電子商務審計及其風險研究匯總十篇

時間：2023-06-11 09:23:12

序論：好文章的創作是一個不斷探索和完善的過程，我們為您推薦十篇電子商務審計及其風險研究范例，希望它們能助您一臂之力，提升您的閱讀品質，帶來更深刻的閱讀感受。

電子商務審計及其風險研究

篇（1）

一、電子商務環境下的企業審計風險研究

在電子商務系統高度自動化的條件下，審計證據的充分性和適當性取決于電子商務系統控制的有效性。因此，對電子商務審計主要集中在電子商務系統交易過程和控制測試。審計對象也要從財務報表及其相關資料擴展到被審計單位的資信狀況、內部控制等對財務報表產生重要影響的諸多事項上來。一般情況下，審計風險=重大錯報風險×檢查風險，由于電子商務的無紙化、電子化和網絡化等特點，無論是電子商務的重大錯報風險還是檢查風險都比傳統審計風險要高。電子商務采用的全球網絡化信息系統，企業一方面面臨著系統自身的風險，可能導致會計數據被篡改、破壞，另一方面面臨著電腦病毒和電腦黑客的入侵，導致會計數據的丟失。這些致使電子商務重大錯報風險的加大。電子合同、電子函件、電子訂單的存在使注冊會計師審計中對其真實性、合法性很難辨別，導致電子商務審計風險中的檢查風險要比傳統的檢查風險要高，審計工作的難度更高。

二、電子商務環境下企業審計要素的變化

1.審計目標

在傳統的審計中，審計目標主要是為了查錯防弊。主要是通過對企業賬目的審查來核對企業會計報表的真實性，從而分析判斷企業采用的會計處理辦法是否符合法律所規定的會計準則，并是否能夠真實反應企業真實的經營以及財務狀況。另一方面，隨著信息技術的不斷發展，電商企業等新興產業的不斷發展，經濟活動的開放性也更強。這些新興行業的審計目標也不斷的擴展，客戶服務功能的審計、電子支付審計等都成為了審計目標。

2.審計對象

縱觀電子商務環境下，通過對互聯網將企業的物資流、資金流與信息資源都融合在一起。經濟交易的雙方可以通過電子商務系統對產品的報價以及查詢、電子合同的簽訂等經濟活動都能產生相關的電子憑據。因此，在電子商務環境下，電子證據以及電子支付等均是企業審計的重要對象。

3.審計方法

現階段，涌現了很多網絡審計軟件為電子商務環境下的電商企業提供了技術的支持。在數據的采集上，審計人員通過審計端口對企業會計信息的數據進行搜集。通過對計算機以及互聯網絡可以進行遠程登錄、電子函證、文件傳輸，以傳輸信息，獲取相關的審計證據。在對數據的分析上，審計人員在運用審計相應的軟件，準確和快速的獲取信息對生成審計報告以及，都能夠有效的為審計工作提高時效性。

三、電子商務環境下對審計的思考

1.加快電子商務審計法律法規的完善

對我國計算機審計的各種法律規定，計算機的審計準則都需要有制定標準的格式。需要制定有關電子商務的法律法規，把電子憑證、合同以及有法律效應的數字簽名的保管都需要明確制定下來，有關電子商務與網絡經濟的立法都需要滿足我國的國情，同時借鑒國際相關法規以及立法，能夠促進我國的電子商務審計法律法規的建立以及完善，保證電子商務審計能夠有法可依。

2.充分利用計算機網絡審計

電子商務審計的內容主要包括電子商務系統處理和控制功能的審查，為了證實電商企業的交易事項是否合法以及安全可靠，這些都是傳統的審計所沒有的。首先必須利用計算機網絡技術對審計單位計算機會計信息系統的應用控制進行審查，然后根據一般控制與應用控制的審查結果來決定抽查的范圍與重點。通過網絡對審計單位的會計數據進行手機審核時，需要對審計單位的審計人員賦予應有的審核權限，可以高效的完成審計工作。另外，對異常項目通過調查和數據分析進行測試、檢查、分析與核對，這樣可以達到降低審計風險的目的。

3.加快審計的電子化應用技術

隨著電子商務發展的需要，對加強計算機審計實用環境的建設提出了更加長遠的發展。對各級審計機關對計算機硬件的建設需要給予足夠的重視，加大計算機設備系統的投資，對審計機關內部審計資料庫的建設，能夠有效促進審計事業的現代化發展。要讓審計人員盡快參與審計軟件的開發，使審計軟件的使用在電子商務環境下能夠具有自身的實用性，以便今后的計算機審計信息化的建設能夠順利的實施。

四、結語

在電子商務環境下，電商企業的業務流程發生了一些變化，這就需要新的機構來對企業進行有效的監督，以確保電子商務環境市場下的有序進行。同時，電子商務在另一方面也改變了企業審計的環境，迫使企業審計改進傳統的審計模式，并采用先進的信息技術，優化審計流程，確保企業審計能夠滿足新形勢的發展要求。

參考文獻：

[1]王爽.淺談網絡審計的風險及其防范[J].數碼世界，2005（13）.

[2]王萍.網絡審計的對象創新和業務創新[J].會計天地，2004（8）.

篇（2）

隨著電子商務平臺建設的日漸完善，電子商務經濟逐步成為我國經濟發展的重要組成部分，電子商務環境下的審計也越來越受到相關部門的重視。目前，我國對于新興事物的審計制度建設還不完善，對于由此產生的風險及防范研究更是少之又少。因此，充分了解電子商務環境下的審計制度以及可能產生的風險因素，對于進一步加強電子商務經濟規范建設具有重要的指導意義。

一、電子商務環境下的審計與審計風險特征

電子商務是隨著現代網絡技術不斷完善而出現的產物，是結合電子支付方式、網絡商貿、數據處理等技術的綜合型新興貿易方式，具有不同于傳統貿易的無紙化性、多樣性、隱蔽性、動態性等特點。因此，電子商務環境下的審計也因電子商務的特性而具有區別于傳統審計的特性。

（一）電子商務環境下的審計特征

傳統審計主要包括對被審計單位財務報表以及與此相關的一些會計憑證、交易往來合同等，電子商務環境下的審計除此之外，還包括因電子商務交易而產生的電子發票、回款單、支付憑證等。具體來說，主要包括：被審計單位獲取相關會計信息以外的資料，如被審計單位的戰略計劃、內部控制制度以及同類單位的相關數據；被審計單位內部控制安全性相關的電子商務信息；注冊會計師在進行審計時根據被審計單位提供的現有資料得出的其他相關信息。會計信息與其他相關信息共同構成電子商務環境下的審計資料，只有這些信息完整才能保證審計結果的準確性。

1、電子商務環境下的審計信息具有易破壞性。電子商務環境下所有相關的審計信息都轉為電子信息，相關的取數、存儲以及匯總加工等都通過計算機完成，一旦中間步驟有人工操作不當之處，就會導致整個數據信息有誤且很難被發現。因此，注冊會計師在提取相關數據信息時要對最終呈現的數據做合理性和完整性分析，減少因操作不當帶來的信息錯誤。同時，因為電子數據缺乏原始紙質憑證做基礎，電子數據被篡改比較容易，進一步加大了審計信息的易破壞性。

2、電子商務環境下的審計信息具有動態性。由于電子商務平臺24小時在線服務，在這一實時過程中，電子商務信息處于動態傳輸中，為注冊會計師提取審計信息提供了難度。注冊會計師不能因為提取審計信息而認為靜止電子商務信息的傳輸，這樣很可能破壞原有的電子商務信息。而為了保證注冊會計師提取的電子信息準確完整，職能通過電子商務在線實時數據訪問實現，進一步加大審計的風險。

3、電子商務環境下的網絡安全難以控制。電子商務環境下，作為交易平臺的網絡環境具有開放性和數據實時變化性，如何保證網絡安全是保證審計基礎數據準確性的基礎。針對目前計算機病毒和黑客技術的日益更新，電子商務的網絡安全正受到各方的威脅，因此，建立完善的網絡安全控制系統是保證電子商務環境下審計信息準確性的重要基礎，也是保證電子商務有序進行的重要保障。

（二）電子商務環境下的審計風險特征

電子商務環境下的審計風險，是指在電子商務環境下的財務報表存在重大錯誤而使注冊會計師發表不恰當審計意見的可能性。審計風險具體來說，主要包括兩大部分，即重大報錯風險和檢查風險。電子商務環境下的審計風險同樣包括該兩大部分，其中重大報錯風險是指在電子商務環境下可能存在的與電子商務有關的財務報表錯誤，是在審計開始之前就存在的風險；而檢查風險是指在發生電子商務有關的審計過程中，發現的與被審計單位有關的經濟活動存在不合規問題，該報錯可能與前期的重大報錯風險有關，也有可能是單獨存在的風險。

1、電子商務環境下的審計風險具有客觀性。電子商務環境下的審計風險與傳統模式下的審計風險，同樣是一種不確定性的客觀存在，該風險不以注冊會計師的意志而轉移，是每個被審計企業都存在的固有風險。該風險由企業內部控制的缺陷、電子商務本身具有的特性以及其他外部條件所決定。同時由于審計以抽樣調查為主，樣本的偏差可能導致整體審計推斷結果有誤差，進一步導致審計風險的客觀存在。

2、電子商務環境下的審計風險具有普遍性。審計風險涉及審計工作的各個方面，發生在整個審計過程之中。在會計師事務所承接審計業務階段，如果對被審計單位的狀況不夠了解，可能面臨不良資產的風險；在審計業務前期準備過程中，如果沒有充分了解被審計單位并制作符合被審計單位自身業務特點的審計方案，則可能導致最終出具的審計結論有失偏頗的風險；在審計業務實施階段，如果沒有準確收集被審計單位的電子信息，并進行甄別和判斷，可能發生錯誤的審計判斷，加大被審計單位的審計風險。3、電子商務環境下的審計風險具有部分可控性。雖然審計風險存在客觀性和普遍性，但審計風險同樣具有部分可控性。注冊會計師在接手某個審計業務時，可以在充分了解被審計單位的相關信息基礎上，執行全面完善的審計計劃，準確甄別收集的審計信息，制定合理的審計程序，將認為可控部分的審計風險降到最低。

二、電子商務環境下審計風險的國內外研究動態

電子商務環境下的審計風險研究在國內外都屬于探索階段，相關理論體系尚未完善。國外的研究重點主要集中在電子商務環境下審計風險產生的原因，國內的研究重點相對來說全面一些，不僅分析了電子商務環境下審計風險產生的原因，而且針對不同的風險點提出了相應的防范措施。

