电子商务审计及其风险研究汇总十篇
电子商务审计及其风险研究篇(1)
一、电子政务信息系统审计风险研究的意义、方法
电子政务是国家信息化建设的重点工作,其成功与否直接影响着我国政府改革的进程,然而信息化建设往往伴随着巨大的风险,所以必须对电子政务信息系统的建设实施科学全面的审计。在信息系统审计的过程中,审计人员通过收集证据来判断系统本身是否达到保护资源安全,数据完整,系统稳定、有效和高效等目标,但有时会出现审计人员发现不了系统内部存在的缺陷或错误的情况,这说明对信息系统的审计可能出现判断出错的可能性,这种可能性就是信息系统审计风险。而电子政务信息系统审计由于电子政务的特殊性而存在着更为复杂的审计风险。
在这样的环境下,研究电子政务信息系统的审计风险具有非常重要的意义。国内外对传统审计领域中的审计风险研究已经相当成熟,而对电子政务环境下审计风险的研究数量相对较少且处于初步探索阶段。国内的朱萍等以审计风险模型为基础,认为应通过合理评估固有风险和控制风险的水平来确定检查风险,达到降低审计风险的目的,并重点阐述了控制风险的评估[1]。孙纲以审计理论和评价理论为基础,构建了审计风险评价方法体系,最后通过比较期望审计风险与实际审计风险作为审计终止标准的方法来降低总体审计风险[2]。还有一些学者针对电子商务环境下的审计风险做了研究:王乐声从传统审计风险模型的固有风险、控制风险、检查风险三个要素着手提出了降低电子商务审计风险的对策[3]。刘知强通过文献分析法及专家咨询法两种方式设计了电子商务环境下审计风险量表,对电子商务环境下的审计风险进行了识别分析,并在量表的基础上建立了适应电子商务环境下的审计风险模型[4]。
本文对电子政务信息系统审计风险的研究将借鉴COSO(Committee of Sponsoring Organization,内部控制委员会)在2004年的《企业风险管理――整体框架》[5]。该框架是在1992年的《内部控制――整体架构》的基础上提出的,重点阐述了八要素风险管理理论;与原来的五要素内部控制框架不同,它更侧重于风险管理,强调内部控制是风险管理必不可少的一部分。该框架对于企业风险管理的定义具有广泛的适用性,适用于各种类型的组织、行业和部门,也成为了衡量企业风险管理是否有效的一个标准,对于我们开展电子政务信息系统审计风险研究具有很好的借鉴作用[6]。
对电子政务信息系统审计的风险研究首先应以传统审计风险理论为前提,传统审计风险包括固有风险、控制风险和检查风险三个组成要素,它们之间的相互关系可以从定量和定性两个方面加以考察。
从定量的角度看,审计风险及组成要素的相互关系可用以下公式表示:
审计风险=固有风险×控制风险×检查风险
这个公式也被称作传统审计风险模型。
从定性的角度看,检查风险与固有风险和控制风险的综合水平之间存在着反比关系,固有风险和控制风险的综合水平越高,审计人员可接受的检查风险水平越低;反之亦然。对于固有风险和控制风险,它在审计人员审计过程中已成为既定的事实,审计人员无法改变它,但可通过对被审计单位的了解和测试来合理评估固有风险和控制风险,评估的目的是为了确定检查风险水平,并据此来开展实质性测试以降低检查风险,从而最终将审计风险控制于可接受的水平。
二、电子政务信息系统审计风险研究框架
基于传统的审计风险模型和审计风险各要素的定性关系,并借鉴COSO风险管理理论,本文提出了电子政务信息系统的审计风险研究框架(见图1)。
图1 电子政务信息系统的审计风险研究框架
下文将分别对电子政务信息系统固有风险的识别、固有风险的评价以及控制风险的评价和检查风险的评价等几方面进行讨论。
⒈固有风险识别
所谓固有风险识别,是指电子政务信息系统审计人员对电子政务信息系统固有风险的发生领域进行识别和分析,以确定风险的来源,描述风险特征。从电子政务建设的整个生命周期来看,其固有风险贯穿于电子政务信息系统建设项目的始终,所以应将电子政务看作一个大系统并从系统工程和项目管理的角度来对电子政务信息系统的固有风险进行全面识别,无论风险性质和风险大小,都应尽可能全面地找出其存在的固有风险[7]。
根据系统分析法,电子政务信息系统的固有风险可划分为系统风险和非系统风险。系统风险是电子政务信息系统的特别风险,是由其本身的开发、建设、管理等活动带来的;非系统风险是指电子政务建设之外的某种因素引起的可能对所有电子政务建设都带来损失的不确定性风险。
电子政务信息系统的固有风险按照风险的不同来源可以进一步进行分类和细化(如图2所示)。需要指出的是,各种电子政务信息系统固有风险领域之间并不是独立的,而是存在各种联系的,分析时应对此做综合考虑。
图2 电子政务信息系统固有风险分类图
⒉固有风险评价
对固有风险的评价可采取多种方法,由于电子政务信息系统的固有风险是由诸多相互关联又相互制约的因素构成,既复杂又缺少足量数据,所以采用单纯的定性和定量分析的方法往往缺乏可操作性。因此,本文决定同时采用特尔斐法和AHP法作定性和定量分析,最后对用这两种方法得出的结果进行比较,以实现分析结果的科学性和加强评价的实际可操作性。
特尔斐法由美国著名的兰德公司提出并使用,是能够对大量非技术性的无法定量分析的因素进行概率估算的方法,它是一种客观的综合多数专家经验与主观判断的技巧,也可称为专家打分法,它是系统工程中一种很重要的测定方法。
AHP(analytic hierarchy process,层次分析法)是美国运筹学家T.L.Salty在20世纪70年代提出的一种定性与定量结合的决策分析方法。它把需要研究的复杂问题分解为不同的组成元素,并针对总目标按相互关系影响划分为有序递阶层次结构图,通过各元素的两两比较,确定层次中诸因素相对于上一层次某因素的相对重要性,然后综合人的判断以决定各因素相对重要性的总顺序[8]。
采用AHP法和特尔斐法进行电子政务信息系统固有风险评价的过程如图3所示。
图3 电子政务信息系统固有风险评价流程图
⒊控制风险评价
前文介绍了电子政务信息系统建设项目存在的各种风险,根据COSO企业风险管理整体框架的要求,对于这些风险被审计单位通常会采取必要的管理措施。良好的风险管理能够降低电子政务信息系统存在的风险,但是无论被审计单位风险管理的设计和运行多么完善,仍无法消除其固有的缺陷和局限性,所以审计人员在进行审计的过程中必须了解电子政务信息系统的风险管理情况,并对存在的控制风险做出科学客观的评价,为即将进行的实质性测试提供依据。控制风险的合理评估对于审计人员做出正确的审计报告具有关键的作用,应充分重视这一环节。控制风险的具体评价过程如下(参见图4):
图4 控制风险的评价过程
⑴首先审计人员应了解电子政务信息系统的风险管理状况,分别从控制环境、目标确定、事件识别、风险评价、风险反应、控制活动、信息沟通和监控方面来考察。这里审计人员可通过多种可行的办法来了解其实际状况,如可通过查阅有关规章制度及方针政策等文件,与负责人座谈、询问有关人员、实地观察、发放调查表、查阅前期审计报告、与程序设计人员直接对话等手段来实现,由此可以对被审计单位电子政务信息系统内部的风险管理设计的合理性、健全性做出初步评价,并可通过书面说明法、调查表法和流程图法做出描述。这一步是对控制风险的初评,对控制风险的初评宁可高估不宜低估,以降低审计风险。
⑵符合性测试是指对内部控制的完整性、有效性和实施情况进行测试。本文的符合性测试是以COSO企业风险管理框架为基准,是对电子政务信息系统的风险管理的完整性、有效性及合理性进行测试。这一部分可作为下一步风险管理现状和得分的重要依据。
⑶通过比较法评估风险管理情况,同时进行控制风险的二评。比较法就是通过对实际系统风险管理现状的调查取证和描述,然后与现有的评价标准(本文以COSO企业风险管理整体框架为评价标准)进行比较,以此得出被审计单位风险管理符合性的总体评价,最后用百分制打分的方式显示评价结果[9]。因为此方法在使用时以国际现行风险管理整体框架为评价标准并紧密结合目标系统的实际,所以其评价指标的设定更具科学性和可操作性;同时此方法通过实际与标准的比较得出结论,使评价更具可靠性。
比较法中涉及几方面的要素,分别是评价标准、评价指标、评价指标权重、评价方法、评价程序及评分表,其中风险管理评分表是整个评估成果的综合体现。
评分表的表头栏目如表1所示,评分表的“得分”栏是根据风险管理指标现状与标准的符合性程度而得出的,采用的是百分制的方式。
表1电子政务信息系统风险管理情况评分表
风险管理的总得分=∑COSO八要素权重*各项具体指标权重*各项具体指标得分。
⑷控制风险终评。这一步发生在实质性测试之后。根据实质性测试的结果和其他审计的证据,对控制风险进行最终评估,主要是看其是否与控制风险的计划评估结论相一致。如果控制风险水平高于计划评估水平,则说明审计程序不充分,审计人员应考虑是否追加相应的审计程序;如果低于计划评估水平,则说明按计划评估控制风险水平制定的审计程序执行已经比较充分,无须考虑追加审计程序[1]。
⒋检查风险评价
一般来讲,检查风险是指信息系统中的某些电子数据存在重大错报或漏报,而未能被实质性测试发现的可能性。检查风险是必然存在的风险,它与被审计单位无关,与审计程序的有效性有关。比如审计人员在进行实质性测试的时候,由于采取抽样技术而出现的抽样风险;另外,除了抽样风险之外也有非抽样风险。在电子政务信息系统审计中,因为信息系统中电子数据的形式多样性,增加了提取审计证据的困难;由于内部控制主要依赖于软件本身,增加了难以全面检查测试的可能性。如此种种情况而使风险评估变得更为复杂,检查风险大大增加。对检查风险的评价直接影响着审计人员对审计风险的综合评价,所以应充分重视检查风险的评价。审计人员可先找出检查风险的影响因素,并建立检查风险的评价指标集,利用风险因素分析法、模糊综合评价法等方法来进行检查风险的评估。
三、结束语
随着的信息化程度越来越高,电子政务信息系统审计也越来越得到人们的重视,对电子政务信息系统实施科学的审计能够最大限度地降低电子政务建设项目的风险。而审计本身也是存在审计风险的,审计人员如何开展电子政务审计工作,如何将审计风险降低至可接受的水平,需要全面认识和正确评价电子政务信息系统存在的各种风险,帮助和监督被审计单位建立、健全电子政务信息系统风险管理制度,并提高风险管理水平。电子政务信息系统的审计风险涉及诸多主客观因素:不仅包括信息化的风险,也包括许多人的因素,其复杂程度极高。本文建议从系统工程和风险管理的角度来对电子政务信息系统的审计风险进行分析,以理论为指导并在实践中不断摸索改进电子政务信息系统的风险管理方法,使其更具可操作性和适用性。
参考文献:
1朱萍,刘圣妮. 审计风险模型及其应用分析[J]. 广西商业高等专科学校学报,2002,19(1):71-74
2孙纲. 审计风险评价方法研究[D]. 哈尔滨理工大学经济管理学院,2005
3王乐声. 论电子商务环境下的审计风险[J]. 兰州商学院学报,2001,17(05):114-116
4刘知强. 电子商务环境下审计风险研究[D]. 大连理工大学,2005(04):45-49
5Committee of Sponsoring Organizations of the Treadway Commission(COSO). Enterprise Risk Management Integrated Framework[R]. 2004
