电子商务审计及其风险研究精选(十四篇)
发布时间:2023-10-10 15:36:14
序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇电子商务审计及其风险研究,期待它们能激发您的灵感。
篇1
关键词:风险控制;关键点;合同管理;管理审计
烟草商业企业物资采购的过程充满着风险,如何对风险进行有效控制,如何能抓住一个具体的风险控制关键点,是每位内审人员应思考和研究的。笔者积极开展了基于风险控制关键点的采购合同审计研究,并密切结合物资采购的具体工作,适时关注企业合同管理薄弱环节开展审计工作,促进公司合同管理与监督工作的规范化、制度化,从而规避公司经营风险,服务公司经营发展,提高公司经济效益和社会效益。
一、当前合同管理存在的主要问题
1.合同管理法律意识淡薄,合同相关法规、管理制度执行不力或不到位。比如委托人无有效的法人委托授权,或所授权事项、权限、期限等是否与所签合同内容不一致,或当事人资信实力不真实,为企业今后经营管理活动埋下隐患。
2.合同签订过程中的不严谨、不规范、无针对性,合同履行过程中的不严肃、随意性,比如未规定设备、材料的供应和进场期限,双方相互协作事项,违约责任、奖励办法,造成合同纠纷时有发生。
3.合同价款依据无体现,招标、中标程序及资料亟待进一步规范。对于通过邀请招标、谈判等形式进行的招投标项目无制作标的,招标书、答疑、合同等文本资料相互不衔接等。
4.合同约定不清晰、计算标准及其确定方法不够具体、准确。如技术措施费和审计费用等多项内容,由于费率、项目计取的不具体、不准确,无最高限额,将会导致合同签订漏洞,造成经济损失。
5.合同风险责任条款不明确。如变更,遭遇不可抗力、政策变动等规定不具体,责任划分不明确等,导致合同风险的不确定、不可控、无承担,从而可能引起合同纠纷。
6.合同争议解决办法、违约和索赔等条款缺失。由于合同条款的不明晰、不确定、不严密,导致对合同条款理解不一致或在执行过程中产生纠纷,加之合同争议解决办法无明确约定,从而造成加大的经济、法律纠纷。
二、合同审计应确定的依据、方法及工作重点
1.依据:《中华人民共和国审计法》、《中华人民共和国合同法》、《审计署关于内部审计的规定》、《内部审计准则》等法规制度。
2.方法:审阅法、询问法、观察法、源头审计法、外环审计法、计算、分析性复核等。
3.流程:
4.合同审计阶段要点
(1)对经济合同合法性审查
①主体是否合法。审查委托人是否有有效的法人委托授权,所授权事项、权限、期限等是否与所签合同内容一致。
②合同形式是否合法。原则上签订各类合同应采用书面形式,鼓励采用国家颁布的各类合同示范文本。
(2)对经济合同条款的完整性审查
①合同标的是否明确,有无国家限制流通或禁止交易的物品。
②核实标的数量,质量标准是否明确、具体,言辞有无含糊其辞。
③合同价款或酬金是否经过计算复核,数据是否准确具体、合理合规。
④合同履行期限、地点、方式等是否可行、是否准确。
⑤违约责任条款是否符合法律规定,且明确具体。
⑥根据法律规定和各类经济合同性质要求的其他必备条款、专业条款等是否明确,是否合理有效。
(3)审查合同的严密性
①购销物品名称应署全称,注明商标、生产厂家、规格型号、等级和包装标准等有关信息。
②合同约定应不得低于国家或行业强制性标准。
③产品数量,按法定计量标准执行。
④产品的交货单位、交货办法、运输方式、到货地点、接货单位或提货单位、交货期限在合同中应予以明确规定。
⑤验收方法可采用数量清点和质量检验的方式。
⑥结算方式,执行合同规定和办理手续按照公司规定执行。
⑦违约责任,应明确当事人双方或一方有违约行为时,责任承担的方式和标准。
(4)审查合同履行的可行性
①审查合同效益程度,满足公司需要,符合公司利益。
②审查当事人资信实力是否真实,是否具有履约能力。
③需要担保的事项,是否确定了可行的担保方式,担保措施是否完备。
三、采购合同的主要风险点
2012年,合同审计提出意见建议、运用频率、潜在风险等如下表所示:
通过合同审计研究、实践的开展,抓住了企业风险控制关键点,针对关键风险点堵塞了合同管理漏洞、有效规避了企业风险,并通过企业审计监督办法的制定执行,形成了合同管理的常态监督机制,体现了内部审计对企业风险控制关键点的有效控制和监督,体现了内部审计价值。
综上所述,内部审计以其自身的特点和其独特的优势,通过对企业风险控制关键点的审计研究,通过合同审计的开展,及时发现并解释企业当前存在的风险及隐患,并提出相应的强化控制、规避风险的意见及建议,充分发挥内部审计作用,采取各种方式方法进行有效的控制和防范,提高企业整体管理效率及效果,进而促进企业不断提升价值。
参考文献:
[1]朱锦余.经济合同审计研究[J].四川会计.2001(2)
[2]赵宜永.对工程建设合同管理审计存在问题的探析[J].煤炭经济研究.2006(6)
[3]沈中友.加强事前合同审核,有效控制工程造价[J].中国市场.2007(35)
篇2
关键词:审计风险;风险防范;传统企业;电子商务系统
一、电子商务环境下的企业审计风险研究
在电子商务系统高度自动化的条件下,审计证据的充分性和适当性取决于电子商务系统控制的有效性。因此,对电子商务审计主要集中在电子商务系统交易过程和控制测试。审计对象也要从财务报表及其相关资料扩展到被审计单位的资信状况、内部控制等对财务报表产生重要影响的诸多事项上来。一般情况下,审计风险=重大错报风险×检查风险,由于电子商务的无纸化、电子化和网络化等特点,无论是电子商务的重大错报风险还是检查风险都比传统审计风险要高。电子商务采用的全球网络化信息系统,企业一方面面临着系统自身的风险,可能导致会计数据被篡改、破坏,另一方面面临着电脑病毒和电脑黑客的入侵,导致会计数据的丢失。这些致使电子商务重大错报风险的加大。电子合同、电子函件、电子订单的存在使注册会计师审计中对其真实性、合法性很难辨别,导致电子商务审计风险中的检查风险要比传统的检查风险要高,审计工作的难度更高。
二、电子商务环境下企业审计要素的变化
1.审计目标
在传统的审计中,审计目标主要是为了查错防弊。主要是通过对企业账目的审查来核对企业会计报表的真实性,从而分析判断企业采用的会计处理办法是否符合法律所规定的会计准则,并是否能够真实反应企业真实的经营以及财务状况。另一方面,随着信息技术的不断发展,电商企业等新兴产业的不断发展,经济活动的开放性也更强。这些新兴行业的审计目标也不断的扩展,客户服务功能的审计、电子支付审计等都成为了审计目标。
2.审计对象
纵观电子商务环境下,通过对互联网将企业的物资流、资金流与信息资源都融合在一起。经济交易的双方可以通过电子商务系统对产品的报价以及查询、电子合同的签订等经济活动都能产生相关的电子凭据。因此,在电子商务环境下,电子证据以及电子支付等均是企业审计的重要对象。
3.审计方法
现阶段,涌现了很多网络审计软件为电子商务环境下的电商企业提供了技术的支持。在数据的采集上,审计人员通过审计端口对企业会计信息的数据进行搜集。通过对计算机以及互联网络可以进行远程登录、电子函证、文件传输,以传输信息,获取相关的审计证据。在对数据的分析上,审计人员在运用审计相应的软件,准确和快速的获取信息对生成审计报告以及,都能够有效的为审计工作提高时效性。
三、电子商务环境下对审计的思考
1.加快电子商务审计法律法规的完善
对我国计算机审计的各种法律规定,计算机的审计准则都需要有制定标准的格式。需要制定有关电子商务的法律法规,把电子凭证、合同以及有法律效应的数字签名的保管都需要明确制定下来,有关电子商务与网络经济的立法都需要满足我国的国情,同时借鉴国际相关法规以及立法,能够促进我国的电子商务审计法律法规的建立以及完善,保证电子商务审计能够有法可依。
2.充分利用计算机网络审计
电子商务审计的内容主要包括电子商务系统处理和控制功能的审查,为了证实电商企业的交易事项是否合法以及安全可靠,这些都是传统的审计所没有的。首先必须利用计算机网络技术对审计单位计算机会计信息系统的应用控制进行审查,然后根据一般控制与应用控制的审查结果来决定抽查的范围与重点。通过网络对审计单位的会计数据进行手机审核时,需要对审计单位的审计人员赋予应有的审核权限,可以高效的完成审计工作。另外,对异常项目通过调查和数据分析进行测试、检查、分析与核对,这样可以达到降低审计风险的目的。
3.加快审计的电子化应用技术
随着电子商务发展的需要,对加强计算机审计实用环境的建设提出了更加长远的发展。对各级审计机关对计算机硬件的建设需要给予足够的重视,加大计算机设备系统的投资,对审计机关内部审计资料库的建设,能够有效促进审计事业的现代化发展。要让审计人员尽快参与审计软件的开发,使审计软件的使用在电子商务环境下能够具有自身的实用性,以便今后的计算机审计信息化的建设能够顺利的实施。
四、结语
在电子商务环境下,电商企业的业务流程发生了一些变化,这就需要新的机构来对企业进行有效的监督,以确保电子商务环境市场下的有序进行。同时,电子商务在另一方面也改变了企业审计的环境,迫使企业审计改进传统的审计模式,并采用先进的信息技术,优化审计流程,确保企业审计能够满足新形势的发展要求。
参考文献:
[1]王爽.浅谈网络审计的风险及其防范[J].数码世界,2005(13).
[2]王萍.网络审计的对象创新和业务创新[J].会计天地,2004(8).
[3]宋荣臻,李悦.网络审计及其方法的完善[J].科技与经济,2005(4).