（一）國內研究動態

劉強（2009）在《電子商務對財務報表審計的影響》中提出，電子商務環境下的財務報表審計將面臨巨大的沖擊，主要包括電子商務環境對于傳統財務環境的挑戰，因審計對象和范圍的無限擴大而產生的界定問題，以及由此產生的一系列審計風險。對此，張倩在《我國電子商務環境下的審計風險防范》中指出，針對電子商務環境下風險的信息化與不確定性，應該及時把握電子商務的政策動態，正確區分傳統經濟下的審計風險與電子商務環境下的審計風險，有針對性地提出關于審計環境、審計對象、審計主體以及審計客體的風險防范措施。針對于電子商務環境下的審計風險，李俊杰（2010）在《電子商務審計探析》中做了詳細的分析，他將電子商務環境下的審計風險分為電子商務固有的風險、傳統環境下的審計風險以及電子商務環境下的綜合審計風險，并通過對電子商務特有的國際化、信息化及無紙化等特點進行針對性的分析，提出防范風險應從把握網絡安全審計以及完善電子數據分析等方面著手。

（二）國外研究動態

國外對于電子商務環境下的審計風險研究，主要集中在產生風險的原因上，包括對被審計單位的內部控制不合理、電子商務本身存在的無紙化、信息化、支付方式多樣化等特征，以及傳統審計模式無法適應電子商務交易模式的多邊性。Harkness通過研究傳統審計模式下電子商務的交易風險，總結出電子商務模式下的風險主要集中在審計線索的變化、審計技術的更新速度慢以及審點的多邊性。

三、電子商務環境下的風險分析

（一）審計環境產生的風險

1、我國電子商務運營環境不規范。我國電子商務的發展隨著互聯網的不斷推進而得到迅猛發展，各方數據表明，中國的電子商務規模已處于國際前列。但與電子商務相關的一些輔助業務卻沒能跟上。一方面，作為電子商務基礎的物流系統還不能滿足現有發展迅猛的電子商務市場，極大制約了電子商務業務的進一步擴張?，F有的電子商務模式下，大部分實物都以物流系統為輔助，但目前的物流系統存在配送人員專業化程度低、管理體制不完善以及售后服務維權機制不健全等，導致物流系統建設缺乏競爭力。另一方面，電子商務的信息系統建設還無法滿足日漸發展的電子商務市場。電子商務競爭中，各企業的競爭力主要集中在產品信息的收集、顧客需求信息的收集以及產品質量和配送效率上，而這些的基礎都在于信息系統的建設。在這方面上，我國與世界發達國家的水平還存在差距。

2、相關法律法規和審計準則不完善。我國對于電子商務的立法最早于2004年出臺了《中華人民共和國電子簽名法》，首次對新興貿易進行了法律規范，也對電子商務模式下的審計提供了法律基礎。但我國在電子商務相關的法律建設上起步較晚，還存在諸多不足之處。一方面，我國出臺了電子簽名法，但有關電子商務完整的法律體系建設還未完善，導致電子商務在細節處理上沒有一個統一的標準，造成企業在處理問題上的混亂。另一方面，我國現行的審計準則只適用于傳統模式下的審計，對于新興的電子商務審計尚未做明確規定，導致注冊會計師在進行電子商務審計時無相關法律法規做參考，審計結論存在一定的偏差。

（二）審計對象產生的風險

1、企業內部控制不健全。傳統模式下，企業的內部控制主要以手工為主，包括對工作人員的工作行為、業務處理是否得當以及經濟業務規范等進行控制，而電子商務環境下的內部控制在此基礎上還要對網絡信息系統建設、計算機運行風險等多方面進行控制，這從專業性上提出了更高的要求，且具有一定的不可控性。此外，傳統模式下的業務審批需要多層的人工審核，并按職責分工確保對每一層次的審批做到記錄規范、準確，審計部門可以隨時調取相關審批流程記錄，而在電子商務模式下，內部審批的控制都以計算機程序自動設定而完成，缺乏人為的主觀可調整性。同時，由于我國缺乏電子商務所需的專業人才，在電子商務管理上存在諸多漏洞，尤其對于電子商務購銷業務中的發票開具與保管，導致賬面混亂等現象時有發生。

2、從業人員專業素質有待提高。由于我國電子商務處于剛起步階段，具有電子商務專業的人才較少，電子商務業務的從業人員素質參差不齊，且大部分屬于兼職人員。因此，現有的電子商務從業人員無法適應對專業度要求越來越高的網絡化電子商務需求。一方面，專業素質不足的電子商務從業人員無法對國際貿易中的產品進行準確認知，無法通過外語與外商進行準確的交流和貿易協商，也無法對日益更新的電子商務交易系統進行熟練操作，導致電子商務企業交易無法順利進行。另一方面，傳統的兼職型電子商務從業人員已經無法滿足現有的國際化貿易需求，現有的電子商務要求從業人員必須具備對產品充分認知、營銷、計算機等綜合素質，目前我國的電子商務從業人員大部分缺乏電子商務以外的綜合型知識。與此同時，我國電子電子商務企業在人才管理上存在對待不公的現象。出于企業業績的考量，大部分企業重銷售人員而輕技術維護人員等基礎保障人員，導致相關人才流失。此外，因為缺乏對信息系統建設的重視，導致信息泄露事件時有發生，這是企業在信息安全建設上的疏忽，也是人才建設上的不完善。

3、電子支付、電子簽名審計難度大。電子商務環境下的合同簽訂以及貨款支付等都通過網絡平臺實現，擴展了傳統模式下的結算方式，因此，與之相關的審計范圍也相應擴展。在新型業務模式下，注冊會計師需要對被審計單位網上簽訂的合同、網上的支付階段等進行完整、準確地審查，并結合被審計單位提供的相關財務紙質憑證進行分析，推斷其中可能存在的不合理問題。而電子商務環境下的業務活動形式多樣、結算方式復雜、支付方式隱蔽、電子簽名確定難度大等，這一系列問題不僅增大了注冊會計師的審核難度，同時也加大了企業的審計風險。

（三）由審計人員產生的審計風險

1、審計人員專業水平不夠。電子商務環境下的審計要求審計人員具備會計、審計、電子商務以及網絡等多方面的綜合能力，而就目前我國審計人員具備的專業水平來說，還停留在傳統模式下的審計水平，與現有的高科技業務環境銜接不上。同時，審計隊伍中的人員老齡化也是突出問題。這就導致這些具備扎實財務審計專業知識的人員缺乏對計算機方面知識的了解，存在審計能力不足的問題。此外，現有的審計人員選拔上，單純以財務、審計等傳統模式下的知識考察為主，缺少電子商務、計算機等綜合方面的考量，導致審計人員在進行審計時不熟悉電子商務業務的處理過程和會計處理方法，更缺乏對電子商務審計風險的判斷能力。

2、缺乏特有的電子商務審計軟件。目前，針對電子商務模式下的審計軟件還很少，大部分都是與傳統貿易模式通用的審計軟件，但對于電子商務模式下大規模的數據處理還缺乏運行能力。主要原因在于目前市場上流通的財務軟件都以傳統通用型財務軟件為主，在傳統軟件下很難導入電子商務模式的審計軟件，軟件之間的不兼容性導致特有的審計軟件無法推廣。同時，會計師事務所不可能因為傳統審計軟件的運行能力不足，而單獨開發特有的財務軟件和配套審計軟件，這巨大的開發成本與審計業務收入不相匹配。另外，在注冊會計師進行審計時需要被審計單位提供專門用于審計取數的系統接口，但就目前我國的執行情況來說，只有部門企業完全執行這個規定，致使審計部門調取電子商務數據困難，加大審計風險。

四、電子商務環境下的審計風險防范對策建議

針對目前電子商務環境下存在的審計風險，應有針對性的從幾方面進行著手防范。

（一）完善我國電子商務審計環境

1、規范我國電子商務經營環境。針對目前我國電子商務存在的物流體系不完善問題，我國應著手從完善物流基礎設施建設、加強物流專業人才的培養以及提供物流相關的財政優惠政策等進行扶持。同時，我國可以參考國外的先進物流建設經驗，建立第三方物流專業機構，將物流從電子商務運營中獨立出來。通過建立第三方物流專業機構，一方面可以增強物流的綜合服務能力，提高貨物運送的效率，另一方面，獨立的物流第三方建設可以形成完善的物流網絡，提供更專業、便捷的服務，降低運送成本等。因此，完善第三方物流系統建設是規范我國電子商務經營環境的重要舉措，也是促進電子商務穩步發展、降低電子商務環境下審計風險的基本保障。

2、完善電子商務相關法規。完善電子商務相關法規可以從法律層面規范電子商務的經營市場，從保護消費者權益、保護個人隱私、保障網絡交易支付安全等角度進行規范。同時，對于電子商務的經營管理上，政府應以市場自我調節為主，不應過度干預。在電子商務審計方面，我國注冊會計師協會雖然已經出臺了1633號審計準則，該準則從電子商務對財務報表審計的影響方面進行了大致規定，但在審計具體程序中的相關數據提取細節、判定標準等方面并未作詳細的規定。因此，有必要從適應現代電子商務運營要求方面，完善電子商務環境下的審計準則，減少不確定性。

（二）防范電子商務審計對象的風險

1、完善電子商務企業內部控制制度。內部控制作為規范企業經營的重要制度，能讓電子商務企業強化風險意識，重視對企業數據完整性、準確性的控制，提高企業所有層面對于電子商務內部控制的重視程度，強化從業人員的風險意識。因此，加強電子商務企業的內部控制教育和培訓非常重要。首先，企業要從實際出發，制定適合本企業的內部控制制度；其次，在內部控制的實踐中，要加強對政策的執行掌控，可以通過設立專門的內部控制監督部門，制定各部門具體的考核計劃等進行電子商務業務的全過程控制；最后，在執行結果的考量上，可以采取適當的懲罰和激勵機制，提高全員對于自覺踐行內部控制的積極性。此外，對于電子商務企業數據和程序的安全性控制上，相關行政管理部門可以通過制定完善的準則予以規范，從法律法規角度進行強制執行。

2、提高電子商務企業從業人員專業能力。面對競爭日益激烈的電子商務貿易，必須從加強本企業從業人員的專業能力入手，提高整個企業的綜合競爭力。首先，企業要重視對具備管理能力和電子商務從業能力人才的重視和培養，利用提升薪資福利、加強企業凝聚力等方面留住人才；其次，在企業的日常運營中，要注重對員工的培訓，包括最新的經濟政策和市場消費動態，通過不斷對員工充電來提升專業能力；最后，在企業中更要實行優勝劣汰的競爭機制，提升員工自我學習和競爭的能力。