6朱荣恩,贺欣. 内部控制框架的新发展――企业风险管理框架[J]. 审计研究,2003(06):11-15
7Schwalbe K. Information Technology Project Management[M]. 北京:机械工业出版社,2003:301-333
8陈卫,方廷健,马永军,等. 基于Delphi法和AHP法的群体决策研究及应用[J]. 计算机工程,2003,29 (5):18-20
9刘智. 基于COSO框架的东方公司内部控制诊断评估方法研究[D]. 北京化工大学, 2006
电子商务审计及其风险研究篇(2)
一、前言
通俗来讲,电子商务指的是我们日常生活中在互联网上进行购买交易的行为,包括网上买卖、付款、售后、宣传、财务核算等一系列网络经营行为。电子商务的业务流程依然是建立在传统商务的基础之上,把传统商务中的通过票据现实交易行为的方式变成了使用电子文件来进行网络交易,将传统商务活动中的纸质文件转化成了数字信息。电子商务在给我们的生活带来方便的同时,也对审计产生了巨大影响,增加了审计的风险。
电子商务的出现使得交易的形式变得更加的多样化,计算机水平的不断发展也使得电子商务的发展越来越广泛,我国的电子商务体系也呈现出了前所未有的景象。在这样的环境下,企业会计方面的发展也得到了进一步的提高,会计准则、相关系统等都得到了改进与提升,相应的审计工作必然会发生巨大的变化。当然,在发展的过程中有机遇也会伴随着一定的风险,电子商务的发展使得审计工作得到改进,但是由于电子商务发展将企业与企业、企业与个人跨区域的链接,增加了审计工作的风险性,在此过程中必然会伴随着更加复杂的风险性。我国虽然对电子商务所带来的风险进行了一定的探索与研究,但是随着科技的进步与发展,所进行的研究已经远远不够满足审计工作的需求。因此,就目前的经济环境与形式,审计工作在今后的发展中人需要加强风险控制与研究。
二、电子商务对审计风险的影响
1.对固有风险的影响
固有风险指的是交易过程中,由于交易类型或账户余额等易于发生错误的可能性,虽然固有风险无法完全避免,注册会计师依然可以通过大量的信息对其进行风险评估。然而,电子商务环境下的审计线索比传统审计线索要少的多,这就给审计工作造成了很大的困扰。审计线索是审计证据寻找的重要环节,注册会计师通过对审计线索的收集和审查才能做出客观的审计结论。传统的记账系统从账薄、原始凭证到财务报表,一应俱全,每一个环节都有相关责任人进行签字确认,审计线索非常丰富明显,方便审计工作的进行。而电子商务环境下的审计线索并是不保存在实实在在的纸质媒介上面,而是以数字信息的形式保存在磁带、光盘等存错媒介上。电子数据的保存虽然在一定程度上非常方便,但是也非常容易丢失或被人篡改。
传统的审计工作可以通过对会计凭证和账薄进行开展,审计线索较为充足,但是,电子商务是通过网络进行交易,许多信息只存在于网络信息数据中,在审计时必须通过计算机寻找原始交易记录,所以,审计线索的减少大大增加了审计固有风险。另一方面,电子商务交易中的支付手段越来越多,同样增加了审计的固有风险。传统的商业交易行为多通过现金、支票、银行转账等手段,所留下的审计线索较为充足,容易进行审计工作。但是,电子商务环境下的商业活动主要通过网络支付的方式,而且支付方式日渐增多,安全性有待商榷,所以对审计的固有风险影响较大。
2.对控制风险的影响
控制风险指的是交易过程中可能出现的重大失误并没能够及时被发现或制止的可能性。传统的交易行为通过内部的有效控制可以为商业活动提供良好的安全的交易环境,因为在传统的手工系统下,会计部门通常是设置不同的职位,各职位与人员之间相互配合相互监督,主要是通过凭证、账簿、报表之间的构成关系形成了企业的内部控制。这样一来,企业的会计部门不仅起到了对企业整体的监督与控制,也实现了财务部门内部之间的监督与控制,降低了审计风险发生的可能性。
而在电子商务环境下的交易主要通过网络进行,网络的安全性并无法保障,便增加了商业活动的网络安全风险。而且,电子商务的发展使得企业的会计系统发生了变化,企业开始运用相应的软件系统进行做账,在这一环境下企业的账账相符、账实相符、张证相符以及账表相符等一系列的监督核对都失去了存在的意义。电子商务环境下,会计人员多是根据系统与人员的职位相结合而设置账号和相应的权限,但是这种环境下并不能保证权限以及管理的秩序性,由此也就会导致控制措施形同虚设,降低内部控制的时效性,增加控制的风险。
互联网发展迅速,许多计算机病毒同样来时凶猛,计算机被攻击的现象屡见不鲜,导致审计线索的保存风险加大。另外,工作人员的操作失误、机器的失灵、网络故障等等意外的发生都会造成交易数据不真实情况的出现。在电子商务环境下的审计证据的获得多是通过计算机保存的电子凭证,但是,电子数据凭证容易被技术人员进行伪造,由此便导致了控制风险的发生。
3.对检查风险的影响
检查风险是指注册会计师可以将审计风险降低至可接受范围之内,而在审计过程中没有发现错报情况的可能性。传统商业活动的审计工作可以通过注册会计师进行风险控制,但是,电子商务属于新兴产物,即便许多经验丰富的注册会计师对此也并不太了解,由于他们对电子商务的交易流程或者计算机信息技术方面的局限性,导致审计工作难度加大,在一定程度上增加了检查风险。
审计人员的计算机技能和电子商务知识水平是影响检查风险的重要因素,由于电子商务在我们国家刚刚兴起,许多较有经验的审计工作人员年龄稍微偏大,他们的计算机知识较为匮乏,不熟悉企业电子商务系统,所以对电子商务审计风险的控制难以把握,导致了审计工作进行不顺利,审计风险的增加。
三、对策
1.对电子商务审计线索方面进行追踪审查
在电子商务环境下许多审计线索都是以数据的形式存储,而这些数据较容易丢失和被篡改,审计人员在审计线索的处理方面应当建立日志和追踪系统,对审计线索进行监控和审查。另外,审计机构和被审计单位都应该保存审计线索的备份文件,一是确保信息不易丢失,二是可以相互监督,以免审计线索被非法篡改;从而降低审计工作的风险。此外,由于审计系统人员权限的设置与管理还存在着一定的缺陷,对于审计的形式可以进行突击或是就地审计进行,以免权限较宽的管理人员或是程序员擅自更改系统的数据。
2.注意网络审计数据安全的防范
电子商务是基于计算机技术而进行的,所以计算机病毒或黑客攻击都会严重影响审计数据的安全。在审计工作中可以冲以下三个方面进行安全防范。首先,确保计算机的硬件系统设备安全。包括计算机硬件、火灾、电源等方面,工作人员应定期对这些安全隐患进行排查,确保数据的安全和完整性。其次,计算软件系统安全。其中有计算机系统软件、会计应用软件、审计软件等,设立防火墙对计算机黑客攻击、病毒感染进行检查和防御,以保障计算机系统的正常运行,确保审计数据的安全保存。最后,审计数据资源的保护。可以对审计线索数据进行加密处理,有效保护审计数据的安全。
3.审计对象的内部控制
在电子商务环境下的审计,处理常规审计范围和审计内容外,还要注重对被审计单位的内部控制和实际执行情况进行监督检查。首先,了解被审计单位有否制度相应的审计线索权限控制,职能人员有否按照授权对系统进行作业;其次,了解被审计单位是否将系统内的数据信息按级划分,对不同密级的文件进行分权限处理;再次,了解被审计单位是否按照合理标准和操作规程进行数据处理;最后,了解被审计单位是否建立了相应的数据备份和数据管理规范。
4.完善审计软件的设计
审计软件的设计要符合当前电子商务环境下对企业审计工作的基本要求,降低甚至是减少审计线索消失的可能性。完善审计软件的设计可以从以下几个方面来考虑,首先是完善审计操作的日志设计功能,避免在审计的工作完成后记录无法查询,可以尝试实现打印文档后才允许删除记录的功能;其次,是可以适当的设置对操作记录及数据进行强制备份的功能;再者,增加打印记录的功能;最后,严格设置以及控制人员的权限设置与管理,明确的区分不同财务人员的管理模块以及不可逾越的区域。
5.建立电子商务审计的法律法规制度
目前形势下,我们国家对电子商务活动的进行并没有设立完善的法律法规制度,所以,电子商务活动中出现的新问题和新纠纷无法进行妥善处理,在一定程度上对审计工作造成了相当大的困扰,增加了电子商务环境下的审计风险。由此看来,建立电子商务法律法规迫在眉睫。相关单位一定要重视电子商务环境下的电子交易、在线支付、税收、隐私保护等方面的法律法规建设。对现有审计规则进行完善,在电子商务活动的审计方面不能照搬传统审计方式,应当建立符合电子商务环境下的审计准则。
6.注重新型审计人才的培养
电子商务的出现是顺应时代的发展,审计工作人员应对针对电子商务进行多方面培训,陪养既能够熟练掌握审计知识又能够驾驭电子商务的复合型人才。电子商务环境下的审计工作能否顺利进行,取决于审计工作人员能否胜任电子商务活动的审计。当前的审计队伍中,复合型人才仍然较为缺乏,为使电子商务审计工作能够顺利开展,必须大力培养顺应时代需要的人才;这就要求审计工作人员不断更新知识范围,来应对电子商务审计的挑战。
培养新型的审计性人才首先必须要提高审计人员的计算机水平,因为在这样的一个电子商务的环境下,计算机是审计工作开始的基础与工具,只有熟练的运用计算机,才能提高财务人员的本职工作,才能跟进时展的步伐,引领科技的进步,有效的运用科技成果来完善审计系统工作。电子商务的环境下,社会对于企业审计人员的素质要求将会更高,以往的审计人员已不能满足现实社会对企业审计人员的素质要求,并且近年来对于此项研究还存在一定的局限性,因此对于电子商务环境下的审计风险与控制研究仍需要更加专业的人士来进行深入的探讨与研究。
四、结语
本文主要从电子商务对审计风险的影响的几个方面着手,阐述了电子商务对审计固有风险、控制风险以及检查风险三个方面的具体影响进行分析,说明了目前电子商务环境下审计风险所存在的漏洞与缺陷。针对所提出的审计风险问题本文提出了几点参考的应对策略,即对电子商务审计线索方面进行追踪审查、注意网络审计数据安全的防范、做好审计的内部控制、完善审计软件的设计、建立电子商务审计的法律法规制度以及注重新型审计人才的培养。针对所提出的几点应对策略进行具体的陈述,希望能够对今后的电子商务环境下的审计风险研究提供几点可参考的建议。
参考文献:
电子商务审计及其风险研究篇(3)
一、电子商务环境下的企业审计风险研究
在电子商务系统高度自动化的条件下,审计证据的充分性和适当性取决于电子商务系统控制的有效性。因此,对电子商务审计主要集中在电子商务系统交易过程和控制测试。审计对象也要从财务报表及其相关资料扩展到被审计单位的资信状况、内部控制等对财务报表产生重要影响的诸多事项上来。一般情况下,审计风险=重大错报风险×检查风险,由于电子商务的无纸化、电子化和网络化等特点,无论是电子商务的重大错报风险还是检查风险都比传统审计风险要高。电子商务采用的全球网络化信息系统,企业一方面面临着系统自身的风险,可能导致会计数据被篡改、破坏,另一方面面临着电脑病毒和电脑黑客的入侵,导致会计数据的丢失。这些致使电子商务重大错报风险的加大。电子合同、电子函件、电子订单的存在使注册会计师审计中对其真实性、合法性很难辨别,导致电子商务审计风险中的检查风险要比传统的检查风险要高,审计工作的难度更高。