篇3
电子商务环境下审计面临的问题
审计环境问题
对传统商务活动的审查,法律上最有效的证据是记录业务发生的原件,即凭证、账册和报表,并以此作为审计的依据。在手工会计环境下,企业从原始凭证到报表每一步都有文字记录,都有经手人签字,整套账务系统都保存在纸介质中,以便审阅,这些纸质原件的数据若被修改很容易辨别出修改的线索和痕迹。因此,对传统商务活动的审计是以审查企业的账册凭证为基础的。
在电子商务环境下,客户可以从网上了解商品、询问价格、签订合同、发送订单,企业可以通过网络确认交易、出口报关、传递发货单,划账结汇。经济业务产生的原始凭证以电磁信息的形式在网上传递并保存,并且这种网上凭据的数字又具有随时被修改而不留痕迹的可能,这将使现行的会计因没有直接的实物对象而失去可靠的审计基础,使审计环境中不定因素增加。
审计线索问题
在传统商务活动中,每笔交易都形成一个完整的审计轨迹,交易的每一个环节都有文字记录,都有经手人签字,审计人员可以从原始凭证开始,对交易事项进行追踪,一直到报表为止;也可以从对报表的分析开始,一直追溯到原始凭证,从而形成了顺查、逆查等审计方法,审计线索十分清楚。
在电子商务中,主要通过计算机进行审计,传统的单据、纸质记录被磁盘、磁带、光盘等电子数据取而代之,完全丧失了传统的审计轨迹,并且这些线索还具有被无痕删改、不能永久保存等缺点。因此,网络审计要求企业网络财务系统在设计时必须留有充分的审计线索。这样,不仅增加了审计调查取证的难度,而且也给审计人员造成了心理上压力。
审计风险问题
传统审计中,注册会计师主要通过评审被审单位内部控制制度来确定实质性测试的性质、时间和范围,以此将审计风险降到最低,由于企业内部控制制度的有效性、完善性等特点,对传统会计的审计有据可查,较易检测。
在电子商务环境下,传统的会计岗位职责被打破,审计借助计算机网络等对网上经济活动及其纪录进行审计,就必然要对网络的安全性、可靠性、准确性产生依赖。内部控制制度发生了变更与转移,安全已不是企业内部所能完全控制的。电子商务引起的技术性风险可能使审计风险中的固有风险和控制风险增大。
审计范围问题
审计范围是指针对特定审计对象所开展的审计实践活动在空间上所达到的广度。传统审计主要是对被审单位特定时期内的会计报表及其他相关资料及其所反映的经济活动的审计。
电子商务环境下,除了对传统审计内容进行审计外,还需要对系统开发以及控制、运行环境进行审查。对系统开发的审计。电子商务系统特点及其固有的风险决定了审计内容必须包括对网络信息系统处理和控制功能的审查,以证实其业务处理是否真实、合法及安全可靠;对内部网络功能与控制的审计。包括硬件系统的审计,软件系统的审计,人员组织及内部控制系统的审计;对外部网及相关单位的审计。包括审查网上的认证机构、加数字时间戳的机构、网上银行或电子货币发行单位的真实可靠性、加密技术和防火墙技术等网络安全控制措施的有效性。
审计方法与程序问题
传统的审计程序通常是:接受委托-签订业务约定书-调查了解被审单位的内部控制情况-对拟信赖的内部控制进行符合性测试-实质性测试。
在对电子商务活动进行审计时,由于电子商务改变了审计的环境、审计的内容,所以,审计的程序也相应改变。这主要表现在对电子商务活动进行审计时,所有测试都必须在不改变数据库或记录的条件下进行。由于网络系统的持续运行,使得审计人员很难在某一特定时间内对被审单位进行大规模的测试,同时由于系统实时性、高速性和处理程序的复杂性,使得审计人员很难对经过测试后的系统重新进行复原。
审计人员的素质问题
传统审计的账账核对、账证核对、帐表核对等重要的审计工作,必须由具有丰富财会知识和经验的审计人员完成。
实现电子商务以后,由于审计线索、内部控制、审计内容、审计方法与技术的改变,决定了对审计人员要求的提高。
篇4
一、电子商务环境下审计风险变化
(一)会计信息的电磁化使审计线索易于缺失
在电子商务环境下,企业内部的审计线索发生了质的变化,记录业务的内部原始单据,如领料单等原始凭证变为电磁化的信息,计算机系统根据确认的经济业务自动编制记账凭证、登记账簿、编制报表,实现财会核算的电算化。会计的确认、计量、记录和报告都集中由计算机程序指令执行,各项处理再没有直接的人员负责。传统的审计线索可能完全消失,取而代之的是电磁化的会计信息。电磁化的会计信息,磁盘和磁带比纸质的凭证、账簿、报表更易被破坏。如果保管不好,存储在磁性介质上的会计信息会因介质的破坏而丢失。更危险的是这些信息肉眼无法直接识别,可能被删改而不留痕迹,有些只是暂存的,如果设计考虑不周,审计时就不能追溯其来源。
(二)审计范围的扩大使审计固有风险加大
审计范围是指针对特定审计对象所开展的审计实践活动在空间上所达到的广度。传统审计主要是对被审计单位特定时期内的会计报表及其他相关资料及其所反映的经济活动进行审计。电子商务环境下,除了对传统审计内容进行审计外,还需要对系统开发以及控制、运行环境等进行审查。在电子商务环境下,电子商务系统特点及其固有的风险决定了审计内容必须包括对网络信息系统处理和控制功能的审查,以证实其业务处理是否真实、合法及安全可靠。对内部网络功能与控制的审计包括:硬件系统的审计、软件系统的审计、人员组织及内部控制系统的审计;对外部网及相关单位的审计包括:审查网上的认证机构、加数字时间戳的机构、网上银行或电子货币发行单位的真实可靠性、加密技术和防火墙技术等网络安全控制措施的有效性。由于网上经济交易、资本决策都是在网络系统各工作站上完成的,因此,在电子商务环境下,审计的侧重点从事后审计转为实时审计,全方位地评价网络交易的安全性以及财务报告存在的风险要素,从而使审计固有风险加大。
(三)电子商务系统的特点使审计风险控制难度增强
由于互联网系统的分散性、开放性等特点,其安全保密性措施难以完善。计算机信息系统一方面面临系统故障的风险,以及对电子商务数据的非法访问、篡改、泄密和破坏的风险;另一方面还面临着被非法入侵和剽窃电子商务数据的风险、计算机病毒和黑客破坏的风险以及网络化经营管理存在的计算机舞弊问题。此外,若企业电子商务系统的设计存在先天性的功能性缺陷则可能给企业的内部控制制度执行和企业交易信息的处理等许多环节带来难以克服的弊端。因此,不完善的电子商务系统,以及其所处开放式的网络平台,将给会计信息客观公允地反映企业财务状况和经营成果带来负面影响,降低企业内控水平,从而增强审计风险控制的难度。
(四)审计人员知识的局限性使审计结论难以准确
审计人员的计算机知识、网络技术和电子商务知识程度也成为评价检查风险的考虑因素。在电子商务环境下,由于审计环境、审计线索、安全控制、审计内容和审计技术的改变,对缺乏计算机、网络技术和电子商务知识的审计人员,会因为审计线索改变而不能识别、审查和评价企业的风险和控制,从而影响实质性测试的效果和审计结论的恰当性。为了准确对被审单位财务报表进行审计,有关审计部门、会计事务所必须拥有大量的既懂电子商务知识,又精通财会知识,法律知识的复合型人才。同时,这些复合型审计人才还须通晓有关审计软件的开发、维护,计算机的保养等。
二、电子商务环境下控制审计风险的相关对策
(一)审计线索方面的追踪审查
在电子商务环境下,审计需要跟踪的审计线索大部分存储在电磁性介质上,而磁性介质又容易被复制、篡改且不留下痕迹,审计人员应对审计线索的内部控制予以关注:一是在系统内建立日志和追踪文件,以审查在数据处理过程中是否有过渡文件进行修改和处理;二是在审计机构和签字确认单位的同时形成原始数据的备份或在不同部门各自形成相关的数据库(特别应当包括数额、金额和单价等主要数据项),这样既可以相互监督,又可以使审计线索得以保留;三是可采取就地审计和突击审计的方式,以防程序员对被审系统的应用程序加以篡改,防止操作员对被审系统数据文件进行增加、删除、修改等,从而达到降低审计风险的目的。
(二)数据安全方面的防范控制
电子商务与电子货币、电子支付、电子结算的发展,带来了一个十分严峻的问题就是安全性问题。为控制审计风险,实际工作中可以从以下方面着手:一是硬件系统的控制。测试的重点包括:实体安全、火灾报警防护系统、使用记录、后备电源、操作规程、灾害恢复计划等。系统操作员对处理日常运作及部件失灵是否作出了适当的记录与定期分析、硬件的灾难恢复计划是否适当、是否制定了相关的操作规程、各硬件的资料归档是否完整等。二是软件系统的控制。软件系统包括系统软件和应用软件,其中最主要的是操作系统、数据库系统和会计软件系统。总体控制目标应达到防止来自硬件失灵、计算机黑客、病毒感染、具有特权职员的各种破坏行为,保障系统正常运行。三是数据资源的控制。数据加密是电子商务信息系统中防止信息失真的最基本的控制技术。数据加密可以在OSI协议参考模型的多个层次上实现。系统的主体验证关键是要验证主体的信息,有效地保护数据的完整性。备份不仅在网络系统硬件故障或人为失误时起到保护用,还在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用。四是病毒的控制。充分利用防火墙技术,利用防火墙的过滤来实现局域网与外部网之间相互访问控制。做好经常性的病毒检测工作,进行杀毒、护理和动态的防范。
(三)内部控制方面的了解测试
在网络环境下,审计人员除对原有的审计范围和内容进行审计外,还应对被审单位信息系统的内部控制制度健全性和实际执行情况进行符合性测试,找出控制弱点。一是了解测试被审单位是否制定适当的权限标准体系,岗位人员是否按照所授予的权限对系统进行作业;二是了解测试被审单位是否将系统内不相容职务划分清楚,在数据输出时,对不同密级的数据授予不同的权限;三是了解测试被审单位的系统操作是否遵循一定的标准、操作规程进行;四是了解测试试被审单是否建立数据备份与数据档案管理制度。系统数据与软件管理是否由不同人承担,系统进行备份数据恢复时,是否是由具体操作员和主管共同批准。
(四)审计信息系统的开发使用
电子商务环境下审计的实施,要求开发一个可以实现从审计计划到审计报告全过程的审计信息系统。该系统的建设要求突出先进性,可采用网络技术、数字技术的先进手段,采取安全可靠的措施,配置先进实用的计算机设备和功能强、可兼容的系统软件。一是要开发通用审计软件。可以是自主开发也可由财务软件开发公司完成,但都要遵循一个前提。即制定好会计软件数据接口标准。只有这样,开发出来的通用审计软件才能从被审单位准确获取各种数据,实现有效的远程审计。二是要建立审计服务信息库。通过网络及业务管理系统,录入被审单位的有关信息,建立一个完善的大容量的信息库,以便在审计时可以随时调阅和使用,提高审计效率。
(五)电子商务审计法规的建立完善
现阶段,我国有关电子商务活动的法律法规还不完善,难以完全解决电子商务活动中出现的所有的新问题、新纠纷,这就为审计人员顺利开展审计工作带来了极大的困难,同时也大大增加了电子商务审计的不确定性、风险性。因此,一方面要认真推动电子商务法律法规建设,抓紧研究电子交易、信用管理、安全认证、在线支付、税收、市场准入、隐私权保护、信息资源管理等方面的法律法规问题,尽快提出制定相关法律法规的意见。另一方面在电子商务环境下,需要对现有的审计准则体系重新进行审视和思考,电子商务审计准则不能仅仅沿袭传统的审计准则,而应该体现电子商务环境下的审计特色。
篇5
会计研究表明,提高企业的信息披露的宽泛程度和报告频率,会给企业带来经济效益,这些信息披露同样需要审计鉴证其公允和诚信。现行审计的对象是年度财务报表,而且仅限于财务信息的审计。可以预见,未来的审计对象不仅包括被审计企业的财务信息,也将包括非财务信息。甚至有学者认为,在电子商务环境下的实时审计报告模式应该披露或报告被审计企业的财务状况和经营业绩、网络财务系统的合理性及安全性、专门的财务分析系统对被审计企业未来形势进行的分析、被审计企业的重大变化及其对相关利益者产生的影响。
在电子商务环境下,企业的会计信息系统已成为网络化数据系统的一部分,企业的财务信息通过网络信息技术实现实时的披露。这样,正如世纪公司财务报表的公开披露形成了报表审计市场,实时在线的财务披露也将催生实时在线审计报告的市场。在每一项经济交易中,买卖双方都不愿意在信息不充分的情况下进行,这种经济需求是审计产生的根本条件。随着网络信息技术在财务信息披露中的广泛应用,广大的信息使用群体对企业所披露的信息的公允和诚信逐渐产生鉴证的需求。
我们从审计发生的频率、审计结果的表达形式、审计对象的信息内容和信息含量、审计报告的作用方式,以及审计报告的使用者群体等方面,将电子商务环境下的实时审计报告与传统的财务报表审计报告进行比较(见表)。
表传统审计报告与电子商务环境下的实时审计报告比较
传统报表审计报告电子商务环境下的
实时审计报告
审计频率年度实时
审计结果审计意见经济鉴证
信息内容针对财务报表信息针对使用者选定的信息
信息含量以历史信息为主导既包括历史数据,也包括大量现
现时和未来预测信息
使用范围向投资者、债权人提供向决策者提供
审计方式纠错、侦察舞弊除传统方式之外,还兼有监控
与咨询功能
通过比较我们可以知道,在审计报告的形式和内容上,以及在审计报告的编制和使用方式上,实时审计报告体现了电子商务环境对会计审计领域的重大影响,也体现出会计审计的发展是基于经济环境发展的基本前提。报表审计报告是现代企业制度和工业经济环境作用于会计信息需求的产物,电子商务环境下的实时审计报告也正是现代网络信息经济作用于现行会计信息诚信需求的产物。
五、电子商务环境下的审计风险
在任何审计环境下,审计师在制定审计计划时都要根据个人判断对审计风险进行评估。在比较简单的情形下,审计师可以根据个人判断将审计风险划分为高、中、低等档次。在复杂的情况下,审计师需要建立有效的风险模型来量化审计风险的等级。在电子商务环境下,由于信息经济环境更加复杂,需要建立有效的审计风险模型来评估审计任务中的风险程度。所有的风险评估都离不开审计师对审计程序中的某些指标进行主观性的判断。通过主观判断,审计师选择一定的风险评估方法,使自己的审计决策达到预定的有效程度。在电子商务环境下,审计师对审计风险的控制仍然离不开传统审计理论对审计风险的评估模型,即从固有风险、控制风险和检查风险三个基本要素来分析审计业务中的风险程度和法律责任。通过对这三类风险要素的理解,可以降低从事审计业务而招致损失的可能性。在电子商务环境下,会计信息受到最大的挑战就是会计记录的有效性、完整性和公正性,与之相关的审计和内部控制概念则是职责划分、信息安全和纠错技术。电子证据与传统证据的不同之处在于它们由电子商务企业的内部控制来保证有效性,它们的可用性和可靠性通常依赖于对经济交易有效性和完整性的内部控制效果。
