随着电子商务平台建设的日渐完善,电子商务经济逐步成为我国经济发展的重要组成部分,电子商务环境下的审计也越来越受到相关部门的重视。目前,我国对于新兴事物的审计制度建设还不完善,对于由此产生的风险及防范研究更是少之又少。因此,充分了解电子商务环境下的审计制度以及可能产生的风险因素,对于进一步加强电子商务经济规范建设具有重要的指导意义。
一、电子商务环境下的审计与审计风险特征
电子商务是随着现代网络技术不断完善而出现的产物,是结合电子支付方式、网络商贸、数据处理等技术的综合型新兴贸易方式,具有不同于传统贸易的无纸化性、多样性、隐蔽性、动态性等特点。因此,电子商务环境下的审计也因电子商务的特性而具有区别于传统审计的特性。
(一)电子商务环境下的审计特征
传统审计主要包括对被审计单位财务报表以及与此相关的一些会计凭证、交易往来合同等,电子商务环境下的审计除此之外,还包括因电子商务交易而产生的电子发票、回款单、支付凭证等。具体来说,主要包括:被审计单位获取相关会计信息以外的资料,如被审计单位的战略计划、内部控制制度以及同类单位的相关数据;被审计单位内部控制安全性相关的电子商务信息;注册会计师在进行审计时根据被审计单位提供的现有资料得出的其他相关信息。会计信息与其他相关信息共同构成电子商务环境下的审计资料,只有这些信息完整才能保证审计结果的准确性。
1、电子商务环境下的审计信息具有易破坏性。电子商务环境下所有相关的审计信息都转为电子信息,相关的取数、存储以及汇总加工等都通过计算机完成,一旦中间步骤有人工操作不当之处,就会导致整个数据信息有误且很难被发现。因此,注册会计师在提取相关数据信息时要对最终呈现的数据做合理性和完整性分析,减少因操作不当带来的信息错误。同时,因为电子数据缺乏原始纸质凭证做基础,电子数据被篡改比较容易,进一步加大了审计信息的易破坏性。
2、电子商务环境下的审计信息具有动态性。由于电子商务平台24小时在线服务,在这一实时过程中,电子商务信息处于动态传输中,为注册会计师提取审计信息提供了难度。注册会计师不能因为提取审计信息而认为静止电子商务信息的传输,这样很可能破坏原有的电子商务信息。而为了保证注册会计师提取的电子信息准确完整,职能通过电子商务在线实时数据访问实现,进一步加大审计的风险。
3、电子商务环境下的网络安全难以控制。电子商务环境下,作为交易平台的网络环境具有开放性和数据实时变化性,如何保证网络安全是保证审计基础数据准确性的基础。针对目前计算机病毒和黑客技术的日益更新,电子商务的网络安全正受到各方的威胁,因此,建立完善的网络安全控制系统是保证电子商务环境下审计信息准确性的重要基础,也是保证电子商务有序进行的重要保障。
(二)电子商务环境下的审计风险特征
电子商务环境下的审计风险,是指在电子商务环境下的财务报表存在重大错误而使注册会计师发表不恰当审计意见的可能性。审计风险具体来说,主要包括两大部分,即重大报错风险和检查风险。电子商务环境下的审计风险同样包括该两大部分,其中重大报错风险是指在电子商务环境下可能存在的与电子商务有关的财务报表错误,是在审计开始之前就存在的风险;而检查风险是指在发生电子商务有关的审计过程中,发现的与被审计单位有关的经济活动存在不合规问题,该报错可能与前期的重大报错风险有关,也有可能是单独存在的风险。
1、电子商务环境下的审计风险具有客观性。电子商务环境下的审计风险与传统模式下的审计风险,同样是一种不确定性的客观存在,该风险不以注册会计师的意志而转移,是每个被审计企业都存在的固有风险。该风险由企业内部控制的缺陷、电子商务本身具有的特性以及其他外部条件所决定。同时由于审计以抽样调查为主,样本的偏差可能导致整体审计推断结果有误差,进一步导致审计风险的客观存在。
2、电子商务环境下的审计风险具有普遍性。审计风险涉及审计工作的各个方面,发生在整个审计过程之中。在会计师事务所承接审计业务阶段,如果对被审计单位的状况不够了解,可能面临不良资产的风险;在审计业务前期准备过程中,如果没有充分了解被审计单位并制作符合被审计单位自身业务特点的审计方案,则可能导致最终出具的审计结论有失偏颇的风险;在审计业务实施阶段,如果没有准确收集被审计单位的电子信息,并进行甄别和判断,可能发生错误的审计判断,加大被审计单位的审计风险。3、电子商务环境下的审计风险具有部分可控性。虽然审计风险存在客观性和普遍性,但审计风险同样具有部分可控性。注册会计师在接手某个审计业务时,可以在充分了解被审计单位的相关信息基础上,执行全面完善的审计计划,准确甄别收集的审计信息,制定合理的审计程序,将认为可控部分的审计风险降到最低。
二、电子商务环境下审计风险的国内外研究动态
电子商务环境下的审计风险研究在国内外都属于探索阶段,相关理论体系尚未完善。国外的研究重点主要集中在电子商务环境下审计风险产生的原因,国内的研究重点相对来说全面一些,不仅分析了电子商务环境下审计风险产生的原因,而且针对不同的风险点提出了相应的防范措施。
(一)国内研究动态
刘强(2009)在《电子商务对财务报表审计的影响》中提出,电子商务环境下的财务报表审计将面临巨大的冲击,主要包括电子商务环境对于传统财务环境的挑战,因审计对象和范围的无限扩大而产生的界定问题,以及由此产生的一系列审计风险。对此,张倩在《我国电子商务环境下的审计风险防范》中指出,针对电子商务环境下风险的信息化与不确定性,应该及时把握电子商务的政策动态,正确区分传统经济下的审计风险与电子商务环境下的审计风险,有针对性地提出关于审计环境、审计对象、审计主体以及审计客体的风险防范措施。针对于电子商务环境下的审计风险,李俊杰(2010)在《电子商务审计探析》中做了详细的分析,他将电子商务环境下的审计风险分为电子商务固有的风险、传统环境下的审计风险以及电子商务环境下的综合审计风险,并通过对电子商务特有的国际化、信息化及无纸化等特点进行针对性的分析,提出防范风险应从把握网络安全审计以及完善电子数据分析等方面着手。
(二)国外研究动态
国外对于电子商务环境下的审计风险研究,主要集中在产生风险的原因上,包括对被审计单位的内部控制不合理、电子商务本身存在的无纸化、信息化、支付方式多样化等特征,以及传统审计模式无法适应电子商务交易模式的多边性。Harkness通过研究传统审计模式下电子商务的交易风险,总结出电子商务模式下的风险主要集中在审计线索的变化、审计技术的更新速度慢以及审点的多边性。
三、电子商务环境下的风险分析
(一)审计环境产生的风险
1、我国电子商务运营环境不规范。我国电子商务的发展随着互联网的不断推进而得到迅猛发展,各方数据表明,中国的电子商务规模已处于国际前列。但与电子商务相关的一些辅助业务却没能跟上。一方面,作为电子商务基础的物流系统还不能满足现有发展迅猛的电子商务市场,极大制约了电子商务业务的进一步扩张。现有的电子商务模式下,大部分实物都以物流系统为辅助,但目前的物流系统存在配送人员专业化程度低、管理体制不完善以及售后服务维权机制不健全等,导致物流系统建设缺乏竞争力。另一方面,电子商务的信息系统建设还无法满足日渐发展的电子商务市场。电子商务竞争中,各企业的竞争力主要集中在产品信息的收集、顾客需求信息的收集以及产品质量和配送效率上,而这些的基础都在于信息系统的建设。在这方面上,我国与世界发达国家的水平还存在差距。
2、相关法律法规和审计准则不完善。我国对于电子商务的立法最早于2004年出台了《中华人民共和国电子签名法》,首次对新兴贸易进行了法律规范,也对电子商务模式下的审计提供了法律基础。但我国在电子商务相关的法律建设上起步较晚,还存在诸多不足之处。一方面,我国出台了电子签名法,但有关电子商务完整的法律体系建设还未完善,导致电子商务在细节处理上没有一个统一的标准,造成企业在处理问题上的混乱。另一方面,我国现行的审计准则只适用于传统模式下的审计,对于新兴的电子商务审计尚未做明确规定,导致注册会计师在进行电子商务审计时无相关法律法规做参考,审计结论存在一定的偏差。
(二)审计对象产生的风险
1、企业内部控制不健全。传统模式下,企业的内部控制主要以手工为主,包括对工作人员的工作行为、业务处理是否得当以及经济业务规范等进行控制,而电子商务环境下的内部控制在此基础上还要对网络信息系统建设、计算机运行风险等多方面进行控制,这从专业性上提出了更高的要求,且具有一定的不可控性。此外,传统模式下的业务审批需要多层的人工审核,并按职责分工确保对每一层次的审批做到记录规范、准确,审计部门可以随时调取相关审批流程记录,而在电子商务模式下,内部审批的控制都以计算机程序自动设定而完成,缺乏人为的主观可调整性。同时,由于我国缺乏电子商务所需的专业人才,在电子商务管理上存在诸多漏洞,尤其对于电子商务购销业务中的发票开具与保管,导致账面混乱等现象时有发生。
2、从业人员专业素质有待提高。由于我国电子商务处于刚起步阶段,具有电子商务专业的人才较少,电子商务业务的从业人员素质参差不齐,且大部分属于兼职人员。因此,现有的电子商务从业人员无法适应对专业度要求越来越高的网络化电子商务需求。一方面,专业素质不足的电子商务从业人员无法对国际贸易中的产品进行准确认知,无法通过外语与外商进行准确的交流和贸易协商,也无法对日益更新的电子商务交易系统进行熟练操作,导致电子商务企业交易无法顺利进行。另一方面,传统的兼职型电子商务从业人员已经无法满足现有的国际化贸易需求,现有的电子商务要求从业人员必须具备对产品充分认知、营销、计算机等综合素质,目前我国的电子商务从业人员大部分缺乏电子商务以外的综合型知识。与此同时,我国电子电子商务企业在人才管理上存在对待不公的现象。出于企业业绩的考量,大部分企业重销售人员而轻技术维护人员等基础保障人员,导致相关人才流失。此外,因为缺乏对信息系统建设的重视,导致信息泄露事件时有发生,这是企业在信息安全建设上的疏忽,也是人才建设上的不完善。
3、电子支付、电子签名审计难度大。电子商务环境下的合同签订以及货款支付等都通过网络平台实现,扩展了传统模式下的结算方式,因此,与之相关的审计范围也相应扩展。在新型业务模式下,注册会计师需要对被审计单位网上签订的合同、网上的支付阶段等进行完整、准确地审查,并结合被审计单位提供的相关财务纸质凭证进行分析,推断其中可能存在的不合理问题。而电子商务环境下的业务活动形式多样、结算方式复杂、支付方式隐蔽、电子签名确定难度大等,这一系列问题不仅增大了注册会计师的审核难度,同时也加大了企业的审计风险。
(三)由审计人员产生的审计风险
