有的国际化贸易需求,现有的电子商务要求从业人员必须具备对产品充分认知、营销、计算机等综合素质,目前我国的电子商务从业人员大部分缺乏电子商务以外的综合型知识。与此同时,我国电子电子商务企业在人才管理上存在对待不公的现象。出于企业业绩的考量,大部分企业重销售人员而轻技术维护人员等基础保障人员,导致相关人才流失。此外,因为缺乏对信息系统建设的重视,导致信息泄露事件时有发生,这是企业在信息安全建设上的疏忽,也是人才建设上的不完善。
3、电子支付、电子签名审计难度大。电子商务环境下的合同签订以及货款支付等都通过网络平台实现,扩展了传统模式下的结算方式,因此,与之相关的审计范围也相应扩展。在新型业务模式下,注册会计师需要对被审计单位网上签订的合同、网上的支付阶段等进行完整、准确地审查,并结合被审计单位提供的相关财务纸质凭证进行分析,推断其中可能存在的不合理问题。而电子商务环境下的业务活动形式多样、结算方式复杂、支付方式隐蔽、电子签名确定难度大等,这一系列问题不仅增大了注册会计师的审核难度,同时也加大了企业的审计风险。
(三)由审计人员产生的审计风险
1、审计人员专业水平不够。电子商务环境下的审计要求审计人员具备会计、审计、电子商务以及网络等多方面的综合能力,而就目前我国审计人员具备的专业水平来说,还停留在传统模式下的审计水平,与现有的高科技业务环境衔接不上。同时,审计队伍中的人员老龄化也是突出问题。这就导致这些具备扎实财务审计专业知识的人员缺乏对计算机方面知识的了解,存在审计能力不足的问题。此外,现有的审计人员选拔上,单纯以财务、审计等传统模式下的知识考察为主,缺少电子商务、计算机等综合方面的考量,导致审计人员在进行审计时不熟悉电子商务业务的处理过程和会计处理方法,更缺乏对电子商务审计风险的判断能力。
2、缺乏特有的电子商务审计软件。目前,针对电子商务模式下的审计软件还很少,大部分都是与传统贸易模式通用的审计软件,但对于电子商务模式下大规模的数据处理还缺乏运行能力。主要原因在于目前市场上流通的财务软件都以传统通用型财务软件为主,在传统软件下很难导入电子商务模式的审计软件,软件之间的不兼容性导致特有的审计软件无法推广。同时,会计师事务所不可能因为传统审计软件的运行能力不足,而单独开发特有的财务软件和配套审计软件,这巨大的开发成本与审计业务收入不相匹配。另外,在注册会计师进行审计时需要被审计单位提供专门用于审计取数的系统接口,但就目前我国的执行情况来说,只有部门企业完全执行这个规定,致使审计部门调取电子商务数据困难,加大审计风险。
四、电子商务环境下的审计风险防范对策建议
针对目前电子商务环境下存在的审计风险,应有针对性的从几方面进行着手防范。
(一)完善我国电子商务审计环境
1、规范我国电子商务经营环境。针对目前我国电子商务存在的物流体系不完善问题,我国应着手从完善物流基础设施建设、加强物流专业人才的培养以及提供物流相关的财政优惠政策等进行扶持。同时,我国可以参考国外的先进物流建设经验,建立第三方物流专业机构,将物流从电子商务运营中独立出来。通过建立第三方物流专业机构,一方面可以增强物流的综合服务能力,提高货物运送的效率,另一方面,独立的物流第三方建设可以形成完善的物流网络,提供更专业、便捷的服务,降低运送成本等。因此,完善第三方物流系统建设是规范我国电子商务经营环境的重要举措,也是促进电子商务稳步发展、降低电子商务环境下审计风险的基本保障。
2、完善电子商务相关法规。完善电子商务相关法规可以从法律层面规范电子商务的经营市场,从保护消费者权益、保护个人隐私、保障网络交易支付安全等角度进行规范。同时,对于电子商务的经营管理上,政府应以市场自我调节为主,不应过度干预。在电子商务审计方面,我国注册会计师协会虽然已经出台了1633号审计准则,该准则从电子商务对财务报表审计的影响方面进行了大致规定,但在审计具体程序中的相关数据提取细节、判定标准等方面并未作详细的规定。因此,有必要从适应现代电子商务运营要求方面,完善电子商务环境下的审计准则,减少不确定性。
(二)防范电子商务审计对象的风险
1、完善电子商务企业内部控制制度。内部控制作为规范企业经营的重要制度,能让电子商务企业强化风险意识,重视对企业数据完整性、准确性的控制,提高企业所有层面对于电子商务内部控制的重视程度,强化从业人员的风险意识。因此,加强电子商务企业的内部控制教育和培训非常重要。首先,企业要从实际出发,制定适合本企业的内部控制制度;其次,在内部控制的实践中,要加强对政策的执行掌控,可以通过设立专门的内部控制监督部门,制定各部门具体的考核计划等进行电子商务业务的全过程控制;最后,在执行结果的考量上,可以采取适当的惩罚和激励机制,提高全员对于自觉践行内部控制的积极性。此外,对于电子商务企业数据和程序的安全性控制上,相关行政管理部门可以通过制定完善的准则予以规范,从法律法规角度进行强制执行。
2、提高电子商务企业从业人员专业能力。面对竞争日益激烈的电子商务贸易,必须从加强本企业从业人员的专业能力入手,提高整个企业的综合竞争力。首先,企业要重视对具备管理能力和电子商务从业能力人才的重视和培养,利用提升薪资福利、加强企业凝聚力等方面留住人才;其次,在企业的日常运营中,要注重对员工的培训,包括最新的经济政策和市场消费动态,通过不断对员工充电来提升专业能力;最后,在企业中更要实行优胜劣汰的竞争机制,提升员工自我学习和竞争的能力。
3、加强对电子商务环境下新内容的审计。针对目前电子商务审计中存在的电子签名、网络支付审核等问题,从事审计工作的注册会计师在日常应加强对这些方面知识的关注,提高自我对电子商务运行的认知和对电子商务取数的能力。同时,提升电子商务环境下的网络安全控制问题也是一个待解决内容,企业可以通过购买防护能力更强的防火墙技术和加密技术,提高本企业的数据安全,从而降低企业整体的经营风险和审计风险。
(三)防范电子商务审计人员的风险
电子商务审计及其风险研究篇(2)
一、电子商务环境下的企业审计风险研究
在电子商务系统高度自动化的条件下,审计证据的充分性和适当性取决于电子商务系统控制的有效性。因此,对电子商务审计主要集中在电子商务系统交易过程和控制测试。审计对象也要从财务报表及其相关资料扩展到被审计单位的资信状况、内部控制等对财务报表产生重要影响的诸多事项上来。一般情况下,审计风险=重大错报风险×检查风险,由于电子商务的无纸化、电子化和网络化等特点,无论是电子商务的重大错报风险还是检查风险都比传统审计风险要高。电子商务采用的全球网络化信息系统,企业一方面面临着系统自身的风险,可能导致会计数据被篡改、破坏,另一方面面临着电脑病毒和电脑黑客的入侵,导致会计数据的丢失。这些致使电子商务重大错报风险的加大。电子合同、电子函件、电子订单的存在使注册会计师审计中对其真实性、合法性很难辨别,导致电子商务审计风险中的检查风险要比传统的检查风险要高,审计工作的难度更高。
二、电子商务环境下企业审计要素的变化
1.审计目标
在传统的审计中,审计目标主要是为了查错防弊。主要是通过对企业账目的审查来核对企业会计报表的真实性,从而分析判断企业采用的会计处理办法是否符合法律所规定的会计准则,并是否能够真实反应企业真实的经营以及财务状况。另一方面,随着信息技术的不断发展,电商企业等新兴产业的不断发展,经济活动的开放性也更强。这些新兴行业的审计目标也不断的扩展,客户服务功能的审计、电子支付审计等都成为了审计目标。
2.审计对象
纵观电子商务环境下,通过对互联网将企业的物资流、资金流与信息资源都融合在一起。经济交易的双方可以通过电子商务系统对产品的报价以及查询、电子合同的签订等经济活动都能产生相关的电子凭据。因此,在电子商务环境下,电子证据以及电子支付等均是企业审计的重要对象。
3.审计方法
现阶段,涌现了很多网络审计软件为电子商务环境下的电商企业提供了技术的支持。在数据的采集上,审计人员通过审计端口对企业会计信息的数据进行搜集。通过对计算机以及互联网络可以进行远程登录、电子函证、文件传输,以传输信息,获取相关的审计证据。在对数据的分析上,审计人员在运用审计相应的软件,准确和快速的获取信息对生成审计报告以及,都能够有效的为审计工作提高时效性。
三、电子商务环境下对审计的思考
1.加快电子商务审计法律法规的完善
对我国计算机审计的各种法律规定,计算机的审计准则都需要有制定标准的格式。需要制定有关电子商务的法律法规,把电子凭证、合同以及有法律效应的数字签名的保管都需要明确制定下来,有关电子商务与网络经济的立法都需要满足我国的国情,同时借鉴国际相关法规以及立法,能够促进我国的电子商务审计法律法规的建立以及完善,保证电子商务审计能够有法可依。
2.充分利用计算机网络审计
电子商务审计的内容主要包括电子商务系统处理和控制功能的审查,为了证实电商企业的交易事项是否合法以及安全可靠,这些都是传统的审计所没有的。首先必须利用计算机网络技术对审计单位计算机会计信息系统的应用控制进行审查,然后根据一般控制与应用控制的审查结果来决定抽查的范围与重点。通过网络对审计单位的会计数据进行手机审核时,需要对审计单位的审计人员赋予应有的审核权限,可以高效的完成审计工作。另外,对异常项目通过调查和数据分析进行测试、检查、分析与核对,这样可以达到降低审计风险的目的。
3.加快审计的电子化应用技术
随着电子商务发展的需要,对加强计算机审计实用环境的建设提出了更加长远的发展。对各级审计机关对计算机硬件的建设需要给予足够的重视,加大计算机设备系统的投资,对审计机关内部审计资料库的建设,能够有效促进审计事业的现代化发展。要让审计人员尽快参与审计软件的开发,使审计软件的使用在电子商务环境下能够具有自身的实用性,以便今后的计算机审计信息化的建设能够顺利的实施。
四、结语
在电子商务环境下,电商企业的业务流程发生了一些变化,这就需要新的机构来对企业进行有效的监督,以确保电子商务环境市场下的有序进行。同时,电子商务在另一方面也改变了企业审计的环境,迫使企业审计改进传统的审计模式,并采用先进的信息技术,优化审计流程,确保企业审计能够满足新形势的发展要求。
参考文献:
[1]王爽.浅谈网络审计的风险及其防范[J].数码世界,2005(13).