由于在电子商务环境下信息披露错误会跨越不同的企业信息系统,因此其影响十分严重。一般情况下,固有风险与被审计企业经营系统的安全性相关,对其评估的主要范畴包括:()企业信息系统管理及经验的完整性;()企业信息系统变更情况;()可能导致企业信息系统掩饰或错报信息的异常压力;()企业经营和信息系统的性质(电子商务计划和系统的复杂和整合程度);()影响企业的行业版权所有因素(包括信息技术的适用性等);()企业供应链、技术引进、经营合作等第三方对企业信息系统控制的影响水平;()前任审计时间及其审计发现。
传统审计中的控制风险通常不容易被企业内部控制系统及时地防范、侦察和纠正。但在电子商务环境下,由于企业经济业务数据通过企业的信息系统自动地进行加工和处理,而且数据由计算机系统进行实时的反馈,因此出现控制风险的概率比较低。审计师在考虑审计任务的控制风险时,应注意企业内部控制系统的独立性和有效性,并通过系统检测证明其正常运行。
在审计风险三个基本要素中,只有检查风险是审计师能够真正控制的。电子商务环境下,审计师需要综合地考察对固有风险的评估结果以及符合性测试对控制风险的测定结论,决定对被审计企业的信息系统及其生成数据的实质性测试范围。固有风险和控制风险的程度越高,审计师就越有必要执行详细的实质性测试,来获取足够的证据和把握,将审计业务的误差控制在可容忍的范围内。
六、电子商务环境下的审计独立性
审计独立性是一切审计业务的核心。所有的审计准则都要求审计师对被审计企业保持不偏不倚的公正性,以免使审计结果的可靠性由于非技术性因素受到损害,这是对审计独立性的一个操作性界定。具体地讲,审计独立性表现为:()审计师与被审计企业保持经济意义上的独立;()审计师不能与被审计企业存在任何有损于财务报告客观性的利益关联;()审计师与被审计企业的关系或行为不得影响或参与被审计企业的管理决策。因此,无论审计环境如何变化,审计独立性原则都要求审计师在执行审计程序时保持公正的职业判断,回避令其独立性受到置疑的情况。
篇6
(一)会计信息的电磁化使审计线索易于缺失
在电子商务环境下,企业内部的审计线索发生了质的变化,记录业务的内部原始单据,如领料单等原始凭证变为电磁化的信息,计算机系统根据确认的经济业务自动编制记账凭证、登记账簿、编制报表,实现财会核算的电算化。会计的确认、计量、记录和报告都集中由计算机程序指令执行,各项处理再没有直接的人员负责。传统的审计线索可能完全消失,取而代之的是电磁化的会计信息。电磁化的会计信息,磁盘和磁带比纸质的凭证、账簿、报表更易被破坏。如果保管不好,存储在磁性介质上的会计信息会因介质的破坏而丢失。更危险的是这些信息肉眼无法直接识别,可能被删改而不留痕迹,有些只是暂存的,如果设计考虑不周,审计时就不能追溯其来源。
(二)审计范围的扩大使审计固有风险加大
审计范围是指针对特定审计对象所开展的审计实践活动在空间上所达到的广度。传统审计主要是对被审计单位特定时期内的会计报表及其他相关资料及其所反映的经济活动进行审计。电子商务环境下,除了对传统审计内容进行审计外,还需要对系统开发以及控制、运行环境等进行审查。在电子商务环境下,电子商务系统特点及其固有的风险决定了审计内容必须包括对网络信息系统处理和控制功能的审查,以证实其业务处理是否真实、合法及安全可靠。对内部网络功能与控制的审计包括:硬件系统的审计、软件系统的审计、人员组织及内部控制系统的审计;对外部网及相关单位的审计包括:审查网上的认证机构、加数字时间戳的机构、网上银行或电子货币发行单位的真实可靠性、加密技术和防火墙技术等网络安全控制措施的有效性。由于网上经济交易、资本决策都是在网络系统各工作站上完成的,因此,在电子商务环境下,审计的侧重点从事后审计转为实时审计,全方位地评价网络交易的安全性以及财务报告存在的风险要素,从而使审计固有风险加大。
(三)电子商务系统的特点使审计风险控制难度增强
由于互联网系统的分散性、开放性等特点,其安全保密性措施难以完善。计算机信息系统一方面面临系统故障的风险,以及对电子商务数据的非法访问、篡改、泄密和破坏的风险;另一方面还面临着被非法入侵和剽窃电子商务数据的风险、计算机病毒和黑客破坏的风险以及网络化经营管理存在的计算机舞弊问题。此外,若企业电子商务系统的设计存在先天性的功能性缺陷则可能给企业的内部控制制度执行和企业交易信息的处理等许多环节带来难以克服的弊端。因此,不完善的电子商务系统,以及其所处开放式的网络平台,将给会计信息客观公允地反映企业财务状况和经营成果带来负面影响,降低企业内控水平,从而增强审计风险控制的难度。
(四)审计人员知识的局限性使审计结论难以准确
审计人员的计算机知识、网络技术和电子商务知识程度也成为评价检查风险的考虑因素。在电子商务环境下,由于审计环境、审计线索、安全控制、审计内容和审计技术的改变,对缺乏计算机、网络技术和电子商务知识的审计人员,会因为审计线索改变而不能识别、审查和评价企业的风险和控制,从而影响实质性测试的效果和审计结论的恰当性。为了准确对被审单位财务报表进行审计,有关审计部门、会计事务所必须拥有大量的既懂电子商务知识,又精通财会知识,法律知识的复合型人才。同时,这些复合型审计人才还须通晓有关审计软件的开发、维护,计算机的保养等。二、电子商务环境下控制审计风险的相关对策
(一)审计线索方面的追踪审查
在电子商务环境下,审计需要跟踪的审计线索大部分存储在电磁性介质上,而磁性介质又容易被复制、篡改且不留下痕迹,审计人员应对审计线索的内部控制予以关注:一是在系统内建立日志和追踪文件,以审查在数据处理过程中是否有过渡文件进行修改和处理;二是在审计机构和签字确认单位的同时形成原始数据的备份或在不同部门各自形成相关的数据库(特别应当包括数额、金额和单价等主要数据项),这样既可以相互监督,又可以使审计线索得以保留;三是可采取就地审计和突击审计的方式,以防程序员对被审系统的应用程序加以篡改,防止操作员对被审系统数据文件进行增加、删除、修改等,从而达到降低审计风险的目的。
(二)数据安全方面的防范控制
电子商务与电子货币、电子支付、电子结算的发展,带来了一个十分严峻的问题就是安全性问题。为控制审计风险,实际工作中可以从以下方面着手:一是硬件系统的控制。测试的重点包括:实体安全、火灾报警防护系统、使用记录、后备电源、操作规程、灾害恢复计划等。系统操作员对处理日常运作及部件失灵是否作出了适当的记录与定期分析、硬件的灾难恢复计划是否适当、是否制定了相关的操作规程、各硬件的资料归档是否完整等。二是软件系统的控制。软件系统包括系统软件和应用软件,其中最主要的是操作系统、数据库系统和会计软件系统。总体控制目标应达到防止来自硬件失灵、计算机黑客、病毒感染、具有特权职员的各种破坏行为,保障系统正常运行。三是数据资源的控制。数据加密是电子商务信息系统中防止信息失真的最基本的控制技术。数据加密可以在OSI协议参考模型的多个层次上实现。系统的主体验证关键是要验证主体的信息,有效地保护数据的完整性。备份不仅在网络系统硬件故障或人为失误时起到保护用,还在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用。四是病毒的控制。充分利用防火墙技术,利用防火墙的过滤来实现局域网与外部网之间相互访问控制。做好经常性的病毒检测工作,进行杀毒、护理和动态的防范。
(三)内部控制方面的了解测试
在网络环境下,审计人员除对原有的审计范围和内容进行审计外,还应对被审单位信息系统的内部控制制度健全性和实际执行情况进行符合性测试,找出控制弱点。一是了解测试被审单位是否制定适当的权限标准体系,岗位人员是否按照所授予的权限对系统进行作业;二是了解测试被审单位是否将系统内不相容职务划分清楚,在数据输出时,对不同密级的数据授予不同的权限;三是了解测试被审单位的系统操作是否遵循一定的标准、操作规程进行;四是了解测试试被审单是否建立数据备份与数据档案管理制度。系统数据与软件管理是否由不同人承担,系统进行备份数据恢复时,是否是由具体操作员和主管共同批准。
(四)审计信息系统的开发使用
电子商务环境下审计的实施,要求开发一个可以实现从审计计划到审计报告全过程的审计信息系统。该系统的建设要求突出先进性,可采用网络技术、数字技术的先进手段,采取安全可靠的措施,配置先进实用的计算机设备和功能强、可兼容的系统软件。一是要开发通用审计软件。可以是自主开发也可由财务软件开发公司完成,但都要遵循一个前提。即制定好会计软件数据接口标准。只有这样,开发出来的通用审计软件才能从被审单位准确获取各种数据,实现有效的远程审计。二是要建立审计服务信息库。通过网络及业务管理系统,录入被审单位的有关信息,建立一个完善的大容量的信息库,以便在审计时可以随时调阅和使用,提高审计效率。
(五)电子商务审计法规的建立完善
现阶段,我国有关电子商务活动的法律法规还不完善,难以完全解决电子商务活动中出现的所有的新问题、新纠纷,这就为审计人员顺利开展审计工作带来了极大的困难,同时也大大增加了电子商务审计的不确定性、风险性。因此,一方面要认真推动电子商务法律法规建设,抓紧研究电子交易、信用管理、安全认证、在线支付、税收、市场准入、隐私权保护、信息资源管理等方面的法律法规问题,尽快提出制定相关法律法规的意见。另一方面在电子商务环境下,需要对现有的审计准则体系重新进行审视和思考,电子商务审计准则不能仅仅沿袭传统的审计准则,而应该体现电子商务环境下的审计特色。
篇7
关键词:商业银行;电子商务;风险管理
商业银行从事金融业务面临着市场风险、信用风险、以及操作风险等,而电子商务的出现则加剧了上述各类风险发生的可能性以及风险发生之后的破坏程度。2004年以来,我国面临的网络仿冒威胁正在逐渐加大,仿冒对象主要是金融网站和电子商务网站。2005年上半年共收到网络安全事件报告65679件,超过2004年全年案件数,商业银行电子商务安全风险管理策略已成为理论与实践中必须重视的课题。
一、信息安全管理的策略大体遵循事件驱动(技术和管理脱节)-逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。
(一)以事件驱动的初级阶段时期
19世纪70年代安全主要是指物理设备和环境的安全,人与计算机之间的交互主要局限在大型计算机上的哑终端,安全问题只涉及能访问终端的少数人。安全管理策略处于初级阶段,由事件驱动,没有形成规范的管理流程。在此阶段的前期,只重视技术手段。后期开始重视管理手段,但是技术和管理之间脱节。许多组织对信息安全制定了相应的规章和制度,但组织的信息安全管理基本上还处在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。
(二)标准化时期
企业开始将安全问题作为整体考虑,形成一套较为完整的安全管理策略,其中包括了安全管理的技术手段和管理制度(或称运作管理)。几乎所有从事电子商务的企业都拥有自己的安全策略,内容也包括了技术手段、安全管理制度、人员安全教育等等,基本上形成体系,技术和管理手段综合统一,但是安全风险分析还存在不足之处。
(三)安全风险管理策略时期
随着电子商务安全管理发展到一个比较高的层次,安全管理策略也演进到安全风险管理阶段。主要特点如下:
1.安全风险管理成为主流趋势;在安全管理策略的演进过程中,技术和管理手段综合统
一、又融入了风险管理的分析、防范策略,从而安全管理进入了安全风险管理时期。西方商业银行已对安全风险管理形成共识。如安氏公司(is—One),认为信息安全问题最终将归结为风险管理问题,风险管理方法是建立良性的安全技术和管理体系的依据和基础。
2.安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。国际上关于安全风险管理的标准有巴塞尔银行监管委员会的《电子银行业务风险管理原则》、英国标准协会制订的BS7799等。各国也日益重视安全风险管理,制定了许多规范。例如美国货币监理署(OCC)的《电子银行最终规则》、香港金融管理局的《电子银行服务的安全风险管理》等。中国银行业监督管理委员也于2006年颁布了《电子银行业务管理办法》,对国内企业的电子商务安全风险管理给出了指导意见。
3.利用外部专业化机构对金融机构的安全性评估已成为大部分国家的选择。电子银行面临的安全和技术风险,在相当程度上取决于采用的信息技术的先进程度,系统的设计开发水平,以及相关设施设备及其供应商的选择等;银行依靠传统的风险管理机制已很难识别、监测、控制和管理相关风险。同样,监管机构也难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此,大部分国家都采用了依靠外部专业化机构定期对电子银行安全性进行评估的办法,加强对电子银行安全性和技术风险的管理和监管。
4.在许多国家信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。业界的IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作,从经济学的角度出发分析风险,充分衡量保持安全的代价和收益之间的关系,寻求用最小的代价实现最大的效用,在风险分析中也形成一套较为成熟的模式。
二、我国商业银行电子商务安全风险管理策略的薄弱点
(一)系统管理思想缺乏
目前的电子商务安全风险管理策略,在全局上缺乏系统论理论的指导,在实际操作中受到多种多样的安全攻击时会不可避免地出现安全漏洞,无法形成一张全面有序的安全网络。