1、审计人员专业水平不够。电子商务环境下的审计要求审计人员具备会计、审计、电子商务以及网络等多方面的综合能力,而就目前我国审计人员具备的专业水平来说,还停留在传统模式下的审计水平,与现有的高科技业务环境衔接不上。同时,审计队伍中的人员老龄化也是突出问题。这就导致这些具备扎实财务审计专业知识的人员缺乏对计算机方面知识的了解,存在审计能力不足的问题。此外,现有的审计人员选拔上,单纯以财务、审计等传统模式下的知识考察为主,缺少电子商务、计算机等综合方面的考量,导致审计人员在进行审计时不熟悉电子商务业务的处理过程和会计处理方法,更缺乏对电子商务审计风险的判断能力。
2、缺乏特有的电子商务审计软件。目前,针对电子商务模式下的审计软件还很少,大部分都是与传统贸易模式通用的审计软件,但对于电子商务模式下大规模的数据处理还缺乏运行能力。主要原因在于目前市场上流通的财务软件都以传统通用型财务软件为主,在传统软件下很难导入电子商务模式的审计软件,软件之间的不兼容性导致特有的审计软件无法推广。同时,会计师事务所不可能因为传统审计软件的运行能力不足,而单独开发特有的财务软件和配套审计软件,这巨大的开发成本与审计业务收入不相匹配。另外,在注册会计师进行审计时需要被审计单位提供专门用于审计取数的系统接口,但就目前我国的执行情况来说,只有部门企业完全执行这个规定,致使审计部门调取电子商务数据困难,加大审计风险。
四、电子商务环境下的审计风险防范对策建议
针对目前电子商务环境下存在的审计风险,应有针对性的从几方面进行着手防范。
(一)完善我国电子商务审计环境
1、规范我国电子商务经营环境。针对目前我国电子商务存在的物流体系不完善问题,我国应着手从完善物流基础设施建设、加强物流专业人才的培养以及提供物流相关的财政优惠政策等进行扶持。同时,我国可以参考国外的先进物流建设经验,建立第三方物流专业机构,将物流从电子商务运营中独立出来。通过建立第三方物流专业机构,一方面可以增强物流的综合服务能力,提高货物运送的效率,另一方面,独立的物流第三方建设可以形成完善的物流网络,提供更专业、便捷的服务,降低运送成本等。因此,完善第三方物流系统建设是规范我国电子商务经营环境的重要举措,也是促进电子商务稳步发展、降低电子商务环境下审计风险的基本保障。
2、完善电子商务相关法规。完善电子商务相关法规可以从法律层面规范电子商务的经营市场,从保护消费者权益、保护个人隐私、保障网络交易支付安全等角度进行规范。同时,对于电子商务的经营管理上,政府应以市场自我调节为主,不应过度干预。在电子商务审计方面,我国注册会计师协会虽然已经出台了1633号审计准则,该准则从电子商务对财务报表审计的影响方面进行了大致规定,但在审计具体程序中的相关数据提取细节、判定标准等方面并未作详细的规定。因此,有必要从适应现代电子商务运营要求方面,完善电子商务环境下的审计准则,减少不确定性。
(二)防范电子商务审计对象的风险
1、完善电子商务企业内部控制制度。内部控制作为规范企业经营的重要制度,能让电子商务企业强化风险意识,重视对企业数据完整性、准确性的控制,提高企业所有层面对于电子商务内部控制的重视程度,强化从业人员的风险意识。因此,加强电子商务企业的内部控制教育和培训非常重要。首先,企业要从实际出发,制定适合本企业的内部控制制度;其次,在内部控制的实践中,要加强对政策的执行掌控,可以通过设立专门的内部控制监督部门,制定各部门具体的考核计划等进行电子商务业务的全过程控制;最后,在执行结果的考量上,可以采取适当的惩罚和激励机制,提高全员对于自觉践行内部控制的积极性。此外,对于电子商务企业数据和程序的安全性控制上,相关行政管理部门可以通过制定完善的准则予以规范,从法律法规角度进行强制执行。
2、提高电子商务企业从业人员专业能力。面对竞争日益激烈的电子商务贸易,必须从加强本企业从业人员的专业能力入手,提高整个企业的综合竞争力。首先,企业要重视对具备管理能力和电子商务从业能力人才的重视和培养,利用提升薪资福利、加强企业凝聚力等方面留住人才;其次,在企业的日常运营中,要注重对员工的培训,包括最新的经济政策和市场消费动态,通过不断对员工充电来提升专业能力;最后,在企业中更要实行优胜劣汰的竞争机制,提升员工自我学习和竞争的能力。
3、加强对电子商务环境下新内容的审计。针对目前电子商务审计中存在的电子签名、网络支付审核等问题,从事审计工作的注册会计师在日常应加强对这些方面知识的关注,提高自我对电子商务运行的认知和对电子商务取数的能力。同时,提升电子商务环境下的网络安全控制问题也是一个待解决内容,企业可以通过购买防护能力更强的防火墙技术和加密技术,提高本企业的数据安全,从而降低企业整体的经营风险和审计风险。
(三)防范电子商务审计人员的风险
一、电子商务环境下审计要素变化
首先,审计环境发生了改变。审计流程环境发生改变,电子商务交易减少了交易的中间环节,电商企业通过网络进行支付、签订交易协议等,会计账务处理在网络上得以实现,所以,审计流程也会发生变化。审计法律环境发生改变,对电子商务法律法规尚不完善,审计工作也面临无法可依的局面。审计技术环境也发生了改变,传统的审计是注册会计师亲自收集审计证据来审计,而对于电子商务审计来说,更加依靠于网络、计算机先进技术、大数据等,这些技术给审计带来了挑战。其次,审计目标也发生了改变。传统审计目标是查错纠弊,通过审查分析企业的会计报表信息的真实性、可靠性、合法性。而基于电子商务环境下的审计还需对电子支付、电子证据、信息的及时性、网络系统的合法性和安全性等进行审计,审计目标比传统审计更加广泛和深入。再次,审计方法发生了改变,因为审计环境发生了改变,所以传统的会计账目的审计方法已满足不了电子商务的审计的需求,电子商务审计需要依靠一些网络审计软件、网络审计技术,通过大数据库管理系统、企业会计软件系统和企业操作系统来获取有关审计证据。最后,审计对象发生了变化,传统的审计是对会计账目进行审计,而电子商务的审计对象网上交易的电子数据以及对电子商务交易的安全性、客户服务功能等进行审计。
二、电子商务环境下审计风险特征
(一)审计的固有风险
增加电子商务交易更多的依靠于计算机网络储存数据,一方面,企业的计算机易于受到病毒侵袭、操作失误、电源故障等问题会使得电子数据与实际交易不符,另一方面,系统的管理者掌握着整个系统的运行,若系统管理者篡改电子信息,很难留下痕迹,这为审计调查工作增加了难度,增加了电子商务审计的固有风险。
(二)审计的控制风险
难以确定电子商务环境下,企业的交易信息、财务信息均存储于企业的信息系统中,若系统管理者则不会留下痕迹,这会加大企业的控制风险;由于电子商务交易的会计流程变得简单,企业风险更加依赖于企业的内部控制系统,若内控系统欠缺,则会加大审计控制风险。
(三)企业的检查风险
不断扩大一方面,在国家政策支持下,也随着信息技术不断发展,电子商务企业的业务量急剧上升,因此注册会计师的门槛也不断降低,导致注册会计师缺乏足够的专业技能,又因为电子商务审计需要的专业技能更加严苛,企业的检查风险也不断增加。另一方面,对电子商务交易进行测试时,需要历史数据进行支持,由于电子系统软件不断更新,平台不断迁移,可能会造成企业电子商务交易历史数据丢失。企业面临着更多的检查风险。
三、电子商务环境下审计风险成因分析
(一)电子商务交易的法律法规以及审计准则不完善
电子商务交易活动,有很多环节构成,每一个环节都需要有完善合理的法律法规作保障,而我国缺少电子商务基础性法律。一方面,尚未构建完善的电子商务法律体系。另一方面,对于注册会计师对电子商务交易审计标准以及程序没有明确的审计准则的规定,导致注册会计师在电子商务审计过程中使用的审计方法和程序不一致,很可能会带来审计风险。
(二)网络安全监管缺失
人与人的高度信任是电子商务运行的基础,但是对于我国发展阶段来说,企业的信用水平较低,难以确保个主体之间交易正常稳定运行,可能会造成欺诈、信息造假等电子商务风险,而我国对于网络安全监管方面有重大缺口,难以保障电子商务的安全性,注册会计师若无法获得真实可靠合法的审计证据,会加大审计风险。
(三)内部控制薄弱
传统会计环境中,通过职责划分和分工使不相容职务相分离,来实现内部牵制,而在电子商务环境下,很多内控关键功能通过计算机自动运行来实现,这就使得传统记账、审核、复核岗位费力相互制衡效力被削弱,基于电子商务的内部控制存在很多漏洞,导致内部控制薄弱,从而加大了审计风险。
(四)注册会计师专业胜任能力不足
由于电子商务审计对传统审计来说所需要的专业能力更为严苛,要求注册会计师具备电脑知识、技术知识以及会计系统知识等丰富的综合能力,而现在注册会计师对这方面的知识技能有所欠缺,对加大审计风险。
四、电子商务环境下审计风险的防范与应对
(一)建立健全相关法律法规及审计准则
电子商务法律法规能够对电子商务活动起到规范作用,加快对网络交易、电子转账、安全认证等方面的研究,为我国电子商务交易不断发展提供法律支持。同时,进一步规范注册会计师工作行为和流程,减低审计发生的风险。通过借鉴国外审计准则先关内容,使我国审计准则日趋完善,为注册会计师评估和应对电子商务环境下的审计风险提供有力保障。
(二)强化企业内部控制控制,防范电子商务安全问题
对于电子商务环境下,内部控制体系的作用和地位更加突出。保证会计真实可靠完整性,需要定期对企业的软件系统进行检查,科学设置使用权限。企业系统软件必须要有两个以上的管理者进行监管;对于电子商务一些关键流程要不断加强控制;企业中要特别注意系统软件的不相容职务的分离,加强对操作人员的培训。
(三)完善社会信用体系,维护网络安全
电子商务信用风险的问题一方面受到于社会整体的发展阶段的制约,一方面依赖于政府以及整个社会对于信用建设的重视,政府可以建立信用评估体系,对不良信用予以记录,建立信用数据库,完善社会的信用体系。
(四)加大对审计人员的教育和培训
加大对注册会计师电子商务知识的教育,从专业教育、考试选拔、后续教育等方面入手,提高审计人员的综合能力。在专业教育中加入电子商务学习课程,保证即将步入审计行业的潜在审计人员的相关知识的积累。在CPA考试选拔过程中,将互联网技术、电子商务、会计信息系统等加入考试内容,从而激发审计人员学习动力。在后续教育中加强对信息系统、电子商务领域的专业知识培训。
五、结束语
电子商务环境下的审计系统将在不断创新的基础上,逐渐规范化、成熟化、常态化。注册会计师通过增强对电子商务知识、信息技术知识的了解,将审计风险降低至可接受的低水平,保证审计质量。为电子商务提供一个规范化的信息质量环境,为从而促进我国电子商务交易不断发展。
参考文献
[1]吕金格.电子商务环境下的审计风险研究[J].财会学习,2016,12:134-135.
