(1)对网站交易合法性和有效性的审查。首先,注册会计师应审查网站域名是否经过政府授权,以免使商标权受到侵犯和干扰。其次,对网站提供商品或劳务的交易进行审查:如果网站提供数字化信息产品,如软件、电子书籍等,注册会计师可通过网络特别授权登录网站审查信息化商品交易的合法性;如果网站提供实物商品,应采取实地调查或函证的方法检查其货源供应、货物储运情况,以评价物流配送体系的完整性和健全性;如果网站以提供服务为主,则需对其服务过程进行穿行测试。最后,应对电子交易所采用的网上支付系统进行安全测试,如:网上支付系统是否经过CA认证,是否设置安全网关等。 (2)对网络信息真实性和完整性的评价。为了检测网络信息的真实性,注册会计师应重点审查网络信息的存取过程中身份识别技术、口令选取技术、防火墙技术和保密传真技术的运用情况;为了检测网络信息的完整性,注册会计师则应着重审查是否采用了数据加密技术或报文验证码技术,是否建立了完善的电子数据接收、签发与验证制度,是否具备有效的防治计算机病毒的措施。 (3)对网络系统安全性和可靠性的测试。检查商务网站是否严格执行计算机网络系统及环境安全法规与管理制度;检测网络硬件设备、网络应用软件是否可靠,用户管理权限是否设置,各种授权控制是否具有审计功能,网络传输数据的关键点是否进行加密,是否能提供可供安全审计的网络使用报告;检查系统入侵防范、检测控制措施,如:是否设置防火墙,是否采用了身份认证技术,是否进行了授权管理,是否建立了实时监控系统;此外,还应对系统紧急事件响应能力和系统恢复能力进行模拟测试,如:是否预留审计日志,是否采用备份和快速重构技术等。 注册会计师通过上述一系列的审查和检测,最后进行综合认证,评价网站系统内部控制的风险,出具审计工作报告,对于符合规定标准的商务网站颁发WEB认证印章,印章经过数字加密后加载在网站的主页上供访问者浏览查阅,以提高客户和消费者对商务网站的信心。由于商务网站的开放性和动态性,注册会计师应沿用国际惯例对其实施连续审计,大约每隔90天重新进行一次鉴证,以确定其是否符合规定的要求,并对其发布在网站上的WEB认证印章进行更新,否则印章将会自动失效。 注册会计师对电子商务网站的审计,只提供公允的保证,不对交易过程的安全及产品的质量负责。