二、电子商务环境下企业审计要素的变化
1.审计目标
在传统的审计中,审计目标主要是为了查错防弊。主要是通过对企业账目的审查来核对企业会计报表的真实性,从而分析判断企业采用的会计处理办法是否符合法律所规定的会计准则,并是否能够真实反应企业真实的经营以及财务状况。另一方面,随着信息技术的不断发展,电商企业等新兴产业的不断发展,经济活动的开放性也更强。这些新兴行业的审计目标也不断的扩展,客户服务功能的审计、电子支付审计等都成为了审计目标。
2.审计对象
纵观电子商务环境下,通过对互联网将企业的物资流、资金流与信息资源都融合在一起。经济交易的双方可以通过电子商务系统对产品的报价以及查询、电子合同的签订等经济活动都能产生相关的电子凭据。因此,在电子商务环境下,电子证据以及电子支付等均是企业审计的重要对象。
3.审计方法
现阶段,涌现了很多网络审计软件为电子商务环境下的电商企业提供了技术的支持。在数据的采集上,审计人员通过审计端口对企业会计信息的数据进行搜集。通过对计算机以及互联网络可以进行远程登录、电子函证、文件传输,以传输信息,获取相关的审计证据。在对数据的分析上,审计人员在运用审计相应的软件,准确和快速的获取信息对生成审计报告以及,都能够有效的为审计工作提高时效性。
三、电子商务环境下对审计的思考
1.加快电子商务审计法律法规的完善
对我国计算机审计的各种法律规定,计算机的审计准则都需要有制定标准的格式。需要制定有关电子商务的法律法规,把电子凭证、合同以及有法律效应的数字签名的保管都需要明确制定下来,有关电子商务与网络经济的立法都需要满足我国的国情,同时借鉴国际相关法规以及立法,能够促进我国的电子商务审计法律法规的建立以及完善,保证电子商务审计能够有法可依。
2.充分利用计算机网络审计
电子商务审计的内容主要包括电子商务系统处理和控制功能的审查,为了证实电商企业的交易事项是否合法以及安全可靠,这些都是传统的审计所没有的。首先必须利用计算机网络技术对审计单位计算机会计信息系统的应用控制进行审查,然后根据一般控制与应用控制的审查结果来决定抽查的范围与重点。通过网络对审计单位的会计数据进行手机审核时,需要对审计单位的审计人员赋予应有的审核权限,可以高效的完成审计工作。另外,对异常项目通过调查和数据分析进行测试、检查、分析与核对,这样可以达到降低审计风险的目的。
3.加快审计的电子化应用技术
随着电子商务发展的需要,对加强计算机审计实用环境的建设提出了更加长远的发展。对各级审计机关对计算机硬件的建设需要给予足够的重视,加大计算机设备系统的投资,对审计机关内部审计资料库的建设,能够有效促进审计事业的现代化发展。要让审计人员尽快参与审计软件的开发,使审计软件的使用在电子商务环境下能够具有自身的实用性,以便今后的计算机审计信息化的建设能够顺利的实施。
四、结语
在电子商务环境下,电商企业的业务流程发生了一些变化,这就需要新的机构来对企业进行有效的监督,以确保电子商务环境市场下的有序进行。同时,电子商务在另一方面也改变了企业审计的环境,迫使企业审计改进传统的审计模式,并采用先进的信息技术,优化审计流程,确保企业审计能够满足新形势的发展要求。
参考文献:
[1]王爽.浅谈网络审计的风险及其防范[J].数码世界,2005(13).
[2]王萍.网络审计的对象创新和业务创新[J].会计天地,2004(8).
电子商务审计及其风险研究篇(4)
(一)电子商务理论
随着互联网技术的普及,尤其是5G技术的快速发展,互联网电子商务企业步入快速发展阶段。相对于传统企业来说,由于互联网电子商务企业的组织机构、销售模式等发生了很大的变化,具有互联网开放性、无纸化、电子支付等特点,这使得互联网电子商务企业的审计比传统审计业务的风险大大提高。审计风险取决于重大错报风险和检查风险,本文在阐述电子商务及审计风险理论基础上,分析了电子商务审计重大错报风险和检查风险,在此基础上,有针对性提出防范审计风险的建议,以期为审计人员在进行电子商务审计时,提高审计工作效率,降低审计工作风险。电子商务是以信息技术支撑,实现商品交换的商业活动。当前的电子商务模式是基于互联网环境搭建起来的资金流转、数据传递系统平台,使交易双方在平台中完成交易的模式。在电子商务中,其主要功能体现在联网采购、支付款项、商品售后服务、网上广告等方面。
(二)审计风险理论
1.审计风险内涵审计风险这一概念的内涵在不同理论研究中有不同的界定,简而言之,审计风险就是当财务报表发生重大错报时,注册会计师针对财务报表发表的意见与实际情况不相符的可能性。审计风险由两大风险共同组成,分别是重大错报风险和检查风险。首先是重大错报风险。重大错报风险是指被审计单位财务报表在审计前存在重大错报的可能性。因此重大错报风险是在审计前产生的,该风险独立于财务报表审计而存在,所以会计师事务所对重大错报风险只能评估却不能降低。当基于财务报表评估的重大错报风险结果较高时,反映企业财务报表重大错报程度越大,那事务所查不出这些错报的可能性也会随之提升,由此会导致审计风险增加。其次是检查风险。检查风险通常指财务报表若存在重大错报,但注册会计师实施审计程序后未发现这种错报的可能性。当事务所审计时出现取证受限,程序设计或执行不恰当等情况,势必会加大审计风险。可见,重大错报风险与检查风险共同对审计风险造成影响,前者是站在被审计公司角度进行风险评价,而后者则是基于事务所自身审计程序、方法等方面衡量审计风险。以上两种审计风险之间的关系利用数学模型可表示为:审计风险=重大错报风险×检查风险从以上数学模型可以看出,当审计风险为既定水平时,检查风险和重大错报风险呈反向关系,即重大错报风险提升时,检查风险下降,反之提高。2.审计风险特点(1)客观存在性因为被审计单位经济业务繁多复杂、环境因素多变、财会人员自身职业素质的差异和审计人员经验与业务素质的有限性,使得注册会计师在审计业务时都会存在一定的误差性,不管用抽样审计还是详细审计,都不可避免。所以,审计风险是难以规避的,只能依靠现有的一些技术方案对它进行防范与控制,降低风险所带来的损失。(2)普遍性审计风险不是孤立存在于某一部分,它是贯穿在整个审计流程中,可能存在于审计工作中的任何一个小节点。(3)潜在隐蔽性在审计过程中,审计单位的财务问题或者舞弊现象等等并不是显而易见的,这需要审计人员运用专业能力去挖掘线索,从中发现问题,进一步找出事情的真相。相反,如果在审计过程中,审计人员没有发现问题,那么就会产生审计风险。(4)偶然性审计项目组在审计过程中,审计风险是因为某种客观原因或者注册会计师没有意识到的主观原因所造成,并不是审计人员故意做出的行为,该情况下,注册会计师在审计过程中无意接受了审计项目所带来的风险,也在无形当中承受着其所带来的后果,审计人员需承担审计责任。(5)可控性审计风险是不可避免的,但是注册会计师在审计过程中运用审计程序时可以让审计风险产生的概率大大降低。
二、电子商务企业审计风险分析
随着电子商务企业的产生,在会计师事务所的众多业务中,作为新审计业务代表的电子商务业务审计占比越来越大。因为电子商务正处在发展的初级阶段,发展水平较低,且其具有独有的无纸化特点,电子商务业务这一模块审计风险必然呈现出较高的审计风险。根据前面审计风险理论,审计风险有重大错报风险和检查风险共同影响,下面将从这两部分对电子商务审计风险进行阐述。
(一)电子商务企业审计重大错报风险分析
1.经营风险近几年来,随着市场竞争越来越剧烈,很多电子商务企业获取线上流量的难度攀升。为了增强流量,很多电子商务企业积极转型,调整战略布局,不断扩大投资,投入大量资金,为顾客提供更多的增值服务,如投资物流网络建设,提高配送效率。但很多企业在将战略转化为行动过程中,由于组织结构、管理制度等无法适应新的战略,导致企业呈现亏损的状态。可见,如果企业扩展战略不能保证企业在未来产生净利润和正现金流,甚至可能在未来一段时间继续亏损的话,这种高昂的代价扩张,会给企业发展带来一定的经营风险,甚至可能会影响公司继续经营的能力。在这种情况下,一些电子商务企业可能为了提高投资者信心及从金融机构获得融资,铤而走险去人为粉饰报表,从而导致重大错报风险较高。2.内部控制风险首先是控制活动方面。电子商务企业在进行信息授权时,采用的是数字签名验证方式;另外在口令密码应用方面,一些电子商务企业没有设置安全管理,导致公司内部人员可以通过一定技术模仿签名或破解密码,因此内部控制难度因数据电子化而变得更高,部分交易数据可能会由于恶意篡改,出现账目不清、数据不准确等情况。其次是信息沟通方面。在电子商务企业中,员工之间的沟通主要通过网络,面对面的交流机会比较有限,同事之间可能因缺乏交流导致工作上出现重复或者疏漏,最终导致出现业务处理上的错误,得出不实的业务数据。可见,电子商务下企业内部控制风险增加,也导致企业重大错报风险加大。
(二)电子商务企业审计检查风险分析
1.电子数据缺乏可靠性电子商务业务大部分业务数据是以电子数据形式存在,而电子数据又隐藏一些审计人员难以辨别的风险,比如网络风险和人为修改风险。网络风险是因为以电子数据形式存在的业务数据是储存于后台数据库中,当网络环境受到系统或人为攻击时,可能造成后台数据丢失或变动。人为修改风险是因为某些熟悉业务流程操作员为了私人利益或受人指使可能篡改业务数据,造成数据不真实。这些风险都会降低电子数据缺乏可靠性,如果审计人员在审计中没有办法辨别出来,势必会增加检查风险。2.函证程序在电子商务平台上受到限制审计小组取得的函证作为一种外部证据,对于审计程序的设计和实施以及外部证据的合理性具有重要意义。《中国注册会计师准则》第13条规定:“除了注册会计师能够提供证据证明债权对财务数据影响不大,或者企业收到无效函证的情况除外,注会都必须对债权完成确认流程;若注会认定企业可能收到无效函证,则需要采用其他流程替代确认流程,来保障审计证据相关性和可靠性得到核实;如果不进行债权的函证,审计师应在审计工作底稿中说明理由”。对于电子商务公司来说,其供应商多为个体户,其零售的交易量又大,品种繁乱,在函证的过程中可能存在供货商不愿意提供函证或者是提供的往来款的函证达不到审计的标准,所以增加了往来款函证的风险。因此,当企业内部控制比较薄弱,审计人员用函证方式获取审计证据的渠道受到影响时,会相应提高检查风险。
三、电子商务企业审计风险的防范建议
(一)提高承接业务的慎重程度
在电子商务大环境下,应当对电子商务审计的程序适当扩展,在对被审计单位调查,实质性与合规性检验、报告问题组成的传统审计程序基础上进行更加深入的创新与优化,比如对企业的电子支付流程进行考察,对信息和授权系统安全性进行考察。
(二)完善电子商务审计规范和体系
目前,电子商务产业仍在发展初期,电子商务的审计流程也在不断完善,因此电子商务企业在被审计时可能会产生一些问题。针对当前的审计现状,我国政府部门采用参考其他电商市场发达国家法律法规的方法,对电子商务活动涉及的各个主体进行细化规范和追责,并制定符合发展现状的电子商务审计规范和体系。同时,制定时可以参考各大会计师事务所在进行电子商务审计时遇到的问题,以及国内电子商务业务发展的实时动态等因素。制定该规范和体系的主要目的在于维护消费者权益、电子商务企业权利义务和电子商务市场交易秩序等。