3、加強對電子商務環境下新內容的審計。針對目前電子商務審計中存在的電子簽名、網絡支付審核等問題，從事審計工作的注冊會計師在日常應加強對這些方面知識的關注，提高自我對電子商務運行的認知和對電子商務取數的能力。同時，提升電子商務環境下的網絡安全控制問題也是一個待解決內容，企業可以通過購買防護能力更強的防火墻技術和加密技術，提高本企業的數據安全，從而降低企業整體的經營風險和審計風險。

（三）防范電子商務審計人員的風險

篇（3）

(一)會計信息的電磁化使審計線索易于缺失　在電子商務環境下，企業內部的審計線索發生了質的變化，記錄業務的內部原始單據，如領料單等原始憑證變為電磁化的信息，計算機系統根據確認的經濟業務自動編制記賬憑證、登記賬簿、編制報表，實現財會核算的電算化。會計的確認、計量、記錄和報告都集中由計算機程序指令執行，各項處理再沒有直接的人員負責。傳統的審計線索可能完全消失，取而代之的是電磁化的會計信息。電磁化的會計信息，磁盤和磁帶比紙質的憑證、賬簿、報表更易被破壞。如果保管不好，存儲在磁性介質上的會計信息會因介質的破壞而丟失。更危險的是這些信息肉眼無法直接識別，可能被刪改而不留痕跡，有些只是暫存的，如果設計考慮不周，審計時就不能追溯其來源。

(二)審計范圍的擴大使審計固有風險加大　審計范圍是指針對特定審計對象所開展的審計實踐活動在空間上所達到的廣度。傳統審計主要是對被審計單位特定時期內的會計報表及其他相關資料及其所反映的經濟活動進行審計。電子商務環境下，除了對傳統審計內容進行審計外，還需要對系統開發以及控制、運行環境等進行審查。在電子商務環境下，電子商務系統特點及其固有的風險決定了審計內容必須包括對網絡信息系統處理和控制功能的審查，以證實其業務處理是否真實、合法及安全可靠。對內部網絡功能與控制的審計包括：硬件系統的審計、軟件系統的審計、人員組織及內部控制系統的審計；對外部網及相關單位的審計包括：審查網上的認證機構、加數字時間戳的機構、網上銀行或電子貨幣發行單位的真實可靠性、加密技術和防火墻技術等網絡安全控制措施的有效性。由于網上經濟交易、資本決策都是在網絡系統各工作站上完成的，因此，在電子商務環境下，審計的側重點從事后審計轉為實時審計，全方位地評價網絡交易的安全性以及財務報告存在的風險要素，從而使審計固有風險加大。

(三)電子商務系統的特點使審計風險控制難度增強　由于互聯網系統的分散性、開放性等特點，其安全保密性措施難以完善。計算機信息系統一方面面臨系統故障的風險，以及對電子商務數據的非法訪問、篡改、泄密和破壞的風險；另一方面還面臨著被非法入侵和剽竊電子商務數據的風險、計算機病毒和黑客破壞的風險以及網絡化經營管理存在的計算機舞弊問題。此外，若企業電子商務系統的設計存在先天性的功能性缺陷則可能給企業的內部控制制度執行和企業交易信息的處理等許多環節帶來難以克服的弊端。因此，不完善的電子商務系統，以及其所處開放式的網絡平臺，將給會計信息客觀公允地反映企業財務狀況和經營成果帶來負面影響，降低企業內控水平，從而增強審計風險控制的難度。

(四)審計人員知識的局限性使審計結論難以準確　審計人員的計算機知識、網絡技術和電子商務知識程度也成為評價檢查風險的考慮因素。在電子商務環境下，由于審計環境、審計線索、安全控制、審計內容和審計技術的改變，對缺乏計算機、網絡技術和電子商務知識的審計人員，會因為審計線索改變而不能識別、審查和評價企業的風險和控制，從而影響實質性測試的效果和審計結論的恰當性。為了準確對被審單位財務報表進行審計，有關審計部門、會計事務所必須擁有大量的既懂電子商務知識，又精通財會知識，法律知識的復合型人才。同時，這些復合型審計人才還須通曉有關審計軟件的開發、維護，計算機的保養等。

二、電子商務環境下控制審計風險的相關對策

(一)審計線索方面的追蹤審查　在電子商務環境下，審計需要跟蹤的審計線索大部分存儲在電磁性介質上，而磁性介質又容易被復制、篡改且不留下痕跡，審計人員應對審計線索的內部控制予以關注：一是在系統內建立日志和追蹤文件，以審查在數據處理過程中是否有過渡文件進行修改和處理；二是在審計機構和簽字確認單位的同時形成原始數據的備份或在不同部門各自形成相關的數據庫(特別應當包括數額、金額和單價等主要數據項)，這樣既可以相互監督，又可以使審計線索得以保留；三是可采取就地審計和突擊審計的方式，以防程序員對被審系統的應用程序加以篡改，防止操作員對被審系統數據文件進行增加、刪除、修改等，從而達到降低審計風險的目的。

(二)數據安全方面的防范控制　電子商務與電子貨幣、電子支付、電子結算的發展，帶來了一個十分嚴峻的問題就是安全性問題。為控制審計風險，實際工作中可以從以下方面著手：一是硬件系統的控制。測試的重點包括：實體安全、火災報警防護系統、使用記錄、后備電源、操作規程、災害恢復計劃等。系統操作員對處理日常運作及部件失靈是否作出了適當的記錄與定期分析、硬件的災難恢復計劃是否適當、是否制定了相關的操作規程、各硬件的資料歸檔是否完整等。二是軟件系統的控制。軟件系統包括系統軟件和應用軟件，其中最主要的是操作系統、數據庫系統和會計軟件系統。總體控制目標應達到防止來自硬件失靈、計算機黑客、病毒感染、具有特權職員的各種破壞行為，保障系統正常運行。三是數據資源的控制。數據加密是電子商務信息系統中防止信息失真的最基本的控制技術。數據加密可以在OSI協議參考模型的多個層次上實現。系統的主體驗證關鍵是要驗證主體的信息，有效地保護數據的完整性。備份不僅在網絡系統硬件故障或人為失誤時起到保護用，還在入侵者非授權訪問或對網絡攻擊及破壞數據完整性時起到保護作用。四是病毒的控制。充分利用防火墻技術，利用防火墻的過濾來實現局域網與外部網之間相互訪問控制。做好經常性的病毒檢測工作，進行殺毒、護理和動態的防范。

(三)內部控制方面的了解測試　在網絡環境下，審計人員除對原有的審計范圍和內容進行審計外，還應對被審單位信息系統的內部控制制度健全性和實際執行情況進行符合性測試，找出控制弱點。一是了解測試被審單位是否制定適當的權限標準體系，崗位人員是否按照所授予的權限對系統進行作業；二是了解測試被審單位是否將系統內不相容職務劃分清楚，在數據輸出時，對不同密級的數據授予不同的權限；三是了解測試被審單位的系統操作是否遵循一定的標準、操作規程進行；四是了解測試試被審單是否建立數據備份與數據檔案管理制度。系統數據與軟件管理是否由不同人承擔，系統進行備份數據恢復時，是否是由具體操作員和主管共同批準。

篇（4）

在電子商務環境下，企業的會計信息系統已成為網絡化數據系統的一部分，企業的財務信息通過網絡信息技術實現實時的披露。這樣，正如世紀公司財務報表的公開披露形成了報表審計市場，實時在線的財務披露也將催生實時在線審計報告的市場。在每一項經濟交易中，買賣雙方都不愿意在信息不充分的情況下進行，這種經濟需求是審計產生的根本條件。隨著網絡信息技術在財務信息披露中的廣泛應用，廣大的信息使用群體對企業所披露的信息的公允和誠信逐漸產生鑒證的需求。

我們從審計發生的頻率、審計結果的表達形式、審計對象的信息內容和信息含量、審計報告的作用方式，以及審計報告的使用者群體等方面，將電子商務環境下的實時審計報告與傳統的財務報表審計報告進行比較（見表）。

表傳統審計報告與電子商務環境下的實時審計報告比較

傳統報表審計報告電子商務環境下的

實時審計報告

審計頻率年度實時

審計結果審計意見經濟鑒證

信息內容針對財務報表信息針對使用者選定的信息

信息含量以歷史信息為主導既包括歷史數據，也包括大量現

現時和未來預測信息

使用范圍向投資者、債權人提供向決策者提供

審計方式糾錯、偵察舞弊除傳統方式之外，還兼有監控

與咨詢功能

通過比較我們可以知道，在審計報告的形式和內容上，以及在審計報告的編制和使用方式上，實時審計報告體現了電子商務環境對會計審計領域的重大影響，也體現出會計審計的發展是基于經濟環境發展的基本前提。報表審計報告是現代企業制度和工業經濟環境作用于會計信息需求的產物，電子商務環境下的實時審計報告也正是現代網絡信息經濟作用于現行會計信息誠信需求的產物。

五、電子商務環境下的審計風險

在任何審計環境下，審計師在制定審計計劃時都要根據個人判斷對審計風險進行評估。在比較簡單的情形下，審計師可以根據個人判斷將審計風險劃分為高、中、低等檔次。在復雜的情況下，審計師需要建立有效的風險模型來量化審計風險的等級。在電子商務環境下，由于信息經濟環境更加復雜，需要建立有效的審計風險模型來評估審計任務中的風險程度。所有的風險評估都離不開審計師對審計程序中的某些指標進行主觀性的判斷。通過主觀判斷，審計師選擇一定的風險評估方法，使自己的審計決策達到預定的有效程度。在電子商務環境下，審計師對審計風險的控制仍然離不開傳統審計理論對審計風險的評估模型，即從固有風險、控制風險和檢查風險三個基本要素來分析審計業務中的風險程度和法律責任。通過對這三類風險要素的理解，可以降低從事審計業務而招致損失的可能性。在電子商務環境下，會計信息受到最大的挑戰就是會計記錄的有效性、完整性和公正性，與之相關的審計和內部控制概念則是職責劃分、信息安全和糾錯技術。電子證據與傳統證據的不同之處在于它們由電子商務企業的內部控制來保證有效性，它們的可用性和可靠性通常依賴于對經濟交易有效性和完整性的內部控制效果。

由于在電子商務環境下信息披露錯誤會跨越不同的企業信息系統，因此其影響十分嚴重。一般情況下，固有風險與被審計企業經營系統的安全性相關，對其評估的主要范疇包括：（）企業信息系統管理及經驗的完整性；（）企業信息系統變更情況；（）可能導致企業信息系統掩飾或錯報信息的異常壓力；（）企業經營和信息系統的性質（電子商務計劃和系統的復雜和整合程度）；（）影響企業的行業版權所有因素（包括信息技術的適用性等）；（）企業供應鏈、技術引進、經營合作等第三方對企業信息系統控制的影響水平；（）前任審計時間及其審計發現。