实践中被采用的安全风险管理策略,以及作为指导意见的规则规范,如《信息安全管理实务准则》(IS017799)、《信息技术安全性评估准则》(GB/T18336.1)、巴塞尔银行监管委员会的《电子银行业务风险管理原则》,尽管提出了比较全面的安全风险管理方案,层次上也比较清晰,但是还不足以作为一个风险防范系统。实践中,电子商务组织是一个复杂的系统组织,电子商务的安全风险管理体系和过程也是个复杂的系统。系统论、控制论的思想在电子商务安全风险管理中是不可或缺的。
(二)风险分析的模型与方法不成熟,定量分析不足
电子商务模式自身的发展历史也不过20几年,在风险分析的定量技术上并不成熟;如BS7799中推荐的电子商务安全风险管理中实施风险评估时,往往将威胁发生的可能性定性划分为几个级别,将威胁所造成的影响也定性划分为1~5级,实质上是将一些按照概率发生的事件定义为不连续的几个级别,在操作上易行,但造成了度量的不精确。在进行监控和审计之后,也存在无法量化、对比的问题。
(三)忽视与原有的传统风险管理策略的结合
本质上,电子商务的安全风险无非是新兴的商业模式对传统的风险的改变,以及产生的在传统风险控制领域暂时无法明晰的新风险;现有管理策略只从信息技术的角度、或者从偏重技术的角度看待问题,站在金融领域本身来分析研究较少。这种状况导致了对电子商务安全风险管理的研究无法立足于一个比较高的层次;忽略了风险的整体性,只进行偏信息和技术的研究,导致了现有的电子商务安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言,传统金融业务的风险控制与电子商务的技术风险控制,两个方面存在脱节,同样属于商业银行的风险,存在着不同的管理策略,导致多头管理、资源浪费、机构之间的扯皮,乃至缺位管理。
(四)风险管理策略无法依赖外部的信息安全管理行业
在发达国家,信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法,提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系,制定和引进了一批重要的信息安全管理标准、法律法规,风险评估工作得到了一定重视,但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。
(五)风险管理策略中商业银行的内部风险控制能力薄弱
我国商业银行目前均建立起统一的风险管理部门;但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距,风险控制实质上仍然分散在各个子部门;风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门;风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如,风险管理部门接受了电子交易部的风险控制报告,表面上履行的内控审核的流程,但审核作用有限,无法完成电子商务安全风险管理中的监控与审计环节。
三、商业银行的电子商务安全风险管理策略的改进建议
(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架
利用系统理论作为总体的指导思想,将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。
在商业银行电子商务安全风险控制的流程中,经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内,然后进行监控和审计;尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入,从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环,安全风险管理的有效性就上一个台阶,商业银行的安全管理水平变得到了提高。新晨
(二)电子商务安全风险管理中定量分析中的改进思路
商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中,商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定,商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失,巴塞尔委员会制定资本要求的转换系数;在度量损失的分布时,主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来,利用现有的度量方法进行精确的风险定量分析的尝试。
(三)将商业银行电子商务安全风险纳入商业银行总体风险管理范畴
篇8
关键词:商业银行;电子商务;风险管理
商业银行从事金融业务面临着市场风险、信用风险、以及操作风险等,而电子商务的出现则加剧了上述各类风险发生的可能性以及风险发生之后的破坏程度。2004年以来,我国面临的网络仿冒威胁正在逐渐加大,仿冒对象主要是金融网站和电子商务网站。2005年上半年共收到网络安全事件报告65679件,超过2004年全年案件数,商业银行电子商务安全风险管理策略已成为理论与实践中必须重视的课题。
一、信息安全管理的历史演进与现阶段的特点
信息安全管理的策略大体遵循事件驱动(技术和管理脱节)-逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。
(一)以事件驱动的初级阶段时期
19世纪70年代安全主要是指物理设备和环境的安全,人与计算机之间的交互主要局限在大型计算机上的哑终端,安全问题只涉及能访问终端的少数人。安全管理策略处于初级阶段,由事件驱动,没有形成规范的管理流程。在此阶段的前期,只重视技术手段。后期开始重视管理手段,但是技术和管理之间脱节。许多组织对信息安全制定了相应的规章和制度,但组织的信息安全管理基本上还处在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。
(二)标准化时期
企业开始将安全问题作为整体考虑,形成一套较为完整的安全管理策略,其中包括了安全管理的技术手段和管理制度(或称运作管理)。几乎所有从事电子商务的企业都拥有自己的安全策略,内容也包括了技术手段、安全管理制度、人员安全教育等等,基本上形成体系,技术和管理手段综合统一,但是安全风险分析还存在不足之处。
(三)安全风险管理策略时期
随着电子商务安全管理发展到一个比较高的层次,安全管理策略也演进到安全风险管理阶段。主要特点如下:
1.安全风险管理成为主流趋势;在安全管理策略的演进过程中,技术和管理手段综合统一、又融入了风险管理的分析、防范策略,从而安全管理进入了安全风险管理时期。西方商业银行已对安全风险管理形成共识。如安氏公司(is—One),认为信息安全问题最终将归结为风险管理问题,风险管理方法是建立良性的安全技术和管理体系的依据和基础。
2.安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。国际上关于安全风险管理的标准有巴塞尔银行监管委员会的《电子银行业务风险管理原则》、英国标准协会制订的BS7799等。各国也日益重视安全风险管理,制定了许多规范。例如美国货币监理署(OCC)的《电子银行最终规则》、香港金融管理局的《电子银行服务的安全风险管理》等。中国银行业监督管理委员也于2006年颁布了《电子银行业务管理办法》,对国内企业的电子商务安全风险管理给出了指导意见。
3.利用外部专业化机构对金融机构的安全性评估已成为大部分国家的选择。电子银行面临的安全和技术风险,在相当程度上取决于采用的信息技术的先进程度,系统的设计开发水平,以及相关设施设备及其供应商的选择等;银行依靠传统的风险管理机制已很难识别、监测、控制和管理相关风险。同样,监管机构也难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此,大部分国家都采用了依靠外部专业化机构定期对电子银行安全性进行评估的办法,加强对电子银行安全性和技术风险的管理和监管。
4.在许多国家信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。业界的IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作,从经济学的角度出发分析风险,充分衡量保持安全的代价和收益之间的关系,寻求用最小的代价实现最大的效用,在风险分析中也形成一套较为成熟的模式。
二、我国商业银行电子商务安全风险管理策略的薄弱点
(一)系统管理思想缺乏
目前的电子商务安全风险管理策略,在全局上缺乏系统论理论的指导,在实际操作中受到多种多样的安全攻击时会不可避免地出现安全漏洞,无法形成一张全面有序的安全网络。
实践中被采用的安全风险管理策略,以及作为指导意见的规则规范,如《信息安全管理实务准则》(IS017799)、《信息技术安全性评估准则》(GB/T18336.1)、巴塞尔银行监管委员会的《电子银行业务风险管理原则》,尽管提出了比较全面的安全风险管理方案,层次上也比较清晰,但是还不足以作为一个风险防范系统。实践中,电子商务组织是一个复杂的系统组织,电子商务的安全风险管理体系和过程也是个复杂的系统。系统论、控制论的思想在电子商务安全风险管理中是不可或缺的。
(二)风险分析的模型与方法不成熟,定量分析不足
电子商务模式自身的发展历史也不过20几年,在风险分析的定量技术上并不成熟;如BS7799中推荐的电子商务安全风险管理中实施风险评估时,往往将威胁发生的可能性定性划分为几个级别,将威胁所造成的影响也定性划分为1~5级,实质上是将一些按照概率发生的事件定义为不连续的几个级别,在操作上易行,但造成了度量的不精确。在进行监控和审计之后,也存在无法量化、对比的问题。
(三)忽视与原有的传统风险管理策略的结合
本质上,电子商务的安全风险无非是新兴的商业模式对传统的风险的改变,以及产生的在传统风险控制领域暂时无法明晰的新风险;现有管理策略只从信息技术的角度、或者从偏重技术的角度看待问题,站在金融领域本身来分析研究较少。这种状况导致了对电子商务安全风险管理的研究无法立足于一个比较高的层次;忽略了风险的整体性,只进行偏信息和技术的研究,导致了现有的电子商务安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言,传统金融业务的风险控制与电子商务的技术风险控制,两个方面存在脱节,同样属于商业银行的风险,存在着不同的管理策略,导致多头管理、资源浪费、机构之间的扯皮,乃至缺位管理。
(四)风险管理策略无法依赖外部的信息安全管理行业
在发达国家,信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法,提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系,制定和引进了一批重要的信息安全管理标准、法律法规,风险评估工作得到了一定重视,但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。
(五)风险管理策略中商业银行的内部风险控制能力薄弱
我国商业银行目前均建立起统一的风险管理部门;但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距,风险控制实质上仍然分散在各个子部门;风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门;风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如,风险管理部门接受了电子交易部的风险控制报告,表面上履行的内控审核的流程,但审核作用有限,无法完成电子商务安全风险管理中的监控与审计环节。
三、商业银行的电子商务安全风险管理策略的改进建议
(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架
利用系统理论作为总体的指导思想,将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。
在商业银行电子商务安全风险控制的流程中,经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内,然后进行监控和审计;尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入,从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环,安全风险管理的有效性就上一个台阶,商业银行的安全管理水平变得到了提高。
(二)电子商务安全风险管理中定量分析中的改进思路
商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中,商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定,商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失,巴塞尔委员会制定资本要求的转换系数;在度量损失的分布时,主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来,利用现有的度量方法进行精确的风险定量分析的尝试。
(三)将商业银行电子商务安全风险纳入商业银行总体风险管理范畴
篇9
关键词:商业银行;电子商务;风险管理
