电子商务是利用计算机网络进行的商务交易和商务服务活动的总称,其重要表现形式是商务交易和商务服务活动不再依靠纸面文件以及单据的传送,而是借助于计算机技术和信息技术、网络互联技术和现代通讯技术来全面实现电子化的交易和结算过程。电子商务的特点使得审计在审计轨迹、审计范围、审计内容、审计风险都发生了重大的变化。
一、电子商务环境下审计风险变化
(一)会计信息的电磁化使审计线索易于缺失
在电子商务环境下,企业内部的审计线索发生了质的变化,记录业务的内部原始单据,如领料单等原始凭证变为电磁化的信息,计算机系统根据确认的经济业务自动编制记账凭证、登记账簿、编制报表,实现财会核算的电算化。会计的确认、计量、记录和报告都集中由计算机程序指令执行,各项处理再没有直接的人员负责。传统的审计线索可能完全消失,取而代之的是电磁化的会计信息。电磁化的会计信息,磁盘和磁带比纸质的凭证、账簿、报表更易被破坏。如果保管不好,存储在磁性介质上的会计信息会因介质的破坏而丢失。更危险的是这些信息肉眼无法直接识别,可能被删改而不留痕迹,有些只是暂存的,如果设计考虑不周,审计时就不能追溯其来源。
(二)审计范围的扩大使审计固有风险加大
审计范围是指针对特定审计对象所开展的审计实践活动在空间上所达到的广度。传统审计主要是对被审计单位特定时期内的会计报表及其他相关资料及其所反映的经济活动进行审计。电子商务环境下,除了对传统审计内容进行审计外,还需要对系统开发以及控制、运行环境等进行审查。在电子商务环境下,电子商务系统特点及其固有的风险决定了审计内容必须包括对网络信息系统处理和控制功能的审查,以证实其业务处理是否真实、合法及安全可靠。对内部网络功能与控制的审计包括:硬件系统的审计、软件系统的审计、人员组织及内部控制系统的审计;对外部网及相关单位的审计包括:审查网上的认证机构、加数字时间戳的机构、网上银行或电子货币发行单位的真实可靠性、加密技术和防火墙技术等网络安全控制措施的有效性。由于网上经济交易、资本决策都是在网络系统各工作站上完成的,因此,在电子商务环境下,审计的侧重点从事后审计转为实时审计,全方位地评价网络交易的安全性以及财务报告存在的风险要素,从而使审计固有风险加大。
(三)电子商务系统的特点使审计风险控制难度增强
由于互联网系统的分散性、开放性等特点,其安全保密性措施难以完善。计算机信息系统一方面面临系统故障的风险,以及对电子商务数据的非法访问、篡改、泄密和破坏的风险;另一方面还面临着被非法入侵和剽窃电子商务数据的风险、计算机病毒和黑客破坏的风险以及网络化经营管理存在的计算机舞弊问题。此外,若企业电子商务系统的设计存在先天性的功能性缺陷则可能给企业的内部控制制度执行和企业交易信息的处理等许多环节带来难以克服的弊端。因此,不完善的电子商务系统,以及其所处开放式的网络平台,将给会计信息客观公允地反映企业财务状况和经营成果带来负面影响,降低企业内控水平,从而增强审计风险控制的难度。
(四)审计人员知识的局限性使审计结论难以准确
审计人员的计算机知识、网络技术和电子商务知识程度也成为评价检查风险的考虑因素。在电子商务环境下,由于审计环境、审计线索、安全控制、审计内容和审计技术的改变,对缺乏计算机、网络技术和电子商务知识的审计人员,会因为审计线索改变而不能识别、审查和评价企业的风险和控制,从而影响实质性测试的效果和审计结论的恰当性。为了准确对被审单位财务报表进行审计,有关审计部门、会计事务所必须拥有大量的既懂电子商务知识,又精通财会知识,法律知识的复合型人才。同时,这些复合型审计人才还须通晓有关审计软件的开发、维护,计算机的保养等。
二、电子商务环境下控制审计风险的相关对策
(一)审计线索方面的追踪审查
在电子商务环境下,审计需要跟踪的审计线索大部分存储在电磁性介质上,而磁性介质又容易被复制、篡改且不留下痕迹,审计人员应对审计线索的内部控制予以关注:一是在系统内建立日志和追踪文件,以审查在数据处理过程中是否有过渡文件进行修改和处理;二是在审计机构和签字确认单位的同时形成原始数据的备份或在不同部门各自形成相关的数据库(特别应当包括数额、金额和单价等主要数据项),这样既可以相互监督,又可以使审计线索得以保留;三是可采取就地审计和突击审计的方式,以防程序员对被审系统的应用程序加以篡改,防止操作员对被审系统数据文件进行增加、删除、修改等,从而达到降低审计风险的目的。