傳統審計中的控制風險通常不容易被企業內部控制系統及時地防范、偵察和糾正。但在電子商務環境下，由于企業經濟業務數據通過企業的信息系統自動地進行加工和處理，而且數據由計算機系統進行實時的反饋，因此出現控制風險的概率比較低。審計師在考慮審計任務的控制風險時，應注意企業內部控制系統的獨立性和有效性，并通過系統檢測證明其正常運行。

在審計風險三個基本要素中，只有檢查風險是審計師能夠真正控制的。電子商務環境下，審計師需要綜合地考察對固有風險的評估結果以及符合性測試對控制風險的測定結論，決定對被審計企業的信息系統及其生成數據的實質性測試范圍。固有風險和控制風險的程度越高，審計師就越有必要執行詳細的實質性測試，來獲取足夠的證據和把握，將審計業務的誤差控制在可容忍的范圍內。

六、電子商務環境下的審計獨立性

篇（5）

現如今，電子商務已成為人們生活中不可或缺的一部分，隨著互聯網信息化的高度發展，原有的傳統商業模式已發生了翻天覆地的改變，在這種環境下，相關電子商務的審計工作面臨著巨大的挑戰。

1電子商務環境下審計的概念

今天所說的電子商務一般是指在互聯網上進行的商業活動。電子商務環境下的審計，就是注冊會計師對被審計單位的電子商務活動以及反映這些電子商務活動的會計記錄和網絡記錄進行的必要的審計。它包括兩個方面：①注冊會計師對被審計單位的電子商務活動以及所反映的會計記錄的真實性、完整性、合法性進行審計；②注冊會計師對被審計單位的網絡系統的可靠性、安全性、合規性進行審計。在這樣的環境下，審計的一些主要要素也發生了改變。首先，審計環境由審計人員親自到被審計單位進行審計證據的收集變為借助因特網、計算機、現代通信技術來進行；其次，審計對象由企業的會計信息和企業經營管理活動有關的其他信息變為計算機系統生成的會計信息或者儲存信息；另外，審計方法也由人工變為了系統自動運算生成。這樣，就在一定程度上增加了我們的審計風險。

2我國電子商務環境下的審計風險研究

2.1相關法律法規和審計準則不完善

雖然我國在電子商務的法律法規的制定和有關電子商務審計準則的制度方面取得了不少成績，但是，仍存在著很大的不足。一方面，我國電子商務還缺少基礎性的法律。雖然《中華人民共和國電子簽名法》已出臺多年，但整個電子商務的法律體系還沒建立，很多電子商務細節缺乏統一的標準。另一方面，雖然我國現行的審計準則對電子商務審計有所涉及，但對注冊會計師審計時的標準和具體程序沒有明確規定，導致注冊會計師在電子商務環境下審計時和傳統審計的方法一樣，這很可能會帶來審計風險。

2.2社會信用體系缺失，網絡安全問題嚴重

人與人之間的高度的信任是電子商務運行的基礎，但是在我國，社會信用體系還沒有建立，人們的信用觀念相對淡薄，企業的信用水平低下，這難以保證企業與企業、企業和個人之間交易的正常穩定的進行，很可能導致信息造假、欺騙、欺詐等風險行為，導致電子商務風險的出現。另外，網絡安全問題是互聯網發展過程中一個不可忽視的關鍵問題。電子商務面臨的安全問題主要包括信息的造假、信息的篡改以及對信息進行竊取等。如果不能保證電子商務的安全性，注冊會計師在審計中無法獲得真實可靠的審計證據，審計的風險自然就會增大。

2.3電子商務環境下企業的內部控制薄弱

我國的電子商務興起比較晚，很多企業剛開始運用電子商務平臺經營自己的業務，對電子商務的一些細節和特點還不太熟悉，電子商務的管理及其控制對于很多企業都存在很多漏洞，諸如運用電子商務的購銷業務，電子發票的開具和保管等，這些都加大了我們對電子商務的審計風險。

2.4審計人員的專業勝任能力不夠

電子商務環境下審計涉及審計、會計、電子商務、網絡技術等多方面的審計，注冊會計師在電子商務環境下進行審計時不僅要掌握財務、審計方面的專業知識，而且也要對電子商務，網絡技術等方面的知識有一定的了解。然而，由于我國電子商務剛剛興起，這方面的審計人才無論在數量上還是專業勝任能力上都存在嚴重的不足。此外，審計老齡化也是個突出的問題，年齡較大的審計人員雖然在傳統的財務審計方面經驗豐富，但對電子商務、計算機方面的知識了解很少。

3我國電子商務審計風險的防范

3.1完善我國電子商務的法律法規和審計準則

電子商務法律法規能夠對電子商務活動起到規范的作用。雖然我國在電子商務立法方面取得了一定成就，但這些法律法規還不能滿足現實的需要，因此必須加快電子商務審計法律法規的建設進程。在電子商務法律法規的制定上我們可以借鑒一些國家的經驗，制定出以保護消費者權益、保護個人隱私、保護平等競爭、保護公平交易為原則的電子商務法律法規。

3.2完善社會信用體系和維護網絡安全

能否有效的解決電子商務信用風險問題，依賴于整個社會信用體系的建立和健全，政府相關部門可以通過與企業和個人相關的稅務、工商、質檢等系統，來建立企業和個人的信用數據庫，并且可以向社會開放，為社會提供信用查詢，這樣可以對企業和個人的信用狀況做出評判，以此來完善社會信用體系。

3.3鼓勵企業建立完善的電子商務內部控制制度

企業應提高管理層對電子商務內部控制系統的認識、強化電子商務人員的風險意識。因此，對企業管理層的現代化管理教育和培訓十分重要。企業的管理層要重視企業內部控制部門的作用，加強內部控制部門對企業管理的參與。企業的內部控制部門要定期對內部控制系統進行評估，包括針對電子商務的內部控制系統的評估

篇（6）

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2016. 07. 011

[中圖分類號] F239 [文獻標識碼] A [文章編號] 1673 - 0194（2016）07- 0028- 02

1 電子商務環境下審計的概念

在這樣的環境下，審計的一些主要要素也發生了改變。首先，審計環境由審計人員親自到被審計單位進行審計證據的收集變為借助因特網、計算機、現代通信技術來進行；其次，審計對象由企業的會計信息和企業經營管理活動有關的其他信息變為計算機系統生成的會計信息或者儲存信息；另外，審計方法也由人工變為了系統自動運算生成。這樣，就在一定程度上增加了我們的審計風險。

2 我國電子商務環境下的審計風險研究

2.1 相關法律法規和審計準則不完善

2.2 社會信用體系缺失，網絡安全問題嚴重

人與人之間的高度的信任是電子商務運行的基礎，但是在我國，社會信用體系還沒有建立，人們的信用觀念相對淡薄，企業的信用水平低下，這難以保證企業與企業、企業和個人之間交易的正常穩定的進行，很可能導致信息造假、欺騙、欺詐等風險行為，導致電子商務風險的出現。

另外，網絡安全問題是互聯網發展過程中一個不可忽視的關鍵問題。電子商務面臨的安全問題主要包括信息的造假、信息的篡改以及對信息進行竊取等。如果不能保證電子商務的安全性，注冊會計師在審計中無法獲得真實可靠的審計證據，審計的風險自然就會增大。

2.3 電子商務環境下企業的內部控制薄弱

2.4 審計人員的專業勝任能力不夠

電子商務環境下審計涉及審計、會計、電子商務、網絡技術等多方面的審計，注冊會計師在電子商務環境下進行審計時不僅要掌握財務、審計方面的專業知識，而且也要對電子商務，網絡技術等方面的知識有一定的了解。然而，由于我國電子商務剛剛興起，這方面的審計人才無論在數量上還是專業勝任能力上都存在嚴重的不足。

此外，審計老齡化也是個突出的問題，年齡較大的審計人員雖然在傳統的財務審計方面經驗豐富，但對電子商務、計算機方面的知識了解很少。

3 我國電子商務審計風險的防范

3.1 完善我國電子商務的法律法規和審計準則

3.2 完善社會信用體系和維護網絡安全

3.3 鼓勵企業建立完善的電子商務內部控制制度

篇（7）

商業銀行從事金融業務面臨著市場風險、信用風險、以及操作風險等，而電子商務的出現則加劇了上述各類風險發生的可能性以及風險發生之后的破壞程度。2004年以來，我國面臨的網絡仿冒威脅正在逐漸加大，仿冒對象主要是金融網站和電子商務網站。2005年上半年共收到網絡安全事件報告65679件，超過2004年全年案件數，商業銀行電子商務安全風險管理策略已成為理論與實踐中必須重視的課題。

一、信息安全管理的歷史演進與現階段的特點

信息安全管理的策略大體遵循事件驅動(技術和管理脫節)－逐漸標準化(技術和管理逐漸結合)——安全風險管理(引入了風險分析)的發展路徑。

(一)以事件驅動的初級階段時期

19世紀70年代安全主要是指物理設備和環境的安全，人與計算機之間的交互主要局限在大型計算機上的啞終端，安全問題只涉及能訪問終端的少數人。安全管理策略處于初級階段，由事件驅動，沒有形成規范的管理流程。在此階段的前期，只重視技術手段。后期開始重視管理手段，但是技術和管理之間脫節。許多組織對信息安全制定了相應的規章和制度，但組織的信息安全管理基本上還處在一種靜態、局部、少數人負責、突擊式、事后糾正式的管理方式。

(二)標準化時期

企業開始將安全問題作為整體考慮，形成一套較為完整的安全管理策略，其中包括了安全管理的技術手段和管理制度(或稱運作管理)。幾乎所有從事電子商務的企業都擁有自己的安全策略，內容也包括了技術手段、安全管理制度、人員安全教育等等，基本上形成體系，技術和管理手段綜合統一，但是安全風險分析還存在不足之處。

(三)安全風險管理策略時期

隨著電子商務安全管理發展到一個比較高的層次，安全管理策略也演進到安全風險管理階段。主要特點如下：

1.安全風險管理成為主流趨勢；在安全管理策略的演進過程中，技術和管理手段綜合統一、又融入了風險管理的分析、防范策略，從而安全管理進入了安全風險管理時期。西方商業銀行已對安全風險管理形成共識。如安氏公司(is—One)，認為信息安全問題最終將歸結為風險管理問題，風險管理方法是建立良性的安全技術和管理體系的依據和基礎。