商业银行从事金融业务面临着市场风险、信用风险、以及操作风险等,而电子商务的出现则加剧了上述各类风险发生的可能性以及风险发生之后的破坏程度。2004年以来,我国面临的网络仿冒威胁正在逐渐加大,仿冒对象主要是金融网站和电子商务网站。2005年上半年共收到网络安全事件报告65679件,超过2004年全年案件数,商业银行电子商务安全风险管理策略已成为理论与实践中必须重视的课题。
一、信息安全管理的历史演进与现阶段的特点
信息安全管理的策略大体遵循事件驱动(技术和管理脱节)-逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。
(一)以事件驱动的初级阶段时期
19世纪70年代安全主要是指物理设备和环境的安全,人与计算机之间的交互主要局限在大型计算机上的哑终端,安全问题只涉及能访问终端的少数人。安全管理策略处于初级阶段,由事件驱动,没有形成规范的管理流程。在此阶段的前期,只重视技术手段。后期开始重视管理手段,但是技术和管理之间脱节。许多组织对信息安全制定了相应的规章和制度,但组织的信息安全管理基本上还处在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。
(二)标准化时期
企业开始将安全问题作为整体考虑,形成一套较为完整的安全管理策略,其中包括了安全管理的技术手段和管理制度(或称运作管理)。几乎所有从事电子商务的企业都拥有自己的安全策略,内容也包括了技术手段、安全管理制度、人员安全教育等等,基本上形成体系,技术和管理手段综合统一,但是安全风险分析还存在不足之处。
(三)安全风险管理策略时期
随着电子商务安全管理发展到一个比较高的层次,安全管理策略也演进到安全风险管理阶段。主要特点如下:
1.安全风险管理成为主流趋势;在安全管理策略的演进过程中,技术和管理手段综合统一、又融入了风险管理的分析、防范策略,从而安全管理进入了安全风险管理时期。西方商业银行已对安全风险管理形成共识。如安氏公司(is—One),认为信息安全问题最终将归结为风险管理问题,风险管理方法是建立良性的安全技术和管理体系的依据和基础。
2.安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。国际上关于安全风险管理的标准有巴塞尔银行监管委员会的《电子银行业务风险管理原则》、英国标准协会制订的BS7799等。各国也日益重视安全风险管理,制定了许多规范。例如美国货币监理署(OCC)的《电子银行最终规则》、香港金融管理局的《电子银行服务的安全风险管理》等。中国银行业监督管理委员也于2006年颁布了《电子银行业务管理办法》,对国内企业的电子商务安全风险管理给出了指导意见。
3.利用外部专业化机构对金融机构的安全性评估已成为大部分国家的选择。电子银行面临的安全和技术风险,在相当程度上取决于采用的信息技术的先进程度,系统的设计开发水平,以及相关设施设备及其供应商的选择等;银行依靠传统的风险管理机制已很难识别、监测、控制和管理相关风险。同样,监管机构也难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此,大部分国家都采用了依靠外部专业化机构定期对电子银行安全性进行评估的办法,加强对电子银行安全性和技术风险的管理和监管。
4.在许多国家信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。业界的IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作,从经济学的角度出发分析风险,充分衡量保持安全的代价和收益之间的关系,寻求用最小的代价实现最大的效用,在风险分析中也形成一套较为成熟的模式。
二、我国商业银行电子商务安全风险管理策略的薄弱点
(一)系统管理思想缺乏
目前的电子商务安全风险管理策略,在全局上缺乏系统论理论的指导,在实际操作中受到多种多样的安全攻击时会不可避免地出现安全漏洞,无法形成一张全面有序的安全网络。
实践中被采用的安全风险管理策略,以及作为指导意见的规则规范,如《信息安全管理实务准则》(IS017799)、《信息技术安全性评估准则》(GB/T18336.1)、巴塞尔银行监管委员会的《电子银行业务风险管理原则》,尽管提出了比较全面的安全风险管理方案,层次上也比较清晰,但是还不足以作为一个风险防范系统。实践中,电子商务组织是一个复杂的系统组织,电子商务的安全风险管理体系和过程也是个复杂的系统。系统论、控制论的思想在电子商务安全风险管理中是不可或缺的。
(二)风险分析的模型与方法不成熟,定量分析不足
电子商务模式自身的发展历史也不过20几年,在风险分析的定量技术上并不成熟;如BS7799中推荐的电子商务安全风险管理中实施风险评估时,往往将威胁发生的可能性定性划分为几个级别,将威胁所造成的影响也定性划分为1~5级,实质上是将一些按照概率发生的事件定义为不连续的几个级别,在操作上易行,但造成了度量的不精确。在进行监控和审计之后,也存在无法量化、对比的问题。
(三)忽视与原有的传统风险管理策略的结合
本质上,电子商务的安全风险无非是新兴的商业模式对传统的风险的改变,以及产生的在传统风险控制领域暂时无法明晰的新风险;现有管理策略只从信息技术的角度、或者从偏重技术的角度看待问题,站在金融领域本身来分析研究较少。这种状况导致了对电子商务安全风险管理的研究无法立足于一个比较高的层次;忽略了风险的整体性,只进行偏信息和技术的研究,导致了现有的电子商务安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言,传统金融业务的风险控制与电子商务的技术风险控制,两个方面存在脱节,同样属于商业银行的风险,存在着不同的管理策略,导致多头管理、资源浪费、机构之间的扯皮,乃至缺位管理。
(四)风险管理策略无法
依赖外部的信息安全管理行业
在发达国家,信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法,提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系,制定和引进了一批重要的信息安全管理标准、法律法规,风险评估工作得到了一定重视,但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。
(五)风险管理策略中商业银行的内部风险控制能力薄弱
我国商业银行目前均建立起统一的风险管理部门;但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距,风险控制实质上仍然分散在各个子部门;风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门;风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如,风险管理部门接受了电子交易部的风险控制报告,表面上履行的内控审核的流程,但审核作用有限,无法完成电子商务安全风险管理中的监控与审计环节。
三、商业银行的电子商务安全风险管理策略的改进建议
(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架
利用系统理论作为总体的指导思想,将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。
在商业银行电子商务安全风险控制的流程中,经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内,然后进行监控和审计;尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入,从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环,安全风险管理的有效性就上一个台阶,商业银行的安全管理水平变得到了提高。
(二)电子商务安全风险管理中定量分析中的改进思路
商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中,商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定,商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失,巴塞尔委员会制定资本要求的转换系数;在度量损失的分布时,主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来,利用现有的度量方法进行精确的风险定量分析的尝试。
(三)将商业银行电子商务安全风险纳入商业银行总体风险管理范畴
将商业银行所面临的全部风险放在一个框架中考虑。传统风险管理以及电子商务安全风险管理都是风险管理系统中子系统,二者相互联系、相互影响,不可分割。尝试借鉴信用风险与操作风险度量的方法与思想,短期内将其与信用风险控制衔接,最终形成一个全面的商业银行安全风险管理框架。
(四)商业银行要积极促进电子商务安全风险管理策略的改进(1)充分利用国内或国外能够获得的信息系统审计、外部信息安全评估等服务,采取定期评估审计、不断采取措施改善风险状态的策略;(2)在目前商业银行的组织与管理体制下,风险控制部门与传统金融业务部门的流程需不断改善,商业银行必须创造条件,加强风险管理部门与电子商务部门的交叉配合,包括各部门人员的配置、培训等各方面;使风险管理部门能够履行安全风险管理的监控与审计职能;(3)商业银行必须重视对传统金融风险与电子商务安全风险的统一度量问题的研究,不断提高风险管理部门综合控制风险的能力,充分考虑电子商务安全风险与信用风险、操作风险的交叉问题,为实现全面风险管理奠定基础。依赖外部的信息安全管理行业在发达国家,信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法,提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系,制定和引进了一批重要的信息安全管理标准、法律法规,风险评估工作得到了一定重视,但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。
(五)风险管理策略中商业银行的内部风险控制能力薄弱
我国商业银行目前均建立起统一的风险管理部门;但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距,风险控制实质上仍然分散在各个子部门;风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门;风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如,风险管理部门接受了电子交易部的风险控制报告,表面上履行的内控审核的流程,但审核作用有限,无法完成电子商务安全风险管理中的监控与审计环节。
三、商业银行的电子商务安全风险管理策略的改进建议
(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架
利用系统理论作为总体的指导思想,将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。
在商业银行电子商务安全风险控制的流程中,经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内,然后进行监控和审计;尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入,从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环,安全风险管理的有效性就上一个台阶,商业银行的安全管理水平变得到了提高。
(二)电子商务安全风险管理中定量分析中的改进思路
商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中,商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定,商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失,巴塞尔委员会制定资本要求的转换系数;在度量损失的分布时,主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来,利用现有的度量方法进行精确的风险定量分析的尝试。
(三)将商业银行电子商务安全风险纳入商业银行总体风险管理范畴
篇10
1.对审计对象的重新思考。传统审计对象包括两方面的内容:一是被审计单位的财务收支及其有关的经营管理活动;二是被审计单位的各种反映财务收支及其有关经营管理活动的会计信息资料。随着现代信息技术的发展和电子商务的兴起,企业的组织结构和经营方式等都发生了深刻的变化。网络经营的发展和虚拟公司的出现使企业可根据业务需要自由重组,瞬间即可诞生或消失,从而使会计主体变得模糊,审计对象也因此变得复杂。所以我们需要对审计对象的外延重新界定。从交易费用的角度看,审计对象的边界不清也会增加审计风险和审计费用。我们需要认识到,在网络时代,审计对象具有动态性、虚拟性和适时改变性。
2.对审计主体的重新思考。审计主体是审计监督的执行者,也就是审计机构和审计人员。网络时代,企业的经营管理活动都是通过网络进行的,审计对象、审计线索等发生了变化,审计工作的开展也需要在网上进行,这就要求审计人员必须了解网络结构,在审计监督时深入到企业管理信息系统的设计与实施中去。关于电子数据处理环境下的审计,《国际审计准则第15号》中规定:“在电子数据处理环境下进行审计时,审计人员应对被审计系统的计算机硬件、软件和处理系统有充分的了解,以进一步对委托审计的条件做出计划,并了解电子数据处理对内部控制的研究与评估的影响和需要采用的审计程序,包括计算机辅助审计技术的应用。”“审计人员还应对实施审计程序所必需的电子数据处理具有足够的知识。”这些无疑对传统的审计主体提出了巨大的挑战。我们的审计人员如果不懂得计算机网络就无法对电子商务活动进行审计;不了解现代信息技术,就无法对审计线索的改变进行跟踪审计;不懂得电子商务的特点和风险就不能正确地审查和评价其内部控制。所以在网络时代,审计人员必须是具有一定计算机技能、网络知识和丰富审计知识的综合性人才。