[2]王昀.电子商务环境下企业风险研究[J].财经界(学术版),2016,08:104.
一、电子商务审计的基本概念
世界上对电子商务的研究始于20世纪70年代末。电子商务的实施可以分为两步,其中EDI商务始于20世纪80年代中期,Internet商务始于20世纪90年代初期。我国的电子商务及其研究起步更晚些,但进展还是比较快的。电子商务主要指的是利用计算机网络技术来实现商务的网络化、全球化和无纸化等。电子商务审计就是对Internet网上进行的各项经济活动及其信息系统的安全性所进行的评价与监督,它具有三个基本特点。
(一)充分运用计算机网络技术
由于电子商务是在网络化的环境下开展的,所以交易数据呈现无纸化和电子化特点,审计工作人员想要开展审计业务,必须充分利用好计算机网络技术。
(二)对无纸化的数据库审计
越来越多的企业在无纸化环境下通过计算机自动化处理相关数据,审计工作人员必须开发一套审计专用的软件来适应审计工作的基本需要。
(三)内部控制制度的地位逐渐突出
在电子商务环境下,审计师在公司内部制度的运转和评价中起着重要的建议作用,审计师能够对内部控制状况提出全面性的评价。
二、电子商务环境下的审计风险
在电子商务环境下,传统企业纷纷开展电子商务经营。电子商务企业可以没有办公、仓房等物理实体,只要能够在网络上注册公司,找到相应的货源,得到特定机构认证后,然后接收网上订单就可进行交易,这种交易方式无疑给电子商务审计带来许多风险。
首先,不健全的相关市场商务法律、不稳定的外部环境逐渐凸显出企业外部的经营风险,逐渐减弱了原有的内控制度效果,增大了电子商务审计的风险。
其次,由于电子商务是基于网络的商业模式,具有开放性、共享性等特点,再加上审计目标被重新定位,一旦网络系统出现故障或者被入侵,势必会暴露出公司的资金和资源掌握情况,财务风险大大增加。
最后,经营的虚拟化、无纸化、支付手段现代化等特点导致电子数据审计风险增大。在电子商务环境下,经营的虚拟化、无纸化、支付手段现代化等特点导致电子数据审计风险增大。相比起传统的商务模式,电子商务模式的企业内部控制行为发生很大变化。部分传统的会计岗位职责已经在悄悄地发生相关变化,导致内部控制范围大大扩展,此种技术性风险使得审计风险被加大。一是从商务交易的无纸化角度来看,相比起传统具有痕迹的商务交易,电子商务环境下的财务数据签字时的确认手段不再出现,因此加大了非法行为入侵网络的风险,最终导致电子商务审计人员因难以发现其中纰漏,产生巨大风险。二是从存储介质角度分析,电子商务环境下,审计完全是以光盘和磁带等为存储介质的电子数据,电子数据又具有不易长期保存的特点,继而增加了数据丢失的可能性以及审计难度的加大。三是从支付手段现代化的角度来看,日益现代化和多样化的审计工作很难对货币资金的收付业务进行控制。电子商务环境下,交易主要是通过电子现金、电子信用卡和电子支票等进行支付。电子货币进行的数据交易往来使得审计工作人员无法判断交易和货币的收付行为是否真实存在,因此加大了电子商务审计的风险。四是从经营的虚拟化角度来看,此种经营模式使得交易商之间的依赖性增强,因此给电子商务审计工作带来不可控的风险。电子商务环境下,诸多交易商的数据通讯在高度集成的网络系统中进行交易,使得交易商内部电子商务系统的问题出现连锁反应,影响到了其他系统的正常运行,最终加大了审计风险。
三、电子商务审计面临的挑战
(一)对电子商务审计工作人员提出更高的要求
传统审计工作中 ,账表核对和账证核对非常重要,需要具有丰富实践经验的审计人员来进行。但是,在电子商务审计工作过程中,要想进行审计工作, 首先,审计人员需要充分掌握好会计信息系统的工作方式;其次,掌握好W络的实时运用情况,如掌握计算机会计系统的关键部分;最后,将计算机网络技术运用到日常审计工作中去,对大量且较为复杂的网络会计系统进行相应审计行为。
(二)电子商务审计的法律证据不够充分
即使电子商务的发展已经有很长一段时间,但是在法律法规方面仍然存在诸多不足之处。相关研究结果显示,有30.22%左右的国家尚未出台成文的法律法规,在国际上尚没有权威性的惯例或者公约。国际商会( International Chamber of Commerce)曾提出过《国际数字保证商务通则》,希望能够使得电子商务的发展趋于标准化和规范化,但是此种文件是建议性的,不具有法律效应。电子商务审计中涉及的法律问题主要有以下几个方面:(1)从交易安全角度来看,需要迫切解决的主要问题是制定相关的电子商务法律,对于信息数据用户的保护更为重要,保证用户的自和个人隐私权,以期解决好电子商务中发生的各种纠纷,预防诈骗行为,保证消费者的合法权益不受到迫害。(2)从电子支付角度来看 ,需要制定相应的法律,电子支付的当事人与银行之间的法律关系明确,电子制度采取实名制,确保电子签名的合法性;对于电子数据的伪造和更改等提出针对性的解决办法。(3)电子商务法律应该根据现有的法律法规不断进行完善和补充。
(三)电子商务审计的发展不适应电子商务的发展速度
在利益的驱使下,电子商务的发展蒸蒸日上,电子商务人才也层出不穷,此类人才推动了电子商务的快速发展和进步;但是,从电子商务审计发展现状来看,电子商务审计人才却是屈指可数。出现上述情况的主要原因:一是电子商务审计的投入与产出不成正比,审计人员需要很大的投入,但不能获得与此相对应的收入,导致积极性不高;二是电子商务业务变化非常快,在各项会计业务发生相关变化时,电子商务审计流程、审计方法不能及时改变,导致电子商务审计不适应电子商务的发展,长此以往,势必影响电子商务的审计质量。
四、应对电子商务审计挑战的对策
(一)不断完善电子商务审计法律法规
电子商务的立法应立足于我国的基本国情,同时借鉴其他国家的相关立法,逐渐使得我国的电子商务审计法律法规能够不断完善,最终保证电子商务审计工作能够有法可依。制定出适合我国电子商务的规范化文件,主要包括:(1)计算机审计的法律准入规定。比如数字管理机构认证规定。(2)计算机审计准则。(3)各种类型的审计数据库规范要求。比如制定电子合同存档和保管规定、电子信息质量标准规定,保证数据的安全性与高效性。(4)输出数据的标准格式规定等。
(二)不断提高电子商务审计人员的综合素质
要想发展好电子商务审计工作,必须要培养高素质的审计人才。基于此,应该加大培训电子商务审计人才的力度。丰富其计算机网络知识,完善其基础知识结构,提高其职业素养,培养好复合型的审计人才,不断满足审计业务范围扩展的相关需求,为电子商务的审计工作开展提供保障。
(三)加快审计的电子化进程
随着电子商务的不断发展,必须处理好电子商务主体和电子商务客体之间的关系,从而能够使得电子商务逐渐往电子化发展。与此同时,建设好电子商务审计系统,要体现电子商务审计进程的先进性和实用性。在电子商务审计工作开展之前,要对电子商务客体的控制系统和网络系统进行全面审查。审查电子商务系统及电子商务控制功能是电子商务审计的重要内容。传统商务审计没有对交易事项的相关处理进行核实,因此,利用好计算机网络技术能够对被审计单位的会计信息系统的一般控制进行有效审查,通过网络对其财务数据进行审核能够完成大部分审计工作,以保证电子商务各项交易的数据能够既合法又安全。由于传统审计工作没有体现出安全性和合法性,故而审计信息的开发需要遵循全面性、审计性及完整性三个方面的原则。
(四)采取有针对性的措施降低审计风险
审计工作员必须充分了解被审计单位的控制系统结构,全面观察被审计单位的机构设置是否合理合法,是否能够适应电子商务发展模式。软件开发工作人员需要不断开发配套的审计软件,通过被审计单位的会计软件中执行特定程序的功能,实现远程监控审计,降低审计风险。
参考文献:
[1]傅元略.网络化环境下的子商务审计[J].江西财经大学学报,2002,(03).