[2]王萍.网络审计的对象创新和业务创新[J].会计天地,2004(8).
电子商务审计及其风险研究篇(3)
一、电子商务审计面临的挑战
(一)电子商务审计法律法规体系尚未完善
传统审计准则已经相当完善,而在电子商务环境下,有关电子商务签证的具体标准尚未出台,给电子商务企业审计带来实质性困难和风险。电子商务审计的法律依据明显不足,尽管电子商务已有一段时间的发展,但在法律方面还是一片空白。
(二)会计记录资料发生了改变
电子商务的出现,改变了财务会计信息的载体,使审计证据的形式发生了变化。在电子商务环境下,经济业务产生的原始凭证以电磁信息的形式在网上传递并储于磁性介质中,会计的确认、计量、记录和报告都集中由计算机按程序指令执行。
(三)审计范围发生变化
电子商务环境下,审计范围已扩展到传统审计内容之外,传统的报表审计内容是指被审单位特定时期内的会计报表及其他相关资料及其所反映的经济活动。电子商务环境下还需对系统硬件环境进行审查,包括各部件的兼容性,信息通道的畅通性等。
(四)审计风险加大
相对于传统商务方式下企业的内部控制而言,电子商务环境下企业的内部控制发生了巨大的变化。在电子商务环境下,由于计算机数据处理的集中性,使大部分控制作用基本失去作用,传统的会计岗位职责被打破,使得在传统交易方式下的账簿控制体系失去作用,网络环境系统建立和运行的复杂性,导致内部控制的范围也相应扩大,电子商务引起的技术性风险可能使审计风险中的固有风险和控制风险增大。
(五)审计人员的素质有待提高
大多数工作在基层的审计人员虽然都接受了一些计算机知识培训,但一般多是初级程度的培训,远不能适应计算机审计的要求。此外开发实用性和通用性较强的审计软件所需的高层次、高水平的人员也很缺乏,人才的缺乏严重制约着我国计算机审计的发展。
二、对于电子商务审计挑战的对策思考
(一)加快电子商务审计法律法规的完善
制定我国计算机审计的各种规范化、标准化文件,包括计算机审计的法律准入规定,计算机审计准则,各类审计数据库或输出数据的标准格式等。应尽快制定有关电子商务的法律法规,把电子凭证、电子合同和数字签名的法律效力和保管要求,数字认证机构的管理,电子信息与网络系统的安全等相关内容以法律法规的形式明确下来,有关电子商务与网络经济的立法要立足我国的国情,同时借鉴国际上有关示范法或其他国家的有关法规进行立法,促进我国的电子商务审计法律法规的建立和完善,保证电子商务审计的有法可依。
(二)充分利用计算机网络审计
实现电子商务以后,电子商务审计的内容包括对电子商务系统处理和控制功能的审查,以证实其对交易事项的处理是否真实、合法及安全可靠,这是传统审计所没有的。首先必须利用计算机网络技术对被审计单位计算机会计信息系统的一般控制和应用控制进行审查,然后根据一般控制和应用控制审查结果决定抽查的重点和范围,通过网络对被审计单位财会数据进行收集审核,审计人员在网上通过被审计单位赋予的审查权限,可以完成大部分审计工作,利用审计软件抽取样本,进行各种数量关系的配比分析与数据查询,对异常项目通过调查和数据分析进行测试、检查、分析与核对,这样可以达到降低审计风险的目的。
(三)加快审计的电子化应用技术
顺应电子商务发展的需要,加快计算机硬件和计算机审计使用环境的建设。从审计事业的长远发展出发,各级审计机关应对计算机硬件建设给予足够的重视,加大对计算机设备和系统的投资,着重审计机关内部局域网和审计资料库的建设,促进审计事业的现代化。要让审计人员尽快参与审计软件的开发研制,使审计软件突出实用性即具有审计特色,以便于今后计算机审计方法的应用和审计信息化建设能顺利实施。
(四)采取措施降低审计风险
审计人员要了解网络会计系统内部控制程序,系统中会计组织机构设置是否合理有效,岗位之间的牵制是否充分有效,根据自己处理传统舞弊案件的经验,运用相应的审计手段,对数据的不安全因素进行审计,审查操作人员是否通过篡改程序和数据文件导致会计数据的不真实、不可靠、不准确或以此达到某种非法目的,利用审计法规管理软件对系统合法性与合规性进行验证,利用审计接口软件获取充分、适当的审计证据,减少固有风险和控制风险,利用审计抽样软件进行符合性测试和实质性测试。审查磁性化的会计信息及其存储材料的完全性,计算机系统是否具有应急恢复功能,系统防火墙是否完备等,减少网络病毒的传播及黑客的攻击,以最大限度地降低审计的外部风险。
(五)不断提高审计人员的素质
要推动电子商务审计的发展,必须加强计算机审计人才的培养。因此审计人员应加强计算机网络知识的学习与培训,不断完善个人知识结构,进一步提高自身职业素质,以满足审计业务范围日益拓展的需要。并把计算机审计列为必修课,培养复合型审计人才,为电子商务审计的开展提供人才保障。
由以上所述可见,电子商务的出现对传统审计提出了严峻的挑战,但开展电子商务是国际大趋势所在,同时又给审计一个创新的机遇。随着我国审计法规的不断完善,审计人员素质的逐步提高,审计技术的逐渐进步,我们有理由相信,审计会对电子商务时代的到来充满信心。因此,我们必须迎接挑战,把握机遇,推动我国电子商务审计的现代化建设。
参考文献
[1]王晓东,蔡昌.电子商务环境下网络审计的初步探讨[J].中国管理信息化,2005(06).
[2]杨锐.浅析电子商务环境下审计风险[J].东北大学学报,2003(02).
电子商务审计及其风险研究篇(4)
随着计算机技术的发展,电子商务也由于低成本、高收益得到了企业的青睐。一个企业要想发展,同时也要重视电子商务的发展,对于企业而言,拥有电子商务就意味着提升了企业的竞争能力。不过,电子商务在发展的过程中并非一路通畅,它同时存在着风险,因此,作为企业来说,首先要对电子商务进行深入研究,并且深入了解电子商务存在的风险,加强对电子商务的管理,只有这样,当电子商务出现风险问题时,才能及时采取措施进行处理。
一、企业电子商务存在的风险问题
1.诚信出现危机
随着科技的发展,电子商务给人类带来了很大的便利,但是同时也给骗子有了行骗的空隙。在现实生活中,很多网友被骗子骗过,骗子使出各种各样的伎俩进行行骗,使顾客一不小心就上当受骗。
2.难以控制管理
电子商务在运作的过程中,与传统的商业运作模式还是有所区别的,相比传统模式,电子商务更有效率,也更具先进性。电子商务由于不是沿着传统的商业运作模式进行运作,而有些企业对其规则又不了解,因此,对电子商务无法进行很好的把握。对于有些企业的经营管理者来说,对电子商务的订单交易甚至不够了解,电子商务需要进行保密的相关问题也不了解,因此,使得企业管理控制风险越来越大。
3.资金安全问题
电子商务要进行顺利运作,完备的安全认证措施起到了很大的作用,缺乏安全认证措施,可能使电子商务的运行出现风险。遗憾的是,对于我们来说,网上安全认证的系统还处于落后的局面,也缺乏完善的制度和相关措施,使得企业的电子商务无法跟上企业的发展步伐,甚至阻碍企业的向前发展。
二、企业电子商务风险管理
1.对风险进行评估、识别
对于企业来说,大部分企业都有自己的网站,有的网站规模宏大,而有的网站规模较小。无论是大的规模还是小的规模,当网站在进行网络营销时,它的功能其实是差不多的,比如对自身品牌形象的介绍、对产品或者企业服务的展示,相关信息,对顾客进行相关服务,以及进行资源合作、网上销售等等。
2.对目标进行设定
所谓的风险管理,实际上也是对风险成本进行相应降低,使风险和收益之间能够出现平衡等。除此之外,风险管理的目标要和组织的一般的目标能够相互协调。
3.先实施方案,然后对系统进行监督
实施方案,属于整个程序的最后一个步骤,而方案的实施,并非代表风险任务已经完成。因此,在对方案进行实施的过程中,首先要对项目进行持续的监督,以进一步对正确方案的实施,同时,在实施的过程中,由于会出现新的问题,因此,要对方案进行相应的调整。
三、企业电子商务风险控制相应的措施
1.采用技术防范
企业要进行电子商务的运作,首先涉及到信息、资金、货物、商业秘密等各个方面的安全问题,哪怕某一方面出现问题,都可以使企业遭受损失。而要避免这些安全问题的发生,首先技术上要过硬,因此,作为企业首先要站在用户的立场进行思考问题,采用专业的网站结构进行设计相关的电子商务,采用高质量的内容来获得用户的市场,并且,可以通过搜索引擎,使高质量的网站能够得到适当的回报。
2.加快硬件设施的建设
网络通信设备、计算机系统、服务器、通信线路等一些相关设备,当在电磁泄露或者静电的情况下,会使数据造成损失,使机密的信息遭受泄露。
3.进行安全审计监督
随着电子商务的蓬勃发展,人们对企业电子商务的关注,转移到了企业的诚信、交易的安全性以及企业未来的发展状况等等,此时,大家都对审计工作寄予了很高的期望,同时对其也产生很强的依赖性。在这样的情况下,安全审计应运而生,安全审计不仅要对网络经济、网络系统进行相关审计,同时,还能够通过网络进行跨时空、多单位的审计作业。只有对安全事件进行不断地收集、整理,然后对其进行细致分析,有针对性、有选择性地对审计对象进行审计跟踪,才能使系统的安全得到保证。
四、结束语
总而言之,企业在运用电子商务时,一定要对电子商务存在的风险有个深入了解,并能寻找风险管理的对策,使电子商务的运行有个安全的运行环境,最终促进企业电子商务的进一步发展。
参考文献:
[1]陈联刚,甄小虎.电子商务安全与实训[M].经济科学出版社,2012(08).