3.对审计目标的重新思考。独立审计的目标是对被审计单位的会计报表的合法性、公允性及会计处理方法的一贯性发表意见。审计人员收集证据的唯一目的就在于使自己能对会计报表的合法性、公允性和一贯性表示意见并出具真实合法的审计报告。审计的主要业务是会计报表审计,发表意见的对象是会计报表及附注或附表。会计报表是企业经营状况和经营成果的反映,在网络时代,它将具有及时性、实时性,同时其内容和范围都将扩大。会计报表审计是审计业务的基础,因而网络时代的审计工作将向更深、更广的领域扩展,诸如企业社会责任履行状况的审计、人力资源利用状况的审计、政府调控职能实现程度的审计、顾客对企业满意程度的审计以及网络技术本身的合规性与有效性的审计等。
4.对审计范围的重新思考。传统审计中,审计范围狭窄而且封闭。网络环境下,企业的会计信息系统是一个开放的系统,会计信息的处理也是在一个开放的环境中进行,任何人都可以通过网络使用信息资源,那么我们就不能再把审计局限在一个狭小的范围里,我们需要对系统的安全性进行审计,需要对交易双方以及其他相关方进行审计。因而,建立在互联网上的审计范围也将大大拓宽。
5.对审计线索的重新思考。审计线索对审计来说是极为重要的,审计人员正是通过跟踪审计线索来收集审计证据、审核有关经济业务的。传统的商务活动中,交易的每一环节都有文字记录、经办人签字等,每笔交易都有详细的记载和完整的线索。审计人员可以从原始凭证开始,对交易事项进行追踪,一直到报表为止;也可以从报表开始,追根溯源,一直追溯到原始凭证,从而形成了顺查、逆查等审计方法。但是在网络环境下,企业实现了无纸化交易,所有商务活动都是在网上进行,所有信息都存储在磁介质上,不再有书面文字记载,会计处理方式发生了变化,审计线索也发生了质的改变。在这样一个环境下信息的删改可能不留痕迹或痕迹不清,从而使审计调查取证的难度将增大。
6.对审计内容的重新思考。审计的职能是监督。电子商务的特点及其固有风险决定了审计的内容还必须包括对电子商务系统的处理和控制功能的审查,以证实其对交易事项的处理是否真实、合法、安全可靠。所以,在电子商务系统的开发与设计过程中应有审计人员参加,对系统的功能、数据流程、处理方法、安全措施等进行审查,保证系统运行安全可靠。此外,由于电子商务系统在投入使用后还可能进行优化或二次开发等,因此在系统的整个运行过程中,也都需要审计人员的审计监督。
7.对审计方法与技术的重新思考。传统的会计信息系统是建立在使用纸、笔的基础上的,因而对会计资料的审计也只有采用手工的方法进行审阅、核对、分析、比较和函证。网络环境下,会计信息系统是以现代信息技术为支撑,它使得审计工作也必须以现代信息技术为工具,迅速、有效地完成审阅、核对、分析、比较等各项审计工作,提高了审计的效率与质量。另外,对电子商务活动进行审计时,按照传统的审计方法,所有测试需要在不改变数据库记录的条件下进行,这对于实时运行的网络系统来说是很难做到的。因此,网络环境下,需要对动态的系统进行审计,其审计方法也将变得更复杂。
篇11
关键词:电子商务;安全审计;安全管理
中图分类号:F239文献标志码:A文章编号:1673-291X(2011)21-0097-02
一、外部审计
外部审计是指审计师对企业电子商务网站的安全工作进行审计,对消费者提供数据安全、商业政策、交易完整、数据隐私等方面的审计。
1.制度审计。在电子商务网络系统环境下,网络电子交易数据安全是关系到交易双方切身利益的关键问题,是企业计算机网络应用的最大障碍和审计的最重要问题之一。电子商务的网络数据安全措施,至少包括三个方面:一是网络数据安全技术方面的措施;二是安全管理制度(措施)的制定和实施;三是社会立法和法律保障措施。内部审计师关心的是这些措施实施的情况,通常可从如下几点进行评价:(1)审查防火墙技术、网络系统反病毒功能、数据加密措施、身份认证和授权等软件技术的应用实施情况;实施这一审查可以用模拟数据对系统的各安全关键点进行全面检查。(2)审查安全管理制度建立和施行的情况,采用面谈法、访问和实地察看法按预先给定的内控制度评价清单进行。注意检查岗位责任实施、安全日志制度。(3)审查有关计算机安全的国家法律和管理条例的执行情况。
2.选用内部审计师实施审计。内部审计师是电子商务审计最合适的专业人员。由内部审计师做电子商务内部审计业务,可为电子商务用户提供职业安全保障。
内部审计师进行电子商务审计是国际惯例。内部审计师是从事企业内部审计业务的专家,具有良好的基础背景和良好的声誉。在中国,内部审计师除了参与财务审计,还参与对管理效益和人离任内部审计和对企业计算机信息系统的实施情况审计,大量参与税务、财务和评估等咨询服务工作。
内部审计业务是按照特定的审计规范的程序执行,对内部控制与经营、业务审查和评价,内部审计师有着敏锐的专业洞察能力,这是内部审计师发展计算机网络内部审计的良好职业背景基础。
内部审计师的审计具有客观性和公正性。电子商务审计人员必须对交易的双方所提供的电子信息进行必要的审计,其审计本身应当客观、独立、公正和具有可靠的专业技术作为支撑,才能赢得网络交易的多方的信赖,同时他们必须是社会公认的权威审计业务专业人员。在计算机网络化的商务活动中,根据对交易合法性和交易信息的可靠性和安全性,是企业信息系统的内部控制制度及其对顾客提供必要的法律保障的一个重要内容,内部审计师对企业信息系统的内部控制制度设置和施行情况的审查评价,已具有特别的专长和丰富的经验。
3.安全审计系统分析。防火墙、入侵检测、防病毒网关等安全产品越来越多地应用在网络中,它们在运行过程中都会产生大量的日志信息,其中隐藏了非常重要的信息是分析网络安全运行情况的依据。安全审计系统中结合各种信息算法对这些日志数据进行分析,挖掘出其中隐藏的异常动态信息,并利用各个审计源之间的联动及时阻断各种入侵活动。同时,对进出网络内部的电子邮件和传输信息实时跟踪,进行数据截取和还原,更好的维护系统安全。
分析和审计公司电子商务网站的安全审计系统是否具有以下功能:(1)网络状态实时监控。监视网络中的各种安全设备、主机系统、数据库、进出网络内部的电子邮件和传输信息等情况,全面掌握网络活动和行为。(2)事件自动响应机制。当发生的网络行为可能威胁到系统安全并且达到预先设定的域值时,系统自动断开该用户的连接并及时向管理员发出报警信号。(3)自动生成安全信息报告。在固定时间内把系统的运行情况以报表的形式发送给管理员。通过设置合理的审计报表,管理员可以迅速、直观地浏览报表内容,了解系统的当前运行情况和资源使用情况,在减少管理员单纯人为判断和经验参与的情况下,能更好地帮助系统管理员及时采取相应措施,从而使威胁整个网络的潜在破坏最小化,提高系统的安全性能。(4)系统综合管理。虽然安全审计系统是一个独立运行的软件系统,但是它和其他安全产品如防火墙、VPN,漏洞扫描等并不会产生冲突,相反它们能够相互协调和促进、更好地起到系统安全防护的作用。
二、内部审计
内部审计的作用主要体现在对于电子商务公司内部系统安全和财务风险的管理上,主要包括两个方面的内容:对电子商务系统的技术审计;对电子商务公司的财务进行审计。
(一)技术审计
1.访问控制审计。网络访问控制包括访问权限控制和用户认证。访问权控制的审查,主要是检查是否有端口访问控制情况――进入访问端口前的用户号鉴别回应控制和特别安全保护的访问点控制。用户认证的方法一般可分三类:口令或密钥、身份鉴别(如指纹)和使用权限控制,其中最安全的认证是身份鉴别(用指纹或其他特性),但制作费用比较昂贵,其他两种方法都是最常用的用户认证法。初步审查除了解各种认证方法外,主要查各类型控制执行的情况。
2.数据加密审计。现在流行的电子商务网络系统是由至少一个计算机服务器和多台客户机联网形成的,并与外部交易有关的国内网络和国际网络系统相连结。客户机一般处理业务数据,网络数据库和软件程序库一般由服务器统一控制管理。由于网络中的数据库具有共享性,很容易受到舞弊人或黑客的修改和破坏,要确保合法的客户对网络数据库访问的便利性和网络数据的完整性,应比非网络系统增加对数据库的加密管理,相应地形成数据库的加密管理审计,其内容:一是审查服务器的数据库加密装置,服务器密码装置的密钥分配,这种审查主要了解系统管理员和相应密钥分配情况。二是审查网络端对端的加密,测试关键的网络数据在传输中的全程加密,此种加密是通过专用的软件实现的,因此,对这类的加密软件要进行特别的安全保护管理。
3.运行审计。(1)记录、跟踪系统的运行状况。利用审计工具,监视和记录系统的活动情况,如记录用户登录账号、登录时间、登录的终端以及所访问的文件、存取操作,并放人系统日志中保存在磁盘上,使影响系统安全性的存取以及其他非法操作留下线索,以便审查。(2)检测各种安全事故。审计工具能检测和判定对系统的攻击,如多次使用非法口令登录系统的尝试,及时提供报警甚至自动处理,使系统安全管理人员能够了解系统的运行情况,及时堵住非法入侵者。(3)保存、维护和管理审计日志。由于审计日志记录了审计、跟踪、检测各种安全事件的结果,是查找、分析网络系统安全事件的客观依据,是重要的系统文档,必须要有可靠的存储和管理机制。在现代的经济环境下对电子商务公司的财务进行审计,其审计的职能已经发生了根本性的变化。审计已经从传统的财务审计过渡到了风险审计与内部控制。因此,运用内部审计可以很好地控制风险的发生。
(二)财务审计
1.数据库审计。在无纸化环境下,内部审计能鉴别出已发生的经济业务及其数据的真实和可靠,这是内部审计师所面临的严峻挑战。显然,内部审计师必须开发一套电子商务内部审计专用的软件和改进传统的审计程序,来适应这种审计的需要。电子商务审计软件一定能使内部审计师在经济业务发生的时候就对它们进行测试和保留必要的审计线索,否则时过境迁,就无案可查。
2.内控制度审计。网络化的计算机信息系统不断发展,内部控制将会变得越来越重要。从前述内容可以进一步说明网络环境下的内部控制制度的重要性。可以断言,在电子商务环境下,内部审计师在监测公司内部控制制度的运转、评价这些控制以及为改进这些制度提供建议等方面,都将起到重要作用。这是因为他们必须测试这些制度以判断电子商务经济信息(含会计信息)的可靠性和经济业务处理的恰当性,并且对内部控制的状况作出全面评价。
3.披露事项审计。保证电子交易的可靠性和真实性,是任何交易的基本前提。为了增强网络上的客户或消费者的信心,电子商务网络系统必须具有如下的披露基本要求:(1)对电子商务销售的商品和服务进行披露,若含有证明商品性能和服务效果的信息,必须注明其信息来源;(2)对交易条件进行披露,如发货距离、发货时间、完成交易所需的时间、另外订单的时间、支付条件、电子结算惯例和顾客必须承担的费用、退货的程序和政策;(3)售后服务和产品技术支持;(4)客户的权利、包括投诉的程序,并应告知客户企业的经营地址、电话号码和办公时间;(5)对争议的处理,争议处理的程序,包括管理当局和请第三方中立机构处理争议问题的程序。
4.客户信息隐私保护审计。为合理保证在电子商务中保证客户私人信息的隐私权,电子商务网站必须遵循:保证客户信息不会被传送到其他网站;客户有权禁止其信息在与交易无关的场合使用和为第三方所使用;客户私人信息未经授权不准访问,客户私人信息不能随意被透露给其他的单位或个人;网站工作人员只有处理业务时方能使用客户私人信息;在存储、变更或从客户计算机上复制信息前应得到客户的许可;严禁向客户输送恶意的程序;企业信息保护的控制得到有效执行;企业若不能执行上述控制手段,应及时公告,并说明正在采取的补救措施。
参考文献:
[1]傅元略,等.企业信息化下的财务监控[M].北京:中国财政经济出版社,2003.
[2]刘艳慧.电子商务及其安全性研究与应用[D].天津:天津大学,2008.
[3]王铁柱,等.中国电子商务安全性分析与研究[J].河北公安警察职业学院学报,2010,(3).
篇12
【关键词】 电子商务; 操作风险; 度量模型
一、引言
电子商务是交易当事人利用信息技术和计算机网络进行的商业活动,包括B2B和B2C等业务模式。由于电子商务有助于降低企业的运营成本,推动了企业特别是中小企业国际贸易业务的拓展,因而得以迅速发展。根据艾瑞咨询统计数据显示,2012年我国电子商务市场交易规模达到8.1万亿元,较之上年增长27.9%。我国《电子商务“十二五”发展规划》更是明确提出,企业间电子商务交易规模在2015年预期超过15万亿元,经常性应用电子商务的中小企业达到中小企业总数的60%以上;网络零售交易额将突破3万亿元,占社会消费品零售总额的比例超过9%(工业和信息化部,2012)。
操作风险是企业在进行基本业务操作时,因不恰当或错误的内部处理、人员或系统等引发的风险(Lockamy,2011)。企业电子商务的应用改变了企业所处的技术、经济、行业和监管等环境,随之而来的是企业电子商务操作风险问题。根据我国2010年《企业内部控制应用指引第18号——信息系统》要求,企业应建立相应的内部控制系统,以防范包括电子商务操作风险在内的各类风险。因此,如何评估度量电子商务的操作风险有着重要的现实意义。本文通过借鉴巴赛尔委员会(2006)的商业银行操作风险度量模型,设计出企业电子商务操作风险的简化度量模型,以供企业特别是中小企业风险管理决策、风险控制和内部审计评估所参考。
二、企业电子商务操作风险的关键内部控制点识别
