网站审计概念的内涵 网站审计是电于商务审计的一个分支,是由经过特别认可的注册会计师来执行的。它以网站为审计对象,对在网站上所进行的电子化商业行为及信息系统安全工作进行审计,并提出鉴证服务。审计的具体内容,一方面包括对在网站上进行的交易、支付、清算等各种业务进行一般的审查、监督,还包括对电子交易系统持续经营、数据仓库、数据市场、数据采掘、“不停顿”能力和“不停顿”平台进行评估;另一方面,要依据安全评估准则,对网站的基础设施进行安全测试和评定,包括数据的完整性、数据加密、访问授权、双向身份认证、防火墙等安全措施。最后,网站审计工作人员将对其所进行的业务是否真实合法、所提供的商品或服务的信息披露是否具有完整可靠性、是否提供足够的安全措施,保证消费者私人信息的保密性,进行评价并提供意见。 网站审计的有关内容与方法 1审计人员可以利用审计接口软件来获取原始数据;利用审计抽样软件来进行样本抽取;利用审计分析软件进行各种数量关系的配比分析与数据查询;利用数据仓库技术来进行分析;利用审计专家系统进行审计推理与判断,并通过数据获取、样本抽取、异常项目调查、数据分析与处理等方法进行测试、检查、分析与核对。 2审计人员要特别关注网站在设施、输入、软件、输出四个方面的情况,因为在这四个方面易出现欺诈和舞弊行为,并应考虑在网站审计报告中对违纪行为予以披露,以确保其提供的商品或服务信息的完整、可靠性。 3对网站安全性的审计工作可从以下三点入手:(1)安全技术的审计。对此,可侧重检查防火墙技术、网络系统反病毒功能、数据加密措施、身份认证和授权等软件技术的应用和实施情况。实施这一检查,可用模拟数据对系统的各安全关键点进行全面检查。(2)安全管理制度建立和实施情况的审计。一般可采用面谈法、访问和实地察看法按预先给定的内 部控制制度评价清单进行。(3)审查有关计算机安全的国家法律和管理条例的执行情况。最后,审计人员将对符合审计标准的电子商务网站颁发合格标志,该标志将出现在网站主要网页醒目的位置上。 鉴于网站审计工作本身所具有的延续性,AICPA和CICA还要求注册会计师至少每90天对商务网站重新审计一次,以确定其是否仍然符合网站审计标准,从而决定该网站能否继续保留这项标志。此外,当访问者点击这项标志时,可以得到更详细的网站审计报告,以帮助他们评估网站的安全性,提高对网上交易的信心。值得指出的是,注册会计师对网站颁发合格标志,只是表示对网站总体安全性的一种评价,并不意味他们将对每一笔具体业务的安全性提供保证,也不对消费者在交易中的可能损失承担责任。