电子商务审计及其风险研究篇(5)
引言
21世纪,伴随着5G与大数据、云计算、虚拟增强现实等先进技术的不断发展融合,我国企业的商务模式不断革新。和传统企业相比,电商企业依托互联网环境实现了业务流程的虚拟化、无纸化,支付手段也因为电子支付、电子货币的出现显得更加多样和便利,在企业的经营过程中产生了海量的数据,这诸多因素将电商企业的审计工作要求提到了新的高度。在针对电商企业的审计工作中除了要关注会计层面,还需要充分考虑企业的内部控制、信息系统的应用情况以及网络安全对审计产生的影响,因此单一运用传统的审计方法可能无法全面的规避风险,电子商务企业的审计方法也应该与时俱进,特别是应用大数据和云计算来防范电子商务企业的审计风险是当前审计工作需要关注的内容。
一、电子商务对企业审计的影响
与传统企业相比,电子商务企业的交易流程在互联网虚拟环境完成,卖场里的有形商品转变为网络上的数字图像,真金白银的货币交付升级为电子支付,传统的票据传递也演化成了电子结算。电商交易过程记录的无纸化、交易资金流的虚拟化、交易网络的安全性都给电商企业的审计工作带来了多维度的影响。
(一)对审计目标的影响
通过电子邮件、即时沟通等工具,电子商务企业的内外部沟通更加紧密,在具体的业务过程中,信息使用者获得海量数据的成本更低、途径更多,因此在信息时效性方面的关注度更多,传统会计报表的重要性逐渐相对降低,这导致审计目标不光是企业的财务报表,还应该扩大到电商企业相关利益者的既得利益。
(二)对审计服务对象的影响
企业审计的对象可以高度概括为被审计单位的经济管理活动,即对企业的财务收支及相关的经营管理活动进行审计。由于电子商务企业的主要业务流程在虚拟环境中完成,业务过程更加隐蔽,再加上业务数据大多保存在数据库中,数据更容易篡改,因此电商企业的审计对象不光要考虑企业经济业务自身的真实性和合法性,还应扩展到各类业务原始凭证数据录入的准确性、网络会计信息系统的可靠性以及应用程序与数据文件的安全性等。
(三)对审计方法的影响
传统商务模式下的企业经济活动大多由手工完成,审计线索清晰完整,通常会采用制度审计的方法实施事后审计及就地审计,工作的重点是对企业的内部流程进行控制。但在电子商务模式下,企业的主要经济活动是通过计算机、应用软件依托互联网环境由程序代码执行指令实现的,业务处理流程的追踪的困难度相对传统审计有所增加。而且,随着新的信息技术和网络技术的不断出现,也增加了企业内部环境的不确定性因素,因此需要采取实时连续审计方式,并应用数据挖掘等先进技术,以便及时搜集审计证据、降低审计风险。
(四)对审计人员素质的影响
互联网环境下,电商企业的相关经济活动以及大量会计资料多以电子形式产生和存储,形成了数量庞大、关联广泛且种类繁多的信息集合资产,审计人员在具备了计算机、网络以及电子商务相关业务知识的前提下,结合大数据技术的有效应用,可以及时掌握审计线索的变化,从而更好地识别审计风险、评价审计风险。同时审计人员还需要考虑企业信息系统提供数据的有效性,谨慎的评价企业信息系统提供的样本数据,避免过度依赖计算机或信息系统专家影响审计人员自身的客观独立性判断。
二、电子商务企业审计风险分析
(一)电商企业审计风险的特点
《注册会计师的总体目标和审计工作的基本要求》(2010)指出,审计风险是指被审计对象的财务报表存在重大错误,但审计人员审计后却发表了不恰当意见的可能性。传统企业审计中审计风险的特点主要体现在客观性、普遍性、未知性、可控性几个方面。而电子商务企业的审计风险除了继承了原有特点之外,还出现了以下三个新的特点。
1.海量数据的不稳定性
电子商务企业业务类型主要包括虚拟和非虚拟交易,涉及的审计证据不仅包括传统的财务数据,还包括互联网上很多图片、音视频、文档等非结构化数据,这些形式多样、数量庞大的数据都存储在计算机中,可能存在数据遗失、数据损毁、交易数据重复等安全隐患。一旦业务数据出现问题,在没有人工干预的情况下,计算机系统和程序就会按照指令机械处理,从而导致电子商务业务的完备性风险增加。
2.审计工作的高效性
基于互联网环境,电商企业的交易活动不受时空条件的限制,随时随地都可能产生商品交易行为,电商平台或运营系统的持续运转支持审计人员不用到访企业就可以通过企业信息系统进行远程的实时取证,还可以完成电子信息的集中处理,从而及时掌握被审计单位的实时情况,从而达到实时动态监督的目的。
3.审计风险的复杂性
首先,电子商务模式下企业交易活动的参与者除了买卖双方,还包括产品供应商、银行或第三方支付机构以及物流配送服务提供商,如果其中有参与者未能承担自身的信用责任,就会给整个企业审计带来相应的风险。其次,网络环境下频发的恶意入侵、交易双方真实身份无法确认以及应用PS技术可以不留痕迹的篡改电子签章等审计证据等也增加了电商企业审计工作的风险。最后,日益繁荣的跨境电商业务覆盖全球范围,经营产品种类繁多,涉及语言差异、货币汇率换算、不同跨境平台的差异性,也增加了电商企业审计风险的复杂性。
(二)电商企业审计风险原因分析
1.审计环境方面的风险
(1)信息化审计技术滞后。随着互联网的发展,我国的电子商务发展迅速,且发展规模在世界处于领先地位。电子商务作为信息化集成比较高的行业,特别适合应用智能化手段开展审计工作,从而提供工作效率。但由于智能化审计系统建设及运维等构建成本高昂,目前智能化审计主要是应用在政府审计中,国内大数据、云计算在审计方面的应用案例屈指可数,特别是国内会计师事务所大多对新型智能审计系统持观望态度。(2)电商法律法规和审计准则不完善。电子商务的迅速发展让很多传统商务模式下的欺诈行为转移到了互联网上,网络欺诈、虚假销售、信息泄露事件频频发生,现行的法律法规但并未对相关的审计内容、方法进行规定。电子商务企业自身的经营风险和审计人员缺乏完善的审计准则无法开展实务操作,都增加了电商企业的审计难度,加大了审计风险。(3)网络信息安全带来的隐患。电商企业的业务流程依托互联网开展,其安全完全依赖信息系统是否安全有效。一旦信息系统出现系统故障或受到病毒、恶意攻击,将导致电子商务企业的业务和资金安全受到威胁,给企业带来损失,同时也会增加审计工作的难度甚至影响审计质量。
2.审计对象方面的风险
(1)凭证数字化。电商企业的日常运营要应用OA、ERP、CRM、SAP等诸多企业信息管理系统,这些系统在运行过程中会产生大量的数据,涉及企业的采购、销售、收款、付款等各种单据,大部分单据都是以电子凭证的方式由信息系统自动生成并存储。相比传统的纸质凭证,电子凭证很容易被篡改或恶意窃取。因此在审计过程中,要全面了解电商企业的各类电子凭证数据,如果无法保证审计人员获得充分完整的数据资料,容易给审计带来较大的风险。(2)无理由销售退款。《网络交易管理办法》(2014)在法律和部门规章层面对消费者的网购“后悔权”进行了全面支持,这种宽松的退换货政策会滞后电商企业的收入确认时点,从而增加会计报表收入类科目确认的难度,导致审计人员在判断企业交易发生真实性、确认收入时点和交易额准确性时出现误判。(3)支付方式多样化。随着电子商务的发展,我国的第三方支付技术不断进步,支付宝、微信、京东金融等都可以实现网络零售过程中的在线支付。电商企业庞大的交易数据对应的是海量且形式各异的电子支付凭证,审计人员在审计过程中很难对这些凭证是否真实效性、支付是否安全和数据记录是否准确进行判断。
3.审计主体方面的风险
(1)具备电商知识的审计人员不足。审计作为一种鉴证活动,要求审计人员应了解被审计单位的业务流程,具备相应的业务知识才能更好地开展审计工作。因此针对电子商务企业的审计工作,就需要审计人员了解电商领域的相关知识,并具备一定的计算机技术。目前我国注册会计师队伍中,了解电商运作模式,懂得计算机技术以及网络安全技术的人才比较缺乏,特别是会应用大数据、云计算开展审计工作的复合型人才更少。(2)审计软件相对落后。传统企业的审计项目中,审计人员会借助审计软件进行辅分析,在审计软件中进行会计数据的处理和查询。但由于电商企业的业务数据类型除了结构化财务数据,还有大量图片、音视频、文档等各种非结构化数据,所以需要开发能同时处理结构化数据和非结构化数据的新型审计软件,才能满足现阶段审计工作的需求。
三、大数据背景下的电商企业审计风险防范措施
(一)基于大数据构建电商企业审计云平台
电子商务企业的审计数据由传统的单一结构化数据逐渐转变为多元非结构化数据,除了企业自身的财务数据,还包括以图片、音视频、文档形式存储的企业内部规章制度、会议记录、各类合同等非财务信息数据,各类业务产生的海量数据在大数据技术支持下,通过数据建模构建出涵盖电商企业各业务流的全方位数据平台,不仅可以便捷地获取审计样本数据,实现“样本即总体”的全面审计,以规避抽样审计的风险,也可通过云平台的智能算法规则还能利用业务数据之间的关联性设定各类财务数据的值阈变动范围和审计风险模型方程式,迅速标记异动数据锁定审计疑点。考虑到电商企业各业务流之间的协同作业关系,其云审计平台可以按照前期审计准备、中期审计执行和后期审计报告三个阶段进行设计,并遵循安全性、有效性、规范性的原则。
(二)基于云平台实施“精准性”审计
电商企业运营过程产生的海量数据会存储在云平台的分布数据存储设备中,理论上这是一个审计数据信息存储和管理的无限虚拟空间。电商交易涉及的会计凭证、各类统计报表数量繁多,客户群体遍布全网人数众多,因此对财务报表的精确度要求较高。云平台可以根据不同时间跨度将电商交易的财务数据与业务数据分类存储,再通过数据挖掘技术完成高效且有针对性的审计数据、分析挖掘,找到相应的审计疑点,为后续审计取证奠定基础。同时通过大数据技术还能实现审计数据的交汇统一,降低人工运算可能产生的检查风险,从而实现电商企业审计数据的精准识别、精准审计。
(三)基于云平台实施“共享性”审计
电商企业交易平台的多样性导致企业交易资金存在数据量大、资金收入时点和交易额不准确等特点,因此如何在电商审计云平台中保证审计数据的完整和准确尤为重要。在云平台构建时保证审计机构和被审计单位软件接口对接的标准化和一致性,可以有效保证数据的完整传递,同时防止外部数据泄露。除此以外,云平台可以将电商企业的业务数据按交易时间段、交易类型和金额区间等标准,以柱状图、趋势图等图表形式直观展示。基于云平台的审计模式,最大程度上打破了时空的约束,可以随时随地在审计机构和被审计单位之间,甚至是多个审计机构之间共享信息和计算环境,从而实现“共享性”审计。
(四)基于云平台实施“连续性”审计
传统审计模式下,由于审计资源和审计技术有限的原因,会根据重要性水平选择需要审查的项目,且多为事后审计及就地审计,审计方法以抽样审计为主,该模式下的审计结果存在一定的局限性和片面性。而基于大数据技术的云平台可以对电商企业进行全程跟踪审计,实现审计数据的实时采集、动态分析及连续审计,通过事前立项审计、事中执行监督审计、事后绩效评估审计,实现人员未动、数据先行。通过事前立项审计可以起到有效预防的作用,减少后期审计决策出现失误的情况。事中执行监督审计时效性强,可以及时查明企业经济目标和预算的实现程度,帮助电商企业及时采取措施纠正偏差,改善内部控制,保证最终目标和预算的实现。事后绩效评估审计能够对电商企业已经发生的财政财务收支和经济业务的真实性、合法性和效益性作出全面的评价。如果缺少事前立项审计,一旦在审计过程中发现问题,已造成后果甚至无法纠正时,从某种意义上而言事后审计就没有多大意义。相反地,缺少事中执行监督审计和事后绩效评估审计,再成功的事前立项审计也会因为没有过程保证而丧失价值。
结语
综合以上分析,可以看出伴随着5G与大数据、云计算、虚拟增强现实等先进技术的不断发展融合,电子商务企业的审计工作出现了新的挑战,针对海量数据的不稳定性、审计工作的高效性以及审计风险的复杂性等新特点,本文从基于大数据构建电商企业审计云平台以及基于云平台实施“精准性”“共享性”“连续性”审计四个方面提出了针对电子商务企业审计的普适性对策。
参考文献
[1]鲍樊军.电子商务企业的审计风险防范研究[D].昆明:云南大学,2016.