设计有效的内部控制有助于企业降低电子商务操作风险。我国《企业内部控制应用指引第18号——信息系统》规定,企业利用信息系统实施内部控制至少应当关注下列风险:(1)信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下;(2)系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制;(3)系统运行维护和安全措施不到位,可能导致信息泄漏或毁损,系统无法正常运行(财政部等,2010)。第(3)条即直接涉及到企业电子商务的操作风险控制。值得注意的是,企业针对包括电子商务在内的信息系统内部控制建设并非一劳永逸,需遵循PDCA的管理模式,定期对电子商务内部操作风险进行评估,不断改进完善,从内控制角度降低电子商务操作风险。
Kratchman等(2008)的调查研究表明,企业应用电子商务的计算机网络系统安全主要存在如下损失事故类别:(1)非人为事项(如自然灾害)对系统的破坏,此类问题占总问题的比例为8%;(2)非诚实员工的未经授权处理系统的行为,占总问题的比例为20%;(3)未经授权的外部人士入侵计算机系统,占总问题的比例为5%;(4)员工的非故意错误操作行为,占总问题的比例为67%。根据Kratchman等(2008)的研究结论,开展电子商务的企业,可根据电子商务的预期交易规模、交易类别、行业特征、交易方的物理距离等因素,针对上述四种事故类别设计相应的关键控制点,并推进关键控制点有效运行。具体在关键控点的设计上,对自然灾害引发的操作风险,可设置第三方保险机制、交易免责条款和数据恢复程序等;对非诚实员工的未经授权行为,可将业务流程进行分割,建立不相容岗位、岗位轮换和内部审计制度等;对外部(如黑客)的行为,建立定期与不定期的电子商务信息系统安全评估测试,升级远程监控软件和更新安全防范策略等;对于员工的非故意操作错误,可对重点环节和业务实现人工与机器自动数据复核纠正双重机制。
三、企业电子商务操作风险度量模型的构建
企业针对电子商务操作风险所建立的内部控制,并不能完全防范电子商务操作风险。企业需定期或不定期对电子商务操作风险进行评价度量并加以改进,以使风险处于企业可控范围之内。
目前对操作风险度量较为成熟的行业为商业银行业。自1995年巴林银行事件爆发后,商业银行的操作风险被引起高度的重视。巴赛尔委员会在巴赛尔协议Ⅱ中提出了操作风险的三种度量方法,其中高级计量法得到了业界的广泛认同(范洪波,2009)。下面以商业银行操作风险高级计量法中的内部衡量法度量模型(Basel Committee,2005)为例:
模型(1)中的OR为操作风险;i表示业务类别;j为损失事故类别(风险类别);?酌为预期损失转化为监管资本的参数,由巴塞尔委员会根据行业整体数据在一定置信水平一定期间确定;EI为风险暴露指数,表示业务类型操作风险暴露的规模或数量;PE为预期损失的概率;LEG为预期损失的程度。PE和LEG由银行根据内部损失数据进行估算。
内部衡量法的特点在于首先对每个业务类别划分为7个损失事故类型,然后根据历史数据估计损失概率分布与程度(徐子尧等,2011),而这些特点与企业内部控制审计的要求相吻合。因此,本文借鉴巴赛尔委员会(2006)的商业银行操作风险内部衡量法度量模型,对企业电子商务操作风险进行度量。
由于企业电子商务操作风险不同于商业银行业务操作风险所面临的监管环境,不需要考虑预期损失转化监管资本的参数要求,为此本文构建的电子商务操作风险度量模型将?酌参数去除,具体如下:
模型(2)中i分别表示企业采用B2B和B2C电了商务业务类别;j为自然灾害损失事故、非诚实员工未经授权处理系统的损失事故、未经授权的外部人士入侵计算机系统损失事故、员工的非故意错误操作损失事故;其他变量含义与模型(1)相同。模型(2)中的风险暴露指数EI,可按不同电子商务业务与损失事故类别特点,以单位时间平均交易金额,乘以特定业务损失事故操作风险的定期评估周期与发现损失事故的时间长度两者之间的最大值,并适度调整估算操作风险暴露的规模(金额);预期损失的概率PE和预期损失程度LEG可根据历史信息、现有环境变化与短期预期变化等进行专家评分估计。
考虑到目前我国企业的电子商务主要采用B2B或B2C模式中的一种,而较少同时使B2B和B2C,且风险暴露指数EI的估计难度较大,不利于历史信息收集不完整、业务金额波动较大的中小企业使用电子商务操作风险度量模型(2),本文进一步对度量模型予以简化,对使用单一电子商务模式的操作风险进行计量,简化的电子商务操作风险度量模型如下:
由于仅对企业单一模式的电子商务操作风险进行度量,不需考虑不同业务类别的风险暴露权重因素,故简化的操作风险度量模型(3)删除风险暴露指数。进一步根据历史数据和现有企业电子商务所处环境及其变化,设置各个损失事故类别对预期总损失影响的严重程度,得出各个损失事故的损失程度权重W,并直接使用预期损失概率与损失程度权重乘积数得出操作风险的相对数。操作风险的相对数取值范围为0—1之间,取值大风险越高。操作风险的相对数取值依然有助于企业对单一模式电子商务操作风险进行纵向评价及实施PDCA推进管理,控制操作风险,而对操作风险的评价效果不产生实质性的负面影响,有助于中小企业的运用。
四、企业电子商务操作风险度量的评价流程
根据上述构建的电子商务操作风险度量模型,企业在分析电子商务操作风险时,应在表1所示的方面进行专家评价。
五、案例分析
以某B2C企业为例,该企业在对B2C电子商务系统进行损失事故类别认定中,认定存在如下的损失事故:(1)非人为风险(如自然灾害);(2)员工的非诚实操作风险;(3)外部人士非授权入侵风险;(4)员工的非故意操作错误风险。因此企业可根据过去的经验、现有和未来可能的内外部环境、计算机与网络控制系统的内部控制等,建立针对上述损失事故类别的操作风险关键内部控制点:
S1:非人为灾害引起的数据恢复程序控制点,由A1员工控制;
S2:阻止非诚实员工的未经授权对数据进行操作的控制点,由A2员工控制;
S3:阻止外部非授权人士进行计算机系统的控制点,由A3员工控制;
S4:阻止或纠正员工非故意操作的控制点,由A4员工控制。
由于该企业仅拥有B2C这一单一模式的电子商务系统,故在对企业电子商务操作风险的评价中,可选择简化的电子商务操作风险度量模型,省略了特定业务损失事故的风险暴露指数评价环节。
企业对特定业务损失事故的预期损失概率评价时,作出如下判断:(1)员工A1在负责非人为灾害恢复程序方面未有过失误,即PE(1)为0;(2)员工A2在阻止非诚实员工的未经授权进入计算机系统的工作岗位上缺乏足够的经验,设定PE(2)为0.7;(3)员工A3的工作能力和工作业绩较强,但其缺乏对黑客技术的最新动态进行跟综学习,因此设定PE(3)为0.2;(4)员工A4是阻止或纠正员工非故意操作的内控点方面专家,但最近其被个人财务问题所困惑,设定PE(4)为0.1。
各损失事故的损失程度权重评价方面,企业根据历史经验数据,经过专家评分,分别对W(1)、W(2)、W(3)和W(4)赋值为0.1、0.2、0.3、0.4。具体原因如下:首先,员工的非故意操作失误对企业造成的损失最大(如考虑到企业的声誉与影响,电子商务系统中对顾客的订单系统操作失误,主要由企业承担损失);其次,是外部非授权人士进行电子商务系统产生的损失(外部非授权人士对电子商务系统的破坏性更具有专业性,破坏程度较大,且索赔损失的可能性较少),企业非诚实员工的未经授权进入电子商务系统的破坏程度亦较大,但索赔损失的可能性较大;最后,非人为失误产生的损失,可通过保险或免责条款予以部分补偿。因此,根据简化的电子商务操作风险度量模型,该公司的电子商务系统操作风险度量如下:
企业可根据设定的操作风险可控范围值,判断电子商务操作风险相对值0.24是否过高。同时,根据以往对操作风险度量值,分析现有的损失事故内部控制关键点是否得到有效的改进,在哪些方面还需要进一步完善。
【参考文献】
[1] 财政部,证监会,审计署,银监会,保监会.企业内部控制应用指引[S].2010.
[2] 范洪波. 商业银行操作风险高级计量模型的分析与应用[J].金融论坛,2009(5):32-37.
[3] 工业和信息化部.电子商务“十二五”发展规划[R]. 2012.
[4] 徐子尧,孔祥杰,王晓东.我国银行业操作风险高级计量法应用研究[J].四川大学学报(哲学社会科学版),2011(3):57-62.
[5] Basel Committee.International Convergence of Capital Measurement and Capital Standards: A Revised Framework[EB/OL]. /publ/ bcbs128.pdF, 2006-06-01.
篇13
关键词:电子政务 信息系统审计 审计风险 风险管理
一、电子政务信息系统审计风险研究的意义、方法
电子政务是国家信息化建设的重点工作,其成功与否直接影响着我国政府改革的进程,然而信息化建设往往伴随着巨大的风险,所以必须对电子政务信息系统的建设实施科学全面的审计。在信息系统审计的过程中,审计人员通过收集证据来判断系统本身是否达到保护资源安全,数据完整,系统稳定、有效和高效等目标,但有时会出现审计人员发现不了系统内部存在的缺陷或错误的情况,这说明对信息系统的审计可能出现判断出错的可能性,这种可能性就是信息系统审计风险。而电子政务信息系统审计由于电子政务的特殊性而存在着更为复杂的审计风险。
在这样的环境下,研究电子政务信息系统的审计风险具有非常重要的意义。国内外对传统审计领域中的审计风险研究已经相当成熟,而对电子政务环境下审计风险的研究数量相对较少且处于初步探索阶段。国内的朱萍等以审计风险模型为基础,认为应通过合理评估固有风险和控制风险的水平来确定检查风险,达到降低审计风险的目的,并重点阐述了控制风险的评估[1]。孙纲以审计理论和评价理论为基础,构建了审计风险评价方法体系,最后通过比较期望审计风险与实际审计风险作为审计终止标准的方法来降低总体审计风险[2]。还有一些学者针对电子商务环境下的审计风险做了研究:王乐声从传统审计风险模型的固有风险、控制风险、检查风险三个要素着手提出了降低电子商务审计风险的对策[3]。刘知强通过文献分析法及专家咨询法两种方式设计了电子商务环境下审计风险量表,对电子商务环境下的审计风险进行了识别分析,并在量表的基础上建立了适应电子商务环境下的审计风险模型[4]。
本文对电子政务信息系统审计风险的研究将借鉴COSO(Committee of Sponsoring Organization,内部控制委员会)在2004年的《企业风险管理――整体框架》[5]。该框架是在1992年的《内部控制――整体架构》的基础上提出的,重点阐述了八要素风险管理理论;与原来的五要素内部控制框架不同,它更侧重于风险管理,强调内部控制是风险管理必不可少的一部分。该框架对于企业风险管理的定义具有广泛的适用性,适用于各种类型的组织、行业和部门,也成为了衡量企业风险管理是否有效的一个标准,对于我们开展电子政务信息系统审计风险研究具有很好的借鉴作用[6]。
对电子政务信息系统审计的风险研究首先应以传统审计风险理论为前提,传统审计风险包括固有风险、控制风险和检查风险三个组成要素,它们之间的相互关系可以从定量和定性两个方面加以考察。
从定量的角度看,审计风险及组成要素的相互关系可用以下公式表示:
审计风险=固有风险×控制风险×检查风险
这个公式也被称作传统审计风险模型。
从定性的角度看,检查风险与固有风险和控制风险的综合水平之间存在着反比关系,固有风险和控制风险的综合水平越高,审计人员可接受的检查风险水平越低;反之亦然。对于固有风险和控制风险,它在审计人员审计过程中已成为既定的事实,审计人员无法改变它,但可通过对被审计单位的了解和测试来合理评估固有风险和控制风险,评估的目的是为了确定检查风险水平,并据此来开展实质性测试以降低检查风险,从而最终将审计风险控制于可接受的水平。
二、电子政务信息系统审计风险研究框架
基于传统的审计风险模型和审计风险各要素的定性关系,并借鉴COSO风险管理理论,本文提出了电子政务信息系统的审计风险研究框架(见图1)。
图1 电子政务信息系统的审计风险研究框架
下文将分别对电子政务信息系统固有风险的识别、固有风险的评价以及控制风险的评价和检查风险的评价等几方面进行讨论。
⒈固有风险识别
所谓固有风险识别,是指电子政务信息系统审计人员对电子政务信息系统固有风险的发生领域进行识别和分析,以确定风险的来源,描述风险特征。从电子政务建设的整个生命周期来看,其固有风险贯穿于电子政务信息系统建设项目的始终,所以应将电子政务看作一个大系统并从系统工程和项目管理的角度来对电子政务信息系统的固有风险进行全面识别,无论风险性质和风险大小,都应尽可能全面地找出其存在的固有风险[7]。
根据系统分析法,电子政务信息系统的固有风险可划分为系统风险和非系统风险。系统风险是电子政务信息系统的特别风险,是由其本身的开发、建设、管理等活动带来的;非系统风险是指电子政务建设之外的某种因素引起的可能对所有电子政务建设都带来损失的不确定性风险。
电子政务信息系统的固有风险按照风险的不同来源可以进一步进行分类和细化(如图2所示)。需要指出的是,各种电子政务信息系统固有风险领域之间并不是独立的,而是存在各种联系的,分析时应对此做综合考虑。
图2 电子政务信息系统固有风险分类图
⒉固有风险评价
对固有风险的评价可采取多种方法,由于电子政务信息系统的固有风险是由诸多相互关联又相互制约的因素构成,既复杂又缺少足量数据,所以采用单纯的定性和定量分析的方法往往缺乏可操作性。因此,本文决定同时采用特尔斐法和AHP法作定性和定量分析,最后对用这两种方法得出的结果进行比较,以实现分析结果的科学性和加强评价的实际可操作性。
特尔斐法由美国著名的兰德公司提出并使用,是能够对大量非技术性的无法定量分析的因素进行概率估算的方法,它是一种客观的综合多数专家经验与主观判断的技巧,也可称为专家打分法,它是系统工程中一种很重要的测定方法。