(三)提高审计人员的综合素质
审计部门不断对注册会计师提出越来越高的要求,在掌握和熟知传统审计方式的前提下,还需要对电子商务以及互联网信息相关进行知识补充。电子商务审计与传统审计相比除了需要完成财报审计还需要审计网络信息安全系统等,这是传统审计中不需要进行的流程。可见,对熟知电商知识的审计人员进行培养是防范、发现和改正审计风险非常有效的做法。在人才培养方面,事务所可以加大缺乏电商知识的员工进行培训,培训的时候加入电商的内容;相关院校及专业要扩大专业范围,增添电子商务和现代信息系统的课程,比如数据库和Python编程的学习,培养学生的编程思维;在政策方面上,可以适当的修改注册会计师考试的内容,全面发展审计人员的知识结构,丰富人才的培养。
(四)开发实用的电子商务审计软件
由于电子商务业务的特殊性,审计软件可以着重开发以下几个方面:首先,审计软件的研发要与传统的会计软件衔接,不能脱离原有的会计软件,在二者之间应该有一个接口对应,来实现数据传输的功能,帮助在审计现场或是远程办公的审计人员通过该软件能够随时获取被审计单位的业务数据;其次,审计软件应当具有安全性检测功能,电子商务审计的内容庞大、时间有限,而且审计人员不一定具备分辨数据真实与否的能力。如果审计软件在获取会计数据之后,能够将前后台数据进行比对,并且筛选出逻辑存疑的业务数据,则审计人员的效率将大幅度提高,审计质量也能得到一定保障;最后,审计软件可以建立网络审计数据库,供所有审计人员记录工作过程中遇到的问题和经验,并进行业务交流。另外,同时具有电子商务审计专业知识和掌握计算机知识及技术的审计人员比较匮乏,很多审计人员对于电子商务审计的能力和经验还有待提高。因此,如果开发的审计软件同时具有查询电子商务法律法规及常见的审计风险案例,可以更加便利注册会计师的工作,提高审计效率,为其提供更多审计思路,从而保障审计工作的效率,降低审计风险。
电子商务审计及其风险研究篇(5)
商业银行从事金融业务面临着市场风险、信用风险、以及操作风险等,而电子商务的出现则加剧了上述各类风险发生的可能性以及风险发生之后的破坏程度。2004年以来,我国面临的网络仿冒威胁正在逐渐加大,仿冒对象主要是金融网站和电子商务网站。2005年上半年共收到网络安全事件报告65679件,超过2004年全年案件数,商业银行电子商务安全风险管理策略已成为理论与实践中必须重视的课题。
一、信息安全管理的历史演进与现阶段的特点
信息安全管理的策略大体遵循事件驱动(技术和管理脱节)-逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。
(一)以事件驱动的初级阶段时期
19世纪70年代安全主要是指物理设备和环境的安全,人与计算机之间的交互主要局限在大型计算机上的哑终端,安全问题只涉及能访问终端的少数人。安全管理策略处于初级阶段,由事件驱动,没有形成规范的管理流程。在此阶段的前期,只重视技术手段。后期开始重视管理手段,但是技术和管理之间脱节。许多组织对信息安全制定了相应的规章和制度,但组织的信息安全管理基本上还处在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。
(二)标准化时期
企业开始将安全问题作为整体考虑,形成一套较为完整的安全管理策略,其中包括了安全管理的技术手段和管理制度(或称运作管理)。几乎所有从事电子商务的企业都拥有自己的安全策略,内容也包括了技术手段、安全管理制度、人员安全教育等等,基本上形成体系,技术和管理手段综合统一,但是安全风险分析还存在不足之处。
(三)安全风险管理策略时期
随着电子商务安全管理发展到一个比较高的层次,安全管理策略也演进到安全风险管理阶段。主要特点如下:
1.安全风险管理成为主流趋势;在安全管理策略的演进过程中,技术和管理手段综合统一、又融入了风险管理的分析、防范策略,从而安全管理进入了安全风险管理时期。西方商业银行已对安全风险管理形成共识。如安氏公司(is—One),认为信息安全问题最终将归结为风险管理问题,风险管理方法是建立良性的安全技术和管理体系的依据和基础。
2.安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。国际上关于安全风险管理的标准有巴塞尔银行监管委员会的《电子银行业务风险管理原则》、英国标准协会制订的BS7799等。各国也日益重视安全风险管理,制定了许多规范。例如美国货币监理署(OCC)的《电子银行最终规则》、香港金融管理局的《电子银行服务的安全风险管理》等。中国银行业监督管理委员也于2006年颁布了《电子银行业务管理办法》,对国内企业的电子商务安全风险管理给出了指导意见。
3.利用外部专业化机构对金融机构的安全性评估已成为大部分国家的选择。电子银行面临的安全和技术风险,在相当程度上取决于采用的信息技术的先进程度,系统的设计开发水平,以及相关设施设备及其供应商的选择等;银行依靠传统的风险管理机制已很难识别、监测、控制和管理相关风险。同样,监管机构也难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此,大部分国家都采用了依靠外部专业化机构定期对电子银行安全性进行评估的办法,加强对电子银行安全性和技术风险的管理和监管。
4.在许多国家信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。业界的IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作,从经济学的角度出发分析风险,充分衡量保持安全的代价和收益之间的关系,寻求用最小的代价实现最大的效用,在风险分析中也形成一套较为成熟的模式。
二、我国商业银行电子商务安全风险管理策略的薄弱点
(一)系统管理思想缺乏
目前的电子商务安全风险管理策略,在全局上缺乏系统论理论的指导,在实际操作中受到多种多样的安全攻击时会不可避免地出现安全漏洞,无法形成一张全面有序的安全网络。
实践中被采用的安全风险管理策略,以及作为指导意见的规则规范,如《信息安全管理实务准则》(IS017799)、《信息技术安全性评估准则》(GB/T18336.1)、巴塞尔银行监管委员会的《电子银行业务风险管理原则》,尽管提出了比较全面的安全风险管理方案,层次上也比较清晰,但是还不足以作为一个风险防范系统。实践中,电子商务组织是一个复杂的系统组织,电子商务的安全风险管理体系和过程也是个复杂的系统。系统论、控制论的思想在电子商务安全风险管理中是不可或缺的。
(二)风险分析的模型与方法不成熟,定量分析不足
电子商务模式自身的发展历史也不过20几年,在风险分析的定量技术上并不成熟;如BS7799中推荐的电子商务安全风险管理中实施风险评估时,往往将威胁发生的可能性定性划分为几个级别,将威胁所造成的影响也定性划分为1~5级,实质上是将一些按照概率发生的事件定义为不连续的几个级别,在操作上易行,但造成了度量的不精确。在进行监控和审计之后,也存在无法量化、对比的问题。
(三)忽视与原有的传统风险管理策略的结合
本质上,电子商务的安全风险无非是新兴的商业模式对传统的风险的改变,以及产生的在传统风险控制领域暂时无法明晰的新风险;现有管理策略只从信息技术的角度、或者从偏重技术的角度看待问题,站在金融领域本身来分析研究较少。这种状况导致了对电子商务安全风险管理的研究无法立足于一个比较高的层次;忽略了风险的整体性,只进行偏信息和技术的研究,导致了现有的电子商务安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言,传统金融业务的风险控制与电子商务的技术风险控制,两个方面存在脱节,同样属于商业银行的风险,存在着不同的管理策略,导致多头管理、资源浪费、机构之间的扯皮,乃至缺位管理。
(四)风险管理策略无法
依赖外部的信息安全管理行业
在发达国家,信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法,提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系,制定和引进了一批重要的信息安全管理标准、法律法规,风险评估工作得到了一定重视,但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。
(五)风险管理策略中商业银行的内部风险控制能力薄弱
我国商业银行目前均建立起统一的风险管理部门;但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距,风险控制实质上仍然分散在各个子部门;风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门;风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如,风险管理部门接受了电子交易部的风险控制报告,表面上履行的内控审核的流程,但审核作用有限,无法完成电子商务安全风险管理中的监控与审计环节。
三、商业银行的电子商务安全风险管理策略的改进建议
(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架
利用系统理论作为总体的指导思想,将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。
在商业银行电子商务安全风险控制的流程中,经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内,然后进行监控和审计;尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入,从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环,安全风险管理的有效性就上一个台阶,商业银行的安全管理水平变得到了提高。
(二)电子商务安全风险管理中定量分析中的改进思路
商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中,商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定,商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失,巴塞尔委员会制定资本要求的转换系数;在度量损失的分布时,主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来,利用现有的度量方法进行精确的风险定量分析的尝试。
(三)将商业银行电子商务安全风险纳入商业银行总体风险管理范畴
将商业银行所面临的全部风险放在一个框架中考虑。传统风险管理以及电子商务安全风险管理都是风险管理系统中子系统,二者相互联系、相互影响,不可分割。尝试借鉴信用风险与操作风险度量的方法与思想,短期内将其与信用风险控制衔接,最终形成一个全面的商业银行安全风险管理框架。