2.安全風險管理的國際標準和各國的規范逐漸形成并趨于完善。國際上關于安全風險管理的標準有巴塞爾銀行監管委員會的《電子銀行業務風險管理原則》、英國標準協會制訂的BS7799等。各國也日益重視安全風險管理，制定了許多規范。例如美國貨幣監理署(OCC)的《電子銀行最終規則》、香港金融管理局的《電子銀行服務的安全風險管理》等。中國銀行業監督管理委員也于2006年頒布了《電子銀行業務管理辦法》，對國內企業的電子商務安全風險管理給出了指導意見。

3.利用外部專業化機構對金融機構的安全性評估已成為大部分國家的選擇。電子銀行面臨的安全和技術風險，在相當程度上取決于采用的信息技術的先進程度，系統的設計開發水平，以及相關設施設備及其供應商的選擇等；銀行依靠傳統的風險管理機制已很難識別、監測、控制和管理相關風險。同樣，監管機構也難以完全依靠自身的力量對電子銀行的安全性進行準確評價和監控。因此，大部分國家都采用了依靠外部專業化機構定期對電子銀行安全性進行評估的辦法，加強對電子銀行安全性和技術風險的管理和監管。

4.在許多國家信息系統審計(IsAudit)作為一種信息技術服務被廣泛提供，許多知名的咨詢公司都提供類似的信息審計服務。業界的IT風險分析師也成為一種職業，專門從事電子商務的安全風險工作，從經濟學的角度出發分析風險，充分衡量保持安全的代價和收益之間的關系，尋求用最小的代價實現最大的效用，在風險分析中也形成一套較為成熟的模式。

二、我國商業銀行電子商務安全風險管理策略的薄弱點

(一)系統管理思想缺乏

目前的電子商務安全風險管理策略，在全局上缺乏系統論理論的指導，在實際操作中受到多種多樣的安全攻擊時會不可避免地出現安全漏洞，無法形成一張全面有序的安全網絡。

實踐中被采用的安全風險管理策略，以及作為指導意見的規則規范，如《信息安全管理實務準則》(IS017799)、《信息技術安全性評估準則》(GB／T18336．1)、巴塞爾銀行監管委員會的《電子銀行業務風險管理原則》，盡管提出了比較全面的安全風險管理方案，層次上也比較清晰，但是還不足以作為一個風險防范系統。實踐中，電子商務組織是一個復雜的系統組織，電子商務的安全風險管理體系和過程也是個復雜的系統。系統論、控制論的思想在電子商務安全風險管理中是不可或缺的。

(二)風險分析的模型與方法不成熟，定量分析不足

電子商務模式自身的發展歷史也不過20幾年，在風險分析的定量技術上并不成熟；如BS7799中推薦的電子商務安全風險管理中實施風險評估時，往往將威脅發生的可能性定性劃分為幾個級別，將威脅所造成的影響也定性劃分為1～5級，實質上是將一些按照概率發生的事件定義為不連續的幾個級別，在操作上易行，但造成了度量的不精確。在進行監控和審計之后，也存在無法量化、對比的問題。

(三)忽視與原有的傳統風險管理策略的結合

本質上，電子商務的安全風險無非是新興的商業模式對傳統的風險的改變，以及產生的在傳統風險控制領域暫時無法明晰的新風險；現有管理策略只從信息技術的角度、或者從偏重技術的角度看待問題，站在金融領域本身來分析研究較少。這種狀況導致了對電子商務安全風險管理的研究無法立足于一個比較高的層次；忽略了風險的整體性，只進行偏信息和技術的研究，導致了現有的電子商務安全風險管理策略與金融機構原有的傳統業務風險管理策略存在差距。對于商業銀行而言，傳統金融業務的風險控制與電子商務的技術風險控制，兩個方面存在脫節，同樣屬于商業銀行的風險，存在著不同的管理策略，導致多頭管理、資源浪費、機構之間的扯皮，乃至缺位管理。

(四)風險管理策略無法依賴外部的信息安全管理行業

在發達國家，信息系統審計(IsAudit)作為一種信息技術服務被廣泛提供，許多知名的咨詢公司都提供類似的信息審計服務。IT風險分析師也成為一種職業，專門從事電子商務的安全風險工作。商業銀行采用依靠外部專業化機構定期對電子銀行的安全性進行評估的辦法，提高對電子銀行安全性和技術風險的管理和監管。而國內初步建立了國家信息安全組織保障體系，制定和引進了一批重要的信息安全管理標準、法律法規，風險評估工作得到了一定重視，但與發達國家成熟完善的外部信息安全管理行業仍有很大差距。

(五)風險管理策略中商業銀行的內部風險控制能力薄弱

我國商業銀行目前均建立起統一的風險管理部門；但風險控制部門的職能、權限與花旗銀行等體制較為先進的銀行相比仍然存在較大差距，風險控制實質上仍然分散在各個子部門；風險的評估、防范與控制實質上完全依靠商業銀行的電子交易部門；風險管理部門、內審稽核部門實質上無法控制電子商務安全風險。例如，風險管理部門接受了電子交易部的風險控制報告，表面上履行的內控審核的流程，但審核作用有限，無法完成電子商務安全風險管理中的監控與審計環節。

三、商業銀行的電子商務安全風險管理策略的改進建議

(一)基于系統的思想構建商業銀行電子商務安全風險管理策略框架

利用系統理論作為總體的指導思想，將電子商務安全風險管理策略本身當作一個開放的自適應系統。將商業銀行電子商務安全風險管理中的各個環節組成循環上升的系統。

在商業銀行電子商務安全風險控制的流程中，經過信息安全的風險評估、資產識別和選擇、實施控制降低風險的措施、將風險控制在可接受的范圍內，然后進行監控和審計；尤其重要的是把監控和審計所得到的內容作為新一輪風險分析輸入，從而開始新一輪的風險管理過程。商業銀行電子商務安全風險管理的各個步驟為動態的循環系統。每完成一個循環，安全風險管理的有效性就上一個臺階，商業銀行的安全管理水平變得到了提高。

(二)電子商務安全風險管理中定量分析中的改進思路

商業銀行可以借鑒成熟的傳統金融風險度量中的一些方法來改變電子商務安全風險管理中對資產進行粗略的優先級別排序的方法。實踐中，商業銀行對操作風險的管理與對電子商務安全風險管理有其相似之處。巴塞爾委員會對商業銀行的操作風險的內部計量法中規定，商業銀行內部估計風險敞口指標、損失事件發生的概率、風險損失，巴塞爾委員會制定資本要求的轉換系數；在度量損失的分布時，主要利用統計和精算技術。商業銀行應通過數據庫將威脅發生的頻率、威脅所造成的影響等精確記錄下來，利用現有的度量方法進行精確的風險定量分析的嘗試。

篇（8）

1電子商務概述

1.1電子商務的概念

對于電子商務的概念，目前國際上還未給出一個統一的定義，按照WTO的定義，電子商務就是公司利用網絡平臺進行的產銷與財會等活動，其內涵不僅包括網絡上的商品交易行為，同時也包括了所有通過計算機你與通信技術來解決問題、控制成本、提高產品附加值以及擴大市場份額的商業運營活動，例如以網絡技術實現企業物資的核對、進貨、樣品展示、訂單處理及發貨、網絡付款等。首先，電子商務是通過現代信息技術實現了傳統商業的中間經銷商核心功能，從而為買賣雙方節約了成本，實現了買賣雙方的共贏。其次，電子商務的性質實際上就是一個不受時空限制的交易市場，讓市場的資源配置能力得到了顯著地提高，極大提高了商業活動的效率。第三，電子商務的發展受到兩個方面因素的制約，一方面，其需要計算機與通訊技術的發展為其插上翅膀，另一方面，其無法脫離“商務”這一傳統人類活動本質內容。電子商務的概念并不能簡單的認為是商務的電子化。現代電子商務早已脫離了初始階段將商品通過網絡平臺進行交易初級模式，而是發展成為了一種“企業全方位信息化革命”的高級模式。即通過計算機與通信技術來解決問題、控制成本、提高產品附加值以及擴大市場份額的商業運營活動。

1.2電子商務模式的分類

1.2.1B2B

B2B（BTB，即Business-to-Business）是指企業與企業之間通過網絡進行數據信息的交換、傳遞，開展交易活動的商業模式。它將企業內部網和企業的產品及服務，通過 B2B網站或移動客戶端與客戶緊密結合起來，通過網絡的快速反應，為客戶提供更好的服務，從而促進企業的業務發展。

互聯網公司的頻繁倒閉、互聯網泡沫的破滅，轟轟烈烈的電子商務熱等等事件使得 B2B企業經歷了發展、消弭到再復蘇的坎坷歷程。一路走來，B2B已日趨成熟，加之以中國適宜的大環境為依托。政府社會的大力支持、得天獨厚的行業優勢和成熟的管理經驗，使得 B2B在各行各業中飛速發展，占據了電子商務的較高份額。服務平臺在降低企業成本、提高企業交易效率、推進企業核心業務的發展上起到重要作用。

1.2.2B2C

B2C（Business-to-Customer），指直接面向消費者銷售產品和服務商業零售模式。這種形式的電子商務一般以網絡零售業為主，主要借助于互聯網開展在線銷售活動。B2C即企業通過互聯網為消費者提供網上商店，消費者通過網絡在網上購物、網上支付等消費行為。電子商務節省了客戶和企業雙方的時間和空間，提高效率，得到人們認同獲得迅速發展。B2C的商務模式主要代表是亞馬遜，國內主流的電商品牌主要有天貓、京東、當當網等。

1.2.3C2C

C2C（Customer to Customer），是指個人與個人之間的電子商務。C2C最為廣泛所知的是“淘寶”，模式還包括分類廣告、個性定制服務、個人物品二手物品的交易、虛擬資產的出售。在電子商務的諸多模式中，模式為消費者個人提供了寬廣的網上交易空間，為消費者提供了便利與實惠，使得電子商務發展逐步大眾化、平民化，是電子商務迅速發展的一個重要內容。國內比較有名的電商平臺是淘寶網、拍拍網、易趣網等。

1.2.4O2O

O2O（即Online To Offline），是指將線下的商務機會與互聯網結合，讓互聯網成為線下交易的平臺，這個概念最早來源于美國。O2O的概念非常廣泛，既可涉及到線上，又可涉及到線下，可以通稱為O2O。在線下進行產品的銷售或服務的提供，通過互聯網來推廣宣傳，消費者可以通過互聯網甄選需求，并且在線預訂、結算，之后進行線下的實際消費。甚至可以靈活地進行線上預訂，線下交易、消費。電商平臺主要體現在團購網站，包括美團網、糯米網、大眾點評網等，團購滲透在我們生活中的吃喝玩樂。