AHP(analytic hierarchy process,层次分析法)是美国运筹学家T.L.Salty在20世纪70年代提出的一种定性与定量结合的决策分析方法。它把需要研究的复杂问题分解为不同的组成元素,并针对总目标按相互关系影响划分为有序递阶层次结构图,通过各元素的两两比较,确定层次中诸因素相对于上一层次某因素的相对重要性,然后综合人的判断以决定各因素相对重要性的总顺序[8]。
采用AHP法和特尔斐法进行电子政务信息系统固有风险评价的过程如图3所示。
图3 电子政务信息系统固有风险评价流程图
⒊控制风险评价
前文介绍了电子政务信息系统建设项目存在的各种风险,根据COSO企业风险管理整体框架的要求,对于这些风险被审计单位通常会采取必要的管理措施。良好的风险管理能够降低电子政务信息系统存在的风险,但是无论被审计单位风险管理的设计和运行多么完善,仍无法消除其固有的缺陷和局限性,所以审计人员在进行审计的过程中必须了解电子政务信息系统的风险管理情况,并对存在的控制风险做出科学客观的评价,为即将进行的实质性测试提供依据。控制风险的合理评估对于审计人员做出正确的审计报告具有关键的作用,应充分重视这一环节。控制风险的具体评价过程如下(参见图4):
图4 控制风险的评价过程
⑴首先审计人员应了解电子政务信息系统的风险管理状况,分别从控制环境、目标确定、事件识别、风险评价、风险反应、控制活动、信息沟通和监控方面来考察。这里审计人员可通过多种可行的办法来了解其实际状况,如可通过查阅有关规章制度及方针政策等文件,与负责人座谈、询问有关人员、实地观察、发放调查表、查阅前期审计报告、与程序设计人员直接对话等手段来实现,由此可以对被审计单位电子政务信息系统内部的风险管理设计的合理性、健全性做出初步评价,并可通过书面说明法、调查表法和流程图法做出描述。这一步是对控制风险的初评,对控制风险的初评宁可高估不宜低估,以降低审计风险。
⑵符合性测试是指对内部控制的完整性、有效性和实施情况进行测试。本文的符合性测试是以COSO企业风险管理框架为基准,是对电子政务信息系统的风险管理的完整性、有效性及合理性进行测试。这一部分可作为下一步风险管理现状和得分的重要依据。
⑶通过比较法评估风险管理情况,同时进行控制风险的二评。比较法就是通过对实际系统风险管理现状的调查取证和描述,然后与现有的评价标准(本文以COSO企业风险管理整体框架为评价标准)进行比较,以此得出被审计单位风险管理符合性的总体评价,最后用百分制打分的方式显示评价结果[9]。因为此方法在使用时以国际现行风险管理整体框架为评价标准并紧密结合目标系统的实际,所以其评价指标的设定更具科学性和可操作性;同时此方法通过实际与标准的比较得出结论,使评价更具可靠性。
比较法中涉及几方面的要素,分别是评价标准、评价指标、评价指标权重、评价方法、评价程序及评分表,其中风险管理评分表是整个评估成果的综合体现。
评分表的表头栏目如表1所示,评分表的“得分”栏是根据风险管理指标现状与标准的符合性程度而得出的,采用的是百分制的方式。
表1电子政务信息系统风险管理情况评分表
风险管理的总得分=∑COSO八要素权重*各项具体指标权重*各项具体指标得分。
⑷控制风险终评。这一步发生在实质性测试之后。根据实质性测试的结果和其他审计的证据,对控制风险进行最终评估,主要是看其是否与控制风险的计划评估结论相一致。如果控制风险水平高于计划评估水平,则说明审计程序不充分,审计人员应考虑是否追加相应的审计程序;如果低于计划评估水平,则说明按计划评估控制风险水平制定的审计程序执行已经比较充分,无须考虑追加审计程序[1]。
⒋检查风险评价
一般来讲,检查风险是指信息系统中的某些电子数据存在重大错报或漏报,而未能被实质性测试发现的可能性。检查风险是必然存在的风险,它与被审计单位无关,与审计程序的有效性有关。比如审计人员在进行实质性测试的时候,由于采取抽样技术而出现的抽样风险;另外,除了抽样风险之外也有非抽样风险。在电子政务信息系统审计中,因为信息系统中电子数据的形式多样性,增加了提取审计证据的困难;由于内部控制主要依赖于软件本身,增加了难以全面检查测试的可能性。如此种种情况而使风险评估变得更为复杂,检查风险大大增加。对检查风险的评价直接影响着审计人员对审计风险的综合评价,所以应充分重视检查风险的评价。审计人员可先找出检查风险的影响因素,并建立检查风险的评价指标集,利用风险因素分析法、模糊综合评价法等方法来进行检查风险的评估。
三、结束语
随着的信息化程度越来越高,电子政务信息系统审计也越来越得到人们的重视,对电子政务信息系统实施科学的审计能够最大限度地降低电子政务建设项目的风险。而审计本身也是存在审计风险的,审计人员如何开展电子政务审计工作,如何将审计风险降低至可接受的水平,需要全面认识和正确评价电子政务信息系统存在的各种风险,帮助和监督被审计单位建立、健全电子政务信息系统风险管理制度,并提高风险管理水平。电子政务信息系统的审计风险涉及诸多主客观因素:不仅包括信息化的风险,也包括许多人的因素,其复杂程度极高。本文建议从系统工程和风险管理的角度来对电子政务信息系统的审计风险进行分析,以理论为指导并在实践中不断摸索改进电子政务信息系统的风险管理方法,使其更具可操作性和适用性。
参考文献:
1朱萍,刘圣妮. 审计风险模型及其应用分析[J]. 广西商业高等专科学校学报,2002,19(1):71-74
2孙纲. 审计风险评价方法研究[D]. 哈尔滨理工大学经济管理学院,2005
3王乐声. 论电子商务环境下的审计风险[J]. 兰州商学院学报,2001,17(05):114-116
4刘知强. 电子商务环境下审计风险研究[D]. 大连理工大学,2005(04):45-49
5Committee of Sponsoring Organizations of the Treadway Commission(COSO). Enterprise Risk Management Integrated Framework[R]. 2004
6朱荣恩,贺欣. 内部控制框架的新发展――企业风险管理框架[J]. 审计研究,2003(06):11-15
7Schwalbe K. Information Technology Project Management[M]. 北京:机械工业出版社,2003:301-333
8陈卫,方廷健,马永军,等. 基于Delphi法和AHP法的群体决策研究及应用[J]. 计算机工程,2003,29 (5):18-20
9刘智. 基于COSO框架的东方公司内部控制诊断评估方法研究[D]. 北京化工大学, 2006
作者简介:
篇14
1、对审计环境的影响
传统审计是在企业的手工会计信息系统环境下进行的。由经济业务产生纸性的原始凭证,会计人员根据原始凭证编制记账凭证,根据记账凭证登记明细账和总账,期末根据账簿编制报表。企业从原始凭证开始到报表的形成每一步都有文字记录,都有经手人签字,整套账务系统都有纸介质保存,以便审阅。随着Internt的普及与发展,电子商务大大地改变了企业传统的交易模式,为企业开辟了更为广阔的市场。企业可以把产品资料、销售合同样本、付款方式与折扣条件等都放到企业的网页上,客户随时都可以访问查阅。客户可以从网上了解商品,询问价格,签定合同,发送订单,甚至可以直接在网上设计自己喜欢的商品。网络技术与电子商务不仅改变了企业传统的交易模式,而且使企业内部的经营管理发生了质的变化,促使了虚拟企业的产生。这些企业只要在Internet的一个站点上租用一定的空间,经过数字认证机构的认证,即可在网上接受订单、寻找货源、进行买卖。电子商务与网络经营使企业的经济环境、组织结构、经营方式与管理模式等审计环境发生了巨大变化,审计人员必须了解和适应审计环境的改变。
2、对审计目标的影响
传统审计目标只是停留在对被审计单位财务报表的合法性、公允性上,注册会计师收集证据的唯一目的就在于使自己能够对财务报表是否在所有重大方面公允反映被审单位的财务状况、经营成果和现金流量发表意见并出具真实合法的审计报告。由于网络账务系统的共享性,投资者或有关特定信息使用者可随时通过获得授权上网查询企业的财务状况和经营成果,信息的及时性大大提高。而作为事后反映的财务报表,对投资者、信息使用者的重要性已大大降低。在信息技术飞速发展的电子商务环境下,传统审计已不适应信息时代的审计要求。
3、对审计对象的影响
审计对象的本质是企业的财务收支及其有关的经营管理活动,而在电子商务中,企业的财务收支及其有关的经营管理活动的特点发生了巨大的变化,各种业务隐性化和数字化,使舞弊行为更易发生。此外现代审计赖以存在的内部控制制度也出现了新特点,传统手段无法对新环境下的内部控制进行评价,也就无法得出正确的审计结论。网络经济时代管理思想进一步拓展,管理软件不断走向成熟,出现了企业资源计划(简称ERP)和业务流程重组(简称BPR)等以信息技术为基础的信息管理。ERP软件的应用和BPR的实施加剧了传统管理流程的变革,使审计面临的对象更加复杂,符合性测试和实质性测试的难度大大增加。计算机审计需要考虑的已不单单是财务管理信息系统,还需要考虑各种计算机管理信息系统。未来企业内外资源的有效计划及其优化和执行,将是一个基于共同知识体系的全球化的应用。新的观点认为单一企业的应用所产生的效果是非常有限的,只有群体的应用效果,才能为企业带来更大的利益。这就预示审计还将面临一种多公司交叉的更为广阔的网络系统。
4、对审计内容的影响
电子商务系统的特点及其固有风险决定了审计内容必须包括对电子商务系统处理和控制功能的审查,以证实其对交易事项的处理是否真实、合法及完全可靠,这是传统审计所没有的。为防范金融犯罪,保证电子商务和网络财务的安全可靠,加强系统内部安全控制的审计将成为审计工作者面临的又一个崭新的课题。
5、对审计方式的影响
网络经济改变了审计信息的收集方式。收集审计信息主要是收集审计证据,我国的注册会计师审计准则规定,注册会计师在审计过程中可以采用检查、监督、观察、查询及函证、计算和分析性复核等审计程序获取审计证据。而在网络环境下,几乎所有资产都由计算机实时动态管理,企业所有的会计资料和相关资料都存放于互联网上,审计人员可采用网络交谈和发电子邮件等方式进行查询和函证,也可进行检查、观察、计算和分析性复核。这与传统审计相比,一是提高了审计证据的及时性和客观性,降低了收集审计证据的成本。二是改变了审计信息加工、传输和存储模式。传统意义上的审计工作被大大简化,只有在某种特定条件下还须由人来监盘实物库存、实地观察实物变动及其记录。
6、对审计方法与技术的影响
审计方法和技术是为了实现审计目标,对被审计单位实施审计过程中所采用的各种手段,它是顺利完成审计工作,提高审计工作质量的重要保证。一方面,电子商务的出现使无纸贸易成为现实,面对这种审计线索,电子化或无书面记录经济业务的审计,没有现代信息技术的支持是不可能完成审计任务的。另一方面,众多“网上实体”、“网上银行”、远离多主体的网上合作体迅速涌现,面对这些“网上实体”,其主要的资产是知识、信息及人力资源等无形资产,它们来自于“媒体空间”,对它们的审计就必须深入到媒体空间中去,运用传统审计技术无法做到这一点。
7、对审计风险的影响
审计风险是指财务报表存在重大错报而审计人员发表不恰当审计意见的可能性。传统审计中,注册会计师主要通过评审被审计单位内部控制来确定实质性测试的性质、时间和范围,以此将审计风险降到最低。而网络经济的发展使得被审计信息由纸张为信息载体转变为磁盘、磁带等磁性介质为信息载体,记录于磁性介质上的信息是不可见的,必须借助于计算机的翻译,才能以可见和易懂的文字形式打印或显示出来。对磁性介质上的信息进行修改可以不留下任何痕迹,也难以实现诸如签字、盖章等使信息证据化的操作。这些都可使得审计风险中的固有风险和控制风险加大。网络环境下的审计业务,主要的审计证据来自于系统网络,属间接证据,其可靠性依赖于网络内部控制制度的健全有效性,审计人员仅仅通过常规的审计测试程序难以确定企业有多少重大错报以及财务报表的部分或全部认定是否真实、公允,导致审计风险难以控制。
8、对审计线索的影响
审计线索对审计来说是极为重要的。在传统会计中,一般由经济业务产生纸质原始凭证,然后会计人员根据原始凭证编制记账凭证,根据记账凭证登记明细账和总账,期末再根据各账簿编制会计报表。每一步都有文字记录,审计线索十分清晰,审计证据主要由书面证据组成。而在交易及核算都实现网络化的环境下,企业与外部的交易和企业内部业务处理的凭据都以电子信息的形式保存,并在网上传递,编制记账凭证、登记账簿、编制财务报表都由计算机按指定程序执行,实现了会计核算自动化。凭证、文件的生成方式、传递路线和传递方向都发生了变化,审计线索似乎不见了,要跟踪某项业务发生的流程也显得尤为困难。
9、对审计报告的影响
传统审计一般是在审计人员完成外勤工作后经过一段时间的整理才能编制完成审计报告。从企业财务报表报送到审计报告完稿,往往间隔几个月,时效性不强,且往往发生期后事项,必须在审计报告中加以披露。而在电子商务环境下,由于企业的会计信息随时可通过授权获取,滞后几个月的审计报告对信息使用者的用处已不大,为发挥审计报告的应有作用,必须加快审计报告的报告速度。尽管现行审计报告有四种类型,但它们关注的重点是被审计单位财务报表的整体情况,对被审单位的预测信息和明细信息披露的很少,而未来预测信息及会计明细事项在知识经济时代恰恰成为审计的重点之一。因此,对传统审计报告的期间、内容、结构还必须作出深刻的变革来适应审计环境的变化。
10、对审计立法的影响
网络经济条件下,对业务是否合法合规必须以法律为依据。但是,目前的审计法规基本上是适应传统书面记录的,网络审计将导致许多新的法规问题尚待解决。例如,电子证据的无形性和易篡改性造成了审计证据确定的困难;电子签名因不同于手工签名而导致法律上难以认定;电子合同的瞬间完成使得合同签订和生效时间的确定存在争议等等。这在一定程度上使得网络审计工作,尤其是进行合法审计时处于无法可依的局面,需要立法加以明确。
- 上一篇:公司经营哲学范文
- 下一篇:小学安全工作重点范文
