電子商務系統(tǒng)審計

1、電子商務系統(tǒng)審計作者：？徐源：當前，電子商務的應用越來越廣泛，電子商務系統(tǒng)審計的內容就是對電子商務系統(tǒng) 的安全性和可靠性的核實確認。國際內部審計師協(xié)會最新電子商務系統(tǒng)審計和控制報告 中指出：電子商務的定義是網(wǎng)絡方式或PDF交貨方式，審計的定義是指核查（核實查處） 確認，電子商務系統(tǒng)審計是基于系統(tǒng)本身的可審計性和控制程序。審計模塊設計是審計 成功與否的關鍵，根據(jù)審計模塊和風險分析向管理層提供審計報告。由于高科技的發(fā)展， 管理層需要對一些不可測量的、無形的資產范疇如信譽、客戶服務滿意度等進行評估， 用戶需要查詢網(wǎng)站的商標或其他經第三方確認過的真實性，因此，電子商務系統(tǒng)審計是 對網(wǎng)站或電子商務企業(yè)提

2、供這類核查確認的服務。一、電子商務系統(tǒng)審計的必然性和必要性在商業(yè)活動實現(xiàn)網(wǎng)絡化之前，采購是面對面或通過紙質文件進行的，有跡可查，即 使是電子交易，其設備結構是專用的，一般只限于已知用戶使用，任何外部用戶必須是 已知的、身份明確的、可追蹤的；系統(tǒng)通常是主機結構方式，相對易于監(jiān)督、控制和審 計。與傳統(tǒng)商業(yè)相比，萬維網(wǎng)客戶 /服務器系統(tǒng)的特點是高度分散，資源共享、服務中企資料網(wǎng)一WWW.96108.CN中國最大的實用資料網(wǎng) 分散、顧客透明度高等，而電子商務的運作速度更快、業(yè)務循環(huán)周期更短、風險更大、 更高程度地依賴于技術。電子商務系統(tǒng)的技術基礎和市場的快速變化意味著傳統(tǒng)的衡量 方法已不再適用于企業(yè)的

3、某些資產，財務報告不能充分提供企業(yè)的狀況和價值方面的信 息，特別是網(wǎng)絡企業(yè)的無形資產，如商譽、客戶忠誠度和滿意程度等這些產生長期價值 的關鍵資產。核實確認這類資產價值的困難在于缺乏足夠的歷史數(shù)據(jù)、合適的參照標準、 先進的實踐經驗以及對網(wǎng)絡的各種威脅和概率的準確估算。企業(yè)管理層以及公眾都需要 尋找能夠用以表述網(wǎng)絡企業(yè)的可信度、安全性及其他資產價值的方法，需要一些新的核 查和審計方法，更有效地評價無形資產，如知識、品牌等。因此，電子商務系統(tǒng)審計就 成為歷史的必然。由于，電子商務的可靠性、適用性、安全性和性能等方面受到的威脅 或存在的風險，都可能會影響其生存和發(fā)展。風險因素包括：商業(yè)信息的泄露、智能

4、財 產的不當使用、對版權的侵犯、對商標的侵犯、網(wǎng)絡謠言和對信譽的損害等。因此，進 行必要和客觀的審計，才會使董事會、審計委員會、高級管理層對電子商務系統(tǒng)的安全 運作和效益滿意和放心。二、網(wǎng)絡風險和風險管理網(wǎng)絡風險如同自然災害一樣不可預見。風險管理的關鍵在于風險評估，風險評估就 是要分析和衡量風險事件發(fā)生的概率及后果，引起風險的因素及其關聯(lián)因素，出現(xiàn)風險 的關鍵點采取什么方法能夠減緩風險，風險出現(xiàn)造成后果如何，以及評價管理層是否履 行了應有的職業(yè)審慎進行防范和控制。同時在評估中還要為各項因素設計評價比率，計算各種風險的影響后果，根據(jù)影響和后果排序，對高風險因素作進一步的分析。通過風險評估，可以認