随着计算机技术的发展,电子商务也由于低成本、高收益得到了企业的青睐。一个企业要想发展,同时也要重视电子商务的发展,对于企业而言,拥有电子商务就意味着提升了企业的竞争能力。不过,电子商务在发展的过程中并非一路通畅,它同时存在着风险,因此,作为企业来说,首先要对电子商务进行深入研究,并且深入了解电子商务存在的风险,加强对电子商务的管理,只有这样,当电子商务出现风险问题时,才能及时采取措施进行处理。
一、企业电子商务存在的风险问题
1.诚信出现危机
随着科技的发展,电子商务给人类带来了很大的便利,但是同时也给骗子有了行骗的空隙。在现实生活中,很多网友被骗子骗过,骗子使出各种各样的伎俩进行行骗,使顾客一不小心就上当受骗。
2.难以控制管理
电子商务在运作的过程中,与传统的商业运作模式还是有所区别的,相比传统模式,电子商务更有效率,也更具先进性。电子商务由于不是沿着传统的商业运作模式进行运作,而有些企业对其规则又不了解,因此,对电子商务无法进行很好的把握。对于有些企业的经营管理者来说,对电子商务的订单交易甚至不够了解,电子商务需要进行保密的相关问题也不了解,因此,使得企业管理控制风险越来越大。
3.资金安全问题
电子商务要进行顺利运作,完备的安全认证措施起到了很大的作用,缺乏安全认证措施,可能使电子商务的运行出现风险。遗憾的是,对于我们来说,网上安全认证的系统还处于落后的局面,也缺乏完善的制度和相关措施,使得企业的电子商务无法跟上企业的发展步伐,甚至阻碍企业的向前发展。
二、企业电子商务风险管理
1.对风险进行评估、识别
对于企业来说,大部分企业都有自己的网站,有的网站规模宏大,而有的网站规模较小。无论是大的规模还是小的规模,当网站在进行网络营销时,它的功能其实是差不多的,比如对自身品牌形象的介绍、对产品或者企业服务的展示,相关信息,对顾客进行相关服务,以及进行资源合作、网上销售等等。
2.对目标进行设定
所谓的风险管理,实际上也是对风险成本进行相应降低,使风险和收益之间能够出现平衡等。除此之外,风险管理的目标要和组织的一般的目标能够相互协调。
3.先实施方案,然后对系统进行监督
实施方案,属于整个程序的最后一个步骤,而方案的实施,并非代表风险任务已经完成。因此,在对方案进行实施的过程中,首先要对项目进行持续的监督,以进一步对正确方案的实施,同时,在实施的过程中,由于会出现新的问题,因此,要对方案进行相应的调整。
三、企业电子商务风险控制相应的措施
1.采用技术防范
企业要进行电子商务的运作,首先涉及到信息、资金、货物、商业秘密等各个方面的安全问题,哪怕某一方面出现问题,都可以使企业遭受损失。而要避免这些安全问题的发生,首先技术上要过硬,因此,作为企业首先要站在用户的立场进行思考问题,采用专业的网站结构进行设计相关的电子商务,采用高质量的内容来获得用户的市场,并且,可以通过搜索引擎,使高质量的网站能够得到适当的回报。
2.加快硬件设施的建设
网络通信设备、计算机系统、服务器、通信线路等一些相关设备,当在电磁泄露或者静电的情况下,会使数据造成损失,使机密的信息遭受泄露。
3.进行安全审计监督
随着电子商务的蓬勃发展,人们对企业电子商务的关注,转移到了企业的诚信、交易的安全性以及企业未来的发展状况等等,此时,大家都对审计工作寄予了很高的期望,同时对其也产生很强的依赖性。在这样的情况下,安全审计应运而生,安全审计不仅要对网络经济、网络系统进行相关审计,同时,还能够通过网络进行跨时空、多单位的审计作业。只有对安全事件进行不断地收集、整理,然后对其进行细致分析,有针对性、有选择性地对审计对象进行审计跟踪,才能使系统的安全得到保证。
四、结束语
总而言之,企业在运用电子商务时,一定要对电子商务存在的风险有个深入了解,并能寻找风险管理的对策,使电子商务的运行有个安全的运行环境,最终促进企业电子商务的进一步发展。
参考文献:
[1]陈联刚,甄小虎.电子商务安全与实训[M].经济科学出版社,2012(08).
一、绪论
随着信息技术的快速发展,企业的营销方式与理念都发生了很大的转变,电子商务也得到越来越多的关注与重视。而在电子商务环境下,企业的传统审计工作由此迎来了很多问题与挑战,这就促使企业审计工作不断进行创新与改进,从而适应新时代电子商务的发展潮流,在此基础上就催生出了网络审计。网络审计就是将企业的经济财务数据都集中起来输入计算机中,并利用信息技术手段进行审计处理,从而为企业管理层在作出决策时提供参考借鉴。网络审计的发展在为企业带来便捷、提高审计效率的同时,也有着自身的缺陷,作为一个新生事物,网络审计必然存在着很多有待解决的问题。[1]
二、电子商务对于传统审计工作的影响
电子商务在我国出现的时间较晚,但是发展态势却很迅猛,并在网络信息技术快速发展的带动之下,呈现出良好的发展状况,前景广阔。与此同时,由于电子商务有着虚拟性、多变性等特点,因此对于企业的审计工作提出了更高的要求。在电子商务环境下,传统审计工作发展面临着一系列挑战,主要包括环境、对象、工作方式以及风险等方面。实践中,会计从业人员负责对原始交易凭证进行分类整理,并且得到记账凭证,在季末以及年末编制会计报表,而整个过程都是由会计从业人员手工完成,所有的凭证、账务等都是用纸质来进行的。
在电子商务环境下,企业的贸易业务形式有了很大改变,企业会将更多的产品、详细价格以及商品信息等放在网络上供顾客浏览选购,利用网络进行交易付款,这一虚拟化的贸易形式使得企业审计环境发生转变,而且审计目标也变得更加复杂多样,已不再是单纯的信息真伪审计了,在审计对象方面,也从之前具体的经济收入转变为抽象的数字化业务。电子商务的发展不但使得审计内容有所增加,增添了系统处理方面的审计内容,同时审计风险较传统审计工作相比也大为提高。信息传递工具由磁介质取代纸质,无须再经有关部门签字盖章,从而也就难以保证信息的真实性,磁介质数据更加容易被复制拷贝,因此信息安全监管的难度日趋加大。此外,审计方式也有了很大转变,信息数据的收集形式、加工处理以及传输储存等都不同于以往的审计形式。[2]电子商务的发展促使传统审计工作必须要进行改进创新,将网络信息技术与审计工作结合起来,实现新型企业的网络审计发展已成为必然趋势。
三、电子商务环境下网络审计工作的主要风险
在电子商务蓬勃发展的同时,我国企业审计工作越来越趋向于网络化,而目前在电子商务大背景下,我国的网络审计工作却面临着一些风险,主要有[3]:
(1)网络审计理论欠缺。由于我国的网络审计出现时间较晚,发展很不成熟,在理论研究方面有着很多缺陷,因此缺乏完善的理论知识作为支撑。此外,市场上各种审计系统软件不断涌现出来,在实践方面发展迅速,因此就显得理论研究工作的更为不足。
(2)相关的法律法规与审计准则不够完善合理。尽管我国的电子商务发展势头很猛,但是相关网络审计的法律法规却很少,具体的审计准则也较为落后,导致网络审计工作与法律法规、准则制定严重失衡。很多网络审计方面的法律法规都严重不足,如关于网络知识产权保护、电子交易、电子签名等,造成电子合同法律效力大打折扣,争议频现。而电子商务交易过程中一旦出现纠纷,势必会影响到审计从业人员独立、客观地进行审计工作。因此,亟须出台新的法律准则,并对原有的法律法规进行完善与改进。
(3)网络审计技术不够完善。在网络审计工作中,网络的安全与否会在很大程度上影响到审计风险程度,因此加强网络安全管理,实时进行网络监督与维护是非常有必要的。由于我国真正具备高水平的审计人员数量有限,加上网络自身又极易遭遇到黑客攻击,因此在计算机网络方面所显现出的安全问题也越来越突出。
(4)网络审计出现新的审计风险。由于网络审计也是新型事物,因此必然会带来很多新的审计风险,主要有信息失真所产生的风险、数据资料篡改所出现的风险、审计内容复杂难懂所引发的风险、审计软件机制所导致的风险以及内部审计人员的道德风险等。此外,我国既懂审计知识又懂网络技术的复合型审计人才比较且缺,从而导致审计风险不断出现。
四、电子商务环境下网络审计风险的控制对策
(1)强化理论研究工作。任何一项新事物的出现,必须要有先进的理论知识体系作为指导,而网络审计理论体系的发展不但有助于完善我国的审计工作,也有助于网络审计工作健康有序发展。所以,必须要建立完善而合理的审计理论体系,全面重视相关理论研究。
(2)不断完善网络审计准则。在网络审计中,审计准则起着规范作用,也是企业审计工作所必须要遵循的具有权威性的规则,所以要加快电子商务环境下网络审计准则的制定步伐,不断完善已有的审计法律法规。对于网络审计进行立法处理也是正常开展网络审计工作的根本保障,建立起网络审计准则有助于企业审计工作有据可依。对于现在已经出台的审计方面的法律法规要进行遵从,而对于其与电子商务环境下的审计工作不相适应的地方则要加以修改并完善。
(3)加快网络审计技术开发工作。为避免网络所导致的审计工作风险,必须加强网络审计技术研发工作,提高网络审计软件、接口方面的安全性。强化网络监督与管理工作,不断推进审计数据信息接口的标准化工作。[4]
(4)大力培养网络审计复合型人才。面对我国当前网络审计人才欠缺的发展现状,要在高校以及科研院所培养一大批既具有审计知识,又具备娴熟的网络技术的新型复合型人才,提高其职业素养。此外,还需要定时组织审计工作人员进行培训学习,提高审计风险意识,掌握新的审计方式,树立起良好的审计工作观念,具有创新意识,转变审计思维模式,用新观念、新方法、新技术来推动我国的网络审计工作发展,实现学研相结合、教研相结合,为企业的电子商务网络审计工作提供保障。
五、结论
在电子商务环境下,分析网络审计风险并提出控制措施,对于提高我国企业审计水平、促进市场经济发展意义非常重大。但是由于电子商务业务种类繁多,程序较为复杂,因此网络审计风险分析及控制也是一项非常复杂的工作。而且电子商务在我国出现的时间较晚,在这方面的专业审计人员比较欠缺,也就制约了我国网络审计水平的提高。因此,在未来的审计工作中,要提高我国网络审计风险相关理论研究,加强风险控制工作,从电子商务环境出发,综合分析审计风险,得出行之有效的控制措施,最终促使我国的电子商务审计工作不断趋于完善。
(作者单位为中国移动上海公司青浦分公司)
参考文献
[1] 曹计.我国电子商务审计风险的防范[D].江西财经大学,2009.