[2]王加宝.电子商务环境下审计风险研究[D].北京:首都经济贸易大学,2014.
[3]曹计.我国电子商务审计风险的防范[D].南昌:江西财经大学,2009.
[4]安杰.互联网环境下电商企业审计风险探析[J].中国中小企业,2019(7):62–64.
[5]程,王静.电商环境下企业内部审计存在的问题与对策研究[J].电子商务,2020(52):63–64.
电子商务审计及其风险研究篇(6)
随着信息技术的快速发展,电子商务在全球获得了广阔的发展空间。作为一种崭新交易方式的电子商务对企业的生产经营活动产生了深远的影响。广泛使用互联网从事电子商务,产生了新的风险因素,需要被审计单位有效应对,,注册会计师应当考虑电子商务在被审计单位业务活动中的重要性,以及对重大错报风险评估的影响,并在此基础上采取恰当的应对措施。
一、电子商务对财务报表审计的冲击
1.财务报表审计环境的变化
在电子商务交易条件下,财务报表审计环境发生了巨大的变化,主要表现在:(1)网络环境下的无纸化交易丧失了传统的审计轨迹,交易的授权、完整性及真实性不如在传统条件下那么明显而难以查证。(2)在电子商务环境下,需要对信息建立数据安全与控制措施。未经授权的访问、舞弊或者病毒攻击均对被审计单位的经营风险和财务报表审计工作产生重大影响。(3)为了获取和评价以电子数据形式存在的电子商务证据,传统的审计程序和数据提取技术将无能为力。(4)在电子商务环境中,被审计单位广泛使用服务机构(包括互联网服务提供商、应用服务提供商和数据服务公司等)的服务,产生了新的分离审计问题。
2.财务报表审计范围和审计对象的拓展
电子商务条件下财务报表审计涉及整个商业行为,并且这种商业行为是运转在网络上的,其中一部分还是虚拟的和真空的,特别是在电子商务系统高度自动化、审计证据可能仅以电子形式存在条件下,审计证据的充分性和适当性通常取决于自动化信息系统相关控制的有效性,注册会计师应当考虑仅通过实施实质性程序不能获取充分、适当审计证据的可能性。如果认为仅通过实施实质性程序不能获取充分、适当的审计证据,注册会计师应当考虑依赖的相关控制的有效性。因此,财务报表审计的范围拓展到对整个电子商务系统交易过程及控制的测试。审计对象也要在财务报表及相关财务资料的基础上,扩展到被审计单位资信、内部控制、交易全过程等对财务报表产生影响的诸多事项。
3.审计风险加大
电子商务采用的是网络化信息系统,它一方面面临着系统自身故障风险,存在着对会计数据非法访问、篡改、泄密和破坏的可能:另一方面还面临着计算机病毒破坏和黑客非法入侵窃取财务数据的风险,识别、研究、审查和评价所搜集的审计证据有一定困难,这增加了财务报表审计中重大错报的风险。财务报表相关信息的无纸化,使电子合同、函件、订单的真实合法性难以得到保证。交易双方的真实身份难以确定,数据签名的真实性难以验证,容易使交易产生欺诈行为,也将导致重大错报风险的增加,最终将对注册会计师可控的检查风险降低提出更高的要求,审计工作难度明显加大。
二、电子商务条件下财务报表审计的总体要求
1.财务报表审计目的的不变性
新颁布的《中国注册会计师审计准则第1101号——财务报表审计的目标和一般原则》规定,财务报表审计的目的是注册会计师通过执行审计工作对财务报表的合法性和公允性发表审计意见,注册会计师执行的审计工作能够对财务报表整体不存在重大错报获取合理保证。注册会计师的审计意见旨在提高财务报表的可信赖程度。无论是传统交易方式还是电子商务交易方式。财务报表审计的目的是不变的。特别需要强调的是:电子商务条件下财务报表审计需要对电子商务进行考虑的目的是对财务报表发表恰当的审计意见,而非对电子商务系统或活动本身提出鉴证结论或咨询意见;注册会计师的审计意见也不应被视为是对被审计单位电子商务交易安全的一种保证。
2.控制测试更重要
电子商务环境下审计轨迹的瞬时性特征、无纸化环境及缺乏人员的干预导致风险的增加,使控制保证成为电子商务环境下最重要的测试环节。审计人员面对无纸化的审计轨迹及系统输出的财务报告,为了对财务报告的公允性发表审计意见。必须着重收集足够的审计证据,特别要通过大量的控制测试对控制环境进行经常性监控,以确保电子商务财务报告的可信性。过去,审计人员一般针对一个时点的财务数据进行大量的实质性测试;而在电子商务条件下,则需要在评价被审计单位持续经营的基础上,实施大量的有效的内部控制测试措施,且审计人员必须能够对控制风险进行合理的评价。
3.主要依赖计算机审计程序
在电子商务环境下,大量的证据存储在肉眼看不见的磁性介质上或在网络传播过程中,对这些证据,审计人员主要依赖计算机技术进行获取和审查。目前,主要的电子商务审计技术是ITF。ITF是建立在一个活动数据文档基础上的程序。审计人员可以利用ITF对控制系统进行交易测试,并且该项测试既不影响公司正常营运也不会导致财务数据的破缺。
4.重视审计风险
2006年2月颁布的审计准则对审计风险模型进行了重构,审计风险取决于重大错报风险和检查风险。注册会计师应当实施审计程序,识别和评估重大错报风险,并根据评估结果设计和实施进一步审计程序。以控制检查风险。电子商务环境下,来自被审计单位的经营风险和控制风险加大。财务报表存在重大错报的可能性上升。为此,注册会计师应通过了解被审计单位的电子商务环境以识别其重大错报风险,并根据评估的风险水平设计进一步的应对措施,特别是执行恰当的控制测试以判定内部控制有效性对财务报表的影响。
三、电子商务条件下财务报表审计的应对措施
1.了解被审计单位电子商务及对财务报表的影响
注册会计师应当考虑电子商务导致的被审计单位经营环境的变化,以及识别出的对财务报表产生影响的电子商务风险。在了解被审计单位及其环境时,注册会计师应当考虑下列事项对财务报表的影响:一是业务活动和所处行业。在了解被审计单位的业务活动和所处行业时,注册会计师应当关注电子商务不具备货物和服务等实体贸易所具有的清晰、固定的运送路线。运用电子商务的程度较高可能增大对财务报表产生影响的经营风险等特征。二是电子商务战略。被审计单位的电子商务战略,包括在电子商务中运用信息技术的方式以及对可接受风险水平的评估,可能对财务记录的安全性和相关财务信息的完整性与可靠性产生影响。三是开展电子商务的程度。不同的被审计单位可能以不同的方式开展电子商务,随着被审计单位开展电子商务程度的加深,以及内部系统更加集成化和复杂化,新的交易方式与传统业务活动的差异可能更加明显,并可能导致新的风险。四是外包安排。为被审计单位服务的机构采用和保持的某些政策、程序和记录可能与被审计单位财务报表审计相关,注册会计师应当按照《中国注册会计师审计准则第1212号——对被审计单位使用服务机构的考虑》的规定,考虑被审计单位的外包安排及相关风险的应对措施,以确定其对审计的影响。
2.识别和评估电子商务相关的经营风险和重大错报风险
在了解被审计单位环境基础上,注册会计师应识别和评估重大错报风险。电子商务环境下,因内部控制制度缺陷和无效带来的经营风险是产生财务报表重大错报风险的重要原因,所以注册会计师应特别关注其经营风险。与电子商务相关的经营风险有:(1)无法保证交易的完备性,尤其在缺少充分的审计轨迹(无论是纸介质还是电子形式)时,该风险的影响将更大;(2)电子商务安全风险,包括顾客、员工和其他人士通过未经授权的访问实施舞弊的可能性,以及病毒攻击;(3)运用不恰当的会计政策,包括收入确认、网站开发成本等支出的处理、与产品质量保证相关的预计负债的确认、外币折算等问题;(4)未能遵守税法和其他法律法规,尤其在通过互联网开展跨国或跨地区电子商务时更易出现此类情况;(5)无法保证仅以电子形式存在的合同具有约束力;(6)过度依赖电子商务;(7)系统和基础架构失效或崩溃。
另外,注册会计师还应从被审计单位的行业状况、监管环境、目标与战略、治理层和管理层特定意图、复杂的联营或合资、重大的非常规交易、重大的关联方交易、交易的重大不确定性、会计计量过程复杂和信息技术环境发生变化等事项来识别和评估其重大错报风险。
3.风险应对程序
注册会计师应当针对评估的财务报表层次重大错报风险确定总体应对措施,并针对评估的认定层次重大错报风险设计和实施进一步审计程序,以将审计风险降至可接受的低水平。
针对评估的财务报表层次重大错报风险主要采取下列总体应对措施:(1)向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性;(2)分派更有经验或具有特殊技能的审计人员。或利用专家的工作;(3)提供更多的督导;(4)在选择进一步审计程序时,应当注意使某些程序不被管理层预见或事先了解;(5)对拟实施审计程序的性质、时间和范围做出总体修改。
注册会计师应当针对评估的认定层次重大错报风险设计和实施进一步审计程序(包括控制测试和实质性程序),并具体考虑审计程序的性质、时间和范围。在电子商务环境下,注册会计师仅实施实质性程序获取的审计证据一般无法将认定层次重大错报风险降至可接受的低水平,应当实施相关的控制测试,以获取控制运行有效性的审计证据。注册会计师进行控制测试时应当特别考虑与电子商务相关的安全性控制、交易完备性控制和流程整合。具体实质性程序包括检查、观察、询问、函证、重新计算和分析程序。函证是电子商务环境下证实交易真实的有力程序,而传统审计条件下的检查则显得无能为力。
电子商务审计及其风险研究篇(7)
商业银行从事金融业务面临着市场风险、信用风险、以及操作风险等,而电子商务的出现则加剧了上述各类风险发生的可能性以及风险发生之后的破坏程度。2004年以来,我国面临的网络仿冒威胁正在逐渐加大,仿冒对象主要是金融网站和电子商务网站。2005年上半年共收到网络安全事件报告65679件,超过2004年全年案件数,商业银行电子商务安全风险管理策略已成为理论与实践中必须重视的课题。
