电子商务系统审计研究,本文主要内容关键词为:电子商务论文,系统论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
电子商务是以商务活动为主体,依托计算机技术、网络技术和通信技术,实现电子化、数字化和网络化的整个商务活动过程。随着电子商务企业的发展,传统企业经营管理模式的改变必然引起审计模式的改变,审计环境、审计风险、审计内容与审计方法都产生了很大变化。由此,审计人员不再面对单纯的会计信息系统,这给审计人员带来巨大挑战。本文就电子商务系统审计目标、特点及内容方面进行阐述。
一、电子商务系统审计的目标及特点
(一)电子商务系统审计目标
电子商务审计的对象包括两方面:一是被审计单位的经济业务事项;二是电子商务系统。两者的目标不尽相同,既相互补充、印证,又相互区别。一方面,运用信息技术对被审计的财务报表、相关信息和经营活动进行审计,并对财务报表的合法性、公允性、一贯性等发表审计意见,主要起监督、鉴证、服务的作用。另一方面,对被审计单位包括电子商务系统在内的信息系统在保护资产安全、数据完整及系统有效性和效率等方面进行审计,并发表审计意见。
对被审计单位经济业务的审计,主要采用计算机技术进行辅助分析,本质上较接近传统手工审计,在此不做赘述。本文主要从电子商务系统审计的角度进行阐述。
(二)电子商务系统审计特点
1.数据电子化
电子商务企业经济业务数据及程序/系统运行数据存储于数据库系统中,审计人员必须采用审计接口技术完成数据采集,并通过数据清洗、转换加载到数据仓库,从而获取符合审计分析的数据。
2.应用计算机辅助审计技术(CAATs)
由于电子商务经济业务及程序/系统运行数据完全电子化,审计人员必须采用计算机辅助审计技术,否则无法获取审计线索进行符合性、实质性测试,亦无法得出审计结论。目前,计算机辅助审计技术可以分为两类:面向系统的CAATs和面向数据的CAATs。前者用于验证程序及系统,后者用于分析电子数据。
3.审计报告内容革新
除披露传统手工审计信息外,电子商务审计还必须包括业务和客户隐私信息的保密性;保障私人信息不被用于其他与电子交易无关的方面;支付结算及其安全保障;特别突出审计系统内部控制的作用。
4.实时审计
实时审计是指利用计算机技术、网络及通讯技术与被审计对象信息系统建立实时连接,随时获取审计证据、更新报告、提供报告的一种新的审计模式。随着电子商务时代的到来,传统的期间审计模式必然向实时审计模式转变。
二、电子商务系统审计内容
本文将电子商务系统审计内容分为系统生命周期审计、系统软硬件资源审计、系统安全审计、系统管理审计、系统内部控制审计、电子商务业务审计、灾难恢复与业务持续计划审计七个方面。电子商务系统审计内容及目标如图1所示。
(一)系统生命周期审计(系统规划、开发、验收、运行与维护)
(1)系统规划阶段审计:是否采用合理的系统规划方法(关键成功因素法、战略目标集转化法、企业系统规划法等);是否进行必要的可行性分析;是否有相应的资金、人员做后续保障。(2)系统开发阶段审计:确定开发过程是否遵循既定的政策且获得相关的审核与批准;确认系统开发文档是否准确、完整;确认是否实施全面有效的质量控制。(3)系统验收阶段审计:确实是否进行功能测试、业务流程测试、容错测试、安全性测试、性能测试、适用性测试等全面测试,并达到系统规划标准,不存在由于舞弊或重大错误导致的风险;系统开发或购买费用是否合理。(4)系统运行阶段审计:确定系统各项功能是否健全、有效;确认系统是否得到及时维护。(5)系统维护阶段审计:确定是否存在且执行维护计划;确认是否存在未经授权下,在重点问题上擅自更改系统设置或变更系统;确定在维护期间,是否采取必要的保护及恢复措施,如创建还原点、数据备份等;确定系统维护后是否进行过充分测试,保证系统功能完整性及数据准确性;确定是否存在详细的系统维护记录,包括维护范围、日期、备份及相关责任人。
(二)系统软硬资源审计
审计目标:确认被审计单位软硬件真实性、完整性、合法性;被审计单位所使用的软硬件资源是否能满足电子商务业务开展的需要;被审计单位软硬件资源是否符合国家法律法规,如由审计署组织起草、国家标准管理委员会批准实施的《财经信息技术——会计核算软件数据接口》国家标准。
(三)系统安全审计
1.电子商务网络数据安全审计
电子商务的网络数据安全,包括网络数据安全技术和安全管理措施制定及实施。审计师通常可从如下几个方面进行审计:网络系统反病毒技术(预防病毒技术、监测病毒技术、杀毒技术)、防火墙技术、数据加密措施、认证技术(数字签名技术、身份识别技术、数字摘要、数字证书等)和授权等软件技术的实施、应用情况;检查岗位责任实施、安全日志制度;审查《计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》等有关信息系统安全的法律、法规的执行情况。
2.网路访问控制审计
网络访问控制包括访问权限控制和用户认证。访问权限控制方面的审计主要检查是否存在资源节点、用户节点访问控制,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。如客户访问电子商务系统,其仅能查到所赋予权限范围内的一些资源数据(产品名称、价格、数量等),而对其权限外的数据(商品进价、库存数量、定价策略等)就无法访问。用户认证的方法,一般可分为用户/口令认证、令牌认证、生物特征认证等,其中较为广泛应用的为前两种。用户认证审查内容:各种认证方法、各种控制的执行情况。