随着信息技术的快速发展,电子商务在全球获得了广阔的发展空间。作为一种崭新交易方式的电子商务对企业的生产经营活动产生了深远的影响。广泛使用互联网从事电子商务,产生了新的风险因素,需要被审计单位有效应对,,注册会计师应当考虑电子商务在被审计单位业务活动中的重要性,以及对重大错报风险评估的影响,并在此基础上采取恰当的应对措施。
一、电子商务对财务报表审计的冲击
1.财务报表审计环境的变化
在电子商务交易条件下,财务报表审计环境发生了巨大的变化,主要表现在:(1)网络环境下的无纸化交易丧失了传统的审计轨迹,交易的授权、完整性及真实性不如在传统条件下那么明显而难以查证。(2)在电子商务环境下,需要对信息建立数据安全与控制措施。未经授权的访问、舞弊或者病毒攻击均对被审计单位的经营风险和财务报表审计工作产生重大影响。(3)为了获取和评价以电子数据形式存在的电子商务证据,传统的审计程序和数据提取技术将无能为力。(4)在电子商务环境中,被审计单位广泛使用服务机构(包括互联网服务提供商、应用服务提供商和数据服务公司等)的服务,产生了新的分离审计问题。
2.财务报表审计范围和审计对象的拓展
电子商务条件下财务报表审计涉及整个商业行为,并且这种商业行为是运转在网络上的,其中一部分还是虚拟的和真空的,特别是在电子商务系统高度自动化、审计证据可能仅以电子形式存在条件下,审计证据的充分性和适当性通常取决于自动化信息系统相关控制的有效性,注册会计师应当考虑仅通过实施实质性程序不能获取充分、适当审计证据的可能性。如果认为仅通过实施实质性程序不能获取充分、适当的审计证据,注册会计师应当考虑依赖的相关控制的有效性。因此,财务报表审计的范围拓展到对整个电子商务系统交易过程及控制的测试。审计对象也要在财务报表及相关财务资料的基础上,扩展到被审计单位资信、内部控制、交易全过程等对财务报表产生影响的诸多事项。
3.审计风险加大
电子商务采用的是网络化信息系统,它一方面面临着系统自身故障风险,存在着对会计数据非法访问、篡改、泄密和破坏的可能:另一方面还面临着计算机病毒破坏和黑客非法入侵窃取财务数据的风险,识别、研究、审查和评价所搜集的审计证据有一定困难,这增加了财务报表审计中重大错报的风险。财务报表相关信息的无纸化,使电子合同、函件、订单的真实合法性难以得到保证。交易双方的真实身份难以确定,数据签名的真实性难以验证,容易使交易产生欺诈行为,也将导致重大错报风险的增加,最终将对注册会计师可控的检查风险降低提出更高的要求,审计工作难度明显加大。
二、电子商务条件下财务报表审计的总体要求
1.财务报表审计目的的不变性
新颁布的《中国注册会计师审计准则第1101号——财务报表审计的目标和一般原则》规定,财务报表审计的目的是注册会计师通过执行审计工作对财务报表的合法性和公允性发表审计意见,注册会计师执行的审计工作能够对财务报表整体不存在重大错报获取合理保证。注册会计师的审计意见旨在提高财务报表的可信赖程度。无论是传统交易方式还是电子商务交易方式。财务报表审计的目的是不变的。特别需要强调的是:电子商务条件下财务报表审计需要对电子商务进行考虑的目的是对财务报表发表恰当的审计意见,而非对电子商务系统或活动本身提出鉴证结论或咨询意见;注册会计师的审计意见也不应被视为是对被审计单位电子商务交易安全的一种保证。
2.控制测试更重要
电子商务环境下审计轨迹的瞬时性特征、无纸化环境及缺乏人员的干预导致风险的增加,使控制保证成为电子商务环境下最重要的测试环节。审计人员面对无纸化的审计轨迹及系统输出的财务报告,为了对财务报告的公允性发表审计意见。必须着重收集足够的审计证据,特别要通过大量的控制测试对控制环境进行经常性监控,以确保电子商务财务报告的可信性。过去,审计人员一般针对一个时点的财务数据进行大量的实质性测试;而在电子商务条件下,则需要在评价被审计单位持续经营的基础上,实施大量的有效的内部控制测试措施,且审计人员必须能够对控制风险进行合理的评价。
3.主要依赖计算机审计程序
在电子商务环境下,大量的证据存储在肉眼看不见的磁性介质上或在网络传播过程中,对这些证据,审计人员主要依赖计算机技术进行获取和审查。目前,主要的电子商务审计技术是ITF。ITF是建立在一个活动数据文档基础上的程序。审计人员可以利用ITF对控制系统进行交易测试,并且该项测试既不影响公司正常营运也不会导致财务数据的破缺。
4.重视审计风险
2006年2月颁布的审计准则对审计风险模型进行了重构,审计风险取决于重大错报风险和检查风险。注册会计师应当实施审计程序,识别和评估重大错报风险,并根据评估结果设计和实施进一步审计程序。以控制检查风险。电子商务环境下,来自被审计单位的经营风险和控制风险加大。财务报表存在重大错报的可能性上升。为此,注册会计师应通过了解被审计单位的电子商务环境以识别其重大错报风险,并根据评估的风险水平设计进一步的应对措施,特别是执行恰当的控制测试以判定内部控制有效性对财务报表的影响。
三、电子商务条件下财务报表审计的应对措施
1.了解被审计单位电子商务及对财务报表的影响
注册会计师应当考虑电子商务导致的被审计单位经营环境的变化,以及识别出的对财务报表产生影响的电子商务风险。在了解被审计单位及其环境时,注册会计师应当考虑下列事项对财务报表的影响:一是业务活动和所处行业。在了解被审计单位的业务活动和所处行业时,注册会计师应当关注电子商务不具备货物和服务等实体贸易所具有的清晰、固定的运送路线。运用电子商务的程度较高可能增大对财务报表产生影响的经营风险等特征。二是电子商务战略。被审计单位的电子商务战略,包括在电子商务中运用信息技术的方式以及对可接受风险水平的评估,可能对财务记录的安全性和相关财务信息的完整性与可靠性产生影响。三是开展电子商务的程度。不同的被审计单位可能以不同的方式开展电子商务,随着被审计单位开展电子商务程度的加深,以及内部系统更加集成化和复杂化,新的交易方式与传统业务活动的差异可能更加明显,并可能导致新的风险。四是外包安排。为被审计单位服务的机构采用和保持的某些政策、程序和记录可能与被审计单位财务报表审计相关,注册会计师应当按照《中国注册会计师审计准则第1212号——对被审计单位使用服务机构的考虑》的规定,考虑被审计单位的外包安排及相关风险的应对措施,以确定其对审计的影响。
2.识别和评估电子商务相关的经营风险和重大错报风险
在了解被审计单位环境基础上,注册会计师应识别和评估重大错报风险。电子商务环境下,因内部控制制度缺陷和无效带来的经营风险是产生财务报表重大错报风险的重要原因,所以注册会计师应特别关注其经营风险。与电子商务相关的经营风险有:(1)无法保证交易的完备性,尤其在缺少充分的审计轨迹(无论是纸介质还是电子形式)时,该风险的影响将更大;(2)电子商务安全风险,包括顾客、员工和其他人士通过未经授权的访问实施舞弊的可能性,以及病毒攻击;(3)运用不恰当的会计政策,包括收入确认、网站开发成本等支出的处理、与产品质量保证相关的预计负债的确认、外币折算等问题;(4)未能遵守税法和其他法律法规,尤其在通过互联网开展跨国或跨地区电子商务时更易出现此类情况;(5)无法保证仅以电子形式存在的合同具有约束力;(6)过度依赖电子商务;(7)系统和基础架构失效或崩溃。
另外,注册会计师还应从被审计单位的行业状况、监管环境、目标与战略、治理层和管理层特定意图、复杂的联营或合资、重大的非常规交易、重大的关联方交易、交易的重大不确定性、会计计量过程复杂和信息技术环境发生变化等事项来识别和评估其重大错报风险。
3.风险应对程序
注册会计师应当针对评估的财务报表层次重大错报风险确定总体应对措施,并针对评估的认定层次重大错报风险设计和实施进一步审计程序,以将审计风险降至可接受的低水平。
针对评估的财务报表层次重大错报风险主要采取下列总体应对措施:(1)向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性;(2)分派更有经验或具有特殊技能的审计人员。或利用专家的工作;(3)提供更多的督导;(4)在选择进一步审计程序时,应当注意使某些程序不被管理层预见或事先了解;(5)对拟实施审计程序的性质、时间和范围做出总体修改。
注册会计师应当针对评估的认定层次重大错报风险设计和实施进一步审计程序(包括控制测试和实质性程序),并具体考虑审计程序的性质、时间和范围。在电子商务环境下,注册会计师仅实施实质性程序获取的审计证据一般无法将认定层次重大错报风险降至可接受的低水平,应当实施相关的控制测试,以获取控制运行有效性的审计证据。注册会计师进行控制测试时应当特别考虑与电子商务相关的安全性控制、交易完备性控制和流程整合。具体实质性程序包括检查、观察、询问、函证、重新计算和分析程序。函证是电子商务环境下证实交易真实的有力程序,而传统审计条件下的检查则显得无能为力。
商业银行从事金融业务面临着市场风险、信用风险、以及操作风险等,而电子商务的出现则加剧了上述各类风险发生的可能性以及风险发生之后的破坏程度。2004年以来,我国面临的网络仿冒威胁正在逐渐加大,仿冒对象主要是金融网站和电子商务网站。2005年上半年共收到网络安全事件报告65679件,超过2004年全年案件数,商业银行电子商务安全风险管理策略已成为理论与实践中必须重视的课题。
一、信息安全管理的历史演进与现阶段的特点
信息安全管理的策略大体遵循事件驱动(技术和管理脱节)-逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。
(一)以事件驱动的初级阶段时期
19世纪70年代安全主要是指物理设备和环境的安全,人与计算机之间的交互主要局限在大型计算机上的哑终端,安全问题只涉及能访问终端的少数人。安全管理策略处于初级阶段,由事件驱动,没有形成规范的管理流程。在此阶段的前期,只重视技术手段。后期开始重视管理手段,但是技术和管理之间脱节。许多组织对信息安全制定了相应的规章和制度,但组织的信息安全管理基本上还处在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。
(二)标准化时期
企业开始将安全问题作为整体考虑,形成一套较为完整的安全管理策略,其中包括了安全管理的技术手段和管理制度(或称运作管理)。几乎所有从事电子商务的企业都拥有自己的安全策略,内容也包括了技术手段、安全管理制度、人员安全教育等等,基本上形成体系,技术和管理手段综合统一,但是安全风险分析还存在不足之处。
(三)安全风险管理策略时期
随着电子商务安全管理发展到一个比较高的层次,安全管理策略也演进到安全风险管理阶段。主要特点如下:
1.安全风险管理成为主流趋势;在安全管理策略的演进过程中,技术和管理手段综合统一、又融入了风险管理的分析、防范策略,从而安全管理进入了安全风险管理时期。西方商业银行已对安全风险管理形成共识。如安氏公司(is—One),认为信息安全问题最终将归结为风险管理问题,风险管理方法是建立良性的安全技术和管理体系的依据和基础。
2.安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。国际上关于安全风险管理的标准有巴塞尔银行监管委员会的《电子银行业务风险管理原则》、英国标准协会制订的BS7799等。各国也日益重视安全风险管理,制定了许多规范。例如美国货币监理署(OCC)的《电子银行最终规则》、香港金融管理局的《电子银行服务的安全风险管理》等。中国银行业监督管理委员也于2006年颁布了《电子银行业务管理办法》,对国内企业的电子商务安全风险管理给出了指导意见。
3.利用外部专业化机构对金融机构的安全性评估已成为大部分国家的选择。电子银行面临的安全和技术风险,在相当程度上取决于采用的信息技术的先进程度,系统的设计开发水平,以及相关设施设备及其供应商的选择等;银行依靠传统的风险管理机制已很难识别、监测、控制和管理相关风险。同样,监管机构也难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此,大部分国家都采用了依靠外部专业化机构定期对电子银行安全性进行评估的办法,加强对电子银行安全性和技术风险的管理和监管。
4.在许多国家信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。业界的IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作,从经济学的角度出发分析风险,充分衡量保持安全的代价和收益之间的关系,寻求用最小的代价实现最大的效用,在风险分析中也形成一套较为成熟的模式。