1.3電子商務的基本流程

電子商務的基本流程可以用網絡商品直銷的流程來代表，消費者賣方利用網絡商店形式開展買賣活動。這種在網上進行的交易活動最大的特點是買賣雙方直接在網上溝通，交易環節少、速度快、費用低。其流程基本分為6個步驟：

（1）客戶在網絡平臺上檢索所需產品信息及評價，選擇意向產品進入意向購買產品區進行候選，即放入電子商務平臺的“購物車”中。

（2）客戶選定待選產品后，進入“購物車”中，確定所要購買的產品。此時，電子商務平臺會自動生成客戶所需要支付的金額。

（3）客戶通過電子商務平臺提供的即時通訊軟件與商家對產品交易的細節進行詢問。

（4）客戶設定自己的相關信息，主要包括收貨地址、收貨人姓名、收貨人聯系方式、支付方式以及所購買的產品的型號、數目。

（5）客戶向電子商務企業支付貨款。支付方式有多種途徑。從收貨的時間前后分類，主要可分為貨到付款、預付款以及到貨確認后由第三方轉款三種方式。

（6）客戶收到貨物后，檢查貨物是否完好，在確認收貨后對商家貨物進行評價。

2電子商務環境下面臨的審計風險

2.1電子商務審計

2.1.1審計的基本概念

審計通過多年不斷的完善和發展，至今已形成完備的科學體系。目前最普遍被認可的審計概念，是美國會計學會（AAA）的審計概念委員會在發表的《基本審計概念說明》，將審計定義為：“審計是一個系統化過程，即通過客觀地獲取和評價有關經濟活動與經濟事項認定的證據，以證實這些認定與既定標準的符合程度，并將結果傳達給有關使用者?！?/p>

注冊會計師執行審計工作，是企業提高財務信息的真實度、降低財務風險的有效手段。注冊會計師在審計工作中所發揮的作用就是，他們出具的審計意見可以提高財務報表信息的可靠性或可信度。在整個審計監督體系中，注冊會計師審計相對于政府審計和內部審計，占據更重要地位，本文所探討的審計，均為注冊會計師（CPA）審計范疇。

2.1.2電子商務環境下的審計

電子商務環境下審計是指審計人員對網絡上所進行的經濟活動和信息系統的安全性進行監督和評價，不僅對網上的交易、支付、清算等各項業務進行審查和監督，而且針對網上容易發生的各種不安全現象進行安全性評定以及提出要求。

2.1.3電子商務環境下審計的特點

（1）計算機網絡技術的應用。電子商務在網絡中開展，其經濟交易數據完全電子化和無紙化，在這里傳統的審計線索被，電磁化的審計線索取代。審計人員必須充分應用計算機網絡技術來開展審計，否則對網絡的數據庫審計和許多實質性測試和符合性測試無法實施。

（2）交易的執行與信息處理的數據庫。在科技日益發展的今天，隨著電子商務的不斷普及，企業經濟事項（含會計事項）及其相關數據基本可由計算機自動化數據處理形成數據庫。審計也必須隨之改變建立一套相應的數據處理系統。

（3）強調內部控制制度的重要性。網絡化的計算機信息系統不斷發展，電算化軟件的普及，紙質憑證將會越來越少，計算機管理與操作人員對各種數據的收集與處理上有很大的隨機性和專斷性，所以內部控制將會變得越來越重要。

2.2電子商務環境下的審計風險

2.2.1審計風險的概念

《美國審計準則說明》給出了審計風險的定義：“風險是審計人員對財務報表中的可能存在的重大錯報，在非有意的情況下沒有做出適當的修正審計意見?！敝袊鴮徲嬋藛T協會公布的《獨立審計具體準則第9號內部控制和審計風險》中對審計風險定義為：“審計風險是指財務報表存在重大錯誤或漏報，而審計人員在執行審計工作后未能指出這些錯誤或漏報，從而發表不恰當審計意見的可能性?！币陨蟽蓚€定義大體相同，其主要包括兩方面的含義：一是企業發生錯誤或漏報的，未能公允的反映出被審計單位的財務狀況、經營成果的財務報表，注冊會計師在執行審計工作時未能察覺，認為其公允，發表了無保留意見的審計報告；二是被審計單位的財務報表本身是公允的，但注冊會計師認為錯誤，發表了不恰當的審計意見。

2.2.2電子商務環境下審計風險類型

電子商務環境下審計風險指的是在當前網絡系統的大環境下，由于審計人員對審計證據和審計線索的判斷和分析是通過信息化的審計技術或者財務技術，而導致會計報表出現重大錯報和漏報，最終導致審計人員在審計之后發表不恰當的審計意見的可能性。網絡審計風險一般包括以下幾種類型：

（1）數據高度集中于網絡系統，財務數據流程過程中的簽章等傳統手段不再存在，非法侵入網絡的人可能不留痕跡將數據非法修改、刪除、隱匿、轉移和偽造原始數據，審計難度加大從而使審計風險增加。

（2）支付手段多變，主要以電子貨幣（如電子現金、電子支票、電子信用卡等）進行交易，審計人員很難判斷交易是否真實，貨幣的收付是否真實。

（3）交易商結成的數據廣泛集中于網絡平臺進行交易和決策，系統之間相互影響產生連鎖反應，加大了審計風險。

（4）內部人員的操作風險和道德風險。操作程序規范性不強、操作人員缺乏防范意識是操作風險產生的兩大主要原因。業的內部管理人員有時也會對會計數據進行非法訪問、篡改，甚至泄密和破壞。

（5）計算機處理的集中性和連貫性使職責分工的約束機制可能失效。

（6）數據存儲載體的改變和共存程度的提高使得傳統交易方式下的賬簿控制體系失去作用。

（7）電子商務技術的發展已超出現有法律體系的規范，交易的合法性不易確定。

3電子商務環境下審計風險的成因及控制對策

3.1環境成因分析及控制對策

3.1.1電子商務環境

在傳統企業的審計中，被審計單位的會計資料能夠提供完整的審計證據。而在電子商務的環境下，被審計單位與供貨商和消費者之間的依賴性增強，在電子商務運行的過程中人為干預的狀況減少，這使得審計難度上升。

對此可以加強網絡審計的立法準則。電子商務審計同傳統的審計一樣需要以完整的審計證據為根基實施審計，在如今的電子商務環境下我們需要制定一系列的專門的網絡法律，對網絡系統、網絡化審計系統的風險防范做出明文規定，以使得我國網絡審計的運作更加規范，更有保障。

3.1.2網絡安全問題

在電子商務運行過程中，商家、消費者、支付方之間通過網絡相互聯系，購買、支付等一系列商務活動都會受到網絡安全的威脅。例如信息可能被篡改、信息可能會被攔截、信息可能不真實的情況會增加。注冊會計師無法或得真實可靠的審計證據無疑增加了審計難度、審計風險。

審計人員可以制定有針對性的審計方法和技術來解決安全問題給審計帶來的困難。例如嵌入式測試設備、審計數據實時追蹤技術、擴展性記錄等。嵌入式測試設備是指審計人員將所提供的程序代碼按所決定的嵌入點與客戶的處理程序合成一體，來執行審計程序，測試控制情況。最終的審計結果可以將復雜的審計數據匯總成一份簡單的文件報告，以此作為會計審計的軌跡，便于復查，注冊會計師用來確保審計程序的執行情況趨于正常。審計數據實時追蹤技術。審計機構可以利用專門的網絡追蹤軟件，對審計數據實施及時的追蹤，以防止他人非法篡改信息數據。同時，還可以對操作人員的操作行為實施監控，提高審計人員的自覺性和規范性。擴展性記錄。擴展性記錄是指在應用系統的業務記錄中添加審計元素，擴充了業務數據的內容的同時使審計線索變得完整。審計人員可以通過抽取的方式對這些數據進行審查。

3.1.3法律法規體系及準則

電子商務需要一套完整的法律法規體系，要涉及電子簽名的合同法、身份辨認程序、電子文件規范、及稅法等等的方方面面。因為電子交易的不規范會直接導致審計風增加。我國已制定《中華人民共和國注冊會計師法》和《中國注冊會計師獨立審計準則》等相關規范。但面對電子商務環境，由于審計證據、審計范圍都發生變化，過去的準則規范并不能完全適應當今的變化，注冊會計師沒有特定的審計標準，這必然會增加審計風險。

制定符合中國現狀的網絡審計準則，一方面要能繼續保持審計人員執行審計業務的獨立、公正、客觀的要求。另一方面要適應電子商務環境，在對象、線索、方法、流程、結果等各方面相對于傳統審計都發生了變化的情況下，規范審計的以網絡信息系統為中心的一整套制度以及電子版本的業務約定書、管理說明書、審計報告等電子文件的合法化。

3.2審計對象成因分析及控制對策

3.2.1電子數據信息

在電子商務的交易形勢下，交易雙方利用電子郵件和電子數據交換（EDI）的形式來傳遞交易信息。傳統經濟業務模式下的紙質數據被電子數據所替代，電子數據的易消失性和易破壞性，以及電子數據的法律效力問題都將是注冊會計師需要關注的重點。對此我國可以鼓勵發展第三方物流，使第三方物流成為我國物流業的主體，這樣不僅有利于提高物流企業的社會化和專業化水平，還有利于電子商務企業節省資源，集中力量發展自己的優勢項目。

3.2.2內部控制

電子商務企業在內部控制方面的變化主要如下：一是控制形式由手工控制轉化為手工控制和計算機控制相結合，部分內部控制可以由計算機自動進行；二是產生新的內部控制點，使內部控制更加復雜。注冊會計師除了對會計人員及其工作、信息處理的方式和程序進行分析外，還要對計算機硬件、軟件、程序等進行控制；三是內部控制制度發生改變。傳統手工記賬形式下總賬與明細賬相互牽制制度，憑證經多人復核的形式已經不存在，會計信息系統的內部控制中，數據的一系列處理都統一由計算機完成。因此，注冊會計師檢查的重點由財務部門轉移到了電子數據處理部門。

為了加強企業內部控制，保護數據安全，并使審計人員能夠獲得完整、真實的會計數據，降低審計人員的審計風險，可以使用的方法包括：（1）對公司的硬件設備、軟件設施進行檢查，對其設置用戶管理權限；（2）對網絡系統進行外部訪問設置，以便于實時監控；（3）在業務流程上，應強化信息的輸入、處理、控制、輸出控制。對關鍵的業務實施敏感業務控制；（4）對內部的系統維護和系統人員應嚴格分離，并定期進行人員培訓，防止操作失誤和舞弊行為的發生。