(四)系统管理审计
电子商务系统管理可以分为三个方面:系统监控、系统配置、系统操作管理;事件关联和自动化处理;业务影响管理。其目标是保障系统的性能和可用性;保障数据和其他信息资源的完整性;保障系统安全。其审计内容为:(1)系统监控、系统配置和系统操作管理:是否对基本组件(软硬件)、电子交易系统、数据库、应用中间件和WEB服务等系统进行监控;是否对软硬件系统进行资源登记及软件升级;是否对作业排序和应用程序作业进行调度等。(2)事件关联和自动化处理:整体地分析、鉴别形成/导致某个事件的各种原因,这些原因可能是来自网络、服务器系统、数据库或应用逻辑;确立问题根源并进行相应的处置,如报警或启动某个引擎程序等。(3)业务影响管理就是确保系统管理能够保障业务系统的服务水平,并将业务系统的性能影射到各个可能的影响因素上,帮助用户及时发现性能的变化并识别导致变化的原因。电子商务系统中业务影响管理审计的内容有:客户隐私信息整体安全,保证客户信息未经授权与第三方共享、切实保护客户信息不被泄露;系统是否存在24×7小时不间断工作保障;是否存在终端客户最大响应时间控制机制,比如不超过3秒等。
(五)系统内部控制审计
电子商务系统内部控制审计包括一般控制的审计和应用控制审计两个方面。电子商务系统一般控制的审计主要关注控制环境,包括管理层对系统控制的管理理念、组织文化及其认同感、信息系统组织结构及职责分工的合理性、关键岗位的人力资源政策。应用控制审计主要关注控制活动有效性、合法性及适当性,主要包括授权与审批、不相容职责分离控制、账实相符、独立业务审核、必要的风险控制活动及应对策略等。
另外,审计师应该了解与信息处理有关的内部控制活动风险,即检查被审计单位各类信息处理环境下对数据处理的准确性、完整性及授权情况。具体包括如下内容:(1)系统或程序能否正确处理数据、处理了不正确的数据抑或两种情况并存。(2)是否存在未经授权访问数据,其可能导致对数据的不恰当修改或损毁。(3)是否存在越权访问现象,其可能破坏系统中原有的职责分工。(4)未经授权下,改变主文档数据。(5)未经授权下,改编系统或程序。(6)未能对系统或程序做必要的配置或修改。(7)不恰当的人为干预情况。(8)可能丢失数据或不能访问数据。
(六)电子商务业务审计
目前,电子商务交易类型归纳起来有两种:网络商品直销(如京东商城)与网络商品中介交易(如阿里巴巴)。虽然两者流程不尽相同,但是都包括与电商沟通、资金交付、商品配送为核心的三个阶段。本文在不对商品交易流程进行区分情况下,阐述电子商务业务审计。为保证交易中信息的真实性、可靠性及完整性,审计人员必须对电子商务业务及其流程中如下信息进行审计:(1)商品基本信息,包括名称、价格、性能等。(2)商品交易信息,如发货时间、发货距离、支付条件及方式、退货政策、运费等。(3)售后服务及相关技术支持,如保修时间、三包政策等。(4)相关流程风险及处理程序,如发货错误、丢失及相关法律纠纷案件处理方案等。(5)客户权利及其义务为确保对上述信息进行审计,审计师需要进行如下工作:
(1)客户电子签约情况测试:检验每一笔交易或服务的正确性、完整性、真实性;交易达成后客户要进行再确认。
(2)电子账单及支付测试:交易达成前,复核销售价格及所有相关费用;按双方复核的交易总费用开具电子账单,进行清算;账单或清算错误时,应及时告知客户。
(3)货物配送情况测试:货物配送在时间、地点、数量、规格是否满足要求;特殊情况下是否及时通知客户,并采取补救措施。
(4)客户身份资料及交易记录保存测试:确认是否存在客户身份资料及交易记录保存制度,包括各信息的完整性、准确性、真实性、保密性、保管年限等;测试其实施及履行情况。
(5)监督情况测试:交易真实性是否得到有效监控;企业若未能执行控制手段,应及时公告,并说明正在采取的补救措施。
(七)灾难恢复与业务持续计划审计
灾难恢复与业务持续计划是指在发生自然或人为灾难时,能够防止业务行为中断的计划。其审计测试的主要内容为:确认灾难恢复与业务持续计划是否具有可行性和有效性;确认相关资源(硬件、软件)是否做好备份并评估其安全性;确认测试结果是否达到预期目标。
三、结论
目前我国信息系统审计研究还处于初级阶段,虽然我国出台了《计算机环境下的审计》、《风险评估和内部控制——计算机信息系统环境特征和考虑因素》、《计算机信息系统环境——数据库系统》、《计算机辅助审计技术》等一系列计算机信息系统准则,但尚缺乏系统性、结构性的认识和必要的指南;各行各业信息系统也有其自身特点。
为完善我国电子商务审计工作,一方面,可以借鉴美国、加拿大等西方国家制定电子商务审计独立准则的经验,对我国审计准则进行丰富、完善;另一方面,培养掌握计算机辅助审计技术的审计师.并对相应计算机辅助审计技术进行应用推广。
标签:电子商务论文; 审计软件论文; 审计计划论文; 审计目标论文; 审计方法论文; 审计准则论文; 电子商务类型论文; 审计流程论文; 控制测试论文;