(四)商业银行要积极促进电子商务安全风险管理策略的改进(1)充分利用国内或国外能够获得的信息系统审计、外部信息安全评估等服务,采取定期评估审计、不断采取措施改善风险状态的策略;(2)在目前商业银行的组织与管理体制下,风险控制部门与传统金融业务部门的流程需不断改善,商业银行必须创造条件,加强风险管理部门与电子商务部门的交叉配合,包括各部门人员的配置、培训等各方面;使风险管理部门能够履行安全风险管理的监控与审计职能;(3)商业银行必须重视对传统金融风险与电子商务安全风险的统一度量问题的研究,不断提高风险管理部门综合控制风险的能力,充分考虑电子商务安全风险与信用风险、操作风险的交叉问题,为实现全面风险管理奠定基础。依赖外部的信息安全管理行业在发达国家,信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法,提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系,制定和引进了一批重要的信息安全管理标准、法律法规,风险评估工作得到了一定重视,但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。
(五)风险管理策略中商业银行的内部风险控制能力薄弱
我国商业银行目前均建立起统一的风险管理部门;但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距,风险控制实质上仍然分散在各个子部门;风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门;风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如,风险管理部门接受了电子交易部的风险控制报告,表面上履行的内控审核的流程,但审核作用有限,无法完成电子商务安全风险管理中的监控与审计环节。
三、商业银行的电子商务安全风险管理策略的改进建议
(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架
利用系统理论作为总体的指导思想,将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。
在商业银行电子商务安全风险控制的流程中,经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内,然后进行监控和审计;尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入,从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环,安全风险管理的有效性就上一个台阶,商业银行的安全管理水平变得到了提高。
(二)电子商务安全风险管理中定量分析中的改进思路
商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中,商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定,商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失,巴塞尔委员会制定资本要求的转换系数;在度量损失的分布时,主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来,利用现有的度量方法进行精确的风险定量分析的尝试。
电子商务审计及其风险研究篇(6)
引言
21世纪,伴随着5G与大数据、云计算、虚拟增强现实等先进技术的不断发展融合,我国企业的商务模式不断革新。和传统企业相比,电商企业依托互联网环境实现了业务流程的虚拟化、无纸化,支付手段也因为电子支付、电子货币的出现显得更加多样和便利,在企业的经营过程中产生了海量的数据,这诸多因素将电商企业的审计工作要求提到了新的高度。在针对电商企业的审计工作中除了要关注会计层面,还需要充分考虑企业的内部控制、信息系统的应用情况以及网络安全对审计产生的影响,因此单一运用传统的审计方法可能无法全面的规避风险,电子商务企业的审计方法也应该与时俱进,特别是应用大数据和云计算来防范电子商务企业的审计风险是当前审计工作需要关注的内容。
一、电子商务对企业审计的影响
与传统企业相比,电子商务企业的交易流程在互联网虚拟环境完成,卖场里的有形商品转变为网络上的数字图像,真金白银的货币交付升级为电子支付,传统的票据传递也演化成了电子结算。电商交易过程记录的无纸化、交易资金流的虚拟化、交易网络的安全性都给电商企业的审计工作带来了多维度的影响。
(一)对审计目标的影响
通过电子邮件、即时沟通等工具,电子商务企业的内外部沟通更加紧密,在具体的业务过程中,信息使用者获得海量数据的成本更低、途径更多,因此在信息时效性方面的关注度更多,传统会计报表的重要性逐渐相对降低,这导致审计目标不光是企业的财务报表,还应该扩大到电商企业相关利益者的既得利益。
(二)对审计服务对象的影响
企业审计的对象可以高度概括为被审计单位的经济管理活动,即对企业的财务收支及相关的经营管理活动进行审计。由于电子商务企业的主要业务流程在虚拟环境中完成,业务过程更加隐蔽,再加上业务数据大多保存在数据库中,数据更容易篡改,因此电商企业的审计对象不光要考虑企业经济业务自身的真实性和合法性,还应扩展到各类业务原始凭证数据录入的准确性、网络会计信息系统的可靠性以及应用程序与数据文件的安全性等。
(三)对审计方法的影响
传统商务模式下的企业经济活动大多由手工完成,审计线索清晰完整,通常会采用制度审计的方法实施事后审计及就地审计,工作的重点是对企业的内部流程进行控制。但在电子商务模式下,企业的主要经济活动是通过计算机、应用软件依托互联网环境由程序代码执行指令实现的,业务处理流程的追踪的困难度相对传统审计有所增加。而且,随着新的信息技术和网络技术的不断出现,也增加了企业内部环境的不确定性因素,因此需要采取实时连续审计方式,并应用数据挖掘等先进技术,以便及时搜集审计证据、降低审计风险。
(四)对审计人员素质的影响
互联网环境下,电商企业的相关经济活动以及大量会计资料多以电子形式产生和存储,形成了数量庞大、关联广泛且种类繁多的信息集合资产,审计人员在具备了计算机、网络以及电子商务相关业务知识的前提下,结合大数据技术的有效应用,可以及时掌握审计线索的变化,从而更好地识别审计风险、评价审计风险。同时审计人员还需要考虑企业信息系统提供数据的有效性,谨慎的评价企业信息系统提供的样本数据,避免过度依赖计算机或信息系统专家影响审计人员自身的客观独立性判断。
二、电子商务企业审计风险分析
(一)电商企业审计风险的特点
《注册会计师的总体目标和审计工作的基本要求》(2010)指出,审计风险是指被审计对象的财务报表存在重大错误,但审计人员审计后却发表了不恰当意见的可能性。传统企业审计中审计风险的特点主要体现在客观性、普遍性、未知性、可控性几个方面。而电子商务企业的审计风险除了继承了原有特点之外,还出现了以下三个新的特点。
1.海量数据的不稳定性
电子商务企业业务类型主要包括虚拟和非虚拟交易,涉及的审计证据不仅包括传统的财务数据,还包括互联网上很多图片、音视频、文档等非结构化数据,这些形式多样、数量庞大的数据都存储在计算机中,可能存在数据遗失、数据损毁、交易数据重复等安全隐患。一旦业务数据出现问题,在没有人工干预的情况下,计算机系统和程序就会按照指令机械处理,从而导致电子商务业务的完备性风险增加。
2.审计工作的高效性
基于互联网环境,电商企业的交易活动不受时空条件的限制,随时随地都可能产生商品交易行为,电商平台或运营系统的持续运转支持审计人员不用到访企业就可以通过企业信息系统进行远程的实时取证,还可以完成电子信息的集中处理,从而及时掌握被审计单位的实时情况,从而达到实时动态监督的目的。
3.审计风险的复杂性
首先,电子商务模式下企业交易活动的参与者除了买卖双方,还包括产品供应商、银行或第三方支付机构以及物流配送服务提供商,如果其中有参与者未能承担自身的信用责任,就会给整个企业审计带来相应的风险。其次,网络环境下频发的恶意入侵、交易双方真实身份无法确认以及应用PS技术可以不留痕迹的篡改电子签章等审计证据等也增加了电商企业审计工作的风险。最后,日益繁荣的跨境电商业务覆盖全球范围,经营产品种类繁多,涉及语言差异、货币汇率换算、不同跨境平台的差异性,也增加了电商企业审计风险的复杂性。
(二)电商企业审计风险原因分析
1.审计环境方面的风险
(1)信息化审计技术滞后。随着互联网的发展,我国的电子商务发展迅速,且发展规模在世界处于领先地位。电子商务作为信息化集成比较高的行业,特别适合应用智能化手段开展审计工作,从而提供工作效率。但由于智能化审计系统建设及运维等构建成本高昂,目前智能化审计主要是应用在政府审计中,国内大数据、云计算在审计方面的应用案例屈指可数,特别是国内会计师事务所大多对新型智能审计系统持观望态度。(2)电商法律法规和审计准则不完善。电子商务的迅速发展让很多传统商务模式下的欺诈行为转移到了互联网上,网络欺诈、虚假销售、信息泄露事件频频发生,现行的法律法规但并未对相关的审计内容、方法进行规定。电子商务企业自身的经营风险和审计人员缺乏完善的审计准则无法开展实务操作,都增加了电商企业的审计难度,加大了审计风险。(3)网络信息安全带来的隐患。电商企业的业务流程依托互联网开展,其安全完全依赖信息系统是否安全有效。一旦信息系统出现系统故障或受到病毒、恶意攻击,将导致电子商务企业的业务和资金安全受到威胁,给企业带来损失,同时也会增加审计工作的难度甚至影响审计质量。
2.审计对象方面的风险
(1)凭证数字化。电商企业的日常运营要应用OA、ERP、CRM、SAP等诸多企业信息管理系统,这些系统在运行过程中会产生大量的数据,涉及企业的采购、销售、收款、付款等各种单据,大部分单据都是以电子凭证的方式由信息系统自动生成并存储。相比传统的纸质凭证,电子凭证很容易被篡改或恶意窃取。因此在审计过程中,要全面了解电商企业的各类电子凭证数据,如果无法保证审计人员获得充分完整的数据资料,容易给审计带来较大的风险。(2)无理由销售退款。《网络交易管理办法》(2014)在法律和部门规章层面对消费者的网购“后悔权”进行了全面支持,这种宽松的退换货政策会滞后电商企业的收入确认时点,从而增加会计报表收入类科目确认的难度,导致审计人员在判断企业交易发生真实性、确认收入时点和交易额准确性时出现误判。(3)支付方式多样化。随着电子商务的发展,我国的第三方支付技术不断进步,支付宝、微信、京东金融等都可以实现网络零售过程中的在线支付。电商企业庞大的交易数据对应的是海量且形式各异的电子支付凭证,审计人员在审计过程中很难对这些凭证是否真实效性、支付是否安全和数据记录是否准确进行判断。
3.审计主体方面的风险
