电子商务网站审计的方法 审计人员可通过数据获取、样本抽取、异常项目调查、数据分析与处理等方法进行测试、检查、分析与核对;还可以利用审计接口软件来获取原始数据;利用审计抽样软件来进行样本抽取,以决定审计范围、审计证据;利用审计分析软件来进行各种数量关系的配比分析与数据查询;利用数据仓库技术来进行多维度分析;利用审计专家系统来进行审计推理与判断,以此来做好网站业务真实、合法性的审计工作。 电子商务网站审计的要点 1.对网站交易合法性和有效性的审查。首先,审计部门应审查网站域名是否经过政府授权,以免使商标权受到侵犯和干扰。其次,对网站提供商品或劳务的交易进行审查:如果网站提供数字化信息产品,如软件、电子书籍等,审计部门可通过网络特别授权登录网站审查信息化商品交易的合法性;如果网站提供实物商品,应采取实地调查或函证的方法检查其货源供应、货物储运情况,以评价物流配送体系的完整性和健全性;如果网站以提供服务为主,则需对其服务过程进行穿行测试。最后,应对电子交易所采用的网上支付系统进行安全测试,如:网上支付系统是否经过CA认证、是否设置安全网关等。 2.对网络信息真实性和完整性的评价。为了检测网络信息的真实性,审计部门应重点审查网络信息的存取过程中身份识别技术、口令选取技术、防火墙技术和保密传真技术的运用情况;为了检测网络信息的完整性,注册会计师则应着重审查是否采用了数据加密技术或报文验证码技术.是否建立了完善的电子数据接收、签发与验证制度,是否具备有效的防治计算机病毒的措施。 3.对网站安全性和可靠性的测试。可从以下四点入手:(1)检查商务网站是否严格执行计算机网络系统及环境安全法规与管理制度;检测网络硬件设备、网络应用软件是否可靠,用户管理权限是否设置,各种授权控制是否具有审计功能,网络传输数据的关键点是否进行加密,是否能提供可供安全审计的网络使用报告;检查系统入侵防范、检查控制措施。如:是否设置防火墙,是否采用了身份认证技术,是否进行了授权管理,是否建立了实时监控系统;此外,还应对系统紧急事件响应能力和系统恢复能力进行模拟测试,如:是否预留审计日志,是否采用备份和快速重构技术等。(2)安全管理制度建立和实施情况的审计。一般可采用面谈法、访问和实地察看法按预先给定的内部控制制度评价清单进行。(3)审查有关计算机安全的国家法律和管理条例的执行情况。(4)审计人员将对符合审计标准的电子商务网站颁发合格标志,该标志将出现在网站主要网页醒目的位置上,当访问者点去这项标志时,他们可以得到更详细的网站审计报告,以帮助他们评估网站的安全性,提高对网上交易的信心。(5)审计部门通过上述一系列的审查和检测,最后进行综合认证,评价网站系统内部控制的风险,出具审计工作报告,对于符合规定标准的商务网站颁发WEB认证印章,印章经过数字加密后加载在网站的主页上供访问者浏览查阅,以提高客户和消费者对商务网站的信心。由于商务网站的开放性和动态性,应沿用国际惯例对其实 施连续审计,大约每隔90天重新进行一次鉴证,以确定其是否符合规定的要求,并对其发布在网站上的WEB认证印章进行更新,否则印章将会自动失效。