一、信息安全管理的历史演进与现阶段的特点
信息安全管理的策略大体遵循事件驱动(技术和管理脱节)-逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。
(一)以事件驱动的初级阶段时期
19世纪70年代安全主要是指物理设备和环境的安全,人与计算机之间的交互主要局限在大型计算机上的哑终端,安全问题只涉及能访问终端的少数人。安全管理策略处于初级阶段,由事件驱动,没有形成规范的管理流程。在此阶段的前期,只重视技术手段。后期开始重视管理手段,但是技术和管理之间脱节。许多组织对信息安全制定了相应的规章和制度,但组织的信息安全管理基本上还处在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。
(二)标准化时期
企业开始将安全问题作为整体考虑,形成一套较为完整的安全管理策略,其中包括了安全管理的技术手段和管理制度(或称运作管理)。几乎所有从事电子商务的企业都拥有自己的安全策略,内容也包括了技术手段、安全管理制度、人员安全教育等等,基本上形成体系,技术和管理手段综合统一,但是安全风险分析还存在不足之处。
(三)安全风险管理策略时期
随着电子商务安全管理发展到一个比较高的层次,安全管理策略也演进到安全风险管理阶段。主要特点如下:
1.安全风险管理成为主流趋势;在安全管理策略的演进过程中,技术和管理手段综合统一、又融入了风险管理的分析、防范策略,从而安全管理进入了安全风险管理时期。西方商业银行已对安全风险管理形成共识。如安氏公司(is—One),认为信息安全问题最终将归结为风险管理问题,风险管理方法是建立良性的安全技术和管理体系的依据和基础。
2.安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。国际上关于安全风险管理的标准有巴塞尔银行监管委员会的《电子银行业务风险管理原则》、英国标准协会制订的BS7799等。各国也日益重视安全风险管理,制定了许多规范。例如美国货币监理署(OCC)的《电子银行最终规则》、香港金融管理局的《电子银行服务的安全风险管理》等。中国银行业监督管理委员也于2006年颁布了《电子银行业务管理办法》,对国内企业的电子商务安全风险管理给出了指导意见。
3.利用外部专业化机构对金融机构的安全性评估已成为大部分国家的选择。电子银行面临的安全和技术风险,在相当程度上取决于采用的信息技术的先进程度,系统的设计开发水平,以及相关设施设备及其供应商的选择等;银行依靠传统的风险管理机制已很难识别、监测、控制和管理相关风险。同样,监管机构也难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此,大部分国家都采用了依靠外部专业化机构定期对电子银行安全性进行评估的办法,加强对电子银行安全性和技术风险的管理和监管。
4.在许多国家信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。业界的IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作,从经济学的角度出发分析风险,充分衡量保持安全的代价和收益之间的关系,寻求用最小的代价实现最大的效用,在风险分析中也形成一套较为成熟的模式。
二、我国商业银行电子商务安全风险管理策略的薄弱点
(一)系统管理思想缺乏
目前的电子商务安全风险管理策略,在全局上缺乏系统论理论的指导,在实际操作中受到多种多样的安全攻击时会不可避免地出现安全漏洞,无法形成一张全面有序的安全网络。
实践中被采用的安全风险管理策略,以及作为指导意见的规则规范,如《信息安全管理实务准则》(IS017799)、《信息技术安全性评估准则》(GB/T18336.1)、巴塞尔银行监管委员会的《电子银行业务风险管理原则》,尽管提出了比较全面的安全风险管理方案,层次上也比较清晰,但是还不足以作为一个风险防范系统。实践中,电子商务组织是一个复杂的系统组织,电子商务的安全风险管理体系和过程也是个复杂的系统。系统论、控制论的思想在电子商务安全风险管理中是不可或缺的。
(二)风险分析的模型与方法不成熟,定量分析不足
电子商务模式自身的发展历史也不过20几年,在风险分析的定量技术上并不成熟;如BS7799中推荐的电子商务安全风险管理中实施风险评估时,往往将威胁发生的可能性定性划分为几个级别,将威胁所造成的影响也定性划分为1~5级,实质上是将一些按照概率发生的事件定义为不连续的几个级别,在操作上易行,但造成了度量的不精确。在进行监控和审计之后,也存在无法量化、对比的问题。
(三)忽视与原有的传统风险管理策略的结合
本质上,电子商务的安全风险无非是新兴的商业模式对传统的风险的改变,以及产生的在传统风险控制领域暂时无法明晰的新风险;现有管理策略只从信息技术的角度、或者从偏重技术的角度看待问题,站在金融领域本身来分析研究较少。这种状况导致了对电子商务安全风险管理的研究无法立足于一个比较高的层次;忽略了风险的整体性,只进行偏信息和技术的研究,导致了现有的电子商务安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言,传统金融业务的风险控制与电子商务的技术风险控制,两个方面存在脱节,同样属于商业银行的风险,存在着不同的管理策略,导致多头管理、资源浪费、机构之间的扯皮,乃至缺位管理。
(四)风险管理策略无法依赖外部的信息安全管理行业
在发达国家,信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法,提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系,制定和引进了一批重要的信息安全管理标准、法律法规,风险评估工作得到了一定重视,但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。
(五)风险管理策略中商业银行的内部风险控制能力薄弱
我国商业银行目前均建立起统一的风险管理部门;但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距,风险控制实质上仍然分散在各个子部门;风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门;风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如,风险管理部门接受了电子交易部的风险控制报告,表面上履行的内控审核的流程,但审核作用有限,无法完成电子商务安全风险管理中的监控与审计环节。
三、商业银行的电子商务安全风险管理策略的改进建议
(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架
利用系统理论作为总体的指导思想,将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。
在商业银行电子商务安全风险控制的流程中,经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内,然后进行监控和审计;尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入,从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环,安全风险管理的有效性就上一个台阶,商业银行的安全管理水平变得到了提高。
(二)电子商务安全风险管理中定量分析中的改进思路
商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中,商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定,商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失,巴塞尔委员会制定资本要求的转换系数;在度量损失的分布时,主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来,利用现有的度量方法进行精确的风险定量分析的尝试。
电子商务审计及其风险研究篇(8)
B2C即企业对消费者的商务模式,是指企业在互联网上为消费者提供一个虚拟的购物环境―网上商店,消费者在网上下单、网上支付,企业通过物流将商品或服务送到顾客手中。B2C以终端消费者通过网络向商家购买商品或服务为特征,是一种被广泛接受的电子商务模式。
一、B2C模式下的审计风险特征
1.审计风险
审计风险主要指的是由于财务报表存在重大错报而导致注册会计师有瑕疵或者错误的审计意见的可能性。审计风险包括重大错报风险和检查风险,用数学模型表示如下:
审计风险=重大错报风险×检查风险
重大错报风险(risk of material misstatement)是指财务报表在审计前存在重大错报的可能性。此类风险与控制环境有关,但也可能与其他因素――如经济萧条有关。检查风险是指某一认定存在错报,该错报单独或连同其他错报是比较严重的,但注册会计师未能及时发现这种错报。检查风险与审计程序设计的合理性和执行的有效性密切相关。
2.B2C模式下审计风险的特征
B2C模式下,审计以实时的数据库为基础,与传统的控制制度和流程区别较大,审计风险更加多样化、复杂化,主要特征如下:
(1)重大错报风险的特征。在B2C模式下,财务数据由计算机进行集中处理,传统会计流程中成熟的职权分割清晰的人为控制作用近于消失;数据存储介质及存储方式实的数字化,致使传统的账簿控制体系控制失灵;电子商务系统自身安全性、可靠性和开放性,对企业内部控制制度及其运转提出了新的挑战。
(2)检查风险的特征。在B2C模式下,原始凭证都以电子数据形式呈现,审计人员收集的审计证据也是数字化的。审计人员很难保证收集的审计证据的相关性、有效性、有用性和充分性,而且与传统证据相比,数字审计证据的还具有易破坏性。
二、B2C模式下的审计风险
1.软件风险
审计软件风险是检查风险,主要是指审计软件系统自身的缺陷造成的风险。首先,审计软件的更新滞后于会计软件的升级速度,导致审计效率和质量下降。第二,部分软件开发人员不熟悉审计、会计业务,或者不了解计算机编程知识,会导致软件自身存在运行稳定性缺陷,有可能会导致审计计算或者分析结果。
2.取证风险
在B2C模式下,企业会计信息与其他业务信息共存于企业信息化系统,互相交叉,客观上加大了审计人员取证工作的难度。
3.操作风险
操作风险指由于技术、研发及操作人员的实际操作造成的风险。目前大部分审计岗位的从业人员,传统审计经验有比较丰富的积累,但是电子商务及互联网知识和技能比较缺乏,实际工作中存在人员操作风险。
4.安全性及可靠性风险
在电子商务环境下,数字化身份验证和识别准度低于传统验证的精度,内部控制的技术和方法是通过会计软件实现的,系统环境复杂,内部控制可能出现漏洞,不能彻底杜绝会计数据造假、舞弊行为,存在重大错报的风险。
5.审计准则风险
电子商务时代,无论国际审计准则还是我国《中国注册会计师审计准则第1633号-电子商务对财务报表审计的影响》中的相关规定,都存在实施细则缺失或不完善的问题,不能很好地适应新时期审计实务的客观需要,审计风险加大。
三、规避B2C模式下审计风险的对策
1.以人为本,加强人才队伍建设降低检查风险
(1)B2C模式的商务信息流程与技术。B2C模式下,虚拟货币、电子支付、在线结算存带来了安全性和内部控制问题。因此,审计人员要熟练掌握B2C模式商务信息流程与技术,用信息化手段审查被审计单位业务流程和财务数据是否被非法篡改,鉴别会计数据的真实、可靠和准确性等。
(2)B2C模式审计程序与操作方法。对B2C模式下电子商务进行审计,审计人员需要使用审计软件系统对传统审计进行辅助审计,这就要有新的技术手段和方法体系。电子函证及远程审查工作的重点是鉴别通过网络在线获取的回函的真伪。实时监测的关键是用人工计算结果验证数据处理系统数据处理的正确性。勾稽关系测试,根据不同情况用不同的技术和方法。
2.充分评估B2C模式的经营风险降低财务报表层次的重大错报风险
(1)提高系统安全性降低审计风险。在专业工程技术人员协助下,审计人员对被审计单位的电子商务系统进行测评,降低审计风险。这包括是否制定了健全的与会计信息系统相关得管理制度等。
(2)提高审计软件性能提高抗风险能力。审计人员应从现实情况和科学性出发,自行开发或与财务软件公司合作,研制B2C模式下的审计测试软件。
3.多层面审查B2C企业内部控制降低认定层次的重大错报风险
一是审查B2C企业内部控制设计的有效性。二是审查B2C企业内部控制制度实施的有效性。
综上所述,随着计算机技术的广泛应用,电子商务日益普及,B2C模式成为广泛应用的商务模式。为了有效降低审计风险,必须采取综合措施,加强制度建设、健全行为规范,以人为本,培养复合型人才降低检查风险充分评估B2C模式的经营风险;降低财务报表层次的重大错报风险和多层面审查B2C企业内部控制降低认定层次的重大错报风险。
参考文献:
电子商务审计及其风险研究篇(9)
电子商务环境下,企业交易实现无纸化、现代化,信息处理则相应采用信息系统进行处理,信息采集、处理和变得极为方便,新环境对审计产生了重大影响,审计必须顺应时代环境进行变革,以便及时并合理地对与决策者相关的信息如企业的经营状况、发展趋势、未来发展前景、盈利预测等发表审计意见,顺利完成审计人员的社会责任。
一、电子商务对审计的影响
(一)审计环境的改变
1.地理环境改变
电子商务不仅改变了企业传统的交易模式,而且使企业内部的信息处理方式发生了质的变化。企业的许多职能活动被网络所简化,有形价值链变成无形价值链,业务数据和财务数据都将在计算机系统中集成。交易的纸制记录消失了,取而代之的是以电子数据的形式记载和传递的虚拟凭证、账簿以及报表。这决定了审计不能再完全按照传统审计的操作流程进行审计。
2.法律法规环境改变
目前已基本形成了相对完整的会计法规体系和审计执业规范体系,但目前的审计法规大部分都是适应传统书面记录形式的,针对电子商务环境的法律法规体系尚不健全这在一定程度上使得审计工作尤其是进行合法性审计处于无法可依的局面,所以电子商务审计的发展函待一个完善的法律环境,需要建立规范电子商务审计的审计准则。
(二)审计风险加大
在电子商务活动中,企业经营状况、电子证据等面临着多种不确定性,这使得审计风险日益复杂,具体表现在:
1.重大错报风险
电子商务和网络化经营会使通过计算机进行舞弊的机会增加。作案者只要拥有相当高的计算机和网络知识,就有可能进入企业的信息系统,采用高技术手段直接或间接向计算机接发出非法指令,遥控作弊。另外,我国审计软件主要存在审计软件功能不统一、审计方法不规范、审计程序不一致、审计与会计信息接口和数据类型不匹配的问题,会导致会计信息失真。这些不确定性的存在使得企业财务信息中的重大错报风险增大。
2.检查风险
电子商务环境下,企业系统采用的是先进的浏览器/服务器模式,网络财务会计系统的设计可能使一个完整的交易轨迹只保留一段时间或设计成计算机可读性,而且这些信息可以被人为修改数据而不留任何痕迹。因此,电子商务活动的审计需要专业和信息技术的多元知识结构。新挑战使得审计过程中的检查风险增大。
二、审计要素变革
(一)审计目标向多元化发展
在电子商务环境下,信息的传递快速和便利,信息资源具有共享性,经济活动具有开放性,企业与外部的联系得到前所未有的加强,审计的目标向更深、更广的领域扩展,诸如电子证据审计、电子支付审计、客户服务功能审计以及网络技术本身的安全性、合规性与有效性审计等也将成为审计目标。
(二)审计对象实体扩大
1.电子证据审计
电子商务的应用,使得各种单据和凭证已经变成了肉眼所不能见的数据,通过电子技术而集成在磁性介质上,审计轨迹完全消失。如果系统设计时考虑不周,可能到审计时才发现只留下业务处理的结果而不能追索其来源。另外,电子商务使审计证据除来源于企业内部外,还有部分来源于互联网。这些都需要审计人员对电子证据保持高度的谨慎性,对其来源和可靠性做出判断,例如有无删减、拼凑、伪造、篡改等。
2.安全性审计
电子商务环境下,安全性审计主要包括以下几个方面:电子支付审计、内部控制审计和信息系统审计。审计人员对电子收付和电子银行审计时,必须着重对其业务处理的权限、用户密码、软硬件加密、解密系统进行校验,对其有效性和合法性进行审查和认证;至于内部控制,审计人员可以从保密性、完整性和可用性来判断是否有非法泄露电子数据、非法修改和删除电子数据和非法独占电子数据资源的行为;对于企业信息系统审计人员要注意审查下列问题:①系统的可行性;②经营业务和财会处理功能的合法性和正确性;③系统是否建立了恰当的程序控制,以防止无意的差错或有意的舞弊;④系统的可审计性,应留下充分的审计轨迹;⑤系统测试的全面性和恰当性;⑥系统文档资料的完整性。
(三)审计主体观念转变和知识多元化
一般认为,审计主体是审计工作的执行者,包括专门的审计机构和审计人员。电子商务的兴起,对审计人员的知识及能力提出挑战。目前,我国审计人员在思维方式、知识结构等方面存在明显缺陷:
1.从思维方式上看,我国审计人员普遍满足于查帐――找问题――处罚这样一种被动的审计模式,多数审计实践仍然停留在事后审计。
2.从知识结构来看,我国审计人员知识结构单一的情况目前普遍存在,除财会审计知识和经验外,其他经济、法律、计算机、网络以及系统控制等方面知识不足,加之知识老化、滞后、理论与实践脱节现象严重,在很大程度上限制了审计人员创新和综合处理问题的能力。
为适应电子商务的发展,审计人员应该树立起全新的思维观念---创新和竞争意识,充实自身,掌握多元化知识。
(四)审计技术新方向――网络审计和计算机审计
在电子商务环境下,会计信息系统电子化和内部控制系统程序化已逐步实现,再者审计轨迹“不可见”特性,使得传统的审计方法已经无法适应现实的需要。而网络技术的发展为网络审计软件的开发提供了技术支持,为审计提供了更为便捷的审计方法――网络审计和计算机审计。
审计人员可以利用审计接口软件直接获取数据,同时可以通过文件传输、远程登录、网络浏览、电子公告或新闻组等网络工具远程获取信息,对获取的信息进行快速、准确地加工和处理,甚至是对企业的会计系统进行克隆,使会计信息系统由于信息同源化而丧失的内部勾稽关系得到重建,通过对这种勾稽关系的审查,可以测试会计信息是否被非法改动。
(五)审计准则更新
电子商务环境下,审计目标、审计对象、审计内容以及审计手段等都发生了相应的变化,传统审计环境下制定的审计准则已经很难适用,需要对其进行全新的审视和思考,进而建立起针对规范电子商务活动审计的准则体系。新的准则体系应该充分体现电子商务环境下审计特点,确定网络审计和计算机审计的具体内容、标准和审计程序,新环境下审计人员的职业道德准则,但是在建立规范审计人员的行为准则的同时又要在审计独立性、客观公正等方面,沿袭传统审计准则中的精髓。
参考文献
[1]李俊杰.电子商务对企业审计的影响[D]财政部财政科学研究,2010.