(1)具备电商知识的审计人员不足。审计作为一种鉴证活动,要求审计人员应了解被审计单位的业务流程,具备相应的业务知识才能更好地开展审计工作。因此针对电子商务企业的审计工作,就需要审计人员了解电商领域的相关知识,并具备一定的计算机技术。目前我国注册会计师队伍中,了解电商运作模式,懂得计算机技术以及网络安全技术的人才比较缺乏,特别是会应用大数据、云计算开展审计工作的复合型人才更少。(2)审计软件相对落后。传统企业的审计项目中,审计人员会借助审计软件进行辅分析,在审计软件中进行会计数据的处理和查询。但由于电商企业的业务数据类型除了结构化财务数据,还有大量图片、音视频、文档等各种非结构化数据,所以需要开发能同时处理结构化数据和非结构化数据的新型审计软件,才能满足现阶段审计工作的需求。
三、大数据背景下的电商企业审计风险防范措施
(一)基于大数据构建电商企业审计云平台
电子商务企业的审计数据由传统的单一结构化数据逐渐转变为多元非结构化数据,除了企业自身的财务数据,还包括以图片、音视频、文档形式存储的企业内部规章制度、会议记录、各类合同等非财务信息数据,各类业务产生的海量数据在大数据技术支持下,通过数据建模构建出涵盖电商企业各业务流的全方位数据平台,不仅可以便捷地获取审计样本数据,实现“样本即总体”的全面审计,以规避抽样审计的风险,也可通过云平台的智能算法规则还能利用业务数据之间的关联性设定各类财务数据的值阈变动范围和审计风险模型方程式,迅速标记异动数据锁定审计疑点。考虑到电商企业各业务流之间的协同作业关系,其云审计平台可以按照前期审计准备、中期审计执行和后期审计报告三个阶段进行设计,并遵循安全性、有效性、规范性的原则。
(二)基于云平台实施“精准性”审计
电商企业运营过程产生的海量数据会存储在云平台的分布数据存储设备中,理论上这是一个审计数据信息存储和管理的无限虚拟空间。电商交易涉及的会计凭证、各类统计报表数量繁多,客户群体遍布全网人数众多,因此对财务报表的精确度要求较高。云平台可以根据不同时间跨度将电商交易的财务数据与业务数据分类存储,再通过数据挖掘技术完成高效且有针对性的审计数据、分析挖掘,找到相应的审计疑点,为后续审计取证奠定基础。同时通过大数据技术还能实现审计数据的交汇统一,降低人工运算可能产生的检查风险,从而实现电商企业审计数据的精准识别、精准审计。
(三)基于云平台实施“共享性”审计
电商企业交易平台的多样性导致企业交易资金存在数据量大、资金收入时点和交易额不准确等特点,因此如何在电商审计云平台中保证审计数据的完整和准确尤为重要。在云平台构建时保证审计机构和被审计单位软件接口对接的标准化和一致性,可以有效保证数据的完整传递,同时防止外部数据泄露。除此以外,云平台可以将电商企业的业务数据按交易时间段、交易类型和金额区间等标准,以柱状图、趋势图等图表形式直观展示。基于云平台的审计模式,最大程度上打破了时空的约束,可以随时随地在审计机构和被审计单位之间,甚至是多个审计机构之间共享信息和计算环境,从而实现“共享性”审计。
(四)基于云平台实施“连续性”审计
传统审计模式下,由于审计资源和审计技术有限的原因,会根据重要性水平选择需要审查的项目,且多为事后审计及就地审计,审计方法以抽样审计为主,该模式下的审计结果存在一定的局限性和片面性。而基于大数据技术的云平台可以对电商企业进行全程跟踪审计,实现审计数据的实时采集、动态分析及连续审计,通过事前立项审计、事中执行监督审计、事后绩效评估审计,实现人员未动、数据先行。通过事前立项审计可以起到有效预防的作用,减少后期审计决策出现失误的情况。事中执行监督审计时效性强,可以及时查明企业经济目标和预算的实现程度,帮助电商企业及时采取措施纠正偏差,改善内部控制,保证最终目标和预算的实现。事后绩效评估审计能够对电商企业已经发生的财政财务收支和经济业务的真实性、合法性和效益性作出全面的评价。如果缺少事前立项审计,一旦在审计过程中发现问题,已造成后果甚至无法纠正时,从某种意义上而言事后审计就没有多大意义。相反地,缺少事中执行监督审计和事后绩效评估审计,再成功的事前立项审计也会因为没有过程保证而丧失价值。
结语
综合以上分析,可以看出伴随着5G与大数据、云计算、虚拟增强现实等先进技术的不断发展融合,电子商务企业的审计工作出现了新的挑战,针对海量数据的不稳定性、审计工作的高效性以及审计风险的复杂性等新特点,本文从基于大数据构建电商企业审计云平台以及基于云平台实施“精准性”“共享性”“连续性”审计四个方面提出了针对电子商务企业审计的普适性对策。
参考文献
[1]鲍樊军.电子商务企业的审计风险防范研究[D].昆明:云南大学,2016.
[2]王加宝.电子商务环境下审计风险研究[D].北京:首都经济贸易大学,2014.
[3]曹计.我国电子商务审计风险的防范[D].南昌:江西财经大学,2009.
[4]安杰.互联网环境下电商企业审计风险探析[J].中国中小企业,2019(7):62–64.
[5]程,王静.电商环境下企业内部审计存在的问题与对策研究[J].电子商务,2020(52):63–64.
电子商务审计及其风险研究篇(7)
商业银行从事金融业务面临着市场风险、信用风险、以及操作风险等,而电子商务的出现则加剧了上述各类风险发生的可能性以及风险发生之后的破坏程度。2004年以来,我国面临的网络仿冒威胁正在逐渐加大,仿冒对象主要是金融网站和电子商务网站。2005年上半年共收到网络安全事件报告65679件,超过2004年全年案件数,商业银行电子商务安全风险管理策略已成为理论与实践中必须重视的课题。
一、信息安全管理的历史演进与现阶段的特点
信息安全管理的策略大体遵循事件驱动(技术和管理脱节)-逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。
(一)以事件驱动的初级阶段时期
19世纪70年代安全主要是指物理设备和环境的安全,人与计算机之间的交互主要局限在大型计算机上的哑终端,安全问题只涉及能访问终端的少数人。安全管理策略处于初级阶段,由事件驱动,没有形成规范的管理流程。在此阶段的前期,只重视技术手段。后期开始重视管理手段,但是技术和管理之间脱节。许多组织对信息安全制定了相应的规章和制度,但组织的信息安全管理基本上还处在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。
(二)标准化时期
企业开始将安全问题作为整体考虑,形成一套较为完整的安全管理策略,其中包括了安全管理的技术手段和管理制度(或称运作管理)。几乎所有从事电子商务的企业都拥有自己的安全策略,内容也包括了技术手段、安全管理制度、人员安全教育等等,基本上形成体系,技术和管理手段综合统一,但是安全风险分析还存在不足之处。
(三)安全风险管理策略时期
随着电子商务安全管理发展到一个比较高的层次,安全管理策略也演进到安全风险管理阶段。主要特点如下:
1.安全风险管理成为主流趋势;在安全管理策略的演进过程中,技术和管理手段综合统一、又融入了风险管理的分析、防范策略,从而安全管理进入了安全风险管理时期。西方商业银行已对安全风险管理形成共识。如安氏公司(is—One),认为信息安全问题最终将归结为风险管理问题,风险管理方法是建立良性的安全技术和管理体系的依据和基础。
2.安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。国际上关于安全风险管理的标准有巴塞尔银行监管委员会的《电子银行业务风险管理原则》、英国标准协会制订的BS7799等。各国也日益重视安全风险管理,制定了许多规范。例如美国货币监理署(OCC)的《电子银行最终规则》、香港金融管理局的《电子银行服务的安全风险管理》等。中国银行业监督管理委员也于2006年颁布了《电子银行业务管理办法》,对国内企业的电子商务安全风险管理给出了指导意见。
3.利用外部专业化机构对金融机构的安全性评估已成为大部分国家的选择。电子银行面临的安全和技术风险,在相当程度上取决于采用的信息技术的先进程度,系统的设计开发水平,以及相关设施设备及其供应商的选择等;银行依靠传统的风险管理机制已很难识别、监测、控制和管理相关风险。同样,监管机构也难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此,大部分国家都采用了依靠外部专业化机构定期对电子银行安全性进行评估的办法,加强对电子银行安全性和技术风险的管理和监管。
4.在许多国家信息系统审计(Is Audit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。业界的IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作,从经济学的角度出发分析风险,充分衡量保持安全的代价和收益之间的关系,寻求用最小的代价实现最大的效用,在风险分析中也形成一套较为成熟的模式。
二、我国商业银行电子商务安全风险管理策略的薄弱点
(一)系统管理思想缺乏
目前的电子商务安全风险管理策略,在全局上缺乏系统论理论的指导,在实际操作中受到多种多样的安全攻击时会不可避免地出现安全漏洞,无法形成一张全面有序的安全网络。
实践中被采用的安全风险管理策略,以及作为指导意见的规则规范,如《信息安全管理实务准则》(IS017799)、《信息技术安全性评估准则》(GB/T18336.1)、巴塞尔银行监管委员会的《电子银行业务风险管理原则》,尽管提出了比较全面的安全风险管理方案,层次上也比较清晰,但是还不足以作为一个风险防范系统。实践中,电子商务组织是一个复杂的系统组织,电子商务的安全风险管理体系和过程也是个复杂的系统。系统论、控制论的思想在电子商务安全风险管理中是不可或缺的。
(二)风险分析的模型与方法不成熟,定量分析不足
电子商务模式自身的发展历史也不过20几年,在风险分析的定量技术上并不成熟;如BS7799中推荐的电子商务安全风险管理中实施风险评估时,往往将威胁发生的可能性定性划分为几个级别,将威胁所造成的影响也定性划分为1~5级,实质上是将一些按照概率发生的事件定义为不连续的几个级别,在操作上易行,但造成了度量的不精确。在进行监控和审计之后,也存在无法量化、对比的问题。
(三)忽视与原有的传统风险管理策略的结合
本质上,电子商务的安全风险无非是新兴的商业模式对传统的风险的改变,以及产生的在传统风险控制领域暂时无法明晰的新风险;现有管理策略只从信息技术的角度、或者从偏重技术的角度看待问题,站在金融领域本身来分析研究较少。这种状况导致了对电子商务安全风险管理的研究无法立足于一个比较高的层次;忽略了风险的整体性,只进行偏信息和技术的研究,导致了现有的电子商务安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言,传统金融业务的风险控制与电子商务的技术风险控制,两个方面存在脱节,同样属于商业银行的风险,存在着不同的管理策略,导致多头管理、资源浪费、机构之间的扯皮,乃至缺位管理。
(四)风险管理策略无法依赖外部的信息安全管理行业
在发达国家,信息系统审计(Is Audit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法,提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系,制定和引进了一批重要的信息安全管理标准、法律法规,风险评估工作得到了一定重视,但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。