二、我国商业银行电子商务安全风险管理策略的薄弱点
(一)系统管理思想缺乏
目前的电子商务安全风险管理策略,在全局上缺乏系统论理论的指导,在实际操作中受到多种多样的安全攻击时会不可避免地出现安全漏洞,无法形成一张全面有序的安全网络。
实践中被采用的安全风险管理策略,以及作为指导意见的规则规范,如《信息安全管理实务准则》(IS017799)、《信息技术安全性评估准则》(GB/T18336.1)、巴塞尔银行监管委员会的《电子银行业务风险管理原则》,尽管提出了比较全面的安全风险管理方案,层次上也比较清晰,但是还不足以作为一个风险防范系统。实践中,电子商务组织是一个复杂的系统组织,电子商务的安全风险管理体系和过程也是个复杂的系统。系统论、控制论的思想在电子商务安全风险管理中是不可或缺的。
(二)风险分析的模型与方法不成熟,定量分析不足
电子商务模式自身的发展历史也不过20几年,在风险分析的定量技术上并不成熟;如BS7799中推荐的电子商务安全风险管理中实施风险评估时,往往将威胁发生的可能性定性划分为几个级别,将威胁所造成的影响也定性划分为1~5级,实质上是将一些按照概率发生的事件定义为不连续的几个级别,在操作上易行,但造成了度量的不精确。在进行监控和审计之后,也存在无法量化、对比的问题。
(三)忽视与原有的传统风险管理策略的结合
本质上,电子商务的安全风险无非是新兴的商业模式对传统的风险的改变,以及产生的在传统风险控制领域暂时无法明晰的新风险;现有管理策略只从信息技术的角度、或者从偏重技术的角度看待问题,站在金融领域本身来分析研究较少。这种状况导致了对电子商务安全风险管理的研究无法立足于一个比较高的层次;忽略了风险的整体性,只进行偏信息和技术的研究,导致了现有的电子商务安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言,传统金融业务的风险控制与电子商务的技术风险控制,两个方面存在脱节,同样属于商业银行的风险,存在着不同的管理策略,导致多头管理、资源浪费、机构之间的扯皮,乃至缺位管理。
(四)风险管理策略无法依赖外部的信息安全管理行业
在发达国家,信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法,提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系,制定和引进了一批重要的信息安全管理标准、法律法规,风险评估工作得到了一定重视,但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。
(五)风险管理策略中商业银行的内部风险控制能力薄弱
我国商业银行目前均建立起统一的风险管理部门;但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距,风险控制实质上仍然分散在各个子部门;风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门;风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如,风险管理部门接受了电子交易部的风险控制报告,表面上履行的内控审核的流程,但审核作用有限,无法完成电子商务安全风险管理中的监控与审计环节。
三、商业银行的电子商务安全风险管理策略的改进建议
(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架
利用系统理论作为总体的指导思想,将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。
在商业银行电子商务安全风险控制的流程中,经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内,然后进行监控和审计;尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入,从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环,安全风险管理的有效性就上一个台阶,商业银行的安全管理水平变得到了提高。
(二)电子商务安全风险管理中定量分析中的改进思路
商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中,商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定,商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失,巴塞尔委员会制定资本要求的转换系数;在度量损失的分布时,主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来,利用现有的度量方法进行精确的风险定量分析的尝试。
商业银行从事金融业务面临着市场风险、信用风险、以及操作风险等,而电子商务的出现则加剧了上述各类风险发生的可能性以及风险发生之后的破坏程度。2004年以来,我国面临的网络仿冒威胁正在逐渐加大,仿冒对象主要是金融网站和电子商务网站。2005年上半年共收到网络安全事件报告65679件,超过2004年全年案件数,商业银行电子商务安全风险管理策略已成为理论与实践中必须重视的课题。
一、信息安全管理的历史演进与现阶段的特点
信息安全管理的策略大体遵循事件驱动(技术和管理脱节)-逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。
(一)以事件驱动的初级阶段时期
19世纪70年代安全主要是指物理设备和环境的安全,人与计算机之间的交互主要局限在大型计算机上的哑终端,安全问题只涉及能访问终端的少数人。安全管理策略处于初级阶段,由事件驱动,没有形成规范的管理流程。在此阶段的前期,只重视技术手段。后期开始重视管理手段,但是技术和管理之间脱节。许多组织对信息安全制定了相应的规章和制度,但组织的信息安全管理基本上还处在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。
(二)标准化时期
企业开始将安全问题作为整体考虑,形成一套较为完整的安全管理策略,其中包括了安全管理的技术手段和管理制度(或称运作管理)。几乎所有从事电子商务的企业都拥有自己的安全策略,内容也包括了技术手段、安全管理制度、人员安全教育等等,基本上形成体系,技术和管理手段综合统一,但是安全风险分析还存在不足之处。
(三)安全风险管理策略时期
随着电子商务安全管理发展到一个比较高的层次,安全管理策略也演进到安全风险管理阶段。主要特点如下:
1.安全风险管理成为主流趋势;在安全管理策略的演进过程中,技术和管理手段综合统
一、又融入了风险管理的分析、防范策略,从而安全管理进入了安全风险管理时期。西方商业银行已对安全风险管理形成共识。如安氏公司(is—One),认为信息安全问题最终将归结为风险管理问题,风险管理方法是建立良性的安全技术和管理体系的依据和基础。
2.安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。国际上关于安全风险管理的标准有巴塞尔银行监管委员会的《电子银行业务风险管理原则》、英国标准协会制订的BS7799等。各国也日益重视安全风险管理,制定了许多规范。例如美国货币监理署(OCC)的《电子银行最终规则》、香港金融管理局的《电子银行服务的安全风险管理》等。中国银行业监督管理委员也于2006年颁布了《电子银行业务管理办法》,对国内企业的电子商务安全风险管理给出了指导意见。
3.利用外部专业化机构对金融机构的安全性评估已成为大部分国家的选择。电子银行面临的安全和技术风险,在相当程度上取决于采用的信息技术的先进程度,系统的设计开发水平,以及相关设施设备及其供应商的选择等;银行依靠传统的风险管理机制已很难识别、监测、控制和管理相关风险。同样,监管机构也难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此,大部分国家都采用了依靠外部专业化机构定期对电子银行安全性进行评估的办法,加强对电子银行安全性和技术风险的管理和监管。
4.在许多国家信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。业界的IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作,从经济学的角度出发分析风险,充分衡量保持安全的代价和收益之间的关系,寻求用最小的代价实现最大的效用,在风险分析中也形成一套较为成熟的模式。
二、我国商业银行电子商务安全风险管理策略的薄弱点
(一)系统管理思想缺乏
目前的电子商务安全风险管理策略,在全局上缺乏系统论理论的指导,在实际操作中受到多种多样的安全攻击时会不可避免地出现安全漏洞,无法形成一张全面有序的安全网络。
实践中被采用的安全风险管理策略,以及作为指导意见的规则规范,如《信息安全管理实务准则》(IS017799)、《信息技术安全性评估准则》(GB/T18336.1)、巴塞尔银行监管委员会的《电子银行业务风险管理原则》,尽管提出了比较全面的安全风险管理方案,层次上也比较清晰,但是还不足以作为一个风险防范系统。实践中,电子商务组织是一个复杂的系统组织,电子商务的安全风险管理体系和过程也是个复杂的系统。系统论、控制论的思想在电子商务安全风险管理中是不可或缺的。
(二)风险分析的模型与方法不成熟,定量分析不足
电子商务模式自身的发展历史也不过20几年,在风险分析的定量技术上并不成熟;如BS7799中推荐的电子商务安全风险管理中实施风险评估时,往往将威胁发生的可能性定性划分为几个级别,将威胁所造成的影响也定性划分为1~5级,实质上是将一些按照概率发生的事件定义为不连续的几个级别,在操作上易行,但造成了度量的不精确。在进行监控和审计之后,也存在无法量化、对比的问题。
(三)忽视与原有的传统风险管理策略的结合
本质上,电子商务的安全风险无非是新兴的商业模式对传统的风险的改变,以及产生的在传统风险控制领域暂时无法明晰的新风险;现有管理策略只从信息技术的角度、或者从偏重技术的角度看待问题,站在金融领域本身来分析研究较少。这种状况导致了对电子商务安全风险管理的研究无法立足于一个比较高的层次;忽略了风险的整体性,只进行偏信息和技术的研究,导致了现有的电子商务安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言,传统金融业务的风险控制与电子商务的技术风险控制,两个方面存在脱节,同样属于商业银行的风险,存在着不同的管理策略,导致多头管理、资源浪费、机构之间的扯皮,乃至缺位管理。
(四)风险管理策略无法
依赖外部的信息安全管理行业
在发达国家,信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法,提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系,制定和引进了一批重要的信息安全管理标准、法律法规,风险评估工作得到了一定重视,但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。
(五)风险管理策略中商业银行的内部风险控制能力薄弱
我国商业银行目前均建立起统一的风险管理部门;但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距,风险控制实质上仍然分散在各个子部门;风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门;风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如,风险管理部门接受了电子交易部的风险控制报告,表面上履行的内控审核的流程,但审核作用有限,无法完成电子商务安全风险管理中的监控与审计环节。
三、商业银行的电子商务安全风险管理策略的改进建议
(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架
利用系统理论作为总体的指导思想,将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。