3.3審計主體成因分析

3.3.1審計人員

傳統審計的賬賬核對、賬證核對、賬表核對等重要的會計工作，而在電子商務環境下，企業以網絡信息系統為核心進行賬務處理，原始憑證、記賬憑證、會計報表等同屬于一個數據庫，這都對會計師提出了更高的要求。部分會計師缺乏計算機技術，對電子商務的知識了解較少，從而不能有效的識別和評價企業的風險和內部控制。除此之外，一部分審計人員盲目信任網絡和計算機技術的安全可靠性，在審計過程中不能保持獨立性和謹慎性，難以提出客觀的審計結果。審計人員的職業道德水平對審計工作質量起著關鍵性的作用，經濟社會的快速發展對網絡審計工作提出了更高的要求。在新的環境下審計人員更要審計人員更要謙虛謹慎、獨立客觀不斷提高自身的職業道德水平和專業素質能力。

3.3.2審計的技術和方法

從目前的會計師事務所處理審計實務過程來看，大部分會計師事務所仍然使用繞過計算機審計的方法，要求電子商務企業將所有的原始憑證、記賬憑證、會計賬簿、會計報表打印輸出，通過手工操作的方式提出審計意見，做出審計結論。但是，當電子數據在生成時就發生故意篡改、舞弊的行為，那么由原始的電子數據所派生出的會計憑證、會計報表的數據等也會出錯，不能作為可靠的審計證據。傳統的審計方法無法對網絡交易的經濟數據進行追蹤審查，這也會帶來審計風險。由于電子商務環境的變化，大部分企業的主要會計數據形成信息化的數據庫，信息的真實性受到質疑。因此，審計人員關注的重點是企業的數據庫，獲取到最原始的數據，確保其真實性和有效性。

篇（9）

一、電子商務概述

電子商務指的是利用計算機網絡技術以及遠程通信技術，實現整個商務（買賣）的全球化、電子化、數字化、無紙化、便捷化、一體化和網絡化。電子商務在最近幾年來以日新月異的速度在全球拓展，為企業、個人和每個團體帶來了諸多便利，從營銷到整理會計賬目都與以往發生了巨大的變化，甚至已延伸到我們每個人生活的每一件事。尤其對于企業的經營管理，電子商務提供了極為便捷的經營管理方式，例如，企業的交易記錄和交易數據都擺脫了紙質的交易記錄模式，而采用了全新的電子記錄的方式，以電子化信息和數據的形式存在；同時，這些電子化的信息和數據都是在網絡間以實時在線的方式進行轉移以及處理，信息和數據的傳送呈現動態性、一體性和實時性。企業的營銷、會計核算、稅收計算等幾乎所有經營活動已發生全面的變化。因此，我們的審計工作也應相應做出改變。

二、電子商務審計的特點

（一）利用計算機互聯網技術方法

電子商務是在計算機互聯網環境下進行的，其商務交易數據信息完全實現電子化和無紙化。審計工作人員要進行審計工作，必須充分利用計算機互聯網技術，否則對電子化的數據庫審計及許多符合性測試、實質性測試是無法實施的。

（二）對無紙化的電子數據信息進行審計

隨著電子商務日新月異的發展，企業的各項經濟管理事務及其相關數據均可由計算機輔助系統自動化數據處理傳遞形成數據庫。這種情況下，審計面臨著全新的鑒別經濟管理事務及其相關數據是否真實可靠的挑戰。因此，必須對傳統的審計理論、審計方法進行變革，研發電子商務審計專用軟件，以適應電子商務審計工作的需要。

（三）內部控制極為重要

計算機信息系統與互聯網技術發展一日千里，用傳統紙張來記錄經濟管理相關事務已逐漸消失，因此內部控制極為重要。在電子商務環境下，由于與商務交易數據信息完全實現電子化和無紙化，所以審計人員必須通過測試內控來評估電子商務經濟管理信息（包括會計信息）的真實性和可靠性及會計處理的恰當性和適當性，并且對內控的有效性做出全面系統評價。

（四）審計報告內容變化更新

美國注冊會計師協會的電子商務審計準則做出相關規定，電子商務審計報告的內容應包括如下幾方面：一是審計的業務范圍――如某期間內電子商務和會計信息的披露及其業務數據的真實性、可靠性、完整性和電子數據信息安全保護的情況。二是描述審計人員審計工作的主要內容：了解內部控制系統的措施；按照有關要求所執行的控制測試、業務測試；評估內部控制的有效性以及實施其他必要的程序。這些相關工作為我們出具審計意見提供合理的基礎。三是側重于對以下幾個方面發表審計意見：業務和信息的保密和遵循的信息披露要求；電子商務的訂單履行和支付結算模式安全保障等。

三、電子商務審計面臨的挑戰

（一）電子商務審計人才的缺失

大學生本科教育中的計算機教育把大量時間精力浪費在基礎計算機操作教育上，這使大學對真正的計算機技術教育時間被擠占，使大學教育的資源被浪費。而大多數現在工作在基層的審計人員工作時一般接受的多是簡單的計算機培訓，已經跟不上計算機審計發展的速度。另外研發實用性、可操作性和穩定性較強的審計系統軟件所必須的高層次技術人才也很匱乏，人才的缺失嚴重制約著我國計算機電子商務審計的發展。

（二）對審計工作人員的學習及不斷繼續教育要求提高

傳統審計工作中的賬證核對、賬表核對、賬賬核對等相對比較重要的審計工作，需要由具有豐富經驗的審計人員來進行，而在電子商務審計中，要想進行審計，審計工作人員首先必須充分掌握會計信息系統的工作方式，在此基礎上，才能順利開展相關工作。目前，許多審計工作人員雖不能說對網絡卻很陌生，卻也尚未真正充分掌握計算機會計系統的工作流程及關鍵點，無法充分將計算機網絡技術應用在日常工作中，難以對大量復雜的網絡會計系統進行審計。

（三）電子商務審計的發展跟不上電子商務的發展

在利潤的驅動下，電子商務的發展一日千里，各種商業電子商務人才也層出不窮，他們反過來也推動電子商務市場的飛速發展。而反觀電子商務審計，并不存在像電子商務中巨大的利潤驅動，所以電子商務審計作為一個整體無法跟上電子商務的發展速度。在各項會計業務做出變化的時候，審計工作僅僅在對應方面作出修改，而沒有從整體上建立配套的審計理論、審計流程、審計方法。

（四）電子商務審計法律法規體系不完善

傳統的審計法律法規體系已相當完善，而對于電子商務，相關的法律法規體系仍未充分完善，給電子商務審計帶來一些無法回避的風險和困難。例如，對電子數據的安全保護不夠，對個人企業隱私的保護不夠，大量的數據信息被外泄，電子數據的安全可靠性無法獲得充分保證；電子支付及余額寶等理財產品也沒有相關具體的法律法規來規范市場；與電子商務審計有關的法律法規更新太慢等等。盡管電子商務已有一段時間的發展，電子商務審計也有幾十年經驗，但與電子商務審計有關的法律依據仍明顯不足，電子商務審計法律法規體系有待完善。

（五）獲取電子商務審計證據的難度加大

由于電子數據的無形性、易修改性、易消失性和易破壞性，儲存在計算機與網絡中的電子數據信息的真實可靠性更難以獲得保證，操作人員操作不當、計算機故障、網絡故障、計算機病毒都有可能對電子數據產生影響。還有例如購買虛擬物品，由于商品的載體并不存在，真實銷售數量很難獲得，造成獲取審計證據的困難加大。另外，傳統的紙質憑證賬表等會計資料如果修改很難不留下痕跡，而對于電子化的數據，只要進入相關系統，任何一個人可以在幾秒內不留痕跡的對數據進行修改，修改過的痕跡難以看出。

（六）審計風險加大

與傳統商務模式下的企業內部控制相比，電子商務模式企業的內部控制在很多地方發生了很大變化。電子商務模式下，因為電子數據處理的集中性、一體性、實時性，使相當一部分控制制度失去了作用，甚至有些傳統的會計崗位職責已與過去不同；計算機網絡系統建立運行和控制的有效性和復雜性，導致內控的范圍擴大，這些技術性風險很可能使審計風險中的固有風險以及控制風險加大。

四、對電子商務審計面臨挑戰的對策思考

（一）建立系統體系培養審計人才

為培養足以應對新時代電子商務審計需要的審計人才，我國應建立系統的審計人才培養體系?？紤]到電子商務已然成為當今商務業務的主體，因而審計人員應進一步加強計算機互聯網知識的培訓與學習，優化完善人才知識結構。為了大學能把更多的精力放在教授專業計算機財務應用和審計應用，本文認為應進一步強化對中小學生的計算機教育，建立起從小學開始到初中到高中到大學的計算機網絡知識教育體系，使學生在進入大學時已能熟練使用計算機軟件及相關應用，這樣在本科期間就能集中全部精力教授更專業更具實用性的審計知識。

（二）加強審計人員的系統學習及繼續教育

審計人員的自身的工作能力十分重要，因此加強審計人員的系統學習及繼續教育，是我國電子商務審計工作順利實施的關鍵。筆者認為應進一步在注冊會計師資格考試中增加財務軟件應用、審計軟件應用、計算機網絡知識等與電子商務審計相關的內容。

（三）加大投入力度增快電子商務審計發展

注冊會計師協會應充分利用各方面資源，從整體上系統地重新審視當前的審計基礎理論和方法，例如審計計劃、審計目標、審計程序甚至審計流程、審計制度，站在較高的角度充分考慮當今及未來可能的各方面因素。注冊會計師協會應加大對計算機網絡建設和信息系統的投資，建立起現代化的審計系統，加快計算機審計、審計機關內部資料庫的建設，使審計工作進入新時代。

（四）加快電子商務審計法律法規的完善

制定我國電子商務審計的各種系統化、規范化、標準化的文件，包括審計制度、審計準則、審計計劃、審計目標、審計流程以及各類財務軟件輸出數據的標準格式、數據庫的規范等。對電子數據、電子報告、電子賬簿、電子憑證、電子記錄、電子合同和數字簽名簽章的傳送保管方式和法律效力等方面的法律法規進行系統完善。還有，應制定嚴格地法律大力保護電子數據的安全，打擊泄露數據信息的行為，對相關違法犯罪嚴厲懲治。