电子商务审计及其风险研究篇(10)
中图分类号:F239 文献标志码:A 文章编号:1673-291X(2012)13-0136-02
一、电子商务安全评估概述
1.电子商务安全评估重要性电子商务安全评估是运用系统的方法,对电子商务系统、各种电子商务安全保护措施、管理机制以及结合所产生的客观效果作出是否安全的结论。由于信息技术本身有其固有的敏感性和特殊性,这就使得对企业电子商务产品是否安全,电子商务安全产品及其网络系统是否可靠,企业电子商务系统是否健壮,电子商务管理是否严格,信息风险防范的准备是否充足等方面都成为需要科学评价和证实的问题。电子商务安全系统所保护的是敏感信息,评估必须可靠、可信、可操作,并且能依赖于成熟的信息安全理论、科学的评估方法和完善的标准体系,具有令人信服的科学性和公正性。
2.电子商务安全评估内容。电子商务安全评估的主要内容有环境控制、应用安全、管理机制、远程通信安全、审计机制等五个方面的内容。环境控制分为实体的、操作系统的及管理的三个部分。应用安全包括输出输入控制、系统内部控制、责任划分、输出的用途、程序的敏感性和脆弱性、用户满意度等。管理机制包括规章制度、紧急恢复措施、人事制度(如防止工作人员调入、调离对安全的影响)等。远程通信安全包括加密、数据签名等。
二、电子商务安全
1.电子商务安全需求与隐患。在电子商务中,任何与交易有关的信息都通过网络交换,都有可能会被篡改、窃听、冒名使用或交易后否认。保证电子商务的安全需提供以下安全保护:(1)完整性保护。确保消息内容在传输和处理过程中没有被添加、删除或修改。(2)真实性保护。能对交易者身份进行鉴别,为身份的真实性提供保证。(3)机密性保护。能防止电子商务参与者的信息在存储、处理、传输过程中泄漏给未经授权的人或实体。(4)抗抵赖。抗抵赖就是为交易的双方提供证据,以解决因否认而产生的纠纷。它实际上建立了交易双方的责任机制。
电子商务面临着其系统自身的安全性问题,计算机及通信网络的安全性问题同样会蔓延到电子商务中。归结起来,电子商务中的安全患主要有其应用层、传输层、存储层和系统层等四个方面:(1)系统层安全性漏洞。电子商务系统的运作须以系统层的软硬件为基础,因此系统层的安全性漏洞将直接会造成电子商务中的安全患。(2)存储层的安全漏洞。存储层的安全漏洞包括两个方面的问题:1)意外情况造成的数据破坏。无论多么稳定的系统,意外情况总是不可避免的,电子商务系统也不例外。如果对意外情况造成的损失没有充分的估计和完备的补救措施,那么意外情祝造成的数据破坏是不可避免的。而数据破坏将对整个电子商务系统的稳定性和安全性造成威胁。2)有意人为侵害造成的破坏。电子商务起步不久,安全性措施尚不完善,是网络黑客攻击的焦点。黑客往往利用电子商务系统中的种种安全性漏洞,窃取和破坏系统数据,甚至修改系统,对整个系统的正常运作造成严重危害。因此,一个成功的电子商务系统必须能有效的防止人为侵害。(3)传输层的安全漏洞。传输层的安全漏洞包括传输过程中的数据截获电子商务系统中的数据在传输过程中可能受到截获,传输过程中的数据完整性破坏以及跨平台数据交换引起的数据丢失等三个方面的问题。(4)应用层的安全漏洞。应用层的安全漏洞包括冒充他人身份和抵赖已经做过的交易两个方面的问题。
2.电子商务安全要求与技术。电子商务安全要求主要有以下六点:(1)信息的有效性要求。电子形式贸易信息的有效性则是电子商务活动的前提。电子商务信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。一旦签订交易后,这项交易就应受到保护以防止被篡改或伪造。(2)信息的保密性要求。电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。电子商务是建立在开放的网络环境上,维护商业机密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。(3)信息的完整性要求。电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。(4)信息的不可抵赖性要求。电子商务可能直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方正是进行交易所期望的贸易方,这一问题则是保证电子商务顺利进行的关键。(5)交易身份的真实性要求。交易者身份的真实性是指交易双方确实是存在的。网上交易的双方要使交易成功,必须互相信任,确认对方真实,对商家要考虑客户是否有信誉。(6)系统的可靠性要求。电子商务系统的可靠性是指防止由于计算机失效、程序错误、传输错误、硬件故障、系统软件错误、数据库出错、计算机病毒和自然灾害所产生的潜在威胁,并加以控制和预防,确保系统安全可靠性。保证计算机系统的安全是保证电子商务系统数据传输及电子商务完整性检查的正确和可靠的根基。
通过使用以下四种电子商务安全密码技术,可以基本满足不同的电子商务安全需求。(1)完整性保护技术。完整性保护技术是用于提供消息认证的安全机制。典型的完整性保护技术是消息认证码是将利用一个带密钥的杂凑函数对消息进行计算,产生消息认证码,并将它附着在消息之后一起传给接收方,接收方在收到消息后可以重新计算消息认证码,并将其与接收到的消息认证码进行比较:如果它们相等,接收方就认为消息没有被篡改;如果它们不相等,接收方就知道消息在传输过程中被篡改了。(2)真实性保护技术。真实性保护技术用来确认某一实体所声称的身份,以对抗假冒攻击。在电子商务中,交易信息通过网络转发,可能在传输过程有一定的延迟,需要通过数据源鉴别来确认交易信息的真正来源。(3)机密性保护技术。机密性保护技术是为了防止敏感数据泄漏给那些未经授权的实体。(4)抗抵赖技术。抗抵赖技术是为了防止恶意主体事后否认所发生的事实或行为。要解决上述问题,必须在每一事件发生时,留下关于该事件的不可否认证据。当出现纠纷时,可由可信第三方验证这些留下的证据.这些证据必须具有不可伪造或防篡改的特点。
三、电子商务安全审计
(一)电子商务安全外部审计
外部审计是指审计师对公司电子商务网站的安全工作进行审计,对消费者提供数据安全、商业政策、交易完整、数据隐私等方面的审计。消费者可以通过查询这些第三方组织的网站进行了解。1998年美国注册会计师协会(AICPA)先后成立的Elliott委员会和Cohen委员会,可以对电子商务的这方面内容提供鉴证。AICPA对电子商务提供的保证服务主要分为两个方面:完整性保证系统(Integrity Assurance System):电子交易中的数据要素是各方同意达成的,并且在数据处理与存储的过程中保持其完整性,没有未经授权的修改。安全性保证系统(SecurityAssuranceSystem):交易双方的身份验证以及电子数据没有未经授权的泄漏。
(二)电子商务安全内部审计
内部审计的作用主要体现在对于电子商务公司内部系统安全和财务风险的管理上,主要包括两个方面的内容:对电子商务系统的技术审计;对电子商务公司的财务进行审计。
1.技术审计。对电子商务系统进行技术审计的主要内容有三项:(1)纪录、跟踪系统的运行状况。利用审计工具,监视和纪录系统的活动情况,如纪录用户登录账号、登录时间、登录的终端以及所访问的文件、存取操作,并放人系统日志中保存在磁盘上,使影响系统安全性的存取以及其他非法操作留下线索,以便审查。(2)检测各种安全事故。审计工具能检测和判定对系统的攻击,如多次使用非法口令登录系统的尝试,及时提供报警甚至自动处理,使系统安全管理人员能够了解系统的运行情况,及时堵住非法入侵者。审计工具还能识别合法用户的误操作等。(3)保存、维护和管理审计日志。由于审计日志记录了审计、跟踪、检测各种安全事件的结果,是查找、分析网络系统安全事件的客观依据,是重要的系统文档,必须有可靠的存储和管理机制。在现代的经济环境下对电子商务公司的财务进行审计,其审计的职能已经发生了根本性的变化。审计已经从传统的财务审计过渡到了风险审计与内部控制。因此,运用内部审计可以很好地控制风险的发生。
2.财务审计。对电子商务系统进行财务审计的主要内容有两项:(1)对电子商务风险设定非财务化监测工具,这种工具可以是数量化的,也可以是非数量化的。比如实时监测服务器访问者数量,或者使用嗅探器工具网络监视工具对公司内部网以及国际互联网出口进行监测。(2)对电子商务风险实行与商业风险并行的另外一套防范方法,但是这种防范措施要与其他风险的防范一起进入风险管理的总的成本与人员控制。
参考文献:
[1] 刘艳慧.电子商务及其安全性研究与应用[D].天津:天津大学,2008.
电子商务审计及其风险研究篇(11)
审计作为一种独立性的经济监督活动,是国家经济运行的免疫系统。随着信息技术的发展,组织的运行越来越依赖于信息技术。信息化环境下信息技术不但成为审计的对象,同时也成为审计的工具。为了适应我国审计信息化建设的需要,审计署已经成功开展了“金审工程”一期和二期的建设工作。同时,为了更好地实现审计工作“从单一的事后审计变为事后审计与事中审计相结合,从单一的静态审计变为静态审计与动态审计相结合,从单一的现场审计变为现场审计与远程审计相结合”这三个转变,国家审计署还成功开展了相关课题研究,探索了适合我国国情的联网审计实施方案。云计算技术的出现为今后开展联网审计提供了机遇,因此,研究云计算环境下的联网审计具有重要意义。本文结合云计算技术的研究与应用现状,研究云计算环境下的联网审计实现方法。
二、研究云计算环境下联网审计的必要性
(一)联网审计的特点
联网审计是指审计机关与被审计单位进行网络互连后,在对被审计单位财政财务管理相关信息系统进行测评和高效率的数据采集与分析的基础上,对被审计单位财政财务收支的真实、合法、效益进行实时、远程检查监督的行为,是一种“全新的审计理念与审计模式”(王刚,2005)。联网审计的原理如图1所示(国家863计划审计署课题组,2006;王智玉,2010)。从图1可以看出,联网审计在技术实现上主要分成四个部分:
1.数据采集:主要是完成对被审计单位电子数据的采集。目前,联网审计数据采集的实现是通过在被审计单位数据库服务器端放置一台称之为“数据采集前置机”的服务器,通过安装在“数据采集前置机”中的审计数据采集软件完成联网审计的数据采集工作。
2.数据传输:把采集来的电子数据通过网络传输到审计单位,以供审计分析使用。
3.数据存储:对于采集到的电子数据采取一定的方式进行存储。
4.数据分析处理:主要是对采集来的电子数据进行分析处理,发现审计线索。
基于以上分析,我国正在研究与实施的联网审计也可以看成是面向数据的联网审计,其原理可以看成是一个基于对采集来的审计数据进行分析,获取审计证据的过程。概括来说,我国的联网审计主要有以下特点:
1.联网审计环境下,审计数据被采集过来集中存储,数据量大,需要可扩展的数据存储设施。
2.某一行业的数据集中,为数据的比较分析提供了基础,数据信息全面,隐藏的或未知的信息较多,采集来的大量数据为审计数据分析提供了基础。为了能做到事中审计,或者是实时审计,需要强大、高效的数据处理设施。
3.在联网审计的各个环节,影响数据真实性和完整性的因素很多,为了能得到正确、可靠的审计证据,必须保证被采集来的数据是真实的和完整的,以减少审计风险。
(二)云计算的原理及特点
云计算是基于互联网的相关服务的增加、使用和交付模式,通常涉及通过互联网来提供动态、易扩展、且经常是虚拟化的资源。云计算包括的三个层次的服务模式如下:软件服务(SoftwareasaService,SaaS):为很多用户提供应用软件服务,用户不需要日常的IT操作人员。平台服务(PlatformasaService,PaaS):为很多用户提供运行应用软件的环境,用户需要维护自己的应用软件。设施服务(InfrastructureasaService,IaaS):为很多用户提供运行应用软件的环境,用户需要有自己的技术人员,如系统管理员、数据库人员、开发人员等。