(五)风险管理策略中商业银行的内部风险控制能力薄弱
我国商业银行目前均建立起统一的风险管理部门;但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距,风险控制实质上仍然分散在各个子部门;风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门;风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如,风险管理部门接受了电子交易部的风险控制报告,表面上履行的内控审核的流程,但审核作用有限,无法完成电子商务安全风险管理中的监控与审计环节。
三、商业银行的电子商务安全风险管理策略的改进建议
(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架
利用系统理论作为总体的指导思想,将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。
在商业银行电子商务安全风险控制的流程中,经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内,然后进行监控和审计;尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入,从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环,安全风险管理的有效性就上一个台阶,商业银行的安全管理水平变得到了提高。
(二)电子商务安全风险管理中定量分析中的改进思路
商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中,商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定,商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失,巴塞尔委员会制定资本要求的转换系数;在度量损失的分布时,主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来,利用现有的度量方法进行精确的风险定量分析的尝试。
电子商务审计及其风险研究篇(8)
商业银行从事金融业务面临着市场风险、信用风险、以及操作风险等,而电子商务的出现则加剧了上述各类风险发生的可能性以及风险发生之后的破坏程度。2004年以来,我国面临的网络仿冒威胁正在逐渐加大,仿冒对象主要是金融网站和电子商务网站。2005年上半年共收到网络安全事件报告65679件,超过2004年全年案件数,商业银行电子商务安全风险管理策略已成为理论与实践中必须重视的课题。
一、信息安全管理的策略大体遵循事件驱动(技术和管理脱节)-逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。
(一)以事件驱动的初级阶段时期
19世纪70年代安全主要是指物理设备和环境的安全,人与计算机之间的交互主要局限在大型计算机上的哑终端,安全问题只涉及能访问终端的少数人。安全管理策略处于初级阶段,由事件驱动,没有形成规范的管理流程。在此阶段的前期,只重视技术手段。后期开始重视管理手段,但是技术和管理之间脱节。许多组织对信息安全制定了相应的规章和制度,但组织的信息安全管理基本上还处在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。
(二)标准化时期
企业开始将安全问题作为整体考虑,形成一套较为完整的安全管理策略,其中包括了安全管理的技术手段和管理制度(或称运作管理)。几乎所有从事电子商务的企业都拥有自己的安全策略,内容也包括了技术手段、安全管理制度、人员安全教育等等,基本上形成体系,技术和管理手段综合统一,但是安全风险分析还存在不足之处。
(三)安全风险管理策略时期
随着电子商务安全管理发展到一个比较高的层次,安全管理策略也演进到安全风险管理阶段。主要特点如下:
1.安全风险管理成为主流趋势;在安全管理策略的演进过程中,技术和管理手段综合统
一、又融入了风险管理的分析、防范策略,从而安全管理进入了安全风险管理时期。西方商业银行已对安全风险管理形成共识。如安氏公司(is—One),认为信息安全问题最终将归结为风险管理问题,风险管理方法是建立良性的安全技术和管理体系的依据和基础。
2.安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。国际上关于安全风险管理的标准有巴塞尔银行监管委员会的《电子银行业务风险管理原则》、英国标准协会制订的BS7799等。各国也日益重视安全风险管理,制定了许多规范。例如美国货币监理署(OCC)的《电子银行最终规则》、香港金融管理局的《电子银行服务的安全风险管理》等。中国银行业监督管理委员也于2006年颁布了《电子银行业务管理办法》,对国内企业的电子商务安全风险管理给出了指导意见。
3.利用外部专业化机构对金融机构的安全性评估已成为大部分国家的选择。电子银行面临的安全和技术风险,在相当程度上取决于采用的信息技术的先进程度,系统的设计开发水平,以及相关设施设备及其供应商的选择等;银行依靠传统的风险管理机制已很难识别、监测、控制和管理相关风险。同样,监管机构也难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此,大部分国家都采用了依靠外部专业化机构定期对电子银行安全性进行评估的办法,加强对电子银行安全性和技术风险的管理和监管。
4.在许多国家信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。业界的IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作,从经济学的角度出发分析风险,充分衡量保持安全的代价和收益之间的关系,寻求用最小的代价实现最大的效用,在风险分析中也形成一套较为成熟的模式。
二、我国商业银行电子商务安全风险管理策略的薄弱点
(一)系统管理思想缺乏
目前的电子商务安全风险管理策略,在全局上缺乏系统论理论的指导,在实际操作中受到多种多样的安全攻击时会不可避免地出现安全漏洞,无法形成一张全面有序的安全网络。
实践中被采用的安全风险管理策略,以及作为指导意见的规则规范,如《信息安全管理实务准则》(IS017799)、《信息技术安全性评估准则》(GB/T18336.1)、巴塞尔银行监管委员会的《电子银行业务风险管理原则》,尽管提出了比较全面的安全风险管理方案,层次上也比较清晰,但是还不足以作为一个风险防范系统。实践中,电子商务组织是一个复杂的系统组织,电子商务的安全风险管理体系和过程也是个复杂的系统。系统论、控制论的思想在电子商务安全风险管理中是不可或缺的。
(二)风险分析的模型与方法不成熟,定量分析不足
电子商务模式自身的发展历史也不过20几年,在风险分析的定量技术上并不成熟;如BS7799中推荐的电子商务安全风险管理中实施风险评估时,往往将威胁发生的可能性定性划分为几个级别,将威胁所造成的影响也定性划分为1~5级,实质上是将一些按照概率发生的事件定义为不连续的几个级别,在操作上易行,但造成了度量的不精确。在进行监控和审计之后,也存在无法量化、对比的问题。
(三)忽视与原有的传统风险管理策略的结合
本质上,电子商务的安全风险无非是新兴的商业模式对传统的风险的改变,以及产生的在传统风险控制领域暂时无法明晰的新风险;现有管理策略只从信息技术的角度、或者从偏重技术的角度看待问题,站在金融领域本身来分析研究较少。这种状况导致了对电子商务安全风险管理的研究无法立足于一个比较高的层次;忽略了风险的整体性,只进行偏信息和技术的研究,导致了现有的电子商务安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言,传统金融业务的风险控制与电子商务的技术风险控制,两个方面存在脱节,同样属于商业银行的风险,存在着不同的管理策略,导致多头管理、资源浪费、机构之间的扯皮,乃至缺位管理。
(四)风险管理策略无法依赖外部的信息安全管理行业
在发达国家,信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法,提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系,制定和引进了一批重要的信息安全管理标准、法律法规,风险评估工作得到了一定重视,但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。
(五)风险管理策略中商业银行的内部风险控制能力薄弱
我国商业银行目前均建立起统一的风险管理部门;但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距,风险控制实质上仍然分散在各个子部门;风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门;风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如,风险管理部门接受了电子交易部的风险控制报告,表面上履行的内控审核的流程,但审核作用有限,无法完成电子商务安全风险管理中的监控与审计环节。
三、商业银行的电子商务安全风险管理策略的改进建议
(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架
利用系统理论作为总体的指导思想,将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。
在商业银行电子商务安全风险控制的流程中,经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内,然后进行监控和审计;尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入,从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环,安全风险管理的有效性就上一个台阶,商业银行的安全管理水平变得到了提高。新晨
(二)电子商务安全风险管理中定量分析中的改进思路
商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中,商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定,商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失,巴塞尔委员会制定资本要求的转换系数;在度量损失的分布时,主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来,利用现有的度量方法进行精确的风险定量分析的尝试。