(二)数据安全方面的防范控制
电子商务与电子货币、电子支付、电子结算的发展,带来了一个十分严峻的问题就是安全性问题。为控制审计风险,实际工作中可以从以下方面着手:一是硬件系统的控制。测试的重点包括:实体安全、火灾报警防护系统、使用记录、后备电源、操作规程、灾害恢复计划等。系统操作员对处理日常运作及部件失灵是否作出了适当的记录与定期分析、硬件的灾难恢复计划是否适当、是否制定了相关的操作规程、各硬件的资料归档是否完整等。二是软件系统的控制。软件系统包括系统软件和应用软件,其中最主要的是操作系统、数据库系统和会计软件系统。总体控制目标应达到防止来自硬件失灵、计算机黑客、病毒感染、具有特权职员的各种破坏行为,保障系统正常运行。三是数据资源的控制。数据加密是电子商务信息系统中防止信息失真的最基本的控制技术。数据加密可以在OSI协议参考模型的多个层次上实现。系统的主体验证关键是要验证主体的信息,有效地保护数据的完整性。备份不仅在网络系统硬件故障或人为失误时起到保护用,还在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用。四是病毒的控制。充分利用防火墙技术,利用防火墙的过滤来实现局域网与外部网之间相互访问控制。做好经常性的病毒检测工作,进行杀毒、护理和动态的防范。
(三)内部控制方面的了解测试
在网络环境下,审计人员除对原有的审计范围和内容进行审计外,还应对被审单位信息系统的内部控制制度健全性和实际执行情况进行符合性测试,找出控制弱点。一是了解测试被审单位是否制定适当的权限标准体系,岗位人员是否按照所授予的权限对系统进行作业;二是了解测试被审单位是否将系统内不相容职务划分清楚,在数据输出时,对不同密级的数据授予不同的权限;三是了解测试被审单位的系统操作是否遵循一定的标准、操作规程进行;四是了解测试试被审单是否建立数据备份与数据档案管理制度。系统数据与软件管理是否由不同人承担,系统进行备份数据恢复时,是否是由具体操作员和主管共同批准。
(四)审计信息系统的开发使用
电子商务环境下审计的实施,要求开发一个可以实现从审计计划到审计报告全过程的审计信息系统。该系统的建设要求突出先进性,可采用网络技术、数字技术的先进手段,采取安全可靠的措施,配置先进实用的计算机设备和功能强、可兼容的系统软件。一是要开发通用审计软件。可以是自主开发也可由财务软件开发公司完成,但都要遵循一个前提。即制定好会计软件数据接口标准。只有这样,开发出来的通用审计软件才能从被审单位准确获取各种数据,实现有效的远程审计。二是要建立审计服务信息库。通过网络及业务管理系统,录入被审单位的有关信息,建立一个完善的大容量的信息库,以便在审计时可以随时调阅和使用,提高审计效率。
(五)电子商务审计法规的建立完善
现阶段,我国有关电子商务活动的法律法规还不完善,难以完全解决电子商务活动中出现的所有的新问题、新纠纷,这就为审计人员顺利开展审计工作带来了极大的困难,同时也大大增加了电子商务审计的不确定性、风险性。因此,一方面要认真推动电子商务法律法规建设,抓紧研究电子交易、信用管理、安全认证、在线支付、税收、市场准入、隐私权保护、信息资源管理等方面的法律法规问题,尽快提出制定相关法律法规的意见。另一方面在电子商务环境下,需要对现有的审计准则体系重新进行审视和思考,电子商务审计准则不能仅仅沿袭传统的审计准则,而应该体现电子商务环境下的审计特色。
(六)复合型审计人才的培养培训
电子商务是信息化的产物,要适应电子商务的发展,审计人员应当是掌握电子商务和审计理论的复合型人才。审计人员队伍是电子商务环境下审计工作能否顺利实施的关键,但当前能胜任电子商务环境下审计工作的综合性人才还相当匮乏。复合型人才的严重匮乏,使得电子商务审计活动难以有效地开展,也造成了实际工作中的电子商务审计效率不高,交易费用过大的不利局面。因此大力培养复合型电子商务审计人才,是我国电子商务审计发展的关键。一方面要求审计人员自身必须经常自觉更新自己的知识结构;另一方面要求在将来的CPA资格考试中增加有关计算机、网络理论及操作等与电子商务有关的内容,并定期对审计人员进行相关的培训。