在商业银行电子商务安全风险控制的流程中,经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内,然后进行监控和审计;尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入,从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环,安全风险管理的有效性就上一个台阶,商业银行的安全管理水平变得到了提高。
(二)电子商务安全风险管理中定量分析中的改进思路
商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中,商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定,商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失,巴塞尔委员会制定资本要求的转换系数;在度量损失的分布时,主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来,利用现有的度量方法进行精确的风险定量分析的尝试。新晨
(三)将商业银行电子商务安全风险纳入商业银行总体风险管理范畴
严格意义上讲,最初的信息系统审计就其范围和目的而言,与我们现在的信息系统审计是不同的。在信息系统审计的萌芽阶段,人们称之为电子数据处理审计(electronicdataprocessingauditing)或计算机审计,它是作为传统审计业务的扩展发展起来的。那时侯,人们需要信息系统审计主要是由于:
1、审计师认识到计算机已经影响了他们执行鉴证业务的能力;
2、企业认识到在信息时代,计算机像其它有价值的商业资源一样,是商业竞争的关键资源,因此也迫切需要对其进行审计;
3、职业团体、组织和政府机构认识到需要对信息技术加以控制,并使其可以审核。
在初期,信息系统审计是作为传统审计业务的一部分,在审计师对由计算机系统处理的数据的质量进行判断时提供技术支持。有信息系统审计技能的审计师被看作是会计师事务所的技术资源,在必要时为同事提供技术支持。对于信息系统审计,需求领域很广。如对组织的信息系统审计(主要集中在对信息技术的管理控制)、技术方面的信息系统审计(包括架构、数据中心、数据通信等)、应用的信息系统审计(包括经营、财务)、开发实施信息系统审计(包括需求识别、设计、开发以及实施后阶段)和信息系统是否符合国家或国际标准的审计等等。
二、信息系统审计的发展
信息系统审计最早称为计算机审计,是随着计算机在财务会计领域的应用而产生的。早期的计算机应用比较简单,相应地,计算机审计业务主要关注对被审计单位电子数据的取得、分析、计算等数据处理业务,还称不上信息系统审计。从财务报表审计的角度来看,这一阶段的主要业务内容是对交易金额和账户、报表余额进行检查,属于审计程序中的实质性测试环节。此时,它只是传统财务审计业务的一种辅助工具,对客户的电子化会计数据进行处理和分析,为财务报表审计人员提供服务。
随着计算机技术应用范围的不断扩展,计算机对被审计单位各个业务环节的影响越来越大,计算机审计所关注的内容也从单纯的对电子的处理,延伸到对计算机系统的可靠性、安全性进行了解和评价。在制度基础审计的模式下,计算机审计的业务内容已经扩展到了符合性测试领域。风险基础的审计模式的采用以及信息技术在被审计单位的各个领域的广泛应用,信息系统的安全性、可靠性与其所服务的组织所面临的各种风险的联系越来越紧密,并且直接或间接地影响到财务报表的真实、公允。在这种情况下,对被审计单位风险的评估必须将计算机信息系统纳入考虑范围。发展到这一阶段,计算机审计的业务范围已经覆盖了一项审计业务的全过程,计算机审计这一概念已经不能反映这一业务的全部内涵,信息系统审计的概念随之出现。目前,计算机审计和信息系统审计,IT审计师和IS审计师的概念还在同时使用,但这些概念之间已经有了微妙的差别。
由于社会信息化程度的提高,发达国家大力发展信息产业,加上计算机与通信技术的结合,使计算机的应用更加普及,同时也导致了利用计算机犯罪的比率上升,在社会上引起了强烈的反响,使人们日益关注包括财务信息系统在内的所有信息系统的安全性、可靠性,及其与组织目标的一致性。信息系统审计的必要性逐渐凸显。如今的信息系统审计的业务已经超出了为财务报表审计提供服务的范围,在很多大型会计公司内部,信息系统审计部门已经成为一个独立的对外提供多种服务的部门。尤其是互联网和电子商务的兴起,更是为信息系统审计业务带来了无尽的商机。为财务报表审计提供服务只占信息系统审计部门业务内容很小的一部分。与信息安全相关的防火墙审计、安全诊断、信息技术认证以及ERP相关的新型咨询业务也不断涌现。“未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展”,这一观点已经逐渐成为国外会计、审计界的一个共识。
会计公司以及整个社会对信息系统审计师需求量将随之成倍地增长,信息系统审计师的地位也在不断提高。在国际大型会计公司中已经出现了没有CPA资格的合伙人,他们持有的专业资格就是CISA.信息系统审计师(简称CISA)目前已经成为全球范围最抢手的高级人才,这些人才一般都具备全面的计算机软硬件知识,对网络和系统安全有独特的敏感性,并且对财务会计和单位内部控制有深刻的理解。随着计算机技术在管理中的广泛运用,传统的控制、管理、检查和审计技术都受到巨大的挑战,国际会计公司、咨询公司和专业服务提供商都将控制风险,特别是控制计算机环境风险和信息系统运行风险作为管理咨询和服务的重点。几乎所有的大型跨国公司,由于普遍使用大型管理信息系统,都非常重视对信息系统安全性和可靠性的控制,常常高薪聘请信息系统审计师进行内部审计。
我国的信息系统审计工作目前还处于探索阶段,还没有形成一套成形的专业规范,也没有形成一支能够全面开展信息系统审计业务的人才队伍。目前我国会计审计界所进行的一些计算机审计的探索和尝试以及开发的一些计算机审计软件还大都停留在对被审计单位的电子数据进行处理的阶段。无论是国际上大型的跨国公司还是国内一些规模较大的企业都在不断地扩大信息技术在其经营活动和会计领域应用范围,运用传统的会计审计知识已经不能对这样的客户进行风险评估、内控测试与评价,从而无法进行真正意义上的“风险基础模式”的审计业务,进而也影响到我国会计师行业审计业务的质量。这一现状使得我国的注册会计师行业在与国外大型会计公司的竞争中处于不利地位。
在建立信息系统审计制度,开展信息系审计研究方面,美国走在了前面。早在计算机进入实用阶段时,美国就开始提出系统审计(SYSTEMAUDIT)。1969年在洛杉矶成立了电子数据处理审计师协会(EDPAA),1994年该协会更名为信息系统审计与控制协会(INFORMATIONSYSTEMAUDITANDCONTROLASSOCIATION)即ISACA,总部设在美国芝加哥。目前该组织在世界上100多个国家设有160多个分会,现有会员两万多人,它是从事信息系统审计的专业人员唯一的国际性组织,CISA(CertifiedInformationSystemAuditor)也是这一领域的唯一职业资格。
信息系统审计与控制协会通过制定和颁布信息系统审计准则、实务指南等专业标准来规范和指导信息系统审计师的工作;它还设立了信息系统审计与控制基金会,从事相关领域的研究工作,以使该组织的成员能够享用其最新研究成果;通过在世界各地举办各种形式的研讨会、培训班等活动,增进国际间同业人员的交流。ISACA每年还举办CISA资格考试,通过考试的人员可以申请CISA资格,符合ISACA规定的工作经验及其他相关要求的申请人会被授予CISA资格。CISA资格在世界各国都被广泛的认可。
日本的系统审计是从八十年代开始,1983年通产省公开发表了《系统审计标准》,并在全国软件水平考试中增加了“系统审计师”一级的考试,着手培养从事信息系统审计的骨干队伍。近几年东南亚各国也开始制定电子商务法规,成立专门机构开展信息系统审计业务,并制定技术标准。我国在1999年颁布了独立审计准则第20号——计算机信息系统环境下的审计。但是我国信息系统审计才刚起步,审计技术、审计规范、制度等都有待研究。随着我国信息化水平的提高,对信息系统的有效控制与审计将逐渐成为研究热点。
三、在中国普及信息系统审计的重要意义
1、信息系统审计有利于维护信息时代的市场经济秩序
市场经济是建立在信用基础上的,信息系统审计师应当充当信息时代经济生活中公正的鉴证人起着维护市场经济稳定的作用。信息时代竞争的加剧,信息流的电子传播方式等,使市场对及时和相关信息的需求越来越多,现有财务报告模式的局限性性日渐突出。现有财务报告是以历史成本为计量基础的、周期性的向利益相关者报告。这些报表往往要在事实发生30天或是更长的时间后才能给报表使用者,因此要用这些财务报表来作“实时决策”是不可能的。对投资者、分析者和监管者而言,这些报表不过是企业某个时点的“快照”而非持续性报告。今天的利益相关者要求“即需即取”的、格式化的数据来帮助他们更好的进行投资决策。商业信息的在线和实时披露是不可扭转的必然趋势。信息时代的财务报告模式将会是是以企业的业绩评估为基础,在线的、实时的信息披露。在新经济环境中,信息系统审计师应能够以在线、实时的信息为基础提供鉴证,通过多种方式来保护公众利益、提供鉴证服务并满足投资公众对决策有用信息的访问需要。提供实时报告鉴证对保护公众利益和保护资本市场的有序发展是非常有意义的。
只有当产生信息的系统本身具有可靠性时,它的产品——信息才是对决策有用的。为了鉴证系统的可靠性,信息系统审计师可以通过检测公司信息系统的可用性、安全性和过程的完整性来确定其是否可靠。这种保证职能叫做“系统可靠性保证”(Systemreliabilityassurance)。它是保证信息资产安全、完整、真实可靠的基础。
中图分类号:F239 文献标志码:A 文章编号:1673-291X(2012)13-0136-02
一、电子商务安全评估概述
1.电子商务安全评估重要性电子商务安全评估是运用系统的方法,对电子商务系统、各种电子商务安全保护措施、管理机制以及结合所产生的客观效果作出是否安全的结论。由于信息技术本身有其固有的敏感性和特殊性,这就使得对企业电子商务产品是否安全,电子商务安全产品及其网络系统是否可靠,企业电子商务系统是否健壮,电子商务管理是否严格,信息风险防范的准备是否充足等方面都成为需要科学评价和证实的问题。电子商务安全系统所保护的是敏感信息,评估必须可靠、可信、可操作,并且能依赖于成熟的信息安全理论、科学的评估方法和完善的标准体系,具有令人信服的科学性和公正性。
2.电子商务安全评估内容。电子商务安全评估的主要内容有环境控制、应用安全、管理机制、远程通信安全、审计机制等五个方面的内容。环境控制分为实体的、操作系统的及管理的三个部分。应用安全包括输出输入控制、系统内部控制、责任划分、输出的用途、程序的敏感性和脆弱性、用户满意度等。管理机制包括规章制度、紧急恢复措施、人事制度(如防止工作人员调入、调离对安全的影响)等。远程通信安全包括加密、数据签名等。
二、电子商务安全
1.电子商务安全需求与隐患。在电子商务中,任何与交易有关的信息都通过网络交换,都有可能会被篡改、窃听、冒名使用或交易后否认。保证电子商务的安全需提供以下安全保护:(1)完整性保护。确保消息内容在传输和处理过程中没有被添加、删除或修改。(2)真实性保护。能对交易者身份进行鉴别,为身份的真实性提供保证。(3)机密性保护。能防止电子商务参与者的信息在存储、处理、传输过程中泄漏给未经授权的人或实体。(4)抗抵赖。抗抵赖就是为交易的双方提供证据,以解决因否认而产生的纠纷。它实际上建立了交易双方的责任机制。
电子商务面临着其系统自身的安全性问题,计算机及通信网络的安全性问题同样会蔓延到电子商务中。归结起来,电子商务中的安全患主要有其应用层、传输层、存储层和系统层等四个方面:(1)系统层安全性漏洞。电子商务系统的运作须以系统层的软硬件为基础,因此系统层的安全性漏洞将直接会造成电子商务中的安全患。(2)存储层的安全漏洞。存储层的安全漏洞包括两个方面的问题:1)意外情况造成的数据破坏。无论多么稳定的系统,意外情况总是不可避免的,电子商务系统也不例外。如果对意外情况造成的损失没有充分的估计和完备的补救措施,那么意外情祝造成的数据破坏是不可避免的。而数据破坏将对整个电子商务系统的稳定性和安全性造成威胁。2)有意人为侵害造成的破坏。电子商务起步不久,安全性措施尚不完善,是网络黑客攻击的焦点。黑客往往利用电子商务系统中的种种安全性漏洞,窃取和破坏系统数据,甚至修改系统,对整个系统的正常运作造成严重危害。因此,一个成功的电子商务系统必须能有效的防止人为侵害。(3)传输层的安全漏洞。传输层的安全漏洞包括传输过程中的数据截获电子商务系统中的数据在传输过程中可能受到截获,传输过程中的数据完整性破坏以及跨平台数据交换引起的数据丢失等三个方面的问题。(4)应用层的安全漏洞。应用层的安全漏洞包括冒充他人身份和抵赖已经做过的交易两个方面的问题。