电子商务审计及其风险研究篇(9)
B2C即企业对消费者的商务模式,是指企业在互联网上为消费者提供一个虚拟的购物环境―网上商店,消费者在网上下单、网上支付,企业通过物流将商品或服务送到顾客手中。B2C以终端消费者通过网络向商家购买商品或服务为特征,是一种被广泛接受的电子商务模式。
一、B2C模式下的审计风险特征
1.审计风险
审计风险主要指的是由于财务报表存在重大错报而导致注册会计师有瑕疵或者错误的审计意见的可能性。审计风险包括重大错报风险和检查风险,用数学模型表示如下:
审计风险=重大错报风险×检查风险
重大错报风险(risk of material misstatement)是指财务报表在审计前存在重大错报的可能性。此类风险与控制环境有关,但也可能与其他因素――如经济萧条有关。检查风险是指某一认定存在错报,该错报单独或连同其他错报是比较严重的,但注册会计师未能及时发现这种错报。检查风险与审计程序设计的合理性和执行的有效性密切相关。
2.B2C模式下审计风险的特征
B2C模式下,审计以实时的数据库为基础,与传统的控制制度和流程区别较大,审计风险更加多样化、复杂化,主要特征如下:
(1)重大错报风险的特征。在B2C模式下,财务数据由计算机进行集中处理,传统会计流程中成熟的职权分割清晰的人为控制作用近于消失;数据存储介质及存储方式实的数字化,致使传统的账簿控制体系控制失灵;电子商务系统自身安全性、可靠性和开放性,对企业内部控制制度及其运转提出了新的挑战。
(2)检查风险的特征。在B2C模式下,原始凭证都以电子数据形式呈现,审计人员收集的审计证据也是数字化的。审计人员很难保证收集的审计证据的相关性、有效性、有用性和充分性,而且与传统证据相比,数字审计证据的还具有易破坏性。
二、B2C模式下的审计风险
1.软件风险
审计软件风险是检查风险,主要是指审计软件系统自身的缺陷造成的风险。首先,审计软件的更新滞后于会计软件的升级速度,导致审计效率和质量下降。第二,部分软件开发人员不熟悉审计、会计业务,或者不了解计算机编程知识,会导致软件自身存在运行稳定性缺陷,有可能会导致审计计算或者分析结果。
2.取证风险
在B2C模式下,企业会计信息与其他业务信息共存于企业信息化系统,互相交叉,客观上加大了审计人员取证工作的难度。
3.操作风险
操作风险指由于技术、研发及操作人员的实际操作造成的风险。目前大部分审计岗位的从业人员,传统审计经验有比较丰富的积累,但是电子商务及互联网知识和技能比较缺乏,实际工作中存在人员操作风险。
4.安全性及可靠性风险
在电子商务环境下,数字化身份验证和识别准度低于传统验证的精度,内部控制的技术和方法是通过会计软件实现的,系统环境复杂,内部控制可能出现漏洞,不能彻底杜绝会计数据造假、舞弊行为,存在重大错报的风险。
5.审计准则风险
电子商务时代,无论国际审计准则还是我国《中国注册会计师审计准则第1633号-电子商务对财务报表审计的影响》中的相关规定,都存在实施细则缺失或不完善的问题,不能很好地适应新时期审计实务的客观需要,审计风险加大。
三、规避B2C模式下审计风险的对策
1.以人为本,加强人才队伍建设降低检查风险
(1)B2C模式的商务信息流程与技术。B2C模式下,虚拟货币、电子支付、在线结算存带来了安全性和内部控制问题。因此,审计人员要熟练掌握B2C模式商务信息流程与技术,用信息化手段审查被审计单位业务流程和财务数据是否被非法篡改,鉴别会计数据的真实、可靠和准确性等。
(2)B2C模式审计程序与操作方法。对B2C模式下电子商务进行审计,审计人员需要使用审计软件系统对传统审计进行辅助审计,这就要有新的技术手段和方法体系。电子函证及远程审查工作的重点是鉴别通过网络在线获取的回函的真伪。实时监测的关键是用人工计算结果验证数据处理系统数据处理的正确性。勾稽关系测试,根据不同情况用不同的技术和方法。
2.充分评估B2C模式的经营风险降低财务报表层次的重大错报风险
(1)提高系统安全性降低审计风险。在专业工程技术人员协助下,审计人员对被审计单位的电子商务系统进行测评,降低审计风险。这包括是否制定了健全的与会计信息系统相关得管理制度等。
(2)提高审计软件性能提高抗风险能力。审计人员应从现实情况和科学性出发,自行开发或与财务软件公司合作,研制B2C模式下的审计测试软件。
3.多层面审查B2C企业内部控制降低认定层次的重大错报风险
一是审查B2C企业内部控制设计的有效性。二是审查B2C企业内部控制制度实施的有效性。
综上所述,随着计算机技术的广泛应用,电子商务日益普及,B2C模式成为广泛应用的商务模式。为了有效降低审计风险,必须采取综合措施,加强制度建设、健全行为规范,以人为本,培养复合型人才降低检查风险充分评估B2C模式的经营风险;降低财务报表层次的重大错报风险和多层面审查B2C企业内部控制降低认定层次的重大错报风险。
参考文献:
电子商务审计及其风险研究篇(10)
1.电子商务环境下审计的概念
电子商务是互联网与传统商业活动结合的产物,是利用电子技术和网络技术,将传统的商贸活动、营销管理与高新技术结合的结果。电子商务包括了网上购销、结算、售前售后服务、财务核算等多项经营活动。电子商务的快速发展也对审计工作产生了较大影响,电子商务审计就是将传统的审计工作与电子商务相结合,是审计领域的重大变革。电子商务审计是注册会计师对企业的电子商务活动中的会计记录的真实性、合法性和完整性进行审计。
2.电子商务环境下审计的内容
电子商务审计的内容与传统的审计一样,主要是审计会计记录中的信息,还包括电子商务形成的各种电子版与纸质版的文件记录。具体而言,电子商务审计的其他信息主要包括三部分:(1)企业的电子商务业务会计记录以外的信息;(2)注册会计师通过观察、询问和检查所获取的企业电子商务活动信息;(3)注册会计师通过自身编制并经过合理的逻辑推断所获得的关于企业电子商务的结论性信息。
3.电子商务环境下审计的特征
电子商务审计的内容与传统审计内容存在相似之处,也表现出自身独特的特征,表现在三个方面。第一,电子商务数据容易被消除和破坏。电子商务活动中,所有的数据都是无纸化操作,商务活动信息的生成、储存和传输都依赖于电子计算机,操作人员的失误容易造成数据的丢失。第二,电子商务企业的审计证据具有动态实时性特征。电子商务活动可以不受时间和空间的限制,提供24在线的不间断服务,所有的财务数据都是通过网络传输的。第三,电子商务环境下网络安全的重要性。在互联网时代,企业的经营安全不仅受自身控制,还受到外部环境的强烈干扰,计算机病毒和黑客攻击都会威胁到电子商务的网络安全。
4.电子商务环境下审计的外部风险及原因
4.1电子商务运营环境存在缺陷
我国电子商务发展速度较快,但是目前的一些辅助业务却不能跟上电子商务发展的速度,给电子商务审计带来了较大风险。例如我国物流体系不发达,对电子商务的发展及审计工作带来了较大影响。对于软件、游戏等虚拟物品可以在网上进行买卖,但是对于实物商品,仍然依赖于物流交接至消费者手中,才算完成交易。物流业务的制约,导致企业电子商务业务受到制约,也影响了审计工作的进行。
4.2法律法规不完善
虽然我国在2004年就出台了相关法律来规范注册会计师对电子商务业务的审计,但是仍然存在较多不足,制约着电子商务审计的发展。其中最突出的问题就是我国缺少基础性的法律,电子商务业务细节缺乏统一的标准,导致各部门制定的法规存在矛盾。另一方面,虽然现行的审计准则涉及到了电子商务审计,但是没有明确规定具体标准与流程,造成审计风险。
4.3社会信用体系缺失
社会信用体系的缺失导致电子商务企业提供的产品和服务质量下降,给企业带来了较大经营风险。此外,电子商务还面临网络安全问题。病毒和黑客攻击等都会造成数据丢失,导致风险的产生。此外,黑客恶意修改电子商务交易信息记录、消费者消费记录等,也影响到注册会计师审计的工作,导致真实性降低。
5.电子商务环境下审计风险产生的内部风险及原因
5.1企业的内部控制不足
传统的审计工作中,内部控制是审计的基础,任何时期的审计都要对内部控制的有效性和充分性进行评价。由于电子商务环境与传统环境存在较大不同,电子商务企业的管理与控制存在很多漏洞,其中最突出的问题就是电子商务发票的开具与保管。电子商务企业中,大都没有专门的部门来负责此项工作,导致业务风险和审计风险加大。
5.2从业人员素质较低
对于大部分企业而言,电子商务依赖于传统的工作人员,专业人员较少,导致不能胜任此项工作的人员参与到电子商务中来。由于这些员工对于电子商务不熟悉,容易造成企业商业信息和技术信息有意或者无意的泄露,对企业的经营活动造成较大影响,管理上存在较大风险。
5.3新兴的电子商务内容审计难度大
企业经营活动的扩展,也带来了审计范围的扩展,随着电子商务出现的网络交易、电子支付、电子签名等新内容,也构成了注册会计师审计的新范围。注册会计师不仅要审计传统内容,还要审计网络交易、支付结算等电子商务内容,增加了会计师审计的难度,给会计师带来了较大挑战,增加了审计风险。
6.电子商务环境下审计风险的防范对策
6.1完善我国电子商务的运行环境
电子商务的发展依赖于发达的物流体系,政府和社会应当大力支持第三方物流的发展,推动电子商务行业的快速发展。第三方物流可以为商家和消费者提供更为方便快捷的物流服务,具有较强的市场反应能力。第三方物流企业依托于传统的物流方式,形成网络协同,提高服务效率。因此,第三方物流企业的发展,不仅有助于发展电子商务,也可以有效的降低注册会计师的审计风险。
6.2完善法律法规体系
我国应当加快电子商务法律法规体系的建设进程,制定出维护公平、保护个人隐私的电子商务法律法规。对于传统的会计准则无法涵盖的审计范围、证据和风险等,应当加快新的会计准则的制定,保证注册会计师在职业过程中,减少不确定性,依照既定的标准,降低审计风险。
6.3完善社会信用体系
政府在社会信用体系的建设过程中起着无可替代的作用,政府相关部门要联合工商、税务、质检和企业,完善社会信用数据库,对企业和个人的信用状况进行评判,以此来完善社会信用体系,加强行业自律。针对网络安全问题,电子商务企业要加强控制,保证注册会计师获取数据的完整性,降低审计风险,提高审计效率。
6.4提高从业人员的素质
企业应当引进电子商务专业人员,并且加强原有员工的培训工作。企业还可以与高校进行联合培养,使在校大学生可以获得实践经验。注册会计师在进行审计工作时,可以适当利用电子商务专家的工作,会计师事务所也要对电子商务专家进行筛选,确保他们能够胜任会计审计的要求。
6.5开发高效的电子审计软件
快捷高效的电子审计软件,不仅可以提高审计的效率,还可以有效的降低审计的风险。在软件开发的过程中,软件企业要针对不同的电子商务特征和审计人员的操作特点来设计。在开发过程中,可以让电子商务专员、审计人员和软件开发人员合作完成。此外,还要建立标准的通用接口,以便人员可以方便快速的搜集所需要的数据,保证企业数据与审计数据的一致性,减少审计风险。(作者单位:江苏商贸职业学院)
参考文献:
[1] 罗莉.我国电子商务环境下的审计风险研究[J].行政事业资产与财务,2011,18:54-55.