5、識到潛在風險（威脅）及其影響，以便對高風險領域作一些防范、檢測、控制、減緩和恢復的工作計劃和安排。這些計劃和安排應涵蓋對各項控制成本，主要是指接受、避免、轉移、監(jiān)測成本的分析以及各項工作的先后次序。三、電子商務系統(tǒng)審計中網(wǎng)站的合法性證明網(wǎng)絡終端用戶都會關注網(wǎng)站是否來自一個真實的、可靠的機構，提供的信息是否準確真實，機構背景是否正當合法，個人信息的隱私權是否得到保護等。所謂隱私權是指對個人的數(shù)據(jù)/ 信息的搜集必須合法、公平，必須用于某一特定、公開的目的，必須取得該個人的同意并受到保護，本人必須有權進入系統(tǒng)進行修改或刪除，信息的越域流動和將來的使用、披露必須予以安全保證和限制等。解決這些網(wǎng)站合法性

6、問題的途徑之一就是由一公證機構提供可靠的證明，以使網(wǎng)絡終端用戶能對網(wǎng)站提供的電子商務放心。 如 Verisign， TRUSTe， BBB Online ， Web Trust ，SysTurst等都是具有良好的信譽并且提供證明-查證服務的專業(yè)組織機構。網(wǎng)絡終端用戶可以通過查詢這些公證機構的記錄，獲得確認被訪問網(wǎng)站的名稱、有效狀態(tài)、服務器標識等信息。四、內部審計和電子商務系統(tǒng)審計美國注冊會計師協(xié)會對“核實查證”的定義是“提高決策者所需要信息的質量或內 容的獨立性專業(yè)服務?！逼鋵徲嬙瓌t是保證系統(tǒng)的可用性、安全性、真實完整性和持續(xù)性, 建議對系統(tǒng)安全性和真實完整性方面存在的控制點進行檢查、評價和測

7、試。并盡量在今 后采用合適的審計標準對信息技術進行審計。不同于以年度為基礎的傳統(tǒng)外部審計，電 子商務的實時性要求審計人員應對其進行連續(xù)不斷的評估，按特定的審核標準對已發(fā)生 的交易進行追蹤，而系統(tǒng)內設置的自動登錄記錄可作為相應的審計軌跡，在系統(tǒng)內部實 施對事件監(jiān)督和控制。盡管當前許多人認為核實查證通常與外部審計人員相關，內部審計人員則在公司內 部出具審計報告。然而，國際內部審計師協(xié)會對電子商務系統(tǒng)審計的要求則是：審計控 制目標主要是審計財務報告制度、經營的效益和效率、合規(guī)性和保護財產安全等方面。 審計模式應該建立在系統(tǒng)的可用性、容量、功能、保護和可靠性的基礎上。例如，內部 審計對網(wǎng)絡企業(yè)控制水平

8、的獨立評價，使得客戶了解到企業(yè)提供的數(shù)據(jù)將不會被有意或 無意地濫用。再如，企業(yè)目標是建立電子商務以降低成本、提高市場占有率，那么電子 商務風險是隨著網(wǎng)絡交易的增加而增加，以至于不能確保交易的安全性或分辨用戶的可 靠性，因此，所需要的控制就是對用戶的真實性進行確認以及對通訊信息進行加密。電子商務系統(tǒng)審計的成功與否在于審計人員是否掌握相關的技術知識，了解商業(yè)風 險及風險管理策略，是否有現(xiàn)成的策略隨時應付出現(xiàn)的風險。因此，作為一個成功內部 審計人員應了解企業(yè)的業(yè)務，以服務為宗旨并努力增值，積極提高專業(yè)技能，關注系統(tǒng) 的效率和效益，建立對電腦領域發(fā)展的職業(yè)敏感性。五、關注電子商務系統(tǒng)的審計風險審計前，管理層有責任告知審計人員有關公司政策、實踐操作、程序、控制方面的 重要改變，使審計人員能基于真實情況分析和計劃各項審核工作，分解審計項目的各組 成部分。審計過程中，審計人員應與管理層公開分享所有發(fā)現(xiàn)的問題，討論應采取的措 施。為了分析電子商務系統(tǒng)，審計人員要有經常進入系統(tǒng)的特權，并申明權限的使用是 為了審核工作，并承擔不當使用的責任。如果企業(yè)不愿提供必要的進入系統(tǒng)的權限，審 計人員應評估這種情況下