概括来说,使用云计算主要具有以下优点(Armbrust等,2010):
1.可提供动态变化的计算环境。云计算平台能够按需对服务进行配置和管理,可以支持多种不同类型不同需求的应用;云平台能够根据需要分配资源,具有可伸缩性,对业务具有灵活性。
2.数据存储能力强大。云计算平台可提供海量存储环境,能够按需进行数据存取,支持海量数据管理和存储业务。
3.减少成本。使用云计算能够极大地提高硬件利用率,并能够在极短时间内升级到巨大容量,而不需要用户自己频繁地投资构建新的基础设施、培训新员工,不需要频繁地升级软件,从而减少成本。
4.具有强大、高效的数据处理能力。云计算在处理用户需要的信息计算处理时可将庞大的计算处理程序拆分成无数个子程序,然后将这些子程序交给由多部服务器组成的庞大系统进行搜索及计算分析,最后直接将处理结果回传给用户,这一过程可在极短时间内完成,因此具有强大、高效的数据处理能力。
5.能够提供专业、高效和相对安全的数据存储。好的云计算供应商能够提供专业、高效和相对安全的数据存储,用户运用云计算技术将数据存储在云平台中,相对于自己管理数据存储,能在一定程度上消除因各种安全问题导致数据丢失的顾虑。
然而,由于云计算环境下,所有软硬件以及电子数据都依托于云计算供应商,用户对这些软硬件以及数据失去控制。因此,不论什么样的云计算模式,都具有可控制性差的缺点,本文第四部分将分析应用云计算技术存在的风险。
(三)云计算技术的发展为开展联网审计提供了机遇
云计算技术的发展为开展联网审计提供了机遇,主要表现为以下四个方面:
1.云计算技术在一定程度上可以降低联网审计的实施与运行成本
针对目前联网审计的实施方法,联网审计的成本可分成一次性成本和经常性成本两部分(陈伟和尹平,2007;尹平和陈伟,2008)。一次性成本是指联网审计系统开发和执行的初始投资,主要包括:硬件成本、软件成本、人员培训费用、场地成本;经常性成本是指在联网审计系统整个生命周期内反复出现的运行和维护成本,主要包括:人员成本、硬件维护成本、软件维护成本、耗材成本、风险控制费用、其它费用等。现有的信息技术手段造成目前的联网审计模式实施与运行成本较高,这影响了我国联网审计的进一步发展。一般来说,采用云计算技术则没有任何基建投资,没有硬件购置成本、没有需要管理的软件许可证或升级、不需要雇佣新的员工或咨询人员,也不用承担机房空间、电力以及人力等成本。因此,采用云计算技术实现联网审计在一定程度上可以降低联网审计的实施与运行成本。
2.计算技术的应用使得研究云计算环境下的联网审计成为必然
近年来,云计算的概念已经普遍被人们接受,越来越多的信息系统将运行在云计算平台上,在我国“十二五”规划中云计算技术是重点发展的新一代信息技术。将来会有更多的被审计单位开始采用云计算平台运行自己的应用系统,这使得云计算平台成为审计单位的审计对象,因此,研究云计算环境下的联网审计将成为我国开展联网审计的一个重要部分。
3.政府信息化建设为开展云计算环境下的联网审计提供了机遇
近年来,各地政府投入了大量的资金用于信息化建设,有些政府已经建设了自己的云平台,在我国“十二五”规划中云计算技术是重点发展的新一代信息技术,这为开展云计算环境下的联网审计提供了机遇。
4.用云计算技术能更好地满足联网审计环境下海量数据分析的需要
为了更好地满足联网审计环境下海量数据分析的需要,应该充分利用新的信息技术提高审计效率,而云计算的出现为解决这一问题提供了机遇。
(四)云计算环境下联网审计方面的研究不多
云计算成为目前学术界研究的热点问题,一些国际重要学术会议,如2011IEEEInternationalConferenceonSystems,Man,andCybernetics等,还专门设立了关于云计算研究的专题。Armbrust等(2010)对云计算的研究情况进行了综述,国内学术界关于云计算方面的研究多集中在云技术本身的研究,如黄汝维等人(2011)针对云计算中的隐私保护问题,提出了支持隐私保护的云计算模型,并设计了一种支持隐私保护的基于矩阵和向量运算的可计算加密方案;李强等(2011)针对云计算基础设施中大规模虚拟机的放置问题,提出了云计算中虚拟机放置的自适应管理框架,提出了带应用服务级目标约束的虚拟机放置多目标优化遗传算法,用于制定框架中的虚拟机放置策略。国内外关于云计算在审计领域的研究与应用较少,Ernst和Young(2009)和Luann(2009)分析了云计算给审计带来的风险。尽管国内外已有较多的关于持续审计和联网审计方面的研究(Rezaee等,2002;Debreceny,2005;Du和Roohani,2006;Chou等,2007;国家863计划审计署课题组,2006;王智玉,2010;陈伟等,2008,2011;RutgersAccountingWeb,2012),但国内外尚缺少关于云计算环境下联网审计方面的研究。
三、云计算环境下的联网审计实现方法
基于目前我国联网审计的实现原理,本节从被审计单位使用云平台、审计单位使用云平台、审计单位和被审计单位都使用云平台这三种情况出发,研究云计算环境下适合我国联网审计特点的联网审计实现方法。审计单位在应用云计算技术时,至于采用SaaS、PaaS还是IaaS,将由审计单位根据自己的实际情况和需要来决定。
(一)被审计单位使用云平台
在这种情况下,由于被审计单位在云平台上运行自己的应用系统,存储自己的电子数据,审计单位在对被审计单位实施联网审计时,将被迫开展云计算环境下的联网审计。在这种情况下审计单位可采用的两种可行的联网审计实现方法如下。
1.审计部门可以借助被审计单位使用的云平台安装审计数据采集软件,完成联网审计的数据采集工作,然后把采集到的被审计数据传输到审计单位的数据存储系统中去,供审计人员分析处理,从而发现审计线索,获得审计证据。其原理如图2所示。审计单位也可以在自己的数据库服务器端安装运行数据采集软件,通过网络远程采集被审计单位云平台中的电子数据。
2.在条件许可的情况下,审计单位也可以借助被审计单位使用的云平台,运行审计数据分析软件,根据审计单位的审计请求,直接利用云平台强大的计算能力完成对被审计单位的审计数据分析,发现审计线索,获得审计证据,并把审计证据返回给审计端,从而完成联网审计的审计工作。其原理如图3所示。
(二)审计单位使用云平台
目前一些地方已建成用于电子政务的云计算平台,这为审计单位应用云计算技术提供了机遇。在这种情况下,审计单位利用云平台提供的平台服务和设施服务,把从被审计单位采集来的电子数据存储在云平台中,然后可以借助云平台提供的软件服务对采集来的电子数据进行分析取证。其原理如图4和图5所示。
(三)审计单位和被审计单位都采用云平台
在这种情况下,审计单位和被审计单位都采用云平成自己的工作。审计单位和被审计单位可能采用同一个云平台供应商,也可能采用不同的云平台供应商。其原理如图6和图7所示。
四、云计算环境下实施联网审计存在的风险
云计算环境下的联网审计可以充分利用云计算的优势,但在实际的应用中,应充分认识云计算给联网审计带来的风险,本节从基于云平台整体控制与应用控制的视角、基于云平台选择的视角、基于云平台服务的视角这三个方面出发,分析云计算环境下实施联网审计存在的风险。
(一)基于云平台整体控制与应用控制的视角
云计算环境下,审计单位和被审计单位所有软硬件以及电子数据都依托于云计算供应商,审计单位和被审计单位对这些软硬件以及数据失去控制。因此,云平台的整体控制与应用控制是风险控制的关键。基于云平台的整体控制与应用控制的视角,存在的主要风险包括:
1.灾难恢复与业务持续
云计算环境下,云计算供应商的灾难恢复与业务持续策略对联网审计有着重要的影响,主要表现为:云计算供应商如何考虑灾难恢复计划(DisasterRecoveryPlan)与业务持续计划(BusinessContinuityPlan)?审计单位和被审计单位的数据是否有备份?当发生灾难事故时,审计单位和被审计单位如何访问自己的备份数据?数据恢复的时间有多长?
2.数据安全问题
云计算环境下,审计单位和被审计单位的数据存储、传输和处理都由云供应商管理。所使用信息系统的物理控制和逻辑控制取决于云计算供应商,审计单位和被审计单位缺少对数据的物理控制。另外,审计单位和被审计单位对云计算供应商的工作人员情况缺少了解,有时候云计算供应商内部恶意或者是善意的工作人员可能会滥用权力访问审计单位和被审计单位的数据及应用系统。这会产生以下风险:在云计算供应方,谁可以访问你的数据?云计算供应商对自己的工作人员采取了哪些控制措施?云计算供应商如何管理自己的工作人员?云计算供应商是否具有职责分离控制措施?
3.数据隔离问题
云计算环境下,多个用户之间共享计算环境,缺少隔离,特别是公用云,一个应用系统可能会影响其他应用系统。云计算供应商如何保证审计单位和被审计单位的数据不被其他用户看到?数据如何加密?密钥如何管理?
4.数据完整性问题
云计算环境下,特别是公共云时,所有软硬件以及数据都依托于云计算供应商,有可能缺少防范数据修改的控制措施,不正确的访问控制或弱加密会导致各种数据风险,不能有效检测数据的修改。另外,云计算供应商采取的不正确的加密方法也会造成对审计单位和被审计单位数据的破坏,这都会影响审计单位和被审计单位数据的完整性。
5.监管规范问题
审计单位和被审计单位所采用的云计算平台是否有政府监管?是否符合相应的监管规范?是否有第三方审计或认正?被审计单位应用云平台是否会影响执行SOX(Sarbanes-OxleyAct)等。
(二)基于云平台选择的视角
目前,云计算供应商的数目繁多,许多传统的服务供应商也更名为云计算供应商。因此,审计单位和被审计单位在采用云计算开展联网审计时如何选择合适的云平台非常重要,审计单位和被审计单位应该根据自己的服务需求,尝试多个云供应商的基础设施,测试应用程序,选择最佳云供应商。关于云平台的选择,存在的主要风险分析如下:
1.经营状况
云计算供应商持续发展能力不确定。审计单位和被审计单位选择云计算供应商时应该考虑:云计算供应商的经营状况如何?如果云计算供应商破产,可能会造成数据的丢失,因此,如果云计算供应商破产,审计单位和被审计单位如何收回自己的数据?
2.服务水平协议(SLA)
服务水平协议(SLA)是一种衡量云供应商服务平台舒适度的方法。审计单位采用云计算技术开展联网审计时,要确保自己的服务水平协议(SLA)有一些保护条款。万一出现服务中断,云供应商能提供优厚的回报补偿。
3.性能
由于地理位置和云平台架构的不同,云供应商供应的应用程序性能结果也不同,因此,审计单位在选择云供应商时应该考虑云平台的地理位置和实际架构。
4.安全与保障
在选择云供应商时有没有考虑这些云供应商采取什么保障措施来保护客户的数据。
5.数据的存储与归属
云计算环境下,所有软硬件以及数据都依托于云计算供应商,审计单位和被审计单位不清楚自己的数据会被存储在什么地方,甚至都不知道数据位于哪个国家,也许会被存储在国外。因此,审计单位和被审计单位采用云计算开展联网审计时有没有考虑:自己的数据是如何被保护的?这些数据的存放地点在哪里?数据的归属问题?如果审计单位或被审计单位需要更换云计算供应商时,自己的数据是否可以转移到另一家云计算供应商。因此,审计单位和被审计单位采用云计算开展联网审计时,如果缺少数据存储与归属方面的考虑,将会给将来的联网审计运行造成潜在风险。
(三)基于云平台服务的视角
关于云平台的服务,存在的主要风险主要有:
1.服务支持
审计单位和被审计单位在使用云平台时,有没有考虑遇到了问题应该如何联系云供应商?联系哪些人?
2.服务可靠性
审计单位和被审计单位使用的云平台网络连接是否可靠?数据传输是否可靠?当网络出现故障时,云计算服务会出现中断,这会影响服务的可靠性。特别是对于一些规模小的审计单位和被审计单位在使用云平台时,由于采用较慢的因特网接口,相比于使用自己内部的软件平台,使用云计算平台速度会较慢。另外,审计单位和被审计单位对云计算供应商的灾难恢复过程依赖性强。
3.云平台的友好性