2.电子商务安全要求与技术。电子商务安全要求主要有以下六点:(1)信息的有效性要求。电子形式贸易信息的有效性则是电子商务活动的前提。电子商务信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。一旦签订交易后,这项交易就应受到保护以防止被篡改或伪造。(2)信息的保密性要求。电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。电子商务是建立在开放的网络环境上,维护商业机密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。(3)信息的完整性要求。电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。(4)信息的不可抵赖性要求。电子商务可能直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方正是进行交易所期望的贸易方,这一问题则是保证电子商务顺利进行的关键。(5)交易身份的真实性要求。交易者身份的真实性是指交易双方确实是存在的。网上交易的双方要使交易成功,必须互相信任,确认对方真实,对商家要考虑客户是否有信誉。(6)系统的可靠性要求。电子商务系统的可靠性是指防止由于计算机失效、程序错误、传输错误、硬件故障、系统软件错误、数据库出错、计算机病毒和自然灾害所产生的潜在威胁,并加以控制和预防,确保系统安全可靠性。保证计算机系统的安全是保证电子商务系统数据传输及电子商务完整性检查的正确和可靠的根基。
通过使用以下四种电子商务安全密码技术,可以基本满足不同的电子商务安全需求。(1)完整性保护技术。完整性保护技术是用于提供消息认证的安全机制。典型的完整性保护技术是消息认证码是将利用一个带密钥的杂凑函数对消息进行计算,产生消息认证码,并将它附着在消息之后一起传给接收方,接收方在收到消息后可以重新计算消息认证码,并将其与接收到的消息认证码进行比较:如果它们相等,接收方就认为消息没有被篡改;如果它们不相等,接收方就知道消息在传输过程中被篡改了。(2)真实性保护技术。真实性保护技术用来确认某一实体所声称的身份,以对抗假冒攻击。在电子商务中,交易信息通过网络转发,可能在传输过程有一定的延迟,需要通过数据源鉴别来确认交易信息的真正来源。(3)机密性保护技术。机密性保护技术是为了防止敏感数据泄漏给那些未经授权的实体。(4)抗抵赖技术。抗抵赖技术是为了防止恶意主体事后否认所发生的事实或行为。要解决上述问题,必须在每一事件发生时,留下关于该事件的不可否认证据。当出现纠纷时,可由可信第三方验证这些留下的证据.这些证据必须具有不可伪造或防篡改的特点。
三、电子商务安全审计
(一)电子商务安全外部审计
外部审计是指审计师对公司电子商务网站的安全工作进行审计,对消费者提供数据安全、商业政策、交易完整、数据隐私等方面的审计。消费者可以通过查询这些第三方组织的网站进行了解。1998年美国注册会计师协会(AICPA)先后成立的Elliott委员会和Cohen委员会,可以对电子商务的这方面内容提供鉴证。AICPA对电子商务提供的保证服务主要分为两个方面:完整性保证系统(Integrity Assurance System):电子交易中的数据要素是各方同意达成的,并且在数据处理与存储的过程中保持其完整性,没有未经授权的修改。安全性保证系统(SecurityAssuranceSystem):交易双方的身份验证以及电子数据没有未经授权的泄漏。
(二)电子商务安全内部审计
内部审计的作用主要体现在对于电子商务公司内部系统安全和财务风险的管理上,主要包括两个方面的内容:对电子商务系统的技术审计;对电子商务公司的财务进行审计。
1.技术审计。对电子商务系统进行技术审计的主要内容有三项:(1)纪录、跟踪系统的运行状况。利用审计工具,监视和纪录系统的活动情况,如纪录用户登录账号、登录时间、登录的终端以及所访问的文件、存取操作,并放人系统日志中保存在磁盘上,使影响系统安全性的存取以及其他非法操作留下线索,以便审查。(2)检测各种安全事故。审计工具能检测和判定对系统的攻击,如多次使用非法口令登录系统的尝试,及时提供报警甚至自动处理,使系统安全管理人员能够了解系统的运行情况,及时堵住非法入侵者。审计工具还能识别合法用户的误操作等。(3)保存、维护和管理审计日志。由于审计日志记录了审计、跟踪、检测各种安全事件的结果,是查找、分析网络系统安全事件的客观依据,是重要的系统文档,必须有可靠的存储和管理机制。在现代的经济环境下对电子商务公司的财务进行审计,其审计的职能已经发生了根本性的变化。审计已经从传统的财务审计过渡到了风险审计与内部控制。因此,运用内部审计可以很好地控制风险的发生。
2.财务审计。对电子商务系统进行财务审计的主要内容有两项:(1)对电子商务风险设定非财务化监测工具,这种工具可以是数量化的,也可以是非数量化的。比如实时监测服务器访问者数量,或者使用嗅探器工具网络监视工具对公司内部网以及国际互联网出口进行监测。(2)对电子商务风险实行与商业风险并行的另外一套防范方法,但是这种防范措施要与其他风险的防范一起进入风险管理的总的成本与人员控制。
参考文献:
[1] 刘艳慧.电子商务及其安全性研究与应用[D].天津:天津大学,2008.
商业银行从事金融业务面临着市场风险、信用风险、以及操作风险等,而电子商务的出现则加剧了上述各类风险发生的可能性以及风险发生之后的破坏程度。2004年以来,我国面临的 网络 仿冒威胁正在逐渐加大,仿冒对象主要是金融网站和电子商务网站。2005年上半年共收到网络安全事件报告65679件,超过2004年全年案件数,商业银行电子商务安全风险管理策略已成为理论与实践中必须重视的课题。
一、信息安全管理的 历史 演进与现阶段的特点
信息安全管理的策略大体遵循事件驱动(技术和管理脱节)-逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。
(一)以事件驱动的初级阶段时期
19世纪70年代安全主要是指物理设备和环境的安全,人与 计算 机之间的交互主要局限在大型计算机上的哑终端,安全问题只涉及能访问终端的少数人。安全管理策略处于初级阶段,由事件驱动,没有形成规范的管理流程。在此阶段的前期,只重视技术手段。后期开始重视管理手段,但是技术和管理之间脱节。许多组织对信息安全制定了相应的规章和制度,但组织的信息安全管理基本上还处在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。
(二)标准化时期
企业 开始将安全问题作为整体考虑,形成一套较为完整的安全管理策略,其中包括了安全管理的技术手段和管理制度(或称运作管理)。几乎所有从事电子商务的企业都拥有自己的安全策略,内容也包括了技术手段、安全管理制度、人员安全 教育 等等,基本上形成体系,技术和管理手段综合统一,但是安全风险分析还存在不足之处。
(三)安全风险管理策略时期
随着电子商务安全管理发展到一个比较高的层次,安全管理策略也演进到安全风险管理阶段。主要特点如下:
1.安全风险管理成为主流趋势;在安全管理策略的演进过程中,技术和管理手段综合统一、又融入了风险管理的分析、防范策略,从而安全管理进入了安全风险管理时期。西方商业银行已对安全风险管理形成共识。如安氏公司(is—one),认为信息安全问题最终将归结为风险管理问题,风险管理方法是建立良性的安全技术和管理体系的依据和基础。
2.安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。国际上关于安全风险管理的标准有巴塞尔银行监管委员会的《电子银行业务风险管理原则》、英国标准协会制订的bs7799等。各国也日益重视安全风险管理,制定了许多规范。例如美国货币监理署(occ)的《电子银行最终规则》、香港金融管理局的《电子银行服务的安全风险管理》等。
(三)忽视与原有的传统风险管理策略的结合
本质上, 电子 商务的安全风险无非是新兴的商业模式对传统的风险的改变,以及产生的在传统风险控制领域暂时无法明晰的新风险;现有管理策略只从信息技术的角度、或者从偏重技术的角度看待问题,站在 金融 领域本身来分析研究较少。这种状况导致了对电子商务安全风险管理的研究无法立足于一个比较高的层次;忽略了风险的整体性,只进行偏信息和技术的研究,导致了现有的电子商务安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言,传统金融业务的风险控制与电子商务的技术风险控制,两个方面存在脱节,同样属于商业银行的风险,存在着不同的管理策略,导致多头管理、资源浪费、机构之间的扯皮,乃至缺位管理。
(四)风险管理策略无法依赖外部的信息安全管理行业
在发达国家,信息系统审计(is audit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。it风险分析师也成为一种职业,专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法,提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系,制定和引进了一批重要的信息安全管理标准、 法律 法规,风险评估工作得到了一定重视,但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。
(五)风险管理策略中商业银行的内部风险控制能力薄弱
我国商业银行目前均建立起统一的风险管理部门;但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距,风险控制实质上仍然分散在各个子部门;风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门;风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如,风险管理部门接受了电子交易部的风险控制报告,表面上履行的内控审核的流程,但审核作用有限,无法完成电子商务安全风险管理中的监控与审计环节。
三、商业银行的电子商务安全风险管理策略的改进建议
(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架
利用系统理论作为总体的指导思想,将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。
在商业银行电子商务安全风险控制的流程中,经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内,然后进行监控和审计;尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入,从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环,安全风险管理的有效性就上一个台阶,商业银行的安全管理水平变得到了提高。
(二)电子商务安全风险管理中定量分析中的改进思路
商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中,商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定,商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失,巴塞尔委员会制定资本要求的转换系数;在度量损失的分布时,主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来,利用现有的度量方法进行精确的风险定量分析的尝试。