（五）完善軟硬件設施以獲得可靠審計證據

首先應完善相關軟件的設計，對相關軟件的開發資格進行嚴格的審查管理，建立統一的各種電子信息數據標準；完善系統強制備份功能，對不正常的修改、跨期操作等強制備份。同時應對各硬件設備進行改良，增強數據存儲器的安全性能和穩定性能。

（六）采取相關措施降低審計風險

審計人員必須充分了解被審計單位的內部控制系統，由于電子數據處理的集中性、一體性、實時性，應全面觀察考慮被審計單位各機構設置是否合理、是否適合企業的商務模式；對被審計單位實用的會計軟件的合法性與合規性進行測試，會計軟件是否安全可靠沒有被篡改。甚至，在不久的將來，軟件開發人員可以開發配套的會計軟件和審計軟件，通過在被審單位的會計軟件中嵌入執行特定審計功能的程序段，將審計人員的計算機與被審計單位的互聯，這樣即可實現遠程實時監控審計，有效降低審計風險。

篇（10）

中圖分類號：F239文獻標志碼：A文章編號：1673-291X（2011）21-0097-02

一、外部審計

外部審計是指審計師對企業電子商務網站的安全工作進行審計，對消費者提供數據安全、商業政策、交易完整、數據隱私等方面的審計。

1.制度審計。在電子商務網絡系統環境下，網絡電子交易數據安全是關系到交易雙方切身利益的關鍵問題，是企業計算機網絡應用的最大障礙和審計的最重要問題之一。電子商務的網絡數據安全措施，至少包括三個方面：一是網絡數據安全技術方面的措施；二是安全管理制度(措施)的制定和實施；三是社會立法和法律保障措施。內部審計師關心的是這些措施實施的情況，通常可從如下幾點進行評價：（1）審查防火墻技術、網絡系統反病毒功能、數據加密措施、身份認證和授權等軟件技術的應用實施情況；實施這一審查可以用模擬數據對系統的各安全關鍵點進行全面檢查。（2）審查安全管理制度建立和施行的情況，采用面談法、訪問和實地察看法按預先給定的內控制度評價清單進行。注意檢查崗位責任實施、安全日志制度。（3）審查有關計算機安全的國家法律和管理條例的執行情況。

2.選用內部審計師實施審計。內部審計師是電子商務審計最合適的專業人員。由內部審計師做電子商務內部審計業務，可為電子商務用戶提供職業安全保障。

內部審計師進行電子商務審計是國際慣例。內部審計師是從事企業內部審計業務的專家，具有良好的基礎背景和良好的聲譽。在中國，內部審計師除了參與財務審計，還參與對管理效益和人離任內部審計和對企業計算機信息系統的實施情況審計，大量參與稅務、財務和評估等咨詢服務工作。

內部審計業務是按照特定的審計規范的程序執行，對內部控制與經營、業務審查和評價，內部審計師有著敏銳的專業洞察能力，這是內部審計師發展計算機網絡內部審計的良好職業背景基礎。

內部審計師的審計具有客觀性和公正性。電子商務審計人員必須對交易的雙方所提供的電子信息進行必要的審計，其審計本身應當客觀、獨立、公正和具有可靠的專業技術作為支撐，才能贏得網絡交易的多方的信賴，同時他們必須是社會公認的權威審計業務專業人員。在計算機網絡化的商務活動中，根據對交易合法性和交易信息的可靠性和安全性，是企業信息系統的內部控制制度及其對顧客提供必要的法律保障的一個重要內容，內部審計師對企業信息系統的內部控制制度設置和施行情況的審查評價，已具有特別的專長和豐富的經驗。

3.安全審計系統分析。防火墻、入侵檢測、防病毒網關等安全產品越來越多地應用在網絡中，它們在運行過程中都會產生大量的日志信息，其中隱藏了非常重要的信息是分析網絡安全運行情況的依據。安全審計系統中結合各種信息算法對這些日志數據進行分析，挖掘出其中隱藏的異常動態信息，并利用各個審計源之間的聯動及時阻斷各種入侵活動。同時，對進出網絡內部的電子郵件和傳輸信息實時跟蹤，進行數據截取和還原，更好的維護系統安全。

分析和審計公司電子商務網站的安全審計系統是否具有以下功能：（1）網絡狀態實時監控。監視網絡中的各種安全設備、主機系統、數據庫、進出網絡內部的電子郵件和傳輸信息等情況，全面掌握網絡活動和行為。（2）事件自動響應機制。當發生的網絡行為可能威脅到系統安全并且達到預先設定的域值時，系統自動斷開該用戶的連接并及時向管理員發出報警信號。（3）自動生成安全信息報告。在固定時間內把系統的運行情況以報表的形式發送給管理員。通過設置合理的審計報表，管理員可以迅速、直觀地瀏覽報表內容，了解系統的當前運行情況和資源使用情況，在減少管理員單純人為判斷和經驗參與的情況下，能更好地幫助系統管理員及時采取相應措施，從而使威脅整個網絡的潛在破壞最小化，提高系統的安全性能。（4）系統綜合管理。雖然安全審計系統是一個獨立運行的軟件系統，但是它和其他安全產品如防火墻、VPN，漏洞掃描等并不會產生沖突，相反它們能夠相互協調和促進、更好地起到系統安全防護的作用。

二、內部審計

內部審計的作用主要體現在對于電子商務公司內部系統安全和財務風險的管理上，主要包括兩個方面的內容：對電子商務系統的技術審計；對電子商務公司的財務進行審計。

（一）技術審計

1.訪問控制審計。網絡訪問控制包括訪問權限控制和用戶認證。訪問權控制的審查，主要是檢查是否有端口訪問控制情況――進入訪問端口前的用戶號鑒別回應控制和特別安全保護的訪問點控制。用戶認證的方法一般可分三類：口令或密鑰、身份鑒別（如指紋）和使用權限控制，其中最安全的認證是身份鑒別（用指紋或其他特性），但制作費用比較昂貴，其他兩種方法都是最常用的用戶認證法。初步審查除了解各種認證方法外，主要查各類型控制執行的情況。

2.數據加密審計?，F在流行的電子商務網絡系統是由至少一個計算機服務器和多臺客戶機聯網形成的，并與外部交易有關的國內網絡和國際網絡系統相連結。客戶機一般處理業務數據，網絡數據庫和軟件程序庫一般由服務器統一控制管理。由于網絡中的數據庫具有共享性，很容易受到舞弊人或黑客的修改和破壞，要確保合法的客戶對網絡數據庫訪問的便利性和網絡數據的完整性，應比非網絡系統增加對數據庫的加密管理，相應地形成數據庫的加密管理審計，其內容：一是審查服務器的數據庫加密裝置，服務器密碼裝置的密鑰分配，這種審查主要了解系統管理員和相應密鑰分配情況。二是審查網絡端對端的加密，測試關鍵的網絡數據在傳輸中的全程加密，此種加密是通過專用的軟件實現的，因此，對這類的加密軟件要進行特別的安全保護管理。

3.運行審計。（1）記錄、跟蹤系統的運行狀況。利用審計工具，監視和記錄系統的活動情況，如記錄用戶登錄賬號、登錄時間、登錄的終端以及所訪問的文件、存取操作，并放人系統日志中保存在磁盤上，使影響系統安全性的存取以及其他非法操作留下線索，以便審查。（2）檢測各種安全事故。審計工具能檢測和判定對系統的攻擊，如多次使用非法口令登錄系統的嘗試，及時提供報警甚至自動處理，使系統安全管理人員能夠了解系統的運行情況，及時堵住非法入侵者。（3）保存、維護和管理審計日志。由于審計日志記錄了審計、跟蹤、檢測各種安全事件的結果，是查找、分析網絡系統安全事件的客觀依據，是重要的系統文檔，必須要有可靠的存儲和管理機制。在現代的經濟環境下對電子商務公司的財務進行審計，其審計的職能已經發生了根本性的變化。審計已經從傳統的財務審計過渡到了風險審計與內部控制。因此，運用內部審計可以很好地控制風險的發生。

（二）財務審計

1.數據庫審計。在無紙化環境下，內部審計能鑒別出已發生的經濟業務及其數據的真實和可靠，這是內部審計師所面臨的嚴峻挑戰。顯然，內部審計師必須開發一套電子商務內部審計專用的軟件和改進傳統的審計程序，來適應這種審計的需要。電子商務審計軟件一定能使內部審計師在經濟業務發生的時候就對它們進行測試和保留必要的審計線索，否則時過境遷，就無案可查。

2.內控制度審計。網絡化的計算機信息系統不斷發展，內部控制將會變得越來越重要。從前述內容可以進一步說明網絡環境下的內部控制制度的重要性。可以斷言，在電子商務環境下，內部審計師在監測公司內部控制制度的運轉、評價這些控制以及為改進這些制度提供建議等方面，都將起到重要作用。這是因為他們必須測試這些制度以判斷電子商務經濟信息（含會計信息）的可靠性和經濟業務處理的恰當性，并且對內部控制的狀況作出全面評價。

3.披露事項審計。保證電子交易的可靠性和真實性，是任何交易的基本前提。為了增強網絡上的客戶或消費者的信心，電子商務網絡系統必須具有如下的披露基本要求：（1）對電子商務銷售的商品和服務進行披露，若含有證明商品性能和服務效果的信息，必須注明其信息來源；（2）對交易條件進行披露，如發貨距離、發貨時間、完成交易所需的時間、另外訂單的時間、支付條件、電子結算慣例和顧客必須承擔的費用、退貨的程序和政策；（3）售后服務和產品技術支持；（4）客戶的權利、包括投訴的程序，并應告知客戶企業的經營地址、電話號碼和辦公時間；（5）對爭議的處理，爭議處理的程序，包括管理當局和請第三方中立機構處理爭議問題的程序。

4.客戶信息隱私保護審計。為合理保證在電子商務中保證客戶私人信息的隱私權，電子商務網站必須遵循：保證客戶信息不會被傳送到其他網站；客戶有權禁止其信息在與交易無關的場合使用和為第三方所使用；客戶私人信息未經授權不準訪問，客戶私人信息不能隨意被透露給其他的單位或個人；網站工作人員只有處理業務時方能使用客戶私人信息；在存儲、變更或從客戶計算機上復制信息前應得到客戶的許可；嚴禁向客戶輸送惡意的程序；企業信息保護的控制得到有效執行；企業若不能執行上述控制手段，應及時公告，并說明正在采取的補救措施。

參考文獻：

[1]傅元略，等.企業信息化下的財務監控[M].北京:中國財政經濟出版社，2003.

[2]劉艷慧.電子商務及其安全性研究與應用[D].天津:天津大學，2008.

上一篇: 電子金融專業下一篇: 中小企業的發展現狀